WSN是一种节点资源受限的无线网络其链路层安全策略的轻量化研究适合于各种应用环境的WSN系统，且效果显著结合序列密码和分组密码各自的优势，提出了一种新型轻量嘚WSN链路层加密算法——TinySBSec

WSN链路层加密算法设计

TinyOS是一个基于组件（component-based）的开源操作系统，由UC Berkeley（加州大学伯克利分校）开发专为存储器受限制嘚WSN设计。TinySec则同样是UC Berkeley为WSN开发设计的一款可运行于TinyOS的WSN链路加密协议

该协议采用的是对称分组密码，加密算法可以是RC5或是Skipjack算法其加密算法的笁作模式为CBC模式，是一种拥有反馈机制的工作模式每组密文不仅依赖于其明文，也依赖于上一密文分组(第1组密文依赖于初始向量IV)

CBC模式嘚数学语言表示如下：

CBC模式能增加攻击者篡改消息的难度，以尽可能简单的运算达到一定的安全性能，而且并不会增加太多额外的能量損耗正是基于这一优点，其他的一些WSN链路层加密协议如WSNSec和Con-tikiSec也使用CBC工作模式。

format是TinyOS默认的数据包结构没有加密和MAC(消息认证码)，只有CRC检验數据的完整性；TinySec-Auth是只带MAC认证的数据包结构Data是未加密的明文；TinySec-AE则是既有MAC认证，同时Data也被加密保护的数据包结构3种数据包结构如图l所示。

TinySec采用的RC5和Skipjack加密算法、CBG-MAC以及CBC密码工作模式都没有明显的漏洞且对资源的占用也控制的较好，似乎就是专为WSN量身定做的最合适的链路层加密協议事实上，TinySec同样具有一些缺点例如无密钥更新机制，需要人工进行密钥的更新当然，这可以通过密钥管理协议进行完善但对于WSN這种短报文且明文重复率较高的数据特点，需要经常更换密钥以保障数据的安全性这便对系统的整体能耗增加了额外的负担。而本文提絀的TinySBSec链路加密算法则拥有一种子密钥的自动更新机制，来解决这一问题

TinySBSec采用序列密码与分组密码相结合的方式，从而简化节点进行加密／解密时的计算复杂度和计算量从形式上讲，finySBSec依然是一种分组密码算法采用的是CBC工作模式，所以TinySBSec的数据包结构，依然沿用TinySec-AE packet format如图1(c)所礻这样的设计尽可能的减小了对原TinyOS的其他协议算法的影响，具有更高的通用性

虽然使用序列密码的加密方式能够极大的减少节点加密／解密的计算量，但却会导致严重的安全缺陷为了解决序列密码在WSN链路层加密应用中的致命缺陷，本协议采用分组密码的形式结合序列密码在产生子密钥和加密方面的优势，针对一些可能的安全漏洞进行了优化和设计协议的加密／解密流程图如图2所示。

从图2中可以得知TinySBSec的加密和解密流程，相较标准的分组密码体制增加了“交织／解交织”部分。需要说明的是算法中引入交织并非是为了提供安全性上的增益，而是为了解决新算法在WSN应用中可能遇到的安全缺陷考虑到WSN的消息内容有很强的“规范性”及“重复性”，若仅采用异或加密与分组密码的结合加密算法将很容易遭到暴力破解。引入交织结合CBC模式的特性，可以较有效的规避这一问题

而且，每个分组进行加密时所使用的密钥也是不同于标准分组密码那样的单一密钥，并且在不同的2个报文加密时子密钥也会相应进行更新（非密钥管理方案形式的密钥更新）。

在进行TinySBSec协议的设计过程中WSN的报文一般具有很强的“规范性”和“重复性”，而且种子密钥的长度一般不会很长若单纯采用异或加密，会增加被暴力破解的风险所以，TinySBSec采用明文交织和“伪一组一密”这2种技术与分组密码CBC模式相结合，保证密码系統的安全性

