推荐星级：

联邦物联网中的认证机制研究

更新时间：2019-12-22 21:49:02 大小：2M 上传用户：xiaohei1810 查看TA发布的资源 标签：物联网 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

针对物联网(IoT)的特殊结构以及传统基于X.509证书的认证方法和密钥建立机制不适用于IoT环境的现状,利用椭圆曲线密码(ECC)技术,提出一种基于ECC证书的联邦IoT认证方案和密钥建立机制.将认证过程分为注册和相互认证2个阶段进行实施,并且根据IoT实体所处管理域的不同,将认证分为同一管理域中设备的相互认证、不同管理域中设备的相互认证、端用户与设备之间的相互认证3种情况,分别构造认证协议和共享密钥建立方案,描述实现过程,并对该方案的安全性进行分析.分析结果表明,该方案能为IoT实体之间提供安全的端到端的连接,保护设备免遭网络攻击.

部分文件列表

文件名	大小
联邦物联网中的认证机制研究.pdf	2M

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

第42卷第9期

算机工程

2016年9月

V01．42

NO．9

201

September

Computer Engineering

· 安全技

文章号：1000-3428(2016)09-0110-06

文献

志

：A

中

分号：TP393．08

邦物网中的

机制研究

沈海波，勇昌

(广第二范学院算机科学系，广州510303)

摘

要：

物

网(IoT)的特殊构以及

基于X．509

(ECC)技，提出一种基于ECC

施，并且根据IoT 体所管理域的不同，将

、端用的相互 3种情况，分构造

的

方法和密建立机制不适用于IoT 境的

状，利用

曲

密

的

邦IoT

方案和密建立机制。将

同一管理域中

程

分

互

注册和相互

2个

段

行

分

的相

、不同管理域中

的相互

与

之

和共享密建

立方案，描述

端的接，保

程，并

免遭网

方案的安全性行分析。分析果表明，方案能 IoT 体之提供安全的端到

。

攻

关

：物网；

；

曲

密

；管理域；

；安全性

15．

中文引用格式：沈海波，勇昌．邦物网中的

英文引用格式：Shen

机制研究[J]．算机工程，2016，42(9)：110．1

of Authentication Mechanism in Federated Internet of

Haibo，Chen Yongchang．Study

Things[J]

Computer Engineering，2016，42(9)：110— 115．

of Authentication Mechanism in Federated Internet of

Study

Things

SHEN

Haibo，CHEN Yongchang

5 1

Education，Guangzhou

(Department

view of the

Computer Science，Guangdong University

0303，China)

