CN111865570A - 一种物联网中适应异构设备群的自动化远程证明方法 - Google Patents

一种物联网中适应异构设备群的自动化远程证明方法 Download PDF

Info

Publication number
CN111865570A
CN111865570A CN202010449319.8A CN202010449319A CN111865570A CN 111865570 A CN111865570 A CN 111865570A CN 202010449319 A CN202010449319 A CN 202010449319A CN 111865570 A CN111865570 A CN 111865570A
Authority
CN
China
Prior art keywords
internet
things
equipment
verifier
certification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010449319.8A
Other languages
English (en)
Other versions
CN111865570B (zh
Inventor
付安民
况博裕
严雯雯
俞研
苏铓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Science and Technology
Original Assignee
Nanjing University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Science and Technology filed Critical Nanjing University of Science and Technology
Priority to CN202010449319.8A priority Critical patent/CN111865570B/zh
Publication of CN111865570A publication Critical patent/CN111865570A/zh
Application granted granted Critical
Publication of CN111865570B publication Critical patent/CN111865570B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/10Detection; Monitoring
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/20Analytics; Diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Electromagnetism (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种物联网中异构设备群的自动化远程证明方法,具体步骤包括:物联网设备初始化;物联网设备信息注册;通信节点设备收集物联网设备动态属性;验证者选择候选物联网设备;验证者发送证明挑战;物联网设备生成证明响应;验证者验证物联网设备状态;验证者判断设备群状态;验证者更新所使用的机器学习模型。本发明基于机器学习和物联网设备动静态属性使得验证者能够及时对行为可疑的物联网设备进行验证,提高了设备群的安全性。

