无线传感网络中基于多项式的密钥管理方案

【前言】无线传感网络中基于多项式的密钥管理方案由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(Modem Education & Technological Center, Shijiazhuang University of Economics, Shijiazhuang 050031, China) Abstract：In wireless sensor network, a sensor node has only limited computing communication ability and limited capacity and energy. The eff...

摘要：在无线传感网络中，传感节点仅仅有有限的计算通信能力以及有限的容量和能量。目前的方案在密钥管理方面存在效率和安全等问题的不足和缺陷。通过分析现有方案，提出了一个新的基于三元t次多项式的密钥管理方案，传感节点与传感节点之间不需要建立共享密钥。因此，即使某个传感节点被捕获，攻击者也只能得到很少的密钥信息。分析表明，新的方案更适合于无线传感网络的环境。

关键词:无线传感网络;多项式;密钥管理;会话协商;共享密钥

中图分类号：TP309文献标识码：A文章编号：1009-3044(2012)08-1776-03

A Key Management Scheme Based on Polynomial for Wireless Sensor Networks

WANG Chao

(Modem Education & Technological Center, Shijiazhuang University of Economics, Shijiazhuang 050031, China)

Abstract：In wireless sensor network, a sensor node has only limited computing communication ability and limited capacity and energy. The efficiency and safety of the key management have defects in current shame. This paper proposes a new based on polynomial of key management shame, the nodes do not build shared key. So the caught node can not leak information. Analysis shows that the new scheme is more suitable for wireless sensor network environment.

Key words: wireless sensor networks; polynomial; key management; consultation; shared key

目前由于无线传感器网络的特殊性能以及在军事、医疗及科研领域的普遍应用,其安全性问题也越来越受到关注，同时也产生了很多适用于传感网络的密钥管理方案。但是由于传感器网络特有的局限性，使得传统的基于公钥和可信任的密钥分发中心等方式已不再实用。因此，如何为无线传感网络设计高效的安全的密钥管理方案，是当今研究的热点。

在2002年，Perrig等人提出了一个安全协议SPINS[1]。该协议适合于无线传感网络。SPINS提供了两个安全的模块：SNEP和μTESLA。其中SNEP可以提供数据的机密性，双方数据的认证以及数据的时效性，而μTESLA为资源受限的环境提供了广播认证。在2003年，Chan等人提出了一个随机密钥预分配方案[2]。在这个方案中，首先通过密钥算法产生一个包含S个密钥的密钥池，并将S个密钥排序，并且分别给每个密钥分配一个密钥ID，然后随机抽取N个密钥(包括相应的密钥ID)分配给节点的密钥环。网络部署后，每个节点向邻居节点广播其所有密钥ID，接收到的节点和自己的密钥ID进行对比，若有共同的密钥，就用这些密钥进行加密通信。否则，节点通过与其它存在共享密钥的邻居节点，经过若干跳后建立双方的一条密钥路径。在2005年，Donggang Liu等人提出了一个基于对称多项式的加密方案[3]。在这个方案中，设计者并不直接把密钥分配到传感器节点上，而只给每个传感器节点分配一个与自身ID相关的多项式份额。这一方法避免了直接分配密钥易造成的密钥泄漏问题，多项式动态生成节点间的密钥对，在一定程度上也提高了安全性。

但是，在上面提到的方案中，任意两个节点之间的通信，都必须首先生成共享密钥，然后双方都通过这个共享密钥来进行通信。因此，一旦共享密钥被泄露，会威胁到整个的通信。因此，我们提出了一个新的方案――基于三元t次多项式的密钥管理方案。在这个方案中，传感节点只需与基站之间建立共享密钥，而不需要与网络中的其它传感节点建立共享密钥。节点之间的通信直接通过会话密钥来完成，并且会话密钥的安全性在很大程度上只取决于预分配多项式的安全性。因此，即使用来生成会话密钥的某个随机数被攻击者获取，只要他不知道预分配的多项式，他也无法得到该会话密钥。另外，在我们的方案中，由于传感节点之间并不需要建立共享密钥。因此，即使某个传感节点被捕获，攻击者也只能得到很少的密钥信息（仅仅能得到传感节点与基站之间的共享密钥）。

1系统结构

在这部分中，我们将为后续方案提供一个系统模型。在这个模型中，我们只提供两类节点，一类是基站，另一类是传感节点。传感节点与最近的基站组成一个自组网络，并且形成了以基站为根的路由树[4]。每个传感节点可以发送或转发信息给最近的基站，同时他们也可以从基站接收信息。另外，当一个传感节点想加入某个自组网络的时候，它首先必须去这个网络的基站进行注册，只有通过注册的传感节点才能与网络的其它节点进行通信。一旦某个传感节点通过注册，就在这个节点中保存一个与自身ID相关的 多项式份额。在这个模型中，存在两种类型的通信模式，一类是传感节点与基站之间的通信，另一类是传感节点与传感节点之间的通信。在进行具体方案之前，我们先做以下假设：

