無線傳感器網絡中三方密鑰建立協議研究*

鄭明輝， 劉召召

(湖北民族學院信息工程學院，湖北 恩施 445000)

無線傳感器網絡中三方密鑰建立協議研究*

鄭明輝， 劉召召

(湖北民族學院信息工程學院，湖北 恩施 445000)

提出了一個無線傳感器網絡(WSN)的可證明安全認證三方密鑰建立協議。協議的安全性基于求解橢圓曲線離散對數問題和雙線性配對Diffie-Hellman問題的計算不可行性。節點之間的身份驗證是無線傳感器網絡中最具挑戰性的一個安全要求，它需要在WSN中三個相鄰節點之間建立正確的會話密鑰輪來實現這種安全目標。通過理論證明,該協議對數據完整性攻擊和會話密鑰中已知密鑰安全性攻擊是安全的，并提供了完美的前向安全。

雙線性配對;密鑰交換;會話密鑰

1 引言

無線傳感器網絡WSN(Wireless Sensor Networks)是由大量部署在監測區域內的廉價微型傳感器節點組成，通過無線通信方式形成的一個多跳的自組織網絡系統，其目的是協作地感知、采集和處理網絡覆蓋區域中被感知對象的信息，并發送給觀察者。傳感器、感知對象和觀察者構成了無線傳感器網絡的三個要素。

目前國內外關于WSN密鑰建立協議的研究主要分為基于身份的密鑰體制和基于證書的密鑰體制。王圣寶等人[1]利用 Gentry 的基于身份的加密方案提出了第一個標準模型下可證安全性的密鑰建立協議，但其無會話密鑰托管模式下的密鑰建立協議不能滿足PKG(Private Key Generator)前向安全性，惡意的密鑰生成中心PKG能計算出所有的會話密鑰。隨后汪小芬等人[2]對文獻[1]的協議進行了改進，改進后的協議能夠滿足基于身份的標準安全模型下的安全屬性，同時能夠防止前后向安全性和 PKG前向安全性。

Li Z等人[3]提出基于ECDH(Elliptic Curve Diffie-Hellman)的密鑰交換協議，該協議實現了通信雙方的身份認證以及會話密鑰的協商，采用隱式認證方式，有效地減少了通信兩端公鑰P的計算開銷。隨后一種基于ECDH的可認證密鑰建立協議[4]也被提出，該方案在ECDH協議的基礎上作了改進，能夠實現通信雙方相互認證，同時可以有效抵御中間人攻擊。

無線傳感器網絡通常部署在敵對的環境中，它們會遇到各種各樣的惡意攻擊。無線傳感器網絡中收集的數據信息是有價值的，應當保密。為了保護這個傳輸信息或消息，任何三個相鄰傳感器節點之間的密鑰建立協議和相互的身份驗證協議成為無線傳感器網絡的必備條件。由于先天的限制，比如說低功率、較少的存儲空間、低計算能力和較短的傳感器節點通信范圍，大多數傳統協議在任意三個相鄰傳感器節點之間建立認證多密鑰通過采用密鑰預先分配的方法。然而，這些技術都有漏洞。隨著加密技術的快速發展，最近的研究結果表明，橢圓曲線密碼ECC(Elliptic Curve Cryptography)適用于網絡資源有限的無線傳感器網絡。基于橢圓曲線密碼學的加密系統對傳感器網絡尤其適應，因為它們比任何其他公鑰技術具有更高效的資源利用率[5～8]。傳感器節點的計算能力有限，所有傳統公鑰密碼學的模冪運算是必需的,因此不能在無線傳感網絡上實現。幸運的是，與其他公鑰加密系統相比，橢圓曲線加密系統具有顯著的優點[9,10]，比如說較小的密鑰尺寸、更快的計算速度。因此，基于橢圓曲線加密的密鑰建立協議比其他加密系統更適合資源約束型的傳感器節點。

2 基于ECC的三方密鑰建立協議

下面給出本文要用到的符號和系統參數：

(1)P是階為n的橢圓曲線E上的一個生成元，滿足n×P=Ο，q是一個大素數，Ο是一個無窮遠處的點。

(2)q是群的階。

(3)SKi，1≤i≤8，是建立在三個節點之間的會話密鑰。

(4)Qi是傳感器節點i的公鑰。

定義1設G1與G2是兩個循環群，并且它們都有相同的素數階q，G1是一個加法群，G2是一個乘法群，設e是一個可計算的雙線性映射，e:G1×G2→G2，如果滿足下面的條件：

