王淑華，陳振龍

(1.浙江工商大學(xué)統(tǒng)計與數(shù)學(xué)學(xué)院，杭州310018；2.紹興文理學(xué)院數(shù)理信息學(xué)院，浙江 紹興312000)

無線傳感器網(wǎng)絡(luò)WSN(Wireless Sensor Networks)集微電技術(shù)、傳感器技術(shù)、通信技術(shù)于一體，可廣泛應(yīng)用于教育、軍事、醫(yī)療、交通等諸多領(lǐng)域，擁有巨大的應(yīng)用潛力和商業(yè)價值，引起了國內(nèi)外廣泛的關(guān)注和研究[1－5]。安全問題是無線傳感器網(wǎng)絡(luò)不得不考慮的一個重要問題，本文主要探討的是無線傳感器網(wǎng)絡(luò)的密鑰協(xié)商問題。除現(xiàn)有無線傳感器網(wǎng)絡(luò)本身存在的安全問題，如由于無線鏈路媒體的開放性、終端的移動性、動態(tài)變化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、協(xié)作算法、缺乏集中監(jiān)視和管理點以及沒有明確的防線，使得無線傳感器網(wǎng)絡(luò)容易遭到各種各樣的攻擊，如數(shù)據(jù)竊聽、信息竄改、惡意跟蹤等。未來的無線傳感器網(wǎng)絡(luò)，由于網(wǎng)絡(luò)的復(fù)雜性、管理的復(fù)雜性，使得其要面臨更復(fù)雜的安全問題。以提供安全、可靠的信息通信為目標(biāo)的密鑰協(xié)商是無線傳感器網(wǎng)絡(luò)安全研究最為重要、最為基本的內(nèi)容，有效的密鑰協(xié)商協(xié)議也是其他安全機制，如安全路由、安全定位、安全數(shù)據(jù)融合及針對特定攻擊的解決方案等的基礎(chǔ)。相對于傳統(tǒng)網(wǎng)絡(luò)，無線傳感器網(wǎng)絡(luò)更易受到包括被動竊聽、數(shù)據(jù)篡改和重發(fā)、偽造身份、拒絕服務(wù)、節(jié)點俘獲等安全威脅和攻擊，使得這些研究成果一般不能直接應(yīng)用于無線傳感器網(wǎng)絡(luò)。雖然無線傳感器網(wǎng)絡(luò)在現(xiàn)今信息技術(shù)領(lǐng)域是一個研究熱點，但絕大部分研究都集中于無線傳感器網(wǎng)絡(luò)的互聯(lián)技術(shù)，而對無線傳感器網(wǎng)絡(luò)的密鑰協(xié)商協(xié)議的研究較少[6－9]。因此，如何保證無線傳感器網(wǎng)絡(luò)安全是無線傳感器網(wǎng)絡(luò)研究領(lǐng)域里的一項極其重要內(nèi)容。為了解決無線傳感器網(wǎng)絡(luò)通信存在的安全性問題，需要設(shè)計兼具安全性和有效性，并且適用于無線傳感器網(wǎng)絡(luò)的的密鑰協(xié)商協(xié)議。

隨著量子計算與量子計算機的研究與發(fā)展，逐漸發(fā)現(xiàn)目前傳統(tǒng)的非對稱密碼體制所使用的難解問題將不再安全[10－14]。1997年，貝爾實驗室的Shor提出了分解大整數(shù)和求解離散對數(shù)的量子算法，并在文獻[13]中證明了其運算的時間復(fù)雜度是多項式級別的。利用量子計算機可以攻破經(jīng)典的DSA體制，RSA密碼體制，ECC體制等非對稱密碼體制。因此，研究量子計算機環(huán)境下安全的非對稱密碼體制是非常重要的，并且已經(jīng)成為當(dāng)前信息安全與密碼學(xué)界研究的重點方向與熱點。后量子時代的安全性已經(jīng)成為信息安全與密碼學(xué)家重點關(guān)注的問題。格公鑰密碼作為后量子計算機時代非對稱密碼體制的典型代表，在密碼學(xué)領(lǐng)域內(nèi)占居著非常重要的地位[15－21]。

