面向区块链的物联网终端跨域认证方法综述.pdf
《面向区块链的物联网终端跨域认证方法综述.pdf》由会员分享,可在线阅读,更多相关《面向区块链的物联网终端跨域认证方法综述.pdf(20页珍藏版)》请在咨信网上搜索。
1、计算机科学与探索Journal of Frontiers of Computer Science and Technology1673-9418/2023/17(09)-1995-20doi:10.3778/j.issn.1673-9418.2211004面向区块链的物联网终端跨域认证方法综述霍炜1+,张琼露2,欧嵬3,韩文报2,31.清华大学 计算机科学与技术系,北京 1000842.中国科学院 信息工程研究所 信息安全国家重点实验室,北京 1000933.海南大学 网络空间安全学院(密码学院),海口 570228+通信作者 E-mail:摘要:物联网终端设备分布广、数量多、层次复杂,并且涉
2、及多个管理域,常处于不可控的环境中,相比于传统互联网终端,更容易受到攻击,其安全管控面临着更为巨大的风险与挑战。身份认证作为物联网终端安全防护的“第一道防线”,对物联网安全发展起着不可替代的作用。区块链具有去中心化、分布式、不易篡改、可追溯等特点优势,能够有效解决物联网终端跨域身份认证中存在的可信第三方单点信任失效,多域异构性难以满足最小授权原则等安全问题,使用区块链技术是物联网终端跨域认证未来发展的重要方向。按照融合了PKI和IBS/IBC等传统身份认证机制、采用跨链技术以及基于区块链的跨域认证技术三种类别,对近年来基于区块链的物联网终端跨域认证主要研究成果进行了分类和总结,并对不同方案进行
3、了技术特点及优缺点分析。在此基础上,总结归纳了目前物联网终端跨域认证领域存在的问题,并给出了物联网终端跨域认证未来的研究方向和发展建议,以实现对基于区块链的物联网终端跨域认证方案研究进展和发展趋势的总体把握。关键词:物联网;跨域认证;区块链;身份认证文献标志码:A中图分类号:TP309Survey on Blockchain-Based Cross-Domain Authentication for Internet of ThingsTerminalsHUO Wei1+,ZHANG Qionglu2,OU Wei3,HAN Wenbao2,31.Department of Computer
4、Science and Technology,Tsinghua University,Beijing 100084,China2.State Key Laboratory of Information Security,Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China3.School of Cyberspace Security(School of Cryptology),Hainan University,Haikou 570228,ChinaAbstract:Inter
5、net of things(IoT)devices are widely distributed,numerous and complex,which are involved inmultiple management domains.They are often in uncontrollable environments and are more vulnerable to attacksthan traditional Internet terminals,the security management and protection of IoT terminals face grea
6、ter risks andchallenges.As“the first line of defense”for the security protection of IoT devices,authentication plays anirreplaceable and important role in the development of IoT security.The blockchain technology has the characteristicsand advantages of decentralization,distribution,immutability and
7、 traceability.And thus,it can effectively solve thesingle-point trust failure of trusted third parties and satisfy the principle of least authorization for multi-domainheterogeneity in cross-domain authentication for IoT terminals.Using the blockchain technology is an importanttrend in the future de
8、velopment of the IoT device cross-domain authentication.This paper categorizes and summarizesthe main research achievements of IoT cross-domain authentication based on blockchain technology in recent years收稿日期:2022-11-02修回日期:2023-03-09Journal of Frontiers of Computer Science and Technology计算机科学与探索20
