黄天峰

摘 要：本文简单地介绍了物联网的定义和特征，闡述了身份认证的含义和本质，在此基础上探索了物联网发展过程中面临的困境和难题，提出了物联网身份认证技术的发展和拓展的路径和策略。

关键词：物联网；身份认证

在我国信息技术和互联网技术快速发展的时代背景下，物联网的应用范围越来越广，给经济社会发展和人们的生活都带来了彻底的变革。可以说物联网改变了当代人们的生活方式和节奏。但是伴随而来的信息安全问题和用户隐私问题也不同我们忽视。如何在提升物联网便捷性的同时保证数据和信息安全，身份认证技术的重要性就显现出来了，在物联网之中引入身份认证技术大有可为，是物联网未来一段时间内发展的主要方向。

一、物联网简介

（一）物联网定义

物联网，顾名思义，就是物物相连的网络。物联网的内涵之中至少包含了如下两层含义：第一，物联网的核心依然是互联网，物联网是对互联网的拓展和延伸；第二，物联网之所以叫物联网，是因为其用户端已经延伸到物体与物体之间，更加便于交换和通信。从这一层面来看，物联网是一种建立在专用网、内网、外网和互联网基础上的互联互通、应用集大成的运营模式，通过建立相应的信息安全保障机制，物联网可以实现对万物的个性化、一体化、实时化检测，追溯、联动管理、防范和决策支持。

本质上来讲，物联网就是一种巨型网络，在这个网络之中，所有的物体都可以自由地进行交流和联系。物联网是在互联网基础上引入无线数据通信技术、射频技术实现的。在网络之中，物品之间可以在免去人工干预和介入的情况下进行衔接和交流。近年来迅速发展的数据通信技术、互联网技术和识别技术在极大程度上提升了物品之间的共享和关联。传统物联网具有如下三个特征：第一，通过二维码、传感器等技术手段实现随时、随地和全面的物体感知；第二，在已有的互联网网络路径的基础上保证物体信息传递的安全性、可靠性和精确性；第三，借助云计算、模糊识别等职能计算手段来实现对数据的针对性处理和对物体的智能控制。

物联网在实际运行之中可以自下而上地划分为以下几个层次：

第一，物联网感知层。该层次面对的是等待感知的具体任务，通过协同处理技术能够对不同种类、不同尺度和不同角度的信息进行在线控制，与此同时还可以将数据接入到接入设备之中，实现不同网络单元之间的资源获取和数据共享。物联网感知层的主要任务就是借助不同类传统器的功能广泛地收集和识别物体静态信息和物体动态信息。

第三，互联网层。互联网层是对内部信息资源和数据进行大规模集成和整合的层次。在物联网平台之中，该层次属于一等核心技术层次，是实现数据交互和资源共享的关键层次。互联网曾为物联网的应用提供了一个高效、可靠的设施平台，为物联网的广泛应用和普及提供了坚实的基础。

第四，服务管理层。服务管理层是为上述三个层次的应用层提供了良好的数据接口，通过计算机群强大的计算能力，可以实现实时监控和网络管理。物联网服务管理层本质上就是将物理网技术和其他各个行业之间联结在一起的层次，其中的关键所在就是继承现有的所有底层功能。物联网正在以极快的速度发展和扩散，已经在智能交通、环境保护、自然灾害预防、数字油田、历史文物保护、医疗监护方面得到良好的应用。

（二）基于RFID的物联网架构

在物联网应用的过程中，RFID是最为常见的一种技术，此技术之中包含电子产品编码、射频识别系统和信息网络系统三个部分。

视频识别系统中包含大量的射频标签，大量根据设置的编码蕴含在射频标签之中，系统中的读写器根据每次的任务需要读取所需信息。该系统之中的本地网络主要由本地数据库和数据处理终端组成；远程网络则由对象名称解析服务和信息服务构成，二者共同作用可以实现对全球物品的管理和跟踪。不同网络之间的是通过实体标记语言和可扩展标记语言共同组成的，共同完成物联网对物品的链接。

电子产品编码能够给物理世界对象提供唯一的标识，可以说电子产品编码是在线数据唯一的地理标识，在同一时间内它只能分配给一个物品，相对应的网络协议地址，从域名服务中翻译得来的，也就是获得了网络信息的详细地址。

