茅 磊

（江蘇建筑職業(yè)技術(shù)學(xué)院 信電工程學(xué)院，江蘇 徐州 221116）

0 引言

智慧家居又稱為智慧住宅［1］（Smart Home System），是人工智能、物聯(lián)網(wǎng)、云計算以及建筑設(shè)計、建筑裝飾等相關(guān)學(xué)科的綜合交叉研究領(lǐng)域。在智慧家居系統(tǒng)中，使用先進的計算機與通信、智慧云端控制、綜合布線等技術(shù)，將人們?nèi)粘Ｉ罡鱾€子領(lǐng)域系統(tǒng)，如安防、信息家電、室內(nèi)燈光控制、地板采暖、居家健康保健、衛(wèi)生防疫等有機結(jié)合在一起，通過網(wǎng)絡(luò)化的綜合智慧控制和管理，實現(xiàn)更舒適、方便且更安全、環(huán)保的全新家居生活體驗［2］。

1 相關(guān)工作

隨著智慧家居產(chǎn)業(yè)的逐步發(fā)展，有關(guān)智慧家居的安全保障問題越來越引起人們的重視。智慧家居系統(tǒng)中存儲在云端的數(shù)據(jù)經(jīng)常會受到各種威脅，包括用戶隱私泄漏、重要數(shù)據(jù)的非法濫用，以及采集的用戶數(shù)據(jù)完整性被破壞等［3］。對于用戶信息的泄漏、濫用可采用訪問控制和加密技術(shù)進行預(yù)防，在此方面已有不少研究成果。林珊珊等［4］分析了物聯(lián)網(wǎng)環(huán)境中智慧家居存在的安全隱患，指出智慧家居中存在竊聽、流量分析等被動攻擊方式以及重放攻擊、信息篡改等8 種主動攻擊方式；嚴寒等［5］圍繞智慧家居終端設(shè)備、云平臺、移動應(yīng)用程序及通信4 個方面，綜述智慧家居中存在的攻擊方法和防御措施，最后討論了目前學(xué)術(shù)界及工業(yè)界關(guān)注的研究熱點與難點；馮承文等［6］分析了智慧家居系統(tǒng)與智慧社區(qū)、智慧城市之間的關(guān)系，指出智能分析算法的應(yīng)用會造成智慧家居系統(tǒng)存在相應(yīng)的安全風(fēng)險，并分別從法律和技術(shù)層面論述了智慧家居安全標(biāo)準(zhǔn)體系框架的通用標(biāo)準(zhǔn)和專用標(biāo)準(zhǔn)；張國亮［7］從家居安防智能化、家電設(shè)備智能化、家居醫(yī)療智能化等方面，針對智慧家居系統(tǒng)中的物聯(lián)網(wǎng)構(gòu)架安全威脅和通信安全威脅給出了可行性建議和實施方案；王宇成［8］針對物聯(lián)網(wǎng)智能家居系統(tǒng)設(shè)備攻擊檢測展開研究，設(shè)計了一個基于傳感器上下文特征的敏感指令入侵檢測框架，實現(xiàn)了對窗戶（以及智能門鎖）、空調(diào)（以及恒溫器）、燈、窗簾（以及百葉窗）、電視音響等娛樂類電器（以及廚房類電器）的決策樹模型構(gòu)建。但目前關(guān)于智慧家居系統(tǒng)中，對各終端無線傳感器收集的相關(guān)數(shù)據(jù)在云端完整性的有效保護方案目前尚不多見，因此本文將針對此問題展開研究。

2 系統(tǒng)模型與方案實施過程

智慧家居系統(tǒng)在部署時所有功能均以互聯(lián)網(wǎng)為基礎(chǔ)，建立在物聯(lián)網(wǎng)和云計算之上。智慧家居系統(tǒng)終端一般是各種無線傳感設(shè)備，其負責(zé)收集、更新各種家居生活中的環(huán)境數(shù)據(jù)。由于云計算服務(wù)商往往擁有強大的算力以及海量的存儲空間，因此可將各終端設(shè)備采集的數(shù)據(jù)傳送至云端，通過云計算大數(shù)據(jù)的分析為智慧家居系統(tǒng)提供各種決策服務(wù)，如圖1所示。

由圖1 可以看出，保證各終端傳感器采集數(shù)據(jù)的完整性，是智慧家居系統(tǒng)正常工作的基本要求。密碼學(xué)中的數(shù)字簽名技術(shù)可以同時為物聯(lián)網(wǎng)終端采集的數(shù)據(jù)提供真實性、完整性和不可否認性的驗證服務(wù)，尤其是在數(shù)據(jù)完整性公開驗證、數(shù)字取證及不可否認性認證等方面發(fā)揮著難以替代的作用。本文針對具有特殊性質(zhì)的同態(tài)聚合數(shù)字簽名技術(shù)展開研究，并將其應(yīng)用于保障智慧家居系統(tǒng)存儲在云端數(shù)據(jù)的完整性。數(shù)字簽名技術(shù)基于公鑰密碼學(xué)理論，公鑰密碼體制自1976 年由Diffie 等［9］提出以后，按照發(fā)展過程出現(xiàn)了傳統(tǒng)公鑰密碼體制、基于身份的公鑰密碼體制、無證書密碼體制和基于證書的密碼體制等幾類公鑰密碼體制［10］。傳統(tǒng)公鑰密碼體制部署時需要設(shè)置用戶公鑰證書管理中心，用于頒發(fā)、管理用戶證書并驗證其合法性，無形中增加了系統(tǒng)證書管理的負擔(dān)；基于身份的公鑰密碼體制在使用與部署時，雖然可直接采用用戶的標(biāo)識信息（例如郵箱地址、公民身份證號與電話號碼等）作為公鑰，減少了傳統(tǒng)公鑰密碼系統(tǒng)中頒發(fā)、驗證、維護公鑰證書等環(huán)節(jié)，但是用戶私鑰全部存儲在密鑰生成中心（Key Generation Center，KGC）。換而言之，基于身份的密碼體制中的密鑰生成中心（KGC）掌控系統(tǒng)中的所有用戶私鑰，所以使用時必須假定上述KGC 是完全誠實可信的，這強制性假設(shè)往往與現(xiàn)實中的某些客觀環(huán)境不符，不適合應(yīng)用于智慧家居這樣商業(yè)性的云存儲平臺中，會存在密鑰托管問題。

