許國(guó)棟 劉光杰 喬森 陸賽杰 趙華偉

0 引言

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái),物聯(lián)網(wǎng)技術(shù)正深刻改變著世界．指數(shù)級(jí)增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備,在給人們帶來(lái)便利的同時(shí),也面臨著眾多威脅和安全挑戰(zhàn)[1]．物聯(lián)網(wǎng)安全逐漸引起了工程界和學(xué)術(shù)研究者的廣泛關(guān)注．在眾多物聯(lián)網(wǎng)安全問(wèn)題中,協(xié)議安全是實(shí)現(xiàn)點(diǎn)到點(diǎn)和端到端安全通信的基石,因此也成為了物聯(lián)網(wǎng)安全研究的熱點(diǎn)．網(wǎng)絡(luò)協(xié)議研究者起初設(shè)計(jì)網(wǎng)絡(luò)協(xié)議時(shí)主要考慮了可用性,而忽略了安全性問(wèn)題．作為傳輸層協(xié)議典型代表的TCP、UDP協(xié)議本身也不具備安全性．SSL/TLS協(xié)議在TCP協(xié)議之上提供數(shù)據(jù)的加密傳輸服務(wù),而DTLS協(xié)議(DatagramTLS)擴(kuò)展自TLS協(xié)議架構(gòu),為UDP協(xié)議提供端到端的安全通道．DTLS協(xié)議也可與物聯(lián)網(wǎng)相關(guān)應(yīng)用層協(xié)議結(jié)合來(lái)實(shí)現(xiàn)安全通信．例如,CoAP協(xié)議[2]經(jīng)DTLS加密后形成的CoAPs協(xié)議,被廣泛應(yīng)用于物聯(lián)網(wǎng)的端到端安全通信中[3-4]．

握手是DTLS協(xié)議完成身份認(rèn)證和秘鑰協(xié)商的必要機(jī)制.然而,傳統(tǒng)DTLS協(xié)議的握手過(guò)程更多是基于公鑰證書(shū),但基于證書(shū)的公鑰密碼體系在證書(shū)管理、身份認(rèn)證與加密等方面存在不足．一方面,證書(shū)管理包括證書(shū)的撤銷、發(fā)放和存儲(chǔ)等環(huán)節(jié),增加了系統(tǒng)的開(kāi)銷;另一方面,身份認(rèn)證與加密包括通信終端的身份合法性認(rèn)證、基于公鑰的傳輸數(shù)據(jù)加密等過(guò)程,增加了計(jì)算開(kāi)銷．因此,本文主要研究基于無(wú)證書(shū)公鑰密碼的DTLS握手協(xié)議.針對(duì)該問(wèn)題,研究者們也探索了諸多無(wú)證書(shū)[5]的解決方案．2003年,Boneh等[6]構(gòu)建了第一個(gè)基于身份的加密方案(Identity Based Encryption,IBE)．然而,IBE方案使用雙線性對(duì)運(yùn)算，且用戶的私鑰完全由私鑰生成器(Private Key Generator,PKG)生成,這不僅造成更高的計(jì)算代價(jià),還引發(fā)出私鑰托管問(wèn)題．文獻(xiàn)[7]實(shí)現(xiàn)了基于身份標(biāo)識(shí)(Identify-Based Cryptography,IBC)的DTLS協(xié)議,但此方案中的用戶私鑰仍完全由PKG產(chǎn)生．若PKG節(jié)點(diǎn)遭受攻擊,惡意節(jié)點(diǎn)將獲取用戶私鑰,進(jìn)而竊聽(tīng)合法用戶間的通信內(nèi)容．文獻(xiàn)[8]提出了一種用戶私鑰生成方案來(lái)解決密鑰托管問(wèn)題,首先使用系統(tǒng)私鑰生成初始秘鑰值,再疊加上一個(gè)隨機(jī)數(shù),構(gòu)成一部分用戶私鑰,但此方案在安全性證明方面還存在不足．文獻(xiàn)[9]提出了一種雙密鑰對(duì)的方案,即PKG隨機(jī)選取兩個(gè)秘鑰值作為系統(tǒng)私鑰,并將其中一個(gè)秘鑰值加上僅通過(guò)系統(tǒng)私鑰產(chǎn)生的一部分用戶私鑰作為用戶最終的部分私鑰,但與文獻(xiàn)[8]相比又增加了部分計(jì)算量,降低了方案的實(shí)現(xiàn)效率,難以滿足計(jì)算成本受限型節(jié)點(diǎn)的安全通信需求．

