基于区块链接的物联网安全平台的设计

来源:用户上传      作者:

　　摘要：如今，物联网的发展迅速，各式各样的智能设备进入网络，融入到人们的日常生活。智能设备在给人们的生活带来便捷的同时也带来了安全管理方面的问题。现在的物联网设备管理大多采用的是平台集中式管理，由于设备的增长，平台的维护和管理压力越来越大，且集中式单点信任问题也让安全性大打折扣。因此本文提出了一种分布式设备管理平台来应对越来越多的异构设备接入所带来的管理压力，并结合区块链技术的安全特性来给安全运行平台设备提供防护。
　　关键词：分布式平台；权限控制；物联网
　　一、引言
　　如今物联网技术飞速发展，广泛的应用于智能电网、智能供水网络、智能家居、智能交通等各个方面。相信过不了多久，物联网将深入的融入到生活的各个方面，在未来的科技发展以及生产生活中将起到不可或缺的重要作用。但是伴随着高新技术而来的就是安全问题，越来越多的只能设备连入到网络中将大大增加物联网应用发生风险的概率，也使得安全事故一旦发生，所造成的的后果也更加的严重，物联网时代的安全问题将要远远大于互联网时代。根据美国AIB调查公司的数据统计，全球有100亿台设备可以通过无线网络接入互联网。预计到2020年将会达到300亿。其中不仅仅包括智能手机和平板电脑，在未来还将有更多的更廉价的物联网设备进入生活周边，而消费者的敏感信息也被这些设备所享有。物联网设备的安全管理问题成为了行业发展的首要问题，必须要得到应有的重视。
　　物联网的管理平台一般可分为两种管理方式：集中式管理和分布式管理。其中集中式管理就是将物联网物体进行集中化的管理，分配调度以及权限管理都统一进行。然而随着物联网的发展，接入的设备急速增长且呈现出多元化，网络结构开始复杂多样化，集中式系统的管理和维护压力越来越大。而且集中式管理中存在着单点信任的问题，当主机出现故障或者遭到攻击，会导致整个系统的瘫痪以及信息泄露，系统安全无法得到足够的保障。由于这种显而易见的弱点，现在的网络组织结構开始朝着小型化、扁平化发展，分布式系统开始逐渐取代集中式系统成为主流模式。分布式系统的最大优势就是其可靠性，其系统中的节点为对等节点，不存在某个节点的故障或被攻击而导致整个系统陷入危机的情况，也就是说其拥有很好对抗入侵的能力。
　　区块链是由一连串依照时间顺序相连的数据区块所组成，其中的每个数据块都有着多次网络节点间有效交互确认的信息，通过共识机制和密码学方式开保证其不可更改和无法伪造。一些分布式对等节点共同组成了区块链，这些节点共同维护区块链网络，每个节点对其都有自己的本地备份。区块链技术本来是比特币应用的关键技术，在比特币获得成功后，区块链技术被众多的学者所重视，使得区块链技术被单独分离应用于许多领域之中。给一些技术带来了变革和突破。区块链所维护的网络就属于分布式网络，其维护具有多数决策的特性，对于构建一个去中心化平台非常合适，另外其拥有不可更改的特性，可以保障平台上安全方案的完成。因此本文以区块链接为基础，尝试构建一个分布式的物联网安全平台。
　　二、相关概念和技术介绍
　　（一）区块链概念
　　区块链是比特币应用中的一项核心技术，其是由节点参与的分布式数据库构成，其不可更改、不可伪造的特点在比特币获得成功后，开始被人们所重视，区块链技术被人们从比特币中分离应用于其他各个领域，如金融、医疗、教育等行业。区块链可以将其分解成“数据库”与“链接”。数据块是区块链网络每经过一段时间就会生成的一个区块，区块链的各种数据都是保存于很多数据块之上，区块信息都拥有密码来进行加密，通过使用hash值的计算来保证区块的完整性以及正确性。网络会不断的产生新的区块以储存信息，区块链上的新消息会被网络上的节点进行验证来确保其有效性，而信息一旦写入就很难再进行修改与删除。新旧的区块按照时间段的顺序进行连接而产生了区块链，其不可伪造与更改。区块链技术能够有效的避免中心化，能够通过运用数据加密、分布式共识和经济激励等手段，在无需互相信任的分布式系统中实现去中心化的交易和协调，从而解决中心化系统的数据储存不安全、低效等问题。
