基于區(qū)塊鏈技術的網(wǎng)絡終端鑒權認證方法研究

葉海明,徐曉東

(1.中國人民解放軍95910部隊，甘肅 酒泉 735000;2. 中國人民解放軍94456部隊，山東 威海 264200)

0 引言

隨著部隊作戰(zhàn)任務需求不斷變化，作戰(zhàn)樣式及地域持續(xù)擴展，從原有的固定訓練靶場向山林、丘陵、沙漠等真實作戰(zhàn)環(huán)境延伸，部隊內(nèi)網(wǎng)從有線網(wǎng)絡為主轉向有線無線網(wǎng)絡混合發(fā)展；數(shù)據(jù)傳輸類型從原有的語音通話、態(tài)勢信息，逐步轉換為語音、視頻、數(shù)據(jù)多種內(nèi)容的交互共享發(fā)展；數(shù)據(jù)交互范圍從原有的小范圍通信，逐步轉換為跨區(qū)域、跨部門、跨業(yè)務領域的交互。作戰(zhàn)保障網(wǎng)絡終端(簡稱網(wǎng)絡終端)類型從原有的基于有線網(wǎng)絡的電腦終端，逐步轉向為電腦終端與無線手持終端的混合使用；網(wǎng)絡終端部署的要求也發(fā)生了變化，布設從原來的小范圍單建筑單體布設，向大范圍、多區(qū)域、快速布設轉變，突出特點為網(wǎng)終端設備的稀疏分散，獨立作戰(zhàn)單位的各類型網(wǎng)絡終端可能分布在十幾平方公里內(nèi)以多個節(jié)點進行接入，各網(wǎng)絡終端之間需保持數(shù)據(jù)交互。上述變化讓網(wǎng)絡終端管理工作的難度進一步提升，對網(wǎng)絡終端的身份識別及安全認證(簡稱鑒權認證)提出了更高的要求。

傳統(tǒng)的網(wǎng)絡終端鑒權認證方式是基于中心式的集中授權，網(wǎng)絡終端通過證書、口令、硬件信息等方式，通過網(wǎng)絡訪問授權中心獲取授權，驗證后進行服務訪問或數(shù)據(jù)利用，但該授權認證方式與作戰(zhàn)實際需求存在差異，在鑒權認證的有效性和穩(wěn)定性方面存在短板。

集中鑒權認證方式可以較好地滿足有線網(wǎng)絡、固定終端的鑒權認證需求，但無法滿足當前近似作戰(zhàn)環(huán)境下多種網(wǎng)絡結構并存、多操作系統(tǒng)、多類型硬件設備、多種授權方式下手持終端和PC設備混合組網(wǎng)的終端入網(wǎng)鑒權認證需求，尤其是基于有線網(wǎng)絡和無線網(wǎng)絡業(yè)務互通的端到端的服務鑒權認證機制還不完善，單個鑒權服務器的故障即可導致鑒權體系的失效。在作戰(zhàn)期間，任何可疑終端的違規(guī)接入，非法進行數(shù)據(jù)交互、對高密級業(yè)務的越權訪問都會造成不可估量的損失。

為解決該問題，提出基于區(qū)塊鏈技術，利用其中心化、分布式存儲及信息無法篡改等特性，設計區(qū)塊體數(shù)據(jù)結構，實現(xiàn)網(wǎng)絡終端信息的分布式存儲，并利用AES算法對敏感數(shù)據(jù)進行加密傳輸，實現(xiàn)網(wǎng)絡終端設備的鑒權認證，滿足作戰(zhàn)保障對網(wǎng)絡終端設備鑒權所需的低成本、抗損毀、高兼容性要求。

