闕夢菲 張俊偉 楊 超 楊 力 馬建峰 崔文璇

(西安電子科技大學網(wǎng)絡與信息安全學院 西安 710071) (jwzhang@xidian.edu.cn)

物聯(lián)網(wǎng)是新一代信息技術的重要組成部分,它通過傳感設備按照約定的協(xié)議把各種網(wǎng)絡連接起來進行信息交換,以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理[1-2].隨著物聯(lián)網(wǎng)應用越發(fā)普及,其安全問題也受到越來越多研究者的關注.文獻[3]中討論了物聯(lián)網(wǎng)主要應用場景(智能家居、智能醫(yī)療、車聯(lián)網(wǎng)、智能電網(wǎng)、工業(yè)與公共基礎設施)中的隱私保護、入侵檢測等安全問題.在物聯(lián)網(wǎng)中,成千上萬的物聯(lián)網(wǎng)設備無時無刻不在產生大量的數(shù)據(jù).因此,保障物聯(lián)網(wǎng)設備與數(shù)據(jù)安全成為了重中之重[4].

在很多物聯(lián)網(wǎng)應用中,節(jié)點采集的信息和節(jié)點本身位置信息是密切相關的.因此,“物”的位置信息將在物聯(lián)網(wǎng)發(fā)展和應用中占據(jù)重要地位.只有結合節(jié)點自身位置,才能進一步獲得“在什么位置發(fā)生了特定事件”[5].因此,物聯(lián)網(wǎng)定位[6]與節(jié)點位置感知[7]是物聯(lián)網(wǎng)研究的主要課題之一；而隨著基于位置服務(location-based service, LBS)[8]大規(guī)模的部署,也產生了越來越多具有時空屬性的移動數(shù)據(jù)[9];在許多應用中,如智能運輸系統(tǒng)中,研究者收集流動的汽車數(shù)據(jù)(跟蹤交通工具的位置),可以用于挖掘交通模式,使用這些數(shù)據(jù)進行交通擁塞控制[10];環(huán)境監(jiān)測系統(tǒng)中,使用無人機進行定點傳感器數(shù)據(jù)收集(溫度、濕度、壓力、火警等),可以實現(xiàn)對定點的環(huán)境探測[11].然而,對于這些時空敏感的數(shù)據(jù),安全問題成為了一個至關重要且急需解決的問題.

物聯(lián)網(wǎng)中時空敏感的數(shù)據(jù)面臨3個挑戰(zhàn):

1) 傳統(tǒng)網(wǎng)絡中的攻擊依然存在.物聯(lián)網(wǎng)同樣面臨已有網(wǎng)絡的各種攻擊,攻擊者可以篡改數(shù)據(jù)信息.同時,感知設備的系統(tǒng)可能存在漏洞和安全缺陷,攻擊者可以對系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行攻擊.這會導致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產生,造成消息篡改、偽造數(shù)據(jù)等攻擊.然而,物聯(lián)網(wǎng)中的海量感知設備通常性能受限,使用傳統(tǒng)公鑰數(shù)字簽名解決消息篡改問題的方案計算效率較低,不適用于物聯(lián)網(wǎng)中資源受限的感知設備.

2) 時空敏感數(shù)據(jù)的數(shù)據(jù)源位置及數(shù)據(jù)生成時間偽造.對于時空敏感的數(shù)據(jù),必須確保消息來源的地理位置以及消息產生時刻的正確性,才能進行下一步的應對工作.然而,在物聯(lián)網(wǎng)中,設備和網(wǎng)絡面臨各種惡意或非惡意攻擊,而且,海量物聯(lián)網(wǎng)設備自身可靠性難以保障.如果由于攻擊或者故障,造成數(shù)據(jù)源位置和數(shù)據(jù)生成時間的錯誤(如位置錯誤的火警信息),有可能會造成經(jīng)濟損失、社會災難等嚴重后果.然而現(xiàn)在還缺少對物聯(lián)網(wǎng)中數(shù)據(jù)源位置及時間驗證的有效方案.

3) 海量感知設備的密鑰管理困難.在傳統(tǒng)密碼學中,通信雙方進行身份和數(shù)據(jù)認證有2種主流方法:1)使用預共享密鑰,這需要雙方預共享一個對稱密鑰,只有通信雙方持有密鑰,才能夠進行身份和數(shù)據(jù)認證.對于海量感知設備,基于預共享的密鑰管理機制導致密鑰空間爆炸,無法滿足大規(guī)模應用.2)使用非對稱密鑰,這要求發(fā)送方持有有效的公鑰證書證明自己公私鑰的正確性，這必然會引入公鑰基礎設施;同時,管理海量設備的證書也會帶來大量開銷.然而由于物聯(lián)網(wǎng)中存在海量的感知層設備,同時產生海量的數(shù)據(jù),無論使用第1種的預共享密鑰方案,或是第2種的公鑰證書方案,都將帶來密鑰管理復雜低效的問題.

傳統(tǒng)的數(shù)字簽名中發(fā)送方以其私鑰簽名數(shù)據(jù),接收方用對應的公鑰解密來驗證簽名的真實性[12].其目的是使簽名者對數(shù)據(jù)進行簽名并且無法否認,任何人無法偽造簽名.主要的應用包括:發(fā)送者的身份認證、保證信息傳輸?shù)耐暾?、防止交易中的抵賴發(fā)生等.數(shù)字簽名經(jīng)過人們幾十年的探索,研究出了許多不同的方案,如無證書簽密[13]、可修訂數(shù)字簽名[14]、屬性簽名[15]等.盡管數(shù)字簽名方案可以解決網(wǎng)絡中消息篡改問題,但是對于數(shù)據(jù)源位置及數(shù)據(jù)生成時間偽造和物聯(lián)網(wǎng)中海量數(shù)據(jù)驗證的密鑰管理問題仍然無法有效解決.

在這之前,Liu和Ning針對無線傳感器網(wǎng)絡提出了一個基于位置的密鑰預分發(fā)方案[16]；Yang和Xiao應用基于網(wǎng)格多項式的密鑰建立來解決無線傳感網(wǎng)絡的安全問題[17]；Huang等人針對無線傳感網(wǎng)絡提出了一種基于位置的密鑰管理方案[18]；Younis等人則提出了一種基于位置的分布式密鑰管理方案[19]；Zhang等人結合用戶身份和地理位置得出基于位置密鑰,并提出了一種基于位置的安全機制[20]；2009年Chandran等人在歐密會上提出位置密碼學[21]，它將參與方的地理位置作為身份的憑據(jù)；在BRM(bounded retrieval model)[22]或BSM(bounded storage model)[23]模型下,實現(xiàn)了可證明安全的安全定位協(xié)議(secure position, SP)[21]和基于位置的密鑰交換協(xié)議(position-based key exchange, PbKE)[24].安全定位協(xié)議本質上是位置驗證協(xié)議,即驗證者能夠對證明者所處的地理位置進行驗證;而密鑰交換協(xié)議能夠在驗證者與處在期望位置的證明者之間完成密鑰交換.基于位置密碼學提出后,一些量子計算環(huán)境下基于位置的密碼協(xié)議也隨之出現(xiàn)[25-26].

薛慶水等人提出了基于位置的數(shù)字簽名協(xié)議[27]和基于位置的代理簽密協(xié)議[28],使用安全定位協(xié)議構造基于位置的數(shù)字簽名.然而,薛的方案未考慮移動設備使用時的動態(tài)情況,無法實現(xiàn)密鑰與用戶位置的動態(tài)綁定.當簽名者位置發(fā)生變化后,簽名者仍可使用過期的密鑰生成簽名,無法滿足基于位置數(shù)字簽名的安全需求.

針對以上情況,本文提出了面向物聯(lián)網(wǎng)設備的基于位置數(shù)字簽名方案,在此方案中數(shù)據(jù)發(fā)送方使用其位置為唯一憑證對數(shù)據(jù)進行簽名,而不在該位置的用戶無法偽造簽名.該方案既考慮簽名者的位置,同時在時間方面進行嚴格約束,能夠同時滿足靜態(tài)環(huán)境和動態(tài)環(huán)境下簽名的不可偽造性,實現(xiàn)針對某個時刻處于某個位置的安全數(shù)字簽名.同時該方案能夠防止敵手篡改數(shù)據(jù),并且在敵手共謀攻擊的環(huán)境下滿足協(xié)議的可證明安全.

本文主要貢獻有3個方面:

1) 防止網(wǎng)絡中攻擊者篡改數(shù)據(jù)信息.本文方案采用計算高效的一次簽名,能夠防止攻擊者對消息進行篡改偽造,也適用于能量受限的感知設備.

2) 防止時空敏感數(shù)據(jù)的數(shù)據(jù)源位置及數(shù)據(jù)生成時間的偽造.本文方案中數(shù)字簽名使用的公私鑰對的生成與數(shù)據(jù)發(fā)送方的地理位置和數(shù)據(jù)生成時間是緊耦合關系,驗證簽名的同時也對數(shù)據(jù)發(fā)送方的地理位置和數(shù)據(jù)生成時間進行了驗證,這在時空敏感的物聯(lián)網(wǎng)應用(如火警系統(tǒng)和實時交通系統(tǒng))中尤為重要.

3) 感知層的設備無需密鑰管理.本文方案采用PbKE協(xié)議,使得只有在期望位置的發(fā)送者才能夠計算出公私鑰對,即公私鑰對是基于發(fā)送方位置和時間信息而動態(tài)產生的,設備無需預置的密鑰,避免了面向海量感知設備的密鑰管理,適合大規(guī)模物聯(lián)網(wǎng)的應用.

1 預備知識

1.1 有界存儲模型和有界檢索模型

1) 有界存儲模型(bounded storage model, BSM).BSM模型假設任意的參與方(包括敵手)能夠存儲的信息量存在一個上限.假定存在一個擁有很高最小熵(min-entropy)的信息串,若檢索函數(shù)的輸出長度未超過敵手能夠存儲的上限,則敵手就能夠通過這個檢索函數(shù)來檢索這個信息串,并且存儲檢索結果.

2) 有界檢索模型(bounded retrieval model, BRM).BRM模型假定所有驗證者能夠廣播具有高最小熵的信息串,然而敵手只能提取這個信息串的一部分.在基于位置密碼學中將出現(xiàn)這種情況:當這些信息快速經(jīng)過敵手時,敵手只能夠存取信息中有限的一部分.BRM模型具有2個性質:

① 驗證者具有能夠生成高最小熵信息串的反向塊熵源.這意味著驗證者自身能夠生成并且發(fā)送具有高最小熵的信息串.

② 當這些信息串快速經(jīng)過敵手時,敵手能夠提取的信息量存在一個提取上限,設為βn.βn可以是最小熵(δ+β)n的任意部分,當且僅當檢索函數(shù)的輸出長度不超過βn,敵手就可以使用這個檢索函數(shù)來檢索信息串.

1.2 BSM偽隨機生成器

根據(jù)(ε,φ)-安全的BSM PRG的定義可知,對于任意算法F,給定A(X)和K,算法F(A(X))能正確計算出G(X,K)的最大概率為ε+2-φ.在安全參數(shù)為k的情況下,如果r≥(2δ)klbn,那么ε+2-φ是可忽略的.

1.3 偽隨機函數(shù)

定義2. 函數(shù)PRF[29]:{0,1}c×{0,1}R→{0,1}L是偽隨機函數(shù),當且僅當對于任意概率多項式時間(probabilistic polynomial-time, PPT)的區(qū)分器D,存在一個可忽略的函數(shù)negl,使得:

Pr[DFk(·)(1n)=1]-
Pr[Dfn(·)(1n)=1]≤negl(n),

其中,k從{0,1}n中隨機選擇,fn從輸入輸出長度均為n位的函數(shù)集合中隨機選擇.

2 基于位置數(shù)字簽名

根據(jù)數(shù)據(jù)發(fā)送方運動模式的不同,可將發(fā)送方分為靜態(tài)發(fā)送方和動態(tài)發(fā)送方.根據(jù)2種不同的運動模式,本節(jié)將分別給出2個安全定義.

2.1 符號說明

m:發(fā)送的消息;

p:發(fā)送方位置;

sk:p點私鑰；

pk:p點公鑰;

T:地標(landmark)對發(fā)送方位置進行驗證的時刻,即協(xié)議里面X相交的時刻;

σ:發(fā)送方對消息m的簽名;

v′:消息的傳播速度;

ti:無線電波從地標Li到達p點所需要的時間;

安全參數(shù):w,q,l,k;

偽隨機生成器G:{0,1}n×{0,1}r→{0,1}y;

偽隨機函數(shù)F:{0,1}c×{0,1}R→{0,1}L;

單向Hash函數(shù)H:{0,1}w→{0,1}q;

單向函數(shù)f:{0,1}i→{0,1}i;

公開參數(shù):w,q,l,k,H,p,f.

2.2 基于位置數(shù)字簽名的系統(tǒng)模型

基于位置數(shù)字簽名方案如圖1所示.數(shù)據(jù)發(fā)送方向地標(對于3維空間,至少需要4個地標,即L1,L2,L3,L4)證明自己所在的位置,獲得由位置產生的公私鑰對.獲取之后立即簽名消息,并將消息與簽名發(fā)送給地標L1,地標驗證接收時間,若符合要求,則地標對消息摘要、發(fā)送方公鑰、發(fā)送方位置、數(shù)據(jù)生成時刻等進行簽名,形成臨時證書CertL(H(m),pk,p,T),使數(shù)據(jù)接收方能夠獲得位置相關的公鑰來驗證基于位置的數(shù)字簽名.

Fig. 1 Position based digital signature scheme圖1 基于位置數(shù)字簽名方案

2.3 靜態(tài)發(fā)送方基于位置數(shù)字簽名的安全定義

靜態(tài)發(fā)送方是指位置不發(fā)生變動的數(shù)據(jù)發(fā)送方.由于它的位置未發(fā)生改變,繼而由它的位置信息產生的密鑰也未改變.

2.3.1 算法結構

時間約束下的靜態(tài)基于位置數(shù)字簽名算法由密鑰生成算法generation、簽名生成算法signature、簽名驗證算法verification這3部分構成,即:

(s,v)←generation(p,1k),
σ←signature(s,m,p),
f←verification(m,σ,v,p).

靜態(tài)基于位置數(shù)字簽名的安全需求保證只有位于p點的發(fā)送方才能生成正確的簽名,且不在p點的攻擊者無法偽造位置p的簽名.

2.3.2 安全定義

定義3. 靜態(tài)適應性選擇消息攻擊的不可偽造性(static EU-CMA, S-EU-CMA)當時間約束下的靜態(tài)基于位置數(shù)字簽名算法generation,signature,verification滿足3個條件時,它滿足靜態(tài)簽名者適應性選擇消息的不可偽造性:

1) 完整性(completeness).對于來自合法位置的正確簽名(s,m,p),驗證簽名(m,σ,v,p)輸出的錯誤概率是可忽略的,即

Prob[verification(m,σ,v,p)=0;
(s,v)←generation(p,1k);
σ←signature(s,m,p)] <ε(k).

2) 一致性(consistency).對于任意消息m,簽名的公、私鑰由密鑰生成算法產生,則驗證簽名(m,σ,v,p)在2次獨立調用下會產生不同輸出的概率是可忽略的,即：

Prob[verification(m,σ,v,p)≠f;
(s,v)←generation(p,1k);
f←verification(m,σ,v,p)] <ε(k).

3) 靜態(tài)簽名者適應性選擇消息攻擊的不可偽造性(static existential unforgeability against chosen message attack, S-EU-CMA).對于任意概率多項式時間(probabilistic polynomial time, PPT)的敵手A,在獲得正確的簽名后,可以偽造一個不同的簽名(m′,σ′)的概率是可忽略的,即:

Prob[(m′,σ′)←Fsignature(s,m,p):
(s,v)←generation(p,1k);
m′≠m;verification(m′,σ′,v,p)=1]<ε(k).

2.4 動態(tài)發(fā)送方基于位置數(shù)字簽名的安全定義

動態(tài)發(fā)送方是指位置會發(fā)生變動的數(shù)據(jù)發(fā)送方.隨著時間的變動,發(fā)送方位置也會發(fā)生改變,當發(fā)送方從位置p移動到p′時,若仍使用定義3,將引發(fā)以下問題:發(fā)送方雖然已經(jīng)離開位置p,但它仍持有p點的公私鑰對,可以偽造成p點的發(fā)送方進行簽名.所以定義3并不能滿足動態(tài)條件下基于位置數(shù)字簽名的安全需求.

2.4.1 算法結構

時間約束下的動態(tài)基于位置數(shù)字簽名算法由密鑰生成算法generation、簽名生成算法signature、簽名驗證算法verification這3部分構成,即:

(s,v)←generation(p,T,1k),
σ←signature(s,m,p,T),
f←verification(m,σ,v,p,T).

時間約束下的動態(tài)基于位置數(shù)字簽名保證只有在時刻T位于位置p的數(shù)據(jù)發(fā)送方才能生成正確的簽名,且時刻T未在位置p攻擊者或者時刻T′位于位置p的數(shù)據(jù)發(fā)送方也無法偽造時刻T位于位置p的簽名.

2.4.2 安全定義

定義4. 動態(tài)適應性選擇消息攻擊的不可偽造性(dynamic EU-COMA, D-EU-COMA)當時間約束下的動態(tài)基于位置數(shù)字簽名算法generation,signature,verification滿足3個條件時,它滿足動態(tài)簽名者適應性選擇消息的不可為造性:

1) 完整性(completeness).對于來自合法位置的正確簽名(s,m,p,T),驗證簽名(m,σ,v,p,T)輸出是錯誤的概率可忽略,即:

Prob[verification(m,σ,v,p,T)=0;
(s,v)←generation(p,T,1k);
σ←signature(s,m,p,T)]<ε(k).

2) 一致性(consistency).對于任意消息m,簽名的公、私鑰由密鑰生成算法產生,則驗證簽名(m,σ,p)在2次獨立調用下會產生不同輸出的概率是可忽略的,即:

Prob[verification(m,σ,v,p,T)≠f;
(s,v)←generation(p,T,1k);
f←verification(m,σ,v,p,T)]<ε(k).

3) 動態(tài)適應性選擇消息攻擊的不可偽造性(dynamic existential unforgeability against chosen one message attack, D-EU-COMA):對于任意概率多項式時間(probabilistic polynomial time, PPT)的動態(tài)簽名者,當它的發(fā)生位置變動之后,可以偽造成原位置產生簽名(m′,σ′)正確的概率是可忽略的,即

Prob[(m′,σ′)←Fsignature(s,m,p,T):
(s,v)←generation(p,T,1k);m′≠m;
verification(m′,σ′,v′,p,T)=1] <ε(k).

顯然,文獻[27]中提出的方案只適用于靜態(tài)發(fā)送者,即滿足S-EU-CMA的定義,但不滿足D-EU-COMA的定義.

3 時間約束下基于位置數(shù)字簽名協(xié)議

本節(jié)在3維空間中設計了一個時間約束下基于位置的數(shù)字簽名協(xié)議.數(shù)據(jù)發(fā)送方聲稱的位置p封閉在由L1,L2,L3,L4這4個地標圍成的4面體中(對于3維空間,至少需要4個地標).G是一個(ε,φ)-安全的BSM偽隨機生成器,選擇合理的參數(shù),使得ε+2-φ是可忽略的.假定L1的公鑰為pkL,私鑰為skL.

時間約束下基于位置數(shù)字簽名協(xié)議具體過程如下:

1) 密鑰生成(generation(p,T,1k)→(s,v))

②Xi為BRM模型中具有高最小熵的隨機字符串,在協(xié)議執(zhí)行之前,L1生成隨機串X4;L2生成隨機串X1和X5;L3生成隨機串X2;L4生成隨機串X3.

③ 令L1在時刻T-t1廣播密鑰K1和X4;L2在時刻T-t2廣播X1和X5;同樣,L3在時刻T-t3廣播X2;并且L4在時刻T-t4廣播X3.

④ 在時刻T,位于p點的數(shù)據(jù)發(fā)送方同時接收到所有消息,它使用BSM偽隨機生成器計算得到K2=G(X1,K1),K3=G(X2,K2),K4=G(X3,K3),K5=G(X4,K4),K6=G(X5,K5).

⑤ 數(shù)據(jù)發(fā)送方和地標Li(1≤i≤4)利用偽隨機函數(shù)隨機產生t個l位長度的字符串k_secret=F(K6)=(s1,s2,…,st).令k_secret等于p點私鑰sk=(k,s1,s2,…,st).

⑥ 設f為單向函數(shù),地標Li(1≤i≤4)計算v1=f(s1),v2=f(s2),…,vi=f(si),將pk=(k,v1,v2,…,vt)作為p點的公鑰.

⑦ 輸出(s,v)作為時刻T位于p點的公私鑰對.

2) 簽名生成(signature(s,m,p,T)→σ)

① 數(shù)據(jù)發(fā)送方在時刻T發(fā)送消息m,設消息m為b位,m設為介于0和2b-1的整數(shù)值,首先令h=Hash(m),將m變成固定長度的字符串,長度為klbt.

② 把h均分成每份長度都為lbt的k個子字符串h1,h2,…,hk.將每份hj化為整數(shù)值ij,1≤j≤k.

③ 從私鑰sk=(k,s1,s2,…,st)中找出相對應的si j,即s的下標值與ij相等.構成k個數(shù)(si1,si2…,si k).

④ 輸出σ=(si1,si2…,si k)作為數(shù)據(jù)發(fā)送方對消息m的簽名.

⑤ 將消息的簽名附在消息之后,立即將(m,σ,p,T)發(fā)送給地標L1,L1驗證接收到(m,σ)的時間是否為T+|PL1|v′(|PL1|為p點到地標L1的距離,v′為消息的傳播速度),若接收時間符合要求,則地標L1用自己的私鑰skL對消息摘要、p點公鑰、p點位置信息、數(shù)據(jù)生成時刻T進行簽名,即CertL(H(m),pk,p,T),并廣播pk,p,T,CertL(H(m),pk,p,T),使數(shù)據(jù)接收方能夠使用pkL驗證該簽名,從而驗證在時刻T時p點公鑰v的正確性;反之,L1拒絕生成簽名CertL(H(m),pk,p,T),數(shù)據(jù)接收方無法通過L1的簽名驗證時刻T時p點的公鑰v的正確性.

3) 簽名驗證(verification(m,σ,v,p,T)→f)

① 數(shù)據(jù)接收方得到消息(m,σ,v,p,T),首先查找是否存在L1簽名的廣播消息pk,p,T,CertL(H(m),pk,p,T).若存在,使用L1的公鑰解密,得到p點公鑰pk；若不存在,則說明地標拒絕該簽名.

② 當數(shù)據(jù)接收方驗證公鑰pk的正確性后,令h=Hash(m),將m變成固定長度的字符串,長度為klbt.

③ 把h均分成每份長度都為lbt的k個子字符串h1,h2,…,hk.將每份hj化為整數(shù)值ij,1≤j≤k.

④ 從p點公鑰pk=(k,v1,v2,…,vt)中找出對應的vi j,即v的下標值與ij相等.構成k個數(shù)(vi1,vi2…,vi k).

在本方案中,BRM模型的使用方法如下:根據(jù)BRM模型的定義可知,隨機字符串Xi具有高最小熵,當這些信息串快速經(jīng)過敵手時,敵手能夠提取的信息量存在一個提取上限,設為βn.βn可以是最小熵(δ+β)n的任意部分.也就是說敵手無法全部存儲Xi,只能存儲每個字符串的一部分.本文方案在協(xié)議執(zhí)行前的初始階段,地標L1生成隨機串X4,地標L2生成隨機串X1和X5,地標L3生成隨機串X2,地標L4生成隨機串X3.當這些Xi經(jīng)過敵手時,敵手只能存儲Si,|Si|≤βn,所以敵手只能計算Ki+1=A(Si,Ki),其中A(·,·)是任意的敵手算法.而位于p點的數(shù)據(jù)發(fā)送方能同時接收到K1以及X1～X5,所以它能使用BSM偽隨機生成器計算得出Ki+1=PRG(Xi,Ki),進而得到正確密鑰.

4 安全性證明

定理1. 如果G是(ε,φ)-安全的BSM PRG,F是PRF,Xi(1≤i≤4)具有最小熵(δ+β)n,βn是檢索上限,f是單項函數(shù),H是單向Hash函數(shù),Sign滿足EU-CMA[30]安全,那么本文所提協(xié)議在共謀攻擊下是安全的,即滿足D-EU-COMA.

證明. 不失一般性,令所有的共謀敵手{A1,A2,…,Ak}被敵手FORGER控制.令S1,S2,分別為所有敵手對X1,X2所檢索的總信息,且|S1|≤βn,|S2|≤βn.

在3維空間中,假設基于位置的數(shù)字簽名協(xié)議是不安全的,即存在敵手FORGER能以不可忽略的概率εFORGER偽造p點的簽名.如果敵手FORGER成功攻擊此協(xié)議,則存在4種可能的事件:

事件1. 敵手FORGER能夠成功偽造地標L1的簽名.

若敵手FORGER能夠偽造地標L1的簽名,它可將其公鑰、p點的位置信息、用地標L1的私鑰進行簽名后廣播.數(shù)據(jù)接收方會將敵手FORGER的公鑰當成p點的公鑰.此時敵手FORGER成功偽造成p點對消息進行簽名.

用ε1表示敵手FORGER能夠成功偽造地標L1的簽名的概率,則敵手FORGER能夠成功偽造p點進行簽名的概率為εs(ε1=εs).很明顯,這與EU-CMA的定義相矛盾,即事件1發(fā)生的概率是可忽略的.

事件2. 敵手能正確計算K.

1) 情況1. 給定(S1,K1)敵手FORGER可以計算出密鑰K2=G(X1,K1).

令A1為地標L1和p點之間的敵手.S1為大字符串X1經(jīng)過A1時,A1存儲的總信息量.因為敵手FORGER可以計算出K2,所以當X2經(jīng)過A1時,A1能夠計算K3=G(X2,K2),以此類推得到K6,進而得到sk=F(K6).由此可見若敵手FORGER計算出K2,就能夠得到p點的私鑰sk,以此來偽造p點簽名.

顯然由于K1尚未經(jīng)過p點,所以S1只是任意的X1的函數(shù).此外,因為所有敵手存儲的信息總量被限制不能超過βn,所以|S1|≤βn.因此,有K2=A(S1,K1),其中A(·,·)是任意的敵手算法，它的輸出可能是S1和K1的一個任意的函數(shù)值.

用ε21表示敵手FORGER能夠計算K2=G(S1,K1)的概率,則敵手A1能夠計算出K3=G(X2,K2)的概率為

通常在安全參數(shù)l的選擇下12l是可忽略的.所以,εx1與ε21近似相等,在ε21不可忽略的情況下,概率εx1也是不可忽略的.由上可知這與(ε,φ)-安全的BSM PRG定義相矛盾.由此可得,在情況1下,敵手FORGER成功偽造p點簽名的概率是可忽略的.

2) 情況2. 給定(S2,K2),敵手FORGER能夠成功計算K3=G(X2,K2).

令A2為地標L2和p點之間的敵手.由于FORGER能夠計算K3,以此類推得到K6,進而得到sk=F(K6).由此可見如果敵手FORGER計算出K2,就能夠得到p點的私鑰sk,以此來偽造p點簽名.

顯然由于X1尚未經(jīng)過p點,所以A2無法計算K2=G(X1,K1),不知道K2的情況下,S2只是任意X2的函數(shù),并且|S2|≤βn.因此,有K3=A(S2,K2),它的輸出可能是S2和K2的一個任意的函數(shù)值.

用ε22表示敵手FORGER能夠計算K2=G(X1,K1)的概率,則敵手A2能夠計算出K3=G(X2,K2)的概率為

同理,在概率ε22不可忽略的情況下,概率εx2也是不可忽略的.同樣,這與ε-secure的BSM PRG定義相矛盾.由此可得,在情況2下,敵手FORGER成功偽造p點簽名的概率是可忽略的.

3) 情況3. 由情況1,2可知位于地標L3和p點之間的敵手可以偽造p點簽名的概率為

由上可知,在情況3下,敵手FORGER成功偽造p點簽名的概率是可忽略的.

4) 情況4. 由情況1,2可知位于地標L4和p點之間的敵手可以偽造p點簽名的概率為

由上可知,在情況4下,敵手FORGER成功偽造p點簽名的概率是可忽略的.

事件3. 在不知道密鑰K的情況下,敵手FORGER能夠猜到p點私鑰sk.

用ε3表示事件3發(fā)生的概率,如果ε3不可忽略,則可構造敵手Af以概率εf(εf=ε3)猜測出p點私鑰來偽造成p點進行簽名.很明顯這與PRF的定義相矛盾,所以事件3發(fā)生的概率是可忽略的.

事件4. 在不知道sk的情況下,敵手FORGER能夠偽造p點簽名.

1) 情況1. 得到p點簽名(m,σ)后,敵手FORGER可以偽造簽名(m′,σ′),滿足m′≠m,σ′≠σ.

如果敵手Ax可以成功輸出z使得f(z)=y,則敵手FORGER能成功偽造簽名(m′,σ′)且?j(1≤j≤k)hj=r,否則敵手Ax隨機選擇一個數(shù)作為z.

用ε5表示敵手Ax成功輸出且f(z)=y的概率,則敵手FORGER能夠成功偽造p點簽名的概率為

通常情況下l至少為80 B,因此,12i=2-80.對于一般網(wǎng)絡來說是可忽略的.由此可知,如果概率ε5是不可忽略的話,那么概率εp1也是不可忽略的.這與單向函數(shù)的定義相矛盾.所以情況1發(fā)生的概率是可忽略的.

2) 情況2. 給定(m,σ),敵手可以找到m′滿足h′=h,其中h=H(m),h′=H(m′),m≠m′.

假定敵手FORGER使用Hash函數(shù)H,使得H(m)=H(m′).然而根據(jù)Hash函數(shù)H的定義,令H(m)=H(m′)的概率為ε42,則敵手能夠成功偽造p點簽名的概率為

通常情況下k=16,t=1024或者k=20,t=256.當k=16,t=1024時,(kt)k=(161024)16=2-96;當k=20,t=256時,(kt)k=(20256)20=2-73.由此可知,對于一般應用而言,(kt)k是可忽略.所以,情況2發(fā)生的概率是可忽略的.

綜上所述,敵手FORGER能夠偽造p點簽名的概率為

因此,如果G是(ε,φ)-安全的BSM PRG,F是PRF,Xi(0≤i≤2)具有最小熵(δ+β)n,βn是檢索上限,f是單項函數(shù),H是單向Hash函數(shù),那么εf,εx1,εx2,εx3,εx4,εs,εp1以及εFORGER都是可忽略的.即敵手偽造簽名的概率是可忽略的.定理1得證.

5 方案討論

本文方案將數(shù)據(jù)源的位置作為憑證,對消息進行簽名,保障了物聯(lián)網(wǎng)中時空敏感數(shù)據(jù)的安全性.

5.1 防止網(wǎng)絡中攻擊者篡改數(shù)據(jù)信息

為了防止攻擊者利用網(wǎng)絡存在的漏洞和安全缺陷對物聯(lián)網(wǎng)中的數(shù)據(jù)進行篡改,本文采用了一次簽名方案.當數(shù)據(jù)發(fā)送方發(fā)送數(shù)據(jù)時,首先與地標Li(i=1,2,3,4)交互,計算得出密鑰K6,k_secret=F(K6)=(s1,s2,…,st),令發(fā)送方私鑰sk=(k,s1,s2,…,st).發(fā)送方用私鑰簽名消息得到消息簽名σ,將簽名附在消息之后進行廣播.數(shù)據(jù)接收方收到消息及簽名時,首先使用發(fā)送方公鑰pk=(k,v1,v2,…,vt)進行驗證,若簽名驗證通過,則證明數(shù)據(jù)未被篡改,若驗證失敗,則拒絕接收這條消息.對于物聯(lián)網(wǎng)中的攻擊者來說,由于vi=f(si)且f為單向函數(shù),因此攻擊者無法獲得發(fā)送方的私鑰sk=(k,s1,s2,…,st),所以無法偽造簽名.因此,攻擊者無法篡改消息.同時,本文使用的一次簽名基于單向函數(shù)構造,相比傳統(tǒng)的公鑰數(shù)字簽名,更適合物聯(lián)網(wǎng)中能量受限的感知設備.

5.2 防止時空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時間偽造

為了防止時空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時間偽造,本文采用PbKE協(xié)議,使得只有在某一時刻處于某一位置的用戶才能獲得使用位置信息產生的公私鑰對,也就是說簽名使用的公私鑰對與用戶的地理位置和數(shù)據(jù)發(fā)送時間是緊耦合關系.當數(shù)據(jù)發(fā)送方需要發(fā)送數(shù)據(jù)時,首先與地標Li(i=1,2,3,4)交互,進行位置驗證.Li廣播各自的消息,使得在時刻T,數(shù)據(jù)發(fā)送方同時接收到所有消息,計算K2=G(X1,K1),K3=G(X2,K2),K4=G(X3,K3),K5=G(X4,K4),K6=G(X5,K5).將K6進行一次偽隨機運算得到F(K6)=(s1,s2,…,st),令sk=(k,s1,s2,…,st)即為發(fā)送方私鑰.發(fā)送方用私鑰簽名數(shù)據(jù),將簽名附在消息之后進行廣播.L1驗證簽名返回的時間,若接收時間符合要求,則地標L1用自己的私鑰skL對消息摘要、p點公鑰、p點位置信息、數(shù)據(jù)生成時刻T進行簽名,形成關于位置的臨時證書CertL(H(m),pk,p,T),并廣播pk,p,T,CertL(H(m),pk,p,T);反之,L1拒絕生成臨時證書CertL(H(m),pk,p,T).由于發(fā)送方的公私鑰對是由位置信息產生的,所以當數(shù)據(jù)接收方驗證簽名時,同樣也驗證了數(shù)據(jù)源的地理位置及數(shù)據(jù)的發(fā)送時間.當不處于發(fā)送方地理位置的敵手想要篡改數(shù)據(jù)源位置信息時,有2種辦法:1)得到發(fā)送方私鑰偽造數(shù)據(jù)的簽名;2)偽造地標L1簽名的臨時證書.然而由PbKE的安全性和EU-CMA的定義可知,以上2種辦法都無法實現(xiàn).所以我們構造的方案能夠防止物聯(lián)網(wǎng)中時空敏感數(shù)據(jù)的數(shù)據(jù)源位置及時間偽造.

5.3 感知層的設備無需密鑰管理

本文方案中,感知設備無須預先與地標共享安全通道,所有消息均通過廣播方式發(fā)送.感知設備既無需事先預共享密鑰,也無需公鑰證書,因為簽名所需的私鑰sk=(k,s1,s2,…,st)是在與地標的交互過程中根據(jù)設備位置產生的,而不是借助預先的密鑰管理機制生成,這避免了海量感知設備前期的密鑰管理.臨時證書CertL(H(m),pk,p,T)由地標驗證接收時間符合要求后,利用地標的公鑰生成并廣播.總之,對于海量感知設備,本方案無需預先的密鑰管理機制,具有可擴展性,適合大規(guī)模的部署.

5.4 簽名方案的選擇

使用公鑰密碼體制的數(shù)字簽名,一旦地標L驗證了發(fā)送方的位置,則該公私鑰能夠進行多次簽名.對于動態(tài)發(fā)送方而言,當它發(fā)生遷移而離開原位置時,它仍然持有原位置的公私鑰對,這顯然不滿足動態(tài)環(huán)境下基于位置數(shù)字簽名的安全需求.因此,公鑰數(shù)字簽名算法只適用于靜態(tài)環(huán)境的基于位置數(shù)字簽名.

一次簽名[31]借鑒一次一密的形式,當發(fā)送方使用密鑰簽名一個消息之后,必須重新與地標L進行交互,產生一個新的密鑰對(pk,sk)來簽名下一個消息.即使發(fā)送方發(fā)生遷移改變位置信息,也仍然需要與相應地標L交互,證明自己的位置后才能獲得新的密鑰對.因此,本文方案的數(shù)字簽名采用一次簽名方案.

6 性能分析

表1將物聯(lián)網(wǎng)中基于位置的數(shù)字簽名方案(position based digital signature scheme, PbDS)與Xue[27]、OTS[31]、RSA,ABS[32]、無證書簽名[33]做對比,分別從簽名者計算開銷、驗證者計算開銷、是否需要公鑰證書、密鑰管理、預共享安全通道和是否結合位置信息等方面進行比較.

其中,G表示一次BSM PRG計算,F表示一次PRF計算,f表示一次單向函數(shù)計算,H為單向Hash函數(shù),E表示群上的冪運算,e表示雙線性對運算,d表示屬性集大小,M表示群G中乘法運算,A表示群G中加法運算.

通過表1可以看出,與其他簽名方案相比,本文方案不需要公鑰證書、密鑰管理以及預共享安全通道,這對于物聯(lián)網(wǎng)中海量數(shù)據(jù)的安全管理來說,顯得更加高效;并且只有本文與Xue的簽名方案加入了位置信息,能夠解決物聯(lián)網(wǎng)中海量數(shù)據(jù)的數(shù)據(jù)源位置驗證問題.另外，本方案發(fā)送方使用基于單向函數(shù)的一次簽名,不涉及模指運算等代價較高的計算,更適合計算能力受限的感知設備.

表2將本文方案與Xue的方案做對比,分別從適用的簽名者類型、協(xié)議執(zhí)行前需要的條件、安全定義、基于的協(xié)議等方面進行對比.通過表2可以看出,Xue的方案需要地標與數(shù)據(jù)發(fā)送方之間使用預共享的安全通道,在物聯(lián)網(wǎng)大規(guī)模的應用環(huán)境下,建立和維護該安全通道開銷較大；而本文提出的方案不需要地標與數(shù)據(jù)發(fā)送方之間存在預共享的安全通道,減少了通信代價,提高了效率.另外，Xue的方案只適用于靜態(tài)發(fā)送方,無法保證發(fā)送方位置動態(tài)變化情況下簽名的安全性；而本文提出的方案既能適應靜態(tài)發(fā)送方也適用于動態(tài)發(fā)送方,且能夠抵御敵手的共謀攻擊,滿足可證明安全.

Table 1 Comparison of Signature Schemes表1 簽名方案的比較

Notes:“√” means security, “×” means insecurity.

Table 2 Comparison of PbDS and Xue表2 PbDS與Xue方案的比較

Notes:“√” means security, “×” means insecurity.

7 總結與展望

本文針對物聯(lián)網(wǎng)中數(shù)據(jù)篡改、數(shù)據(jù)源的位置驗證和數(shù)據(jù)的生成時間驗證等問題進行了研究.將位置特性與數(shù)字簽名相結合,提出了一種解決物聯(lián)網(wǎng)中時空敏感數(shù)據(jù)安全問題的方案.一方面,提供了數(shù)據(jù)的完整性保護;另一方面,確保了數(shù)據(jù)源的位置和時間信息的不可偽造性.本文分別提出了不考慮時間因素的靜態(tài)基于位置的數(shù)字簽名和考慮時間因素的動態(tài)基于位置的數(shù)字簽名.然后,在BRM模型下設計出3維空間中滿足動態(tài)安全需求的基于位置數(shù)字簽名方案.此外,本文提出的物聯(lián)網(wǎng)中基于位置數(shù)字簽名方案能夠抵御敵手的共謀攻擊,且滿足可證明安全.將本文方案與已有方案進行比較,在安全性方面,本文所提協(xié)議既能適應靜態(tài)發(fā)送方也適用于動態(tài)發(fā)送方;在性能方面,本文所提協(xié)議使用計算高效的一次簽名,不需要地標與發(fā)送方之間存在預共享的安全通道以及簽名之前的密鑰管理環(huán)節(jié),減少了計算和通信代價,適用于物聯(lián)網(wǎng)中資源受限的感知設備.

本文方案存在密鑰托管問題.即每次數(shù)據(jù)發(fā)送方與地標交互得到基于位置的公私鑰對的同時,4個地標也同時生成了數(shù)據(jù)發(fā)送方的公私鑰對,也就是說,一旦地標被攻擊者攻破,攻擊者將會獲得所有與地標交互的發(fā)送方基于位置的公私鑰對,攻擊者能夠偽造發(fā)送方的簽名,造成發(fā)送方密鑰泄露問題.為了解決上面提到的密鑰托管問題,我們下一步計劃將聚合簽名與基于位置相結合,設計基于位置或區(qū)域的數(shù)據(jù)聚合方案.一方面,在協(xié)議過程中地標無法計算出發(fā)送方的最終公私鑰對.即便地標被攻擊者攻破,攻擊者也無法獲得發(fā)送方的最終公私鑰對,不會產生密鑰泄露問題;另一方面,此方案能夠確保所有數(shù)據(jù)源都來自合法位置,并且面向物聯(lián)網(wǎng)的數(shù)據(jù)聚合能將物聯(lián)網(wǎng)中的海量數(shù)據(jù)聚合成少量有效數(shù)據(jù),減少了通信開銷,延長了網(wǎng)絡壽命.