专利名称:移动自组织网络中基于多项式组的密钥预共享安全引导模型的制作方法
技术领域:
本发明涉及移动自组织网络的安全技术领域,特别涉及一种在移动自组织网络中通过多项式组进行密钥预共享和在分布式签名认证方式下进行密钥安全恢复的安全引导模型。
背景技术:
移动自组织网络(英文Mobile Ad hoc Network,英文简称MANET)通常是由一组没有固定网络连接支持的无线移动节点组成的多跳临时性自治网络。这些节点必须通过相互之间转发数据包来协同实现与超出无线距离的节点的通信。比起传统的有固定网络连接的网络而言,由于开放的介质、不断变更的网络拓扑、协同算法、缺乏集中监控和管理点等缺点,使得MANET网络更容易受到外界的攻击。移动自组织网络的安全包括安全体系的建立(安全引导)和安全体系变更(安全维护)两个部分,安全引导过程是将一个Ad hoc网络从一堆彼此分立的节点,或者说一个裸露的网络通过共有的知识和协议过程,逐渐形成一个具有坚实安全外壳保护的网络。近年来许多学者和科研机构展开了对此领域的研究,分别提出了很多方法。SPIN(Security Protocols for Sensor Network)安全体系是较早针对传感器网络比较实用的一个网络安全方案,但该安全体系在安全引导方面仅考虑了最简单的主密钥共享方式,其安全实现还完全依赖于固定的基站,严重限制了其灵活性,仅用于规模不大的网络中。Eschenauer和Gligor首先提出了基本的随机密钥预分布模型,他们提出了生成一个密钥池,任何节点存放密钥池的一部分密钥,只要节点之间拥有一对相同的密钥,就可以建立安全通道,因此这种方法不能保证通信连通的网络一定是安全连通的,而且当一定数量的节点被捕获会造成系统中绝大部分密钥泄漏,导致系统秘密彻底暴露。Chan和Perrig等人提出了q-composite模型,该模型将公共密钥的个数要求提高到q,以调节此参数提高系统的抵抗力,但为了网络中任意两个节点之间的连通概率超过概率q,从而达到预先设定的概率值,就必须缩小密钥池的大小并增加节点之间共享密钥的交叠程度,这样会使得敌方通过俘获少数几个节点就可以获得较大的密钥空间。Wenliang Du等人利用了Blom的密钥预分布模型,给出了一个新型的多密钥空间的密钥对预分布模型,不过该模型的计算开销比较大,而且网络部署的情况将直接影响网络的安全连通性,很难有实用的可能。D.G.Liu和P.Ning等人提出了用于静态传感器网络的基于物理位置的密钥对安全引导模型,它在随机密钥对模型的基础上引入了地理位置信息,并采用C.Blundo提出的二元t次多项式的密钥对生成模型,根据位置信息把网络划分成等大小的单元(Cell),每个单元区域共享一个多项式,但这种模型本质上讨论的是节点不移动的静态网络,因此该方法并不实用于移动自组织网络。
由于以上的绝大多数方法本质上都采用的是概率模型,这样就使得网络的安全连通性不会很好,同时抗俘获能力比较低。因此本发明提了一种基于单向HASH函数和LaGrange插值多项式组的(t,n)门限方案的密钥预共享安全引导模型,该模型采用LaGrange插值多项式组的(t,n)门限方案进行密钥分享,同时利用单向HASH函数使得子密钥不被公开,增加了子密钥的安全性。由于共享密钥不是基于概率进行分布的,因此可以保证整个网络的完全安全连通。在密钥恢复协议中使用了门限数字签名的方法,使得密钥恢复过程更加安全,可以有效对抗撤销攻击、欺骗攻击以及复制攻击。本发明提出的方法中必须有t个节点被俘获后,系统密钥才会被暴露。当第v个密钥分片被暴露后,可以通过发送子密钥撤销广播给所有节点,删除掉第v个多项式的子密钥。发现有节点被俘获后,可以采取发送公共密钥撤销广播给所有节点,删除掉其对应的公钥,因此当有复制攻击时,其对应的公钥已经被删除,从而可以有效抵御复制攻击。
发明内容
