李 俊 柴海新

(國(guó)民認(rèn)證科技(北京)有限公司 北京 100085)

(lijun@gmrz-bj.com)

1 問(wèn)題與挑戰(zhàn)

隨著萬(wàn)物互聯(lián)的物聯(lián)網(wǎng)時(shí)代到來(lái)，大量物聯(lián)網(wǎng)設(shè)備開(kāi)始逐漸進(jìn)入人們的日常工作和生活中，在帶給人們便利的生產(chǎn)和生活體驗(yàn)的同時(shí)，也帶來(lái)了嚴(yán)重的安全隱患.針對(duì)物聯(lián)網(wǎng)的設(shè)備類(lèi)型多樣化、窄帶寬、低時(shí)延、異構(gòu)環(huán)境以及海量隱私信息等特點(diǎn)，傳統(tǒng)身份認(rèn)證方式已經(jīng)不能滿足需求.例如，賬號(hào)口令是一種最常見(jiàn)的傳統(tǒng)身份認(rèn)證方式，由于物聯(lián)網(wǎng)服務(wù)的多樣化使得用戶需要記憶的賬號(hào)和口令的數(shù)量也大大增加，為了便于記憶和輸入，使用弱口令的現(xiàn)象普遍發(fā)生.國(guó)際組織OWASP于2018年發(fā)布了IoT Top 10[1]，提出了在創(chuàng)建、配置和管理物聯(lián)網(wǎng)系統(tǒng)時(shí)應(yīng)避免的十大風(fēng)險(xiǎn)，其中，弱口令、易猜測(cè)以及硬編碼的口令被列為首位.同時(shí)，傳統(tǒng)身份認(rèn)證體系還存在“孤島”問(wèn)題.物聯(lián)網(wǎng)各種服務(wù)采用獨(dú)立的認(rèn)證方式用于各類(lèi)認(rèn)證場(chǎng)景(例如人臉識(shí)別、指紋識(shí)別、動(dòng)態(tài)口令等)，不同認(rèn)證方式的系統(tǒng)各自為政，類(lèi)似于一個(gè)個(gè)“孤島”，無(wú)法互操作，導(dǎo)致認(rèn)證體系變得更為復(fù)雜、難以管理并且部署成本高.此外，集中式管理用戶憑證也存在安全風(fēng)險(xiǎn).用戶憑證(口令、生物特征模板等)集中存儲(chǔ)在服務(wù)端，一旦服務(wù)端遭受攻擊，所有用戶憑證都存在泄露的風(fēng)險(xiǎn)，容易形成大規(guī)模的攻擊威脅，而且也容易形成功能和性能瓶頸.還有一個(gè)問(wèn)題特別需要注意，用戶的隱私信息也存在被濫用的風(fēng)險(xiǎn).用戶的個(gè)人敏感信息(包括口令、身份信息、生物特征模板等)以及物聯(lián)網(wǎng)感知設(shè)備所采集到的用戶相關(guān)信息(例如位置信息、事件日志等)可能被服務(wù)方濫用.與此同時(shí)，也存在物聯(lián)網(wǎng)應(yīng)用服務(wù)方自身的業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)被第三方服務(wù)提供方濫用的風(fēng)險(xiǎn).

2 場(chǎng)景分析

物聯(lián)網(wǎng)系統(tǒng)中存在多種實(shí)體對(duì)象，主要包括用戶、設(shè)備和服務(wù).為確保安全，這些實(shí)體對(duì)象均需進(jìn)行身份認(rèn)證.用戶和服務(wù)之間、設(shè)備和服務(wù)之間、設(shè)備和設(shè)備之間、用戶和設(shè)備之間均存在身份認(rèn)證的需求.因此，物聯(lián)網(wǎng)身份認(rèn)證涵蓋了多種場(chǎng)景(如圖1所示)，包括：

1) 人到云的認(rèn)證；

2) 人到IoT設(shè)備的認(rèn)證；

3) 人到IoT控制設(shè)備的認(rèn)證；

4) 設(shè)備到設(shè)備的認(rèn)證；

5) 設(shè)備到云的認(rèn)證.

