一种异构传感网认证组密钥管理方法

摘要

本发明涉及信息安全技术、网络对称密钥管理技术领域，具体涉及一种应用于传感网中具有身份认证功能的组密钥建立和组密钥管理更新方法。本发明包括：可信机构构建动态累加器函数族，为节点分配全局参数；布撒节点，由组管理员节点通过可信信道向组成员节点发布初始化信息；组成员节点根据初始化信息利用累加器建立初始组密钥；在加入节点和离开组时组管理员节点更新密钥，并根据新密钥构建更新信息，公开发送给组成员节点；组成员节点利用身份信息对更新消息的来源进行认证，若认证成功，则接受该更新消息；否则，组成员放弃本次更新。本发明确保仅有效成员能够正确更新组密钥，提供了更好的前后向安全性，节省了存储空间。

说明书

技术领域

本发明涉及信息安全技术、网络对称密钥管理技术领域，具体涉及一种应用于传感网中 具有身份认证功能的组密钥建立和组密钥管理更新方法。

背景技术

异构传感网由大量成本低、资源受限的普通节点，和一些成本相对较高，资源相对充裕 的高能节点组成。这些节点以成簇的方式组成网络，相互协作，共同完成信息的收集与传递。 随着异构传感网在军事和日常生活中的应用越来越广、发展越来越快，它已经受到了学术界 和工业界的广泛关注。除了点对点单播通信以外，传感网还经常需要进行多播通信，而多播 通信具有信道开放的特点，较单播通信更容易遭受窃听攻击、重放攻击和伪造攻击等恶意攻 击。安全多播问题已经成为了制约传感网发展的关键问题之一。异构传感网安全多播主要依 靠密码学方法实现，即由组密钥为参与多播的成员提供统一的信息解读权，所有合法组成员 共享一个组密钥来实现消息的加解密，以满足消息完整性，保密性等需求，实现安全通信。 因此，如何安全高效的建立组密钥并恰当更新是解决传感网安全多播通信的第一步。虽然目 前关于传感网组密钥管理的相关研究已经在一定程度上实现了安全多播通信，但它们或者没 有考虑会话期间网络拓扑结构的动态变化，使得方案对成员关系变动带来的组密钥更新的代 价十分巨大,甚至不可行；或者考虑了动态变化，却没有实现有效的身份认证，容易遭受伪 造攻击；或者实现了成员关系认证，但认证消息的长度随时间推移而增加，网络运行越久， 负担越重。因此如何兼顾性能、有效认证和支持成员关系动态变化，还需要进一步设计一种 新的有效的组密钥管理方法。

发明内容

本发明的目的在于提供一种节省网络的存储空间基于动态累加器的异构传感网认证组密 钥管理方法。

本发明的目的是这样实现的：

本发明包括如下步骤：

（1）在布撒节点前，可信机构构建动态累加器函数族，并为节点分配全局参数；

（2）布撒节点，然后由组管理员节点通过可信信道向组成员节点发布初始化信息；

（3）组成员节点根据初始化信息利用累加器建立初始组密钥；

（4）在加入节点和离开组时组管理员节点更新密钥，并根据新密钥构建更新信息，公开 发送给组成员节点；

（5）组成员节点利用身份信息对更新消息的来源进行认证，若认证成功，则接受该更新 消息；否则，组成员放弃本次更新。

可信机构构建动态累加器函数族的步骤包括：

（1）产生五元组(p,p′,q,q′,x₀)，其中p，p′=(p-1)/2，q，q′=(q-1)/2均为大素数，x₀为 正整数；

（2）计算n=pq；

（3）令a_f=(x₀,p,q)为所构建动态累加器函数的辅助信息，建立动态累加器函数 f:X_k×Y_A,B→X_k，f(x,y)=x^ymodn，其中X_k={x∈QR_n|x≠1}，QR_n是模n的二次剩余，Y_A,B是[A,B] 上的大素数集，累加项y∈Y_A,B，y≠p′,q′，A为大素数，B<A²；

