CN115665733A - 一种多属性社区无线网络安全的监管方法 - Google Patents

Abstract

本发明公开了一种多属性社区无线网络安全的监管方法，通过搭建“节点‑簇头‑中心”的分组密钥反馈调节方法，在确保密钥分组准确性的基础上，尽可能提高无线传感器网络的安全管理水平。本发明对安防节点的加密认证方法进行分层设计，基于安防节点身份识别码的第一加密密钥与第二加密密钥均具有实时变化性，基站根据安防节点的属性发送识别码，在安防节点认证不成功的情况下，通过侦测信号的二次认证，簇头节点可以判断安防节点是否受到攻击、失效的具体情况。在安防节点受到攻击的情况下，基站通过的有效节点集排除受攻击的安防节点。

Description

一种多属性社区无线网络安全的监管方法

技术领域

本发明涉及无线网络技术，尤其涉及一种多属性社区无线网络安全的监管方法。

背景技术

利用密钥提高无线传感器网络的安全性是目前常见的一类认证识别安全技术，例如文献《基于分簇的无线传感器网络密钥安全感知管理方案研究》（李明.武汉理工大学.2011）中就阐述了利用分组分配安全密钥的方式搭建多密钥的网络安全管理方法。又如CN103813317A中公布的分簇密钥管理方法中，搭建了“节点-簇头”的双向密钥认证机制，提高了无线传感器网络的安全性。现有技术中，存在多组网络并行的情况。例如在社区安防网络中，包含门禁传感、烟雾传感、温度传感等多组无线终端。不同工作终端的工作参数不同，但是可以连接至相同的基站。双向密钥认证机制无法发现有效节点的工作参数的变化。因此，现有技术希望搭建“节点-簇头-中心”的分组密钥的反馈调节技术，提高密钥分组的准确性，加强无线传感器网络的安全管理水平。

发明内容

针对背景技术中描述的问题，本发明提出了一种多属性社区无线网络安全的监管方法，通过对安防节点进行分组成簇，根据信道类别采用两种加密方式，可以快速删除失效安防节点的通信权限。进一步的，本发明还将一种将属性识别与密钥认证相结合，识别安防节点工作参数的变化，提高无线监测网络数据的准确性。

本申请的发明目的可通过以下步骤实现：

一种多属性社区无线网络安全的监管方法，包括以下步骤：

步骤1：在目标社区布置多个安防节点，安防节点具有身份识别码，基站向安防节点发放基于身份识别码的第一加密密钥和第二解密密钥；

步骤2：基站根据安防节点的工作参数生成至少两种属性识别码，并向安防节点发放属性识别码以及基于属性识别码的第二加密密钥；

步骤3：同一属性识别码的多个安防节点自组网，生成至少一个的簇链路，簇链路的多个安防节点推举一安防节点为该簇链路的簇头节点，任意安防节点经簇头节点与基站通信；

步骤4：基站生成基于簇链路的有效节点集并发布至该簇链路的任意安防节点；

步骤5：安防节点i根据第一加密密钥加密一包含安防数据的第一明文获得第一密文，再根据第二加密密钥、有效节点集加密第一密文和一动态识别码获得第二密文；

步骤6：安防节点i基于簇链路将第二密文发送至安防节点j或簇头节点，安防节点j或簇头节点根据第二解密密钥解密所述第二密文获得第一密文和动态识别码，并将动态识别码反馈至发送该第二密文的安防节点；

步骤7：若安防节点i收到的动态识别码与发送的动态识别码匹配，进入步骤8，否则基于禁用安防节点j的簇链路发送第三密文，第三密文由包含安防节点j身份识别码的第二明文生成，进入步骤9；

