专利名称:传感器网络会话密钥建立方法
技术领域:
本发明涉及一种WSN中的传感器网络会话密钥建立方法。
背景技术:
根据所使用的密码体制,WSN密钥建立可分为对称密钥建立和非对称密钥建立两类。在对称密钥方面,通信双方使用相同的密钥和加密算法对数据进行加密、解密,对称密 钥建立具有密钥长度不长,计算、通信和存储开销相对较小等特点,但是其明显的缺点是通 常必须有一个密钥预分配过程,即事先将对称密钥存储在节点中,增加和替换节点显得不 够灵活。人们一直试图寻求非对称密钥系统在无线传感器网络中的应用。非对称密钥建立 方案由于对节点的计算、存储、通信等能力要求比较高,曾一度被认为不适用于WSN,但一些 研究表明,非对称加密算法经过优化后能适用于WSN。而且从安全角度来看,非对称密码体 制的安全强度在计算意义上要远远高于对称密码体制。目前为止WSN中提出的非对称密码体制的密钥建立方案有基于证书公钥密 码体制(certificate based public key system,CBS)方案、基于自认证公钥体制 (self-certified public key based system, SCKBS)的方案和基于身份的公钥密码体制 (identity based public key system, IBS)方案。通常基于CBS的安全方案需要分布式 的证书中心(certificate authority, CA)进行证书管理,节点证书的获得需要CA节点来 完成,CA节点要对数字证书进行数字签名,并保存所有节点的证书,当节点证书更新或撤销 时,每个节点的证书目录都需要同步刷新。一般来说基于证书的密钥管理方法对网络节点 的计算、存储和通信要求都非常高。为简化无线传感器网络中的证书管理,研究人员提出在 WSN中采用基于自认证公钥体制来构建密钥产生方案。SCKBS中节点公钥自身具有认证功 能,不需要证书保证公钥的可靠性。密钥分发中心(key distribution center, KDC)产生 与节点身份对应的部分私钥,节点自己把部分私钥和一些秘密信息结合,得到实际私钥。但 是基于SCKBS的安全方案仍然需要进行复杂的证书管理,这对于资源有限的WSN来说还是 一个巨大的负担。IBS方案不需要证书管理,每个节点身份信息都可作为节点公钥,并且不需要有一 个公共文件存储公钥信息。Zhang等[7]提出了将椭圆曲线上的双线性对技术与地理信息 相结合的节点认证和密钥协商协议,Rahman和Manel等[8_9]提出在异构WSN中使用双线 性对技术来构建基于身份的密钥建立方案,杨庚等[1°]提出了基于双线性对的密钥分配方 案,Piotr等[11_12]实验评估了基于身份密钥协商协议和加解密算法。最近Chu等[13]提出 在WSN中运行基于身份的在线/离线加解密算法,并在选择身份(Selective-ID)模型下 证明了该算法是抗选择密文攻击(chosen ciphertext attack, CCA)安全的,目前虽然不 断对双线性对运算进行优化,但是椭圆曲线上的双线性对运算仍然是非常消耗节点资源的 运算。Zhu等已提出了一个无双线性对的基于身份的密钥协商协议[14],但是该协议采用了 基于签名的显式认证,计算效率和带宽利用率不高。最近曹雪菲等构造了一个三次传递的 无双线性对的基于身份的密钥协商协议[15],该协议基于椭圆曲线加法群上的除法性计算Diffie-Hellman困难问题,但这是一个在椭圆曲线上的特殊群和特别构造的困难问题,在 WSN中难以对该椭圆曲线上的运算进行优化,而且该协议只在安全性较低的mBR模型下进 行了证明。参考文献[l]Chen Xiangqian, Kia Makki, Kang Yen, Niki Pissinou.Sensor network security :a survey[J]. IEEE Communications surveys&tutorials,2009,11(2) :52_73·[2]Zhou Yun, Fang Yuguang,Zhang Yanchao· Securing wireless sensor networks :a survey [J]. IEEE Communications surveys,2008,10(3) :6-28.[3]苏忠,林闯,封富君,任丰原.无线传感器网络密钥管理的方案和协议[J].软 件学报,2007,18 (5) 1812-1831.[4]裴庆祺,沈玉龙,马建峰.无线传感器网络安全技术综述[J].通信学报,2007, 28(8) 113-122.