基于輕量級的物聯(lián)網終端身份安全認證方案

摘? 要：針對5G背景下物聯(lián)網面臨的接入終端復雜、安全形勢嚴峻及終端計算能力低等身份認證問題，文章提出一種基于零空間的輕量級安全身份驗證方案（NS-IOT），方案利用終端MAC地址的零空間生成驗證信息，滿足同等安全性的前提下，具有更小的計算開銷，同時在滿足高驗證可靠性的前提下存儲開銷和通信開銷都有一定的優(yōu)勢，能夠很好解決物聯(lián)網終端身份安全認證問題。

關鍵詞：NS-IOT;安全性;計算開銷;存儲開銷;通信開銷

中圖分類號：TP393??? ??????文獻標識碼：A?????? ???文章編號：1672-4437（2022）01-0073-04

0 引言

當前，面對接入設備、組網結構等十分復雜的物聯(lián)網，從源頭開始做好安全防護是一個十分有效的途徑，即通過有效接入身份驗證機制，對接入到物聯(lián)網中的終端設備進行身份核實，確保接入物聯(lián)網的設備都是安全的，則物聯(lián)網整體安全將得到有效保證。

物聯(lián)網的身份驗證協(xié)議主要分為五大類，即基于用戶賬戶密碼的驗證機制、基于MAC地址的驗證機制、基于用戶公開身份的驗證機制、基于用戶持有的令牌的驗證機制和基于用戶生物特征的驗證機制。其中基于賬戶密碼的驗證機制可借助目前成熟的加密體制，具有一定的可靠性，但是對設備的計算能力要求高，且無法滿足抗抵抗性?；贛AC地址的驗證機制較密碼機制更為簡單，對設備的計算能力要求低，但容易發(fā)生重放攻擊、欺騙攻擊。基于用戶公開身份的驗證機制較基于賬戶密碼的驗證機制計算開銷較小，但無法滿足不可否認性和抵御欺騙攻擊?；诹钆频尿炞C機制需要產生驗證令牌的設備，這就極大地限制了應用的場景。基于用戶生物特征的驗證機制可有效抵御欺騙攻擊，具有良好的可抵賴性，但該機制需要適用具有相應生物特征的場景，無法滿足物聯(lián)網中更為普遍的終端設備的認證場景。

基于區(qū)塊鏈的身份驗證機制是未來物聯(lián)網身份驗證的主要方式之一，該驗證機制可以降低因引入安全驗證中心帶來的安全問題，在一定程度上提高了系統(tǒng)的安全性，但基于區(qū)塊鏈的驗證機制采用哈希加密算法，接入物聯(lián)網的設備都需具有較高的計算能力，而目前接入到物聯(lián)網的設備大多是計算能力較低的傳感器等，這顯然限制了基于區(qū)塊鏈的身份驗證方案的適用范圍。另外，基于區(qū)塊鏈的身份驗證方案要求接入物聯(lián)網中的每個設備都要參與驗證交易，這就降低了低計算能力場景下終端身份驗證的效率。

基于輕量級的安全有效身份認證機制是解決物聯(lián)網身份驗證問題的關鍵。Gupta A 等提出了一種基于XOR運算的輕量級驗證機制，該機制極大地降低了對終端設備計算能力的要求，但是安全性方面無法滿足現(xiàn)有場景下面臨的欺騙攻擊和截獲攻擊。駱漢光提出了一種基于T函數和其他函數結合的驗證方式，一定程度上提高了T函數安全性，但增加了運算的復雜度。王菲菲、謝忠良分別提出了基于ECC算法的驗證機制，其中謝忠良還提出了基于NTRU算法的驗證策略?；贓CC算法的驗證機制需要做較多的點乘運算，而基于NTRU算法驗證機制需采用公鑰私鑰加密對形式來保證安全性，因此，無論基于ECC算法還是基于NTRU算法的驗證機制對物聯(lián)網中的傳感器來說計算開銷仍然較大。

針對當前5G背景下物聯(lián)網面臨的接入終端復雜、安全形勢嚴峻及終端計算能力低等身份認證問題，本研究提出一種基于零空間的輕量級安全身份驗證方案（NS-IOT），方案利用終端設備MAC地址的零空間生成驗證信息，在保證安全性的同時極大地降低計算開銷，能夠很好解決物聯(lián)網終端身份認證問題。

1 NS-IOT方案

1.1 NS-IOT方案基本思想

NS-IOT方案引入一個獨立可靠的認證服務器用來驗證物聯(lián)網中終端設備的身份，這在物聯(lián)網身份驗證場景中普遍存在。NS-IOT方案首先利用終端設備唯一的MAC地址的零空間生成驗證向量，驗證向量存儲在認證服務器端。當終端設備發(fā)起驗證時，認證服務器向終端設備發(fā)送一組隨機數，終端設備利用接收到的隨機數對MAC地址進行線性組合運算，并將運算后的驗證信息發(fā)送給認證服務器，認證服務器利用驗證向量完成驗證。驗證過程終端設備只需做簡單的線性運算，對終端設備的計算能力要求低，同時能夠滿足物聯(lián)網的安全要求。

