CN103825742A - 一种适用于大规模传感器网络的认证密钥协商方法 - Google Patents

Abstract

本发明是一种适应于大规模无线传感器网络的基于身份的认证密钥协商方法（TinyIBAK），解决大规模传感器网络中密钥的分发，建立，更新和撤销。TinyIBAK同时具有身份认证和密钥确认机制，能够在密钥协商过程中认证协议参与者的身份，并能确认协议双方最终共享了相同的密钥，从而有效抵御中间人攻击。同时该算法能有效抵御主动和被动攻击，具有良好的安全性。TinyIBAK在传感器网络硬件平台进行了实现，验证了在实际传感器网络部署中算法的运行性能。通过分析协议的内存占用，执行时间和能量消耗，并与现有同类算法进行比较，TinyIBAK在安全强度，扩展性，通信、计算、存储开销方面都具有显著优势。

Description

一种适用于大规模传感器网络的认证密钥协商方法

技术领域

本发明是一种针对大规模无线传感器网络的认证密钥协商方法，能够保护数据传输的机密性、安全性和隐私性。属于信息安全领域。

背景技术

相比于传统网络，无线传感器网络具有通信介质开放、网络拓扑变化频繁、控制结构松散、终端系统资源严重受限等固有特性，非常容易受到窃听、重放、节点俘获等多种类型的攻击，系统安全极其脆弱。为了提高传感器网络的安全性，研究者致力于将现有的网络安全研究成果应用于传感器网络领域，并作出了有益的尝试，如TinySec（TinyOS操作系统中实现的一种无线传感器网络链路层安全机制），Zigbee（一种由IEEE803.15工作组提出的低速短距离无线通信协议）等。然而这些研究大多从资源效率考虑，采用简单的基于对称密钥的安全机制，在全网中部署同一密钥，且不支持密钥更新。这就使得此类安全机制难以长时间保障系统安全，同时网络中任意一个节点被攻击者俘获都将导致全网安全的崩溃。因此，如何在规模传感器网络中构建合理高效的密钥管理机制，寻求安全性和资源效率的平衡，传感器网络安全研究中亟待解决的问题。

在大规模传感器网络中部署密钥管理机制存在三个挑战：(1)传感器网络缺少公钥基础设施（PKI），没有可信第三方，难以实现密钥的安全签发、更新和撤销；(2)传感器网络拓扑结构变化频繁，密钥更新频繁，使用现有的密钥管理机制将引发大范围的数据交互，进而带来大量的通信和能量开销；(3)传统的密钥管理机制未在密钥协商过程中无法确认参与协商的双方的身份，也无确认双方最终共享统一密钥。易受中间人攻击和节点俘获攻击。

为了应对这些挑战，从效率和安全两个维度出发，目前解决方案可分为两类，即密钥预分配方法和基于公钥密码学的方法。其中密钥预分配根据其是否支持密钥更新，又可分为静态密钥预分配和动态密钥预分配。静态方法的缺陷在于不支持网络部署之后的密钥更新和新节点加入，难以适应持续动态变化的传感器网络。

动态密钥预分配方法克服了静态方法的缺点，然而，基于密钥预分配方法存在一个共同缺点：网络中每个节点必须预置大量的密钥才能保证网络的密钥连通性，而且随着网络规模的扩大，节点的存储开销将急剧上升，无法适应大规模的网络部署。

为了解决密钥存储开销的问题，一些研究者将目光转向了公钥密码学领域，探索将公钥密码学技术应用到资源受限的传感器网络的可能性。然而，基于公钥密码学的算法在抵抗中间人攻击、计算和存储成本等方面还存在诸多问题。

发明内容

技术问题：本发明的目的是提出一种基于双线性对的带认证密钥协商方法（TinyIBAK），旨在解决大规模传感器网络中密钥的分发，建立，更新和撤销。

技术方案：本发明在传感器节点中集成了基于身份的带认证密钥协商机制，具有身份认证和密钥确认的功能，能够在密钥协商过程中认证协议参与者的身份，并能确认协议双方最终了共享相同的密钥，从而有效抵御中间人攻击。同时该算法能有效抵御主动和被动攻击，具有良好的安全性。TinyIBAK在传感器网络硬件平台进行了实现。