在以上場(chǎng)景中，“設(shè)備”可分為2種：不連接云服務(wù)的IoT設(shè)備，如智能燈泡、智能開(kāi)關(guān)等；連接云服務(wù)的IoT控制設(shè)備，如智能手機(jī)、智能音箱、智能家居控制中心等.至于“人”，則可通過(guò)IoT控制設(shè)備(如智能手機(jī))作為主交互設(shè)備與其他設(shè)備或者云服務(wù)連接并完成認(rèn)證.

圖1 物聯(lián)網(wǎng)身份認(rèn)證場(chǎng)景

3 解決方案

3.1 FIDO簡(jiǎn)介

在線快速身份(Fast Identity Online, FIDO)聯(lián)盟是一個(gè)非營(yíng)利性國(guó)際組織，于2013年2月正式成立，其宗旨在于解決強(qiáng)認(rèn)證設(shè)備之間缺乏互操作性，以及用戶為進(jìn)行身份認(rèn)證而創(chuàng)建和記憶多個(gè)賬號(hào)及口令所面臨的問(wèn)題，從而實(shí)現(xiàn)消除口令的最終目標(biāo).FIDO聯(lián)盟已經(jīng)發(fā)布了一系列技術(shù)標(biāo)準(zhǔn)，包括通用鑒別框架(universal authentication framework, UAF)、通用第2因子(universal 2nd factor, U2F)以及FIDO 2.0等[2].FIDO系列技術(shù)標(biāo)準(zhǔn)的核心思想是將身份認(rèn)證手段與身份認(rèn)證協(xié)議解耦合[3]，以密碼技術(shù)為基礎(chǔ)，采用非對(duì)稱(chēng)密碼算法機(jī)制，以密鑰作為用戶憑證，通過(guò)簽名驗(yàn)簽的方法完成對(duì)用戶的身份鑒別.

FIDO UAF提供了具有高擴(kuò)展性的輕量級(jí)統(tǒng)一身份鑒別框架，如圖2[4]所示:

圖2 UAF體系框架

UAF協(xié)議引入了“鑒別器(authenticator)”概念，該組件由匹配器(matcher)和密鑰管理器組成，運(yùn)行于用戶終端設(shè)備中，執(zhí)行FIDO核心關(guān)鍵功能.匹配器使用生物特征識(shí)別技術(shù)(例如指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別等)或者其他身份識(shí)別技術(shù)(例如PIN碼、九宮格圖形碼等)對(duì)用戶進(jìn)行身份識(shí)別；密鑰管理器則為用戶創(chuàng)建并管理公私鑰對(duì)，并進(jìn)行各種密碼學(xué)運(yùn)算(例如簽名、雜湊、加解密等).密鑰管理器作為鑒別器的密碼學(xué)內(nèi)核(cryptographic kernel)，只有在匹配器成功識(shí)別用戶后才釋放出用戶私鑰進(jìn)行簽名操作[5].密鑰管理器除了需要管理代表用戶身份的密鑰之外，還需要管理代表其自身身份的鑒證(attestation)密鑰.為確保鑒別器的運(yùn)行安全，鑒別器應(yīng)運(yùn)行于可靠的安全邊界內(nèi)，一般采用可信執(zhí)行環(huán)境(trusted execution environment, TEE)、安全元件(secure element, SE)或白盒加密技術(shù)對(duì)鑒別器進(jìn)行安全保護(hù).鑒別器的各項(xiàng)屬性(例如鑒別器廠商標(biāo)識(shí)符、版本號(hào)、支持的算法和公鑰格式、支持的識(shí)別用戶方法、密鑰保護(hù)方法、廠商根公鑰證書(shū)等)包含于元數(shù)據(jù)文件中，通過(guò)FIDO元數(shù)據(jù)服務(wù)提供給FIDO服務(wù)器，以便FIDO服務(wù)器了解用戶設(shè)備的情況，并可使用廠商根公鑰證書(shū)對(duì)設(shè)備進(jìn)行鑒證.

