一種面向工業物聯網的遠程安全指令控制方案

陳紀成，包子健，羅敏，何德彪

（武漢大學國家網絡安全學院空天信息安全與可信計算教育部重點實驗室，湖北 武漢 430072）

0 引言

隨著物聯網和5G 技術的不斷發展，工業物聯網（IIoT）成為工業領域的重要發展方向，可以有效提升工業生產的自動化和智能化水平［1］。工業物聯網繼承了物聯網“萬物互聯”的思想，在環境監測［2］、智慧交通［3］、智能家居［4］等領域都得到了廣泛應用，逐漸成為工業4.0 的核心應用之一［5］。廣闊的應用前景和巨大的利潤潛力，使其受到國內外學術界的廣泛關注［6-8］。IIoT 利用局部網絡或互聯網等通信技術，將傳感器、控制器和工作人員等連接在一起，實現信息化、遠程管理控制和智能化的網絡。通過與云計算、數據挖掘等技術相結合，工業物聯網可以更好地對工業數據進行分析，輔助生產過程中的決策［9-10］；通過與數字簽名、區塊鏈等技術相結合，工業物聯網也可以實現更安全的遠程設備認證與管理［11-12］。在工業物聯網環境中，各種智能設備（傳感器、控制器等）通常被部署在智慧工廠中作為數據收集終端或執行終端，以獲取或接收工業數據［13］。專家或專業技術人員可以通過向具有指令執行功能的智能設備發送一系列操作指令，實現對設備的遠程控制。

然而，近年來針對工業基礎設施的網絡攻擊不斷增多，工業物聯網的安全問題也越來越引起人們的重視［14-15］。在工業物聯網遠程設備控制場景中，指令數據對生產過程具有很大的影響。如果一個惡意攻擊者向設備發送了惡意操作指令，可能會對工業生產造成嚴重破壞。因此，對遠程操作人員及其指令數據進行安全認證，保證指令來自合法的操作人員，是工業物聯網安全運行的必要條件?；谏矸莸臄底趾灻梢员ＷC用戶發出的指令簽名是可驗證且不可偽造的，同時避免了基于公鑰基礎設施（PKI）的數字簽名方案中復雜的證書管理問題。為了保護操作人員的身份隱私，群簽名技術可以在數字簽名的基礎上隱藏簽名者的身份，并可以由群管理者公開某簽名的簽名者身份，從而兼顧指令簽名的匿名性和可監管性，方便身份溯源和追責。同時，涉及關鍵操作的指令需要經過不少于一人的確認同意，且即使是合法用戶也可能存在部分指令錯誤或者不合規的情況，因此，在指令簽名之前需要對指令進行審核，設計兩方協同簽名則可以滿足此安全需求，此處兩方協同指的是簽名密鑰被分割為兩部分，簽名的過程由保管這兩部分密鑰的兩個人共同完成。

當前，基于國密標準的兩方協同群簽名相關研究還較少，SM9 算法作為基于身份標識的公鑰密碼，于2016 年成為國家標準［16］。為了實現國產密碼基礎設施自主可控，本文以國密SM9 密碼算法為基礎，設計一種面向IIoT 的遠程安全指令控制系統。提出一種基于國密SM9 標識密碼算法的兩方協同群簽名算法，結合區塊鏈實現面向工業物聯網的遠程安全指令控制系統方案。該方案基于國密標準，遠程用戶以群ID 來生成對指令的合法簽名，且指令的簽名過程由發起者和群管理員協同完成，以實現指令簽名前的審核，避免關鍵指令誤用。通過引入區塊鏈技術，實現IIoT 平臺的去中心化管理，通過智能合約對歷史操作記錄進行審計與追責。在驗證簽名階段通過批量驗證減少計算量，以滿足大量指令的驗證需求。最后進行安全性和性能分析，并與類似方案進行對比。

