金鑫，熊祖涛，疏国会

摘  要：无线自组织网络在实际应用中会面临诸多挑战。密钥管理方案是保证无线自组织网络自举安全的关键手段。D-H方案作为传统密钥管理方案之一，在实现其基本功能的同时，存在着容易受到中间人攻击、可扩展性差和不适于保护路由信息等缺陷。文章在分析D-H方案已有缺陷和自组织网络密钥管理方案的理想特性的基础上，提出D-H方案改进建议，包括引入口令认证、构建超立方体和身份签名等。

关键词：无线自组织网络；自举安全；密钥管理方案；D-H方案改进

中图分类号：TN92          文献标识码：A            文章编号：1672-4437（2023）02-0059-04

1 无线自组织网络自举安全

1.1 无线自组织网络

无线自组织网络是一种无固定基础设施，数据包通过无线多跳连接传递到目的地的无线网络。无线自组织网络具有数据转发路径不固定和网络拓扑结构可变的特点，节点间的数据通信是根据现场条件来进行数据包转发的[1]。当在节点上应用自形成、自配置和自愈等算法时，无线自组织网络就可以搭建成一个满足多种应用需求，组网灵活、部署迅速的网络架构。

无线自组织网络在实际应用中会面临一些挑战：

（1）基于无线媒介的挑战。通信链路中，无线媒介受环境因素影响，自身会产生高误码率，使数据传输更易出错，从而降低数据通信效率；无线媒介又因为其频谱有限且不易扩展，它的载荷能力会受到限制，这就对无线媒介在通信交互和突发并发数据传输时所使用的算法性能提出了更高的要求。

（2）基于碰撞、隐藏和裸露节点的挑战。由于广播媒介的无约束传输，节点在接收多个发送端的数据包时可能因为时间上的重叠而产生碰撞。当一个节点的传输被其他不能被检测到的节点干扰时，这个干扰节点被称为隐藏节点。在自组织协议工作过程中，当多个能相互检测到的节点为避免碰撞而中止数据传输时，这种显性节点被称为裸露节点 [2]。

（3）基于拓扑维护代价的挑战。无线自组织网络的节点具有终端和路由器的双重特性，当节点的位置改变或失效时，它们所形成的网络拓扑结构就会发生改变，这就需要自组织网络具有自形成、自配置和自愈的能力。这种能力的取得是由拓扑维护提供的网络感知进行支持。网络感知获取的节点拓扑数据的可用性和准确性与自形成及自愈方案的效率密切相关。这就需要在拓扑维护代价与自形成、自愈效率间作出平衡。

（4）基于节点定位和时钟同步的挑战。在一个没有基础设施的网络中，节点定位和时钟同步对应用安全和网络协议的影响不容忽视。

（5）基于端到端可靠性和拥塞控制的挑战。受拓扑结构的改变和无线媒介容易出错的影响，相对成熟的端到端面向连接的传输控制协议已不太适合自组织网络，需要作出改变。

1.2 自举与安全

相比于有向媒介，无线媒介可以公开接入，且没有明显的物理边界。拓扑结构的动态变化、节点之间的协作和低信任度、缺乏清晰的防卫边界等因素都给无线自组织网络的安全带来多重影响。由于自组织网络没有固定的基础设施和集中化的管理，用于一般受限网络的保护机制不能够直接运用于无线自组织网络。

一个安全的无线自组织网络，使用前节点须由网络进行授权，只有被授权的节点才被允许访问使用网络资源，这种机制一般包括自举、预认证、网络安全关联建立、认证、行为监控和安全关联撤消等步骤。

1.2.1 自举

自举是网络中的当前节点对网络中的其他节点的存在情况进行认知的阶段。在自举阶段，想要加入网络的节点必须具有相应的识别证书，来证明它们有资格接入这个受保护的网络。识别证书的形式可以是某种被分配的密钥或者信任节点的更新列表。节点接入前须向网络出示自己的证书，来证明自己有资格接入受保护的资源或者使用所提供的服务。在自举完成之后，网络就做好准备接受拥有有效证书节点的接入。

1.2.2 自舉安全

为了保护网络的安全，一个可信的基础设施应该只有合法节点才能加入网络，而无线自组织网络的一个重要特征是缺少一个集中式安全基础设施，这对无线自组织网络的自举带来了安全挑战。在自举阶段，网络中的节点将意识到其他节点的存在，然后通过出示证书和证书验证的方式建立起节点之间的安全基础设施。新加入节点再和已经存在于网络中的节点形成安全关联，逐步构建起整个网络的可信基础设施。在这个过程中，证书的出示和验证方案最为关键，既要具有足够抵御拒绝服务攻击的能力，还要不能占用过多的计算和存储资源，同时还须能适应网络拓扑结构的变化。

