徐龍，李楊

(齊魯工業(yè)大學(xué)(山東省科學(xué)院) 山東省科學(xué)院自動(dòng)化研究所， 山東 濟(jì)南 250014)

物聯(lián)網(wǎng)(Internet of things，IoT)作為新一代信息技術(shù)，為社會(huì)各個(gè)階層帶來了革命性的變化，已經(jīng)應(yīng)用到智能醫(yī)療、智能家居和智慧消防等眾多領(lǐng)域。據(jù)估計(jì)，到2025年全球物聯(lián)網(wǎng)系統(tǒng)中設(shè)備連接數(shù)將達(dá)到215億～416億臺[1]，使人們進(jìn)入萬物互聯(lián)時(shí)代。物聯(lián)網(wǎng)基本架構(gòu)是完成數(shù)據(jù)收集、融合、處理和共享的物與物互聯(lián)的網(wǎng)絡(luò)[2-3]，物聯(lián)網(wǎng)中會(huì)產(chǎn)生海量的數(shù)據(jù)，其中包含大量的隱私數(shù)據(jù)，由于物聯(lián)網(wǎng)設(shè)備具有計(jì)算力資源有限、安全性差等特點(diǎn)，所以這種物與物互聯(lián)的機(jī)制存在著巨大的安全隱患。訪問控制作為保護(hù)數(shù)據(jù)安全的關(guān)鍵性技術(shù)之一，可以保障數(shù)據(jù)僅能被擁有相應(yīng)權(quán)限的用戶使用[4]。

針對如何保障物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)安全問題，研究人員從不同角度提出了多種訪問控制模型，主要有基于角色的訪問控制(role-based access control, RBAC)模型[5]，基于屬性的訪問控制(attributed-based access control, ABAC)模型[6]和基于權(quán)能的訪問控制(capability-based access control, CapBAC)模型[7]。RBAC模型引入角色概念，將系統(tǒng)中的用戶映射到角色，不同的角色對應(yīng)不同的權(quán)限[8-9]。ABAC模型兼顧訪問控制細(xì)粒度問題，將主體與客體的屬性作為訪問政策制定的關(guān)鍵要素，利用權(quán)限請求者所具有的屬性來確定是否賦予權(quán)限。CapBAC模型是以權(quán)能為基礎(chǔ)提供訪問控制，可以讓用戶自定義訪問控制政策，被認(rèn)為是物聯(lián)網(wǎng)下訪問控制模型中最有潛力的模型。

在上述模型中，模型的授權(quán)驗(yàn)證操作需引入可信的第三方實(shí)體，所有的訪問控制操作由集中式服務(wù)器完成，故存在單點(diǎn)故障和隱私泄露問題。隨著區(qū)塊鏈、智能合約的出現(xiàn)，為解決傳統(tǒng)的集中式物聯(lián)網(wǎng)訪問控制模型存在的問題，研究者們將區(qū)塊鏈技術(shù)與傳統(tǒng)的訪問控制模型有機(jī)地結(jié)合，實(shí)現(xiàn)分布式訪問控制。當(dāng)前物聯(lián)網(wǎng)系統(tǒng)具有異構(gòu)性和多樣性的特點(diǎn)，其訪問技術(shù)的要求開始向細(xì)粒度和分層次的方向發(fā)展。但目前提出的模型中仍然存在著以下問題：一是沒有充分估計(jì)物聯(lián)網(wǎng)系統(tǒng)設(shè)備存在資源有限的特點(diǎn)，導(dǎo)致提出的方案會(huì)導(dǎo)致物聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)運(yùn)算負(fù)擔(dān)增大；二是物聯(lián)網(wǎng)系統(tǒng)中設(shè)備訪問控制的細(xì)粒度、靈活度不夠，不能滿足當(dāng)前物聯(lián)網(wǎng)系統(tǒng)的要求。

