CN102387014B - 一种Mesh网络的密钥管理方法 - Google Patents

Abstract

本发明提供了一种Mesh网络的密钥管理方法，属于计算机网络安全技术领域，包括步骤1，选取组密钥并划分为预设数量的密钥分片，随机分发密钥分片给预先选定的路由器；步骤2，Mesh节点发送接收密钥分片的请求，收集预设门限数量的密钥分片，用所收集的密钥分片构建矩阵方程；步骤3，通过计算所构建矩阵的秩，判定是否存在错误密钥分片：若是，则进行错误识别和处罚，并返回步骤1；若否，则用所收集的密钥分片进行组密钥重构。本发明所要解决的技术问题是提供一种Mesh网络的密钥管理方法，能够有效提高网络的安全性和可靠性。

Description

一种Mesh网络的密钥管理方法

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种Mesh网络的密钥管理方法。

背景技术

Mesh网络是一种新型的无线网络技术，它预期可以解除Ad Hoc网、无线局域网、无线个人区域网、无线城域网的一些限制，并用来构建新型的商用移动Ad Hoc网络。Mesh网络是基于IP协议的无线宽带接入技术，主要是一种网络架构思想，体现在无中心、自组网、多级跳接和路由判断选择等。同时，Mesh网络没有固定的基础设施，并且运作在一个开放的传播媒介中，无线波段覆盖范围内的任意用户都可以连接到网络。

具体到实际的应用中，同现有的其它有线和无线网络一样，安全是Mesh网络现今面临的十分重要而且迫切需要解决的问题。在有线网络中，数据包在物理线路上传递到目标节点，通常只有在通过有线直接接入到物理链路上或是在物理链路遭到破坏的情况下，数据才有可能泄露，恶意行为才有可能进行；而在无线网络中，数据通过无线电磁波传播，不需要特定的传播介质，只要在无线电波覆盖的范围内，终端节点都可以接收到无线信号从而获取数据，数据泄漏和恶意行为更容易发生。对于Mesh网络，外部环境相对恶劣，而且由于缺少中心节点的统一监控管理，安全攻击行为更易发生且不易检测。

基于上述环境，IEEE802.11s小组提出了一种建立在802.11i标准上的高效Mesh安全关联体系(EMSA，Efficient Mesh Security Association)，采用802.1x机制和四次握手过程，来实现无线Mesh网络的接入认证和密钥管理。然而由于网络中需要存在一些特殊的无线节点，方案中称作Mesh密钥分配者(MKD，Mesh Key Distributor)，来生成、分发和存储密钥。这些节点打破了Mesh网络中节点的平等性，会带来单点失效等问题，一旦这些节点被入侵，那么存储在其中的所有密钥都可能被泄露。

此外，Fu.等在2008年提出的分布式密钥管理包括密钥生成、密钥更新、密钥撤销过程。其建立在(t，n)门限密码机制上，但缺乏可验证性安全秘密共享算法。当网络中存在不诚实节点故意发送错误密钥分片时，没有可靠的算法来检测并识别恶意节点，进而可能生成虚假的密钥。

