簇間非對(duì)稱群組密鑰協(xié)商協(xié)議

張啟坤 甘 勇 王銳芳 鄭家民 譚毓安

1(鄭州輕工業(yè)學(xué)院計(jì)算機(jī)與通信工程學(xué)院 鄭州 450002) 2(北京理工大學(xué)計(jì)算機(jī)學(xué)院 北京 100081)

傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)共同收集信息、協(xié)同處理數(shù)據(jù)是傳感器網(wǎng)絡(luò)群組通信的應(yīng)用體現(xiàn),如何保障傳感器網(wǎng)絡(luò)群組通信的安全是當(dāng)前研究的一個(gè)重要問題.群組密鑰協(xié)商是為群組成員之間建立一條安全的通信信道.多年來無線傳感器網(wǎng)絡(luò)密鑰協(xié)商機(jī)制一直是傳感網(wǎng)絡(luò)安全研究的重點(diǎn)技術(shù),典型的研究有潘耘等人[1]融合了基于CA 的公鑰認(rèn)證框架和基于身份的公鑰認(rèn)證框架二者的優(yōu)點(diǎn),提出了適合于無線傳感器網(wǎng)絡(luò)環(huán)境的輕量級(jí)的、高效的密鑰預(yù)分配方案;夏戈明等人[2]提出基于對(duì)稱平衡不完全區(qū)組設(shè)計(jì)的密鑰預(yù)分配方案,安全強(qiáng)度有所提高,并在能量消耗方面進(jìn)行了優(yōu)化;黃海平等人[3]提出基于邏輯網(wǎng)格的密鑰預(yù)分配方案,傳感器節(jié)點(diǎn)間通過求解網(wǎng)格矩陣系數(shù),計(jì)算共同的密鑰參數(shù),進(jìn)而實(shí)現(xiàn)共享對(duì)稱加密密鑰;Walid等人[4]提出一個(gè)高度可擴(kuò)展性密鑰預(yù)分配方案,有效地提高了共享密鑰節(jié)點(diǎn)的連通性,提高節(jié)點(diǎn)存儲(chǔ)共享密鑰的性能;Monjul等人[5]通過擴(kuò)展圖論的方法設(shè)計(jì)一個(gè)密鑰預(yù)分配方案,密鑰預(yù)分配方案有其固有的缺陷.

傳感器節(jié)點(diǎn)之間通過在線計(jì)算生成它們之間的共享密鑰,是傳感網(wǎng)密鑰協(xié)商的另一種可行技術(shù).近年來典型的方案有Tseng 等人[6]提出一種非平衡環(huán)境下群組密鑰協(xié)商協(xié)議,但其不具有可認(rèn)證性和動(dòng)態(tài)性;張啟坤等人[7]對(duì)Tseng等人[6]的群組密鑰協(xié)商協(xié)議進(jìn)行了改進(jìn),提出一種新的動(dòng)態(tài)可認(rèn)證群組密鑰協(xié)商協(xié)議,具有可認(rèn)證性和動(dòng)態(tài)性;Cheng等人[8]采用雙線映射技術(shù)對(duì)Tseng 等人[6]的協(xié)議進(jìn)行改進(jìn),使之能夠抵抗密鑰臨時(shí)泄露攻擊;張啟坤等人[9-10]采用組合密鑰技術(shù)實(shí)現(xiàn)密鑰協(xié)商,但其容易遭受密鑰信息共謀攻擊;Teng等人[11]提出無線網(wǎng)絡(luò)環(huán)境下可認(rèn)證的群組密鑰協(xié)商協(xié)議,協(xié)議具有動(dòng)態(tài)靈活性,能抵御積極攻擊;Thomas等人[12]提出無線傳感網(wǎng)絡(luò)中一種節(jié)約資源的群組密鑰協(xié)商,其主要是針對(duì)特定的無線網(wǎng)絡(luò)環(huán)境下在計(jì)算量盡可能少、信息傳播輪數(shù)盡可能少的節(jié)能性群組密鑰協(xié)商;Walid等人[13]提出無線傳感網(wǎng)絡(luò)中一種可擴(kuò)展的密鑰管理機(jī)制,該方案針對(duì)傳感器存儲(chǔ)資源受限及傳感網(wǎng)節(jié)點(diǎn)易變性提出的密鑰管理機(jī)制,適用于傳感網(wǎng)特定的應(yīng)用環(huán)境.

