周建欽，王 影

(1.杭州電子科技大學(xué)通信工程學(xué)院,浙江 杭州 310018；2.安徽工業(yè)大學(xué)計(jì)算機(jī)學(xué)院,安徽 馬鞍山 243002)

WSN中節(jié)點(diǎn)可移動(dòng)場(chǎng)景下分簇式組密鑰管理方案*

周建欽1,2，王 影1

(1.杭州電子科技大學(xué)通信工程學(xué)院,浙江 杭州 310018；2.安徽工業(yè)大學(xué)計(jì)算機(jī)學(xué)院,安徽 馬鞍山 243002)

針對(duì)無(wú)線傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)能否移動(dòng)的問(wèn)題，結(jié)合中國(guó)剩余定理和橢圓曲線密碼體制相關(guān)理論，提出了一種WSN中節(jié)點(diǎn)可移動(dòng)場(chǎng)景下的分簇式組密鑰管理方案.網(wǎng)絡(luò)采用簇內(nèi)分組思想，將組密鑰管理分為2級(jí)，一級(jí)管理為簇頭節(jié)點(diǎn)管理本簇內(nèi)組長(zhǎng)節(jié)點(diǎn)，二級(jí)管理為組長(zhǎng)節(jié)點(diǎn)管理組內(nèi)成員節(jié)點(diǎn).其中一級(jí)管理采用中國(guó)剩余定理理論產(chǎn)生簇密鑰，將計(jì)算量轉(zhuǎn)交給基站，同時(shí)也節(jié)省了節(jié)點(diǎn)的存儲(chǔ)開(kāi)銷；二級(jí)管理采用橢圓曲線密碼體制產(chǎn)生組密鑰，且每個(gè)小組共享的組密鑰各不相同.移動(dòng)節(jié)點(diǎn)重新加入網(wǎng)絡(luò)時(shí)，由預(yù)加入簇的簇頭節(jié)點(diǎn)對(duì)移動(dòng)節(jié)點(diǎn)的歷史更新信息進(jìn)行確認(rèn)，并對(duì)其數(shù)字簽名進(jìn)行驗(yàn)證，確定身份合法后將其分配給簇內(nèi)成員尚有空缺的組.實(shí)驗(yàn)和分析結(jié)果表明，該方案中傳感器節(jié)點(diǎn)存儲(chǔ)開(kāi)銷低、能耗低，且用較小的開(kāi)銷實(shí)現(xiàn)了較高的安全性，更適合節(jié)點(diǎn)資源受限且易遭受攻擊的無(wú)線傳感器網(wǎng)絡(luò).

中國(guó)剩余定理；橢圓曲線密碼體制；數(shù)字簽名;密鑰管理

無(wú)線傳感器網(wǎng)絡(luò)(WSN,Wireless Sensor Networks)能夠獨(dú)立地獲取客觀的物理信息，大幅提高人們的信息獲取能力，將客觀世界的眾多物理信息與先進(jìn)的數(shù)字傳輸網(wǎng)絡(luò)連接在一起，促進(jìn)了人類與自然界的交互.在WSN的密鑰管理方案中，人們一般會(huì)用到基于對(duì)稱或非對(duì)稱密碼體制的加密算法.其中，像DES等對(duì)稱密碼體制具有加密速度快、效率高和計(jì)算復(fù)雜度低的優(yōu)點(diǎn)，可用在對(duì)實(shí)時(shí)性要求比較高的場(chǎng)景中；而像ECC等非對(duì)稱密碼體制主要用于非實(shí)時(shí)性場(chǎng)景，它具有密鑰分配簡(jiǎn)單、便于管理、系統(tǒng)密鑰量少、開(kāi)發(fā)性好、抗抵賴性強(qiáng)和能夠方便實(shí)現(xiàn)數(shù)字簽名等特點(diǎn).針對(duì)不同的場(chǎng)景，可以靈活地選擇1種或者二者混合使用，充分利用二者的優(yōu)點(diǎn).早期對(duì)WSN的研究普遍認(rèn)為，在資源受限的傳感網(wǎng)中不能應(yīng)用計(jì)算復(fù)雜度太高的公鑰密碼體制，但近年來(lái)的研究[1-2]表明，針對(duì)公鑰密碼體制的加密系統(tǒng)也可以甚至更好地應(yīng)用于WSN，比如橢圓曲線加密體制ECC就具有對(duì)稱密鑰所不具備的優(yōu)點(diǎn).