英文及符号解释：

a,b：分别表示节点A和B选择的随机参数

A,B：表示参与协议的一对节点

是一个由G₁到G_T的双线性映射，也称双线性对

Enc_k(m)：利用对称密钥k对消息m进行加密

E/F_q：有限域上F_q的一条超奇异椭圆曲线

d_i：节点i的私钥

F_q：q阶有限域

(G₁,+)：表示G₁是一个加法群

(G_T,·)：表示G_T是一个乘法群

H₁,H₂,H₃：分别表示三个不同的安全散列函数

IBC：基于身份的密码技术

ID_i：节点i的身份表示

k：安全参数

k₁：用于计算消息验证码的对称密钥

k₂：用于加密消息的对称密钥

k_AB：节点A和节点B协商所得的共享会话密钥

K_AB：节点A计算得出的A与B的共享秘密

K_BA：节点B计算得出的B与A的共享秘密

KDF()：Keyderivefunction，密钥导出函数

MAC_k(m)：利用对称密钥k对消息m计算消息验证码

n：G₁和G_T的阶数

nonce：表示现时的一个随机数

P：G₁的任意生成元

P_pub：系统公钥

q：有限域F_q的阶数

Q_i：节点i的公钥

s：系统主密钥

t_A，t_B：分别表示节点A和B计算所得的消息验证码

W_A，W_B：分别表示节点A和B的临时公钥

由正整数构成的n阶有限乘法群

Π：表示由q,G₁,G_T,

P,P_pub,H₁,H₂构成的系统参数

||：级联符号

本发明的基于身份的认证密钥协商方法由配置Setup，提取Extract，和密钥协商KeyAgreement三个子算法构成；节点部署之前，管理系统离线执行Setup和Extract算法，为每个传感器节点预载节点公私钥对、系统参数信息，节点部署之后，每个节点执行邻居发现，向邻居节点广播其ID，并执行KeyAgreement算法，

该方法具体为：

1）Setup子算法，以安全参数k为输入，返回主密钥和系统参数；

1a.)选择一条合适的超奇异椭圆曲线E/F_q，利用IBC参数产生器生成n阶循环群(G₁,+)和(G_T,·)，G₁的任意生成元P，和一个双线性对

其中n为素数；

1b.)随机选择

作为主密钥，计算系统公钥P_pub＝sP；

1c.)选择密码学安全的散列函数H₁:{0,1}^*→G₁和H₂:G_T→{0,1}^k；

1d.)保密主密钥s，公开系统参数

2）Extract子算法，以系统参数，主密钥和节点ID为输入，返回节点的基于ID的长期私钥；对于节点i，i对应身份为ID_i：

2a.)计算公钥Q_i＝H₁(ID_i)；

2b.)计算私钥d_i＝sQ_i；

2c.)将<ID_i,d_i,Q_i,Π>载入节点i；

3）KeyAgreement子算法，用于协商一个认证的共享密钥；

3a.)发起者节点A选择一个随机数

计算临时公钥W_A＝aQ_A，发送ID_A和W_A给节点B；

3b.)一旦接收到发自节点A的发起消息，节点B执行以下步骤：

3b1.)选择一个随机数

计算临时公钥W_B＝bQ_B；

3b2.)计算共享秘密

并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_BA)；

3b3.)利用k₁计算消息验证码MAC，即

3b4.)向节点A发送ID_B，W_B和t_B，即B→A:ID_B||W_B||t_B；

3c.)接收到来自节点B的反馈消息后，节点A执行以下步骤：

3c1.)计算共享秘密

并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_AB)；

3c2.)验证接收到的MAC，即验证

是否成立；

3c3.)计算

并将其发送给节点B，即A→B:t_A；

接收到来自节点A的确认消息后，节点B验证接收到的MAC，即验证是否成立，

若以上验证成立，则节点A与节点B密钥协商成功，二者的共享会话密钥为k_AB＝k₂；根据双线性映射的性质可知

$K_{\mathrm{AB}}=\hat{e}(d_A,W_B+{\mathrm{aQ}}_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

$K_{\mathrm{BA}}=\hat{e}(W_A+{\mathrm{bQ}}_A,d_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

从而K_AB＝K_BA，因此，节点A和节点B协商得出共享秘密。

执行KeyAgreement子算法后，节点A和节点B协商所得的共享秘密是动态的；每轮密钥协商都使用了随机选择的参数a和b；TinyIBAK中，使用了两个不同的安全散列函数H₂和H₃作为密钥导出函数，用于导出两个对称密钥，其中k₁用于计算MAC，k₂作为节点A和B之间安全通信的共享会话密钥。