非對(duì)稱群組密鑰協(xié)商的主要特點(diǎn)是群組成員協(xié)商一對(duì)公/私密鑰對(duì),分別用于群組交換信息的加密與解密.伍前紅等人[14]在2009年EUROCRYPT 會(huì)議上提出非對(duì)稱群組密鑰協(xié)商(asymmetric group key agreement, AGKA)協(xié)議,由于群組加密密鑰和解密密鑰不相同,加密密鑰可以對(duì)外公開,這使得消息發(fā)送者不局限于群組內(nèi)部人員,該方案具有較高的安全性,但在效率方面沒有優(yōu)勢(shì),該方案只適用于靜態(tài)群組;2011年伍前紅等人[15]對(duì)其EUROCRYPT 會(huì)議提出的AGKA進(jìn)行了擴(kuò)展與改進(jìn),使其具有動(dòng)態(tài)性,增強(qiáng)了方案的靈活性和實(shí)用性;張磊等人[16-17]提出可認(rèn)證的非對(duì)稱群組密鑰協(xié)商,提高了非對(duì)稱群組密鑰協(xié)商的安全性;Zhao等人[18]提出一種應(yīng)用于ad hoc 網(wǎng)絡(luò)的動(dòng)態(tài)ASGKA,該方案的群組間認(rèn)證采用多方簽名技術(shù)來實(shí)現(xiàn),增加了較大的計(jì)算量.在移動(dòng)設(shè)備資源受限的環(huán)境下,該方案有待于進(jìn)一步簡化計(jì)算量與通信量;徐暢等人[19]提出具有隱藏特性的可認(rèn)證非對(duì)稱群組密鑰協(xié)商協(xié)議,對(duì)參與群組密鑰協(xié)商的成員隱私信息具有一定的保護(hù)能力;Lü等人[20]提出基于無證書密碼系統(tǒng)的可認(rèn)證非對(duì)稱群組密鑰協(xié)商方案,避免了基于身份密碼系統(tǒng)中密鑰托管問題,在Diffie-Hellman困難假設(shè)下可證明安全的;2014年張啟坤等人[21]利用短簽名技術(shù)實(shí)現(xiàn)動(dòng)態(tài)可認(rèn)證非對(duì)稱群組密鑰協(xié)商,進(jìn)一步提高了群組密鑰協(xié)商的安全性及效率,但群組密鑰協(xié)商的計(jì)算量及通信消耗比較大,不適用于移動(dòng)網(wǎng)絡(luò)環(huán)境中.

綜上分析,無線傳感網(wǎng)中基于預(yù)置的密鑰分配方案,由于傳感器節(jié)點(diǎn)存儲(chǔ)能力的限制,使其在大規(guī)模的無線網(wǎng)絡(luò)中的應(yīng)用受到限制；基于在線計(jì)算的對(duì)稱群組密鑰協(xié)商,其安全度不高,且靈活性較差,不適用于網(wǎng)絡(luò)易受攻擊及節(jié)點(diǎn)易被捕獲的傳感網(wǎng)絡(luò)；當(dāng)前非對(duì)稱群組密鑰協(xié)商,其計(jì)算量及通信量較大,有待進(jìn)一步優(yōu)化以適用節(jié)點(diǎn)資源受限的無線傳感網(wǎng).

本文提出可認(rèn)證非對(duì)稱群組密鑰協(xié)商具有3項(xiàng)優(yōu)勢(shì)：

1) 可跨簇性.參與群組密鑰協(xié)商的傳感器節(jié)點(diǎn)可分布在不同的簇,在傳感器節(jié)點(diǎn)通信能力受限的情況下通過橋接技術(shù)實(shí)現(xiàn)跨簇非對(duì)稱群組密鑰協(xié)商,完成傳感器節(jié)點(diǎn)遠(yuǎn)距離信息安全交換與信息安全傳輸；

2) 輕量級(jí)計(jì)算.由于非對(duì)稱群組密鑰涉及的通信與計(jì)算較對(duì)稱群組密鑰協(xié)商要大,通過不對(duì)等計(jì)算技術(shù),將傳感器節(jié)點(diǎn)的計(jì)算與通信負(fù)載遷移簇頭節(jié)點(diǎn)來完成,彌補(bǔ)傳感器節(jié)點(diǎn)資源受限的限制問題,達(dá)到非對(duì)稱群組密鑰協(xié)商的性能,具有對(duì)稱群組密鑰協(xié)商的輕量級(jí)計(jì)算和非對(duì)稱群組密鑰協(xié)商的安全性及靈活性；

3) 群組密鑰自證實(shí)性.群組成員計(jì)算完群組密鑰后,不需要經(jīng)過額外的通信廣播輪數(shù),只需通過簡單函數(shù)映射關(guān)系,自己能夠驗(yàn)證其所計(jì)算的群組密鑰的正確性.