無線傳感器網(wǎng)絡(luò)部署后，所有節(jié)點需要在密鑰協(xié)商后才能參與通信，新的節(jié)點要想加入網(wǎng)絡(luò)也必須通過密鑰協(xié)商才能獲得其他節(jié)點認可。目前，針對無線傳感器網(wǎng)絡(luò)的密鑰協(xié)商協(xié)議可分為兩大類：基于對稱密碼體制和基于非對稱密碼體制。當(dāng)傳感器節(jié)點能量被耗盡或者被確認為非法節(jié)點，網(wǎng)絡(luò)必須及時清除淘汰該節(jié)點，傳感器節(jié)點之間的密鑰協(xié)商用以保證通信傳感器節(jié)點的合法性，是無線傳感器網(wǎng)絡(luò)安全通信的前提?；趯ΨQ密碼體制的密鑰協(xié)商協(xié)議存儲消耗大，抗捕獲能力差；而基于非對稱密碼體制的密鑰協(xié)商協(xié)議計算消耗大，拓展性、健壯性差。大量已有研究工作致力于減小非對稱密碼體制的計算開銷與能耗；提出更為安全、合理的密鑰協(xié)商協(xié)議。鑒于以上問題，本文提出了一種有效的無線傳感器網(wǎng)絡(luò)密鑰協(xié)商協(xié)議。有關(guān)無線傳感器網(wǎng)絡(luò)密鑰協(xié)商協(xié)議可以參考無線傳感器網(wǎng)絡(luò)相關(guān)安全問題的綜述等[22－24]。

利用格上堅實的安全基礎(chǔ)和更高的計算效率，本文提出一種基于格的無線傳感器網(wǎng)絡(luò)密鑰協(xié)商協(xié)議，通過概率輸出認證信息，使輸出認證信息的分布與認證主體的私鑰無關(guān)。節(jié)點之間只在需要通信時才建立相應(yīng)配對密鑰，能相互驗證密鑰的有效性，僅需較少步驟就能夠以很高的概率進行密鑰協(xié)商。建立的配對密鑰是基于對稱密碼體制，這樣通信的效率會提高很多。

1 基礎(chǔ)知識

1.1 格

定義1 在m維向量空間Rm中取n(m≥n)個線性無關(guān)的向量 b1，b2，…，bn∈Rm，定義由這 n 個向量生成的格為：

式中：向量 b1，b2，…，bn稱為格的基。 若定義 m×n維矩陣 B，其列向量分別為 b1，b2，…，bn，則由矩陣B生成的格可以定義為：

式中：n稱為格的秩；m稱為格的維數(shù)；m＝n的格被成為滿秩格。

1.2 格上的難解問題

格上的難解問題主要有最短向量問題(SVP)、最近向量問題(CVP)、最短獨立向量問題(SM)等。另外，一般加密有關(guān)的方案安全性基于錯誤學(xué)習(xí)(LWE)問題，簽名相關(guān)方案的安全性基于小整數(shù)解(SIS)問題。下面給出部分問題的具體定義。

定義2 最短向量問題SVP(Shortest Vector Problem)問題：給定秩為n的格L(B)?Zm的一組基B，找到一個非零向量u∈L(B)，使得對格上的任意向量v∈L(B)滿足如下條件：

有些格上的最短向量不一定是唯一的，比如：如果u是一個最短向量，那么－u也同樣是一個最短向量。1981年，Boas在文獻[16]中證明了最短向量難解問題在?∞范式下是NP難解問題。1998年，Ajtai等人在文獻[17]中證明了最短向量問題在?2范式下是NP難解問題。

定義3 最近向量問題CVP(Closest Vector Problem)問題：給定秩為n的格L(B)?Zm的一組基B和一個目標(biāo)向量x∈span[L(B)]，找到一個滿足如下條件的非零向量u∈L(B)：

在文獻[20]中，Henk通過歸約的方式證明了最近向量難解問題比最短向量難解問題更難。另外，Boas在文獻[16]中也證明了最近向量難解問題是NP難解問題。

定義4 小整數(shù)解問題SIS(Small Integer Solution)問題：給定一個正整數(shù)q，一個隨機矩陣A∈Znq×m和一個實數(shù) β＞0，定義(q，m，β)小整數(shù)解問題表述如下：找到一個非零向量v?Zm，使得Av＝0(modq)，并滿足‖v‖≤β。

