汪禮臻，張龍軍，王曉紅

(1.武警工程大學信息工程系，西安710086;2.武警總部通信總站司令部，北京100000)

適合物聯網環(huán)境的物品信息匿名傳輸方案

汪禮臻1，張龍軍1，王曉紅2

(1.武警工程大學信息工程系，西安710086;2.武警總部通信總站司令部，北京100000)

針對傳統(tǒng)物聯網物品信息傳輸過程中存在的不足，借鑒洋蔥路由的思想，提出了基于雙線性對和散列運算的一種新的物聯網物品信息匿名傳輸方案。方案使用了基于偽名的密鑰協(xié)商機制，采用對稱密鑰機制替代公鑰簽密機制，采用異或運算進行身份確認，經分析表明新的方案解決了向前機密性和時鐘同步問題，具有更高的效率和安全性。

物聯網;匿名傳輸;洋蔥路由;雙線性對;密鑰協(xié)商器

隨著傳感器技術和網絡技術的發(fā)展，智能家電廣泛普及，人們可以通過網絡實現對家居的遠程監(jiān)控。這里的網絡就是指物聯網(Internet of Things，IOT)。物聯網技術的出現為數字家庭提供了更廣闊的前景，數字家庭的發(fā)展也進一步促進了物聯網技術的發(fā)展。

傳統(tǒng)的EPC物聯網給所有接入網絡的物品分配一個身份，此身份在全網唯一，并通過電子標簽的形式跟物體綁定，物體的具體信息都存儲在網絡中的物品信息服務器中［1］。然而，物聯網網絡中的任何節(jié)點都可能是惡意節(jié)點，這些不安全節(jié)點為了某種目的獲得非法利益，根據網絡中傳輸的信息，有可能進行流量分析、竊聽等攻擊，從而攻擊物聯網網絡，威脅網絡安全。如何保護物聯網的匿名通信，是亟待解決的問題。因此，為了保護物聯網中的信息傳輸，需要建立物品信息匿名傳輸機制。

近年來，各個國家和相關組織都進行了大量有關互聯網、移動通信網等傳統(tǒng)網絡的安全通信課題方面的研究，也取得了較為突出的成果?？偟恼f來，傳統(tǒng)的匿名通信方案主要分為兩類:基于洋蔥路由的方案和基于虛電路的方案。一般而言，由于洋蔥路由對傳輸分組采取了多次嵌套加密，對手更難對分組進行跟蹤，因此具有更好的匿名性［2］。洋蔥路由技術是由美國海軍計算機系統(tǒng)安全研究實驗室的David等人提出的一套路由策略［3］。但由于物聯網具有終端異構、信息傳輸復雜、應用安全要求多樣化等特點，同時物聯網環(huán)境中的能量、存儲和帶寬都嚴格受限，傳統(tǒng)的匿名通信協(xié)議在物聯網環(huán)境中無法直接應用。吳振強等人［4］提出了物聯網物品信息可信匿名傳輸機制，增強了物品信息傳輸過程的安全性，但這個方案采用公鑰方式加密，而公鑰加密是非向前安全的［2］，同時時間戳的使用會引起時鐘同步問題，時間同步可以存在一定誤差(松散的)，在驗證端可以在一定時間范圍內計算，但是這同時也增加了在這個松散時間內重放攻擊的可能性［5］。

針對傳統(tǒng)物聯網物品信息傳輸過程中存在的不足，結合洋蔥路由技術，提出了一種基于雙線性對和哈希運算的新的適合物聯網環(huán)境的物品信息匿名傳輸方案，在保證高效的同時也實現了物品信息傳輸的安全性。

1 預備知識

1.1 Tor系統(tǒng)工作原理

第二代洋蔥路由(Tor)在匿名通信時，過程包括建立連接、數據傳輸和關閉連接3個階段［6］。通信進入數據傳輸階段時，發(fā)送方會按照傳輸路徑上洋蔥路由器的順序，將數據單元在路徑上所經過的洋蔥路由器的加密密鑰依次進行加密，這也就意味著數據加密次數與路徑上所經過的洋蔥路由器個數相同。當數據單元在傳輸路徑上傳輸時，每經過一個路由器，就按照已經協(xié)商好的解密算法和解密密鑰對數據進行解密。這樣，每過一個洋蔥路由器就解一次密，并將解密后的數據代替原數據繼續(xù)傳輸，當數據單元經過最后一個洋蔥路由器時，解密次數與加密次數剛好相同，密文信息就恢復了數據的明文信息［7］。

