殷智浩，于本成,2，周 楠，殷志昆，凌啟東

(1.徐州工業(yè)職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，江蘇 徐州 221140；2.中國礦業(yè)大學(xué) 信息與控制工程學(xué)院，江蘇 徐州 221116；3.江蘇大學(xué) 計算機科學(xué)與通信工程，江蘇 鎮(zhèn)江 212013)

0 引 言

目前，由于無線傳感器網(wǎng)絡(luò)(wireless sensor network，WSN)對實時性的要求較高[1-3]，若僅僅將傳統(tǒng)的密鑰分配、密鑰協(xié)商、密鑰刷新協(xié)議或者復(fù)雜的密碼算法直接融入到傳感器中是不可行的，因為大多數(shù)公鑰體制密鑰算法在WSN中并不適用[4,5]。因此，密鑰分配和密鑰刷新協(xié)商問題是當(dāng)前WSN的研究熱點和挑戰(zhàn)。

多年來，國內(nèi)外研究專家已經(jīng)提出了各種有關(guān)密鑰的安全方案。Kamal和Ahlawat[6]提出一種基于矩陣的改進密鑰管理方案，該方案使用加密方法來增加存儲空間，并使節(jié)點變得輕量級，并提高節(jié)點的連接性，但其并沒有密鑰刷新。Tamilarasi等[7]提出一種改進的基于非對稱密鑰的安全體系架構(gòu)，抵抗了中間人攻擊，提高了安全性，但其資源開銷較大。Amodu等[8]提出一種無線傳感器網(wǎng)絡(luò)中基于位置的密鑰分發(fā)機制。張文[9]提出一種分層分簇的組密鑰管理方案(HCGKM)，該方案通過構(gòu)造特殊的組密鑰多項式刷新密鑰，但是其密鑰刷新的加密密鑰并未刷新，安全性不高。劉芬等[10]提出一種WSN中基于公鑰體制的輕量級密鑰管理方案(LWKM)，但該方案不能抵抗中間人攻擊，且密鑰刷新階段的加密密鑰并未刷新，安全性不足。

因此，針對WSN中的密鑰安全及其刷新效率問題，本文設(shè)計了一種基于節(jié)點層次的多級密鑰管理方案。主要創(chuàng)新點包括：①設(shè)計了基于節(jié)點層次的分級密鑰機制，根據(jù)節(jié)點層次分配低到高等級的密鑰，其中低級密鑰由高級密鑰進一步生成；②設(shè)計了基于密鑰使用頻率的高效密鑰刷新協(xié)商協(xié)議，在保證安全性的前提下提升了密鑰刷新效率。

1 WSN安全性分析

1.1 WSN結(jié)構(gòu)與特點

WSN結(jié)構(gòu)如圖1所示，其中包括3大要素：簇成員/傳感器節(jié)點、簇頭節(jié)點和管理節(jié)點/基站[11-13]。WSN是由大量傳感器構(gòu)成，構(gòu)成的方式為自組織和多跳，它們互相協(xié)作地去感知、采集、處理并傳輸覆蓋的信息，最后發(fā)送給網(wǎng)絡(luò)所有者。傳感器節(jié)點將采集的數(shù)據(jù)進行簡單加工處理后，通過鄰居節(jié)點逐跳地傳送給簇頭節(jié)點；簇頭節(jié)點對接收到的數(shù)據(jù)進行加工處理后，最終傳送給管理節(jié)點/基站。管理員通過管理節(jié)點/基站對整個WSN進行管理和控制，其中包括發(fā)布監(jiān)測任務(wù)及收集監(jiān)測數(shù)據(jù)、發(fā)布控制指令等[14]。

圖1 WSN結(jié)構(gòu)

1.2 WSN的安全問題

WSN的數(shù)據(jù)采集、數(shù)據(jù)傳輸過程以及物理位置都需要對無關(guān)人員嚴格保密。WSN的安全需求同傳統(tǒng)網(wǎng)絡(luò)一樣，都需要解決數(shù)據(jù)機密性、數(shù)據(jù)完整性、數(shù)據(jù)新鮮性、密鑰新鮮性、認證性以及不可否認性問題[15]，詳細描述見表1。

表1 WSN安全需求

2 WSN多級密鑰管理方案設(shè)計

2.1 整體結(jié)構(gòu)

一個WSN中，包含數(shù)量龐大的傳感器節(jié)點以及其資源的限制性，導(dǎo)致密鑰管理非常棘手。傳感器節(jié)點之間相互傳輸數(shù)據(jù)，但并不是每個節(jié)點都需要和所有節(jié)點進行數(shù)據(jù)交互，每個節(jié)點的重要級別也是不同的，有些是必不可少的，有些是可有可無，因此，本文根據(jù)節(jié)點的重要層次進行劃分，設(shè)計相應(yīng)層次節(jié)點之間使用的密鑰，層次數(shù)可根據(jù)真實的場景中調(diào)整。為了便于分析，這里將考慮三層劃分，內(nèi)層(第一層)安全級別最高，外層依次降低，所提方案結(jié)構(gòu)如圖2所示。

