CN111147594A - 物联网数据传输系统及其密钥生成方法和数据传输方法 - Google Patents

Abstract

本发明提出了一种物联网数据传输系统及其密钥生成方法和数据传输方法，本发明提出了将无双线性配对的无证书多接收机方案应用到边缘计算中，其中利用标量点乘法来提高计算效率。为保证密钥的安全性，利用密钥信任机制(KTA)和边缘节点、用户分别计算私钥和公钥，既保证了密钥的安全性，又减少了用户端的计算量，提高了传输效率。本发明提出了一种边缘计算中基于无双线性配对的加密方案，提高数据访问控制的安全性。并将部分加密、解密操作外包给KTA，减少终端用户的计算量；密钥生成由密钥信任机制、用户和边缘节点共同完成，保证了其安全性。

Description

物联网数据传输系统及其密钥生成方法和数据传输方法

技术领域

本发明涉及物联网设备技术领域，特别是涉及一种物联网数据传输系统及其密钥生成方法和数据传输方法。

背景技术

云计算可以为用户提供弹性计算资源，满足终端用户的需求。然而，随着物联网和大数据的发展，集中式计算系统开始遭受难以忍受的传输延迟和服务退化。边缘计算是一种新兴的分布式系统技术，具有位置感知、低时延、支持移动性等特点。它不仅可以处理大量数据，提高我们的生活质量，而且能够收集实时数据，进行数据监测、实时分析。

虽然边缘计算网络将计算资源扩展到网络边缘，极大的提高了传输效率，但其存在许多安全问题。安全通信是使用边缘计算将数据传输到云进行存储和处理时引起用户最关心的问题之一。在通信过程中边缘计算网络面临数据更改、未授权访问等威胁。此外，由于边缘节点部署在网络边缘，且成本比云服务器低得多，因此它们更容易受到攻击，也更不可信。与此同时，A.Alrawais等人也指出了物联网中的边缘计算的安全问题仍处于初级阶段，面临许多安全访问方面的问题。

发明内容

本发明的目的是提供一种物联网数据传输系统及其密钥生成方法和数据传输方法，以实现在物联网传输过程中密文的安全性的同时，降低计算的复杂度，减少计算量。

为实现上述目的，本发明提供了如下方案：

一种物联网数据传输系统，所述传输系统包括核心云平台、边缘节点、密钥信任机制、物联网终端用户、物联网数据所有者；

所述密钥信任机制用于根据物联网终端用户的ID和私密值参数生成部分私钥和部分公钥，并将所述部分私钥和部分公钥发送给边缘节点；

所述边缘节点用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台；

所述核心云平台用于存储所述公钥，并将所述公钥和所述部分私钥发送给所述物联网终端用户；

所述物联网终端用户用于根据所述公钥和所述部分私钥生成私钥；

所述物联网数据所有者用于根据物联网终端用户的请求从所述核心云平台获取请求的物联网终端用户的公钥，利用标量点乘法对用户请求访问的明文进行加密，生成密文，并将密文发送给所述边缘节点；

所述边缘节点还用于对所述密文进行验证，并将验证后的密文通过核心云平台发送给所述物联网终端用户；

所述物联网终端用户用于根据所述物联网终端用户的私钥对所述密文进行解密，获得明文。

可选的，所述边缘节点包括主边缘节点和相邻边缘节点；

所述主边缘节点用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台；

所述相邻边缘节点用于对所述密文进行验证，并将验证后的密文通过核心云平台发送给所述物联网终端用户。

一种物联网数据传输系统的密钥生成方法，所述密钥生成方法包括如下步骤：

通过密钥信任机制生成公共参数和主密钥；

通过物联网终端用户根据所述公共参数生成物联网终端用户的ID、私密值和私密值参数；

通过密钥生成机制根据物联网终端用户的ID、私密值参数、公共参数和主密钥，计算物联网终端用户的部分私钥和部分公钥；

通过边缘节点根据物联网终端用户的ID、私密值参数、部分私钥、部分公钥和公共参数生成物联网终端用户的公钥；

通过物联网终端用户根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，生成物联网终端用户的私钥。

可选的，所述通过密钥信任机制生成公共参数，具体包括：

随机生成第一素数k和与所述第一素数k互质的第二素数p；

生成有限域Fp上的椭圆曲线E；

在所述椭圆曲线E上选取加性循环群Gp；

在所述椭圆曲线E上采用椭圆加密ECC算法生成性循环群的生成器P；

利用所述生成器P在所述椭圆曲线E选取加性循环群Gp；

根据所述生成器，利用公式P_pub＝SP，计算系统公钥P_pub；其中，S为从整数集中随机选取的主密钥；

选取第一安全散列函数、第二安全散列函数、第三安全散列函数和第四安全散列函数；

建立包括第二素数p、有限域Fp、椭圆曲线E、加性循环群Gp、生成器P、系统公钥P_pub、无双线性配对加密算法的对称加密函数E_k、对称加密函数对应的解密函数D_k、第一安全散列函数H0、第二安全散列函数H1、第三安全散列函数H2和第四安全散列函数H3的公共参数：params＝＜p,F_p,E,G_p,P,P_pub,E_k,D_k,H₀,H₁,H₂,H₃＞。

可选的，所述通过物联网终端用户根据所述公共参数生成物联网终端用户的ID、私密值和私密值参数，具体包括：

随机选取第二整数作为物联网终端用户的私密值；

根据所述公共参数中的生成器P和所述私密值，利用公式V_i＝v_iP，计算物联网终端用户的私密值参数；其中，v_i和V_i分别表示第i个物联网终端用户的私密值和私密值参数。

可选的，所述通过密钥生成机制根据物联网终端用户的ID、私密值参数、公共参数和主密钥，计算物联网终端用户的部分私钥和部分公钥，具体包括：

随机选取第三整数；

根据物联网终端用户的ID和私密值参数、第三整数和公共参数，利用公式Pp_i＝H₀(ID_i,V_i)P+d_iP，计算物联网终端用户的部分公钥；其中，ID_i、V_i、d_i和Pp_i分别表示第i个物联网终端用户的ID、私密值参数、第三整数和部分公钥，P和H₀分别表示公共参数中的生成器P和第一安全散列函数；

根据物联网终端用户的ID、私密值参数、第三整数、主密钥和公共参数，利用公式Ps_i＝H₀(ID_i,V_i)+(S+d_i)(modp)，计算物联网终端用户的部分私钥；其中，S和p分别表示主密钥和公共参数中的第二素数；Ps_i表示第i个物联网终端用户的部分私钥。

可选的，所述通过边缘节点根据物联网终端用户的ID、私密值参数、部分私钥、部分公钥和公共参数，生成物联网终端用户的公钥，具体包括：

根据物联网终端用户的部分公钥、部分私钥和公共参数，判断方程Ps_iP＝Pp_i+P_pub是否成立，得到第一判断结果；其中，Ps_i和Pp_i分别表示第i个物联网终端用户的部分私钥和部分公钥；P和P_pub分别表示公共参数中的生成器和系统公钥。