本发明的目的在于克服上述现有技术的缺陷,提供了一种在移动自组织网络中通过利用多项式组进行密钥预分布和利用分布式签名认证进行密钥恢复前的验证,实现了密钥预分布和安全恢复的安全引导机制。
本发明移动自组织网络中基于多项式组的密钥预共享安全引导模型是采用下述技术方案实现的在移动自组织网络环境中,初始安全引导模型的建立对于整个网络的安全是及其重要的,它可以将一堆分离的Ad hoc节点或一个完全裸露的网络通过共有的知识或协议过程,逐渐形成具有坚实安全外壳的网络。本发明提出了一种基于单向HASH函数和LaGrange插值多项式组的(t,n)门限方案的随机密钥预共享安全引导模型。该模型分成两个过程(1)基于单向HASH函数和LaGrange插值多项式组的密钥预共享安全引导过程;(2)基于门限数字签名的密钥安全恢复协议的安全引导过程。在第(1)部分过程中,首先由安全引导服务器(Setup Server)生成密钥M,再将生成的密钥M分成r个没有交叠的分片,如 这r个分片作为将来整个网络通信中使用的共享密钥。然后再为r个分片构建r个不同的多项式,其中每个多项式的非常数项系数通过随机的方式生成,将不同的密钥分片分别作为多项式 (其中p为10200量级且满足p□1(mod8)的大素数)的常数项,从而构建多个不同的分别带有一个密钥分片的多项式组,第v片密钥分片对应的多项式表达如 一个密钥分片对应一个LaGrange插值多项式,因此r个密钥分片就构成了一个包含r个密钥分片的LaGrange插值多项式组。然后,安全引导服务器通过单向HASH函数和有限域GF(p′)(其中p′为10200量级且满足p′□1(mod8)的大素数)的本原元素 和移动自组织网络节点i的ID,通过HASH函数计算节点i的私钥 然后再利用Si和大素数p′计算第i个节点的公钥Zi□gSimod p′。利用HASH函数计算得到 再将 作为自变量带入不同密钥分片的构建好的多项式进行计算,可以计算出第i个节点上第v片密钥分片对应的子密钥 。安全引导服务器将r个密钥分片对应的Kiv(i□1,...,n;v□1,...,r)子密钥组分发给第i个节点,同时将 公开给其他每个节点,另外还将辅助计算的两个大素数p,p′,以及p′-1对应的大素数因子q、有限域GF(p′)的本原元素 、h(任意随机数 )以及g□h(p′□1)/qmod p′(其中 )公开给所有节点。第(2)部分包括使用门限数字签名的方法进行节点身份认证,通过身份认证后再进行密钥的恢复过程,从而阻止恶意获取子密钥和非法进行密钥恢复的行为过程中。主要包括以下几个步骤首先节点i利用其私钥Si计算消息m□H(Si),并计算H(Si)的局部签名wi(i□1,...,n)如wi□g□imod p′(其中 )。然后,节点i向周围的t-1个一跳邻居节点发送消息m和wi(i□1,...,n),这t-1个节点分别对节点i的身份进行认证,方法如下Zih2Wi2□gm(mod p′)(其中 ),如果上述同余式不成立则节点i为局部签名伪造者,从而周围t-1个节点拒绝将子密钥发送给节点i,以此阻止恶意获取密钥的行为。如果同余式成立且 ,则wi为正确签名,节点i通过身份验证。当节点i通过身份验证后,需要确定采用子密钥组中的哪一个子密钥,本发明通过第i个节点(源节点)和目的节点j之间来确定采用第几个子密钥,通过如下发明的计算方法确定使用Kiv(i□1,...,n;v□1,...,r)中的一个子密钥,在此方法中本发明通过求模运算可以有效的将v确定在(1□v□r)的范围内,如v□(i mod j)mod r,(i,j□1,...,n,1□r□n),也即是第i个节点和目的节点j之间选用第v个子密钥来进行共享密钥恢复。而目的节点j在进行密钥安全恢复过程中也通过该方法来选择对应的子密钥。