趙鸻

摘要：在校園全光無線網(wǎng)應(yīng)用過程中，主要通過云中心身份認(rèn)證方式進(jìn)行安全訪問認(rèn)證，處理大量并發(fā)事務(wù)時(shí)會(huì)出現(xiàn)滯停狀態(tài)，使得訪問認(rèn)證模型的吞吐量較低。提出基于區(qū)塊鏈技術(shù)的校園全光無線網(wǎng)安全訪問認(rèn)證模型，以此為基礎(chǔ)搭建分布式可信認(rèn)證架構(gòu)，作為安全訪問認(rèn)證的基礎(chǔ)?？紤]主從鏈上節(jié)點(diǎn)的提交保證金數(shù)量和通信時(shí)間，選取部分節(jié)點(diǎn)作為代理節(jié)點(diǎn)，負(fù)責(zé)接收和處理認(rèn)證請求。在所有代理節(jié)點(diǎn)的共同作用下，評(píng)估訪問人員身份信任度。通過智能合約驗(yàn)證鏈上訪問身份信息后，發(fā)放對應(yīng)的身份憑證，完成校園全光無線網(wǎng)安全訪問認(rèn)證。

關(guān)鍵詞：區(qū)塊鏈；全光無線網(wǎng)；安全訪問；身份認(rèn)證；可信度

一、前言

新時(shí)代教育事業(yè)的高質(zhì)量發(fā)展，需要融合線上線下教育[1]。為了推動(dòng)教育數(shù)字轉(zhuǎn)型和智能升級(jí)，很多高校都開始在教育部門的支持下，應(yīng)用物聯(lián)網(wǎng)和云計(jì)算技術(shù)建設(shè)智慧校園[2]。將校園網(wǎng)絡(luò)貫穿到教育全階段，使得學(xué)生可以通過多種方式接受知識(shí)。隨著智慧校園建設(shè)場景的不斷增多，校園全光無線網(wǎng)的跨域訪問需求成倍增長，惡意訪問情況也頻繁出現(xiàn)。這種情況下，需要針對校園全光無線網(wǎng)設(shè)計(jì)安全訪問認(rèn)證模型，在滿足跨域訪問需求的同時(shí)，保證用戶隱私和數(shù)據(jù)完整，使得校園全光無線網(wǎng)得到更好的部署和應(yīng)用。

當(dāng)前對于這一問題的研究已經(jīng)取得了一定的進(jìn)展，例如有學(xué)者在現(xiàn)有支持分級(jí)訪問的認(rèn)證協(xié)議基礎(chǔ)上，基于簽密技術(shù)和多服務(wù)器認(rèn)證技術(shù)設(shè)計(jì)了一個(gè)高效的，具有分級(jí)訪問控制和隱私保護(hù)的認(rèn)證協(xié)議[3]。還有學(xué)者將數(shù)字賬戶以非同質(zhì)化代幣的形式保存在區(qū)塊鏈上，通過零知識(shí)的手段隱藏用戶賬戶的真實(shí)信息。在此基礎(chǔ)上，將單點(diǎn)登錄（SSO）中的認(rèn)證方由可信的第三方替換為區(qū)塊鏈上的智能合約，實(shí)現(xiàn)類似SSO的“一次認(rèn)證，處處登錄”機(jī)制[4]。更有一部分學(xué)者利用添加拉普拉斯生成噪聲的方式，統(tǒng)計(jì)起始數(shù)據(jù)，并轉(zhuǎn)換擾動(dòng)，達(dá)到保護(hù)隱藏信息的效果。對大數(shù)據(jù)擁有者或生產(chǎn)者貼上標(biāo)識(shí)，并對訪問大數(shù)據(jù)的對象貼上標(biāo)簽，通過正確設(shè)置大數(shù)據(jù)所有者的讀授權(quán)條件與寫授權(quán)條件，在完成數(shù)據(jù)傳輸?shù)耐瑫r(shí)使訪問權(quán)限也獲得認(rèn)證，最終實(shí)現(xiàn)安全防護(hù)[5]。

考慮到現(xiàn)有的安全訪問認(rèn)證方法存在很多局限性，將其應(yīng)用到校園全光無線網(wǎng)中無法取得較好的訪問認(rèn)證結(jié)果。對此，本研究采用區(qū)塊鏈技術(shù)搭建分布式安全認(rèn)證架構(gòu)，在該安全架構(gòu)的基礎(chǔ)上選取代理節(jié)點(diǎn)，推算訪問人員的身份信任度，最終給出無線網(wǎng)安全訪問認(rèn)證證書。

二、運(yùn)用區(qū)塊鏈技術(shù)設(shè)計(jì)校園全光無線網(wǎng)安全訪問認(rèn)證模型

（一）建立基于區(qū)塊鏈的分布式可信認(rèn)證架構(gòu)

