面向物聯(lián)網(wǎng)的區(qū)塊鏈分布式身份認(rèn)證模型研究

基金項(xiàng)目：四川省高等教育人才培養(yǎng)質(zhì)量和教學(xué)改革項(xiàng)目；項(xiàng)目編號：JG2021-521。中央高校教育教學(xué)改革專項(xiàng)；項(xiàng)目編號：E2022078。中飛院校級科研項(xiàng)目；項(xiàng)目編號：J2022-042。中飛院新建本科專業(yè)標(biāo)準(zhǔn)及實(shí)驗(yàn)教學(xué)平臺建設(shè)項(xiàng)目；項(xiàng)目編號：MHJY2022038。

作者簡介：向宴頡（1996— ），女，助教，碩士；研究方向：區(qū)塊鏈。

摘要：物聯(lián)網(wǎng)是物理設(shè)備與信息技術(shù)的融合與應(yīng)用，在工業(yè)互聯(lián)網(wǎng)發(fā)展中發(fā)揮著重要的作用。隨著物聯(lián)網(wǎng)設(shè)備的增加，物聯(lián)網(wǎng)在計(jì)算處理和存儲等方面的資源受限，集中式的物聯(lián)網(wǎng)平臺兼容性差，且數(shù)據(jù)得不到有效保障，存在數(shù)據(jù)泄露等風(fēng)險，物聯(lián)網(wǎng)的安全訪問面臨著巨大的風(fēng)險與挑戰(zhàn)，迫切需要一種適應(yīng)物聯(lián)網(wǎng)的身份認(rèn)證模型保證其安全性。因此，文章基于區(qū)塊鏈技術(shù)，提出一種面向物聯(lián)網(wǎng)的分布式身份認(rèn)證模型，利用分布式身份（Decentralized Identity，DID）為物聯(lián)網(wǎng)設(shè)備注冊唯一的身份標(biāo)識符，該模型適用于物聯(lián)網(wǎng)環(huán)境，保護(hù)了物聯(lián)網(wǎng)設(shè)備身份數(shù)據(jù)的完整性和有效性。

關(guān)鍵詞：區(qū)塊鏈；身份認(rèn)證；物聯(lián)網(wǎng)；分布式數(shù)字身份

中圖分類號： TP309" 文獻(xiàn)標(biāo)志碼：A

0" 引言

隨著工業(yè)4.0概念的提出，物聯(lián)網(wǎng)設(shè)備也隨之呈指數(shù)級的增長。Gong等［1］指出預(yù)計(jì)到2035年物聯(lián)網(wǎng)設(shè)備總數(shù)將增加到250億。與此同時，物聯(lián)網(wǎng)的安全問題也受到了眾多學(xué)者（如Zhu等［2-3］研究）的廣泛關(guān)注。如何受信任地訪問物聯(lián)網(wǎng)設(shè)備，確保物聯(lián)網(wǎng)設(shè)備的安全性已成為一個新的挑戰(zhàn)。身份認(rèn)證機(jī)制為網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備的身份安全奠定了堅(jiān)實(shí)的技術(shù)基礎(chǔ)。然而傳統(tǒng)的物聯(lián)網(wǎng)安全認(rèn)證協(xié)議大多采用集中式認(rèn)證方式，依賴第三方中心機(jī)構(gòu)，存在單點(diǎn)故障以及隱私數(shù)據(jù)泄露的風(fēng)險。

區(qū)塊鏈?zhǔn)且环N去中心化的分布式賬本技術(shù)，為解決物聯(lián)網(wǎng)身份安全問題提供了新途徑。Cui等［4］提出了一種基于區(qū)塊鏈的物聯(lián)網(wǎng)多傳感器認(rèn)證方案，通過不同類型的節(jié)點(diǎn)構(gòu)建包含本地鏈和公有鏈的區(qū)塊鏈網(wǎng)絡(luò)。在該混合模型中，實(shí)現(xiàn)了簇頭節(jié)點(diǎn)與普通節(jié)點(diǎn)之間的身份信息注冊和節(jié)點(diǎn)之間的通信認(rèn)證。袁剛等［5］借助于區(qū)塊鏈，提出一種分布式的物聯(lián)網(wǎng)身份驗(yàn)證方案，創(chuàng)建安全的虛擬區(qū)，使相同虛擬區(qū)內(nèi)的物品互相信任。譚琛等［6］結(jié)合密碼學(xué)技術(shù)，提出了物聯(lián)網(wǎng)分布式認(rèn)證方案，該方案通過設(shè)置2個權(quán)威機(jī)構(gòu)實(shí)現(xiàn)權(quán)力分散化，相互制約合作管理公共數(shù)據(jù)庫。

