书 书 书
第43卷 第3期
2020年3月 计 算 机 学 报
CHINESEJOURNALOFCOMPUTERS Vol.4M3Nar.2o0.230
收稿日期:20181026;在线出版日期:20190625.本课题得到国家自然科学基金(91118003,61373039,61502346)资助.何炎祥(通信作者), 博士,教授,博士生导师,中国计算机学会(CCF)会士,主要研究领域为分布式并行处理、可信软件、数据分析和软件工程.Email:yxhe@ whu.edu.cn.孙发军,博士研究生,副教授,中国计算机学会(CCF)会员,主要研究方向为可信传感器网络及软件、分布式计算.李清安,
博士,副教授,中国计算机学会(CCF)会员,主要研究方向为编译优化及嵌入式系统.何 静,博士,副教授,主要研究方向为无线网络与 移动计算、社会网络分析、云大数据分析.汪吕蒙,博士研究生,主要研究方向为GPGPU并行计算与低功耗.
无线传感器网络中公钥机制研究综述
何炎祥
1) 孙发军1) 1) 李清安1) 何 静2) 汪吕蒙1)
何 静2) 汪吕蒙1)
(武汉大学计算机学院 武汉 430072)
2)(肯尼索州立大学计算机科学系 玛丽埃塔30060 美国)
摘 要 物联网是当前学术界和产业界的研究热点,作为物联网主要构成部分之一的无线传感器网络(Wireless SensorNetworks,WSNs),其安全与人们的生活安全及隐私息息相关.过去近二十年来WSNs安全得到了广泛深
入的研究,其中公钥机制从最初的不可行认知到现今的广泛研究应用,在WSNs中的可行性正逐渐被认可.然而公 钥机制是否可以在WSNs中全面展开、其被引入到WSNs后会带来哪些问题、还有哪些尚未解决,这些都有待进一 步探究.本文梳理了WSNs中公钥机制研究的高质量文献并将其归结为原语类、密钥管理类、认证与访问控制类、 其他应用类,对比分析了各类文献中的经典研究工作,总结了WSNs中引入公钥机制的必要性、可行性及相关问题 与挑战,针对这些挑战分析了其现有解决情况,最后对研究方向及可能的解决方案进行了展望.
关键词 传感器网络;安全;综述;密码学原语;密钥协商;密钥管理;物联网 中图法分类号TP393 犇犗犐号10.11897/SP.J.1016.2020.00381
犃 犛 狌 狉 狏 犲 狔 狅 狀 犘 狌 犫 犾 犻 犮 犓 犲 狔 犕 犲 犮 犺 犪 狀 犻 狊 犿 犻 狀犠 犻 狉 犲 犾 犲 狊 狊 犛 犲 狀 狊 狅 狉 犖 犲 狋 狑 狅 狉 犽 狊
HEYanXiang1) SUNFaJun1) LIQingAn1) HEJing(Selena)2) WANGLvMeng1)
1)(犛犮犺狅狅犾狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲,犠狌犺犪狀犝狀犻狏犲狉狊犻狋狔,犠狌犺犪狀 430072)
2)(犇犲狆犪狉狋犿犲狀狋狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲,犓犲狀狀犲狊犪狑犛狋犪狋犲犝狀犻狏犲狉狊犻狋狔,犕犪狉犻犲狋狋犪30060,犝犛犃)
犃犫狊狋狉犪犮狋 InternetofThings(IoT)isaresearchhotspotinacademiaandindustry.Asoneofthe maincomponentsofIoT,thesecurityofWSNs(WirelessSensorNetworks)iscloselyrelatedto people’slifesecurityandprivacy.Inthepastnearly20years,thesecurityofWSNshasbeen studiedextensivelyanddeeply.Fromtheinitialinfeasibleconsciousnesstothepresentextensive researchesandapplications,thefeasibilityofpublickeymechanisminWSNshasbeenrecognized graduallybyscholars.However,therearestillmanyproblemsthatneedtobefurtherexplored, suchaswhetherthepublickeymechanismcanbefullydeployedinWSNs,whatproblemsit bringsafterbeingintroducedintoWSNs,andwhatremainsunresolved.Inthispaper,thehigh qualityliteratureonpublickeymechanismresearchesinWSNshavebeencollectedandclassified intofourcategories:Primitive,KeyManagement,AuthenticationandAccessControl,andother applications.Thenecessity,feasibility,andrelatedissuesandchallengesofintroducingpublic keymechanismintoWSNshavebeensummarized.Moreover,theexistingfeasiblesolutions addressingtheaforementionedchallengeshavebeenanalyzedcomprehensivelyinthispaper.
