高为民 朱凌志

（湖南工学院计算机与信息科学学院，湖南 衡阳 421002）

1 引言

随着物联网[1]在实际应用中的逐渐推广，物联网的安全问题越来越被人们重视。各式各样新型攻击方式的出现使得对物联网的安全体系的研究迫在眉睫。而密钥管理技术是物联网安全的核心技术，因此，研究物联网环境下的密钥管理机制具有较高的实用价值。

物联网是有多种类型的网络构成，如无线传感器网络、RFID网络、互联网等。对于物联网环境下的感知网络而言,除了部分智能终端外,大部分感知节点的计算能力和存储能力都比较低,传统的代价比较大的密钥管理协议和机制不能很好地适用于物联网环境下的感知网络,因此,需要针对感知网络的这些特点设计轻量级的密钥管理方案。

2 研究内容以及所面临的挑战

本文重点研究物联网环境下感知网络中的无线传感器网络(Wireless Less Sensor Network,WSN)以及射频识别网(Radio Frequency Identification,RFID)的密钥管理机制。

WSN由许多可以相互通讯的传感器节点构成,如图1所示,这些节点能够对感知区域内被监测对象的信息进行协作监测、感知和采集，然后对这些信息进行处理,并通过远程任务管理将处理结果传输给需要这些信息的用户[2]。RFID网络系统主要由电子标签(tag)、阅读器(reader)、天线(antenna)以及后台数据库组成,如图2所示。在RFID系统中,阅读器通过天线读取电子标签上的数据信息，并将这些信息发送到后台数据库进行存储或者直接提供给用户。

RFID和WSN的共同特点是，RFID中的电子标签以及WSN中的传感器节点都具有计算能力弱、能量有限以及存储空间比较小、通信距离短等特点。因而，在RFID和WSN中建立的密钥管理体系必须是轻量级的。RFID和WSN的不同点是，WSN中任何两个相邻的传感器节点之间都可以通信,而在RFID中,只有阅读器和电子标签之间才能通信。因此，RFID和WSN的密钥管理体系的研究内容与所面临的挑战又有些区别。

图1WSN网络系统组成

图2 RFID网络系统组成

2.1 WSN密钥管理技术的研究内容与挑战

WSN密钥管理包含密钥的建立、更新以及密钥的撤销等阶段，在密钥管理的不同阶段所研究的问题不同，所面临的安全威胁和挑战也不尽相同。下面分别探讨WSN密钥管理的各个阶段所需要解决的问题和面临的挑战。

(1)密钥的建立阶段。WSN密钥建立的最大挑战来自于传感器节点本身的计算能力以及资源限制,密钥建立的过程既要保证安全性,又要保证计算开销以及存储开销足够小。在密钥的建立过程中,需要根据不同的应用要求设计不同的密钥建立方案。实际应用中常见的密钥类型有对密钥和组密钥。对密钥指的是两个节点之间的通讯密钥；而组密钥指的是一组(大于2)节点之间的通讯密钥,通常用于安全组播。

对密钥的建立过程需要解决的主要问题是如何减少计算代价和存储代价,以及如何抵抗破坏密钥建立的各种攻击。进行密钥建立时常见的攻击类型有窃听攻击(eavesdrop attack)和假冒攻击(spoofing attack)。窃听攻击是指攻击者试图通过监听传感器节点传递的密钥材料来破解节点之间的通讯密钥的一种攻击形式。其中密钥材料是节点为建立通讯密钥所需要的某种信息。为了抵御窃听攻击,在设计密钥建立方案时,必须尽可能地降低节点之间传输的密钥材料占计算节点之间的通讯密钥所需要的密钥材料的比例。假冒攻击是指攻击者冒充合法节点与真正的合法节点建立通讯密钥的一种攻击形式。为抵御假冒攻击,密钥建立方案必须提供一种安全的认证机制。

组密钥的建立需要解决的问题是,如何减少组密钥发布的延时,在组成员节点之间协同生成组密钥时如何降低生成组密钥的计算量,以及如何避免多个组成员发起的合谋攻击等。另外,由于传感器节点数量具有不固定性,如何提高WSN中密钥建立方案的可扩展性也是WSN中密钥建立方案需要解决的一个问题。