FIDO協(xié)議遵循端到端安全設(shè)計(jì)原則，涉及設(shè)備端和服務(wù)端的底層設(shè)計(jì)，產(chǎn)業(yè)鏈較長(zhǎng)，環(huán)節(jié)眾多，需要整個(gè)產(chǎn)業(yè)鏈的支持.FIDO生態(tài)系統(tǒng)主要由依賴(lài)方(即應(yīng)用服務(wù)商)、設(shè)備制造商、鑒別器廠商以及協(xié)議實(shí)現(xiàn)方共同構(gòu)成.依賴(lài)方作為FIDO協(xié)議的使用方，需要實(shí)施部署FIDO服務(wù)器和整體解決方案；鑒別器廠商需要生產(chǎn)支持FIDO協(xié)議的鑒別器設(shè)備(例如支持FIDO協(xié)議的指紋算法芯片等)；設(shè)備制造商需要將鑒別器集成在設(shè)備系統(tǒng)中，使得設(shè)備在出廠時(shí)就能夠支持FIDO協(xié)議；協(xié)議實(shí)現(xiàn)方即FIDO整體解決方案提供商，為依賴(lài)方、鑒別器廠商和設(shè)備制造商提供FIDO技術(shù)支持.目前，F(xiàn)IDO生態(tài)系統(tǒng)已經(jīng)成熟，蘋(píng)果、Intel、ARM、三星、華為、小米、微軟、谷歌、亞馬遜、阿里巴巴以及各大銀行卡組織等重量級(jí)組織或機(jī)構(gòu)均為FIDO聯(lián)盟成員，基于FIDO技術(shù)標(biāo)準(zhǔn)的身份認(rèn)證解決方案已經(jīng)在國(guó)內(nèi)和國(guó)際上大規(guī)模應(yīng)用.

3.2 基于FIDO的物聯(lián)網(wǎng)身份認(rèn)證體系架構(gòu)

為實(shí)現(xiàn)“智聯(lián)萬(wàn)物”的核心能力，物聯(lián)網(wǎng)技術(shù)體系架構(gòu)涵蓋了“云服務(wù)”“通信網(wǎng)絡(luò)”“邊緣計(jì)算”以及“設(shè)備終端”等多個(gè)層面.因此，物聯(lián)網(wǎng)身份認(rèn)證也應(yīng)實(shí)現(xiàn)“云-邊-端”一體化，對(duì)物聯(lián)網(wǎng)用戶和物聯(lián)網(wǎng)設(shè)備進(jìn)行統(tǒng)一身份標(biāo)識(shí)和身份認(rèn)證.本文提出了基于FIDO技術(shù)的物聯(lián)網(wǎng)身份認(rèn)證體系架構(gòu)(如圖3所示)，充分發(fā)揮了FIDO技術(shù)輕量化和高擴(kuò)展性的優(yōu)勢(shì)，通過(guò)靈活部署鑒別器和FIDO服務(wù)器，實(shí)現(xiàn)了安全、便捷且保護(hù)用戶隱私的物聯(lián)網(wǎng)全場(chǎng)景身份認(rèn)證.

圖3 基于FIDO的物聯(lián)網(wǎng)身份認(rèn)證體系架構(gòu)

整體架構(gòu)中包含如下參與角色：

1) 用戶.物聯(lián)網(wǎng)服務(wù)的使用者.用戶的角色可以有多種，例如消費(fèi)用戶、管理用戶和運(yùn)維用戶等.用戶可直接訪問(wèn)并使用物聯(lián)網(wǎng)設(shè)備，也可通過(guò)物聯(lián)網(wǎng)控制設(shè)備對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行訪問(wèn)、控制和使用.

2) IoT控制設(shè)備.用于對(duì)各類(lèi)物聯(lián)網(wǎng)設(shè)備進(jìn)行控制和監(jiān)控的設(shè)備.通常具備較強(qiáng)的通信、計(jì)算和存儲(chǔ)能力，例如移動(dòng)智能終端、智能音箱、智能家居控制器等.IoT控制設(shè)備可通過(guò)網(wǎng)絡(luò)直接連接到云服務(wù)，也可在本地連接網(wǎng)關(guān).IoT控制設(shè)備一般通過(guò)近場(chǎng)通信協(xié)議(如低功耗藍(lán)牙、NFC、ZigBee等)實(shí)現(xiàn)與IoT設(shè)備的通信，以完成對(duì)IoT設(shè)備的控制和監(jiān)控.IoT控制設(shè)備中內(nèi)置了FIDO鑒別器，可實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證以及對(duì)自身的身份標(biāo)識(shí)和身份認(rèn)證.例如智能手機(jī)使用指紋鑒別器驗(yàn)證用戶身份；智能音箱通過(guò)聲紋驗(yàn)證用戶身份.

