CN104618090A - 一种适用于异构传感器网络的组密钥管理方法 - Google Patents

Abstract

本发明请求保护一种适用于异构传感器网络的组密钥管理方法，该方法采用分布式密钥管理方式，组内节点的密钥材料由各组组长动态的分配。在组网过程中,利用基于同或的鉴别机制完成组长和组内节点之间的鉴别；在组密钥建立过程中，组长利用单向累加器为每个组内成员产生证人；在组密钥更新的阶段，提出定时组密钥更新、新节点加入时组密钥更新和旧节点撤销时组密钥更新等三种密钥更新机制，组内节点利用组密钥更新消息中的隐藏证人完成对组密钥更新命令的鉴别。该方法不仅减小了整个网络的计算开销和存储开销，实现了真正意义上的分布式管理方式，而且保障了整个网络的前向安全和后向安全，提高了无线传感器网络在运行时的安全性和可靠性。

Description

一种适用于异构传感器网络的组密钥管理方法

技术领域

本发明涉及一种适用于无线传感器网络组密钥管理方法，属于无线传感器网络技术和网络信息安全交叉技术应用领域。

背景技术

无线传感器网络(WSN,wireless sensor networks)因其广阔的应用前景而越来越受到人们的关注，但由于其受限的资源、无安全保障的工作环境和低成本要求等原因，安全性问题一直是学术界研究的热点。随着WSN的快速发展，其应用范围也越来越广泛。目前，在军事和人们的日常生活中已经缺少不了WSN的存在。在WSN中，除了点对点单播通信外，还需要进行多播通信，但是多播通信具有信道开放的特点，与单播通信相比更容易遭受到恶意节点的攻击，所以安全多播问题已经成为制约WSN发展的关键问题之一。

虽然目前对传感器网络组密钥管理的研究已经在一定程度上实现了安全多播通信，但是它们或者没有充分考了到无线传感器网络的动态变化(例如由于传感器节点的资源有限，节点的能耗耗尽导致其必须退出网络，旧节点的退出必须有新节点的加入来维持网络的运行，这样一个过程势必导致网络发生动态变化)，使得整个方案中组密钥更新的代价过大，甚至没有组密钥更新机制；部分组密钥管理方案中虽有组密钥更新机制但是并没有实现入网节点和组长之间的相互鉴别，也没有实现组成员节点对组长下发的密钥更新命令进行合法性认证，所以组密钥管理机制存在着一定的安全隐患。

发明内容

针对以上现有技术中的不足，本发明的目的在于提供一种简单有效的组密钥管理方法实现组内成员和组长之间的相互认证、不仅节约了每个节点的存储空间，而且降低了整个网络密钥管理开销，同时保证了整个网络的前向安全性和后向安全性的适用于异构传感器网络的组密钥管理方法，本发明的技术方案如下：一种适用于异构传感器网络的组密钥管理方法，其包括以下步骤：

101、系统初始化配置步骤，具体包括：

A1、节点在部署到网络之前，由基站为每个节点预先加载配置密钥PSK，参数产生算法G、编码算法CH和累加器函数f；

A2、步骤A1的节点部署结束后，部署在网络中的组长节点随机选定安全参数k，运行G算法产生一组辅助参数A_p＝(x₀,p,q)，其中x₀表示一个随机正整数，p和q分别表示两个大素数，辅助参数A_p用来构建该组的累加器f(x₀,y)＝x₀ ^ymodn；

102、完成步骤101的系统初始化配置步骤后，进行组密钥建立步骤，具体包括：

B1、入网前，组成员和组长通过同或鉴别机制完成双方之间的鉴别；

B2、组长根据自身组长地址ID_manager和合法组内成员节点i的组内成员地址ID_{member_i}，利用编码算法CH，为自己和组内成员进行身份编码；

B3、组长利用辅助参数A_p和累加器算法f为组内成员节点i计算证人

W_{member_i}，并将组成员节点的证人以密文的形式单播发送给对应的组内成员节

点i；

B4、组内成员节点i收到消息后，首先对消息完整性校验码MAC进行校验，校验通过则利用预配置密钥PSK解密消息，获得W_{member_i}；

B5、组成员节点i结合证人和自身编码_{member_i}，利用累加器算法f计算组密钥V_{member_i}＝f(W_{member_i}，y_{member_i})。

