2023年7月27日发(作者:)
第38卷第1期计算机仿真2021年1月文章编号:1006 - 9348(2021)01 -0277 - 05基于区块链技术的分布式可信网络接入认证吴斌,严建峰(苏州大学计算机科学与技术学院,江苏苏州215006)摘要:针对网络接入终端自身安全性较差,易被攻击等问题,提出基于区块链技术的分布式可信网络接入认证方法。根据区
块链技术,采用数据层、网络层、共识层以及合约层架构分布式网络框架,整合全部树结构特征的树形数据结构、P2P拓扑结
构、有向无环图共识结构以及设定自动执行脚本的智能合约,构建物联网分布式网络框架;将网络运营商设定分布式网络节
点,采用哈希函数将终端编号与密钥信息存储于本地文件中,利用树形结构遍历搜索,判别终端可信度,采用创建的匿名接
入算法,双向验证可信网络状态。仿真结果表明,所提方法可有效提升接人终端的安全性能,且接入时延较短。关键词:区块链技术;物联网;有向无环图;智能合约;分布式网络
中图分类号:TP 309 文献标识码:BDistributed Trusted Network Access Authentication
Based on Blockchain TechnologyWU Bin,YAN Jian-feng(School
of
Computer
Science
and
Technology,
Soochow
University,
Jiangsu
Suzhou 215006,
China)ABSTRACT :
Due
to
low
security
of
network
access
terminals,
this
paper
presented
a
distributed
trustworthy
network
access
authentication
method
based
on
blockchain
technology.
According
to
the
blockchain
technology,
the
distributed
network
framework
was
constructed
by
data
layer,
network
layer,
consensus
layer
and
contract
layer.
Firstly,
the
tree -
shaped
data
structure,
P2P
topology,
consensus
structure
of
directed
acyclic
graph
in
all
tree
structure
features
were
integrated
with
the
smart
contracts
with
automatic
script
to
build
the
IoT
distributed
network
framework.
Secondly
,the
network
operators
were
set
as
the
distributed
network
nodes,
and
Hash
functions
were
adopted
to
store
the
terminal
number
and
key
information
in
the
local
file.
Moreover,
the
traversal
search
of
tree
structure
was
used
to
judge
the
credibility
of
the
terminal.
Finally,
the
anonymous
access
algorithm
was
used
to
verify
the
trusted
network
state
in
two
ways.
The
simulation
results
prove
that
the
proposed
method
can
effectively
improve
the
security
of
access
terminals,
and
the
access
delay
is
DS :
Blockchain
technology;
Internet
of
things (IoT) ;
Directed
acyclic
graph;
Smart
contracts;
Distributed
network形成是由于网络安全模型没有可靠的认证与共识机制,单点
i引言不信任扩展成多点不信任,而区块链则可以完整地进行分布
计算机网络初期设计阶段缺乏隐私安全意识,导致现今
式存储[2]。为此,相关研究人员对领域进行了大量的研究。网络安全问题日益显著。因此,对可信网络的十分重要。可
文献[3]针对电力物联网集中式接人认证方法的复杂计
