11、物联网中的身份认证技术与挑战

物联网中的身份认证技术与挑战

1. 物联网加密工具概述

在物联网（IoT）领域，设备通常与服务提供商关联的主服务器共享对称密钥，并进行提供商之间的桥接安排。随着电话与互联网、万维网的融合，公钥技术的应用也越来越广泛。除了常见的加密工具，还有一些不太标准但专门为物联网提出的新工具。

1.1 Macaroons

Macaroons是谷歌提出的一种工具。假设存在一系列物联网计算设备C0、C1、C2，它们的规模和权限依次递减。例如，C0可能是当地电力公司的大型服务器，C1是该电力公司安装在用户家中的智能电表，C2是用户购买的智能电器，该电器在电力消耗方面具有一些实用功能。在自然的权限流程中，电力公司认可智能电表，智能电表认可电器。

在这种场景下，电力公司服务器C0和电器C2之间建立相互认证的通信是很有用的，比如电器可以向服务器报告使用信息，服务器可以在电网压力大时要求电器减少用电。然而，如果电力公司和电器从未交互过，这就会变得棘手。

公钥基础设施（PKI）可以解决这个问题。每一方都有一个密钥对，C0对C1进行签名断言，C1再对C2进行签名断言。这对断言足以让C0确认持有C2密钥对的就是该用户家中的电器，然后可以使用标准的公钥技术建立安全的、相互认证的通信通道。

但公钥加密成本较高，Macaroons的思路是使用更轻量级的HMAC来实现类似功能。计算机C0有一个秘密k0，它生成一个随机数n1并附加一些信息（限制条件），然后使用k0生成这些项的HMAC k1。这样就得到了公共的Macaroon（由随机数和限制条件组成）和私有的k2。如果C0通过安全通道将Macaroon和k1传递给机器C1，那么C1就与C0共享了一个秘密。之后，