無線傳感器網(wǎng)絡(luò)中長生命期的自愈組密鑰分配方案*

王秋華，趙澤茂

(杭州電子科技大學通信工程學院，杭州 310018)

近年來，無線傳感器網(wǎng)絡(luò)(Wireless Sensor Networks，WSNs)被廣泛運用于軍事戰(zhàn)場和民用環(huán)境［1］。組通信使消息在網(wǎng)絡(luò)中高效傳輸，是WSNs中的一種重要的通信方式。但由于WSNs自身結(jié)構(gòu)上的特點［2］:開放的通信介質(zhì)、動態(tài)變化的拓撲結(jié)構(gòu)、節(jié)點資源受限、節(jié)點缺乏足夠的保護，可能會被捕獲和毀壞等特性，使得WSNs中的組通信面臨著許多新的安全威脅，要求采取有效的安全措施。在組通信中，通常采用僅有組成員節(jié)點(sensor node)共享的組密鑰(也稱組會話密鑰)加密傳輸?shù)男畔肀ＷC信息的機密性和完整性［1］。同時，當組成員關(guān)系發(fā)生變化時必須及時安全的更新會話密鑰。因此加何安全地分發(fā)會話密鑰以及實時地進行密鑰更新成為組通信中密鑰管理的一大挑戰(zhàn)。但由于WSNs網(wǎng)絡(luò)傳輸?shù)牟豢煽啃院鸵讈G失性，組成員節(jié)點可能接收不到組會話密鑰更新廣播包，導致通信無法正常進行。為解決在組密鑰分配和更新過程中數(shù)據(jù)包丟失的情況，減輕重傳密鑰更新廣播包所帶來的網(wǎng)絡(luò)阻塞，J.Staddon等人提出了具有自愈能力的組密鑰分配的概念和方案［3］，它可在非可靠，易丟失的網(wǎng)絡(luò)中通過廣播方式為組成員更新組密鑰。即使當會話密鑰更新廣播包丟失后，合法組成員節(jié)點也能夠根據(jù)預先分配的節(jié)點私鑰信息，獨立地從密鑰更新廣播包中恢復出丟失的組會話密鑰，而無需組密鑰管理中心節(jié)點進行重傳，減少了網(wǎng)絡(luò)通信開銷和組密鑰管理中心節(jié)點的負擔，減少了通過流量分析暴漏節(jié)點信息的危險［3］。這些較強的應用優(yōu)勢，使其備受關(guān)注，成為研究的熱點，先后提出了多種方案［4－14］。但目前提出的這些方案在運行時間和成員撤銷方面都存在著問題。

(1)在運行時間方面:在具有自愈能力的組密鑰分發(fā)方案中，組密鑰管理中心節(jié)點把整個通信過程分為若干輪，每一輪通信包含m次會話。因此，當m次會話結(jié)束后，為了繼續(xù)進行新一輪的m個會話，需要對方案重新進行初始化設(shè)置，即組密鑰管理中心節(jié)點必須重新給組成員節(jié)點傳送節(jié)點私鑰。顯然，這使得組密鑰管理中心和組成員交互的次數(shù)增加，通信開銷增大。稱此問題為方案生命期延長問題。利用指數(shù)運算，J.Staddon［3］等人提出了一種long-lived方案來延長方案的安全運行時間，而無需組密鑰管理中心在每輪通信開始時重新給組成員傳送節(jié)點私鑰。但是由于該方案使用指數(shù)運算，計算開銷增大，而且如文獻［3，6］中所述，該 long-lived方案還存在兩個主要問題:(a)如果某個組成員沒有收到私鑰更新信息，則無法更新私鑰;(b)在某個會話運行期加入的新成員，即使收到私鑰更新信息，也無法更新用于本次會話的私鑰。R.Dutta等人［8］利用加/解密函數(shù)提出一種自愈組密鑰分發(fā)方案，試圖通過重利用組成員私鑰來解決方案生命期的延長問題。然而，V.Daza等人［10］證明 R.Dutta的方案是不安全的。

