Skip to main content
QUICK REVIEW

[论文解读] BlendCAC: A BLockchain-ENabled Decentralized Capability-based Access Control for IoTs

Ronghua Xu, Yu Chen|arXiv (Cornell University)|Apr 24, 2018
Blockchain Technology Applications and Security参考文献 25被引用 36
一句话总结

本文提出BlendCAC,一种基于区块链的去中心化能力驱动访问控制框架,专为物联网设计,通过在私有以太坊区块链上使用智能合约,消除集中式权威机构。该框架通过基于身份的能力令牌和动态委派机制,实现轻量级、细粒度且可扩展的访问控制,实验在树莓派上显示仅增加5ms延迟(低于2%),验证了其在资源受限环境中的可行性与低开销。

ABSTRACT

The prevalence of Internet of Things (IoTs) allows heterogeneous embedded smart devices to collaboratively provide smart services with or without human intervention. While leveraging the large scale IoT based applications like Smart Gird or Smart Cities, IoTs also incur more concerns on privacy and security. Among the top security challenges that IoTs face, access authorization is critical in resource sharing and information protection. One of the weaknesses in today's access control (AC) is the centralized authorization server, which can be the performance bottleneck or the single point of failure. In this paper, BlendCAC, a blockchain enabled decentralized capability based AC is proposed for the security of IoTs. The BlendCAC aims at an effective access control processes to devices, services and information in large scale IoT systems. Based on the blockchain network, a capability delegation mechanism is suggested for access permission propagation. A robust identity based capability token management strategy is proposed, which takes advantage of smart contract for registering, propagation and revocation of the access authorization. In the proposed BlendCAC scheme, IoT devices are their own master to control their resources instead of being supervised by a centralized authority. Implemented and tested on a Raspberry Pi device and on a local private blockchain network, our experimental results demonstrate the feasibility of the proposed BlendCAC approach to offer a decentralized, scalable, lightweight and fine grained AC solution to IoT systems.

研究动机与目标

  • 解决大规模、异构且动态的物联网环境中集中式访问控制的局限性。
  • 消除由集中式授权服务器导致的单点故障和性能瓶颈。
  • 为资源受限的物联网设备实现去中心化、细粒度且轻量级的访问控制。
  • 利用区块链与智能合约,在物联网网络中实现无信任、分布式的授权管理。
  • 在真实物联网测试平台上验证所提方案的可行性和效率。

提出的方法

  • 设计一种基于能力的访问控制模型,使物联网设备作为自身权威,无需集中监督即可管理其资源的访问权限。
  • 采用基于区块链的架构,利用私有以太坊网络存储和管理访问控制策略及能力令牌。
  • 使用智能合约在无信任环境中自动执行并强制实施能力令牌的注册、传播与撤销。
  • 引入基于身份的能力令牌机制,支持动态委派与细粒度访问控制。
  • 在树莓派设备上部署系统作为边缘节点,并使用桌面计算机作为矿工,以模拟真实的物联网边缘环境。
  • 采用基于JSON的令牌以实现轻量级通信与计算,最大限度降低在受限设备上的开销。

实验结果

研究问题

  • RQ1基于区块链的去中心化访问控制模型能否消除物联网访问控制中的单点故障与性能瓶颈?
  • RQ2在动态、异构的物联网环境中,能力委派如何实现安全且高效的传播?
  • RQ3所提出的BlendCAC方案在资源受限的物联网设备上引入了多少计算与网络开销?
  • RQ4在延迟与可扩展性方面,BlendCAC的性能与传统模型(如RBAC和ABAC)相比如何?
  • RQ5智能合约能否在去中心化的物联网环境中有效管理访问控制生命周期操作(注册、委派、撤销)?

主要发现

  • BlendCAC方案在平均情况下仅引入5ms的额外延迟,相较于标准HTTP事务不足2%的开销,表明其在网络与设备层面的性能影响极低。
  • 系统在计算与通信开销极小的情况下实现了有效的访问控制,验证了其在资源受限的物联网设备(如树莓派)上的适用性。
  • 与XACML等基于XML的标准相比,使用基于JSON的能力令牌显著降低了复杂性与开销,提升了边缘设备的效率。
  • 智能合约成功实现了访问控制的完整生命周期管理——包括注册、委派与撤销,且无需依赖中心化权威机构。
  • 去中心化架构有效缓解了单点故障与性能瓶颈的风险,增强了系统的韧性与可扩展性。
  • 实验结果证实,BlendCAC支持细粒度访问控制与权限最小化,即使令牌被泄露,也能显著降低权限提升的风险。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。