节点i接收到其他t-1个节点发来的子密钥后,采用LaGrange插值多项式对其进行恢复,并通过 计算对应的Mv,从而获得ai(i□1,...,t□1)和共享密钥Mv。本发明通过子密钥撤销方法对抗密钥分片被暴露的情况提出了如果节点i的密钥分片v被暴露后,可以通过发送子密钥撤销广播给所有节点,删除掉第v个多项式的子密钥Kiv(i□1,...,n),当有节点的密钥分片被暴露时,由于没有对应的子密钥,因此网络中不会有相应的共享密钥,从而可以达到有效抵御密钥分片被暴露的情况。通过公共密钥撤销方法对抗节点被俘获情况当发现节点i被俘获后,可以采取发送公共密钥撤销广播给所有节点,删除掉其对应的公钥Zi(i□1,..,n),从而当有复制攻击时,复制节点欲和其他正常节点通信时,其对应的公钥已经被删除,不能通过其他正常节点的身份认证,从而可以达到有效抵御复制攻击的目的。为了对上述方法进行性能评估,本发明通过系统评估指标对移动自组织网络的安全引导模型的性能进行评估,发明了抗俘获能力指标计算方法、支持的规模指标计算方法。抗俘获能力A和门限t、单个节点恢复密钥的时间Td以及撤除被俘节点的时间Tw有关,因此采用下式来评估抗俘获能力抗俘获能力计算方法为 (1□t□n)。支持的网络节点规模计算方法如网络规模和节点内存容量之间有着直接的关系,设定每个节点用于存放公共信息的内存容量为C,则支持的网络节点规模计算方法为 (i□1,...,n),其中Zi(i□1,..,n)和 为第i个节点的公钥以及HASH值,C为每个节点用于存放公共信息的内存容量,为其他公开参数的长度之和,Sizeof(Zi)、Sizeof(Kiv)以及 分别指Zi、Kiv、 变量的实际数据长度,其中Zi(i□1,..,n)和 为第i个节点的公钥以及HASH值。
该模型由于采用了单向HASH函数,使得每个密钥分片的子密钥不会被公开,同时在密钥恢复协议的安全引导过程中引入了门限数字签名机制,可以有效防止和检测在密钥恢复或重组过程中的欺骗行为以及DoS攻击。同时由于本发明提供的方法本质上不同于概率型的安全引导模型,因此密钥恢复后的安全连通概率为100%,保持了很好的连通性和安全性。
具体实施例方式
1.基于单向HASH函数和LaGrange插值多项式组的密钥预共享安全引导模型在详细介绍本发明提出的安全引导模型之前,将相关的参数提前说明如下p,p′10200量级且满足p□1(mod8)和p′□1(mod8)的大素数;q为p′□1的一个大素数因子;h
gg□h(p′□1)/qmod p′,其中 yy□gmmod p,其中m是秘密密钥,y是公开密钥; 有限域GF(p′)的本原元素;H(m)有限域GF(p′)上的一个单向哈希函数;其中参数y、p′、q、h、g和 是公开的。
1.1密钥预共享安全引导过程为了不把单独的共享密钥M放在一个多项式中,从而造成一个多项式被破解,会影响整个MANET网络共享的通信密钥被暴露。因此,由引导服务器把共享密钥M分片成r个分片,并为不同的分片构造不同的多项式。而一旦有某个分片被破解了,则在网络节点中把包含有这个分片的多项式删除掉,从而保持整个网络的共享密钥的安全性。把密钥环M分为r个没有交叠的分片,如下 由于r个分片没有交叠,因此欲进行通信的密钥对可以直接选用他们对应的共享密钥进行通信,而无需计算由于密钥分片有交叠而出现的安全连通概率。
根据Adi Shamir有限域中的LaGrange多项式方程来构造门限方案。对于有n个节点的MANET网络,其中需要任意t个节点就可以恢复出共享密钥M,则门限为(t,n),也即是说重构密钥M需要t个子密钥(又称为影子)。因此,可以得到一个t-1次多项式
其中ai(i□1,...,t□1)为任意整数,分布于[1,p□1],p为大于所有系数的随机素数。
