吳萬青，張子揚(yáng)，董亞華

河北大學(xué)網(wǎng)絡(luò)空間安全與計(jì)算機(jī)學(xué)院，河北 保定 071000

0 引言

無線傳感器網(wǎng)絡(luò)（wireless sensor network，WSN）通常由大量具有有限資源（包括有限計(jì)算能力、有限內(nèi)存、有限電源和有限功率）的傳感器節(jié)點(diǎn)組成［1］。每個傳感器節(jié)點(diǎn)包括四個子系統(tǒng)，即傳感子系統(tǒng)、通信子系統(tǒng)、計(jì)算子系統(tǒng)和電源子系統(tǒng)［2］。傳感器節(jié)點(diǎn)具有監(jiān)控物理環(huán)境的能力，已經(jīng)廣泛應(yīng)用于工業(yè)、農(nóng)業(yè)等行業(yè)及智能家居和人體可穿戴設(shè)備［3］。

隨著無線傳感器網(wǎng)絡(luò)的日益普及，其安全性逐漸引起了公眾的關(guān)注［3］。傳感器節(jié)點(diǎn)之間的數(shù)據(jù)傳輸需要通過特定的加密技術(shù)來保證通信安全。目前的加密技術(shù)有非對稱密鑰加密技術(shù)和對稱密鑰加密技術(shù)。非對稱密鑰加密技術(shù)能量開銷（包括存儲開銷、計(jì)算開銷和通信開銷）較大，所以它無法很好地適用于無線傳感器網(wǎng)絡(luò)。相對于非對稱加密，對稱密鑰擁有更低的計(jì)算開銷和通信開銷，因此對稱密鑰加密技術(shù)在無線傳感器網(wǎng)絡(luò)得到廣泛應(yīng)用［4］。

為了減少無線傳感器網(wǎng)絡(luò)能量開銷，提高網(wǎng)絡(luò)安全性，學(xué)者們對對稱密鑰分配方案進(jìn)行了研究。2016年，Selva等［5］針對前人方案安全性能隨著受損節(jié)點(diǎn)數(shù)量的增加而降低的問題，提出了一種基于多項(xiàng)式和多元映射的三重密鑰分配方案。2017年，Chakavarika等［6］提出了一種改進(jìn)的節(jié)能密鑰分發(fā)和管理方案。此方案在存儲開銷和計(jì)算開銷方面是可擴(kuò)展的，在密鑰更新階段引入加密的隨機(jī)數(shù)提高了網(wǎng)絡(luò)安全性。Messai等［7］針對網(wǎng)絡(luò)的安全性隨著時間下降的問題，提出了一種適用于多相無線傳感器網(wǎng)絡(luò)的密鑰預(yù)分配方案——多相q-composite密 鑰 方 案（multi-phaseq-composite keys scheme，MPQ）。該方案在q-composite密鑰方案的基礎(chǔ)上進(jìn)行改進(jìn)，增加了網(wǎng)絡(luò)的自愈能力。Gandino等［8］針對q-composite方案的內(nèi)存開銷問題，提出了一種新的協(xié)議q-s-composite，提高了內(nèi)存管理效率。2019年，Albakri等［9］提出了一種基于概率多項(xiàng)式的組密鑰預(yù)分發(fā)方案（group key pre-distribution scheme，GKPS），顯著降低了傳感器遭受節(jié)點(diǎn)捕獲攻擊的概率，提高了無線傳感器網(wǎng)絡(luò)的安全性。2020年，Manasrah等［10］基于多項(xiàng)式池密鑰預(yù)分配方案和分塊邏輯單元分解算法，提出了一種高效的無線傳感器網(wǎng)絡(luò)密鑰管理方案。該方案使用多個空間來獲得共享密鑰，確保任何兩個通信節(jié)點(diǎn)在通信開始之前必須共享一個公共密鑰，減少了預(yù)先分配給傳感器節(jié)點(diǎn)的信息量。同年，Li等［11］針對文獻(xiàn)［8］中qs-composite方案不能抵御節(jié)點(diǎn)復(fù)制攻擊的缺點(diǎn)，提出了一種安全的隨機(jī)密鑰分配方案（secure random key distribution scheme，SRKD），將本地化算法與投票機(jī)制相結(jié)合，以支持惡意節(jié)點(diǎn)的檢測和撤銷，并進(jìn)一步更改參數(shù)以抵御節(jié)點(diǎn)復(fù)制攻擊。Harn等［12］針對無線傳感器計(jì)算能力有限的問題，提出了一種新穎的密鑰分配方案。其密鑰分發(fā)協(xié)議只需要邏輯異或操作，相比其他方案，運(yùn)算速度要快得多。

為了提高無線傳感器網(wǎng)絡(luò)的可管理性，延長網(wǎng)絡(luò)的壽命，學(xué)者們提出了基于簇的密鑰分配方案。2020年，Rehman等［13］利用多項(xiàng)式來實(shí)現(xiàn)有效的簇內(nèi)密鑰管理，并生成多項(xiàng)式來進(jìn)行簇間密鑰分配，通過減小密鑰池的大小來延長網(wǎng)絡(luò)的生存時間。2021年，F(xiàn)ang等［14］為了抵御內(nèi)部攻擊，提出了基于二項(xiàng)分布的輕量級信任管理方案（lightweight trust management scheme，LTMS），同時引入距離域、能量域、安全域和環(huán)境域，提出了基于動態(tài)維度權(quán)重的多維安全分簇路由（multidimensional secure clus?tered routing，MSCR）方案，實(shí)現(xiàn)了安全性、傳輸性能和能效之間的平衡。但是，在該方案中如果簇頭被捕獲，則簇內(nèi)所有節(jié)點(diǎn)都會面臨安全威脅。

為了解決上述問題且在連通性、能量消耗和安全性之間尋找平衡，本文將無線傳感器所在區(qū)域劃分為環(huán)形區(qū)域，提出了一種環(huán)形區(qū)域無線傳感器網(wǎng)絡(luò)的密鑰管理方案。

