一種基于身份的可追責傳感器網絡加密方案*

王大鵬

（遼寧師范大學 計算機與信息技術學院，遼寧 大連 116081）

無線傳感器網絡 WSN （Wireless Sensor Networks）是一種資源受限，無物理安全保障的無線網絡。它通常利用相互協作的多跳模式將數據傳到基站。由于節點成本低，部署靈活，具有廣泛的應用前景[1]，但也因為其部署位置的靈活性導致了許多安全威脅。基于身份加密IBE（Identity-Based Encryption）[2]作為一種 WSN安全解決方案，近些年受到了廣泛關注。IBE將身份、地址等字符串作為公鑰，具有不需要證書、公鑰存儲空間小等優點，比較符合需要輕量級加密算法的WSN。但安全的密鑰托管（key-escrow）問題一直制約著 IBE在 WSN等環境中的實際應用。因此，如何有效監督IBE的第三方密鑰托管成為WSN加密研究的目標之一[3-4]。

針對IBE的密鑰托管問題，H?IBL M等人[5]提出了一種無證書的基于身份認證密鑰管理協議，密鑰參數由私鑰產生中心 PKG（Private Key Generation）發放，兩個用戶利用得到的密鑰參數相互簽名認證協商會話密鑰。LAI J等人[6]基于不使用雙線性對的無證書公鑰加密，提出了一種自我產生證書的公鑰加密方案。很多簽名方案為了解決key-escrow問題也采用無證書協議。CHOI K Y等人[7]提出一種無證書短簽名方案，雖然利用多次哈希函數運算獲得了較高的安全性，但計算開銷較大。SHIM K[8]指出共謀攻擊下的無證書協議需要考慮的問題，并認為Zhang-Zhang的無證書集成簽名方案可能無法抵御包括PKG在內的共謀偽造簽名攻擊。除無證書的認證密鑰協商協議外，一些研究試圖通過基于證書的協議或其他方法解決key-escrow問題。LIBERT B等人[9]提出了一種具有跟蹤機制的可追責基于身份加密（A-IBE），不需要分開PKG的權力也不需要證書，節省了交互次數。

[9]的方案利用廣播加密達到抗選擇密文攻擊（CCA）安全，但在應用于追蹤計算時開銷較大，且簽名密鑰易泄露。本文結合參考文獻[9]和[10]的方案，利用k重復（k-repetition）模式下的抗選擇明文攻擊安全的A-IBE和密鑰安全的一次性強不可偽造簽名，構建了一種IND-ID-CCA安全的無線傳感器網絡A-IBE。實驗表明，本文方案以較小開銷發現并追究PKG的不誠實行為，提高了網絡的安全性。

1 背景知識

1.1 雙線性組

定義1 雙線性組產生器是一個概率多項式時間算法 PPT（Probabilistic Polynomial Time）G，輸入為 λ∈N，輸出元組（G，GT，e，p），滿足如下條件。

（1）p 是一個素數，其中 2λ-1＜p＜2λ。

（2）G 和 GT是 p階群。

（3）e：G×G→GT滿足如下屬性。

①e（ga，hb）=e（g，h）ab， 對 于 任 意 （g，h）∈G×G， 其中，a，b∈Z；

②e 是不可退化的，例如，存在 e（g，g）≠I，其中 g∈G，I為 GT中的單位元；

③存在一個有效的計算e的算法。

1.2 計算復雜性假設

Decision q-Augmented Bilinear Diffie-Hellman Exponent問題 （q-ABDHE）：對 于 隨 機 元 組 （g，h，α）∈G2×，給定 （g，gα，… ，g（αq），h，h（αq+2）），要 求 從 GT的 隨 機 元 素 中 區 分出 e（g，h）h（αq+1）。

