安全高效的WSN多級密鑰管理方案

殷智浩，于本成,2，周 楠，殷志昆，凌啟東

(1.徐州工業職業技術學院 信息工程學院，江蘇 徐州 221140；2.中國礦業大學 信息與控制工程學院，江蘇 徐州 221116；3.江蘇大學 計算機科學與通信工程，江蘇 鎮江 212013)

0 引 言

目前，由于無線傳感器網絡(wireless sensor network，WSN)對實時性的要求較高[1-3]，若僅僅將傳統的密鑰分配、密鑰協商、密鑰刷新協議或者復雜的密碼算法直接融入到傳感器中是不可行的，因為大多數公鑰體制密鑰算法在WSN中并不適用[4,5]。因此，密鑰分配和密鑰刷新協商問題是當前WSN的研究熱點和挑戰。

多年來，國內外研究專家已經提出了各種有關密鑰的安全方案。Kamal和Ahlawat[6]提出一種基于矩陣的改進密鑰管理方案，該方案使用加密方法來增加存儲空間，并使節點變得輕量級，并提高節點的連接性，但其并沒有密鑰刷新。Tamilarasi等[7]提出一種改進的基于非對稱密鑰的安全體系架構，抵抗了中間人攻擊，提高了安全性，但其資源開銷較大。Amodu等[8]提出一種無線傳感器網絡中基于位置的密鑰分發機制。張文[9]提出一種分層分簇的組密鑰管理方案(HCGKM)，該方案通過構造特殊的組密鑰多項式刷新密鑰，但是其密鑰刷新的加密密鑰并未刷新，安全性不高。劉芬等[10]提出一種WSN中基于公鑰體制的輕量級密鑰管理方案(LWKM)，但該方案不能抵抗中間人攻擊，且密鑰刷新階段的加密密鑰并未刷新，安全性不足。

因此，針對WSN中的密鑰安全及其刷新效率問題，本文設計了一種基于節點層次的多級密鑰管理方案。主要創新點包括：①設計了基于節點層次的分級密鑰機制，根據節點層次分配低到高等級的密鑰，其中低級密鑰由高級密鑰進一步生成；②設計了基于密鑰使用頻率的高效密鑰刷新協商協議，在保證安全性的前提下提升了密鑰刷新效率。

1 WSN安全性分析

1.1 WSN結構與特點

WSN結構如圖1所示，其中包括3大要素：簇成員/傳感器節點、簇頭節點和管理節點/基站[11-13]。WSN是由大量傳感器構成，構成的方式為自組織和多跳，它們互相協作地去感知、采集、處理并傳輸覆蓋的信息，最后發送給網絡所有者。傳感器節點將采集的數據進行簡單加工處理后，通過鄰居節點逐跳地傳送給簇頭節點；簇頭節點對接收到的數據進行加工處理后，最終傳送給管理節點/基站。管理員通過管理節點/基站對整個WSN進行管理和控制，其中包括發布監測任務及收集監測數據、發布控制指令等[14]。

圖1 WSN結構

1.2 WSN的安全問題

WSN的數據采集、數據傳輸過程以及物理位置都需要對無關人員嚴格保密。WSN的安全需求同傳統網絡一樣，都需要解決數據機密性、數據完整性、數據新鮮性、密鑰新鮮性、認證性以及不可否認性問題[15]，詳細描述見表1。

表1 WSN安全需求

2 WSN多級密鑰管理方案設計

2.1 整體結構

一個WSN中，包含數量龐大的傳感器節點以及其資源的限制性，導致密鑰管理非常棘手。傳感器節點之間相互傳輸數據，但并不是每個節點都需要和所有節點進行數據交互，每個節點的重要級別也是不同的，有些是必不可少的，有些是可有可無，因此，本文根據節點的重要層次進行劃分，設計相應層次節點之間使用的密鑰，層次數可根據真實的場景中調整。為了便于分析，這里將考慮三層劃分，內層(第一層)安全級別最高，外層依次降低，所提方案結構如圖2所示。

