基于CK01模型的物聯網節點密鑰交換和更新算法研究

歐志球，王錚

（浙江機電職業技術學院計算機工程學院，杭州310053）

0 引言

隨著物聯網的發展，安全高效的物聯網網絡設備管理成為研究熱點[1][11][14]，當前研究協議包括簡單網管協議（Simple Network Management Protocol，SNMP）、用戶終端廣域網管理協議TR069（Technical Report）和私有管理協議等[14]。文獻[11]提出一種基于SM4密碼算法的私有管理協議，可針對智能家居網絡的惡意攻擊、及時發現入侵并報警；文獻[14]提出一種基于TR069協議的無線傳感器網絡網關管理方案。與另外兩種協議相比，SNMP協議作為事實上的計算機網絡管理協議標準，得到眾多廠家的支持和廣泛的應用[11]，開始廣泛應用于物聯網的節點[1-2]。但SNMP的V1和V2C安全性考慮不多，引入安全模式的SNMPv3也存在安全隱患[8]。因此，實現基于SNMPv3的安全高效密鑰生成、交換與管理具有極強的現實意義和應用價值。

目前國內針對SNMPv3在物聯網領域的安全研究不多，文獻[8-9]提出了一些啟發式的密鑰交換算法，但缺乏形式化的安全證明以及密鑰更新處理；安全研究主要來自SNMP項目組，其在最新的RFC5590中擴充定義了三種安全模型的解決方案：基于原有RFC3414的用戶安全模型（User-based Security Model，USM）模型[2]；基于傳輸層安全的 TSM（Transport Security Model）模型[3-6]；基于原有USM模型，但引入其他安全協議增強其安全性。目前USM在SNMPv3中得到廣泛應用，但該模型中密鑰生成與更新算法存在安全漏洞，同時沒有定義如何進行安全的密鑰交換。本文首先簡要說明SNMPv3的體系結構和安全機制，并分析USM密鑰生成算法的在無線網絡管理中的漏洞，提出安全的密鑰交換方法并予以證明，最后提出相應的方案設計和實現。

1 SNMPv3的體系結構和安全機制

SNMPv3的體系結構如圖1所示，它的安全性主要由USM和視圖訪問控制模型（View Access Control Model，VACM）提供[3]，包括：

（1）密鑰產生、交換與更新。定義了密鑰的產生、本地化和更新的機制；

（2）認證。認證包括數據完整性和數據源認證。USM認證通過哈希消息驗證代碼（Hash Message Au-thentication Codes，HMAC）算法實現，標準推薦使用MD5或SHA算法；

（3）加解密。對消息的內容進行加密，避免泄漏。標準推薦使用DES算法；

（4）訪問控制。SNMPv3通過VACM實現對于具體用戶基于組（視圖）的訪問權限控制；

（5）實體間時間同步以及消息合時性檢查。標準通過消息頭中的engineBoot和engineTime實現實體間的時間同步與消息的合時性檢查，從而防止消息重發、復制和延遲。

圖1 SNMPv3的體系結構

2 密鑰安全交換與更新算法設計

密鑰安全交換與管理SNMPv3協議的核心，包括密鑰生成、交換和更新等部分。

2.1 現有協議密鑰生成與交換

SNMPv3推薦的密鑰生成算法如圖2所示[3]。

圖2 標準定義的密鑰生成算法

該算法存在以下問題：

（1）USM密鑰來源于engineID和用戶口令。其中engineID在鏈路上采用明文傳輸，而用戶口令一般都比較簡單，容易被猜解，因此密鑰安全性存在漏洞；

（2）巨大的網絡規模，不同的設備如果都采用不同的口令，則口令的維護十分繁雜；這使得用戶傾向于使用同一個口令應用于所有網絡節點，因此如果一個設備被破解，會波及到其他設備；

（3）算法沒有定義如何進行安全的口令或密鑰交換。

2.2 安全密鑰生成與交換理論證明

密鑰交換常用的算法是迪菲-赫爾曼密鑰交換算法(Diffie-Hellman，DH)算法，可以解決上面提到問題，但DH算法無法抵御中間人攻擊，因此引入形式化的安全模型CK01，在該模型下有如下定義和定理[10]：

定義1：認證鏈路模型（AM）下會話密鑰（SK）安全。如果對于允許詢問TestSession查詢的AM敵手A(不允許SessionExpiration查詢)，協議P能滿足以下條件則稱其在AM下SK安全的密鑰協商協議：

（1）如果兩個未被攻陷的參與者完成了匹配會話，則它們輸出相同的會話密鑰；

（2）A區分P產生的會話密鑰和隨機數的概率不超過0.5+ε，其中ε為一個與安全參數k有關的可忽略函數。

定理1：如果判定性Diffie-Hellman（DDH）假設是困難的，則DH協議在AM中是會話密鑰安全的。

定理2：設P在AM中是SK安全密鑰交換協議，λ是一個消息傳輸認證器，則P'=Cλ(P)在非認證鏈路模型（UM）中是SK安全密鑰交換協議。

其中UM是非認證鏈路模型，即真實的網絡模型；AM是認證鏈路模型。

推論：如果DDH假設是困難的，通過采用基于公鑰基礎設施（Public Key Infrastructure，PKI）的證書管理機構（Certificate Authority，CA）認證方式，可以使用DH協議實現SNMPv3在UM中的會話密鑰安全交換。

證明：根據定理1，因為DDH是困難的，所以P=DH在AM中是會話密鑰安全的；

設λ為基于PKI的CA認證方式消息傳輸認證器，則根據定理2，P'=Cλ(P)在UM中是SK安全的密鑰交換協議；

因此，可使用DH協議實現SNMPv3在UM中的會話密鑰安全交換。

2.3 新的安全密鑰生成與交換算法

根據推論以及文獻[10]的SIG-DH密鑰交換協議，設p,q為大素數，q|p-1，g為階是素數q的數域G的一個生成元，代理實體A和管理實體M共享g和p，s是會話標識。A和M各有一個用于簽名的證書CertA和CertB，Sig為簽名算法。流程如下：

（1）A發送申請密鑰消息(A,s,req,Sigi(A,s,req,M))給M；

（2）M收到消息(A,s,req,Sigi(A,s,req,M))后，驗證簽名以及包含簽名信息的消息的正確性，如果驗證通過，則任意選擇 xM∈，并發送消息(M,s,ym=gxM,Sigj(M,s,ym,A))給 A；

（3）A收到消息(M,s,ym=gxM,Sigj(M,s,ym,A))后，驗證簽名以及包含簽名信息的消息，如果驗證通過，任意選擇xA∈，發送消息(A,s,yA=gxA,Sigk(A,s,ym,yA,M))給M，計算會話標識s的會話密鑰K=K=gxAxM，移除 x；

AMA

（4）M收到消息(A,s,yA=gxA,Sigk(A,s,ym,yA,M))后，驗證簽名以及包含簽名信息的消息，如果驗證通過，計算會話標識s的會話密鑰K=KMA=gxMxA，移除xM。

綜上所述，新的密鑰生成與交換算法與其他算法安全性能比較如表1所示。

表1 密鑰交換生成算法安全性能比較

2.4 現有協議密鑰更新

圖3 標準定義的密鑰更新算法

SNMPv3推薦的密鑰更新算法如圖3所示[3]：該算法通過差量方式計算并更新新的Key，但如果原有Key已經泄露，則新的Key將也被泄露。

2.5 新的密鑰更新算法

根據2.2的證明，可采用同樣基于PKI的CA認證方式，使用DH實現密鑰的在UM中安全更新。流程如下：

（1）M發送更新密鑰消息(M,s,req,Sigi(M,s,req,A))給A；

（2）A收到消息(M,s,req,Sigj(M,s,req,A))后，驗證簽名以及包含簽名信息的消息，如果驗證通過，發送申請密鑰消息(A,s,req,Sigi(A,s,req,M))給M；

（3）后續流程與密鑰生成與交換算法流程（2）～（4）相同。

綜上所述，新的密鑰生成與交換算法與其他算法安全性能比較如表2所示。

表2 密鑰更新算法安全性能比較

3 實現和驗證

圖4為算法實驗與驗證環境，管理實體安裝和使用Apache 2.2 Web服務器、Tomcat7.0 Java Web容器，SNMP4J1.8和JDK1.6運行環境；代理實體應安裝和使用SNMP-Agent2.0和JDK1.6運行環境，如圖4所示：

圖4 算法運行環境

該算法的實現包括：證書生成與部署、會話密鑰生成與交換、密鑰更新以及密鑰使用。核心的密鑰生成與交換實現如圖5所示，密鑰更新算法類似。核心偽代碼如下：

//生成yM

KeyPairGenerator keyGen=KeyPairGenerator.getInstance("DH");

keyGen.initialize(dhParamSpec);

privKeyPair=keyGen.generateKeyPair();

privAgreement=KeyAgreement.getInstance("DH");

privAgreement.init(privKeyPair.getPrivate());

byte[]pubPrivKeyEnc=privKeyPair.getPublic().getEncoded(); //生成 xA和yA

DHParameterSpecdhParamSpec= ((DHPublicKey)mgrPubKey).getParams();

KeyPairGenerator agtKpairGen= KeyPairGenerator.getInstance("DH");

agtKpairGen.initialize(dhParamSpec);

KeyPair agtKpair=agtKpairGen.generateKeyPair();

KeyAgreement agtKeyAgree=KeyAgreement.getInstance("DH");

agtKeyAgree.init(agtKpair.getPrivate());

agtKeyBuf=agtKpair.getPublic().getEncoded();

agtKeyAgree.doPhase(mgrPubKey,true);

agtPrivKey=agtKeyAgree.generateSecret(PRIV_ALGORITHM);

//生成管理端Key

X509EncodedKeySpec x509KeySpec=new X509EncodedKeySpec(agtKeyBuf);

PublicKey agtPubKey = mgtKeyFac.generatePublic(x509KeySpec);

privAgreement.doPhase(agtPubKey,true);

mgtPrivKey=privAgreement.generateSecret(algorithm);

管理者與代理兩端使用OpenSSL生成認證證書，在密鑰交換或更新完成后，在SNMP4J中，可以通過USM.addLocalizedUser()方法設置本地化的Key。

圖6為測試系統在密鑰交換過程中的數據包情況，從91～97完成會話協商，第98個包開始密鑰申請請求，到第107個包完成密鑰的交換。

表3為該算法在各個階段的時間開銷統計，在測試局域網中，實際網絡傳輸時間在毫秒內，因此表中后面兩項可以視為DH算法實質計算所需時間。從表中數據分析，新的算法相比純粹的DH算法增加了～22%的時間開銷。考慮到密鑰的生成、交換與更新實質不是頻繁操作，該性能開銷可以接受。而且在實際工作環境中，該部分開銷還可以通過拓展帶寬與提升機器硬件減少。

圖5 密鑰生成與交換實現

圖6 實際系統運行結果

表3 算法時間開銷(單位ms)

4 結語

對于大規模的物聯網無線網絡，基于USM模型的SNMPv3標準安全性不能很好地滿足其安全性和易部署維護的要求，尤其是密鑰交換過程更為關鍵，采用CK01安全模型可以設計可信的密鑰交換協議解決上述問題。另外，新的SNMPv3協議引入了TSM安全模型，也可以從傳輸層控制的角度進一步增強SNMPv3 協議的安全性。