闕夢(mèng)菲 張俊偉 楊 超 楊 力 馬建峰 崔文璇

(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071) (jwzhang@xidian.edu.cn)

物聯(lián)網(wǎng)是新一代信息技術(shù)的重要組成部分,它通過(guò)傳感設(shè)備按照約定的協(xié)議把各種網(wǎng)絡(luò)連接起來(lái)進(jìn)行信息交換,以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理[1-2].隨著物聯(lián)網(wǎng)應(yīng)用越發(fā)普及,其安全問(wèn)題也受到越來(lái)越多研究者的關(guān)注.文獻(xiàn)[3]中討論了物聯(lián)網(wǎng)主要應(yīng)用場(chǎng)景(智能家居、智能醫(yī)療、車聯(lián)網(wǎng)、智能電網(wǎng)、工業(yè)與公共基礎(chǔ)設(shè)施)中的隱私保護(hù)、入侵檢測(cè)等安全問(wèn)題.在物聯(lián)網(wǎng)中,成千上萬(wàn)的物聯(lián)網(wǎng)設(shè)備無(wú)時(shí)無(wú)刻不在產(chǎn)生大量的數(shù)據(jù).因此,保障物聯(lián)網(wǎng)設(shè)備與數(shù)據(jù)安全成為了重中之重[4].

在很多物聯(lián)網(wǎng)應(yīng)用中,節(jié)點(diǎn)采集的信息和節(jié)點(diǎn)本身位置信息是密切相關(guān)的.因此,“物”的位置信息將在物聯(lián)網(wǎng)發(fā)展和應(yīng)用中占據(jù)重要地位.只有結(jié)合節(jié)點(diǎn)自身位置,才能進(jìn)一步獲得“在什么位置發(fā)生了特定事件”[5].因此,物聯(lián)網(wǎng)定位[6]與節(jié)點(diǎn)位置感知[7]是物聯(lián)網(wǎng)研究的主要課題之一；而隨著基于位置服務(wù)(location-based service, LBS)[8]大規(guī)模的部署,也產(chǎn)生了越來(lái)越多具有時(shí)空屬性的移動(dòng)數(shù)據(jù)[9];在許多應(yīng)用中,如智能運(yùn)輸系統(tǒng)中,研究者收集流動(dòng)的汽車數(shù)據(jù)(跟蹤交通工具的位置),可以用于挖掘交通模式,使用這些數(shù)據(jù)進(jìn)行交通擁塞控制[10];環(huán)境監(jiān)測(cè)系統(tǒng)中,使用無(wú)人機(jī)進(jìn)行定點(diǎn)傳感器數(shù)據(jù)收集(溫度、濕度、壓力、火警等),可以實(shí)現(xiàn)對(duì)定點(diǎn)的環(huán)境探測(cè)[11].然而,對(duì)于這些時(shí)空敏感的數(shù)據(jù),安全問(wèn)題成為了一個(gè)至關(guān)重要且急需解決的問(wèn)題.

物聯(lián)網(wǎng)中時(shí)空敏感的數(shù)據(jù)面臨3個(gè)挑戰(zhàn):

1) 傳統(tǒng)網(wǎng)絡(luò)中的攻擊依然存在.物聯(lián)網(wǎng)同樣面臨已有網(wǎng)絡(luò)的各種攻擊,攻擊者可以篡改數(shù)據(jù)信息.同時(shí),感知設(shè)備的系統(tǒng)可能存在漏洞和安全缺陷,攻擊者可以對(duì)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行攻擊.這會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生,造成消息篡改、偽造數(shù)據(jù)等攻擊.然而,物聯(lián)網(wǎng)中的海量感知設(shè)備通常性能受限,使用傳統(tǒng)公鑰數(shù)字簽名解決消息篡改問(wèn)題的方案計(jì)算效率較低,不適用于物聯(lián)網(wǎng)中資源受限的感知設(shè)備.

2) 時(shí)空敏感數(shù)據(jù)的數(shù)據(jù)源位置及數(shù)據(jù)生成時(shí)間偽造.對(duì)于時(shí)空敏感的數(shù)據(jù),必須確保消息來(lái)源的地理位置以及消息產(chǎn)生時(shí)刻的正確性,才能進(jìn)行下一步的應(yīng)對(duì)工作.然而,在物聯(lián)網(wǎng)中,設(shè)備和網(wǎng)絡(luò)面臨各種惡意或非惡意攻擊,而且,海量物聯(lián)網(wǎng)設(shè)備自身可靠性難以保障.如果由于攻擊或者故障,造成數(shù)據(jù)源位置和數(shù)據(jù)生成時(shí)間的錯(cuò)誤(如位置錯(cuò)誤的火警信息),有可能會(huì)造成經(jīng)濟(jì)損失、社會(huì)災(zāi)難等嚴(yán)重后果.然而現(xiàn)在還缺少對(duì)物聯(lián)網(wǎng)中數(shù)據(jù)源位置及時(shí)間驗(yàn)證的有效方案.

3) 海量感知設(shè)備的密鑰管理困難.在傳統(tǒng)密碼學(xué)中,通信雙方進(jìn)行身份和數(shù)據(jù)認(rèn)證有2種主流方法:1)使用預(yù)共享密鑰,這需要雙方預(yù)共享一個(gè)對(duì)稱密鑰,只有通信雙方持有密鑰,才能夠進(jìn)行身份和數(shù)據(jù)認(rèn)證.對(duì)于海量感知設(shè)備,基于預(yù)共享的密鑰管理機(jī)制導(dǎo)致密鑰空間爆炸,無(wú)法滿足大規(guī)模應(yīng)用.2)使用非對(duì)稱密鑰,這要求發(fā)送方持有有效的公鑰證書(shū)證明自己公私鑰的正確性，這必然會(huì)引入公鑰基礎(chǔ)設(shè)施;同時(shí),管理海量設(shè)備的證書(shū)也會(huì)帶來(lái)大量開(kāi)銷.然而由于物聯(lián)網(wǎng)中存在海量的感知層設(shè)備,同時(shí)產(chǎn)生海量的數(shù)據(jù),無(wú)論使用第1種的預(yù)共享密鑰方案,或是第2種的公鑰證書(shū)方案,都將帶來(lái)密鑰管理復(fù)雜低效的問(wèn)題.

