推荐星级：

物联网中基于位置的数字签名方案

更新时间：2019-12-10 18:31:11 大小：1M 上传用户：xiaohei1810 查看TA发布的资源 标签：物联网 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

物联网可用于收集大量与位置和时间相关的信息,如智能消防、智能交通、环境监测信息等,然而,如何保障这些时空敏感数据的安全成为了一个挑战.一方面,需要提供数据的完整性属性;另一方面,需要确保数据源的位置和时间信息不可伪造.因此,提出了基于位置的数字签名,将其作为解决物联网中时空敏感数据安全问题的方案.首先,分别提出了不考虑时间因素的静态基于位置数字签名和考虑时间因素的动态基于位置数字签名;然后,在BRM模型下设计了3维空间中满足动态安全需求的基于位置数字签名;通过安全性分析,得出结论:该协议可以抵御敌手的共谋攻击,同时满足可证明安全.

部分文件列表

文件名	大小
物联网中基于位置的数字签名方案.pdf	1M

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

计算机研究与发展DOI：i0．7544／issnl000—1239．2018．20180065

Research and

55(7)：1421—1431，2018

^ofComputer

Development

Journal

物联网中基于位置的数字签名方案

阙梦菲张俊伟

杨

超

杨

力

(西安电子科技大学网络与信息安全学院西安

马建峰崔文璇

710071)

(．edu．on)

Scheme in loTs

Position Based

Digital Signature

Chao，

Li，Ma

Cui Wenxuan

ianfeng，and

Que Mengfei，Zhang

unwei，Yang

Yang

(School

．Xi'an 710071)

of Cyber Engineering，Xidian University

Abstract

of location and time critical data has been collected

Internet of

Nowadays。lots

things

and SO

(10Ts)，such as

fire

intelligent

control，intelligent transportation，environmental monitoring

will

role on

important

on．It is well knownthat the location and time information of these data

play

some

in IoTs．For

time and location information is

in the fire

the

guarantee

generated

applications

example，the

alarm

security

and UAV data

system，vehicle system

acquisition system．However，how

these

data has become

of the data

property

hand，the

spatio—temporal

challenge．One

should be

other

location and time information of the data

origin

as oneof the solutions to the

hand，the

integrity

should be

provided；the

based

unforgeable．This study investigates position

signatures

based without

digital signature

of the

data in

static

security

loTs．Firstly，the

based

position

with time constraint is

spatio—temporal

time and the

considering

dynamic position

based

digital signature

proposed

based on the boundedretrieval model in

digital signature protocol

respectively．Then，a position

3一dimension is

which satisfies the

conditions．

proposed

security requirements

conclude that the

proposed protocol

dynamic

can

the

of our

Furthermore，by analyzing

security

protocol，we

the

resist collusion attack of the adversaries and

satisfy

provable security．

words

based

retrieval

digital signature；bounded

Key

loTs；position

cryptography；position

security

model(BRM)；provable

摘要物联网可用于收集大量与位置和时间相关的信息，如智能消防、智能交通、环境监测信息等．然

而，如何保障这些时空敏感数据的安全成为了一个挑战．一方面，需要提供数据的完整性属性；另一方

面，需要确保数据源的位置和时间信息不可伪造．因此，提出了基于位置的数字签名，将其作为解决物联

网中时空敏感数据安全问题的方案．首先，分别提出了不考虑时间因素的静态基于位置数字签名和考虑

时间因素的动态基于位置数字签名；然后，在BRM模型下设计了3维空间中满足动态安全需求的基于

位置数字签名；通过安全性分析，得出结论：该协议可以抵御敌手的共谋攻击，同时满足可证明安全．

关键词物联网；基于位置密码学；基于位置数字签名；有界检索模型；可证明安全

中图法分类号TP393

收稿日期：2018-01-26；修回日期；2018-05-03

基金项目：国家自然科学基金项目(61472310，U1536202，U1405255，61672413，61672415，61671360)

This work was

the National Natural Science Foundation of China(61472310．U1536202．U1405255，61672413．

supported by

61672415．61671360)．

万方数据

1422

计算机研究与发展2018，55(7)

物联网是新一代信息技术的重要组成部分，它

后果．然而现在还缺少对物联网中数据源位置及时

间验证的有效方案．

通过传感设备按照约定的协议把各种网络连接起来

进行信息交换，以实现智能化识别、定位、跟踪、监控

和管理[1屯]．随着物联网应用越发普及，其安全问题

也受到越来越多研究者的关注．文献[-33中讨论了物

联网主要应用场景(智能家居、智能医疗、车联网、智

能电网、工业与公共基础设施)中的隐私保护、人侵

检测等安全问题．在物联网中，成千上万的物联网设

备无时无刻不在产生大量的数据．因此，保障物联网

设备与数据安全成为了重中之重[4]．

3)海量感知设备的密钥管理困难．在传统密码

学中，通信双方进行身份和数据认证有2种主流方

法：1)使用预共享密钥，这需要双方预共享一个对称

密钥，只有通信双方持有密钥，才能够进行身份和数

据认证．对于海量感知设备，基于预共享的密钥管理

机制导致密钥空间爆炸，无法满足大规模应用．2)使

用非对称密钥，这要求发送方持有有效的公钥证书

证明自己公私钥的正确性，这必然会引入公钥基础

设施；同时，管理海量设备的证书也会带来大量开

销．然而由于物联网中存在海量的感知层设备，同时

产生海量的数据，无论使用第1种的预共享密钥方

案，或是第2种的公钥证书方案，都将带来密钥管理

复杂低效的问题．

在很多物联网应用中，节点采集的信息和节点

本身位置信息是密切相关的．因此，“物”的位置信息

将在物联网发展和应用中占据重要地位．只有结合节

点自身位置，才能进一步获得“在什么位置发生了特

定事件”[5]．因此，物联网定位‘63与节点位置感知‘7]