　　（二）接入认证技术
　　接入认证指的是用户在接入系统前要按照某种方式来对用户的身份进行识别和鉴定，从而保证接入用户的合法性以及对认证完成的用户进行备案，以作为用户的身份凭证。接入认证一般会包含身份识别和身份认证着两个阶段，身份识别是用户给系统提供身份证明的过程，系统通过此过程来对用户的身份进行确认。认证是确保平台安全的重要步骤，可以将非法用户排除在平台之外，在认证时限制其对平台资源的访问，而合法用户则会在系统中生成身份证明，因而接入认证是安全机制中的基础。接入认证一般分成两种类型，一种是用户和系统间的相互认证，另一种是系统之间的相互认证。
　　（三）权限控制技术
　　权限控制是通过系统设置的安全规则和策略来设置用户可以访问的资源和需要通过自己授权才能访问的资源。没有被授权的资源，用户无法通过任何方式来进行访问。权限控制系统也是安全系统的重要组成之一，通过权限的限制，阻止用户访问未被授权的资源从而保证系统的安全。一般权限控制会采用角色的访问控制模型，其拥有着相比于其它模型的明显优点，在此模型中，用户和访问权限间引入了角色概念，用户被定义为不同的角色并给予不同的权限，极大地简化了权限管理。根据不同的需求会创造不同的角色并给予工作需要的权限信息，使得权限信息简单明了，同时对角色的创建和删除使得管理更加快捷。
　　（四）容忍入侵技术
　　容忍入侵的概念中认为系统安全问题无法彻底避免，因而系统的防护只是保障安全的一种策略，系统还需要能够在受到攻击的时候仍然保持系统的性能和正常的服务。其和抵御攻击策略完全不相同，其策略为在已经受到攻击且抵御策略失效的情况下，仍然保持系统运行。容忍入侵包括了入侵检测与错误处理。入侵检测是对系统内的用户行为、安全日志、审计数据等信息进行检测来找出外界用户对系统的闯入或闯入企图。错误处理则是在入侵检测发现入侵之后，系统所能够进行的处理方法以阻止入侵的扩散和修复损坏，使得系统从错误中恢复并维持关键服务乃至完全服务。 　　三、基于区块链的物联网安全平台总体设计
　　（一）设计的总体架构
　　平台的节点需要与物联网之间进行设备信息的交换，以进行设备信息的统计与分析以及进行接入认证、权限管理、入侵检测等机制的逻辑管理功能。区块链网络则需要关注对数表决决策以及对于信息的永久储存。在平台的总体设计上可以将平台的节点与区块链网络的节点进行结构上的分离，平台节点专注于数据处理与服务封装以及管理络逻辑。区块链网络节点则用于决策表决和信息储存方面。
　　（二）平台模块的组成
　　1.终端设备交互模块
　　物联网设备其信息格式不会统一，平台要实现与物联网设备间的流畅信息交互，则必须要有终端设备交互模块。其主要功能就是要将物联网设备的信息进行统一转换为平台可以识别的信息格式以达到信息交互的目的。在信息流动上，物联网上的设备信息先传达到终端设备交互模块上，之后再将信息传给接入认证模块或者信息运行模块，从而完成对接入设备的身份认证或者完成信息的上传以及发送。
　　2.接入认证模块
