CN109600747A - 一种无线传感器网络动态凭证认证密钥协商方法 - Google Patents

Abstract

本发明公开了一种无线传感器网络动态凭证认证密钥协商方法，属于传感器网络信息安全领域，方法只采用哈希函数作为构建块并基于新DAC提供相互身份验证和完美的前向保密属性。本发明方法中，每个节点配置了一个新的DAC，一旦基于当前密钥成功建立会话密钥，就更新DAC，因此特定DAC值只限于一个会话密钥。因此，受损的认证密钥不会影响其他先前建立的会话密钥。除了具有基本安全属性(例如相互认证和PFS等)之外，本发明还可以通过将其当前DAC与存储在网关节点处的相应DAC进行比较来检测先前对用户/传感器的模拟攻击。此外，本发明方案仅使用散列函数和XOR运算，从而全面提升本发明计算效率。

Description

一种无线传感器网络动态凭证认证密钥协商方法

技术领域

本发明属于传感器网络信息安全领域，主要涉及在无线传感器网络用于替代公钥加密原语的新式无线传感器网络动态凭证认证密钥协商方法，以提高协议执行效率并降低硬件成本。

背景技术

无线传感器网络(WSN)已成为许多实际应用中的基础设施，它们是具有少量CPU和内存的低功率无线传感器节点的深度网络系统，传感器收集的数据可能涉及很多敏感信息，如个人生理信息，以及战场信息，这些信息只能由授权用户访问。认证密钥协商(AKA)协议是保护WSN中的关键信息的理想选择。

在为WSN设计轻量级AKA协议时，需考量以下安全属性，如相互身份验证，会话密钥安全性，完美前向保密，使用匿名性，重放攻击的弹性和模拟攻击。基于Diffie等人的相关研究，在这些安全属性中，完美前向保密(PFS)已成为AKA事实上的标准属性，PFS属性要求当前受损的身份认证密钥不会影响由相应的受损方建立的先前会话密钥的保密性。

最近提出的轻量级AKA协议，例如，Shi等人、崔等人、和陈等人有一个共同的结构特征：基于Diffie-Hellm密钥协议(DHKA)实现PFS。但是，由于DHKA需要两个指数运算，因此对计算资源受限的传感器或智能卡而言执行效果受较大影响。尽管相关研究试图优化传感器网络中公钥加密原语的实现，但是公钥加密计算量大的固有性质仍然保持不变。所以，在不使用任何复杂公钥加密原语(例如DHKA)的情况下实现PFS成为亟待解决的问题。

此外，协议参与者无法知道他们的身份验证凭据是否已被泄露，如果安全管理员未能及时更换受损的身份验证凭据，则可能导致灾难性后果。最近，Yangand Guo提出了一种AKA协议(以下简称YG方案)，它通过使用动态认证凭证(DAC)解决了这个问题。但在某些条件下，同时在所有密钥共享器上同步基于单键的凭证是不可行的。为了解决同步问题，Yang和Guo提出了一个DAC框架，每个DAC由两个子密钥组成。YG方案设计了DAC更新策略，以确保一方的至少一个子密钥始终与其伙伴同步。然而，YG方案需要基于PKI的加密构建块，即满足PFS的被动安全的双方密钥协商协议，以生成用于更新DAC的短暂秘密种子。因高昂的计算代价，WSN上无法适用此协议。

以下文献介绍了本文相关的协议算法：

[8]Chih Chun Chang,Shadi Arafa,and Sead Muftic.2014.Key EstablishmentProtocol for Wireless Sensor Networks.In IEEE International Conference onMobile Adhoc and Sensor Systems.1–6

[11]Kahina Chelli.2014.Hardware Keys Exchange Protocol in WirelessSensor Networks.Lecture Notes in Engineering&Computer Science 2211,1(2014).

[46]Zheng Yang and Fei Guo.2014.Authenticated key exchange withsynchronized state.Security and Communication Networks7,12(2014),2373–2388.

发明内容

为了解决上述同步问题，本发明确保存储在用户(或传感器)中的至少一个子密钥与网关节点的子密钥同步。网关节点在每个会话中新选择DAC更新密钥，并使用从相应DAC派生的一次性密钥将其机密地分发给用户(或传感器)。由于只能实现部分DAC同步，本专利使网关节点发送最后一条认证消息并进行部分DAC更新。为了实现PFS，本发明基于其DAC中最后确认的同步子密钥，以及解密的DAC更新密钥来更新每个会话中的用户(或传感器)的整个DAC。每个实体通过分别检查由这两个子密钥生成的认证消息来确定前两个消息流中哪个子密钥是同步的。同时，每一方选择的会话密钥材料分别由从相应的子密钥导出的两个不同的密钥封装两次。

