WSN中基于物理不可克隆函數(shù)的簇內(nèi)密鑰分配

柳亞男,張 正,邱 碩,程 遠(yuǎn)

(金陵科技學(xué)院 網(wǎng)絡(luò)安全學(xué)院,南京 211169)

0 概述

無線傳感器網(wǎng)絡(luò)(Wireless Sensor Network,WSN)的很多應(yīng)用場景是戰(zhàn)場環(huán)境或條件惡劣的無人區(qū),傳感器節(jié)點和無線信道都容易受到惡意攻擊,如物理捕獲節(jié)點、數(shù)據(jù)篡改、側(cè)信道攻擊等。數(shù)據(jù)加密是保障安全通信的常用技術(shù),而密鑰分配和協(xié)商是加密的前提和基礎(chǔ)。

2002年,ESCHENAUER等人針對傳感器資源受限的缺點提出隨機(jī)密鑰預(yù)分配方案[1]。2007年,DU等人將Eschenaue方案應(yīng)用到層次型傳感器網(wǎng)絡(luò),提出非對稱預(yù)分配(AP)[2],這類“概率型”方案計算和通信開銷低,但密鑰存儲量大,網(wǎng)絡(luò)連通性和安全性差。2009年,BOUJELBEN等人基于Blom矩陣提出的密鑰管理方案[3],提高了節(jié)點抗俘獲性,但矩陣運(yùn)算的計算開銷較高。2015年,ERFANI等人基于Eschenauer方案,提出一種結(jié)合密鑰預(yù)分配和部署后密鑰建立機(jī)制的動態(tài)傳感器網(wǎng)絡(luò)密鑰管理方案[4]。在網(wǎng)絡(luò)部署前,傳感器節(jié)點中預(yù)存儲一定數(shù)目的密鑰;在網(wǎng)絡(luò)部署后,無法建立共享密鑰的鄰居節(jié)點通過其他方式生成會話密鑰。在Erfani的方案中,基站參與了簇內(nèi)密鑰分配過程,帶來過多的通信開銷。此外,基于共享密鑰的方案缺乏有效的認(rèn)證機(jī)制,當(dāng)敵手通過物理俘獲等手段而獲取節(jié)點內(nèi)容密鑰時,可以進(jìn)行克隆節(jié)點、假冒攻擊,并進(jìn)一步實施中間人攻擊等惡意行為。在公鑰算法方面,2012年,ALAGHEBAND等人提出基于橢圓曲線加密算法(ECC) 的分層異構(gòu)傳感器網(wǎng)絡(luò)的動態(tài)安全密鑰管理模型(DSKM)[5];2018年,MA等人提出基于ECC的分層密鑰管理方案[6],但是對于普通傳感器而言,存儲量以及公鑰計算開銷仍然較大。

針對上述方案存在的問題,本文提出一種基于物理不可克隆函數(shù)(PUF)的低能耗密鑰分配方案,解決層次型傳感器網(wǎng)絡(luò)中傳感器與網(wǎng)關(guān)之間的簇內(nèi)密鑰分配問題。利用PUF的激勵響應(yīng)對實現(xiàn)密鑰分配和雙向認(rèn)證,提高節(jié)點抗俘獲性。針對大規(guī)模傳感器網(wǎng)絡(luò)中節(jié)點隨機(jī)部署的特征,提出直接和間接密鑰協(xié)商兩種具體方案,以提高網(wǎng)絡(luò)安全連通性。

1 基于PUF的安全協(xié)議研究

物理不可克隆函數(shù)(PUF)是一種新興的加密組件,能夠提取集成電路內(nèi)門電路或連接線間由于制造工藝的不一致性而引入的隨機(jī)差異,并利用這些隨機(jī)差異以一定規(guī)則生成加密(響應(yīng))信號[7]。物理對象中的隨機(jī)差異可以理解成它的“指紋”,是該物理對象所特有的。除基于集成電路的PUF外,還有硅PUF和涂層PUF等。PUF具有運(yùn)算快、不可克隆性和不可預(yù)測性,在無線傳感器網(wǎng)絡(luò)的輕量級認(rèn)證和安全密鑰生成方面具有極高的研究價值。與使用數(shù)字證書不同,PUF的認(rèn)證基于激勵響應(yīng)對(CRP)機(jī)制,不僅提高了運(yùn)算速度,而且能夠減小密鑰存儲開銷,進(jìn)而降低密鑰暴露的風(fēng)險。

在安全協(xié)議設(shè)計中,可以將PUF結(jié)構(gòu)看作是單向函數(shù)的硬件等價物,并具有易于制造、不可克隆和不可預(yù)測的屬性。將PUF結(jié)構(gòu)看作一個黑盒的激勵響應(yīng)系統(tǒng),針對任一激勵值可產(chǎn)生唯一對應(yīng)的響應(yīng)值,而根據(jù)響應(yīng)值卻無法推導(dǎo)出激勵值。利用函數(shù)P來表示PUF的單向性:

P:C→R:P(c)=r,c∈C,r∈R

(1)

其中,C和R分別是激勵集合和響應(yīng)集合,函數(shù)P是PUF結(jié)構(gòu)的數(shù)學(xué)模型,激勵值c與對應(yīng)的響應(yīng)值r稱為該P(yáng)UF結(jié)構(gòu)P的一個激勵響應(yīng)對(CRP):(c,r)。

身份認(rèn)證是物理不可克隆函數(shù)最常見的應(yīng)用。不可克隆性、單向運(yùn)算性和防篡改特性,使得PUF在身份認(rèn)證協(xié)議設(shè)計中成為一種非常有效的技術(shù)手段。基于PUF身份認(rèn)證分為注冊階段和認(rèn)證階段,在注冊階段中,認(rèn)證服務(wù)器數(shù)據(jù)庫中儲存PUF的激勵響應(yīng)對以及嵌入PUF的物理設(shè)備的身份標(biāo)識。認(rèn)證階段中,認(rèn)證服務(wù)器從數(shù)據(jù)庫中挑選一個激勵并發(fā)送給設(shè)備,設(shè)備運(yùn)行PUF輸出對應(yīng)的響應(yīng),認(rèn)證服務(wù)器將PUF在線產(chǎn)生的響應(yīng)與數(shù)據(jù)庫中預(yù)存儲的值進(jìn)行比較,如果相同則認(rèn)證成功,否則認(rèn)證失敗。為防止重放攻擊,認(rèn)證服務(wù)器將已經(jīng)使用過的激勵響應(yīng)對刪除。基于PUF的認(rèn)證方案加快了認(rèn)證過程,同時減少了密鑰存儲量,從而降低密鑰暴露的風(fēng)險,提高節(jié)點抗俘獲性。

PUF電路的實現(xiàn)方法產(chǎn)生的響應(yīng)存在一定的錯誤概率。因此,通常引入糾錯程序來降低錯誤響應(yīng)生成[8]。2008年,GUAJARDO等人基于PUF結(jié)構(gòu),在可信第三方參與和不參與兩種場景下提出兩個安全密鑰分配方案[9]。2013年,BAHRAMPOUR等人利用PUF結(jié)構(gòu)實現(xiàn)公鑰分發(fā),由此實現(xiàn)傳感器間的密鑰協(xié)商,提高節(jié)點安全性的代價是較高的公鑰計算開銷[10]。2015年,ABUTALEB等人結(jié)合PUF和信道狀態(tài)信息(CSI)提出一個點對點的物理層認(rèn)證與密鑰交換方案,避免使用預(yù)共享密鑰,并降低了通信量[11]。2017年,LIU等人提出基于SRAM PUF的雙向認(rèn)證[12]。同年,WANG等人提出基于PUF和IPI的可穿戴設(shè)備的雙因子認(rèn)證協(xié)議[13],CHATTERJEE等人提出了一種基于PUF的安全通信協(xié)議[14],將PUF與雙線性對相結(jié)合構(gòu)造公鑰生成器。2018年,BRAEKEN通過使用橢圓曲線Qu-Vanstone(ECQV)[15]提高了Chatterjee協(xié)議的計算效率。2019年,LI等人利用雙線性對提出基于PUF的物聯(lián)網(wǎng)安全通信系統(tǒng),實現(xiàn)消息認(rèn)證[16]。研究人員還提出將PUF構(gòu)造密鑰生成器的認(rèn)證協(xié)議,如2006年TUYS等人提出的Schnorr認(rèn)證協(xié)議[17],2007年BATINA等人提出的Okamoto認(rèn)證協(xié)議[18],2019年USMANI等人利用FPGA實現(xiàn)了Anderson PUF擴(kuò)展,降低了密鑰生成器的比特錯誤輸出率[19]。在這些基于PUF的認(rèn)證協(xié)議中,PUF的激勵響應(yīng)對大多是明文傳輸,當(dāng)敵手獲得大量的CRP樣本后,可能對PUF實施建模攻擊。

2 網(wǎng)絡(luò)模型和攻擊模型

2.1 簇狀網(wǎng)絡(luò)模型

大規(guī)模無線傳感器網(wǎng)絡(luò)通常部署為層次型簇狀結(jié)構(gòu),包含多種異構(gòu)節(jié)點,如低能耗的傳感器節(jié)點、負(fù)責(zé)成簇和數(shù)據(jù)融合的網(wǎng)關(guān)節(jié)點以及作為管理中心和安全中心的服務(wù)器。傳感器被劃分為不重疊的簇從周圍環(huán)境中采集信息,并通過短距離通信將原始數(shù)據(jù)發(fā)送給網(wǎng)關(guān)。網(wǎng)關(guān)是簇內(nèi)的數(shù)據(jù)處理和融合的中心節(jié)點,將處理后的數(shù)據(jù)通過長距離通信傳送給服務(wù)器。與傳感器相比,網(wǎng)關(guān)通常具有更高的硬件配置,包括更大的功率、內(nèi)存和計算處理能力。

2.2 攻擊模型

經(jīng)典的Dolev-Yao 模型[20]定義攻擊模型如下:敵手可任意偵聽、截獲、插入、刪除或阻斷流經(jīng)公開信道中的消息。隨著邊信道攻擊技術(shù)(如功耗攻擊、電磁攻擊和計時攻擊)的發(fā)展[21],敵手可分析出智能卡內(nèi)安全參數(shù),攻擊能力得到增強(qiáng)。本文在此基礎(chǔ)上主要考慮以下攻擊:

妥協(xié)攻擊:敵手通過物理入侵方式獲取內(nèi)部存儲的標(biāo)識、密鑰等信息,從而使節(jié)點妥協(xié),并進(jìn)一步達(dá)到克隆節(jié)點、破解加密鏈路的目的。

重放攻擊:敵手利用截獲到的有效數(shù)據(jù)重復(fù)傳輸以欺騙數(shù)據(jù)中心、服務(wù)器或其他傳感器節(jié)點。

假冒攻擊:敵手投放非法節(jié)點以假冒正常節(jié)點,從而欺騙數(shù)據(jù)中心竊取通信內(nèi)容。認(rèn)證協(xié)議的主要目標(biāo)是阻止敵手對節(jié)點的假冒攻擊,完成服務(wù)器對節(jié)點的合法性認(rèn)證。

克隆攻擊:敵手利用非法獲取合法節(jié)點的標(biāo)識、密鑰等信息,偽造一個新的節(jié)點并投入網(wǎng)絡(luò),從而達(dá)到欺騙數(shù)據(jù)中心以非法獲取、篡改數(shù)據(jù)等目的。

中間人攻擊:敵手通過假冒合法節(jié)點騙取其他節(jié)點、服務(wù)器的信任,入侵網(wǎng)絡(luò)數(shù)據(jù)交互過程,從而非法獲取數(shù)據(jù)。該攻擊往往與假冒攻擊、重放攻擊、克隆攻擊等結(jié)合實施。

建模攻擊:是PUF面臨的一種主要威脅[22]。文獻(xiàn)[23]利用線性規(guī)劃和進(jìn)化策略等數(shù)學(xué)手段,仿造出基于仲裁器PUF的一類線性模型。此類線性模型實際是一個簡化壓縮的激勵響應(yīng)對數(shù)據(jù)庫。隨后研究人員通過向PUF中添加噪聲增加了敵手建立模型的難度,但是仍然可以被模型化。在本文方案中,PUF的激勵響應(yīng)對不是明文傳輸,因此可以有效抵抗建模攻擊。

3 基于PUF的密鑰分配方案

本節(jié)針對大規(guī)模網(wǎng)絡(luò)中節(jié)點隨機(jī)部署的特征,提出一個基于PUF結(jié)構(gòu)的密鑰預(yù)分配方案。在每個簇中,實現(xiàn)網(wǎng)關(guān)對簇內(nèi)傳感器節(jié)點的雙向認(rèn)證與密鑰分配。具體分為初始化階段、直接密鑰分配階段和間接密鑰分配階段。

3.1 初始化階段

假設(shè)網(wǎng)絡(luò)中有n個傳感器節(jié)點S1,S2,…,Sn和m個網(wǎng)關(guān)節(jié)點G1,G2,…,Gm。

1)在網(wǎng)絡(luò)部署之前,每個傳感器節(jié)點Si被嵌入一個帶有PUF結(jié)構(gòu)的芯片,表示為Psi。

2)為每個傳感器節(jié)點Si隨機(jī)指定l個網(wǎng)關(guān)節(jié)點,稱為Si的“邏輯網(wǎng)關(guān)”,表示為Si-LG1,2,…,l。

3)為Si生成l個Psi的激勵響應(yīng)對,記為(cj,rj)Si,其中j=1,2,…,l,并將l個二元組分別保存到l個“邏輯網(wǎng)關(guān)”Si-LGj中。

假設(shè)初始化階段不存在竊聽或物理俘獲等攻擊行為。如假設(shè)傳感器網(wǎng)絡(luò)中包括n=6個傳感器節(jié)點S1～S6和m=3個網(wǎng)關(guān)節(jié)點G1、G2、G3。令l=2,因此為每個傳感器節(jié)點隨機(jī)指定2個“邏輯網(wǎng)關(guān)”,其對應(yīng)關(guān)系如圖1所示。如傳感器節(jié)點S1被指定的“邏輯網(wǎng)關(guān)”是G1和G3,即S1-LG1=G1,S1-LG2=G3。將S1所嵌入的PUF結(jié)構(gòu)Ps1生成激勵響應(yīng)對的二元組和分別存入G1和G3。

圖1 傳感器節(jié)點與其邏輯網(wǎng)關(guān)對應(yīng)關(guān)系

3.2 隨機(jī)部署與成簇

假設(shè)全體節(jié)點被隨機(jī)部署在目標(biāo)區(qū)域,因此無法提前預(yù)測各節(jié)點(包括網(wǎng)關(guān)與傳感器)的物理位置。網(wǎng)絡(luò)部署后網(wǎng)關(guān)節(jié)點首先啟動成簇算法(不在本文討論范圍,可參考文獻(xiàn)[24]),將全體傳感器節(jié)點以網(wǎng)關(guān)節(jié)點為單位劃分成各不交叉覆蓋的簇。每個簇中包括一個網(wǎng)關(guān)節(jié)點,稱為該簇中傳感器節(jié)點的“物理網(wǎng)關(guān)”,記為S-PG。“物理網(wǎng)關(guān)”稱為該簇的簇頭,簇中的傳感器節(jié)點稱為簇成員。為保障簇頭與簇成員間的短距離安全通信,簇頭需要認(rèn)證簇成員的身份,并生成會話密鑰分配給簇成員,即簇內(nèi)認(rèn)證與密鑰分配。

每個簇的平均規(guī)模是n/m,對于任一傳感器節(jié)點Si,如果其“邏輯網(wǎng)關(guān)”與“物理網(wǎng)關(guān)”相同,即?j∈{1,2,…,l},使得Si-LGj=Si-PG成立,則Si與“物理網(wǎng)關(guān)”Si-PG執(zhí)行直接密鑰分配;反之,執(zhí)行間接密鑰分配。網(wǎng)絡(luò)部署情況如圖2所示,網(wǎng)關(guān)節(jié)點建立簇后,獲得簇成員標(biāo)識。例如,以網(wǎng)關(guān)節(jié)點G1為簇頭的簇中包括傳感器節(jié)點S1和S4。

圖2 簇狀傳感器網(wǎng)絡(luò)模型

由圖2可知,簇成員S1的“邏輯網(wǎng)關(guān)”之一是G1,因此G1可以通過直接密鑰分配來實現(xiàn)對S1的認(rèn)證與密鑰分配。簇成員S4的“邏輯網(wǎng)關(guān)”分別是G2和G3,即初始化階段已將S4的兩個激勵響應(yīng)對(c1,r1)S4和(c2,r2)S4分別存儲在G2和G3中。此時,G1通過間接密鑰分配實現(xiàn)對S4的認(rèn)證與密鑰分配。

3.3 直接密鑰分配階段

如果傳感器Si的“邏輯網(wǎng)關(guān)”與“物理網(wǎng)關(guān)”相同,則“物理網(wǎng)關(guān)”Si-PG在初始化階段存儲了Si的激勵響應(yīng)對。

以圖2中網(wǎng)關(guān)G1與傳感器S1為例,直接密鑰分配步驟如下:

1)網(wǎng)絡(luò)部署后,網(wǎng)關(guān)G1從本地讀取二元組

(c1,r1)S1>,將激勵c1明文發(fā)送給傳感器節(jié)點S1。

2)傳感器節(jié)點S1將激勵值c1輸入PUF結(jié)構(gòu)PS1,得到相應(yīng)的響應(yīng)值rS1:rS1=PS1(c1)。

3)傳感器節(jié)點S1使用rS1作為加密密鑰加密c1得到cipher=E(rS1,c1),其中E表示加密函數(shù),使用對稱加密算法可以有效降低計算開銷。

4)傳感器節(jié)點S1將密文cipher發(fā)送給網(wǎng)關(guān)G1。

5)網(wǎng)關(guān)G1利用中的r1作為解密密鑰得到plain=D(r1,cipher)=D(r1,E(rS1,c1)),并將plain與c1進(jìn)行比較。其中D表示解密函數(shù),并與E相對應(yīng)。如果plain=c1成立,則r1=rS1成立,由于響應(yīng)值rS1是PUF結(jié)構(gòu)PS1根據(jù)激勵c1在線產(chǎn)生,且具有不可克隆和不可預(yù)測性,可作為節(jié)點S1的唯一性特征,由此網(wǎng)關(guān)G1對傳感器節(jié)點S1的身份認(rèn)證通過;反之,認(rèn)證不通過。

6)感器節(jié)點S1的身份認(rèn)證通過后,網(wǎng)關(guān)G1生成會話密鑰,表示為keyGS1,使用r1作為加密密鑰加密keyGS1得到cipher2=E(r1,keyGS1)。

7)網(wǎng)關(guān)G1將密文cipher2發(fā)送給傳感器節(jié)點S1。

8)傳感器節(jié)點S1使用rS1作為解密密鑰對cipher2進(jìn)行解密,得到:plan2=D(rS1,cipher2)=D(rS1,E(r1,keyGS1))=keyGS1,由此獲得會話密鑰keyGS1,完成密鑰分配。

直接密鑰分配具體步驟如圖3所示。與密鑰預(yù)分配方案不同,在初始化階段,傳感器節(jié)點嵌入的是PUF結(jié)構(gòu)的芯片而非密鑰,因此,節(jié)點投放后即使被敵手物理俘獲,也不會暴露密鑰。基于PUF結(jié)構(gòu)的身份認(rèn)證,比基于公鑰算法的數(shù)字證書效率更高。

圖3 直接密鑰的分配過程

3.4 間接密鑰分配

以圖3中網(wǎng)關(guān)節(jié)點G1與傳感器節(jié)點S4為例。間接密鑰分配步驟如下:

1)網(wǎng)關(guān)G1向其他網(wǎng)關(guān)節(jié)點廣播S4的標(biāo)識,目的是尋求S4的“邏輯網(wǎng)關(guān)”的幫助。

2)S4的“邏輯網(wǎng)關(guān)”之一G3從本地讀取二元組,將激勵響應(yīng)對(c2,r2)S4中的激勵值c2明文發(fā)送給G1。

3)G1將激勵值c2轉(zhuǎn)發(fā)給S4。

4)S4將激勵值c2輸入嵌入的PUF結(jié)構(gòu)PS4,得到相應(yīng)的響應(yīng)值rS4:rS4=PS4(c2)。

5)傳感器節(jié)點S4使用rS4作為加密密鑰加密c2得到cipher=E(rS4,c2),其中E表示加密函數(shù)。

6)S4使將密文cipher發(fā)送給“物理網(wǎng)關(guān)”G1。

7)G1將cipher轉(zhuǎn)發(fā)給G3。

8)G3利用中的r2作為解密密鑰得到plain=D(r2,cipher)=D(r2,E(rS4,c2)),并將plain與(c2,r2)S4中的c2進(jìn)行比較。其中D表示解密函數(shù),并與E相對應(yīng)。如果plain=c2成立,則r2=rS4成立,由于響應(yīng)值rS4是PUF結(jié)構(gòu)PS4根據(jù)激勵c2在線產(chǎn)生,且具有不可克隆和不可預(yù)測性,可作為節(jié)點S4的唯一性特征,由此“邏輯網(wǎng)關(guān)”G3對傳感器節(jié)點S4的身份認(rèn)證通過;反之,認(rèn)證不通過。

9)G3對感器節(jié)點S4的身份認(rèn)證通過后,生成會話密鑰,表示為keyGS4。G3使用keyG1-G3作為加密密鑰加密keyGS4得到cipher2=E(keyG1-G3,keyGS4);使用(c2,r2)S4中的r2作為加密密鑰加密keyGS4得到cipher3=E(r2,keyGS4)。

10)G3將cipher2和cihper3發(fā)給G1,并刪掉keyGS4。

11)G1用keyG1-G3作為解密密鑰解密cipher2得到keyGS4=D(keyG1-G3,cipher2)。

12)G1將cihper3轉(zhuǎn)發(fā)給S4。

13)S4利用rS4作為解密密鑰解密cihper3得到keyGS4=D(rS4,cipher3)=D(rS4,E(r2,keyGS4))。S4由此獲得會話密鑰keyGS4,完成密鑰分配。

間接密鑰分配的具體步驟如圖4所示。

圖4 間接密鑰的分配過程

4 安全性和性能分析

4.1 認(rèn)證性

網(wǎng)關(guān)節(jié)點通過將本地存儲的PUF激勵響應(yīng)對(c,r)中的響應(yīng)值r與傳感器節(jié)點返回的響應(yīng)值rS進(jìn)行比較,來對傳感器節(jié)點進(jìn)行身份認(rèn)證。若r=rS成立,則認(rèn)證成功;反之,認(rèn)證不成功。網(wǎng)關(guān)僅對身份認(rèn)證成功的傳感器節(jié)點進(jìn)行密鑰分配。

與基于公鑰基礎(chǔ)設(shè)施(PKI)的數(shù)字證書的認(rèn)證方式相比,基于PUF的認(rèn)證從硬件底層出發(fā),因此,運(yùn)算速度快、存儲量低。在當(dāng)前文獻(xiàn)中所提出的PUF認(rèn)證方案[15-16]中,認(rèn)證方明文發(fā)送激勵值c,被認(rèn)證設(shè)備根據(jù)c在線生成響應(yīng)值r,并將r明文返回服務(wù)器端。發(fā)送和返回過程將激勵和響應(yīng)全都暴露。為抵抗重放攻擊,通常一對CRP只使用一次。如果服務(wù)器需要對客戶端進(jìn)行多次認(rèn)證,則使用多個不同的激勵響應(yīng)對。但是,如果針對某一PUF的大量激勵響應(yīng)對被暴露在網(wǎng)絡(luò)中,容易被敵方實施建模攻擊,并試圖對PUF響應(yīng)值進(jìn)行猜測。

在本文方案中,激勵響應(yīng)對(c,r)被預(yù)存儲到網(wǎng)關(guān)中,PUF結(jié)構(gòu)被嵌入到傳感器,傳感器中并不存儲激勵響應(yīng)對。當(dāng)網(wǎng)關(guān)需要認(rèn)證傳感器身份時,將(c,r)中的激勵值c明文發(fā)送給傳感器,傳感器通過PUF在線生成一個響應(yīng)值rS。將rS作為加密密鑰生成c的密文并發(fā)送給網(wǎng)關(guān)進(jìn)行比較,而非傳統(tǒng)方案中明文發(fā)送響應(yīng)值,可以有效抵抗PUF的建模攻擊,并進(jìn)一步確保rS的唯一性與有效性以及傳感器節(jié)點的可認(rèn)證性。

4.2 節(jié)點抗俘獲性

傳感器網(wǎng)絡(luò)通常部署在無人值守環(huán)境中,敵手通過俘獲節(jié)點等物理攻擊手段非法獲取節(jié)點中的秘密信息。“節(jié)點的抗俘獲性”表示敵手根據(jù)一定數(shù)目的被俘節(jié)點能夠直接或間接獲得未俘節(jié)點中密鑰的概率,用F(x)表示,x表示被俘獲節(jié)點個數(shù)。

(1)

與經(jīng)典的“概率型”隨機(jī)密鑰預(yù)分配方案[1-2]不同,本文方案中傳感器節(jié)點不預(yù)存儲任何形式的密鑰,這不僅降低了節(jié)點的存儲開銷,而且提高了傳感器節(jié)點的抗俘獲性。因為即使節(jié)點被物理俘獲,敵手無法獲取被俘獲節(jié)點以外其他節(jié)點中的密鑰,所以傳感器節(jié)點具有完全抗俘獲性,即F(xS)=0,其中xS表示被俘獲傳感器節(jié)點個數(shù)。

網(wǎng)關(guān)節(jié)點擔(dān)任簇頭的角色,對內(nèi)負(fù)責(zé)與簇成員安全通信,對外與其他簇頭保持安全連通。初始化階段預(yù)存儲了激勵響應(yīng)對,密鑰分配過程結(jié)束后又存儲了大量的與簇成員建立的會話密鑰。當(dāng)網(wǎng)關(guān)節(jié)點被物理俘獲后,整個簇被迫解散,簇內(nèi)通信中斷。簇成員(傳感器節(jié)點)可能成為孤立節(jié)點,也可能加入到其他簇中,重復(fù)認(rèn)證與密鑰分配過程并獲取一個新的會話密鑰。因此,敵手從被俘網(wǎng)關(guān)節(jié)點中無法獲取未俘節(jié)點的有效密鑰,網(wǎng)關(guān)節(jié)點具有完全抗俘獲性,即F(xG)=0,其中xG表示被俘獲網(wǎng)關(guān)節(jié)點個數(shù)。

簇狀傳感器網(wǎng)絡(luò)中經(jīng)典的隨機(jī)密鑰預(yù)分配方案是DU等人提出的AP[2]。這類隨機(jī)型方案對節(jié)點的計算和通信要求低,但很難平衡節(jié)點的存儲負(fù)載、網(wǎng)絡(luò)連通性和抗俘獲性這3個性能指標(biāo)。文獻(xiàn)[3]對AP進(jìn)行改進(jìn),結(jié)合Blom矩陣提高了節(jié)點抗俘獲性,但是同時也對節(jié)點的存儲提出了更高的要求。

圖5比較了不同方案傳感器節(jié)點的抗俘獲性F(xs),橫軸是被俘獲的傳感器節(jié)點數(shù)量xs。

圖5 傳感器節(jié)點抗俘獲性比較

圖6 比較了不同方案中網(wǎng)關(guān)節(jié)點的抗俘獲性F(xG)。

圖6 網(wǎng)關(guān)節(jié)點抗俘獲性比較

實驗結(jié)果表明,隨機(jī)型密鑰預(yù)分配方案中由于節(jié)點存儲了大量密鑰,隨著被俘節(jié)點的增多,抗俘獲性越來越差。Boujelben方案中節(jié)點存儲的是矩陣而非密鑰,因此抗俘獲性優(yōu)于AP方案,其存儲開銷是AP的λ倍(λ是矩陣參數(shù))。在本文方案中,傳感器節(jié)點并不存儲密鑰,網(wǎng)關(guān)節(jié)點存儲的CRP也并非密鑰本身,因此,節(jié)點具備完全抗俘獲性。

4.3 安全連通度

網(wǎng)絡(luò)的安全連通度定義為通信雙方能夠建立會話密鑰的概率。本文分別給出實現(xiàn)密鑰分配的直接和間接兩種情況。任意一個傳感器節(jié)點最終可以與其“物理網(wǎng)關(guān)”(即簇頭)成功建立起會話密鑰,因此,安全連通度為1。

從能耗角度來看,間接密鑰分配過程比直接密鑰分配的通信量更高。如果提高直接密鑰分配后的安全連通性,可以有效提高整個方案的實施速度和效率。當(dāng)網(wǎng)絡(luò)部署后,一個傳感器節(jié)點恰好能夠落在其任一“邏輯網(wǎng)關(guān)”所管理的簇中的概率是p=l/n,即該傳感器能夠與其“物理網(wǎng)關(guān)”通過直接密鑰分配方案建立會話密鑰的概率為:

pd=p=l/n

(2)

其中,pd為直接連通度,pi=1-pd為間接連通度。

模擬實驗計算網(wǎng)絡(luò)直接安全連通度結(jié)果如圖7所示。由于偽隨機(jī)數(shù)生成器及邊界問題等因素,實驗結(jié)果略低于理論值,但l對pd的影響趨勢與理論分析結(jié)果一致。因此,在給定規(guī)模的網(wǎng)絡(luò)中,可以通過提高“邏輯網(wǎng)關(guān)”的數(shù)量l來提高直接連通度pd,進(jìn)而降低方案的整體能耗。

圖7 直接連通度與“邏輯網(wǎng)關(guān)”數(shù)量的關(guān)系

圖8比較了兩種方案在網(wǎng)關(guān)存儲負(fù)載相同的前提下安全連通度的實驗結(jié)果。模擬環(huán)境為:傳感器節(jié)點個數(shù)m=10 000,網(wǎng)關(guān)節(jié)點個數(shù)n=100,AP方案密鑰池大小為10 000,傳感器節(jié)點密鑰環(huán)大小分別為10、20、30這3種情況。值得強(qiáng)調(diào)的是,本文方案中傳感器節(jié)點的密鑰預(yù)存儲量為0,明顯低于AP方案,連通度卻顯著高于AP。隨機(jī)型方案必須通過提高節(jié)點的密鑰存儲量來獲得較高的安全連通度。

圖8 安全連通度比較

4.4 開銷與能耗

本文主要從存儲、通信和計算3個方面考慮節(jié)點開銷,其中LEHkey表示密鑰長度,LEHid表示節(jié)點id長度。

1)存儲開銷

在傳感器節(jié)點方面,初始化階段嵌入PUF結(jié)構(gòu),預(yù)存儲量為0。密鑰分配完成后,需要存儲與“物理網(wǎng)關(guān)”建立1個會話密鑰。而密鑰分配過程中產(chǎn)生的中間數(shù)據(jù)在使用完后被刪除以釋放存儲空間。

在網(wǎng)關(guān)節(jié)點方面,初始化階段預(yù)存儲ml/n個激勵響應(yīng)對二元組。假設(shè)激勵和響應(yīng)值的長度與密鑰長度相同,則預(yù)存儲量為(2LEHkey+LEHid)ml/n。

2)通信開銷

通信開銷由交換輪次和數(shù)據(jù)包的長度來度量。

在傳感器節(jié)點方面,只在直接密鑰分配的步驟4和間接密鑰分配的步驟6各發(fā)送一次數(shù)據(jù),密鑰和明文長度為LEHkey,對稱加密算法AES保證密鑰長度等于明文長度,因此傳輸?shù)臄?shù)據(jù)包長度為LEHkey。

在網(wǎng)關(guān)節(jié)點方面,直接密鑰分配中在步驟1和步驟7中各自發(fā)送一個長度為LEHkey的數(shù)據(jù)包。間接密鑰分配中作為“物理網(wǎng)關(guān)”在步驟1、步驟3、步驟7、步驟12共發(fā)送了3LEHkey+LEHid長度的數(shù)據(jù),作為“邏輯網(wǎng)關(guān)”在步驟2和步驟10共發(fā)送了2LEHkey長度的數(shù)據(jù),綜合網(wǎng)關(guān)通信開銷是(3LEHkey+LEHid)p+2LEHkey(1-p)。

3)計算開銷

計算開銷主要集中于PUF響應(yīng)和加解密過程(如AES)。其中CALED表示加密或解密的計算量,GENPUF表示傳感器產(chǎn)生一個PUF響應(yīng)的計算量。

在傳感器節(jié)點方面,在直接密鑰分配的步驟2和間接密鑰分配的步驟4產(chǎn)生一個PUF響應(yīng);在直接密鑰分配的步驟3和步驟8、間接密鑰分配的步驟5和步驟13各有一次加(解)密計算。因此,計算開銷是GENPUF+2CALED。

在網(wǎng)關(guān)節(jié)點方面,直接密鑰分配中在步驟5和步驟6各有一次加(解)密計算。在間接密鑰分配中,作為“物理網(wǎng)關(guān)”在步驟11有一次加(解)密計算,作為“邏輯網(wǎng)關(guān)”在步驟8和步驟9共有3次加(解)密計算。綜合網(wǎng)關(guān)的計算開銷是2pCALED+4CALED(1-p)。

4.5 安全性綜合分析

在本文方案中,PUF是認(rèn)證和密鑰分配的核心,因此PUF的安全性至關(guān)重要。傳感器網(wǎng)絡(luò)通常部署在無人職守的環(huán)境中,敵手對節(jié)點實施的物理俘獲攻擊是無法抵抗的。攻擊模型假設(shè)敵手可以通過物理入侵方式獲取內(nèi)部存儲的標(biāo)識、密鑰等信息,本文方案并非基于隨機(jī)密鑰預(yù)存儲,即使節(jié)點被妥協(xié)也不會泄露其他節(jié)點的信息或密鑰,因此不會破壞安全節(jié)點間的加密鏈路,即提供完全的抗俘獲性。PUF本身具備不可克隆性和不可預(yù)測性,因此能夠抵抗假冒攻擊和克隆攻擊。本文方案中PUF響應(yīng)值不以明文形式傳輸,敵手通過竊取的相關(guān)密文無法有效實施重放攻擊或中間人攻擊。在一些經(jīng)典的基于PUF認(rèn)證協(xié)議中,PUF激勵響應(yīng)對是以明文形式傳輸,當(dāng)對手獲得某個PUF足夠數(shù)量的激勵響應(yīng)對后,發(fā)起建模攻擊,對PUF響應(yīng)進(jìn)行猜測。一旦敵手能夠猜測出超過75%的響應(yīng)比特時,PUF被認(rèn)為失效的。在本文方案中,由傳感器PUF生成的響應(yīng)被轉(zhuǎn)換成加密密鑰并傳輸相應(yīng)密文給網(wǎng)關(guān),這種設(shè)計保護(hù)PUF免受克隆攻擊、建模攻擊和旁道攻擊(包括電磁分析攻擊和差分故障攻擊等)。由于所有傳輸消息都是加密的,因此竊聽無效,攻擊者無法獲取有關(guān)響應(yīng)或密鑰的任何明文信息。

表1將不同傳感器網(wǎng)絡(luò)認(rèn)證和密鑰分配方案進(jìn)行綜合比較。其中,—符號表明該特性不適合于此方案,×符號表示該方案不具備該性能,√符號表示該方案具備該性能,P1為基于公鑰算法,P2為基于密鑰預(yù)分配,P3為基于PUF,A1為提供雙向認(rèn)證,A2為提供密鑰分配(協(xié)商),D1為抵抗妥協(xié)攻擊,D2為抵抗重放攻擊,D3為抵抗假冒攻擊,D4為抵抗節(jié)點克隆攻擊,D5為抵抗中間人攻擊,D6為抵抗建模攻擊。與密鑰預(yù)分配方案(如AP[2])不同,本文方案的傳感器節(jié)點中不預(yù)存儲任何密鑰,會話密鑰采取臨時生成的方式,因此能夠提供完全抗節(jié)點俘獲性。基于PUF挑戰(zhàn)應(yīng)答機(jī)制的一類認(rèn)證方案,都具備抗克隆、抗篡改的優(yōu)點,但文獻(xiàn)[14]不提供雙向認(rèn)證,而且激勵和響應(yīng)值是公開傳輸,使得PUF容易受到建模攻擊,這個威脅在文獻(xiàn)[9-10]等方案中也存在,在文獻(xiàn)[5-6,10,14-16]中,使用公鑰算法來實現(xiàn)密鑰協(xié)商,計算復(fù)雜度比AP[2]和本文方案都高。

表1 不同密鑰分配方案性能比較

5 結(jié)束語

本文基于物理不可克隆函數(shù)(PUF)提出簇內(nèi)認(rèn)證與密鑰分配方案。該方案不需要傳感器節(jié)點預(yù)存儲任何密鑰,利用PUF的激勵響應(yīng)對完成節(jié)點間雙向身份認(rèn)證,并將PUF響應(yīng)值轉(zhuǎn)換成會話密鑰的加密密鑰,能夠保證密鑰分配過程的機(jī)密性,節(jié)省傳感器節(jié)點的存儲開銷和降低密鑰泄露的風(fēng)險,實現(xiàn)完全抗俘獲性。同時可保護(hù)PUF的激勵響應(yīng)對不被敵手獲取,因此,能夠抵抗攻擊者對PUF實施建模攻擊。PUF的不可克隆性、不可預(yù)測性、計算能耗低等特點使其在傳感器網(wǎng)絡(luò)、物聯(lián)網(wǎng)等低能耗網(wǎng)絡(luò)環(huán)境中具有良好的應(yīng)用前景。本文方案主要使用加密的方式來保護(hù)激勵響應(yīng)對,下一步將利用PUF構(gòu)造輕量級對稱計算單元來實現(xiàn)密鑰協(xié)商和密鑰交換。