基于轻量级的物联网终端身份安全认证方案

来源:用户上传      作者:张俊峰

　　摘 要：针对5G背景下物联网面临的接入终端复杂、安全形势严峻及终端计算能力低等身份认证问题，文章提出一种基于零空间的轻量级安全身份验证方案（NS-IOT），方案利用终端MAC地址的零空间生成验证信息，满足同等安全性的前提下，具有更小的计算开销，同时在满足高验证可靠性的前提下存储开销和通信开销都有一定的优势，能够很好解决物联网终端身份安全认证问题。
　　关键词：NS-IOT;安全性;计算开销;存储开销;通信开销
　　中图分类号：TP393 文献标识码：A 文章编号：1672-4437（2022）01-0073-04
　　0 引言
　　当前，面对接入设备、组网结构等十分复杂的物联网，从源头开始做好安全防护是一个十分有效的途径，即通过有效接入身份验证机制，对接入到物联网中的终端设备进行身份核实，确保接入物联网的设备都是安全的，则物联网整体安全将得到有效保证。
　　物联网的身份验证协议主要分为五大类，即基于用户账户密码的验证机制、基于MAC地址的验证机制、基于用户公开身份的验证机制、基于用户持有的令牌的验证机制和基于用户生物特征的验证机制。其中基于账户密码的验证机制可借助目前成熟的加密体制，具有一定的可靠性，但是对设备的计算能力要求高，且无法满足抗抵抗性。基于MAC地址的验证机制较密码机制更为简单，对设备的计算能力要求低，但容易发生重放攻击、欺骗攻击。基于用户公开身份的验证机制较基于账户密码的验证机制计算开销较小，但无法满足不可否认性和抵御欺骗攻击。基于令牌的验证机制需要产生验证令牌的设备，这就极大地限制了应用的场景。基于用户生物特征的验证机制可有效抵御欺骗攻击，具有良好的可抵赖性，但该机制需要适用具有相应生物特征的场景，无法满足物联网中更为普遍的终端设备的认证场景。
　　基于区块链的身份验证机制是未来物联网身份验证的主要方式之一，该验证机制可以降低因引入安全验证中心带来的安全问题，在一定程度上提高了系统的安全性，但基于区块链的验证机制采用哈希加密算法，接入物联网的设备都需具有较高的计算能力，而目前接入到物联网的设备大多是计算能力较低的传感器等，这显然限制了基于区块链的身份验证方案的适用范围。另外，基于区块链的身份验证方案要求接入物联网中的每个设备都要参与验证交易，这就降低了低计算能力场景下终端身份验证的效率。
　　基于轻量级的安全有效身份认证机制是解决物联网身份验证问题的关键。Gupta A 等提出了一种基于XOR运算的轻量级验证机制，该机制极大地降低了对终端设备计算能力的要求，但是安全性方面无法满足现有场景下面临的欺骗攻击和截获攻击。骆汉光提出了一种基于T函数和其他函数结合的验证方式，一定程度上提高了T函数安全性，但增加了运算的复杂度。王菲菲、谢忠良分别提出了基于ECC算法的验证机制，其中谢忠良还提出了基于NTRU算法的验证策略。基于ECC算法的验证机制需要做较多的点乘运算，而基于NTRU算法验证机制需采用公钥私钥加密对形式来保证安全性，因此，无论基于ECC算法还是基于NTRU算法的验证机制对物联网中的传感器来说计算开销仍然较大。
　　针对当前5G背景下物联网面临的接入终端复杂、安全形势严峻及终端计算能力低等身份认证问题，本研究提出一种基于零空间的轻量级安全身份验证方案（NS-IOT），方案利用终端设备MAC地址的零空间生成验证信息，在保证安全性的同时极大地降低计算开销，能够很好解决物联网终端身份认证问题。
　　1 NS-IOT方案
　　1.1 NS-IOT方案基本思想
　　NS-IOT方案引入一个独立可靠的认证服务器用来验证物联网中终端设备的身份，这在物联网身份验证场景中普遍存在。NS-IOT方案首先利用终端设备唯一的MAC地址的零空间生成验证向量，验证向量存储在认证服务器端。当终端设备发起验证时，认证服务器向终端设备发送一组随机数，终端设备利用接收到的随机数对MAC地址进行线性组合运算，并将运算后的验证信息发送给认证服务器，认证服务器利用验证向量完成验证。验证过程终端设备只需做简单的线性运算，对终端设备的计算能力要求低，同时能够满足物联网的安全要求。
　　1.2 NS-IOT方案理论依据
　　根据线性代数相关知识，零空间的定义和性质如下：
　　定义1：向量A为有限域中的向量，向量A的零空间为所有解向量组成的集合。
　　性质1：为向量A的零空g，则向量或向量A的线性组合都与矩阵正交，即，其中为有限域中随机非0元素。

nlc202204071904

转载注明来源:https://www.xzbu.com/1/view-15427686.htm