一種無線傳感器網絡密鑰管理安全加強方案*

萬舒亞，謝淑翠

（1.西安郵電大學 通信與信息工程學院，陜西 西安 710061；2.西安郵電大學 理學院，陜西 西安 710121）

無線傳感器網絡 WSN （Wireless Sensor Network）傳輸的是無線電波，只要將設備調至同一頻率，敵方就能容易地獲取無線電信息；另外，傳感器節點通常分布在無人看管的惡劣環境中，極易受到捕獲，網絡拓撲結構動態變化；同時，傳感器節點處理能力、存儲能力和通信能力相對較弱，且通過小容量電池供電，因此要盡量減少節點的內存占用及會話開銷以延長網絡壽命。基于WSN以上特點，理想的密鑰管理方案要求能保證網絡保密性，盡量降低節點開銷，具有良好的可擴展性及抗捕獲性。

目前，針對無線傳感器網絡提出的密鑰管理機制主要有以下幾種方案。（1）預置全局密鑰，即所有節點共享同一個密鑰，這種方案最簡單，使用代價小，但安全性差。（2）預置節點對密鑰[1]，即網絡中每一對節點間共享一個不同的密鑰，隨著網絡規模的擴大全網密鑰總量將快速上升，且為新插入的節點分配共享密鑰困難。（3）隨機密鑰預分配[2-5]，每個節點的通信代價與網絡規模無關，但密鑰存儲量將隨網絡規模增大而線性增加。（4）基于密鑰分發中心（KDC）的密鑰分配，基站作為 KDC，每個節點與基站間共享一個不同的密鑰，其他節點間的密鑰基于基站建立。通信量較大，適用于小規模網絡，一旦KDC受到威脅，整個網絡的安全性將崩潰。（5）公鑰密碼體制，一般將消耗較多的計算量、存儲空間和能量，實用性差。結合這些方案的特點，一些學者提出了混合密鑰管理方案[6-10]。公鑰加密方式公認是最安全的加密方式，而對稱加密資源占用少、加密速度快，故結合這兩者的優點提出的管理方案既能滿足無線傳感器網絡的安全性，又解決了公鑰密碼體制開銷大的問題。參考文獻[6]提出的密鑰管理方案，使用無人機（UAV）分配密鑰，減少了節點對基站的依賴。允許節點間自行更新會話對密鑰，從而降低非對稱密鑰更新周期，降低網絡開銷，同時延長網絡壽命。但是，此方案在消息傳輸過程中僅使用對稱密鑰進行加密，容易受到消息偽造、篡改以及重放攻擊。本文針對此方案的這些特點，引入了時間門限，能夠快速有效地判斷節點是否受到消息偽造攻擊；加入能量標識能夠快速檢測出節點是否為網絡中的有效節點；消息完整性校驗可以判斷出消息是否遭受篡改；而新鮮數RNX能有效防止重放攻擊。

1 方案設計

雖然對稱密碼體制可以在一定程度上解決保密通信問題，但隨著計算機和網絡技術的發展，保密通信的需求越來越廣泛，對稱密碼體制的局限性逐漸明顯。首先，密鑰存儲量太大不易管理；其次不能支持陌生人間的通信；再次，難以從機制上提供數字簽名，也就不能實現通信中的抗抵賴需求。在公鑰加密體制中，密鑰對是不對稱的，公鑰基于公開的渠道就可以實現分發，十分方便。而且對于支持數字簽名的公鑰密碼體制，用兩個密鑰中任何一個密鑰加密的內容，都可以用對應的另一個密鑰解密，這就解決了對稱密碼體制中的密鑰管理、分發和數字簽名難題。由于傳感器節點計算和能量限制，大部分的研究者并不傾向于使用公鑰加密。研究表明，公鑰加密適用于無線傳感器網絡，而且ECC表現比RSA更有優勢[11]。ECC的魅力在于可以用較小的密鑰提供和RSA相同水平的密鑰保護，對比如表1表示，而且ECC比RSA的效率更高。雖然公鑰加密比對稱加密消耗更多的能量，但是通過這種機制，所有無線傳感器網絡中廣播的信息都可以被認證。因而，虛假信息可以被有效過濾，而且可以在不必要的時候不調用它們以減少功耗。

表1 等價強度的非對稱密鑰尺寸比較

本方案延用參考文獻[5]中采用ECC方式為節點提供認證及安全性，采用RC4算法以提高通信速度[12]，并在原方案的基礎上加入時間門限、能量標識及消息完整性校驗，進一步保證通信安全性。

1.1 節點密鑰分配準備階段

節點在入網前，分配唯一標識號ID、節點私鑰和無人機中移動認證中心MCA （Mobile Certification Authority）的公鑰PubMCA并在節點中存儲門限時間和能量標識，時間門限TS設置為節點正常通信所用最大時間值，能量標識E值為當前節點能量。無人機存儲傳感器節點的ID及其公鑰。

1.2 節點會話密鑰建立階段

節點部署后，若兩個鄰節點想要安全通信，首先需知道對方的ID。得到鄰節點的ID后，傳感器節點執行圖1所示的密鑰分配和加密模型中的步驟。

圖1 無線傳感器節點的密鑰分配和加密模型

模型的組成和操作如下。

（1）節點A和B是無線傳感器網絡中的兩個傳感器會話節點；

（2）MCA是位于 UAV中的移動節點，它被用作分布式密鑰中心；

（3）KAB是節點A和B之間的會話對密鑰；

（4）{M}PubA意為用節點A的公鑰加密消息M；

（5）RNX為通信節點產生的隨機數；

（6）E為通信節點當前能量值。

操作步驟如下。

（1）網絡中的節點（如節點 A）對它的鄰節點（如節點B）廣播一則包含其ID的信息。

（2）接收到A的ID后，鄰節點B向MCA發送用PubMCA加密的節點IDA、IDB及新鮮數RN2的請求信息。

（3）MCA收到 B的請求信息后，向 B發送用 PubB加密的A的公鑰PubA和新鮮數RN2（確保發送者是MCA）。

（4）節點B用節點A的公鑰加密包含B的ID和一個隨機數（RN3）以及當前節點能量的消息，這個隨機數用來認證會話并防止會話遭受重放攻擊。

（5）節點A解密收到的消息，得到鄰節點的 ID和隨機數。然后，選取一個密鑰KAB和節點A的能量值EA及RN3一起用PubB（確保A應答的對象是B）加密后返回。

通過上面的過程，所有的通信雙方都進行了認證，而且雙方節點間還設置了一對密鑰以保證通信安全。因此，所有這些節點之間傳輸的數據可以在有竊聽者竊聽節點之間的無線電通信和嘗試注入或修改網絡中的數據包的情況下提供認證和保護。這種加密提供了令人滿意的安全性。

1.3 消息傳輸階段

節點會話密鑰建立后，節點間就可以進行通信了。節點通信流程如圖2所示。

具體步驟如下。

（1）會話發起方如節點A將當前消息M及用M和RN3生成的哈希函數一起用KAB加密后和當前能量值發送給節點B（如圖2中最后一步）。

圖2 簇內節點通信流程圖

（2）節點B收到加密消息后首先判斷A節點能量是否正常，異常則通知簇頭并刪除此節點，正常則再判斷通信時間是否超過時間門限，若有異常則上報簇頭對節點進行認證。如果都正常，則解密消息，然后對得到的消息進行完整性校驗，如不一致也上報簇頭對該節點進行身份驗證，一致后認為消息是正確的。

通過上面的過程，雖然通話使用的加密方式簡單，但是有時間門限及能量標識，可以有效防止消息偽造及篡改攻擊；而消息完整性校驗還可以防止消息重放攻擊；三者結合可以完美地保證節點會話消息的快速、安全傳輸。對異常節點進行身份驗證而不是直接舍棄增加了網絡的容錯性，若節點通過認證后則直接更新節點密鑰。

1.4 密鑰更新階段

本方案支持兩種密鑰更新：一種是節點會話密鑰的更新，這種密鑰更新周期比較短，密鑰更新時不需要MCA的參與，只要已建立密鑰的正常節點自己協商更新即可；一種是異常節點密鑰的更新，這種密鑰更新針對通信中出現異常的節點，在異常節點通過認證后由簇頭給它的鄰節點發送密鑰更新消息，然后異常節點及它的鄰節點重新進行節點會話密鑰建立階段的步驟即可。若異常節點未通過認證，簇頭通知簇內節點終止與其通信并更新所有簇內節點密鑰。

這種密鑰更新方案，在保證安全通信的前提下，盡可能地減少了密鑰更新的消耗，進而延長了網絡壽命，增加網絡生存性。

2 性能評估

2.1 安全性

節點會話密鑰建立階段使用的是橢圓曲線加密體制，即使敵手竊聽到了傳輸消息，由于沒有節點私鑰，由表1可知，要破解是困難的，故會話密鑰建立階段是安全的；在通信階段，使用RC4加密，但是其加解密速度都非常快，當會話消息被竊聽后，若敵方試圖偽造或篡改消息，必定會超過時間門限，很容易被發現；另外，由于加密消息中隨機數的存在，每次的隨機數都不同，防止了敵方進行重放攻擊；假設節點被敵手物理捕獲，并試圖安放偽造節點，則節點能量信息可能不對，此時節點可有效過濾絕大部分偽造節點。原方案與本方案安全性對比如表2所示。

表2 原方案與本方案安全性對比

2.2 抗捕獲能力

預置全網共享密鑰方案，網絡中只要有一個節點被捕獲，則整個網絡密鑰泄露，網絡癱瘓；預置節點對密鑰[1]，一個節點被捕獲，其鄰節點密鑰泄露；隨機密鑰預分配方案[2，3]，一個節點被捕獲，節點中所存儲其他密鑰泄露，隨著被捕獲節點增多，整個網絡被攻破；基于對稱多項式方案對密鑰分配方案[4]，當網絡中被捕獲的節點數不大于二元對稱多項式的次數時，網絡中其他節點是安全的，但是一旦超過t個節點，網絡中的節點密鑰將泄露；混合密鑰管理方案[6]中節點被捕獲后，僅泄露鄰節點與此節點當前的共享密鑰；而本方案由于加強安全措施，能及時發現節點異常并執行節點密鑰更新方案，更新簇中其他節點的密鑰，故不會對除被捕獲節點外的其他節點造成影響，比混合密鑰管理方案的抗捕獲能力更強。

2.3 節點能量消耗

節點會話過程中，假設節點正常通信的概率為Pn，節點正常通信所需能量為En；假設節點遭受偽造、篡改、重放攻擊的概率相等，即都為（1-Pn）/3，通信所需能量分別為Ef、Ec和Er；假設節點判斷是否超時及能量異常所需能量為Ej，解密后進行哈希運算所需能量為Eh。則原方案節點通信所需平均能量為 E=Pn·En+（1-Pn）/3（Ef+Ec+Er），其中Ef≈Ec≈Er≈En，所以，≈En。 本方案節點通信所需平均能量為=Pn（En+Ej+Eh）+（1-Pn）（En+Eh）/3，其中，Ej＜＜Eh＜En，Ej可忽略 不計 ，故=Pn（En+Eh）+（1-Pn）（En+Eh）/3，而 假 設 Eh=0.01En（事 實 上 ）[4]，圖 3為原方案與本方案能量對比。

由圖3可知，由于本方案有門限，能很快判斷出節點異常，無需對消息進行解密，因而本方案比原方案節省了通信能量開銷。只在大于0.995時，節點能量開銷比原方案略大，且本方案在越惡劣的環境中表現出的性能越優越。

在無線傳感器網絡中使用混合密鑰管理，可以讓不同加密方法優勢互補。網絡連通率、節點抗捕獲能力較密鑰預分配方案都有很好的提高；隨著網絡規模的擴大，節點密鑰存儲量比密鑰預分配方案大規模減少，在內存占用和消耗上也有很大優勢。通過簡單的門限，能有效防止節點遭受消息偽造、篡改、重放及傳感器節點偽造攻擊，進而節省開銷，延長網絡壽命。同時，本方案降低了對簇頭和基站的依賴，更適合分布在惡劣的環境中。但是此方案也有不足之處，當大量節點被捕獲或者大面積網絡中斷時，需要認證的節點將會很多，此時節點認證消耗比較大。

圖3 原方案與本方案能量對比

[1]PENRIG A， SONG D， TYGAR D E.A new protocol for efficient large-group key distribution[C].Security and Privacy Proceedings， 2001：247-262.

[2]ESCHENAUER L，GLIGOR V D.A key-management scheme for distributed sensor Networks[C].Proceedings of the 9thACM Conferenceon ComputerandCommunications Security， Wireless Communications， IEEE Transations on ACM，2008：41-47.

[3]CHAN H， PERRIG A， SONG D.Random key predistribution schemes for sensor networks[C].Security and Privacy Proceedings， 2003： 197-213.

[4]LIU D，NING P.Location-based pairwise key establishments for static sensor networks[C].Proceedings of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks， ACM， 2003：72-82.

[5]袁猷南.無線傳感器網絡對密鑰分配算法研究[D].浙江：杭州電子科技大學，2012

[6]SAHINGOZ O K.Large scale wireless sensor networks with multi-level dynamic key management scheme[J].Journal of Systems Architecture， 2013：1-7.

[7]閆培玲.基于簇結構的WSN混合密鑰管理方案的研究[D].開封：河南大學，2010.

[8]李蘭英，胡磊，姜秀麗.分簇無線傳感器網絡的動態混合密鑰管理策略[J].計算機應用研究，2009，26（3）：1112-1116.

[9]SONG Y，ZHANG Y.A mixed key management scheme of clustering wireless sensor network[C].Computer Application and System Modeling （ICCASM），2010（7）： 198-201.

[10]劉夢君，劉樹波，劉泓暉，等.異構無線傳感器網絡動態混合密鑰管理方案研究[J].山東大學學報（理學版），2012，47（11）：67-73.

[11]WANDER A S， GURA N， EBERLE H， et al.Energy analysisofpublic-key cryptography forwirelesssensor networks[C].Pervasive Computing and Communications，PerCom，2005：324-328.

[12]PRASITHSANGAREE P，KRISHNAMURTHY P.Analysis of energy consumption of RC4 And AES algorithms in wireless LANs[C].Global Telecommunications Conference，GLOBECOM′03， 2003： 1445-1449.

[13]GUO M H， DENG D J.Centralised conferencekey mechanism with elliptic curve cryptography and lagrange interpolation for sensor networks[J].IET Communications，2011， 5（12）： 1727-1731.

[14]ALTHOBAITI O S，ABOALSAMH H A.An enhanced elliptic curve cryptography for Biometric[C].Computing and Convergence Technology， 2012：1048-1055.

[15]YU Q， ZHANG C N， HUANG X.An RC4-based hash function for ultra-low power devices[C].Computer Engineering and Technology （ICCET），2010（1）： 323-328.

[16]NICHOLS R K，LEKKAS P C.無線安全：模型、威脅和解決方案[M].姚蘭，惠俊紅，鄭家玲，等，譯.北京：人民郵電出版社，2004.