基于聯盟鏈的物聯網設備身份認證方法

宋晴晴，徐 輝，楊冬蕾，佟 寧

（大連交通大學軟件學院，遼寧 大連 116028）

0 引言

物聯網作為21 世紀的新興戰略，是互聯網的技術延伸，也是互聯網之后一場更大的技術革命。物聯網的一個關鍵應用場景在于結合工業場景，這二者的結合也被稱為工業4.0［1］。然而，隨著物聯網互通互聯程度的進一步加深，其雖然給生產和制造業帶來了更多機會，但也為各種類型的網絡攻擊創造了環境。因此，有必要對物聯網設備層所采集的特殊數據進行身份認證，以高效、安全地維護物聯網安全。機構和組織聯合會在分布式數據庫中集體記錄其物聯網身份和運營信息，同時將這些信息提供給聯合會所有成員是一種保障物聯網安全的有效手段。本文設計了由聯盟鏈主體、低層設備節點及高層設備節點組成的聯盟鏈。低層設備節點為物聯網設備節點，高層設備節點為機構或組織所代表的節點。聯盟鏈對這些節點信息進行去中心化存儲，并對身份認證結果進行存儲，每個組織利用智能合約認證物聯網節點的身份標識和物聯網設備的使用功能。聯盟鏈有義務管理物聯網節點信息，物聯網節點向多個組織申請加入聯盟鏈，以完成初始化。物聯網節點必須在聯盟鏈中完成物聯網設備注冊，上傳節點信息，并在再次申請加入網絡時向聯盟鏈提交身份信息。第二次加入網絡時，需要向構建好的聯盟鏈提交主要認證信息，高層節點需要接受該請求，之后創建錢包。低層設備節點同時將需認證設備與已認證設備節點進行關聯，以方便后續操作。

1 研究背景

隨著物聯網技術的發展，從零散的設備接入到萬物互聯，實現了對社會溝通范圍、模式、渠道和效率的全方位改變。然而，物聯網在給人們工作、生活帶來便利的同時，也引發了一系列新的技術和社會問題［2］。無處不在的連接將導致嚴重的安全隱患，因此物聯網設備的身份認證極其重要［3］。近年來，身份認證技術解決了物聯網的部分安全問題，為保障物聯網安全提供了一個有效思路?；谏镒R別技術的身份認證策略相比傳統的身份鑒別技術具有安全性高、存在唯一性特征等優點，但該方法無法進行M2M 身份驗證，不適用于普遍的工業環境；Li等［4-5］提出一種將生物信息與密碼相結合的雙因素識別方法；Deebak等［6］提出將智能卡與生物信息結合進行認證，但該方法需要某些特殊硬件來達到識別認證目的；Beltran 等［7］提出一種基于令牌的聯合身份認證方法，以解決在物聯網某些場景中低功耗設備的能量限制問題。

以上研究成果均基于傳統的身份認證方法，其所具備的中心化結構很難滿足如今的物聯網體系。而區塊鏈作為一個去中心化技術，其具有的不可篡改、可追溯、公開透明等特性可作為網絡安全的一個保障。Bartolomeu 等［8］提出基于物聯網的自我主權身份（SSI）技術，該技術以區塊鏈技術為基礎提供去中心化身份標識符（DID），以此構建一個無需集中信任的模型；Yu 等［9］提出一種基于區塊鏈的智能工業應用選擇性撤銷匿名身份驗證方法，以解決智能工業環境中的憑證撤銷問題；Shen 等［10］提出一種區塊鏈輔助安全設備認證機制BASA，以解決不同域之間設備的認證問題；Zhang 等［11］構建一個大規模異構WSNs 協作身份驗證協議，以確保物聯網環境中數據來源的可靠性；Wang 等［12］設計一個協作驗證協議，包括一個內存效率高且快速的驗證人定位器、一個評估設備可信度的信任模型，以及一個用于動態更新和撤銷驗證的協議套件，以高效地驗證物聯網設備。