基于證書的公鑰密碼體制［11-12］與以上兩種公鑰密碼體制相比具有明顯優(yōu)勢。在基于證書的公鑰密碼體制中，每個用戶擁有自己選擇的公私鑰對和權(quán)威認證機構(gòu)頒發(fā)的證書。當(dāng)加密或簽名時，需要同時使用自己的私鑰和證書。由于私鑰是用戶自己選擇的，因此避免了基于身份的密碼體制的密鑰托管問題，同時在一定程度上降低了傳統(tǒng)公鑰體制中公鑰證書存儲效驗和計算等方面的開銷。在智慧家居系統(tǒng)中可以非常方便地部署基于證書的密碼系統(tǒng)：系統(tǒng)云服務(wù)商可以扮演證書生成中心，用戶注冊時，證書生成中心為每個用戶生成各自的證書，用戶則根據(jù)云服務(wù)商公開的系統(tǒng)參數(shù)隨機選擇自己的公私鑰對。如圖2所示，在智慧家居系統(tǒng)中部署基于證書的公鑰密碼體制不僅可以抵御外部惡意攻擊者，而且可以抵抗不誠實云服務(wù)商的偽造，因此是最佳選擇。

智慧家居邊緣系統(tǒng)中的無線傳感器每時每刻都在收集用戶室內(nèi)外環(huán)境的相關(guān)數(shù)據(jù)，通過網(wǎng)絡(luò)上傳至云平臺中進行大數(shù)據(jù)分析與處理。如果這些收集到的數(shù)據(jù)在互聯(lián)網(wǎng)中傳輸或在云端存儲時，受到有意無意的破壞，那么錯誤的數(shù)據(jù)就會直接影響到智慧家居系統(tǒng)的正常工作，所以保障智慧家居系統(tǒng)中云端數(shù)據(jù)的完整性是非常必要的。對于智慧家居系統(tǒng)中無線傳感器收集的數(shù)據(jù)，若采用普通的數(shù)字簽名來保證采集數(shù)據(jù)的完整性，需要對每個采集的數(shù)據(jù)塊簽名進行驗證。該方式不但會增加網(wǎng)絡(luò)中傳輸?shù)拇鷥r，而且當(dāng)需要檢驗存儲在云端數(shù)據(jù)的完整性時，還要逐一下載驗證每個數(shù)據(jù)塊對應(yīng)的簽名，因此不實用。

同態(tài)簽名［13-16］是一種特殊的數(shù)字簽名，假設(shè)M為待簽名的數(shù)據(jù)集空間，該空間中的運算為#，簽名空間為Θ，對應(yīng)空間中的運算為*，對于來自M和Θ 上的消息簽名對(m1，λ1)和(m2，λ2)（其中λ1=f(m1)，λ2=f(m2)），若簽名算法f是 代數(shù) 系統(tǒng)(M，#)到(Θ，*)上 的同 態(tài)映 射，則f(m1#m2)=f(m1)*f(m2)=λ1*λ2成立?？梢钥闯?，在同一數(shù)據(jù)集空間M中，數(shù)據(jù)簽名可由同態(tài)組合算法直接生成。聚合簽名［17-19］與同態(tài)簽名不同，聚合簽名中包含以下3 類實體：簽名 者User1，User2，…，Userq（Useri的 公私 鑰對為（PKi，xi））、簽名聚合者（Aggregater）和聚合簽名的驗證者（Verifier）。聚合者A以User1，User2，…，Userq各自產(chǎn)生的消息—簽名對（m1，σ1）、（m2，σ2）、…、（mq，σq）作為輸入，通過聚合算法輸出聚合后的簽名σA，然后A把｛（m1，PK1）、（m2，PK2）、…、（mq，PKq），σA｝傳送給驗證者V，驗證者通過聚合驗證算法鑒別聚合簽名σA的有效性。如果σA是合法簽名，那么可以確定上述q個用戶的單個簽名是合法的。在需要把多個不同實體產(chǎn)生的多個簽名同時傳送給一個驗證者進行驗證時，聚合簽名非常方便實用。