Description

一种物联网中适应异构设备群的自动化远程证明方法
技术领域
本发明属于物联网和信息安全技术领域,具有是一种物联网中异构设备群的自动化远程证明方法。
背景技术
随着物联网(IoT)的发展,生活和工作中都涉及各种各样的物联网嵌入式设备。然而,这些嵌入式物联网设备在带来便利的同时,也为用户的安全和隐私带来了威胁。各式各样的嵌入式物联网设备在连入网络后,大大增加了攻击者的攻击面。糟糕的是,资源受限的嵌入式物联网设备往往缺乏强大的自我抵御攻击的能力。所以,物联网面临的一个严峻的挑战就是如何保证物联网设备的安全性。
为此,研究人员提出了一种基于挑战-响应模式的远程证明方案,它允许一个可信的验证者(VRF)通过远程访问的模式验证目标设备(prover)的安全性状态。更具体地来说,VRF通过发送证明挑战(challenge),要求prover回馈一个和其运行状态或者内存状态相关的证明响应(response),然后,根据验证收到的response,VRF能够评估prover的状态,从而判断prover是否被攻击。对被攻击的物联网设备进行移除或者修复,即可达到保证物联网设备安全性的目的。远程证明将一部分计算开销放在了VRF方,降低了prover的性能开销,设备的开销低;对prover设备的修改小,能够适用于异构的物联网设备;通过不同类型证明响应的计算和评估,VRF能够验证不同类型的攻击,攻击检测能力强。因此,远程证明方案成为最受青睐的验证物联网中嵌入式设备安全性的方案。为了适应数量庞大的物联网设备,更高效的设备群远程证明方案受到了研究人员的广泛关注。
然而,现有的设备群远程证明方案还存在一些缺陷:1)统一的证明周期忽略了异构物联网设备不同的安全性需求。传统的群认证大多选择一个统一的认证周期来对群中的所有物联网设备进行验证。对于安全性需求较高的物联网设备,统一的证明周期可能偏长,容易放过短暂性攻击,形成安全漏洞;而对于安全性需求较低的物联网设备,统一的证明周期则可能偏短,会造成物联网设备上不必要的证明开销。2)动态网络环境下较高的物联网设备开销。现有的智能物联网设备远程证明方案需要通过网络拓扑来进行远程证明,因此并不适用于动态拓扑网络的设备群。同时,现有的适应动态拓扑的设备群远程证明大多利用广播机制来传播证明挑战,通过聚合来回馈证明响应,造成物联网设备上较高的通信开销以及存储开销。
发明内容
本发明的目的在于提供一种安全高效适应异构设备的设备群远程证明方法,以实现对设备群中安全需求不一致的物联网设备的自动化远程证明,适应设备群中物联网设备的动态性,保证物联网中设备的安全性。
实现本发明目的的技术解决方案为:一种物联网中适应异构设备群的自动化远程证明方法,具体步骤为:
物联网设备从网络管理者或者验证者处获取自己的公私钥信息、唯一识别符信息并向验证者注册自己相关信息;
通信节点设备收集物联网设备动态属性;
当时间到达预定的触发远程证明的时间,通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性;
验证者根据物联网设备的动态属性和静态属性,通过机器学习模型选择设备群中需要被验证的物联网设备集合;
验证者生成并发送本周期的证明挑战;
物联网设备收到证明挑战后,被选出的物联网设备集合中的物联网设备回馈证明响应;
收到物联网设备的证明响应后,验证者验证物联网设备的状态并返回证明结果;
验证者通过所有候选物联网设备的证明结果判断整个设备群的状态;
验证者将这次远程证明中候选物联网设备的动静态属性和其对应的验证结果作为新的训练集更新所使用的机器学习的模型。
优选地,物联网设备向验证者注册自己相关信息具体包括:
(1)物联网设备向验证者发送自己的唯一标识符和设备内存状态信息和软件信息、设备硬件配置信息;
(2)验证者根据物联网设备的软件功能和硬件配置信息为物联网设备的静态属性进行赋值;
(3)验证者为每个物联网设备生成其最大证明时间间隔;
(4)根据物联网设备的内存状态信息,存储包含物联网设备的软件内存状态hash值的证书;
(5)初始化物联网设备的上次执行远程证明程序的时间。
优选地,物联网设备最大证明时间间隔具体为:
Figure BDA0002507095100000031
其中,Pmax和Smax表示所有物联网设备隐私等级和安全等级的最大值,Pi、Si和HWi表示该物联网设备的隐私等级、安全等级和设备硬件配置等级,Δt为验证者触发对设备群远程证明的时间周期。
优选地,物联网设备动态属性具体包括:数据包来源、物联网设备的通信开销、物联网设备所经过的地理位置所处的子网络以及同一个物联网设备发送到通信节点设备的流量信息。
优选地,本周期的证明挑战包括:物联网设备的id列表、一个随机数以及一个值的消息验证码。
优选地,被选出的物联网设备集合中的物联网设备回馈证明响应的具体方法为:
物联网设备验证挑战值的有效性,并在通过验证后,计算挑战值中的随机数以及当前软件状态的哈希值,并对哈希值和设备id进行签名,生成物联网设备的证明响应并回馈给验证者。
优选地,验证者验证物联网设备的状态并返回证明结果的具体方法为:
验证者通过签名验证判断证明响应是否来自真实的目标设备,对比证明响应中的物联网设备当前软件配置信息的哈希值和在离线状态初始化的物联网设备的软件配置信息证书中存储的软件配置信息的哈希值来判断物联网设备的软件完整性,如果签名验证通过且软件配置信息一致,则验证者判断该物联网设备可信,生成证明结果AR=1;否则验证者判断该物联网设备不可信,生成证明结果AR=0。
优选地,验证者通过所有候选物联网设备的证明结果判断整个设备群的状态的具体方法为:
验证者初始化所有候选物联网设备的证明结果AR=0,通过物联网设备返回的证明响应,生成对应的真实证明结果AR’,再将AR’的值赋予该物联网设备对应的证明结果AR,如果某一物联网设备的证明结果AR’=0,则验证者立即判断当前设备群不安全;当验证者验证完所有收到的证明响应后,验证者遍历所有物联网设备的验证结果,如果某一个物联网设备对应的证明结果AR仍然为0,即表示该物联网设备未能及时反馈证明响应,则验证者判断当前设备群不安全;当且仅当所有候选物联网设备都及时反馈了证明响应且通过验证时,验证者认为当前设备群安全。
本发明与现有技术相比,其显著优点为:
(1)高安全性:基于机器学习的方法,验证者能够预测行为可疑的物联网设备集合,从而触发对可疑物联网设备的远程证明,验证物联网设备的安全性。同时使用动静态属性来预测物联网设备的状态,提高了预测的准确性,使得验证者能够较准确的选择出可疑的物联网设备。及时触发对可疑物联网设备的远程证明降低了物联网设备从被攻击到攻击被发现之间的时间延迟,从而提高了设备群的安全性;
(2)高适应性:基于物联网设备静态属性的设备最大证明周期,使得设备群中的不同的物联网设备都能够按照自己的安全性需求来及时地执行远程证明。非统一的远程证明周期,使得本发明的方法能够很好地适应拥有不同类型物联网设备的设备群;
(3)网络动态性:通过位置固定的通信节点设备转发设备群中的所有信息,提高了在物联网设备移动情况下信息传递的成功率和信息传递速率。因此在远程证明交互中,设备群网络的动态性对本发明的协议执行过程影响较小。这使得本发明能够很好地适应设备群的网络动态性;
(4)低开销:使用通信节点设备转发群中信息,大大降低了各个物联网设备的通信开销;和现有方案中设备群中所有物联网设备采用同样的证明周期相比,本发明中非统一的物联网设备证明时间,减少了物联网设备上一些不必要的证明开销,在保证设备群安全性的同时大大降低了安全性需求较低物联网设备的证明开销。
附图说明
图1是本发明的系统模型图。
图2是本发明的物联网中异构设备群的自动化远程证明方法的基本流程图。
具体实施方式
下面结合附图及实施示例对本发明作进一步详细描述。以下实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和过程,但本发明的保护范围不限于下述的实施例。