若所述第一判断结果表示成立，则利用公式PK_i＝Pp_i+H₁(ID_i,V_i,d_i)V_i，计算物联网终端用户的公钥；其中，PK_i、ID_i、V_i和d_i分别表示第i个物联网终端用户的公钥、ID、私密值参数和第三整数；H₁表示公共参数中的第二安全散列函数。

可选的，所述通过物联网终端用户根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，生成物联网终端用户的私钥，具体包括：

根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，利用公式SK_i＝H₀(ID_i,PK_i)(Ps_i+H₁(ID_i,V_i,d_i)v_i)(modp)生成物联网终端用户的私钥；其中，SK_i、ID_i、PK_i、Ps_i、V_i、d_i和v_i分别表示第i个物联网终端用户的私钥、ID、公钥、部分私钥、私密值参数、第三参数和私密值；H₀、H₁和p分别表示公共参数的第一安全散列函数、第二安全散列函数和第二素数。

一种物联网数据传输系统的数据传输方法，所述数据传输方法包括如下步骤：

物联网终端用户通过边缘节点向物联网数据所有者发送数据访问请求，所述数据访问请求包括访问的物联网终端用户的ID；

物联网数据所有者从通过边缘节点获取请求访问的物联网终端用户的公钥，并根据请求访问的物联网终端用户的ID、公钥和公共参数，利用加密算法对用户请求访问的明文进行加密，获得密文，利用公共参数中的加密函数生成密文验证信息，并将密文和密文验证信息发送给边缘节点；

边缘节点根据密文验证信息利用公共参数中的解密函数对所述密文验证信息进行验证，并将验证通过的密文通过核心云平台发送给物联网终端用户；

物联网终端用户利用物联网终端用户的私钥和公共参数，利用解密算法对应的解密函数，对所述验证后的密文进行解密，获得明文。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提出了一种物联网数据传输系统及其密钥生成方法和数据传输方法，本发明提出了将无双线性配对的无证书多接收机方案应用到边缘计算中，其中利用标量点乘法来提高计算效率。为保证密钥的安全性，利用密钥信任机制(KTA)和边缘节点、用户分别计算私钥和公钥，既保证了密钥的安全性，又减少了用户端的计算量，提高了传输效率。本发明提出了一种边缘计算中基于无双线性配对(Unbilinearpairwise encryption)UPE的加密方案，提高数据访问控制的安全性。并将部分加密、解密操作外包给KTA，减少终端用户的计算量；密钥生成由密钥信任机制、用户和边缘节点共同完成，保证了其安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的边缘计算网络系统模型的结构示意图；

图2为本发明提供的一种物联网数据传输系统的结构示意图；

图3为本发明提供的一种物联网数据传输系统的密钥生成方法和数据传输方法的原理示意图；

图4为本发明提供的数据传输方法与现有技术中的传输方法的加密解密过程的效率对比图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种物联网数据传输系统及其密钥生成方法和数据传输方法，以实现在物联网传输过程中密文的安全性的同时，降低计算的复杂度，减少计算量。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明基于的理论基础包括：

A.边缘计算网络系统模型：

如图1所示，边缘计算模型通常分为3层，即在云平台层、与物联网设备层中间多了边缘节点层；

云平台层：主要包括集群服务器和数据存储器，其有强大的数据处理能力，主要用来存储与传输边缘设备处理过的数据密钥。

边缘节点层：接近物联网设备中的终端用户，能够对数据进行预处理，计算能力不如云平台，但是有更强的实时性和分布性，降低网络延迟。主要用来加密物联网设备传来的数据并存储。

物联网设备：由大量的传感设备构成，分为数据所有者和终端用户两类。数据所有者采集数据传输给边缘节点，终端用户发送请求来达成自己的意愿。

B.计算问题：

在接下来的部分，给出了计算性Diffie-Hellman问题(CDH)的定义和假设。

定义1.(计算Diffie–Hellman(CDH)问题).设P是阶为p的加性循环群G的一个生成元。给定随机元素P∈G_p，

使其满足Q＝aP,R＝bP。采用多项式时间有界算法计算abP，计算难度较大。故我们定义一个多项式时间有界算法A能够求解CDH问题的概率为：

定义2.(计算性Diffie–Hellman假设)。对于任意概率多项式时间有界算法A，当Adv^CDH(A)≤ε，则称Adv^CDH(A)是可忽略的。ε为可忽略函数，foreveryc>0,there exists k₀suchthat

forevery k≥k₀。

C.安全模型：

本发明给出关于边缘计算无证书签名方案安全模型，攻击者分为A1类攻击者：不知道主密钥，但可以替换合法用户的公钥；A2类攻击者：可得主密钥，但禁止替换合法用户的公钥。

1)消息不可伪造性

方案的不可伪造性模型被称为：针对边缘计算选择性多接收机，选择明文攻击(UNF-CSEC-SPA)的无证书签密的强不可伪造性。针对A1的UNF-CSEC-SPA(UNF-CSEC-SPA-I)和针对A2的UNF-CSEC-SPA(UNF-CSEC-SPA-II)将分别由定义3进行描述。

定义3.A1/A2类攻击者的不可伪造性：如果A1/A2在多项式时间(PPT)内博弈获胜的概率是可忽略的，则称本方案满足不可伪造性。

1)设置阶段：挑战者B输入安全参数k，运行算法获得主密钥S和系统参数Params，将S和Params发送给攻击者A1。在接收Params时，A1输出一组目标身份L＝{ID₁,ID₂,…ID_n}，其中n是正整数。

2)查询阶段：

私密值查询：A1/A2要求挑战者对ID进行私密值查询。收到查询后运行算法以获取用户的私密值v_ID并返回给A1/A2。

部分私钥生成查询：A1/A2选择一个身份标识ID，根据参数params和系统主密钥S和私密值v_ID，挑战者运行算法以获取用户部分私钥Ps_ID并返回给A1/A2。

公钥生成查询：A1/A2选择一个ID，挑战者运行算法获取用户的公钥PK_ID，并返回给A1/A2。

私钥生成查询：A1/A2选择一个ID，挑战者运行算法获取用户的私钥SK_ID，并返回给A1/A2。

公钥替换查询：针对任意身份标识ID，A1进行公钥替换，将PK'_ID替换原公钥PK_ID，保留为用户的新公钥。注意：A2无公钥替换查询。

签密查询：针对任意身份标识ID和明文M，随机选择身份信息ID_S，运行算法生成密文T，然后将T发送给A1/A2。

解密签名查询：A1/A2要求挑战者使用密文T进行解密签名查询。收到查询后，挑战者运行解密算法得到明文M，验证M是否有效，并返回给A1/A2。

3)伪造阶段：A1/A2用一组目标身份L＝{ID₁,ID₂,…ID_n}和明文M伪造新的密文T*，如果密文T*可以由L中的任意用户正确解密，则A1/A2赢得游戏。否则，A1/A2失败。注意，A1不能对目标身份L执行Extract-Partial-Private-Key查询，并且AI无法对目标身份中已经被替换的公钥执行Set-Private-Key查询。，T*不能由Sig-ncryption查询生成。(A2的限制条件是不能对目标标识L执行Set-Secret-Value查询，T*不能由Sig-ncryption查询生成)定义A1/A2在这个博弈游戏中获胜的概率优势定义为：

