CN114007220B - 短期阶段会话密钥生成方法、认证密钥协商方法及系统 - Google Patents

Abstract

本发明公开了一种短期阶段会话密钥生成方法、认证密钥协商方法及系统。认证密钥协商方法及系统采用轻型证书和数字签名的方式来实现公钥认证、私钥认证以及热公钥的认证，通过Diffie‑Hellman协议或ECDH协议来实现具有前向安全性的会话密钥协商，并配备有密钥确认和短期阶段会话密钥生成方法。同时给出了认证密钥协商方法的实施例，并对基于ECC公钥原语ECDSA、ECDH等操作的实施例在TelosB节点上基于TinyOS平台使用TinyECC进行了实现，结果表明本方法应用于ECC原语时两节点的会话密钥协商需要53秒，而为提高可靠性把重复协商参数设置为1最为划算。本发明解决了现有低配网络中基于公钥的认证密钥协商方法未考虑最大传输单元限制、低可靠性、低安全性问题。

Description

短期阶段会话密钥生成方法、认证密钥协商方法及系统

技术领域

本发明属于网络安全技术领域，涉及一种认证密钥协商方法及系统，特别是涉及一种低配网络的基于轻型证书的认证密钥协商(或建立、分配、交换)方法及系统，可用于传感器网络等低配网络中节点间安全高效地协商共享的会话密钥。

背景技术

作为物联网及边缘计算的一部分，传感器网络已经得到了20余年的广泛研究，但其却因为安全性等问题仍未能得到广泛全面的应用，试想没有哪个用户愿意使自己的随身传感器没有安全保障地联入物联网。近来部分学者就传感器节点间的安全连接提出了一些解决方案，但仍存在许多问题，这主要体现在这些方面：

1)都假设低层是可靠的，致使现有多数方法都没有考虑解决协商包的丢失问题；

2)都没有考虑低层最大传输单元(MTU，Maximum Transmission Unit)的限制，如IEEE802.15.4中规定的帧长为127B，有效载荷为118B(假设帧头帧尾为9B、安全级别为80位级的情况下)。现有方案要么是超出这一限制，要么是实现的无认证的密钥协商(如早期D.J.Malan,M.Welsh等人的EPKI)。超出限制时会导致密钥协商包在底层分片，从而攻击者只要破坏其中一片即可破坏整个密钥协商过程，降低了安全性。而无认证的密钥协商更会导致各种攻击，如假冒攻击、MITM攻击等。

现有认证密钥协商多是基于无证书的方案(如CL-EKM)，都因公钥自证明的需要而致使方案中总会有协商包长度大于118B，而采用基于证书的方案可将公钥的认证及密钥协商数据的认证分离，从而可以使得每包的数据量低于118B，利于公钥机制用于实现传感器网络节点间密钥协商。而且无证书方案的认证通常是在所有协商包收发完后，在最后一步计算时认证，从而导致延迟认证，进而容易招致资源耗尽方式的DoS攻击。

发明内容

为了解决上述技术问题，本发明首先公开了一种短期阶段会话密钥生成方法和会话密钥协商确认方法，随后公开了一种基于轻型证书及Diffie-Hellman协议的认证密钥协商方法，提供了一个在传统网络中实现该方法的系统，最后公开了一种基于轻型证书及ECDH协议的适合于低配网络的认证密钥协商方法，并提供了一个在WSNs中运行TinyOS的TelosB上实现该方法的认证密钥协商系统。

本发明提供的一种短期阶段会话密钥生成方法，利用基于hash的消息摘要函数HMAC作用于会话密钥和阶段号生成短期会话密钥k_AB，且前后阶段的阶段号位于一条哈希链上，由前一阶段的阶段号经hash运算可沿哈希链得到后一阶段的阶段号；

短期阶段会话密钥k_AB＝HMAC(V,K_AB)，

其中K_AB为密钥协商阶段协商出的会话密钥，若为非标量时取为其多个分量的联接；HMAC为基于hash的消息摘要函数，V为短期阶段性会话密钥的阶段号，取临时交换的随机值或按以下哈希链取值：

每使用一次，V就更新成下一版本，并记录版本号(即V的下标)；

当协商双方版本号不一致时，两方互发版本号，然后版本号小的利用hash链计算向大的靠拢；当版本号同步后仍不能同步到短期阶段会话密钥一致或版本号达到所能存储的最大整数时，协商双方先交换一个随机值r，然后重新按以下方式计算V₀及后续的V：

