劉曉樂

(河南工程學院 計算機學院,河南 鄭州 451191)

Ad hoc網(wǎng)絡是一種由節(jié)點組成的多跳臨時性自治系統(tǒng)，在軍事救災和民用通信領域都有廣泛的用途.Ad hoc網(wǎng)絡不依賴事先鋪設的固定設施,具有網(wǎng)絡的獨立性、動態(tài)變化的拓撲結構、計算和存儲能力有限和節(jié)點容易受到攻擊等特點.Ad hoc網(wǎng)絡自身的特殊性決定了它將面臨與傳統(tǒng)無線網(wǎng)絡相同甚至更嚴重的安全問題.組密鑰管理可以解決成員之間的共享密鑰問題，確保合法組成員之間得到安全可靠的組密鑰，故組密鑰管理的研究是當前Ad hoc網(wǎng)絡安全研究中的一個重點和難點.組密鑰的管理包括組密鑰的生成和維護，密鑰的維護是指由于成員節(jié)點的加入和退出而需要改變密鑰，或者長時間使用后需要對組密鑰進行更新.

目前，已提出的組密鑰安全協(xié)議可被分為3種基本類型[1]:(1)集中式組密鑰管理.此方式存在一個中心機構,它為組內成員產(chǎn)生和分配組密鑰, 當組內成員發(fā)生變化時更新組密鑰，但是要在 Ad hoc網(wǎng)絡中找到這樣一個高可信度中心機構的難度較大.(2)分散式組密鑰管理.在這種方式中, 一個大的群組被劃分成若干個子組,每個子組存在一個子組協(xié)調員負責子組的密鑰分發(fā), 該方式仍然存在子組中心節(jié)點的問題, 而 Ad hoc節(jié)點對消息的中繼傳輸使子組協(xié)調員有很大的通信負擔.(3)分布式組密鑰管理.由于Ad hoc網(wǎng)絡中各節(jié)點的通信身份完全平等且組員關系經(jīng)常發(fā)生變化, 所以其群組密鑰管理方案適宜采用這種方式.該方式的特點是無中心機構、成員節(jié)點地位平等、分配給各節(jié)點的計算量和通信量開銷量相同、組密鑰由組成員協(xié)同運算產(chǎn)生, 但在網(wǎng)絡規(guī)模較大的時候, 該方式一樣存在遠距離節(jié)點之間的中繼通信量增大的問題.

針對Ad hoc網(wǎng)絡的特點, 國內外學者已做了大量的研究工作,提出了許多安全高效的組密鑰管理方案.2000年,Steiner等[2]提出了一個動態(tài)組密鑰分發(fā)協(xié)議CLIQUES， 該協(xié)議支持節(jié)點加入、離開及網(wǎng)絡分離等動態(tài)變化狀態(tài).Kim等[3]在GDHv.2協(xié)議[4]的基礎上提出了基于樹的組密鑰分發(fā)協(xié)議TGDH 協(xié)議,其安全性和復雜性比原有協(xié)議有所提高.2004年,Kim等[5]又提出了基于二叉樹的組密鑰協(xié)商協(xié)議，適用于動態(tài)無組織網(wǎng)絡.接著Kim[6]又提出了STR協(xié)議，該協(xié)議在結構上做出了較大的調整，不同于前者必須盡量保證結構的飽和性，結構變化更加靈活.2007年,Liao等[7]將TGDH和STR有機地結合在一起， 綜合兩種結構的特點提出了TFAN結構.以上結構都是基于公鑰密碼學、使用Diffie-Hellman密鑰協(xié)商方式來實現(xiàn)動態(tài)的組密鑰管理的,但這類算法性能不夠理想, 特別是不具備認證功能, 存在一定安全隱患.后來，文獻[8-10]提出了基于簇的組密鑰管理方案,這些方案適用于大規(guī)模網(wǎng)絡中的密鑰管理，是針對Ad hoc網(wǎng)絡中的分層結構提出的，具有一定的網(wǎng)絡擴展性.

