基于北斗的軍事物聯網密鑰管理機制研究?

李昊鵬 陳立云 盧 昱 晏 杰

（1.陸軍工程大學石家莊校區信息工程系 石家莊 050003）（2.中國洛陽電子裝備試驗中心 洛陽 471000）

1 引言

物聯網被稱作是世界信息產業革命的第三次浪潮［1］，它深刻地影響和改變著人們的生產和生活，尤其是物聯網的軍事應用隨著其概念和技術的不斷發展而迅速展開，其先進的理念對革新作戰和保障方式起到了很大作用［2］。隨著物聯網技術的發展壯大，其安全問題與日俱增。事實上，物聯網的確面臨著較大的安全威脅，尤其是在軍事方面的應用。如果不能夠保證物聯網的安全，則無法抵擋敵方的賽博攻擊，從而導致戰場局勢的惡化。密鑰管理作為信息安全的關鍵技術，是網絡系統安全防護體系中的重要組成部分，物聯網的安全很大程度上要依托密鑰來保障，所以說對密鑰的管理是保證軍事物聯網安全的核心環節。文獻［3］提出了一種改進的隨機密鑰分發協議，該協議通過加入環形結點集在降低網絡系統通信量的同時提高了魯棒性；文獻［4］提出了一種適用于衛星網絡的基于身份加密體制的安全密鑰分發方案，使衛星網絡保持較高的運行效率，但協議的適用環境比較單一；文獻［5］提出了基于分簇的時空信息組合的組網密鑰管理方法，對于靜態部署的組網節點具有很強的抗俘獲能力，但對于移動組網節點的安全保障有一定的局限性；文獻［6］提出了一種基于預分發和協作的可靠對密鑰更新方案，該方案能夠解決密鑰連通性下降等問題。本文通過使用北斗導航系統相關功能設計了一些適用于軍事物聯網的密鑰管理策略，利用北斗RDSS測定業務中的短報文安全信道對軍事物聯網節點的密鑰進行分發，利用北斗RNSS導航業務的授時、定位和測速功能獲知軍事物聯網各節點的時間地理位置與速度信息從而設計出節點密鑰更新、銷毀策略。

2 基本概念及定義

衛星無線電導航業務（RNSS）是指用戶接受衛星的導航信號后由自身獨立完成至4顆以上衛星的測距，使衛星可以對移動的用戶進行授時、定位和測速。

衛星無線電測定業務（RDSS）是指有源衛星定位系統，在該系統中用戶與衛星之間的各項測定業務由用戶自身無法單獨完成，需要由外部系統通過用戶的應答才能夠完成定位，并通過信道向移動的用戶發送短報文從而實現了通信與定位的集成。

密鑰管理是在密鑰從產生到銷毀的整個過程中對密鑰進行處理操作，包括密鑰生成、分發、更新、銷毀等。其目的是維護系統中個實體之間的密鑰關系，有效地抵抗任何可能對密鑰產生的威脅［7～8］。

KeyRev密鑰撤銷方案［9］：當節點受損時，系統在評判密鑰相關性后，在新會話密鑰生成時阻止受損的節點生成新的會話密鑰、加密密鑰，從而阻隔了受損節點的同其他節點通信，正常的節點則不會因此受到影響［10］。

3 軍事物聯網的密鑰管理機制

3.1 密鑰分發

密鑰能夠在安全無誤的信道中分發給各個節點是保證密鑰安全的第一道門閘，這是保障整個軍事物聯網系統安全性的首要條件［11～12］。

進行密鑰分發時，節點首先通過有源終端設備接入北斗衛星導航系統并進行身份注冊。系統根據節點的請求和預先設置的密鑰管理策略，以主動或被動方式，利用北斗RDSS提供的短信息安全信道，實現對北斗網絡用戶的單播密鑰分發。該方法可以有效解決傳統密鑰分發通過不可信信道傳輸面臨的安全問題，并降低密鑰分發的復雜度。通常來說，在一般的網絡中會設定密鑰管理中心，鑒于物聯網節點自身低功耗、低速率的特點，為了降低網絡的通信代價，采用分布式輕量級CA密鑰管理框架，撤銷了密鑰管理中心。在生成節點密鑰對后，簇內節點通過簇頭分發密鑰，簇間節點通過北斗短報文安全信道上傳并分發給其他簇的簇頭節點，簇頭節點隨后依次下發，在整個密鑰分發的過程中均采用單播的方式進行。通過北斗安全信道進行分發密鑰如圖1所示。

