《Computer Standards & Interfaces》:Hybrid-blockchain-based cross-domain authentication for internet of marine things
编辑推荐:
海洋物联网跨域认证机制研究:提出混合区块链架构,公私链协同实现内域隐私保护与全局可验证性,基于椭圆曲线密码学设计高效认证协议,通过形式化安全分析和性能评估验证其有效性。
Biao Hu|王晓亮|王金|刘玉珍|李宽成|曾锦峰
湖南科技大学计算机科学与工程学院,湘潭,411201,湖南,中国
摘要
海洋物联网(IoMT)由大规模、异构的传感设备组成,这些设备分布在船舶、海上平台和沿海基础设施中,通常被划分为多个需要相互协作的行政域。在这些传感器网络中确保数据安全和隐私是具有挑战性的,因为传统的集中式管理认证方案在低带宽、高延迟的海事链路、间歇性连接和资源受限的节点环境下表现不佳,导致效率低下、韧性有限和可靠性降低。因此,我们提出了HBCDA,这是一种基于混合区块链的跨域认证方案,它利用了公有链和私有链。引入了一种混合区块链模型来支持IoMT中的高效和安全认证,其中私有链管理域内身份,而公有链确保全球身份记录的不可篡改性和透明度。此外,还设计了一种基于椭圆曲线密码学、数字签名和哈希函数的可证明跨域认证协议,使得不同域间的节点之间无需第三方认证机构即可进行安全认证。安全性分析证明了HBCDA的安全性和隐私性,以及其对各种类型攻击的鲁棒性。性能评估和与其他先进方案的比较表明,HBCDA在计算和通信开销方面优于现有方案。
引言
海洋物联网(IoMT)由分布在海面、水柱和海底平台以及沿海和太空段的大规模、异构传感设备组成[1],[2]。通过结合多模式通信(声学、无线电、光学、卫星)与边缘-云协同计算,这些网络实现了对海洋环境的实时观测、控制和决策[3],[4],[5]。然而,开放的海事环境、分布式拓扑结构、窄带/高延迟链路、间歇性连接和受限的节点资源使得端到端的数据安全和隐私特别具有挑战性。
随着部署规模和多样化的增加,IoMT从一个单一域、松散连接的系统演变为一个具有多个认证域、分层架构和异构设备间协调的复杂系统[6],[7]。跨域数据交换和设备协作已成为常态[8]。为了满足基本的功能和安全要求,跨域访问必须基于有效的认证;例如,来自认证域A的节点在完成有效认证和授权之前不能访问域B的数据资源[9],[10]。因此,IoMT需要一种跨域认证机制,以提供跨信任域的可靠和安全认证,实施最小权限访问和匿名性,并支持安全的多域协作。
从信任根组织的角度来看,认证通常遵循两种路径:集中式和分布式。前者依赖于单一的受信任权威,而后者强调多方协作和去中心化[11]。集中式认证方案依赖于受信任的权威第三方,如可信机构(TA)。然而,这些受信任实体(如证书颁发机构或认证服务器)引入了单点故障(SPoF)[12]。此外,集中式认证方法通常不适合跨域认证。尽管分布式认证在维护多个节点间的同步和一致性方面面临挑战,但它增强了系统的灵活性,并且天生适合跨域认证。
分布式认证提供了去中心化的信任联盟和凭证可移植性及可验证性的机制,为跨域认证建立了相互信任和最小权限授权的基础,同时使每个域能够在没有单一权威的情况下实施细粒度授权[13]。凭借其去中心化架构、不可篡改性和分布式共识机制,区块链技术对于构建去中心化认证系统至关重要,尤其是在分布式、弱中心化的IoMT环境中[14]。现有研究使用网关、边缘和雾节点构建支持区块链部署的对等网络,实现设备间的安全认证。Neeraj等人[15]提出了一种基于区块链的6G支持IoMT的认证架构,实现了低延迟的实时处理,并解决了海事运输中的认证和隐私挑战。
