CN103731825A - 一种基于桥式的无线传感网密钥管理方案 - Google Patents

Abstract

本发明涉及一种基于桥式的无线传感网密钥管理方案，包括一些步骤：一、密钥预分配：节点部署前由启动服务器将配置信息预置到每个传感器节点；二、成簇阶段：选择出簇头节点后，成簇阶段随即开始。在成簇过程中，每个传感器节点加入到距离自己最近的簇中；三、邻居节点发现阶段：每个传感器节点通过夹角计算公式决定是否记录其他节点为自己的邻居节点；四、簇内配对密钥的建立：在此过程中每个传感器节点通过桥式计算出它和其邻居节点的配对密钥；五、簇间配对密钥的建立：在此过程中每个簇头节点通过对称二元多项式计算出它和其他簇头节点的配对密钥。本发明在保证一定连通率的情况下，能保证信息传递的安全性和有效性，较好的节省了内存存储量。

Description

一种基于桥式的无线传感网密钥管理方案

技术领域

本发明涉及一种网络密钥协商方法，特别涉及一种基于桥式的无线传感网密钥管理方法，属于网络通讯安全领域。

背景技术

无线传感器网络（Wireless Sensor Networks：缩写为WSN，以下统一简称为无线传感网）是由众多的微型传感器节点按照自治组网的方式构成的无线网络。无线传感网综合了传感器技术、网络技术、微机电技术、嵌入式系统技术和无线通信技术等，能够协同地实时感知、采集、处理分布区域内的各种环境或监测对象的信息，并通过无线网传送到基站。传感器节点的内在特性决定了无线传感网具有以下特点：电源能量非常有限，多种工作状态，通信能力有限，计算和存储能力有限。安全问题在无线传感网应用中是至关重要的。譬如，各种军事领域，环境监测与灾难预报，医学研究等应用。在这些应用中，每个传感器节点都极容易受到多种攻击，物理和数字的攻击。这使得安全问题成了一个极具挑战性的问题。为了保证数据安全性，数据传输过程必须加密。因此，在无线传感网安全问题中密钥管理成为了技术核心。

根据密钥产生的特性，可以把密钥管理方案分成三类：随机性方案、确定性方案和混合方案。这种分类法主要针对一对一的节点间对密钥。

在随机性方案中，节点用于创建密钥的密钥材料（也称密钥环）是通过随机方式配置的，比如从一个大的密钥池中随机选取一部分密钥，或从多个层次、多维形式的密钥空间中随机选择若干密钥。所谓确定性方案，指的是任意两节点对之间以确定性的方式获取密钥，如基于数学机理的对称BIBD、对称多项式或使用地理信息等等。从连通概率的角度来看，随机性方案的密钥连通概率∈[0,1]，而确定性方案的密钥连通概率总是为1。混合式方案则是在密钥配置中融合了随机性和确定性的方案。

随机性方案的优点是密钥分配简便，节点的部署方式不受限制。其缺点表现在：密钥的分配具有盲目性，可能会出现孤立节点，也可能存储一些无用的密钥而浪费存储空间。确定性方案正相反，在密钥的分配环节具有较强的针对性，节点的存储空间利用得较好，任意两个节点间可以直接建立通信密钥。但其缺点也很明显：一方面在应用上欠缺灵活性，另一方面在密钥协商过程中产生的计算和通信开销较大。

所以有必要开发一种混合式方案，融合了随机性和确定性方案的优点，摈弃了它们的缺点。基于桥式的无线传感网密钥管理方案是一种混合式方案。

发明内容

本发明的目的是针对现有技术的缺点，提供一种无线传感网密钥管理方案，保证传感器节点对间信息传输的安全性和可靠性。

本发明提出了一种新的密钥管理方案，该方法是以困难性假设椭圆曲线下离散对数问题为前提，运用桥式和单向哈希链技术来实现节点间会话密钥的建立以及快速认证。该方案支持新节点的加入以及无效节点的消除。信能分析表明本方案可有效防御各种协议的攻击行为，并且在存储性能以及能量消耗方面有一定优越性。

本发明的方法是基于桥式和单向哈希链理论提出的，对本发明的理论基础概述如下:

一、相关数学问题

1、离散对数问题

设G₁是阶为素数q循环加法群，给定两个元素P,Q∈G₁，找到一个整数

使得Q=nP。

2、椭圆曲线离散对数问题

设F_p是特征大于3的有限域，F_p上的标准椭圆曲线E(F_p)是满足等式y²≡x³+ax+b，其中a,b∈F_p的所有解(x,y)∈F_p×F_p连同一个特殊的点O即无穷远点构成的集合。椭圆曲线离散对数问题具体描述如下：

给定定义在有限域F_p上的椭圆曲线E(F_p)，基点G∈E(F_p)，阶为n，点Q∈E(F_p)，寻找一个整数k∈[0,n-1]使得Q=nG。整数n称为Q的基于G的离散对数。