在智慧家居系統(tǒng)中，使用同態(tài)簽名和聚合簽名不僅可有效節(jié)省對傳送方的通信帶寬需求，而且可以降低驗證多個簽名人簽名時的計算代價，同時降低云平臺中存儲多個簽名所需的存儲代價。當(dāng)智慧家居無線傳感網(wǎng)絡(luò)收集的各用戶數(shù)據(jù)存放在云平臺時，可按時間間隔適當(dāng)分塊，將分成的塊看作一個數(shù)據(jù)集，采用同態(tài)簽名進行簽名，并把數(shù)據(jù)集標(biāo)簽和各塊的簽名上傳云端，如圖3所示。

Fig.3 Data acquisition process in smart home system圖3 智慧家居系統(tǒng)中的數(shù)據(jù)采集過程

驗證者在驗證數(shù)據(jù)的完整性時，可隨機指定若干數(shù)據(jù)塊和一個同態(tài)函數(shù)，向云平臺服務(wù)器挑戰(zhàn)。云平臺服務(wù)器使用同態(tài)組合算法，通過同態(tài)運算把用戶挑戰(zhàn)塊和對應(yīng)簽名進行壓縮，最后將壓縮后的結(jié)果返回數(shù)據(jù)的驗證者，驗證者使用對應(yīng)的驗證算法驗證云服務(wù)器返回的結(jié)果是否正確，如圖4所示。

Fig.4 Process of using homomorphic algorithms to challenge cloud servers圖4 使用同態(tài)算法向云服務(wù)器挑戰(zhàn)的過程

在進行多用戶數(shù)據(jù)塊完整性批量驗證時，云服務(wù)器需將驗證者所指定各用戶分塊的同態(tài)函數(shù)簽名進行聚合，把各數(shù)據(jù)分塊的同態(tài)函數(shù)值以及這些值的簽名聚合結(jié)果返回給驗證者。驗證者通過對聚合簽名的驗證，便可獲知多個不同用戶的家居信息數(shù)據(jù)的完整性，如圖5 所示。由此可見，在同一用戶數(shù)據(jù)集中的數(shù)據(jù)塊簽名可先用同態(tài)組合算法進行壓縮，而不同用戶的數(shù)據(jù)塊（即不同數(shù)據(jù)集中的數(shù)據(jù)塊）簽名用聚合算法進行壓縮。該方式既減少了智慧家居云服務(wù)器需要傳輸?shù)男畔⒘?，又減少了驗證者驗證簽名的計算量，大大提高了數(shù)據(jù)簽名驗簽時的效率。

Fig.5 Batch validation of multi-user data using aggregation signature algorithm圖5 使用聚合簽名算法實現(xiàn)多用戶數(shù)據(jù)的批驗證

基于證書的同態(tài)聚合簽名在智慧家居系統(tǒng)中的部署方案包括以下幾種算法：

（1）系統(tǒng)初始化算法。智慧家居系統(tǒng)云平臺服務(wù)中心作為證書生成中心，輸入安全參數(shù)1k，算法輸出基于證書系統(tǒng)的公私鑰對（CB-P0，CB-msk）和系統(tǒng)公開參數(shù)CBparams。其中，系統(tǒng)私鑰CB-msk需要嚴格保密。

（2）用戶密鑰生成算法。用戶在智慧家居系統(tǒng)注冊時運行該算法，用戶輸入自己的身份信息ID和系統(tǒng)公開參數(shù)CB-params，算法輸出用戶的公私鑰對（CB-xID，CB-PKID）。

（3）證書生成算法。在智慧家居系統(tǒng)云服務(wù)中心運行該算法，算法輸入系統(tǒng)的主私鑰CB-msk、系統(tǒng)公鑰CBP0、系統(tǒng)公開參數(shù)CB-params、用戶ID 及該用戶的公鑰CB-PKID，算法輸出由該云服務(wù)中心簽署的用戶證書CertID。

（4）簽名算法。該算法由智慧家居系統(tǒng)的各用戶終端運行，對系統(tǒng)中邊緣傳感器收集的數(shù)據(jù)進行簽名。算法輸入用戶身份ID、系統(tǒng)公開參數(shù)CB-params、系統(tǒng)的公鑰CB-P0、數(shù)據(jù)集標(biāo)簽τ、待簽名的數(shù)據(jù)塊用戶證書CertID、用戶私鑰CB-xID，算法輸出在身份ID 下數(shù)據(jù)塊m的簽名σ。

（5）同態(tài)組合算法。由智慧家居系統(tǒng)云服務(wù)中心運行，數(shù)據(jù)驗證者驗證時，隨機指定某一數(shù)據(jù)集τ中的若干數(shù)據(jù)塊以及同態(tài)函數(shù)的系數(shù)，向云服務(wù)器發(fā)出挑戰(zhàn)。云服務(wù)器運行該算法，輸入挑戰(zhàn)用戶身份ID、公鑰PKID、數(shù)據(jù)集標(biāo)簽τ和，算法輸出同態(tài)算法組合后的簽名σ。

（6）驗證算法。該算法由數(shù)據(jù)驗證者執(zhí)行，輸入系統(tǒng)的公開參數(shù)CB-params、系統(tǒng)的公鑰CB-P0、用戶身份ID、用戶的公鑰PKID、數(shù)據(jù)集標(biāo)簽τ、消息向量m和簽名σ，算法輸出true或false。

