基于區(qū)塊鏈技術的校園全光無線網安全訪問認證研究

趙鸻

摘要：在校園全光無線網應用過程中，主要通過云中心身份認證方式進行安全訪問認證，處理大量并發(fā)事務時會出現滯停狀態(tài)，使得訪問認證模型的吞吐量較低。提出基于區(qū)塊鏈技術的校園全光無線網安全訪問認證模型，以此為基礎搭建分布式可信認證架構，作為安全訪問認證的基礎?？紤]主從鏈上節(jié)點的提交保證金數量和通信時間，選取部分節(jié)點作為代理節(jié)點，負責接收和處理認證請求。在所有代理節(jié)點的共同作用下，評估訪問人員身份信任度。通過智能合約驗證鏈上訪問身份信息后，發(fā)放對應的身份憑證，完成校園全光無線網安全訪問認證。

關鍵詞：區(qū)塊鏈；全光無線網；安全訪問；身份認證；可信度

一、前言

新時代教育事業(yè)的高質量發(fā)展，需要融合線上線下教育[1]。為了推動教育數字轉型和智能升級，很多高校都開始在教育部門的支持下，應用物聯(lián)網和云計算技術建設智慧校園[2]。將校園網絡貫穿到教育全階段，使得學生可以通過多種方式接受知識。隨著智慧校園建設場景的不斷增多，校園全光無線網的跨域訪問需求成倍增長，惡意訪問情況也頻繁出現。這種情況下，需要針對校園全光無線網設計安全訪問認證模型，在滿足跨域訪問需求的同時，保證用戶隱私和數據完整，使得校園全光無線網得到更好的部署和應用。

當前對于這一問題的研究已經取得了一定的進展，例如有學者在現有支持分級訪問的認證協(xié)議基礎上，基于簽密技術和多服務器認證技術設計了一個高效的，具有分級訪問控制和隱私保護的認證協(xié)議[3]。還有學者將數字賬戶以非同質化代幣的形式保存在區(qū)塊鏈上，通過零知識的手段隱藏用戶賬戶的真實信息。在此基礎上，將單點登錄（SSO）中的認證方由可信的第三方替換為區(qū)塊鏈上的智能合約，實現類似SSO的“一次認證，處處登錄”機制[4]。更有一部分學者利用添加拉普拉斯生成噪聲的方式，統(tǒng)計起始數據，并轉換擾動，達到保護隱藏信息的效果。對大數據擁有者或生產者貼上標識，并對訪問大數據的對象貼上標簽，通過正確設置大數據所有者的讀授權條件與寫授權條件，在完成數據傳輸的同時使訪問權限也獲得認證，最終實現安全防護[5]。

考慮到現有的安全訪問認證方法存在很多局限性，將其應用到校園全光無線網中無法取得較好的訪問認證結果。對此，本研究采用區(qū)塊鏈技術搭建分布式安全認證架構，在該安全架構的基礎上選取代理節(jié)點，推算訪問人員的身份信任度，最終給出無線網安全訪問認證證書。

二、運用區(qū)塊鏈技術設計校園全光無線網安全訪問認證模型

（一）建立基于區(qū)塊鏈的分布式可信認證架構

為了更好地處理校園全光無線網安全訪問認證請求，依托于區(qū)塊鏈技術，設計包括一條主鏈、多條從鏈的主從多鏈結構[6-7]，如圖1所示。以圖1為基礎，針對校園全光無線網，設計包括設備層、從鏈網絡層、主鏈網絡層的分布式安全認證架構，如圖2所示。

（二）設計主從鏈節(jié)點選舉算法

按照圖2所示的基于區(qū)塊鏈的分布式安全訪問架構，對校園全光無線網安全訪問進行認證時，需要從主鏈、從鏈上分別選擇部分節(jié)點作為代理節(jié)點，用來接收訪問認證請求和處理訪問認證請求。代理節(jié)點選舉過程中，先讓所有參與競爭的節(jié)點交保證金，避免選中惡意節(jié)點。確定區(qū)塊鏈上參與競選的節(jié)點數量后，即可通過公式（1）計算出提交的保證金總量。

