不同密鑰空間上無線局域網密鑰異地共享方法

魏澤國，裴亞南

(河南科技大學，河南 洛陽 471000)

1 引言

在科學以及互聯網技術的飛速發展的背景下，無線局域網憑借靈活性、高帶寬以及部署簡單等特點已經得到了各領域廣泛應用[1，2]。尤其是在免費AP的普及以及全新攻擊方法的不斷出現后，促使密鑰異地共享成為當前研究的熱點話題。基于此，國內相關專家已經得到了一些較為成熟的研究成果，例如宋云[3]根據局域測量，可以在不同通信者之間組建共享聯合密鑰，將用于竊聽檢測的粒子全部剔除，借助剩余的粒子完成信息傳輸，同時引入GHZ態即可進行秘密共享。高夢婕等人[4]通過對稱可搜索加密技術以及Shamir密鑰共享技術完成密鑰共享。但是，由于上述兩種方法未構建異地密鑰對協商機制，導致密鑰存在被破解風險。為解決該問題，

為解決該問題，提出新的無線局域網多安全域間的密鑰異地共享方法。經實驗測試證明，所提方法能夠有效減少能耗以及破解密鑰比例，得到更加理想的密鑰異地共享結果。

2 方法

2.1 異地密鑰對協商機制的建立

在異地密鑰對協商機制建立初始節點，需要在各個節點中載入對應的四元t度對稱多項式，如式(1)所示

(1)

式中，Fq代表無線局域網多安全域間的有限域；p(x，y，u，v)代表四元t度多項式；aijkl代表多項式的取值范圍；xjyjujvj代表不同類型的多項式。

當每個節點完成部署之后，首先需要得到自身的部署時間，即tu，同時將其代入到已有的標志IDu中，獲取以下形式的多項式Fu(x，y)，如式(2)所示：

Fu(x，y)=P(tu，IDu，x，y)

(2)

節點u的鄰居收集到其它廣播之后，開始構建共享密鑰對，主要包含以下的操作步驟：

1)KERM數據包處理流程：

利用圖1給出KERM數據包處理的詳細操作流程[5，6]。

圖1 KERM數據包處理流程圖

設定節點u的鄰居節點w接收到數據包后，需要判斷節點已知的部署時間和當前時間兩者之間的差值是否小于Tmin；若節點已知的部署時間和當前時間兩者之間的差值大于等于Tmin，則說明兩個節點已經錯過構建密鑰對的最佳時間，系統會拒絕已經給出的密鑰對方案。若節點已知的部署時間和當前時間兩者之間的差值小于Tmin，則需要將節點w接收到的IDu和tu代入到對應的二元多項式中，經過計算獲取兩個節點的成對密鑰Kwu=Fw(IDu，tu)。通過對比bw和tu來判斷節點是否接收到對應的數據包。

2)KEREM數據包的處理流程

當節點u接收到節點w的KEREM后獲取Kwu=Fw(IDu，tu)。假設節點u為復制節點，為了有效避免系統對節點完成檢測，需要提前設定部署時間以及對應的ID，當Kwu≠Kuw，則說明節點u無法和其它節點組成密鑰對。假設節點u代表合法節點，則說明節點w的綜合性能優于節點u部署，同時節點的合法性也無法得到確定，需要向鄰近的節點進行認證。

在正常無線局域網多安全域間中，不論復制節點出現在哪種數據包中，均說明無法采用欺騙或者選擇性轉發等手段獲取鄰近節點的信任，需要將其加入到對應的局域網絡中，使其在網絡中形成一個孤立的節點。

當使用鄰居節點建立密鑰時，需要第一時間將節點的部署時間以及相關的身份信息傳輸至對應的組內，同時計算區域內的成對密鑰。但是，節點復制過程中會存在以下幾種非法行為，分別為：

1)若對多項式求解不成功，則需要對節點的相關信息進行偽造，進而完成密鑰對的建立。

2)若對多項式求解成功，則需要設定具體節點的相關信息，進而組建對應的密鑰對。

針對不同類型的網絡攻擊而言，設定bij代表常量，aijkl代表求解的未知變量，同時已知節點的部署時間和ID對應，則能夠獲取以下形式的計算式

(3)