（4）重复步骤（1）至（3），将产生的动态累加器函数，构成动态累加器函数族F_k。

可信机构为节点分配的全局参数包括累加器f，辅助信息a_f和累加项y，分配全局参数的 步骤包括：

（1）构建从小于n的正整数集合Z_n到Y_A,B的映射函数LG:Z_n→Y_A,B；

（2）为每个节点分配唯一标识s_i∈Z_n，并计算累加项y_i=LG(s_i)；

（3）为第q个组的组管理员选择一个动态累加器f∈F_k，将密钥材料(a_f,f,y_ch)加载到

（4）将累加项y_i加载到普通节点s_i。

组成员节点初始化信息包括：消息体E_ch,i(M)，消息M由组管理员与成员节点s_i间配对 密钥加密后的形式；累加器f，组管理员持有的动态累加器；节点s_i的初始证人信息w_{i_1}， w_{i_1}=f(x₀,Y-{y_i})，Y为当前组所有成员节点持有的累加项的集合；消息验证码MAC₁， MAC₁=MAC{f,w_{i_1}}；

初始化信息构成为E_ch,i{f,w_{i_1}}||MAC₁，组管理员节点发送初始化信息的步骤包括：

（1）收集成员列表Y={LG(s₁),...,LG(s_m)}={y₁,...,y_m}；

（2）计算当前组初始累加值v₁=f(x,Y)=f(f(...f(x₀,y₁),...),y_m)；

（3）计算组成员s_i的累加项y_i的证人w_{i_1}=f(x,Y-{y_i})。

组成员节点根据初始化信息利用累加器建立初始组密钥的步骤包括：

（1）组成员s_i与组管理员之间密钥解密初始化消息，得到f和w_{i_1}；

（2）组成员s_i计算消息验证码MAC′=MAC{f,w_{i_1}}；

（3）组成员验证MAC′与MAC₁是否相同；

（4）若MAC′与MAC₁相同，组成员s_i计算组密钥v₁=f(w_{i_1},y_i)；

（5）若MAC′与MAC₁不同，组成员s_i丢弃该初始化信息。

组管理员节点更新密钥包括：

（1）当组管理员收到新成员入组请求时，组管理员根据新累加值构建更新信息的步骤包 括：

1）从Y_A,B中选择大素数r，计算r与新成员累加项y_a的乘积y*=y_ar；

2）计算临时新累加值v_k+1=f(v_k,y_ar)和临时新证人w_{ch_k+1}=f(w_{ch_k},y_ar)；

3）产生整数c，计算C=f(w_{ch_k+1},c)；

4）计算消息验证码MAC₂，MAC₂=MAC{y*,C,c}；

5）构建更新信息B_a，B_a={y*,C,c}||MAC₂；

（2）累加项为y_ch的组管理员检测到累加项为y_d的组成员离开当前组时，组管理员根 据新累加值构建更新信息的步骤包括：

1）选择两个整数r和c；

2）计算新累加值$v_{k+1}=v_k^{y_d^{-1}\mathrm{mod}(p-1)(q-1)}\mathrm{mod}n;$

3）计算满足αy_ch+βy_d=1的数对(α,β)；

4）计算新证人$w_{\mathrm{ch}\_k+1}=w_{\mathrm{ch}\_+k}^{\beta }{v}_{k+1}^{\alpha };$

5）计算C=f(w_{ch_k+1},c)，e=f(r,y*),q=f(r,-1)；

6）构建函数p(β)=e^βqmodn和g(x,β)=xp(β)modn；

7）计算消息验证码MAC₃，MAC₃=MAC{y_d,C,c,v_k+1r,g(x,y,z)}；

8）构建更新信息B_d={y_d,C,c,v_k+1r,g(x,y,z)}||MAC₃。

当组管理员收到新成员入组请求时，各成员节点利用身份信息对更新消息的来源进行认 证的步骤包括：

（1）验证消息认证码；

（2）若消息认证码验证成功，计算临时累加值临时累加值与随机数c累 加的结果以及C与组管理员累加项y_ch的累加结果f(C,y_ch)；

（3）如果f(C,y_ch)与相同，则认证成功；否则认证失败；

（4）若消息认证码验证失败，则认证失败；

当累加项为y_ch的组管理员检测到累加项为y_d的组成员离开当前组时，各成员节点利用 身份信息对更新消息的来源进行认证的步骤包括：

（1）验证消息认证码；

（2）若消息认证码验证成功，计算满足αy_ch+βy_d=1的数对(α,β)；

（3）若能找到(α,β)，计算临时累加值临时累加值 与随机数c累加的结果以及C与组管理员累加项y_ch的累加结果f(C,y_ch)；

（4）如果f(C,y_ch)与相同，则认证成功；否则认证失败；

（5）若不能找到(α,β)，则认证失败；

（6）若消息认证码验证失败，则认证失败；

身份信息包括：身份标识s_i，节点的全局唯一标识；累加项y_i，节点标识的编码y_i=LG(s_i)； 证人w_{i_k}，第k个会话期下y_i的证人，满足第k个会话期的组密钥v_k=f(w_{i_k},y_i)。