1 本文方案

在本文方案中，簇間通信使用基于二元對稱多項(xiàng)式的密鑰分配方案；簇內(nèi)的通信使用基于中國剩余定理的密鑰分配方案。本方案使用分層式網(wǎng)絡(luò)結(jié)構(gòu)，并對簇頭進(jìn)行了隱藏。表1列出了本方案所用符號。

表1 本方案符號Table 1 Symbols of this scheme

密鑰分配方案包括兩個主要階段：初始化階段和執(zhí)行階段。

1.1 初始化階段

1.1.1 網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖D1所示。拓?fù)鋱D中，每個圓之間的距離為r/2，其中r為節(jié)點(diǎn)通信半徑。第一環(huán)為一個半徑為r/2的圓。每個環(huán)都有標(biāo)識符，為R1，R2，…，Rn。在環(huán)內(nèi)沿逆時針劃分區(qū)域。第二環(huán)有9個子區(qū)域，第三環(huán)有15個子區(qū)域，…，第n環(huán)有3·（2n-1）個子區(qū)域。并且每個子區(qū)域的標(biāo)識符按逆時針為R2D1，R2D2，…，R2D9，…，RnD（3·（2n-1））。其中，D為子區(qū)域標(biāo)識。若節(jié)點(diǎn)在徑向邊界線上，則統(tǒng)一屬于最小子區(qū)域編號的區(qū)域。若節(jié)點(diǎn)在環(huán)向邊界線上，則統(tǒng)一屬于最小環(huán)編號的區(qū)域。若節(jié)點(diǎn)在徑向和環(huán)向的交叉線上，則統(tǒng)一屬于最小環(huán)編號且最小子區(qū)域編號的區(qū)域。

圖1 網(wǎng)絡(luò)拓?fù)銯ig.1 Network topology

1.1.2 網(wǎng)絡(luò)模型和協(xié)議安全假設(shè)

1）網(wǎng)絡(luò)模型

本方案中，節(jié)點(diǎn)有三種類型：基站、簇頭和普通傳感器節(jié)點(diǎn)。部署網(wǎng)絡(luò)后，網(wǎng)絡(luò)按照輪數(shù)運(yùn)行，所有傳感器節(jié)點(diǎn)都已固定，都擁有自己的剩余能量、所在區(qū)域、節(jié)點(diǎn)ID，且ID各不相同，并且具有確定的傳輸范圍和傳輸速率。所有節(jié)點(diǎn)的初始電池電量、內(nèi)存存儲大小、CPU處理能力、無線電傳輸范圍都相同。它們部署在一個監(jiān)控區(qū)域。

基站是靜態(tài)的且值得信任，通信范圍覆蓋整個傳感器網(wǎng)絡(luò)，具有無限的計(jì)算、通信和存儲能力，并已經(jīng)存儲了網(wǎng)絡(luò)中所有節(jié)點(diǎn)的基本信息。此外，基站可以驗(yàn)證節(jié)點(diǎn)的安全性。

簇頭負(fù)責(zé)從簇內(nèi)成員處收集數(shù)據(jù)，并逐層轉(zhuǎn)發(fā)給基站。普通傳感器節(jié)點(diǎn)負(fù)責(zé)收集周圍環(huán)境數(shù)據(jù)，并將數(shù)據(jù)發(fā)送給其鄰居節(jié)點(diǎn)或簇頭。

成員節(jié)點(diǎn)只接收本區(qū)域的消息，不能向其他區(qū)域的節(jié)點(diǎn)發(fā)送消息，同時也不接收來自外部區(qū)域的消息，如果發(fā)送或接收，則被視為惡意成員節(jié)點(diǎn)。只有簇頭可以接收外部區(qū)域消息，并且可以向外部區(qū)域發(fā)送消息。

2）協(xié)議安全假設(shè)

在網(wǎng)絡(luò)建立階段，所有節(jié)點(diǎn)都不會被對手捕獲，整個網(wǎng)絡(luò)是安全的；一個子區(qū)域是一個簇，并且每個節(jié)點(diǎn)發(fā)送的消息總有一條路徑可以到達(dá)基站；除了區(qū)域R1以外，簇頭只能與本區(qū)域的節(jié)點(diǎn)及其他區(qū)域的簇頭進(jìn)行通信；R1區(qū)域的簇頭可以和本區(qū)域節(jié)點(diǎn)、其他區(qū)域的簇頭通信，并且可以和基站進(jìn)行直接通信；所有節(jié)點(diǎn)（包括基站）只能以廣播的形式進(jìn)行通信。

1.1.3 密鑰初始化階段

1.1.3 .1 簇頭指定和密鑰部署階段

節(jié) 點(diǎn)Si，j，g部 署 之 前 封 裝 一 個 隨 機(jī) 數(shù)ai，j，g、一 個獨(dú) 立 的 種 子 密 鑰mi，j，g、一 個 獨(dú) 立 密 鑰K i，j，g和 一 個 相同的初始密鑰Kinit（其中，i代表環(huán)編號，j代表子區(qū)域編號，g代表節(jié)點(diǎn)在區(qū)域內(nèi)的編號）。

所有節(jié)點(diǎn)同時開機(jī)，按照封裝隨機(jī)數(shù)的順序使用數(shù)據(jù)包格式1（圖2）廣播ID，每個節(jié)點(diǎn)只接收本區(qū)域內(nèi)的數(shù)據(jù)包，存儲同區(qū)域其他節(jié)點(diǎn)的ID，加入ID列表，并回復(fù)確認(rèn)消息。節(jié)點(diǎn)將自己的ID和所在區(qū)域標(biāo)識發(fā)送至基站?；緦⑹盏焦?jié)點(diǎn)的ID和所在區(qū)域標(biāo)識存儲到列表中。

