無線傳感器網絡中一種新的無條件安全密鑰協商模型*

王秋華,呂秋云,王小軍,駱 懿,游 林

(杭州電子科技大學通信工程學院,杭州 310018)

?

無線傳感器網絡中一種新的無條件安全密鑰協商模型*

王秋華*,呂秋云,王小軍,駱 懿,游 林

(杭州電子科技大學通信工程學院,杭州 310018)

針對現有無條件安全密鑰協商模型中存在的問題,提出了一種獲取初始隨機相關信息的新模型。實驗結果表明,與現有模型相比,新模型和原信源模型和原信道模型在功能上等價,但新模型在保證合法通信雙方之間的誤比特率不變的情況下,增加了竊聽方的誤比特率,弱化了竊聽方的優勢,提高了密鑰協商的總信息率。

無線傳感器網絡;無條件安全;密鑰協商

安全性問題是制約無線傳感器網絡WSN(Wireless Sensor Networks)發展的重要難題[1],目前,該問題主要采用加密和認證技術來解決,其核心是密鑰的安全分配與協商。由于傳感器節點在計算能力、存儲空間及電源能力上受限,基于預分配的密鑰管理方案或ECC加密算法是WSN主要采用的安全措施。但現有的密碼體制(私鑰和公鑰密碼體制)是建立在計算安全模型之上的[2],隨著算法效率和計算機計算能力的提高(如量子計算機),基于計算安全的密碼體制越來越受到威脅,時刻面臨被攻破的危險,必然刺激我們去研究具有無條件安全的密碼體制。

無條件安全模型以信息論為基礎,假定敵手有無限的資源和能力,即使他能夠在很短時間內遍歷所有密鑰,也不能攻破基于信息論的安全體系。無條件安全得以實現的關鍵是無條件安全密鑰協商協議的設計,只要通信雙方能共享一個無條件安全的密鑰,就能利用一次一密密碼體制,加密雙方的通信內容,最終實現無條件安全的保密通信[3]。

無條件安全密鑰協商是在不事先共享密鑰的情況下,產生源源不斷的共享密鑰的機制[4],是近幾年研究的一個熱點。它建立在無條件安全模型之上,在具有強大計算能力的量子計算機面前仍然能提供絕對安全的秘密通信。無條件安全的密鑰協商機制既可作為現有安全機制的補充,也適應未來安全技術的發展需求。

相比于傳統的WSN密鑰分配和加密方式,無條件安全的密鑰協商具有更強的安全性,且需要更少的節點存儲空間,例如,通過無條件安全協商出的112bit的密鑰在加密強度上相當于2 048 bit Diffie-hellman密鑰[4],另外,無條件安全的密鑰協商比傳統的加密方式需要更少的計算復雜度[5]。更重要的是,無條件安全的密鑰協商在初始化階段需要通過無線有擾信道傳輸方式獲取初始相關信息,有些模型甚至要求進行密鑰協商的節點間要直接進行無線信號的收發,而無需基站等其它設施的中轉,而此機制正好符合WSN的無線通信機制,故無條件安全的密鑰協商在WSN中具有更強的應用優勢。

無條件安全密鑰協商的基本思想是:首先,合法通信雙方獲得初始隨機相關信息,然后,利用該初始相關信息,通過無條件安全密鑰協商協議,獲得源源不斷的密鑰流,進而實現完善保密通信。

假定通信的發方是Alice,收方是Bob,Eve為竊聽方,無條件安全密鑰協商過程可以抽象為:

①初始化階段:該階段是原始密鑰的獲取階段。Alice,Bob和Eve分別得到3個相關隨機變量X,Y和Z作為他們各自的初始密鑰信息,X,Y和Z服從聯合概率分布pXYZ。