二、桥式

诸变量排列成如图1所示的形式称为桥式。其中与边线平行的a,b,c,…,h各行的变量称为路，与边线垂直的a₁,a₂,…,a_n;b₁,b₂,…,b_n;…;h₁,h₂,…,h_n各列变量称为段。路的编号从左到右，称为第一路、第二路等；段的编号，从上到下，称为第一段、第二段等。介于各路与各段之间的变量称为桥元素，桥元素连通各条不同的路，将路分为若干段。

最基本最简单的桥式是二路二段桥式，它的形式如图2。桥式的展开规定：在每一段取一个元素，连同从上段所取元素到下一段所取元素必须经过的各道桥，放到一起，连乘起来作为一项，把所有这样的项加起来，这样得到的多项式就是这个桥式的展开式。以基本桥式为例，它的展开式如下：

$\left|\begin{array}{c}\begin{array}{cc}{a}_1& a_2\end{array}\\ q\\ \begin{array}{cc}{b}_1& b_2\end{array}\end{array}\right|=a_1{b}_1+a_{1}q{b}_2+a_{2}q{b}_1+a_2{b}_2$

三、单向哈希链

对每一个簇，我们应用单向哈希链生成配对密钥。单向哈希链的形式为：k_n=H(k_n-1)=H²(k_n-2)…=H^n-1(k₁)=Hⁿ(k₀)，其中k₀是种子元素，H(*)是一个单向哈希函数，单向哈希链的长度l_hash足够长，比如长度为100。我们保证哈希链中的每个元素互不相同。

在本方案中，我们应用时间切片机制如下：在无线传感网运行中时间被分割成一系列时间段。网络部署后，时间间隔为T₀。在时间间隔T₀中，我们使用元素k₀为输入值m，在时间间隔T_i中，我们使用元素k_i=Hⁱ(k₀)作为输入值m。当时间间隔超过l_hash，我们使用元素k₀为输入值m。因此，可以保证配对密钥在各个时间间隔互不相同。该算法的详细描述为图3。同时，单向哈希链也应用在消息快速认证。消息认证协议详细描述为图4。其中k_Init和k分别代表系统初始密钥和节点密钥。

基于以上理论基础，本发明提出了一种基于桥式的密钥管理方案。

在节点部署和网路初始化时，我们假设环境是安全的。基站节点和所有传感器节点的位置固定不变，都是静止的，而且每个传感器节点都能通过GPS确定自己的位置。基站被认为是可信任的，任何敌手都不能攻击它。基站随机决定配对密钥更新的时间，而且更新时间段小于节点被捕获的时间段。表1列出本方案使用的标识。

表1标识符集

本发明提出了一种基于桥式的密钥管理方案，包括以下步骤：

一、密钥预分配：

本阶段在所有传感器节点部署前由启动服务器实施，包括以下步骤：

1.部署前，启动服务器根据传感器节点的数量以及部署区域的范围决定簇的数量，并为每个传感器节点预置唯一的身份标识，私钥，系统初始密钥以及哈希函数H₁和H₂；

2.基站选择F_q上的t阶随机对称二元多项式

$f(x,y)=\underset{0\≤m,n\≤t}{\mathrm{\Σ}}{a}_{\mathrm{mn}}{x}^m{y}^n,(a_{\mathrm{mn}}=a_{\mathrm{nm}})$

式中：a_mn∈F_q是二元多项式的系数；相应的，每个簇头节点h获得自己个人密钥 $f\left({\mathrm{ID}}_{{\mathrm{ch}}_h,}y\right);$

3.每个簇头节点h将被分配相应的组密钥

$K_h^m=g_{K^m}\left({\mathrm{Id}}_{c{h}_h}\right)$

二、成簇阶段

传感器节点部署后，簇头选择阶段和成簇阶段开始实施，簇头选择阶段选择出每个簇的簇头节点，成簇阶段包括以下步骤：

1.每个簇头节点记录其他簇头节点的身份标识，并向基站发送自己的身份标识；

2.基站向每个簇头节点发送相应的个人密钥和组密钥；

3.每个簇头节点通过GPS获得自己的位置，并且向周围的传感器节点广播一个‘Hello’消息；根据接收的信号强度指示，每个接收到‘Hello’消息的传感器节点获得距离自己最近的簇头节点的位置，并且加入该簇头所在的簇；在成簇阶段，如果存在传感器节点没有接收到任何‘Hello’消息，那么该节点可以广播一个自举消息以获得距离它最近的簇头节点；

4.每个簇头节点记录它的所有成员节点的身份标识，并且向基站发送，本阶段结束后，网络被划分成多个簇的集合；

三、邻居节点发现阶段

传感器节点u首先初始化一个定时器T_min来激活该阶段，本阶段包括以下步骤：

1.节点u广播一个‘Hello’消息BM_u；

${\mathrm{BM}}_u=E_{k_{\mathrm{Init}}}\left({\mathrm{ID}}_u\right|\left|H_2\left(k_{\mathrm{Init}}\right|\left|{\mathrm{ID}}_u\right|\left|k_{\mathrm{Init}}\right)\right)$