在上述分析的基礎上，在算法中引入四元對稱多項式，以此為依據建立對應的異地密鑰對協商機制。

2.2 無線局域網多安全域間的密鑰異地共享

基于異地密鑰對協商機制，為了有效降低存儲空間，G矩陣第i行第j列的產生可以通過式(4)表示

G[i，j]=(sj)i-1

(4)

式中，sj代表有限域內的隨機一個素數。其中，矩陣G為范德蒙行列式，所以矩陣加入任何λ+1列是線性無關的。為了有效降低存儲開銷，設定存儲矩陣G第k列的節點只能夠存儲sk，將sk設定為種子值，由此形成如式(5)所示的序列

(5)

在整個無線局域網多安全域間的密鑰異地共享過程中，在網絡中隨機一對節點均能夠構建共享密鑰[7，8]，其中網絡連通率為1。

在共享方案制定過程中，當被捕獲節點數量超過λ，節點上矩陣A的行密鑰信息泄露，結果公開矩陣就能夠破解出私密矩陣f(x，y|k∈Gi，j)D的所有密鑰信息，促使網絡安全性下降。

基于部署信息的密鑰管理方法需要借助節點位置信息完成，主要采用不同的密鑰分配方案實現不同節點之間的通信[9，10]。在進行網絡部署前期，使用概率分布函數對節點近似位置進行估計。節點主要采用組的方式進行部署，由于部署后在相同組內的節點位置比較近，易形成鄰居節點。當加入部署信息之后，需要準確掌握節點的坐標位置，進而判定鄰居節點的坐標位置。

為了全面提升節點部署效率，節點主要采用普通組的形式進行部署，通常情況下一組節點在一個部署點采用傳統方式進行發射，則組內全部的節點的最終位置都服從節點部署位置[11，12]。

在上述分析的基礎上，可以構建不同方案的分組部署模型。將節點按組進行部署，同時將無線局域網多安全域間劃分為多個邏輯組。其中，分組部署模型的建立過程如下所示：

1)將無線局域網多安全域間劃分為r×c個區域，其中第i行第j列所在區域采用dom(i，j)表示，對應的中心位置為(xi，yj)。

2)無線局域網中共計包含N個節點，各個節點都具有唯一的標識IDk。將N個節點劃分為r×c個組，在距離中心位置比較近的區域進行節點部署。

3)在各個邏輯組設定一個部署位置[13，14]，即中心位置。

4)當確定研究區域內已有的節點均滿足二維高斯分布需求后，計算對應的概率密度函數，如式(6)所示

(6)

式中，σ代表部署位置的中心區域。

當完成設定區域內節點的部署工作之后，需要對節點進行分配處理，同時還需要將全部的密鑰信息加載到節點的存儲空間中。由于無線局域網是靜態的，所以網絡在運行過程中，節點密鑰不會發生周期性地更新或者撤銷等相關操作。傳感器上節點對應的密鑰信息可以用來和鄰近節點組建通信。分析節點部署模型可知，不同節點之間的關系可以劃分為組內和組間兩種形式。針對不同的組，需要使用一個組內密鑰空間，不同組間節點之間通信需要借助密鑰信息完成。

由于密鑰異地共享方案存在閾值的問題，在考慮節點分組后，需要為每一個組構建對應的密鑰空間，同時加入對應的安全條件。在上述分析的基礎上，通過Blom方案中的密鑰矩陣為各個節點分配組內密鑰信息，促使組內的隨機兩個節點能夠構建共享密鑰。

