基于pdp的物联网访问控制架构

基于pdp的物联网访问控制架构

0基于专利权能的访问控制架构物联网（idol）是信息传递设备。根据约定的协议，任何元素都被链接到互联网或专用网络以进行信息交换和通信，以实现智能识别、定位、跟踪、监控和管理的网络。物联网技术现在引起了学术界和工业界的关注，并逐步应用于实践。然而，对于网络的快速发展和应用，它取决于它的安全性，尤其是设备数据和服务的安全访问。由于网络性能和功率通常非常有限，并且基于动态交互。文献和等式分析表明，传统的访问控制机制不适合于ios环境，而基于设备上下文信息的访问控制机制。在文献中，相关术语的格式仅适用于设备，因此无法执行基于设备上下文信息的访问控制。基于xml结构的权限卡只能用于设备，也不能使用基于设备上下文信息的权限卡。格式的格式是基于xml结构。信息的严格质量很大，限制设备处理的难度很大。仅适用于集中访问控制框架。文献中提出的权限卡的结构与本文档的权限卡相似，但仅考虑设备上下文信息。在分析了当前网格id控制的需求后，我们考虑到了智能设备的广泛使用，提出了基于框架和权限的访问控制框架。尤其是基于jsonwebtope的web配置模式，构建了基于设备上下文的访问控制框架。云协议移植系统（polariscurrenticcalendar）用于实现端点验证、完整性和不确定性。消息传输引擎采用最合适于对象网络的应用程序协议（coop）。1主要需求分类物联网的主要特点是拥有大量异构的资源受限设备、动态交互性、环境上下文和设备参数相关性.这些特性对面向物联网的访问控制机制提出了如下主要需求[4~6]:1)规模性和互操作性.2)轻载性.尤其在设备端,计算量和通讯量应尽可能的小.3)应提供集中且方便的用户和设备管理机制.4)应提供端到端的完整性、机密性、抗抵赖性和能防止重放攻击.5)应提供分布式(非集中式授权)的并基于局部条件(环境上下文、设备参数)的授权决策机制.6)能支持一些先进的特点,如访问权限的撤销和委托、可审计性等.2授权决策模块为了尽可能满足上述IoT对访问控制机制的需求,并考虑到大量智能设备的采用,我们提出了一种分布式的基于权能的访问控制架构,授权决策过程由嵌入到设备中的授权决策模块PDP来实现;利用ECC来实现端到端的认证、完整性和不可抵赖性;消息传输机制采用更适合于物联网的受限应用协议CoAP.并对JSONWebToken进行扩展,构造了一种新型权能令牌,来实现基于上下文的访问控制.2.1身份签名算法访问控制架构如图1所示.主要构件及功能如下:User(用户):访问设备资源的主体,可以是用户或设备.RDMC(权限与设备管理中心):负责User和Devices的注册与认证;负责管理权能令牌,如颁发令牌、管理令牌列表、撤销令牌等.Device(PDP):Device负责存储要访问的数据资源,嵌入的PDP负责验证访问请求并进行基于上下文的授权决策.Gateway:负责前传User到Device的访问请求和Device到User的授权决策结果.资源访问的主要过程如下:(a)User首先在本地基于ECC产生密钥对(dU,QU),其中dU是私钥,QU是公钥且QU=dU×G,G是椭圆曲线的基点.然后向权限与设备管理中心RDMC请求注册,并提出访问请求的资源;(b)RDMC对User认证(认证方式本文暂不讨论)后,根据资源访问请求,给User颁发权能令牌,并对令牌进行数字签名,签名算法使用椭圆曲线数字签名算法ECDSA(EllipticCurveDigitalSignatureAlgorithm);签名方式使用MD5算法对信息明文进行杂凑运算后,再使用RDMC的私钥对杂凑运算后的摘要信息进行ECDSA数字签名后形成签名信息.RDMC返回给User的报文采用XML格式描述,分为两部分:第一部分内容为令牌基本信息、RDMC的公钥Q及签名信息;第二部分为令牌具体内容,该内容使用BASE64算法进行编码.(c)User使用RDMC的公钥Q对进行认证后,User向Device(PDP)发送基于CoAP格式的资源访问请求,在其中附带自己的公钥QU和签名后的权能令牌CapU,并用User的私钥dU对访问请求进行数字签名.签名方式使用MD5算法对访问请求信息明文进行杂凑运算后,再使用User的私钥对杂凑运算后的摘要信息进行ECDSA数字签名后形成签名信息.访问请求的具体内容使用BASE64算法对报文明文进行编码.(d)Device接收到资源访问请求后,即对请求进行授权决策,授权决策具体过程详见第2.3节.