陈 琳

增强的无线传感器网络密钥管理协议

陈 琳

(长江大学计算机科学学院 湖北 荆州 434023)

针对基于临时初始密钥的密钥管理协议中初始密钥泄露和删除密钥部分素材后老节点之间不能有效认证并建立点对密钥的问题，提出一种适用无线传感器网络安全性增强的密钥管理协议。协议采用分阶段部署传感器节点，并结合双向密钥链、组密钥更新机制和Shamir多项式门限方案。协议中每个节点携带若干部署阶段的主密钥而非初始密钥，即使节点被捕获，也难以通过其他节点认证进入网络；组密钥更新方案中的广播多项式隐藏了被撤销的节点集合和后向密钥，合法节点通过多项式计算恢复出后向密钥并计算组密钥，使得老节点之间能通过组密钥机制实现认证并再次融入网络，提高了网络连通性。安全性和性能分析表明，协议在保证更好安全性的同时，降低了系统开销，也提高了不可靠信道环境下的自愈合性。

无线传感器网络 密钥管理 密钥链 点对密钥 临时初始密钥

0 引 言

无线传感器网络WSNs是由大量成本低、能量和带宽受限，且计算和通信能力较弱的无线传感器节点组成。由于其部署方式灵活和自组网的特点，在军事环境、医疗防护、智能家居、环境监测与森林防火等方面逐步得到了广泛的应用。但无论传感器网络部署在何种环境，因其带宽和资源受限的特点，与传统有线网络相比较，容易受到多种恶意攻击，如节点捕获攻击、wormhole攻击、DoS攻击等。因此，无线传感器网络中节点实体和信息认证、信息机密性和完整性等安全问题，一直是该领域的研究热点和难点，这些安全问题的核心就是WSNs的密钥管理。

传感器网络的密钥管理大致可以分为两类，即基于临时初始密钥的密钥管理协议[1-4]和基于密钥预分配的密钥管理协议[5,6]。其中，基于临时初始密钥的密钥管理协议的基本思想是：在节点部署前，控制器或基站给每个传感器节点预置一个共享的临时初始密钥KI；节点部署后，基于KI和相关信息建立与邻居节点共享的点对密钥及其它密钥；链路建立之后，节点彻底删除该KI和有关信息。

LEAP方案[1]是典型的基于临时初始密钥的密钥管理协议。该方案中，节点u和v共享初始密钥KI，u基于KI计算其主密钥Ku=f(KI,u)，若邻居节点v发出建立连接消息HELLO，且u>v，则节点u计算出点对密钥Kuv=f(Ku,v)；否则点对密钥为Kvu=f(Kv,u)，其中，u和v为节点唯一标识符，f(·)为单向函数。点对密钥建立后，节点删除KI及邻居节点的所有信息，仅保留自己的主密钥。该协议存在的不足是节点对HELLO消息缺乏鉴别或认证能力，响应大量无效消息时浪费资源，缩短了网络生命周期；而且，合法老节点删除了初始密钥KI，当需要与其他老节点建立连接时，无法通过主密钥进行合法性认证；更严重的是，若初始密钥KI泄露，第三方会获得所有节点的点对密钥，导致整个网络崩溃。针对KI泄露和老节点之间不能重新建立安全链路的问题，OTMK协议[4]使用随机数作为点对密钥生成函数f(·)的参数，即使KI泄露，攻击方也无法计算出所有点对密钥，从而将对网络的破坏限制在局部范围[2]。为使得新节点与老节点能够建立点对密钥，OTMK协议还提出在老节点中保存一系列认证序列对(xi,yi)，其中，yi=f(KI,xi)，当需要认证新节点时，老节点发送xi，通过新节点响应的yi进行认证。每个认证对(xi,yi)使用后即删除，限制了可以认证的节点的数量，也占用了宝贵的存储空间。

传感器网络的安全性和性能在于网络抗节点捕获攻击能力，及前向安全性和后向安全性, 并具有较低的密钥更新成本，能延长网络生命周期和提高网络连通率。基于此，LEAP协议[1]提出了不依赖于唯一初始密钥的方案，方案能够保证前向安全和后向安全，但是合法的老节点之间不能进行实体认证，依然不能建立安全链路，并且排除可疑节点时使用单播而不是广播，消耗了众多节点的能耗，降低了网络的生命期。文献[3,7,8]在时间上分阶段部署传感器节点，不同阶段使用不同的初始密钥，采用中国剩余定理[3,9]或两个单向链表[7，8]等形式隐藏部分密钥，并使用节点机密信息建立与邻居节点间的链路，能实现网络最大连通率并保证前向/后向安全。但是节点被捕获后，在该节点部署前后若干阶段节点间的点对密钥可能泄露,导致网络局部不安全。在丢包率较高的无线环境，为减少密钥更新成本，文献[10-13]基于双向密钥链提出了具有节点撤销能力的自治愈群组密钥管理方案。一次广播操作就可以更新组密钥，减少了密钥更新代价，能容忍包丢失，但存在存储空间较大，计算和通信开销成本高等不足。

