一种面向移动自组织网络安全的双线性对密钥预分配方法

摘要

一种面向移动自组织网络安全的双线性对密钥预分配方法，首先设自组织网络节点数为n，在密钥预分配阶段，基站在有限域GF(q)上生成一个n*n的保密矩阵N，其中矩阵元素Nij∈ZP*，1≤i，j≤n，并将第i列元素信息分配给第i个节点保存私有，1≤i≤n；基站为每个一节点i映射G1域上的点Pi，相当于身份密码体制下该节点的公钥，网络其它所有节点可获得此公钥；密钥预分配完成后，可实现节点i和节点j协商配对密钥。本发明提供一种密钥规模小、安全强度大、速度快、效率高、节点抗捕获性能强、密钥连通性好的面向移动自组织网络安全的双线性对密钥预分配方法。

说明书

技术领域

本发明涉及一种面向移动自组织网络安全的密钥预分配方法。

背景技术

在移动Ad Hoc网中，没有单个可信任的节点，不能像传统网络一样，利用PKI系统有效实现网络安全平台。业界已提出多种基于门限密码体制的安全模型，将安全认证服务分布到网络中的多个节点，实现信任分散，由这些节点共同承担CA的认证功能，从而加强系统的安全性。基于门限的安全体制在网络中任选n个节点作为服务节点，持有系统私钥的不同分量。系统私钥按照(n，k)门限密码体制由n个服务节点共有。K个服务节点联合即可实现用户证书的发放和更新等服务。系统可容忍最多k-1个服务节点的破坏，每个服务节点都拥有网络中每个节点的公钥，可以和它们进行安全的通信。为防止服务节点的持续攻破带来的危害，对于服务节点持有的私钥分量采用先应式周期性的更新，使攻击者很难获取同一时段的k个系统私钥分量。如果攻击这获取了不同时段的k个系统私钥分量，也不能恢复系统私钥。

从移动Ad Hoc网络节点中随机选择一些节点作为服务节点并不是最好的方法。基于网络中节点为异质节点的假设，已出现了另一种分布式CA方案。该方案的服务节点是基于节点的特性选择的，物理上相对安全且计算能力强的节点被选作服务节点，并且使服务节点保持较少的数量，使系统具备较高的安全性。系统给出一种有效的通信方式来减少证书更新时的通信开销，从而提高管理机制的可用性。在网络节点相同并且完全对等的假设下，还存在一种完全分布式CA的安全方案，即网络中所有节点都是服务节点，均持有系统私钥分量，一个用户只需联系任意k个节点就能得到证书服务。每个用户入网之前，必须先到离线的可信任机构领取公钥证书和公私钥对，入网后由网络上节点协作生成其应持有的系统私钥分量。为防止攻击者假冒新的合法用户获得系统私钥分量，网上的协作节点只对持有合法证书的用户提供服务，并不对新用户发放证书。如果用户的一跳邻居内由k个节点，则该用户可以通过一跳广播，以很小的通信开销得到证书服务。

完全分布式CA方案尽管在一定程度上提高了系统服务的可用性，但因为每个节点都持有系统私钥分量，显然使系统的安全性降低，且节点获取系统私钥分量的算法需要很大的计算量和通信开销。同时，存在门限k引起的可用性和安全性的权衡问题。基于门限机制的密钥管理方案能提供高的安全性，但认证成功率较低，可扩展性差；基于证书链的密钥管理方案适合自组网的特点，但其安全性仅取决于证书链中节点的信任度，不能满足高安全要求的应用环境。

基于身份的密码体制概念最早由Shamir等人提出，并于2001年Boneh等人利用双线性对映射实现真正实用的基于身份的密码体制。基于身份的密码体制(Identity-Based Cryptography)拥有一个可信任的密钥产生中心(Private Key Generation)，用户可将区别于别人的唯一身份标识映射为自己的公钥，并从PKG得到一个与身份相对应的私钥。因此IBE无需数字证书，大大减少了网络通信量。采用基于身份的安全模型，并结合密钥的分布式生成技术，有很多优点且尤其适应Ad Hoc的网络动态特征。用户不必生成自己的公钥并在网络上传播，极大地减少了入网所需的计算量和通信开销；用户不需要联系PKG节点获得接受方的公钥，而可直接用系统公钥和接受方的身份加密通信消息，极大减少了带宽的占用；系统不需要公钥证书，又可极大减少用户的存储容量和系统通信开销；基于身份密码体制的AdHoc安全方案使用椭圆曲线密码体制，与RSA等其它公钥体制相比，密钥长度短，效率高，具备较好的可用性和扩展性。

