CN118041667A - 一种边缘计算环境下基于区块链的物联网属性访问控制系统和方法 - Google Patents

Abstract

本发明公开了一种边缘计算环境下基于区块链的物联网属性访问控制系统和方法，本发明将物联网系统划分为不同的功能域，称为物联网域，为每个物联网域建立一个轻量级的本地区块链账本，使大多数物联网域能够在他们的物联网系统中部署自己的区块链网络。有效解决了单点故障、交互共享效率低、访问策略不透明等问题。在此基础上引入基于属性的访问控制模型，尝试实现基于智能合约的ABAC模型来实现物联网资源和设备的高安全和细粒度控制。各个物联网域分布式制定并维护访问控制策略，增强了各域的自主性。本发明是通过将属性、策略等信息以事务的形式存储在区块链上，将轻量级的节点通过网关接入区块链网络中，便于用户查询操作。

Description

一种边缘计算环境下基于区块链的物联网属性访问控制系统 和方法

技术领域

本发明涉及一种边缘计算环境下基于区块链的物联网属性访问控制系统和方法，属于通信技术领域。

背景技术

随着现代信息技术的飞速发展，人类正在迈向万物互联时代，物联网(InternetofThings，IoT)是其中的关键技术。据预测，到2025年，物联网设备将在全球产生大约90ZB的数据。物联网的快速发展极大地促进全球信息化进程。远程控制大量物联网设备实行信息共享的过程中，安全和隐私问题给用户带来的损失不可小觑。太多的数据和设备被暴露在网络中，如何保护物联网受限设备和数据的安全成为关键。

访问控制是按照用户的身份及其所归属的某项定义组来对信息或者资源访问进行限制的一种技术。通过执行一定的访问控制规则实现对物联网资源和数据的访问，因此访问控制是解决物联网数据和设备安全的关键技术。基于属性的访问控制(attribute-based access control，ABAC)概括了DAC、MAC和RBAC等访问控制模型的特点，根据主客体属性、环境参数、策略等对用户的访问请求进行授权和验证。这些要素统一使用属性和属性值来进行表示，属性间的关系可以根据访问控制需求进行灵活的设置，提高了访问控制策略语义的表达能力，并且能够将其他访问控制模型中权限、标签、角色等概念用属性来进行统一的描述，适用于解决分布式环境下的访问控制问题。不仅可以有效管理海量、动态、分布式的数据，还可以及时为各个物联网域制定统一的属性标准并根据自身安全需求定制策略，兼顾统一性和多样性。因此，它有能力对每个物联网设备提供更灵活、安全和细粒度的访问控制。但是，物联网的分布式架构并不适合由一个集中实体授予访问权限的访问控制机制。

近年来，一些研究应用区块链技术实现了物联网的分布式访问控制。区块链是一个分布式、去信任的点对点网络，通过共识机制将数据(如交易信息)存储在块中，并通过哈希摘要依次链接，其中每个节点相互平等，并且共享区块网络上的所有数据。通过智能合约(区块链中的可执行代码)实现基于区块链的访问控制能够保障物联网分布式设备和数据的安全。

现有的区块链接入物联网的访问控制方案大多基于智能合约或在区块链上的访问策略来做出分布式访问决策，通过查询区块链的交易记录验证用户是否被授予了访问权限。区块链通常被部署在一个委托节点上，例如边缘设备或者云，这可能会造成以下限制：

1)缺乏安全性：当恶意用户反复发送访问请求时，区块链易受到Ddos攻击。

2)资源受限：物联网系统的分布特征是由实体的比例决定区块链部署，由于终端设备的首先性和海量数据的动态特性(状态和各阶段任务不同)，大多数物联网不能作为区块链节点实时处理访问控制过程。因此，大多数方案只能使用委托服务器(边缘设备和云)作为区块链节点。然而在一个由轻量级物联网设备组成的物联网系统中，如：车联网系统、智能家居系统中，只有一个网关设备无法实现区块链中拜占庭共识算法(PBFT)的容错能力.