為了更好地處理校園全光無線網(wǎng)安全訪問認(rèn)證請求，依托于區(qū)塊鏈技術(shù)，設(shè)計(jì)包括一條主鏈、多條從鏈的主從多鏈結(jié)構(gòu)[6-7]，如圖1所示。以圖1為基礎(chǔ)，針對校園全光無線網(wǎng)，設(shè)計(jì)包括設(shè)備層、從鏈網(wǎng)絡(luò)層、主鏈網(wǎng)絡(luò)層的分布式安全認(rèn)證架構(gòu)，如圖2所示。

（二）設(shè)計(jì)主從鏈節(jié)點(diǎn)選舉算法

按照圖2所示的基于區(qū)塊鏈的分布式安全訪問架構(gòu)，對校園全光無線網(wǎng)安全訪問進(jìn)行認(rèn)證時(shí)，需要從主鏈、從鏈上分別選擇部分節(jié)點(diǎn)作為代理節(jié)點(diǎn)，用來接收訪問認(rèn)證請求和處理訪問認(rèn)證請求。代理節(jié)點(diǎn)選舉過程中，先讓所有參與競爭的節(jié)點(diǎn)交保證金，避免選中惡意節(jié)點(diǎn)。確定區(qū)塊鏈上參與競選的節(jié)點(diǎn)數(shù)量后，即可通過公式（1）計(jì)算出提交的保證金總量。

公式中，表示保證金總量，表示參與競選的節(jié)點(diǎn)，表示區(qū)塊鏈上參與競選的節(jié)點(diǎn)總數(shù)量，表示單個(gè)節(jié)點(diǎn)提交的保證金數(shù)量。

根據(jù)單個(gè)節(jié)點(diǎn)提交保證金占保證金總量的比例，可以判斷主從鏈代理節(jié)點(diǎn)的重要程度，作為主從鏈代理節(jié)點(diǎn)選舉的一個(gè)關(guān)鍵依據(jù)。

公式中，表示節(jié)點(diǎn)提交保證金數(shù)量所占比例。

另一方面，選舉節(jié)點(diǎn)時(shí)需要考慮節(jié)點(diǎn)的通信狀態(tài)，當(dāng)區(qū)塊鏈上的某一個(gè)節(jié)點(diǎn)與其他節(jié)點(diǎn)之間通信時(shí)間較短，代表選舉該節(jié)點(diǎn)后，可以在同樣的時(shí)間內(nèi)處理更多校園全光無線網(wǎng)安全訪問認(rèn)證請求。實(shí)際運(yùn)算過程中，區(qū)塊鏈上選定節(jié)點(diǎn)與其他節(jié)點(diǎn)之間的通信時(shí)間總和計(jì)算公式為：

公式中，表示通信節(jié)點(diǎn)，表示區(qū)塊鏈上的通信節(jié)點(diǎn)總數(shù)量，表示兩個(gè)節(jié)點(diǎn)之間的通信時(shí)間，表示通信時(shí)間總和。針對區(qū)塊鏈上所有參與選舉的節(jié)點(diǎn)，分別計(jì)算其與其他節(jié)點(diǎn)之間的通信時(shí)間總和。

公式中，表示所有選舉節(jié)點(diǎn)與鏈上其他節(jié)點(diǎn)之間的通信時(shí)間總和。

其中，某一個(gè)參與選舉的節(jié)點(diǎn)通信時(shí)間和所占比例為：

公式中，表示節(jié)點(diǎn)的通信時(shí)間和占比。綜合考慮節(jié)點(diǎn)提交保證金數(shù)量和節(jié)點(diǎn)通信時(shí)間，從主從鏈上選舉合適的代理節(jié)點(diǎn)，具體節(jié)點(diǎn)選舉算法數(shù)學(xué)表達(dá)式為：

公式中，表示節(jié)點(diǎn)得分。根據(jù)公式（6）計(jì)算結(jié)果，按照從大到小的順序?qū)λ袇⑴c選舉的節(jié)點(diǎn)進(jìn)行排序，選擇排序靠前的節(jié)點(diǎn)作為代理節(jié)點(diǎn)。

（三）計(jì)算無線網(wǎng)訪問人員身份信任度

計(jì)算無線網(wǎng)訪問人員身份可信度時(shí)，需要由鏈上所有選舉的代理節(jié)點(diǎn)進(jìn)行投票，將目標(biāo)周期內(nèi)安全訪問人員身份信任度計(jì)算結(jié)果表示為：