現(xiàn)有的對(duì)于無(wú)線傳感器網(wǎng)絡(luò)密鑰管理方案的研究大多是靜態(tài)網(wǎng)絡(luò)[3]，網(wǎng)絡(luò)節(jié)點(diǎn)部署之后，就保持位置不動(dòng).但是針對(duì)于節(jié)點(diǎn)可移動(dòng)的密鑰管理方案還有很多問(wèn)題需要解決.比如，基于門限技術(shù)的管理方案[4]中，網(wǎng)絡(luò)內(nèi)部成員之間相互協(xié)作，采用分布式的形式產(chǎn)生系統(tǒng)密鑰和每個(gè)節(jié)點(diǎn)的秘密份額.方案中利用了橢圓曲線的離散對(duì)數(shù)問(wèn)題，但未考慮到過(guò)多的秘密份額傳輸所導(dǎo)致的計(jì)算量和安全分發(fā)問(wèn)題.基于橢圓曲線的方案[5]中提出了一種具有認(rèn)證中心、服務(wù)節(jié)點(diǎn)和普通節(jié)點(diǎn)3種結(jié)構(gòu)的密鑰管理方案.方案中由服務(wù)節(jié)點(diǎn)產(chǎn)生和分配密鑰，賦予了服務(wù)節(jié)點(diǎn)太大的權(quán)利，其一旦被妥協(xié)，將威脅網(wǎng)絡(luò)中眾多節(jié)點(diǎn)安全.文獻(xiàn)[3]中每個(gè)節(jié)點(diǎn)預(yù)置一個(gè)證書來(lái)證明新節(jié)點(diǎn)的身份.當(dāng)有節(jié)點(diǎn)加入時(shí)，鄰居節(jié)點(diǎn)通過(guò)驗(yàn)證證書來(lái)確定其是否為合法節(jié)點(diǎn).但是，文中絕對(duì)地假設(shè)傳感器節(jié)點(diǎn)都是靜態(tài)的，一個(gè)新發(fā)現(xiàn)的鄰居節(jié)點(diǎn)一定是新部署加入的節(jié)點(diǎn)或者是惡意節(jié)點(diǎn)，即方案中否認(rèn)了移動(dòng)節(jié)點(diǎn)的存在.表1顯示將LEAP協(xié)議[6]和OTMK[7]的相關(guān)密鑰管理方案在密鑰類型和節(jié)點(diǎn)可移動(dòng)性等方面的特點(diǎn)作了一些比較.

表1 相關(guān)密鑰管理方案比較

在一些特殊的應(yīng)用場(chǎng)景中，節(jié)點(diǎn)會(huì)主動(dòng)或者被動(dòng)地移動(dòng)位置而不能被視為惡意節(jié)點(diǎn)，但是若這些移動(dòng)節(jié)點(diǎn)的行為符合網(wǎng)絡(luò)已有的攻擊特征或者與規(guī)定的正常行為相背離，則視其為惡意節(jié)點(diǎn)[8].對(duì)此，筆者提出了節(jié)點(diǎn)可移動(dòng)的組密鑰管理方案.方案中將簇內(nèi)節(jié)點(diǎn)按照部署區(qū)域劃分為多個(gè)組，每個(gè)組選舉出組長(zhǎng)節(jié)點(diǎn)并產(chǎn)生不同的通信密鑰，簇頭實(shí)時(shí)監(jiān)聽(tīng)簇內(nèi)每個(gè)組的通信和密鑰更新情況.分析結(jié)果表明，新方案滿足傳感器節(jié)點(diǎn)低存儲(chǔ)、低能耗的性能要求，且組密鑰中運(yùn)用了橢圓曲線密碼體制，用較小的開(kāi)銷實(shí)現(xiàn)了較高的安全性，更適合節(jié)點(diǎn)資源受限且易遭受攻擊的無(wú)線傳感器網(wǎng)絡(luò).

1 網(wǎng)絡(luò)模型建立

圖1 WSNs中節(jié)點(diǎn)可移動(dòng)場(chǎng)景下的分簇式組密鑰管理模型

針對(duì)節(jié)點(diǎn)可移動(dòng)場(chǎng)景下的動(dòng)態(tài)無(wú)線傳感器網(wǎng)絡(luò)，結(jié)合中國(guó)剩余定理和橢圓曲線密碼體制理論，提出了一種WSN中移動(dòng)場(chǎng)景下的分簇式組密鑰管理方案.網(wǎng)絡(luò)中將節(jié)點(diǎn)分為3種類型：基站、簇頭節(jié)點(diǎn)和普通節(jié)點(diǎn).其中，基站的計(jì)算、通信能力和能量不受限制，可以覆蓋網(wǎng)絡(luò)中的任意節(jié)點(diǎn)并且是完全可信的；簇頭節(jié)點(diǎn)位置較固定，擁有相對(duì)豐富的資源，可以正確處理一些簡(jiǎn)單的運(yùn)算且不易被俘獲；普通節(jié)點(diǎn)可以隨時(shí)移動(dòng)位置，但是資源受限且易遭受攻擊.普通節(jié)點(diǎn)根據(jù)職能又分為組長(zhǎng)節(jié)點(diǎn)和成員節(jié)點(diǎn)，其中組長(zhǎng)節(jié)點(diǎn)是由一定區(qū)域內(nèi)的普通節(jié)點(diǎn)按照一定的規(guī)則或算法[9]產(chǎn)生.組長(zhǎng)節(jié)點(diǎn)除了負(fù)責(zé)區(qū)域內(nèi)信息數(shù)據(jù)的采集和傳輸外，還要管理本組成員的流動(dòng)和組密鑰的產(chǎn)生.