針對(duì)上述問(wèn)題,本文改進(jìn)了產(chǎn)生用戶部分私鑰的運(yùn)算方法,提出了一種基于離散對(duì)數(shù)運(yùn)算的無(wú)證書(shū)公鑰加密(Discrete Logarithm based Certificate-Less Public Key Cryptography,DL-CL-PKC)方案,此方案主要有兩個(gè)優(yōu)勢(shì):一是規(guī)避了基于身份標(biāo)識(shí)的方案中雙線性映射帶來(lái)的運(yùn)算復(fù)雜度;二是此方案中私鑰生成器只需要生成一對(duì)系統(tǒng)密鑰值,節(jié)省了一對(duì)密鑰值的生成過(guò)程和后續(xù)的存儲(chǔ)空間．最后設(shè)計(jì)并實(shí)現(xiàn)了基于DL-CL-PKC的DTLS協(xié)議．改進(jìn)的DTLS協(xié)議不僅簡(jiǎn)化了握手過(guò)程,并且可以在不使用證書(shū)情況下實(shí)現(xiàn)安全加密通信．

1 改進(jìn)的無(wú)證書(shū)公鑰密碼體制

本文改進(jìn)的無(wú)證書(shū)方案是基于離散對(duì)數(shù)運(yùn)算而設(shè)計(jì)的,該體制主要包括密鑰管理方案設(shè)計(jì)和密鑰更新方案設(shè)計(jì)．下面將依次介紹離散對(duì)數(shù)數(shù)學(xué)難題的定義以及無(wú)證書(shū)方案中的密鑰管理和密鑰更新．

1.1 離散對(duì)數(shù)難題

本文主要是基于離散對(duì)數(shù)數(shù)學(xué)難題,設(shè)計(jì)了新的用戶部分私鑰生成算法．離散對(duì)數(shù)難題描述為:對(duì)于給定的m,x和p,通過(guò)公式y(tǒng)=mxmodq很容易計(jì)算得出y,但是若給定參數(shù)y,a和p想計(jì)算出x則極其困難．目前來(lái)說(shuō)離散對(duì)數(shù)的計(jì)算難度與RSA算法中大整數(shù)因數(shù)分解的難度相同,因此并沒(méi)有有效的方法可以計(jì)算出模為素?cái)?shù)的離散對(duì)數(shù)問(wèn)題．本文基于離散對(duì)數(shù)難題重新設(shè)計(jì)DTLS握手協(xié)議主要基于兩個(gè)原因:一方面RSA算法的加解密過(guò)程是非對(duì)稱的且存在大量的模冪運(yùn)算,本文采用對(duì)稱加解密,提高了無(wú)證書(shū)方案的計(jì)算效率;另一方面RSA算法的加密公鑰存儲(chǔ)在證書(shū)中,不符合本文方案基于無(wú)證書(shū)的原則,無(wú)法達(dá)到降低系統(tǒng)開(kāi)銷的目的．基于離散對(duì)數(shù)難題,也衍生出一些相關(guān)密碼體制,如ElGmal加密體制[10]、Diffe-Hellman密鑰交換方法[11]以及Schnorr數(shù)字簽名方法[12]．離散對(duì)數(shù)難題與大整數(shù)因數(shù)分解的安全性分析如下:

2)大整數(shù)因數(shù)分解.第一步選擇兩個(gè)大素?cái)?shù)p,q;第二步計(jì)算模數(shù)n=p×q和L=φ(n)=(p-1)(q-1),選擇滿足gcd(e,L)=1的e,并計(jì)算出滿足d·e≡1modL的d(1