1 網(wǎng)絡安全終端認證的現(xiàn)狀及需求

1.1 作戰(zhàn)保障網(wǎng)絡結構

隨著作戰(zhàn)保障需求的提高，要求作戰(zhàn)保障網(wǎng)絡能夠實現(xiàn)對所屬戰(zhàn)場環(huán)境的時間、空間信息實現(xiàn)實時采集、實時監(jiān)測、作戰(zhàn)信息的實時傳輸。能夠為作戰(zhàn)單元的指揮維修提供及時、有效、可靠的數(shù)據(jù)支撐。因此，原有的范圍固定、功能單一的作戰(zhàn)信息保障模式已經(jīng)無法滿足現(xiàn)有需求，作戰(zhàn)通信網(wǎng)絡已逐步由單一的數(shù)據(jù)傳送網(wǎng)絡或話音傳送網(wǎng)絡向數(shù)據(jù)、話音、視頻和交互式多媒體等多種類型信息的綜合傳輸服務演進，網(wǎng)絡服務逐漸向多樣化的方向發(fā)展，終端類型更加多樣、網(wǎng)絡結構也變得更加復雜，具備分散性、異構性、融合性的發(fā)展[1]發(fā)展趨勢，網(wǎng)絡結構可見下圖1所示。網(wǎng)絡終端類型更加多樣，其服務內(nèi)容逐漸向多樣化的方向發(fā)展，更有效滿足通信和信息獲取的需求。主要體現(xiàn)在是在移動無線網(wǎng)絡與固定有線網(wǎng)絡的融合互通以及無線自組網(wǎng)設備的互聯(lián)互通上。作戰(zhàn)相關的信息保障任務主要是通過兩類終端完成：1)基于有線網(wǎng)絡的PC終端，用于態(tài)勢數(shù)據(jù)的存儲、計算及分析應用；2)基于無線網(wǎng)絡的手持終端，用于現(xiàn)場的指揮調(diào)度、動態(tài)數(shù)據(jù)的采集存儲及作戰(zhàn)保障相關業(yè)務數(shù)據(jù)的訪問。

圖1 異構網(wǎng)絡框架

1.2 網(wǎng)絡終端鑒權的需求

新的網(wǎng)絡架構及終端類型必然對應新的需求，網(wǎng)絡終端的權限鑒別成為影響作戰(zhàn)保障網(wǎng)絡安全的瓶頸因素，由于網(wǎng)絡規(guī)模龐大，終端設備從硬件類型到操作系統(tǒng)均有較大差異，如何能夠進行統(tǒng)一的鑒權驗證，確保入網(wǎng)終端的安全可靠是必須要關注的問題。作戰(zhàn)保障網(wǎng)絡對網(wǎng)絡終端認證，在保證安全性的前提下，有以下幾方面的需求：1)抗損毀效果好，穩(wěn)定性強，單個或多個網(wǎng)絡交換節(jié)點機鑒權認證設備的損壞不會造成重大影響；2)兼容性好，對終端設備的硬件類型、操作系統(tǒng)、業(yè)務應用有較好的兼容性；3)維護性強，運行維護成本極低，對維護人員及各種備品備件要求低，能夠實現(xiàn)在野外等惡劣情況下的快速維修。

現(xiàn)階段主流的網(wǎng)絡終端鑒權模式還是基于同構網(wǎng)絡的集中鑒權模式為主，實際上是基于中心式的C/S模式，實現(xiàn)方式為以下幾種：1)基于網(wǎng)絡接入設備或交換設備的硬件形式的鑒權認證，即采用基于網(wǎng)絡硬件設備的IPSOURCEGUARD授權認證方式；2)基于鑒權服務器的軟件或加密卡等定制軟硬件結合產(chǎn)品的授權認證方案，即采用星型、總線型的混合拓撲結構，通過集中安管設備進行接入終端的認證授權。