Accordingtotheexistingresearcheswefindthat:(1)Consideringkeylength,speed,security, etc.themostsuitablepublickeymechanismforWSNsisECC(EllipticCurveCryptography). ThefastestscalarmultiplicationintheexistingimplementationschemesofECCprimitivesonly
《 计
算
机
学
报
》
takes0.29sonMCAzplatformwithsecuritylevelECC163,whichwasachievedbyAranhaetal. ofOliveiraprojectteamin2010.(2)AsfortheWSNapplicationswithhighsecurityrequirements, itisnecessarytoemployeeapublickeymechanismforkeyagreement.AKA(AuthenticatedKey Agreement)schemebasedonpairingfreecertificatelesspublickeymechanismisthemostpromising scheme.AndtheCLEKMschemerecentlyproposedbySeoetal.hascomprehensiveadvantages amongtheexistingAKAschemesforWSNs.(3)Amongtheauthenticationandaccesscontrol schemes,Keetal.’sexternalauthenticationscheme,Jiangetal.’sthreefactorauthentication scheme,andRen,Shimetal.’sexternaluserbroadcastauthenticationschemearethemost representative.Finally,theresearchdirectionsandprobablesolutionsareprospected.(1)NTRU
withhighefficiency,antiquantumattackandlatticebasedtheorymaybecomethemostimportant publickeyprimitiveinWSNsinthefutureaftersolvingtheproblemofhighstorageandcommunication loadcausedbythelongkeys.(2)AKAschemebasedoncertificatelesspublickeymechanism
withoutpairingoperationisbecomingahottopicinthecurrentlowcostandhighefficiencyAKA research.(3)Inthepublickeymechanismsofauthenticationandaccesscontrol,AKAisthebasis ofauthenticationmechanismforinternalnodes.Whileintheaccesscontrolofexternalusers, accesscontroltechnologiesbasedonthreeorevenmultiplefactorssuchaspasswords,memory cards,biometricsandotherfactorsarebecomingaresearchhotspot.Furthermore,broadcast authenticationisalsoanimportantresearchdirectioninthisfield.(4)Inaddition,publickeybased schemeshavealsoreceivedwidespreadattentioninthefieldofsecurityresearchinmedicaland healthcareapplications.Insummary,withthedeepeningofsecurityresearches,publickey mechanismisincreasinglybecominganimportantfundamentaltooltoensuringsecurityinWSNs, especiallyinthecaseofhighsecurityrequirements.
犓犲狔狑狅狉犱狊 sensornetworks;security;review;cryptographicprimitive;keyagreement;key management;InternetofThings
1 引 言
自2005年物联网概念提出以来,随着物联网产 业规模的逐步扩大,其安全问题日益得到广泛的关 注[1].在安全问题未能得到有效解决前,将物联网广 泛应用于大众生活是比较困难的.其困难之处在于, 当人们将随身物品联网之后,可能面临严峻的人身 安全和隐私暴露等问题.因此无论学术界还是产业 界都视安全研究为物联网研究之首[2].