（7）聚合算法。在進行多用戶數(shù)據(jù)塊的批量驗證時執(zhí)行本算法。若存在q個不同用戶users={u1，u2，…，uq}（其中用戶ui的身份為IDi，公鑰為PKi），設(shè)聚合簽名驗證者的公私鑰對為（pkver，skver），輸入系統(tǒng)公開參數(shù)CBparams、聚合簽名驗證者的公鑰pkver、q個用戶在對應(yīng)數(shù)據(jù)集中數(shù)據(jù)塊向量mi的合法簽名σi(其中i=1，2，…，q)，算法輸出這些用戶在消息—簽名對上的聚合簽名σAgg。

（8）聚合驗證算法。輸入系統(tǒng)公開參數(shù)CB-params、聚合簽名驗證者的私鑰skver、在上的聚合簽名σAgg，算法輸出true或false。

3 基于證書的同態(tài)聚合簽名算法

（1）系統(tǒng)初始化算法。該算法由云平臺服務(wù)中心運行，輸入安全參數(shù)1k，云服務(wù)中心生成p階的乘法循環(huán)群G1，GT，其中p為素數(shù)，g是G1的生成元，雙線性映射e：G1×G1→GT。隨機選擇，設(shè)置系統(tǒng)主私鑰s，系統(tǒng)公鑰P0=gs。選擇以下4 個密碼Hash 函數(shù)：H1：{0，1}*→G1，H5：{0，1}*→G1，公開系統(tǒng)的公開參數(shù)(G1，GT，e，p，g，P0，H1，H2，H3，H4，H5)。系統(tǒng)參數(shù)公開后，聚合簽名驗證者需隨機選取驗證私鑰ε∈，并對私鑰嚴格保密，設(shè)置公開聚合簽名的驗證公鑰為ξ=gε。

（2）用戶密鑰生成算法。該算法由智慧家居系統(tǒng)中的終端用戶運行，算法以系統(tǒng)公共參數(shù)和用戶身份ID∈{0，1}*作為輸入。算法隨機選擇x∈，計 算PK=gx。（PK，x）即為該用戶的公私鑰對。

（3）證書生成算法。該算法由云平臺服務(wù)中心運行，用戶注冊該系統(tǒng)時，向云平臺服務(wù)中心提交身份ID∈{0，1}*，云平臺服務(wù)中心輸入系統(tǒng)公共參數(shù)、主私鑰s，計算D=(H1(ID))s，將其作為用戶證書，并傳遞給用戶。

（6）驗證算法。該算法由數(shù)據(jù)塊驗證者運行，算法的輸入為系統(tǒng)公開參數(shù)、用戶身份ID、公鑰PK、數(shù)據(jù)塊向量y=(y1，y2，…，yn)∈和簽名W，算法分兩個階段進行：

首先，從W中提取數(shù)據(jù)集標(biāo)簽τ=(R，β，Y)，計算Q=H1(ID)，u=H2(M‖R‖PK‖β)，v=H3(M‖R‖PK‖β)，并驗證式（1）是否成立：

如果上式不成立，則輸出false。否則進入下一步驗證，計算Ti=H4(ID‖τ‖i)，驗證下面的等式是否成立：

如果上式不成立，則輸出false，說明數(shù)據(jù)塊發(fā)生損壞；否則輸出true，說明被驗證的數(shù)據(jù)塊沒有被損壞。

如果有φ=φ'且μ=μ'成立，則該算法輸出true，說明驗證的數(shù)據(jù)塊沒有發(fā)生損壞；否則輸出false，說明驗證的數(shù)據(jù)塊中存在損壞。

4 基于證書的同態(tài)聚合簽名方案正確性驗證

（1）簽名算法輸出的數(shù)據(jù)集標(biāo)簽（τ=(R，β，Y)）的正確性驗證。

（2）簽名算法輸出同態(tài)簽名部分的正確性驗證。

（4）聚合簽名算法的正確性驗證。

成立。

5 基于證書的同態(tài)聚合簽名安全模型

基于證書的同態(tài)聚合簽名安全模型描述包含兩部分：基于證書的同態(tài)簽名方案的安全性和聚合算法的安全性。

5.1 基于證書的同態(tài)簽名安全模型

按照基于證書的密碼體制的特點，只有當(dāng)攻擊者同時掌握該用戶證書CertID和用戶私鑰CB-xID時，才能生成用戶公鑰CB-PKID下的合法簽名。如果攻擊者只掌握用戶證書CertID或用戶私鑰CB-xID的其中一個，則不能偽造合法簽名。由于在基于證書的簽名系統(tǒng)中不要求簽名的驗證者驗證用戶公鑰的合法性，所以在該系統(tǒng)中存在“替換公鑰”攻擊。因此，可將基于證書簽名的攻擊者劃分為以下兩類：第一類攻擊者CB-AⅠ可以替換任意用戶的公鑰CB-PKID，但不能獲得目標(biāo)用戶的證書CertID；第二類攻擊者也被稱為“誠實而又好奇”的證書頒發(fā)機構(gòu)，此類攻擊者可以產(chǎn)生用戶的證書CertID，但不能替換攻擊目標(biāo)用戶的公鑰CB-PKID。

同態(tài)簽名算法中引入數(shù)據(jù)集概念，即在同一數(shù)據(jù)集中數(shù)據(jù)簽名可由同態(tài)算法直接生成，而不同數(shù)據(jù)集之間的數(shù)據(jù)簽名則不再滿足上述性質(zhì)。因此，同態(tài)簽名應(yīng)滿足在適應(yīng)性選擇數(shù)據(jù)集下存在性不可偽造（Existentially Unforgeable Against Adaptive Chosen Dataset Attacks，EUF-CDA）的安全性要求。綜上，基于證書的同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集下存在性不可偽造的安全模型可通過以下挑戰(zhàn)者C 和攻擊者（AⅠ或AⅡ）之間的游戲來刻畫。

