劉曉樂

(河南工程學(xué)院 計算機(jī)學(xué)院,河南 鄭州 451191)

Ad hoc網(wǎng)絡(luò)是一種由節(jié)點(diǎn)組成的多跳臨時性自治系統(tǒng)，在軍事救災(zāi)和民用通信領(lǐng)域都有廣泛的用途.Ad hoc網(wǎng)絡(luò)不依賴事先鋪設(shè)的固定設(shè)施,具有網(wǎng)絡(luò)的獨(dú)立性、動態(tài)變化的拓?fù)浣Y(jié)構(gòu)、計算和存儲能力有限和節(jié)點(diǎn)容易受到攻擊等特點(diǎn).Ad hoc網(wǎng)絡(luò)自身的特殊性決定了它將面臨與傳統(tǒng)無線網(wǎng)絡(luò)相同甚至更嚴(yán)重的安全問題.組密鑰管理可以解決成員之間的共享密鑰問題，確保合法組成員之間得到安全可靠的組密鑰，故組密鑰管理的研究是當(dāng)前Ad hoc網(wǎng)絡(luò)安全研究中的一個重點(diǎn)和難點(diǎn).組密鑰的管理包括組密鑰的生成和維護(hù)，密鑰的維護(hù)是指由于成員節(jié)點(diǎn)的加入和退出而需要改變密鑰，或者長時間使用后需要對組密鑰進(jìn)行更新.

目前，已提出的組密鑰安全協(xié)議可被分為3種基本類型[1]:(1)集中式組密鑰管理.此方式存在一個中心機(jī)構(gòu),它為組內(nèi)成員產(chǎn)生和分配組密鑰, 當(dāng)組內(nèi)成員發(fā)生變化時更新組密鑰，但是要在 Ad hoc網(wǎng)絡(luò)中找到這樣一個高可信度中心機(jī)構(gòu)的難度較大.(2)分散式組密鑰管理.在這種方式中, 一個大的群組被劃分成若干個子組,每個子組存在一個子組協(xié)調(diào)員負(fù)責(zé)子組的密鑰分發(fā), 該方式仍然存在子組中心節(jié)點(diǎn)的問題, 而 Ad hoc節(jié)點(diǎn)對消息的中繼傳輸使子組協(xié)調(diào)員有很大的通信負(fù)擔(dān).(3)分布式組密鑰管理.由于Ad hoc網(wǎng)絡(luò)中各節(jié)點(diǎn)的通信身份完全平等且組員關(guān)系經(jīng)常發(fā)生變化, 所以其群組密鑰管理方案適宜采用這種方式.該方式的特點(diǎn)是無中心機(jī)構(gòu)、成員節(jié)點(diǎn)地位平等、分配給各節(jié)點(diǎn)的計算量和通信量開銷量相同、組密鑰由組成員協(xié)同運(yùn)算產(chǎn)生, 但在網(wǎng)絡(luò)規(guī)模較大的時候, 該方式一樣存在遠(yuǎn)距離節(jié)點(diǎn)之間的中繼通信量增大的問題.

針對Ad hoc網(wǎng)絡(luò)的特點(diǎn), 國內(nèi)外學(xué)者已做了大量的研究工作,提出了許多安全高效的組密鑰管理方案.2000年,Steiner等[2]提出了一個動態(tài)組密鑰分發(fā)協(xié)議CLIQUES， 該協(xié)議支持節(jié)點(diǎn)加入、離開及網(wǎng)絡(luò)分離等動態(tài)變化狀態(tài).Kim等[3]在GDHv.2協(xié)議[4]的基礎(chǔ)上提出了基于樹的組密鑰分發(fā)協(xié)議TGDH 協(xié)議,其安全性和復(fù)雜性比原有協(xié)議有所提高.2004年,Kim等[5]又提出了基于二叉樹的組密鑰協(xié)商協(xié)議，適用于動態(tài)無組織網(wǎng)絡(luò).接著Kim[6]又提出了STR協(xié)議，該協(xié)議在結(jié)構(gòu)上做出了較大的調(diào)整，不同于前者必須盡量保證結(jié)構(gòu)的飽和性，結(jié)構(gòu)變化更加靈活.2007年,Liao等[7]將TGDH和STR有機(jī)地結(jié)合在一起， 綜合兩種結(jié)構(gòu)的特點(diǎn)提出了TFAN結(jié)構(gòu).以上結(jié)構(gòu)都是基于公鑰密碼學(xué)、使用Diffie-Hellman密鑰協(xié)商方式來實(shí)現(xiàn)動態(tài)的組密鑰管理的,但這類算法性能不夠理想, 特別是不具備認(rèn)證功能, 存在一定安全隱患.后來，文獻(xiàn)[8-10]提出了基于簇的組密鑰管理方案,這些方案適用于大規(guī)模網(wǎng)絡(luò)中的密鑰管理，是針對Ad hoc網(wǎng)絡(luò)中的分層結(jié)構(gòu)提出的，具有一定的網(wǎng)絡(luò)擴(kuò)展性.