1 相關工作

當前已經有學者針對數字簽名、區塊鏈等技術在保障物聯網安全方面進行了大量研究。文獻［17］提出一種智能家居安全互認證系統，該系統通過集成區塊鏈、群簽名等技術，實現了對用戶訪問歷史的可靠審計、匿名驗證組成員和高效驗證家庭網關等功能。但是，該系統存在簽名權力集中、群簽名非國密化等問題。文獻［18］提出基于許可區塊鏈的匿名可追溯聚合簽名（PBATAS）方案，該方案使用智能合約驗證匿名來源并在實體之間共享加密材料，為IIoT 提供了可靠的監管支持。文獻［19］提出基于證書的短簽名方案，并將其應用于工業物聯網中，該方案的簽名驗證階段可以通過對多條簽名聚合實現批量驗證，從而節省驗證時間。此外，基于證書的簽名避免了基于身份標識簽名的密鑰托管問題和無證書密碼體制的公鑰替換攻擊。針對VANETs 中車輛之間的安全認證問題，文獻［20］重構了一個安全高效的短群簽名方案，以實現域內的可控匿名認證。通過整合區塊鏈，該文提出了一個區塊鏈輔助的隱私保護跨域認證協議BCGS，在BCGS 中，區塊鏈被用來實現可信信息共享，從而支持車輛之間的跨域認證。

自2016 年SM9 標識密碼算法正式成為國家密碼行業標準以來，對SM9 標識密碼算法及其應用的相關研究工作一直備受重視。文獻［21］提出一種基于身份認證的多KGC 群簽名方案。在此基礎上，結合聯盟鏈的特點，該文設計一種基于SM9 算法的可證明安全區塊鏈隱私保護方案。文獻［22］提出基于SM9 商用密碼的標識簽密方案，相較于先采用SM9數字簽名算法對數據進行簽名再利用SM9 加密算法加密簽名后的數據的方案，該方案在計算開銷和密文長度方面有明顯減少。文獻［23］提出一種基于SM9 算法的兩方協同盲簽名方案，該方案將簽名密鑰分割成兩部分，分配給2 個簽名者，兩方合作生成合法的盲簽名。文獻［24］提出一種基于SM9 門限簽名的電力終端安全認證方案，該方案結合無證書標識密碼和門限密碼，將SM9 私鑰進行分割和存儲，并采用電力終端與服務端交互計算后合成簽名的方法，解決了密鑰在電力終端安全便捷存儲和使用的問題。為提高智能家居系統中用戶簽名私鑰的安全性，文獻［25］基于SM9 數字簽名算法提出一種安全高效的兩方協同SM9 簽名方案，該方案通過協同密鑰生成算法生成用戶簽名私鑰，避免了單一KGC 功能過于集中的問題，降低了簽名主私鑰丟失的風險。

2 預備知識

2.1 群簽名

群簽名是一種數字簽名的變體，旨在允許群體中的任何成員代表整個群體對消息進行匿名簽名。自群簽名于1991 年被提出以來［26］，已經受到廣泛的研究和關注。

相比于普通數字簽名，群簽名具有更好的隱私保護特性。當簽名者需要保持匿名時，群簽名可以有效地保護其身份，而在發生糾紛時，群管理員可以打開群簽名以揭露簽名者的真實身份，這種機制保證了系統的可追溯性和安全性?；谏矸莸娜汉灻桨笇⑸矸輼俗R驗證與群簽名相結合，進一步保護用戶的隱私。這種方案在簽名時使用用戶的身份標識作為簽名參數之一，以保證簽名是由一個合法用戶完成的，同時簽名仍然是匿名的。群簽名通常包含以下算法［27］：

1）創建：多項式時間概率算法，初始化系統參數并輸出群公私鑰。

2）群成員加入：輸入群成員提供的身份標識信息，群管理員根據此信息生成用戶的私鑰。

3）簽名：多項式時間概率算法，輸入一個消息和一個群成員的私鑰，輸出對該消息的簽名。

4）驗證：任何人輸入原消息、該消息的簽名以及群公鑰后，輸出0 或1 以驗證簽名是否有效。

5）打開：輸入一個簽名和群私鑰，輸出該簽名者的身份信息。

2.2 區塊鏈與智能合約

區塊鏈是一種分布式數據庫技術，可以記錄數據和交易，將數據存儲在多個節點上并同步更新。區塊鏈的核心特點是去中心化、可信性和不可篡改性。智能合約是一種在區塊鏈上運行的自動化合約。智能合約是以編程的形式記錄在區塊鏈上的，可以自動執行程序代碼，并且具有安全性、不可篡改性和可編程性的特點。智能合約可以與外部系統進行交互，可以用于自動化支付、數字身份驗證、票據追蹤等領域。

