王 冠 高 壯

(北京工業(yè)大學(xué)信息學(xué)部 北京 100124) (可信計(jì)算北京市重點(diǎn)實(shí)驗(yàn)室(北京工業(yè)大學(xué)) 北京 100124)

近年來，遠(yuǎn)程證明(remote attestation, RA)技術(shù)在物聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用已成為國內(nèi)外安全領(lǐng)域研究的熱點(diǎn)[1].由于物聯(lián)網(wǎng)技術(shù)自身的特性，導(dǎo)致現(xiàn)有技術(shù)在實(shí)際應(yīng)用于物聯(lián)網(wǎng)系統(tǒng)時(shí)會(huì)存在問題.首先，現(xiàn)有的應(yīng)用于物聯(lián)網(wǎng)的遠(yuǎn)程證明方案中，由于感知層節(jié)點(diǎn)計(jì)算能力不足，往往無法對終端服務(wù)器進(jìn)行有效的遠(yuǎn)程證明；其次，現(xiàn)有的遠(yuǎn)程證明方案往往都是被動(dòng)遠(yuǎn)程證明，這種證明方式會(huì)打斷設(shè)備的主要任務(wù)，對設(shè)備造成關(guān)鍵性數(shù)據(jù)損失.基于以上的原因，本文提出了一種基于群體認(rèn)證的遠(yuǎn)程證明方案.本文方案利用感知層的聚合節(jié)點(diǎn)，分別驗(yàn)證終端服務(wù)器不同部分的內(nèi)容，最后通過一致性協(xié)議完成各個(gè)節(jié)點(diǎn)對終端服務(wù)器認(rèn)證狀態(tài)的統(tǒng)一，以解決感知層節(jié)點(diǎn)計(jì)算能力不足的問題.同時(shí)，在度量方式上，本文采取隨機(jī)時(shí)間節(jié)點(diǎn)上的自我度量，解決了傳統(tǒng)被動(dòng)證明方式導(dǎo)致設(shè)備運(yùn)行時(shí)數(shù)據(jù)損失的問題.最終完成物聯(lián)網(wǎng)感知層對終端服務(wù)器的群體遠(yuǎn)程證明.

1 相關(guān)工作

遠(yuǎn)程證明是一個(gè)廣泛的研究領(lǐng)域，包括依賴于不同設(shè)備架構(gòu)、安全要求和對抗性假設(shè)的各種方法.遠(yuǎn)程證明的總體目標(biāo)是使驗(yàn)證方能夠通過質(zhì)詢響應(yīng)機(jī)制確定證明方是否處于可接受狀態(tài).換言之，遠(yuǎn)程證明過程可以定義為驗(yàn)證方和證明方之間的交互.當(dāng)證明方被驗(yàn)證方質(zhì)詢時(shí)，將生成與其當(dāng)前狀態(tài)對應(yīng)的響應(yīng)，然后將其發(fā)回.認(rèn)證通過后，驗(yàn)證方可以確定證明方的可信度[2-4].遠(yuǎn)程證明主要分為靜態(tài)遠(yuǎn)程證明和動(dòng)態(tài)遠(yuǎn)程證明2種形式.

