第38卷第1期计算机仿真2021年1月文章编号:1006 - 9348(2021)01 -0277 - 05
吴斌,严建峰
(苏州大学计算机科学与技术学院,江苏苏州215006)
摘要:针对网络接入终端自身安全性较差,易被攻击等问题,提出基于区块链技术的分布式可信网络接入认证方法。根据区 块链技术,采用数据层、网络层、共识层以及合约层架构分布式网络框架,整合全部树结构特征的树形数据结构、P2P拓扑结 构、有向无环图共识结构以及设定自动执行脚本的智能合约,构建物联网分布式网络框架;将网络运营商设定分布式网络节 点,采用哈希函数将终端编号与密钥信息存储于本地文件中,利用树形结构遍历搜索,判别终端可信度,采用创建的匿名接 入算法,双向验证可信网络状态。仿真结果表明,所提方法可有效提升接人终端的安全性能,且接入时延较短。
关键词:区块链技术;物联网;有向无环图;智能合约;分布式网络
中图分类号:TP309 文献标识码:B
Distributed Trusted Network Access Authentication
Based on Blockchain Technology
WU Bin,YAN Jian-fen g
(S c h o o l o f Computer S c i e n c e and T e ch no lo gy,Soochow U n i v e r s i t y,J i a n g s u Suzhou215006, China)
A B S T R A C T:Due t o l o w s e c u r i t y o f n e t w o r k a c c e s s t e r m i n a l s,t h i s p a p e r p r e s e n t e d a d i s t r i b u t e d t r u s t w o r t h y n e t w o r k
a c c e s s a u t h e n t i c a t i o n method
b a s e d o n b l o
c k c h a i n t e c h n o l o g y.A c c o r
d i n g t o t h
e b l o c k c h a i n t e c h n o l o g y,t h e d i s t r i b u
t e d n e t w o r k f r a m e w o r k was c o n s t r u c t e d b y d a t a l a y e r,n e t w o r k l a y e r,c o n
s e n s u s l a y e r and c o n t r a c t l a y e r.F i r s t l y,t h e t r e e- s h a p e d d a t a s t r u c t u r e,P2P t o p o l o g y,c o n s e n s u s s t r u c t u r e o f d i r e c t e d a c y c l i c g r a p h i n a l l t r e e s t r u c t u r e f e a t u r e s w e r e i n t e g r a t e d w i t h t h e s m a r t c o n t r a c t s w i t h a u t o m a t i c s c r i p t t o b u i l d t h e I o T d i s t r i b u t e d n e t w o r k framework.Secondl y,t h e n e t w o r k o p e r a t o r s w e r e s e t a s t h e d i s t r i b u t e d n e t w o r k nodes,and Hash f u n c t i o n s w e r e a d o p t e d t o s t o r e t h e t e rm i n a l number and ke y i n f o r m a t i o n i n t h e l o c a l f i l e.Moreover,t h e t r a v e r s a l s e a r c h o f t r e e s t r u c t u r e was u s e d t o j u d g e t h e c r e d i b i l i t y o f t h e t e r m i n a l.F i n a l l y,t h e anonymous a c c e s s a l g o r i t h m was u s e d t o v e r i f y t h e t r u s t e d n e t w o r k s t a t e i n t w o ways.The s i m u l a t i o n r e s u l t s p r o v e t h a t t h e p r o p o s e d method c a n e f f e c t i v e l y i m p r o v e t h e s e c u r i t y o f a c c e s s t e r m in a l s,an d t h e a c c e s s d e l a y i s s h o r t.
