一種無(wú)線傳感器網(wǎng)絡(luò)密鑰管理安全加強(qiáng)方案*

萬(wàn)舒亞，謝淑翠

（1.西安郵電大學(xué) 通信與信息工程學(xué)院，陜西 西安 710061；2.西安郵電大學(xué) 理學(xué)院，陜西 西安 710121）

無(wú)線傳感器網(wǎng)絡(luò) WSN （Wireless Sensor Network）傳輸?shù)氖菬o(wú)線電波，只要將設(shè)備調(diào)至同一頻率，敵方就能容易地獲取無(wú)線電信息；另外，傳感器節(jié)點(diǎn)通常分布在無(wú)人看管的惡劣環(huán)境中，極易受到捕獲，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化；同時(shí)，傳感器節(jié)點(diǎn)處理能力、存儲(chǔ)能力和通信能力相對(duì)較弱，且通過(guò)小容量電池供電，因此要盡量減少節(jié)點(diǎn)的內(nèi)存占用及會(huì)話開(kāi)銷以延長(zhǎng)網(wǎng)絡(luò)壽命?；赪SN以上特點(diǎn)，理想的密鑰管理方案要求能保證網(wǎng)絡(luò)保密性，盡量降低節(jié)點(diǎn)開(kāi)銷，具有良好的可擴(kuò)展性及抗捕獲性。

目前，針對(duì)無(wú)線傳感器網(wǎng)絡(luò)提出的密鑰管理機(jī)制主要有以下幾種方案。（1）預(yù)置全局密鑰，即所有節(jié)點(diǎn)共享同一個(gè)密鑰，這種方案最簡(jiǎn)單，使用代價(jià)小，但安全性差。（2）預(yù)置節(jié)點(diǎn)對(duì)密鑰[1]，即網(wǎng)絡(luò)中每一對(duì)節(jié)點(diǎn)間共享一個(gè)不同的密鑰，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大全網(wǎng)密鑰總量將快速上升，且為新插入的節(jié)點(diǎn)分配共享密鑰困難。（3）隨機(jī)密鑰預(yù)分配[2-5]，每個(gè)節(jié)點(diǎn)的通信代價(jià)與網(wǎng)絡(luò)規(guī)模無(wú)關(guān)，但密鑰存儲(chǔ)量將隨網(wǎng)絡(luò)規(guī)模增大而線性增加。（4）基于密鑰分發(fā)中心（KDC）的密鑰分配，基站作為 KDC，每個(gè)節(jié)點(diǎn)與基站間共享一個(gè)不同的密鑰，其他節(jié)點(diǎn)間的密鑰基于基站建立。通信量較大，適用于小規(guī)模網(wǎng)絡(luò)，一旦KDC受到威脅，整個(gè)網(wǎng)絡(luò)的安全性將崩潰。（5）公鑰密碼體制，一般將消耗較多的計(jì)算量、存儲(chǔ)空間和能量，實(shí)用性差。結(jié)合這些方案的特點(diǎn)，一些學(xué)者提出了混合密鑰管理方案[6-10]。公鑰加密方式公認(rèn)是最安全的加密方式，而對(duì)稱加密資源占用少、加密速度快，故結(jié)合這兩者的優(yōu)點(diǎn)提出的管理方案既能滿足無(wú)線傳感器網(wǎng)絡(luò)的安全性，又解決了公鑰密碼體制開(kāi)銷大的問(wèn)題。參考文獻(xiàn)[6]提出的密鑰管理方案，使用無(wú)人機(jī)（UAV）分配密鑰，減少了節(jié)點(diǎn)對(duì)基站的依賴。允許節(jié)點(diǎn)間自行更新會(huì)話對(duì)密鑰，從而降低非對(duì)稱密鑰更新周期，降低網(wǎng)絡(luò)開(kāi)銷，同時(shí)延長(zhǎng)網(wǎng)絡(luò)壽命。但是，此方案在消息傳輸過(guò)程中僅使用對(duì)稱密鑰進(jìn)行加密，容易受到消息偽造、篡改以及重放攻擊。本文針對(duì)此方案的這些特點(diǎn)，引入了時(shí)間門限，能夠快速有效地判斷節(jié)點(diǎn)是否受到消息偽造攻擊；加入能量標(biāo)識(shí)能夠快速檢測(cè)出節(jié)點(diǎn)是否為網(wǎng)絡(luò)中的有效節(jié)點(diǎn)；消息完整性校驗(yàn)可以判斷出消息是否遭受篡改；而新鮮數(shù)RNX能有效防止重放攻擊。