常見(jiàn)的無(wú)線傳感器網(wǎng)絡(luò)為層簇結(jié)構(gòu)，在此基礎(chǔ)上，引入簇內(nèi)分組思想，將組密鑰管理分為2級(jí).如圖1所示，一級(jí)管理為簇頭節(jié)點(diǎn)管理本簇內(nèi)組長(zhǎng)節(jié)點(diǎn)，二級(jí)管理為組長(zhǎng)節(jié)點(diǎn)管理組內(nèi)成員節(jié)點(diǎn)，同時(shí)為每組成員個(gè)數(shù)設(shè)置上限.

假設(shè)：(1)網(wǎng)絡(luò)部署后的一段時(shí)間內(nèi)，沒(méi)有節(jié)點(diǎn)被妥協(xié)，基站能夠安全的完成一些網(wǎng)絡(luò)的初始化操作；(2)網(wǎng)絡(luò)具有入侵檢測(cè)機(jī)制，被妥協(xié)節(jié)點(diǎn)能夠?qū)崟r(shí)地被組長(zhǎng)或簇頭節(jié)點(diǎn)檢測(cè)出，而未妥協(xié)節(jié)點(diǎn)能夠正確的執(zhí)行相關(guān)運(yùn)算；(3)敵方妥協(xié)節(jié)點(diǎn)需要一定的時(shí)間，此間足夠進(jìn)行組密鑰更新.

2 相關(guān)知識(shí)

2.1中國(guó)剩余定理

令m1,m2,...,mn為n個(gè)兩兩互素的正整數(shù)(即當(dāng)i≠j時(shí)，gcd(mi,mj)=1)，b1,b2,...,bn為n個(gè)任意整數(shù)，則中國(guó)剩余定理[10]可以描述為：同余方程組

2.2橢圓曲線加密體制

在橢圓曲線加密(ECC)中，利用某種特殊形式的橢圓曲線，即定義在有限域Fp上的橢圓曲線,其方程為

y2=x3+ax+b(modp),

(1)

其中p是素?cái)?shù)，a和b為2個(gè)小于p的非負(fù)整數(shù)，且滿足關(guān)系式4a3+27b2(modp)≠0.x,y,a,b∈Fp，則滿足(1)式的點(diǎn)(x,y)和一個(gè)無(wú)窮點(diǎn)G就組成了橢圓曲線Ep(a,b).

現(xiàn)有的基于ECC的加密方法總結(jié)為：假設(shè)有素?cái)?shù)域上的橢圓曲線Ep(a,b)，G為橢圓曲線上的一個(gè)基點(diǎn)，其階為大素?cái)?shù)n.sA和sB分別為節(jié)點(diǎn)A和B的私鑰，pA和pB分別為對(duì)應(yīng)的公鑰,即pA=sAG,pB=sBG.假若節(jié)點(diǎn)A要向B發(fā)送消息m，A已知B的公鑰pB，則要進(jìn)行以下步驟：

(ⅰ)A采用雙方協(xié)商的加密算法將明文m加密為一個(gè)域元素m′.

(ⅱ)A隨機(jī)選擇一個(gè)正整數(shù)k，并產(chǎn)生密文Cm，該密文是一個(gè)點(diǎn)標(biāo)量對(duì)Cm={kG,m′+kpB}.A將Cm發(fā)送給B.

(ⅲ)B收到信息后，將標(biāo)量對(duì)的第2個(gè)值減去第1個(gè)值與B的私鑰sB的乘積，即m′+kpB-kG×sB=m′+kpB-k×sBG=m′.

(ⅳ)B用雙方協(xié)商的解密算法對(duì)m′進(jìn)行解密，就得到明文m.

3 分簇式組密鑰管理方案

3.1網(wǎng)絡(luò)初始化

網(wǎng)絡(luò)部署前，為基站選擇一個(gè)離線的可信任中心CA以及關(guān)于認(rèn)證和接入控制的實(shí)體ACS，假設(shè)二者絕對(duì)可信，且不會(huì)被妥協(xié).任意傳感器節(jié)點(diǎn)i被預(yù)置一系列信息{IDi,Ti,KSi-BS,mi,(Ci,ci)}.其中：IDi表示該節(jié)點(diǎn)的唯一身份標(biāo)志；Ti為節(jié)點(diǎn)的最遲加入網(wǎng)絡(luò)時(shí)間，即節(jié)點(diǎn)必須在此之前加入網(wǎng)絡(luò)，否則不會(huì)被視為新節(jié)點(diǎn)；mi為從兩兩互素的整數(shù)密鑰池中隨機(jī)選取的一個(gè)素?cái)?shù)，作為節(jié)點(diǎn)的一個(gè)密鑰；(Ci,ci)為CA根據(jù)橢圓曲線數(shù)字簽名算法(ECDSA)為節(jié)點(diǎn)計(jì)算的數(shù)字簽名，其表達(dá)式[8]為

式中：ri為隨機(jī)數(shù)；G為橢圓曲線Ep(a,b)上的點(diǎn)，其階為n；H(·)是能將二進(jìn)制序列轉(zhuǎn)化為整數(shù)的哈希函數(shù)；ST為ACS的私鑰，公鑰為PT，PT=STG.