信息网络系统主要由中间件、对象名称解析服务、实体标记语言、EPC信息服务模块几部分组成。射频识别设备和应用系统之间主要依靠该中间件进行数据格式转化、数据传输和数据筛选。中间件技术的应用在很大程度上降低了传统应用开发的难度，开发者借助此技术可以避免底层架构，因为读写器获取数据信息之后，中间件可以顺利地完成解密、提取和格式转换任务。中间件的作用在其信息网络系统融入到企业管理信息系统之后将会得到全面反应，使用者查询和浏览将更加便捷；对象解析服务类似于域名解析系统，是能够将一台计算机定位到具体某一物体的相关服务；实体标记语言发展于可拓展表示语言和HTML语言的基础上，该语言可以描述互联网上所有的产品信息，其所设计的描述标准既可以被人机器所用又可以被人所用，实体标记语言是物联网体系下进行信息存储和交换的标准语言体系；EPC信息服务模块是一种全球性的网络，其能够将全球的EPC相关数据在合作伙伴之间交换和沟通。

二、身份认证简介

身份认证技术是安全技术的重要组成部分，其主要职能是鉴别用户身份，避免非法用户侵入网路，篡改和滥用资源。身份认证的目的是建立双方之间的信任关系，让双方能够对彼此的身份没有后顾之忧。本质上看，身份认证信息一般是指认证方特有的信息或者秘密的信息，任何第三方权威（被认证方）都不可伪造，被认证方要出示或者证明来表明自己掌握哪些信息，从而取得被认证方的确信和认可，进而得到身份的认可。身份认证一般会涉及到识别和验证两个流程，一般确认访问者身份和访问者是否符合其声称的身份，从而对其身份进行标识符输入，从而对访问者所声称的身份进行验证，预防冒名顶替的情况出现。识别是保证身份认证系统用户合法性的重要保证，确保其有效性是十分重要的，任意两个用户都不能有相同的识别符，每个用户的识别符是唯一的。需要提醒的时候，识别符可以不是秘密的，但是验证信息必须是秘密的。

身份认证是保障一个通讯网络系统安全最根本的前提，通訊各方必须通过相应的身份验证机制才能将明确自身的访问权限。系统在用户完成身份验证之后就会进行一致性检验，自动地判断用户的身份和用户访问资源的权限。网络通讯的安全性依赖于身份认证和资源访问权限设置，黑客也通常将身份认证系统作为集中攻击目标，因为突破这一底线，他们进入网络通讯将会畅通无阻，而系统安全自然也就面临着严重的问题。构建强大和安全的身份认证体系对网络安全的重要性不言而喻。

当前比较盛行的身份认证技术主要有以下四种：

（1）双因素认证。

双因素身份认证在已有的身份认证技术上增加了物理因素——认证令牌，认证令牌包括智能卡和其他软硬件设施，能够在身份认证的过程中产生动态口令。双因素身份认证下，用户在登录的过程中需要通过静态口令和动态口令的同时验证，只要在两方面的认证均通过的情况下才能真正确认用户身份。双因素身份认证方式可以划分为挑战相应方式、事件同步方式和时间同步方式三种类型。以时间同步认证方式为例，该方式要求认证服务器在同一时间，以同一方式和同样的算法生成当下时刻合法认证口令码，与此同时，用户的认证口令要和认证服务器上的认证口令在时间上保持一致，只有用户发来的认证口令码和服务器的认证口令码一致，用户身份才能确定，认证口令本身具有不可预测性和变化性。

SecureID是一种采用时间同步技术的双因素认证系统，系统组成包括认证令牌，验证服务器和客户端代理三部分，是由美国公司提出的。身份认证双因素系统中，有两个可靠性因素即用户拥有的令牌动态码和己知的PIN码，这使得访问者在获得访问许可之前，能够接受安全可靠有效地身份验证，从而提高了认证的可靠性。

SecureID由美国RSA公司开发，被划分为SEVER、AGENT和认证令牌三个有机组成部分。SecureID是时间同步技术类型双因素身份认证技术最具代表性的技术，其因为已知的PIN码和令牌动态码成为应用范围最广的技术之一。只有经过安全可靠的身份验证，用户才能获得访问许可，认证的可靠性在这个过程中大大提升。

（2）数字证书认证。

数字证书（Digital Certificate）和现实生活之中人们所持有的身份证具有类似的属性，是一种身份证明标志，是一种囊括了身份特征数据的证书。当前数字证书认证的基本框架是由国际电信联盟提供的X.509的标准定义提供的，之后出现的Kerberos技术是建立在X.509证书认证技术上的身份验证方式，不同的是其采取的是非对称密码体制。此外，数字证书认证还需要CA（Certificate Authority）认证机构这个可信赖第三方的支持，该机构主要负责数字证书的发放和用户的身份认证的权威性和真实性。

