物聯網多設備通信中的加密模塊設計與實現

摘 要：傳統物聯網多設備通信加密模塊的防御能力不足，且常對物聯網網絡連通能力產生影響。因此，對物聯網多設備通信中的加密模塊進行優化設計，該模塊中的密鑰設計端為物聯網多設備通信信息設計密鑰，密鑰分為對稱密鑰和非對稱密鑰。當信息量較大時，選用對稱密鑰進行加密設計，密鑰分發端將對稱密鑰拆分，并單獨分發給收發單位；當信息量不大時，則選用非對稱密鑰，所設計的非對稱密鑰將直接傳輸給收發單位。持有密鑰的收發單位在密鑰認證端共同認證成功后，便可下載物聯網多設備通信信息。模塊實現部分給出了加密模塊處理信息的流程圖以及函數。實驗結果表明，所設計的加密模塊擁有較強的防御能力，且對物聯網網絡連通能力影響較小。

關鍵詞： 物聯網； 多設備通信； 加密模塊； 密鑰設計

中圖分類號： TN926?34； TN92 文獻標識碼： A 文章編號： 1004?373X（2016）18?0069?04

Abstract： The defensive ability of traditional encryption module for multi?equipment communication in Internet of Things （IOT） is insufficient， and often affect IOT network connecting ability. Therefore， the encryption module used in IOT multi?equipment communication is optimized and designed. The key design end of the module is IOT multi?equipment communicate information design key. The key is divided into the symmetric key and asymmetric key. When the information content is much more， the symmetric key is selected for encrypt design. The symmetric key is split by key distribution terminal and then distributed to transmit?receive units one by one. When the information content is not more， the asymmetric key is selected， and the designed asymmetric key is directly transmitted to the transmit?receive units. The transmit?receive units with the key after the mutual authentication is successful on the key authentication end can download the IOT multi?equipment communication information. The flow chart and functions for information processing of encryption module are given. The experimental result shows that the designed encryption module has strong ability of defense， and less influence on the IOT network connecting ability.

Keywords： Internet of Things； more communication equipment； encryption module； key design

0 引 言

物聯網是基于互聯網產生的物與物間的通信技術，近年來，物聯網以其更為人性化的傳輸能力得到了各領域的高度重視。同時，人們對物聯網多設備間通信安全性能的要求也越來越高，科研組織所提出的物聯網多設備通信加密模塊，已初步滿足用戶需求[1?3]。但物聯網多設備的通信信息和網絡用戶較為繁雜，造成傳統物聯網多設備通信加密模塊的防御能力不足，且加密程序較多的信息常對網絡連通能力產生影響[4?6]。一種防御能力較強，且不影響網絡連通能力的物聯網多設備通信加密模塊，是目前該領域的研究熱點。

文獻[7]利用同態加密與中國剩余定理設計了一種物聯網密鑰管理方案，根據不同應用和位置信息建立了分層網絡模型，構造了雙重密鑰池保護節點的隱私和安全，但該加密模塊密鑰的設計、分發和更新管理依賴于中央控制中心，綜合防御能力不強；文獻[8] 提出了一種基于雙混沌系統的加密算法，結合Henon 與Logistic 映射，通過加深迭代產生混沌序列對明文信息進行加密，該模塊能夠為信息實時設計出惟一密鑰，其計算量小、效率較高，但直接應用于終端多樣化的物聯網絡時適應性不強，對于網絡通信性能影響較大；文獻[9]提出物聯網環境下基于零知識證明的雙向認證協議，能滿足一個標簽在多個RFID 系統中的認證安全，對節點的隱私保護安全性很高，但雙向加密認證算法對于節點自身性能要求太高；文獻[10]提出了移動節點抗克隆攻擊的UC安全認證協議，可實現移動節點與接入基站之間的雙向認證與密鑰交換過程，對于節點而言能耗較低、工作效率較高，但移動節點間的直接認證無法實現。

為了解決以上問題，對物聯網多設備通信中的加密模塊進行優化設計，該模塊有著較高的防御能力，對網絡連通能力影響不大，可滿足人們對物聯網多設備間通信安全性能的需求。

1 物聯網多設備通信中的加密模塊設計

1.1 模塊整體設計

物聯網多設備通信中的加密模塊由密鑰設計端、密鑰分發端和密鑰認證端組成，其結構圖如圖1所示。

根據圖1中加密模塊的結構設計可知，密鑰是物聯網多設備通信中的安全保障，其能夠實現明文與密文間的相互轉化。因此，在物聯網多設備通信中，密鑰設計端是加密模塊的重點設計對象。

1.2 密鑰設計端設計

在密鑰設計過程中，應首要考慮因素是密鑰的長度及其排列的復雜程度，這對保護物聯網多設備通信的安全性有著重要意義。物聯網多設備通信中的加密模塊要求密鑰設計端的密鑰長度適中（較短的密鑰無法有效抵抗通信襲擊；較長的密鑰則會占用過多的存儲區域，降低網絡連通能力），且應避免重復、算法簡易、過于通俗的密鑰。

密鑰分為對稱密鑰和非對稱密鑰，在實際應用中，應根據不同的通信狀況選擇較為合理的密鑰。

1.2.1 對稱密鑰設計

當物聯網多設備通信產生的信息量較大時，應對信息基于對稱密鑰進行加密設計。這是由于對稱密鑰的收發單位所接收到的密鑰是相同的，計算量相對小，這大大提高了物聯網多設備通信的工作效率。但對稱密鑰加密存在一項巨大隱患，加密的安全性依賴于對稱密鑰的保密性。即一旦收發單位任意一方的密鑰流出，雙方的密鑰即等同于作廢。若無法在第一時間更新密鑰，物聯網多設備間的通信安全便受到了極大的威脅。

因此為了更好地保障物聯網多設備的安全通信，應先對收發單位的會話密鑰進行非對稱密鑰協商，再將對稱密鑰傳輸到密鑰分發端。而在物聯網多設備通信信息量不大的情況下，直接選取非對稱密鑰進行信息加密。

1.2.2 非對稱密鑰設計

所設計的物聯網多設備通信加密模塊的非對稱密鑰包括橢圓曲線密鑰和哈希密鑰。

1985年提出的橢圓曲線密鑰是基于橢圓曲線數學的非對稱密鑰，該密鑰的安全性能和抗干擾能力較比對稱密鑰來說要高得多。橢圓曲線密鑰的工作原理圖如圖2所示。

由圖2可知，橢圓曲線密鑰的運算量不高，但其安全性在眾多加密方式中仍可占中上等水平。物聯網多設備通信信息輸入到加密模塊后，會自動輸入到橢圓曲線密鑰的寄存器中，寄存器會將信息逐一輸入到運算方。運算方包括點乘、點加、點倍等運算，其能夠為物聯網多設備通信信號設計出多種候選密鑰，再通過乘法選擇判斷篩選出較為合理的密鑰作為最終密鑰，最終密鑰和候選密鑰將被存入緩存器。隨后，緩存器將最終密鑰傳送給收發單位，候選密鑰則會被反饋回運算方。當最終密鑰被不正常破解時，加密模塊會在第一時間調用候選密鑰，以保證物聯網多設備的通信安全。

對于要求快速收發信息的用戶，物聯網多設備通信加密模塊選取了哈希密鑰加密方式解決這一問題。哈希密鑰能夠將二進制信息轉換成特定長度的散列，利用哈希函數對散列進行加密。由于其加密過程無法復原，保密性較強，便能保證物聯網多設備的通信安全。

1.3 密鑰分發端設計

當物聯網多設備通信加密模塊為信息流選擇了對稱密鑰加密，則應通過密鑰分發端將信號的密鑰分發給收發單位。為了避免分發過程中發生密鑰泄露，并盡可能降低信號通信對物聯網網絡連通能力的影響，應將密鑰拆分并單獨分發，以保證較高的分發效率，并防止時間過長造成密鑰失效。

密鑰的拆分工作應基于物聯網節點特點進行，物聯網中存在能量弱、存儲區域小的低級節點和能量強、存儲區域大的高級節點。對于利用低級節點分發密鑰的情況，經拆分后的每段密鑰應不超出低級節點的存儲能力；對于利用高級節點分發密鑰的情況，其密鑰拆分段數應綜合各方面因素（包括節點轉發安全、能量干擾因素、危機節點平衡問題等）考慮，保證物聯網多設備通信加密模塊的防御能力。

1.4 密鑰認證端設計

密鑰認證端對物聯網多設備通信密鑰的認證是基于網絡應用層的，即持有密鑰的收發單位需在密鑰認證端進行手動認證，圖3是密鑰認證端工作原理圖。

由圖3可知，密鑰認證端的工作原理：在物聯網多設備通信的密鑰認證工作中，由發送單位首先認證，認證成功后，密鑰認證端會生成認證指令并傳輸給接收單位，接收單位應在規定時間內驗證密鑰；若收發單位共同認證成功，密鑰認證端則會為收發單位提供信息下載通道。

2 物聯網多設備通信中的加密模塊實現

加密模塊通過加密模塊處理信息的流程圖以及函數實現具體的多設備通信加密處理。

對于物聯網多設備通信產生的較大信息量，需經由對稱密鑰進行加密。物聯網多設備的通信信息和網絡用戶均較為繁雜，若想提高整個加密模塊的防御能力，應在對稱密鑰加密的基礎上，將多設備通信信息分級傳輸，以增強破解的困難程度。同時，分級傳輸還可以在一定程度上縮減物聯網多設備通信加密模塊的計算量。加密模塊對物聯網多設備通信信息的處理流程圖如圖4所示。

3 實 驗

本文旨在設計出對網絡連通能力的影響較小、防御能力較強的物聯網多設備通信加密模塊，現對所設計的加密模塊對網絡連通能力的影響，及其防御能力進行驗證。

3.1 對網絡連通能力的影響驗證

實驗在相同的物聯網網絡環境下，給出三種不同數量的物聯網多設備通信信息，利用對稱密鑰、橢圓曲線密鑰和哈希密鑰對相對應的信息進行加密設計，分別記錄下三種加密設計下的網絡連通率，如圖5所示。實驗中物聯網初始網絡連通率的范圍為[97%，100%]。

由圖5可知，三種加密設計下的網絡連通率由高到低依次為哈希密鑰、橢圓曲線密鑰、對稱密鑰。該結果說明網路連通率與密鑰的復雜程度有關，復雜程度越高的密鑰，所占用的內存就越大，對網絡連通率的影響就越大。由于圖5中的三條曲線波動不明顯，故通過分析三條曲線的平均值，便能較好地反映出加密模塊對網絡連通能力的影響。信息在哈希密鑰、橢圓曲線密鑰、對稱密鑰加密設計下的平均網絡連通率分別為99.8%，98.3%，97.1%。三條曲線的平均值均超出97%，且相差不大，驗證了所設計的加密模塊對網絡連通能力影響較小。

3.2 防御能力驗證

為驗證物聯網多設備通信加密模塊的防御能力，構建擁有50個節點的物聯網，進行兩組實驗。在兩組實驗的進行狀態下，在物聯網中分別依次接入15個、30個襲擊節點，經由所設計的加密模塊對其進行密鑰設計和傳輸，并利用襲擊節點同步或單獨對物聯網多設備通信信息進行1 000次襲擊，記錄下兩組實驗中信息被成功襲擊的次數。圖6是15個襲擊節點襲擊成功次數曲線，圖7是30個襲擊節點襲擊成功次數曲線。

由圖6和圖7可知，當少于4個襲擊節點單獨或共同對物聯網多設備通信信息進行襲擊時，所設計的加密模塊完全不受襲擊干擾。隨著襲擊節點接入數量的增多，襲擊成功次數也逐漸增多，但增長趨勢較為緩慢，如圖6中，在15個襲擊節點共同襲擊的情況下，僅有2次襲擊成功，此時加密模塊的防御能力為99.8%；圖7中，在30個襲擊節點共同襲擊的情況下，僅有4次襲擊成功，此時加密模塊的防御能力為99.6%。以上結果說明，所設計的物聯網多設備通信加密模塊擁有較強的防御能力。

4 結 論

本文對物聯網多設備通信中的加密模塊進行優化設計，模塊中的密鑰設計端為物聯網多設備通信信息設計密鑰，密鑰分為對稱密鑰和非對稱密鑰。當信息量較大時，選用對稱密鑰進行加密設計，密鑰分發端將對稱密鑰拆分，并單獨分發給收發單位；當信息量不大時，則選用非對稱密鑰，所設計的非對稱密鑰將直接傳輸給收發單位。持有密鑰的收發單位在密鑰認證端共同認證成功后，便可下載物聯網多設備通信信息。模塊實現部分給出了加密模塊處理信息的流程圖以及函數。實驗結果表明，所設計的加密模塊擁有較強的防御能力，且對物聯網網絡連通能力影響較小。

參考文獻

[1] 路紅，廖龍龍.物聯網空間內LBS隱私安全保護模型研究[J].計算機工程與應用，2014，50（15）：91?96.

[2] 孫秀娟，趙會群.EPC物聯網中標簽加密算法研究[J].北京工業職業技術學院學報，2014，13（4）：19?23.

[3] 葉翔，徐展，胡翔，等.低成本有源RFID雙向認證加密方案[J].計算機應用，2014，34（2）：456?460.

[4] 李超良，王國軍，劉琴.一種支持隱私保護的物聯網動態完整性檢測方案[J].小型微型計算機系統，2014，35（2）：307?310.

[5] 王雄，朱志祥，許輝輝.MD5加密逆向破解及安全性改進[J].西安文理學院學報（自然科學版），2014，17（1）：101?104.

[6] LOISEL Yann， DI VITO Stephane.保證IOT安全：第一部分：公鑰加密保證所連設備的安全[J].中國集成電路，2015，24（6）：41?46.

[7] 曾萍，張歷，楊亞濤，等.一種基于HECRT的物聯網密鑰管理方案[J].計算機工程，2014，40（8）：27?32.

[8] 張晶，薛冷，崔毅，等.基于無線傳感器網絡的雙混沌數據加密算法建模與評價[J].山東大學學報（理學版），2015，50（3）：1?5.

[9] 王坤，周清雷.新物聯網下的RFID雙向認證協議[J].小型微型計算機系統，2015，36（4）：732?738.

[10] 宋生宇，張紫楠，王亞弟，等.物聯網中移動節點抗克隆攻擊的UC安全認證協議[J].計算機科學，2014，41（4）：168?171.