随着计算机网络技术的不断发展,万物互联已成为当今社会的需求和主流方向。其中CPS(Cyber-Physical Systems)是一个侧重于研究嵌入式自动化的物联网信息系统,广泛应用于大型工程系统中的实时感知、动态控制、人机交互和通信服务,强调网络物理一体化,打造一个安全可靠、实时高效的物联网系统。在提供便捷服务的同时还存在着不容忽视的安全问题:物联网的控制层服务端多采用云系统架构,在物联网接入云的安全技术中很重要的一点就是边界防护,即对于用户的身份识别和对接入网络的终端设备的隐私保护,因此迫切需要解决CPS设备本身和网络接入的安全问题。为了探索解决CPS安全接入的方法和思路,本文对可信匿名认证机制与跨域认证问题展开研究。主要研究内容和创新工作如下:1.将可信计算技术引入CPS通信网络,构建了完整的CPS可信安全模型。在此模型中,首先在CPS终端设备上构建可信根和信任链传递,搭建可信计算平台,确保了设备本身的可信,从源头上保证了系统的安全。然后通过可信网络接入TNC(Trusted Network Connection)机制将可信环境扩展到更大范围的信任域,完成身份认证、远程平台可信证明、完整性验证等过程,其中使用匿名认证机制实现平台的可信证明。2.针对CPS终端设备计算能力不足的问题,提出了一种基于TPMv2.0规范的轻量级直接匿名认证协议A-DAA(Advanced-DAA)作为CPS终端设备可信接入的认证机制。在不影响协议安全性的前提下,更新了TPM(Trusted Platform Module)内部接口命令,降低了终端设备在身份认证阶段的计算量,提高了协议运行效率;通过定量分析和实验测试比较了不同方案之间各个子协议的计算量,证明了A-DAA的优越性;同时,本文修复了已有DAA方案的安全漏洞,并使用随机预言机模型给出了安全性证明;另外,考虑到终端设备收集的关键数据可能被不合法的攻击者骗取,本文在协议的签名认证阶段引入了双向匿名认证机制,既认证了接入设备的合法性又保护了用户的隐私信息。3.针对CPS多应用领域的跨域认证问题,在A-DAA的基础上提出了一种基于TPMv2.0规范的跨域匿名认证方案MD-DAA(Multi-Domain DAA)。MD-DAA继承了ADAA的安全特性,修复了已有跨域方案的安全缺陷,并且在效率上也有一定的优化,给出了定量的数据对比和安全性分析,为CPS通信系统的跨域平台认证机制提供了有效的解决方案。