TELKOM NIKA Indonesia n  Journal of  Electrical En gineering   Vol. 12, No. 10, Octobe r 20 14, pp. 7459  ~ 746 2   DOI: 10.115 9 1 /telkomni ka. v 12i8.557 9          7459     Re cei v ed  Jan uary 5, 2014;  Re vised July   17, 2014; Accepted Augu st  10, 2014   On the Security of a Dynamic and Secure Key  Management Model for Hierarchical Heterogeneous  Sensor Networks      Pengshu ai Qiao   North Ch ina U n iversit y  of W a ter Conserv anc y & Electric Po w e r, Z hengz ho u, Chin a   email: p engs hu aiqi ao @16 3 .co m       A b st r a ct   W i th the d e vel o p m e n t of the  w i reless co mmunic a tion  techn o lo gy a nd th sensor tec h n o l ogy, t h e   w i reless se nso r  netw o rk (W SN) has  be en  u s ed i n   ma ny  a pplic atio ns. Ho w e ver, W S Ns suffer from so me   inh e rent w eak nesses  bec au se of restrict ed co mm unic a tion  an d har dw are cap a b ili ties. T o  achi e v e   essenti a lly  sec u re co mmun i c a tion  in  W S Ns, a few  of   key  ma na ge me nt mo de ls  h a ve b een   pro pos ed since   it is the crucial  imp o rtant bu il din g  block for  all  sec u rity go als in W S Ns. Rece ntly, Alag heb an d and A r ef   prop osed  a s i gncrypti on sc h e me  and  use d  it to   c onstr uct  a dyna mi key ma na g e ment mode l for  hier archic al  he teroge ne ous s ensor  netw o rk s. T hey a l so  pr oved  that th eir   signcry ption  sc he me  is  prov a b ly   secure if  the elli ptic  curv e discr ete  lo garit hm pro b l e m is  infeas ib le . U n fortunate l y, b y  givi ng c oncr e t e   attacks, w e  indicate that Ala g heb an d and Ar ef s  si gncry ptio n sche m e is n o t secure in th eir secur e  mod e l .   T he an alysis  al so show s that their key  man a g e m e n t m ode is not sec u re.  T o  solve th ose  w eaknesses,  w e   also pr opos ed  an i m pr oved si gncrypti on sch eme.     Ke y w ords : ke y man a g e m ent , signcryptio n sche m e, el liptic  curve cryptogr aphy         Co p y rig h t   ©  2014 In stitu t e o f  Ad van ced  En g i n eerin g and  Scien ce. All  rig h t s reser ve d .       1. Introduc tion  With the ra pi d advan cem ent the wirel e ss  tech nolo g y and the sensor techno logy, the  wirel e ss  sen s or net wo rk  (WSN) ha s b e en pe rvasiv el y deployed i n  many ap plications. A  wire less  sen s o r  network  con s i s ts  of many resource  con s trained sen s o r  node s whi c h are capa bl e o f   ac compli shi n g v a riou s f u n c t i on s su ch a s  se nsi ng,  proce s sing, tra n smitting an d  receivin g to meet  the appli c ati on obj ective s. Ge nerally sp ea ki ng,  sensors n ode s a r deplo y ed in a  ho stile   environ ment.  Then th ey  may be e a ve sdropp ed,  ca ptured  an d compromised  by the adve r sary.  Therefore, secure  protoc ol s are required to ensur e confidentiality,  integr ity and availability of  informatio n transmitted in  WSNs.   Among  different secure  p r otocols, th e  key m ana g e ment p r oto c ol is the first  cruci a function to g e t secure  co mmuni cation  in WSNs  sin c e the both  of the sen s or node s and t he  clu s ter le ade rs  need  valid  comm on  ke ys to use ot her  se cu re p r otocols. T h e n  a few  of key  manag eme n t proto c ol s fo r WS Ns hav e bee n p r op ose d  to en sure  se cu re  communi catio n  in  WSNs. According to they type  of the encryptio n techniqu es, the  key man age ment proto c o l coul d be divided into thre e categ o rie s ,  i.e. symmetric key man a gement p r oto c ol, asymm e tric  key mana ge ment proto c o l  and hybrid  key mana ge m ent proto c o l  [1]. In the  first type of th ose   proto c ol s, so me keys  are  pre - loa ded  i n  the  sen s o r s befo r e  the  deployme nt  pha se. Howe ver ,   su ch protocol s suffer from  some  proble m s su ch a s   prob abili st ic  key distri buti on between the   sen s o r  nod e s  [2, 3], non-scalability after depl