物聯(lián)網(wǎng)中認(rèn)證技術(shù)研究

閆宏強(qiáng)，王琳杰

（1.中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心，北京 100190；2.中國科學(xué)院大學(xué)，北京 100049；3.銅仁學(xué)院大數(shù)據(jù)學(xué)院，貴州 銅仁 554300；4.貴州大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025）

1 引言

1.1 物聯(lián)網(wǎng)概念發(fā)展歷程

20 世紀(jì)90 年代，美國麻省理工學(xué)院（MIT,Massachusetts Institute of Technology）的 Kevin Ashton 教授首次提出物聯(lián)網(wǎng)（IoT,Internet of things）的概念[1]。1999 年，MIT 建立了自動識別中心（Auto ID），Kevin Ashton 教授是創(chuàng)建者之一。Auto ID 闡明了物聯(lián)網(wǎng)的基本含義，是指將所有物品通過射頻識別等信息傳感設(shè)備與互聯(lián)網(wǎng)連接起來的網(wǎng)絡(luò)。2005 年，國際電信聯(lián)盟（ITU,International Telecommunication Union）發(fā)布了《ITU 互聯(lián)網(wǎng)報告2005：物聯(lián)網(wǎng)》對“物聯(lián)網(wǎng)”的含義進(jìn)行了擴(kuò)展，指出物聯(lián)網(wǎng)是人和物之間、物和物之間進(jìn)行信息交換的全新通信形式。2017 年發(fā)布的國家標(biāo)準(zhǔn)GB/T 33745-2017《物聯(lián)網(wǎng)術(shù)語》給出物聯(lián)網(wǎng)的定義，即“通過感知設(shè)備，按照約定協(xié)議，連接物、人、系統(tǒng)和信息資源，實現(xiàn)對物理和虛擬世界的信息進(jìn)行處理并做出反應(yīng)的智能服務(wù)系統(tǒng)”，其中，“物”即物理實體。隨著物聯(lián)網(wǎng)的發(fā)展成熟，其內(nèi)涵和外延也在不斷發(fā)生變化，系統(tǒng)一般包含用戶、物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)服務(wù)3 個實體，系統(tǒng)模型如圖1 所示。

圖1 系統(tǒng)模型

1.2 物聯(lián)網(wǎng)發(fā)展現(xiàn)狀與趨勢

近年來，隨著信息通信技術(shù)的變革發(fā)展與創(chuàng)新突破，窄帶物聯(lián)網(wǎng)技術(shù)（NB-IoT,narrow-band IoT）、加強(qiáng)的機(jī)器類型通信（eMTC,enhanced machine-type communication）、遠(yuǎn)距離無線電技術(shù)（LoRa,long range）等低功耗廣域（LPWA,low-power wide-area）技術(shù)和應(yīng)用不斷創(chuàng)新突破，在大數(shù)據(jù)、人工智能等技術(shù)飛速創(chuàng)新發(fā)展的推動下，物聯(lián)網(wǎng)規(guī)模急速壯大，物聯(lián)網(wǎng)應(yīng)用層出不窮，物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速，進(jìn)入黃金發(fā)展階段。

物聯(lián)網(wǎng)中設(shè)備的數(shù)量呈指數(shù)級增長趨勢，這些設(shè)備被廣泛應(yīng)用于公共衛(wèi)生、智能電網(wǎng)、智能交通、垃圾管理、智能家居、智慧城市、智慧農(nóng)業(yè)、能源管理等領(lǐng)域[2-3]。根據(jù)思科[4]基于第三方機(jī)構(gòu)IDC（Internet Data Center）的調(diào)研結(jié)果發(fā)布的一份預(yù)測報告顯示，到2022 年，全球?qū)⒂?86 億臺物聯(lián)網(wǎng)設(shè)備投入使用。文獻(xiàn)[5-6]的報告估計，到2025 年，物聯(lián)網(wǎng)每年創(chuàng)造的價值將達(dá)到數(shù)萬億美元。

據(jù)GSMA Intelligence 于2019 年11 月發(fā)布的第四次年度全球移動趨勢報告《2020 年全球移動趨勢》預(yù)測，到2025 年，全球物聯(lián)網(wǎng)設(shè)備連接數(shù)量將達(dá)252 億臺，年平均增長率達(dá)15%。2019 年《物聯(lián)網(wǎng)技術(shù)行業(yè)應(yīng)用年度研究報告》發(fā)布，預(yù)測到2025 年，我國物聯(lián)網(wǎng)連接數(shù)將達(dá)53.8 億臺。卡巴斯基于2020 年2 月發(fā)布的《物聯(lián)網(wǎng)商業(yè)應(yīng)用成效與挑戰(zhàn)》報告指出，當(dāng)前61%的組織在其業(yè)務(wù)中使用了物聯(lián)網(wǎng)平臺，IT 和電信行業(yè)的使用率更是達(dá)到71%。