验证消息认证码的步骤包括：

（1）计算MAC′₂，MAC′₂=MAC{y*,C,c}；

（2）验证MAC′₂与MAC₂是否相同；

（3）如果MAC′₂与MAC₂相同，则验证成功；

（4）如果MAC′₂与MAC₂不同，则验证失败。

当组管理员收到新成员入组请求时，接受更新消息的步骤包括：

（1）接受临时累加值v′_k+1为第k+1个会话期的新组密钥v_k+1；

（2）计算节点s_i在v_k+1下累加项y_i的新证人w_{i_k+1}=f(w_{i_k},y*)；

当累加项为y_ch的组管理员检测到累加项为y_d的组成员离开当前组时，接受更新消息的 步骤包括：

（1）接受临时累加值v′_k+1为第k+1个会话期的新组密钥v_k+1；

（2）计算节点s_i在v_k+1下累加项y_i的新证人

本发明的有益效果在于：

本发明提供的方法密钥材料一次加载，持续使用，无需全网密钥重启；基于RSA假设， 大整数分解困难等密码学知识来保障信息秘密性，能够防止节点在加入和离开所属组时，复 制其他节点的身份信息，从而增加伪造攻击抵抗性；由于每次更新消息都携带了新的正确累 加值v_k+1，使得节点能够通过独立计算新累加值v_k+1来判定更新消息是否为重放消息，从而抵 抗重放攻击；通过对辅助信息保密，使得多个共谋的普通节点即使能够相互分享各自的身份 信息，作为一个整体，获得当前组的更新消息，也无法计算辅助信息，从而无法避开身份认 证直接计算新密钥，更无法攻破网络，即能够抵抗共谋攻击；利用累加器证人来确定成员身 份，确保仅有效成员能够正确更新组密钥，提供了更好的前后向安全性；节点只需存储自己 的累加项和身份信息，密钥可在需要时动态生成，节省了存储空间；

附图说明

图1为异构传感网分簇示意图；

图2为初始密钥建立的流程图；

图3为新节点加入并更新的流程图；

图4为旧节点离开并更新的流程图。

具体实施方式

下面结合附图对本发明做更详细的描述：

以高安全性高能量的节点为组管理员，普通节点为组成员，可以组成一个分簇异构传感 网，图1给出了这种网络的一个直观示意图。在这样的网络拓扑结构下，本发明所描述的一 种基于动态累加器的异构传感网密钥管理方法，主要由如下几个步骤实现，其中(A)表示主体 A执行计算，A→B表示主体A向主体B单播消息，A→*表示主体A在全组范围内广播消息， E_k{M}和D_k{M}分别表示用密钥k对M加密和解密：

1、初始化及初始密钥建立

假设每个组中同时在线的成员数远小于n，LG:Z_n→Y_A,B是一个将小于n的正整数集Z_n中 的元素唯一映射到[A,B]间的大素数域Y_A,B中的抗碰撞函数，在实际应用中，可取做hash函数。 称y=LG(s)为s的编码。初始化过程如下：

(1)基站选定安全参数k，随机产生五元组(p,p′,q,q′,x₀)，其中p，p′=(p-1)/2，q， q′=(q-1)/2均为大素数；计算n=pq；运行算法G随机产生若干组辅助参数a_f=(x₀,p,q)，并 随机从中选取一组构建第q个组的累加器为每个节点分配唯一标识s_i∈Z_n并 计算编码y_i=LG(s_i)。令表示第q个组的组管理员节点标识。将密钥材料(a_f,f,y_ch)加载到将编码y_i加载到普通节点s_i。密钥材料加载完成后将节点布撒到网络。即：

(Base):{a_f,f}←G(k),f∈F_k

$\mathrm{Base}\to s_{\mathrm{ch}}^q:(a_f,f,y_{\mathrm{ch}})$

Base→s_i:(y_i)

(2)经邻居发现收集成员列表Y={LG(s₁),...,LG(s_m)}={y₁,...,y_m}，计算初始累加值 v₁=f(x,Y)，以及累加项y_i的证人w_{i_1}=f(x,Y-{y_i}).由于与成员节点之间已建立配对密钥， 故可借由配对密钥加密的安全信道为成员节点发送初始信息。即：

$\left(s_{\mathrm{ch}}^q\right):Y=\left\{y_i\right|1\le i\le m,y_i=\mathrm{LG}\left(s_i\right)\}$

v₁=f(x₀,Y)

w_{i_1}=f(x₀,Y-{y_i})

$s_{\mathrm{ch}}^q\to s_i:E_{\mathrm{ch},i}\{f,w_{i\_1}\}\left|\right|\mathrm{MAC}\{f,w_{i\_1}\}$

(3)成员节点s_i解密消息并验证其完整性，如果验证失败，则丢弃该消息；否则保留w_{i_1}作 为初始证人，计算累加值v₁并将其作为第一个会话期的组密钥。即：

(s_i):D_ch,i{f,w_{i_1}},

check(MAC)?v₁=f(w_{i_1},y_i):drop

2、新节点加入并更新

当节点处于会话期k时，只要有新节点加入，则更新会话进入到第k+1个会话期。对新 节点s_a来说，LG(s_a)=y_a，s_a首先向发送入簇申请，获得初始化信息和第k+1个会话期的组 密钥v_k+1，并由发布更新信息B_a，接收到的成员节点计算v_k+1，并用它来验证消息是否来自 簇头节点，如果是则接受v_k+1为新密钥，并计算新证人w_{i_k+1}；否则丢弃v_k+1，继续保留原密钥 v_k：

$S_a\to S_{\mathrm{ch}}^q:E_{\mathrm{ch},a}\{\mathrm{new},y_a\}$

$\left(s_{\mathrm{ch}}^q\right):c\leftarrow \mathrm{Rand},r\in Y_{A,B},$

y*=y_ar

v_k+1=f(v_k,y_ar),w_{ch_k+1}=f(w_{ch_k},y_ar)

C=f(w_{ch_k+1},c)

w_{a_k+1}=f(v_k,r),

$s_{\mathrm{ch}}^q\to s_a:E_{\mathrm{ch},\alpha }\{f,w_{a\_k+1}\}\left|\right|\mathrm{MAC}\{f,w_{a\_k+1}\}$

$s_{\mathrm{ch}}^q\to *:B_a=\{y^{*},C,c\}\left|\right|\mathrm{MAC}\{y^{*},C,c\}$

(s_i):check(MAC)?(1):drop

(1):v′_k+1=f(v_k,y*)

check{f(C,y_ch)==f(v′_k+1,c)}

?w_{i_k+1}=f(w_{i_k},y*),v_k+1=v′_k+1

:drop

3、旧节点删除并更新

当在第k个会话期要删除节点s_d时，计算随机参数构造密钥隐藏式g(x,y,z)并发动更 新，广播被删除节点信息。各成员节点首先验证更新消息来源，若来自簇头节点，则进一步 计算各自新证人w_{i_k+1}和证人参数(α,β)，从密钥隐藏式中恢复第k+1个会话期组密钥v_k+1；否 则丢弃该更新信息，保持原有密钥和证人。详细过程如下：

$\left(s_{\mathrm{ch}}^q\right):r,c\leftarrow \mathrm{Rand}$

$v_{k+1}=v_k^{y_d^{-1}\mathrm{mod}(p-1)(q-1)}\mathrm{mod}n$

(α,β)←A(y_ch,y_d)

$w_{\mathrm{ch}\_k+1}=w_{\mathrm{ch}\_k}^{\beta }{v}_{k+1}^{\alpha }$

C=f(w_{ch_k+1},c)

e=f(r,y*),q=f(r,-1)

p(β)=e^βqmodn

g(x,β)=xp(β)modn

$s_{\mathrm{ch}}^q\to *:B_d=\{y_d,C,c,v_{k+1}r,g(x,y,z)\}\left|\right|\mathrm{MAC}\{y_d,C,c,v_{k+1}r,g(x,y,z)\}$

(s_i):check(MAC)?(1):drop

(1):(α,β)←eGCD(y_i,y_d)

$x_i=w_{i\_k}^{\beta }{\left(v_{k+1}r\right)}^{\alpha }$

$v_{k+1}^{\prime }=g(x_i,\beta )$

$\mathrm{check}\{f(C,y_{\mathrm{ch}})==f(v_{k+1}^{\prime },c)\}$

$?w_{i\_k+1}=w_{i\_k}^{\beta }{v}_{k+1}^{\alpha },v_{k+1}=v_{k+1}^{\prime }$

:drop