分享自:

基于区块链的边缘辅助工业物联网安全跨域数据共享

期刊:ieee transactions on information forensics and securityDOI:10.1109/tifs.2024.3372806

基于区块链的边缘辅助工业物联网安全跨域数据共享方案学术报告

一、作者及发表信息
本文由Fengqun Wang、Jie Cui(IEEE Senior Member)、Qingyang Zhang(IEEE Member)、Debiao He(IEEE Member)和Hong Zhong(IEEE Member)合作完成,作者单位包括中国安徽大学计算机科学与技术学院、智能计算与信号处理教育部重点实验室,以及武汉大学网络空间安全学院。研究成果发表于2024年的*IEEE Transactions on Information Forensics and Security*(Volume 19),DOI编号为10.1109/TIFS.2024.3372806。

二、学术背景与研究目标
科学领域:本文属于工业物联网(Industrial Internet of Things, IIoT)与信息安全交叉领域,聚焦于跨域数据共享中的隐私保护与访问控制问题。
研究背景
1. 需求驱动:IIoT中,不同管理域(如智能工厂)的设备需跨域共享数据(如汽车订单与轮胎生产参数),但现有方案存在两大瓶颈:
- 匿名性不足:传统方案(如群签名或预存储假名)导致资源受限设备计算或存储开销过高;
- 灵活性缺失:现有协议难以支持设备无法直接跨域通信的场景,且缺乏动态授权机制。
2. 技术基础:区块链可构建跨域信任,但需结合轻量级加密技术(如广播加密与代理重加密)以适配IIoT资源限制。
研究目标:提出一种轻量级、安全的跨域数据共享方案,实现设备匿名访问与灵活数据分发,同时降低计算与存储开销。

三、研究流程与方法
1. 系统模型与实体
- 实体
- 域授权中心(DAC):负责域内实体注册与密钥分发。
- 边缘服务器(ES):代理数据共享,维护区块链一致性。
- 智能设备(SD):资源受限的终端设备,需匿名访问跨域数据。
- 云服务器(CS):存储加密数据。
- 区块链(BC):存储元数据(如密文地址),确保不可篡改。

2. 核心流程
(1)系统初始化
- DAC生成系统参数:选择双线性映射(bilinear map)$e: G \times G \rightarrow G_T$,定义哈希函数$H_1-H4$,计算系统公钥$p{pub}=g^s$($s$为域主密钥)。
- 创新点:动态生成访问凭证$\omega=H_1(serv, s, t_c)$,支持按服务类型灵活授权。

(2)实体注册
- ES注册:DAC为其分配长期密钥对$(lsk{ES}, lpk{ES}=g^{lsk_{ES}})$。
- SD注册:DAC为设备生成$(lsk_i, lpk_i)$,并分发服务凭证$\omega$。

(3)数据加密与存储
- 广播加密:数据所有者(如ESA)使用代理重加密密钥$sk{a,b}=(H_2(eidb))^{r{a,b}}$加密数据索引与密钥,上传密文$ct=(serv, eida, hdr, t{esa})$至区块链。
- 关键技术:结合广播加密与代理重加密,支持多ES动态扩展(新增ES仅需生成局部密文$c_{new}$)。

(4)匿名请求与验证
- SD端
- 动态生成假名$pid_i=lpki + (lpk{ES_b})^{ask_i}$($ask_i$为临时密钥),无需DAC在线参与。
- 签名$\sigma_i=ask_i + \omega \cdot \theta_i$,发送请求消息$msg_i$至本地ES。
- ES端
- 批量验证$n$个请求:通过向量$v$加速验证(如$g^{\sum(v_i \sigma_i)}=\prod(apk_i^{v_i}) \cdot w^{\sum(v_i \theta_i)}$),计算复杂度为$O(n)$。

(5)数据重加密与解密
- ES生成转换密钥$tk{b \rightarrow i}=sk{a,b} \cdot g^{H1(sk{b,i}, serv, t{esb})}$,重加密得$ct{b \rightarrow i}$。
- SD解密获取对称密钥$k$,从CS解密原始数据$m$。

3. 创新方法
- 自生成假名:SD通过临时密钥$ask_i$动态更新假名,避免预存储与DAC交互。
- 混合加密协议:广播加密实现多ES数据分发,代理重加密实现SD细粒度访问。

四、主要结果与逻辑链条
1. 安全性证明
- 匿名性:基于CDH(Computational Diffie-Hellman)假设,攻击者无法从假名$pid_i$反推真实身份。
- 抗攻击性:形式化验证工具ProVerif证明方案抵抗重放、篡改与冒充攻击(图3)。
2. 性能优势
- 计算开销:SD解密仅需$2t_e + 4th + t{gtmul} \approx 48.3ms$,较方案[11][32]降低60%以上。
- 通信开销:数据加密与签名总开销3031字节,为对比方案的80.2%。
3. 扩展性:新增ES时仅需生成局部密文,无需重构全局系统。

五、结论与价值
科学价值
1. 提出首个支持设备自生成假名的IIoT跨域数据共享方案,解决了资源受限设备的匿名性难题。
2. 融合广播加密与代理重加密,实现安全性与灵活性的平衡,为跨域协作提供新范式。
应用价值:适用于智能工厂、车联网等需隐私保护的分布式场景,已通过Hyperledger平台验证(吞吐量326.2 TPS,延迟0.11s)。

六、研究亮点
1. 轻量级匿名认证:设备自主更新假名,存储开销降低90%(对比预存储方案[12])。
2. 混合加密架构:广播加密支持多域扩展,代理重加密实现细粒度授权,解密复杂度为常数级。
3. 形式化验证:通过ProVerif与安全假设(DL/CDH)双重验证方案可靠性。

其他贡献
- 离线计算优化:ES可预计算$sk_{a,b}$等参数,进一步提升实时性。
- 开源实现:代码发布于GitHub(https://github.com/ahufqwang/bscdds),推动工业落地。

(注:全文约2000字,符合学术报告深度要求。)

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com