梅穎

(中國傳媒大學(xué)計(jì)算機(jī)學(xué)院，北京 100024)

基于區(qū)塊鏈的物聯(lián)網(wǎng)訪問控制簡化模型構(gòu)建

梅穎

(中國傳媒大學(xué)計(jì)算機(jī)學(xué)院，北京 100024)

物聯(lián)網(wǎng)由大多數(shù)資源受限的設(shè)備組成，具有分散化的拓?fù)浣Y(jié)構(gòu)，傳統(tǒng)的集中式訪問控制模型在物聯(lián)網(wǎng)中面臨巨大的挑戰(zhàn)。新興的區(qū)塊鏈技術(shù)具有和物聯(lián)網(wǎng)相似的分散化拓?fù)浣Y(jié)構(gòu)，具有去信任中心、防篡改等特性。結(jié)合區(qū)塊鏈技術(shù)的優(yōu)勢提出了一個(gè)簡化的訪問控制模型，在所提出的模型中，訪問策略發(fā)布在公共可見的區(qū)塊鏈上，使得任何用戶在任何時(shí)間都知道當(dāng)前誰對(duì)資源具有何種訪問權(quán)限。還可以通過區(qū)塊鏈交易實(shí)現(xiàn)對(duì)訪問權(quán)限管理。該模型具有匿名性、抗DDOS攻擊和防止欺詐性拒絕訪問等安全特性。

物聯(lián)網(wǎng)；訪問控制；區(qū)塊鏈；安全性

1 引言

在不久的將來，物聯(lián)網(wǎng)有望滲透到現(xiàn)實(shí)世界的各個(gè)方面，包括家庭和城市空間。然而，在當(dāng)前的集中式模型中，訪問控制在物聯(lián)網(wǎng)中面臨巨大挑戰(zhàn)。物聯(lián)網(wǎng)設(shè)備需通過服務(wù)器進(jìn)行識(shí)別、認(rèn)證和連接，即使有的設(shè)備之間只有幾英尺的距離，也必須通過服務(wù)器進(jìn)行連接。訪問控制機(jī)制用于管理物聯(lián)網(wǎng)中資源，實(shí)現(xiàn)對(duì)資源的可控使用，主體對(duì)資源的使用權(quán)限通過訪問控制策略來表示，當(dāng)主體請(qǐng)求訪問某個(gè)資源時(shí)，會(huì)根據(jù)當(dāng)時(shí)的訪問環(huán)境和訪問控制策略進(jìn)行

評(píng)估，以判斷其是否具有對(duì)該資源的訪問權(quán)限。

在集中式物聯(lián)網(wǎng)模型中，有許多傳統(tǒng)的訪問控制模型被引入。例如基于角色的訪問控制(RBAC)模型[1]，在該模型中，根據(jù)從物理對(duì)象的環(huán)境中收集的特征和信息將權(quán)限分配給角色，但是其在能力受限設(shè)備中的可行性尚未得到證實(shí)。基于能力的訪問控制模型(CapBAC)[2]，它可以在資源受限的設(shè)備上直接實(shí)現(xiàn)，該模型屬于完全分布式的安全方法，但是其控制粒度是粗粒度的，而且不是用戶驅(qū)動(dòng)的。Seitz等提出了另一個(gè)通用的物聯(lián)網(wǎng)授權(quán)框架[3]，它支持對(duì)具有低功耗和內(nèi)存資源的任何對(duì)象進(jìn)行細(xì)粒度和靈活的訪問控制，但它引入了可信第三方作為處理訪問控制邏輯的授權(quán)引擎。

這些典型的安全和訪問控制標(biāo)準(zhǔn)是建立在引入集中式可信實(shí)體的信任概念的基礎(chǔ)上的，為每個(gè)訪問請(qǐng)求包含一個(gè)中心實(shí)體顯然損害了端到端的安全屬性。另外，具有大量設(shè)備的物聯(lián)網(wǎng)的動(dòng)態(tài)性質(zhì)會(huì)使中心實(shí)體的信任管理復(fù)雜化，從而影響可擴(kuò)展性。

