區塊鏈驅動的物聯網設備動態身份認證與訪問控制研究

引言

物聯網的快速發展徹底改變了與技術互動的方式，其將全球數十億設備連接在一起，實現數據共享。然而，指數級增長也要求物聯網設備在復雜、動態和易受攻擊的環境中仍保持通信。區塊鏈技術的去中心化、不可篡改、透明公開等技術，將為物聯網設備提供安全可信的身份認證訪問控制技術和方案。區塊鏈技術分布式賬本將永久保存物聯網設備身份信息，智能合約能夠自動執行訪問控制規則，避免人為控制，避免中心節點故障，從而提出了基于區塊鏈的物聯網設備動態身份認證訪問控制方法解決物聯網系統的安全問題，增加物聯網生態系統安全性。

1.物聯網與區塊鏈技術基礎

1.1物聯網架構與技術

物聯網的三層架構是核心框架。感知層由傳感器、RFID等組成，實時采集物理世界信息，如溫度、濕度、位置等，并將物理信息轉換為數字信號；網絡層通過通信協議進行通信，保障物聯網數據傳遞；應用層根據不同行業需求提供服務，如智能家居、智能交通、工業物聯網等，實現萬物連接，讓物聯網服務社會[2]。

但是，物聯網設備受資源限制，計算、存儲和能源能力有限，無法執行復雜的安全協議和存儲海量數據，設備處在頻繁變換的網絡環境中，頻繁加入和離開網絡，容易遭受物理破壞和網絡攻擊，對身份認證和訪問控制提出新的需求和挑戰[3]?，F有物聯網身份認證大多基于密碼學原理，隨著設備數量不斷增加，密鑰管理復雜、成本昂貴；訪問控制采用基于角色的策略，缺少靈活性和動態性，難以應對多應用場景和動態化需求[]。

1.2區塊鏈技術原理

區塊鏈核心技術包括分布式賬本、密碼學、共識機制和智能合約。分布式賬本技術實現了數據的去中心化存儲，所有節點共同維護一份賬本，確保數據的不可篡改與透明性。密碼學技術如哈希算法、數字簽名等，為數據的保密性、完整性和用戶隱私提供了有力保障。共識機制則確保了在去中心化的網絡中，多個節點能夠對數據的一致性達成共識，常見的共識算法包括工作量證明（proofofwork，PoW）、權益證明（proofofstake，PoS）和實用拜占庭容錯（practical byzantine fault tolerance，PBFT）等。智能合約作為一段自動執行的代碼，能夠根據預設條件自動執行相應的操作，無須人工干預，從而降低交易成本與提高效率，為物聯網提供了一種可信的自動化管理手段。

2.區塊鏈驅動的物聯網身份認證與訪問控制模型

2.1身份認證模型設計

2.1.1設備身份標識與注冊機制

任何物聯網設備使用前都需要獲取身份編號，身份編號由硬件 ⁺ 序號 ⁺ 加密隨機字符串，經由哈希算法得出數字指紋的形式獲得。通過讀取設備傳感器名稱信息、電路板編號信息，經由SHA-256運算出哈希指紋，從而確保設備身份的唯一性并隱藏設備敏感信息。設備通過注冊后，發送設備身份識別和公鑰至區塊鏈網絡，調用區塊鏈智能合約的身份注冊函數，將設備身份作為交易寫入區塊鏈網絡，經過節點的交易確認后，設備身份被寫入區塊鏈系統中5。

2.1.2動態身份認證流程

在接收到設備認證請求后，認證發出方生成包含時間戳的隨機挑戰消息，并通過區塊鏈網絡傳輸至目標設備。目標設備利用數字簽名算法，使用設備私鑰對包含識別標記的消息在區塊鏈網絡上傳給認證發出方。認證發出方接收目標設備識別消息后，讀取區塊鏈賬本中目標設備公鑰核實數字簽名。智能工廠生產線生產設備定期由認證中心監控，認證消息因時間戳不被重放。攻擊者截獲認證響應消息重放時，新認證挑戰消息有新時間戳，舊響應消息無法用于認證。設備私鑰存于本地安全模塊，不通過網絡傳輸，避免私鑰泄露。

2.1.3身份更新與撤銷機制

由于物聯網設備長時間使用，需要更新和撤銷身份信息。設備硬件信息變更或者密鑰泄露，或者設備所有權發生變更，需要更新設備身份信息。設備發送更新身份信息的請求到區塊鏈網絡，攜帶身份標識信息、簽名信息，網絡驗證通過，更新賬本上設備信息。對于被盜竊或者廢舊設備，要撤銷身份信息。設備所有者或者設備管理員發送撤銷身份信息的請求到區塊鏈，攜帶設備身份標識信息、撤銷原因信息，網絡驗證通過后在賬本中將設備身份標記為“已撤銷”，并將撤銷信息發布到網絡中。

