周建钦，王 影

(1.杭州电子科技大学通信工程学院,浙江 杭州 310018；2.安徽工业大学计算机学院,安徽 马鞍山 243002)

WSN中节点可移动场景下分簇式组密钥管理方案*

周建钦1,2，王 影1

(1.杭州电子科技大学通信工程学院,浙江 杭州 310018；2.安徽工业大学计算机学院,安徽 马鞍山 243002)

针对无线传感器网络中节点能否移动的问题，结合中国剩余定理和椭圆曲线密码体制相关理论，提出了一种WSN中节点可移动场景下的分簇式组密钥管理方案.网络采用簇内分组思想，将组密钥管理分为2级，一级管理为簇头节点管理本簇内组长节点，二级管理为组长节点管理组内成员节点.其中一级管理采用中国剩余定理理论产生簇密钥，将计算量转交给基站，同时也节省了节点的存储开销；二级管理采用椭圆曲线密码体制产生组密钥，且每个小组共享的组密钥各不相同.移动节点重新加入网络时，由预加入簇的簇头节点对移动节点的历史更新信息进行确认，并对其数字签名进行验证，确定身份合法后将其分配给簇内成员尚有空缺的组.实验和分析结果表明，该方案中传感器节点存储开销低、能耗低，且用较小的开销实现了较高的安全性，更适合节点资源受限且易遭受攻击的无线传感器网络.

中国剩余定理；椭圆曲线密码体制；数字签名;密钥管理

无线传感器网络(WSN,Wireless Sensor Networks)能够独立地获取客观的物理信息，大幅提高人们的信息获取能力，将客观世界的众多物理信息与先进的数字传输网络连接在一起，促进了人类与自然界的交互.在WSN的密钥管理方案中，人们一般会用到基于对称或非对称密码体制的加密算法.其中，像DES等对称密码体制具有加密速度快、效率高和计算复杂度低的优点，可用在对实时性要求比较高的场景中；而像ECC等非对称密码体制主要用于非实时性场景，它具有密钥分配简单、便于管理、系统密钥量少、开发性好、抗抵赖性强和能够方便实现数字签名等特点.针对不同的场景，可以灵活地选择1种或者二者混合使用，充分利用二者的优点.早期对WSN的研究普遍认为，在资源受限的传感网中不能应用计算复杂度太高的公钥密码体制，但近年来的研究[1-2]表明，针对公钥密码体制的加密系统也可以甚至更好地应用于WSN，比如椭圆曲线加密体制ECC就具有对称密钥所不具备的优点.

现有的对于无线传感器网络密钥管理方案的研究大多是静态网络[3]，网络节点部署之后，就保持位置不动.但是针对于节点可移动的密钥管理方案还有很多问题需要解决.比如，基于门限技术的管理方案[4]中，网络内部成员之间相互协作，采用分布式的形式产生系统密钥和每个节点的秘密份额.方案中利用了椭圆曲线的离散对数问题，但未考虑到过多的秘密份额传输所导致的计算量和安全分发问题.基于椭圆曲线的方案[5]中提出了一种具有认证中心、服务节点和普通节点3种结构的密钥管理方案.方案中由服务节点产生和分配密钥，赋予了服务节点太大的权利，其一旦被妥协，将威胁网络中众多节点安全.文献[3]中每个节点预置一个证书来证明新节点的身份.当有节点加入时，邻居节点通过验证证书来确定其是否为合法节点.但是，文中绝对地假设传感器节点都是静态的，一个新发现的邻居节点一定是新部署加入的节点或者是恶意节点，即方案中否认了移动节点的存在.表1显示将LEAP协议[6]和OTMK[7]的相关密钥管理方案在密钥类型和节点可移动性等方面的特点作了一些比较.