1) 物聯(lián)網(wǎng)催生智慧城市等新興應(yīng)用領(lǐng)域。物聯(lián)網(wǎng)的快速發(fā)展催生了智能家居、智慧城市、個人智能穿戴等新興應(yīng)用領(lǐng)域?？ò退够段锫?lián)網(wǎng)商業(yè)應(yīng)用成效與挑戰(zhàn)》報告指出，全球物聯(lián)網(wǎng)增長最快的領(lǐng)域是智慧城市。通過自動感知、數(shù)據(jù)采集、智能控制，物聯(lián)網(wǎng)推動打造智慧城市，在運輸管理、交通控制和視頻監(jiān)控等領(lǐng)域?qū)崿F(xiàn)精細(xì)管理和優(yōu)化服務(wù)，提升城市效率，惠及百姓生活。當(dāng)前，我國許多城市正在推進(jìn)“智慧城市”規(guī)劃，主要應(yīng)用在公共安全、交通、醫(yī)療、社區(qū)、環(huán)保、地下管網(wǎng)監(jiān)測、水務(wù)、教育等領(lǐng)域。這些應(yīng)用均以自動感知為基礎(chǔ)、以數(shù)據(jù)采集為手段、以智能控制為核心，實現(xiàn)了物聯(lián)網(wǎng)技術(shù)的綜合集成應(yīng)用。

2) 物聯(lián)網(wǎng)支撐傳統(tǒng)行業(yè)數(shù)字化轉(zhuǎn)型。物聯(lián)網(wǎng)賦能傳統(tǒng)行業(yè)，促進(jìn)交通、醫(yī)療、物流、工業(yè)、農(nóng)業(yè)、制造業(yè)、安防等行業(yè)數(shù)字化轉(zhuǎn)型。例如，在智能物流領(lǐng)域，通過物聯(lián)網(wǎng)技術(shù)實現(xiàn)對貨物的檢測和運輸車輛的跟蹤，實現(xiàn)了物流運輸、倉儲、配送等各個環(huán)節(jié)的全面感知和分析，提升了物流行業(yè)的運輸效率和智能化水平；在工業(yè)和制造業(yè)領(lǐng)域，工業(yè)物聯(lián)網(wǎng)（IIoT,industrial Internet of things）技術(shù)使企業(yè)將傳感器連接到機(jī)器上，感知萬物信息，并基于大數(shù)據(jù)分析技術(shù)，實現(xiàn)智能決策和判斷，提高生產(chǎn)效率和產(chǎn)能。

2 物聯(lián)網(wǎng)認(rèn)證安全問題與挑戰(zhàn)

物聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展的同時，也帶來了新技術(shù)應(yīng)用的安全風(fēng)險。物聯(lián)網(wǎng)遭到攻擊，可能導(dǎo)致網(wǎng)絡(luò)癱瘓，基于國家安全、人身健康和生命財產(chǎn)安全都可能受到嚴(yán)重威脅和損失。近年來，物聯(lián)網(wǎng)安全攻擊事件日益頻發(fā)，對用戶隱私、數(shù)據(jù)安全、基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全沖擊也越來越突出。根據(jù)Gartner 報告，20%的組織在過去的三年中，至少經(jīng)歷了一次物聯(lián)網(wǎng)攻擊[7]。

2.1 物聯(lián)網(wǎng)安全風(fēng)險點

與傳統(tǒng)互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)的安全問題更加復(fù)雜。一般來說，物聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)主要包括終端接入層、網(wǎng)絡(luò)傳輸層和應(yīng)用服務(wù)層，其安全問題可分為終端、通信網(wǎng)絡(luò)和應(yīng)用服務(wù)的風(fēng)險。

終端安全的風(fēng)險主要表現(xiàn)在終端的物理安全、網(wǎng)絡(luò)通信及結(jié)構(gòu)安全、數(shù)據(jù)泄露、安全漏洞等[8-9]。如果終端被黑客利用或控制，還有可能成為Mirai僵尸網(wǎng)絡(luò)[10-11]等安全威脅。通信網(wǎng)絡(luò)的風(fēng)險主要表現(xiàn)為無線數(shù)據(jù)的傳輸鏈路安全、非授權(quán)接入和訪問網(wǎng)絡(luò)等方面。應(yīng)用服務(wù)由于其服務(wù)器存儲大量數(shù)據(jù)、應(yīng)用邏輯多樣等特點，易被黑客利用系統(tǒng)的基礎(chǔ)環(huán)境及組件存在的漏洞發(fā)起攻擊。

