基于橢圓曲線密碼系統的分簇WSNs節點身份認證機制*

鞏思亮，邢 濤，梁慶偉，王營冠

(1.中國科學院上海微系統與信息技術研究所無線傳感網與通信重點實驗室，上海200050;2.中國科學院研究生院，北京100049;3.無錫物聯網產業研究院，江蘇 無錫214135)

0 引言

與傳統網絡不同，無線傳感器網絡(WSNs)的開放性自組織特征使得WSNs物理層到應用層都面臨著來自網絡外部和內部的潛在安全威脅和攻擊。因此，出現了一系列針對WSNs安全的研究，如，針對WSNs的安全威脅與攻擊［1］、信任機制［2］、密碼管理［3］、節點身份認證［4，5］和安全路由機制［6］等研究。

認證是網絡安全中的重要組成部分，是在網絡中確認用戶身份和消息來源的重要手段。認證分為身份認證和消息認證。在WSNs中，由于網絡的開放性特征，需要為所有需要加入網絡的合法傳感器節點提供安全準入機制，也就是身份認證。

目前，針對WSNs認證的研究主要集中于基于非對稱密碼體制的認證和基于對稱密碼體制的認證2種方案。其中，基于非對稱密碼體制的認證方案大都是對現有Internet認證機制的成果進行改進和改造，使其適用于WSNs，其中，比較典型的是2004年提出的TinyPK方案［4］。TinyPK采用了低指數級RSA算法，較傳統的RSA算法運算量小。但是TinyPK方案只實現了單向認證，不能解決網絡中的認證方可能為非法的問題，并且在實際網絡中被認證實體有可能是需要入網的節點，用來執行大運算量的操作并不合理。Benenson Z等人［7］在TinyPK 方案的基礎上做了兩點改進:1)使用總體損耗和密碼長度都比低指數級RSA更小的橢圓曲線公鑰算法代替RSA;2)使用多認證方認證代替單一認證。但是該方案需要大量的通信開銷。與基于非對稱密碼體制的認證方案相比，基于對稱密鑰體制的認證方案最大的優勢是計算簡單。面向WSNs的SPINS安全框架協議［5］提出可以使用節點之間預共享通信密碼和節點與基站之間預共享通信密碼2種方式實現節點與節點之間、節點與基站之間簡單而高效的身份認證。但該方案中密碼的預分配工作必須在網絡部署之前全部完成，不能隨著網絡規模的動態變化而變化，因此，方案的擴展性比較差。為了克服這一缺點，E-G方案［8］采用隨機密碼預分配的算法進行認證和密碼管理，節點通過各種持有的密碼進行匹配實現認證。使用該方案網絡擴展能力會增強，但是由于密碼匹配存在一定的概率性，當節點間不存在匹配的共享密碼時，也不能證明節點為非法;另外，隨著被捕獲節點的增多，網絡的安全性變差。

針對現有方案的缺陷，本文結合了現有基于非對稱密碼體制認證方案和基于對稱密碼體制認證方案二者的優點，提出了一種適用于簇結構傳感器網絡的認證方案，采用分級的思想將基于非對稱密碼的復雜運算放在簇頭和網絡管理者等計算能力強的節點上，而簇成員等計算能力差的普通傳感器節點僅承擔基于對稱密碼體制的簡單操作，具有針對性和實用性。同時，方案中基于非對稱密碼的算法采用了橢圓曲線密碼加密體制(elliptic curve cryptosystem，ECC)［9］，在同等安全強度下進一步降低了計算復雜度和減小了密碼長度。最后對方案的安全性和效率進行了分析。

1 網絡模型

本文采用三層結構的簇狀網絡模型，假設每個節點在網絡中都有唯一的地址標識符，圖1給出了一種典型的單Sink三層傳感網結構模型。本文使用的網絡模型不限定簇的形成過程、簇頭的選舉方式、簇內的通信方式以及簇頭間的路由方式等，因此，可以用于多種網絡環境。

2 基于ECC的非對稱密碼技術

2.1 ECC加/解密算法

給定E是定義在有限域Fp上的橢圓曲線，G是E上選擇的階為 n(n為＞160的素數)的基點。CA隨機選擇k(1≤k≤n-1)作為自己的私鑰，并公開對應的公鑰K=kG和橢圓曲線E的域參數。

假設實體b要安全地發送消息m給實體a，那么實體b需要使用實體a的公鑰K對消息m進行加密。加密過程如下:

1)實體b獲取實體a傳送來的域參數信息，并產生隨機數 j，1≤j≤n-1;

圖1 典型的單Sink三層傳感網結構模型Fig 1 Typical three-layer structure model with single Sink

2.2 ECC簽名與驗證算法

假設實體a要對消息m進行簽名，過程如下:

1)實體 a 產生隨機數 j，1≤j≤n-1;

2)實體 a 計算 jG=(x1，y1);

3)實體a計算r=x1mod n，若r為0，則返回步驟(1);

4)實體a計算e=hash(m);

5)實體a計算s=j-1(e+rk)mod n;

6)實體a對m的簽名為(s，r)

記實體a對消息m的簽名(s，r)為SigECCa(m)。

擁有實體a公鑰K的實體b對簽名SigECCa(m)的驗證過程如下:

1)實體b計算e=hash(m);

2)實體b計算u=s-1mod n;

3)實體b計算v1=ew mod n和v2=rw mod n;

4)實體 b計算(x1，y1)=v1G+v2K;

5)實體b判斷r是否等于x1mod n，若相等，則簽名有效;若不相等，則簽名無效。

3 認證方案

方案分為網絡初始化、節點注冊、節點與簇頭的雙向認證和節點的簇間漫游4個主要階段。

3.1 網絡初始化

網絡管理者(NM)選擇安全的橢圓曲線域參數，并生成自己的密碼對(PrKNM，PuKNM)，H是使用 SHA—1算法的安全散列函數。橢圓曲線域參數和NM的公鑰PuKNM是全網公開的，網絡中的簇頭CH1，CH2，…，CHn使用相同的橢圓曲線域參數生成各自的密碼對(PrKCH1，PuKCH1)，(PrKCH2，PuKCH2)，…，(PrKCHn，PuKCHn)，其中，私鑰為各自私有，公鑰對外公開。

3.2 節點注冊

節點i在加入網絡之前，NM會檢驗和確認節點i的身份。身份確認之后，NM為節點i在合法節點列表中建立索引項并將相關索引信息發送給節點i。若該過程發生在網絡已經部署完成之后且NM與節點i之間不存在物理安全信道，則需要使用加密信息完成該注冊流程。步驟如下:

1)身份確認之后，節點i隨機選擇對稱密碼Keyi0作為原始密碼，然后發送密文C=EnECCPuKNM(Keyi0)給NM;

2)NM計算DeECCK(C)得到Keyi0，然后為節點i在合法節點列表中添加索引項，索引項至少應包括索引編號Index(i)、有效期TLi節點i的原始密碼Keyi0三項;

3)NM構造消息 m={Index(i)，SigECCNM(Index(i))，TLi}，并發送EnKeyi0(m)給節點i;

4)節點i使用Keyi0對消息進行解密后得到Index(i)，

通過該步驟，節點i與NM之間共享了初始密碼Keyi0。

3.3 節點與簇頭的雙向認證步驟

1)節點i獲取當前時戳T1并存儲，向簇頭CHj發起入簇申請，申請消息為 m1={Index(i)，T1，TLi，EnKeyi0(Ti)};

2)CHj收到申請消息m1后，若T1新鮮，則獲取當前時戳 T2，構造消息 m2={Index(i)，T1，EnKeyi0(T1)，T2}，發送{m2，SigECCCHj(m2)}給NM;

3)NM收到m2以后，首先驗證簽名SigECCCHj(m2)來自于簇頭CHj。若簽名有效，則在合法節點列表中查找Index(i)，找到對應的密碼Keyi0和有效期TLi。列表中無此項或者有效期已過，則直接回復CHj節點i為非法。若有此項且有效期未過，計算DeKeyi0(EnKeyi0(T1))得到T1并與數據包中的T1進行比較，若不相等，則回復CHj節點i為非法;若相等，NM獲取當前時戳T3，隨機選擇Keyi1作為節點i的臨時密碼，構造消息m3={EnECCPuKCHj(Keyi1)，T3，EnKeyi0({T1，Keyi1})}，發送{m3，SigECCNM(m3)}給 CHj;

4)CHj驗證簽名 SigECCNM(m3)，并檢驗 T1，T2，T3的合理性，從而驗證m3來自于NM。CHj用自身的私鑰PrK解密)得到與節點i的臨時對稱密碼Keyi1，然后發送消息m4=EnKeyi0({T1，Keyi1})給節點i;