1)基站的计算通信能力是足够大的，同时它也是足够安全的并且是值得信赖的。

2)在一定范围的网络区域内，只有一个基站，并且由这个基站来管理这个范围内的所有传感节点。

3)基站具有注册的功能，每个传感节点只有通过注册才能成为合法的成员，才能与其它节点进行通信。

4)传感节点具有转发的功能，但是传感节点与传感节点之间不能直接进行通信，它们之间的通信必须通过基站才能完成。

2密钥管理方案

我们的方案采用三元t次多项式的安全引导模型，它是在二元t次多项式的基础上经过简单变换而得到。基于二元t次多项式的密钥对模型[5]是C.Blundo在1993年提出的。该方法本是解决组密钥预分配模型的算法，由于它的计算开销太大，不太适合传感器网络，但是其密钥对分配模型部分可以为传感器网络所利用。C.Blundo提出的密钥对生成模型是由定义在有限域F(q)上的一个二元t次多项式f(x,y)来完成，其中多项式的选取应该满足对称特性,即f(x,y)=f(y,x)。该模型的一般形式是

f(x,y)=∑ ai,jxiyjmodp

该模型要求每个ai,j完全不同且对每个节点完全保密。在每个节点中只需保存一个与自身ID相关的多项式份额f(ID,y)，并通过该多项式份额与邻近节点建立共享密钥对。当敌方捕获某个节点时，就可以通过这个节点计算出该节点与其它节点之间的通信密钥，但不能计算出其它节点之间的通信密钥。假定每个节点都有一个唯一的ID，对于节点i，部署服务器计算多项式f(x,y)的一个份额f(i,y)，并将此多项式份额保存在节点i中。对于任意的两个节点i和j，节点i可以通过对f(i,y)在j点求值得到f(i,j)，节点j可以通过对f(j,y)在i点求值得到f(j,i)，因为f(i,j)=f(j,i),因此节点i、j之间就生成了一个共享密钥f(i,y)。理论上该模型在被俘节点个数不超过t的前提下不会泄漏任何信息。

但是，这个方案是存在一定缺陷的，因为在每个节点进行通信之前必须首先生成共享密钥对，而这个共享密钥对一旦生成，就会固定不变。因此，一旦某个传感节点被捕获，它与其它节点之间的共享密钥就会泄露。因此，我们提出了一个基于三元t次

多项式的方案，在我们的方案中，传感节点之间的通信无需建立共享密钥，而是直接通过会话密钥来完成。

2.1三元t次多项式

我们的模型是由定义在有限域F(q)上的一个三元t次多项式f(x,y,z)来完成，其中多项式的选取应满足对称特性,即f(x,y,z)=f(y,x,z)。该模型的一般形式是

f(x,y,z)=∑ ai,j,kxiyjzkmodp

该模型要求每个ai,j,k完全不同且对每个节点完全保密。在每个节点中只需保存一个与自身ID相关的多项式份额f(ID,y,z)，并通过该多项式份额与基站建立共享密钥对。理论上该模型在被俘节点个数不超过t的前提下不会泄漏任何信息。2.2方案实现

在我们的方案中涉及到两类节点：传感节点和基站。我们用Si表示传感节点i，Bk表示基站k；用IDSi表示传感节点Si独一无二的ID号，IDBk表示基站Bk独一无二的ID号。另外我们用XY:Z表示发送者X发送一个消息Z给接受者Y，Ek(m)表示使用密钥k对明文m进行加密，Dk(c)表示使用密钥k对密文c进行解密。为了使每个传感节点都有自己独一无二的ID号，在它们进行通信之前，必须首先去基站进行注册。只有通过注册的节点才是合法节点，才能与网络中的其它节点进行通信。

2.2.1注册阶段

假设某个传感节点Si想加入网络，它首先向基站Bk提交自己的身份识别号IDSi和密码PWSi，如果基站接受这些请求，将进行以下的操作：

1）基站将传感节点的身份识别号IDSi代入自己的多项式份额，同时令z等于1，得到它与传感节点Si之间的共享密钥对

,1)。然后将传感节点提交的身份识别号IDSi、密码PWSi以及共享密钥对Ai,k保存在自己的用户表中。最后计算秘密消息：IDSi,Bk

PWSi并将计算的秘密信息IDSi,Bk发送给传感节点Si。

2）一旦传感节点Si接收到来自基站Bk的信息，说明基站已经接受了该传感节点。于是管理员可以将此传感节点安装在适当的位置，并将收到的信息IDSi,Bk保存在传感节点的EEPROM中，同时保存一个与自身ID相关的多项式份额f(IDSi

