無證書同態聚合簽密在物聯網數據安全與云端部署中的應用研究

摘要：簽密是密碼學中的一個概念，它結合了數字簽名與加解密功能，能夠有效保護數據的機密性和認證性。在物聯網環境中，感知層的各種傳感設備數量龐大，通常計算能力有限且通信帶寬較低，每時每刻都在生成海量的動態數據。使用簽密技術可以在保證數據的機密性、完整性、真實性和不可否認性的同時，減少物聯網中的計算開銷和通信開銷。文章提出的無證書同態聚合簽密（CertificatelessHomomorphicAggregationSigncryption，CHASC）結合了無證書密碼體制、簽密技術和數據聚合壓縮機制，為物聯網的大規模部署認證接入提供了一種高效、安全且低開銷的解決方案。

關鍵詞：簽密；同態聚合；無證書密碼體制；物聯網；數據安全

中圖分類號：TP393文獻標識碼：A

文章編號：1009-3044（2025）20-0085-03

1相關工作

物聯網（InternetofThings，IoT）是指通過互聯網將現實生活中各種物理設備、傳感器、相關軟件以及通信傳輸設備連接起來，實現各設備間數據交互和智能協同的技術體系。物聯網的核心結構主要分為感知層、網絡層、平臺層和應用層。感知層中包含海量采集信息的傳感器以及各種嵌入低功耗微控制器的設備。這些設備采集外界的溫度、濕度、運動狀態等物理數據，通過網絡層的各種網絡設備傳輸到物聯網云平臺進行數據存儲、邊緣推理和云端大數據分析，再將結果推送給應用層使用。

目前，隨著物聯網感知層部署的傳感器設備越來越密集，如何有效處理各種設備的接入認證，保障采集數據的真實性、完整性、不可否認性，以及防止采集數據時造成用戶敏感信息泄露，已成為當前研究熱點。余庚等人[1]針對物聯網隱私泄露的風險，設計出多類型數據聚合隱私保護方案，該方案能夠消除對可信第三方的依賴，更好地保護用戶隱私。閆保峰[2]在智能家居物聯網系統中研究了數據安全和隱私保護的實施策略，提出以TLS/SSL加密協議為基礎的高效數據加密協議。梅常鵬等人[3]以區塊鏈為背景，基于HyperledgerFabric框架設計出適用于鴻蒙物聯網數據可信存儲的方案，該方案能夠滿足物聯網數據安全存儲和可回溯性的需求。尹建標等人[4]面向工業物聯網中的數據泄漏和數據獲取終端的問題，提出基于屬性支持策略隱藏的加密方案，該方案可有效適用于產生大量數據的物聯網場景，但方案在安全性上只能抵抗選擇明文攻擊。由此可見，物聯網系統中針對海量數據的安全性保護越來越受到關注。

在密碼學中，數字簽名可以為數據提供完整性、真實性和不可否認性的保護，而加解密技術可為數據提供機密性保護。簽密是一種密碼學原語，它可將數字簽名和加解密技術高效融合，旨在在一個單一步驟內同時實現數據的真實性、完整性和機密性保護。此外，簽密還可以滿足不可否認性的要求，即當簽密驗簽合法時，數據的接收方可以確認該數據是由發送方生成且未被篡改。

如果使用傳統“先簽名后加密”的方式在物聯網中傳輸數據，需要經過簽名、加密、傳輸、解密、驗簽5個步驟；而使用簽密技術，發送者只須在一個邏輯步驟內就可以完成簽名和加密，再通過網絡傳輸給接收者，接收者也只須在一個邏輯步驟內完成數據的解密和驗簽。由此可見，簽密技術能夠有效減少算法的計算步驟和通信時的數據傳輸量，非常適用于物聯網中感知層的各種低功耗設備。

