基于轻量级CA的无线传感器网络密钥预分配方案.doc

第3期潘耘等：基于轻量级CA的无线传感器网络密钥预分配方案133基于轻量级CA的无线传感器网络密钥预分配方案潘耘1，王励成2，曹珍富3，李剑2（1. 中国传媒大学 计算机学院，北京 100024；2. 北京邮电大学 信息安全中心，北京 100876； 3. 上海交通大学 可信数字技术实验室，上海 200240）摘 要：大规模传感器节点通常被部署在有潜在不利因素、甚至敌对的环境中，因而传感器网络安全问题尤为重要。传感器节点受成本、体积和功耗的限制，其能量、计算能力、存储能力及通信能力都比普通计算机要弱很多，这使得无线传感器网络中的密钥管理协议的设计面临许多新的挑战，因而提出了适合于无线传感器网络环境的轻量级的、高效的密钥预分配方案，该方案融合了基于CA的公钥认证框架和基于身份的公钥认证框架二者的优点。进一步地，基于2次剩余理论，对所设计的方案给出了高效实现。关键词：无线传感器网络；轻量级CA；密钥分配；2次剩余理论中图分类号：TP309 文献标识码：A 文章编号：1000-436X(2009)03-0130-05Lite-CA based key pre-distribution scheme in wireless sensor networkPAN Yun1, WANG Li-cheng2, CAO Zhen-fu3, LI Jian2(1. School of Computer, Communication University of China, Beijing 100024, China; 2. Center of Information Security, Beijing University of Posts and Telecommunications, Beijing 100876, China; 3. Laboratory of Trusted Digital Technology, Shanghai Jiaotong University, Shanghai 200240, China) Abstract: Large-scale sensor nodes were usually deployed in potentially adverse or even hostile environment, so the security in these networks was very important. Due to its constraints on node cost, size and power dissipation, sensors energy and capabilities on computation, storage and communication were considerably weak compared with general computers. It leaded to many new challenges for designing of key management protocols in WSN. Therefore, a lite-CA based key pre-distribution scheme was suggested. The traits of CA-based authentication framework and identity-based authentication framework were combined by this scheme. Further, the scheme was efficiently implemented based on quadratic residue theory.Key words: wireless sensor network; lite-CA; key distribution; quadratic residue theory1 引言收稿日期：2008-12-12；修回日期：2009-01-10基金项目：国家重点基础研究发展计划（“973”计划）基金资助项目（2007CB310704）；国家自然科学基金资助项目（90718001）；中国传媒大学“211”工程基金资助项目Foundation Items: The National Basic Research Program of China (973 Program) (2007CB310704); The National Natural Science Foundation of China (90718001);“211”Project in Communication University of China无线传感器网络(WSN, wireless sensor network)是由部署在监测环境中的大量微型、低成本、低功耗的传感器节点组成的自组织多跳无线网络，实现监测区域内敏感数据的采集、处理和传输。