(2)密钥更新阶段。节点之间的通讯密钥被破解的概率会随着时间的增加而增加,因此,需要定期对网络中节点的通讯密钥进行更新。对密钥和组密钥在进行密钥更新时所需要解决的问题略有不同。对密钥在密钥更新时需要解决的问题是,如何避免攻击者利用已泄漏的密钥来计算节点之间更新后的对密钥；对于组密钥而言,当组中有新节点加入或者有旧节点退出时都要进行密钥更新,需要解决的问题是,如何保证密钥更新的前向加密安全性和后向加密安全性。所谓前向加密安全性是指组成员在退出后,除非重新加入,否则无法再参与组播,包括获知组播报文的内容和发送加密报文；后向加密安全性是指新加入的组成员无法破解它加入前的组播报文。

(3)密钥撤销阶段。当传感器网络中某些节点被捕获时,其所用的对密钥以及组密钥在传感器网络中都不能被其它合法节点应用,需要将其全部撤销。密钥撤销需要解决的问题主要是,如何判断密钥撤销指令的合法性以及密钥撤销后如何建立新的通讯密钥。攻击者可能会不断地发出密钥撤销命令,以此来消耗节点的资源和破坏网络的安全性。因此,需要一种认证机制来鉴别密钥撤销指令的真伪。另外,通常情况下,为了节省存储空间和提高系统安全性,节点保存的密钥材料在节点的通讯密钥建成后都会被删除。当某些对称密钥被撤销后,原来使用这些对称密钥的节点对之间需要重新建立对称密钥,而原来用来建立对称密钥的密钥材料都已经被删除,此时如何建立节点对之间的通讯密钥是一个挑战。

2.2 RFID密钥管理技术的研究内容与挑战

RFID系统所面临的威胁主要是隐私威胁(privacy threats)和安全威胁(secure threats)。隐私威胁是指攻击者通过使用未授权的阅读器阅读电子标签来获得一些私密信息,这些私密信息中可能包含一些具有唯一性特点的信息,攻击者可利用这些信息进一步发动秘密跟踪攻击(clandestine tracking)[3]。RFID系统所面临的安全威胁主要有假冒攻击(spoofing attack)和重放攻击(replay attack)[4]。在RFID系统中,假冒攻击的一种形式是,攻击者通过在一些空白的电子标签上写入一些具有某种适当格式的数据来冒充真正合法的电子标签；假冒攻击的另一种形式是标签克隆(tag cloning),即制造出合法电子标签的多个非授权拷贝。重放攻击是指攻击者通过拦截并转发合法阅读器发出的查询请求来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

同WSN一样,RFID系统中的密钥管理机制也分为密钥的建立、更新和撤销三个阶段。

(1)密钥建立阶段。这一阶段主要为阅读器和电子标签之间建立通讯密钥,通常有两种方法∶建立对称密钥和建立非对称密钥。然而,这两种密钥建立方法都会遇到挑战。如果阅读器和电子标签之间建立的通讯密钥是非对称密钥（即采用公钥加密）,则会提高系统的安全性,但由于电子标签的计算能力有限,使得公钥加密的方法的可行性降低；如果阅读器和电子标签之间建立的通讯密钥是对称密钥,加解密的计算量都比较小,比较适合RFID系统,但由于电子标签数量众多(甚至有好几百万个),如果全部标签采用一个对称密钥,则安全性不够,如果为每对电子标签与阅读器之间分配不同的对称密钥,则会增加阅读器进行密钥查找的难度,增加相互认证的延时。因此,采用对称密钥作为阅读器和电子标签的通讯密钥时,需要解决的一个关键问题是如何减少阅读器在服务器端的密钥查找难度。

(2)密钥更新。当电子标签与读写器之间的通信密钥泄露以后,需要对其进行密钥更新以使得它们能够继续安全通信。一种简单的方法是,令电子标签与阅读器各保存多个对称密钥,当电子标签与读写器之间的某个通信密钥泄露之后,电子标签与阅读器可将该通信密钥丢弃并启用下一个通讯密钥与读写器进行通信,从而完成密钥更新。然而这样会大大增加阅读器端服务器上的密钥存储量,增大读写延迟。因此,需要更深一步研究RFID系统的密钥更新问题。

(3)密钥撤销。当电子标签与读写器之间的通信密钥泄露以后,如果不及时撤销泄露的密钥,攻击者可以制造出许多非法的电子标签,并利用已破解的密钥和阅读器进行通讯,传递许多虚假信息。密钥撤销需要有一种有效的认证机制,以保证电子标签接到的密钥撤销命令是合法阅读器发出的命令,否则,攻击者可能会恶意撤销通信密钥,造成合法阅读器与电子标签之间无法正常通讯。

