一種基于CPK的無(wú)線傳感器網(wǎng)絡(luò)密鑰管理方法*

張愛(ài)麗，吳傳偉

（1.河南師范大學(xué) 新聯(lián)學(xué)院，河南 鄭州 450000；2.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)（Wireless Sensor Network，WSN）以其低成本、低功耗和多功能等特點(diǎn)，在國(guó)防軍事、環(huán)境監(jiān)測(cè)、醫(yī)療衛(wèi)生及工農(nóng)業(yè)生產(chǎn)等領(lǐng)域發(fā)揮著不可估量的作用。WSN的傳感器節(jié)點(diǎn)大多部署在野外，無(wú)人看管，節(jié)點(diǎn)容易被俘獲，通信信道開(kāi)放，容易遭到竊聽(tīng)、冒充和欺騙等攻擊。傳感器節(jié)點(diǎn)能源、內(nèi)存空間、計(jì)算能力和通信能力有限，因此不易運(yùn)行大量的密鑰管理協(xié)同協(xié)議。由于WSN缺少固定基礎(chǔ)設(shè)施，傳統(tǒng)網(wǎng)絡(luò)中的密鑰管理方案無(wú)法直接應(yīng)用于WSN中[1]。

WSN密鑰管理根據(jù)使用的密鑰類型，分為對(duì)稱密鑰管理和非對(duì)稱密鑰管理。對(duì)稱密鑰相對(duì)簡(jiǎn)單，適合WSN通信數(shù)據(jù)的加密保護(hù)，密鑰管理較為困難；非對(duì)稱密鑰具有更高的安全性，更易進(jìn)行密鑰管理，但復(fù)雜度更高。典型的對(duì)稱密鑰管理方案包括Eschenauer和Gligor的隨機(jī)密鑰預(yù)分配機(jī)制E-G方[2]，Chan和Perrig的q-composite隨機(jī)密鑰預(yù)分配機(jī)制[3]等。典型的非對(duì)稱密碼管理方案包括Watro和Kong基于RSA的TinySec密鑰分發(fā)[4]、輕量型ECC的密鑰管理方案[5-6]等。針對(duì)這兩種密鑰的特點(diǎn)，本文提出了一種基于組合公鑰（Combined Public Key，CPK）的混合密鑰管理方法。

1 基于CPK的密鑰管理方案

1.1 組合密鑰生成原理

CPK[7]組合公鑰體制是在ECC體制基礎(chǔ)上實(shí)現(xiàn)的基于標(biāo)識(shí)的非對(duì)稱公眾密鑰體制。給定滿足條件4a3+27b2≠0的兩個(gè)小于p的非負(fù)整數(shù)a、b，則滿足三次方程y2=x3+ax+bmod p的所有解(x,y)加上一個(gè)o點(diǎn)構(gòu)成橢圓曲線群，記為Ep(a,b)。

設(shè)X=(x1,y1)，Y=(x2,y2)，X+Y=(x3,y3)， 按 照Ep(a,b)上兩點(diǎn)的加法運(yùn)算規(guī)則，有：

其中：

令Y=kX，其中k為正整數(shù)。給定X、k，計(jì)算Y是相對(duì)容易的；給定X、Y，計(jì)算k是相對(duì)困難的。選定素?cái)?shù)p和三次方程的參數(shù)a、b后，即可確定橢圓曲線群Ep(a,b)。適當(dāng)選取Ep(a,b)中的元素G作為基點(diǎn)，由基點(diǎn)G=(xG,yG)的所有倍點(diǎn)構(gòu)成Ep(a,b)的子群S。設(shè)n是滿足nG=0的最小整數(shù)，則該子群S的階為n。選擇基點(diǎn)G時(shí)，應(yīng)保證n是一個(gè)大素?cái)?shù)。橢圓曲線密碼的參數(shù)由a、b、G、n、p組成，記為T=(a,b,G,n,p)。由G生成的子群S中的元素皆為G的倍點(diǎn)kG(k=1,2,3…,n)，即：

顯然，S中的元素(xk,yk)與該點(diǎn)對(duì)應(yīng)的倍數(shù)值k恰好構(gòu)成公、私鑰對(duì)，公開(kāi)T=(a,b,G,n,p)和公鑰(xk,yk)，要求出其對(duì)G的倍數(shù)值k（即離散對(duì)數(shù)）是很困難的。