公式中，表示無線網(wǎng)訪問人員，表示周期，表示安全訪問人員身份信任度，表示底數(shù)，表示非法交易影響系數(shù)，表示節(jié)點(diǎn)共識(shí)通過的交易數(shù)量，表示信任度評(píng)估結(jié)果，表示初始信任度。對于任意一個(gè)代理節(jié)點(diǎn)來說，節(jié)點(diǎn)代幣數(shù)量對信任度增長系數(shù)的影響主要表現(xiàn)為兩種狀態(tài)，如公式（8）所示。

公式中， '表示代幣閾值。按照上述計(jì)算方法確定校園全光無線網(wǎng)安全訪問人員的身份信任度，并將按照操作周期對信任度值進(jìn)行更新，將動(dòng)態(tài)計(jì)算出的信任度廣播到全網(wǎng)節(jié)點(diǎn)，以此來判斷是否同意當(dāng)前人員的訪問。

（四）實(shí)現(xiàn)校園全光無線網(wǎng)安全訪問認(rèn)證

在目標(biāo)管理服務(wù)器、身份認(rèn)證服務(wù)器和區(qū)塊鏈節(jié)點(diǎn)的共同作用下，實(shí)現(xiàn)校園全光無線網(wǎng)安全訪問認(rèn)證，具體流程如圖3所示。

從圖3可以看出，在無線網(wǎng)安全訪問認(rèn)證過程中，目標(biāo)管理服務(wù)器、身份認(rèn)證服務(wù)器和節(jié)點(diǎn)A屬于一個(gè)從鏈，而節(jié)點(diǎn)B和另外兩個(gè)目標(biāo)管理服務(wù)器、身份認(rèn)證服務(wù)器組成了另外一個(gè)從鏈。在發(fā)放身份憑證時(shí)，需要由兩個(gè)從鏈的身份認(rèn)證服務(wù)器進(jìn)行雙向認(rèn)證，并在觸發(fā)智能合約后，通過其中一個(gè)目標(biāo)管理服務(wù)器完成對訪問用戶的認(rèn)證，給出合適的身份證書。

三、實(shí)驗(yàn)

（一）智慧校園全光無線網(wǎng)架構(gòu)

在測試基于區(qū)塊鏈技術(shù)的安全訪問認(rèn)證模型的應(yīng)用效果時(shí)，以鄭州某中學(xué)作為研究對象，該校園內(nèi)存在145 個(gè)應(yīng)用場景，包括教學(xué)教室、多功能教室、辦公室、會(huì)議室等。近年來，該中學(xué)應(yīng)用了物聯(lián)網(wǎng)和云計(jì)算技術(shù)，搭建智慧校園全光無線網(wǎng)架構(gòu)，推動(dòng)學(xué)校教學(xué)質(zhì)量的提升。通過對校園全光無線網(wǎng)結(jié)構(gòu)進(jìn)行分析可知，校園內(nèi)全光網(wǎng)布線屬于二層架構(gòu)，從數(shù)據(jù)中心機(jī)房引出光纖網(wǎng)絡(luò)，將其連通到每個(gè)教室內(nèi)，形成二層全光以太網(wǎng)架構(gòu)。將光纖引入到教室內(nèi)的極簡全光魔盒內(nèi)，通過其連接到教室的各個(gè)功能區(qū)域，如教育顯示投影、教育錄播、視頻監(jiān)控、電子時(shí)鐘等。上述校園全光無線網(wǎng)布線完成后，完成了智慧教室的設(shè)計(jì)，推動(dòng)了教室信息化的發(fā)展。考慮到智慧教室內(nèi)業(yè)務(wù)較多，當(dāng)多項(xiàng)信息化教育業(yè)務(wù)同時(shí)發(fā)出時(shí)，需要按序執(zhí)行。本次搭建的校園全光無線網(wǎng)運(yùn)行時(shí)，業(yè)務(wù)優(yōu)先級(jí)映射劃分結(jié)果如表1所示。表1中設(shè)計(jì)的服務(wù)等級(jí)主要包括四類，分別是CS（選擇器）、EF（加速轉(zhuǎn)發(fā)）、AF（確保轉(zhuǎn)發(fā)）、BE（盡力而為）。在上述實(shí)驗(yàn)環(huán)境中，為了順利測試所提安全訪問認(rèn)證模型的應(yīng)用效果，先利用容器技術(shù)和開源框架搭建區(qū)塊鏈開發(fā)平臺(tái)，將其連接到校園全光無線網(wǎng)中，作為安全訪問認(rèn)證的核心。