oyme nt [4-7], mounting wea k n e ss a gain s t node  comp romi se,  lack of mobili ty and a high -co mmuni cati on overhea d [8]. In the secon d  types o f   those  p r oto c ols, p ubli c   ke y crypto gra p h y, su ch  a s   elliptical  curv e cryptog r ap hy (ECC) [9]  and  identity-ba se d cryptograp hy (IBC) [1 0], is u s ed  to g enerate  keys throu gh o n -li ne ma nne r. Such   proto c ol s a r more flexibl e   but very heav yweight  in  se nso r  net wo rks. The thi r d t y pe of proto c ols  coul d inhe re nt advantage  of other  two  types of pro t ocol s. The it  is very suita b le hie r archi c al   hetero gen eo us WS Ns wit h  different kin d s of nod es.   Re cently, Alaghe band  an d Aref p r op o s ed [1 1]  a signcryption schem e with forwa r se curity ch aracteri stic a n d  used it to constr uct a h y brid key m anag ement i n frast r u c ture  for  hiera r chi c al h e terog ene ou s WSNs. T h e y  claime d th at their  sche me is p r ovab ly se cure if t he  Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  745 9  – 7462   7460 elliptic  curve discrete logarithm  problem is i n feasible. However,  in thi s  paper, by giving a   con c rete atta ck,  we i ndi ca te that Alagh eban d an d A r ef’s  sig n cryp tion sche me i s  not  se cu re  in   their secure  model, i.e. a n  adversa ry coul d forg e a  legal ci phe rtext of any messag e. We  also   indicate that their  scheme  suffers from t he priv ate  ke y comp romi sed problem, i . e. the receiver  coul d get the  sen d e r ’s  pri v ate key fro m  the ci phe rt ext. The anal ysis al so  sh o w s th at their  key  manag eme n t model is n o t se cure.  The re st  of  t h is pap er  i s  orga nized as  follows: Se ction 2  de scri bes Alagh eb and  and  Aref’s  sig n cryption  scheme .  In Sectio n 3 ,  we  give   se curity analy s is of thei sche me. In Se ctio n,  we p r op ose a  cou n term easure to ove r co me we akne ss in thei r sch e me. Finally, the co nclu sio n are p r e s ente d     2. Rev i e w  o f  Alaghe band  and Ar ef’s s c heme   In this se ctio n, we give th e revie w  of Alaghe band  an d Aref’s  sign cryption sch e m e usi n g   ECC. Some n o tations u s e d  in this pape r are defin ed a s  follows.   a)  q : a large stron g  prime n u mb er, whe r 160 2 q b)  n : a large stron g  prime n u mb er, whe r 16 0 2 n c)   , ab : two integer n u mbe r s whi c h a r e sm aller than  q  and sati sfy  32 42 7 ( m o d ) 0 ab q  d)  E : elliptic curve  defined by the equatio 23 (mo d ) y xa x b q  e)  G : base poi nt of the elliptic curve  E  with order  q f)  BS : base statio n .   g)  bs p BS ’s private key.  h)  bs U BS ’s pu blic  key ,  where  bs bs Up G i)  i CL : the  i th clu s te r leade r.   j)  i cl p i CL ’s private key.  k)   i cl U i CL ’s pu blic  key ,  where  bs bs Up G l)  () / ( ) kk ED : lightweight symmetric en cryption/de cry p tion algo rith m with key  k m)  H : a lightweight  and se cu re o ne-way ha sh  function   Alagheb and  and Aref’s  si gncryption scheme is t he  most impo rta n t block of th ere ke manag eme n t framework. The detail of  the  Sign c r yp tion  and  Uns i gn cr ypt i o n  of the scheme  is  descri bed a s   follows.  S i gn cr ypt i o n BS  coul d gen erate a ciph erte xt through the  following  ste p s.   1)  BS  generat es a rand o m  numbe i r  and co mp utes  12 (, ) i Rr G r r   a nd  (, ) i ic l Kr U k l  2)  BS  com pute s   () k CE m 1 (| | ) hH C r 1 (| | ) EH h r G 1 ( | | )(m o d ) bs s pH h r q   and  s sh  3)  BS  outputs  (, , , ) CR s E  as the cip herte xt of  the messag m U n signc ry ption i CL  run s  the alg o rithm to de crypt the ciphertext.  