2.3 SM9 標識密碼算法

SM9 標識密碼算法是一種基于身份標識的密碼體制，2016 年被確定為商用密碼國家標準，包括數字簽名、密鑰交換和公鑰加密3 個部分。該算法采用256 bit 的BN 曲線來實現雙線性對運算，并基于q-BDHI 困難問題。SM9 數字簽名算法包括數字簽名生成算法和驗證算法。簽名者使用由密鑰生成中心根據自己的身份標識生成的私鑰和待簽名的消息生成數字簽名，驗證者使用簽名者的標識以及系統公鑰生成驗證公鑰以驗證簽名的有效性。本文方案中的SM9 數字簽名算法包含如下算法：

3）簽名驗證算法：驗證者收到消息M和簽名值（h，S）后，依次計算P=[H1(IDi)]P2+Ppub-s，u=e(S,P)，w=u?gh，并驗證等式h=H2(M||w)是否成立。若成立，則簽名驗證通過；否則，驗證失敗。

關于SM9 密碼算法的其他信息以及應用情況見文獻［28-29］。

2.4 系統模型

本文提出的IIoT 遠程安全指令控制系統模型如圖1 所示，共包含4 個模塊，分別為注冊中心、用戶群、智能網關以及部署物聯網設備的智慧工廠，其中，用戶群包括群管理員和其他群成員。各部分具體如下：

圖1 面向IIoT 的遠程安全指令控制系統模型Fig.1 System model of security remote command control for IIoT

1）注冊中心：負責群管理員和智能網關注冊。

2）用戶群：包含群管理員和遠程用戶，群管理員負責群成員加入、群成員的密鑰生成、指令的審核以及群簽名的協同生成，遠程用戶負責發起指令并與群管理員協同對指令數據進行簽名。

3）智能網關：作為區塊鏈節點，負責驗證簽名合法性、維護區塊鏈、部署智能合約以及與智慧工廠的數據轉發。

4）智慧工廠：包含智能設備，負責指令執行。

3 面向IIoT 的遠程安全指令控制系統方案

本文設計一種基于SM9 標識密碼算法的兩方協同群簽名算法，并結合區塊鏈提出了面向工業物聯網的遠程安全指令控制系統方案，方案主要包含5 個階段，即系統初始化及群建立階段、群成員加入階段、簽名階段、驗證簽名階段和指令執行階段，簡要的工作流程如圖2 所示。當有需要時，還可以執行打開階段和撤銷階段來獲取某個簽名者身份或撤銷某個群成員。

圖2 本文方案工作流程Fig.2 The work flow of the scheme in this paper

3.1 系統初始化及群建立階段

在用戶端，根據實際的成員組織管理情況確定不同的群并指定該群的管理者。輸入安全參數λ，輸出 SM9 標識密碼算法的安全公共參數{G1,G2,GT,P1,P2,e,N,hid,H1,H2}，其 中，N是大素 數且N＞2λ，G1、G2為N階循環子群，P1、P2分別是其生成元，存在P1=φ(P2)，雙線性對e的值域為N階乘法循環群GT。hid 為KGC 選擇并公開地用一個字節標識的簽名私鑰生成函數識別符。2 個密碼雜湊函數分別為H1：{0,1}*→，H2：{0,1}n×GT×N→，KGC另外選擇一個密碼雜湊函數H2：{0,1}n×GT→。在一個群中，密鑰生成中心KGC 同時也是群管理者GM，生成群公私鑰對，具體為：KGC 選擇隨機數ks?[1,N-1]作為主私鑰（或群私鑰），計算G2中的元素Ppub-s作為群公鑰，g=e(P1,Ppub-s)，因此，群公私鑰為(ks,Ppub-s)。群管理者GM 的身份標識為IDGM（其中含有隨機數，為方便描述，隨機數不在表達式中標出，下同），計算t=H1(IDGM||hid,N)+ks，若t≠0，則秘密保存(ks,t)，公開(IDGM,Ppub-s)；否則，重新選擇IDGM中的隨機數。

