鄭明輝， 劉召召

(湖北民族學(xué)院信息工程學(xué)院，湖北 恩施 445000)

無(wú)線傳感器網(wǎng)絡(luò)中三方密鑰建立協(xié)議研究*

鄭明輝， 劉召召

(湖北民族學(xué)院信息工程學(xué)院，湖北 恩施 445000)

提出了一個(gè)無(wú)線傳感器網(wǎng)絡(luò)(WSN)的可證明安全認(rèn)證三方密鑰建立協(xié)議。協(xié)議的安全性基于求解橢圓曲線離散對(duì)數(shù)問(wèn)題和雙線性配對(duì)Diffie-Hellman問(wèn)題的計(jì)算不可行性。節(jié)點(diǎn)之間的身份驗(yàn)證是無(wú)線傳感器網(wǎng)絡(luò)中最具挑戰(zhàn)性的一個(gè)安全要求，它需要在WSN中三個(gè)相鄰節(jié)點(diǎn)之間建立正確的會(huì)話密鑰輪來(lái)實(shí)現(xiàn)這種安全目標(biāo)。通過(guò)理論證明,該協(xié)議對(duì)數(shù)據(jù)完整性攻擊和會(huì)話密鑰中已知密鑰安全性攻擊是安全的，并提供了完美的前向安全。

雙線性配對(duì);密鑰交換;會(huì)話密鑰

1 引言

無(wú)線傳感器網(wǎng)絡(luò)WSN(Wireless Sensor Networks)是由大量部署在監(jiān)測(cè)區(qū)域內(nèi)的廉價(jià)微型傳感器節(jié)點(diǎn)組成，通過(guò)無(wú)線通信方式形成的一個(gè)多跳的自組織網(wǎng)絡(luò)系統(tǒng)，其目的是協(xié)作地感知、采集和處理網(wǎng)絡(luò)覆蓋區(qū)域中被感知對(duì)象的信息，并發(fā)送給觀察者。傳感器、感知對(duì)象和觀察者構(gòu)成了無(wú)線傳感器網(wǎng)絡(luò)的三個(gè)要素。

目前國(guó)內(nèi)外關(guān)于WSN密鑰建立協(xié)議的研究主要分為基于身份的密鑰體制和基于證書(shū)的密鑰體制。王圣寶等人[1]利用 Gentry 的基于身份的加密方案提出了第一個(gè)標(biāo)準(zhǔn)模型下可證安全性的密鑰建立協(xié)議，但其無(wú)會(huì)話密鑰托管模式下的密鑰建立協(xié)議不能滿足PKG(Private Key Generator)前向安全性，惡意的密鑰生成中心PKG能計(jì)算出所有的會(huì)話密鑰。隨后汪小芬等人[2]對(duì)文獻(xiàn)[1]的協(xié)議進(jìn)行了改進(jìn)，改進(jìn)后的協(xié)議能夠滿足基于身份的標(biāo)準(zhǔn)安全模型下的安全屬性，同時(shí)能夠防止前后向安全性和 PKG前向安全性。

Li Z等人[3]提出基于ECDH(Elliptic Curve Diffie-Hellman)的密鑰交換協(xié)議，該協(xié)議實(shí)現(xiàn)了通信雙方的身份認(rèn)證以及會(huì)話密鑰的協(xié)商，采用隱式認(rèn)證方式，有效地減少了通信兩端公鑰P的計(jì)算開(kāi)銷。隨后一種基于ECDH的可認(rèn)證密鑰建立協(xié)議[4]也被提出，該方案在ECDH協(xié)議的基礎(chǔ)上作了改進(jìn)，能夠?qū)崿F(xiàn)通信雙方相互認(rèn)證，同時(shí)可以有效抵御中間人攻擊。

