基于區塊鏈的智能家居認證與訪問控制方案
2022-01-01 00:00:00張利華張贛哲曹宇劉季陳世宏
計算機應用研究 2022年3期
摘 要:智能家居運用物聯網技術為用戶提供自動化的智能服務,但傳統的集中式架構存在機密性和完整性等安全性問題,而現有的分布式架構又存在重復認證、高延遲等問題。針對這些問題,基于區塊鏈和橢圓曲線集成加密技術提出了一種智能家居認證與訪問控制方案,同時還引入了邊緣計算,降低系統的延遲。并將基于權能的訪問控制與區塊鏈相結合,在區塊鏈上存儲權能令牌并設計了相應的智能合約以實現安全的訪問控制。安全性分析表明,該方案具有去中心化、不可竄改、機密性、完整性和可擴展性等安全特性。在以太坊區塊鏈上進行仿真,并根據計算開銷、通信開銷和響應時間等指標對方案進行了性能評估。評估結果表明,相比其他方案,該方案計算開銷和通信開銷更小,響應時間更短,具有明顯的優勢。
關鍵詞:智能家居; 認證; 訪問控制; 區塊鏈; 橢圓曲線; 邊緣計算
中圖分類號:TP309.2 文獻標志碼:A
文章編號:1001-3695(2022)03-038-0863-05
doi:10.19734/j.issn.1001-3695.2021.08.0321
基金項目:國家自然科學基金資助項目(61563016);江西省教育廳科技項目基金資助項目(GJJ14371)
作者簡介:張利華(1972-),男,副教授,博士,主要研究方向為信息安全、區塊鏈技術;張贛哲(1996-),男(通信作者),碩士研究生,主要研究方向為區塊鏈技術及其應用(2714218025@qq.com);曹宇(1996-),男,碩士研究生,主要研究方向為區塊鏈技術;劉季(1996-),男,碩士研究生,主要研究方向為區塊鏈技術;陳世宏(1996-),男,碩士研究生,主要研究方向為區塊鏈技術.
Authentication and access control scheme for smart home based on blockchain
Zhang Lihuaa, Zhang Ganzheb?, Cao Yub, Liu Jia, Chen Shihongb
(a.School of Software, b.School of Electrical amp; Automation Engineering, East China Jiaotong University, Nanchang 330013, China)
Abstract:Smart home uses Internet of Things technology to provide users with automatic intelligent services, but the traditional centralized architectures have security problems such as confidentiality and integrity, while the existing distributed architectures have problems such as repeated authentication and high latency. To solve these problems, based on blockchain and elliptic curve integrated encryption technology, this paper proposed a smart home authentication and access control scheme. At the same time, it introduced edge computing to reduce the delay of the system. It also combined the capability based access control with the blockchain, stored the capability token on the blockchain, and designed the corresponding smart contract to achieve secure access control. Security analysis showed that the scheme had the security characteristics of decentralization, tamper proof, confidentiality, integrity and scalability. Simulated experiment was carried out on Ethereum blockchain, and the performance of the scheme was evaluated according to computing overhead, communication overhead and response time. The evaluation results show that compared with other schemes, this scheme has less computational and communication overhead and shorter response time, has obvious advantages.