SIS問題的難解性：對任意的m(n)＝Θ(nlogn)，存在一個q(n)＝O(n2logn)使得對任意函數(shù)γ(n)＝ω(nlogn)，以不可忽略的概率解決平均情況的 SISq，n，m，β問題至少和解決最壞情況的SVPγ一樣難解[18]。

1.3 格上的相關(guān)算法

抽樣技術(shù)首先是由 Gentry，Peikert和 Vaikuntanathan在文獻[10]中提出的，是格非對稱密碼體制發(fā)展過程中出現(xiàn)的一種非常重要的技術(shù)，許多格上的非對稱密碼體制協(xié)議都使用了抽樣技術(shù)。

定理1(陷門生成算法) 令q≥3是一個素數(shù)，m＝「6nlogq?。存在一個概率多項式時間算法TrapGen(q，n)輸出矩陣對：

式中：A 的分布和 Zn×mq上的均勻分布統(tǒng)計接近，TA是 q－ary格 Λ⊥q(A)上的一組短基，同時如下兩式以壓倒性的概率成立：

2012年，Micciancio和Peikert在文獻[14]中提出了格上的新陷門(G－陷門)：

定理2(G－陷門生成算法) 給定矩陣A∈Znq×m，T∈Zmq0×kn和 M∈Znq×n，其中 n，m，m0，k 是正整數(shù)。如果滿足如下等式：

并且‖T‖足夠小，那么T就是A對于標(biāo)簽M的G陷門。

由于Gentry等人在文獻[10]中的抽樣技術(shù)計算較為復(fù)雜，Lyubashevsky在文獻[12]中提出了一種基于格的無需原像抽樣操作的技術(shù)。

2 網(wǎng)絡(luò)模型

在本文提出的密鑰協(xié)商協(xié)議中，采用無線傳感器網(wǎng)絡(luò)標(biāo)準(zhǔn)模型進行密鑰預(yù)分配管理。無線傳感器網(wǎng)絡(luò)由基站和普通節(jié)點兩種類型構(gòu)成，并有如下假設(shè)：①傳感器節(jié)點的密鑰對都是由基站生成并預(yù)分配給所有傳感器節(jié)點，傳感器節(jié)點之間也可以進行通信。②每個傳感器節(jié)點都有自己唯一的身份標(biāo)識IDi∈{0，1}?，i∈{1，2，…，N}。 ③在本文提出協(xié)議中的基站存儲夠用，而且是誠信可靠的。

無線傳感器網(wǎng)絡(luò)的拓撲結(jié)構(gòu)如圖1所示。

在圖1中，基站具有無限能量、高計算能力以及充足的存儲空間等特點，并且是誠信可靠的。傳感器節(jié)點C的功能是負責(zé)感知周圍環(huán)境，將采集到的數(shù)據(jù)發(fā)往基站，如果太遠也可以選擇其他傳感器節(jié)點進行轉(zhuǎn)發(fā)。

圖1 網(wǎng)絡(luò)模型

3 密鑰協(xié)商協(xié)議

根據(jù)文獻[12]中的無需抽樣操作技術(shù)和文獻[25]中的消息恢復(fù)算法，本文提出了一種基于格的無線傳感器網(wǎng)絡(luò)密鑰協(xié)商協(xié)議，采用無線傳感器網(wǎng)絡(luò)基本的密鑰預(yù)分配模型，基站首先生成系統(tǒng)參數(shù)和所有傳感器節(jié)點的公私密鑰對，并把密鑰對分配給相應(yīng)的傳感器節(jié)點。傳感器節(jié)點之間只在需要通信時才建立相應(yīng)配對密鑰，僅需較少步驟，就能夠以很高的概率進行密鑰協(xié)商。建立共享密鑰后相關(guān)傳感器節(jié)點就可以用該共享密鑰進行安全通信，該共享密鑰是基于對稱密碼體制的。由于對稱密碼體制比非對稱密碼體制在加密運算中效率更高，所以能有效降低傳感器節(jié)點的通信能耗。

