基于物聯網的身份認證技術的研究

黃天峰

摘 要：本文簡單地介紹了物聯網的定義和特征，闡述了身份認證的含義和本質，在此基礎上探索了物聯網發展過程中面臨的困境和難題，提出了物聯網身份認證技術的發展和拓展的路徑和策略。

關鍵詞：物聯網；身份認證

在我國信息技術和互聯網技術快速發展的時代背景下，物聯網的應用范圍越來越廣，給經濟社會發展和人們的生活都帶來了徹底的變革?？梢哉f物聯網改變了當代人們的生活方式和節奏。但是伴隨而來的信息安全問題和用戶隱私問題也不同我們忽視。如何在提升物聯網便捷性的同時保證數據和信息安全，身份認證技術的重要性就顯現出來了，在物聯網之中引入身份認證技術大有可為，是物聯網未來一段時間內發展的主要方向。

一、物聯網簡介

（一）物聯網定義

物聯網，顧名思義，就是物物相連的網絡。物聯網的內涵之中至少包含了如下兩層含義：第一，物聯網的核心依然是互聯網，物聯網是對互聯網的拓展和延伸；第二，物聯網之所以叫物聯網，是因為其用戶端已經延伸到物體與物體之間，更加便于交換和通信。從這一層面來看，物聯網是一種建立在專用網、內網、外網和互聯網基礎上的互聯互通、應用集大成的運營模式，通過建立相應的信息安全保障機制，物聯網可以實現對萬物的個性化、一體化、實時化檢測，追溯、聯動管理、防范和決策支持。

本質上來講，物聯網就是一種巨型網絡，在這個網絡之中，所有的物體都可以自由地進行交流和聯系。物聯網是在互聯網基礎上引入無線數據通信技術、射頻技術實現的。在網絡之中，物品之間可以在免去人工干預和介入的情況下進行銜接和交流。近年來迅速發展的數據通信技術、互聯網技術和識別技術在極大程度上提升了物品之間的共享和關聯。傳統物聯網具有如下三個特征：第一，通過二維碼、傳感器等技術手段實現隨時、隨地和全面的物體感知；第二，在已有的互聯網網絡路徑的基礎上保證物體信息傳遞的安全性、可靠性和精確性；第三，借助云計算、模糊識別等職能計算手段來實現對數據的針對性處理和對物體的智能控制。

物聯網在實際運行之中可以自下而上地劃分為以下幾個層次：

第一，物聯網感知層。該層次面對的是等待感知的具體任務，通過協同處理技術能夠對不同種類、不同尺度和不同角度的信息進行在線控制，與此同時還可以將數據接入到接入設備之中，實現不同網絡單元之間的資源獲取和數據共享。物聯網感知層的主要任務就是借助不同類傳統器的功能廣泛地收集和識別物體靜態信息和物體動態信息。

第三，互聯網層?；ヂ摼W層是對內部信息資源和數據進行大規模集成和整合的層次。在物聯網平臺之中，該層次屬于一等核心技術層次，是實現數據交互和資源共享的關鍵層次?；ヂ摼W曾為物聯網的應用提供了一個高效、可靠的設施平臺，為物聯網的廣泛應用和普及提供了堅實的基礎。

第四，服務管理層。服務管理層是為上述三個層次的應用層提供了良好的數據接口，通過計算機群強大的計算能力，可以實現實時監控和網絡管理。物聯網服務管理層本質上就是將物理網技術和其他各個行業之間聯結在一起的層次，其中的關鍵所在就是繼承現有的所有底層功能。物聯網正在以極快的速度發展和擴散，已經在智能交通、環境保護、自然災害預防、數字油田、歷史文物保護、醫療監護方面得到良好的應用。