1.2 密鑰管理

科研人員一直致力于密鑰管理的簡(jiǎn)化研究．著名密碼學(xué)專家Shamir[13]率先提出了基于身份的密碼體制的概念,作為其核心組成的私鑰生成器(Private Key Generator,PKG),也是本文設(shè)計(jì)的無(wú)證書(shū)公鑰密碼體制中的重要組成部分．PKG產(chǎn)生無(wú)證書(shū)公鑰加密方案中用戶的部分私鑰,省略證書(shū)參與用戶身份驗(yàn)證的步驟．

無(wú)證書(shū)公鑰加密方案中密鑰管理如圖1所示．由于PKG單獨(dú)生成IBE加密方案中的用戶私鑰存在安全隱患,所以本文提出將用戶私鑰的產(chǎn)生過(guò)程分為兩個(gè)階段：首先用戶向PKG節(jié)點(diǎn)請(qǐng)求生成部分私鑰;其次則由用戶根據(jù)PKG節(jié)點(diǎn)發(fā)送的系統(tǒng)參數(shù)隨機(jī)生成另一部分私鑰,并對(duì)PKG節(jié)點(diǎn)和其他用戶不可見(jiàn)．然后用戶公布自己的公鑰．密鑰管理包括以下幾個(gè)方面:

圖1 DL-CL-PKC密鑰管理方案Fig.1 Key management scheme for DL-CL-PKC

1)PKG節(jié)點(diǎn)初始化之后,監(jiān)聽(tīng)兩個(gè)通信終端的部分私鑰生成請(qǐng)求;

2) PKG節(jié)點(diǎn)將產(chǎn)生的系統(tǒng)參數(shù)和公私鑰發(fā)送給監(jiān)聽(tīng)到請(qǐng)求的兩個(gè)通信終端;

3) PKG節(jié)點(diǎn)將根據(jù)客戶端或服務(wù)端的ID產(chǎn)生相應(yīng)的部分私鑰發(fā)送給客戶端或服務(wù)端;

4)客戶端或服務(wù)端通過(guò)系統(tǒng)參數(shù)再隨機(jī)選取一個(gè)秘密值作為另一部分私鑰,并通過(guò)這兩部分私鑰計(jì)算出完全的私鑰．

下面根據(jù)上述描述給出具體方案．

1)系統(tǒng)參數(shù)生成

公開(kāi)系統(tǒng)參數(shù)param:{a,b,g,x,y,H1,H2}．

2)部分私鑰提取

假設(shè)用戶A的身份為IDA,PKG節(jié)點(diǎn)計(jì)算用戶A的部分私鑰,步驟如下:

① 計(jì)算hA=H1(IDA);

3)完整公私鑰生成

4)加密(cl-encrypt)

用戶B將消息發(fā)送給用戶A,步驟執(zhí)行如下:

③ 用戶B將C=(N,M)發(fā)送給給用戶A．

5)解密(cl-decrypt)

當(dāng)用戶A接收到用戶B發(fā)送來(lái)的加密報(bào)文C,用戶A計(jì)算m=M?H2(NSA)恢復(fù)出明文信息．解密過(guò)程如下驗(yàn)證推導(dǎo)所示:

1.3 密鑰更新

密鑰是加密通信的關(guān)鍵,因此為了保證系統(tǒng)的安全性,必須在一定周期內(nèi)進(jìn)行更新(主要是對(duì)用戶私鑰的更新)．基于無(wú)證書(shū)公鑰加密方案中的密鑰更新過(guò)程主要包括以下兩個(gè)步驟:

1)預(yù)先設(shè)定密鑰更新周期,時(shí)間周期設(shè)置得越短則系統(tǒng)安全性越高．為了讓密鑰更新的周期更加合理,可根據(jù)網(wǎng)絡(luò)動(dòng)態(tài)和需求,實(shí)時(shí)恰當(dāng)?shù)卣{(diào)整更新周期．