3.2 密鑰更新

密鑰更新是密鑰管理中重要的一環，確保軍事物聯網系統中各節點的密鑰始終保持新鮮度，可以有效地防止節點被敵方攻破［13～14］。

針對已在完成注冊并通過有源終端設備接入北斗衛星導航系統的北斗網絡用戶（軍事物聯網節點），利用北斗衛星導航系統提供的精確時間、位置和速度信息，按照預先設定的密鑰管理策略，通過北斗衛星導航系統的可信信道實現對北斗網絡用戶密鑰的更新管理。在降低密鑰管理復雜度的同時，實現對北斗網絡用戶密鑰更加有效的時空分割和精確管理。軍事物聯網中的密鑰更新由如下三個階段組成：初始化密鑰、節點狀態查詢、更新密鑰。其中節點密鑰的初始化僅進行一次，狀態查詢和更新以流水結構進行，兩個階段在時間上可以重疊，且查詢時間T一般情況下比更新時間T'要長即在流水處理中下一輪狀態查詢在上一輪密鑰更新之前就已經開始。通過北斗導航系統進行節點狀態的查詢操作，保證了節點在同步時鐘的情況下進行密鑰的更新。基于北斗導航系統進行狀態查詢的密鑰更新流程如圖2所示。

3.2.1 初始化密鑰

所有軍事物聯網中的節點通過北斗導航系統進行定位后，劃分成不同區域，每一區域中的節點進行組網后作為一個獨立的網絡存在。選定數個節點作為輕量級CA，以輕量級CA公鑰認證框架為基礎，運用分布式認證方法生成各個節點的公私鑰對，從而完成了初始化密鑰工作。每當有新的節點加入，通過北斗導航系統進行定位確認后，確定為該軍事物聯網的合法節點，并通過輕量級CA生成密鑰對。

3.2.2 狀態查詢

每經過時間T，北斗導航系統對所有的軍事物聯網節點進行狀態信息查詢，獲知節點實時的位置信息、同步時鐘信息、速度信息。

3.2.3 更新密鑰

通過北斗導航系統的授時、定位、測速功能收集到的相關狀態信息與密鑰更新策略相比對，對于觸發規則的節點，必須通過輕量級CA生成新的密鑰對替換原有的密鑰，以保證節點間通信的安全。

3.2.4 更新策略設定

北斗導航系統對已裝載北斗模塊的軍事物聯網節點進行授時、定位和測速獲得節點的時間、位置和速度信息，節點密鑰更新策略設定如下：

時間策略：1）設定常規周期時間T，每經過一個周期的時間則節點密鑰更新一次（T的取值要適當）。

2）通過檢驗網絡中節點新鮮度，超過設定節點最大響應時間t，則節點密鑰更新一次，并重新檢驗網絡中節點新鮮度（t的取值遠小于T）。

位置策略：1）在全域上劃定不同的分區域，節點位置從一個作戰區域Z1變換至另一作戰區域Z2時，節點密鑰更新一次。

2）北斗導航系統定位短時間內節點的運動趨勢偏離預定方向，節點密鑰更新一次。

速度策略：節點運動速度超過預設最高速度V1，節點更新密鑰一次。

3.3 密鑰銷毀

在密鑰管理中既要考慮密鑰生成和分發階段的安全同時還要保證密鑰的撤銷是安全有效的。當軍事物聯網中的節點安全性出現問題（節點被俘獲等），這時必須保證該節點的密鑰銷毀機制在發揮作用，及時銷毀該節點的不安全密鑰，可以保證在以后的通信中整個軍事物聯網處于安全狀態［15］。

3.3.1 銷毀基本過程

密鑰銷毀同密鑰更新是相輔相成的，在狀態查詢階段如果發現節點處于異常狀態，控制中心會對節點發出身份確認信息。若在規定時間內未收到應答或者應答錯誤則判斷節點已失效，此時觸發密鑰銷毀規則，將對失效的軍事物聯網節點的密鑰進行銷毀。采用KeyRev方案，通過阻止失效節點生成新的會話密鑰，同時將其密鑰復本全部銷毀，從而使失效節點不能夠參與到物聯網中的任何通信。

3.3.2 銷毀策略設定

密鑰銷毀策略同樣分為三大類，具體策略設定如下。

時間策略：節點間通信，需響應節點超過最大響應時間n次，則判定節點已失效，對節點的密鑰及其復本進行銷毀。

位置策略：通過定位發現節點未按預定計劃在指定區域活動，并未經授權進入其他區域，則判定為失效節點，并對節點的密鑰及其復本進行銷毀。

速度策略：節點超過限定安全速度V2，或未按指令增減速，則銷毀該節點的密鑰及其復本。

通過預先設定更新和銷毀策略，使用采集到的信息進行規則比對，可以完成對軍事物聯網節點的密鑰更新和銷毀管理工作，其整體構架示意圖如圖3所示。

圖3 基于預設策略下的密鑰更新、銷毀示意圖

4 仿真實驗

普通物聯網節點一般是通過自建信道或者公用信道進行多播密鑰分發，并且采用基于時間流的安全多播密鑰更新、銷毀機制，其在密鑰管理方案上與本方案有一定的差別性，通過進行仿真實驗來對比兩種機制的性能。