傳統(tǒng)的數(shù)字簽名中發(fā)送方以其私鑰簽名數(shù)據(jù),接收方用對(duì)應(yīng)的公鑰解密來(lái)驗(yàn)證簽名的真實(shí)性[12].其目的是使簽名者對(duì)數(shù)據(jù)進(jìn)行簽名并且無(wú)法否認(rèn),任何人無(wú)法偽造簽名.主要的應(yīng)用包括:發(fā)送者的身份認(rèn)證、保證信息傳輸?shù)耐暾?、防止交易中的抵賴發(fā)生等.數(shù)字簽名經(jīng)過(guò)人們幾十年的探索,研究出了許多不同的方案,如無(wú)證書(shū)簽密[13]、可修訂數(shù)字簽名[14]、屬性簽名[15]等.盡管數(shù)字簽名方案可以解決網(wǎng)絡(luò)中消息篡改問(wèn)題,但是對(duì)于數(shù)據(jù)源位置及數(shù)據(jù)生成時(shí)間偽造和物聯(lián)網(wǎng)中海量數(shù)據(jù)驗(yàn)證的密鑰管理問(wèn)題仍然無(wú)法有效解決.

在這之前,Liu和Ning針對(duì)無(wú)線傳感器網(wǎng)絡(luò)提出了一個(gè)基于位置的密鑰預(yù)分發(fā)方案[16]；Yang和Xiao應(yīng)用基于網(wǎng)格多項(xiàng)式的密鑰建立來(lái)解決無(wú)線傳感網(wǎng)絡(luò)的安全問(wèn)題[17]；Huang等人針對(duì)無(wú)線傳感網(wǎng)絡(luò)提出了一種基于位置的密鑰管理方案[18]；Younis等人則提出了一種基于位置的分布式密鑰管理方案[19]；Zhang等人結(jié)合用戶身份和地理位置得出基于位置密鑰,并提出了一種基于位置的安全機(jī)制[20]；2009年Chandran等人在歐密會(huì)上提出位置密碼學(xué)[21]，它將參與方的地理位置作為身份的憑據(jù)；在BRM(bounded retrieval model)[22]或BSM(bounded storage model)[23]模型下,實(shí)現(xiàn)了可證明安全的安全定位協(xié)議(secure position, SP)[21]和基于位置的密鑰交換協(xié)議(position-based key exchange, PbKE)[24].安全定位協(xié)議本質(zhì)上是位置驗(yàn)證協(xié)議,即驗(yàn)證者能夠?qū)ψC明者所處的地理位置進(jìn)行驗(yàn)證;而密鑰交換協(xié)議能夠在驗(yàn)證者與處在期望位置的證明者之間完成密鑰交換.基于位置密碼學(xué)提出后,一些量子計(jì)算環(huán)境下基于位置的密碼協(xié)議也隨之出現(xiàn)[25-26].

薛慶水等人提出了基于位置的數(shù)字簽名協(xié)議[27]和基于位置的代理簽密協(xié)議[28],使用安全定位協(xié)議構(gòu)造基于位置的數(shù)字簽名.然而,薛的方案未考慮移動(dòng)設(shè)備使用時(shí)的動(dòng)態(tài)情況,無(wú)法實(shí)現(xiàn)密鑰與用戶位置的動(dòng)態(tài)綁定.當(dāng)簽名者位置發(fā)生變化后,簽名者仍可使用過(guò)期的密鑰生成簽名,無(wú)法滿足基于位置數(shù)字簽名的安全需求.

針對(duì)以上情況,本文提出了面向物聯(lián)網(wǎng)設(shè)備的基于位置數(shù)字簽名方案,在此方案中數(shù)據(jù)發(fā)送方使用其位置為唯一憑證對(duì)數(shù)據(jù)進(jìn)行簽名,而不在該位置的用戶無(wú)法偽造簽名.該方案既考慮簽名者的位置,同時(shí)在時(shí)間方面進(jìn)行嚴(yán)格約束,能夠同時(shí)滿足靜態(tài)環(huán)境和動(dòng)態(tài)環(huán)境下簽名的不可偽造性,實(shí)現(xiàn)針對(duì)某個(gè)時(shí)刻處于某個(gè)位置的安全數(shù)字簽名.同時(shí)該方案能夠防止敵手篡改數(shù)據(jù),并且在敵手共謀攻擊的環(huán)境下滿足協(xié)議的可證明安全.

本文主要貢獻(xiàn)有3個(gè)方面:

1) 防止網(wǎng)絡(luò)中攻擊者篡改數(shù)據(jù)信息.本文方案采用計(jì)算高效的一次簽名,能夠防止攻擊者對(duì)消息進(jìn)行篡改偽造,也適用于能量受限的感知設(shè)備.

2) 防止時(shí)空敏感數(shù)據(jù)的數(shù)據(jù)源位置及數(shù)據(jù)生成時(shí)間的偽造.本文方案中數(shù)字簽名使用的公私鑰對(duì)的生成與數(shù)據(jù)發(fā)送方的地理位置和數(shù)據(jù)生成時(shí)間是緊耦合關(guān)系,驗(yàn)證簽名的同時(shí)也對(duì)數(shù)據(jù)發(fā)送方的地理位置和數(shù)據(jù)生成時(shí)間進(jìn)行了驗(yàn)證,這在時(shí)空敏感的物聯(lián)網(wǎng)應(yīng)用(如火警系統(tǒng)和實(shí)時(shí)交通系統(tǒng))中尤為重要.

3) 感知層的設(shè)備無(wú)需密鑰管理.本文方案采用PbKE協(xié)議,使得只有在期望位置的發(fā)送者才能夠計(jì)算出公私鑰對(duì),即公私鑰對(duì)是基于發(fā)送方位置和時(shí)間信息而動(dòng)態(tài)產(chǎn)生的,設(shè)備無(wú)需預(yù)置的密鑰,避免了面向海量感知設(shè)備的密鑰管理,適合大規(guī)模物聯(lián)網(wǎng)的應(yīng)用.

1 預(yù)備知識(shí)

1.1 有界存儲(chǔ)模型和有界檢索模型

1) 有界存儲(chǔ)模型(bounded storage model, BSM).BSM模型假設(shè)任意的參與方(包括敵手)能夠存儲(chǔ)的信息量存在一個(gè)上限.假定存在一個(gè)擁有很高最小熵(min-entropy)的信息串,若檢索函數(shù)的輸出長(zhǎng)度未超過(guò)敵手能夠存儲(chǔ)的上限,則敵手就能夠通過(guò)這個(gè)檢索函數(shù)來(lái)檢索這個(gè)信息串,并且存儲(chǔ)檢索結(jié)果.