表1 相关密钥管理方案比较

在一些特殊的应用场景中，节点会主动或者被动地移动位置而不能被视为恶意节点，但是若这些移动节点的行为符合网络已有的攻击特征或者与规定的正常行为相背离，则视其为恶意节点[8].对此，笔者提出了节点可移动的组密钥管理方案.方案中将簇内节点按照部署区域划分为多个组，每个组选举出组长节点并产生不同的通信密钥，簇头实时监听簇内每个组的通信和密钥更新情况.分析结果表明，新方案满足传感器节点低存储、低能耗的性能要求，且组密钥中运用了椭圆曲线密码体制，用较小的开销实现了较高的安全性，更适合节点资源受限且易遭受攻击的无线传感器网络.

1 网络模型建立

图1 WSNs中节点可移动场景下的分簇式组密钥管理模型

针对节点可移动场景下的动态无线传感器网络，结合中国剩余定理和椭圆曲线密码体制理论，提出了一种WSN中移动场景下的分簇式组密钥管理方案.网络中将节点分为3种类型：基站、簇头节点和普通节点.其中，基站的计算、通信能力和能量不受限制，可以覆盖网络中的任意节点并且是完全可信的；簇头节点位置较固定，拥有相对丰富的资源，可以正确处理一些简单的运算且不易被俘获；普通节点可以随时移动位置，但是资源受限且易遭受攻击.普通节点根据职能又分为组长节点和成员节点，其中组长节点是由一定区域内的普通节点按照一定的规则或算法[9]产生.组长节点除了负责区域内信息数据的采集和传输外，还要管理本组成员的流动和组密钥的产生.

常见的无线传感器网络为层簇结构，在此基础上，引入簇内分组思想，将组密钥管理分为2级.如图1所示，一级管理为簇头节点管理本簇内组长节点，二级管理为组长节点管理组内成员节点，同时为每组成员个数设置上限.

假设：(1)网络部署后的一段时间内，没有节点被妥协，基站能够安全的完成一些网络的初始化操作；(2)网络具有入侵检测机制，被妥协节点能够实时地被组长或簇头节点检测出，而未妥协节点能够正确的执行相关运算；(3)敌方妥协节点需要一定的时间，此间足够进行组密钥更新.

2 相关知识

2.1中国剩余定理

令m1,m2,...,mn为n个两两互素的正整数(即当i≠j时，gcd(mi,mj)=1)，b1,b2,...,bn为n个任意整数，则中国剩余定理[10]可以描述为：同余方程组

2.2椭圆曲线加密体制

在椭圆曲线加密(ECC)中，利用某种特殊形式的椭圆曲线，即定义在有限域Fp上的椭圆曲线,其方程为

y2=x3+ax+b(modp),

(1)

其中p是素数，a和b为2个小于p的非负整数，且满足关系式4a3+27b2(modp)≠0.x,y,a,b∈Fp，则满足(1)式的点(x,y)和一个无穷点G就组成了椭圆曲线Ep(a,b).

现有的基于ECC的加密方法总结为：假设有素数域上的椭圆曲线Ep(a,b)，G为椭圆曲线上的一个基点，其阶为大素数n.sA和sB分别为节点A和B的私钥，pA和pB分别为对应的公钥,即pA=sAG,pB=sBG.假若节点A要向B发送消息m，A已知B的公钥pB，则要进行以下步骤：

(ⅰ)A采用双方协商的加密算法将明文m加密为一个域元素m′.

(ⅱ)A随机选择一个正整数k，并产生密文Cm，该密文是一个点标量对Cm={kG,m′+kpB}.A将Cm发送给B.

(ⅲ)B收到信息后，将标量对的第2个值减去第1个值与B的私钥sB的乘积，即m′+kpB-kG×sB=m′+kpB-k×sBG=m′.

(ⅳ)B用双方协商的解密算法对m′进行解密，就得到明文m.

