基于輕量級的物聯(lián)網(wǎng)終端身份安全認(rèn)證方案

摘? 要：針對5G背景下物聯(lián)網(wǎng)面臨的接入終端復(fù)雜、安全形勢嚴(yán)峻及終端計算能力低等身份認(rèn)證問題，文章提出一種基于零空間的輕量級安全身份驗證方案（NS-IOT），方案利用終端MAC地址的零空間生成驗證信息，滿足同等安全性的前提下，具有更小的計算開銷，同時在滿足高驗證可靠性的前提下存儲開銷和通信開銷都有一定的優(yōu)勢，能夠很好解決物聯(lián)網(wǎng)終端身份安全認(rèn)證問題。

關(guān)鍵詞：NS-IOT;安全性;計算開銷;存儲開銷;通信開銷

中圖分類號：TP393??? ??????文獻(xiàn)標(biāo)識碼：A?????? ???文章編號：1672-4437（2022）01-0073-04

0 引言

當(dāng)前，面對接入設(shè)備、組網(wǎng)結(jié)構(gòu)等十分復(fù)雜的物聯(lián)網(wǎng)，從源頭開始做好安全防護(hù)是一個十分有效的途徑，即通過有效接入身份驗證機制，對接入到物聯(lián)網(wǎng)中的終端設(shè)備進(jìn)行身份核實，確保接入物聯(lián)網(wǎng)的設(shè)備都是安全的，則物聯(lián)網(wǎng)整體安全將得到有效保證。

物聯(lián)網(wǎng)的身份驗證協(xié)議主要分為五大類，即基于用戶賬戶密碼的驗證機制、基于MAC地址的驗證機制、基于用戶公開身份的驗證機制、基于用戶持有的令牌的驗證機制和基于用戶生物特征的驗證機制。其中基于賬戶密碼的驗證機制可借助目前成熟的加密體制，具有一定的可靠性，但是對設(shè)備的計算能力要求高，且無法滿足抗抵抗性。基于MAC地址的驗證機制較密碼機制更為簡單，對設(shè)備的計算能力要求低，但容易發(fā)生重放攻擊、欺騙攻擊。基于用戶公開身份的驗證機制較基于賬戶密碼的驗證機制計算開銷較小，但無法滿足不可否認(rèn)性和抵御欺騙攻擊。基于令牌的驗證機制需要產(chǎn)生驗證令牌的設(shè)備，這就極大地限制了應(yīng)用的場景。基于用戶生物特征的驗證機制可有效抵御欺騙攻擊，具有良好的可抵賴性，但該機制需要適用具有相應(yīng)生物特征的場景，無法滿足物聯(lián)網(wǎng)中更為普遍的終端設(shè)備的認(rèn)證場景。

基于區(qū)塊鏈的身份驗證機制是未來物聯(lián)網(wǎng)身份驗證的主要方式之一，該驗證機制可以降低因引入安全驗證中心帶來的安全問題，在一定程度上提高了系統(tǒng)的安全性，但基于區(qū)塊鏈的驗證機制采用哈希加密算法，接入物聯(lián)網(wǎng)的設(shè)備都需具有較高的計算能力，而目前接入到物聯(lián)網(wǎng)的設(shè)備大多是計算能力較低的傳感器等，這顯然限制了基于區(qū)塊鏈的身份驗證方案的適用范圍。另外，基于區(qū)塊鏈的身份驗證方案要求接入物聯(lián)網(wǎng)中的每個設(shè)備都要參與驗證交易，這就降低了低計算能力場景下終端身份驗證的效率。

基于輕量級的安全有效身份認(rèn)證機制是解決物聯(lián)網(wǎng)身份驗證問題的關(guān)鍵。Gupta A 等提出了一種基于XOR運算的輕量級驗證機制，該機制極大地降低了對終端設(shè)備計算能力的要求，但是安全性方面無法滿足現(xiàn)有場景下面臨的欺騙攻擊和截獲攻擊。駱漢光提出了一種基于T函數(shù)和其他函數(shù)結(jié)合的驗證方式，一定程度上提高了T函數(shù)安全性，但增加了運算的復(fù)雜度。王菲菲、謝忠良分別提出了基于ECC算法的驗證機制，其中謝忠良還提出了基于NTRU算法的驗證策略。基于ECC算法的驗證機制需要做較多的點乘運算，而基于NTRU算法驗證機制需采用公鑰私鑰加密對形式來保證安全性，因此，無論基于ECC算法還是基于NTRU算法的驗證機制對物聯(lián)網(wǎng)中的傳感器來說計算開銷仍然較大。