圖2 數(shù)據(jù)包格式1 Fig.2 Packet format 1

1）簇頭指定階段。所有的簇頭和備用簇頭由基站隨機(jī)指定，并驗(yàn)證其安全性，將簇頭作為信任節(jié)點(diǎn)?；緸槊總€簇頭生成新的ID（記作IDi，j）和簇頭的初始密鑰Kinitch。將E ki，j，g(IDi，j，Kinitch，Hello CH)廣播至對應(yīng)簇頭，根據(jù)列表按環(huán)分批進(jìn)行廣播。首先廣播第一環(huán)，然后逐步加大信號強(qiáng)度到最后一環(huán)。簇頭對比數(shù)據(jù)包找到自己的區(qū)域標(biāo)識并對比數(shù)據(jù)包中目的ID來接收發(fā)送給自己的消息。所以，只有簇頭節(jié)點(diǎn)可收到并使用獨(dú)立密鑰Ki，j，g通過D ki，j，g(IDi，j，Kinitch，Hello CH)解密得到消息，知道自己是簇頭。

2）密鑰部署階段?；驹诿總€簇中尋找種子密 鑰 的 最 小 值min（mi，j，g）并 將min（mi，j，g）發(fā) 送 至 對應(yīng)區(qū)域簇頭，通知簇頭廣播自己的H（IDi，j），相鄰區(qū)域簇頭和本區(qū)域成員節(jié)點(diǎn)接收H（IDi，j）并將其存儲。

基站在有限域GF（p）上生成大量二元t次對稱多項(xiàng)式

其中，有限域的素?cái)?shù)p應(yīng)該足夠大。每個多項(xiàng)式有兩個變量（x，y）和兩個整數(shù)系數(shù)t以及從GF（p）中隨機(jī)選擇的ace。基站用每個簇頭的ID替換簇頭所在 環(huán) 和 上 一 環(huán) 多 項(xiàng) 式 中 的x，生 成fr i(IDi，j，y)和fr i-1(IDi，j，y)。密 鑰 分 發(fā) 中 心（KDC）將fr i(IDi，j，y)發(fā)送至第ri環(huán)和第r i-1環(huán)的所有簇頭（第一環(huán)只存儲fr1(ID1，1，y)），直到網(wǎng)絡(luò)中除了第一環(huán)以外，所有的簇頭都收到fr i(IDi，j，y)和fr i-1(IDi，j，y)。

1.1.3 .2 簇間密鑰發(fā)現(xiàn)階段

本階段主要工作為：生成簇頭之間的通信密鑰KCH-CH。

屬于不同環(huán)的相鄰子區(qū)域的簇頭可以建立通信密鑰。但是，屬于相同環(huán)的簇頭不能建立通信密鑰。假設(shè)CH1，1，CH2，1分別為第一環(huán)的第一個子區(qū)域的簇頭和第二環(huán)的第一個子區(qū)域的簇頭。CH1，1的ID為ID1，1，CH2，1的ID為ID2，1。每 個 簇頭節(jié)點(diǎn)在密鑰初始化階段已收到多項(xiàng)式，如CH1，1收到fr1(ID1，1，y)，CH2，1收到fr2(ID2，1，y)和fr1(ID2，1，y)。

以下為簇間公共密鑰發(fā)現(xiàn)階段步驟：

Step 1CH1，1使 用 數(shù) 據(jù) 包 格 式2（圖3）廣 播E Kinitch(ID1，1，N1，1)，目的ID的哈希值為相鄰區(qū)域簇頭的哈希值；

圖3 數(shù)據(jù)包格式2 Fig.3 Packet format 2

Step 2CH2，1收到消息，通過D Kinitch(ID1，1，N1，1)解密得到ID1，1和N1，1；

Step 3根據(jù)區(qū)域標(biāo)識，將ID1，1帶入對應(yīng)環(huán)的多項(xiàng)式中，用ID1，1替換y，生成fr1(ID2，1，ID1，1)；

Step 4CH2，1廣播E Kinitch(ID2，1，N2，1)；

Step 5CH1，1收到消息，通過D Kinitch(ID2，1，N2，1)解密得到ID2，1和N2，1；

Step 6根據(jù)區(qū)域標(biāo)識，將ID2，1帶入對應(yīng)環(huán)的多 項(xiàng) 式 中，用ID2，1替 換y，生 成fr1(ID1，1，ID2，1)。所以 在 二 元對稱 多 項(xiàng) 式f r i(x，y)中，fr1(ID2，1，ID1，1)=fr1(ID1，1，ID2，1)；

Step 7CH1，1生成與CH2，1的通信密鑰

KCH1，1-CH2，1=H(fr1(ID2，1，ID1，1)||max(ID1，1，ID2，1)||min(N1，1，N2，1))

Step 8CH1，1向CH2，1回復(fù)確認(rèn)消息；

Step 9CH2，1生成與CH1，1的通信密鑰

KCH2，1-CH1，1=H(fr1(ID2，1，ID1，1)||max(ID1，1，ID2，1)||min(N1，1，N2，1))

且KCH1，1-CH2，1=KCH2，1-CH1，1。

1.1.3 .3 簇內(nèi)密鑰建立階段

本階段主要工作為：利用中國剩余定理生成簇內(nèi)成員節(jié)點(diǎn)與簇頭的通信密鑰kg。

中國剩余定理如下

其中，n為簇內(nèi)成員節(jié)點(diǎn)的數(shù)量，kg為成員節(jié)點(diǎn)和簇頭的通信密鑰。mi，j，g為節(jié)點(diǎn)的種子密鑰。kg由X和節(jié)點(diǎn)的種子密鑰mi，j，g計(jì)算得到。根據(jù)中國剩余定理，kg是互素的，并且同余的，所以X有唯一解。

簇頭根據(jù)在密鑰初始化階段收到的min（mi，j，g），隨機(jī)生成n個（n為簇內(nèi)成員節(jié)點(diǎn)的數(shù)量）互不相等的通信密鑰kg，且kg≤min(mi，j，g)。將所有kg發(fā)送至基站?；靖鶕?jù)每個簇中所有成員節(jié)點(diǎn)的mi，j，g和kg利用（3）式計(jì)算出每個簇的X，并將X發(fā)送至對應(yīng)區(qū)域的簇頭節(jié)點(diǎn)。X由簇頭節(jié)點(diǎn)廣播至區(qū)域內(nèi)所有成員節(jié)點(diǎn)。簇內(nèi)所有成員節(jié)點(diǎn)根據(jù)X和mi，j，g計(jì)算自己與簇頭的通信密鑰kg。計(jì)算過程如下