[5]Gaubatz G, Kaps J, Sunar B.Public keys cryptography in sensor networks-Revisited. In :Proc. of the 1st European Workshop on Security in Ad—Hoc and Sensor Networks (ESAS). New York :ACM Press,2004,2-18.[6]Malan D J, Welsh M,Smith M D. A public-key infrastructure for key distribution in TinyOS based on elliptic curve cryptography. In :Proc.of the 1st IEEE Int' 1 Conference on Sensor and Ad Hoc Communications and Networks. IEEE Press,2004,71-80.[7]Zhang YC, Liu W, Lou WJ, Fang YG, Location-Based compromise-tolerant security mechanisms for wireless sensor networks. IEEE Journal on Selected Areas in Communications,2006,24(2) :247_260·[8]Sk Md Mizanur Rahman,Nidal Nasser,Kassem Saleh. Identity and pairing-based secure key management scheme for heterogeneous sensor networks.IEEE International Conference on Wireless&MobiIe Computing, Networking&Communication 2008,423—428.[9]Manel BoujeIben, Omar Cheikhrouhou, Habib Youssef. A pairing identity based key management protocol for heterogeneous wireless sensor networks. 2009 International Conference on Network and Service Security,IEEE Computer Society, 1-5.[10]杨庚,王江涛,程宏兵,容淳铭.基于身份加密的无线传感器网络密钥分配方 法[J]电子学报,2007,35(1) 180-184.[11]Piotr Szczechowiak, Martin Collier. Practical identity-based key agreement for secure communication in sensor tetworks. Proceedings of 18th international conference on computer communications and networks,2009,IEEE Computer Society,1-6.[12]Piotr Szczechowiak, Martin Collier· TinyIBE identity-based encryption for heterogeneous sensor networks,2009 International Conference on intelligent sensors, sensor networks and information processing, IEEE ComputerSociety,319-354.[13]Chu Cheng-Kang, Liu Joseph K,Zhou Jianying, Feng Bao, Deng Robert H.Practical ID-based Encryption for Wireless Sensor Network. The 5th ACM symposium on information, computer and communications security,2010,25-33.[14] Zhu R W, Yang G, and Wong D S. An efficient identity-based key exchange protocol with KGS forward secrecy for low-power devices[J]. Theoretical Computer Science,2007,378 (2) 198-207.[15]曹雪菲,寇卫东,樊凯,张军.无双线性对的基于身份的认证密钥协商协议 [J].电子与信息学报,2009,31 (5) 1241-1244.
