PDF《物联网下的区块链访问控制综述》

修改时间: 2018-10-12;

采用时间: 2018-12-18;

jos 在线出版时间: 2019-03-27 CNKI 网络优先出版: 2019-03-27 16:40:26, http://kns.cnki.net/kcms/detail/11.2560.TP.20190327.1640.006.html 史锦山 等:物联网下的区块链访问控制综述

1633 人与人之间在任何时候、任何地点的有效连接.物联网中会产生海量的数据,其中具有大量的个人隐私,这些隐 私信息一旦泄漏,会给用户带来巨大的损失.作为数据保护的基石性技术之一,访问控制可保障数据仅能被拥有 相应权限的用户访问[1] .因此,物联网下的访问控制机制也就成为了物联网安全和隐私保护的重要研究内容 之一. 随着物联网技术和应用的不断发展,物联网从早期依托射频识别(radio frequency identification,简称 RFID) 技术的物流网络发展到目前万物皆可连的 智慧地球 ,物联网环境下的访问控制也随之不断发展.主要的访问 控制方法有:基于角色的访问控制(role-based access control,简称 RBAC)[2?5] 、基于属性的访问控制(attributes based access control,简称 ABAC)[6?11] 、基于使用控制模型(usage control,简称 UCON)的访问控制[12?15] 和基于权 能的访问控制(capability-based access control,简称 CapBAC)[16?20] 等. RBAC 在物联网概念出现之前已经被提出,最初是为了解决大型企业级系统的访问控制问题.RBAC 将角 色和一组权限关联在一起,用户根据系统所赋予的角色获取相应的权限.随着物联网的发展,学者们将 RBAC 用 于物联网中的访问控制中,可支持物联网环境的可扩展性[21] 、跨域访问控制[22] 和设备异构[23,24] 等特性.但是 RBAC 作为一种静态的访问控制方法,无法提前预设{用户,角色}、{角色,权限}的对应关系,因此无法解决物联 网节点动态接入的问题.ABAC 是一种动态的访问控制模型,与RBAC 需要管理者提前预设{角色,权限}等对应 关系不同,ABAC 使用属性作为访问控制的关键要素,而属性是主体和客体内在固有的,通过实体属性发现机制 可以挖掘出独立、完备的主体、客体等的属性集合,因此不需要管理者手工输入,然后通过自动化的属性-权限 关联关系发现机制可以快速挖掘出{属性,权限}.因此,ABAC 不仅可以解决物联网中节点的动态接入问题,而且 对于节点移动和访问数据变化带来的动态性也可以完美解决.物联网下的 ABAC 考虑了节点轻量级[7,10] 、动态 性[8] 的物联网特性做出了局部改进.在物联网中实现访问控制,不仅需要考虑节点的动态接入问题,还需要考虑 访问过程中节点属性的可变性问题.而UCON 不仅解决了节点动态接入问题[14] ,而且还在访问控制过程中考虑 了连续性和可变性两个重要属性[15] .连续性体现在访问控制会对请求者访问资源的整体过程进行实时监控,可 以随时撤销其资源使用权限;

可变性是指属性在访问控制过程中是可变的,在UCON 中,一般将属性分为不变属 性和可变属性两种,其中,可变属性会随着环境和行为等的变化而改变. 上述 RBAC,ABAC 和UCON 这3个访问控制模型都由一个集中式的授权决策实体依据访问控制策略和 其他属性信息进行访问控制决策,即以上方法均是引入中央可信实体的概念构建的.随着物联网在生活领域的 深入应用,用户对数据隐私和个人隐私信息的保护提出了更高的要求.但是每个访问请求都指向同一个中央可 信实体,由中央可信实体保存所有信息,并依据所保存的信息完成所有决策.这本身就是技术层面的不安全,需 要依赖技术之外的法律层面来保障安全.而近年频出的隐私泄露事件,如韩国三大信用卡公司信息泄露事件、 苹果 iCloud 云端系统漏洞风波等,都对中央可信实体的可信度提出了质疑. RBAC,ABAC 和UCON 这3种方法都需要一个集中式的服务器来完成授权决策,而CapBAC 在物联网环 境中已经实现了轻量级[18] 的分布式[16,18,19] 的访问控制,而且支持动态性[17,20] 和可扩展性[17,20] .虽然 CapBAC 分 布式的设计避免了使用集中式服务器所带来的单点故障问题,但是 CapBAC 在物联网中轻量级的设备上实现 分布式的访问控制决策时,轻量级设备并不能保证自己的安全性,有可能会被攻击者通过安全性薄弱的物联网 设备作为突破口威胁到访问控制的安全,因此,分布式 CapBAC 无法解决在不可信环境下的物联网访问控制. 区块链是一种去中心化的分布式技术,是一种以密码学算法为基础的点对点分布式账本技术,是一种互联 网上的共享数据库技术.区块链从技术上解决了基于信任的中心化模型带来的安全问题,它基于密码学算法保 证价值的安全转移,基于哈希链及时间戳机制保证数据的可追溯、不可篡改特性,基于共识算法保证节点间区 块数据的一致性,基于自动化的脚本代码和图灵完备的虚拟机保证可编程的智能合约.2015 年,区块链技术从金 融领域扩展到物联网领域.主要的应用之一就是用于物联网访问控制,代替物联网访问控制的中央可信实体. 当将区块链技术与物联网相结合时,访问控制作为物联网数据保护的关键技术之一,成为了主要的结合领 域.目前有两种结合方式:一种是区块链技术与现有的物联网访问控制模型结合,区块链充当现有访问控制模型 的可信实体,目前主要的研究见表 1,包括区块链与 RBAC 模型结合[25] 、区块链与 ABAC 模型结合[26?28] 和区块