網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法研究

王軍

（宿遷高等師范學(xué)校，江蘇 宿遷223800）

通信網(wǎng)絡(luò)是信息數(shù)據(jù)主要載體，在軍事和民事中應(yīng)用較為廣泛，但隨著網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，引發(fā)了混合節(jié)點(diǎn)數(shù)量多、無(wú)線應(yīng)用廣泛等問題，這些都為通信網(wǎng)絡(luò)帶來(lái)一定安全隱患，因此，對(duì)混合節(jié)點(diǎn)密鑰可信控制進(jìn)行研究，管理網(wǎng)絡(luò)安全密鑰具有重要作用。文獻(xiàn)[1]輸入密鑰參數(shù)，采用協(xié)同計(jì)算，生成混合節(jié)點(diǎn)密鑰，為節(jié)點(diǎn)選擇種子存儲(chǔ)在PTPM 中，構(gòu)建密鑰層次結(jié)構(gòu)，將其載入可信中繼網(wǎng)絡(luò)并加以使用，在可信內(nèi)部生成最終數(shù)據(jù)密鑰，將量子信道計(jì)算機(jī)作為用戶終端，按照密鑰的安全傳輸協(xié)議TCP/IP，通過(guò)密鑰地址發(fā)送通訊信號(hào)，經(jīng)過(guò)TQOS 傳輸給節(jié)點(diǎn)終端，隨機(jī)分發(fā)共享密鑰[1]。文獻(xiàn)[2]在密鑰生成終端設(shè)置傳輸統(tǒng)計(jì)模塊，建立密鑰分布式終端，保證密鑰管理結(jié)構(gòu)的可擴(kuò)展性，當(dāng)用戶獲取到量子密鑰后，將其存入相應(yīng)的量子密鑰數(shù)據(jù)池，然后進(jìn)行下一次密鑰傳輸，當(dāng)用戶未獲取到量子密鑰，則量子密鑰作廢，沒有傳輸成功，重新進(jìn)行下一次密鑰傳輸[2]。結(jié)合以上理論，提出網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法，對(duì)網(wǎng)絡(luò)密鑰進(jìn)行管理，保證通信網(wǎng)絡(luò)安全。

1 網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法設(shè)計(jì)

1.1 建立分布式密鑰管理結(jié)構(gòu)

建立混合節(jié)點(diǎn)密鑰的分布式結(jié)構(gòu)，將網(wǎng)絡(luò)分割成多個(gè)管理域。定位混合節(jié)點(diǎn)密鑰的管理節(jié)點(diǎn)，使管理域節(jié)點(diǎn)能夠與域中的混合節(jié)點(diǎn)互連，將管理域作為可信控制范圍，使其符合網(wǎng)絡(luò)通信情況，其中混合節(jié)點(diǎn)密鑰通過(guò)協(xié)商方式生成，使密鑰可信控制分散在各個(gè)管理域，避免混合節(jié)點(diǎn)中心失效[3]。具體結(jié)構(gòu)如下圖所示：

圖1 混合節(jié)點(diǎn)密鑰分布式結(jié)構(gòu)

當(dāng)混合節(jié)點(diǎn)退出或加入時(shí)，不會(huì)受到管理域數(shù)量的約束，僅能引起某個(gè)管理域的變化，無(wú)限制增加混合節(jié)點(diǎn)數(shù)目，避免節(jié)點(diǎn)密鑰擴(kuò)散到整個(gè)網(wǎng)絡(luò)，利用共享份額的方式，分散混合節(jié)點(diǎn)密鑰的管理開銷，使管理結(jié)構(gòu)的擴(kuò)展性能夠適用拓?fù)浣Y(jié)構(gòu)復(fù)雜的大規(guī)模網(wǎng)絡(luò)[4]。在網(wǎng)絡(luò)中增加實(shí)時(shí)在線可信中心的基礎(chǔ)設(shè)施，使混合節(jié)點(diǎn)能夠動(dòng)態(tài)加入網(wǎng)絡(luò)，并且能夠隨時(shí)退出網(wǎng)絡(luò)，最大程度呈現(xiàn)分布式結(jié)構(gòu)的無(wú)中心優(yōu)勢(shì)，其中通信協(xié)議采用DH 協(xié)議，設(shè)置多個(gè)對(duì)等的可信控制參與者，使其能夠各自共享一個(gè)份額，將DH 協(xié)議應(yīng)用到密鑰管理，生成混合節(jié)點(diǎn)的對(duì)等密鑰，得到群組DH 協(xié)議，獲得用于可信控制的成組密鑰[5]。密鑰建立過(guò)程中，預(yù)計(jì)算位置參數(shù)、隨機(jī)數(shù)等信息數(shù)據(jù)，將預(yù)置信息作為密鑰材料，使節(jié)點(diǎn)信息推廣到全網(wǎng)，生成全網(wǎng)所有混合節(jié)點(diǎn)的端密鑰，以此減少密鑰材料的信息冗余，使節(jié)點(diǎn)與周圍節(jié)點(diǎn)產(chǎn)生通信關(guān)系。至此完成分布式密鑰管理結(jié)構(gòu)的建立。