對于第一類攻擊者AⅠ，構(gòu)建模型如下：

（1）系統(tǒng)建立。C 生成公開參數(shù)params和系統(tǒng)主私鑰msk、保密主私鑰msk，將公開參數(shù)params發(fā)送給攻擊者AⅠ。

（2）詢問。攻擊者AⅠ可向挑戰(zhàn)者進行創(chuàng)建用戶詢問、用戶密鑰提取詢問、用戶證書提取詢問、替換用戶公鑰詢問與簽名詢問，挑戰(zhàn)者需要模擬隨機諭言器給予正確的回答。在簽名詢問時，挑戰(zhàn)者要模擬簽名諭言器，輸出在攻擊者要求身份公鑰下的合法簽名。

文獻［19］中按照簽名諭言器的能力，將簽名諭言器分成普通、強力和超級3 類：①普通簽名諭言器：該類簽名諭言器只能回答用戶身份為ID，在公鑰CB-PKID下消息向量m的簽名，其中公鑰CB-PKID沒有被攻擊者替換過，否則終止游戲；②強力簽名諭言器：該類簽名諭言器在回答攻擊者簽名詢問時可分成兩種情況：被詢問身份ID 的公鑰沒有被攻擊者替換過，則可以直接通過查詢用戶密鑰表，查詢對應(yīng)的公私鑰對，輸出合法簽名；如果被詢問身份ID的公鑰被替換過，則先向攻擊者詢問替換后公鑰對應(yīng)的私鑰，再輸出合法簽名；③超級簽名諭言器：該類諭言器能在被詢問身份ID 的公鑰被替換過時，即使攻擊者不提供對應(yīng)的私鑰，也能輸出合法簽名。即攻擊者只提供用戶身份ID和消息向量m，而不提供替換公鑰后對應(yīng)的私鑰，挑戰(zhàn)者也要產(chǎn)生合法簽名σ。在本文所述算法的安全證明中，挑戰(zhàn)者要模擬超級簽名諭言器輸出合法簽名。

（3）偽造輸出。最后攻擊者輸出一個偽造（ID*，PK*，τ*，m*，σ*）。當(dāng)以下情況成立時，稱攻擊者AⅠ在上述游戲中獲勝：①σ*是在挑戰(zhàn)身份ID*和對應(yīng)公鑰PK*下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②攻擊者沒有詢問過挑戰(zhàn)身份ID*的證書；③τ*≠τi，即AⅠ沒有詢問過身份為ID*、公鑰為PK*，并由τ*標(biāo)記的數(shù)據(jù)集m*中的消息簽名。

對于第二類攻擊者AⅡ，構(gòu)建模型如下：

（1）系統(tǒng)建立。C 生成公開參數(shù)params和系統(tǒng)主私鑰msk，將其發(fā)送給攻擊者AⅡ。

（2）詢問。攻擊者AⅡ可向挑戰(zhàn)者進行創(chuàng)建用戶詢問、用戶密鑰提取詢問、用戶證書提取詢問、替換用戶公鑰詢問與簽名詢問，挑戰(zhàn)者需要模擬隨機諭言器給予正確的回答。在簽名詢問時，仍然可將簽名諭言器分成普通、強力、超級3 種，其能力如游戲1 中所述。本文所述算法的安全證明，仍要模擬超級簽名諭言器輸出合法簽名。

（3）偽造 。最后 AⅡ輸出一個偽造（ID*，PK*，τ*，m*，σ*）。當(dāng)以下情況成立時，稱攻擊者AⅡ在游戲中獲勝：①σ*是在挑戰(zhàn)身份ID*、公鑰PK*下，由τ*標(biāo)記的數(shù)據(jù)集中消息m*的合法簽名；②τ*≠τi，即AⅡ沒有詢問過身份為ID*、公鑰PK*下，由τ*標(biāo)記的數(shù)據(jù)集m*上消息的簽名；③AⅡ沒有詢問過挑戰(zhàn)身份ID*對應(yīng)的私鑰；④AⅡ沒有替換過挑戰(zhàn)身份ID*對應(yīng)的公鑰。

定義1 把攻擊者在上述兩個游戲中獲勝的概率稱為攻擊者優(yōu)勢，一個基于證書的同態(tài)簽名方案在適應(yīng)性選擇身份、適應(yīng)性選擇數(shù)據(jù)集下是存在性不可偽造的（EUFCBHS-ID-CDA），當(dāng)且僅當(dāng)，任何概率多項式時間內(nèi)的超級攻擊者在上述兩個游戲中獲勝的優(yōu)勢是可忽略的。

5.2 聚合簽名的安全模型

聚合簽名的作用是將若干簽名者生成的單個簽名壓縮成一個簽名。在文獻［20］中給出了一種來自于聚合簽名者內(nèi)部的合謀攻擊，并重新定義了聚合簽名安全模型中攻擊者的能力：攻擊者使用一系列單個簽名偽造一個合法的聚合簽名，而在這些單個簽名中至少包含了一個非法簽名。換句話說，只有當(dāng)參與聚合的單個簽名都是合法簽名時，通過聚合算法生成的聚合簽名才是合法的。對于基于證書的同態(tài)聚合簽名而言，只有當(dāng)每個參與聚合的基于證書的同態(tài)簽名都是合法簽名時，生成的基于證書的同態(tài)聚合簽名才是合法的。其安全模型描述如下：

