CN116506211A - 物联网基于联盟链和信任网的跨域访问控制方法及系统 - Google Patents
物联网基于联盟链和信任网的跨域访问控制方法及系统 Download PDFInfo
- Publication number
- CN116506211A CN116506211A CN202310584122.9A CN202310584122A CN116506211A CN 116506211 A CN116506211 A CN 116506211A CN 202310584122 A CN202310584122 A CN 202310584122A CN 116506211 A CN116506211 A CN 116506211A
- Authority
- CN
- China
- Prior art keywords
- trust
- access control
- cross
- domain
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011156 evaluation Methods 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims abstract description 15
- 230000003993 interaction Effects 0.000 claims abstract description 8
- 238000012546 transfer Methods 0.000 claims abstract description 7
- 238000012423 maintenance Methods 0.000 claims abstract description 4
- 238000012216 screening Methods 0.000 claims abstract description 4
- 230000006870 function Effects 0.000 claims description 11
- 238000009792 diffusion process Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000013500 data storage Methods 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 238000011217 control strategy Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000003064 k means clustering Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000000644 propagated effect Effects 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 230000000717 retained effect Effects 0.000 claims description 3
- 230000010485 coping Effects 0.000 claims 1
- 238000001914 filtration Methods 0.000 claims 1
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/30—Control
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本发明公开了物联网基于联盟链和信任网的跨域访问控制方法包括,通过信任网系统中的信任传递算法Appleseed提供信任值列表,借助联盟链上部署的跨域访问实现访问控制决策;对区块链参与节点进行筛选和监督,保证可信度和参与维护系统的积极性;通过信任评估算法对各个域之间的信任值进行评估。本方法可以消除出现访问决策错误、访问记录被篡改的影响,利用信任网系统中的信任评估算法Appleseed对各个域之间的信任值进行评估,随着每次交互过程而对各个域的信任值进行动态更新,使得对跨域访问控制过程变的更加清晰可控,解决传统的跨域访问控制方案所存在的中心化问题。
Description
技术领域
本发明涉及分布式系统领域和区块链技术领域,尤其涉及物联网基于联盟链和信任网的跨域访问控制方法。
背景技术
物联网技术的发展使得分布式系统和分布式存储技术得到了广泛应用,在分布式系统中大量的设备和资源分散在不同的物联网域中,为了有效整合和利用现有资源,迫切需要一种能够有效实现不同域之间资源共享的访问控制方案。在实际应用中,由于应用需求的多样性和复杂性,不同域之间的交互、协作需求往往难以避免。为了确保跨域交互过程的安全性,需要在现有访问控制方案的基础上进行相应的调整和改进。
访问控制作为一种信息安全领域的常用技术,通过对某些区域和资源的访问进行权限控制,确保数据访问符合规范,在保证系统安全和业务正常运转方面发挥着至关重要的作用。通过在物联网系统中采用访问控制技术定义和限制数据获取权限,能够有效保护物联网数据安全。访问控制技术通过监控资源的访问行为,确保任何人都无法对连接的设备进行未经授权的访问,最大限度地降低受到攻击的风险以保护系统安全。一个合格的访问控制方案应该满足机密性(防止没有得到授权的资源被泄露)、完整性(防止资源在没有得到授权的情况下被修改)和可用性(确保合法用户在得到授权时能够获取资源)等属性。由于物联网设备本身存在功耗低、内存容量小和处理能力有限等问题,访问控制方案必须针对这些特点进行改进以适应物联网环境。因此,在传统访问控制模型的基础上,针对物联网系统设计一套安全、高效的访问控制方案成为亟待解决的重要问题。