1.2 構(gòu)建混合節(jié)點(diǎn)密鑰可信控制協(xié)議

利用離散對(duì)數(shù)的方式，構(gòu)建分布式密鑰的可信控制協(xié)議。梳理網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)、大素?cái)?shù)、公開底數(shù)、秘密密鑰、中間值等協(xié)議參數(shù)，把可信控制協(xié)議分為三個(gè)階段，包括RSA 公鑰對(duì)生成階段、組密鑰生成階段、和端對(duì)端的密鑰生成階段。針對(duì)密鑰的份額共享階段，通過(guò)協(xié)議發(fā)起節(jié)點(diǎn)，生成混合節(jié)點(diǎn)的公鑰和組密鑰，為后續(xù)可信控制提供必要配置，并利用顯示的密鑰交換，計(jì)算混合節(jié)點(diǎn)間的端端密鑰。計(jì)算公式如下：

1.3 可信控制網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰

提取混合節(jié)點(diǎn)密鑰的部分公鑰，實(shí)現(xiàn)密鑰的可信控制。建立混合節(jié)點(diǎn)擴(kuò)展公鑰，通過(guò)分布式節(jié)點(diǎn)信息，提供本地認(rèn)證服務(wù)，對(duì)密鑰進(jìn)行加密和解密，得到節(jié)點(diǎn)密鑰的私密份額，再根據(jù)拉格朗日插值，向混合節(jié)點(diǎn)的相鄰節(jié)點(diǎn)發(fā)起交換請(qǐng)求，實(shí)現(xiàn)節(jié)點(diǎn)密鑰的本地化處理。當(dāng)探測(cè)到異常行為節(jié)點(diǎn)時(shí)，直接判定撤銷節(jié)點(diǎn)密鑰，結(jié)合節(jié)點(diǎn)身份撤銷機(jī)制和指控機(jī)制，發(fā)送撤銷列表，明確節(jié)點(diǎn)密鑰的撤銷次數(shù)，刪除原有混合節(jié)點(diǎn)，及時(shí)撤銷節(jié)點(diǎn)身份，丟棄異常節(jié)點(diǎn)的信息數(shù)據(jù)，同時(shí)計(jì)算密鑰的原有秘密份額，將其轉(zhuǎn)換為新秘密份額，對(duì)其進(jìn)行獨(dú)立性處理，采用多跳加密的傳輸方式，實(shí)現(xiàn)節(jié)點(diǎn)秘密份額的更新。針對(duì)無(wú)異常節(jié)點(diǎn)，則采用地址綁定節(jié)點(diǎn)身份的方式，部署服務(wù)器中節(jié)點(diǎn)的初始化設(shè)置，劃分新節(jié)點(diǎn)和老節(jié)點(diǎn)，協(xié)商所有混合節(jié)點(diǎn)的通信密鑰，使新節(jié)點(diǎn)發(fā)送加入請(qǐng)求，確認(rèn)加入密鑰安全后，讓老節(jié)點(diǎn)確認(rèn)加入消息，承認(rèn)網(wǎng)絡(luò)混合節(jié)點(diǎn)的合法性，使通信基站和新節(jié)點(diǎn)能夠同時(shí)擁有初始密鑰。至此完成網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰的可信控制，完成網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法設(shè)計(jì)。