因此，当下需要迫切解决的一个技术问题就是：如何能够提出一种措施，有效避免上述因素造成网络安全性差的现象出现，有效改善网络的鲁棒性和可信性。

发明内容

本发明所要解决的技术问题是提供一种Mesh网络的密钥管理方法，能够有效提高网络的安全性和可靠性。

为了解决上述技术问题，本发明提供了一种Mesh网络的密钥管理方法，包括：

(1)，选取组密钥并划分为预设数量的密钥分片，随机分发密钥分片给预先选定的路由器；

(2)，Mesh节点发送接收密钥分片的请求，收集预设门限数量的密钥分片，用所收集的密钥分片构建矩阵方程；

(3)，通过计算所构建矩阵的秩，判定是否存在错误密钥分片：若是，则进行错误识别和处罚，并返回(1)；若否，则用所收集的密钥分片进行组密钥重构。

进一步地，所述(3)中：当矩阵的秩大于预设门限数量值时，判定存在错误的密钥分片；

当矩阵的秩等于预设门限数量值时，判定不存在错误的密钥分片；

当矩阵的秩小于预设门限数量值时，继续收集密钥分片至矩阵的秩等于预设门限数量值。

进一步地，所述方法在选取组密钥并划分为预设数量的密钥分片时，还生成检测密钥，并在整个网络中进行广播。

进一步地，所述(2)中，Mesh节点收集密钥分片时将与密钥分片持有者进行双方认证。

进一步地，密钥分片持有者发送其拥有的密钥分片到密钥分片的收集节点时，添加数字签名进行标识。

进一步地，错误识别和处罚包括以下子步骤：

发送所收集的密钥分片到离线证书中心；

离线证书中心通过多项式查找错误密钥分片的持有者；

将错误密钥分片的持有者进行网络隔离。

综上，本发明提供的Me sh网络的密钥管理方法，改进网络的安全性、鲁棒性和可信性。

附图说明

图1是本发明的一种Mesh网络的密钥管理方法流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

参照图1所示一种Mesh网络的密钥管理方法流程图，所述方法具体包括：

步骤101、选取组密钥并划分为预设数量的密钥分片，随机分发密钥分片给预先选定的路由器；

步骤102，Mesh节点发送接收密钥分片的请求，收集预设门限数量的密钥分片，用所收集的密钥分片构建矩阵方程；

步骤103，通过计算所构建矩阵的秩，判定是否存在错误密钥分片：

若是，则执行步骤104；

若否，则执行步骤105；

步骤104，进行错误识别和处罚，并返回步骤101；

步骤105，用所收集的密钥分片进行组密钥重构。

本方案是建立在基于区域的Mesh网络拓扑模型之上，整个网络由一个骨干网络，一个或多个区域网络，以及若干离散有线或无线终端组成。

在骨干网中，少数Mesh路由器作为骨干路由器，采用多跳无线连接方式组成了一个自配置、自修复、自组织的网络架构。骨干网中至少有两个或以上骨干路由器连接到Internet。所有骨干路由器共享一个专用的存储授权证书的数据库，这些证书由网络供应商提供的离线证书中心(CA，CertificateAuthority)颁发。离线证书中心平常并不在线，只有在检测到恶意节点或是进行密钥更新时才会连接到网络中。

区域网络通过其边界网关连接到骨干网，可以有效融合现有的各种无线网络，如无线多跳网络、Wi-Fi网络、传感器网络、蜂窝网络等。区域网络中有至少一个网络接入点(AP，Access Point)可以连接到骨干网络，例如蜂窝网络中的微波发射塔。网络中同样拥有一个存储用户信息的数据库，如用户ID、区域ID，授权密钥等。用户终端可以从一个区域网络漫游到另一个区域网络，或是从同一区域网络的一个接入点切换到另一个不同的接入点。

普通的用户终端，可以通过网关接口连接到Mesh路由器，无论是采用有线或是无线链路。对于拥有和Mesh路由器相同无线技术的用户终端，可以直接连接到路由器；而采用不同无线技术的终端，则必须通过区域网络的接入点连接到骨干路由器。另外，Mesh用户终端可以通过接入点连接，或是直接和其他Mesh终端通过多跳形式连接到骨干路由器。

在接入网络之前，所有Mesh节点，无论路由器还是用户终端，需从离线证书中心获取一个由网络供应商提供的合法证书。具体的，本方案采用椭圆密码体制(ECC，Elliptic Curve Cryptography)来生成证书公私钥对。

ECC密码建立在一个选定的合适的椭圆曲线E上，E定义在一个有限域F_q之上。给定合法域参数(q，FR，a，b，P，n，h)，实体A的私钥是一个随机整数ω_A∈_R[1，n-1]，其公钥为W_A＝ω_AP。相关参数说明如下表：

q	域大小，其值为素数幂(通常可以取q＝2m)
		FR	有限域Fq上所有元素
a，b	定义椭圆曲线E的参数，如y2＝x3+ax+b

P	E(Fq)素数阶上的一个有限点，且P≠O，O为无穷远点
		n	点P的阶数，nP＝O而且通常取n＞2160
h	h＝#E(Fq)/n，其中#E(Fq)表示椭圆曲线E在有限域Fq上的点总数

建立在(t，n)门限秘密共享基础上，组密钥SK分割成若干密钥分片SK₁，...，SK_n，并分发给n个选定的路由器。这n个路由器中，任意t个都能合作重构SK，而小于t个则不能重构。

在实际应用中具体的分三步进行：

1)离线证书中心选取私钥SK，其定义在有限域GF(p)上，p是一个远大于SK和n的素数；在GF(p)上选取随机数d₁，d₂，...，d_n代表n个选定路由器的公开标识。

2)选取GF(p)上一个(t-1)次多项式

f(x)＝a_t-1x^t-1+...+a₁x+a₀ mod p

其中a_t-1，...，a₁为随机整数，且a₀＝SK。接着计算n个密钥分片SK_i＝f(d_i)mod p，并分发给对应标识的路由器。

3)当某节点需要得到组密钥时，它将需要向其他t个路由器请求密钥分片，或是其他t-1个路由器请求密钥分片(如果它自己是选定的n个路由器之一)。在请求密钥分片过程中，双方需进行双向认证，用各自合法的授权证书。