針對(duì)上述訪問控制模型在物聯(lián)網(wǎng)應(yīng)用中存在的問題，我們認(rèn)為分布式物聯(lián)網(wǎng)的概念是一種有希望的方法，隨著設(shè)備自身計(jì)算能力的增加，有更多機(jī)會(huì)給設(shè)備自身帶來智能，特別是安全和訪問控制邏輯方面。實(shí)際上，利用這種邊緣智能原理，用戶能對(duì)他們生產(chǎn)的數(shù)據(jù)的粒度具有更細(xì)的控制。但是，作為這種方法的副作用，最終用戶不應(yīng)該是使用安全機(jī)制的專家[4]。一個(gè)簡單的錯(cuò)誤或錯(cuò)誤配置可能會(huì)導(dǎo)致他們隱私的巨大破壞。主要是在分散化的方式下的訪問控制必須足夠用于普通人。因此，我們認(rèn)為物聯(lián)網(wǎng)需要一種適合其分布式性質(zhì)的新的訪問控制框架，用戶可以控制自己的隱私，而不是由中央管理機(jī)構(gòu)控制。

近年來，隨著比特幣的出現(xiàn)和發(fā)展，支撐比特幣的區(qū)塊鏈技術(shù)也得到了廣泛應(yīng)用。區(qū)塊鏈技術(shù)是第一個(gè)在沒有任何信任中介的干預(yù)下，在存在有惡意節(jié)點(diǎn)的分布式匿名參與者中成功達(dá)成共識(shí)的技術(shù)。由于它和物聯(lián)網(wǎng)有著相似的拓?fù)浣Y(jié)構(gòu)，區(qū)塊鏈技術(shù)最近常被用于物聯(lián)網(wǎng)以提供安全和隱私保護(hù)。本文將利用區(qū)塊鏈技術(shù)構(gòu)建一個(gè)新的分布式物聯(lián)網(wǎng)訪問控制簡化模型，以克服集中式訪問控制模型存在的問題。

2 區(qū)塊鏈技術(shù)

2.1 區(qū)塊鏈工作原理

區(qū)塊鏈?zhǔn)且粋€(gè)分布式的數(shù)據(jù)結(jié)構(gòu)，它可以在網(wǎng)絡(luò)成員間復(fù)制和共享。它是比特幣底層支撐技術(shù)，有效地解決了雙花問題[5]。我們可以把區(qū)塊鏈想象成一個(gè)日志，記錄被成批地存放在帶時(shí)間標(biāo)記的數(shù)據(jù)塊中，每一個(gè)數(shù)據(jù)塊使用它的密碼哈希進(jìn)行標(biāo)識(shí)，每個(gè)數(shù)據(jù)塊引用其前面產(chǎn)生的數(shù)據(jù)塊的哈希值，這樣就創(chuàng)建了一個(gè)數(shù)據(jù)塊的鏈條，我們稱之為區(qū)塊鏈(圖1)。區(qū)塊鏈中每個(gè)數(shù)據(jù)塊都包含一列交易和一個(gè)前一區(qū)塊的哈希值(有個(gè)例外，區(qū)塊鏈的第一個(gè)區(qū)塊中不包含這個(gè)哈希值，我們稱之為創(chuàng)世塊)。網(wǎng)絡(luò)中的任何節(jié)點(diǎn)都可以訪問這個(gè)有序的、向后鏈接的數(shù)據(jù)塊列表，讀取網(wǎng)絡(luò)交易數(shù)據(jù)并計(jì)算出網(wǎng)絡(luò)中所有交易的狀態(tài)[6]。

圖1 區(qū)塊鏈數(shù)據(jù)結(jié)構(gòu)

在區(qū)塊鏈網(wǎng)絡(luò)中，所有節(jié)點(diǎn)形成了一個(gè)點(diǎn)對(duì)點(diǎn)通信網(wǎng)絡(luò)，通過復(fù)制每個(gè)節(jié)點(diǎn)在同一個(gè)區(qū)塊鏈上進(jìn)行操作。其工作過程如下：

(1)用戶通過一對(duì)公鑰/私鑰對(duì)和區(qū)塊鏈進(jìn)行交互[7]，公鑰作為他們的網(wǎng)絡(luò)地址，每產(chǎn)生一筆交易，就會(huì)用其私鑰對(duì)交易進(jìn)行簽名，并向它的下一跳節(jié)點(diǎn)進(jìn)行廣播。采用公鑰密碼可以給網(wǎng)絡(luò)帶來認(rèn)證、完整性、不可抵賴性等特性。

