基于pdp的物聯(lián)網(wǎng)訪問控制架構(gòu)

基于pdp的物聯(lián)網(wǎng)訪問控制架構(gòu)

0基于專利權(quán)能的訪問控制架構(gòu)物聯(lián)網(wǎng)（idol）是信息傳遞設(shè)備。根據(jù)約定的協(xié)議，任何元素都被鏈接到互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)以進行信息交換和通信，以實現(xiàn)智能識別、定位、跟蹤、監(jiān)控和管理的網(wǎng)絡(luò)。物聯(lián)網(wǎng)技術(shù)現(xiàn)在引起了學(xué)術(shù)界和工業(yè)界的關(guān)注，并逐步應(yīng)用于實踐。然而，對于網(wǎng)絡(luò)的快速發(fā)展和應(yīng)用，它取決于它的安全性，尤其是設(shè)備數(shù)據(jù)和服務(wù)的安全訪問。由于網(wǎng)絡(luò)性能和功率通常非常有限，并且基于動態(tài)交互。文獻和等式分析表明，傳統(tǒng)的訪問控制機制不適合于ios環(huán)境，而基于設(shè)備上下文信息的訪問控制機制。在文獻中，相關(guān)術(shù)語的格式僅適用于設(shè)備，因此無法執(zhí)行基于設(shè)備上下文信息的訪問控制。基于xml結(jié)構(gòu)的權(quán)限卡只能用于設(shè)備，也不能使用基于設(shè)備上下文信息的權(quán)限卡。格式的格式是基于xml結(jié)構(gòu)。信息的嚴格質(zhì)量很大，限制設(shè)備處理的難度很大。僅適用于集中訪問控制框架。文獻中提出的權(quán)限卡的結(jié)構(gòu)與本文檔的權(quán)限卡相似，但僅考慮設(shè)備上下文信息。在分析了當前網(wǎng)格id控制的需求后，我們考慮到了智能設(shè)備的廣泛使用，提出了基于框架和權(quán)限的訪問控制框架。尤其是基于jsonwebtope的web配置模式，構(gòu)建了基于設(shè)備上下文的訪問控制框架。云協(xié)議移植系統(tǒng)（polariscurrenticcalendar）用于實現(xiàn)端點驗證、完整性和不確定性。消息傳輸引擎采用最合適于對象網(wǎng)絡(luò)的應(yīng)用程序協(xié)議（coop）。1主要需求分類物聯(lián)網(wǎng)的主要特點是擁有大量異構(gòu)的資源受限設(shè)備、動態(tài)交互性、環(huán)境上下文和設(shè)備參數(shù)相關(guān)性.這些特性對面向物聯(lián)網(wǎng)的訪問控制機制提出了如下主要需求[4~6]:1)規(guī)模性和互操作性.2)輕載性.尤其在設(shè)備端,計算量和通訊量應(yīng)盡可能的小.3)應(yīng)提供集中且方便的用戶和設(shè)備管理機制.4)應(yīng)提供端到端的完整性、機密性、抗抵賴性和能防止重放攻擊.5)應(yīng)提供分布式(非集中式授權(quán))的并基于局部條件(環(huán)境上下文、設(shè)備參數(shù))的授權(quán)決策機制.6)能支持一些先進的特點,如訪問權(quán)限的撤銷和委托、可審計性等.2授權(quán)決策模塊為了盡可能滿足上述IoT對訪問控制機制的需求,并考慮到大量智能設(shè)備的采用,我們提出了一種分布式的基于權(quán)能的訪問控制架構(gòu),授權(quán)決策過程由嵌入到設(shè)備中的授權(quán)決策模塊PDP來實現(xiàn);利用ECC來實現(xiàn)端到端的認證、完整性和不可抵賴性;消息傳輸機制采用更適合于物聯(lián)網(wǎng)的受限應(yīng)用協(xié)議CoAP.并對JSONWebToken進行擴展,構(gòu)造了一種新型權(quán)能令牌,來實現(xiàn)基于上下文的訪問控制.2.1身份簽名算法訪問控制架構(gòu)如圖1所示.