物聯網中認證技術研究

閆宏強，王琳杰

（1.中國科學院計算機網絡信息中心，北京 100190；2.中國科學院大學，北京 100049；3.銅仁學院大數據學院，貴州 銅仁 554300；4.貴州大學計算機科學與技術學院，貴州 貴陽 550025）

1 引言

1.1 物聯網概念發展歷程

20 世紀90 年代，美國麻省理工學院（MIT,Massachusetts Institute of Technology）的 Kevin Ashton 教授首次提出物聯網（IoT,Internet of things）的概念[1]。1999 年，MIT 建立了自動識別中心（Auto ID），Kevin Ashton 教授是創建者之一。Auto ID 闡明了物聯網的基本含義，是指將所有物品通過射頻識別等信息傳感設備與互聯網連接起來的網絡。2005 年，國際電信聯盟（ITU,International Telecommunication Union）發布了《ITU 互聯網報告2005：物聯網》對“物聯網”的含義進行了擴展，指出物聯網是人和物之間、物和物之間進行信息交換的全新通信形式。2017 年發布的國家標準GB/T 33745-2017《物聯網術語》給出物聯網的定義，即“通過感知設備，按照約定協議，連接物、人、系統和信息資源，實現對物理和虛擬世界的信息進行處理并做出反應的智能服務系統”，其中，“物”即物理實體。隨著物聯網的發展成熟，其內涵和外延也在不斷發生變化，系統一般包含用戶、物聯網設備和物聯網服務3 個實體，系統模型如圖1 所示。

圖1 系統模型

1.2 物聯網發展現狀與趨勢

近年來，隨著信息通信技術的變革發展與創新突破，窄帶物聯網技術（NB-IoT,narrow-band IoT）、加強的機器類型通信（eMTC,enhanced machine-type communication）、遠距離無線電技術（LoRa,long range）等低功耗廣域（LPWA,low-power wide-area）技術和應用不斷創新突破，在大數據、人工智能等技術飛速創新發展的推動下，物聯網規模急速壯大，物聯網應用層出不窮，物聯網產業發展迅速，進入黃金發展階段。

物聯網中設備的數量呈指數級增長趨勢，這些設備被廣泛應用于公共衛生、智能電網、智能交通、垃圾管理、智能家居、智慧城市、智慧農業、能源管理等領域[2-3]。根據思科[4]基于第三方機構IDC（Internet Data Center）的調研結果發布的一份預測報告顯示，到2022 年，全球將有286 億臺物聯網設備投入使用。文獻[5-6]的報告估計，到2025 年，物聯網每年創造的價值將達到數萬億美元。

據GSMA Intelligence 于2019 年11 月發布的第四次年度全球移動趨勢報告《2020 年全球移動趨勢》預測，到2025 年，全球物聯網設備連接數量將達252 億臺，年平均增長率達15%。2019 年《物聯網技術行業應用年度研究報告》發布，預測到2025 年，我國物聯網連接數將達53.8 億臺。卡巴斯基于2020 年2 月發布的《物聯網商業應用成效與挑戰》報告指出，當前61%的組織在其業務中使用了物聯網平臺，IT 和電信行業的使用率更是達到71%。

1) 物聯網催生智慧城市等新興應用領域。物聯網的快速發展催生了智能家居、智慧城市、個人智能穿戴等新興應用領域。卡巴斯基《物聯網商業應用成效與挑戰》報告指出，全球物聯網增長最快的領域是智慧城市。通過自動感知、數據采集、智能控制，物聯網推動打造智慧城市，在運輸管理、交通控制和視頻監控等領域實現精細管理和優化服務，提升城市效率，惠及百姓生活。當前，我國許多城市正在推進“智慧城市”規劃，主要應用在公共安全、交通、醫療、社區、環保、地下管網監測、水務、教育等領域。這些應用均以自動感知為基礎、以數據采集為手段、以智能控制為核心，實現了物聯網技術的綜合集成應用。

2) 物聯網支撐傳統行業數字化轉型。物聯網賦能傳統行業，促進交通、醫療、物流、工業、農業、制造業、安防等行業數字化轉型。例如，在智能物流領域，通過物聯網技術實現對貨物的檢測和運輸車輛的跟蹤，實現了物流運輸、倉儲、配送等各個環節的全面感知和分析，提升了物流行業的運輸效率和智能化水平；在工業和制造業領域，工業物聯網（IIoT,industrial Internet of things）技術使企業將傳感器連接到機器上，感知萬物信息，并基于大數據分析技術，實現智能決策和判斷，提高生產效率和產能。

