一种高效的无线传感器网络认证方案

摘要:提出了一种基于单向密钥链的传感器网络认证方案,该方案能够提供实时认证,较好地满足了时延和存储量要求,且能有效地防止重放、假冒和拒绝服务等各种攻击,并具有低开销和可扩展性强等特点。同时,考虑到节点计算速度、电源能量、通信能力和存储空间非常有限的特点,相关的协议和算法都设计得比较简单,并避开了代价昂贵的公钥运算,因而方案的计算、存储和通信开销都较小,执行效率大大提高。此外,本方案在不排除网内处理和节点被动加入的情况下,支持数据源认证。

关键词:传感器网络;认证;密钥建立;被动加入

　　近年来,随着无线通信、集成电路、嵌入式计算及微机电系统等技术的飞速发展和日益成熟,具有感知能力、计算能力和通信能力的微型无线传感器开始在世界范围内出现。这些传感器具有低成本、低功耗、多功能等特点和无线通信、数据采集、信息处理、协同合作等功能。由这些微型传感器节点构成的传感器网络,能够协作地实时监测、感知和采集网络分布区域内的各种环境或监测对象的信息,并对这些数据进行处理,从而获得详尽而准确的信息,将其传送到需要这些信息的用户。因此,传感器网络是信息感知和采集的一场革命,它能够在任何时间、任何地点和任何环境条件下提供大量详实可靠的信息,因而可以被广泛应用于军事斗争、国家安全、环境监测、交通管理、医疗卫生、制造业和反恐抗灾等领域。

由于传感器网络一般配置在恶劣环境、无人区域或敌方阵地中,加之无线网络本身固有的脆弱性,因而传感器网络安全引起了人们的极大关注。传感器网络的许多应用(如目标的监测和跟踪等) 在很大程度上取决于网络的安全运行,一旦传感器网络受到攻击或破坏,将可能导致灾难性的后果。如何在节点计算速度、电源能量、通信能力和存储空间非常有限的情况下,通过设计安全机制,提供机密性保护和身份认证功能,防止各种恶意攻击,为传感器网络创造相对安全的工作环境,是一个关系到传感器网络能否真正走向实用的关键性问题。

本文的结构如下:首先全面描述了密钥建立协议、基站与传感器节点之间的广播认证协议和传感器节点之间的数据源认证协议;然后详细分析了方案的有关性能;最后对全文进行总结得出结论。

基本协议

协议中所用到符号的意义: x ∈_RN 表示x 在集合N 中随机地选取, H₁ (•) , H₂ (•) 分别表示两个不同的碰撞自由的单向散列函数(如MD5 和SHA1) , ‖表示字符串连接操作符,{ M} K_i表示使用秘密密钥Ki 对消息M 进行加密。

密钥建立协议

在传感器网络中,一个完整的密钥建立过程通常包括3 个阶段,即密钥预分发、单跳密钥发现和多跳密钥建立。

①基站产生n 个密钥及其对应的标识符(2¹⁷ ≤n ≤2²⁰) ,这些密钥和标识符形成一个密钥池P ,即P = K ∪D

K = { k₁ , k₂ ,L , k_n} , D = { ID₁ , ID₂ ,L , ID_n} ,

其中k_i 为基站生成的密钥, ID_i 为密钥k_i 对应的标识符。

②基站根据传感器节点的生命周期和单个认证密钥的使用时间决定单向密钥链的长度N , 并选择一个随机数K_N (称为密钥链的根) ,根据公式

K_i = H ( K_i + 1)

对KN 进行N 次散列计算,其中i = N - 1 , N - 2 ,L ,1 ,0。这样基站就生成了一个单向密钥链{ K_N ,K_N - 1 ,L , K₁ , K₀} , K₀ 称为该密钥链的锚。

③基站为每个传感器节点加载密钥环及相关参数。以节点A 为例, 基站从n 个密钥中随机选出r 个密钥,组成某个传感器节点A 的密钥环R_A ,并将密钥环和密钥链的锚K₀ 加载到A 的存储器中,即

R_A = K_A ∪D_A ,

K_A = { k_A1 , k_A2 ,L , k_Ar} , 　K_Ai ∈_RK,

D_A = { ID_A1 , ID_A2 ,L , ID_Ar} ,

其中k_Ai ∈_RK 表示k_Ai在集合K 中随机地选取, ID_Ai为密钥k_Ai对应的标识符。基站保存每个传感器节点的密钥环(包括r 个密钥及其对应的标识符) 。

