一種強(qiáng)安全的WSN用戶認(rèn)證及密鑰協(xié)商方案*

張惠根，周治平

（江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院，江蘇無錫214122）

一種強(qiáng)安全的WSN用戶認(rèn)證及密鑰協(xié)商方案*

張惠根，周治平*

（江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院，江蘇無錫214122）

針對(duì)無線傳感器網(wǎng)絡(luò)雙因素用戶認(rèn)證方案中智能卡內(nèi)敏感信息被破譯、公共信道信息傳輸被偵聽引起的匿名性隱患及密碼猜測等攻擊，在T-M方案的基礎(chǔ)上，注冊(cè)階段采用哈希加密深度隱藏了用戶隱私信息，增強(qiáng)智能卡中元素的抗猜測性；又將網(wǎng)關(guān)作為消息中轉(zhuǎn)站提前對(duì)用戶進(jìn)行驗(yàn)證，調(diào)整了信息傳輸結(jié)構(gòu)及認(rèn)證方式，減少節(jié)點(diǎn)能耗且加強(qiáng)消息傳輸?shù)陌踩雷o(hù)；同時(shí)，在網(wǎng)關(guān)端添加寫保護(hù)用戶身份日志表，及時(shí)記錄用戶登錄信息，以防資源濫用。理論分析及實(shí)驗(yàn)顯示了所提方案有效抵御了T-M方案的不足，大大減少了傳感節(jié)點(diǎn)的通信開銷，提供更多的安全防護(hù)且具有計(jì)費(fèi)功能。

無線傳感器網(wǎng)絡(luò)；用戶認(rèn)證；哈希加密；密鑰協(xié)商；智能卡

傳統(tǒng)網(wǎng)絡(luò)中，認(rèn)證問題的研究相對(duì)廣泛，現(xiàn)已存在基于本地身份［1-2］、基于證書、基于生物特征［3］、基于口令以及基于智能卡等認(rèn)證機(jī)制［4］。而作為物聯(lián)網(wǎng)產(chǎn)業(yè)的重要組成部分——無線傳感器網(wǎng)絡(luò)，由于其本身組織結(jié)構(gòu)及通信模式的特殊性，相關(guān)認(rèn)證機(jī)制的研究并不成熟［5］。另外，伴隨著電子信息化時(shí)代的飛速發(fā)展，敵方的攻擊方式及攻擊能力也得到了補(bǔ)充和加強(qiáng)。因此如何在分布式無線網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)通信實(shí)體身份的互認(rèn)證，保護(hù)實(shí)體隱私免遭侵害，已成為時(shí)下亟待解決的問題。

近年來，基于WSN安全的用戶身份認(rèn)證方案陸續(xù)被提出：Das提出了一個(gè)基于便于記憶的密碼和智能卡的雙因素用戶身份認(rèn)證方案［6］，該方案只需異或和散列計(jì)算，一定程度上提高了認(rèn)證效率。Das方案提出后吸引了大量的關(guān)注［7-9］，基于該思想，Shi［10］、劉［11］、Park［12］等人又相繼提出了一些帶有實(shí)體互認(rèn)證的用戶身份驗(yàn)證及密鑰協(xié)商方案。2012年，Vaidya等人［13］指出文獻(xiàn)［6-7］不提供密鑰協(xié)商，且無法抵御智能卡被盜攻擊和傳感節(jié)點(diǎn)冒充攻擊，因此提出了一種改進(jìn)的雙因素相互認(rèn)證和密鑰協(xié)商機(jī)制，但該方案仍然存在惡意用戶攻擊、網(wǎng)關(guān)旁路攻擊等問題。xue［14］針對(duì)大部分方案所顯露的安全漏洞及高計(jì)算負(fù)載和通信成本，提出一個(gè)基于暫憑證的輕量級(jí)用戶認(rèn)證方案。但隨后，Li［15］等人發(fā)現(xiàn)該方案易遭受校驗(yàn)器被盜及內(nèi)部人員攻擊，一旦敵方提取出所盜智能卡中的存儲(chǔ)信息，該方案易遭受離線密碼猜測攻擊，且不具用戶匿名性。Park等人［12］結(jié)合用戶生物特征信息對(duì)文獻(xiàn)［9］中用戶密碼離線猜測威脅加強(qiáng)了防御，但該方案本身需要特殊硬件裝置，且未對(duì)智能卡中保存的用戶身份標(biāo)識(shí)等私密信息進(jìn)行有效保護(hù)，因此仍不具強(qiáng)安全性。Choi［16］針對(duì)文獻(xiàn)［10］易遭受智能卡被破譯等問題提出了基于ECC認(rèn)證的改進(jìn)方案，但該方案不具用戶匿名保護(hù)，易遭受惡意用戶攻擊，且運(yùn)算復(fù)雜度高不適用于資源受限的環(huán)境。最近T-M等人［17］基于物聯(lián)網(wǎng)概念提出一種新用戶認(rèn)證方案，該方案充分考慮了感知區(qū)域節(jié)點(diǎn)部署后的有效性，增加了節(jié)點(diǎn)注冊(cè)過程，并提供密鑰協(xié)商、密鑰更新等功能，具有認(rèn)證過程簡單、易于擴(kuò)展等優(yōu)點(diǎn)，但經(jīng)仔細(xì)分析，該方案易遭受能量耗盡攻擊；此外，一旦敵方破譯出智能卡中用戶敏感信息后能發(fā)動(dòng)離線猜測等一系列攻擊，從而對(duì)無線網(wǎng)絡(luò)安全造成極大威脅。

