位置信息端云可信传输方案设计.pdf

1、NETINFOSECURITY2023年第10 期入选论文doi:10.3969/j.issn.1671-1122.2023.10.006位置信息端云可信传输方案设计张璐12，屠晨阳1，苗张旺，甘静鸿4.5（1.中国科学院信息工程研究所信息安全国家重点实验室，北京10 0 0 8 5；2.中国科学院大学网络空间安全学院，北京100049；3.国家信息中心，北京10 0 45；4.中国人民公安大学信息网络安全学院，北京10 0 0 38；5.漳州市公安局台商投资区分局，漳州36 30 0 0）摘要：由于北斗导航技术与大众消费级应用的深度融合发展，位置信息的重要性愈加凸显，但大多应用未对位置信息进

2、行充分保护，计算复杂性高的传统密码学方案不能直接用于资源受限的北斗导航应用环境，且终端的软件执行环境也并不安全。因此文章基于专用的北斗导航芯片，在芯片内部利用密码与通信模块实现轻量级的位置信息端云可信传输机制，基于TLS（T r a n s p o r t La y e r Se c u r i t y）的协议思路保护位置信息在传输中的真实性、完整性与机密性。文章所提方案尽可能少地使用复杂的计算、验证与证书管理，在保证数据处理性能的同时抵御中间人攻击、重放攻击、拒绝服务等攻击，具有一定的安全性与鲁棒性。关键词：北斗；位置保护；安全通信；端云可信传输中图分类号：TP309文献标志码：A文章编号：

3、16 7 1-112 2（2 0 2 3）10-0 0 39-0 9中文引用格式：张璐，屠晨阳，苗张旺，等.位置信息端云可信传输方案设计 J.信息网络安全，2 0 2 3，23(10):39-47.英文引用格式:ZHANG Lu,TU Chenyang,MIAO Zhangwang,et al.Design of an End-to-Cloud TrustedTransmission Solution for Location InformationJ.Netinfo Security,2023,23(10):39-47.Design of an End-to-Cloud Trusted Tr

4、ansmission Solution forLocation InformationZHANG Lu-2,TU Chenyang,MIAO Zhangwang,GAN Jinghong4.(1.State Key Laboratory of Information Security,Institute of Information Engineering,Chinese Academy ofSciences,Beijing 100085,China,2.School of Cyber Security,University of Chinese Academy of Sciences,Bei

5、jing100049,China;3.The State Information Center,Beijing 100045,China;4.School of Information NetworkSecurity,Peoples Public Security University of China,Bejing 100038,China;5.Zhangzhou Public SecurityBureau Taiwan Business Investment Zone Branch,Zhangzhou 363000,China)Abstract:Due to the deep integr

6、ation and development of BeiDou navigationtechnology and mass consumer applications,the importance of location information hasbecome increasingly prominent,but most applications have not fully protected the location收稿日期：2 0 2 3-0 6-2 6基金项目：国家重点研发计划 2 0 2 2 YFB3903900作者简介：张璐（19 9 8 一），女，河南，硕士研究生，主要研究

7、方向为信息安全；屠晨阳（19 8 8 一），男，北京，高级工程师，博士，主要研究方向为信息安全；苗张旺（19 9 1一），男，河北，助理研究员，博士，主要研究方向为网络空间安全与人工智能；甘静鸿（19 9 5一），女，福建，硕士研究生，主要研究方向为警务大数据分析技术。通信作者：屠晨阳39NETINFOSECURITY入选论文2023年第10 期information.The traditional Cryptography solutions with high computational complexitycannot be directly used in the resource c

8、onstrained BeiDou navigation applicationenvironment,and the software execution environment of the terminal is not safe.Thisarticle was based on a dedicated BeiDou navigation chip,which utilized cryptographicand communication modules to achieve a lightweight end-to-cloud trusted transmissionmechanism

9、 for location information within the chip.The mechanism protected theauthenticity,integrity,and confidentiality of location information during transmission basedon the TLS(Transport Layer Security)protocol concept.This solution not only minimizesthe use of complex calculations,verification,and certi

