无线传感器网络中结合信任管理的基于属性基加密方案

摘 要：针对无线传感器网络（WSN）中基于属性基加密（ABE）的属性授权与撤销问题，提出了一种结合信任管理的密文策略ABE方案（TMCPABE）。该方案基于密文策略ABE，融合了信任管理机制，将信任评估和信任更新与属性授权和属性撤销结合起来。对方案的安全性、复杂性和有效性进行了对比分析，并与目前WSN中比较流行的加密方案进行了仿真实验对比，结果表明TMCPABE方案较好地解决了无线传感器网络CPABE的属性撤销问题，并通过属性撤销在一定程度上抑制了恶意节点的破坏行为。

关键词：无线传感器网络；属性基加密；属性撤销；信任管理

0 引言

以收集信息为目的，无线传感器网络（Wireless Sensor Network， WSN）[1-2]包括大量通信、计算和能量等资源受限的节点。由于部署环境缺乏物理安全保护，节点很容易受到攻击。因此，如何在资源受限条件下，应对各种安全挑战是WSN研究需要解决的问题。

作为一种可选的安全解决方案，WSN加密方案大多为共享对称密钥[3]或公钥加密方案[4]。对称密钥加密的计算和通信量比较小，但节点沦陷后密钥很容易暴露；依赖于非对称密码学方法的公钥加密在网络建立后分配密钥，需要较大的交互和计算存储开销。安全的密钥分发、较少的能耗和密钥存储空间成为WSN加密研究的目标之一。

有很多致力于WSN密钥协商的研究，其中将基于身份加密技术[5]用于WSN加密是研究的热点。基于身份密码系统的概念最初由Adi Shamir于1984年提出，使用任意字符串作为公钥。Boneh等[6]提出了一个可实现的算法[6]。Rahman等[7]提出了一个椭圆曲线上基于公钥加密的密钥协商方案，任意两个节点可以独立地计算密钥，减少了通信次数和密钥存储空间，但其节点承担的密钥计算开销较大。Oliveira等[8]通过基于身份认证的非交互协议协商节点密钥，但身份的认证需要可信的第三方支持。

目前，基于属性基加密（AttributeBased Encryption， ABE）[9-10]在WSN加密研究领域逐渐受到关注。用户身份也是用户属性的一种，可以把基于身份加密看作ABE的一个特例。Hur等[11]提出了一种CPABE（CiphertextPolicy AttributeBased Encryption）密钥分发架构用来解决密钥托管问题，将分发密钥的权力分为密钥生成和属性授权两部分，任何一方不能单独决定密钥的发放；但这种方案增加了密钥分发的交互次数。Attrapadung等[12]在简单假设下提出了以密文和密钥属性构成正交向量的访问策略，具有基于身份的撤销机制；但方案不具备匿名性。Lin等[13]提出一种基于模糊阈值的多授权身份加密方案，属性只有经过若干次不同授权者授权后才能解密数据；但多方授权增加了密钥协商的交互次数。Wang等[14]结合基于层次身份加密和CPABE，提出了基于层次的属性加密方案，并给出了属性撤销的方法；但没有研究更高效的表示属性间层次关系的数据结构。Tan等[15]从访问策略的细粒度控制以及不同用户不同存取权利的角度，将密钥策略和密文策略两种ABE进行了对比，认为密钥策略ABE更适合于资源受限的传感器节点上。上面大多数ABE设计较为复杂且开销较大，除了属性授权与撤销需要较多交互次数的原因外，ABE本身也存在一些需要解决的问题：1）CPABE机制中访问结构由加密者制定，使得加密方的开销与访问结构的复杂性相关，访问结构越复杂开销越大；2）ABE中用户属性是不断变化的，变化的属性增加了属性授权与撤销的复杂性和开销；3）ABE中私钥由可信机构集中分发，但从密钥的属性一般无法区分出解密者的身份，因此一旦密钥泄露，将无法追究泄露者的责任，对手容易滥用密钥对网络发起攻击。本文在CPABE[16]基础上，提出一种结合信任管理的CPABE方案，将信任评估和信任更新与属性授权和属性撤销结合起来。理论分析及仿真实验表明，本文方案动态的信任属性授权和属性撤销较好地解决了WSN基于密文策略属性加密的属性授权与撤销问题，并一定程度上抑制了恶意节点的攻击。

1 基于信任管理的CPABE方案

CPABE包括4个步骤[16]：Setup、Encrypt、Key Generation和Decrypt，构成了一个关于算法的四元组。其中：Setup阶段生成主密钥MK和公开参数PK；Encrypt阶段使用PK把数据明文m加密为密文CT；Key Generation阶段利用PK生成私钥SK；Decrypt阶段使用私钥SK解密密文CT得到明文m。