为r个共享密钥分片构造r个不同的多项式组,如下 在MANET网络中第i个节点通过单向HASH函数计算得到其私钥 然后再计算第i个节点的公钥Zi□gSimod p′;安全引导服务器将Si导入给第i个节点,并给所有n个节点公开Zi(i□1,...,n)、p、p′、q、h、g和 信息。
再通过HASH函数计算,得到 和第i个节点的第v个密钥分片对应的子密钥 安全引导服务器将Kiv(i□1,...,n;v□1,...,r)子密钥组分发给第i个节点,同时将 公开给每个节点。
1.2基于门限数字签名的密钥安全恢复协议和对应的安全引导过程本发明中的密钥安全恢复协议主要目的是在安全引导过程结束后,在移动自组织网络正式工作过程中,当有节点需要使用共享密钥进行通信时,则需要通过其他t-1个节点的子密钥来安全地恢复共享的密钥分片Mv,这个过程通过使用门限数字签名的方法来进行节点身份认证来实现,从而阻止恶意获取子密钥和非法进行密钥恢复的行为。基于门限数字签名的密钥安全恢复协议分四步完成,如下(1)第1步节点i利用其私钥Si计算m□H(Si),并计算H(Si)的局部签名wi(i□1,...,n)如下 wi□g□imod P'(2)第2步节点i向周围的t-1个一跳邻居节点发送m和wi(i□1,...,n),这t-1个节点分别对节点i的身份进行认证,认证过程如下Zihiwi2□gm(mod p′)其中 如果同余式不成立则节点i为局部签名伪造者,从而周围t-1个节点拒绝将子密钥发送给节点i,以此阻止恶意获取密钥的行为。如果同余式成立且 则wi为正确签名,节点i通过身份验证。
(3)第3步当节点i通过身份验证后,需要确定采用子密钥组中的哪一个子密钥,我们通过第i个节点(源节点)和目的节点j之间来确定采用第几个子密钥,通过如下发明的计算方法确定使用kiv(i□1,...n;v□1,...,r)中的一个子密钥,在此方法中本发明通过求模运算可以有效的将v确定在(1□v□r)的范围内,如下,
v□(i mod j)mod r,(i,j□1,...,n;1□r□n)也即是第i个节点和目的节点j之间选用第v个子密钥来进行共享密钥恢复。而目的节点j在进行密钥安全恢复过程中也通过该方法来选择对应的子密钥。
(4)第4步当节点i接收到其他t-1个节点发来的子密钥Kiv(i□1,...,n;v□1,...,r)后,采用LaGrange插值多项式对共享密钥的多项式进行恢复,并计算对应的Mv,方法如下 从而获得ai(i□1,...,t□1)和共享密钥Mv。
1.3密钥撤销方法当第v个密钥分片被暴露后,可以有第一个发现者通过发送子密钥撤销广播给所有节点,删除掉每个节点上的第v个多项式的子密钥Kiv(i□1,...,n)。当发现有节点被俘获后,可以采取发送公共密钥撤销广播给所有节点,删除掉其对应的公钥Zi(i□1,..,n),从而当有复制攻击时,复制节点欲和其他正常节点通信时,其对应的公钥已经被删除,不能通过其他正常节点的身份认证,从而可以达到有效抵御复制攻击的目的。
1.4性能分析指标(1)抗俘获能力指标当任何一个节被俘获时,发现者可以通过发送公共密钥撤销广播给所有节点,让节点自行删除掉其对应的公钥Zi(i□1,..,n),从而阻止敌方假冒被俘获节点通过身份认证,以此实现对敌方攻击的抵抗。当有t个节点同时被俘获时,可以同时在所有其他节点上删除这t个节点的公钥,实现对t个节点被俘获的抵抗,但因此也暴露了系统密钥。故而当t越大,系统抗俘获能力就越强,但t越大,则单个节点恢复密钥的时问Td和系统消耗会随之增加。抗俘获能力A的性能与t、Td以及节点撤除时间Tw有关,因此本发明采用下式来评估抗俘获能力 (2)支持的规模指标由于随机密钥M被分成r个没有重叠的分片,但r越大,通过多项式组得到的子密钥就越多,每个节点就需要耗费更多的内存用于存放更多的子密钥。同时由于每个节点都存放了其他n-1个节点的公钥Zi(i□1,..,n)值和HASH值 由此可知,网络规模和节点内存容量之间有着直接的关系,假定每个节点用于存放公共信息的内存容量为C,则支持的网络节点规模计算方法如下 其中n为支持的网络规模节点数量,为其他公开参数的长度之和,Sizeof(Zi)、Sizeof(Kiv)以及 分别指Zi、Kiv、 变量的实际数据长度。其中Zi(i□1,..,n)和 为第i个节点的公钥以及HASH值。
