葉海明,徐曉東

(1.中國人民解放軍95910部隊，甘肅 酒泉 735000;2. 中國人民解放軍94456部隊，山東 威海 264200)

0 引言

隨著部隊作戰(zhàn)任務(wù)需求不斷變化，作戰(zhàn)樣式及地域持續(xù)擴(kuò)展，從原有的固定訓(xùn)練靶場向山林、丘陵、沙漠等真實作戰(zhàn)環(huán)境延伸，部隊內(nèi)網(wǎng)從有線網(wǎng)絡(luò)為主轉(zhuǎn)向有線無線網(wǎng)絡(luò)混合發(fā)展；數(shù)據(jù)傳輸類型從原有的語音通話、態(tài)勢信息，逐步轉(zhuǎn)換為語音、視頻、數(shù)據(jù)多種內(nèi)容的交互共享發(fā)展；數(shù)據(jù)交互范圍從原有的小范圍通信，逐步轉(zhuǎn)換為跨區(qū)域、跨部門、跨業(yè)務(wù)領(lǐng)域的交互。作戰(zhàn)保障網(wǎng)絡(luò)終端(簡稱網(wǎng)絡(luò)終端)類型從原有的基于有線網(wǎng)絡(luò)的電腦終端，逐步轉(zhuǎn)向為電腦終端與無線手持終端的混合使用；網(wǎng)絡(luò)終端部署的要求也發(fā)生了變化，布設(shè)從原來的小范圍單建筑單體布設(shè)，向大范圍、多區(qū)域、快速布設(shè)轉(zhuǎn)變，突出特點為網(wǎng)終端設(shè)備的稀疏分散，獨立作戰(zhàn)單位的各類型網(wǎng)絡(luò)終端可能分布在十幾平方公里內(nèi)以多個節(jié)點進(jìn)行接入，各網(wǎng)絡(luò)終端之間需保持?jǐn)?shù)據(jù)交互。上述變化讓網(wǎng)絡(luò)終端管理工作的難度進(jìn)一步提升，對網(wǎng)絡(luò)終端的身份識別及安全認(rèn)證(簡稱鑒權(quán)認(rèn)證)提出了更高的要求。

傳統(tǒng)的網(wǎng)絡(luò)終端鑒權(quán)認(rèn)證方式是基于中心式的集中授權(quán)，網(wǎng)絡(luò)終端通過證書、口令、硬件信息等方式，通過網(wǎng)絡(luò)訪問授權(quán)中心獲取授權(quán)，驗證后進(jìn)行服務(wù)訪問或數(shù)據(jù)利用，但該授權(quán)認(rèn)證方式與作戰(zhàn)實際需求存在差異，在鑒權(quán)認(rèn)證的有效性和穩(wěn)定性方面存在短板。

集中鑒權(quán)認(rèn)證方式可以較好地滿足有線網(wǎng)絡(luò)、固定終端的鑒權(quán)認(rèn)證需求，但無法滿足當(dāng)前近似作戰(zhàn)環(huán)境下多種網(wǎng)絡(luò)結(jié)構(gòu)并存、多操作系統(tǒng)、多類型硬件設(shè)備、多種授權(quán)方式下手持終端和PC設(shè)備混合組網(wǎng)的終端入網(wǎng)鑒權(quán)認(rèn)證需求，尤其是基于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)業(yè)務(wù)互通的端到端的服務(wù)鑒權(quán)認(rèn)證機(jī)制還不完善，單個鑒權(quán)服務(wù)器的故障即可導(dǎo)致鑒權(quán)體系的失效。在作戰(zhàn)期間，任何可疑終端的違規(guī)接入，非法進(jìn)行數(shù)據(jù)交互、對高密級業(yè)務(wù)的越權(quán)訪問都會造成不可估量的損失。

為解決該問題，提出基于區(qū)塊鏈技術(shù)，利用其中心化、分布式存儲及信息無法篡改等特性，設(shè)計區(qū)塊體數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)網(wǎng)絡(luò)終端信息的分布式存儲，并利用AES算法對敏感數(shù)據(jù)進(jìn)行加密傳輸，實現(xiàn)網(wǎng)絡(luò)終端設(shè)備的鑒權(quán)認(rèn)證，滿足作戰(zhàn)保障對網(wǎng)絡(luò)終端設(shè)備鑒權(quán)所需的低成本、抗損毀、高兼容性要求。