3.2簇頭節(jié)點(diǎn)間建立對(duì)密鑰

根據(jù)文獻(xiàn)[6]，CA為不同批次加入網(wǎng)絡(luò)的簇頭節(jié)點(diǎn)分配不同的初始密鑰KI和相同的隨機(jī)函數(shù)f.鄰居發(fā)現(xiàn)階段時(shí)，每個(gè)簇頭節(jié)點(diǎn)u可計(jì)算自身主密鑰Ku=fKI(u)以及與鄰居節(jié)點(diǎn)的共享密鑰為Kuv=fKu(v).同時(shí)，鄰居節(jié)點(diǎn)v也能計(jì)算出Kvu=fKv(u)=Kuv，完成鄰居節(jié)點(diǎn)間對(duì)密鑰的建立.本階段結(jié)束后，所有節(jié)點(diǎn)刪除KI，保留自己的主密鑰以及與鄰居共享的對(duì)密鑰.此次對(duì)密鑰的建立無(wú)需節(jié)點(diǎn)間的密鑰傳輸，節(jié)省了節(jié)點(diǎn)的通信開(kāi)銷，降低了攔截攻擊幾率.

3.3節(jié)點(diǎn)加入

節(jié)點(diǎn)加入網(wǎng)絡(luò)包括新節(jié)點(diǎn)加入網(wǎng)絡(luò)和移動(dòng)節(jié)點(diǎn)加入網(wǎng)絡(luò)2種情況.

(1) 新節(jié)點(diǎn)加入網(wǎng)絡(luò).如果節(jié)點(diǎn)e被部署到簇Ⅰ區(qū)域，簇Ⅰ的簇頭就要根據(jù)節(jié)點(diǎn)加入信息，用橢圓曲線數(shù)字簽名算法驗(yàn)證新節(jié)點(diǎn)的身份.即e要加入網(wǎng)絡(luò)需執(zhí)行以下步驟：

(ⅰ) 節(jié)點(diǎn)e廣播一個(gè)信息加入包e→*：{join‖Te‖IDe‖|(Ce,ce)}.

(ⅲ) 簇頭Ⅰ檢查簇內(nèi)是否存在成員個(gè)數(shù)小于上限值t的組.若存在，就近選擇1個(gè)加入，同時(shí)告知IDe組密鑰信息；若不存在，則建立新的小組，并令I(lǐng)De為組長(zhǎng)，保存IDe并為其分配簇密鑰信息.

(2) 移動(dòng)節(jié)點(diǎn)加入.類似于情況(1)，不同的是移動(dòng)節(jié)點(diǎn)廣播時(shí)需要加入歷史更新信息Tlast，即最后一次組密鑰更新時(shí)間.欲加入簇的簇頭由此判斷其為移動(dòng)節(jié)點(diǎn)，并根據(jù)Tlast值判斷其是否為惡意節(jié)點(diǎn)：假設(shè)Tdead為節(jié)點(diǎn)離開(kāi)到重新加入網(wǎng)絡(luò)的最大間隔時(shí)間，若t-Tlast>Tdead，則視其為惡意節(jié)點(diǎn)，丟棄信息包.

3.4節(jié)點(diǎn)離開(kāi)

節(jié)點(diǎn)是否正常工作，可以通過(guò)一些檢測(cè)機(jī)制來(lái)實(shí)現(xiàn)認(rèn)證.比如簡(jiǎn)單的方法可通過(guò)簇頭或組長(zhǎng)節(jié)點(diǎn)定期廣播hello包來(lái)檢測(cè)：如果在有限時(shí)間內(nèi)沒(méi)有收到某個(gè)節(jié)點(diǎn)的反饋信息，就視該節(jié)點(diǎn)為已不存在或無(wú)法正常工作.

若成員節(jié)點(diǎn)或組長(zhǎng)節(jié)點(diǎn)已確定離開(kāi)，則組長(zhǎng)或簇頭(若離開(kāi)節(jié)點(diǎn)為組長(zhǎng)節(jié)點(diǎn))將離開(kāi)節(jié)點(diǎn)IDd從成員列表里刪除，同時(shí)告知簇頭并將本組成員個(gè)數(shù)-1，發(fā)起密鑰更新.

