一种无线传感器网络密钥管理安全加强方案*

万舒亚，谢淑翠

（1.西安邮电大学 通信与信息工程学院，陕西 西安 710061；2.西安邮电大学 理学院，陕西 西安 710121）

无线传感器网络 WSN （Wireless Sensor Network）传输的是无线电波，只要将设备调至同一频率，敌方就能容易地获取无线电信息；另外，传感器节点通常分布在无人看管的恶劣环境中，极易受到捕获，网络拓扑结构动态变化；同时，传感器节点处理能力、存储能力和通信能力相对较弱，且通过小容量电池供电，因此要尽量减少节点的内存占用及会话开销以延长网络寿命。基于WSN以上特点，理想的密钥管理方案要求能保证网络保密性，尽量降低节点开销，具有良好的可扩展性及抗捕获性。

目前，针对无线传感器网络提出的密钥管理机制主要有以下几种方案。（1）预置全局密钥，即所有节点共享同一个密钥，这种方案最简单，使用代价小，但安全性差。（2）预置节点对密钥[1]，即网络中每一对节点间共享一个不同的密钥，随着网络规模的扩大全网密钥总量将快速上升，且为新插入的节点分配共享密钥困难。（3）随机密钥预分配[2-5]，每个节点的通信代价与网络规模无关，但密钥存储量将随网络规模增大而线性增加。（4）基于密钥分发中心（KDC）的密钥分配，基站作为 KDC，每个节点与基站间共享一个不同的密钥，其他节点间的密钥基于基站建立。通信量较大，适用于小规模网络，一旦KDC受到威胁，整个网络的安全性将崩溃。（5）公钥密码体制，一般将消耗较多的计算量、存储空间和能量，实用性差。结合这些方案的特点，一些学者提出了混合密钥管理方案[6-10]。公钥加密方式公认是最安全的加密方式，而对称加密资源占用少、加密速度快，故结合这两者的优点提出的管理方案既能满足无线传感器网络的安全性，又解决了公钥密码体制开销大的问题。参考文献[6]提出的密钥管理方案，使用无人机（UAV）分配密钥，减少了节点对基站的依赖。允许节点间自行更新会话对密钥，从而降低非对称密钥更新周期，降低网络开销，同时延长网络寿命。但是，此方案在消息传输过程中仅使用对称密钥进行加密，容易受到消息伪造、篡改以及重放攻击。本文针对此方案的这些特点，引入了时间门限，能够快速有效地判断节点是否受到消息伪造攻击；加入能量标识能够快速检测出节点是否为网络中的有效节点；消息完整性校验可以判断出消息是否遭受篡改；而新鲜数RNX能有效防止重放攻击。

1 方案设计

虽然对称密码体制可以在一定程度上解决保密通信问题，但随着计算机和网络技术的发展，保密通信的需求越来越广泛，对称密码体制的局限性逐渐明显。首先，密钥存储量太大不易管理；其次不能支持陌生人间的通信；再次，难以从机制上提供数字签名，也就不能实现通信中的抗抵赖需求。在公钥加密体制中，密钥对是不对称的，公钥基于公开的渠道就可以实现分发，十分方便。而且对于支持数字签名的公钥密码体制，用两个密钥中任何一个密钥加密的内容，都可以用对应的另一个密钥解密，这就解决了对称密码体制中的密钥管理、分发和数字签名难题。由于传感器节点计算和能量限制，大部分的研究者并不倾向于使用公钥加密。研究表明，公钥加密适用于无线传感器网络，而且ECC表现比RSA更有优势[11]。ECC的魅力在于可以用较小的密钥提供和RSA相同水平的密钥保护，对比如表1表示，而且ECC比RSA的效率更高。虽然公钥加密比对称加密消耗更多的能量，但是通过这种机制，所有无线传感器网络中广播的信息都可以被认证。因而，虚假信息可以被有效过滤，而且可以在不必要的时候不调用它们以减少功耗。

表1 等价强度的非对称密钥尺寸比较

本方案延用参考文献[5]中采用ECC方式为节点提供认证及安全性，采用RC4算法以提高通信速度[12]，并在原方案的基础上加入时间门限、能量标识及消息完整性校验，进一步保证通信安全性。

1.1 节点密钥分配准备阶段

节点在入网前，分配唯一标识号ID、节点私钥和无人机中移动认证中心MCA （Mobile Certification Authority）的公钥PubMCA并在节点中存储门限时间和能量标识，时间门限TS设置为节点正常通信所用最大时间值，能量标识E值为当前节点能量。无人机存储传感器节点的ID及其公钥。