1.4 安全性分析

在本文設(shè)計(jì)的加密體制中,主要考慮以下兩種攻擊類型:

第一種攻擊.假設(shè)攻擊者獲取了系統(tǒng)私鑰,就會(huì)帶來(lái)安全威脅,即攻擊者利用獲取的系統(tǒng)私鑰去生成用戶的部分私鑰,這里攻擊者作為不可信的PKG節(jié)點(diǎn)．但是由于此方案中用戶完全私鑰的部分是由用戶自己生成的,并且不對(duì)外公開(kāi),因此不可信的PKG節(jié)點(diǎn)無(wú)法獲取用戶完全的私鑰,也就無(wú)法去監(jiān)聽(tīng)與其他用戶之間的通信內(nèi)容．

第二種攻擊.假設(shè)攻擊者作為一個(gè)不合法的用戶,獲取的是某個(gè)合法用戶完整的私鑰,但是由于此方案采用了離散對(duì)數(shù)運(yùn)算,不合法的用戶無(wú)法通過(guò)合法用戶的私鑰去倒推出系統(tǒng)私鑰,也不可能去生成其他合法用戶的私鑰,因此它只能與其他用戶之間進(jìn)行通信,是無(wú)法監(jiān)聽(tīng)到甚至解密其他用戶之間的通信內(nèi)容的．

這樣在系統(tǒng)更新用戶私鑰時(shí),不合法的用戶在向PKG節(jié)點(diǎn)申請(qǐng)部分私鑰時(shí)就無(wú)法通過(guò)PKG節(jié)點(diǎn)的身份認(rèn)證,原先獲取的私鑰也就失效了．

2 基于改進(jìn)無(wú)證書(shū)公鑰密碼的DTLS協(xié)議設(shè)計(jì)

本文設(shè)計(jì)的基于無(wú)證書(shū)公鑰加密的DTLS協(xié)議主要針對(duì)握手協(xié)議進(jìn)行改進(jìn)．由于目前DTLS握手協(xié)議雙方在進(jìn)行通信認(rèn)證時(shí)仍然需要加載證書(shū),增加了握手過(guò)程的復(fù)雜性和成功建立通信連接所占用的時(shí)間．因此,在DTLS協(xié)議中引入改進(jìn)的無(wú)證書(shū)公鑰密碼體制,設(shè)計(jì)新的握手協(xié)議,可有效避免證書(shū)的交換和驗(yàn)證的過(guò)程,減少通信雙方需要傳遞的信息量和交互的回合數(shù),從而縮短通信連接建立的時(shí)間．

2.1 DTLS握手協(xié)議

DTLS協(xié)議建立在傳輸層協(xié)議之上、應(yīng)用層協(xié)議之下,在完成加密算法、密鑰協(xié)商、服務(wù)器端認(rèn)證后,即可建立應(yīng)用層協(xié)議的通信．因此,后續(xù)應(yīng)用層協(xié)議發(fā)送的數(shù)據(jù)都會(huì)進(jìn)行加密處理,以保證網(wǎng)絡(luò)通信中數(shù)據(jù)的安全．圖2a給出的是一次完整的DTLS握手流程．DTLS v1.2中ClientHello和ServerHello消息序列中包含一個(gè)預(yù)共享密鑰(pre_shared_key),DTLS v1.3的ClientHello和ServerHello在DTLS v1.2基礎(chǔ)上又增加了一個(gè)密鑰共享(key_share)的擴(kuò)展部分．關(guān)于握手消息序列,文獻(xiàn)[14]進(jìn)行了較為詳盡的介紹,因此本文不在此贅述．

圖2 傳統(tǒng)DTLS握手消息序列與改進(jìn)DTLS握手消息序列Fig.2 Traditional DTLS handshake message sequences (a) and improved DTLS handshake message sequences (b)

2.2 改進(jìn)DTLS握手協(xié)議設(shè)計(jì)

