淺析網(wǎng)絡(luò)認(rèn)證技術(shù)

認(rèn)證是指用戶(hù)采用某種方式來(lái)證明自己確實(shí)是自己宣稱(chēng)的某人，網(wǎng)絡(luò)中的認(rèn)證主要包括身份認(rèn)證和消息認(rèn)證。身份認(rèn)證可以使通信雙方確信對(duì)方的身份并交換會(huì)話(huà)密鑰。保密性和及時(shí)性是認(rèn)證密鑰交換中的兩個(gè)重要的問(wèn)題。為了防止假冒和會(huì)話(huà)密鑰的泄密，像用戶(hù)標(biāo)識(shí)和會(huì)話(huà)密鑰這樣的重要信息必須以密文形式傳送，這就需要事先已有能用于這-目的的主密鑰或公鑰。

由于可能存在消息重放，因此及時(shí)性非常重要。在消息認(rèn)證中，接收方希望能夠保證其接收的消息確實(shí)來(lái)自真正的發(fā)送方。有時(shí)收發(fā)雙方不同時(shí)在線(xiàn)，例如在電子郵件系統(tǒng)中，電子郵件消息發(fā)送到接收方的電子郵件中，并直存 放在 郵箱中直至接收方讀取為止。廣播認(rèn)證是一種特殊的消息認(rèn)證形式，在廣播認(rèn)證中一方廣 播的消息被多方認(rèn)證。

傳統(tǒng)的認(rèn)證是區(qū)分不同層次的，網(wǎng)絡(luò)層認(rèn)證負(fù)責(zé)網(wǎng)絡(luò)層的身份鑒別，業(yè)務(wù)層認(rèn)證負(fù)責(zé)業(yè)務(wù)層的身份鑒別，兩者獨(dú)立存在。但是，在物聯(lián)網(wǎng)中，業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)通信緊緊地捆綁在一起， 認(rèn)證有其特殊性。例如，當(dāng)物聯(lián)網(wǎng)的業(yè)務(wù)由運(yùn)營(yíng)商提供時(shí)，那么就可以充分利用網(wǎng)絡(luò)層認(rèn)證的結(jié)果而不需要進(jìn)行業(yè)務(wù)層的認(rèn)證。

又如，當(dāng)業(yè)務(wù)是敏感業(yè)務(wù)如金融類(lèi)業(yè)務(wù)時(shí)，一般業(yè)務(wù) 提供者不信任網(wǎng)絡(luò)層的安全級(jí)別，因而會(huì)使用更高級(jí)別的安全保護(hù)，那么這時(shí)就需要進(jìn)行業(yè)務(wù)層的認(rèn)證：當(dāng)業(yè)務(wù)是普通業(yè)務(wù)時(shí)，如氣溫采集業(yè)務(wù)等，業(yè)務(wù)提供者認(rèn)為網(wǎng)絡(luò)認(rèn)證已經(jīng)足夠，那么就不再需要進(jìn)行業(yè)務(wù)層的認(rèn)證了。

在物聯(lián)網(wǎng)的認(rèn)證機(jī)制中，傳感網(wǎng)的認(rèn)證機(jī)制是需要研究的重要部分。WSN中的認(rèn)證技術(shù)主要包括： （1）基于輕量級(jí)公鑰算法的認(rèn)證技術(shù)。鑒于經(jīng)典的公鑰算法需要高計(jì)算量，在資源有限的無(wú)線(xiàn)傳感網(wǎng)中不具有可操作性，當(dāng)前一些研究正致力于對(duì)公鑰算法進(jìn)行優(yōu)化設(shè)計(jì)以使其能適應(yīng)無(wú)線(xiàn)傳感網(wǎng)，但在能耗和資源方面仍存在很大的改進(jìn)空間，如基于RSA公鑰算法的Tiny PK認(rèn)證方案和基于身份標(biāo)識(shí)的認(rèn)證算法等。