（二）認(rèn)證結(jié)果

在實(shí)驗(yàn)環(huán)境中，讓20名用戶同時(shí)訪問校園全光無線網(wǎng)，并設(shè)置其中10名用戶不符合安全訪問認(rèn)證要求，另外10名用戶符合安全訪問認(rèn)證要求。在該狀態(tài)下，應(yīng)用所提認(rèn)證模型進(jìn)行認(rèn)證分析，最終得到圖4所示的認(rèn)證結(jié)果。根據(jù)圖4可知，20名訪問無線網(wǎng)的用戶中，編號(hào)為2、3、4、5、7、8、13、17、18、19的用戶顯示訪問認(rèn)證成功，代表這些用戶滿足校園全光無線網(wǎng)安全訪問認(rèn)證要求，接收到了訪問證書。另外幾名用戶則沒有得到訪問憑證，顯示訪問失敗。這一認(rèn)證結(jié)果與預(yù)先設(shè)置情況相符，證明了所提認(rèn)證模型的可行性。

（三）吞吐量對比分析

為了觀察所提安全訪問認(rèn)證模型的并發(fā)訪問處理性能，選用文獻(xiàn)[4 ]和文獻(xiàn)[5 ]提出的認(rèn)證模型作為對照組，分別在請求并發(fā)數(shù)為100、200、300、400、500、600、700、800、900、1000的情況下進(jìn)行安全訪問認(rèn)證，統(tǒng)計(jì)不同認(rèn)證模型的吞吐量變化，得到圖5所示的對比結(jié)果。根據(jù)圖5可知，當(dāng)安全訪問認(rèn)證請求并發(fā)為100的情況下，三種模型的吞吐量相差不大，后續(xù)隨著并發(fā)請求數(shù)量的增長，模型吞吐量逐漸處于穩(wěn)定狀態(tài)，也達(dá)到了每個(gè)模型的處理極限，不同模型的吞吐量表現(xiàn)出較大差異。其中，所提安全訪問認(rèn)證模型的吞吐量穩(wěn)定在87TPS左右，其他兩種模型的吞吐量分別穩(wěn)定在42TPS、48TPS。綜上所述，運(yùn)用區(qū)塊鏈技術(shù)進(jìn)行無線網(wǎng)安全訪問認(rèn)證后，可以承受更大的并發(fā)任務(wù)，快速處理大量的訪問請求。

四、結(jié)語

在智慧校園不斷發(fā)展的背景下，校園內(nèi)開始全面覆蓋全光無線網(wǎng)，通過物聯(lián)網(wǎng)和云計(jì)算實(shí)現(xiàn)教育信息化，但隨之而來的問題就是無線網(wǎng)訪問風(fēng)險(xiǎn)加大。對此，文中應(yīng)用區(qū)塊鏈技術(shù)，搭建一種主從鏈結(jié)構(gòu)，以此為基礎(chǔ)設(shè)計(jì)可用于校園全光無線網(wǎng)的安全訪問認(rèn)證方法。通過公共區(qū)塊鏈，為每一位訪問無線網(wǎng)的用戶提供身份認(rèn)證服務(wù)。從實(shí)驗(yàn)測試結(jié)果也可以看出，該認(rèn)證模型具有較好的安全性，并大幅提升了認(rèn)證模型的交易吞吐量，使得無線網(wǎng)安全訪問認(rèn)證并發(fā)任務(wù)可以得到迅速處理。

參考文獻(xiàn)

[1]趙宗渠，郭小杰，殷明輝，等.物聯(lián)網(wǎng)環(huán)境下基于身份匿簽密的認(rèn)證方法研究[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2023，35（02）：343-351.

[2]張淑娥，田成偉，李保罡.基于區(qū)塊鏈技術(shù)的身份認(rèn)證研究綜述[J].計(jì)算機(jī)科學(xué)，2023，50（05）：329-347.

[3]王捷，李晶，羅影.面向移動(dòng)云服務(wù)的分級(jí)訪問控制的認(rèn)證協(xié)議[J].應(yīng)用科學(xué)學(xué)報(bào)，2022，40（06）：1006-1018.

[4]黃金榮，劉百祥，張亮，等.基于智能合約和非同質(zhì)化代幣的去中心化匿名身份認(rèn)證模型[J].計(jì)算機(jī)工程，2023，49（04）：14-22.

[5]劉東，任海玲.基于差分隱私的大數(shù)據(jù)安全訪問權(quán)限認(rèn)證仿真[J].計(jì)算機(jī)仿真，2021，38（08）：421-424+486.

[6]黃敏敏，袁凌云，潘雪，等.邊緣計(jì)算與區(qū)塊多鏈下的安全可信認(rèn)證模型[J].計(jì)算機(jī)科學(xué)與探索，2023，17（03）：733-747.

[7]于光華，夏魁良，辛明遠(yuǎn)，等.基于云平臺(tái)物聯(lián)網(wǎng)的多因子遠(yuǎn)程身份認(rèn)證方法[J].計(jì)算機(jī)應(yīng)用與軟件，2022，39（11）：310-316+343.

作者單位：北京衛(wèi)生職業(yè)學(xué)院

■ 責(zé)任編輯：周航