基于智能合约的物联网访问控制架构研究

With the rapid development and large-scale applying of Internet of Things (IoT), the issue of security and privacy protection has attracted more and more attention. For this reason, the access control mechanism has become one important research topic in the IoT. However, the existing IoT access control mechanisms rely on the central trusted entity. Blockchain is a cryptology-based, decentralized, point-to-point distributed ledger technology, which is expected to technically address the security issues associated with the trust-based centralized models. This project proposes a IoT access control architecture based on smart contracts, which consists of a smart contract-based IoT access control network structure, an automatic conversion mechanism from access control policies to smart contracts, and a smart contract-based authority grant and transfer mechanism. From all of those above, we can achieve a decentralized access control. In this architecture, access control policies are written into smart contracts. Smart contracts are written into digital-form blockchain. The access control strategy is stored, read and executed according to the characteristics of the blockchain technology. The entire process is transparent, traceable and tamper-proof, while ensuring the transfer of authority and passes the constraints simultaneously.

随着物联网技术的快速发展和大规模应用，物联网中安全和隐私保护问题越来越引起人们的重视，访问控制机制成为物联网重要的研究内容之一。目前已有的物联网访问控制机制依赖于中央可信实体。区块链是一种以密码学为基础的、去中心化的点到点分布式账本技术，有望从技术上解决基于信任的中心化模型带来的安全问题。本项目拟提出一种基于智能合约的物联网访问控制架构，包括基于智能合约的物联网访问控制网络结构，访问控制策略到智能合约的自动转换机制和基于智能合约的权限授予和传递机制，可实现去中心化的访问控制。本架构中访问控制策略被写入智能合约，智能合约被以数字化的形式写入区块链，由区块链技术的特性保障访问控制策略存储、读取、执行整个过程透明、可跟踪、不可篡改，同时保障权限传递的同时传递对权限的约束。

随着物联网技术的快速发展和大规模应用，物联网数据安全问题备受关注，访问控制机制作为数据保护的基石性技术之一，可以确保数据仅能被拥有相应权限的用户访问。区块链技术为访问控制构筑了可信环境，可免除对可信第三方机构的依赖。为此，本课题研究基于智能合约的物联网访问控制架构，主要研究内容包括：一、针对物联网现有访问控制模型存在的安全性问题，提出基于智能合约的物联网访问控制架构。该方法将区块链融入物联网访问控制中，利用区块链构建可信的访问控制运行平台；将权限映射为非同质令牌，由非同质令牌确保权限在多域合作场景中传递的唯一性和流通性；设计了属性继承和属性约束机制来解决信任边界外用户参与访问带来的安全威胁。二、提出一种将访问控制转化为智能合约，使之可以安全运行在区块链中的实现方案，由于将访问控制策略存储在区块链中会因为访问控制策略暴露而导致安全性问题，因此将访问控制的策略决策点部署在区块链外，而决策的流程及结果以及访问过程的日志信息都保存在区块链中。三、提出一种基于智能合约的权限传递与分割方案。权限委托是一种灵活的权限授予方式，为了解决目前权限委托中的非授权访问漏洞，提出了一种带约束条件的权限委托机制，同时给出了其补充方案。为了实现权限的细粒度操作，提出一种基于约束条件的权限分割与重组方案，利用区块链不可篡改、可追溯的特性作为权限分割与重组的背书，分割出的权限以被分割令牌作为权限来源的背书生成新的令牌，同时在被分割令牌中添加约束条件被分割出去的权限覆盖掉。四、针对物联网多域合作场景进行深入研究，将本项目所研究的访问控制从单一的物联网场景扩展到更为复杂的多域合作场景，并在此基础上提出了多域合作下基于区块链的委托方案和多域合作下的权限分割与组合方案。本项目的这些工作给出了一种将区块链应用于物联网访问控制的可行方案，实现了物联网下基于智能合约的访问控制，为物联网中的数据安全提供了保障。