Adv^UNF-CSEC-SPA(A₁)≤ε，其中ε为不可忽略的概率优势。

2)消息机密性

所提出的方案的消息机密性被称为边缘计算无证书签密与选择性多接收机选择的密文攻击(IND-CSEC-SCA)的不可区分性。针对A1的IND-CSEC-SCA(INDCLMS-CCA-I)和针对A2的IND-CSEC-SCA(IND-CSEC-SCA-II)将分别由定义4进行描述。

定义4.A1/A2类攻击者的机密性：A1/A2在PPT时间内赢得博弈的概率是可忽略的，则称本方案在适应性选择消息攻击下具有机密性。具体步骤如下：

1)设置阶段：与定义3中的设置相同。

2)查询阶段：与定义3中的私密值查询、部分私钥查询、私钥生成查询和公钥生成查询、公钥替换查询、签密查询和解密查询相同，并且挑战者做出相应的响应。注意：A2无公钥替换查询。

3)博弈阶段：A1/A2随机选择一对长度相等的明文＜m₀,m₁＞，发送给挑战者B。B收到＜m₀,m₁＞后，随机选择β∈{0,1}，并用所选择的明文M_β生成密文T*，然后将T*返回给A1/A2。A1/A2在博弈中胜利的其他限制条件与定义3中伪造阶段的限制条件相同。A1/A2获得胜利的概率优势定义为：

为了实现上述目的，基于上述理论基础本发明提供一种物联网数据传输系统，如图2所述传输系统包括核心云平台1、边缘节点2、密钥信任机制3、物联网终端用户4、物联网数据所有者5；

所述密钥信任机制3用于根据物联网终端用户的ID和私密值参数生成部分私钥和部分公钥，并将所述部分私钥和部分公钥发送给边缘节点2。所述密钥信任机制3为系统生成主密钥和系统参数，向终端用户和边缘节点发送密钥和系统参数，当终端用户发送请求时，能够生成部分私钥和部分公钥，并将其发送给边缘节点。本发明假设密钥信任机制是半可信的。

所述边缘节点2用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台1；边缘节点2部署在网络的边缘，提供各种服务，包括主边缘节点EN_m和相邻边缘节点EN_a。边缘节点主要负责生成公钥；通过安全信道传输公钥和密文。具体的，所述边缘节点2包括主边缘节点和相邻边缘节点；所述主边缘节点用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台；所述相邻边缘节点用于对所述密文进行验证，并将验证后的密文通过核心云平台发送给所述物联网终端用户。

所述核心云平台1用于存储所述公钥，并将所述公钥和所述部分私钥发送给所述物联网终端用户4。所述核心云平台1拥有高计算力和高数据存储容量，能够用于存储最终的秘钥和密文。

所述物联网终端用户4用于根据所述公钥和所述部分私钥生成私钥；所述物联网终端用户4用于生成终端用户的私密值、私密值参数及其私钥并存储。物联网终端用户连接到边缘设备，接收到边缘节点中的公钥及密文后，解密密文，来完成数据安全访问。

所述物联网数据所有者5用于根据物联网终端用户的请求从所述核心云平台1获取请求的物联网终端用户5的公钥，利用标量点乘法对应用户请求访问的明文进行加密，生成密文，并将密文发送给所述边缘节点2；所述物联网数据所有者5用于存储物联网设备中的临时数据及一些实时数据，可以获取云中的资源，还用于生成密文并传输给边缘节点。

所述边缘节点2还用于对所述密文进行验证，并将验证后的密文通过核心云平台1发送给所述物联网终端用户4；

所述物联网终端用户4用于根据所述物联网终端用户的私钥对所述密文进行解密，获得明文。

如图3所示本发明还提供一种物联网数据传输系统的密钥生成方法，所述密钥生成方法包括如下步骤：

通过密钥信任机制生成公共参数和主密钥；具体包括：随机生成第一素数k和与所述第一素数k互质的第二素数p；生成有限域Fp上的椭圆曲线E；

在所述椭圆曲线E上选取加性循环群Gp；在所述椭圆曲线E上采用椭圆加密ECC算法生成性循环群的生成器P；利用所述生成器P在所述椭圆曲线E选取加性循环群Gp；根据所述生成器，利用公式P_pub＝SP，计算系统公钥P_pub；其中，S为从整数集中随机选取的主密钥；选取第一安全散列函数、第二安全散列函数、第三安全散列函数和第四安全散列函数；建立包括第二素数p、有限域Fp、椭圆曲线E、加性循环群Gp、生成器P、系统公钥P_pub、无双线性配对加密算法的对称加密函数E_k、对称加密函数对应的解密函数D_k、第一安全散列函数H₀、第二安全散列函数H₁、第三安全散列函数H₂和第四安全散列函数H₃的公共参数：params＝＜p,F_p,E,G_p,P,P_pub,E_k,D_k,H₀,H₁,H₂,H₃＞。

对应图3中的Setup.KTA步骤，具体的，Setup.KTA步骤的实现过程为：

1.以k作为输入，随机选择素数p(p≥2^η)，生成椭圆曲线E，并选择Gp和P；

2.随机选择一个整数

作为主密钥，并计算系统的公钥P_pub＝SP。

3.选择3个安全散列函数：

5.params＝＜p,F_p,E,G_p,P,P_pub,E_k,D_k,H₀,H₁,H₂,H₃＞

其中k为安全参数，η为长整数，E为在有限域Fp上定义的椭圆曲线，在E上选择加性循环群Gp，P是Gp的生成器。E_k为对称加密函数，D_k为对应的解密函数。

通过物联网终端用户根据所述公共参数生成物联网终端用户的ID、私密值和私密值参数；具体包括：随机选取第二整数作为物联网终端用户的私密值；根据所述公共参数中的生成器P和所述私密值，利用公式V_i＝v_iP，计算物联网终端用户的私密值参数；其中，v_i和V_i分别表示第i个物联网终端用户的私密值和私密值参数。

对应图3中的Setup.user步骤，具体的，步骤Setup.user的实现过程为：

1.随机选择整数

2.计算V_i＝v_iP；

其中v_i为用户ID_i的私密值，V_i为其私密值参数。计算完成后通过公共安全信道将ID_i和V_i传送给KTA和边缘节点，自己保存v_i。

通过密钥生成机制根据物联网终端用户的ID、私密值参数、公共参数和主密钥，计算物联网终端用户的部分私钥和部分公钥；具体包括：随机选取第三整数；根据物联网终端用户的ID和私密值参数、第三整数和公共参数，利用公式Pp_i＝H₀(ID_i,V_i)P+d_iP，计算物联网终端用户的部分公钥；其中，ID_i、V_i、d_i和Pp_i分别表示第i个物联网终端用户的ID、私密值参数、第三整数和部分公钥，P和H₀分别表示公共参数中的生成器P和第一安全散列函数；根据物联网终端用户的ID、私密值参数、第三整数、主密钥和公共参数，利用公式Ps_i＝H₀(ID_i,V_i)+(S+d_i)(modp)，计算物联网终端用户的部分私钥；其中，S和p分别表示主密钥和公共参数中的第二素数；Ps_i表示第i个物联网终端用户的部分私钥。