1 網(wǎng)絡(luò)安全終端認(rèn)證的現(xiàn)狀及需求

1.1 作戰(zhàn)保障網(wǎng)絡(luò)結(jié)構(gòu)

隨著作戰(zhàn)保障需求的提高，要求作戰(zhàn)保障網(wǎng)絡(luò)能夠?qū)崿F(xiàn)對所屬戰(zhàn)場環(huán)境的時間、空間信息實現(xiàn)實時采集、實時監(jiān)測、作戰(zhàn)信息的實時傳輸。能夠為作戰(zhàn)單元的指揮維修提供及時、有效、可靠的數(shù)據(jù)支撐。因此，原有的范圍固定、功能單一的作戰(zhàn)信息保障模式已經(jīng)無法滿足現(xiàn)有需求，作戰(zhàn)通信網(wǎng)絡(luò)已逐步由單一的數(shù)據(jù)傳送網(wǎng)絡(luò)或話音傳送網(wǎng)絡(luò)向數(shù)據(jù)、話音、視頻和交互式多媒體等多種類型信息的綜合傳輸服務(wù)演進(jìn)，網(wǎng)絡(luò)服務(wù)逐漸向多樣化的方向發(fā)展，終端類型更加多樣、網(wǎng)絡(luò)結(jié)構(gòu)也變得更加復(fù)雜，具備分散性、異構(gòu)性、融合性的發(fā)展[1]發(fā)展趨勢，網(wǎng)絡(luò)結(jié)構(gòu)可見下圖1所示。網(wǎng)絡(luò)終端類型更加多樣，其服務(wù)內(nèi)容逐漸向多樣化的方向發(fā)展，更有效滿足通信和信息獲取的需求。主要體現(xiàn)在是在移動無線網(wǎng)絡(luò)與固定有線網(wǎng)絡(luò)的融合互通以及無線自組網(wǎng)設(shè)備的互聯(lián)互通上。作戰(zhàn)相關(guān)的信息保障任務(wù)主要是通過兩類終端完成：1)基于有線網(wǎng)絡(luò)的PC終端，用于態(tài)勢數(shù)據(jù)的存儲、計算及分析應(yīng)用；2)基于無線網(wǎng)絡(luò)的手持終端，用于現(xiàn)場的指揮調(diào)度、動態(tài)數(shù)據(jù)的采集存儲及作戰(zhàn)保障相關(guān)業(yè)務(wù)數(shù)據(jù)的訪問。

圖1 異構(gòu)網(wǎng)絡(luò)框架

1.2 網(wǎng)絡(luò)終端鑒權(quán)的需求

新的網(wǎng)絡(luò)架構(gòu)及終端類型必然對應(yīng)新的需求，網(wǎng)絡(luò)終端的權(quán)限鑒別成為影響作戰(zhàn)保障網(wǎng)絡(luò)安全的瓶頸因素，由于網(wǎng)絡(luò)規(guī)模龐大，終端設(shè)備從硬件類型到操作系統(tǒng)均有較大差異，如何能夠進(jìn)行統(tǒng)一的鑒權(quán)驗證，確保入網(wǎng)終端的安全可靠是必須要關(guān)注的問題。作戰(zhàn)保障網(wǎng)絡(luò)對網(wǎng)絡(luò)終端認(rèn)證，在保證安全性的前提下，有以下幾方面的需求：1)抗損毀效果好，穩(wěn)定性強(qiáng)，單個或多個網(wǎng)絡(luò)交換節(jié)點機(jī)鑒權(quán)認(rèn)證設(shè)備的損壞不會造成重大影響；2)兼容性好，對終端設(shè)備的硬件類型、操作系統(tǒng)、業(yè)務(wù)應(yīng)用有較好的兼容性；3)維護(hù)性強(qiáng)，運行維護(hù)成本極低，對維護(hù)人員及各種備品備件要求低，能夠?qū)崿F(xiàn)在野外等惡劣情況下的快速維修。