信任一般被认为是一种人或事物之间信赖的等级。WSN中信任管理系统[17-18]收集节点行为的反馈并评估信任度。节点的信任也可以看成某种属性。节点的剩余能量、邻居数、行为诚实性以及基站距离等都可作为评估信任度的因素。几种属性值可以加权计算信任值。因此信任本身可以看作是多种属性的综合，信任管理系统负责为信任属性授权。本文假设信任授权机构是可靠的，且节点部署前预设初始信任属性和授权时间为0的密钥。方案的基本流程如图1所示。

2.3 有效性分析

与TinyPBC相比，本文方案有如下特性：

1）本文方案中的公钥是基于信任属性的，信任属性可以灵活变换，相当于很多属性的综合评价。ABE中的属性授权分为用户属性授权和系统属性授权：用户属性保证该用户获得该属性对应的权限，不具备该属性的其余用户不具备此权限；系统属性保证拥有该属性的用户都具有某种权限，执行起来比较简单。信任属性正是这样一种系统属性，而每个用户的信任属性更新时间则是用户属性。因此，在设计公钥时，除保留系统信任属性外，只需保留一个所有通信节点的属性授权时间表，密钥存储空间较小，与TinyPBC需要为每个通信节点保存公钥所占用的空间大致相当。

2）在私钥方面，TinyPBC通过离线非交互协商获得两个节点的共享密钥，具有非交互的特点。本文方案在两次信任属性撤销的间隔期间，解密只需重复利用e（g，g）as组件，不需要与授权机构交互。虽然为了孤立和抑制不诚实或不信任的节点，信任授权系统会密钥更新，但更新频率和节点信任值变化的频率有关，在大多数节点信任值比较稳定的情况下，密钥更新频率较低，比较接近于非交互的密钥协商。

3）TinyPBC使用双线性映射协商共享对称密钥，但节点沦陷时，对手可能利用泄露的密钥参数与其他节点建立共享密钥。虽然在网络节点数量大且部署范围广时，危害可被控制在较小的范围内，但对节点密度不均匀的场合，骨干节点沦陷将严重影响网络安全性。本文方案中，节点的恶意行为会使其信任属性值大幅降低，这会导致其信任属性被即时撤销并被授权较低的新信任属性值；同时信任管理系统广播授权时间通知其他节点更新LSSS访问结构中对应信任授权时间的部分，这将使信任属性较低的密钥无法解密密文或只能解密一些信任属性要求较低的密文，从而孤立并抑制恶意节点。这种方法充分利用了TMCPABE的解密由授权机构和加密方共同控制的特点。此外，节点在信任属性值被降低后，仍被保留其用户身份，以便信任度增加后再次对其授权较高的信任属性。这种灵活的授权方式可能迫使恶意节点或以长时间非连续的方式保持诚实的行为。

与KPABE比较：

1）KPABE的访问结构在密钥中，授权的属性在密文中。这种策略的优点是可以较少地限制解密者，并实现复杂的访问结构，支持灵活的访问策略；缺点是加密者不能较好地限制解密权限，仅能够描述用于加密的属性。而本文方案的优点是，加密者通过控制解密策略可以限制解密者的解密权限。

CPABE中的策略由加密方制定，使得系统公钥设计的复杂性与策略复杂性相关，策略的灵活性使得系统公钥设计复杂，限制了访问结构的设计。为了解决这一问题，本文方案利用信任管理系统将各种策略涉及的属性整合为单一的信任属性，在降低公钥设计复杂性的同时，保留了公钥设计的策略灵活性。密钥拥有相应的信任属性和最新的属性授权时间才能解密密文。加密者不需要与授权机构在线交互就可以利用不同的信任属性策略限制节点的解密权限，以较小的代价实现了灵活的细粒度策略设计。

2）计算方面，在KPABE中，由于解密者只能进行在线的策略检查，所以本文方案的时间复杂度低于KPABE；同时，KPABE的访问结构计算集中在接收端，很容易耗尽汇聚节点的剩余能量。而本文方案的访问结构在密文中，因此复杂的双线性映射计算被分散在各个发送端，这有利于全网能量的均匀消耗，延长网络寿命。

4 结语

本文针对WSN基于属性加密的属性授权与撤销问题提出了基于信任属性的加密方案。与目前无线传感器网路中比较典型的对称密钥加密以及KPABE的理论分析与仿真对比实验表明，本文结合信任管理系统的即时属性授权与撤销机制在降低公钥设计复杂性的同时，通过加密者与授权机构非交互的解密设计提供了基于信任等级的细粒度策略控制；并能通过隔离或抑制恶意节点一定程度上抵御内部和外部攻击，为无线传感器网络提供安全保障。本文实验环境采用基于单一的基站汇聚方式组网，该方案实现比较简单，实验结果较好。分析表明，该方案在多跳路由并有基站管理的组网环境下可以得到相同的结论。本文方案可以通过属性撤销有效抑制恶意节点破解密钥后进行的攻击或消极行为，但无法阻止恶意节点单纯的监听行为，因此如何在节点沦陷的情况下，更好地保护网内信息及策略的隐私是下一步的研究重点。

参考文献：

[1]MANOLAKOS E S， LOGARAS E， PASCHOS F. Wireless sensor network application for fire hazard detection and monitoring [C]// SENSAPPEAL 2009： Proceedings of the 2009 International Conference on Sensor Applications， Experimentation， and Logistics. Berlin： SpringerVerlag， 2010： 1-15.