KTA从用户接收到ID_i和V_i后，执行以下算法，来得到用户的部分私钥Ps_i和部分公钥Pp_i，并将Ps_i、Pp_i通过安全信道传输给边缘节点。对应图3中的KeyGen.KTA步骤，具体的，步骤KeyGen.KTA的实现过程为：

1.随机选择整数

2.计算Pp_i＝H₀(ID_i,V_i)P+d_iP；

3.计算Ps_i＝H₀(ID_i,V_i)+(S+d_i)(modp)；

通过边缘节点根据物联网终端用户的ID、私密值参数、部分私钥、部分公钥和公共参数生成物联网终端用户的公钥；具体包括：根据物联网终端用户的部分公钥、部分私钥和公共参数，判断方程Ps_iP＝Pp_i+P_pub是否成立，得到第一判断结果；其中，Ps_i和Pp_i分别表示第i个物联网终端用户的部分私钥和部分公钥；P和P_pub分别表示公共参数中的生成器和系统公钥；若所述第一判断结果表示成立，则利用公式PK_i＝Pp_i+H₁(ID_i,V_i,d_i)V_i，计算物联网终端用户的公钥；其中，PK_i、ID_i、V_i和d_i分别表示第i个物联网终端用户的公钥、ID、私密值参数和第三整数；H₁表示公共参数中的第二安全散列函数。

边缘节点执行KeyGen.edge算法，以获得用户公钥PK_i，并保存，对应图3中的KeyGen.edge步骤，具体的，步骤KeyGen.edge的实现过程为：

1.检查方程Ps_iP＝Pp_i+P_pub。

若成立执行2，若不成立拒绝部分私钥Ps_i和部分公钥Pp_i。

2.计算PK_i＝Pp_i+H₁(ID_i,V_i,d_i)V_i。

证明：方程Ps_iP＝Pp_i+P_pub的建立保证了用户部分私钥验证的正确性，方程的推导过程如下：

Ps_iP＝(H₀(ID_i,V_i)+s+d_i)P

＝H₀(ID_i,V_i)P+d_iP+sP

＝Pp_i+P_pub

通过以上推导，可得Ps_iP＝Pp_i+P_pub成立。结果表明，密钥提取算法对用户部分私钥的验证是正确的。

通过物联网终端用户根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，生成物联网终端用户的私钥；具体包括：

根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，利用公式SK_i＝H₀(ID_i,PK_i)(Ps_i+H₁(ID_i,V_i,d_i)v_i)(modp)生成物联网终端用户的私钥；其中，SK_i、ID_i、PK_i、Ps_i、V_i、d_i和v_i分别表示第i个物联网终端用户的私钥、ID、公钥、部分私钥、私密值参数、第三参数和私密值；H₀、H₁和p分别表示公共参数的第一安全散列函数、第二安全散列函数和第二素数。

对应图3中的Computing secret key步骤，具体的步骤Computing secret key的实现过程为：用户计算SK_i＝H₀(ID_i,PK_i)(Ps_i+H₁(ID_i,V_i,d_i)v_i)(modp)作为私钥，并保存

如图3所示，本发明还提供一种物联网数据传输系统的数据传输方法，所述数据传输方法包括如下步骤：

物联网终端用户通过边缘节点向物联网数据所有者发送数据访问请求，所述数据访问请求包括访问的物联网终端用户的ID；(对应图3中的access request)。

物联网数据所有者从通过边缘节点获取请求访问的物联网终端用户的公钥，并根据请求访问的物联网终端用户的ID、公钥和公共参数，利用加密算法对用户请求访问的明文进行加密，获得密文，利用公共参数中的加密函数生成密文验证信息，并将密文和密文验证信息发送给边缘节点；对应图3中的Sign-cryption步骤，步骤Sign-cryption的具体实现过程为：

1.计算Q_i＝PK_i+P_pub，其中i＝1,2,…n；

2.随机选择整数

计算W＝wP，F_i＝wH₀(ID_i,PK_i)Q_i和α_i＝H₁(ID_i,F_i,W)，其中i＝1,2,…n；

3.随机选择

计算多项式

4.计算k＝H₂(ζ)，h＝H₃(M||ID_r,ζ,a₀,a₁,…,a_n-1,W)；

5.计算h^-1使其满足hh^-1≡1modp，计算z＝h^-1(SK_r+w)(modp)；

6.密文为T＝＜ID_r,W,M,z,h,a₀,a₁,…a_n-1＞；

7.计算B＝H₀(ID_r,PK_r)W,J＝Ek(T),

8.计算密文验证信息V＝＜ID_r,C＞。

边缘节点根据密文验证信息利用公共参数中的解密函数对所述密文验证信息进行验证，并将验证通过的密文通过核心云平台发送给物联网终端用户；密文验证后的信息的生成过程对应图3中的Verify步骤，步骤Verify的具体实现过程为：

1.计算B＝H₀(ID_r,PK_r)W,

2.计算

3.计算T'＝D_k(J').

邻近边缘节点EN_a运行步骤Verify，通过云平台发送T'给终端用户的相邻边缘节点。

物联网终端用户利用物联网终端用户的私钥和公共参数，利用解密算法对应的解密函数，对所述验证后的密文进行解密，获得明文。解密算法对应图3中的De-cryption步骤，物联网终端用户从边缘节点获取密文T＝＜ID_r,W,M,z,h,a₀,a₁,…a_n-1＞和T'，然后验证T'＝T是否正确。如果不正确，输出终止符"⊥"。若正确，每个终端用户都可以用自己的私钥SK_i和系统公共参数Params解密密文T，步骤De-cryption具体过程如下：

1.计算F_i＝SK_iW，α_i＝H₁(ID_i,F_i,W)；

2.计算f(x)＝a₀+a₁x+…+a_n-1x^n-1+xⁿ和ξ＝f(α_i)；

3.计算k＝H₂(ξ)；

4.计算h'＝H₃(M||ID_r,ξ,a₀,a₁,…a_n-1,W)，

5.检查h'＝h是否成立。若成立执行第6步，否则拒绝接收M并退出签密过程；

6.获取PK_r并判断hzP＝H₀(ID_r,PK_r)(PK_r+P_pub)+W是否成立。

7.若成立，则接收明文M并退出签密过程。否则拒绝接收M并退出签密过程；

其中PK_r为数据所有者r的公钥。

证明：通过h'＝h和hzP＝H₀(ID_r,PK_r)(PK_r+P_pub)+W保证了解密算法的正确性，这两个方程的推导过程如下：

1)对于每个终端用户R_i，利用密文T，都有F_i＝SK_iW和α_i＝H₁(ID_i,F_i,W)。然后利用α_i，可计算ξ＝f(α_i)，然后得k＝H₂(ξ)。最后使得h'＝H₃(M||ID_S,ξ,a₀,a₁,…a_n-1,W)。故h'＝h成立。