3 方案和协议的分类总结

3.1 WSN密钥管理研究方案和协议分类总结

在WSN中，由于大多数情况下网络的拓扑情况不可预知，传感器节点只能在部署后通过预先部署在节点上的密钥材料协商和计算得出节点之间的通信密钥。因此,目前WSN密钥管理方案和协议主要是针对密钥材料的预分配方式和节点部署完成后建立通讯密钥的协商模式展开研究，大致可以分为以下三类：

(1)集中式密钥管理。主要指基于可信中心KDC的密钥管理模式,如SPINS[5]。在该类模式的协议中,每个传感器节点上预先部署的密钥材料是节点与汇聚节点之间的共享密钥,节点与节点之间的通信密钥的建立与更新等都需要通过汇聚节点来完成。这种模式的优点在于每个节点所需要的密钥存储空间小,计算复杂度也较低；缺点是密钥协商通信开销大,过分依赖汇聚节点,容易造成网络瓶颈,存在单点失效问题,并且如果汇聚节点被攻破,则整个网络的安全性将遭到破坏。

(2)分布式密钥管理。主要指采用密钥预分配方案的密钥管理模式。在这类模式的协议中,节点部署前预先部署的初始密钥是一些密钥集合或者密钥参数,节点使用这些初始密钥或者密钥参数和相互协作来建立节点之间的通信密钥。这种模式的优点在于通信密钥协商不依赖汇聚节点,消除了网络瓶颈,能较好地应用于分布式环境中；缺点是需要保存的密钥量较大,因此与集中式的密钥管理模式相比,增加了存储开销。采用密钥预分配方案最典型的代表是Eschenauer和Gligor提出随机密钥预分配E-G方案[6]。为了降低通信代价和存储代价,提高可扩展性和抗节点受损攻击能力,出现了很多E-G方案的改进方案,如改进密钥池的Q-composite[7]、DDHV[8]、RS方案[9]等等；利用节点位置信息的CPKS方案和LBKP方案[10]、Grib-based方案[11]和PIKE方案[12]等。

(3)层次密钥管理。层次密钥管理模式又称为半分布式管理模式,在该类模式的协议中,网络节点被分为若干簇,每一簇中有一个能力较强的簇头进行管理,负责簇中传感器节点之间的密钥分配、协商和更新等操作,如LEAP方案[13]、LOCK方案[14]、URKP方案[15]等等。该模式是前两种模式的折中,因此折中了集中式和分布式密钥管理模式的优点和缺点,是目前WSN密钥管理的研究的主要热点之一。

3.2 RFID密钥管理方案和协议分类总结

总体而言,目前有关RFID密钥管理方面的文献相对较少,这些文献中所提出的一些方案和协议按照所采用的核心技术可分为基于哈希函数的RFID密钥管理协议、基于可信赖第三方的密钥管理协议、基于噪音的密钥管理协议、基于神经加密的密钥管理协议以及基于公钥加密的密钥管理协议等。下面分别对其进行介绍和分析。

3.2.1 基于哈希函数的RFID密钥管理

哈希函数具有单向性特征,即已知哈希函数的输出求哈希函数的输入是十分困难的。利用哈希函数的这种单向性特征,可设计具有相互认证功能的RFID密钥管理协议。目前,许多基于哈希函数的RFID安全协议主要解决如何在阅读器和标签之间进行双向认证的问题,典型的有Hash Lock协议、随机化Hash Lock协议、Hash链协议等。然而,阅读器与标签之间除了需要进行双向认证之外,还需要安全的密钥建立与更新机制,以保证通讯的安全性。文献[16]提出了一种基于哈希函数的密钥建立协议,该协议不但能够提供双向认证功能还能够在阅读器与电子标签之间安全建立会话密钥。然而,该协议的缺点是后台数据库需要保存与每个电子标签之间的对称密钥,当电子标签数量众多时,后台数据库保存的对称密钥数量也会很大。由于阅读器与电子标签之间的相互认证依赖于后台数据库与电子标签之间的对称密钥,当后台数据库中的对称密钥数量太大时会增大阅读器与电子标签之间的认证延迟。

3.2.2 基于可信赖第三方的RFID密钥管理

目前大多数关于RFID的密钥管理研究成果都假设阅读器与后台数据库之间的通讯是安全的,而一些研究人员认为,随着大量低成本可移动阅读器的应用,这种假设将不再成立。Bai Enjian等人提出了一种应用于移动RFID服务系统的密钥管理协议,该协议引入了一种被称为TTP-RPS(Trust-Third-Party and Privacy-Policy-Based System)的可信赖第三方系统,并利用该系统通过发放证书的方式建立电子标签、阅读器以及后台数据库服务系统之间的会话密钥。该协议通过在阅读器与后台数据库服务系统之间采用匿名通讯的方式为阅读器提供隐私保护,并通过动态更新电子标签ID来抵御跟踪攻击,有效提高了系统的安全性。