是物联网研究的主要课题之一；而随着基于位置服

务(10cation-based service，LBS)嘲大规模的部署，

也产生了越来越多具有时空属性的移动数据[93；在

许多应用中，如智能运输系统中，研究者收集流动的

汽车数据(跟踪交通工具的位置)，可以用于挖掘交

通模式，使用这些数据进行交通拥塞控制D03；环境

监测系统中，使用无人机进行定点传感器数据收集

(温度、湿度、压力、火警等)，可以实现对定点的环境

探测[11|．然而，对于这些时空敏感的数据，安全问题

传统的数字签名中发送方以其私钥签名数据，

2。．

接收方用对应的公钥解密来验证签名的真实性[I

其目的是使签名者对数据进行签名并且无法否认，

任何人无法伪造签名．主要的应用包括：发送者的身

份认证、保证信息传输的完整性、防止交易中的抵赖

发生等．数字签名经过人们几十年的探索，研究出了

许多不同的方案，如无证书签密[1引、可修订数字签

名D4]、属性签名DS]等．尽管数字签名方案可以解决

网络中消息篡改问题，但是对于数据源位置及数据

成为了一个至关重要且急需解决的问题．

物联网中时空敏感的数据面临3个挑战：

1)传统网络中的攻击依然存在．物联网同样面

生成时间伪造和物联网中海量数据验证的密钥管理

问题仍然无法有效解决．

在这之前，Liu和Ning针对无线传感器网络提

出了一个基于位置的密钥预分发方案[163；Yang和

Xiao应用基于网格多项式的密钥建立来解决无线

临已有网络的各种攻击，攻击者可以篡改数据信息．

同时，感知设备的系统可能存在漏洞和安全缺陷，攻

击者可以对系统的硬件、软件及其系统中的数据进

行攻击．这会导致某些数据流的篡改和虚假数据流

的产生，造成消息篡改、伪造数据等攻击．然而，物联

网中的海量感知设备通常性能受限，使用传统公钥

数字签名解决消息篡改问题的方案计算效率较低，

不适用于物联网中资源受限的感知设备．

传感网络的安全问题[173；Huang等人针对无线传感

网络提出了一种基于位置的密钥管理方案[181；Younis

等人则提出了一种基于位置的分布式密钥管理方

案[】叼；Zhang等人结合用户身份和地理位置得出基

于位置密钥，并提出了一种基于位置的安全机制[2们；

2009年Chandran等人在欧密会上提出位置密码

学[2¨ ，它将参与方的地理位置作为身份的凭据；在

retrieval

2)时空敏感数据的数据源位置及数据生成时

间伪造．对于时空敏感的数据，必须确保消息来源的

地理位置以及消息产生时刻的正确性，才能进行下

一步的应对工作．然而，在物联网中，设备和网络面

临各种恶意或非恶意攻击，而且，海量物联网设备自

身可靠性难以保障．如果由于攻击或者故障，造成数

据源位置和数据生成时间的错误(如位置错误的火

警信息)，有可能会造成经济损失、社会灾难等严重

BRM(bounded

model)嘲或BSM(bounded

storage model)[231模型下，实现了可证明安全的安全

定位协议(secure position，SP)[21]和基于位置的密钥

交换协议(position-based key exchange，PbKE)[2^4|．安

全定位协议本质上是位置验证协议，即验证者能够

对证明者所处的地理位置进行验证；而密钥交换协

议能够在验证者与处在期望位置的证明者之间完成

万方数据

阙梦菲等：物联网中基于位置的数字签名方案

密钥交换．基于位置密码学提出后，一些量子计算环

境下基于位置的密码协议也随之出现[2⁵¹²

够通过这个检索函数来检索这个信息串，并且存储

6。．

检索结果．

retrieval

model，

2)有界检索模型(bounded

薛庆水等人提出了基于位置的数字签名协

议[27]和基于位置的代理签密协议[28】，使用安全定位

协议构造基于位置的数字签名．然而，薛的方案未考

虑移动设备使用时的动态情况，无法实现密钥与用

户位置的动态绑定．当签名者位置发生变化后，签名

者仍可使用过期的密钥生成签名，无法满足基于位

置数字签名的安全需求．

BRM)．BRM模型假定所有验证者能够广播具有高

最小熵的信息串，然而敌手只能提取这个信息串的

一部分．在基于位置密码学中将出现这种情况：当这

些信息快速经过敌手时，敌手只能够存取信息中有

限的一部分．BRM模型具有2个性质：

①验证者具有能够生成高最小熵信息串的反

向块熵源．这意味着验证者自身能够生成并且发送

具有高最小熵的信息串．

针对以上情况，本文提出了面向物联网设备的

基于位置数字签名方案，在此方案中数据发送方使

用其位置为唯一凭证对数据进行签名，而不在该位

置的用户无法伪造签名．该方案既考虑签名者的位

置，同时在时间方面进行严格约束，能够同时满足静

态环境和动态环境下签名的不可伪造性，实现针对

某个时刻处于某个位置的安全数字签名．同时该方

案能够防止敌手篡改数据，并且在敌手共谋攻击的

环境下满足协议的可证明安全．

②当这些信息串快速经过敌手时，敌手能够提

取的信息量存在一个提取上限，设为卢行．肋可以是

最小熵(艿+口)”的任意部分，当且仅当检索函数的

输出长度不超过肋，敌手就可以使用这个检索函数

来检索信息串．

1．2

BSM伪随机生成器

定义1．令存储率为口，最小熵率为a．G：{0，

1)”× (0，1)‘一{0，1}，是(￡，够)一安全的BSM伪随机

本文主要贡献有3个方面：

生成器(BSM

pseudorandom generators，BSM

1)防止网络中攻击者篡改数据信息．本文方案

采用计算高效的一次签名，能够防止攻击者对消息

进行篡改伪造，也适用于能量受限的感知设备．

2)防止时空敏感数据的数据源位置及数据生

成时间的伪造．本文方案中数字签名使用的公私钥

对的生成与数据发送方的地理位置和数据生成时间

是紧耦合关系，验证签名的同时也对数据发送方的

地理位置和数据生成时间进行了验证，这在时空敏

PRG)[1

2I，当且仅当对于{0，1)”上任意的口n—source

的X，对于任意A：{0，1)”一{0，1垆，随机变量

(G(X，K)，A(X)，K)对(W，A(X)，K)是e-close

的，其中K一{0，1)’且w是妒一source的．

根据(e，p)一安全的BSM PRG的定义可知，对

于任意算法F，给定A(X)和K，算法F(A(X))