针对上述方案中合法老节点间不能有效认证，及初始密钥泄露威胁网络安全等问题，本文采用分阶段部署节点和多初始密钥思想，及双向密钥链和多项式门限方法，设计一种安全性增强的无线传感器网络密钥管理方案。方案中依据群组密钥提供认证策略保证合法新老节点可以加入网络，实现网络最大连通率，同时实现前向安全和后向安全，使得节点被捕获时，泄露的点对密钥最少，在建立点对密钥和撤销节点时，具有合理的存储、计算和通信开销。

1 网络模型与基础

1.1 网络模型

传感器网络节点通常按照非人工方式部署，并自组织成组(或簇)后以多跳形式传输数据。如图1所示，假设在网络整个生命期，节点分多个阶段部署，每个阶段的时间可长可短。这样，不同时间阶段部署的节点构成了多个组，每一个组由一个管理头节点CH和n个普通节点组成，其中头节点CH负责管理本组、汇集本组数据并与邻居组进行交互上传数据到基站，普通节点则采集本地信息和进行组内路由。在一个组内，将建立相邻节点之间的点对密钥和组内成员共享的组会话密钥GK，在组内增加节点或撤销节点时，组会话密钥GK将更新。如图1所示，在第i次部署节点或者因节点被撤销后，该组的组密钥由初始的GK0将更新为GKi。

图1 网络节点分阶段部署

1.2 单向/双向密钥链

单向密钥链是由一个能将任意二元字符串转换成固定输出长度的单向H函数反复作用于种子密钥而产生的一系列密钥，H函数满足：1) 给定x, 计算y=H(x)是容易的；2) 给定y,要计算出满足H(x)=y的x在计算上是不可行的。若给定种子密钥k0，则可以构造出长度为m的单向密钥连{k0,k1,…,km-1}，其中，ki+1=H(ki)，i∈[0,m-2]。

1.3 组密钥更新机制

组密钥更新机制采用基于多项式插值的(t+1,n)门限秘密共享方案[10,12]。CH首先在有限域Fq[x]上选取一个t阶秘密多项式s(x)=s0+s1x+s2x2+...+stxt，为每个节点id计算秘密份额s(i)并存储在该节点；给定一个要被撤销节点的id集合R={r1,r2,…,rw},CH计算撤销多项式r(x)=(x-r1)(x-r2)…(x-rw)，并构造广播消息B={R}∪{p(x)=r(x)GKnew+s(x)}后广播B。其中，p(x)为广播多项式，GKnew为CH确定的新的组密钥；合法节点i收到广播消息B后，通过计算GKnew=((p(id)-s(id))/r(id)获得新的组密钥GKnew，而被撤销的节点由于r(id)=0，难以获得新的组密钥GKnew，从而被排除在网络之外。

2 增强的无线传感器网络密钥管理协议

本文使用分阶段部署节点策略，并基于双向密钥链和组密钥更新机制，设计一个安全性增强的无线传感器网络密钥管理协议。

2.1 初始化配置

设网络模型为一个组，分m+1个阶段部署传感节点，每个节点u有唯一的标识符ID，且在节点的生命周期最多存在l个部署阶段，其与基站共享的秘密钥为SKu。

图2 网络分阶段部署模型

表1 节点初始配置信息

2.2 组密钥更新

(1)

2.3 节点认证与点对密钥建立

相邻节点间的点对密钥是传感器网络最重要的密钥之一。若当前是第i次部署节点之后的会话，使用的组密钥为GKi，则分三种情况建立点对密钥。

1) 两个新加入节点(u,v)的点对密钥建立。密钥对的建立基本类似于文献[1]中的方案，但是采用随机数加强认证。设节点u发起连接建立请求，协议如下：

u→*:old|j|u|nonce

节点v收到此消息，确认连接建立。

② 若是新节点v发起的连接请求，发送消息为：

v→*:new|i|v|nonce

老节点u收到消息，按照①方法建立连接。

3) 老节点之间建立密钥对。当节点因为能耗耗尽或者其他原因被排除在网络之外时，会导致有些链路断开，部分节点需要重新建立连接从而融入网络。由于当前所有的节点均删除了初始密钥，老节点之间便难以完成节点认证，也难以在老节点之间建立新的链路。本文的解决方案是使用组密钥进行认证，通过认证后，同样使用组密钥建立老节点之间的点对密钥。