圖2 所提方案結(jié)構(gòu)

針對密鑰安全及其密鑰刷新效率問題，根據(jù)WSN節(jié)點重要級別屬性設(shè)計了一種基于節(jié)點層次的多級密鑰。根據(jù)層次分配低到高等級的密鑰，保證只有高級密鑰的節(jié)點方可獲得同級或低級的節(jié)點間的數(shù)據(jù)訪問權(quán)限。此外，在保證安全性的情況下基于不同密鑰的使用頻率設(shè)計了高效的密鑰刷新協(xié)商協(xié)議。采用的主要符號及其定義見表2。

表2 主要符號及其定義

2.2 多級密鑰設(shè)計

在設(shè)計的方案中，密鑰種子都是由該WSN中的簇頭分發(fā)，各個節(jié)點收到密鑰種子后，使用基于哈希運算報文認證碼(hash-based message authentication code，HMAC)的密鑰推導(dǎo)函數(shù)(key derivation function，HKDF)生成一系列子密鑰，三級分層密鑰結(jié)構(gòu)見表3。

如表3所示，第一級密鑰種子為seed1，其生成的一系列子密鑰用于第一層節(jié)點之間的通信。第二級密鑰種子為seed2，其生成的一系列子密鑰用于第二層節(jié)點之間以及第一層與第二層節(jié)點之間的通信。第三級密鑰種子為seed3，其生成的一系列子密鑰用于第三層節(jié)點之間以及與其它層節(jié)點之間的通信。高等級密鑰可以生產(chǎn)低一層密鑰，如下式所示

表3 三級分層密鑰結(jié)構(gòu)

seedi=HUKi+1(seedi+1)

(1)

這也表明了第一層的節(jié)點具有最高的安全級別。根據(jù)網(wǎng)絡(luò)各個階段密鑰的使用頻率，只有通信階段時間最長，因此，本節(jié)設(shè)計的每個級別密鑰包含一個認證密鑰AK、一個刷新密鑰UK和4個加密密鑰EKi,j。 其中，認證密鑰AK用于認證階段，刷新密鑰UK用于密鑰刷新階段，加密密鑰EKi,j用于正常通信階段。為了確保密鑰的安全性，還需要定期刷新密鑰。顯然，本方案設(shè)計要求高層節(jié)點的成本要逐級高于低層節(jié)點的成本。

步驟1 簇頭加載安全參數(shù)ζ，且定義2個具有相同生成元(p1和p)的加法群G0， 2個加法群的階均為q。

HKDF(seedi)=AKi‖UKi‖EKi.1‖EKi.2‖EKi.3‖EKi.4

(2)

步驟3 {G0,p,p1,H,HKDF,E,D} 為簇頭廣播的公共參數(shù)。隨后，分發(fā)seed1給S1，seed2分發(fā)給S2，seed3分發(fā)給S3。

步驟4 S1通過式(2)計算各級密鑰。S2通過式(2)計算第二、第三級密鑰。S3通過式(2)計算第三級密鑰。

2.3 多級密鑰刷新協(xié)議設(shè)計

在下面提到的協(xié)議算法中，子密鑰的數(shù)目可以根據(jù)其傳感器節(jié)點的真實資源限制進行設(shè)置。該協(xié)議包含兩個方案：基礎(chǔ)方案(即當(dāng)前使用的通信加密子密鑰EKi,j中的j=4時執(zhí)行)和增強方案(即當(dāng)前使用的通信加密子密鑰EKi,j中的j=1或2或3執(zhí)行)。所提多級密鑰刷新協(xié)議的具體實施步驟如下：

步驟1 如果當(dāng)前網(wǎng)絡(luò)使用通信加密子密鑰EKi,j中的j為1或2或3，則CT使用HAK1() 為CTRCT、REQsubK和IDCT生成HMAC(·)

HMAC(·)=HAK3(CTRCT‖REQsubK‖IDCT)

(3)

式中：REQsubK表示刷新子密鑰時所需的請求對象。

然后，CT需把子密鑰刷新請求報文MsgsubK廣播給S1、S2、S3，且對計數(shù)器CTRCT進行遞增操作。當(dāng)EKi,j對應(yīng)的j=4時，CT任意挑選一個新的隨機數(shù)密鑰種子seed1并通過式(1)計算出seed2和seed3，然后生成C1，C2，C3和HMAC(·)， 如下所示