10、ficate management to ensure dataprocessing performance,but also resists attacks such as man in the middle,replay,and denialof service,with a certain degree of security and robustness.Key words:BeiDou;location protection;secure communication;end-to-cloud trustedtransmission0引言近年来，物联网技术的应用研究快速增长，广泛应用于

11、各国农业、军事、智能家电、智能电网、智能城市、医疗保健等领域!，我国不断进步的北斗卫星导航技术也呈现出与各类大众消费级应用深度融合的发展趋势，逐渐与公民的数字资产安全、财产安全、人身安全挂钩。若北斗导航应用的位置信息泄露或遭到篡改，可能导致管理系统混乱，用户隐私被侵犯，甚至影响用户安全与社会稳定，故采用安全策略保护位置数据安全对物联网应用发展与北斗导航技术应用至关重要。北斗导航应用的位置信息存在于产生、传输、存储、使用、维护的生命周期中，需要在每一处数据环境对其实施安全防御与保护，而在物联网终端中，底层硬件、操作系统和应用程序均可能存在后门和漏洞，各种密码模块也存在被绕过或存在缺陷的可能，数据

12、安全发发可危，所以需要设计不安全终端环境下的数据安全防护方案。数据安全防护方案中最常用的方法之一便是消息签名与认证密钥协议。一方面，身份认证可以防止对手篡改消息并跟踪消息的来源，密钥协商保证对手不能通过恶意攻击来获取生成的密钥 2 ，此类算法协议是实现可信可控互联互通的核心技术，可有效解决人一机一物的消息鉴别、身份认证与保密传输等问题。但这种解决方案通常以密码软件或模块的形式应用于数据系统，一旦被植入后门，反而会为攻击者带来便利 3。另一方面，随着近些年国内外网安环境的剧烈变化，密码技术自主先进、安全可控成为我国的战略需求。SM2、SM 3、SM 4等算法是我国自研的符合国家密码管理局规范的商

13、用密码算法，其基本原理与安全特性已经得到验证，相较于可能存在安全风险或被植入后门的RSA、A ES（A d v a n c e d En c r y p t i o n St a n d a r d）DES（D a t a En c r y p t i o n St a n d a r d）等国外密码技术更为安全可靠。因此，本文考虑将基于商用密码算法的硬件密码模块主动接人数据处理流程，在专用的北斗导航定位芯片中实现位置数据的机密性、完整性与真实性保护。在北斗导航应用中，自终端的定位功能开启，定位芯片便不断接收卫星信号计算位置信息并传输到服务器，数据具有数量庞大、并发性高的特点，需要实时准确的分

14、析与处理，但内置芯片往往计算资源有限，不能直接使用SSL/TLS（A e c u r e So c k e t s La y e r/T r a n s p o r tLayer Security）等传统互联网的安全协议 4。因此，设计位置信息安全保护方案时，还需要考虑资源受限的应用环境特点，设计轻量级的安全保护协议，保证系统高效灵活的数据处理性能。综上考虑，本文设计使用专用北斗导航定位芯片实现轻量级的位置信息安全传输机制。文章针对位置信息从芯片到云服务器的关键流程，利用基于椭圆曲线的DH（D i f f i e-H e l l m a n）密钥协商、加密与哈希等密码学技术，设计了基于商用密码

15、算法的北斗导航位置40NETINFOSECURITY2023年第10 期入选论文信息端云可信传输方案。该方案以资源受限环境为应用前提，基于TLS协议的思路设计轻量化协议，更加低功耗、高性能、高安全，在可接受的成本开销内保证了方案的安全与可用，有利于提高位置信息保护的安全性和效率，支撑大众消费级的导航应用发展，也一定程度弥补了传统安全协议在资源受限网络应用中的不足。1相关工作目前，经过理论与实验分析，国产密码SM4、SM 3、SM2算法与对应国际密码算法AES、SH A 2 56（Se c u r eHash Algorithm 256)、ECD SA （El l i p t i c Cu r