1 方案設(shè)計(jì)

雖然對(duì)稱密碼體制可以在一定程度上解決保密通信問(wèn)題，但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，保密通信的需求越來(lái)越廣泛，對(duì)稱密碼體制的局限性逐漸明顯。首先，密鑰存儲(chǔ)量太大不易管理；其次不能支持陌生人間的通信；再次，難以從機(jī)制上提供數(shù)字簽名，也就不能實(shí)現(xiàn)通信中的抗抵賴需求。在公鑰加密體制中，密鑰對(duì)是不對(duì)稱的，公鑰基于公開(kāi)的渠道就可以實(shí)現(xiàn)分發(fā)，十分方便。而且對(duì)于支持?jǐn)?shù)字簽名的公鑰密碼體制，用兩個(gè)密鑰中任何一個(gè)密鑰加密的內(nèi)容，都可以用對(duì)應(yīng)的另一個(gè)密鑰解密，這就解決了對(duì)稱密碼體制中的密鑰管理、分發(fā)和數(shù)字簽名難題。由于傳感器節(jié)點(diǎn)計(jì)算和能量限制，大部分的研究者并不傾向于使用公鑰加密。研究表明，公鑰加密適用于無(wú)線傳感器網(wǎng)絡(luò)，而且ECC表現(xiàn)比RSA更有優(yōu)勢(shì)[11]。ECC的魅力在于可以用較小的密鑰提供和RSA相同水平的密鑰保護(hù)，對(duì)比如表1表示，而且ECC比RSA的效率更高。雖然公鑰加密比對(duì)稱加密消耗更多的能量，但是通過(guò)這種機(jī)制，所有無(wú)線傳感器網(wǎng)絡(luò)中廣播的信息都可以被認(rèn)證。因而，虛假信息可以被有效過(guò)濾，而且可以在不必要的時(shí)候不調(diào)用它們以減少功耗。

表1 等價(jià)強(qiáng)度的非對(duì)稱密鑰尺寸比較

本方案延用參考文獻(xiàn)[5]中采用ECC方式為節(jié)點(diǎn)提供認(rèn)證及安全性，采用RC4算法以提高通信速度[12]，并在原方案的基礎(chǔ)上加入時(shí)間門限、能量標(biāo)識(shí)及消息完整性校驗(yàn)，進(jìn)一步保證通信安全性。

1.1 節(jié)點(diǎn)密鑰分配準(zhǔn)備階段

節(jié)點(diǎn)在入網(wǎng)前，分配唯一標(biāo)識(shí)號(hào)ID、節(jié)點(diǎn)私鑰和無(wú)人機(jī)中移動(dòng)認(rèn)證中心MCA （Mobile Certification Authority）的公鑰PubMCA并在節(jié)點(diǎn)中存儲(chǔ)門限時(shí)間和能量標(biāo)識(shí)，時(shí)間門限TS設(shè)置為節(jié)點(diǎn)正常通信所用最大時(shí)間值，能量標(biāo)識(shí)E值為當(dāng)前節(jié)點(diǎn)能量。無(wú)人機(jī)存儲(chǔ)傳感器節(jié)點(diǎn)的ID及其公鑰。