1 基礎(chǔ)知識(shí)

1.1 雙線性映射

首先給出雙線性映射的定義[15-16],假設(shè)G1為加法群,G2為乘法循環(huán)群,其具有共同的大素?cái)?shù)階q,q≥2k+1,k是安全參數(shù),且G1和G2上的離散對(duì)數(shù)是困難的.群G1和G2是一對(duì)雙線性群,設(shè)G1=g1,e是可高效計(jì)算的雙線性映射,e:G1×G1→G2，有關(guān)雙線性映射性質(zhì)如下[17,19-20]：

性質(zhì)1. 雙線性.對(duì)所有的g1,g2∈G1,及a,b∈有e(ag1,bg2)=e(g1,g2)ab.

性質(zhì)2. 非退化性.即e(g1,g2)≠1.

性質(zhì)3. 可高效計(jì)算性.存在有效的算法,對(duì)于g1,g2∈G1可高效計(jì)算e(g1,g2).

1.2 計(jì)算復(fù)雜性問題

假設(shè)2. DCDH(divisible computational Diffie-Hellman)問題[17,19-20].假設(shè)一個(gè)三元組(g1,ag1,bg1)∈G1,對(duì)于未知數(shù)a,b∈計(jì)算(ab)g1是困難的.

1.2.1 安全模型與安全假設(shè)

本節(jié)參考了文獻(xiàn)[18,21]，在其基礎(chǔ)上給出了非對(duì)稱群組密鑰協(xié)商協(xié)議參與者安全模型屬性,然后給出安全模型的形式化定義及要實(shí)現(xiàn)的安全目標(biāo).

1) 安全模型屬性及相關(guān)符號(hào)

假設(shè)U是參與密鑰協(xié)商協(xié)議的傳感器節(jié)點(diǎn)組成的集合,該集合的大小為多項(xiàng)式有界,U中每個(gè)傳感器節(jié)點(diǎn)都有自己的身份信息及對(duì)應(yīng)的公私密鑰對(duì),U的任意子集Usub={u1,u2,…,un}中的節(jié)點(diǎn)可以隨時(shí)執(zhí)行密鑰協(xié)商協(xié)議Π,用表示節(jié)點(diǎn)ui與其伙伴節(jié)點(diǎn){u1,u2,…,ui-1,ui+1,…,un}執(zhí)行非對(duì)稱密鑰協(xié)商的第π個(gè)實(shí)例,π∈每個(gè)參與節(jié)點(diǎn)實(shí)例擁有多個(gè)屬性,定義如下:

2) 他們成功的完成群組會(huì)話密鑰協(xié)商；

1.2.2 敵手模型

本文所設(shè)計(jì)的跨簇非對(duì)稱密鑰協(xié)商協(xié)議方案中,參與群組密鑰協(xié)商的傳感器節(jié)點(diǎn)所計(jì)算的公開群組密鑰是群組加密密鑰,而群組解密密鑰是由各不相同的傳感器節(jié)點(diǎn)自身的密鑰參數(shù)計(jì)算的.本文把保密性定義為任意概率多項(xiàng)式時(shí)間的敵手區(qū)分用群組加密密鑰加密的2個(gè)等長消息的優(yōu)勢(shì)是可忽略的.通過一個(gè)挑戰(zhàn)者C與一個(gè)敵手A之間的游戲規(guī)則來定義該群組密鑰協(xié)商協(xié)議的安全性,安全模型中包括一個(gè)主動(dòng)攻擊者和一個(gè)協(xié)議參與者集合,每個(gè)參與者被模擬成一個(gè)隨機(jī)預(yù)言機(jī),該游戲分為3個(gè)步驟:

1) 初始化階段.該階段挑戰(zhàn)者C運(yùn)行系統(tǒng)函數(shù)Setup()(是一個(gè)安全參數(shù)),輸出相關(guān)的系統(tǒng)參數(shù)及主密鑰.然后將系統(tǒng)參數(shù)發(fā)給敵手A,并保留主密鑰.