2)当解密数据所有者的身份ID_r时，终端用户可以获得数据所有者的公钥并拥有

hzP＝hh^-1(SK_r+w)P

＝SK_rP+W

＝H₀(ID_r,PK_r)(Ps_r+H₁(ID_r,V_r,d_j)v_r)P+W

＝H₀(ID_r,PK_r)(Pp_r+H₁(ID_r,V_r,d_j)V_r+P_pub)+W

＝H₀(ID_r,PK_r)(PK_r+P_pub)+W

即h_zP＝H₁(ID_r,PK_r)(PK_r+P_pub)+W成立。

通过1)和2)的推导过程可得h'＝h和h_zP＝H₀(ID_r,PK_r)(PK_r+P_pub)+W成立。结果表明解密算法是正确的。

本发明还对本发明提出的一种物联网数据传输系统及其密钥生成方法和数据传输方法的安全性进行了分析，具体如下：

根据安全模型，对本发明所提出的方案的具体安全性证明具体过程为：在定理1中，本发明将证明所提出的方案可以实现SUF-CLMS-CPA-I/2安全性。在定理2中，本发明将证明所提出的方案可以实现IND-CLMS-CCA-I/2安全性。

定理1：SUF-CLMS-CPA-1/2。在SUF-CLMS-CPA下，如果有一个对手A1/A2可以在多项式运行时间τ中以不可忽略的概率优势赢得定义3中的博弈。则挑战者B可以通过与对手AI在时间τ'≤τ+(2q_key+2q_ES)O(τ_s)内(与对手AII在时间τ'≤τ+(3q_key+2q_ES)O(τ_s))相互作用来解决CDH，具有不可忽略的概率优势ε'≥(ε-q_ES/2^k)/2，其中τ_s是椭圆曲线标量点的时间乘法运算，q_key是密钥查询的时间，q_ES是签密查询的时间，q_DE是密钥查询的时间，q_H是哈希查询的时间(H＝0,1,2,3)。

证明：假设对手AI/A2可以以不可忽略的概率优势攻击SUF-CLMS-CPA安全性,并在随机预言模型下向挑战者B询问一系列查询。给定一组元素＜P,aP,bP＞，挑战者B通过在时间有界多项式内与对手A1/A2进行交互来计算abP来解决CDH。攻击者B和对手AI/A2之间的相互作用如下所示：

(1)设置阶段：

对于A1攻击者：B运行此算法生成主密钥

和系统的公共参数params＝＜p,F_p,E,G_p,P,P_pub＝aP,H₀,H₁,H₂,H₃＞，然后将Params发送给A1的同时在私密保存S。在接收Params后，A1输出一组目标身份L＝{ID₁,ID₂,…ID_n}，其中n表示正整数。

对于A2攻击者：B运行此算法生成主密钥

和系统的公共参数params＝＜p,F_p,E,G_p,P,P_pub＝aP,H₀,H₁,H₂,H₃＞，

然后将Params和S发送到A2。在接收到Params和S时，AII输出一组目标身份L＝{ID₁,ID₂,…ID_n}，其中n表示正整数。

应该注意的是，H0，H1，H2和H3是由B控制的随机预言模型，A1/A2和B之间的随机预言模型相互作用如下所示：

1)H0哈希查询：使用元组＜ID_j,V_j＞和＜ID_j,PK_j＞作为输入，AI/A2要求B进行H0哈希查询。在接收到查询时，B检查元组＜ID_j,V_j,μ_j＞和＜ID_j,PK_j,δ_j＞是否在列表L0中。如果是，则B将μ_j和δ_j返回给A1/A2。否则，B随机选择一个整数

并将其返回给A1/A2。同时，B更新列表L0中的元组＜ID_j,V_j,μ_j＞和＜ID_j,PK_j,δ_j＞。

2)H1哈希查询：使用元组和＜ID_j,V_j,d_i＞和＜ID_j,F_j,W_j＞作为输入，A1/A2要求B进行H1哈希查询。在接收到查询时，B检查元组＜ID_j,V_j,d_i,θ_j＞和＜ID_j,F_j,W_j,α_j＞是否在列表L1中。如果是，则B将θ_j和α_j返回A1/A2。否则，B随机选择两个整数

并将它们返回给A1/A2。同时，B更新列表L1中的元组＜ID_j,V_j,d_i,θ_j＞和＜ID_j,F_j,W_j,α_j＞。

3)H2哈希查询：使用元组＜ζ_j＞作为输入，A1/A2要求B进行H1哈希查询。在接收到查询时，B检查元组＜ζ_j,k_j＞是否在列表L2中。如果是，则B将k_j返回A1/A2。否则，B随机选择两个整数

并将它们返回给A1/A2。同时，B更新列表L2中的元组＜ζ_j,k_j＞。

4)H3哈希查询：使用元组＜M_j||ID_S,ζ_j,a_j,0,a_j,1,…a_j,n-1,W_j＞作为输入，AI/A2要求B进行H2哈希查询。在接收到查询时，B检查元组＜M_j||ID_S,ζ_j,a_j,0,a_j,1,…a_j,n-1,W_j,h_j＞在列表L3中。如果是，B将h_j返回A1/A2。否则，B随机选择一个整数

并将其返回给A1/A2。同时，B更新列表L3中的元组＜M_j||ID_S,ζ_j,a_j,0,a_j,1,…a_j,n-1,W_j,h_j＞。

(2)查询阶段：A1/A2要求B进行一系列自适应查询，B响应如下：

1)密钥查询：

对于A1攻击者：B检查元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞是否在列表LC中。如果是，B保留元组。否则，B执行如下：

a)如果ID_j＝ID_i，其中i＝1,2,…,n，B随机选择两个整数

设置V_j＝v_jP和SK_j←⊥，计算Pp_j＝H₀(ID_i,V_i)P+d_iP和PK_j＝Pp_j+H₁(ID_j,V_j,d_j)V_j，然后更新列表LC中的元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞。

b)如果ID_j≠ID_i，i＝1,2,…,n，B随机选择两个整数

设置V_j＝v_jP，计算Pp_j＝Ps_jP-P_pub，PK_j＝Pp_j+H₁(ID_j,V_j,d_j)V_j和SK_j＝H₀(ID_j,PK_j)(Ps_j+H₁(ID_j,V_j,d_j)v_j(modp)，然后更新列表LC中的元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞。

对于A2攻击者：B检查元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞是否在列表LC中。如果是，B保留元组。否则，B执行如下：

a)如果ID_j＝ID_i，i＝1,2,…,n，B随机选择两个整数

计算Ps_j＝H₀(ID_i,V_i)+(S+d_i)(mod p)和PK_j＝H₀(ID_j,V_j)P+d_jP+H₀(ID_j,V_j,d_j)V_j，然后更新列表LC中的元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞，其中V_j＝v_jP和SK_j←⊥。

b)如果是ID_j≠ID_i，i＝1,2,…,n，B随机选择两个整数

并计算Ps_j＝H₀(ID_i,V_i)+(S+d_i)(modp)，PK_j＝H₀(ID_j,V_j)P+d_jP+H₀(ID_j,V_j,d_j)V_j，和SK_j＝H₀(ID_j,PK_j)(Ps_j+H₁(ID_j,V_j,d_j)v_j)(modp)，然后更新列表LC中的元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞，其中V_j＝v_jP。