,y,z)。

只有当管理员输入此传感节点的密码PWSi登陆该传感节点后，传感节点才会将管理员输入的密码PWSi与自己保存的信息

IDSi,Bk异或，即IDBk

PWSi，从而得到基站Bk的ID号，于是传感节点可以将此ID号代入自己的多项式份额，同时令z等于1，得到它与基站Bk之间的共享密钥f(IDSi

,1)。传感节点只有生成这个共享密钥，才能与其它节点进行通信，因为它与其它节点之间的通信必须通过基站。2.2.2会话密钥生成阶段

在本方案中，涉及到两类通信，一类是传感节点和基站之间的通信，另一类是传感节点和传感节点之间的通信。

我们首先介绍传感节点和基站之间的通信。如果传感节点Si想和最近的基站Bk进行安全通信。这里有两种方案，我们先看看第一种方案，既然传感节点已经通过注册，成为合法节点，那么它与基站之间也就共享一个密钥f(IDSi

,1)，因此它们可以通过这个共享密钥直接进行通信。这种方法的优点是节点之间不需要过多的交互，可以大大减少网络的通信量，但是这

种方案是不安全的，因为这个共享密钥很容易暴露。一旦它们之间的共享密钥泄露出去，那么它们之间的通信也就无秘密可言。第二种方案，就是在传感节点和基站之间建立一个会话密钥，具体步骤如下：

1）SiBk:N1,IDSi

))。其中Ai,k表示传感节点Si与基站Bk之间的共享密钥；RSn是传感节点Si产生的一个随机数，它构成传感节点与基站之间会话密钥的一部分；H()为一个单向哈希函数，主要用来检验消息的完整性。

2）BkSi:N2,IDSi

))。其中RBn是基站Bk产生的一个随机数。

3）当这两步顺利完成后，传感节点和基站会分别计算它们之间的会话密钥。它们首先计算SK’n=RSnRBn，然后将SK’n代入它们各自的多项式份额中，得到会话密钥。对传感节点Si来说，它将基站Bk的身份识别号IDBk以及SK’n代入它的多项式份额中，得到会话密钥SKn1

=f(IDSi

,IDBk

,SK’n)。同样，对基站Bk来说，它将传感节点Si的身份识别号IDSi以及SK’n代入它的多项式份额中，得到会话密钥SKn2=SKn2，所以它们之间就生成了一个会话密钥，以后的通信都通过该会话密钥来完成。

在第一步中，传感节点选择了一个随机数N1来保证消息的新鲜性，它可以有效地防止消息重放攻击。另外它还使用了一个单向哈希函数来保证消息的完整性，当基站接收到传感节点发送的消息后，首先通过它们之间的共享密钥解密消息，然后判断哈希函数是否有效，如果没有问题，就接收该消息，否则拒绝。在这个方案中，会话密钥是非常安全的，即使它们之间的共享密钥被泄露，别人也无法得到会话密钥。因为这个会话密钥主要取决于分配的三元t次多项式，只要这个三元t次多项式的系数没有被敌方获取，即使敌方知道每步产生的随机数，甚至知道SK’n，他们也无法得知会话密钥。

接下来我们介绍传感节点和传感节点之间的通信。如果传感节点Si想和传感节点Sj进行安全通信，由于传感节点Si和传感节点Sj之间并没有生成共享密钥，因此不能像基站那样直接进行通信。但是，在这个方案中，我们作了这样一个假设：传感节点必须通过基站才能与其它传感节点进行通信。因此我们不需要在传感节点之间建立共享密钥，该方案的具体步骤如下：

1）SiBk:N1,IDSi

))。其中Ai,k表示传感节点Si与基站Bk之间的共享密钥；RSni是传感节点Si产生的一个随机数，它构成传感节点Si与传感节点Sj之间会话密钥的一部分；H()为一个单向哈希函数，主要用来检验消息的完整性。

))。

5）当以上四步顺利完成后，传感节点Si和传感节点Sj会分别计算它们之间的会话密钥。它们首先计算SK’n=RSniRSnj，然后将SK’n代入它们各自的多项式份额中，得到会话密钥。对传感节点Si来说，它将传感节点Sj的身份识别号IDSj以及SK’n代入它的多项式份额中，得到会话密钥SKn1=SKn2，所以它们之间就生成了一个会话密钥，以后的通信都通过该会话密钥来完成。