2 物聯網認證安全問題與挑戰

物聯網產業高速發展的同時，也帶來了新技術應用的安全風險。物聯網遭到攻擊，可能導致網絡癱瘓，基于國家安全、人身健康和生命財產安全都可能受到嚴重威脅和損失。近年來，物聯網安全攻擊事件日益頻發，對用戶隱私、數據安全、基礎網絡環境的安全沖擊也越來越突出。根據Gartner 報告，20%的組織在過去的三年中，至少經歷了一次物聯網攻擊[7]。

2.1 物聯網安全風險點

與傳統互聯網相比，物聯網的安全問題更加復雜。一般來說，物聯網的網絡架構主要包括終端接入層、網絡傳輸層和應用服務層，其安全問題可分為終端、通信網絡和應用服務的風險。

終端安全的風險主要表現在終端的物理安全、網絡通信及結構安全、數據泄露、安全漏洞等[8-9]。如果終端被黑客利用或控制，還有可能成為Mirai僵尸網絡[10-11]等安全威脅。通信網絡的風險主要表現為無線數據的傳輸鏈路安全、非授權接入和訪問網絡等方面。應用服務由于其服務器存儲大量數據、應用邏輯多樣等特點，易被黑客利用系統的基礎環境及組件存在的漏洞發起攻擊。

據Gartner 的另一項研究顯示，2018 年全球企業在物聯網安全方面的損失達到15 億美元。據估計，到2022 年，用于故障補救、安全故障和召回等方面的預算資金將達到各個公司用于安全保護預算的一半[12]。近年來，全球發生諸多物聯網安全事件。2016 年10 月，攻擊者利用攝像頭安全漏洞，通過惡意軟件對美國西海岸大批攝像頭進行控制，進而對域名系統（DNS,domain name system）服務器發起分布式拒絕服務攻擊，導致大面積通信癱瘓。2017 年，1 000 余臺利盟（Lexmark）打印機在線暴露，研究人員確認這些打印機均沒有設置密碼保護，涉及眾多國家政府部門。這意味著攻擊者一旦在互聯網上發現這些打印機，便可執行各種攻擊操作，如添加后門、劫持打印作業等。2018 年，西班牙某工控物聯網設備制造商將投向市場的某款電動汽車智能充電系統大范圍暴露在公網之上，且存在未授權訪問的漏洞。若存在攻擊者，其不僅可以獲取敏感信息，甚至可執行固件升級等操作。2019 年12 月，美國密西西比州一間房屋的智能攝像頭遭入侵，黑客不僅與屋內人對話，還可以看到屋里的一舉一動，用戶隱私和生活秩序受到嚴重威脅。

2.2 物聯網認證流程

認證是用戶和設備接入物聯網系統的第一步，是確保信息資源被合法訪問的重要保障。一個基本的用戶相互身份認證方案基本由圖2 所示步驟中的兩步、三步或者全部步驟構成。

在系統的初始階段，每個用戶都有自己的身份IDi和相對應的初始密鑰ki，(IDi,ki)保存在云服務器中，用于最初的身份確認和后期的身份認證服務。

1) 用戶使用自己的身份IDi向云服務器發送會話請求。

2) 云服務器從自己存儲的數據名單中查找IDi及相對的初始密鑰ki，隨機選擇新的通話密鑰，用μkey和隨機數ir通過預存公式求得iy（例如），然后使用密鑰ki利用輕量級密碼算法LigwEnc 計算并發送給用戶。

3) 用戶收到iY后，利用自己的初始密鑰ki可計算得到μkey。隨機選擇zi，用zi和iy通過預存公式計算ip，然后用新密鑰μkey計算并發給云服務器。

4) 云服務器收到Zi后用密鑰μkey解密得到zi，計算LigwEnc {ki,(μkey|zi)}并發給用戶。

通過上述過程，可以完成用戶和云服務器的相互認證。

2.3 物聯網認證安全問題與挑戰

物聯網設備的可信認證是確保信息資源被合法訪問的第一道關口。物聯網認證機制的安全目標是認證數據發送者身份信息的真實性，確保特定數據的有效性和數據完整性，確保接收數據的新鮮性，確保其沒有重放過時的數據。提供可靠的用戶和設備的身份接入認證和管理解決方案，能確保物聯網設備的安全連接，給設備使用者提供安全授權訪問。