2.接收到消息BM_u的传感器节点v向节点u发送确认消息AckM_v；

${\mathrm{AckM}}_v=E_{k_{\mathrm{Init}}}\left({\mathrm{ID}}_v\right|\left|(x_v,y_v)\right|\left|H_2\left(k_{\mathrm{Init}}\right|\left|{\mathrm{ID}}_v\right|\left|(x_v,y_v)\right|\left|k_{\mathrm{Init}}\right)\right)$

3.如果节点v的确认消息通过认证，那么节点u计算基站，节点v以及它自己之间的夹角θ，如果θ小于等于45°，节点u将记录v的身份标识到它的邻居节点列表，否则丢弃v的身份标识，这样做的目的是为了节省节点内存消耗，并且使节点更快更有效的将信息传送到基站；夹角计算示意图如图5所示。

4.定时器超时时，如果还有节点的邻居节点列表为空，降低夹角小于等于45°的限制，以使这些节点的列表不为空；

四、簇内配对密钥的建立

网络部署后，时间被随机分成各个时间段，第一个时间段为T₀，第二个为T₁，以此类推，在T₀阶段，每个传感器节点和它们的邻居节点建立配对密钥，配对密钥建立过程中，基站负责广播本簇成员的公钥以及椭圆曲线的基点P；

1.节点u向它的邻居节点广播一个包含ID_u和

的消息，该消息被系统初始密钥加密；

$K_0^u=H_1\left(k_{\mathrm{Init}}\right|\left|k_u\right)$

2.接收到消息的邻居节点v解密该消息获得ID_u和并且向节点u发送包含ID_v和

的确认消息，接着计算它和u的配对密钥k_vu；

$K_0^v=H_1\left(k_{\mathrm{Init}}\right|\left|k_v\right)$

$\begin{array}{c}{k}_{\mathrm{vu}}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)P& Q_u\end{array}\\ K_0^u{K}_0^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)& k_v\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_u\right)K_0^u{K}_0^v{k}_{v}P+H_1\left({\mathrm{ID}}_v\right)K_0^u{K}_0^v{Q}_u+k_v{Q}_u\\ =k_{\mathrm{uv}}\end{array}$

3.接收到确认消息的节点u解密该消息获得ID_v和

接着计算它和节点v的配对密钥k_uv：

$\begin{array}{c}{k}_{\mathrm{vu}}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)P& Q_v\end{array}\\ K_0^u{K}_0^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)& k_u\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_v\right)K_0^u{K}_0^v{k}_{u}P+H_1\left({\mathrm{ID}}_u\right)K_0^u{K}_0^v{Q}_v+k_u{Q}_v\\ =k_{\mathrm{vu}}\end{array}$

因此，每对传感器节点u,v能共享一个配对密钥；

4.在配对密钥建立后，每个传感器节点更新系统初始密钥，然后丢弃系统初始密钥，簇头节点和传感器节点的配对密钥建立过程与簇内配对密钥的建立过程相同：

$k_{\mathrm{Init}}^0=H_2\left(k_{\mathrm{Init}}\right)$

五、簇间配对密钥的建立

在T₀阶段，每个簇头节点和其他簇头节点建立配对密钥，配对密钥建立过程中，基站负责广播椭圆曲线的基点P；

1.簇头节点h随机生成临时值接着向其他簇头节点广播一个包含

和t_hP的消息；

2.接收到该消息的另一簇头节点y解密该消息得到

和t_hP，它也随机生成临时值并向簇头节点h发送包含

和t_yP的确认信息，接着计算它和簇头节点h的配对密钥

$k_{{\mathrm{ch}}_y{\mathrm{ch}}_h}=f\left({\mathrm{ID}}_{{\mathrm{ch}}_y,{\mathrm{ID}}_{{\mathrm{ch}}_h}}\right)t_y{t}_{h}P$

3.接收到确认信息的簇头节点h解密该消息得到和t_yP，接着计算它和簇头节点y的配对密钥

$k_{{\mathrm{ch}}_h{\mathrm{ch}}_y}=f\left({\mathrm{ID}}_{{\mathrm{ch}}_h,{\mathrm{ID}}_{{\mathrm{ch}}_y}}\right)t_h{t}_{y}P$

4.在配对密钥建立后，每个簇头节点更新系统初始密钥，然后丢弃系统初始密钥；

六、密钥更新/撤销阶段

任何不提供密钥更新和密钥撤销的管理方案都不是完整的密钥管理方案。网络中的节点如果不经常更新密钥，那么它很容易被攻击者捕获。另外，为了继续进行网路的日常操作，被捕获节点的密钥需要被及时撤销。在本发明中，网路的生存期被划分为一系列时间间隔。在每个时间间隔T_i内，所有节点需要更新

和

更新完成后删除

在本发明中，基站负责被捕获节点或能量耗尽节点的回收工作。我们假设在入侵检测系统的帮助下，基站能及时检测出失败节点。回收工作中，基站单独对每个簇实施密钥撤销操作。首先，基站将失败节点的密钥删除，并向该节点所在簇的簇头节点广播失败节点列表。接收到失败节点列表的簇头节点向簇内所有节点转播该信息。接收到消息的簇内节点首先检验失败节点是否在自己的邻居节点列表中，如果是则删除相应的失败节点，否则忽略该消息。