能正确计算出G(X，K)的最大概率为￡+2～．在

安全参数为k的情况下，如果r (2／a)屉lb咒，那么

E+2一r是可忽略的．

感的物联网应用(如火警系统和实时交通系统)中尤

为重要．

3)感知层的设备无需密钥管理．本文方案采用

1．3伪随机函数

PbKE协议，使得只有在期望位置的发送者才能够

计算出公私钥对，即公私钥对是基于发送方位置和

时间信息而动态产生的，设备无需预置的密钥，避免

了面向海量感知设备的密钥管理，适合大规模物联

网的应用．

定义2．函数PRFEZ<：{0，1)‘× {0，1)R一(0，

1)。是伪随机函数，当且仅当对于任意概率多项式

时间(probabilistic polynomial—time，PPT)的区分

器D，存在一个可忽略的函数negl，使得：

Pr[D’e‘‘’(1”)一11一

Pr[D／””’(1”)一1] negl(n)，

预备知识

其中，k从{0，1)”中随机选择，^从输入输出长度

均为行位的函数集合中随机选择．

1．1

有界存储模型和有界检索模型

1)有界存储模型(bounded

model，

storage

2基于位置数字签名

BSM)．BSM模型假设任意的参与方(包括敌手)能

够存储的信息量存在一个上限．假定存在一个拥有

很高最小熵(min—entropy)的信息串，若检索函数的

输出长度未超过敌手能够存储的上限，则敌手就能

根据数据发送方运动模式的不同，可将发送方

分为静态发送方和动态发送方．根据2种不同的运

动模式，本节将分别给出2个安全定义．

万方数据

计算机研究与发展2018，55(7)

