秦体红 汪宗斌 张 宇 刘 洋

(北京信安世纪科技股份有限公司 北京 100052)(qintihong@infosec.com.cn)

1 研究背景

物联网(Internet of things，IoT)是通信网和互联网的网络延伸和应用拓展，是新一代信息技术的高度集成和综合运用，可利用感知技术与智能装置对物理世界进行感知识别，通过网络传输互联进行计算、处理和知识挖掘，实现人与物、物与物的信息交互和无缝链接，以达到对物理世界实时控制、精确管理和科学决策的目的[1].

随着IoT技术的发展，深刻改变了传统产业形态和社会生活方式，催生了大量新产品、新服务和新模式.与此同时，泛在化、海量接入、网络复杂和业务繁多等特性，使得物联网面临着错综复杂的安全风险.当前，基于物联网的攻击成为现实，针对物联网用户隐私、基础网络环境的安全事件频发.安全问题已经成为阻碍物联网健康快速发展的主要困难之一.

物联网有着海量的终端节点，给所有节点颁发证书及管理带来巨大的开销.此外，一些终端节点的计算存储资源有限，部署证书困难，传统的PKI机制难以适应物联网应用场景[2].因此，需要构建轻量级证书管理机制，实现物联网应用中的高效认证和安全传输.在资源受限的物联网应用场景中，提供安全高效的隐式证书认证服务对于提高物联网认证效率、优化物联网安全服务具有重要意义.

数字证书服务以公钥密码基础设施为核心支撑，通过独立、公正的CA机构向各类用户发放数字证书，保障各类用户身份的可认证性，已成为目前网络信息安全认证领域中的主流技术.数字证书服务主要包含证书申请、更新、变更、解锁和撤销等相关内容，作为一种身份认证技术的基础，能够在不安全的网络环境下提供身份认证与鉴别，在网络通信、互联网和云服务等各个领域中广泛应用.

传统的数字证书由用户向RA申请，证书认证中心CA颁发，数字证书包含用户的公钥和用户的身份信息，然后认证中心CA用自己的私钥对用户证书信息作数字签名.数字证书颁发具体过程如下：用户首先向RA申请，并产生自己的签名密钥对(加密密钥对一般由密钥管理中心产生)，并将其公钥及部分个人身份信息经安全信道发送给CA.认证中心在核实用户身份后认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和公钥信息，同时还附有认证中心的签名信息.而隐式证书相对于传统的证书有很多优势，首先，隐式证书大小比传统的证书要小很多，ECQV隐式证书大小仅仅117 B[3]，传统的RSA2048的证书大小约2 KB,基于ECC(SM2/ECDSA)的证书大小约1 KB；其次隐式证书不需要像传统公钥证书那样通过CA的数字签名对其认证，隐式证书通过隐式签名的方式，重构用户的公钥，在协议交互过程中进行认证，比传统的证书认证效率高.因此，在物联网、智能家居等资源受限制的应用场景中隐式证书比传统证书有很大的优势.

2 传统PKI技术在IoT领域的局限性

公钥基础设施(PKI)广泛存在于各种用于集中证书管理和密钥分发的网络化系统中.由于经济和技术2方面的原因，IoT采用PKI的速度较慢.相反，嵌入式系统通常依赖于预共享密钥(PSK)，当这些系统连接到互联网并成为全球寻址时就会出现问题.密钥必须在部署之前安装，由于集中式资源必须与每个设备共享1个密钥以进行通信，单个服务器的泄露可能会使整个网络处于危险之中.此外，许多基本的安全保证，如来源证明、访问控制、不可否认和身份验证，在PSK系统中根本不可能实现.

但是PKI技术在物联网领域的可伸缩性、互操作性、假名重用策略和撤销机制以及性能方面也存在某些局限性.主要体现在以下方面：

1) 隐私和信任.虽然不同PKI授权机构在技术上存在差异性，但尚未明确定义谁将操作身份和提供凭证，以及如何建立信任关系.不排除1个组织可以操作多个权威机构.一些安全漏洞有可能严重削弱技术隐私保护措施，因为它们转移了对信任的关注.文献[4]指出，影响认证机构的串通或安全事件变得越来越频繁，因此PKI体系结构的存在本身并不能保证对等体之间建立信任，需要额外的措施来加强可扩展的信任网络.