一种物联网中适应异构设备群的自动化远程证明方法,该方法的系统模型如图1所示,包含三类实体:验证者(VRF),通信节点设备(communication node,CN),物联网设备(IoT devices)。其中,VRF是可信的实体,拥有海量的存储空间以及强大的计算能力,除了承担验证设备群中各个物联网设备软件完整性的任务,在本发明中,验证者还利用机器学习算法预测群中每个物联网设备是否被攻击。CN也被假设为可信的实体,在本发明中,能与物联网设备和验证者进行交互,通过收集物联网设备发送的数据包分析设备的动态属性,并向验证者发送这些动态属性。物联网设备为物联网中的众多普通设备,大多数都是资源受限的嵌入式设备,在能量、计算能力、存储能力等方面都是有限的,这些物联网设备相互合作完成各种任务,形成一个群组,然而这些物联网设备都是不可信的,攻击者能够利用这些物联网设备窃取用户的信息或者控制这些物联网设备执行恶意行为。在本发明中,假设这些物联网设备至少配备有最轻量级的安全框架(只读存储器ROM、内存保护单元MPU和具有写保护的时钟),这些物联网设备将被验证者周期性地触发远程证明协议。
本发明通过收集物联网设备的动静态属性,使用机器学习算法对物联网设备的安全状态进行预判,从而为异构物联网设备选择及时合适的证明时间。在每一个证明周期内,VRF只需要验证被预测为可疑的物联网设备,一方面大大减小了物联网设备从被感染到被发现之间的时间延迟,另一方面减少了其他物联网设备上冗余的证明开销。同时,本发明除了适用于静态网的络拓扑,还适用于动态网络拓扑的设备群。
本发明主要分为两个阶段,离线阶段和在线阶段,如图2所示。离线阶段表示物联网设备加入网络之前的阶段,如图2中步骤101和102所示,在线阶段表示物联网设备加入网络之后,如图2中步骤103到110所示,具体步骤为:
步骤101:物联网设备初始化。
物联网设备Di从网络管理者或者验证者处获取自己的公私钥信息(pki,ski),唯一识别符信息(id);
步骤102:物联网设备注册。
物联网设备Di向验证者注册自己相关信息,具体如下:
(1)物联网设备向验证者发送自己的唯一标识符(id)和设备内存状态信息和软件信息、设备硬件配置信息。
(2)验证者对物联网设备系统功能的安全性和隐私性进行分析后,根据物联网设备的软件功能和硬件配置信息,为物联网设备的静态属性进行赋值。物联网设备的静态属性包括设备硬件配置等级(HW),设备软件安全等级(S),设备软件隐私等级(P)。
(3)通过这些属性数据,验证者VRF将为每个物联网设备Di生成其特有的最大证明时间间隔MTi,计算公式如下:
Figure BDA0002507095100000061
其中,Pmax和Smax表示所有物联网设备隐私等级和安全等级的最大值,Pi、Si和HWi表示该物联网设备的隐私等级、安全等级和设备硬件配置等级,Δt为验证者触发对设备群远程证明的时间周期。
(4)根据物联网设备的内存状态信息,存储包含物联网设备的软件内存状态hash值的证书(cert(hash))
(5)初始化物联网设备的上次执行远程证明程序的时间Tatt=currenttime();
在线阶段步骤103:动态属性收集:通信节点设备收集物联网设备的运行时属性,具体如下:
Figure BDA0002507095100000062
Figure BDA0002507095100000071
通信节点设备能够实时监测设备群中的流量信息。通过对收到的每个数据包的分析,通信节点设备能够通过ip地址知道数据包来自哪个物联网设备。根据数据报的目标ip地址,通信节点设备可以统计验证者证明周期Δt时间内该物联网设备进行交互的物联网设备数量。通过累加ip数据包的大小,通信节点设备能够计算这段时间内物联网设备的通信开销。与物联网设备通信的通信节点设备则能够代表这段时间该物联网设备所经过的地理位置所处的子网络。此外,通信节点设备将这段时间内同一个物联网设备发送过来的流量信息进行统计。主要包括包的个数、包的长度以及他们的平均值、标准差、方差。
步骤104:发送收集的动态信息
当时间到达预定的触发远程证明的时间,通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性。
步骤105:候选物联网设备选择
验证者以物联网设备的动静属性为输入,通过机器学习算法选择设备群中需要被验证的物联网设备,具体如下:
Figure BDA0002507095100000072