由此，基于身份的安全模型是自组网安全通信技术的发展趋势。同时，基于身份的安全认证模型在Ad Hoc网中的研究属于起步研究阶段，面临较多的策略和技术上的挑战。最大的问题在于身份公钥体制是集中式安全方案，安全性依赖于PKG的安全管理，尽管已出现类似分布式CA的分布式PKG方案，但仍然存在密钥如何安全产生、安全分发，以及密钥协商和更新等问题。

综上，经典的密钥预分配方案仍然是当前适合移动自组织网络较实用的安全解决方案。

发明内容

为了克服已有的密钥预分配方法的密钥规模大、效率低、节点抗捕获性能力差、连通性差的不足，本发明提供一种密钥规模小、速度快、效率高、节点抗捕获性能强、密钥连通性好的面向移动自组织网络安全的双线性对密钥预分配方法。

本发明解决其技术问题所采用的技术方案是：

一种面向移动自组织网络安全的双线性对密钥预分配方法，首先设自组织网络节点数为n，在密钥预分配阶段，基站在有限域GF(q)上生成一个n*n的保密矩阵N_ij，其中矩阵元素$N_{\mathrm{ij}}\in Z_P^{*},$1≤i，j≤n，并将第i列元素信息分配给第i个节点保存私有，1≤i≤n；基站为每个一节点i映射G₁域上的点P_i，相当于身份密码体制下该节点的公钥，网络其它所有节点可获得此公钥；

密钥预分配完成后，节点i和节点j协商配对密钥的过程如下：

(1)、节点i根据私有信息N_ji及节点j的公钥P_j和自己的公钥P_i，计算N_ji*P_i，N_ji*P_j，并发送给节点j；

(2)、节点j根据私有信息N_ij及节点i的公钥P_i和自己的公钥P_j，计算N_ij*P_j，N_ij*P_i，并发送给节点i；

(3)、节点i计算密钥K_i1＝e(N_ji*P_i，N_ij*P_j)，K_i2＝e(N_ji*P_j，N_ij*P_i)；若K_i1＝K_i2则节点i通过对j的认证，并记此密钥为K_ij；

(4)、节点j计算密钥K_j1＝e(N_ij*P_j，N_ji*P_i)，K_j2＝e(N_ij*P_i，N_ji*P_j)；若K_j1＝K_j2则节点j通过对i的认证，并记此密钥为K_ji；

(5)、节点i，j协商的密钥即为K_ij＝K_ji＝K。

本发明的技术构思为：双线性对映射基础：

令G₁为椭圆曲线上的加法群，G₂为有限域上的乘法群，均为q阶循环群(q为素数)。双线性对是定义在G₁，G₂上的双线性映射：G₁×G₁→G₂，一个可接受的双线性对应满足以下三条性质：

(1)双线性：$\hat{e}(\mathrm{aP},\mathrm{bQ})=\hat{e}{(P,Q)}^{\mathrm{ab}},$P，Q∈G₁，

(2)非退化性：若P是G₁的生成元，则是G₂的生成元；存在P∈G₁，满足$\hat{e}(P,P)\ne 1.$

(3)可计算性：存在有效的算法，对任一P，Q∈G₁，计算可在多项式时间内完成。

密钥协商的正确性证明：

$K_{i1}=e(N_{\mathrm{ji}}*P_i,N_{\mathrm{ij}}*P_j)={e(P_i,P_j)}^{N_{\mathrm{ji}}*N_{\mathrm{ij}}}$

$K_{i2}=e(N_{\mathrm{ji}}*P_j,N_{\mathrm{ij}}*P_i)={e(P_j,P_i)}^{N_{\mathrm{ji}}*N_{\mathrm{ij}}}=e{(P_i,P_j)}^{N_{\mathrm{ji}}*N_{\mathrm{ij}}}$

$K_{j1}=e(N_{\mathrm{ij}}*P_j,N_{\mathrm{ji}}*P_i)={e(P_j,P_i)}^{N_{\mathrm{ij}}*N_{\mathrm{ji}}}$