[2]JENNIFER Y， BISWANATH M， DIPAK G. Wireless sensor network survey [J]. Computer Networks， 2008， 52（12）： 2292-2330.

[3]OLIVEIRA L B， WONG H C， LOUREIRO A A F， et al. On the design of secure protocols for hierarchical sensor networks [J]. International Journal of Security and Networks， 2007， 2（3/4）： 216-227.

[4]CHIEN HY， LIN RY. Improved IDbased security framework for Ad Hoc network [J]. Ad Hoc Networks， 2008， 6（1）： 47-60.

[5]HU L， LIU Z， SUN T， et al. Survey of security on identitybased cryptography [J]. Journal of Computer Research and Development， 2009， 46（9）： 1537-1548. （胡亮，刘哲理，孙涛，等.基于身份密码学的安全性研究综述[J].计算研究与发展，2009，46（9）：1537-1548.）

[6]BONEH D， FRANLIN M. Identity based encryption from the Weil pairing [J]. SIAM Journal of Computing， 2003， 32（3）： 586-615.

[7]RAHMAN S M， KHALILI E K. Private key agreement and secure communication for heterogeneous sensor networks [J]. Journal of Parallel and Distributed Computing， 2010， 70（8）：858-870.

[8]OLIVEIRA L B， ARANHA D F， CONRADO P L， et al. TinyPBC： pairings for authenticated identitybased noninteractive key distribution in sensor networks [J]. Computer Communications， 2011， 34（3）： 485-493.

[9]GOYAL V， PANDEY O， SAHAI A， et al. Attributebased encryption for finegrained access control of encrypted data [C]// CCS06： Proceedings of the 13th ACM Conference on Computer and Communications Security. New York： ACM， 2006： 89-98.

[10]BETHENCOURT J， SAHAI A， WATERS B. Ciphertextpolicy attributebased encryption [C]// SP07： Proceedings of the IEEE Symposium on Security and Privacy. Washington， DC： IEEE Computer Society， 2007： 321-334.

[11]HUR J， KOO D， HWANG S O， et al. Removing escrow from ciphertext policy attributebased encryption [J]. Computers & Mathematics with Applications， 2012， 34（6）： 260-264.

[12]ATTRAPADUNG N， LIBERT B. Functional encryption for publicattribute inner products： achieving constantsize ciphertexts with adaptive security or support for negation cached [J]. Journal of Mathematical Cryptology， 2011， 5（2）： 115-158.

[13]LIN H， CAO Z， LIANG X， et al. Secure threshold multi authority attribute based encryption without a central authority [J]. Information Sciences， 2010， 180（13）： 2618-2632.

[14]WANG G， LIU Q， WU J， et al. Hierarchical attributebased encryption and scalable user revocation for sharing data in cloud servers [J]. Computers & Security， 2011， 30（5）： 320-331.

[15]TAN Y L， GOI B M， KOMIYA R， et al. A study of attributebased encryption for body sensor networks [J]. Communications in Computer and Information Science， 2011， 251（2）： 238-247.

[16]WATERS B. Ciphertextpolicy attributebased encryption： an expressive， efficient， and provably secure realization [G]// Proceedings of 14th International Conference on Practice and Theory in Public Key Cryptography， LNCS 6571. Berlin： Springer， 2011： 53-70.

[17]GANERIWAL S， BALZANO L K， SRIVASTAVA M B. Reputationbased framework for high integrity sensor networks [J]. ACM Transactions on Sensor Network， 2008， 4（3）： 1-37.

[18]SHAIKH R A， JAMEEL H， AURIOLuriol B J， et al. Groupbased trust management scheme for clustered wireless sensor networks [J]. IEEE Transactions on Parallel and Distributed Systems， 2009， 20（11）： 1698-1712.

[19]WOOD A D. Denial of service in sensor networks [J]. Computer Date of Publication， 2002， 35（10）： 54-62.

[20]KALPAKIS K， DASGUPTA K， NAMJOSHI P. Efficient algorithms for maxinluin lifetime data gathering and aggregation in wireless sensor networks [J]. ACM Computer Networks， 2003， 42（6）： 697-716.