103、当完成步骤102的组密钥建立步骤后，进行组密钥更新，具体包括以下三种情况：

C1、定时组密钥更新；假设在第k个会话期到达定时组密钥更新，组长产生两个随机数n₁和n₂，构造并广播定时组密钥更新命令M₂，该命令的格式为M₂＝(n₁,n₂,N₁)||MAC₂，其中N₁＝f(W_{manager_k},n₁)，MAC₂＝MAC(n₁,n₂,N₁,)；组内成员节点收到消息M₂时，首先对MAC₂进行校验，若校验失败则丢弃该消息，若校验成功则计算f(N₁,y_manager)是否等于f(V_{member_k},n₁)，若相等则完成对组长的命令的鉴别，然后进行证人更新和组密钥更新，反之则丢弃该消息。

C2、新节点加入时组密钥更新；新节点加入时，组长和新节点之间首先采用同或鉴别方式进行鉴别；鉴别成功后，组长依据新节点的ID_new为其产生编码值y_new；组长依据新节点编码值y_new进行组密钥更新，同时构造消息M₃，并加密消息M₃发送给新成员节点，消息M₃的格式为：E_PKS(V_{manager_k})||MAC₃，其中MAC₃＝MAC(E_PKS(V_{manager_k}))；组长产生随机数n₃，计算N₃＝f(W_{manager_k},n₃)；组长构造广播消息M₄，广播消息M₄的格式为：M₄＝(y_new，n₃，N₃)||MAC₄，其中MAC₄＝MAC(y_new，n₃，N₃)；新成员节点收到消息M₃后首先完成MAC₃的校验，检验通过后解密数据获得V_{manager_k}，然后进行组密钥计算；旧成员节点收到广播消息M₄后，首先完成MAC₄的校验，检验成功计算f(N₃,y_manager)和f(V_{member_k},n₃)，判断两者是否相等，若相等则完成对组长的鉴别，然后进行组密钥更新，反之则丢弃该消息；

C3、旧节点撤销时组密钥更新；组长发现旧节点退出网络时，依据撤销节点的编码值y_m和自身编码值y_manager利用EGCD算法产生参数值α和β，即EGCD(y_manager，y_m)＝αy_manager+βy_m＝1，产生两个参数α和β；组长依据参数α、β和撤除节点的编码y_m计算y_m×(αy_manager+βy_m)，然后进行组密钥更新和证人更新，即V_{manager_k+1}＝f(V_{manager_k}，y_m×(αy_manager+βy_m))，W_{memeber_k+1}＝f(W_{memeber_k}，y_m×(αy_member+βy_m))；组长随机产生随机值n₄，计算N₄＝f(W_{manager_k},n₄)；组长构造广播消息M₅，广播消息M₅的格式为：M₅＝(n₄||N₄||y_m)||MAC₅,其中MAC₅＝MAC(n₄||N₄||y_m)；节点收到消息M₅后，首先进行验证消息是否来自于合法组长，若验证失败，则丢弃该消息，反之验证成功，则利用EGCD算法计算参数α＇和β＇；组内成员节点依据参量y_m×(α＇y_member+β＇y_m)进行组密钥更新和证人，保证撤销的节点无法获得此次更新后组密钥和证人。

进一步的，步骤B5中组内成员节点根据初始化信息利用累加器函数f建立初始组密钥的步骤包括：

[1]组内成员计算消息鉴别码MAC₁＇＝MAC(E_PKS(W_{member_i}))，E_PKS表示使用配置密钥PKS作为加密密钥的加密算法，MAC()表示MAC算法；

[2]组成员验证自己算得的MAC₁＇与组长发送的MAC₁是否相等；

[3]若MAC₁＇＝MAC₁则组成员解密该消息获得W_{member_i}信息，并计算组密钥V₁＝f(W_{member_i},y_{member_i})，若不相等则丢弃该初始化消息。