(2)非退化性：假設P是G1的一個生成元，那么e(P,P)就是G2的生成元。

(3)可計算性：對任意的P,Q∈G1，存在一個高效的算法來計算e(P,Q)，我們稱這樣的一個雙線性映射e為可容許的雙線性映射。

2.1 基于ECC的協議

考慮三個通信節點i、j和k，它們將建立共享會話密鑰保障后續的安全通信。假定節點i已經計算出長期的公私鑰對Qi=λi·P，類似地，節點j的長期公私鑰對為Qj=λj·P，節點k的長期公私鑰對為Qk=λk·P。三方的共享會話密鑰集通過節點i、j和k協同計算出來，具體過程如下：

(1)

節點i將元組{Vi1,Vi2,Si,Cert(Qi)}發送給節點j和k。

(2)

節點j將元組{Vj1,Vj2,Sj,Cert(Qj)}發送給節點i和k。

(3)

節點k將元組{Vk1,Vk2,Sk,Cert(Qk)}發送給節點i和j。

步驟4節點i從Vj1和Vj2中提取x向量Xj1和Xj2，從Vk1和Vk2中提取向量Xk1和Xk2，并通過式(4)和式(5)驗證接收信息是否正確。

(4)

(5)

如果式(4)和式(5)均成立，則節點i計算出下面的會話密鑰集：

SK1=ri1Vj1Vk1

SK2=ri1Vj1Vk2

SK3=ri1Vj2Vk1

SK4=ri1Vj2Vk2

SK5=ri2Vj1Vk1

SK6=ri2Vj1Vk2

SK7=ri2Vj2Vk1

SK8=ri2Vj2Vk2

步驟5類似地，節點j從Vi1和Vi2中提取x向量Xi1和Xi2，從Vk1和Vk2中提取x向量Xk1和Xk2，并通過式(6)和式(7)驗證接收信息是否正確。

(6)

(7)

如果式(6)和式(7)均成立，則節點j計算出下面的會話密鑰集：

SK1=rj1Vi1Vk1

SK2=rj1Vi1Vk2

SK3=rj1Vi2Vk1

SK4=rj1Vi2Vk2

SK5=rj2Vi1Vk1

SK6=rj2Vi1Vk2

SK7=rj2Vi2Vk1

SK8=rj2Vi2Vk2

步驟6類似地，節點k從Vi1和Vi2中提取x向量Xi1和Xi2，從Vj1和Vj2中提取向量Xj1和Xj2，并通過式(8)和式(9)驗證接收信息是否正確。

(8)

(9)

如果式(8)和式(9)均成立，則節點k計算出下面的會話密鑰集:

SK1=rk1Vi1Vj1

SK2=rk1Vi1Vj2

SK3=rk1Vi2Vj1

SK4=rk1Vi2Vj2

SK5=rk2Vi1Vj1

SK6=rk2Vi1Vj2

SK7=rk2Vi2Vj1

SK8=rk2Vi2Vj2

2.2 基于ECC協議的安全性分析

本文提出的三方密鑰建立協議的安全性是基于橢圓曲線離散對數的難解問題。下述定理1和定理2表明，該協議可以抵御傳感器節點上數據完整性的攻擊且會話密鑰具備前向安全性。

定理1本文提出的基于橢圓曲線密碼學ECC的三方密鑰建立協議可以抵抗數據完整性的攻擊，當且僅當在橢圓曲線離散對數問題ECDLP(Elliptic Curve Discrete Logarithm Problem)是難解的。

證明三個節點中的任意兩個節點i和j，節點i通過通信信道發送敏感數據到節點j，敵手改變或處理這個數據，然后通過依靠錯誤的會話密鑰欺騙這個誠實的節點。敵手將會計算Si去驗證已核實的式(4)來欺騙節點j，敵手能夠隨機選擇兩個點Vi1和Vi2，并提取出對應的x向量Xi1和Xi2;之后，敵手不得不在橢圓曲線上找一個μ去滿足等式μ·P=Qi-Xi1Vi1-Xi2Vi2，為了計算出橢圓曲線上的μ，它就要求敵手解決橢圓曲線離散對數問題。因此，敵手去偽造一個有效的信息去欺騙節點j在計算上是不可行的。

□

定理2本文提出的基于ECC的三方密鑰建立協議對一個敵手來說生成正確的會話密鑰在計算上是不可行的，即使先前的會話密鑰已泄露。

證明三個節點中的任意兩個節點i和j，在協議的每一輪節點i和j選擇全新的隨機數通過等式(1)和式(2)計算Si和Sj。這意味著這四個生成會話密鑰是不同的，不取決于協議的每一輪執行。敵手獲得協議每一輪的隨機數在計算上是不可行的，因為需要計算會話密鑰。因此，提出的協議可以抵抗對已知的密鑰攻擊。