集中式鑒權驗證模式針對使用相同技術體制、網(wǎng)絡架構且終端集中部署的專網(wǎng)有成熟的解決方案及有較多的成熟產(chǎn)品，能夠滿足現(xiàn)有的民用需求。但考慮到實戰(zhàn)過程中無法保證數(shù)據(jù)鏈路的穩(wěn)定性，在實戰(zhàn)環(huán)境下部分網(wǎng)絡交換節(jié)點甚至包括核心交換節(jié)點均存在被破壞的可能性，一旦交換節(jié)點被破壞，基于集中式的網(wǎng)絡終端的鑒權驗證就無法實現(xiàn)，會允許未經(jīng)授權終端訪問敏感數(shù)據(jù)，造成失泄密問題。為解決這一問題，現(xiàn)在主要的解決措施是在集中式鑒權驗證的基礎上進行分區(qū)域的多重多次鑒權，將多個在業(yè)務上較為獨立的子網(wǎng)進行統(tǒng)一整合，在實現(xiàn)基層網(wǎng)絡層互聯(lián)互通的基礎上，各業(yè)務的授權認證體系進行整合，形成多重授權的結構[2]。因此A區(qū)域終端訪問C區(qū)域終端的拓撲結構可簡化為以授權設備為核心的多個星型拓撲結構的連接，如終端ClientA1與ClientC1實現(xiàn)交互，必須通過Authen A、Authen B、Authen C三次授權認證通過后方可進行互聯(lián)互通,如圖2所示。

圖2 集中式授權拓撲結構圖

該模式存在的缺點：1)抗損毀能力弱，該模式較單一網(wǎng)絡授權認證設備的集中授權模式抗損毀性確有提升，但依賴單獨授權認證設備的問題并未得到根本解決，要求任何一個業(yè)務區(qū)域必須存在授權認證設備，一旦該授權認證設備被損毀，還是會導致該區(qū)域無法實現(xiàn)網(wǎng)絡終端鑒權；2)兼容性不理想，該方案縱向橫向兼容性均不理想，不同業(yè)務子網(wǎng)的授權驗證方式不同，有通過域安全授權認證、有通過基于硬件的IPSOURCEGUARD授權認證、有通過RADIUS方式授權認證，差異較大，會出現(xiàn)授權認證體系無法兼容導致情況；3)靈活性不高，授權方式固定，入網(wǎng)終端必須與授權設備聯(lián)網(wǎng)后方可實現(xiàn)授權認證，且需要通過專用硬件實現(xiàn)，性能提升空間不大；4)成本偏高，作戰(zhàn)保障網(wǎng)絡入網(wǎng)終端分布地域面積廣、終端數(shù)量并不多，一個C類地址段可滿足網(wǎng)絡終端入網(wǎng)需求，如使用集中式鑒權模式，需配置大量的鑒權認證設備，維護成本高昂。因此，集中式網(wǎng)絡鑒權模式很難滿足作戰(zhàn)保障網(wǎng)絡終端鑒權的需求。

2 網(wǎng)絡終端鑒權方案設計

2.1 網(wǎng)絡終端鑒權體系框架

作戰(zhàn)保障網(wǎng)絡可進行簡化，即各個業(yè)務子網(wǎng)中各終端可以互相訪問也可通過匯聚交換機與其他業(yè)務子網(wǎng)中的終端進行訪問，即可視為多個P2P網(wǎng)絡組成的異構網(wǎng)絡。因此，嘗試通過使用區(qū)塊鏈技術將集中式的C/S模式的入網(wǎng)終端認證模式，進行簡化轉變?yōu)榛赑2P網(wǎng)絡(Peer-to-peer networking，對等網(wǎng)絡)終端鑒權認證模式[3]，不再依賴于單一的授權鑒權設備，而是實現(xiàn)每一臺入網(wǎng)終端既訪問數(shù)據(jù)也為提供入網(wǎng)終端的鑒權服務。

P2P網(wǎng)絡終端鑒權的技術特點體現(xiàn)在以下幾個方面：

1)去中心化[4]，網(wǎng)絡中的所有資源和服務分散在所有節(jié)點上，信息的傳輸和服務的實現(xiàn)都直接在節(jié)點之間進行，無需中間環(huán)節(jié)和服務器的介入。

2)可擴展性，在P2P網(wǎng)絡中，隨著終端的接入，不僅服務的需求增加了，系統(tǒng)整體的資源和服務能力也在同步地擴充，始終能比較容易地滿足需要。

3)健壯性，P2P架構天生具有耐攻擊、高容錯的優(yōu)點，由于鑒權服務是分散在各個終端設備之間進行的，部分設備或網(wǎng)絡節(jié)點遭到破壞對其它部分的影響很小。由于對等網(wǎng)絡不需要專門的服務器來做網(wǎng)絡支持，因此組網(wǎng)成本較低，維護性高。