进一步的，计算组密钥的具体公式为

$V_{\mathrm{member}\_i}=f(W_{\mathrm{member}\_i},y_{\mathrm{member}\_i})={W_{\mathrm{member}\_i}}^{y_{\mathrm{member}\_i}}\mathrm{mod}n.$

本发明的优点及有益效果如下：

本发明提供了一种本发明基于无线传感器簇型网络的特点，在减小每个节点存储开销的基础上，完成了组密钥的建立和组密钥的更新，保证了整个网络运行过程中的前向安全性和后向安全性，即只有合法节点能够进行组密钥更新，撤除节点无法获得更新后的组密钥。

安全性分析：本发明利用离散对数有限域上的离散指数难计算的特点来保障组密钥建立和组密钥更新的安全性。本发明中，组长为每个组内传感器节点分配唯一证人，通过证人完成组密钥的建立和更新。只有合法的组成员才能进行组密钥更新，保证了网络的前向安全性。对于撤除网络的节点无法依据原有的算法和存储的密钥材料进行证人更新，也就无法进行组密钥更新，从而保证了网络的后向安全性。组密钥在更新过程中，通过利用组长的证人完成对组长的认证，保证组长下发命令的来源可靠，有效防止伪造攻击。

存储开销分析：在整个网络运行中，针对安全方面的存储开销，组长仅负责存储组内成员节点的编码值、自身证人和组密钥以及累加器算法f、编码算法CH、算法G和预配置密钥PSK。组内成员节点仅存储自身编码值、组长编码值、证人和组密钥以及累加器算法f、编码算法CH和预配置密钥PSK。相比其他方案，本发明在减少节点存储开销的同时完成了组密钥的建立和组密钥的动态更新。

能耗分析：从能耗方面来讲，在本发明中，组长和组内成员通过四次消息交互，即可实现组长和组内成员之间的相互鉴别，并且完成初始组密钥的建立；在组密钥更新方面，本发明在定时组密钥更新和旧节点撤销组密钥更新时需要一次消息交互即可完成组密钥更新，在新节点加入时需要经过两次消息交互即可完成组密钥更新，相比其它组密钥管理方案，在通信能耗开销和计算能耗开销上都有所降低。

附图说明

图1是按照本发明优选实施例工作流程图；

图2组长和组内成员节点相互鉴别的消息交互图；

图3组密钥建立消息交互图；

图4定时密钥更新消息交互图；

图5新节点加入时组密钥更新消息交互图；

图6旧节点撤除时组密钥更新消息交互图。

具体实施方式

下面结合附图给出一个非限定的实施例对本发明作进一步的阐述。但是应该理解，这些描述只是示例的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

本发明图1为本发明的流程图。为了更清楚易懂地描述本发明的设计思路，将图1中的发明步骤分为三个阶段：组网阶段、组密钥建立阶段和组密钥更新阶段；再结合图2、3、4、5、6对上述三个阶段做详细分析。具体过程如下所示：

1.系统初始化配置

(1)节点在部署到网络之前，由基站为每个节点预先加载配置密钥PSK，参数生成算法G、编码算法CH和累加器函数f；

(2)节点部署结束后，组长随机选定安全参数k，运行G算法产生一组辅助参数A_p＝(x₀,p,q)，使用该辅助参数来构建该组的累加器f(x₀,y)＝x₀ ^ymod n。

2.组密钥建立

(1)入网前，组内成员和组长通过同或鉴别机制完成双方之间的鉴别，具体鉴别过程如图2所示：

1)组内成员节点使用自己的身份标识(ID_member)，计算S_NA＝ID_member☉PSK。其中，符号☉表示逐比特同或运算，PSK表示配置密钥，下同。然后，组内成员节点向组长发起入网请求消息，该消息包括字段S_NA；

2)组长收到组内成员发送的请求消息后，首先计算ID_member＝S_NA☉PSK，将ID_member进行按比特首尾倒置得到N_A，并计算S_RNA＝N_A☉PSK。然后，组长使用自己的身份标识(ID_manager)，计算S_NB＝ID_manager☉PSK。组长返回请求消息给组内成员，该响应消息包括字段S_RNA和S_NB；

