泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

基于区块链技术的电力物联网终端安全认证系统应用研究

电网状态全感知的目标意味着物联网技术在电网的广泛应用,大量物联网终端通过传感技术、通信技术和计算机技术接入网络。电力物联网终端分布呈现数量大、地域广、采集数据复杂的特点,容易被攻击者突破和入侵,而且传统的中心化认证存在单点失败、性能瓶颈等问题。本文基于区块链技术,研发并应用了基于终端标识符的DID数字身份、区块链多源适配的DID解析器、基于终端凭证信息的零知识证明、基于机器学习算法的设备管理等技术,设计出了一种基于区块链的电力物联网终端安全认证系统。该系统在电网内成功应用,实现了物联网设备接入认证的去中心化,降低了设备接入的网络安全风险,减少了中心化基础设施建设和维护的成本,提高了运维人员的工作效率。     

A secure authentication scheme for Internet of Things

Security is one of the major issues in Internet of Things (IoT) research. The rapid growth in the number of IoT devices, the heterogeneity and complexity of these objects and their networks have made authentication a challenging task. Other constraints such as limited computational ability and power, and small storage of some embedded devices make implementation of complex cryptographic algorithms difficult. So far there has been no established industrial standard to address this problem.Recently, Kalra and Sood, and subsequently Chang et al. attempted to solve the authentication problem by proposing key agreement schemes for IoT devices. However, the security of their schemes were unproven. In this paper we demonstrate that these schemes are insecure. We extend upon their work to present a scheme that enables embedded devices to communicate securely with a server on an IoT network. We prove the security of this scheme using formal methods and demonstrate this under the intractability of some well-defined hard problems. We also discuss some practical aspects related to the implementation of the scheme.     

边缘计算环境下基于区块链的跨域认证与密钥协商协议

身份认证与密钥协商是接入物联网首先要考虑的安全问题.传统的物联网身份认证是基于"云中心-终端设备"的认证架构.而随着边缘计算技术的引入,认证架构转变为"边缘设备-终端设备"的架构,传统的认证方式不再适用.此外,物联网中存在多个通信域,不同域中的设备之间需要进行跨域间认证与密钥协商.针对以上问题,本文设计了边缘计算环境下...     

基于多层区块链的跨域认证方案

针对现有集中式身份认证方式在物联网应用场景下管理成本高、异构信任域之间的证书管理困难以及跨域认证场景下多信任域难以互相信任的问题,提出了一种基于多层区块链的跨域认证方案.使用本地区块链来进行物联网应用场景下分布式的节点管理,使用公共区块链来进行区块链之间的跨链身份认证,设计了跨域认证协议.针对跨域访问时存在的多个管理域相互信任问题,提出了基于信任度评价的委托权益证明(DPOS)来评估节点的可信度.最后对跨域认证方案进行了安全和效率分析,分析表明该方案在保证较好安全性和有效性的基础上,提升了跨域认证的效率.     

基于MQTT协议扩展的IoT设备完整性监控

随着物联网飞速发展,设备数量呈指数级增长,随之而来的IoT安全问题也受到了越来越多的关注.通常IoT设备完整性认证采用软件证明方法实现设备完整性校验,以便及时检测出设备中恶意软件执行所导致的系统完整性篡改.但现有IoT软件证明存在海量设备同步证明性能低、通用IoT通信协议难以扩展等问题.针对这些问题,本文提供一种轻量级的异步完整性监控方案,在通用MQTT协议上扩展软件证明安全认证消息,异步推送设备完整性信息,在保障IoT系统高安全性的同时,提高了设备完整性证明验证效率.我们的方案实现了以下3方面安全功能:以内核模块方式实现设备完整性度量功能,基于MQTT的设备身份和完整性轻量级认证扩展,基于MQTT扩展协议的异步完整性监控.本方案能够抵抗常见的软件证明和MQTT协议攻击,具有轻量级异步软件证明、通用MQTT安全扩展等特点.最后在基于MQTT的IoT认证原型系统的实验结果表明, IoT节点的完整性度量、MQTT协议连接认证、PUBLISH报文消息认证性能较高,都能满足海量IoT设备完整性监控的应用需求.     

