CN107707360B - 物联网环境下的异构聚合签密方法 - Google Patents

Abstract

本发明公开了一种物联网环境下的高效聚合签密方案，主要解决现有聚合签密方案因计算开销较大导致的适用范围较小、实用性较差的问题。其实现步骤是：1)密钥生成中心KGC和证书颁发机构CA进行系统初始化；2)CLC系统下的感知实体N_i和PKI系统中的用户U分别向KGC和CA注册；3)PKI系统中的用户U广播公共随机数和公钥证书，由N_i进行验证和接收；4)CLC系统中的感知实体N_i选择消息生成签密密文，发给聚合者N_n形成聚合签密，聚合者N_n将聚合签密发给用户U；5)用户U进行聚合解签密，恢复相应的明文信息。本发明具有异构性，实用性更强，可用于智能家居、智能交通、智能医疗和智能工业检测。

Description

物联网环境下的异构聚合签密方法

技术领域

本发明属于信息安全技术领域，特别涉及异构公钥密码体制下的聚合签密方法，可用于物联网环境下的安全数据传输。

背景技术

物联网被誉为世界信息产业的第三次浪潮。早在1995年，在比尔盖茨的《未来之路》一书上就有了物联网的相关理念。随着互联网、通信网的高速发展，国际电信联盟ITU在2005年正式提出了物联网的概念。然而，由于物联网的理论体系不完全，至今为止并没有一个公认的精确定义。各国普遍认可的物联网定义是：通过各种信息传感设备，按照约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。目前，各个领域已出现诸多类似物联网的网络结构，例如智能交通、智能家居、智能电网、智能医疗、工业监控等。但是由于缺乏一个统一的标准，它们只可被称作“物联网子网”。今后若达到了一定规模，便会发展成智能城市乃至智能地球，形成真正意义上的物联网。

根据信息生成、传输和应用的原则，物联网可分为三层模型：感知层、网络层和应用层。其中，感知层是物联网的核心技术，用于从真实世界中采集物品信息。它使用射频识别设备(RFID)、无线传感器设备、用于人工生成信息的智能电子产品、摄像头、条形码等各种感知技术产品，将目标区域的信息采集和处理后，通过互联网发送给用户。所以，接入物联网的设备具有性质迥异、数量庞大的特点，这就为物联网安全提出了挑战。例如，各种感知设备的计算能力不尽相同，有的相对较弱，如RFID标签，且有些设备在数量上会相对较多，如无线传感器网络节点，这就要求应用在物联网上的安全协议要在保证安全性的同时具有计算和存储空间消耗少和运行效率高的特点，传统的密码学体制已经不能适应这些需求。

2009年，Selvi等人提出了一个基于身份的聚合签密方案，从此引出了聚合签密的概念。聚合签密是签密和聚合签名技术的结合，其中签密能在对消息进行签密的同时进行加密，比传统的先签名后加密节省了带宽资源；而聚合签名能对多个签名提供批量验证，极大地降低了信息传输的功耗和验证效率。由于在物联网环境下，不仅存在低带宽的情况，也普遍存在大规模分布式的多对一通信模式，因此，聚合签密技术十分适用于物联网环境。然而，由于该方案是基于身份的，故用户的密钥对于密钥分发中心是可见的，存在密钥托管问题。如果网络中的用户数量较多，就不能让密钥分发中心作为一个完全信任机构。另外，该聚合签密方案是利用双线性对完成聚合验证，这样随着用户数量的增多，计算开销会增长过快，使得聚合验证的效率较低。

为了克服以上基于身份的密码体制的局限性，2003年，Al-Riyami等人提出了无证书密码体制CLC，该体制下让密钥分发中心成为半信任机构，不仅解决了密钥托管问题，而且避免了进行传统公钥密码体制的证书管理。但是，这种基于无证书密码体制的聚合签密方案不能用于异构网络间的安全通信，同时仍然存在因使用双线性对导致的计算开销过大的问题。

