認證是指用戶采用某種方式來證明自己確實是自己宣稱的某人，網絡中的認證主要包括身份認證和消息認證。身份認證可以使通信雙方確信對方的身份并交換會話密鑰。保密性和及時性是認證密鑰交換中的兩個重要的問題。為了防止假冒和會話密鑰的泄密，像用戶標識和會話密鑰這樣的重要信息必須以密文形式傳送，這就需要事先已有能用于這-目的的主密鑰或公鑰。

由于可能存在消息重放，因此及時性非常重要。在消息認證中，接收方希望能夠保證其接收的消息確實來自真正的發送方。有時收發雙方不同時在線，例如在電子郵件系統中，電子郵件消息發送到接收方的電子郵件中，并直存 放在 郵箱中直至接收方讀取為止。廣播認證是一種特殊的消息認證形式，在廣播認證中一方廣 播的消息被多方認證。

傳統的認證是區分不同層次的，網絡層認證負責網絡層的身份鑒別，業務層認證負責業務層的身份鑒別，兩者獨立存在。但是，在物聯網中，業務應用與網絡通信緊緊地捆綁在一起， 認證有其特殊性。例如，當物聯網的業務由運營商提供時，那么就可以充分利用網絡層認證的結果而不需要進行業務層的認證。

又如，當業務是敏感業務如金融類業務時，一般業務 提供者不信任網絡層的安全級別，因而會使用更高級別的安全保護，那么這時就需要進行業務層的認證：當業務是普通業務時，如氣溫采集業務等，業務提供者認為網絡認證已經足夠，那么就不再需要進行業務層的認證了。

在物聯網的認證機制中，傳感網的認證機制是需要研究的重要部分。WSN中的認證技術主要包括： （1）基于輕量級公鑰算法的認證技術。鑒于經典的公鑰算法需要高計算量，在資源有限的無線傳感網中不具有可操作性，當前一些研究正致力于對公鑰算法進行優化設計以使其能適應無線傳感網，但在能耗和資源方面仍存在很大的改進空間，如基于RSA公鑰算法的Tiny PK認證方案和基于身份標識的認證算法等。

（2）基于預共享密鑰的認證技術。SNEP方案中提出兩種配置方法：一是結點之間的共享密鑰，二是每個結點和基站之間的共享密鑰。這類方案使用每對結點之間共享一個主密鑰， 可以在任何一對結點之間建立安全通信。其缺點是擴展性和抗捕獲能力較差，任意一結 點被俘獲后就會暴露密鑰信息，進而導致全網絡癱瘓。

（3）基于隨機密鑰預分布的認證技術。該技術讓每個結點從一個密鑰池中隨機選取密鑰，利用結點的局部連通概率由密鑰池的大小可確定結點需存取的密鑰數或由結點存儲能力確定密鑰池大小。利用隨機配對密鑰方案，即一個密鑰僅隨機唯一 分配給對結點， 實現結點間的認證，將一個結點對另一結點發送的消 息進行解密，從而完成認證。該技術的長處在于實現簡單，計算負載很小，網絡擴展能力較強，在一定程度上能支持網絡的動態變化；但是結點抗俘獲能力很差，不支持對鄰居結點的身份認證，更無法抵抗冒充攻擊，隨著俘獲結點的增多，更多的密鑰信息將暴露出來。

（4）利用輔助信息的認證技術。利用輔助信息（如預測結點部署位置）的認證技術，可以借助結點的部署信息或分布模型來有效提高密鑰共享概率，并減少預分發密鑰的數量，提高網絡抵抗被俘結點攻擊的能力。但是需要對部署信息有較準確的先驗知識或與假定模型匹配的部署方法，由于對輔助信息的依賴性，其缺點就在于僅適合能預知結點位置的WSN。

（5）基于單向散列函數的認證技術。該技術主要用于廣播認證。單向散列函數可生成一個密鑰鏈，利用單向散列函數的不可逆性，保證密鑰不可預測。通過某種方式依次公布密鑰鏈中的密鑰，可以對消息進行認證。目前，基于單向散列函數的廣播認證技術主要是對TESLA協議的改進：它以TESLA協議為基礎，對密鑰更新過程、初始認證過程進行了改進，使其能夠在WSN有效實施。

編輯：jq