【摘要】：物聯(lián)網(wǎng)被視為繼計算機、互聯(lián)網(wǎng)和移動通信之后新一輪信息產(chǎn)業(yè)浪潮的核心領(lǐng)域,將是下一個推動世界高速發(fā)展的“重要生產(chǎn)力”。物聯(lián)網(wǎng)除了面臨傳統(tǒng)網(wǎng)絡(luò)的諸多安全問題,還有其自身的特殊安全問題,應(yīng)用層特殊安全需求涉及用戶隱私保護、信息處理利用等方面的問題,也是人們特別關(guān)注和亟待解決的問題。應(yīng)用層信令控制協(xié)議SIP具有簡單靈活、擴展性好、易于移植等特點,可以容易地移植到物聯(lián)網(wǎng)的各種便于攜帶、方便使用但功耗小、容量小的終端設(shè)備,可應(yīng)用于物聯(lián)網(wǎng)樓宇對講、視頻會議、在智能家居等應(yīng)用的遠程控制會話連接。本文主要分析了物聯(lián)網(wǎng)各層所面臨的的安全威脅,研究了SIP協(xié)議中的認證機制,針對物聯(lián)網(wǎng)應(yīng)用中的隱私保護、身份認證等通信安全的需求,提出了面向物聯(lián)網(wǎng)的SIP協(xié)議安全方案,并對方案進行了安全性和性能分析。具體內(nèi)容如下：1.研究了SIP協(xié)議中已有的認證機制,并分析了其優(yōu)缺點,然后分析了物聯(lián)網(wǎng)中的安全威脅及安全需求。2.提出了面向物聯(lián)網(wǎng)的基于SIP協(xié)議的安全方案,實現(xiàn)了匿名隱藏的身份認證及會話密鑰協(xié)商。該方案通過擴展SIP協(xié)議,并借鑒SIP協(xié)議的HTTP摘要認證機制,在兩次交互中實現(xiàn)雙向身份認證,同時使用無證書密鑰協(xié)商機制以實現(xiàn)會話密鑰協(xié)商。安全性分析表明,該方案能夠抵抗服務(wù)器偽裝攻擊、離線密碼猜測攻擊、Relay攻擊等常見攻擊,方案中協(xié)商的會話密鑰能夠抵抗主動攻擊和被動攻擊,具有較高的安全性。性能分析表明該方案適用于容量、計算能力有限的物聯(lián)網(wǎng)終端。3.對本文提出的安全方案在SIP電話的應(yīng)用中進行了測試,并給出了測試結(jié)果。結(jié)果表明該方案是正確的和可行的。
【圖文】：

邐＞逡逑圖４．１完全圓錐型ＮＡＴ結(jié)構(gòu)逡逑總體安全方案如圖４．２所示。本方案中，在會話建立前，需要一個密鑰生成中逡逑也（Ｋ巧Ｇｅｎｅｒａｔｉｏｎ邋Ｃｅｎｔｅｒ，ＫＧＣ）為每一次會話生成公開參數(shù)，，會話雙方根據(jù)公開逡逑參數(shù)按照一定的規(guī)則產(chǎn)生自己的私鑰，該私鑰只有會話雙方自己保存，標識一次逡逑會話過程。如果身份認證失敗，則拒絕該會話，則不進行密鑰協(xié)商，由發(fā)起方?jīng)Q逡逑定是否重新發(fā)起請求。在會話密鑰協(xié)商階段，應(yīng)用無證書密鑰協(xié)商機制。逡逑４．邋１．邋１方案描述逡逑根據(jù)上述分析，本文通過擴展ＳＩＰ協(xié)議，借鑒ＳＩＰ中表示自身實體的Ｆｒｏｍ頭逡逑域的可隱藏自己身份的方式，增加新的頭字段對ＳＩＰ協(xié)議進行擴展實現(xiàn)身份隱藏；逡逑借鑒了邋ＨＴＴＰ摘要認證挑戰(zhàn)／響應(yīng)的認證思想，通過改進ＨＴＴＰ認證機制實現(xiàn)高逡逑效的雙向身份認證；應(yīng)用公巧體制中的無證書密鑰協(xié)商機制協(xié)商會話密鑰

ＫＧＣ系統(tǒng)進行初始化。終端Ａ、終端Ｂ根據(jù)系統(tǒng)參數(shù)計算各自的部分私鑰及私鑰。逡逑然后終端Ａ進行４N１節(jié)描述的步驟１至３，向終端Ｂ發(fā)送ＩＮＶ打Ｅ請求。使用逡逑Ｗｉｒｅｓｈａｒｋ程序抓包如圖５．７所示，終端Ａ發(fā)送的ＩＮＶＩＴＥ請求中打ｏｍ字段設(shè)置逡逑為邋Ａｎｏｎｙｍｏｕｓ邋0逡逑ｉ副股灥柳》歷峰}Ｗ邐—邋邐邋v掊五義�？挺卉O瘢危�；x跡常掊�、逦￡邋＇一氏ｙ广４＾蓽屎《巧６暹儜匚。逦巧ＷＬY擼媯⒘義蠔c＊邐－邐’郵￣山0？橚邐■：逡逑Ｎｓ．邐ｒ

本文編號：2572932