1.1 靜態(tài)遠(yuǎn)程證明

要在遠(yuǎn)程證明期間建立信任，評估者需要識(shí)別遠(yuǎn)程系統(tǒng)，并請求和驗(yàn)證有關(guān)其硬件和軟件配置的證據(jù)[5-6].許多遠(yuǎn)程證明的方法提供的證據(jù)僅衡量機(jī)器和運(yùn)行軟件的靜態(tài)屬性.Sailer等人[7]的完整性度量架構(gòu)(integrity measurement architecture, IMA)是可信計(jì)算組織度量引導(dǎo)證明過程的最早實(shí)例之一.通過使用目標(biāo)計(jì)算機(jī)上的可信根[8]度量每個(gè)組件，這些組件在系統(tǒng)引導(dǎo)期間進(jìn)行計(jì)算.每個(gè)軟件利用度量算法計(jì)算出各自的度量值，以創(chuàng)建信任鏈，該信任鏈用于存儲(chǔ)啟動(dòng)時(shí)的特定軟件組件的順序.但是，由于它只度量了代碼加載時(shí)的狀態(tài)，忽略了設(shè)備運(yùn)行時(shí)代碼的變化，所以它仍然無法證明目標(biāo)計(jì)算機(jī)運(yùn)行時(shí)的狀態(tài).為了解決這些問題，Jaeger等人[9]提出了PRIMA方案，通過利用程序或進(jìn)程之間的信息流控制機(jī)制進(jìn)一步提高安全性.但是，該方案同樣是對程序的二進(jìn)制代碼進(jìn)行度量，同時(shí)只捕捉了數(shù)據(jù)完整性流動(dòng)方向這種簡單的設(shè)備行為.所以，PRIMA方案依然不能完整度量設(shè)備的動(dòng)態(tài)行為特征.

1.2 動(dòng)態(tài)遠(yuǎn)程證明

在對靜態(tài)遠(yuǎn)程證明技術(shù)研究的過程中，研究人員發(fā)現(xiàn)靜態(tài)遠(yuǎn)程證明技術(shù)僅能保證設(shè)備上代碼的完整性，而不能保證設(shè)備運(yùn)行中的行為可信.為此，研究人員提出了動(dòng)態(tài)遠(yuǎn)程證明方案，通過對程序運(yùn)行時(shí)的實(shí)時(shí)證明，完成動(dòng)態(tài)的可信驗(yàn)證.

Seshadri等人[10-11]提出了基于無爭議代碼執(zhí)行的認(rèn)證協(xié)議，分別用于檢測受損節(jié)點(diǎn)和建立安全密鑰.Zhang等人[12]提出了一種證明技術(shù)，該技術(shù)使用數(shù)據(jù)保護(hù)來包圍程序數(shù)據(jù)，并在證明中包含這些數(shù)據(jù)保護(hù)的校驗(yàn)和，但它無法檢測對象的溢出攻擊塊或數(shù)組元素，也無法有效抵御字符串格式攻擊.除此之外還有一些文獻(xiàn)提出了其他方案，如基于屬性和基于語義的認(rèn)證，通過對屬性以及語義的度量檢查程序行為.文獻(xiàn)[13]研究了行為特征；文獻(xiàn)[14]研究了Java字節(jié)碼級別規(guī)范，根據(jù)對字節(jié)碼的識(shí)別來實(shí)施不同的本地策略.雖然這些實(shí)例一定程度上保證了安全，但它們都無法在二進(jìn)制級別檢測到控制流攻擊.

2 基于群體認(rèn)證的遠(yuǎn)程證明方案架構(gòu)

2.1 方法框架

大多數(shù)物聯(lián)網(wǎng)應(yīng)用領(lǐng)域(如智能建筑等)的網(wǎng)狀網(wǎng)絡(luò)都是由各種低端嵌入式設(shè)備構(gòu)成的，其網(wǎng)絡(luò)應(yīng)該是靜態(tài)或準(zhǔn)靜態(tài)的.所以，本文提出的方案建立在一個(gè)靜態(tài)拓?fù)涞木W(wǎng)絡(luò)中.

如圖1所示，方案主要由2個(gè)實(shí)體成員組成：匯聚節(jié)點(diǎn)(sink node, SN)和終端服務(wù)器(terminal server, TS).SN根據(jù)配置劃分為普通節(jié)點(diǎn)和協(xié)調(diào)者.方案分為測量和驗(yàn)證2個(gè)階段.在測量階段，根據(jù)設(shè)定的自我度量計(jì)劃，TS從內(nèi)核、進(jìn)程等不同方面進(jìn)行自我度量，并將度量結(jié)果進(jìn)行存儲(chǔ).在驗(yàn)證階段，各SN首先根據(jù)配置好的時(shí)間表，同時(shí)對TS進(jìn)行驗(yàn)證請求；然后，SN根據(jù)收集到的度量結(jié)果，分別進(jìn)行自身的可信評估；最后，SN在其通信范圍內(nèi)定期廣播其當(dāng)前已經(jīng)認(rèn)證的TS部分狀態(tài)，同時(shí)，從鄰居接收信息，更新其認(rèn)證狀態(tài)，并將新狀態(tài)廣播給鄰居.經(jīng)過一定的步驟后，所有網(wǎng)絡(luò)節(jié)點(diǎn)的狀態(tài)將收斂到相同的一致性，完成針對TS的遠(yuǎn)程證明.