在已有的較為典型的組密鑰管理方案中，密鑰協(xié)商過程需要大量的計算開銷存儲資源或通信帶寬，效率比較低,所以根據(jù)Ad hoc網(wǎng)絡的特點，提出了一個安全有效的組密鑰管理方案，提出的方案以增強安全性和減少計算量和通信量為目標. 該方案在系統(tǒng)初始化完成以后，組密鑰的分發(fā)與重構完全由網(wǎng)絡中節(jié)點的相互合作來完成，并且采用基于身份的密碼體制來實現(xiàn)組密鑰分發(fā)與重構過程中消息的安全傳送.

1 相關基本知識

1.1 基于身份的密碼體制

在1984年，Shamir[11]提出了基于身份的密碼體制思想，以簡化證書的管理.近年來，雙向性映射和雙向性Diffie-Hellman問題[12]的提出，使得基于身份的密碼體制獲得了長足的發(fā)展，人們提出了一系列基于身份的加密、簽名及密鑰交換協(xié)議.

基于身份的密碼機制是建立在雙向性e:G1×G1→G2映射上的(G1是q階的加法群，G2是q階的乘法群，q為一大素數(shù)),其安全性的基礎是BDH假設，即給定P,aP,bP和cP(P是G1的一個生成元，a,b,c是有限域Fq中的隨機數(shù))，在多項式時間內確定e(P,P)abc是不可能的.系統(tǒng)的核心是一個密鑰生成中心KGC，負責系統(tǒng)初始化時生成系統(tǒng)參數(shù)并根據(jù)節(jié)點的身份為其生成私鑰.系統(tǒng)的建立過程為KGC隨機選擇一個私鑰s∈Fq，計算PKGC=sP并公布(P，PKGC).計算出身份為ID節(jié)點的公/私鑰對(QID，SID),QID=H(ID) (H:{0,1}*→G1),SID=sQID.

1.2 分布式主密鑰生成

從上節(jié)的介紹可知，基于身份密碼體制的認證私鑰由式S=sH(ID)生成.顯然,為了生成S，需要系統(tǒng)的主密鑰s.為了解決Ad hoc網(wǎng)絡無集中式KGC和拓撲結構易變化的問題，根據(jù)Shamir的(t,n)門限密鑰方案，將s分解成n個分量(s1,s2,…,sn)，由n個節(jié)點分別保存.需要恢復s時，可由任意t個節(jié)點保存的s分量重構，而少于t個則無法恢復.基于拉格朗日插值公式產(chǎn)生s分量和重構s的過程如下.

設q為素數(shù)，F(xiàn)q為有限域，隨機選取s和t-1個系數(shù)a1,a2,…,at-1,在Fq上構建t-1次多項式f(x)=s+a1x+a2x2+…+at-1xt-1.計算第i個節(jié)點上保存s分量si,si=f(IDi),i=1,2,…,n.根據(jù)Lagrangue插值公式，任選t個si就可以重構t-1次多項式：

(1)

(2)

2 組密鑰管理方案

2.1 系統(tǒng)的初始化

系統(tǒng)的初始化工作由一個臨時管理中心來完成,臨時管理中心可以由一個資源比較充分的節(jié)點來擔當，當初始化工作完成以后，此節(jié)點臨時管理中心的作用就消失.

假設系統(tǒng)由n個節(jié)點組成，每個節(jié)點Ni擁有唯一全局標識符IDi，i=1,2,…,n.

(1)臨時管理中心首先生成系統(tǒng)參數(shù)q，G1，G2，e：G1×G1→G2和4個哈希函數(shù)H1:{0,1}*→G1,H2:G2→Fq，H3:G2→{0,1}1(1為會話密鑰的長度),H4：{0,1}*×G1→Fq.然后,隨機選取s∈Fq作為系統(tǒng)的私鑰,并計算出系統(tǒng)公鑰Ppub=sP.最后，向系統(tǒng)中所有的節(jié)點公開系統(tǒng)參數(shù)(P,Ppub,H1,H2,H3,H4).

(2)按1.2節(jié)算法為系統(tǒng)中節(jié)點Ni生成系統(tǒng)私鑰分量si，并通過安全通道傳送到節(jié)點Ni上；

(3)計算節(jié)點Ni的私鑰Si=sH1(IDi)，并通過安全通道傳送到節(jié)點Ni上.

