您现在的位置是：首页 > 技术资料 > 一种基于EAP-IBTLS的无证书物联网终端认证协议

推荐星级：

一种基于EAP-IBTLS的无证书物联网终端认证协议

更新时间：2019-12-20 10:25:10 大小：354K 上传用户：xiaohei1810 查看TA发布的资源 标签：物联网 下载积分：1分评价赚积分（如何评价?）收藏评论(0) 举报

资料介绍

针对物联网中终端设备安全认证机制薄弱、安全威胁较多的问题,提出了一个轻量化的物联网终端认证协议.由于物联网中感知终端资源受限,根据身份标识密码技术的思想,对互联网中广泛使用的EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)认证标准进行改进,提出了轻量化的无证书认证协议:EAP-IBTLS,设计了认证协议的系统架构以及具体的实现流程.在此基础上,提出了一种轻量化的标识密码认证算法.最后,设计了物联网终端设备认证系统原型,通过具体的应用实现,验证了所提出协议的安全性与高效性.

部分文件列表

文件名	大小
一种基于EAP-IBTLS的无证书物联网终端认证协议.pdf	354K

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

No．1

V01．39

第39卷第1期

2019年2月

南京邮电大学学报(自然科学版)

of Posts and

Journal

Telecommunications(Natural Science

Nanjing University

Edition)

Feb．2019

doi：10．14132／j．cnki．1673-5439．2019．01．009

一种基于EAP· IBTLS的无证书物联网终端认证协议

鲁

阳，赵

迎，江凌云，杨丽花

(南京邮电大学通信与信息工程学院，江苏南京210003)

摘要：针对物联网中终端设备安全认证机制薄弱、安全威胁较多的问题，提出了一个轻量化的物联

网终端认证协议。由于物联网中感知终端资源受限，根据身份标识密码技术的思想，对互联网中广

Authentication

泛使用的EAP-TLS(Extensible

Protocol-Transport Layer Security)认证标准进行改进，

提出了轻量化的无证书认证协议：EAP-IBTLS，设计了认证协议的系统架构以及具体的实现流程。

在此基础上，提出了一种轻量化的标识密码认证算法。最后，设计了物联网终端设备认证系统原

型，通过具体的应用实现，验证了所提出协议的安全性与高效性。

关键词：物联网；终端认证；EAP-IBTLS；轻量化

中图分类号：TN918

文献标志码：A

文章编号：1673-5439(2019)01-0062-06

Certificateless authentication

based on EAP-IBTLS in loT

protocol

Lihua

Lingyun，YANG

Yang，ZHAO Ying，JIANG

of Telecommunications＆Information

of Posts and

Telecommunications，Nanjing 210003，China)