3 分簇式组密钥管理方案

3.1网络初始化

网络部署前，为基站选择一个离线的可信任中心CA以及关于认证和接入控制的实体ACS，假设二者绝对可信，且不会被妥协.任意传感器节点i被预置一系列信息{IDi,Ti,KSi-BS,mi,(Ci,ci)}.其中：IDi表示该节点的唯一身份标志；Ti为节点的最迟加入网络时间，即节点必须在此之前加入网络，否则不会被视为新节点；mi为从两两互素的整数密钥池中随机选取的一个素数，作为节点的一个密钥；(Ci,ci)为CA根据椭圆曲线数字签名算法(ECDSA)为节点计算的数字签名，其表达式[8]为

式中：ri为随机数；G为椭圆曲线Ep(a,b)上的点，其阶为n；H(·)是能将二进制序列转化为整数的哈希函数；ST为ACS的私钥，公钥为PT，PT=STG.

3.2簇头节点间建立对密钥

根据文献[6]，CA为不同批次加入网络的簇头节点分配不同的初始密钥KI和相同的随机函数f.邻居发现阶段时，每个簇头节点u可计算自身主密钥Ku=fKI(u)以及与邻居节点的共享密钥为Kuv=fKu(v).同时，邻居节点v也能计算出Kvu=fKv(u)=Kuv，完成邻居节点间对密钥的建立.本阶段结束后，所有节点删除KI，保留自己的主密钥以及与邻居共享的对密钥.此次对密钥的建立无需节点间的密钥传输，节省了节点的通信开销，降低了拦截攻击几率.

3.3节点加入

节点加入网络包括新节点加入网络和移动节点加入网络2种情况.

(1) 新节点加入网络.如果节点e被部署到簇Ⅰ区域，簇Ⅰ的簇头就要根据节点加入信息，用椭圆曲线数字签名算法验证新节点的身份.即e要加入网络需执行以下步骤：

(ⅰ) 节点e广播一个信息加入包e→*：{join‖Te‖IDe‖|(Ce,ce)}.

(ⅲ) 簇头Ⅰ检查簇内是否存在成员个数小于上限值t的组.若存在，就近选择1个加入，同时告知IDe组密钥信息；若不存在，则建立新的小组，并令IDe为组长，保存IDe并为其分配簇密钥信息.

(2) 移动节点加入.类似于情况(1)，不同的是移动节点广播时需要加入历史更新信息Tlast，即最后一次组密钥更新时间.欲加入簇的簇头由此判断其为移动节点，并根据Tlast值判断其是否为恶意节点：假设Tdead为节点离开到重新加入网络的最大间隔时间，若t-Tlast>Tdead，则视其为恶意节点，丢弃信息包.

3.4节点离开

节点是否正常工作，可以通过一些检测机制来实现认证.比如简单的方法可通过簇头或组长节点定期广播hello包来检测：如果在有限时间内没有收到某个节点的反馈信息，就视该节点为已不存在或无法正常工作.

若成员节点或组长节点已确定离开，则组长或簇头(若离开节点为组长节点)将离开节点IDd从成员列表里删除，同时告知簇头并将本组成员个数-1，发起密钥更新.

3.5密钥更新

组密钥更新分别由簇头和组长节点发起，包括节点离开后簇头或组长节点发起的一级簇密钥更新、二级组密钥更新以及网络周期性密钥更新.当网络中有节点加入时，可直接由簇头或组长节点通知加入节点当前组密钥，无需发起更新.

(1) 一级簇密钥更新，即簇头节点与簇内各小组组长节点形成的组播密钥更新.该更新过程如下：

(ⅰ) 簇头节点保存有本簇组长节点列表.第1次更新时，簇头通过与基站共享的对密钥将列表发送给基站.或者当有组长节点离开时，要求基站将其从列表中删除，发起密钥更新.

(ⅱ) 基站根据成员IDi(包括簇头本身)在CA中找到对应的节点密钥mi，然后随机选择一个密钥k(周期性更新时只需更新k)，根据中国剩余定理计算

(ⅲ) 簇头用共享组密钥Kcluster将X值组播给簇内各组长节点.此时，簇头和组长节点只需进行一次简单的取模和一个求和运算，就可得到正确的组密钥，即kcluster=(Xmodmi)-mi，i=1,2,...,n.而不在成员列表中的节点由于没有为计算贡献密钥mi，不能计算出正确的Kcluster.