主要構(gòu)件及功能如下:User(用戶):訪問設(shè)備資源的主體,可以是用戶或設(shè)備.RDMC(權(quán)限與設(shè)備管理中心):負責User和Devices的注冊與認證;負責管理權(quán)能令牌,如頒發(fā)令牌、管理令牌列表、撤銷令牌等.Device(PDP):Device負責存儲要訪問的數(shù)據(jù)資源,嵌入的PDP負責驗證訪問請求并進行基于上下文的授權(quán)決策.Gateway:負責前傳User到Device的訪問請求和Device到User的授權(quán)決策結(jié)果.資源訪問的主要過程如下:(a)User首先在本地基于ECC產(chǎn)生密鑰對(dU,QU),其中dU是私鑰,QU是公鑰且QU=dU×G,G是橢圓曲線的基點.然后向權(quán)限與設(shè)備管理中心RDMC請求注冊,并提出訪問請求的資源;(b)RDMC對User認證(認證方式本文暫不討論)后,根據(jù)資源訪問請求,給User頒發(fā)權(quán)能令牌,并對令牌進行數(shù)字簽名,簽名算法使用橢圓曲線數(shù)字簽名算法ECDSA(EllipticCurveDigitalSignatureAlgorithm);簽名方式使用MD5算法對信息明文進行雜湊運算后,再使用RDMC的私鑰對雜湊運算后的摘要信息進行ECDSA數(shù)字簽名后形成簽名信息.RDMC返回給User的報文采用XML格式描述,分為兩部分:第一部分內(nèi)容為令牌基本信息、RDMC的公鑰Q及簽名信息;第二部分為令牌具體內(nèi)容,該內(nèi)容使用BASE64算法進行編碼.(c)User使用RDMC的公鑰Q對進行認證后,User向Device(PDP)發(fā)送基于CoAP格式的資源訪問請求,在其中附帶自己的公鑰QU和簽名后的權(quán)能令牌CapU,并用User的私鑰dU對訪問請求進行數(shù)字簽名.簽名方式使用MD5算法對訪問請求信息明文進行雜湊運算后,再使用User的私鑰對雜湊運算后的摘要信息進行ECDSA數(shù)字簽名后形成簽名信息.訪問請求的具體內(nèi)容使用BASE64算法對報文明文進行編碼.(d)Device接收到資源訪問請求后,即對請求進行授權(quán)決策,授權(quán)決策具體過程詳見第2.3節(jié).(e)Device(PDP)向User發(fā)送一種基于CoAP格式的請求響應(yīng),返回授權(quán)決策結(jié)果.2.2權(quán)能管理授權(quán)鑒于物聯(lián)網(wǎng)及其設(shè)備的特性,我們構(gòu)造的權(quán)能令牌基于JSONWebToken標準,并對其進行擴展,主要構(gòu)成選項及其含義如下:JTI(JWTID):權(quán)能令牌的標識符;IAT(IssuedAt):權(quán)能令牌的頒發(fā)時間,用UTC格式表示;ISS(Issuer):權(quán)能令牌頒發(fā)者的標識符;SUB(Subject):權(quán)能令牌的主體(令牌持有者);DE(Device):使用權(quán)能令牌要訪問的設(shè)備,用URI表示;SI(Signature):權(quán)能令牌上RDMC的數(shù)字簽名;AR(AccessRights):令牌頒發(fā)者授予給令牌主體的操作權(quán)限集,它包括4個分選項:ACT(Action)表示許可的操作選項,可以取值GET,POST,PUT和DELETE中的任一個;RES(Resource)表示許可訪問的設(shè)備中的資源;CF(ConditionFlag)表示條件標志,用于表示訪問資源所需條件的組合方式,0表示AND,1表示OR;CON(Conditions)表示訪問資源所需的條件集,主要由設(shè)備所處環(huán)境的上下文和設(shè)備參數(shù)構(gòu)成,從而可實現(xiàn)基于上下文感知的訪問控制決策.每個條件由三部分構(gòu)成,Type(ConditionType):表示條件的類型;Val(ConditionValue):表示條件的值;Unit(ConditionUnit):表示條件值的單位.條件的類型、條件值的單位請參考文獻;NBF(NotBefore):權(quán)能令牌的生效時間;EXP(ExpirationTime):權(quán)能令牌的失效時間;EXP與NBF共同構(gòu)成令牌的有效期,用于防止重放攻擊.一個權(quán)能令牌的樣例如圖2所示.