2．1符号说明

钥生成算法generation、签名生成算法signature、签

名验证算法verification这3部分构成，即：

m：发送的消息；

6)，

(5，v)《--generation(p，1

P：发送方位置；

a-*-signature(S，m，P)，

／+可Prification(优，盯，V，夕)．

sk：P点私钥；

pk：P点公钥；

静态基于位置数字签名的安全需求保证只有位

于P点的发送方才能生成正确的签名，且不在P点

T：地标(1andmark)对发送方位置进行验证的

时刻，即协议里面X相交的时刻；

的攻击者无法伪造位置P的签名．

盯：发送方对消息m的签名；

2．3．2 安全定义

u7：消息的传播速度；

定义3．静态适应性选择消息攻击的不可伪造

性(static EU—CMA，S—EU—CMA)当时间约束下的

静态基于位置数字签名算法generation，signature，

verification满足3个条件时，它满足静态签名者适

应性选择消息的不可伪造性：

ti：无线电波从地标Li到达P点所需要的时间；

安全参数：W，q，z，k；

伪随机生成器G：{0，1)”x f0，1)7一(0，1)，；

伪随机函数F：{0，1)。× {0，1)“一{0，1)。；

单向Hash函数H：{0，1)”一{0，1)。；

单向函数f：{0，1)2一{0，1)2；

1)完整性(completeness)．对于来自合法位置

的正确签名(S，m，夕)，验证签名(仇，盯，u，p)输出的

错误概率是可忽略的，即

公开参数：W，g，l，k，H，P，f．

2．2基于位置数字签名的系统模型

基于位置数字签名方案如图1所示．数据发送

方向地标(对于3维空间，至少需要4个地标，即

L。，L。，L。，L。)证明自己所在的位置，获得由位置

产生的公私钥对．获取之后立即签名消息，并将消

息与签名发送给地标L。，地标验证接收时间，若符

合要求，则地标对消息摘要、发送方公钥、发送方

位置、数据生成时刻等进行签名，形成临时证书

Prob[verification(m，叮，V，p)一o；

(s，v)· --generation(p，1‘)；

a· -signature(s，Tn，夕)]<￡(尼)．

2)一致性(consistency)．对于任意消息m，签

名的公、私钥由密钥生成算法产生，则验证签名(m，

d，口，声)在2次独立调用下会产生不同输出的概率是

可忽略的，即：

Prob[verification(rn，盯，口，夕)≠，；

(s，口)I-generation(乡，16)；

Cert。(H(m)，pk，P，T)，使数据接收方能够获得位

置相关的公钥来验证基于位置的数字签名．

f‘--verification(m，盯，u，p)3<e(走)．

3)静态签名者适应性选择消息攻击的不可伪

existential

chosen

unforgeability against

造性(static

message attack，S—EU—CMA)．对于任意概率多项

time，PPT)的敌

式时间(probabilistic polynomial

①Key

手A，在获得正确的签名后，可以伪造一个不同的签

名(rn7，d7)的概率是可忽略的，即：

7，盯7)+一F“g““”‘‘ P’：

Prob[(m

6)；

(5，v)+--generation(p，1

Data Sender

Fig．1

DataReceiver

m_{7≠m；verification(m’，仃7，u，户)一1]<￡(是)．}

Position based

scheme

digital signature

2．4 动态发送方基于位置数字签名的安全定义

图1基于位置数字签名方案

动态发送方是指位置会发生变动的数据发送

方．随着时间的变动，发送方位置也会发生改变，当

2．3

静态发送方基于位置数字签名的安全定义

静态发送方是指位置不发生变动的数据发送

7时，若仍使用定义3，将引

发送方从位置P移动到P

方．由于它的位置未发生改变，继而由它的位置信息

产生的密钥也未改变．

发以下问题：发送方虽然已经离开位置P，但它仍持

有P点的公私钥对，可以伪造成P点的发送方进行

签名．所以定义3并不能满足动态条件下基于位置

数字签名的安全需求．

2．3．1

算法结构

时间约束下的静态基于位置数字签名算法由密

万方数据

阙梦菲等：物联网中基于位置的数字签名方案

2．4．1算法结构

时间约束下的动态基于位置数字签名算法由密

钥生成算法generation、签名生成算法signature、签名

验证算法verification这3部分构成，即：

(S，u)"· --generation(P，T，16)，

3时间约束下基于位置数字签名协议

本节在3维空间中设计了一个时间约束下基于

位置的数字签名协议．数据发送方声称的位置P封

闭在由L，，L：，L。，L。这4个地标围成的4面体中

(对于3维空间，至少需要4个地标)．G是一个

(e，妒)一安全的BSM伪随机生成器，选择合理的参

数，使得￡+2一，是可忽略的．假定L，的公钥为户志，，，

私钥为娃。．

a。--signature(s，m，P，T)，

厂+verification(m，口，u，P，T)．

时间约束下的动态基于位置数字签名保证只有

在时刻T位于位置P的数据发送方才能生成正确

的签名，且时刻T未在位置P攻击者或者时刻T7位

于位置P的数据发送方也无法伪造时刻T位于位

置P的签名．

时间约束下基于位置数字签名协议具体过程

如下：

2．4．2安全定义

1)密钥生成(generation(p，T，1‘)一(s，u))

①L．，L。，L。和L。是P点周围的4个地标，在

定义4．动态适应性选择消息攻击的不可伪造

性(dynamic EU—COMA，D-EU—COMA)当时间约

协议执行之前先挑选密钥K。，K：，K。，K．，K。，

束下的动态基于位置数字签名算法generation，

signature，verification满足3个条件时，它满足动

态签名者适应性选择消息的不可为造性：

K。o二{0，1}”并通过专用通道广播．

②X。为BRM模型中具有高最小熵的随机字

符串，在协议执行之前，L。生成随机串X。；L：生成

随机串X。和X。；L。生成随机串X。；L。生成随机

串X。．

1)完整性(completeness)．对于来自合法位置

的正确签名(s，m，P，丁)，验证签名(m，仃，口，P，T)输

出是错误的概率可忽略，即：

③令L，在时刻T—t，广播密钥K。和X。；L。

在时刻T—t：广播X。和X。；同样，L。在时刻T—f。

广播X。；并且L。在时刻T一厶广播X。．

Prob[verification(m，口，u，P，T)一o；

(s，u)· -generation(P，T，1‘)；

a· --signature(s，m，P，丁)]<e(志)．

④在时刻T，位于P点的数据发送方同时接收

2)一致性(consistency)．对于任意消息m，签

名的公、私钥由密钥生成算法产生，则验证签名(m，

到所有消息，它使用BSM伪随机生成器计算得到

K2=G(Xl，K。)，K。=G(X2，K2)，K。=G(X。，K。)，

K5=G(X4，K4)，K6一G(X5，K5)．

盯，户)在2次独立调用下会产生不同输出的概率是可

忽略的，即：

⑤数据发送方和地标L，(1 i 4)利用伪随机

函数随机产生t个Z位长度的字符串k—secret=

F(K6)=(sl，S2，，S，)．令k—secret等于P点私钥

sk=(k，Sl，S2，，Sf)．

Prob[verification(m，口，V，P，T)≠，；

(s，v)-,--generation(P，T，1‘)；

厂一verification(m，仃，V，P，T)]<￡(忌)．

3)动态适应性选择消息攻击的不可伪造性

⑥设，为单向函数，地标Li(1 i 4)计算

Vl=，(s1)，口2=f(sz)，，uf—f(sf)，将pk一(志，uI，

口。，，u，)作为P点的公钥．

existential

chosen

unforgeability against

(dynamic

one

message attack，D-EU—COMA)：对于任意概率

time，PPT)

多项式时间(probabilistic polynomial

⑦输出(S，口)作为时刻丁位于P点的公私

的动态签名者，当它的发生位置变动之后，可以伪

造成原位置产生签名(m7，口7)正确的概率是可忽略

钥对．

的，即

2)签名生成(signature(s，m，P，T)一盯)

①数据发送方在时刻丁发送消息m，设消息m

为b位，m设为介于0和26—1的整数值，首先令

h=Hash(m)，将优变成固定长度的字符串，长度为

klbt．

Prob[(m7，口7)+一F9Ⅳ“‘“”‘ · P· n：

(s，可)。,--generation(P，T，16)；m’≠m；

verification(m7，盯7，口7，P，T)=13<e(志)．

显然，文献[27]中提出的方案只适用于静态发

送者，即满足s-EU—CMA的定义，但不满足D-EU—

COMA的定义．

②把h均分成每份长度都为lbt的k个子字符

串h。，h：，，h。．将每份hi化为整数值it，19 志．

万方数据

计算机研究与发展2018，55(7)

③从私钥sk一(k，S。，s：，，S，)中找出相对应

的Si，即S的下标值与ij相等．构成k个数(S S：。

，S膳)．

K 一A(S，，K，)，其中A(· ，· )是任意的敌手算法．

而位于P点的数据发送方能同时接收到K。以及

X。～X。，所以它能使用BSM伪随机生成器计算得

出K 一PRG(X．，K。)，进而得到正确密钥．

④输出口一(跖，sf2．“，S拍)作为数据发送方对消

息m的签名．

⑤将消息的签名附在消息之后，立即将(m，盯，

P，T)发送给地标L。，L，验证接收到(m，口)的时间

4安全性证明

是否为T+I

PRG，F

PL。I／训7(I PL。J为P点到地标L。的

定理1．如果G是(￡，∞)一安全的BSM

距离，u7为消息的传播速度)，若接收时间符合要

求，则地标L。用自己的私钥s尼，，对消息摘要、P点

公钥、P点位置信息、数据生成时刻T进行签名，即

CertL(H(m)，础，P，11)，并广播戤，P，T，CertJ．(H(优)，

pk，P，T)，使数据接收方能够使用户愚。验证该签名，

从而验证在时刻T时P点公钥73的正确性；反之，

是PRF，X：(1 i 4)具有最小熵(艿+p)n，即是检

索上限，，是单项函数，H是单向Hash函数，Sign

满足EU—CMA[30]安全，那么本文所提协议在共谋

攻击下是安全的，即满足pEU—COMA．

证明．不失一般性，令所有的共谋敌手{A。，

A：，，A。)被敌手FORGER控制．令S，，S。，分别

为所有敌手对X，，X。所检索的总信息，且1 S，1

L，拒绝生成签名CertL(H(m)，pk，P，T)，数据接收

方无法通过L。的签名验证时刻丁时P点的公钥u

的正确性．

p”，I

I 胁．

在3维空间中，假设基于位置的数字签名协议

3)签名验证(verification(m，盯，u，P，丁)一，)