2) 有界檢索模型(bounded retrieval model, BRM).BRM模型假定所有驗(yàn)證者能夠廣播具有高最小熵的信息串,然而敵手只能提取這個(gè)信息串的一部分.在基于位置密碼學(xué)中將出現(xiàn)這種情況:當(dāng)這些信息快速經(jīng)過(guò)敵手時(shí),敵手只能夠存取信息中有限的一部分.BRM模型具有2個(gè)性質(zhì):

① 驗(yàn)證者具有能夠生成高最小熵信息串的反向塊熵源.這意味著驗(yàn)證者自身能夠生成并且發(fā)送具有高最小熵的信息串.

② 當(dāng)這些信息串快速經(jīng)過(guò)敵手時(shí),敵手能夠提取的信息量存在一個(gè)提取上限,設(shè)為βn.βn可以是最小熵(δ+β)n的任意部分,當(dāng)且僅當(dāng)檢索函數(shù)的輸出長(zhǎng)度不超過(guò)βn,敵手就可以使用這個(gè)檢索函數(shù)來(lái)檢索信息串.

1.2 BSM偽隨機(jī)生成器

根據(jù)(ε,φ)-安全的BSM PRG的定義可知,對(duì)于任意算法F,給定A(X)和K,算法F(A(X))能正確計(jì)算出G(X,K)的最大概率為ε+2-φ.在安全參數(shù)為k的情況下,如果r≥(2δ)klbn,那么ε+2-φ是可忽略的.

1.3 偽隨機(jī)函數(shù)

定義2. 函數(shù)PRF[29]:{0,1}c×{0,1}R→{0,1}L是偽隨機(jī)函數(shù),當(dāng)且僅當(dāng)對(duì)于任意概率多項(xiàng)式時(shí)間(probabilistic polynomial-time, PPT)的區(qū)分器D,存在一個(gè)可忽略的函數(shù)negl,使得:

Pr[DFk(·)(1n)=1]-
Pr[Dfn(·)(1n)=1]≤negl(n),

其中,k從{0,1}n中隨機(jī)選擇,fn從輸入輸出長(zhǎng)度均為n位的函數(shù)集合中隨機(jī)選擇.

2 基于位置數(shù)字簽名

根據(jù)數(shù)據(jù)發(fā)送方運(yùn)動(dòng)模式的不同,可將發(fā)送方分為靜態(tài)發(fā)送方和動(dòng)態(tài)發(fā)送方.根據(jù)2種不同的運(yùn)動(dòng)模式,本節(jié)將分別給出2個(gè)安全定義.

2.1 符號(hào)說(shuō)明

m:發(fā)送的消息;

p:發(fā)送方位置;

sk:p點(diǎn)私鑰；

pk:p點(diǎn)公鑰;

T:地標(biāo)(landmark)對(duì)發(fā)送方位置進(jìn)行驗(yàn)證的時(shí)刻,即協(xié)議里面X相交的時(shí)刻;

σ:發(fā)送方對(duì)消息m的簽名;

v′:消息的傳播速度;

ti:無(wú)線電波從地標(biāo)Li到達(dá)p點(diǎn)所需要的時(shí)間;

安全參數(shù):w,q,l,k;

偽隨機(jī)生成器G:{0,1}n×{0,1}r→{0,1}y;

偽隨機(jī)函數(shù)F:{0,1}c×{0,1}R→{0,1}L;

單向Hash函數(shù)H:{0,1}w→{0,1}q;

單向函數(shù)f:{0,1}i→{0,1}i;

公開(kāi)參數(shù):w,q,l,k,H,p,f.

2.2 基于位置數(shù)字簽名的系統(tǒng)模型

基于位置數(shù)字簽名方案如圖1所示.數(shù)據(jù)發(fā)送方向地標(biāo)(對(duì)于3維空間,至少需要4個(gè)地標(biāo),即L1,L2,L3,L4)證明自己所在的位置,獲得由位置產(chǎn)生的公私鑰對(duì).獲取之后立即簽名消息,并將消息與簽名發(fā)送給地標(biāo)L1,地標(biāo)驗(yàn)證接收時(shí)間,若符合要求,則地標(biāo)對(duì)消息摘要、發(fā)送方公鑰、發(fā)送方位置、數(shù)據(jù)生成時(shí)刻等進(jìn)行簽名,形成臨時(shí)證書(shū)CertL(H(m),pk,p,T),使數(shù)據(jù)接收方能夠獲得位置相關(guān)的公鑰來(lái)驗(yàn)證基于位置的數(shù)字簽名.

Fig. 1 Position based digital signature scheme圖1 基于位置數(shù)字簽名方案

2.3 靜態(tài)發(fā)送方基于位置數(shù)字簽名的安全定義

靜態(tài)發(fā)送方是指位置不發(fā)生變動(dòng)的數(shù)據(jù)發(fā)送方.由于它的位置未發(fā)生改變,繼而由它的位置信息產(chǎn)生的密鑰也未改變.

2.3.1 算法結(jié)構(gòu)

時(shí)間約束下的靜態(tài)基于位置數(shù)字簽名算法由密鑰生成算法generation、簽名生成算法signature、簽名驗(yàn)證算法verification這3部分構(gòu)成,即:

(s,v)←generation(p,1k),
σ←signature(s,m,p),
f←verification(m,σ,v,p).

靜態(tài)基于位置數(shù)字簽名的安全需求保證只有位于p點(diǎn)的發(fā)送方才能生成正確的簽名,且不在p點(diǎn)的攻擊者無(wú)法偽造位置p的簽名.

2.3.2 安全定義

定義3. 靜態(tài)適應(yīng)性選擇消息攻擊的不可偽造性(static EU-CMA, S-EU-CMA)當(dāng)時(shí)間約束下的靜態(tài)基于位置數(shù)字簽名算法generation,signature,verification滿足3個(gè)條件時(shí),它滿足靜態(tài)簽名者適應(yīng)性選擇消息的不可偽造性:

1) 完整性(completeness).對(duì)于來(lái)自合法位置的正確簽名(s,m,p),驗(yàn)證簽名(m,σ,v,p)輸出的錯(cuò)誤概率是可忽略的,即

Prob[verification(m,σ,v,p)=0;
(s,v)←generation(p,1k);
σ←signature(s,m,p)] <ε(k).

2) 一致性(consistency).對(duì)于任意消息m,簽名的公、私鑰由密鑰生成算法產(chǎn)生,則驗(yàn)證簽名(m,σ,v,p)在2次獨(dú)立調(diào)用下會(huì)產(chǎn)生不同輸出的概率是可忽略的,即：

Prob[verification(m,σ,v,p)≠f;
(s,v)←generation(p,1k);
f←verification(m,σ,v,p)] <ε(k).