作为连接物理世界和数字世界的桥梁，WSN可广泛应用于教育、军事、医疗、交通等诸多领域，拥有巨大的应用潜力和商业价值1，引起了国内外广泛的关注和研究。随着WSN研究的深入和逐步走向应用，其安全问题成为一个重要问题，特别是WSN被部署在无人触及或容易受损或被俘获的环境时，保证WSN的安全性更是应该优先考虑的问题。以提供安全、可靠的保密通信为目标的密钥管理是WSN安全研究的核心问题之一。在传统网络中，密钥管理的研究与应用已经取得了许多研究成果。然而，由于WSN固有的特点，这些研究成果难以直接应用到WSN中2。例如：由于节点资源受限，使得传统对节点计算、存储和通信开销较大的密钥管理方案无法应用于WSN；自组织结构的特点，使得基于在线密钥分配中心的密钥管理方案无法应用于WSN；无人参与值守，使得传感器节点的物理安全不能保证；网络拓扑结构的变化，使得一些状态敏感安全测量方法无法用于WSN。对称密钥管理方案所需的密钥长度短，计算、通信和存储开销也相对较小，因此比较适合于WSN，是目前WSN 密钥管理领域的主流研究方向，但非对称密钥技术在身份鉴别与消息认证以及数据完整性保护方面有着对称密码方案所不可替代的作用，因此当WSN节点资源不再受到严格限制时，结合对称和非对称密码技术的WSN密钥管理方案具有潜在的研究意义3,4。2003年，Huang等5提出使用椭圆曲线密码体制(ECC)与对称密钥的混合密钥管理协议来解决WSN中异构节点之间的公钥认证问题。部署前，预先生成隐式证书和FFD节点（计算通信能力较强）、RFD节点（普通节点）的公/私钥；部署后，FFD节点和RFD节点通过对方的隐式证书获取相应的公钥，然后各自随机生成链路密钥的基值，并使用对方公钥加密后发送给对方。若双方的链路密钥基值都得到验证，则与标识符ID一起共同协商生成链路密钥。该协议把ECC所产生的计算开销大多集中在FFD节点，未过多增加RFD节点的计算和通信开销。2005年，Kotzanikolaou6还对该协议进行了功能扩展，允许任意2个同构节点之间建立链路密钥。Huang等所使用的公钥密码技术是基于证书授权机制的，这也是目前使用最为广泛的公钥认证框架7。但是，尽管各国各级政府都在投巨资建设所谓的公钥技术设施，其中公钥证书的管理（包括发布、更新、撤销、维护等）仍然是个棘手的问题。虽然基于身份的思想可以很好地解决此问题，但是却又带来了强制密钥托管问题。针对以上现状，Al-Riyami和Paterson等8提出了无证书的思想。但是，Cao等 9于2007年指出了无证书密码系统存在顽健性较差等缺陷，并提出了轻量级证书授权机制的设想，这是一种新型的公钥认证框架，它介于证书授权机制和无证书机制之间，拥有后者全部的优点而且比后者更具顽健性。鉴于此，本文提出基于轻量级证书授权机制来设计无线传感器密钥预分配方案，并给出了基于2次剩余理论的高效实现。2 从CA到轻量级CA的发展历程“公钥证书”（public key certificate）的概念是由Kohnfelder在1978首次提出的10。公钥证书是一个数据对象，它将公钥和相应私钥的拥有者信息绑定在一起，这种绑定关系是通过一个证书授权者（CA, certification authority）的签名来体现的。这里的CA通常被看作可信第三方（TTP, third trusted party）。CA在为每个实体签发公钥证书之前，必须验证证书申请者的真实身份和其公钥，这种验证往往需要依赖一些非密码学的手段，例如通过面对面的确认或者通过声音、指纹等生物信息特征来确认；反过来，证书申请者也必须向CA证明自己确实拥有和其公钥所对应的私钥，这种证明可以通过申请者和CA之间的零知识证明来实现9。进而，证书管理中心（CMC, certificate management center）就构成了公钥基础设施（PKI, public key infrastructure）的核心。CMC是一系列组件的集合，它负责管理域内所有实体的公钥证书，包括证书的（申请、发布和使用）策略（policy）、相关的支撑组件、撤销（revocation）、存储（storage）等。正因为CMC所要承担的工作如此复杂，这往往成为制约PKI高效实现的瓶颈。1984年，Shamir11引入了基于身份的（ID-based）密码系统的概念，其中用户的公钥就是用户的身份，它可以是任何能够标识该用户身份的信息，例如IP地址、E-mail信息等；用户的私钥是由一可信的私钥生成中心（PKG，private key generator）产生，从本质上，这个过程就相当于PKG在对用户的身份进行签名。因此，在基于身份的方案中是没有证书的，或者说，证书是隐式的，它就包含在私钥中。私钥是不能公开的，因而这种隐式证书也是不能公开的。所以，在基于身份的方案中也就不需要所谓的CMC。正因如此，基于身份的方案是对基于CA方案的本质性改进，大大简化了PKI的实现。然而，基于身份的方案有一个缺陷私钥托管（private key escrow）问题。