本文提出的改進(jìn)DTLS握手協(xié)議通過(guò)+key_share*擴(kuò)展在Client端與Server端間交換公鑰信息,并將其重命名為+publickey_share*．而Client端和Server端的私鑰,一部分由私鑰生成器根據(jù)兩者的ID生成,另一部分由自身根據(jù)系統(tǒng)參數(shù)隨機(jī)生成．本文所設(shè)計(jì)的握手協(xié)議如圖2b所示,握手過(guò)程如下:

1)Client端向Server端發(fā)送一個(gè)沒(méi)有攜帶cookie值的ClientHello報(bào)文,以確認(rèn)Server端已經(jīng)啟用．

2)Server端收到此報(bào)文后,回復(fù)攜帶cookie值的HelloRetryRequest給Client端．

3)Client端從HelloRetryRequest報(bào)文中取出cookie值,放入新的ClientHello報(bào)文中發(fā)送,擴(kuò)展+publickey_share*中附帶自身的公鑰信息．

4)Server端驗(yàn)證Client端發(fā)送的ClientHello報(bào)文中攜帶的cookie值,選擇合適的加密算法(本文設(shè)計(jì)為DTLS_PKC_WITH_AES_128_CBC_SHA512)和壓縮算法,并生成隨機(jī)數(shù),通過(guò)ServerHello報(bào)文發(fā)送到Client端,擴(kuò)展中攜帶自身的公鑰信息．

5)Server端發(fā)送ChangeCipherSpec報(bào)文告知Client端密碼規(guī)范已發(fā)生改變,接下來(lái)將利用協(xié)商相同的安全密鑰來(lái)保障數(shù)據(jù)的安全傳輸．Server端通過(guò)密鑰交換算法生成預(yù)主密鑰,預(yù)主密鑰通過(guò)與隨機(jī)數(shù)進(jìn)行偽隨機(jī)運(yùn)算生成主密鑰以及會(huì)話密鑰．

預(yù)主密鑰生成過(guò)程如下:

(gSS)SCmodq=gSSSCmodq=

(gSC)SSmodq=(gSCmodq)SSmodq=

6)Server端利用協(xié)商好的算法和密鑰,將Finished報(bào)文加密后發(fā)送給Client端．此報(bào)文用于驗(yàn)證密鑰交換是否成功．

7)Client端在收到Server端發(fā)送的ServerHello、ChangeCipherSpec和Finished報(bào)文后計(jì)算出相應(yīng)的會(huì)話密鑰,解密Finished報(bào)文并對(duì)其數(shù)據(jù)進(jìn)行驗(yàn)證．驗(yàn)證通過(guò)發(fā)送ChangeCipherSpec報(bào)文告知Server端接下來(lái)使用協(xié)商相同的安全密鑰來(lái)保障數(shù)據(jù)的安全傳輸．

8)Client端利用協(xié)商的算法和密鑰,加密Finished報(bào)文后發(fā)送給Server端,Server端解密此報(bào)文并驗(yàn)證,驗(yàn)證通過(guò)后,兩者即可正式建立連接．

對(duì)比圖2a與2b可以發(fā)現(xiàn),與傳統(tǒng)的DTLS握手過(guò)程相比,本文在握手消息ClientHello和ServerHello中使用擴(kuò)展+publickey_share*交換公鑰信息,并省略了握手過(guò)程中與證書(shū)相關(guān)的交互報(bào)文．

2.3 無(wú)證書(shū)公鑰加密算法及握手協(xié)議實(shí)現(xiàn)

握手協(xié)議中的無(wú)證書(shū)公鑰加密算法(Discrete Logarithm based Certificate-Less Public Key Cryptography,DL-CL-PKC)可以通過(guò)GMP庫(kù)[15]來(lái)實(shí)現(xiàn).GMP庫(kù)是一種高精度的算術(shù)運(yùn)算庫(kù),可支持對(duì)浮點(diǎn)數(shù)、有符號(hào)整數(shù)等數(shù)據(jù)類型進(jìn)行相關(guān)算術(shù)運(yùn)算．它旨在為所有需要更高精度的應(yīng)用程序提供最快的算法．DL-CL-PKC算法主要分為PKG節(jié)點(diǎn)初始化函數(shù)、部分私鑰生成函數(shù)、完全私鑰生成函數(shù)、用戶公鑰生成函數(shù)以及加密和解密函數(shù)．為了程序后續(xù)的調(diào)用,將主要算法進(jìn)行了封裝．主要函數(shù)接口如表1所示.