2.2 組密鑰生成協(xié)議

當系統(tǒng)初始化完成以后，系統(tǒng)中所有的節(jié)點按下列步驟共同產(chǎn)生組通信密鑰.

(1)節(jié)點Ni隨機首先選取ri∈Fq為該節(jié)點的私有參數(shù)，然后計算Qi=H1(IDi)，Ti=riP,Pi=H2(e(Qi,Ti))Si.計算完成后，把發(fā)送給節(jié)點Ni-1和Ni+1(這里當i=1時,i-1=n;當i=n時，i+1=1).

(2)當節(jié)點Ni收到節(jié)點Ni-1和Ni+1發(fā)來的消息 (j=i-1,j+1)后，首先驗證等式e(Qi,Pj)=e(Si,H2(e(Qj,Tj)Qj))是否成立.如果都成立，計算

Di=e(Ti+1-Ti-1，ppub)ri,

(3)

Vi=H2(Di)Si.

(4)

這里,當i=1時,i-1=n;當i=n時,i+1=1.

計算完成后，節(jié)點Ni把廣播出去.

(3)節(jié)點Ni收到節(jié)點Nj發(fā)來廣播消息(j=1,2,…,n,j≠i)后，首先驗證等式e(Qi,Vj)=e(Si,H2(Dj)Qj)是否成立.如果等式成立，用下式計算系統(tǒng)的組通信密鑰：

(5)

2.3 新節(jié)點加入?yún)f(xié)議

當有新節(jié)點加入時，系統(tǒng)首先需要更新組通信密鑰.另外，還要為新加入的節(jié)點安全地生成系統(tǒng)主密鑰分量.假設新加入的節(jié)點為Nn+1,標識符為IDn+1.

(1)節(jié)點n+1首先隨機選取rn+1∈Fq為自己的私有參數(shù)，并計算Qn+1=H1(IDn+1),Tn+1=rn+1P.然后,在系統(tǒng)中隨機選取t個節(jié)點Ni，計算Wi=e(rn+1Ppub,Qi).

計算完成后，節(jié)點n+1把發(fā)送給節(jié)點Ni

(2)當節(jié)點Ni收到節(jié)點Nn+1發(fā)來的消息后,首先驗證等式Wi=e(Tn+1,Si)是否成立，如果等式成立并且允許節(jié)點Nn+1加入系統(tǒng)，節(jié)點Ni就進行下列計算:

① 節(jié)點Nn+1的私鑰分量

(6)

② 節(jié)點Nn+1上需保存的系統(tǒng)密鑰分量的子分量

(7)

③kh=H3(e(Ppub,H1(Kcur))) ,這里的Kcur是當前的組通信密鑰.

ki=H3(e(Qn+1+Qi，Tn+1)ri),

(8)

Ci=Eki(Sn+1，i‖sn+1，i‖kh),

(9)

其中,Eki(.)表示用ki對消息進行加密運算，‖表示連接符號.

④Ri=H4(Ci,H1(ki)).

當所有的計算完成后，節(jié)點Ni把發(fā)送給節(jié)點Nn+1.

(3)當節(jié)點Nn+1收到節(jié)點Ni發(fā)來的消息 后計算

ki=H3(e(Qn+1+Qi，Ti)rn+1).

(10)

求出ki后,驗證等式Ri=H4(Ci,H1(ki))是否成立.如果驗證成功,就用ki解密收到的密文Ci，得到Sn+1,i,sn+1,i,kh.如果某些節(jié)點發(fā)來的消息沒有通過驗證，就再選一些節(jié)點，發(fā)出加入請求，直到節(jié)點Nn+1收到t個節(jié)點發(fā)來的正確信息.

如果節(jié)點Nn+1成功地收到t個節(jié)點發(fā)來的信息，就開始計算：

③ 新組通信密鑰Knew=kh⊕kc,其中，kc=H2(e(Qn+1,rn+1P)).

④M=Ekh(kc),U=rn+1Qn+1,V=(rn+1+H4(M,Qn+1))Sn+1.

當計算完成后,節(jié)點Nn+1把廣播給系統(tǒng)中所有的節(jié)點.

(4)當節(jié)點Nj(j=1,2,…,n)收到新加入節(jié)點Nn+1發(fā)送來的消息后，首先驗證等式e(P,V)=e(Ppub,U+H4(M,Qn+1)Qn+1)是否成立.

