2025年物联网安全防护与标准手册.docxVIP

2025年物联网安全防护与标准手册

第1章

1.1异构网络接入鉴权技术

在5G专网与4G公共网络并存的环境中，设备需通过动态MAC地址绑定实现身份唯一性。系统首先扫描本地网段，获取当前设备上报的48位MAC地址，结合设备ID动态MAC地址，该地址随设备生命周期变化，确保同一设备在不同网络间接入时不会重复认证。针对支持802.1X认证的接入终端，设备需携带EAP-TLS或EAP-SRP认证向量发起接入请求。服务器验证证书后，下发包含加密密钥的256位EAP-SRP响应，设备据此计算并返回包含哈希值的响应报文，以此完成基于公钥密码学的双向身份验证。

对于Wi-Fi热点场景，路由器通过802.1X协议将设备接入VLAN，此时设备需输入用户密码或指纹信息。系统校验密码哈希值是否匹配，若匹配则下发256位会话密钥，开启双向认证机制，防止未授权设备接入无线局域网。在IoT边缘网关场景中，网关需执行802.1X认证流程，通过RADIUS服务器获取设备指纹，验证设备合法性后，向设备分发包含加密通道的256位会话密钥，该密钥仅用于后续与云端服务器的通信，防止中间人攻击。针对蓝牙低功耗（BLE）设备，系统利用802.11协议栈中的802.11k/v机制，通过扫描本地MAC地址获取设备标识，验证设备