在IIoT 端，智能網關初始化區塊鏈并作為全節點加入區塊鏈網絡，部署相應的智能合約。

3.2 群成員加入階段

根據系統需要，身份為IDA的成員A 可以申請加入群管理者為IDGM的群。輸入身份IDA，GM 計算t1=H1(IDA||hid,N)+ks。若t1=0，則成員A 更換IDA中的隨機數并重新執行本階段；否則，GM 計算t2=ks?，t3=ks?t-1，選擇隨機數a,b?[1,N-1]，計算成員A 的部分簽名私鑰，其中=bP1。同時，GM 計算簽名私鑰的另一部分其中，GM 秘密保存GM 通過安全信道將DA發送給成員A，并將A 的身份加入群成員名單L={IDi|i=1,2,…,n}，至此，成員A 成功加入群。

3.3 簽名階段

3.3.1 用戶A 發起簽名

如果用戶A 準備操作設備B 完成指令I，首先構造指令消息M={B,I,IDGM,timestamp}，其中，timestamp 是當前的時間戳。接下來，用戶A 執行以下步驟：

步驟1計算群GT中的元素g=e(P1,Ppub-s)。

步驟2選取隨機數r?[1,N-1]，依次計算P3=[r]P2、P4=[r](H1(IDA||hid,N)P2+Ppub-s)=[r?t1]P2。

步驟3用戶A 向群管理員發起簽名請求，包含消息{M,P3,P4}。

3.3.2 群管理員確認簽名

群管理員接收到用戶A 的簽名請求后，首先檢查指令M是否符合規定要求，若不符合則拒絕該請求，若符合，則群管理員GM 執行以下步驟：

步驟1按照群 成員名 單L，計 算ti=H1(IDi||hid,N)+ks,i=1,2,…,n，并驗證等式P4=tiP3是否成立，若成立，則確定該成員身份IDi；否則，令i=i+1，重新執行此步驟。若驗證完所有用戶的身份標識后都不成立，則說明用戶不在群中，拒絕此申請。