公式中，表示保證金總量，表示參與競選的節(jié)點，表示區(qū)塊鏈上參與競選的節(jié)點總數量，表示單個節(jié)點提交的保證金數量。

根據單個節(jié)點提交保證金占保證金總量的比例，可以判斷主從鏈代理節(jié)點的重要程度，作為主從鏈代理節(jié)點選舉的一個關鍵依據。

公式中，表示節(jié)點提交保證金數量所占比例。

另一方面，選舉節(jié)點時需要考慮節(jié)點的通信狀態(tài)，當區(qū)塊鏈上的某一個節(jié)點與其他節(jié)點之間通信時間較短，代表選舉該節(jié)點后，可以在同樣的時間內處理更多校園全光無線網安全訪問認證請求。實際運算過程中，區(qū)塊鏈上選定節(jié)點與其他節(jié)點之間的通信時間總和計算公式為：

公式中，表示通信節(jié)點，表示區(qū)塊鏈上的通信節(jié)點總數量，表示兩個節(jié)點之間的通信時間，表示通信時間總和。針對區(qū)塊鏈上所有參與選舉的節(jié)點，分別計算其與其他節(jié)點之間的通信時間總和。

公式中，表示所有選舉節(jié)點與鏈上其他節(jié)點之間的通信時間總和。

其中，某一個參與選舉的節(jié)點通信時間和所占比例為：

公式中，表示節(jié)點的通信時間和占比。綜合考慮節(jié)點提交保證金數量和節(jié)點通信時間，從主從鏈上選舉合適的代理節(jié)點，具體節(jié)點選舉算法數學表達式為：

公式中，表示節(jié)點得分。根據公式（6）計算結果，按照從大到小的順序對所有參與選舉的節(jié)點進行排序，選擇排序靠前的節(jié)點作為代理節(jié)點。

（三）計算無線網訪問人員身份信任度

計算無線網訪問人員身份可信度時，需要由鏈上所有選舉的代理節(jié)點進行投票，將目標周期內安全訪問人員身份信任度計算結果表示為：

公式中，表示無線網訪問人員，表示周期，表示安全訪問人員身份信任度，表示底數，表示非法交易影響系數，表示節(jié)點共識通過的交易數量，表示信任度評估結果，表示初始信任度。對于任意一個代理節(jié)點來說，節(jié)點代幣數量對信任度增長系數的影響主要表現為兩種狀態(tài)，如公式（8）所示。

公式中， '表示代幣閾值。按照上述計算方法確定校園全光無線網安全訪問人員的身份信任度，并將按照操作周期對信任度值進行更新，將動態(tài)計算出的信任度廣播到全網節(jié)點，以此來判斷是否同意當前人員的訪問。

（四）實現校園全光無線網安全訪問認證

在目標管理服務器、身份認證服務器和區(qū)塊鏈節(jié)點的共同作用下，實現校園全光無線網安全訪問認證，具體流程如圖3所示。

從圖3可以看出，在無線網安全訪問認證過程中，目標管理服務器、身份認證服務器和節(jié)點A屬于一個從鏈，而節(jié)點B和另外兩個目標管理服務器、身份認證服務器組成了另外一個從鏈。在發(fā)放身份憑證時，需要由兩個從鏈的身份認證服務器進行雙向認證，并在觸發(fā)智能合約后，通過其中一個目標管理服務器完成對訪問用戶的認證，給出合適的身份證書。

三、實驗

（一）智慧校園全光無線網架構

在測試基于區(qū)塊鏈技術的安全訪問認證模型的應用效果時，以鄭州某中學作為研究對象，該校園內存在145 個應用場景，包括教學教室、多功能教室、辦公室、會議室等。近年來，該中學應用了物聯(lián)網和云計算技術，搭建智慧校園全光無線網架構，推動學校教學質量的提升。通過對校園全光無線網結構進行分析可知，校園內全光網布線屬于二層架構，從數據中心機房引出光纖網絡，將其連通到每個教室內，形成二層全光以太網架構。將光纖引入到教室內的極簡全光魔盒內，通過其連接到教室的各個功能區(qū)域，如教育顯示投影、教育錄播、視頻監(jiān)控、電子時鐘等。上述校園全光無線網布線完成后，完成了智慧教室的設計，推動了教室信息化的發(fā)展?？紤]到智慧教室內業(yè)務較多，當多項信息化教育業(yè)務同時發(fā)出時，需要按序執(zhí)行。本次搭建的校園全光無線網運行時，業(yè)務優(yōu)先級映射劃分結果如表1所示。表1中設計的服務等級主要包括四類，分別是CS（選擇器）、EF（加速轉發(fā)）、AF（確保轉發(fā)）、BE（盡力而為）。在上述實驗環(huán)境中，為了順利測試所提安全訪問認證模型的應用效果，先利用容器技術和開源框架搭建區(qū)塊鏈開發(fā)平臺，將其連接到校園全光無線網中，作為安全訪問認證的核心。