①数据接收方得到消息(m，仃，口，P，丁)，首先查

找是否存在L。签名的广播消息pk，P，T，Cert。(H(m)，

是不安全的，即存在敌手FORGER能以不可忽略

的概率￡F(men伪造P点的签名．如果敌手FORGER

成功攻击此协议，则存在4种可能的事件：

事件1．敌手FORGER能够成功伪造地标L。

的签名．

pk，P，T)．若存在，使用L。的公钥解密，得到P点

公钥pk；若不存在，则说明地标拒绝该签名．

②当数据接收方验证公钥p是的正确性后，令

h=Hash(m)，将m变成固定长度的字符串，长度为

若敌手FORGER能够伪造地标L。的签名，它

可将其公钥、P点的位置信息、用地标L。的私钥进

行签名后广播．数据接收方会将敌手FORGER的

公钥当成P点的公钥．此时敌手FORGER成功伪

造成P点对消息进行签名．

lb t．

③把h均分成每份长度都为lbt的k个子字符

串h。，h：，，h。．将每份h，化为整数值ij，1 J 愚．

④从P点公钥声志=(志，口。，训：，，u，)中找出对

应的硼，，即73的下标值与i，相等．构成k个数(73n，

可f2 ，73诰)．

用e。表示敌手FORGER能够成功伪造地标

L。的签名的概率，则敌手FORGER能够成功伪造

P点进行签名的概率为￡，(￡。一e，)．很明显，这与

EU—CMA的定义相矛盾，即事件1发生的概率是可

忽略的．

⑤验证等式f(s：。)一％，f(s：：)=可¨ ，

，(s么)=73，。是否全部成立．若成立，则说明仃确为P

点对m的签名，输出为1，数据接收方接受这个签

名；否则，输出为0，数据接收方拒绝这个签名．

在本方案中，BRM模型的使用方法如下：根据

BRM模型的定义可知，随机字符串Xi具有高最小

熵，当这些信息串快速经过敌手时，敌手能够提取的

事件2．敌手能正确计算K．

1)情况1．给定(S。，K。)敌手FORGER可以

计算出密钥K。一G(X。，K，)．

令A，为地标L。和P点之间的敌手．S。为大字

符串Xt经过A，时，A，存储的总信息量．因为敌手

FORGER可以计算出K。，所以当X。经过A，时，

A。能够计算K。=G(X。，K。)，以此类推得到K。，进

而得到sk—F(K。)．由此可见若敌手FORGER计

算出K。，就能够得到P点的私钥s忌，以此来伪造P

点签名．

信息量存在一个提取上限，设为p竹．p，z可以是最小

熵(艿+口)n的任意部分．也就是说敌手无法全部存

储X，，只能存储每个字符串的一部分．本文方案在

协议执行前的初始阶段，地标L，生成随机串X。，地

标L：生成随机串X。和X。，地标L。生成随机串

X。，地标L。生成随机串X。．当这些Xi经过敌手

显然由于K．尚未经过P点，所以S。只是任意

的X，的函数．此外，因为所有敌手存储的信息总量

时，敌手只能存储S，，1

S，1 肋，所以敌手只能计算

万方数据

1427

阙梦菲等：物联网中基于位置的数字签名方案

由上可知，在情况4下，敌手FORGER成功伪

被限制不能超过肋，所以IS，』卢咒．因此，有K。一

A(S。，K。)，其中A(· ，· )是任意的敌手算法，它的输

出可能是S，和K。的一个任意的函数值．

造P点签名的概率是可忽略的．

事件3．在不知道密钥K的情况下，敌手

用￡：。表示敌手FORGER能够计算K：一G(5。，

K。)的概率，则敌手A。能够计算出K。一G(X。，K。)