信任是维持系统正常运行的基础,互联网中使用的数字证书与公钥基础设施也是建立在信任之上的。信任根服务器和权威服务器诚实地回答域名查询,信任数字证书的签名权威,信任服务器分发的数据包和二进制文件。然而,在数字领域中普遍缺乏个人信任的概念。虽然可以通过数字证书和哈希算法验证账户合法性以及文件完整性,但很少谈到任何有关两个用户之间的信任。2010年,Bhuiyan等人提出了社交网络中信任的定义:信任是一方在一定情况下愿意以相对安全感依赖某件事或某个人的程度,即使最终可能产生负面影响。2012年,Luigi Atzoria等人将物联网与社交网络的概念结合在一起,提出了社交物联网(Social Internet of Things,SIoT)的概念。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了物联网基于联盟链和信任网的跨域访问控制方法,解决现有的跨域控制方案大多存在中心化问题,可能会出现访问决策错误、访问记录被篡改等情况的问题。
为解决上述技术问题,本发明提供如下技术方案,物联网基于联盟链和信任网的跨域访问控制方法,包括:
通过信任网系统中的信任传递算法Appleseed提供信任值列表,借助联盟链上部署的跨域访问实现访问控制决策;
对区块链参与节点进行筛选和监督,保证可信度和参与维护系统的积极性;
通过信任评估算法对各个域之间的信任值进行评估。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述信任网系统包括,信任度量和信任传播两个模块。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述信任传递算法包括,信任网系统中使用的Appleseed算法是无启发式信任评估算法,Appleseed将所有初始能量in0完全分布在节点之间,但不包括不产生任何信任的信任源和没有到信任源的路径的节点;
Appleseed算法接受信任源s、扩展系数d、收敛阈值Tc和初始能量in0作为输入,还隐式地接受由节点V和加权有向边E,组成的信任图;
扩散系数d决定了节点将重新分配多少传入能量,d在区间[0,1]上,其中d取值为1时重新分配节点的所有传入能量,d取值为0时不重新分配任何传入能量,d=0的场景不符合实际情况,d=1的场景出现在信任源中,信任源将所有传入能量分配给直接相邻的节点;
描述能量剩余量的表达式和重新分配能量的表达式分别为:
(1-d)·ini-1(x)
d·ini-1(x)·w
其中,x表示输入的自变量,ini-1表示能量输入,w表示正在处理的输出边的权重,扩散激活值为d=0.85,表示85%的传入能量被传播出去,15%由节点保留,扩散系数d表示为对x的直接信任和对x推荐能力的信任之间的比率。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述信任值列表包括,不同范围的信任值对应不同的语义、标签,在实际应用中,使用统一的语义标签不能适用于所有节点,对于不同域,根据各自的需求在初始化阶段对属于不同范围信任值的语义和标签进行自定义;
src代表信任来源,负责发布信任分配的跨域代理节点的联盟链账户地址,dst代表信任目标,负责接收分配的信任的跨域代理节点的联盟链账户地址,area代表信任领域访问控制,weight代表信任权重,作为信任来源的跨域代理节点分配给作为信任目标的跨域代理节点的信任比例。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述访问控制决策包括,跨域访问控制过程中最重要的部分就是借助信任网系统生成信任排名,信任网系统使用的排名策略是通过k-means聚类算法实现的,k-means算法对有序数据集进行操作,并将数据集拆分为k个组,目的是使一个组的成员之间的关系比另一个组的成员更密切,在k-means算法的每次迭代中,集群的成员被用来计算平均值,根据计算出来的平均值定义一个新的中心点,用这个新得到的中心点将数据集拆分为k个新的组,当两次迭代之间的聚类成员变化为零时,k-means算法终止,最终得到数据集的聚类结果。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述访问控制决策包括,跨域访问控制过程中借助信任网系统生成信任排名,信任网系统使用的排名策略通过k-means聚类算法实现,k-means算法对有序数据集进行操作,并将数据集拆分为k个组,在k-means算法的每次迭代中,集群的成员被用来计算平均值,根据计算出来的平均值定义一个新的中心点,用这个新得到的中心点将数据集拆分为k个新的组,当两次迭代之间的聚类成员变化为零时,k-means算法终止,最终得到数据集的聚类结果。
作为本发明所述的物联网基于联盟链和信任网的跨域访问控制方法的一种优选方案,其中:所述信任评估包括,每次跨域交互的发生不断对跨域代理节点之间的信任值进行更新,跨域访问控制合约会根据评估得到的信任值和各个域的访问控制策略判定是否授予访问控制权限,实现跨域访问控制功能。