3) 靜態(tài)簽名者適應(yīng)性選擇消息攻擊的不可偽造性(static existential unforgeability against chosen message attack, S-EU-CMA).對(duì)于任意概率多項(xiàng)式時(shí)間(probabilistic polynomial time, PPT)的敵手A,在獲得正確的簽名后,可以偽造一個(gè)不同的簽名(m′,σ′)的概率是可忽略的,即:

Prob[(m′,σ′)←Fsignature(s,m,p):
(s,v)←generation(p,1k);
m′≠m;verification(m′,σ′,v,p)=1]<ε(k).

2.4 動(dòng)態(tài)發(fā)送方基于位置數(shù)字簽名的安全定義

動(dòng)態(tài)發(fā)送方是指位置會(huì)發(fā)生變動(dòng)的數(shù)據(jù)發(fā)送方.隨著時(shí)間的變動(dòng),發(fā)送方位置也會(huì)發(fā)生改變,當(dāng)發(fā)送方從位置p移動(dòng)到p′時(shí),若仍使用定義3,將引發(fā)以下問(wèn)題:發(fā)送方雖然已經(jīng)離開(kāi)位置p,但它仍持有p點(diǎn)的公私鑰對(duì),可以偽造成p點(diǎn)的發(fā)送方進(jìn)行簽名.所以定義3并不能滿足動(dòng)態(tài)條件下基于位置數(shù)字簽名的安全需求.

2.4.1 算法結(jié)構(gòu)

時(shí)間約束下的動(dòng)態(tài)基于位置數(shù)字簽名算法由密鑰生成算法generation、簽名生成算法signature、簽名驗(yàn)證算法verification這3部分構(gòu)成,即:

(s,v)←generation(p,T,1k),
σ←signature(s,m,p,T),
f←verification(m,σ,v,p,T).

時(shí)間約束下的動(dòng)態(tài)基于位置數(shù)字簽名保證只有在時(shí)刻T位于位置p的數(shù)據(jù)發(fā)送方才能生成正確的簽名,且時(shí)刻T未在位置p攻擊者或者時(shí)刻T′位于位置p的數(shù)據(jù)發(fā)送方也無(wú)法偽造時(shí)刻T位于位置p的簽名.

2.4.2 安全定義

定義4. 動(dòng)態(tài)適應(yīng)性選擇消息攻擊的不可偽造性(dynamic EU-COMA, D-EU-COMA)當(dāng)時(shí)間約束下的動(dòng)態(tài)基于位置數(shù)字簽名算法generation,signature,verification滿足3個(gè)條件時(shí),它滿足動(dòng)態(tài)簽名者適應(yīng)性選擇消息的不可為造性:

1) 完整性(completeness).對(duì)于來(lái)自合法位置的正確簽名(s,m,p,T),驗(yàn)證簽名(m,σ,v,p,T)輸出是錯(cuò)誤的概率可忽略,即:

Prob[verification(m,σ,v,p,T)=0;
(s,v)←generation(p,T,1k);
σ←signature(s,m,p,T)]<ε(k).

2) 一致性(consistency).對(duì)于任意消息m,簽名的公、私鑰由密鑰生成算法產(chǎn)生,則驗(yàn)證簽名(m,σ,p)在2次獨(dú)立調(diào)用下會(huì)產(chǎn)生不同輸出的概率是可忽略的,即:

Prob[verification(m,σ,v,p,T)≠f;
(s,v)←generation(p,T,1k);
f←verification(m,σ,v,p,T)]<ε(k).

3) 動(dòng)態(tài)適應(yīng)性選擇消息攻擊的不可偽造性(dynamic existential unforgeability against chosen one message attack, D-EU-COMA):對(duì)于任意概率多項(xiàng)式時(shí)間(probabilistic polynomial time, PPT)的動(dòng)態(tài)簽名者,當(dāng)它的發(fā)生位置變動(dòng)之后,可以偽造成原位置產(chǎn)生簽名(m′,σ′)正確的概率是可忽略的,即

Prob[(m′,σ′)←Fsignature(s,m,p,T):
(s,v)←generation(p,T,1k);m′≠m;
verification(m′,σ′,v′,p,T)=1] <ε(k).

顯然,文獻(xiàn)[27]中提出的方案只適用于靜態(tài)發(fā)送者,即滿足S-EU-CMA的定義,但不滿足D-EU-COMA的定義.

3 時(shí)間約束下基于位置數(shù)字簽名協(xié)議

本節(jié)在3維空間中設(shè)計(jì)了一個(gè)時(shí)間約束下基于位置的數(shù)字簽名協(xié)議.數(shù)據(jù)發(fā)送方聲稱的位置p封閉在由L1,L2,L3,L4這4個(gè)地標(biāo)圍成的4面體中(對(duì)于3維空間,至少需要4個(gè)地標(biāo)).G是一個(gè)(ε,φ)-安全的BSM偽隨機(jī)生成器,選擇合理的參數(shù),使得ε+2-φ是可忽略的.假定L1的公鑰為pkL,私鑰為skL.

時(shí)間約束下基于位置數(shù)字簽名協(xié)議具體過(guò)程如下:

1) 密鑰生成(generation(p,T,1k)→(s,v))

②Xi為BRM模型中具有高最小熵的隨機(jī)字符串,在協(xié)議執(zhí)行之前,L1生成隨機(jī)串X4;L2生成隨機(jī)串X1和X5;L3生成隨機(jī)串X2;L4生成隨機(jī)串X3.

③ 令L1在時(shí)刻T-t1廣播密鑰K1和X4;L2在時(shí)刻T-t2廣播X1和X5;同樣,L3在時(shí)刻T-t3廣播X2;并且L4在時(shí)刻T-t4廣播X3.

④ 在時(shí)刻T,位于p點(diǎn)的數(shù)據(jù)發(fā)送方同時(shí)接收到所有消息,它使用BSM偽隨機(jī)生成器計(jì)算得到K2=G(X1,K1),K3=G(X2,K2),K4=G(X3,K3),K5=G(X4,K4),K6=G(X5,K5).

⑤ 數(shù)據(jù)發(fā)送方和地標(biāo)Li(1≤i≤4)利用偽隨機(jī)函數(shù)隨機(jī)產(chǎn)生t個(gè)l位長(zhǎng)度的字符串k_secret=F(K6)=(s1,s2,…,st).令k_secret等于p點(diǎn)私鑰sk=(k,s1,s2,…,st).