VRF以之前每一轮证明的证明结果及设备动静态属性作为训练集,生成一个机器学习分类模型(如支持向量机、全连接神经网络等),然后VRF输入当前设备的动静态属性通过机器学习模型选择出行为可疑的物联网设备集合SUS,同时VRF会验证每个物联网设备距上次被证明时间是否超过最长证明时间间隔MTi,如果超过则将其加入到需要被立刻证明的物联网设备集合NOW中。最后,VRF将集合SUS和NOW合并就得到了这一次远程证明交互中的候选物联网设备集合Candidate=SUS∪NOW。
步骤106:发送证明挑战
验证者得到候选物联网设备集合后生成并发送本周期的证明挑战,具体如下:
Figure BDA0002507095100000081
验证者将生成的挑战在设备群中传播。挑战中包括被选中的物联网设备的id列表,一个随机数,以及一个值的消息验证码(HMAC)用以验证挑战的真实性。
步骤107:生成证明响应
设备群中物联网设备收到证明挑战后,并不会直接进入证明模式执行证明程序,仅有被选中的物联网设备需要回馈证明响应,具体如下:
Figure BDA0002507095100000082
Figure BDA0002507095100000091
如果物联网设备确定自己为被选中的物联网设备,该物联网设备验证挑战值的有效性以防止攻击者恶意触发物联网设备的证明程序。通过验证后,物联网设备计算挑战值中的随机数以及当前软件状态的哈希值,并对哈希值和设备id进行签名最终生成物联网设备的证明响应回馈给VRF。如果该物联网设备没有被选中则忽略。
步骤108:验证物联网设备状态
当收到物联网设备的证明响应,验证者逐一验证物联网设备的状态并返回证明结果,具体如下:
Figure BDA0002507095100000092
VRF首先通过签名验证判断证明响应是否来自真实的目标设备,然后对比证明响应中的物联网设备当前软件配置信息的哈希值(hash)和在离线状态初始化的物联网设备的软件配置信息证书中存储的软件配置信息的哈希值来判断物联网设备的软件完整性。通过这两步验证,VRF能够轻易判断目标设备的当前状态,如表1所示——AR=1表示物联网设备处在可信状态,AR=0表示物联网设备受到的攻击者感染。
表1
Figure BDA0002507095100000093
Figure BDA0002507095100000101
步骤109判断设备群状态:
验证者通过所有候选物联网设备的证明结果判断整个设备群的状态,具体如下:
Figure BDA0002507095100000102
VRF先初始化所有候选物联网设备的证明结果AR=0,然后通过物联网设备返回的证明响应,生成对应的真实证明结果AR’,再将AR’的值赋予该物联网设备对应的证明结果AR。如果某一物联网设备的证明结果AR’=0(即该物联网设备不可信),则VRF立即判断当前设备群不安全。当VRF验证完所有收到的证明响应后,为了检测未及时反馈证明响应的物联网设备,VRF还需要遍历所有物联网设备的验证结果,如果某一个物联网设备对应的证明结果AR仍然为0,即表示该物联网设备未能及时反馈证明响应,则VRF立即判断当前设备群不安全。当且仅当所有候选物联网设备都及时反馈了证明响应且通过验证时,VRF才认为当前设备群是安全的。
步骤110:更新机器学习模型
验证者利用这次远程证明中候选物联网设备的动静态属性和其对应的验证结果AR,即使用(idi,HWi,Si,Pi,MTi,TYPE,NIi,neti,comi,flowiAR)作为新的训练集样本,以增量学习的方式来更新所使用的机器学习的模型,使得之后的预测结果更准确。
综上所述,本发明利用机器学习模型结合物联网设备动静态属性构造了一个更安全的自动化远程证明方法,使得每个物联网设备的证明时间满足物联网设备自身的安全需求。并且,在机器学习模型的帮助下,本发明实现了对可疑物联网设备的自动化远程证明,缩短了攻击发生到攻击被发现之前的时间延迟,同时减少了其他物联网设备上不必要的证明开销。同时,在此基础上,本发明通过引入位置固定的通信节点设备,降低了动态网络下物联网设备的证明开销,实现了对动态网络的高度适应性。