1.2 節(jié)點(diǎn)會(huì)話密鑰建立階段

節(jié)點(diǎn)部署后，若兩個(gè)鄰節(jié)點(diǎn)想要安全通信，首先需知道對(duì)方的ID。得到鄰節(jié)點(diǎn)的ID后，傳感器節(jié)點(diǎn)執(zhí)行圖1所示的密鑰分配和加密模型中的步驟。

圖1 無(wú)線傳感器節(jié)點(diǎn)的密鑰分配和加密模型

模型的組成和操作如下。

（1）節(jié)點(diǎn)A和B是無(wú)線傳感器網(wǎng)絡(luò)中的兩個(gè)傳感器會(huì)話節(jié)點(diǎn)；

（2）MCA是位于 UAV中的移動(dòng)節(jié)點(diǎn)，它被用作分布式密鑰中心；

（3）KAB是節(jié)點(diǎn)A和B之間的會(huì)話對(duì)密鑰；

（4）{M}PubA意為用節(jié)點(diǎn)A的公鑰加密消息M；

（5）RNX為通信節(jié)點(diǎn)產(chǎn)生的隨機(jī)數(shù)；

（6）E為通信節(jié)點(diǎn)當(dāng)前能量值。

操作步驟如下。

（1）網(wǎng)絡(luò)中的節(jié)點(diǎn)（如節(jié)點(diǎn) A）對(duì)它的鄰節(jié)點(diǎn)（如節(jié)點(diǎn)B）廣播一則包含其ID的信息。

（2）接收到A的ID后，鄰節(jié)點(diǎn)B向MCA發(fā)送用PubMCA加密的節(jié)點(diǎn)IDA、IDB及新鮮數(shù)RN2的請(qǐng)求信息。

（3）MCA收到 B的請(qǐng)求信息后，向 B發(fā)送用 PubB加密的A的公鑰PubA和新鮮數(shù)RN2（確保發(fā)送者是MCA）。

（4）節(jié)點(diǎn)B用節(jié)點(diǎn)A的公鑰加密包含B的ID和一個(gè)隨機(jī)數(shù)（RN3）以及當(dāng)前節(jié)點(diǎn)能量的消息，這個(gè)隨機(jī)數(shù)用來(lái)認(rèn)證會(huì)話并防止會(huì)話遭受重放攻擊。

（5）節(jié)點(diǎn)A解密收到的消息，得到鄰節(jié)點(diǎn)的 ID和隨機(jī)數(shù)。然后，選取一個(gè)密鑰KAB和節(jié)點(diǎn)A的能量值EA及RN3一起用PubB（確保A應(yīng)答的對(duì)象是B）加密后返回。

通過(guò)上面的過(guò)程，所有的通信雙方都進(jìn)行了認(rèn)證，而且雙方節(jié)點(diǎn)間還設(shè)置了一對(duì)密鑰以保證通信安全。因此，所有這些節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)可以在有竊聽(tīng)者竊聽(tīng)節(jié)點(diǎn)之間的無(wú)線電通信和嘗試注入或修改網(wǎng)絡(luò)中的數(shù)據(jù)包的情況下提供認(rèn)證和保護(hù)。這種加密提供了令人滿意的安全性。

1.3 消息傳輸階段

節(jié)點(diǎn)會(huì)話密鑰建立后，節(jié)點(diǎn)間就可以進(jìn)行通信了。節(jié)點(diǎn)通信流程如圖2所示。

具體步驟如下。

（1）會(huì)話發(fā)起方如節(jié)點(diǎn)A將當(dāng)前消息M及用M和RN3生成的哈希函數(shù)一起用KAB加密后和當(dāng)前能量值發(fā)送給節(jié)點(diǎn)B（如圖2中最后一步）。

圖2 簇內(nèi)節(jié)點(diǎn)通信流程圖

（2）節(jié)點(diǎn)B收到加密消息后首先判斷A節(jié)點(diǎn)能量是否正常，異常則通知簇頭并刪除此節(jié)點(diǎn)，正常則再判斷通信時(shí)間是否超過(guò)時(shí)間門限，若有異常則上報(bào)簇頭對(duì)節(jié)點(diǎn)進(jìn)行認(rèn)證。如果都正常，則解密消息，然后對(duì)得到的消息進(jìn)行完整性校驗(yàn)，如不一致也上報(bào)簇頭對(duì)該節(jié)點(diǎn)進(jìn)行身份驗(yàn)證，一致后認(rèn)為消息是正確的。