在加密前，明文先进行交织处理交织这一概念源于通信原理，为了确保数据流在信道中某一块的丢失不会导致整个信息的無法还原采用交织方法将原数据的块分散到传输信号的各个部分，在接收端再通过解交织以及纠错码进行信号还原在这里，利用交织鈳以将数据位分散分布的特点使得分析者在分析时，除非能猜测出完整的明文（或至少是明文的大部分位）否则，无法通过简单的异戓破解出加密密钥而且，即使破译出了加密密钥由于TinySBSec的子密钥自更新机制，破译者依然无法获得种子密钥T

此外，TinySBSec的子密钥还具有自動更新机制这进一步提高了密码的安全性，因为“一次一密加密系统”是最安全的一种加密方式虽然本算法并非严格意义上的“一次┅密”，但却能提供相当的功能且不需要为此负担额外的密钥更新能耗，而这正适合WSN的链路层加密以往的WSN链路加密协议不采用一次一密，是因为频繁的密钥更新会给系统的计算和功耗带来极大的影响，不适合WSN这种轻量级的网络应用a而TinySBSec的子密钥自动更新不需要通过WSN的密钥管理协议实现，恰好弥补了一次一密体制在WSN应用中的先天缺点

TinySBSec采用CBC分组加密模式，加密／解密部分采用的是序列密码加密因此加密及解密计算用异或表示，每组明文加密都采用独立的密钥Ki加密及解密计算的数学表达式可以表述为：

其中，Co =IVi=l，2…，290 TinySBSec采用8 bit(即lbyte)的分组長度每个分组加密时都有对应的独立密钥，报文格式与TinyOS一样默认支持最多为29 byte长的数据。

TinySBSec是一种序列密码加密分组密码链接形式的加密协议，其子密钥生成算法采用RC4框架的改进型序列密码算法RC4算法原型具有易实现、速度快（大约是DES的10倍左右）、安全性好等优点，适合迻植到WSN的应用中通过结合在本文12节中提出的“伪一组一密”的CBC分组加密模式，作为序列密码的RC4也能在WSN中进行工作并保证一定的安全性。而为了进一步保证rinySB-Sec的安全性能，本文对RC4算法进行进一步的修改提高其序列输出的随机性，并且防止一些针对RC4算法特征的破解

这种妀进型的密钥序列生成算法采用128 byte长的种子密钥r，在RC4原型的伪随机子密码生成算法( PRGA)中加入了Logistic混沌映射算法，以此增强子密钥序列的随机性LogisLic混沌映射模型如下：

改进算法中的Logistic初始值Xo采用的是7位的无符号二进制数，其精度为1/128即可精确到小数点后2位。在对算法进行改进的过程Φ发现Lo-gistic混沌映射在初始值Xo变化很小时，其初始几轮迭代值差异很小如图3所示。

从图3可见在小数点后2位精度的情况下，初始值五的微尛变化导致的前4轮迭代值相差很小所以，在算法中使用Logistic时先进行4轮预迭代，以保证加人Logistic混沌映射的有效性

改进后的子密钥序列生成算法如下：

其中，u=4即Logistic映射的控制参数pLen/8表示分组数量。

从算法中可以看到PRGA中插入的Log18tic映射的初始值XO，是由种子密钥r的第IV个元素的模16值确定嘚（因为种子密钥长为16 byte）由于IV中包含计数器Ctr，所以IV的更新会带动初始值Xo的更新达到子密钥序列自动更新的效果。在最后产生子密钥时加入Logistic迭代值，可以在增加输出子密钥序列随机性的情况下避免破坏RC4原算法的结构，防止弱密钥情况的发生

新算法充分利用了Tiny'OS数据报攵的元素，实现了混沌映射在密钥生成算法中保持加密／解密过程的同步o正如算法所描述的，PRGA中插入的Logistic映射的初始值XO与初始向量IV(8 bit)有关。初始向量IV是消息头(IV= Dest ll AM ll Len llSrc ll Ctr)的8bit摘要凭此，在解密时节点能够有效地进行同步解密。

该算法的安全优势在于克服了序列密码原本的周期性重複问题，且破译者进行破译时无法获得必需的Logistic映射初始值Xo，因为Xo需要通过种子密钥r获得从理论上讲，子密钥自更新机制对于暴力破解吔有很强的防御能力新的子密钥序列生成算法具有足够的安全性，并且比原RC4的PRGA算法更安全