根據(jù)以上描述，度量階段主要流程如下：

步驟1. 根據(jù)設(shè)備環(huán)境配置SN的認(rèn)證計(jì)劃時(shí)間表以及預(yù)期結(jié)果收集時(shí)間.同時(shí)，配置節(jié)點(diǎn)ID最大者為協(xié)調(diào)者.

步驟2. 在配置的時(shí)間表中，每個(gè)SN對TS進(jìn)行驗(yàn)證請求.TS根據(jù)不同的SN返回自身不同結(jié)構(gòu)的可信度量值.

步驟3. 每個(gè)SN分別根據(jù)自身的可信基準(zhǔn)庫完成對TS的部分認(rèn)證，并將自己的認(rèn)證結(jié)果廣播至相鄰設(shè)備.

步驟4. 同時(shí)，SN保存針對TS各部分認(rèn)證的結(jié)果，將其保存在自己的受保護(hù)的內(nèi)存中.

步驟5. SN根據(jù)接收到的認(rèn)證結(jié)果對針對TS的認(rèn)證狀態(tài)進(jìn)行更新.

步驟6. 在預(yù)期結(jié)果收集時(shí)間結(jié)束后，根據(jù)結(jié)果收集情況進(jìn)行設(shè)備可信評估，形成每個(gè)SN針對TS的可信值.若SN中的協(xié)調(diào)者發(fā)現(xiàn)缺少某部分內(nèi)容的評估結(jié)果，則再次向該結(jié)果對應(yīng)的生成節(jié)點(diǎn)請求結(jié)果.若請求3次無響應(yīng)，則將該節(jié)點(diǎn)的度量任務(wù)分配到協(xié)調(diào)者周圍的隨機(jī)節(jié)點(diǎn)，等待完成度量任務(wù)，并收集結(jié)果.同時(shí)認(rèn)為上述缺失結(jié)果的節(jié)點(diǎn)發(fā)生故障.

步驟7. 在預(yù)期的可信值計(jì)算時(shí)間結(jié)束后，所有的SN將自身計(jì)算的可信結(jié)果簽名并進(jìn)行廣播，當(dāng)收集到一定數(shù)量的相同結(jié)果后，完成針對TS的綜合可信度評估，完成對TS的可信證明.若該階段以及該階段結(jié)束后，某個(gè)節(jié)點(diǎn)無法得到綜合可信度評估結(jié)果，則向協(xié)調(diào)者進(jìn)行請求，獲取對TS的綜合可信度評估結(jié)果.至此，完成遠(yuǎn)程證明過程.

本文方案將TS需要度量的任務(wù)負(fù)擔(dān)劃分為每個(gè)SN能夠計(jì)算的大小，以此來實(shí)現(xiàn)感知層節(jié)點(diǎn)針對終端服務(wù)器的部分認(rèn)證，減少了感知層單個(gè)節(jié)點(diǎn)的計(jì)算開銷.隨后各SN對TS的可信認(rèn)證結(jié)果進(jìn)行綜合，利用一致性協(xié)議完成整個(gè)感知層對終端服務(wù)器的可信認(rèn)證，解決了感知層因計(jì)算能力不足而無法對終端服務(wù)器進(jìn)行遠(yuǎn)程證明的問題.同時(shí)，TS根據(jù)預(yù)定好的時(shí)間節(jié)點(diǎn)進(jìn)行自我度量，將度量的結(jié)果進(jìn)行存儲(chǔ).此時(shí)感知層發(fā)送遠(yuǎn)程證明請求并不會(huì)打斷TS正在進(jìn)行的主要任務(wù)，并且在證據(jù)收集階段非?？?，不需要終端服務(wù)器進(jìn)行任何計(jì)算.因此解決了被動(dòng)遠(yuǎn)程證明對設(shè)備關(guān)鍵性任務(wù)數(shù)據(jù)造成損失的問題，并減少了遠(yuǎn)程證明過程中的計(jì)算開銷.