步骤8：基站经簇链路接收簇头节点发送的第二密文，依次经第二解密密钥和第一解密密钥获得第一明文的安防数据，返回至步骤5；

步骤9：基站根据第二明文向安防节点j发送基于第一加密密钥的侦测信号，若安防节点j应答，则进入步骤10，否则进入步骤11；

步骤10：基站校验安防节点j的工作参数，返回至步骤3；

步骤11：基站向簇头节点发送补包请求表，基站更新有效节点集并将该更新后的有效节点集发送至该簇链路排除安防节点j，返回至步骤5。

在本发明中，第一加密密钥和第一解密密钥为基于身份识别码的一密钥对，基站保留第一解密密钥并将第一加密密钥发送至对应的安防节点，基站通过该第一加密密钥识别安防节点。

在本发明中，基站具有密钥池，基站在该密钥池中生成第二加密密钥，第二加密密钥根据有效节点集加密第二密文，有效节点集的任意安防节点对应的第二解密密钥将第二密文解密为第一密文和随机码。

在本发明中，第二加密密钥采用属性重加密算法，所述属性重加密算法以第二密文与终端阶段的主体属性、客体属性共同构成，其中，安防节点将工作模式、状态、识别标准作为主体属性，将工作环境、动作行为作为客体属性，安防节点的主体属性与客体属性共同构成属性识别码，第二加密密钥为属性密钥嵌入至第二密文所构成的重加密算法。

在本发明中，工作参数为安防节点的工作周期，任意第二加密密钥映射至唯一属性识别码。

在本发明中，步骤9中，基站删除有效节点集中安防节点j的身份识别码。

在本发明中，基站具有一节点身份认证表，所述节点身份认证表存储有安防节点的身份识别码、属性识别码与MAC地址。

在本发明中，簇头节点为安防节点中推举产生，计算安防节点两两之间的欧氏距离集合，以安防节点行程的聚类函数为目标通过迭代推举出簇头节点。

在本发明中，所述补包请求表簇链路下安防节点的通信过程信息、目标安防节点的识别码、签名与状态，第一补包请求表与第二补包请求表通过CRC32算法生成多个字节组成的校验码，根据校验码的末尾检验字段识别当前链路下的有效节点，第一补包请求表、第二补包请求表均包含有需要更新的目标信息。

在本发明中，所述密钥池为各个安防节点的第一加密密钥组成，为了减少第一加密密钥在密钥池组成中的并集情况，密钥池还包括有第二加密密钥作为组成元素，第二加密密钥为第一加密密钥下簇头节点第二密文与安防节点一一映射的集合。

实施本发明的多属性社区无线网络安全的监管方法，具有以下有益效果：对安防节点进行分簇处理形成多密钥管理，有效提高了无线传感器网络的安全性；搭建“节点-簇头-基站”的分组密钥的实时反馈调节机制可以避免簇头节点与基站之间密钥的泄露问题，分层设计的第一加密密钥与第二加密密钥均具有实时变化性，在安防节点认证不成功的情况下，簇头节点可以判断安防节点是否受到攻击，从而作出适应性的调整，整体的网络安全性得到了大大提高，并且相比传统的多层协议、多变密钥的管理方法减少了数据冗余，方法更加便捷，簇头节点工作能耗也有所降低。

附图说明

图1为本发明的多属性社区无线网络安全的监管方法的流程图；

图2为本发明安防节点之间安防数据传输的加密与解密流程示意图；

图3为本发明属性识别码通过随机数与身份识别码共同构成二重加密值的方法示意图；

图4为本发明的第一加密密钥与第二加密密钥的设立与应用过程示意图；

图5为本发明密钥池搭建方式的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

无线传感器网络本身的通信拓扑并不确定，作为多跳自组织的网络架构，通信链路易受到外部攻击、泛洪等机制的影响，采取有效的访问控制管理措施是无线传感器网络组网设计阶段需要重点考虑的问题。通过密钥加强无线传感器网络的信息安全管理是解决这一公共问题最为直接有效的办法，但是无线传感器网络通信链路缺乏实体，防护措施薄弱导致无线传感器网络所能应用的密钥信息安全方式过于单一。本实施例为多层多簇的分组密钥管理办法，应用于无线传感器网络组网环境下，通过设立双重密钥的认证方式，解决传统分簇密钥认证方法中的弊端。参照图1与图2，本发明的多属性社区无线网络安全的监管方法具体包括以下几个步骤。

