由于存在單點(diǎn)失效、規(guī)模受限等問題,傳統(tǒng)中心化的解決方案很難滿足物聯(lián)網(wǎng)的安全需求。針對這種情況,提出一個面向IoT的基于智能合約的訪問控制方案。通過引用IoT智能網(wǎng)關(guān)作為IoT設(shè)備的中心管理節(jié)點(diǎn)和公有區(qū)塊鏈的全能節(jié)點(diǎn),采用中心化與去中心化相結(jié)合、私有區(qū)塊鏈和公有區(qū)塊相結(jié)合、本地局部存儲和外部公共存儲相結(jié)合的方法加以實(shí)現(xiàn)。該方案實(shí)現(xiàn)IoT設(shè)備和IoT智能網(wǎng)關(guān)的相互認(rèn)證,并實(shí)現(xiàn)用戶對IoT設(shè)備中資源及存儲在數(shù)據(jù)庫中的數(shù)據(jù)的授權(quán)訪問,具有去中心化、分布式優(yōu)點(diǎn),滿足了規(guī)模性和安全性要求。 

【文章來源】：計(jì)算機(jī)應(yīng)用與軟件. 2020,37(01)北大核心

【文章頁數(shù)】：5 頁

【部分圖文】：

訪問控制系統(tǒng)架構(gòu)

利用上述的訪問控制合約ACC,實(shí)現(xiàn)用戶對某Private IoT Network內(nèi)某設(shè)備中資源訪問的授權(quán)決策的過程,如圖2所示,這是一個授權(quán)成功的例子。圖2中用戶利用設(shè)備首先向Smart Gateway發(fā)送一個訪問請求交易Taccess;利用此交易中的信息,Smart Gateway向局部區(qū)塊鏈中的智能合約發(fā)送授權(quán)請求交易Tgetpermission,調(diào)用函數(shù)AccessControl()進(jìn)行授權(quán)決策。

當(dāng)用戶請求訪問Public Storage中的數(shù)據(jù)時,則需要Public Blockchain來進(jìn)行授權(quán)決策了。類似于Local Blockchain,Public Blockchain中也設(shè)計(jì)了一組訪問控制合約ACC,用于對Public Storage中的數(shù)據(jù)的訪問策略的注冊、管理(策略更新、刪除)以及訪問授權(quán)決策。Local Storage和Public Storage中的數(shù)據(jù),我們用唯一的帳本,保存所有設(shè)備產(chǎn)生的數(shù)據(jù),其中每一個數(shù)據(jù)塊中以塊帳本(Block Ledger)的方式保存同一個設(shè)備產(chǎn)生的所有數(shù)據(jù),這種數(shù)據(jù)存儲方式及訪問授權(quán)過程如圖3所示。正如圖3所示,塊帳本(Block Ledger)中SD表示用產(chǎn)生數(shù)據(jù)的設(shè)備Device1的私鑰對數(shù)據(jù)Date1和其產(chǎn)生時間Time簽名后內(nèi)容;SGW表示對上述簽名內(nèi)容再次用網(wǎng)關(guān)Gateway A簽名后的內(nèi)容,主要用于驗(yàn)證數(shù)據(jù)的真實(shí)性和完整性;HashHeader是該塊塊頭的Hash;HashPrev是前一個塊的Hash。圖3所示的主要過程是:用戶設(shè)備向Public Storage發(fā)送請求指定數(shù)據(jù)的交易,Public Storage向公共區(qū)塊鏈網(wǎng)絡(luò)廣播驗(yàn)證該請求的授權(quán)交易,公共區(qū)塊鏈網(wǎng)絡(luò)各Gateway節(jié)點(diǎn)檢查該數(shù)據(jù)是否由其管理的設(shè)備產(chǎn)生的。如果是,則由該Gateway(圖示為Gateway A,因?yàn)镈ata1是由其管理的設(shè)備Device1產(chǎn)生)調(diào)用訪問控制智能合約,對訪問請求進(jìn)行授權(quán)決策(即進(jìn)行策略檢查),并將授權(quán)決策結(jié)果返回給Public Storage,本例是授權(quán)成功。如果許可訪問,Public Storage則給予用戶數(shù)據(jù),否則,拒絕用戶請求。

【參考文獻(xiàn)】：
期刊論文
[1]區(qū)塊鏈共識算法的比較研究[J]. 宋燾誼,趙運(yùn)磊.  計(jì)算機(jī)應(yīng)用與軟件. 2018(08)



本文編號：3138965