物聯網輕量級鑒別安全認證系統包括哪些功能

物聯網輕量級鑒別安全認證系統包括以下功能：

• 終端身份信息安全存儲與防護：終端身份信息安全存儲與防護是終端安全認證的一個重要組成部分。終端的身份信息包括終端的證書、私鑰、密碼參數、密碼算法、系統參數等，這些信息是終端的私有信息，密碼參數、密碼算法、系統參數等信息也是整個系統的關鍵信息和數據，一旦泄露會給整個系統的安全帶來嚴重的隱患和威脅。在物聯網終端中可以采用專有的安全硬件（如安全SD卡/安全SIM卡）來存儲終端的身份信息。

• 身份認證訪問控制策略安全下發：由于網絡安全接入與終端認證系統采用分布式部署，各認證網關之間需要交互信息，它們交互的信息包括設備工作狀況、設備基本信息及身份認證訪問控制策略，所有這些信息都是屬于需要保護的信息。所以在核心網絡的各認證網關之間建立安全隧道，保證身份認證、訪問控制策略的安全下發。安全隧道的加密將采用高強度的密碼算法進行加密。

• 基于角色的訪問控制：權限管理和判決服務是建立在終端身份認證基礎上的，即必須先經過身份認證，再根據該終端的身份進行權限的管理，權限管理和判決服務一般采用三個步驟實現。

• 證書、加密算法和密鑰優化：對于證書一方面可以根據具體情況選擇采用WTLS證書、URL、短期證書，另一方面通過采用ECC加密算法，使得證書的大小只有100多字節。在公鑰算法方面可以采用ECC算法，它比RSA更適用無線環境下的通信，其安全性更高、計算量小、處理速度快、占用存儲空間占用小和帶寬要求低，是移動通信領域首選的密碼算法。

• 證書操作協議優化：有線PKI服務請求的方法是依靠ASN.1中的基本編碼規則（Basic Encoding Rules，BER）和特異編碼規則（Disinguished Encoding Rules，DER）。BER/DER要占用很多的資源，超出了物聯網終端設備正常運行時的資源，而WPKI協議是依靠WML和WMLScript Crypto API（WML Script）來完成的。當進行編碼和提交PKI服務請求時，WML和WML Script能比PKI中的方法節約很多資源。

• 證書安全分發協議：證書的安全分發需要通過協議來保證，對WTLS協議進行分析、改造和實現，其中改造主要是指算法部分的改造。WTLS的作用是保證傳輸層的安全，作為WAP協議棧的一個層次向上層提供安全傳輸服務接口。WTLS是以安全協議TLS1.0標準為基礎發展而來的，提供通信雙方數據的機密性、完整性和通信雙方的鑒權機制。WTLS在TLS的基礎上根據無線環境、長距離、低帶寬及自身的適用范圍等增加了一些新的特性，如對數據報的支持、握手協議的優化和動態密鑰刷新等。

回答所涉及的環境：聯想天逸510S、Windows 10。