基于区块链的工业互联网动态密钥管理
2023-03-02张泽林王化群
张泽林 王化群
(南京邮电大学计算机学院 南京 210023)
2020 年4 月,“新基建”被正式提出,工业互联网技术越来越得到国家的重视,未来将成为国家经济发展的重点,也是各国发展工业的新优势.而随着工业互联网技术的发展,工业互联网数据也迅速地增长,数据安全逐渐成为工业互联网发展的重要保障[1].
本文主要针对钢铁生产中的智能设备点检系统数据传输安全,传统设备点检工作主要是通过专业人员去现场实时采集数据、分析数据,发现问题通知专业设备人员进行处理,处理完毕再进行验收反馈.点检人员操作繁琐,工作效率低;人工输入数据,工作错误率高;各部门没有有效的监督机制,容易出现遗漏;工作环境恶劣,容易出现烫伤、密闭空间窒息等安全隐患.智能点检系统通过网络传输信息,通过传感器将设备运行状态实时传输到服务器中,工作人员可以远程实时查看设备运行数据.目前,智能点检系统在某些钢铁企业得到应用,大量的信号采集,实时传输使得设备的可靠性以及生产的效率得到了显著提升,尤其是点检人员的点检效率也得到了提高,及时发现并解决故障,使设备得到更长的使用寿命,预防了设备事故的发生.
由于智能点检需要大量的传感器,传感器的数据需要进行整合分析上传到服务器,并且传感器设备之间也需要进行实时有效安全的传输数据.比如:点检系统中涉及铁水脱硫、混铁炉、转炉冶炼、吹氩、精炼以及连铸等多个工序,工序之间的传感器设备之间需要有效地及时信息交互,才能准确地判断设备生产状态.因此,数据安全是保障炼钢点检智能化发展的重要前提.与普通互联网不同的是,一旦智能系统上的机密数据遭到泄露,可能将会导致企业失去核心竞争力,并且生产过程中的设备控制权限、状态参数如果被不法分子截获篡改,则会影响设备安全运行,导致严重的安全事故,危害国家安全、经济发展以及社会稳定.
现在的工业现场通信面对大量的节点设备,需要建立安全可靠的信息传输.密钥管理在工业互联网中便起到了重要作用[2-3].近几年,互联网中的密钥管理引起了众多研究者的兴趣.密钥管理主要分为集中式密钥管理和分布式密钥管理2 种类型.
集中式密钥管理即为由单一中心节点负责生成、分发和更新系统中节点所用的加密密钥或者会话密钥[4-8].Sun 等人在文献[4]中提出了一种多组密钥管理方案,实现了分层的组通信访问控制.在文献[5]中,Je 等人提出一种安全组播通信的密钥树管理协议以及一种高效计算存储的密钥树结构;接着,冯力等人在文献[6]中提出基于单项散列函数的多级密钥管理方案,根据访问控制矩阵实现安全高效的多密级授权访问;然后,Gao 等人在文献[7]中提出一种基于椭圆曲线的匿名多播方案,利用多项式进行分发,具有更高的效率.
分布式密钥管理即为无单一中心节点,密钥由所有成员共同管理[9-12].Lou 等人在文献[9]中提出了一种基于区块链的密钥管理方案,解决通信实体之间缺乏信任的问题.Zhao 等人在文献[10]中设计了一种轻量级高效可恢复的密钥管理方案,用于保护医疗数据隐私信息.Lei 等人在文献[12]中提出一种基于车联网的组密钥管理方案,利用区块链实现了异构车辆通信系统中的分布式密钥管理方案.
集中式密钥管理方案的优点是较低的计算和传输的成本开销.但是需要一个可信第三方来充当密钥生成中心(key generation center,KGC),在注册阶段与每个用户建立成对的共享密钥.在组通信阶段,由KGC 首先选择生成组密钥并通过共享密钥加密后分发给每个组用户.因此,需要可信第三方KGC 来保证通信系统的安全.但是,一旦KGC 被攻陷,则会导致整个通信系统的崩溃.在工业通信现场,任何节点随时都有可能遭到攻击,因此去中心化的密钥管理方案是非常有必要的.
近几年,随着5G 技术的普及,工业互联网中大多数应用程序都是将数据通过一个集中的云服务器进行存储或者处理的.然而,集中处理的服务器对于大规模系统也存在着单个中心节点被攻陷的威胁.而且对于大型应用如炼钢产业、车联网等需要低延迟网络通信来说,集中式密钥管理方案可能并不是最优的.
利用边缘计算结合区块链则可以解决通信延迟的问题.边缘节点一般具有较高的存储以及计算能力,可以给较低存储以及较低计算能力的传感器节点提供低延迟的服务,并且可以为云服务器减少计算负担[13].区块链可以保证存储数据的公开透明以及不可篡改.两者相结合可以为工业互联网提供更高的性能以及安全性[14-15].最近,新兴的边缘计算[16-17]以及区块链技术[18]已经得到了广泛的研究.Ning 等人在文献[19]中提出在车联网中部署高计算、高存储的路边单元(road side unit,RSU),实现车辆通过路边单元进行高效的信息传输.Ning 等人在文献[20]提出一种基于边缘计算的5G 健康监测系统.在文献[21]中,Yang 等人提出通过边缘节点与云之间的相互交互来处理工业互联网的大数据流;接着,Pan 等人在文献[22]中设计了一种基于区块链以及智能合约的边缘物联网框架,有效地将边缘计算以及区块链的优势整合到了物联网中.
本文通过引入区块链技术结合边缘计算,有效避免中心节点会被攻陷而产生的安全问题.通过使用二元多项式产生密钥,保证较快的处理速度和时效性,并且能够有效适应节点的出入,保证节点之间的有效通信与系统通信的安全性.
本文给出一种不同于传统的新的访问结构,使用非对称双变量多项式构建子份额,由初始元节点(一般选择使用寿命长、工作环境较好、不会轻易下线的传感器设备)共同产生多项式,而非单个中心节点产生,使每个节点有效获得安全的子份额.在有节点丢失子份额时,可通过其他节点有效恢复子份额.非对称双变量多项式中双变量中不同的阶数提供不同的阈值,一方面保证在短时间大量节点加入时多项式密钥的安全性;另一方面保证在稳定状态,即无节点出入时期,能有效恢复份额,进行有效通信.而且,在新节点加入时,节点获得的高阈值份额不能够获取其他节点的任何有效信息,但是仍能够与已加入节点进行有效通信.
本文主要贡献有3 个方面:
1)提出一种基于二元多项式的去中心化密钥管理方案.节点的份额由二元多项式生成,具有较快的处理速度以及较低的存储开销,因为无需存储大量成对的共享密钥,只需要通过存储二元多项式的系数即可.初始的二元多项式由所有元节点共同生成,并分发给其他普通节点,使密钥管理具有去中心化特点.
2)通过阈值切换,有效抵御节点出入对通信系统的威胁.方案使用的是非对称二元多项式,具有2个不同阶数的变量,能够有效地进行不同阈值的切换,提高通信系统的安全性.
3)利用区块链技术以及Kate 承诺,实现安全的点对点通信以及多组通信.由于区块链去中心化、不可篡改的特点,再结合Kate 承诺能够保证节点之间更安全有效的信息交互.
1 相关技术
1.1 区块链
区块链[23]是一种去中心化、不可篡改的数字账本.不同于传统系统的中心化的特征,区块链能够在无信任环境下进行安全可验证的交易计算.随着区块链的快速发展,区块链在大数据、云计算等领域都得到了广泛的应用.
目前,区块链主要分为3 种链,分别是公有链、私有链以及联盟链.在公有链上,各节点可以自由进出并且参与链上数据的读写;私有链必须得到授权的节点才能加入,读写权限也只能有选择地开放;联盟链是基于多个不同的机构共同管理的区块链,数据只允许不同的机构进行读写.许多商业业务根据需求选择使用不同的区块链[24-25]来改善传统信息化系统,通过区块链保护用户的密钥以及敏感隐私数据.
1.2 Kate 承诺
Kate 承诺是Kate 等人[26]在2010 年提出的多项式承诺方案.
方案主要分4 个步骤:
1)Setup.选择一个合适的双线性对群组(p,G,GT,e,g),其中生 成元为G,配对函数e:G×G=GT,假设多项式最大阶数为t,随机选择一个私钥sk=s,则公钥.将公钥公开,并销毁(遗忘)私钥.
3)CreateWitness(φ(i),i,pk).计算目标 多项式x=i处的多项式值φ(i),并计算
设Wi=gω(s).其中Wi即为多项式φ(x) 在x=i处的证据.
4)VerifyEval(C,i,φ(i),Wi).输入φ(i),承诺C以及证据Wi.验证等式是否成立:
若等式成立,则承诺C所表示的多项式φ(x)在i处的值φ(i)是正确的.
其验证的公式推导过程为:
1.3 Shamir 秘密共享
Shamir 秘密分享[27]是基于多项式的可信第三方D在 Zq上生成的一个t−1阶多项式f(x),并且令f(0)=s,其中s即为秘密并且s∈Zq.D生成不同的份额f(xi),i=1,2,…,n,其中xi是每个成员相应的公开信息.任意t个成员可通过拉格朗日插值法恢复秘密值,即.Shamir 秘密分享需要满足2 个安全要求:1)拥有大于等于t个份额即可恢复秘密;2)拥有少于t个份额则不能够获得该秘密的任何信息.
2 系统模型与安全模型
2.1 系统模型
本系统将需要通信的设备节点分为3 种:普通节点、元节点以及新节点,它们的关系如图1 所示.
1)普通节点.所有分布在炼钢产业线上点检系统的传感器.对现场的设备进行检查、采集数据,并上传到数据库中.
2)元节点.从普通节点中选取的一部分(也可以是全部)作为元节点,一般选择使用寿命长、工作环境较好、不会轻易下线的传感器设备作为元节点.元节点需要互相合作生成初始的多项式,并将份额分发给其他所有节点,以达到节点之间互相通信的目的.本系统可容忍元节点为半诚实节点(honest-butcurious)(诚实且好奇的节点),即使部分元节点离线或者被攻陷,仍无法影响其他节点持有份额信息的安全以及通信系统的正常运作.
3)新节点.需要加入点检系统的新的传感器节点.新节点的加入需要一定数量的普通节点的帮助.如果普通节点的数量不够,则全部的元节点也可以帮助新节点成功加入通信系统.
系统模型如图1 所示.其中,低阈值份额与高阈值份额定义为:
1)低阈值份额.非对称双变量多项式中,2 个变量的阶数分别为t,n′,满足t 2)高阈值份额.与1)同理,当且仅当获得n’阶的份额时,即为高阈值份额. 首先,选取部分或者全部的传感器节点作为元节点,多个元节点共同生成随机多项式,并将低阈值份额发送给所有其他节点.其他节点收到并计算出自己相应的完整份额,并且不可能得知不属于自己的份额信息.节点通过自己份额可计算出与其他节点的成对的共享密钥,并按照约定通过共享密钥进行点对点通信.其次,节点之间可以通过成对的共享密钥协商组密钥,并且通过区块链上摘要来验证发起者发送的组通信信息的正确性,进行安全的组通信.再次,新节点要加入时,需要一定数量的普通节点发送份额信息来帮助新节点获得部分高阈值份额,并通过发送到区块链上的承诺来验证份额信息的正确性,进而计算出可与通信系统中的部分节点进行通信的新节点自己的部分份额,而加入期间获得的部分高阈值份额保证通信系统可容忍较多节点同时加入且不影响通信系统安全.如果普通节点数量不够,可通过所有的元节点发送信息获得份额.最后,节点加入完毕后,一定数量的普通节点可帮助新节点恢复全部份额,进而新节点则成功加入通信系统与所有其他节点进行有效通信.如果普通节点数量不够,则可通过所有元节点发送信息恢复全部份额. 本文方案使用的是端—边—云的层次区块链结构,如图2 所示,系统总共包含3 层:设备层、边缘区块链层以及云区块链层.具体描述为: 1)设备层.设备层一般包括各种各样的基础设备节点(例如工业计算机和边缘路由器等),本文方案中主要包含普通节点以及元节点.将设备层部署在工业产业中,执行检测、取样等相关工作.由于计算以及存储能力有限,可将节点之间密钥协商所需要的验证数据发送到边缘层的边缘节点中.边缘层的存在使得设备区的节点查询或者区块链数据的上传变得更加快捷方便. Fig.1 Dynamic key management model of industrial network based on blockchain图1 基于区块链的工业互联网动态密钥管理模型 Fig.2 Blockchain deployment structure图2 区块链部署结构 2)边缘区块链层.边缘区块链层是由大量的边缘节点(如基站)组成,它们一般有着较大的存储空间以及计算能力,接受设备层传来的数据,并可以低延迟地对数据进行集合、封装等相关处理.边缘计算节点通常更靠近基础设备节点,因此可有效降低通信时延,提高通信效率. 3)云区块链层.云区块链层借助其具有数据一致性以及防篡改的特点,保证信息的完整性、时序性.在本文方案中主要用于协助实现节点认证以及消息验证等功能. 在工业互联网环境中部署基于边缘计算的层次区块链,一方面,利用边缘服务器固有的较高计算能力以及存储空间,为基础设备节点提供低延迟的服务,并为云服务器分担计算负担;另一方面,区块链是可靠的分布式记账本,通过共识机制来保证事务数据的不可篡改等特性. 本节提出的本文方案的安全需求具体描述为: 1)可防御性.任何时期,敌手攻陷低于一定数量的节点(包含部分元节点)时无法获取任何其他节点的信息. 2)可恢复性.任何时期,有节点丢失份额时都可以通过其他节点帮助恢复原有份额信息. 3)保密性.组通信时期,只有组成员知道组密钥并且知晓所有组内成员身份,组外成员无法得知密钥以及组内成员的身份. 本文方案系统的阈值切换如图3 所示,其中t 1)稳定期间即无节点出入期间,敌手最多可以攻陷t个节点(包含部分元节点),串通攻击无法得知其他任何节点的份额信息. 2)节点出入期间,敌手最多可以攻陷n′个节点(包含部分元节点),串通攻击依旧无法得知其他节点的份额信息. 3)即使敌手攻陷部分元节点,仍无法得到任何其他节点的份额信息. Fig.3 Schematic diagram of threshold switching图3 阈值切换示意图 本节主要提出适应工业互联网动态节点的密钥管理方案.方案分为4 个阶段:密钥生成、组密钥协商、节点变更、份额恢复. 1)密钥生成.无需单个中心节点,通过初始元节点共同生成二元多项式,并分发给所有节点,节点自行构建子份额.节点可以通过子份额得到节点之间成对的共享密钥. 2)组密钥协商.节点可以发起组通信,通过成对的共享密钥进行组密钥协商,利用区块链实现可靠的组通信. 3)节点变更.当有节点加入时,可以容忍大量节点同时加入,不会危及到通信系统任何其他节点的密钥安全,并且能及时与部分原有节点进行有效通信. 4)份额恢复.节点变更完毕,系统稳定以后,通过其他节点来恢复新加入节点的全部份额,保证新加入节点跟其他所有节点的有效通信. 具体结构为:令p是一个大素数,是节点成员集合,是新加入的节点成员.为了阅读方便,在表1 总结了这些符号以及对应的描述. 1)选取{Pi}i∈[n]中部分节点{Pi}i∈[r](r≤n)为元节点,然后每个元节点Pi随机生成一个非对称双变量多项式fi(x,y)=其中x的阶数为t,y的阶数为n′,ai,j∈GF(p),并且满足t Table 1 Symbols and Their Descriptions表1 符号及其描述 2)Pi根据其他节点Pj相应的公开信息xj计算出fi(xj,y)以及fi(x,xj),其中满足j∈[n]且j≠i.并将生成的子份额i≠j通过安全信道发送给相应的节点Pj. 3)Pj收到其他所有节点发送的子份额{fi(xj,y),首先检查收到子份额是否满足x的阶数为t,y的阶数为n′,若满足,则继续计算 其中F(xj,y)阶数为n′,F(x,xj)阶数为t.并根据Kate 承诺协议计算F(xj,y) 与F(x,xj)的承诺以及(计算方法参考1.2 节),将其上传到区块链上.然后生成一个随机数rj,满足rj≠0,并将随机数rj广播给其他成员. 4)每个节点Pi根据其他节点相应的公开信息xj,并通过持有的份额F(xi,y)以及F(x,xi),计算出ki,j=F(xi,xj)或者kj,i=F(xj,xi).ki,j,kj,i即为Pi与Pj的共享密钥,并约定如果i 假设Pi要发起组密钥通信,其中组通信成员设为节点子集其中1 ≤m≤n. 此时,短时间新节点只要不超过n′个,则所有新节点串通起来也永远无法得知关于其他节点的任何相关份额信息.如果再串通原有的t个被攻陷的普通节点,则新节点中攻陷节点不能超过n′−t个.并且新节点一旦加入即可与部分其他原有节点建立共享密钥,进行有效通信. 新节点加入需要t+1个诚实的普通节点或者所有的元节点.值得注意的是,普通节点也包含元节点,只要保证系统中存在大于阈值t的普通节点即能够帮助新节点加入,因此即使部分元节点被攻陷,也不能影响节点变更阶段.并且由于份额是由所有元节点共同生成,因此攻陷部分元节点也无法获取其他节点的份额信息. 节点变更完毕,所有节点{Pi}i≤[n+m]稳定以后,要恢复所有成员全部份额. 由于存在节点出入,故此阶段不一定存在足够的普通节点帮助新节点恢复份额,故当数量不足时,需要元节点帮助恢复新节点的份额. 此时,所有节点成员都持有自己的全部子份额,可根据子份额与其他任意成员构建共享会话密钥,并进一步构建组会话密钥. 新加入的节点恢复份额需要至少n′+1个普通节点(包括新加入的节点)或者所有的元节点. 定理1.密钥生成阶段,每个节点得到的多项式是多项式的子份额. 证毕. 每个节点得到的多项式子份额都是由所有初始元节点共同决定的,即因此,只要有一个元节点是诚实的,那么就能够保证每个节点得到的子份额是随机的,并且每个节点只能够知道自己的份额. 证毕. 定理3.节点变更阶段可以通过2 种方式获得份额:1)通过t+1个普通节点发送来的子份额;2)通过r个元节点发送相应的子份额. 证明.分析2 种方式获得份额: 定理4.节点恢复阶段,可以通过2 种方式获得份额:1)通过n′+1个普通节点发送来的子份额;2)通过r个元节点发送相应的子份额. 证毕. 定理5.可防御性.任何时期,敌手攻陷低于一定数量的节点,无法获取任何其他节点的信息. 证明.对稳定时期和节点出入时期进行分析. 1)稳定时期(即无节点出入时期),可以抵御t个以下攻陷节点串通企图恢复多项式F(x,y)的攻击. 2)节点出入时期,可以抵御n′以下个攻陷节点串通企图恢复多项式F(x,y)的攻击. 考虑最坏的情况下,节点变更阶段之前,攻陷节点的个数为t个,新加入节点中攻陷节点的个数为n′−t个,那么攻陷节点总共可以获得多项式F(xi,y)的任意t个份额以及F(x,xj)的任意n′−t+t个份额,由于多项式F(x,y)是非对称二元多项式,其中x的阶数为t,y的阶数为n′,那么刚好无法恢复其他任何诚实节点的份额.因此总共可以抵御n′个以下攻陷节点的串通攻击. 同时,在3.3 节的节点变更阶段中,当原有通过普通节点阈值时,通过元节点获得份额,而元节点生成的fi(x,y)的阶数与F(x,y)的阶数一样,因此也具有同样的性质. 证毕. 定理6.可恢复性.任何时期,有节点丢失份额,都可以通过其他节点帮助恢复原有份额信息. 证明.普通节点(包括元节点)Pi丢失持有的份额F(xi,y)以及F(x,xi),可通过其他普通节点Pj发送相应的份额信息F(xi,xj)以及F(xj,xi)插值计算 重新获得F(xi,y)以及F(x,xi). 如果由于节点出入,导致普通节点数量不够,则可通过r个元节点Pj发送相应的子份额fj(xi,y)以及fj(x,xi),并计算 重新获得F(xi,y)以及F(x,xi). 证毕. 定理7.保密性.组通信时期,只有组成员知道组密钥并且知晓所有组内成员身份,组外成员无法得知密钥以及组内成员的身份. 证明.分析内部攻击以及外部攻击: 1)内部攻击.由定理5 可以知道密钥生成阶段每个节点持有的子份额可以抵御小于等于t个攻陷节点恢复秘密多项式F(x,y)的攻击.因此,任何不在组内的节点都无法恢复组内任何节点所持有的份额信息.由于组密钥是由发起者生成,通过与授权节点成对的共享密钥加密后传输,因此,未被授权的节点无法得知其不在组内的组密钥.而发起者传输的信息除了传输组密钥信息,还将组内成员的信息进行散列函数生成摘要后上传至区块链,使得任何组外节点都无法模仿组内成员在组中通信. 2)外部攻击.由于每个组密钥都是由发起者生成,并通过节点之间成对的通信密钥加密传输.同时将组成员信息加密后RH=H(rl1,rl2,…,rlm,K)上传至区块链,组内成员可以对组内的其他成员进行验证.因此,任何没有有效份额的外部节点,都无法得知其未被授权的组密钥K,也无法得知组内成员身份信息. 证毕. 定理8.节点变更阶段,如果原有普通节点阈值那么一定有至少t+1个诚实节点给新节点发送正确的信息成功帮助新节点重建否则只能通过元节点帮助重建份额. 证毕. 表2 将本文方案与其他文献方案从5 个方面进行了功能对比. Table 2 Functions Comparison of Schemes表2 方案的功能对比 1)从生成方式而言.目前多数方案都是基于单变量多项式来实现密钥协商的,文献[28−30]中要生成会话密钥都需要通过多个单变量多项式进行交互生成,文献[31]是通过单变量多项式的Shamir 秘密共享来实现密钥分发.而本文方案每个节点持有并计算使用的都是确定了一个变量值的二元多项式.因此,在计算复杂度方面与其他一元多项式方案相近. 2)从去中心化而言.基于单变量多项式的方案都无法实现去中心化,由于需要通过单变量多项式进行有效的密钥协商,必须要可信第三方进行合理分配每个节点的份额.文献[28−31]中,需要可信第三方针对不同节点分配不同的份额信息来保证组成员能够获取相同的组密钥以及确保通信的保密性.但是一旦可信第三方被攻陷,系统中所有节点的份额信息以及密钥信息都会失效,导致整个通信系统的崩溃.而本文方案通过多个元节点共同生成二元多项式,实现去中心化,无需通过单个中心节点进行份额分配.因此,即使部分元节点被攻陷也能保证其他节点的密钥安全. 3)从成对共享密钥而言.节点之间成对的共享密钥能够增强节点协商组密钥的安全性,而基于单变量多项式的文献[28−31]中,节点之间不存在成对的共享密钥,只能通过可信第三方帮助生成共享会话密钥通信.而本文方案基于二元多项式,能够在节点之间高效生成成对的共享密钥进行通信,进而提高组密钥协商的安全性. 4)从多组通信而言.上述文献[30]需要把所有组的组员信息一次性提交给可信第三方,可信第三方才能一次生成多个组密钥发放给不同组的成员.而文献[31] 只能通过可信第三方交互信息来获取组密钥,并且1 轮通信只能获取单个组的组密钥.本文方案中,节点得到自己的份额,可随时通过成对的共享密钥进行安全有效的组密钥协商,自由发起多组通信. 5)从阈值切换而言.阈值的切换对于基于多项式的密钥协商方案而言是至关重要的,可以在节点出入阶段切换至不同的阈值,抵御节点出入对通信系统的威胁.从表2 方案中,只有文献[31]以及本文方案可以实现在节点出入期间阈值的切换,其中本文方案基于非对称二元多项式,2 个变量可具备2 个不同的阈值,因此在切换时具有更高的效率. 如表3 所示,选出具有代表性的一元多项式文献[31]以及对称二元多项式文献[32]进行了安全性比较. 1)从可防御性而言.对于文献[31],需要通过一个可信中心KGC 来分发密钥,整个通信系统的安全完全依赖于一个中心节点是不安全的,敌手只需攻破一个中心节点即可攻破整个通信系统.文献[32]是通过多个元节点来生成一个二元多项式,有效克服了单个中心节点对系统的威胁,但是由于对称多项式本身的属性,即2 个变量的阶数相同,因此在节点出入期间,如果再有恶意节点加入系统,则会导致超过阈值t的攻陷节点,那么系统的安全性就不能够得到保证.本文方案基于非对称二元多项式,即2 个变量的阶数不同,代表2 个不同的阈值,可以实现阈值切换,在稳定期间阈值为t,在节点出入时期,阈值提高为n’,其中n’>t.因此本文方案相比其他方案具有更强的可防御性. Table 3 Comparison of Scheme in Safety表3 方案的安全性比较 2)从可恢复性而言.对于文献[31],如果某个节点密钥丢失,那么只能通过向可信中心进行重新申请,因此需要要求中心节点不可下线.而本文方案与文献[32]方案一样,都是可以通过系统中足够的任意普通节点发送相关的份额来恢复丢失的密钥,因此可有效抵御由于部分节点下线导致无法恢复密钥问题的威胁.本文方案由于持有的份额F(xj,y)与F(x,xj)阶数不同,因此可能需要更多的普通节点来恢复密钥.由于初始时设有元节点,因此也可以通过所有的元节点来恢复丢失的密钥. 3)从保密性而言.文献[31]方案虽然使用了Shamir 秘密共享,但是在秘密重建阶段所使用的份额依旧是基于计算困难问题假设的,因此其组密钥以及会话密钥都是可证明安全的.而本文方案与文献[32]方案构建的会话密钥是根据初始的分发份额产生的,只有节点被攻陷达到阈值数量时才能攻破密钥,因此每个节点的会话密钥是无条件安全的. 如表4 所示,将本文方案与文献[31−32]方案在计算开销方面进行了比较.表4 中TSC表示执行对称加密操作所需的时间,表示计算一个阶数为l的多项式会话密钥所需要的时间,表示一次通过l个点进行插值计算所需要的时间,TM表示执行一次椭圆曲线上的倍点运算所需要的时间,Tgh表示执行一次散列函数所需要的时间.表示一次通过t个点进行插值计算所需要的时间,表示一次通过n个点进行插值计算所需要的时间,表示计算一个阶数为n′的多项式会话密钥所需要的时间,表示计算一个阶数为n的多项式会话密钥所需要的时间.由表4 可知,安全性不如本文方案的文献[32]方案在组密钥协商阶段计算开销与本文方案相近.而文献[31]方案则在组密钥协商阶段的计算开销远远大于本文方案.由于涉及到不同阶数的多项式插值计算,无法直观地了解方案之间的效率关系,接下来将通过实验分析来证明. Table 4 Comparison of Computational Cost表4 计算开销比较 本文使用codahale 库在 装有Intel Core i7-6700K 4.00 GHz 处理器和8GB 内存的Windows 系统上进行仿真实验. 在通信开销方面,文献[31]方案如果需要与其他节点构建会话密钥,那么需要预先协商并存储与不同节点的会话密钥,这需要消耗非常大的存储开销.而本文方案以及文献[32]方案都只需要存储多项式的系数,利用秘密共享来生成会话密钥,本文方案和文献[31−32]方案相比,文献[31]方案有着明显的通信开销方面的优势.在计算开销方面,通过仿真实验,如图4 和图5所示,将本文方案与文献[31]方案以及文献[32]方案分别在组密钥协商阶段以及节点变更阶段中密钥生成所消耗的时间进行了对比.设定文献[32]方案以及本文方案所需要的阈值t=n/2,n′=3n/4,例如n=100,t=50,n′=75.由图4 可知,本文方案在组密钥协商阶段的效率与文献[32]方案基本持平,并且远高于文献[31]方案.由图5 可知,本文方案在节点变更阶段密钥生成的效率低于文献[32]方案,但仍然高于文献[31]方案. Fig.4 Time comsumption comparison in group key agreement phase图4 组密钥协商阶段所消耗的时间对比 Fig.5 Time comsumption comparison of key generation in node alternation phase图5 节点变更阶段密钥生成所消耗的时间对比 由于本文方案比文献[32]方案具有更高的安全性,涉及到了更高阶数的插值运算,因此效率上略低于文献[32]方案,但安全性与效率上均高于文献[31]方案,因此本文方案在工业互联网动态节点密钥管理场景中具备明显的优势. 从工业互联网的安全可靠的信息传输出发,确保节点之间能够安全有效地通信.本文结合区块链技术以及秘密共享技术,提出一种基于区块链的工业互联网动态密钥管理方案.基于非对称二元多项式生成密钥,通过阈值切换,有效抵御节点出入对通信系统的威胁,具有较低的成本开销.此外,通过区块链以及Kate 承诺实现安全的点对点通信以及多组通信.最后,通过具体的安全性分析表明,本文提出的基于区块链的工业互联网动态密钥管理方案是安全的,并且通过仿真实验和对比分析表明,本文方案是高效的.接下来,我们将对如何实现更高效率的安全密钥管理协议作进一步研究. 作者贡献声明:张泽林提出算法思路、完成实验并撰写论文;王化群指导研究方案、设计并修改论文.2.2 区块链部署结构
2.3 安全模型
3 基于区块链的动态密钥管理方案
3.1 密钥生成
3.2 组密钥协商
3.3 节点变更
3.4 份额恢复
4 安全性分析
4.1 正确性证明
4.2 安全性证明
5 性能评估
5.1 功能对比
5.2 安全性对比
5.3 效率分析
5.4 性能分析
6 结语