②通信階段:得到初始隨機相關信息后,利用密鑰協商協議,Alice和Bob通過公開信道交換信息,產生最終密鑰,這一過程也稱為公開討論(public discussion),具體分為優先提取[7-8],信息協調[9-10]和保密增強[11-12]3個階段。(a)優先提取:如果Eve接收信道的誤比特率小于合法接收者的,合法通信雙方的互信息將小于竊聽方與發方之間的,優先提取就是把Alice與Bob間相對于Alice與Eve間的互信息由劣勢轉化為優勢的過程。優先提取后,相對于Eve,Bob擁有更多的關于Alice的比特串的信息。(b)信息協調:優先提取執行后,Bob與Alice間的比特串并不完全相同,還需要信息協調過程,糾正通信雙方比特串中不一致的比特。去除Bob和Alice優先提取后不一致比特的過程即為信息協調。(c)保密增強:密鑰協商的最后一個階段是保密增強,合法通信雙方從一個部分保密的比特串中,提取一個高度保密比特串的過程稱為保密增強。

③決策階段:如果Alice和Bob認為最終協商出的密鑰K可以作為他們之間的共享密鑰,則接受,否則,刪除K,重新進行密鑰協商。

定義1在隨機變量Z條件下的隨機變量X,Y的密鑰速率,由S(X;Y||Z)表示,定義為在使Eve獲得信息速率任意小的情況下,Alice和Bob能夠協商一個密鑰K的最大速率,即對任意ε>0,分別用X和Y代替XN和YN,則當N充分大時,總存在一個密鑰協商協議,使滿足

(1)

和

(2)

的協商密鑰速率R達到最大。

定理1在隨機變量Z條件下,隨機變量X,Y的密鑰速率的上界為

(3)

(4)

在文獻[6]中,Maurer證明:如果通信雙方的初始信息毫不相關,則無條件安全密鑰協商的速率為零,即無條件安全的密鑰協商不可能實現。因此,在信息理論安全的密鑰協商中,總有一個初始化階段產生通信雙方的初始相關信息,而如何得到該初始隨機相關信息成為研究的重點。目前的方法主要是基于量子信道傳輸[13]或無線有擾信道傳輸[6,14],但由于量子信道傳輸距離短,價格昂貴,因此現有的密鑰協商方案大都以有擾信道模型為基礎進行設計的。在無線網絡中,目前利用信道噪聲產生隨機相關信息的方式主要有一般信源模型Model SW(Source-Type Model with Wiretapper)和一般信道模型Model CW(Channel-Type Model with Wiretapper)。

本文主要研究了無條件安全密鑰協商模型,首先分析了在初始化階段產生隨機相關信息的模型Model SW和Model CW及其存在的主要問題;然后在此基礎上,提出了一種WSN中獲取初始隨機相關信息的新模型,并對新模型和原有模型進行了分析與比較。

1 無條件安全密鑰協商模型

1.1 Model SW

在圖1所示的信源模型Model SW中[15],假設存在一個隨機信號源,通過各自有噪聲的信道,通信雙方對隨機信號源進行觀測,然后,在一個公開無差錯信道上協商如何利用觀察到的隨機數據生成密鑰。目前公認較為實際的是Maurer提出的以衛星廣播信號作為隨機信源的模型[6]。在該模型中,衛星以低信噪比不斷向地面發送隨機比特串U=(u1,u2,…,uN)∈{0,1}N,Alice,Bob和Eve分別通過無記憶二進制對稱信道BSC(Binary Symmetric Channels)以誤比特率pA,pB和pE得到3個隨機比特串X=(x1,x2,…,xN)∈{0,1}N,Y=(y1,y2,…,yN)∈{0,1}N,和Z=(z1,z2,…,zN)∈{0,1}N作為初始信息,其中,pA=Pr{xi≠ui},pB=Pr{yi≠ui},pE=Pr{zi≠ui}。X,Y及Z服從聯合概率分布pXYZ。

pm=pA+pB-2pApB

(5)

(6)

(7)

圖1 Model SW

定理3令隨機變量X,Y,Z是根據p(ui=0)=p(ui=1)=0.5,PXYZ|U=pApBpE的規則產生的,則密鑰協商速率的下界為

(8)