4)安全性[5-6]，基于密碼學技術保證，未經(jīng)授權終端即使能夠訪問到區(qū)塊鏈數(shù)據(jù)，但無法解析數(shù)據(jù)內(nèi)容，能夠確保數(shù)據(jù)的安全性。

2.2 基于區(qū)塊鏈的網(wǎng)絡終端鑒權工作機制

設計私有區(qū)塊鏈[7-8]，區(qū)塊鏈中的每個區(qū)塊包含著終端詳細信息及對應的權限限制，同時包含著前一數(shù)據(jù)塊的哈希值，在網(wǎng)絡中任意一臺入網(wǎng)終端都能夠訪問，合法終端通過加密算法可以對區(qū)塊鏈信息進行讀取，從讀取的信息中判斷該終端的類型及訪問行為是否合法。

該算法對在區(qū)塊鏈交易算法的基礎上進行了改進，取消了POW工作量驗證機制及transactions交易機制，不需要重復挖礦、不設置Proof驗證，避免挖礦導致的硬件資源大量占用的情況。具體步驟如下：

步驟1：創(chuàng)建區(qū)塊信息。合法網(wǎng)絡終端設備通過一個公私密鑰對與區(qū)塊鏈網(wǎng)絡交互，創(chuàng)建入網(wǎng)終端的區(qū)塊信息。區(qū)塊的組成內(nèi)容包括加密后的基本信息及hash頭兩部分，基本信息包括該入網(wǎng)終端的IP地址、MAC地址及訪問權限；hash頭信息，基于入網(wǎng)終端基本信息，使用sha256算法進行封裝生成hash頭，可確保一旦區(qū)塊中的信息被篡改，hash頭信息均會改變，該區(qū)塊失效，確保在區(qū)塊鏈中記錄的信息無法被篡改。

步驟2：形成區(qū)塊鏈。通過socket/http端口向臨近的對等終端進行組播，接收端對合法區(qū)塊進行驗證，驗證后加入到區(qū)塊鏈中，形成區(qū)塊鏈如圖3所示。

圖3 區(qū)塊鏈組成圖

步驟3：形成共識。通過socket/http端口進行組播，網(wǎng)絡內(nèi)的對等終端電腦如出現(xiàn)區(qū)塊認知沖突，則通過比較最長區(qū)塊鏈獲取共識信息，并通過該鏈識別網(wǎng)內(nèi)終端電腦的授權是否合法，因此形成共識的工作分為兩步，第一步將區(qū)塊信息向專網(wǎng)內(nèi)部所有終端以單播或廣播形式發(fā)送；第二步，網(wǎng)內(nèi)終端區(qū)塊鏈信息不一致時，通過比較最長區(qū)塊鏈獲得共識信息，并以最長區(qū)塊鏈為合法區(qū)塊鏈。

步驟4：全網(wǎng)終端授權鑒權完成。一旦有新終端入網(wǎng)則自動重復步驟1～3，實現(xiàn)新終端的鑒權認證；

步驟5：被訪問設備監(jiān)聽訪問消息，并從區(qū)塊鏈數(shù)據(jù)記錄中獲取提交訪問需求設備的信息，確定該設備是否能進行數(shù)據(jù)訪問，并將上述內(nèi)容添加到區(qū)塊鏈中向全網(wǎng)進行廣播。

步驟6：網(wǎng)絡內(nèi)部任意終端設備受到廣播消息后，驗證消息是否有效，若無效則丟棄，有效則向其下一跳節(jié)點轉發(fā)。最后，將有效的交易消息傳播到整個區(qū)塊鏈網(wǎng)絡。

3 關鍵技術實現(xiàn)及效果驗證

3.1 區(qū)塊鏈實現(xiàn)