（二）基于RFID的物聯網架構

在物聯網應用的過程中，RFID是最為常見的一種技術，此技術之中包含電子產品編碼、射頻識別系統和信息網絡系統三個部分。

視頻識別系統中包含大量的射頻標簽，大量根據設置的編碼蘊含在射頻標簽之中，系統中的讀寫器根據每次的任務需要讀取所需信息。該系統之中的本地網絡主要由本地數據庫和數據處理終端組成；遠程網絡則由對象名稱解析服務和信息服務構成，二者共同作用可以實現對全球物品的管理和跟蹤。不同網絡之間的是通過實體標記語言和可擴展標記語言共同組成的，共同完成物聯網對物品的鏈接。

電子產品編碼能夠給物理世界對象提供唯一的標識，可以說電子產品編碼是在線數據唯一的地理標識，在同一時間內它只能分配給一個物品，相對應的網絡協議地址，從域名服務中翻譯得來的，也就是獲得了網絡信息的詳細地址。

信息網絡系統主要由中間件、對象名稱解析服務、實體標記語言、EPC信息服務模塊幾部分組成。射頻識別設備和應用系統之間主要依靠該中間件進行數據格式轉化、數據傳輸和數據篩選。中間件技術的應用在很大程度上降低了傳統應用開發的難度，開發者借助此技術可以避免底層架構，因為讀寫器獲取數據信息之后，中間件可以順利地完成解密、提取和格式轉換任務。中間件的作用在其信息網絡系統融入到企業管理信息系統之后將會得到全面反應，使用者查詢和瀏覽將更加便捷；對象解析服務類似于域名解析系統，是能夠將一臺計算機定位到具體某一物體的相關服務；實體標記語言發展于可拓展表示語言和HTML語言的基礎上，該語言可以描述互聯網上所有的產品信息，其所設計的描述標準既可以被人機器所用又可以被人所用，實體標記語言是物聯網體系下進行信息存儲和交換的標準語言體系；EPC信息服務模塊是一種全球性的網絡，其能夠將全球的EPC相關數據在合作伙伴之間交換和溝通。

二、身份認證簡介

身份認證技術是安全技術的重要組成部分，其主要職能是鑒別用戶身份，避免非法用戶侵入網路，篡改和濫用資源。身份認證的目的是建立雙方之間的信任關系，讓雙方能夠對彼此的身份沒有后顧之憂。本質上看，身份認證信息一般是指認證方特有的信息或者秘密的信息，任何第三方權威（被認證方）都不可偽造，被認證方要出示或者證明來表明自己掌握哪些信息，從而取得被認證方的確信和認可，進而得到身份的認可。身份認證一般會涉及到識別和驗證兩個流程，一般確認訪問者身份和訪問者是否符合其聲稱的身份，從而對其身份進行標識符輸入，從而對訪問者所聲稱的身份進行驗證，預防冒名頂替的情況出現。識別是保證身份認證系統用戶合法性的重要保證，確保其有效性是十分重要的，任意兩個用戶都不能有相同的識別符，每個用戶的識別符是唯一的。需要提醒的時候，識別符可以不是秘密的，但是驗證信息必須是秘密的。

身份認證是保障一個通訊網絡系統安全最根本的前提，通訊各方必須通過相應的身份驗證機制才能將明確自身的訪問權限。系統在用戶完成身份驗證之后就會進行一致性檢驗，自動地判斷用戶的身份和用戶訪問資源的權限。網絡通訊的安全性依賴于身份認證和資源訪問權限設置，黑客也通常將身份認證系統作為集中攻擊目標，因為突破這一底線，他們進入網絡通訊將會暢通無阻，而系統安全自然也就面臨著嚴重的問題。構建強大和安全的身份認證體系對網絡安全的重要性不言而喻。

當前比較盛行的身份認證技術主要有以下四種：

（1）雙因素認證。

雙因素身份認證在已有的身份認證技術上增加了物理因素——認證令牌，認證令牌包括智能卡和其他軟硬件設施，能夠在身份認證的過程中產生動態口令。雙因素身份認證下，用戶在登錄的過程中需要通過靜態口令和動態口令的同時驗證，只要在兩方面的認證均通過的情況下才能真正確認用戶身份。雙因素身份認證方式可以劃分為挑戰相應方式、事件同步方式和時間同步方式三種類型。以時間同步認證方式為例，該方式要求認證服務器在同一時間，以同一方式和同樣的算法生成當下時刻合法認證口令碼，與此同時，用戶的認證口令要和認證服務器上的認證口令在時間上保持一致，只有用戶發來的認證口令碼和服務器的認證口令碼一致，用戶身份才能確定，認證口令本身具有不可預測性和變化性。

