泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

资源受限的NB-IoT节点的安全认证选择机制

部分窄带物联网设备因资源受限无法利用群组认证方式接入核心网络，在5G网络接入认证框架下，大量设备同时接入核心网络将导致设备处于排队等待状态，引起网络拥塞。本文基于IETF工作组发布的关于资源受限设备的RFC7228标准，提出3种设备类型的群组认证方案。首先，指出窄带物联网设备采用5G接入认证存在的安全与拥塞问题；然后，提出解决的群组认证方案；最后，为3种资源受限设备确定接入认证方式。实验结果对性能与安全分析表明，所提方案符合设备群组认证所需的资源能力。相较于5G接入认证方案，所提方案可降低60%以上的网络信令数，并随组内设备的增加而降低。安全上，具有抗重放攻击、中间人攻击与Dos攻击等能力。     

基于SDP的电力物联网安全防护方案

电力物联网的快速发展及海量终端的泛在连接和智能交互使得电力物联网的网络边界变得模糊,网络安全风险点和暴露面显著增多。文章摒弃传统的先连接后认证的安全认证措施,结合零信任安全机制提出一种基于软件定义边界的电力物联网安全防护方案,该方案利用改进的单包授权技术解决电力物联终端接入过程中存在的身份认证、电力物联系统资源隐藏及访问控制等问题,并从安全和性能两方面对方案进行分析。实验结果表明,该方案能有效抵御多类网络攻击,节省了电力物联终端的计算和通信资源,有效解决了电力物联网存在的安全认证等问题。     

基于Hyperledger的电力物联网分布式认证研究

随着能源互联网的发展和"云、大、物、移"战略的实施,传统的电力物联网终端集中式接入认证方式难以应对泛在普适的应用需求。基于联盟区块链的超级账本技术,研究了电力物联网终端分布式接入认证技术,将安全多方计算中密钥共享和分配协议与超级账本共识算法相结合,提出了一种有效的电力物联网终端接入认证方案。仿真结果表明,所提方案在认证时间和资源消耗等方面具有优势。     

物联网环境下移动节点可信接入认证协议

无线传感器网络（WSN）中的移动节点缺乏可信性验证,提出一种物联网（IoT）环境下移动节点可信接入认证协议。传感器网络中移动汇聚节点（Sink节点）同传感器节点在进行认证时,传感器节点和移动节点之间完成相互身份验证和密钥协商。传感器节点同时完成对移动节点的平台可信性验证。认证机制基于可信计算技术,给出了接入认证的具体步骤,整个过程中无需基站的参与。在认证时利用移动节点的预存的假名和对应公私钥实现移动节点的匿名性,并在CK（Canetti-Krawczyk）模型下给出了安全证明。在计算开销方面与同类移动节点认证接入方案相比,该协议快速认证的特点更适合物联网环境。     

基于大数据的物联网接入身份安全认证系统设计

目前已有的物联网接入身份安全认证系统密钥编排时间过长，系统内存泄露过多。为此，基于大数据设计一种新的物联网接入身份安全认证系统。通过硬件支持，利用大数据分析数据信息，通过用户注册、数据安全认证、密码修改、安全性能分析实现软件流程设计。实验结果表明系统能够在短时间内实现密钥编排，降低系统的内存泄露风险。     

基于物联网设备指纹的情境认证方法

针对物联网设备中因非法设备接入带来的远程控制安全问题，提出一种基于设备指纹的情境认证方法。首先，通过提出的对交互流量中单个字节的分析技术，提取物联网设备指纹；其次，提出认证的流程框架，根据设备指纹在内的六种情境因素进行身份认证，设备认证通过才可允许访问；最后，对物联网设备进行实验，提取相关设备指纹特征，结合决策树分类算法，从而验证情境认证方法的可行性。实验中所提方法的分类准确率达90%，另外10%误判率为特殊情况但也符合认证要求。实验结果表明基于物联网设备指纹的情境认证方法可以确保只有可信的物联网终端设备接入网络。     