網(wǎng)絡終端鑒權的區(qū)塊鏈實際上屬于私有鏈(private block chains)，主要功能是對入網(wǎng)終端設備訪問行為進行鑒權，如符合權限要求則允許進行數(shù)據(jù)訪問；如出現(xiàn)越權訪問請求則禁止數(shù)據(jù)交互行為并將該終端設備標記為非法終端，同時將非法終端數(shù)據(jù)添加到區(qū)塊鏈里，禁止所有合法終端與該終端進行數(shù)據(jù)交互。

3.1.1 區(qū)塊鏈設計

針對網(wǎng)絡終端鑒權的要求，對區(qū)塊的區(qū)塊頭及區(qū)塊體進行設計，詳情如表1所示，區(qū)塊頭由本區(qū)塊的hash碼、前一區(qū)塊的hash碼及本區(qū)塊產(chǎn)生的時間戳信息組成；區(qū)塊體由入網(wǎng)終端注冊的IP地址、MAC地址、訪問權限及該設備的行為屬性信息。最終，由上述區(qū)塊組成一個完整的區(qū)塊鏈。

區(qū)塊體的代碼實現(xiàn)如下：

def __init__(self):

self.chain=[]

self.hash = None

表1 區(qū)塊鏈數(shù)據(jù)結構

self.previous_hash = None

self.timestamp = time.time()

如果還有其他的數(shù)據(jù)內(nèi)容添加進來，則選取它的hash值作為本數(shù)據(jù)塊的previous_hash，組建區(qū)塊頭

def link(self, block):

self.previous_hash = block['hash']

def create_block(self,data):

JsonData={

'timestamp':time.time(),

'data':data

}

生成區(qū)塊鏈的哈希碼

JsonData_serialized = json.dumps(JsonData, sort_keys=True).encode('utf-8')

JsonData_hash = hashlib.sha256(JsonData_serialized).hexdigest()

if len(self.chain)>0:

self.link(self.chain[-1])

構建區(qū)塊信息

block={

'timestamp':time.time(),

'hash':JsonData_hash,

'pre_hash':self.previous_hash,

'data':data

}

self.chain.append(block)

return block

3.1.2 共識算法實現(xiàn)

通過socket/http端口進行組播，通過比較最長區(qū)塊鏈獲取共識信息，并通過該鏈識別網(wǎng)內(nèi)終端的授權級別及訪問行為是否合法。形成共識的工作分為兩步：

步驟1：將區(qū)塊信息向專網(wǎng)內(nèi)部所有終端以單播或廣播形式發(fā)送，區(qū)塊信息網(wǎng)內(nèi)廣播。

def sendToNode(self,ip,block):

將區(qū)塊信息向專網(wǎng)內(nèi)部所有終端進行發(fā)送

sendSocket = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)

sendSocket.sendto(msg, (ip,NETWORK_PORT))

def broadcastSync(self):

self.broadcastPacket(packet_sync_request)

以廣播形式將區(qū)塊信息向網(wǎng)內(nèi)進行發(fā)送

def broadcastPacket(self,packet):

broadcastSocket = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)

broadcastSocket.setsockopt(socket.SOL_SOCKET,socket.SO_BROADCAST,1)

broadcastSocket.sendto(packet, ("255.255.255.255",NETWORK_PORT))

步驟2：網(wǎng)內(nèi)終端區(qū)塊鏈信息不一致時，通過比較最長區(qū)塊鏈獲得共識信息，并以最長區(qū)塊鏈為合法區(qū)塊鏈。

獲得專網(wǎng)內(nèi)部所有終端的IP地址信息，用于進行區(qū)塊鏈共識比較

def register_nodes(self):

values = request.get_json()

nodes = values.get('nodes')

if nodes is None:

return "Error: 節(jié)點序列", 400

for node in nodes:

blockchain.register_node(node)

response = {"message": "新的節(jié)點已經(jīng)被添","total_nodes":list(blockchain.nodes)}

return jsonify(response), 201

進行共識比較

def resolve_conflicts(self):

neighbours = self.nodes

new_chain = None

max_length = len(self.chain)