1)  i CL  compute s   (, ) i cl Kp R k l  () k mD C 1 (| | ) hH C r , and  s sh  2)  i CL  che c ks whether  s GE   and  bs U  are e qual. If they are  not e qual,  i CL  reject the ciph ertext; otherwi se,  i CL   accept s the ci phertext and  outputs the m e ssag m     3. Anal y s is o f  Alagheband and Aref’s  Scheme  3.1. Attack  Against Existential Un for g eabilit y   As a sign cryption sche me, Alagheb and and Aref’s schem e  should p r o v ide the  confid entiality and the unforgea bility.  Confid entia lity means tha t  any adversary without the   private key of  the re ceiver ( i CL ) ca nnot  de crypt of the  m e ssag m . Unf o rgeability m eans that  any adversa ry without the  pr ivate key of the sen d e r  ( BS cann ot ge nerate  a lega l ciphe rtext.  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     On the Securi ty of a Dyn a m ic and Secu re Key M ana gem ent Mode l for… (Peng shuai Qia o 7461 Alagheb and   and A r ef  clai med th at thei scheme  is se cu re if  the  e lliptic  curve  di screte  loga rit h m   probl em i s  i n feasi b le. In thi s   se cti on, we   will sh ow  an  adversa ry  wi thout  BS ’s p r ivate key could   forge a l egal  ciph ertext  (, , , ) CR s E , i.e.   could  pass  i CL ’s  verific a tion. The  attac k  is  descri bed a s   follows.  1) Th e a d versary  gen erat es a  ra ndom   numbe i r  and  comp utes  12 (, ) i Rr G r r   and   (, ) i ic l Kr U k l  2) The adve r sary ge ne rat e s a ra ndom  numbe s , computes  () k CE m ,   1 (| | ) hH C r s sh   and  () bs EU s h G  3) The a d versary outp u ts  (, , , ) CR s E  as the ci phe rtext of the message  m Since  12 (, ) i Rr G r r  (, ) i ic l Kr U k l  () k CE m 1 (| | ) hH C r s sh   and  () bs EU s h G  , then we hav s sh  and:     ( () ) ) ( s s b b Us sG E sh h G G U                                (1)    From the ab o v e descriptio n , we kn ow t hat  the adversary could fo rge a leg a l ci phertext  without  BS ’s private key  B S p Therefore, Al aghe band a nd Aref ’s scheme cann ot provide   unforgeability .     3.2. Attack  Against the Sender’s Priv ate Ke y   In this sub s e c tion, we  will indicate that  Alagheb and  and Aref’ s  scheme suffers from the   private key  compromised  probl em, i.e. the re ceive r  ( i CL ) could g e t the private key o f  the sende ( BS ) from a  ci phertext. Thi s  is  a very  dang ero u vulnera b ility sin c e a  re ceiver  could  imperso nate  the se nde r t o  othe r recei v ers  on ce h e  gets th e p r i v ate key. Su ppo se  i CL  is a   malicio us cl uster lea der and  re cei v es a  cip h e rtext  (, , , ) CR s E  from  BS , w h er 12 (, ) i Rr G r r   and   (, ) i ic l Kr U k l  () k CE m 1 (| | ) hH C r 1 (| | ) EH h r G  1 ( | | )(m o d ) bs s pH h r q   and   s sh  . He  co uld g e BS ’s p r i v ate key th ro ugh th e follo wing   st ep s.   1)  i CL  compute s   (, ) i cl Kp R k l  () k mD C 1 (| | ) hH C r , and  s sh  2)  i CL  compute s   1 (| | ) ( m o d ) bs ps H h r q  From  the d e s cription,  we  kn ow that t he mali cio u s clu s ter lea d e i CL  co uld  get   BS ’s  private  key when h e  get a cip hertext.  From th en o n ,  he co uld im person a te  BS  to other  clu s ter  leade r. There f ore, Alaghe b and an d Aref ’s schem e suffers fro m  the private ke y compromised   probl em.       4. Counterm easur e   T o  w i ths t a nd th e  ab o v e   w e ak ne ss es , w e   propo se  an im prove d  sch e me  b a se d o n   Alagheb and  and Aref’ s  scheme with lig htweig ht mod i fication.   S i gn cr ypt i o n BS  coul d gen erate a ciph erte xt through the  following  ste p s.   1)  BS  generat es a rand o m  numbe i r  and co mp utes  12 (, ) i Rr G r r   a nd  (, ) i ic l Kr U k l  2)  BS  compute s   () k CE m 1 (| | ) hH C r , and  1 (| | ) ( m o d ) bs i s pH h r r q 3)  BS  outputs  (, , ) CR s  as the cip herte xt of  the messag m U n signc ry ption i CL  run s  the alg o rithm to de crypt the ciphertext.  