⑥ 設(shè)f為單向函數(shù),地標(biāo)Li(1≤i≤4)計(jì)算v1=f(s1),v2=f(s2),…,vi=f(si),將pk=(k,v1,v2,…,vt)作為p點(diǎn)的公鑰.

⑦ 輸出(s,v)作為時(shí)刻T位于p點(diǎn)的公私鑰對(duì).

2) 簽名生成(signature(s,m,p,T)→σ)

① 數(shù)據(jù)發(fā)送方在時(shí)刻T發(fā)送消息m,設(shè)消息m為b位,m設(shè)為介于0和2b-1的整數(shù)值,首先令h=Hash(m),將m變成固定長(zhǎng)度的字符串,長(zhǎng)度為klbt.

② 把h均分成每份長(zhǎng)度都為lbt的k個(gè)子字符串h1,h2,…,hk.將每份hj化為整數(shù)值ij,1≤j≤k.

③ 從私鑰sk=(k,s1,s2,…,st)中找出相對(duì)應(yīng)的si j,即s的下標(biāo)值與ij相等.構(gòu)成k個(gè)數(shù)(si1,si2…,si k).

④ 輸出σ=(si1,si2…,si k)作為數(shù)據(jù)發(fā)送方對(duì)消息m的簽名.

⑤ 將消息的簽名附在消息之后,立即將(m,σ,p,T)發(fā)送給地標(biāo)L1,L1驗(yàn)證接收到(m,σ)的時(shí)間是否為T+|PL1|v′(|PL1|為p點(diǎn)到地標(biāo)L1的距離,v′為消息的傳播速度),若接收時(shí)間符合要求,則地標(biāo)L1用自己的私鑰skL對(duì)消息摘要、p點(diǎn)公鑰、p點(diǎn)位置信息、數(shù)據(jù)生成時(shí)刻T進(jìn)行簽名,即CertL(H(m),pk,p,T),并廣播pk,p,T,CertL(H(m),pk,p,T),使數(shù)據(jù)接收方能夠使用pkL驗(yàn)證該簽名,從而驗(yàn)證在時(shí)刻T時(shí)p點(diǎn)公鑰v的正確性;反之,L1拒絕生成簽名CertL(H(m),pk,p,T),數(shù)據(jù)接收方無(wú)法通過(guò)L1的簽名驗(yàn)證時(shí)刻T時(shí)p點(diǎn)的公鑰v的正確性.

3) 簽名驗(yàn)證(verification(m,σ,v,p,T)→f)

① 數(shù)據(jù)接收方得到消息(m,σ,v,p,T),首先查找是否存在L1簽名的廣播消息pk,p,T,CertL(H(m),pk,p,T).若存在,使用L1的公鑰解密,得到p點(diǎn)公鑰pk；若不存在,則說(shuō)明地標(biāo)拒絕該簽名.

② 當(dāng)數(shù)據(jù)接收方驗(yàn)證公鑰pk的正確性后,令h=Hash(m),將m變成固定長(zhǎng)度的字符串,長(zhǎng)度為klbt.

③ 把h均分成每份長(zhǎng)度都為lbt的k個(gè)子字符串h1,h2,…,hk.將每份hj化為整數(shù)值ij,1≤j≤k.

④ 從p點(diǎn)公鑰pk=(k,v1,v2,…,vt)中找出對(duì)應(yīng)的vi j,即v的下標(biāo)值與ij相等.構(gòu)成k個(gè)數(shù)(vi1,vi2…,vi k).

在本方案中,BRM模型的使用方法如下:根據(jù)BRM模型的定義可知,隨機(jī)字符串Xi具有高最小熵,當(dāng)這些信息串快速經(jīng)過(guò)敵手時(shí),敵手能夠提取的信息量存在一個(gè)提取上限,設(shè)為βn.βn可以是最小熵(δ+β)n的任意部分.也就是說(shuō)敵手無(wú)法全部存儲(chǔ)Xi,只能存儲(chǔ)每個(gè)字符串的一部分.本文方案在協(xié)議執(zhí)行前的初始階段,地標(biāo)L1生成隨機(jī)串X4,地標(biāo)L2生成隨機(jī)串X1和X5,地標(biāo)L3生成隨機(jī)串X2,地標(biāo)L4生成隨機(jī)串X3.當(dāng)這些Xi經(jīng)過(guò)敵手時(shí),敵手只能存儲(chǔ)Si,|Si|≤βn,所以敵手只能計(jì)算Ki+1=A(Si,Ki),其中A(·,·)是任意的敵手算法.而位于p點(diǎn)的數(shù)據(jù)發(fā)送方能同時(shí)接收到K1以及X1～X5,所以它能使用BSM偽隨機(jī)生成器計(jì)算得出Ki+1=PRG(Xi,Ki),進(jìn)而得到正確密鑰.

4 安全性證明

定理1. 如果G是(ε,φ)-安全的BSM PRG,F是PRF,Xi(1≤i≤4)具有最小熵(δ+β)n,βn是檢索上限,f是單項(xiàng)函數(shù),H是單向Hash函數(shù),Sign滿足EU-CMA[30]安全,那么本文所提協(xié)議在共謀攻擊下是安全的,即滿足D-EU-COMA.

證明. 不失一般性,令所有的共謀敵手{A1,A2,…,Ak}被敵手FORGER控制.令S1,S2,分別為所有敵手對(duì)X1,X2所檢索的總信息,且|S1|≤βn,|S2|≤βn.

在3維空間中,假設(shè)基于位置的數(shù)字簽名協(xié)議是不安全的,即存在敵手FORGER能以不可忽略的概率εFORGER偽造p點(diǎn)的簽名.如果敵手FORGER成功攻擊此協(xié)議,則存在4種可能的事件:

事件1. 敵手FORGER能夠成功偽造地標(biāo)L1的簽名.

若敵手FORGER能夠偽造地標(biāo)L1的簽名,它可將其公鑰、p點(diǎn)的位置信息、用地標(biāo)L1的私鑰進(jìn)行簽名后廣播.數(shù)據(jù)接收方會(huì)將敵手FORGER的公鑰當(dāng)成p點(diǎn)的公鑰.此時(shí)敵手FORGER成功偽造成p點(diǎn)對(duì)消息進(jìn)行簽名.

用ε1表示敵手FORGER能夠成功偽造地標(biāo)L1的簽名的概率,則敵手FORGER能夠成功偽造p點(diǎn)進(jìn)行簽名的概率為εs(ε1=εs).很明顯,這與EU-CMA的定義相矛盾,即事件1發(fā)生的概率是可忽略的.