2) 訓(xùn)練階段.敵手A通過以下詢問與挑戰(zhàn)者C進(jìn)行交互:

3) 輸出.游戲結(jié)束后,敵手A輸出一個(gè)對(duì)比特b的猜測(cè)值(記為b′).若b′=b,則稱敵手A贏得了此游戲.定義敵手A成功贏得游戲的概率為AdvA()=|2Pr[b′=b]-1|(為安全參數(shù)).

3) 未對(duì)參與實(shí)體集合Pj做過Corrupt查詢.

定義3. 安全性.稱該非對(duì)稱群組密鑰協(xié)商協(xié)議具有 適應(yīng)性選擇挑戰(zhàn)ID和選擇明文攻擊下的語義不可區(qū)分性(indistinguishability against identity-based chosen plaintext attack, IND-ID-CPA),如果沒有概率多項(xiàng)式時(shí)間(probabilistic polynomial time, PPT)內(nèi)敵手A以不可忽略的優(yōu)勢(shì)贏得以上游戲,或者任意概率多項(xiàng)式時(shí)間IND-ID-CPA敵手A贏得該游戲的優(yōu)勢(shì)AdvA()=|2Pr[b′=b]-1|可以忽略.

2 簇間非對(duì)稱群組密鑰協(xié)商過程

在無線傳感網(wǎng)中簇間非對(duì)稱群組密鑰協(xié)商協(xié)議分為2個(gè)部分：1)簇頭之間的聯(lián)盟密鑰建立；2)簇間傳感器節(jié)點(diǎn)非對(duì)稱群組密鑰協(xié)商協(xié)議.

2.1 初始化

假設(shè)G1和G2分別是具有相同大素?cái)?shù)階q的加法群和乘法群,q≥2+1,是安全參數(shù),且G1和G2上的離散對(duì)數(shù)是困難的,設(shè)G1=g1.e是可高效計(jì)算的雙線性映射,e:G1×G1→G2,H1,H2:G2→為2個(gè)散列函數(shù).系統(tǒng)的參數(shù)為params=(q,G1,G2,g1,e,H1,H2).

2.2 簇頭間聯(lián)盟密鑰的計(jì)算

設(shè)N個(gè)簇的簇頭集合為φ={U1,U2,…,UN},任意簇頭Ui(1≤i≤N)隨機(jī)選擇SKi∈并計(jì)算PKi=SKig1,則Ui(1≤i≤N)的公私密鑰對(duì)為(PKi,SKi),SKi由簇頭秘密保存,PKi廣播出去并對(duì)外公開.

將N個(gè)簇的簇頭Ui(1≤i≤N)作為三叉樹的葉子節(jié)點(diǎn),構(gòu)建一個(gè)完全三叉樹,如圖1所示.其中Th,l表示非葉子節(jié)點(diǎn),h為分枝節(jié)點(diǎn)Th,l在樹中的高度(層數(shù))，l為該分枝節(jié)點(diǎn)Th,l在h層中的第l個(gè)節(jié)點(diǎn)，且

Fig. 1 The logical structure of key agreement for cluster heads圖1 簇頭聯(lián)盟密鑰建立的邏輯結(jié)構(gòu)

為簡述方便,以9個(gè)簇頭的傳感網(wǎng)為例,由9個(gè)簇頭組建的三叉樹分3層,假設(shè)簇頭分別為U0,U1,U2,U3,U4,U5,U6,U7,U8其對(duì)應(yīng)的公私密鑰對(duì)分別為(SK0,PK0),(SK1,PK1),(SK2,PK2),(SK3,PK3),(SK4,PK4),(SK5,PK5),(SK6,PK6),(SK7,PK7),(SK8,PK8),則簇頭間聯(lián)盟密鑰生成過程如下：

1)U0,U1,U2通過各自自己的私鑰和其兄弟節(jié)點(diǎn)的公鑰可計(jì)算出其父節(jié)點(diǎn)T1,0的私鑰TX1,0.如U0計(jì)算TX1,0=H1(e(PK1,PK2)SK0)=H1(e(g1,g1)SK0SK1SK2)及對(duì)應(yīng)公鑰TY1,0=H1(e(g1,g1)SK0SK1SK2)g1,并廣播TY1,0.U1計(jì)算TX1,0=H1(e(PK0,PK2)SK1)=H1(e(g1,g1)SK1SK0SK2)；U2計(jì)算TX1,0=H1(e(PK0,PK1)SK2)=H1(e(g1,g1)SK2SK0SK1).