本文簡要回顧了T-M方案，分析了其面臨的安全威脅，指出該方案在智能卡中敏感信息被破譯的情況下通信實(shí)體的私密信息保護(hù)是脆弱的；然后針對(duì)其安全隱患提出了改進(jìn)方案；最后，詳細(xì)分析了改進(jìn)方案的安全性和效率。

1 相關(guān)工作

1.1 T-M方案簡要回顧

T-M方案的預(yù)部署、用戶注冊(cè)、登陸與認(rèn)證階段主要過程如下：

預(yù)部署階段：各傳感器節(jié)點(diǎn)Sj被預(yù)定義一身份標(biāo)識(shí)SIDj及與網(wǎng)關(guān)節(jié)點(diǎn)共享密鑰XGWN-Sj。此外，網(wǎng)關(guān)端秘密存儲(chǔ)高強(qiáng)度密鑰XGWN，同時(shí)保存著各傳感節(jié)點(diǎn)標(biāo)識(shí)SIDj及對(duì)應(yīng)的共享密鑰XGWN-Sj。

用戶注冊(cè)階段：用戶選擇身份標(biāo)識(shí)IDi、密碼PWi及隨機(jī)數(shù) ri，并計(jì)算：MPi=h(ri//PWi)，MIi= h(ri//IDi)，再將MPi、MIi以安全信道發(fā)送至網(wǎng)關(guān)，網(wǎng)關(guān)收到消息后再依次計(jì)算：fi=h(MIi//XGWN)，xi=h(MPi//XGWN-Ui)，ei=fi⊕xi，再將 {MIi,ei,fi,XGWN-Ui}存入智能卡內(nèi)存中，然后將定制好的智能卡SC以安全信道發(fā)送至Ui，Ui收到SC后，再嵌入隨機(jī)數(shù)ri。

登錄及認(rèn)證階段：用戶將SC插入終端，輸入IDi和PWi，SC 計(jì) 算，，xi=fi⊕ei，驗(yàn)證，若相等，用戶終端進(jìn)一步計(jì)算Ni=h(xi//XGWN-Ui//T1)，T1為終端當(dāng)前時(shí)戳，再選擇隨機(jī)數(shù)Ki，計(jì)算Zi=Ki⊕fi，將消息＜MIi,ei,Zi,Ni,T1＞以公共信道發(fā)送至傳感節(jié)點(diǎn)Sj，Sj在Tc時(shí)刻收到用戶認(rèn)證請(qǐng)求后，檢測是否滿足條件| |

T1-Tc＜Δt，條件成立后計(jì)算：xj=ej⊕fj，Aj=h(XGWN-Sj//T1//T2)⊕xj，其中T2為Sj當(dāng)前時(shí)戳，再將消息＜MIi,ei,Ni,T1,T2,SIDj,ej,Aj＞發(fā)送至網(wǎng)關(guān)。網(wǎng)關(guān)再依次對(duì)Sj、Ui進(jìn)行認(rèn)證，最終用戶和節(jié)點(diǎn)之間生成會(huì)話密鑰。詳見文獻(xiàn)［17］。

1.2 T-M方案安全性分析

當(dāng)敵方通過單功耗分析SPA和差分功耗分析DPA［16］破譯所竊智能卡SC時(shí)，能提取出SC中存儲(chǔ)的所有信息：{ri,MIi,ei,fi,XGWN-Ui}，因此，敵方可能利用已知的ri，發(fā)動(dòng)離線密碼猜測攻擊［14］不斷猜測，并計(jì)算，再與MIi比較，若相等，敵方便可獲得用戶標(biāo)識(shí)IDi，因此該方案不具用戶匿名性。