以上方法雖然在某種程度上解決了物聯網終端設備的可信性問題，但是基于集中式的身份認證方法存在若服務端遭受攻擊將導致整個系統無法使用的問題，基于區塊鏈的身份認證方法存在適用范圍受限的問題。由于聯盟鏈大多基于多個組織或機構集體背書產生的信用，因此可很大程度上提高傳統區塊鏈的效率與成本優勢。因此，本文提出基于聯盟鏈的物聯網設備身份認證方法，很好地解決了多個節點之間相互不信任的問題，對推進物聯網技術的大范圍安全應用具有重要意義。

2 相關技術概述

2.1 聯盟鏈

聯盟鏈是幾個私有鏈的集合，是由幾個機構控制的區塊鏈，每個組織或機構控制一個或多個節點［13］。其數據只允許系統中的不同機構讀取、寫入或傳輸。通常情況下，聯盟鏈中的每個節點都有一個相應的實體組織，允許其加入和離開網絡。各個機構組織形成一個利益相關者聯盟，以維護區塊鏈安全。

2.2 物聯網

物聯網（IoT）是目前的研究熱點，廣泛應用于網絡產品、系統和傳感器中，但全球對于物聯網尚沒有統一標準［14-15］。目前物聯網的整體系統架構主要分為6 層：數據層、網絡層、共識層、激勵層、合約層和應用層。

2.3 智能合約

智能合約可被視為區塊鏈技術的一大進步。在20 世紀90 年代，智能合約作為一種計算機化的交易協議被提出，其是一種執行協議的合同條款［16］。智能合約中嵌入的合同條款將在滿足特定條件時自動執行。智能合約是在區塊鏈上執行的，經批準的合同條款被轉換成可執行的計算機程序，合同條款之間的邏輯聯系也以程序中邏輯流的形式被保留。每個合同語句的執行都被記錄為存儲在區塊鏈中的不可變交易。而且，開發人員可為合同中的每個功能分配訪問權限，一旦智能合約中的任何條件得到滿足，被觸發的語句將以可預測的方式自動執行相應功能。

3 分布式身份認證設計與實現

3.1 研究問題分析

本文研究目的是在實現物聯網設備身份認證的同時，將認證結果存儲在聯盟鏈中。在需要使用物聯網設備時，設備的所有者可將用戶信息，例如用戶名和密碼存儲在服務器中。該服務器一般由中心化機構統一代理，一旦當用戶或設備需要登錄時，可使用該用戶已存儲的信息通過中心化服務器進行對比。如果對比成功，則允許該用戶設備登錄。本文研究一個基于聯盟鏈或產業鏈網絡的分布式服務器物聯網認證系統，該系統中不同物聯網設備之間或物聯網設備與聯盟鏈組織之間進行一對一通信。同時，這些物聯網節點的信息是通過使用公共密鑰的非對稱加密算法來識別的，因為在具體通信過程中，物聯網設備的身份信息及區塊鏈節點信息驗證的安全過程需要得到保護。

3.2 總體設計

通過區塊鏈的去中心化特性，將物聯網設備的身份認證信息進行去中心化存儲，以此降低認證過程的不安全因素。物聯網身份認證信息分布式存儲系統整體架構如圖1所示。物聯網節點的第一個請求被發送到聯盟鏈，聯盟鏈處理發送來的信息，共識根據算法生成一個新區塊。聯盟鏈利用信息處理模塊對物聯網節點信息進行處理，同時將處理結果發送給對外接口層。如果該設備第一次沒有請求認證，聯盟鏈則會由現有數據，主要包括本地存儲或之前維護的數據對此節點進行驗證。