SecureID是一種采用時間同步技術的雙因素認證系統，系統組成包括認證令牌，驗證服務器和客戶端代理三部分，是由美國公司提出的。身份認證雙因素系統中，有兩個可靠性因素即用戶擁有的令牌動態碼和己知的PIN碼，這使得訪問者在獲得訪問許可之前，能夠接受安全可靠有效地身份驗證，從而提高了認證的可靠性。

SecureID由美國RSA公司開發，被劃分為SEVER、AGENT和認證令牌三個有機組成部分。SecureID是時間同步技術類型雙因素身份認證技術最具代表性的技術，其因為已知的PIN碼和令牌動態碼成為應用范圍最廣的技術之一。只有經過安全可靠的身份驗證，用戶才能獲得訪問許可，認證的可靠性在這個過程中大大提升。

（2）數字證書認證。

數字證書（Digital Certificate）和現實生活之中人們所持有的身份證具有類似的屬性，是一種身份證明標志，是一種囊括了身份特征數據的證書。當前數字證書認證的基本框架是由國際電信聯盟提供的X.509的標準定義提供的，之后出現的Kerberos技術是建立在X.509證書認證技術上的身份驗證方式，不同的是其采取的是非對稱密碼體制。此外，數字證書認證還需要CA（Certificate Authority）認證機構這個可信賴第三方的支持，該機構主要負責數字證書的發放和用戶的身份認證的權威性和真實性。

（3）口令認證。

口令認證方式主要是借助用戶名ID和用戶密碼PW實現對用戶身份驗證的。系統實現保存了用戶名和用戶密碼，當用戶進入系統之后，要輸入用戶名和用戶密碼進行驗證，系統會將用戶輸入的二元組信息和系統事先保存的信息進行比較，以此作為驗證用戶身份的一種途徑?？诹钫J證主要適用于小型封閉系統，我們常用的Windows系統和UNIX系統都可以支持口令認證方式，該方法的優點是簡單、易于操作；但是其缺點也是顯而易見的：傳統的、單一的靜態口令認證方式中，口令的存儲媒介一般都存儲在認證方的客戶端文件之中，如果系統存在漏洞的話，那么攻擊者可以輕松地獲取口令文件，當口令文件被盜取之后，認證方系統就有很大的風險遭受離線字典式的攻擊；除此之外，用戶每次都是以明文的形式輸入口令作為系統訪問的主要方式，數據在傳輸的構成中很有可能被盜用和竊取，泄密風險極高?？诹钫J證方式在類別上屬于單因素認證方式，系統安全性和口令之間的關系有著高度的關聯性；同樣地，系統可以認證用戶，但是用戶卻不能對系統進行認證，攻擊者很有可能偽裝成系統騙取用戶口令，身份認證的風險將會變得很大。

（4）生物特性身份認證。

生物特性身份認證方式是建立在人的生物特性基礎上，通過提取人生理上的特性或者特殊行為方式來作為驗證途徑。生物特性身份認證是將數字身份和人的真實身份結合在一起的驗證方式，生物特性身份認證已經廣泛地應用在網絡交易、銀行和企業門禁、海關和機場身份驗證領域之中。完整的生物特性身份認證需要經歷提取生物特性、生成特征模板、測量特征和進行特征匹配等幾個步驟。從目前的技術成果來看，生物特性身份熱證主要包含指紋認證、手型認證、視網膜認證、簽名識別等多種技術。