無(wú)線傳感器網(wǎng)絡(luò)通常部署在敵對(duì)的環(huán)境中，它們會(huì)遇到各種各樣的惡意攻擊。無(wú)線傳感器網(wǎng)絡(luò)中收集的數(shù)據(jù)信息是有價(jià)值的，應(yīng)當(dāng)保密。為了保護(hù)這個(gè)傳輸信息或消息，任何三個(gè)相鄰傳感器節(jié)點(diǎn)之間的密鑰建立協(xié)議和相互的身份驗(yàn)證協(xié)議成為無(wú)線傳感器網(wǎng)絡(luò)的必備條件。由于先天的限制，比如說(shuō)低功率、較少的存儲(chǔ)空間、低計(jì)算能力和較短的傳感器節(jié)點(diǎn)通信范圍，大多數(shù)傳統(tǒng)協(xié)議在任意三個(gè)相鄰傳感器節(jié)點(diǎn)之間建立認(rèn)證多密鑰通過(guò)采用密鑰預(yù)先分配的方法。然而，這些技術(shù)都有漏洞。隨著加密技術(shù)的快速發(fā)展，最近的研究結(jié)果表明，橢圓曲線密碼ECC(Elliptic Curve Cryptography)適用于網(wǎng)絡(luò)資源有限的無(wú)線傳感器網(wǎng)絡(luò)?；跈E圓曲線密碼學(xué)的加密系統(tǒng)對(duì)傳感器網(wǎng)絡(luò)尤其適應(yīng)，因?yàn)樗鼈儽热魏纹渌€技術(shù)具有更高效的資源利用率[5～8]。傳感器節(jié)點(diǎn)的計(jì)算能力有限，所有傳統(tǒng)公鑰密碼學(xué)的模冪運(yùn)算是必需的,因此不能在無(wú)線傳感網(wǎng)絡(luò)上實(shí)現(xiàn)。幸運(yùn)的是，與其他公鑰加密系統(tǒng)相比，橢圓曲線加密系統(tǒng)具有顯著的優(yōu)點(diǎn)[9,10]，比如說(shuō)較小的密鑰尺寸、更快的計(jì)算速度。因此，基于橢圓曲線加密的密鑰建立協(xié)議比其他加密系統(tǒng)更適合資源約束型的傳感器節(jié)點(diǎn)。

2 基于ECC的三方密鑰建立協(xié)議

下面給出本文要用到的符號(hào)和系統(tǒng)參數(shù)：

(1)P是階為n的橢圓曲線E上的一個(gè)生成元，滿足n×P=Ο，q是一個(gè)大素?cái)?shù)，Ο是一個(gè)無(wú)窮遠(yuǎn)處的點(diǎn)。

(2)q是群的階。

(3)SKi，1≤i≤8，是建立在三個(gè)節(jié)點(diǎn)之間的會(huì)話密鑰。

(4)Qi是傳感器節(jié)點(diǎn)i的公鑰。

定義1設(shè)G1與G2是兩個(gè)循環(huán)群，并且它們都有相同的素?cái)?shù)階q，G1是一個(gè)加法群，G2是一個(gè)乘法群，設(shè)e是一個(gè)可計(jì)算的雙線性映射，e:G1×G2→G2，如果滿足下面的條件：

(2)非退化性：假設(shè)P是G1的一個(gè)生成元，那么e(P,P)就是G2的生成元。

(3)可計(jì)算性：對(duì)任意的P,Q∈G1，存在一個(gè)高效的算法來(lái)計(jì)算e(P,Q)，我們稱這樣的一個(gè)雙線性映射e為可容許的雙線性映射。

2.1 基于ECC的協(xié)議

考慮三個(gè)通信節(jié)點(diǎn)i、j和k，它們將建立共享會(huì)話密鑰保障后續(xù)的安全通信。假定節(jié)點(diǎn)i已經(jīng)計(jì)算出長(zhǎng)期的公私鑰對(duì)Qi=λi·P，類似地，節(jié)點(diǎn)j的長(zhǎng)期公私鑰對(duì)為Qj=λj·P，節(jié)點(diǎn)k的長(zhǎng)期公私鑰對(duì)為Qk=λk·P。三方的共享會(huì)話密鑰集通過(guò)節(jié)點(diǎn)i、j和k協(xié)同計(jì)算出來(lái)，具體過(guò)程如下：

(1)

節(jié)點(diǎn)i將元組{Vi1,Vi2,Si,Cert(Qi)}發(fā)送給節(jié)點(diǎn)j和k。

(2)

節(jié)點(diǎn)j將元組{Vj1,Vj2,Sj,Cert(Qj)}發(fā)送給節(jié)點(diǎn)i和k。

(3)