1.2 相關定義

1.2.1 定義1

設G1，G2是階為q的循環(huán)加法群，q是一個大素數。P是G1的一個生成元。a，b∈Zq，是兩個隨機數。假設G1和G2這兩個群中的離散對數問題都是困難問題，稱G1和G2之間的映射e:G1*G1→G2為一個雙線性對，如果e滿足以下條件:

1)雙線性，即對所有的P，Q∈G1有e(aP，bQ)= e(P，Q)ab;

2)非退化性，即存在P，Q∈G1使得e(P，Q)≠1;

3)可計算性，即存在一個有效的算法對所有P，Q∈G1，能夠快速計算e(P，Q)。

1.2.2 定義2

雙線性Deffie-Hellman問題(Bilinear Deffie-Hellman Problem，BDHP):設＜G1，G2，e＞是符合定義的雙線性對和映射，給定P，aP，bP，cP∈G1，計算e(P，P)abc∈G2。

在現有條件下，解決BDHP問題是困難的，即不存在概率多項式時間的算法，能夠以不可忽略的概率解決BDHP問題。

1.2.3 定義3

一個散列函數Hash(·)是安全的，如果滿足下列3個條件:

1)原象固定，即給定x，計算Hash(x)=y是容易的;反之，給定y，計算Hash-1(y)=x是困難的。

2)弱抗碰撞，即給定x，找到一個x'≠x滿足Hash (x')=Hash(x)，在計算上是不可行的。

3)強抗碰撞，即找到一對x和x'滿足x'≠x和Hash (x')=Hash(x)在計算上是不可行的。

1.3 物聯網匿名對抗技術要求

被動攻擊的存在給物聯網絡造成了極大的安全威脅，因此，應該考慮在物聯網信息安全時采用匿名對抗技術，可以從根本上杜絕了網絡拓撲和關鍵節(jié)點被探知的可能。物聯網選擇匿名對抗技術，需要注意以下3點:

1)在物聯網中，相較于通過加密方式來隱藏身份，采用偽名機制來隱藏節(jié)點真實身份，即用另一個身份來代替真實身份通信的方法，會大大降低傳輸過程中中間節(jié)點和目的節(jié)點的運算開銷，但必須保證偽名與真實身份之間有個合法映射關系。

2)應盡量使用輕型洋蔥盲化路由技術，即用計算量小的運算方式，如散列運算、異或運算等，實現信息的嵌套盲化。

3)要盡可能地避免或選擇性地使用分組重排、填充、流量誘惑等混淆技術。重排要求中間節(jié)點知道整個傳輸路徑才能夠重新排序，算法不夠靈活，而且能量消耗變大。填充可能會使得傳輸鏈路的負載增大;流量誘惑會使網絡能耗明顯增大。

2 基于雙線性對的物聯網匿名信息傳輸方案

2.1 算法設計系統(tǒng)網絡模型

本文采用物聯網安全傳輸模型［4］，引入可信中心(Trusted Center，TC)，在對象名解析服務(Object Naming Service，ONS)的查詢機制中增加了可信匿名認證過程，對本地對象名解析服務(Local Object Naming Service，L-ONS)解析的身份合法性及平臺可信性進行認證;物品信息可信匿名傳輸機制確保物品信息的安全傳輸，保證了物聯網中物品信息的安全性與可信性。本方案的安全是基于TC誠實可信的假設。

遠程物品信息服務器(Remote Information Server of Things，R-TIS)用合法且可信的中繼節(jié)點Ri及本地物品信息服務器(Local Information Server of Things，L-TIS)建立如圖1所示的物品信息傳輸鏈路，與各節(jié)點協(xié)商會話密鑰，并獲知各節(jié)點的身份Hash值。