9、23,17(9)随着物联网(Internet of things,IoT)应用的日益普及,传感器、智能终端等海量设备呈指数级接入网络,并广泛应用于消费物联网、智慧城市、智能医疗和工业物联网等关系人们日常生产生活的各种场景。据全球移动通信系统协会(Global System forMobile Communications Association,GSMA)移动经济 2022 报告1显示,2021年全球物联网设备连接数量达到151亿;预计到2025年,全球物联网连接数将增长到 233 亿,我国物联网连接规模将达到 80 亿。物联网终端数量众多、种类多样、层次复杂,大多终端设备计算能力相对较弱、资
10、源受限、常处于不可控环境中,相比于传统互联网终端,其受攻击面更大,更容易遭到攻击和威胁。2016年,Mirai僵尸网络控制了数以百万计的物联网设备,发起分布式拒绝服务(distributed denial of service,DDoS)攻击,致使若干重要互联网网站无法访问2。SAM Seamless Network2021物联网安全形势 报告指出,针对物联网设备的攻击占据 2021 年发生的 10 亿次与安全相关的攻击的九成,10亿级物联网设备遭到攻击3,安全已成为制约物联网发展的重要因素。身份认证作为安全防护的“首要防线”,被视为物联网安全发展的关键要求,身份认证的不健全或是安全漏洞都会直
11、接导致整个物联网陷入安全危机。目前物联网终端身份认证方面已有大量成熟的研究成果,不同物联网终端设备会根据应用场景、接入位置等情况,采用基于公钥基础设施(public key infrastructure,PKI)、基于身份的签名(identity-based signature,IBS)、多因素认证、代理等机制的身份认证方案或方法接入相应的管理域/信任域,在域内进行资源共享与信息交互。例如,Yu等人4提出一种云环境下的物联网安全轻量级多因素认证方案。该方案利用秘密参数和生物特征提供安全的互认性和匿名性,且参与交互过程的云服务器在控制服务器进行注册后提供物联网服务,能够抵抗会话密钥泄露、重放和中
12、间人等攻击,与同类型方案相比,具有更好的安全性和效率,适用于实际物联网云计算环境。Lin等人5提出基于代理的云边联合认证方案,引入可信第三方作为联合认证中心协助完成对各设备的认证,解决终端设备既要与云认证又要与边缘服务器认证的问题,减轻用户频繁认证的负担。但是这些方案都需要引入控制服务器和可信第三方,增加了额外的硬件或部署开销,成本较高。并且仅能解决域内身份认证的物联网终端认证方案也间接导致了物联网应用和系统逐渐呈现烟囱式状态,封闭式系统建设模式形成了一个个信息孤岛。不同系统之间认证模式各不相同,证书形式、区块链应用模式、密钥管理方式等均存在差异,造成了十分显著的应用隔离,形成了安全需求不同、
13、信任模式迥异的多个信任域。随着物联网应用场景持续丰富,不同应用之间不可避免会迸发出价值交换、协同控制、信息交互以及多域访问等业务需求,如图 1所示,终端跨域访问也成为时下备受关注的研究热点问题之一。为此,学术界和产业界针对物联网终端跨域身份认证问according to three categories:integrating traditional identity authentication mechanisms such as PKI and IBS/IBC,adopting inter-blockchain technology,and other cross-domain auth
14、entication technologies based on blockchain.Then this paper analyzes the technical characteristics,advantages and disadvantages of each different scheme.Onthis basis,the current problems and issues in the field of cross-domain authentication of IoT devices are summarized,and the future research dire
15、ctions and development suggestions for the cross-domain authentication of IoT terminalsare given,so as to achieve a general and overall grasp of the research progress and development trend of IoT devicecross-domain authentication schemes based on blockchain technology.Key words:Internet of things;cr
16、oss-domain authentication;blockchain;identity authentication图1多信任域间的跨域身份认证需求Fig.1Requirements of cross-domain authenticationbetween multiple trust domains1996霍炜 等:面向区块链的物联网终端跨域认证方法综述题,开展了大量方案设计和研究工作,以期打通物联网垂直应用,打破信息孤岛,构建互联互通的物联网应用访问环境。丁永善等人6利用PKI和IBS认证的相关特性,提出一种基于证书的签名(certificate basedsignature,CBS
17、)方案,有效避免了 PKI证书管理复杂性和IBS密钥托管与分发等问题,实现了安全、高效、匿名的物联网跨域认证,具有更小的计算和通信开销,适用于资源受限的移动设备。万雨薇7提出了基于身份密码体制和无证书加密体制的不同系统参数的跨域签密方案,优化了跨域环境下的签密算法,并根据无线传感模型构建了一种物联网跨域认证机制。该方案能保证会话临时密钥的安全性,相比于已有方案计算量和能量消耗更少,成本更低。吴卫8提出一种适用于边缘计算环境的基于PKI和SM9标识的认证体系,设计基于标识的“云-边-端”认证方案和基于K匿名思想的位置隐私保护方案,物联网终端在边缘进行跨域认证,降低了复杂度,实现了高效安全接入、跨