K E Y W O R D S:B l o c k c h a i n t e c h n o l o g y;I n t e r n e t o f t h i n g s (IoT);D i r e c t e d a c y c l i c graph;S m a r t c o n t r a c t s;D i s t r i b ut e d n e t w o r k
i引言
计算机网络初期设计阶段缺乏隐私安全意识,导致现今 网络安全问题日益显著。因此,对可信网络的
十分重要。可 信网络通过网络接入控制措施,将终端~可信扩展至网络,最终使网络可信。可信网络的接入认证是通过控制网络内 不安全因素源头终端接入,令网络可信可控。区块链与物联 网均存在去中心化与分布式属性。其中,物联网僵尸网络的
基金项目:国家自然科学基金资助项目(61572339)
收稿日期:2020- 06 - 01修回日期:2020-06-06形成是由于网络安全模型没有可靠的认证与共识机制,单点 不信任扩展成多点不信任,而区块链则可以完整地进行分布 式存储[2]。为此,相关研究人员对领域进行了大量的研究。
文献[3]针对电力物联网集中式接人认证方法的复杂计 算过程与通信压力,根据电力系统特点,采用区块链去中心 化特征,提出分布式认证方法,依据S H A M I R门限秘密共享 机制建立共识机制,利用接人终端认证组,使分布式认证新的终端,并对其行为进行记录。该方法可有效提高电力物联 网终端并发接人效率,但该方法操作过程中易受到外部干扰 因素影响,导致接人安全性不佳。文献[4]通过结合天地一 体化信息网络与分离网络控制面与数据面理念,设计接人认
—277—
证方法,优化网络安全防护性能,依据提取的接入点决策影 响因素特征,构建各因素求取公式,利用
逼近理想解排序法 与层次分析法,得到接人点决策算法。该方法对网络接人性 能的优化具有一定改善效果,但效果不明显。
基于上述问题的存在,提出一种分布式可信网络接入认 证方法。通过分布式网络框架中架构的树形数据结构,快速 归纳与校验大规模数据的完整性,利用有向无环图结构,提升业务吞吐量,在区块链上自动执行智能合约,实现全网节 点的同步运行,完成了分布式可信网络接入认证方法。与传 统方法相比,所提方法的接人认证安全性能较高,且网络吞 吐量较大,具有一定可行性。
2区块链技术下分布式网络的构建
根据区块链技术的界定原理[5],采用数据层、网络层、共 识层以及合约层架构分布式网络框架。区块链结构如图1所示。
前一区块
哈希
时间戮瓊度目标前一区块
哈希
时间截《度目标
«(-区块
哈希
前一区块
哈希
时间截 瓊度目标图1区块链结构示意图
2.1数据层
为快速归纳与校验大规模数据的完整性,架构具有全部 树结构特征的树形数据结构,架构步骤为:
步骤1:利用哈希值加密算法SHA256[6]双重计算网络 数据,即
Nodeo i= SHA256(SHA256(Data o i)) (1)式中,i= l,2,3,4。
步骤2:获取双重SHA256运算串联的相邻哈希块;
步骤3:递归第二步骤,待顶部仅剩一个结点时终止操作;
步骤t返回树形结构根哈希。
当存储的叶子节点数据发生变化时,由父节点改变根节 点的哈希值。分布式网络用户信息需不断更新,故以该树形 结构为组织形式,将用户置于创世区块中。树形结构如图2所示。
2.2网络层
作为分布式网络框架的基础部分,将网络层架构为P2P 的拓扑结构,利用Gossip协议[7]实现节点之间的互相通信,若消息始发节点需更新到其它节点,利用任意选取的几个临 近节点发送消息,接收消息的节点重复始发节点操作,直到 消息覆盖所有节点。节点更新过程如图3所示。
2.3共识层
共识层为区块链核心部分,其依据预先协商的规则,明
图2树形结构示意图
@■--0……-
«T»((r»
图3节点更新过程