为了解决异构网络环境下的安全通信问题，2010年，SUN Yinxia等人提出了一个传统公钥密码系统PKI到基于身份的密码系统IBC的异构签密方案，该方案能够使不同密码系统之间进行安全交互，具有兼容性。目前虽然已经提出了许多异构签密方案，但是这些异构签密方案由于均不具有聚合验证性，故不能被用于多对一的安全通信。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种新的异构聚合签密方法，以在异构体制下提高聚合验证效率，实现在物联网环境下CLC系统中的感知设备群与PKI系统中的某个用户之间的多对一安全通信。

为实现上述目的，本发明的技术方案如下：

(1)CLC系统中的密钥生成中心KGC和PKI系统中的证书颁发机构CA进行系统初始化：

(1a)KGC生成系统公共参数params＝{q,k,E/F_q,G,P,P_pub,H₁,H₂,H₃,H₄}，其中，k是安全参数；q是一个大素数，q＞2^k；E/F_q是一个在素域F_q上的椭圆曲线；G代表椭圆曲线上的点构成的加法循环群；P是G的生成元；P_pub是KGC的公钥；H₁，H₂，H₃和H₄是四个无碰撞安全杂凑函数，H₁是将长度不等的0/1序列映射到

中的杂凑函数，H₂是将G中的元素映射成和待签密消息等长比特的杂凑函数，H₃是将长度不等的0/1序列映射到

中的杂凑函数，H₄是将长度不等的0/1序列映射到

中的杂凑函数；

(1b)KGC从乘法循环群

中随机选取一个整数s作为他的私钥，并计算他的公钥P_pub＝sP，得到自己的公私钥对(s,P_pub)，其中s作为KGC的秘密参数，P_pub对外公开；

(1c)CA获取KGC的公共参数params用于对用户进行注册，并选择任意一种数字证书标准作为公钥验证凭据；

(2)处于CLC系统下的各个感知实体N_i和处于PKI系统中的用户U进行注册，1≤i≤n，n表示CLC系统中感知实体的数量；

(2a)用户U从乘法循环群

中随机选取一个整数y₀作为他的私钥，然后根据私钥计算自己的公钥Y₀，并把自己的身份ID_U和公钥Y₀发送给CA，CA为用户U生成公钥证书；

(2b)每个感知实体N_i将自己的身份信息发送给KGC，KGC计算N_i的第一部分私钥y_i和第一部分公钥Y_i并将其通过安全信道发送给N_i，之后N_i选取自己的第二部分私钥l_i并计算自己的第二部分公钥L_i，得到自己的完整公私钥对；

(3)利用聚合签密完成从感知实体N_i到用户U的安全数据传输：

(3a)用户U选取要参与运算的公共随机数η₁,η₂并进行签名，连同自己的公钥证书一起进行周期性广播。

(3b)每个感知实体N_i收到广播信息后，对公钥证书进行验证，如果公钥证书有效，再对签名进行验证。如果签名有效，则得到用户U广播的消息以及随机数。N_i选择自己的要发送的一则消息m_i，生成签密σ_i，发送给聚合者N_Agg；否则，拒绝服务，发送拒绝信息给聚合者N_Agg；

(3c)聚合者N_Agg收到所有感知实体N_i发来的签密σ_i后，生成聚合签密σ，并将σ发送给用户U；否则，发送聚合签密的失败信息给用户U；

(3d)用户U收到聚合签密σ后，对σ进行聚合验证，如果验证成功，用户U对聚合签密σ中的密文参数进行聚合解签密；否则，输出聚合签密验证失败的信息。

本发明具有以下优点：

1)效率高

到目前为止，所有的聚合签密方法都利用双线性对的性质完成聚合验证，但对运算的开销较大，不适用于物联网环境下资源受限的设备，本发明通过构造多陷门杂凑函数，充分利用多陷门杂凑函数的性质取代双线性对完成聚合验证，使得计算开销大大降低，提高了执行效率。

2)可用于异构密码系统之间的安全交互

到目前为止，所有的聚合签密方案都是在同一密码体制下进行的，然而在物联网环境下，不同地域很可能具有不同的密码体制。本发明支持处于PKI系统中的用户接收来自CLC系统中的感知设备群采集或生成的信息，能够用于异构网络间的安全通信。