步驟2查詢，選取隨機數r1,r2?[ 1,N-1]，依次計算將{ω1,ω2,ω3}發送回用戶A。

3.3.3 用戶生成部分簽名

用戶A 收到{ω1,ω2,ω3}后，選擇隨機數r3,r4?[ 1,N-1]，依次計算h=H2(M||ωA,N)，hA=r4-h(modN)。將hA發送至GM。

3.3.4 GM 生成部分簽名

GM 生成部分簽名的步驟如下：

步驟1群管理員收到hA后，依次計算s1=將發送回用戶A。

步驟2GM 計算對于hA的打開參數=，秘密保存(P3,)。

3.3.5 用戶合成簽名

用戶A 收到群管理員返回的消息后，計算S1=，輸 出簽名σM={h,P3,P4,S1,S2}，將{M,σM}發送至智能網關。

3.4 驗證簽名階段

步驟1依次計算g=e(P1,Ppub-s)，t=gh'，h1=H1(IDGM||hid,N)，P=[h1]P2+Ppub-s。

步驟2計算，若等式u1=u2成立，則進行下一步；否則，簽名驗證不通過。

步驟3依次計算H2(M||ω,N)，若等式h=h'成立，則可以確定該簽名來自合法的群成員；否則，該簽名驗證失敗。

驗證過程需要進行雙線性對運算，計算量較大，當簽名數量較多時，繁重的計算可能會使系統崩潰。因此，當驗證k條簽名時，本文通過批量驗證減少計算量。具體如下：

步驟1提前預計算g=e(P1,Ppub-s)，h1=H1(IDGM||hid,N)，P=[h1]P2+Ppub-s。

步驟2計算若等式U1=U2成立，則進行下一步；否則，簽名中有非法簽名。

步驟3對于i=1,2,…,k，分別依次計算ti=ghi，若等式hi成立，則可以確定該簽名來自合法的群成員；否則，該簽名無效。

3.5 指令執行階段

在驗證簽名成功后，智能網關將指令發送至對應的智能設備B，設備B 執行結束后，將執行結果返回給網關，網關將通過智能合約上傳至區塊鏈，ret 為執行結果。

3.6 打開階段

如果需要確認某個消息M中的某個操作指令I的執行者身份（即該指令的簽名者身份），則該執行者所在群的群管理員GM 進行此階段的計算，具體描述如下：

步驟1GM 調用區塊鏈中的智能合約接口獲取需要執行打開操作的消息及對應的簽名{Mi,σMi}。

步驟2GM 根據P3檢索得到，計算用以查詢，根據查詢得到IDA。

3.7 撤銷階段

當用戶A 需要被撤銷時，GM 在群成員名單L={IDi|i=1,2,…,n}中刪除IDA以及即可。

3.8 正確性證明

因此，若簽名σM是合法的，則h2=h成立。同理可證明批量驗證時的正確性，在此不再贅述。

4 安全性分析

根據基于身份的簽名（IBS）的安全模型，方案需滿足簽名的不可偽造性、匿名性、可追蹤性等安全特性并能夠抵御各種攻擊。本節通過對所提方案中群簽名的不可偽造性、匿名性以及可追溯性進行分析，證明方案滿足安全性需求。KGC 負責生成用戶的私鑰，在知道用戶身份信息的前提下可以偽造任意群內的用戶簽名，因此，本文假設KGC 是絕對安全可信的。

4.1 不可偽造性

不可偽造性要求敵手無法創建正確的證明，證明某個群成員生成了某個有效簽名，除非這個用戶確實生成了這個簽名。由于密碼雜湊函數H1、H2都具有單向性且橢圓曲線上的離散對數問題是困難的，敵手通過獲取隨機數a、b的概率是可忽略的。假設敵手猜測用戶A的部分私鑰為則可以得到S1=的概率為1/N，是可忽略的。因此，在隨機諭言機模型下，如果q-SDH 問題是困難的，那么本文設計的群簽名具有不可偽造性。

4.2 匿名性

匿名性要求除群管理者外的任何人都很難從群簽名中恢復原始簽名者的身份。在簽名驗證過程中，輸入的參數全部為公開參數，不包括用戶身份IDA。通過計算ti=H1(IDi||hid,N)+ks,i=1,2,…,n并驗證等式P4=tiP3可以確定成員身份。敵手在不知道KGC 的主私鑰ks的情況下，根據P3、P4以及S1、S2計算出用戶身份的概率是可忽略的。另外，由于隨機數{r,r1,r2,r3,r4}在每次簽名中都是變化的，因此同一個人對同一個消息的前后2 次簽名σM也是不相關的，簽名具有不可鏈接性。

4.3 可追溯性

可追溯性要求敵手無法生成群管理者不能打開的簽名，或者敵手能夠打開但無法產生正確證明的簽名。由于GM 對于每一個簽名都秘密保存其中包含簽名者的身份信息，因此只要有合法簽名生成，管理員一定可以打開。計算得到時，如 果CDH 問題是困難的，那么敵手在無法得到ks或r的情況下計算H3(ks?P3)=H3(r?Ppub-s)是困難的。

4.4 抵御攻擊能力

在簽名過程中，由于群成員需要和GM 進行交互，因此容易受到惡意攻擊。一些常見攻擊對本文方案的影響分析如下：

1）重放攻擊：由于指令數據M包含時間戳，GM可以在驗證M的同時驗證消息的時效性。

2）中間人攻擊：假如用戶A 發起簽名請求后被敵手B 截獲，敵手B 將指令M更換為M'，并繼續發送給GM，B 將{ω1,ω2,ω3}轉發給A，A 會繼續根據M生成哈希值hA，即使B 自己生成關于M'的h'A，由于不知道A 的部分私鑰，B 也無法成功偽造{S1,S2}。

3）去同步化攻擊：在簽名過程中，由于不存在存儲表的更新，因此無法實施去同步化攻擊。

4.5 安全性比較

分析比較本文方案與文獻［17，19，25］中的方案，這些方案的簽名都具有不可偽造性，因此在匿名性、可追溯性和是否支持協同簽名3 個方面進行比較，結果如表1 所示。從表1 可以看出，本文方案滿足全部安全特性。