(2)鄰居節(jié)點(diǎn)收到交易消息后首先驗(yàn)證消息的有效性，如果有效就會(huì)繼續(xù)向其下一跳節(jié)點(diǎn)轉(zhuǎn)發(fā)，如果無效則直接丟棄。最終，這些有效的交易將會(huì)傳播到整個(gè)網(wǎng)絡(luò)。

(3)在一定的時(shí)間間隔內(nèi)交易會(huì)被網(wǎng)絡(luò)收集和驗(yàn)證，并排序打包成一個(gè)帶有時(shí)間標(biāo)記的候選塊，這個(gè)過程稱之為挖礦。根據(jù)網(wǎng)絡(luò)采用的共識(shí)機(jī)制，獲勝礦工節(jié)點(diǎn)會(huì)將其候選塊廣播到網(wǎng)絡(luò)。

(4)網(wǎng)絡(luò)節(jié)點(diǎn)驗(yàn)證礦工提交的候選塊，看塊中是否包含有效的交易以及是否通過哈希引用到其鏈中早先產(chǎn)生的塊，如果驗(yàn)證通過則將該塊加入到其區(qū)塊鏈中，否則丟棄之。這標(biāo)志著這輪循環(huán)結(jié)束。

以上是一個(gè)不斷重復(fù)的過程，每一個(gè)規(guī)

定的時(shí)間間隔都會(huì)重復(fù)一次。當(dāng)網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都遵從上述步驟，則他們所操作的共享的區(qū)塊鏈就會(huì)成為一個(gè)已驗(yàn)證的具有時(shí)間標(biāo)記的網(wǎng)絡(luò)活動(dòng)記錄[8]。

2.2 分布式共識(shí)機(jī)制

網(wǎng)絡(luò)節(jié)點(diǎn)需要就新挖出的區(qū)塊里所包含交易的正確性以及他們的順序達(dá)成一致，否則節(jié)點(diǎn)的區(qū)塊鏈副本可能不一致，最終導(dǎo)致區(qū)塊鏈出現(xiàn)分叉。從而無法保證全網(wǎng)絡(luò)的節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)交易維持一個(gè)權(quán)威的唯一的時(shí)序表。為了解決這個(gè)問題，就需要一個(gè)分布式的共識(shí)機(jī)制。

在理想的場景下，所有的驗(yàn)證節(jié)點(diǎn)就下一個(gè)區(qū)塊中所包含交易的順序進(jìn)行投票，投票將遵從大多數(shù)的決定。然而在一個(gè)任何人都可以加入的開放的網(wǎng)絡(luò)環(huán)境下，這將是一個(gè)災(zāi)難，因?yàn)闃O容易遭受女巫攻擊[9]：一個(gè)單個(gè)的實(shí)體可以以多個(gè)身份加入網(wǎng)絡(luò)，從而獲得多個(gè)投票權(quán)，導(dǎo)致少數(shù)的實(shí)體可能獲得網(wǎng)絡(luò)控制權(quán)。

比特幣通過挖礦計(jì)算的昂貴代價(jià)來解決這個(gè)問題，單個(gè)的實(shí)體偽裝成多個(gè)身份無法使其獲得更多的投票權(quán)，因?yàn)槊總€(gè)單個(gè)實(shí)體的計(jì)算資源都是有限的。而且每個(gè)節(jié)點(diǎn)都有其自己的候選塊，如果它能找到一個(gè)正確的隨機(jī)數(shù)(nonce)，將它置于候選區(qū)塊的頭部就可以使得該頭部的SHA-256哈希值是以約定數(shù)量的0開頭[10]，任何節(jié)點(diǎn)都可以參與解決這個(gè)難題的競賽，生成所謂的工作量證明(proof-of-work，POW)，第一個(gè)解決難題的節(jié)點(diǎn)就可以向網(wǎng)絡(luò)提交候選塊。因?yàn)椴捎玫氖菃蜗蛎艽a哈希函數(shù)，網(wǎng)絡(luò)節(jié)點(diǎn)都能夠很容易地驗(yàn)證給出的答案是否滿足要求，如果答案正確就將該區(qū)塊加入其區(qū)塊鏈中。

