WSN中基于公鑰體制的輕量級密鑰管理方案

劉 芬，葉明全，郭鴻飛，陳 希，孫成浩，王培培

（1.皖南醫(yī)學院弋磯山醫(yī)院醫(yī)學信息中心，安徽蕪湖241001；皖南醫(yī)學院2.醫(yī)學信息學院；3.健康大數(shù)據(jù)挖掘與應(yīng)用研究中心，安徽蕪湖241002）

無線傳感器網(wǎng)絡(luò)（WSN）作為物聯(lián)網(wǎng)的重要組成部分，在環(huán)境監(jiān)測、醫(yī)療衛(wèi)生、智能家居、國防軍事等領(lǐng)域具有廣泛的應(yīng)用前景。WSN通常由大量廉價的微型無線傳感器節(jié)點組成，與傳統(tǒng)的網(wǎng)絡(luò)相比，WSN節(jié)點在計算能力、存儲空間、帶寬大小、通信能力等方面受限。這些節(jié)點通常部署在無人值守和極易受到威脅的環(huán)境，通過自組織方式采集、監(jiān)控管理區(qū)域的信息，因而其安全性備受關(guān)注。WSN的安全性可基于密鑰的管理上，傳統(tǒng)的WSN密鑰管理方案大多是基于對稱密鑰密碼體制，如E-G[1]，q-Composite[2]，HIDS[3]。對稱密鑰密碼體制有固有的弱點，因而近年來公鑰密碼體制在WSN中得到了廣泛的研究。公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制[4]，與對稱密碼體制相比，它具有眾多獨特優(yōu)勢，但加解密計算量較大。目前，針對WSN已出現(xiàn)多種基于公鑰密碼體制的協(xié)議，它們各具特點。Perrig等提出的SPINS協(xié)議中[5]，任何節(jié)點配對密鑰的生成、數(shù)據(jù)包的認證都必須通過Sink來完成，一旦Sink受損，整個網(wǎng)絡(luò)的安全都會受到威脅，Sink成為SPINS協(xié)議的瓶頸，該協(xié)議不適合在大規(guī)模的網(wǎng)絡(luò)中應(yīng)用。在Zhu提出的LEAP協(xié)議[6]中，任何節(jié)點被捕獲都不會影響其他節(jié)點的安全性，但如果主密鑰暴露，則整個網(wǎng)絡(luò)的機密信息都會暴露。Shamir等提出了基于身份密碼體制(IBC)的密鑰預分配方案[7]，在該方案中節(jié)點的公鑰是由公開信息直接推導獲得，無須對公鑰進行認證，降低了計算和通信開銷，比較適用于WSN特性，且具有很強的容錯能力，任何節(jié)點被捕獲都不會暴露其他節(jié)點的機密信息；但若主密鑰暴露，則整個網(wǎng)絡(luò)的安全都會受到威脅；此外，使用IBC部署的網(wǎng)絡(luò)，節(jié)點位置相對固定，不適用于動態(tài)WSN。公鑰密碼體制中，橢圓密碼體制（ECC）具有更優(yōu)的性能，基于ECC的密鑰預分配方案[8]，安全強度在計算意義上要遠遠高于傳統(tǒng)的基于對稱密鑰的密鑰管理方案。Huang等提出ECC與對稱密鑰密碼體制相混合的密鑰管理協(xié)議[9]來解決異構(gòu)傳感網(wǎng)（HWSN）中節(jié)點之間公鑰的認證問題，在該協(xié)議中，ECC所產(chǎn)生的計算和通信開銷主要集中于FFD節(jié)點，通過這種協(xié)議可以延長網(wǎng)絡(luò)的壽命。Jiang等[10]提出了基于ECC的密鑰管理方案，此方案主要采用了身份認證和ECC兩種技術(shù)，連通性能達到100%，并且支持節(jié)點的動態(tài)加入和撤銷，但是沒有很好地解決簇頭的選擇問題，容易導致節(jié)點能量的耗盡。Kishore等[11]提出了一種基于ECC的密鑰預分配技術(shù)，相對于其他的密鑰共享技術(shù)如Blom和E-G方案，此方案在內(nèi)存使用、能量消耗等方面做了改進，但連通性較差。本文在上述研究的基礎(chǔ)上，提出基于公鑰體制的輕量級密鑰管理方案（LWKM），保證網(wǎng)絡(luò)的安全通信。

1 輕量級的密鑰管理技術(shù)