在第一步中，传感节点选择了一个随机数N1来保证消息的时效性，它可以有效地防止消息重放攻击。另外它还使用了一个单向哈希函数来保证消息的完整性，当基站接收到传感节点发送的消息后，首先通过它们之间的共享密钥解密消息，然后判断哈希函数是否有效，如果没有问题，就接收该消息，否则拒绝。在第二步中，基站并没有对消息进行加密，因为前面说到过，即使产生会话密钥的随机数泄露出去，敌方也无法得到该会话密钥。但是为了防止第二步中的RSni被修改而传感节点又察觉不到，因此在第三步中，传感节点sj将RSni加入消息中，由基站来检查RSni是否被修改。

3性能与安全性分析

在本方案中，所有的安全问题都与预分配的多项式有关，一旦多项式被破译，那么整个系统也就无安全性可言。但是，从理论上分析，该多项式在被俘节点数不超过t的前提下不会泄漏任何信息。况且，在我们的方案中，传感节点之间并没有生成共享密钥。因此，一旦某个节点被捕获，敌方也只能知道该节点与最近的基站之间的共享密钥。而在前面提到的基于二元t次多项式的方案中，每个传感节点之间都会生成一个共享密钥。因此，一旦某个节点被捕获，敌方就可以得到更多的信息。另外，我们的方案对生成会话密钥的随机数的保密要求也不高，就像前面说到的，即使这些随机数被泄露出去，如果你不知道这个多项式，你仍然无法得到会话密钥。

在传感节点注册阶段，我们并没有将传感节点与基站之间的共享密钥直接存储在EEPROM中。只有当管理员输入密码，登陆传感节点，传感节点才会计算它与基站之间的共享密钥，这样对传感节点与基站之间的共享密钥有一定的保护作用。另外，在传感节点与基站生成会话密钥的过程中，我们引入随机数来确保消息是否是最新消息，这样能有效防止消息重放攻击。在这个过程中，我们还使用了传感节点和基站之间的共享密钥来加密消息，这样使得攻击者想得到形成会话密钥的随机数更加困难；此外，我们也通过哈希函数来保证消息的完整性。如果攻击者对消息进行了修改，那么基站或传感节点通过哈希函数就可以检测出来，从而拒绝该消息。既然攻击者不知道传感节点和基站之间的共享密钥，他们自然也无法得到传感节点和基站之间进行通信的会话密钥。

在传感节点与传感节点之间生成会话密钥的过程中，为了防止消息重放攻击，我们也引入了随机数来确保消息的新鲜性；为了保证消息的完整性，我们也引入了哈希函数。但是在这个过程中，由于传感节点之间并没有生成共享密钥，因此通信的安全性主要由传感节点与基站之间的共享密钥来保证。实际上，在我们的方案中，只要预分配的多项式足够安全，即使攻击者得到生成会话密钥的随机数，他们也无法得到这个会话密钥，这就是我们在第二步中没有加密的原因。但是在第三步中，传感节点sj会将之前传感节点si发送的随机数重新发给基站，目的就是让基站检查该随机数在第二步的传送过程中是否被修改。如果被修改，基站会发送一条消息给传感节点si和sj，通知他们这次会话已经出错。因此，只要多项式系数没有被泄露出去，我们的方案是足够安全的。

4结论

我们的方案是基于三元t次多项式的，传感节点之间并没有生成共享密钥，而是直接通过临时性的会话密钥来进行通信。克服了现有方案存储量大，计算成本高的等缺陷，并且提高了通信的安全性。最后，由于三元t次多项式特有的性质，这为我们方案的安全性提供了极大地保障。

参考文献:

[1] Adrian Perrig，Robert Szewczyk，Victor Wen et al. SPINS: Security Protocols for Sensor Networks. Springer Berlin / Heidelberg，2002，8（5）：521-534.

[2] Haowen Chan，Adrian Perrig，Dawn Song. Random Key Pre-distribution Schemes for Sensor Networks. Proceedings of IEEE Symposium on Security and Privacy：IEEE Press, 2003，197-213.

[3] Donggang Liu，Peng Ning，Rongfang Li. Establishing pairwise keys in distributed sensor networks. ACM Transactions on Information and System Security, 2005,8(1):41-77.

[4] Wen-Shenq Juang. Efficient User Authentication and Key Agreement in Wireless Sensor Networks. Springer Berlin / Heidelberg: Information Security Applications, 2007, 4298: 15-29.

[5] Carlo Blundo，Alfredo De Santis，Amir Herzberg et al. Perfectly-Secure Key Distribution for Dynamic Conferences. Springer Berlin / Heidelberg，1993，740：471-486.

[6]周集良,吕庆聪,李彩霞,等.WSNs中多项式密钥预分配改进方案[J].计算机工程,2009,35（18）:139-141.

[7]李军,李录明.多项式密钥预分配协议在传感器网络上的实现[J].计算机工程,2007,33（15）:149-151.

[8]杨波.现代密码学[M].2版.北京:清华大学出版社, 2007.