1)  i CL  compute s   (, ) i cl Kp R k l  () k mD C  and  1 (| | ) hH C r Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  745 9  – 7462   7462 2)  i CL  che c ks  whether  1 (| | ) s GH h r R   and  bs U   are  equ al. If they are n o t e qual,  i CL   reje cts the  ciphertext; othe rwi s e,  i CL  accept s the cip herte xt  and outputs the me ssag m In the imp r o v ed sch e me,  Schn orr’s si gnature  sche me [12] i s  u s ed  to g ene rate the   sign ature  of the me ssage  C . Schno rr h a s  dem on strat ed that hi s schem e is  pro v ably in the  random oracl e . Therefore,  the  proposed scheme coul provide unforgeability.  In orde r to ge BS ’s p r ivate ke y from the cip hertext  (, , ) CR s i CL  has to compute  i r   from  i Rr G  , where  12 (, ) i Rr G r r  (, ) i ic l Kr U k l  () k CE m 1 (| | ) hH C r  and   1 (| | ) ( m o d ) bs i s pH h r r q  . Then he will face the  elliptic curv e discrete lo garithm p r ob lem.  Therefore, t he propo se d  schem e co uld solve  th e private  ke y comp romi sed proble m   in   Alagheb and  and Aref’ s  scheme.       5. Conclusio n   In this  pap er,  we  indi cate d  that Alag heb and  and  Aref’ s   sign cryption sch e me  [1 1] is  not  secure against the  existential unfor geability. We al so  indicate that t heir  scheme  suffers from t h k e c o mp r o mis e d pr o b l em. T h e s i gnc r y p t io s c he me  is  the   mo s t  imp o r t an t b l oc k o f  th e i r   dynamic key manag eme n model  for hi era r chical  he teroge neo us  sen s o r  net wo rks. The r efo r e,  their key ma n ageme n t mod e l is also not se cure for practical appli c ations.       Referen ces   [1]  Z hang J, V a ra dhar aja n  V. W i reless s ensor   net w o rk k e y m ana geme n t sur v e y  an d ta xo n o m y .   J. Netw.  Co mp ut. Appl .,  2010;  33:  63 –75.   [2]  Eschen au er L,  Gligor  VD.  key  man a g e m ent sch eme fo r distrib u ted s ensor  netw o rk s.  Ninth A C M   Conf. on Com p uter and C o m m unic a tion Se curit y . 2 002: 4 1–4 7.  [3]  Chan H, Perrig, A.  Rando key pred istribu t ion sche m es for sensor n e tw orks . IEEE Sy mp. Securit y   and Priv ac y ,  2 003; 19 7– 21 3.  [4]  Liu D, Nin g P.  Establishi n g  pairw ise ke ys in distribut ed sens or net w o rks . 10th ACM Conf. o n   Comp uter and  Commun i cati o n s Securit y  (C CS03) , ACM P r ess, W a shingt on, DC, 200 3; 41– 7.  [5]  Blun do C, San t ix, AD, Herzb e rg  A, Kutten S, VaccaroU, Yung M.  Perfectly secure key  distribution for   dyna mic confe r ences . 12th A nnu al Int. Cr y p tolog y  C onf. on Advanc es in Cr yptol o g y , Sp ring er. 1992 ;   471 –4 86.   [6]  Camtep e SA, Yener B. C o mbin at oria l des i gn of ke y d i stributi on mec h a n isms for  w i r e less sens o r   net w o rks. J.  ACM/IEEE Trans. Netw ., Springer.  200 7; 15(2 ) : 346–3 58.   [7]  Yu Z, Guan Y.   A ro bust  grou p-bas ed k e mana ge me nt sc he me  for w i rel e ss se nsor  net w o rks . IEEE  W i reless Com m unic a tions a n d  Net w ork i ng  Conf. (W CNC), Ne w  Orl e a n s, LA, USA, 2005 ; 137.  [8]  Perrig A, Sz ew c z y k  R, We n  V, Cul l ar  D, Tyg a r JD.  SPIN S : Security pr o t ocols for s ens or netw o rks .   Seventh A nnu al ACM/IEEE Int. Conf. Mobil e  Comp uting  a nd Net w o r kin g . 2001; 1 89– 99.   [9]  Kobl itz N. Ellipt i c curve cr ypto s y stems.   Math. Com p ut.,  198 7; 48: 203 –20 9 .   [10]  Bone h D, F r a n klin, M.  Ide n t ity-based  enc ryption fro m  t he W e il  pair i n g , adva n ces i n  cryptol ogy- CRYPTO.  Lect. Notes Compu t. Sci., 2001; 2 139: 21 3– 22 9.  [11]  Alag heb an MR, Aref MR. D y namic  and s e cu re  ke y  m a n age ment mod e for hierarc h ic a l   hetero g e neo us  sensor net w o r ks.  Inform ation Security, IET,   201 2; 6(4): 271 -280.   [12]  Schnorr  CP. E fficient id entific at ion  an d si gn atures for sm a r t cards, in G.  Brassard, e d Advanc es i n   Cr yptol o g y -Cr y pto ' 89,  Springer-Verlag . Lect u re Notes i n  C o mputer Sci e n c e, nr 435. 19 9 0 ; 239-2 52.         Evaluation Warning : The document was created with Spire.PDF for Python.