2) 可伸缩性.IoT通信的效率及其可扩展性是考虑到所使用的大规模的多域设备环境的重要因素.例如，在车联网应用场景中可伸缩性问题出现在几个不同的环境中，节点的数量对网络连接和无线信道拥塞的可能性有影响.此外，协议设计对可伸缩性有很大影响.最关键的瓶颈是带宽限制，例如，在车辆网中由于采用CSMA/CA介质接入方案的共享无线信道和远程节点之间的多跳通信，有限的带宽因信道利用率低而进一步降低.在稀疏VANET中，必须通过智能“存储转发”算法克服低连通性，而在密集的网络场景中控制网络负载是可操作性的最重要挑战.通过媒体发送的消息数量受到车辆的数量以及部署在这些车辆中的应用程序的影响.可伸缩性的另一个重要方面是非对称算法的性能.文献[5]总结了数字签名性能，1辆车能够每秒执行大约1 000次验证.另一方面，对强大隐私保障的需求导致了更加复杂的PKI，其中有许多实体，使其难以伸缩.

3) 节点的撤销.文献[6-7]研究表明，在从网络中移除行为不诚实的节点的撤销策略中，只有当使用的假名方案支持从其假名中解析参与者的长期身份时，才能实现这一点.在这种情况下，长期证书撤销的信息通过CRLs或其他方式传播给其他参与者，这不利于保护隐私[8].总的来说，上述几个PKI机制可以解决假名证书撤销的问题，但是对保护用户隐私的情况下进行证书撤销目前尚未有统一的标准.这是因为在漏洞和成本之间存在权衡，特别是与证书吊销列表的大小有关.

3 隐式证书机制

隐式证书机制[9]由三方组成：证书请求者user、认证中心CA和证书处理者V.证书请求者向CA发起证书请求，CA确认身份后响应请求者，发送隐式证书给证书请求者，重构自己的公私钥，证书处理者获取用户的公钥.

3.1 OMC机制

OMC隐式证书[10]机制包含以下几个步骤：

1) setup.建立系统参数(ECC参数)、哈希函数以及随机数发生器和证书编码格式.

2) Cert Request.用户Bob向CA发送证书请求:随机生成r∈(0,n),R=[r]G.通过安全的信道发送R,IDBob.

3) Cert Generate.CA接收用户的请求，并根据用户身份生成用户的隐式证书certBob,CA生成随机数k∈(0,n),P=R+[k]G,s=k+H(P,I)c,CA的私钥是c，公钥是C.发送cert=encode(P,IDBob,*).

4) Cert PK Extraction.接收到CA的隐式证书，用户计算出公/私钥：b=rh+smodn,B=P+H(P,I)C.

5) Cert Reception.验证公钥的有效性,B?=[b]G.

实现方式如图1所示:

图1 OMC隐式证书机制

3.2 ECQV机制

ECQV隐式证书机制[9]包含以下几个步骤：

1) setup.建立系统参数(ECC参数)、哈希函数以及随机数发生器和证书编码格式.

2) Cert Request.用户Bob向CA发送证书请求:随机生成r∈(0,n),R=[r]G.通过安全的信道发送R,IDBob.

3) Cert Generate.CA接收用户的请求，并根据用户身份生成用户的隐式证书certBob,CA生成随机数k∈(0,n),P=R+[k]G,s=c+H(P,I)k,c是CA的私钥，发送cert=encode(P,IDBob,*).

4) Cert PK Extraction.接收到CA的隐式证书，用户计算出公私钥：b=s+H(P,I)rmodn,B=C+H(P,I)P.

5) Cert Reception.验证公钥的有效性,B?=[b]G.

实现方式如图2所示:

图2 ECQV隐式证书机制

3.3 隐式证书优势

与传统证书(RSA,ECDSA)相比，ECQV隐式证书具有以下优点:

1) 证书较小.因为ECQV隐式证书不包含签名数据.从表1可以看出，ECQV隐式证书的大小要比ECDSA和RSA小很多.

表1 不同类型证书大小比较[11]

2) 签名更快.隐式证书比显式证书签名速度快，其派生公钥比验证数字签名快[11](数字签名在显式证书中是必需的).此外，在协议操作过程中还可以合并一些计算.使用隐式证书时对签名没有显式检查;所有验证都是作为证书使用的一部分执行的.

4 基于SM2的隐式证书认证

随着物联网业务的不断发展,适用于物联网的认证协议是保证物联网安全必不可少的环节.由于物联网有海量的终端节点，给所有节点颁发证书并进行管理带来巨大的开销.此外，一些终端节点的计算存储资源有限，部署证书困难，因此传统的PKI机制难以满足物联网应用需求，急需轻量化的PKI/CA技术.隐式证书机制对比传统显式证书在证书大小、证书管理以及计算性能方面有着显著的优势.因此，基于商密SM2算法的隐式证书机制可以有效解决上述问题.