5)節點i收到消息m4之后，計算DeKeyi0(m)得到T1和Keyi1。若T1正確且整個過程在合理的延時范圍之內，則確認CHj為合法的簇頭，并與CHj成功建立安全的對稱密碼Keyi1。

3.4 節點的簇間漫游

WSNs中的節點可以是能夠自由移動的節點，當節點i從一個簇移動到另一個簇時，就產生了節點的簇間漫游問題。當節點i在簇間漫游過程中需要向漫游地簇頭CHk申請認證時，需要重復3.3小節所述的認證流程。不同的是之前臨時的對稱密碼Keyi1會被拋棄，而由NM為節點i和簇頭CHk重新生成一個新的隨機密碼Keyi2。CHk與節點i隨后的通信將通過Keyi2進行加密和解密。

4 方案分析

4.1 安全性分析

1)雙向認證分析

在3.3小節新加入節點i與簇頭CHj的認證過程中，實現了二者的雙向認證。

CHj對i的認證:簇頭CHj對節點i認證的安全性主要基于2個要素:網絡管理者NM的可信性和NM對節點i的認證。其中，NM的可信性是通過對簽名SigECCNM(m3)的驗證來保證的。NM根據合法節點列表中的索引項和有效期限認證節點i。只有真正的節點i才擁有Keyi0，因此，只要解密得到的T1正確，就可以確認節點i身份的真實性。

i對CHj的認證:節點i對簇頭CHj的認證取決于NM對簇頭CHj的認證。在雙向認證的步驟(3)中，NM驗證簽名SigECCCHj(m2)的有效性。由于NM只能通過CHj與節點i進行通信，為了防止CHj偽造驗證結果，NM使用只有NM和節點i持有的對稱密碼Keyi0加密包含申請時間戳T1的數據包通過CHj轉發給節點i。由于每次申請時的時間戳T1不同并且CHj不具有密碼Keyi0，因此，CHj無法偽造驗證結果。節點i通過解密轉發的數據包得到時間戳T1與當時存儲的時間戳T1進行比較，如果相等，則驗證了CHj的合法性。

2)安全的會話密鑰建立和更新分析

在節點i與簇頭CHj的認證過程中，節點i與簇頭CHj可以建立安全的會話密碼Keyi1。Keyi1是由NM隨機生成的，并且通過2個安全信道分別傳給節點i和簇頭CHj:

安全信道NM節點i:NM向節點i傳遞消息m'的安全路徑為

在傳遞過程中，雖然經過簇頭CHj轉發，但是消息經過NM和節點i共享的Keyi0加密，CHj無法篡改該消息，因此，該信道是安全的。

安全信道NM→CHj:在該方案中，NM與簇頭CHj之間的通信采用了基于非對稱密碼的加密方式，保證了二者通信過程中的安全性。在整個過程中，i與CHj的會話密碼Keyi1由NM隨機生成，并且分別通過安全信道傳送給節點i與簇頭CHj，因此，會話密鑰Keyi1的建立是安全的。

3)通信安全性分析

認證過程中，NM和簇頭的保密內容通信均使用基于ECC的算法進行加密和簽名，保證了消息的安全性和完整性，發送的消息添加了時間戳以保證消息的新鮮性，可以防止重放攻擊。認證過程完成之后，簇頭CHj和節點i建立了安全的共享密碼Keyi1，后續的通信都使用Keyi1進行加密，保證了通信內容的安全。在節點i的認證有效期內，節點如果在各簇間漫游，那么，每次都會產生不同的對稱會話密碼，實現了一次一密。由于會話密碼由可信的NM隨機產生并通過安全信道傳輸，任何一方不能單獨產生會話密碼，保證了會話密碼的公正性。

4.2 效率分析

表1對本方案與 E-G 認證方案［8］、TinyPK 方案［4］、Benenson方案［7］在認證方式上進行了效率比較。

表1 效率比較Tab 1 Comparisons of efficiency

表中SK表示對稱密碼，由于對稱密鑰算法的計算復雜度要遠遠小于非對稱密碼算法，因此，E-G認證方案的計算復雜度最小。但E-G方案安全性差、認證成功率低、可擴展性差，不適應大規模的WSNs應用。而相比Benenson方案，本方案和傳感器節點相關的操作都使用了基于對稱密碼的算法，在計算量方面占有絕對優勢。因此，下文主要將本方案與TinyPK方案進行比較。考慮到163位的ECC算法與1024位的RSA的安全性相當［10］，此處 TinyPK采用 RSA—1024算法，密碼長度為1024 bit，本方案采用160位的ECC算法，密碼長度為160 bit。

