一种物联网中适应异构设备群的自动化远程证明方法技术

本发明专利技术公开了一种物联网中异构设备群的自动化远程证明方法，具体步骤包括：物联网设备初始化；物联网设备信息注册；通信节点设备收集物联网设备动态属性；验证者选择候选物联网设备；验证者发送证明挑战；物联网设备生成证明响应；验证者验证物联网设备状态；验证者判断设备群状态；验证者更新所使用的机器学习模型。本发明专利技术基于机器学习和物联网设备动静态属性使得验证者能够及时对行为可疑的物联网设备进行验证，提高了设备群的安全性。

An automated remote attestation method for heterogeneous devices in Internet of things

【技术实现步骤摘要】
一种物联网中适应异构设备群的自动化远程证明方法
本专利技术属于物联网和信息安全
，具有是一种物联网中异构设备群的自动化远程证明方法。
技术介绍
随着物联网(IoT)的发展，生活和工作中都涉及各种各样的物联网嵌入式设备。然而，这些嵌入式物联网设备在带来便利的同时，也为用户的安全和隐私带来了威胁。各式各样的嵌入式物联网设备在连入网络后，大大增加了攻击者的攻击面。糟糕的是，资源受限的嵌入式物联网设备往往缺乏强大的自我抵御攻击的能力。所以，物联网面临的一个严峻的挑战就是如何保证物联网设备的安全性。为此，研究人员提出了一种基于挑战-响应模式的远程证明方案，它允许一个可信的验证者(VRF)通过远程访问的模式验证目标设备(prover)的安全性状态。更具体地来说，VRF通过发送证明挑战(challenge)，要求prover回馈一个和其运行状态或者内存状态相关的证明响应(response)，然后，根据验证收到的response，VRF能够评估prover的状态，从而判断prover是否被攻击。对被攻击的物联网设备进行移除或者修复，即可达到保证物联网设备安全性的目的。远程证明将一部分计算开销放在了VRF方，降低了prover的性能开销，设备的开销低；对prover设备的修改小，能够适用于异构的物联网设备；通过不同类型证明响应的计算和评估，VRF能够验证不同类型的攻击，攻击检测能力强。因此，远程证明方案成为最受青睐的验证物联网中嵌入式设备安全性的方案。为了适应数量庞大的物联网设备，更高效的设备群远程证明方案受到了研究人员的广泛关注。然而，现有的设备群远程证明方案还存在一些缺陷：1)统一的证明周期忽略了异构物联网设备不同的安全性需求。传统的群认证大多选择一个统一的认证周期来对群中的所有物联网设备进行验证。对于安全性需求较高的物联网设备，统一的证明周期可能偏长，容易放过短暂性攻击，形成安全漏洞；而对于安全性需求较低的物联网设备，统一的证明周期则可能偏短，会造成物联网设备上不必要的证明开销。2)动态网络环境下较高的物联网设备开销。现有的智能物联网设备远程证明方案需要通过网络拓扑来进行远程证明，因此并不适用于动态拓扑网络的设备群。同时，现有的适应动态拓扑的设备群远程证明大多利用广播机制来传播证明挑战，通过聚合来回馈证明响应，造成物联网设备上较高的通信开销以及存储开销。
技术实现思路
本专利技术的目的在于提供一种安全高效适应异构设备的设备群远程证明方法，以实现对设备群中安全需求不一致的物联网设备的自动化远程证明，适应设备群中物联网设备的动态性，保证物联网中设备的安全性。实现本专利技术目的的技术解决方案为：一种物联网中适应异构设备群的自动化远程证明方法，具体步骤为：物联网设备从网络管理者或者验证者处获取自己的公私钥信息、唯一识别符信息并向验证者注册自己相关信息；通信节点设备收集物联网设备动态属性；当时间到达预定的触发远程证明的时间，通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性；验证者根据物联网设备的动态属性和静态属性，通过机器学习模型选择设备群中需要被验证的物联网设备集合；验证者生成并发送本周期的证明挑战；物联网设备收到证明挑战后，被选出的物联网设备集合中的物联网设备回馈证明响应；收到物联网设备的证明响应后，验证者验证物联网设备的状态并返回证明结果；验证者通过所有候选物联网设备的证明结果判断整个设备群的状态；验证者将这次远程证明中候选物联网设备的动静态属性和其对应的验证结果作为新的训练集更新所使用的机器学习的模型。优选地，物联网设备向验证者注册自己相关信息具体包括：(1)物联网设备向验证者发送自己的唯一标识符和设备内存状态信息和软件信息、设备硬件配置信息；(2)验证者根据物联网设备的软件功能和硬件配置信息为物联网设备的静态属性进行赋值；(3)验证者为每个物联网设备生成其最大证明时间间隔；(4)根据物联网设备的内存状态信息，存储包含物联网设备的软件内存状态hash值的证书；(5)初始化物联网设备的上次执行远程证明程序的时间。优选地，物联网设备最大证明时间间隔具体为：其中，Pmax和Smax表示所有物联网设备隐私等级和安全等级的最大值，Pi、Si和HWi表示该物联网设备的隐私等级、安全等级和设备硬件配置等级，Δt为验证者触发对设备群远程证明的时间周期。优选地，物联网设备动态属性具体包括：数据包来源、物联网设备的通信开销、物联网设备所经过的地理位置所处的子网络以及同一个物联网设备发送到通信节点设备的流量信息。优选地，本周期的证明挑战包括：物联网设备的id列表、一个随机数以及一个值的消息验证码。优选地，被选出的物联网设备集合中的物联网设备回馈证明响应的具体方法为：物联网设备验证挑战值的有效性，并在通过验证后，计算挑战值中的随机数以及当前软件状态的哈希值，并对哈希值和设备id进行签名，生成物联网设备的证明响应并回馈给验证者。优选地，验证者验证物联网设备的状态并返回证明结果的具体方法为：验证者通过签名验证判断证明响应是否来自真实的目标设备，对比证明响应中的物联网设备当前软件配置信息的哈希值和在离线状态初始化的物联网设备的软件配置信息证书中存储的软件配置信息的哈希值来判断物联网设备的软件完整性，如果签名验证通过且软件配置信息一致，则验证者判断该物联网设备可信，生成证明结果AR＝1；否则验证者判断该物联网设备不可信，生成证明结果AR＝0。优选地，验证者通过所有候选物联网设备的证明结果判断整个设备群的状态的具体方法为：验证者初始化所有候选物联网设备的证明结果AR＝0，通过物联网设备返回的证明响应，生成对应的真实证明结果AR’，再将AR’的值赋予该物联网设备对应的证明结果AR，如果某一物联网设备的证明结果AR’＝0，则验证者立即判断当前设备群不安全；当验证者验证完所有收到的证明响应后，验证者遍历所有物联网设备的验证结果，如果某一个物联网设备对应的证明结果AR仍然为0，即表示该物联网设备未能及时反馈证明响应，则验证者判断当前设备群不安全；当且仅当所有候选物联网设备都及时反馈了证明响应且通过验证时，验证者认为当前设备群安全。本专利技术与现有技术相比，其显著优点为：(1)高安全性：基于机器学习的方法，验证者能够预测行为可疑的物联网设备集合，从而触发对可疑物联网设备的远程证明，验证物联网设备的安全性。同时使用动静态属性来预测物联网设备的状态，提高了预测的准确性，使得验证者能够较准确的选择出可疑的物联网设备。及时触发对可疑物联网设备的远程证明降低了物联网设备从被攻击到攻击被发现之间的时间延迟，从而提高了设备群的安全性；(2)高适应性：基于物联网设备静态属性的设备最大证明周期，使得设备群中的不同的物联网设备都能够按照自己的安全性需求来及时地执行远程证明。非统一的远程证明周期，使得本专利技术的方法能够很好地适应拥有不同类型物联网设本文档来自技高网...