如果等式成立，計算kh=H3(e(Ppub,H1(Kcur))),然后用kh從收到的密文M中解密出kc,最后用解出的kc計算新的組通信密鑰Knew=kh⊕kc.

2.4 成員離開/組密鑰的更新協(xié)議

當有節(jié)點離開系統(tǒng)或由于長時間使用后需要更新組密鑰,這時由系統(tǒng)中任一節(jié)點(假設是節(jié)點Ni)發(fā)起，進行以下計算:

(1)節(jié)點Ni首先選取一隨機數(shù)ri∈Fq為自己的新私有參數(shù),然后計算kh=H3(e(Ppub,H1(Kcur))) .這里，Kcur是當前的組通信密鑰.

kc=H3(e(riP,Qi)),M=Ekh(kc),U=riQi,V=(ri+H4(M,Qi))Si,計算完成后，節(jié)點Ni把向系統(tǒng)中其他節(jié)點廣播.

(2)當節(jié)點Nj(j=1,2,...,n,j≠i)收到節(jié)點Ni廣播的信息后，首先驗證等式e(P,V)=e(Ppub,U+H4(M,Qi)Qi)是否成立，如果等式成立,計算kh=H3(e(Ppub,H1(Kcur))).

然后,用kh從收到的密文M中解出kc,最后用kh和kc計算出新的組通信密鑰Knew=kh⊕kc.

3 協(xié)議分析

3.1 協(xié)議安全性分析

就基于身份的密碼體制而言，密鑰管理協(xié)議的安全性主要是系統(tǒng)主密鑰的安全性，因為由主密鑰可以計算出任意用戶的私有密鑰.本方案中,系統(tǒng)的主密鑰是在系統(tǒng)組建初期由系統(tǒng)中所有的節(jié)點共同生成的，不需要用戶間存在安全通道和可信第三方，所以避免了可信中心受到攻擊而引起系統(tǒng)主密鑰泄露的問題.而且,本研究還使用文獻[4]和文獻[12]中加解密算法保護節(jié)點間私鑰分量的傳輸，從而保證只有合法節(jié)點可以產(chǎn)生認證私鑰.雖然各節(jié)點生成的私鑰分量是以明文形式傳輸?shù)?但每個節(jié)點的私鑰分量除了其他所有節(jié)點貢獻的私鑰子分量外，還包括節(jié)點本身提供的私鑰子分量，而這部分只有節(jié)點本身知道.另外,節(jié)點私鑰分量以及主公鑰分量在節(jié)點間傳輸時，都會對消息進行基于身份的簽名，從而保證了消息的完整性.為了保證系統(tǒng)主密鑰的安全性，該方案采用(t,n)門限共享方案為每個組節(jié)點生成部分共享密鑰.當系統(tǒng)初始化完成以后，任何不超過t個的節(jié)點都無法重構節(jié)點的私有密鑰.

該方案還提供了以下的安全保證：(1)隱式密鑰認證.除了系統(tǒng)的合法參與者，其他任何用戶都不能計算出協(xié)商出來的組通信密鑰.因為雖然非法用戶可以得到所有合法節(jié)點發(fā)送給某個節(jié)點的所有Di，但在計算組密鑰時還需要該節(jié)點的私有參數(shù)ri，而每個節(jié)點的私有參數(shù)只有自己知道.(2)會話密鑰的獨立性.某次會話密鑰的泄露不會影響到其他次協(xié)商的會話密鑰的保密性.在協(xié)議中，每次組密鑰的生成都包含有新的隨機信息.(3)前向安全性與后向安全性.因為在協(xié)議中，無論是有新節(jié)點加入或是有節(jié)點退出，系統(tǒng)都會更新組通信密鑰的，而每次會話密鑰的生成都包含有新的隨機信息，所以離開的用戶無法計算出以后的組密鑰，新加入的用戶同樣也無法推算出前面的組密鑰.