3.5密鑰更新

組密鑰更新分別由簇頭和組長(zhǎng)節(jié)點(diǎn)發(fā)起，包括節(jié)點(diǎn)離開(kāi)后簇頭或組長(zhǎng)節(jié)點(diǎn)發(fā)起的一級(jí)簇密鑰更新、二級(jí)組密鑰更新以及網(wǎng)絡(luò)周期性密鑰更新.當(dāng)網(wǎng)絡(luò)中有節(jié)點(diǎn)加入時(shí)，可直接由簇頭或組長(zhǎng)節(jié)點(diǎn)通知加入節(jié)點(diǎn)當(dāng)前組密鑰，無(wú)需發(fā)起更新.

(1) 一級(jí)簇密鑰更新，即簇頭節(jié)點(diǎn)與簇內(nèi)各小組組長(zhǎng)節(jié)點(diǎn)形成的組播密鑰更新.該更新過(guò)程如下：

(ⅰ) 簇頭節(jié)點(diǎn)保存有本簇組長(zhǎng)節(jié)點(diǎn)列表.第1次更新時(shí)，簇頭通過(guò)與基站共享的對(duì)密鑰將列表發(fā)送給基站.或者當(dāng)有組長(zhǎng)節(jié)點(diǎn)離開(kāi)時(shí)，要求基站將其從列表中刪除，發(fā)起密鑰更新.

(ⅱ) 基站根據(jù)成員IDi(包括簇頭本身)在CA中找到對(duì)應(yīng)的節(jié)點(diǎn)密鑰mi，然后隨機(jī)選擇一個(gè)密鑰k(周期性更新時(shí)只需更新k)，根據(jù)中國(guó)剩余定理計(jì)算

(ⅲ) 簇頭用共享組密鑰Kcluster將X值組播給簇內(nèi)各組長(zhǎng)節(jié)點(diǎn).此時(shí)，簇頭和組長(zhǎng)節(jié)點(diǎn)只需進(jìn)行一次簡(jiǎn)單的取模和一個(gè)求和運(yùn)算，就可得到正確的組密鑰，即kcluster=(Xmodmi)-mi，i=1,2,...,n.而不在成員列表中的節(jié)點(diǎn)由于沒(méi)有為計(jì)算貢獻(xiàn)密鑰mi，不能計(jì)算出正確的Kcluster.

(2) 二級(jí)組密鑰更新，即組長(zhǎng)節(jié)點(diǎn)與組內(nèi)成員節(jié)點(diǎn)形成的組播密鑰更新.組長(zhǎng)節(jié)點(diǎn)存儲(chǔ)有本組成員列表，組內(nèi)有節(jié)點(diǎn)離開(kāi)時(shí)，組長(zhǎng)節(jié)點(diǎn)將其從列表中刪除，并進(jìn)行組密鑰更新.更新過(guò)程如下：

(ⅱ) 節(jié)點(diǎn)接收信息并用Kgroup解密后，將第2個(gè)點(diǎn)減去第1個(gè)點(diǎn)與Kgroup的成績(jī)，即得出新密鑰Knew-group.組外節(jié)點(diǎn)即使得到標(biāo)量對(duì)(M1,M2)，將其ID值帶入A(x)后，其值不為1，也不能得到正確的更新密鑰，保證了更新組密鑰的安全.

4 安全和性能分析

4.1安全性分析

(1) 新方案中的組密鑰安全性主要是基于中國(guó)剩余定理和橢圓曲線的離散算法問(wèn)題.一級(jí)簇密鑰中將中國(guó)剩余定理的復(fù)雜運(yùn)算轉(zhuǎn)交給基站，一方面減少了節(jié)點(diǎn)的計(jì)算量，另一方面由簇頭節(jié)點(diǎn)通過(guò)對(duì)密鑰將信息傳輸給基站，也保證了密鑰傳輸?shù)陌踩?基站將計(jì)算的組密鑰信息X發(fā)送給簇頭，再由簇頭分發(fā)給簇內(nèi)各個(gè)組長(zhǎng)節(jié)點(diǎn).而任何其他節(jié)點(diǎn)，由于沒(méi)有貢獻(xiàn)密鑰信息mi，即使得到了X，也不能根據(jù)kcluster=(Xmodmi)-mi計(jì)算得出合法組密鑰kcluster.

M2-M1×Kgroup=Knew-groupA(x)+kKgroupG-kG×Kgroup=Knew-groupA(x)，

非組內(nèi)節(jié)點(diǎn)就不能得到Knew-group，而只能得到Knew-groupA(x).

(2)安全攻擊.針對(duì)WSNs的攻擊手段有被動(dòng)攻擊和主動(dòng)攻擊，被動(dòng)攻擊主要有竊聽(tīng)、攔截網(wǎng)絡(luò)中傳輸?shù)男畔?；主?dòng)攻擊主要有偽造、篡改和重放網(wǎng)絡(luò)信息以及拒絕服務(wù)(DoS)攻擊.因?yàn)閭鞲衅鞴?jié)點(diǎn)資源受限，所以重放攻擊等主動(dòng)攻擊手段會(huì)嚴(yán)重影響WSN的工作壽命.

