1、第45卷第2 3期2023年12 月舰船科学技术SHIP SCIENCEAND TECHNOLOGYVol.45,No.23Dec.,2023基于区块链的航海实验室多域访问安全监控方法张红兵(江苏航运职业技术学院,江苏南通2 2 6 0 0 0)摘要:为保障航海实验室数据安全,提出基于区块链的航海实验室多域访问安全监控方法。构建基于区块链的航海实验室多域访问安全监控架构,其中用户认证层将以X509数字证书为基础进行改进的区块链证书作为支撑跨域认证过程的信任凭证,写入区块链,结合身份认证服务器组建跨域认证协议,完成航海实验室用户多域访问认证,并在权限管理层和运维层作用下依据认证情况下发多域访问权
2、限决策结果,经区块管理层完成本域区块的完整性保证后,将航海实验室安全监控数据存储于数据储存层。实验结果表明:该方法可以对多域访问用户身份进行认证,避免攻击者盗取数据;设置hash难度值前导为5个0,可提高该方法的区块生成效率,该方法可以有效保障航海实验室在面对多种攻击的安全性。关键词:区块链;航海实验室;多域访问;安全监控中图分类号:TP309文章编号:16 7 2-7 6 49(2 0 2 3)2 3-0 17 8-0 4Method for multi domain access security monitoring of navigation laboratoryAbstract:Re
3、search on blockchain based multi domain access security monitoring methods for maritime laboratories toensure data security in maritime laboratories.Build a blockchain based multi domain access security monitoring architecturefor navigation laboratories,in which the user authentication layer uses th
4、e improved blockchain certificate based on X509 di-gital certificate as the trust certificate to support the cross domain authentication process,writes it into the blockchain,andcombines it with the identity authentication server to form a cross domain authentication protocol to complete the multi d
5、o-main access authentication for navigation laboratory users,and under the role of the permission management layer and theoperation and maintenance layer,the multi domain access permission decision results are issued based on the authenticationsituation.After the block management layer completes the
6、 integrity assurance of the local domain blocks,the navigationlaboratory security monitoring data is stored in the data storage layer.The experimental results show that this method can au-thenticate the identity of users accessing multiple domains,avoiding attackers from stealing data;Setting the ha
7、sh difficultyvalue as a leading value of 5 zeros can improve the block generation efficiency of this method,which can effectively ensurethe security of navigation laboratories in the face of various attacks.Key words:blockchain;navigation laboratory;multi domain access;safety monitoring文献标识码:Abased