其中,h(p)=-plog2(p)-(1-p)log2(1-p)。

1.2ModelCW

在圖2所示的信道模型Model CW中[16],Alice產生隨機序列X=(x1,x2,…,xN),并通過條件概率分布為pY|X的離散無記憶信道(Discrete Memoryless Channel,DMC){W:Alice(Bob×Eve}傳輸給Bob。由于信道中存在噪聲,Bob收到X的噪聲版本Y=(y1,y2,…,yN),而Eve通過一個不同的信道(由概率pZ|X表征)接收到X的噪聲版本Z=(z1,z2,…,zN)。然后,Alice和Bob通過一個公開無差錯信道協商如何利用X和Y產生共享密鑰,而Eve卻不能獲得此密鑰。

圖2 Model CW

定理4假設Bob和Eve的接收信道是相互獨立的二元對稱信道,其誤比特率分別為ε和δ,則密鑰協商速率的下界為

(9)

式(9)表明,只有當ε<δ,即Bob的接收信道好于Eve的接收信道時,Bob與Alice才可以進行密鑰協商。

在后續討論中,我們均以Alice的比特串為基準進行密鑰協商。

1.3 存在問題分析

合法雙方可以通過公開協商,在他們接收數據基礎上產生共享密鑰,而決定密鑰保密性的關鍵是噪聲信道輸出的信息差異與沒有信道能夠完全保證無差錯。在Model SW和Model CW中,通信雙方獲取初始相關信息方法的本質是利用信道中的噪聲增加竊聽方對信息的不確定性。

對于Model SW,目前公認較為實際的是衛星廣播模型,但該模型存在以下兩個問題[17]:①接收雙方的同步問題;②需要額外配備衛星信號接收裝置,增加成本,而且并不是任何企業或個人都可以通過衛星的噪聲信道獲得初始比特串(原始密鑰)。

對Model CW,當Eve接收信道的誤比特率小于Bob接收信道的誤比特率時,需要執行優先提取協議把Alice和Bob之間的互信息由劣勢轉為優勢。但通過分析可知,比特對優先提取協議僅降低合法通信雙方的誤比特率,而竊聽方的誤比特率保持不變。且當Eve接收信道的誤比特率較小時,在信息協調階段,借助于合法方在公開信道上交換的信息,Eve的誤比特率會進一步下降,使其后續保密增強階段提取密鑰的信息率進一步降低,導致密鑰協商的總信息率非常低。例如,在信道模型中,當ε=0.1,δ=0.05時,需要進行1輪比特對優先提取協議和2輪Winnow信息協調協議。一輪比特對優先提取協議的信息率為41%,2輪winnow信息協調協議的信息率為73.41%,保密增強協議的信息率為12.53%,則密鑰協商協議的信息率僅為3.77%。

同時,通過定理3和定理4,在Model SW和Model CW中,當Eve接收信道的誤比特率比Bob的小時,密鑰協商的速率為0。雖然可以通過后續的優先提取協議,使得I(X;Y)>I(X;Z)和I(X;Y)>I(Y;Z),但通過分析可知,優先提取協議的執行大大降低了密鑰協商協議的速率和整個密鑰協商協議的總信息率;另一方面,當Eve接收信道的誤比特率較小時,保密增強階段提取密鑰的信息率很低,甚至無法提取安全的密鑰。比特對優先提取協議不能降低竊聽方的誤比特率,而Winnow協議卻使Eve的誤比特率進一步降低,從而導致后續保密增強協議失效。所以,我們應當在初始化階段就盡量增大比特串對(X,Z)之間的誤比特率,這樣才能保證后續密鑰協商各階段的有效執行。基于以上考慮,我們提出了一種適用于WSN的新的密鑰協商模型。

圖3 新模型

2 一種新的密鑰協商模型

2.1 模型描述

新模型如圖3所示。具體實現步驟如下:

①Alice隨機產生比特串Ca,并通過BSC廣播信道以低信噪比發送給Bob,Bob接收到的是Ca的衰落版本Ca⊕nab,nab為噪聲比特串,且p(nab=1)=pab;此外,Eve也接收到Ca的衰落版本Ca⊕nae,nae為噪聲比特串,且p(nae=1)=pae;