新方案中對(duì)每個(gè)節(jié)點(diǎn)采用橢圓曲線數(shù)字簽名算法預(yù)置了唯一的簽名，來(lái)抵抗網(wǎng)絡(luò)中的攻擊.首先，節(jié)點(diǎn)加入階段，簇頭節(jié)點(diǎn)通過(guò)對(duì)其簽名進(jìn)行認(rèn)證來(lái)確定節(jié)點(diǎn)的身份是否合法，因此敵手無(wú)法偽造和篡改這些信息.其次，移動(dòng)節(jié)點(diǎn)加入與新節(jié)點(diǎn)加入網(wǎng)絡(luò)有所不同，廣播加入信息時(shí)需要在原有信息內(nèi)加入歷史更新信息Tlast，即最后一次組密鑰更新時(shí)間.欲加入簇的簇頭可由此判斷其為移動(dòng)節(jié)點(diǎn)，并根據(jù)Tlast值判斷其是否為惡意節(jié)點(diǎn)，再?zèng)Q定是否進(jìn)行驗(yàn)證，以此來(lái)抵御網(wǎng)絡(luò)重放攻擊.還有，本網(wǎng)絡(luò)所使用的密鑰更新算法都無(wú)需成員節(jié)點(diǎn)對(duì)接收信息進(jìn)行反饋，因此能夠有效抵制DoS攻擊.

(3)縮小威脅范圍.任何方案都不能保證其能夠抵御任何攻擊，新方案對(duì)簇內(nèi)節(jié)點(diǎn)再分組.這樣的好處是，當(dāng)局部網(wǎng)絡(luò)受到攻擊時(shí)，可以將威脅范圍縮到最小，而不會(huì)影響大部分網(wǎng)絡(luò)的正常運(yùn)行.

4.2性能分析

無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)的存儲(chǔ)空間、通信消耗和計(jì)算能力等資源都受限，因此各種資源都需要得到合理的利用.為方便分析和比較，假設(shè)網(wǎng)絡(luò)中每簇內(nèi)共有n個(gè)節(jié)點(diǎn)，每組節(jié)點(diǎn)個(gè)數(shù)上限為t，密鑰為ID，隨機(jī)數(shù)等長(zhǎng)度均為L(zhǎng)，時(shí)間長(zhǎng)度忽略不計(jì).

(1) 存儲(chǔ)消耗分析.新方案中每個(gè)節(jié)點(diǎn)需要預(yù)置信息{IDi,Ti,KSi-BS,mi,(Ci,ci)}.節(jié)點(diǎn)工作過(guò)程中，組長(zhǎng)節(jié)點(diǎn)還需要存儲(chǔ)簇密鑰Kcluster、本組成員列表和本組組密鑰Kgroup，成員節(jié)點(diǎn)需要保存Kgroup.即組長(zhǎng)節(jié)點(diǎn)的存儲(chǔ)消耗最大為(7+t)L，任意成員節(jié)點(diǎn)的存儲(chǔ)開(kāi)銷為6L.

(2) 能量消耗分析.網(wǎng)絡(luò)穩(wěn)定后，由基站利用中國(guó)剩余定理產(chǎn)生一級(jí)簇密鑰，簇頭將生成的密鑰信息X組播給組長(zhǎng)節(jié)點(diǎn)；組長(zhǎng)節(jié)點(diǎn)產(chǎn)生二級(jí)組密鑰后，將標(biāo)量對(duì)(M1,M2)組播給組內(nèi)成員，同時(shí)單播給所屬簇頭.因此，方案中組長(zhǎng)節(jié)點(diǎn)需接收X，長(zhǎng)度為1L，發(fā)送2次(M1,M2)，長(zhǎng)度為4L；成員節(jié)點(diǎn)需接收(M1,M2)，長(zhǎng)度為2L，不需要發(fā)送信息.

(3) 計(jì)算消耗分析.更新一次簇密鑰時(shí)，組長(zhǎng)節(jié)點(diǎn)需進(jìn)行一次取模和一次加法運(yùn)算；二級(jí)組密鑰計(jì)算時(shí)，組長(zhǎng)節(jié)點(diǎn)需進(jìn)行橢圓曲線加密運(yùn)算、乘法運(yùn)算和加法運(yùn)算，成員節(jié)點(diǎn)只需進(jìn)行乘法運(yùn)算和加法運(yùn)算.

文獻(xiàn)[11]方案1中，網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)擁有一個(gè)通信密鑰對(duì)(Snode_id,Pnode_id)，且每個(gè)組內(nèi)節(jié)點(diǎn)共享一對(duì)組公鑰和組私鑰，簇頭節(jié)點(diǎn)實(shí)時(shí)掌握每個(gè)組的通信組密鑰.組密鑰更新由每組的組長(zhǎng)節(jié)點(diǎn)發(fā)起，假設(shè)group_id組的組長(zhǎng)為Ngroup_id，成員節(jié)點(diǎn)Nnode_id∈Ngroup_id，則更新時(shí)進(jìn)行如下過(guò)程：

(1) 成員節(jié)點(diǎn)Nnode_id發(fā)出廣播Public(group_id,node_id,Pnode_id)，組內(nèi)剩余節(jié)點(diǎn)接收到消息后保存節(jié)點(diǎn)的公鑰Pnode_id(Pnode_id=Snode_idG).

