WSN中基于橢圓曲線的可追蹤匿名認證方案

常 芬 崔 杰 王良民

1(安徽大學計算機科學與技術學院 合肥 230601)2(安徽大學信息保障技術協同創新中心 合肥 230601)3 (江蘇大學計算機科學與通信工程學院 江蘇鎮江 212013)

WSN中基于橢圓曲線的可追蹤匿名認證方案

常 芬1,2崔 杰1,2王良民1,3

1(安徽大學計算機科學與技術學院 合肥 230601)2(安徽大學信息保障技術協同創新中心 合肥 230601)3(江蘇大學計算機科學與通信工程學院 江蘇鎮江 212013)

(1198813216@qq.com)

A Traceable and Anonymous Authentication Scheme Based on Elliptic Curve for

在無線傳感器網絡中，傳感器節點布置在相應的應用領域,用于檢測周邊環境并發送檢測值給Sink.消息在轉發的過程中，消息的完整性及消息源的敏感信息應該受到保護.一方面，消息認證是阻止未經授權和損壞的消息轉發的最有效的方法；另一方面，采用匿名通信的方式可以隱藏敏感節點的身份信息，實現節點位置的隱私保護.然而，匿名通信也為攻擊者提供了利用匿名技術進行違法活動的機會.因此，追蹤惡意節點的身份就顯得尤為重要.為了解決無線傳感器網絡絡中的發送節點身份隱私泄露和惡意節點追蹤問題，提出基于橢圓曲線的可追蹤匿名認證方案.方案將橢圓曲線和環簽名相結合，實現節點匿名通信，提供中間節點的認證.仿真實驗結果表明，與現有方法相比，在簽名產生和認證開銷相當的情況下，利用環簽名的可鏈接特性能夠實現對惡意節點的可追蹤性，提高網絡的性能和安全性.

無線傳感器網絡；匿名認證；可追蹤；環簽名；公鑰密碼體制

無線傳感器網絡(wireless sensor network， WSN)一般由一個或多個資源豐富的基站和大量資源受限的傳感器節點組成[1]，通過無線通信方式形成多跳的自組織的網絡系統.無線傳感器網絡中的隱私主要分為2類[2]：內容隱私(content privacy)和上下文隱私(contextual privacy).內容隱私是對傳感器網絡中傳輸的消息提供完整性、不可抵賴性及保密性保護，具體細化為數據融合和數據查詢2方面的隱私，一般情況下內容的隱私可以用加密認證技術實現.上下文隱私通常是對通信實體的身份、位置和節點間流量信息的保護.位置隱私包括對數據源節點和匯聚節點的位置隱私.

在實際應用中，由于傳感器節點資源受限、部署環境惡劣而且采用無線多跳通信方式等特點，易受到攻擊者攻擊，引發嚴重的敏感節點身份隱私泄露問題.例如：在珍稀動物監測領域，攻擊者可以對源節點進行ID分析攻擊，通過對獲取的源節ID信息分析，進而獲得源節點的位置信息，從而發現珍稀動物的位置對其進行捕捉[3]；在軍事領域，身份隱私的泄露和篡改會導致戰術決策的失誤，使軍友陷入危險之中；在智能家居和智能交通領域，傳感器采集的相關信息往往關聯到用戶實體，一旦敏感節點的ID信息泄露，將導致用戶信息泄露.因此，對無線傳感器網絡中敏感節點身份信息的保護意義重大.

針對攻擊者發起的ID分析攻擊，可以采取匿名通信的方式進行抵御，通過匿名隱藏敏感節點的身份信息來實現節點位置的隱私保護[4-8].匿名通信固然能為節點提供隱私保護，但也為攻擊者提供了利用匿名技術進行違法活動的機會.因此，在為節點提供匿名通信的同時，一旦有惡意節點發送無效或偽造信息，追蹤惡意節點的身份就顯得尤為重要.

如圖1所示，無線傳感器網絡(WSN)由大量傳感器節點組成，假定每個節點都知道它在傳感器領域的相對位置，而且可以和鄰居節點直接通過地理路由通信.整個網絡通過多跳通信全鏈接.假定安全服務器(security server， SS)負責在整個網絡內產生、存儲、分配安全參數，該服務器不可能被破解.在網絡部署后，傳感器節點可能被破解.一旦被破解，則完全被攻擊者控制.已經破解的節點不能產生能被SS和其他節點接受的新公鑰.