3) IoT設(shè)備.具備感知、計(jì)算、機(jī)械操作和通信等能力的設(shè)備，例如各類(lèi)傳感器、感知終端、攝像頭、智能燈泡、智能電器等.不同種類(lèi)的IoT設(shè)備在計(jì)算和通信能力方面差異巨大，對(duì)能源消耗的需求也有較大不同.某些具備較強(qiáng)計(jì)算和通信能力的IoT設(shè)備可內(nèi)置FIDO鑒別器，可對(duì)用戶進(jìn)行身份認(rèn)證，也可實(shí)現(xiàn)對(duì)自身的身份標(biāo)識(shí)和身份認(rèn)證.對(duì)于大多數(shù)計(jì)算能力和通信能力較弱的IoT設(shè)備而言，可采用粘貼RFID標(biāo)簽或二維碼標(biāo)簽的方式實(shí)現(xiàn)對(duì)該設(shè)備的身份標(biāo)識(shí).

4) 網(wǎng)關(guān).通過(guò)協(xié)議轉(zhuǎn)換、路由選擇等功能實(shí)現(xiàn)不同網(wǎng)絡(luò)協(xié)議之間的互操作，從而實(shí)現(xiàn)多種異質(zhì)網(wǎng)絡(luò)的互相兼容.IoT設(shè)備和IoT控制設(shè)備可通過(guò)網(wǎng)關(guān)互相通信，并通過(guò)網(wǎng)關(guān)接入到網(wǎng)絡(luò)而與云服務(wù)進(jìn)行通信.網(wǎng)關(guān)設(shè)備可內(nèi)置FIDO服務(wù)器，用于對(duì)連接到網(wǎng)關(guān)的IoT控制設(shè)備、IoT設(shè)備以及用戶進(jìn)行身份認(rèn)證.

5) 網(wǎng)絡(luò).由局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)等構(gòu)成的信息傳輸基礎(chǔ)設(shè)施.

6) IoT應(yīng)用服務(wù).用于實(shí)現(xiàn)各類(lèi)物聯(lián)網(wǎng)應(yīng)用的服務(wù)平臺(tái)，如智能家居、智能交通、工業(yè)物聯(lián)網(wǎng)等.IoT應(yīng)用服務(wù)可通過(guò)IoT設(shè)備管理服務(wù)和FIDO服務(wù)器實(shí)現(xiàn)對(duì)用戶和設(shè)備的可信身份認(rèn)證.

7) IoT設(shè)備管理服務(wù).用于對(duì)IoT設(shè)備進(jìn)行管理的服務(wù)平臺(tái).在IoT設(shè)備的重要生命周期階段，如入網(wǎng)登記、固件升級(jí)、注銷(xiāo)等，均受到IoT設(shè)備管理服務(wù)的控制.

8) FIDO服務(wù)器.用于實(shí)現(xiàn)對(duì)用戶及IoT設(shè)備進(jìn)行身份標(biāo)識(shí)管理及身份認(rèn)證的FIDO服務(wù)平臺(tái).

3.3 人到云的認(rèn)證

基于FIDO的人到云的身份認(rèn)證框架(如圖4所示)是一種基于信任傳遞的兩步式認(rèn)證.首先，此場(chǎng)景中的IoT控制設(shè)備應(yīng)為用戶的主要交互設(shè)備(例如移動(dòng)智能手機(jī))，通過(guò)該設(shè)備內(nèi)置的FIDO鑒別器對(duì)IoT用戶進(jìn)行本地身份識(shí)別，可采用指紋、人臉、聲紋等生物識(shí)別方式；識(shí)別通過(guò)后即可執(zhí)行下一步，即使用代表用戶身份的私鑰對(duì)協(xié)議消息進(jìn)行簽名并提交到云端FIDO服務(wù)器，由FIDO服務(wù)器采用用戶公鑰進(jìn)行驗(yàn)簽，成功后即完成人到云的身份認(rèn)證.整體流程包括注冊(cè)、認(rèn)證、注銷(xiāo)等過(guò)程，由內(nèi)置于IoT控制設(shè)備中的鑒別器負(fù)責(zé)對(duì)代表用戶身份的密鑰進(jìn)行全生命周期管理.此外，鑒別器還負(fù)責(zé)管理代表自身設(shè)備身份的密鑰的生命周期.此框架中，鑒別器發(fā)揮了關(guān)鍵作用，成為可信身份認(rèn)證的錨點(diǎn).