事件2. 敵手能正確計(jì)算K.

1) 情況1. 給定(S1,K1)敵手FORGER可以計(jì)算出密鑰K2=G(X1,K1).

令A(yù)1為地標(biāo)L1和p點(diǎn)之間的敵手.S1為大字符串X1經(jīng)過(guò)A1時(shí),A1存儲(chǔ)的總信息量.因?yàn)閿呈諪ORGER可以計(jì)算出K2,所以當(dāng)X2經(jīng)過(guò)A1時(shí),A1能夠計(jì)算K3=G(X2,K2),以此類推得到K6,進(jìn)而得到sk=F(K6).由此可見(jiàn)若敵手FORGER計(jì)算出K2,就能夠得到p點(diǎn)的私鑰sk,以此來(lái)偽造p點(diǎn)簽名.

顯然由于K1尚未經(jīng)過(guò)p點(diǎn),所以S1只是任意的X1的函數(shù).此外,因?yàn)樗袛呈执鎯?chǔ)的信息總量被限制不能超過(guò)βn,所以|S1|≤βn.因此,有K2=A(S1,K1),其中A(·,·)是任意的敵手算法，它的輸出可能是S1和K1的一個(gè)任意的函數(shù)值.

用ε21表示敵手FORGER能夠計(jì)算K2=G(S1,K1)的概率,則敵手A1能夠計(jì)算出K3=G(X2,K2)的概率為

通常在安全參數(shù)l的選擇下12l是可忽略的.所以,εx1與ε21近似相等,在ε21不可忽略的情況下,概率εx1也是不可忽略的.由上可知這與(ε,φ)-安全的BSM PRG定義相矛盾.由此可得,在情況1下,敵手FORGER成功偽造p點(diǎn)簽名的概率是可忽略的.

2) 情況2. 給定(S2,K2),敵手FORGER能夠成功計(jì)算K3=G(X2,K2).

令A(yù)2為地標(biāo)L2和p點(diǎn)之間的敵手.由于FORGER能夠計(jì)算K3,以此類推得到K6,進(jìn)而得到sk=F(K6).由此可見(jiàn)如果敵手FORGER計(jì)算出K2,就能夠得到p點(diǎn)的私鑰sk,以此來(lái)偽造p點(diǎn)簽名.

顯然由于X1尚未經(jīng)過(guò)p點(diǎn),所以A2無(wú)法計(jì)算K2=G(X1,K1),不知道K2的情況下,S2只是任意X2的函數(shù),并且|S2|≤βn.因此,有K3=A(S2,K2),它的輸出可能是S2和K2的一個(gè)任意的函數(shù)值.

用ε22表示敵手FORGER能夠計(jì)算K2=G(X1,K1)的概率,則敵手A2能夠計(jì)算出K3=G(X2,K2)的概率為

同理,在概率ε22不可忽略的情況下,概率εx2也是不可忽略的.同樣,這與ε-secure的BSM PRG定義相矛盾.由此可得,在情況2下,敵手FORGER成功偽造p點(diǎn)簽名的概率是可忽略的.

3) 情況3. 由情況1,2可知位于地標(biāo)L3和p點(diǎn)之間的敵手可以偽造p點(diǎn)簽名的概率為

由上可知,在情況3下,敵手FORGER成功偽造p點(diǎn)簽名的概率是可忽略的.

4) 情況4. 由情況1,2可知位于地標(biāo)L4和p點(diǎn)之間的敵手可以偽造p點(diǎn)簽名的概率為

由上可知,在情況4下,敵手FORGER成功偽造p點(diǎn)簽名的概率是可忽略的.

事件3. 在不知道密鑰K的情況下,敵手FORGER能夠猜到p點(diǎn)私鑰sk.

用ε3表示事件3發(fā)生的概率,如果ε3不可忽略,則可構(gòu)造敵手Af以概率εf(εf=ε3)猜測(cè)出p點(diǎn)私鑰來(lái)偽造成p點(diǎn)進(jìn)行簽名.很明顯這與PRF的定義相矛盾,所以事件3發(fā)生的概率是可忽略的.

事件4. 在不知道sk的情況下,敵手FORGER能夠偽造p點(diǎn)簽名.

1) 情況1. 得到p點(diǎn)簽名(m,σ)后,敵手FORGER可以偽造簽名(m′,σ′),滿足m′≠m,σ′≠σ.

如果敵手Ax可以成功輸出z使得f(z)=y,則敵手FORGER能成功偽造簽名(m′,σ′)且?j(1≤j≤k)hj=r,否則敵手Ax隨機(jī)選擇一個(gè)數(shù)作為z.

用ε5表示敵手Ax成功輸出且f(z)=y的概率,則敵手FORGER能夠成功偽造p點(diǎn)簽名的概率為

通常情況下l至少為80 B,因此,12i=2-80.對(duì)于一般網(wǎng)絡(luò)來(lái)說(shuō)是可忽略的.由此可知,如果概率ε5是不可忽略的話,那么概率εp1也是不可忽略的.這與單向函數(shù)的定義相矛盾.所以情況1發(fā)生的概率是可忽略的.

2) 情況2. 給定(m,σ),敵手可以找到m′滿足h′=h,其中h=H(m),h′=H(m′),m≠m′.

假定敵手FORGER使用Hash函數(shù)H,使得H(m)=H(m′).然而根據(jù)Hash函數(shù)H的定義,令H(m)=H(m′)的概率為ε42,則敵手能夠成功偽造p點(diǎn)簽名的概率為

通常情況下k=16,t=1024或者k=20,t=256.當(dāng)k=16,t=1024時(shí),(kt)k=(161024)16=2-96;當(dāng)k=20,t=256時(shí),(kt)k=(20256)20=2-73.由此可知,對(duì)于一般應(yīng)用而言,(kt)k是可忽略.所以,情況2發(fā)生的概率是可忽略的.

綜上所述,敵手FORGER能夠偽造p點(diǎn)簽名的概率為

因此,如果G是(ε,φ)-安全的BSM PRG,F是PRF,Xi(0≤i≤2)具有最小熵(δ+β)n,βn是檢索上限,f是單項(xiàng)函數(shù),H是單向Hash函數(shù),那么εf,εx1,εx2,εx3,εx4,εs,εp1以及εFORGER都是可忽略的.即敵手偽造簽名的概率是可忽略的.定理1得證.