七、新节点的加入

在许多无线传感网的应用中，新节点需要加入已部署的无线传感网以代替能量耗尽或被捕获的节点。假设时间间隔为T_i，一个新节点u想要加入网络。首先，启动服务器给节点u预配置唯一的身份标识，密钥，以及其他信息。节点u加入网络前，基站需要确认其是否为非法节点。如果该节点的身份通过验证，那么它广播一个自举消息以获得距离它最近的簇头，并且加入该簇头所在的簇。接着它初始化一个定时器启动邻居节点发现阶段。在邻居节点发现阶段，首先，它向其他传感器节点广播一个‘Hello’消息，所有接收到该消息的节点向u返回一个确认信息。如果确认信息通过验证，那么节点u计算基站，发送确定信息的节点以及它自己三者之间的夹角。如果夹角小于等于45°，节点u记录发送确认信息节点的身份标识到自己的邻居节点列表中，否则丢弃该身份标识。当定时器超时时，如果节点u的邻居列表仍为空，则需重新初始化一个定时器启动该阶段，同时需要适时地降低夹角小于等于45°的限制，以使它的邻居节点列表不致为空。

在下一时间间隔T_i+1内，假设节点u想要与它的邻居节点建立配对密钥。配对密钥建立的详细计算过程如下所示：

$u:K_{i+1}^u=H_1\left(k_{\mathrm{Init}}^i\right|\left|k_u\right)$

$v:K_{i+1}^v=H_1\left(k_{\mathrm{Init}}^i\right|\left|k_v\right)$

$u\→v:E_{k_{\mathrm{Init}}^i}\left(K_{i+1}^u\right|\left|H_2\left(k_{\mathrm{Init}}^i\right|\left|K_{i+1}^u\right|\left|k_{\mathrm{Init}}^i\right)\right)$

$v\→u:E_{k_{\mathrm{Init}}^i}\left(K_{i+1}^u\right|\left|H_2\left(k_{\mathrm{Init}}^i\right|\left|K_{i+1}^u\right|\left|k_{\mathrm{Init}}^i\right)\right)$

$\begin{array}{c}u:k_{\mathrm{uv}}=\left|\begin{array}{ccc}\begin{array}{c}{H}_1\left({\mathrm{ID}}_v\right)P\\ H_1\left({\mathrm{ID}}_u\right)\end{array}& K_{i+1}^u{K}_{i+1}^v& \begin{array}{c}{Q}_v\\ k_u\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_v\right)K_{i+1}^u{K}_{i+1}^v{k}_{u}P+H_1\left({\mathrm{ID}}_u\right)K_{i+1}^u{K}_{i+1}^v{Q}_v+k_u{Q}_v\end{array}$

$\begin{array}{c}v:k_{\mathrm{vu}}=\left|\begin{array}{ccc}\begin{array}{c}{H}_1\left({\mathrm{ID}}_u\right)P\\ H_1\left({\mathrm{ID}}_v\right)\end{array}& K_{i+1}^u{K}_{i+1}^v& \begin{array}{c}{Q}_u\\ k_v\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_u\right)H_1\left({\mathrm{ID}}_v\right)P+H_1\left({\mathrm{ID}}_u\right)K_{i+1}^u{K}_{i+1}^v{k}_{v}P+H_1\left({\mathrm{ID}}_v\right)K_{i+1}^u{K}_{i+1}^v{Q}_u+k_v{Q}_u\end{array}$

$\begin{array}{c}u,v:k_{\mathrm{uv}}=k_{\mathrm{vu}}\\ k_{\mathrm{Init}}^{i+1}=H_2\left(k_{\mathrm{Init}}^i\right)\end{array}$

有益效果

本发明的密钥管理方案，在保证一定连通率的情况下，能保证信息传递的安全性和有效性。

对本发明的正确性、安全性、性能进行分析如下：

⑴正确性：

本发明的正确性是指以下定理成立。如果合法密钥协商的计算是正确的，那么它能协商出一致的会话密钥，即配对密钥。

①簇内配对密钥协商满足正确性。在本发明中每对传感器节点u,v能够协商出一致的会话密钥，意味着以下等式成立：

$\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)P& Q_v\end{array}\\ K_i^u{K}_i^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)& k_u\end{array}\end{array}\right|=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)P& Q_u\end{array}\\ K_i^u{K}_i^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)& k_v\end{array}\end{array}\right|$

，其中0≤i≤L_Max。

证明：根据Q_u=k_uP，Q_v=k_vP以及桥式和椭圆曲线的性质，推导出：

$\begin{array}{c}\mathrm{Left}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)P& Q_v\end{array}\\ K_i^u{K}_i^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)& k_u\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_v\right)K_i^u{K}_i^v{k}_{u}P+H_1\left({\mathrm{ID}}_u\right)K_i^u{K}_i^v{Q}_v+k_u{Q}_v\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_v\right)K_i^u{K}_i^v{Q}_u+H_1\left({\mathrm{ID}}_u\right)K_i^u{K}_i^v{Q}_v+k_u{k}_{v}P\\ =k_{\mathrm{uv}}\end{array}$