信网络通过网络接入控制措施,将终端~可信扩展至网络,
算过程与通信压力,根据电力系统特点,采用区块链去中心
最终使网络可信。可信网络的接入认证是通过控制网络内
化特征,提出分布式认证方法,依据SHAMIR门限秘密共享
不安全因素源头终端接入,令网络可信可控。区块链与物联
机制建立共识机制,利用接人终端认证组,使分布式认证新
网均存在去中心化与分布式属性。其中,物联网僵尸网络的的终端,并对其行为进行记录。该方法可有效提高电力物联
网终端并发接人效率,但该方法操作过程中易受到外部干扰
基金项目:国家自然科学基金资助项目(61572339)
因素影响,导致接人安全性不佳。文献[4]通过结合天地一
收稿日期:2020 - 06 - 01 修回日期:2020-06-06体化信息网络与分离网络控制面与数据面理念,设计接人认—277 —证方法,优化网络安全防护性能,依据提取的接入点决策影
响因素特征,构建各因素求取公式,利用逼近理想解排序法
与层次分析法,得到接人点决策算法。该方法对网络接人性
能的优化具有一定改善效果,但效果不明显。基于上述问题的存在,提出一种分布式可信网络接入认
证方法。通过分布式网络框架中架构的树形数据结构,快速
归纳与校验大规模数据的完整性,利用有向无环图结构,提
升业务吞吐量,在区块链上自动执行智能合约,实现全网节
点的同步运行,完成了分布式可信网络接入认证方法。与传
统方法相比,所提方法的接人认证安全性能较高,且网络吞
吐量较大,具有一定可行性。2区块链技术下分布式网络的构建根据区块链技术的界定原理[5],采用数据层、网络层、共
识层以及合约层架构分布式网络框架。区块链结构如图1所示。前一区块
前一区块 «(-区块 前一区块
哈希哈希哈希哈希时间戮 瓊度目标时间截 《度目标时间截 瓊度目标图1区块链结构示意图2.1数据层为快速归纳与校验大规模数据的完整性,架构具有全部
树结构特征的树形数据结构,架构步骤为:步骤1:利用哈希值加密算法SHA256[6]双重计算网络
数据,即Nodeoi =
SHA256 (SHA256 (Dataoi)) (1)式中,i =
l,2,3,4。步骤2:获取双重SHA256运算串联的相邻哈希块;步骤3:递归第二步骤,待顶部仅剩一个结点时终止
操作;步骤t返回树形结构根哈希。当存储的叶子节点数据发生变化时,由父节点改变根节
点的哈希值。分布式网络用户信息需不断更新,故以该树形
结构为组织形式,将用户置于创世区块中。树形结构如图2所示。2.2网络层作为分布式网络框架的基础部分,将网络层架构为P2P
的拓扑结构,利用Gossip协议[7]实现节点之间的互相通信,
若消息始发节点需更新到其它节点,利用任意选取的几个临
近节点发送消息,接收消息的节点重复始发节点操作,直到
消息覆盖所有节点。节点更新过程如图3所示。2.3共识层共识层为区块链核心部分,其依据预先协商的规则,明—278 —图2树形结构示意图@■--0……-«T»((r»图3节点更新过程确区块链每个节点之间的分布式记录流程,当各节点数据结
果达成共识后,确保分布式形式的一致性与可靠性。共识层
利用有向无环图结构,将接入认证作为粒度,满足各用户与
区块链—对应,提升业务吞吐量。其运行原理如图4
所示:2.4合约层该层由计算机程序语言编写智能合约[8],其能够在区块
链上自动执行的合同条款。区块链网络中所有节点上均分
布存储合约代码,且可实现全网节点同步运行。因合约具有
去中心化、不可篡改以及透明可信等优势,任何节点问题、机
构或个人均无法干扰合约程序的正常运行。其运行机制如
图5所示。3分布式可信网络接入认证3.1区块链可信认证匿名接入算法设计物联网分布式网络在接人认证时,用户多采用匿名认证证书发放机构CA选取RSA[9]模型,即n =
pq (2)式中,保密素数分别是/>W。假定m是证明者/?要证明的消息,与ri互素,且满足1
矣_ 1,则证明者/?的公钥计算公式为v =
m2 (
mod
n) (3)证明者/U壬选一个数值r,满足1 - 1,则发送给验证者P的证据x表达式为x ^
r2 (
mod
n) (4)若证明者接收到一个取值为0或者1的随机比特e,
该比特由验证者P发出,通过本地执行计算公式,可分别求
图4共识层运行原理解出不同比特值,证明者或验证者/^的公钥运算结果,即
y2 =
(mod
n) (5)当
e=0 时,y =
r;当
e =
l 时,yErm(
mod
n)。证明者fi将计算结果发送到验证者P,经验证者P比较
判定,如果双方数值相同,则证明者K的证明消息通过验证。
验证者P至少要执行三次本地计算,确保验证结果,实现网
络接人。在证明者合法的前提下,获取匹配一致的最终运算