圖2 認證方案模型

由于物聯網中的設備存在著對計算能力、內存存儲要求、動態安全更新及物理變量捕捉的保護等方面的挑戰，以及設備本身存在的一些局限性（有限的計算能力和存儲空間、資源限制需求和支持動態更新等），使傳統的計算機認證協議不能直接在物聯網設備中使用，從而導致物聯網面臨一些安全問題和挑戰[13-15]。物聯網設備易被攻擊者利用，來獲取用戶的身份認證信息，進而偽造用戶身份或通信節點，并向其他物聯網終端設備、接入網關等進行入侵和攻擊。

1) 有限的計算能力和存儲空間

在物聯網環境中，互聯設備（如物聯網傳感器）往往配置了低速處理器和有限的內存存儲。這些設備不能執行需要高計算能力和高內存存儲的昂貴計算操作，因此，設計一個能最大限度降低資源消耗（計算存儲和內存存儲）和最大限度提高安全性能的解決方案變得很有挑戰性。鑒于此，在為這樣的環境設計用戶身份認證方案時，可以使用輕量級的加密操作，例如，高級加密標準（AES,advanced encryption standard）算法[13]、異或操作[16]、加密單向哈希函數[17]和橢圓曲線[18]。

2) 資源限制需求

在某些給定的環境中，大多數物聯網設備的設計尺寸都很小，其固有的資源（電池、處理和存儲）有限。當不需要工作時，這些設備將自動打開省電模式來節約能源，但是，由于電池資源存儲量的局限性，導致的主要挑戰是為高度受限的設備開發輕量級的安全機制。因此，為這種在資源受限環境中工作的設備設計一種用戶認證方案時，最好采用輕量級的密碼體制，如AES 算法和加密單向哈希函數[13,16-17]。

3) 支持動態更新

為了克服現有某些方案的安全漏洞，需要保持最新的安全方案，因此就要進行方案計劃的不定時更新。例如，在新智能設備添加或刪除某些相連設備時，需要更新這個設備存儲[16,18]。因此，設計一種既支持動態安裝或更新又不影響安全性的方案，也是一個具有挑戰性的任務。

3 物聯網認證技術

3.1 認證技術簡介

物聯網應用中，通過身份認證來識別用戶、設備并限制非授權用戶非法操縱設備。在物聯網中，組件之間可以相互通信，并且可以共享數據，這就要求每個用戶或設備都能夠對其他對象和設備進行身份認證。文獻[19]中給出了幾種常用的身份認證模型，如圖3 所示，模型描述如表1 所示。在大多數情況下，網關節點（GWN,gateway node）無法直接使用用戶發送的信息進行身份認證，這時遠程部署的傳感器節點可以幫助它們完成身份認證。

圖3 物聯網網絡認證模型

另外，在物聯網中對跨異域設備進行身份認證也是一個巨大挑戰。現有的方案依賴于用戶名和密碼，或者只使用單一的身份認證模式，可能這不是處理物聯網異構性所需的合適解決方案，主要的原因是它很容易被破壞[20]。物聯網中的設備在使用時有很多限制，如低功耗、有限的內存、移動性和支持多個網絡協議[21]，基于這些原因，認證技術被認為是物聯網安全的關鍵技術，通過了可信認證的物聯網設備對網絡的正常運行至關重要[22]。

表1 物聯網網絡認證模型描述

3.2 物聯網認證協議的類型

在物聯網中，身份認證是認證用戶和設備節點可信身份的過程，該過程十分重要，可以保護物聯網免受非法入侵和攻擊。然而，由于不同的協議對認證的設計和保護機制各不相同，以及物聯網低成本、低功耗、小存儲和異構性等局限性，導致很多傳統計算機網絡中的身份認證機制無法在物聯網中使用，因此需要設計符合物聯網場景的身份認證方案。研究人員設計了數千種身份認證協議，根據文獻[23]的分析基本可分為基于密碼的身份認證、基于媒體訪問控制（MAC,media access control）地址的認證、基于用戶公開身份的身份認證、基于令牌的認證和基于生物特征的認證等。圖4 給出了物聯網中身份認證的分類。

