移動(dòng)自組網(wǎng)絡(luò)分布式組密鑰管理方案

摘要：基于門限秘密分享技術(shù)，提出一種高效的分布式組密鑰管理方案EDGK。方案在缺少可信中心和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化的環(huán)境中能有效地更新組通信密鑰。模擬試驗(yàn)表明，提出的組密鑰管理方案在移動(dòng)自組網(wǎng)絡(luò)中具有良好的性能。

關(guān)鍵詞：移動(dòng)自組網(wǎng)絡(luò)； 組密鑰管理； 分布式密鑰生成； 秘密共享

中圖分類號：TP393.08文獻(xiàn)標(biāo)志碼：A文章編號：1001-3695(2007)04-0136-03

移動(dòng)自組網(wǎng)絡(luò)MANET(Mobile Ad hoc Networks)是由多個(gè)移動(dòng)節(jié)點(diǎn)通過無線鏈路連接，具有時(shí)變拓?fù)浣Y(jié)構(gòu)的多跳、臨時(shí)性自治系統(tǒng)，可被廣泛應(yīng)用于軍事戰(zhàn)場、災(zāi)難恢復(fù)和交互式信息共享。組通信是移動(dòng)自組網(wǎng)絡(luò)的重要通信方式，安全性是移動(dòng)自組網(wǎng)絡(luò)組通信的基本要求。

有線網(wǎng)絡(luò)的安全組通信研究取得了許多進(jìn)展[1]，提出了多種高效的組密鑰管理協(xié)議和算法[2，3]。但是，移動(dòng)網(wǎng)絡(luò)環(huán)境對于組密鑰管理提出了許多新的課題[4，5]。針對大規(guī)模無線網(wǎng)絡(luò)的安全組通信問題，DeCleene提出了層次密鑰管理框架[6]，但是他僅解決了組成員移動(dòng)而密鑰管理節(jié)點(diǎn)固定的網(wǎng)絡(luò)安全組通信問題。文獻(xiàn)[7]中提出了一種基于秘密共享機(jī)制和RSA非對稱機(jī)密體制相結(jié)合的一種組密鑰管理框架DGKMF。該框架采用門限機(jī)制來進(jìn)行秘密共享，能滿足移動(dòng)自組網(wǎng)絡(luò)組通信中的后向私密性和前向私密性要求[8]，但該框架中的組通信密鑰(Traffic Encryption Key，TEK)生成算法效率較低，不能在真實(shí)的移動(dòng)自組網(wǎng)絡(luò)中得到實(shí)際應(yīng)用。

本文在分析無線網(wǎng)絡(luò)組通信安全需求的基礎(chǔ)上，提出了一種高效的分布式組密鑰管理方案EDGK(Efficient Distributed Group Key)。它以分布式組密鑰生成中心為核心，在不依賴可信第三方的情況下，利用秘密分享機(jī)制來分發(fā)與重構(gòu)組密鑰。根據(jù)Schnorr簽名體制的思想，提出的組密鑰更新效率顯著高于以前提出的一些方案[3，7]。

1問題描述

為了便于描述，方案假設(shè)移動(dòng)Ad hoc網(wǎng)絡(luò)為一個(gè)通信組，網(wǎng)絡(luò)節(jié)點(diǎn)間采用帶寬有限、可靠性不高的信道通信，節(jié)點(diǎn)在網(wǎng)絡(luò)中可自由移動(dòng)；同時(shí)假設(shè)網(wǎng)絡(luò)中的所有單跳通信是可靠的。組通信是在所有組成員中協(xié)商一種對稱的組通信密鑰，以保證信息傳輸?shù)陌踩浴Ｓ捎趹?yīng)用場景具有對抗性，組通信需要滿足強(qiáng)安全屬性，不是組成員的節(jié)點(diǎn)不可能解密任何信息。

根據(jù)移動(dòng)自組網(wǎng)絡(luò)環(huán)境的特點(diǎn)，組播密鑰管理存在以下挑戰(zhàn)：①不存在可信第三方(TTP)；②網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化；③信道的可靠性差，多跳通信難以保證；④節(jié)點(diǎn)的計(jì)算能力有限。這種特殊環(huán)境對于安全組播通信提出了新的需求[9]：

(1)后向私密性。當(dāng)新成員加入時(shí)，需要更新TEK，以保證新成員不能獲得已經(jīng)傳輸?shù)男畔ⅰ?/p>

(2)前向私密性。當(dāng)成員退出時(shí)，需要更新TEK以保證退出的組成員不可能再獲得組通信信

息。

(3)魯棒性和自適應(yīng)性。由于節(jié)點(diǎn)的移動(dòng)性可能導(dǎo)致網(wǎng)絡(luò)的分割，那么應(yīng)保證網(wǎng)絡(luò)中組密鑰的一致性。