4.2.1 計算開銷

1)認證方的計算開銷

表2對認證方的運算進行了比較，通過文獻［9］可知，160位的ECC非對稱密碼算法與RSA—1024的算法復雜度在同一數量級。因此，2種方案中認證方的計算開銷相差不大。但本方案所使用的ECC密碼長度為160 bit，相比TinyPK使用的1024 bit密碼長度，大大減少了密碼存儲所需要的空間。同時，在TinyPK中，認證方為計算能力較弱的傳感器節點，而本方案中的認證方為計算能力較強的簇頭，因此，本方案更具有實用性。另外，隨著網絡對安全要求的提高，ECC低計算開銷的優勢還會更加明顯的展現出來。

表2 認證過程中認證方的計算開銷比較Tab 2 Comparisons of the authenticators’computational pay expenses during the authenticational process

2)被認證方的計算開銷

表3對被認證方的運算進行了比較，相比TinyPK方案，本方案主要使用對稱密碼加密，計算量相對可以忽略。

表3 認證過程中被認證方的計算開銷比較Tab 3 Comparisons of the computational pay expenses of the parties to be authenticated during the authentication process

4.2.2 通信開銷

對于每次成功認證，TinyPK僅需要2次通信，而本方案需要4次通信。從通信開銷上看，TinyPK方案要優于本方案。但是由于TinyPK方案只實現了單向認證，不能解決認證方可能為非法的問題;而本方案實現了雙向認證，認證雙方的任意一方為非法實體都無法通過。另外，由于TinyPK方案的認證是分布式的，并不能解決證書的撤銷問題;而本方案由NM統一對所有節點的認證信息進行管理，可以根據實際情況對證書進行撤銷，即本方案通過增加通信開銷提高了網絡安全性。

5 結束語

針對基于非對稱密碼認證方案計算量大、基于對稱密碼認證方案安全性差的缺陷，本文提出了一種基于ECC的分簇傳感器網絡節點身份認證機制。該機制的核心思想是將基于非對稱密鑰的復雜運算放在簇頭和網絡管理者等計算能力強的節點上，而簇成員等計算能力差的普通傳感器節點僅承擔基于對稱密碼體制的簡單操作，從而降低了普通傳感器節點的計算量，具有針對性和實用性。同時，方案引入ECC密碼系統用于進一步降低計算量和減少密碼長度，具有安全性高、計算量小、擴展性好的優勢。

［1］Perrig A，Stankovic J，Wagner D.Security in wireless sensor networks［J］.Communications of the ACM，2004，47(6):53-57.

［2］Bankovic Z，Fraga D，JoséM，et al.Detecting and confining sybil attack in wireless sensor networks based on reputation systems coupled with self-organizing maps［J］.IFIPAdvances in Information and Communication Technology，2010，339:311-318.

［3］Canh N T，Truc PT H，Hai T H，et al.Enhanced group-based key management scheme for wireless sensor networks using deployment knowledge［C］∥The 6th Annual IEEE Consumer Communications and Networking Conference，Las Vegas，Nevada，USA，2009:1-5.

［4］Watro R，Kong D，Cuti S，et al.TinyPK:Securing sensor networks with public technology［C］∥Proceedings of the 2nd ACM Workshop on Security of Ad Hoc Networks and Sensor Networks，Washington DC，2004:59-64.

［5］Perrig A，Szewczyk R，Tygar J D，et al.SPINS:Security protocols for sensor networks［J］.Wireless Networks，2002，8(5):521-534.

［6］章國安，周 超.基于名譽機制的無線傳感器網絡安全路由協議［J］.傳感器與微系統，2010，29(10):75-79.

［7］Benenson Z，Gedicke N，Raivio O.Realizing robust user authentication in sensor networks［C］∥Proceedings of Int’l Conf on Real-World Wireless Sensor Networks，Stockholm，2005:135-142.

［8］Eschenauer L，Gligor V D.A key-management scheme for distributed sensor networks［C］∥Proceedings of the 9th ACM Conference on Computer and Communications Security，New York，USA，2002:41-47.

［9］Koblitz N.Elliptic curve cryptosystems［J］.Mathematics of computation，1987，48(177):203-209.

［10］Gura N，Patel A，Wander A，et al.Comparing elliptic curve cryptography and RSA on 8-bit CPUs［C］∥Proceedings of Int’l Conf on Cryptography Hardware and Embedded Systems，Cambridge，2004:925-943.