圖4 人到云的認(rèn)證

3.4 人到IoT設(shè)備的認(rèn)證

IoT設(shè)備需要對(duì)當(dāng)前使用者進(jìn)行身份認(rèn)證.對(duì)于計(jì)算能力和通信能力都很弱的IoT設(shè)備，其無(wú)法單獨(dú)對(duì)用戶進(jìn)行身份認(rèn)證，只能接受IoT控制設(shè)備的監(jiān)控和管理；對(duì)于計(jì)算能力和通信能力較強(qiáng)且內(nèi)置FIDO鑒別器的IoT設(shè)備，可利用鑒別器所擁有的安全能力(例如指紋識(shí)別、3D人臉識(shí)別、聲紋識(shí)別等)對(duì)使用者進(jìn)行身份識(shí)別，技術(shù)原理與人到云的認(rèn)證類(lèi)似.在此場(chǎng)景中，F(xiàn)IDO服務(wù)器可根據(jù)IoT設(shè)備的通信能力部署在不同的地方：云或網(wǎng)關(guān)中.

3.5 人到IoT控制設(shè)備的認(rèn)證

IoT控制設(shè)備需要對(duì)當(dāng)前使用者進(jìn)行身份認(rèn)證.對(duì)于內(nèi)置FIDO鑒別器的IoT控制設(shè)備，可利用鑒別器所擁有的安全能力(例如指紋識(shí)別、3D人臉識(shí)別、聲紋識(shí)別等)對(duì)使用者進(jìn)行身份識(shí)別，技術(shù)原理與人到云的認(rèn)證類(lèi)似.在此場(chǎng)景中，F(xiàn)IDO服務(wù)器可視情況部署在云或網(wǎng)關(guān)中.

3.6 設(shè)備到設(shè)備的認(rèn)證

物聯(lián)網(wǎng)中的海量設(shè)備需要協(xié)同工作，因此需要彼此間的身份認(rèn)證.由于在此場(chǎng)景中不涉及用戶，因此身份認(rèn)證模型可簡(jiǎn)化為對(duì)設(shè)備的鑒證，無(wú)需管理代表用戶身份的密鑰.設(shè)備與設(shè)備之間存在2種連接方式：直接連接和間接連接.直接連接方式是指設(shè)備與設(shè)備之間通過(guò)近場(chǎng)通信方式建立通信信道；間接連接方式是指設(shè)備與設(shè)備之間通過(guò)網(wǎng)關(guān)連接.直連方式下，F(xiàn)IDO服務(wù)器需簡(jiǎn)化后內(nèi)置在設(shè)備中；間接方式下，F(xiàn)IDO服務(wù)器可內(nèi)置在網(wǎng)關(guān)中.

設(shè)備到設(shè)備的認(rèn)證可包括以下情況：

1) IoT設(shè)備到IoT設(shè)備的認(rèn)證；

2) IoT設(shè)備到IoT控制設(shè)備的認(rèn)證；

3) IoT控制設(shè)備到IoT設(shè)備的認(rèn)證；

4) IoT控制設(shè)備到IoT控制設(shè)備的認(rèn)證.

無(wú)論何種情況，對(duì)于內(nèi)置FIDO鑒別器的設(shè)備，可將鑒別器置為靜默狀態(tài)(由于不涉及用戶，因此無(wú)需通過(guò)用戶交互驗(yàn)證用戶身份)，直接使用設(shè)備鑒證密鑰對(duì)消息進(jìn)行簽名，F(xiàn)IDO服務(wù)器收到消息后通過(guò)證書(shū)鏈對(duì)消息進(jìn)行驗(yàn)簽，從而完成身份認(rèn)證.

圖5描述了設(shè)備到設(shè)備的認(rèn)證的技術(shù)原理和流程：

圖5 設(shè)備到設(shè)備的認(rèn)證

具體步驟如下：

1) 設(shè)備使用鑒別器預(yù)置的鑒證密鑰和公鑰證書(shū)產(chǎn)生簽名消息；

2) 將簽名消息發(fā)送給對(duì)方設(shè)備；

3) 對(duì)方設(shè)備收到后透?jìng)鹘oFIDO服務(wù)器；

4) FIDO服務(wù)器使用證書(shū)鏈進(jìn)行驗(yàn)簽；

5) FIDO服務(wù)器返回認(rèn)證結(jié)果.