$K_{j2}=e(N_{\mathrm{ij}}*P_i,N_{\mathrm{ji}}*P_j)=e{(P_i,P_j)}^{N_{\mathrm{ij}}*N_{\mathrm{ji}}}={e(P_j,P_i)}^{N_{\mathrm{ij}}*N_{\mathrm{ji}}}$

因此，协商密钥K＝K_ij＝K_ji结论成立。

由于私有矩阵N是n*n矩阵，第i个节点预设第i列向量，共有n个私钥N_1i，N_2i，...，N_ni(i＝1，2，...，n)，与网络内其它任意节点j(j≠i)通过双线性对映射可实现密钥的协商，协商的密钥K_ij由且仅由P_i，P_j，N_ij，N_ji四个参数决定，密钥协商的示意图如图1所示。

支持群组密钥的协商算法设法：假设移动自组网络的节点数量为n，用P_i代表节点i。记两个节点集合分别为协商节点集A和未协商节点集NA，令|A|和|NA|分别代表两个集合内的节点数量，令K_A代表由节点集A内所有节点共同协商的节点集密钥。显然，当A＝{P₁，P₂，...，P_n}时，K_A即为最终协商的群组密钥。

(1)初试化集合：A＝Φ，NA＝{P₁，P₂，...，P_n}；

(2)如果A＝Φ，则从NA中随机挑选两个节点P_i，P_j；否则，则从A和NA中各随机挑选节点P_i和P_j；

(3)利用上文提到的节点P_i和节点P_j协商配对密钥过程，协商得到两个节点的密钥K_ij；

(4)如果A＝Φ，将P_i和P_j从集合NA中删除，并加入到集合A中；

(5)如果A≠Φ，节点P_i利用K_A将K_ij加密后发送给A中剩余的|A|-1个节点(具体可采用AES对称加密算法)，将P_j从集合NA中删除，并加入到集合A中；

(6)更新集合A和NA，并更新K_A＝K_ij；

(7)如果NA≠Φ，返回第(2)步，协商算法继续；

(8)如果NA＝Φ，K_A即为群组密钥，协商算法结束。

本发明的有益效果主要表现在：1、加密强度大效率高：案基于椭圆曲线加密的双线性对映射，允许任意两个节点之间协商配对密钥，算法新颖，且与现有RSA公钥技术相比，基于椭圆曲线的双线性映射加密算法具备密钥规模小、节省带宽、实现速度快、效率高等特点；2、节点抗捕获性：即使自组网中的移动节点被捕获，未被捕获的节点私钥仍然安全，且任何两个节点之间的配对密钥都是唯一的，利用被捕获节点私钥无法破获其它任何节点之间的配对密钥；同时，当节点被俘时，任意其它节点间都能成功重建配对密钥，被俘节点不会干扰其它节点间的密钥协商过程；3、密钥完全连通性：的密钥预分配机制使网络中任意两个节点间都能直接协商密钥，即使有移动节点撤离或被捕获，也不影响其它任意节点间配对密钥的协商，使网络具备密钥协商的完全连通性；4、群组密钥的安全随机性：支持任意多个节点间群组密钥的安全协商，且针对同一个群组，每次协商的群组密钥都具有随机性，有效保障了群组密钥的前向安全和后向安全特性。群组密钥协商能适应网络节点数量的动态变化特性，具备良好的扩展性；5、支持无第三方的安全认证：采用双线性对映射算法，具有身份公钥密码体制的特点，支持简单的安全身份认证。同时，密钥预分配方案无需第三方密钥中心PKG的管理，可有效避免密钥产生和管理所需的性能耗费以及密钥安全分发等基本难题。

附图说明

图1是基于双线性对密钥预分配方案中的密钥协商示意图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1，一种面向移动自组织网络安全的双线性对密钥预分配方法，首先设自组织网络节点数为n，在密钥预分配阶段，基站在有限域GF(q)上生成一个n*n的保密矩阵N_ij，其中矩阵元素$N_{\mathrm{ij}}\in Z_P^{*},$1≤i，j≤n，并将第i列元素信息分配给第i个节点保存私有，1≤i≤n；基站为每个一节点i映射G_I域上的点P_i，相当于身份密码体制下该节点的公钥，网络其它所有节点可获得此公钥；