當(dāng)兩個(gè)節(jié)點(diǎn)幾乎同時(shí)挖出候選塊并傳播到網(wǎng)絡(luò)中，網(wǎng)絡(luò)就會(huì)出現(xiàn)分叉。但是這種分叉通?？梢栽谙乱粔K中自動(dòng)地解決，因?yàn)楣ぷ髁孔C明機(jī)制要求節(jié)點(diǎn)應(yīng)該采用最長的分叉，而且兩個(gè)競爭的分叉同時(shí)又生成下一塊是不可能的，無論哪個(gè)分叉最先變長都將會(huì)被網(wǎng)絡(luò)節(jié)點(diǎn)作為正確的分叉而采用。這樣又使得網(wǎng)絡(luò)達(dá)成正確事件順序的共識(shí)。

3 基于區(qū)塊鏈的物聯(lián)網(wǎng)訪問控制模型

區(qū)塊鏈技術(shù)需要計(jì)算和帶寬要求高、網(wǎng)絡(luò)延時(shí)大，這些都不適合于物聯(lián)網(wǎng)設(shè)備，導(dǎo)致了區(qū)塊鏈技術(shù)無法在物聯(lián)網(wǎng)中直接被使用。但是區(qū)塊鏈以下一些特性非常適合解決物聯(lián)網(wǎng)的安全問題：(1)去中心化：沒有中心控制，而是通過所有參與節(jié)點(diǎn)共同保證可擴(kuò)展性和健壯性，消除了多對(duì)一的通信流，因而減少了延時(shí)并消除了單點(diǎn)失敗。(2)匿名性：區(qū)塊鏈內(nèi)在的匿名性非常適合于大多數(shù)的物聯(lián)網(wǎng)用例，實(shí)現(xiàn)對(duì)用戶身份的保密。(3)安全性：區(qū)塊鏈能在不可信節(jié)點(diǎn)之間實(shí)現(xiàn)了一個(gè)安全網(wǎng)絡(luò)，這非常適合于由大量的、異質(zhì)的設(shè)備構(gòu)成的物聯(lián)網(wǎng)環(huán)境。在我們提出的方案中，將充分利用區(qū)塊鏈的最重要的安全優(yōu)勢，基于[4]中提出方法進(jìn)行了簡化，構(gòu)建一個(gè)輕量級(jí)的訪問控制簡化模型。

3.1 體系結(jié)構(gòu)

在我們的方案中，利用區(qū)塊鏈技術(shù)將表示主體對(duì)資源的訪問權(quán)限的策略存儲(chǔ)在區(qū)塊鏈上，并通過區(qū)塊鏈交易對(duì)這些策略進(jìn)行管理。訪問權(quán)限由資源所有者通過策略創(chuàng)建交易定義并發(fā)布在區(qū)塊鏈上，因此，任何用戶可以在任何時(shí)間檢查誰當(dāng)前持有對(duì)某個(gè)資源執(zhí)行何種操作的權(quán)限。方案中主要活動(dòng)者包括：資源所有者(用RO表示，一個(gè)資源所有者可以管理多個(gè)設(shè)備)、訪問主體(用RS表示，可以是用戶，也可以是設(shè)備)。資源所有者對(duì)他的所有資源(用R表示)的訪問進(jìn)行控制，負(fù)責(zé)創(chuàng)建、更新、撤銷他們的訪問權(quán)限。主體對(duì)資源執(zhí)行相關(guān)操作的權(quán)限由各自的訪問策略表示。

訪問控制策略存儲(chǔ)在區(qū)塊鏈上，利用區(qū)塊鏈的腳本來保存訪問控制策略并控制其執(zhí)行。所有設(shè)備和設(shè)備所有者(具有更強(qiáng)的計(jì)算能力和存儲(chǔ)的設(shè)備)相連接，由設(shè)備所有者為其注冊(cè)并對(duì)其進(jìn)行訪問控制。所有的設(shè)備所有者通過P2P網(wǎng)絡(luò)連接在一起，通過共識(shí)機(jī)制共同維護(hù)網(wǎng)絡(luò)的安全和穩(wěn)定。物聯(lián)網(wǎng)基于區(qū)塊鏈的訪問控制體系結(jié)構(gòu)見圖2。

圖2 基于區(qū)塊鏈的訪問控制模型體系結(jié)構(gòu)