3)组内成员收到组长返回的响应消息后，首先计算N_A＝S_RNA☉PSK，将N_A进行按比特首尾倒置得到N_A＇，判断N_A＇是否与组内成员ID_member相等，如果不相等，则组内成员丢弃该响应；如果相等，则组内成员认为组长合法，然后组内成员节点依据组长的ID_manager信息和自己的ID_member信息，使用CH算法计算出组长的编码值y_manager和自己的编码值y_member。同时计算ID_manager＝S_NB☉PSK，将ID_manager进行按比特首尾倒置得到N_B，并计算S_RNB＝N_B☉PSK。组内成员再次向组长发送消息，该消息中包括字段S_RNB；

4)组长收到组内成员发送的消息后，计算N_B＝S_RNB☉PSK，将N_B进行俺比特首尾倒置得到N_B＇，判断是否与ID_manager相等，若不相等，则组长认为该成员节点不合法，丢弃该消息。

(2)组长利用组内所有合法节点的ID_member，通过累加器函数f生成组密钥以及各节点对应的证人信息，然后发送给组内对应的节点，具体过程如图3所示：

1)组长结合自身ID_manager和合法组内成员的ID_{member_i}，利用算法CH，为自己和组内成员进行身份编码，即y_manager＝CH(ID_manager)，y_{member_i}＝CH(ID_{member_i})，并产生编码列表Y＝{y_manager,y_{member_1},y_{member_2},····y_{member_m}}；

2)组长利用辅助参数A_p和累加器算法f为组内成员节点i计算证人W_{member_i}＝f(x₀,Y-{y_{member_i}})，并将组成员节点的证人W_{member_i}以密文的形式单播发送给对应的组成员节点i；

3)组内成员节点i收到消息后，首先进行MAC校验，校验通过则利用配置密钥PSK解密消息，获得W_{member_i}；

4)组内成员节点i结合证人和自身编码y_{member_i}，利用累加器算法f计算组密钥 $V_{\mathrm{member}\_i}=f(W_{\mathrm{member}\_i},y_{\mathrm{member}\_i})={W_{\mathrm{member}\_i}}^{y_{\mathrm{member}\_i}}\mathrm{mod}n.$

3.组密钥更新

组密钥的更新过程包括三种情况：定时组密钥更新、新节点加入时组密钥更新和旧节点撤销时组密钥更新，具体实现流程如下所述：

(1)定时组密钥更新(更新流程如图4)

1)到达定时组密钥更新时，组长产生两个随机数n₁和n₂。构造并广播定时组密钥更新命令M₂，该命令的格式为M₂＝(n₁,n₂,N₁)||MAC₂，其中 $N_1=f(W_{\mathrm{manager}\_k},n_1)={W_{\mathrm{manager}\_k}}^{n_1}\mathrm{mod}n,$ MAC₂＝MAC(n₁,n₂,N₁,)；

2)组内成员节点收到消息M₂时，首先对MAC₂进行校验，若校验失败则丢弃该消息，若校验成功则计算f(N₁,y_manager)是否等于f(V_{member_k},n₁)，若相等则完成对组长的命令的鉴别，然后进行证人更新和组密钥更新，反之则丢弃该消息。

(2)新节点加入时组密钥更新(更新流程如图5)

1)新节点加入时，组长和新节点之间首先采用基于同或鉴别方式进行鉴别；

2)鉴别成功后，组长依据新节点的ID_new为其产生编码值y_new；

3)组长依据新节点编码值进行组密钥更新，同时构造消息M₃，并加密消息M₃发送给新成员节点，消息M₃的格式为：E_PKS(V_{manager_k})||MAC₃，其中MAC₃＝MAC(E_PKS(V_{manager_k}))；

4)组长产生随机数n₃，计算N₃＝f(W_{manager_k},n₃)；

5)组长构造广播消息M₄，广播消息M₄的格式为：M₄＝(y_new，n₃，N₃)||MAC₄，其中MAC₄＝MAC(y_new，n₃，N₃)；

6)新成员节点收到消息M₃后首先完成MAC₃的校验，检验通过后解密数据获得V_{manager_k}，然后进行组密钥计算V_{manager_k+1}＝f(V_{manager_k}，y_new)并将V_{manager_k}作为自己的证人；