在已有的較為典型的組密鑰管理方案中，密鑰協(xié)商過程需要大量的計算開銷存儲資源或通信帶寬，效率比較低,所以根據(jù)Ad hoc網(wǎng)絡(luò)的特點(diǎn)，提出了一個安全有效的組密鑰管理方案，提出的方案以增強(qiáng)安全性和減少計算量和通信量為目標(biāo). 該方案在系統(tǒng)初始化完成以后，組密鑰的分發(fā)與重構(gòu)完全由網(wǎng)絡(luò)中節(jié)點(diǎn)的相互合作來完成，并且采用基于身份的密碼體制來實(shí)現(xiàn)組密鑰分發(fā)與重構(gòu)過程中消息的安全傳送.

1 相關(guān)基本知識

1.1 基于身份的密碼體制

在1984年，Shamir[11]提出了基于身份的密碼體制思想，以簡化證書的管理.近年來，雙向性映射和雙向性Diffie-Hellman問題[12]的提出，使得基于身份的密碼體制獲得了長足的發(fā)展，人們提出了一系列基于身份的加密、簽名及密鑰交換協(xié)議.

基于身份的密碼機(jī)制是建立在雙向性e:G1×G1→G2映射上的(G1是q階的加法群，G2是q階的乘法群，q為一大素數(shù)),其安全性的基礎(chǔ)是BDH假設(shè)，即給定P,aP,bP和cP(P是G1的一個生成元，a,b,c是有限域Fq中的隨機(jī)數(shù))，在多項式時間內(nèi)確定e(P,P)abc是不可能的.系統(tǒng)的核心是一個密鑰生成中心KGC，負(fù)責(zé)系統(tǒng)初始化時生成系統(tǒng)參數(shù)并根據(jù)節(jié)點(diǎn)的身份為其生成私鑰.系統(tǒng)的建立過程為KGC隨機(jī)選擇一個私鑰s∈Fq，計算PKGC=sP并公布(P，PKGC).計算出身份為ID節(jié)點(diǎn)的公/私鑰對(QID，SID),QID=H(ID) (H:{0,1}*→G1),SID=sQID.

1.2 分布式主密鑰生成

從上節(jié)的介紹可知，基于身份密碼體制的認(rèn)證私鑰由式S=sH(ID)生成.顯然,為了生成S，需要系統(tǒng)的主密鑰s.為了解決Ad hoc網(wǎng)絡(luò)無集中式KGC和拓?fù)浣Y(jié)構(gòu)易變化的問題，根據(jù)Shamir的(t,n)門限密鑰方案，將s分解成n個分量(s1,s2,…,sn)，由n個節(jié)點(diǎn)分別保存.需要恢復(fù)s時，可由任意t個節(jié)點(diǎn)保存的s分量重構(gòu)，而少于t個則無法恢復(fù).基于拉格朗日插值公式產(chǎn)生s分量和重構(gòu)s的過程如下.