16、v e D i g i t a lSignatureAlgorithm）的运行内存大小相当，3组同类算法的性能相近，国产密码算法在加解密和整体运行时间上所需的时间更长，但最大差别不超过31%。在安全程度上，ECDSA-SM2和ECDSA的安全性虽然在同一级别，但是ECDSA-SM2的安全性较高。在中美关系复杂多变的当下，占据商业密码版图的国际密码算法面临着被植入后门的安全风险，因此，使用有较高正确性、安全性和效率的SM系列国产密码算法更符合我国自主创新、可信可控的密码要求，也是我国密码技术应用发展的必然选择 5。近年来，针对各类软件的后门攻击越来越多，例如，2 0 13年的“棱镜门”、2 0

17、2 0 年的SolarWinds后门攻击等。重要的数据系统为规避各类安全风险，往往使用密码软件来确保数据安全，但密码软件一旦被植入后门，反而会为攻击者提供便利。在物联网中，终端设备本就不够安全，其硬件、固件、操作系统均可能存在后门与漏洞，例如，2 0 15年，海康威视的监控设备爆出存在安全隐患；2 0 17 年，BlueBorme蓝牙漏洞允许攻击者远程控制物联网设备并窃取敏感信息；2 0 2 0年，美国情报机构在“卢比孔行动”中通过在CryptoAG的密码机中植入后门，长期窃听全球12 0 多个国家的最高机密主流操作系统的漏洞每年更是层出不穷。在不可靠的软件执行环境下，直接使用密码软件的防护策

18、略显得不适用，构建可信环境成为了解决该问题的有效思路之一。为达到上述目标，同时规避硬件环境与应用软件潜在的安全风险，可考虑利用专用安全芯片将硬件密码模块主动接人数据处理流程。另外，导航应用系统需要低功耗、高性能、高安全的密码防护策略。高梦州 从协议改进、硬件改进和加密技术改进三个方面分析工业控制系统的安全防护体系，这些改进思路同样适用于导航应用系统的安全防护。基于PKI（Pu b l i c K e y In f r a s t r u c t u r e）技术的证书跨域认证与更新开销大,但多用于TLS/SSL、IPSe c(In t e r m e tProtocolSecurity）等标准

19、协议中，因此，相关学者或改进证书体系 7-9 ，或研究基于身份/属性的加密 10 ，或引人无证书公钥密码，或研究对称密钥的分发与更新 1，对协议进行改进或重新设计 12-1，研发更轻量高效的安全通信协议。在一些物联网应用场景中，大量数据需要在网络边缘产生并利用，云计算不能满足高效及时的应用需求，因此，露水计算、雾计算与边缘计算等技术 16 便在靠近物或数据源头的网络边缘侧执行计算卸载、数据存储处理、传递请求和服务等功能。通过边缘计算等硬件改进措施，可在资源受限网络中实现标准的安全通信协议 4。除此之外，还有大量学者或对经典加密算法进行硬件加速，或改进现有的加密算法，或设计轻量级密码算法 17，

20、以寻找更适用于资源受限网络的密码策略。2北斗导航位置信息端云可信传输方案2.1方案模型与安全假设北斗导航系统架构中的实体类型有如下3种。1）芯片终端设备：可穿戴设备（智能手表/手环）移动终端（平板/手机）嵌人式设备（车载终端/共享单车）等，内嵌有北斗导航的定位芯片；2)北斗导航卫星：广发卫星信号以供芯片计算位置信息；3）定位芯片服务器：接收来自芯片的位置信息，进行存储或进一步处理，提供给应用或其他设备使用。具体如图1所示。本文方案基于以下3个安全假设。1）使用专用的北斗导航定位芯片保证代码和数据41NETINFOSECURITY入选论文2023年第10 期耗不大于15mW。本文方案所述的云服务

21、器算力远大于终端设备，具备提供大规模位置服务的能力，支持并发用户约30北斗导航卫星万，云平台访问的网络时延平均值小于2 0 ms。本文方定位芯片服务器网络北斗导航定位芯片芯片终端设备图1北斗导航系统架构与实体类型的安全：定位芯片的固件安全由安全启动来保证；在硬件级别设置专用安全存储区存储密钥、数据和验证信息；设置专用密码模块执行加密、签名等操作，芯片数据的导出必须经过密码模块，该运算不可绕过，并通过代码审查来保证执行中的安全；设置专用通信模块以实现安全通信协议。2）云服务器由服务运营商维护，云端具备完整的安全策略与可信的执行团队。3）芯片终端设备中潜在的恶意软件可能篡改位置信息、冒充导航模块发