針對當(dāng)前5G背景下物聯(lián)網(wǎng)面臨的接入終端復(fù)雜、安全形勢嚴(yán)峻及終端計算能力低等身份認(rèn)證問題，本研究提出一種基于零空間的輕量級安全身份驗證方案（NS-IOT），方案利用終端設(shè)備MAC地址的零空間生成驗證信息，在保證安全性的同時極大地降低計算開銷，能夠很好解決物聯(lián)網(wǎng)終端身份認(rèn)證問題。

1 NS-IOT方案

1.1 NS-IOT方案基本思想

NS-IOT方案引入一個獨立可靠的認(rèn)證服務(wù)器用來驗證物聯(lián)網(wǎng)中終端設(shè)備的身份，這在物聯(lián)網(wǎng)身份驗證場景中普遍存在。NS-IOT方案首先利用終端設(shè)備唯一的MAC地址的零空間生成驗證向量，驗證向量存儲在認(rèn)證服務(wù)器端。當(dāng)終端設(shè)備發(fā)起驗證時，認(rèn)證服務(wù)器向終端設(shè)備發(fā)送一組隨機數(shù)，終端設(shè)備利用接收到的隨機數(shù)對MAC地址進(jìn)行線性組合運算，并將運算后的驗證信息發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器利用驗證向量完成驗證。驗證過程終端設(shè)備只需做簡單的線性運算，對終端設(shè)備的計算能力要求低，同時能夠滿足物聯(lián)網(wǎng)的安全要求。

1.2 NS-IOT方案理論依據(jù)

根據(jù)線性代數(shù)相關(guān)知識，零空間的定義和性質(zhì)如下：

定義1：向量A為有限域中的向量，向量A的零空間為?所有解向量組成的集合。

性質(zhì)1：為向量A的零空間，則向量或向量A的線性組合都與矩陣正交，即，其中為有限域中隨機非0元素。

1.3 NS-IOT方案驗證過程

1.3.1 符號定義

1.3.2 驗證過程

圖1給出了驗證過程流程圖。

2 NS-IOT方案性能分析

2.1 安全性分析

2.1.1 漏檢率

漏檢率，即非授權(quán)終端通過驗證方案驗證的概率，是衡量身份認(rèn)證方案性能的重要指標(biāo)之一，但現(xiàn)有的物聯(lián)網(wǎng)身份認(rèn)證機制中很少對漏檢率進(jìn)行分析，本研究擬對NS-IOT方案的漏檢率進(jìn)行分析。王偉平等給出了基于零空間驗證向量的漏檢率的證明，由此我們得出如下定理：

定理1：在有限域中，非授權(quán)終端通過個線性獨立驗證向量驗證的概率為。

由定理1知，NS-IOT方案可以支持動態(tài)調(diào)整驗證的準(zhǔn)確率，根據(jù)不同的物聯(lián)網(wǎng)應(yīng)用場景對驗證準(zhǔn)確性的需求，動態(tài)調(diào)整參與驗證的驗證向量的個數(shù)，獲得計算開銷和安全性最優(yōu)配置。表2給出了不同個數(shù)驗證向量參與驗證時驗證的漏檢率。

2.1.2 隱私保護(hù)

在NS-IOT方案中，隱私保護(hù)主要包含兩個方面：一是認(rèn)證服務(wù)器能否竊取隱私信息;二是驗證信息傳輸過程中是否發(fā)生隱私泄露。

在認(rèn)證服務(wù)器能否竊取隱私信息方面，NS-IOT方案根據(jù)授權(quán)終端的MAC地址生成驗證向量，并對直接生成的驗證向量進(jìn)行線性組合，將組合后的驗證向量上傳到驗證服務(wù)器，驗證服務(wù)器無法獲取組合的系數(shù)，因此，無法通過驗證向量推出驗證終端的MAC地址信息，即無法竊取隱私信息。