面向物联网的基于智能合约的认证和授权方案

由于存在单点失效、规模受限等问题,传统中心化的解决方案很难满足物联网的安全需求。针对这种情况,提出一个面向IoT的基于智能合约的访问控制方案。通过引用IoT智能网关作为IoT设备的中心管理节点和公有区块链的全能节点,采用中心化与去中心化相结合、私有区块链和公有区块相结合、本地局部存储和外部公共存储相结合的方法加以实现。该方案实现IoT设备和IoT智能网关的相互认证,并实现用户对IoT设备中资源及存储在数据库中的数据的授权访问,具有去中心化、分布式优点,满足了规模性和安全性要求。     

A secure authentication scheme based on elliptic curve cryptography for IoT and cloud servers

The Internet of Things (IoT) is now a buzzword for Internet connectivity which extends to embedded devices, sensors and other objects connected to the Internet. Rapid development of this technology has led to the usage of various embedded devices in our daily life. However, for resource sharing and communication among these devices, there is a requirement for connecting these embedded devices to a large pool of resources like a cloud. The promising applications of IoT in Government and commercial sectors are possible by integrating cloud servers with these embedded devices. But such an integration of technologies involves security issues like data privacy and authentication of devices whenever information is exchanged between them. Recently, Kalra and Sood proposed an authentication scheme based on elliptic curve cryptography (ECC) for IoT and cloud servers and claimed that their scheme satisfies all security requirements and is immune to various types of attacks. However, in this paper, we show that Kalra and Sood scheme is susceptible to offline password guessing and insider attacks and it does not achieve device anonymity, session key agreement, and mutual authentication. Keeping in view of the shortcomings of Kalra and Sood’s scheme, we have proposed an authentication scheme based on ECC for IoT and cloud servers. In the proposed scheme in this paper, we have formally analyzed the security properties of the designed scheme by the most widely accepted and used Automated Validation of Internet Security Protocols and Applications tool. Security and performance analysis show that when compared with other related schemes, the proposed scheme is more powerful, efficient, and secure with respect to various known attacks.     

物联网环境下基于NFC的一次性口令认证方案

针对当前部分传统身份认证技术存在耗能高、计算量大、效率低等缺陷,提出一种基于近场通信（Near Field Communication, NFC）技术的一次性口令认证方案。该方案不仅具有一次性口令成本较低、实现简单的优点,适用于物联网环境;同时通信双方运用NFC技术进行交互,利用NFC设备初始化时进行的冲突检测有效地解决了一次性口令认证明文传输的安全性问题。通过对其进行分析,可知该方案在有效防止常见攻击的同时保证了较小的计算量和较高的效率,能够应用到物联网环境中。     

物联网环境下移动节点可信接入认证协议

无线传感器网络（WSN）中的移动节点缺乏可信性验证,提出一种物联网（IoT）环境下移动节点可信接入认证协议。传感器网络中移动汇聚节点（Sink节点）同传感器节点在进行认证时,传感器节点和移动节点之间完成相互身份验证和密钥协商。传感器节点同时完成对移动节点的平台可信性验证。认证机制基于可信计算技术,给出了接入认证的具体步骤,整个过程中无需基站的参与。在认证时利用移动节点的预存的假名和对应公私钥实现移动节点的匿名性,并在CK（Canetti-Krawczyk）模型下给出了安全证明。在计算开销方面与同类移动节点认证接入方案相比,该协议快速认证的特点更适合物联网环境。     

LTE-A网络中基于动态组的有效的身份认证和密钥协商方案

机器类通信（MTC）作为未来移动通信中的通信方法之一,在物联网（IoT）中是一种重要的移动通信方法。当大量MTC设备同时想要访问网络时,每个MTC设备需要执行独立的身份认证,而这会导致网络拥塞。为了解决MTC设备在认证时的网络拥塞问题并提高其密钥协商的安全性,在LTE-A网络中提出了一种基于动态组的有效身份认证和密钥协商方案。该方案基于对称二次多项式,可以同时认证大量的MTC设备,并使这些设备分别与网络建立独立的会话密钥。该方案支持多次组认证,并且提供访问策略的更新。带宽分析表明,相较于基于线性多项式的方案,所提方案传输时的带宽消耗得到了优化：在家庭网络（HN）中的MTC设备与服务网络（SN）之间每次组认证传输带宽减少了132 bit,在HN内MTC设备之间的认证传输带宽减少了18.2%。安全性分析和实验结果表明,该方案在实际的身份认证和会话密钥建立中是安全的,能够有效避免网络中的信令拥塞。     