3.1 系統(tǒng)參數(shù)和密鑰對

系統(tǒng)參數(shù)和密鑰對的產(chǎn)生如下：

①令系統(tǒng)安全參數(shù)是1n。

②首先選擇素數(shù) q，正整數(shù) d，m，k，λ，l，其中 m必須滿足如下不等式：

選擇實數(shù)σ，滿足如下不等式：

③選擇一個隨機矩陣A∈Zn×mq。

④選擇四個安全的哈希函數(shù)：

⑤生成傳感器節(jié)點的密鑰對，首先隨機選擇矩陣Si為第i個傳感器節(jié)點的私鑰，則Ti＝ASi為第i個傳感器節(jié)點的公鑰，其中Si滿足如下條件：

最后，輸出系統(tǒng)公共參數(shù)：

傳感器節(jié)點的密鑰對：

3.2 生成臨時會話密鑰

如果有傳感器節(jié)點要與其他傳感器節(jié)點進行通信時，該傳感器節(jié)點首先生成相應(yīng)的密鑰協(xié)商消息，然后把生成好的密鑰協(xié)商消息發(fā)送給相應(yīng)的傳感器節(jié)點。當(dāng)其他傳感器節(jié)點收到密鑰協(xié)商消息后，先進行驗證，如果通過驗證，則接收相應(yīng)的密鑰消息，否則拒絕接收或丟棄該密鑰協(xié)商消息，密鑰協(xié)商的詳細過程如下：

輸入系統(tǒng)公共參數(shù) PP＝{A，F(xiàn)1，F(xiàn)2，H1，H2}，假設(shè)第i個傳感器節(jié)點需要與第j個傳感器節(jié)點進行通信時，第i個傳感器節(jié)點將隨機產(chǎn)生一個用于本次通信的臨時會話密鑰Kij：Kij∈{0，1}l，該密鑰為對稱密碼體制下的密鑰，使用對稱密碼體制進行加解密效率更高。密鑰協(xié)商數(shù)據(jù)包生成的具體過程如下：

①選擇一個隨機的 y：y←Dmσ和時間戳 ti：ti∈{0，1}?，其中ti表示該認證消息是第i個傳感器節(jié)點在t時刻生成的。

②計算uy和uK：

③計算 u′K：

④計算驗證消息(z，c)：

⑤以概率個傳感器節(jié)點把包含臨時會話密鑰的消息(z，c，u′K，ti)發(fā)送給第j個傳感器節(jié)點。

其中時間戳ti用于判斷數(shù)據(jù)包的時間有效性和是否被重復(fù)接收；(z，c)用于驗證；u′K用于驗證后提取臨時會話密鑰的消息。輸出(z，c)，第 i

3.3 驗證并恢復(fù)臨時密鑰

當(dāng)?shù)趈個傳感器節(jié)點收到第i個傳感器節(jié)點發(fā)送過來的消息(z，c，u′K，ti)時，首先用第 i個傳感器節(jié)點的公鑰Ti驗證該消息的有效性，如果驗證通過，就提取并接收第i個傳感器節(jié)點發(fā)送過來的臨時會話密鑰，并用該會話密鑰與第i個傳感器節(jié)點進行通信，驗證失敗，則丟棄該數(shù)據(jù)包。具體的驗證恢復(fù)過程描述如下：

①驗證下面兩個式子是否都成立：

如果以上兩式都成立，則表示驗證通過，將繼續(xù)下一步操作；否則驗證失敗，并丟棄這個由第i個傳感器節(jié)點發(fā)送過來的數(shù)據(jù)包。

②計算：

③恢復(fù)消息uK：

④驗證等式[u′K]l1＝F1(uK)是否成立，如果成立，則恢復(fù)將與第i個傳感器節(jié)點進行通信的臨時會話密碼 Kij：Kij＝uK⊕uy；如果失敗，則丟棄該數(shù)據(jù)包，并終止操作。

其中[u′K]l1表示：u′K中從高到低的前 l1位；[u′K]l表示：u′K中從低到高的后 l位。

最后，第j個傳感器節(jié)點接收到第i個傳感器節(jié)點發(fā)送過來的臨時會話密鑰信息，如果通過驗證就能從該數(shù)據(jù)包中恢復(fù)出與第i個傳感器節(jié)點進行通信的臨時會話密鑰Kij。