1.2 NS-IOT方案理論依據

根據線性代數相關知識，零空間的定義和性質如下：

定義1：向量A為有限域中的向量，向量A的零空間為?所有解向量組成的集合。

性質1：為向量A的零空間，則向量或向量A的線性組合都與矩陣正交，即，其中為有限域中隨機非0元素。

1.3 NS-IOT方案驗證過程

1.3.1 符號定義

1.3.2 驗證過程

圖1給出了驗證過程流程圖。

2 NS-IOT方案性能分析

2.1 安全性分析

2.1.1 漏檢率

漏檢率，即非授權終端通過驗證方案驗證的概率，是衡量身份認證方案性能的重要指標之一，但現(xiàn)有的物聯(lián)網身份認證機制中很少對漏檢率進行分析，本研究擬對NS-IOT方案的漏檢率進行分析。王偉平等給出了基于零空間驗證向量的漏檢率的證明，由此我們得出如下定理：

定理1：在有限域中，非授權終端通過個線性獨立驗證向量驗證的概率為。

由定理1知，NS-IOT方案可以支持動態(tài)調整驗證的準確率，根據不同的物聯(lián)網應用場景對驗證準確性的需求，動態(tài)調整參與驗證的驗證向量的個數，獲得計算開銷和安全性最優(yōu)配置。表2給出了不同個數驗證向量參與驗證時驗證的漏檢率。

2.1.2 隱私保護

在NS-IOT方案中，隱私保護主要包含兩個方面：一是認證服務器能否竊取隱私信息;二是驗證信息傳輸過程中是否發(fā)生隱私泄露。

在認證服務器能否竊取隱私信息方面，NS-IOT方案根據授權終端的MAC地址生成驗證向量，并對直接生成的驗證向量進行線性組合，將組合后的驗證向量上傳到驗證服務器，驗證服務器無法獲取組合的系數，因此，無法通過驗證向量推出驗證終端的MAC地址信息，即無法竊取隱私信息。

在驗證信息傳輸過程中是否發(fā)生隱私泄露方面，NS-IOT方案在驗證過程中僅需傳輸組合后的驗證向量、響應chal及組合后的MAC地址向量，根據這些信息無法獲取用戶的隱私信息，即驗證信息傳輸過程中不會發(fā)生隱私泄露。

2.1.3 抗網絡攻擊性

在NS-IOT方案中，當終端發(fā)起驗證請求時，認證服務器響應一個chal，里面包含組合系數和時間戳，通過對組合系數進行組合可以防止隱私泄露，通過時間戳可以確保驗證信息傳遞的及時性，有效避免重放攻擊。由于每次驗證都會變更chal中的組合系數，且組合系數由認證服務器根據驗證向量產生，因此，通過chal中組合系數的變化可以有效抵御偽造攻擊和欺騙攻擊。

綜上所述，NS-IOT方案具有較低的漏檢率，可以有效防止隱私泄露，同時有效抵御重放攻擊、欺騙攻擊和偽造攻擊。

2.2 計算開銷分析

在NS-IOT方案驗證過程中，計算開銷主要來自兩個方面：一是生成驗證信息所需要的計算開銷，記為 ;二是驗證時驗證向量和驗證信息做矩陣乘運算時所需的計算開銷，記為t;NS-IOT方案驗證過程總的計算開銷為，則=t? +t。在驗證過程需要做矩陣乘和矩陣加運算，由于矩陣加運算所需時間可忽略不計，本研究主要分析矩陣乘運算。根據驗證過程可得：

其中∈表示驗證終端生成驗證信息時對MAC向量做線性組合的次數，表示參與驗證的線性獨立的驗證向量個數。

為更直觀比較NS-IOT方案計算開銷情況，本研究以譚琛等提出的DA驗證方案為比較對象，并通過模擬器仿真NS-IOT方案的驗證過程，得出兩種方案驗證時所需運行時間（見表3）。

本研究在模擬器上通過Matlab 7.0進行仿真實驗。模擬器配置為：2.5 GHz 英特爾 i5 處理器、 8 GB 內存。取1000次運行結果的平均值為最終運行結果值。通過實驗仿真結果可知，NS-IOT方案無論在還是的情況下，驗證過程所需的運行時間都小于DA方案。另外，需要特別指出的是，NS-IOT方案在驗證過程中，驗證終端生成驗證信息所做的矩陣乘運算僅為48∈，在仿真實驗中驗證終端生成驗證信息所需時間僅為0.34ms，因此，NS-IOT方案對驗證終端的計算能力要求低，能夠很好地適應物聯(lián)網終端低計算能力的特征。