3.2.3 基于噪音的RFID密钥管理

基于噪音的RFID密钥管理技术需要在包含物品信息的电子标签与阅读器之间引入一种被称为噪音标签的特殊标签。这种特殊的电子标签可以在阅读器与被询问标签之间的公共信道上制造噪音,只要保证这种噪音只能够被阅读器区分出来就能够保证阅读器与电子标签之间安全的进行通讯密钥交换。文献[26]是基于噪音的RFID密钥管理技术的典型例子。这种密钥管理技术需要在RFID系统中插入一种新的组件以保证攻击者无法将噪音与被访问标签的正常信号区分开来。同时,为了防止攻击者进行重放攻击(replay attacks),需要引入动态噪音(dynamic noise),增加了系统管理的复杂性。

3.2.4 基于神经加密的RFID密钥管理

神经加密是指利用神经网络产生密钥的一种加密方式[3]。神经网络是由多个平行的分布式处理器构成的一种网络体系结构。树对等机(tree parity machine)是一种最常见的神经网络结构体系结构。这种体系结构由一个负责提供数据的输入层、一个或者多个负责提取更高层次统计结果的隐身层(hidden layers)以及一个负责输出总体统计结果的输出层构成。两个树对等机通过公共信道交换输出结果数据,当二者具有相同输出结果时更新隐身层中神经元的权值。当两个树对等机的权值相同时,则可将树对等机的权值作为两通讯实体的会话密钥。基于神经加密的RFID密钥管理能够保证密钥建立的安全性,但在密钥建立过程中需要进行多次数据交互,增加了密钥建立的延时。

3.2.5 基于公钥加密的RFID密钥管理

文献[27]证明基于公钥加密系统的RFID认证协议可以提供更好的安全性和私密性,基于此,文献[17,18]提出了基于公钥加密的RFID认证协议。然而,目前的公钥加密算法计算复杂度较高,需要进一步研究如何减少公钥加密算法的复杂度。

4 研究展望

物联网环境下的感知网络的密钥管理技术研究工作面临许多挑战,虽然目前国内外学者已做了一些工作,也取得了一些初步成果,但还有许多问题需要解决。关于WSN密钥管理方面下一步的研究重点包括：

（1）建立能满足单播、组播和广播等多种类型的通信密钥。目前的WSN密钥管理方案和协议大多仅考虑建立邻居节点间的配对密钥,但配对密钥只能实现节点一对一通信,不支持组播或全网广播。新的方案或协议应建立多种类型通信密钥,满足像单播、组播、泛播或广播通信等需求。

（2）密钥的动态管理。在WSN网络中sensor节点不可避免地会受损,密钥管理体系要能够动态更新或撤回已受损节点的密钥。另外，在一些WSN中,节点可能由于自身的能力或者在外力作用下发生移动。目前大部分WSN密钥管理方案和协议都是基于静态传感器网络的,需要进一步研究动态网络环境下的密钥管理体系。

（3）有效的身份认证机制。密钥的协商协议需要对数据包和节点身份进行有效认证,防止攻击者假冒合法节点加入网络。在对称密钥管理中单纯的物理地址认证机制存在被伪造的问题，而基于非对称密钥的数字签名机制由于计算开销量大不太适用于WSN。因此，需要进一步研究符合WSN特点的身份认证机制。

（4）节点的容侵性和容错性支持。节点由于具备易被捕获及计算通信能力受限的特点,使得WSN中节点易受到攻击。此外,由于无线通讯的不可靠性,数据包丢失不可避免。如何更好地支持容侵和容错是WSN密钥管理技术下一步需要深入研究的研究点。

关于RFID网中的密钥管理技术方面下一步的研究重点有：

（1）研究高效安全的轻量级RFID密钥建立、撤销、更新机制。目前RFID安全方案的研究主要集中在如何建立安全的认证机制。而事实上,针对密钥管理体系本身的研究不容忽视,需要充分考虑RFID系统的资源有限性,设计出计算开销、存储容量和通信代价低的轻量级密钥建立、撤销、更新机制。