1.1 攻擊模型

對WSN隱私數(shù)據(jù)帶來威脅的攻擊方式分為外部攻擊和內(nèi)部攻擊兩種模型[12]。WSN中節(jié)點間采用無線通信方式進行數(shù)據(jù)傳輸，攻擊者通過鏈路層竊聽可獲取敏感數(shù)據(jù)，這種攻擊方式稱為外部攻擊。攻擊者對捕獲的節(jié)點進行分析，能夠獲取被捕獲節(jié)點的所有數(shù)據(jù)，掌握相應(yīng)的安全信息，并成為網(wǎng)絡(luò)的參與者，從網(wǎng)絡(luò)內(nèi)部發(fā)起有針對性的惡意攻擊，這種攻擊方式稱為內(nèi)部攻擊，如圖1所示。節(jié)點捕獲攻擊與節(jié)點復制攻擊是典型的內(nèi)部攻擊方式。進行節(jié)點捕獲攻擊時，攻擊者捕獲傳感器節(jié)點，并對節(jié)點中代碼和數(shù)據(jù)進行分析從而獲得其ID（記為I）信息與密鑰信息；進行節(jié)點復制攻擊時，攻擊者復制出大量相同的節(jié)點，這些節(jié)點被部署在網(wǎng)絡(luò)中實施各種攻擊和破壞。

1.2 網(wǎng)絡(luò)模型

本文對整個網(wǎng)絡(luò)做如下假定：（1）本文是基于三層傳感器網(wǎng)絡(luò)模型，它是由少量資源豐富的高資源節(jié)點和大量資源受限的傳感器節(jié)點（SN）組成，高資源節(jié)點作為匯聚結(jié)點（SINK），SINK節(jié)點負責數(shù)據(jù)收集和數(shù)據(jù)融合。資源受限的傳感器節(jié)點之間構(gòu)成下層網(wǎng)絡(luò)，將感知數(shù)據(jù)傳送至簇頭（CH）節(jié)點。CH節(jié)點與SINK節(jié)點之間通過低速無線鏈路進行短距離低速率通信，形成中層網(wǎng)絡(luò)。SINK節(jié)點與基站（BS）之間通過高速無線鏈路進行長距離高速率通信，形成上層網(wǎng)絡(luò)。（2）網(wǎng)絡(luò)中的節(jié)點是靜止的，部署以后，不具備自主移動能力，且每個節(jié)點都有一個標識其身份的I號。（3）根據(jù)地理位置的遠近，網(wǎng)絡(luò)被劃分為許多簇，即物理位置上鄰近的節(jié)點為一個簇，幾個相鄰的簇和同一個SINK節(jié)點相連。（4）CH節(jié)點的產(chǎn)生采用LEACH[13]協(xié)議。（5）網(wǎng)絡(luò)中的節(jié)點部署后通過各種定位方法可獲得每個節(jié)點的近似位置pi。（6）BS是安全的，不能被攻擊者捕獲。網(wǎng)絡(luò)模型如圖2所示。

1.3 密鑰管理方案LWKM

本方案由兩個階段組成，其中部署前階段選取適當?shù)臋E圓曲線參數(shù)a,b和p確定一個唯一的橢圓曲線，在橢圓曲線上選取若干點構(gòu)造一個密鑰池，每一個節(jié)點的種子密鑰在密鑰池中選取，并將簇密鑰K分別存儲到SINKi節(jié)點與BS。部署階段SINK節(jié)點廣播簇密鑰K到相應(yīng)的CH節(jié)點，CH節(jié)點廣播簇密鑰K到相應(yīng)的SN節(jié)點，然后進行節(jié)點之間會話密鑰的建立。當有成員節(jié)點加入或離開網(wǎng)絡(luò)時更新K與會話密鑰。

圖1 內(nèi)部攻擊模型

圖2 網(wǎng)絡(luò)模型示意圖

（1）配對密鑰生成。根據(jù)橢圓曲線參數(shù)a,b和p，確定一個唯一的橢圓曲線，其中，F(xiàn)p是有限閾，p為質(zhì)素，a,b為滿足4a3+27b2≠0(mod p)且小于p的非負整數(shù)。密鑰分配采用協(xié)商方式，分為SINK與BS之間會話密鑰的建立、CH與SINK之間會話密鑰的建立、SN與CH之間會話密鑰的建立以及SN與SN之間會話密鑰的建立。