節(jié)點(diǎn)k將元組{Vk1,Vk2,Sk,Cert(Qk)}發(fā)送給節(jié)點(diǎn)i和j。

步驟4節(jié)點(diǎn)i從Vj1和Vj2中提取x向量Xj1和Xj2，從Vk1和Vk2中提取向量Xk1和Xk2，并通過(guò)式(4)和式(5)驗(yàn)證接收信息是否正確。

(4)

(5)

如果式(4)和式(5)均成立，則節(jié)點(diǎn)i計(jì)算出下面的會(huì)話密鑰集：

SK1=ri1Vj1Vk1

SK2=ri1Vj1Vk2

SK3=ri1Vj2Vk1

SK4=ri1Vj2Vk2

SK5=ri2Vj1Vk1

SK6=ri2Vj1Vk2

SK7=ri2Vj2Vk1

SK8=ri2Vj2Vk2

步驟5類似地，節(jié)點(diǎn)j從Vi1和Vi2中提取x向量Xi1和Xi2，從Vk1和Vk2中提取x向量Xk1和Xk2，并通過(guò)式(6)和式(7)驗(yàn)證接收信息是否正確。

(6)

(7)

如果式(6)和式(7)均成立，則節(jié)點(diǎn)j計(jì)算出下面的會(huì)話密鑰集：

SK1=rj1Vi1Vk1

SK2=rj1Vi1Vk2

SK3=rj1Vi2Vk1

SK4=rj1Vi2Vk2

SK5=rj2Vi1Vk1

SK6=rj2Vi1Vk2

SK7=rj2Vi2Vk1

SK8=rj2Vi2Vk2

步驟6類似地，節(jié)點(diǎn)k從Vi1和Vi2中提取x向量Xi1和Xi2，從Vj1和Vj2中提取向量Xj1和Xj2，并通過(guò)式(8)和式(9)驗(yàn)證接收信息是否正確。

(8)

(9)

如果式(8)和式(9)均成立，則節(jié)點(diǎn)k計(jì)算出下面的會(huì)話密鑰集:

SK1=rk1Vi1Vj1

SK2=rk1Vi1Vj2

SK3=rk1Vi2Vj1

SK4=rk1Vi2Vj2

SK5=rk2Vi1Vj1

SK6=rk2Vi1Vj2

SK7=rk2Vi2Vj1

SK8=rk2Vi2Vj2

2.2 基于ECC協(xié)議的安全性分析

本文提出的三方密鑰建立協(xié)議的安全性是基于橢圓曲線離散對(duì)數(shù)的難解問(wèn)題。下述定理1和定理2表明，該協(xié)議可以抵御傳感器節(jié)點(diǎn)上數(shù)據(jù)完整性的攻擊且會(huì)話密鑰具備前向安全性。

定理1本文提出的基于橢圓曲線密碼學(xué)ECC的三方密鑰建立協(xié)議可以抵抗數(shù)據(jù)完整性的攻擊，當(dāng)且僅當(dāng)在橢圓曲線離散對(duì)數(shù)問(wèn)題ECDLP(Elliptic Curve Discrete Logarithm Problem)是難解的。

證明三個(gè)節(jié)點(diǎn)中的任意兩個(gè)節(jié)點(diǎn)i和j，節(jié)點(diǎn)i通過(guò)通信信道發(fā)送敏感數(shù)據(jù)到節(jié)點(diǎn)j，敵手改變或處理這個(gè)數(shù)據(jù)，然后通過(guò)依靠錯(cuò)誤的會(huì)話密鑰欺騙這個(gè)誠(chéng)實(shí)的節(jié)點(diǎn)。敵手將會(huì)計(jì)算Si去驗(yàn)證已核實(shí)的式(4)來(lái)欺騙節(jié)點(diǎn)j，敵手能夠隨機(jī)選擇兩個(gè)點(diǎn)Vi1和Vi2，并提取出對(duì)應(yīng)的x向量Xi1和Xi2;之后，敵手不得不在橢圓曲線上找一個(gè)μ去滿足等式μ·P=Qi-Xi1Vi1-Xi2Vi2，為了計(jì)算出橢圓曲線上的μ，它就要求敵手解決橢圓曲線離散對(duì)數(shù)問(wèn)題。因此，敵手去偽造一個(gè)有效的信息去欺騙節(jié)點(diǎn)j在計(jì)算上是不可行的。

