WIA-PA網絡的入網認證和密鑰更新機制研究

王 浩 楊 劍 劉 杰 王 平

(重慶郵電大學自動化學院網絡控制技術與智能儀器儀表教育部重點實驗室，重慶 400065)

0 引言

WIA-PA(wireless networks for industrial automationprocess automation)是基于 IEEE STD 802.15.4-2006 的標準，用于工業過程測量、監視與控制的無線網絡系統[1]。該規范是我國自主研發的、用于工業過程自動化的無線網絡規范，現已成為IEC國際標準。

WIA-PA網絡支持兩層網拓撲結構。第一層是網狀結構，由網關設備及路由設備構成;第二層是星型結構，由路由設備、現場設備和手持設備構成。用于系統管理的網絡管理者和安全管理者在實現時可位于網關設備或主控計算機。本文中，安全管理者由主控計算機擔任。同時，一種類型的物理設備可以擔任多個邏輯角色。在星型和網狀結合的兩層拓撲結構中，網關設備可以擔任網關、網絡管理者以及安全管理者的角色;路由設備可以擔任簇首的角色;現場設備和手持設備只能擔任簇成員的角色。

作為一個開放系統，WIA-PA存在潛在的安全風險[1]，必須采取一定的安全措施，以保證WIA-PA用戶的安全操作，保護系統內部的資源和維持正常的生產秩序。本文針對WIA-PA網絡的實際應用中的安全問題，分別提出了入網認證方案和密鑰更新方案。

1 單向散列鏈

單向散列鏈是一個散列值序列{x1，…，xj，…，xm}[4]，序列中各元素滿足：

散列函數(映射)F滿足以下屬性：①給定xj－1和G，很容易計算出xj;②若未給定G，而給定了xj－1，則很難計算出 xj，若給定了 G，未給定 xj－1，也很難計算 xj。

在該散列鏈里，如果要對一個給定的散列值xj進行認證，可以采用如下方法：①已知 xj－k，由式(1)對xj－k重復計算 k次后得到 x'j，將其與 xj進行比較;②已知xj+k，由式(1)對xj重復計算k次后將得到的x'j+k與xj+k進行比較。

在本方案里，稱G為生成因子，第一次計算時參數x0稱為種子，散列鏈的每一個元素xj稱為鏈密鑰。同時給出公共散列鏈的定義，對于節點u和節點v，若u擁有散列鏈Ci，同時v從Ci提取一個或多個鏈密鑰，則稱u和v共享一個公共散列鏈Ci。

2 入網認證

對于需要進行安全認證的網絡，所有節點都有與信任中心分別共享唯一加入密鑰(KJ)。該加入密鑰在部署網絡前通過手持設備等安全方式寫入節點設備[1]。WIA-PA網絡拓撲結構如圖1所示。

圖1 WIA-PA網絡拓撲結構Fig.1 Topology structure of WIA-PA network

2.1 單跳入網認證

對于單跳加入網絡的節點，如圖1中的節點A，當信任中心收到A的入網請求后，發起對節點A的認證請求，在收到節點A的認證響應后對A進行認證。節點A的認證響應包含安全信息，安全信息由式(2)采用F函數計算得到。單跳節點入網過程如圖2所示。

式中：Sinfo為計算得到的安全信息;Paddr為設備的唯一標志地址;Tdevicetpte為設備的類型，路由設備或現場設備;|為字符串連接符號。

圖2 單跳節點入網認證Fig.2 Authentication of one hop node

圖2中，通信報文用原語表示，Auth.resp和Join.resp報文由密鑰加密保護。

節點A首先發送入網請求Join.req，其中包含自己的唯一標志和設備類型，信任中心根據網絡屬性判斷是否對A認證，需要認證時保存A的標志和類型，發起認證請求Auth.req。A收到認證請求，根據式(2)計算安全信息Sinfo并響應信任中心Auth.resp。信任中心收到A的認證響應，查詢與A預共享的KJ，由式(2)計算安全信息并與Sinfo比較，如果不等，拒絕A加入網絡;否則，回復入網響應 Join.resp，置結果 Rresult為1，告知節點A入網成功。

2.2 多跳入網認證

對于多跳入網的節點，如圖1中節點B或節點C通過中間節點A加入網絡，其認證過程如圖3所示。

圖3 多跳節點入網認證Fig.3 Authentication of multi-hop node

節點B發送入網請求Join.req，中間節點A發起認證請求Auth.req。B利用與信任中心預共享的KJ，根據式(2)生成Sinfo，并由式(3)計算給信任中心的數據ET1，然后發送認證響應Auth.resp。