2)私密值设置查询：A1/A2请求B对ID_j进行私密值设置查询。在接收到查询时，B检查元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞是否在列表LC中。如果是，则B将v_j返回给A1/A2。否则，B执行密钥查询以获得元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞，并将v_j返回给A1/A2。

3)部分私钥生成查询：A1/A2请求B对ID_j进行的ExtractPartial-Private-Key查询。收到查询后，B执行如下：

a)如果ID_j＝ID_i，i＝1,2,…,n，B向A1/A2返回“失败”。

b)如果是ID_j≠ID_i，i＝1,2,…,n，B检查元组＜ID_j,SK_j,PK_j,d_j,v_j,Ps_j＞是否在列表LC中。如果是，B将Ps_j返回A1/A2。否则，B执行密钥查询以获得元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞并Ps_j返回给A1/A2。

4)公钥生成查询：AI/A2要求B对ID_j进行Set-Public-Key查询。在接收到查询时，B检查元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞是否在列表LC中。如果是，B将PK_j返回A1/A2。否则，B执行密钥查询以获得元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞并将PK_j返回给A1/A2。

5)私钥生成查询：AI要求B对ID_j进行Set-Private-Key查询。收到查询后，B回复如下：

a)如果ID_j＝ID_i，i＝1,2,…,n，B向AI返回“失败”。

b)如果是ID_j≠ID_i，i＝1,2,…,n，B检查元组＜ID_j,SK_j,PK_j,d_j,v_j,Ps_j＞是否在列表LC中。如果是，则B将SK_j返回给A1。否则，B执行密钥查询以获得元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞并将SK_j返回给AI。

6)公钥替换查询：A1要求B利用PK'_j对ID_j进行的PublicKey-Replacement查询。在接收到查询时，B在列表LC中搜索元组＜ID_j,SK_j,PK_j,d_j,v_j,Ps_j＞并用PK'_j替换PK_j。然后，B更新列表LC中的元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞。注意：A2没有公钥替换查询。

7)签密查询：A1/A2要求B对明文M和身份信息ID_S进行上的Sign-cryption查询。收到查询后，B判断ID_S≠ID_i是否成立，i＝1,2,…,n。如果是，则B执行私钥生成查询以获得私钥SK_S，生成密文T，并将T返回给A1/A2。否则，B执行如下：

a)随机选择整数

并计算W＝wP，F_j＝wH₀(ID_j,PK_j)(PK_j+P_pub)和α_j＝H₁(ID_j,F_j,W)，j＝1,2,…,n；

b)随机选择整数

构造多项式

c)计算k＝H₂(ζ)和h＝H₃(M||ID_S,ζ,a₀,a₁,...a_n-1,W)；

d)随机选择整数

e)返回密文T＝＜ID_S,M,W,z,h,a₀,a₁,…a_n-1＞到A1/A2。

8)解密签名查询：A1/A2要求B对密文T进行解密签密查询。收到查询后，B随机选择一个身份信息ID_j，判断ID_j＝ID_i是否正确，i＝1,2,...,n。如果是，B将“失败”返回给A1/A2。否则，B执行如下：

a)在列表LC中搜索元组＜ID_j,SK_j,PK_j,v_j,Ps_j＞以获得SK_j，并计算F_j＝SK_jW和α_j＝H₁(ID_j,F_j,W)；

b)计算f(x)＝a₀+a₁x+…a_n-1x^n-1+xⁿ，并通过f(x)和α_j获得ζ；

c)计算k＝H₂(ζ)；

d)判断方程hzP＝H₀(ID_S,PK_S)(PK_S+P_pub)+W是否成立。如果是，B将M返回A1/A2。否则，B将“失败”返回给AI/A2。

(3)伪造阶段：A1/A2利用一组目标身份L＝{ID₁,ID₂,…ID_n}和明文M，伪造一个新的密文T*＝＜ID_i,M,W,z,h,a₀,a₁,…a_n-1＞，。如果等式h＝h'和hzP＝H₀(ID_S,PK_S)(PK_S+P_pub)+W成立，则密文T*被成功伪造。并且设置PK'_i＝b^-1PK_i和F_i＝b(PK'_i+P_pub)，B计算F_i＝PK_i+abP，并输出abP＝F_i-PK_i作为CDH的解决方案。否则，B输出“失败”。

通过上面的讨论，可以得出结论。

对于A1类攻击者：在qa签密查询期间，其成功的概率优势至少是ε_ES＝ε-q_ES/2^k。并且在伪造过程中，B计算abP的正确概率至少为ε_g＝1/2。因此，B通过与对手AI在运行时间τ'≤τ+(2q_key+2q_ES)O(τ_s)内，交互来解决CDH的概率优势是ε'≥ε_ESε_g＝(ε-q_ES/2^k)/2，其中τs是椭圆曲线标量点乘法运算的时间。

对于A2类攻击者：在qa签密查询期间，其成功的概率优势至少是ε_ES＝ε-q_ES/2^k。并且对于伪造过程，B计算abP的正确概率至少为ε_g＝1/2。因此，B通过与对手AII在运行时间τ'≤τ+(3q_key+2q_ES)O(τ_s)内τ交互，来解决CDH的概率优势是ε'≥ε_ESε_g＝(ε-q_ES/2^k)/2，其中τ_s是椭圆曲线标量点乘法运算的时间。

定理2：IND-CLMS-CCA-1/2。在IND-CLMS-CCA下，如果有一个对手A1/A2在多项式运行时间内以不可忽略的概率优势赢得定义4中的博弈，(AI/A2可以请求与定理1中相同的查询)，挑战者B可以与对手A1在时间τ'≤τ+(2q_key+3q_DE)O(τ_s)内进行交互来解决CDH(与对手A2在时间τ'≤τ+(3q_key+3q_DE)O(τ_s)上相互作用来解决CDH)，并且具有不可忽略的概率优势ε'≥(ε-q_DEq₃/2^k)/nq₁，其中τ_s是椭圆曲线标量点乘法运算的时间。

证明：假设对手AI/A2可以以不可忽略的概率优势攻击IND-CLMS-CCA安全性,并在随机预言模型下向挑战者B询问一系列查询。给定一组元素＜P,aP,bP＞，挑战者B通过在时间有界多项式内与对手A1/A2进行交互来计算abP来解决CDH。。攻击者B和对手A1/A2之间的交互如下所示：

(1)设置阶段：该步骤与定义1中的设置阶段相同。

(2)查询阶段：AI/A2要求B进行与定理1中的自适应查询相同，并作出响应。

(3)博弈阶段：

对于攻击者A1：AI随机选择一对长度相等的明文＜m₀,m₁＞，并将它们发送给B。收到＜m₀,m₁＞后，B随机选择β∈{0,1}并用选择的明文M_β生成密文T*，如下所示：

a)设置W_i＝bPK_i，F_i＝b(PK_i+P_pub)和α_i＝H₁(ID_i,F_i,W_i)，其中i＝1,2,...,n；

b)随机选择整数

并构造多项式

c)计算k＝H₂(ζ)和h*＝H₃(M_β||ID_S,ζ,a₀,a₁,...a_n-1,W_i)；

d)随机选择整数

e)返回密文T*＝＜ID_i,M,W_i,z,h,a₀,a₁,…a_n-1＞到A1。

注意：A1不能对T*执行解密签名查询，A1博弈中胜利的条件为：A1猜测β*＝β成立。若成立，则A1赢得游戏，B输出abP＝W_i-F_i作为CDH的解决方案。否则，B输出“失败”。