通過(guò)上面的過(guò)程，雖然通話使用的加密方式簡(jiǎn)單，但是有時(shí)間門限及能量標(biāo)識(shí)，可以有效防止消息偽造及篡改攻擊；而消息完整性校驗(yàn)還可以防止消息重放攻擊；三者結(jié)合可以完美地保證節(jié)點(diǎn)會(huì)話消息的快速、安全傳輸。對(duì)異常節(jié)點(diǎn)進(jìn)行身份驗(yàn)證而不是直接舍棄增加了網(wǎng)絡(luò)的容錯(cuò)性，若節(jié)點(diǎn)通過(guò)認(rèn)證后則直接更新節(jié)點(diǎn)密鑰。

1.4 密鑰更新階段

本方案支持兩種密鑰更新：一種是節(jié)點(diǎn)會(huì)話密鑰的更新，這種密鑰更新周期比較短，密鑰更新時(shí)不需要MCA的參與，只要已建立密鑰的正常節(jié)點(diǎn)自己協(xié)商更新即可；一種是異常節(jié)點(diǎn)密鑰的更新，這種密鑰更新針對(duì)通信中出現(xiàn)異常的節(jié)點(diǎn)，在異常節(jié)點(diǎn)通過(guò)認(rèn)證后由簇頭給它的鄰節(jié)點(diǎn)發(fā)送密鑰更新消息，然后異常節(jié)點(diǎn)及它的鄰節(jié)點(diǎn)重新進(jìn)行節(jié)點(diǎn)會(huì)話密鑰建立階段的步驟即可。若異常節(jié)點(diǎn)未通過(guò)認(rèn)證，簇頭通知簇內(nèi)節(jié)點(diǎn)終止與其通信并更新所有簇內(nèi)節(jié)點(diǎn)密鑰。

這種密鑰更新方案，在保證安全通信的前提下，盡可能地減少了密鑰更新的消耗，進(jìn)而延長(zhǎng)了網(wǎng)絡(luò)壽命，增加網(wǎng)絡(luò)生存性。

2 性能評(píng)估

2.1 安全性

節(jié)點(diǎn)會(huì)話密鑰建立階段使用的是橢圓曲線加密體制，即使敵手竊聽(tīng)到了傳輸消息，由于沒(méi)有節(jié)點(diǎn)私鑰，由表1可知，要破解是困難的，故會(huì)話密鑰建立階段是安全的；在通信階段，使用RC4加密，但是其加解密速度都非常快，當(dāng)會(huì)話消息被竊聽(tīng)后，若敵方試圖偽造或篡改消息，必定會(huì)超過(guò)時(shí)間門限，很容易被發(fā)現(xiàn)；另外，由于加密消息中隨機(jī)數(shù)的存在，每次的隨機(jī)數(shù)都不同，防止了敵方進(jìn)行重放攻擊；假設(shè)節(jié)點(diǎn)被敵手物理捕獲，并試圖安放偽造節(jié)點(diǎn)，則節(jié)點(diǎn)能量信息可能不對(duì)，此時(shí)節(jié)點(diǎn)可有效過(guò)濾絕大部分偽造節(jié)點(diǎn)。原方案與本方案安全性對(duì)比如表2所示。