3)具有公开验证性

本发明在聚合解签密过程中，聚合验证过程不需要聚合验证者的秘密参数，任何第三方都可进行聚合验证，便于处理可能引发的纠纷问题，这是大多数聚合签密方法所不具备的性质。

4)安全性好

本发明基于椭圆曲线上的CDH难题和DL难题，可通过安全需求自行选择安全参数，为聚合签密提供了安全保证。在随机预言机模型下，本发明被证明能够抵抗适应性选择密文攻击和适应性选择消息攻击下的存在性伪造。

附图说明

图1是本发明的实现总流程图；

图2是本发明中用户U在PKI系统中注册的子流程图；

图3是本发明中感知实体N_i在CLC系统中注册的子流程图；

图4是本发明聚合签密的子流程图；

图5是本发明聚合解签密的子流程图。

具体实施方式

参照图1，本发明的实现步骤如下：

步骤1，系统初始化。

(1a)CLC系统中的密钥生成中心KGC生成系统公共参数params＝{q,k,E/F_q,G,P,P_pub,H₁,H₂,H₃,H₄}，其中，k是安全参数；q是一个大素数，q＞2^k；E/F_q是一个在素域F_q上的椭圆曲线；G代表椭圆曲线上的点构成的加法循环群；P是G的生成元；P_pub是KGC的公钥；H₁，H₂，H₃和H₄是四个无碰撞安全杂凑函数，H₁是将长度不等的0/1序列映射到

中的杂凑函数，H₂是将G中的元素映射成和待签密消息等长比特的杂凑函数，H₃是将长度不等的0/1序列映射到

中的杂凑函数，H₄是将长度不等的0/1序列映射到

中的杂凑函数；

(1b)KGC从乘法循环群

中随机选取一个整数s作为他的私钥，并计算他的公钥P_pub＝sP，得到自己的公私钥对(s,P_pub)，其中s作为KGC的秘密参数，P_pub对外公开；

(1c)PKI系统中的证书颁发机构CA获取KGC的公共参数params用于对用户U进行注册，并选择任意一种数字证书标准作为公钥验证凭据。

步骤2，用户U在证书颁发机构CA处进行注册。

参照图2，本步骤的具体实现如下：

(2a)用户U从乘法循环群

随机选取一个整数y₀作为自己的私钥，用户U根据私钥计算自己的公钥Y₀＝y₀P，产生自己的公私钥对(y₀,Y₀)；

(2b)用户U将自己的身份ID_U和公钥Y₀发送给CA，CA为用户U生成公钥证书cert_U＝(ID_U,Y₀,Sig_R)，其中，P是加法循环群G的一个生成元，Sig_R是使用CA的私钥对Y₀所做的一个数字签名。

步骤3，每个感知实体N_i在私钥生成中心KGC处进行注册。

参照图3，该过程的具体实现步骤如下：

(3a)每个感知实体N_i发送自己的身份ID_i给私钥生成中心KGC，KGC从乘法循环群

中随机选取一个整数k_i，计算N_i的第一部分公钥Y_i＝k_iP，以及N_i的第一部分私钥y_i＝k_i+sQ_i，其中，Q_i＝H₁(ID_i,Y_i)，然后将第一部分公钥Y_i和第一部分私钥y_i通过安全信道发送给N_i；

(3b)每个感知实体N_i收到第一部分公钥Y_i和第一部分私钥y_i后，验证等式y_iP＝Y_i+H₁(ID_i,Y_i)P_pub是否成立：如果成立，则N_i从乘法循环群

中随机选取一个整数l_i作为自己的秘密值，然后计算自己的第二部分公钥L_i＝l_iP；如果不成立，则N_i放弃本次注册过程；

(3c)N_i设置自己的完整私钥为(y_i,l_i)，完整公钥为(Y_i,L_i)。

步骤4，进行聚合签密：

参照图4，本步骤的具体实现如下：

(4a)用户U选取两个公共随机数

构建广播包<cert_U,η₁||η₂,Sig(y₀,η₁||η₂)>，其中，Sig(y₀,η₁||η₂)是使用自己的私钥对公共随机数所做的一个数字签名，Y₀是公钥，cert_U是公钥证书；