确区块链每个节点之间的分布式记录流程,当各节点数据结 果达成共识后,确保分布式形式的一致性与可靠性。共识层 利用有向无环图结构,将接入认证作为粒度,满足各用户与 区块链—对应,提升业务吞吐量。其运行原理如图4 所示:
2.4合约层
该层由计算机程序语言编写智能合约[8],其能够在区块 链上自动执行的合同条款。区块链网络中所有节点上均分 布存储合约代码,且可实现全网节点同步运行。因合约具有 去中心化、不可篡改以及透明可信等优势,任何节点问题、机 构或个人均无法干扰合约程序的正常运行。其运行机制如 图5所示。
3分布式可信网络接入认证
3.1区块链可信认证匿名接入算法设计
物联网分布式网络在接人认证时,用户多采用匿名认证
—278
—
图4共识层运行原理
图5智能合约运行机制示意图
形式。因此,创建一种匿名接入算法。将网络运营商设定分 布式网络节点,采用哈希函数将终端编号与密钥信息存储于 本地文件中。当终端申请区块向终端编号发出信号时,运营 商节点通过树形结构进行遍历搜索,判别终端可信度。若哈 希函数不匹配,则网络属于非法状态,禁止接入;反之,若网 络为可信状态,应将R S A非对称加解密体系作为认证方法的构建条件,采用匿名接入算法,进行双向验证。匿名认证 算法流程如图6所示。
用户终端 运营商节点
编号哈希值
+密钥材料
应答信号+
证书
<—验证结果—►本地酿本数据库
匿名接入算
法认证阶段
图6匿名认证算法流程示意图
证书发放机构C A选取R SA[9]模型,即
n = pq(2)式中,保密素数分别是/>W。
假定m是证明者/?要证明的消息,与r i互素,且满足1
矣_ 1,则证明者/?的公钥计算公式为
六小龄童体
v =m2(mod n)(3)
证明者/U壬选一个数值r,满足1- 1,则发送给验
证者P的证据x表达式为净利润怎么算
x ^r2(mod n)(4)
若证明者接收到一个取值为0或者1的随机比特e,该比特由验证者P发出,通过本地执行计算公式,可分别求
解出不同比特值,证明者或验证者/^的公钥运算结果,即
y2 =(mod n)(5)
当e=0时,y= r;当 e= l 时,y E r m(mod n)。
证明者f i将计算结果发送到验证者P,经验证者P比较
判定,如果双方数值相同,则证明者K的证明消息通过验证。
验证者P至少要执行三次本地计算,确保验证结果,实现网
络接人。在证明者合法的前提下,获取匹配一致的最终运算 结果,将实际网络编码引人终端计算参数。
设定m是应保密的网络实际编号,鉴权阶段与网络编号 哈希函数的区块密钥材料分别为y和/>,y,其分别表示验证
公钥,p表示运算参数。
假设z与y匹配的私钥,则生产商利用私钥*与任意数 g构成的公钥为
■y-g'm o A{p)(6)式中,g,* </>。
生产商将编号m分成a、6两部分,下式分别为m的拆 分关系式与〇部分表达式,即
m = (xa + kb)mod(p - 1)(7)
a = g^modip)(8)
其中,1名A:矣p- 2,且满足gcd(f c,p- 1) = 1。
终端发送a、6两部分,向运营商申请节点验证,运营商
节点与终端通过计算/ak mod(p)与gmmod(p)值,判定两数 值是否匹配。
代入各关系,得到下列等式验证表达式
y°ai mod(p)=
=gM+t i mod(p)= gmmod(p)(9)将公钥与加密消息划分为并列模式,防止重复时延,降 低通信与运算资源开销,提升接人认证性能。
3.2可信网络接入认证实现
物联网实体的主要功能是实现数据的转发与存储,MME (M o b i l i t y Management E n t i t y,移动管理实体)与 U E(User E-quipment,用户终端)之间的运行过程是用户终端与网络的鉴 权[1°]阶段,网络中存储用户身份数据的实体为H S S(Home S u b s c r i b e r S e r v e r,归属签约用户服务器),可以与M M E直接 通信。