无线传感器网络(WirelessSensorNetworks, WSNs)是构成物联网的核心,其安全问题自WSNs 在学术界被研究以来就得到了广泛的关注[3].早在 2000年前后,研究者们就考虑到传感器节点资源配 置极为苛刻及非对称加密机制的高计算量,所以早期 都集中于WSNs中对称密钥机制的研究[45],在密钥 管理方面提出了一系列有代表性的方案,如SPINS[6]、 LEAP[7]、TinySec[8]、EG方案[9]、RKPS[10]等.然而
基于对称密钥技术的方案都存在自身无法克服的缺
陷,如有安全时限假设[7]、物理上是邻居且链路可靠 的情况下(指相互之间能无误码地收到对方消息)不 能建立直接安全链接[11]、少量节点捕获会暴露部分 对密钥(pairwisekey)而适量节点捕获可能暴露整 个密钥池[12]等.这些安全缺陷对于安全性要求不高 的应用场合或许可忽略,但对于军事应用、反恐、安 防等安全性要求高的应用场合需要引入公钥机制才 能弥补.公钥机制的引入可以使得一个节点密钥的 泄漏仅影响该节点本身及直接相关联的链路,并且 可确保物理上的邻居在信号可靠的情况下建立直接 安全链接.此外,在WSNs中部署公钥机制也有它 独特的优势,由于安全资料(包括安全系统公用参 数、公/私钥对等)可在部署前统一预装,WSNs用公 钥机制进行密钥协商等操作时可以省去传统网络中 自己创建密钥对及协商前发送大量附加安全参数的 需要[13],只是需要把它用在密钥管理、认证等关键 场合[14].根据崔莉等人[15]的研究,增加安全机制后 可以构建出如图1所示的WSNs安全体系结构图. 其中,链路层邻居发现时点到点会话密钥的建立、传
2 8
3 计 算 机 学 报 2020年
《 计
算
机
学
报
》
输层用户到传感器节点的端到端会话密钥的建立以 及消息认证和身份认证的模块都更适合使用非对称 的公钥技术,而当节点高配时应用层的加密签名、网 络层的安全路由控制也可采用公钥技术.这些功能 模块中,最重要的是链路层建立点到点间的会话密 钥和传输层建立用户与传感器节点间的端到端的会
图1 WSNs安全体系结构
话密钥以构建安全接连,这些安全连接是其他各通 信模块得以安全的基础.如前所述,会话密钥的建立
(即密钥交换/协商)目前来说只有通过公钥机制才 能得以完善解决,所以我们认为公钥机制在安全性 要求高的场合是必要的.
为了更好地研究公钥机制在WSNs中的应用情 况,本文梳理了WSNs研究以来其公钥机制相关的 文献,以英文检索词“sensornetwork、publickey、 WSN、keyagreement、keymanagement、Internetof Thing(IoT)”和中文检索词“WSN、传感器网络、物
联网、公钥”等利用WoS、dblp、中国知网、百度文库 等检索工具对国内外重要期刊会议进行检索,通过 人工审查方式移除掉与研究问题无关的论文,并利 用追溯法通过查阅相关论文的参考文献和相关研究 人员发表的论文列表来进一步识别出遗漏的论文, 最终,我们选择出与该研究问题直接相关的高质量 文献共110篇(截至2018年12月).按研究层次大体 可以将其132个研究点分成五类:综述、原语类、密 钥管理类、认证访问类、其他应用类,其分布如图2 所示.
图2 传感器网络中公钥机制主要研究成果分布
由图可知目前主要集中在原语类和密钥管理类 且多数集中于椭圆曲线密码学(EllipticCurve Cryptography,ECC)研究[119].原语类主要讨论WSNs 中公钥原语[37]的可行性、可优化性;密钥管理类主 要研究公钥机制在WSNs中密钥管理方面的应用,
其中讨论得最多的主题就是如何安全有效地利用公 钥机制来建立供会话使用的对称密钥;访问认证类 主要讨论如何利用公钥技术进行网外用户访问控制 及认证广播;其他应用类主要讨论了抗特殊攻击的 公钥机制及如何利用公钥机制来增强WSNs应用
3 8 3 3期 何炎祥等:无线传感器网络中公钥机制研究综述
《 计
算
机
学
报
》
中数据传递的安全性.