(3)抗撤除攻击的能力由于任何一个节点被俘获都可能暴露与它直接相连的节点的安全通道,由此可能会造成另外一些节点因为这个被俘节点的弹劾而被排除在网络之外。本发明提出的模型在有小于t个节点被俘获时,并不会影响到其他任何节点的安全连通性,但当被俘获的节点数量大于n-t时,网络中仅剩余的小于t个节点无法进行密钥恢复,从而完全无法建立之间的安全连通通道。因此本发明提出的方法对抵抗撤除攻击有着更好的能力。
(4)抗复制攻击的能力由于采取了发送公共密钥撤销广播给其它所有节点,各自删除掉其对应的被俘获节点的公钥Zi(i□1,..,n),因此当敌方使用复制攻击时,被复制节点对应的原来的公钥已经被删除,它们不可能通过身份认证来非法获取共享密钥,从而达到有效抵御复制攻击的目的。
权利要求
1.一种移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于在(1)基于单向HASH函数和LaGrange插值多项式组的密钥预共享安全引导过程中,包括安全引导服务器生成密钥M,再对密钥M进行分片,将不同的密钥分片分别作为多项式 的常数项,从而构建多个不同的分别带有一个密钥分片的多项式组;利用有限域GF(p′)的本原元素 和移动自组织网络节点i的ID,通过HASH函数计算节点i的私钥 然后利用HASH函数计算得到 再将 作为自变量带入不同密钥分片构建好的多项式进行计算,可以计算出第i个节点上第v片密钥分片对应的子密钥 利用Si和大素数p'计算第i个节点的公钥Zi□gSimod p′,并将子密钥 和 发布给其他所有节点;在基于门限数字签名的密钥安全恢复协议的安全引导过程中,包括通过使用门限数字签名的方法进行节点身份认证,通过身份认证后再进行密钥的恢复过程,从而阻止恶意获取子密钥和非法进行密钥恢复的行为;通过公共密钥撤销方法对抗节点被俘获情况当发现节点i被俘获后,可以采取发送公共密钥撤销广播给所有节点,删除掉其对应的公钥Zi(i□1,..,n),从而当有复制攻击时,复制节点欲和其他正常节点通信时,其对应的公钥已经被删除,不能通过其他正常节点的身份认证,从而可以达到有效抵御复制攻击的目的;通过子密钥撤销方法对抗密钥分片被暴露的情况提出了如果节点i的密钥分片v被暴露后,可以通过发送子密钥撤销广播给所有节点,删除掉第v个多项式的子密钥Kiv(i□1,...,n),当有节点的密钥分片被暴露时,由于没有对应的子密钥,因此网络中不会有相应的共享密钥,从而可以达到有效抵御密钥分片被暴露的情况。
2.根据权利要求1所述的移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于安全引导服务器通过对密钥M进行分片,分为r个没有交叠的分片,如下 将不同的密钥分片分别作为多项式的常数项,从而构建多个不同的密钥多项式组,如下为r个共享密钥分片构造r个不同的多项式组,如下
3.根据权利要求1所述的移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于安全引导服务器通过单向HASH函数和有限域GF(p′)的本原元素 和移动自组织网络节点i的ID,通过HASH函数计算节点i的私钥 然后再利用Si和大素数p′计算第i个节点的公钥Zi□gSimod p′,利用HASH函数计算得到 再将 作为自变量带入不同密钥分片构建好的多项式进行计算,可以计算出第i个节点上第v片密钥分片对应的子密钥