表1 方案安全特性比較Table 1 Comparison of security features of schemes

5 性能分析

本節首先分析所提方案的通信消耗，并與文獻［25］方案進行比較。文獻［25］方案也是采用兩方協同簽名來實現的，因此比較協同簽名生成和簽名發送過程中的通信消耗（不考慮存儲消耗），結果如表2 所示，其中，|G1|、|G2|和|GT|分別表示群G1、G2和GT中元素的大小，|M|為消息長度。

表2 方案通信消耗比較Table 2 Comparison of communication cost of schemes

結合表1 和表2 可知，為了實現匿名性和可追溯性，本文方案相比文獻［25］方案增加了部分通信消耗。對于發起簽名的用戶來說，在簽名生成階段，本文方案相比文獻［25］方案增加了2|G2| +|M|長度的消耗，在簽名發送階段增加了|G1| +2|G2|長度的消耗。

接下來分析本文方案的計算消耗，并與文獻［17，19，25］中的方案進行比較。由于運算代價主要集中在雙線性對運算TB、群GT中指數運算TE、Map to point 哈希運算TH和群G1、G2中元素 的標量乘運算TM，因此只考慮這4 種運算在方案中的使用次數，其他如哈希運算、模逆運算等計算量較小的操作此處不作考慮。另外，群成員私鑰生成后短時間內不會再執行此階段操作，簽名的打開和成員的撤銷也不會頻繁進行，因此只對比簽名和驗簽的計算消耗。計算消耗對比結果如表3 所示。

表3 方案計算消耗比較Table 3 Comparison of calculate cost of schemes

結合表1 和表3 可知：文獻［19］方案計算量最小，但是不提供匿名性、可追溯性，不支持協同簽名；文獻［17］方案計算量次之，但是不支持協同簽名；文獻［25］方案比本文方案計算量略低，但是不提供匿名性、可追溯性。本文方案在驗簽階段可以對多條簽名進行批量驗證以減少計算量，當有n條簽名時，正常驗簽時間消耗為3nTB+nTE，批量驗證時間消耗為(n+2)TB+nTE，因此，簽名數量越多（即n越大），批量驗證節省的時間也越多。經計算可得，在簽名數量超過20 條時，本文方案通過批量驗證節省的時間超過50%。

本文方案在簽名和驗簽階段用戶的計算量比其他方案略高，但是提供了更好的安全特性，在計算消耗較大的驗簽階段可以通過對多條簽名進行批量驗證以減少計算時間消耗，相對多付出的計算代價對于用戶和計算能力較強的智能網關來說處于可接受的范圍內，因此，本文方案在工業物聯網環境中具備實用性。

6 結束語

針對工業物聯網中的遠程指令控制場景，為兼顧該場景中指令合法性認證、簽名者身份匿名性和可監管性，本文設計一種基于SM9 數字簽名算法的兩方協同群簽名算法，結合區塊鏈技術實現工業物聯網中的遠程安全指令控制方案。該方案基于SM9國密標準，允許遠程用戶以群ID 來生成對指令的合法簽名，在保證指令發起者匿名性的同時，允許群管理員打開簽名以公開簽名者身份，同時需要群管理員審核簽名并共同完成簽名以防止關鍵指令出現錯誤和不合規的情況。安全性和性能分析結果表明，相較對比方案，本文方案能更好地滿足應用場景中的安全性需求，雖然增加了一定的計算和通信消耗，但是對于用戶和計算能力較強的智能網關而言處于可接受范圍內，且簽名驗證過程可以通過批量驗證來有效減少計算量，使得方案可以較好地兼顧安全性和實用性。由于本文方案沒有考慮指令的隱私保護，無論是在協同簽名還是在簽名發送的過程中，指令數據都以明文傳送，且方案只是完成了兩方協同簽名，難以滿足需要2 人以上共同簽名的場景需求。因此，下一步會將該方案改進為（t，n）門限群簽密，在用戶群中通過使用廣播加密來秘密傳輸某個要執行的指令，以達到保護指令數據隱私安全以及多方協同簽名的目的。