在相关领域,Zhang等人[13]设计了一种基于物联网的协作认证方案,用于海事交通管理,采用VRF-声誉混合共识来减少通信开销并提供安全认证。然而,该方案在认证过程中依赖于模块化指数运算,导致资源消耗较大。此外,Tong等人[16]提出了一种基于联盟区块链的端到端跨域认证方案,允许不同域建立相互信任和会话,同时保留各自的内部机制(例如PKI、IBC、CL-PKC)。然而,其安全性假设了诚实的多数,使系统面临阈值共谋风险。
为了解决IoMT的安全挑战,我们提出了HBCDA,这是一种基于混合区块链的跨域认证方案。我们将多域IoMT中的跨域认证明确表述为一个可审计的身份联合和认证状态共享问题,然后据此共同设计架构和协议。具体来说,我们建立了一个混合区块链架构,并为复杂的、多域IoMT环境定制了一个跨域认证协议。私有链维护域内身份和隐私敏感状态,而公有链则锚定身份并协调跨域认证。这种分离减轻了仅使用公有链的设计的吞吐量/延迟限制,以及孤立私有基础设施之间的互操作性差距。在协议层面,ECC支持相互认证和密钥建立,而跨域可验证性、撤销和审计性则通过链上身份/状态表示、合约驱动的处理和结果锚定来实现。本工作的主要贡献如下:
- •
提出了一种基于混合区块链的跨域认证方案,用于IoMT,该方案能够在域间保护隐私地共享认证状态,并支持多域部署中的高效和鲁棒跨域认证。
- •
引入了一种责任明确的混合区块链模型,其中私有链处理域内身份管理和隐私敏感状态维护,而公有链提供全局可验证的身份锚定和跨域认证协调。
- •
设计了一种高效且可证明安全的跨域认证机制,其中基于ECC的原语实现了相互认证和会话密钥建立,而链上身份/状态表示和跨域结果锚定共同确保了可验证性、撤销和事后审计性。
- •
对HBCDA进行了全面的形式和非形式安全性分析,证明了其安全性、隐私性和对各种攻击的鲁棒性。性能评估和与其他先进方案的比较表明,HBCDA的效率高于现有方案。
本文的其余部分组织如下:第2节介绍相关工作。第3节介绍模型,包括系统模型、混合区块链模型和HBCDA的威胁模型。第4节详细描述HBCDA。第5节提供形式和非形式的安全性分析。第6节进行性能分析和比较,第7节提供结论性意见和未来方向。
节选
跨域认证机制
跨域认证技术用于实现不同域或系统之间的用户认证和授权[17],[18]。在物联网环境中,物联网设备分布在需要互连的各种网络和域中,但这些域之间存在隔离机制[14],[19]。传统的认证机制对于这些多域系统来说是不够的。跨域认证支持设备之间的安全认证
提出的模型
在本节中,我们提出了一个适用于IoMT环境的多域系统模型,以及相应的混合区块链模型,以提高认证效率和安全性。接下来,本文将介绍其威胁模型。
提出的方案
HBCDA包括四个阶段:初始化、注册、认证和密钥协商(域内和跨域认证)以及节点撤销。表1列出了所提出的认证协议中使用的主要符号。
安全性分析
在本节中,对HBCDA进行了全面而深入的安全性分析,以证明其安全性和有效性。形式理论和非形式分析均表明,HBCDA在抵抗各种攻击方面表现出色,并确保了数据完整性和保密性,从而在各种潜在的威胁和攻击场景下保证了协议的鲁棒性和可靠性。
性能评估和分析
在本节中,对HBCDA的性能进行了分析和评估,并与其他方案进行了比较分析,并提供了实验验证。
结论性意见和未来工作
在本文中,我们提出了一种用于IoMT的跨域认证方案。所提出的架构整合了私有链和公有链,并明确了责任划分。私有链维护域内身份和认证状态,以支持高效的域内操作,而公有链提供了全局可验证的跨域认证协调层。基于ECC、数字签名和哈希函数,HBCDA实现了安全
CRediT作者贡献声明
Biao Hu:撰写——原始草案,方法论。Xiaoliang Wang:撰写——审阅与编辑,资金获取,概念化。Jin Wang:撰写——审阅与编辑,软件,资源,调查。Yuzhen Liu:验证,监督,形式分析。Kuanching Li:撰写——审阅与编辑,监督,方法论。Kim Fung Tsang:监督,项目管理,调查。
利益冲突声明
作者声明他们没有已知的可能会影响本文所述工作的竞争性财务利益或个人关系。