(College

University

Engineering，Nanjing

and

authentication mechanism

threats of termi-

at the

of weak

Abstract：Aiming

problem

security

loT terminal authentication

nal

Interact of

the

devices

lightweight

protocol

proposed．

Things(IoT)，a

Dueto the limited resource of the terminal device in the loT

authentication

environment，a

lightweight

pro-

certificateless authentication

tocol is

to the idea of

identity· based

required．According

the

cryptograph，a

proto·

based on the EAP· TLS in the

architec-

col，called

EAP-IBTLS，is

Interact．Also，the system

improved

ture and the

of the

are

it，a

specific implementation process

protocol

designed．Based

device

lightweight algo-

rithm on IBC is

of the terminal

authentication

loT is de-

proposed．Finally，the prototype

system

the

and the

of the

are verified the

by specific applica-

signed，and

efficiency

proposed protocol

security

tion．

Keywords：Internet

Things(10T)；terminal authentication；EAP-IBTLS；lightweight

在现有的物联网系统中，终端设备接入云平台

前通常需要先在平台上身份注册并申请代表设备标

识的一个长字符串序列(Key)，并将Key写入对应

的终端设备中，终端设备上传数据时需要将Key写

入数据包中。云平台只有检测到合法的Key才会允

许终端接人。但是，这样的认证方式安全性较低，很

容易被窃取Key而受到非法设备的攻击。

2004年，IEEE(国际电气电子工程师学会)提

出了基于端口访问控制协议的新一代无线局域网

Au-

安全标准一802．11i，EAP-TLS(Extensible

thentication

Protoc01．Transport Layer Security)是其中

安全性较高、用途最广泛的一种认证协议。但是

在物联网中，终端节点的数量以百亿记，给所有终

端节点颁发证书以及对这些证书进行管理会带来

收稿日期：2018-05-29；修回日期：2018· 12-29

本刊网址：http：／／nyzr．njupt．edu．en

基金项目：国家自然科学基金(6127123)资助项目

作者简介：鲁阳，男，硕士研究生；江凌云(通讯作者)，女，博士，副教授，．edu．cn

引用本文：鲁阳，赵迎，江凌云，等．一种基于EAP-IBl3_S的无证书物联网终端认证协议[J]．南京邮电大学学报(自然科学版)，2019，39(1)：62-67

万方数据

第1期

鲁阳，等：一种基于EAP．IBTLS的无证书物联网终端认证协议

巨大的开销。同时，一些终端节点的资源有限，没

有能力部署证书。所以，需要一种更简单的无证

书的认证协议来实现物联网中海量终端节点的安

全认证。

模型，并设计了已经提出的IBS方案的转化模型。

Gupta等[121提出了一种能够解决密钥托管问题的认

证方案。Ten【l列设计了完整的IBI算法与验证过

程，并利用GridSim工具包模拟实验。

基于标识公钥密码体制是为了简化PKI中证书

的管理而提出的。其中，用户的公钥是即为用户本

身的唯一身份标识作，如身份证号、邮箱号、IP、MAC

等，私钥由可信任机构私钥生成器(PKG)根据用户

身份标识生成。由于公钥直接由身份信息中提取，

不再需要证书和公钥目录，所以不需要证书的交互

与检验，节约了计算和通信成本。

虽然基于标识的认证机制已经有了比较成熟的

理论基础，但是在物联网方面的应用与研究相对较

少。针对物联网终端终端数量庞大且通信与计算资

源有限的问题，提出了轻量化的物联网终端认证协

议：EAP．IBTLS，设计了协议的数据格式和认证流

程，以及复杂度更低的认证算法。

EAP-IBTLS协议

本文以EAP-TLS协议为基础，结合基于标识的

认证技术，提出了更简单的无证书认证协议——

EAP· IBTLS。同时，对现有的标识认证算法进行改

进，提出了一种轻量化的认证算法，可以降低认证过

程中的计算量，提高认证效率。

2．1协议数据格式

本文结合基于标识认证的理论，提出了一种轻

量化的无证书认证协议：EAP．IBTLS。首先，设计了

协议的数据格式如表l所示。

表1 EAP-IBTLS数据格式

1相关工作

EAP-TLS是无线局域网中使用最广泛的协议，

依托证书对通信双方进行身份可信认证，并在认证

的过程中进行密钥协商，加强无线局域网的通信安

全。但是，EAP—TLS协议实际上是对服务器和客户