8、on blockchainZHANG Hong-bing(Jiangsu Shipping College,Nantong 226000,China)doi:10.3404/j.issn.1672-7649.2023.23.0330引言在数字化时代,信息安全的重要性日益凸显。航海实验室作为海洋科研与技术创新的重要场所,其信息安全更是关系到国家海洋权益和科研成果的保密与收稿日期:2 0 2 3-0 9-0 7基金项目:江苏省南通市科技计划项目(JC22022007)作者简介:张红兵(19 7 9-),男,实验师,主要研究方向为航海实验室建设。安全。然而,传统的安全监控方式在面对复杂多变的网络环境
9、和跨域访问需求时,显得力不从心。因此,如何确保航海实验室监控数据的安全性成为呕待解决的问题。近年来,对于安全监控的研究有很多。石兆军等第45卷研究通过分析现有的监控数据攻击路径与异常行为,但此方法只对现有的监控数据攻击手段有效,无法对第一次出现的监控数据攻击手段作出反映。龙浩等2研究个性化与专业化访问策略的加密机制,但此方法使用条件过于有限,若强行使用在不适用条件中,会被攻击者轻松盗取监控数据。江泽涛等 3 研究利用PKI认证体系管理不同密码体系安全域,使用CA作为公共跨域认证中心对用户进行认证和分配公共跨域身份与身份控制标签,只适用于小型监控数据的储存与保护。区块链 4 作为一种新兴技术,有
10、助于消除传统中心化机构的干预,提高效率和安全性,为此提出基于区块链的航海实验室多域访问安全监控方法,保障航海实验室访问安全。1航海实验室多域访问安全监控1.1基于区块链的多域访问安全监控架构区块链是融合了分布式数据存储、共识机制及加密算法等技术的创新数据记录与跟踪方式,其中数据以块的形式存储,并通过加密算法链接到前一个块,形成链状结构。这种去中心化的管理方式确保数据的安全性、可靠性、透明性及不可篡改性,由区块头与区块体2 个部分组成,其中区块头含有前一区块哈希值、时间戳、当前区块哈希值、航海实验室监控视频时段ID;区块体存有航海实验室其他文件与航海实验室监控视频散列值。这些组件共同组成了区块链
11、的区块结构,从而确保了数据的完整性和可验证性,以及区块链技术的信任和透明度。这样的设计使得区块链技术能够广泛应用于各种场景,如航海实验室监控数据安全存储、交易验证等。为此构建基于区块链的航海实验室多域访问安全监控架构,如图1所示。1.2用户多域访问认证1.2.1基于X509数字证书的区块链证书对于航海实验室多域访问中的跨域可信认证问题,本文使用区块链的不可篡改特性对PKI(公钥基础设施)体系中的X509数字证书进行改进 5,使改进后的区块链证书作为支撑航海实验室多域访问中跨域认证的信任凭证,具体如图2 所示。本文区块链证书在X509证书的基础上,将签名算法进行了省略,生成区块链证书后,将其哈希
12、值记入区块链账本,可在链上可查验证书,确保其安全可信;对X509证书中的URL模块进行了取消,因为区块链证书是直接储存在区块链上的,可以随时对证书状态张红兵:基于区块链的航海实验室多域访问安全监控方法授权决策管理多域访问认证区块链证书跨域认证协议用户认证层图1基于区块链航海实验室多域访问安全监控架构Fig.1 Multi domain access security monitoring architecture basedon blockchain navigation laboratoryX509证书区块链证书使用者使用者使用者ID公销版本号有效期序列号起始结雨签发者签发者ID证书撤销检查
13、服务的URL签名算法拓展项CA签名图2 X509数字证书与区块链证书Fig.2X509 digital certificate and blockchain certificate进行查询,不需要URL模块来提供证书的在线状态。1.2.2基于区块链的跨域认证协议根据区块链证书与安全监控架构,本文使用基于区块链的跨域认证协议实现用户的跨域认。为了更形象对用户认证层的多域访问用户身份跨域认证进行说明,以A域与B域为例,对跨域认证协议进行说明。本文的区块链跨域认证协议由航海实验室的用户、区块链证书与身份认证服务器组成,区块链证书与身份认证服务器作为区块链节点,协同工作生成证书并记人区块链,确保数据安
14、全与不可篡改。同时,也支持对区块链证书的查询与验证,增强航海实验室跨域认证的可信度和效率,跨域认证协议所用符号如表1所示。跨域认证协议内容步骤如下:1)A 域用户UA对B域的认证服务器ASB请求访问:UAASB。2)B域认证服务器ASB对用户UA的请求访问进行接受,并对其进行响应,与此同时对A域的UA发送随机数Ni:A S BU A:(Ni)。179.运维层MySQL区块计算本地文件授权协商与广播区块校验授权过滤与解析权限管理层区块管理层使用者使用者1D版本号有效期序列号起始结雨签发者签发者ID拓展项跨域凭证1跨域凭证2系统Redis储存数据储存层使用者公销180符号A B:mUAASACer
