郭學(xué)讓，汪烈軍，葛瀟藝

(新疆大學(xué) 信息科學(xué)與工程學(xué)院，新疆 烏魯木齊830046)

0 引言

隨著無(wú)線技術(shù)和傳感器技術(shù)的發(fā)展，無(wú)線傳感器網(wǎng)絡(luò)（Wireless Sensor Networks,以下簡(jiǎn)稱WSNs）已被廣泛應(yīng)用于軍事、環(huán)境監(jiān)測(cè)、交通管理、醫(yī)療護(hù)理和國(guó)土安全等領(lǐng)域.由于傳感器節(jié)點(diǎn)常被部署在不安全的區(qū)域，所以保證傳感器網(wǎng)絡(luò)中信息的安全傳遞至關(guān)重要.因此，尋找一種適合當(dāng)前WSNs的節(jié)點(diǎn)認(rèn)證和密鑰協(xié)商方案是無(wú)線傳感器網(wǎng)絡(luò)安全研究的熱點(diǎn)之一.

WSNs的密鑰協(xié)商方案主要分為基于密鑰預(yù)分配的密鑰協(xié)商方案和基于公鑰系統(tǒng)的密鑰協(xié)商方案.由于密鑰預(yù)分配方案存在網(wǎng)絡(luò)拓展性差、存儲(chǔ)量大等不足，安全強(qiáng)度更高的公鑰密碼體制被越來(lái)越多的應(yīng)用于WSNs中.但受到傳感器節(jié)點(diǎn)在計(jì)算能力、通信帶寬以及能量供給方面的限制，不易采用傳統(tǒng)意義上的公鑰密碼體制[1].

Oliveira等人[2]利用雙線性對(duì)實(shí)現(xiàn)了基于身份的非交互式密鑰管理方案，并證明了它可以完全適用于無(wú)線傳感器網(wǎng)絡(luò).文獻(xiàn)[3]通過(guò)對(duì)雙線性類認(rèn)證密鑰協(xié)商協(xié)議的評(píng)估，得出方案雖然安全性較高但是雙線性運(yùn)算是非常消耗節(jié)點(diǎn)資源的結(jié)論.一些密鑰協(xié)商方案為降低消耗沒(méi)有引入雙線性對(duì)，但降低了方案的安全性[4].傳統(tǒng)的混沌密碼系統(tǒng)中Chebyshev多項(xiàng)式的計(jì)算開(kāi)銷相對(duì)較校 可以用來(lái)替代WSNs密鑰協(xié)商協(xié)議中的雙線性配對(duì)，且不降低協(xié)議的安全性.文獻(xiàn)[5]首次將Chebyshev多項(xiàng)式引入WSNs的密鑰協(xié)商當(dāng)中，但此方案對(duì)密鑰生成中心要求較高且在安全方面存在一定缺陷.

基于上述討論，本文提出一種安全性更高的基于Chebyshev多項(xiàng)式的可認(rèn)證密鑰協(xié)商方案.首先對(duì)Chebyshev多項(xiàng)式的定義及性質(zhì)進(jìn)行介紹，其次對(duì)文獻(xiàn)[5]提出的的方案進(jìn)行分析并提出本文的方案，最后對(duì)所提方案進(jìn)行對(duì)比分析，證明本方案是安全可行的.

1 Chebyshev多項(xiàng)式的定義及性質(zhì)

1.1 Chebyshev多項(xiàng)式定義[6]

令n=z且x∈[?1,1]，Chebyshev多項(xiàng)式Tn(x):[?1,1]→[?1,1]的遞推關(guān)系式為：

開(kāi)始的幾個(gè)Chebyshev多項(xiàng)式為：

由于Chebyshev多項(xiàng)式是代數(shù)多項(xiàng)式，因此，可以將（1）拓展到有限域ZP上，這里的P為素?cái)?shù).

1.2 有限域上的Chebyshev多項(xiàng)式定義

令x,n∈ZP,n≥2，P為素?cái)?shù)，則多項(xiàng)式Tn(x):Zp→Zp的遞推關(guān)系為：

1.3 Chebyshev多項(xiàng)式的矩陣形式[7]

由Chebyshev多項(xiàng)式的定義：可寫出遞推公式的矩陣形式：

通過(guò)系數(shù)矩陣的n次方可以求得Tn(x)的值.再對(duì)Tn(x)取模P便可求得有限域中Chebyshev多項(xiàng)式的值，這樣可以大大提高運(yùn)算效率.

1.4 半群特性

Chebyshev的半群特性可表示為:

將此性質(zhì)拓展到有限域上，令x,m,n∈Zp,m,n≥2,

半群特性是有限域上Chebyshev多項(xiàng)式可以成為認(rèn)證和密鑰協(xié)商的基礎(chǔ).

1.5 計(jì)算上的單向性[8]

有限域Zp上的任意一個(gè)Chebyshev多項(xiàng)式還可表示為：

有限域上的Chebyshev多項(xiàng)式仍是混沌映射，現(xiàn)階段并沒(méi)有找到有限域上Chebyshev多項(xiàng)式的反函數(shù)表達(dá)式，因此在(5)中，已知x和n求Tn(x)相對(duì)容易，但如果已知x和Tn(x)求n是相當(dāng)困難的，其求解困難性可與求離散對(duì)數(shù)的問(wèn)題相當(dāng).由于計(jì)算上單向性的存在，所以Chebyshev多項(xiàng)式可以應(yīng)用到密碼學(xué)中.