據(jù)Gartner 的另一項研究顯示，2018 年全球企業(yè)在物聯(lián)網(wǎng)安全方面的損失達(dá)到15 億美元。據(jù)估計，到2022 年，用于故障補(bǔ)救、安全故障和召回等方面的預(yù)算資金將達(dá)到各個公司用于安全保護(hù)預(yù)算的一半[12]。近年來，全球發(fā)生諸多物聯(lián)網(wǎng)安全事件。2016 年10 月，攻擊者利用攝像頭安全漏洞，通過惡意軟件對美國西海岸大批攝像頭進(jìn)行控制，進(jìn)而對域名系統(tǒng)（DNS,domain name system）服務(wù)器發(fā)起分布式拒絕服務(wù)攻擊，導(dǎo)致大面積通信癱瘓。2017 年，1 000 余臺利盟（Lexmark）打印機(jī)在線暴露，研究人員確認(rèn)這些打印機(jī)均沒有設(shè)置密碼保護(hù)，涉及眾多國家政府部門。這意味著攻擊者一旦在互聯(lián)網(wǎng)上發(fā)現(xiàn)這些打印機(jī)，便可執(zhí)行各種攻擊操作，如添加后門、劫持打印作業(yè)等。2018 年，西班牙某工控物聯(lián)網(wǎng)設(shè)備制造商將投向市場的某款電動汽車智能充電系統(tǒng)大范圍暴露在公網(wǎng)之上，且存在未授權(quán)訪問的漏洞。若存在攻擊者，其不僅可以獲取敏感信息，甚至可執(zhí)行固件升級等操作。2019 年12 月，美國密西西比州一間房屋的智能攝像頭遭入侵，黑客不僅與屋內(nèi)人對話，還可以看到屋里的一舉一動，用戶隱私和生活秩序受到嚴(yán)重威脅。

2.2 物聯(lián)網(wǎng)認(rèn)證流程

認(rèn)證是用戶和設(shè)備接入物聯(lián)網(wǎng)系統(tǒng)的第一步，是確保信息資源被合法訪問的重要保障。一個基本的用戶相互身份認(rèn)證方案基本由圖2 所示步驟中的兩步、三步或者全部步驟構(gòu)成。

在系統(tǒng)的初始階段，每個用戶都有自己的身份IDi和相對應(yīng)的初始密鑰ki，(IDi,ki)保存在云服務(wù)器中，用于最初的身份確認(rèn)和后期的身份認(rèn)證服務(wù)。

1) 用戶使用自己的身份IDi向云服務(wù)器發(fā)送會話請求。

2) 云服務(wù)器從自己存儲的數(shù)據(jù)名單中查找IDi及相對的初始密鑰ki，隨機(jī)選擇新的通話密鑰，用μkey和隨機(jī)數(shù)ir通過預(yù)存公式求得iy（例如），然后使用密鑰ki利用輕量級密碼算法LigwEnc 計算并發(fā)送給用戶。

3) 用戶收到iY后，利用自己的初始密鑰ki可計算得到μkey。隨機(jī)選擇zi，用zi和iy通過預(yù)存公式計算ip，然后用新密鑰μkey計算并發(fā)給云服務(wù)器。

4) 云服務(wù)器收到Zi后用密鑰μkey解密得到zi，計算LigwEnc {ki,(μkey|zi)}并發(fā)給用戶。

通過上述過程，可以完成用戶和云服務(wù)器的相互認(rèn)證。

2.3 物聯(lián)網(wǎng)認(rèn)證安全問題與挑戰(zhàn)

物聯(lián)網(wǎng)設(shè)備的可信認(rèn)證是確保信息資源被合法訪問的第一道關(guān)口。物聯(lián)網(wǎng)認(rèn)證機(jī)制的安全目標(biāo)是認(rèn)證數(shù)據(jù)發(fā)送者身份信息的真實性，確保特定數(shù)據(jù)的有效性和數(shù)據(jù)完整性，確保接收數(shù)據(jù)的新鮮性，確保其沒有重放過時的數(shù)據(jù)。提供可靠的用戶和設(shè)備的身份接入認(rèn)證和管理解決方案，能確保物聯(lián)網(wǎng)設(shè)備的安全連接，給設(shè)備使用者提供安全授權(quán)訪問。

圖2 認(rèn)證方案模型

由于物聯(lián)網(wǎng)中的設(shè)備存在著對計算能力、內(nèi)存存儲要求、動態(tài)安全更新及物理變量捕捉的保護(hù)等方面的挑戰(zhàn)，以及設(shè)備本身存在的一些局限性（有限的計算能力和存儲空間、資源限制需求和支持動態(tài)更新等），使傳統(tǒng)的計算機(jī)認(rèn)證協(xié)議不能直接在物聯(lián)網(wǎng)設(shè)備中使用，從而導(dǎo)致物聯(lián)網(wǎng)面臨一些安全問題和挑戰(zhàn)[13-15]。物聯(lián)網(wǎng)設(shè)備易被攻擊者利用，來獲取用戶的身份認(rèn)證信息，進(jìn)而偽造用戶身份或通信節(jié)點，并向其他物聯(lián)網(wǎng)終端設(shè)備、接入網(wǎng)關(guān)等進(jìn)行入侵和攻擊。

1) 有限的計算能力和存儲空間

在物聯(lián)網(wǎng)環(huán)境中，互聯(lián)設(shè)備（如物聯(lián)網(wǎng)傳感器）往往配置了低速處理器和有限的內(nèi)存存儲。這些設(shè)備不能執(zhí)行需要高計算能力和高內(nèi)存存儲的昂貴計算操作，因此，設(shè)計一個能最大限度降低資源消耗（計算存儲和內(nèi)存存儲）和最大限度提高安全性能的解決方案變得很有挑戰(zhàn)性。鑒于此，在為這樣的環(huán)境設(shè)計用戶身份認(rèn)證方案時，可以使用輕量級的加密操作，例如，高級加密標(biāo)準(zhǔn)（AES,advanced encryption standard）算法[13]、異或操作[16]、加密單向哈希函數(shù)[17]和橢圓曲線[18]。