(4b)每个感知实体N_i收到广播包后，验证公钥证书是否有效：如果无效，则放弃本次聚合签密过程；否则，验证对公共随机数的签名是否有效；如果无效，放弃本次聚合签密过程；否则，进入步骤(4c)；

(4c)每个感知实体N_i从乘法循环群

中随机选取一个整数x_i，计算密文解密参数X_i＝x_iP，并选取一则需要签密的消息m_i，计算密文

其中，P是G的生成元；

(4d)每个感知实体N_i计算如下参数：

乘法循环群

中的密文验证参数即一次性陷门密钥：z_i＝H₃(ID_i,tt_i)-H₄(e_i,X_i,cert_U,ID_U,tt_i)+(y_i+l_i)η₁，

乘法循环群

中的秘密值验证参数：t_i＝x_i-(z_i+l_i)η₂，

其中，(y_i,l_i)是感知实体N_i的私钥，tt_i是时戳。

(4e)每个感知实体N_i发送签密σ_i＝<t_i,e_i,X_i,Y_i,L_i,tt_i>给聚合者N_Agg，其中，Y_i是N_i的部分私钥，L_i是N_i的秘密值；

(4f)聚合者N_Agg收到每个感知实体N_i发来的签密σ_i＝<t_i,e_i,X_i,Y_i,L_i,tt_i>后，计算聚合参数

生成聚合签密

其中，

是密文e_i的集合，

是密文解密参数X_i的集合，

是第一部分公钥的集合，

是第二部分公钥的集合，

是时戳的集合；

(4g)聚合者N_Agg将聚合签密σ发送给用户U。

步骤5，进行聚合解签密：

参照图5，本步骤的具体实现如下：

(5a)用户U收到聚合签密σ后，用户U计算如下聚合验证参数：

密文解密参数X_i求和得到的公钥验证凭据：

第二部分公钥L_i求和得到的中间变量：

所有感知实体N_i的一次性哈希公钥:：

其中，η₂是公共随机数，t_[1,n]是聚合参数，P是G的生成元；

(5b)用户U针对每个感知实体N_i，计算如下两个哈希值：

与感知实体N_i的私钥相关联的哈希值：Q_i＝H₁(ID_i,Y_i)，

用于防止密文遭到篡改的哈希值：h_4,i＝H₂(e_i,X_i,cert_U,ID_U,tt_i)，

其中，ID_i是感知实体N_i的身份，Y_i是感知实体N_i的第一部分公钥，e_i是密文参

数，X_i是密文解密参数，cert_U是用户U的公钥证书，ID_U是用户U的身份，tt_i是时戳；

(5c)用户U计算出一个多陷门碰撞杂凑值：

验证等式

是否成立：如果成立，则进入(5d)；否则，放弃本次聚合验证过程，其中，η₁是公共随机数；

(5d)对每个感知实体N_i，计算解密后的明文：

其中，y₀是用户U的私钥，X_i是聚合解密参数，e_i是密文参数。

对于本领域的专业人员来说，在了解本发明的原理和内容后，都可以在不背离本发明的原理和内容的情况下，对本发明的形式和细节上作出各种修正和改变，但这些基于本发明的内容和原理的修正和改变仍在本发明的权利要求保护范围之内。

Claims (8)

1.一种物联网环境下的异构聚合签密方法，包括：

(1)无证书密码体制CLC系统中的私钥生成中心KGC和传统公钥密码PKI系统中的证书颁发机构CA进行系统初始化：

(1a)无证书密码体制CLC系统中的私钥生成中心KGC生成系统公共参数params＝{q,k,E/F_q,G,P,P_pub,H₁,H₂,H₃,H₄}，其中，k是安全参数；q是一个大素数，q＞2^k；E/F_q是一个在素域F_q上的椭圆曲线；G代表椭圆曲线上的点构成的加法循环群；P是G的生成元；P_pub是KGC的公钥；H₁，H₂，H₃和H₄是四个无碰撞安全杂凑函数，H₁是将长度不等的0/1序列映射到