（5）Kerberos身份認證。

Kerberos是一種對稱密碼身份認證體系，密鑰管理問題在對稱密碼學的研究中一直是難點問題，因為大量密鑰都存放在授權許可服務器和認證服務器上，一旦保管不當，那么密鑰就有被盜取的可能性，攻擊者具有可能獲得假冒用戶身份的機會，導致整個認證過程失去效力。同時，Kerberos身份認證技術使用的加密算法只能起到保護數據安全性的作用，卻不能起到保護數據完整性的作用。鑒于網絡之中所有時鐘都是同步的，主機受到欺騙之后，就會因為時間錯誤而降舊的鑒別碼重新納入到許可證有效期內，導致無效驗證情況的出現。

三、我國物聯網發發展問題分析

作為一個龐大的信息系統，物聯網面臨的終端物體規模和傳感網的數量是無可比擬的。鑒于物聯網連接著大量的終端設備，而這些終端設備的處理能力存在很大差異，它們之間是需要相互作用的，物聯網所處理的數據量要遠超過移動網和互聯網，因此很多物聯網身份認證研究之中的問題都來源于系統整合。

第一，安全認證問題。物聯網的類型繁多，很難有一種規范的密碼協議來應對所有的安全認證問題。服務器和節點之前屬于多對多型認證，終點和終端之間則屬于一對多認證，需要的密碼協議是完全不同的。鑒于物聯網終端設備的特殊性，有一些特殊的安全認證需求很難找到現成的協議。

第二，隱私泄露問題。物聯網普及之后，我們隨身所帶的每一樣東西都可能含有感知芯片，這些芯片可以和外界即時通訊，有時候可能只是發出一個短信，周邊的人就都接收到了。植入到人們生活之中的芯片看不到、摸不著，但是作為電子傳感器卻時時刻刻會暴露人們的一舉一動。物理網技術的隱私危機不容小覷。在這種情況下就產生這樣的問題：如何保護人們的隱私？現如今物聯網的行動計劃之中，絕大多數篇幅都在強調隱私問題。

四、基于物聯網的身份認證技術研究

經過幾年的發展，物聯網的應用范疇已經非常廣泛，我國學術界和政府都對物聯網的應用秉承支持的態度。物理網的研究已經引起了眾多大型科技企業的重視。物聯網信息處理程序較為復雜，這是物聯網本身高度重視安全、對安全程度要求較高的直接體現?；谖锫摼W的身份認證技術研究具有很強的現實意義。

（一）以無線傳感器為主的物聯網身份認證

通過身份認證減少不法分子的訪問感知節點，這是物聯網身份認證要達到的主要目的，唯有如此才能保證數據的安全。筆者認為可以將無線傳感器引入到身份認證研究之中并加大對節點、終端節點、接入網的集中研究能夠有效地實現提升物聯網感知信息的安全性。以無線傳感器為主的身份認證會在通信雙方認證過節點之后自動形成鄰居節點，惡意節點侵襲的情況將會被扼殺在萌芽之中，認證方和被認證方的身份信息可以在信息傳輸的過程中得到最大限度保護。無線傳感器網絡之中還需要加入橢圓曲線密碼的應用，進一步提升物聯網內信息的安全性。在相同的密鑰程度之下，橢圓曲線在計算速度上和數據安全性上都具有更加良好的表現?？偠灾瑱E圓曲線密碼優勢頗多，在物聯網身份認證研究之中具有很強的應用價值。因此，在初始化、雙向認證、密鑰建立的過程中都可以大力引入。

對于用于認證的信息，用戶和基站應當在初始化階段開展商定程序，商定的內容應該涵蓋節點密鑰信息和參數信息等數據訪問基本信息。橢圓曲線原則應當作為密鑰信息實際則合適基點的方法。鑒于此，在獲得公鑰的過程中，應當以整數在系統認證中心基站中的密鑰進行選擇?；窘ㄔO的過程中同時也是感知網實體分配責任的劃分過程，將安全通道變為傳遞實體ID的媒介。在密鑰建立階段和雙向認證階段，需要將私鑰作為優先選擇，并在基礎上開展密鑰和公鑰計算，之后再向自己范圍內的傳感器節點發出請求。如果發出的請求有效，那么基站會將臨時密鑰反饋給用戶，接到反饋的用戶需要檢查時間戳，以便驗證真偽。在充分保證請求有效之后，基站會在計算出公鑰之后再反饋給節點。