3.7 設(shè)備到云的認(rèn)證

對(duì)于內(nèi)置FIDO鑒別器的IoT設(shè)備和IoT控制設(shè)備而言，可以通過(guò)網(wǎng)絡(luò)直接連接到云服務(wù)進(jìn)行身份認(rèn)證.可將鑒別器置為靜默狀態(tài)(由于不涉及用戶，因此無(wú)需通過(guò)用戶交互驗(yàn)證用戶身份)，直接使用設(shè)備鑒證密鑰對(duì)消息進(jìn)行簽名，F(xiàn)IDO服務(wù)器收到消息后通過(guò)證書(shū)鏈對(duì)消息進(jìn)行驗(yàn)簽，從而完成身份認(rèn)證.

圖6介紹了設(shè)備到云的認(rèn)證的技術(shù)原理和流程.

具體步驟如下：

1) 云端FIDO服務(wù)器生成認(rèn)證請(qǐng)求消息發(fā)給設(shè)備；

2) 設(shè)備使用鑒證私鑰對(duì)消息進(jìn)行簽名；

3) 組裝成正式響應(yīng)消息發(fā)送給云端FIDO服務(wù)器；

4) FIDO服務(wù)器使用證書(shū)鏈進(jìn)行驗(yàn)簽.

圖6 設(shè)備到云的認(rèn)證

3.8 IoT設(shè)備生命周期

對(duì)于內(nèi)置FIDO鑒別器的物聯(lián)網(wǎng)設(shè)備，由于涉及密鑰的安全使用，應(yīng)實(shí)施嚴(yán)格的生命周期管理.本節(jié)將結(jié)合物聯(lián)網(wǎng)身份認(rèn)證整體架構(gòu)及應(yīng)用場(chǎng)景，簡(jiǎn)要描述物聯(lián)網(wǎng)設(shè)備的完整生命周期管理.

物聯(lián)網(wǎng)設(shè)備的生命周期包含以下階段(如圖7所示).

圖7 物聯(lián)網(wǎng)設(shè)備生命周期

3.8.1 生產(chǎn)階段

物聯(lián)網(wǎng)設(shè)備在出廠前，設(shè)備廠商應(yīng)為每個(gè)設(shè)備分配唯一標(biāo)識(shí)符，并為每個(gè)設(shè)備預(yù)置密鑰并簽發(fā)公鑰證書(shū).標(biāo)識(shí)符、密鑰和公鑰證書(shū)應(yīng)保存在設(shè)備安全存儲(chǔ)區(qū)域，防止被惡意篡改.設(shè)備私鑰應(yīng)能有效抵御非法讀取和復(fù)制.無(wú)需將設(shè)備公鑰分發(fā)到外部服務(wù)，而僅需要將設(shè)備廠商的根公鑰證書(shū)以元數(shù)據(jù)的形式提供給FIDO服務(wù)器，極大地降低了信息泄露的安全風(fēng)險(xiǎn).

除上述方式外，還存在可不進(jìn)行密鑰預(yù)置處理的方式.在這種方式中，設(shè)備密鑰僅在入網(wǎng)登記時(shí)由管理員持支持FIDO協(xié)議的智能手機(jī)進(jìn)行激活操作而動(dòng)態(tài)生成[6].由于此方式需要管理員身份信息及特定設(shè)備的深入?yún)⑴c，復(fù)雜性較高，僅適用于特定場(chǎng)景，本文不對(duì)此方式進(jìn)行詳述.

3.8.2 入網(wǎng)登記階段

物聯(lián)網(wǎng)設(shè)備在進(jìn)入某個(gè)物聯(lián)網(wǎng)系統(tǒng)中時(shí)，需要對(duì)該設(shè)備身份的真實(shí)性和完整性進(jìn)行核驗(yàn).可在設(shè)備初次連接到網(wǎng)絡(luò)中時(shí)向FIDO服務(wù)器發(fā)起登記指令，由設(shè)備使用鑒別器私鑰和公鑰證書(shū)產(chǎn)生簽名消息，F(xiàn)IDO服務(wù)器完成驗(yàn)簽則成功完成入網(wǎng)登記操作.此外，也可由管理員用戶使用物聯(lián)網(wǎng)控制設(shè)備(如移動(dòng)智能終端)通過(guò)帶外認(rèn)證的方式進(jìn)行入網(wǎng)登記.例如，管理員使用智能手機(jī)掃描設(shè)備上的二維碼標(biāo)簽或RFID標(biāo)簽，獲得該設(shè)備唯一標(biāo)識(shí)符，并上傳FIDO服務(wù)器，查驗(yàn)該標(biāo)識(shí)符真?zhèn)?，最終完成入網(wǎng)登記.如果物聯(lián)網(wǎng)設(shè)備內(nèi)置了FIDO2鑒別器，則可通過(guò)低功耗藍(lán)牙、NFC等近場(chǎng)通信方式使用CTAP2協(xié)議連接到管理員智能手機(jī)，由管理員通過(guò)智能手機(jī)完成設(shè)備入網(wǎng)登記.