中的杂凑函数，H₂是将G中的元素映射成和待签密消息等长比特的杂凑函数，H₃是将长度不等的0/1序列映射到

中的杂凑函数，H₄是将长度不等的0/1序列映射到

中的杂凑函数；

(1b)KGC从乘法循环群

中随机选取一个整数s作为他的私钥，并计算公钥P_pub＝sP，得到自己的公私钥对(s,P_pub)，其中s作为KGC的秘密参数，P_pub对外公开；

(1c)CA获取KGC的公共参数params用于对用户进行注册，并选择任意一种数字证书标准作为公钥验证凭据；

(2)处于无证书密码体制CLC系统下的各个感知实体N_i和处于传统公钥密码PKI系统中的用户U进行注册，1≤i≤n，n表示无证书密码体制CLC系统中感知实体的数量；

(2a)用户U从乘法循环群

中随机选取一个整数y₀作为他的私钥，然后根据私钥计算自己的公钥Y₀，并把自己的身份ID_U和公钥Y₀发送给CA，CA为用户U生成公钥证书；

(2b)每个感知实体N_i将自己的身份信息发送给KGC，KGC计算N_i的第一部分私钥y_i和第一部分公钥Y_i并将其通过安全信道发送给N_i，之后N_i选取自己的第二部分私钥l_i并计算自己的第二部分公钥L_i，得到自己的完整公私钥对；

(3)利用聚合签密完成从感知实体N_i到用户U的安全数据传输：

(3a)用户U选取要参与运算的两个公共随机数η₁和η₂，连同自己的公钥证书一起进行周期性广播；

(3b)每个感知实体N_i收到广播信息后，对公钥证书进行验证，如果公钥证书有效，则得到用户U的公钥Y₀以及公共随机数η₁和η₂；N_i选择自己的要发送的一则消息m_i，生成签密σ_i，发送给聚合者N_Agg；否则，拒绝服务，发送拒绝信息给聚合者N_Agg；

(3c)聚合者N_Agg收到所有感知实体N_i发来的签密σ_i后，生成聚合签密σ，并将σ发送给用户U；否则，发送聚合签密的失败信息给用户U；

(3d)用户U收到聚合签密σ后，对σ进行聚合验证；如果验证成功，用户U对聚合签密σ中的密文参数进行解签密；否则，输出聚合签密验证失败的信息。

2.根据权利要求1所述的方法，其中步骤(2a)中用户U进行注册，按照以下步骤进行：

(2a1)用户U从乘法循环群

随机选取一个整数y₀作为自己的私钥；

(2a2)用户U根据私钥计算自己的公钥Y₀＝y₀P，产生自己的公私钥对(y₀,Y₀)；

(2a3)用户U将自己的身份ID_U和公钥Y₀发送给CA，CA为用户U生成公钥证书cert_U＝(ID_U,Y₀,Sig_R)，其中，Sig_R是使用CA的私钥对Y₀所做的一个数字签名，P是加法循环群G的一个生成元。

3.根据权利要求1所述的方法，其中步骤(2b)中每个感知实体N_i进行注册，按照以下步骤进行：

(2b1)每个感知实体N_i发送自己的身份ID_i给密钥生成中心KGC，KGC从乘法循环群

中随机选取一个整数k_i，计算N_i的第一部分公钥Y_i＝k_iP，以及N_i的第一部分私钥y_i＝k_i+sQ_i，其中，Q_i＝H₁(ID_i,Y_i)，然后将第一部分公钥Y_i和第一部分私钥y_i通过安全信道发送给N_i；

(2b2)每个感知实体N_i收到第一部分公钥Y_i和第一部分私钥y_i后，验证等式y_iP＝Y_i+H₁(ID_i,Y_i)P_pub是否成立，如果成立，则N_i从乘法循环群