2 已提出的方案

下面介紹一種基于Chebyshev多項(xiàng)式的無(wú)線傳感器網(wǎng)絡(luò)密鑰協(xié)商方案，該方案通過(guò)密鑰生成中心對(duì)密鑰管理進(jìn)而實(shí)現(xiàn)節(jié)點(diǎn)與節(jié)點(diǎn)之間的密鑰協(xié)商，方案如下[5]：

在一個(gè)節(jié)點(diǎn)總數(shù)為N的網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都保存自己相應(yīng)的隨機(jī)數(shù)xt,rt∈Zp,t∈[1,N]和大素?cái)?shù)P.節(jié)點(diǎn)A與節(jié)點(diǎn)B進(jìn)行密鑰協(xié)商，A和B的隨機(jī)數(shù)必須要滿足xArA=xBrB(modp).

1）密鑰生成中心分別生成節(jié)點(diǎn)A與節(jié)點(diǎn)B的公鑰:

2）私鑰生成：IDA是A的身份信息，散列函數(shù)H:{0,1}→Zp密鑰生成中心生成A的私鑰：skA=skA1=skA2.其中

A保存xA和skB,節(jié)點(diǎn)B用同樣的方法生成私鑰.

3）節(jié)點(diǎn)A密鑰的建立：選擇隨機(jī)數(shù)并計(jì)算:

A生成會(huì)話密鑰KAB并將(σ1,σ2)發(fā)送給B.

4)節(jié)點(diǎn)B收到(σ1,σ2)后，驗(yàn)證方程：

若方程成立，則B計(jì)算會(huì)話密鑰

上述方案雖然可以抵抗篡改和竊聽(tīng)攻擊，但仍存在一些問(wèn)題：

1)為了保證各個(gè)節(jié)點(diǎn)之間的通信，每對(duì)節(jié)點(diǎn)之間都要有不同的xt,rt∈Zp,t∈[1,N]且必須相互滿足xArA=xBrB(modp)，這樣每個(gè)節(jié)點(diǎn)必須保存該網(wǎng)絡(luò)內(nèi)其他節(jié)點(diǎn)的公鑰和與之對(duì)應(yīng)的私鑰，這樣加大了存儲(chǔ)開(kāi)銷.

2)不能抵抗重放攻擊，由于協(xié)商過(guò)程中節(jié)點(diǎn)A所選取的節(jié)點(diǎn)B并不確定，所以所發(fā)送的信息若被攻擊或者截獲，攻擊者可多次向節(jié)點(diǎn)B發(fā)送(σ1,σ2)，當(dāng)節(jié)點(diǎn)B收到信息后會(huì)不斷的進(jìn)行運(yùn)算，最終導(dǎo)致能量耗盡.

3 本文方案

3.1 案描述

本文提出的方案網(wǎng)絡(luò)模型[9]是由基站（BS）和大量具有身份標(biāo)識(shí)的節(jié)點(diǎn)組成的.其中基站為可信任第三方且不考慮消耗，分別可以與網(wǎng)絡(luò)內(nèi)的各個(gè)節(jié)點(diǎn)進(jìn)行通信.節(jié)點(diǎn)A與節(jié)點(diǎn)B進(jìn)行認(rèn)證與密鑰協(xié)商的流程如圖1所示.

1）節(jié)點(diǎn)A使用與基站共享的密鑰向基站發(fā)送自己的身份信息IDA和要認(rèn)證的節(jié)點(diǎn)身份信息IDB.

圖1 密鑰協(xié)商流程

2）基站收到來(lái)自A的信息后用與節(jié)點(diǎn)A的共享密鑰解密，同時(shí)生成隨機(jī)大整數(shù)a和大素?cái)?shù)P，計(jì)算S=Ta(G)modp，并用與節(jié)點(diǎn)相應(yīng)的會(huì)話密鑰將信息加密發(fā)送給節(jié)點(diǎn)A與節(jié)點(diǎn)B.

3）節(jié)點(diǎn)B收到信息后用與基站的共享密鑰解密信息，同時(shí)隨機(jī)生成并保存大整數(shù)M，并計(jì)算M=Tm(S)modp，將M與IDB發(fā)送至節(jié)點(diǎn)A.

4）節(jié)點(diǎn)A隨機(jī)生成并保存大整數(shù)n，計(jì)算N1=Tn(M)modp,N2=Tn(S)modp，在有限域上對(duì)N1、IDA、IDB進(jìn)行Hash變換生成散列值：H(IDA,IDB,N1)，節(jié)點(diǎn)A與節(jié)點(diǎn)B的會(huì)話密鑰就為KAB=N1，將N2與H(IDA,IDB,N1)發(fā)送至節(jié)點(diǎn)B.