$\begin{array}{c}\mathrm{Right}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)P& Q_u\end{array}\\ K_i^u{K}_i^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)& k_v\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_u\right)K_i^u{K}_i^v{k}_{v}P+H_1\left({\mathrm{ID}}_v\right)K_i^u{K}_i^v{Q}_u+k_v{Q}_u\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_u\right)K_i^u{K}_i^v{Q}_v+H_1\left({\mathrm{ID}}_v\right)K_i^u{K}_i^v{Q}_u+k_u{k}_{v}P\\ =k_{\mathrm{vu}}\end{array}$

观察上式可知，每对传感器节点u,v建立了配对密钥k_uv，即k_vu。

②簇间配对密钥满足正确性。每对簇头节点h,_y能够协商出一致的会话密钥，意味着以下等式成立：

$f({\mathrm{ID}}_{{\mathrm{ch}}_h},{\mathrm{ID}}_{{\mathrm{ch}}_y})t_h{t}_{y}P=f({\mathrm{ID}}_{{\mathrm{ch}}_y},{\mathrm{ID}}_{{\mathrm{ch}}_h})t_y{t}_{h}P$

证明：根据对称二元多项式和椭圆曲线的性质，推导出：

观察上式可知，每对簇头节点u,v建立了配对密钥即

⑵安全性：

我们分析典型的攻击类型对本方案的影响情况，典型的攻击类型主要由五类，分别是：猜测攻击、消息重放攻击、窃听攻击、节点捕获攻击以及拒绝服务攻击。

①猜测攻击

假设攻击者在节点传送消息时获得数据信息，基于这些信息攻击者可能猜测出密钥

然而，网络在下一个时间间隔内更新

为更进一步，传感器节点在传送消息时用配对密钥加密消息。因此。猜测攻击对本方案没有影响。

②消息重放攻击

如果攻击者重播旧消息，此操作将威胁信息的新鲜度。在本方案中，为了防止这种攻击，用以生成配对密钥的系统初始密钥经常被更新。所以，即使攻击者重播一个有效节点的消息，这也无法影响有效节点的信息传递，因为配对密钥是不同的在每个时间间隔内。

③窃听攻击

在窃听攻击中，攻击者接管处理任何两个传感器节点之间的消息。这种攻击使传感器节点认为他们在一个私人的连接中直接沟通彼此，但事实上，所有的细节都被对手控制。

攻击者无法确切知道某一个配对密钥的值，因为它经常在随机时间间隔更新。因此，攻击者无法窃听或修改消息，窃听攻击对本方案没有任何影响。

④节点捕获攻击

在无线传感网中，节点捕获攻击是一个严重的威胁。在节点部署后，攻击者可能通过节点捕获攻击获得一些密钥信息，比如k_ID，k_pairwise和

然而，在传感器节点与其所有邻居节点建立配对密钥后，它将丢弃过时元素

当攻击者捕获了一个传感器节点，他是无法获得元素的，因此他也无法通过构建该节点与其邻居节点的配对密钥。密钥

的生成是单向的，而且，每个节点的配对密钥k_pairwise的生成是基于椭圆曲线下离散对数问题（ECDLP）。众所周知在椭圆曲线下求解离散对数问题仍是一个困难性问题。所以，如果一个传感器节点被攻击者捕获，那么它仍然不能感染其他节点。

⑤拒绝服务攻击

在无线传感网络中，攻击者经常不断地发送非法数据使节点消耗能源，尽而造成网络瘫痪。有效检测非法数据包的方法是在发送节点和接收节点之间建立共享密钥。通过共享密钥为每个数据包生成消息认证码（MAC），这样中间节点可以根据消息认证码判断数据的合法性和实时性。本方案可以有效防止这种攻击，因为它使用单向散列函数生成MAC。

(3)性能：

协议实现延迟主要是由于认证和密钥协商阶段。因此，我们主要比较本发明和其他相关方案在认证和密钥协商过程的性能消耗，包括计算量消耗，通信量消耗和存储量消耗。下面我们将列出DUBKM（Zhou R,Yang H.A hybrid keymanagement scheme for Heterogeneous wireless sensor networks based on ECC andtrivariate symmetric polynomial[C]//Uncertainty Reasoning and KnowledgeEngineering(URKE),2011International Conference on.IEEE,2011,1:251-255.），HKMS（Rao Y,Wang J,Tian R,et al.Dynamic updating based key managementalgorithm for wireless sensor networks[C]//Wireless Communications and SignalProcessing(WCSP),2011International Conference on.IEEE,2011:1-5）和本发明在通信量，存储量以及计算量的性能比较。

①通信量消耗

在无线传感网中，通信操作是主要的能源消耗操作。图6显示了以上三方案在簇内配对密钥建立时的通信消耗。在本方案中，每个传感器节点需要传输两个消息来建立一个配对密钥。这个两个消息分别是：广播消息和邻居节点发送的响应消息。在HKMS方案中，每个节点必须交换三个消息来建立一个配对密钥。DUBKM方案也需要传输两个消息。同时，本方案传送消息的规模远小于HKMS方案。在HKMS^[2]方案中一个广播消息包含身份标识、传感器节点位置以及一个邻居节点列表。然而在本方案中，广播消息由节点身份标识和系统密钥组成。因此，我们的方案使用了更小的消息。