structure of the Internet of

the status of the traditional X509

to IoT

【Abstract】In

special

Things(IoT)，and

method and

mechanism not

establishment

certificate based authentication

key

environment，using Elliptic

applicable

Curve

an authentication and

establishment mechanism for

key

Cryptography(ECC)technology，this paper proposes

certification．The

consists of two

phases including registration

federated loT based on ECC

authentication

process

mainly

and mutual— authentication

on the different administrative domains of the IoT

entities，the

phase

phase．Based

authentication，which

between two devices in distinctive administrative

proposed

two devices in the

between

mechanism includes three kinds of mutual

are authentication

process

same administrative

domain，authentication

domain，and

establishment

process

end．user and IoT authentication

devices．The

and shared

key

authentication

schemes are

between

process

protocol

the

authentication mechanism．In

the

are elaborated in

end，

structured，and

implementation procedures

every

show that the mechanism can

results

secure end— to— end

the

of the mechanism is

provide

security

discussed．Analysis

the device from network attacks．

connection between the IoT entities and

protect

Curve

Cryptography(ECC)；administrative domain；

【Key words】Internet

Things(IoT)；authentication；Elliptic

certificate；security

DOI：10．3969／j．issn．1000-3428．2016．09．020

大量异构

通常按服目的，构成一个一个的子

概述

网

(本文称管理域)，此子网再通

与Internet相，构成一个邦ToT⋯ 。在邦ToT

中，由于性，一个点可能从一个管

理域迁移到另一个管理域，造成互不

可抽取和理数据，提

通常没有或只有

界网关

物

网(Internet

Things，loT)是当前互

与互

网

点

的

展，它可以通各种有和无

融合，用海量的感器、智能

定位系等，

智能化

网

之

合

理

端、全球

和信任关系缺失怛。；

其他或端用

些

；

物与物、物与人的随随地接，

、定位、跟踪、控和管理。IoT中

供

些

以

基金目：广第二范学院教授科研

基金

助

目(2014ARF24)。

与信息安全；勇昌，

E-mail：jkxshb@163．com

作者介：沈海波(1963一)，男，教授、博士，主研方向

网

、博士。

收稿日期：2015-08-24

修回日期：2015· 10-29

万方数据

111

第42卷第9期

沈海波，勇昌：邦物网中的

攻。因此，必

机制研究

比

弱的保措施，易于遭受网

其安全性和，特是ToT中的身份管

考

私

理、

、

控制、安全通信通道建立等

㈡。。。

了保 IoT安全，在交互数据前，通常要求端

或IoT 首先自己或行相互，从

用

而保障2个合法的loT 体可利用它的合法身份

建立信任关系，在它建立端到端的安全通信

之

接，保

和数据免遭未授

的

和网攻

。61。由于IoT

的

源受限性、

交互性，

必

具有

性，而

的基于X5．09身份

或属性

的

方法和密建立机制并不适用

于IoT 用，因它太

基于 (Elliptic

ECC)¨1技，分同一管理域中

管理域中的相互、端用

复

，

于解析。因此，本文

Curve

曲

密

Cryptography，

邦loT

构

的相互

与

、不同

的相互

在

邦IoT中，在

之合作交数据、用

之

中的数据之前，需要行双向的

，以防

3种情况，提出邦IoT

和共享密建立方案，解

分析。

用

境中的相互

程并行安全性

止

源的非法

同，把邦IoT中的

理域中2个

的相互

。根据IoT 体所位置的不

分

的相互

；端用

以下3种形式：同一管

；不同管理域中2个

之

2 邦IoT及其

方式

之

与

之

的

的相互

，分

了更好地

和管理IoT中大量异构和性能

源，一般要每一个分配

一个唯一的身份ID(如IPv6地址8)，并将它

。并且将邦IoT中2个体之

注册和相互

需要从各自的RA 取安全

用于后的相互

受限的感知

和

2个段。首先是注册段，IoT

、公／私

之

，

成一个一个的子网，形成一个一个的管理域，

些管理域通界网关与Internet相。假定每一

个管理域都有一个丰富、功能大的

注册中心(Registration Authority，RA)，如

段；其次是IoT

、端

用

与loT

由于

之

曲

的相互

段。

源

密

算法(ECC)的短密

、

作

和

算量小特性，在无

感网和loT中得到

点或网关，

此管理域中

生等，它相当于一个功能更

中心(Certificate

的注册、

放与

广泛的用¨。”。。

作出如下

方案也主要基于ECC，

此

、公／私

大的局部

的

明，如表1所示。

Authority，CA)。

并且定，IoT中每一个

必注册于相的

表1

定

RA∽。。

的管理域，也可能位于不同的管理域中；它通常需

要相互合作，完成相的任就需要行端到端

的相互，以保 loT的安全

由于来自不同管理域的

到跨域

系；loT中的端用

，IoT中不同的

可能位于一个相同

定

一个有限域，其中P是素数

，

定

在，。上的

曲

数

Y2=X3+ax+

E(P，a．b，G，n)

和用

私。

b，G是E的基点，其

体D 生的随机数

体D的私

之

的

，涉及

rD E[1，2，⋯ ，n一1]