(2)節(jié)點的撤銷方面:在現(xiàn)有的方案中，當某個傳感器節(jié)點在某個會話期加入組通信時，它會收到用于之后所有會話期的私鑰。因此，為了永久撤銷某個節(jié)點，組密鑰管理中心必須在每個會話期存儲所有已被撤銷節(jié)點的ID標識，稱此為完全撤銷。完全撤銷使得自愈組密鑰分布方案具有較短的生命期。

為解決此問題，本文提出一種高效的長生命期的自愈組密鑰分發(fā)方案，方案在以下3個方面作了改進:

(1)解決了目前現(xiàn)有方案中生命期的延長問題。方案基于δ－滑動窗口模式，在方案中，組成員節(jié)點的私鑰在每個會話期都進行更新，延長了方案的安全運行時間，方案可以支持無限個會話。

(2)方案中，組成員的存儲開銷大大減少，組密鑰管理中心也只需存儲在δ+1個會話中撤銷的節(jié)點的ID標識，稱其為部分撤銷。

(3)方案降低了通信開銷，節(jié)省了能耗。

1 系統(tǒng)安全模型

1.1 系統(tǒng)參數(shù)設(shè)置

假設(shè)在WSNs中每個通信組由一個組密鑰管理中心節(jié)點(KS，key server)和n個組成員節(jié)點(sensor node)組成。每個組成員節(jié)點都有其唯一的身份標識 ID 號i，i∈{1，…，n}。設(shè)U={U1，...，Un}表示網(wǎng)絡(luò)中全體n個組成員節(jié)點的集合，其中Ui是身份標識號為i的組成員。

假設(shè)Gj∈U表示在會話j時由KS建立的合法通信組。令Si，j表示組成員節(jié)點Ui在會話j時的私鑰。當Ui加入組Gj(即Ui∈Gj)時，從KS處得到私鑰Si，j。對于每個會話j，KS 通過廣播消息Bj給組成員節(jié)點發(fā)送會話密鑰Kj，Kj是會話j時的組密鑰，Bj表示在會話j中KS廣播的組密鑰分發(fā)消息，則對于任意Ui∈Gj，會話密鑰Kj由Bj和Si，j確定。

方案的所有操作都在有限域Fq中進行，其中q為大于n的大素數(shù)。

1.2 系統(tǒng)安全模型

假定敵人可捕獲一個或多個組成員節(jié)點，一旦檢測到捕獲，KS能把被捕獲節(jié)點從組中撤銷。在WSNs中很容易遭受節(jié)點的共謀攻擊，因此，在為WSNs設(shè)計密鑰管理方案時，考慮所有類型的共謀攻擊是非常重要的，一個已撤銷的節(jié)點不僅可以和其它已撤銷的節(jié)點共謀，而且可以和新加入的節(jié)點進行共謀來恢復其未被授權(quán)的會話密鑰。然而，很多現(xiàn)有的自愈組密鑰管理方案［8－14］都不滿足抗這種共謀攻擊的要求(如定義1.4b)。本文把抗已撤銷節(jié)點和新加入節(jié)點的共謀攻擊特性定義在系統(tǒng)安全模型中。如無特別說明，文中所提及的共謀攻擊都特指已被撤銷節(jié)點和新加入節(jié)點的共謀攻擊。

定義1(具有t撤銷功能的自愈組密鑰分發(fā)方案) 令i∈{1，2，…，n}，D是具有t撤銷功能的自愈組密鑰分發(fā)方案，如果滿足以下條件:①對于任意的節(jié)點Ui∈Gj，組會話密鑰Kj由Bj和Si確定;②廣播消息Bj或節(jié)點私鑰Si不能單獨確定會話密鑰Kj;③(t－撤銷特性)D具有t撤銷特性，如果給定任意在會話j被撤銷節(jié)點的集合R?U，|R|≤t，KS能夠產(chǎn)生廣播消息Bj，使得對于所有的Ui?R，Ui能恢復Kj，而被撤銷的節(jié)點則不能;④(自愈特性)D具有自愈特性，如果以下條件成立:對于任意j，1≤j1＜j＜j2:對任意在會話j為合法組成員節(jié)點的Ui，能夠從廣播消息Bj1和Bj2恢復出會話密鑰Kj。