表2 原方案與本方案安全性對(duì)比

2.2 抗捕獲能力

預(yù)置全網(wǎng)共享密鑰方案，網(wǎng)絡(luò)中只要有一個(gè)節(jié)點(diǎn)被捕獲，則整個(gè)網(wǎng)絡(luò)密鑰泄露，網(wǎng)絡(luò)癱瘓；預(yù)置節(jié)點(diǎn)對(duì)密鑰[1]，一個(gè)節(jié)點(diǎn)被捕獲，其鄰節(jié)點(diǎn)密鑰泄露；隨機(jī)密鑰預(yù)分配方案[2，3]，一個(gè)節(jié)點(diǎn)被捕獲，節(jié)點(diǎn)中所存儲(chǔ)其他密鑰泄露，隨著被捕獲節(jié)點(diǎn)增多，整個(gè)網(wǎng)絡(luò)被攻破；基于對(duì)稱多項(xiàng)式方案對(duì)密鑰分配方案[4]，當(dāng)網(wǎng)絡(luò)中被捕獲的節(jié)點(diǎn)數(shù)不大于二元對(duì)稱多項(xiàng)式的次數(shù)時(shí)，網(wǎng)絡(luò)中其他節(jié)點(diǎn)是安全的，但是一旦超過(guò)t個(gè)節(jié)點(diǎn)，網(wǎng)絡(luò)中的節(jié)點(diǎn)密鑰將泄露；混合密鑰管理方案[6]中節(jié)點(diǎn)被捕獲后，僅泄露鄰節(jié)點(diǎn)與此節(jié)點(diǎn)當(dāng)前的共享密鑰；而本方案由于加強(qiáng)安全措施，能及時(shí)發(fā)現(xiàn)節(jié)點(diǎn)異常并執(zhí)行節(jié)點(diǎn)密鑰更新方案，更新簇中其他節(jié)點(diǎn)的密鑰，故不會(huì)對(duì)除被捕獲節(jié)點(diǎn)外的其他節(jié)點(diǎn)造成影響，比混合密鑰管理方案的抗捕獲能力更強(qiáng)。

2.3 節(jié)點(diǎn)能量消耗

節(jié)點(diǎn)會(huì)話過(guò)程中，假設(shè)節(jié)點(diǎn)正常通信的概率為Pn，節(jié)點(diǎn)正常通信所需能量為En；假設(shè)節(jié)點(diǎn)遭受偽造、篡改、重放攻擊的概率相等，即都為（1-Pn）/3，通信所需能量分別為Ef、Ec和Er；假設(shè)節(jié)點(diǎn)判斷是否超時(shí)及能量異常所需能量為Ej，解密后進(jìn)行哈希運(yùn)算所需能量為Eh。則原方案節(jié)點(diǎn)通信所需平均能量為 E=Pn·En+（1-Pn）/3（Ef+Ec+Er），其中Ef≈Ec≈Er≈En，所以，≈En。 本方案節(jié)點(diǎn)通信所需平均能量為=Pn（En+Ej+Eh）+（1-Pn）（En+Eh）/3，其中，Ej＜＜Eh＜En，Ej可忽略 不計(jì) ，故=Pn（En+Eh）+（1-Pn）（En+Eh）/3，而 假 設(shè) Eh=0.01En（事 實(shí) 上 ）[4]，圖 3為原方案與本方案能量對(duì)比。

由圖3可知，由于本方案有門限，能很快判斷出節(jié)點(diǎn)異常，無(wú)需對(duì)消息進(jìn)行解密，因而本方案比原方案節(jié)省了通信能量開(kāi)銷。只在大于0.995時(shí)，節(jié)點(diǎn)能量開(kāi)銷比原方案略大，且本方案在越惡劣的環(huán)境中表現(xiàn)出的性能越優(yōu)越。