如果 d=d*，A返回 1，否則返回 0。對手 A的優勢為：A（λ）=Pr[=1]。

如果對于任何以λ為輸入的PPT算法A的優勢是可忽略的，那么對于G，q-ABDHE問題假設成立。

2 方案描述

為描述方便，本文以層簇式網絡[12]中的簇頭為PKG與簇內節點進行密鑰協商為例。下面給出本文方案的形式化描述。

首先給出A-IBEk方案。在下面的A-IBE方案描述中，加密和解密算法參照參考文獻[11]中的算法。

Setup階段： 輸入安全參數 λ∈N，p 為素數，p＞2λ，PKG 運行 G（λ），生成 p 階的雙線性組（G，GT，e，p）。 隨機選擇 h，g←RG 和 α←RZp*。 定義主密鑰 msk=α，mpk=（g，g1=gα，h）。

Key generation階段：節點和PKG按照下列步驟交互生成密鑰。

（1）節 點 選 擇 t0，θ←RZp*， 發 送 R=g-t0·（g1·g-ID）θ給 簇頭。并給出（t0，θ）的交互式證據不可區分知識證明。

加密階段：加密 m∈GT。簇頭利用 mpk和 ID，選擇s←RZp*，計算如下：

解 密 階 段 ： 節 點 輸 入 C=（C1，C2，C3）和 dID=（d，tID），計算：m=C3·（e（C1，d）·Ct2ID）-1。

TraceD（mpk，dID，ε）階段：執行跟蹤算法。輸入為對應于節點ID的私鑰dID=（d，tID）和一個以概率ε成功解密的偽造解密器D，執行如下步驟。

（1）設置 ctr←0，重復下列的步驟 L=8λ/ε 次：

（a）隨機選擇 s，s′←RZp*滿足 s≠s′， 設 C1=（g1，g-ID）s，C2=e（g，g）s′。

（b）隨機給出信息 m∈GT，計算 C3=m·e（C1，d）·。

（c）對于 D 和（C1，C2，C3）。 如果 D 輸出 m′∈GT，滿足 m′=m，ctr自增 1。

（2）如果 ctr=0，判斷 PKG偽造 D；否則，判斷節點偽造D。

如果上面的A-IBE是安全的，那么可以驗證，對于相同的輸入，A-IBEk（重復 k次的A-IBE）也是安全的。

在給出A-IBEk后，假設存在一次性強不可偽造的簽名方案 SS=（Gen，Sign，Ver）， 下面結合 A-IBEk與 SS構建選擇密文安全的A-IBEcca。

Setup階段：mpk由基站按照A-IBE的算法生成。

Key generation階段：簇內的 2k個公鑰 p，p，…，p，p同為 msk，私鑰 s，s，…，sk，s由簇內節點的和作為輸入，利用 A-IBE 的密鑰產生算法與節點交互生成，其中a←RZ*p。設置并輸出pk，sk如下：

（1）執行簽名方案的密鑰產生算法，得到簽名密鑰dsk和驗證密鑰vk。

注意，如果c′是一個無效的密文（例如，并不是所有的ci都能解密成同樣的明文），那么當Deck輸出⊥時，Deccca輸出⊥。方案的密鑰協商過程描述如圖1所示。

圖1 k重復可追責的基于身份加密的密鑰協商流程

本文方案的 SS=（keyGen，Sign，Verify）參照參考文獻[13]的一次性強不可偽造簽名方案，描述如下。

Key generation階段：隨機選擇g，h∈G和一個隨機哈希函數 Hk的密鑰 k∈K，K 為某一集合，Hk：{0，1}*→{0，1}n。 “||”為串聯運算符。 運行 Key generation算法得到SK，PK。簽名方案的公鑰和私鑰如下：

簽名階段：一個信息M∈{0，1}l的簽名產生如下。

（1）選擇一個隨機組件 s∈Zp和隨機數 r∈R，R為某一集合。

（2）設置 σ2←F2（r，SK）。

（3）計算 t←Hk（M||σ2）∈{0，1}n，Hk為基于離散對數的變色龍哈希函數，t為Zp中的元素。

（4）計算 m←gths∈G。

（5）計算 σ1←F1（m，r，SK），并輸出簽名 σ←（σ1，σ2，s）。

驗證階段：輸入（PK，M，σ），信息 M 的簽名 σ=（σ1，σ2，s），驗證如下。

（1）計算 t′←Hk（M||σ2），t′為 Zp中的元素。

（2）計算 m′←gt′hs。

（3）輸出 Verify（PK，m′，（σ1，σ2））。

上 面步驟中 ，F1（m，r，x）=r-1（m+xF2（r，x））modq，F2（r，x）=（grmodq）modq

其中，q為簽名算法安全性證明中簽名查詢次數的上限。上面簽名方案的Key generation按如下方法產生簽名方案的私鑰[14]：

節點 A擁有 SA可以計算 PB=Φ（idB）。 同樣的，B擁有 SB可以計算 PA=Φ（idA）。 因此，A和 B都能計算 kA，B=e（SA，SB）=e（SB，SA）。 為了保證簽名算法的一次性，假設存在安全信道，簽名雙方通過安全信道相互發送秘密參數s。

3 方案的安全性

參照參考文獻[9]中的敵手安全模型證明本文方案的安全性。模型定義如下。

定義3 一個A-IBE方案被看作是安全的，如果PPT算法的對手在下列3個游戲中的優勢是可忽略的。

（1）對于任何 PPT算法A，IND-ID-CCA游戲模型如下，其中λ∈N是安全參數。

Setup：輸入 λ，挑戰者輸出 mpk，msk。

Phase 1：密鑰查詢。輸入為對手A提供的ID，mpk，挑戰者輸出私鑰dID。其中，ID≠ID*。

Phase 2：密文查詢。輸入為對手提供的（C，ID），挑戰者輸出明文。

挑戰階段：對手 A 產生（m0，m1，ID*），挑戰者隨機選擇 d∈{0，1}，加密信息 md，生成密文 C*。

Phase 3：對手A執行Phase 1和 Phase 2的查詢，滿足（C，ID）≠（C*，ID*）。

Guess：對手A給出 d的推測值。如果 d=1，則A返回1；否則返回0。A贏得游戲的優勢為：

自適應選擇身份模型下抗選擇明文攻擊（IND-ID-CPA）游戲模型的定義與上面的不同是對手A不執行密文查詢。

（2）對于任何PPT算法 A，DishonestPKG-wBB游戲模型如下，其中λ∈N是安全參數。

Setup：輸入為 λ，挑戰者輸出為 ID，mpk。

Key generation階段：輸入 mpk，ID，對手 A參與交互輸出對應的dID，輸出偽造解密器D。

跟蹤階段：挑戰者隨機生成明文，運行trace階段的算法為：輸入明文，mpk，dID，ID，輸出密文。 令解密器 D解密trace輸出密文，并返回明文。D以ε的概率解密出正確的明文。

判定階段：如果判定用戶偽造了解密器D，trace輸出用戶，返回 1；否則，trace輸出 PKG，返回 0。

（3）對于任何 PPT算法 A，DishonestUser-ID-BB游戲模型如下，其中λ∈N是安全參數。

Setup：輸入為 λ，挑戰者輸出為 msk，mpk。

Key generation階段：對手 A輸入 mpk，ID*。輸出偽造 PKG生成的dID*，偽造解密器 D。

密鑰查詢：輸入為對手A提供的ID，mpk。挑戰者輸出dID。

跟蹤階段：輸入為mpk，dID*，ID*。挑戰者隨機生成明文m，運行trace算法，輸出密文。令解密器D解密 trace輸出密文，并返回明文。D以ε的概率解密出正確的明文。

如果判定 PKG偽造了解密器 D，trace輸出 PKG，返回 1；否則返回 0。

在本文中，如果PPT的算法A以λ為輸入，在上面3個游戲中的優勢是可忽略的。則A-IBE分別被認為是IND-ID-CCA安全的，DishonestPKG-wBB安全的，DishonestUser-ID-BB安全的。同時具備上面3種安全屬性的A-IBE被認為是安全的。

4 仿真實驗及分析

將本文方案與 PEACE[3]和 GDC[4]進行比較。采用NS2仿真器，總數400個節點部署在350 m×350 m的檢測區域，基站位于坐標（0，0）處，每個節點的通信半徑為35 m，采用層簇式路由結構和參考文獻[15]中的能耗模型。仿真設備為一臺Intel I7 2.8 GHz處理器，4 GB內存的 PC。仿真實驗中 A-IBEk的k取3，本文密鑰大小為 160 bit，PEACE和 GDC的密鑰長度為 80 bit。無線傳感器網絡密鑰協商的開銷主要為計算和通信兩部分。通信開銷指的是一次密鑰協商的消息傳送所消耗的能量。由于是多個方案多輪方案之間的比較且WSN的能耗集中在通信部分，所以，通信開銷的意義比較大。計算開銷是指節點密鑰協商的計算能耗。

PEACE的方案將密鑰參數分發的權力分為兩部分，一部分在信任的第三方，一部分在組管理器。試圖通過分散PKG權力的方法解決key-escrow問題。成員之間以及成員與組管理者之間的密鑰協商需要頻繁的簽名認證。GDC為了解決key-escrow問題，通過安全信道發放含有簽名的證書，證書的簽名認證了CA的同時也含有一部分密鑰協商參數。節點驗證證書的簽名后，將簽名作為密鑰協商的參數，同時，CA將另一部分密鑰參數作為CA的公鑰分發給所有節點。這種方案節省了節點與CA交互的次數，但密鑰協商仍然需要逐對進行。

圖2描述的是網絡重復運行3種方案15次，某一節點在不同鄰居節點數量下的能量消耗情況。如圖2所示，PEACE為了解決PKG問題，將密鑰協商參數分為兩部分分發。每對節點的通信認證都需要單獨的密鑰對協商，因此需要的存儲空間及計算量較大，計算過程也較復雜。密鑰協商的頻繁認證通信開銷和較大的計算開銷導致其能耗最多。GDC利用發放證書的方式分發密鑰參數的秘密部分，廣播發送密鑰的公共部分，這種密鑰協商方法雖然節省了交互的次數，但節點之間簽名認證密鑰協商的計算量較大且每跳都需要認證，能耗其次。本文方案相比GDC，依靠跟蹤算法避免了節點間逐對協商密鑰的通信開銷。而且在密鑰協商完成后，可以利用第一次加密的組件進行重復加密。雖然也使用每跳認證的方式，但簽名方案的運算量較小且第一次簽名以后可以只更新和密文相關的組件，因此能耗低于GDC。相比于PEACE，本文方案不需要為分開PKG的權限而將密鑰參數分多次傳送，因而節省了因PKG參與密鑰協商產生的通信開銷，能耗最少。

圖2 3種方案在不同鄰居節點數量下的能量消耗

圖3為PKG分別以11種不同的概率惡意分發密鑰導致無法協商密鑰的節點數。3種方案在每種概率下分別重復運行 1 000 s。如圖 3所示，PEACE和 GDC方案無法進行抵御惡意分發密鑰協商參數的攻擊。因為無法分辨惡意節點是普通節點還是PKG，所以，無法追究惡意節點偽造密鑰的責任，導致被欺騙的節點數量較多。由于本文方案使用跟蹤算法，在發現某一節點無法解密時，啟動跟蹤機制，不誠實發放密鑰的PKG將會被有效地跟蹤并被孤立，因此，被欺騙的節點數較少。

本文針對WSN基于身份加密的密鑰托管問題，提出一種結合跟蹤算法追究PKG惡意分發密鑰行為的基于身份加密方案，并利用k重復算法和一次性強不可偽造簽名方案達到了自適應選擇身份模型下的抗選擇密文攻擊安全。因為密鑰產生過程中的交互隱藏了用戶密鑰，所以使用了弱黑盒跟蹤機制。與PEACE和GDC的仿真實驗和分析，表明本文通過跟蹤算法以較小的代價有效抑制了傳感器網絡IBE方案的PKG不誠實分發密鑰的惡意行為。本文方案的抗選擇密文攻擊安全是建立在一次性強不可偽造簽名和k重復算法基礎上的，但也帶來了相對較大的開銷。因此如何在保證安全性的基礎上，進一步減少開銷是下一步的研究方向。

圖3 3種方案在不同概率下被欺騙的節點數

參考文獻

[1]JENNIFER Y，BISWANATH M，DIPAK G.Wireless sensor network survey[J].Computer Networks， 2008，52（12）：2292-2330.

[2]BONEH D，FRANKLIN M.Identity based encryption from the Weil Pairing[J].SIAM Journal of Computing， 2003， 32（3）： 586-615.

[3]REN K， YU S， LOU W， ZHANG Y.PEACE： A novel privacy-enhanced yetaccountable security framework for metropolitan wireless mesh networks[J].IEEE Transactions on Parallel and Distributed Systems， 2010， 21（2）： 203-215.

[4]HARN L，REN J.Generalized digital certificate for user authentication and key establishment for secure communications[J].IEEE Transactions on Wireless Communications， 2011，10（7）：2372-2379.

[5]H?LBL M， WELZER T， BRUME B.An improved twoparty identity-based authenticated key agreement protocol using pairings[J].Journal of Computer and System Sciences，2012， 78（1）： 142-150.

[6]LAI J， KOU W， CHEN K.Self-generated-certificate public key encryption without pairing and its application[J].Information Sciences， 2011， 181（11）： 2422-2435.

[7]CHOI， K Y， PARK J H， LEE D H.A new provably secure certificateless short signature scheme[J].Computers&Mathematics with Applications， 2011，61（7）：1760-1788.

[8]SHIM K.On the security ofa certificatelessaggregate signature scheme[J].IEEE Communications Letters， 2011，15（10）：1136-1138.

[9]LIBERT B，VERGNAUD D.Towards practical black-box accountable authority IBE：weak black-box traceability with short ciphertexts and private keys[J].IEEE Transactions on Information Theory， 2011， 57（10）： 7189-7204.

[10]DOTTLING N， DOWSLEY R， MULLER-QUADE J.Nascimento，A C A.A CCA2 secure variant of the McEliece cryptosystem[J].IEEE Transactions on Information Theory，2012， 58（10）： 6672-6680.

[11]GENTRY C.Practical identity-based encryption without random oracles[C].LNCS 4004：Proceedings of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques， Berlin： Springer，2006：445-464.

[12]HEINZELMAN W B， CHANDRAKASAN A P，BALAKRISHNAN H.An application-specific protocol architecture for wireless microsensor networks[J].IEEE Transactions on Wireless Communications， 2002，1 （4）：660-670.

[13]BONEH D， SHEN E， WATERS B.Strongly unforgeable signatures based on computational diffie-hellman[C].LNCS 3958： Proceedings of9th InternationalConference on Theory and Practice in Public-Key Cryptography， Berlin：Springer， 2006： 229-240.

[14]OLIVEIRA L B， ARANHA D F， CONRADO P L， et al.TinyPBC：pairings for authenticated identity-based noninteractive key distribution in sensor networks[J].Computer Communications， 2011， 34（3）： 485-493.

[15]CHEN Y，ZHAO Q，KRISHNAMURTHY V.Transmission scheduling for optimizing sensor network lifetime：a stochastic shortestpath approach[J].IEEE Transaction on Signal Processing， 2007， 55（5）： 2294-2309.