引言

隨著地軌衛星網絡和高通量衛星等新型通信手段的出現，物聯網正逐步邁向“地-天-空”一體化的模式。作為促進物聯網設備間通信的下一代網絡，相較傳統地面物聯網，融合衛星和物聯網特征的衛星物聯網(Satellite Internet of Things, SIoT)，能夠有效克服偏遠地區網絡覆蓋能力不足的局限性，實現更大范圍的實時、有效通信［1］。由于終端設備計算和能源等資源的限制，如何實現物聯網環境中信息交互的安全性和實用性成為一個亟待解決的問題。無證書公鑰加密技術(Certificateless Public Key Cryptography, CL-PKC)的提出［2］，避免了傳統公鑰基礎設施(Public Key Infrastructure, PKI）密碼體制中的密鑰托管和證書管理問題，在提供安全性保障的同時，有效減輕了終端設備的計算和存儲負擔，成為當前物聯網領域研究的熱點。例如，Kumari等人［3］基于無證書公鑰加密技術設計了一種適用于物聯網的認證協議，實現了對物聯網終端的安全認證。Deng等人［4］針對電力物聯網環境，提出了一種無證書公鑰加密技術的安全認證和密鑰交換協議，在對終端完成安全認證的基礎上，通過協商的安全會話密鑰實現了設備與服務商之間的安全通信。考慮到物聯網中終端有限的計算資源，Cui等人［5］設計了一種基于橢圓曲線的無證書公鑰加密方案，該方案利用橢圓曲線的點乘運算代替復雜的雙線性配對操作，有效減輕了終端在認證過程中的計算負擔。然而，上述的方案均側重于物聯網環境中的單邊安全性，即關注作為數據發送方的終端設備的安全性。此外，也有部分方案采用信號加密和屬性基加密等方式解決物聯網中的安全交互問題。信號加密結合加密和簽名技術，以公鑰驗簽的方式實現了對數據發送方的真實性保障［6］，而基于屬性的加密方案雖然能夠實現對接收方的細粒度訪問，但通常不支持對數據發送方的訪問控制［7］。因此，需要一種能夠在物聯網環境中進行雙邊訪問控制的方法，提升數據的安全保障和控制能力。匹配加密（Matchmaking Encryption, ME）能夠為發送方和接收方提供雙邊訪問控制［8］。ME允許發送方為接收方設定一個訪問域，同時使接收方能驗證密文是否源自合法的發送方。然而，在當前研究方案中［9-10］，加密、解密過程仍大多完全依賴于計算資源受限的終端設備，并不適用于作為下一代物聯網范式的衛星物聯網環境。鑒于此，本文提出了一種面向衛星物聯網的無證書雙邊訪問控制方案，主要貢獻如下：

（1）基于無證書加密和匹配加密技術，在避免傳統加密方案密鑰托管和證書管理問題的基礎上，實現了發送端和接收端的雙邊訪問控制，確保只有滿足條件的發送端和接收端才能進行有效的數據交互，提升了物聯網環境中的數據安全保障和控制能力。

（2）不同于傳統基于雙線性配對的方案，本方案采用橢圓曲線加密技術減少終端的計算負擔，并在此基礎上將終端的部分加解密工作外包給邊緣服務器，進一步減輕了終端設備的計算開銷。

（3） 基于標準困難假設的安全分析證明了本方案的安全性；而性能分析則表明，相較于現有方案，本方案中終端設備承擔的計算開銷更小，具有更高的實用性。

本文詳細內容請下載：

http://www.rjjo.cn/resource/share/2000006297

作者信息：

張華樂，陸俊，林航，顏申

（國網安徽省電力有限公司信息通信分公司，安徽合肥230022）