（1）系統(tǒng)建立。挑戰(zhàn)者獲得安全參數(shù)后生成系統(tǒng)的各項參數(shù)params，C生成驗證聚合簽名的公私鑰對，然后C將公鑰PK和參數(shù)發(fā)送給攻擊者A。

（2）詢問。私鑰詢問，攻擊者給出待詢問的用戶ID，挑戰(zhàn)者運行用戶密鑰生成算法，將用戶ID 的公私鑰對返回給攻擊者；聚合驗證詢問，攻擊者給出聚合后的簽名，挑戰(zhàn)者通過運行聚合簽名驗證算法，回答該簽名是否合法。

（3）偽造。最后攻擊者A 輸出一個偽造的聚合簽名，如果滿足下列條件，稱攻擊者A 在上述游戲中獲勝：①攻擊者A 輸出的最后聚合簽名是合法的；②在攻擊者進行聚合的單個簽名序列中，至少有一個簽名是非法的，即攻擊者使用了若干不完全合法的單個簽名產(chǎn)生了一個合法的聚合簽名。

定義2 一個基于證書的同態(tài)聚合簽名方案對于上述攻擊者是安全的，當(dāng)且僅當(dāng)，在任何概率多項式時間t內(nèi)，能夠偽造最多q個聚合簽名的超級攻擊者，在上述游戲中獲勝的優(yōu)勢是可忽略的。

6 本文方案安全性分析

定理1 在隨機諭言模型下，若存在一個EUFCBHS-ID-CDA的第一類攻擊者AⅠ，能在多項式時間t內(nèi)最多進行NC次創(chuàng)建用戶詢問、N1次H1詢問、N2次H2詢問、N3次H3詢問、N4次H4詢問、NK次密鑰提取詢問、Ns次簽名詢問，以? 的優(yōu)勢成功攻破上述方案，則存在一個算法C 能夠在t'≤t+(2NC+4Ns+3)t*時間內(nèi)，以優(yōu)勢解決CDH 問題，t*為每次回答詢問消耗的時間。

證明：CDH 問題實例：設(shè)G1是p階乘法循環(huán)群，g是生成 元，已 知P1=ga，P2=gb∈G1，a，b∈（其 中a、b未知），求解gab∈G1。挑戰(zhàn)者C 與第一類攻擊者AI交互，利用攻擊者AI的能力來解決上述CDH 問題。

（1）系統(tǒng)建立。給定安全參數(shù)1k和一個整數(shù)n，挑戰(zhàn)者C 建立如下系統(tǒng)：生成另一個素數(shù)p階的乘法循環(huán)群GT，g是CDH 實例中乘法循環(huán)群G1的生成元，雙線性映射e：G1×G1→GT，設(shè) 置P0=gb。C 將系統(tǒng)的公開參數(shù)(G1，GT，e，g，p，P0)發(fā)送給攻擊者AⅠ。H1、H2、H3、H4是C 控制的隨機諭言器。

（2）詢問。創(chuàng)建用戶詢問：C 維護表Userlist，表中的各項為（IDi，Di，xi，PKi），即用戶身份、用戶證書、私鑰、公鑰，初始為空。設(shè)AⅠ進行qc次創(chuàng)建用戶詢問，C 隨機選擇t∈{1，2，…，qc}，將身份IDt作為攻擊者的挑戰(zhàn)身份。運行時AⅠ提交身份IDi，C 進行如下運算：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇xi∈，計算PKi=，對身份IDi運行H1詢問，在H1-List取出Qi=H1(IDi)=和wi，設(shè)置；如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 隨機選擇xt∈，計算PKt=，對身份IDi運行H1詢問，從H1-List中取出Qt=H1(IDt)=P1，設(shè)置Dt=⊥。C將（IDi，Di，xi，PKi）加入表Userlist中。

H1詢問：C維護H1-List表，每一項為 (IDi，wi，Qi)，初始為空。AⅠ提交待詢問用戶的身份IDi，挑戰(zhàn)者C 進行如下回答：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt），C 隨機選擇wi∈，設(shè)置Qi=H1(IDi)=；如果詢問身份是挑戰(zhàn)身份，（即IDi=IDt），C 設(shè)置wt=⊥，Qt=H1(IDt)=ga。C 將Qi的值返回給攻擊者。

證書提取詢問：AⅠ向證書提取諭言器提交待詢問用戶的身份IDi，挑戰(zhàn)者 C 進行如下回答：若IDi≠IDt，C 查詢表Userlist，返回身份IDi對應(yīng)的Di；否則IDi=IDt，C 終止，因為AⅠ不能詢問挑戰(zhàn)身份的證書。