Key words:smart home; authentication; access control; blockchain; elliptic curve; edge computing
0 引言
智能家居是物聯網應用的一個典型實例,它將住宅作為主要平臺,可以給家庭用戶創造便利和舒適的環境。智能家居環境中的設備通過物聯網技術連接起來,提供環境監測、危險預警、安全監控等多種智能化家庭服務[1]。智能家居系統主要由終端設備、移動APP、物聯網云端、通信網絡四部分組成。隨著智能家居系統的日益普及,其存在的安全問題引起了人們的廣泛關注。在智能家居系統中,用戶身份認證的主要目的是驗證設備使用者的身份,防范非法用戶對終端設備進行操控。多個用戶希望能夠訪問共享設備提供的服務,需要避免重復認證問題。而訪問控制機制決定了移動APP如何訪問敏感資源,良好的訪問控制機制能夠有效地保護設備敏感資源[2]。因此,為了消除智能家居系統中的安全威脅,設計一種可靠、高效的認證與訪問控制機制是很有必要的。
近年來,在智能家居安全研究領域,已經有相當多的研究成果。為了智能家居環境中的設備安全,Kang等人[3]提出了一個增強的安全框架,該安全框架利用自簽名和訪問控制技術提供完整的系統,以防止數據修改、泄漏和代碼偽造等安全威脅,針對完整性、可用性和身份驗證都有相應的解決方法,缺點在于沒有考慮智能家居設備是輕量級,計算能力普遍不強。Zhang等人[4]設計了一種新的基于近鄰的物聯網設備認證機制move2auth,以增強物聯網設備的安全性,在move2auth中,要求用戶手持智能手機,在智能家居設備附近完成移動或旋轉操作,實現了手機與設備間的相互認證,該方案能夠有效抵御攻擊者的主動模擬攻擊,但只考慮手機與設備之間的認證,未考慮手機與平臺之間的認證。Jia等人[5]提出了一個基于上下文的權限系統ContexIoT,它為應用物聯網平臺提供上下文完整性,支持對敏感操作進行細粒度上下文識別,并提供豐富的上下文信息提示以幫助用戶執行有效的訪問控制,但由于太專業化而不容易讓用戶理解。Han等人[6]提出了一個基于上下文的設備配對方案,使用固定時間內傳感器測量信息作為密鑰協商協議的秘密,實現了智能家居場景下不同設備的自動配對。Rahmati等人[7]設計了一個基于風險的權限訪問控制,它將設備操作按其風險相似度分組,并以組為單位授予相應的訪問權限。
上述方案都采用的是集中式架構,存在單點故障問題。為了解決這些問題,引入了一種新興的分布式技術,即區塊鏈,其是一種按時間順序將數據區塊以順序相連的方式組合而成的一種鏈式數據結構,并以密碼學方式保證的不可竄改和不可偽造的分布式賬本[8],具有去中心化、不可竄改、可追溯、匿名性和透明性五大特征,為系統提供了完整性和可用性。許多研究者將區塊鏈技術引入到智能家居中,來解決隱私和安全問題。為了工業4.0應用建立具有細粒度訪問控制的安全遠程用戶認證,Lin等人[9]提出了基于區塊鏈的框架BSeIn,利用區塊鏈的基本特性以及一些加密機制來實現分散、隱私保護和可審計功能,但是在該方案中用戶無法得到有效的監管,沒有一種有效的機制來跟蹤執行惡意請求的用戶。Hammi等人[10]提出了一種獨創的物聯網身份驗證系統,稱之為bubbles of trust,依賴區塊鏈提供的安全優勢,創建相互認同和信任的虛擬區域,可以彌補集中式認證系統的不足,實驗證明該方案能夠顯著降低安全風險。Lee等人[11]提出了一種基于區塊鏈的智能家居網關網絡,網絡由設備層、網關層和云層三層組成,網關層采用區塊鏈技術,以區塊鏈的形式存儲和交換數據,支持分散化,克服了傳統集中式架構的安全問題,不足之處在于云端傳輸數據過程中數據可能會泄露,計算開銷會加大。Li等人[12]設計了一個有效的基于身份簽名的增強消息認證隱私(IMAEP)方案,可以提供無條件隱私和全密鑰暴露攻擊下的增強隱私,在自適應選擇消息和身份攻擊下也能提供不可偽造性。針對輕量級的物聯網設備,Tu等人[13]提出基于RFID的輕量級相互認證協議,提供所需的安全性和隱私。文獻[12,13]都未能考慮具體的應用實例,不適用于智能家居系統中。