基于以上研究，本文借助于區(qū)塊鏈技術(shù)，提出一種分布式的物聯(lián)網(wǎng)設(shè)備身份認(rèn)證模型。該模型采用分布式數(shù)字身份（Decentralized Identity， DID）為物聯(lián)網(wǎng)設(shè)備提供唯一的身份標(biāo)識符，該數(shù)字身份不依賴任何中心化身份管理系統(tǒng)，有效地避免了物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)泄露，保障物聯(lián)網(wǎng)身份數(shù)據(jù)的完整性與有效性，并且該設(shè)備身份標(biāo)識符能夠在不同場景中使用，不依賴于身份服務(wù)提供商，具備高適用性和可移植性，為物聯(lián)網(wǎng)設(shè)備的身份認(rèn)證提供了一種具有參考價值的模型。

1" 相關(guān)技術(shù)概述

1.1" 分布式數(shù)字身份

隨著數(shù)字化服務(wù)需求的增加，數(shù)字身份作為互聯(lián)網(wǎng)中不可缺少的訪問憑證。W3C組織提出了分布式數(shù)字身份，該身份管理模型依靠區(qū)塊鏈技術(shù)為技術(shù)支撐，不依賴任何中心機(jī)構(gòu)，數(shù)字身份由身份持有者自己控制。

在分布式數(shù)字身份中，有3類角色：身份持有者、身份發(fā)布者和身份驗(yàn)證者。身份發(fā)布者為身份持有者頒發(fā)數(shù)字身份證書，身份憑證是針對有關(guān)持有者的一些身份屬性數(shù)據(jù)和身份特征的可驗(yàn)證的聲明。身份持有者是身份證書的擁有者，對數(shù)字身份證書具有完全的控制權(quán)。數(shù)據(jù)驗(yàn)證者是身份驗(yàn)證過程的一個實(shí)體，向受信任的身份發(fā)布者請求特定的憑據(jù)，并通過身份發(fā)布者的簽名驗(yàn)證數(shù)字身份證書的真實(shí)性。

1.2" 物聯(lián)網(wǎng)

物聯(lián)網(wǎng)是一種新興產(chǎn)業(yè)，受到了學(xué)術(shù)界（如譚琛等［6］研究）和工業(yè)界（如Wang等［7］研究）的高度關(guān)注。它利用新一代的信息技術(shù)和通信技術(shù)，與傳統(tǒng)的產(chǎn)業(yè)融合，如傳感器、發(fā)射器和控制器等。隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)大大提高了制造效率和產(chǎn)品質(zhì)量，降低了產(chǎn)品成本和資源消耗，在物流、零售、交通等行業(yè)有了一定的規(guī)模。但也正是因?yàn)槠渖婕暗脑O(shè)備眾多且各不相同，內(nèi)外使用到的通信協(xié)議在設(shè)計(jì)之初并未考慮安全性，可能存在如默認(rèn)密碼弱、缺乏安全更新機(jī)制、未進(jìn)行身份校驗(yàn)等漏洞，使得黑客可以遠(yuǎn)程入侵設(shè)備，獲取敏感信息或者控制設(shè)備。此外物聯(lián)網(wǎng)行業(yè)缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和規(guī)范，導(dǎo)致不同廠商的設(shè)備可能存在不同的安全措施和實(shí)施方式。最為嚴(yán)重的是，物聯(lián)網(wǎng)設(shè)備收集了大量的用戶數(shù)據(jù)，包括個人身份信息、位置信息、行為習(xí)慣等。如果這些敏感數(shù)據(jù)沒有得到妥善的保護(hù)，就可能被黑客獲取和濫用，導(dǎo)致用戶隱私泄露［8］。所以物聯(lián)網(wǎng)核心網(wǎng)絡(luò)安全也成為研究者們重視的一個問題，如信息傳輸、物聯(lián)網(wǎng)數(shù)據(jù)安全和網(wǎng)絡(luò)入侵等。確保物聯(lián)網(wǎng)的高度安全性是一個難題，而身份認(rèn)證是確保網(wǎng)絡(luò)安全的“第一防護(hù)線”。身份安全是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全堅(jiān)實(shí)的后盾。