1.1.3 .4 簇間密鑰路徑建立階段

為了將數(shù)據(jù)路由到基站，以基站為根的簇頭的定向虛擬骨干網(wǎng)（DVB）構(gòu)建過程如下：

基站向第一環(huán)的簇頭發(fā)送路由請求消息RREQ（包括自己的ID、等級）?；镜牡燃墳?，即L（BS）=0，當(dāng)?shù)谝画h(huán)的CHv，j接收到請求消息，將自己的等級改為比基站高一級，即L（v）=L（BS）+1。并將基站作為自己的父節(jié)點(diǎn)，即PN（v）=BS。第一環(huán)的所有簇頭指定為一級。遞歸地，CHv，j廣播修改后的REEQ消息由它的ID、L（v）和Er（v）組成。如果CHu，j收到消息，并且它的級別L（u）等于或小于節(jié)點(diǎn)v的級別L（v），那么CHu，j直接丟棄該消息。否則，CHu，j將其 級 別 更 新 為比CHv，j的 級 別 多一個級別，即L（u）=L（v）+1，并將其設(shè)置為其父節(jié)點(diǎn)之一，即PN（u）=v。遞歸地，所有簇頭廣播RREQ，以完成定向虛擬骨干網(wǎng)的建立。

在定向虛擬骨干網(wǎng)中，一個簇頭可能有多個父節(jié)點(diǎn)，因此通向基站的路徑有多條。設(shè)v1，v2，v3，…，vp是屬于集合PN（u）的一組簇頭。在發(fā)送數(shù)據(jù)包之前，CHu，j計(jì)算比自己小一級別的鄰居簇頭的平均剩

1.2 執(zhí)行階段

1.2.1 簇頭更換

如果簇頭節(jié)點(diǎn)的能量低于能量閾值，則將備用簇頭替換為簇頭并選取新的備用簇頭。

需要被更換的簇頭（記作CHold）向基站發(fā)送簇頭更換請求信息Change CH?；就ㄖ獋溆么仡^，將備用簇頭充當(dāng)為新的簇頭（記作CHnew）。基站生成 一 個 隨 機(jī) 數(shù)R，并 為CHnew生 成ID（new）i，j，計(jì) 算Kinitch-new=R⊕Kinitch，將CHold的種子密鑰加入種子密鑰列表，并對簇內(nèi)所有節(jié)點(diǎn)的安全性進(jìn)行驗(yàn)證。由于本方案側(cè)重點(diǎn)并非惡意檢測，所以本文將不再對惡意檢測的區(qū)分以及是否需要定時檢測進(jìn)行詳細(xì)說明。若發(fā)現(xiàn)惡意節(jié)點(diǎn)，則將惡意節(jié)點(diǎn)ID移除ID列表并通知簇內(nèi)所有節(jié)點(diǎn)將其ID移除ID列表，直到區(qū)域中不存在惡意節(jié)點(diǎn)或者惡意節(jié)點(diǎn)ID已從所有節(jié)點(diǎn)的ID列表中移除才繼續(xù)進(jìn)行以下步驟。

基站刪除列表中CHnew的種子密鑰，將CHold的種子密鑰加入列表，尋找發(fā)生簇頭更換區(qū)域內(nèi)種子密鑰的最小值min（mi，j，g），并將min（mi，j，g）、ID（new）i，j和Kinitch-new發(fā)送至CHnew。將R發(fā)送給除CHnew以外所有簇頭節(jié)點(diǎn)，簇頭收到R后，計(jì)算Kinitch-new=R⊕Kinitch?；靖鶕?jù)CHnew的ID生成CHnew所在環(huán)和上一環(huán)的多項(xiàng)式fr1（ID（new）i，j，y）和fr1-1（ID（new）i，j，y），由KDC發(fā) 送 給CHnew。CHnew與鄰居簇頭交換ID和隨機(jī)數(shù)生成新的簇間通信密鑰kCH-CH-new，并隨機(jī)生成n個（n為簇內(nèi)成員節(jié)點(diǎn)的數(shù)量）互不相等的通信密鑰kg，且kg≤min(mi，j，g)，將所有kg發(fā)送至基站?；靖鶕?jù)發(fā)生簇頭更換區(qū)域中所有成員節(jié)點(diǎn)的mi，j，g和kg利用（3）式計(jì)算出簇內(nèi)Xnew，并將Xnew發(fā)送至CHnew。將H（ID（new）i，j）發(fā)送至簇內(nèi)包括CHold在內(nèi)的所有成員節(jié)點(diǎn)。CHnew將Xnew廣播至簇內(nèi)所有成員節(jié)點(diǎn)并通知簇內(nèi)所有成員節(jié)點(diǎn)廣播自己的ID，所有成員節(jié)點(diǎn)收到Xnew和ID后，回復(fù)確認(rèn)消息并更新自己的ID列表，計(jì)算與CHnew的通信密鑰kg。隨后，CHnew進(jìn)行備用簇頭選舉階段。

在備用簇頭選舉階段，所有成員節(jié)點(diǎn)根據(jù)接收信號強(qiáng)度計(jì)算本節(jié)點(diǎn)到簇內(nèi)其他節(jié)點(diǎn)的距離之和Ds（g）。并將自己的剩余能量Er（g）、Ds（g）和擔(dān)任過簇頭的輪數(shù)rCH（g）發(fā)送至CHnew。CHnew尋找簇內(nèi)節(jié)點(diǎn)最大剩余能量Emax、最小剩余能量Emin和最大距離Dmax，并計(jì)算簇內(nèi)所有成員節(jié)點(diǎn)剩余能量因素節(jié)點(diǎn)之間距離因素D(g)=和擔(dān)任過簇頭的輪數(shù)因素R(g)=其中，rtotal表示網(wǎng)絡(luò)運(yùn)行過的輪數(shù)。CHnew為每個成員節(jié)點(diǎn)計(jì)算簇頭選舉參量值