3)缺乏隐私：为了处理访问控制过程，委托节点需要记录所有的访问策略并处理所有的访问请求，这可能会导致策略信息的泄露。

发明内容

本发明目的在于针对上述现有技术的缺陷和不足，提出了一种边缘计算环境下基于区块链的物联网属性访问控制系统和方法。本发明将物联网系统划分为不同的功能域，称为物联网域，为每个物联网域建立一个轻量级的本地区块链账本，使大多数物联网域能够在他们的物联网系统中部署自己的区块链网络。有效解决了单点故障、交互共享效率低、访问策略不透明等问题。在此基础上引入基于属性的访问控制模型，尝试实现基于智能合约的ABAC模型来实现物联网资源和设备的高安全和细粒度控制。各个物联网域分布式制定并维护访问控制策略，增强了各域的自主性。

本发明解决其技术问题所采用的技术方案是：一种边缘计算环境下基于区块链的物联网属性访问控制系统，该系统包括KGC模块、区块链账本模块、物联网设备、边缘设备、用户、和数据库。在本发明设计的系统中，每个本地区块链分类账记录其物联网域实体的属性、策略文件摘要和访问决策。本发明把本地区块链部署在物联网设备上，作为区块链节点。

KGC模块：KGC模块为物联网域实体生成相对应的私钥，为实体的ID。实体的ID包含物联网域信息，方便边缘设备确定用户的访问请求是否合法。

区块链账本模块：本发明使用HLF为每个物联网域建立一个本地区块链账本，每个本地区块链分类账本记录其物联网域实体的属性、策略文件摘要和访问决策。本发明把本地区块链部署在物联网设备上，作为区块链节点。

物联网设备：物联网设备的所有者定义访问控制策略，决定谁可以访问他们的资源，物联网设备在系统中充当策略决策点(PDP)，做出访问决策。

边缘设备：边缘设备是物联网域的边界，充当外部世界访问物联网域内数据和资源的接口，在本发明的系统中，本发明将边缘设备视为策略实施点(PEP)。此外，边缘设备运行slectePDP算法选择PDP做策略决策，然后收集PDP返回的策略决策，使用PBFT拜占庭算法协调PDP提交访问决策，将访问决策返回给用户。

用户：用户发出访问请求，充当系统的访问请求者，向边缘设备(PEP)发出访问请求。

数据库：系统中的数据库用于存储策略文件，在系统中充当策略库的角色。本地域的物联网设备将其访问策略保存在文件中，然后将文件存储在数据库中。

本发明还提供了一种边缘计算环境下基于区块链的物联网属性访问控制系统的实现方法，该方法包括如下步骤：

步骤1：创建账本：本发明为每个物联网域建立一个本地的区块链分类账。物联网域的实体将其属性和策略保存在文件中上传到本地的区块链账本上并存储于数据库中。KGC生成相对应的私钥skID为物联网域实体的ID。

用户向边缘设备发送访问控制请求，请求包括请求号、用户的ID uID、被访问的设备的IDdevID以及由用户基于(IBS)的私钥签名skuID，

request＝{requestNum,uID,devID,BLMQ.Sign(skuID,m)}

m＝{requestNum,uID,devID}

步骤2：边缘设备通过用户ID uID区分请求者是否属于本物联网域，并通过设备IDdevID区分该资源是否属于本物联网域或者可信域。如果通过验证，表明签名是有效的。如果无效，则拒绝访问。

本发明在边缘设备上部署资源管理器，用以检测每个物联网设备的运行状态。每个物联网设备都运行一个节点管理服务，用以监视资源使用情况和任务执行状态，并将这些状态同步到边缘设备。

当边缘设备接收到访问请求时，运行SelectPDP算法，对做出访问决策所需的计算和存储资源进行评估，选择能够进行可靠计算和存储资源的物联网设备作为PDP，并做出实时的链外策略决策。最后，边缘设备将访问请求发送给所选择的策略决策点PDP。