3.2 主要工作流程

在物聯(lián)網(wǎng)基于區(qū)塊鏈的訪問控制模型中，每個(gè)新加入的設(shè)備必須通過其所有者注冊(cè)，公開發(fā)布到區(qū)塊鏈上。當(dāng)一個(gè)主體在區(qū)塊鏈上找到想要訪問的資源即可向其所有者發(fā)送訪問請(qǐng)求，資源所有者檢查請(qǐng)求者的訪問要求創(chuàng)建訪問策略并發(fā)布到區(qū)塊鏈上。此時(shí)，請(qǐng)求者才具有了相應(yīng)的訪問權(quán)限，請(qǐng)求者可以通過自己的私鑰獲取訪問通行證，即可攜帶訪問通行證向資源所有者發(fā)起訪問請(qǐng)求。資源所有者驗(yàn)證通行證并與預(yù)定義的策略進(jìn)行評(píng)估，然后決定請(qǐng)求是否被接受或拒絕。具體流程如圖3所示：

圖3 主要工作流程

該模型主要包括如下四個(gè)主要流程：(1)新資源注冊(cè)；(2)策略創(chuàng)建；(3)請(qǐng)求訪問；(4)策略更新。下面我們將分別從這四個(gè)方面進(jìn)行描述。

(1)新資源注冊(cè)

當(dāng)一個(gè)新的設(shè)備(用A表示)加入到網(wǎng)絡(luò)，其首先要和其所有者連接(見圖3過程1)，設(shè)備所有者為其生成一密鑰對(duì)(skA，pkA)，公鑰pkA作為其在區(qū)塊鏈上的地址，并對(duì)設(shè)備的一些參數(shù)進(jìn)行描述，并用其私鑰ROsk進(jìn)行簽名，創(chuàng)建一個(gè)注冊(cè)交易。當(dāng)注冊(cè)交易創(chuàng)建完成后，就被廣播到區(qū)塊鏈網(wǎng)絡(luò)中。交易被礦工節(jié)點(diǎn)驗(yàn)證后被加入到區(qū)塊鏈中(見圖3過程2)，對(duì)所有用戶公開可見，用戶可以在區(qū)塊鏈上查找到相關(guān)的設(shè)備。

(2)策略創(chuàng)建

當(dāng)一個(gè)主體B要訪問某個(gè)受保護(hù)資源A時(shí)，首先得獲得相應(yīng)的訪問權(quán)限。它將通過其所有者(見圖3過程3)將目標(biāo)資源地址和相應(yīng)的操作發(fā)送給資源A的所有者(見圖3過程4)，后者將為其創(chuàng)建相應(yīng)的訪問策略(用Policy表示)，并將定義的訪問策略以鎖定腳本的形式封裝在交易的輸出中，輸出地址為請(qǐng)求主體的公鑰，生成策略創(chuàng)建交易并廣播到網(wǎng)絡(luò)中。網(wǎng)絡(luò)驗(yàn)證節(jié)點(diǎn)驗(yàn)證有效后將其加入到區(qū)塊鏈中(見圖3過程5)，從而完成對(duì)主體訪問的授權(quán)。策略創(chuàng)建過程如下：

a)資源所有者A根據(jù)訪問主體要訪問的資源對(duì)象和請(qǐng)求執(zhí)行的操作，創(chuàng)建訪問控制策略Policy，訪問策略可用標(biāo)準(zhǔn)的標(biāo)記語言XACML(eXtensibleAccessControlMarkupLanguage)表示；

b)資源所有者A將創(chuàng)建的策略Policy用腳本語言封裝到腳本中，用請(qǐng)求者公鑰鎖定；

c)資源所有者A為該訪問生成一個(gè)隨機(jī)挑戰(zhàn)nonce，并將他和訪問主體的公鑰一起用資源的公鑰加密，并用訪問主體的公鑰加密后寫入到交易的腳本中，作為資源訪問的通行證；

d)資源所有者A生成一個(gè)策略創(chuàng)建交易，并廣播到網(wǎng)絡(luò)中。

(3)請(qǐng)求訪問

當(dāng)主體B請(qǐng)求某個(gè)資源A已授權(quán)的服務(wù)時(shí)，他首先查找區(qū)塊鏈?zhǔn)欠翊嬖谠撌跈?quán)交易(見圖3過程6，7))，如果存在則創(chuàng)建一個(gè)請(qǐng)求訪問交易，交易的輸入為在策略創(chuàng)建交易中創(chuàng)建的未消費(fèi)輸出UTXO，并廣播到網(wǎng)絡(luò)中，經(jīng)驗(yàn)證有效后加入到區(qū)塊鏈中。請(qǐng)求交易生成過程中，請(qǐng)求主體B會(huì)通過區(qū)塊鏈錢包從交易輸入中解密出資源A的所有者在創(chuàng)建訪問策略時(shí)生成的訪問通行證(用資源公鑰加密的nonce和訪問主體公鑰)；

