CAB-IoT：基于区块链的物联网持续认证架构

制作和主办：Elsevier沙特国王大学学报CAB-IoT：基于区块链的物联网持续认证架构Almah Hussain Al-Najia，Rachid ZagroubabaP.O.伊玛目阿卜杜勒拉赫曼·本·费萨尔大学计算机科学和信息技术学院计算机科学系。Box 1982，Dammam 31441，Saudi Arabiab计算机信息系统系，计算机科学和信息技术学院，Imam Abdulrahman Bin Faisal大学，P.O. Box 1982，达曼31441，沙特阿拉伯阿提奇莱因福奥文章历史记录：收到2020年2020年11月1日修订2020年11月10日接受2020年11月19日网上发售保留字：区块链连续认证人脸识别物联网机器学习A B S T R A C T在活动会话中增加安全威胁事件是物联网环境中日益关注的问题。连续认证的引入是为了优于传统的认证方案，通过不断地验证用户然而，若干挑战仍未解决。本研究旨在研究区块链技术为物联网环境提供实时和非侵入式连续身份验证的能力。因此，提出了一种基于区块链技术的分布式和可扩展的连续认证解决方案，称为CAB-IoT。它使雾节点层能够通过为一组物联网设备提供繁重的连续身份验证相关任务的本地化处理来解决物联网资源的限制。此外，CAB-IoT引入了信任模块，该模块依赖于人脸识别机器学习模型来检测离群值和异常访问。此外，还设计了终端用户与雾节点之间的相互认证，以及认证节点之间的安全通信。结果表明，一个轻量级的连续身份验证解决方案，实现了安全性和性能要求之间的理想平衡，在真实环境中观察到真正的性能结果。在评估过程中还考虑了安全分析和攻击分析。©2020作者由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍物联网（IoT）环境融合了数字和物理世界，使它们能够实时传输数据，这使得安全和隐私问题成为不可忽视的关键方面。举例来说，智能手机存储了大量的个人数据，它可以与智能手表配对为了在它们之间交换数据，这些敏感数据应该仅由合法用户访问，其中一个漏洞可以直接影响连接的设备。因此，物联网设备需要一个唯一的身份，可以可靠地识别合法用户，从而验证访问的合法性请求过程中此外，如果物联网设备被抢劫，它将防止恶意使用。始终确保用户不被模拟是至关重要的，这带来了一种称为连续身份验证的特定类型的身份验证。传统的认证方案在通信会话开始时对实体的合法性进行统计认证，并决定是否通过认证。因此，它们很容易受到安全威胁，例如劫持攻击，这些攻击控制了活动会话。因此，迫切需要通过在整个会话期间连续认证连接节点的身份来解决这个弱点。必须考虑的是，*通讯作者。电子邮件地址：2190500042@iau.edu.sa（法文）Hussain Al-Naji），rmzagrouba@iau.edu.sa（R. Zagrouba）。沙特国王大学负责同行审查https://doi.org/10.1016/j.jksuci.2020.11.0231319-1578/©2020作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comF. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2498提出了补充和加强静态方案，而不是取代它，它有两种类型的通信模型，即：设备到设备模型和用户到设备模型。在物联网生态系统中，用户到设备通信模型确定了与设备到设备模型相反的身份验证过程相关的几个机会和挑战。有几种方案旨在借助物联网设备持续实时地对用户进行身份验证，以防止匿名和已知用户对物联网环境的假冒攻击或非法访问。提出的基于IoT的用户到设备连续认证解决方案主要集中在认证决策的性能上。更具体地说，审查的文献评估了固定数量的用户操作或测试数据集的性能，而其他文献则根据等错误率（EER），错误接受率（FAR），以及测试数据集上的错误拒绝率（FRR），从而允许冒名顶替者在系统识别出他的/她的身份第一次，这被认为是一个模仿认证，而不是CA程序。因此，缺乏实时地连续检测尽可能短的几次未授权访问。物联网设备在存储、计算和电池方面存在限制，这些限制在设备之间有所不同 在这方面，便携式设备是CA的最优选设备选择，特别是智能电话（Gonzalez-Manzano等人， 2019年）。