用戶密鑰詢問：AⅠ提交用戶的身份IDi，詢問對應(yīng)的公私鑰對，C查詢表Userlist，返回（xi，PKi）。

公鑰替換詢問：AⅠ可以向替換公鑰諭言器提交一個身份為IDi用戶的新公鑰，C 用替換表Userlist中IDi對應(yīng)的原公鑰PKi。

H2、H3詢問：C 維護表H2-List和表H3-List，兩個表中每一項分別為一個五元組 (M，R，PKi，β，u) 和(M，R，PKi，β，v)，初始時均為空。AⅠ提交詢問(M，R，PKi，β)，挑戰(zhàn)者C 進行如下回答：隨機選擇u，v∈設(shè)置H2(M‖R‖PKi‖β)=u，H3(M‖R‖PKi‖β)=v。

H4詢問：C 維護表H4-List，表中各項為(IDi，τ，s，(g1，g2，…，gn))，初始為空。AⅠ可以向H4諭言器提交詢問(IDi，τ，k)，C 隨機選擇s1，s2，…，sn←。記s=(s1，s2，…，sn)，設(shè) 置gk=H4(IDi‖τ‖k)=，(k=1，2，…，n)，將gk返回給攻擊者。

設(shè)t為AⅠ運行時間，t'為C 運行時間，t*為每次回答詢問消耗的時間，若AⅠ最多進行NC次創(chuàng)建用戶詢問，則H2、H3、H4詢問 的次數(shù)為N2=N3=N4=Ns+1，所以可得t'≤t+2NC·t*+N2t*+N3t*+N4t*+Nst*=t+(2NC+4Ns+3)t*。證畢。

定理2 在隨機諭言模型下，若存在一個EUFCBHS-ID-CDA的第二類攻擊者AⅡ，能在多項式時間t內(nèi)最多進行NC次創(chuàng)建用戶詢問、N1次H1詢問、N2次H2詢問、N3次H3詢問、N4次H4詢問、NK次用戶密鑰提取詢問、NS次簽名詢問，以?的優(yōu)勢成功攻破上述方案，則存在一個算法C 能夠在t'≤t+(2NC+4Ns+3)t*時間內(nèi)，以優(yōu)勢?'≥解決CDH 問題，其中t*為每次回答詢問所用時間。

證明：針對CDH 問題實例，設(shè)G1是p階乘法循環(huán)群，g是生成元，已知P1=ga，P2=gb∈G1，a，b∈（其中a、b未知），求解gab∈G1。挑戰(zhàn)者C 與第二類攻擊者AⅡ交互，利用攻擊者AⅡ的能力來解決上述CDH 問題。

（1）系統(tǒng)建立。輸入安全參數(shù)1k和整數(shù)n，C 建立交互系統(tǒng)：選擇另一個p階乘法循環(huán)群GT，雙線性映射e：G1×G1→GT。隨機選擇s∈，設(shè)置系統(tǒng)主私鑰msk=s，P0=gs，最后將系統(tǒng)的公開參數(shù)params=(G1，GT，e，g，p，P0)和主私 鑰發(fā) 送給 攻擊 者。H1、H2、H3、H4是C 控制 的隨 機諭言器。

（2）詢問。創(chuàng)建用戶詢問：C 維護表Userlist，表中的各項為（IDi，Di，xi，PKi），即用戶身份、用戶證書、用戶私鑰、用戶公鑰，初始為空。設(shè)AII進行qc次創(chuàng)建用戶詢問，C 隨機選擇t∈{1，2，…，qc}，將身份IDt作為攻擊者的挑戰(zhàn)身份。運行時AII提交身份IDi，C 進行如下操作：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇xi∈，計算PKi=gxi，對身份IDi運行H1詢問，從H1-List中取出Qi=H1(IDi)=，并設(shè)置Di=

如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 設(shè)置xt=⊥，PKt=P2，對身份IDi運行H1詢問，從H1-List中取出Qt=H1(IDt)=P1，并 設(shè)置Dt=(P1)s。C 將（IDi，Di，xi，PKi）加入表Userlist中。

H1詢問：C維護H1-List表，每一項為 (IDi，wi，Qi)，初始為空。AII提交詢問用戶的身份IDi，挑戰(zhàn)者C 進行如下操作：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇wi∈，設(shè)置Qi=H1(IDi)=gwi；如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 設(shè)置wt=⊥，Qt=H1(IDt)=P1。C 將Qi的值返回給攻擊者。

用戶密鑰詢問：AⅡ提交用戶的身份IDi，詢問對應(yīng)的公私鑰對，挑戰(zhàn)者C進行如下回答：若IDi≠IDt且用戶IDi對應(yīng)的公鑰沒有被替換過，C 以IDi為索引查詢表Userlist，返回（xi，PKi）；若IDi=IDt，則C 終止。攻擊者AII不能詢問挑戰(zhàn)身份的私鑰。

公鑰替換詢問：AⅡ可以向替換公鑰諭言器提交一個身份為IDi用戶的新公鑰，用來替換身份為IDi用戶原來的公鑰PKi。若IDi≠IDt，則C 用PK'i替換原來表中IDi對應(yīng)的公鑰PKi；若IDi=IDt，則C 終止。攻擊者AII不能替換挑戰(zhàn)身份的公鑰。

H2、H3詢問：C 維護表H2-List和表H3-List，在這兩個表中每一項分別為一個五元組(M，R，PKi，β，u) 和(M，R，PKi，β，v)，初始時為空。AⅡ提交詢問(M，R，PKi，β)，挑戰(zhàn)者C 進行如下回答：隨機選擇u，v∈，設(shè)置H2(M‖R‖PKi‖β)=u，H3(M‖R‖PKi‖β)=v。

