汪雁

（甘肅林業(yè)職業(yè)技術(shù)學(xué)院，甘肅天水，741020）

0 引言

物聯(lián)網(wǎng)是基于互聯(lián)網(wǎng)與通信網(wǎng)作為基礎(chǔ)，從而為物理設(shè)備提供信息交互、無縫連接的互聯(lián)網(wǎng)絡(luò)。在這一個網(wǎng)絡(luò)之中，物理設(shè)備可以滿足設(shè)備之間的精確協(xié)作，也可以滿足人機(jī)之間的實時聯(lián)動。伴隨著科技的進(jìn)步與發(fā)展，物聯(lián)網(wǎng)已經(jīng)發(fā)展為以人為本的面向機(jī)器的物聯(lián)網(wǎng)應(yīng)用。因此，希望通過本文的研究，能夠?qū)τ诮窈蟮姆治銎鸬揭欢ǖ慕梃b意義。

1 基于區(qū)塊鏈的訪問控制分析

基于技術(shù)層面來分析，區(qū)塊鏈本身具有去中心化、不可篡改、數(shù)據(jù)可追溯等基本特點，也可以利用智能合約從而滿足去中心化的邏輯計算?；趨^(qū)塊鏈的訪問控制，區(qū)塊鏈本身能夠做一個存儲關(guān)鍵數(shù)據(jù)的分布式數(shù)據(jù)庫，同時也可以形成去中心化的計算平臺。在數(shù)據(jù)安全角度上加以分析，區(qū)塊鏈本身能夠降低訪問控制對于單一的可信實體的依賴度，提高數(shù)據(jù)的安全性與訪問控制的可靠性?；谠O(shè)備安全角度出發(fā)，物聯(lián)網(wǎng)設(shè)備使用區(qū)塊鏈，就能夠作為底層的網(wǎng)絡(luò)架構(gòu)從而逐漸物聯(lián)網(wǎng)，最終提升其外部網(wǎng)絡(luò)攻擊的抵御能力，從而保障設(shè)備的安全性[1]。

2 基于智能合約的物聯(lián)網(wǎng)訪問控制機(jī)制

2.1 隱私問題描述

訪問控制技術(shù)作為物聯(lián)網(wǎng)隱私與安全保護(hù)的重要手段，基于區(qū)塊鏈的物聯(lián)網(wǎng)訪問控制，在兩者的相互結(jié)合下，其優(yōu)點在于：第一，去中心化特點將傳統(tǒng)集中式訪問控制的單點故障問題解決，這樣有利于物聯(lián)網(wǎng)容錯性的提高。因為并沒有第三方實體的控制，所以還可以滿足數(shù)據(jù)安全性的提升。第二，智能合約能夠為物聯(lián)網(wǎng)設(shè)備提供相應(yīng)的執(zhí)行服務(wù)，這樣就可以滿足物聯(lián)網(wǎng)設(shè)備的自動化管理要求。第三，對于區(qū)塊鏈本身的不可篡改特點，就確保了上傳的數(shù)據(jù)也不會出現(xiàn)篡改的問題，并且因為可追溯性，所以，能夠進(jìn)一步提高其可靠性[2]。

2.2 基于智能合約的訪問控制機(jī)制

在本文的研究中，主要是就新的分布式影視保護(hù)訪問控制系統(tǒng)加以描述，針對本系統(tǒng)的架構(gòu)，其具體見圖1所示。

圖1 訪問控制機(jī)制示意圖

3 訪問控制流程

3.1 智能合約的部署

對于資源所有者，在本地的客戶機(jī)上利用C/C++/Solidity等自然語言來進(jìn)行智能合約的邏輯結(jié)構(gòu)編寫，然后做好代碼的編譯，從而將其部署到區(qū)塊鏈上。對于整個智能合約的執(zhí)行過程，都是基于可信執(zhí)行環(huán)境內(nèi)的。所有調(diào)用的參數(shù)都是通過為智能合約生成公鑰來進(jìn)行加密處理。第一，對于資源的所有者，在本地的客戶機(jī)上通過C/C++/Solidity等自然語言來進(jìn)行智能合約的邏輯結(jié)構(gòu)編寫。第二，資源所有者直接將智能合約編譯成為二進(jìn)制代碼，然后將其嵌入到交易之中，從而實現(xiàn)區(qū)塊鏈中的部署。第三，對于共識節(jié)點，在部署交易驗證之后，在TEE之中進(jìn)行合約代碼的加載，這樣就會有一個對應(yīng)的秘鑰對生成。第四，共識節(jié)點則是直接將合約的地址與公鑰廣告給全網(wǎng)的節(jié)點。