定義2(t－前向保密性) 密鑰分發(fā)方案D保證t－前向保密性，如果對于任意在會話j及會話j之前被撤銷的組成員節(jié)點集合B?U，|B|≤t，B中的成員共謀不能獲得Kj，即使它們知道會話j之前的所有組會話密鑰。

定義3(t－后保密性) 密鑰分發(fā)方案D保證t－后向保密性，如果對于任意的在會話j之后加入的組成員節(jié)點集合J?U，|J|≤t，J中的成員共謀不能獲得Kj，即使它們知道會話j之后的所有組會話密鑰。

定義4(抗t－共謀攻擊特性)D具有抗t－共謀攻擊特性，如果對于任意兩個不相交集合B和C，|B∪C|≤t，B中的所有節(jié)點在會話j1及會話j1之前被撤銷，C中的所有節(jié)點在在會話j2之后加入，則B∪C中的節(jié)點不能恢復Kj。

2 長生命期的δ－自愈組密鑰分發(fā)方案

在本方案中，當節(jié)點Ui加入組Gj時，從KS處得到私鑰Si，j，而在目前現(xiàn)有的方案中，節(jié)點Ui會得到私鑰Si={Si，j，Si，j+1，…，Si，m}。在本方案中，組成員節(jié)點Ui可以根據(jù)廣播包Bj把私鑰Si，j更新為Si，j+1。

Step 1:初始化

設(shè)t，δ為正整數(shù)，δ表示節(jié)點的自愈能力。

(1)對于會話j，j∈{1，2，…，δ}，KS 首先在域Fq［x］中隨機選擇一個組會話密鑰Kj，1≤j≤δ;

(2)KS 選擇一個t次多項式pj(x)∈Fq［x］，1≤j≤δ，并定義qj(x)=Kj－pj(x);

(3)KS從域Fq［x］中隨機選擇兩個秘密的t次多項式Sa1(x)，Sb1(x)，1≤j≤δ;

(4)在會話j時，私鑰多項式進行如下更新:

Step 2:注冊

Step 3:廣播

(2)KS構(gòu)建一個秘密的t次多項式pj+δ(x)，并計算qj+δ(x)=Kj+δ－pj+δ(x)。

(3)KS隨機選擇兩個秘密的t次多項式fj(x)，gj(x)∈Fq［x］，fj(x)，gj(x)用于隱藏組會話密鑰。

(4)KS廣播Bj，Bj包含Rj和以下消息:

其中，Aj(x)= ∏r∈Rj(x－r)。

Step 4:會話密鑰的恢復

在會話j，任意合法組成員節(jié)點Ui∈Gj，收到廣播包Bj后，Ui可按以下步驟恢復組會話密鑰。

(1)利用式(2)、式(3)分別計算得到fj(i)，gj(i)，即:

(2)利用式(4)計算出組會話密鑰Kj，

(3)得到Kj后，利用公式(6)，Ui可以計算出qj+1(i)，qj+2(i)，…，qj+δ(i)，并將其存儲，以備將來丟失廣播包時使用。

Step 5:δ－自愈及私鑰的更新

假設(shè)合法組成員節(jié)點Ui，分別在會話j1和j2收到廣播包Bj1和Bj2，1≤j1＜j2，|j2－j1|≤δ+1，但卻未收到廣播包Bj，j1＜j＜j2，Ui仍能恢復出所有丟失的組會話密鑰Kj:

(1)從 Step 4可知，任意節(jié)點Ui∈Gj1且Ui∈Gj2(1≤j1＜j2)能夠從廣播包Bj1中恢復qj1+1(i)，qj1+2(i)，…，qj2－1(i);

(2)同樣，Ui能夠從廣播包Bj2中恢復pj1+1(i)，pj1+2(i)，…，pj2+1(i);