密钥预分配完成后，节点i和节点j协商配对密钥的过程如下：

(1)、节点i根据私有信息N_ji及节点j的公钥P_j和自己的公钥P_i，计算N_ji/P_i，N_ji*P_j，并发送给节点j；

(2)、节点j根据私有信息N_ij及节点i的公钥P_i和自己的公钥P_j，计算N_ij*P_j，N_ij*P_i，并发送给节点i；

(3)、节点i计算密钥K_i1＝e(N_ji*P_i，N_ij*P_j)，K_i2＝e(N_ji*P_j，N_ij*P_i)；若K_i1＝K_i2则节点i通过对j的认证，并记此密钥为K_ij；

(4)、节点j计算密钥K_j1＝e(N_ij*P_j，N_ji*P_i)，K_j2＝e(N_ij*P_i，N_ji*P_j)；若K_j1＝K_j2则节点j通过对i的认证，并记此密钥为K_ji；

(5)、节点i，j协商的密钥即为K_ij＝K_ji＝K。

下面以n＝4为例，给出本密钥预分配方案的一个实施过程说明：

基站选定一个大素数q，以及q阶有限域GF(q)上的一条安全椭圆曲线G₁，四个节点的公钥P₁，P₂，P₃，P₄分别是G₁上的4个点，且将所有公钥分发给每个节点。基站再在有限域GF(q)上随机产生16个值组成一个4*4的矩阵N，其中将N₁₁，N₂₁，N₃₁，N₄₁预分配给节点1，将N₁₂，N₂₂，N₃₂，N₄₂预分配给节点2，将N₁₃，N₂₃，N₃₃，N₄₃预分配给节点3，将N₁₄，N₂₄，N₃₄，N₄₄预分配给节点4。至此，密钥预分配完成。节点间可进行安全认证和密钥协商，且支持群组密钥的协商，过程举例如下。

节点1和节点2实现如下带有安全认证的密钥协商：

(1)节点1计算椭圆曲线上的点乘N₁₁*P₁，N₁₁*P₂，并将上述计算得到的两个点发给节点2；

(2)节点2计算椭圆曲线上的点乘N₁₂*P₂，N₁₂*P₁，并将上述计算得到的两个点发给节点1；

(3)节点1计算双线性对映射e(N₁₁*P₁，N₁₂*P₂)＝K₁₁，e(N₁₁*P₂，N₁₂*P₁)＝K₁₂；若K₁₁＝K₁₂，节点2通过节点1的认证，节点1将K₁₁作为协商的配对密钥；

(4)节点2计算双线性对映射e(N₁₂*P₂，N₁₁*P₁)＝K₂₁，e(N₁₂*P₁，N₁₁*P₂)＝K₂₂；若K₂₁＝K₂₂，节点1通过节点2的认证，节点2将K₂₁作为协商的配对密钥。节点1和节点2之间的密钥协商完成。

下面以此为例，再说明群组密钥的协商过程。

算法第一轮：

(1)令A＝Φ，NA＝{P₁，P₂，P₃，P₄}；

(2)鉴于移动自组网的节点移动特性，假设节点1和节点2相互连同，因此首先被选中并执行前面介绍的密钥协商，并得到协商密钥为K₁₂。

(3)更新A＝{P₁，P₂}，NA＝{P₃，P₄}，K_A＝K₁₂。

算法第二轮：

(1)从A中随机选择P₁，NA中随机选择P₃，两个节点执行密钥协商，得到协商密钥记为K₁₃；

(2)节点1将K₁₃用K_A加密后安全发送给节点2，节点2利用K_A解密得到K₁₃；

(3)更新A＝{P₁，P₂，K₃}，NA＝{P₄}，K_A＝K₁₃

算法第三轮：

(1)从A中随机选择P₂，NA中选择P₄，两个节点执行密钥协商，得到协商密钥记为K₂₄；

(2)节点2将K₂₄用K_A加密后安全发送给节点1和节点3，节点1和节点3分别利用K_A解密得到K₂₄；

(3)更新A＝{P₁，P₂，P₃，P₄}，NA＝Φ，K_A＝K₂₄。

至此，拥有4个移动节点的群组密钥协商完毕，即为K_A＝K₂₄。