Claims (8)

1.一种物联网中适应异构设备群的自动化远程证明方法,其特征在于,具体步骤为:
物联网设备从网络管理者或者验证者处获取自己的公私钥信息、唯一识别符信息并向验证者注册自己相关信息;
通信节点设备收集物联网设备动态属性;
当时间到达预定的触发远程证明的时间,通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性;
验证者根据物联网设备的动态属性和静态属性,通过机器学习模型选择设备群中需要被验证的物联网设备集合;
验证者生成并发送本周期的证明挑战;
物联网设备收到证明挑战后,被选出的物联网设备集合中的物联网设备回馈证明响应;
收到物联网设备的证明响应后,验证者验证物联网设备的状态并返回证明结果;
验证者通过所有候选物联网设备的证明结果判断整个设备群的状态;
验证者将这次远程证明中候选物联网设备的动静态属性和其对应的验证结果作为新的训练集更新所使用的机器学习的模型。
2.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,物联网设备向验证者注册自己相关信息具体包括:
(1)物联网设备向验证者发送自己的唯一标识符和设备内存状态信息和软件信息、设备硬件配置信息;
(2)验证者根据物联网设备的软件功能和硬件配置信息为物联网设备的静态属性进行赋值;
(3)验证者为每个物联网设备生成其最大证明时间间隔;
(4)根据物联网设备的内存状态信息,存储包含物联网设备的软件内存状态hash值的证书;
(5)初始化物联网设备的上次执行远程证明程序的时间。
3.根据权利要求2所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,物联网设备最大证明时间间隔具体为:
Figure FDA0002507095090000021
其中,Pmax和Smax表示所有物联网设备隐私等级和安全等级的最大值,Pi、Si和HWi表示该物联网设备的隐私等级、安全等级和设备硬件配置等级,Δt为验证者触发对设备群远程证明的时间周期。
4.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,物联网设备动态属性具体包括:数据包来源、物联网设备的通信开销、物联网设备所经过的地理位置所处的子网络以及同一个物联网设备发送到通信节点设备的流量信息。
5.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,本周期的证明挑战包括:物联网设备的id列表、一个随机数以及一个值的消息验证码。
6.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,被选出的物联网设备集合中的物联网设备回馈证明响应的具体方法为:
物联网设备验证挑战值的有效性,并在通过验证后,计算挑战值中的随机数以及当前软件状态的哈希值,并对哈希值和设备id进行签名,生成物联网设备的证明响应并回馈给验证者。
7.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,验证者验证物联网设备的状态并返回证明结果的具体方法为:
验证者通过签名验证判断证明响应是否来自真实的目标设备,对比证明响应中的物联网设备当前软件配置信息的哈希值和在离线状态初始化的物联网设备的软件配置信息证书中存储的软件配置信息的哈希值来判断物联网设备的软件完整性,如果签名验证通过且软件配置信息一致,则验证者判断该物联网设备可信,生成证明结果AR=1;否则验证者判断该物联网设备不可信,生成证明结果AR=0。
8.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法,其特征在于,验证者通过所有候选物联网设备的证明结果判断整个设备群的状态的具体方法为:
验证者初始化所有候选物联网设备的证明结果AR=0,通过物联网设备返回的证明响应,生成对应的真实证明结果AR’,再将AR’的值赋予该物联网设备对应的证明结果AR,如果某一物联网设备的证明结果AR’=0,则验证者立即判断当前设备群不安全;当验证者验证完所有收到的证明响应后,验证者遍历所有物联网设备的验证结果,如果某一个物联网设备对应的证明结果仍然为该物联网设备未能及时反馈证明响应,则验证者判断当前设备群不安全;当且仅当所有候选物联网设备都及时反馈了证明响应且通过验证时,验证者认为当前设备群安全。
CN202010449319.8A 2020-05-25 2020-05-25 一种物联网中适应异构设备群的自动化远程证明方法 Active CN111865570B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010449319.8A CN111865570B (zh) 2020-05-25 2020-05-25 一种物联网中适应异构设备群的自动化远程证明方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010449319.8A CN111865570B (zh) 2020-05-25 2020-05-25 一种物联网中适应异构设备群的自动化远程证明方法

