孙夏声，李赛野

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

物联网（Internet of Things，IoT）通过信息传感设备和互联网的结合，其应用遍及智能家居、工业控制、物流监测、公共安全以及定位监测等众多领域[1]。物联网具备典型的3 层架构——感知层、网络层和应用层[2]。在这种典型特征条件下，借鉴可信计算信任链思想，基于物理不可克隆技术，结合X509 公钥密码体制，提出了一种物联网信任链管理方案。

1 可信计算信任链技术

可信终端防护的核心是以可信根为起点的信任链的建立过程。典型的信任链如图1 所示。如图1中数字序号所示，每一步的可信度量验证过程成功后，业务流程跟进向后加载[3]。

信任链的建立和度量比对过程由监视程序负责调度执行，预期值存储在白名单中。基于监视程序和白名单视角的信任链传递如图2 所示。

图1 典型的可信计算信任链

图2 信任链中的监视程序和白名单

通过逐级度量比对，保证了信任链中每个节点的数据完整性，实现了终端计算环境的安全可信。

2 PUF 物理不可克隆技术

物理不可克隆函数（Physical Unclonable Function，PUF）是指对一个物理实体输入一个激励，利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应[4]。在工程实现上，由于工艺环节的局限性，会造成物理器件内部存在随机差异，这些差异具有唯一性和不可复制性[5]。

基于SRAM 器件的PUF 具有较强的稳定性和随机性。由于SRAM 单元制造过程中的PV 和运行中的随机噪声的影响，每个SRAM 单元最终的上电值是不可预测的，可以利用一批存储单元的上电值形成IC 电路的特征指纹。SRAM PUF 模拟指纹的生成原理如图3 所示[6]。

图3 SRAM PUF 模拟指纹的生成原理

使用SRAM PUF 产生的特征指纹对硬件进行标定，是实现终端设备身份唯一标识的技术基础。

3 三级信任链模型

三级信任链模型的设计思想是“终端可信、链可信”。终端具备硬件可信根，通过传统可信终端防护和PUF 物理不可克隆技术实现运行时环境可信。链可信通过“锚管链”实现。

“锚管链”中，锚即可信锚服务，可信锚负责信任链全生命周期管理。信任链从信任节点部署开始建立，到其完成生命周期终止。信任节点是信任链管理中的实体对象，包括可信锚、IoT 网关、管理终端和IoT 感知终端。管理终端为可信锚提供运维能力支持，包括但不限于IoT网关和IoT感知终端：在新接入情形下的可信链添加；在篡改、丢失、被破坏情形下的可信链撤销。

信任链分3 级。1 级信任链仅包含可信锚可信。可信锚具备完整的硬件可信根和完备的可信防护，能够确保自身安全，默认可信。2 级信任链指可信锚和管理终端之间可信，可信锚和IoT 网关之间可信。3 级信任链指可信锚、IoT 网关和IoT 感知终端三方之间的可信。3 级信任链模型如图4 所示。

图4 3 级信任链模型

4 信任链管理方案

4.1 信任节点初始化

在3 级信任链建立前，需要先对信任节点进行初始化。初始化内容包括：

（1）为可信锚、IoT 网关、管理终端和IoT 感知终端安装部署本地可信防护，部署过程中完成X509 公钥密码资源的灌装；

（2）在IoT 网关设备中预装可信代理，用于串联可信锚和IoT 感知终端之间的认证过程；

（3）执行IoT 网关、管理终端和IoT 感知终端的PUF 初始化操作，产生PUF 预期值（记为PUF secret）。

4.2 信任节点注册

使用白名单技术，将每个节点的信任信息记录到可信锚中形成设备白名单中，完成信任节点注册。信任信息至少包括IoT 感知终端、IoT 网关和管理终端的名称/编号、MAC 地址、PUF secret、平台可信性报告（Platform Credential Report，PCR）和设备身份证书。