1.2 节点会话密钥建立阶段

节点部署后，若两个邻节点想要安全通信，首先需知道对方的ID。得到邻节点的ID后，传感器节点执行图1所示的密钥分配和加密模型中的步骤。

图1 无线传感器节点的密钥分配和加密模型

模型的组成和操作如下。

（1）节点A和B是无线传感器网络中的两个传感器会话节点；

（2）MCA是位于 UAV中的移动节点，它被用作分布式密钥中心；

（3）KAB是节点A和B之间的会话对密钥；

（4）{M}PubA意为用节点A的公钥加密消息M；

（5）RNX为通信节点产生的随机数；

（6）E为通信节点当前能量值。

操作步骤如下。

（1）网络中的节点（如节点 A）对它的邻节点（如节点B）广播一则包含其ID的信息。

（2）接收到A的ID后，邻节点B向MCA发送用PubMCA加密的节点IDA、IDB及新鲜数RN2的请求信息。

（3）MCA收到 B的请求信息后，向 B发送用 PubB加密的A的公钥PubA和新鲜数RN2（确保发送者是MCA）。

（4）节点B用节点A的公钥加密包含B的ID和一个随机数（RN3）以及当前节点能量的消息，这个随机数用来认证会话并防止会话遭受重放攻击。

（5）节点A解密收到的消息，得到邻节点的 ID和随机数。然后，选取一个密钥KAB和节点A的能量值EA及RN3一起用PubB（确保A应答的对象是B）加密后返回。

通过上面的过程，所有的通信双方都进行了认证，而且双方节点间还设置了一对密钥以保证通信安全。因此，所有这些节点之间传输的数据可以在有窃听者窃听节点之间的无线电通信和尝试注入或修改网络中的数据包的情况下提供认证和保护。这种加密提供了令人满意的安全性。

1.3 消息传输阶段

节点会话密钥建立后，节点间就可以进行通信了。节点通信流程如图2所示。

具体步骤如下。

（1）会话发起方如节点A将当前消息M及用M和RN3生成的哈希函数一起用KAB加密后和当前能量值发送给节点B（如图2中最后一步）。

图2 簇内节点通信流程图

（2）节点B收到加密消息后首先判断A节点能量是否正常，异常则通知簇头并删除此节点，正常则再判断通信时间是否超过时间门限，若有异常则上报簇头对节点进行认证。如果都正常，则解密消息，然后对得到的消息进行完整性校验，如不一致也上报簇头对该节点进行身份验证，一致后认为消息是正确的。

通过上面的过程，虽然通话使用的加密方式简单，但是有时间门限及能量标识，可以有效防止消息伪造及篡改攻击；而消息完整性校验还可以防止消息重放攻击；三者结合可以完美地保证节点会话消息的快速、安全传输。对异常节点进行身份验证而不是直接舍弃增加了网络的容错性，若节点通过认证后则直接更新节点密钥。

1.4 密钥更新阶段

本方案支持两种密钥更新：一种是节点会话密钥的更新，这种密钥更新周期比较短，密钥更新时不需要MCA的参与，只要已建立密钥的正常节点自己协商更新即可；一种是异常节点密钥的更新，这种密钥更新针对通信中出现异常的节点，在异常节点通过认证后由簇头给它的邻节点发送密钥更新消息，然后异常节点及它的邻节点重新进行节点会话密钥建立阶段的步骤即可。若异常节点未通过认证，簇头通知簇内节点终止与其通信并更新所有簇内节点密钥。

这种密钥更新方案，在保证安全通信的前提下，尽可能地减少了密钥更新的消耗，进而延长了网络寿命，增加网络生存性。

2 性能评估

2.1 安全性

节点会话密钥建立阶段使用的是椭圆曲线加密体制，即使敌手窃听到了传输消息，由于没有节点私钥，由表1可知，要破解是困难的，故会话密钥建立阶段是安全的；在通信阶段，使用RC4加密，但是其加解密速度都非常快，当会话消息被窃听后，若敌方试图伪造或篡改消息，必定会超过时间门限，很容易被发现；另外，由于加密消息中随机数的存在，每次的随机数都不同，防止了敌方进行重放攻击；假设节点被敌手物理捕获，并试图安放伪造节点，则节点能量信息可能不对，此时节点可有效过滤绝大部分伪造节点。原方案与本方案安全性对比如表2所示。

表2 原方案与本方案安全性对比

2.2 抗捕获能力

预置全网共享密钥方案，网络中只要有一个节点被捕获，则整个网络密钥泄露，网络瘫痪；预置节点对密钥[1]，一个节点被捕获，其邻节点密钥泄露；随机密钥预分配方案[2，3]，一个节点被捕获，节点中所存储其他密钥泄露，随着被捕获节点增多，整个网络被攻破；基于对称多项式方案对密钥分配方案[4]，当网络中被捕获的节点数不大于二元对称多项式的次数时，网络中其他节点是安全的，但是一旦超过t个节点，网络中的节点密钥将泄露；混合密钥管理方案[6]中节点被捕获后，仅泄露邻节点与此节点当前的共享密钥；而本方案由于加强安全措施，能及时发现节点异常并执行节点密钥更新方案，更新簇中其他节点的密钥，故不会对除被捕获节点外的其他节点造成影响，比混合密钥管理方案的抗捕获能力更强。