敵方可通過SC中提取的信息計(jì)算出xi（通過ei⊕fi），因?yàn)?xi=h(h(ri//PWi)//XGWN-Ui)，而ri和 XGWN-Ui被敵方所得，敵方便可不斷猜測，并計(jì)算，再與xi比較，若相等，敵方便猜測出了用戶密碼PWi；甚至，敵方可以通過提取出的 fi和MIi猜測出網(wǎng)關(guān)系統(tǒng)主密鑰XGWN造成更大威脅，因此該方案易遭受離線密碼猜測攻擊。

由上，敵方可將智能卡插入終端并輸入猜測出的IDi和PWi，如此，攻擊者便可成功登陸并訪問傳感節(jié)點(diǎn)數(shù)據(jù)，同時(shí)還可向網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送惡意指令。再者，一旦攻擊者將智能卡復(fù)制并連同猜測出的用戶IDi和PWi分發(fā)至多個(gè)非法用戶時(shí)，各非法用戶便可利用同一合法用戶身份同時(shí)訪問傳感器網(wǎng)絡(luò)，如此便又存在多合法身份非法登陸問題。網(wǎng)關(guān)針對(duì)此隱患若無預(yù)警裝置，將導(dǎo)致資源濫用。

另外，當(dāng)敵方不斷地向Sj發(fā)送偽造的登陸請(qǐng)求消息＜?,?,?,?,Ta＞時(shí)，?為任意內(nèi)容，Ta為敵方當(dāng)前時(shí)戳，Sj收到這些偽造消息后只檢測時(shí)間新鮮度，條件成立則不斷執(zhí)行計(jì)算和轉(zhuǎn)發(fā)操作，如此必將耗費(fèi)巨大能量，因此該方案缺少對(duì)節(jié)點(diǎn)能量耗盡攻擊的保護(hù)。

2 所提方案

新協(xié)議包含預(yù)部署、注冊(cè)、登錄、認(rèn)證與密鑰協(xié)商、密鑰更新以及節(jié)點(diǎn)動(dòng)態(tài)添加6個(gè)階段。新方案仍然采用輕量級(jí)運(yùn)算：哈希、異或操作，將用戶和節(jié)點(diǎn)的私密信息進(jìn)行了深度隱藏，所用符號(hào)注釋如表1所示。另外，文中采用SAPD算法［18］，確保通信實(shí)體間的時(shí)鐘基準(zhǔn)保持同步。

表1 協(xié)議使用符號(hào)注釋

2.1 預(yù)部署階段

GW為各傳感器節(jié)點(diǎn)Sj分配IDj和KGSj，其中1≤j≤m，m為即將部署在感知區(qū)域的節(jié)點(diǎn)數(shù)量；另外，GW擁有強(qiáng)安全主密鑰X和Y，并將IDj、KGSj秘密存儲(chǔ)在其數(shù)據(jù)中心。

2.2 注冊(cè)階段

該階段分節(jié)點(diǎn)注冊(cè)、用戶注冊(cè)兩部分。節(jié)點(diǎn)注冊(cè)階段在節(jié)點(diǎn)部署完成之后啟動(dòng)，用戶注冊(cè)階段則根據(jù)用戶需求隨時(shí)向網(wǎng)關(guān)中心發(fā)起。具體流程如圖1所示，步驟如下：

2.2.1 節(jié)點(diǎn)注冊(cè)

Step 1 Sj選擇隨機(jī)數(shù)rj，計(jì)算MPj=h(KGSj||rj|| IDj)，MNj=rj⊕KGSj，RMPj=MPj⊕MNj，再在T1時(shí)刻將注冊(cè)請(qǐng)求信息＜IDj,RMPj,MNj,T1＞通過公共信道發(fā)送至GW；

Step 2 GW在T1′時(shí)刻收到Sj的注冊(cè)信息后，先檢測是否成立，Δt為系統(tǒng)允許的最大傳輸延時(shí)，若超時(shí)，信息被丟棄，否則，GW計(jì)算

Step 4 Sj在時(shí)刻收到GW發(fā)送的信息后，檢測是否成立，檢測通過后則進(jìn)一步計(jì)算：，再驗(yàn)證，驗(yàn)證通過后將ej存入內(nèi)存。

圖1 傳感節(jié)點(diǎn)及用戶注冊(cè)流程

2.2.2 用戶注冊(cè)

Step 1 Ui隨機(jī)選擇IDi、PWi以及ri，再計(jì)算MIi=h(IDi||PWi)，MPi=h(ri⊕PWi)，將注冊(cè)請(qǐng)求信息＜IDi,MIi,MPi＞通過安全信道發(fā)送至GW；