7)旧成员节点收到广播消息M₄后，首先完成MAC₄的校验，检验成功计算f(N₃,y_manager)和f(V_{member_k},n₃)，判断两者是否相等，若相等则完成对组长的鉴别，然后进行组密钥更新，即V_{member_k+1}＝f(V_{member_k}，y_new)和证人W_{member_k+1}＝f(W_{memeber_k}，y_new)，反之则丢弃该消息。

(3)旧节点撤销时组密钥更新(更新流程如图6)

1)组长发现旧节点退出网络时，依据撤销节点的编码值y_m和自身编码值y_manager利用EGCD算法产生参数值α和β，即EGCD(y_manager，y_m)＝αy_manager+βy_m＝1，产生两个参数α和β；

2)组长依据参数α、β和撤销节点的编码y_m计算y_m×(αy_manager+βy_m)，然后进行组密钥更新和证人更新，即V_{manager_k+1}＝f(V_{manager_k}，y_m×(αy_manager+βy_m))，W_{memeber_k+1}＝f(W_{memeber_k}，y_m×(αy_member+βy_m))；

3)组长随机产生随机值n₄，计算N₄＝f(W_{manager_k},n₄)；

4)组长构造广播消息M₅，广播消息M₅的格式为：M₅＝(n₄||N₄||y_m)||MAC₅,其中MAC₅＝MAC(n₄||N₄||y_m)；

5)组内成员节点收到消息M₅后，计算MAC₅＇＝MAC(n₄||N₄||y_m)，比较MAC₅＇和MAC₅，若相等则完成消息完整性校验，反之丢弃该消息；

6)组内成员节点计算f(N₄,y_manager)和f(V_{member_k},n₄)，若两者相等，则认为组密钥更新命令来自合法组长，反之丢弃该消息；

7)组内成员节点依据EGCD算法产生参数值α＇和β＇，由于计算参数(α＇，β＇)是由EGCD算法产生的，即α＇y_memberr+β＇y_m＝1，当y_member＝y_m，无法找到2个整数(α＇，β＇)使得上式成立，故被撤销节点不能得出α＇和β＇，也就不能计算得出α＇y_memberr+β＇y_m＝1；

8)组内成员节点依据参量y_m×(α＇y_member+β＇y_m)进行组密钥更新和证人更行，进而保证了撤销节点无法获得此次更新后的组密钥和证人，即更新后的组密钥V_{member_k+1}＝f(V_{member_k}，y_m×(α＇y_member+β＇y_m))和证人W_{memeber_k+1}＝f(W_{memeber_k}，y_m×(α＇y_member+β＇y_m))。

以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (3)

1.一种适用于异构传感器网络的组密钥管理方法，其特征在于，包括以下步骤：

101、系统初始化配置步骤，具体包括：

A1、节点在部署到网络之前，由基站为每个节点预先加载配置密钥PSK，参数产生算法G、编码算法CH和累加器函数f；

A2、步骤A1的节点部署结束后，部署在网络中的组长节点随机选定安全参数k，运行G算法产生一组辅助参数A_p＝(x₀,p,q)，其中x₀表示一个随机正整数，p和q分别表示两个大素数，辅助参数A_p用来构建该组的累加器f(x₀,y)＝x₀ ^ymodn；

102、完成步骤101的系统初始化配置步骤后，进行组密钥建立步骤，具体包括：

B1、入网前，组成员和组长通过同或鉴别机制完成双方之间的鉴别；

B2、组长根据自身组长地址ID_manager和合法组内成员节点i的组内成员地址ID_{member_i}，利用编码算法CH，为自己和组内成员进行身份编码；

B3、组长利用辅助参数A_p和累加器算法f为组内成员节点i计算证人W_{member_i}，并将组成员节点的证人以密文的形式单播发送给对应的组内成员节点i；

B4、组内成员节点i收到消息后，首先对消息鉴别码MAC进行校验，校验通过则利用预配置密钥PSK解密消息，获得W_{member_i}；

B5、组成员节点i结合证人和自身编码y_{member_i}，利用累加器算法f计算组密钥V_{member_i}＝f(W_{member_i}，y_{member_i})。