结果,将实际网络编码引人终端计算参数。设定m是应保密的网络实际编号,鉴权阶段与网络编号
哈希函数的区块密钥材料分别为y和/>,y,其分别表示验证
公钥,p表示运算参数。假设z与y匹配的私钥,则生产商利用私钥*与任意数
图5智能合约运行机制示意图g构成的公钥为■y
-
g'moA{p) (6)形式。因此,创建一种匿名接入算法。将网络运营商设定分
式中,g,* 。布式网络节点,采用哈希函数将终端编号与密钥信息存储于
生产商将编号m分成a、6两部分,下式分别为m的拆
本地文件中。当终端申请区块向终端编号发出信号时,运营
分关系式与〇部分表达式,即m =
(xa +
kb)mod(p - 1) (7)商节点通过树形结构进行遍历搜索,判别终端可信度。若哈
a =
g^modip) (8)希函数不匹配,则网络属于非法状态,禁止接入;反之,若网
其中,1名A:矣p - 2,且满足gcd(fc,p - 1) = 1。络为可信状态,应将RSA非对称加解密体系作为认证方法
终端发送a、6两部分,向运营商申请节点验证,运营商
的构建条件,采用匿名接入算法,进行双向验证。匿名认证
节点与终端通过计算/akmod(p)与gmmod(p)值,判定两数
算法流程如图6所示。值是否匹配。代入各关系,得到下列等式验证表达式
用户终端 运营商节点y°aimod(p) =编号哈希值
=gM+timod(p) =
gmmod(p) (9)+密钥材料将公钥与加密消息划分为并列模式,防止重复时延,降
应答信号+
低通信与运算资源开销,提升接人认证性能。证书3.2可信网络接入认证实现物联网实体的主要功能是实现数据的转发与存储,MME
(Mobility
Management
Entity,移动管理实体)与
UE(
User
E-
<—验证结果—►本地酿本数据库quipment,用户终端)之间的运行过程是用户终端与网络的鉴
匿名接入算
权[1°]阶段,网络中存储用户身份数据的实体为HSS(
Home
法认证阶段Subscriber
Server,归属签约用户服务器),可以与MME直接
图6匿名认证算法流程示意图通信。认证策略大致由两部分构成:从HSS到MME发送EPS—279 —认证矢量;M如下:1)
ME与UE之间的协商密钥。实现流程描述
请。在运营商节点进行一次合法验证时,将日志同步到另一
个运营商节点上。设定待认证终端节点中有12个合法节
UE发送附着请求给MME,请求信息含有网络身份编
点,另外2个属于干扰节点。以网络吞吐量、接人验证的准
号
IMSI(
International
Mobile
Subscriber
Identification
Number,
国际移动用户识别码)与注册HSS编号IDhss;2)
MME验证编号IDhss,发送IMSI给相应的HSS;3)
合接收消息后,HSS验证证,架构含有随机数RAND、认证令牌AUTN的认证矢量集
AV确度以及接入验证的时延为仿真指标,对比所提方法以及传
统方法的接人认证方法性能。4.4仿真结果分析IMSI是否合法,如果通过验4
.4.1不同方法网络吞吐量分析为了验证所提方法的可靠性,实验分析了所提方法、物
联网接入认证方法以及一体化网络接人认证方法的网络吞
,其中,网络吞吐量越大代表该方法性能越好。仿真结
,将其作为应答数据,由HSS发回至MME;4)
牌接收HSS的鉴权矢量集合后,MME进行本地存储,从
吐量⑴等信息,将密钥标识⑴分
中任选一组随机矢量4以;),获得随机数R4A®(;)、认证令
M果如图7所示。77V(i)以及心m配给心Sw(i),发送认证请求至现;5) 根据⑴内的M4C数据,推算出ZM4C。通
过判定M4C与XAMC数值是否一致、序列号SCW是否在允
许范围中,验证待接人网络。如果认证合格,求,发送
6)
⑴至S1解与县、经过对比接收M(
i)与#(
i)中的X/?£S( 〇 ,若数值
相等,则认证通过,允许网络接人。4仿真分析迭代次数/次4.1仿真环境为了验证所提方法的科学有效性,进行仿真分析。实验
在MATLAB平台上进行,操作系统为WINDOWS
XP图7不同方法网络吞吐置对比系统,其
分析图7可以看出,在相同实验条件下,采用三种方法
接人网络吞吐量存在一定差异。其中,所提方法的网络吞吐
量总体高于其它两种方法,其网络吞吐量最高可达约99
运行内存为8GB,CPU为3. 6
GHz。4.2仿真参数仿真参数如表1所示。表1参数网络实际编号m素数p随机数值g系数k私钥X公钥y网络a部分网络b部分仿真参数取值510287252Mpa;其它两种方法的网络吞吐量最髙分别约为69
Mpa和
49
Mpa,相比之下所提方法的网络吞吐能力更强,具有一定