4)当收集到i个密钥分片(d₁，SK₁)，(d₂，SK₂)，...，(d_t，SK_t)后，组密钥SK可以重构： $\mathrm{SK}=f\left(0\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{\mathrm{SK}}_i\underset{j\≠i,j=1}{\overset{t}{\mathrm{\Π}}}\frac{d_j}{d_j-d_i}\mathrm{mod}p$

一个不诚实的骨干路由器可能给其他人错误的密钥分片，或是由于传输错误不小心生成了一个错误密钥分片。另外，某些恶意节点可能故意发送错误密钥分片，这样所有其他接收者不能重构组密钥，而它自己则可以得到正确的组密钥。错误密钥分片的存在，本文定义为“欺骗”(Cheater)。

在这种情况下，采用以下步骤来检测是否有欺骗存在：

1)由离线证书中心在密钥建立初始阶段，生成一个检测密钥分片(d₀，SK₀)，并在整个网络中广播，d₀为随机选择的一个大数。

2)节点在收集到t个密钥分片后，构造矩阵方程D′·A′＝S′，其中 $D^{\′}=\left[\begin{array}{cccc}{d}_1^{t-1}& \·\·\·& d_1& 1\\ d_2^{t-1}& \·\·\·& d_2& 1\\ \·\·\·& \·\·\·& \·\·\·& \·\·\·\\ d_t^{t-1}& \·\·\·& d_t& 1\\ d_0^{t-1}& \·\·\·& d_0& 1\end{array}\right],$ $A^{\′}=\left[\begin{array}{c}{a}_{t-1}\\ a_{t-2}\\ \·\·\·\\ a_0\end{array}\right],$ $S^{\′}=\left[\begin{array}{c}S{K}_1\\ {\mathrm{SK}}_2\\ \·\·\·\\ {\mathrm{SK}}_n\\ {\mathrm{SK}}_0\end{array}\right],$ 其增广矩阵为 ${\stackrel{\‾}{D}}^{\′}=\left[\begin{array}{ccccc}{d}_1^{t-1}& \·\·\·& d_1& 1& {\mathrm{SK}}_1\\ d_2^{t-1}& \·\·\·& d_2& 1& {\mathrm{SK}}_2\\ \·\·\·& \·\·\·& \·\·\·& \·\·\·& \·\·\·\\ d_t^{t-1}& \·\·\·& d_t& 1& {\mathrm{SK}}_t\\ d_0^{t-1}& \·\·\·& d_0& 1& {\mathrm{SK}}_0\end{array}\right].$

3)计算矩阵的秩 $R\left(\stackrel{\‾}{D}\right)=R\left(D\right)\≤t+1.$

4)如果

方程没有唯一解，则需要收集更多密钥分片直至 $R\left(\stackrel{\‾}{D}\right)=R\left(D\right)=t.$

5)如果

方程有唯一解，这时可以得到正确的组密钥SK＝a₀。

6)如果

方程无解，此时可以判断错误密钥分片的存在。

检测到欺骗存在，需识别欺骗者。

1)当一个新节点向老节点请求密钥分片时，后者需要发送拥有的密钥分片并加上自己的数字签名(用其证书中的私钥进行签名)。

2)新节点在收集完t个密钥分片，将执行欺骗检测流程。若其中果然有欺骗存在，它将唤醒离线证书中心，并将所有带数字签名的密钥分片发送给中心。

3)离线证书中心可以通过多项式f(x)来验证哪个分片是错误的。

4)如果的确存在错误的密钥分片，则中心可以通过其数字签名来识别欺骗者身份。此时，组密钥需要更新，离线证书中心会重新启动组密钥生成过程。

5)如果没有发现错误的密钥分片，那么该举报节点将会被视作欺骗者。此时，组密钥不需要更新。

当有欺骗者身份被识别后，需要对其进行处理：

1)在严格安全策略下，欺骗者会被网络隔离，其合法证书被撤销，并在全网络中广播。

2)在较弱安全策略下，欺骗者会被离线证书中心记录，其信用降低。当多次信用降低到一定预设阈值之下后，将被隔离网络吊销证书。因为有些时候，可能由于数据传输错误，或是无意错误，带来错误密钥分片的存在。

有多种情况下，需要进行组密钥更新：

1)有新的Mesh路由器接入骨干网络；

2)现有Mesh路由器离开骨干网；

3)网络中有欺骗者被识别出来；

4)为了防止某移动攻击者在足够长的时间内攻破t个密钥分片持有节点，密钥必须在一个特定的周期T内进行更新。只有同一个周期内的t个密钥分片，才能用来组建此周期内的组密钥。