认证策略大致由两部分构成:从H S S到M M E发送EPS
—279
—杨幂疑似怀双胞胎
物联网接人认证方法
-体化网络接人认证方法
迭代次数/次
4
6
8
迭代次数/次
图7不同方法网络吞吐置对比
分析图7可以看出,在相同实验条件下,采用三种方法
接人网络吞吐量存在一定差异。其中,所提方法的网络吞吐 量总体高于其它两种方法,其网络吞吐量最高可达约99
Mpa ;其它两种方法的网络吞吐量最髙分别约为69 Mpa 和
49 Mpa ,相比之下所提方法的网络吞吐能力更强,具有一定 可靠性。
4.4.2不同方法接人验证的准确度分析
为了验证所提方法接人的安全性能,实验分析了物联网
接人认证方法以及一体化网络接人认证方法接入的准确度, 实验结果如图8所不。
请。在运营商节点进行一次合法验证时,将日志同步到另一 个运营商节点上。设定待认证终端节点中有12个合法节
点,另
外2个属于干扰节点。以网络吞吐量、接人验证的准
确度以及接入验证的时延为仿真指标,对比所提方法以及传 统方法的接人认证方法性能。
4.4仿真结果分析
4.4.1不同方法网络吞吐量分析
为了验证所提方法的可靠性,实验分析了所提方法、物
联网接入认证方法以及一体化网络接人认证方法的网络吞
吐量
,其中,网络吞吐量越大代表该方法性能越好。仿真结
果如图7所示。
认证矢量;M M E
与
U E
之间的协商密钥。实现流程描述
张瑞希的老公如下:
1)
U E
发送附着请求给M M E ,请求信息含有网络身份编 号 IMSI ( I n t e r n a t i o n a l M o b i l e S u b s c r i b e r I d e n t i f i c a t i o n Number , 国际移动用户识别码)与注册H S S 编号ID h ss;
2) M M E 验证编号ID hss ,发送IMSI 给相应的HSS ;3) 接收消息后,H S S 验证
IMSI 是否合法,如果通过验 证,架构含有随机数R A N D 、认证令牌A U T N 的认证矢量集
合
A V
,将其作为应答数据,由H S S 发回至M M E ;
4) 接收H S S 的鉴权矢量集合后,M M E 进行本地存储,从 中任选一组随机矢量4以;),获得随机数R 4A ®(;)、认证令
牌
M
77V (i )以及心m
⑴等信息,将密钥标识⑴分
配给心S w (i ),发送认证请求至现;
5) 根据⑴内的M 4C 数据,推算出Z M 4C 。通 过判定M 4C 与X A M C 数值是否一致、序列号S C W 是否在允 许范围中,验证待接人网络。如果认证合格,求
解与
,发送 ⑴至
6)
经过对比接收M S
( i )与#( i )中的X /?£S ( 〇 ,若数值
相等,则认证通过,允许网络接人。
4仿真分析
4.1仿真环境
为了验证所提方法的科学有效性,进行仿真分析。实验 在
M A T L A B 平台上进行,操作系统为W I N D O W S X P
系统,其
运行内存为8G B ,C P U 为3. 6 GHz 。
4.2仿真参数
仿真参数如表1所示。
表1
仿真参数
参数取值网络实际编号m
5素数p 10随机数值g
2系数k 8私钥X 7公钥y 2网络a 部分5网络b 部分
2
4.3仿真方案
构建16个节点的物联网区块链分布式拓扑结构,设置
待认证终端节点有14个,运营商节点2个。仿真限定节点 数量为两个。依据链码设定
IP
访问序列,待认证终端节点
按序向两个运营商节点提出申请,如果运营商节点繁忙,忽 略所提申请,拒绝应答消息发回申请节点,则该申请节点缓 存所提申请,对下一运营商节点提出请求;如果两个运营商 节点均繁忙,待认证节点将在一定时间内再次按序发出申
60
,
40,
%/M 番
把 Y m
100
80604020
县、
—