(2) 二级组密钥更新，即组长节点与组内成员节点形成的组播密钥更新.组长节点存储有本组成员列表，组内有节点离开时，组长节点将其从列表中删除，并进行组密钥更新.更新过程如下：

(ⅱ) 节点接收信息并用Kgroup解密后，将第2个点减去第1个点与Kgroup的成绩，即得出新密钥Knew-group.组外节点即使得到标量对(M1,M2)，将其ID值带入A(x)后，其值不为1，也不能得到正确的更新密钥，保证了更新组密钥的安全.

4 安全和性能分析

4.1安全性分析

(1) 新方案中的组密钥安全性主要是基于中国剩余定理和椭圆曲线的离散算法问题.一级簇密钥中将中国剩余定理的复杂运算转交给基站，一方面减少了节点的计算量，另一方面由簇头节点通过对密钥将信息传输给基站，也保证了密钥传输的安全性.基站将计算的组密钥信息X发送给簇头，再由簇头分发给簇内各个组长节点.而任何其他节点，由于没有贡献密钥信息mi，即使得到了X，也不能根据kcluster=(Xmodmi)-mi计算得出合法组密钥kcluster.

M2-M1×Kgroup=Knew-groupA(x)+kKgroupG-kG×Kgroup=Knew-groupA(x)，

非组内节点就不能得到Knew-group，而只能得到Knew-groupA(x).

(2)安全攻击.针对WSNs的攻击手段有被动攻击和主动攻击，被动攻击主要有窃听、拦截网络中传输的信息；主动攻击主要有伪造、篡改和重放网络信息以及拒绝服务(DoS)攻击.因为传感器节点资源受限，所以重放攻击等主动攻击手段会严重影响WSN的工作寿命.

新方案中对每个节点采用椭圆曲线数字签名算法预置了唯一的签名，来抵抗网络中的攻击.首先，节点加入阶段，簇头节点通过对其签名进行认证来确定节点的身份是否合法，因此敌手无法伪造和篡改这些信息.其次，移动节点加入与新节点加入网络有所不同，广播加入信息时需要在原有信息内加入历史更新信息Tlast，即最后一次组密钥更新时间.欲加入簇的簇头可由此判断其为移动节点，并根据Tlast值判断其是否为恶意节点，再决定是否进行验证，以此来抵御网络重放攻击.还有，本网络所使用的密钥更新算法都无需成员节点对接收信息进行反馈，因此能够有效抵制DoS攻击.

(3)缩小威胁范围.任何方案都不能保证其能够抵御任何攻击，新方案对簇内节点再分组.这样的好处是，当局部网络受到攻击时，可以将威胁范围缩到最小，而不会影响大部分网络的正常运行.

4.2性能分析

无线传感器网络节点的存储空间、通信消耗和计算能力等资源都受限，因此各种资源都需要得到合理的利用.为方便分析和比较，假设网络中每簇内共有n个节点，每组节点个数上限为t，密钥为ID，随机数等长度均为L，时间长度忽略不计.

(1) 存储消耗分析.新方案中每个节点需要预置信息{IDi,Ti,KSi-BS,mi,(Ci,ci)}.节点工作过程中，组长节点还需要存储簇密钥Kcluster、本组成员列表和本组组密钥Kgroup，成员节点需要保存Kgroup.即组长节点的存储消耗最大为(7+t)L，任意成员节点的存储开销为6L.

(2) 能量消耗分析.网络稳定后，由基站利用中国剩余定理产生一级簇密钥，簇头将生成的密钥信息X组播给组长节点；组长节点产生二级组密钥后，将标量对(M1,M2)组播给组内成员，同时单播给所属簇头.因此，方案中组长节点需接收X，长度为1L，发送2次(M1,M2)，长度为4L；成员节点需接收(M1,M2)，长度为2L，不需要发送信息.

