随着物联网技术的广泛应用,需要将物联网服务系统进行扩展,与区块链进行结合提供可信安全的物联网服务,这既是国家和各行业技术的发展趋势,也是本人实验室项目的研究内容。本文提出一种面向可信的物联网服务系统安全保障方案,主要涉及物联网服务和区块链统一的身份管理、跨物联网服务和区块链智能合约的业务流程权限管理、基于SDN的物联网通信设施边界保护三个方面,具体内容如下:(1)物联网服务和区块链统一的身份管理。本文将物联网服务系统用户和区块链参与者的数字身份进行统一创建、分配和存储;基于Hyperledger Fabric CA统一管理数字证书的注册、安装和注销。利用单点认证为物联网服务用户和区块链参与者提供统一的身份登录,实现跨域访问;(2)跨物联网服务和区块链智能合约的业务流程权限管理。本文集中管理物联网服务系统资源和区块链资源,可使用多种访问控制模型对异构的物联网服务访问控制和区块链智能合约访问控制进行集成。在跨物联网服务和区块链智能合约的业务流程设计时进行可执行性验证,检测权限分配是否会导致程序异常终止,保证程序的正常结束。在业务流程功能执行时,进行策略冲突消解,即多条策略规则匹配时得出唯一的决策结果,保障业务流程正确执行;(3)基于SDN的物联网通信设施边界保护方案。本文参考DDS Security规范要求,对基于发布订阅的物联网通信设施提出一种边界保护方案,它包括:ⅰ.发布订阅网络安全组织,按照主题划分消息交换空间,指派客户端代理服务器对用户权限进行代理,并基于代理管理入网用户身份;ⅱ.发布订阅网络用户权限管理,客户端代理服务器代表发布者或订阅者进行用户权限分配,发布者或订阅者可读写主题数据、加入网络等,基于访问控制策略进行路由计算,保障敏感数据不经过非授权区域;ⅲ.边界保护执行,基于切面控制主题数据读写,使用同态加密技术保障数据的机密性和完整性,实现路由透明操作,使用安全诊断和分析工具保障发布订阅网络程序正常运行。经过实验和测试,本文提出的结合区块链的物联网服务系统安全保障方案可有效保证物联网通信设施的安全性和可靠性,并已应用于国家重大科技基础设施——高精度地基授时系统。