在給定的T=(a,b,G,n,p)為參數(shù)的橢圓曲線密碼的基礎(chǔ)上，構(gòu)建公鑰矩陣和私鑰矩陣。公鑰矩陣為m×h的矩陣，矩陣中元素記為Rij(1≤i≤m,1≤j≤h)都是基點(diǎn)G生成的子群S中的元素，公鑰矩陣記為PSK，PSK中元素Rij=(xij,yij)。

私鑰矩陣表示為SSK，元素表示為rij，同樣也是m×h的矩陣。

在PSK和SSK矩陣相同位置的元素成倍數(shù)關(guān)系，即rij是Rij相對(duì)于基點(diǎn)G的倍數(shù)值，表示為Rij=rij=(xij,yij)(1≤rij≤n-1)，可見(jiàn)rij與Rij構(gòu)成一對(duì)公私鑰對(duì)。

CPK中公私鑰根據(jù)實(shí)體標(biāo)識(shí)的映射值結(jié)果，分別在公鑰矩陣和私鑰矩陣選取對(duì)應(yīng)位置的元素組合得到。假設(shè)最終得到的行列坐標(biāo)為(i1, j1)、(i2, j2)、(i3, j3)…(it, jt)，則公鑰為：

私鑰為：

公私鑰關(guān)系為：

組合密鑰由Hash運(yùn)算和行映射算法得到.一般情況下，設(shè)行映射算法的密鑰為POWKEY。一個(gè)m×h的矩陣，經(jīng)過(guò)Hash運(yùn)算和行映射算法得到的結(jié)果是h個(gè)行列坐標(biāo)。Hash運(yùn)算的方式是以變長(zhǎng)的用戶標(biāo)識(shí)為輸入，以定長(zhǎng)的Hash結(jié)果為輸出。在m×h的矩陣中，m是一個(gè)2k的數(shù)，要得到h個(gè)行列坐標(biāo)，則Hash結(jié)果長(zhǎng)度需要大于等于k×h的比特。

若一次Hash運(yùn)算的結(jié)果長(zhǎng)度小于k×h，則對(duì)Hash結(jié)果進(jìn)行迭代。最終經(jīng)過(guò)行映射算法得到的序列值為(i0,i1,i2,i3,…,ih-1)。此時(shí)，得到的公開(kāi)密鑰為：

得到的私鑰為：

1.2 組合密鑰分發(fā)

CPK標(biāo)識(shí)認(rèn)證機(jī)制由KMC密鑰管理中心與WSN節(jié)點(diǎn)的芯片共同實(shí)現(xiàn)。KMC始終處于離線狀態(tài)。WSN芯片在離線狀態(tài)下到KMC處完成注冊(cè)與認(rèn)證，獲得公鑰矩陣與標(biāo)識(shí)對(duì)應(yīng)的私鑰，如圖1所示。根據(jù)CPK公私鑰對(duì)生成的原理，要滿足支持200個(gè)節(jié)點(diǎn)的WSN網(wǎng)絡(luò)規(guī)模，只需要生成一個(gè)4×4的公私鑰矩陣。

圖1 組合密鑰分發(fā)

4×4的公私鑰矩陣能夠生成44=256個(gè)公私鑰對(duì)，每一個(gè)公私鑰對(duì)即可以作為WSN傳感節(jié)點(diǎn)的合法身份證明，占用的存儲(chǔ)資源很少，適合資源受限的WSN網(wǎng)絡(luò)。

CPK的私鑰以矩陣方式存儲(chǔ)。當(dāng)私鑰泄露超過(guò)m×h個(gè)時(shí)，通過(guò)線性無(wú)關(guān)方程可獲取所有方程的解，得到所有的私鑰。WSN傳感器節(jié)點(diǎn)部署后進(jìn)行二次密鑰協(xié)商，協(xié)商會(huì)話密鑰，以抵御合謀攻擊。

1.3 WSN節(jié)點(diǎn)認(rèn)證

WSN傳感器節(jié)點(diǎn)部署后，根據(jù)節(jié)點(diǎn)能量值選舉簇頭，簇頭和普通節(jié)點(diǎn)構(gòu)成“父子”關(guān)系，即子節(jié)點(diǎn)通過(guò)父節(jié)點(diǎn)接入網(wǎng)絡(luò)。節(jié)點(diǎn)認(rèn)證發(fā)生在子節(jié)點(diǎn)MS和父節(jié)點(diǎn)MA之間，圖2為入網(wǎng)認(rèn)證協(xié)議的交互圖。