中随机选取一个整数l_i作为自己的第二部分私钥，然后计算自己的第二部分公钥L_i＝l_iP；如果不成立，则N_i放弃本次注册过程；

(2b3)N_i设置自己的完整私钥为(y_i,l_i)，完整公钥为(Y_i,L_i)。

4.根据权利要求1所述的方法，其中步骤(3a)中用户U进行广播，按照以下步骤进行：

(3a1)用户U随机选取两个公共随机数η₁,

构建广播包<cert_U,η₁||η₂,Sig(y₀,η₁||η₂)>，其中，cert_U是公钥证书，Sig(y₀,η₁||η₂)是使用自己的私钥对公共随机数所做的一个数字签名；

(3a2)对广播包进行周期性广播。

5.根据权利要求4所述的方法，其中步骤(3b)中感知实体N_i进行消息的签密，按照以下步骤进行：

(3b1)每个感知实体N_i收到广播包后，验证公钥证书cert_U是否有效：如果无效，则放弃本次聚合签密过程；否则，验证对公共随机数的签名Sig(y₀,η₁||η₂)是否有效：如果无效，放弃本次聚合签密过程；否则，进入步骤(3b2)；

(3b2)每个感知实体N_i从乘法循环群

中随机选取一个整数x_i，计算密文解密参数X_i＝x_iP，并选取一则需要签密的消息m_i，计算密文参数

其中，P是G的生成元，Y₀是用户U的公钥；

(3b3)每个感知实体N_i计算如下参数：

乘法循环群

中的密文验证参数即一次性陷门密钥：z_i＝H₃(ID_i,tt_i)-H₄(e_i,X_i,cert_U,ID_U,tt_i)+(y_i+l_i)η₁，

乘法循环群

中的秘密值验证参数：t_i＝x_i-(z_i+l_i)η₂，

其中，ID_i是N_i的身份，ID_U是用户U的身份，y_i是N_i的第一部分私钥，l_i是N_i的第二部分私钥，η₁,η₂是公共随机数，tt_i是时戳；

(3b4)每个感知实体N_i发送签密σ_i＝<t_i,e_i,X_i,Y_i,L_i,tt_i>给聚合者N_Agg，其中，Y_i是N_i的第一部分公钥，L_i是N_i的第二部分公钥。

6.根据权利要求5所述的方法，其中步骤(3c)中进行密文聚合，按以下步骤进行：

(3c1)聚合者N_Agg收到每个感知实体N_i发来的签密σ_i＝<t_i,e_i,X_i,Y_i,L_i,tt_i>后，计算聚合参数

生成聚合签密

其中，

是密文参数e_i的集合，

是密文解密参数X_i的集合，

是第一部分公钥的集合，

是第二部分公钥的集合，

是时戳的集合；

(3c2)聚合者N_Agg将聚合签密σ发送给用户U。

7.根据权利要求6所述的方法，其中步骤(3d)中用户U对收到的聚合签密σ进行聚合验证，按照以下步骤进行：

(3d1)用户U收到聚合签密σ后，用户U计算如下聚合验证参数：

密文解密参数X_i求和得到的公钥验证凭据：

第二部分公钥L_i求和得到的中间变量：

所有感知实体N_i的一次性哈希公钥：

其中，η₂是公共随机数，t_[1,n]是聚合参数，P是G的生成元；

(3d2)用户U针对每个感知实体N_i，计算如下两个哈希值：

与感知实体N_i的私钥相关联的哈希值：Q_i＝H₁(ID_i,Y_i)，

用于防止密文遭到篡改的哈希值：h_4,i＝H₄(e_i,X_i,cert_U,ID_U,tt_i)，

其中，ID_i是N_i的身份，Y_i是N_i的第一部分公钥，e_i是密文参数，cert_U是公钥证书，ID_U是用户U的身份，tt_i是时戳；

(3d3)用户U计算出一个多陷门碰撞杂凑值：

验证等式

是否成立：如果成立，则进入下一步；否则，放弃本次聚合验证过程。

8.根据权利要求5所述的方法，其中步骤(3d)中用户U对聚合签密σ进行聚合解签密，是对每个感知实体N_i，计算解密后的明文：

其中，y₀是用户U的私钥，X_i是密文解密参数，e_i是密文参数。

Images