有益效果：本发明具有以下优点：

（1）采用基于身份的公钥密码技术，无需PKI即可认证公钥，符合传感器网络的特性。

（2）提供身份认证和密钥确认机制，保证参与密钥协商双方身份的真实性，并确保双方最终共享相同密钥。有效抵抗中间人攻击和节点俘获攻击。

（3）整个密钥协商过程仅引入一次高计算开销的双线性对运算，性能远高于其他同类算法。

（4）当新增/删除节点导致网络结构变化时，只引起局部数据交互，大大降低了通信和计算开销。

附图说明

图1是TinyIBAK会话密钥协商过程示意图。

具体实施方式

本发明提出一种基于身份的认证密钥协商算法，该算法中包括三种实体，即任何需协商共享秘密的两个节点，以节点A和节点B来表示，以及网络部署者拥有的管理系统，用于担任私钥生成器（PKG）的角色，如图1所示。本算法由Setup（配置），Extract（提取）和KeyAgreement（密钥协商）三个子算法构成。节点部署之前，管理系统离线执行Setup和Extract算法，为每个传感器节点预载节点公私钥对、系统参数等信息。节点部署之后，每个节点执行邻居发现，向邻居节点广播其ID，并执行KeyAgreement算法。假设攻击者在自展阶段不能俘获节点。

Setup.以安全参数k为输入，返回主密钥和系统参数。对于给定的安全参数k，管理系统执行以下步骤，

(1)选择一条合适的超奇异椭圆曲线E/F_q，利用IBC（基于身份的密码技术）参数产生器生成n阶循环群(G₁,+)和(G_T,·)，G₁的任意生成元P，和一个双线性对

其中n为素数；

(2)随机选择

作为主密钥，其中

表示由正整数构成的n阶有限乘法群，计算系统公钥P_pub＝sP；

(3)选择密码学安全的散列函数H₁:{0,1}^*→G₁和H₂:G_T→{0,1}^k；

(4)保密主密钥s，公开系统参数

Extract.以系统参数，主密钥和节点ID为输入，返回节点的基于ID的长期私钥。对于节点i（其对应身份为ID_i），管理系统执行以下步骤，

(1)计算公钥Q_i＝H₁(ID_i)；

(2)计算私钥d_i＝sQ_i；

(3)将<ID_i,d_i,Q_i,Π>载入节点i。

KeyAgreement.要协商一个认证的共享密钥，节点A和节点B执行以下步骤：

(1)发起者节点A选择一个随机数计算临时公钥W_A＝aQ_A，发送ID_A和W_A给节点B；(2)一旦接收到来自节点A的发起消息，节点B执行以下步骤：

a)选择一个随机数

计算临时公钥W_B＝bQ_B；

b)计算共享秘密并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_BA)；

c)利用k₁计算消息验证码（MAC），即

d)向节点A发送ID_B，W_B和t_B，即B→A:ID_B||W_B||t_B，其中||表示连接符号。

(3)接收到来自节点B的反馈消息后，节点A执行以下步骤：

a)计算共享秘密

并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_AB)；

b)验证接收到的MAC，即验证是否成立；

c)计算

并将其发送给节点B，即A→B:t_A。

(4)接收到来自节点A的确认消息后，节点B验证接收到的MAC，即验证

是否成立。

(5)若以上验证成立，则节点A与节点B密钥协商成功，二者的共享会话密钥为k_AB＝k₂。

根据双线性映射的性质可知

$K_{\mathrm{AB}}=\hat{e}(d_A,W_B+{\mathrm{aQ}}_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

$K_{\mathrm{BA}}=\hat{e}(W_A+{\mathrm{bQ}}_A,d_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

从而K_AB＝K_BA，因此，节点A和节点B协商得出共享秘密。

节点A和节点B根据以上方法协商所得的共享秘密是动态的，因为每轮密钥协商都使用了随机选择的参数a和b。TinyIBAK中，使用了两个不同的安全散列函数H₂和H₃作为密钥导出函数，用于导出两个对称密钥，其中k₁用于计算MAC，k₂作为节点A和B之间安全通信的共享会话密钥。