22、送伪造信息、冒充合法应用获取位置信息；云与芯片终端的通信过程可能遭受数据篡改、窃听、中间人攻击等多种攻击。2.2方案设计2.2.1系统组成本文方案主要研究位置信息在芯片终端设备与定位芯片服务器两个通信实体之间的安全传输。本文方案所述的芯片终端以嵌人式终端（车载终端/共享单车）为例，芯片中包含密码模块与通信模块，密码模块中包括SM2、SM 3、SM 4运算单元、随机数生成单元和密钥生成单元，通信模块实现通信协议、数据传输、数据处理等功能。考虑传输性能、功耗、成本以及与其他导航系统频段的兼容性，方案使用50 0 MHz的专用北斗导航芯片，其中，SM2的签名速率约能达到50 0 次/s，SM 4的加

23、解密速率约能达到16 6 6.6 7 Mbps，芯片双频工作功案借鉴了TLS的协议思路，具体如图2 所示。位置信息端云安全传输协议DeviceServerDeviceHelloServerHello+ReCertificate*FinishData图2 本文安全通信协议2.2.2关键流程设计本文方案主要设计位置信息的安全传输协议，分为芯片终端设备初始化、位置加密密钥协商、位置信息加密传输、密钥与证书的更新等关键流程，并设计消息类型标志位以区分不同的消息。表1列出的是本文方案所涉及到的符号与说明。表1符号说明符号描述D芯片终端设备S定位芯片服务器K对称密钥(PrvK,PubK)公私钥对hasho

24、哈希函数Enc_Key使用密钥Key的加密函数Dec_Key使用密钥Key的解密函数Sig_PrvK基于公私钥对（PrvK,PubK)的签名函数集合连接操作1）芯片终端设备初始化芯片设备启用的第一步即初始化过程，也是芯片的激活过程。该过程基于北斗芯片唯一的序列号，在服务器端完成芯片标识信息与密钥信息的绑定存储，初始化后，芯片处于已激活状态，再次使用该序列号进行初始化的尝试均会被拒绝。该过程在安全环境下进行，具体分为初始化准备阶段与执行阶段。（1）初始化准备阶段该阶段的目标是使芯片终端获取到可信的云服务-42NETINFOSECURITY2023年第10 期入选论文器公钥PubS。该阶段中，芯片

25、终端设备D向云服务器S发起初始化请求，服务器端收到该请求后返回包含服务器公钥信息PubS的证书链；芯片设备解析证书链，证明收到的证书与公钥信息正确且有效，如果信息出错，则可选择是否重新发起初始化请求。（2）初始化执行阶段该阶段的目标是使服务器端完成芯片标识信息与密钥信息的绑定存储，设备端完成芯片标识信息的存储，步骤如下，实现方式如图3所示。设备D1.初始化请求2.服务器证书链生成固定公私钥对(PrvD,PubD)随机生成Random解密与验签本地存储DID,Pubs芯片终端设备产生一对固定公私钥对（PrvD,PubD），随机生成一个随机数Random，使用PubS、Pu b D对芯片唯一序列号

26、SerialNumber与Random进行加密、签名:CDI=Enc_PubS(SerialNumber I Random),SDI=Sig_PrvD(SerialNumber II Random)。将(CDI,PubD,Random,SDI作为初始化信息发给服务器。定位芯片服务器接收到设备的初始化信息后，随机生成一个随机数r，与SerialNumber一同计算出设备标识：DID=hash(SerialNumber ll r)。然后用接收到的随机数 Random 计算:CSI-Enc_PubD(DID Random),SSI=Sig_PrvS(DID II Random)。将(CSI,Rand