現(xiàn)階段主流的網(wǎng)絡(luò)終端鑒權(quán)模式還是基于同構(gòu)網(wǎng)絡(luò)的集中鑒權(quán)模式為主，實際上是基于中心式的C/S模式，實現(xiàn)方式為以下幾種：1)基于網(wǎng)絡(luò)接入設(shè)備或交換設(shè)備的硬件形式的鑒權(quán)認(rèn)證，即采用基于網(wǎng)絡(luò)硬件設(shè)備的IPSOURCEGUARD授權(quán)認(rèn)證方式；2)基于鑒權(quán)服務(wù)器的軟件或加密卡等定制軟硬件結(jié)合產(chǎn)品的授權(quán)認(rèn)證方案，即采用星型、總線型的混合拓?fù)浣Y(jié)構(gòu)，通過集中安管設(shè)備進(jìn)行接入終端的認(rèn)證授權(quán)。

集中式鑒權(quán)驗證模式針對使用相同技術(shù)體制、網(wǎng)絡(luò)架構(gòu)且終端集中部署的專網(wǎng)有成熟的解決方案及有較多的成熟產(chǎn)品，能夠滿足現(xiàn)有的民用需求。但考慮到實戰(zhàn)過程中無法保證數(shù)據(jù)鏈路的穩(wěn)定性，在實戰(zhàn)環(huán)境下部分網(wǎng)絡(luò)交換節(jié)點甚至包括核心交換節(jié)點均存在被破壞的可能性，一旦交換節(jié)點被破壞，基于集中式的網(wǎng)絡(luò)終端的鑒權(quán)驗證就無法實現(xiàn)，會允許未經(jīng)授權(quán)終端訪問敏感數(shù)據(jù)，造成失泄密問題。為解決這一問題，現(xiàn)在主要的解決措施是在集中式鑒權(quán)驗證的基礎(chǔ)上進(jìn)行分區(qū)域的多重多次鑒權(quán)，將多個在業(yè)務(wù)上較為獨立的子網(wǎng)進(jìn)行統(tǒng)一整合，在實現(xiàn)基層網(wǎng)絡(luò)層互聯(lián)互通的基礎(chǔ)上，各業(yè)務(wù)的授權(quán)認(rèn)證體系進(jìn)行整合，形成多重授權(quán)的結(jié)構(gòu)[2]。因此A區(qū)域終端訪問C區(qū)域終端的拓?fù)浣Y(jié)構(gòu)可簡化為以授權(quán)設(shè)備為核心的多個星型拓?fù)浣Y(jié)構(gòu)的連接，如終端ClientA1與ClientC1實現(xiàn)交互，必須通過Authen A、Authen B、Authen C三次授權(quán)認(rèn)證通過后方可進(jìn)行互聯(lián)互通,如圖2所示。

圖2 集中式授權(quán)拓?fù)浣Y(jié)構(gòu)圖

該模式存在的缺點：1)抗損毀能力弱，該模式較單一網(wǎng)絡(luò)授權(quán)認(rèn)證設(shè)備的集中授權(quán)模式抗損毀性確有提升，但依賴單獨授權(quán)認(rèn)證設(shè)備的問題并未得到根本解決，要求任何一個業(yè)務(wù)區(qū)域必須存在授權(quán)認(rèn)證設(shè)備，一旦該授權(quán)認(rèn)證設(shè)備被損毀，還是會導(dǎo)致該區(qū)域無法實現(xiàn)網(wǎng)絡(luò)終端鑒權(quán)；2)兼容性不理想，該方案縱向橫向兼容性均不理想，不同業(yè)務(wù)子網(wǎng)的授權(quán)驗證方式不同，有通過域安全授權(quán)認(rèn)證、有通過基于硬件的IPSOURCEGUARD授權(quán)認(rèn)證、有通過RADIUS方式授權(quán)認(rèn)證，差異較大，會出現(xiàn)授權(quán)認(rèn)證體系無法兼容導(dǎo)致情況；3)靈活性不高，授權(quán)方式固定，入網(wǎng)終端必須與授權(quán)設(shè)備聯(lián)網(wǎng)后方可實現(xiàn)授權(quán)認(rèn)證，且需要通過專用硬件實現(xiàn)，性能提升空間不大；4)成本偏高，作戰(zhàn)保障網(wǎng)絡(luò)入網(wǎng)終端分布地域面積廣、終端數(shù)量并不多，一個C類地址段可滿足網(wǎng)絡(luò)終端入網(wǎng)需求，如使用集中式鑒權(quán)模式，需配置大量的鑒權(quán)認(rèn)證設(shè)備，維護(hù)成本高昂。因此，集中式網(wǎng)絡(luò)鑒權(quán)模式很難滿足作戰(zhàn)保障網(wǎng)絡(luò)終端鑒權(quán)的需求。