②同樣,Bob隨機產生比特串Cb,并通過獨立的BSC廣播信道以低信噪比發送給Alice,Alice接收到的是Cb的衰落版本Cb⊕nba,nba為噪聲比特串,且p(nba=1)=pba;此外,Eve也接收到Cb的衰落版本Cb⊕nbe,nbe為噪聲比特串,且p(nbe=1)=pbe;

③Alice計算X=Ca⊕Cb⊕nba,Bob計算Y=Ca⊕Cb⊕nab,為他們的初始相關信息;Eve只能獲取比特串Z=Ca⊕Cb⊕nae⊕nbe。

在后續的通信階段,Alice和Bob通過一個公開無差錯信道來協商如何利用X和Y產生共享密鑰,且使Eve不能得到此密鑰。

2.2 模型分析與比較

新模型中,通信雙方節點直接通過無線收發方式獲取初始相關信息,符合WSN的通信機制。

在新模型中,Bob的初始比特串Y=Ca⊕Cb⊕nab相對于Alice的初始比特串X=Ca⊕Cb⊕nba的誤比特率為:

=Pr{nab≠nba}=pab+pba-2pabpba

(10)

Eve初始比特串Z=Ca⊕Cb⊕nae⊕nbe相對于Alice的初始比特串X=Ca⊕Cb⊕nba的誤比特率為:

=Pr{nae⊕nbe≠nba}=Pr{nae⊕nbe⊕nba=1}

=pba+(pae+pbe-2paepbe)-2pba(pae+pbe-

2paepbe)=pba+pe-2pbape

(11)

其中,pe=pae+pbe-2paepbe。

若把新模型中的數據用衛星模型進行實現,則可做如下設置。

衛星廣播初始比特串U=Ca⊕Cb,Alice,Bob和Eve分別通過誤比特率為pA,pB和pE的信道進行接收,各自得到U的衰落版本X=Ca⊕Cb⊕nA,Y=Ca⊕Cb⊕nB和Z=Ca⊕Cb⊕nE。其中,nA,nB,nE分別為Alice,Bob和Eve收到的噪聲比特串,且p(nA=1)=pA,p(nB=1)=pB,p(nE=1)=pE。

圖4 新模型與衛星廣播模型的等價性

如果假設pA=pba,pB=pab,pE=pae+pbe-2paepbe,則nA=nba,nB=nab,nE=nae⊕nbe,此時,新模型和衛星廣播模型在功能上等價,等價模型如圖4所示。

但是,在新模型中,通信的傳感節點無需額外衛星信號接收硬件裝置,節約了成本。Alice和Bob獲取到初始相關比特串后,可以利用優先提取、信息協調和保密增強協商他們的共享密鑰。容易看出,與原衛星模型相比,新模型在保證Alice和Bob間誤比特率不變的情況下,增加了Eve和Alice間的誤比特率,有助于提高協議的總信息率。

同樣,若把新模型中的數據用Model CW模型實現,則可做如下設置:

Alice發送比特串X=Ca⊕Cb⊕nba,Bob和Eve分別通過誤比特率分別為ε和δ的信道接收到X的衰落版本Y=(Ca⊕Cb⊕nba)⊕nAB,Z=(Ca⊕Cb⊕nba)⊕nAE。其中,nAB,nAE分別為Bob和Eve收到的噪聲比特串,且p(nAB=1)=ε,p(nAE=1)=δ。

如果假設ε=pba+pab-2pbapab,δ=pba+(pae+pbe-2paepbe)-2pba(pae+pbe-2paepbe),則nAB=nab⊕nba,nAE=nae⊕nbe⊕nba,此時,新模型與Model CW模型在功能上也等價。

由于新模型增大了比特對(X,Z)間的誤比特率,弱化了Eve的優勢,提高了密鑰協商的總信息率。由定理4得出,若以Alice得到的比特串為基準進行密鑰協商,則新模型密鑰協商理論速率的下界為:

2pba(pae+pbe-2paepbe))-

h(pab+pba-2pabpba)}

(12)

為比較方便,假設3種模型下的信道誤比特率為:pA=pB=ε=pab=pba=p,pE=δ=pae=pbe=q。表1列出了新模型與Model SW、Model CW的密鑰協商理論速率的比較值,由表1可以看出,在相同條件下,新模型提高了密鑰協商的理論速率,且使合法方之間的誤比特率的適應范圍增大。

表1 新模型與Model SW、Model CW的密鑰協商理論速率比較

3 實驗結果

3.1 實驗環境設置

除了上述理論分析,我們進一步在實際WSN環境下對上述3種模型進行了性能比較。試驗中的隨機數采用SK-WSN-43實驗系統CC2530自帶的隨機數發生器芯片產生。

新模型:首先節點Alice產生初始隨機比特串Ca,并通過廣播方式以低信噪比發送給Bob,Bob接收到Ca的衰落版本Ca⊕nab后即把自己產生的隨機比特串Cb通過廣播方式以低信噪比發送給Alice,Alice接收到的是Cb的衰落版本Cb⊕nba,竊聽節點Eve接收到Ca的衰落版本Ca⊕nae,和Cb的衰落版本Cb⊕nbe。

實驗過程中,設置其它傳感器節點無序并發信息,對Alice和Bob間的通信形成干擾。

Model SW:為了和Model SW做比較,我們利用WSN基站作為隨機信源模擬衛星場景,取Alice和Bob在新模型試驗中產生的隨機比特串的異或結果,即Ca⊕Cb作為基站廣播信號,該信號分別由Alice、Bob和Eve接收。

Model CW:為了和Model CW做比較,我們設置實驗場景如下:Alice把在新模型實驗中計算得到的隨機比特串X=Ca⊕Cb⊕nba進行廣播,Bob和Eve分別進行接收。

同時,在試驗中,為了有效克服WSN中存在的同頻串擾問題,本文采用了S-MAC協議[18],采用虛擬載波偵聽和物理載波偵聽,以及請求發送/清除發送(RTS/CTS)交換技術,使與此次通信無關的節點進入休眠狀態,以減少串擾帶來的能量損耗,提升協議的執行效率。

圖5 新模型與Model SW、Model CW的密鑰率比較

3.2 實驗結果

圖5為在3種模型實驗環境下所測得的實驗結果,由圖5可以看出,在相同的信噪比環境中,新模型下的密鑰率遠高于Model SW和Model CW,這是因為新模型增加了Eve和Alice間的誤比特率,弱化了Eve的優勢。

4 結論

針對現有無條件安全密鑰協商初始化模型中存在的問題,提出了WSN中一種新的密鑰協商模型。在新模型中,通信雙方無需額外的衛星信號接收硬件裝置,節約了成本。Alice和Bob獲取到初始相關比特串后,即可以利用優先提取、信息協調和保密增強協議協商他們的共享密鑰。與現有模型相比,新模型在保證Alice和Bob間誤比特率不變的情況下,增加了Eve和Alice間的誤比特率,弱化了Eve的優勢,有助于提高后續協議的總信息率。新模型的性能優勢在實際實驗環境中得到進一步的驗證。

今后,如何在新模型的基礎上設計適應WSN的效率更高的優先提取、信息協調和保密增強協議是作者進一步研究的重點。

致謝

本文由浙江省數據存儲傳輸及應用技術研究重點實驗室(杭州電子科技大學)資助。

[1] 王秋華,陳惠芳,謝磊,等.無線傳感器網絡一種改進的隨機密鑰預分配方案[J].傳感技術學報,2010,23(10):1494-1500.

[2]Rivest R L,Shamir A,Adleman L.Method for Obtaining Digital Signatures and Public-Key Cryptosystems[J].Communications of the ACM,1978,21(2):120-126.

[3]秦興成.信息理論安全密鑰協商的研究[D].西安:西安電子科技大學,2003.

[4]Lenstra A K,Verheul E R.Selecting Cryptographic Key Sizes[J].Journal of Cryptology,2001,14(4):255-293.