(e)Device(PDP)向User发送一种基于CoAP格式的请求响应,返回授权决策结果.2.2权能管理授权鉴于物联网及其设备的特性,我们构造的权能令牌基于JSONWebToken标准,并对其进行扩展,主要构成选项及其含义如下:JTI(JWTID):权能令牌的标识符;IAT(IssuedAt):权能令牌的颁发时间,用UTC格式表示;ISS(Issuer):权能令牌颁发者的标识符;SUB(Subject):权能令牌的主体(令牌持有者);DE(Device):使用权能令牌要访问的设备,用URI表示;SI(Signature):权能令牌上RDMC的数字签名;AR(AccessRights):令牌颁发者授予给令牌主体的操作权限集,它包括4个分选项:ACT(Action)表示许可的操作选项,可以取值GET,POST,PUT和DELETE中的任一个;RES(Resource)表示许可访问的设备中的资源;CF(ConditionFlag)表示条件标志,用于表示访问资源所需条件的组合方式,0表示AND,1表示OR;CON(Conditions)表示访问资源所需的条件集,主要由设备所处环境的上下文和设备参数构成,从而可实现基于上下文感知的访问控制决策.每个条件由三部分构成,Type(ConditionType):表示条件的类型;Val(ConditionValue):表示条件的值;Unit(ConditionUnit):表示条件值的单位.条件的类型、条件值的单位请参考文献;NBF(NotBefore):权能令牌的生效时间;EXP(ExpirationTime):权能令牌的失效时间;EXP与NBF共同构成令牌的有效期,用于防止重放攻击.一个权能令牌的样例如图2所示.条件是温度要求在25到33℃之间.2.3res元素的值与请求中资源的uri是否一致性检查Device(PDP)一旦收到User的资源访问请求就开始验证访问请求并进行授权决策,过程如图3.主要授权决策步骤如下:步骤1检查令牌的有效期.PDP收到资源访问请求后,首先就利用令牌中的参数IAT,NBF和EXP来检查令牌是否有效.如果令牌已过有效期或被撤销,则停止授权决策过程,请求被否定.如果令牌有效,则转向步骤2.步骤2检查请求的操作是否被许可.对令牌中的访问权AR,PDP都要检查其中的操作ACT是否被许可,即检查ATC中的方法是否与资源允许的操作方法相匹配.另外,此步还要检查RES元素的值与请求中资源的URI是否一致.只有两者都通过,则此步检查通过,转向步骤3;只要上述两者中有一步不成功,则此步检查不通过,停止授权决策过程,请求被否定.步骤3检查访问条件是否满足.检查对某一特殊资源请求的操作被许可后,接下来就要利用CF、CON中条件集来检查执行此操作的条件是否满足.如果检查通过,则转向步骤4.如果检查不通过,停止授权决策过程,请求被否定.步骤4检查令牌有效性,即验证令牌是否确由RDMC颁发.这需要利用令牌颁发者的公钥来验证数字签名.KDMC对令牌的签名和Device(PDP)对此签名的验证均采用ECDSA,杂凑算法是MD5.验签方式使用MD5算法对信息明文杂凑运算后,Device(PDP)使用报文中KDMC的公钥,使用ECDSA算法验签KDMC的签名信息,如果检查通过,则转向步骤5.如果检查不通过,停止授权决策过程,请求被否定.由于此步需要更多的计算时间,因此放在后面,如果前面步骤中任一步失败,则不需要此过程,可大大节约系统资源授权决策时间.步骤5检查访问请求者的合法性,即检查User是否是权能令牌的合法拥有者,这需要用到User的公钥和User对访问请求的签名.User对访问请求的签名和Device(PDP)对此签名的验证均采用ECDSA,杂凑算法是MD5.验签方式使用MD5算法对信息明文杂凑运算后,Device(PDP)使用访问请求中User的公钥,使用ECDSA算法验签User的签名信息.访问请求的签名验证通过,说明用户是令牌的合法用户.上面5步验证都通过后,授权决策结果为许可.之后User和Device建立共享对称密码,传输数据.3安全分析和实验结果3.1中间人攻击在我们的访问控制架构中,权能令牌的参数EXP与NBF共同构成了令牌的有效期,可用于防止重放攻击.即使攻击者破解了消息,获取了权能令牌,下次他也不能使用此令牌,因为它已失效.2)中间人攻击中间人攻击可能是窃听和伪装攻击,是指当攻击者窃听到用户在传递某权能令牌时,利用偷窃的权能令牌伪装成用户来申请访问资源.在我们的访问控制架构中,由于使用了ECDSA算法,攻击者不知道签名算法,就无法伪装成发送权能令牌的用户.3.2测试系统比较测试用的端设备采用装有操作系统Contiki2.5、兼容2.4GHzIEEE802.15.4协议和ZigBee协议的JN5139-Z01-M04,其主要参数是16MHz32-bitRISCCPU,96KBRAM,192KBROM,带有4个输入端口,12位ADC,两个11位DAC,2个比较器和温度传感器.用户端采用装有WindowsXP系统,处理器为IntelPentiumDualT23901.86GHz,内存为2MB的联想笔记本电脑.测试记录的只是授权决策时间,包括从用户访问请求开始到授受到授权决策结果所需的100次测试的平均时间,但不包括RDMC产生密钥对、颁发令牌和验证用户身份、用户产生密钥对等过程所需的时间.令牌数字签名验证和用户合法性验证中,时间包括基于BASE64编码时间和使用MD5计算摘要的时间.测试时间如表1所示