設(shè)q為素數(shù)，F(xiàn)q為有限域，隨機(jī)選取s和t-1個系數(shù)a1,a2,…,at-1,在Fq上構(gòu)建t-1次多項式f(x)=s+a1x+a2x2+…+at-1xt-1.計算第i個節(jié)點(diǎn)上保存s分量si,si=f(IDi),i=1,2,…,n.根據(jù)Lagrangue插值公式，任選t個si就可以重構(gòu)t-1次多項式：

(1)

(2)

2 組密鑰管理方案

2.1 系統(tǒng)的初始化

系統(tǒng)的初始化工作由一個臨時管理中心來完成,臨時管理中心可以由一個資源比較充分的節(jié)點(diǎn)來擔(dān)當(dāng)，當(dāng)初始化工作完成以后，此節(jié)點(diǎn)臨時管理中心的作用就消失.

假設(shè)系統(tǒng)由n個節(jié)點(diǎn)組成，每個節(jié)點(diǎn)Ni擁有唯一全局標(biāo)識符IDi，i=1,2,…,n.

(1)臨時管理中心首先生成系統(tǒng)參數(shù)q，G1，G2，e：G1×G1→G2和4個哈希函數(shù)H1:{0,1}*→G1,H2:G2→Fq，H3:G2→{0,1}1(1為會話密鑰的長度),H4：{0,1}*×G1→Fq.然后,隨機(jī)選取s∈Fq作為系統(tǒng)的私鑰,并計算出系統(tǒng)公鑰Ppub=sP.最后，向系統(tǒng)中所有的節(jié)點(diǎn)公開系統(tǒng)參數(shù)(P,Ppub,H1,H2,H3,H4).

(2)按1.2節(jié)算法為系統(tǒng)中節(jié)點(diǎn)Ni生成系統(tǒng)私鑰分量si，并通過安全通道傳送到節(jié)點(diǎn)Ni上；

(3)計算節(jié)點(diǎn)Ni的私鑰Si=sH1(IDi)，并通過安全通道傳送到節(jié)點(diǎn)Ni上.

2.2 組密鑰生成協(xié)議

當(dāng)系統(tǒng)初始化完成以后，系統(tǒng)中所有的節(jié)點(diǎn)按下列步驟共同產(chǎn)生組通信密鑰.

(1)節(jié)點(diǎn)Ni隨機(jī)首先選取ri∈Fq為該節(jié)點(diǎn)的私有參數(shù)，然后計算Qi=H1(IDi)，Ti=riP,Pi=H2(e(Qi,Ti))Si.計算完成后，把發(fā)送給節(jié)點(diǎn)Ni-1和Ni+1(這里當(dāng)i=1時,i-1=n;當(dāng)i=n時，i+1=1).

(2)當(dāng)節(jié)點(diǎn)Ni收到節(jié)點(diǎn)Ni-1和Ni+1發(fā)來的消息 (j=i-1,j+1)后，首先驗(yàn)證等式e(Qi,Pj)=e(Si,H2(e(Qj,Tj)Qj))是否成立.如果都成立，計算

Di=e(Ti+1-Ti-1，ppub)ri,

(3)

Vi=H2(Di)Si.

(4)

這里,當(dāng)i=1時,i-1=n;當(dāng)i=n時,i+1=1.

計算完成后，節(jié)點(diǎn)Ni把廣播出去.

(3)節(jié)點(diǎn)Ni收到節(jié)點(diǎn)Nj發(fā)來廣播消息(j=1,2,…,n,j≠i)后，首先驗(yàn)證等式e(Qi,Vj)=e(Si,H2(Dj)Qj)是否成立.如果等式成立，用下式計算系統(tǒng)的組通信密鑰：

(5)

2.3 新節(jié)點(diǎn)加入?yún)f(xié)議

當(dāng)有新節(jié)點(diǎn)加入時，系統(tǒng)首先需要更新組通信密鑰.另外，還要為新加入的節(jié)點(diǎn)安全地生成系統(tǒng)主密鑰分量.假設(shè)新加入的節(jié)點(diǎn)為Nn+1,標(biāo)識符為IDn+1.

(1)節(jié)點(diǎn)n+1首先隨機(jī)選取rn+1∈Fq為自己的私有參數(shù)，并計算Qn+1=H1(IDn+1),Tn+1=rn+1P.然后,在系統(tǒng)中隨機(jī)選取t個節(jié)點(diǎn)Ni，計算Wi=e(rn+1Ppub,Qi).