发明内容
本发明目的是针对现有技术存在的缺陷提供一种传感器网络会话密钥建立方法。本发明为实现上述目的,采用如下技术方案本发明传感器网络会话密钥建立方法如下传感器网络中基站负责为节点生成和安全分发长期私钥,基站选取椭圆曲线上阶 为q的循环群G,P是G的生成元,两个Hash函数H1 :{0,1}* —Zq,H2 =ZqXZq- {Ο,Ι}1,1 是安全参数,随机选取整数χ e Zq (Zq为模为q的加法群)作为系统私钥秘密保存,然后计 算Y = xP得到系统公钥,系统的公开参数为^( ,Ζ,,Ρ,^ΙΙ,Υ)。基站为网络节点ID 生成长期私钥基站首先随机选取另一个整数k e Zq,计算并安全发送给节点ID :rID = kP 和sID = k+H^ID, rID)x, (rID,sID)就是节点ID的长期私钥;网络中任意两个节点A和B (分别用A和B表示这两个节点)通过如下协商协议 产生会话密钥节点A和B的私钥分别为(rA,sA)和(rB,sB),节点A和B进行如下操作(1)消息发送节点A选取随机整数tA e Zq,计算uA = tAP,然后将(A,rA, uA)发 送给节点B,同样节点B选取随机整数tB e Zq,计算uB = tBP,然后将(B,rB,uB)发送给节点 A;(2)计算节点 A 收到(B,rB,uB)后计算 Z1 = (tA+sA) (IVbYH1 (B,rB)), Z2 = tAuB 和 Z = H2 (Zl,z2),删掉除会话密钥Z之外的所有临时信息;同样节点B收到(A,rA,uA)后计算 Z1 = (tB+sB) (U^aYH1 (A, rA)), z2 = tBuA 和 Z = H2 (Z1,z2),删掉除会话密钥 Z 之外的所有临 时信息。所述会话密钥具有一致性的验证方法如下Z1 = (tA+sA) (UbI^bYH1 (B,rB)) = (tB+sB) (UJaYH1 (A, rA)) = (tA+sA) (tB+sB)P,z2 = tAuB = tBuA = tAtBP。本发明采用MTI协议族的“隐式认证”的思想(将通信方的长、短期公私钥结合 来设计会话密钥,而且由于认证和密钥协商过程结合在一起,因此大大提高了协议的通信 和计算效率),基于常规的椭圆曲线上的任意素数阶循环群,构造了新的无双线性对运算 的基于身份的认证密钥协商协议,与现有的协议相比,不仅该协议的安全性更高,而且运行 效率更快。由于新协议使用常规椭圆曲线上阶更小的循环群,而不是要求更高的构造双线 性对所需的群,因此其运行效率更高它的计算效率和所需带宽是基本Diffie-Hellman协议的两倍,与公钥密码中著名的最高效的认证Diffie-Hellman协议MQV相当,但却不需要进行公钥和证书的传输与验证;而且我们基于椭圆曲线上的Diffie-Hellman困难问题,在 CK2005模型下证明了新协议的安全性;此外,由于新协议使用常规椭圆曲线,因此能够对 椭圆曲线上的运算使用现有的进一步优化算法,以提高运行效率。
具体实施例方式本发明传感器网络会话密钥建立方法如下传感器网络中基站负责为节点生成和安全分发长期私钥,基站选取椭圆曲线上阶 为q的循环群G,P是G的生成元,两个Hash函数H1 :{0,1}* —Zq,H2 =ZqXZq- {Ο,Ι}1,1 是安全参数,随机选取整数χ e Zq (Zq为模为q的加法群)作为系统私钥秘密保存,然后计 算Y = xP得到系统公钥,系统的公开参数为^( ,Ζ,,Ρ,^ΙΙ,Υ)。基站为网络节点ID 生成长期私钥基站首先随机选取另一个整数k e Zq,计算并安全发送给节点ID :rID = kP 和sID = k+H^ID, rID)x, (rID,sID)就是节点ID的长期私钥;网络中任意两个节点A和B (分别用A和B表示这两个节点)通过如下协商协议 产生会话密钥节点A和B的私钥分别为(rA,sA)和(rB,sB),节点A和B进行如下操作(1)消息发送节点A选取随机整数tA e Zq,计算uA = tAP,然后将(A,rA, uA)发 送给节点B,同样节点B选取随机整数tB e Zq,计算uB = tBP,然后将(B,rB,uB)发送给节点 A;(2)计算节点 A 收到(B,rB,uB)后计算 Z1 = (tA+sA) (IVbYH1 (B,rB)), Z2 = tAuB 和 Z = H2 (Zl,z2),删掉除会话密钥Z之外的所有临时信息;同样节点B收到(A,rA,uA)后计算 Z1 = (tB+sB) (U^aYH1 (A, rA)), z2 = tBuA 和 Z = H2 (Z1,z2),删掉除会话密钥 Z 之外的所有临 时信息。