物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊設(shè)計(jì)與實(shí)現(xiàn)

摘 要：傳統(tǒng)物聯(lián)網(wǎng)多設(shè)備通信加密模塊的防御能力不足，且常對物聯(lián)網(wǎng)網(wǎng)絡(luò)連通能力產(chǎn)生影響。因此，對物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊進(jìn)行優(yōu)化設(shè)計(jì)，該模塊中的密鑰設(shè)計(jì)端為物聯(lián)網(wǎng)多設(shè)備通信信息設(shè)計(jì)密鑰，密鑰分為對稱密鑰和非對稱密鑰。當(dāng)信息量較大時(shí)，選用對稱密鑰進(jìn)行加密設(shè)計(jì)，密鑰分發(fā)端將對稱密鑰拆分，并單獨(dú)分發(fā)給收發(fā)單位；當(dāng)信息量不大時(shí)，則選用非對稱密鑰，所設(shè)計(jì)的非對稱密鑰將直接傳輸給收發(fā)單位。持有密鑰的收發(fā)單位在密鑰認(rèn)證端共同認(rèn)證成功后，便可下載物聯(lián)網(wǎng)多設(shè)備通信信息。模塊實(shí)現(xiàn)部分給出了加密模塊處理信息的流程圖以及函數(shù)。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的加密模塊擁有較強(qiáng)的防御能力，且對物聯(lián)網(wǎng)網(wǎng)絡(luò)連通能力影響較小。

關(guān)鍵詞： 物聯(lián)網(wǎng)； 多設(shè)備通信； 加密模塊； 密鑰設(shè)計(jì)

中圖分類號(hào)： TN926?34； TN92 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）18?0069?04

Abstract： The defensive ability of traditional encryption module for multi?equipment communication in Internet of Things （IOT） is insufficient， and often affect IOT network connecting ability. Therefore， the encryption module used in IOT multi?equipment communication is optimized and designed. The key design end of the module is IOT multi?equipment communicate information design key. The key is divided into the symmetric key and asymmetric key. When the information content is much more， the symmetric key is selected for encrypt design. The symmetric key is split by key distribution terminal and then distributed to transmit?receive units one by one. When the information content is not more， the asymmetric key is selected， and the designed asymmetric key is directly transmitted to the transmit?receive units. The transmit?receive units with the key after the mutual authentication is successful on the key authentication end can download the IOT multi?equipment communication information. The flow chart and functions for information processing of encryption module are given. The experimental result shows that the designed encryption module has strong ability of defense， and less influence on the IOT network connecting ability.

Keywords： Internet of Things； more communication equipment； encryption module； key design

0 引 言

物聯(lián)網(wǎng)是基于互聯(lián)網(wǎng)產(chǎn)生的物與物間的通信技術(shù)，近年來，物聯(lián)網(wǎng)以其更為人性化的傳輸能力得到了各領(lǐng)域的高度重視。同時(shí)，人們對物聯(lián)網(wǎng)多設(shè)備間通信安全性能的要求也越來越高，科研組織所提出的物聯(lián)網(wǎng)多設(shè)備通信加密模塊，已初步滿足用戶需求[1?3]。但物聯(lián)網(wǎng)多設(shè)備的通信信息和網(wǎng)絡(luò)用戶較為繁雜，造成傳統(tǒng)物聯(lián)網(wǎng)多設(shè)備通信加密模塊的防御能力不足，且加密程序較多的信息常對網(wǎng)絡(luò)連通能力產(chǎn)生影響[4?6]。一種防御能力較強(qiáng)，且不影響網(wǎng)絡(luò)連通能力的物聯(lián)網(wǎng)多設(shè)備通信加密模塊，是目前該領(lǐng)域的研究熱點(diǎn)。