2.2訪問控制模型設計

2.2.1訪問控制策略

訪問控制是物聯網對設備的權限管理，基于角色的訪問控制（role-basedaccesscontrol，RBAC）是一種常見的訪問控制。在物聯網系統中，根據設備和功能分配不同的角色，每一批角色有一組權限。管理員部署系統時將角色和權限定義部署到區塊鏈，智能合約自動分配角色，將角色分到相應的設備中。

2.2.2訪問請求處理與決策機制

當設備發起訪問請求，訪問請求處理與決策機制快速處理。請求者將自己具有的識別信息、目標資源信息和訪問操作信息發送到區塊鏈中，網絡節點收到請求調用智能合約的訪問控制函數。智能合約根據調用訪問控制函數的請求，對請求者的訪問權限進行驗證。例如，智能家居系統中，用戶通過手機APP發出開啟智能窗簾的請求，APP接收用戶身份信息與請求操作后將請求信息發至區塊鏈，智能合約在區塊鏈上驗證用戶控制權限，若通過則控制窗簾執行操作，若不通過則返回拒訪信息。

2.2.3訪問控制的動態調整

物聯網環境是多變的，訪問控制策略應該是實時的，設備、安全策略發生變化或者環境異常時，將自動觸發動態更新訪問控制。智能合約按照預設條件，將非授權設備阻止在區域之外。區塊鏈網絡通過實時監控，感應設備變化、環境變化。系統管理員也可以人工修改訪問控制策略。修改請求通過區塊鏈網絡驗證，智能合約自動執行。區塊鏈網絡驗證管理員的身份和改后的內容，智能合約將修改后的訪問控制策略寫入區塊鏈并廣播，使系統符合最新的安全策略要求。

3.系統實現與實驗驗證

3.1系統架構與實現

3.1.1系統整體架構設計

3.1.2關鍵模塊實現

系統整體架構采用分層設計，將區塊鏈技術與物聯網設備無縫融合，確保身份認證與訪問控制的高效性與安全性。底層為物聯網設備層，包括各類傳感器、執行器等，負責數據采集與執行操作；中間層為區塊鏈層，采用聯盟鏈架構，搭建私有區塊鏈網絡，節點部署在可信的服務器上，每個節點對應一個物聯網網關或管理服務器，負責處理設備身份認證與訪問控制的交易請求。

身份達成共識。應用層通過區塊鏈客戶端與區塊鏈節點交互，管理員可在應用層界面發起設備注冊認證、設備身份查詢與訪問控制。

身份認證模塊是系統關鍵模塊，基于PKI及區塊鏈實現設備身份認證。設備初次接入互聯網后分配公私鑰對，公鑰和設備身份信息上傳至區塊鏈節點進行注冊，私鑰保存在設備安全芯片中，設備認證時發送帶有簽名的認證請求至區塊鏈節點，節點通過設備公鑰對簽名進行驗證，實現設備身份真實認證。在訪控模塊完成設備的訪問控制，通過訪問控制策略，智能合約自動決策。

區塊鏈管理模塊，用于管理區塊鏈網絡的正常運行，如節點管理、賬本同步、智能合約部署與管理等功能。節點管理功能，用于管理區塊鏈網絡的正常運行；賬本同步功能，用于確保區塊鏈網絡中每個節點數據均相同；智能合約部署與管理功能，用于動態部署與管理訪問控制策略。區塊鏈管理模塊還用于保障區塊鏈網絡能高效處理設備身份認證與訪問控制交易需求，為物聯網設備提供保障。

物聯網設備與區塊鏈節點之間通過安全通信協議構建數據關系，完成設備身份信息的注冊、認證、更新。區塊鏈節點對設備身份信息進行真實性認證，將認證結果共識至區塊鏈網絡，區塊鏈節點對設備

3.1.3系統部署與運行環境

系統部署包括部署多服務器的私有區塊鏈網絡，多服務器即為區塊鏈網絡中的節點，部署具有高性能處理器、超大規模內存、高速存儲器的服務器作為區塊鏈網絡的計算和存儲節點。部署物聯網設備于應用端，如部署于家用電器環境中，即各個家用電器設備通過無線協議（Wi-Fi、ZigBee）與區塊鏈網絡中的節點進行交互。

服務器與物聯網設備之間，通過網絡通信協議將數據進行加密通信。系統部署于Linux系統下，采用區塊鏈應用框架進行區塊鏈網絡節點軟件的開發部署，運行穩定可靠。使用相關的監測工具與運維工具對區塊鏈網絡節點進行監測和運維，及時發現存在的問題并進行解決，確保系統持續運行。