27、om,SSI)作为初始化响应信息发给芯片设备。芯片设备接收到初始化响应信息后进行解析验证，向服务器返回初始化完成消息，代表芯片终端设备初始化过程的结束。2）位置加密密钥协商初始化完成后，芯片终端正式启用，需要频繁进行位置数据的加密传输，本文方案基于TLS协议的通信思想，此过程的第一个阶段即为基于SM2算法的位置加密密钥协商。具体包括如下3个步骤，实现方式如图4所示。设备D生成临时公私钥对(a.Ra)生成随机数Ran服务器哈希校验、解密生成会话密钥K更新DID设备D3.(CDI=Enc_Pubs(SerialNumberllRandom),PubD,RandomSDI=Sig_PrvD(Seri

28、alNumberllRandom)4.(CSI=Enc_PubD(DIDIlRandom),Random,SSI=Sig,PrvS(DI lRandom)5.初始化完成消息设备D图3芯片设备初始化服务器一1.(DID,Rx,Pubs,Ran,HDTN=Hash(DID IRxIIPubSIIRan),CDTN=Enc_ PrvD(HDTNV)2.(Ry,CSTV1=Enc_PubD(DIDHSIRan),Ran,HSTN=Hash(RylICSTV1lRan),CSTN2=Enc_PrvS(HSTN)3.(FTN=Hash(RxlIR l/HS)DID=hosh(SerloiNumber/n解

29、密与验签、随机生成服务器存储服务器s(SerialNumber,DID,PubD)哈希校验、解密、随机生成DID*-hash(DIDI/)生成临时公私钥对(J.RV)随机生成秘密消息HS哈希校验生成会话密销K1更新DID服务器S图4位置加密密钥协商（1）芯片终端设备随机生成一对临时公私钥（x,Rx）与随机数Ran，使用设备私钥PrvD对(DID,Rx,PubS,Ran)进行哈希计算，并使用固定私钥对该哈希值加密:HDTN=hash(DID II Rx II PubS II Ran),CDTN=Enc_PrvD(HSTM)。将(DID,Rx,PubS,Ran,HDTN,CDTN)作为Device

30、Hello消息发送给服务器。（2）定位芯片服务器接收到DeviceHello消息后，判断PubS是否有效，若PubS已失效但DID合法，则返回证书更新消息；若PubS有效但没有查找到DID，或PubS已失效且没有查找到DID，则丢弃此次信息不予回应；若PubS有效且DID合法，则判断消息中(DID,Rx,PubS,Ran)的哈希计算结果H是否满足H-=HDTN,不一致则认为该数据包已被篡改，丢弃此次信息。若H-=HDTN成立，从存储中查找到该DID对应的设备公钥PubD，解密验证发送方的身份，随机生成临时公私钥对（y,Ry）随机秘密信息HS与新的随机数r，计算：DID*=hash(DID I

31、n),CSTNI=Enc_ PubD(DID*I HS I Ran),HSTN=hash(RylII CSTN1 II Ran),CSTN2=Enc_PrvS(HSTN)。将(Ry,CSTN1,Ran,HSTN,CSTN2)作为 ServerHello 消息发送给芯片终端设备。（3）芯片终端设备收到ServerHello后，进行哈希43NETINFOSECURITY入选论文2023年第10 期会话密钥K*，计算：K*-HKDF(HDTDj,K)，CST D j=En c _校验与解密，更新DID，基于特定函数计算派生后得到会话密钥K，计算：FTN=hash(Rx Ryl HS)。将(FTM)作

32、为Finish消息发送给服务器。服务器接收并验证Finish消息后，同样基于特定函数计算派生后得到会话密钥K。3）位置信息加密传输位置加密密钥协商完成后，芯片设备使用协商得到的会话密钥进行位置信息的加密传输。芯片终端设备随机生成随机数Rani，对位置数据Mi进行加密与哈希计算:CDTDi=-Enc_ K(MilRani),HDTDi=hash(CDTDil RanillHS)。将(CDTDi,Rani,HDTDi)作为Data消息发送给服务器。实现方式如图5所示。设备D随机生成Ranii!设备D图5位置信息加密传输4）密钥的定时更新芯片与云服务器之间长时间的会话保持由“长连接”或“心跳包”技术