2) 資源限制需求

在某些給定的環(huán)境中，大多數(shù)物聯(lián)網(wǎng)設(shè)備的設(shè)計尺寸都很小，其固有的資源（電池、處理和存儲）有限。當(dāng)不需要工作時，這些設(shè)備將自動打開省電模式來節(jié)約能源，但是，由于電池資源存儲量的局限性，導(dǎo)致的主要挑戰(zhàn)是為高度受限的設(shè)備開發(fā)輕量級的安全機(jī)制。因此，為這種在資源受限環(huán)境中工作的設(shè)備設(shè)計一種用戶認(rèn)證方案時，最好采用輕量級的密碼體制，如AES 算法和加密單向哈希函數(shù)[13,16-17]。

3) 支持動態(tài)更新

為了克服現(xiàn)有某些方案的安全漏洞，需要保持最新的安全方案，因此就要進(jìn)行方案計劃的不定時更新。例如，在新智能設(shè)備添加或刪除某些相連設(shè)備時，需要更新這個設(shè)備存儲[16,18]。因此，設(shè)計一種既支持動態(tài)安裝或更新又不影響安全性的方案，也是一個具有挑戰(zhàn)性的任務(wù)。

3 物聯(lián)網(wǎng)認(rèn)證技術(shù)

3.1 認(rèn)證技術(shù)簡介

物聯(lián)網(wǎng)應(yīng)用中，通過身份認(rèn)證來識別用戶、設(shè)備并限制非授權(quán)用戶非法操縱設(shè)備。在物聯(lián)網(wǎng)中，組件之間可以相互通信，并且可以共享數(shù)據(jù)，這就要求每個用戶或設(shè)備都能夠?qū)ζ渌麑ο蠛驮O(shè)備進(jìn)行身份認(rèn)證。文獻(xiàn)[19]中給出了幾種常用的身份認(rèn)證模型，如圖3 所示，模型描述如表1 所示。在大多數(shù)情況下，網(wǎng)關(guān)節(jié)點（GWN,gateway node）無法直接使用用戶發(fā)送的信息進(jìn)行身份認(rèn)證，這時遠(yuǎn)程部署的傳感器節(jié)點可以幫助它們完成身份認(rèn)證。

圖3 物聯(lián)網(wǎng)網(wǎng)絡(luò)認(rèn)證模型

另外，在物聯(lián)網(wǎng)中對跨異域設(shè)備進(jìn)行身份認(rèn)證也是一個巨大挑戰(zhàn)。現(xiàn)有的方案依賴于用戶名和密碼，或者只使用單一的身份認(rèn)證模式，可能這不是處理物聯(lián)網(wǎng)異構(gòu)性所需的合適解決方案，主要的原因是它很容易被破壞[20]。物聯(lián)網(wǎng)中的設(shè)備在使用時有很多限制，如低功耗、有限的內(nèi)存、移動性和支持多個網(wǎng)絡(luò)協(xié)議[21]，基于這些原因，認(rèn)證技術(shù)被認(rèn)為是物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)，通過了可信認(rèn)證的物聯(lián)網(wǎng)設(shè)備對網(wǎng)絡(luò)的正常運行至關(guān)重要[22]。

表1 物聯(lián)網(wǎng)網(wǎng)絡(luò)認(rèn)證模型描述

3.2 物聯(lián)網(wǎng)認(rèn)證協(xié)議的類型

在物聯(lián)網(wǎng)中，身份認(rèn)證是認(rèn)證用戶和設(shè)備節(jié)點可信身份的過程，該過程十分重要，可以保護(hù)物聯(lián)網(wǎng)免受非法入侵和攻擊。然而，由于不同的協(xié)議對認(rèn)證的設(shè)計和保護(hù)機(jī)制各不相同，以及物聯(lián)網(wǎng)低成本、低功耗、小存儲和異構(gòu)性等局限性，導(dǎo)致很多傳統(tǒng)計算機(jī)網(wǎng)絡(luò)中的身份認(rèn)證機(jī)制無法在物聯(lián)網(wǎng)中使用，因此需要設(shè)計符合物聯(lián)網(wǎng)場景的身份認(rèn)證方案。研究人員設(shè)計了數(shù)千種身份認(rèn)證協(xié)議，根據(jù)文獻(xiàn)[23]的分析基本可分為基于密碼的身份認(rèn)證、基于媒體訪問控制（MAC,media access control）地址的認(rèn)證、基于用戶公開身份的身份認(rèn)證、基于令牌的認(rèn)證和基于生物特征的認(rèn)證等。圖4 給出了物聯(lián)網(wǎng)中身份認(rèn)證的分類。

