基于國密算法的物聯網身份認證方案設計

摘要：隨著物聯網技術的高速發展和應用，物品的安全身份認證問題愈發重要。針對傳統物聯網身份認證技術對國際算法的依賴以及海量物品認證的復雜性問題，結合物聯網感知層廣泛應用的RFID電子標簽技術，參考目前比較成熟的金融支付領域安全策略，該文設計了一套基于國密算法的物聯網安全身份認證方案，在增強自主性的同時，提升了認證效率與安全性，并推動物聯網產業發展。

關鍵詞：物聯網；身份認證；國密算法；金融支付領域；RFID電子標簽

中圖分類號：TP393.08文獻標識碼：A

文章編號：1009-3044（2025）20-0097-03

0引言

隨著物聯網技術在各行各業的快速發展和普及[1]，隨之而來的安全防偽問題也日益凸顯[2-3]。在安全方案成熟度較高的金融支付領域，原來生產智能卡的廠家近年來也看到了市場潛力，紛紛開始利用自身優勢生產物聯網感知層應用廣泛的RFID（RadioFre?quencyIdentification）電子標簽。但是隨著目前國際形勢的變化，過度依賴國際算法和產品必然會面臨大量不可控的風險，所以盡快研究出符合我國國情的安全身份認證方案勢在必行。

我國在國密算法研究方面已取得初步成果，并在多個領域得到應用[4-5]。但因物聯網物品種類多且數量龐大，面臨復雜的安全認證挑戰，如貴重物品對安全性要求較高，而大規模物品則更強調驗證性能。鑒于此，本文依托國密算法，設計了一套針對物聯網的高效身份認證方案。

1身份認證相關方法和技術

1.1物聯網身份認證方法

在網絡信息安全和物聯網領域，有很多常見的用戶身份認證技術[6]。其中：

1）密碼口令認證技術包含靜態口令技術和動態口令技術。在企業生產時，一般會在出廠前將4個字節的靜態口令寫入RFID電子標簽指定區域中，出廠后進行身份認證時將其讀出并比較是否匹配。這種方式的優點是簡單易操作，缺點是靜態口令密碼容易泄露；動態口令技術是根據特定的動態因素隨機產生一個一次性的口令來進行認證，因而彌補了這一缺陷，具有更好的安全性，不過相對靜態口令技術需要更多的運算開銷。

2）智能卡認證技術在國內外都發展得較為成熟，在安全性要求較高的金融支付領域，該技術及相關的產業鏈資源具有不可忽視的影響力。近年來我國一直致力于國產安全芯片和國密算法的研發，目前已有相當一部分國產產品應用于國內外市場。該認證技術包含CA認證機制、對稱密鑰算法和非對稱密鑰算法（包含數字簽名）等，優點是性能和安全性都比較高，且相對其他需要設備支持的認證技術而言，成本更低；缺點是需要整套的安全體系做支撐。因此，如果能沿用現有智能卡認證技術的安全體系，將更適用且更容易實現。

3）常見的生物特征識別技術有指紋、面部、虹膜、聲紋和靜脈識別等。優點是安全快捷，但成本相對較高。

4）USBKey認證技術是將存有用戶安全認證需要使用的密鑰和證書等安全信息的芯片，通過USB口與智能設備相連，從而防止安全信息外泄。實際采用的也是對稱密鑰算法和非對稱密鑰算法，優點是物理保護密鑰安全不易外泄，缺點是相對智能卡認證技術成本較高，而且操作較復雜。

1.2國密算法的發展和應用

自從2010年國家密碼管理局首次發布國密算法公告以來，經過多年發展，國密算法已成為自主研發的標準，并廣泛應用于各行業。哈希算法有SM3，對稱算法有SM1、SM4、SM7、ZUC，非對稱算法有SM2和SM9[7]。近年來，以金融支付領域為代表，國產芯片逐漸替代國外進口芯片占據越來越大的市場份額，國密算法也開始逐漸取代相應的國際算法。

1）使用安全性和效率更高的SM4/SM1分組對稱密鑰算法替代AES（AdvancedEncryptionStandard，高級加密標準）和3DES/DES（TripleDES/DataEncryptionStandard）算法。