信任信息通过管理网络提交给可信锚，信任节点注册过程如图5 所示。

图5 信任节点注册

4.3 信任链建立

可信锚本地可信防护建立完成，即宣告1 级信任链建立完毕。

2 级信任链的建立使用基于X509 体制的“挑战-应答”协议。可信锚生成随机数R，附带时间戳Ta、签名公钥证书Pa和对整个请求报文的签名值SIGa(PKTa)发起挑战。IoT 网关/管理终端接收到请求后，比对时间戳Ta后验证Pa的合法性、SIGa(PKTa)的正确性，通过后计算当前环境的PCR和PUF secret（记为s），使用s作为密钥调用对称加密算法产生密文ENCs(PCR)，附带时间戳Tt、签名公钥Pt和对整个应答数据的签名值SIGt(PKTt)返还给可信锚。可信锚采用同样的步骤验证数据的合法性，然后从PKTt解析出ENCs(PCR)，再查询本地白名单得到节点设备对应的预置PUF secret（记为ps）和预置PCR（记为PPCR），使用ps解密ENCs(PCR)，将得到的明文与PPCR进行比对，通过则2 级信任链建立成功。

3 级信任链的建立需要管理终端的配合使用，对应的业务流程设计如图6 所示。

图6 3 级信任链建立申请流程

IoT 网关设备上的可信代理负责串联起可信锚和IoT 感知终端。结合业务流程，3 级链的建立由管理终端发起，如图7 所示。

图7 3 级信任链建立过程

管理员使用管理终端发起信任链建立申请（图7 第①步）。申请内容包含IoT 终端信息和即将接入的IoT 网关信息，通信使用专用安全网络或与可信锚直接连接。可信锚接收该申请，依据白名单判决结果，建立终端、网关到可信锚的信任链关系，并对该链进行验证（图7 第②和第③步）。可信锚完成验证后，将此次信任链建立申请的处理结果返还给管理终端（图7 第④步）。

信任链的验证采用两级“挑战-应答”模式。验证协议过程如图8 所示。

①A 生成随机数R1和时间戳T1发起挑战。报文包含R1|T1|Pa|SIGa(PKTa)。Pa为A 的签名证书，SIGa(PKTa)为对整个报文的签名值。

②G 验证时间戳T1，使用预置CA 证书对Pa进行证书验证，接着验证SIGa(PKTa)，通过后生成随机数R2、时间戳T2，并向T 发起挑战。报文包 含R2|T2|Pg|SIGg(PKTg)。Pg为G的签名证书，SIGg(PKTg)为对当前整个报文的签名值。

③T 验证时间戳T2，使用预置CA 对Pg进行证书验证，接着验证SIGg(PKTg)，通过后生成时间戳T3，度量当前PCRt，使用PUF secret（记为ts）对PCRt加密产生ENCts(PCRt)，签名后返回响应报文。报文包含R2|T3|ENCts(PCRt)|Pt|SIGt(PKTt)。

④G 验证R2、T3、Pt和SIGt(PKTt)，解析PKTt得到ENCts(PCRt)，计算自身PCRg和PUF secret（记为gs）产生ENCgs(PCRg)，封装R1|T4|ENCgs(PCRg)|ENCts(PCRt)|Pg|SIG2g(PKT2g)返回给A。

⑤A 依次验证R1、T4、Pg、SIG2g(PKT2g)，然后使用白名单中对应的PUF secret（分别记为pgs、pts）依次解密对应的ENCgs(PCRg)和ENCts(PCRt)，并将解密得到的明文和白名单中的预期值进行比对。认证过程完全通过则3 级链建立完毕。

4.4 信任链监管和更新

信任链监管是指对整个网络拓扑中的全部、多个或单个设备进行信任链验证，以巡查和排除设备异常。可信锚支持多种方式的动态监管，主要包括：支持管理网络发起的监管请求；可信锚定时扫描；网关流量异常触发的自动验证；管理终端发起的验证请求。验证方法和信任链建立过程使用的协议保持一致。

信任链的撤销依据信任链监管结果，通过管理终端实现现场确认后的撤销和更新。管理终端为撤销、更新操作的实际发起方，使用和信任链建立类似的业务流程和验证协议。

5 结语

物联网终端设备除存在传统安全缺陷之外，还存在终端软件劫持、非法接入和物理克隆等突出安全隐患。非法接入是指不可信的外来终端，物理克隆则是指对可信设备的复制仿冒。另外，还存在内部人员持有正规设备但未经过注册流程，违规将其接入网络的流程性安全漏洞。基于PUF 的信任链管理方案针对性地解决了上述问题。本方案中的模型结构易于分层分级扩展，可信锚能够按照安全域的划分需求进行分域部署和跨域协同，具有良好的应用和推广价值。