的概率为

FORGER能够猜到P点私钥s忌．

用￡。表示事件3发生的概率，如果e。不可忽

略，则可构造敌手A，以概率e，(钾一e。)猜测出P点

私钥来伪造成P点进行签名．很明显这与PRF的定

义相矛盾，所以事件3发生的概率是可忽略的．

事件4．在不知道s是的情况下，敌手FORGER

能够伪造P点签名．

￡Tl

￡，2￡l一21

￡

十

—

万

』

一J

￡

十

+石

万

￡

．

通常在安全参数z的选择下1／z。是可忽略的．

所以，白与e21近似相等，在￡。。不可忽略的情况下，

概率e。。也是不可忽略的．由上可知这与(e，∞)一安全

的BSM PRG定义相矛盾．由此可得，在情况1下，

敌手FORGER成功伪造P点签名的概率是可忽

略的．

1)情况1．得到P点签名(m，仃)后，敌手FORGER

可以伪造签名(m7，d7)，满足m7≠m，口7≠仉

构造一个敌手A。能够攻破OWF，即A，能够

求出单向函数厂的逆．敌手A，的操作如下：①随机

2)情况2．给定(S。，K。)，敌手FORGER能够

成功计算K。一G(X：，K：)．

选择，．一{0，1，，t)．当P点生成密钥对时，地标L

将P点的公钥pk一(志，可，，u。，，跳)公开，此时A。

将公钥中可，的值设为y．②敌手FORGER发送

(Sign，m)给Signer，Signer输出(Signature，m，盯)，

将(Signature，m，盯)发送给敌手FORGER．③当敌

令A。为地标L：和P点之间的敌手．由于

FORGER能够计算K。，以此类推得到K。，进而得

到sk—F(K。)．由此可见如果敌手FORGER计算

出K：，就能够得到P点的私钥s忌，以此来伪造P点

签名．

7一h。||h。II 1|h。，

手输出(m7，盯7)，计算h7，令h

口7一(sJl，sf2，，S。女)，发送(Verify，m7，盯7，口)给验证

者，若收到(Verify，铆7，1)且]歹(1 歹尼)h，一r，则

显然由于X。尚未经过P点，所以A。无法计算

K：一G(X，，K，)，不知道K。的情况下，S。只是任意

X：的函数，并且f S。f 口咒．因此，有K。=A(S：，

令z—S 否则随机选择z一{0，1)j．④输出z．

如果敌手A，可以成功输出z使得f(z)_--y，则

敌手FORGER能成功伪造签名(m7，仃7)且]J(1

K：)，它的输出可能是S：和K：的一个任意的函

数值．

歹忌)矗，一r，否则敌手A。随机选择一个数作为z．

用￡。表示敌手A，成功输出且f(z)一y的概

率，则敌手FORGER能够成功伪造P点签名的概

率为

用e。。表示敌手FORGER能够计算K。一

G(X，，K，)的概率，则敌手A。能够计算出K。一

G(X：，K。)的概率为

￡^￡z。^2一。^￡一²²￡1_

—

万

￡

一

)

。

：

十

可

专￡e2

．

即一挚+(· 一挚)× 专挚+丢

同理，在概率￡22不可忽略的情况下，概率e。。也

是不可忽略的．同样，这与e—SeCUre的BSM PRG定

义相矛盾．由此可得，在情况2下，敌手FORGER

通常情况下z至少为80

2—2-80．对

B，因此，1／2

于一般网络来说是可忽略的．由此可知，如果概率e。

是不可忽略的话，那么概率e。。也是不可忽略的．这

与单向函数的定义相矛盾．所以情况1发生的概率

是可忽略的．

成功伪造P点签名的概率是可忽略的．

3)情况3．由情况1，2可知位于地标L。和P

点之间的敌手可以伪造P点签名的概率为

2)情况2．给定(m，盯)，敌手可以找到m7满足

e柏一￡：。+(! ) e23+击￡。。．

7一H(m

7)，掰≠聊7．

7一矗，其中h—日(柳)，h

由上可知，在情况3下，敌手FORGER成功伪

假定敌手FORGER使用Hash函数H，使得

H(m)一H(m

造P点签名的概率是可忽略的．

7)．然而根据Hash函数H的定义，令

4)情况4．由情况1，2可知位于地标L。和P

点之间的敌手可以伪造P点签名的概率为

H(m)一H(m7)的概率为￡42，则敌手能够成功伪造

P点签名的概率为

ez4一e24

e。。一e：

。

_I+—

(￡万一

)

￡

o￡

：

。

可

_可1 e

。

．

e庐阮一(争)6．

万方数据

1428

计算机研究与发展2018，55(7)