如果基站發(fā)現(xiàn)有傳感器節(jié)點被俘獲，要及時把該節(jié)點的ID信息廣播出去，避免其進行惡意攻擊。

3.4 使用臨時密鑰通信

當(dāng)?shù)趈個傳感器節(jié)點恢復(fù)出臨時會話密鑰Kij后就可以與第i個傳感器節(jié)點進行安全通信，下面介紹兩種通信方式，可以根據(jù)具體情況選擇不同的通信方式。

①直接用恢復(fù)出的對稱密鑰進行通信

第j個傳感器節(jié)點：

加密消息u：

式中：u表示需要加密的消息；Kij表示：第j個傳感器節(jié)點和第i個傳感器節(jié)點的臨時會話密鑰；En(Kij，u)表示：用臨時會話密鑰Kij對需要加密的明文消息u進行加密，使用的算法為效率較高的對稱密碼體制算法，設(shè)該算法為E-SYM；uEn表示：加密后的密文消息。接著，第j個傳感器節(jié)點將加密后的密文uEn發(fā)送給第i個傳感器節(jié)點。

當(dāng)?shù)趇個傳感器節(jié)點接收到由第j個傳感器節(jié)點發(fā)送過來的密文uEn后，將用之前生成的臨時會話密鑰Kij對uEn解密。

第i個傳感器節(jié)點：

解密消息：

式中：De(Kij，uEn)表示：用臨時會話密鑰Kij使用對稱密碼體制算法E-SYM對密文uEn進行解密；uDe表示解密后的密文消息。最后，第i個傳感器節(jié)點就獲取了由第j個傳感器節(jié)點發(fā)送過來的消息u：u＝uDe。

②把密文嵌入到驗證消息后進行通信

第j個傳感器節(jié)點：

(a)加密消息u：

(b)計算密文嵌入后的消息(zj，cj)：

(c) 以概率的消息(zj，cj)。

接著，第 j個傳感器節(jié)點把消息(zj，cj，uEn)發(fā)送給第i個傳感器節(jié)點。

當(dāng)?shù)趇個傳感器節(jié)點接收到由第j個傳感器節(jié)點發(fā)送過來的包含密文的消息(zj，cj，uEn)后，將用第j個傳感器節(jié)點的公鑰Tj驗證消息(zj，cj)，驗證通過后，將用之前生成的臨時會話密鑰Kij對uEn解密。

第i個傳感器節(jié)點：

如果以上兩式都成立，則表示驗證通過，將繼續(xù)下一步操作；否則驗證失敗，并丟棄這個由第j個傳感器節(jié)點發(fā)送過來的數(shù)據(jù)包。

(b)解密消息uEn：

最后，第i個傳感器節(jié)點就獲取了由第j個傳感器節(jié)點發(fā)送過來的消息u：u＝uDe。

以上所述兩種通信方式各有優(yōu)缺點，可以根據(jù)具體情況選擇不同的通信方式。如果要加密的文明數(shù)據(jù)量很大，安全級別要求不是很高的情況下，可以使用第一種通信方式，該通信方式只要用對稱密碼體制算法E-SYM進行加解密操作即可，該通信方式效率更高；如果要加密的數(shù)據(jù)量不是很大，安全級別要求較高的情況可采用第二種通信方式，該方式可以避免其他傳感器節(jié)點冒充第j個傳感器節(jié)點與第i個傳感器節(jié)點通信，該通信方式安全性更高。

另外，根據(jù)無線傳感器網(wǎng)絡(luò)的具體安全環(huán)境情況，可以適當(dāng)改變臨時會話密鑰的有效時間，減少密鑰協(xié)商的次數(shù)，提高無線傳感器網(wǎng)絡(luò)通信的效率。

4 協(xié)議分析

本文從一致性、安全性和效率3方面對新方案進行分析。

4.1 一致性

按照上述密鑰協(xié)商協(xié)議的具體過程，本文對驗證過程一致性和密鑰恢復(fù)一致性分別進行闡述和分析。

①驗證過程一致性分析：

所以：

在證明以壓倒性概率滿足‖z‖≤2σ m不等式成立之前先介紹下面兩個引理：

引理1[12]對任意實數(shù)σ＞0和正整數(shù)m，有如下不等式成立：

引理2[12]對任意的向量v∈Zm，如果：

則有如下等式成立：

根據(jù)文獻[12]中所述的無需原像抽樣技術(shù)的原理和引理1得出，z的分布非常的接近Dmσ；由引理2可以得出z將以大于或等于1－2－m的概率滿足不等式‖z‖≤2σ m，即以壓倒性概率滿足不等式‖z‖≤2σ m。