表1 DL-CL-PKC算法函數(shù)接口Table 1 Function interfaces for the DL-CL-PKC algorithm

通過(guò)上述封裝的算法,可以在wolfSSL[16]庫(kù)中實(shí)現(xiàn)基于該算法的DTLS握手協(xié)議,具體可分為以下兩個(gè)步驟:

1)定義新的加密套件

DTLS握手過(guò)程所涉及的多種算法(密鑰交換、認(rèn)證、對(duì)稱加密及哈希算法),都是通過(guò)加密套件進(jìn)行定義的．測(cè)試程序會(huì)根據(jù)選擇的加密套件去執(zhí)行相應(yīng)算法,本文所定義的加密套件是DTLS_PKC_WITH_AES_128_CBC_SHA512,此加密套件表明密鑰協(xié)商算法是DL-CL-PKC,對(duì)稱加密算法采用128位的AES[17]算法,加密模式采用CBC模式,哈希算法采用SHA512．

2)密鑰協(xié)商

Client端和Server端互換公鑰信息后,Client端使用密鑰交換算法計(jì)算預(yù)主密鑰,并加密發(fā)送給Server端,Server端解密得到預(yù)主密鑰,接著Server端通過(guò)預(yù)主密鑰結(jié)合隨機(jī)數(shù)做偽隨機(jī)算法后得到主密鑰和后續(xù)會(huì)話的密鑰．

通過(guò)以上兩個(gè)步驟,雙方即可在省略證書(shū)加載和認(rèn)證過(guò)程的情況下正式建立連接．

3 實(shí)驗(yàn)分析

本文分別在 Ubuntu 18.04.3、CentOS 3.10.0和Deepin 5.4.50系統(tǒng)上實(shí)現(xiàn)基于無(wú)證書(shū)公鑰密碼的DTLS協(xié)議．Client端將本文定義的加密套件通過(guò)ClientHello報(bào)文發(fā)送給Server端,Server端選擇此加密套件,實(shí)施本文提出的握手方法.如果Server端沒(méi)有選擇此加密套件也可以跳轉(zhuǎn)到其他加密套件,本文以PSK和ECDHE為兩個(gè)備用套件．

實(shí)驗(yàn)環(huán)境為戴爾臺(tái)式機(jī),處理器是Core(TM) i7-9700,擁有內(nèi)存32 GB,虛擬機(jī)類型為VMware Workstation Pro,虛擬機(jī)分配虛擬內(nèi)存為4 GB,虛擬機(jī)系統(tǒng)為Ubuntu 18.04.3、CentOS 3.10.0和Deepin 5.4.50．

通過(guò)將本文設(shè)計(jì)的基于DL-CL-PKC算法的DTLS握手協(xié)議與DTLS兩個(gè)備用套件PSK[18]、ECDHE[19]和基于身份標(biāo)識(shí)的DTLS握手協(xié)議方案[7]進(jìn)行對(duì)比,通過(guò)比較它們的消息傳輸開(kāi)銷和連接時(shí)延來(lái)檢驗(yàn)本文所設(shè)計(jì)方案的性能．

3.1 消息傳輸開(kāi)銷

通過(guò)wireshark分別抓取4種方案交互傳輸?shù)膱?bào)文,對(duì)比4種握手過(guò)程中產(chǎn)生的信息字節(jié)數(shù),結(jié)果如表2所示.首先可以看出DTLS備用的2個(gè)套件的交互次數(shù)都是6次,而本文提出的方案與基于身份標(biāo)識(shí)的DTLS握手協(xié)議方案都將交互次數(shù)減少了1次;其次在這些交互過(guò)程中由于剔除證書(shū)發(fā)送和驗(yàn)證過(guò)程,使本文設(shè)計(jì)的方案和基于身份標(biāo)識(shí)的DTLS握手協(xié)議方案所需傳輸?shù)奈帐窒?shù)量也有所減少,相比PSK,發(fā)送的消息數(shù)減少了3條,而相比ECDHE,減少了8條,大大降低了握手過(guò)程中的通信流量,且本文所提方案的握手消息字節(jié)略小于基于身份標(biāo)識(shí)的DTLS握手協(xié)議方案．