第一次消息交互主要進(jìn)行參數(shù)協(xié)商，協(xié)商內(nèi)密密鑰長(zhǎng)度，使用Diffie-Hellman組。通過(guò)第一次參數(shù)協(xié)商，雙方確定使用的Diffie-Hellman組后，確立了兩個(gè)全局參數(shù)大素?cái)?shù)q和q的生成元a。交互雙方選擇一個(gè)NMA，NMS作為私鑰交換隨機(jī)數(shù)，分別傳給對(duì)端，最終通過(guò)Diffie-Hellman產(chǎn)生臨時(shí)密鑰：

圖2 入網(wǎng)認(rèn)證協(xié)議交互

圖2中HDR為數(shù)據(jù)包頭，包含發(fā)送者標(biāo)識(shí)、接收者標(biāo)識(shí)、交互類型、消息序號(hào)HE 數(shù)據(jù)包長(zhǎng)度等信息。SA為安全關(guān)聯(lián)載荷，包括算法類型、密鑰長(zhǎng)度和Diffie-Hellman組信息等。

第二次消息交互，MS節(jié)點(diǎn)與MA節(jié)點(diǎn)按照第一次消息交互協(xié)商的算法和參數(shù)完成雙向身份認(rèn)證。MA節(jié)點(diǎn)向MS節(jié)點(diǎn)發(fā)送交換隨機(jī)數(shù)和密鑰生成隨機(jī)數(shù)，兩個(gè)隨機(jī)數(shù)由MS節(jié)點(diǎn)的公鑰加密，用私鑰對(duì)第一次消息交互產(chǎn)生的共享秘密和密鑰生成隨機(jī)數(shù)進(jìn)行簽名，生成AUTH載荷；MS節(jié)點(diǎn)收到認(rèn)證消息后，用私鑰解密交換隨機(jī)數(shù)和密鑰生成隨機(jī)數(shù)，然后用MA的公鑰解密簽名值，再對(duì)AUTH載荷值進(jìn)行驗(yàn)簽。MA節(jié)點(diǎn)對(duì)MS節(jié)點(diǎn)采用同樣的方式進(jìn)行認(rèn)證。其中，AUTH為身份認(rèn)證簽名載荷，產(chǎn)生方式如下：

KeyT與KeyID是入網(wǎng)認(rèn)證協(xié)議中為以后切換認(rèn)證與密鑰更新留出的預(yù)留值，用于切換認(rèn)證與密鑰更新。隨機(jī)數(shù)R為認(rèn)證報(bào)文新鮮因子，同時(shí)用于會(huì)話密鑰的生成。

1.4 密鑰的生成與更新

會(huì)話密鑰的生成采用協(xié)商模式，CPK公鑰體制和通過(guò)Diffie-Hellman密鑰交換協(xié)議保護(hù)會(huì)話密鑰的生產(chǎn)資料。在入網(wǎng)認(rèn)證的同時(shí)完成密鑰協(xié)商，最終的密鑰生成算法為：

其中，SKD通過(guò)第一次認(rèn)證交互信息獲取；R1與R2為第二次交互的隨機(jī)數(shù)，分別由進(jìn)行密鑰協(xié)商的雙方產(chǎn)生。SKD由CPK公鑰體制中的公鑰進(jìn)行加密，只有對(duì)應(yīng)私鑰的節(jié)點(diǎn)才能獲得該隨機(jī)數(shù)，R1與R2由Diffie-Hellman交換產(chǎn)生的臨時(shí)密鑰K進(jìn)行加密。

WSN密鑰管理除考慮密鑰的生成外，還需要考慮密鑰的更新。密鑰更新流程如圖3所示。

圖3 密鑰更新交互

第一次密鑰更新時(shí)，R1與R2是接入認(rèn)證交互過(guò)程中產(chǎn)生的隨機(jī)數(shù)；從第二次密鑰更新開(kāi)始，R1與R2均是上一次密鑰更新時(shí)產(chǎn)生的新的隨機(jī)數(shù)，即圖2中的R′1與R′2。如需更新臨時(shí)密鑰，則重新產(chǎn)生NMA，NMS用于Diffie-Hellman密鑰交換。

密鑰同步是密鑰更新是否成功的最后一步。WSN采用分布式的方式對(duì)密鑰進(jìn)行生成和分發(fā)，為了使節(jié)點(diǎn)之間的數(shù)據(jù)能夠順利進(jìn)行加解密操作，減少數(shù)據(jù)丟包，可采用異步密鑰同步，如圖4所示。

