基于虹膜生物特征的WSNs訪問認證方法研究*

陳　英， 葛楊銘， 楊豐玉

(南昌航空大學 軟件學院,江西 南昌 330063)

?

基于虹膜生物特征的WSNs訪問認證方法研究*

陳英， 葛楊銘， 楊豐玉

(南昌航空大學 軟件學院,江西 南昌 330063)

提出了一種基于虹膜生物特征的訪問認證方法。該方法引入第三方服務器對用戶身份進行認證，認證的過程除了對用戶ID和消息時效性進行認證外，更重要的是根據用戶的系列虹膜圖像對其進行活體身份驗證，在實現認證的同時也采用加密的方式保證了用戶生物特征模板的隱私性；該方法也實現了用戶和網關節點的雙向認證，有效地保證了網絡資源的安全性。理論分析結果表明:相對傳統的訪問認證方法,該方法所提出的方法具有更高的安全性能。

無線傳感器網絡； 虹膜特征； 訪問認證方法； 用戶活體檢測

0　引　言

無線傳感器網絡(wireless sensor networks,WSNs)由分布在物理空間上大量傳感器節點感知環境或監測對象信息，并以自組織多跳無線通信方式將信息傳送到用戶。在軍事、工業安全監控等級別高的WSNs的應用中，為了防止敏感數據的非法訪問，需要對網絡中的數據進行加密處理，更需要從源頭控制對WSNs的非法訪問和使用。因此,如何設計一個安全的身份認證方案已成為當前WSNs的一個十分重要且迫切的難點問題。Yu S等人[1]提出了精細粒度的分布式訪問控制機制，在該機制中，每個傳感器節點均被分配一系列的屬性和一個公鑰，每個用戶通過其私鑰和訪問樹被分配相應的訪問結構。Zhang C等人[2]提出基于信任管理的方法設計訪問控制模型，但該模型需要有公鑰基礎設施的輔助。Duan J等人[3]提出基于信任度和中心度的分布式和細粒度的訪問控制模型，該模型通過評估信任程度和中心程度，給出不同的訪問權限，但該模型的計算復雜度也比較高。Chatterjee I S等人[4]采用單向Hash函數和按位異或運算以確定密鑰、認證過程和訪問權限的分配。Fafoutis X等人[5]提出了接收者發起的訪問控制協議，該協議的核心為接收者是負責開始與一個合格的發送方直接溝通。Maerien J等人[6]提出了借助中間件構建以滿足WSNs對信任建立、訪問控制和安全策略實施的需求。然而該控制模型只針對特定的系統，其算法的復雜性比較高，無法滿足WSNs資源受限的特點。基于此，Yuan J等人[7]結合密碼和智能卡提出了生物特征的WSNs認證理論。Das A[8]借助智能卡提出了一種基于生物特征的遠程用戶認證機制。Yoon E等人[9]提出了無需密鑰的生物特征WSNs認證機制。Das A等人[10]提出了基于生物特征對異構WSNs身份認證的機制。Das A等人[11]在其之前研究工作的基礎上，提出了更加健壯的基于匿名生物密鑰的遠程用戶認證機制。

從以上的研究現狀分析可知，傳統的身份認證方式方便實現，但容易偽造和丟失，而將生物特征密鑰與WSNs的安全認證進行結合還處于起步階段，更重要的是，目前應用于WSNs中的指紋特征相對虹膜特征而言，前者更容易偽造，且不具備快速活體檢測防偽特性。針對這種情況，本文提出利用虹膜特征構建WSNs的訪問認證方法，該方法具有更高安全性。

1　虹膜生物特征密鑰的優勢

基于生物特征的身份認證技術是以人體唯一的、可靠的、穩定的生物特征為依據，該技術具有很好的安全性、可靠性和有效性，與傳統的身份確認手段相比，生物特征身份認證技術的主要優勢如下：1)不直接存儲生物特征模版于系統中，避免了黑客直接攻擊生物特征模版；2)實現了模版的可撤銷性，即生物特征模版一旦丟失可以重新發布，不會泄漏用戶的隱私；3)由于生物特征數據與密鑰數據的有機結合，可有效抵御黑客攻擊，提高身份認證的安全性；4)保護個人隱私及提高通信安全性，用戶時刻掌握著自己的個人信息和密鑰，因此不存在生物特征模版的網絡傳輸問題；5)可增強生物特征識別技術應用的公眾可信度和可接受性，提高使用率。相比于指紋、掌紋、聲音、耳形、手形等生物特征，虹膜圖像具有高度的活體檢測性，眼睛一個重要的生理特性是瞳孔的動態性，虹膜上附著有環形的瞳孔收縮肌和輻射狀的瞳孔擴張肌，二者共同決定了瞳孔的大小。在正常的條件下，瞳孔一直處于有節奏的收縮和擴張狀態。