通常情况下是=16，t一1024或者是一20，t一

互，进行位置验证．L，广播各自的消息，使得在时刻

T，数据发送方同时接收到所有消息，计算K：一

G(Xl，K1)，K3=G(X2，K2)，K4一G(X3，K3)，K5一

G(X4，K。)，K。一G(Xs，K。)．将K。进行一次伪随机

运算得到F(K6)一(s1，S2，，Sf)，令sk=(足，Sl，S2，，

St)即为发送方私钥．发送方用私钥签名数据，将签名

附在消息之后进行广播．L。验证签名返回的时间，若

接收时间符合要求，则地标L，用自己的私钥矗。对

消息摘要、P点公钥、P点位置信息、数据生成时刻T

进行签名，形成关于位置的临时证书Cert。(H(m)，

pk，P，T)，并广播pk，P，T，CertL(H(m)，pk，P，

T)；反之，L。拒绝生成临时证书Cert。(H(m)，pk，

P，丁)．由于发送方的公私钥对是由位置信息产生

的，所以当数据接收方验证签名时，同样也验证了数

据源的地理位置及数据的发送时间．当不处于发送

方地理位置的敌手想要篡改数据源位置信息时，有

2种办法：1)得到发送方私钥伪造数据的签名；2)伪

造地标L，签名的临时证书．然而由PbKE的安全

性和EU—CMA的定义可知，以上2种办法都无法

256．当走一16，t一1024时，(k／t)6一(16／1024)16—

2叫6；当忌=20，t一256时，(k／t)6一(zo／z56)20一

2_73．由此可知，对于一般应用而言，(k／t)6是可忽

略．所以，情况2发生的概率是可忽略的．

综上所述，敌手FORGER能够伪造P点签名

的概率为

eFoRGER=e1+e2l+e22+￡23+e24+￡3+￡41+e42

e^一勋hs

因此，如果G是(e，p)一安全的BSM PRG，F是

h。h+寺一(手)。．

PRF，X。(0 i 2)具有最小熵(d+p)押，卢，2是检索

上限，厂是单项函数，H是单向Hash函数，那么er，

岛l，￡。2，￡，3，￡，4，e。，e口l以及￡FoRGER都是可忽略的．即

敌手伪造签名的概率是可忽略的．定理1得证．

5方案讨论

本文方案将数据源的位置作为凭证，对消息进

行签名，保障了物联网中时空敏感数据的安全性．

实现．所以我们构造的方案能够防止物联网中时空

敏感数据的数据源位置及时间伪造．

5．1

防止网络中攻击者篡改数据信息

为了防止攻击者利用网络存在的漏洞和安全缺

陷对物联网中的数据进行篡改，本文采用了一次签

名方案．当数据发送方发送数据时，首先与地标

5．3感知层的设备无需密钥管理

本文方案中，感知设备无须预先与地标共享安

全通道，所有消息均通过广播方式发送．感知设备既

无需事先预共享密钥，也无需公钥证书，因为签名所

需的私钥sk一(忌，S。，5：，，S。)是在与地标的交互过

程中根据设备位置产生的，而不是借助预先的密钥

管理机制生成，这避免了海量感知设备前期的密钥

管理．临时证书Cert。(H(m)，pk，P，丁)由地标验证

接收时间符合要求后，利用地标的公钥生成并广播．

总之，对于海量感知设备，本方案无需预先的密钥管

理机制，具有可扩展性，适合大规模的部署．

L。(i=1，2，3，4)交互，计算得出密钥K。。一secret—

F(K6)一(51，S2，，S。)，令发送方私钥sk一(忌，Sl，

S：，，s，)．发送方用私钥签名消息得到消息签名仃，

将签名附在消息之后进行广播．数据接收方收到消

息及签名时，首先使用发送方公钥pk一(志，u。，

口：，，u，)进行验证，若签名验证通过，则证明数据

未被篡改，若验证失败，则拒绝接收这条消息．对于

物联网中的攻击者来说，由于让一厂(Si)且厂为单向

函数，因此攻击者无法获得发送方的私钥sk一(志，

S。，S。，，矗)，所以无法伪造签名．因此，攻击者无法

篡改消息．同时，本文使用的一次签名基于单向函数

构造，相比传统的公钥数字签名，更适合物联网中能

量受限的感知设备．

5．4签名方案的选择

使用公钥密码体制的数字签名，一旦地标L验证

了发送方的位置，则该公私钥能够进行多次签名．对

于动态发送方而言，当它发生迁移而离开原位置时，

它仍然持有原位置的公私钥对，这显然不满足动态环

境下基于位置数字签名的安全需求．因此，公钥数字

签名算法只适用于静态环境的基于位置数字签名．

一次签名[3妇借鉴一次一密的形式，当发送方使

用密钥签名一个消息之后，必须重新与地标L进行

交互，产生一个新的密钥对(pk，sk)来签名下一个消

息．即使发送方发生迁移改变位置信息，也仍然需要

与相应地标L交互，证明自己的位置后才能获得新

5．2

防止时空敏感数据的数据源位置及时间伪造

为了防止时空敏感数据的数据源位置及时间伪

造，本文采用PbKE协议，使得只有在某一时刻处

于某一位置的用户才能获得使用位置信息产生的公

私钥对，也就是说签名使用的公私钥对与用户的地

理位置和数据发送时间是紧耦合关系．当数据发送

方需要发送数据时，首先与地标Li(i一1，2，3，4)交

万方数据

阙梦菲等：物联网中基于位置的数字签名方案

的密钥对．因此，本文方案的数字签名采用一次签名

道，这对于物联网中海量数据的安全管理来说，显得

更加高效；并且只有本文与Xue的签名方案加入了

位置信息，能够解决物联网中海量数据的数据源位

置验证问题．另外，本方案发送方使用基于单向函数

的一次签名，不涉及模指运算等代价较高的计算，更

适合计算能力受限的感知设备．

方案．

6性能分析

表1将物联网中基于位置的数字签名方案

based

digital

scheme，PbDS)与

signature

表2将本文方案与Xue的方案做对比，分别从

适用的签名者类型、协议执行前需要的条件、安全定

义、基于的协议等方面进行对比．通过表2可以看

出，Xue的方案需要地标与数据发送方之间使用预

共享的安全通道，在物联网大规模的应用环境下，建

立和维护该安全通道开销较大；而本文提出的方案

不需要地标与数据发送方之间存在预共享的安全通

道，减少了通信代价，提高了效率．另外，Xue的方案

只适用于静态发送方，无法保证发送方位置动态变

化情况下签名的安全性；而本文提出的方案既能适

应静态发送方也适用于动态发送方，且能够抵御敌

手的共谋攻击，满足可证明安全．

(position

XueE2

7|、OTSE31I、RSA，ABSE3

2|、无证书签名嗍做对

比，分别从签名者计算开销、验证者计算开销、是否

需要公钥证书、密钥管理、预共享安全通道和是否结

合位置信息等方面进行比较．

PRG计算，F表示一次

其中，G表示一次BSM

PRF计算，．厂表示一次单向函数计算，H为单向

Hash函数，E表示群上的幂运算，e表示双线性对

运算，d表示属性集大小，M表示群G中乘法运算，

A表示群G中加法运算．

通过表1可以看出，与其他签名方案相比，本文

方案不需要公钥证书、密钥管理以及预共享安全通

Table

Schemes

Signature

Comparison

表1签名方案的比较

Table

of PbDS and Xue

Comparison

性与数字签名相结合，提出了一种解决物联网中时空

敏感数据安全问题的方案．一方面，提供了数据的完

整性保护；另一方面，确保了数据源的位置和时间信

息的不可伪造性．本文分别提出了不考虑时间因素

的静态基于位置的数字签名和考虑时间因素的动态

基于位置的数字签名．然后，在BRM模型下设计出

3维空间中满足动态安全需求的基于位置数字签名

方案．此外，本文提出的物联网中基于位置数字签名

方案能够抵御敌手的共谋攻击，且满足可证明安全．

将本文方案与已有方案进行比较，在安全性方面，本

文所提协议既能适应静态发送方也适用于动态发送

方；在性能方面，本文所提协议使用计算高效的一次

签名，不需要地标与发送方之间存在预共享的安全

通道以及签名之前的密钥管理环节，减少了计算和

通信代价，适用于物联网中资源受限的感知设备．

表2 PbDS与Xue方案的比较

Notes：“√”means security，“× ”means insecurity

7总结与展望

本文针对物联网中数据篡改、数据源的位置验证

和数据的生成时间验证等问题进行了研究．将位置特

万方数据

1430

计算机研究与发展2018，55(7)

Chen

a1．WITS：

Wenjie．Chen Lifeng，Chen Zhanglong，et

[10]