(2) 接收節(jié)點(diǎn)從上一節(jié)點(diǎn)的Nodes集合中刪除自身，并選擇一節(jié)點(diǎn)作為下一個(gè)密鑰交換的節(jié)點(diǎn).并根據(jù)上一節(jié)點(diǎn)傳遞的協(xié)商密鑰Q，令Q=Snode_id*Q，繼續(xù)向下一個(gè)節(jié)點(diǎn)發(fā)送消息Hello(group_id,node_id,Q,Nodes).

(3)Nodes節(jié)點(diǎn)為空時(shí)，表示所有節(jié)點(diǎn)均已收到消息，即已協(xié)商出組共享密鑰.然后最后節(jié)點(diǎn)向前一個(gè)節(jié)點(diǎn)發(fā)送消息Reply_key(group_id,node_id,M1,M2)，其中，M1=kG,M2=Sgroup_id+k*Ppre，Ppre為前一個(gè)節(jié)點(diǎn)的公鑰.依次傳播，由此所有的節(jié)點(diǎn)都能從(M1,M2)中得出相同的組密鑰.

(4) 組長(zhǎng)節(jié)點(diǎn)將組密鑰加密傳給簇頭，使簇頭掌握最新組密鑰.

新方案與方案1[11]性能相比較如表2所示.

表2 方案性能比較

圖2 單個(gè)節(jié)點(diǎn)通信能量消耗比較

假設(shè)每個(gè)節(jié)點(diǎn)的能量為4 J，每個(gè)組有10個(gè)節(jié)點(diǎn)，則單個(gè)節(jié)點(diǎn)通信能量消耗比較如圖2所示.

從表2可以看出，新方案中節(jié)點(diǎn)的存儲(chǔ)需求要略大于方案1中節(jié)點(diǎn)需求，但存儲(chǔ)需求為常數(shù)，節(jié)點(diǎn)完全可以滿足.圖2為將表2中通信開(kāi)銷進(jìn)行MATLAB實(shí)驗(yàn)的結(jié)果.從圖2可以看出，假若每個(gè)節(jié)點(diǎn)有4 J的能量，則方案1中組長(zhǎng)節(jié)點(diǎn)最早消耗完，成員節(jié)點(diǎn)與新方案中組長(zhǎng)節(jié)點(diǎn)消耗相差無(wú)幾，而新方案中成員節(jié)點(diǎn)能量最后耗盡.也就是說(shuō)，網(wǎng)絡(luò)組密鑰更新時(shí)，新方案較方案1中節(jié)點(diǎn)通信能量消耗小.相同條件下，新方案中無(wú)論是組長(zhǎng)節(jié)點(diǎn)還是組內(nèi)成員節(jié)點(diǎn)的生存時(shí)間都要長(zhǎng)于方案1中相應(yīng)節(jié)點(diǎn).因此，新方案不但可以延長(zhǎng)整個(gè)網(wǎng)絡(luò)的生命周期，而且組內(nèi)節(jié)點(diǎn)由組長(zhǎng)集中管理，能夠更有序、高效地工作.考慮計(jì)算需求時(shí)，2個(gè)方案中都用到了橢圓曲線加密體制ECC，能量消耗類似，能夠用較小的開(kāi)銷實(shí)現(xiàn)較高的安全性，特別適合應(yīng)用于計(jì)算能力和帶寬等資源受限的無(wú)線傳感器網(wǎng)絡(luò).

5 結(jié)語(yǔ)

針對(duì)無(wú)線傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)能否移動(dòng)的問(wèn)題，結(jié)合中國(guó)剩余定理和橢圓曲線密碼體制，提出了一種WSN中節(jié)點(diǎn)可移動(dòng)場(chǎng)景下的分簇式組密鑰管理方案.特別地，移動(dòng)節(jié)點(diǎn)重新加入網(wǎng)絡(luò)時(shí)，由預(yù)加入簇的簇頭節(jié)點(diǎn)對(duì)移動(dòng)節(jié)點(diǎn)的歷史更新信息Tlast進(jìn)行確認(rèn)，并對(duì)其數(shù)字簽名進(jìn)行驗(yàn)證，確定身份合法后將其分配給簇內(nèi)成員尚有空缺的組.分析結(jié)果表明，該方案滿足無(wú)線傳感器網(wǎng)絡(luò)低存儲(chǔ)、低能耗的性能要求，且組密鑰中運(yùn)用了橢圓曲線密碼體制，用較小的開(kāi)銷實(shí)現(xiàn)了較高的安全性，更適合節(jié)點(diǎn)資源受限且易遭受攻擊的無(wú)線傳感器網(wǎng)絡(luò).