2）使用性能相對較高的SM2非對稱密鑰算法替代RSA（Rivest-Shamir-Adleman）和ECC（EllipticCurveCryptography）算法。

3）使用更適合國內應用場景的SM3哈希算法替代SHA-1（SecureHashAlgorithm1）、SHA-2（SecureHashAlgorithm2）和MD5（Message-DigestAlgorithm5）算法等，用于數據的完整性驗證。

以上國密算法已經在我國金融支付智能卡應用中廣泛應用，并大大降低了企業的生產成本，改變了以往過度依賴國際算法和產品的局面，提高了自主性。

1.3RFID電子標簽

在物聯網感知層，RFID電子標簽被廣泛用于物品識別。它的芯片具備應用程序控制處理能力和數據存儲能力，并被固化分配了一個全球唯一的編號，作為唯一的身份標識ID。企業可以管理維護自己發行的RFID電子標簽身份標識ID清單，用于身份認證。

RFID電子標簽的工作頻率可以分為低頻、高頻、超高頻和微波4類。它們正常工作的讀取識別距離也不相同，比如人們熟悉的智能卡采用的NFC（NearFieldCommunication）技術屬于高頻類，工作距離一般在10厘米以內，所以人們刷公交卡和地鐵卡的時候都要盡量貼近讀取終端。高頻RFID電子標簽的特點是安全性較好，除了具有安全雙向加密信道外，采用的芯片能夠進行更復雜的安全運算。所以，采用NFC技術的RFID電子標簽適用于對安全性要求較高，且可以逐個被終端設備讀取驗證的產品；而在生產產線和倉庫管理等領域多采用超高頻的RFID電子標簽，因為它的工作距離可以是幾米甚至幾十米遠，而且可以同時進行大批量識別和讀取操作，采用基礎的密碼認證技術即可滿足安全要求。

2基于國密算法的物聯網身份認證方案

2.1物聯網唯一身份標識ID

在物聯網的世界，需要賦予物品一個唯一的身份標識ID，以便能夠實現后續識別和跟蹤等處理。如EPC系統提供的EPC標識代碼應用非常廣泛，除了具有全球唯一的全數字型代碼的特點，還具有固定結構。傳統的條形碼和二維碼已經逐漸被RFID電子標簽代替，每張標簽的芯片上都有一個全球唯一的身份ID。

2.2國密算法密鑰管理體系

對于對稱密鑰管理，結合近年來國家建立的工業互聯網標識解析體系，國家在幾個城市建立的國家頂級節點存有各自的根密鑰，然后經過第一次分散分發行業認證主密鑰到二級行業節點，在二級行業節點再次經過第二次分散分發企業認證密鑰到企業節點。在企業內部，一般面對數量龐大的物品，通常每個物品上都貼附一張RFID電子標簽，可以根據企業內部自定義策略，再經過第三次分散后，為每張RFID電子標簽分發一個不同的標簽認證密鑰。具體設計如圖1所示。

對于非對稱密鑰管理，可采用目前比較成熟的CA證書發行和驗證策略。首先，由各級節點向企業后臺管理系統分發CA公鑰；其次，RFID電子標簽的發行需要在權威機構監管下進行，并使用CA私鑰對發行機構公鑰進行加密生成證書并寫入RFID電子標簽中，同時寫入標簽的還有使用標簽私鑰和國密算法對標簽ID等靜態數據信息進行加密后獲得的待驗證的數字簽名。具體設計如圖2所示。

2.3身份認證防偽機制

在物聯網領域，針對眾多待認證的物品，可以大致分為以下兩類情況：

1）數量有限且對安全性要求較高的物品。這類物品通常大而貴重，且由于數量不多可以逐個使用移動終端進行身份認證，具體身份認證防偽機制如圖3所示。

在該機制中，主要采用國密非對稱密鑰算法（如SM2）和數字簽名技術來進行安全系數較高的身份認證，具體流程如下：

①終端靠近附著在物品上的RFID電子標簽，發送指令讀取如下信息：RFID電子標簽的ID、發行機構證書和標簽的靜態數字簽名。其中，RFID電子標簽的ID（簡稱標簽ID）就是前面提到的全球唯一編號的身份標識ID；發行機構證書是發行RFID電子標簽時，使用CA證書私鑰對發行機構公鑰采用SM2算法進行加密后生成的數字簽名證書；標簽的靜態數字簽名是使用電子標簽私鑰對標簽ID等靜態數據采用SM2算法加密后生成的，同樣也是在發行標簽時一起寫入標簽中。