本发明提供的一种会话密钥协商确认方法，确认包为(以用户A为例)：

其中，表示消息认证码生成操作，k_AB为由会话密钥K_AB产生的短期阶段会话密钥，t_A表示一个随机的消息，ID_A、ID_B为A、B的身份信息，/>为小于q的正整数集{1,2,…,q-1}；

用户B在收到A的确认包后，取出收到的t_A，记为与ID_A、ID_B联接，利用k_BA生成：并将其与收到的/>比较，若相等，则认为A与之建立了相同的会话密钥，若不相等或在一定时间内未收到对方的该确认消息时可向对方发送询问，一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时，可当成攻击者的攻击而舍弃之前建立的会话密钥。

基于以上密钥确认方法，本发明首先提供了一种基于轻型证书及Diffie-Hellman协议的认证密钥协商方法，包括以下步骤：

步骤1：密钥预分发；

步骤1.1：根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

步骤1.2：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

步骤2：密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

步骤2.1：各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值的New1包New1:＝Nonce_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥

步骤2.2：用户A收到用户B的密钥协商请求包New1时，取出New1中的Nonce_B，用私钥对临时公钥与Nonce_B的联接串进行签名，最后连同其轻型证书Cert_A、临时公钥/>一起构成一个协商包New2，发送给请求的用户B；其中，/>表示用密钥d_A对内容的Hash值进行签名；

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥/>并存入用户会话密钥列表中；

步骤3：密钥确认；

步骤3.1：用前述的短期阶段会话密钥生成方法，由会话密钥K_AB生成短期阶段会话密钥k_AB；

步骤3.2：用前述的密钥确认方法，利用短期阶段会话密钥k_AB构建确认包，对步骤2中协商出的会话密钥进行确认。

本发明还提供了一种基于轻型证书及ECDH协议的认证密钥协商方法，采用ECC公钥原语，包括以下步骤：

步骤1：密钥预分发；

步骤1.1：根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

步骤1.2：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

步骤2：密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

步骤2.1：各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值、轻型证书Cert_i的New1包New1:＝Nonce_i||Cert_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥r_iP；

步骤2.2：用户A收到用户B的密钥协商请求包New1时，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后取出New1中的Nonce_B，用私钥对临时公钥r_AP与Nonce_B的联接串进行签名，最后连同其临时公钥r_AP一起构成一个协商包New2，发送给请求的用户B；其中，表示用密钥d_A对内容的Hash值进行签名；

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，则以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥K_AB:＝r_Ar_BP并存入用户会话密钥列表中；

若证书和签名两次校验有一次未通过，则当成传输错误或攻击而丢弃New2包；协商过程中，若收到了某个邻居的New1但一定时间后未收到New2，亦当成攻击包而丢弃。

步骤3：密钥确认；

步骤3.1：用前述的短期阶段会话密钥生成方法，由会话密钥K_AB生成短期阶段会话密钥k_AB；

步骤3.2：用前述的密钥确认方法，利用短期阶段会话密钥k_AB构建确认包，对步骤2中协商出的会话密钥进行确认。

本发明还提供了一种基于轻型证书及Diffie-Hellman协议的认证密钥协商系统，包括以下模块：

模块1，用于密钥预分发；

具体包括以下子模块：

模块1.1，用于根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

模块1.2，用于密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

模块2，用于密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

具体包括以下子模块：

模块2.1，用于各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值的New1包New1:＝Nonce_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥

模块2.2，用于用户A收到用户B的密钥协商请求包New1时，取出New1中的Nonce_B，用私钥对临时公钥与Nonce_B的联接串进行签名，最后连同其轻型证书Cert_A、临时公钥/>一起构成一个协商包New2，发送给请求的用户B；其中，/>表示用密钥d_A对内容的Hash值进行签名；

模块2.3，用于用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥/>并存入用户会话密钥列表中；

模块3，用于密钥确认；

具体包括以下子模块：

模块3.1，用前述的短期阶段会话密钥生成方法，由会话密钥K_AB生成短期阶段会话密钥k_AB；

模块3.2，用前述的密钥确认方法，利用短期阶段会话密钥k_AB构建确认包，对步骤2中协商出的会话密钥进行确认。

本发明还提供了一种基于轻型证书及ECDH协议的认证密钥协商系统，采用ECC公钥原语，包括以下模块：

模块1，用于密钥预分发；

具体包括以下子模块：

模块1.1，用于根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

模块1.2，用于密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

模块2，用于密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

具体包括以下子模块：

模块2.1，用于各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值、轻型证书Cert_i的New1包New1:＝Nonce_i||Cert_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥r_iP；