□

定理2本文提出的基于ECC的三方密鑰建立協(xié)議對(duì)一個(gè)敵手來(lái)說(shuō)生成正確的會(huì)話密鑰在計(jì)算上是不可行的，即使先前的會(huì)話密鑰已泄露。

證明三個(gè)節(jié)點(diǎn)中的任意兩個(gè)節(jié)點(diǎn)i和j，在協(xié)議的每一輪節(jié)點(diǎn)i和j選擇全新的隨機(jī)數(shù)通過(guò)等式(1)和式(2)計(jì)算Si和Sj。這意味著這四個(gè)生成會(huì)話密鑰是不同的，不取決于協(xié)議的每一輪執(zhí)行。敵手獲得協(xié)議每一輪的隨機(jī)數(shù)在計(jì)算上是不可行的，因?yàn)樾枰?jì)算會(huì)話密鑰。因此，提出的協(xié)議可以抵抗對(duì)已知的密鑰攻擊。

3 基于雙線性配對(duì)的三方密鑰建立協(xié)議

3.1 基于雙線性配對(duì)的協(xié)議

考慮三個(gè)通信節(jié)點(diǎn)i、j和k，它們將建立共享會(huì)話密鑰。假定節(jié)點(diǎn)i已經(jīng)計(jì)算出長(zhǎng)期的公私鑰Qi=λi·P，類似地，節(jié)點(diǎn)j的長(zhǎng)期公私鑰為Qj=λj·P，節(jié)點(diǎn)k的長(zhǎng)期公私鑰為Qk=λk·P。共享會(huì)話密鑰集通過(guò)節(jié)點(diǎn)i、j和k協(xié)同計(jì)算出來(lái)，具體過(guò)程如下：

(10)

節(jié)點(diǎn)i將元組{Vi1,Vi2,Si,Cert(Qi)}發(fā)送給節(jié)點(diǎn)j和k。

(11)

節(jié)點(diǎn)j將元組{Vj1,Vj2,Sj,Cert(Qj)}發(fā)送給節(jié)點(diǎn)i和k。

(12)

節(jié)點(diǎn)k將元組{Vk1,Vk2,Sk,Cert(Qk)}發(fā)送給節(jié)點(diǎn)i和j。

步驟4節(jié)點(diǎn)i從Vj1和Vj2中提取x向量Xj1和Xj2，從Vk1和Vk1中提取x向量Xk1和Xk2，并通過(guò)式(13)和式(14)驗(yàn)證接收信息是否正確。

(13)

(14)

如果式(13)和式(14)均成立，則節(jié)點(diǎn)i計(jì)算出下面的會(huì)話密鑰集：

SK1=e(ri1Vj1Vk1,Qj+Qk)

SK2=e(ri1Vj1Vk2,Qj+Qk)

SK3=e(ri1Vj2Vk1,Qj+Qk)

SK4=e(ri1Vj2Vk2,Qj+Qk)

SK5=e(ri2Vj1Vk1,Qj+Qk)

SK6=e(ri2Vj1Vk2,Qj+Qk)

SK7=e(ri2Vj2Vk1,Qj+Qk)

SK8=e(ri2Vj2Vk2,Qj+Qk)

步驟5類似地，節(jié)點(diǎn)j從Vi1和Vi2中提取x向量Xi1和Xi2，從Vk1和Vk2中提取x向量Xk1和Xk2，并通過(guò)式(15)和式(16)驗(yàn)證接收信息是否正確。

(15)

(16)

如果式(15)和式(16)均成立，則節(jié)點(diǎn)j計(jì)算出下面的會(huì)話密鑰集：

SK1=e(rj1Vi1Vk1,Qi+Qk)

SK2=e(rj1Vi1Vk2,Qi+Qk)

SK3=e(rj1Vi2Vk1,Qi+Qk)

SK4=e(rj1Vi2Vk2,Qi+Qk)

SK5=e(rj2Vi1Vk1,Qi+Qk)