3.2 域內(nèi)訪問控制流程

針對域內(nèi)的訪問請求者，資源所有者直接發(fā)起授權(quán)合約公鑰加密的調(diào)用交易，其主要包含了訪問請求者的角色、地址、設(shè)備與權(quán)限，然后直接上傳到區(qū)塊鏈之中。在交易驗證通過之后，授權(quán)合約就會執(zhí)行對應(yīng)的Addrole操作，然后訪問請求者就會直接將信息添加到授權(quán)合約的訪問控制列表之中。之后，訪問請求者就可以向著認(rèn)證合約發(fā)送訪問的請求。第一，訪問請求者直接發(fā)送角色請求給資源所有者。第二，資源所有者在接收到角色請求之后，就會進(jìn)行對應(yīng)的角色分配處理。第三，訪問請求這朝著認(rèn)證合約發(fā)送加密的訪問請求。第四，認(rèn)證合約直接返回加密的訪問結(jié)果。

3.3 跨域訪問控制流程

針對跨域訪問請求者，資源所有者在接受到訪問請求對應(yīng)的角色請求以及對應(yīng)的私鑰簽名之后，就會直接在授權(quán)合約之中添加新定義的訪問控制策略。跨域訪問請求者朝著授權(quán)合約發(fā)送相關(guān)的簽名與地址的加密角色請求。授權(quán)合約按照定位的訪問控制，就可以為請求者分配對應(yīng)的角色，然后選擇通過Grantrole操作，直接在訪問控制列表之中添加訪問請求者的信息。跨域訪問請求者朝著認(rèn)證合約發(fā)送，從而實現(xiàn)角色信息加密訪問請求的認(rèn)證。第一，訪問請求者直接發(fā)送公鑰地址與私鑰簽名給資源所有者。第二，資源所有者朝著授權(quán)合約實現(xiàn)新的訪問控制策略的添加。第三，訪問請求者將合約公鑰加密的角色請求發(fā)送給授權(quán)合約。第四，跨域訪問請求者直接將訪問請求發(fā)送給認(rèn)證合約。第五，認(rèn)證合約直接返回相對應(yīng)的加密訪問結(jié)果。

4 基于區(qū)塊鏈的物聯(lián)網(wǎng)隱私保護(hù)訪問控制技術(shù)的實驗與分析

基于智能合約的物聯(lián)網(wǎng)隱私保護(hù)訪問控制流程，其主要是需要介紹智能合約的部署，介紹域內(nèi)訪問請求者和跨域訪問請求者相對應(yīng)的訪問控制流程。然后，通過認(rèn)證合約與授權(quán)合約的幫助，就可以滿足物聯(lián)網(wǎng)訪問控制系統(tǒng)的優(yōu)化。對于其相應(yīng)的實驗分析，具體如下：

4.1 實驗環(huán)境與系統(tǒng)部署

基于Truffle框架來做好對應(yīng)的部署，并且調(diào)用智能合約，通過Ganache開發(fā)與測試本地區(qū)的區(qū)塊鏈，Ganache能夠?qū)崿F(xiàn)真實的以太坊網(wǎng)絡(luò)的模擬，其包含了多個賬戶的傳輸構(gòu)建以及需要的以太幣。

針對上述的設(shè)備而言，資源所有者由服務(wù)器扮演，其臺式電腦屬于共識節(jié)點，筆記本電腦屬于訪問的請求者，網(wǎng)關(guān)為樹莓派?？紤]到這一部分設(shè)備本身具有一定的存儲與計算能力。同時，在設(shè)備之中還有以太坊的客戶端安裝，所以，這些設(shè)備就可以直接轉(zhuǎn)化成為以太坊節(jié)點。在本文的研究分析之中，基于Remix集成開發(fā)環(huán)境來實現(xiàn)智能合約的編寫與編譯，通過HTTP協(xié)議，就可以滿足web3.js和以太坊客戶端向的連接需求，這樣就可以滿足已經(jīng)編譯的智能合約部署。針對Web3.js，其可以直接通過以太坊客戶端，從而針對智能合約的執(zhí)行狀態(tài)進(jìn)行對應(yīng)的監(jiān)測處理，這也就是實現(xiàn)訪問結(jié)果的有效控制。作為訪問請求者，其通過以太坊客戶端，直接朝著認(rèn)證合約發(fā)送訪問的請求交易，然后從認(rèn)證合約接受到對應(yīng)的返回訪問結(jié)果。

