基于三节点的组密钥生成方案①
周赵斌1,2, 林如姗1,2,3, 许 力1,2
1(福建师范大学 数学与信息学院, 福州 350117)
2
(福建省网络安全与密码技术重点实验室, 福州 350007)3
(福建电力职业技术学院, 泉州 362008)
通讯作者: 周赵斌摘 要: 设计安全的组密钥方案以保障无线网络中各节点之间的安全通信, 是无线网络面临的一个巨大挑战. 为了解决这个问题, 文章提出了一种基于三节点的组密钥生成方案. 该方案首先选择一个受信任的系统授权机构为网络中的用户节点进行分组, 然后节点用户利用物理层无线信道特征提取短密钥, 并交换使用Schnorr 签名后的信息,最后每个用户节点都对自己的邻居节点进行身份验证. 若验证成功, 则为网络中的节点建立一个组密钥. 仿真结果表明, 该方案的组密钥率与信噪比之间呈正相关, 且组密钥率不随节点个数的增加而下降, 具有很好的无线网络适应性.
关键词: 无线网络; 组密钥; 数字签名; 信噪比; 信道特征
引用格式: 周赵斌,林如姗,许力.基于三节点的组密钥生成方案.计算机系统应用,2021,30(6):134–140. www.c-s-a/1003-3254/7938.html
Group Secret Key Extraction Scheme Bad on Three Nodes
ZHOU Zhao-Bin 1,2, LIN Ru-Shan 1,2,3, XU Li 1,2
1(College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China)2
(Fujian Provincial Key Laboratory of Network Security and Cryptology, Fuzhou 350007, China)3
(Fujian Electric Vocational and Technical College, Quanzhou 362008, China)
Abstract : Designing a group cret key scheme to cure communication between nodes reprents a huge challenge to wireless networks. To address this issue, we propo a group key extraction scheme bad on three nodes. In this scheme,we first lect a trusted authorization system to group the ur nodes in the network. Then we extract the short key with the wireless channel characteristics of the physical layer and exchange the information signed by Schnorr. Finally, we make each ur node authenticate its neighboring nodes. If the authentication is pasd, a group key is established for the nodes in the network. The simulation results reveal a positive correlation between the group key rate and the signal-to-noi ratio, and the group key rate does not decrea with the increa in the number of nodes. It proves this scheme is applicable to wireless networks.
Key words : wireless network; group cret key; digital signature; signal to noi ratio; channel characteristics
鉴于传统无线网络固有的安全威胁, 要保障网络的正常运行, 安全通信是至关重要的基础和前提. 现有的机制通常是采用加密以及认证技术来保证安全. 传统的密钥建立机制都是基于共享密钥或公共密钥[1], 但
是这些方法通常要涉及到密钥的管理、分发、更新以及维护, 当网络内的用户节点个数不断增加时, 密钥的管理难度也会极大增加. 为了解决以上问题, 近年来,利用物理层安全来增强无线网络安全的研究受到了广
计算机系统应用 ISSN 1003-3254, CODEN CSAOBN
E-mail: Computer Systems & Applications,2021,30(6):134−140 [doi: 10.15888/jki.csa.007938]www.c-s-a ©中国科学院软件研究所版权所有.
Tel: +86-10-62661041
① 基金项目: 国家自然科学基金(61771140); 企事业合作项目(DH-1412, DH-1565)
Foundation item: National Natural Science Foundation of China (61771140); Enterpri and Institution Cooperation Project (DH-1412, DH-1565)收稿时间: 2020-10-06; 修改时间: 2020-11-02; 采用时间: 2020-11-09; csa 在线出版时间: 2021-06-01
134
泛的关注. 物理层密钥生成机制是从无线信道特征中提取密钥, 通信双方可以在不借助于公钥基础设施或者是共享密钥的情况下进行密钥协商.