（2）基于預(yù)共享密鑰的認(rèn)證技術(shù)。SNEP方案中提出兩種配置方法：一是結(jié)點(diǎn)之間的共享密鑰，二是每個(gè)結(jié)點(diǎn)和基站之間的共享密鑰。這類(lèi)方案使用每對(duì)結(jié)點(diǎn)之間共享一個(gè)主密鑰， 可以在任何一對(duì)結(jié)點(diǎn)之間建立安全通信。其缺點(diǎn)是擴(kuò)展性和抗捕獲能力較差，任意一結(jié) 點(diǎn)被俘獲后就會(huì)暴露密鑰信息，進(jìn)而導(dǎo)致全網(wǎng)絡(luò)癱瘓。

（3）基于隨機(jī)密鑰預(yù)分布的認(rèn)證技術(shù)。該技術(shù)讓每個(gè)結(jié)點(diǎn)從一個(gè)密鑰池中隨機(jī)選取密鑰，利用結(jié)點(diǎn)的局部連通概率由密鑰池的大小可確定結(jié)點(diǎn)需存取的密鑰數(shù)或由結(jié)點(diǎn)存儲(chǔ)能力確定密鑰池大小。利用隨機(jī)配對(duì)密鑰方案，即一個(gè)密鑰僅隨機(jī)唯一 分配給對(duì)結(jié)點(diǎn)， 實(shí)現(xiàn)結(jié)點(diǎn)間的認(rèn)證，將一個(gè)結(jié)點(diǎn)對(duì)另一結(jié)點(diǎn)發(fā)送的消 息進(jìn)行解密，從而完成認(rèn)證。該技術(shù)的長(zhǎng)處在于實(shí)現(xiàn)簡(jiǎn)單，計(jì)算負(fù)載很小，網(wǎng)絡(luò)擴(kuò)展能力較強(qiáng)，在一定程度上能支持網(wǎng)絡(luò)的動(dòng)態(tài)變化；但是結(jié)點(diǎn)抗俘獲能力很差，不支持對(duì)鄰居結(jié)點(diǎn)的身份認(rèn)證，更無(wú)法抵抗冒充攻擊，隨著俘獲結(jié)點(diǎn)的增多，更多的密鑰信息將暴露出來(lái)。

（4）利用輔助信息的認(rèn)證技術(shù)。利用輔助信息（如預(yù)測(cè)結(jié)點(diǎn)部署位置）的認(rèn)證技術(shù)，可以借助結(jié)點(diǎn)的部署信息或分布模型來(lái)有效提高密鑰共享概率，并減少預(yù)分發(fā)密鑰的數(shù)量，提高網(wǎng)絡(luò)抵抗被俘結(jié)點(diǎn)攻擊的能力。但是需要對(duì)部署信息有較準(zhǔn)確的先驗(yàn)知識(shí)或與假定模型匹配的部署方法，由于對(duì)輔助信息的依賴(lài)性，其缺點(diǎn)就在于僅適合能預(yù)知結(jié)點(diǎn)位置的WSN。

（5）基于單向散列函數(shù)的認(rèn)證技術(shù)。該技術(shù)主要用于廣播認(rèn)證。單向散列函數(shù)可生成一個(gè)密鑰鏈，利用單向散列函數(shù)的不可逆性，保證密鑰不可預(yù)測(cè)。通過(guò)某種方式依次公布密鑰鏈中的密鑰，可以對(duì)消息進(jìn)行認(rèn)證。目前，基于單向散列函數(shù)的廣播認(rèn)證技術(shù)主要是對(duì)TESLA協(xié)議的改進(jìn)：它以TESLA協(xié)議為基礎(chǔ)，對(duì)密鑰更新過(guò)程、初始認(rèn)證過(guò)程進(jìn)行了改進(jìn)，使其能夠在WSN有效實(shí)施。

編輯：jq