下面具體分析方案中自我度量、可信認(rèn)證以及協(xié)調(diào)者選舉3個(gè)關(guān)鍵性技術(shù).

2.2 自我度量

2.2.1 隨機(jī)時(shí)間節(jié)點(diǎn)

為了完成TS的自我度量，需要配置特定的時(shí)間表計(jì)劃TS的度量任務(wù).然而，度量的時(shí)間間隔會(huì)影響度量結(jié)果的準(zhǔn)確性.在物聯(lián)網(wǎng)設(shè)備中，最難檢測的惡意軟件類型之一是漫游惡意軟件[15].圖2示出了2個(gè)惡意軟件入侵的示例.入侵1表示未被檢測到的，入侵2是已被檢測到的.整個(gè)設(shè)備隨著時(shí)間自左向右運(yùn)行，每個(gè)塊表示每次自我度量的時(shí)間間隔Tm，Tv是每次驗(yàn)證的時(shí)間間隔；c表示每次驗(yàn)證的時(shí)效性.在入侵1中，惡意軟件在進(jìn)行任何度量之前覆蓋其蹤跡并離開.在入侵2的情況下，惡意軟件持續(xù)存在于證明方.雖然可能在感染后不久進(jìn)行測量，但是只有在驗(yàn)證階段后才能采取糾正措施.

通過以上示例，說明了TS在定期的自我度量過程中有2個(gè)參數(shù)很重要：1)TS的2次連續(xù)測量之間的時(shí)間Tm；2)感知層連續(xù)2次對TS執(zhí)行驗(yàn)證階段時(shí)收集測量值之間的時(shí)間Tv.Tv與Tm的差距不能過大，如果Tv≤Tm，SN就會(huì)收到多次同樣的度量值，這樣的參數(shù)沒有意義，所以，在大多數(shù)驗(yàn)證過程中，Tv>Tm.

為了解決漫游惡意軟件的問題，本文方案將在設(shè)備上使用隨機(jī)時(shí)間節(jié)點(diǎn)進(jìn)行度量.利用終端服務(wù)器擁有的TCM的隨機(jī)數(shù)發(fā)生器，通過隨機(jī)時(shí)間生成函數(shù)獲得一個(gè)隨機(jī)時(shí)間，然后，終端服務(wù)器根據(jù)該隨機(jī)時(shí)間進(jìn)行接下來的自我度量.為了確保終端服務(wù)器上的惡意軟件不知道度量發(fā)生的時(shí)間節(jié)點(diǎn)，隨機(jī)數(shù)發(fā)生器以及隨機(jī)時(shí)間函數(shù)必須受到保護(hù).因?yàn)殡S機(jī)數(shù)發(fā)生器屬于可信的TCM芯片中，所以只需將隨機(jī)時(shí)間生成函數(shù)放到受保護(hù)的內(nèi)存中調(diào)用隨機(jī)數(shù)發(fā)生器來獲取隨機(jī)時(shí)間節(jié)點(diǎn)即可.