(3)因此，Ui可獲得組會話密鑰Kj=pj(i)+qj(i)，j1＜j＜j2;

3 安全性及性能分析

3.1 安全性分析

在系統(tǒng)安全模型下，下面的定理和證明顯示該方案是一個計算上安全的、具有撤銷能力的、保證前向保密性及后向保密性的、抗共謀攻擊的、自愈組密鑰分發(fā)方案。

定理1本方案是滿足定義1的具有δ－撤銷能力的自愈組密鑰分發(fā)方案

證明:(a)方案的Step 4實現(xiàn)了任意合法節(jié)點Ui∈Gj能夠由Bj和Si，j恢復出會話密鑰Kj;

(b)節(jié)點單獨通過廣播消息或其節(jié)點私鑰恢復出組會話密鑰在計算上是不可行的。因為組會話密鑰Kj是隨機選取的，而且獨立于節(jié)點的私鑰，因此單獨從節(jié)點私鑰集合中不能獲得有關(guān)Kj的信息;另外，對每一次會話j，由式(2)、式(3)、式(4)可知，節(jié)點私鑰(x)，(x)完美地隱藏了fj(x)，gj(x)，進而隱藏了會話密鑰Kj，因此單獨從廣播消息集合中也不能得到有關(guān)會話密鑰Kj的信息。

(c)(t－撤銷特性)令R表示會話j和會話j之前被撤銷的節(jié)點的集合，|R|≤t。對于Ur∈R，Aj(r)=0，表明Ur無法從Bj中恢復出控制信息fj(x)，gj(x)，因而也無法得到當前的組會話密鑰Kj。并且由于控制信息fj(x)，gj(x)的私鑰多項式{(x)，(x)}是t次多項式，則最少需要t+1max(j－δ，1)≤v≤j)個同一參變量的掩碼值才能破解。而R中節(jié)點的共謀最多只能得到私鑰多項式上的t個點。因此，R中節(jié)點的共謀不能恢復出私鑰多項式，因而也無法確定會話密鑰Kj。故本方案具有主動將節(jié)點撤銷的能力。

(d)(自愈特性)由方案的Step 5可知，本方案實現(xiàn)了δ－自愈性。

定理2本方案滿足定義2，具有t－前向保密性。

證明:令R?U，|R|≤t，并且所有節(jié)點Ul∈R在會話j之前被撤銷。集合R中的節(jié)點共謀即使知道會話j之前所有的組會話密鑰，也不能得到關(guān)于當前會話密鑰Kj的任何信息。因為，為了恢復Kj，節(jié)點Ul∈R需要知道fj(l)，gj(l)，但對于Ul∈R，Aj(l)=0，因此無法恢復fj(l)，gj(l)。另外，如定理1中的證明，被撤銷節(jié)點的共謀要想通過恢復S1a(x)，(x)來獲取Kj，則需要至少t+1個節(jié)點進行共謀，而R中最多只有t個節(jié)點。因此，本方案保證了t－前向保密性。

定理3本方案滿足定義3，具有t－后向保密性。

證明:令J?U，|J|≤t，并且所有節(jié)點Ul∈J是在會話j之后加入組通信的。集合J中的節(jié)點共謀即使知道會話j之后所有的組會話密鑰，也不能得到關(guān)于以前的會話密鑰Kj'(j'≤j)的任何信息。因為，為了恢復Kj'，節(jié)點Ul∈J至少需要t+1個點恢復出(x)，(x)，進而獲取Kj，而J中最多只有t個節(jié)點，因此，本方案保證了t－后向安全性。

定理4本方案滿足定義4，具有抗t－共謀攻擊特性

證明:令B中的所有節(jié)點在會話j1之前被撤銷，C中的所有節(jié)點在在會話j2之后加入，|B∪C|≤t，B∩C=?，則B中節(jié)點和C中節(jié)點的共謀不能恢復Kj(j1＜j＜j2)。