2　基于生物特征密鑰的WSNs訪問認證框架

本文將基于虹膜生物特征的身份識別技術和WSNs的安全技術相結合，所提出的訪問認證的基本模型如圖1所示。模型中主要包括三種不同的角色，分別為用戶、第三方服務器和網關節點。

圖1　本方案訪問認證模型Fig 1　Access and authentication model of the proposed scheme

認證過程分為三個階段，它們分別為：注冊階段、登錄和身份驗證階段、訪問控制階段。

2.1注冊階段

用戶(記為Useri)將自己的虹膜圖像發送給第三方服務器(記為S)，由S完成虹膜的定位[12]、特征提取[13]、特征加密[14](Hash函數)以得到該用戶的生物特征密鑰(記為IrisKeyi)，在生成特征密鑰后，S刪除該注冊用戶的原始虹膜圖像，以保證注冊用戶的隱私性。同時為了將來對登錄用戶的身份進行多重驗證，S給該用戶分配注冊編號(記為IDi)和注冊時間戳(記Timei1)，S存儲的數據為IrisKeyi‖IDi‖Timei1(記為M1)。同時S將M1發送回注冊用戶Useri，Useri應該記住該信息，以在登錄和身份驗證時使用。

2.2登錄和身份驗證階段

當Useri要訪問WSNs時，其一定要通過S的身份驗證，具體的驗證過程分以下幾個子階段來完成。

1)Useri把自己的IDi‖Timei2發送給S，S在收到信息后，和存儲在本地的信息進行比對，如果對比成功，則給Useri發送短消息IDi‖Timei2‖Falsei(記為M2)，以告知Useri無法通過第一步的身份驗證，無需再嘗試新的進一步的身份驗證過程；否則給Useri發送短消息IDi‖Timei2+random()‖Truei(記為M3)，以告知Useri進行進一步的身份驗證。

2)Useri在收到來自S的短消息后，如果短消息為M2，則Useri停止操作，表明其已經無法訪問WSNs網絡；如果短消息為M3，則Useri在規定的時間ΔT內給S發送N幅自己的虹膜圖像。

3)S在收到這N幅圖像后，要根據這些圖像是否為來自于活體的虹膜圖像(具體參加之前的工作[15])，也即是判斷Useri是否為偽造用戶。如果判斷的結果是這些圖像為非活體圖像，則服務器給Useri發送短消息IDi‖Timei3‖Falsei(標記為M4)，否則給Useri發送短消息IDi‖Timei3+random()‖Truei(標記為M5)。

4)Useri在收到來自S的短消息后，如果短消息為M4，則Useri停止操作，表明其已經無法訪問WSNs網絡；如果短消息為M5，則Useri知道已經成功通過身份認證過程。

5)S把EH(IDi‖Timei3+random()‖IrisKeyi)(記為M6)發送給網關階段(記為GW)，其中,EH()為單向加密算法，且S和GW都知道該加密算法。

2.3訪問控制階段

當Useri從S得到其身份驗證后，即在需要訪問WSNs時利用該身份屬性發起訪問請求，以得到需要的網絡資源，完成對WSNs的訪問，具體的過程如下：

3)用戶Useri在收到資源信息后，首先解密DIrisKeyi(M7)，得到IDi、Timei3+random()和Rsourcei。然后通過驗證IDi和Timei3+random()是否和之前保存的信息是否一致，如果一致，則接受Rsourcei，否則丟棄該資源消息。

在不同階段，不同角色之間的相互通信過程如圖2所示。

圖2　角色間的通信過程Fig 2　Communication process between roles

3　性能分析

1)保證了消息的時效性：消息M1，M2，M3，M4,M5，M6，M7都包含時間戳，而避免消息被重置的可能性。同時，M3較M2，M5較M4都增加了一個時間的隨機數，這樣可以有效地避免把驗證不成功的消息偽造驗證成功的消息。

2)更高的安全性：使用了2次身份驗證過程對登錄用戶進行驗證，更重要是,對是否為活體用戶進行了驗證，有效地避免了欺騙攻擊，相對傳統的認證方式具有更高的安全性。

3)實現了用戶和網關節點的雙向認證：用戶Useri在收到資源消息M7后，通過驗證其用戶ID和時間戳，可以有效地保證所獲取網絡資源的真實性。

4)實現了資源信息的加密性：網關GW發送給Useri的數據是經過加密后的數據，即使被竊取也無法解密。

5)保證了用戶生物特征的隱私性：用戶的原始虹膜圖像被沒有被保存，第三方服務器只是保存了經過單向Hash函數加密后的特征數據。

4　結　論

隨著研究的深入，WSNs的一些核心技術得到了長足的進步，但是如何充分保證網絡的安全仍然是要特別關注的焦點問題。本文針對傳統認證方式的不足，提出了基于虹膜生物特征的WSNs訪問認證方法，該方法能在保證用戶生物特征隱私的前提下，實現了用戶和網關節點的雙向認證、網絡資源的加密型和消息的時效性，相對傳統的訪問認證方法具有更高的安全性能。