模块2.2，用于用户A收到用户B的密钥协商请求包New1时，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后取出New1中的Nonce_B，用私钥对临时公钥r_AP与Nonce_B的联接串进行签名，最后连同其临时公钥r_AP一起构成一个协商包New2，发送给请求的用户B；其中， 表示用密钥d_A对内容的Hash值进行签名；

模块2.3，用于用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，则以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥K_AB:＝r_Ar_BP并存入用户会话密钥列表中；

模块3，用于密钥确认；

模块3.1，用前述的短期阶段会话密钥生成方法，由会话密钥K_AB生成短期阶段会话密钥k_AB；

模块3.2，用前述的密钥确认方法，利用短期阶段会话密钥k_AB构建确认包，对步骤2中协商出的会话密钥进行确认。

本发明利用轻型证书及数字签名将认证的密钥协商过程分离成公钥认证和密钥协商数据认证两部分实现，使得每部分认证包不超过现有相关标准的规定，从而利于协议在实际的工业标准下可实施。同时在所提出的密钥协商方法中使用挑战-响应机制来抵抗重放攻击，使用队列缓冲机制来提高可靠性及解决公钥机制的长耗时问题，使用重传机制来提高安全连接建立的比例，使用无效包清理机制来防止缓冲区填充攻击。设计中也尽可能减少发送的包数及每包数据量，且巧妙地利用Diffie-Hellman协议或ECDH协议及数字签名搭配在保证安全的情况下使计算量达到最小，从而使本发明提供的方法具有高安全性、可靠性以及开销合理等特征。在安全性上，只要某方A私钥泄漏时攻击者未利用其进行假冒A及伪造A发出的包进行攻击，且双方临时私钥未泄漏，用本发明所提出的方法建立的会话密钥就是安全的。

附图说明

图1是本发明所公布认证密钥协商方法的总体流程图；

图2是本发明基于轻型证书及Diffie-Hellman协议的认证密钥协商方法中步骤2的详细流程图；

图3是本发明基于轻型证书及ECDH协议的认证密钥协商方法中步骤2的详细流程图；

图4是本发明所公布认证密钥协商方法中步骤3密钥确认的详细流程图；

图5是本发明基于轻型证书及ECDH协议的认证密钥协商方法的实施例中步骤1在TinyOS中的实施结构图；

图6是本发明基于轻型证书及ECDH协议的认证密钥协商方法的实施例中步骤2在TinyOS中的实施结构图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

首先对本实施例中涉及的专业术语定义如下：

用户：合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者，可能是一个进程，一台计算机，一个移动端或一个传感器节点等；

KGC：Key Generation Center，密钥生成中心，负责生成系统公共参数、主公/私钥对、每个用户的部分公/私钥对，为各用户分发公共参数及部分公/私钥对；

ECC：Elliptic Curve Cryptography，椭圆曲线密码学，一种构建椭圆曲线加密技术的理论；

ECDH：Elliptic Curve Diffie-Hellman，椭圆曲线Diffie-Hellman方案，一个基于ECC原语的Diffie-Hellman密钥协商方案；

ECDSA：Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名算法，一个基于ECC原语的签名/验签方案；

(·)_K：用密钥K对内容进行加密；

{·}_K：用密钥K对内容的Hash值进行签名；

λ：系统安全参数，它由使用本发明的应用者根据安全需求选取，建议至少不小于160；

p,q：两个大素数，由KGC选取，满足p≥2^λ-1；

F_p：阶(元素个数)为p的有限域；

G：q阶加法循环群，由KGC选取椭圆曲线E后基于E/F_p构建，并得生成元P；

小于q的正整数集{1,2,…,q-1}；

密码学哈希函数；

mod：模余运算；

∈_R：属于且为随机选择；

标量乘：数乘椭圆曲线上一点的运算；

点分量：椭圆曲线上一点的x或y分量；

Hash：密码学哈希函数操作，如SHA-2系列函数等；

MAC：消息认证码生成操作；

Nonce_i：某个传感器节点i生成的随机临时值(长度一般取为λ)，用来保持新鲜性而抵抗重放攻击；

Cert_i：某个传感器节点i的公钥证书。

以下通过两个实施例对本发明进行进一步的阐述。

实施例一：本实施例是一种基于轻型证书及Diffie-Hellman协议的认证密钥协商方法基于传统网络的实现，使用了数字签名算法进行数字签名和认证操作，并使用认证的Diffie-Hellman进行密钥协商。

