唐博 長虹信息安全實驗室首席科學家

　　長虹是中國電子百強的第6位、中國制造業(yè)500強第53位、四川百強企業(yè)第1位。長虹的產業(yè)有4家的A股上市公司、3家新三板、2家科創(chuàng)板，四川長虹電器股份有限公司，基于電器的產業(yè)做了包括軍工、IT服務，包括綜合的家電產業(yè)，也包括一些新興產業(yè)、智慧城市、智慧醫(yī)療、智慧教育等等。

　　基于長虹的一些基本能力和一些核心的產品， 2015年推出了三坐標的轉型計劃，在物聯(lián)網時代，長虹的轉型主要以終端為中心，體現(xiàn)終端的協(xié)同化、網絡化和智能化，終端在消費互聯(lián)網，就是我們說的智能家居，在智慧城市，包括生產性物聯(lián)網，就是我們說的工業(yè)互聯(lián)網上面都有一些布局和安排。特別在消費互聯(lián)網上以場景中心轉型，以用戶為中心，以用戶使用的場景圍繞著用戶的需求，通過終端實現(xiàn)用戶的場景需求，包括對于終端的運營服務像一個層級的結構慢慢的打開。這是整個企業(yè)在物聯(lián)網慢慢轉型的思路，這也是我們做物聯(lián)網安全研究的一些背景。

　　如果大家用智能設備比較多的話可能會碰到這個場景，這個場景在理論上是經常出現(xiàn)的，它的表現(xiàn)是說你的智能設備是來自于不同的品牌、不同的廠家、不同的平臺，它們的智能喚醒詞每個平臺不一樣，長虹內部也碰到這樣的問題，即使同一個平臺，我們下面的電視和冰箱都不是同一個喚醒詞，如果是這么一個狀態(tài)的話，目前這個數(shù)據(jù)是華為提供的2025打開智能產業(yè)版圖的白皮書，2025年預測有1000億的設備，除以當時的人口是80億，平均每個人會有12.5臺設備，也有一些報告說每個人2020年有26臺設備，數(shù)目不重要，其實是一個量級的集成，每個人要管理的設備和控制的設備超過十幾個，對于我們目前的控制方式，比如說用手機，或者是記住每個設備的喚醒詞去叫醒這個設備，這些都會讓我們的生活不是變得更方便，而是變得更復雜，或者變得更崩潰、更錯亂，手機設置了很多設備是很煩的事情，然后記住不同的喚醒詞根本是不可能完成的任務。

　　因為這些個性化的需求導致了互聯(lián)網的碎片化，因為互聯(lián)網的碎片化導致了我們數(shù)據(jù)安全的碎片化。在這樣一個場景下，我們對于設備的控制如果還用傳統(tǒng)的用手機語音的控制可能已經沒有辦法滿足這個設備增長的速度要求，所以我們就在探索有沒有新的方式，包括用戶有更好的體驗可以去控制我們的這些設備？我們首先想到的是用人工智能幫我們去控制，人工智能作為我們的一個家庭統(tǒng)一大腦，或者統(tǒng)一的助手去控制這些設備，你就不需要去記住每個設備的名字，相當于人工智能的助手記住這些設備的名字，當然這個是可行的方案。

　　基于這個方案的之上還可不可以有改進呢？我們想到了現(xiàn)在的設備控制即使用人工智能也是在局域的中心化控制，這個中心化的控制是可以解決我們智能家居里面設備互聯(lián)的問題。

　　人通過手機和音箱會去直接給設備，給他的智能車、冰箱、洗衣機去發(fā)指令，或者通過設備的平臺發(fā)指令，不管通過什么方式我們可以看到這個結構是樹樁結構，通過人到平臺到設備是由小到大的設備，這個設備不斷擴大的時候對人管理的壓力是會逐漸增長，甚至是指數(shù)增長。但是在這樣一個狀態(tài)下，體現(xiàn)出我們剛才說的問題，中心化的解決方案在長期來看是站不住腳的，或者是沒有辦法真正幫助到人們去體驗更方便的智慧生活。