【技术保护点】
1.一种物联网中适应异构设备群的自动化远程证明方法，其特征在于，具体步骤为：/n物联网设备从网络管理者或者验证者处获取自己的公私钥信息、唯一识别符信息并向验证者注册自己相关信息；/n通信节点设备收集物联网设备动态属性；/n当时间到达预定的触发远程证明的时间，通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性；/n验证者根据物联网设备的动态属性和静态属性，通过机器学习模型选择设备群中需要被验证的物联网设备集合；/n验证者生成并发送本周期的证明挑战；/n物联网设备收到证明挑战后，被选出的物联网设备集合中的物联网设备回馈证明响应；/n收到物联网设备的证明响应后，验证者验证物联网设备的状态并返回证明结果；/n验证者通过所有候选物联网设备的证明结果判断整个设备群的状态；/n验证者将这次远程证明中候选物联网设备的动静态属性和其对应的验证结果作为新的训练集更新所使用的机器学习的模型。/n

【技术特征摘要】
1.一种物联网中适应异构设备群的自动化远程证明方法，其特征在于，具体步骤为：
物联网设备从网络管理者或者验证者处获取自己的公私钥信息、唯一识别符信息并向验证者注册自己相关信息；
通信节点设备收集物联网设备动态属性；
当时间到达预定的触发远程证明的时间，通信节点设备将向验证者发送其在非远程证明期间收集的物联网设备动态属性；
验证者根据物联网设备的动态属性和静态属性，通过机器学习模型选择设备群中需要被验证的物联网设备集合；
验证者生成并发送本周期的证明挑战；
物联网设备收到证明挑战后，被选出的物联网设备集合中的物联网设备回馈证明响应；
收到物联网设备的证明响应后，验证者验证物联网设备的状态并返回证明结果；
验证者通过所有候选物联网设备的证明结果判断整个设备群的状态；
验证者将这次远程证明中候选物联网设备的动静态属性和其对应的验证结果作为新的训练集更新所使用的机器学习的模型。


2.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法，其特征在于，物联网设备向验证者注册自己相关信息具体包括：
(1)物联网设备向验证者发送自己的唯一标识符和设备内存状态信息和软件信息、设备硬件配置信息；
(2)验证者根据物联网设备的软件功能和硬件配置信息为物联网设备的静态属性进行赋值；
(3)验证者为每个物联网设备生成其最大证明时间间隔；
(4)根据物联网设备的内存状态信息，存储包含物联网设备的软件内存状态hash值的证书；
(5)初始化物联网设备的上次执行远程证明程序的时间。


3.根据权利要求2所述的物联网中适应异构设备群的自动化远程证明方法，其特征在于，物联网设备最大证明时间间隔具体为：



其中，Pmax和Smax表示所有物联网设备隐私等级和安全等级的最大值，Pi、Si和HWi表示该物联网设备的隐私等级、安全等级和设备硬件配置等级，Δt为验证者触发对设备群远程证明的时间周期。


4.根据权利要求1所述的物联网中适应异构设备群的自动化远程证明方法，其特征在于，物联网设备...

【专利技术属性】
技术研发人员：付安民，况博裕，严雯雯，俞研，苏铓，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：江苏;32