雖然在智能家居系統中引入區塊鏈技術可以解決一些安全隱私問題,但云計算產生的較大計算開銷和通信開銷成為了新的問題。與現有的研究不同,本文旨在提供一種安全、可擴展且輕量級的方案。因此,為了讓用戶對智能家居設備擁有更安全的認證機制,通過結合區塊鏈和橢圓曲線集成加密技術,針對智能家居設備計算能力弱且輕量級的問題,采用基于權能的訪問控制來實現,保證用戶對設備的安全訪問和控制,并且引入邊緣計算確保比較小的計算開銷和通信開銷,因為使用邊緣端比云端網絡延時更低,可用性更強,數據在傳輸過程中也不會受到攻擊。
1 預備知識
1.1 橢圓曲線集成加密
橢圓曲線集成加密方案(elliptic curve integrated encryption scheme,ECIES)是一種提供認證加密、數字簽名、密鑰交換以及對稱加密密鑰的公鑰機制[14]。它加入一個基于對稱密鑰的非對稱橢圓曲線密碼體制,提供基于橢圓曲線私鑰的數據加密和相應的橢圓曲線公鑰的解密。橢圓曲線密碼(elliptic curve cryptograph,ECC)擁有較小的密鑰長度,只需256 bit的加密算法就能提供與3 072 bit RSA算法相當的安全性。因此,安全的身份驗證、密鑰生成、密鑰交換以及通過云服務器在網絡上傳輸所需的帶寬較少。ECIES的工作方式是從發送方的公鑰生成一個對稱密鑰,與一般的密鑰交換方法不同,在這種方法中,相同的密鑰將被生成到接收方。使用基于ECC的密碼體制的主要優點是密鑰長度短,處理速度快,計算量較小,存儲空間占用少,安全性高,可以抵擋選擇明文攻擊和選擇密文攻擊,非常適合在計算能力有限的設備上使用。
1.2 區塊鏈
2008年,Nakamoto引入了區塊鏈的概念,即比特幣的底層技術。具體來說,區塊鏈是一種分布式賬本,它可以驗證和存儲交易,而無須依賴任何中央可信機構(與傳統銀行系統不同)[15]。它將焦點從集中的權威機構轉移到網絡中的每個節點,同時增強每個節點的自治性,而不是任意的第三方或中央服務器。在區塊鏈網絡中,所有參與者需要就交易數據狀態達成共識,以獲得信任。區塊鏈具有透明性、隱私性和可追溯等安全特性,而它之所以具備以上特性,是因為區塊鏈通過數據區塊和鏈式結構來存儲數據,如圖1所示。每個數據區塊包括區塊頭和區塊體兩部分,都有唯一的哈希值作為區塊地址與之對應,當前區塊通過存儲前一區塊哈希值與前一區塊相連,從而形成鏈式結構。區塊頭中封裝了前一區塊鏈的哈希值、時間戳、Merkle樹根值等信息。區塊體存儲交易信息,即由區塊鏈記錄的數據信息,每筆交易都由交易方對其進行數字簽名,從而確保數據未被偽造且不可竄改,每一筆已完成的交易都被永久性地記錄在區塊體中,供全體用戶查詢。
區塊鏈還通過智能合約提供計算基礎設施,智能合約是在區塊鏈網絡上部署和執行的用戶預定義程序。部署后,智能合約可以自動觸發,以啟用復雜的業務邏輯。
1.3 邊緣計算
傳統的云計算已不能適用于智能家居系統,而邊緣計算是組建智能家居系統的最優平臺。邊緣計算是指一種新型的在網絡邊緣執行分布式計算的模型[16]。在該模型中,網絡邊緣設備已經具有足夠的計算能力來實現源數據的本地處理,并將結果發送給云計算中心。邊緣計算可以降低中心服務器的計算負載,減緩網絡帶寬的壓力,提高計算的實時性和萬物互聯時代數據處理的效率;同時能較好地保護隱私數據,降低終端敏感數據隱私泄露的風險[17]。它將計算和通信資源從云轉移到網絡的邊緣節點上,從而為邊緣的用戶提供更快的服務與計算響應,減少中間不必要的通信延遲和網絡擁塞。
1.4 基于權能的訪問控制
經典的訪問控制方案有基于角色的訪問控制(role based access control,RBAC)、基于屬性的訪問控制(attribute based access control,ABAC)和基于權能的訪問控制(capability based access control,CapBAC)。RBAC是主體對特定設備/數據/服務的訪問,由主體在RBAC系統中的角色決定[18]。ABAC定義了一組由不同屬性(如用戶屬性、資源屬性、環境屬性)組成的訪問策略,以確定特定訪問權限的授予[19]。與其他方案相比,CapBAC相對更輕量級,因為它只需要描述主體的訪問權限,并通過令牌(token)授予權能[20]。然而,這些模型都依賴于集中式體系結構,這可能會引發嚴重的問題,因此需要更具可擴展性和分布式的設計來提供安全的訪問控制管理。所以本文在傳統CapBAC模型的基礎上融合了區塊鏈技術,提供安全可靠的環境。
2 系統模型
圖2所示是本文構造的系統模型,由用戶、移動APP、終端設備、網關、邊緣服務器(edge sever,ES)組成,其中用戶指智能家居的家庭成員,移動APP是用戶用來與區塊鏈網絡進行交互的設備,終端設備如智能燈泡、智能電表(smart meter,SM)、智能監控、傳感器等,是一些輕量級設備,可以充當區塊鏈網絡的輕節點。這些傳感器和設備通過智能家居中配置的各種異構物聯網收集和監控智能家居網絡環境中的數據。網關和邊緣服務器都是能力設備,它是指具有足夠的計算、存儲和通信資源的設備,作為區塊鏈網絡的全節點,可以進行交易的創建、驗證以及查詢等操作。網關存儲設備層生成的數據,并根據需要提供給用戶。邊緣服務器充當邊緣云,可以處理大量運算。
首先,系統應該進行初始化,由邊緣服務器執行,產生系統所需的公共參數以實現相應的加密函數。其次,用戶和各類終端設備可以使用自己的身份ID向網絡注冊自身,其中設備還需要在區塊鏈網絡上為自己創建權能令牌。然后,用戶需要登錄認證,通過認證之后才可以進行訪問請求。最后,用戶先請求相應設備的權能令牌,再向網關請求設備服務訪問,訪問請求通過后可以對設備進行操作,這一階段通過調用區塊鏈上的智能合約來完成,智能合約中定義了與特權和服務相關的策略和約束。
3 方案設計
本章對所提方案進行詳細的描述,基于系統模型,提出了在智能家居場景下基于區塊鏈的認證與訪問控制方案。該方案分為系統初始化、注冊、認證和授權訪問四個階段。
3.1 系統初始化
此階段由邊緣服務器ES執行,ES選擇一條橢圓曲線E,E是定義在有限域Fp上的橢圓曲線,滿足
其中:p是一個大于3的素數;a,b∈Fp,取其上一點G。
使用橢圓曲線集成加密來確定通信所需的共享密鑰,還使用SHA256哈希算法來進行加密確保傳輸數據的完整性。
3.2 注冊
每個設備都有自己的標識ID,需要先將設備的標識ID注冊,生成設備唯一標識DUID,再存儲到區塊鏈上,具體過程如圖3所示。
a)網關先生成一個隨機數rj,公鑰PKj=rj·G,將公鑰PKj發送給終端設備。
b)終端設備將生成一個隨機數dj,并計算Rj=dj·G以及Sj=dj·PKj,將Rj發送給網關。
c)網關能夠確定共享密鑰Sj,其中
d)終端設備使用自己標識IDj,先用哈希函數SHA256計算H(IDj),再用共享密鑰Sj加密H(IDj),得到Enc(Sj,H(IDj)),發送給網關。
e)網關收到加密消息,用共享密鑰Sj解密Dec(Sj,H(IDj)),查詢設備IDj是否在設備列表中。
f)如果存在,則為其生成設備唯一標識DUIDj,并存儲到區塊鏈上。如果不存在,則表明該設備是不合法的,斷開連接。
類似地,為了確保用戶的合法性,用戶必須在ES上進行注冊,具體過程如圖4所示。
a)ES生成一個隨機數ri,公鑰PKi=ri·G,將公鑰PKi發送給用戶。
b)用戶通過移動設備生成一個隨機數di,并計算Ri=di·G以及Si=di·PKi,將Ri發送給ES。
c)ES能夠確定共享密鑰Si,其中
d)用戶選擇一個身份IDi,并用哈希函數SHA256計算H(IDi),用共享密鑰Si加密H(IDi),得到Enc(Si,H(IDi)),發送給ES。
e)ES收到加密消息,用共享密鑰Si解密Dec(Si,H(IDi)),查詢用戶IDi是否在智能家居的成員列表中。
f)如果存在,則為其生成用戶唯一標識UUIDi,并存儲到區塊鏈上。如果不存在,則表明該用戶是非法用戶,斷開連接。
設備和用戶完成本地注冊之后,終端設備需要在區塊鏈上為自己創建權能令牌,權能令牌如式(4)所示。
其中:UUID為用戶注冊的唯一標識;DUID為設備注冊的唯一標識;right為特定設備服務的訪問權限;T為該設備令牌有效時間段。在注冊階段,利用隨機數、hash算法和橢圓曲線集成加密算法對終端設備和用戶信息進行加密與解密,并將其存儲在去中心化且不可竄改的區塊鏈網絡中。
3.3 認證
如果用戶需要尋求某些特定的設備服務,在進行訪問服務之前,用戶必須通過認證,詳細的認證過程如下:
a)用戶通過移動設備輸入他/她的IDi,然后移動設備連接到邊緣服務器,進入區塊鏈網絡。
b)邊緣服務器通過解碼函數f(UUIDi)=IDi驗證IDi是否有其對應的UUIDi,如果有,用戶通過認證,否則,此會話結束。
c)因此,在設備和用戶之間建立初始信任關系,以便進一步交互。
d)用戶認證過程被記錄在區塊鏈中,無法被竄改。
通過認證階段的實現過程,用戶進行了身份驗證。由于用戶ID與用戶唯一標識UUID是一一映射的關系,避免了惡意用戶的非法連接,同時能夠有效地避免無線網絡中常見的網絡攻擊,如中間人攻擊等。
3.4 授權訪問
授權訪問過程如圖5所示,用戶通過認證之后,要想進行訪問,需要有設備的權能令牌,設備的權能令牌存儲在網關中。用戶需要檢查設備DUID以獲取他/她應該連接到哪個網關,并聯系該網關,向網關請求相應設備的權能令牌,這一過程需要調用區塊鏈上的智能合約(獲取令牌算法,即算法1)用以獲取設備權能令牌,驗證通過后,該網關會將設備權能令牌發送給用戶。用戶再向網關請求設備服務訪問,再次調用區塊鏈上的智能合約(驗證令牌服務算法,即算法2),驗證令牌以檢查存儲在相應的鏈上憑證中被授予的訪問控制權限,返回驗證結果,網關根據驗證結果將所需的設備服務API和手冊轉發給用戶,為用戶提供設備服務訪問,用戶此時可以對終端設備進行訪問操作。
算法1為向通過認證的用戶發送設備的權能令牌。算法2為驗證用戶是否有對設備的訪問控制權限。
算法1 獲取令牌算法
a)從網關中獲取服務列表
b)接受服務名稱作為輸入,并確定相應的服務ID
c)傳遞服務ID和設備ID給“/fetchToken”路徑去請求一個令牌
如果響應為否定
打印錯誤消息并退出
否則
轉到步驟d)
d)獲取數據
如果響應是“無效令牌”
從服務器請求新令牌并轉到步驟e)
否則
打印收到的數據并返回到菜單
e)獲取數據
如果響應是“無效令牌”
打印錯誤消息并退出
算法2 驗證令牌服務算法
a)如果請求設備沒有被注冊
返回錯誤
否則
轉到步驟b)
b)如果服務不受支持
返回錯誤
否則
轉到步驟c)