2 網(wǎng)絡(luò)終端鑒權(quán)方案設(shè)計

2.1 網(wǎng)絡(luò)終端鑒權(quán)體系框架

作戰(zhàn)保障網(wǎng)絡(luò)可進(jìn)行簡化，即各個業(yè)務(wù)子網(wǎng)中各終端可以互相訪問也可通過匯聚交換機(jī)與其他業(yè)務(wù)子網(wǎng)中的終端進(jìn)行訪問，即可視為多個P2P網(wǎng)絡(luò)組成的異構(gòu)網(wǎng)絡(luò)。因此，嘗試通過使用區(qū)塊鏈技術(shù)將集中式的C/S模式的入網(wǎng)終端認(rèn)證模式，進(jìn)行簡化轉(zhuǎn)變?yōu)榛赑2P網(wǎng)絡(luò)(Peer-to-peer networking，對等網(wǎng)絡(luò))終端鑒權(quán)認(rèn)證模式[3]，不再依賴于單一的授權(quán)鑒權(quán)設(shè)備，而是實現(xiàn)每一臺入網(wǎng)終端既訪問數(shù)據(jù)也為提供入網(wǎng)終端的鑒權(quán)服務(wù)。

P2P網(wǎng)絡(luò)終端鑒權(quán)的技術(shù)特點體現(xiàn)在以下幾個方面：

1)去中心化[4]，網(wǎng)絡(luò)中的所有資源和服務(wù)分散在所有節(jié)點上，信息的傳輸和服務(wù)的實現(xiàn)都直接在節(jié)點之間進(jìn)行，無需中間環(huán)節(jié)和服務(wù)器的介入。

2)可擴(kuò)展性，在P2P網(wǎng)絡(luò)中，隨著終端的接入，不僅服務(wù)的需求增加了，系統(tǒng)整體的資源和服務(wù)能力也在同步地擴(kuò)充，始終能比較容易地滿足需要。

3)健壯性，P2P架構(gòu)天生具有耐攻擊、高容錯的優(yōu)點，由于鑒權(quán)服務(wù)是分散在各個終端設(shè)備之間進(jìn)行的，部分設(shè)備或網(wǎng)絡(luò)節(jié)點遭到破壞對其它部分的影響很小。由于對等網(wǎng)絡(luò)不需要專門的服務(wù)器來做網(wǎng)絡(luò)支持，因此組網(wǎng)成本較低，維護(hù)性高。

4)安全性[5-6]，基于密碼學(xué)技術(shù)保證，未經(jīng)授權(quán)終端即使能夠訪問到區(qū)塊鏈數(shù)據(jù)，但無法解析數(shù)據(jù)內(nèi)容，能夠確保數(shù)據(jù)的安全性。

2.2 基于區(qū)塊鏈的網(wǎng)絡(luò)終端鑒權(quán)工作機(jī)制

設(shè)計私有區(qū)塊鏈[7-8]，區(qū)塊鏈中的每個區(qū)塊包含著終端詳細(xì)信息及對應(yīng)的權(quán)限限制，同時包含著前一數(shù)據(jù)塊的哈希值，在網(wǎng)絡(luò)中任意一臺入網(wǎng)終端都能夠訪問，合法終端通過加密算法可以對區(qū)塊鏈信息進(jìn)行讀取，從讀取的信息中判斷該終端的類型及訪問行為是否合法。