(3) 计算消耗分析.更新一次簇密钥时，组长节点需进行一次取模和一次加法运算；二级组密钥计算时，组长节点需进行椭圆曲线加密运算、乘法运算和加法运算，成员节点只需进行乘法运算和加法运算.

文献[11]方案1中，网络中每个节点拥有一个通信密钥对(Snode_id,Pnode_id)，且每个组内节点共享一对组公钥和组私钥，簇头节点实时掌握每个组的通信组密钥.组密钥更新由每组的组长节点发起，假设group_id组的组长为Ngroup_id，成员节点Nnode_id∈Ngroup_id，则更新时进行如下过程：

(1) 成员节点Nnode_id发出广播Public(group_id,node_id,Pnode_id)，组内剩余节点接收到消息后保存节点的公钥Pnode_id(Pnode_id=Snode_idG).

(2) 接收节点从上一节点的Nodes集合中删除自身，并选择一节点作为下一个密钥交换的节点.并根据上一节点传递的协商密钥Q，令Q=Snode_id*Q，继续向下一个节点发送消息Hello(group_id,node_id,Q,Nodes).

(3)Nodes节点为空时，表示所有节点均已收到消息，即已协商出组共享密钥.然后最后节点向前一个节点发送消息Reply_key(group_id,node_id,M1,M2)，其中，M1=kG,M2=Sgroup_id+k*Ppre，Ppre为前一个节点的公钥.依次传播，由此所有的节点都能从(M1,M2)中得出相同的组密钥.

(4) 组长节点将组密钥加密传给簇头，使簇头掌握最新组密钥.

新方案与方案1[11]性能相比较如表2所示.

表2 方案性能比较

图2 单个节点通信能量消耗比较

假设每个节点的能量为4 J，每个组有10个节点，则单个节点通信能量消耗比较如图2所示.

从表2可以看出，新方案中节点的存储需求要略大于方案1中节点需求，但存储需求为常数，节点完全可以满足.图2为将表2中通信开销进行MATLAB实验的结果.从图2可以看出，假若每个节点有4 J的能量，则方案1中组长节点最早消耗完，成员节点与新方案中组长节点消耗相差无几，而新方案中成员节点能量最后耗尽.也就是说，网络组密钥更新时，新方案较方案1中节点通信能量消耗小.相同条件下，新方案中无论是组长节点还是组内成员节点的生存时间都要长于方案1中相应节点.因此，新方案不但可以延长整个网络的生命周期，而且组内节点由组长集中管理，能够更有序、高效地工作.考虑计算需求时，2个方案中都用到了椭圆曲线加密体制ECC，能量消耗类似，能够用较小的开销实现较高的安全性，特别适合应用于计算能力和带宽等资源受限的无线传感器网络.

5 结语

针对无线传感器网络中节点能否移动的问题，结合中国剩余定理和椭圆曲线密码体制，提出了一种WSN中节点可移动场景下的分簇式组密钥管理方案.特别地，移动节点重新加入网络时，由预加入簇的簇头节点对移动节点的历史更新信息Tlast进行确认，并对其数字签名进行验证，确定身份合法后将其分配给簇内成员尚有空缺的组.分析结果表明，该方案满足无线传感器网络低存储、低能耗的性能要求，且组密钥中运用了椭圆曲线密码体制，用较小的开销实现了较高的安全性，更适合节点资源受限且易遭受攻击的无线传感器网络.

[1] ZHOU Rui，YANG Hua.A Hybrid Key Management Scheme for Heterogeneous Wireless Sensor Networks Based on Ecc and Trivariate Symmetric Polynomial[C].Bali:Proceedings of 2011 International Conference on Uncertainty Reasoning and Knowledge Engineering (URKE),2011:251-255.

[2] ZHANG Liping，CUI Guohua，YU Zhigang.An Efficient Group Key Agreement Protocol for Ad Hoc Networks[C].Dalian,China:Proceedings of 4th International Conference on Wireless Communications,Networking and Mobile Computing,2008：1-5.