在物理层密钥提取中所利用的信道特征可以是接收信号强度 (Received Signal Strength, RSS)[2–4], 信道状态信息(Channel State Information, CSI)[5,6], 或信道相位[7,8]. 因为RSS在无线信道中更容易被提取, 所以基于RSS密钥生成机制的研究更为广泛. 虽然基于物理层无线信道特征的密钥生成方案在两个用户之间易于实现, 但在实际应用中, 由于一对用户节点之间提取的信道测量值无法安全有效地传递到其他用户, 换句话说, 在多个用户节点上累积信道测量值用于生成组密钥仍是一个很大的挑战. Liu等[9]首先针对星型拓扑结构, 提出了一个高效的组密钥生成方案. 然后进一步考虑到网络中两个用户节点之间不一定在彼此的通信范围, 节点间的通信需要依靠其他节点进行转发, 因此Liu等从逻辑上构造了一种链式拓扑结构, 并针对链式拓扑结构利用差分思想提取组密钥. 文献[10]对文献[9]做了补充, 并从理论上分析了方案可达的组密钥率. Thai 等[11]将网络中的一个节点通过一条重要信道与其他节点相互链接, 每个节点广播具有优化系数的不同信道特征值的加权组合, 优化的系数可以帮助重新平衡来自不同节点的接收信号强度以增强组密钥生成方案的性能. Tunaru等[12]研究了脉冲无线电-超宽带多径信道的密钥协议, 提出一种新的组密钥生成方案, 利用全网状拓扑中所有可用物理链路, 使接收信号节点可以访问与其非相邻链路相对应的不可观察信道, 同时还减少了网络流量, 但是该方案没有分析广播时可能泄漏给窃听者的信息量. Xu等[13]针对不同的无线拓扑, 提出一种新的低复杂度密钥生成策略, 该策略将成熟的点对点密钥生成技术与多段方案进行巧妙的组合. 首先, 通过近似算法将非凸时间分配最大-最小问题重新表述为一系列几何规划, 然后提出一种迭代算法在训练阶段解决时间分配问题, 最大程度提高了组密钥率.章红艳等[14]利用超立方体对无线传感器网络节点进行编码的思路, 实现了节点对密钥的建立, 使无线传感器网络具有较强的抗毁性.
本文提出了一种适用于网状拓扑的无线网络中基于三节点的组密钥生成方案.
1 系统模型
图1代表的是一个密钥生成模型, 其中Alice、Bob
h ab h ba h ea h eb 代表合法通信双方, 而Eve表示窃听者. , , ,
日向葵分别表示各自信道的信道增益, λ表示波长, 也就是说Eve距离合法通信双方Alice和Bob至少半波长远.
Alice Bob
Eve
>λ/2>λ/2
h
ab
h
ba
h ea h
eb
图1 系统模型
我们假设Eve可以窃听通信双方, 即Alice和Bob 之间的通信信号. 由于无线信道采用的是半双工通信方式, 用户在进行通信时不能同时发送和接收消息, 因此Bob必须在接收到Alice发送来的消息后才能返回一个消息给Alice, 反之亦然. 我们用表示Alice和Bob 之间无线信道的信道增益, 则通信双方接收信号可以表示为:
r a(t)r b(t)
s(t)n a(t)n b(t)
其中, , 分别表示Alice和Bob接收到的信号;
表示发送的探测信号; , 分别代表Alice和Bob在接收到信号时刻周围的环境噪声. 通过测量Alice和Bob分别得到各自的接收信号, 然后双方利用接收信号可以通过式(3)、式
(4)计算各自的信道估计值:
h(t)z a(t)z b(t)
n a n b
ˆh
ab(t1)
ˆh
ba(t2)
t1 t2
ˆh
ab(t1)
ˆh
ba(t2)
t1t2
ˆh
部落冲突8本阵型
ab(t1)
ˆh
ba(t2)|t1−t2|<τˆh
ab(t1)≈
ˆh
ba(t2)
其中, 通过式(1), (2)可以计算得到; , 分别代表, 经过函数处理后的噪声项. 根据式(3)和(4), Alice和Bob分别可以推导出和. 事实上,由于半双工通信导致, 再加上周围环境噪声的影响, 所以和并不完全相等. 但是根据无线信道短时互易性[15], 只要和之间的差小于相干时间,则和之间是高度相关的, 即如果,则.
如图2所示, 考虑网络中3个用户节点的情况, 其中节点1和3不在彼此的通信范围内, 这意味着节点1和节点3只能通过节点2进行通信.
2021 年 第 30 卷 第 6 期www.c-s-a计算机系统应用
135
s (t)12口语考试万能句子
31
2
31
23
1日常丰胸小技巧
23
h 12
h 23
h 12+h 23
h 12+h 23
h 12+h 23
h 12
h 12, h 23
阶段1
阶段2
阶段3阶段4
图2 三节点通信过程
我们将通信过程分为4个阶段:
阶段1: 节点2广播信号, 节点1和3收到信号后提取到各自的信道估计值:
分享的意义
ϕi ,j 其中, 表示节点j 在第i 阶段结束后提取到的信道估计值.
h 12(t )ϕ2,2=h 12(t )阶段2: 节点2收到节点1回复的信号, 提取信道的估计值, 令.
h 23(t )ϕ3,2=h 23(t )阶段3: 与阶段2相类似, 节点2收到节点3的回复信号并提取信道的估计值, 令.
h 12(t )h 23(t )h 12(t )+h 23(t )h 12(t )∗(h 12(t )+h 23(t ))h 23(t )∗
(h 12(t )+h 23(t ))ϕ4,1=h 12(t )∗h 23(t )ϕ4,3=h 12(t )∗h 23(t )阶段4: 经过以上阶段后, 节点2获得和
. 节点2广播, 则节点1和节点3根据
本地的信息可以分别得到和, 最终两个节点可以分别得到和.
h 12(t )h 23(t )h 12(t )∗h 23(t )同时, 由于节点2同时具有和, 所以它也可以计算得到.
2 组密钥生成协议
本文的组密钥生成协议包含4个阶段:
(1)初始化阶段. 在此阶段, 受信任的系统授权机构将为网络中的用户节点进行分组, 组内节点从逻辑上形成一个环路. 同时, 受信任的系统授权机构进行一 次初始化的操作, 还将生成密钥建立协议中所需的一些参数.
(2)密钥提取阶段. 在此阶段用户利用物理层无线信道特征提取短密钥.
李易峰图片(3)信息交换阶段. 在此阶段用户节点广播一些信息, 并记录所交换的信息.
(4)组密钥建立阶段. 在此阶段, 每个用户节点都
对自己的邻居节点进行身份验证, 验证成功后这些节点可以建立一个组密钥.
2.1 初始化
ID i ∏
v ∈∏
v 1,v 2,···,v n v n +1=v 1v 0=v n 在此阶段, 受信任的系统授权机构将为网络中的用户节点进行分组, 组内节点从逻辑上形成一个环路,并为逻辑环上每个节点分配一个身份标识. 我们用表示组内所有用户的集合, 并假设每个用户节点. 在提取密钥之前, 组内n 个合法用户形成一个逻辑环, 记为. 由于所有用户在逻辑上形成一个环路, 因此, .
数字签名作为保障网络信息安全的手段之一, 在包括身份认证、数据完整性验证以及不可否认性等信息安全领域发挥着重要的作用. 因本文考虑的网络环境为无线网络, 故节点的能耗和存储代价是需要考虑在内的. Schnorr 签名[16]因以其计算量小和速度快著称, 且安全性基于某些离散对数问题的难处理性, 故被广泛应用到网络安全等领域. 因为它所具备的显著优点, 所以本文选择Schnorr 签名技术对交换的信息进行签名, 以防止数据被篡改.
2.2 密钥提取
<v i −1,v i >,<v i ,v i +1>i =1,2,···,n λ/2k i −1,i k i ,i +1在此阶段, 用户在物理层提取密钥. 环中每个用户都有两个邻居节点, 分别构成节点对,
, 其中两个邻居节点之间的距离要小于. 根据系统模型, 每个节点分别与其相邻节点利用
物理层无线信道特征提取短密钥, 则每个用户都会获得
和, 如图3所示.
图3 提取短对密钥
v 1然后, 将环上相邻的3个节点设为一小分组, 生成3个节点之间的共享密钥. 如图4所示, 我们以节点,
计算机系统应用
www.c-s-a
2021 年 第 30 卷 第 6 期
136
v 2v 3h 12(t )∗
h 23(t )k i 和为例, 3个节点根据系统模型中所描述的方式反复发送探测信号后收集到足够的信道估计值, 利用文献[4]所提的密钥生成方案将提取到的
信道估计值进行量化编码以及协商之后生成3个节点之间的密钥. 以此类推, 最后逻辑环上的每个节点都分别得到如图4所示的3个共享密钥, 其中表示以第i 个节点为中心所生成的共享密钥.
v 1
k 2
k 2
k 2
v 2
v 6
v 5
v 3
v 4
图4 建立三节点共享密钥
2.3 信息交换
v i 用户计算:
v i m i =
<v i ,v i −1,V i −1i ;v i ,v i +1,V i +1i ;X i >m 1,m 2,···,m n 然后, 节点在公共控制信道上广播消息: , 经过信息交换后, 每个
节点都会获得所有的广播消息.
2.4 组密钥建立
v i 接收到所有广播消息之后, 每个节点要完成两件事:
v i −1v i +1v i m i −1m i +1v i k i V i −1i V i +1i v 2v 2m 1m 3V 21=k 2(H (k 1,2)⊕ID 1)V 23=k 2(H (k 2,3)⊕ID 3
)k 2H (k 1,2)⊕ID 1,H (k 2,3)⊕ID 3(1)验证邻居节点和. 首先, 节点需要验证消息和是否来自邻居节点, 然后利用本地保存的密钥解密和. 以节点为例, 通过验证消
息和, 分别可以提取到信息: 和, 然后通过本地保存的密钥解密两个信息, 并将本地计算得到的与解密后的信息进行对比, 一致则认为验
证成功.
X 1⊕X 2⊕···⊕X n (2)检查是否等于0. 以上两个验证只要有一个不通过, 则组密钥建立协议终止.
v i (3)计算组内所有密钥. 节点可以计算密钥, 此时分为3种情况:
j =0K i =H (k i ,i +1)① 当时, ;
j =1,2,···,n −2K (i +j )mod n =H (k i ,i +1)⊕
X (i +1)
mod n ⊕···⊕X (i +j )mod n ② 当时, ;
(i +
j )mod n =0K n =K 0=H (k i ,i +1)⊕
X i +1⊕
···⊕X n ③ 当时, .
v 2v 2为了方便理解, 我们以组内节点个数为6, 节点
为例, 可计算得到:
v i K g =K 1·K 2·····K n (4)计算最终的组密钥. 经过以上步骤后, 逻辑环上的每个节点都获得组内所有的密钥, 然后节点计算最终的组密钥. 最终, 组内用户成功建立共享组密钥.
3 性能分析
3.1 可实现的组密钥率
由上述组密钥率生成方案可知, 最终生成的组密钥与逻辑环路上两两相邻的节点的共享对密钥有关,所以可实现的最大组密钥率与相邻两个节点之间的信道观察互信息[17]:
R i ,i +1
i i +1σ2Y σ2i σ2i +1i i +1σ2σ2=σ2i =σ2i +1γm =2σ2/σ
2表示节点与之间的信道观察互信息;
表示信道观察信息的实际信道增益方差; , 分
别表示节点和的噪声方差, 我们假设噪声对于网络中所有的节点来说都是独立同分布, 并服从均值
为0, 方差为的高斯分布, 则. 将[15], 代入式(5)可知本方案的组密钥率为:3.2 安全性分析
在密钥提取阶段, 合法通信方根据收集到的信道增益在本地生成密钥. 根据通信原理[18]可知, 当攻击者
2021 年 第 30 卷 第 6 期
www.c-s-a
计算机系统应用
137连锁美容院排行
音箱电流声距离通信方超过半波长远时, 攻击者无法根据观察到的信道增益推测出合法通信方所生成的密钥, 所以该阶段生成的密钥其安全性是可靠的.
在密钥交换阶段, 我们首先Schnorr 签名技术对交换的信息进行签名, 以防止数据被篡改. 其次, 组内节点在公共信道上传递经过处理后的消息. 该阶段存在以下几种情况:
m i v i m i m i (1)消息遭到篡改: 当节点收到消息后, 首先利用保存的密钥解密该消息, 然后将本地计算得到的信息与解密后的信息进行对比, 如果二者不一致说明消息已被篡改, 密钥生成协议终止, 从而保证了本方案的安全性.
X 1,X 2,···,X n X 1⊕X 2⊕···⊕X n X 1⊕X 2⊕···⊕X n =0X 1⊕X 2⊕···⊕X n 0(2)当遭到篡改或在传输过程中数据发生错误, 我们的方案通过验证是否等于0, 可以知道数据是否有误. 时, 说明数据无误, 可以继续进行下一阶段. 相反, 若
, 则说明其中某一个或多个数据发
生错误, 应当终止密钥生成, 这同样也保证了本方案的可靠性和安全性.