4.根据权利要求1所述的移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于安全引导服务器将r个密钥分片对应的Kiv(i□1,...,n;v□1,...,r)子密钥组分发给第i个节点,同时将 公开给其他每个节点,另外还将用于辅助计算的两个大素数p,p′,以及P′-1对应的大素数因子q、有限域GF(p′)的本原元素 任意随机数 以及 公开给所有节点。
5.根据权利要求1所述的移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于通过使用门限数字签名的方法对请求子密钥的节点身份进行认证,从而阻止恶意获取子密钥和非法进行密钥恢复的行为,主要包括以下几个步骤(1)利用节点i的私钥Si计算消息m□H(Si),并计算m的局部签名,如下 (2)节点i向周围的t-1个一跳邻居节点发送m和wi(i□1,...,n),这些节点分别对请求节点i的身份进行认证,方法如下 其中 如果同余式不成立则节点i为局部签名伪造者,从而周围t-1个节点拒绝将子密钥发送给节点i,以此阻止恶意获取密钥的行为,如果同余式成立且 则wi为正确签名,节点i通过身份验证;(3)当节点i通过身份验证后,需要确定采用子密钥组中的哪一个子密钥,我们通过第i个节点(源节点)和目的节点j之间来确定采用第几个子密钥,通过如下发明的计算方法确定使用Kiv(i□1,...,n;v□1,...,r)中的一个子密钥,在此方法中本发明通过求模运算可以有效的将v确定在(1□v□r)的范围内,如下,v□(imod j)modr,(i,j□1,...,n;1□r□n)也即是第i个节点和目的节点i之间选用第v个子密钥来进行共享密钥恢复,而目的节点j在进行密钥安全恢复过程中也通过该方法来选择对应的子密钥;(4)当节点i接收到其他t-1个节点发来的子密钥后,采用LaGrange插值多项式对共享密钥的多项式进行恢复,并计算对应的Mv,方法如下 从而获得ai(i□1,...,t□1)和共享密钥Mv。
6.根据权利要求1所述的移动自组织网络中基于多项式组的密钥预共享安全引导模型,其特征在于通过系统评估指标对移动自组织网络的安全引导模型的性能进行评估,发明了抗俘获能力指标计算方法、支持的规模指标计算方法,其中抗俘获能力指标计算方法如下抗俘获能力A和门限t、单个节点恢复密钥的时间Td以及撤除被俘节点的时间Tw有关,因此采用下式来评估抗俘获能力 支持的网络节点规模计算方法如下网络规模和节点内存容量之间有着直接的关系,设定每个节点用于存放公共信息的内存容量为C,则支持的网络节点规模计算方法如下 其中n为支持的网络规模节点数量,为其他公开参数的长度之和,Sizeof(Zi)、Sizeof(Kiv)以及 分别指Zi、Kiv、 变量的实际数据长度,其中Zi(i□1,...,n)和 为第i个节点的公钥以及HASH值。
全文摘要
一种移动自组织网络中基于多项式组的密钥预共享安全引导模型包括基于单向HASH函数和LaGrange插值多项式组的密钥预共享安全引导过程;基于门限数字签名的密钥安全恢复协议的安全引导过程。其优点是采用了单向HASH函数,使得每个密钥分片的子密钥不会被公开,同时在密钥恢复协议的安全引导过程中引入了门限数字签名机制,可以有效防止和检测在密钥恢复或重组过程中的欺骗行为以及DoS攻击。同时由于本发明提供的方法本质上不同于概率型的安全引导模型,因此密钥恢复后的安全连通概率为100%,保持了很好的连通性和安全性。
文档编号H04L12/28GK1925490SQ20061012457
公开日2007年3月7日 申请日期2006年9月21日 优先权日2006年9月21日
发明者冯力, 袁卫东, 张毅, 李自力 申请人:中国船舶重工集团公司第七○九研究所