2) 同理,U3,U4,U5各自計(jì)算出其父節(jié)點(diǎn)私鑰TX1,1=H1(e(PK4,PK5)SK3)=H1(e(PK3,PK5)SK4)=H1(e(PK3,PK4)SK5)=H1(e(g1,g1)SK3SK4SK5),U3計(jì)算對(duì)應(yīng)的公鑰TY1,1=TX1,1g1,并廣播出去.

3) 同理,U6,U7,U8,U5各自計(jì)算出其父節(jié)點(diǎn)私鑰TX1,2=H1(e(PK7,PK8)SK6)=H1(e(PK6,PK8)SK7)=H1(e(PK6,PK7)SK8)=H1(e(g1,g1)SK6SK7SK8),U6計(jì)算對(duì)應(yīng)的公鑰TY1,2=TX1,2g1,并廣播出去.

4) 所有葉子節(jié)點(diǎn)收到U0,U3和U6的廣播后,可計(jì)算出根節(jié)點(diǎn)T0,0的私鑰

TX0,0=H1(e(TY1,1,TY1,2)H1(e(g1,g1)SK2SK0SK1))=
H1(e(TY1,0,TY1,2)H1(e(g1,g1)SK3SK4SK5))=
H1(e(TY1,0,TY1,1)H1(e(g1,g1)SK6SK7SK8)),

則傳感器網(wǎng)絡(luò)中每個(gè)簇頭可協(xié)商出一個(gè)共同的聯(lián)盟密鑰TX0,0.

2.3 跨簇傳感器節(jié)點(diǎn)間非對(duì)稱群組密鑰協(xié)商

本節(jié)提出一種輕量級(jí)的關(guān)于無線傳感器節(jié)點(diǎn)之間的跨簇可認(rèn)證的非對(duì)稱群組密鑰協(xié)商協(xié)議,以一個(gè)簇的傳感器節(jié)點(diǎn)的群組密鑰協(xié)商為例,有2種假設(shè)需要考慮：

1) 每個(gè)簇有一個(gè)簇頭和n個(gè)傳感器節(jié)點(diǎn)組成.簇頭Ui內(nèi)的低能量節(jié)點(diǎn)集合表示為u={ui,1,ui,2,…,ui,n},其對(duì)應(yīng)的身份集合表示為I={idui,1,idui,2,…,idui,n},任意節(jié)點(diǎn)ui,j(1≤j

2) 每個(gè)節(jié)點(diǎn)在執(zhí)行協(xié)議之前都能知道其他成員的身份信息.

定義4. 非對(duì)稱群組密鑰協(xié)商(asymmetric group key agreement, AGKA)[21].一個(gè)群組密鑰協(xié)商Σ是非對(duì)稱的,如果該協(xié)議成功終止,有等式ekui,t=ekui,k,ekui,t≠dkui,t或ekui,t=ekuj,k,ekuj,k≠dkuj,k,其中ekui,tdkui,t,ekuj,kdkuj,k分別是ui,t和ui,k及ui,t和uj,k分別是同簇和不同簇的2個(gè)不同的節(jié)點(diǎn),其計(jì)算出的群組加密解密密鑰(t,k,i,j∈+,1≤t≤n,1≤k≤n,t≠n,1≤i≤N,1≤j≤N,i≠j).

2.3.1 跨簇傳感器節(jié)點(diǎn)間群組密鑰計(jì)算

如果參與群組密鑰協(xié)商的傳感器節(jié)點(diǎn)分布在不同的簇,則跨簇群組密鑰協(xié)商過程如下：

1) 每個(gè)傳感器節(jié)點(diǎn)ui,t(1≤i≤N,1≤t≤n)隨機(jī)選擇2個(gè)數(shù)mi,t,qi,t∈然后計(jì)算Qi,t=qi,tg1,Ti,t=((mi,t+ski,t)qi,t)g1,Mi,t=mi,tPKi.并將(idui,t,Qi,t,Ti,t,Mi,t)發(fā)送給簇頭Ui(注：(idui,t,Qi,t,Ti,t,Mi,t)提前存儲(chǔ)在對(duì)應(yīng)傳感器內(nèi)存卡上,以減少在線計(jì)算量,延長傳感器使用壽命).