1.3" 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)又稱為分布式賬本，在多方協(xié)商和治理場景中發(fā)揮著重要的作用。目前應(yīng)用于產(chǎn)品溯源［9］、商業(yè)互信談判以及電子商業(yè)等領(lǐng)域［10-11］。區(qū)塊鏈以每個區(qū)塊相連而成，其數(shù)據(jù)包可跨多個站點(diǎn)復(fù)制存儲，由分布式服務(wù)網(wǎng)絡(luò)管理。因此，區(qū)塊鏈具有分布式、去中心化以及可擴(kuò)展性的特點(diǎn)，能夠抵抗單點(diǎn)故障，消除集中式基礎(chǔ)設(shè)施的中心節(jié)點(diǎn)作惡風(fēng)險。分布式賬本中的數(shù)據(jù)能夠跨節(jié)點(diǎn)記錄并同步區(qū)塊鏈特征，具有不可變性和持久性，構(gòu)成了提供安全可靠的分布式交流系統(tǒng)的潛在基礎(chǔ)設(shè)施。

2" 面向物聯(lián)網(wǎng)的分布式身份認(rèn)證模型

2.1" 系統(tǒng)模型

本文利用DID技術(shù)實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備身份的統(tǒng)一性，通過區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)設(shè)備提供可信的身份憑證，采用DID技術(shù)與區(qū)塊鏈技術(shù)的有效融合，在物聯(lián)網(wǎng)設(shè)備生命周期中實(shí)現(xiàn)身份的注冊，可驗(yàn)證憑證的頒發(fā)，身份的驗(yàn)證，保證設(shè)備的數(shù)據(jù)安全。基于區(qū)塊鏈的分布式物聯(lián)網(wǎng)設(shè)備分布式身份認(rèn)證系統(tǒng)架構(gòu)如圖1所示，包含身份提供者、物聯(lián)網(wǎng)設(shè)備、身份驗(yàn)證者、區(qū)塊鏈網(wǎng)絡(luò)4部分。

2.1.1" 身份提供者

身份提供者是物聯(lián)網(wǎng)設(shè)備身份的頒發(fā)者，主要職責(zé)包括為物聯(lián)網(wǎng)設(shè)備頒發(fā)數(shù)字身份證書，上傳數(shù)字證書的哈希至區(qū)塊鏈，在物聯(lián)網(wǎng)應(yīng)用場景中可由生產(chǎn)廠商擔(dān)任此角色。數(shù)字證書包含物聯(lián)網(wǎng)設(shè)備唯一標(biāo)識符DID以及該設(shè)備的公鑰信息。DID是通過將設(shè)備的公鑰信息經(jīng)過hash算法生成唯一的標(biāo)識符，可用于識別物聯(lián)網(wǎng)設(shè)備。其中公鑰用于加密數(shù)據(jù)或者進(jìn)行簽名校驗(yàn)等，以確保數(shù)據(jù)的機(jī)密性與完整性。此外，證書中也會包括識別號、硬件編碼、序列號和生產(chǎn)批次等用于輔助識別設(shè)備的信息。

2.1.2" 物聯(lián)網(wǎng)設(shè)備

物聯(lián)網(wǎng)設(shè)備會根據(jù)廠商的安全方案，依據(jù)相關(guān)安全參數(shù)使用安全算法生成一個具備隨機(jī)性的私鑰后，并利用橢圓曲線算法針對該安全私鑰生成對應(yīng)的公鑰。橢圓曲線算法具有高安全性與效率，適合物聯(lián)網(wǎng)資源受限的環(huán)境。為了確保設(shè)備的唯一性和識別性，物聯(lián)網(wǎng)設(shè)備將其公鑰通過哈希算法進(jìn)行哈希運(yùn)算，生成一個唯一的標(biāo)識符，即DID。為了確保標(biāo)識符的安全性和防篡改性，物聯(lián)網(wǎng)設(shè)備將生成的DID存儲至區(qū)塊鏈網(wǎng)絡(luò)中。