SK6=e(rj2Vi1Vk2,Qi+Qk)

SK7=e(rj2Vi2Vk1,Qi+Qk)

SK8=e(rj2Vi2Vk2,Qi+Qk)

步驟6類似地，節(jié)點(diǎn)k從Vi1和Vi2中提取x向量Xi1和Xi2，從Vj1和Vj2中提取x向量Xj1和Xj2，并通過(guò)式(17)和式(18)驗(yàn)證接收信息是否正確。

(17)

(18)

如果式(17)和式(18)均成立，則節(jié)點(diǎn)k計(jì)算出下面的會(huì)話密鑰集：

SK1=e(rk1Vi1Vj1,Qi+Qj)

SK2=e(rk1Vi1Vj2,Qi+Qj)

SK3=e(rk1Vi2Vj1,Qi+Qj)

SK4=e(rk1Vi2Vj2,Qi+Qj)

SK5=e(rk2Vi1Vj1,Qi+Qj)

SK6=e(rk2Vi1Vj2,Qi+Qj)

SK7=e(rk2Vi2Vj1,Qi+Qj)

SK8=e(rk2Vi2Vj2,Qi+Qj)

3.2 基于雙線性配對(duì)協(xié)議的安全分析

下述定理3表明，提出的基于雙線性配對(duì)協(xié)議可以抵御傳感器節(jié)點(diǎn)上數(shù)據(jù)完整性的攻擊。

定理3提出的基于雙線性配對(duì)密鑰建立協(xié)議可以抵抗數(shù)據(jù)完整性的攻擊，當(dāng)且僅當(dāng)在橢圓曲線離散對(duì)數(shù)問(wèn)題(ECDLP)是難解的。

證明三個(gè)節(jié)點(diǎn)中的任意兩個(gè)節(jié)點(diǎn)i和j，節(jié)點(diǎn)i通過(guò)通信信道發(fā)送敏感數(shù)據(jù)到節(jié)點(diǎn)j，敵手改變或處理這個(gè)數(shù)據(jù)，然后通過(guò)依靠錯(cuò)誤的會(huì)話密鑰欺騙這個(gè)誠(chéng)實(shí)的節(jié)點(diǎn)。敵手將會(huì)計(jì)算Si去驗(yàn)證已核實(shí)的式(4)來(lái)欺騙節(jié)點(diǎn)j;然后，敵手能夠隨機(jī)選擇兩個(gè)點(diǎn)Vi1和Vi2，并提取出對(duì)應(yīng)的x向量Xi1和Xi2，之后，敵手不得不找一個(gè)Si去滿足等式e(Si,P)=e(Xi1Vi1+Xi2Vi2,Vi1)·e(Vi2,Qi)，但是對(duì)敵手來(lái)說(shuō),在不知道式(1)中λi的情況下,去計(jì)算Si是不可行的。對(duì)敵手來(lái)說(shuō)，為了從已知的Qi中計(jì)算出λi，它就要求敵手解決橢圓曲線離散對(duì)數(shù)問(wèn)題。因此，敵手偽造一個(gè)有效的信息去欺騙節(jié)點(diǎn)j在計(jì)算上是不可行的。

□

4 結(jié)束語(yǔ)

在本文中,我們?yōu)闊o(wú)線傳感器網(wǎng)絡(luò)提出了一種新型結(jié)構(gòu)的三方密鑰建立協(xié)議，這種無(wú)線傳感器網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)所需的存儲(chǔ)空間是固定的。傳感器節(jié)點(diǎn)通過(guò)保護(hù)后續(xù)會(huì)話密鑰可以與其他相鄰節(jié)點(diǎn)建立安全通信，即使先前的會(huì)話密鑰被管理者泄露。這個(gè)協(xié)議對(duì)完美的前向密鑰保密和修改攻擊是安全的。所提出的協(xié)議提供了兩個(gè)重要的優(yōu)勢(shì)：(1)每個(gè)節(jié)點(diǎn)所需的內(nèi)存空間是固定的，所以它在無(wú)線傳感器網(wǎng)絡(luò)中是兼容的。(2)通過(guò)保護(hù)后續(xù)會(huì)話密鑰，傳感器節(jié)點(diǎn)與其他相鄰節(jié)點(diǎn)可以建立安全通信。