④传感器节点A 计算与基站共享的密钥KBA 。

K_BA = { ID_B } K_AM,

K_AM = k_A1©k_A2©L ©k_Ar ,

并将其加载到存储器中。其中, ID_B 表示基站的身份标识,{ M} K_i表示使用秘密密钥K_i 对消息M 进行加密。

至此,密钥预分发阶段结束,该阶段保证了簇内任意两个节点能够以某一概率在各自的密钥环上找到双方共享的会话密钥。

⑤传感器网络配置时, 节点A 被随机或者特定地散布在指定的感知区域内。在簇形成过程结束后,它广播一个信息

A →*:D_A , L_A ,

*表示传感器网络内的任意节点, L_A 表示节点A的位置信息。

⑥收到该信息的所有节点将确信它在节点A的传输范围内, 即二者在同一个簇中, 并通过遍历其密钥环,检查是否存在与A 广播的密钥标识符集相交的元素。假定节点C 在其密钥环上发现存在与A 标识符集相交的元素ID_AC , 则证明节点C与A 共享有与ID_AC对应的会话密钥K_AC 。于是, 节点C 返回给A 一响应消息

C →A :{ D_AC , L_C} K_AC 。

⑦ A 使用共享会话密钥K_AC对响应消息进行解密,确信其密钥环与节点C 有交集。

单跳密钥发现过程使得节点能够通过广播消息的方式,找到簇内与其共享有密钥环上某个会话密钥的节点。在单跳密钥发现过程结束后,节点A保存已找到共享实体的密钥,并将密钥环上其余密钥删除。

⑧对于簇内尚未与A 建立共享密钥的节点来说,可以通过如下过程生成会话密钥。假定节点D 在单跳密钥发现过程结束后, 仍未与节点A 建立共享密钥, 但它找到与节点C 共享的会话密钥K_DC ,且节点A 与节点C 也共享有密钥K_AC 。此时,A 发送一个挑战信息给节点C 在对其进行身份认证后,该信息包含A 和D 共享的密钥K_AD及A 的位置信息L_A

A →C :{ K_AD , L_A} K_AC 。

⑨节点C 解密消息, 并将其使用密钥KDC对消息再次加密后转发给节点D

C →D :{ K_AD , L_A} K_DC 。

⑩节点D 验证挑战消息的合法性,并发送一个响应信息给节点A

D →A :{ Nonce , L_D} K_AD,

其中, Nonce 是一个随机数, L_D 是节点D 的位置信息。

 lv 节点A 使用共享密钥K_AD对响应消息进行解密,确信与D 共享的密钥已经建立。

在多跳密钥建立过程结束后,簇内任意两个节点之间都共享有一个会话密钥。

基站与传感器节点之间的广播认证协议

①基站将时间分成多个相等的间隔T₁ , T₂ ,., T_k ,每个时间间隔长度为T_int , T₀ 为计时开始时刻, T_B 为消息发送时刻。基站广播一个挑战信息,

其格式如下

B →*:{ T_B , T₀ , T_int , T_K} K₀ 。

②所有收到该信息的传感器节点使用存储器中保存的K0 对消息进行解密,并计算与基站的时间同步误差。假定节点A 接收到该消息的本地时刻为TA ,则它与基站的时间同步误差

Δ_A = { T_A - T_B } 。

③基站将密钥链上的密钥与时间间隔对应起来,且在同一个时间间隔内发送的数据包使用同一密钥来进行加密,如图1 所示。假定基站在时间间隔T1 中需要发送的数据包为P₁ , P₂ ,则广播消息的格式如下

④网络中的传感器节点接收基站发送的广播消息。如节点A 收到该消息后, 首先验证安全条件T_B1 ≤T_A1 - Δ_A ( T_A1为节点A 接收到数据包P₁ ,P₂ 的本地时刻) 是否成立, 然后检查K₀ =^?H( K₁) ,若上述两项验证通过,则接收该消息。

⑤当第一个广播消息被接收后, 基站即可重复发送( M_i , i) ,其中M_i 为第i 个时间间隔内需要发送的数据包信息的连接,此时广播消息的格式为

B →*:{ M_i , K_i , T_Bi} K_i - 1 。

⑥网络中的传感器节点接收基站发送的广播消息。如节点A 收到该消息后, 首先验证安全条件T_Bi ≤T_Ai - Δ_A ( T_Ai为节点A 接收到第i 个时间间隔中广播消息的本地时刻) 是否成立, 然后检查K_i - 1 =?H ( K_i ) 。如此循环往复, 直到广播消息传输结束。