3.8.3 使用階段

物聯(lián)網(wǎng)設(shè)備在完成入網(wǎng)登記階段之后即可正常使用.可根據(jù)該設(shè)備的能力選擇適用的身份認(rèn)證方式.在使用階段，支持對(duì)物聯(lián)網(wǎng)用戶進(jìn)行認(rèn)證的設(shè)備可動(dòng)態(tài)產(chǎn)生代表用戶身份的密鑰，并對(duì)這些密鑰進(jìn)行管理.

3.8.4 升級(jí)階段

如果物聯(lián)網(wǎng)設(shè)備支持升級(jí)，例如系統(tǒng)固件升級(jí)，應(yīng)確保升級(jí)過(guò)程不會(huì)變更唯一標(biāo)識(shí)符和設(shè)備密鑰.此外，升級(jí)文件的真實(shí)性和完整性也需要進(jìn)行核驗(yàn)，以確保升級(jí)文件不被惡意篡改.

3.8.5 注銷(xiāo)階段

當(dāng)物聯(lián)網(wǎng)設(shè)備老化或者無(wú)法繼續(xù)使用時(shí)，需要將其進(jìn)行注銷(xiāo)處理.注銷(xiāo)操作可由設(shè)備自身發(fā)起，也可由管理員用戶向FIDO服務(wù)器主動(dòng)發(fā)起.當(dāng)設(shè)備被注銷(xiāo)后，如果需要重新投入使用，應(yīng)重新進(jìn)行入網(wǎng)登記操作.

3.9 設(shè)備密鑰種類(lèi)及關(guān)系

內(nèi)置FIDO鑒別器的物聯(lián)網(wǎng)設(shè)備中涉及到以下幾種密鑰：鑒別器密鑰、用戶密鑰和保護(hù)密鑰(如圖8所示).代表用戶身份的公私鑰對(duì)在注冊(cè)時(shí)動(dòng)態(tài)產(chǎn)生(靜默鑒別器則不存在用戶密鑰)，并由鑒別器使用保護(hù)密鑰對(duì)用戶私鑰進(jìn)行加密保護(hù)；代表設(shè)備身份的鑒別器私鑰和相應(yīng)公鑰證書(shū)則由鑒別器廠商在設(shè)備出廠時(shí)預(yù)置在鑒別器中，根私鑰由鑒別器廠商安全保管，根公鑰證書(shū)則由鑒別器廠商以元數(shù)據(jù)文件的形式提供給FIDO服務(wù)器.

圖8 設(shè)備密鑰種類(lèi)及關(guān)系

物聯(lián)網(wǎng)設(shè)備應(yīng)優(yōu)先支持國(guó)家密碼管理局所核準(zhǔn)的密碼算法，例如SM2橢圓曲線密碼算法[7]、SM3雜湊算法[8]、SM4分組密碼算法[9]等.

4 方案優(yōu)勢(shì)和特點(diǎn)

本方案基于FIDO協(xié)議，將認(rèn)證手段與認(rèn)證協(xié)議相分離，使得物聯(lián)網(wǎng)應(yīng)用服務(wù)只需部署1套FIDO服務(wù)器即可支持多種不同的認(rèn)證手段，極大地提高了系統(tǒng)的可擴(kuò)展性，有效地解決了傳統(tǒng)方案存在的“身份認(rèn)證孤島”問(wèn)題.此外，本方案的安全特色還包括：用戶的秘密信息(如生物特征、PIN碼等)從不離開(kāi)設(shè)備，不會(huì)被采集到服務(wù)端，極大地減少了泄露的威脅，同時(shí)也分散了服務(wù)端被攻擊的風(fēng)險(xiǎn)；服務(wù)及用戶賬號(hào)之間不存在可鏈接性，不同的服務(wù)使用的用戶密鑰是不同的，降低了用戶被攻擊者通過(guò)“足印”進(jìn)行定位追蹤的風(fēng)險(xiǎn).這些安全設(shè)計(jì)將整體方案的安全性和便捷性同時(shí)提高到新的高度，并著重考慮了對(duì)用戶隱私的增強(qiáng)保護(hù).