步骤3：PDP执行:每个被选择的PDP通过调用getAttr、get policy函数获得相应的属性和策略摘要，并根据摘要从数据库中检索策略。然后每个PDP都做出一个链外的决策。

最后每个PDP将结果返回到边缘设备。结果包括PDP的ID、请求号、策略决策(允许或拒绝)，和由PDP基于身份签名{IBS}签署的私钥，即结果：

result＝{devID,requestNum,decision,BLMQ.sign(skdevID,m)}；

m＝{devID,requestNum,decision}。

步骤4：PEP执行：PDP使用PBFT共识算法来提交最终的访问决策。

步骤4-1预准备：边缘设备PEP收集结果，

result1＝{dev1_ID,requestNum,decision,BLMQ.sign(skdev1_ID,m)}

result2＝{dev2_ID,requestNum,deci sion,BLMQ.sign(skdev2_ID,m)}

resultn＝{devn_ID,requestNum,decision,BLMQ.sign(skdevn_ID,m)}

然后验证他们的签名，并确定是否与所选PDP通过他们的ID返回的结果一致。最后边缘设备向整个网络广播PDP的有效结果。

步骤4-2准备：一旦PDP接收到来自边缘设备的结果，它通过调用以下的算法做出最终的访问决策。然后PDP向整个网络广播其访问决定。

步骤4-3提交：如果一个PDP从其他PDP接受到了2f个访问决策(本发明假设PDP的数量n>3f+1)，并且这些网络访问决策结果与它自己所做出的访问决策相同，PDP将向网络广播一个提交消息。

步骤4-4回复：一旦PEP收到2f+1条提交消息，则用户和访问设备提交最终访问决策。系统向访问请求者返回一个实际的访问决定。

有益效果：

1、本发明以解决物联网场景下海量终端节点动态加入所导致的单点故障、交互共享效率低、访问策略不透以及系统开销过大的问题。通过将属性、策略等信息以事务的形式存储在区块链上，将轻量级的节点通过网关接入区块链网络中，便于用户查询操作。

2、本发明解决了以往上链数据难以更新的问题，同时实现了物联网低资源场景下资源数据的合法访问和高效获取，便于对数据进行安全管理。将基于属性的访问控制ABAC中的功能模块与单个物联网域相结合，实现自动化访问控制以及决策过程透明化。

附图说明

图1为本发明基于属性的访问控制ABAC的功能模型图。

图2为本发明边缘计算环境下基于区块链属性的访问控制系统架构图。

具体实施方式

下面结合说明书附图对本发明创造作进一步地详细说明。

如图1所示，本发明基于属性的访问控制方法是一种逻辑访问控制方法，根据主体的指派属性、客体的指派属性、环境条件和与这些属性和条件相关的一组策略，允许或拒绝主体对客体所请求的操作。主要包括以下几个模块的内容：

策略决策点(PDP):通过评估适用的策略来计算访问决策。

策略执行点(PEP):以执行策略决策的方式响应主体对受保护客体的访问请求，访问控制决策由PDP生成。

要计算策略决策，PDP必须具有有关属性的信息，这些信息由策略信息点(PIP)提供。策略信息点(PIP):是属性或策略评估所需数据的检索源，提供PDP做出决策所需的信息。

在执行这些策略决策之前，必须对它们进行彻底的测试和评估，以确保它们满足预期的需要，这些功能由策略管理点(PAP)执行。策略管理点(PAP):提供一个用户接口，用于创建、管理、测试和调试策略，并将这些策略存储在适当的策略库中。

最后，上下文处理器负责管理策略和属性的检索顺序。对实时性要求比较高的场合，或“决策结果要求立即终止访问”的那些策略来说，该部件非常重要。例如，需要在访问请求之前提前检索属性，或者缓存属性以避免在访问请求时检索所带来的时间延迟。上下文处理器还需要与PIP协调，向请求上下文添加属性值，并将规范形式(例如XACML)的授权决策转换为本机支持的格式。上下文处理器按工作流逻辑定义的顺序，检索并执行策略和属性。