本实施例主体流程如图1所示，具体包括以下步骤：

步骤1：密钥预分发；

步骤1.1：根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

步骤1.2：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

本实施例中，轻型证书定义为其中，ID_i表示用户i的身份，表示用密钥d_s对内容的Hash值进行签名。

步骤2：密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

如图2所示，本步骤的具体实现包括以下子步骤：

步骤2.1：各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值的New1包New1:＝Nonce_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥

步骤2.2：用户A收到用户B的密钥协商请求包New1时，取出New1中的Nonce_B，用私钥对临时公钥与Nonce_B的联接串进行签名，最后连同其轻型证书Cert_A、临时公钥/>一起构成一个协商包New2，发送给请求的用户B；其中，/>表示用密钥d_A对内容的Hash值进行签名；

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥/>并存入用户会话密钥列表中；

本实施例中，若证书和签名两次校验有一次未通过，则当成传输错误或攻击而丢弃New2包；协商过程中，若收到了某个邻居的New1但一定时间后未收到New2，亦当成攻击包而丢弃。

步骤3：密钥确认；

如图4所示，本步骤的具体实现包括以下子步骤：

步骤3.1：由会话密钥K_AB生成短期阶段会话密钥k_AB＝HMAC(V,K_AB)；其中，HMAC为基于hash的消息摘要函数，V为短期阶段性会话密钥的阶段号；K_AB若为非标量时取为其多个分量的联接；

本实施例中，V取临时交换的随机值或按以下哈希链取值：

每使用一次，V就更新成下一版本，并记录版本号，即V的下标。

本实施例中，当协商双方不一致时，两方同发版本号，然后版本号小的利用hash链计算向大的靠拢；当版本号同步后仍不能同步到短期阶段会话密钥一致或版本号达到所能存储的最大整数时，协商双方先交换一个随机值r，然后重新按以下方式计算V₀及后续的V：

步骤3.2：利用短期阶段会话密钥k_AB构建确认包进行确认；

本实施例中，确认包其中，t_A表示一个随机的消息，/>为小于q的正整数集{1,2,…,q-1}；/>表示消息认证码生成操作；

用户B在收到A的确认包后，取出收到的t_A，记为与ID_A、ID_B联接，利用k_BA生成：并将其与收到的/>比较，若相等，则认为A与之建立了相同的会话密钥，若不相等或在一定时间内未收到对方的该确认消息时可向对方发送询问，一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时，可当成攻击者的攻击而舍弃之前建立的会话密钥。

实施例二：本实施例是一种基于轻型证书及ECDH协议的认证密钥协商方法基于无线传感器网络的实现，使用了ECDSA算法进行数字签名和认证操作，并使用认证的ECDH进行密钥协商。

本实施例主体流程如图1所示，具体包括以下步骤：

步骤1：密钥预分发；

步骤1.1：根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

本实施例中，假设应用场景安全需求为80位级，若本实施例选择所使用的公钥原语为ECC，则可选择安全参数λ＝160。

取曲线为E：y²＝x³+ax+b(a,b为常数，4a³+27b²≠0)，选择一个λ比特的大素数p，基于E/F_p构建一个阶为q(q也为足够大的λ比特素数)的循环阿贝尔群G，从该循环群可确定一个生成元P。

选取合适的哈希函数：因本实施例中哈希函数仅用于签名时利用其压缩性生成消息摘要，故可选择安全性适中的Hash函数如SHA-1等。

构建系统公开参数集为：并选取使用的ECC公钥原语为ECDH(密钥协商)、ECDSA(签名/验签)。

步骤1.2：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，其中Q_s＝d_sP(为描述简便，mod q和mod p运算都省略未标出，凡点分量间运算都需mod p，而点前系数间运算都需modq)；随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，其中，/>Q_i＝d_iP，同时为用户生成轻型证书；本实施例的轻型证书定义为：/>可选压缩模式/>其中，ID_i表示用户i的身份，/>表示用密钥d_s对内容的Hash值进行签名。当使用压缩模式时，Q_i[x]除了存储Q_i点的x坐标外，还要存储一个标志位，因压缩模式在恢复点时需要大量计算，对于传感器网络，优选非压缩模式。