33、提供，这提升了数据传输效率，但也需要密钥更新机制来保证通信安全。本文设计参与位置信息加密的会话密钥K、参与哈希计算的秘密消息HS在长时间会话中进行定时更新，并引入表2 中参数支持密钥更新机制的运行。密钥更新机制如图6 所示。表2 密钥更新参数说明符号描述ReKey_Uamount会话传输的Data消息数量上限ReKey_Utime会话持续时长上限设备D服务器s随机生成Ranj1.(CDTDj=Enc_KMillRanj),Rarj.HDTDji-hash(CDTD/llRanylIHS)K*=HKDF(HDTDj,K)2.(CSTDj=Enc_K*(HSlRany),Ranyj.HSTDi=-

34、hash(CSTDjllRanylIHS)哈希校验、解密更新K与HS1设备D本文方案设计芯片终端设备维护一个计时器Timer与计数器Counter，从密钥协商的第一条消息开始计时，芯片设备发送的第一条Data消息开始计数，当会话的持续时长达到上限（ReKey_Utime）或Data消息的传输数量达到上限（ReKey_Uamount）（以先达到者为准），则芯片终端将下一条要发送的Data消息的消息类型标志位改为ReKey标志，向服务器发送这条特殊的Data消息（即ReK密钥更新消息）：CDTDj=Enc_K(MillRanji),HDTDj=hash(CDTDj ll Ranj lI HS)。R

35、 e K 消息内容为(CDTDj,Ranj,HDTDj)。定位芯片服务器接收到ReKey消息后，随机生成新服务器S的秘密消息HS*，并使用TLS协议的HKDF（H M A C-b a s e d一Extract-and-Expand Key Derivation Function）函数生成新的(CDTDi=Enc_K(Mi lRani),Rani,HDTDi=Hash(CDTDillRaniIHS)图6 密钥更新机制哈希校验、解密安全存储位置数据Mi服务器S哈希校验、解密K*=HKDF(HDTDj.K)随机生成HS*安全存储位置数据M更新K与HS服务器sK*(HS*I Rani),HSTDj=

36、hash(CSTD Ran|I HS)。将(CSTDj,Ranj,HSTDj作为ReplyReK消息发给芯片设备。5）证书的不定时更新考虑到服务器证书的更新与撤销，需要设计证书更新机制保证芯片设备始终使用有效的服务器公钥。本文方案设计服务器对密钥协商的第一条消息中包含的服务器公钥进行验证，若服务器公钥PubS已失效，现使用的公私钥对为（PrvS*,PubS*），若DID合法，则服务器对要发送的证书进行签名：SSC-Sig_PrvS*（证书）。返回 证书，SSC作为证书更新的ReCertificate消息，随后发送PrvS*参与计算的ServerHello消息，正常通信。实现过程如图7 所示。此

37、机制只增加了服务器对证书的签名和芯片终端设备对证书验签与解析验证的开销。由于该过程仅在证书更新时进行，而证书一般有效期较长，撤销与更新并不频繁，故本方案的证书更新机制并不明显影响位置信息端云传输中的通信性能。3性能与安全性分析3.1 性能分析由于芯片终端设备的初始化过程仅发生在芯片设44NETINFOSECURITY2023年第10 期入选论文2）存储成本设备D生成临时公私钥对(x,Rx)生成随机数Ran证书解析与验签哈希校验、解密生成会话密钥K更新DIO设备备启用的第一步，因此不纳人性能分析的考虑范围。在芯片终端设备的日常使用中，成本开销主要发生在位置加密密钥协商、位置信息加密传输、密钥与证

38、书的更新等关键流程中。1）通信成本在位置信息的端云传输过程中，每次会话需要进行一次会话密钥的协商，然后进行若干次位置信息的加密传输。当会话长时间保持时，可能会出现密钥更新的需求，由于ReK消息仅修改了Data消息的消息类型标志位，该消息仍正常加密传输位置信息，ReplyReK消息则返回了更新后的秘密消息HS*，芯片终端设备与云服务器均在本地自行计算新的会话密钥K*，因此可认为会话密钥的更新在0-RTT内完成。当服务器更新证书后，之前使用的PubS失效，服务器需要在返回ServerHello消息时同时返回ReCertificate消息，之后芯片设备正常发送标志密钥协商阶段结束的Finish消息,