15、tuABCertcAABCertUA.CABS ignskx ON3)A 域UA对B域认证服务器ASB的响应进行接收,为了生成签名Signskua(Ni)对随机数Ni使用UA的私钥skUA;在A域UA对B域认证服务器的请求进行响应后,发送消息用户证书CertuA、签名Signskua(NI)与随机数Ni至B域认证服务器ASB,具体为:UA一AS B:(Certua,Signskua(Ni),Ni)。4)B域认证服务器收到上述消息后,对随机数ASB的有效性进行检查;使用CertuA与N对Signskua(Ni)的正确性进行验证,对证书进行解析,从而获得证书的有效期,通过证书或者证书链对A域信任区
16、块链进行确认,即ASBASA:N2)。5)A 域认证服务器ASA对随机数N2与请求进行接收,发送BCertcAA与随机数N2至B域认证服务器AS中,具体为:ASA一ASB:(BCertA,N2)。6)B域认证服务器对消息进行接收,对随机数N2的有效性进行检查;对BCertcAa进行解析,查看A域信任锚根CAA生成的区块链证书有效期,通过哈希算法对BCertcAA进行哈希运算,获得Hash(BCertcA);使用Hash(BCertcA)在AS中对区块链进行查询,查询结果有如下:若是认证失败,则有2 种情况,一种是查询结果无法获取,这是因为A域认证服务器提供的信任锚根CAA区块链证书存在误差;一
17、种是实验查询结果显示issue与revoke,这是因为A域信任锚根CAA的区块链处于撤销状态。若是认证成功则是因为A域信任锚根CAA的区块链证书处于正常发布状态,此时获取的查询结果为issue,具体为:ASBCAB:CertUA。7)在成功完成身份认证后B域认证服务器ASB发送用户的证书CertuA至B域信任锚根CABo8)B域信任锚根CAB对用户UA证书进行接受,舰船科学技术表1协议符号说明对用户证书CertuA进行解析,从而生成BCertua.CAB,Tab.1 Protocol symbol description并将其记入区块链,与此同时将其对ASB进行反馈,解释即:CAB AS B:
18、BCertUA,CAB 域A向域B发送消息m9)使用B域认证服务器将跨域区块链证书A域用户BCertUA.CAB发送给用户。A域证书验证服务器10)通过步骤1步骤9 对A域至B域实现反向认A域用户的证书A域信任锚根CAA生成的区块链证书B域信任锚根CAB生成的A域用户UA的跨域区块链证书签名算法随机数第45卷证;11)再使用步骤1步骤10 对A域与B域的双向认证。重认证:再次进行身份认证时,A域用户UA发送BCertUA.CAB至B域认证服务器,对ASB使用哈希运算,查询区块链,对证书的有效性进行验证。2结果与分析使用CentOS5.6作为操作系统,MySQL作为实验中的持久化数据库;Redi
19、s作为内存数据库;Tomcat8作为服务器,通过部署5台主机,对某航海实验室区块链之间的通信访问进行模拟,同时将基于视频时间段的ID,以及加密且签名的散列值储存在Redis 中,将监控区块数据存储在文件系统中,通过MySQL为区块监控数据建立索引。分别使用用户与攻击者的身份进行该航海实验室多域访问,对本文方法跨域认证的应用性进行验证。为了实验的准确性,分别使用2 种身份进行10 0 次访问,表2 为2 种身份访问结果中的10次访问结果。根据表2 可以发现,攻击者的航海实验室多域访问结果有2 种,分别为无访问结果与issueand revoke,都为身份认证失败结果,攻击者无法访问航海实验室监控
20、数据,用户在10 次航海实验室多域访问中的访问结果为issue,都为访问成功结果,用户可以成功对航海实验室监控数据进行访问,说本文方法不仅具有应用性,还可以拦截攻击者,对航海实验室的监控数据安全做出保障。各个域节点间定义了授权规则,授权请求间隔20min,10 0 m in 内全部发送完毕。授权确认时间不做假设。完成后,每分钟发起一次跨域登录请求,超时时间为30 s。C e n tO S 5.6 系统运行中,统计前50 个区块信息,实验分析hash难度前导为5个0 和6 个0 的数据,如图3所示。根据图3可以发现,区块链区块计算耗时呈现随机分布,且hash难度值为6 个前导0 时的随机性大于5
21、个前导0 时。数据显示,hash难度值为6 个0 的平均计算耗时约为16 min,而5个0 时为10 min左右。因此,为满足每10 min产生一个区块的第45卷Tab.2Multiple domain access results for two identities访问次数攻击者访问结果第1次issue第2 次issue第3次issue第4次issue第5次issue第6 次issue第7 次issue第8 次issue第9 次issue第10 次issue需求,模型在此实验中更适合设置hash难度值前导为5个0,这一调整将提高区块生成的效率,并使得本文方法的性能得到更好的发挥。2100前