針對上述問題，本文提出了新的基于權(quán)能的訪問控制模型(novel-capability-based access control,NCBAC)。基于區(qū)塊鏈與智能合約技術(shù)，充分利用其不可篡改性、可回溯性，構(gòu)建出可信任的分布式的新型物聯(lián)網(wǎng)訪問控制系統(tǒng)；設(shè)計(jì)了面向物聯(lián)網(wǎng)系統(tǒng)的訪問控制管理的新型架構(gòu)，為避免給物聯(lián)網(wǎng)系統(tǒng)帶來巨大的網(wǎng)絡(luò)開銷，提出了由管理節(jié)點(diǎn)來實(shí)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)與區(qū)塊鏈系統(tǒng)的通信；提出了基于傳統(tǒng)的基于權(quán)能訪問控制模型的基礎(chǔ)上，引入角色集合和屬性集合，實(shí)現(xiàn)了高細(xì)粒度、靈活的、高效的訪問控制，能夠更好地滿足當(dāng)前物聯(lián)網(wǎng)系統(tǒng)對其訪問控制系統(tǒng)的要求。

1 基于區(qū)塊鏈和智能合約的訪問控制系統(tǒng)

1.1 系統(tǒng)架構(gòu)

本文提出的系統(tǒng)架構(gòu)如圖1所示，主要包括區(qū)塊鏈、管理節(jié)點(diǎn)、特殊節(jié)點(diǎn)、管理者和智能合約部署者等5個(gè)主要組成部分。

圖1 系統(tǒng)架構(gòu) Fig.1 System architecture

(1) 區(qū)塊鏈：本系統(tǒng)用以太坊進(jìn)行智能合約部署，由以太坊虛擬機(jī)(ethereum virtual machine，EVM)為智能合約提供運(yùn)行環(huán)境。智能合約中定義的函數(shù)實(shí)現(xiàn)訪問控制模型各項(xiàng)功能，通過應(yīng)用程序接口ABI(application binary interface)為外部提供各項(xiàng)功能執(zhí)行接口。

(2) 管理節(jié)點(diǎn)： 該節(jié)點(diǎn)是區(qū)塊鏈的特殊節(jié)點(diǎn)，可直接與區(qū)塊鏈進(jìn)行通信，該節(jié)點(diǎn)擁有了兩個(gè)外部賬戶(externally owned accounts，EOA):Normal Account和Special Account。實(shí)現(xiàn)的功能包括將傳感器網(wǎng)絡(luò)傳輸?shù)亩喾N格式消息統(tǒng)一轉(zhuǎn)換為區(qū)塊鏈可識別的JSON-RPC(JavaScript object notation-remote procedure call)信息,以及調(diào)用區(qū)塊鏈中部署的智能合約完成對系統(tǒng)的初始化以及訪問控制功能。另外，物聯(lián)網(wǎng)系統(tǒng)中的所有傳感器均通過管理節(jié)點(diǎn)直接或間接方式與區(qū)塊鏈進(jìn)行通信，因此管理節(jié)點(diǎn)通常是由計(jì)算資源豐富的設(shè)備承擔(dān)，并且為了提高系統(tǒng)的響應(yīng)時(shí)間，所有的管理節(jié)點(diǎn)都需要進(jìn)行并發(fā)處理，以滿足實(shí)際情況的需求，提高系統(tǒng)的響應(yīng)速度。管理節(jié)點(diǎn)是區(qū)塊鏈的組成部分，本文提出的模型中管理節(jié)點(diǎn)不是唯一的，其數(shù)量可根據(jù)實(shí)際情況增減。此外，其所實(shí)現(xiàn)的功能傳感器注冊、傳感器操作授權(quán)等都是由區(qū)塊鏈中智能合約提供的，因此，管理節(jié)點(diǎn)是一個(gè)去中心化、安全的模塊。