Step 2 GW收到Ui注冊(cè)請(qǐng)求后計(jì)算：fi= h(MIi||MPi)，xi=h(IDi||X)，ei=xi⊕h(X||Y)，Di=MIi⊕h(xi||h(X||Y))，再把ei、fi、h(·)寫入SC，將SC以安全方式簽發(fā)至Ui；同時(shí)，GW為該用戶生成寫保護(hù)日志表如表2所示，將ei、Di分別記入用戶偽標(biāo)識(shí)項(xiàng)和校驗(yàn)值項(xiàng)，ei用于檢索出該用戶校驗(yàn)參數(shù)Di，狀態(tài)位表示該用戶當(dāng)前狀態(tài)，若用戶登錄GW，狀態(tài)位置1，否則置0；TSi表示提供該用戶資源訪問的服務(wù)時(shí)間，便于GW更好地調(diào)控Ui和Sj，以防資源濫用。

Step 3 Ui收到SC后，將SC插入終端，將隨機(jī)數(shù)ri嵌入SC中，此時(shí)SC中所存信息為{ri,fi,ei,h(·)}。

表2 GW端用戶身份日志表

2.3 登錄階段

Ui請(qǐng)求訪問網(wǎng)絡(luò)資源時(shí)，須將SC插入終端，輸入IDi和PWi；具體流程如圖2所示，步驟如下：

圖2 用戶登錄階段流程

2.4 認(rèn)證和密鑰協(xié)商階段

圖3 認(rèn)證及密鑰協(xié)商階段流程

該階段由網(wǎng)關(guān)接收到Ui登錄請(qǐng)求消息后發(fā)起，具體流程如圖3所示，并按下述步驟進(jìn)行：

最后Ui與Sj生成雙方安全通信的會(huì)話密鑰SK=h(Ki⊕Kj)，認(rèn)證及密鑰協(xié)商階段完成。

2.5 密鑰更新階段

Ui將SC插入智能終端后，輸入IDi和PWi，智能卡依次計(jì)算：MIi=h(IDi||PWi)，MPi=h(ri⊕PWi)，；驗(yàn)證與 fi是否相等，若驗(yàn)證通過，用戶可選擇密碼更新。Ui輸入新密碼和新隨機(jī)數(shù)后，智能卡依次計(jì)算：；智能卡用分別替換和ri；然后終端將＜ei，＞通過安全信道發(fā)送至GW，GW通過ei檢索出用戶身份日志表中Di，計(jì)算，再將替換Di。

2.6 節(jié)點(diǎn)動(dòng)態(tài)添加階段

由于實(shí)際應(yīng)用中傳感節(jié)點(diǎn)能量耗盡、易被物理破壞或敵方攻擊，因此需部署新節(jié)點(diǎn)。本文節(jié)點(diǎn)動(dòng)態(tài)添加過程由網(wǎng)關(guān)和新節(jié)點(diǎn)兩方進(jìn)行，無需用戶、智能卡參與操作，因此對(duì)網(wǎng)絡(luò)其他通信實(shí)體的既定狀態(tài)和認(rèn)證方式未造成任何變化；另外，本文和T-M方案不同于Das方案［9］，無需在用戶注冊(cè)階段預(yù)先將待添加的節(jié)點(diǎn)信息存儲(chǔ)在智能卡內(nèi)存中，因此本文保留了T-M方案可擴(kuò)展性不受智能卡內(nèi)存空間的限制這一特點(diǎn)，節(jié)點(diǎn)動(dòng)態(tài)添加過程相對(duì)簡單容易，易于擴(kuò)展。

3 安全性分析

分析總結(jié)新方案的特點(diǎn)及安全性如下：

①相互認(rèn)證：認(rèn)證及密鑰協(xié)商過程在公共信道的信息傳輸中完成，GW執(zhí)行step 1～step 2能驗(yàn)證用戶的合法性，用戶執(zhí)行step 8～step 9能驗(yàn)證傳感節(jié)點(diǎn)Sj和GW的合法身份，因?yàn)橹挥泻戏ǖ腉W才能計(jì)算出用戶的MIi、MPi，才能從Zi中提取出用戶的秘密隨機(jī)數(shù)Ki，并傳遞正確的消息M2至Sj，Sj對(duì)GW的認(rèn)證流程在step 5～step 6完成，同樣通過執(zhí)行step 8～step 9，GW驗(yàn)證了Sj的合法性。

②內(nèi)部人員攻擊：假設(shè)網(wǎng)關(guān)中心管理人員有機(jī)會(huì)盜取用戶身份日志表中校驗(yàn)器，由于日志表中不存儲(chǔ)用戶明文密碼，內(nèi)部人員無法從校驗(yàn)參數(shù)Di中提取出PWi，因此內(nèi)部人員攻擊無法在本方案中實(shí)施。

③重放攻擊：新方案認(rèn)證過程中，四次消息傳輸中均至少包含一個(gè)用時(shí)戳作為哈希輸入的驗(yàn)證器，實(shí)體間通過驗(yàn)證時(shí)戳新鮮度和校驗(yàn)器的合法性驗(yàn)證消息及實(shí)體的真實(shí)性，故能抵御重放攻擊。