然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数等等随同应用程序一并装入到节点中，一并分发给用户。

步骤2：密钥协商；

本实施例的密钥协商实施过程集成了抗重放的挑战-响应机制，具体分成以下三步来实现(如图3所示，假设身份隐含在包的头部中，否则各包数据中应携带上ID)；

步骤2.1：在装载了步骤1中所述安全资料的传感器节点部署以后，开启了如图3所示的密钥协商过程，首先参与协商的节点(如A)先创建New1包并进行广播：New1:＝Nonce_A||Cert_A。

这里具体实施时因包长度控制的需要，本实施例将原来方法中New2的证书提前到本消息中发出，不然会导致New2包的长度超出IEEE802.15.4等标准要求的最大传输单元限制。

步骤2.2：当A收到某个邻居节点(如B)的New1包时，若A还没有建立与B的共享密钥，则验证该包中证书Cert_B的正确性，验证通过后，节点A将B的公钥及相关信息存入邻居列表。此后A将会产生一个随机的临时私钥r_A，用其生成临时公钥R_A＝r_AP，并与收到的Nonce_B组合Hash，用A的私钥签名后与r_AP构建成一个New2包发给B，同时记录该临时私钥r_A进入邻居列表B所在记录中。其中New2包结构如下：

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，则以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥K_AB:＝r_Ar_BP并存入用户会话密钥列表中；

若签名验证未通过，则当成传输错误或攻击而丢弃New2包。同时，若收到了某个邻居的New1但一定时间后未收到New2，则当成重放攻击而丢弃，同样收到了New2而在一定时间内未收到New1时亦会将New2清除出队列。

步骤3：密钥确认；

如图4所示，本步骤的具体实现包括以下子步骤：

步骤3.1：由会话密钥K_AB生成短期阶段会话密钥k_AB＝HMAC(V,K_AB)；其中K_AB为密钥协商阶段协商出的会话密钥，若为非标量时取为其多个分量的联接，k_AB为短期阶段性会话密钥，HMAC为基于hash的消息摘要函数，V为短期阶段性会话密钥的阶段号。

本实施例中，V按以下哈希链取值：

每使用一次V更新成下一版本，并记录版本号(即V的下标)，而当协商双方不一致时，两方同发版本号，然后版本号小的利用hash链计算向大的靠拢；当版本号同步后仍不能同步到短期阶段会话密钥一致或版本号达到所能存储的最大整数时，协商双方先交换一个随机值r，然后重新按以下方式计算V₀及后续的V：

步骤3.2：利用短期阶段会话密钥k_AB构建确认包进行确认。

每个用户利用前一步骤中的短期阶段会话密钥k与对方通过对称加/解密及Hash、MAC等操作进行确认(也可以在下次数据传输时进行携带确认)，确认过程如图4所示。

本实施例中，以用户A、B为例，确认包为 其中，t_A表示一个随机的消息，/>为小于q的正整数集{1,2,…,q-1}；/>表示消息认证码生成操作；

用户B在收到A的确认包后，取出指收到的t_A，记为与ID_A、ID_B联接，利用k_BA生成：/>并将其与收到的/>比较，若相等，则认为A与之建立了相同的会话密钥，若不相等或在一定时间内未收到对方的该确认消息时可向对方发送询问，一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时，可当成攻击者的攻击而舍弃之前建立的会话密钥。

本发明提供的基于轻型证书及ECDH协议的认证密钥协商方法已有实施例基于TinyOS2.1.2平台使用TinyECC进行了实现，并在TelosB上测得一轮认证的密钥协商建立过程需要耗时约52.75秒，而为提高可靠性把重复协商参数设置为1最为划算。其阶段一、阶段二的实现主体结构如图5、图6所示，其中的NNM、ECCC、ECDSA等均为TinyECC2.0中提供的模块，而tinyPKG、testTinyADH及其中的New1、New2等子模块按以上方法设计，具体流程和以上实施过程相似，在此不再赘述。

现有基于证书认证的方案中，与本发明比较相近的贡献是J.Miˇsi′c的工作“J.Miˇsi′c,Traffic and energy consumption of an IEEE 802.15.4network in thepresence of authenticated,ECC Diffie-Hellman ephemeral key exchange,ComputerNetworks,vol.52,no.11,pp.2227–2236”。但她给出的协议中没有正确使用挑战响应机制而导致挑战响应机制没有产生应有的安全效果，而且协议中后四个包的表述也不十分完善准确，所需要的通信量也较大，每个用户需要9个包(不计确认包也需要7个)。使用本发明公布的方法后，协商包由7个降为了4个，完善了挑战响应机制和协商包，从而真正起到了抗重放攻击的效果，配备了短期会话密钥生成机制和确认机制，提高了可靠性和实用性。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (7)

1.一种短期阶段会话密钥生成方法，其特征在于：利用基于hash的消息摘要函数HMAC作用于会话密钥和阶段号生成短期会话密钥k_AB，且前后阶段的阶段号位于一条哈希链上，由前一阶段的阶段号经hash运算可沿哈希链得到后一阶段的阶段号；

短期阶段会话密钥k_AB＝HMAC(V,K_AB)；其中K_AB为密钥协商阶段协商出的会话密钥，若为非标量时取为其多个分量的联接；HMAC为基于hash的消息摘要函数，V为短期阶段性会话密钥的阶段号，取临时交换的随机值或按以下哈希链取值：

每使用一次，V就更新成下一版本，并记录版本号，即V的下标；

当协商双方版本号不一致时，两方互发版本号，然后版本号小的利用hash链计算向大的靠拢；当版本号同步后仍不能同步到短期阶段会话密钥一致或版本号达到所能存储的最大整数时，协商双方先交换一个随机值r，然后重新按以下方式计算V₀及后续的V：

2.一种会话密钥协商确认方法，其特征在于：当从用户A发出确认包时，确认包为：

其中，表示消息认证码生成操作，k_AB为由会话密钥K_AB产生的短期阶段会话密钥，t_A表示一个随机的消息，ID_A、ID_B为A、B的身份信息，/>为小于q的正整数集{1,2,…,q-1}；∈_R：属于且为随机选择；用户B在收到A的确认包后，取出收到的t_A，记为/>与ID_A、ID_B联接，利用k_BA生成：/>并将其与收到的/>比较，若相等，则认为A与之建立了相同的会话密钥，若不相等或在一定时间内未收到对方的该确认消息时可向对方发送询问，一定次数和一定时间后仍未能确认对方建立了与自己一样的共享密钥时，可当成攻击者的攻击而舍弃之前建立的会话密钥。

3.一种基于轻型证书及Diffie-Hellman协议的认证密钥协商方法，其特征在于，包括以下步骤：

步骤1：密钥预分发；

包括：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

所述轻型证书定义为其中，ID_i表示用户i的身份，/>表示用密钥d_s对内容的Hash值进行签名；

步骤2：密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

步骤2.1：各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值的New1包New1:＝Nonce_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥

步骤2.2：用户A收到用户B的密钥协商请求包New1时，取出New1中的Nonce_B，用私钥对临时公钥与Nonce_B的联接串进行签名，最后连同其轻型证书Cert_A、临时公钥/>一起构成一个协商包New2，发送给请求的用户B；其中，/> 表示用密钥d_A对内容的Hash值进行签名；

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥并存入用户会话密钥列表中；

步骤3：密钥确认；

依照权利要求1中方法生成短期阶段会话密钥；依照权利要求2中方法进行会话密钥协商确认。

4.根据权利要求3所述的基于轻型证书及Diffie-Hellman协议的认证密钥协商方法，其特征在于：步骤2中，若证书和签名两次校验有一次未通过，则当成传输错误或攻击而丢弃New2包；协商过程中，若收到了某个邻居的New1但一定时间后未收到New2，亦当成传输错误或攻击包而丢弃。

5.一种基于轻型证书及ECDH协议的认证密钥协商方法，其特征在于：采用ECC公钥原语，包括以下步骤：

步骤1：密钥预分发；

包括：密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

所述轻型证书定义为其中，ID_i表示用户i的身份，/>表示用密钥d_s对内容的Hash值进行签名；

步骤2：密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

步骤2.1：各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值、轻型证书Cert_i的New1包New1:＝Nonce_i||Cert_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥r_iP；

步骤2.2：用户A收到用户B的密钥协商请求包New1时，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后取出New1中的Nonce_B，用私钥对临时公钥r_AP与Nonce_B的联接串进行签名，最后连同其临时公钥r_AP一起构成一个协商包New2，发送给请求的用户B；其中， 表示用密钥d_A对内容的Hash值进行签名；

步骤2.3：用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，则以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥K_AB:＝r_Ar_BP并存入用户会话密钥列表中；

步骤3：密钥确认；

依照权利要求1中方法生成短期阶段会话密钥；依照权利要求2中方法进行会话密钥协商确认。

6.一种基于轻型证书及Diffie-Hellman协议的认证密钥协商系统，其特征在于，包括以下模块：

模块1，用于密钥预分发；

具体包括以下子模块：

模块1.1，用于根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

模块1.2，用于密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

所述轻型证书定义为其中，ID_i表示用户i的身份，/>表示用密钥d_s对内容的Hash值进行签名；

模块2，用于密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

具体包括以下子模块：

模块2.1，用于各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值的New1包New1:＝Nonce_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥

模块2.2，用于用户A收到用户B的密钥协商请求包New1时，取出New1中的Nonce_B，用私钥对临时公钥与Nonce_B的联接串进行签名，最后连同其轻型证书Cert_A、临时公钥/>一起构成一个协商包New2，发送给请求的用户B；其中，/> 表示用密钥d_A对内容的Hash值进行签名；

模块2.3，用于用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥/>并存入用户会话密钥列表中；

模块3，用于密钥确认；

此模块实现对模块2中协商出的会话密钥进行确认，首先依照权利要求1中方法生成短期阶段会话密钥，然后依照权利要求2中方法进行会话密钥协商确认。

7.一种基于轻型证书及ECDH协议的认证密钥协商系统，其特征在于：采用ECC公钥原语，包括以下模块：

模块1，用于密钥预分发；

具体包括以下子模块：

模块1.1，用于根据安全需求选择安全参数，随后根据安全参数选择所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数；

模块1.2，用于密钥生成中心KGC生成私/公钥对(d_s,Q_s)，随后由密钥生成中心KGC为每个用户生成私/公密钥对(d_i,Q_i)或用户生成私/公密钥对(d_i,Q_i)后提交公钥给密钥生成中心KGC，同时为用户生成轻型证书；然后密钥生成中心KGC将密钥生成中心KGC的公钥Q_s、用户的私/公密钥对(d_i,Q_i)、轻型证书、所使用的公钥原语、Hash函数原语、对称密码算法原语以及与这些原语相关的参数一并分发给用户；其中，用户指合法的会话实体，网络中进行一次会话的参与主体，或说一次通信的消息发送/接收者；

所述轻型证书定义为其中，ID_i表示用户i的身份，/>表示用密钥d_s对内容的Hash值进行签名；

模块2，用于密钥协商，其中假设身份隐含在包的头部中，否则各包数据中应携带上ID；

具体包括以下子模块：

模块2.1，用于各用户i生成随机临时值Nonce_i并向周边要协商会话密钥的用户广播含有Nonce_i值、轻型证书Cert_i的New1包New1:＝Nonce_i||Cert_i，与此同时生成随机临时私钥r_i，并生成对应的临时公钥r_iP；

模块2.2，用于用户A收到用户B的密钥协商请求包New1时，若A还没有建立与B的共享密钥，先用密钥生成中心KGC的公钥对轻型证书Cert_B进行校验，确认轻型证书中的公钥合法且属于New1协商包的发送用户时，用户A将用户B的公钥及相关信息存入认证列表，然后取出New1中的Nonce_B，用私钥对临时公钥r_AP与Nonce_B的联接串进行签名，最后连同其临时公钥r_AP一起构成一个协商包New2，发送给请求的用户B；其中， 表示用密钥d_A对内容的Hash值进行签名；

模块2.3，用于用户A收到用户B的New2包后，若A还没有建立与B的共享密钥，则以用户B的公钥对签名进行校验，确认正确后用自己的临时私钥和对方的临时公钥构建会话密钥K_AB:＝r_Ar_BP并存入用户会话密钥列表中；

模块3，用于密钥确认；

此模块实现对模块2中协商出的会话密钥进行确认，首先依照权利要求1中方法生成短期阶段会话密钥，然后依照权利要求2中方法进行会话密钥协商确认。