對于在會話j'(j2＜j')加入的節(jié)點Ui，能得到{pj(i)}max(j'－δ，1)≤j≤j'－1，而對于在會話j″(j″＜j1)被撤銷的節(jié)點Ur能得到{qj(r)}j″+1≤j≤j″+δ，j″＜j1＜j＜j2＜j'，然而，即使|j'－j″|＜δ，節(jié)點Ui和Ur也不能通過pj(i)+qj(r)計算出Kj，因為pj(i)和qj(r)是不兼容的，并且KS不允許同一個節(jié)點在被撤銷后再次加入通信組。

同樣，因為|B∪C|≤t，B∪C中節(jié)點的共謀也不能通過恢復(x)，(x)來獲取Kj

因此，本方案具有抗被撤銷節(jié)點和新加入節(jié)點的共謀攻擊的特性。

3.2 性能分析與比較

本節(jié)對本文提出的方案和同樣基于滑動窗口機制的文獻［4－5］中的方案進行了性能分析與比較。

(1)節(jié)點的存儲開銷

若假定節(jié)點自第一個會話起的m個會話中都為合法組成員節(jié)點，則文獻［4］的方案中，組成員節(jié)點的存儲開銷為(2m+2δ－1)logqbits，文獻［5］的方案中，組成員節(jié)點的存儲開銷為3mlogqbits，而本文方案中，組成員節(jié)點的存儲開銷為(2+δ)logqbits。因此，本方案中所需的存儲開銷大大減少。

(2)廣播通信開銷

在會話j，文獻［4－5］的方案中組密鑰更新廣播包大小分別為［(3t+2)δ］logqbits和［3t2+4t+(8t+4)δ］logqbits，而本文方案的組密鑰更新廣播包大小為［(6t+3)δ+2t+1］logqbits。盡管本文方案的組密鑰更新廣播通信開銷大于文獻［4］中的方案，但本文方案具有更長的生命期，避免了方案的頻繁重置，節(jié)省了會話重建過程中組成員節(jié)點私鑰再次傳遞的通信開銷(詳見下面的第(4)項)。

(3)方案生命期比較

設(shè)允許的最大廣播數(shù)據(jù)包為64 kB，q=64 bit，圖1顯示了滑動窗口大小δ和多項式次數(shù)t的可能取值。

由圖1可知，當 δ=10，文獻［4－5］中的方案分別可最多撤銷272和38個組成員節(jié)點，而本文方案可最多撤銷131個組成員節(jié)點。

圖1 滑動窗口大小δ和多項式次數(shù)t的可能取值

在δ=10，m=200的參數(shù)設(shè)置下對本文方案和其它方案在不同的撤銷模式(完全撤銷和部分撤銷)下的生命期進行了仿真，如圖2所示。

圖2 不同方案生命期的比較

由圖2可知，文獻［4］中的方案在第122個會話時重置，文獻［5］中的方案則需頻繁重置，而本文方案無需重置就能運行更長的時間。這是由于現(xiàn)有方案采用的是完全撤銷模式，而本文方案采用了部分撤銷模式，這使得本方案無需重置，進而延長了方案的生命期。

(4)組密鑰更新和私鑰更新的總的通信開銷比較

在本文方案中，由于KS僅需傳遞一次初始組成員節(jié)點私鑰，避免了會話重建過程中的再次傳遞，不僅降低了KS給組成員節(jié)點傳遞私鑰的負擔，而且還降低了相應的通信開銷。

例如:在文獻［4］的方案中，方案初始化階段進行組成員節(jié)點私鑰傳遞的通信開銷為(2m+2δ－1)×logqbits，當方案運行時，在每個會話期進行組密鑰更新的通信開銷為［(3t'+2)δ］logqbits，當方案運行m'個會話后會進行重置，需要進行組成員私鑰的重新傳遞，所需的通信開銷為(2m+2δ－1)logqbits，故從初始化到運行了m'個會話進行一次重置后的總的通信開銷為:

本方案中，初始化階段進行私鑰傳遞的通信開銷為(2+δ)logqbits，方案運行時進行組密鑰更新的通信開銷為［(6t+3)δ+2t+1］logqbits，而本方案無需重置，因而節(jié)省了組成員節(jié)點私鑰再次傳遞的通信開銷，故從初始化到運行了m'個會話后的總的通信開銷為:

取圖1和圖2的仿真參數(shù)和結(jié)果進行具體計算。

因此本方案所需的總的通信開銷較小。

4 結(jié)論

針對現(xiàn)有自愈組密鑰分配方案安全運行時間短的問題，通過在每個會話期更新組成員節(jié)點的私鑰和進行部分撤銷，本文提出一種有效的具有撤銷能力的、δ－自愈組密鑰分發(fā)方案，解決了目前現(xiàn)有方案中的生命期延長問題。安全性和性能分析表明，該方案在保證安全屬性的前提下，具有更長的生命期，且降低了存儲開銷和通信開銷。

在對自愈密鑰分發(fā)方案的研究中，一個仍然有趣且具挑戰(zhàn)性的問題在于，如何在節(jié)點的私鑰存儲開銷和會話密鑰更新廣播包長度兩者之間取得更好的優(yōu)化關(guān)系。新方案和原有各種方案一樣，仍存在會話密鑰更新廣播包較大的弊端，這是作者今后的研究重點。

［1］杜大海，劉建偉，張其善，等.WSNs中輕量級密鑰管理方案設(shè)計［J］.傳感技術(shù)學報，2007，20(12):2631－2634.

［2］覃伯平，周賢偉，楊軍.無線傳感器網(wǎng)絡(luò)中密鑰管理方案的綜合評估［J］.傳感技術(shù)學報，2006，19(3):913－916.

［3］Staddon J，Miner S，F(xiàn)ranklin M，et al.Self-Healing Key Distribution with Revocation［C］//Proc.of IEEE Symposium on Security and Privacy，2002:241－257.

［4］Liu D，Ning P，Sun K.Efficient Self-Healing Group Key Distribution with Revocation Capability［C］//Proc.of the 10th ACM Conference on Computer and Communications Security，Washington，DC，USA，2003，27－31.

［5］More S，Malkin M，Staddon J，et al.Sliding-Window Self-healing Key Distribution［C］//Proc.ACM Workshop on Survivable and Self-Reqenerative Systems，2003，82－90.

［6］Blundo C，Darco P，Santis A D，et al.Design of Self-Healing Key Distribution Schemes［J］.Design Codes and Cryptography，2004，32:15－44.

［7］Hong D，Kang J.An Efficient Key Distribution Scheme with Selfhealing Property［J］.IEEE Communication Letters，2005:759－761.

［8］Dutta R，Mukhopadhyay S.Improved Self-Healing Key Distribution with Revocation in Wireless Sensor Network［C］//Proc.of Wireless Communications and Networking，2007:2963－2968.

［9］Dutta R，Mukhopadhyay S，Dowling T.Trade-off Between Collusion Resistance and User Life Cycle in Self-healing Key Distributions with t-Revocation［C］//Proc.of the 2nd International Conference on the Applications of Digital Information and Web Technologies，2009:603－608.

［10］Daza V，Herranz J，Saez G.Flaws in Some Self-healing Key Distribution Schemes with Revocation［J］.Information Processing Letters，2009，109(11):523－526.

［11］Xu Q Y，He M X.Improved Constant Storage Self-healing Key Distribution with Revocation in Wireless Sensor Network［J］.Lecture Notes in Computer Science，2009，5379:41－55.

［12］DuttalR，Mukhopadhyay S，Dowling T.Enhanced Access Polynomial Based Self-healing Key Distribution［J］.Security in E-merging Wireless Communication and Networking Systems，2010，42(1):13－24.

［13］Wen M，Hong X，Li J，et al.A Self-Healing Key Distribution with Node and Head Revocation in Wireless Sensor Networks［J］.Journal of Computational Information System，2010，6(3):881－887.

［14］Gu J，Xue Z.An Efficient Self-Healing Key Distribution with Resistance to the Collusion Attack for Wireless Sensor Networks［C］//Proc.of IEEE International Conference on Communication，2010:1－5.