④能量耗盡攻擊：T-M方案中，該認(rèn)證方式由于用戶和節(jié)點(diǎn)之間無預(yù)分配密鑰，節(jié)點(diǎn)收到用戶認(rèn)證請(qǐng)求消息后無法對(duì)消息源進(jìn)行驗(yàn)證，只能檢測時(shí)間新鮮度，檢測通過后立即執(zhí)行計(jì)算和轉(zhuǎn)發(fā)操作，該認(rèn)證方式極易遭受節(jié)點(diǎn)能量耗盡攻擊。而新方案中調(diào)整了實(shí)體間通信結(jié)構(gòu)，網(wǎng)關(guān)先對(duì)用戶認(rèn)證請(qǐng)求信息M1進(jìn)行驗(yàn)證，驗(yàn)證成功后再將相關(guān)信息傳輸至傳感裝置，確保了只有合法的用戶信息才被傳輸至傳感節(jié)點(diǎn)，因此本方案抵御了能量耗盡攻擊。

⑤用戶匿名性：用戶認(rèn)證請(qǐng)求消息M1中不直接傳輸用戶標(biāo)識(shí)IDi，而是用僅能被GW所能識(shí)別的偽標(biāo)識(shí)ei代替用戶身份信息，由于無法獲得網(wǎng)關(guān)主密鑰X、Y，敵方無法從ei=h(IDi||X)⊕h(X⊕Y)中提取出IDi。即使敵方破譯智能卡中信息{ri,fi,ei,h(.)}，由于單向哈希函數(shù)的逆向保護(hù)同時(shí)缺少PWi，敵方想要從 fi中同時(shí)猜測出MIi、MPi、IDi也是不可行的。故本方案提供用戶匿名性保護(hù)。

⑥密碼猜測攻擊：T-M方案中，敵方憑借計(jì)算出的xi以及破譯出的ri、XGWN-Ui，能通過不斷迭代比較猜測出PWi，因?yàn)閤i=h(h(ri||PWi)||XGWN-Ui)；而新方案中如前文所述，由于缺少IDi，敵方欲從 fi中猜測出PWi則面臨更大困難性，因?yàn)閒i=h(h(IDi||PWi)||h(ri||PWi))。故新方案加強(qiáng)了離線密碼猜測攻擊的防護(hù)。

⑦惡意用戶攻擊：該攻擊是指如果敵方也在網(wǎng)關(guān)中心注冊(cè)成功后，也能獲得其本人的智能卡，敵方提取出智能卡中存儲(chǔ)的信息后，可能通過其本人的注冊(cè)信息提取或猜測出網(wǎng)關(guān)系統(tǒng)或傳感節(jié)點(diǎn)的密鑰，造成安全威脅。新方案中智能卡中只存儲(chǔ){ri,fi,ei,h(·)}，敵方無法從ei中提取出網(wǎng)關(guān)主密鑰X、Y，更無法猜測出傳感節(jié)點(diǎn)的秘密參數(shù)。

⑧網(wǎng)關(guān)旁路攻擊：由于敵方缺少系統(tǒng)主密鑰X、Y以及節(jié)點(diǎn)與網(wǎng)關(guān)的共享密鑰KGSj，無法計(jì)算出正確的ej，Zg和Ag，因此無法繞過網(wǎng)關(guān)并偽造直接傳輸至傳感節(jié)點(diǎn)Sj的驗(yàn)證消息M2，一旦該驗(yàn)證消息未通過Sj的驗(yàn)證，Sj不回復(fù)任何消息。因此本方案能抵御網(wǎng)關(guān)旁路攻擊。

⑨冒充攻擊：一方面，為成功冒充合法用戶，攻擊者必須計(jì)算出有效的登錄請(qǐng)求。假設(shè)敵方已竊取用戶智能卡并提取出其中存儲(chǔ)的信息，盡管ei是消息M1的組成元素之一，但敵方無IDi、PWi無法計(jì)算出MIi、MPi，更不能計(jì)算出正確的DIDi、Ai，因此DIDi和Ai有效防止了用戶冒充攻擊；另一方面，為成功冒充合法節(jié)點(diǎn)，非法節(jié)點(diǎn)必須能夠計(jì)算出發(fā)送至GW和Ui的合法消息 M3(M4):＜IDj,Zj,Aj,T5＞。攻擊者無MIi、MPi無法從Zi中提取出用戶秘密隨機(jī)數(shù)Ki，無法計(jì)算正確的Aj，因此，Zj和Aj防止了惡意節(jié)點(diǎn)冒充攻擊。