Fig. 1 Wireless sensor network model圖1 無線傳感器網絡模型

在圖1所示的網絡模型基礎上，本文考慮惡意節點或對手可發動2種類型的攻擊：主動攻擊和被動攻擊.

主動攻擊可能只是被破解的傳感器節點發射的.一旦傳感器節點被破解，敵人將獲得存儲在破解節點的所有信息，其中包括被破解節點的安全參數.對手可以修改信息的內容；也可以假裝成其他節點，在協議中引入新的消息，刪掉原有的消息，用另外的消息代替原來的消息，并重放舊的消息，破壞通信信道；或注入自己的消息等.

采用各種方法對協議進行攻擊，與協議無關的人能夠竊聽協議的部分或全部.通過被動攻擊，敵人可以竊聽網絡中的信息傳播和進行交通分析.如ID分析，攻擊者通過獲得先驗消息或竊聽數據包信息的方式來獲得節點的ID信息，并通過監聽分析得出節點ID與網絡拓撲之間的對應關系.

本文研究的重點是對上下文隱私中的敏感節點身份信息進行保護的同時，必要時對惡意節點的身份進行追蹤，提出基于橢圓曲線的可追蹤惡意節點的匿名認證方案.本方案將橢圓曲線加密技術與可鏈接環簽名技術相結合，用以隱藏敏感節點的身份信息.當發現有惡意節點發送了未通過驗證的消息后，Sink節點和環中成員節點將進行合作，利用環簽名的可鏈接特性找出惡意節點的身份.

本文的主要貢獻：

1) 將橢圓曲線加密技術與可鏈接環簽名技術相結合，保證了節點身份信息的隱私，降低了簽名和驗證過程所需的計算開銷，提高了通信效率.

2) 利用環簽名的可鏈接特性，實現對惡意節點的可追蹤性，以保證高效準確地找到惡意節點，提高網絡的安全性.

1 相關工作

無線傳感器網絡中對敏感節點身份信息的保護，可以采用環簽名技術實現.認證作為無線傳感器網絡中基本的安全服務，它主要包括實體認證和消息認證2方面.在之前的研究中，提出了大量的消息認證和完整性驗證的認證方案.這些方案基本上可分為2類:基于對稱密鑰的方案[9-13]和基于公鑰的方案[4,14-16].其中，基于對稱密鑰和Hash函數的認證方案[9-10]中的節點共享密鑰，攻擊者可以通過俘獲單個傳感器節點來獲得共享的密鑰.因此，這些方案對俘獲節點的攻擊不具有恢復力.其他類型的對稱密鑰方案包括TESLA[17]和它的改進方案[18-19]，這些方案可以提供消息發送者的認證，但都需要節點之間的初始時間同步，在大規模無線傳感器網絡中實現起來比較困難.另外，在消息認證過程中引入了延遲，而且延遲隨傳感器規模的增大而增加.

為了解決上述方案的局限性，基于多項式的消息認證方案[11]被提出，該方案采用多項式對消息認證，在傳統的多項式方案中增加了干擾因素，以阻止攻擊者通過計算多項式系數恢復多項式.與基于多重MACs[9-10]的方案相比適應性更高，而且保持了中間節點認證的優點.然而，可使用錯誤校正碼技術[20]完全消除方案中增加的干擾因素.因此，多項式的消息認證方案中存在的閾值問題仍然沒能解決.閾值的大小取決于多項式階的大小，當單個節點被俘獲時，該節點只要接收到多于閾值個消息便可解出多項式，當多于閾值個節點被被俘獲時，共謀也可以解出多項式.

Li等人[4]針對傳統的多項式報文加密技術存在的最大閾值問題，給出了一種基于橢圓曲線加密技術的網絡匿名協議.該協議可阻止攻擊者通過獲取報文消息內容來確定源節點的ID信息.源節點從一組不可區分的公鑰組中進行密鑰選擇，加密消息在傳輸過程中進行逐跳身份認證，因此，當節點中存在俘獲節點時，節點的ID信息也不會被泄露.由于協議中使用的橢圓曲線加密技術確保了數據的完整性，當基站連續接收到不完整信息時，可以通過對密鑰取交集操作來確定被俘獲節點的ID.然而，協議中發送節點發送每條消息都要動態選擇環成員，開銷較大.當被俘獲的節點每次發送消息都選取相同的匿名集時，再對密鑰取交集操作來確定被俘獲節點的ID的做法就不可取.

