网络混合节点密钥可信控制方法研究

2021-03-23王军

科学技术创新 2021年7期

王军

（宿迁高等师范学校，江苏宿迁223800）

通信网络是信息数据主要载体，在军事和民事中应用较为广泛，但随着网络结构越来越复杂，引发了混合节点数量多、无线应用广泛等问题，这些都为通信网络带来一定安全隐患，因此，对混合节点密钥可信控制进行研究，管理网络安全密钥具有重要作用。文献[1]输入密钥参数，采用协同计算，生成混合节点密钥，为节点选择种子存储在PTPM 中，构建密钥层次结构，将其载入可信中继网络并加以使用，在可信内部生成最终数据密钥，将量子信道计算机作为用户终端，按照密钥的安全传输协议TCP/IP，通过密钥地址发送通讯信号，经过TQOS 传输给节点终端，随机分发共享密钥[1]。文献[2]在密钥生成终端设置传输统计模块，建立密钥分布式终端，保证密钥管理结构的可扩展性，当用户获取到量子密钥后，将其存入相应的量子密钥数据池，然后进行下一次密钥传输，当用户未获取到量子密钥，则量子密钥作废，没有传输成功，重新进行下一次密钥传输[2]。结合以上理论，提出网络混合节点密钥可信控制方法，对网络密钥进行管理，保证通信网络安全。

1 网络混合节点密钥可信控制方法设计

1.1 建立分布式密钥管理结构

建立混合节点密钥的分布式结构，将网络分割成多个管理域。定位混合节点密钥的管理节点，使管理域节点能够与域中的混合节点互连，将管理域作为可信控制范围，使其符合网络通信情况，其中混合节点密钥通过协商方式生成，使密钥可信控制分散在各个管理域，避免混合节点中心失效[3]。具体结构如下图所示：

图1 混合节点密钥分布式结构

当混合节点退出或加入时，不会受到管理域数量的约束，仅能引起某个管理域的变化，无限制增加混合节点数目，避免节点密钥扩散到整个网络，利用共享份额的方式，分散混合节点密钥的管理开销，使管理结构的扩展性能够适用拓扑结构复杂的大规模网络[4]。在网络中增加实时在线可信中心的基础设施，使混合节点能够动态加入网络，并且能够随时退出网络，最大程度呈现分布式结构的无中心优势，其中通信协议采用DH 协议，设置多个对等的可信控制参与者，使其能够各自共享一个份额，将DH 协议应用到密钥管理，生成混合节点的对等密钥，得到群组DH 协议，获得用于可信控制的成组密钥[5]。密钥建立过程中，预计算位置参数、随机数等信息数据，将预置信息作为密钥材料，使节点信息推广到全网，生成全网所有混合节点的端密钥，以此减少密钥材料的信息冗余，使节点与周围节点产生通信关系。至此完成分布式密钥管理结构的建立。

1.2 构建混合节点密钥可信控制协议

利用离散对数的方式，构建分布式密钥的可信控制协议。梳理网络节点总数、大素数、公开底数、秘密密钥、中间值等协议参数，把可信控制协议分为三个阶段，包括RSA 公钥对生成阶段、组密钥生成阶段、和端对端的密钥生成阶段。针对密钥的份额共享阶段，通过协议发起节点，生成混合节点的公钥和组密钥，为后续可信控制提供必要配置，并利用显示的密钥交换，计算混合节点间的端端密钥。计算公式如下：

1.3 可信控制网络混合节点密钥

提取混合节点密钥的部分公钥，实现密钥的可信控制。建立混合节点扩展公钥，通过分布式节点信息，提供本地认证服务，对密钥进行加密和解密，得到节点密钥的私密份额，再根据拉格朗日插值，向混合节点的相邻节点发起交换请求，实现节点密钥的本地化处理。当探测到异常行为节点时，直接判定撤销节点密钥，结合节点身份撤销机制和指控机制，发送撤销列表，明确节点密钥的撤销次数，删除原有混合节点，及时撤销节点身份，丢弃异常节点的信息数据，同时计算密钥的原有秘密份额，将其转换为新秘密份额，对其进行独立性处理，采用多跳加密的传输方式，实现节点秘密份额的更新。针对无异常节点，则采用地址绑定节点身份的方式，部署服务器中节点的初始化设置，划分新节点和老节点，协商所有混合节点的通信密钥，使新节点发送加入请求，确认加入密钥安全后，让老节点确认加入消息，承认网络混合节点的合法性，使通信基站和新节点能够同时拥有初始密钥。至此完成网络混合节点密钥的可信控制，完成网络混合节点密钥可信控制方法设计。

2 实验论证分析

进行对比实验，将此次设计方法记为实验组，传统网络混合节点密钥可信控制方法记为对照组，比较两组可信控制方法作用下，混合节点密钥的传输成功率、传输速率、传输时间。

2.1 实验准备

利用PTPM 和便携式PC，构成网络混合节点，其中PTPM为混合节点的有机组成部分，核心组件为FLASH 存储器、安全控制器、外围电路，便携式PC 采用900BGN 无线网卡、390M CPU、8GB 内存，密钥相关计算操作通过C 语言实现，将其下载到PTPM 安全控制器中，设置网络仿真最大模拟时间为1500s。网络测试环境如下：1 台带有量子信道的用户使用计算机、1 台技术交换机、1 套量子密钥生成终端、可信网络中的1 台TQOS和2 台TCC，其中可信计算机芯片型号为TPM 安全芯片。

2.2 实验结果

首先比较两组可信控制方法下，网络混合节点密钥的成功传输率，统计用户确认成功的传输密钥数量，计算其占传输出去的量子密钥总和比率，改变混合节点的密钥长度，传输成功率实验对比结果如表1 所示。

表1 密钥传输成功率对比结果

由上表可知，实验组和对照组的可信控制都可以进行正常的量子密钥信息传递，实验组平均传输成功率为98.49%，对照组平均传输成功率为95.64%，相比对照组，实验组密钥传输成功率提高了2.85%。比较不同密钥长度下的传输速率，实验对比结果如表2 所示。

表2 密钥传输速率对比结果

由表2 可知，实验组和对照组的传输速率都能够满足密钥生成终端的性能范围指标，实验组平均传输速率为44.542bits/s，对照组平均传输速率为33.714bits/s，相比对照组，实验组密钥传输速率提高了10.828bits/s。综上所述，此次设计方法相比传统方法，提高了密钥传输成功率和传输速率，缩短了密钥传输时间，保证了网络混合节点的传输效率。