22、导为6 个01800前导为5个01500120090060030000246810,12.141618202224区块高度图3各个区块计算耗时统计图Fig.3 Statistical chart of calculation time for each block针对跨域访问的攻击手段有很多,使用6 种常见的攻击手段对本文方法、多源信息融合方法、属性加密方法、混合密码体系方法安全监控的航海实验室用户访问过程进行攻击,观察4种方法是否能抵抗攻击,对比分析4种方法应用后的各方面安全性,具体如表3所示。观察表3可以发现,多源信息融合方法应用后在遭到重放攻击时无法抵挡,重放攻击会导致密码被截获并重放;
23、遭到欺骗攻击时无法抵抗,此时表3不同方法的安全性对比Tab.3Safety comparison of different methods多源信息属性加混合密码攻击类型本文方法融合方法密方法体系方法内部攻击是假冒攻击是重放攻击否欺骗攻击双向实体认证分布式拒绝服务攻击张红兵:基于区块链的航海实验室多域访问安全监控方法表2 两种身份的多域访问结果用户访问结果是否是否是是是是181会导致密码在不安全通道中传输易被篡改,属性加密方法与混合密码体系方法应用后,分别无法抵抗假冒攻击、欺骗攻击与欺骗攻击、双向实体认证,而本文issueand revoke方法可有效对6 种攻击手段进行抵抗,说明本文方法iss
24、ue and revoke的安全性较好,对攻击手段的监控也更加全面。issueand revokeissue and revoke无访问结果issueand revokeissueand revoke无访问结果issue and revokeissueand revoke是是是是是是否是是是是3结语本文设计了基于区块链的航海实验室多域访问安全监控架构,包括用户认证层、权限管理层、运维层、区块链层和数据储存层,实现了航海实验室监控数据的保护、存储和跨域认证。采用区块链证书作为支撑跨域认证的信任凭证,结合跨域认证协议,完成监管者用户身份跨域认证,只有确保通过授权认证的用户才能访问航海实验室的监控数
25、据,实现了航海实验室的多域访问。参考文献:1】石兆军,周晓俊,李可,等.基于多源信息融合的网络安全监控技术 .计算机工程与设计,2 0 2 0,41(12):336 1-336 7.SHI Zhao-jun,ZHOU Xiao-jun,LI Ke,et al.Cyberspace securi-ty monitoring technology based on multi-source information fu-sion.Computer Engineering and Design,2020,41(12):3361-3367.2】龙浩,张书奎,张力.基于属性加密的雾协同云数据共享方案.计
26、算机工程与设计,2 0 2 1,42(0 1):31-37.LONG Hao,ZHANG Shu-kui,ZHANG Li.Fog-assisted clouddata sharing scheme based on attribute-based encryptionJ.Computer Engineering and Design,2021,42(01):31-37.3】江泽涛,时晨,张少钦,等.云环境下基于混合密码体系的跨域控制方案 J.计算机应用研究,2 0 2 0,37(11):338 7-339 1.JIANG Ze-tao,SHI Chen,ZHANG Shao-qin,et a
27、l.Cross-do-main control scheme based on hybrid cryptosystem in cloud en-vironment.Application Research of Computers,2020,37(11):33873391.4】宋靖文,张大伟,韩旭,等.区块链中可监管的身份隐私保护方案 .软件学报,2 0 2 3,34(7):32 9 2-3312.SONG Jing-Wen,ZHANG Da-Wei,HAN Xu,et al.Supervisedi9dentity privacy protection scheme in blockchain
28、JJ.Journal ofSoftware,2023,34(7):3292-3312.5周利峰,殷新春,宁建廷一种适用于无线医疗传感器网络的基于区块链的无证书聚合签名方案 。小型微型计算机系统,2 0 2 2,43(6):112 8-1135.ZHOU Li-feng,YIN Xin-chun,NING Jian-ting.Block chain-based certificate less aggregate signature scheme for wirelessmedical sensor networksJ.Journal of Chinese Computer Sys-tems,2022,43(6):11281135.
浙ICP备2021020529号-1 | 浙B2-20240490 