3.2.1 基于密碼的身份認證

基于密碼的身份認證是認證用戶或設備的一種常見的方法。該認證模式需要用戶提供一個唯一的ID 和密碼，該ID 和密碼組合存儲在身份認證服務器的數據庫中。當用戶提供了ID 和密碼的組合時，協議將匹配所提供的組合和保存的憑據，如果匹配，則協議允許用戶或設備執行所需的操作。該認證方式可以抵抗重放攻擊、中間攻擊、側信道攻擊等攻擊，但是也存在以下缺點：需要額外的應用程序或協議來連接、不能抵抗可抵賴攻擊、依靠復雜的計算、高安全性依靠高功耗和高處理代價、無法用于沒有鍵盤鼠標等輸入設備的物聯網設備中。此項技術主要用于服務器/客戶端身份認證環境。

3.2.2 基于MAC 地址的認證

基于MAC 地址的認證是通過使用MAC 地址的模式進行認證的，MAC 地址是分配給網絡接口的標識地址，主要用于內部網環境中的網絡訪問控制。當設備請求訪問網絡時，將服務器中注冊的MAC 地址與從設備請求的消息發送的MAC 地址進行比較，從而進行身份認證的過程，它比基于密碼的身份認證方法更簡單、更快[24]。但是，隨著物聯網設備數量的增加，如果超出了MAC 地址格式的最大標記數量，則需要定義新的地址格式標準。此外，由于MAC 地址容易被偽造，因此容易受到偽造等欺騙行為的攻擊[25]。

3.2.3 基于用戶公開身份的身份認證

基于用戶公開身份的身份認證是一個使用用戶（客戶端）ID 的公鑰密碼系統，它的公鑰包括電子郵件地址、名稱、公開的IP 地址和簽名，該方案在實現安全性的同時還提供身份認證。該模式具有密鑰分配獨立、算術運算量小、密鑰長度相對較短等優點，但也存在易受身份欺騙攻擊和不滿足不可否認性的缺點。

3.2.4 基于令牌的認證

令牌是由身份認證服務器創建的一段數據，用于唯一地標識用戶或設備。該種身份認證分為2 種方式，一種是服務器填充一次性密碼并將其發送到注冊的通信媒體，該媒體與該賬戶相關聯，并保留已傳輸的一次性密碼的副本；服務器通過對該一次性密碼與存儲的一次性密碼進行匹配而進行身份認證。另一種是在系統中嵌入一段信息以進行自我認證的小型設備或卡片，該系統都將對服務器的每個請求基于令牌的正確組合進行響應。

圖4 物聯網中身份認證的分類

令牌身份認證設備，比如加密狗、智能卡和射頻識別（RFID,radio frequency identification）芯片等，一般具有便于隨身攜帶、價格相對便宜、簡易性等優點，其記錄的信息具有高可靠性與高保密性，因此令牌身份認證設備在實踐中被廣泛接受和使用。但是以該協議為基礎的制成設備也存在一些不足，如不能實現用戶的可追蹤性、保證前向安全性、難以抵抗密碼猜測攻擊等。

3.2.5 基于生物特征的認證

生物特征的認證是基于人的生物學特性進行的，該方案是利用特定的生物掃描儀從用戶收集獨特的生物數據，并與通過注冊過程收集的存儲數據相匹配。常用的生物特征包括指紋認證、人臉認證、虹膜認證、視網膜認證、手勢認證和語音認證等。其中，虹膜認證方法是使用數學模式來識別一個或2 個虹膜，這對個人來說是獨一無二的。同樣，指紋認證在物聯網機制中也很常見，通過預先在服務器中保留相同的信息來檢查人類手指的紋路。

由于生物特征的獨一無二性，基于該特征的認證技術可以抵抗竊聽、冒充、拒絕服務等攻擊。但是該認證方式也存在局限性，例如認證需要特定的生物特征設備、系統管理和建設成本比較高、工作范圍常常受限（比如指紋和刷臉認證距離往往限于0.5～1 m）等。另外，隨著技術的快速發展，某些時候生物識別特征也變得容易被偽造，為此需要開發不易偽造的生物識別技術。

3.3 不同應用認證技術對比分析

3.3.1 RFID 技術

RFID 是一種無線技術，通常由RFID 標簽和RFID 閱讀器兩部分組成。RFID 通常用于供應鏈、醫療、氣候傳感等領域[22]。

由于采用RFID 的物聯網設備CPU 結構簡單、存儲容量小、計算能力弱，無法使用復雜的加密算法來進行身份認證。文獻[26-27]提出了基于RFID物聯網應用程序的相互身份認證方案，方案中使用了輕量級加密算法，可以加快認證速度、降低計算成本、增加安全存儲能力。