在基于CA的方案中，可信第三方CA并不拥有用户的私钥，而在基于身份的方案中，可信第三方PKG默认拥有所有用户的私钥（因为每个用户的私钥是由PKG生成的），即用户密钥是被强制托管的，这对于强调个人隐私保护的应用环境来说是难以接受的。2003年，Al-Riyami和Paterson8提出了无证书（certificateless）的密码系统的概念。在这种系统中，用户的私钥由2部分构成：一部分类似于基于身份的方案中用户私钥的构成，由PKG根据用户身份来产生；另外一部分则是由用户自己选择。相应地，用户的公钥也由2部分构成，一部分是用户的身份，跟基于身份的方案中公钥的构成一样；另外一部分是有关用户自己所选择的那部分私钥的一个零知识证明，这部分其实有点类似基于CA系统中的用户公钥，所不同的是此部分公钥不需要CA的签名来绑定。这种系统所以能够贴上“无证书”的标签，是因为：跟基于身份的系统类似，可信第三方对用户身份的签名构成了用户的部分私钥，因而这部分可以称为是无证书的，或者说是隐式证书的，而且这种隐式证书也是不能公开的；跟基于CA的系统确有不同，第2部分公钥不需要CA的签名来绑定，因而也不需要CMC来管理。但是，无证书系统中第2部分公钥没有经过CA的签名来绑定，也使得所谓的“替换公钥”攻击成为可能，因此方案的顽健性较差。例如，当Alice的公钥被攻击者Eve替换后，Bob发给Alice的密文就没有意义了，Alice无法正确解密（当然，Eve也无法正确解密）。无论采取何种加密方案，即使是信息论安全的一次一密方案，Eve总是可以用随机数干扰Bob发给Alice的密文，从而使得Alice无法正常解密。因此，这种攻击从密码学的角度看是平凡的，如何防止这种攻击也不属于密码学的范畴。但是对于“替换公钥”攻击，是可以通过密码学的手段来加以检测的，例如基于CA的方案和基于身份的方案。无证书的方案虽然避免了强制密钥托管问题，也去除了CMC，但使得“替换公钥”攻击成为可能。2007年，Cao等9提出了所谓的轻量级CA（lite-CA based）的公钥认证框架的设想：用户私钥完全由用户自己选择，但是其公钥分为2部分，一部分跟其私钥的某个单向变换，另外一部分是可信第三方CA对于用户身份和第1部分公钥的签名。此设想跟基于CA的系统的联系和区别是：第2部分公钥类似于CA系统中的证书，但是对于证书的管理不是集中式的，而是分散式的，即由各个用户自己负责，因此也无需CMC，这正是轻量级CA名称的由来。此外，在传统基于CA的系统中，证书仅仅用来验证公钥有效性，而在基于轻量级CA的系统中，证书本身是公钥的一部分，直接在相应密码算法中使用。轻量级CA密码系统与无证书密码系统的共同点是：二者均避免了强制密钥托管问题，也都不是基于身份的方案，Bob在向Alice发送密文之前需要获取Alice的身份信息和公钥信息，而不能直接以身份作为公钥。二者的区别是：前者的证书（即第2部分公钥）是显式的，可以抵抗“替换公钥”攻击，而后者的证书是隐式的，不能抵抗“替换公钥”攻击。相比无证书系统，轻量级CA系统的优势在于：无证书框架下可以做的事情，轻量级CA框架下亦能够以同样或更低的代价做到，例如，无证书系统中可信第三方为用户生成的是部分私钥，需要通过安全信道传输，而轻量级CA系统中，可信第三方为用户生成的是部分公钥，可以通过公开信道传输。3 基于轻量级CA的无线传感器网络密钥预分配方案在传感器网络环境中，分散式证书管理的思想早已萌芽。例如，2003年，Huang提出使用椭圆曲线密码体制与对称密钥的混合密钥管理协议5来解决异构节点之间的公钥认证问题。在Huang的方案中，CA为每个节点生成隐式证书（implicit certificate）和私钥重构数据，并通过安全信道发送给节点。接下来，当2个节点欲建立会话时，先互换各自的隐式证书，并分别从对方的隐式证书中获得对方的公钥信息；然后，它们执行一个带有双方互相认证能力和显式密钥确认（explicit key confirmation）能力的Diffie-Hellman密钥协商协议。Huang的上述方案可以分为2个阶段：静态密钥预分配阶段和会话密钥协商阶段。本文着重讨论前一阶段，即节点从CA处获取所谓的隐式证书的阶段。经过分析发现，Huang方案的某些元假设存在语义矛盾，例如，CA为每个节点生成的隐式证书在后面的会话密钥协商阶段是公开传输的，因此就没有必要在预分配阶段通过安全信道传输。此外，CA不仅为节点生成隐式证书，而且还生成私钥重构数据，这就导致节点的私钥并不是完全由自己来选择的。在一个基于CA的系统中，这样做其实是不必要的，只有在基于身份的系统中，才需要可信第三方来为用户产生私钥。Huang方案这样做并没有带来基于身份方案的好处，仍然需要证书才能确认节点的身份，而并不能直接以节点身份作为公钥。本文拟对Huang方案中的密钥预分配阶段进行重新考虑。首先，可以利用一个加密方案来实现密钥分配，并且由于所加密的仅仅是一个随机数，在后续协商过程中还会有显式密钥确认步骤，因此确定型的加密方案足以保证会话密钥的安全性。