物联网无线协议安全综述

近些年来,随着物联网的快速发展,其应用场景涵盖智慧家庭、智慧城市、智慧医疗、智慧工业以及智慧农业。相比于传统的以太网,物联网能够将各种传感设备与网络结合起来,实现人、电脑和物体的互联互通。形式多样的物联网协议是实现物联网设备互联互通的关键,物联网协议拥有不同的协议栈,这使得物联网协议往往能表现出不同的特性。目前应用较广的物联网协议有ZigBee、BLE、Wi-Fi、LoRa、RFID等,这些协议能根据自身特性的不同应用在不同领域,比如说LoRa被广泛应用于低功耗广域网、RFID被用于设备识别。然而,由于物联网端设备只拥有受限的计算和存储资源,无法在其上实施完备的安全算法,许多物联网协议会在功耗和安全性之间进行取舍,使得物联网协议的安全性得不到保障。物联网协议的安全性直接关系到物联网系统的安全性,所以有必要对物联网协议的安全性进行分析。本文阐述常见的几种物联网协议所具备的安全能力,包括物联网协议在保护机密性、完整性以及身份认证上所制定的规则。然后从常见的无线协议攻击出发,包括窃听攻击、重放攻击、电池耗尽以及射频干扰,分析了这几种协议在面对这些攻击时的表现。除此之外,我们比较了常见的几种物...     

Mutual authentication scheme for smart devices in IoT-enabled smart home systems

The emergence of Internet of Things (IoT) technology has yielded a firm technical basis for the construction of a smart home. A smart home system offers occupants the convenience of remote control and automation of household systems. However, there are also potential security risks associated with smart home technologies. The security of users in a smart home environment is related to their life and possessions. A significant amount of research has been devoted to studying the security risks associated with IoT-enabled smart home systems. The increasing intelligence of devices has led to a trend of independent authentication between devices in smart homes. Therefore, mutual authentication for smart devices is essential in smart home systems. In this paper, a mutual authentication scheme is proposed for smart devices in IoT-enabled smart home systems. Signature updates are provided for each device. In addition, with the assistance of a home gateway, the proposed scheme can enable devices to verify the identity of each other. According to the analysis, the proposed scheme is secure against a forged SD or a semi-trusted HG. The computational cost of the proposed scheme in the simulation is acceptable for the application in smart home systems.     

Multi Level Key Exchange and Encryption Protocol for Internet of Things (IoT)

The burgeoning network communications for multiple applications such as commercial, IoT, consumer devices, space, military, and telecommunications are facing many security and privacy challenges. Over the past decade, the Internet of Things (IoT) has been a focus of study. Security and privacy are the most important problems for IoT applications and are still facing huge difficulties. To promote this high-security IoT domain and prevent security attacks from unauthorized users, keys are frequently exchanged through a public key exchange algorithm. This paper introduces a novel algorithm based on Elliptic Curve Cryptography(ECC) for multi-level Public Key Exchange and Encryption Mechanism. It also presents a random number generation technique for secret key generation and a new authentication methodology to enhance the security level. Finally, in terms of security, communication and computational overhead, the performance analysis of the proposed work is compared with the existing protocols.     

基于区块链的物联网认证机制综述

随着物联网(Internet of Things, IoT)技术的高速发展,各类智能设备数量激增,身份认证成为保障IoT安全的首要需求.区块链作为一种分布式账本技术,提供了去信任的协作环境和安全的数据管理平台,使用区块链技术驱动IoT认证成为学术界和工业界关注的热点.基于云计算和云边协同两种架构分析IoT身份认证机制设计的主要需求,总结区块链技术应用于IoT场景面临的挑战;梳理现有IoT身份认证机制的工作,并将其归结为基于密钥的认证、基于证书的认证和基于身份的认证;分析应用区块链技术的IoT认证工作,并根据认证对象和附加属性对相关文献进行归纳和总结.从形式化和非形式化两个方向总结基于区块链的IoT认证机制的安全性分析方法.最后展望了未来研究方向.     