接下来的内容是这样安排的,我们首先在第2 节分析公钥机制引入WSNs后带来的挑战,介绍评 判解决这些挑战的方法;第3节综合分析在WSNs 中实现公钥原语的可行性及相关优化方法;第4节 综合分析应用公钥机制于密钥管理的研究工作;第 5节综合分析公钥机制在WSNs的认证与访问控制 中的应用情况;第6节综合分析公钥机制在WSNs 中的其他应用研究;最后在第7节总结全文并对今 后的研究方向进行了展望.
2 挑战与评估
21 问题及挑战
首先,WSNs安全有一个共有挑战,即低成本高 集成度要求导致的计算、存储、通信、能量等资源限 制与无线未照料情况下高安全需求的矛盾,如何在 这二者之间根据应用需求进行折中是WSNs安全 所要考虑的主要问题.
其次,这一挑战在公钥机制引入后显得更加严 峻,公钥密码体制要求的计算强度通常为对称密码 体制的成百上千倍,多数公钥机制密钥较长,加密的 块较大,使用证书机制时有额外的证书开销,这些因 素导致的计算、存储、通信、能量等开销往往为低配 置WSNs所不能承受.如何选择合适的公钥方案以 及在相应公钥原语中选用合适的参数对原语中的基 本操作进行优化、如何用较低代价来确认一枚公钥 是否是内部节点的公钥、确认实体是否拥有与公钥 对应的私钥以及如何在引入公钥机制后高效地利用 它为WSNs安全服务等都是公钥机制引入后要深 入研究的问题.
我们认为公钥机制引入WSNs后主要带来了 以下4类挑战:
挑战1.高开销公钥原语的可行性———其可行 性已被多次验证但有待进一步优化;
挑战2.公钥认证———即认证一个公钥是否的 确为某个合法节点所有,这在传统网络中通常通过 证书和PKI来解决,但在资源受限的WSNs中,显 然不能或不宜直接采用这类高开销的方式;
挑战3.如何设计公钥机制使之达语义安全并 有效地使用形式化方法证明它,一般考虑的是使设 计的公钥机制达到可证明安全并在标准模型或随机 Oracle模型下有效证明其确实具有可证明安全性, 但即使在Oracle模型下证明也是一大挑战;
挑战4.如何抵抗各类特殊攻击,主要有如何抵抗 节点捕获带来的一系列攻击,如女巫攻击、SinkHole 攻击、虫洞攻击、吸血鬼攻击等;如何抵抗无节点捕 获的能量耗尽等DoS攻击,如干扰(jamming)攻击, 因公钥机制计算量大,这类攻击会导致配有公钥机 制的节点消耗更多的能量.
以上4类挑战中最后一类挑战是无线传感器网 络的普遍性挑战,但在有公钥机制的节点中,这类攻 击的效果会被放大,所以引入公钥机制后其引发的 安全问题会更加突出.
22 评估指标及方法
现有WSNs公钥领域的研究总体上从安全性 和开销两个方面来进行评估.
2.2.1 安全性
安全性的总体评估指标可以是安全属性、抗各 类攻击的能力、语义安全[120].其中语义安全是最强 的一类安全指标.
安全属性通常有:机密性(Confidentiality)、完 整性(Integrity,常用于对称密钥机制)、不可否认性
(Nonrepudiation,常用于公钥签名机制)、认证
(Authentication)、新鲜性(Freshness)等.其中机密 性还包括一般保密性、前向保密性、完美前向保密 性、后向保密性等.
无线传感器网络中主要要考虑抵抗以下攻击: 伪造攻击、假冒攻击、重放攻击、虫洞攻击、SinkHole 攻击、女巫攻击、吸血鬼攻击、DoS攻击等,对于认证 的密钥协商协议需要考虑抵抗密钥泄漏伪装攻击
(PCI攻击)、未知密钥共享攻击(UKS)、已知会话密 钥攻击(KSK)等[106].