Gope 等[17]提出了一種應用于物聯網的解決匿名的輕量級RFID 身份認證方案。該方案基于網絡模型的4 個實體，包括2 個服務器（即得到認證的云和后端數據庫）、讀取器和RFID 標簽。該方案以不可鏈接的匿名身份、備用密鑰及哈希函數為基礎，可以抵抗重播攻擊、偽造攻擊、克隆攻擊、拒絕服務（DoS,denial of service）攻擊和位置跟蹤攻擊等。除此之外，該方案可以實現相互身份認證、標簽匿名性、可用性和可伸縮性、假數據注入攻擊等安全屬性。

相互認證是保護隱私的有效方式，實現RFID標簽和閱讀器之間的相互認證時，既要使用匿名技術處理設備標簽信息，又要使用輕量級加密算法實現輕量級的認證。在未來的研究中，人們可以使用輕量級加密算法（如橢圓曲線加密），既實現匿名化處理又實現輕量級加密。

3.3.2 智能電網

智能電網以其高效性和方便性在傳統電網領域占據優勢，但其仍然面臨著各種安全挑戰。

文獻[28-29]分別提出了基于默克爾樹和基于哈希消息認證碼（HMAC,hash-based message authentication code）的輕量級密碼認證方案。文獻[30-31]通過使用輕量級的Diffie-Hellman 密碼體制，實現了智能電表與其他系統組件相互認證。為了解決一些性能和安全方面的挑戰，許多學者一直在研究輕量級的低存儲成本和密鑰管理的密鑰體制，文獻[32-34]討論了基于HMAC 和同態加密技術用于智能電網的多播認證一次性簽名，減少了交換的數據量，通過隱藏智能電表的身份而保證隱私性。

通過上述的研究發現，智能電網中利用輕量級加密算法是實現輕量級認證的關鍵，在兼顧隱私性的基礎上，智能電網系統中的輕量級認證方案可以大致利用下面的密碼體制類型：1) 使用輕量級加密算法，如橢圓曲線加密；2) 將哈希函數與隨機數或時間戳相結合；3) 使用簡單的位操作。

3.3.3 車聯網

將汽車連接到互聯網上，形成汽車網絡或車聯網。車輛認證是車聯網系統中的一個具有挑戰性的課題。

文獻[35]提出了一種協作消息認證方案，既減少了消息認證的開銷，又降低了認證的時延。文獻[36]提出了一種認證方案，來自多個車輛的請求可以分批進行認證，而不是逐個進行。文獻[37]基于修改的DSA（digital signature algorithm）和ECDSA（elliptic curve digital signature algorithm）簽名提出了一種由不同簽名者和單個簽名者生成的多個簽名的批量認證方法，該認證方法比單獨認證快7 倍。

保證車輛身份信息的機密性和匿名性是車聯網的一個關鍵課題，需要開發既能保護隱私安全又能相互認證的密碼體制。

3.3.4 智能家居

在智能家居中，用戶使用移動設備或個人電腦實現與智能家居設備之間的相互認證，從而實現遠程控制、監控和訪問。

Miettinen 等[38]提出了一種基于上下文的設備互認證協議，該協議使用設備的相同位置作為共享機密，不需要輸入密碼，并且與其他解決方案相比具有顯著的可用性。Sun 等[39]開發了一種允許智能家居用戶通過網絡遠程與終端設備進行通信的方案，方案除了建立安全連接外，還允許通信雙方進行相互認證，以建立數據的保密性。Jan 等[40]提出一種基于約束應用協議（CoAP,constrained application protocol）輕量級特性的物聯網相互認證協議，作為客戶端與服務器端通信的應用層協議。協議中利用AES 密碼的優點，提供了安全的通信通道，使客戶端和服務器利用大小為256 位的有效負載加密消息，通過交換有效負載進行認證，從而對彼此身份進行雙向認證。

表2 總結了不同應用領域的物聯網身份認證方案，根據本節提出的分類方法進行了分類，并總結了它們的認證協議。通過上述研究發現，協議中相互認證的實現并不需要新的加密算法和技術，但是設計一個適合資源受限的物聯網設備的認證體制，仍然是一個新的挑戰。

表2 物聯網不同應用領域認證方案的分析

4 物聯網安全認證機制的新趨勢

目前，互聯網企業也對物聯網安全身份認證方面進行了積極探索，如阿里云推出的Link ID2 物理網身份認證安全解決方案，采用預共享密鑰的對稱密鑰機制+證書方式的非對稱密鑰機制來實現設備級的雙向認證。騰訊提出的基于硬件和密碼學算法的下一代用戶身份認證標準TUSI（Tencent user security infrastructure），TUSI 采用PKI 以及非對稱密鑰技術，向物聯網行業推行新的身份認證標準。