2.2.2 度量值存儲(chǔ)

由于存儲(chǔ)多個(gè)度量值會(huì)過多無意義地消耗存儲(chǔ)空間，同時(shí)也會(huì)占用TS的資源，所以采取循環(huán)存儲(chǔ)法來存儲(chǔ)度量值.TS將度量值存儲(chǔ)在一個(gè)固定位置，并將其劃分為k個(gè)測量窗口，第i個(gè)測量值存儲(chǔ)在位置Limodk，每次存儲(chǔ)針對內(nèi)核的測量值、針對軟件的測量值以及針對行為的測量值.同樣，為了保證運(yùn)行過程中的TS是可信的，SN會(huì)經(jīng)常進(jìn)行驗(yàn)證，即經(jīng)常收集度量值，因此，TS不會(huì)過度寫入度量值.所以，連續(xù)驗(yàn)證之間的時(shí)間最多應(yīng)為Tv≤k·Tm.

2.3 可信認(rèn)證

在度量階段中步驟6的預(yù)期收集時(shí)間結(jié)束后， SN需要對TS進(jìn)行可信度評估.TS根據(jù)可信值等級劃分為完全可信、可接受可信、部分接收可信以及不可信.當(dāng)最終認(rèn)證結(jié)果為部分可接受可信時(shí)，全體SN會(huì)再次對終端服務(wù)器進(jìn)行校驗(yàn)，以確認(rèn)其可信性.

2.4 協(xié)調(diào)者選舉

為了防止協(xié)調(diào)者故障，協(xié)調(diào)者會(huì)周期性向全部節(jié)點(diǎn)發(fā)送心跳信息，普通節(jié)點(diǎn)根據(jù)是否收到心跳信息來確定協(xié)調(diào)者是否存活.

當(dāng)普通節(jié)點(diǎn)發(fā)現(xiàn)協(xié)調(diào)者死亡時(shí)，首先向比自己ID大的節(jié)點(diǎn)發(fā)送確認(rèn)消息，當(dāng)超過半數(shù)的節(jié)點(diǎn)確認(rèn)協(xié)調(diào)者死亡時(shí)，該普通節(jié)點(diǎn)則會(huì)發(fā)起選舉.

選舉流程如下：

1) 節(jié)點(diǎn)i向所有比自己ID大的節(jié)點(diǎn)發(fā)送選舉消息；

2) 如果節(jié)點(diǎn)i得不到任何回復(fù)(回復(fù)為alive消息)，那么節(jié)點(diǎn)i成為協(xié)調(diào)者，并向所有的其他節(jié)點(diǎn)宣布自己是協(xié)調(diào)者(宣布為Victory消息)；

3) 如果節(jié)點(diǎn)i得到了任何回復(fù)，則節(jié)點(diǎn)i無法成為協(xié)調(diào)者，同時(shí)等待Victory消息，如果等待超時(shí)則重新發(fā)起選舉.

為了避免出現(xiàn)腦裂的情況，在協(xié)調(diào)者向普通節(jié)點(diǎn)發(fā)送心跳信息時(shí)，如果收到了其他協(xié)調(diào)者的心跳信息，則會(huì)與該協(xié)調(diào)者比較ID大小，若自身ID較小，則主動(dòng)降級為普通節(jié)點(diǎn).同時(shí)，當(dāng)普通節(jié)點(diǎn)收到2個(gè)不同ID的協(xié)調(diào)者發(fā)送的心跳信息時(shí)，會(huì)自動(dòng)認(rèn)為ID較大的節(jié)點(diǎn)為網(wǎng)絡(luò)中的協(xié)調(diào)者.

3 方案分析

3.1 安全性分析

3.1.1 軟件攻擊

本文方案通過針對終端服務(wù)器的內(nèi)存內(nèi)容定期校驗(yàn)，同時(shí)針對其行為進(jìn)行定期可信性評估來校驗(yàn)其可信性.若攻擊方試圖入侵終端服務(wù)器，則可以根據(jù)匯聚節(jié)點(diǎn)群針對終端服務(wù)器的定期分散性度量完成針對攻擊方的入侵檢測.

3.1.2 TOCTOU攻擊

終端服務(wù)器通過使用隨機(jī)時(shí)間節(jié)點(diǎn)進(jìn)行自我度量的方式可以抵御此類攻擊.同時(shí)，通過引入設(shè)備可信度量結(jié)果的新鮮度來進(jìn)一步增強(qiáng)安全保障.