此外，對(duì)于物聯(lián)網(wǎng)而言，本方案所具備的3個(gè)特點(diǎn)尤其符合物聯(lián)網(wǎng)對(duì)身份認(rèn)證的需求：

1) 輕量化設(shè)計(jì).

方案采用了簡(jiǎn)明的C/S架構(gòu)，客戶端管理代表用戶身份和代表設(shè)備身份的私鑰，服務(wù)端管理代表用戶身份的公鑰和代表設(shè)備身份的根公鑰，整體架構(gòu)中未引入可信第三方(例如CA中心等)，減少安全干擾因素，降低不可控的業(yè)務(wù)風(fēng)險(xiǎn)，增強(qiáng)物聯(lián)網(wǎng)應(yīng)用服務(wù)對(duì)身份認(rèn)證系統(tǒng)的控制力.同時(shí)，協(xié)議對(duì)設(shè)備的計(jì)算能力和通信能力的要求并不高，可適用于窄帶寬和低計(jì)算能力的物聯(lián)網(wǎng)環(huán)境.

2) 去中心化.

傳統(tǒng)身份認(rèn)證解決方案中，一般至少存在1個(gè)集中式管理的認(rèn)證中心或者密鑰管理中心，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障或者集中式認(rèn)證中心或密鑰管理中心遭受攻擊時(shí)，整個(gè)身份認(rèn)證系統(tǒng)將陷入不可用狀態(tài).而本方案中，用戶憑證(公私鑰)分散存儲(chǔ)在設(shè)備和FIDO服務(wù)器中.這種去中心化的設(shè)計(jì)特別適用于采用多種網(wǎng)絡(luò)類(lèi)型的物聯(lián)網(wǎng)，F(xiàn)IDO服務(wù)器可以按需部署在“云”“邊”甚至“端”側(cè)，具有極高的健壯性和可用性.

3) 零信任理念.

整體方案的設(shè)計(jì)符合零信任的理念：從不信任，一直驗(yàn)證.在物聯(lián)網(wǎng)中，設(shè)備往往處于無(wú)法保證物理安全以及網(wǎng)絡(luò)不可靠的繁雜環(huán)境中，有時(shí)設(shè)備在完成認(rèn)證后遭受攻擊成為不可信任的，因此必須時(shí)刻對(duì)設(shè)備和用戶保持警惕性.基于FIDO的物聯(lián)網(wǎng)身份認(rèn)證方案非常重視物聯(lián)網(wǎng)設(shè)備的生命周期保障，在安全前提中將設(shè)備和用戶假定為不可信任的，只有經(jīng)過(guò)嚴(yán)格的基于數(shù)學(xué)安全的公私鑰體制對(duì)設(shè)備和用戶完成每次身份認(rèn)證，才能正常開(kāi)展物聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)，從而確保物聯(lián)網(wǎng)系統(tǒng)的安全.

5 總 結(jié)

本文基于FIDO技術(shù)的輕量化和去中心化的設(shè)計(jì)思想提出了物聯(lián)網(wǎng)身份認(rèn)證解決方案，全面覆蓋了物聯(lián)網(wǎng)中用戶、設(shè)備與服務(wù)之間的各種認(rèn)證場(chǎng)景，提出了針對(duì)物聯(lián)網(wǎng)設(shè)備的生產(chǎn)、入網(wǎng)登記、使用、升級(jí)、注銷(xiāo)等階段進(jìn)行全生命周期管理，闡述了物聯(lián)網(wǎng)設(shè)備密鑰種類(lèi)及關(guān)系，并對(duì)方案所具備的輕量化設(shè)計(jì)、去中心化和零信任理念等優(yōu)勢(shì)和特點(diǎn)進(jìn)行了分析，為實(shí)現(xiàn)安全、便捷且保護(hù)隱私的物聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)提供了參考和指導(dǎo).