[5]Jessica Erin Dudley Croft.Shared Secret Key Establishment Using Wireless Channel Measurements[D].A Dissertation Submitted to the Faculty of The University of Utah in Partial Fulfillment of the Requirements for the Degree of Doctor of Philosophy,2011:7.

[6]Maurer U M.Secret Key Agreement by Public Discussion from Common Information[J].IEEE Transactions on Information Theory,1993,39(3):733-742.

[7]Maurer U M.Protocols for Secret Key Agreement Based on Common Information.Advances in Cryptology-CRYPTO’92[J].Lecture Notes in Computer Science,1993,740:461-470.

[8]Liu S,Henk C A,Tilborg V,et al.A Practical Protocol for Advantage Distillation and Information Reconciliation[J].Designs,Codes and Cryptography,2003,30:39-62.

[9]Yan H,Ren T,Peng X,et al.Information reconciliation Protocol in Quantum Key Distribution System[C]//Proc of the 4th Int Conf on Natural Computation(ICNC’08),2008.

[10]Buttler W T,Lamoreaux S K,Torgerson J R.Fast,Efficient Error Reconciliation for Quantum Cryptography[J].Phys Rev A,2003,67:052303.

[11]Bennett C.Quantum Cryptography Using Two Nonorthogonal States[J].Phys Rev Lett,1992,68:3121-3124.

[12]Ahlswede R,Csiszár I.Common Randomness in Information Theory and Cryptography—partⅠ:Secret Sharing,IEEE Transactions on Information Theory[J].1993,39(4):1121-1132.

[13]Maurer U,Wolf S.Privacy Amplification Secure Against Active Adversaries,Advances in Cryptology-CRYPTO’97[J].Lecture Notes in Computer Science,1997,1294:307-321.

[14]Watanabe Y.Privacy Amplification for Quantum Key Distribution[J].Journal of Physics A:Mathematical and Theoretical,2007,40(3):99-104.

[15]Yakovlev V,Korzhik V,Morales-Luna G,et al.Key Distribution Protocols Based on Extractors Under the Condition of Noisy Channels in the Presence of an Active Adversary,2010,arXiv:1005.3184[cs.IT].

[16]Ahlswede R,Csiszár I.Common Randomness in Information Theory and Cryptography—PartⅠ:Secret Sharing[J].IEEE Transactions on Information Theory,1993,39(4):1121-1132.

[17]王保倉.基于有擾認證信道的信息理論安全密鑰協商[D].西安:西安電子科技大學,2004.

[18]Ye W,Heidemann J,Estrin D.Medium Access Control with Coordinated Adaptive Sleeping for Wireless Sensor Network[J].IEEE ACM Transactions on Networking,2004,12(3):493-506.

王秋華(1978-),女,博士,杭州電子科技大學教師,研究方向為傳感器網絡安全、計算機網絡安全、安全密鑰管理等,wangqiuhua@hdu.edu.cn。

ANewUnconditionallySecureSecretKeyAgreementModelforWirelessSensorNetworks*

WANGQiuhua*,LvQiuyun,WANGXiaojun,LUOYi,YOULin

(School of Communication Engineering,Hangzhou Dianzi University,Hangzhou 310018,China)

To resolve the problems in the unconditionally secure secret key agreement model,a new model to obtain the initial random related information was proposed.The experiment results show that compared with existing models,the new model is equivalent in function to the source model and the channel model.However,in the new model,the bit error rate between legal communication parties remains unchanged,while the bit error rate of eavesdropper increases.Hence,the advantage of eavesdropper weakens and the total information key agreement rate increases.

wireless sensor networks(WSN);unconditionally secure;secret key agreement

項目來源:浙江省自然科學基金青年基金項目(LQ14F020010);國家自然科學基金項目(61272045);浙江省杭電智慧城市研究中心項目

2013-11-06修改日期:2014-06-03

10.3969/j.issn.1004-1699.2014.06.021

TP393.08

:A

:1004-1699(2014)06-0821-07