其中，w1，w2，w3為權(quán)重，用來調(diào)整每個因素的重要程度，且w1+w2+w3=1。

權(quán)重的更新公式為

簇內(nèi)節(jié)點(diǎn)的剩余能量兩極分化越來越嚴(yán)重，則（6）式分子越來越大，導(dǎo)致能量因素所占比例也會變大。CHnew比較所有成員節(jié)點(diǎn)的Zg，選取具有最大Zg的節(jié)點(diǎn)作為備用簇頭，并通知基站驗(yàn)證其安全性，作為信任節(jié)點(diǎn)?；緸镃Hold分配IDi，j，g并將其作為普通成員節(jié)點(diǎn)。

1.2.2 節(jié)點(diǎn)主動退出

1）成員節(jié)點(diǎn)退出

要主動退出的節(jié)點(diǎn)（記作Sleave）向自己所在區(qū)域的簇頭廣播自己的節(jié)點(diǎn)標(biāo)識（記作IDleave）以及退出消息Leave。簇頭收到消息后向基站發(fā)送IDleave和退出請求消息?；緦leave的種子密鑰刪除，并對簇內(nèi)所有節(jié)點(diǎn)的安全性進(jìn)行驗(yàn)證，然后進(jìn)行以下步驟。

基站向簇頭回復(fù)確認(rèn)消息并通知簇頭隨機(jī)生成n個（n為簇內(nèi)成員節(jié)點(diǎn)的數(shù)量）互不相等的通信密鑰kg，且kg≤min(mi，j，g)。簇頭將生成的所有kg發(fā)送至基站；基站根據(jù)簇內(nèi)成員節(jié)點(diǎn)的mi，j，g和kg利用（3）式計(jì)算得到Xnew，并將Xnew發(fā)送至簇頭?；竞痛仡^將IDleave移除ID列表。簇頭將Xnew發(fā)送至簇內(nèi)所有成員節(jié)點(diǎn)，并通知簇內(nèi)成員節(jié)點(diǎn)將IDleave移除ID列表。成員節(jié)點(diǎn)收到Xnew后，計(jì)算新的kg?；緳z查IDleave，若Sleave是備用簇頭節(jié)點(diǎn)，基站向簇頭發(fā)送執(zhí)行備用簇頭選舉操作命令。由簇頭執(zhí)行備用簇頭選舉。若Sleave不是備用簇頭節(jié)點(diǎn)，則不進(jìn)行備用簇頭選舉。

2）簇頭退出

要退出的簇頭（記作CHleave）發(fā)送退出請求消息Leave至基站。基站刪除種子密鑰列表中CHnew和CHleave的種子密鑰，然后執(zhí)行簇頭更換操作，將備用簇頭替換要退出的簇頭并選舉新的備用簇頭。

1.2.3 節(jié)點(diǎn)被捕或意外損壞

1）成員節(jié)點(diǎn)被捕或意外損壞

簇頭定時檢查區(qū)域內(nèi)每個成員節(jié)點(diǎn)是否有消息回傳。若沒有，簇頭向基站廣播丟失節(jié)點(diǎn)的標(biāo)識（記作IDloss）和節(jié)點(diǎn)丟失消息Loss?；踞槍G失節(jié)點(diǎn)執(zhí)行簇內(nèi)成員節(jié)點(diǎn)退出操作，更新kg。

2）簇頭被捕或意外損壞

基站定時檢查每個區(qū)域的簇頭是否有消息回傳。若沒有，則基站通知備用簇頭作為新的簇頭?；踞槍G失簇頭執(zhí)行簇頭退出操作，更新Kinitch、kCH-CH、kg并選舉新的備用簇頭。

1.2.4 節(jié)點(diǎn)加入

要加入網(wǎng)絡(luò)的節(jié)點(diǎn)（記作Sjoin）向所在區(qū)域簇頭發(fā)送Sjoin的節(jié)點(diǎn)標(biāo)識（記作IDjoin）和加入請求Join。簇頭收到消息后向基站發(fā)送IDjoin和節(jié)點(diǎn)加入請求Join。

基站對Sjoin所在簇內(nèi)所有成員節(jié)點(diǎn)以及Sjoin進(jìn)行安全性驗(yàn)證。若發(fā)現(xiàn)惡意節(jié)點(diǎn)是Sjoin，則禁止Sjoin加入網(wǎng)絡(luò)；否則，刪除惡意節(jié)點(diǎn)并進(jìn)行以下步驟。

基站將IDjoin和Sjoin的種子密鑰加入列表，尋找發(fā) 生節(jié)點(diǎn)加入?yún)^(qū)域內(nèi)節(jié)點(diǎn)種子密鑰的min（mi，j，g），并將min（mi，j，g）發(fā)送至簇頭。簇頭隨機(jī)生成n個（n為簇內(nèi)成員節(jié)點(diǎn)的數(shù)量）互不相等的通信密鑰kg，且kg≤min(mi，j，g)，并將生成的所有kg發(fā)送至基站?；靖鶕?jù)發(fā)生節(jié)點(diǎn)加入?yún)^(qū)域中所有成員節(jié)點(diǎn)的mi，j，g和kg利用（3）式計(jì)算出簇中新的Xnew，并將Xnew發(fā)送至簇頭。將簇頭ID的哈希值發(fā)送至Sjoin；簇頭將Xnew發(fā)送至簇內(nèi)所有成員節(jié)點(diǎn)并通知簇內(nèi)所有成員節(jié)點(diǎn)廣播自己的ID，所有成員節(jié)點(diǎn)收到Xnew和ID后，回復(fù)確認(rèn)消息并更新自己的ID列表，計(jì)算與簇頭的通信密鑰kg。

2 方案分析與仿真

本節(jié)將對密鑰分發(fā)的正確性、安全性、連通性和能量消耗四個部分進(jìn)行詳細(xì)的分析。本方案和文獻(xiàn)［3］方案的實(shí)驗(yàn)環(huán)境都是基于Windows 10（64位）系統(tǒng)，硬件配置是Intel（R）Core（TM）i5-9400（2.90 GHz）處理器，8 GB內(nèi)存，采用MATLAB進(jìn)行仿真實(shí)驗(yàn)。本方案加密消息使用AES對稱加密算法，且多項(xiàng)式中的系數(shù)ace從GF（p）中隨機(jī)選擇。仿真參數(shù)如表2所示。