Fig.1 Systematic entirety structure圖1 系統整體架構

3.3 物聯網設備注冊

聯盟鏈中最主要的節點就是低層設備，也即物聯網設備，因為物聯網設備所提供的信息是構成此網絡的核心要素。物聯網設備通過各種通信協議，如WiFi、4G、Lorea 和NB-ITT 等與聯盟鏈交換與傳輸信息。在初始化設備時，首先需要啟動注冊請求，通過調用機構提供的API 將設備添加到聯盟鏈網絡中。一旦設備注冊完成，聯盟鏈會為該設備創建一個錢包，錢包的私鑰將被存儲在設備上。設備注冊聯盟鏈流程如下：①初始化設備，之后物聯網設備向聯盟鏈發起注冊請求；②聯盟鏈通過使用設備請求注冊的信息，借此得到物聯網設備ID 等唯一標識信息；③聯盟鏈調用安全控制功能向機構發出注冊申請；④如果注冊成功，機構或組織獲取設備信息來獲取相應權限；⑤注冊成功后，聯盟鏈會為該節點創建一個錢包，之后將私鑰發送給節點。具體流程如圖2所示。

3.4 聯盟鏈驗證物聯網設備過程

物聯網設備身份認證功能的認證過程主要由4 個步驟構成：首先通過SHA 256 算法將公鑰轉化為自有特殊ID；當ID 生成后，物理設備發出加入聯盟鏈的請求；接下來需要在當前區塊中存儲該節點身份ID 的公鑰，同時將信息存儲在當前區塊鏈網絡中；最后利用智能合約技術設置低層節點的具體操作過程與操作權限。然后，此設備的用戶可通過區塊鏈交易的形式遠程操作設備、查詢設備信息，或將物聯網設備加入網絡等。

Fig.2 Device registration federated chain process圖2 設備注冊聯盟鏈流程

在安全性方面，為提高整個區塊鏈網絡的安全性，該系統會對物聯網設備的操作預先進行檢查。為防止惡意或危險節點發送錯誤請求，聯盟鏈在執行智能合約之后確定設備所能夠擁有的功能。聯盟鏈驗證設備過程如圖3所示。

Fig.3 Federated chain verification equipment process圖3 聯盟鏈驗證設備過程

智能合約執行過程如下：

4 實驗與分析

4.1 實驗步驟設計

在本研究中，數據層的交互信息是測試標準。當信息從互聯網設備上傳時，在物聯網設備中創建一個錢包，因為區塊鏈記錄的運行直接影響到設備響應時間。如果設備不及時向區塊發送和確認信息，就不可能正確調查設備數據或用戶操作設備時的意圖。因此，在這項研究中需要作進一步功能測試。

在此項研究中，區塊鏈在每次產生操作信息時，以及要產生新區塊即主區塊時，都會在區塊中記錄這些操作信息。假設節點生成了區塊，每個區塊都被認為是等價的。為該流程構建具體測試程序，首先在模擬構建的系統中，在所模擬的終端第一次請求加入網絡的過程中，根據系統整體設計，在擁有該設備的機構確認之后，才可以成功加入。一旦組織或機構確定加入，聯盟鏈則需要為該終端設備創建錢包，同時檢驗錢包是否生成，還需要檢查設備信息上傳過程是否成功。信息上傳完成后，該設備則需要每間隔2min 向聯盟鏈網絡發送身份驗證請求。該節點設備還需在聯盟鏈網絡中測試區塊是否成功生成以及其他具體信息。然后查看所模擬的終端設備，通過人為手段更改此設備信息后，再次每間隔2min 向聯盟鏈發送身份認證請求，并查看身份認證是否通過。

為該方案設計一個測試場景，檢查物聯網設備是否能在不同實驗環境下實現對設備的具體操作。所選4 臺設備的基本配置信息分別為：1 臺CPU 為英特爾i7、GPU 為英偉達MX50、RAM 為8G 的電腦；2 臺CPU 為因特爾i5、GPU分別為英特爾Graphics620 與英偉達MX150、RAM 均為4GB 的電腦；1 臺CPU 為英特爾八代i5，GPU 為英特爾UHD Graphics620、RAM 為4GB 的電腦。分別從不同設備生成錢包所需時間、區塊生成時間以及整體身份認證所花費時間來實驗本方法的可靠性。同時，為使設備節點能夠在大規模物聯網場景下有效地進行身份認證，將上述4 臺設備對應模擬成4 個組織機構，其上安裝Linux 系統，并配置Java PairingBased Cryptography 相關環境。使用MATLAB R2020a 模擬此次方案，并使用Hyperledger Fabric 創建大規模交易，模擬海量請求下的使用場景。