本发明的另一个目的是提供物联网基于联盟链和信任网的跨域访问控制系统,其能借助一个可信第三方进行跨域访问控制,解决由于属于不同域的各个用户之间关系复杂、恶意操作导致区块链系统的安全性和可靠性受到损害的问题。
物联网基于联盟链和信任网的跨域访问控制方法的系统,其特征在于:包括数据采集模块、数据存储模块、私钥产生器模块、信任网系统模块;
所述数据采集模块,收集物联网设备产生的数据,并上传到系统中,在数据采集过程中使用加密算法对数据进行加密;
所述数据存储模块,将采集到的数据存储在分布式数据库中,每个节点都具备完整数据备份和恢复功能,同时负责执行智能合约,并将结果写入区块链上,以实现数据的不可篡改性;
所述私钥产生器模块,生成私钥,每个用户都有自己的私钥,用于保证数据传输的机密性和完整性;
所述信任网系统模块,建立物联网系统内部和外部的信任网络,通过联盟链技术来保证节点之间的可信性,并提供访问控制策略的支持,确保只有授权用户可以访问数据资源。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现物联网基于联盟链和信任网的跨域访问控制方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现物联网基于联盟链和信任网的跨域访问控制方法的步骤。
本发明的有益效果:本发明提出的物联网基于联盟链和信任网的跨域访问控制方法解决了传统的跨域访问控制方案所存在的中心化问题,保证了访问控制方案的安全性、可靠性和完整性,避免出现访问决策错误、访问记录被篡改等问题,为了保障跨域交互过程中的安全性,对被授予权限的实体有一个信任评价标准,同时利用信任网系统中的信任评估算法Appleseed对各个域之间的信任值进行评估,随着每次交互过程而对各个域的信任值进行动态更新,使得对跨域访问控制过程变的更加清晰可控。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的物联网基于联盟链和信任网的跨域访问控制方法流程示意图。
图2为本发明一个实施例提供的物联网基于联盟链和信任网的跨域访问控制系统的工作流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的第一个实施例,该实施例提供了物联网基于联盟链和信任网的跨域访问控制方法,包括:
S1:通过信任网系统中的信任传递算法Appleseed提供信任值列表,借助联盟链上部署的跨域访问实现访问控制决策。
更进一步的,所述信任系统包括,信任网主要由信任度量和信任传播两个模块组成,信任传播是指信任如何在信任度量过程中从一个实体流向另一个实体;
其中,信任度量过程中专有名词解释:信任来源指的是信任分配的发行人,信任目标指的是信任分配的接收方,被信任的实体,信任权重指的是分配给信任目标的信任比例,信任领域指的是信任的应用领域。
应说明的是,传递算法包括,信任网系统中使用的Appleseed算法是Ziegler和Lausen提出的无启发式信任评估算法,Appleseed将所有初始能量in0完全分布在节点之间,但不包括不产生任何信任的信任源和那些没有到信任源的路径的节点,该算法在有限(但可变)的迭代次数后收敛。产生的信任等级会被排序,使得最受信任的节点(即最高信任等级)位于列表的顶部,而最不受信任的节点位于列表的底部。
更进一步的,Appleseed算法接受信任源s、扩展系数d、收敛阈值Tc和初始能量in0作为输入,还隐式地接受由节点V和加权有向边E,组成的信任图,边权重的范围为0.0~1.0,其中,默认值分别对应为:扩展系数d为0.85、收敛阈值Tc为0.01、初始能量in0为200,其余均无默认值。
更进一步的,扩散系数d决定了节点将重新分配多少传入能量,d在区间[0,1]上,其中d取值为1时重新分配节点的所有传入能量,d取值为0时不重新分配任何传入能量,d=0的场景不符合实际情况,d=1的场景主要出现在信任源中,信任源将所有传入能量分配给与其直接相邻的节点;
描述能量剩余量的表达式和重新分配能量的表达式分别为:
(1-d)·ini-1(x)
d·ini-1(x)·w
其中,x表示输入的自变量,ini-1表示能量输入,w表示正在处理的输出边的权重,扩散激活值为d=0.85,表示85%的传入能量被传播出去,15%由节点保留,扩散系数d可以被视为对x的直接信任和对x推荐能力的信任之间的比率。
应说明的是,在加入到联盟中之前,所有的参与节点的身份资料都必须经过严格的审核和认定。所有物联网系统相关机构都必须互相审核,确认身份信息无误后才可以开始构建联盟链,联盟链组建完成后,所有身份资质可信的节点都会获得一对用于在链上进行操作的公私钥,联盟链中的联盟节点之间需要对节点证书、互联网协议地址、端口号等通用配置进行协商,然后在本地进行备份并维护系统配置文件,各个跨域代理节点会作为联盟链成员共同构建联盟链,各个域的跨域代理节点会将与自身存在交集的域以及跟该域之间的相关信任信息记录在联盟链上。
更进一步的,经过信任度量和信任传播过程之后,TrustNet系统中的节点会得到不同的信任值列表,联盟链上各个域中的跨域代理节点记录的相关信任信息的数据格式示例如下:
src代表信任来源,这里指的是负责发布信任分配的跨域代理节点的联盟链账户地址;
dst代表信任目标,这里指的是负责接收分配的信任的某个跨域代理节点的联盟链账户地址;
area代表信任领域,这里指的是访问控制;
weight代表信任权重,这里指的是作为信任来源的跨域代理节点分配给作为信任目标的跨域代理节点的信任比例。
S2:对区块链参与节点进行筛选和监督,保证可信度和参与维护系统的积极性。