[3] ZHOU Yun，ZHANG Yanchao，FANG Yuguang.Access Control in Wireless Sensor Networks[J].Ad Hoc Networks，2007，5(1)：3-13.

[4] 李慧贤，庞辽军，王育民.适合Ad Hoc网络无需安全信道的密钥管理方案[J].通信学报，2010，31(1)：112-117.

[5] DAHSHAN H，IRVINE J.An Elliptic Curve Distributed Key Management for Mobile Ad Hoc Networks[C].Taipei,Taiwan:Proceedings of 2010 IEEE 71st Vehicular Technology Conference (VTC 2010-Spring),2010：1-5.

[6] ZHU Sencun，SANJEEV SETIA，SUSHIL JAJODIA.LEAP+:Efficient Security Mechanisms for Large-Scale Distributed Sensor Networks[J].ACM Transactions on Sensor Networks (TOSN)，2006，2(4)：500-528.

[7] DENG Jing，CARL HARTUNG，RICHARD HAN，et al.A Practical Study of Transitory Master Key Establishment ForWireless Sensor Networks[C].Boulder:Proceedings of 1st IEEE/CreateNet Conference on Security and Privacy in Communications Networks (SecureComm 2005)，2005：289-302.

[8] 张 兴，何泾沙，韦 潜.无线传感器网络中节点移动场景下的密钥管理方法[J].东南大学学报：自然科学版，2011，41(2)：227-232.

[9] HEINZELMAN W R，CHANDRAKASAN A，BALAKRISHNAN H.Energy-Efficient Communication Protocol for Wireless Microsensor Networks[C].MIT,Cambridge,MA,USA:Proceedings of the 33rd Annual Hawaii International Conference on System Sciences，2000：10-12.

[10] ZHENG Xinliang，CHIN-TSER HUANG，MANTON MATTHEWS.Chinese Remainder Theorem Based Group Key Management[C].Las Vegas Nevada,USA:Proceedings of the 2009 International Conference on Security & Management,2007：266-271.

[11] 谭志刚，黄海平，王汝传，等.基于簇内分组的ECC密钥管理方案[J].计算机技术与发展，2012，22(2)：176-180.

(责任编辑 向阳洁)

Cluster-BasedGroupKeyManagementSchemeforMobileNodesinWirelessSensorNetworks

ZHOU Jianqin1,2，WANG Ying1

(1.Telecommunication School,Hangzhou Dianzi University,Hangzhou 310018,China;2.Computer Science School,Anhui University of Technology,Ma’anshan 243002,Anhui China)

Aiming at the mobility of the nodes in wireless sensor network,a cluster-based group key management scheme for mobile nodes in wireless sensor networks is put forward based on the Chinese Remainder Theorem and Elliptic Curve Cryptosystem.Using the idea of grouping within cluster,the group key management was divided into two levels:the first level being the management of the cluster head and group leaders within the cluster,and the secondary being the management of group leader and its members.The former,by using the Chinese Remainder Theorem,transferred the amount of calculation to the base station,and saved the storage cost at the same time.The latter,by using elliptic curve cryptosystem,produced group keys,and each group shares different group keys.The cluster head was used to check the joining mobile node’s historic updating information,compute digital signature verification,and assigned it to the open group after authentication.Analysis results showed that the scheme meeted sensor node’s need for low storage and low energy consumption,and the use of elliptic curve cryptosystem increased the network’s security,making it more suitable for nodes’ resource-constrained and vulnerable wireless sensor networks.

Chinese Remainder Theorem;elliptic curve cryptosystem;digital signature;key management

1007-2985(2014)02-0023-07

2013-05-18

浙江省自然科学基金资助项目(Y1100318)

周建钦(1963-),男，山东巨野人，安徽工业大学计算机学院教授，主要从事理论计算机科学、密码学研究.

TN918

A

10.3969/j.issn.1007-2985.2014.02.007