因此，本文借鉴了文献9中的基于轻量级CA的加密方案BasicIdent，并对其作了适当简化。表22节点会话密钥协商U()公开信道V()发送，接收接收选择随机数;计算，发送发送接收; 选择随机数;计算接收;；;发送;发送接收本文所使用的密钥预分配方案见表1。其中，CA的公私钥的选择同RSA方案即公钥为(n, e)，私钥为d，其中ed1(mod )，为n的欧拉函数，H为一个抗碰撞的散列函数。而节点U先利用中国剩余定理求解同余方程得到4个根，可记为，再计算，此时，就可用，作为私钥，而销毁，。表1密钥预分配方案U公开信道CA()选择2个模4余3的Blum大素数，；计算和，；销毁发送，接收接收发送再基于上述密钥预分配方案，借鉴文献5的密钥协商过程来描述2个传感器节点之间的会话密钥协商过程。体制描述见表2。其中，kdf是一个密钥抽取函数，MAC是一个带密钥的消息认证码产生器；加密算法E和解密算法D是在文献6的算法基础上有所简化。下面以节点U为例给出具体的算法描述。节点U的公钥是，私钥为，。设要加密的随机数为r，令,，则密文为。解密步骤如下。1) ;2) ;3) 这4个根中，最多只有1个满足，这就是所求的明文；如果4个根均不满足，则说明密文被篡改，为无效密文。在表2的密钥协商协议中，在双方交换公钥信息（包括证书）之后，采用了3次“挑战响应”交互机制来实现双方互认证（同时带有显式密钥确认），相比文献5中的方案，减少了1次消息传递。协议正常结束时，节点U和节点V均能够确认对方的身份，而且相信双方握有一致的会话密钥sk；协议异常终止时，即某个验证操作“AB”不成立，说明存在身份假冒或中间人攻击。协议的安全性证明可参考文献8和文献5来给出。4 结束语无线传感器网络中的密钥管理方案必须符合WSN的特点，如可扩展性、计算复杂度小、存储空间需求低、通信负载低、拓扑结构易变等。因此，人们普遍认为非对称密钥管理方案不适用于WSN。但是，在某些特殊的WSN应用场合，身份鉴别与消息认证往往成为不可或缺的需求，此时，非对称密钥技术就有着对称密码技术所不可替代的作用。因此，随着存储部件体积和价格的下降，计算部件性能的提升以及无线充电等新技术的发展，基于非对称密钥技术的WSN密钥管理方案必将成为具有潜力的研究方向之一。使用非对称密码技术的首要问题就是选用合适的公钥认证框架。本文建议基于Cao等新近提出的轻量级CA来实现WSN中的密钥预分配，并进而给出了基于2次剩余的高效实现。参考文献：1任丰原, 黄海宁, 林闯. 无线传感器网络J. 软件学报, 2003,14(7): 1282-1291.REN F Y, HUANG H N, LIN C. Wireless sensor networksJ. Journal of Software, 2003,14(7): 1282-1291.2苏忠, 林闯, 封富君等. 无线传感器网络密钥管理的方案和协议J.软件学报, 2007,18(5):1218-1231.SU Z, LIN C, FENG F J, et al. Key Management schemes and protocols for wireless sensor networksJ. Journal of Software, 2007, 18(5): 1218-1231.3GAUBATZ G, KAPS J, SUNAR B. Public keys cryptography in sensor networks-revisitedA. Proc of the 1st European Workshop on Security in Ad-Hoc and Sensor Networks (ESAS)C. New York, 2004. 2-18.4MALAN D J, WELSH M, SMITH M D. A public-key infrastructure for key distribution in TinyOS based on elliptic curve cryptographyA. Proc of the 1st IEEE Intl Conf on Sensor and Ad Hoc Communications and NetworksC. 2004. 71-80.5HUANG Q, CUKIER J, KOBAYASHI H, et al. Fast authenticated key establishment protocols for self-organizing sensor networksA. Proceedings of the 2nd ACM International Conference on Wireless Sensor Networks and ApplicationsC. San Diego, CA, USA, 2003. 141-150.6KOTZANIKOLAOU P, MAGKOS E, DOULIGERIS