语义安全中一般需要证明加/解密方案的不可 区分性(Indistinguishability)是否达到INDCPA、 INDCCA、INDCCA2(适应性选择密文攻击下的
不可区分性)安全,证明签名/解签方案的不可伪造 性(Unforgeability)是否达到EUFCMA或EUF ACMA(适应性选择消息攻击下的存在性不可伪
造)安全.其中不可区分性用于刻画保密性,而不可 伪造性用于刻画完整性、不可否认性、认证等.
常用的评估方法有非形式化启发式分析方法和 形式化分析方法[121].
在启发式分析方法中,先定义安全目标、攻击模 型,设计安全方案,最后启发式分析检验是否能抵抗 攻击模型所定义的攻击、是否达到相关安全目标.这 类方法过程简单、工作量小、效率高,但仅限于对已 知攻击的分析,会受分析者知识面和经验的限制且
4 8
3 计 算 机 学 报 2020年
《 计
算
机
学
报
》
分析推理过程常常不够严谨,有存在安全漏洞的可 能,比较适合于分析将已在传统网络中形式化证明 过的方案移植到WSNs后对安全的影响.
形式化分析方法有基于符号的形式化方法和基 于计算复杂性的形式化方法[122],其中前者还包括 基于逻辑、基于模型检测、基于定理证明的三类方 法.目前多数主要是采用基于逻辑的形式化方法和 基于计算复杂性的形式化方法.基于逻辑的形式化 方法是采用逻辑推理的方式推导出方案具有某些安 全属性,如BAN逻辑[108]、CSN逻辑[80]等.基于计 算复杂性的形式化方法(即通常所说的可证明安全 性,一般通过不可区分性、不可伪造性、eCK模型来 衡量)采用归约的方式,利用计算复杂性理论将方案 的破解归约到一个困难问题的求解如CDH、DDH 等或归约到密码本原如大数分解难题(IntegerFac torizationProblem,IFP[3])、离散对数问题(Discrete LogarithmProblem,DLP)等.因计算机在多项式时
间内求解这些困难问题的优势是可忽略的,从而证 明攻击者破解方案的可能性是可忽略的,如Liu[62]、 Li[73]、Yin[89]、Seo[92]等人的工作.也有少部分采用
定理证明方法并使用ProVerif、AVISPA等定理证 明工具进行形式化证明,如Jiang[111]、Gope[123]等人 的工作.相较于非形式化的启发式方法,形式化方法 以类似数学语言描述使问题和模型更准确、精确和 严谨,严格意义上的形式化模型可以证明方案在假 设的前提下没有安全问题,但证明一般比较复杂,一 些难于形式化的问题只能采用启发式分析方法. 2.2.2 开 销
安全性和开销通常是正相关关系,即随着安全 性的提高开销一般是增加的,实际应用中的方案需 要根据具体实情在各性能和代价中进行折中:应用 需求、资源配置、安全性、计算量、存储量、通信量、能 耗等.我们这里考虑的开销主要有计算量、通信量、存 储占用,因为能耗通常与这三个量正相关,所以本文 随后比较研究中未再进行各方案能耗的比较,具体可 参考各方案相应文献及Wander等人的工作[14].根据 现有研究,可以得到以下能耗关系:公钥操作(前四 类)>通信>对称密钥操作>Hash操作>除>乘>
加减,而公钥操作中则有:对运算>模幂>标量乘
①
(ScalarMultiplication)>点映射(MapToPoint)> 模平方根>求逆>模乘>模平方.