本发明中，提出了一种新式AKA方法。该协议只采用哈希函数作为构建块并基于新DAC提供相互身份验证和完美的前向保密属性。本发明方法中，每个节点配置了一个新的DAC，一旦基于当前密钥成功建立会话密钥，就更新DAC，因此特定DAC值只限于一个会话密钥。因此，受损的认证密钥不会影响其他先前建立的会话密钥。除了具有基本安全属性(例如相互认证和PFS等)之外，本发明还可以通过将其当前DAC与存储在网关节点处的相应DAC进行比较来检测先前对用户/传感器的模拟攻击。此外，本发明方案仅使用散列函数和XOR运算，从而全面提升本发明计算效率。

本发明提出适用于WSN的AKA方法设计原则：本发明中的每个DAC包括两个子密钥；这样，只会错误地更新子密钥，因此其他子密钥可以用作备份；同时，在存在任何上述故障的情况下，网关节点始终可以具有与用户或传感器正确同步的DAC子密钥。

本发明技术方案为一种无线传感器网络动态凭证认证密钥协商方法，该方法包括4个阶段，执行如下所述：

阶段1：用户注册阶段，用户在与可靠的环境隔离的可信环境中与网关节点一起运行注册过程；

步骤1.1：用户选择一个身份和一个长效身份认证密钥(authentication key密码或生物指纹)，再生成一个随机数；用户基于认证密钥与随机数计算用户机密信息，再将用户注册信息发送至网关节点，该用户注册信息包括：身份、长效身份认证密钥、用户机密信息；

步骤1.2：网关节点接受用户注册信息后，确认用户身份，根据对应密钥信息解密出机密信息；然后网关节点存储机密信息并将智能卡内容(假名与中间信息)反馈至用户；

步骤1.3：用户接收并存储智能卡信息；

阶段2：传感器注册阶段，在安全频道上进行注册；

网关节点为传感器选择一个单独身份信息，并计算相应认证密钥；网关节点存储传感器身份信息与认证密钥并将其写入传感器节点；

阶段3：身份验证和密钥协商阶段；

步骤3.1：用户根据自身身份信息与认证密钥，计算出机密信息与两个初始认证信息r1(authentication message)，并将机密信息、两个初始封装为认证信息r1协议消息m1发送至传感器节点；

步骤3.2：传感器节点接收m1后，选择一个随机密钥，计算出两个初始认证信息r2，和m1汇总后封装至协议消息m2并发送给网关节点，协议消息m2包括：协议消息m1、两个初始认证信息r2；

步骤3.3：网关节点接收m2后，计算并确认验证信息(verification message)并分配变量存储当前子密钥索引；计算密文、临时加密密钥与认证信息，再将计算得到的密文、临时加密密钥、认证信息封装至协议消息m3发给传感器节点；

步骤3.4：传感器节点接收m3计算并确认密文、临时加密密钥、认证信息、临时认证密钥、DAC更新密钥与验证信息，并将计算得到的所有信息汇总封装至协议消息m4发回用户；

步骤3.5：用户接收m4后，计算可能的解密密钥与验证信息并确认验证信息；用户解码DAC更新密钥与并根据可能的解密密钥计算会话密钥材料，基于会话密钥材料计算会话密钥，同时计算密文与认证信息，并将密文与认证信息封装至协议消息m5中发给传感器节点；

步骤3.6：传感器节点接收m5后，解码会话密钥材料，计算并确认验证信息；传感器节点再计算认证信息与会话密钥，并将认证信息、会话密钥封装至协议消息m6发给网关节点；

步骤3.7：网关节点接收m6后，计算并确认验证信息；网关节点计算更新通知，并更新存储网关DAC子密钥；然后网关节点将更新通知封装至m7发送给传感器节点，并最终接受此对话；

步骤3.8：传感器节点接收m7后，计算并确认验证消息，计算并存储新传感器DAC子密钥；传感器节点将验证信息封装至协议消息m8发送给用户；

步骤3.9：用户接收m8后，计算并确认验证消息，计算新DAC子密钥与盲法传感器凭证；用户成功存储凭证则接收此会话，否则终止；

阶段4：用户认证密钥更改阶段；

若用户已验证过身份信息，支持用户凭旧式长效身份认证密钥更新新式长效身份认证密钥。

本发明相对于现有技术的优势在于：在降低计算复杂度与减少缓存消耗的同时，还可提供对模拟攻击与重放攻击的抵抗。下面给出标准AKA协议与本发明AKA协议敌方优势度的数学表达式，当所有敌方安全试验均没有失败的条件下，敌方优势度应为：

其中，是在线猜测攻击概率，negl(λ)为可忽略不计的安全参数λ的函数。

标准AKA协议敌方优势度:

本发明AKA协议敌方优势度：

其中，为用户数量，ρ为传感器，d为网关节点数量,D用户认证密钥最小长度；假设随机数和密钥的长度大于μ，哈希函数的输出的最小长度是v，并且哈希函数h为单向随机预言模型。q_h为哈希函数h预言队列长度。

本发明基于其DAC中最后确认的同步子密钥，以及解密的DAC更新密钥来更新每个会话中的用户(或传感器)的整个DAC；每个实体通过分别检查由这两个子密钥生成的认证消息来确定前两个消息流中哪个子密钥是同步的同时，每一方选择的会话密钥材料分别由从相应的子密钥导出的两个不同的密钥封装两次。

附图说明

图1是本发明协议的执行流程；

图2是本发明协议与其他对比协议的计算开销对比图；

图3是本发明协议与其他对比协议在认证密钥长度为256bits下的存储开销对比图；

图4是本发明协议与其他对比协议在身份信息为128bits、随机数256bits、时间戳64bits、哈希值256bits下的网络开销对比图；

图5是本发明协议在用户数1、网关节点数1、传感器节点数50、交互信息长度1KB条件下，协议执行随路由节点跳数(5--20)提升的时间图；

图6是本发明协议与其他对比协议在15跳路由节点情况下的协议执行时间对比图。

具体实施方法

为了更好的理解本发明，下面将以上述技术方案为基准，详细介绍本发明的实施过程，且本发明的实施范围为一般场景，不只限于下文所述情形。

如图1所示，本发明提供了一种新式无线传感器网络动态凭证认证密钥协商协议，,包括如下步骤：

步骤1：U_i(用户)选择身份ID_i与长效身份认证密钥lk_i,生成随机数r_i,计算中间值lp_i＝h(r_i||lk_i),汇总用户机密信息m_rg发送给GW。

步骤2：GW选择随机数r_i′和rk_GW,计算假名TI_i＝h(r′_i||ID_i)与动态身份验证凭证ss_i,t：＝h(TI_i||rk_GW||t),将机密信息存至GW，将智能卡内容SC_i返回U_i。

步骤3：U_i接收SC_i后，将r_i写入SC_i中。

步骤4：GW缓存并将SID_j与ss_j写入S_j(传感器节点)。

步骤5：用户依据相应验证凭证ss_i与随机密钥K_i、正整数N_i计算认证信息A_i,τ：＝h(ss_i,τ||N_i||TI_i||SID_j)。汇总至m₁＝{TI_i,N_i,{A_i,τ}}发送S_j。

步骤6：S_j接收m₁后，计算初始认证信息A_j,τ＝h(ss_j,τ||N_j||A_i,τ)，汇总至m₂＝{TI_i,SID_j,N_i,N_j{A_i,τ,A_j,τ}}并发送至GW。

步骤7：GW计算验证信息A′_i,τ与A_j′_,τ并与A_i,τ,A_j,τ比对，如果不相等则拒绝会话。计算密文与临时加密密钥 与密文与汇总至m₃＝{N,D_GWj,E_GWj,G_GWi,G_GWj}并发送至S_j。

步骤8：S_j计算验证信息将E′_GWj,1、E′_GWj,2与E_GWj进行比对，如不相等则拒绝会话。临时加密密钥C_GWj：＝h(h(ss_j,z)||N||N_i||N_j)、临时认证密钥DAC更新密钥K_s：＝h(h(ss_j,z)||N_j))、密文与认证信息E_j：＝h(C_GWi||G_GWi||D_j))，并汇总至m₄＝{N,N_j,G_GWi,D_j,E_j}发回U_i。

步骤9：U_i计算可能解密密钥C_GWi,τ：＝h(h(ss_i,τ)||N||N_i||N_j)与验证信息E′_j,τ：＝h(C′_GWi,τ||G_GWi||D_j)),将其与E_j进行比较，如不相等则拒绝会话。计算DAC更新密钥K_s：＝h(h(ss_i,t)||N_i))，会话密钥材料密文认证信息E_i：＝h(K_j||D_i)、F_i：＝h(ss_i,t||N)，以及会话密钥汇总至m₅＝{D_i,E_i,F_i+发送给S_j。

步骤10：S_j计算验证信息E′_i：＝h(K_j||D_i)并与E_i确认，如不相等则终止会话。计算F_j：＝h(ss_j,z||N)与会话密钥汇总至m₆＝{F_i,F_j}发送至GW。

步骤11：GW计算验证信息F′_i：＝h(ss_i,u||N)与F′_j：＝h(ss_j,v||N)并与F_i、F_j确认，如不相等则终止会话。更新并存储子密钥，计算更新通知 并汇总至m₇＝{W_GWiW_GWj,}发送给S_j。GW最终接收此会话。