(3)假设攻击者收集到公共信道上合法通信方所传递的所有消息, 由于在密钥提取阶段攻击者无法获取合法用户本地生成的密钥, 因此不能根据收集到的信息来计算得到最终的组密钥, 因此本文的组密钥生成方案是安全的.
3.3 方案对比
f d =10Hz f
g =40Hz 本文通过Matlab 仿真模拟无线环境, 采用瑞利信道模型模拟无线信道[19], 设多普勒频移, 采样速率为, 载波信号频率为2.4 GHz, 并为组内每个节点端加入噪声[17], 使信噪比在0 dB~30 dB 变化.实验设备及仿真软件为: MacBook Air (处理器: 1.8 GHz Intel Core i5, 内存: 4 GB, 操作系统: macOS Mojave 10.14.6)、Matlab_R2014b.
组密钥率是影响密钥建立效率的性能指标, 根据式(6)可以看出, 本章所提方案的组密钥率随着信噪比的变化而变化. 由于我们方案的组密钥率只与信噪比有关, 而与组内节点个数无关, 因此我们设置观察不同信噪比下组密钥率的变化. 我们在信噪比0~30 dB 之间每隔5 dB 分别计算本方案理论上可达的组密钥率在表1不同信噪比参数设置下本方案理论上可达的组密钥率, 具体如表1所示. 同时, 在表1中还给出了与之相对应情况下文献[10]星型拓扑结构和链式拓扑结
γm =10dB γm =30dB 构下组密钥率, 将其与我们的方案进行对比. 从表1中可以看出, 当信噪比为时, 实现的组密钥率为2.5265 bits/sample. 随着信噪比的增大, 组密钥率也开始呈逐步上升趋势, 当时, 可达的组密钥率增加至8.9679 bits/sample. 通过以上分析可知, 本方案的组密钥率与信噪比之间呈正相关, 这是由于高信噪比会降低提取信道估计值时的模糊性, 进一步提高了组密钥的一致性, 从而提高了组密钥率.
表1 不同信噪比(γm )下的组密钥率变化情况
节点数变化组密钥率(bits/sample)信噪比γm (dB)
γm =5
γm =10γm =15γm =20γm =25γm =30
本方案 1.2420 2.5265 4.0501 5.66547.31178.9679文献[10]_star n =30.7507 1.7574 3.1347 4.6935 6.32077.9708n =50.4237 1.1312 2.2902 3.7482 5.3386 6.9766n =70.29580.8429 1.8457 3.2160 4.7714 6.3973文献[10]_chain
n =30.05500.4037 1.3029 2.6423 4.1897 5.8133n =50.00250.06840.4708 1.4334 2.8084 4.3697n =7
0.00010.01160.17230.8033 1.9690 3.4435
γm =20dB 同时, 观察表1的任意一列, 例如当时,本方案的组密钥率为5.6654 bits/sample, 而文献[10]星型拓扑结构以及链式拓扑结构在节点个数为3的情况下组密钥率分别是4.6935 bits/sample, 2.6423 bits/sample.并且, 随着组内节点个数的增多, 两个方案可达的组密钥率逐渐下降. 我们可以发现, 在信噪比相同的任意情况下, 本方案的组密钥率是远大于文献[10]所提方案的.
n =2此外, 图5表明, 当组内仅有两个用户节点时, 即
, 本方案的组密钥率与文献[10]在星型拓扑结构
下所提方案的组密钥率相等. 这是由于当组内仅有两个节点时, 代表只需在双方节点之间生成对密钥, 这种情况下无需在网络中广播信道信息, 因此窃听者在整个密钥提取过程中很难窃听到额外的任何信
息, 这就与本方案的想法相一致, 故两个方案之间的组密钥率相等.
但是, 观察图6可知, 当组内节点个数大于2时,本方案的组密钥率远远大于文献[10]分别在两种拓扑结构下所提的两种方案. 这是由于文献[10]所提方案中噪声方差随组内节点个数增加呈线性增长, 换句话说, 在通信过程中噪声不断累积最终导致信噪比下降,从而造成组密钥率降低. 而本文的方案由于最终生成的组密钥与逻辑环路上两两相邻的节点的共享对密钥有关, 噪声变化与组内节点个数无关, 也就是说组密钥率与节点个数之间无关, 因此图6中本方案的组密钥
计算机系统应用
www.c-s-a
2021 年 第 30 卷 第 6 期
138