4.2 實驗結(jié)果與分析

針對對應(yīng)的訪問控制的實驗分析，本章節(jié)主要是針對其具體的訪問結(jié)果進(jìn)行了解，然后做好對應(yīng)的分析。

4.2.1 實驗結(jié)果

在實驗案例分析中，基于以太坊區(qū)塊鏈來實現(xiàn)授權(quán)合約與認(rèn)證何悅的編譯與部署，這樣就可以滿足實體之間的細(xì)粒度訪問控制要求。針對其部署結(jié)果，具體見圖2所示。

圖2 智能合約部署結(jié)果

為了滿足訪問請求者向著認(rèn)證合約發(fā)送物聯(lián)網(wǎng)設(shè)備訪問請求可行性的驗證，訪問請求者就會通過本底的以太坊客戶端，從而朝著認(rèn)證合約發(fā)送對應(yīng)的訪問請求交易。

在訪問請求發(fā)送之前，還需要針對交易進(jìn)行加密處理，這樣可以滿足交易隱私性的保護(hù)。同時，通過零知識證明生成證明π。為了明確交易的正確性，就要求通過共識節(jié)點來進(jìn)行驗證處理。

4.2.2 性能分析

基于零知識證明效率、物聯(lián)網(wǎng)設(shè)備響應(yīng)時間和網(wǎng)管的吐吞量，從而與其余的方案進(jìn)行相互的對比。通過零知識證明算法DBS，其證明算法生成的證明大小為1019位，其初始化的時間為9秒。

通過零知識證明算法DBS，從而與zk-STARK、Bulletproof、Ligero進(jìn)行生成時間與驗證時間的對比。通過結(jié)果表明，DBS算法的實用，在生成時間上要優(yōu)于其他算法。同時，伴隨著Merkle樹葉子節(jié)點的不斷增加，也會對應(yīng)的增加證明時間。

基于驗證時間分析，DBS驗證時間優(yōu)于Bulletproof 、Ligero算法，雖然時間上要比zk-STARK算法驗證時間長，但是也處于可接受的范圍內(nèi)。

考慮到物聯(lián)網(wǎng)設(shè)備數(shù)量龐大，為了滿足訪問請求，就要求網(wǎng)關(guān)能夠具有高性能的特征。所以，基于本地網(wǎng)關(guān)的吞吐量以及帶寬進(jìn)行測試，其結(jié)果能夠滿足高性能的要求。

基于不同訪問請求者，測試了域內(nèi)訪問請求者以及跨域訪問請求者從本地網(wǎng)關(guān)到物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)延遲。為了針對本框架的訪問控制效率加以測試，在測試之中，其訪問次數(shù)分別為100次、200次、500次、1000次，然后做好訪問請求的平均延時記錄，并且對比基于區(qū)塊鏈的屬性訪問控制模型和角色訪問控制模型。

4.2.3 小結(jié)

通過基于區(qū)塊鏈的物聯(lián)網(wǎng)隱私保護(hù)訪問控制機(jī)制的實驗結(jié)果分析，首先給出對應(yīng)的仿真實驗設(shè)備與環(huán)境，介紹對應(yīng)的系統(tǒng)部署，然后通過智能合約在區(qū)塊鏈上相對應(yīng)的部署結(jié)果，這樣就直接給出了訪問控制結(jié)果和零知識證明結(jié)果。最后通過性能的分析比較之后表明機(jī)制本身的可行性與機(jī)密性，這樣就能夠滿足分布式可信的物聯(lián)網(wǎng)訪問控制要求。

5 結(jié)語

基于區(qū)塊鏈物聯(lián)網(wǎng)訪問控制方案的隱私問題分析，從而對應(yīng)的設(shè)計了基于區(qū)塊鏈的物聯(lián)網(wǎng)隱私保護(hù)訪問控制機(jī)制，這樣就能夠滿足可信、安全、方便的訪問控制，最終促進(jìn)其可持續(xù)的應(yīng)用與發(fā)展。