c)查詢具有設備ID和服務ID的智能合約的訪問權限
如果設備不允許訪問所請求的服務
返回錯誤
否則
轉到步驟d)
d)如果所請求的服務存在已緩存的令牌
轉到步驟e)
否則
轉到步驟f)
f)如果緩存的令牌已過期
從身份驗證服務器獲取新令牌,緩存并返回
否則
返回緩存的令牌
g)從身份驗證服務器獲取新令牌,緩存并返回
系統中的每個參與者(即用戶和物聯網設備)被一個唯一的UID識別,并且特定設備服務的訪問控制權限由權能令牌確定。與其他方案相比,基于權能的訪問控制相對更輕量,因為它只需要描述主體的訪問權限,并通過令牌授予權限。
對于未獲得相應權限的設備,每次處理訪問請求時被訪問設備都會創建訪問交易記錄。如果全節點發現該設備存在超出可接受閾值的異常行為時,會將該設備從設備列表中清除,同時從區塊鏈中查詢所有該設備的權能令牌,調用各個令牌管理合約的令牌撤銷接口凍結該異常節點的所有訪問令牌。
4 性能分析
4.1 安全性分析
假設智能家居中的網關和邊緣服務器都是誠實可信的。
引理 假設方案中所使用的橢圓曲線是密碼學安全的,單向安全性是指在不知道私鑰的情況下,由密文不能獲得相應的明文,即敵手A成功地對加密算法Enc求逆的概率是可忽略的。
證明 當攻擊者在傳輸信道中截獲了公鑰PK和R,他想要通過PK和R分別求解出r和d,等同于求解橢圓曲線離散對數問題。例如,已知r計算r·G=PK很容易,但通過PK計算相應的r非常困難,已有研究證明求解概率極低,可忽略不計。當敵手無法求出r,那么他就不知道共享密鑰S,此時敵手成功從密文Enc(S,H(ID))恢復出明文H(ID)的概率PA為
由引理可知PA是可以忽略的,所以該方案可以實現單向安全性,證畢。除了單向安全性,該方案還具有防竄改等安全特性,同時能抵抗多種攻擊。
a)防竄改。如果攻擊者沒有權能令牌,則無法通過訪問請求進而訪問數據。而且,權能令牌存儲在區塊鏈上,可以防止被攻擊者竄改。
b)機密性。由于在整個訪問控制過程中用戶和設備都進行了認證,實體的每一個有效行為都會記錄在區塊鏈上,所以它比當前使用的一般身份認證方案更加安全。
c)完整性。當在每個實體之間發送和接收數據時,數據的傳輸過程不得出現偽造。哈希函數降低了這些數據被偽造的可能性,并允許精確跟蹤和檢查記錄的數據。
d)抗假冒攻擊。在該系統中,任何合法成員都可以訪問授權設備,通過用戶唯一標志符來防止冒名頂替行為。
e)抗重放攻擊。網關或邊緣服務器在每次會話請求中會生成一個新的密鑰對,該密鑰對用于加密響應信息和計算消息,由于生成的密鑰對是最新的,所以可以抵抗任何重放攻擊。
f)抗分布式拒絕服務(distributed denial of service,DDoS)攻擊。區塊鏈是基于點對點的分布式網絡架構,如果一個節點出現故障,與故障節點連接的用戶將無法進入到系統中,不會影響其他節點正常工作,能有效抵抗DDoS攻擊。
表1將本文方案與當前其他研究成果進行了安全性對比。其中,“√”表示該方案具有這種特性,“×”表示不具有這種特性。可以看出,本文方案具有一定的優勢。
4.2 實驗分析
提出系統架構采用以太坊來構建,并以此作為測試和評估的平臺。在實驗中,以太坊的節點分為全節點和輕節點。高性能設備成為全節點,如邊緣服務器、網關。而性能一般的設備成為輕節點,如傳感器。通過在Linux服務器上托管的獨立虛擬機中運行SDN控制器來實現網關。Raspberry Pi配置為Raspbian 2019-09-26,用做邊緣服務器。智能合約使用Solidity v.0.4.20以穩定的格式編寫,分散的應用程序是使用Truffle開發套件部署和編譯的,實驗環境如表2所示。