表2 仿真參數(shù)Table 2 Simulation par ameter s

2.1 密鑰分發(fā)的正確性

密鑰分發(fā)的正確性分析主要是分析密鑰分發(fā)階段執(zhí)行的正確性，即密鑰分發(fā)階段執(zhí)行完畢之后是否達(dá)成了密鑰分發(fā)階段的目標(biāo)。

節(jié)點(diǎn)在部署之前就已封裝好Kinit和K i，j，g，Kinitch的 分 發(fā)消息由Ki，j，g進(jìn)行加密，K i，j，g是節(jié) 點(diǎn) 獨(dú) 立的密鑰且只有基站和Si，j，g擁有，所以Kinitch只有指定的簇頭節(jié)點(diǎn)可以解密得到；多項(xiàng)式由基站生成，由KDC用K i，j，g加密分發(fā)，只有指定的簇頭節(jié)點(diǎn)可以解密得到，ID和隨機(jī)數(shù)的交換用Kinitch加密，簇頭可信且Kinitch是安全的，只有鄰居簇頭節(jié)點(diǎn)可以解密消息并生成KCH-CH；kg由節(jié)點(diǎn)獨(dú)立的種子密鑰和X計(jì)算得到，在尋找最小種子密鑰之前，基站對簇內(nèi)成員節(jié)點(diǎn) 進(jìn) 行 安 全 性 驗(yàn) 證。保 證 了min（mi，j，g）的正確性，進(jìn)而保證了kg的正確性。X由基站生成用獨(dú)立密鑰K i，j，g加密發(fā)送至簇頭，由簇頭用Kinit加密廣播至簇內(nèi)所有成員節(jié)點(diǎn)，成員節(jié)點(diǎn)不能接收其他區(qū)域數(shù)據(jù)包，只有本區(qū)域節(jié)點(diǎn)可以收到X，保證了X分發(fā)的正確性；每個階段開始之前都會由基站對簇內(nèi)成員節(jié)點(diǎn)進(jìn)行安全性驗(yàn)證，選舉備用簇頭的參與者都是安全節(jié)點(diǎn)，保證了備用簇頭選舉過程的正確性。

2.2 安全性

2.2.1 魯棒性

考慮到網(wǎng)絡(luò)中可能存在惡意參與者，他們會通過向協(xié)議中輸入非法數(shù)據(jù)或者非法執(zhí)行協(xié)議等行為來對協(xié)議的執(zhí)行過程造成威脅，進(jìn)而獲取有用信息或者影響協(xié)議執(zhí)行。魯棒性要求本方案在有惡意參與者的情況下能部分地正確執(zhí)行，同時也要保證其他誠實(shí)節(jié)點(diǎn)所持有秘密信息的安全性。

本方案中所有節(jié)點(diǎn)都是以廣播的形式進(jìn)行通信，數(shù)據(jù)包中的源ID和目的ID都由特定的哈希函數(shù)處理得到。網(wǎng)絡(luò)中除鄰居區(qū)域的簇頭以外，其他節(jié)點(diǎn)都沒有簇頭的ID，所以簇頭對于除鄰居簇頭以外的所有節(jié)點(diǎn)都是保密的。假設(shè)簇內(nèi)共有P個節(jié)點(diǎn)，理想狀態(tài)下簇頭被捕獲的概率為所以從簇內(nèi)所有節(jié)點(diǎn)中找到簇頭是困難的。由于簇頭的ID列表中存有其他簇頭ID，則攻擊者捕獲簇頭并從其ID列表中獲得其他鄰居簇頭ID的概率為其中T為鄰居簇頭的數(shù)量。

成員節(jié)點(diǎn)和簇頭的通信密鑰kg由（4）式計(jì)算得出，其中mi，j，g為每個節(jié)點(diǎn)獨(dú)立的種子密鑰，對其他節(jié)點(diǎn)保密。即使成員節(jié)點(diǎn)中存在惡意參與者，但惡意參與者同簇頭的通信密鑰kg與其他成員節(jié)點(diǎn)的不同。所以，惡意參與者無法影響其他成員節(jié)點(diǎn)與簇頭的通信，也無法冒充簇頭與其他成員節(jié)點(diǎn)進(jìn)行通信。假設(shè)簇內(nèi)共有P個節(jié)點(diǎn)，根據(jù)（2）式可得，要想求出X，則必須捕獲所有成員節(jié)點(diǎn)，即捕獲(P-1)個節(jié)點(diǎn)。捕獲的節(jié)點(diǎn)數(shù)小于P-1，惡意參與者無法得出未被捕獲成員節(jié)點(diǎn)與簇頭的通信密鑰kg。

2.2.2 密鑰分發(fā)的安全性

由于節(jié)點(diǎn)在部署之前就已封裝好Kinit和K i，j，g，Kinitch的 分 發(fā) 消 息 由K i，j，g進(jìn)行加密，K i，j，g是節(jié)點(diǎn)所 獨(dú)有的密鑰且簇頭是可信的，保證了Kinitch分發(fā)的安全；KCH-CH由多項(xiàng)式、簇頭ID和簇頭生成的隨機(jī)數(shù)經(jīng)過特定哈希函數(shù)作用生成。多項(xiàng)式由基站生成，KDC用K i，j，g加密并分發(fā)，相鄰簇頭交換（包括ID和隨機(jī)數(shù)）的消息由Kinitch加密，保證了KCH-CH生成的安全性；kg由節(jié)點(diǎn)獨(dú)立的種子密鑰和X計(jì)算得到。X由基站生成用K i，j，g加密發(fā)送至簇頭，由簇頭用Kinit加密廣播至簇內(nèi)所有成員節(jié)點(diǎn)，成員節(jié)點(diǎn)不能接收其他區(qū)域數(shù)據(jù)包，只有本區(qū)域節(jié)點(diǎn)可以收到X。所以，保證了X分發(fā)過程的安全性，進(jìn)而保證了kg生成的安全性。