(3) 特殊節(jié)點(diǎn): 物聯(lián)網(wǎng)系統(tǒng)中各類傳感器等設(shè)備屬于輕量級設(shè)備，很多設(shè)備只能發(fā)送和接收特定的、簡單的通信信息，但也有不少的輕量級設(shè)備有一定的計(jì)算和存儲(chǔ)能力。因此，部分物聯(lián)網(wǎng)設(shè)備是可以在其上編寫特定算法，實(shí)現(xiàn)信息轉(zhuǎn)發(fā)并與管理節(jié)點(diǎn)通信的功能，為了保障整個(gè)系統(tǒng)的通信實(shí)時(shí)性和可靠性，該算法要根據(jù)當(dāng)時(shí)網(wǎng)絡(luò)情況進(jìn)行最優(yōu)鏈路選擇。

(4) 管理者：該模塊是擁有管理節(jié)點(diǎn)的Special Account賬戶的操作者，可以擁有設(shè)置系統(tǒng)的角色集合、屬性集合、訪問政策制定等一系列安全要求高的系統(tǒng)初始化操作權(quán)限。

(5) 智能合約部署者：智能合約部署者是完成智能合約在區(qū)塊鏈部署的人，可以將系統(tǒng)中的管理節(jié)點(diǎn)信息記錄在區(qū)塊鏈中，完成系統(tǒng)的管理節(jié)點(diǎn)的指定。

1.2 智能合約體系

為解決傳統(tǒng)訪問控制方法安全性不高、細(xì)粒度不夠等瓶頸問題，本文基于傳統(tǒng)的基于權(quán)能訪問控制算法設(shè)計(jì)了新的智能合約體系，可實(shí)現(xiàn)分布式、安全、高細(xì)粒度的訪問控制。區(qū)塊鏈中維護(hù)多種信息列表詳見OSID，智能合約的功能應(yīng)用程序二進(jìn)制接口(application binary interface，ABI)主要包括：

· MangerRegister(): 此功能用來指定系統(tǒng)中管理節(jié)點(diǎn)，即用來注冊管理員；

· MangerDelete(): 此功能用來刪除系統(tǒng)中管理節(jié)點(diǎn)，即用來刪除管理員；

· RoleSetCreate(): 此功能用來創(chuàng)建NCBAC模型中的角色集合；

· RoleSetDelete(): 此功能用來刪除NCBAC模型中的角色集合；

· MemberDelete(): 此功能用來刪除已添加進(jìn)角色集合中的物聯(lián)網(wǎng)設(shè)備；

· UserRegister(): 此功能是被物聯(lián)網(wǎng)設(shè)備調(diào)用，以此完成設(shè)備連接到系統(tǒng)操作；

· UserDelete(): 此功能是被物聯(lián)網(wǎng)設(shè)備調(diào)用，以此完成設(shè)備斷開與系統(tǒng)連接操作；

· UserUpdate(): 此功能用來更新已連接系統(tǒng)設(shè)備的信息；

· AttributeCreate(): 此功能是用來創(chuàng)建NCBAC模型中的屬性集合；

· AttributeDelete(): 此功能是用來刪除NCBAC模型中的屬性集合；

· AttributeUpdate(): 此功能是用來更新屬性集合中的元素；

· PolicyMake(): 此功能用于添加新訪問控制政策，該函數(shù)是由本政策中主體與客體對中的客體調(diào)用；

· PolicyDelete(): 此功能用來刪除已添加的訪問控制政策；

· PolicyUpdate(): 此功能用來更新已添加的訪問控制政策；

· AccessControl(): 此功能用來訪問決策，結(jié)合相關(guān)信息合法性檢測和預(yù)先定義好的訪問控制政策，進(jìn)行權(quán)限決策。

為保證系統(tǒng)的安全性，不同的ABI具有不同的調(diào)用權(quán)限，ABI調(diào)用權(quán)限配置表見OSID。

1.3 系統(tǒng)工作流程

圖2是系統(tǒng)各模塊間交互過程，主要分為兩大階段：系統(tǒng)初始化階段、訪問政策執(zhí)行階段。

(1)系統(tǒng)初始化階段：該階段主要完成智能合約部署、角色集合創(chuàng)建、屬性集合創(chuàng)建和政策制定等一些保證系統(tǒng)能正常工作的系統(tǒng)初始化操作。具體步驟如下：