采用以下步骤来进行组密钥更新：

1)唤醒离线证书中心上线；

2)证书中心创建组密钥SK′，选择多项式f′(x)。计算密钥分片(d_i，SK′_i)，并分发给n个选定Mesh路由器。之后，证书中心从网络断开，保持离线状态。

3)各路由器从其它路由器处请求(t-1)个密钥分片。

4)在获取t个密钥分片后(包含自身的)，某路由器可以重构私钥SK′，并启动欺骗检测与识别流程。

采用已有的改进的ECC密钥协商算法，由L.Law等于2003年提出。两个实体A和B采用其证书密钥对(ω，W)来完成密钥协商过程，如前文所述W_A＝ω_AP。

1)A选取随机数r_A∈_R[1，n-1]，计算点R_A＝r_AP，并将R_A发送给B；

2)B选取随机数r_B∈_R[1，n-1]，计算点R_B＝r_BP，并将R_B发送给A；

3)A检验R_B合法性：R_B是否等于O，R_B是否满足曲线E，R_B坐标x_B，y_B是否是F_q中元素。如果检验失败，则A终止密钥协商过程；否则，A计算s_A＝(r_A+R_Aω_A)mod n以及K＝hs_A(R_B+R_BW_B)。如果K＝O，A同样终止；

4)B做相同的检验，若通过则计算s_B＝(r_B+R_Bω_B)mod n和K＝hs_B(R_A+R_AW_A)，否则终止；

5)K即为密钥协商出来的会话密钥。

接入点和其连接骨干路由器之间，终端和其接入点之间，需完成密钥协商过程来构建会话密钥。

1)采用离线证书中心颁发的合法证书，通过EAP-TLS方式进行双向认证。只有双方证书都验证合法时，密钥协商才会继续进行。

2)双方采用前文所述的算法交换随机参数，计算协商出的会话密钥。

3)之后便可以采用会话密钥进行通信，一旦会话结束，新的密钥需要重新进行协商。

采用上述方案具有以下优点：

1)基于区域的等级拓扑能够便于扩展不同类型不同规模的区域网络，并易于集成不同的网络技术。

2)离线证书中心大部分保持离线状态，不易受到攻击。

3)分布式密钥管理能够改进网络的安全性、鲁棒性和可信性。

4)可验证秘密共享包括欺骗检测和识别，能够隔离网络中不诚实节点。

5)基于授权证书的双向认证保证网络节点身份的合法性。

6)周期性密钥更新可以增强破解现有组密钥的难度。

7)完善前向保密(PFS，Perfect Forward Secrecy)，已知密钥安全(KKS，Known Key Security)，非密钥泄漏伪装(Non-KCI，no Key CompromiseImpersonation)等网络安全特性均可以得以有效实现。

以上对本发明所提供的一种Mesh网络的密钥管理方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (5)

1.一种Mesh网络的密钥管理方法，其特征在于，包括：

（1），选取组密钥并划分为预设数量的密钥分片，随机分发密钥分片给预先选定的路由器；

（2），Mesh节点发送接收密钥分片的请求，收集预设门限数量的密钥分片，用所收集的密钥分片构建矩阵方程；

（3），通过计算所构建矩阵的秩，判定是否存在错误密钥分片：若是，则进行错误识别和处罚，并返回（1）；若否，则用所收集的密钥分片进行组密钥重构，具体的：

当矩阵的秩大于预设门限数量值时，判定存在错误的密钥分片；

当矩阵的秩等于预设门限数量值时，判定不存在错误的密钥分片；

当矩阵的秩小于预设门限数量值时，继续收集密钥分片至矩阵的秩等于预设门限数量值。

2.根据权利要求1所述的密钥管理方法，其特征在于：所述方法在选取组密钥并划分为预设数量的密钥分片时，还生成检测密钥，并在整个网络中进行广播。

3.根据权利要求1所述的密钥管理方法，其特征在于，所述（2）中，Mesh节点收集密钥分片时将与密钥分片持有者进行双方认证。

4.根据权利要求1所述的密钥管理方法，其特征在于，密钥分片持有者发送其拥有的密钥分片到密钥分片的收集节点时，添加数字签名进行标识。

5.根据权利要求1所述的密钥管理方法，其特征在于，错误识别和处罚包括以下子步骤：

发送所收集的密钥分片到离线证书中心；

离线证书中心通过多项式查找错误密钥分片的持有者；

将错误密钥分片的持有者进行网络隔离。

Images