該算法對在區(qū)塊鏈交易算法的基礎(chǔ)上進(jìn)行了改進(jìn)，取消了POW工作量驗證機(jī)制及transactions交易機(jī)制，不需要重復(fù)挖礦、不設(shè)置Proof驗證，避免挖礦導(dǎo)致的硬件資源大量占用的情況。具體步驟如下：

步驟1：創(chuàng)建區(qū)塊信息。合法網(wǎng)絡(luò)終端設(shè)備通過一個公私密鑰對與區(qū)塊鏈網(wǎng)絡(luò)交互，創(chuàng)建入網(wǎng)終端的區(qū)塊信息。區(qū)塊的組成內(nèi)容包括加密后的基本信息及hash頭兩部分，基本信息包括該入網(wǎng)終端的IP地址、MAC地址及訪問權(quán)限；hash頭信息，基于入網(wǎng)終端基本信息，使用sha256算法進(jìn)行封裝生成hash頭，可確保一旦區(qū)塊中的信息被篡改，hash頭信息均會改變，該區(qū)塊失效，確保在區(qū)塊鏈中記錄的信息無法被篡改。

步驟2：形成區(qū)塊鏈。通過socket/http端口向臨近的對等終端進(jìn)行組播，接收端對合法區(qū)塊進(jìn)行驗證，驗證后加入到區(qū)塊鏈中，形成區(qū)塊鏈如圖3所示。

圖3 區(qū)塊鏈組成圖

步驟3：形成共識。通過socket/http端口進(jìn)行組播，網(wǎng)絡(luò)內(nèi)的對等終端電腦如出現(xiàn)區(qū)塊認(rèn)知沖突，則通過比較最長區(qū)塊鏈獲取共識信息，并通過該鏈識別網(wǎng)內(nèi)終端電腦的授權(quán)是否合法，因此形成共識的工作分為兩步，第一步將區(qū)塊信息向?qū)＞W(wǎng)內(nèi)部所有終端以單播或廣播形式發(fā)送；第二步，網(wǎng)內(nèi)終端區(qū)塊鏈信息不一致時，通過比較最長區(qū)塊鏈獲得共識信息，并以最長區(qū)塊鏈為合法區(qū)塊鏈。

步驟4：全網(wǎng)終端授權(quán)鑒權(quán)完成。一旦有新終端入網(wǎng)則自動重復(fù)步驟1～3，實現(xiàn)新終端的鑒權(quán)認(rèn)證；

步驟5：被訪問設(shè)備監(jiān)聽訪問消息，并從區(qū)塊鏈數(shù)據(jù)記錄中獲取提交訪問需求設(shè)備的信息，確定該設(shè)備是否能進(jìn)行數(shù)據(jù)訪問，并將上述內(nèi)容添加到區(qū)塊鏈中向全網(wǎng)進(jìn)行廣播。

步驟6：網(wǎng)絡(luò)內(nèi)部任意終端設(shè)備受到廣播消息后，驗證消息是否有效，若無效則丟棄，有效則向其下一跳節(jié)點轉(zhuǎn)發(fā)。最后，將有效的交易消息傳播到整個區(qū)塊鏈網(wǎng)絡(luò)。

3 關(guān)鍵技術(shù)實現(xiàn)及效果驗證

3.1 區(qū)塊鏈實現(xiàn)

網(wǎng)絡(luò)終端鑒權(quán)的區(qū)塊鏈實際上屬于私有鏈(private block chains)，主要功能是對入網(wǎng)終端設(shè)備訪問行為進(jìn)行鑒權(quán)，如符合權(quán)限要求則允許進(jìn)行數(shù)據(jù)訪問；如出現(xiàn)越權(quán)訪問請求則禁止數(shù)據(jù)交互行為并將該終端設(shè)備標(biāo)記為非法終端，同時將非法終端數(shù)據(jù)添加到區(qū)塊鏈里，禁止所有合法終端與該終端進(jìn)行數(shù)據(jù)交互。