（2）會話密鑰建立。BS使用ECC方法為每一個SINK節(jié)點產(chǎn)生配對的公鑰和私鑰。在網(wǎng)絡(luò)部署前，BS將相應(yīng)節(jié)點的公鑰、私鑰通過安全接口預先載入節(jié)點中。SINK節(jié)點與BS之間采用的是非對稱加密，雙方通過握手方式分別獲得對方的公鑰。SINK計算：KSINK-BS=SKSINKPKBS=SKSINKSKBSP；BS計算：KBS-SINK=SKBSPKSINK=SKSINKSKBSP，KSINK-BS或KBS-SINK為SINK與BS進行通信的會話密鑰。CH節(jié)點與SINK節(jié)點、SN節(jié)點與CH節(jié)點、SN節(jié)點與SN節(jié)點之間采用的是對稱加密，在橢圓曲線上選取若干點作為每個節(jié)點的種子密鑰，密鑰分配采用協(xié)商方式。

（i）CH和SINK之間會話密鑰的建立。

（ii）SN和CH之間會話密鑰的建立。

（iii）SN和SN之間會話密鑰的建立。

其中‘+’表示ECC中點的加法，(x,y)SINK為匯聚節(jié)點的種子密鑰，(x,y)CH為簇頭節(jié)點的種子密鑰，(x,y)SN為普通傳感器節(jié)點的種子密鑰。(x,y)CH-SINK或者(x,y)SINK-CH表示CH節(jié)點和SINK節(jié)點之間的會話密鑰，(x,y)SN-CH或者(x,y)CH-SN表示SN節(jié)點和CH節(jié)點之間的會話密鑰，(x,y)SNi-SNj或者(x,y)SNj-SNi表示SN節(jié)點和SN節(jié)點之間的會話密鑰，當兩個節(jié)點通信時用會話密鑰對消息進行加密處理。

K是在密鑰分配階段使用的密鑰，滿足K∈Fp，其作用是在密鑰分配階段對消息進行加密處理。K的產(chǎn)生和更新過程：BS作為網(wǎng)絡(luò)管理者負責K的分發(fā)和更新操作，各個SINK節(jié)點都是BS的登記用戶，且與BS通過ECC密鑰互換算法（ECDH）建立會話密鑰KSINKi-BS，對于有N個SINK節(jié)點的WSN，BS擁有N+1個密鑰，其中有一個是K，另外N個是BS與各個SINK節(jié)點的會話密鑰（用于加密BS與各SINK的個別通信）。

（3）密鑰更新

（i）密鑰K更新過程。當有節(jié)點加入或離開網(wǎng)絡(luò)時，為了保證前向和后向安全性，BS產(chǎn)生新的簇密鑰分發(fā)給各SINK節(jié)點，各SINK節(jié)點將簇密鑰分發(fā)給各個簇，其中密鑰更新報文為，其中表示用密鑰K對x進行加密。

（ii）會話密鑰更新過程。當有節(jié)點加入或離開網(wǎng)絡(luò)時，簇密鑰進行更新，進而進入會話密鑰建立階段，更新網(wǎng)絡(luò)中所有CH節(jié)點與SINK節(jié)點、SN節(jié)點與CH節(jié)點、SN節(jié)點與SN節(jié)點之間的會話密鑰。

2 性能分析

2.1 連通性與可擴展性

本方案通過密鑰協(xié)商方式建立節(jié)點間的會話密鑰，SINK節(jié)點與BS、CH節(jié)點與SINK節(jié)點、SN節(jié)點與CH節(jié)點、SN節(jié)點與SN節(jié)點之間都建立了會話密鑰，故網(wǎng)絡(luò)連通性近似等于1。本方案是基于三層傳感器網(wǎng)絡(luò)模型，具有較好的網(wǎng)絡(luò)可擴展性。

2.2 資源開銷

節(jié)點的資源開銷包括計算開銷、通信開銷和存儲開銷。計算開銷是節(jié)點生成會話密鑰時計算所消耗的能量，本方案主要是密鑰協(xié)商時種子密鑰間的點加開銷與點乘開銷，兩個會話節(jié)點建立會話密鑰的開銷為O(1)，整個網(wǎng)絡(luò)會話密鑰的建立共需要O(n)的時間開銷，適合于WSN節(jié)點計算能力有限的特點。節(jié)點的通信開銷是節(jié)點生成會話密鑰時發(fā)送和接受消息所消耗的能量，該方案的通信開銷主要是簇密鑰更新時的開銷，而簇密鑰的分發(fā)采用廣播的方式，有效地解決了通信開銷問題。存儲開銷即為建立會話密鑰所需的存儲空間，這里選取橢圓曲線上的點作為最初的種子密鑰，由阿貝爾（Abel）加法群的性質(zhì)可知通過密鑰協(xié)商建立的會話密鑰仍然是橢圓曲線上一點，降低了存儲開銷。表1通過計算開銷、通信開銷、存儲開銷對LWKM方案與E-G、q-Composite、HIDS方案進行對比分析。可知LWKM方案會話密鑰建立過程使用密鑰協(xié)商方式雖然增加了橢圓曲線上的點加運算與點乘運算，計算時間有所增加，但因為在WSN中通信成本要遠遠高于計算成本，運行一次點乘運算的能耗不超過1.5m J[14]。LWKM方案大大降低了傳輸?shù)男畔⒘?，所以與其他方案相比其運行效率更高，能耗也最少。