3) 各簇頭Ui(1≤i≤N)之間,將各簇內(nèi)參與群組密鑰協(xié)商的傳感器節(jié)點(diǎn)信息fi,t相互傳遞共享.為描述方便,假設(shè)有2個(gè)簇的傳感器節(jié)點(diǎn)參與群組密鑰協(xié)商,分別是以簇頭Ui和簇頭Uj為首的跨簇群組密鑰協(xié)商.則Ui將其內(nèi)部參與密鑰協(xié)商的節(jié)點(diǎn)信息(fi,t,Qi,t,Ti,t,pki,t)(1≤t≤n)發(fā)送給Uj,Uj將其內(nèi)部參與密鑰協(xié)商的節(jié)點(diǎn)信息(fj,t,Qj,t,Tj,t,pkj,t)(1≤t≤n)發(fā)送給Ui.

Fig. 2 Cross-cluster sensor node group key agreement圖2 簇間傳感器節(jié)點(diǎn)群組密鑰協(xié)商

2.4 無線傳感器節(jié)點(diǎn)間群組安全通信

對(duì)任意明文信息m∈M*(M*：明文空間),任意成員ui,t擁有群組加密密鑰ekui,t和群組解密密鑰dkui,t作如下操作.

加密:消息發(fā)送者ui,t隨機(jī)選擇整數(shù)γi,t∈算δi,t=γi,tg1,ηi,t=m⊕H2(e(g1,(H2(Re(P,φi,t)-1)g1)γi,t).然后廣播密文c=δi,t,ηi,t,簇間傳感器節(jié)點(diǎn)的通信,可由簇頭進(jìn)行轉(zhuǎn)發(fā)廣播.

解密:當(dāng)收到消息發(fā)送者廣播的密文c=δi,t,ηi,t,群組內(nèi)任意成員uj,t可用計(jì)算的群組私鑰dkuj,t計(jì)算出明文m=ηi,t⊕H2(e(δi,t,H2(dkuj,t)g1)).

3 安全性及性能分析

本節(jié)首先給出相關(guān)等式的正確性證明,其次對(duì)提出的協(xié)議進(jìn)行安全性分析,最后給出協(xié)議的性能比較與分析.

3.1 關(guān)鍵技術(shù)的正確性證明

定理1. 正確性.群組密鑰協(xié)商階段,如果參與群組密鑰協(xié)商的任意傳感器節(jié)點(diǎn)ui,t計(jì)算無誤,則都可計(jì)算出一致的群組解密密鑰dkui,t,即:

證明.

觀察上述公式,群組解密密鑰dkui,t是一個(gè)固定量,與具體成員自身的固定參數(shù)有關(guān).只要每個(gè)成員計(jì)算無誤,則群組解密密鑰dkui,t是一個(gè)定值.

證畢.

定理2. 貢獻(xiàn)性.該群組密鑰協(xié)商是貢獻(xiàn)性群組密鑰協(xié)商.

證畢.

定理3. 一致性自證實(shí).如果等式e(P,φi,t)dkui,t=R(1≤t≤n)成立,因?yàn)閰?shù)P和R是公開的,φi,t是通過公開參數(shù)fi,t和成員自身的保留參數(shù)簡單計(jì)算的.因此,如果φi,t計(jì)算無誤,則只要等式成立,簇內(nèi)每個(gè)群組成員ui,t就可以驗(yàn)證群組解密密鑰dkui,t計(jì)算的正確性.

所以,等式e(P,φi,t)dkui,t=R.

證畢.

證畢.

3.2 安全性分析

證明. 設(shè)挑戰(zhàn)者C是一個(gè)挑戰(zhàn)者,A是一個(gè)能破譯該協(xié)議的敵手.給定C一個(gè)實(shí)例(G1,G2,q,g1,ag1,bg1,e,h,H1,H2),未知數(shù)a,b∈是公開的散列函數(shù),H1和H2是C所控制的2個(gè)隨機(jī)預(yù)言機(jī).C利用A來求解DCDH問題.定義一個(gè)新的會(huì)話,他將有一個(gè)唯一的會(huì)話ID.挑戰(zhàn)者C隨機(jī)選擇一個(gè)會(huì)話,該會(huì)話的ID用符號(hào)sidt表示.對(duì)應(yīng)的模擬會(huì)話的ID用Csidt表示,則該會(huì)話被選中的概率設(shè)為Pr[Csidt=0]=σ,對(duì)應(yīng)的Pr[Csidt=1]=1-σ.同時(shí)該挑戰(zhàn)者C記下二元組(sidt,Csidt).

1) 初始化階段.游戲開始,C選擇系統(tǒng)參數(shù)params=(G1,G2,q,g1,ag1,bg1,e,h,H1,H2),C將參數(shù)發(fā)送給敵手A.