4.2 實驗結果分析

根據錢包創建實驗結果分析，聯盟鏈設備創建錢包的過程與物聯網設備創建過程十分相似，都是使用密碼學相關技術為用戶創建錢包，同時將私鑰存放在節點中，通過創建的公鑰對聯盟鏈組織或機構進行廣播。通過實驗，不同機構或組織生成錢包的速度如圖4所示。

Fig.4 Speed of wallets generated by different devices圖4 不同設備生成錢包的速度

由圖4 可知，生成錢包的數量不受設備因素影響，但隨著物聯網節點數量的增加，錢包生成的速度會略有提高。當一個節點需要生成一個新錢包時，會有一個新區塊來存儲具體交易信息。錢包生成速度會隨著節點的增加緩慢提高，這是因為存儲交易信息區塊的增長。

上述實驗數據表明，基于聯盟鏈的物聯網節點身份認證方案會伴隨著新區塊的產生，同時區塊中還可存儲具體信息操作過程。根據區塊生成實驗結果分析，本文還研究了創建區塊所需時間，并比較了在4 個不同物理平臺上更快地創建新字段所需時間。4 臺設備生成區塊所需時間如圖5所示。

Fig.5 Time required for four devices to generate blocks圖5 4臺設備生成區塊所需時間

從以上實驗結果可以看到，4 臺物聯網設備節點的生成時間都在一個適當、合理的范圍內，并且隨著物聯網設備節點生成變多，其增長速度會變慢。這是由于當區塊數量相對較多時，拜占庭算法的速度較慢，因為網絡通信很重要，節點必須協調生成新區塊。

本文的研究重點在于物聯網設備的身份認證。當物聯網節點將錢包創建完成后，這些設備需要加入聯盟鏈網路，在此過程中需要設備身份驗證以保證物聯網安全。實驗主要測試這些物聯網設備能否成功加入聯盟鏈，身份認證結果分析如圖6所示。

Fig.6 Analysis of identity authentication results圖6 身份認證結果分析

根據實驗結果，可看到認證成功和不成功的所需時間有所差異。時間上的差異在于認證后的操作，如果認證成功，組織會對每個設備進行訪問控制，如果認證失敗則不會進行。

5 總結與展望

本文在區塊鏈基礎上構建一個基于聯盟鏈的物聯網身份認證方案，實現去中心化的身份認證系統以及區塊與區塊之間的點對點通信。每個區塊除包含區塊頭的信息外，還包含關于物聯網身份認證的交易輸入和交易輸出。一旦記錄在區塊中，則這些數據不可逆。當區塊鏈系統建成后，通過對此平臺的分析及測試，使得此平臺更加符合物聯網特定場景，從而促進物聯網和區塊鏈技術的發展，這對于物聯網與區塊鏈在安全方面的技術融合具有重大意義。

使用區塊鏈技術來認證物聯網設備，實現物聯網設備的安全認證，對于保障物聯網安全具有重要意義。但是，從整個物聯網安全身份認證體系來看，還有很大的發展空間，很多問題需要作進一步研究。首先，物聯網設備節點本身，即使是輕量級節點，其處理速度和存儲空間也是有限的，隨著物聯網的發展，區塊創建數量的增加給設備存儲帶來了挑戰。此外，設備在聯盟鏈中上傳與廣播交易信息的頻繁操作對設備的存儲容量和計算能力提出了較高要求，難以滿足大規模物聯網場景下的需求，因此后續將在現有工作基礎上，圍繞大規模應用展開研究。其次，在區塊鏈共識算法下，隨著物聯網設備中節點數量的增加，系統的吞吐量會成倍增加，無疑對網絡性能提出了更高要求。同時，在區塊之間不選擇主節點，而是任何人都可以成為主節點來生成區塊，導致了區塊生成過程中聯盟鏈的性能浪費。最后，本文主要關注區塊鏈數據層的安全，缺乏從網絡層到應用層的物聯網完整認證系統。