280 —
图8
节约粮食手抄报图片
不同方法接入验证准确度对比
分析图8可以看出,采用三种方法接人验证的准确度不相同。其中,采用所提方法的接人验证的准确度最高可达约90 %,而其它两种方法的接入验证准确度远低于所提方法。这是由于所提方法将网络运营商设定分布式网络节点,采用哈希函数将终端编号与密钥信息存储于本地文件中。当终端申请区块向终端编号发出信号时,运营商节点通过树形结构进行遍历搜索,判别终端可信度。由此提高了所提方法接人验证的准确度。
4.4.3不同方法接人的时延分析
为了进一步验证所提方法的可行性,实验分析了三种方法接入时的时延,其中,时延越短代表接人响应越快。实验结果如表2所示。
表2不同方法接入时延分析(s)
迭代次数
/次所提
方法
物联网接入
认证方法
一体化网络
接入认证方法
22.1 4.2 4.9
4 2.2 5.2 5.4
62.1 4.8 5.6
82.1 6.27.6
10 2.37.5 6.9
122.1 6.97.9分析表2中数据可知,随着迭代次数的增加,三种方法的接入时延随之改变。其中,所提方法的接入时延最短为2.1s,物联网接入认证方法的接入时延最短为 4.2s,—体化网络接人认证方法接人时延最短为4.9s,相比之下所提方法的时延分别缩短了 2. 1 S和 2. 8s。验证了所提方法的科学
有效性。
5结束语
以防范为主的网络接入机制比较被动,抵御变种病毒与木马攻击时并发性较差,且多数攻击事件均因接入终端安全性较差等导致,为此从接入终端的安全问题出发,以区块链技术为背景,提出分布式可信网络接人认证方法。通过与传统接入方法对比得到以下结论:
1)所提方法接入后网络吞吐量最高可达99Mpa,验证了所提方法的综合有效性。
2) 所提方法接人验证的准确度最高可达约90 % ,高于
传统方法的接入验证准确度,验证了所提方法的安全性能
较好。
3) 所提方法的接人时延最短为2.1 s,与传统方法相比
接人较快,具有一定可行性。
参考文献:
黄奕前夫黄毅清[1]畅丽红,裴焕斗,杨佩宗.一种嵌人式平台身份认证可信网络
连接模型设计[J].小型微型计算机系统,2018,39(4):759
-762.
[2]杨明极,邵丹,刘恺怿.移动终端在异构无线网络中的接人方
法[J].大连工业大学学报,2018,37(1) :73 -78.
[3]陈孝莲,虎啸,沈超,等.基于区块链的电力物联网接入认证技
术研究[J].电子技术应用,2019,45(11 ):77 - 81.
[4]胡志言,杜学绘,曹利峰.软件定义天地一体化网络接人认证
架构与方法[J].计算机应用研究,2019,36(3) :240-244.
[5]邵奇峰,金澈清,张召,等.区块链技术:架构及进展[J].计算
机学报,2018,41(5): 969 -988.
[6]李帅,孙磊,郭松辉.减少上下文切换的虚拟密码设备中断路
径优化方法[J].计算机应用,2018,38(7):丨946-1950,1959 [7]张仕将,柴晶,陈泽华,等.基于Gossip协议的拜占庭共识算法
[J].计算机科学,2018,45(2) :20-24.
[8]杜瑞忠,刘妍,田俊峰.物联网中基于智能合约的访问控制方
法[J].计算机研究与发展,2019,56(10) =2287 -2298.
[9]巩林明,李顺东,窦家维,等.标准模型下抗CPA与抗CCA2的
RSA型加密方案[J].电子学报,2018,46(8) =1938 -1946.
[10]刘彩霞,胡鑫鑫,刘树新,等.基于Lowe分类法的5G网络
EAP-AKA'协议安全性分析[J].电子与信息学报,2019,41
(8):1800 -1807.
f[作者简介]吴斌(1993 -),男(汉族),江苏江阴人,硕士研
究生,研究方向:区块链。
严建峰(1978 -),男(汉族),江苏昆山人,博士,副
教授,研究方向:区块链、大数据。
—281—
发布评论