基于区块链的物联网访问控制框架

物联网（IoT）中入网设备的海量性、动态性和设备轻量级是内在联系并同时存在的特征。为了同时满足上述三个特征,提出一种基于区块链的IoT访问控制（BBIAC）框架。首先提出了该框架下的BBIAC模型,在IoT授权过程中引入属性的概念以满足模型对海量性的支持;而区块链自身的分布式结构和身份认证方式为该模型提供了动态性的支持;同时,区块链自身提供的安全性和多机构信任使BBIAC模型可以将需要大规模计算和存储的部分部署在区块链中,使该模型支持轻量级的IoT设备。接着,介绍了BBIAC模型完整的工作流程。然后,通过着色Perti网（CPN）对BBIAC模型进行形式化的安全性评估,证明了BBIAC模型的安全性。实验结果表明,BBIAC适用于具有海量性、动态性和设备轻量级特征的IoT环境。     

物联网认证协议综述

物联网设备数量的大规模增长以及人工智能技术的逐步升级给物联网安全带来了严峻的挑战.由于大部分物联网设备具有无键盘输入、CPU结构简单、存储容量小、计算和通信能力弱等特点,以及物联网网络的体系结构和计算机网络的不同,传统的认证协议无法在物联网环境中通用.因此,设计适用于物联网环境的认证协议是保证物联网安全必不可少的环节.本文介绍了物联网认证协议研究的背景以及近几年物联网认证协议的研究进展,分析了物联网认证协议与传统计算机网络认证协议的不同,指出了物联网认证协议中常用的技术和数学方法,包括椭圆曲线加密、秘密共享、量子密码学等,然后从用户与设备认证、设备与服务器认证、设备与设备认证三个方面来介绍物联网认证协议研究的最新研究成果,最后讨论了物联网认证协议未来研究方向.     

基于物联网设备指纹的情境认证方法

针对物联网设备中因非法设备接入带来的远程控制安全问题，提出一种基于设备指纹的情境认证方法。首先，通过提出的对交互流量中单个字节的分析技术，提取物联网设备指纹；其次，提出认证的流程框架，根据设备指纹在内的六种情境因素进行身份认证，设备认证通过才可允许访问；最后，对物联网设备进行实验，提取相关设备指纹特征，结合决策树分类算法，从而验证情境认证方法的可行性。实验中所提方法的分类准确率达90%，另外10%误判率为特殊情况但也符合认证要求。实验结果表明基于物联网设备指纹的情境认证方法可以确保只有可信的物联网终端设备接入网络。     

基于集群架构的物联网终端动态认证仿真

为有效提高物联网终端认证的安全性,基于集群架构对物联网终端动态进行认证仿真。设计的认证策略主要基于双注册因子和对应认证结构,包括常数量和编码特征密匙,在此基础上设定集群架构下物联网双因子注册流程,第一认证因子与服务器达成一致,通过用户初始注册信息终端服务器生成注册凭证,第二因子通过SAS服务器认证,并生成注册会话密匙,完成最终双因子注册,根据注册因子,以X.509V3作为核心签发结构,构造认证数字证书,搭配公共密匙基础设置(PKI),确定身份认证协议,采用"挑战-应答"的形式完成物联网移动终端的认证实现集群架构下,当前物联网终端的整体认证工作。实验数据表明,在标准内核攻击下,设计的物联网终端认证方法可以有效保证自身数据的完整性,提高认证安全和可信性。     

基于可信执行环境的物联网边缘流处理安全技术综述

万物互联时代,物联网中感知设备持续产生大量的敏感数据。实时且安全的数据流处理是面向物联网关键应用中需要解决的一个挑战。在近年兴起的边缘计算模式下,借助靠近终端的设备执行计算密集型任务与存储大量的终端设备数据,物联网中数据流处理的安全性和实时性可以得到有效的提升。然而,在基于边缘的物联网流处理架构下,数据被暴露在边缘设备易受攻击的软件堆栈中,从而给边缘带来了新的安全威胁。为此,文章对基于可信执行环境的物联网边缘流处理安全技术进行研究。从边缘出发,介绍边缘安全流处理相关背景并探讨边缘安全流处理的具体解决方案,接着分析主流方案的实验结果,最后展望未来研究方向。