3.1.1 區(qū)塊鏈設(shè)計

針對網(wǎng)絡(luò)終端鑒權(quán)的要求，對區(qū)塊的區(qū)塊頭及區(qū)塊體進(jìn)行設(shè)計，詳情如表1所示，區(qū)塊頭由本區(qū)塊的hash碼、前一區(qū)塊的hash碼及本區(qū)塊產(chǎn)生的時間戳信息組成；區(qū)塊體由入網(wǎng)終端注冊的IP地址、MAC地址、訪問權(quán)限及該設(shè)備的行為屬性信息。最終，由上述區(qū)塊組成一個完整的區(qū)塊鏈。

區(qū)塊體的代碼實現(xiàn)如下：

def __init__(self):

self.chain=[]

self.hash = None

表1 區(qū)塊鏈數(shù)據(jù)結(jié)構(gòu)

self.previous_hash = None

self.timestamp = time.time()

如果還有其他的數(shù)據(jù)內(nèi)容添加進(jìn)來，則選取它的hash值作為本數(shù)據(jù)塊的previous_hash，組建區(qū)塊頭

def link(self, block):

self.previous_hash = block['hash']

def create_block(self,data):

JsonData={

'timestamp':time.time(),

'data':data

}

生成區(qū)塊鏈的哈希碼

JsonData_serialized = json.dumps(JsonData, sort_keys=True).encode('utf-8')

JsonData_hash = hashlib.sha256(JsonData_serialized).hexdigest()

if len(self.chain)>0:

self.link(self.chain[-1])

構(gòu)建區(qū)塊信息

block={

'timestamp':time.time(),

'hash':JsonData_hash,

'pre_hash':self.previous_hash,

'data':data

}

self.chain.append(block)

return block

3.1.2 共識算法實現(xiàn)

通過socket/http端口進(jìn)行組播，通過比較最長區(qū)塊鏈獲取共識信息，并通過該鏈識別網(wǎng)內(nèi)終端的授權(quán)級別及訪問行為是否合法。形成共識的工作分為兩步：

步驟1：將區(qū)塊信息向?qū)＞W(wǎng)內(nèi)部所有終端以單播或廣播形式發(fā)送，區(qū)塊信息網(wǎng)內(nèi)廣播。

def sendToNode(self,ip,block):

將區(qū)塊信息向?qū)＞W(wǎng)內(nèi)部所有終端進(jìn)行發(fā)送

sendSocket = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)

sendSocket.sendto(msg, (ip,NETWORK_PORT))

def broadcastSync(self):

self.broadcastPacket(packet_sync_request)

以廣播形式將區(qū)塊信息向網(wǎng)內(nèi)進(jìn)行發(fā)送

def broadcastPacket(self,packet):

broadcastSocket = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)

broadcastSocket.setsockopt(socket.SOL_SOCKET,socket.SO_BROADCAST,1)

broadcastSocket.sendto(packet, ("255.255.255.255",NETWORK_PORT))

步驟2：網(wǎng)內(nèi)終端區(qū)塊鏈信息不一致時，通過比較最長區(qū)塊鏈獲得共識信息，并以最長區(qū)塊鏈為合法區(qū)塊鏈。

獲得專網(wǎng)內(nèi)部所有終端的IP地址信息，用于進(jìn)行區(qū)塊鏈共識比較

def register_nodes(self):

values = request.get_json()

nodes = values.get('nodes')

if nodes is None:

return "Error: 節(jié)點序列", 400

for node in nodes:

blockchain.register_node(node)

response = {"message": "新的節(jié)點已經(jīng)被添","total_nodes":list(blockchain.nodes)}

return jsonify(response), 201

進(jìn)行共識比較

def resolve_conflicts(self):

neighbours = self.nodes

new_chain = None

max_length = len(self.chain)

使用http端口從網(wǎng)內(nèi)終端獲取區(qū)塊鏈，選最長的區(qū)塊鏈為合法的共識鏈

for node in neighbours:

print('http://' + node + '/chain')

response = requests.get('http://' + node + '/chain')

if response.status_code == 200:

length = response.json()['length']

chain = response.json()['chain']