面向物联网的可信设备标识及安全更新方案

物联网终端规模巨大、设备间能力差异大，存在资源受限、安全防护能力较弱、部署环境不安全等问题，容易被攻击者利用安全漏洞入侵，物联网终端安全成为当前物联网安全的薄弱环节。基于可信计算技术，面向物联网资源受限终端场景，提出了以物理不可克隆函数和设备标识符组合技术为基础的轻量化密码应用方案，并设计了信任根、设备标识、设备认证和安全代码更新关键机制，可为后续物联网终端安全防护技术研究及工程实践提供参考。     

物联网中基于聚合签名的认证方案研究

随着物联网用户终端数量的增长,现有的接入认证方案出现系统资源消耗大和信令拥塞问题。为了解决认证过程中的这些问题,提高认证效率,本文将安全高效的基于身份的聚合签名方案引入物联网终端与网络之间的认证,可以实现若干的物联网终端只需生成一个签名,就可以完成多个终端的认证。本文提出的方案在保证安全的同时提高了认证的效率,也避免了基于公钥证书的认证方案中证书管理的困难。     

基于区块链技术的电力物联网终端安全认证系统应用研究

电网状态全感知的目标意味着物联网技术在电网的广泛应用,大量物联网终端通过传感技术、通信技术和计算机技术接入网络。电力物联网终端分布呈现数量大、地域广、采集数据复杂的特点,容易被攻击者突破和入侵,而且传统的中心化认证存在单点失败、性能瓶颈等问题。本文基于区块链技术,研发并应用了基于终端标识符的DID数字身份、区块链多源适配的DID解析器、基于终端凭证信息的零知识证明、基于机器学习算法的设备管理等技术,设计出了一种基于区块链的电力物联网终端安全认证系统。该系统在电网内成功应用,实现了物联网设备接入认证的去中心化,降低了设备接入的网络安全风险,减少了中心化基础设施建设和维护的成本,提高了运维人员的工作效率。     

LTE-A网络中基于动态组的有效的身份认证和密钥协商方案

机器类通信（MTC）作为未来移动通信中的通信方法之一,在物联网（IoT）中是一种重要的移动通信方法。当大量MTC设备同时想要访问网络时,每个MTC设备需要执行独立的身份认证,而这会导致网络拥塞。为了解决MTC设备在认证时的网络拥塞问题并提高其密钥协商的安全性,在LTE-A网络中提出了一种基于动态组的有效身份认证和密钥协商方案。该方案基于对称二次多项式,可以同时认证大量的MTC设备,并使这些设备分别与网络建立独立的会话密钥。该方案支持多次组认证,并且提供访问策略的更新。带宽分析表明,相较于基于线性多项式的方案,所提方案传输时的带宽消耗得到了优化：在家庭网络（HN）中的MTC设备与服务网络（SN）之间每次组认证传输带宽减少了132 bit,在HN内MTC设备之间的认证传输带宽减少了18.2%。安全性分析和实验结果表明,该方案在实际的身份认证和会话密钥建立中是安全的,能够有效避免网络中的信令拥塞。     

基于DICE的证明存储方案

信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于DICE的物联网设备证明存储方案,利用基于轻量级信任根DICE构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下3方面:(1)利用信任根DICE构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根DICE的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传输速率,并具备较高...     

基于MQTT协议扩展的IoT设备完整性监控

随着物联网飞速发展, 设备数量呈指数级增长, 随之而来的IoT安全问题也受到了越来越多的关注. 通常IoT设备完整性认证采用软件证明方法实现设备完整性校验, 以便及时检测出设备中恶意软件执行所导致的系统完整性篡改. 但现有IoT软件证明存在海量设备同步证明性能低、通用IoT通信协议难以扩展等问题. 针对这些问题, 本文提供一种轻量级的异步完整性监控方案, 在通用MQTT协议上扩展软件证明安全认证消息, 异步推送设备完整性信息, 在保障IoT系统高安全性的同时, 提高了设备完整性证明验证效率. 我们的方案实现了以下3方面安全功能: 以内核模块方式实现设备完整性度量功能, 基于MQTT的设备身份和完整性轻量级认证扩展, 基于MQTT扩展协议的异步完整性监控. 本方案能够抵抗常见的软件证明和MQTT协议攻击, 具有轻量级异步软件证明、通用MQTT安全扩展等特点. 最后在基于MQTT的IoT认证原型系统的实验结果表明, IoT节点的完整性度量、MQTT协议连接认证、PUBLISH报文消息认证性能较高, 都能满足海量IoT设备完整性监控的应用需求.     