MsgsubK=MsgsubK(REQsubK‖HMAC(·))

(4)

HMAC(·)=HAK2(CTRCT‖REQK‖C1‖C2‖C3‖IDCT)

(5)

其中，REQK是刷新密鑰時所需的請求對象。

然后，CT向S1，S2和S3發(fā)送整體密鑰刷新請求報文MsgK，且對計數(shù)器CTRCT進行遞增操作。需要注意的時，C1、C2，C3和MsgK生成方式如下

C1=EUK1(seed1)

(6)

C2=EUK2(seed2)

(7)

C3=EUK3(seed3)

(8)

MsgK=MsgK(REQK‖C1‖C2‖C3‖HMAC(·))

(9)

步驟2 當(dāng)時接收到MsgsubK報文時，S1，S2和S3采用HAK3() 產(chǎn)生HMAC(·)*， 以便用于CTRCT、REQsubK和IDCT，然后比較分析HMAC(·)*和MsgsubK中的HMAC(·)。

所提多級密鑰刷新協(xié)議的偽代碼見表4。

表4 多級密鑰刷新協(xié)議的偽代碼

3 實驗仿真與結(jié)果分析

為了驗證所提方案的性能，采用MATLAB軟件和NS2軟件進行仿真。實驗平臺為Windows 10操作系統(tǒng)，CPU為英特爾I7處理器，8 GB內(nèi)存，仿真環(huán)境為Matlab7.8。仿真環(huán)境主要參數(shù)見表5。

表5 仿真環(huán)境參數(shù)

3.1 性能分析

(1)連通性與可擴展性

本方案中每層節(jié)點之間都有相應(yīng)級別的密鑰，簇頭與第一層節(jié)點、第一層節(jié)點之間、第一層與第二層節(jié)點之間，第二層節(jié)點之間、第二層與第三層節(jié)點之間、第三層節(jié)點之間都建立了認證階段、密鑰刷新階段、正常通信階段的密鑰，因此，網(wǎng)絡(luò)連通性近似等于1。本方案中，若有節(jié)點加入，只需簇頭和其進行協(xié)商當(dāng)前使用的子密鑰即可。若有節(jié)點離開，簇頭會執(zhí)行基礎(chǔ)型方案。因此，本方案滿足WSN可擴展性。

(2)資源開銷

傳感器節(jié)點的資源開銷是指通信開銷、存儲開銷和計算開銷。本方案中，密鑰刷新階段的通信復(fù)雜度與節(jié)點個數(shù)的規(guī)模無關(guān)，只需簇頭進行廣播刷新，因此，通信復(fù)雜度為O(1)。

本方案中，簇頭需要保存每個節(jié)點的身份標識ID、公鑰PKsensori以及每層的子密鑰，則其存儲復(fù)雜度是O(N)。 第n層的節(jié)點需要保存n+1層及以上的子密鑰，則其存儲復(fù)雜度為O(N)。

在本方案中，簇頭的計算開銷主要分為兩種情況，基礎(chǔ)方案中是整體更換所有子密鑰，需要加密3次，哈希3次；增強方案中是更換當(dāng)前通信子密鑰，需要哈希一次。假設(shè)一共分為m層，第n層節(jié)點的計算開銷也分為兩種，基礎(chǔ)方案中是整個更換所有子密鑰，需要計算解密一次，哈希m-n+1次；增強方案中是更換當(dāng)前通信子密鑰，每層只需哈希一次?？梢钥闯?，基礎(chǔ)方案中的計算開銷要比第一種小的很多。

(3)性能比較

使用NS-2軟件進行仿真，節(jié)點部署分布區(qū)域為400m×400m，采用無線通道、路由選擇采用LEACH協(xié)議、MAC層協(xié)議使用IEEE 802.15.4，加解密過程中使用AES-128算法，HMAC執(zhí)行過程中則使用SHA-256算法。通過Keil MDK5編寫本方案所需代碼并用調(diào)試器ST-LINK V2燒寫到ARM Cortex-M3開發(fā)板中，分析了不同時鐘頻率設(shè)置時本方案加解密的執(zhí)行效率，如圖3所示。

圖3 執(zhí)行效率分析

從通信開銷、存儲開銷和計算開銷3個方面與HCGKM和LWKM進行實驗對比，如圖4～圖6和表6所示，其中E為加密，D為解密，h為哈希，L為節(jié)點數(shù)量。

圖4 通信開銷對比

從圖4和表6可看出，本方案的通信開銷最低，因為只需要簇頭廣播1個數(shù)據(jù)包，LWKM方案中需要廣播2個數(shù)據(jù)包，HCGKM方案需要發(fā)送4個數(shù)據(jù)包。因此，本方案在WSN中通信成本遠低于其它方案。