文獻(xiàn)[7]利用同態(tài)加密與中國剩余定理設(shè)計(jì)了一種物聯(lián)網(wǎng)密鑰管理方案，根據(jù)不同應(yīng)用和位置信息建立了分層網(wǎng)絡(luò)模型，構(gòu)造了雙重密鑰池保護(hù)節(jié)點(diǎn)的隱私和安全，但該加密模塊密鑰的設(shè)計(jì)、分發(fā)和更新管理依賴于中央控制中心，綜合防御能力不強(qiáng)；文獻(xiàn)[8] 提出了一種基于雙混沌系統(tǒng)的加密算法，結(jié)合Henon 與Logistic 映射，通過加深迭代產(chǎn)生混沌序列對明文信息進(jìn)行加密，該模塊能夠?yàn)樾畔?shí)時(shí)設(shè)計(jì)出惟一密鑰，其計(jì)算量小、效率較高，但直接應(yīng)用于終端多樣化的物聯(lián)網(wǎng)絡(luò)時(shí)適應(yīng)性不強(qiáng)，對于網(wǎng)絡(luò)通信性能影響較大；文獻(xiàn)[9]提出物聯(lián)網(wǎng)環(huán)境下基于零知識(shí)證明的雙向認(rèn)證協(xié)議，能滿足一個(gè)標(biāo)簽在多個(gè)RFID 系統(tǒng)中的認(rèn)證安全，對節(jié)點(diǎn)的隱私保護(hù)安全性很高，但雙向加密認(rèn)證算法對于節(jié)點(diǎn)自身性能要求太高；文獻(xiàn)[10]提出了移動(dòng)節(jié)點(diǎn)抗克隆攻擊的UC安全認(rèn)證協(xié)議，可實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)與接入基站之間的雙向認(rèn)證與密鑰交換過程，對于節(jié)點(diǎn)而言能耗較低、工作效率較高，但移動(dòng)節(jié)點(diǎn)間的直接認(rèn)證無法實(shí)現(xiàn)。

為了解決以上問題，對物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊進(jìn)行優(yōu)化設(shè)計(jì)，該模塊有著較高的防御能力，對網(wǎng)絡(luò)連通能力影響不大，可滿足人們對物聯(lián)網(wǎng)多設(shè)備間通信安全性能的需求。

1 物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊設(shè)計(jì)

1.1 模塊整體設(shè)計(jì)

物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊由密鑰設(shè)計(jì)端、密鑰分發(fā)端和密鑰認(rèn)證端組成，其結(jié)構(gòu)圖如圖1所示。

根據(jù)圖1中加密模塊的結(jié)構(gòu)設(shè)計(jì)可知，密鑰是物聯(lián)網(wǎng)多設(shè)備通信中的安全保障，其能夠?qū)崿F(xiàn)明文與密文間的相互轉(zhuǎn)化。因此，在物聯(lián)網(wǎng)多設(shè)備通信中，密鑰設(shè)計(jì)端是加密模塊的重點(diǎn)設(shè)計(jì)對象。

1.2 密鑰設(shè)計(jì)端設(shè)計(jì)

在密鑰設(shè)計(jì)過程中，應(yīng)首要考慮因素是密鑰的長度及其排列的復(fù)雜程度，這對保護(hù)物聯(lián)網(wǎng)多設(shè)備通信的安全性有著重要意義。物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊要求密鑰設(shè)計(jì)端的密鑰長度適中（較短的密鑰無法有效抵抗通信襲擊；較長的密鑰則會(huì)占用過多的存儲(chǔ)區(qū)域，降低網(wǎng)絡(luò)連通能力），且應(yīng)避免重復(fù)、算法簡易、過于通俗的密鑰。

密鑰分為對稱密鑰和非對稱密鑰，在實(shí)際應(yīng)用中，應(yīng)根據(jù)不同的通信狀況選擇較為合理的密鑰。

1.2.1 對稱密鑰設(shè)計(jì)

當(dāng)物聯(lián)網(wǎng)多設(shè)備通信產(chǎn)生的信息量較大時(shí)，應(yīng)對信息基于對稱密鑰進(jìn)行加密設(shè)計(jì)。這是由于對稱密鑰的收發(fā)單位所接收到的密鑰是相同的，計(jì)算量相對小，這大大提高了物聯(lián)網(wǎng)多設(shè)備通信的工作效率。但對稱密鑰加密存在一項(xiàng)巨大隱患，加密的安全性依賴于對稱密鑰的保密性。即一旦收發(fā)單位任意一方的密鑰流出，雙方的密鑰即等同于作廢。若無法在第一時(shí)間更新密鑰，物聯(lián)網(wǎng)多設(shè)備間的通信安全便受到了極大的威脅。

因此為了更好地保障物聯(lián)網(wǎng)多設(shè)備的安全通信，應(yīng)先對收發(fā)單位的會(huì)話密鑰進(jìn)行非對稱密鑰協(xié)商，再將對稱密鑰傳輸?shù)矫荑€分發(fā)端。而在物聯(lián)網(wǎng)多設(shè)備通信信息量不大的情況下，直接選取非對稱密鑰進(jìn)行信息加密。

1.2.2 非對稱密鑰設(shè)計(jì)

所設(shè)計(jì)的物聯(lián)網(wǎng)多設(shè)備通信加密模塊的非對稱密鑰包括橢圓曲線密鑰和哈希密鑰。

1985年提出的橢圓曲線密鑰是基于橢圓曲線數(shù)學(xué)的非對稱密鑰，該密鑰的安全性能和抗干擾能力較比對稱密鑰來說要高得多。橢圓曲線密鑰的工作原理圖如圖2所示。

由圖2可知，橢圓曲線密鑰的運(yùn)算量不高，但其安全性在眾多加密方式中仍可占中上等水平。物聯(lián)網(wǎng)多設(shè)備通信信息輸入到加密模塊后，會(huì)自動(dòng)輸入到橢圓曲線密鑰的寄存器中，寄存器會(huì)將信息逐一輸入到運(yùn)算方。運(yùn)算方包括點(diǎn)乘、點(diǎn)加、點(diǎn)倍等運(yùn)算，其能夠?yàn)槲锫?lián)網(wǎng)多設(shè)備通信信號(hào)設(shè)計(jì)出多種候選密鑰，再通過乘法選擇判斷篩選出較為合理的密鑰作為最終密鑰，最終密鑰和候選密鑰將被存入緩存器。隨后，緩存器將最終密鑰傳送給收發(fā)單位，候選密鑰則會(huì)被反饋回運(yùn)算方。當(dāng)最終密鑰被不正常破解時(shí)，加密模塊會(huì)在第一時(shí)間調(diào)用候選密鑰，以保證物聯(lián)網(wǎng)多設(shè)備的通信安全。

對于要求快速收發(fā)信息的用戶，物聯(lián)網(wǎng)多設(shè)備通信加密模塊選取了哈希密鑰加密方式解決這一問題。哈希密鑰能夠?qū)⒍M(jìn)制信息轉(zhuǎn)換成特定長度的散列，利用哈希函數(shù)對散列進(jìn)行加密。由于其加密過程無法復(fù)原，保密性較強(qiáng)，便能保證物聯(lián)網(wǎng)多設(shè)備的通信安全。

1.3 密鑰分發(fā)端設(shè)計(jì)

當(dāng)物聯(lián)網(wǎng)多設(shè)備通信加密模塊為信息流選擇了對稱密鑰加密，則應(yīng)通過密鑰分發(fā)端將信號(hào)的密鑰分發(fā)給收發(fā)單位。為了避免分發(fā)過程中發(fā)生密鑰泄露，并盡可能降低信號(hào)通信對物聯(lián)網(wǎng)網(wǎng)絡(luò)連通能力的影響，應(yīng)將密鑰拆分并單獨(dú)分發(fā)，以保證較高的分發(fā)效率，并防止時(shí)間過長造成密鑰失效。

密鑰的拆分工作應(yīng)基于物聯(lián)網(wǎng)節(jié)點(diǎn)特點(diǎn)進(jìn)行，物聯(lián)網(wǎng)中存在能量弱、存儲(chǔ)區(qū)域小的低級(jí)節(jié)點(diǎn)和能量強(qiáng)、存儲(chǔ)區(qū)域大的高級(jí)節(jié)點(diǎn)。對于利用低級(jí)節(jié)點(diǎn)分發(fā)密鑰的情況，經(jīng)拆分后的每段密鑰應(yīng)不超出低級(jí)節(jié)點(diǎn)的存儲(chǔ)能力；對于利用高級(jí)節(jié)點(diǎn)分發(fā)密鑰的情況，其密鑰拆分段數(shù)應(yīng)綜合各方面因素（包括節(jié)點(diǎn)轉(zhuǎn)發(fā)安全、能量干擾因素、危機(jī)節(jié)點(diǎn)平衡問題等）考慮，保證物聯(lián)網(wǎng)多設(shè)備通信加密模塊的防御能力。

1.4 密鑰認(rèn)證端設(shè)計(jì)

密鑰認(rèn)證端對物聯(lián)網(wǎng)多設(shè)備通信密鑰的認(rèn)證是基于網(wǎng)絡(luò)應(yīng)用層的，即持有密鑰的收發(fā)單位需在密鑰認(rèn)證端進(jìn)行手動(dòng)認(rèn)證，圖3是密鑰認(rèn)證端工作原理圖。