如图2所示，本发明将上述基于属性的访问控制方法应用到本发明所设计的边缘计算环境下基于区块链的属性访问控制系统中。

本发明将物联网系统划分为不同的功能域，称为物联网域。本发明为每个物联网域建立一个本地区块链账本，每个本地区块链账本记录其物联网域实体的属性、策略文件摘要和访问决策并存储在数据库中。KGC生成相对应的私钥skID为物联网域实体的ID。

本发明把本地区块链部署在物联网设备上，使更多的物联网设备成为区块链节点。只有授权的用户才能将数据存储在相应的区块链账本中，本地的区块链账本只记录和处理自己域的访问控制数据和请求，以此降低每个区块链节点的存储和计算压力。

区块链账本主要有两部分组成：区块链文件系统和状态数据库。区块链文件系统是一个事务日志，它由块组成。每个事务都是参与方提交的链码调用的结果，并产生一组可以提交到账本的资产键值对。状态数据库用于保存一组区块链文件系统状态的当前值。

步骤一：系统发起访问控制请求。用户向边缘设备发送请求，请求包括请求号、用户ID、访问设备的ID、用户的私钥签名skuID，即：

request＝{requestNum,uID,devID,BLMQ.Sign(skuID,m)}，

m＝{requestNum,uID,devID}

步骤二：利用基于身份的签名(IBS)来生成物联网实体的公钥，使边缘服务器能够过滤和转发由域内用户向策略决策点(PDP)发起的请求。基于身份的签名(IBS)允许用户使用其身份(ID)作为其公钥。在本发明的系统中，物联网域使用IBS来过滤访问请求以防止DDos攻击。本发明将角色信息(用户、物联网设备、边缘设备)和物联网域信息合并为一个实体的ID。这样，滤波器可以通过验证基于身份的签名来判断访问请求是否来自自身所在的受信任的物联网域。

具体来说，本发明使用设备的ID号和其域信息作为物联网设备的ID

devID＝{deviceID@domainA}；

相似的，本发明使用MAC地址及其域信息作为为边缘设备的ID

edevID＝{macAddress@domainName}；

用户的ID由用户的名称和域信息组成

uID＝{userName@domainName}。

本发明选择使用Barreto-Libert-McCullaghQuisquater(BLMQ)模型来实现，它包括三种算法。

1)BLMQ.Setup(k,G1,G2,GT)→params:

给定安全参数k和group<G1,G2,GT>,具有相同的素数阶q>2k。Q由G2生成。:G2→G1,满足/>定义g＝e(P,Q)。则s∈z*q作为主密钥。计算Qpub＝sQ。选择哈希函数H1:{0,1}*→Z*q,H2:{0,1}*×GT→Z*q,然后系统公开参数

params＝<G1,G2,GT,e,P,Q,Qpub,H1,H2>

2)BLMQ.Sign(skID,m)→<h,S>:

消息的签名进行如下计算：选择随机数x∈Z*q,

r＝gx–；

h＝H2(m,r)–；

S＝(x+h)skID；

签名是<h,S>。

3)BLMQ验证(ID,<h,S>)→0/1：

验证是否持有h＝H2(m,e(S,H1(ID)Q+Qpub)g-.如果持有，签名是<h,S>是有效的，否则是无效的。

边缘设备(PEP)通过用户ID和设备的ID判断访问请求者和被访问资源是否属于该物联网域。验证该用户的私钥签名是否有效，若有效，边缘设备则运行PDP选择算法，并将访问请求转发给所选择的PDP。若该私钥签名无效，则拒绝访问请求。

由于物联网系统的动态性和实时性特征，并不是所有部署的区块链物联网设备都能够达到实时处理访问请求的要求。因此本发明选择使用一种的PDP选择算法，能够实时选择进行链下访问决策的区块链节点。

为了选择能够做出实时决策的物联网设备，本发明在边缘设备上部署了资源管理器，用以检测每个物联网设备的运行状态。每个物联网设备都运行一个节点管理服务，用以监视资源使用情况和任务执行状态，并将这些状态同步到边缘设备。当边缘设备接收到访问请求时，它评估了做出访问决策所需的计算和存储资源，然后选择具有可靠计算和存储资源的物联网设备作为PDP，做出实时的链外策略决策。