在配对密钥更新过程中，本方案的传感器节点不需要传送任何信息。然而，在DUBKM和HKMS方案中分别需要传输一个和两个消息。因此，我们的方案明显的降低了通信开销。图7显示了三种方案在密钥更新过程中的通信消耗。

②存储量消耗

假设无线传感网中传感器节点和簇头节点的数量分别是M和N，通常有M<<N。在本方案中，每个传感器节点在部署前预装系统初始密钥k_Init和它的私钥。因此，本方案预配置的密钥总数为(M+N)×2。

在HKMS方案中，每个传感器节点预装自己的私钥和簇头节点的公钥。每个簇头节点预装其所有成员的公钥以及自己的公私钥对。因此，HKMS方案预装的密钥总数为M×(N+2)+2×N。在DUBKM方案中，每个节点也预装初始密钥和自己的私钥。比较HKMS方案，可知本方案存储的密钥数量大大降低了。

③计算量消耗

计算量通常包括：椭圆曲线上标量乘法、乘法、加法、哈希运算，加密和解密。任意两个节点之间的消息交换都需要加密和解密操作，因此密钥维护过程中主要的计算量消耗包括：椭圆曲线上的标量乘法、乘法、加法和哈希运算。

表2显示了上述提及的方案与本方案在簇内配对密钥建立时的计算量。从表2可以看出，本方案的每个传感器节点为了建立一个配对密钥需要计算6次乘法运算，2次哈希运算，3次标量加法以及4次标量乘法运算。

相比较本方案，HKMS方案引入了大量的乘法和加法操作，并且计算次数随着t的增长成指数趋势，而t的值与簇头节点个个数有关。我们注意到相比较DUBKM方案，我们的方案在计算量要多。然而这个计算消耗是合理的，因为本方案提供了更高水平的安全性。同时，我们提供了更全面的密钥管理方案，包括密钥更新，密钥撤销以及新节点的添加。

表2计算量比较

	HKMS[2]	DUBKM[3]	Ours
				乘法运算	3t3+6t2+3t	0	6
加法运算	t3+3t2+3t	0	0
				哈希运算	1(CH)	4	2
标量加法运算	0	0	3
				标量乘法运算	0	0	4
密钥更新	Yes	Yes	Yes
				密钥撤销	Yes	No	Yes
新节点加入	No	Yes	Yes

附图说明

图1桥式的格式；

图2基本桥式的格式；

图3密钥更新算法；

图4消息认证算法；

图5夹角计算示意图；

图6密钥建立过程的通信消耗；

图7密钥更新过程的通信消耗；

图8密钥管理方案系统框架；

图9系统层次结构图。

具体实施方式

下面结合附图，具体说明本发明的优选实施方式。

本实施方式中，系统是由多个簇和一个基站组成，各簇是独立、自治的，如图8所示。每个簇由一个簇头节点和多个传感器节点组成，簇头节点负责接收从传感器节点传送来的信息，并将信息转发到基站。而传感器节点负责收集、采集信息，并将信息传送到簇头节点。基站负责接收从簇头节点传送来的信息，并转发到客户端。

在无线传感网中，各个簇是相互独立且模式相同，因此本发明以一个簇的密钥管理为例进行讲解。如图9所示，本实施方式按照以下步骤实现密钥管理：

1、密钥预分配

节点部署前，由启动服务器决定簇的数量并为每个节点预配置信息，包括：唯一的身份标识、唯一的私钥，系统初始密钥以及哈希函数H₁和H₂；接着基站选择一个F_q上的t阶随机对称二元多项式f(x,y)。t的大小与簇头节点的个数相关，因为要确保攻击者不会通过捕获簇头节点而获得完整的随机对称二元多项式。相应的，簇头节点h获得自己个人密钥

2、成簇阶段

传感器节点部署后，簇头选择阶段和成簇阶段开始实施。簇头选择阶段选择出每个簇的簇头节点，本实施例采用Kim K B论文（Kim K B,Zhang Y Y,YangW C,et al.An authentication protocol for hierarchy-based wireless sensornetworks[C]//Computer and Information Sciences,2008.ISCIS’08.23rd InternationalSymposium on.IEEE,2008:1-6.）中的策略，而成簇阶段包括以下步骤：

第一步，簇头节点h记录其他簇头节点的身份标识，并向基站发送自己的身份标识；

第二步，基站向簇头节点h发送相应的个人密钥

和组密钥

最后一步，簇头节点h通过GPS获得自己的位置，并且向周围的传感器节点广播一个‘Hello’消息。根据接收的信号强度指示，每个接收到‘Hello’消息的传感器节点获得距离自己最近的簇头节点的位置，并且加入该簇头所在的簇。在成簇阶段，如果存在传感器节点没有接收到任何‘Hello’消息，那么该节点可以广播一个自举消息以获得距离它近的簇头节点；最后簇头节点h记录它的所有成员节点的身份标识，并且向基站发送。