獲取訪問通行證以后，訪問主體B可以直接攜帶訪問通行證訪問資源A的所有者，資源A的所以者對(duì)訪問通行證和訪問權(quán)限進(jìn)行審查，如果審查過程通過則放行，否則拒絕(見圖3過程8)。權(quán)限審查具體過程如下：

a)用該資源的私鑰對(duì)訪問通行證進(jìn)行解密，得到nonce和訪問主體的公鑰，驗(yàn)證nonce的正確性及其簽名；

b)驗(yàn)證通過后，資源所有者根據(jù)訪問主體的公鑰提取出相應(yīng)的授權(quán)策略，根據(jù)策略對(duì)訪問主體的操作要求和資源當(dāng)前的環(huán)境進(jìn)行評(píng)估；

c)如果所有的條件都通過了評(píng)估則放行，否則拒絕。

(4)策略更新

資源所有者任何時(shí)候都可以撤銷或者更新授予某個(gè)請(qǐng)求者的權(quán)限，他只需要簡單地發(fā)布一個(gè)策略創(chuàng)建交易，在交易中鎖定腳本中寫入一個(gè)新的權(quán)限集合，當(dāng)權(quán)限集合為空時(shí)，表示撤銷其所有權(quán)限。因?yàn)榻灰自趨^(qū)塊鏈中是以時(shí)間順序記錄的，所以該撤銷交易可以覆蓋所有前面針對(duì)該主體和資源的授權(quán)交易。

4 安全性分析

我們提出的模型通過利用區(qū)塊鏈技術(shù)的去信任中心、分布式、不可篡改等特性，能有效地解決傳統(tǒng)集中式模型中存在的安全問題。主要具有如下安全特性：

(1)匿名性

該模型中，所有資源的訪問權(quán)限都由資源所有這自主管控，資源和訪問主體都可以根據(jù)需要生成公私鑰對(duì)，在區(qū)塊鏈上他們以公鑰作為地址進(jìn)行通信，資源的實(shí)際地址都以加密的方式存儲(chǔ)在區(qū)塊鏈的輸出腳本中，只有具有對(duì)應(yīng)私鑰的主體才可以解密出來。因而，該模型具有一定的匿名性，能在一定程度上保護(hù)用戶的隱私。

(2)抵抗DDOS攻擊

在該模型中，不存在單一的訪問控制節(jié)點(diǎn)，權(quán)限管理分散在各個(gè)資源所有者的節(jié)點(diǎn)上，所以不存在單點(diǎn)失敗故障，DDOS攻擊失去了單一的攻擊對(duì)象。訪問控制策略保存在區(qū)塊鏈中，區(qū)塊鏈的分布式賬本可以在所有節(jié)點(diǎn)上復(fù)制保存，由區(qū)塊鏈的共識(shí)機(jī)制維護(hù)一個(gè)統(tǒng)一的賬本，任何人想要篡改賬本中的交易至少需要全網(wǎng)51%的算力，但這幾乎是不可能完成的任務(wù)，所以攻擊者無法通過篡改賬本來挫敗系統(tǒng)。

(3)抗欺詐式拒絕服務(wù)

所有主體對(duì)某個(gè)資源的相應(yīng)操作權(quán)限，都記錄在區(qū)塊鏈上，對(duì)所有的主體是公開可見的。如果某個(gè)資源的所有者惡意地拒絕了某個(gè)滿足條件的訪問請(qǐng)求，是可以被公共審計(jì)到的，會(huì)受到相應(yīng)懲罰。而且，通過區(qū)塊鏈智能合約功能的應(yīng)用可以實(shí)現(xiàn)訪問請(qǐng)求的自我強(qiáng)制性執(zhí)行。