更进一步的,所述访问控制决策包括,跨域访问控制过程中最重要的部分就是借助信任网系统生成信任排名,信任网系统使用的排名策略主要是通过k-means聚类算法实现的,k-means算法对有序数据集进行操作,并尝试将数据集拆分为k个组,目的是使一个组的成员之间的关系比另一个组的成员更密切,在k-means算法的每次迭代中,集群的成员被用来计算平均值,根据计算出来的平均值定义一个新的中心点,用这个新得到的中心点将数据集拆分为k个新的组。当两次迭代之间的聚类成员变化足够小时,k-means算法终止,最终得到的就是数据集的聚类结果。
应说明的是,当物联网域A中的某设备想要获取处于物联网域B的某设备采集的数据:
域A中的设备调用跨域访问控制合约中的跨域请求函数,传入的参数包括请求设备及需要获取数据的设备的相关信息(包括请求相关设备所属域(这里指的是域A和域B)基本信息和设备自身基本信息);
域B跨域代理节点监听到来自域A的跨域访问请求事件;
域B对请求信息进行审核(包括核实发出请求的设备提供的信息是否正确);
域B从TrustNet系统中获取最新的信任列表;
对满足跨域访问控制条件的域A设备,需要进行进一步判断,判断其是否满足域B的域内访问控制条件;
对于满足域B的域内访问控制条件的域A设备授予数据的解密私钥,除此之外还需要为域A内设备提供属于域B的私钥生成器模块(Private Key Generation,PKG)的公开的系统参数。获得这些信息之后,属于域A的设备就可以通过使用解密算法对数据解密之后获取域B设备的数据。
S3:通过信任评估算法对各个域之间的信任值进行评估。
更进一步的,所述信任评估包括,每次跨域交互的发生不断对跨域代理节点之间的信任值进行更新。跨域访问控制合约会根据评估得到的信任值和各个域的访问控制策略判定是否授予访问控制权限,从而实现跨域访问控制功能。
实施例2
本发明的一个实施例,提供了物联网基于联盟链和信任网的跨域访问控制方法,为了验证本发明的有益效果,通过实验进行科学论证。
假设存在一个分布式系统,该系统使用信任传播进行调节。在这个系统中,有许多不同的节点,每个节点信任不同的节点。
系统中的节点A和另一个节点B的信任可能存在重叠,即它们可能信任同一个节点。就节点及其信任声明而言,系统作为一个整体,构成了一个具有潜在不相连节点的图。
Appleseed算法不会在这个可能断开连接的信任图上运行,而是需要选择一个节点作为根节点,并从该点调节该图中的信任。这个被选中的节点就是信任源,每个发布信任分配的节点都是信任源。
在Applesed算法中,更高的信任权重本质上转化为对受信任实体更大的推荐能力。信任目标的权重越高,信任目标的信任分配的影响就越大。
信任度量过程具有抵抗攻击的能力,恶意攻击者不能轻易破坏度量过程。假设存在从一个实体到目标实体的路径,则实体被视为完全可信。
通过分析信任图,找到最信任的节点,并让其发布关于攻击者的信任声明进行攻击。但是攻击者的恶意行为受到攻击者获得信任的限制,攻击者不能通过简单地获得信任图中任何人的信任来破坏整个信任图的信任度量。相反,它们必须积累足够的信任,让自己在产生恶意影响之前变得高度可信。大量的低信任度攻击者并不能提高攻击成功的机率,它与信任的数量无关,而与信任的质量有关。
当恶意节点数量设置为1个时,对于不同节点规模的网络,仿真系统模拟运行得到的最终结果如表1所示。
表1.系统指标对比(恶意节点为1个)
基于TrustNet的系统与基于暴力方法的系统相比,在处理1个恶意节点时所需的块的数量有了明显的下降。关于处理1个恶意节点的操作总数,可以看到,虽然基于TrustNet的系统所需的操作数量大大超过了基于暴力方法的系统。但操作数量的增长是合理且必要的,因为需要建立节点之间的信任网络。
应说明的是,以上实施例仅用于说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
实施例3
本发明第三个实施例,其不同于前两个实施例的是:
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置)、便携式计算机盘盒(磁装置)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编辑只读存储器(EPROM或闪速存储器)、光纤装置以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
实施例4
参照图2,为本发明的一个实施例,提供了物联网基于联盟链和信任网的跨域访问控制方法的系统,其特征在于:
物联网基于联盟链和信任网的跨域访问控制方法的系统,其特征在于:包括数据采集模块、数据存储模块、私钥产生器模块、信任网系统模块;
所述数据采集模块,收集物联网设备产生的数据,并将其上传到系统中,在数据采集过程中使用加密算法对数据进行加密;
所述数据存储模块,将采集到的数据存储在分布式数据库中,每个节点都可以具备完整数据备份和恢复功能,同时负责执行智能合约,并将结果写入区块链上,以实现数据的不可篡改性;
所述私钥产生器模块,生成私钥,每个用户都有自己的私钥,用于保证数据传输的机密性和完整性;
所述信任网系统模块,建立物联网系统内部和外部的信任网络,联盟链技术来保证节点之间的可信性,并提供访问控制策略的支持,确保只有授权用户可以访问数据资源。
应说明的是,以上实施例仅用于说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:包括,
通过信任网系统中的信任传递算法Appleseed提供信任值列表,借助联盟链上部署的跨域访问实现访问控制决策;