針對消息發送者的匿名，Rivest等人[21]首次提出了環簽名匿名方案.隨后，許多結構改進、性能提高的環簽名方案[22-27]被相繼提出.環簽名方案允許簽名者與其他成員協作匿名簽名信息，消息的真正簽名者與其他成員構成的匿名集被稱為環.環中任何一個成員使用自己的私鑰和其他環成員的公鑰，而不需要經過他們的同意即可代表整個環進行簽名，而對于驗證者只知道簽名來自這個環并不知道誰是真正的簽名者，也不能確定2個環簽名是由相同的簽名者產生.對此，Liu等人[28]提出了一種變體的環簽名方案，創造了可鏈接環簽名.這個概念下，環簽名的簽名者的身份仍然是匿名的，但是如果2個環簽名是由相同的簽名者簽名，那么這2個簽名是可鏈接的.

因為無線傳感器網絡中沒有權威中心或可信第三方，群的形成是自發的，所以可鏈接的環簽名在無線傳感器網絡中的應用受到關注.當接收方想知消息的發送節點是否是同一節點時，可鏈接環簽名便可以滿足這個場景下的需求.因此，在無線傳感器網絡中環簽名是作為匿名認證工具的一個很好的候選[28].又因為基于公鑰的方案在密鑰管理上更為簡單，基于橢圓曲線密碼(elliptic curve cryptography)的公鑰方案在計算復雜度、內存使用和安全的彈性上表現更高效[21].據此，考慮將以上2種技術相結合，以適合資源受限的無線傳感器網絡.

2 基礎知識

2.1 橢圓曲線加密技術

橢圓曲線密碼系統作為一個公鑰加密系統，它也具有公鑰加密系統的所有特點.公鑰加密系統的加密雙方都需要2個密鑰:公鑰和私鑰.每一方的公鑰都是通過自己的私鑰得到的，加密明文時都要用到對方的公鑰，解密密文時使用自己的私鑰.橢圓曲線的公鑰密碼系統加密和解密過程:

p是一個大于3的素數，Fp是模p的有限域.Fp上的曲線E定義為：y2=x3+ax+bmodp.其中a，b∈Fp且滿足4a2+27b3≠0 modp.若數偶(x,y)滿足上式，則是曲線E上的點，定義∞為E上的無窮遠點.假定G=(xG,yG)是曲線上的生成元，其階為N足夠大.

1) 密鑰生成算法.設(E,+)是有限域Fp上的橢圓曲線，G是E的循環子群，生成元為P，其階n足夠大，使得G上的離散對數是難解的.隨機挑選一個整數a，使得a∈[1,n-1]，計算公鑰Q=aP；公開(Q,P,G)，保存私鑰a.

2) 加密算法.假設B想把明文m∈Fp加密發送給A，B首先獲取A的公鑰(Q,P,G)，(必要時重復)選取隨機數r，r∈[1,n-1]，計算(x2,y2)=rQ，直到x2≠0;然后計算：c1=rP=(x1,y1)，c2=mx2modp，則密文為(c1,c2).

2.2 環簽名

給定環S={A1,A2,…,Ak,…,An}，環中的每個節點的公私鑰對為(pki,ski)，i=1，2，…，n，不失一般性，假定Ak是真正簽名人.除密鑰生成算法以外，環簽名還包括環簽名產生算法和環簽名驗證算法:

1) 環簽名產生算法.其輸入是待簽名的消息m、環中所有成員的公鑰pki(i∈[1,n])、真正簽名人的私鑰skk;其輸出是Ak對消息m的環簽名σ.記作σ←ring-sign(m,pk1,pk2,…,pkn,skk).

2) 環簽名驗證算法.其輸入是待驗證的消息簽名對(m,σ)、環中所有成員的的公鑰;其輸出是0或1，1表示該簽名有效，0表示該簽名無效.記作1或0←ring-verify(m,pk1,pk2,…,pkn,σ).

一個安全的環簽名一般要滿足以下3個性質:

1) 正確性.環中的任一成員執行環簽名算法后，輸出的簽名都能通過該體制中的簽名驗證算法.

2) 匿名性.若環中成員為n個，驗證者不會以大于1n的概率識別產生該簽名的真正簽名者.

3) 不可偽造性.任意不在環S={A1,A2,…,Ak,…,An}中的節點不能產生一個使得ring-verify(m,pk1,pk2,…,pkn,σ)=1的有效的簽名對(m,σ).

在本文中不區分節點Ai與它的公鑰Qi.因此，也有環S={Q1,Q2,…,Qk,…,Qn}.