　　要对接入设备完成身份认证，接入认证模块就必不可少。接入认证模块是实现对接入设备完成身份认证，从而保障平台的安全。该模块通过对接收到的身份认证信息的格式转换，向区块链网络节点发送信息来进行身份的验证，网络会将认证的结果反馈回来，如果认证得到了通过，那么模块就会生产接入设备的有关信息，存入区块链网络并将其发送给接入设备。在信息的流动上，接入认证模块从终端设备交互模块得到身份认证信息，将其发送给数据处理模块，将数据处理模块反馈的认证结果通过终端设备交互模块通知接入设备。
　　3.运行信息传递模块
　　运行信息传递模块主要进行平台设备信息的是传递以及向其传递其他设备的运行信息。设备在进行运行信息的提交时首先要验证并通过访问权限，其通过的上传信息通过数据处理模块发送到相应的区块链节点进行储存，其中的信息只能追溯而无法更改；设备向平台发出获取其他信息的请求时，也要先进行访问权限的验证，在获得通过之后，经数据处理模块从区块链中获得其它设备的信息。在信息流动上，运行信息传递模块会从终端设备交互模块得到设备的操作信息，然后先通过信息访问模块来获得权限的验证得到反馈结果，然后数据处理模块从区块链中获得数据。
　　4.信息访问控制模块
　　信息访问模块的作用就是对设备进行访问权限的管理和监督。信息访问模块会在设备进行信息的读写之前对设备进行权限的验证，其会将请求封装发送给区块链网络，验证其的权限是否能够进行请求数据的读写，如果验证通过，平台才会执行读写操作。在信息流动方面，次模块会从运行信息传递模块获得设备操作权限验证的要求，然后又数据处理模块将请求信息发送给区块链网络，网络会将权限的判定结果再通过数据处理模块传回到信息访问控制模块，然后改模块会将判定结果发送给运行信息传递模块。
　　5.容忍入侵模块
　　光是靠拒绝非法操作并不能够完全保证平台的安全，恶意节点可以通过不断发送恶意信息来耗费服务资源，来达到降低平台性能的目的。因而平台容忍入侵模块就是对这种恶意的信息攻击进行排除的。当容忍入侵模块在检测到恶意事件的时候，其会捕捉并将其传送到信息分析器，然后事件分线器会将分析请求经过数据处理模块传递到区块链网络，网络节点进行处理之后将结果反馈到事件分析器，如果出现恶意入侵的判定，那么相应单元就会做出相应的处理，通过数据处理魔块术向区块链网络进行排除的请求，从而将恶意节点从平台端口上排除掉。在信息流动上，次模块会对运行信息传递模块进行监视，以发现和捕捉恶性事件，当捕捉到后，会从数据处理模块传递到区块链网络，在得到判定结过后，结过从区块链网返回，从而做出相应的处理。
　　6.数据处理模块
　　数据处理模块的主要功能其一是分节点还有区块链节点的信息交流，其主要是对其他模块传递来的信息进行封装和传递；其二是对数据展示模块的数据处理请求进行统计和监视、追溯、展示和验证，并将数据进行可视化处理等。在信息流动上，改模块从其他需要与区块链进行信息交互的模块中获得请求，将信息封装之后传递到区块链的客户节点中，在从区块链网络获得反馈的结果后传回到相应的模块。另外此模块还和数据展示模块进行信息的交流帮助进行数据可视化处理。
　　参考文献
　　[1[张鑫，杨晓元，朱率率等 物联网环境下移动节点可信接入认证协议[J].计算机应用，2016，36（11）：3108-3112.
　　[2]张忠捷，喻昕，王高才 基于领域驱动的MIS系统细粒度权限模型研究[J].计算机科学，2013，40（s1）：44-49.
　　[3]李凤华，苏鋩，史国振，等.访问控制模型研宄进展及发展趋势[J].电子學报，2012，40（4）：805-813.
　　[4]陈雪林 基于Web的网络入侵检测系统设计与实现[D].成都理工大学，2004.
转载注明来源:https://www.xzbu.com/1/view-14850100.htm