摘要: 设备身份认证是物联网安全保障的关键技术。海量设备差异、认证方式多样、节点能量受限等导致物联网设备认证面临严峻挑战。传统安全保障机制复杂度高导致其能量开销大，无法直接应用于物联网系统；基于特定身份信息的设备认证协议存在设备隐私泄露风... 展开 设备身份认证是物联网安全保障的关键技术。海量设备差异、认证方式多样、节点能量受限等导致物联网设备认证面临严峻挑战。传统安全保障机制复杂度高导致其能量开销大，无法直接应用于物联网系统；基于特定身份信息的设备认证协议存在设备隐私泄露风险。本文聚焦物联网的设备匿名身份认证技术，利用椭圆曲线密码和动态身份标识技术，提出一种轻量级的设备匿名身份认证方法；利用一次性公钥算法和哈希链技术，提出一种增强型的设备匿名身份认证协议。 针对物联网设备认证过程泄露用户隐私的问题，利用椭圆曲线密码和动态身份标识技术，提出了一种轻量级设备匿名身份认证协议（LDAAP）；基于椭圆曲线密码，在保证相同的安全性的前提下，LDAAP协议加解密的计算开销减少55%、密钥存储开销减少74%。使用随机数与服务器公钥结合参与设备匿名化操作，将服务器匿名身份验证时间复杂度由O(N)降低到O(1)。使用BAN逻辑、随机预言模型和AVISPA等方法和工具证明协议能够抵抗重放攻击、中间人攻击，实现了匿名性、不可追踪性、双向认证和安全的会话密钥协商。实验分析表明，相比于Wang、Wu、Kumari、Rostanmpour等提出的同类方案，LDAAP协议的认证计算开销平均降低了52.7%，存储开销平均降低了59.2%，在保障物联网设备身份认证安全的前提下，降低了计算和存储开销。 基于加密、假名、动态假名的匿名认证协议对外部用户匿名，通信方仍可获得设备真实身份信息，因通信实体不完全可信，存在不诚实通信实体恶意泄露设备隐私的问题。针对上述问题，提出了基于一次性公钥算法的增强型设备匿名身份认证协议（EDAAP）。利用设备私钥和随机数生成可验证身份合法性的一次性公钥，实现设备身份完全匿名；将初始认证协商出的身份令牌作为一次性口令用于身份重认证，减少一次性公钥生成和验证次数。使用BAN逻辑和AVISPA等方法和工具证明EDAAP协议能够抵抗重放攻击、中间人攻击，解决不诚实通信实体泄露设备隐私问题，实现了强匿名性、不可追踪性、双向认证和安全的会话密钥协商。实验分析表明，相比于Wu、Rostanmpour、LDAAP等匿名认证协议，EDAAP协议在不增加存储和通信开销的基础上，计算开销仅平均增加18.9%，满足物联网应用的基本需求。 基于所研究的技术与方案，设计了面向物联网的设备匿名身份认证系统，实现了安全参数管理、设备安全注册、网关安全注册、高效公开可验证信息查询、基于EDAAP的双向认证与密钥协商等功能模块。系统性能测试表明注册模块具有横向扩展性，单节点与网关一轮初始认证耗时小于500ms，在500个节点并发认证场景下，初始认证平均耗时小于1s，引入身份重认证平均耗时减小到285ms，相比初始认证耗时平均降低39.4%，验证了方案的可行性。该系统已在楼宇安防、智慧哨兵和智慧医院运维等场景得到了实际部署使用，验证了所研究的技术与方案的实用性。 收起