3 基于雙線性配對的三方密鑰建立協議

3.1 基于雙線性配對的協議

考慮三個通信節點i、j和k，它們將建立共享會話密鑰。假定節點i已經計算出長期的公私鑰Qi=λi·P，類似地，節點j的長期公私鑰為Qj=λj·P，節點k的長期公私鑰為Qk=λk·P。共享會話密鑰集通過節點i、j和k協同計算出來，具體過程如下：

(10)

節點i將元組{Vi1,Vi2,Si,Cert(Qi)}發送給節點j和k。

(11)

節點j將元組{Vj1,Vj2,Sj,Cert(Qj)}發送給節點i和k。

(12)

節點k將元組{Vk1,Vk2,Sk,Cert(Qk)}發送給節點i和j。

步驟4節點i從Vj1和Vj2中提取x向量Xj1和Xj2，從Vk1和Vk1中提取x向量Xk1和Xk2，并通過式(13)和式(14)驗證接收信息是否正確。

(13)

(14)

如果式(13)和式(14)均成立，則節點i計算出下面的會話密鑰集：

SK1=e(ri1Vj1Vk1,Qj+Qk)

SK2=e(ri1Vj1Vk2,Qj+Qk)

SK3=e(ri1Vj2Vk1,Qj+Qk)

SK4=e(ri1Vj2Vk2,Qj+Qk)

SK5=e(ri2Vj1Vk1,Qj+Qk)

SK6=e(ri2Vj1Vk2,Qj+Qk)

SK7=e(ri2Vj2Vk1,Qj+Qk)

SK8=e(ri2Vj2Vk2,Qj+Qk)

步驟5類似地，節點j從Vi1和Vi2中提取x向量Xi1和Xi2，從Vk1和Vk2中提取x向量Xk1和Xk2，并通過式(15)和式(16)驗證接收信息是否正確。

(15)

(16)

如果式(15)和式(16)均成立，則節點j計算出下面的會話密鑰集：

SK1=e(rj1Vi1Vk1,Qi+Qk)

SK2=e(rj1Vi1Vk2,Qi+Qk)

SK3=e(rj1Vi2Vk1,Qi+Qk)

SK4=e(rj1Vi2Vk2,Qi+Qk)

SK5=e(rj2Vi1Vk1,Qi+Qk)

SK6=e(rj2Vi1Vk2,Qi+Qk)

SK7=e(rj2Vi2Vk1,Qi+Qk)

SK8=e(rj2Vi2Vk2,Qi+Qk)

步驟6類似地，節點k從Vi1和Vi2中提取x向量Xi1和Xi2，從Vj1和Vj2中提取x向量Xj1和Xj2，并通過式(17)和式(18)驗證接收信息是否正確。

(17)

(18)

如果式(17)和式(18)均成立，則節點k計算出下面的會話密鑰集：

SK1=e(rk1Vi1Vj1,Qi+Qj)

SK2=e(rk1Vi1Vj2,Qi+Qj)

SK3=e(rk1Vi2Vj1,Qi+Qj)

SK4=e(rk1Vi2Vj2,Qi+Qj)

SK5=e(rk2Vi1Vj1,Qi+Qj)

SK6=e(rk2Vi1Vj2,Qi+Qj)

SK7=e(rk2Vi2Vj1,Qi+Qj)

SK8=e(rk2Vi2Vj2,Qi+Qj)

3.2 基于雙線性配對協議的安全分析

下述定理3表明，提出的基于雙線性配對協議可以抵御傳感器節點上數據完整性的攻擊。

定理3提出的基于雙線性配對密鑰建立協議可以抵抗數據完整性的攻擊，當且僅當在橢圓曲線離散對數問題(ECDLP)是難解的。

證明三個節點中的任意兩個節點i和j，節點i通過通信信道發送敏感數據到節點j，敵手改變或處理這個數據，然后通過依靠錯誤的會話密鑰欺騙這個誠實的節點。敵手將會計算Si去驗證已核實的式(4)來欺騙節點j;然后，敵手能夠隨機選擇兩個點Vi1和Vi2，并提取出對應的x向量Xi1和Xi2，之后，敵手不得不找一個Si去滿足等式e(Si,P)=e(Xi1Vi1+Xi2Vi2,Vi1)·e(Vi2,Qi)，但是對敵手來說,在不知道式(1)中λi的情況下,去計算Si是不可行的。對敵手來說，為了從已知的Qi中計算出λi，它就要求敵手解決橢圓曲線離散對數問題。因此，敵手偽造一個有效的信息去欺騙節點j在計算上是不可行的。

□

4 結束語

在本文中,我們為無線傳感器網絡提出了一種新型結構的三方密鑰建立協議，這種無線傳感器網絡中的每個節點所需的存儲空間是固定的。傳感器節點通過保護后續會話密鑰可以與其他相鄰節點建立安全通信，即使先前的會話密鑰被管理者泄露。這個協議對完美的前向密鑰保密和修改攻擊是安全的。所提出的協議提供了兩個重要的優勢：(1)每個節點所需的內存空間是固定的，所以它在無線傳感器網絡中是兼容的。(2)通過保護后續會話密鑰，傳感器節點與其他相鄰節點可以建立安全通信。

[1] Wang Sheng-bao，Cao Zhen-fu，Dong Xiao-lei. Provably secure identity-based authenticated key agreement protocols in the standard mode[J]. Chinese Journal of Computers，2007, 30(10):1842-1854. (in Chinese)

[2] Wang Xiao-fen, Chen Yuan, Xiao Guo-zhen. Analysis and improvement of an ID-based authenticated key agreement protocol[J].Journal on Communications, 2008, 29(12):16-21. (in Chinese)

[3] Li Z, Zhan G, Ye X. Towards an anti-inference (k，l)-anonymity model with value association rules[C]∥Proc of the 17th International Conference on Database and Expert Systems Applications, 2006:883-893.

[4] Nogueira M, Silva H, Santos A, et al. A security management architecture for supporting routing services on WANETs[J]. IEEE Transactions on Network and Service Management, 2012, 3(8):1-13.

[5] Hankerson D,Menezes A,Vanstone S.Guide to elliptic curve cryptography[M]. Berlin:Springer, 2004.

[6] Kar J, Majhi B. A secure two-party identity based key exchange protocol based on elliptic curve discrete logarithm

problem[J]. Journal of Information Assurance and Security, 2009, 5(1):473-482.

[7] Koblitz N. Elliptic curve cryptosystem[J]. Mathematics of Computation, 1987, 48(17):203-209.

[8] Miller V S. Use of elliptic curves in cryptography[C]∥Proc of the Advances in Cryptology-Crypto’85, 1985:417-426.

[9] Dai D Y, Xu H B. Key predistribution approach in wireless sensor networks using LU matrix[J]. IEEE Sensors Journal, 2010, 10(8):1399-1409.

[10] Zhang P, Zhang Y T. Analysis of using interpulse intervals to generate 128-bit biometric random binary sequences for securing wireless body sensor networks [J]. IEEE Transactions on Information Technology in Biomedicine, 2012, 16(1):176-182.

附中文參考文獻：

[1] 王圣寶, 曹珍富, 董曉蕾. 標準模型下可證安全的身份基認證密鑰協商協議[J]. 計算機學報, 2007, 30(10):1842-1852.

[2] 汪小芬，陳原，肖國鎮.基于身份的認證密鑰協商協議的安全分析與改進[J]. 通信學報, 2008, 29(12):16-21.

ZHENGMing-hui,born in 1972,PhD,professor,CCF member(E200029016M),his research interest includes information security.

劉召召(1990),男,湖北孝感人，碩士生，研究方向為信息安全。E-mail:990922923@qq.com

LIUZhao-zhao,born in 1990,MS candidate,his research interest includes information security.

Researchontripartitekeyestablishmentprotocolforwirelesssensornetworks

ZHENG Ming-hui,LIU Zhao-zhao

(College of Information Engineering,Hubei Minzu University,Enshi 445000,China)

A provably secure authenticated multiple key establishment protocol for Wireless Sensor Networks (WSNs) is proposed.Security of the protocol is based on the computational infeasibility of solving elliptic curve discrete logarithm problem and computational Diffie-Hellman problem on bilinear pairing.The authentication among the nodes is one of the most challenging security requirements in WSNs.To achieve this security goal, it is required to establish a correct session key among the three adjacent nodes of WSNs. It is proved that the proposed protocol is secure against the attacks on data integrity and the known key security attacks on session key.It also provides perfect forward secrecy.

bilinear pairing;key exchange;session key

1007-130X(2014)11-2132-05

2014-06-11;

：2014-08-15

國家自然科學基金資助項目(61173175)；湖北省杰出青年基金資助項目(2012FFA006)

TP393.08

：A

10.3969/j.issn.1007-130X.2014.11.013

鄭明輝(1972),男,湖北嘉魚人，博士，教授，CCF會員(E200029016M),研究方向為信息安全。E-mail:mhzheng3@163.com

通信地址：445000 湖北省恩施市湖北民族學院信息工程學院

Address:College of Information Engineering,Hubei Minzu University,Enshi 445000,Hubei,P.R.China