如何保障自举安全，建立可信基础设施，不同学者提出了不同方案：

（1）如果节点在网络部署之前就存在共享的前置环境，那么其他节点就可以使用这一信息进入网络。如果节点是在相同的可信环境中发起，可以通过密钥预分配的方式获取证书。

（2）利用可信第三方来促进基础设施的建立。可信第三方可以是认证机构，也可以是某个基站或者是类似于基站的中心稳定节点，但必须得到网络中所有节点的认同。

（3）提供带外认证通信信道来建立可信基础设施。使用一种特许的旁信道进行公共信息交换，帮助节点执行用于自组织无线网络中自举安全通信的预认证协议。

实际上，无线自组织网络的拓扑结构变化非常快，它没有特殊节点、基础设施、集中配置节点和共享的前置环境，很难形成一个可信的前置环境、可信第三方候选者或进行带外认证，所以以上方案在应用中都具有非常大的局限性。在自组织过程中，如何建立起集密钥安全分发、交换和管理于一体的密钥管理方案，不给敌方提供闯入内部的机会，对保证自举阶段安全具有关键作用。

2 密钥管理方案

2.1 密钥管理方案概述

在自组织网络中，密钥管理协议是密钥管理方案的核心，它包括密钥分配协议和密钥交换协议。在自举阶段，节点间通过密钥管理协议设置共享证书建立起安全关联。有效证书是新加入节点唯一可信赖的证明。新节点凭有效证书开展可信验证，验证通过的可信节点方可进行数据交换。

在现有的移动自组织网络协议集和因特网技术资料汇编中，还沒有一个成熟的密钥管理方案。在前期学者研究中，通常将密钥管理分为分配式和分担式两类[3]。在分配式方案中，是由某一个簇头节点单独进行密钥管理；而在分担式方案中，所有的节点平等地参与密钥管理，每个节点都要对密钥的生成和分配作出协作贡献。

分担式方案没有负责生成和分发密码学密钥的可信第三方，通信各方进行合作协商来建立一个对称密钥。参与者的数量从两方（成对密钥）到多方（群密钥）逐渐扩大。这符合无线自组织网络的普遍特征，能为网络提供较好的密钥独立性和前向安全。

2.2 传统D-H方案原理

D-H（Diffie and Hellman）方案是一种典型的分担式方案，能在通信双方之间建立唯一的对称密钥。其实现原理是基于离散对数问题（Discrete Log，DL），在给出gS mod p的情况下，求S是困难的。其算法框架如图1所示：

在该算法中，通信双方协商使用一个大素数p和一个生成元g，节点A随机选取一个秘密SA，向节点B传输一个公开值；节点B随机选取一个秘密SB，向节点A传输一个公开值，接收方都用自身的密钥做幂运算，得到一个只有双方共享的公共密钥。和其他使用成对唯一密钥方案一样，除通信双方外的任何第三方都不能通过解密来获取有效信息，因此该算法具有入侵容忍的能力。被捕获节点、遇到拜占庭攻击（故意不遵守协议的间谍行为）的节点和故障节点只能威胁到与它进行通信的对等实体共享的密钥。

2.3 传统D-H方案存在的缺陷

从以上D-H方案原理和分析得知，该算法对通信双方的交换信息起到很好的解密保护，提供了入侵容忍能力，但也存在着明显的缺陷：

（1）容易受到中间人攻击。拟建立通信的双方在向对方发送私有密钥之前没有认证环节，而是由节点来判断对方是否就是可信的通信对象，这就给假冒的中间人提供了机会，致使节点A不能确定与其通信的就是节点B，而不是节点C。

（2）不适于保护自组织网络中的路由信息。D-H方案的优势是在两个实体之间使用成对密钥进行路由信息保护，而扩展到整个网络时，路由信息的表达就会遇到困难。

（3）可扩展性差。全网路由信息表达困难，导致网络在自组织过程中大节点数和节点密度接入时适应可变拓扑的能力较差。

3 D-H方案的改进

3.1 自组织网络密钥管理方案的理想特性

在自举阶段，优秀的密钥管理方案应具有以下理想特性：

（1）适用性。密钥管理方案应适用于事先规划或自组织的网络起源、网络规模、节点移动性、地理范围和人员参与等多种场景条件。

（2）安全性。认证和入侵容忍是首要考虑的安全因素。认证须确保未授权节点不能接收到任何合法的私钥或证书材料。入侵容忍是指系统具有能够排除受威胁节点的能力，已建立的信任关系应会随着网络的生命周期而发生改变，使得系统的整体安全不会受到少数受威胁节点的影响。这都需要设计适当的密钥长度和具有足够强度的加密算法来实现。

