基于改进无证书公钥密码的轻量级DTLS协议设计-《南京信息工程大学学报》(2021年5期).docx

龙源版权所有 基于改进无证书公钥密码的轻量级DTLS协议设计作者：许国栋　刘光杰　乔森　陆赛杰　赵华伟来源：《南京信息工程大学学报》2021年第05期 摘要物联网在快速发展的同时，其数据交互容易遭受各种攻击.为了保证物联网传输层协议UDP传输数据的安全，在TLS协议架构基础上扩展形成了支持UDP数据报安全传输的DTLS（DatagramTLS）协议.现行的DTLS协议基于公钥证书密码体制，证书管理复杂、网络通信开销大，难以满足物联网等资源受限型网络的安全通信需求.本文提出一种基于离散对数的改进无证书公钥密码方案，设计了适应资源受限网络的轻量级DTLS协议，并基于嵌入式SSL库wolfSSL进行了协议实现.从通信开销和握手连接时间两方面，将本文提出的基于改进无证书公钥密码的DTLS协议分别与基于传统公钥证书的DTLS协议及基于身份标识的DTLS协议进行了对比实验.实验结果表明，在保证安全性的前提下，基于无证书的DTLS协议在通信开销和握手连接时间方面均优于基于公钥证书的DTLS协议和基于身份标识的DTLS协议.关键词物联网;离散对数;无证书;轻量级;DTLS协议 中图分类号TP309.7 文献标志码A 收稿日期2021-04-18 资助项目国家自然科学基金（U183610462072250） 作者简介许国栋，男，硕士生，研究方向为网络安全与通信.20191218017@ 刘光杰（通信作者），男，博士，教授，研究方向为网络安全与通信.gjieliu@ 1南京信息工程大学电子与信息工程学院，南京，210044 2南京地铁建设有限责任公司，南京，210000 3北京城建设计发展集团股份有限公司，北京，100037 0引言 随着万物互联时代的到来，物联网技术正深刻改变着世界.指数级增长的物联网设备，在给人们带来便利的同時，也面临着众多威胁和安全挑战[1].物联网安全逐渐引起了工程界和学术研究者的广泛关注.在众多物联网安全问题中，协议安全是实现点到点和端到端安全通信的基石，因此也成为了物联网安全研究的热点.网络协议研究者起初设计网络协议时主要考虑了可用性，而忽略了安全性问题.作为传输层协议典型代表的TCP、UDP协议本身也不具备安全性.SSL/TLS协议在TCP协议之上提供数据的加密传输服务，而DTLS协议（DatagramTLS）扩展自TLS协议架构，为UDP协议提供端到端的安全通道.DTLS协议也可与物联网相关应用层协议结合来实现安全通信.例如，CoAP协议[2]经DTLS加密后形成的CoAPs协议，被广泛应用于物联网的端到端安全通信中[3-4]. 握手是DTLS协议完成身份认证和秘钥协商的必要机制.然而，传统DTLS协议的握手过程更多是基于公钥证书，但基于证书的公钥密码体系在证书管理、身份认证与加密等方面存在不足.一方面，证书管理包括证书的撤销、发放和存储等环节，增加了系统的开销;另一方面，身份认证与加密包括通信终端的身份合法性认证、基于公钥的传输数据加密等过程，增加了计算开销.因此，本文主要研究基于无证书公钥密码的DTLS握手协议.针对该问题，研究者们也探索了诸多无证书[5]的解决方案.2003年，Boneh等[6] 构建了第一个基于身份的加密方案（Identity Based Encryption，IBE）.然而，IBE方案使用双线性对运算，且用户的私钥完全由私钥生成器（Private Key Generator，PKG）生成，这不仅造成更高的计算代价，还引发出私钥托管问题.文献[7]实现了基于身份标识（Identify-Based Cryptography，IBC）的DTLS协议，但此方案中的用户私钥仍完全由PKG产生.若PKG节点遭受攻击，恶意节点将获取用户私钥，进而窃听合法用户间的通信内容.文献[8]提出了一种用户私钥生成方案来解决密钥托管问题，首先使用系统私钥生成初始秘钥值，再叠加上一个随机数，构成一部分用户私钥，但此方案在安全性证明方面还存在不足.文献[9]提出了一种双密钥对的方案，即PKG随机选取两个秘钥值作为系统私钥，并将其中一个秘钥值加上仅通过系统私钥产生的一部分用户私钥作为用户最终的部分私钥，但与文献[8]相比又增加了部分计算量，降低了方案的实现效率，难以满足计算成本受限型节点的安全通信需求. 针对上述问题，本文改进了产生用户部分私钥的运算方法，提出了一种基于离散对数运算的无证书公钥加密（Discrete Logarithm based Certificate-Less Public Key Cryptography，DL-CL-PKC）方案，此方案主要有两个优势：一是规避了基于身份标识的方案中双线性映射带来的运算复杂度;二是此方案中私钥生成器只需要生成一对