（二）以云存儲為基礎的訪問控制策略研究

訪問控制在本質上是一種授權機制，是對用戶訪問一定資源的權限進行控制的過程中，這樣做的目的是為了減少非法用戶侵入資源或者用戶操作失誤造成的資源和數據損壞，經過訪問控制，系統資源可以始終處在合法控制之中，數據的安全性得到了很大提高。物聯網時代人們最為關心的就是數據安全問題，訪問控制很好地解決了這一難題。在物聯網數據信息安全保護和訪問控制策略的研究過程中，云存儲技術的引入是值得探索的領域。物聯網的應用范圍越廣、應用程度越深，積累的數據也就會越來越多，云存儲技術和云計算技術的出現為物聯網的應用拓展了極大的空間，能夠在減少企業數據存儲時間和成本的基礎上優化企業數據存儲模式。實踐表明，在提升數據安全性、提高企業管理安全程度上，云存儲表現出更為明顯的優勢，因為其多樣性在滿足不同用戶數據使用需求上表現得相得益彰、得心應手，根據自身實際身份，用戶可以獲取相應的訪問權限。在該層面的研究之中，需要讓云存儲在數據控制中發揮作用，明確屬性約束分配應遵守的原則。

在以云存儲為基礎的物聯網訪問控制策略中，應當重視以下幾點的建設：第一，將授權控制環境考慮其中，明確物聯網框架之下相關屬性的含義和內涵，對時間、溫度等概念進行清晰地界定，使得授權的規范性和合理性的到賬保障；第二，云存儲作為云計算之中的典型，其目的是為用戶提供更具針對性的網絡服務，將云存儲引入物聯網訪問策略之中，能夠降低數據使用成本；與此同時在應用云存儲進行數據訪問控制建設時要將用戶對數據安全和隱私的需求考慮其中，最大限度保護授權用戶信息安全，進而保證物聯網數據的安全，使得用戶可以沒有安全憂慮；第三，根據用戶屬性證書和訪問控制策略來設定用戶訪問權限，系統在屬性的應用下只要做好一個訪問控制策略庫就可以大大減少訪問控制工作量，大大降低系統開銷。

五、結語

通過本文論述不難發現，物聯網已經成為當今社會發展的主要趨勢，與此同時其也提出了比互聯網更高的數據安全需求。在這種情況下。本文提出利用無線傳感器進行身份認證、以云存儲技術開展訪問控制策略，將這些先進的技術應用到物聯網身份認證研究中有利于提升數據的安全性。

參考文獻：

[1]馮福偉，李瑛，徐冠寧，杜麗萍，趙桂芬.基于集群架構的物聯網身份認證系統[J].計算機應用，2013（S1）：126-129.

[2]王宇涵.物聯網身份管理（IdM）技術研究[J].電信快報，2011，05：31-33+37.

[3]孫論強，秦海權，尹丹.物聯網安全接入網關的設計與實現[J].信息網絡安全，2011，09：16-18.

[4]王汶慧.基于云計算的可定制人口信息系統中多租戶隔離的研究與設計[D].北京郵電大學，2012.

[5]李紅霞.云計算中身份認證與訪問控制管理系統的實現策略研究[D].北京郵電大學，2011.

[6]侯素娟.基于屬性的訪問控制模型及應用研究[D].重慶大學，2010.

[7]謝巧玲.基于動態口令的雙向身份認證識別系統的設計與實現[D].西北大學，2008.

[8]韓君.基于USBKey的Windows身份認證與訪問控制研究[D].武漢大學，2004.

[9]Sun，Yuqing，Wang，Qihua，Li，Ninghui，Bertino，Elisa，Atallah，Mikhail.On the Complexity of Authorization in RBAC under Qualification and Security Constraints[J].IEEE Transactions on Dependable and Secure Computing，2011（6）.