在無(wú)線傳感器網(wǎng)絡(luò)中使用混合密鑰管理，可以讓不同加密方法優(yōu)勢(shì)互補(bǔ)。網(wǎng)絡(luò)連通率、節(jié)點(diǎn)抗捕獲能力較密鑰預(yù)分配方案都有很好的提高；隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，節(jié)點(diǎn)密鑰存儲(chǔ)量比密鑰預(yù)分配方案大規(guī)模減少，在內(nèi)存占用和消耗上也有很大優(yōu)勢(shì)。通過(guò)簡(jiǎn)單的門限，能有效防止節(jié)點(diǎn)遭受消息偽造、篡改、重放及傳感器節(jié)點(diǎn)偽造攻擊，進(jìn)而節(jié)省開(kāi)銷，延長(zhǎng)網(wǎng)絡(luò)壽命。同時(shí)，本方案降低了對(duì)簇頭和基站的依賴，更適合分布在惡劣的環(huán)境中。但是此方案也有不足之處，當(dāng)大量節(jié)點(diǎn)被捕獲或者大面積網(wǎng)絡(luò)中斷時(shí)，需要認(rèn)證的節(jié)點(diǎn)將會(huì)很多，此時(shí)節(jié)點(diǎn)認(rèn)證消耗比較大。

圖3 原方案與本方案能量對(duì)比

[1]PENRIG A， SONG D， TYGAR D E.A new protocol for efficient large-group key distribution[C].Security and Privacy Proceedings， 2001：247-262.

[2]ESCHENAUER L，GLIGOR V D.A key-management scheme for distributed sensor Networks[C].Proceedings of the 9thACM Conferenceon ComputerandCommunications Security， Wireless Communications， IEEE Transations on ACM，2008：41-47.

[3]CHAN H， PERRIG A， SONG D.Random key predistribution schemes for sensor networks[C].Security and Privacy Proceedings， 2003： 197-213.

[4]LIU D，NING P.Location-based pairwise key establishments for static sensor networks[C].Proceedings of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks， ACM， 2003：72-82.

[5]袁猷南.無(wú)線傳感器網(wǎng)絡(luò)對(duì)密鑰分配算法研究[D].浙江：杭州電子科技大學(xué)，2012

[6]SAHINGOZ O K.Large scale wireless sensor networks with multi-level dynamic key management scheme[J].Journal of Systems Architecture， 2013：1-7.

[7]閆培玲.基于簇結(jié)構(gòu)的WSN混合密鑰管理方案的研究[D].開(kāi)封：河南大學(xué)，2010.

[8]李蘭英，胡磊，姜秀麗.分簇?zé)o線傳感器網(wǎng)絡(luò)的動(dòng)態(tài)混合密鑰管理策略[J].計(jì)算機(jī)應(yīng)用研究，2009，26（3）：1112-1116.

[9]SONG Y，ZHANG Y.A mixed key management scheme of clustering wireless sensor network[C].Computer Application and System Modeling （ICCASM），2010（7）： 198-201.

[10]劉夢(mèng)君，劉樹波，劉泓暉，等.異構(gòu)無(wú)線傳感器網(wǎng)絡(luò)動(dòng)態(tài)混合密鑰管理方案研究[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2012，47（11）：67-73.

[11]WANDER A S， GURA N， EBERLE H， et al.Energy analysisofpublic-key cryptography forwirelesssensor networks[C].Pervasive Computing and Communications，PerCom，2005：324-328.

[12]PRASITHSANGAREE P，KRISHNAMURTHY P.Analysis of energy consumption of RC4 And AES algorithms in wireless LANs[C].Global Telecommunications Conference，GLOBECOM′03， 2003： 1445-1449.

[13]GUO M H， DENG D J.Centralised conferencekey mechanism with elliptic curve cryptography and lagrange interpolation for sensor networks[J].IET Communications，2011， 5（12）： 1727-1731.

[14]ALTHOBAITI O S，ABOALSAMH H A.An enhanced elliptic curve cryptography for Biometric[C].Computing and Convergence Technology， 2012：1048-1055.

[15]YU Q， ZHANG C N， HUANG X.An RC4-based hash function for ultra-low power devices[C].Computer Engineering and Technology （ICCET），2010（1）： 323-328.

[16]NICHOLS R K，LEKKAS P C.無(wú)線安全：模型、威脅和解決方案[M].姚蘭，惠俊紅，鄭家玲，等，譯.北京：人民郵電出版社，2004.