对区块链参与节点进行筛选和监督,保证可信度和参与维护系统的积极性;
通过信任评估算法对各个域之间的信任值进行评估。
2.如权利要求1所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述信任网系统包括,信任度量和信任传播两个模块。
3.如权利要求2所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述信任传递算法包括,信任网系统中使用的Appleseed算法是无启发式信任评估算法,Appleseed将所有初始能量in0完全分布在节点之间,但不包括不产生任何信任的信任源和没有到信任源的路径的节点;
Appleseed算法接受信任源s、扩展系数d、收敛阈值Tc和初始能量in0作为输入,还隐式地接受由节点V和加权有向边E组成的信任图;
扩散系数d决定了节点将重新分配多少传入能量,d在区间[0,1]上,其中d取值为1时重新分配节点的所有传入能量,d取值为0时不重新分配任何传入能量,d=0的场景不符合实际情况,d=1的场景出现在信任源中,信任源将所有传入能量分配给直接相邻的节点;
描述能量剩余量的表达式和重新分配能量的表达式分别为:
(1-d)·ini-1(x)
d·ini-1(x)·w
其中,x表示输入的自变量,ini-1表示能量输入,w表示正在处理的输出边的权重,扩散激活值为d=0.85,表示85%的传入能量被传播出去,15%由节点保留,扩散系数d表示为对x的直接信任和对x推荐能力的信任之间的比率。
4.如权利要求3所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述信任值列表包括,不同范围的信任值对应不同的语义、标签,在实际应用中,使用统一的语义标签不能适用于所有节点,对于不同域,根据各自的需求在初始化阶段对属于不同范围信任值的语义和标签进行自定义;
src代表信任来源,负责发布信任分配的跨域代理节点的联盟链账户地址,dst代表信任目标,负责接收分配的信任的跨域代理节点的联盟链账户地址,area代表信任领域访问控制,weight代表信任权重,作为信任来源的跨域代理节点分配给作为信任目标的跨域代理节点的信任比例。
5.如权利要求4所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述访问控制决策包括,跨域访问控制过程中借助信任网系统生成信任排名,信任网系统使用的排名策略通过k-means聚类算法实现,k-means算法对有序数据集进行操作,并将数据集拆分为k个组,在k-means算法的每次迭代中,集群的成员被用来计算平均值,根据计算出来的平均值定义一个新的中心点,用这个新得到的中心点将数据集拆分为k个新的组,当两次迭代之间的聚类成员变化为零时,k-means算法终止,最终得到数据集的聚类结果。
6.如权利要求5所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述对区块链参与节点进行筛选和监督包括,将区块链应用到访问控制方案中,提供去中心化、不可篡改的特性,去中心化的方案为应对中心化方案中出现单点故障和恶意篡改的数据问题提供的解决方案,将信任网系统应用到满足分布式特性的联盟链中,监督联盟链上的跨域代理节点,通过信任传递算法Appleseed为跨域访问控制合约提供信任值列表用于最终的访问控制决策。
7.如权利要求6所述的物联网基于联盟链和信任网的跨域访问控制方法,其特征在于:所述信任评估包括,每次跨域交互的发生不断对跨域代理节点之间的信任值进行更新,跨域访问控制合约根据评估得到的信任值和各个域的访问控制策略判定是否授予访问控制权限,实现跨域访问控制功能。
8.一种采用如权利要求1~7任意所述的物联网基于联盟链和信任网的跨域访问控制方法的系统,其特征在于:包括数据采集模块、数据存储模块、私钥产生器模块、信任网系统模块;
所述数据采集模块,收集物联网设备产生的数据,并上传到系统中,在数据采集过程中使用加密算法对数据进行加密;
所述数据存储模块,将采集到的数据存储在分布式数据库中,每个节点都具备完整数据备份和恢复功能,同时负责执行智能合约,并将结果写入区块链上,以实现数据的不可篡改性;
所述私钥产生器模块,生成私钥,每个用户都有自己的私钥,用于保证数据传输的机密性和完整性;
所述信任网系统模块,建立物联网系统内部和外部的信任网络,通过联盟链技术来保证节点之间的可信性,并提供访问控制策略的支持,确保只有授权用户可以访问数据资源。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310584122.9A CN116506211A (zh) | 2023-05-23 | 2023-05-23 | 物联网基于联盟链和信任网的跨域访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310584122.9A CN116506211A (zh) | 2023-05-23 | 2023-05-23 | 物联网基于联盟链和信任网的跨域访问控制方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116506211A true CN116506211A (zh) | 2023-07-28 |
Family