对于攻击者A2：AII随机选择一对长度相等的明文＜m₀,m₁＞，并将它们发送给B.收到＜m₀,m₁＞后，B随机选择β∈{0,1}并用选择的明文M_β生成密文T*，如下所示：

a)设置W_i＝b(PK_i+Y)，F_i＝b(PK_i+P_pub)和α_i＝H₁(ID_i,F_i,W_i)，其中Y＝K+P_pub和i＝1,2,...,n；

b)随机选择整数

并构造多项式

c)计算k＝H₂(ζ)和h*＝H₃(M_β||ID_S,ζ,a₀,a₁,...a_n-1,W_i)；d)随机选择整数

e)返回密文T*＝＜ID_i,M,W_i,z,h,a₀,a₁,…a_n-1＞到AII。

AII无法对T*执行解密签名查询。A2博弈胜利的条件是猜测β*＝β成立。若成立，则AII赢得游戏，B输出abP＝W_i-F_i作为CDH的解决方案。否则，B输出“失败”。

通过上面的讨论，可以得出结论。

对于A1：在解密查询期间，H3哈希可以提供有效的密文，所以一个有效的密文被拒绝的概率不大于q₃/2^k。由于A1在攻击过程中要求B进行qd解密查询，因此B成功解密密文的概率优势是ε_DE≥ε-q₃q_DE/2^k。在博弈过程中，H1哈希值满足CDH，因此B计算abP的正确概率至少为ε_g＝1/nq₁。因此，B与对手A1在运行时间τ'≤τ+(2q_key+3q_DE)O(τ_s)内的交互来解决CDH的概率优势为ε'≥ε_DEε_g≥(ε-q_DEq₃/2^k)/nq₁，其中τ_s椭圆曲线标量点乘法运算的时间。

对于A2：在解密查询期间，H2哈希可以提供有效的密文，因此拒绝有效密文的概率不大于q₃/2^k。由于AII在攻击过程中要求B进行qd解密查询，因此B成功解密密文的概率优势是ε_DE≥ε-q₃q_DE/2^k。并且在猜测过程中，H1哈希值满足CDH，因此B计算abP的正确概率至少为ε_g＝1/nq₁。因此，B可以通过与对手AII在运行时间τ'≤τ+(3q_key+3q_DE)O(τ_s)内，交互来解决CDH的概率优势为ε'≥ε_DEε_g≥(ε-q_DEq₃/2^k)/nq₁，其中τ_s是椭圆曲线标量点乘法运算的时间。

本发明还对本发明提出的方案与现有技术中的方案进行了比较，以说明本发明的技术效果。将本发明的技术方案与文献Islam S H,Khan M K,Al-Khouri AM.Anonymousand provably secure certificateless multireceiver encryption without bilinearpairing[J].Security and Communication Networks,2015,8(13):2214-2231中Islam等人的椭圆加密方案，文献He D,Wang H,Wang L,et al.Efficient certificatelessanonymous multi-receiver encryption scheme for mobile devices[J].SoftComputing,2016中He等人的椭圆加密方案，文献Selvi S S D,Vivek S S,Shukla D,etal.Efficient and Provably Secure Certificateless Multi-receiver Signcryption[C]//International Conference on Provable Security.Springer,Berlin,Heidelberg,2008中Selvi等人的双线性配对加密方案和文献Li F,Shirase M,TakagiT.Certificateless Hybrid Signcryption[C]//Proceedings of the 5thInternational Conference on Information Security Practice andExperience.Springer Berlin Heidelberg,2009中Hung等人的双线性配对加密方案进行对比。

A.效率比较

通过仿真实验测试出一些基本运算消耗的时间：T_p表双线性对运算耗费的时间；T_e表模幂运算耗费的时间；T_pe表双线性对指数运算；T_a点加运算耗费的时间；T_sm表标量点乘运算耗费时间；T_h是Hash函数映射到点(MTP)耗费的时间。实验环境是戴尔笔记本(i5-4200UCPU@1.60GHz 8GB内存Windows 7操作系统)，以上基本运算耗费的时间如表1所示。值得注意的是，本发明只考虑表1中定义的这些操作的时间，并且不考虑其他操作的时间，因为与表1中定义的操作相比，它们的运行时间可以忽略不计。

表1基本运算消耗的时间/ms

T<sub>p</sub>	T<sub>e</sub>	T<sub>pe</sub>	T<sub>sm</sub>	T<sub>h</sub>	T<sub>a</sub>
						12.019	34.068	9.045	6.032	6.720	0.023

表2显示了本发明的方案与Selvi等人的双线性配对加密方案、Hung等人的双线性配对加密方案、Islam等人的椭圆加密方案、He等人的椭圆加密方案的加密和解密阶段的效率比较。其中n为数据接收者的数量。由于系统设置、密钥生成阶段主要是在密钥信任机制(KTA)上进行的，并且这两个阶段的重点是其安全性，这在第五章已经讨论。故我们研究加密和解密阶段的效率。方案Selvi等人的双线性配对加密方案、Hung等人的双线性配对加密方案的无证书加密是基于双线性配对加密方案，Islam等人的椭圆加密方案、He等人的椭圆加密方案和本发明的方案是基于ECC中标量点乘法来进行加密解密操作的。从表2可以看出，本发明的方案效率比Selvi等人的双线性配对加密方案,Hung等人的双线性配对加密方案更有效，但低于Islam等人的椭圆加密方案,He等人的椭圆加密方案。原因是本发明的方案解密过程有验证消息来源的步骤，但方案Islam等人的椭圆加密方案,He等人的椭圆加密方案没有。

表2算法效率比较

B.功能比较

当本发明的数据接收者的数量n＝1时，本发明的方案与Selvi等人的双线性配对加密方案、Hung等人的双线性配对加密方案、Islam等人的椭圆加密方案、He等人的椭圆加密方案的比较如图4所示，通过图4可明显得出，本发明的方案比无证书的基于双线性加密的方案在加密阶段和解密阶段效率提升较大。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提出了一种物联网数据传输系统及其密钥生成方法和数据传输方法，本发明提出了将无双线性配对的无证书多接收机方案应用到边缘计算中，其中利用标量点乘法来提高计算效率。为保证密钥的安全性，利用密钥信任机制(KTA)和边缘节点、用户分别计算私钥和公钥，既保证了密钥的安全性，又减少了用户端的计算量，提高了传输效率。本发明提出了一种边缘计算中基于无双线性配对(Unbilinearpairwise encryption)UPE的加密方案，提高数据访问控制的安全性。并将部分加密、解密操作外包给KTA，减少终端用户的计算量；密钥生成由密钥信任机制、用户和边缘节点共同完成，保证了其安全性。

本说明书中等效实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，等效实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

Claims (9)