（2）支持密钥参数的动态分配与管理。RFID标签同样会受损、被俘获以及被假冒,若要把受损标签排除或者避免假冒攻击和重放攻击,需要研究如何对密钥参数进行动态管理。

（3）降低RFID公钥加密算法的复杂度。公钥加密算法比对称密钥加密算法拥有更好的安全性,但公钥加密的计算复杂度较高,为了能更好地在RFID中应用公钥加密算法,需要进一步降低公钥加密的计算复杂度。

5 结语

在物联网环境下的感知网络中,节点的资源有限且计算能力较弱,在这样的背景下提高感知网络的安全性具有较大的挑战性,需要为感知网络设计安全系数高的轻量级密钥管理体系。本文主要分类总结了目前学术界在WSN以及RFID密钥管理方面所取得的研究成果,分析其研究方法,并指出了各个方法中存在的问题与不足。通过对已有方法的总结和分析可以看出,目前关于物联网环境下的感知网络密钥管理方面的研究工作虽然取得了一些进展,但仍存在许多问题。如何解决这些问题将是下一步的研究重点。

[1]O SAVRY,F VACHRAND.The Internet of Things:20th Tyrrhenian Workshop on Digital Communications[M].New York:Springer,2010.409-418.

[2]李建中,高宏.无线传感器网络的研究进展[J],计算机研究与发展,2008,45(1):1-15.

[3]M FINMINO GB BRANDAO.AMG GUERREIRO,RA DEM VALENTIM.Neural Cryptography Applied to Key Management Protocol with Mutual Authentication in RFID Systems[C]//Proc.of International Conference for Internet Technology and Secured Transactions(ICITST 2009).2009:1-6.

[4]M RIEBACK,B CRISPO,and A TANENBAUM.The Evolution of RFID Security[J].IEEE Pervasive Computing,5(1):62-69,2006.

[5]A PERRIG,R SZEWCZYK,JD TYGAR,V WEN,DE CULLER。SPINS:Security protocols for sensor networks[J].Wireless Networks,2002,8(5):521-534.

[6]L ESCHENAUERL,VD GLIGOR.A key-management scheme for distributed sensor networks[C]//Proc.of the 9th ACM Conference on Computer and Communications Security(CCS’02).2002:41-47.

[7]H CHAN,A PERRIG,D SONG.Random key predistribution schemes for sensor networks[C]//Proc.of the 2003 IEEE Sym.On Security and Privacy.2003.197-213.

[8]W DU,J DENG,YS HAN,et al.A Pair wise Key Pre-Distribution Scheme for Wireless Sensor Networks[C]//Proc.of the 10th ACM Conf on Computer and Communications Security.2003.42-51.

[9]W DU,J DENG,YS HAN,et al.A key management scheme for wireless sensor networks using deployment knowledge[C]//Proc.of IEEE INFOCOM’04.2004.586-597.

[10]D LIU,P NING.Location-based pairwise key establishments for static sensor networks[C]//Proc.of the 1st ACM Workshop on Security of Ad Hoc and Sensor Networks.2003.72-82.

[11]D LIU,P NING.Establishing Pairwise Keys in Distributed Sensor Networks[C]//Proc.of the 10th ACM Conference on Computer and Communications Security.2003.52-61.

[12]ZH LIU,JF MA,QP HUANG.Domain-based Key Management for Wireless Sensor Networks[J].Chinese Journal of Computers,2006,29(9):1608-1616.

[13]S ZHU,S SETIA,S JAJODIA.LEAP:Efficient security mechanisms for large-scale distributed sensor networks[C]//Proc.of the 10th ACM Conf。on Computer and Communications Security.2003.62-72.

[14]M ELTOWEISSYl,M MOHAMIM,R MUKKAMALA。Dynamic Key Management in Sensor Networks[J].IEEE Communications Magazine,2006,44(4).122-130.

[15]P TRAYNOR,H CHOI,G CAO,et al.Establishing Pair-wise Keys in Heterogeneous Sensor Networks[C]//proc.of IEEE INFOCOM’06.2006.1-12.

[16]HE LEI,GAN YONG;LI NA-NA;CAI ZENG-YU。A Security-provable Authentication and Key Agreement Protocol in RFID System[C]//Proc.Of the Third International Conference on Wireless Communications,Networking and Mobile Computing(WiCom 2007).2007.2078-2080.

[17]SV KAYA,E SAVA.Public key cryptography based privacy preserving multi-context RFID infrastructure[J].Ad Hoc Networks,2009,7(1):136-152.

[18]R EUN,T TAKAGI.A hybrid approach for privacy-preserving RFID tags[J].Computer Standards&Interfaces,2009,31(4):812-815.