3、邻居节点发现阶段

传感器节点u首先初始化一个定时器T_min来激活该阶段。首先，节点u广播一个‘Hello’消息BM_u；接着接收到消息BM_u的传感器节点v向节点u发送确认消息AckM_v；如果节点v的确认消息通过认证，那么节点u计算基站，节点v以及它自己之间的夹角θ。如果θ小于等于45°，节点u将记录v的身份标识到它的邻居节点列表，否则丢弃v的身份标识。

4、簇内配对密钥的建立

网路部署后，时间间隔为T₀。在簇内配对密钥建立过程中，基站负责广播本簇成员的公钥以及椭圆曲线的基点P。

第一步，节点u向它的邻居节点广播一个包含ID_u和

的消息，该消息被系统初始密钥加密；

第二步，接收到消息的邻居节点v解密该消息获得ID_u和

并且向节点u发送包含ID_v和

的确认消息，接着计算它和u的配对密钥k_vu；

$\begin{array}{c}{k}_{\mathrm{vu}}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)P& Q_u\end{array}\\ K_0^u{K}_0^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)& k_v\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_u\right)K_0^u{K}_0^v{k}_{v}P+H_1\left({\mathrm{ID}}_v\right)K_0^u{K}_0^v{Q}_u+k_v{Q}_u\\ =k_{\mathrm{uv}}\end{array}$

第三步，接收到确认消息的节点u解密该消息获得ID_v和

计算它和节点v的配对密钥k_uv。

$\begin{array}{c}{k}_{\mathrm{vu}}=\left|\begin{array}{c}\begin{array}{cc}{H}_1\left({\mathrm{ID}}_v\right)P& Q_v\end{array}\\ K_0^u{K}_0^v\\ \begin{array}{cc}{H}_1\left({\mathrm{ID}}_u\right)& k_u\end{array}\end{array}\right|\\ =H_1\left({\mathrm{ID}}_v\right)H_1\left({\mathrm{ID}}_u\right)P+H_1\left({\mathrm{ID}}_v\right)K_0^u{K}_0^v{k}_{u}P+H_1\left({\mathrm{ID}}_u\right)K_0^u{K}_0^v{Q}_v+k_u{Q}_v\\ =k_{\mathrm{vu}}\end{array}$

最后一步，在配对密钥建立后，每个传感器节点更新系统初始密钥，然后丢弃系统初始密钥。簇头节点和传感器节点的配对密钥建立过程类似于簇内配对密钥的建立过程，在此省略。

5、簇间配对密钥的建立

网路部署后，时间间隔为T₀。在簇间配对密钥过程中，基站负责广播椭圆曲线的基点P。

第一步，簇头节点h随机生成临时值

并向其他簇头节点广播一个包含

和t_hP的消息；

第二步，接收到该消息的另一簇头节点y解密该消息得到

和t_hP，它也随机生成临时值并向簇头节点h发送包含和t_yP的确认信息^，接着计算它和簇头节点h的配对密钥

$k_{{\mathrm{ch}}_y{\mathrm{ch}}_h}=f\left({\mathrm{ID}}_{{\mathrm{ch}}_y,{\mathrm{ID}}_{{\mathrm{ch}}_h}}\right)t_y{t}_{h}P$

第三步，接收到确认信息的簇头节点h解密该消息得到

和t_yP，接着计算它和簇头节点y的配对密钥

$k_{{\mathrm{ch}}_h{\mathrm{ch}}_y}=f\left({\mathrm{ID}}_{{\mathrm{ch}}_h,{\mathrm{ID}}_{{\mathrm{ch}}_y}}\right)t_h{t}_{y}P$

最后一步，在配对密钥建立后，每个簇头节点更新系统初始密钥，然后丢弃系统初始密钥。

为了说明本发明的内容及实施方法，给出了一个具体实施例。在实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明所述方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

Claims (1)

1.一种基于桥式的密钥管理方案，包括以下步骤： 

一、密钥预分配： 

本阶段在所有传感器节点部署前由启动服务器实施，包括以下步骤： 

1).部署前，启动服务器根据传感器节点的数量以及部署区域的范围决定簇的数量，并为每个传感器节点预置唯一的身份标识，私钥，系统初始密钥以及哈希函数H₁和H₂； 

2).基站选择F_q上的t阶随机对称二元多项式 

式中：a_mn∈F_q是二元多项式的系数；相应的，每个簇头节点h获得自己个人密钥 

3).每个簇头节点h将被分配相应的组密钥

二、成簇阶段 

传感器节点部署后，簇头选择阶段和成簇阶段开始实施，簇头选择阶段选择出每个簇的簇头节点，成簇阶段包括以下步骤： 

1).每个簇头节点记录其他簇头节点的身份标识，并向基站发送自己的身份标识； 

2).基站向每个簇头节点发送相应的个人密钥和组密钥； 

3).每个簇头节点通过GPS获得自己的位置，并且向周围的传感器节点广播一个‘Hello’消息；根据接收的信号强度指示，每个接收到‘Hello’消息的传感器节点获得距离自己最近的簇头节点的位置，并且加入该簇头所在的簇；在成簇阶段，如果存在传感器节点没有接收到任何‘Hello’消息，那么该节点可以广播一个自举消息以获得距离它最近的簇头节点； 