②RFID電子標簽將需要讀取的信息返回終端。

③終端將讀取的相關信息轉發給后臺管理系統。

④后臺管理系統首先在數據庫里檢查標簽ID的合法性，如果沒有找到或者是已經注銷的狀態，則向終端返回認證失敗的信息；否則，繼續下面步驟。

⑤后臺管理系統使用CA公鑰驗證發行機構證書，驗證正確則取出證書中的標簽公鑰。

⑥后臺管理系統使用標簽公鑰驗證數字簽名，即使用標簽公鑰解密數字簽名后比對解密后獲得的標簽ID信息是否一致。

⑦如果以上步驟都成功，后臺管理系統則向終端返回認證成功信息。

2）短時間內需要大批量識別和認證的物品。這類物品數量龐大，通常需要在較短時間內同時進行大批量識別和處理，具體身份認證防偽機制如圖4所示。

在該機制中，主要采用國密對稱密鑰算法（如SM4）來對安全令牌進行校驗，具體流程如下：

①終端靠近附著在物品上的RFID電子標簽，發送讀取指令，獲取如下信息：標簽ID和令牌。其中，令牌指的是使用這張RFID電子標簽對應的標簽密鑰，采用SM4算法對標簽ID進行加密后獲得的密文Token。

②RFID電子標簽將需要讀取的信息返回終端。

③終端將讀取的相關信息轉發給后臺管理系統。

④后臺管理系統首先在數據庫里檢查標簽ID的合法性，如果沒有找到或者是已經注銷的狀態，則向終端返回認證失敗的信息；否則，繼續下面的步驟。

⑤后臺管理系統利用分散獲得的標簽密鑰，采用SM4算法對獲取到的標簽ID進行加密后獲得結果R-Token，然后比對R-Token與獲取的令牌Token是否匹配。

⑥如果以上步驟都成功，后臺管理系統則向終端返回認證成功信息。

目前已有部分企業采用以上方案進行了試用，根據生產現場效果來看，采用非對稱密鑰SM2算法方案的性能在600～900ms之間，也就是說身份認證時間不超過1秒且具有金融級別的安全性；采用對稱密鑰SM4算法方案的性能在200～500ms之間，均具有良好的安全性和性能。

3結束語

物聯網領域的身份認證技術不僅關系到個人隱私，還關系到財產安全和社會穩定。因此，為了提高安全性，減少對國際算法和產品的依賴，本文設計了一套切實可行的身份認證方案。該方案以國密算法為核心，依托RFID電子標簽技術，參考現有金融支付領域較為成熟的安全機制，滿足物聯網領域各種實際不同情況下的安全身份認證需求，為我國實際安全生產應用提供了較高的參考價值。

參考文獻：

[1]張春玲，董新微，吳冰，等.面向電力物聯網的分布式認證與安全傳輸架構[J].應用科技，2024，51（5）：80-90.

[2]陳國昌，周志輝.物聯網大數據背景下的數據安全技術[J].中國戰略新興產業，2024（23）：59-61.

[3]尚會斌，高春雪.基于物聯網技術的數字媒體平臺身份安全認證方法研究[J].物聯網技術，2024，14（9）：121-123.

[4]高紹鋒.基于國密算法的輕量級物聯網終端自動加固技術研究[D].濟南：齊魯工業大學，2024.

[5]熊英琴，魚先鋒，韓剛.基于國密算法的安全云存儲系統的設計與實現[J].信息技術，2024，48（12）：61-66.

[6]王思君.用戶身份認證技術在網絡信息安全中的應用[J].信息與電腦（理論版），2022，34（8）：221-223.

[7]盧秋如.國密算法應用研究綜述[J].軟件，2023，44（1）：123-125.

【通聯編輯：代影】