2) 訓(xùn)練階段.挑戰(zhàn)者C與敵手A交互如下:

① C選擇系統(tǒng)參數(shù)pC=bg1作為公鑰返回給A,并保留參數(shù)b;

② A隨機(jī)選擇ai,ri∈并根據(jù)查詢列表CL1獲得的私鑰計(jì)算并將發(fā)送給C;

② A隨機(jī)選擇ai,ri∈并根據(jù)查詢列表CL1獲得的私鑰計(jì)算并將發(fā)送給C;

4) 返回c*=δ*,η*給A.

證畢.

引理1. 如果C沒有終止上述模擬游戲,則敵手A無法區(qū)分模擬世界和真實(shí)世界環(huán)境.

證明.

在上述的模擬游戲中的所有輸出都符合協(xié)議CL-AGKG的規(guī)則要求,同時(shí)實(shí)體輸出的消息符合消息空間上的均勻分布.因此,敵手A無法覺察到模擬世界和真實(shí)世界的不一致性.

證畢.

C成果的概率為

3.3 性能分析

由于傳感器節(jié)點(diǎn)資源受限,協(xié)議設(shè)計(jì)過程中除安全性外,協(xié)議的計(jì)算量、通信量及能量消耗是衡量協(xié)議性能的重要指標(biāo).本文就近年來可以進(jìn)行量化計(jì)算的文獻(xiàn)進(jìn)行對(duì)比分析.這些協(xié)議都適用于無線傳器網(wǎng)絡(luò),具有可比性及代表性.依據(jù)這些協(xié)議所提供的數(shù)據(jù),分別從計(jì)算與通信復(fù)雜度及協(xié)議消耗的總能量進(jìn)行對(duì)比分析.表1列舉了本文協(xié)議與這些具有可比性和代表性的4個(gè)群組密鑰協(xié)商協(xié)議在計(jì)算復(fù)雜度及通信量方面進(jìn)行比較分析.

Table 1 Complexity Analysis of Authenticated Protocols表1 可認(rèn)證協(xié)議的復(fù)雜度分析

從表1可以看出計(jì)算復(fù)雜度較小的是Tsai[23]及本文方案,其計(jì)算復(fù)雜度不隨節(jié)點(diǎn)的數(shù)量變化而變化.Chen等人[24]及張磊等人[25]計(jì)算復(fù)雜度最高,通信復(fù)雜度Chen等人[24]最高.

從協(xié)議執(zhí)行時(shí)間上看,我們通過文獻(xiàn)[26]提供的數(shù)據(jù)進(jìn)行分析,該文獻(xiàn)通過PBC實(shí)驗(yàn)室提供的實(shí)驗(yàn)程序pbc-0.5.12版本,在硬件Intel?CoreTM2 Duo E8400 CPU(3.00 GHz),操作系統(tǒng)ubuntu-10.04上運(yùn)行相關(guān)算法,結(jié)果顯示在G1上的乘法平均運(yùn)行時(shí)間為0.016 ms,在G1和G2上的指數(shù)平均運(yùn)算時(shí)間分別是3.886 ms和0.489 ms,雙線對(duì)的平均運(yùn)行時(shí)間為4.354 ms.總結(jié)如表2所示:

Table 2 Cost Time of Some Algorithms表2 運(yùn)算消耗時(shí)間

無線傳感器網(wǎng)絡(luò)中根據(jù)以上計(jì)算復(fù)雜度和相關(guān)算法運(yùn)行的時(shí)間分析,我們的方案和前期4種研究成果的時(shí)間消耗對(duì)比分析如圖3所示.

Fig. 3 The time cost of the five protocols圖3 5種協(xié)議運(yùn)行時(shí)間對(duì)比

從圖3可以看出協(xié)議運(yùn)行時(shí)間最長為張磊等人[25]提出的方案.其次是Chen等人[24]方案這2種方案的運(yùn)行時(shí)間遠(yuǎn)遠(yuǎn)比其他3種方案消耗時(shí)間長.運(yùn)行時(shí)間最短的是Lee等人[22]和本文提出的協(xié)議,這2種協(xié)議運(yùn)行時(shí)間相當(dāng).

從協(xié)議的能量消耗上分析,本文把群組密鑰協(xié)商所消耗的總能量簡單地量化成群組成員在協(xié)商過程中的計(jì)算量消耗和通信量消耗的總和.不失一般性,根據(jù)文獻(xiàn)[21]提供的資料,一個(gè)133 MHz“Strong ARM”微處理器執(zhí)行一個(gè)模冪運(yùn)算需要消耗9.1 mJ能量,執(zhí)行一個(gè)純標(biāo)量乘法運(yùn)算需要消耗8.8 mJ能量,執(zhí)行一個(gè)Tate對(duì)運(yùn)算需要消耗47 mJ能量.一個(gè)IEEE 802.11頻譜24 WLAN卡發(fā)送1 b信息需要消耗0.66 μm能量,其接收1 b信息需要消耗0.31 μm能量,如表3所示:

Table 3 Energy Costs for Computation and Communication表3 計(jì)算與通信能量消耗

假設(shè)群組密鑰協(xié)商協(xié)議在有限域Fp上交換一個(gè)單位信息的信息長度為1 024 b.由于傳統(tǒng)加密方法用1 024 b長度的密鑰加密信息的安全度等同于橢圓曲線加密方法采用160 b長度的密鑰加密的安全性.假設(shè)基于橢圓曲線加密方案的群組密鑰協(xié)商協(xié)議的單個(gè)信息量為160 b.由于這5個(gè)有效的協(xié)議均為160 b的加密密鑰.設(shè)每個(gè)信息量的大小為160 b,則這5個(gè)協(xié)議的計(jì)算消耗如圖4所示:

Fig. 4 Computation cost of the unauthenticated protocols圖4 協(xié)議計(jì)算所消耗能量

Fig. 5 Communication cost of the unauthenticated protocols圖5 協(xié)議通信所消耗能量

由圖4可以看出，計(jì)算消耗能量最大的為張磊等人[25]提出的協(xié)議,計(jì)算消耗能量最低的為Tsai 等人[23]及本文提出的協(xié)議,兩者的計(jì)算能量消耗線幾乎重疊.Chen等人[24]和張磊等人[25]計(jì)算量消耗的原因是因?yàn)槠溆?jì)算量隨著參與群組密鑰協(xié)商的成員數(shù)量的增加而增加,且冪指數(shù)計(jì)算消耗能量較大.

通信能量消耗如圖5所示,Lee等人[22],Tsai[23]與本文這3種方案的通信能量消耗相當(dāng),通信消耗曲線幾乎重合,通信消耗較少,具有明顯的優(yōu)勢(shì).Chen等人[24]方案通信消耗較大.

總能量消耗分析如圖6所示,Chen等人[24]及張磊等人[25]這2種方案的總能耗隨著群組成員的規(guī)模增大上升較快,因此不適用于大規(guī)模的群組密鑰協(xié)商協(xié)議.Tsai[23]及本文協(xié)議總能量消耗處于明顯優(yōu)勢(shì),該方案適用于大規(guī)模的大規(guī)模群組密鑰協(xié)商協(xié)議,如網(wǎng)格計(jì)算及云計(jì)算等大型分布式協(xié)同計(jì)算.但本文方案與Tsai[23]具有較大性能的優(yōu)勢(shì)體現(xiàn)在,本文方案是可認(rèn)證的非對(duì)稱群組密鑰協(xié)商，與對(duì)稱群組密鑰協(xié)商相比具有加大的靈活性和較高的安全性.

Fig. 6 Total energy cost of the authenticated protocols圖6 總能量消耗

4 總 結(jié)

分析了現(xiàn)有的群組密鑰協(xié)商協(xié)議的方案,為適用新型網(wǎng)絡(luò)應(yīng)用需求，如移動(dòng)云計(jì)算網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)等,其網(wǎng)絡(luò)終端易受攻擊、網(wǎng)絡(luò)節(jié)點(diǎn)資源受限、計(jì)算能力和通信范圍有限等特性,提出跨簇非對(duì)稱群組密鑰協(xié)商協(xié)議,即傳感器節(jié)點(diǎn)的信息交換采用非對(duì)稱密碼體制，具有更高的安全性和靈活性; 跨簇群組密鑰協(xié)商使得通信范圍有限的資源節(jié)點(diǎn)更容易擴(kuò)展簇間協(xié)同計(jì)算的范圍；采用了非對(duì)稱計(jì)算,使得傳感器節(jié)點(diǎn)承擔(dān)輕量級(jí)的計(jì)算及通信量.經(jīng)證明和分析驗(yàn)證了協(xié)議的安全性及能耗性能具有較好的優(yōu)勢(shì).