式中：KJB為B與信任中心共享的加密密鑰;E為加密算法，采用對稱加密，算法在此不作要求。

A收到B的認證響應報文不做處理，構造關于B的入網請求報文Join.req，包含B的標志Paddr_B和ET1，并發送給信任中心。

信任中心收到來自于A的報文后，首先判斷A是否為經過認證的在網節點，如不是，則丟棄該報文;如是，則解析報文，并根據Paddr_B查找與B共享的KJ，解密ET1獲得B的入網信息。采用同樣的方法認證B，如果認證成功，根據如下公式計算給A的密文ET2和給B的密文ET3，并構造報文Join.resp發送給節點A。

式中：IB_trust(IA_trust)為節點B(A)是否可信的標志，1表示可信，0表示不可信。

節點A在收到信任中心的入網響應報文后，首先解密ET2，根據IB_trust判斷B是否可信，不可信則不予處理，可信則根據Paddr_B將ET3轉發給B。

當節點B收到來自A的響應報文時，對ET3進行解密，并根據IA_trust判斷節點A是否可信，不可信則從新選擇路徑入網，可信則由Rresult判斷加入網絡是否成功。

當節點A與信任中心之間是多跳鏈路時，節點A已入網，即確保了該鏈路是安全鏈路，節點A只需通過此鏈路轉發數據即可，無需對鏈路中節點再次認證。

2.3 方案分析

本方案在網絡形成時確保了所有入網節點的合法性，保障了網絡的整體安全性。雖然節點的入網時間短暫，但由于節點和網絡所在區域環境惡劣，存在各種威脅的可能性，如非本網絡節點、惡意攻擊節點等，故假定所有入網節點都不可信，通過信任中心認證的節點才視為本網絡的合法節點。

對于單跳入網，由信任中心認證節點。因信任中心與節點間共享唯一安全的加入密鑰，通過認證則表明節點合法。

對于多跳認證，假如節點B是惡意節點，因A、B之間沒有共享材料，節點A不能夠認證B，所以將B的認證信息發送給信任中心，信任中心認證B失敗，即可告知節點A節點B不可信，且發送給A的報文由KJA加密保護;A得知B不可信則可拒絕與B通信。假設A是惡意節點，而B的安全認證信息由KJB加密，A在短時間內無法破解篡改，如果它把認證信息發送給信任中心，也會被信息中心發現其不可信，此時A便獲取了合法節點的唯一標志和設備類型，但并不足以構成危害或者試圖偽裝加入網絡。不管A是否轉發認證信息，節點B在規定時間內未收到信任中心的入網響應，可認為其為惡意節點，從而選擇其他路徑入網。假若節點A和B同為惡意節點，也會因無法偽造加入密鑰而被拒絕加入網絡。同時，該認證方案在單跳入網時由信任中心發起認證請求，多跳入網時由中間節點而不是由信任中心發起認證請求，減小了信任中心和中間節點的通信次數和網絡的通信開銷。節點入網跳數與網絡報文數的關系如圖4所示。

圖4 節點入網跳數與網絡通信報文數關系Fig.4 Relationship between the numbers of hops and network communication messages

由圖4可以看出，本方案和無需認證的入網相比只增加了兩次通信，即兩條報文，即第一跳的發起認證請求和認證響應，并且隨著跳數的增加，通信量并沒有顯著增加;當由信任中心對入網的節點發起認證時通信次數顯著遞增且遞增率大于本方案。對于大規模網絡的形成，網絡中將有大多數節點需多跳入網，本方案能夠有效降低通信消耗，減小整體網絡的組網時間。

3 安全的密鑰更新

節點入網后，由信任中心為入網成功的節點分發相應的密鑰并周期性地更新密鑰。一旦有節點受損或者網絡受到威脅，信任中心將立即剔除受損節點并更新密鑰，或者當節點檢測到密鑰暴露時主動發起密鑰更新服務。為確保節點通信中數據的安全，密鑰的分發和更新必須正確而且安全有效，即密鑰在傳輸中不被截取破解或經篡改后繼續發送、發送方合法。本節給出密鑰更新詳細方案，會話密鑰采用單向散列鏈模式，更新報文附帶校驗信息，從而保證數據包和密鑰本身的正確性和數據來源的合法性。

3.1 密鑰池

信任中心生成一系列單向散列鏈并構成密鑰池。所有散列鏈共用一個種子(seed)，對于散列鏈Ci，假設其生成因子為Gi，則該散列鏈的第j個鏈密鑰生成如式(6)所示。

式中：Fj(seed，Gi)=F[Fj－1(seed，Gi)，Gi](1≤j≤M)。

為了生成密鑰池，信任中心隨機生成一個種子，并選擇L(等于網絡節點個數)個不同的生成因子(這里我們選用與每個節點預共享的加入密鑰)，通過反復執行上述散列鏈生成過程，生成L個散列鏈，同時刪除種子。最終的密鑰池將由L個散列鏈組成，其中每個散列鏈包含M個鏈密鑰。密鑰池的組成如圖5所示。

圖5 密鑰池的組成Fig.5 Composition of the dongle pool

3.2 密鑰更新

對于入網成功的節點，信任中心分發密鑰給每個節點，與每個節點共享唯一的公共散列鏈，分發密鑰加密密鑰(key encryption key，KEK)時由加入密鑰保護，分發數據密鑰(data encryption key，KED)則由KEK保護。當網絡到達密鑰更新周期時，信任中心對網絡節點進行密鑰更新，節點的密鑰更新過程如圖6所示。

圖6 節點的密鑰更新過程Fig.6 The updating process of node dongle

為保證密鑰更新過程的安全及來源的合法性，信任中心一開始對節點分發密鑰，即選擇圖5中的對應密鑰鏈，將該密鑰鏈的最后一個鏈密鑰KM及其他信息D1(如密鑰類型、密鑰長度等)裝入報文P1(P1=KM|D1)，并生成該報文的校驗值MIC(P1)發送給節點。密鑰更新報文格式如圖7所示。節點先校驗報文的正確性，然后對報文進行解密，獲得會話密鑰KM;在隨后密鑰更新過程中，信任中心依次發送 KM－1、KM－2等。

圖7 密鑰更新報文格式Fig.7 The message format of dongle update

節點密鑰更新流程如圖8所示。

圖8 節點密鑰更新流程圖Fig.8 Flowchart of the dongle update

密鑰更新時，節點接收到第(i+1)次更新報文Pi+1時，首先校驗該報文是否正確，若不正確，直接回復更新密鑰失敗響應;否則，解密報文，獲得KM－i。采用加入密鑰并根據 K'M－i+1=F(KM+i，KJ)計算K'M－i+1，比較 K'M－i+1和已存儲的第 i次的密鑰 KM－i+1，如果相等，表明為合法的信任中心發送，未經過篡改，將已存儲的 KM－i+1替換為 KM－i，作為會話密鑰;如果不等，則表明受到攻擊，即報文來源不可信且KEK已暴露，此時，應向信任中心匯報。

3.3 安全性分析

在本方案中，密鑰更新過程在不增加通信開銷的情況下，只需節點進行一次散列函數運算，即可以實現數據報文的完整性、數據的機密性、數據本身的正確性和數據來源的合法性。本方案散列鏈的使用保證了所更新的密鑰的安全性和有效性，與文獻[5]相比，本方案增加了對數據源的認證。這是因為網絡中只有信任中心和節點共享唯一公共散列鏈，在確保數據新鮮性的情況下可以認定該數據為信任中心所發送。根據散列鏈的特性——單向性[9]，攻擊者即使破獲了當前使用的會話密鑰，在未知密鑰鏈種子和加入密鑰的情況下，不可能通過計算得到后續的會話密鑰，而且也不可能獲得散列鏈的種子。

由于節點的加入密鑰是在網絡部署前通過安全方式寫入節點設備的，可認為是安全的，所以可以確保隨后發送的密鑰加密密鑰是安全可靠的。由于密鑰加密密鑰也需進行周期性更新[1]，密鑰加密密鑰可以采用該方案中單向密鑰鏈的形式進行下發和更新。

3.4 效率分析

本文從以下四個方面分析該方案的效率。

①當網絡中有新節點加入時，首先對其進行認證，認證通過，信任中心隨機生成種子，并用該節點的加入密鑰生成密鑰鏈，然后進行密鑰的分發和更新。

②當有節點離開時，網絡管理者刪除與該節點共享的公共散列鏈，不影響網絡中的其他節點正常通信，但離開的節點為簇首節點時，如果啟用冗余簇首[7]，信任中心更新與冗余簇首共享的公共散列鏈即可。

③存儲量及通信開銷，該方案中節點只需存儲三種類型的密鑰，與文獻[2]和[5]比較，本方案沒有增加存儲量和通信開銷。

④生命周期，密鑰鏈長度M期望值的選取根據式(7)計算。

式中：Tlifetime為節點可以有效工作的存活時間;Tupdatecycle為密鑰更新周期;δmax為由網絡狀況預測節點遭遇攻擊(含通信故障)的最大次數。

采用式(7)可解決鏈密鑰在節點生命結束前用盡而無法進行后續密鑰更新的問題，鏈密鑰的長度M則滿足了網絡中節點的生命存活期。

3.5 丟包容忍性分析

當密鑰更新節點已知如下信息：節點收到報文Pi并獲得鏈密鑰KM－i+1，丟失(d－1)次密鑰更新報文，丟失期間KEK沒有改變，暫存了更新密鑰丟失期間所有不能解密的報文，收到正確的密鑰更新報文Pi+d，則節點將依次做出如下處理：①解密報文 Pi+d，得到KM－i－d+1;②對 KM－i－d+1進行 d 次散列運算，分別得到K'M－i+1，K'M－i，…，K'M－i+d+1;③判斷 K'M－i－d+1是否與KM－i+1相等，若不等，更新密鑰失敗，否則進入④;④可以確認所有更新密鑰正確，依次用②中的密鑰對相應期間的數據報文進行解密。

綜上所述，該方案在特定期間內可以容忍一部分密鑰更新報文的丟失，具有較好的容忍性，允許最大丟失個數由KEK的更新周期以及節點能夠暫存的最大報文數量決定。

4 結束語

本文針對WIA-PA網絡，提出了一種入網認證方案。在假定網絡形成時所有節點都不可信情況下，保證了所有入網節點的合法性，并使用單向散列函數，提出了一種安全的密鑰更新方案。這既保證了更新密鑰的安全性，也保證了密鑰來源的合法性，實現了消息認證和消息源的認證;同時，還具有較好的密鑰更新報文丟失容忍性。經過分析，充分說明了該方案實現了對密鑰的有效更新，大大增強了網絡的安全性。該方案在保證網絡安全通信的同時，對節點存儲空間和通信量要求較低，并具有較好的可擴展性和靈活性，適合WIA-PA網絡。

[1]工業無線網絡 WIA 規范[S].ICS 25.040，2008.

[2]韓瑞，劉楓.一種WIA-PA網絡的密鑰分配方案[J].計算機測量與控制，2010，18(1)：186 －188.

[3]梁煒，張曉玲.WIA-PA：用于過程自動化的工業無線網絡系統結構與通信規范[J].儀器儀表標準化與計量，2009(2)：30－36.

[4]蘇忠，林闖，任豐原.無線傳感器網絡中基于散列鏈的隨機密鑰預分發方案[J].計算機學報，2009，32(1)：30 －42.

[5]田豐，王交峰，王傳云，等.無線傳感器網絡隨機密鑰預分配改進方案[J].計算機應用，2008，28(6)：1388 －1391.

[6]王華，劉楓，楊頌華.工業無線網絡WIA-PA網絡研究與設計[J].自動化與儀表，2009，24(7)：1 －4.

[7]張丹，劉楓.WlA-PA 冗余簇首機制[J].計算機工程，2010，36(3)：257 －259.

[8]Perrig A，Szewczyk R，Tygar J D，et al.SPINS：security protocols for sensor networks[J].Wireless Networks，2002，8(5)：521 － 534.

[9]Bellare M，Canetti R，Krawczyk H.Keying hash functions for message authentication[J].Advances in Cryptodogy-Crypto’96，Lecture Notes in Computer Science，1996，1109：1 －15.

[10]Perrig A，Canetti R，Song D，et al.Efficient and secure source authentication for multicast[J].Network and Distributed System Security symposium，2001：35 －46.

[11]Perrig A，Canetti R，Tygar J D，et al.Efficient authentication and signing of multicast streams over lossy channels[C]∥Proceedings of the 2000 IEEE Symposium on Security and Privacy，Berkeley，CA，USA，2000：56－74.