無證書公鑰密碼體制（CertificatelessPublicKeyCryptography，CL-PKC）可有效解決傳統公鑰密碼體制（TraditionalPublicKeyCryptosystem，TPKC）中證書管理復雜的問題，以及基于身份的密碼系統（Identity-BasedCryptography，IBC）中的密鑰托管問題。在傳統公鑰密碼體制中，用戶需要證書頒發機構（CertificateAuthority，CA）簽發的證書來綁定公鑰和身份，這給證書的管理、存儲和驗證帶來了較大開銷。在IBC中，直接將用戶身份作為公鑰，雖然無需證書，但私鑰生成中心（PrivateKeyGenerator，PKG）掌握所有用戶的私鑰，存在密鑰托管問題，如果遭受黑客攻擊或遇到不誠實的PKG，極有可能導致用戶隱私泄露。CL-PKC融合了上述兩種密碼體制的優點，可以同時方便地搭建在物聯網系統的三層架構之上。具體而言，物聯網云平臺密鑰生成中心可為接入系統的用戶生成對應的部分私鑰，而另一部分秘密值由用戶設備自己生成，這樣既避免了證書管理，又解決了密鑰托管問題。在整個系統的部署中，無須管理各用戶的證書，同時PKG只擁有用戶的部分私鑰，而無法獲取用戶的完整私鑰，由此提高了系統的安全性。

本文將圍繞物聯網系統中數據的隱私保護以及數據的真實性、完整性認證展開研究，提出適用于物聯網中數據保護的無證書同態聚合簽密方案。該方案可保障傳感器采集數據的真實性、完整性和機密性。而且方案中還使用了同態壓縮和聚合技術，同態技術可以將同一時間段內邊緣傳感器采集的動態數據的簽名部分進行壓縮，而聚合技術可以將來自不同用戶各時間段采集的數據簽密聚合成一個。最后，物聯網云平臺接收者只要驗證該同態聚合簽密的合法性，就相當于依次驗證每個數據的真實性、完整性，因此該方案可以極大地提高物聯網中海量數據簽密的批量驗簽效率。

5方案的性能實驗

本部分采用JPBC密碼學庫，對上述方案進行了仿真實驗。實驗分別選取5組物聯網傳感器采集的動態增長的數據塊（100個、200個、300個、400個、500個），采用本文提出的無證書同態聚合簽密方案和參考文獻[5]中提出的無證書簽密方案進行實驗測試。

兩種方案實驗時的驗簽性能結果如圖1所示。從仿真實驗結果看出，由于物聯網中采集的數據具有動態增長的特點，因此如果使用普通的無證書簽密方案，傳感器每采集一個數據就進行簽密，然后通過網絡發送給物聯網云服務平臺，云平臺收到后再進行驗簽解密，這種方式很顯然既平凡又不現實，會占用大量的網絡傳輸帶寬，使得云服務平臺處理數據的效率降低。

當使用無證書同態聚合簽密時，可以將某一時間段采集的數據作為一個數據集，在同一數據集中簽密的簽名部分使用同態算法進行壓縮，對于不同用戶不同時間段的簽密則使用聚合算法壓縮，這樣可以減少網絡層中傳輸的數據量。同時，在云服務平臺層驗簽簽密時，只須驗證聚合后簽密的正確性，就可判斷所有聚合前簽密的合法性，因此可提高云服務平臺的工作效率。

參考文獻：

[1]余庚，劉登志.面向物聯網的多類型數據聚合隱私保護方案

[2]閆[J].保物峰聯.網智技能術家，2居02系5，統15中（4）的：58物-6聯0，網63數.據安全與隱私保護[J].石河子科技，2025（1）：28-30.

[3]梅常鵬，汪顯順，林重汕，等.基于區塊鏈的鴻蒙物聯網數據可信存儲研究與應用[J].計算機技術與發展，2023，33（5）：1-8.

[4]尹建標，張言，史培中，等.面向工業物聯網的策略隱藏屬性基加密方案[J].現代電子技術，2025，48（1）：90-96.

[5]sLcIhUemZeHi，nHtUheYstPan，ZdHarAdNmGodXelS[J，]e.tInaflo.CrmerattiifoicnaSteclieesnscesisg，2n0cr1y0p，t1i8on0（3）：452-464.

【通聯編輯：代影】