本文方案存在密钥托管问题．即每次数据发送

wireless sensor network for

intelligent transportation

方与地标交互得到基于位置的公私钥对的同时，4

个地标也同时生成了数据发送方的公私钥对，也就

是说，一旦地标被攻击者攻破，攻击者将会获得所有

与地标交互的发送方基于位置的公私钥对，攻击者

能够伪造发送方的签名，造成发送方密钥泄露问题．

为了解决上面提到的密钥托管问题，我们下一步计

划将聚合签名与基于位置相结合，设计基于位置或

区域的数据聚合方案．一方面，在协议过程中地标无

法计算出发送方的最终公私钥对．即便地标被攻击

者攻破，攻击者也无法获得发送方的最终公私钥对，

不会产生密钥泄露问题；另一方面，此方案能够确保

所有数据源都来自合法位置，并且面向物联网的数

据聚合能将物联网中的海量数据聚合成少量有效数

据，减少了通信开销，延长了网络寿命．

of the

st Int

Multi—Symp

Computer

system[C]／／Proc

and

Computational Sciences．Piscataway，NJ：IEEE，2006：

635—641

Barrenetxea

F，Schaefer G，et a1．Wireless

[113

G，Ingelrest

sensor networks for environmental

monitoring：The

of the 20th IEEE Int

sensorscope experience[C]／／Proc

Zurich Seminar on

Communications．Piscataway，NJ：IEEE，

2008：98-101

Merkle

certified

the

[123

[133

C．A

digital signature[C]／／Proc

9th Annual Int Conf on Advances in

Spinger．1989：218—238

Cryptology．Berlin：

Zhu Hui，Li

Yumin．Certificateless

Hui，Wang

signcryption

Research

scheme without

Computer

pairing[J]．Journal

and

Chinese)

Development，2010，47(9)：1587—1594(in

(朱辉，李晖，王育民．不使用双线性对的无证书签密方案

EJ]．计算机研究与发展，2010，47(9)：i587-1594)

Ma Jinhua，Liu

redactable

Wei，et

[14]

Jianghua，Wu

a1．Survey

Research and

Computer

参考

文

献

signatures[J]．Journal

Chinese)

Development，2017，54(10)：2144—2152(in

Gubbi

R，Marusic S，et a1．Internet of

[1]

J，Buyya

things

(马金花，刘江华，伍玮，等．可修订数字签名研究综述[J]．

计算机研究与发展，2017，54(10)：2144—2152)

architectural

and future

(IoT)：

vision，

elements，

Generation

directions[J]．Future

29(7)：1645-1660

Roman

Computer Systems，2013，

Ghadafi E．

notions for decentralized

[15]

[16]

Stronger security

traceable attribute—based

and more efficient

signatures

of the th

the Internet of

[2]

R，Najera P，Lopez J．Securing

things

constructions

Ec]／Proc

1 5

Cryptographers’Track

[J]．Computer，2011，44(9)：5卜58

at the RSA_{Conf．Berlin：Springer。2015：391—409}

of Internet of

[3] Zhang Yuqing，Zhou Wei，Peng Anni．Survey

Liu

Donggang，Ning Peng．Location—based pairwise key

and

Research

Chinese)

things security[J]．Journal

Computer

establishments for static sensor networks

of the

Ec]／Proc

of Ad Hoc and Sensor

Security

Development，2017，54(10)：2130一2143(in

st ACM

Workshop

(张玉清，周威．彭安妮．物联网安全综述[J]．计算机研究

与发展，2017，54(10)：2130一2143)

Zhice，et

Networks．New York：ACM，2003：72-82

Jie．Location—based

[173 Yang Cungang，Xiao

pairwise key

[4] ZhangJiansong，Wang Zeyu，Yang

based IoT device authentication

a1．Proximity

of IEEE

establishment and data authentication for wireless sensor

EC]／／Proc

of IEEE

networks[c]／／Proc

IEEE，2006：247-252

IWIA’06．Piscataway，NJ：

INFOCOM’17．Piscataway，NJ：IEEE，2017：531—539

Wei，Chen

[5] Wang

Yingjie，Zhang QJan．Privacy—preserving

[18]

[19]

D，Mehta M，Medhi D，at a1．Location—aware

scheme for wireless sensor

Huang

key

location authentication in WiFi networks

using fine-grained

Wireless

management

of the 2ndACM

Networks．New

networks[c]／／Proc

of Ad Hoc and Sensor

Security

Trans

physical layer signatures[J]．IEEE

Workshop

Communications，2016．15(2)：1218一1225

York：ACM，2004：29—42

Chen

K，et a1．Robustness，

Liang，Thombre S，Jarvinen

[63

[7]

Younis

F。Ghumman

M．Location—aware

K，Eltoweissy

and

location—based services for future

loT：

privacy ⁱⁿ

security

combinatorial

scheme for clustered sensor

key management

Access，2017，5(99)：8956-8977

survey[J]．IEEE

Trans on

Parallel＆．Distributed

networks[J]．IEEE

D，et a1．Location—

I，Hallgren P，Damopoulos

Agadakos

Systems，2006，17(8)：865—882

Yanchao．Liu Wei，Lou

[20] Zhang

the

Because

cannot

Conf

Annual

enhanced authentication using

IoT：

you

two

of the 32nd

Wenjing，et a1．Securing

be in

places

once[c]／Proc

sensor networks with location—based

of the

Conf．

keys[c]／／Proe

York：ACM，

Computer Security Applications．New

6th Wireless Communications and

Networking

2016：251—264

E a1．Location—based

D，et

Piscataway，NJ：IEEE，2005：1909—1914

Chandran R，et a1．Position based

[83

[9]

j，Lara

Dey A，Hightower

services[J]．IEEE

Pervasive

[21]

N，Goyal V。Moriarty

of the 29th Annual Int

Computing，2010，9(1)：11-12

Brassil

P K，Netravali R．Traffic

signature—

J，Manadhata

cryptography[c]／／Proc

Cryptology

Conf on

391-407

Cryptology．Berlin：Springer，2009：

based mobile device location

Trans

Advances

authentication[J]．IEEE

on Mobile

Computing，2014，13(9)：2156—2169

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

物联网中基于位置的数字签名方案

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页