2.2.3 方案的安全性

在網(wǎng)絡(luò)建立階段，整個網(wǎng)絡(luò)處于安全狀態(tài)，所以只針對網(wǎng)絡(luò)的執(zhí)行階段進(jìn)行安全性分析。

由于本方案中所有節(jié)點(diǎn)都是以廣播的形式進(jìn)行通信，數(shù)據(jù)包中的源ID和目的ID都由特定的哈希函數(shù)處理得到。所以簇頭對于所有節(jié)點(diǎn)都是保密的，從簇內(nèi)所有節(jié)點(diǎn)中找到簇頭是困難的；基站和簇頭會定時檢測簇頭和簇內(nèi)成員節(jié)點(diǎn)是否有消息回傳，保證了整個網(wǎng)絡(luò)的安全性；每個階段開始之前都會由基站對簇內(nèi)成員節(jié)點(diǎn)進(jìn)行安全性驗(yàn)證，所以參與備用簇頭選舉的節(jié)點(diǎn)都是安全節(jié)點(diǎn)，即使有惡意節(jié)點(diǎn)捕獲成員節(jié)點(diǎn)向簇頭發(fā)送的能量距離等參考信息，但是由于惡意節(jié)點(diǎn)沒有（5）式中的權(quán)重w1，w2，w3以及權(quán)重的更新公式，無法計(jì)算出Zg，所以備用簇頭的選舉過程是安全的；基站與特定節(jié)點(diǎn)之間的通信由獨(dú)立密鑰K i，j，g加密從而保證了安全性；簇頭之間的通信由KCH-CH加密，由于簇頭是可信的，所以簇頭之間的通信是安全的；簇頭和成員節(jié)點(diǎn)之間的通信由kg加密，密鑰生成時，簇頭將X分發(fā)至成員節(jié)點(diǎn)，由于mi，j，g為節(jié)點(diǎn)獨(dú)立種子密鑰，所以即使有惡意節(jié)點(diǎn)截獲X，也無法計(jì)算出kg。如果某個成員節(jié)點(diǎn)被捕獲，則攻擊者只可得到被捕獲的成員節(jié)點(diǎn)的kg、mi，j，g和X，由于每個成員節(jié)點(diǎn)kg都是獨(dú)立的，只和成員節(jié)點(diǎn)封裝的獨(dú)立種子密鑰有關(guān)，攻擊者無法獲得其他成員節(jié)點(diǎn)和簇頭的通信密鑰，所以無法影響簇內(nèi)其他成員節(jié)點(diǎn)和簇頭的通信。

2.3 連通性

在文獻(xiàn)［3］方案中，每對節(jié)點(diǎn)都可以建立通信密鑰，全局連通率為1。在本方案中，從簇內(nèi)連通性來看，簇內(nèi)所有成員節(jié)點(diǎn)都與所在子區(qū)域簇頭建立獨(dú)立簇內(nèi)通信密鑰，所以簇內(nèi)所有成員節(jié)點(diǎn)可以和所在子區(qū)域簇頭通信。由于每個子區(qū)域面積小于節(jié)點(diǎn)通信范圍，成員節(jié)點(diǎn)可以與同區(qū)域內(nèi)其他節(jié)點(diǎn)通信，所以局部連通率為1。從簇間連通性來看，由于不同環(huán)的簇頭可以建立通信密鑰，相同環(huán)的簇頭不能建立通信密鑰，簇頭只能徑向通信。所以，不同環(huán)相鄰子區(qū)域的所有節(jié)點(diǎn)可以通信。相同環(huán)相鄰子區(qū)域的所有節(jié)點(diǎn)不能通信。因此，本方案中全局連通率小于1。本方案的全局連通率與節(jié)點(diǎn)的數(shù)量有關(guān)，如圖4所示，節(jié)點(diǎn)數(shù)量越多，連通率越大。

圖4 本方案的連通性Fig.4 Connectivity of our method

2.4 能量消耗

對于無線通信，圖5中顯示了節(jié)點(diǎn)的簡單通用能耗模型。接收kbits數(shù)據(jù)包的能量開銷為Erk（k），發(fā)送kbits數(shù)據(jù)包的能量開銷為ETX（k，d），計(jì)算公式分別如下

圖5 能耗模型Fig.5 Energy consumption model

其中，Eelec是接收或發(fā)送1 bit消息的能量開銷，εmp為多徑衰落因子，d為通信距離，εmpd4是放大器放大每比特消息的能量開銷。

下面將從存儲、計(jì)算和通信三個方面分析網(wǎng)絡(luò)的能量開銷。

2.4.1 存儲開銷

假設(shè)網(wǎng)絡(luò)中共有C個節(jié)點(diǎn)。則在文獻(xiàn)［3］方案中，每個節(jié)點(diǎn)都要存儲4個多項(xiàng)式、1個初始密鑰和所有鄰居節(jié)點(diǎn)ID，網(wǎng)絡(luò)總存儲開銷為O（C2）。在本方 案 中，隨 機(jī) 數(shù)ai，j，g、種 子 密 鑰mi，j，g、成 員 節(jié) 點(diǎn) 和 簇頭 的 通 信 密鑰kg、獨(dú) 立 密 鑰K i，j，g、X、初始共享密鑰Kinit以及簇頭共享的初始密鑰Kinitch各自都占用16 bits內(nèi)存。每個對稱二元多項(xiàng)式的系數(shù)占用log2pbits內(nèi)存。所以每個多項(xiàng)式占用（t+1）log2pbits內(nèi)存。在初始化階段，每個節(jié)點(diǎn)都需要維護(hù)一個同區(qū)域節(jié)點(diǎn)ID列表（該列表記錄了同區(qū)域內(nèi)所有安全節(jié)點(diǎn)的ID）。假設(shè)每個ID占用16 bits內(nèi)存，一個簇內(nèi)共有P個節(jié)點(diǎn)，共有W個簇。所以，一個ID列表占用(P-1)?16 bits內(nèi)存。假設(shè)每一位存儲能量開銷為Eb。