⑩資源濫用隱患：現(xiàn)有基于智能卡的雙因素用戶認(rèn)證方案中假設(shè)用戶智能卡遭到復(fù)制，同時(shí)用戶信息IDi、PWi泄露給諸多惡意用戶，則多個(gè)惡意用戶可利用該合法身份同時(shí)登陸網(wǎng)絡(luò)進(jìn)行資源訪問，GW端無異常顯示；而新方案中GW端身份日志表中狀態(tài)位項(xiàng)、上次登錄項(xiàng)以及時(shí)間項(xiàng)能及時(shí)捕獲用戶重復(fù)登錄、網(wǎng)絡(luò)資源濫用的異常行為。當(dāng)用戶登錄存在異常時(shí)，GW向傳感節(jié)點(diǎn)發(fā)送終止向指定用戶提供資源服務(wù)的命令并向該用戶發(fā)送賬號(hào)存在風(fēng)險(xiǎn)的消息。因此，新方案提供了資源濫用防護(hù)。

4 所提方案性能評(píng)估

4.1 安全性能比較

安全性能比較基于如下假設(shè)：①敵方能提取出智能卡中秘密信息；②、敵方能偵聽公共信道中傳輸?shù)乃行畔ⅲ虎蹟撤侥茉诰W(wǎng)關(guān)中心成功注冊(cè)且獲得其本人的智能卡。此部分總結(jié)并比較Vaidya［13］、Xue［14］、Choi［16］、T-M［17］方案與本文方案的安全性。

如表3所示，在遭受上述隱患時(shí)，僅方案［13］［16］與新方案能同時(shí)抵御離線密碼猜測和能量耗盡攻擊。值得注意的是，文獻(xiàn)［16］中，合法用戶將智能卡插入終端并輸入個(gè)人信息后能提取出傳感節(jié)點(diǎn)中存儲(chǔ)的秘密參數(shù)，該參數(shù)可被傳感節(jié)點(diǎn)用于認(rèn)證用戶身份合法性，因此能抵御能量耗盡攻擊，但如果惡意用戶也在網(wǎng)關(guān)中心成功注冊(cè)后，也能提取出傳感節(jié)點(diǎn)秘密參數(shù)，故該惡意用戶可以憑借此秘密參數(shù)發(fā)動(dòng)節(jié)點(diǎn)冒充攻擊；文獻(xiàn)［13］同樣易遭受惡意用戶攻擊，惡意用戶注冊(cè)成功后能提取出網(wǎng)關(guān)主密鑰；另外，文獻(xiàn)［13］［16］均未克服資源濫用和用戶匿名性問題；所提方案克服了上述諸多不足，保留T-M［17］方案易于擴(kuò)展的優(yōu)點(diǎn)且具有計(jì)費(fèi)功能，更具安全性、實(shí)用性。

表3 安全性及功能比較

4.2 計(jì)算開銷比較

實(shí)際應(yīng)用中，用戶和節(jié)點(diǎn)注冊(cè)過程一般只需執(zhí)行一次，而用戶每次訪問資源均需執(zhí)行登陸認(rèn)證以及密鑰協(xié)商流程，此部分將所提方案認(rèn)證及密鑰協(xié)商過程與現(xiàn)有方案進(jìn)行比較如表4所示。仿真環(huán)境為：Intel Core i3-2.27 GHz，RAM-2 GB；編程語言使用Java；由于每次運(yùn)行時(shí)間有細(xì)微差異，故測試30次取平均值，橢圓曲線加解密計(jì)算耗時(shí)TECC（ECC-160）約為單向哈希運(yùn)算計(jì)算耗時(shí)Th（SHA-256）的3 000倍（Th約為0.3 ms，TECC約為0.9 s）。

表4 通信實(shí)體計(jì)算開銷比較

忽略計(jì)算復(fù)雜度較低的異或操作，所提方案中用戶、網(wǎng)關(guān)及傳感器節(jié)點(diǎn)的總計(jì)算開銷為25Th，通信實(shí)體總計(jì)算耗時(shí)為0.0075 s。相比采用計(jì)算開銷較大的橢圓曲線加密算法［16］計(jì)算延時(shí)為5.4066 s，新方案計(jì)算延時(shí)可忽略不計(jì)；相比Vaidya［13］、Xue［14］、T-M方案［17］的0.0045 s、0.0084 s、0.0057 s，所提方案在增強(qiáng)系統(tǒng)安全性、提供更多功能的同時(shí)并未增加太多計(jì)算開銷。

