基于轻量级的物联网终端身份安全认证方案

摘  要：针对5G背景下物联网面临的接入终端复杂、安全形势严峻及终端计算能力低等身份认证问题，文章提出一种基于零空间的轻量级安全身份验证方案（NS-IOT），方案利用终端MAC地址的零空间生成验证信息，满足同等安全性的前提下，具有更小的计算开销，同时在满足高验证可靠性的前提下存储开销和通信开销都有一定的优势，能够很好解决物联网终端身份安全认证问题。

关键词：NS-IOT;安全性;计算开销;存储开销;通信开销

中图分类号：TP393          文献标识码：A          文章编号：1672-4437（2022）01-0073-04

0 引言

当前，面对接入设备、组网结构等十分复杂的物联网，从源头开始做好安全防护是一个十分有效的途径，即通过有效接入身份验证机制，对接入到物联网中的终端设备进行身份核实，确保接入物联网的设备都是安全的，则物联网整体安全将得到有效保证。

物联网的身份验证协议主要分为五大类，即基于用户账户密码的验证机制、基于MAC地址的验证机制、基于用户公开身份的验证机制、基于用户持有的令牌的验证机制和基于用户生物特征的验证机制。其中基于账户密码的验证机制可借助目前成熟的加密体制，具有一定的可靠性，但是对设备的计算能力要求高，且无法满足抗抵抗性。基于MAC地址的验证机制较密码机制更为简单，对设备的计算能力要求低，但容易发生重放攻击、欺骗攻击。基于用户公开身份的验证机制较基于账户密码的验证机制计算开销较小，但无法满足不可否认性和抵御欺骗攻击。基于令牌的验证机制需要产生验证令牌的设备，这就极大地限制了应用的场景。基于用户生物特征的验证机制可有效抵御欺骗攻击，具有良好的可抵赖性，但该机制需要适用具有相应生物特征的场景，无法满足物联网中更为普遍的终端设备的认证场景。

基于区块链的身份验证机制是未来物联网身份验证的主要方式之一，该验证机制可以降低因引入安全验证中心带来的安全问题，在一定程度上提高了系统的安全性，但基于区块链的验证机制采用哈希加密算法，接入物联网的设备都需具有较高的计算能力，而目前接入到物联网的设备大多是计算能力较低的传感器等，这显然限制了基于区块链的身份验证方案的适用范围。另外，基于区块链的身份验证方案要求接入物联网中的每个设备都要参与验证交易，这就降低了低计算能力场景下终端身份验证的效率。

基于轻量级的安全有效身份认证机制是解决物联网身份验证问题的关键。Gupta A 等提出了一种基于XOR运算的轻量级验证机制，该机制极大地降低了对终端设备计算能力的要求，但是安全性方面无法满足现有场景下面临的欺骗攻击和截获攻击。骆汉光提出了一种基于T函数和其他函数结合的验证方式，一定程度上提高了T函数安全性，但增加了运算的复杂度。王菲菲、谢忠良分别提出了基于ECC算法的验证机制，其中谢忠良还提出了基于NTRU算法的验证策略。基于ECC算法的验证机制需要做较多的点乘运算，而基于NTRU算法验证机制需采用公钥私钥加密对形式来保证安全性，因此，无论基于ECC算法还是基于NTRU算法的验证机制对物联网中的传感器来说计算开销仍然较大。

针对当前5G背景下物联网面临的接入终端复杂、安全形势严峻及终端计算能力低等身份认证问题，本研究提出一种基于零空间的轻量级安全身份验证方案（NS-IOT），方案利用终端设备MAC地址的零空间生成验证信息，在保证安全性的同时极大地降低计算开销，能够很好解决物联网终端身份认证问题。

1 NS-IOT方案

1.1 NS-IOT方案基本思想

NS-IOT方案引入一个独立可靠的认证服务器用来验证物联网中终端设备的身份，这在物联网身份验证场景中普遍存在。NS-IOT方案首先利用终端设备唯一的MAC地址的零空间生成验证向量，验证向量存储在认证服务器端。当终端设备发起验证时，认证服务器向终端设备发送一组随机数，终端设备利用接收到的随机数对MAC地址进行线性组合运算，并将运算后的验证信息发送给认证服务器，认证服务器利用验证向量完成验证。验证过程终端设备只需做简单的线性运算，对终端设备的计算能力要求低，同时能够满足物联网的安全要求。

