基于属性的访问控制,并利用其智能合约和分布式共识来实现物联网的分布式访问控制,在物联网测试平台的性能评价结果表明系统的有效性;
用户
资源提供者:物联网设备的拥有者,产生不同类型的数据
请求者:访问资源数据;
部件
局域物联网:有物联网设备,汇聚节点,网关(接口,维护路由表、资源字典和数据表)组成。
区块链:验证时的属性和ABAC策略都存储在区块链中
请求者资源访问:
ABAC模型
属性:名称、值和类型;
Subject Attribute:请求者或资源拥有者属性,组织、头衔、等级;
Resource Attribute:资源属性,名称、类型、标志符;
Environment Attribute:环境属性,时间、位置;
Action Attribute:行为属性,读写、删除等;
完整的策略P包含四个属性的表达式
ABAC实现
属性管理
将属性分配给不同的实体,Subject由权威机构MSP分配属性,Resource由资源所有者分配属性,环境和动作属性由监管组织创建。
Attribute Creation:注册属性,除了名称、类型和值之后,还需要添加creatorID、orgName等,并对其取hash作为键;
Attribute Assignment:通过IETF标准将属性添加到X.509属性证书(AC)的属性字段中;AttributeMgr验证证书并将其转圜为json对象存储在状态中。
策略管理
策略得到资源所有者和请求者的认可,通过事务以键值对的形式写入状态。
元策略:决定那些人可以修改和删除实际的策略P;
策略评估
ACDecMaker,输入请求和签名,检查相关属性集是否满足访问策略P;
从状态数据库中获取策略以及相关属性集;
分别比较相应的属性是否为符合要求;
实验
实验分为三组
每组四台TPR2420CA设备,三台作为物联网终端设备,一台作为汇集节点,通过汇集节点连接USB到PC上。PC运行单独的网关程序。SQLite存储路由表、资源字典和数据表。
配置参数为stateDB、背书策略、块大小;
延迟随块大小的增加而增加;
属性赋值比属性创建和策略创建平均花费时间长,AttributeMgr验证X.509属性证书中的signatureVale,这是一个昂贵的加密操作;
块大小为10,事务到达率40tps,考虑不同背书策略对延迟的影响;
没有访问控制策略时延迟最低;
随背书节点数量的增加延迟增加;
也会随策略中所需的属性数量的增加而增加;