②密鑰恢復(fù)一致性分析：

(a)分析等式[u′K]l1＝F1(uK)：

(b)對密鑰Kij的正確性進行分析：

從以上分析可以得出，第i個傳感器節(jié)點和第j個傳感器節(jié)點擁有共同的對稱密碼體制算法E-SYM的密鑰Kij，并能用Kij進行通信。

4.2 安全性分析

本節(jié)分析上述密鑰協(xié)商協(xié)議在參數(shù)為[q，m，(4σ＋2dλ) m]的小整數(shù)解問題假設(shè)下是安全的，下面分別從密鑰協(xié)商過程和傳感器節(jié)點通信兩方面進行安全分析。

①密鑰協(xié)商協(xié)議安全分析

由4.1節(jié)中的定義4可得，參數(shù)為[q，m，(4σ＋2dλ)的小整數(shù)解問題具體表述如下：

給定一隨機矩陣 A∈Znq×m和一個實數(shù)(4σ＋2dλ) m＞0，找到一個非零向量 v?Zm，使得 Av＝0(modq)，并滿足‖v‖≤(4σ＋2dλ) m。

首先構(gòu)造一個多項式時間算法ξ，并假設(shè)算法ξ以不可忽略的概率得到消息一個新的偽造認證簽名(z?，c?)，使得：

由于 Ti＝ASi，則：

根據(jù)密鑰協(xié)商消息的一致性可得：‖z‖，‖z?‖≤2σ m和‖Sic‖，‖Sic?‖≤dλ m以壓倒性概率成立，則：

所以只要證明 z－Sic－z?＋Sic?≠0的概率是不可忽略的就能說明該密鑰協(xié)商協(xié)議是安全可靠的。

在繼續(xù)證明之前先介紹引理3。

引理3[12]對于滿足條件m≥64＋nlogq/log(2d＋1)的任何矩陣 A∈Znq×m，隨機選取d}m，那么以1－2－m的概率存在另外一個 s′：s′∈{－d，…，0，…，d}m，滿足 As＝As′。

根據(jù)上面引理3可以得出，能比1－2－m大的概率生成一個新的傳感器節(jié)點私鑰S′i滿足等式ASi＝AS′i。 則：

則有：

因此，本文提出的密鑰協(xié)商過程在參數(shù)為[q，m，(4σ＋2dλ)的小整數(shù)解問題假設(shè)下是安全的。

②傳感器節(jié)點通信安全分析

如果在第i個傳感器節(jié)點和第j個傳感器節(jié)點進行密鑰協(xié)商的過程中沒有其他惡意傳感器節(jié)點竊聽，那么第3節(jié)中所述的第1種直接用臨時會話密鑰Kij進行通信的方案是安全的。

如果在第i個傳感器節(jié)點和第j個傳感器節(jié)點進行密鑰協(xié)商的過程中有惡意傳感器節(jié)點e竊聽到該密鑰協(xié)商數(shù)據(jù)包，惡意傳感器節(jié)點e就可以通過第i個傳感器節(jié)點的公鑰Ti驗證并恢復(fù)出臨時會話密鑰Kij，這種情況只能采用第2種把加密消息嵌入到驗證消息的方案進行通信，下面分析第2種通信方式的安全性。

惡意傳感器節(jié)點e可以冒充第j個傳感器節(jié)點對消息“u”進行加密并生成密文“uEn”：“uEn”＝En(Kij，“u”)；但由于傳感器節(jié)點 e并不知道第 j個傳感器節(jié)點的私鑰Sj，所以沒辦法把冒充的密文“uEn”嵌入到驗證消息zj中：