103、当完成步骤102的组密钥建立步骤后，进行组密钥更新，具体包括以下三种情况：

C1、定时组密钥更新；假设在第k个会话期到达定时组密钥更新，组长产生两个随机数n₁和n₂，构造并广播定时组密钥更新命令M₂，该命令的格式为M₂＝(n₁,n₂,N₁)||MAC₂，其中N₁＝f(W_{manager_k},n₁)，MAC₂＝MAC(n₁,n₂,N₁,)；组内成员节点收到消息M₂时，首先对MAC₂进行校验，若校验失败则丢弃该消息，若校验成功则计算f(N₁,y_manager)是否等于f(V_{member_k},n₁)，若相等则完成对组长的命令的鉴别，然后进行证人更新和组密钥更新，反之则丢弃该消息。

C2、新节点加入时组密钥更新；新节点加入时，组长和新节点之间首先采用同或鉴别方式进行鉴别；鉴别成功后，组长依据新节点的ID_new为其产生编码值y_new；组长依据新节点编码值y_new进行组密钥更新，同时构造消息M₃，并加密消息M₃发送给新成员节点，消息M₃的格式为：E_PKS(V_{manager_k})||MAC₃，其中MAC₃＝MAC(E_PKS(V_{manager_k}))；组长产生随机数n₃，计算N₃＝f(W_{manager_k},n₃)；组长构造广播消息M₄，广播消息M₄的格式为：M₄＝(y_new，n₃，N₃)||MAC₄，其中MAC₄＝MAC(y_new，n₃，N₃)；新成员节点收到消息M₃后首先完成MAC₃的校验，检验通过后解密数据获得V_{manager_k}，然后进行组密钥计算；旧成员节点收到广播消息M₄后，首先完成MAC₄的校验，检验成功计算f(N₃,y_manager)和f(V_{member_k},n₃)，判断两者是否相等，若相等则完成对组长的鉴别，然后进行组密钥更新，反之则丢弃该消息；

C3、旧节点撤销时组密钥更新；组长发现旧节点退出网络时，依据撤销节点的编码值y_m和自身编码值y_manager利用EGCD算法产生参数值α和β，即EGCD(y_manager，y_m)＝αy_manager+βy_m＝1，产生两个参数α和β；组长依据参数α、β和撤除节点的编码y_m计算y_m×(αy_manager+βy_m)，然后进行组密钥更新和证人更新，即V_{manager_k+1}＝f(V_{manager_k}，y_m×(αy_manager+βy_m))，W_{memeber_k+1}＝f(W_{memeber_k}，y_m×(αy_member+βy_m))；组长随机产生随机值n₄，计算N₄＝f(W_{manager_k},n₄)；组长构造广播消息M₅，广播消息M₅的格式为：M₅＝(n₄||N₄||y_m)||MAC₅,其中MAC₅＝MAC(n₄||N₄||y_m)；节点收到消息M₅后，首先进行验证消息是否来自于合法组长，若验证失败，则丢弃该消息，反之验证成功，则利用EGCD算法计算参数α＇和β＇；组内成员节点依据参量y_m×(α＇y_member+β＇y_m)进行组密钥更新和证人，保证撤销的节点无法获得此次更新后组密钥和证人。

2.根据权利要求1所述的适用于异构传感器网络的组密钥管理方法，其特征在于，步骤B5中组内成员节点根据初始化信息利用累加器函数f建立初始组密钥的步骤包括：

[1]组内成员计算消息鉴别码MAC₁＇＝MAC(E_PKS(W_{member_i}))，其中E_PKS表示使用配置密钥PKS作为加密密钥的加密算法，MAC()表示MAC算法；

[2]组内成员验证自己算得的MAC₁＇与组长发送的MAC₁是否相等；

[3]若MAC₁＇＝MAC₁则组成员解密该消息获得W_{member_i}信息，并计算组密钥V₁＝f(W_{member_i},y_{member_i})，若不相等则丢弃该初始化消息。

3.根据权利要求2所述的适用于异构传感器网络的组密钥管理方法，其特征在于，计算组密钥的具体公式为

V_{member_i}＝f(W_{member_i},y_{member_i})＝W_{member_i} ^ymember_imodn。