由圖3可知，密鑰認(rèn)證端的工作原理：在物聯(lián)網(wǎng)多設(shè)備通信的密鑰認(rèn)證工作中，由發(fā)送單位首先認(rèn)證，認(rèn)證成功后，密鑰認(rèn)證端會(huì)生成認(rèn)證指令并傳輸給接收單位，接收單位應(yīng)在規(guī)定時(shí)間內(nèi)驗(yàn)證密鑰；若收發(fā)單位共同認(rèn)證成功，密鑰認(rèn)證端則會(huì)為收發(fā)單位提供信息下載通道。

2 物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊實(shí)現(xiàn)

加密模塊通過加密模塊處理信息的流程圖以及函數(shù)實(shí)現(xiàn)具體的多設(shè)備通信加密處理。

對于物聯(lián)網(wǎng)多設(shè)備通信產(chǎn)生的較大信息量，需經(jīng)由對稱密鑰進(jìn)行加密。物聯(lián)網(wǎng)多設(shè)備的通信信息和網(wǎng)絡(luò)用戶均較為繁雜，若想提高整個(gè)加密模塊的防御能力，應(yīng)在對稱密鑰加密的基礎(chǔ)上，將多設(shè)備通信信息分級(jí)傳輸，以增強(qiáng)破解的困難程度。同時(shí)，分級(jí)傳輸還可以在一定程度上縮減物聯(lián)網(wǎng)多設(shè)備通信加密模塊的計(jì)算量。加密模塊對物聯(lián)網(wǎng)多設(shè)備通信信息的處理流程圖如圖4所示。

3 實(shí) 驗(yàn)

本文旨在設(shè)計(jì)出對網(wǎng)絡(luò)連通能力的影響較小、防御能力較強(qiáng)的物聯(lián)網(wǎng)多設(shè)備通信加密模塊，現(xiàn)對所設(shè)計(jì)的加密模塊對網(wǎng)絡(luò)連通能力的影響，及其防御能力進(jìn)行驗(yàn)證。

3.1 對網(wǎng)絡(luò)連通能力的影響驗(yàn)證

實(shí)驗(yàn)在相同的物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境下，給出三種不同數(shù)量的物聯(lián)網(wǎng)多設(shè)備通信信息，利用對稱密鑰、橢圓曲線密鑰和哈希密鑰對相對應(yīng)的信息進(jìn)行加密設(shè)計(jì)，分別記錄下三種加密設(shè)計(jì)下的網(wǎng)絡(luò)連通率，如圖5所示。實(shí)驗(yàn)中物聯(lián)網(wǎng)初始網(wǎng)絡(luò)連通率的范圍為[97%，100%]。

由圖5可知，三種加密設(shè)計(jì)下的網(wǎng)絡(luò)連通率由高到低依次為哈希密鑰、橢圓曲線密鑰、對稱密鑰。該結(jié)果說明網(wǎng)路連通率與密鑰的復(fù)雜程度有關(guān)，復(fù)雜程度越高的密鑰，所占用的內(nèi)存就越大，對網(wǎng)絡(luò)連通率的影響就越大。由于圖5中的三條曲線波動(dòng)不明顯，故通過分析三條曲線的平均值，便能較好地反映出加密模塊對網(wǎng)絡(luò)連通能力的影響。信息在哈希密鑰、橢圓曲線密鑰、對稱密鑰加密設(shè)計(jì)下的平均網(wǎng)絡(luò)連通率分別為99.8%，98.3%，97.1%。三條曲線的平均值均超出97%，且相差不大，驗(yàn)證了所設(shè)計(jì)的加密模塊對網(wǎng)絡(luò)連通能力影響較小。

3.2 防御能力驗(yàn)證

為驗(yàn)證物聯(lián)網(wǎng)多設(shè)備通信加密模塊的防御能力，構(gòu)建擁有50個(gè)節(jié)點(diǎn)的物聯(lián)網(wǎng)，進(jìn)行兩組實(shí)驗(yàn)。在兩組實(shí)驗(yàn)的進(jìn)行狀態(tài)下，在物聯(lián)網(wǎng)中分別依次接入15個(gè)、30個(gè)襲擊節(jié)點(diǎn)，經(jīng)由所設(shè)計(jì)的加密模塊對其進(jìn)行密鑰設(shè)計(jì)和傳輸，并利用襲擊節(jié)點(diǎn)同步或單獨(dú)對物聯(lián)網(wǎng)多設(shè)備通信信息進(jìn)行1 000次襲擊，記錄下兩組實(shí)驗(yàn)中信息被成功襲擊的次數(shù)。圖6是15個(gè)襲擊節(jié)點(diǎn)襲擊成功次數(shù)曲線，圖7是30個(gè)襲擊節(jié)點(diǎn)襲擊成功次數(shù)曲線。

由圖6和圖7可知，當(dāng)少于4個(gè)襲擊節(jié)點(diǎn)單獨(dú)或共同對物聯(lián)網(wǎng)多設(shè)備通信信息進(jìn)行襲擊時(shí)，所設(shè)計(jì)的加密模塊完全不受襲擊干擾。隨著襲擊節(jié)點(diǎn)接入數(shù)量的增多，襲擊成功次數(shù)也逐漸增多，但增長趨勢較為緩慢，如圖6中，在15個(gè)襲擊節(jié)點(diǎn)共同襲擊的情況下，僅有2次襲擊成功，此時(shí)加密模塊的防御能力為99.8%；圖7中，在30個(gè)襲擊節(jié)點(diǎn)共同襲擊的情況下，僅有4次襲擊成功，此時(shí)加密模塊的防御能力為99.6%。以上結(jié)果說明，所設(shè)計(jì)的物聯(lián)網(wǎng)多設(shè)備通信加密模塊擁有較強(qiáng)的防御能力。

4 結(jié) 論

本文對物聯(lián)網(wǎng)多設(shè)備通信中的加密模塊進(jìn)行優(yōu)化設(shè)計(jì)，模塊中的密鑰設(shè)計(jì)端為物聯(lián)網(wǎng)多設(shè)備通信信息設(shè)計(jì)密鑰，密鑰分為對稱密鑰和非對稱密鑰。當(dāng)信息量較大時(shí)，選用對稱密鑰進(jìn)行加密設(shè)計(jì)，密鑰分發(fā)端將對稱密鑰拆分，并單獨(dú)分發(fā)給收發(fā)單位；當(dāng)信息量不大時(shí)，則選用非對稱密鑰，所設(shè)計(jì)的非對稱密鑰將直接傳輸給收發(fā)單位。持有密鑰的收發(fā)單位在密鑰認(rèn)證端共同認(rèn)證成功后，便可下載物聯(lián)網(wǎng)多設(shè)備通信信息。模塊實(shí)現(xiàn)部分給出了加密模塊處理信息的流程圖以及函數(shù)。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的加密模塊擁有較強(qiáng)的防御能力，且對物聯(lián)網(wǎng)網(wǎng)絡(luò)連通能力影響較小。

參考文獻(xiàn)

[1] 路紅，廖龍龍.物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全保護(hù)模型研究[J].計(jì)算機(jī)工程與應(yīng)用，2014，50（15）：91?96.

[2] 孫秀娟，趙會(huì)群.EPC物聯(lián)網(wǎng)中標(biāo)簽加密算法研究[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014，13（4）：19?23.

[3] 葉翔，徐展，胡翔，等.低成本有源RFID雙向認(rèn)證加密方案[J].計(jì)算機(jī)應(yīng)用，2014，34（2）：456?460.

[4] 李超良，王國軍，劉琴.一種支持隱私保護(hù)的物聯(lián)網(wǎng)動(dòng)態(tài)完整性檢測方案[J].小型微型計(jì)算機(jī)系統(tǒng)，2014，35（2）：307?310.

[5] 王雄，朱志祥，許輝輝.MD5加密逆向破解及安全性改進(jìn)[J].西安文理學(xué)院學(xué)報(bào)（自然科學(xué)版），2014，17（1）：101?104.

[6] LOISEL Yann， DI VITO Stephane.保證IOT安全：第一部分：公鑰加密保證所連設(shè)備的安全[J].中國集成電路，2015，24（6）：41?46.

[7] 曾萍，張歷，楊亞濤，等.一種基于HECRT的物聯(lián)網(wǎng)密鑰管理方案[J].計(jì)算機(jī)工程，2014，40（8）：27?32.

[8] 張晶，薛冷，崔毅，等.基于無線傳感器網(wǎng)絡(luò)的雙混沌數(shù)據(jù)加密算法建模與評價(jià)[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2015，50（3）：1?5.

[9] 王坤，周清雷.新物聯(lián)網(wǎng)下的RFID雙向認(rèn)證協(xié)議[J].小型微型計(jì)算機(jī)系統(tǒng)，2015，36（4）：732?738.

[10] 宋生宇，張紫楠，王亞弟，等.物聯(lián)網(wǎng)中移動(dòng)節(jié)點(diǎn)抗克隆攻擊的UC安全認(rèn)證協(xié)議[J].計(jì)算機(jī)科學(xué)，2014，41（4）：168?171.