4.3 通信開銷比較

實(shí)驗(yàn)設(shè)定用戶和傳感節(jié)點(diǎn)身份標(biāo)識(shí)長度為128 bit，時(shí)戳長度為24 bit，系統(tǒng)主密鑰、哈希散列輸出以及標(biāo)量乘運(yùn)算輸出均為256 bit。實(shí)驗(yàn)將現(xiàn)有方案［13-14］［16-17］與新方案進(jìn)行對(duì)比，各消息長度如圖4所示。雖然新方案中消息M1長度略高于其他方案，但該消息是由能量相對(duì)充足的移動(dòng)終端所發(fā)送，而資源受限的傳感節(jié)點(diǎn)發(fā)送的消息總長度分別為：67 B（M3）［13］、83 B（M3/M4）［14］、267 B（M2+M4）［16］、258 B（M2+M4）［17］、83 B（M3/M4）。

文獻(xiàn)［16］和T-M方案［17］采用了文獻(xiàn)［14］中所述的認(rèn)證模型（e），該模型中，節(jié)點(diǎn)本身沒有用于對(duì)用戶身份進(jìn)行驗(yàn)證的秘密參數(shù)，無法對(duì)用戶認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證，只能充當(dāng)中轉(zhuǎn)站將接收的用戶認(rèn)證請(qǐng)求信息連同用于驗(yàn)證節(jié)點(diǎn)自身的認(rèn)證信息一起發(fā)送至網(wǎng)關(guān)，并委托網(wǎng)關(guān)對(duì)用戶進(jìn)行認(rèn)證，然后將網(wǎng)關(guān)反饋信息加以驗(yàn)證后再傳輸相關(guān)信息至用戶，如此便造成了大量的通信開銷，且極易遭受上述的能量耗盡攻擊。文獻(xiàn)［13］采用了認(rèn)證模型（a）［14］，在傳感節(jié)點(diǎn)通信開銷方面優(yōu)勢(shì)明顯。而新方案與文獻(xiàn)［14］則采用了模型（d），該模型中，節(jié)點(diǎn)只需將用于驗(yàn)證節(jié)點(diǎn)自身合法性的應(yīng)答消息M3、M4分別發(fā)送至網(wǎng)關(guān)和用戶即可，且M3、M4可同時(shí)發(fā)送，節(jié)點(diǎn)通信開銷稍大于模型（a），但相比T-M方案，新方案在提高安全性的同時(shí)，既減少了通信負(fù)擔(dān)又降低了系統(tǒng)延遲。

圖4 通信開銷比較

5 總結(jié)

本文總結(jié)了現(xiàn)有基于智能卡的雙因素用戶認(rèn)證方案的性能及特點(diǎn)，并指出T-M方案存在的一系列威脅。新方案改進(jìn)了T-M方案的注冊(cè)及認(rèn)證過程，加強(qiáng)了用戶私密信息的保護(hù)，大大減少了傳感節(jié)點(diǎn)的通信開銷。相比現(xiàn)有認(rèn)證方案，在智能卡丟失、傳輸信息被偵聽、惡意用戶成功注冊(cè)的情況下，新方案仍具有抵御離線密碼猜測、能量耗盡、資源濫用、冒充等攻擊的強(qiáng)安全性，并提供用戶匿名保護(hù)。另外，本方案只使用輕量級(jí)的哈希及異或運(yùn)算，計(jì)算開銷較小。因此，本方案的低開銷、強(qiáng)安全、易于擴(kuò)展的特點(diǎn)更適用于WSN資源受限環(huán)境下實(shí)際應(yīng)用的安全防護(hù)。

［1］Toledo N，Higuero M，Astorga J，et al.Design and Formal Security Evaluation of NeMHIP：A New Secure and Efficient Network Mobility Management Protocol Based on the Host Identity Protocol［J］.Computers&Security，2013，32：1-18.

［2］Marin-Lopez R，Pereniguez-Garcia F，Gomez-Skarmeta A F，et al.Network Access Security for the Internet：Protocol for Carrying Authentication for Network Access［J］.Communications Magazine，IEEE，2012，50（3）：84-92.

［3］梁愛華，袁家政，和青芳，等.基于指部關(guān)聯(lián)特征的多模態(tài)圖像采集系統(tǒng)［J］.傳感技術(shù)學(xué)報(bào)，2014，27（2）：204-207.

［4］Sood S K.An Improved and Secure Smart Card Based Dynamic Identity Authentication Protocol［J］.IJ Network Security，2012，14（1）：39-46.

［5］陳鐵明，何卡特，江頡.基于模型檢測的無線傳感網(wǎng)安全協(xié)議形式化分析與改進(jìn)［J］.傳感技術(shù)學(xué)報(bào)，2013，26（2）：234-240.

［6］Das M L.Two-Factor User Authentication in Wireless Sensor Networks［J］.IEEE Transactions on Wireless Communications，2009，8（3）：1086-1090.

［7］Khan M K，Alghathbar K.Cryptanalysis and Security Improvements of‘Two-Factor User Authentication in Wireless Sensor NetWorks’［J］.Sensors，2010，10（3）：2450-2459.