传感器节点之间的数据源认证协议

最简单的传感器节点与节点之间的身份识别是使用共享会话密钥进行认证,但这种方法限制了节点的被动加入。为提高传感器网络的可靠性并有效地防止选择转发攻击,节点的被动加入是必要的。下面我们给出一种支持节点被动加入的传感器节点之间的数据源认证方案。

节点D 将时间分成多个相等的间隔T_D1 , T_D2 ,., T_Dk ,每个时间间隔长度为T_Dint , T_D0为计时开始时刻, T_D 为消息发送时刻。同时, 节点D 根据传感器节点的生命周期和单个认证密钥的使用时间决定单向密钥链的长度p , 并选择一个随机数K′_p(称为密钥链的根) ,根据公式

K′_i = H( K′_i + 1)

对K′_p 进行p 次散列计算,其中i = p - 1 , p - 2 ,L ,1 ,0。这样基站就生成了一个单向密钥链{ K′_p ,K′_p - 1 ,L , K′₁ , K′₀} , K′₀ ,为该密钥链的锚。

节点D 生成一个挑战信息, 并使用与欲建立通信连接的邻近节点共享的密钥加密后进行单播通信。若假定节点D 需要与节点C 进行单播通信,则挑战消息的格式如下:

D →C :{ T_D , T_D0 , T_Dint , K′₀} K_DC。

假定节点C 接收到该消息的本地时刻为T_C ,则它与基站的时间同步误差

Δ_C = T_C - T_D 。

后续步骤和基站与传感器节点之间的广播认证协议相似,不再赘述。

性能分析

　安全性分析

在广播认证协议中,由于初始广播消息使用密钥K₀ 进行了加密( K₀ 是在节点配置前加载到存储器中的) ,且后续消息是使用密钥链上的密钥计算形成的密文, 因而攻击者无法获取相关的敏感信息,也无法冒充基站发布虚假的广播信息;在传感器节点之间的数据源认证协议中, 密钥链的锚K′₀是使用与欲建立通信连接的邻近节点共享的密钥加密后进行单播通信的, 因而其安全性得到了保证。安全条件的应用既能够保证消息的新鲜性,也能有效地避免重放攻击和拒绝服务攻击。因为攻击者对发送消息进行复制后传输,会不可避免地产生时延,从而使其不能满足安全条件而被接收者丢弃。

效率分析

在构建传感器网络身份认证方案时,我们充分考虑到节点计算速度、电源能量、通信能力和存储空间非常有限的特点,基站与传感器节点之间的广播认证及传感器节点之间的数据源认证协议和算法都设计得比较简单,并避开了代价昂贵的公钥运算,完全使用对称加密算法来实现,计算、存储和通信开销都较小, 从而使得方案的执行效率大大提高。同时,本方案能够提供实时认证,每个数据包含有对应于该时间间隔的单向密钥链上的密钥,相关的接收者可以使用保存过的前一个密钥值进行解密和验证,从而有效地避免了时延和存储量偏大等问题。

支持节点被动加入

节点的被动加入对于提高传感器网络的传输能力和可靠性是非常必要的,它是网内处理的重要形式之一。假定节点A 注意到节点B 向节点C 发送了数据包, 但节点C 没有将该数据包转发给另外的节点,则节点A 将以一定的概率负责转发该数据包。这种节点被动加入的方式能够有效地防止选择性转发攻击,但它要求部分邻近节点能够解密和认证发送方传输的信息,这就意味着消息必须使用局部共享的密钥进行加密。

在本方案中,单向密钥链的锚值是以某种安全的方式(由基站预先加载到节点的存储器中或使用与欲建立通信连接的邻近节点共享的密钥加密后进行单播通信) 进行分发的,后续发送的数据包都是使用单向密钥链上的密钥进行加密的,每个接收者也可以使用保存的前一个密钥值进行解密和验证。因此,在本方案中,部分邻近节点能够解密和认证发送方传输的信息,它具有支持节点被动加入的特性。

　结论

本文提出一种传感器网络中的认证方案,它包括密钥建立协议、基站与传感器节点之间的广播认证协议和传感器节点之间的数据源认证协议等3个部分。考虑到传感器节点资源有限的特点,方案中的各协议和算法都设计得比较简单,并避开了代价昂贵的公钥运算, 完全使用对称加密算法来实现,从而使得方案的计算、存储和通信开销都较小,执行效率大大提高。同时, 本方案提供了实时认证,避免了时延和存储量偏大等问题, 并能有效地防止重放、假冒和拒绝服务等攻击,具有低开销、可扩展性强、支持节点内部处理和被动加入等特点。