（3）口令认证。

口令认证方式主要是借助用户名ID和用户密码PW实现对用户身份验证的。系统实现保存了用户名和用户密码，当用户进入系统之后，要输入用户名和用户密码进行验证，系统会将用户输入的二元组信息和系统事先保存的信息进行比较，以此作为验证用户身份的一种途径。口令认证主要适用于小型封闭系统，我们常用的Windows系统和UNIX系统都可以支持口令认证方式，该方法的优点是简单、易于操作；但是其缺点也是显而易见的：传统的、单一的静态口令认证方式中，口令的存储媒介一般都存储在认证方的客户端文件之中，如果系统存在漏洞的话，那么攻击者可以轻松地获取口令文件，当口令文件被盗取之后，认证方系统就有很大的风险遭受离线字典式的攻击；除此之外，用户每次都是以明文的形式输入口令作为系统访问的主要方式，数据在传输的构成中很有可能被盗用和窃取，泄密风险极高。口令认证方式在类别上属于单因素认证方式，系统安全性和口令之间的关系有着高度的关联性；同样地，系统可以认证用户，但是用户却不能对系统进行认证，攻击者很有可能伪装成系统骗取用户口令，身份认证的风险将会变得很大。

（4）生物特性身份认证。

生物特性身份认证方式是建立在人的生物特性基础上，通过提取人生理上的特性或者特殊行为方式来作为验证途径。生物特性身份认证是将数字身份和人的真实身份结合在一起的验证方式，生物特性身份认证已经广泛地应用在网络交易、银行和企业门禁、海关和机场身份验证领域之中。完整的生物特性身份认证需要经历提取生物特性、生成特征模板、测量特征和进行特征匹配等几个步骤。从目前的技术成果来看，生物特性身份热证主要包含指纹认证、手型认证、视网膜认证、签名识别等多种技术。

（5）Kerberos身份认证。

Kerberos是一种对称密码身份认证体系，密钥管理问题在对称密码学的研究中一直是难点问题，因为大量密钥都存放在授权许可服务器和认证服务器上，一旦保管不当，那么密钥就有被盗取的可能性，攻击者具有可能获得假冒用户身份的机会，导致整个认证过程失去效力。同时，Kerberos身份认证技术使用的加密算法只能起到保护数据安全性的作用，却不能起到保护数据完整性的作用。鉴于网络之中所有时钟都是同步的，主机受到欺骗之后，就会因为时间错误而降旧的鉴别码重新纳入到许可证有效期内，导致无效验证情况的出现。

三、我国物联网发发展问题分析

作为一个庞大的信息系统，物联网面临的终端物体规模和传感网的数量是无可比拟的。鉴于物联网连接着大量的终端设备，而这些终端设备的处理能力存在很大差异，它们之间是需要相互作用的，物联网所处理的数据量要远超过移动网和互联网，因此很多物联网身份认证研究之中的问题都来源于系统整合。

第一，安全认证问题。物联网的类型繁多，很难有一种规范的密码协议来应对所有的安全认证问题。服务器和节点之前属于多对多型认证，终点和终端之间则属于一对多认证，需要的密码协议是完全不同的。鉴于物联网终端设备的特殊性，有一些特殊的安全认证需求很难找到现成的协议。

第二，隐私泄露问题。物联网普及之后，我们随身所带的每一样东西都可能含有感知芯片，这些芯片可以和外界即时通讯，有时候可能只是发出一个短信，周边的人就都接收到了。植入到人们生活之中的芯片看不到、摸不着，但是作为电子传感器却时时刻刻会暴露人们的一举一动。物理网技术的隐私危机不容小觑。在这种情况下就产生这样的问题：如何保护人们的隐私？现如今物联网的行动计划之中，绝大多数篇幅都在强调隐私问题。

四、基于物联网的身份认证技术研究

经过几年的发展，物联网的应用范畴已经非常广泛，我国学术界和政府都对物联网的应用秉承支持的态度。物理网的研究已经引起了众多大型科技企业的重视。物联网信息处理程序较为复杂，这是物联网本身高度重视安全、对安全程度要求较高的直接体现。基于物联网的身份认证技术研究具有很强的现实意义。

（一）以无线传感器为主的物联网身份认证

通过身份认证减少不法分子的访问感知节点，这是物联网身份认证要达到的主要目的，唯有如此才能保证数据的安全。笔者认为可以将无线传感器引入到身份认证研究之中并加大对节点、终端节点、接入网的集中研究能够有效地实现提升物联网感知信息的安全性。以无线传感器为主的身份认证会在通信双方认证过节点之后自动形成邻居节点，恶意节点侵袭的情况将会被扼杀在萌芽之中，认证方和被认证方的身份信息可以在信息传输的过程中得到最大限度保护。无线传感器网络之中还需要加入椭圆曲线密码的应用，进一步提升物联网内信息的安全性。在相同的密钥程度之下，椭圆曲线在计算速度上和数据安全性上都具有更加良好的表现。总而言之，椭圆曲线密码优势颇多，在物联网身份认证研究之中具有很强的应用价值。因此，在初始化、双向认证、密钥建立的过程中都可以大力引入。