当前组密钥为GKi，假设发起连接请求的老节点u预与老节点v建立点对密钥，则节点u发送如下消息:

u→*:old|j1|u|nonce|MAC(old|j1|u|nonce,GKi)

v→u:old|j2|v|nonce|MAC(j2|v|nonce,GKi)

老节点拥有当前主密钥GKi，这样节点u、v均能解开MAC函数中的消息，并验证消息的合法性，从而建立如下式所示的点对密钥：

kuv=f(GKi,u|v)

2.4 节点加入与撤销

根据基站的广播信息和CH节点对普通节点安全性的评估信息，按照2.2节构造被撤销的节点集合，撤销具有潜在威胁的节点，同时更新组密钥。

2.5 自愈机制

无线传感网络链路的不可靠性，导致网络有较高的丢包率，从而给网络安全带来一定风险。如合法节点没有收到撤销节点的信息包B，可能在一定时间内和非法节点还存在信息交换，存在泄露数据的风险，因此需要有较强的网络自愈合机制。本文主要讨论组密钥恢复，以便2.3节中的老节点之间可以相互验证并建立点对密钥。

设j

3 性能分析与安全性分析

3.1 性能分析

方案在存储开销、通信开销、计算开销及前向安全性和后向安全性方面的性能如表2所示。其中l为节点最多生命阶段数，t为多项式阶数，v为多项式个数，存储与通信开销在有限域Fq[x]上取值。

表2 方案性能比较分析

计算开销：这里指MAC运算、f(·)运算及乘法和除法运算等操作的总次数，而不考虑各方案中次数相同的H(·)运算。本方案中，组密钥更新时的运算次数为2(乘法和除法运算各1次)，节点认证与密钥对建立时的运算次数为3(2次MAC运算和1次f(·)运算)，总共有5次计算开销。

在3.2节分析了本方案的安全性，可以看到与其他几种方案比较，本方案具有较好的安全性，通过多次部署，也具备了良好的自愈性能。从表2可以看出，在增强安全性的情况下，与文献[1,3]相比较而言，本方案有近似相同的存储开销、通信开销和计算开销，与文献[12,13]相比，三种开销明显减少。

3.2 安全性分析

首先，本方案增加了合谋攻击的难度。组密钥更新机制是基于Shamir的多项式插值的(t+1,n)门限秘密共享策略，方案的安全性在于Shamir门限方案的安全性。只有合谋的节点超过t个时，才可能通过插值重构广播多项式及计算出节点的秘密份额，从而获得新一轮的组密钥。其次，任何对广播消息B的伪造和修改，都可以被合法节点及时发现，一方面可以通过同一节点在不同阶段恢复出的后向密钥是否存在单向H函数的关系进行验证，另一方面，如果组内相邻节点采用随机数机制后不能相互认证，则可以发现无效的广播消息。而且，如2.5节所述，方案具有自愈合功能，能够容忍无线信道的不可靠，自动恢复出当前最新的组密钥，提高了网络的可靠性，也能使得老节点有机会重新通过认证加入网络，提高了网络连通性。

一个节点uc被捕获时，不影响其他节点采集数据的正确性。当节点uc被捕获，理论上攻击方可以获得表1中除被彻底删除的初始密钥外的所有私有信息，从而能够获取最新的组密钥，并与相邻节点建立点对密钥实现通信，但是并不影响其他节点采集数据和数据的正确性；由于在节点uc通信范围内的两个节点u与v建立点对密钥时，使用了随机数进行节点身份认证及采用单向的f(·)函数计算点对密钥，第三方可以监听到广播信息，但是难以获得点对密钥。因此，被捕获节点uc的假冒攻击、数据篡改攻击等都可以被邻居节点及时发现，不会影响数据的正确性。

若网络中存在节点被捕获，导致传输数据异常、数据包丢弃等。基站利用信任机制[3]发现非法节点,并使用2.4节的撤销节点方法，通知不同阶段部署的节点不响应被捕获节点发出的任何请求，同时更新组密钥，也通知捕获节点的相邻节点重新发起安全链路建立请求建立新的安全链路，绕过被捕获节点，从而将被捕获节点排除在网络之外，保证网络和数据的安全性。