[1] ZHOU Rui，YANG Hua.A Hybrid Key Management Scheme for Heterogeneous Wireless Sensor Networks Based on Ecc and Trivariate Symmetric Polynomial[C].Bali:Proceedings of 2011 International Conference on Uncertainty Reasoning and Knowledge Engineering (URKE),2011:251-255.

[2] ZHANG Liping，CUI Guohua，YU Zhigang.An Efficient Group Key Agreement Protocol for Ad Hoc Networks[C].Dalian,China:Proceedings of 4th International Conference on Wireless Communications,Networking and Mobile Computing,2008：1-5.

[3] ZHOU Yun，ZHANG Yanchao，F(xiàn)ANG Yuguang.Access Control in Wireless Sensor Networks[J].Ad Hoc Networks，2007，5(1)：3-13.

[4] 李慧賢，龐遼軍，王育民.適合Ad Hoc網(wǎng)絡(luò)無(wú)需安全信道的密鑰管理方案[J].通信學(xué)報(bào)，2010，31(1)：112-117.

[5] DAHSHAN H，IRVINE J.An Elliptic Curve Distributed Key Management for Mobile Ad Hoc Networks[C].Taipei,Taiwan:Proceedings of 2010 IEEE 71st Vehicular Technology Conference (VTC 2010-Spring),2010：1-5.

[6] ZHU Sencun，SANJEEV SETIA，SUSHIL JAJODIA.LEAP+:Efficient Security Mechanisms for Large-Scale Distributed Sensor Networks[J].ACM Transactions on Sensor Networks (TOSN)，2006，2(4)：500-528.

[7] DENG Jing，CARL HARTUNG，RICHARD HAN，et al.A Practical Study of Transitory Master Key Establishment ForWireless Sensor Networks[C].Boulder:Proceedings of 1st IEEE/CreateNet Conference on Security and Privacy in Communications Networks (SecureComm 2005)，2005：289-302.

[8] 張 興，何涇沙，韋 潛.無(wú)線傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)移動(dòng)場(chǎng)景下的密鑰管理方法[J].東南大學(xué)學(xué)報(bào)：自然科學(xué)版，2011，41(2)：227-232.

[9] HEINZELMAN W R，CHANDRAKASAN A，BALAKRISHNAN H.Energy-Efficient Communication Protocol for Wireless Microsensor Networks[C].MIT,Cambridge,MA,USA:Proceedings of the 33rd Annual Hawaii International Conference on System Sciences，2000：10-12.

[10] ZHENG Xinliang，CHIN-TSER HUANG，MANTON MATTHEWS.Chinese Remainder Theorem Based Group Key Management[C].Las Vegas Nevada,USA:Proceedings of the 2009 International Conference on Security & Management,2007：266-271.

[11] 譚志剛，黃海平，王汝傳，等.基于簇內(nèi)分組的ECC密鑰管理方案[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22(2)：176-180.

(責(zé)任編輯 向陽(yáng)潔)

Cluster-BasedGroupKeyManagementSchemeforMobileNodesinWirelessSensorNetworks

ZHOU Jianqin1,2，WANG Ying1

(1.Telecommunication School,Hangzhou Dianzi University,Hangzhou 310018,China;2.Computer Science School,Anhui University of Technology,Ma’anshan 243002,Anhui China)

Aiming at the mobility of the nodes in wireless sensor network,a cluster-based group key management scheme for mobile nodes in wireless sensor networks is put forward based on the Chinese Remainder Theorem and Elliptic Curve Cryptosystem.Using the idea of grouping within cluster,the group key management was divided into two levels:the first level being the management of the cluster head and group leaders within the cluster,and the secondary being the management of group leader and its members.The former,by using the Chinese Remainder Theorem,transferred the amount of calculation to the base station,and saved the storage cost at the same time.The latter,by using elliptic curve cryptosystem,produced group keys,and each group shares different group keys.The cluster head was used to check the joining mobile node’s historic updating information,compute digital signature verification,and assigned it to the open group after authentication.Analysis results showed that the scheme meeted sensor node’s need for low storage and low energy consumption,and the use of elliptic curve cryptosystem increased the network’s security,making it more suitable for nodes’ resource-constrained and vulnerable wireless sensor networks.

Chinese Remainder Theorem;elliptic curve cryptosystem;digital signature;key management

1007-2985(2014)02-0023-07

2013-05-18

浙江省自然科學(xué)基金資助項(xiàng)目(Y1100318)

周建欽(1963-),男，山東巨野人，安徽工業(yè)大學(xué)計(jì)算機(jī)學(xué)院教授，主要從事理論計(jì)算機(jī)科學(xué)、密碼學(xué)研究.

TN918

A

10.3969/j.issn.1007-2985.2014.02.007