在驗證信息傳輸過程中是否發(fā)生隱私泄露方面，NS-IOT方案在驗證過程中僅需傳輸組合后的驗證向量、響應(yīng)chal及組合后的MAC地址向量，根據(jù)這些信息無法獲取用戶的隱私信息，即驗證信息傳輸過程中不會發(fā)生隱私泄露。

2.1.3 抗網(wǎng)絡(luò)攻擊性

在NS-IOT方案中，當(dāng)終端發(fā)起驗證請求時，認(rèn)證服務(wù)器響應(yīng)一個chal，里面包含組合系數(shù)和時間戳，通過對組合系數(shù)進(jìn)行組合可以防止隱私泄露，通過時間戳可以確保驗證信息傳遞的及時性，有效避免重放攻擊。由于每次驗證都會變更chal中的組合系數(shù)，且組合系數(shù)由認(rèn)證服務(wù)器根據(jù)驗證向量產(chǎn)生，因此，通過chal中組合系數(shù)的變化可以有效抵御偽造攻擊和欺騙攻擊。

綜上所述，NS-IOT方案具有較低的漏檢率，可以有效防止隱私泄露，同時有效抵御重放攻擊、欺騙攻擊和偽造攻擊。

2.2 計算開銷分析

在NS-IOT方案驗證過程中，計算開銷主要來自兩個方面：一是生成驗證信息所需要的計算開銷，記為 ;二是驗證時驗證向量和驗證信息做矩陣乘運算時所需的計算開銷，記為t;NS-IOT方案驗證過程總的計算開銷為，則=t? +t。在驗證過程需要做矩陣乘和矩陣加運算，由于矩陣加運算所需時間可忽略不計，本研究主要分析矩陣乘運算。根據(jù)驗證過程可得：

其中∈表示驗證終端生成驗證信息時對MAC向量做線性組合的次數(shù)，表示參與驗證的線性獨立的驗證向量個數(shù)。

為更直觀比較NS-IOT方案計算開銷情況，本研究以譚琛等提出的DA驗證方案為比較對象，并通過模擬器仿真NS-IOT方案的驗證過程，得出兩種方案驗證時所需運行時間（見表3）。

本研究在模擬器上通過Matlab 7.0進(jìn)行仿真實驗。模擬器配置為：2.5 GHz 英特爾 i5 處理器、 8 GB 內(nèi)存。取1000次運行結(jié)果的平均值為最終運行結(jié)果值。通過實驗仿真結(jié)果可知，NS-IOT方案無論在還是的情況下，驗證過程所需的運行時間都小于DA方案。另外，需要特別指出的是，NS-IOT方案在驗證過程中，驗證終端生成驗證信息所做的矩陣乘運算僅為48∈，在仿真實驗中驗證終端生成驗證信息所需時間僅為0.34ms，因此，NS-IOT方案對驗證終端的計算能力要求低，能夠很好地適應(yīng)物聯(lián)網(wǎng)終端低計算能力的特征。

2.3 存儲開銷

在NS-IOT方案中，存儲開銷指認(rèn)證服務(wù)器端存放驗證向量帶來的存儲開銷，單個驗證向量的大小為48bit，NS-IOT方案支持應(yīng)用場景根據(jù)安全需求動態(tài)調(diào)整驗證向量的個數(shù)，因此本方案的存儲開銷為?bit，以場景為例，存儲開銷大小僅為0.58KB，對現(xiàn)有的物聯(lián)網(wǎng)應(yīng)用場景不會帶來任何存儲開銷上的負(fù)擔(dān)。

2.4 通信開銷

在NS-IOT方案中，通信開銷主要包含上傳驗證向量和發(fā)送驗證信息兩個方面，對于發(fā)送驗證向量的通信開銷為bit，發(fā)送驗證信息的通信開銷為48bit，故該方案總的通信開銷為bit，仍以場景為例，通信開銷大小僅為0.59KB，通信開銷較小，可以有效節(jié)省終端設(shè)備的電力資源，滿足物聯(lián)網(wǎng)對電力供應(yīng)問題的需求。