步驟1：該步驟部署智能合約，當(dāng)智能合約在區(qū)塊鏈中部署成功后會(huì)得到智能合約地址，只有提前獲取該地址才能與合約交互；

步驟2：管理者通過管理節(jié)點(diǎn)調(diào)用智能合約中RoleSetCreate()函數(shù)，將角色集合信息保存到區(qū)塊鏈中；

步驟3：設(shè)備1與設(shè)備2通過管理節(jié)點(diǎn)調(diào)用智能合約中UserRegister()函數(shù)，完成將設(shè)備連接至系統(tǒng)操作；

步驟4： 只有完成步驟3后設(shè)備2才可通過管理節(jié)點(diǎn)調(diào)用智能合約中的AttributeCreate()函數(shù)將自身資源池選擇性地在系統(tǒng)中共享；

步驟5：管理者通過管理節(jié)點(diǎn)調(diào)用智能合約中的PolicyMake()函數(shù)，根據(jù)在步驟4中設(shè)備2共享的資源池，來設(shè)定設(shè)備1對設(shè)備2的訪問控制政策。

(2)政策執(zhí)行階段：如圖2所示，物聯(lián)網(wǎng)設(shè)備1訪問目標(biāo)物聯(lián)網(wǎng)設(shè)備2的資源。設(shè)備1經(jīng)由特殊節(jié)點(diǎn)或直接與管理節(jié)點(diǎn)通信發(fā)送資源請求信息，該信息包含的主要字段為發(fā)起設(shè)備：設(shè)備1；目標(biāo)設(shè)備：設(shè)備2；請求動(dòng)作：read/write等；請求資源：resourse；令牌：Token。管理節(jié)點(diǎn)將信息編譯為可用信息后，調(diào)用智能合約中AccessControl()函數(shù)根據(jù)系統(tǒng)初始化時(shí)設(shè)定的政策對發(fā)起設(shè)備、目標(biāo)設(shè)備、請求動(dòng)作、請求資源的合法性進(jìn)行檢測，此次請求經(jīng)過智能合約的判定，判定結(jié)束時(shí)會(huì)觸發(fā)智能合約中ReturnResult()事件，將合約決策結(jié)果反饋給管理節(jié)點(diǎn)，系統(tǒng)依據(jù)判斷結(jié)果來決定設(shè)備1是否可以對設(shè)備2資源進(jìn)行相應(yīng)的操作。為提高系統(tǒng)的決策速度，在本文提出的智能合約體系中采用令牌機(jī)制，成功獲取一次訪問權(quán)限后，在預(yù)設(shè)時(shí)間內(nèi)再發(fā)起相同的權(quán)限訪問請求，不再需要驗(yàn)證多種信息，只需驗(yàn)證Token的合法性，以此提高系統(tǒng)的決策速度。Token是一段保存在區(qū)塊鏈中的時(shí)間戳，包含了該請求所有身份識別信息，因此保證了該Token的安全性。具體的訪問控制算法偽代碼見OSID。

圖2 系統(tǒng)工作流程Fig.2 System workflow

2 實(shí)驗(yàn)仿真與結(jié)果分析

為了驗(yàn)證本文提出的面向物聯(lián)網(wǎng)的基于區(qū)塊鏈的訪問控制模型建模方法，測試本文提出的系統(tǒng)架構(gòu)與模型的可行性和有效性，我們搭建了實(shí)驗(yàn)環(huán)境并設(shè)計(jì)了實(shí)驗(yàn)方案。

2.1 硬件與軟件配置

我們設(shè)計(jì)的實(shí)驗(yàn)中包含兩臺臺式電腦(Inter?CoreTMi3-9100 CPU@3.60 Hz 3.60 GHz)，一臺筆記本電腦(DELL Inspiron 3541)和一臺智能手機(jī)(One plus 6T)。臺式電腦安裝由Go語言編寫的geth客戶端，使其成為區(qū)塊鏈節(jié)點(diǎn)，二者之間構(gòu)建起以太坊私有鏈。本次實(shí)驗(yàn)系統(tǒng)中所有設(shè)備運(yùn)行在同一局域網(wǎng)環(huán)境下。