以太坊智能合約不是直接運行在節點上,而是運行于以太坊虛擬機中。合約存儲在以太坊的區塊鏈上,并被編譯為以太坊虛擬機字節碼,通過虛擬機來運行。在終端打開ethereum文件夾,在終端命令行輸入node compile.js命令,編譯Solidity語言編寫的智能合約,自動生成build文件夾,其中為編譯過的智能合約;然后同樣在終端,在ethereum文件夾下運行node deploy.js命令,通過truffle-hdwallet-provider編譯過智能合約的bytecode提交到Rinkeby測試網。
在評估中,將所提網絡架構與其他方案中網絡架構的性能進行了比較。為了對方案進行分析,考慮了計算開銷、通信開銷和響應時間三個評價指標。對比方案為文獻[7]的基于風險的訪問控制方案,文獻[10]基于區塊鏈的身份驗證方案和文獻[11]結合云計算和區塊鏈的智能家居訪問控制方案。
首先,測試本文方案的計算開銷,計算開銷主要包括注冊和認證階段所涉及到的ECIES加解密算法、SHA256算法和解碼函數。實驗中使用發起一次注冊和認證請求所用的總時間作為計算開銷,實驗結果為10次測試的平均值。通過與文獻[7,10,11]進行比較,如圖6(a)所示。可以看出,本文方案所花費的時間最少,這是因為采用的ECC密碼密鑰長度更短,計算速度更快。然后,還測試了通信開銷,以發起一次訪問請求所用的傳輸帶寬作為本實驗的通信開銷,實驗結果也為10次測試的平均值。同樣進行對比,如圖6(b)所示。由于本文引入邊緣計算,使用了邊緣服務器來進行數據處理和傳輸,傳輸帶寬更低,所以通信開銷也就最低。
最后,測試了方案所用的響應時間,響應時間為發出訪問請求到訪問請求通過所用的時間。為了準確地模擬真實情況,將訪問請求的數量分別設置為5/10/15/20/25/30個。同樣與其他方案進行對比,如圖7所示,可以看出本文方案所用響應時間最少,沒有太多延遲。文獻[7]采用的是集中式網絡架構,開始時響應時間較少,但隨著請求數量的增加,集中式的架構不足以處理越來越多的訪問請求。文獻[10,11]都采用的是分布式網絡架構,并結合區塊鏈,但訪問請求是在云端進行處理。而本文方案是在邊緣端進行處理,所以比起其他方案有更少的響應時間。
5 結束語
智能家居給人們帶來了舒適便捷的生活環境,但網絡通信傳輸安全問題不容樂觀,人們的隱私安全正在遭受威脅。本文提出了基于區塊鏈的智能家居認證與訪問控制方案,該方案結合區塊鏈與密碼學技術,保護用戶身份和設備信息,同時引入邊緣計算保證高效的訪問控制。用戶和設備都有自己的唯一標志符,不需要額外的身份注冊。因此,本文方案可以解決用戶身份管理困難的問題。安全性分析表明本文方案具有數據防竄改、機密性、完整性和可擴展性等特點。實驗結果表明,本文方案與傳統方案相比具有更快的響應時間,能夠提供服務的可用性。由于智能家居系統本身還有許多難題需要解決,所以本文方案具體實施還需要一段時間,可以為以后的智能家居研究作參考。
參考文獻:
[1]Guhr N, Werth O, Blacha P P H, et al. Privacy concerns in the smart home context[J].SN Applied Sciences,2020,2(2):1-12.
[2]王基策,李意蓮,賈巖,等.智能家居安全綜述[J].計算機研究與發展,2018,55(10):2111-2124.(Wang Jice, Li Yilian, JiaYan, et al. Survey of smart home security[J].Journal of Computer Research and Development,2018,55(10):2111-2124.)