圖2 所提方案結構

針對密鑰安全及其密鑰刷新效率問題，根據WSN節點重要級別屬性設計了一種基于節點層次的多級密鑰。根據層次分配低到高等級的密鑰，保證只有高級密鑰的節點方可獲得同級或低級的節點間的數據訪問權限。此外，在保證安全性的情況下基于不同密鑰的使用頻率設計了高效的密鑰刷新協商協議。采用的主要符號及其定義見表2。

表2 主要符號及其定義

2.2 多級密鑰設計

在設計的方案中，密鑰種子都是由該WSN中的簇頭分發，各個節點收到密鑰種子后，使用基于哈希運算報文認證碼(hash-based message authentication code，HMAC)的密鑰推導函數(key derivation function，HKDF)生成一系列子密鑰，三級分層密鑰結構見表3。

如表3所示，第一級密鑰種子為seed1，其生成的一系列子密鑰用于第一層節點之間的通信。第二級密鑰種子為seed2，其生成的一系列子密鑰用于第二層節點之間以及第一層與第二層節點之間的通信。第三級密鑰種子為seed3，其生成的一系列子密鑰用于第三層節點之間以及與其它層節點之間的通信。高等級密鑰可以生產低一層密鑰，如下式所示

表3 三級分層密鑰結構

seedi=HUKi+1(seedi+1)

(1)

這也表明了第一層的節點具有最高的安全級別。根據網絡各個階段密鑰的使用頻率，只有通信階段時間最長，因此，本節設計的每個級別密鑰包含一個認證密鑰AK、一個刷新密鑰UK和4個加密密鑰EKi,j。 其中，認證密鑰AK用于認證階段，刷新密鑰UK用于密鑰刷新階段，加密密鑰EKi,j用于正常通信階段。為了確保密鑰的安全性，還需要定期刷新密鑰。顯然，本方案設計要求高層節點的成本要逐級高于低層節點的成本。

步驟1 簇頭加載安全參數ζ，且定義2個具有相同生成元(p1和p)的加法群G0， 2個加法群的階均為q。

HKDF(seedi)=AKi‖UKi‖EKi.1‖EKi.2‖EKi.3‖EKi.4

(2)

步驟3 {G0,p,p1,H,HKDF,E,D} 為簇頭廣播的公共參數。隨后，分發seed1給S1，seed2分發給S2，seed3分發給S3。

步驟4 S1通過式(2)計算各級密鑰。S2通過式(2)計算第二、第三級密鑰。S3通過式(2)計算第三級密鑰。

2.3 多級密鑰刷新協議設計

在下面提到的協議算法中，子密鑰的數目可以根據其傳感器節點的真實資源限制進行設置。該協議包含兩個方案：基礎方案(即當前使用的通信加密子密鑰EKi,j中的j=4時執行)和增強方案(即當前使用的通信加密子密鑰EKi,j中的j=1或2或3執行)。所提多級密鑰刷新協議的具體實施步驟如下：

步驟1 如果當前網絡使用通信加密子密鑰EKi,j中的j為1或2或3，則CT使用HAK1() 為CTRCT、REQsubK和IDCT生成HMAC(·)

HMAC(·)=HAK3(CTRCT‖REQsubK‖IDCT)

(3)

式中：REQsubK表示刷新子密鑰時所需的請求對象。

然后，CT需把子密鑰刷新請求報文MsgsubK廣播給S1、S2、S3，且對計數器CTRCT進行遞增操作。當EKi,j對應的j=4時，CT任意挑選一個新的隨機數密鑰種子seed1并通過式(1)計算出seed2和seed3，然后生成C1，C2，C3和HMAC(·)， 如下所示

MsgsubK=MsgsubK(REQsubK‖HMAC(·))

(4)