2.3 基于離散對數的簽名方案

如圖1的網絡模型中，包括一個Sink和N個傳感器節點Node={N1,N2,…,NN}組成.對于每一個要發送的消息m，發送節點Nk都要對消息m產生一個消息簽名.假定環中成員只有發送者Nk一個時，Nk和Nj的通信過程如下:

1) 密鑰生成階段.發送節點Nk選擇一個大素數p和乘法群*p上的生成元g.隨機選取私鑰x∈*p，計算公鑰：y=gxmodp.這里g和p是系統公開參數.

2) 簽名產生階段.設m∈*p是待簽名的消息，簽名者Nk隨機選擇一個秘密整數k∈*p-1，計算：r=gkmodp，s=xh(m,r)-rkmod (p-1).這里的h是單向Hash函數，對消息m的簽名為sig(m)=(r,s)∈*p×*p.隨后，簽名者Nk將數據(m,(r,s))發送給接受者Nj.

3) 簽名認證階段.接收方Nj收到簽名(m,(r,s))后,驗證等式yh(m,r)=rrgsmodp是否成立，如果等號成立，則確認(r,s)是m的有效簽名.

3 基于橢圓曲線的可追蹤匿名認證方案

本文提出的基于橢圓曲線的可追蹤匿名認證方案，將橢圓曲線和可鏈接環簽名相結合，實現節點匿名通信，同時在環簽名中附加一些額外的信息，在必要時可通過環中所有節點的協作追蹤簽名者的真實身份，用以解決無線傳感器網絡絡中的發送節點身份隱私泄露和惡意節點追蹤問題.該方案由系統初始化與密鑰生成、匿名簽名產生、簽名認證和惡意節點追蹤4個部分組成.

圖1是本文的網絡模型，其中包括一個Sink和N個傳感器節點Node={N1,N2,…,NN}組成.對于每一個要發送的消息m，發送節點Nk都要對消息m產生一個消息簽名.簽名的產生是基于橢圓曲線上的離散對數問題.圖2是本方案的系統流程圖.

Fig. 2 System flow chart of this scheme圖2 本方案系統流程圖

下面結合流程圖給出本方案各個階段的具體過程:

1) 系統初始化與密鑰生成階段

假設G=(xG,zG)是橢圓曲線上的生成元，其中基于橢圓曲線的離散對數問題是難解問題，假設H:{0,1}*→G和H1:{0,1}*→p是2個Hash函數.公共參數為:param=(G,H,H1).假定消息的發送者Nk要匿名發送消息m給其他的節點Nj，不失一般性，Nk要隨機選取其他n-1個節點和自身共同組成環成員節點.Nk的匿名節點集一旦選定，就不再改變.Ak表示發送消息的節點Nk的身份，匿名節點集S={A1,A2,…,Ak,…,An}.注意，本文不區分節點Ai與它的公鑰Qi.因此，也有S={Q1,Q2,…,Qk,…,Qn}.節點Nk隨機挑選一個整數dk∈[1,N-1]作為私鑰，計算公鑰Qk=dk×G.

2) 簽名產生階段

假定節點Ak要發送消息m，其私鑰為dk∈[1,N-1]，為了產生一個有效的匿名簽名，Ak做以下步驟：

① 計算h=H(Q1,Q2,…,Qk,…,Qn)，這里的H是Hash函數，例如SHA-1；

② 計算t=hdk；

③ 由隨機函數產生隨機數r,si,ci∈*p，i∈[1,n]，i≠k；

④ 計算(xi,zi)=siG+ciQi，yi=hsitcimodN(i=1,2,…,k-1,k+1,…,n)；

⑤ 計算(xk,zk)=rG，yk=hrmodN；

⑥ 計算ck=H1(m,t,x1,…,xn,y1,…,yn)-

其中,i≠k，計算sk=r-ckdkmodN；

⑦ 輸出簽名σ=(t,s1,…,sn,c1,…,cn).

3) 認證階段

給定環S={Q1,Q2,…,Qk,…,Qn}、消息m以及待驗證的簽名σ=(t,s1,…,sn,c1,…,cn).當消息的接受者接收到簽名消息后，接收者要檢查：

檢查公鑰Qi≠∞，i=1,2,…,n，否則無效；

檢查公鑰S={Q1,Q2,…,Qk,…,Qn},i=1,2,…,n,是否在橢圓曲線上，否則無效；

檢查nQi=∞，i=1,2,…,n，否則無效.