1.2 NS-IOT方案理论依据

根据线性代数相关知识，零空间的定义和性质如下：

定义1：向量A为有限域中的向量，向量A的零空间为 所有解向量组成的集合。

性质1：为向量A的零空間，则向量或向量A的线性组合都与矩阵正交，即，其中为有限域中随机非0元素。

1.3 NS-IOT方案验证过程

1.3.1 符号定义

1.3.2 驗证过程

图1给出了验证过程流程图。

2 NS-IOT方案性能分析

2.1 安全性分析

2.1.1 漏检率

漏检率，即非授权终端通过验证方案验证的概率，是衡量身份认证方案性能的重要指标之一，但现有的物联网身份认证机制中很少对漏检率进行分析，本研究拟对NS-IOT方案的漏检率进行分析。王伟平等给出了基于零空间验证向量的漏检率的证明，由此我们得出如下定理：

定理1：在有限域中，非授权终端通过个线性独立验证向量验证的概率为。

由定理1知，NS-IOT方案可以支持动态调整验证的准确率，根据不同的物联网应用场景对验证准确性的需求，动态调整参与验证的验证向量的个数，获得计算开销和安全性最优配置。表2给出了不同个数验证向量参与验证时验证的漏检率。

2.1.2 隐私保护

在NS-IOT方案中，隐私保护主要包含两个方面：一是认证服务器能否窃取隐私信息;二是验证信息传输过程中是否发生隐私泄露。

在认证服务器能否窃取隐私信息方面，NS-IOT方案根据授权终端的MAC地址生成验证向量，并对直接生成的验证向量进行线性组合，将组合后的验证向量上传到验证服务器，验证服务器无法获取组合的系数，因此，无法通过验证向量推出验证终端的MAC地址信息，即无法窃取隐私信息。

在验证信息传输过程中是否发生隐私泄露方面，NS-IOT方案在验证过程中仅需传输组合后的验证向量、响应chal及组合后的MAC地址向量，根据这些信息无法获取用户的隐私信息，即验证信息传输过程中不会发生隐私泄露。

2.1.3 抗网络攻击性

在NS-IOT方案中，当终端发起验证请求时，认证服务器响应一个chal，里面包含组合系数和时间戳，通过对组合系数进行组合可以防止隐私泄露，通过时间戳可以确保验证信息传递的及时性，有效避免重放攻击。由于每次验证都会变更chal中的组合系数，且组合系数由认证服务器根据验证向量产生，因此，通过chal中组合系数的变化可以有效抵御伪造攻击和欺骗攻击。

综上所述，NS-IOT方案具有较低的漏检率，可以有效防止隐私泄露，同时有效抵御重放攻击、欺骗攻击和伪造攻击。

2.2 计算开销分析

在NS-IOT方案验证过程中，计算开销主要来自两个方面：一是生成验证信息所需要的计算开销，记为 ;二是验证时验证向量和验证信息做矩阵乘运算时所需的计算开销，记为t;NS-IOT方案验证过程总的计算开销为，则=t  +t。在验证过程需要做矩阵乘和矩阵加运算，由于矩阵加运算所需时间可忽略不计，本研究主要分析矩阵乘运算。根据验证过程可得：

其中∈表示验证终端生成验证信息时对MAC向量做线性组合的次数，表示参与验证的线性独立的验证向量个数。

为更直观比较NS-IOT方案计算开销情况，本研究以谭琛等提出的DA验证方案为比较对象，并通过模拟器仿真NS-IOT方案的验证过程，得出两种方案验证时所需运行时间（见表3）。

本研究在模拟器上通过Matlab 7.0进行仿真实验。模拟器配置为：2.5 GHz 英特尔 i5 处理器、 8 GB 内存。取1000次运行结果的平均值为最终运行结果值。通过实验仿真结果可知，NS-IOT方案无论在还是的情况下，验证过程所需的运行时间都小于DA方案。另外，需要特别指出的是，NS-IOT方案在验证过程中，验证终端生成验证信息所做的矩阵乘运算仅为48∈，在仿真实验中验证终端生成验证信息所需时间仅为0.34ms，因此，NS-IOT方案对验证终端的计算能力要求低，能够很好地适应物联网终端低计算能力的特征。