[1]Yu S,Ren K,Lou W.FDAC:toward fine-grained distributed data access control in wireless sensor networks[C]∥Proceedings of 2009 IEEE INFOCOM,2009:963-971.

[2]Zhang C,Zhu X,Song Y.A formal study of trust-based routing in wireless Ad Hoc networks[C]∥Proceedings of 2010 IEEE INFOCOM,2010:1-9.

[3]Duan J,Gao D,Foh C.TC-BAC:A trust and centrality degree based access control model in wireless sensor networks[J].Ad Hoc Networks,2013,11:2675-2692.

[4]Chatterjee I S,Das A,Sing J.A secure and effective access control scheme for distributed wireless sensor networks[J].International Journal of Communication Networks and Distributed Systems,2015,14(1):40-73.

[5]Fafoutis X,Mauro A D,Vithanage M D.Receiver-initiated me-dium access control protocols for wireless sensor networks[J].Computer Networks,2015,76:55-74.

[6]Maerien J,Michiels S,Hughes D.SecLooCI:A comprehensive security middleware architecture for shared wireless sensor network-s[J].Ad Hoc Networks,2015,25:141-169.

[7]Yuan J,Jiang C,Jiang Z.A biometric-based user authentication for wireless sensor networks[J].Wuhan University Journal of Natural Sciences,2010,15(3):272-276.

[8]Das A.Analysis and improvement on an efficient biometric-based remote user authentication scheme using smart cards[J].IET Information Security,2011,5(3):541-552.

[9]Yoon E,Yoo K. A new biometric-based user authentication scheme without using password for wireless sensor networks[C]∥Proceedings of the 20th IEEE International Workshops on Enabling Technologies:Infrastructure for Collaborative Enterprises,2011:279-284.

[10] Das A,Bruhadeshwar B.A biometric-based user authentication scheme for heterogeneous wireless sensor networks[C]∥Proceedings of the 27th International Conference on Advanced Information Networking and Applications Workshops,2013:291-296.

[11] Das A,Goswami A.A robust anonymous biometric-based remote user authentication scheme using smart cards[J].Journal of King Saud University:Computer and Information Sciences,2015,27(2):193-210.

[12] Chen Ying,Liu Yuanning,Zhu Xiaodong.Robust iris segmentation algorithm based on self-adaptive Chan-Vese level set mo-del[J].Journal of Electronic Imaging,2015,24 (4):043012.

[13] 陳英.虹膜定位和識別算法的研究[D].長春：吉林大學, 2014.

[14] Chen Ying,Shu Jian,Yang Fengyu,et al.User authentication and data cryptograph system based on biometric key for wireless sensor networks[J].Journal of Computational Information Systems,2013,10(9):3949-3959.

[15] 陳英.序列虹膜圖像質量評價的研究 [D].長春：吉林大學, 2006.

Research on access and authentication method for WSNs based on iris biological feature*

CHEN Ying, GE Yang-ming, YANG Feng-yu

(College of Software,Nanchang Hangkong University, Nanchang 330063,China)

On the basis of analysis of access authentication of wireless sensor networks(WSNs) and pointing out its shortcomings,propose an access authentication method based on iris biological feature.The proposed method introduces a third-party server to identity user’s authentication,which includes user ID and message timeliness authentication,most important of all is to identify liveness of user according to user’s series iris images,and ensure user’s privacy of biologicat feature templet through encrypted.Moreover,the proposed method also realizes mutual authentication between gateway node and user,which can guarantee security of network resources effectively.Theoretical analysis results show that the proposed method has higher safety performance than traditional access authentication methods.

wireless sensor networks(WSNs); iris feature; access and authentication method; user liveness detection

2015—11—13

國家自然科學基金資助項目(61501217)；江西省教育廳科技計劃項目(GJJ14542)；南昌航空大學博士啟動金項目(EA201520009)

TP 393

A

1000—9787(2016)08—0060—03

陳英(1981-)，男，江西撫州臨川人，博士，講師，主要研究方向為無線傳感器網絡、物聯網、圖像處理、生物特征識別。

DOI:10.13873/J.1000—9787(2016)08—0060—03