虽然可穿戴设备和可实现设备被认为是最受限制的物联网设备，但通常依赖于强大的第三方服务器、基于云的基础设施，甚至另一种便携式设备来部分或完全执行计算过程。因此，需要一种用于用户到设备通信模型的轻量级CA方法行为生物识别技术作为每个用户识别的独特特征受到高度关注回顾前面的观点，将所选特征与适当的设备进行匹配以提取它是 一 个 至 关 重 要 的 评 估 。 这 种 类 型 的 分 析 已 经 在 参 考 文 献（Gonzalez-Manzano等人，2019年），便携式设备脱颖而出，适合所有收集的功能，因为它们具有各种传感器，易于使用，以及经济的价格。最近，区块链技术在包括物联网在内的各个领域的更广泛应用上迈出了一步（Khan et al.，2020年）。更简洁地说，区块链技术可以防止未经授权的数据篡改，并提高系统的完整性和不可变性。加密算法和去中心化对等网络的使用使区块链技术成为存储和维护物联网系统数据的一种非常安全的方式此外，这是一种强大的解决方案，可以在没有中央权威机构的情况下可靠地进行认证过程，并克服单点故障，其中对于不断增长的系统来说，依赖于集中式方案是不合适的。区块链上的数据代表了核心，物联网依赖于这样的信息来正常运行 区块链目前正在发展成为一种通用认证技术（Khalid et al.，2020），因为它包含每个交易的数据库条目，所以将容易根据需要实时搜索模式，从而早期或接近实时地检测异常。本研究旨在研究区块链技术为物联网环境提供实时和非侵入式连续认证的能力。然而，将区块链技术集成到物联网环境中以实现持续身份验证的目的会带来一些挑战，必须考虑这些挑战才能证明其有用性。其中，使用来自IoT设备的事件来实时创建精确的用户行为简档，并且由于频繁执行的连续认证和IoT设备是资源受限的。因此，有必要采用轻量化机制来减少物联网设备的资源消耗。本研究的主要贡献如下：CAB-IoT提出了最终用户和雾节点之间的相互初始静态身份验证，以在它们之间建立安全的加密通道，从而由智能合约发布访问令牌，而无需中介或可信第三方。该研究提出了整个体系结构组件的关键作用，包括体系结构设计、说明参与者之间交互的序列图、交换的信息以及设计过程人脸识别机器学习（ML）模型。几个实验证明了所提出的架构在IoT使能环境中连续认证用户的适用性，显示了实时置信度评估、认证用户所需的最短时间以及低资源消耗。该研究分析了所提出的解决方案的安全性，并展示了它如何实现主要安全目标，以及克服针对物联网环境的不同常见攻击的能力。本文的其余部分组织如下。第二节讨论了相关的工作。第3节描述了本研究所采用的设计，概述了要使用的总体方法，讨论了解决方案设计，并提出了一些建议的体系结构的定义是更详细的，随后将被定义为层，以塑造其主要组件的关键作用。此外，本节还列出了研究工具并说明了它们的使用，提供了应用数据集的描述，详细概述了研究过程，并显示了体系结构组件之间的交互图和交换信息第4节重点介绍了在以太坊平台上应用拟议解决方案所做的主要设置，提供了性能结果，并分析了拟议解决方案的安全性最后，在第5的结论中提出了局限性和未来的工作。2. 相关工作身份验证是一项必要的安全要求，应应用于整个物联网架构（朝觐例如，2019年）。它对于终端设备和网关设备之间的认证至关重要。 网关应该在将数据传输到云的同时对自身进行认证，并且应用节点应该被认证到云以收集数据用于分析（Xu等人， 2014年）。在物联网生态系统中，用户到设备通信模型确定了与设备到设备模型相反的关于认证过程的若干机会和挑战（Gonzalez-Manzano等人，2019年）。有几种方案旨在借助物联网设备持续实时地对用户进行身份验证，以防止匿名和已知用户对物联网环境的假冒攻击或非法访问。物联网设备的特点是存储、计算和电池方面的资源有限。特别地，可穿戴设备和可实现设备是最受限制的IoT设备，其中它们具有几MHz的CPU、几十KB的RAM和几百KB的ROM（Xu等人，2014; Shafagh等人，2017年）。便携式设备，特别是智能手机和平板电脑，是物联网用户连续身份验证应用中使用最多的设备，这可能是由于它们广泛的使用多功能性。其次通过可穿戴设备如参考文献中的智能手镯（Brown等人，2017），参考文献中具有加速度计和陀螺仪传感器的通用可穿戴设备（Brown等人， 2017; Matsuyama等人，2015; Mosenia等人，2017;Mukherjee，2017），智能眼镜●●●●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2499在参考文献（Van Hamme等人，2017; Chauhan等人，2016）智能手表（Acar等人，2018），参考文献中的可穿戴语音设备（Feng等人，2017年）。关于外部设备，如参考文献中使用的监控摄像机（Feng等人，2017;Ashibani等人，2019），除了便携式设备，非接触式雷达捕捉心脏运动的参考（林等人，2017），以及参考文献中的智能亭（Phan et al.，2015年）。值得注意的是，参考文献（Camara等人，2018年）在可穿戴设备旁边使用智能手机，以克服其有限资源的限制并提高处理能力。然而，为物联网系统提供安全服务的一些挑战是计算和通信的效率这些挑战应该仔细解决，因为许多资源受限的设备通常涉及物联网系统（Al Salami等人， 2016年）。 通过应用区块链技术和雾计算来利用新兴技术可以提供一种实用的解决方案，确保物联网环境的安全要求（Zhang和Chen，2020; Aceto等人， 2020年）。区块链代表了一种有前途的技术，可以在物联网环境中提供安全性，其中其信息是关于分布式物联网服务的组成（Xu和Viriyasitavat，2019），因此与区块链技术的分散基础设施和分布式总账协议相匹配（Lu，2018）。此外，其智能合约提供了提高物联网应用可靠性的机会（Viriyasitavat等人，2019年）。作者在（Camara等人，2018; AlSalami等人， 2016）调查了区块链技术如何集成到不同的物联网用例中，在物联网环境中利用其功能，以及在物联网平台中使用其优势和限制的列表。类似地，在（Xu等人， 2018），作者利用区块链的特点，提出了一种基于区块链技术的大规模物联网应用分布式存储系统。 虽然作者在（Salah等人， 2019年），提出了一个基于区块链的框架，以实现农业供应链中业务交易和工作流程的无缝集成，结果显示了一个有效的跟踪和跟踪过程。在（Hardjono和Smith，2016）中，作者提出了一种基于许可区块链的隐私保护方法，通过云生态系统安全地在设备所有者和服务提供商之间共享物联网传感器数据。然而，它实现了通信设备的完全匿名，而它不适合需要识别设备的情况。 以及在（Huh等人， 2017年），作者提出了一个基于区块链的想法，它依赖于智能合约来定义每个连接对象在完全匿名使用系统时的操作。2.1. 区块链用于IoTHammi等人（2018年）的Bubbles of Trust系统旨在提供安全的虚拟区域，以安全地验证物联网环境中的连接设备该方法基于公共区块链。因此，它从其安全特性中得到利用，并且具有应用于广泛的物联网环境的功能此外，评估结果证明了它的效率，能够满足物联网的安全需求，其成本最低该方法具有实时应用的适应性，因为验证发送的消息取决于共识所需的时间，几乎需要14秒。而在Wu等人（2018）中，作者确定了一种带外双因素认证方案，即使第一个认证因素失败（例如密码或访问令牌被盗），第二个因素也会通过检查存储在区块链中的关系信息来阻止恶意设备，这反过来又克服了集中式服务器中存在的单点故障问题。对所提方案的评估表明，系统开销是可以接受的。2.2. 物联网中CA的区块链和雾云在Agrawal（2018）中，区块链用于在物联网环境中提供连续和无缝的用户身份验证，以及控制对智能建筑的访问。来自合法用户的每次交互（即，物联网区域内的用户（就门行为而言）从他们的设备记录为区块链中的交易，以生成用户的物联网踪迹，物联网中心用作第三方平台来执行连续的身份验证过程。马尔可夫链和LSTM模型应用于公共步态数据集，以改进为用户访问系统生成唯一的数字加密令牌。该机制在LSTM模型下实现了更好的准确性，准确率为99.30%。在（Nikouei等人，2019），作者提出了一种新颖的去中心化机制来验证监控系统的实时视频帧。分布式传感器设备的目标是连续跟踪和检测监控视频事件，这导致难以从数千个视频帧中确定可疑对象。作者使用实时索引服务为每个提取的特征分配唯一的索引，因此图像在其索引表通过智能联系人进行散列并存储在区块链中以供将来验证后，不易受到恶意修改。值得注意的是，数据分析过程部署在雾节点中，因为它们具有更多的计算能力。实验结果表明，该方案在对视频数据进行连续实时认证的同时，具有较低的开销。在雾云解决方案中，可扩展性是一个关键问题，云资源和雾节点的可扩展性对于满足物联网数据的工作负载变得非常重要。作者（萨拉赫，2013年）;提出了一个分析模型，旨在确定所需的最小数量的云资源，以满足响应时间的基础上有限的集群系统。此外，作者（El Kafhali和Salah，2017）提出了一种基于排队理论的随机模型，旨在通过使用开放式排队系统对其进行建模来分析云数据中心的性能，该系统可用于估计服务质量（QoS）是云计算所能提供的服务3. 建议的CAB-IoT本研究是一项应用性研究，采用实验设计.3.1. 总体方法CAB-IoT提出的基于区块链的用户连续认证架构如图1所示。为了为物联网环境提供高效的持续认证，CAB-IoT提出了一种分布式架构，该架构利用区块链技术来避免对中介或可信第三方的需求，因此它将提供高信任和可用性。选择以太坊区块链是因为它能够分配一个唯一的以太坊地址（即，具有公钥和私钥），其支持创建增强IoT中的安全因素的基于定制令牌的访问（Fotiou等人，2019年）。此外，以太坊的交易速度相对较快，其区块时间在10秒到20秒之间，而其他区块链网络大约需要10分钟（Ozyilmaz和Yurdakul，2019）。此外，以太坊这项研究将使用权威证明共识来实现私有以太坊网络，而不是更熟悉的工作量证明共识。私有区块链很简单，提供了更多的优势，F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2500与公共网络相比，它提高了安全性和隐私性，并提供了更快的计算时间、更便宜的成本和更大的可扩展性（Larmuseau等人， 2019年）。此外，所提出的架构将启用雾节点层，该层可以通过提供高存储和计算能力以及网络来增强物联网设备的资源受限限制。此外，雾节点将为所提出的架构提供可扩展性，并执行繁重的连续认证相关任务以及与区块链网络的通信由于雾节点将部署在物联网设备附近，并且通过使用ML模型，雾计算将比云计算更有效地从物联网设备数据中提供实时学习，云计算会导致物联网设备的响应时间延迟。3.2. 解决方案设计拟议的架构设计细节包括以下主要组件：云、雾节点、区块链网络、物联网设备、管理员和最终用户。所有组件都有一个唯一的以太坊地址，并通过EC直接与以太坊智能合约连接，除了间接与智能合约接口的物联网设备。图2示出了所提出的架构的框图。体系结构组件的关键作用如下所示：1. 云：存储非实时数据交易，进行大数据业务逻辑分析。所提出的解决方案考虑了实时连续认证过程，其中雾节点层向IoT设备提供本地化控制响应。2. 管理员用户：管理员用户将每个物联网设备映射到一个雾节点，通过智能合约向最终用户授予访问物联网设备的权限。智能合约的所有者将负责启动和部署它，我们假设他/她可以根据管理控制添加多个管理员满足业务需求。3. 终端用户：通过智能合约请求对特定物联网设备的访问权限。然后，在负责的雾节点上完成身份验证过程后，用户将有权访问权限。4. 物联网设备：每个设备都属于一个雾节点。由于物联网设备资源有限，它们无法运行区块链。因此，雾节点层被启用为IoT设备的代理。5. 雾节点：直接连接到以太坊智能合约，并作为物联网设备和区块链网络之间的接口，将物联网资源受限的设备从持续的认证加载过程中解脱出来。雾节点的特征在于具有高性能能力，使得它们将能够处理连续认证过程的多个同时请求。所提出的CAB-IoT类似于（Almadhoun等人，2019），其中它们利用雾节点层来管理访问IoT设备，但是CAB-IoT托管面部识别ML模型，其中每个雾节点训练模型，并且分类参数与邻居雾节点共享，而不是具有协调节点，协调节点将影响所有连接的雾节点，并且如果系统被黑客攻击或以未经授权的方式操纵，则使系统容易受到风险的影响，但是在CAB-IoT中，它仅影响相对更容易处理的邻居雾节点。生成的面部相似性分数将主要用于连续认证过程，其中相似性阈值将与区块链同步，区块链反过来将立即检测相似性分数是否低于阈值。生成的比较结果将作为访问决策的输入Fig. 1.总体架构建议。用于确定是继续访问还是锁定用户访问设备的模块更多细节将在第3.5的解决方案中进行解释。关于生物识别模式的选择，在AlAbdulwahid等人（2015）中，作者介绍了从2009年到2019年底用于创建物联网身份验证标识符的所选特征的时间演变。进化显示了使用人类行为数据的广泛性，生物动力学被认为最适合用于连续行为生物特征认证（Deutschmann等人，2013年）。此外，移动设备数据在某种程度上也被使用，特别是触摸屏事件。然而，人类最常见的生理生物特征模态是指纹、虹膜和面部（Sundararajan等人，2019年）。选择最有效的生物识别方式是最大限度地提高部署成功效率的先决条件。持续认证系统不应要求用户每种生物识别方式都有其优点和缺点，如下所示（Mondal和Bours，2015）：指纹识别是最受欢迎的生理模式，因为它相对便宜，并且具有提供快速匹配的小模板大小，但它确实需要高度的用户参与并且很容易欺骗。Iris在我们一生中的准确性和稳定性方面脱颖而出，但它相对昂贵，并且难以在大于指定距离的距离上执行。此外，在其他情况下，它通过持有虹膜扫描仪设备或查看相机来工作，因此需要用户主动参与。面部模态对于连续的认证过程是更期望的，其中不需要像先前的模态那样的面部识别所需的接触，它提供了快速、自动、无缝和用户友好的验证体验。此外，它还可以实时和远程地对人进行身份验证（Meenakshi，2013）。因此，在所提出的解决方案中将使用区块链网络：提出的CAB-IoT基于以太坊区块链，其平台包括以下内容（Zhang et al.， 2019年）：●●●●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2501×图二. 建议架构的框图。以太坊账户：控制账户和智能合约账户，两个账户都由20字节的地址标识。智能合约：是一个存储在区块链内部的程序，其功能类似于真实的合同，以达到预定义的目标。它具有ABI，可以通过从以太坊账户发送交易或消息来访问其功能。区块链账本：网络中的每个节点都有一个本地副本区块链。在提出的解决方案中，区块链层的过程分为以下三个阶段a) 注册阶段。b) 静态身份验证阶段。c) 持续认证阶段。如图3所示，智能合约接收并响应来自最终用户或雾节点的请求以执行不同种类的交易（例如，注册、静态认证和连续认证）。3.3. 文书实验研究将使用Anaconda平台进行数据预处理，并使用Python语言模拟人脸识别ML模型。开发IDE是提供演示和交互式环境的ApriyterNotebook。TensorFlow分布式策略将被应用于实现分布式处理，其中节点将在训练数据之后更新模型参数（Xia等人，2017年）。数据集将被切成几个块，TensorFlow将显示-贡献策略允许节点交换和更新参数，其中每个节点将在本地训练数据块并保存参数，然后与下一个节点交换参数，下一个节点将使用接收到的参数来训练下一个数据块。然后，ML模型将通过使用Azure机器学习工作区在Azure云中部署为Web关于区块链网络层，微软一直在Azure区块链服务甚至以太坊网络的开发上投入了大量资金。Azure Blockchain Development Kit for Ethereum将用于构建区块链网络并在其上部署智能合约，其中Azure Blockchain REST API能够启动对分类账的调用，并将数据从外部系统发送到特定合约，因此区块链和智能合约都无法从其网络外部访问数据此外，AzureBlockchain Development Kit提供了一个易于访问的测试环境，并提供了一个图形化的用户友好界面，用于运行以太坊测试场景和探索区块链网络。此外，Azure Monitor服务包括一组性能图表，这些图表针对几个关键KPI，以确定解决方案在整个网络级别或节点级别的性能3.4. 数据集描述本研究中使用的数据集是由英国剑桥Olivetti研究实验室（AT T实验室，Cambridge，xxxx）提供的AT T人脸数据库。它包含64张64像素的40人的灰度面部图像，没有类别标签，并缩放到普通大小。图4示出了数据集中每40个不同的人的面部图像。数据集中有400张图像，每个人在不同方向，不同光线条件下的10张图像，●●●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2502图三. 系统节点与区块链之间的交互。不同的面部表情（例如，快乐、悲伤、尴尬或愤怒），以及面部细节（例如，皱纹、眉毛或眼镜），目的是在这些图像上具有增加鲁棒性的变化图5示出了所选择的对象的10个面部图像。3.5. 程序本节描述了跨雾节点和区块链层以及在雾节点和区块链层内的过程。它分为两个部分，即：人脸识别模型，保存在雾节点层，认证分为静态认证和连续认证。3.5.1. 人脸识别模型为了降低物联网应用的功耗并实现小延迟，雾计算可以在其操作中应用ML以利用容易获得的数据和计算资源（La等人，2019年）。CAB-IoT应用ML人脸识别模型，该模型在验证模式下工作，通过将声称的身份图像与模板数据库中对应的图像进行匹配来验证用户的身份。人脸识别系统的处理流程如图所示。 六、整个过程分为预处理和识别阶段，如下所示[160，161]：a) 预处理阶段：CAB-IoT将处理首先在面部检测模块中处理的灰度图像，以将面部区域与背景分割分开，并检测每个图像的大小和姿态。然后，面部对准模块旨在提供对面部部件（诸如眼睛、鼻子、嘴和面部轮廓）的更准确定位。图7示出了面部检测和对准过程。b) 认可阶段：将首先从预处理阶段生成的对齐人脸中提取区分不同人脸的有用特征。此阶段包括以下模块：特征提取模块：CAB-IoT将使用PCA技术应用特征脸算法。它是最重要的降维技术之一，其中难以处理的大量数据减少到较小的数量，同时保留尽可能多的信息（Jolliffe和Cadima，2016）。主成分分析是一种经典的特征提取方法，是一种无监督学习算法，广泛应用于人脸识别等计算机视觉领域，一种改进ML中识别和验证基于面部的模型的准确性的已被证明的方法（Zhang等人，2020年）。PCA的关键优势使其成为IoT环境中人脸识别系统的合适选择，其主要优势如下（Karamizadeh等人， 2013年）：见图4。 数据集中每40个不同的人的面部图像●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2503图五. 选择的主题的各种面部图像。见图6。 面部识别过程。- 减少噪声，因为它专注于找到最大化投影数据的总方差的投影，因此自动忽略背景中的小变化，从而使过程更快并提供更好的准确性。- 减少了对计算、时间复杂性以及存储容量的要求，其中仅在减少的基础上存储投影的受训者图像。- 所有的主分量彼此正交，因此避免了冗余信息，这随后提供了根本的数据压缩，因此允许窄带宽通信信道传输大量数据（Mendi等人， 2015年）。分类模块：CAB-IoT将把数据集分成80%用于训练，20%用于测试，这是数据科学中常见的理想做法。在分类模块中，将输入面部图像的提取的特征向量与模板数据库中登记的面部图像的特征向量进行匹配，当以足够的置信度找到匹配时验证面部，否则验证面部为未知面部（Arjun等人，2010年）。如文献综述所示，分类算法是连续认证实施的首选，SVM分类器是最常用的分类器之一，与其他分类器相比，具有最高的准确性和更快的预测速度。已经通过SVM进行了几项关于人脸识别的研究，并报告了令人满意的结果（Dadi和Mohan Pillutla，2016）。此外，SVM分类器具有高效的存储器使用，其中它在称为sup的决策函数中使用训练数据端口矢量（Suthaharan，2016）。基本上，它找到了超平面的最大边缘，该超平面将数据点分成如图所示的类。8.第八条。SVM分类器的关键挑战之一是确定相对确定其性能的分量的必要性，该分量是适当的核函数和软边缘参数C的值以保证高精度（Lee等人，2012年）的报告。因此，为了使它们的影响最小化，CAB-IoT将通过用欧几里得距离函数代替分离超平面作为决策函数来应用增强的SVM分类方法（Lee等人，2012年）的报告。图9示出了基于欧几里德的方法。人脸图像数据集必须经过预处理并转换为数值格式，以便用于训练和分类目的，以便将其映射到向量空间。此外，还将对数据进行PCA降维，以降低复杂度。见图7。人脸检测和对齐过程（Jaha和Ghosts，2012）。●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2504计算的站时间，如先前在特征提取模块中所讨论的在训练阶段，将训练数据点拟合到SVM算法中，并映射到每个类别的支持向量，并丢弃未识别的数据点。在分类阶段（Lee等人，2012），新的未标记的数据点将被预处理并拟合到分类模块中，其中Eq.使用（1）来代替传统的SVM决策函数，其中，qi是P或Q在n维中的坐标vuXffiffiffiffiM类问题，其中M是个体数。因此，CAB-IoT将在不同的空间中将人脸识别问题（Phillips，1999）公式化为二进制类问题，而不是传统的人脸空间方法，该方法将每个人脸图像编码为人脸的单独视图。不同空间中的两类是同一用户的人脸图像之间的差异和不同用户的人脸图像之间的差异。这些类将是SVM算法的输入。然后，对SVM生成的决策面进行重新解释，生成两幅人脸图像之间的相似度得分，作为验证和识别目的。为了更好地阐明，如D¼t1/1pi-qið1Þ在图10中，如果作为比较函数的输出的相似性分数等于指定阈值或更高，则上限将计算新数据点与每个类别的集合SV之间的平均距离，以使用距离较小的类别标记数据点。