［8］He D，Gao Y，Chan S，et al.An Enhanced Two-factor User Authentication Scheme in Wireless Sensor Networks［J］.Ad Hoc& Sensor Wireless Networks，2010，10（4）：361-371.

［9］Das A K，Sharma P，Chatterjee S，et al.A Dynamic Password-Based User Authentication Scheme for Hierarchical Wireless Sensor Networks［J］.Journal of Network and Computer Applications，2012，35（5）：1646-1656.

［10］Shi W，Gong P.A New User Authentication Protocol for Wireless Sensor Networks Using Elliptic Curves Cryptography［J］.International Journal of Distributed Sensor Networks，2013，2013.

［11］劉云，楊亮，范科峰，等.一種改進(jìn)的動(dòng)態(tài)用戶認(rèn)證協(xié)議［J］.電子學(xué)報(bào)，2013，41（1）：42-46.

［12］Park Minsu，Kim Hyunsung，Lee Sung-Woon.User Authentication for Hiererchical Wireless Sensor Networks［C］//2013 14thACIS International Conference on Software Engineering，Artificial Intelligence，Networking and Parallel/Distributed Computing（SNPD），2013：203-208.

［13］Vaidya B，Makrakis D，Mouftah H.Two-Factor Mutual Authentication with Key Agreement in Wireless Sensor Networks［J］.Security and Communication Networks，2012.

［14］Xue K，Ma C，Hong P，et al.A Temporal-Credential-Based Mutual Authentication and Key Agreement Scheme for Wireless Sensor Networks［J］.Journal of Network and Computer Applications，2013，36（1）：316-323.

［15］Li C T，Weng C Y，Lee C C.An Advanced Temporal Credential-Based Security Scheme with Mutual Authentication and Key Agreement for Wireless Sensor Networks［J］.Sensors，2013，13（8）：9589-9603.

［16］Choi Y，Lee D，Kim J，et al.Security Enhanced User Authentication Protocol for Wireless Sensor Networks Using Elliptic Curves Cryptography［J］.Sensors，2014，14（6）：10081-10106.

［17］Turkanovic'M，Brumen B，H?lbl M.A Novel User Authentication and Key Agreement Scheme for Heterogeneous Ad Hoc Wireless Sensor Networks，Based on the Internet of Things Notion［J］.Ad Hoc Networks，2014，20：96-112.

［18］Fan L，Ling Y，Wang T，et al.Novel Clock Synchronization Algorithm of Parametric Difference for Parallel and Distributed Simulations［J］.Computer Networks，2013，57（6）：1474-1487.

張惠根（1990-），男，江蘇宜興人，江南大學(xué)在讀碩士研究生，研究方向?yàn)闄z測技術(shù)與自動(dòng)化裝置，6131913029@vip.jiangnan.edu.cn；

周治平（1962-），男，江蘇無錫人，博士，江南大學(xué)教授，碩士生導(dǎo)師，主要研究方向?yàn)闄z測技術(shù)與自動(dòng)化裝置、信息安全等，zzp@jiangnan.edu.cn。

A Strongly Secure User Authentication and Key Agreement Scheme for WSN*

ZHANG Huigen，ZHOU Zhiping*
（School of IOT Engineering，JiangNan University，Wuxi Jiangsu 214122 China）

To tackle these problems of anonymity risk，password guessing and other attacks caused by the sensitive information stored in smart card being deciphered and messages transmitted through common channel being eavesdropped in two-factor-based user authentication schemes of WSN.Based on T-M's scheme，the proposed scheme uses hash encryption deeply hides user's privacy information in the registration phase，strengthening the guessing-resistance of the elements stored in smart card；simultaneously，takes the gateway as a messages transfer station to authenticate the user's legitimacy in advance and adjusts the transmission structure and authentication method to reduce energy consumption of sensor node，strengthening secure protection for the messages；meanwhile，the new scheme adds a write-protected identity table at the gateway side for users，timely records users'login information to prevent misuse of resources.Theoretical analysis and experiments show that the proposed scheme can effectively resists the shortage of T-M's scheme，greatly reducing the communication overhead of sensing nodes，providing more security and having service billing function.

wireless sensor networks（WSN）；user authentication；hash encryption；key agreement；smart card

TP393

A

1004-1699（2015）08-1207-08

??6150P

10.3969/j.issn.1004-1699.2015.08.018

項(xiàng)目來源：江蘇省自然科學(xué)基金項(xiàng)目（BK20131107）；江蘇省產(chǎn)學(xué)研聯(lián)合創(chuàng)新資金——前瞻性聯(lián)合研究項(xiàng)目（BY2013015-33）

2015-02-13 修改日期：2015-06-08