2025年物联网安全技术与管理手册.docxVIP

2025年物联网安全技术与管理手册

第1章物联网基础架构与网络协议安全

1.1物联网设备接入与身份认证机制

在物联网安全体系中，设备接入是构建信任链的起点。对于支持NB-IoT、LoRaWAN或Zigbee等低功耗广域网（LPWAN）协议的设备，必须实施基于证书的身份验证。以NB-IoT为例，当设备首次启动并尝试连接网关时，其内置的UICC卡会向认证服务器（CSCF）发送包含设备唯一标识符（EUI）和公钥的握手请求。认证服务器验证该公钥是否与预置的CA根证书匹配，若匹配则下发包含时间戳、序列号及随机数的双向握手响应，该响应中携带的会话密钥（SymmetricKey）将用于后续数据传输的加密。若设备发送的心跳包超时时间超过30秒，认证服务器将判定为离线设备并拒绝其接入，防止僵尸节点对网络资源的持续占用。针对物联网设备可能存在的物理侧信道攻击，如电源注入或电磁泄漏，必须采用基于随机数的动态令牌认证机制。以LoRaWAN的EAS（ExtendedAccessSystem）认证为例，网关会一个16字节的随机数并加密后发送给设备，设备利用其内部的安全芯片（SecurityChip）在1秒内计算该随机数对应的哈希值并与网关响应比对。若设备未收到响应或计算结果不一致，则认证失败。此过程确保了即使攻击者窃听了网关与设备之间的通信，也无法