3.1.3 DDoS攻擊

本文針對物聯(lián)網(wǎng)終端的驗(yàn)證方案采取的是主動(dòng)驗(yàn)證，即先進(jìn)行自我度量，在度量之后證明方會(huì)在隨機(jī)的時(shí)間節(jié)點(diǎn)去收集度量值.這個(gè)過程中由于針對終端服務(wù)器的驗(yàn)證請求不會(huì)導(dǎo)致其進(jìn)行自我度量，所以攻擊方的DDoS攻擊無法對設(shè)備產(chǎn)生消耗，從而防御DDoS攻擊.而針對傳感器節(jié)點(diǎn)的驗(yàn)證方式也是一種主動(dòng)度量的方式，即傳感器節(jié)點(diǎn)在與終端服務(wù)器的交互中主動(dòng)進(jìn)行自我度量報(bào)告.這種方式同樣可以防止攻擊方的DDoS攻擊.

3.1.4 偽裝攻擊

針對偽裝匯聚節(jié)點(diǎn)的行為，當(dāng)攻擊方偽裝成匯聚節(jié)點(diǎn)多次進(jìn)行驗(yàn)證請求時(shí)，終端服務(wù)器只需發(fā)送自己存儲(chǔ)的度量值，并沒有計(jì)算開銷.因此不會(huì)對終端服務(wù)器造成影響.

3.1.5 重放攻擊

針對終端服務(wù)器的重放攻擊可以理解為匯聚節(jié)點(diǎn)不斷要求對終端服務(wù)器發(fā)出遠(yuǎn)程證明請求.在本文方案中，終端服務(wù)器采取自我度量的方式，即當(dāng)其接收到驗(yàn)證請求后，只發(fā)送其已經(jīng)計(jì)算好的度量值，不再次進(jìn)行自身度量值的計(jì)算，所以能很好地抵抗針對終端服務(wù)器度量請求的重放攻擊.

3.2 安全性對比

為了進(jìn)一步分析本文方案的安全性，將本文方案與現(xiàn)有方案進(jìn)行多方面的對比，結(jié)果如表1所示.現(xiàn)有方案將重點(diǎn)放在抗軟件攻擊和TOCTOU攻擊上，因此多數(shù)可以滿足設(shè)備的動(dòng)態(tài)安全性.本文方案可以有效地抵抗DDoS攻擊和重放攻擊，SARA，ESDRA，DO-RA方案均不能避免這2種攻擊.本文方案綜合了現(xiàn)有遠(yuǎn)程證明方案的優(yōu)點(diǎn)，并對現(xiàn)存的不足進(jìn)行了完善，可滿足以上所列的安全特性，對于上述幾個(gè)方面的安全性都有顯著提高.

表1 遠(yuǎn)程證明方案安全性對比

3.3 仿真實(shí)驗(yàn)

本文采用Net Logo 6.2.2仿真物聯(lián)網(wǎng)環(huán)境搭建網(wǎng)絡(luò)模型.仿真實(shí)驗(yàn)主要從方案的正確性、有效性和性能3個(gè)方面驗(yàn)證.

如表2所示，將可信節(jié)點(diǎn)的類型按照如下范圍劃分.其中：完全可信節(jié)點(diǎn)表示其完全可信；可接受節(jié)點(diǎn)表示其屬于系統(tǒng)可接受范圍；部分接受類型節(jié)點(diǎn)表示需要根據(jù)其每次的可信度決定是否接受其數(shù)據(jù)；不可信節(jié)點(diǎn)表示其為惡意節(jié)點(diǎn).

表2 設(shè)備可信評估等級劃分

針對本文方案，模擬了不同自我度量次數(shù)下的可信評估等級變化趨勢.如圖3所示，分別對4個(gè)可信評估等級的終端服務(wù)器進(jìn)行基于匯聚節(jié)點(diǎn)群的遠(yuǎn)程證明.結(jié)果表明，在終端服務(wù)器的自我度量次數(shù)不同時(shí)，方案的可信度評估結(jié)果變化處于可接受范圍內(nèi)，進(jìn)一步證明了方案的有效性.