5 方案討論

本文方案將數(shù)據(jù)源的位置作為憑證,對(duì)消息進(jìn)行簽名,保障了物聯(lián)網(wǎng)中時(shí)空敏感數(shù)據(jù)的安全性.

5.1 防止網(wǎng)絡(luò)中攻擊者篡改數(shù)據(jù)信息

為了防止攻擊者利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)物聯(lián)網(wǎng)中的數(shù)據(jù)進(jìn)行篡改,本文采用了一次簽名方案.當(dāng)數(shù)據(jù)發(fā)送方發(fā)送數(shù)據(jù)時(shí),首先與地標(biāo)Li(i=1,2,3,4)交互,計(jì)算得出密鑰K6,k_secret=F(K6)=(s1,s2,…,st),令發(fā)送方私鑰sk=(k,s1,s2,…,st).發(fā)送方用私鑰簽名消息得到消息簽名σ,將簽名附在消息之后進(jìn)行廣播.數(shù)據(jù)接收方收到消息及簽名時(shí),首先使用發(fā)送方公鑰pk=(k,v1,v2,…,vt)進(jìn)行驗(yàn)證,若簽名驗(yàn)證通過(guò),則證明數(shù)據(jù)未被篡改,若驗(yàn)證失敗,則拒絕接收這條消息.對(duì)于物聯(lián)網(wǎng)中的攻擊者來(lái)說(shuō),由于vi=f(si)且f為單向函數(shù),因此攻擊者無(wú)法獲得發(fā)送方的私鑰sk=(k,s1,s2,…,st),所以無(wú)法偽造簽名.因此,攻擊者無(wú)法篡改消息.同時(shí),本文使用的一次簽名基于單向函數(shù)構(gòu)造,相比傳統(tǒng)的公鑰數(shù)字簽名,更適合物聯(lián)網(wǎng)中能量受限的感知設(shè)備.

5.2 防止時(shí)空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時(shí)間偽造

為了防止時(shí)空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時(shí)間偽造,本文采用PbKE協(xié)議,使得只有在某一時(shí)刻處于某一位置的用戶才能獲得使用位置信息產(chǎn)生的公私鑰對(duì),也就是說(shuō)簽名使用的公私鑰對(duì)與用戶的地理位置和數(shù)據(jù)發(fā)送時(shí)間是緊耦合關(guān)系.當(dāng)數(shù)據(jù)發(fā)送方需要發(fā)送數(shù)據(jù)時(shí),首先與地標(biāo)Li(i=1,2,3,4)交互,進(jìn)行位置驗(yàn)證.Li廣播各自的消息,使得在時(shí)刻T,數(shù)據(jù)發(fā)送方同時(shí)接收到所有消息,計(jì)算K2=G(X1,K1),K3=G(X2,K2),K4=G(X3,K3),K5=G(X4,K4),K6=G(X5,K5).將K6進(jìn)行一次偽隨機(jī)運(yùn)算得到F(K6)=(s1,s2,…,st),令sk=(k,s1,s2,…,st)即為發(fā)送方私鑰.發(fā)送方用私鑰簽名數(shù)據(jù),將簽名附在消息之后進(jìn)行廣播.L1驗(yàn)證簽名返回的時(shí)間,若接收時(shí)間符合要求,則地標(biāo)L1用自己的私鑰skL對(duì)消息摘要、p點(diǎn)公鑰、p點(diǎn)位置信息、數(shù)據(jù)生成時(shí)刻T進(jìn)行簽名,形成關(guān)于位置的臨時(shí)證書(shū)CertL(H(m),pk,p,T),并廣播pk,p,T,CertL(H(m),pk,p,T);反之,L1拒絕生成臨時(shí)證書(shū)CertL(H(m),pk,p,T).由于發(fā)送方的公私鑰對(duì)是由位置信息產(chǎn)生的,所以當(dāng)數(shù)據(jù)接收方驗(yàn)證簽名時(shí),同樣也驗(yàn)證了數(shù)據(jù)源的地理位置及數(shù)據(jù)的發(fā)送時(shí)間.當(dāng)不處于發(fā)送方地理位置的敵手想要篡改數(shù)據(jù)源位置信息時(shí),有2種辦法:1)得到發(fā)送方私鑰偽造數(shù)據(jù)的簽名;2)偽造地標(biāo)L1簽名的臨時(shí)證書(shū).然而由PbKE的安全性和EU-CMA的定義可知,以上2種辦法都無(wú)法實(shí)現(xiàn).所以我們構(gòu)造的方案能夠防止物聯(lián)網(wǎng)中時(shí)空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時(shí)間偽造.

5.3 感知層的設(shè)備無(wú)需密鑰管理

本文方案中,感知設(shè)備無(wú)須預(yù)先與地標(biāo)共享安全通道,所有消息均通過(guò)廣播方式發(fā)送.感知設(shè)備既無(wú)需事先預(yù)共享密鑰,也無(wú)需公鑰證書(shū),因?yàn)楹灻璧乃借€sk=(k,s1,s2,…,st)是在與地標(biāo)的交互過(guò)程中根據(jù)設(shè)備位置產(chǎn)生的,而不是借助預(yù)先的密鑰管理機(jī)制生成,這避免了海量感知設(shè)備前期的密鑰管理.臨時(shí)證書(shū)CertL(H(m),pk,p,T)由地標(biāo)驗(yàn)證接收時(shí)間符合要求后,利用地標(biāo)的公鑰生成并廣播.總之,對(duì)于海量感知設(shè)備,本方案無(wú)需預(yù)先的密鑰管理機(jī)制,具有可擴(kuò)展性,適合大規(guī)模的部署.

5.4 簽名方案的選擇

使用公鑰密碼體制的數(shù)字簽名,一旦地標(biāo)L驗(yàn)證了發(fā)送方的位置,則該公私鑰能夠進(jìn)行多次簽名.對(duì)于動(dòng)態(tài)發(fā)送方而言,當(dāng)它發(fā)生遷移而離開(kāi)原位置時(shí),它仍然持有原位置的公私鑰對(duì),這顯然不滿足動(dòng)態(tài)環(huán)境下基于位置數(shù)字簽名的安全需求.因此,公鑰數(shù)字簽名算法只適用于靜態(tài)環(huán)境的基于位置數(shù)字簽名.

一次簽名[31]借鑒一次一密的形式,當(dāng)發(fā)送方使用密鑰簽名一個(gè)消息之后,必須重新與地標(biāo)L進(jìn)行交互,產(chǎn)生一個(gè)新的密鑰對(duì)(pk,sk)來(lái)簽名下一個(gè)消息.即使發(fā)送方發(fā)生遷移改變位置信息,也仍然需要與相應(yīng)地標(biāo)L交互,證明自己的位置后才能獲得新的密鑰對(duì).因此,本文方案的數(shù)字簽名采用一次簽名方案.