在此之后，接收者做以下操作：

首先計算h=H(Q1,Q2,…,Qk,…,Qn)，(xi,zi)=siG+ciQi，yi=hsitci(i=1,2,…,n)；

然后檢查等式

是否成立,其中i=1,2,…,n.如果等式成立，則輸出1，否則輸出0.

4) 惡意節點追蹤階段

對于簽名認證階段中未通過認證的簽名，消息的接收節點將收到的消息轉發給Sink節點.Sink節點收到轉發來的消息后，假設其收到的簽名是σ=(t,s1,…,sn,c1,…,cn)，Sink節點進行以下操作：

根據消息簽名的環S={Q1,Q2,…,Qk,…,Qn}，Sink節點與環中的成員節點逐一進行一次交互，即Sink節點向環中成員發送查詢命令，環中成員向Sink節點發送經匿名的消息.將未通過簽名認證的簽名與當前環成員發送來的匿名消息的簽名進行逐一比較.由于同一發送節點所選環成員集相同，故而同一節點簽名不同消息的簽名中t值相同，據此即可找到未通過驗證的消息的節點，從而完成節點的追蹤.

Fig. 3 Tracking process of malicious nodes (n=5)圖3 惡意節點追蹤過程(n=5)

4 安全分析

在本節中，將給出基于橢圓曲線的可追蹤匿名認證方案的安全性證明.假設以下數學問題是難解的:Hash函數和離散對數問題.

定理1. 確定性.環中的任一成員執行環簽名算法后，輸出的簽名都能通過該體制中的簽名驗證算法.

證明. 當接受者接收到簽名消息后，要驗證簽名的正確性，也就是驗證等式

i=1,2,…,n

成立.

因為

ck=H1(m,t,x1,x2,…xn,y1,y2,…yn)-

因為，sk=r-ckdk,r=sk+ckdk.所以可推得，

xk=skG+ckQk，yk=hsktck.

因此，輸出的簽名都能通過該體制中的簽名驗證算法.

證畢.

定理2. 匿名性.本文提出的可追蹤惡意節點的基于橢圓曲線的可追蹤匿名認證方案提供無條件消息發送者匿名.

證明. 首先，本文方案產生的簽名σ是由簽名者利用其私鑰和隨機數生成的，簽名者的私鑰是隨機分布的.其次，簽名中的t是由單向Hash函數得到，簽名中除sk和ck外其他均是隨機選取.而sk和ck也是經橢圓曲線上點的橫坐標值、Hash函數和隨機數得到，沒有泄露簽名者身份的任何信息.最后，即使攻擊者獲得了環中成員的私鑰，攻擊者也不會以大于1n的概率識別產生該簽名的真正簽名者.故而，本文提出的方案滿足無條件匿名性.

證畢.

定理3. 在無線傳感器網絡SN={Sink,Node}中，其中Node={N1,N2,…,NN}.對任意2個節點(Ni,Nj)之間采用本文簽名產生算法的簽名方案滿足不可偽造性.即任意不在環S={A1,A2,…,Ak,…,An}中的節點不能產生一個使得ring-verify(m,G,Q1,Q2,…,Qk,…,Qn,σ)=1的有效的簽名.

證明. 在簽名的生成階段，要用到環成員中簽名者的私鑰.因此，攻擊者A′想要偽造出合法的簽名σ′，就要得到某個環成員的私鑰dk.環成員的私鑰dk是由隨機函數產生，攻擊者若想從公鑰Qk=dk×G得出私鑰dk是解橢圓曲線上的離散對數問題.故而，簽名人的私鑰是安全的，攻擊者不能假冒環中節點去生成簽名.

證畢.

5 性能測試與分析

本節通過理論和仿真2個方面對我們提出的方案進行分析.本文提出的方案將與一種基于橢圓曲線加密技術的網絡匿名協議[4]和基于二項式的方案[11]作比較.

5.1 理論分析

在認證方案中私鑰的管理是個主要問題，尤其是在規模比較大的無線傳感器網絡中.現有的一些方案利用2節點間共享私鑰提供端到端的節點認證，這就意味著只有接受者才能驗證消息的真實性.也就是說，中間節點不能進行消息認證，只能轉發消息直到消息最終被接受節點認證.這不僅消耗額外的傳感器的能量，而且還增加了網絡碰撞、降低了消息傳輸率.我們提出的方案實現中間節點的認證，可抵抗ID分析攻擊.在發送節點的可連接性和追蹤惡意節點方面比文獻[4]的性能要好.