2 實(shí)驗(yàn)論證分析

進(jìn)行對(duì)比實(shí)驗(yàn)，將此次設(shè)計(jì)方法記為實(shí)驗(yàn)組，傳統(tǒng)網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法記為對(duì)照組，比較兩組可信控制方法作用下，混合節(jié)點(diǎn)密鑰的傳輸成功率、傳輸速率、傳輸時(shí)間。

2.1 實(shí)驗(yàn)準(zhǔn)備

利用PTPM 和便攜式PC，構(gòu)成網(wǎng)絡(luò)混合節(jié)點(diǎn)，其中PTPM為混合節(jié)點(diǎn)的有機(jī)組成部分，核心組件為FLASH 存儲(chǔ)器、安全控制器、外圍電路，便攜式PC 采用900BGN 無(wú)線網(wǎng)卡、390M CPU、8GB 內(nèi)存，密鑰相關(guān)計(jì)算操作通過(guò)C 語(yǔ)言實(shí)現(xiàn)，將其下載到PTPM 安全控制器中，設(shè)置網(wǎng)絡(luò)仿真最大模擬時(shí)間為1500s。網(wǎng)絡(luò)測(cè)試環(huán)境如下：1 臺(tái)帶有量子信道的用戶使用計(jì)算機(jī)、1 臺(tái)技術(shù)交換機(jī)、1 套量子密鑰生成終端、可信網(wǎng)絡(luò)中的1 臺(tái)TQOS和2 臺(tái)TCC，其中可信計(jì)算機(jī)芯片型號(hào)為TPM 安全芯片。

2.2 實(shí)驗(yàn)結(jié)果

首先比較兩組可信控制方法下，網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰的成功傳輸率，統(tǒng)計(jì)用戶確認(rèn)成功的傳輸密鑰數(shù)量，計(jì)算其占傳輸出去的量子密鑰總和比率，改變混合節(jié)點(diǎn)的密鑰長(zhǎng)度，傳輸成功率實(shí)驗(yàn)對(duì)比結(jié)果如表1 所示。

表1 密鑰傳輸成功率對(duì)比結(jié)果

由上表可知，實(shí)驗(yàn)組和對(duì)照組的可信控制都可以進(jìn)行正常的量子密鑰信息傳遞，實(shí)驗(yàn)組平均傳輸成功率為98.49%，對(duì)照組平均傳輸成功率為95.64%，相比對(duì)照組，實(shí)驗(yàn)組密鑰傳輸成功率提高了2.85%。比較不同密鑰長(zhǎng)度下的傳輸速率，實(shí)驗(yàn)對(duì)比結(jié)果如表2 所示。

表2 密鑰傳輸速率對(duì)比結(jié)果

由表2 可知，實(shí)驗(yàn)組和對(duì)照組的傳輸速率都能夠滿足密鑰生成終端的性能范圍指標(biāo)，實(shí)驗(yàn)組平均傳輸速率為44.542bits/s，對(duì)照組平均傳輸速率為33.714bits/s，相比對(duì)照組，實(shí)驗(yàn)組密鑰傳輸速率提高了10.828bits/s。綜上所述，此次設(shè)計(jì)方法相比傳統(tǒng)方法，提高了密鑰傳輸成功率和傳輸速率，縮短了密鑰傳輸時(shí)間，保證了網(wǎng)絡(luò)混合節(jié)點(diǎn)的傳輸效率。

結(jié)束語(yǔ)

此次研究對(duì)網(wǎng)絡(luò)混合節(jié)點(diǎn)密鑰可信控制方法進(jìn)行設(shè)計(jì)，提高了混合節(jié)點(diǎn)密鑰的傳輸效率。但此次研究仍存在一定不足，密鑰結(jié)構(gòu)基本開銷較高，在今后的研究中，會(huì)采用分層分簇式思想，應(yīng)用全互聯(lián)的環(huán)形結(jié)構(gòu)和分層式結(jié)構(gòu)，進(jìn)一步提高混合節(jié)點(diǎn)密鑰的管理性能。