圖1 物品信息傳輸示意圖

2.2 符號說明

為了便于描述本文提出的物品信息匿名傳輸協(xié)議，這里對涉及到的符號及其意義如表1約定。

2.3 方案描述

本文構造的物品信息匿名傳輸方案分為如下5個階段:1)系統(tǒng)初始化;2)基于偽名的密鑰協(xié)商;3)數據加密;4)匿名數據轉發(fā);5)數據到達。

表1 本文所涉及的符號及其意義

1)系統(tǒng)初始化

首先，TC選擇橢圓曲線上滿足雙線性對要求的，其中G1的生成元是P。然后，系統(tǒng)隨機選擇主密鑰s∈，計算出系統(tǒng)公鑰為P=sP。這里同時定義兩個安pub全單向散列函數H1:{0，1}*→和H2:{0，1}*→{0， 1}n?？尚胖行谋Ｃ苤髅荑€s，隨后公開系統(tǒng)參數{G1，G2，e，q，Ppub，H1，H2}。TC為網絡中的節(jié)點IDi分配私鑰di=sH1(IDi)∈。在系統(tǒng)初始化工作完成后，TC即退出操作。

2)基于偽名的密鑰協(xié)商

為了隱藏節(jié)點的真實身份，節(jié)點通過偽名代替真實身份進行通信。對于任意節(jié)點IDi，其偽名為Pi=rH1(IDi)，其中r∈為IDi選取的隨機數。假設節(jié)點X，Y匿名協(xié)商會話密鑰，則它們交換偽名

根據定義1的雙線性性質，可計算X，Y的共享密鑰

在計算KX，Y結束時，清除隨機數x，y。

3)數據加密

將查詢到的物品信息M用R-TIS的簽密私鑰再用L-TIS的簽密公鑰加密INF=DL{ER{M}}。

得到匿名數據INF。R1，R2，…，Rn表示R-TIS和L-T IS之間n個中間節(jié)點，根據中間節(jié)點的偽名列表(P1，P2，…，Pn)和式(1)計算R-TIS同每個Ri的會話密鑰

以及同L-TIS的會話密鑰

R-TIS對秘密數據進行嵌套加密，發(fā)送的數據分組data格式為

式中:INF為秘密數據;Si={si，H2(Pi，si)，Pi⊕PR}，1≤i≤n，SL={sL，H2(PL，sL)，PL⊕PR}，si和sL為R-TIS選擇的隨機數，在每輪數據發(fā)送中均不同。

4)匿名數據轉發(fā)

每個中間節(jié)點Ri在接收到數據分組后，首先Ri根據Si的第2部分判斷，根據Ri的計算，若存在則說明Ri在路徑上，否則丟棄。

通過Si的第三部分恢復出PR

并計算自己和R-TIS的會話密鑰

Ri以Ki解密data中除Si以外其他部分，將解密結果取代原值，并轉發(fā)分組，直至分組到達終點。

5)數據到達

分組到達終點L-TIS時，L-TIS同式(5)中過程一樣，解密data中除SL以外的部分，得到密文INF。

由L-TIS先用L-TIS的簽密私鑰解密再用R-TIS的簽密公鑰加密即恢復出原文M。

3 性能分析

3.1 匿名性分析

在本文方案中，每個節(jié)點的真實身份都是以加入隨機數的哈希值Pi=rH1(IDi)的偽名代替，從而保證了節(jié)點的身份機密性，具有更高的匿名。路徑上的節(jié)點通過H2(Pi，si)'=H2(Pi，si)運算判斷是否自己在路徑上，只有節(jié)點能夠通過PR=Pi⊕Pi⊕PR恢復出R-TIS的偽名，計算出會話密鑰Ki=H2(e(PR，ridi)||PR||Pi)，解密并進行轉發(fā)。本方案中的會話密鑰是R-TIS每同個節(jié)點Ri及L-TIS協(xié)商得到，不涉及相鄰節(jié)點，保證了相鄰節(jié)點的匿名性。數據包按照信息傳輸路徑上節(jié)點R1，R2，…，Rn的逆序，按序依次用R-TIS同每個Ri協(xié)商的會話密鑰，實現嵌套加密，每個節(jié)點Ri僅能通過計算獲知與R-TIS的會話密鑰，即使攻擊者獲得某節(jié)點的會話密鑰，也只能解密出需轉發(fā)的消息，無法獲取發(fā)送方和接收方的真實身份。因此，本文提出的方案具有較高的匿名性。