分析節點部署信息[15]，組內節點成為鄰居節點的概率比較大，所以需要優先確保組內節點之間可以構建對應的共享密鑰，詳細的操作步驟如下所示：

1)在服務器部署區域內隨機設定一個規格為λ×n的矩陣G，同時設定相關的參數取值。

2)隨機形成一個對稱矩陣Dij，設定Dij是保密的。

3)針對組內的節點，隨機選取矩陣中的任意一行分配給k，同時將其設定為組內密鑰向量。由于每一個節點必須要選擇不同的行，所有需要將組內密鑰向量簇存入到k中。

當完成組內節點的密鑰預分配后，需要構建對應的通信組內密鑰空間。將全部組看成是一個整體，通過和組內節點進行密鑰預分配，形成一個組密鑰空間。詳細的操作步驟如下所示：

1)在無線局域網多安全域間中隨機形成一個矩陣，同時設定相關參數的取值。

2)在有限域內隨機形成一個對稱矩陣，同時對矩陣內全部參數進行初始化處理。

3)經過計算獲取各個節點組間的密鑰向量，同時將對應的向量標識存儲到系統的服務器中，構建矩陣對應的列。

當完成密鑰預分配處理后，分別在不同的節點下存儲密鑰信息。設定組內密鑰向量為(k1，k2，…，kλ)，矩陣對應的種子值為seed，隨機兩個節點之間進行密鑰異地共享的詳細操作步驟如下所示：

1)分別在不同節點廣播自己的標識以及對應的種子值。

2)當鄰居節點接收到以上信息后，需要進一步判斷節點標識是否在組內標識中。

3)假設在相同組中，根據接收到的種子值重新形成矩陣對應的列，同時和組內的密鑰向量進行矩陣乘法計算，最終獲取共享密鑰。

4)如果節點沒有在同一個組內，則將接收到的種子值組建成新的矩陣對應列，最終經過計算實現密鑰異地共享。

3 仿真研究

為驗證所提無線局域網多安全域間的密鑰異地共享方法的有效性，在如圖2所示的場景中進行實驗測試

圖2 場景布置示意圖

3.1 密鑰異地共享性能測試

為更好完成實驗，需要對無線局域網進行如下假設：

1)優先在無線局域網多安全域間內進行節點部署，同時在不同節點之間構建加密通信鏈路。

2)由于受到實驗環境以及節點數量等多方面因素的限制，在設定條件下，需要將無線局部網中的靜態節點進行轉換，同時設定探測半徑為3cm。

在進行實驗測試過程中，設定被俘獲節點為5號，則對應的節點鄰居列表如圖3所示。

圖3 節點鄰居列表示意圖

分析圖3(a)可知，當復制兩個節點后，節點A的鄰居節點分別為9號節點、11號節點以及4號節點；圖3(b)顯示，雖然節點A被放置在初始位置，但是節點離開時間大于節點刪除時間；圖3(c)顯示，節點B無法加入到無線局域網絡中。圖3(d)顯示，當有全新的節點部署在A附近時，無法進行真實性檢驗，所以也無法和新節點進行密鑰異地共享。

3.2 不同方法下破解密鑰比例測試

利用表1給出破解密鑰比例和被捕獲節點之間的關系變化情況：

表1 不同方法在設定時間下破解密鑰和被捕獲節點數量之間的關系分析結果

根據表1得到的數據可分析出不同方法的破解密鑰比例值會受到捕獲節點的數量以及時間影響。和另外兩種方法相比，所提方法的破解密鑰比例明顯更低一些。

3.3 能耗測試結果分析

在圖2設定的場景下，分析密鑰更新和驅逐節點過程中形成的能耗，詳細的實驗對比結果如圖4所示。

圖4 不同方法的能耗測試結果對比

分析圖4中的實驗數據可知，所提方法在密鑰更新以及節點驅逐過程中產生的能耗明顯低于另外兩種方法。這主要是因為所提方法構建了異地密鑰對協商機制，這樣可以更好完成密鑰異地共享，同時有效降低能耗。

4 結束語

針對傳統方法存在的問題，提出一種無線局域網多安全域間的密鑰異地共享方法。實驗結果表明，所提方法能夠有效降低節點能耗以及破解密鑰比例，更好實現密鑰異地共享。

由于受到時間以及環境等多方面因素的限制，所提方法仍然存在一定的不足，后續將重點針對以下幾方面的內容進行研究：

1)擴大研究范圍，進一步提升密鑰異地共享性能。

2)加快密鑰異地共享速度，使其能夠以最短的時間完成共享。