從圖5、圖6和表6可看出，與LWKM方案相比，本方案存儲開銷略高，但是本方案將密鑰種子生產(chǎn)了一系列子密鑰，定期刷新通信子密鑰，密鑰刷新階段并沒有密鑰參與到通信數(shù)據(jù)包中，只有一個與密鑰無關(guān)的哈希值，減少了密鑰刷新階段中密鑰的泄露風(fēng)險。與HCGKM相比，本方案和LWKM方案在存儲開銷方面較有優(yōu)勢。在密鑰結(jié)構(gòu)方面，本方案使用了3種子密鑰，其中正常通信子密鑰為4個，這是因為正常通信階段占整個節(jié)點通信時間是最長的，其次就是密鑰刷新階段和認證階段，如果僅僅設(shè)有一個對稱的通信加密密鑰，那么在密鑰刷新階段就需要刷新認證密鑰和密鑰刷新密鑰，導(dǎo)致認證密鑰和密鑰刷新密鑰的使用浪費，因此，設(shè)置更多的正常通信加密子密鑰是合理也是高效的。而在LWKM方案和HCGKM方案中，未設(shè)有認證密鑰，并且LWKM方案的密鑰刷新密鑰始終為1個，不做刷新。若密鑰刷新密鑰被非法獲取，則所有更換的新密鑰也會被非法獲取，降低了安全性。平均時延對比如圖7所示。

圖5 簇頭節(jié)點的密鑰存儲開銷對比

圖6 簇內(nèi)節(jié)點的密鑰存儲開銷對比

表6 性能對比

圖7 平均時延對比

從圖7和表6可看出，與LWKM方案相比，本文基礎(chǔ)方案每個節(jié)點的執(zhí)行協(xié)議的平均時延略高一些，均在6 ms以下。但是增強方案比其具有更低的時延，均在2 ms以下，相比LWKM方案的平均時延降低了約56%。HCGKM方案中的計算開銷與節(jié)點數(shù)量L有關(guān)，因此，本文設(shè)置其L=10，并與其對比，可以看出，HCGKM方案在節(jié)點規(guī)模較大時，其每個節(jié)點的執(zhí)行協(xié)議的平均時延呈線性增長。本文中執(zhí)行一次基礎(chǔ)方案加上3次增強方案相當(dāng)于執(zhí)行4次其它方案，也就是說本方案的平均計算開銷為 (3E+D+12h)/4。 若節(jié)點數(shù)量規(guī)模過大，本方案的計算開銷將遠低于HCGKM方案。盡管LWKM方案也降低了通信開銷，但是其采用橢圓曲線上的點加運算與點乘運算，不僅計算時間有所增加，而且在密鑰刷新階段時沒有滿足WSN安全需求，無法抵抗中間人攻擊，未滿足數(shù)據(jù)完整性，也未能抵抗重放攻擊。因此，本方案的計算開銷在不失安全性的情況下比其它方案更有優(yōu)勢。

3.2 安全性分析

對所提方案進行以下方面的分析：

(1)機密性。在方案系統(tǒng)初始化中，各個節(jié)點都有相應(yīng)的公鑰私鑰，并且在認證階段、通信階段、密鑰刷新階段都有著相應(yīng)的密鑰，其中密鑰刷新階段的密鑰種子并未暴露出來。因此，攻擊者無法通過密文得知敏感或隱私信息。

(2)完整性與認證性。所設(shè)計方案使用基于密鑰的哈希函數(shù)來實現(xiàn)報文的完整性，從而抵抗了網(wǎng)絡(luò)中的惡意篡改。此外，利用HK() 函數(shù)結(jié)合計數(shù)器CTRx和身份IDx，使得黑客無法假冒合法的報文信息。

綜上所述，本方案具有一定的優(yōu)勢，尤其是增強方案，可降低密鑰刷新階段的密鑰泄露風(fēng)險，具有很高的安全性，能夠適應(yīng)大規(guī)模尤其是半開放式半封閉式環(huán)境中的網(wǎng)絡(luò)。

4 結(jié)束語

針對WSN中密鑰安全及其密鑰刷新效率問題，本文設(shè)計了一種基于節(jié)點層次的多級密鑰，依據(jù)層次分配低到高等級的密鑰，保證了只有高級密鑰的節(jié)點方可獲得同級或低級的節(jié)點間的數(shù)據(jù)訪問權(quán)限。此外，本文在保證安全性的情況下基于不同密鑰的使用頻率設(shè)計了高效的密鑰刷新協(xié)商協(xié)議。在未來的研究工作中，將針對網(wǎng)絡(luò)層中的Sybil攻擊、虛假路由信息攻擊、Wormholes攻擊等安全問題進行下一步研究。