娃D

，，足D

，vD

，需要2个不同RA之建立邦信任关

及其数据之前，也需

体D的公

在

体D 生的密学一次性随机数

体U和体y之共享的安全密

要与相关的RA建立安全接，从RA

全凭。因此，需要一个共用的可信

取

的安

Kuy

中心CA，

用于各RA之、用与RA之建立安全接；也

提供公用的称主密 K，用于消息 MAC的

段

算。些管理域、端用

邦IoT，其构示意

、

如

、CA共同构成了一

在相互

之前，各个

必在各自的RA

个

1所示。本文定，

中注册，取各自的安全

，用于后

的

邦IoT中各RA之、端用与RA之基于RSA

算法和数据

程。RA收到

的安全

的

求后，

求和

各

生

生相

程如 2

安全(Datagram Transport Layer

⋯ 。。

所示。

Security，DTLS)¨0‘握手方式建立了安全接⋯ 。。

万方数据

算机工程

2016年9月15日

向D 送一个Finished响消息，以

程。在注册

束

求

即

注册中心(RA)^

和

生

点

段

取的安全

6⋯ 桶。

，可用于与管理域内外的网

从上述程可知，用密

体

行安全通信。

160位的

度

曲

上的点作安全

Cert。，它只有44 Byte，

，因此是的，比适用

小于1

KB的X．509

于

源受限的loT 景。

段

4．1

同一管理域中2个

之

的相互

由于2个

同

于同一个管理域中，它

取安全，使用共同的

参数，因此能比容易地

从

一个共用的RA

曲

相互

，

程如 3所示，其中假定

u充当客端，

充当服器。

、弘

。蝴∽

鼢，舌

注册程

具体工作流程如下：

(1)

求者(

D)向RA 送Requestor

Hello消息，附 D的身份∞。，所要使用的

曲

SHAl。

曲

参

160

128

WITH_AES

(2)RA收到D的求消息，商好

数后，以RA Hello消息作，附

数，本文采用CERT_ECC

参

响

确

的

曲

参数、RA的公 p足。。。

(3)D收到响消息后，根据确

的

曲

参

数，生随机数rD∈[1，2，⋯ ，n一1]，算出R。=rD

×G。随后生一次性随机数Ⅳ。，算消息

MAC[RD，∞D，ⅣD]，并向RA 送Certificate

Request消息，附尺D，ND，MAC[RD，IDD，ND]。

(4)RA收到

求消息后，首先

MAC

和Ⅳ。，以确消息的完整性和效性；然后取‰。

同一管理域2个

的相互

程

∈[1，2，⋯ ，n一1]，并取E上的点

生

Cert。=RD+rRA×G，并利用自己的私

R。生D

具体工作流程如下：

的私构建数S=e rRA+skRA(modn)，其中e

(1)客端(

u)向服器(

V) 送

=SHAl(Cert。)。最后生一次性随机数Ⅳ。。，

消息 MAC[Cert。，S，NR。]，并返回求的

算

Client

Hello消息，附 u的身份ID¨。

(2)服器V收到客求消息后，以Server

Hello消息作，附参数、它

所在的RA的身份，D。。。

端

，附 CertD，S，NRA，MAC[CertD，S，NRA]。

响

确

的

曲

(5)D收到

后，首先

MAC和ⅣR。，以确

消息的完整性和效性；然后算出自己的私 sk。=e

xrD+s(modn)和公 pkD=skD×G，其中P=SHAl(CenD)。

最后向RA 送— 个HAshed消息，此消息包括先前的握

手消息的摘要，并用D的公肚。加密。

(3)客端u收到响消息后，生一次性随

机数Ⅳ1，，算消息

向服器V 些参数。

(4)服器V收到些参数后，首先

MAC[CertU，ID U，N。]，并

送

MAC和

(6)RA用自己的公

。。算出D的公以。

Ⅳ¨，以确消息的完整性和效性；然后利用共用RA

Cert。+p七。。，先前的握手消息行加密后，

的公 p七。。算出客端u的公 pk。，=e

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

联邦物联网中的认证机制研究

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页