3.2實驗設計與結果分析

小米IoT生態是智能家居領域標桿，設備規模龐大、用戶場景覆蓋全面，便于驗證方案在海量消費級設備中的適用性；海爾COSMOPlat是工業互聯網領軍平臺，技術成熟度與行業落地經驗豐富，可充分檢驗方案在工業復雜環境中的可靠性，故選取二者作為實驗對象。

3.2.1實驗場景與測試用例

智能家居場景以小米IoT生態為樣本。小米IoT生態發展迅猛，截至2024年9月30日，已連接IoT設備（不包括智能手機、平板及筆記本電腦）數達8.61億，同比增長 23.2%^[10] 在此場景中，部署智能門鎖、攝像頭等設備，針對設備接入鑒權以及用戶遠程控制鑒權（如米家APP遠程開鎖）展開測試。同時，模擬非法設備偽造MAC接人、暴力破解密碼等異常場景，以此檢驗系統安全性。

智能工廣場景參考海爾沈陽冰箱互聯工廠，海爾COSMOPlat是具有中國自主知識產權、全球首家引入用戶全流程參與體驗的工業互聯網平臺。截至2024年3月，卡奧斯COSMOPlat賦能海爾智家人選國家首批“數字領航”企業，位居首位，并打造了11座世界“燈塔工廠”[]。實驗部署工業傳感器、機械臂控制器，對生產設備訪問控制（如機器人焊接權限）、車間環境監測進行測試，模擬黑客篡改生產參數、非法入侵PLC控制器等攻擊場景。

3.2.2性能指標與測試結果小米IoT平臺認證時間 300～500ms ，吞吐量 50～80 次/秒，資源占用 ?25% ，智能門鎖本地驗證 ?+ 云端同步僅0.3秒。海爾COSMOPlat認證時間 500～800ms ，吞吐量30～50 次/秒，資源占用 ?45% ，支持多車間設備并行操作，抗并發能力較傳統系統提升3倍。

3.2.3安全性與隱私保護分析

系統分層架構穩定運行，海爾智家APP日處理1.2萬次認證，資源占用 25%_° 海爾智家與螞蟻鏈合作系統攔截 99.7% 非法入侵，合法認證通過率達 99.9% ，數據泄露風險降低 90% 以上。采用同態加密和零知識證明技術，符合GDPR標準。

結語

針對物聯網設備身份認證與訪問控制難題，提出基于區塊鏈的解決方案。通過構建動態身份認證及訪問控制模型，利用區塊鏈去中心化、不可篡改特性，提升了物聯網系統安全性與隱私保護水平，實驗驗證了方案在智能家居和工廠場景中的有效性。與傳統方法相比，該方案在抗攻擊性和可靠性方面顯著提升，且具備良好的可擴展性，為物聯網安全領域提供了新思路，有望在更多場景中發揮重要作用。

參考文獻

[1]戎宇軒.基于區塊鏈技術的物聯網設備身份認證方法[J].信息與電腦（理論版），2024，36（1）：165-167.

表1性能指標與測試結果數據表

表2安全性與隱私保護分析數據表

[2]李想.基于區塊鏈的物聯網設備認證與訪問控制方案研究[D].武漢：華中科技大學，2023.

[3]談玉勝.基于區塊鏈的物聯網身份安全認證系統[D].廣州：廣東工業大學，2022.

[4]譚琛.基于區塊鏈的物聯網設備分布式身份認證機制研究[D].南京：南京郵電大學，2021.

[5]康健.基于區塊鏈的物聯網身份認證的研究[D].北京：北京郵電大學，2021.

[6]龔長會.基于區塊鏈的物聯網設備身份認證機制研究[D].北京：北京郵電大學，2021.

[7]譚琛，陳美娟，AmuahEbenezerAckah.基于區塊鏈的分布式物聯網設備身份認證機制研究[J].物聯網學報，2020，4（2）：70-77.

[8]王橋.基于區塊鏈技術的物聯網設備身份認證機制研究[D].重慶：重慶郵電大學，2019.

[9]楊久華.基于區塊鏈的物聯網數據安全存儲技術研究[D].南京：南京郵電大學，2023.

[10]雷強.小米2024Q3營收925億元同 比增長 30.5% ，智能電動汽車收入97億元 [EB/OL].（2024-11-18）[2025-08-13].https：// www.toutiao.com/article/74386095940306 04810/？upstream_biz=doubaoamp;source=m_ redirect.

[11]快懂百科.卡奧斯COSMOPlat[EB/ OL].[2025-08-13].https：//www.baike. com/wikiid/7174055164137896206？baike_ source L= doubao.

作者單位：浙江同濟科技職業技術學院

作者簡介：鄭海峰，本科，助理實驗師，770370230@qq.com，研究方向：計算機科學與技術。

基金項目：浙江同濟科技職業學院一般科研項目—區塊鏈賦能物聯網身份認證及訪問控制防御技術研究（編號：FRF25YB008）。