可靠性。4.4.2不同方法接人验证的准确度分析为了验证所提方法接人的安全性能,实验分析了物联网
接人认证方法以及一体化网络接人认证方法接入的准确度,
实验结果如图8所不。4.3仿真方案构建16个节点的物联网区块链分布式拓扑结构,设置
待认证终端节点有14个,运营商节点2个。仿真限定节点
数量为两个。依据链码设定60,IP访问序列,待认证终端节点
%/M番把Y
m物联网接人认证方法
40,
-体化网络接人认证方法按序向两个运营商节点提出申请,如果运营商节点繁忙,忽
略所提申请,拒绝应答消息发回申请节点,则该申请节点缓
存所提申请,对下一运营商节点提出请求;如果两个运营商
节点均繁忙,待认证节点将在一定时间内再次按序发出申4 6 8迭代次数/次图8—280 —不同方法接入验证准确度对比分析图8可以看出,采用三种方法接人验证的准确度不
相同。其中,采用所提方法的接人验证的准确度最高可达约
90 %,而其它两种方法的接入验证准确度远低于所提方法。
这是由于所提方法将网络运营商设定分布式网络节点,采用
哈希函数将终端编号与密钥信息存储于本地文件中。当终
端申请区块向终端编号发出信号时,运营商节点通过树形结
构进行遍历搜索,判别终端可信度。由此提高了所提方法接
人验证的准确度。4.4.3不同方法接人的时延分析为了进一步验证所提方法的可行性,实验分析了三种方
法接入时的时延,其中,时延越短代表接人响应越快。实验
结果如表2所示。表2不同方法接入时延分析(s)迭代次数所提物联网接入 一体化网络
/次方法认证方法接入认证方法22. 14.24.942.25.25.462. 14.85.682. 16.27.6102.37.56.9122. 16.97.9分析表2中数据可知,随着迭代次数的增加,三种方法
的接入时延随之改变。其中,所提方法的接入时延最短为2.1
s,物联网接入认证方法的接入时延最短为4.2 s,—体化
网络接人认证方法接人时延最短为4.9
s,相比之下所提方
法的时延分别缩短了 2. 1
S和2. 8 s。验证了所提方法的科
学有效性。5结束语以防范为主的网络接入机制比较被动,抵御变种病毒与
木马攻击时并发性较差,且多数攻击事件均因接入终端安全
性较差等导致,为此从接入终端的安全问题出发,以区块链
技术为背景,提出分布式可信网络接人认证方法。通过与传
统接入方法对比得到以下结论:1)所提方法接入后网络吞吐量最高可达99
Mpa,验证了所提方法的综合有效性。2) 所提方法接人验证的准确度最高可达约90 % ,高于传统方法的接入验证准确度,验证了所提方法的安全性能
较好。3) 所提方法的接人时延最短为2.1 s,与传统方法相比接人较快,具有一定可行性。参考文献:[1] 畅丽红,裴焕斗,杨佩宗.一种嵌人式平台身份认证可信网络
连接模型设计[J].小型微型计算机系统,2018,39(4):759
-762.[2] 杨明极,邵丹,刘恺怿.移动终端在异构无线网络中的接人方
法[J].大连工业大学学报,2018,37(1) :73 -78.[3] 陈孝莲,虎啸,沈超,等.基于区块链的电力物联网接入认证技
术研究[J].电子技术应用,2019,45(11 ):77 - 81.[4] 胡志言,杜学绘,曹利峰.软件定义天地一体化网络接人认证
架构与方法[J].计算机应用研究,2019,36(3) :240-244.[5] 邵奇峰,金澈清,张召,等.区块链技术:架构及进展[J].计算
机学报,2018,41(5): 969 -988.[6] 李帅,孙磊,郭松辉.减少上下文切换的虚拟密码设备中断路
径优化方法[J].计算机应用,2018,38(7):丨946-1950,1959[7] 张仕将,柴晶,陈泽华,等.基于Gossip协议的拜占庭共识算法
[J].计算机科学,2018,45(2) :20-24.[8] 杜瑞忠,刘妍,田俊峰.物联网中基于智能合约的访问控制方
法[J].计算机研究与发展,2019,56(10) =2287 -2298.[9] 巩林明,李顺东,窦家维,等.标准模型下抗CPA与抗CCA2的
RSA 型加密方案[J].电子学报,2018,46(8) =1938 -1946.[10] 刘彩霞,胡鑫鑫,刘树新,等.基于Lowe分类法的5G网络
EAP-AKA'协议安全性分析[J].电子与信息学报,2019,41(8) :1800 -1807.f [作者简介]吴斌(1993 -),男(汉族),江苏江阴人,硕士研
究生,研究方向:区块链。严建峰(1978 -),男(汉族),江苏昆山人,博士,副
教授,研究方向:区块链、大数据。—281 —
发布者:admin,转转请注明出处:http://www.yc00.com/web/1690419494a347316.html
评论列表(0条)