物聯網感知層密鑰管理方案設計

前言：尋找寫作靈感？中文期刊網用心挑選的物聯網感知層密鑰管理方案設計，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:隨著物聯網應用的推廣，物聯網感知層中節點數量越來越大，節點類型樣式越來越多，節點的切入切出越來越頻繁，節點間信息通訊面臨的威脅越來越大，用于加密信息的密鑰是保障信息安全的關鍵因素之一。本文提出了一種基于域策略的物聯網感知層體系結構的密鑰管理機制，將物聯網感知層中的節點劃分為域，域之間建立信任鏈；域內引入認證中心TA，為節點身份進行認證，域內PKG負責節點的密鑰分發。通過安全性分析和計算量分析，該方案在增加很小計算開銷下，很好地保證了節點的可信性，傳輸信息的安全性。

關鍵詞:感知層；域；身份認證；認證中心

0引言

物聯網中感知層是溝通信息世界和物理世界的橋梁，處于物聯網的最底層[1]。由于物聯網感知層的感知節點類型、所處環境、網絡等方面都存在很大的差異，同時物聯網中感知層節點受資源限制影響，計算能力和通信能力受到限制[2]。當敏感信息在節點間傳遞時，需要進行位置隱私保護[3]。在安全機制中，加密技術是基礎，而用來加密的密鑰安全管理是保證安全的關鍵因素。基于證書的密鑰管理協議和基于身份標識的密鑰管理協議為現階段比較主流的兩種非對稱加密認證方案[4-5]。由于基于證書的密鑰管理協議需要交換公鑰證書來實現傳感器節點間的相互認證，其通信銷過大，因此，在應用于物聯網感知層時往往會受到傳感器節點能量限制的困擾。物聯網感知層中節點數量大，并且節點應用場所復雜多變，感知層所在的終端類型多種多樣，而感知層節點的計算力和存儲力差[8-9]，因此需要采用基于身份的輕量級密鑰，在感知層節點之間，感知層與系統之間，建立認證、簽名和加密協議、保證信息在感知層節點間傳輸時的保密性、完整性、可用性、可控性和可審核性，從而建立物聯網感知層的信息安全系統[10-11]。

1基于信任域的物聯網感知層的體系結構

基于信任域的物聯網根據節點的物理位置，將節點群分劃為不同的域，域內由感知層節點、域內密鑰管理中心PKG和域內認證中心TA組成；域間建立信任鏈。感知層節點：物聯網最底層，負責采集、接收和傳輸信息的物理設備。域內密鑰管理中心PKG：為合法節點生成對應節點標識的私鑰，負責域內節點密鑰的初始化和密鑰的更換。域內節點認證中心TA：負責信任域內節點的身份認證，包括節點進入域內時的身份注冊、身份的驗證、身份維護，以及節點離開域時的身份注銷等問題。它是節點成為信任域中合法節點的審核機構。在基于信任域體系下，域內節點的身份認證過程由節點認證中心TA負責，密鑰的生成由密鑰管理中心PKG負責，通過兩者的分工，在保證密鑰管理機制的安全性的基礎上，也減輕了密鑰管理中心PKG的工作。認證中心TA對域內節點進行身份驗證，驗證為合法節點后，節點認證中心將通知密鑰管理中心根據該節點標識產生相應的密鑰，并將節點私鑰安全分發到節點。域間信任鏈通過域內密鑰管理中心PKG之間的身份認證進行創建，通過域內節點的可信性和域間的信任性，實現節點的移動和跨域授權。

1.1基于域體系的初始化

本文根據物聯網系統中各節點的地理位置和屬性，將節點劃分為不同的域D1,D2,…,Dn，每個域Di相當于一個IBE系統，域內設置PKGi管理本域中的密鑰。PKGi既降低了整個物聯網密鑰管理中心的管理負擔，也實現了各個域獨立自主的管理。任意兩個域Di和Dj之間建立雙向信任管理。