端的认证，忽略了认证系统的安全性，所以容易受到

中间人攻击和拒绝服务攻击。赵跃华等提出了

在EAPOL报文中添加身份ID和对关键字段加密的

方案应对中间人攻击和拒绝服务攻击，但采用的是

对称密钥，密钥要定期人工置换，带来了密钥更换与

管理的麻烦。付金平心’利用Cookie技术来防止

DOS攻击，但无法防止中间人攻击。池亚平H1设计

了可信网络的EAP-TLS认证方案，搭建了认证模型

协议的各字段含义为：

(1)Code：l字节，表示数据包的类型，包括4类。

①Request：请求信息，认证方发送给客户端的

身份请求信息；

②Response：响应信息，客户端返回给认证方的

身份信息；

③Success：认证成功信息，认证方发给客户端

表示认证成功，允许客户端接人；

④Failure：认证失败信息，认证方发给客户端

表示认证失败，拒绝客户端接人。

(2)Identifier：l字节，表示信息的序列号。

(3)Lensth：2字节，表示整个报文的长度。

(4)Type：l字节，表示认证协议的种类，本文

默认为EAP-IBTLS。

o改进了

并进行了安全性分析。Shojaie【41和Ghilen【5

EAP-TLS【61的认证算法，提高了认证效率。但是，上

述方案都是基于证书的认证方式，要求客户端下载

证书，运算量较大，并不能直接应用于资源有限的物

联网终端认证。

Ting等¨ 1首次提出了基于标识的公钥密码体

(5)Data字段包含三部分。

①Data Length：4字节，表示Data字段的总

长度；

制(Identity-Based Cryptograph，IBC)的概念，但并没

有给出严格的证明。Hsu等哺。和Xie等p1提出了基

于椭圆曲线上双线性映射的身份加密方案(BF．

IBE)，并给出了严格的安全性证明，随后给出了基

于身份的签名设计。Islam等¨ 训提出了一种更有效

的IBE机制，解决了IBE无法应用于大规模网络环

境的问题，但需要较多的公开常数。Islam等¨ ¨ 首

②Time：l字节，表示时间戳；

③TLS Data：N字节，表示认证双方的交互信

息，包含挑战、应答信息等。

2．2

EAP-IBTLS认证流程

本文基于终端、网关、平台的三级物联网系统结

构，设计了EAP-IBTLS的认证交互流程如图1所示。

Identification)的安全

次提出了IBI(Identity· Based

万方数据

2019生

南京邮电大学学报(自然科学版)

EAP

TLS

11LS

TLS

)

图1 EAP-IBTLS流程图

终端是身份认证的发起方，网关(GW)负责终

端接入控制以及数据透传，实现EAP．TLS中AP的

功能。平台实现认证服务器的功能，即对物联网终

端的身份进行认证。，具体的认证交互流程为：

(1)终端向网关发送EAP．Start消息，请求开始

进行身份认证；

要证书的交互，不用建立证书列表，减少了证书管理

维护的开销；

(3)PKG只负责产生及分发用户的私钥，不用

参与用户之间的身份认证，即认证时不需要在线第

三方参与。

3轻量化IBI认证算法

(2)网关接收到Start后向终端发送获取身份

请求Request；

3．1身份标识模型

(3)终端返回自己的唯一身份标识ID；

(4)网关将身份标识ID添加进RADIUS协议，

基于标识认证体制中，用户的公钥即用户的身

份标识ID，或由lD通过公开的算法简单的计算出

来。目前，用户的身份ID并没有统一的标准模型，

现有的一些方案中，ID通常为邮箱、身份证、MAC

地址或IP地址等信息。但是，由于物联网中终端的

数量达到数百亿，现有的ID模型无法满足这么大数

发给认证服务器；

(5)认证服务器返回IBTLS—START至终端，开

始IBI认证协议的四步握手；

(6)第一步先确定协议版本、加密套件、压缩算

法、会话ID等；

量的终端需求，且标识模型标准的不同会导致ID的

错乱。本文基于WoT思想，将所有的物联网设备按

照统一的资源化模型进行抽象，得到对应的URI路

径，将其作为相应设备的身份ID。ID抽象模型如表

2所示。

(7)第二步平台发送自己的身份标识ID、认证

挑战、时间戳等信息；

(8)第三步终端向平台发送自己的身份标识

ID、认证结果、认证挑战、时间戳等信息；

(9)第四步改变机密套件和结束握手协议；

(10)四步握手完成后，客户端会向平台发送

表2物联网设备身份m模型

TLS

ACK；

(11)平台向网关发送EAP—Success，表示认证

成功，网关会打开受控端口并把消息发送给终端。

与EAP．TLS相比，本文的方案具有以下的

优势：

本文提出的模型不仅能保证ID与设备的唯一

映射，使得设备能够被统一访问，避免错乱现象；同

时，能够依据映射路径对设备进行访问控制。例如，

庭院传感器终端的ID的抽为：／patio／terminal／sen．

sor／01；实验室网关的身份ID抽象结果为：／labora．

tory／gateway／ap／02；实验室云平台(认证服务器)的

身份ID抽象为：／laboratory／cloud／server／03。

(1)省略了认证过程中证书的交互，用户的公

钥就是用户的身份ID，或可以由身份ID简单计算

出来，减少了通信时证书交互的开销；

(2)认证双方只需要知道对方的身份ID，不需

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源

一种基于EAP-IBTLS的无证书物联网终端认证协议

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页