5）節(jié)點(diǎn)B收到信息后計(jì)算H(IDA,IDB,Tm(N2))modp，并驗(yàn)證與H(IDA,IDB,N1)是否相等，若相等則完成認(rèn)證，并得到會(huì)話密鑰KBA=Tm(N2)modp，完成密鑰協(xié)商.

3.2 合理性分析

步驟3中節(jié)點(diǎn)B的私鑰為m，公鑰為M，步驟4中節(jié)點(diǎn)A的私鑰為n,公鑰為N2.其中M=Tm(S)modp,N2=Tn(S)modp.

當(dāng)節(jié)點(diǎn)A收到B的公鑰時(shí)，可通過(guò)自己的私鑰計(jì)算得到會(huì)話密鑰.同理B可計(jì)算得到會(huì)話密鑰.由Chebyshev多項(xiàng)式的半群特性可得：

3.3 安全性分析

1）私鑰的安全性

有限域中Chebyshev多項(xiàng)式具有單向性，既已知x和Tn(x)求n是相當(dāng)困難的，其求解困難相當(dāng)于求解離散對(duì)數(shù)問(wèn)題.所以節(jié)點(diǎn)的私鑰是保密的，不會(huì)由公式反推得到.節(jié)點(diǎn)A和節(jié)點(diǎn)B隨機(jī)生成的大整數(shù)m、n只有節(jié)點(diǎn)本身知道，保證了計(jì)算所得會(huì)話密鑰的安全性.

2）抵抗竊聽(tīng)攻擊

步驟1與步驟2中采用密文傳輸，攻擊者無(wú)法獲得有用信息.步驟3與步驟4中采用非對(duì)稱密碼體制進(jìn)行密鑰協(xié)商，會(huì)話密鑰不會(huì)直接在信道傳送，而是由各個(gè)節(jié)點(diǎn)通過(guò)自己的私鑰計(jì)算得來(lái)，所以即便攻擊者截獲了節(jié)點(diǎn)A與節(jié)點(diǎn)B之間傳送的信息也無(wú)法得到有用信息.

2）抵抗篡改

步驟4中通過(guò)對(duì)節(jié)點(diǎn)身份信息以及N1進(jìn)行hash變換生成散列值，步驟5中節(jié)點(diǎn)B進(jìn)行運(yùn)算時(shí)，可以驗(yàn)證信息是否遭到篡改.

4）抵抗重放

重放攻擊指攻擊者截獲通信信息后，在下次的通信中冒充原節(jié)點(diǎn)發(fā)送給接收節(jié)點(diǎn)一個(gè)已接收過(guò)的信息，使接收節(jié)點(diǎn)誤以為是原節(jié)點(diǎn)發(fā)送來(lái)的信息，達(dá)到冒充身份、欺騙系統(tǒng)的目的.多次向接收節(jié)點(diǎn)發(fā)送同一條消息，可造成接收節(jié)點(diǎn)進(jìn)行不斷計(jì)算，最終導(dǎo)致節(jié)點(diǎn)能量耗盡.本方案在每次認(rèn)證過(guò)程中由基站提供一個(gè)隨機(jī)數(shù)a、致使每次的認(rèn)證信息都不相同，若接收節(jié)點(diǎn)收到重復(fù)信息，可以認(rèn)為是攻擊者發(fā)送的假冒信息，拒絕計(jì)算，使重放攻擊失效.

3.4 存儲(chǔ)開(kāi)銷

文獻(xiàn)[5]中每個(gè)節(jié)點(diǎn)需要保存網(wǎng)絡(luò)內(nèi)每個(gè)節(jié)點(diǎn)的身份信息、公鑰以及相對(duì)應(yīng)的私鑰，本文方案每個(gè)節(jié)點(diǎn)只需保存網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)的身份信息即可.

3.5 計(jì)算開(kāi)銷

計(jì)算開(kāi)銷也就是計(jì)算的次數(shù)，分別用PE、Pcp、P?、PHash表示進(jìn)行一次對(duì)稱加密或解密操作，進(jìn)行一次Chebyshev多項(xiàng)式操作、一次乘法操作、一次Hash變換所需要的能量.文獻(xiàn)[5]的節(jié)點(diǎn)A進(jìn)行了5次多項(xiàng)式運(yùn)算一次乘法運(yùn)算和一次Hash變換.本文提出的方案進(jìn)行了兩次多項(xiàng)式運(yùn)算、一次Hash變換、一次對(duì)稱加密和一次解密操作.因?yàn)镻E為對(duì)稱加密操作，計(jì)算量相對(duì)較小，所以在運(yùn)算量方面PE

表1 計(jì)算開(kāi)銷對(duì)比

4 結(jié)論

通過(guò)對(duì)Chebyshev多項(xiàng)式性質(zhì)和WSNs密鑰協(xié)商方案的研究，針對(duì)對(duì)稱密鑰管理中安全性的不足，以及有限域中Chebyshev多項(xiàng)式良好的的混沌特性、半群特性和在計(jì)算上單向性，提出一種節(jié)點(diǎn)之間的可認(rèn)證密鑰協(xié)商方案，并通過(guò)理論分析和同類方案的對(duì)比，證明本方案是安全可行的.