找到最長的區(qū)塊鏈，進(jìn)行替換

if length > max_length and self.valid_chain(chain):

max_length = length

new_chain = chain

if new_chain:

self.chain = new_chain

return True

圖4 區(qū)塊鏈數(shù)據(jù)內(nèi)容

3.1.3 區(qū)塊體數(shù)據(jù)加密實現(xiàn)

使用批量加密算法AES加密區(qū)塊鏈信息，主要是對區(qū)塊體中的IP、MAC、level、ActionAttribute等信息進(jìn)行加密，確保只有合法用戶才能訪問區(qū)塊鏈中的信息。

{

timestamp:1581080747.2656

this_hash:c1cefc158fc196005836bba24554b3c7a87dc3ea35a7c7

83a12e587d51cfe432

previous_hash:5847ed1b0023d2dab298f56c3a69525e591ead81c

a153933d3ed1d84ac04b683

IP:192.168.1.201

MAC:01-AF-3B-BA-CA-AC

level:normal

ActionAttribute:legal

}

只對區(qū)塊體數(shù)據(jù)進(jìn)行加密，區(qū)塊體經(jīng)AES加密后，區(qū)塊鏈數(shù)據(jù)如下所示：

{

timestamp:1581080747.2656

this_hash:c1cefc158fc196005836bba24554b3c7a87dc3ea35a7

c783a12e587d51cfe432

previous_hash:5847ed1b0023d2dab298f56c3a69525e591ead8

1ca153933d3ed1d84ac04b683

IP:jfLJIMw0oL2UkkP2AZ0URQ==

MAC:CREbYAbe1sKN7jqbsvROMg7NNJpqWFF51d5qiBheVf4=

level:Fy1lCln1MqM2S5JmT4XvdQ==

ActionAttribute:0gy0FTQHOUxaGDUU84fXuQ==

}

3.2 區(qū)塊鏈數(shù)據(jù)持久化

通過sqlite數(shù)據(jù)庫對區(qū)塊鏈中的區(qū)塊信息進(jìn)行數(shù)據(jù)進(jìn)行存儲，核心是將區(qū)塊鏈信息轉(zhuǎn)換為JSON，并讀取JSON中的數(shù)據(jù)內(nèi)容存儲至終端內(nèi)部的sqlite數(shù)據(jù)庫中，實現(xiàn)區(qū)塊鏈信息的持久化存儲[9]。對區(qū)塊鏈信息解密后存儲至sqlite數(shù)據(jù)庫后數(shù)據(jù)內(nèi)容如圖4所示。

3.3 效果驗證

使用基于區(qū)塊鏈技術(shù)的分布式鑒權(quán)認(rèn)證模式，可實現(xiàn)在網(wǎng)絡(luò)狀態(tài)不穩(wěn)定、入網(wǎng)終端分散、維護(hù)力量薄弱的情況下實現(xiàn)入網(wǎng)終端的鑒權(quán)工作。基于區(qū)塊鏈的分布式入網(wǎng)終端鑒權(quán)和集中式入網(wǎng)終端鑒權(quán)在安全性和性能方面的綜合比較如表2所示。

表2 性能對照表

4 結(jié)束語

根據(jù)區(qū)塊鏈的工作原理及技術(shù)特征，結(jié)合作戰(zhàn)保障的實際應(yīng)用場景，針對網(wǎng)絡(luò)通信狀態(tài)不穩(wěn)定、節(jié)點設(shè)備易損壞、維護(hù)人員不足的現(xiàn)實情況，設(shè)計了基于區(qū)塊鏈的分布式入網(wǎng)終端鑒權(quán)體系[10]，并解決了區(qū)塊數(shù)據(jù)結(jié)構(gòu)設(shè)計、共識算法實現(xiàn)、區(qū)塊鏈數(shù)據(jù)持久化及數(shù)據(jù)加密實現(xiàn)等幾個核心技術(shù)問題，搭建了分布式網(wǎng)絡(luò)終端授權(quán)系統(tǒng)，并與傳統(tǒng)的集中式鑒權(quán)模式從性能方面進(jìn)行了比較，為構(gòu)建符合作戰(zhàn)保障需求的網(wǎng)絡(luò)終端入網(wǎng)鑒權(quán)服務(wù)的實現(xiàn)進(jìn)行了探索。