面向卫星物联网的无证书双边访问控制方案-AET-电子技术应用

面向卫星物联网的无证书双边访问控制方案

网路安全与数据治理

张华乐，陆俊，林航，颜申

国网安徽省电力有限公司信息通信分公司

摘要：作为物联网设备互通的新范式，卫星物联网能够有效弥补传统地面物联网的不足。然而，卫星物联网环境下设备间交互的安全保障能力仍有待提高。鉴于此，提出了一种面向卫星物联网的无证书双边访问控制方案。本方案采用无证书公钥加密技术避免了传统加密方案中的密钥托管和证书管理问题，并基于匹配加密技术实现了发送端和接收端的双边访问控制。此外，通过将部分加解密工作外包给边缘服务器的方式，减轻了终端设备的计算负担。基于标准困难假设的安全分析证实了本方案的安全性，而性能分析则表明了本方案的实用性。

关键词： 卫星物联网无证书公钥加密匹配加密双边访问控制

中图分类号：TP309 文献标识码：ADOI:10.19358/j.issn.2097-1788.2025.01.004引用格式：张华乐，陆俊，林航，等. 面向卫星物联网的无证书双边访问控制方案［J］.网络安全与数据治理，2025，44（1）：21-29.

A certificateless bilateral access control scheme for satellite IoT

Zhang Huale，Lu Jun，Lin Hang，Yan Shen

Information and Communication Branch, State grid Anhui Electric Power Co., Ltd.

Abstract：As a novel paradigm for the interconnection of Internet of Things (IoT) devices, satellite IoT effectively addresses the limitations inherent in terrestrial IoT networks. However, the security of device interactions within the satellite IoT environment remains an area ripe for enhancement. In view of this, this article proposes a certificateless bilateral access control scheme for satellite IoT. This scheme employs certificateless public key encryption technology to avoid the issues of key escrow and certificate management inherent in traditional encryption schemes, and achieves bilateral access control between the sender and receiver based on matching encryption technology. In addition, by outsourcing part of the encryption and decryption tasks to edge servers, the computational burden on terminal devices has been reduced. Security analysis based on standard hardness assumptions confirms the security of the scheme, while performance analysis demonstrates its practicality.

Key words :satellite Internet of Things; certificateless public key encryption; matching encryption; bilateral access control

引言

随着地轨卫星网络和高通量卫星等新型通信手段的出现，物联网正逐步迈向“地-天-空”一体化的模式。作为促进物联网设备间通信的下一代网络，相较传统地面物联网，融合卫星和物联网特征的卫星物联网(Satellite Internet of Things, SIoT)，能够有效克服偏远地区网络覆盖能力不足的局限性，实现更大范围的实时、有效通信［1］。由于终端设备计算和能源等资源的限制，如何实现物联网环境中信息交互的安全性和实用性成为一个亟待解决的问题。无证书公钥加密技术(Certificateless Public Key Cryptography, CL-PKC)的提出［2］，避免了传统公钥基础设施(Public Key Infrastructure, PKI）密码体制中的密钥托管和证书管理问题，在提供安全性保障的同时，有效减轻了终端设备的计算和存储负担，成为当前物联网领域研究的热点。例如，Kumari等人［3］基于无证书公钥加密技术设计了一种适用于物联网的认证协议，实现了对物联网终端的安全认证。Deng等人［4］针对电力物联网环境，提出了一种无证书公钥加密技术的安全认证和密钥交换协议，在对终端完成安全认证的基础上，通过协商的安全会话密钥实现了设备与服务商之间的安全通信。考虑到物联网中终端有限的计算资源，Cui等人［5］设计了一种基于椭圆曲线的无证书公钥加密方案，该方案利用椭圆曲线的点乘运算代替复杂的双线性配对操作，有效减轻了终端在认证过程中的计算负担。然而，上述的方案均侧重于物联网环境中的单边安全性，即关注作为数据发送方的终端设备的安全性。此外，也有部分方案采用信号加密和属性基加密等方式解决物联网中的安全交互问题。信号加密结合加密和签名技术，以公钥验签的方式实现了对数据发送方的真实性保障［6］，而基于属性的加密方案虽然能够实现对接收方的细粒度访问，但通常不支持对数据发送方的访问控制［7］。因此，需要一种能够在物联网环境中进行双边访问控制的方法，提升数据的安全保障和控制能力。匹配加密（Matchmaking Encryption, ME）能够为发送方和接收方提供双边访问控制［8］。ME允许发送方为接收方设定一个访问域，同时使接收方能验证密文是否源自合法的发送方。然而，在当前研究方案中［9-10］，加密、解密过程仍大多完全依赖于计算资源受限的终端设备，并不适用于作为下一代物联网范式的卫星物联网环境。鉴于此，本文提出了一种面向卫星物联网的无证书双边访问控制方案，主要贡献如下：

（1）基于无证书加密和匹配加密技术，在避免传统加密方案密钥托管和证书管理问题的基础上，实现了发送端和接收端的双边访问控制，确保只有满足条件的发送端和接收端才能进行有效的数据交互，提升了物联网环境中的数据安全保障和控制能力。

（2）不同于传统基于双线性配对的方案，本方案采用椭圆曲线加密技术减少终端的计算负担，并在此基础上将终端的部分加解密工作外包给边缘服务器，进一步减轻了终端设备的计算开销。

（3）基于标准困难假设的安全分析证明了本方案的安全性；而性能分析则表明，相较于现有方案，本方案中终端设备承担的计算开销更小，具有更高的实用性。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000006297

作者信息：

张华乐，陆俊，林航，颜申

（国网安徽省电力有限公司信息通信分公司，安徽合肥230022）

Magazine.Subscription.jpg

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容