2.2 實(shí)驗(yàn)仿真與結(jié)果分析

本次實(shí)驗(yàn)的主體-客體對為筆記本電腦-智能手機(jī)，其中客體設(shè)定的政策為允許主體讀取Database1，為了得到更直觀的實(shí)驗(yàn)結(jié)果，采用JavaScript腳本語言編寫了事件監(jiān)聽腳本，具體的監(jiān)聽程序算法偽代碼以及整個(gè)項(xiàng)目的關(guān)鍵代碼見OSID 。

2.2.1 合法設(shè)備訪問結(jié)果與分析

為驗(yàn)證主體對客體訪問的可行性，實(shí)施主體對客體的Database1發(fā)起讀操作訪問過程，實(shí)驗(yàn)結(jié)果如圖3所示。

圖3 合法設(shè)備獲取訪問權(quán)限Fig.3 Legal devices gain access

2.2.2 非法篡改令牌攻擊實(shí)驗(yàn)

在上一個(gè)實(shí)驗(yàn)成功取得訪問權(quán)限允許結(jié)果條件下，人為地將系統(tǒng)發(fā)放的Token中Action字段由read篡改為write后，重新發(fā)起請求，實(shí)驗(yàn)結(jié)果如圖4所示。

圖4 篡改令牌非法攻擊實(shí)驗(yàn)結(jié)果Fig.4 Experiment results of the illegal Token tampering attack

2.2.3 驗(yàn)證訪問控制的靈活性與細(xì)粒度

在維持實(shí)驗(yàn)環(huán)境不變的情況下，客體(筆記本電腦)發(fā)起刪除共享屬性Database1請求，成功完成請求后，重復(fù)2.2.1權(quán)限訪問請求操作。圖5所示是系統(tǒng)監(jiān)聽訪問請求事件結(jié)果。

圖5 靈活性與細(xì)粒度驗(yàn)證實(shí)驗(yàn)結(jié)果Fig.5 Flexibility and fine-granularity verification experiment results

3 系統(tǒng)性能測試與分析

為了評估系統(tǒng)性能，在上述實(shí)驗(yàn)條件基礎(chǔ)上，采用Apache Benchmark工具測試了每秒發(fā)送請求節(jié)點(diǎn)從0到10 000個(gè)的響應(yīng)時(shí)間情況，如圖6所示。

圖6 兩類基本操作的性能測試結(jié)果圖Fig.6 Performance test results of the two types of basic operations

本次實(shí)驗(yàn)在有、無Token機(jī)制的情況下進(jìn)行多次訪問請求，測量系統(tǒng)對全部請求做出回應(yīng)時(shí)的延遲時(shí)間。如圖7所示，隨著請求次數(shù)的增加，沒有采用Token機(jī)制模型與采用Token機(jī)制模型的延遲時(shí)間差值越來越大，采用Token機(jī)制的模型對系統(tǒng)訪問控制性能提升越明顯。

圖7 有無Token機(jī)制的訪問控制請求實(shí)驗(yàn)Fig.7 Access control request experiments with or without Token mechanism

4 結(jié)語

本文旨在解決物聯(lián)網(wǎng)系統(tǒng)中的訪問控制問題，提出了一種基于區(qū)塊鏈技術(shù)的分布式物聯(lián)網(wǎng)訪問控制模型NCBAC。該模型充分吸收現(xiàn)有訪問控制模型的優(yōu)點(diǎn)，實(shí)現(xiàn)靈活、可擴(kuò)展、細(xì)粒度高的訪問控制。實(shí)驗(yàn)仿真結(jié)果表明，本文提出的NCBAC模型可以為物聯(lián)網(wǎng)系統(tǒng)提供安全、可靠和高效的訪問控制。