步骤三：策略执行点(PDP)执行访问过程。智能合约(链代码)与分类账一起是区块链系统的关键组成部分。在本发明的系统中，智能合约为实体提供了获取属性和策略文件的摘要并上传到区块链上的接口。

在系统处理访问请求之前。物联网域的实体通过调用上传属性函数uploadAttr，将其属性上传到他们的本地区块链分类账上，物联网设备通过调用上传策略函数uploadPolicy将它们的访问策略摘要上传到他们的本地区块链分类账上。

在访问控制过程中，被选择的PDP通过调用getAttr and getPolicy函数(区块链内)获取相应的属性和策略文件的摘要，并根据摘要从数据库中检索策略。然后每个PDP做一个链下访问决策。

步骤四：PEP执行：最后，每个PDP将结果返回给边缘设备。这个结果包括PDP的ID(该物联网设备的ID)，请求号，访问决策(允许或拒绝访问)、以及PDP私钥sk(devID)的签名，即：result＝{devID,requestNum,decision,BLMQ.sign(skdevID,m)}

m＝{devID,requestNum,decision}

本发明使用拜占庭共识算法(PBFT)来达成最终访问决策的共识，提交最终的访问决策。

步骤4.1预准备：边缘设备PEP收集结果

result1＝{dev1_ID,requestNum,decision,BLMQ.sign(skdev1_ID,m)}

result2＝{dev2_ID,requestNum,deci sion,BLMQ.sign(skdev2_ID,m)}

resultn＝{devn_ID,requestNum,decision,BLMQ.sign(skdevn_ID,m)}

然后验证他们的签名，并确定是否与所选PDP通过他们的ID返回的结果一致。最后边缘设备向整个网络广播PDP的有效结果。

步骤4.2准备：一旦PDP接收到来自边缘设备的结果，它通过调用以下的算法1做出最终的访问决策。然后PDP向整个网络广播其访问决定。

步骤4.3提交：如果一个PDP从其他PDP接受到了2f个访问决策(本发明假设PDP的数量n>3f+1)，并且这些网络访问决策结果与它自己所做出的访问决策相同，PDP将向网络广播一个提交消息。

步骤4.4回复：一旦PEP收到2f+1条提交消息，则用户和访问设备提交最终访问决策。系统向访问请求者返回一个实际的访问决定。

本发明没有第三方权限来存储这些属性和策略。此外，大多数物联网设备都可以作为区块链的节点。考虑到物联网设备在物联网系统中也有任务，本发明只选择了物联网设备有足够存储和计算资源的设备，在访问过程中进行策略决策。此外，最终的政策决定是通过PBFT共识算法PDP来实现的。访问请求由用户签名，并且策略决策由PDP签署。因此，请求和政策决定不能在运输过程中被篡改或伪造。此外，边缘设备过滤合法请求。通过IBS确保边缘设备能够过滤非法访问请求。因此，本地区块链账本可以在某种程度上抵御DDoS攻击。

每个本地区块链账本只记录属于其物联网域实体的属性和访问策略文件的摘要，这减少了区块链节点的存储压力。同时，区块链节点只处理自己物联网域的访问请求，有效解决了物联网场景下海量终端节点动系统开销过大的问题。同时，考虑到物联网设备，本发明只选择有足够计算和存储能力的区块链节点作为PDP来进行链外访问。

任何熟悉本技术领域的专业人员在本发明揭露的技术范围内，在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种边缘计算环境下基于区块链的物联网属性访问控制系统，其特征在于，所述系统包括KGC模块、区块链账本模块、物联网设备、边缘设备、用户、和数据库，包括：