4.1 基于SM2的隐式证书机制

4.1.1 隐式证书机制密钥生成过程

1) 用户的临时私钥为b∈[1,n-1]，对应的临时公钥为B=[b]G；

2) CA的私钥为c∈[1,n-1]，对应的公钥为C=[c]G.

4.1.2 基于SM2算法隐式证书机制

1) 首先检查entlb,a,b,Gx,Gy是否为字符串，如果不是则按SM2中数据类型转换方法转换为字符串，并仍然记为entlb,a,b,Gx,Gy，计算Zb=H(entlb,a,b,Gx,Gy)；

2) CA任取随机数k∈[1,n-1]，按SM2中数据类型转换方法将k转换为字符串，并仍记为k；

3) 计算hk=H(Zb‖B‖k),按SM2中数据类型转换方法将hk转换为有限域GF(q)中的元素，仍记为hk；

4) 计算Y=B+[hk]G=(x1,y1)；

5) 令h=H(Y‖C‖I)，其中I=IDb‖TimeCA‖Timebegin‖Timeend，即用户的身份IDb、证书发布时间TimeCA、该证书可用的起始时间Timebegin、该证书可用的失效时间Timeend；

6) 按SM2中数据类型转换方法将e和y1转换为整数，仍记为e和y1，计算r=(h+y1) modn，s=(r·hk+c) modn；

7) CA按SM2中数据类型转换方法将s和Y转换为整数，仍记为s和Y，并将s,Y和I发送给用户.

即用户的隐式证书cert由I和Y组成.

综上所述，用户公钥Q=[r]Y+C,可以计算出用户的私钥d=rb+smodn.通过计算[d]G=[r]Y+C是否成立来验证公钥的合法性.因为：

[d]G=[rb+s]G=[rb]G+[s]G=
[r]B+[r·hk]G+C=[r]Y+C.

4.2 安全性分析

在随机预言机模型下，隐式机制的安全性也等价于ECDLP问题.假设合法的用户分别是Bob1,Bob2,…,Bobn,CA分别表示为CA1,CA2,…,CAj，其公钥为Cj,且每个合法的用户均复制了CA的公钥，用户Bobi向CAj发送隐式证书的请求表示为(Ri,j),CA收到请求响应为(Pi,Ii,si).隐式证书机制的安全模型如图3所示：

图3 隐式证书安全模型示意图

定义敌手的攻击模型[10]如下：

定义1.隐式证书机制的攻击敌手A(τ,ε)是PPT,其在时间至少为τ任意次与合法用户和CA间交互以下操作：

1) 接收到Bobi向CAj发送隐式证书的请求(Ri,j)；

敌手A至少以概率ε输出(P,I,b),使得b是用户的重构公钥对应的私钥，且满足：

1) (P,I)不是CAk响应的部分，或

2) (P,I)包含在Bobi向CAk发送隐式证书的请求(Ri,j)的响应部分之中.

如果敌手A(τ,ε)攻击成功，那么在多项式时间τ内其概率ε是不可忽略的.

定理1.隐式证书机制的安全性等价于ECDLP问题.

证明. 在上述攻击模型下，假设敌手Bob向A发送请求(R,I),

R=rG,r∈(0,n).

敌手A接收请求(R,I)，并伪造请求(R′,I′)发送给CA或者伪造CA的响应(P,I,s)，假设伪造后的响应为(P′,I′,s′):

P′=R′+kG,k∈(0,n),
s′=c′+H(P′,I′)kmodn.

敌手A发送响应(P′,I′,s′)给用户，然后用户计算自己的重构公钥及对应的私钥：

b′=s′+H(P′,I′)rmodn，
B′=C+H(P′,I′)P′.

用户验证其重构公钥的正确性：

b′G=(s′+H(P′,I′)r)=
(c′+H(P′,I′)k+H(P′,I′)r)G=
c′G+H(P′,I′)P′.

如果敌手A攻击成功，则有

b′G=B′，

即敌手需要求解c′G=C，而求解ECDLP是困难的，故ECQV机制的安全性等价于ECDLP问题.

5 IoT PKI问题及建议

对于物联网而言，建立身份至关重要，但是随着物联网的发展，其从数以亿计的设备发展到数以千亿设备，找到一种规模化身份识别的方法将是一个越来越大的挑战，这也是当今亟待解决的一个问题.此外，一些终端节点的计算存储资源有限，部署证书困难，传统的PKI机制难以适应物联网应用场景.以车联网为例，车联网作为物联网技术在交通领域的典型应用场景，车联网的高随机性、高动态性的特点，对认证机制要求具有低时延、高可靠的特性.当前车联网证书管理系统放弃了X.509证书格式，使用短证书进行消息签名验签，采用高频率、随机变换的签名方法，实行密钥衍生批量发放、车端缓存的证书管理机制.