下面從安全性、計算開銷和通信開銷這3個方面進行分析:

1) 從安全性方面分析，當環成員n=1時(n為環成員的個數)，我們提出的方案至少提供與文獻[4]相同的安全性.隨著n的增大，針對文獻[4]中當基站連續接收到不完整信息時，可以通過對密鑰取交集操作來確定被俘獲節點的ID.顯然，當被俘獲的節點每次發送消息都選取相同的匿名集時，再對密鑰取交集操作來確定被俘獲節點的ID的做法就不可取.假設被俘獲的節點NA每次發送消息都選取相同的匿名集S={Q1,Q2,…,QA,…,Qn}，Sink連續接收到不完整信息后，對不完整消息的發送節點匿名集取交集，得到的結果仍然是S={Q1,Q2,…,QA,…,Qn}，無法確定被俘獲節點的ID.而在我們的方案中，產生簽名的環成員是隨機選擇的，發送節點的環成員一旦選定，發送每條消息的環就固定.這就比文獻[4]中發送每條消息都要動態選擇環成員節省開銷，而且根據消息簽名的環S={Q1,Q2,…,QA,…,Qn}，Sink節點與環中的成員節點逐一進行一次交互，即Sink節點向環中成員發送查詢命令，環中成員向Sink節點發送經匿名的消息，再利用環簽名的可鏈接特性，實現對惡意節點的可追蹤性，保證高效準確地找到惡意節點，提高了網絡的安全性.

2) 對于基于公鑰的認證方案，計算開銷是性能測量的最重要的指標之一.因此，我們首先仿真一次簽名產生階段和認證階段的運行時間.表1所示2個方案的計算開銷，其中MP用以表示標量點乘，n是環中成員個數.從表1可看出，2個方案在一次簽名產生階段，其做橢圓曲線乘的次數相同，我們的方案只做2次Hash，而文獻[4]需做n次；在認證階段，文獻[4]的各項計算次數都呈線性增長，而我們方案仍只做2次Hash.這里的乘、加和指數的計算開銷相對橢圓曲線乘較小，對其影響不大.

Table 1 Computational Overhead for the Two Schemes

證畢.

5.2 仿真分析

本節通過仿真實驗比較文獻[4]、文獻[11]和本方案在簽名產生和認證階段的執行時間.我們選擇4 MHz Telosb作為仿真平臺，并采用SHA-1作為單向Hash函數.基于二項式的方案[11]是在對稱密鑰下實現，基于橢圓曲線加密技術的網絡匿名協議方案[4]和我們提出的方案均是基于ECC，這里我們選定對稱密鑰長度l=80 b，我們方案的密鑰長度L=2l=160 b.根據文獻[4]中對匿名成員個數n的選取，本方案同樣選取n=1，10，15，20.

圖4所示我們提出的方案和對比方案在簽名產生和認證階段的處理時間.其中：圖4(a)是基于多項式的方案和基于橢圓曲線加密技術的網絡匿名協議及本文方案在產生一個簽名階段所需的時間；圖4(b)是3個方案認證單個簽名所需的時間.文獻[11]中二項式的階dx,dy取80，100，50分別對應本文方案的n取10，15，20.

Fig. 4 Process time for the three schemes (16 b,4 MHz TelosB Mote)圖4 3個方案的處理時間(16 b,4 MHz TelosB Mote)

從圖4曲線可看出，本文提出的方案在簽名階段的用時大于認證階段的用時.隨著環中成員的增多，簽名產生階段和認證階段的處理時間呈線性增加.文獻[11]的簽名產生階段曲線呈非線性斜率逐漸增加，相比我們的方案在簽名產生階段的時間相對較短.與文獻[4]相比，我們的方案在產生和認證階段的處理時間相差不大，符合以上進行的理論分析.

經過理論和仿真分析，與對比方案比較顯示，我們提出的基于橢圓曲線的可追蹤匿名認證方案可實現節點匿名通信，提供中間節點的認證，而且在簽名產生和認證開銷相當的情況下，利用環簽名的可鏈接特性實現對惡意節點的可追蹤性，提高性能和網絡的安全性.