Publications (2)

Publication Number Publication Date
CN111865570A true CN111865570A (zh) 2020-10-30
CN111865570B CN111865570B (zh) 2022-06-24

Family

ID=72985721

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010449319.8A Active CN111865570B (zh) 2020-05-25 2020-05-25 一种物联网中适应异构设备群的自动化远程证明方法

Country Status (1)

Country Link
CN (1) CN111865570B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113423108A (zh) * 2021-05-11 2021-09-21 西安电子科技大学 一种远程证明方法、系统、计算机设备及数据处理终端
CN115277017A (zh) * 2022-07-26 2022-11-01 北京计算机技术及应用研究所 一种基于远程证明的智能制造系统设备群的主动防御方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768660A (zh) * 2018-05-28 2018-11-06 北京航空航天大学 基于物理不可克隆函数的物联网设备身份认证方法
CN109005040A (zh) * 2018-09-10 2018-12-14 湖南大学 动态多密钥混淆puf结构及其认证方法
CN110022312A (zh) * 2019-03-20 2019-07-16 杭州职业技术学院 一种用于物联网设备可拓展的轻量级证明方法
CN110276198A (zh) * 2019-06-14 2019-09-24 中国科学院信息工程研究所 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统
CN110414273A (zh) * 2018-04-27 2019-11-05 恩智浦有限公司 边缘节点上的高通量隐私友好硬件辅助机器学习

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110414273A (zh) * 2018-04-27 2019-11-05 恩智浦有限公司 边缘节点上的高通量隐私友好硬件辅助机器学习
CN108768660A (zh) * 2018-05-28 2018-11-06 北京航空航天大学 基于物理不可克隆函数的物联网设备身份认证方法
CN109005040A (zh) * 2018-09-10 2018-12-14 湖南大学 动态多密钥混淆puf结构及其认证方法
CN110022312A (zh) * 2019-03-20 2019-07-16 杭州职业技术学院 一种用于物联网设备可拓展的轻量级证明方法
CN110276198A (zh) * 2019-06-14 2019-09-24 中国科学院信息工程研究所 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
苏铓等: "基于代理重加密的物联网云节点授权可信更新机制", 《计算机研究与发展》, 31 December 2018 (2018-12-31), pages 1479 - 1487 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113423108A (zh) * 2021-05-11 2021-09-21 西安电子科技大学 一种远程证明方法、系统、计算机设备及数据处理终端
CN115277017A (zh) * 2022-07-26 2022-11-01 北京计算机技术及应用研究所 一种基于远程证明的智能制造系统设备群的主动防御方法

Also Published As

Publication number Publication date
CN111865570B (zh) 2022-06-24

Similar Documents

Publication Publication Date Title
Yu et al. An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks
Meng et al. Enhancing trust management for wireless intrusion detection via traffic sampling in the era of big data
Abdulqadder et al. Multi-layered intrusion detection and prevention in the SDN/NFV enabled cloud of 5G networks using AI-based defense mechanisms
Huang et al. Cross-feature analysis for detecting ad-hoc routing anomalies
Zhuang et al. Investigating the application of moving target defenses to network security
Mirkovic et al. Accurately measuring denial of service in simulation and testbed experiments
CN111865570B (zh) 一种物联网中适应异构设备群的自动化远程证明方法
Ourouss et al. Defending against smart grayhole attack within MANETs: A reputation-based ant colony optimization approach for secure route discovery in DSR protocol
Sood et al. Analysis of policy-based security management system in software-defined networks
Almohri et al. An attack-resilient architecture for the Internet of Things
Liu et al. Learning based adaptive network immune mechanism to defense eavesdropping attacks
Zhao et al. ESLD: An efficient and secure link discovery scheme for software‐defined networking
Aamir et al. Ddos attack and defense: Review of some traditional and current techniques
CN115603987A (zh) 一种云边端融合的电力信息通信系统跨域零信任认证系统
Montana et al. Optimizing parameters of a mobile ad hoc network protocol with a genetic algorithm
CN104519069A (zh) 一种拦截资源请求的方法和装置
Burke et al. Misreporting attacks against load balancers in software-defined networking
KR20110140063A (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
Ndonda et al. Network trace generation for flow-based IDS evaluation in control and automation systems
CN116170806B (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
Anithaashri et al. Security enhancement for the network amalgamation using machine learning algorithm
Xie et al. Attack resilience of cache replacement policies: A study based on TTL approximation
Ruixuan et al. Research on the network access authentication technology of SDN based on 802.1 X
CN108833410A (zh) 一种针对HTTP Flood攻击的防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant