蔡志鋒， 陳 偉

(1. 三江學(xué)院計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210012；2. 東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 211189)

1 引言

物聯(lián)網(wǎng)(IoT)作為萬(wàn)物互連的基礎(chǔ)，能夠?qū)崿F(xiàn)各類(lèi)智能設(shè)備間的橋接，并最終匯入Internet?，F(xiàn)代物聯(lián)網(wǎng)及其相關(guān)技術(shù)發(fā)展迅猛，由Gartner提供的數(shù)據(jù)顯示，在2016年時(shí)，其全世界接入的設(shè)備數(shù)量大約是60億，至2020年時(shí)，接入數(shù)量可達(dá)到260億。目前其應(yīng)用已經(jīng)滲透到人們生活的方方面面，如智能交通、生態(tài)家居、車(chē)聯(lián)網(wǎng)等[1]。在物聯(lián)網(wǎng)規(guī)模急速擴(kuò)張的同時(shí)，構(gòu)成它的組件也在朝著多樣化方向發(fā)展，呈現(xiàn)出嚴(yán)重的差異性。盡管豐富的物聯(lián)網(wǎng)在不斷的為生活和工作提供便捷高效的需求，但是也存在著巨大的用戶數(shù)據(jù)安全風(fēng)險(xiǎn)。接入組件與網(wǎng)絡(luò)的復(fù)雜多樣，以及大量用戶產(chǎn)生的龐大數(shù)據(jù)信息，使得網(wǎng)絡(luò)傳輸數(shù)據(jù)很容易遭受攻擊[2]，給大規(guī)模物聯(lián)網(wǎng)信息安全帶來(lái)嚴(yán)峻挑戰(zhàn)，安全傳輸也由此成為大規(guī)模物聯(lián)網(wǎng)的重要研究課題[3]。

研究物聯(lián)網(wǎng)安全就要涉及密碼領(lǐng)域，通過(guò)原始明文的加密操作形成密文，從而能夠保證數(shù)據(jù)的完整、保密和可靠性等。由于受到物聯(lián)網(wǎng)組件的影響，不適合部署過(guò)于繁雜的密碼機(jī)制，導(dǎo)致一些優(yōu)秀的密碼機(jī)制無(wú)法應(yīng)用其中。盡管如此，針對(duì)物聯(lián)網(wǎng)數(shù)據(jù)安全問(wèn)題，仍然涌現(xiàn)出不少研究成果。文獻(xiàn)[4]提出將NTRU應(yīng)用于物聯(lián)網(wǎng)，同時(shí)針對(duì)節(jié)點(diǎn)采用了交互認(rèn)證。文獻(xiàn)[5]基于文獻(xiàn)[4]設(shè)計(jì)了優(yōu)化NTRU的密碼機(jī)制，降低了密碼機(jī)制的復(fù)雜度。NTRU可以較好的防守量子攻擊，并且認(rèn)證開(kāi)銷(xiāo)少，適于物聯(lián)網(wǎng)部署。文獻(xiàn)[6]設(shè)計(jì)了CP-ABE方案，可以保持定長(zhǎng)的密文與私鑰。該方法具有較好的效率，缺點(diǎn)是隱藏結(jié)構(gòu)可能存在安全隱患。文獻(xiàn)[7]針對(duì)CP-ABE進(jìn)行了優(yōu)化，并在此基礎(chǔ)上設(shè)計(jì)了屬性加密，雖然改善了CP-ABE的安全問(wèn)題，但是是以損失效率為代價(jià)，密碼機(jī)制的速度會(huì)受數(shù)據(jù)屬性影響。文獻(xiàn)[8]把多變量公鑰引入物聯(lián)網(wǎng)中，實(shí)現(xiàn)數(shù)據(jù)的聚合加密傳輸。該方法的密碼機(jī)制有利于防守量子攻擊，但是聚合處理會(huì)有損傳輸效率。基于現(xiàn)有研究成果及其優(yōu)缺點(diǎn)，本文提出了擴(kuò)展多變量公鑰，在傳統(tǒng)多變量公鑰的基礎(chǔ)上，擴(kuò)展域維度。同時(shí)為避免線性方程影響，對(duì)原始域與擴(kuò)域建立同構(gòu)關(guān)系，并設(shè)計(jì)了相應(yīng)加密和解密策略。

2 多變量公鑰原理

在研究多變量公鑰時(shí)，可以將其轉(zhuǎn)化為求解NP問(wèn)題。假設(shè)某域?yàn)镚(q)，它的階數(shù)為q，其中包含的二次多項(xiàng)式描述為K={p1(x)，p2(x)，…，pk(x)}，則在該域中計(jì)算多元變量可視作MQ模型。假定MQ的解集為x=(x1，x2，…，xn)，K中對(duì)應(yīng)的二次方程表示如下

(1)

pi(x)可以用于描述多變量公鑰。式中，n代表G(q)中的變量數(shù)量；aijm、βij和εi為系數(shù)，且aijm∈G(q)，βij∈G(q)，εij∈G(q)。當(dāng)某多項(xiàng)式p′在G(q)中非線性可逆，對(duì)于G(q)中的任意公鑰p，可以采取仿射處理得到

p=T°P′°T

(2)

其中，T與T′項(xiàng)在G(q)域中線性可逆。因?yàn)楣€P需要通過(guò)T、P′和T′復(fù)合得到，所以T、P′和T′代表私鑰。公鑰P的仿射過(guò)程可視作IP模型。MQ模型與IP模型均為NP問(wèn)題，由它們共同組成了多變量公鑰基礎(chǔ)。進(jìn)行加密處理時(shí)，把明文表示為G(q)域中的多元變量x=(x1，x2，…xn)，利用二次方程反射得到相應(yīng)加密結(jié)果y=(y1，y2，…yn)。在解密處理時(shí)，采用簽名求逆方式，并把經(jīng)過(guò)簽名的數(shù)據(jù)通過(guò)二次方程計(jì)算，確認(rèn)其是否有效。

3 擴(kuò)展多變量公鑰設(shè)計(jì)

(3)

(4)

根據(jù)式(4)將加密過(guò)程進(jìn)行擴(kuò)展，對(duì)應(yīng)的公鑰p描述如下

(y1，y2，…yn-l1)=T-°π°F°π-°T′-(x1，x2，…，xn)

(5)

(6)

其中，aijm、βij、δij、γj和ε均為方程系數(shù)。根據(jù)(6)式可知，利用系數(shù)aijm、βij、δij、γj和ε，能夠確定出相應(yīng)的二次方程。在簽名認(rèn)證過(guò)程中，必須搜索出全部二次方程。這樣一來(lái)，就可以將方程搜索轉(zhuǎn)換為解空間搜索。在確定系數(shù)數(shù)量時(shí)，可采取如下公式

(7)

y′i=Pi(x1，x2，…，xn)，1≤i≤m

(8)

該模型為一個(gè)方程組，在計(jì)算時(shí)，應(yīng)該盡可能保證無(wú)關(guān)方程數(shù)量。模型對(duì)密文計(jì)算時(shí)得到的方程如下

(9)

由式(9)構(gòu)建多變量方程，并結(jié)合式(8)對(duì)方程組進(jìn)行重構(gòu)，從而計(jì)算出相應(yīng)系數(shù)，完成恢復(fù)操作。

4 密碼機(jī)制流程

基于以上設(shè)計(jì)，密碼機(jī)制的具體流程描述如下，根據(jù)擴(kuò)展次數(shù)求解系數(shù)的數(shù)量，并根據(jù)已知公鑰進(jìn)行差分。構(gòu)建(n-l1)×n矩陣ML為

(10)

由于方程組中的方程具有無(wú)關(guān)性，所以ML的行向量也具有無(wú)關(guān)性。此時(shí)，利用如下公式計(jì)算向量(r0，0，r1，0，…，rn-l1，0)

(11)

其中，Zi+1表示系數(shù)矩陣。根據(jù)式(11)完成矩陣R的恢復(fù)

(12)

利用矩陣R與T-的關(guān)系，恢復(fù)矩陣T-。

Frob(l1)mod n(G)·(e′0，0，e′1，0，…，e′n-l1，0)=0

(13)

通過(guò)求解，恢復(fù)得到中間矩陣E如下

(14)

根據(jù)T′-=E·ML-1進(jìn)一步恢復(fù)得到T′-。

4)利用恢復(fù)得到的T-與T′-，代入公鑰方程P=T-°π°F°π°T′-，求解出映射F，恢復(fù)明文。

5 安全性分析

(15)

當(dāng)發(fā)生線性攻擊時(shí)，多變量公鑰可以采取Tame變換，從而在原本的明密文關(guān)系方程中引進(jìn)未知變量。即便在明密文映射數(shù)量達(dá)標(biāo)，由于存在Tame類(lèi)變量，同時(shí)本文方法引入投射與限定，去除了末尾部分公鑰方程，依然不能完成多變量求解。

當(dāng)發(fā)生差分攻擊時(shí)，對(duì)于域中任意點(diǎn)a，多元變量與密文映射F的差分可以描述為

CF(a，x)=F(x+a)-F(x)-F(a)+F(0)

(16)

根據(jù)Y=F(X)=Xq(n-1)/2+1，可以推導(dǎo)出差分CF(a，x)應(yīng)該具有如下性質(zhì)

CF(σa，x)+CF(a，σx)=(σ+σ(n-1)/2)CF(a，x)

(17)

由此性質(zhì)可得，傳統(tǒng)的多變量公鑰p=T°P′°T′在做差分處理后，結(jié)果是

CY(a，σx)+CY(σa，x)

=T°(σ+σq(n-1)/2)°T′-1(CY(a，x))

(18)

本文在公鑰方程中采用了減法，能夠避免對(duì)方程組的重構(gòu)。結(jié)合擴(kuò)展以后，公鑰方程轉(zhuǎn)換為P=T-°π°F°π°T′-，此時(shí)代入式(17)的性質(zhì)可知，其對(duì)稱性已經(jīng)不滿足。這表明擴(kuò)展后的公鑰加密有利于應(yīng)對(duì)差分攻擊。

當(dāng)發(fā)生秩攻擊時(shí)，攻擊者會(huì)利用對(duì)G(q)域的搜索，得到如下組合關(guān)系

M=υ1M1+υ2M2+…υu(píng)Mu

(19)

該組合是線性的，且其秩需要符合關(guān)系rank(M)≤r。由此可知，秩攻擊也是一個(gè)NK問(wèn)題。秩的復(fù)雜性與其大小有關(guān)，這就決定了秩存在被求解的可能性。本文對(duì)有限域采取了擴(kuò)展，使得到的二次方程數(shù)量顯著增加。而二次方程又是由明文構(gòu)成，不確定性嚴(yán)重。盡管低秩能夠被求解，可是二次方程的數(shù)量遠(yuǎn)超過(guò)其有效范圍。所以，還是難以被秩攻擊破解。

6 仿真與結(jié)果分析

實(shí)驗(yàn)過(guò)程中，為充分模擬大規(guī)模物聯(lián)網(wǎng)數(shù)據(jù)傳輸，屬性基數(shù)設(shè)為50，以步長(zhǎng)10進(jìn)行遞增，形成累計(jì)10類(lèi)傳輸狀態(tài)。并從加密和解密時(shí)間進(jìn)行性能分析。在傳輸數(shù)據(jù)屬性遞增的過(guò)程中，采用256bits的安全級(jí)別，得到各安全傳輸方案的加密和解密時(shí)間，結(jié)果如圖1所示。由圖中曲線可知，本文方案的加密與解密時(shí)間都不受數(shù)據(jù)屬性數(shù)量的影響，在復(fù)雜屬性數(shù)據(jù)傳輸時(shí)，發(fā)送節(jié)點(diǎn)能夠?qū)ζ溥M(jìn)行快速高效的加密處理，接收節(jié)點(diǎn)能夠?qū)ζ溥M(jìn)行快速高效的解密處理。這是由于方案在加密時(shí)，無(wú)需針對(duì)單一屬性采取聚合或者求解加密組件。在解密時(shí)，方案只存在線性方程求解，沒(méi)有其它的雜湊處理。在整個(gè)密碼機(jī)制中，完全不和屬性數(shù)量產(chǎn)生關(guān)聯(lián)，適用于大規(guī)模復(fù)雜物聯(lián)網(wǎng)傳輸應(yīng)用場(chǎng)景。

圖1 加密與解密時(shí)間曲線

對(duì)多變量公鑰網(wǎng)絡(luò)傳輸?shù)陌踩赃M(jìn)行驗(yàn)證。實(shí)驗(yàn)中針對(duì)任意節(jié)點(diǎn)采取定量(1000次)攻擊，統(tǒng)計(jì)方案成功抵御攻擊的概率。這里采用文獻(xiàn)[7]和文獻(xiàn)[8]方案進(jìn)行對(duì)比驗(yàn)證，抵御攻擊的結(jié)果如圖2所示。圖2描述了物聯(lián)網(wǎng)中任意10個(gè)節(jié)點(diǎn)的攻擊數(shù)據(jù)，根據(jù)結(jié)果分析可知，本文方法抵御攻擊的整體性能明顯優(yōu)于對(duì)比方法，攻擊防守率最高達(dá)到99.93%，而文獻(xiàn)[7]和文獻(xiàn)[8]的攻擊防守率最高分別為99.79%和95.70%。此外，文獻(xiàn)方法攻擊節(jié)點(diǎn)的防守性能會(huì)存在較大的差異，網(wǎng)絡(luò)均衡性較差。而在部署本文方案時(shí)，實(shí)驗(yàn)中所有攻擊節(jié)點(diǎn)的防守性能比較均衡，平均防守率為99.56%。這是因?yàn)楸疚脑O(shè)計(jì)的擴(kuò)展多變量公鑰改變了域維數(shù)，在篡改攻擊與秩攻擊時(shí)，通過(guò)乘積運(yùn)算會(huì)顯著增加解密的復(fù)雜度。在擴(kuò)域基礎(chǔ)上，又采用去掉末尾若干公鑰方程的方式，增加方程組重構(gòu)難度，同時(shí)也打破其對(duì)稱性，能夠有效防止線性與差分攻擊。

圖2 抵御攻擊性能結(jié)果

基于網(wǎng)絡(luò)傳輸安全性實(shí)驗(yàn)環(huán)境，統(tǒng)計(jì)各方案的密鑰更新速度，結(jié)果如圖3所示。根據(jù)統(tǒng)計(jì)結(jié)果，文獻(xiàn)[7]和文獻(xiàn)[8]的平均密鑰更新分別為144.76ms和139.08ms，本文則為80.14ms，無(wú)論是單個(gè)節(jié)點(diǎn)，還是整體比較，本文的密鑰更新速度都優(yōu)于對(duì)比方案。這主要是由于本文的密碼機(jī)制具有高效的加密與解密性能，適用于大規(guī)模物聯(lián)網(wǎng)傳輸場(chǎng)景。

圖3 密鑰更新速度結(jié)果

對(duì)攻擊節(jié)點(diǎn)的傳輸效率進(jìn)行統(tǒng)計(jì)，得到結(jié)果如圖4所示。根據(jù)結(jié)果對(duì)比，本文的傳輸效率平均值為97.24%，分別高于文獻(xiàn)[7]和文獻(xiàn)[8]方法2.27%和3.15%。該結(jié)果表明在物聯(lián)網(wǎng)信息傳輸過(guò)程中，部署本文方案可以獲得更好的傳輸質(zhì)量與魯棒性。

圖4 傳輸效率統(tǒng)計(jì)結(jié)果

7 結(jié)束語(yǔ)

為了提高大規(guī)模物聯(lián)網(wǎng)數(shù)據(jù)安全傳輸性能，本文提出了一種新型多變量公鑰方案。該方案利用對(duì)原始域的維度擴(kuò)展，增加公鑰方程系數(shù)，提升攻擊破解的復(fù)雜度。同時(shí)，采取刪除部分公鑰方程的方式，進(jìn)一步增加破解難度。仿真過(guò)程中，首先驗(yàn)證了新型密碼機(jī)制的加密和解密速度與傳輸數(shù)據(jù)屬性間的無(wú)關(guān)性；然后驗(yàn)證了本文方法在數(shù)據(jù)傳輸時(shí)具有良好的抗攻擊性能，平均防守率達(dá)到99.56%，平均更新速度達(dá)到80.14ms，兩項(xiàng)指標(biāo)均得到顯著提升；最后驗(yàn)證了本文方法在傳輸效率方面的優(yōu)化，平均傳輸效率提升至97.24%。