2.3 存储开销

在NS-IOT方案中，存储开销指认证服务器端存放验证向量带来的存储开销，单个验证向量的大小为48bit，NS-IOT方案支持应用场景根据安全需求动态调整验证向量的个数，因此本方案的存储开销为 bit，以场景为例，存储开销大小仅为0.58KB，对现有的物联网应用场景不会带来任何存储开销上的负担。

2.4 通信开销

在NS-IOT方案中，通信开销主要包含上传验证向量和发送验证信息两个方面，对于发送验证向量的通信开销为bit，发送验证信息的通信开销为48bit，故该方案总的通信开销为bit，仍以场景为例，通信开销大小仅为0.59KB，通信开销较小，可以有效节省终端设备的电力资源，满足物联网对电力供应问题的需求。

3 结语

本研究针对5G背景下的物联网终端身份认证问题提出了一种基于零空间的轻量级终端身份安全认证方案，该方案较已有的其他验证方案在满足同等安全性的前提下，具有更小的计算开销，同时在满足高验证可靠性的前提下存储开销和通信开销都有一定的优势。

参考文献：

[1]闫宏强，王琳杰.物联网中认证技术研究[J].通信学报，2020，41（07）：213-222.

[2]HONG S. Authentication techniques in the Internet of things environment： a survey[J].International Journal of Network Security，2019，21（3）： 462-470.

[3]郭非.物联网中若干关键安全问题研究[D].上海：上海交通大学，2020：79-92.

[4]HONG S.P2P networking based Internet of things （IoT） sensor node authentication by blockchain[J]. Peer-to-Peer Networking and Applications， 2020（13）： 579-589.

[5]LETSOALO E， OJO S.Survey of media access control address spoofing attacks detection and prevention techniques in wireless networks[C]//IST-Africa Week Conference，2016：1-10.

[6]Aman M N，Chua  K C， Sikdar B.Mutual authentication in IoT systems using physical  unclonable functions[J].IEEE Internet of Things Journal， 2017，4（5）：1327-1340.

[7]Gope P，Sikdar B.Lightweight and privacy-preserving two-factor authentication scheme for IoT devices[J]. IEEE Internet of Things Journal， 2018，6（1）：580-589.

[8]Musale P，Baek D，Werellagama N， et al.You Walk， We Authenticate： Lightweight Seamless Authentication Based on Gait in Wearable IoT Systems[J].IEEE Access，2019（7）： 37883-37895.

[9]Sun F， Mao C，Fan X， etal.Accelerometer-based speed-adaptive gait authentication method for wearable IoT devices[J]. IEEE Internet of Things Journal， 2018， 6（1）：820-830.

[10]曾詩钦，霍如，黄韬，等.区块链技术研究综述：原理、进展与应用[J].通信学报，2020，41（01）：134-151.

[11]魏欣，王心妍，于卓，等.基于联盟链的物联网跨域认证[J].软件学报，2021，32（08）：2613-2628.

[12]何正源，段田田，张颖，等.物联网中区块链技术的应用与挑战[J].应用科学学报，2020，38（01）：22-33.

[13]谭琛，陈美娟，Amuah Ebenezer Ackah.基于区块链的分布式物联网设备身份认证机制研究[J].物联网学报，2020，4（02）：70-77.

[14]Gupta A，Tripathi M，Shaikh T J，et al. A lightweight anonymous user authentication and key establishment scheme for wearable devices[J]. Computer Networks，2019，149：29-42.

[15]骆汉光.面向物联网的轻量级安全协议及关键技术研究[D].成都：电子科技大学，2019：32-57.

[16]王菲菲.物联网环境下的认证协议研究[D].北京：北京邮电大学，2020：17-50.

[17]谢忠良.轻量级的物联网设备安全认证策略的研究[D].南京：南京邮电大学，2020：22-39.

[18]王伟平，张俊峰，王建新.基于零空间的网络编码云存储完整性校验方案[J].清华大学学报（自然科学版），2016，56（01）：83-88，96.