　　我們就看看右邊一個去中心化的方案，我們把這些平臺通過去中心化的方式連接起來，每個平臺都是一個中心，我們可能叫去中心化，也可以叫做多中心化，對于用戶的控制來講不需要通過某一個平臺作為他的中心去控制這些設備，可能通過他自己設備的平臺可以連接到其他的設備平臺，然后對其他設備平臺進行控制，大概的思路是這樣。

　　我們再看一下在去中心化的控制模式下面會有什么樣的挑戰(zhàn)？

　　首先我們看一下平臺之間，為什么現(xiàn)在很多平臺很難相互的控制？首先是平臺的互信，他們信息的公開透明，包括平臺之間構建一個生態(tài)需要激勵機制，多平臺之間的博弈，包括技術的互通都是面對很多的挑戰(zhàn)，包括對于設備的主權達成共識，平臺對于設備的主權有天然的要求，對數(shù)據(jù)的使用權，平臺可能去收集用戶數(shù)據(jù)，或者是使用用戶數(shù)據(jù)的時候，不說平臺會不會讓數(shù)據(jù)被其他平臺使用，可能用戶都不會同意這樣的行為，用戶隱私保護可能在這個過程當中也會是一個很大的挑戰(zhàn)，而且這個過程必須是可管、可控、可審計的，而且是公開透明的。平臺之間實現(xiàn)要有序發(fā)展，必須有激勵機制。設備之間的認證要基于公司比較安全的認證機制，怎么樣又可以讓設備之間產生一定的信任，經常合作的設備它們之間可以有一些信任的歷史，或者是信用分數(shù)，可以讓這個信用分數(shù)為以后的操作授權產生影響，就是認證和授權的問題也是設備之間訪問的安全問題。

　　這樣我們就提出了一個跨平臺信任協(xié)同機制，簡單說我們就是用一個聯(lián)盟鏈，就是區(qū)塊鏈的一種，主要體現(xiàn)在多平臺之間形成聯(lián)盟，聯(lián)盟上部署智能合約約束平臺和設備之間的交互，包括他們的互聯(lián)協(xié)作消息的方式，也就是說我們把這些平臺上都放了聯(lián)盟鏈的節(jié)點，這些節(jié)點會產生共識并保證每一個用戶操作，包括聯(lián)動的操作，從音箱到洗衣機，或者從洗衣機到冰箱的操作是滿足這個平臺上的智能合約，這也是區(qū)塊鏈的一些特性。

　　這個滿足應該是什么樣的一種滿足呢？我們想到在不同的平臺之間形成交互、訪問控制，在現(xiàn)實生活中其實有一個很常見的例子，如果大家有過出國的經歷可能就會體驗到，從1920年開始《凡爾賽合約》以后人類世界開始使用護照機制，這個護照機制是由多個國家發(fā)起，用于個人在國家之間旅行使用的標識體系，對于這個標識體系來說其實有很簡單的一些核心的要素，第一個是會有一個全球唯一的ID（護照號），這個護照號反映出你是哪個國家的公民，你有和護照以后，你的身份可以被全球其他的國家到相關的歷史。有了護照以后有去另外一個國家的需求，你就申請有些國家的簽證，有些國家是免簽的，相當于護照起到了簽證的作用，你需要簽證的時候，這個簽證就需要兩國之間（出發(fā)國和目標國）之間預先有一個合約，這個合約可以展現(xiàn)出你這個護照可以有哪些類型，包括旅游、工作、學生、勞務，每個類型分別能對目標國家做什么樣的行為，可以履行的次數(shù)和時間都會有一定的限制，這個往往是兩個國家之間，或者地區(qū)之間去相互協(xié)調雙方對等確立下來了。有了這個機制以后，這個國家的公民就可以去目的國家的大使館申請簽證，有了簽證、護照就可以買機票，就可以拿著去過海關出國。在出國的過程中，在出發(fā)地的機場會進行海關出關的操作，出發(fā)國的海關會對個人的信用歷史、犯罪歷史，看看你是不是逃犯，是不是有一些違法行為。當你坐飛機到了目標國家以后，你的一些信息也會被目標國家的海關所檢查，這個包括你是不是洗錢集團和恐怖分子。如果你都通過了，你就被認為是一個具有簽證行使范圍內的個人可以到達目標國家進行你相關的行為。