[1] Wang Sheng-bao，Cao Zhen-fu，Dong Xiao-lei. Provably secure identity-based authenticated key agreement protocols in the standard mode[J]. Chinese Journal of Computers，2007, 30(10):1842-1854. (in Chinese)

[2] Wang Xiao-fen, Chen Yuan, Xiao Guo-zhen. Analysis and improvement of an ID-based authenticated key agreement protocol[J].Journal on Communications, 2008, 29(12):16-21. (in Chinese)

[3] Li Z, Zhan G, Ye X. Towards an anti-inference (k，l)-anonymity model with value association rules[C]∥Proc of the 17th International Conference on Database and Expert Systems Applications, 2006:883-893.

[4] Nogueira M, Silva H, Santos A, et al. A security management architecture for supporting routing services on WANETs[J]. IEEE Transactions on Network and Service Management, 2012, 3(8):1-13.

[5] Hankerson D,Menezes A,Vanstone S.Guide to elliptic curve cryptography[M]. Berlin:Springer, 2004.

[6] Kar J, Majhi B. A secure two-party identity based key exchange protocol based on elliptic curve discrete logarithm

problem[J]. Journal of Information Assurance and Security, 2009, 5(1):473-482.

[7] Koblitz N. Elliptic curve cryptosystem[J]. Mathematics of Computation, 1987, 48(17):203-209.

[8] Miller V S. Use of elliptic curves in cryptography[C]∥Proc of the Advances in Cryptology-Crypto’85, 1985:417-426.

[9] Dai D Y, Xu H B. Key predistribution approach in wireless sensor networks using LU matrix[J]. IEEE Sensors Journal, 2010, 10(8):1399-1409.

[10] Zhang P, Zhang Y T. Analysis of using interpulse intervals to generate 128-bit biometric random binary sequences for securing wireless body sensor networks [J]. IEEE Transactions on Information Technology in Biomedicine, 2012, 16(1):176-182.

附中文參考文獻(xiàn)：

[1] 王圣寶, 曹珍富, 董曉蕾. 標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2007, 30(10):1842-1852.

[2] 汪小芬，陳原，肖國(guó)鎮(zhèn).基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn)[J]. 通信學(xué)報(bào), 2008, 29(12):16-21.

ZHENGMing-hui,born in 1972,PhD,professor,CCF member(E200029016M),his research interest includes information security.

劉召召(1990),男,湖北孝感人，碩士生，研究方向?yàn)樾畔踩?。E-mail:990922923@qq.com

LIUZhao-zhao,born in 1990,MS candidate,his research interest includes information security.

Researchontripartitekeyestablishmentprotocolforwirelesssensornetworks

ZHENG Ming-hui,LIU Zhao-zhao

(College of Information Engineering,Hubei Minzu University,Enshi 445000,China)

A provably secure authenticated multiple key establishment protocol for Wireless Sensor Networks (WSNs) is proposed.Security of the protocol is based on the computational infeasibility of solving elliptic curve discrete logarithm problem and computational Diffie-Hellman problem on bilinear pairing.The authentication among the nodes is one of the most challenging security requirements in WSNs.To achieve this security goal, it is required to establish a correct session key among the three adjacent nodes of WSNs. It is proved that the proposed protocol is secure against the attacks on data integrity and the known key security attacks on session key.It also provides perfect forward secrecy.

bilinear pairing;key exchange;session key

1007-130X(2014)11-2132-05

2014-06-11;

：2014-08-15

國(guó)家自然科學(xué)基金資助項(xiàng)目(61173175)；湖北省杰出青年基金資助項(xiàng)目(2012FFA006)

TP393.08

：A

10.3969/j.issn.1007-130X.2014.11.013

鄭明輝(1972),男,湖北嘉魚(yú)人，博士，教授，CCF會(huì)員(E200029016M),研究方向?yàn)樾畔踩?。E-mail:mhzheng3@163.com

通信地址：445000 湖北省恩施市湖北民族學(xué)院信息工程學(xué)院

Address:College of Information Engineering,Hubei Minzu University,Enshi 445000,Hubei,P.R.China