假設軍事物聯網系統中節點均為移動的，將100個軍事物聯網節點隨機部署在5km*5km的區域內，并按一定規則進行區域分簇，具體仿真參數如表1。

表1 仿真實驗基本參數

4.1 密鑰分發和更新機制實驗

在設定好的實驗環境下，假定會發生竊聽攻擊和主動攻擊，在一段時間內會有節點密鑰被截獲，可能導致節點被俘獲并成為失效節點。測定20min內被截獲的密鑰數和已發現的失效節點數，對比在不同機制下的安全性高低。

圖4 不同信道對密鑰分配安全的影響

通過圖4中實驗曲線對比可得在相同時間內，通過北斗可信信道分發的密鑰被截獲的數量比普通信道要少，說明通過北斗短報文安全信道分發密鑰可有效降低密鑰的被截獲率。

圖5 不同更新策略對節點保護的影響

通過圖5中實驗曲線對比可得在相同環境下，采用本機制進行的密鑰更新可有效地防止節點被俘獲。

4.2 密鑰銷毀機制實驗

在設定好的實驗環境下，假定其中10%的節點已被敵方俘獲，測定時間推移系統發現的被俘獲節點的數量。

通過圖6中實驗曲線對比可得，在相同時間內采用本機制進行的密鑰銷毀可以更有效地判定節點的狀態，保證了網絡系統的純潔性和安全性。

圖6 不同銷毀策略對節點保護的影響

4.3 實驗結果分析

通過進行不同的實驗，在相同環境下將基于北斗的軍事物聯網密鑰管理機制和普通軍事物聯網密鑰管理機制向比對，可以得出本機制具有更高的安全性和可靠性，更適用于復雜戰場環境下的軍事物聯網系統。

5 性能分析

5.1 效率分析

軍事物聯網節點可使用最高級別的北斗卡，每次的最大傳輸量為240個字符，發送頻率最大為每分鐘一次。在密鑰分發階段，通過北斗信道分發密鑰小于北斗短報文信道傳遞的通信量，所以滿足密鑰管理的最低標準。通過計算北斗短報文平均傳輸時延，其中m為收發數據包的總個數，Ti1為第i個數據包發送時間，Ti2為第i個數據包接受時間。取某樣本集數據進行m=5000次的仿真實驗可得到平均傳輸時延約為2.9s。在應急情況或者要求網絡安全性較高的情況下，可以認為效率比較高。在密鑰更新或密鑰銷毀階段，采集的信息數據為時間、位置、速度等短字符串一般大小為10至30字符，經單向散列函數加密后也可多項合并發送，并且軍事物聯網使用北斗導航系統軍用頻段，在進行密鑰管理操作時北斗導航系統會判定為高優先級事件進行處理。綜上所述，本機制可以保持較高的效率。

5.2 可拓展性分析

軍事物聯網中有節點的加入或退出不影響其他節點的密鑰管理工作，只需要實時的分發或吊銷密鑰即完成了節點的更新，故本機制有很好的可拓展性。

5.3 安全性分析

5.3.1 對于竊聽攻擊的分析

竊聽攻擊指非簇內成員進行竊取群組節點間通信的數據。竊聽者為非簇內成員，其無法或者獲取網內的加密密鑰更新數據包的密鑰或提示報文等相關密鑰信息，所以只能采取窮舉搜索攻擊的方式嘗試獲取數據包并加以解析。這樣的攻擊開銷為o（2n），其中n為密鑰長度，因此該攻擊開銷可以看作是無窮大，故可以在一定程度上防止竊聽攻擊。

5.3.2 對于主動攻擊的分析

主動攻擊指當前組員進行竊取群組其他節點間通信的數據。作為簇內節點雖然可以通過北斗導航系統同步授時，了解簇內一定時間策略信息，但是無法獲取其他節點的位置信息和速度信息。這三種信息不能同時獲取，則無法通過節點間的身份認證，即無法破解加密通信數據包。若節點離開簇后，想通過查表攻擊來獲取新的簇內節點密鑰，其必須計算一種以前密鑰為基礎的數據表，該方法的工作量不亞于窮舉搜索攻擊的開銷量，故本機制可以有效地防止主動攻擊。

5.4 魯棒性分析

由于在數據傳輸過程中存在一定的丟包率，當密鑰分發不成功或者節點單播密鑰失敗時，節點會通過系統會在設定的時間內重新分發密鑰，而且在周期結束后各個節點的密鑰會大范圍更新一次，所以本機制也具有一定的魯棒性。

6 結語

隨著信息化戰爭的不斷發展，軍事物聯網在現代戰爭中的地位越來越重要，本文提出了基于北斗導航系統的軍事物聯網密鑰管理機制研究，通過北斗短報文安全信道進行密鑰分發；根據北斗導航系統采集的節點相關狀態信息設計了相應的密鑰更新和銷毀機制，保證了軍事物聯網在平時及戰時的實際需求，通過仿真對比實驗和對機制的性能分析，可以得出本機制具有較好的效率和較高的安全性。