H4詢問：C 維護一張表H4-List，表中各項為(IDi，τ，s，(g1，g2，…，gn))，初始為空。AⅡ可以向H4諭言器提交詢問(IDi，τ，k)，C 隨機選擇s1，s2，…，sn←，記s=(s1，s2，…，sn)，并分別計算gk=H4(IDi‖τ‖k)=，(k=1，2，…，n)，將gk返回給攻擊者。

定理3 設(shè)哈希函數(shù)H是抗碰撞的，當(dāng)且僅當(dāng)在聚合簽名中每個用戶的簽名是合法的，則由聚合算法產(chǎn)生的聚合簽名是合法的。

證明：

所以，聚合簽名是合法的。

（2）另一方面，如果聚合簽名是合法的，則有φ=φ'。即：

（4）由μ=μ'成立，可得：

7 基于證書的同態(tài)聚合簽名方案性能實驗

本節(jié)針對上述設(shè)計的基于證書的同態(tài)聚合簽名方案，使用Java 語言編程進行了仿真實驗，實驗中使用斯坦福大學(xué)開發(fā)的JPBC 庫（The Java Pairing-Based Cryptography Library）。測試環(huán)境的硬件配置為：CPU 為Intel Core i7 @2.2 GHz，內(nèi)存為16 GB，操作系統(tǒng)為Windows 10（x64）。

仿真實驗中選取的每個數(shù)據(jù)塊大小為5MB，分別使用本文設(shè)計的基于證書的同態(tài)聚合簽名方案、文獻［21］中基于證書的聚合簽名方案和文獻［22］中基于證書的簽名方案。如表1 所示，依次對10 個數(shù)據(jù)塊（包含2 個數(shù)據(jù)集，每個數(shù)據(jù)集中有5 個數(shù)據(jù)塊）、30 個數(shù)據(jù)塊（包含5 個數(shù)據(jù)集，每個數(shù)據(jù)集中有6 個數(shù)據(jù)塊）、50 個數(shù)據(jù)塊（包含5 個數(shù)據(jù)集，每個數(shù)據(jù)集中有10 個數(shù)據(jù)塊）、70 個數(shù)據(jù)塊（包含7 個數(shù)據(jù)集，每個數(shù)據(jù)集中的數(shù)據(jù)塊個數(shù)依次為8 個、5 個、11個、15 個、9 個、10 個、12 個）、100 個數(shù)據(jù)塊（包含10 個數(shù)據(jù)集，每個數(shù)據(jù)集中的數(shù)據(jù)塊個數(shù)依次為5 個、7 個、15 個、14個、18 個、15 個、5 個、2 個、13 個、6 個）進行簽名和驗證。3種基于證書的簽名方案驗簽時的性能比較如圖6所示。

Table 1 Number of test data blocks表1 測試數(shù)據(jù)塊個數(shù)

Fig.6 Comparison of the performance of three certificate-based signature schemes圖6 3種基于證書的簽名方案驗簽時性能比較

從實驗結(jié)果可以看出，使用普通基于證書的數(shù)字簽名方案在驗證實驗數(shù)據(jù)塊時，隨著數(shù)據(jù)塊數(shù)量的增加，簽名的驗簽時間也隨之明顯增長。使用基于證書的聚合簽名時，雖然驗簽耗時曲線已經(jīng)降低并趨于平緩，但由于每個用戶包含的數(shù)據(jù)塊數(shù)量很多，所以仍需消耗很多時間。最后使用本文設(shè)計的基于證書的同態(tài)聚合簽名方案進行驗簽時，消耗的時間最少。這是因為針對同一用戶數(shù)據(jù)集中的數(shù)據(jù)塊簽名可以使用同態(tài)簽名算法進行組合，對于來自不同用戶數(shù)據(jù)集的數(shù)據(jù)塊簽名可以使用聚合簽名算法進行壓縮。因此，使用基于證書的同態(tài)聚合簽名算法可以減少對各數(shù)據(jù)塊進行完整性檢測的驗證簽名時間，進一步提高了驗簽效率和網(wǎng)絡(luò)帶寬利用率。

8 結(jié)語

本文提出一種基于證書的同態(tài)聚合簽名算法，并將其應(yīng)用于智慧家居系統(tǒng)中各種無線傳感器收集數(shù)據(jù)的完整性檢測中。算法可以在復(fù)雜的云存儲環(huán)境中，針對多用戶智慧家居傳感器收集到數(shù)據(jù)塊的完整性進行批量驗證，使用同態(tài)組合算法可壓縮同一用戶數(shù)據(jù)集中的數(shù)據(jù)塊簽名，而聚合算法可以對不同用戶數(shù)據(jù)集中數(shù)據(jù)塊的簽名作進一步聚合壓縮。通過仿真模擬實驗，可看出基于證書的同態(tài)聚合簽名在一定程度上提高了數(shù)據(jù)塊簽名的驗簽效率，節(jié)約了傳輸帶寬。但是，在智慧家居系統(tǒng)中還有很多問題值得探討。例如，如果證書中用戶的相關(guān)信息發(fā)生變更，或者證書被要求終止使用，都需要進一步探討用戶證書撤銷問題。此外，智慧家居無線傳感器收集的數(shù)據(jù)往往會包含一些用戶隱私及敏感數(shù)據(jù)，所以系統(tǒng)中數(shù)據(jù)的機密性保護也有待深入探究。