3 結(jié)語

本研究針對5G背景下的物聯(lián)網(wǎng)終端身份認(rèn)證問題提出了一種基于零空間的輕量級終端身份安全認(rèn)證方案，該方案較已有的其他驗證方案在滿足同等安全性的前提下，具有更小的計算開銷，同時在滿足高驗證可靠性的前提下存儲開銷和通信開銷都有一定的優(yōu)勢。

參考文獻(xiàn)：

[1]閆宏強，王琳杰.物聯(lián)網(wǎng)中認(rèn)證技術(shù)研究[J].通信學(xué)報，2020，41（07）：213-222.

[2]HONG S. Authentication techniques in the Internet of things environment： a survey[J].International Journal of Network Security，2019，21（3）： 462-470.

[3]郭非.物聯(lián)網(wǎng)中若干關(guān)鍵安全問題研究[D].上海：上海交通大學(xué)，2020：79-92.

[4]HONG S.P2P networking based Internet of things （IoT） sensor node authentication by blockchain[J]. Peer-to-Peer Networking and Applications， 2020（13）： 579-589.

[5]LETSOALO E， OJO S.Survey of media access control address spoofing attacks detection and prevention techniques in wireless networks[C]//IST-Africa Week Conference，2016：1-10.

[6]Aman M N，Chua? K C， Sikdar B.Mutual authentication in IoT systems using physical? unclonable functions[J].IEEE Internet of Things Journal， 2017，4（5）：1327-1340.

[7]Gope P，Sikdar B.Lightweight and privacy-preserving two-factor authentication scheme for IoT devices[J]. IEEE Internet of Things Journal， 2018，6（1）：580-589.

[8]Musale P，Baek D，Werellagama N， et al.You Walk， We Authenticate： Lightweight Seamless Authentication Based on Gait in Wearable IoT Systems[J].IEEE Access，2019（7）： 37883-37895.

[9]Sun F， Mao C，F(xiàn)an X， etal.Accelerometer-based speed-adaptive gait authentication method for wearable IoT devices[J]. IEEE Internet of Things Journal， 2018， 6（1）：820-830.

[10]曾詩欽，霍如，黃韜，等.區(qū)塊鏈技術(shù)研究綜述：原理、進(jìn)展與應(yīng)用[J].通信學(xué)報，2020，41（01）：134-151.

[11]魏欣，王心妍，于卓，等.基于聯(lián)盟鏈的物聯(lián)網(wǎng)跨域認(rèn)證[J].軟件學(xué)報，2021，32（08）：2613-2628.

[12]何正源，段田田，張穎，等.物聯(lián)網(wǎng)中區(qū)塊鏈技術(shù)的應(yīng)用與挑戰(zhàn)[J].應(yīng)用科學(xué)學(xué)報，2020，38（01）：22-33.

[13]譚琛，陳美娟，Amuah Ebenezer Ackah.基于區(qū)塊鏈的分布式物聯(lián)網(wǎng)設(shè)備身份認(rèn)證機制研究[J].物聯(lián)網(wǎng)學(xué)報，2020，4（02）：70-77.

[14]Gupta A，Tripathi M，Shaikh T J，et al. A lightweight anonymous user authentication and key establishment scheme for wearable devices[J]. Computer Networks，2019，149：29-42.

[15]駱漢光.面向物聯(lián)網(wǎng)的輕量級安全協(xié)議及關(guān)鍵技術(shù)研究[D].成都：電子科技大學(xué)，2019：32-57.

[16]王菲菲.物聯(lián)網(wǎng)環(huán)境下的認(rèn)證協(xié)議研究[D].北京：北京郵電大學(xué)，2020：17-50.

[17]謝忠良.輕量級的物聯(lián)網(wǎng)設(shè)備安全認(rèn)證策略的研究[D].南京：南京郵電大學(xué)，2020：22-39.

[18]王偉平，張俊峰，王建新.基于零空間的網(wǎng)絡(luò)編碼云存儲完整性校驗方案[J].清華大學(xué)學(xué)報（自然科學(xué)版），2016，56（01）：83-88，96.