KGC模块：KGC模块为物联网域实体生成相对应的私钥，为实体的ID，实体的ID包含物联网域信息，方便边缘设备确定用户的访问请求是否合法；

区块链账本模块：使用HLF为每个物联网域建立一个本地区块链账本，每个本地区块链分类账本记录其物联网域实体的属性、策略文件摘要和访问决策，本发明把本地区块链部署在物联网设备上，作为区块链节点；

物联网设备：物联网设备的所有者定义访问控制策略，决定谁可以访问他们的资源，物联网设备在系统中充当策略决策点PDP，做出访问决策；

边缘设备：边缘设备是物联网域的边界，充当外部世界访问物联网域内数据和资源的接口，在本发明的系统中，本发明将边缘设备视为策略实施点PEP，边缘设备运行slectePDP算法选择PDP做策略决策，然后收集PDP返回的策略决策，使用PBFT拜占庭算法协调PDP提交访问决策，将访问决策返回给用户；

用户：用户发出访问请求，充当系统的访问请求者，向边缘设备PEP发出访问请求，数据库：系统中的数据库用于存储策略文件，在系统中充当策略库的角色，本地域的物联网设备将其访问策略保存在文件中，然后将文件存储在数据库中。

2.一种边缘计算环境下基于区块链的物联网属性访问控制系统的实现方法，其特征在于，所述方法包括如下步骤：

步骤1：创建账本：本发明为每个物联网域建立一个本地的区块链分类账，物联网域的实体将其属性和策略保存在文件中上传到本地的区块链账本上并存储于数据库中，KGC生成相对应的私钥skID为物联网域实体的ID；

用户向边缘设备发送访问控制请求，请求包括请求号、用户的ID uID、被访问的设备的IDdevID以及由用户基于(IBS)的私钥签名skuID，

request＝{requestNum,uID,devID,BLMQ.Sign(skuID,m)}

m＝{requestNum,uID,devID}

步骤2：边缘设备通过用户ID uID区分请求者是否属于本物联网域，并通过设备IDdevID区分该资源是否属于本物联网域或者可信域，如果通过验证，表明签名是有效的，如果无效，则拒绝访问；

在边缘设备上部署资源管理器，用以检测每个物联网设备的运行状态，每个物联网设备都运行一个节点管理服务，用以监视资源使用情况和任务执行状态，并将这些状态同步到边缘设备；

当边缘设备接收到访问请求时，运行SelectPDP算法，对做出访问决策所需的计算和存储资源进行评估，选择能够进行可靠计算和存储资源的物联网设备作为PDP，并做出实时的链外策略决策，最后，边缘设备将访问请求发送给所选择的策略决策点PDP；

步骤3：PDP执行:每个被选择的PDP通过调用getAttr、get policy函数获得相应的属性和策略摘要，并根据摘要从数据库中检索策略，然后每个PDP都做出一个链外的决策；

最后每个PDP将结果返回到边缘设备，结果包括PDP的ID、请求号、策略决策(允许或拒绝)，和由PDP基于身份签名{IBS}签署的私钥，即结果：

result＝{devID,requestNum,decision,BLMQ.sign(skdevID,m)}；

m＝{devID,requestNum,decision}；

步骤4：PEP执行：PDP使用PBFT共识算法来提交最终的访问决策。

3.根据权利要求2所述的一种边缘计算环境下基于区块链的物联网属性访问控制系统的实现方法，其特征在于，所述步骤4包括：

步骤4-1预准备：边缘设备PEP收集结果，然后验证他们的签名，并确定是否与所选PDP通过他们的ID返回的结果一致，最后边缘设备向整个网络广播PDP的有效结果；

步骤4-2准备：一旦PDP接收到来自边缘设备的结果就做出最终的访问决策，然后PDP向整个网络广播其访问决定；

步骤4-3提交：如果一个PDP从其他PDP接受到了2f个访问决策，如果PDP的数量n>3f+1，并且这些网络访问决策结果与它自己所做出的访问决策相同，PDP将向网络广播一个提交消息；

步骤4-4回复：一旦PEP收到2f+1条提交消息，则用户和访问设备提交最终访问决策，系统向访问请求者返回一个实际的访问决定。