（3）鲁棒性。密钥管理系统自身具有强大的抗破坏能力，在出现拒绝服务攻击、故障节点或节点表现出拜占庭行为时能够生存下来，继续为网络正常工作提供所必需的密钥管理操作。

（4）可扩展性。密钥管理协议应具有良好的可扩展性，密钥管理操作能适应节点数量和节点密度的增加。受总带宽的限制，管理中的流量增加会导致用于有效载荷数据的可用带宽相应减少，因此，网络管理流量所占用的带宽应尽可能降低。

（5）简易性。简易性的密钥管理方案具有用户友好性和较低通信开销的特点，它是一个安全、健壮和扩展性好的系统所蕴含的特质。

3.2 D-H方案的针对性改进

（1）解决中间人攻击问题

基于前述传统D-H方案中通信双方互相不能确信对方是否为合法节点可能导致中间人攻击的问题，在改进方案中，加入了口令认证。该口令可以是本网络预置或通过受限信道分发的离线口令P，口令用于加密公共值。节点在偶对D-H密钥协商阶段证明自己拥有口令，通信双方通过挑战 / 应答协议进行身份认证。

以两个节点Node1和Node2为例：

P=Password；C=Challenge；

P（X）=X；//用P加密后传输X

A（C）=A；//通过挑战/应答协议进行身份认证

在改进方案中，将传统D-H方案偶对协商的两个步骤拆分成四个步骤，如图2所示。通过挑战 / 应答协议相互向对方证明了自身的合法性。

（2）解决扩展性问题

将节点构造成超立方体进行认证，实现网络的可信扩展。现以Node1～Node4四个节点为例阐述网络以偶对数的粒度进行节点规模扩展，如图3所示，在第一步偶对协商阶段，节点1和节点2执行一次D-H密钥协商协议（加入图2中的口令认证，为方便描述已作简化处理，下同），节点3 和节点4执行同样操作。在执行第二步扩展节点阶段操作时，将第一步建立的对称密钥作为第二步新的D-H密钥协商协议的秘密值，节点1和节点4执行一次D-H密钥协商协议，同时节点2 和节点3执行同样操作。这两个步骤实际包含了Hypercube和Octopus两个协议，Hypercube假设参与者的数量是2的幂次，Octopus将Hypercube扩展为允许任意数量的节点[4]。

（3）解决网络路由信息问题

使用成对密钥对路由信息保护，要求对每个可能的接收者有不同的签名。学者Shamir提出了基于身份的密码学，并构造了一个基于身份的签名方案（IBS）[5]，该方案通过获取发送者ID和公共系统参数来验证签名[6]。其中，公共系统参数是由私钥生成器（PKG）在系统建立阶段定义的，它包括PKG的公钥和消息空间的信息。PKG同时也生成与用户ID相匹配的私有签名密钥。需要指出的是，该方法在解决网络路由信息问题的同时也会对扩展性产生一定的负向影响，这就需要在二者之间作出适当平衡。

参考文献

[1]N.Asokan，P.Ginzboorg.Key Agreement in ad-hoc Networks[J].Computer Communications，2000，23（17）：1627-1637.

[2]疏国会，金鑫，陈伟.无线传感器网络安全事件及边界检测研究[J].山西师范大学学报（自然科学版），2019，33 （04）：12-18.

[3]石典佑.C-HKM：组合分层密钥管理方案[J].网络安全技术与应用，2023（01）：21-23.

[4]Yan Yang，Jiangtao Han，Zhijie Liu， etal.Modeling and Adaptive Neural Network Control for a Soft Robotic Arm With Prescribed Motion Constraints[J].IEEE/CAA Journal of Automatica Sinica，2023，10（02）：501-511.

[5]任艳丽.基于身份密码体制的研究与设计[D].上海：上海交通大学，2009.

[6]胡杰.Ad Hoc网络中基于Q学习的可信路由协议研究[D]. 西安：西安电子科技大学，2019.