3.2 協(xié)議效率分析

通信開銷和計算開銷是衡量組密鑰管理方案性能優(yōu)劣的一個重要標準.該方案的通信開銷對于初始組密鑰協(xié)商協(xié)議需要n次廣播通信和n次點到點的通信，節(jié)點加入時需要2t次單點通信和1次廣播通信，而節(jié)點離開時只需要1次廣播通信數(shù).本方案中所使用的加密算法都是對稱加密算法，而且加入?yún)f(xié)議和離開協(xié)議所需的計算量的復雜度也都是常數(shù).

下面通過與CLIQUES協(xié)議、TGDH協(xié)議和STR協(xié)議在通信開銷和計算開銷方面的比較，來分析驗證本方案的性能.4種族密鑰管理方案的通信量和計算量的比較如表1所示.協(xié)議的總輪數(shù)是固定的,這就意味著協(xié)議的通信規(guī)模與組成員的數(shù)目無關,而 CLIQUES和TGDH的通信規(guī)模與組成員數(shù)目成正比，STR協(xié)議的總輪數(shù)比本協(xié)議多一次.在運算量方面，本協(xié)議運算的復雜度是常數(shù)，這樣本協(xié)議適合應用在大的Ad hoc網(wǎng)絡中.

表1 本方案與其他組密鑰管理方案性能的比較Tab.1 Performance comparison

4 結束語

Ad hoc網(wǎng)絡的分布式組網(wǎng)方式、動態(tài)的網(wǎng)絡拓撲和有限的帶寬資源，使得傳統(tǒng)的基于信任中心的組密鑰管理方案不適合Ad hoc網(wǎng)絡.首先分析了基于身份的密碼體制，討論了如何使用Lagrange插值公式生成基于身份密碼體制的系統(tǒng)主密鑰，然后給出了組密鑰的生成方法和節(jié)點加入/離開時系統(tǒng)組密鑰的更新方法.該方法具有分布式實現(xiàn)和安全高效的特點，在網(wǎng)絡中部分節(jié)點失效的情況下仍能有效地更新組通信密鑰，能夠滿足Ad hoc網(wǎng)絡在惡劣的網(wǎng)絡攻擊環(huán)境中安全工作的要求.

參考文獻：

[1] 熊萬安,許春香.一種新的基于ECC的Ad hoc組密鑰協(xié)商協(xié)議[J].重慶郵電大學學報：自然科學版,2011,3(1):101-106.

[2] Steiner M，Tsudik G，Waidner M.Key agreement in dynamic peer groups[J].IEEE Transactions on Parallel and Distributed Systems，2000，11(8)：56-61.

[3] Kim Y,Perrig A T，Sudik G.Simple and fault-tolerant key agreement for dynamic collaborative groups[C]∥Proceedings of the 7th ACM Conference on Computer andCommunication Security.New York:ACM,2000:235-244.

[4] Steiner M,Tsudik G,Waidner M. Diffie-Hellman key distribution extended to group communication [C]∥Proceedings of the 3rd ACM Conference on Computer and Communications Security.New York:ACM,1996:31-37.

[5] Kim Y，Perrig A，Tsudik G.Tree-based group key agreement[J].ACM Transactions on Information and System Security，2004(71)：60-96.

[6] Kim Y,Perrig A，Tsudik G. Group key agreement efficient in communication [J].IEEE Transactions on Computers，2004，53 (7)：70-73.

[7] Liao L，Manulis M.Tree-based group key agreement framework for mobile ad-hoc networks[J].Future Generation Computer Systems，2007(23)：787-803.

[8] Shi H,He M,Qin Z. Authenticated and communication efficient group key agreement for clustered Ad hoc networks[J].Lecture notes in computer science,2006，43(1):73-89.

[9] Hietalahti M.A clustering-based group key agreement protocol for ad-hoc networks[J].Electronic Notes in Theoretical Computer Science,2008(192):43-53.

[10] Elisavet K.Efficient cluster-based group key agreement protocols for wireless Ad hoc networks[J].Journal of Network and Computer Application,2011(34).384-393.

[11] Shamir A.Identity-based cryptosystems and signature schemes [C]∥Proceedings of Crypto′ 4,Lecture Notes in Computer Science.New York 1984:47-53.

[12] Bong D，F(xiàn)ranklin M.Identity-based encryption from weil pairing [C]∥Proceedings of Crypto′ 1,Lecture Notes in Computer Science.New York，2001:213-229.