4).每个簇头节点记录它的所有成员节点的身份标识，并且向基站发送，本阶段结束后，网络被划分成多个簇的集合； 

三、邻居节点发现阶段 

传感器节点u首先初始化一个定时器T_min来激活该阶段，本阶段包括以下步骤： 

1).节点u广播一个‘Hello’消息BM_u； 

2).接收到消息BM_u的传感器节点v向节点u发送确认消息AckM_v； 

3).如果节点v的确认消息通过认证，那么节点u计算基站，节点v以及它自己之间的夹角θ，如果θ小于等于45°，节点u将记录v的身份标识到它的邻居节点列表，否则丢弃v的身份标识，这样做的目的是为了节省节点内存消耗，并且使节点更快更有效的将信息传送到基站；夹角计算示意图如图5所示。 

4).定时器超时时，如果还有节点的邻居节点列表为空，降低夹角小于等于45°的限制，以使这些节点的列表不为空； 

四、簇内配对密钥的建立 

网络部署后，时间被随机分成各个时间段，第一个时间段为T₀，第二个为T₁，以此类推，在T₀阶段，每个传感器节点和它们的邻居节点建立配对密钥，配对密钥建立过程中，基站负责广播本簇成员的公钥以及椭圆曲线的基点P； 

1).节点u向它的邻居节点广播一个包含ID_u和

的消息，该消息被系统初始密钥加密； 

2).接收到消息的邻居节点v解密该消息获得ID_u和

并且向节点u发送包含ID_v和

的确认消息，接着计算它和u的配对密钥k_vu； 

3).接收到确认消息的节点u解密该消息获得ID_v和

接着计算它和节点v的配对密钥k_uv： 

因此，每对传感器节点u,v能共享一个配对密钥； 

4).在配对密钥建立后，每个传感器节点更新系统初始密钥，然后丢弃系统初始密钥，簇头节点和传感器节点的配对密钥建立过程与簇内配对密钥的建立过程相同： 

五、簇间配对密钥的建立 

在T₀阶段，每个簇头节点和其他簇头节点建立配对密钥，配对密钥建立过程中，基站负责广播椭圆曲线的基点P； 

1).簇头节点h随机生成临时值

接着向其他簇头节点广播一个包含 和t_hP的消息； 

2).接收到该消息的另一簇头节点y解密该消息得到

和t_hP，它也随机生成临时值

并向簇头节点h发送包含

和t_yP的确认信息，接着计算它和簇头节点h的配对密钥

3).接收到确认信息的簇头节点h解密该消息得到

和t_yP，接着计算它和簇头节点y的配对密钥

4).在配对密钥建立后，每个簇头节点更新系统初始密钥，然后丢弃系统初始密钥； 

六、密钥更新/撤销阶段 

任何不提供密钥更新和密钥撤销的管理方案都不是完整的密钥管理方案。网络中的节点如果不经常更新密钥，那么它很容易被攻击者捕获。另外，为了继续进行网路的日常操作，被捕获节点的密钥需要被及时撤销。在本发明中，网路的生存期被划分为一系列时间间隔。在每个时间间隔T_i内，所有节点需要更 新和更新完成后删除

在本发明中，基站负责被捕获节点或能量耗尽节点的回收工作。我们假设在入侵检测系统的帮助下，基站能及时检测出失败节点。回收工作中，基站单独对每个簇实施密钥撤销操作。首先，基站将失败节点的密钥删除，并向该节点所在簇的簇头节点广播失败节点列表。接收到失败节点列表的簇头节点向簇内所有节点转播该信息。接收到消息的簇内节点首先检验失败节点是否在自己的邻居节点列表中，如果是则删除相应的失败节点，否则忽略该消息。 

七、新节点的加入 

在许多无线传感网的应用中，新节点需要加入已部署的无线传感网以代替能量耗尽或被捕获的节点。假设时间间隔为T_i，一个新节点u想要加入网络。首先，启动服务器给节点u预配置唯一的身份标识，密钥，

以及其他信息。节点u加入网络前，基站需要确认其是否为非法节点。如果该节点的身份通过验证，那么它广播一个自举消息以获得距离它最近的簇头，并且加入该簇头所在的簇。接着它初始化一个定时器启动邻居节点发现阶段。在邻居节点发现阶段，首先，它向其他传感器节点广播一个‘Hello’消息，所有接收到该消息的节点向u返回一个确认信息。如果确认信息通过验证，那么节点u计算基站，发送确定信息的节点以及它自己三者之间的夹角。如果夹角小于等于45°，节点u记录发送确认信息节点的身份标识到自己的邻居节点列表中，否则丢弃该身份标识。当定时器超时时，如果节点u的邻居列表仍为空，则需重新初始化一个定时器启动该阶段，同时需要适时地降低夹角小于等于45°的限制，以使它的邻居节点列表不致为空。 

在下一时间间隔T_i+1内，假设节点u想要与它的邻居节点建立配对密钥。配对密钥建立的详细计算过程如下所示： 

其中，所使用的标识如表1所示： 

表1标识符集 

Images