6 性能分析

表1將物聯(lián)網(wǎng)中基于位置的數(shù)字簽名方案(position based digital signature scheme, PbDS)與Xue[27]、OTS[31]、RSA,ABS[32]、無(wú)證書(shū)簽名[33]做對(duì)比,分別從簽名者計(jì)算開(kāi)銷、驗(yàn)證者計(jì)算開(kāi)銷、是否需要公鑰證書(shū)、密鑰管理、預(yù)共享安全通道和是否結(jié)合位置信息等方面進(jìn)行比較.

其中,G表示一次BSM PRG計(jì)算,F表示一次PRF計(jì)算,f表示一次單向函數(shù)計(jì)算,H為單向Hash函數(shù),E表示群上的冪運(yùn)算,e表示雙線性對(duì)運(yùn)算,d表示屬性集大小,M表示群G中乘法運(yùn)算,A表示群G中加法運(yùn)算.

通過(guò)表1可以看出,與其他簽名方案相比,本文方案不需要公鑰證書(shū)、密鑰管理以及預(yù)共享安全通道,這對(duì)于物聯(lián)網(wǎng)中海量數(shù)據(jù)的安全管理來(lái)說(shuō),顯得更加高效;并且只有本文與Xue的簽名方案加入了位置信息,能夠解決物聯(lián)網(wǎng)中海量數(shù)據(jù)的數(shù)據(jù)源位置驗(yàn)證問(wèn)題.另外，本方案發(fā)送方使用基于單向函數(shù)的一次簽名,不涉及模指運(yùn)算等代價(jià)較高的計(jì)算,更適合計(jì)算能力受限的感知設(shè)備.

表2將本文方案與Xue的方案做對(duì)比,分別從適用的簽名者類型、協(xié)議執(zhí)行前需要的條件、安全定義、基于的協(xié)議等方面進(jìn)行對(duì)比.通過(guò)表2可以看出,Xue的方案需要地標(biāo)與數(shù)據(jù)發(fā)送方之間使用預(yù)共享的安全通道,在物聯(lián)網(wǎng)大規(guī)模的應(yīng)用環(huán)境下,建立和維護(hù)該安全通道開(kāi)銷較大；而本文提出的方案不需要地標(biāo)與數(shù)據(jù)發(fā)送方之間存在預(yù)共享的安全通道,減少了通信代價(jià),提高了效率.另外，Xue的方案只適用于靜態(tài)發(fā)送方,無(wú)法保證發(fā)送方位置動(dòng)態(tài)變化情況下簽名的安全性；而本文提出的方案既能適應(yīng)靜態(tài)發(fā)送方也適用于動(dòng)態(tài)發(fā)送方,且能夠抵御敵手的共謀攻擊,滿足可證明安全.

Table 1 Comparison of Signature Schemes表1 簽名方案的比較

Notes:“√” means security, “×” means insecurity.

Table 2 Comparison of PbDS and Xue表2 PbDS與Xue方案的比較

Notes:“√” means security, “×” means insecurity.

7 總結(jié)與展望

本文針對(duì)物聯(lián)網(wǎng)中數(shù)據(jù)篡改、數(shù)據(jù)源的位置驗(yàn)證和數(shù)據(jù)的生成時(shí)間驗(yàn)證等問(wèn)題進(jìn)行了研究.將位置特性與數(shù)字簽名相結(jié)合,提出了一種解決物聯(lián)網(wǎng)中時(shí)空敏感數(shù)據(jù)安全問(wèn)題的方案.一方面,提供了數(shù)據(jù)的完整性保護(hù);另一方面,確保了數(shù)據(jù)源的位置和時(shí)間信息的不可偽造性.本文分別提出了不考慮時(shí)間因素的靜態(tài)基于位置的數(shù)字簽名和考慮時(shí)間因素的動(dòng)態(tài)基于位置的數(shù)字簽名.然后,在BRM模型下設(shè)計(jì)出3維空間中滿足動(dòng)態(tài)安全需求的基于位置數(shù)字簽名方案.此外,本文提出的物聯(lián)網(wǎng)中基于位置數(shù)字簽名方案能夠抵御敵手的共謀攻擊,且滿足可證明安全.將本文方案與已有方案進(jìn)行比較,在安全性方面,本文所提協(xié)議既能適應(yīng)靜態(tài)發(fā)送方也適用于動(dòng)態(tài)發(fā)送方;在性能方面,本文所提協(xié)議使用計(jì)算高效的一次簽名,不需要地標(biāo)與發(fā)送方之間存在預(yù)共享的安全通道以及簽名之前的密鑰管理環(huán)節(jié),減少了計(jì)算和通信代價(jià),適用于物聯(lián)網(wǎng)中資源受限的感知設(shè)備.

本文方案存在密鑰托管問(wèn)題.即每次數(shù)據(jù)發(fā)送方與地標(biāo)交互得到基于位置的公私鑰對(duì)的同時(shí),4個(gè)地標(biāo)也同時(shí)生成了數(shù)據(jù)發(fā)送方的公私鑰對(duì),也就是說(shuō),一旦地標(biāo)被攻擊者攻破,攻擊者將會(huì)獲得所有與地標(biāo)交互的發(fā)送方基于位置的公私鑰對(duì),攻擊者能夠偽造發(fā)送方的簽名,造成發(fā)送方密鑰泄露問(wèn)題.為了解決上面提到的密鑰托管問(wèn)題,我們下一步計(jì)劃將聚合簽名與基于位置相結(jié)合,設(shè)計(jì)基于位置或區(qū)域的數(shù)據(jù)聚合方案.一方面,在協(xié)議過(guò)程中地標(biāo)無(wú)法計(jì)算出發(fā)送方的最終公私鑰對(duì).即便地標(biāo)被攻擊者攻破,攻擊者也無(wú)法獲得發(fā)送方的最終公私鑰對(duì),不會(huì)產(chǎn)生密鑰泄露問(wèn)題;另一方面,此方案能夠確保所有數(shù)據(jù)源都來(lái)自合法位置,并且面向物聯(lián)網(wǎng)的數(shù)據(jù)聚合能將物聯(lián)網(wǎng)中的海量數(shù)據(jù)聚合成少量有效數(shù)據(jù),減少了通信開(kāi)銷,延長(zhǎng)了網(wǎng)絡(luò)壽命.