PKI广泛存在于各种用于集中证书管理和密钥分发的网络化系统中.由于经济和技术2方面的原因，物联网采用PKI的速度较慢.相反，嵌入式系统通常依赖于预共享密钥(PSK)，当这些系统连接到互联网并成为全球寻址时就会出现问题.密钥必须在部署之前安装，由于集中式资源必须与每个设备共享1个密钥以进行通信，单个服务器的泄露可能会使整个网络处于危险之中.此外，许多基本的安全保证，如来源证明、访问控制、不可否认和身份验证，在PSK系统中根本不可能实现.

1) 参与IoT的节点其可信度评价及其不当行为检测:评估一个节点的可信度是一个开放的问题，定义节点是否可信的标准是什么.

2) 撤销过程和证书撤销列表的管理和分发:一旦发现不当行为，撤销过程如何；在CRL中使用短寿命证书和证书更改策略还没有明确的定义，对于链式证书颁发机构，证书验证和证书撤销的时间更长，有什么替代方案.

3) 安全、隐私和不可追溯性:从密钥分发开始，它是谁的专属；没有提出密钥大小、认证延迟和特定协议.为保证隐私而定期交换证书的方法还没有定义.此外，对于不可追溯性和隐私性，还没有采用更有效的方法来实现部分假名分布和buttertly密钥.此外，使用移动IP或改变IP或MAC地址的设备，以防止追溯仍在研究中.

4) 跨域认证：对于车联网而言，由于车辆的移动性不能受到地理上的限制，因此这些服务很可能会跨越多个管理域.在这种情况下，一个关键的挑战是建立和管理实体之间的信任，从2个单一系统组件之间的双边交互开始，并随着这些系统连接到更大的实体而继续下去.但是，如何才能对单个系统的安全性和隐私属性作出合理的陈述，并将其转换为对系统分层组合的安全性属性的陈述呢，因此，在服务和设备之间建立信任的迫切需要不能仅仅通过公共集中式解决方案(如PKI)来保护.

IoT PKI技术未来可能的发展方向：

1) GBA框架应用在V2X安全认证.3GPP[12]定义的通用引导架构(generic bootstrapping architecture, GBA)框架提供了一种基于移动通信网络和用户卡的通用认证和会话密钥管理机制,可以为应用层业务提供完整的安全认证及应用层会话通道加密服务.因此如何将GBA框架应用在车联网安全体系下是目前研究的热点,车联网安全管理系统通过引入GBA机制,可以在不需要根证书的情况下安全地进行多证书的安全导入,有助于建立证书间的互信机制,以解决隶属于不同CA管理系统的节点间消息验证及互通的问题.

2) 可信计算.可信计算体系架构以密码体系为基础、可信主板为平台、可信软件为核心、可信网络连接为纽带.使用可信计算技术以及直接匿名认证，将信任从后端基础设施转移到终端[7,13]，从而简化基础设施模型，不需要一个专门的实体来承担PKI这个角色.

6 结束语

在物联网终端安全中构建统一的身份识别认证体系至关重要，以防未授权的设备接入物联网中.目前，PKI体系可使得物联网设备和使用者能够彼此相互认证.但由于物联网终端设备数量多、资源受限，传统的PKI/CA技术无法满足物联网这种轻量级需求.相比传统的证书体制，隐式证书作为一种新型的证书认证方式具有很多优势.

目前，车联网是数字证书认证在物联网中应用的主要场景.交通行业已经形成以V2X-SCMS-CA为中心的电子政务证书系统，为每个智能交通设备颁发网络身份证即数字证书，且在各类安全产品中采用我国自主可控的SM系列商用密码算法.

随着《中华人民共和国密码法》在2019年正式发布，商用密码在各个领域广泛应用,物联网领域密码应用能力得到提升.但相对于互联网和移动通信网安全而言，物联网安全研究处于起步阶段.由于物联网本身特点使其研究难度增大.当前已有一些轻量级加密、认证算法，但是还没有提出完整的适用于物联网的整体安全方案.围绕物联网的行业应用和安全需求，应加强以密码为核心的物联网整体安全框架设计，在物联网芯片、模组、设备、网络和系统等多个层次推动密码技术的融合，实现从物联网感知层、网络层到应用层的各层次密码安全保障，以一体化、协同化、智能化物联网安全理念，提升物联网内生安全，确保物联网安全可持续发展.