技术摘要：
本发明涉及物联网数据认证方法、装置、计算机设备及存储介质，该方法包括创建系统参数；定义访问结构，根据系统参数创建与访问结构相关的第二服务器的部分签名私钥及访问结构下的用户签名私钥；反馈与访问结构相关的第二服务器的部分签名私钥，第二服务器对数据发送方  全部
背景技术：
物联网是指利用传感器设备、无线传感器网络，借助人工智能的方法和数据挖掘 等技术，而实现的一种新的数据服务机制。物联网以其普适性、高效性和实时性，在近年来 在公共管理、工业生产和智慧生活等各个领域得到了广泛的部署和应用。例如，在城市交通 管理领域，物联网可以帮助城市管理者更加清晰地了解各条主干道路上的车流量，从而制 定更科学的交通政策和出勤预警，避免交通拥堵。在工业生产领域，在物联网的支持下，企 业管理人员既可以实时掌握企业在原料采购、生产、运输、销售直至保费回收等各个环节中 的当前状况，也可以根据数据服务商提供的处理后的数据制定最优的企业战略，有力地提 升了企业的收益和管理效率。在日常生活中，各种穿戴式设备实时采集病人的健康数据，如 心率、血压等，有助于医院医生及时了解病人当前的健康数据，不仅提高了治疗效率和突发 疾病病人的生存率，也为居家治疗提供了可能。 尽管物联网技术存在上述的巨大优势，且具有广阔的应用前景。但物联网中的原 始数据采集，非常依赖于感知层中的感知设备，包括传感器、智能终端、RFID扫码枪、监控摄 像头等。在某些物联网应用中，用户往往也通过微型终端来接收数据，由于广泛部署或便携 的需要和电力、空间体积等的限制，这些感知设备都存在计算能力弱的问题，也就是说，这 些设备需要较多的时间去处理复杂计算。另一方面，传感器的大量广泛分布，使得对传感器 的管理存在困难。在这种情况下，恶意的攻击者可能会冒充某个或多个传感器，向用户或数 据服务商发送虚假数据，导致用户蒙受经济损失。 为解决上述的问题，近年来有一些学者尝试利用数字签名技术来实现数据认证， 即要求每个数据发送方用自己的私有密钥签署所要发送的数据。数据接收方利用公钥验证 该数据是否确实由发送方发出。除非恶意攻击者盗取了发送方的私有密钥，否则无法冒充 发送方的身份。但现有的基于ECC(错误检查和纠正，ErrorCorrecting  Code)的数字签名算 法，均存在大量的复杂计算，造成了物联网中感知设备、微型接收设备有限的计算能力和数 字签名算法对大量复杂计算的需求之间的冲突，增大了感知设备和接收设备计算量，增大 了计算时间，且安全性能低。 因此，有必要设计一种新的认证方法，实现降低数据发送方和数据接收方的计算 量，减小计算时间，具有更高的安全等级。
技术实现要素：
本发明的目的在于克服现有技术的缺陷，提供物联网数据认证方法、装置、计算机 设备及存储介质。 为实现上述目的，本发明采用以下技术方案：物联网数据认证方法，包括：创建系 5 CN 111555886 A 说　明　书 2/16 页 统参数； 定义一个访问结构，并根据所述系统参数创建与所述访问结构相关的第二服务器 的部分签名私钥以及所述访问结构下的用户签名私钥； 反馈与所述访问结构相关的第二服务器的部分签名私钥至第二服务器，其中，与 所述访问结构相关的第二服务器的部分签名私钥用于触发第二服务器对数据发送方获取 的初始数据以及属性集进行签名，以得到第一部分签名，并由第二服务器发送第一部分签 名至数据发送方； 反馈所述访问结构下的用户签名私钥至数据发送方，其中，所述访问结构下的用 户签名私钥用于触发数据发送方根据所述第一部分签名对获取的初始数据进行签名，以得 到完整签名，并由数据发送方发送完整签名至数据接收方，当数据接收方对完整签名后，数 据接收方进行转换后形成转换签名并发送至第二服务器进行验证，以得到验证结果，以供 数据接收方根据验证结果进行初始数据处理。 其进一步技术方案为：所述创建系统参数，包括： 输入安全参数，生成两个素数阶的乘法循环群； 对需要传送的消息字符串从乘法循环群中选择对应的一组随机数，以得到第一随 机数，并从乘法循环群中选取一个随机数，以得到第二随机数，根据第一随机数以及第二随 机数定义一个散列函数； 构建属性全集，并对属性全集内的每个属性均从乘法循环群中选取对应的随机 数，以得到第三随机数，设置外包计算的辅助属性，并对外包计算的辅助属性从乘法循环群 中选取一个随机数，以得到第四随机数； 定义给一个阶数为乘法循环群的阶数减一的整数群，并从整数群中选取两个随机 数，以得到第五随机数以及第六随机数，计算第五随机数以及第六随机数之和，以得到总 和，计算乘法循环群的生成元的总和次幂与自然常数之积，以得到乘积； 整合所述乘法循环群、乘法循环群的生成元、自然常数、散列函数、乘积、第二随机 数以及第四随机数，以得到系统参数。 其进一步技术方案为：两个素数阶的乘法循环群存在双线性映射关系。 其进一步技术方案为：所述定义一个访问结构，并根据所述系统参数创建与所述 访问结构相关的第二服务器的部分签名私钥以及所述访问结构下的用户签名私钥，包括： 定义一个访问结构，并根据所述访问结构构建一个矩阵，对矩阵内的每一行数值 选择一个与属性全集中的属性对应的标签函数； 从所述整数群内选择若干个随机数，以得到第七随机数，利用第七随机数定义一 个向量，并根据所述向量、标签函数以及矩阵计算因子，以得到标签因子，并对矩阵的每一 行数值从整数群内选取随机数，以得到第八随机数，对外包计算的辅助属性从整数群内选 取一个随机数，以得到第九随机数； 从属性全集内剔除标签函数对应的属性，以得到中间属性； 根据乘法循环群的生成元、标签因子、第八随机数、第二随机数、第三随机数计算 与中间属性相关的部分签名私钥，根据乘法循环群的生成元、第六随机数、第九随机数、第 四随机数、第二随机数计算与外包计算的辅助属性相对应的部分签名私钥； 整合与中间属性相关的部分签名私钥、标签函数以及矩阵，以得到与所述访问结 6 CN 111555886 A 说　明　书 3/16 页 构相关的第二服务器的部分签名私钥，整合与外包计算的辅助属性相对应的部分签名私 钥、标签函数以及矩阵，以得到所述访问结构下的用户签名私钥。 