计算量可以用时间(单位:s)、时钟周期数(单位: cycle)、关键操作个数来衡量.时间一般是通过实际
实验测得[14,20]或由现有相关实验研究推算得到[18],
而时钟周期数[72,9798,105,109,112]通常是通过仿真平台 获得.为便于各方案脱离硬件平台来比较,通常安全 协议的计算量以占用时间长、难度大的关键操作的 个数来衡量[41,73,79,89,107],这类操作通常有双线性对 运算、标量乘、模幂、模乘、求逆、模平方、模平方根、 点映射等.
通信量一般以包数、每包字节数来衡量且要考 虑接收方/发送方、单播/广播等因素.原语研究通常 只需要考察节点有限的通信资源对其影响,不需要 像密钥管理等安全协议一样考虑网络所需要的通信 总量,可适当考虑密文和签名的长度对通信量的影 响.而密钥管理协议除了需要考虑节点本身限制 以外还需要兼顾网络,密钥协商宜先按链路计算总 开销(但当前众多方案只考虑了一对节点间的通信 量),最后平均到每个节点.即若整个网络一次密钥 协商后一条链路的发送量为犙犆狊、接收量为犙犆狉、网 络链路数为犲、节点数为狀,则平均每节点发送、接收 通信量分别为犙犆狊犲/狀、犙犆狉犲/狀,因通常节点的度 犱=2犲/狀,也即分别为犙犆狊犱/2、犙犆狉犱/2.
存储开销主要是指密钥等安全资料占用的存 储,但实际还应该包括程序占用的FlashROM和运 行程序时使用的RAM,因与具体硬件平台有关,目 前只有少数原语研究的方案[5,2021]给出了相关数 据,本文也只考虑了安全资料占用的RAM,各类开 销指标及衡量方法如表1所示.
表1 开销研究的衡量指标及方法 类别 密码原语 安全协议 计算 时间、时钟周期数 时钟周期数、操作数量、时间 通信 适当考察密文及签名长度对通信量的影响 以节点或单次会话来衡量或
以链路来衡量
存储 公钥、私钥 公/私钥、会话密钥、证书 衡量 至少给出关键操作的各类开销 一般以关键操作数量评估,可
进一步实验验证
2.2.3 实验/仿真评估平台
用作WSNs公钥机制的实验/仿真平台通常 是:Contiki、TinyOS与RELIC[87]、TinyECC[92]的 组合,多数组合成Contiki+RELIC或TinyOS+ TinyECC[43],也有直接使用通用密码学C函数库 MIRACL(MultiprecisionIntegerandRational ArithmeticCryptographicLibrary)[47,50,108]或优化后
的MIRACL[53],Oliveira等人在他们的TinyPBC07 中也使用MIRACL[13],但后来认为它并非专为资源 受限设备配置的库,所以在后期TinyPBC11版中更
5 8 3 3期 何炎祥等:无线传感器网络中公钥机制研究综述
①
本文标量乘和点乘都指椭圆曲线群上的同一操作,即常数 犽乘某点犙的操作犽·犙.《 计
算
机
学
报
》
换成RELIC[67],还有很多学者使用自己设计的密码 函数库,如WMECC[66]、MoTEECC[88]等,而对于 WSNs协议的仿真也有方案使用NS2、OMNet++ 等工具.
23 符号约定及假设 2.3.1 符号约定
为了便于本文叙述,依据现有文献[89,107]的 符号约定,提议使用如表2所示的符号表示规范.
表2 符号表
符号 含义 符号 含义 BP 双线性对运算 FP 固定点乘运算
MM 模乘运算 H MaptoPoint函数 MR 模逆运算 h Hash到一个比特串 SM 标量乘运算 狀 传感器节点总数 PA 点加运算 犱 节点的邻居数或度
MP MaptoPoint操作 犲 网络拓扑中的边数 ME 模幂运算 ID 节点身份号 MQ 模平方根运算 Nonce 随机新鲜值 RP 随机点乘运算 犜 时间
2.3.2 假 设
为方便各方案的描述比较,我们对相关参数作 如下假设:
假设ID长2字节,时间狋、Nonce和位置长4字 节,Hash值和点长度均为20字节,MAC值、对称 密钥为80位,每个包数据以外的附加开销为17字 节(首尾及前导码分别按9字节和8字节计算).