計算完成后，節(jié)點(diǎn)n+1把發(fā)送給節(jié)點(diǎn)Ni

(2)當(dāng)節(jié)點(diǎn)Ni收到節(jié)點(diǎn)Nn+1發(fā)來的消息后,首先驗(yàn)證等式Wi=e(Tn+1,Si)是否成立，如果等式成立并且允許節(jié)點(diǎn)Nn+1加入系統(tǒng)，節(jié)點(diǎn)Ni就進(jìn)行下列計算:

① 節(jié)點(diǎn)Nn+1的私鑰分量

(6)

② 節(jié)點(diǎn)Nn+1上需保存的系統(tǒng)密鑰分量的子分量

(7)

③kh=H3(e(Ppub,H1(Kcur))) ,這里的Kcur是當(dāng)前的組通信密鑰.

ki=H3(e(Qn+1+Qi，Tn+1)ri),

(8)

Ci=Eki(Sn+1，i‖sn+1，i‖kh),

(9)

其中,Eki(.)表示用ki對消息進(jìn)行加密運(yùn)算，‖表示連接符號.

④Ri=H4(Ci,H1(ki)).

當(dāng)所有的計算完成后，節(jié)點(diǎn)Ni把發(fā)送給節(jié)點(diǎn)Nn+1.

(3)當(dāng)節(jié)點(diǎn)Nn+1收到節(jié)點(diǎn)Ni發(fā)來的消息 后計算

ki=H3(e(Qn+1+Qi，Ti)rn+1).

(10)

求出ki后,驗(yàn)證等式Ri=H4(Ci,H1(ki))是否成立.如果驗(yàn)證成功,就用ki解密收到的密文Ci，得到Sn+1,i,sn+1,i,kh.如果某些節(jié)點(diǎn)發(fā)來的消息沒有通過驗(yàn)證，就再選一些節(jié)點(diǎn)，發(fā)出加入請求，直到節(jié)點(diǎn)Nn+1收到t個節(jié)點(diǎn)發(fā)來的正確信息.

如果節(jié)點(diǎn)Nn+1成功地收到t個節(jié)點(diǎn)發(fā)來的信息，就開始計算：

③ 新組通信密鑰Knew=kh⊕kc,其中，kc=H2(e(Qn+1,rn+1P)).

④M=Ekh(kc),U=rn+1Qn+1,V=(rn+1+H4(M,Qn+1))Sn+1.

當(dāng)計算完成后,節(jié)點(diǎn)Nn+1把廣播給系統(tǒng)中所有的節(jié)點(diǎn).

(4)當(dāng)節(jié)點(diǎn)Nj(j=1,2,…,n)收到新加入節(jié)點(diǎn)Nn+1發(fā)送來的消息后，首先驗(yàn)證等式e(P,V)=e(Ppub,U+H4(M,Qn+1)Qn+1)是否成立.

如果等式成立，計算kh=H3(e(Ppub,H1(Kcur))),然后用kh從收到的密文M中解密出kc,最后用解出的kc計算新的組通信密鑰Knew=kh⊕kc.

2.4 成員離開/組密鑰的更新協(xié)議

當(dāng)有節(jié)點(diǎn)離開系統(tǒng)或由于長時間使用后需要更新組密鑰,這時由系統(tǒng)中任一節(jié)點(diǎn)(假設(shè)是節(jié)點(diǎn)Ni)發(fā)起，進(jìn)行以下計算:

(1)節(jié)點(diǎn)Ni首先選取一隨機(jī)數(shù)ri∈Fq為自己的新私有參數(shù),然后計算kh=H3(e(Ppub,H1(Kcur))) .這里，Kcur是當(dāng)前的組通信密鑰.

kc=H3(e(riP,Qi)),M=Ekh(kc),U=riQi,V=(ri+H4(M,Qi))Si,計算完成后，節(jié)點(diǎn)Ni把向系統(tǒng)中其他節(jié)點(diǎn)廣播.