　　類比到我們的物聯(lián)網里面，其實物聯(lián)網的每個平臺相當于就是一個自治國家，物聯(lián)網上的設備其實就是想要出國旅行的個人，可以這么類比，對于每個設備來說需要有一個全程唯一的物聯(lián)網護照，這個是唯一的標識。當你有了護照以后，用戶如果需要從一個設備聯(lián)動到另外一個設備，比如需要電視聯(lián)動到掃地機器人，或者聯(lián)動到門鎖、攝像頭，當然可以從門鎖到攝像頭，各種各樣的聯(lián)動場景可以由用戶來定義，這些場景本身也是一個可以模板化通過學習來定義的場景。有了這個聯(lián)動的需求以后，這個場景合約會經過我們的平臺互聯(lián)合約，平臺和平臺之間預先有一個約定說品牌A的電視可以通過遠程開鎖的功能調用品牌B的開鎖功能，如果有這一個預約定義以后，用戶如果正好有這樣的用戶需求，用戶場景合約是可以被定義的。這個電視發(fā)生了這樣一個聯(lián)動的請求以后去調用這個門鎖的時候，聯(lián)動的事件是會觸發(fā)的。當觸發(fā)這個聯(lián)動事件的時候，相當于是個人要出國到另外一個國家，他會經過兩個海關，我們可以看到經過出發(fā)方和目的地海關會進行就是我們說的授權和訪問控制，執(zhí)行的理事會作為信用的參考，基于歷史的參考會以后的訪問進行授權，同時我們看到執(zhí)行動作以后，執(zhí)行動作也會作為激勵規(guī)則的一部分，也就是說我們會根據(jù)歷史對不同的平臺、設備，甚至用戶本人進行激勵，以維持整個生態(tài)的可持續(xù)發(fā)展。

　　針對這樣一個機制，我們考慮到基于邊緣的信任域，可以滿足物聯(lián)網的大規(guī)模性，同時可以保護用戶的隱私，你在家庭信任域里面只需要域內的設備相互協(xié)作，不需要把一些用戶相關的敏感信息傳到域外去，如果要域間的協(xié)作可能就要在上一級里面做信任域的協(xié)同。

　　我們講到激勵機制，這也是一個能夠維持整個生態(tài)良性運轉的一個方式，當時也是區(qū)塊鏈比較擅長的方面，我們目前識別出的是三個方向，一個是能力激勵，設備的運算能力、存儲能力等等，強終端可以提供這些能力給弱終端使用，弱終端應該給強終端一些激勵，或者一些積分。同樣基于服務也是這樣，比如說我們有一個可以檢測尿液的智能馬桶，智能馬桶上檢測尿液的信息會傳到云平臺做健康管理，這些信息是不是就可以作為你智能冰箱上的一些推薦作為參考，比如說你尿酸過高冰箱給你推薦菜譜的時候就會讓你注意不要吃海鮮、喝啤酒，這樣的服務在這個機制里面很容易產生，因為冰箱提供的服務和智能馬桶提供的服務是可以聯(lián)系在一起的，其實可以相互激勵。至于生態(tài)激勵其實就是一個基于聯(lián)動歷史的排名，可以體現(xiàn)出這些設備在聯(lián)動過程中的參與度，包括基于它提供的能力和得到的積分可以得到一些排名，這些排名機制是公開透明，它的數(shù)據(jù)也都是不可篡改，同時在鏈上保存是一個非常公開的機制，可以去鼓勵平臺，包括設備、用戶積極的參與真正方便用戶的場景當中去。