A CPK-Based Identity Authentication Scheme for IoT

As the power Internet of Things (IoT) enters the security construction stage, the massive use of perception layer devices urgently requires an identity authentication scheme that considers both security and practicality. The existing public key infrastructure (PKI)-based security authentication scheme is currently difficult to apply in many terminals in IoT. Its key distribution and management costs are high, which hinders the development of power IoT security construction. Combined Public Key (CPK) technology uses a small number of seeds to generate unlimited public keys. It is very suitable for identity authentication in the power Internet of Things. In this paper, we propose a novel identity authentication scheme for power IoT. The scheme combines the physical unclonable function (PUF) with improved CPK technology to achieve mutual identity authentication between power IoT terminals and servers. The proposed scheme does not require third-party authentication and improves the security of identity authentication for power IoT. Moreover, the scheme reduces the resource consumption of power IoT devices. The improved CPK algorithm solves the key collision problem, and the third party only needs to save the private key and the public key matrix. Experimental results show that the amount of storage resources occupied in our scheme is small. The proposed scheme is more suitable for the power IoT.     

A secure authentication scheme based on elliptic curve cryptography for IoT and cloud servers

The Internet of Things (IoT) is now a buzzword for Internet connectivity which extends to embedded devices, sensors and other objects connected to the Internet. Rapid development of this technology has led to the usage of various embedded devices in our daily life. However, for resource sharing and communication among these devices, there is a requirement for connecting these embedded devices to a large pool of resources like a cloud. The promising applications of IoT in Government and commercial sectors are possible by integrating cloud servers with these embedded devices. But such an integration of technologies involves security issues like data privacy and authentication of devices whenever information is exchanged between them. Recently, Kalra and Sood proposed an authentication scheme based on elliptic curve cryptography (ECC) for IoT and cloud servers and claimed that their scheme satisfies all security requirements and is immune to various types of attacks. However, in this paper, we show that Kalra and Sood scheme is susceptible to offline password guessing and insider attacks and it does not achieve device anonymity, session key agreement, and mutual authentication. Keeping in view of the shortcomings of Kalra and Sood’s scheme, we have proposed an authentication scheme based on ECC for IoT and cloud servers. In the proposed scheme in this paper, we have formally analyzed the security properties of the designed scheme by the most widely accepted and used Automated Validation of Internet Security Protocols and Applications tool. Security and performance analysis show that when compared with other related schemes, the proposed scheme is more powerful, efficient, and secure with respect to various known attacks.     

雾计算中支持计算外包的访问控制方案

在雾计算中,基于密文策略属性加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）技术被广泛用于解决数据的细粒度访问控制问题,然而其中的加解密计算给资源有限的物联网设备带来沉重的负担。提出一种改进的支持计算外包的多授权CP-ABE访问控制方案,将部分加解密计算从物联网设备外包给临近的雾节点,在实现数据细粒度访问控制的同时减少物联网设备的计算开销,适用于实际的物联网应用场景。从理论和实验两方面对所提方案的效率与功能进行分析,分析结果表明所提方案具有较高的系统效率和实用价值。     

A lightweight remote user authentication scheme for IoT communication using elliptic curve cryptography

Internet of things (IoT) has become a new era of communication technology for performing information exchange. With the immense increment of usage of smart devices, IoT services become more accessible. To perform secure transmission of data between IoT network and remote user, mutual authentication, and session key negotiation play a key role. In this research, we have proposed an ECC-based three-factor remote user authentication scheme that runs in the smart device and preserves privacy, and data confidentiality of the communicating user. To support our claim, multiple cryptographic attacks are analyzed and found that the proposed scheme is not vulnerable to those attacks. Finally, the computation and communication overheads of the proposed scheme are compared with other existing protocols to confirm that the proposed scheme is lightweight. A formal security analysis using AVISPA simulation tool has been done that confirms the proposed scheme is robust against relevant security threats.

     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。