圖4 異步密鑰同步方式

異步密鑰同步在密鑰協(xié)商完成后的一段時(shí)間內(nèi)同時(shí)保存新密鑰與舊密鑰，在數(shù)據(jù)報(bào)文的頭部添加KeyID標(biāo)志位，指示該數(shù)據(jù)報(bào)文的加密密鑰情況。當(dāng)接收節(jié)點(diǎn)收到發(fā)送節(jié)點(diǎn)使用新密鑰加密的數(shù)據(jù)包后，將舊密鑰丟棄，之后的交互數(shù)據(jù)使用新密鑰進(jìn)行加解密。

2 應(yīng)用分析

2.1 適用性分析

WSN為無(wú)中心的自組織網(wǎng)絡(luò)，動(dòng)態(tài)拓?fù)洌?jié)點(diǎn)數(shù)量眾多，硬件資源有限，無(wú)法應(yīng)用成熟的PKI認(rèn)證機(jī)制。CPK采用基于標(biāo)識(shí)的認(rèn)證方式，同PKI認(rèn)證機(jī)制相比，不需要第三方CA的證明。CPK在脫線的情況下進(jìn)行公私鑰的生成，公鑰矩陣與私鑰也是在離線分發(fā)，完全避免了在PKI中LDAP證書數(shù)據(jù)庫(kù)的在線維護(hù)與公鑰的集中分發(fā)，同時(shí)也避免了由于證書庫(kù)破壞而帶來(lái)的全網(wǎng)癱瘓。相對(duì)IBE（Identity Base Encryption，IBE）采用雙性線映射生成密鑰的方案，CPK采用組合公鑰（基于ECC算法）的方案大大降低了計(jì)算復(fù)雜度[8]，更適用于WSN網(wǎng)絡(luò)。

2.2 安全性分析

本文提出的密鑰管理方法建立在ECC基礎(chǔ)上，而ECC的安全性已有相關(guān)的證明。本文方法中使用的公鑰矩陣和私鑰矩陣均通過(guò)安全通道離線分發(fā)，以保證密鑰分發(fā)的安全性。在節(jié)點(diǎn)認(rèn)證的第一次信息交互中引入Diffie-Hellman密鑰交換參數(shù)，第二次信息交換采用Diffie-Hellman協(xié)商產(chǎn)生的臨時(shí)密鑰，有效地抵御節(jié)點(diǎn)合謀攻擊。Diffie-Hellman密鑰交換參數(shù)均使用節(jié)點(diǎn)公鑰進(jìn)行加密，目的是抵御中間人攻擊。

從認(rèn)證過(guò)程來(lái)看，認(rèn)證是雙向的；簽名值的生成有密鑰生成隨機(jī)數(shù)的參與，通過(guò)驗(yàn)證簽名值，能夠檢測(cè)消息的完整性；身份認(rèn)證的可靠性分別由一個(gè)非對(duì)稱密鑰和一個(gè)對(duì)稱密鑰進(jìn)行保護(hù)。對(duì)稱密鑰與非對(duì)稱密鑰結(jié)合的方式，能夠彌補(bǔ)兩種不同類型密鑰的缺陷，增強(qiáng)加密強(qiáng)度。

2.3 效率分析

通過(guò)認(rèn)證過(guò)程中隨機(jī)數(shù)的交互獲得密鑰生成資料，提高了認(rèn)證交互消息的有效性。分布式的密鑰生成方式避免了秘密隧道的使用，密鑰生成資料由雙方共同提供，避免了單方面的欺騙。節(jié)點(diǎn)直接通過(guò)本節(jié)點(diǎn)和其他節(jié)點(diǎn)提供的密鑰生成資料按照協(xié)議規(guī)定的算法獲得會(huì)話密鑰，直接避免了密鑰分發(fā)環(huán)節(jié)。采用密異步密鑰同步不需要網(wǎng)絡(luò)提供同步時(shí)間，減少了因密鑰不同步導(dǎo)致的數(shù)據(jù)丟失。

3 結(jié) 語(yǔ)

在WSN中選擇使用標(biāo)識(shí)密鑰管理是一個(gè)研究熱點(diǎn)，本文提出的基于CPK的WSN密鑰管理方案相對(duì)于傳統(tǒng)的PKI具有簡(jiǎn)單、高效的特點(diǎn)。采用分布式的密鑰管理方式，動(dòng)態(tài)生成、更新會(huì)話密鑰，并采用異步密鑰同步方式，提高了密鑰更新過(guò)程的準(zhǔn)確性和可靠性。