2.3 存儲開銷

在NS-IOT方案中，存儲開銷指認證服務器端存放驗證向量帶來的存儲開銷，單個驗證向量的大小為48bit，NS-IOT方案支持應用場景根據安全需求動態(tài)調整驗證向量的個數，因此本方案的存儲開銷為?bit，以場景為例，存儲開銷大小僅為0.58KB，對現(xiàn)有的物聯(lián)網應用場景不會帶來任何存儲開銷上的負擔。

2.4 通信開銷

在NS-IOT方案中，通信開銷主要包含上傳驗證向量和發(fā)送驗證信息兩個方面，對于發(fā)送驗證向量的通信開銷為bit，發(fā)送驗證信息的通信開銷為48bit，故該方案總的通信開銷為bit，仍以場景為例，通信開銷大小僅為0.59KB，通信開銷較小，可以有效節(jié)省終端設備的電力資源，滿足物聯(lián)網對電力供應問題的需求。

3 結語

本研究針對5G背景下的物聯(lián)網終端身份認證問題提出了一種基于零空間的輕量級終端身份安全認證方案，該方案較已有的其他驗證方案在滿足同等安全性的前提下，具有更小的計算開銷，同時在滿足高驗證可靠性的前提下存儲開銷和通信開銷都有一定的優(yōu)勢。

參考文獻：

[1]閆宏強，王琳杰.物聯(lián)網中認證技術研究[J].通信學報，2020，41（07）：213-222.

[2]HONG S. Authentication techniques in the Internet of things environment： a survey[J].International Journal of Network Security，2019，21（3）： 462-470.

[3]郭非.物聯(lián)網中若干關鍵安全問題研究[D].上海：上海交通大學，2020：79-92.

[4]HONG S.P2P networking based Internet of things （IoT） sensor node authentication by blockchain[J]. Peer-to-Peer Networking and Applications， 2020（13）： 579-589.

[5]LETSOALO E， OJO S.Survey of media access control address spoofing attacks detection and prevention techniques in wireless networks[C]//IST-Africa Week Conference，2016：1-10.

[6]Aman M N，Chua? K C， Sikdar B.Mutual authentication in IoT systems using physical? unclonable functions[J].IEEE Internet of Things Journal， 2017，4（5）：1327-1340.

[7]Gope P，Sikdar B.Lightweight and privacy-preserving two-factor authentication scheme for IoT devices[J]. IEEE Internet of Things Journal， 2018，6（1）：580-589.

[8]Musale P，Baek D，Werellagama N， et al.You Walk， We Authenticate： Lightweight Seamless Authentication Based on Gait in Wearable IoT Systems[J].IEEE Access，2019（7）： 37883-37895.

[9]Sun F， Mao C，F(xiàn)an X， etal.Accelerometer-based speed-adaptive gait authentication method for wearable IoT devices[J]. IEEE Internet of Things Journal， 2018， 6（1）：820-830.

[10]曾詩欽，霍如，黃韜，等.區(qū)塊鏈技術研究綜述：原理、進展與應用[J].通信學報，2020，41（01）：134-151.

[11]魏欣，王心妍，于卓，等.基于聯(lián)盟鏈的物聯(lián)網跨域認證[J].軟件學報，2021，32（08）：2613-2628.

[12]何正源，段田田，張穎，等.物聯(lián)網中區(qū)塊鏈技術的應用與挑戰(zhàn)[J].應用科學學報，2020，38（01）：22-33.

[13]譚琛，陳美娟，Amuah Ebenezer Ackah.基于區(qū)塊鏈的分布式物聯(lián)網設備身份認證機制研究[J].物聯(lián)網學報，2020，4（02）：70-77.

[14]Gupta A，Tripathi M，Shaikh T J，et al. A lightweight anonymous user authentication and key establishment scheme for wearable devices[J]. Computer Networks，2019，149：29-42.

[15]駱漢光.面向物聯(lián)網的輕量級安全協(xié)議及關鍵技術研究[D].成都：電子科技大學，2019：32-57.

[16]王菲菲.物聯(lián)網環(huán)境下的認證協(xié)議研究[D].北京：北京郵電大學，2020：17-50.

[17]謝忠良.輕量級的物聯(lián)網設備安全認證策略的研究[D].南京：南京郵電大學，2020：22-39.

[18]王偉平，張俊峰，王建新.基于零空間的網絡編碼云存儲完整性校驗方案[J].清華大學學報（自然科學版），2016，56（01）：83-88，96.