其进一步技术方案为：与所述访问结构相关的第二服务器的部分签名私钥用于触 发第二服务器对数据发送方获取的初始数据以及属性集进行签名，以得到第一部分签名， 并由第二服务器发送第一部分签名至数据发送方，包括： 由第二服务器定义一个集合，所述集合内的元素均满足标签函数属于属性集合， 并求解∑k∈K  wkφρ(k)＝(1，0，...，0)关于wk的解，以得到第一数值，其中，φρ(k)为标签因子， K为集合，k为集合的元素； 由第二服务器从整数群中选取两个随机数，以得到第十随机数以及第十一随机 数； 由第二服务器根据第十一随机数、第十随机数、第一数值、与中间属性相关的部分 签名私钥、第三随机数以及第二随机数生成第一部分签名，并由第二服务器发送第一部分 签名至数据发送方。 其进一步技术方案为：所述访问结构下的用户签名私钥用于触发数据发送方根据 所述第一部分签名对获取的初始数据进行签名，以得到完整签名，并由数据发送方发送完 整签名至数据接收方，当数据接收方对完整签名后，数据接收方进行转换后形成转换签名 并发送至第二服务器进行验证，以得到验证结果，以供数据接收方根据验证结果进行初始 数据处理，包括： 数据发送方从整数群内选取随机数，以得到第十二随机数以及第十三随机数； 数据发送方根据所述访问结构下的用户签名私钥、第十三随机数以及第十二随机 数，对获取的初始数据进行签名，以得到完整签名，并由数据发送方发送完整签名至数据接 收方； 当数据接收方对完整签名后，数据接收方设置转换密钥，利用转换密钥对完整签 名进行转换后，形成转换签名； 数据接收方发送至第二服务器进行验证，以得到验证结果，以供数据接收方根据 验证结果进行初始数据处理。 其进一步技术方案为：所述数据接收方发送至第二服务器进行验证，以得到验证 结果，以供数据接收方根据验证结果进行初始数据处理，包括： 数据接收方计算中间签名； 数据接收方判断所述验证结果与所述中间签名是否一致； 若所述验证结果与所述中间签名一致，则数据接收方接收初始数据； 若所述验证结果与所述中间签名不一致，则数据接收方丢弃初始数据。 本发明还提供了物联网数据认证装置，包括： 参数创建单元，用于创建系统参数； 定义单元，用于定义一个访问结构，并根据所述系统参数创建与所述访问结构相 关的第二服务器的部分签名私钥以及所述访问结构下的用户签名私钥； 第一反馈单元，用于反馈与所述访问结构相关的第二服务器的部分签名私钥至第 二服务器，其中，与所述访问结构相关的第二服务器的部分签名私钥用于触发第二服务器 对数据发送方获取的初始数据以及属性集进行签名，以得到第一部分签名，并由第二服务 7 CN 111555886 A 说　明　书 4/16 页 器发送第一部分签名至数据发送方； 第二反馈单元，用于反馈所述访问结构下的用户签名私钥至数据发送方，其中，所 述访问结构下的用户签名私钥用于触发数据发送方根据所述第一部分签名对获取的初始 数据进行签名，以得到完整签名，并由数据发送方发送完整签名至数据接收方，当数据接收 方对完整签名后，数据接收方进行转换后形成转换签名并发送至第二服务器进行验证，以 得到验证结果，以供数据接收方根据验证结果进行初始数据处理。 本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存 储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。 本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程 序被处理器执行时可实现上述的方法。 本发明与现有技术相比的有益效果是：本发明通过对每个数据发送方设定一个描 述性的属性集合，并基于属性进行需要发送数据的签名，基于椭圆曲线上的离散对数进行 签名，具有更高的安全等级，由第二服务器进行签名处理，可降低数据发送方和数据接收方 的计算量，减小计算时间，数据接收方仅能根据属性集合判断消息来自于一个符合条件的 设备或用户，保护了数据发送方的身份隐私或感知设备的具体编号。 下面结合附图和具体实施例对本发明作进一步描述。 附图说明 为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的 附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普 通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 图1为本发明实施例提供的物联网数据认证方法的应用场景示意图； 图2为本发明实施例提供的物联网数据认证方法的流程示意图； 图3为本发明实施例提供的物联网数据认证方法的子流程示意图； 图4为本发明实施例提供的物联网数据认证方法的子流程示意图； 图5为本发明实施例提供的物联网数据认证装置的示意性框图； 图6为本发明实施例提供的物联网数据认证装置的参数创建单元的示意性框图； 图7为本发明实施例提供的物联网数据认证装置的定义单元的示意性框图； 图8为本发明实施例提供的计算机设备的示意性框图。