步骤1：在目标社区布置多个安防节点，安防节点具有身份识别码，基站向安防节点发放基于身份识别码的第一加密密钥和第二解密密钥。身份识别码为基站对安防节点编号的数字签名，数字签名通过随机数所生成的哈希函数作为认证信息标准，安防节点保留基站发送的数字签名，在通信过程中以身份识别码的形式进行传输。所述节点身份识别码存储有安防节点的路由信息与MAC地址，另外，节点身份认证表还包含有第一加密密钥与第二解密密钥的认证信息。

在本实施例中，安防节点i任取随机数x，0≤x≤q₂-1，按照所取随机数计算

，基站在接收到y信息后，按照安防节点i的节点编码进行签名，得到z=sig (ID_A,y)，其中，ID_A 为步骤1中所述各个安防节点的身份识别码，p，q₂均为大素数，p≥2⁵¹²， q₂丨（p-1），q₂≥2¹⁶⁰签名后的信息由基站发送到安防节点i存储，安防节点i通过y与z共同作 为身份识别码。

步骤2：基站根据安防节点的工作参数生成至少两种属性识别码，并向安防节点发放属性识别码以及基于属性识别码的第二加密密钥。属性识别码表征不同的工作参数，工作参数例如是安防节点的工作周期、安防节点的工作区域等等，属性识别码发生变化表示工作周期或工作区域发生变化。

在本发明中，属性识别码的生成是基于密钥可信任且被授权的基础上进行的，在选定参数k作为安全参数的条件下，设定乘法循环群M₁与M₂，M₁与M₂属于秩为大素数p的乘法循环群。根据M₁与M₂定义对应的散列函数为属性识别码的公共参数与主密钥组成元素。

在本实施例中，参照图3，属性识别码由公共参数、主密钥组成元素以及对象属性 共同构成。任取一随机数ε∈_RZ_P*，得到初始化的属性识别码E₁=m₁ε,m₂ε,…,m_nε，m_nε为第n个 乘法循环群M_n的生成元序列，加入公共参数中任取的随机数x，y，得到的属性识别码为乘法 循环群生成元序列的二重加密值

。为安防节点赋予一唯一的标签，标签与 身份识别码有关，结合安防节点的特点，为乘法循环群Mt设定一个多项式，

，其中，c表示乘法循环群Mt中包含的属性数 量，p为大素数。

各个安防节点所收到的第二加密密钥为簇头节点在有限域内任取整数所构成随机多项式的分量。安防节点与簇头节点通信时，通过安防节点在网络内广播密钥分量的获取需求，相邻安防节点通过获取该安防节点的第二加密密钥，判断当前安防节点是否处于正常状态，若节点请求合法，则为节点发送分配的簇密钥分量，否则会无视节点请求。进一步的，当第一加密密钥数量达到或者超过门限值的情况下，簇头节点会对安防节点信息进行解密，删除簇内其他节点发送的密钥分量。

步骤3：同一属性识别码的多个安防节点自组网，生成至少一个的簇链路，簇链路 的多个安防节点推举一安防节点为该簇链路的簇头节点，任意安防节点经簇链路与基站通 信。初始任取若干个安防节点为为形心，计算节点两两之间的欧氏距离集合，通过多次计算 判断以若干个安防节点行程的聚类目标函数，取相应的最小值，簇头节点与基站和安防节 点之间直接通信，基站中包含有密钥池，该密钥池中包含整个无线传感器网络各个簇链路 的第一加密密钥。所生成的密钥池大小为

，其中，n_d与

门限值，且满足

，q₁为大素数。

步骤4：基站通信生成基于簇链路的有效节点集并发布至该簇链路的任意安防节点。在本实施例中，假设某个簇中编码簇链路为m的安防节点设定门限，在门限范围内任取大大素数q₃，在有限域GF(q)中随机选取u个整数，第二加密密钥的组成为大大素数q₃与 有限域中任取u个整数构成的随机多项式g(x)，簇内每个单独安防节点所分配的密钥分量K_f=g(ID_A)modq。

在本实施例中，基站中包含有密钥池。密钥池为各个安防节点的第二加密密钥与簇头节点通信链路的第一加密密钥组成，密钥池还包括有第一加密密钥作为组成元素。每一节点的第一加密密钥具有唯一性，不同簇头节点所包含的第一加密密钥具有唯一性与差异性。密钥池中的第二加密密钥P_i，P_i=PK_ni，i为安防节点的序号，n为该安防节点所述的簇头节点序号。另外，密钥池中包含有各个安防节点的第二加密密钥信息，第二加密密钥为第一加密密钥下簇头节点第二密文与安防节点一一映射的集合，密钥池中各个节点按照预分配密钥算法进行分组，第二加密密钥之间为级联关系，密钥池中各个密钥组的长度保持一致，以矩阵的形式进行存储，存储时需要按照节点的身份识别码进行分布。

步骤5：安防节点i根据第一加密密钥加密一包含安防数据的第一明文获得第一密文，再根据第二加密密钥、有效节点集加密第一密文和一动态识别码获得第二密文。在无线传感器网络中，加密过程通过数字输出端口实现，为了充分确保数据本身的完整性与机密性，本实施例优选的多重数据加密方式需要有效节点集、动态识别码、第二加密密钥共同组成，动态识别码为一与第二加密密钥共享加密方案的向量组。

步骤6：安防节点i基于簇链路将第二密文发送至安防节点j或簇头节点，安防节点j或簇头节点根据第二解密密钥解密所述第二密文获得第一密文和动态识别码，将动态识别码反馈至发送该第二密文的安防节点。

在本实施例中，假设安防节点i需要加密的安防数据为s，通过在第一加密密钥为 有限域GF(q)中任取n个非零元素集Q={h₁,h₂,…,h_n}，(h₁≠h₂≠…≠h_n)，在集合Q中任取t-1 个元素值构造多项式g(h)=s+h₁n+h₂n²+…+h_t-1n^t-1。安防节点k获取到安防节点i传输加密后 的安防数据时，在集合Q中任取t个元素值恢复消息s，

，其中，y_i为秘密s的子秘密，i=(1,2,…,t)，解密得 到s=g(0)。其中，动态识别码、有效节点集的加密根据安防节点i的身份识别码生成，为安防 节点i的客体属性。

步骤7：若安防节点i收到的动态识别码与发送的动态识别码不匹配，则基于禁用安防节点j的簇链路发送第三密文，否则进入步骤11。

当动态识别码匹配失败的情况下，说明安防节点j此时处于非正常状态，包括被俘、节点失效、不属于有效节点集中的配对组三种情况。通过发送第三密文对安防节点j的当前状态进一步判定。本实施例优选的第三密文为访问策略加密，根据安防节点j的身份识别码对第二明文进行加密，若安防节点j能够识别，则进一步发送侦测信号，若安防节点j应答侦测信号，则说明安防节点j处于正常工作状态，安防节点j与安防节点i不属于有效节点集中的配对组，此时进入步骤8；若安防节点j未应答侦测信号，则说明安防节点j处于非正常工作状态，安防节点j处于被俘、失效的状态，此时进入步骤9。

步骤8：基站校验安防节点j的工作参数，返回至步骤3。安防节点j应答基站通过第一加密密钥加密后的侦测信号，说明安防节点j身份合法，此时可以判断用户的权限信息。按照关键字信息对群组用户访问的具体策略进行索引添加，基站在有效节点集中插入安防节点j的文件地址与身份识别码，基站中保存安防节点j 身份识别码与文件地址的映射关联。在本实施例中，基站在有效节点集中安防节点j的文件地址与身份识别码插入到链表最后的位置。

步骤9：基站向簇头节点发送补包请求表，基站更新有效节点集并将该更新后的有效节点集发送至该簇链路删除安防节点j的安防节点，返回至步骤5。所述补包请求表包括簇链路下安防节点的通信过程信息、目标安防节点的身份识别码、签名与状态，补包请求表均包含有需要更新或删除目标安防节点的全部信息，这些信息在密钥池中有唯一的标识对应。在本实施例中，簇头节点会删除被俘安防节点k在簇内的分类，并发送补包请求表通知基站，基站接收到补包请求表后，通过随机方式更新第一加密密钥，并发送给各个簇头节点。进一步的，在有限域GF(q)中任取新的随机数，通过第一加密密钥加密的方式发送消息到簇头节点，簇头节点此时计算第二加密密钥在各个簇内的分配分量，执行新一轮的安全识别周期。

在本实施例中，簇头节点获取簇内各个终端设备的身份识别码与成员信息，将信息传输到基站，基站按照所获取的身份识别码与成员信息，在节点信息表中找到对应的节点的第二加密密钥信息，得到第一加密密钥如下：

其中，x代表安防节点的身份识别码信息，P₁为对应节点的第二加密密钥，X为密钥传输中所包含的信息内容，基站广播发送第一加密密钥到各个簇头节点。

步骤10：基站经簇链路接收簇头节点发送的第二密文，依次经第二解密密钥和第一解密密钥获得第一明文的安防数据，返回至步骤5。

在本实施例中，参照图4，基站随机设定第一加密密钥，并将第一加密密钥发送至簇头节点与安防节点，簇头节点生成以第二加密密钥发送至基站与安防节点，基站中生成包含第一加密密钥、第二加密密钥、安防节点身份识别码、哈希摘要形成节点身份认证表，密钥池中包含有各个簇头唯一链路的节点身份认证表。在安全识别与认证的过程中，安防节点发送身份识别码到簇头节点，簇头节点对安防节点身份识别码处理之后发送簇内ID到密钥池，基站与节点之间传输信息通过第一加密密钥、第二加密密钥进行加密处理，安防节点之间能够进行互相认证，验证第二加密密钥验证相邻安防节点的身份是否合法，在一个安全识别周期结束之后，密钥池更新第一加密密钥。

在本实施例中，以剩余能量、其他节点距离簇头节点欧氏距离、节点最大一跳可覆盖的范围三个维度作为标准选定簇头节点，簇头节点选取原则需满足CT=W₁*X₁+W₂*X₂+W₃*X₃，W₁+W₂+W₃=1，W_1,2,3＞0，其中X代表上述三个维度的评价结果，X₁，X₂，X₃分别对应在该选举算法下预选定节点的剩余能量、其他节点距离簇头节点的欧式距离、节点最大一跳可覆盖的范围，W为X对应的权重，CT∈[0,1]。

本实施例中，密钥池采用蜂窝节点的组成形式，参照图5，密钥池中V代表簇，U代表两个安防节点的通信密钥标识，U2,1代表V密钥池中编码为U₂与编码U₁的两个通信节点的通信密钥标识，其中包括该通信链路下的第一加密密钥与第二加密密钥，V2,1代表在该簇中安防节点U₂与安防节点U₁进行密钥认证。进一步的，密钥池生成密钥的过程中，内置服务器为多个簇组合分配若干个随机数，簇头节点在接收到随机数分配之后，建立二元不可逆函数，生成节点密钥对。

另外，当基站核对或者更新密钥池信息时，为了避免新旧密钥池产生重叠的情况，密钥池需要进行混合构造，密钥池中生成的密钥会参考原密钥值，新密钥为密钥池中随机选取的3个大素数q₃，通过哈希函数精简之后的值与原密钥按照混合随机扩展的方法生成新的密钥池。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改，等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种多属性社区无线网络安全的监管方法，其特征在于，包括以下步骤：

步骤1：在目标社区布置多个安防节点，安防节点具有身份识别码，基站向安防节点发放基于身份识别码的第一加密密钥和第二解密密钥；

步骤2：基站根据安防节点的工作参数生成至少两种属性识别码，并向安防节点发放属性识别码以及基于属性识别码的第二加密密钥；

步骤3：同一属性识别码的多个安防节点自组网，生成至少一个的簇链路，簇链路的多个安防节点推举一安防节点为该簇链路的簇头节点，任意安防节点经簇头节点与基站通信；

步骤4：基站生成基于簇链路的有效节点集并发布至该簇链路的任意安防节点；

步骤5：安防节点i根据第一加密密钥加密一包含安防数据的第一明文获得第一密文，再根据第二加密密钥、有效节点集加密第一密文和一动态识别码获得第二密文；

步骤6：安防节点i基于簇链路将第二密文发送至安防节点j或簇头节点，安防节点j或簇头节点根据第二解密密钥解密所述第二密文获得第一密文和动态识别码，并将动态识别码反馈至发送该第二密文的安防节点；

步骤7：若安防节点i收到的动态识别码与发送的动态识别码匹配，进入步骤8，否则基于禁用安防节点j的簇链路发送第三密文，第三密文由包含安防节点j身份识别码的第二明文生成，进入步骤9；

步骤8：基站经簇链路接收簇头节点发送的第二密文，依次经第二解密密钥和第一解密密钥获得第一明文的安防数据，返回至步骤5；

步骤9： 基站根据第二明文向安防节点j发送基于第一加密密钥的侦测信号，若安防节点j应答，则进入步骤10，否则进入步骤11；

步骤10：基站校验安防节点j的工作参数，返回至步骤3；

步骤11：基站向簇头节点发送补包请求表，基站更新有效节点集并将该更新后的有效节点集发送至该簇链路排除安防节点j，返回至步骤5。

2.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，第一加密密钥和第一解密密钥为基于身份识别码的一密钥对，基站保留第一解密密钥并将第一加密密钥发送至对应的安防节点，基站通过该第一加密密钥识别安防节点。

3.根据权利要求2所述的一种多属性社区无线网络安全的监管方法，其特征在于，基站具有密钥池，基站在该密钥池中生成第二加密密钥，第二加密密钥根据有效节点集加密第二密文，有效节点集的任意安防节点对应的第二解密密钥将第二密文解密为第一密文和随机码。

4.根据权利要求3所述的一种多属性社区无线网络安全的监管方法，其特征在于，第二加密密钥采用属性重加密算法，所述属性重加密算法以第二密文与终端阶段的主体属性、客体属性共同构成，其中，安防节点将工作模式、状态、识别标准作为主体属性，将工作环境、动作行为作为客体属性，安防节点的主体属性与客体属性共同构成属性识别码，第二加密密钥为属性密钥嵌入至第二密文所构成的重加密算法。

5.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，工作参数为安防节点的工作周期，任意第二加密密钥映射至唯一属性识别码。

6.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，步骤9中，基站删除有效节点集中安防节点j的身份识别码。

7.根据权利要求6所述的一种多属性社区无线网络安全的监管方法，其特征在于，基站具有一节点身份认证表，所述节点身份认证表存储有安防节点的身份识别码、属性识别码与MAC地址。

8.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，簇头节点为安防节点中推举产生，计算安防节点两两之间的欧氏距离集合，以安防节点行程的聚类函数为目标通过迭代推举出簇头节点。

9.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，所述补包请求表簇链路下安防节点的通信过程信息、目标安防节点的识别码、签名与状态，第一补包请求表与第二补包请求表通过CRC32算法生成多个字节组成的校验码，根据校验码的末尾检验字段识别当前链路下的有效节点，第一补包请求表、第二补包请求表均包含有需要更新的目标信息。

10.根据权利要求1所述的一种多属性社区无线网络安全的监管方法，其特征在于，所述密钥池为各个安防节点的第一加密密钥组成，为了减少第一加密密钥在密钥池组成中的并集情况，密钥池还包括有第二加密密钥作为组成元素，第二加密密钥为第一加密密钥下簇头节点第二密文与安防节点一一映射的集合。

Images