特征匹配模块：CAB-IoT将应用身份验证。重要的是要注意，SVM是一个二进制分类器。它通常用于对两类模式进行分类，并返回对象的类虽然面部识别属于见图8。 SVM分类器的插图（Suthaharan，2016）。固定的人脸图像与模板匹配，这意味着同一个人。否则，结果为不匹配。3.5.2. 认证在所提出的解决方案中，对用户进行身份验证是基于令牌访问的，这是由智能合约生成的。更多细节将在第3.6节中描述。 而用户的令牌，在作为一次性认证的静态认证中，连续监视的特征将其排除在该任务之外。相反，CAB-IoT正在寻求一种基于生物特征的方法。在连续认证系统中，识别何时检测到冒名顶替者比识别冒名顶替者更重要（Bours，2012）。对于所提出的解决方案，CAB-IoT主要关注在尽可能短的时间内尽可能快地检测未授权访问。在数据科学中，异常检测广泛应用于各种统计技术和ML算法。然而，在物联网中，随着时间的推移，生成的数据爆炸使得这项任务更具挑战性。CAB-IoT引入了信任模块，用于用户连续认证。基于当前用户的捕获的面部图像重新评估用户的访问决策，并将其与真实用户的模板进行比较。因此，信任级别值图9.第九条。Euclidean-SVM分类方法的框图●F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2505.- 是的脸;%<< %脸脸 脸2.Σ见图10。特征匹配过程。‘‘Trust绝对不信任）到1.0（即，完全信任），以确定当前用户的天才，每当它变得低于预定义阈值时，必须执行静态侵扰验证以继续访问系统。否则，用户将无法访问设备。更详细地，信任级别值"DTrust Login“的变化在整个会话期间为每个捕获的面部图像保留用户的相似性分数将增加FAR和FRR，并且随后去除大量的相似性的粒度。关于CAB-IoT中的连续认证，在活动会话期间，面部相似性得分 存在用于确定来自会话的面部相似性分数对登录分数的影响的规则。表1定义了函数拟合的点。表2定义了置信函数参数的值。所得到的拟合函数被用作（四）和（5）。8><0：4;FA R.SCface≤1%应用的认证程序。因此，fmapf0 SC1FAR SC20>：-0：4;FA R.SCface≥20%ð4Þ● 计算置信度得分如上所述，如果用户身份的置信度在大量的错误接受和错误拒绝中，f0 SC工作面 沪ICP备16006688号-1-0：853 SCface 0：648 SC face5‘‘f等待认证。置信度得分应该随着会话之间的时间而变化，其中两个主要功能信任 登录登录信任 登录. t前vtsesft前v降低dtfmap将被用来计算它，即：“f映射“和”f减少“（Crouse等人， 2015年）。函数在安全性方面，如果设备在一段时间内未被使用，则当存在几个没有检测到面部的会话时，系统比设备即使在几分钟内被使用时更安全这个函数有一个参数-随着为了防止冒名顶替者在从该点到下一会话的更长时间内访问设备，使用“t延迟“和”t样本“来计算”信任登录“的未来（即，在时间(7)（8）.计数器此外，函数信任 登录. tfut¼信任登录登录tfutf特塞斯减少”Trust （2）和（3）。二次部分对应于登录置信度的三次下降在合法用户确认他/她的身份之后，一旦没有检测到面部图像，置信度应该缓慢下降，并且随着时间的推移而下降得更快。“f下降“函数的斜率以每分钟-0.1为界，以避免置信度过快丧失。函数“f减少“的斜率如图所示。 十一岁（--20：1t2;tt开关特富特 ¼tsestdelaytsample8将“t fut“处的分数如果信任值下降到阈值以下，意味着当前用户与合法用户之间存在较大偏差，则系统将被锁定并需要进行强制验证来解锁它否则，将继续访问系统3.6. 相互作用图f减少t开关-0： 1;t≥t开关ð2Þ图12示出了配准的交互活动，t开关¼1： 5ωt注销- 63区块链层的静态身份验证过程。所用符号的定义见表3。ZZF. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2506-见图11。 映射10分钟的函数f下降（t）的图示（Crouse等人， 2015年）。a) 注册阶段：所提出的架构中的每个节点将具有唯一的EA和密钥对，其中私钥被加密并存储在本地，而公钥存储在区块链分类账中。