[3]Kang W M, Moon S Y, Park J H. An enhanced security framework for home appliances in smart home[J].Human-Centric Computing and Information Sciences,2017,7(1):1-12.
[4]Zhang Jiansong, Wang Zeyu, Yang Zhice, et al. Proximity based IoT device authentication[C]//Proc of IEEE Conference on Computer Communications.Piscataway,NJ:IEEE Press,2017:1-9.
[5]Jia Yunhan, Chen Q A, Wang Shiqi, et al. ContexIoT: towards providing contextual integrity to applified IoT platforms[EB/OL].[2021-07-24].http://dx.doi.org/10.14722/ndss.2017.23051.
[6]Han Jun, Chung A J, Sinha M K, et al. Do you feel what I hear? Enabling autonomous IoT device pairing using different sensor types[C]//Proc of the 39th IEEE Symposium on Security and Privacy.Piscataway,NJ:IEEE Press,2018:836-852.
[7]Rahmati A, Fernandes E, Eykholt K, et al. Tyche:risk-based permissions for smart home platforms[EB/OL].[2021-07-24].https://arxiv.org/pdf/1801.04609.pdf.
[8]蔡曉晴,鄧堯,張亮,等.區塊鏈原理及其核心技術[J].計算機學報,2021,44(1):84-131.(Cai Xiaoqing, Deng Yao, Zhang Liang, et al. The principle and core technology of blockchain[J].Chinese Journal of Computers,2021,44(1):84-131.)
[9]Lin Chao, He Debiao, Huang Xinyi, et al. BSeIn: a blockchain-based secure mutual authentication with fine-grained access control system for industry 4.0[J].Journal of Network and Computer Applications,2018,116:42-52.
[10]Hammi M T, Hammi B, Bellot P, et al. Bubbles of trust: a decentralized blockchain-based authentication system for IoT[J].Compu-ters amp; Security,2018,78:126-142.
[11]Lee Y, Rathore S, Park J H, et al. A blockchain-based smart home gateway architecture for preventing data forgery[J].Human-Centric Computing and Information Sciences,2020,10:article No.9.
[12]Li Jian, Zhang Zhenjiang, Hui Lin, et al. A novel message authentication scheme with absolute privacy for the Internet of Things networks[J].IEEE Access,2020,8:39689-39699.
[13]Tu Y J, Kapoor G, Piramuthu S. Security of lightweight mutual authentication protocols[J].The Journal of Supercomputing,2021,77(5):4565-4581.
[14]Velmurugadass P, Dhanasekaran S, Shasi A S, et al. Enhancing blockchain security in cloud computing with IoT environment using ECIES and cryptography hash algorithm[J].Materials Today: Proceedings,2020,37:2653-2659.
[15]Berdik D, Otoum S, Schmidt N, et al. A survey on blockchain for information systems management and security[J].Information Processing and Management,2020,58(1):102397.
[16]黃倩怡,李志洋,謝文濤,等.智能家居中的邊緣計算[J].計算機研究與發展,2020,57(9):1800-1809.(Huang Qianyi, Li Zhiyang, Xie Wentao, et al. Edge computing in smart homes[J].Journal of Computer Research and Development,2020,57(9):1800-1809.)
[17]Batalla J M, Gonciarz F. Deployment of smart home management system at the edge: mechanisms and protocols[J].Neural Computing and Applications,2019,31(5):1301-1315.
[18]Rao K, Nayak A, Ray I, et al. Role recommender-RBAC:optimizing user-role assignments in RBAC[J].Computer Communications,2021,166:140-153.
[19]Ding Sheng, Cao Jin, Li Chen, et al. A novel attribute-based access control scheme using blockchain for IoT[J].IEEE Access,2019,7:38431-38441.
[20]Liu Yue, Lu Qinghua, Chen Shiping, et al. Capability-based IoT access control using blockchain[J].Digital Communications and Networks,2021,7(4):463-469.