　　我們的體系是體系架構，在上層建立了應用層、網絡層、感知層的安全機制，包括認證、信任、授權，包括聯(lián)動、分級同步，還有剛才提到的邊緣信任域，同時在應用層做一系列的激勵、異常發(fā)現(xiàn)、安全審計、信用管理、資源共享的應用層服務。對于數(shù)據(jù)安全來說應該是跨三層，每一層都會關注到數(shù)據(jù)安全的問題。在區(qū)塊鏈以下可以看到對于每個終端來說需要有一些芯片級、硬件級的安全去支持的，基于硬件級的安全我們做到設備私鑰的存儲和設備簽名操作的硬件加速都是可以在硬件層面完成，基于區(qū)塊鏈安全套件在區(qū)塊鏈的客戶端去執(zhí)行，然后把這個接入到區(qū)塊鏈上，是這么樣一個體系架構。

　　接下來看一下有了這個方案以后，我們可以做到什么樣的智能家居，就是未來的智能家居是什么樣的？

　　這就是未來的一個場景，我們其實基于我們的Trust Link技術也做了一些相關的小實驗，剛才是煙霧報警器，我們現(xiàn)在做的是水浸傳感器，其實就是一個水進去觸發(fā)報警的實驗，大家看到響應速度很快，背后是應用的區(qū)塊鏈平臺，水浸傳感器和音箱來自于不同的廠商，操作通過區(qū)塊鏈進行認證授權以后傳到了音箱上，同時操作記錄是會被記錄在聯(lián)盟鏈上。

　　另外，我們基于電視做了兩個比較有意思的實驗，一個是快速入網，智能設備買回來以后我們需要在手機上和設備上去輸入本地WIFI和ID密碼，這個其實很麻煩的，我們做的實驗通過二維碼可以讓設備進行雙項的認證，然后入網，設備的入網很方便，相當于把手機上的WIFI信息通過可信的方式導到了設備上，這個不僅僅是電視，這個對其他的家電可以實現(xiàn)一鍵入網的操作，更方便的是只要一鍵入網在信任域內，要更換WIFI密碼的時候下一個指令所有的設備都更換了WIFI密碼。

　　另外一個場景是安全投屏，圍繞著電視，只要在同一個信任域內，這些設備可以安全投屏到電視上，但是在信任域外的設備如果要投屏就需要額外的一些驗證操作，這個也是說在整個家庭的范圍內構建一個信任域，包括家庭的各個智能設備，這樣方便用戶安全快速的去使用這些智能家居。

　　其實在這個方案里面生態(tài)不僅僅包括品牌廠商和用戶終端，也包括一些監(jiān)管機構，因為監(jiān)管機構也可以在鏈上制定一些監(jiān)管合約，包括運營的審計可以通過鏈上的數(shù)據(jù)來做，這些數(shù)據(jù)是去隱私化的，只需要針對于某一個ID，這個ID相當于互聯(lián)網的護照號，只需要針對這個ID做一些審計，它的相關信息可能還是存在用戶的家里，或者是在品牌廠商的服務器上，所以這個生態(tài)是可管可控，又可以保證品牌廠商和終端用戶可以去參與，然后是多個品牌愿意去合作的方案。

　　我們認為去中心化是一個必然在智能家居里面，去中心化的挑戰(zhàn)包括平臺之間的信任和商業(yè)模式，包括設備之間的安全認證和授權，我們提出了一個基于區(qū)塊鏈的信任協(xié)同方案，其中物聯(lián)網護照是我們核心的模型，實現(xiàn)了設備跨平臺的聯(lián)動，對于生態(tài)的建立方面我們還可以有弱邊緣信任域的技術和激勵機制技術。