所有已注册的信息将用于处理静态和连续认证阶段。首先，管理员创建并部署智能合约，并根据业务需求注册其他管理员。然后，管理员通过“DeviceFogMapping”功能将每个设备映射到雾节点b) 静态身份验证阶段：最终用户将使用“以太坊请求”功能发出对智能合约的访问请求然后，智能合约将检查该特定用户的物联网设备的访问控制列表否则，接受事件将由具有“令牌用户”访问权限的智能合约发出根据区块链的定义，此事件将广播到系统的所有雾节点在接收到接受令牌后，用户将移动到链下交互阶段。由于吞吐量和交易延迟是区块链技术的主要缺点（Jakobs，2018），因此，表1用于确定面部相似性分数对登录分数的影响的规则（Crouse等人， 2015年）。SCface的值信任登录SCface的变化>= 1% FAR时的得分1.0SC面 = 5%FAR 0.1时的评分×（t延迟 + t样本）SC面 =10%FAR 0时的评分SC面 = 20% FAR时的评分-（1.0表2置信函数参数值（Hammi等人，2018年）。参数值T登出10分钟T登录0.6秒测试样品10 s测试延迟30 s该阶段的主动活动发生在区块链网络之外（例如，链下交互），旨在增加数据吞吐量以及减少事务延迟。用户将发送“令牌用户”、令牌被发布的时间戳“T 1”以及使用雾节点“E PK.Fog”的公钥加密的随机数“RN用户”一旦雾节点接收到令牌，它首先检查其新鲜度，雾节点的当前时间“T 2“和令牌发布时间之间的时间是否如果没有，则将向用户发出“已关闭”消息。如果是，雾节点将通过比较"令牌用户“来进一步检查接收到的消息|最终用户“与之前从区块链网络”令牌用户“接收的令牌用户|Blockchain“ ， 否 则 ，将 向 用 户 发 送 ” 警 告 ” 消 息 。如果令牌1. 使用雾节点"D PV.Fog“的私钥解密用户发送的带有令牌的加密消息2. 发送H（RNUser *，RNFog），EPK.User（RNFog）给终端用户进行自身认证。o 终端用户使用私钥"D PV.User“解密接收到的消息然后，将其与消息的第一如果匹配，用户将使用“RN Fog“回复雾节点o 雾节点将根据验证结果对其进行验证o 最后，会话密钥c) 持续认证阶段：如图所示。 13、如果用户成功通过静态认证，则表示用户身份可信度的“信任登录”值将初始设置为1.0，并将持续监控用户。在会话期间捕获的每个面部图像将与通用用户的模板进行比较，当授权用户已经被强制验证以访问IoT设备时，可以更新通用用户的模板。在区块链技术的最简单形式中，它是一个分布式分类账，交易被匿名记录，其分类账上的信息作为防篡改来源。因此，预定义的置信度阈值否则，设备将被锁定。4. 模拟和结果分析4.1. 以太坊平台设置为了在提议的解决方案中应用以太坊平台，已经对其组件实施了以下配置：每个节点都与EA相关联，以在认证过程中识别自己。F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2507见图12。注册和静态身份验证过程的序列图。以太坊客户端在架构中的所有节点上运行，除了物联网设备，因为它们的资源有限。每个启用的以太坊客户端节点直接与区块链网络交互，并发送交易以运行智能合约每个雾节点都充当其本地物联网设备的代理，并使用它们的地址代表它们执行智能合约因此，物联网设备没有以太坊客户端。Geth 客 户 端 是 一 个 用 Go 语 言 实 现 的 命 令 行 界 面 ， 安 装 在MacBook Pro笔记本电脑中，将其传输到以太坊节点。此外，还安装了web3.js与geth交互，以发送访问通过交易向智能合约发出请求，并接收结果（Githup，xxxx）。此配置专门用于评估用户IoT设备的能耗器械的规格见表4。4.2. 性能分析所提出的解决方案的性能将被分为人脸识别ML模型的性能和整个认证过程的性能。F. Hussain Al-Naji和R. 扎格鲁巴沙特国王大学学报2508表3使用的符号的定义。符号定义EADevice设备的以太坊地址。fog节点的EAFog最终用户的EAUserEthereum地址。令牌用户=（UID，EA用户，EA设备，PK用户，T1，DT）。EPK.使用雾节点的公钥进行雾加密。DPK.使用fog节点的私钥进行Fog解密。EPK.使用最终用户的公钥进行用户加密。DPV.使用最终用户的私钥进行用户解密。由用户建立的RN用户RN用户 * 提取的用户由雾节点建立的RN雾随机数。RN雾