2.3 节点能量消耗

节点会话过程中，假设节点正常通信的概率为Pn，节点正常通信所需能量为En；假设节点遭受伪造、篡改、重放攻击的概率相等，即都为（1-Pn）/3，通信所需能量分别为Ef、Ec和Er；假设节点判断是否超时及能量异常所需能量为Ej，解密后进行哈希运算所需能量为Eh。则原方案节点通信所需平均能量为 E=Pn·En+（1-Pn）/3（Ef+Ec+Er），其中Ef≈Ec≈Er≈En，所以，≈En。 本方案节点通信所需平均能量为=Pn（En+Ej+Eh）+（1-Pn）（En+Eh）/3，其中，Ej＜＜Eh＜En，Ej可忽略 不计 ，故=Pn（En+Eh）+（1-Pn）（En+Eh）/3，而 假 设 Eh=0.01En（事 实 上 ）[4]，图 3为原方案与本方案能量对比。

由图3可知，由于本方案有门限，能很快判断出节点异常，无需对消息进行解密，因而本方案比原方案节省了通信能量开销。只在大于0.995时，节点能量开销比原方案略大，且本方案在越恶劣的环境中表现出的性能越优越。

在无线传感器网络中使用混合密钥管理，可以让不同加密方法优势互补。网络连通率、节点抗捕获能力较密钥预分配方案都有很好的提高；随着网络规模的扩大，节点密钥存储量比密钥预分配方案大规模减少，在内存占用和消耗上也有很大优势。通过简单的门限，能有效防止节点遭受消息伪造、篡改、重放及传感器节点伪造攻击，进而节省开销，延长网络寿命。同时，本方案降低了对簇头和基站的依赖，更适合分布在恶劣的环境中。但是此方案也有不足之处，当大量节点被捕获或者大面积网络中断时，需要认证的节点将会很多，此时节点认证消耗比较大。

图3 原方案与本方案能量对比

[1]PENRIG A， SONG D， TYGAR D E.A new protocol for efficient large-group key distribution[C].Security and Privacy Proceedings， 2001：247-262.

[2]ESCHENAUER L，GLIGOR V D.A key-management scheme for distributed sensor Networks[C].Proceedings of the 9thACM Conferenceon ComputerandCommunications Security， Wireless Communications， IEEE Transations on ACM，2008：41-47.

[3]CHAN H， PERRIG A， SONG D.Random key predistribution schemes for sensor networks[C].Security and Privacy Proceedings， 2003： 197-213.

[4]LIU D，NING P.Location-based pairwise key establishments for static sensor networks[C].Proceedings of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks， ACM， 2003：72-82.

[5]袁猷南.无线传感器网络对密钥分配算法研究[D].浙江：杭州电子科技大学，2012

[6]SAHINGOZ O K.Large scale wireless sensor networks with multi-level dynamic key management scheme[J].Journal of Systems Architecture， 2013：1-7.

[7]闫培玲.基于簇结构的WSN混合密钥管理方案的研究[D].开封：河南大学，2010.

[8]李兰英，胡磊，姜秀丽.分簇无线传感器网络的动态混合密钥管理策略[J].计算机应用研究，2009，26（3）：1112-1116.

[9]SONG Y，ZHANG Y.A mixed key management scheme of clustering wireless sensor network[C].Computer Application and System Modeling （ICCASM），2010（7）： 198-201.

[10]刘梦君，刘树波，刘泓晖，等.异构无线传感器网络动态混合密钥管理方案研究[J].山东大学学报（理学版），2012，47（11）：67-73.

[11]WANDER A S， GURA N， EBERLE H， et al.Energy analysisofpublic-key cryptography forwirelesssensor networks[C].Pervasive Computing and Communications，PerCom，2005：324-328.

[12]PRASITHSANGAREE P，KRISHNAMURTHY P.Analysis of energy consumption of RC4 And AES algorithms in wireless LANs[C].Global Telecommunications Conference，GLOBECOM′03， 2003： 1445-1449.

[13]GUO M H， DENG D J.Centralised conferencekey mechanism with elliptic curve cryptography and lagrange interpolation for sensor networks[J].IET Communications，2011， 5（12）： 1727-1731.

[14]ALTHOBAITI O S，ABOALSAMH H A.An enhanced elliptic curve cryptography for Biometric[C].Computing and Convergence Technology， 2012：1048-1055.

[15]YU Q， ZHANG C N， HUANG X.An RC4-based hash function for ultra-low power devices[C].Computer Engineering and Technology （ICCET），2010（1）： 323-328.

[16]NICHOLS R K，LEKKAS P C.无线安全：模型、威胁和解决方案[M].姚兰，惠俊红，郑家玲，等，译.北京：人民邮电出版社，2004.