6 結 論

在本文中，我們提出基于橢圓曲線提出可追蹤惡意節點的匿名認證方案，本方案將橢圓曲線和環簽名相結合，實現節點匿名通信，同時在環簽名中附加一些額外的信息，在必要時可通過環中所有節點的協作追蹤簽名者的真實身份，用以解決無線傳感器網絡絡中的發送節點身份隱私泄露和惡意節點追蹤問題,本方案實現中間節點的認證.現有的一些方案利用2節點間共享私鑰提供端到端的節點認證，這就意味著只有接受者才能驗證消息的真實性.也就是說，中間節點不能進行消息認證，只能轉發消息直到消息最終被接受節點認證.這不僅消耗額外的傳感器的能量，而且還增加網絡碰撞、降低消息傳輸率.利用環簽名的可鏈接特性，實現對惡意節點的可追蹤性.仿真實驗結果表明，與現有方法相比，本方案在簽名產生和認證開銷相當的情況下，利用環簽名的可鏈接特性實現對惡意節點的可追蹤性，提高性能和網絡的安全性.

[1]Akyildiz I F, Su Weilian, Sankarasubramaniam Y, et al. A survey on sensor networks[J]. IEEE Communications Magazine, 2002, 40(8): 102-114

[2]Gottumukkala V P V, Pandit V, Li Hailong, et al. Base-station location anonymity and security technique (BLAST) for wireless sensor networks[C]Proc of IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2012: 6705-6709

[3]Peng Hui, Chen Hong, Zhang Xiaoying, et al. Location privacy preservation in wireless sensor networks[J]. Journal of Software, 2015, 26(3): 617-639 (in Chinese)(彭輝, 陳紅, 張曉瑩, 等. 無線傳感器網絡位置隱私保護技術[J]. 軟件學報, 2015, 26(3): 617-639)

[4]Li Jian, Li Yun, Ren Jian,et al. Hop-by-Hop message authentication and source privacy in wireless sensor networks[J]. IEEE Trans on Parallel and Distributed Systems, 2014, 25(5): 1223-1232

[5]Christin D, Pons-Sorolla D R, Hollick M, et al. TrustMeter: A trust assessment scheme for collaborative privacy mechanisms in participatory sensing applications[C]Proc of the 9th Int Conf on Intelligent Sensors, Sensor Networks and Information Processing (ISSNIP). Piscataway, NJ: IEEE, 2014: 1-6

[6]Nezhad A A, Miri A, Makrakis D. Location privacy and anonymity preserving routing for wireless sensor networks[J]. Computer Networks, 2008, 52(18): 3433-3452

[7]Chen Juan, Du Xiaojiang, Fang Binxing. An efficient anonymous communication protocol for wireless sensor networks[J]. Wireless Communications and Mobile Computing, 2012, 12(14): 1302-1312

[8]Di Pietro R, Viejo A. Location privacy and resilience in wireless sensor networks querying[J]. Computer Communications, 2011, 34(3): 515-523

[9]Ye Fan, Luo Haiyun, Lu Songwu,et al. Statistical en-route filtering of injected false data in sensor networks[J]. IEEE Journal on Selected Areas in Communications, 2005, 23(4): 839-850

[10]Zhu Sencun, Setia S, Jajodia S, et al. An interleaved hop-by-hop authentication scheme for filtering of injected false data in sensor networks[C]Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2004: 259-271

[11]Zhang Wensheng, Subramanian N, Wang Guiling. Lightweight and compromise-resilient message authentication in sensor networks[C]Proc of the 27th Conf on Computer Communications (INFOCOM). Piscataway, NJ: IEEE, 2008: 1418-1426

[12]Panda M. Data security in wireless sensor networks via AES algorithm[C]Proc of the 9th Int Conf on Intelligent Systems and Control (ISCO). Piscataway, NJ: IEEE, 2015: 1-5

[13]Yu Lei, Li Jianzhong. Grouping-based resilient statistical en-route filtering for sensor networks[C]Proc of the 28th Conf on Computer Communications (INFOCOM). Piscataway, NJ: IEEE, 2009: 1782-1790

[14]Verma D, Jain R, Shrivastava A. Performance analysis of cryptographic algorithms RSA and ECC in wireless sensor networks[J]. IUP Journal of Telecommunications, 2015, 7(3): 51-65

[15]Lavanya M, Natarajan V. An improved authentication framework for wireless sensor network using elliptic curve cryptography[J]. IUP Journal of Computer Sciences, 2015, 9(1): 25-31

[16]Wang Haodong, Sheng Bo, Tan C C, et al. Comparing symmetric-key and public-key based security schemes in sensor networks: A case study of user access control[C]Proc of the 28th Int Conf on Distributed Computing Systems. Piscataway, NJ: IEEE, 2008: 11-18

[17]Perrig A, Canetti R, Tygar J D, et al. Efficient authentication and signing of multicast streams over lossy channels[C]Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2000: 56-73

