浅析网络认证技术

认证是指用户采用某种方式来证明自己确实是自己宣称的某人，网络中的认证主要包括身份认证和消息认证。身份认证可以使通信双方确信对方的身份并交换会话密钥。保密性和及时性是认证密钥交换中的两个重要的问题。为了防止假冒和会话密钥的泄密，像用户标识和会话密钥这样的重要信息必须以密文形式传送，这就需要事先已有能用于这-目的的主密钥或公钥。

由于可能存在消息重放，因此及时性非常重要。在消息认证中，接收方希望能够保证其接收的消息确实来自真正的发送方。有时收发双方不同时在线，例如在电子邮件系统中，电子邮件消息发送到接收方的电子邮件中，并直存 放在 邮箱中直至接收方读取为止。广播认证是一种特殊的消息认证形式，在广播认证中一方广 播的消息被多方认证。

传统的认证是区分不同层次的，网络层认证负责网络层的身份鉴别，业务层认证负责业务层的身份鉴别，两者独立存在。但是，在物联网中，业务应用与网络通信紧紧地捆绑在一起， 认证有其特殊性。例如，当物联网的业务由运营商提供时，那么就可以充分利用网络层认证的结果而不需要进行业务层的认证。

又如，当业务是敏感业务如金融类业务时，一般业务 提供者不信任网络层的安全级别，因而会使用更高级别的安全保护，那么这时就需要进行业务层的认证：当业务是普通业务时，如气温采集业务等，业务提供者认为网络认证已经足够，那么就不再需要进行业务层的认证了。

在物联网的认证机制中，传感网的认证机制是需要研究的重要部分。WSN中的认证技术主要包括： （1）基于轻量级公钥算法的认证技术。鉴于经典的公钥算法需要高计算量，在资源有限的无线传感网中不具有可操作性，当前一些研究正致力于对公钥算法进行优化设计以使其能适应无线传感网，但在能耗和资源方面仍存在很大的改进空间，如基于RSA公钥算法的Tiny PK认证方案和基于身份标识的认证算法等。

（2）基于预共享密钥的认证技术。SNEP方案中提出两种配置方法：一是结点之间的共享密钥，二是每个结点和基站之间的共享密钥。这类方案使用每对结点之间共享一个主密钥， 可以在任何一对结点之间建立安全通信。其缺点是扩展性和抗捕获能力较差，任意一结 点被俘获后就会暴露密钥信息，进而导致全网络瘫痪。

（3）基于随机密钥预分布的认证技术。该技术让每个结点从一个密钥池中随机选取密钥，利用结点的局部连通概率由密钥池的大小可确定结点需存取的密钥数或由结点存储能力确定密钥池大小。利用随机配对密钥方案，即一个密钥仅随机唯一 分配给对结点， 实现结点间的认证，将一个结点对另一结点发送的消 息进行解密，从而完成认证。该技术的长处在于实现简单，计算负载很小，网络扩展能力较强，在一定程度上能支持网络的动态变化；但是结点抗俘获能力很差，不支持对邻居结点的身份认证，更无法抵抗冒充攻击，随着俘获结点的增多，更多的密钥信息将暴露出来。

（4）利用辅助信息的认证技术。利用辅助信息（如预测结点部署位置）的认证技术，可以借助结点的部署信息或分布模型来有效提高密钥共享概率，并减少预分发密钥的数量，提高网络抵抗被俘结点攻击的能力。但是需要对部署信息有较准确的先验知识或与假定模型匹配的部署方法，由于对辅助信息的依赖性，其缺点就在于仅适合能预知结点位置的WSN。

（5）基于单向散列函数的认证技术。该技术主要用于广播认证。单向散列函数可生成一个密钥链，利用单向散列函数的不可逆性，保证密钥不可预测。通过某种方式依次公布密钥链中的密钥，可以对消息进行认证。目前，基于单向散列函数的广播认证技术主要是对TESLA协议的改进：它以TESLA协议为基础，对密钥更新过程、初始认证过程进行了改进，使其能够在WSN有效实施。

编辑：jq