1.一种物联网数据传输系统，其特征在于，所述传输系统包括核心云平台、边缘节点、密钥信任机制、物联网终端用户、物联网数据所有者；

所述密钥信任机制用于根据物联网终端用户的ID和私密值参数生成部分私钥和部分公钥，并将所述部分私钥和部分公钥发送给边缘节点；

所述边缘节点用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台；

所述核心云平台用于存储所述公钥，并将所述公钥和所述部分私钥发送给所述物联网终端用户；

所述物联网终端用户用于根据所述公钥和所述部分私钥生成私钥；

所述物联网数据所有者用于根据物联网终端用户的请求从所述核心云平台获取请求的物联网终端用户的公钥，利用标量点乘法对用户请求访问的明文进行加密，生成密文，并将密文发送给所述边缘节点；

所述边缘节点还用于对所述密文进行验证，并将验证后的密文通过核心云平台发送给所述物联网终端用户；

所述物联网终端用户用于根据所述物联网终端用户的私钥对所述密文进行解密，获得明文。

2.根据权利要求1所述的物联网数据传输系统，其特征在于，所述边缘节点包括主边缘节点和相邻边缘节点；

所述主边缘节点用于根据所述部分私钥和所述部分公钥生成公钥，并将所述公钥和所述部分私钥发送给所述核心云平台；

所述相邻边缘节点用于对所述密文进行验证，并将验证后的密文通过核心云平台发送给所述物联网终端用户。

3.一种物联网数据传输系统的密钥生成方法，其特征在于，所述密钥生成方法包括如下步骤：

通过密钥信任机制生成公共参数和主密钥；

通过物联网终端用户根据所述公共参数生成物联网终端用户的ID、私密值和私密值参数；

通过密钥生成机制根据物联网终端用户的ID、私密值参数、公共参数和主密钥，计算物联网终端用户的部分私钥和部分公钥；

通过边缘节点根据物联网终端用户的ID、私密值参数、部分私钥、部分公钥和公共参数，生成物联网终端用户的公钥；

通过物联网终端用户根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，生成物联网终端用户的私钥。

4.根据权利要求3所述的物联网数据传输系统的密钥生成方法，其特征在于，所述通过密钥信任机制生成公共参数，具体包括：

随机生成第一素数k和与所述第一素数k互质的第二素数p；

生成有限域Fp上的椭圆曲线E；

在所述椭圆曲线E上选取加性循环群Gp；

在所述椭圆曲线E上采用椭圆加密ECC算法生成性循环群的生成器P；

利用所述生成器P在所述椭圆曲线E选取加性循环群Gp；

根据所述生成器，利用公式P_pub＝SP，计算系统公钥P_pub；其中，S为从整数集中随机选取的主密钥；

选取第一安全散列函数、第二安全散列函数、第三安全散列函数和第四安全散列函数；

建立包括第二素数p、有限域Fp、椭圆曲线E、加性循环群Gp、生成器P、系统公钥P_pub、无双线性配对加密算法的对称加密函数E_k、对称加密函数对应的解密函数D_k、第一安全散列函数H₀、第二安全散列函数H₁、第三安全散列函数H₂和第四安全散列函数H₃的公共参数：params＝＜p,F_p,E,G_p,P,P_pub,E_k,D_k,H₀,H₁,H₂,H₃＞。

5.根据权利要求3所述的物联网数据传输系统的密钥生成方法，其特征在于，所述通过物联网终端用户根据所述公共参数生成物联网终端用户的ID、私密值和私密值参数，具体包括：

随机选取第二整数作为物联网终端用户的私密值；

根据所述公共参数中的生成器P和所述私密值，利用公式V_i＝v_iP，计算物联网终端用户的私密值参数；其中，v_i和V_i分别表示第i个物联网终端用户的私密值和私密值参数。

6.根据权利要求3所述的物联网数据传输系统的密钥生成方法，其特征在于，所述通过密钥生成机制根据物联网终端用户的ID、私密值参数、公共参数和主密钥，计算物联网终端用户的部分私钥和部分公钥，具体包括：

随机选取第三整数；

根据物联网终端用户的ID和私密值参数、第三整数和公共参数，利用公式Pp_i＝H₀(ID_i,V_i)P+d_iP，计算物联网终端用户的部分公钥；其中，ID_i、V_i、d_i和Pp_i分别表示第i个物联网终端用户的ID、私密值参数、第三整数和部分公钥，P和H₀分别表示公共参数中的生成器P和第一安全散列函数；

根据物联网终端用户的ID、私密值参数、第三整数、主密钥和公共参数，利用公式Ps_i＝H₀(ID_i,V_i)+(S+d_i)(mod p)，计算物联网终端用户的部分私钥；其中，S和p分别表示主密钥和公共参数中的第二素数；Ps_i表示第i个物联网终端用户的部分私钥。

7.根据权利要求3所述的物联网数据传输系统的密钥生成方法，其特征在于，所述通过边缘节点根据物联网终端用户的ID、私密值参数、部分私钥、部分公钥和公共参数，生成物联网终端用户的公钥，具体包括：

根据物联网终端用户的部分公钥、部分私钥和公共参数，判断方程Ps_iP＝Pp_i+P_pub是否成立，得到第一判断结果；其中，Ps_i和Pp_i分别表示第i个物联网终端用户的部分私钥和部分公钥；P和P_pub分别表示公共参数中的生成器和系统公钥。

若所述第一判断结果表示成立，则利用公式PK_i＝Pp_i+H₁(ID_i,V_i,d_i)V_i，计算物联网终端用户的公钥；其中，PK_i、ID_i、V_i和d_i分别表示第i个物联网终端用户的公钥、ID、私密值参数和第三整数；H₁表示公共参数中的第二安全散列函数。

8.根据权利要求3所述的物联网数据传输系统的密钥生成方法，其特征在于，所述通过物联网终端用户根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，生成物联网终端用户的私钥，具体包括：

根据所述物联网终端用户的ID、私密值、私密值参数、公共参数、公钥和部分私钥，利用公式SK_i＝H₀(ID_i,PK_i)(Ps_i+H₁(ID_i,V_i,d_i)v_i)(mod p)生成物联网终端用户的私钥；其中，SK_i、ID_i、PK_i、Ps_i、V_i、d_i和v_i分别表示第i个物联网终端用户的私钥、ID、公钥、部分私钥、私密值参数、第三参数和私密值；H₀、H₁和p分别表示公共参数的第一安全散列函数、第二安全散列函数和第二素数。

9.一种物联网数据传输系统的数据传输方法，其特征在于，所述数据传输方法包括如下步骤：

物联网终端用户通过边缘节点向物联网数据所有者发送数据访问请求，所述数据访问请求包括访问的物联网终端用户的ID；

物联网数据所有者从通过边缘节点获取请求访问的物联网终端用户的公钥，并根据请求访问的物联网终端用户的ID、公钥和公共参数，利用加密算法对用户请求访问的明文进行加密，获得密文，利用公共参数中的加密函数生成密文验证信息，并将密文和密文验证信息发送给边缘节点；

边缘节点根据密文验证信息利用公共参数中的解密函数对所述密文验证信息进行验证，并将验证通过的密文通过核心云平台发送给物联网终端用户；

物联网终端用户利用物联网终端用户的私钥和公共参数，利用解密算法对应的解密函数，对所述验证后的密文进行解密，获得明文。

Images