所述会话密钥具有一致性的验证方法如下Z1 = (tA+sA) (UbI^bYH1 (B,rB)) = (tB+sB) (UJaYH1 (A, rA)) = (tA+sA) (tB+sB)P,z2 = tAuB = tBuA = tAtBP。安全性比较通常密钥协商协议所需要的安全属性包括已知密钥安全(known-key secrecy, KKS)、无密钥控制(NO key control,NKC)、抗短期私钥揭露攻击(印hemeral keys'leakage attack resistance, EKLAR)、抗假冒攻击(impersonation attack resistance, IAR)、抗未 知密钥共享(unknown key share resistance,UKSR)、前向安全性(forward secrecy,FS) > 主密钥前向安全(m-FS)禾口抗密钥泄露伪装(key compromise impersonation resistance, KCIR)。本文对现有的传感器网络中基于身份的密钥建立协议和无双线性对的密钥建立协 议的安全性进行了比较,结果如表1。表1协议安全性比较 效率比较网络初始化和节点私钥生成主要由基站运行,各协议间的差别体现在密钥协商阶 段。本文根据文献[14,15]给出的各基本运算的参考计算成本(点乘运算的成本为1,其 它运算以此为参照双线性对e :GXG — Gt和指数运算的计算复杂度分别是点乘运算的约 20倍和3倍),对现有无线传感器网络密钥协商协议的计算和通信效率进行了比较。本文 也对协议中每个节点所需发送的消息长度进行了比较。根据文献[20]中超奇异椭圆曲线 80比特安全级别G和Gt上元素的长度分别为512比特和1024比特,比较结果如表2所示。 比较结果表明与现有的相关协议相比,本文提出的WSN-IBAKE协议在计算效率和通信效率 方面性能都较好,而且其安全性更高。表2协议性能比较
权利要求
一种传感器网络会话密钥建立方法,其特征在于所述方法如下传感器网络中基站负责为节点生成和安全分发长期私钥,基站选取椭圆曲线上阶为q的循环群G,P是G的生成元,两个Hash函数H1{0,1}*→Zq,H2Zq×Zq→{0,1}l,l是安全参数,随机选取整数x∈Zq,Zq为模为q的加法群,x作为系统私钥秘密保存,然后计算Y=xP得到系统公钥,系统的公开参数为(G,q,Zq,P,H1,H2,l,Y)。基站为网络节点ID生成长期私钥基站首先随机选取另一个整数k∈Zq,计算并安全发送给节点IDrID=kP和sID=k+H1(ID,rID)x,(rID,sID)就是节点ID的长期私钥;网络中任意两个节点A和B通过如下协商协议产生会话密钥节点A和B的私钥分别为(rA,sA)和(rB,sB),节点A和B进行如下操作(1)消息发送节点A选取随机整数tA∈Zq,计算uA=tAP,然后将(A,rA,uA)发送给节点B,同样节点B选取随机整数tB∈Zq,计算uB=tBP,然后将(B,rB,uB)发送给节点A;(2)计算节点A收到(B,rB,uB)后计算z1=(tA+sA)(uBrBYH1(B,rB)),z2=tAuB和Z=H2(z1,z2),删掉除会话密钥Z之外的所有临时信息;同样节点B收到(A,rA,uA)后计算z1=(tB+sB)(uArAYH1(A,rA)),z2=tBuA和Z=H2(z1,z2),删掉除会话密钥Z之外的所有临时信息。
2.根据权利要求1所述的传感器网络会话密钥建立方法,其特征在于所述会话密钥具 有一致性的验证方法如下Zl = (tA+sA)(B, rB)) = (tB+sB) (uArAYH! (A, rA)) = (tA+sA) (tB+sB)P,z2 — tAUB — tBUA — tAtBP。
全文摘要
本发明公布了一种传感器网络会话密钥建立方法,采用MTI协议族的“隐式认证”的思想(将通信方的长、短期公私钥结合来设计会话密钥,而且由于认证和密钥协商过程结合在一起,因此大大提高了协议的通信和计算效率),基于常规的椭圆曲线上的任意素数阶循环群,构造了新的无双线性对运算的基于身份的认证密钥协商协议,与现有的协议相比,不仅该协议的安全性更高,而且运行效率更快。由于新协议使用常规椭圆曲线上阶更小的循环群,而不是要求更高的构造双线性对所需的群,因此其运行效率更高。
文档编号H04L9/08GK101867477SQ20101021995
公开日2010年10月20日 申请日期2010年7月6日 优先权日2010年7月6日
发明者任勇军 申请人:南京航空航天大学