[18]Liu Donggang, Ning Peng, Zhu Sencun, et al. Practical broadcast authentication in sensor networks[C]Proc of the 2nd Annual Int Conf on Mobile and Ubiquitous Systems: Networking and Services. Piscataway, NJ: IEEE, 2005: 118-129

[19]Perrig A, Szewczyk R, Tygar J D, et al. SPINS: Security protocols for sensor networks[J]. Wireless Networks, 2002, 8(5): 521-534

[20]Albrecht M, Gentry C, Halevi S, et al. Attacking cryptographic schemes based on perturbation polynomials[C]Proc of the 16th ACM Conf on Computer and Communications Security. New York: ACM, 2009: 1-10

[21]Rivest R L, Shamir A, Tauman Y. How to leak a secret[C]Proc of Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2001: 552-565

[22]Chow S S M, Yiu S M, Hui L C K. Efficient identity based ring signature[C]Proc of Int Conf on Applied Cryptography and Network Security. Berlin: Springer, 2005: 499-512

[23]Wang Huaqun, Zhang Futai, Sun Yanfei. Cryptanalysis of a generalized ring signature scheme[J]. IEEE Trans on Dependable and Secure Computing, 2009, 6(2): 149-151

[24]Liu J K, Au M H, Susilo W, et al. Linkable ring signature with unconditional anonymity[J]. IEEE Trans on Knowledge and Data Engineering, 2014, 26(1): 157-165

[25]Fujisaki E, Suzuki K. Traceable ring signature[C]Proc of Int Workshop on Public Key Cryptography. Berlin: Springer, 2007: 181-200

[26]Debnath A, Singaravelu P, Verma S. Privacy in wireless sensor networks using ring signature[J]. Journal of King Saud University-Computer and Information Sciences, 2014, 26(2): 228-236

[27]Au M H, Liu J K, Susilo W, et al. Secure ID-based linkable and revocable-iff-linked ring signature with constant-size construction[J]. Theoretical Computer Science, 2013, 469: 1-14

[28]Liu J K, Wei V K, Wong D S. Linkable spontaneous anonymous group signature for ad hoc groups[C ]Proc of

Australasian Conf on Information Security and Privacy. Berlin: Springer, 2004: 325-335

Chang Fen, born in 1989. Master. Her main research interests include network security, privacy protection for wireless sensor network.

Cui Jie, born in 1980. Associate professor and master supervisor. His main research interests include wireless sensor network, Internet of vehicles, software defined network, security multi-party computation, privacy for big data and cloud security.

Wang Liangmin, born in 1977. Professor and PhD supervisor. Member of IEEE, ACM, and senior member of CCF. His main research interests include security protocols for wireless sensor networks and privacy & security of big data.

Wireless Sensor Network

Chang Fen1,2, Cui Jie1,2, and Wang Liangmin1,3

1(SchoolofComputerScienceandTechnology,AnhuiUniversity,Hefei230601)2(Co-InnovationCenterforInformationSupply&AssuranceTechnology,AnhuiUniversity,Hefei230601)3(SchoolofComputerScienceandCommunicationEngineering,JiangsuUniversity,Zhenjiang,Jiangsu212013)

In wireless sensor network (WSN), sensor nodes are deployed in the corresponding application fields, in order to observe their environment and send their observations to the Sink. The message source should be protected in the process of transmission between nodes and Sink. On one hand, message authentication is one of the most effective ways to keep unauthorized and corrupted messages from being forwarded in wireless sensor network; on the other hand, anonymous communication can hide sensitive nodes identity information to implement the privacy protection of nodes location. However, anonymous communication has incurred a series of problems, such as, it gives the attacker an opportunity to use anonymous technology for illegal activities. Thus, it is particularly important to track the identity of the malicious nodes. In order to solve the problems above, a traceable and anonymous authentication scheme based on elliptic curve is proposed in this paper. The scheme combines elliptic curve with ring signature, implements nodes’ anonymous communication and provides the intermediate nodes’ authentication. The simulation results demonstrate that this scheme is equal to the existing schemes on the signature and certification cost. While, by using the linkable characteristics of ring signature, the proposed scheme can realize the traceability of malicious nodes, and improve the performance and security of the network.

wireless sensor network (WSN); anonymous authentication; traceability; ring signature; public-key cryptosystem

2016-08-22；

2016-12-15

國家自然科學基金項目(61472001,61272074) This work was supported by the National Natural Science Foundation of China (61472001, 61272074).

崔杰(cuijie@mail.ustc.edu.cn)

TP393