為了分析性能開銷，本文參考文獻(xiàn)[20]中對各種算法的時(shí)間開銷的測量數(shù)據(jù)，利用時(shí)間延遲仿真各種算法的時(shí)間開銷.

如圖5所示，n代表終端服務(wù)器已經(jīng)自我度量并存儲(chǔ)到內(nèi)存窗口的次數(shù).當(dāng)n=1時(shí)，代表終端服務(wù)器進(jìn)行了1次自我度量.隨著匯聚節(jié)點(diǎn)的增多，對終端服務(wù)器的驗(yàn)證負(fù)擔(dān)逐漸分散，驗(yàn)證過程的時(shí)間開銷逐漸減少.當(dāng)n=4時(shí)，代表終端進(jìn)行了4次自我度量.由于需要驗(yàn)證的度量值增多，方案所花費(fèi)的時(shí)間開銷增加.當(dāng)n=7時(shí)，代表終端服務(wù)器進(jìn)行了7次自我度量.與之前一樣，方案的時(shí)間開銷增加.

從圖5的時(shí)間變化趨勢可以看出，匯聚節(jié)點(diǎn)的增加大幅減少了驗(yàn)證所需的時(shí)間開銷，這是因?yàn)楸疚姆桨甘且环N集體驗(yàn)證方案.通過將驗(yàn)證的壓力分散到各個(gè)設(shè)備來減少時(shí)間開銷.另外，隨著未驗(yàn)證的自我度量次數(shù)n的增長，匯聚節(jié)點(diǎn)驗(yàn)證的時(shí)間開銷也逐漸增多.但是從圖5中可以看出，當(dāng)匯聚節(jié)點(diǎn)數(shù)量從32增加到64時(shí)，其時(shí)間開銷減少的趨勢不明顯，這是因?yàn)楫?dāng)設(shè)備數(shù)量增多時(shí)，設(shè)備間的一致性協(xié)議開銷也增大.導(dǎo)致了雖然設(shè)備數(shù)量增多，但是效率提升并不明顯.由此可以看出，一個(gè)適當(dāng)?shù)亩攘看螖?shù)可以極大地提升驗(yàn)證效率.因此，根據(jù)設(shè)備的運(yùn)行環(huán)境配置一個(gè)合理的驗(yàn)證計(jì)劃是非常必要的.

4 結(jié) 論

隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備的安全成為熱點(diǎn)問題.遠(yuǎn)程證明技術(shù)作為物聯(lián)網(wǎng)系統(tǒng)的安全保障仍然需要深入的研究.針對物聯(lián)網(wǎng)中的遠(yuǎn)程證明技術(shù)存在的問題，本文以建立安全的物聯(lián)網(wǎng)系統(tǒng)為目標(biāo)，以終端服務(wù)器可信為核心，對終端服務(wù)器與感知層交互過程進(jìn)行研究，提出了一種基于群體認(rèn)證的遠(yuǎn)程證明方案.該方案利用化整為零的思想，將終端服務(wù)器需要度量的內(nèi)容進(jìn)行劃分，由各匯聚節(jié)點(diǎn)分別進(jìn)行度量，最后采用一致性協(xié)議統(tǒng)一匯聚節(jié)點(diǎn)的度量結(jié)果，完成感知層對終端服務(wù)器的遠(yuǎn)程證明.同時(shí)，利用終端服務(wù)器的自我度量去除以往被動(dòng)遠(yuǎn)程證明可能造成的關(guān)鍵性數(shù)據(jù)損失.該方案很好地解決了物聯(lián)網(wǎng)感知層節(jié)點(diǎn)計(jì)算能力不足的問題，同時(shí)也保證了在遠(yuǎn)程證明過程中不打斷設(shè)備的主要任務(wù)，提高了設(shè)備認(rèn)證的效率，保障了物聯(lián)網(wǎng)系統(tǒng)的安全.