2.1.3" 身份驗(yàn)證者

當(dāng)物聯(lián)網(wǎng)設(shè)備請求訪問服務(wù)時，會攜帶自己的數(shù)字證書。身份驗(yàn)證者負(fù)責(zé)對該數(shù)字證書進(jìn)行驗(yàn)證，以確認(rèn)設(shè)備的真實(shí)性和合法性，確保數(shù)據(jù)的機(jī)密性和完整性。身份驗(yàn)證者會先驗(yàn)證數(shù)字證書的簽名，確保證書的有效與真實(shí)。接著身份驗(yàn)證者會核對設(shè)備攜帶的數(shù)字證書中的唯一標(biāo)識符（DID）是否與設(shè)備自身所宣稱的DID相匹配，確保設(shè)備的真實(shí)性。

2.1.4" 區(qū)塊鏈網(wǎng)絡(luò)

區(qū)塊鏈網(wǎng)絡(luò)為物聯(lián)網(wǎng)身份認(rèn)證提供了去中心化環(huán)境，保證物聯(lián)網(wǎng)設(shè)備數(shù)字身份證書的不可篡改以及身份的真實(shí)性、完整性和有效性。此外，區(qū)塊鏈網(wǎng)絡(luò)還可以通過智能合約等功能實(shí)現(xiàn)更復(fù)雜的身份驗(yàn)證機(jī)制。智能合約是在區(qū)塊鏈上執(zhí)行的自動化合約，可以定義特定的身份驗(yàn)證規(guī)則和條件。物聯(lián)網(wǎng)設(shè)備可以通過智能合約進(jìn)行身份驗(yàn)證，并獲得相應(yīng)的訪問權(quán)限。這種基于區(qū)塊鏈的智能合約可以提供高度靈活和安全的身份驗(yàn)證機(jī)制。

2.2" 分布式物聯(lián)網(wǎng)設(shè)備身份認(rèn)證

本研究提出的分布式物聯(lián)網(wǎng)設(shè)備身份認(rèn)證模型包括3類智能合約：身份注冊智能合約、數(shù)字身份證書頒發(fā)智能合約、物聯(lián)網(wǎng)設(shè)備身份認(rèn)證智能合約。注冊合約為物聯(lián)網(wǎng)設(shè)備在區(qū)塊鏈上登記注冊，身份提供者通過數(shù)字身份證書頒發(fā)合約為物聯(lián)網(wǎng)提供身份證明，身份驗(yàn)證者利用驗(yàn)證合約能夠驗(yàn)證物聯(lián)網(wǎng)設(shè)備身份的真實(shí)性與有效性。

在物聯(lián)網(wǎng)身份認(rèn)證過程中，物聯(lián)網(wǎng)設(shè)備先生成自身公私鑰對，其公鑰值經(jīng)過哈希加密生成該設(shè)備的DID，并將DID與公鑰值保存在區(qū)塊鏈中，此階段為物聯(lián)網(wǎng)設(shè)備的身份注冊。身份提供者為該設(shè)備頒發(fā)數(shù)字身份證書，將設(shè)備的DID、公鑰值、身份憑證ID、身份提供者DID、數(shù)字證書的有效期T以及當(dāng)前的時間戳t經(jīng)過數(shù)字簽名，并將該簽名后的數(shù)字證書哈希加密后發(fā)布至區(qū)塊鏈，區(qū)塊鏈上各節(jié)點(diǎn)互相驗(yàn)證消息并廣播。

物聯(lián)網(wǎng)設(shè)備向云服務(wù)發(fā)出訪問請求時，身份驗(yàn)證者接收物聯(lián)網(wǎng)設(shè)備發(fā)出的數(shù)字身份證書，并通過區(qū)塊鏈驗(yàn)證該證書的哈希值與鏈上的證書哈希是否一致，若一致則驗(yàn)證成功，為此物聯(lián)網(wǎng)設(shè)備提供服務(wù)；否則，該分布式身份認(rèn)證模型拒絕服務(wù)。