使用http端口從網(wǎng)內(nèi)終端獲取區(qū)塊鏈，選最長的區(qū)塊鏈為合法的共識鏈

for node in neighbours:

print('http://' + node + '/chain')

response = requests.get('http://' + node + '/chain')

if response.status_code == 200:

length = response.json()['length']

chain = response.json()['chain']

找到最長的區(qū)塊鏈，進行替換

if length > max_length and self.valid_chain(chain):

max_length = length

new_chain = chain

if new_chain:

self.chain = new_chain

return True

圖4 區(qū)塊鏈數(shù)據(jù)內(nèi)容

3.1.3 區(qū)塊體數(shù)據(jù)加密實現(xiàn)

使用批量加密算法AES加密區(qū)塊鏈信息，主要是對區(qū)塊體中的IP、MAC、level、ActionAttribute等信息進行加密，確保只有合法用戶才能訪問區(qū)塊鏈中的信息。

{

timestamp:1581080747.2656

this_hash:c1cefc158fc196005836bba24554b3c7a87dc3ea35a7c7

83a12e587d51cfe432

previous_hash:5847ed1b0023d2dab298f56c3a69525e591ead81c

a153933d3ed1d84ac04b683

IP:192.168.1.201

MAC:01-AF-3B-BA-CA-AC

level:normal

ActionAttribute:legal

}

只對區(qū)塊體數(shù)據(jù)進行加密，區(qū)塊體經(jīng)AES加密后，區(qū)塊鏈數(shù)據(jù)如下所示：

{

timestamp:1581080747.2656

this_hash:c1cefc158fc196005836bba24554b3c7a87dc3ea35a7

c783a12e587d51cfe432

previous_hash:5847ed1b0023d2dab298f56c3a69525e591ead8

1ca153933d3ed1d84ac04b683

IP:jfLJIMw0oL2UkkP2AZ0URQ==

MAC:CREbYAbe1sKN7jqbsvROMg7NNJpqWFF51d5qiBheVf4=

level:Fy1lCln1MqM2S5JmT4XvdQ==

ActionAttribute:0gy0FTQHOUxaGDUU84fXuQ==

}

3.2 區(qū)塊鏈數(shù)據(jù)持久化

通過sqlite數(shù)據(jù)庫對區(qū)塊鏈中的區(qū)塊信息進行數(shù)據(jù)進行存儲，核心是將區(qū)塊鏈信息轉換為JSON，并讀取JSON中的數(shù)據(jù)內(nèi)容存儲至終端內(nèi)部的sqlite數(shù)據(jù)庫中，實現(xiàn)區(qū)塊鏈信息的持久化存儲[9]。對區(qū)塊鏈信息解密后存儲至sqlite數(shù)據(jù)庫后數(shù)據(jù)內(nèi)容如圖4所示。

3.3 效果驗證

使用基于區(qū)塊鏈技術的分布式鑒權認證模式，可實現(xiàn)在網(wǎng)絡狀態(tài)不穩(wěn)定、入網(wǎng)終端分散、維護力量薄弱的情況下實現(xiàn)入網(wǎng)終端的鑒權工作?；趨^(qū)塊鏈的分布式入網(wǎng)終端鑒權和集中式入網(wǎng)終端鑒權在安全性和性能方面的綜合比較如表2所示。

表2 性能對照表

4 結束語

根據(jù)區(qū)塊鏈的工作原理及技術特征，結合作戰(zhàn)保障的實際應用場景，針對網(wǎng)絡通信狀態(tài)不穩(wěn)定、節(jié)點設備易損壞、維護人員不足的現(xiàn)實情況，設計了基于區(qū)塊鏈的分布式入網(wǎng)終端鑒權體系[10]，并解決了區(qū)塊數(shù)據(jù)結構設計、共識算法實現(xiàn)、區(qū)塊鏈數(shù)據(jù)持久化及數(shù)據(jù)加密實現(xiàn)等幾個核心技術問題，搭建了分布式網(wǎng)絡終端授權系統(tǒng)，并與傳統(tǒng)的集中式鑒權模式從性能方面進行了比較，為構建符合作戰(zhàn)保障需求的網(wǎng)絡終端入網(wǎng)鑒權服務的實現(xiàn)進行了探索。