39、因此可认为服务器证书的更新也在0-RTT内完成。综上所述，密钥与证书更新带来的额外开销有限，为端云传输过程增加的通信负担完全在可接受的范围内。本文方案基于TLS的协议思想，但减少了不需要的通信消息，也无需进行密钥套件的选择。在密钥协商的DeviceHello消息中，以明文形式传输的服务器公钥替代了TLS协议中的CertificateRequest消息，缩减了协议内容，只需传输3条消息便可在1-RTT内完成会话服务器S1.(DID,Rx,Pubs,Ran,HDTN=Hash(DID IIRx PubSIRan),CDTN=Enc_PrvD(HDTN)2.（证书SSC=Sig,PnvS（证书）)3

40、.(Ry,CSTNI=Enc_PubD(DID*IHSIIRan),Ran,HSTN=Hash(RylICSTNI|Ran),CSTN2=Enc.PnS*(HSTN)4.(FTN=Hash(RXlIRy/IHS)图7 证书更新机制密钥的协商与彼此身份的认证，因此小于TLS协议的通信成本开销。综上所述，本文所述方案的通信成本较小，是更为轻量级的安全方案设计。哈希校验、解密、随机生成DID*=hosh(DIDIl)生成临时公私钥对(y.Ry)随机生成秘密消息HS哈希校验生成会话密钥K更新DID服务器s本文方案为了简化一些计算逻辑，需要芯片设备与服务器长期存储、在会话过程中临时维护某些信息，具体如表

41、3所示。表中所示信息占据的存储空间有限，因此本文方案的存储成本较小。表3存储成本芯片终端设备定位芯片服务器【设备公私钥、服务器证书链、【服务器公私钥、服务器证书链、长期存储服务器公钥PubS、设备标识DID【会话密钥、会话时长、已传临时维护输的Data消息数量、随机数】3）计算成本计算成本可通过复杂运算的次数来衡量。本文位置信息端云可信传输方案所涉及的计算统计结果如表4所示。表4计算成本一次密钥M次加密一次密钥一次证书协商/次传输/次设备云设备云设备云设备云签名/验签0非对称加密/3解密对称加密/解密哈希计算/校验生成随机数生成公私钥其中，当M-8时，芯片终端设备与定位芯片服务器对各类计算的运

42、算次数如图8 所示。可见本文所述方案使用哈希计算、随机数生成、对称加解密等复杂度低的运算较多，而使用非对称加解密、签名验签、生成公私钥等复杂运算较少，因此，本文方案整体计算开销较小，计算成本较低。当会话信息量较大时，哈希计算、对称加解密与随机数的生成会成为本文方案的主要开销，这主要源于通信过程中持续加密传输的位置信息。针对大量Data消息带来芯片序列号、设备公钥PubD、设备标识DID)【会话密钥、随机数】更新/次更新/次003000MM234MM212M0110000000221100010000010000045NETINFOSECURITY入选论文2023年第10 期1614121086

43、420签名/验签非对称加密/解密对称加密/解密芯片终端设备口定位芯片服务器图8 运算次数分析的额外计算成本，可设计将Data消息中的随机数替换为上一条Data数据包中携带的消息哈希值HDTD，这可以减少随机数生成算法为芯片终端设备带来的开销。除此之外，还可以选择更轻量化的算法，可以改进函数实现逻辑，也可以研究硬件加速技术，在本文方案的基础上进一步降低开销，提升终端与云服务器的数据处理和通信能力。3.2安全性分析本文方案的初始化过程发生在安全环境中，故只需对位置信息传输过程进行安全性分析。1）抵御修改或中间人攻击在位置信息的端云传输过程中，处在中间位置的攻击者可能冒充合法通信端的身份或篡改传输中

44、的数据。本文的密钥协商过程设计通信方使用自己的私钥对消息哈希进行加密达到数字签名的效果：当消息内容遭到篡改，接收到数据包后的第一步哈希验证便会将其筛选出来；当消息哈希遭到篡改，使用发送方公钥进行解密获取的哈希值与接收到的明文消息哈希无法匹配，接收方不会再继续处理该数据包。本文的数据传输过程设计使用秘密消息HS参与的哈希计算进行双方身份验证，同样避免了敌手冒充任一通信方的可能，也避免接收方处理被篡改的消息。同时，会话中不能泄露的信息总被加密保护，恶意攻击者只能截获密文，这保护了数据传输的机密性。2）抵御重放攻击在位置信息的端云传输过程中，恶意终端或攻击者可能重复发送数据包消耗接收方资源，本文方案