3.2.1 基于密碼的身份認(rèn)證

基于密碼的身份認(rèn)證是認(rèn)證用戶或設(shè)備的一種常見的方法。該認(rèn)證模式需要用戶提供一個唯一的ID 和密碼，該ID 和密碼組合存儲在身份認(rèn)證服務(wù)器的數(shù)據(jù)庫中。當(dāng)用戶提供了ID 和密碼的組合時，協(xié)議將匹配所提供的組合和保存的憑據(jù)，如果匹配，則協(xié)議允許用戶或設(shè)備執(zhí)行所需的操作。該認(rèn)證方式可以抵抗重放攻擊、中間攻擊、側(cè)信道攻擊等攻擊，但是也存在以下缺點：需要額外的應(yīng)用程序或協(xié)議來連接、不能抵抗可抵賴攻擊、依靠復(fù)雜的計算、高安全性依靠高功耗和高處理代價、無法用于沒有鍵盤鼠標(biāo)等輸入設(shè)備的物聯(lián)網(wǎng)設(shè)備中。此項技術(shù)主要用于服務(wù)器/客戶端身份認(rèn)證環(huán)境。

3.2.2 基于MAC 地址的認(rèn)證

基于MAC 地址的認(rèn)證是通過使用MAC 地址的模式進(jìn)行認(rèn)證的，MAC 地址是分配給網(wǎng)絡(luò)接口的標(biāo)識地址，主要用于內(nèi)部網(wǎng)環(huán)境中的網(wǎng)絡(luò)訪問控制。當(dāng)設(shè)備請求訪問網(wǎng)絡(luò)時，將服務(wù)器中注冊的MAC 地址與從設(shè)備請求的消息發(fā)送的MAC 地址進(jìn)行比較，從而進(jìn)行身份認(rèn)證的過程，它比基于密碼的身份認(rèn)證方法更簡單、更快[24]。但是，隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加，如果超出了MAC 地址格式的最大標(biāo)記數(shù)量，則需要定義新的地址格式標(biāo)準(zhǔn)。此外，由于MAC 地址容易被偽造，因此容易受到偽造等欺騙行為的攻擊[25]。

3.2.3 基于用戶公開身份的身份認(rèn)證

基于用戶公開身份的身份認(rèn)證是一個使用用戶（客戶端）ID 的公鑰密碼系統(tǒng)，它的公鑰包括電子郵件地址、名稱、公開的IP 地址和簽名，該方案在實現(xiàn)安全性的同時還提供身份認(rèn)證。該模式具有密鑰分配獨立、算術(shù)運算量小、密鑰長度相對較短等優(yōu)點，但也存在易受身份欺騙攻擊和不滿足不可否認(rèn)性的缺點。

3.2.4 基于令牌的認(rèn)證

令牌是由身份認(rèn)證服務(wù)器創(chuàng)建的一段數(shù)據(jù)，用于唯一地標(biāo)識用戶或設(shè)備。該種身份認(rèn)證分為2 種方式，一種是服務(wù)器填充一次性密碼并將其發(fā)送到注冊的通信媒體，該媒體與該賬戶相關(guān)聯(lián)，并保留已傳輸?shù)囊淮涡悦艽a的副本；服務(wù)器通過對該一次性密碼與存儲的一次性密碼進(jìn)行匹配而進(jìn)行身份認(rèn)證。另一種是在系統(tǒng)中嵌入一段信息以進(jìn)行自我認(rèn)證的小型設(shè)備或卡片，該系統(tǒng)都將對服務(wù)器的每個請求基于令牌的正確組合進(jìn)行響應(yīng)。

圖4 物聯(lián)網(wǎng)中身份認(rèn)證的分類

令牌身份認(rèn)證設(shè)備，比如加密狗、智能卡和射頻識別（RFID,radio frequency identification）芯片等，一般具有便于隨身攜帶、價格相對便宜、簡易性等優(yōu)點，其記錄的信息具有高可靠性與高保密性，因此令牌身份認(rèn)證設(shè)備在實踐中被廣泛接受和使用。但是以該協(xié)議為基礎(chǔ)的制成設(shè)備也存在一些不足，如不能實現(xiàn)用戶的可追蹤性、保證前向安全性、難以抵抗密碼猜測攻擊等。

3.2.5 基于生物特征的認(rèn)證

生物特征的認(rèn)證是基于人的生物學(xué)特性進(jìn)行的，該方案是利用特定的生物掃描儀從用戶收集獨特的生物數(shù)據(jù)，并與通過注冊過程收集的存儲數(shù)據(jù)相匹配。常用的生物特征包括指紋認(rèn)證、人臉認(rèn)證、虹膜認(rèn)證、視網(wǎng)膜認(rèn)證、手勢認(rèn)證和語音認(rèn)證等。其中，虹膜認(rèn)證方法是使用數(shù)學(xué)模式來識別一個或2 個虹膜，這對個人來說是獨一無二的。同樣，指紋認(rèn)證在物聯(lián)網(wǎng)機(jī)制中也很常見，通過預(yù)先在服務(wù)器中保留相同的信息來檢查人類手指的紋路。