对于用于认证的信息，用户和基站应当在初始化阶段开展商定程序，商定的内容应该涵盖节点密钥信息和参数信息等数据访问基本信息。椭圆曲线原则应当作为密钥信息实际则合适基点的方法。鉴于此，在获得公钥的过程中，应当以整数在系统认证中心基站中的密钥进行选择。基站建设的过程中同时也是感知网实体分配责任的划分过程，将安全通道变为传递实体ID的媒介。在密钥建立阶段和双向认证阶段，需要将私钥作为优先选择，并在基础上开展密钥和公钥计算，之后再向自己范围内的传感器节点发出请求。如果发出的请求有效，那么基站會将临时密钥反馈给用户，接到反馈的用户需要检查时间戳，以便验证真伪。在充分保证请求有效之后，基站会在计算出公钥之后再反馈给节点。

（二）以云存储为基础的访问控制策略研究

访问控制在本质上是一种授权机制，是对用户访问一定资源的权限进行控制的过程中，这样做的目的是为了减少非法用户侵入资源或者用户操作失误造成的资源和数据损坏，经过访问控制，系统资源可以始终处在合法控制之中，数据的安全性得到了很大提高。物联网时代人们最为关心的就是数据安全问题，访问控制很好地解决了这一难题。在物联网数据信息安全保护和访问控制策略的研究过程中，云存储技术的引入是值得探索的领域。物联网的应用范围越广、应用程度越深，积累的数据也就会越来越多，云存储技术和云计算技术的出现为物联网的应用拓展了极大的空间，能够在减少企业数据存储时间和成本的基础上优化企业数据存储模式。实践表明，在提升数据安全性、提高企业管理安全程度上，云存储表现出更为明显的优势，因为其多样性在满足不同用户数据使用需求上表现得相得益彰、得心应手，根据自身实际身份，用户可以获取相应的访问权限。在该层面的研究之中，需要让云存储在数据控制中发挥作用，明确属性约束分配应遵守的原则。

在以云存储为基础的物联网访问控制策略中，应当重视以下几点的建设：第一，将授权控制环境考虑其中，明确物联网框架之下相关属性的含义和内涵，对时间、温度等概念进行清晰地界定，使得授权的规范性和合理性的到账保障；第二，云存储作为云计算之中的典型，其目的是为用户提供更具针对性的网络服务，将云存储引入物联网访问策略之中，能够降低数据使用成本；与此同时在应用云存储进行数据访问控制建设时要将用户对数据安全和隐私的需求考虑其中，最大限度保护授权用户信息安全，进而保证物联网数据的安全，使得用户可以没有安全忧虑；第三，根据用户属性证书和访问控制策略来设定用户访问权限，系统在属性的应用下只要做好一个访问控制策略库就可以大大减少访问控制工作量，大大降低系统开销。

五、结语

通过本文论述不难发现，物联网已经成为当今社会发展的主要趋势，与此同时其也提出了比互联网更高的数据安全需求。在这种情况下。本文提出利用无线传感器进行身份认证、以云存储技术开展访问控制策略，将这些先进的技术应用到物联网身份认证研究中有利于提升数据的安全性。

参考文献：

[1]冯福伟，李瑛，徐冠宁，杜丽萍，赵桂芬.基于集群架构的物联网身份认证系统[J].计算机应用，2013（S1）：126-129.

[2]王宇涵.物联网身份管理（IdM）技术研究[J].电信快报，2011，05：31-33+37.

[3]孙论强，秦海权，尹丹.物联网安全接入网关的设计与实现[J].信息网络安全，2011，09：16-18.

[4]王汶慧.基于云计算的可定制人口信息系统中多租户隔离的研究与设计[D].北京邮电大学，2012.

[5]李红霞.云计算中身份认证与访问控制管理系统的实现策略研究[D].北京邮电大学，2011.

[6]侯素娟.基于属性的访问控制模型及应用研究[D].重庆大学，2010.

[7]谢巧玲.基于动态口令的双向身份认证识别系统的设计与实现[D].西北大学，2008.

[8]韩君.基于USBKey的Windows身份认证与访问控制研究[D].武汉大学，2004.

[9]Sun，Yuqing，Wang，Qihua，Li，Ninghui，Bertino，Elisa，Atallah，Mikhail.On the Complexity of Authorization in RBAC under Qualification and Security Constraints[J].IEEE Transactions on Dependable and Secure Computing，2011（6）.