從以上的分析中可以看出本文提出的第i個傳感器節(jié)點和第j個傳感器節(jié)點用臨時會話密鑰進行通信的方案是安全的。

4.3 性能分析

下面首先將對提出方案的安全性、計算量和量子攻擊等方面與其他相關(guān)方案進行比較。其中文獻[5]涉及到的是指數(shù)級計算，在GDH(Gap Diffie-Hellman)假設(shè)下，達到了認證安全性，雖然它們在較強安全模型下具有較高的安全性，但是容易遭到量子攻擊，而本文提出的方案是基于格的，所以只涉及到矩陣和向量的乘積運算，沒有涉及到指數(shù)運算，這樣計算簡單，效率高，由于基于格的小整數(shù)解問題能夠抵抗量子攻擊，因此本文提出的方案有較高的安全性和效率。文獻[15]提出的認證密碼方案由于是基于理想格，這就導(dǎo)致其在效率方面會比本文提出的方案要稍微弱些，但在安全證明等方面會比較好些，這也是本文提出的方案需要進一步改進和完善的地方。文獻[7]使用了密鑰封裝技術(shù)，這導(dǎo)致該密鑰協(xié)議具有較大的存儲空間和計算量，本文提出的方案沒有使用對應(yīng)的密碼方法對簽名和密鑰等封裝來進行認證，因此相比文獻[7]更具有較小的存儲空間和計算量。性能比較如表1所示。

表1 相關(guān)方案的性能比較

從表1中可看出，本文提出的密碼方案在安全性、計算量和存儲空間等方面具有一定的優(yōu)勢。

下面通過理論分析和仿真對本文提出方案的公鑰和私鑰大小和其他相關(guān)方案進行比較。在具體的量化仿真中，n是安全參數(shù)，q是模數(shù)，d＝「logn?，m＝6nlogq，ˉm＝nk，l是消息的比特長度。 其中在文獻[14]Micciancio方案和[19]Cash方案中，k＝「logn?；在文獻[22]Ducas方案中，w1＝2「logq?＋2，k1＝2「log3q?。在Cash方案中的公鑰與私鑰大小分別為：2lˉmn＋2ˉmn和4ˉm2；在文獻Micciancio方案中的公鑰與私鑰大小分別為：(l＋1)n2k＋(ˉm＋nk＋1)n和ˉmnk；在Ducas方案中的公鑰與私鑰大小分別為：(d＋3)n2k1＋n和w1k1n2；本文方案中的公鑰與私鑰大小分別為：2dˉmn＋4nk和ˉmnd。當(dāng)l＝100，q＝212時，不同方案中在不同安全系數(shù)下公鑰大小的比較：

從圖2可以看出，本文提出方案的公鑰和私鑰大小占有一定的優(yōu)勢。

圖2 本文方案與相關(guān)協(xié)議的公鑰大小比較

本文提出的密鑰協(xié)商協(xié)議不需要相關(guān)傳感器節(jié)點再另外單獨發(fā)送密鑰數(shù)據(jù)包，因為包含密鑰的信息已經(jīng)被嵌入到密鑰協(xié)商的數(shù)據(jù)包中，第j個傳感器節(jié)點接收到密鑰協(xié)商協(xié)議數(shù)據(jù)包就可以通過對密鑰協(xié)商數(shù)據(jù)包的驗證，并提取出相應(yīng)的臨時會話密鑰信息。由于本文提出的密鑰協(xié)商協(xié)議不需要額外發(fā)送消息，因而能夠減少無線傳感器網(wǎng)絡(luò)的通信開銷，達到降低能耗的目的。另外用于第i個傳感器節(jié)點和第j個傳感器節(jié)點進行臨時通信的密鑰是基于對稱密碼體制算法，所以能有效提高第i個傳感器節(jié)點和第j個傳感器節(jié)點臨時通信的效率。在計算復(fù)雜性方面，本文提出的密鑰協(xié)商協(xié)議主要操作都是些簡單的哈希操作和邏輯運算，一般傳輸1比特的數(shù)據(jù)比32比特的計算要消耗更多的能量。

5 總結(jié)

本文提出了一種有效的無線傳感器網(wǎng)絡(luò)密鑰協(xié)商協(xié)議，其核心思想是采用格上無需原像抽樣操作的算法，利用格上堅實的安全基礎(chǔ)和更高的計算效率，使其更適應(yīng)于無線傳感器網(wǎng)絡(luò)。在本方案中，傳感器節(jié)點不需預(yù)先存儲會話密鑰信息，只在需要通信時才發(fā)起密鑰協(xié)商會話來建立配對密鑰，而通信的密鑰是基于對稱密碼體制算法，所以能有效降低傳感器節(jié)點之間的通信開銷。