表1 密鑰管理方案的性能比較

2.3 安全性

本文采用逐跳加密方式（hop-by-hop encryption）可以有效地應(yīng)對外部攻擊，通過會話密鑰建立過程，網(wǎng)絡(luò)中相互通信的節(jié)點之間知道對方的I信息。當相同I號的節(jié)點離開網(wǎng)絡(luò)，又加入網(wǎng)絡(luò)時，其所連接的上層節(jié)點將此節(jié)點的I號以及時間戳發(fā)送給BS，BS判斷缺席時間，如果缺席時間ΔT大于時間域值T′，則該節(jié)點被判定為捕獲節(jié)點。若T′取值過大，則檢測靈敏度下降，容易漏檢；若T′取值過小，正常節(jié)點會被誤判為捕獲節(jié)點，造成誤檢。這兩種情況都會影響網(wǎng)絡(luò)的正常通信，故T′的選取非常重要。本文假設(shè)網(wǎng)絡(luò)部署初期是安全的，由BS統(tǒng)計所有相同I號的節(jié)點離開網(wǎng)絡(luò)后又加入網(wǎng)絡(luò)的缺省時間ΔT，時間閾值T′的取值為T′>max(ΔT)。BS刪除網(wǎng)絡(luò)中具有此ID號的所有節(jié)點，如圖3所示。

節(jié)點離開或加入網(wǎng)絡(luò)時，網(wǎng)絡(luò)都進行會話密鑰更新，故復制節(jié)點不可能以原來的會話密鑰進行通信，必須作為新加入節(jié)點進行會話密鑰協(xié)商。若有多個相同I號的節(jié)點與當前節(jié)點進行會話密鑰協(xié)商，當前節(jié)點將此I號發(fā)送給BS，由BS刪除網(wǎng)絡(luò)中的這些復制節(jié)點。網(wǎng)絡(luò)中復制節(jié)點檢測場景為一個矩形監(jiān)測區(qū)域被劃分為m個小區(qū)域，有n個復制節(jié)點，n個復制節(jié)點隨機散布在m個小區(qū)域中。網(wǎng)絡(luò)中檢測復制節(jié)點的概率模型滿足貝努利概型，同一個小區(qū)域至少有2個復制節(jié)點的概率（檢測到復制節(jié)點的概率）為，其中?？芍S著復制節(jié)點個數(shù)n的增加，檢測到復制節(jié)點的概率越大。網(wǎng)絡(luò)中檢測不到復制節(jié)點是在任意兩個復制節(jié)點均不處于同一個小區(qū)域，如圖4所示。但由于復制節(jié)點分散在每個小區(qū)域中，BS可檢測到相同I號的節(jié)點處于不同的區(qū)域，故判定為復制節(jié)點，進而刪除網(wǎng)絡(luò)中具有此I號的所有節(jié)點。

圖3 捕獲節(jié)點檢測示意圖

圖4 復制節(jié)點檢測示意圖

3 仿真實驗結(jié)果與分析

本文采用NS-2進行仿真，傳感器節(jié)點部署在1000m×1000m的區(qū)域中，整個網(wǎng)絡(luò)有2個SINK節(jié)點，簇的半徑為400m，初始能量為10 J，采用無線信道，路由協(xié)議采用LEACH協(xié)議，MAC層協(xié)議使用的是IEEE 802.15.4，數(shù)據(jù)包大小為512 bits。對E-G，q-Composite，HIDS在網(wǎng)絡(luò)連通性、可擴展性、資源開銷和安全性上進行對比實驗。