2一種基于(k，n)門限的分布式組密鑰管理方案

假設(shè)初始狀態(tài)下的組通信網(wǎng)絡(luò)由n個(gè)節(jié)點(diǎn)組成，每個(gè)節(jié)點(diǎn)有唯一的全局標(biāo)志vi，i∈{1，2，…，n}。在網(wǎng)絡(luò)部署之前，組節(jié)點(diǎn)協(xié)商完成以下參數(shù)設(shè)置。

2.1系統(tǒng)參數(shù)的建立

離線的組控制器(Group Controller，GC)完成以下參數(shù)設(shè)置:

（1）選擇兩個(gè)素?cái)?shù)p和q，使其滿足q|(p-1)。為抵制生日攻擊，這兩個(gè)參數(shù)的典型長度分別為|q|=160，|p|=1 024。

（2）選取一個(gè)q階元素且滿足中唯一的q階子群。

（3）建立一個(gè)密碼雜湊函數(shù)。另外，選擇一個(gè)種子函數(shù)s(x)及其初始值x0，方案要求s(x)的值在Z*p的q階子群Gq中均勻分布，x按照某種單調(diào)序列進(jìn)行選取。

（4）選擇d∈UZ*q并將其嚴(yán)格保密。這里可以將d看做組秘密， d值泄漏則意味著方案被攻破。根據(jù)Shamir的秘密共享方案[12]將d分成n個(gè)份額。其中的任意k個(gè)份額均能夠重構(gòu)組秘密d。

（5）隨機(jī)選擇k-1階多項(xiàng)式。其中1＜k＜n/2：f(x)=d+∑k-1i=1αixi(1)其中，系數(shù)αi∈UZ*q， i=1，2，…，k-1。因此f(0)=d，初始化系統(tǒng)時(shí)GC計(jì)算每個(gè)節(jié)點(diǎn)vi的秘密份額Si=f(vi)(mod q)并通過安全信道分發(fā)給相應(yīng)節(jié)點(diǎn)。

GC將參數(shù)p、q、g和s(x)公開。為安全起見將秘密參數(shù)d和αi(i=1，2，…，k-1)銷毀。在該方案中，組通信密鑰TEK定義為TEK=H((s(x))dmod p)。那么，當(dāng)初始狀態(tài)下組密鑰種子序列號為x0時(shí)，根據(jù)第2.2節(jié)的TEK更新算法生成初始組密鑰TEK0=H((s(x0))dmod p)。

2.2TEK更新算法

在移動(dòng)自組網(wǎng)絡(luò)中，由于組節(jié)點(diǎn)頻繁移動(dòng)，網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化，且不存在一個(gè)可信的中心節(jié)點(diǎn)， TEK更新的效率和成功率成為討論的熱點(diǎn)。對此，本文提出了一種高效的分布式TEK更新算法，任意k個(gè)成員均可以在不泄漏組秘密的情況下有效地生成TEK，而且不受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化的影響。不妨假設(shè)組密鑰更新由成員發(fā)起。vj首先尋找k-1個(gè)鄰居節(jié)點(diǎn)組成TEK生成中心，記參與組密鑰更新的節(jié)點(diǎn)集，并選擇密鑰種子序列號xm(表示第m次更新，初始時(shí)為x0)，然后向鄰居節(jié)點(diǎn)發(fā)送組密鑰更新請求。鄰居節(jié)點(diǎn)根據(jù)請求中的xm，生成部分組通信密鑰其中。然后將發(fā)送給。當(dāng)請求者vj收到k個(gè)正確的TSi(i=1，2，…，k)之后，計(jì)算由拉格朗日插值原理計(jì)算∏，那么組通信密鑰TEK=H(seedd mod p)。下面說明方案的正確性。

定理1上述TEK生成算法得到的組密鑰是正確的。

證明由于Si=f(vi)(mod q)，li(0)=∏kj=1，j≠i[vj/（vj-vi）](mod q)。根據(jù)拉格郎日插值原理，一定存在正整數(shù)t＜k，使∑ki=1Sili(0)(mod q)=t×q+d成立。另外，根據(jù)種子函數(shù)特性可知seed的值在模p乘法群〈g〉中均勻分布，且易知seed的模p乘法階為q，因此有TEK≡seedl×q+d≡seedd(mod p)成立。