4 结 语

针对基于临时初始密钥的密钥管理协议中初始密钥泄露带来的不安全性，及老节点之间不能相互认证导致不能建立点对密钥和连通性不高的问题，本文采用双向密钥链和组密钥机制，结合Shamir多项式门限和随机数策略，提出了一种安全性和连通性增强的密钥管理协议。安全性和性能分析表明，在使用较少系统开销的情况下，能通过组密钥更新机制实现老节点之间的认证从而建立安全连接，并具有前向安全和后向安全，在不可靠信道的环境中，具有节点自愈合后重新融入系统的能力，安全性和可靠性都得到了提高。将来的研究在于密钥建立和更新过程中，如何及时发现被捕获节点的虚假消息，减少合法节点因响应虚假消息带来的能耗开销，延长网络生命周期。

[1] Zhu S,Setia S,Jajodia S.LEAP:efficient security mechanisms for large-scale distributed sensor networks[C]//Proceedings of the 10th ACM conference on Computer and communications security,2003:62-72.

[2] 王国军,吕婷婷,过敏意.无线传感器网络中基于临时初始密钥的密钥管理协议[J].传感技术学报,2007,20(7):1581-1586.

[3] 陈琳. 基于中国剩余定理的传感器网络密钥管理协议[J].传感技术学报,2014,27(5):687-691.

[4] Jing Deng, Carl Hartung, Richard Han, et al. A Practical Study of Transitory Master Key Establishment for Wireless Sensor Networks[C]//First International Conference on Security and Privacy for Emerging Areas in Communications Networks,2005:289-302.

[5] Eschenauer L, Gligor V D. A Key-Management Scheme f or Distributed Sensor Networks[C]//ACM Conference on Computer and Communications Security,2002:41-47.

[6] Chan H, Perrig A,Song D. Random Key Predistribution Schemes for Sensor Networks[C]//IEEE Symposium on Security and Privacy,2003:197-213.

[7] Tian B, Han S, Liu L, et al. Towards Enhanced Key Management in Multi-phase ZigBee Network Architecture[J].Computer Communications,2012,35(1): 579-588.

[8] Jang J,Kwon T,Song J.A time-based key management protocol for wireless sensor networks[C]//Information Security Practice and Experience,2007:314-328.

[9] 李凤华, 王巍, 马建峰.适用于传感器网络的分级群组密钥管理[J]. 电子学报,2008,36(12):2045-2051.

[10] 彭清泉,裴庆祺,马建峰,等.无线传感器网络中自治愈的群组密钥管理方案[J].电子学报,2010,38(1):123-128.

[11] Qiuhua Wang, Huifang Chen, Lei Xie, et al. One-way Hash Chain-Based Self-healing Group Key Distribution Scheme with Collusion Resistance Capability in Wireless Sensor Networks[J].Ad Hoc Networks,2013,11(8):2500-2511.

[12] 李林春, 李建华,潘军.无线传感器网络中具有撤销功能的自愈组密钥管理方案[J].通信学报,2009,30(12):12-17.

[13] 王秋华,汪云路,王小军,等.无线传感器网络中抗共谋的自愈组密钥分配方案[J].传感技术学报,2013,26(2):221-227.

AN ENHANCED KEY MANAGEMENT PROTOCOL FOR WIRELESS SENSOR NETWORK

Chen Lin

(SchoolofComputerScience,YangtzeUniversity,Jingzhou434023，Hubei,China)

This paper proposes an enhanced key management protocol applicable to the enhancement of wireless sensor network security for solving the problems of transitory initial key-based key management protocol including the leak of initial key and the old sensor nodes cannot authenticate each other validely as well as establish pairwise keys after being deleted partial key materials. The proposed protocol employs phased deployment of sensor nodes, and combines two-way keychain function, group key update mechanism and Shamir polynomial threshold scheme. Every node in the protocol carries the master keys in different deployment phase rather than the initial keys, even if the nodes are captured, they are hard to be injected into network through the verification of neighbour nodes; Because of broadcasting polynomials in group key update scheme hiding the revoked nodes set and the backward keys, the valid nodes can recover the backward keys through polynomial calculation and calculate the up-to-date group keys, and this enables the old sensor nodes to realise the authentications each other through group keys mechanism and to re-integrate to network, which improves the connectivity of wireless sensor network. Security and performance analyses show that the proposed protocol reduces the system overhead while enhancing the security, and improves the self-healing performance in unreliable channel environment at the same time.

Wireless sensor network Key management Key chain Pairwise key Transitory initial key

2014-07-25。湖北省自然科学基金项目(2011CDC 126)。陈琳，教授，主研领域：计算机网络，传感器网络，网络安全。

TP393.17

A

10.3969/j.issn.1000-386x.2016.04.072