步骤12：S_j计算并确认并与W_GWj确认，如不相等则终止会话。计算并存储更新子密钥，若存储失败则拒绝会话。将m₈发送至U_i并接收此会话。

步骤13：U_i计算并确认并与W_GWi确认，如不相等则终止会话。计算并存储更新子密钥、盲法传感器凭证，如果存储失败则拒绝会话，反之接收此会话。

图2、图3、图4分别表示了本发明与其对比协议的计算、存储、网络开销对比图，可以看出本发明相较对比协议，虽网络开销有一定程度提升，但计算开销与存储显著降低。

图5表示了本发明在不高于20跳路由节点的情况下的协议执行时间，可以看出其对协议整体运行影响较小。

图6表示了本发明与其对比协议在15跳路由节点情况下，协议执行时间对比图。可以看出，相较其他协议，本协议在智能卡与传感器上执行时间显著减少。

Claims (1)

1.一种无线传感器网络动态凭证认证密钥协商方法，该方法包括4个阶段，执行如下所述：

阶段1：用户注册阶段，用户在与可靠的环境隔离的可信环境中与网关节点一起运行注册过程；

步骤1.1：用户选择一个身份和一个长效身份认证密钥(authentication key密码或生物指纹)，再生成一个随机数；用户基于认证密钥与随机数计算用户机密信息，再将用户注册信息发送至网关节点，该用户注册信息包括：身份、长效身份认证密钥、用户机密信息；

步骤1.2：网关节点接受用户注册信息后，确认用户身份，根据对应密钥信息解密出机密信息；然后网关节点存储机密信息并将智能卡内容(假名与中间信息)反馈至用户；

步骤1.3：用户接收并存储智能卡信息；

阶段2：传感器注册阶段，在安全频道上进行注册；

网关节点为传感器选择一个单独身份信息，并计算相应认证密钥；网关节点存储传感器身份信息与认证密钥并将其写入传感器节点；

阶段3：身份验证和密钥协商阶段；

步骤3.1：用户根据自身身份信息与认证密钥，计算出机密信息与两个初始认证信息r1(authentication message)，并将机密信息、两个初始封装为认证信息r1协议消息m1发送至传感器节点；

步骤3.2：传感器节点接收m1后，选择一个随机密钥，计算出两个初始认证信息r2，和m1汇总后封装至协议消息m2并发送给网关节点，协议消息m2包括：协议消息m1、两个初始认证信息r2；

步骤3.3：网关节点接收m2后，计算并确认验证信息(verification message)并分配变量存储当前子密钥索引；计算密文、临时加密密钥与认证信息，再将计算得到的密文、临时加密密钥、认证信息封装至协议消息m3发给传感器节点；

步骤3.4：传感器节点接收m3计算并确认密文、临时加密密钥、认证信息、临时认证密钥、DAC更新密钥与验证信息，并将计算得到的所有信息汇总封装至协议消息m4发回用户；

步骤3.5：用户接收m4后，计算可能的解密密钥与验证信息并确认验证信息；用户解码DAC更新密钥与并根据可能的解密密钥计算会话密钥材料，基于会话密钥材料计算会话密钥，同时计算密文与认证信息，并将密文与认证信息封装至协议消息m5中发给传感器节点；

步骤3.6：传感器节点接收m5后，解码会话密钥材料，计算并确认验证信息；传感器节点再计算认证信息与会话密钥，并将认证信息、会话密钥封装至协议消息m6发给网关节点；

步骤3.7：网关节点接收m6后，计算并确认验证信息；网关节点计算更新通知，并更新存储网关DAC子密钥；然后网关节点将更新通知封装至m7发送给传感器节点，并最终接受此对话；

步骤3.8：传感器节点接收m7后，计算并确认验证消息，计算并存储新传感器DAC子密钥；传感器节点将验证信息封装至协议消息m8发送给用户；

步骤3.9：用户接收m8后，计算并确认验证消息，计算新DAC子密钥与盲法传感器凭证；用户成功存储凭证则接收此会话，否则终止；

阶段4：用户认证密钥更改阶段；

若用户已验证过身份信息，支持用户凭旧式长效身份认证密钥更新新式长效身份认证密钥。

本发明相对于现有技术的优势在于：在降低计算复杂度与减少缓存消耗的同时，还可提供对模拟攻击与重放攻击的抵抗。下面给出标准AKA协议与本发明AKA协议敌方优势度的数学表达式，当所有敌方安全试验均没有失败的条件下，敌方优势度应为：

其中，是在线猜测攻击概率，negl(λ)为可忽略不计的安全参数λ的函数。

标准AKA协议敌方优势度:

本发明AKA协议敌方优势度：

其中，l为用户数量，ρ为传感器，d为网关节点数量,D用户认证密钥最小长度；假设随机数和密钥的长度大于μ，哈希函数的输出的最小长度是v，并且哈希函数h为单向随机预言模型。q_h为哈希函数h预言队列长度。