表2 4種方案消息傳輸開(kāi)銷Table 2 Messaging overhead for the four schemes

3.2 連接時(shí)間

分別測(cè)出4種方案在以linux為內(nèi)核的3種操作系統(tǒng)中的連接時(shí)間,測(cè)量方法是記錄發(fā)送第一個(gè)報(bào)文開(kāi)始到建立連接所用的時(shí)間,并且對(duì)這4種方案的連接時(shí)延進(jìn)行多次測(cè)量,最后求出平均值,結(jié)果如圖3所示．由于PSK是直接以雙方事先就已經(jīng)約定好的密鑰為基礎(chǔ)來(lái)進(jìn)行加密通信的,所以此方案節(jié)省了在握手過(guò)程中計(jì)算密鑰所花費(fèi)的時(shí)間,并且PSK方案[18]也不需要進(jìn)行證書(shū)的認(rèn)證,同樣節(jié)省了連接時(shí)間,最終都可以在較小時(shí)延下完成連接,但是PSK方案安全性較低.ECDHE方案[19]需要解析證書(shū)以作認(rèn)證,所以花費(fèi)時(shí)間較多,完成連接的時(shí)延最大.PBC方案[7]同樣實(shí)現(xiàn)了基于無(wú)證書(shū)的DTLS握手過(guò)程,節(jié)省了連接時(shí)間,但此方案沒(méi)有考慮到PKG節(jié)點(diǎn)遭受攻擊造成系統(tǒng)私鑰和合法用戶私鑰泄露的問(wèn)題.而本文所提方案在考慮安全性的前提下,省去證書(shū)驗(yàn)證環(huán)節(jié),也可以在相對(duì)較小的時(shí)延下建立連接．和ECDHE方案[19]相比,本文所提的方案將連接時(shí)延降低了40%以上;和PBC方案[7]采用雙線性對(duì)運(yùn)算獲取共享密鑰和后續(xù)會(huì)話密鑰相比,本文采用運(yùn)算速度更快的離散對(duì)數(shù)運(yùn)算,因此握手連接時(shí)間更短．

圖3 3種操作系統(tǒng)下的4種方案連接時(shí)間對(duì)比Fig.3 Comparison of connection time between four schemes under three operating systems

4 結(jié)束語(yǔ)

本文利用離散對(duì)數(shù)運(yùn)算,實(shí)現(xiàn)了DL-CL-PKC算法,設(shè)計(jì)并實(shí)現(xiàn)基于改進(jìn)離散對(duì)數(shù)運(yùn)算的無(wú)證書(shū)公鑰密碼的DTLS握手協(xié)議,此方案可將Client端和Server端產(chǎn)生的公鑰通過(guò)擴(kuò)展+publickey_share分別發(fā)送到對(duì)端,參與后續(xù)會(huì)話密鑰的生成,簡(jiǎn)化了握手過(guò)程,減少了交互次數(shù),節(jié)省了通信開(kāi)銷．實(shí)驗(yàn)結(jié)果表明,本文在不降低原先DTLS安全性的基礎(chǔ)上,很大程度地縮短了連接建立時(shí)間．下一步工作將從物聯(lián)網(wǎng)應(yīng)用層協(xié)議入手,將本文設(shè)計(jì)的無(wú)證書(shū)方案與應(yīng)用層協(xié)議集成起來(lái)并實(shí)現(xiàn)基于無(wú)證書(shū)DTLS協(xié)議的應(yīng)用層協(xié)議的加密．