（二）認證結果

在實驗環(huán)境中，讓20名用戶同時訪問校園全光無線網，并設置其中10名用戶不符合安全訪問認證要求，另外10名用戶符合安全訪問認證要求。在該狀態(tài)下，應用所提認證模型進行認證分析，最終得到圖4所示的認證結果。根據圖4可知，20名訪問無線網的用戶中，編號為2、3、4、5、7、8、13、17、18、19的用戶顯示訪問認證成功，代表這些用戶滿足校園全光無線網安全訪問認證要求，接收到了訪問證書。另外幾名用戶則沒有得到訪問憑證，顯示訪問失敗。這一認證結果與預先設置情況相符，證明了所提認證模型的可行性。

（三）吞吐量對比分析

為了觀察所提安全訪問認證模型的并發(fā)訪問處理性能，選用文獻[4 ]和文獻[5 ]提出的認證模型作為對照組，分別在請求并發(fā)數為100、200、300、400、500、600、700、800、900、1000的情況下進行安全訪問認證，統(tǒng)計不同認證模型的吞吐量變化，得到圖5所示的對比結果。根據圖5可知，當安全訪問認證請求并發(fā)為100的情況下，三種模型的吞吐量相差不大，后續(xù)隨著并發(fā)請求數量的增長，模型吞吐量逐漸處于穩(wěn)定狀態(tài)，也達到了每個模型的處理極限，不同模型的吞吐量表現出較大差異。其中，所提安全訪問認證模型的吞吐量穩(wěn)定在87TPS左右，其他兩種模型的吞吐量分別穩(wěn)定在42TPS、48TPS。綜上所述，運用區(qū)塊鏈技術進行無線網安全訪問認證后，可以承受更大的并發(fā)任務，快速處理大量的訪問請求。

四、結語

在智慧校園不斷發(fā)展的背景下，校園內開始全面覆蓋全光無線網，通過物聯(lián)網和云計算實現教育信息化，但隨之而來的問題就是無線網訪問風險加大。對此，文中應用區(qū)塊鏈技術，搭建一種主從鏈結構，以此為基礎設計可用于校園全光無線網的安全訪問認證方法。通過公共區(qū)塊鏈，為每一位訪問無線網的用戶提供身份認證服務。從實驗測試結果也可以看出，該認證模型具有較好的安全性，并大幅提升了認證模型的交易吞吐量，使得無線網安全訪問認證并發(fā)任務可以得到迅速處理。

參考文獻

[1]趙宗渠，郭小杰，殷明輝，等.物聯(lián)網環(huán)境下基于身份匿簽密的認證方法研究[J].重慶郵電大學學報（自然科學版），2023，35（02）：343-351.

[2]張淑娥，田成偉，李保罡.基于區(qū)塊鏈技術的身份認證研究綜述[J].計算機科學，2023，50（05）：329-347.

[3]王捷，李晶，羅影.面向移動云服務的分級訪問控制的認證協(xié)議[J].應用科學學報，2022，40（06）：1006-1018.

[4]黃金榮，劉百祥，張亮，等.基于智能合約和非同質化代幣的去中心化匿名身份認證模型[J].計算機工程，2023，49（04）：14-22.

[5]劉東，任海玲.基于差分隱私的大數據安全訪問權限認證仿真[J].計算機仿真，2021，38（08）：421-424+486.

[6]黃敏敏，袁凌云，潘雪，等.邊緣計算與區(qū)塊多鏈下的安全可信認證模型[J].計算機科學與探索，2023，17（03）：733-747.

[7]于光華，夏魁良，辛明遠，等.基于云平臺物聯(lián)網的多因子遠程身份認證方法[J].計算機應用與軟件，2022，39（11）：310-316+343.

作者單位：北京衛(wèi)生職業(yè)學院

■ 責任編輯：周航