1.2域間信任鏈的建立

任意兩個域Di和Dj之間建立相互信任關系，為節點間的跨域通訊提供信息通道。（1）通過安全通道域Di中的PKGi向域Dj請求建立信任；（2）域Dj中的PKGj驗證信任請求，如果請求合法，則PKGj將計算sj，Pi發送給PKGi；（3）以同樣的方式Dj向Di發起信任請求，驗證合法后，PKGi將計算si，Pj發送給PKGj。

2基于域內認證中心的私鑰管理方案

在上述方案中每一個Di域中的PKGi保存該域的主密鑰si，域節點Nodeik(0<k≤m)的身份標識在E/GF(pi)上對應點為Qik，則節點向PKGi認證自己的身份后，PKGi向節點Nodeik分配私鑰si.Qik。并通過門限密碼學中的秘密共享方法將s共享于n個對等的可信第三方PKG之間，任何低于t(1<t≤n)個的PKG合作得不到s，從而避免PKGi面臨的單點失效的危險。

2.1域內節點私鑰分發方案步驟

在節點和PKG構成的域內增加一個節點認證中心TA，當節點進入域內時，認證中心認證該節點的身份，并根據身份特征頒發節點的公鑰證書。節點根據自己的身份特征與密鑰管理中心進行通訊，安全地獲取自己的私鑰。

2.2方案的安全性分析

在第1步中，認證中心TA為確認節點身份，驗證x.QID信息的來源，認證中心隨機選取y∈Z*q，將y•x•QID發給節點，節點將y.QID=x-1.y.x.QID發給TA，TA用y-1驗證y-1•y•QID=QID。該步驟中TA不能獲取節點的“主密鑰”x，保證了節點的身份的隱私性。在第5步中，當信任域中新增加節點時，新節點隨機選擇“主密鑰”x，根據x.QID和QID求解x是橢圓曲線上的離散對數。當認證中心TA頒發關于QID和x.QID的證書時，認證中心TA驗證x.QID是否系統所選曲線上的點。因此，新增的公鑰x.QID和實驗該公鑰進行數據加解密的操作將相互獨立。域內節點隨機選自己的“主密鑰”:x∈Z*q，通過主密鑰產生節點自己的公鑰x.QID，向PKG發送節點的身份；PKG用系統公鑰s.P以及節點證書信息(QID，x.QID)加密節點，得到該節點的私鑰s.QID發送給節點，節點用x和x-1解密得到s.QID。私鑰管理中心PKG不需要協商其他加密方案，直接利用系統中的參數加密節點私鑰信息，既提高了節點私鑰產生的效率，又加強了節點私鑰傳輸過程中的安全性。

2.3方案的復雜度分析

假設系統中有m個節點，每個節點在獲取自己私鑰時，需要向門限（n,t）t個PKG認證自己的身份。該方案中每個節點向TA認證一次，域內m個節點向認證中心認證次數為m次；認證中心TA向n個PKG都進行一次認證，域內節點和TA的認證次數為n+m。當新節點加入域時，認證中心TA的節點身份認證增加了一次加解密過程，不需要引入新的公鑰密碼系統，并在節點收到密文之前即可完成。通過增加有限的認證次數和加密和解密次數，獲取了較高的安全性。在該方案中，域內的認證中心TA擁有像公鑰加密系統中的證書中心CA類似的功能，通過頒發證書實現請求認證方的身份標志。但TA比CA的樹形體系簡單，作用范圍為本域內，服務的對象是域內的節點和域內固定數量的PKG，具有較高的穩定性和可靠性。

3結論

為了解決物聯網感知層的密鑰管理，本方案根據IBE系統用戶的屬性，將節點劃分為不同的域，域內有PKGi管理本域中節點的密鑰，這樣降低了密鑰管理中心的管理負擔，同時也增加了各個域獨立自主的管理。同時，在域內引入PKI證書思想，在域Di的n個PKG和m個節點群之間加入一個可信任的認證機構TA，認證每個節點的身份并頒發節點的公鑰證書，增加了PKG與節點之間私鑰傳輸的安全性。

作者:鄭麗萍