45、设计使用一次性随机数抵御此种攻击：在密钥协商过程中，一次性随机数由芯片终端设备生成，作为DeviceHello消息的明文字段，与其他信息一同发送给定位芯片服务器，服务器接收并临时存储该随机数，通过判断消息中的携带的随机数是否与之前收到的一致，接收方可在数据处理之前，丢弃被恶意重放的数哈希计算生成随机数生成公私钥据包；接收方响应时，直接将接收到的最新随机数与响应信息一同返回，既达到了抵御重放攻击的效果，又减轻了一部分随机数生成带来的计算开销。在位置信息加密传输时，每条加密的消息均携带一个一次性随机数，这与协商过程中一次性随机数的安全效应相同，减少了消息重放对数据接收方的恶意影响。3）缓解DoS攻

46、击在位置信息的端云传输过程中，恶意终端可能向服务器发送大量无效数据包使其无法正常工作。本文方案设计哈希校验机制，将秘密消息HS引人哈希计算，只有拥有该秘密消息的通信方才能计算出正确的哈希值，只有哈希校验通过才继续执行计算复杂度较高的解密验签等操作，从而避免接收方处理非法通信方发来的无效数据包，以此过滤恶意流量，缓解攻击者恶意消耗服务器资源的影响。4）前向安全本方案使用的商用密码算法、ECDH密钥协商、HKDF等函数均具有前向安全性。每次消息的发送均有随机信息参与计算，而参与会话的密钥生成也依赖于随机信息，不同的随机数和密钥保证了每次会话的安全，一次密钥的丢失也不会影响其他会话的安全，因此本文方

47、案总体是前向安全的。综上所述，本文的方案设计采用了不同的机制以防御多种攻击类型，当几种干扰攻击同时存在时，通过接收数据包、验证随机数、哈希校验、解密与验签等特定的逻辑判定顺序，可逐步对恶意数据包进行过滤，从而减少无效的数据处理，维护通信双方的正常通信与数据处理能力，保护位置信息端云传输过程的安全。46NETINFOSECURITY2023年第10 期入选论文4结束语本文方案基于专用北斗导航芯片，简化了安全通信过程和复杂计算，在保护数据安全的同时具有一定的轻量高效性。但本文方案的安全依赖于随机数生成器，而在低成本的终端设备上生成高熵随机数通常很困难，这可能成为安全攻击的切入点；此外，服务器对芯片

48、终端信任建立的前提是芯片具有唯一的序列号以标识自己的身份，动态更新的设备标识作为身份验证的依据同样需要唯一性，这需要在具体实现时进行更精妙的设计。参考文献：1 VERMA P,GUPTA D S.An Improved Certificateless MutualAuthentication and Key Agreement Protocol for Cloud-Assisted Wireless BodyArea NetworksJ.Wireless Personal Communications,2023,131(4):2399-2426.2 ZHOU Yuxiang,TAN Haowe

49、n,KARUNARATHINA C A AI.A Secure Authentication and Key Agreement Scheme with DynamicManagement for Vehicular NetworksEB/OL.(2023-02-22)2023-06-20.https:/doi.org/10.1080/09540091.2023.2176825.3 WANG An,DONG Yongyin,ZHU Liehuang,et al.APT Backdoorfor Block Cipher Software and Its Countermeasuresj.Jour

50、nal of CryptologicResearch,2021,8(1):65-75.王安，董永银，祝烈煌，等.一种针对分组密码软件的APT后门及其防范.密码学报，2 0 2 1，8（1）：6 5-7 5.4 MA Guojun,BAI Lei,PEI Qingqi,et al.An End-to-End SecurityScheme of the Internet of Things)J.Netinfo Security,2017,17(10):13-21.马国峻，白磊，裴庆祺，等。一种物联网端到端安全方案.信息网络安全，2 0 17，17（10）：13-2 1.5 ZHU Ying,YAN