18、域认证及位置隐私保护,适用于低性能物联网终端设备。毛浥龙9针对物联网跨域认证和可信度量中的安全问题,提出了一种基于证书的物联网身份联盟跨域认证方案,通过组建身份联盟及其可信第三方密钥中心,为实体签发跨域证书,实现异构系统之间的实体身份管理和跨域认证;通过分析联盟中不同身份管理系统的身份认证方式、安全级别以及实体跨域访问记录等信息,对跨域实体的可信度进行计算评价,减少身份管理系统和认证机制对跨域认证结果的影响。季一木等人10面向物联网环境提出了一种分层身份加密(hierarchical identity-based encryption,HIBE)的多私钥生成机构(privatekey gene
19、rator,PKG)联合跨域认证方案。该方案使用不同 PKG作为信任网关,通过密钥共享解决密钥托管问题,并建立安全的通信密钥协商机制,实现不同系统参数的信任域用户节点间的互相认证,方案安全可行,且提高了通信效率。以上仅采用 PKI等传统技术的认证方案存在证书管理体系复杂、跨域认证效率低、工作量大等诸多问题,不能有效解决物联网环境异构性和跨域安全等级差异大、终端设备计算能力有限带来的身份认证及其安全问题,尤其是在面向低延时、实时性高的物联网场景时,不能有效满足物联网跨域身份认证和通信业务需求。并且,这类集中式物联网终端认证方式严重依赖受信任的服务器,无法防止单点故障和针对集中存储的攻击,存在明显
20、缺点。此外,部分方案还增加了额外的硬件、数据维护等成本和开销。区块链可用于建立物联网环境下的分布式信任机制,其去中心化、不可篡改等特性,能够有效解决集中式证书管理体系带来的低效、重负载以及认证服务系统单点信任失效等安全问题,实现分布式验证,缓解中央机构性能瓶颈问题,满足物联网终端设备跨域身份认证需求,提高跨域通信效率。例如,文献11-33给出了融合区块链技术同时采用传统认证机制(PKI机制、IBS/IBC体系、令牌等)的物联网终端跨域认证机制。Wang 等人11提出了 BlockCAM 模型,马晓婷14设计了 ISE-CBCM 模型,Kim 等人15提出了分布式 ID 管理系统,黄穗等人16提
21、出了基于区块链和布谷鸟过滤器的跨域认证方法等,相比于仅采用传统认证的跨域认证方式,在性能、安全或成本等方面均有不同的改善和影响,但在带来技术便利性和优势的同时,也不可避免地引入了新的问题。因此,研究现有基于区块链的物联网终端跨域认证方案,分析其中存在的问题和不足,提出相应建议并找到未来物联网终端认证发展的方向,对于促进物联网跨域认证技术发展,确保物联网终端设备安全接入和整体规模有序健康扩展具有重要意义。本文的主要贡献如下:(1)研究总结了近年来基于区块链的物联网终端跨域认证的主要研究成果,并在此基础上分析了目前物联网跨域认证领域存在的问题。针对这些问题,提出了未来的研究方向和发展建议,实现对基
22、于区块链技术解决物联网跨域身份认证问题研究进展的总体把握。(2)研究总结了基于区块链的物联网终端跨域认证方法和机制,有助于相关领域研究人员和从业者快速掌握区块链和物联网技术的交叉应用及研究进展,帮助他们快速获取相关的应用方法与知识,以便后续开展更为深入的研究工作。1关键技术1.1PKI体系PKI是指通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种信任体系,是完成用户身份鉴别、保护网络数据传输的常用方法。PKI体系主要由密钥管理中心(key management center,KMC)、证 书 颁 发 机 构(certification authority,C
23、A)、证书注册机构(registerauthority,RA)和发布中心组成,包括两种重要技术,1997Journal of Frontiers of Computer Science and Technology计算机科学与探索2023,17(9)即证书和密钥。PKI证书是指授予实体参与 PKI密钥交换的权限文件。证书包括公钥和双方都信任的来源的官方证明。CA负责证书的颁发、更新以及维护证书废除列表(certificate revocation list,CRL)。RA用于接收证书的申请,负责用户身份信息收集、用户身份审查和确认,向CA发出证书请求,是用户和CA之间的接口。PKI通过采用对称
24、加密算法、非对称加密算法、杂凑算法、数字签名等技术,提供公钥加密和数字签名服务,从而自动管理密钥和证书,验证用户身份的真实性,确保数据传输的保密性、完整性以及行为的不可否认性,最终实现数据安全和身份确认等安全功能。例如,PKI能够使用公钥对传输中的数据流进行加密操作,防止通信过程中被非法恶意窃取或监听,并且借助私钥唯一性这一特点,有效保证只有接收方才能正确成功解密相应数据流信息。1.2基于身份的密码体系基于身份的密码体系(identity-based cryptograph,IBC)最早由 Shamir于 1984 年提出34,是在 PKI基础上发展而来的,包括基于身份的签名(IBS)算法组、
25、基于身份的加解密(identity-based encryption,IBE)算 法 组、基 于 身 份 的 密 钥 协 商(identity-based keyagreement,IBKA)身份认证协议。用户的身份作为公钥,对应私钥由可信密钥生成中心(key generatecenter,KGC)发布,且该私钥从 KGC的主密钥导出,并且KGC能够以带外(out-of-band)方法验证用户的身份,简化了 PKI要求,消除了 PKI体系和证书管理的成本,用户使用更方便,安全策略控制更灵活,安全应用更易部署和使用。例如,我国的商用密码算法SM9就是基于IBC体系设计的。IBC 体系保留了 PK
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 区块 联网 终端 认证 方法 综述
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。