所有簇頭的存儲開銷為

所有成員節(jié)點(diǎn)的存儲開銷為

所以，所有C個節(jié)點(diǎn)的存儲總開銷為

因此，本方案總存儲開銷為O（C2）。

由圖6可知，當(dāng)節(jié)點(diǎn)數(shù)量相同時，存儲開銷隨著多項(xiàng)式次數(shù)t的增大而增大；當(dāng)t相同時，存儲開銷隨著節(jié)點(diǎn)數(shù)量的增大而增大。

圖6 不同t值和節(jié)點(diǎn)數(shù)量對存儲開銷的影響Fig.6 T he impact of different t values and the number of nodes on storage overhead

2.4.2 計(jì)算開銷

在文獻(xiàn)［3］方案中，每對節(jié)點(diǎn)間建立一次通信，密鑰需要進(jìn)行8次多項(xiàng)式和兩次哈希函數(shù)計(jì)算，網(wǎng)絡(luò)總計(jì)算開銷為O（C2）。在本方案中，假設(shè)一個多項(xiàng)式的計(jì)算開銷為Ef，哈希函數(shù)的計(jì)算開銷為Eh，一次乘法的計(jì)算開銷為Emul，一次加法的計(jì)算開銷為Eplus，一次模運(yùn)算的計(jì)算開銷為Emod。

計(jì)算二元對稱多項(xiàng)式需要（t+1）2次乘法和t次加法，因此一個多項(xiàng)式的計(jì)算開銷為

假設(shè)T KCH-CH為KCH-CH建立的次數(shù)，則簇頭建立KCH-CH的計(jì)算總開銷為

成員節(jié)點(diǎn)建立kg的計(jì)算總開銷為

所以，所有C個節(jié)點(diǎn)的計(jì)算總開銷為

因此，本方案總計(jì)算開銷為O（C）。

由圖7可以看出，與文獻(xiàn)［3］方案相比，本方案計(jì)算開銷受節(jié)點(diǎn)數(shù)量變化的影響較小，并且當(dāng)節(jié)點(diǎn)數(shù)量相同時，本方案的計(jì)算開銷小于文獻(xiàn)［3］方案。

圖7 計(jì)算開銷對比Fig.7 Comparison of computational cost

2.4.3 通信開銷

在文獻(xiàn)［3］方案中，每對節(jié)點(diǎn)間建立一次通信密鑰需要發(fā)送兩次數(shù)據(jù)包和接收兩次數(shù)據(jù)包，網(wǎng)絡(luò)總通信開銷為O（C2）。在本方案中，在簇頭指定和密鑰部署階段，每個節(jié)點(diǎn)的通信開銷為Erinit。

節(jié)點(diǎn)向其他節(jié)點(diǎn)發(fā)送kbits數(shù)據(jù)包的能量開銷為ETr。節(jié)點(diǎn)向其他節(jié)點(diǎn)發(fā)送一個數(shù)據(jù)包的能量開銷為

節(jié)點(diǎn)從其他節(jié)點(diǎn)接收kbits數(shù)據(jù)包的能量開銷為ERe。節(jié)點(diǎn)從其他節(jié)點(diǎn)接收一個數(shù)據(jù)包的能量開銷為

生成KCH-CH，節(jié)點(diǎn)之間需要建立3次通信，所以，生成KCH-CH的通信總開銷為

成員節(jié)點(diǎn)建立kg，簇頭需要發(fā)送兩次和接收一次數(shù)據(jù)包，成員節(jié)點(diǎn)需要接收一次數(shù)據(jù)包。所以，生成kg的通信總開銷為

假設(shè)每個簇頭各自收到Q個數(shù)據(jù)包，則執(zhí)行階段的通信總開銷為

所以，所有C個節(jié)點(diǎn)的通信總開銷為

因此，本方案總通信開銷為O（C）。

由圖8可以看出，與文獻(xiàn)［3］方案相比，本方案的通信開銷更低，并且本方案通信開銷受節(jié)點(diǎn)數(shù)量變化的影響較小。

圖8 通信開銷對比Fig.8 Communication overhead comparison

綜上所述，網(wǎng)絡(luò)的總能量開銷為

表3給出了本方案與文獻(xiàn)［3］方案的性能比較結(jié)果。從表3和實(shí)驗(yàn)結(jié)果可以得出，雖然本方案的全局連通率較低，但是本方案的通信開銷和計(jì)算開銷更小，并且本方案采用分層式網(wǎng)絡(luò)結(jié)構(gòu)增強(qiáng)了網(wǎng)絡(luò)的可管理性和安全性。

表3 本方案與文獻(xiàn)[3]方案的性能比較Table 3 Per for mance compar ison between this scheme and the Ref.[3]scheme

3 結(jié)語

本文提出了一種環(huán)形區(qū)域無線傳感器網(wǎng)絡(luò)的密鑰管理方案。首先，該方案使用對稱密鑰技術(shù)，簇間為基于二元對稱多項(xiàng)式的通信密鑰分配，每環(huán)各分配一個二元對稱多項(xiàng)式，顯著節(jié)約傳感器節(jié)點(diǎn)的通信和計(jì)算開銷。簇內(nèi)為基于中國剩余定理的通信密鑰分配，使得每個成員節(jié)點(diǎn)和簇頭的通信密鑰各不相同，在減少存儲空間的同時大大提升網(wǎng)絡(luò)的魯棒性。其次，該方案采用分層式網(wǎng)絡(luò)結(jié)構(gòu)，簇頭負(fù)責(zé)從簇內(nèi)成員處收集數(shù)據(jù)轉(zhuǎn)發(fā)給基站，普通傳感器節(jié)點(diǎn)負(fù)責(zé)收集周圍環(huán)境數(shù)據(jù)，并將數(shù)據(jù)發(fā)送給簇頭，提高了網(wǎng)絡(luò)的效率和可管理性。最后，該方案充分利用數(shù)據(jù)包格式和傳感器節(jié)點(diǎn)的廣播特性，實(shí)現(xiàn)對簇頭的隱藏，提高了網(wǎng)絡(luò)的魯棒性，保證了節(jié)點(diǎn)間的安全通信。實(shí)驗(yàn)結(jié)果表明，本方案具有更高的安全性和有效性。此外，與已有方案相比，本方案還具有更低的能量消耗。