條件是溫度要求在25到33℃之間.2.3res元素的值與請求中資源的uri是否一致性檢查Device(PDP)一旦收到User的資源訪問請求就開始驗證訪問請求并進行授權(quán)決策,過程如圖3.主要授權(quán)決策步驟如下:步驟1檢查令牌的有效期.PDP收到資源訪問請求后,首先就利用令牌中的參數(shù)IAT,NBF和EXP來檢查令牌是否有效.如果令牌已過有效期或被撤銷,則停止授權(quán)決策過程,請求被否定.如果令牌有效,則轉(zhuǎn)向步驟2.步驟2檢查請求的操作是否被許可.對令牌中的訪問權(quán)AR,PDP都要檢查其中的操作ACT是否被許可,即檢查ATC中的方法是否與資源允許的操作方法相匹配.另外,此步還要檢查RES元素的值與請求中資源的URI是否一致.只有兩者都通過,則此步檢查通過,轉(zhuǎn)向步驟3;只要上述兩者中有一步不成功,則此步檢查不通過,停止授權(quán)決策過程,請求被否定.步驟3檢查訪問條件是否滿足.檢查對某一特殊資源請求的操作被許可后,接下來就要利用CF、CON中條件集來檢查執(zhí)行此操作的條件是否滿足.如果檢查通過,則轉(zhuǎn)向步驟4.如果檢查不通過,停止授權(quán)決策過程,請求被否定.步驟4檢查令牌有效性,即驗證令牌是否確由RDMC頒發(fā).這需要利用令牌頒發(fā)者的公鑰來驗證數(shù)字簽名.KDMC對令牌的簽名和Device(PDP)對此簽名的驗證均采用ECDSA,雜湊算法是MD5.驗簽方式使用MD5算法對信息明文雜湊運算后,Device(PDP)使用報文中KDMC的公鑰,使用ECDSA算法驗簽KDMC的簽名信息,如果檢查通過,則轉(zhuǎn)向步驟5.如果檢查不通過,停止授權(quán)決策過程,請求被否定.由于此步需要更多的計算時間,因此放在后面,如果前面步驟中任一步失敗,則不需要此過程,可大大節(jié)約系統(tǒng)資源授權(quán)決策時間.步驟5檢查訪問請求者的合法性,即檢查User是否是權(quán)能令牌的合法擁有者,這需要用到User的公鑰和User對訪問請求的簽名.User對訪問請求的簽名和Device(PDP)對此簽名的驗證均采用ECDSA,雜湊算法是MD5.驗簽方式使用MD5算法對信息明文雜湊運算后,Device(PDP)使用訪問請求中User的公鑰,使用ECDSA算法驗簽User的簽名信息.訪問請求的簽名驗證通過,說明用戶是令牌的合法用戶.上面5步驗證都通過后,授權(quán)決策結(jié)果為許可.之后User和Device建立共享對稱密碼,傳輸數(shù)據(jù).3安全分析和實驗結(jié)果3.1中間人攻擊在我們的訪問控制架構(gòu)中,權(quán)能令牌的參數(shù)EXP與NBF共同構(gòu)成了令牌的有效期,可用于防止重放攻擊.即使攻擊者破解了消息,獲取了權(quán)能令牌,下次他也不能使用此令牌,因為它已失效.2)中間人攻擊中間人攻擊可能是竊聽和偽裝攻擊,是指當攻擊者竊聽到用戶在傳遞某權(quán)能令牌時,利用偷竊的權(quán)能令牌偽裝成用戶來申請訪問資源.在我們的訪問控制架構(gòu)中,由于使用了ECDSA算法,攻擊者不知道簽名算法,就無法偽裝成發(fā)送權(quán)能令牌的用戶.3.2測試系統(tǒng)比較測試用的端設(shè)備采用裝有操作系統(tǒng)Contiki2.5、兼容2.4GHzIEEE802.15.4協(xié)議和ZigBee協(xié)議的JN5139-Z01-M04,其主要參數(shù)是16MHz32-bitRISCCPU,96KBRAM,192KBROM,帶有4個輸入端口,12位ADC,兩個11位DAC,2個比較器和溫度傳感器.用戶端采用裝有WindowsXP系統(tǒng),處理器為IntelPentiumDualT23901.86GHz,內(nèi)存為2MB的聯(lián)想筆記本電腦.測試記錄的只是授權(quán)決策時間,包括從用戶訪問請求開始到授受到授權(quán)決策結(jié)果所需的100次測試的平均時間,但不包括RDMC產(chǎn)生密鑰對、頒發(fā)令牌和驗證用戶身份、用戶產(chǎn)生密鑰對等過程所需的時間.令牌數(shù)字簽名驗證和用戶合法性驗證中,時間包括基于BASE64編碼時間和使用MD5計算摘要的時間.測試時間如表1所示