3.2 安全性分分析

1)向前機密性

假設密鑰協(xié)商方為A和B，攻擊者C能夠以不可忽略的概率計算出會話密鑰KAB，則存在攻擊者C解決BDHP。

考慮最壞的情況，即A，B的私鑰均已泄漏給攻擊者C。如果C能夠在多項式時間內以不可忽略的概率計算出會話密鑰KAB，則意味著C已知，QA=H1(IDA)，QB= H1(IDB)，dA=sQA，dB=sQB，PA=rAQA，PB=rBQB。

可有效計算由于QA是G1的生成元，那么

令rB'=brB，則PB=rB'QA，亦即C在已知sQA，rAQA，rB'QA的情況下，可有效計算

這解決了一個BDHP，與定義2產生矛盾。故對手不能有效計算KAB。

2)抗攻擊性

當攻擊者獲得路由信息包時，在密鑰協(xié)商階段，由于隨機數的參與，無法知道當前節(jié)點的偽名 Pi=rH1(IDi)，也就不能獲取節(jié)點Ri與R-TIS的共享密鑰，顯然攻擊者就不能正確解密出節(jié)點收到的信息，這樣，方案也就保證了只有合法的路由節(jié)點才能解密得到正確的轉發(fā)信息或最終數據。本方案改進了相鄰節(jié)點間協(xié)商會話密鑰，會話密鑰由節(jié)點Ri與R-TIS協(xié)商得到，提高了安全性?？紤]最壞情況，即攻擊者獲得了所有中間節(jié)點的密鑰，由于傳輸查詢到的物品信息M用R-TIS的簽密私鑰再用L-TIS的簽密公鑰加密，而攻擊者獲得的是密文INF，在無L-TIS的私鑰時，也無法恢復出明文消息M，具有較強的抗攻擊性。

Si={si，H2(P，si)，Pi⊕PR}，1≤i≤n，SL={sL，H2(PL，sL)，PL⊕PR}，其中有隨機數的參與，使得每一輪的轉發(fā)數據都不同，這樣使得匿名連接標識在每輪數據發(fā)送中不同［8］，以對抗流量分析攻擊。

在網絡中不直接傳輸會話密鑰，而是節(jié)點通過計算獲得會話密鑰，攻擊者通過竊聽無法獲取密鑰，同時竊聽者無法根據內容和時間分析節(jié)點接收與發(fā)送的分組的關聯關系，因此能有效地抵抗竊聽攻擊。

重放攻擊是一種針對洋蔥路由系統(tǒng)的十分有效的攻擊，加入時間戳存在需要嚴格時間同步問題［9］。本方案在密鑰協(xié)商階段，隨機數x，y的參與，可以使得密鑰定期或不定期更換，甚至達到“一次一密”的要求，因此消息均具有新鮮性和不可預測性，能有效抵抗重放攻擊。同時本方案中回避了時間戳的使用，避免了時鐘同步問題的發(fā)生。

與文獻［4］方案安全性比較如表2所示，結果顯示本文方案更安全。

表2 方案安全性比較

3.3 效率分析

為了測試本文提出方案的效率，使用PBC密碼函數庫實現了算法，并在數據加密時間和數據轉發(fā)時間兩個方面與文獻［4］進行了對比。實驗環(huán)境為聯想筆記本(Intel(R)Core(TM)i5 CPU 2.53 GHz，2.00 Gbyte RAM)，操作環(huán)境是Ubuntu 12.04。

圖2、圖3分別是節(jié)點數量為2，5，10，15，20時，數據加密和中間節(jié)點匿名數據轉發(fā)所需的時間圖。在算法分析時，雖然文獻［4］提出的算法比本文中的算法少1次雙線性運算，但由于新方案中大量減少了散列運算，從圖中可以看出本方案具有較明顯的效率優(yōu)勢，尤其是隨著中間節(jié)點的增加，效率優(yōu)勢更加明顯。因此本文方案更加適合具有大量節(jié)點的物聯網環(huán)境。