由于生物特征的獨一無二性，基于該特征的認(rèn)證技術(shù)可以抵抗竊聽、冒充、拒絕服務(wù)等攻擊。但是該認(rèn)證方式也存在局限性，例如認(rèn)證需要特定的生物特征設(shè)備、系統(tǒng)管理和建設(shè)成本比較高、工作范圍常常受限（比如指紋和刷臉認(rèn)證距離往往限于0.5～1 m）等。另外，隨著技術(shù)的快速發(fā)展，某些時候生物識別特征也變得容易被偽造，為此需要開發(fā)不易偽造的生物識別技術(shù)。

3.3 不同應(yīng)用認(rèn)證技術(shù)對比分析

3.3.1 RFID 技術(shù)

RFID 是一種無線技術(shù)，通常由RFID 標(biāo)簽和RFID 閱讀器兩部分組成。RFID 通常用于供應(yīng)鏈、醫(yī)療、氣候傳感等領(lǐng)域[22]。

由于采用RFID 的物聯(lián)網(wǎng)設(shè)備CPU 結(jié)構(gòu)簡單、存儲容量小、計算能力弱，無法使用復(fù)雜的加密算法來進(jìn)行身份認(rèn)證。文獻(xiàn)[26-27]提出了基于RFID物聯(lián)網(wǎng)應(yīng)用程序的相互身份認(rèn)證方案，方案中使用了輕量級加密算法，可以加快認(rèn)證速度、降低計算成本、增加安全存儲能力。

Gope 等[17]提出了一種應(yīng)用于物聯(lián)網(wǎng)的解決匿名的輕量級RFID 身份認(rèn)證方案。該方案基于網(wǎng)絡(luò)模型的4 個實體，包括2 個服務(wù)器（即得到認(rèn)證的云和后端數(shù)據(jù)庫）、讀取器和RFID 標(biāo)簽。該方案以不可鏈接的匿名身份、備用密鑰及哈希函數(shù)為基礎(chǔ)，可以抵抗重播攻擊、偽造攻擊、克隆攻擊、拒絕服務(wù)（DoS,denial of service）攻擊和位置跟蹤攻擊等。除此之外，該方案可以實現(xiàn)相互身份認(rèn)證、標(biāo)簽?zāi)涿?、可用性和可伸縮性、假數(shù)據(jù)注入攻擊等安全屬性。

相互認(rèn)證是保護(hù)隱私的有效方式，實現(xiàn)RFID標(biāo)簽和閱讀器之間的相互認(rèn)證時，既要使用匿名技術(shù)處理設(shè)備標(biāo)簽信息，又要使用輕量級加密算法實現(xiàn)輕量級的認(rèn)證。在未來的研究中，人們可以使用輕量級加密算法（如橢圓曲線加密），既實現(xiàn)匿名化處理又實現(xiàn)輕量級加密。

3.3.2 智能電網(wǎng)

智能電網(wǎng)以其高效性和方便性在傳統(tǒng)電網(wǎng)領(lǐng)域占據(jù)優(yōu)勢，但其仍然面臨著各種安全挑戰(zhàn)。

文獻(xiàn)[28-29]分別提出了基于默克爾樹和基于哈希消息認(rèn)證碼（HMAC,hash-based message authentication code）的輕量級密碼認(rèn)證方案。文獻(xiàn)[30-31]通過使用輕量級的Diffie-Hellman 密碼體制，實現(xiàn)了智能電表與其他系統(tǒng)組件相互認(rèn)證。為了解決一些性能和安全方面的挑戰(zhàn)，許多學(xué)者一直在研究輕量級的低存儲成本和密鑰管理的密鑰體制，文獻(xiàn)[32-34]討論了基于HMAC 和同態(tài)加密技術(shù)用于智能電網(wǎng)的多播認(rèn)證一次性簽名，減少了交換的數(shù)據(jù)量，通過隱藏智能電表的身份而保證隱私性。

通過上述的研究發(fā)現(xiàn)，智能電網(wǎng)中利用輕量級加密算法是實現(xiàn)輕量級認(rèn)證的關(guān)鍵，在兼顧隱私性的基礎(chǔ)上，智能電網(wǎng)系統(tǒng)中的輕量級認(rèn)證方案可以大致利用下面的密碼體制類型：1) 使用輕量級加密算法，如橢圓曲線加密；2) 將哈希函數(shù)與隨機(jī)數(shù)或時間戳相結(jié)合；3) 使用簡單的位操作。

3.3.3 車聯(lián)網(wǎng)

將汽車連接到互聯(lián)網(wǎng)上，形成汽車網(wǎng)絡(luò)或車聯(lián)網(wǎng)。車輛認(rèn)證是車聯(lián)網(wǎng)系統(tǒng)中的一個具有挑戰(zhàn)性的課題。

文獻(xiàn)[35]提出了一種協(xié)作消息認(rèn)證方案，既減少了消息認(rèn)證的開銷，又降低了認(rèn)證的時延。文獻(xiàn)[36]提出了一種認(rèn)證方案，來自多個車輛的請求可以分批進(jìn)行認(rèn)證，而不是逐個進(jìn)行。文獻(xiàn)[37]基于修改的DSA（digital signature algorithm）和ECDSA（elliptic curve digital signature algorithm）簽名提出了一種由不同簽名者和單個簽名者生成的多個簽名的批量認(rèn)證方法，該認(rèn)證方法比單獨認(rèn)證快7 倍。