3" 結(jié)語

本研究提出了一種分布式物聯(lián)網(wǎng)身份管理模型，對該系統(tǒng)模型進(jìn)行了介紹，包括身份提供者、物聯(lián)網(wǎng)設(shè)備、身份驗(yàn)證者和區(qū)塊鏈網(wǎng)絡(luò)4個主體，并闡述了分布式物聯(lián)網(wǎng)身份驗(yàn)證的過程，保障了分布式物聯(lián)網(wǎng)設(shè)備數(shù)字身份的有效性與完整性。

參考文獻(xiàn)

［1］GONG L Q， ALGHAZZAWI D M， CHENG L. BCoT sentry： A blockchain-based identity authentication framework for IoT devices［J］. Information， 2021（5）： 203.

［2］ZHU H W， WANG X S. An information security analysis method of Internet of Things based on balanced double SVM［J］. Journal of Intelligent and Fuzzy Systems， 2020（6）： 8633-8642.

［3］HE S， HUANG J， YANG P L. Build with intrinsic security： trusted autonomy security system［J］. International Journal of Distributed Sensor Networks， 2020 （11）： 15501477209.

［4］CUI Z H， XUE F， ZHANG S Q， et al. A hybrid blockchain-based identity authentication scheme for multi-WSN［J］. IEEE Transactions on Services Computing， 2020（2）： 241-251.

［5］袁剛，溫圣軍，唐琦，等.基于共有區(qū)塊鏈的物聯(lián)網(wǎng)分布式身份驗(yàn)證方法［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2021（7）：1859-1866.

［6］譚琛，陳美娟，AMUAH E A.基于區(qū)塊鏈的分布式物聯(lián)網(wǎng)設(shè)備身份認(rèn)證機(jī)制研究［J］.物聯(lián)網(wǎng)學(xué)報(bào)，2020（2）：70-77.

［7］WANG A H， WANG P S， MIAO X Q， et al. A review on non-terrestrial wireless technologies for smart city Internet of Things［J］. International Journal of Distributed Sensor Networks， 2020（6）： 15501477209.

［8］AYDOS M， VURAL Y， TEKEREK A. Assessing risks and threats with layered approach to Internet of Things security［J］. Measurement and Control， 2019（5-6）： 338-353.

［9］CAO Y， JIA F， MANOGARAN G. Efficient traceability systems of steel products using blockchain-based industrial Internet of Things［J］. IEEE Transactions on Industrial Informatics， 2019（9）： 6004-6012.

［10］吳迪.遏制“竊聽風(fēng)云”，保護(hù)信息安全的力度亟待加強(qiáng)［N］.工人日報(bào)，2021-01-06（005）.

［11］高石宇.數(shù)字經(jīng)濟(jì)時代下物聯(lián)網(wǎng)創(chuàng)新企業(yè)發(fā)展態(tài)勢及建議［J］.商展經(jīng)濟(jì)，2023（19）：69-72.

（編輯" 沈" 強(qiáng)）

Research on blockchain distributed identity authentication model for the Internet of Things

Xiang" Yanjie， Zhang" Huan

（Civil Aviation Flight University of China， Guanghan 618311， China）

Abstract：" The Internet of Things is the integration and application of physical equipment and information technology， and plays an important role in the development of the Industrial Internet. With the increase of IoT devices， the resources of IoT in computing， processing and storage are limited. The centralized IoT platform has poor compatibility， and data cannot be effectively protected. There are risks such as data leakage. The secure access of IoT is faced with There are huge risks and challenges， and an identity authentication model adapted to the Internet of Things is urgently needed to ensure its security. Therefore， this article proposes a distributed identity authentication model for the Internet of Things based on blockchain technology， using Decentralized Identity （DID） to register unique identity identifiers for Internet of Things devices. This model is suitable for the Internet of Things environment.， protecting the integrity and validity of identity data of IoT devices.

Key words： blockchain; identity authentication; Internet of Things; decentralized identity