圖2 數據加密時間圖

圖3 匿名數據轉發(fā)時間圖

4 結束語

匿名性和安全性是物聯網網絡中的兩個重要的方面，本文提出了一個基于雙線性對和哈希運算的物聯網物品信息匿名傳輸方案，這一方案具有良好的匿名性，同時具備向前機密性、防流量分析、防竊聽、防重放和時鐘同步等安全特性。考慮到節(jié)點運算能力和能量有限，方案采用對稱密鑰機制替代公鑰簽名機制，采用異或運算替代模指數運算，并引入雙線性對的算法進行密鑰協(xié)商，降低了系統(tǒng)的計算復雜度，最后通過仿真實驗進行了分析驗證，結果顯示新方案更加適合物聯網環(huán)境下數據匿名傳輸。下一步，將通過搭建網絡仿真平臺，對方案的匿名度和數據包發(fā)送延遲進行仿真，以便更加全面地評價該方案。

［1］梁浩.基于物聯網的EPC接口技術研究［D］.武漢:武漢理工大學，2006.

［2］周曜，徐佳，劉鳳玉.移動Ad Hoc網絡中一種前向機密的匿名路由方案［J］.南京航空航天大學學報，2010，42(2):204-208.

［3］REED M G，SYVERSON P F.Anonymous connections and onion routing［J］.IEEE Journal on Selected Areas in Communication-Special Issue on Copyright and Privacy Protection，1998，16(4):482-494.

［4］吳振強，周彥偉，馬建峰.物聯網安全傳輸模型［J］.計算機學報，2011，34(8):1351-1361.

［5］任偉，宋軍，葉敏，等.物聯網自治安全適配層模型以及T2ToI中T2T匿名認證協(xié)議［J］.計算機研究與發(fā)展，2011，48(S):320-325.

［6］楊元原，馬文平.一種混合的Tor匿名通信系統(tǒng)［J］.計算機應用研究，2007，24(10):141-144.

［7］楊偉偉，劉勝利，蔡瑞杰，等.一種Tor匿名通信系統(tǒng)的改進方案［J］.信息工程大學學報，2012，13(4):503-507.

［8］ZHU B，WAN Z，KANKANHALLIM S，etal.Anonymous secure routing in mobile Ad Hoc networks［C］//Proc.29th Annual IEEE International Conference on Local Computer Networks(LCN’04).Tampa: IEEE Computer Society，2004:102-108.

［9］李龍海，付少鋒，蘇銳丹，等.對一種混合結構洋蔥路由方案的密碼學分析［J］.通信學報，2013，34(4):88-98.

Novel Things Information Transport Protocol in Internet of Things Environment

WANG Lizhen1，ZHANG Longjun1，WANG Xiaohong2
(1.Department of Information Engineering，Engineering University of CAPF，Xi’an 710086，China; 2.The Communication Terminal Command of The Armed Police Headquarters，Beijing 100000，China)

Concerning the shortage of traditional internetof things in the process of information transmission，a novel things information transport protocol based on bilinear pairings and hash algorithm is proposed by using the onion router technology.The protocol uses the key agreement based on the pseudo，and the symmetric key-based mechanism is used to replace the public key encryption.The identification is based on the xor operation.Analysis indicates that the novel protocol can solve the problem of forward secrecy and clock synchronization，and have a higher efficiency and security。

internet of things;anonymous transmission;onion router;bilinear pairings;key agreement

TN915;TP309

A

汪禮臻(1990—)，碩士生，主要研究方向為網絡與信息安全;

?? 盈

2014-08-08

【本文獻信息】汪禮臻，張龍軍，王曉紅.適合物聯網環(huán)境的物品信息匿名傳輸方案［J］.電視技術，2014，38(23).

張龍軍(1964—)，教授，博士生導師，主要研究方向為網絡與信息安全;

王曉紅，女，碩士，武警總部司令部參謀。