HMAC(·)=HAK2(CTRCT‖REQK‖C1‖C2‖C3‖IDCT)

(5)

其中，REQK是刷新密鑰時所需的請求對象。

然后，CT向S1，S2和S3發送整體密鑰刷新請求報文MsgK，且對計數器CTRCT進行遞增操作。需要注意的時，C1、C2，C3和MsgK生成方式如下

C1=EUK1(seed1)

(6)

C2=EUK2(seed2)

(7)

C3=EUK3(seed3)

(8)

MsgK=MsgK(REQK‖C1‖C2‖C3‖HMAC(·))

(9)

步驟2 當時接收到MsgsubK報文時，S1，S2和S3采用HAK3() 產生HMAC(·)*， 以便用于CTRCT、REQsubK和IDCT，然后比較分析HMAC(·)*和MsgsubK中的HMAC(·)。

所提多級密鑰刷新協議的偽代碼見表4。

表4 多級密鑰刷新協議的偽代碼

3 實驗仿真與結果分析

為了驗證所提方案的性能，采用MATLAB軟件和NS2軟件進行仿真。實驗平臺為Windows 10操作系統，CPU為英特爾I7處理器，8 GB內存，仿真環境為Matlab7.8。仿真環境主要參數見表5。

表5 仿真環境參數

3.1 性能分析

(1)連通性與可擴展性

本方案中每層節點之間都有相應級別的密鑰，簇頭與第一層節點、第一層節點之間、第一層與第二層節點之間，第二層節點之間、第二層與第三層節點之間、第三層節點之間都建立了認證階段、密鑰刷新階段、正常通信階段的密鑰，因此，網絡連通性近似等于1。本方案中，若有節點加入，只需簇頭和其進行協商當前使用的子密鑰即可。若有節點離開，簇頭會執行基礎型方案。因此，本方案滿足WSN可擴展性。

(2)資源開銷

傳感器節點的資源開銷是指通信開銷、存儲開銷和計算開銷。本方案中，密鑰刷新階段的通信復雜度與節點個數的規模無關，只需簇頭進行廣播刷新，因此，通信復雜度為O(1)。

本方案中，簇頭需要保存每個節點的身份標識ID、公鑰PKsensori以及每層的子密鑰，則其存儲復雜度是O(N)。 第n層的節點需要保存n+1層及以上的子密鑰，則其存儲復雜度為O(N)。

在本方案中，簇頭的計算開銷主要分為兩種情況，基礎方案中是整體更換所有子密鑰，需要加密3次，哈希3次；增強方案中是更換當前通信子密鑰，需要哈希一次。假設一共分為m層，第n層節點的計算開銷也分為兩種，基礎方案中是整個更換所有子密鑰，需要計算解密一次，哈希m-n+1次；增強方案中是更換當前通信子密鑰，每層只需哈希一次。可以看出，基礎方案中的計算開銷要比第一種小的很多。

(3)性能比較

使用NS-2軟件進行仿真，節點部署分布區域為400m×400m，采用無線通道、路由選擇采用LEACH協議、MAC層協議使用IEEE 802.15.4，加解密過程中使用AES-128算法，HMAC執行過程中則使用SHA-256算法。通過Keil MDK5編寫本方案所需代碼并用調試器ST-LINK V2燒寫到ARM Cortex-M3開發板中，分析了不同時鐘頻率設置時本方案加解密的執行效率，如圖3所示。

圖3 執行效率分析

從通信開銷、存儲開銷和計算開銷3個方面與HCGKM和LWKM進行實驗對比，如圖4～圖6和表6所示，其中E為加密，D為解密，h為哈希，L為節點數量。

圖4 通信開銷對比

從圖4和表6可看出，本方案的通信開銷最低，因為只需要簇頭廣播1個數據包，LWKM方案中需要廣播2個數據包，HCGKM方案需要發送4個數據包。因此，本方案在WSN中通信成本遠低于其它方案。