結(jié)束語

本文利用區(qū)塊鏈技術(shù)構(gòu)建了一個(gè)物聯(lián)網(wǎng)訪問控制簡化模型，定義了設(shè)備注冊(cè)、創(chuàng)建策略、請(qǐng)求訪問和策略更新四個(gè)主要過程。該模型中，所有的訪問策略都存儲(chǔ)在區(qū)塊鏈上，對(duì)所有訪問主體公開可見。且區(qū)塊鏈的不可篡改的特性保證了所有訪問策略的強(qiáng)制執(zhí)行，不存在欺詐性拒絕訪問。資源的訪問權(quán)限都由資源所有者自主控制，最大限度地保護(hù)了用戶的隱私。區(qū)塊鏈的分布式特性保證了訪問控制模型不存在單點(diǎn)失敗的風(fēng)險(xiǎn)。

目前，該模型是一個(gè)簡化的模型，能實(shí)現(xiàn)物聯(lián)網(wǎng)的基本訪問控制要求，將來還可以研究如何結(jié)合智能合約實(shí)現(xiàn)訪問控制策略的自我強(qiáng)制執(zhí)行。同時(shí)，該模型要進(jìn)入實(shí)踐的應(yīng)用，計(jì)算效率和通信時(shí)延也是急需要解決的問題。

[1]Zhang G，Tian J. An extended role based access control model for the Internet of Things[C].Information Networking and Automation(ICINA)，2010 International Conference on IEEE，2010，1：V1-319-V1-323.

[2]Hernández-Ramos J L，Jara A J，Marín L，et al. DCapBAC：embedding authorization logic into smart things through ECC optimizations[J]. International Journal of Computer Mathematics，2016，93(2)：345-366.

[3]Seitz L，Selander G，Gehrmann C. Authorization framework for the internet-of-things[C].World of Wireless，Mobile and Multimedia Networks (WoWMoM)，2013 IEEE 14th International Symposium and Workshops on IEEE，2013：1-6.

[4]Ouaddah A，Elkalam A A，Ouahman A A. Towards a novel privacy-preserving access control model based on blockchain technology in IoT[M].Europe and MENA Cooperation Advances in Information and Communication Technologies. Springer International Publishing，2017：523-533.

[5]Karame G O，Androulaki E，Capkun S. Double-spending fast payments in bitcoin[C].Proceedings of the 2012 ACM conference on Computer and communications security, ACM，2012：906-917.

[6]Antonopoulos A M. Mastering Bitcoin：unlocking digital cryptocurrencies[M]. O’Reilly Media，Inc.，2014.

[7]Christidis K，Devetsikiotis M. Blockchains and Smart Contracts for the Internet of Things[J]. IEEE Access，2016，4：2292-2303.

[8]Greenspan G. Ending the bitcoin vs blockchain debate[EB/OL]. MultiChain blog URL：http：//www. multichain. com/blog/2015/07/bitcoin-vs-blockchain-debate，2015.

[9]Douceur J R. The sybil attack [C].International Workshop on Peer-to-Peer Systems. Springer Berlin Heidelberg，2002：251-260.

[10]Roe M. Performance of block ciphers and hash functions—one year later[C].International Workshop on Fast Software Encryption, Springer Berlin Heidelberg，1994：359-362.

(責(zé)任編輯：龍學(xué)鋒)

SimplificationModelConstructionofInternetAccessControlBasedonBlockChain

MEI Ying

(School of computer，Communication University of China，Beijing100024，China)

The Internet of Things is composed of most resource constrained devices，with decentralized topologies. Traditional centralized access control models face enormous challenges in the Internet of Things. Emerging blockchain technology has decentralized topology similar to that of Internet of Things，with features such as trustless center，tamper proof and so on. We propose a simplified access control model based on the advantages of blockchain technology. In our proposed model，the access policy is published in the common visible blockchain，so that any user knows at any time that currently who has right access to the resource. It can also manage access rights through blockchain transactions. The model has security features such as anonymity，anti-DDOS attacks and fraudulent deny.

internet of things；access control；blockchain；security

TP309.2

A

1673-4793(2017)05-0007-06

2017-10-22

國家科技支撐計(jì)劃2015BAK05B03

梅穎(1973-)，男(漢族)，湖北黃梅人，中國傳媒大學(xué)副教授，博士.E-mail：178445547@qq.com