(2)當(dāng)節(jié)點(diǎn)Nj(j=1,2,...,n,j≠i)收到節(jié)點(diǎn)Ni廣播的信息后，首先驗(yàn)證等式e(P,V)=e(Ppub,U+H4(M,Qi)Qi)是否成立，如果等式成立,計算kh=H3(e(Ppub,H1(Kcur))).

然后,用kh從收到的密文M中解出kc,最后用kh和kc計算出新的組通信密鑰Knew=kh⊕kc.

3 協(xié)議分析

3.1 協(xié)議安全性分析

就基于身份的密碼體制而言，密鑰管理協(xié)議的安全性主要是系統(tǒng)主密鑰的安全性，因?yàn)橛芍髅荑€可以計算出任意用戶的私有密鑰.本方案中,系統(tǒng)的主密鑰是在系統(tǒng)組建初期由系統(tǒng)中所有的節(jié)點(diǎn)共同生成的，不需要用戶間存在安全通道和可信第三方，所以避免了可信中心受到攻擊而引起系統(tǒng)主密鑰泄露的問題.而且,本研究還使用文獻(xiàn)[4]和文獻(xiàn)[12]中加解密算法保護(hù)節(jié)點(diǎn)間私鑰分量的傳輸，從而保證只有合法節(jié)點(diǎn)可以產(chǎn)生認(rèn)證私鑰.雖然各節(jié)點(diǎn)生成的私鑰分量是以明文形式傳輸?shù)?但每個節(jié)點(diǎn)的私鑰分量除了其他所有節(jié)點(diǎn)貢獻(xiàn)的私鑰子分量外，還包括節(jié)點(diǎn)本身提供的私鑰子分量，而這部分只有節(jié)點(diǎn)本身知道.另外,節(jié)點(diǎn)私鑰分量以及主公鑰分量在節(jié)點(diǎn)間傳輸時，都會對消息進(jìn)行基于身份的簽名，從而保證了消息的完整性.為了保證系統(tǒng)主密鑰的安全性，該方案采用(t,n)門限共享方案為每個組節(jié)點(diǎn)生成部分共享密鑰.當(dāng)系統(tǒng)初始化完成以后，任何不超過t個的節(jié)點(diǎn)都無法重構(gòu)節(jié)點(diǎn)的私有密鑰.

該方案還提供了以下的安全保證：(1)隱式密鑰認(rèn)證.除了系統(tǒng)的合法參與者，其他任何用戶都不能計算出協(xié)商出來的組通信密鑰.因?yàn)殡m然非法用戶可以得到所有合法節(jié)點(diǎn)發(fā)送給某個節(jié)點(diǎn)的所有Di，但在計算組密鑰時還需要該節(jié)點(diǎn)的私有參數(shù)ri，而每個節(jié)點(diǎn)的私有參數(shù)只有自己知道.(2)會話密鑰的獨(dú)立性.某次會話密鑰的泄露不會影響到其他次協(xié)商的會話密鑰的保密性.在協(xié)議中，每次組密鑰的生成都包含有新的隨機(jī)信息.(3)前向安全性與后向安全性.因?yàn)樵趨f(xié)議中，無論是有新節(jié)點(diǎn)加入或是有節(jié)點(diǎn)退出，系統(tǒng)都會更新組通信密鑰的，而每次會話密鑰的生成都包含有新的隨機(jī)信息，所以離開的用戶無法計算出以后的組密鑰，新加入的用戶同樣也無法推算出前面的組密鑰.

3.2 協(xié)議效率分析

通信開銷和計算開銷是衡量組密鑰管理方案性能優(yōu)劣的一個重要標(biāo)準(zhǔn).該方案的通信開銷對于初始組密鑰協(xié)商協(xié)議需要n次廣播通信和n次點(diǎn)到點(diǎn)的通信，節(jié)點(diǎn)加入時需要2t次單點(diǎn)通信和1次廣播通信，而節(jié)點(diǎn)離開時只需要1次廣播通信數(shù).本方案中所使用的加密算法都是對稱加密算法，而且加入?yún)f(xié)議和離開協(xié)議所需的計算量的復(fù)雜度也都是常數(shù).