從圖5、圖6和表6可看出，與LWKM方案相比，本方案存儲開銷略高，但是本方案將密鑰種子生產了一系列子密鑰，定期刷新通信子密鑰，密鑰刷新階段并沒有密鑰參與到通信數據包中，只有一個與密鑰無關的哈希值，減少了密鑰刷新階段中密鑰的泄露風險。與HCGKM相比，本方案和LWKM方案在存儲開銷方面較有優勢。在密鑰結構方面，本方案使用了3種子密鑰，其中正常通信子密鑰為4個，這是因為正常通信階段占整個節點通信時間是最長的，其次就是密鑰刷新階段和認證階段，如果僅僅設有一個對稱的通信加密密鑰，那么在密鑰刷新階段就需要刷新認證密鑰和密鑰刷新密鑰，導致認證密鑰和密鑰刷新密鑰的使用浪費，因此，設置更多的正常通信加密子密鑰是合理也是高效的。而在LWKM方案和HCGKM方案中，未設有認證密鑰，并且LWKM方案的密鑰刷新密鑰始終為1個，不做刷新。若密鑰刷新密鑰被非法獲取，則所有更換的新密鑰也會被非法獲取，降低了安全性。平均時延對比如圖7所示。

圖5 簇頭節點的密鑰存儲開銷對比

圖6 簇內節點的密鑰存儲開銷對比

表6 性能對比

圖7 平均時延對比

從圖7和表6可看出，與LWKM方案相比，本文基礎方案每個節點的執行協議的平均時延略高一些，均在6 ms以下。但是增強方案比其具有更低的時延，均在2 ms以下，相比LWKM方案的平均時延降低了約56%。HCGKM方案中的計算開銷與節點數量L有關，因此，本文設置其L=10，并與其對比，可以看出，HCGKM方案在節點規模較大時，其每個節點的執行協議的平均時延呈線性增長。本文中執行一次基礎方案加上3次增強方案相當于執行4次其它方案，也就是說本方案的平均計算開銷為 (3E+D+12h)/4。 若節點數量規模過大，本方案的計算開銷將遠低于HCGKM方案。盡管LWKM方案也降低了通信開銷，但是其采用橢圓曲線上的點加運算與點乘運算，不僅計算時間有所增加，而且在密鑰刷新階段時沒有滿足WSN安全需求，無法抵抗中間人攻擊，未滿足數據完整性，也未能抵抗重放攻擊。因此，本方案的計算開銷在不失安全性的情況下比其它方案更有優勢。

3.2 安全性分析

對所提方案進行以下方面的分析：

(1)機密性。在方案系統初始化中，各個節點都有相應的公鑰私鑰，并且在認證階段、通信階段、密鑰刷新階段都有著相應的密鑰，其中密鑰刷新階段的密鑰種子并未暴露出來。因此，攻擊者無法通過密文得知敏感或隱私信息。

(2)完整性與認證性。所設計方案使用基于密鑰的哈希函數來實現報文的完整性，從而抵抗了網絡中的惡意篡改。此外，利用HK() 函數結合計數器CTRx和身份IDx，使得黑客無法假冒合法的報文信息。

綜上所述，本方案具有一定的優勢，尤其是增強方案，可降低密鑰刷新階段的密鑰泄露風險，具有很高的安全性，能夠適應大規模尤其是半開放式半封閉式環境中的網絡。

4 結束語

針對WSN中密鑰安全及其密鑰刷新效率問題，本文設計了一種基于節點層次的多級密鑰，依據層次分配低到高等級的密鑰，保證了只有高級密鑰的節點方可獲得同級或低級的節點間的數據訪問權限。此外，本文在保證安全性的情況下基于不同密鑰的使用頻率設計了高效的密鑰刷新協商協議。在未來的研究工作中，將針對網絡層中的Sybil攻擊、虛假路由信息攻擊、Wormholes攻擊等安全問題進行下一步研究。