2.3節(jié)點(diǎn)的加入和退出

安全組通信要求滿足后向私密性和前向私密性，那么當(dāng)組成員發(fā)生變化時(shí)，需要對組密鑰TEK進(jìn)行更新。

當(dāng)新的成員vjoin加入時(shí)，組中成員需利用TEK更新算法生成新的TEK。為了提高更新效率，已成功更新TEK的節(jié)點(diǎn)利用已有的TEK對新生成的TEK加密，然后向全組廣播。此外，為了使新加入的成員能參與組密鑰更新，還需要選擇k個(gè)成員(記為G={v1，v2，…，vk})為新節(jié)點(diǎn)vjoin生成對應(yīng)的秘密份額Sjoin。易知Sjoin=f(vjoin)(mod q)=∑ki=1Si×li(vjoin)(mod q)(2)

式(2)中l(wèi)i(vjoin)是可以公開計(jì)算的，但Si不可泄漏，否則敵手會重構(gòu)出多項(xiàng)式f(x)，這意味著系統(tǒng)的徹底攻破。文獻(xiàn)[10]中提出了一種具有高安全性的秘密共享新個(gè)體加入?yún)f(xié)議，但它需要節(jié)點(diǎn)的計(jì)算代價(jià)較高。文獻(xiàn)[11]中給出了一種簡單的串行秘密份額聯(lián)合生成算法。該方案僅需每個(gè)參與節(jié)點(diǎn)進(jìn)行一次加法操作，網(wǎng)絡(luò)通信開銷為O(k)，但該方案適合于規(guī)模較小的網(wǎng)絡(luò)。本文采用混淆因子法(Shuffling Factor)，其實(shí)質(zhì)上是串行算法的并行化。參與生成秘密份額的節(jié)點(diǎn)vi計(jì)算部分份額。其中l(wèi)i(vjoin)=∏kj=1，j≠i[（vjoin-vj）/（vi-vj）](mod q)，Δi為混淆因子。產(chǎn)生混淆因子的一個(gè)簡單的方法需要G中每一對節(jié)點(diǎn)(vi，vj)交換一個(gè)數(shù)Sij，然后計(jì)算Δi=∑kj=1，j≠iσ(i-j)×Sij。其中σ(x)為符號函數(shù)，即σ(x)=1x＞0-1x＜00x=0

節(jié)點(diǎn)vi將部分份額發(fā)送給節(jié)點(diǎn)vjoin。在收到k個(gè)部分份額之后，節(jié)點(diǎn)vjoin可以構(gòu)造出相應(yīng)的秘密份額：Sjoin=∑ki=1(S′i)=∑ki=1Si×li(vjoin)+∑ki=1Δi=∑ki=1Si×li(vjoin)(mod q)

當(dāng)組成員退出時(shí)，它向全組廣播退出請求。接到退出請求的組成員利用TEK更新算法更新組通信密鑰，同時(shí)將已退出的組成員加入到組成員退出列表(Left Member List，LML)。組密鑰更新時(shí)，節(jié)點(diǎn)首先檢查接收到密鑰更新信息的發(fā)送方是否為已退出的組成員。此外，組成員退出列表能夠在節(jié)點(diǎn)間交換，交換頻率與節(jié)點(diǎn)的移動(dòng)性有關(guān)。

2.4組密鑰的一致性

當(dāng)節(jié)點(diǎn)移動(dòng)時(shí)可能會發(fā)生網(wǎng)絡(luò)分割，從而導(dǎo)致節(jié)點(diǎn)間組通信密鑰更新的不一致，此時(shí)需要更新舊的組密鑰。方案中使用基于單調(diào)序列的組通信密鑰生成思想來解決TEK不一致性的問題。它利用密鑰種子生成函數(shù)的單調(diào)性來保證組密鑰的唯一性。當(dāng)組成員利用TEK進(jìn)行組通信時(shí)，需要包含其當(dāng)前TEK對應(yīng)的種子序列號xm。在接收方解密組通信信息前，首先比較其TEK對應(yīng)的xm與接收到的xm是否一致。如果一致便正常接收信息，否則需要更新持有舊序列號的節(jié)點(diǎn)的TEK。需要指出的是，選取的種子函數(shù)不能具有同態(tài)性質(zhì)，否則根據(jù)舊的TEK可以計(jì)算出新的TEK，從而危及到更新后的組密鑰的安全性。

3模擬試驗(yàn)