当网络中需要加入新节点，或替换失效节点时，TinyIBAK无需对网内已有节点补充新的密钥材料。管理系统运行Setup和Extract算法，将<ID_i,d_i,Q_i,Π>预载入新节点中。新节点部署之后，运行KeyAgreement算法即可与邻居节点建立共享密钥。当需要更新密钥时，节点A向其邻居节点B发送密钥更新请求

双方运行KeyAgreement算法来协商新的共享密钥，其中

表示用共享密钥kAB加密由密钥更新请求和现时随机数构成的消息。新节点加入、失败节点替换和密钥更新的功能都只需节点与其邻居节点发生交互，不影响网络中的其他节点，显著降低了通信开销。

Claims (2)

1.一种基于身份的认证密钥协商方法，其特征在于该方法由配置Setup，提取Extract，和密钥协商KeyAgreement三个子算法构成；节点部署之前，管理系统离线执行Setup和Extract算法，为每个传感器节点预载节点公私钥对、系统参数信息，节点部署之后，每个节点执行邻居发现，向邻居节点广播其ID，并执行KeyAgreement算法，

该方法具体为：

1）Setup子算法，以安全参数k为输入，返回主密钥和系统参数；

1a.)选择一条合适的超奇异椭圆曲线E/F_q，利用IBC参数产生器生成n阶循环群(G₁,+)和(G_T,·)，G₁的任意生成元P，和一个双线性对其中n为素数；

1b.)随机选择

作为主密钥，计算系统公钥P_pub＝sP；

1c.)选择密码学安全的散列函数H₁:{0,1}^*→G₁和H₂:G_T→{0,1}^k；

1d.)保密主密钥s，公开系统参数 $\mathrm{\&Pi;}=(q,G_1,G_T,\widehat{e,}P,P_{\mathrm{pub}},H_1,H_2);$

2）Extract子算法，以系统参数，主密钥和节点ID为输入，返回节点的基于ID的长期私钥；对于节点i，i对应身份为ID_i：

2a.)计算公钥Q_i＝H₁(ID_i)；

2b.)计算私钥d_i＝sQ_i；

2c.)将<ID_i,d_i,Q_i,Π>载入节点i；

3）KeyAgreement子算法，用于协商一个认证的共享密钥；

3a.)发起者节点A选择一个随机数

计算临时公钥W_A＝aQ_A，发送ID_A和W_A给节点B；

3b.)一旦接收到发自节点A的发起消息，节点B执行以下步骤：

3b1.)选择一个随机数

计算临时公钥W_B＝bQ_B；

3b2.)计算共享秘密

并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_BA)；

3b3.)利用k₁计算消息验证码MAC，即

3b4.)向节点A发送ID_B，W_B和t_B，即B→A:ID_B||W_B||t_B；

3c.)接收到来自节点B的反馈消息后，节点A执行以下步骤：

3c1.)计算共享秘密

并利用密钥导出函数导出共享秘密k₁和k₂，即(k₁,k₂)←KDF(K_AB)；

3c2.)验证接收到的MAC，即验证

是否成立；

3c3.)计算MAC

并将其发送给节点B，即A→B:t_A；

接收到来自节点A的确认消息后，节点B验证接收到的MAC，即验证 $t_A={\mathrm{MAC}}_{k_1}({\mathrm{ID}}_A,{\mathrm{ID}}_B,W_A,W_B)$ 是否成立，

若以上验证成立，则节点A与节点B密钥协商成功，二者的共享会话密钥为k_AB＝k₂；根据双线性映射的性质可知

$K_{\mathrm{AB}}=\hat{e}(d_A,W_B+{\mathrm{aQ}}_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

$K_{\mathrm{BA}}=\hat{e}(W_A+{\mathrm{bQ}}_A,d_B)=\hat{e}{(Q_A,Q_B)}^{s(a+b)}$

从而K_AB＝K_BA，因此，节点A和节点B协商得出共享秘密。

2.根据权利要求1所述的基于身份的认证密钥协商方法，其特征在于执行KeyAgreement子算法后，节点A和节点B协商所得的共享秘密是动态的；每轮密钥协商都使用了随机选择的参数a和b；TinyIBAK中，使用了两个不同的安全散列函数H₂和H₃作为密钥导出函数，用于导出两个对称密钥，其中k₁用于计算MAC，k₂作为节点A和B之间安全通信的共享会话密钥。