ID=87326718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310584122.9A Pending CN116506211A (zh) | 2023-05-23 | 2023-05-23 | 物联网基于联盟链和信任网的跨域访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116506211A (zh) |
-
2023
- 2023-05-23 CN CN202310584122.9A patent/CN116506211A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210377040A1 (en) | Trust and identity management systems and methods | |
JP6895478B2 (ja) | パラメータベースのキー導出 | |
Megouache et al. | Ensuring user authentication and data integrity in multi-cloud environment | |
Zhou et al. | Trust enhanced cryptographic role-based access control for secure cloud data storage | |
EP1509827B1 (en) | Validation of inclusion of a platform within a data center | |
CN109688119B (zh) | 一种云计算中的可匿名追踪性身份认证方法 | |
US20130086661A1 (en) | Techniques for client contructed sessions | |
Ghaffari et al. | Authentication and access control based on distributed ledger technology: A survey | |
CN102223420A (zh) | 一种面向多媒体社交网络的数字内容分发方法 | |
Sahi et al. | A Review of the State of the Art in Privacy and Security in the eHealth Cloud | |
CN113660206B (zh) | 一种基于联盟链和多重签名的跨组织访问控制方法 | |
US20150304329A1 (en) | Method and apparatus for managing access rights | |
US20080066169A1 (en) | Fact Qualifiers in Security Scenarios | |
Ghaffari et al. | Identity and access management using distributed ledger technology: A survey | |
Xu et al. | Trustworthy and transparent third-party authority | |
Pussewalage et al. | An anonymous delegatable attribute-based credential scheme for a collaborative e-health environment | |
Yang et al. | An access control model based on blockchain master-sidechain collaboration | |
Ghaffari et al. | Distributed ledger technologies for authentication and access control in networking applications: A comprehensive survey | |
CN116506211A (zh) | 物联网基于联盟链和信任网的跨域访问控制方法及系统 | |
WO2020112104A1 (en) | Blockchain-based accountable data publishing and usage | |
Raji et al. | Secure forensic data transmission system in cloud database using fuzzy based butterfly optimization and modified ECC | |
CN110943846B (zh) | 基于环签名技术的异构身份联盟用户信誉值传递方法 | |
Wakeman et al. | Reconciling privacy and security in pervasive computing: the case for pseudonymous group membership | |
Asadzadeh Kaljahi et al. | TSSL: improving SSL/TLS protocol by trust model | |
Kane et al. | On classifying access control implementations for distributed systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |