技術領域

本發明涉及一種移動自組網門限密鑰分發方法，屬于無線網絡安全技術領域，涉及實現移動自組網絡安全通信的密碼技術，具體是一種移動自組網門限密鑰安全高效分發方法。

背景技術

移動自組網(MANET，Mobile?Ad?hoc?Network)是一種新型的無線網絡，是由一組帶有無線通信裝置的移動終端組成的多跳步、分布式自治通信系統。在這種網絡中，兩個因無線通信覆蓋范圍的有限性而無法直接通信的終端，借助網絡中其它終端節點的轉發進行通信，因此這種網絡又稱多跳無線網。它以其組網迅速、適應性強、成本低廉等優點，在軍事戰場信息系統、緊急災后營救、臨時會議、傳感器網絡、家電網絡等眾多領域具有廣泛應用。然而無線信道、低終端資源、受限能源、無中心控制等自身的弱點使移動自組網較之傳統有線網或蜂窩無線網等更容易遭受各種攻擊和安全威脅，安全問題成為移動自組網廣泛應用中必須解決的關鍵問題。

移動自組網安全的基本需求和其它網絡一樣，包括機密性、認證性，完整性和不可否認性，實現這些安全目標的核心技術是密碼技術。而正如密碼學中柯可霍夫安全準則所指出的，密碼體制的安全應該是建立在密鑰安全基礎上的。因此，密鑰管理是移動自組網安全目標實現的前提和關鍵。無中心管理、無專門路由器等特點決定了移動自組網密鑰管理必須由網絡終端自組織完成，同時移動自組網無線鏈路、微型終端、電池供電等特殊環境還要求密鑰管理的方法必須是輕量級的，以最小的計算和傳輸代價實現密鑰管理的高效性和可行性。

目前已提出的密鑰管理方法中，分布式密鑰管理受到廣泛關注，最典型的是Zhou等提出的基于門限密碼體制的分布式密鑰管理方法，其基本思想是利用(t，n)門限秘密共享體制將認證中心CA(Certificates?Authority)的系統私鑰分配給n個節點(即終端)，這n個節點作為服務節點，每個擁有一個系統私鑰份額，其中任意t個服務節點協作可構成虛擬CA，對網絡節點生成、分發私鑰，實現CA功能，而任何少于t個的服務節點是不能實現CA功能的，t即為門限值。在Zhou的算法中服務節點是從網絡節點中隨機選取的，Yi等對此進行改進，它將物理上相對安全的、計算、存儲能力強的節點選做服務節點。Yi和Zhou的門限密鑰管理方法中都只是網絡的部分節點成為服務節點，是部分分布式門限密鑰管理，Luo擴展了這種方法，提出了一種完全分布式的門限密鑰管理方法，假定網絡中所有節點完全對等，都是服務節點，即均持有系統私鑰份額。但以上方法無論是部分分布式還是完全分布式，都是基于傳統公鑰密碼系統的，其實施要依賴于代價昂貴的傳統公鑰基礎設施PKI，用戶也要面臨公鑰及其證書的管理、傳遞和驗證等繁瑣問題。

Khalilietal等提出了基于身份的門限密鑰管理方法，它以密鑰生成中心PKG代替Zhou等方法中的認證中心CA，利用(t，n)門限秘密共享算法將系統私鑰分配給網絡的n個節點共享，n個節點在網內形成虛擬PKG。這些擁有系統私鑰份額的節點即PKG節點，PKG節點協作為網絡用戶節點生成、分發私鑰，更新私鑰及共享的系統私鑰份額等。這種基于身份的門限密鑰管理方法具有身份密碼體制的優點，節點的公鑰就是節點的身份信息或由身份信息生成的信息，如節點的電話號碼、email地址、IP地址等，節點不需要對公鑰及其證書的管理、傳遞和驗證等，這樣就降低了對節點計算、存儲能力的需求，減小了密鑰管理的開銷。因此，基于身份的門限密鑰管理方法較使用公鑰證書的機制的方法更適合移動自組網。但是，Khalilietal沒有給出網絡節點私鑰更新的方法和PKG服務節點持有的系統私鑰份額更新的方法。