文獻[53]對現有的攻擊、威脅及最新的解決方案進行總結，并以開發基于區塊鏈的物聯網應用進行了全面的綜述，認為區塊鏈是解決物聯網安全問題的基礎技術。區塊鏈最大的特點是“不可篡改”和“去中心化”，從技術核心來看，區塊鏈是一種基于密碼學原理的分布式共識賬本技術。就密碼學而言，區塊鏈使用了基于SHA-256 和RIPEMD-160的哈希算法、基于橢圓曲線加密的密鑰生成算法和非對稱加密算法。未來將區塊鏈技術應用到物聯網中，可以有效提升物聯網設備的身份認證能力。

沈昌祥院士提出可信計算已經發展到“可信計算3.0”時代，物聯網需要加快安全可信的可信計算3.0 推廣應用，筑牢基于5G 的安全可信防線[54]。基于可信計算和等級保護的協同合作，把每個等級、每個環節基于可信任的安全認證作為根本的保障措施，利用等級保護的框架、感知域、計算域、邊界與隔離，能更好地解決物聯網安全問題。

鑒于物聯網設備本身資源有限，導致傳統計算機網絡的安全機制無法與物聯網環境完全集成。因此，對于微型嵌入式設備，應該開發有效的安全解決方案，而對于智能設備的設計和研究，應注重檢測和從攻擊中恢復的自主性。同時，為了應對物聯網的安全挑戰，如信任管理、識別、認證、隱私、訪問控制和機密性等，需要新的軟/硬件技術及識別機制，還應該考慮密鑰管理的有效性。

5 結束語

本文根據物聯網認證方案的相似點和主要特點，匯總分析了主要的物聯網身份認證方案。物聯網安全認證協議應具備以下3 個特點：輕量級、隱私保護和相互認證[55]。在本文的工作中，通過物聯網不同的應用方面，基于物聯網不同的應用場景和物聯網設備具備的不同安全能力來分析各種物聯網認證協議的特征，針對不同的外部安全威脅提出安全需求，這種分類旨在實現一種安全的物聯網環境。

通過對大量認證協議/方案的分析，本文認為，未來研究人員和開發人員在開發物聯網網絡和應用的新認證方案時，需要考慮以下問題。

1) 輕量級。設計認證方案時，在保證方案安全性的前提下，考慮到傳感器（在內存、處理能力、電池等方面受到限制）是主要的終端設備，因此所提出的協議必須是輕量級的，以降低方案的計算成本、通信成本和存儲成本，在成本和安全之間取得平衡。同時，由于所使用的無線通信協議的帶寬有限，消息分組的大小也應該盡可能小。比如在智能家居和RFID 中的應用。

2) 安全。由于存在各種已知和潛在的攻擊（如女巫攻擊、節點捕獲、重播、密碼猜測、消息偽造、蠻力、中間人、拒絕服務、選擇明文等），因此需要結合攻擊威脅水平，考慮和分析認證協議的穩健性。

3) 認證效率。在某些物聯網應用中，實時超高速身份認證是此類資源受限設備面臨的另一個挑戰。特別是在車聯網中，需要設計考慮低時延的超高速認證。

4) 軟/硬件結合。與軟件安全方法相比，物理上不可執行的函數是一個不可克隆的單向函數，它可以實現身份認證、訪問控制和可跟蹤性。因此可以考慮軟件解決方案（更低的成本）和硬件解決方案（更安全）的組合，為物聯網系統設計一種輕量級的保護隱私的身份認證方案。

5) 可擴展性。由于物聯網是由不同通信范式和應用領域組成的大規模異構網絡，因此不同的網絡具有各自的需求和能力。因此，物聯網認證方案應該是可擴展的，它可以管理大量的節點，并能夠添加新的節點，而不需要進一步地設置或配置。另外，在物聯網環境下的端到端身份認證機制中，設備身份的認證方案應該具有跨不同域的可伸縮性。

6) 認證機制。隨著物聯網設備的增加，物聯網網絡變得容易受到硬件缺陷的影響，因此在部署物聯網設備之前，最好先在硬件上采用安全性機制，執行數據分組的處理等操作。否則，一旦大批量物聯網設備部署到物聯網環境中，就很難解決發現的漏洞。因此，需要一種有效的認證機制實現全面的物聯網安全。