假设密钥协商中每对节点间只进行一次协商, 计算量、通信量等为整个网络各安全链路建立后,按 每条链路计算并平均到每个节点,如通信量为所有 操作所有包的收/发总字节数的每节点均值.
因Hash等对称密钥操作时间比公钥操作时间 低几个数量级,故假设Hash及相关对称密钥操作 时间为0秒;假设同一程序在同主频同核数的CISC 和RISC机器上执行后时间相当、但RISC机器上功 耗较低,同一程序运行时间与字长和频率成反比.
3 公钥原语研究
31 总 概
密码学原语(CryptographicPrimitive)是指在 信息安全领域中为实现信息的保密性/不可区分性和 不可伪造性而设计的一些最基本密码操作,主要包括 加/解密、签名/验签、消息摘要生成/验证等,加/解密 用于确保保密性,签名/验签用于确保不可伪造性和 不可否认性,而消息摘要通常用于确保完整性.公 钥原语就是指在这些操作中使用了公钥技术的密 码学原语.WSNs公钥原语研究主要包括加/解密 和签名/验签等原语操作在WSNs中的可行性研 究以及构成这些原语的基本操作如模幂(Modular Exponentiation)、点乘(PointMultiplication)、双线
性对(BilinearPairing)运算、卷积等的优化研究,优 化方向主要包括:域上运算(模幂、模约减、求逆、平 方根、乘、平方、双倍)、群上运算(点加、倍点、标量 乘)、曲线选择(Koblitz曲线)、域的选择(素域、二元 域、三元域)、双线性对的选择、格基选择等.
现有WSNs中公钥原语研究按所基于的难题主 要可以分为五类[3]:基于IFP的RSA[124]和Rabin; 基于椭圆曲线上离散对数难题(EllipticCurve DiscreteLogarithmProblem,ECDLP)的ECC;基于
双线性对(Pairing)难题[125]的PBC(PairingBased Cryptography);基于格上难题的NTRU(Number TheoryResearchUnit)[126];基于有限域上的多变量
二次多项式方程组的难解问题的MQ(Mutivariate Quadraticequations).我们就其主要的RSA、Rabin、 ECC、NTRU、PBC在80位安全级下对比分析[4,20]
如表3所示,并就现有WSNs中的原语研究按原语 类别分成ECC、PBC、RSA、包括Rabin和NTRU在 内的其他原语四类分别比较如下.
表3 主要公钥原语特点对照表
原语类别 理论基础 基础难题 速度公私钥长度明文块长密文长度 特点 安全性 主要运算研究代表 RSA 大数模余环大数分解 慢 1024/1024 1024 1倍
明文长单一数学原语和
少量操作 亚指数算法破解; 不抗量子攻击 模幂、
模乘 [14,20] ECC 椭圆曲线群ECDLP 快 320/160 320 1~2倍
明文长复杂的数学原语,
许多临时操作 指数算法破解;
不抗量子攻击 标量乘、
点映射 [14,18, 20,22] Rabin 大数模余环大数分解 加密快1024/1024 1024 1倍
明文长简单的数学原语,
解密与RSA相当亚指数算法破解; 不抗量子攻击 模平方
(根)运算[4] NTRU 格理论 SVP问题[3] 最快 1841/834 417 1倍
公钥长更简单的数学原
语,需并行单元 解密可能会失败;
抗量子攻击 卷积 [34] PBC 双线性对映射 BBCDH[3] 最慢 320/320 320 1~2倍
明文长便于构建基于身份
的无证书公钥机制指数算法破解;不
抗量子攻击 对运算、
点映射 [1213] 注:其中研究代表的范围是指传感器网络领域内,其他未声明的都默认为传感器网络领域.
6 8
3 计 算 机 学 报 2020年