下面通過與CLIQUES協(xié)議、TGDH協(xié)議和STR協(xié)議在通信開銷和計算開銷方面的比較，來分析驗(yàn)證本方案的性能.4種族密鑰管理方案的通信量和計算量的比較如表1所示.協(xié)議的總輪數(shù)是固定的,這就意味著協(xié)議的通信規(guī)模與組成員的數(shù)目無關(guān),而 CLIQUES和TGDH的通信規(guī)模與組成員數(shù)目成正比，STR協(xié)議的總輪數(shù)比本協(xié)議多一次.在運(yùn)算量方面，本協(xié)議運(yùn)算的復(fù)雜度是常數(shù)，這樣本協(xié)議適合應(yīng)用在大的Ad hoc網(wǎng)絡(luò)中.

表1 本方案與其他組密鑰管理方案性能的比較Tab.1 Performance comparison

4 結(jié)束語

Ad hoc網(wǎng)絡(luò)的分布式組網(wǎng)方式、動態(tài)的網(wǎng)絡(luò)拓?fù)浜陀邢薜膸捹Y源，使得傳統(tǒng)的基于信任中心的組密鑰管理方案不適合Ad hoc網(wǎng)絡(luò).首先分析了基于身份的密碼體制，討論了如何使用Lagrange插值公式生成基于身份密碼體制的系統(tǒng)主密鑰，然后給出了組密鑰的生成方法和節(jié)點(diǎn)加入/離開時系統(tǒng)組密鑰的更新方法.該方法具有分布式實(shí)現(xiàn)和安全高效的特點(diǎn)，在網(wǎng)絡(luò)中部分節(jié)點(diǎn)失效的情況下仍能有效地更新組通信密鑰，能夠滿足Ad hoc網(wǎng)絡(luò)在惡劣的網(wǎng)絡(luò)攻擊環(huán)境中安全工作的要求.

參考文獻(xiàn)：

[1] 熊萬安,許春香.一種新的基于ECC的Ad hoc組密鑰協(xié)商協(xié)議[J].重慶郵電大學(xué)學(xué)報：自然科學(xué)版,2011,3(1):101-106.

[2] Steiner M，Tsudik G，Waidner M.Key agreement in dynamic peer groups[J].IEEE Transactions on Parallel and Distributed Systems，2000，11(8)：56-61.

[3] Kim Y,Perrig A T，Sudik G.Simple and fault-tolerant key agreement for dynamic collaborative groups[C]∥Proceedings of the 7th ACM Conference on Computer andCommunication Security.New York:ACM,2000:235-244.

[4] Steiner M,Tsudik G,Waidner M. Diffie-Hellman key distribution extended to group communication [C]∥Proceedings of the 3rd ACM Conference on Computer and Communications Security.New York:ACM,1996:31-37.

[5] Kim Y，Perrig A，Tsudik G.Tree-based group key agreement[J].ACM Transactions on Information and System Security，2004(71)：60-96.

[6] Kim Y,Perrig A，Tsudik G. Group key agreement efficient in communication [J].IEEE Transactions on Computers，2004，53 (7)：70-73.

[7] Liao L，Manulis M.Tree-based group key agreement framework for mobile ad-hoc networks[J].Future Generation Computer Systems，2007(23)：787-803.

[8] Shi H,He M,Qin Z. Authenticated and communication efficient group key agreement for clustered Ad hoc networks[J].Lecture notes in computer science,2006，43(1):73-89.

[9] Hietalahti M.A clustering-based group key agreement protocol for ad-hoc networks[J].Electronic Notes in Theoretical Computer Science,2008(192):43-53.

[10] Elisavet K.Efficient cluster-based group key agreement protocols for wireless Ad hoc networks[J].Journal of Network and Computer Application,2011(34).384-393.

[11] Shamir A.Identity-based cryptosystems and signature schemes [C]∥Proceedings of Crypto′ 4,Lecture Notes in Computer Science.New York 1984:47-53.

[12] Bong D，F(xiàn)ranklin M.Identity-based encryption from weil pairing [C]∥Proceedings of Crypto′ 1,Lecture Notes in Computer Science.New York，2001:213-229.