為了對提出的EDGK方案性能作進(jìn)一步評測，筆者進(jìn)行了仿真試驗(yàn)，并比較了它與GDH v2[3]、DGR[7]協(xié)議的性能，同時(shí)模擬了k的不同取值對方案性能的影響。仿真程序在Linux P42.0 GHz(512 MB RAM)環(huán)境下運(yùn)行。筆者將門限秘密分享算法置入到NS2環(huán)境中，在MAC層運(yùn)行IEEE 802.11協(xié)議，網(wǎng)絡(luò)層使用UDP協(xié)議。模型中信號比特率為2 Mbps，傳輸范圍為200 m。移動(dòng)節(jié)點(diǎn)從某個(gè)隨機(jī)始點(diǎn)移動(dòng)到某個(gè)隨機(jī)終點(diǎn)，最大速度為5 m/s；到達(dá)終點(diǎn)后暫停5 s，然后再移動(dòng)到另一個(gè)隨機(jī)終點(diǎn)。節(jié)點(diǎn)數(shù)量從25~60按幅度5均勻變化，模擬環(huán)境鏈路的可靠性為80%，協(xié)議的模擬時(shí)間為1 500 s。在驗(yàn)證TEK的更新成功率和更新延遲時(shí)，假設(shè)網(wǎng)絡(luò)連通強(qiáng)度D=10，門限k=10。下面給出EDGK在不同參數(shù)設(shè)置下的模擬結(jié)果。

3.1TEK的更新成功率

圖1和圖2分別是節(jié)點(diǎn)加入和退出時(shí)TEK的更新成功率。容易看出，節(jié)點(diǎn)加入時(shí)TEK更新比退出時(shí)的更新成功率略高。這是由于加入節(jié)點(diǎn)時(shí)能夠利用已有的組密鑰廣播更新后的組密鑰，對于具有組控制節(jié)點(diǎn)的有線網(wǎng)絡(luò)組密鑰管理協(xié)議GDH v2來說表現(xiàn)尤為明顯。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，組密鑰更新成功率呈下降趨勢。但EDGK受網(wǎng)絡(luò)規(guī)模變化的影響較小，其TEK更新成功率接近于100%，明顯優(yōu)于其他兩種協(xié)議。

3.2TEK的更新延遲

圖3和圖4分別是節(jié)點(diǎn)加入和退出時(shí)TEK的更新延遲。由于節(jié)點(diǎn)加入時(shí)需為新節(jié)點(diǎn)分發(fā)秘密份額，DGR和GDH v2在節(jié)點(diǎn)加入時(shí)的更新延遲明顯大于節(jié)點(diǎn)退出時(shí)的延遲。但EDGK在節(jié)點(diǎn)加入和退出時(shí)并沒有表現(xiàn)出明顯的差異，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，組密鑰更新延遲增大。由于EDGK更新效率較高，因而在網(wǎng)絡(luò)規(guī)模的動(dòng)態(tài)變化中始終保持著較低的延遲。

3.3門限值的變化對VGK性能的影響

圖5和圖6分別為門限k=5、8、10、12時(shí)TEK的更新成功率和更新延遲。從圖中可以看出，門限值越小，更新成功率越高，更新延遲也越小，其性能隨組規(guī)模的擴(kuò)大而降低。當(dāng)門限的取值超過網(wǎng)絡(luò)的連通強(qiáng)度時(shí)(如k=12)，節(jié)點(diǎn)進(jìn)行TEK更新時(shí)需要進(jìn)行多跳通信，因而更新成功率下降幅度較大，而且有較大的延遲。當(dāng)k≤D時(shí)，方案更能表現(xiàn)出穩(wěn)定的性能。可以看出，模擬試驗(yàn)進(jìn)一步驗(yàn)證了EDGK方案的有效性。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化的環(huán)境中，組密鑰更新的成功率和更新延遲均優(yōu)于以前提出的方案[3，7]。當(dāng)門限值低于網(wǎng)絡(luò)連通強(qiáng)度D時(shí)，方案具有魯棒性，能很好地滿足移動(dòng)自組網(wǎng)絡(luò)組密鑰管理的要求。

4結(jié)束語

基于門限秘密分享技術(shù)，本文提出了一種高效的分布式組密鑰管理方案EDGK。該方案具有不依賴于可信中心，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化的環(huán)境中能有效地更新組通信密鑰。該方案適合于帶寬有限且鏈路不穩(wěn)定的移動(dòng)自組網(wǎng)絡(luò)，特別適合于中小規(guī)模的戰(zhàn)術(shù)網(wǎng)絡(luò)環(huán)境中的應(yīng)用。模擬試驗(yàn)驗(yàn)證了該方案在移動(dòng)自組網(wǎng)絡(luò)中的有效性和魯棒性。目前，筆者正在進(jìn)一步研究門限值動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境，以滿足更高安全性需求。另外，如何進(jìn)一步降低節(jié)點(diǎn)通信的代價(jià)、減少組密鑰更新的時(shí)延也是研究的一個(gè)重點(diǎn)。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。