保證車輛身份信息的機(jī)密性和匿名性是車聯(lián)網(wǎng)的一個關(guān)鍵課題，需要開發(fā)既能保護(hù)隱私安全又能相互認(rèn)證的密碼體制。

3.3.4 智能家居

在智能家居中，用戶使用移動設(shè)備或個人電腦實現(xiàn)與智能家居設(shè)備之間的相互認(rèn)證，從而實現(xiàn)遠(yuǎn)程控制、監(jiān)控和訪問。

Miettinen 等[38]提出了一種基于上下文的設(shè)備互認(rèn)證協(xié)議，該協(xié)議使用設(shè)備的相同位置作為共享機(jī)密，不需要輸入密碼，并且與其他解決方案相比具有顯著的可用性。Sun 等[39]開發(fā)了一種允許智能家居用戶通過網(wǎng)絡(luò)遠(yuǎn)程與終端設(shè)備進(jìn)行通信的方案，方案除了建立安全連接外，還允許通信雙方進(jìn)行相互認(rèn)證，以建立數(shù)據(jù)的保密性。Jan 等[40]提出一種基于約束應(yīng)用協(xié)議（CoAP,constrained application protocol）輕量級特性的物聯(lián)網(wǎng)相互認(rèn)證協(xié)議，作為客戶端與服務(wù)器端通信的應(yīng)用層協(xié)議。協(xié)議中利用AES 密碼的優(yōu)點，提供了安全的通信通道，使客戶端和服務(wù)器利用大小為256 位的有效負(fù)載加密消息，通過交換有效負(fù)載進(jìn)行認(rèn)證，從而對彼此身份進(jìn)行雙向認(rèn)證。

表2 總結(jié)了不同應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)身份認(rèn)證方案，根據(jù)本節(jié)提出的分類方法進(jìn)行了分類，并總結(jié)了它們的認(rèn)證協(xié)議。通過上述研究發(fā)現(xiàn)，協(xié)議中相互認(rèn)證的實現(xiàn)并不需要新的加密算法和技術(shù)，但是設(shè)計一個適合資源受限的物聯(lián)網(wǎng)設(shè)備的認(rèn)證體制，仍然是一個新的挑戰(zhàn)。

表2 物聯(lián)網(wǎng)不同應(yīng)用領(lǐng)域認(rèn)證方案的分析

4 物聯(lián)網(wǎng)安全認(rèn)證機(jī)制的新趨勢

目前，互聯(lián)網(wǎng)企業(yè)也對物聯(lián)網(wǎng)安全身份認(rèn)證方面進(jìn)行了積極探索，如阿里云推出的Link ID2 物理網(wǎng)身份認(rèn)證安全解決方案，采用預(yù)共享密鑰的對稱密鑰機(jī)制+證書方式的非對稱密鑰機(jī)制來實現(xiàn)設(shè)備級的雙向認(rèn)證。騰訊提出的基于硬件和密碼學(xué)算法的下一代用戶身份認(rèn)證標(biāo)準(zhǔn)TUSI（Tencent user security infrastructure），TUSI 采用PKI 以及非對稱密鑰技術(shù)，向物聯(lián)網(wǎng)行業(yè)推行新的身份認(rèn)證標(biāo)準(zhǔn)。

文獻(xiàn)[53]對現(xiàn)有的攻擊、威脅及最新的解決方案進(jìn)行總結(jié)，并以開發(fā)基于區(qū)塊鏈的物聯(lián)網(wǎng)應(yīng)用進(jìn)行了全面的綜述，認(rèn)為區(qū)塊鏈?zhǔn)墙鉀Q物聯(lián)網(wǎng)安全問題的基礎(chǔ)技術(shù)。區(qū)塊鏈最大的特點是“不可篡改”和“去中心化”，從技術(shù)核心來看，區(qū)塊鏈?zhǔn)且环N基于密碼學(xué)原理的分布式共識賬本技術(shù)。就密碼學(xué)而言，區(qū)塊鏈?zhǔn)褂昧嘶赟HA-256 和RIPEMD-160的哈希算法、基于橢圓曲線加密的密鑰生成算法和非對稱加密算法。未來將區(qū)塊鏈技術(shù)應(yīng)用到物聯(lián)網(wǎng)中，可以有效提升物聯(lián)網(wǎng)設(shè)備的身份認(rèn)證能力。

沈昌祥院士提出可信計算已經(jīng)發(fā)展到“可信計算3.0”時代，物聯(lián)網(wǎng)需要加快安全可信的可信計算3.0 推廣應(yīng)用，筑牢基于5G 的安全可信防線[54]?；诳尚庞嬎愫偷燃壉Ｗo(hù)的協(xié)同合作，把每個等級、每個環(huán)節(jié)基于可信任的安全認(rèn)證作為根本的保障措施，利用等級保護(hù)的框架、感知域、計算域、邊界與隔離，能更好地解決物聯(lián)網(wǎng)安全問題。

鑒于物聯(lián)網(wǎng)設(shè)備本身資源有限，導(dǎo)致傳統(tǒng)計算機(jī)網(wǎng)絡(luò)的安全機(jī)制無法與物聯(lián)網(wǎng)環(huán)境完全集成。因此，對于微型嵌入式設(shè)備，應(yīng)該開發(fā)有效的安全解決方案，而對于智能設(shè)備的設(shè)計和研究，應(yīng)注重檢測和從攻擊中恢復(fù)的自主性。同時，為了應(yīng)對物聯(lián)網(wǎng)的安全挑戰(zhàn)，如信任管理、識別、認(rèn)證、隱私、訪問控制和機(jī)密性等，需要新的軟/硬件技術(shù)及識別機(jī)制，還應(yīng)該考慮密鑰管理的有效性。

5 結(jié)束語

本文根據(jù)物聯(lián)網(wǎng)認(rèn)證方案的相似點和主要特點，匯總分析了主要的物聯(lián)網(wǎng)身份認(rèn)證方案。物聯(lián)網(wǎng)安全認(rèn)證協(xié)議應(yīng)具備以下3 個特點：輕量級、隱私保護(hù)和相互認(rèn)證[55]。在本文的工作中，通過物聯(lián)網(wǎng)不同的應(yīng)用方面，基于物聯(lián)網(wǎng)不同的應(yīng)用場景和物聯(lián)網(wǎng)設(shè)備具備的不同安全能力來分析各種物聯(lián)網(wǎng)認(rèn)證協(xié)議的特征，針對不同的外部安全威脅提出安全需求，這種分類旨在實現(xiàn)一種安全的物聯(lián)網(wǎng)環(huán)境。

通過對大量認(rèn)證協(xié)議/方案的分析，本文認(rèn)為，未來研究人員和開發(fā)人員在開發(fā)物聯(lián)網(wǎng)網(wǎng)絡(luò)和應(yīng)用的新認(rèn)證方案時，需要考慮以下問題。

1) 輕量級。設(shè)計認(rèn)證方案時，在保證方案安全性的前提下，考慮到傳感器（在內(nèi)存、處理能力、電池等方面受到限制）是主要的終端設(shè)備，因此所提出的協(xié)議必須是輕量級的，以降低方案的計算成本、通信成本和存儲成本，在成本和安全之間取得平衡。同時，由于所使用的無線通信協(xié)議的帶寬有限，消息分組的大小也應(yīng)該盡可能小。比如在智能家居和RFID 中的應(yīng)用。

2) 安全。由于存在各種已知和潛在的攻擊（如女巫攻擊、節(jié)點捕獲、重播、密碼猜測、消息偽造、蠻力、中間人、拒絕服務(wù)、選擇明文等），因此需要結(jié)合攻擊威脅水平，考慮和分析認(rèn)證協(xié)議的穩(wěn)健性。

3) 認(rèn)證效率。在某些物聯(lián)網(wǎng)應(yīng)用中，實時超高速身份認(rèn)證是此類資源受限設(shè)備面臨的另一個挑戰(zhàn)。特別是在車聯(lián)網(wǎng)中，需要設(shè)計考慮低時延的超高速認(rèn)證。

4) 軟/硬件結(jié)合。與軟件安全方法相比，物理上不可執(zhí)行的函數(shù)是一個不可克隆的單向函數(shù)，它可以實現(xiàn)身份認(rèn)證、訪問控制和可跟蹤性。因此可以考慮軟件解決方案（更低的成本）和硬件解決方案（更安全）的組合，為物聯(lián)網(wǎng)系統(tǒng)設(shè)計一種輕量級的保護(hù)隱私的身份認(rèn)證方案。

5) 可擴(kuò)展性。由于物聯(lián)網(wǎng)是由不同通信范式和應(yīng)用領(lǐng)域組成的大規(guī)模異構(gòu)網(wǎng)絡(luò)，因此不同的網(wǎng)絡(luò)具有各自的需求和能力。因此，物聯(lián)網(wǎng)認(rèn)證方案應(yīng)該是可擴(kuò)展的，它可以管理大量的節(jié)點，并能夠添加新的節(jié)點，而不需要進(jìn)一步地設(shè)置或配置。另外，在物聯(lián)網(wǎng)環(huán)境下的端到端身份認(rèn)證機(jī)制中，設(shè)備身份的認(rèn)證方案應(yīng)該具有跨不同域的可伸縮性。

6) 認(rèn)證機(jī)制。隨著物聯(lián)網(wǎng)設(shè)備的增加，物聯(lián)網(wǎng)網(wǎng)絡(luò)變得容易受到硬件缺陷的影響，因此在部署物聯(lián)網(wǎng)設(shè)備之前，最好先在硬件上采用安全性機(jī)制，執(zhí)行數(shù)據(jù)分組的處理等操作。否則，一旦大批量物聯(lián)網(wǎng)設(shè)備部署到物聯(lián)網(wǎng)環(huán)境中，就很難解決發(fā)現(xiàn)的漏洞。因此，需要一種有效的認(rèn)證機(jī)制實現(xiàn)全面的物聯(lián)網(wǎng)安全。