（1）網(wǎng)絡(luò)連通性。WSN的網(wǎng)絡(luò)連通性是指在隨機圖G(Q，p)中相鄰節(jié)點間建立安全鏈路的概率，Q為全網(wǎng)絡(luò)的節(jié)點數(shù)，p為建立安全鏈路的概率值。如果每個節(jié)點與足夠的鄰居節(jié)點共享通信密鑰，則G(Q，p)可構(gòu)成全連通圖。圖5為網(wǎng)絡(luò)連通性與鄰居節(jié)點個數(shù)之間的關(guān)系，可以看出使用LWKM方案的網(wǎng)絡(luò)，網(wǎng)絡(luò)連通性高于E-G、q-Composite兩種方案。由于本文方案的網(wǎng)絡(luò)連通性近似等于1，而q-Composite方案是一種基于概率的模型，并不能保證所有的節(jié)點都能找到彼此的會話密鑰，因此連通性受到一定限制，其密鑰連通概率為其中S為密鑰池，m為選取的密鑰個數(shù)，q為共享密鑰閾值。E-G方案是q-Composite方案中當q=1時的情況，其密鑰連通概率為其中k為密鑰環(huán)的大小，P為密鑰池的大小。

（2）網(wǎng)絡(luò)可擴展性。WSN的節(jié)點規(guī)模少則十幾個或幾十個，多則成千上萬。隨著規(guī)模的擴大，密鑰協(xié)商所需的計算、存儲和通信開銷都會隨之增大，密鑰管理方案必須能夠適應(yīng)不同規(guī)模的WSN。圖6反映了在不同網(wǎng)絡(luò)規(guī)模下使用4種方案的網(wǎng)絡(luò)總數(shù)據(jù)量。從仿真結(jié)果可以看出，相對于E-G、q-Composite、HIDS方案，在不同的網(wǎng)絡(luò)規(guī)模下，LWKM方案網(wǎng)絡(luò)中節(jié)點發(fā)送且被成功接收的總數(shù)據(jù)量（最終BS收到的數(shù)據(jù)量）都高于其他方案，即比其他方案具有更好的可擴展性，體現(xiàn)了LWKM方案采用三層傳感器網(wǎng)絡(luò)模型能夠適應(yīng)不同規(guī)模網(wǎng)絡(luò)的特性。

（3）資源開銷。網(wǎng)絡(luò)的資源開銷過大會導致網(wǎng)絡(luò)壽命縮短，影響網(wǎng)絡(luò)監(jiān)測任務(wù)的實施。圖7為網(wǎng)絡(luò)中分別使用LWKM、HIDS、E-G、q-Composite 4種方案的仿真時間與剩余能量關(guān)系，可以看出LWKM、HIDS、E-G、q-Composite4種方案的資源消耗率分別為16%、17%、20%、22%，LWKM方案相對于其他方案具有更低的資源消耗率。由于LWKM方案中簇密鑰的分發(fā)采用廣播方式，有效地解決了通信開銷問題，并且最初的種子密鑰是橢圓曲線上一點，最終建立的會話密鑰仍然是曲線上一點，降低了存儲開銷。

（4）安全性。網(wǎng)絡(luò)的安全性是指抵御惡意節(jié)點攻擊的能力。圖8為網(wǎng)絡(luò)中檢測到惡意節(jié)點個數(shù)與仿真時間的關(guān)系，可以看出LWKM方案較HIDS、E-G、q-Composite 3種方案具有較好的安全性能。由于應(yīng)用逐跳加密方式有效地解決了外部攻擊，且通過引入簇密鑰K，使得當有新成員節(jié)點加入或成員節(jié)點離開時會話密鑰都進行了更新，有效地避免了節(jié)點捕獲攻擊、節(jié)點復制攻擊。

圖5 網(wǎng)絡(luò)連通性

圖6 網(wǎng)絡(luò)總數(shù)據(jù)量

圖7 網(wǎng)絡(luò)剩余能量

圖8 入侵節(jié)點個數(shù)

4 結(jié)束語

設(shè)計有效的密鑰管理方案實現(xiàn)WSN的安全保護，目前已經(jīng)成為研究熱點。密鑰管理往往是在安全性和通信開銷中取得一個折中，本方案中簇密鑰的分發(fā)采用廣播的方式有效地降低密鑰更新時的通信開銷。運用橢圓曲線上點的加法的可交換性，在密鑰分配階段通過密鑰協(xié)商方式建立了BS與SINK節(jié)點、SINK節(jié)點與CH節(jié)點、CH節(jié)點與SN節(jié)點以及SN節(jié)點與SN節(jié)點之間的會話密鑰。引入簇密鑰K，實現(xiàn)密鑰的實時更新，保證了通信的安全性。旁路攻擊、Sybil攻擊、節(jié)點合謀攻擊、中間人攻擊等問題，將是下一步工作研究的重點。