張 旸，何涇沙

（北京工業(yè)大學(xué) 軟件學(xué)院，北京100124）

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)［1］是一種由大量帶有無(wú)線通信模塊的傳感器節(jié)點(diǎn)，通過(guò)相互轉(zhuǎn)發(fā)數(shù)據(jù)實(shí)現(xiàn)的多跳網(wǎng)絡(luò)，該網(wǎng)絡(luò)具有自組織、抗毀性強(qiáng)等特點(diǎn)，已經(jīng)在軍事和民用的多個(gè)領(lǐng)域進(jìn)行了應(yīng)用。由于無(wú)線傳感器節(jié)點(diǎn)在開(kāi)放的環(huán)境中進(jìn)行無(wú)線通信，并且具有攜帶能量有限，存儲(chǔ)能力較低等特點(diǎn)，因此容易遭受惡意攻擊［2－3］。為防范各個(gè)層面的惡意攻擊，建立有效的安全機(jī)制十分重要，而實(shí)現(xiàn)傳感器節(jié)點(diǎn)之間有效的身份認(rèn)證，則是一切安全技術(shù)的前提［4］。本文針對(duì)多級(jí)分簇的無(wú)線傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提出一種新的身份認(rèn)證機(jī)制，該機(jī)制能夠有效地為多級(jí)分簇網(wǎng)路中的傳感器節(jié)點(diǎn)提供身份認(rèn)證，并且相比傳統(tǒng)的點(diǎn)到點(diǎn)認(rèn)證機(jī)制具有更小的能量消耗和內(nèi)存要求。

1 多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)模型

1.1 分簇結(jié)構(gòu)的無(wú)線傳感器網(wǎng)絡(luò)

分簇結(jié)構(gòu)［5］是一種特殊的無(wú)線傳感器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過(guò)把一個(gè)區(qū)域的傳感器節(jié)點(diǎn)劃分成許多個(gè)簇（cluster），并在簇中選取簇頭（cluster header）節(jié)點(diǎn)。簇頭負(fù)責(zé)簇內(nèi)節(jié)點(diǎn)的管理和數(shù)據(jù)轉(zhuǎn)發(fā)，普通節(jié)點(diǎn)通過(guò)簇頭向外部傳輸數(shù)據(jù)。

在無(wú)線傳感器網(wǎng)絡(luò)中，將網(wǎng)絡(luò)中的節(jié)點(diǎn)劃分成簇，主要有以下優(yōu)點(diǎn)：

（1）不同于平面拓?fù)浣Y(jié)構(gòu)中所有節(jié)點(diǎn)需要偵聽(tīng)數(shù)據(jù)，導(dǎo)致無(wú)用的數(shù)據(jù)偵聽(tīng)成了網(wǎng)絡(luò)壽命的最大殺手，在分簇拓?fù)浣Y(jié)構(gòu)中，普通節(jié)點(diǎn)可以有計(jì)劃地關(guān)閉通信模塊，從而大量減少自身通信能量消耗；

（2）由于簇內(nèi)節(jié)點(diǎn)往往是空間上相鄰的，多個(gè)節(jié)點(diǎn)采集到的數(shù)據(jù)具有相關(guān)性，因此簇頭節(jié)點(diǎn)可以對(duì)簇內(nèi)采集到的數(shù)據(jù)進(jìn)行融合處理，從而大量減少總通信量；

（3）簇內(nèi)節(jié)點(diǎn)輪流擔(dān)任簇頭，從而使得全網(wǎng)節(jié)點(diǎn)負(fù)載均衡，避免了平面路由中主干節(jié)點(diǎn) “死亡”較快的情況；

1.2 多級(jí)分簇結(jié)構(gòu)的無(wú)線傳感器網(wǎng)絡(luò)

多級(jí)分簇結(jié)構(gòu)［6］是對(duì)分簇結(jié)構(gòu)的擴(kuò)展，是指在分簇拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，簇頭之間再次成簇并產(chǎn)生新的簇頭，并依此方式一級(jí)級(jí)迭代直到基站或匯聚（Sink）節(jié)點(diǎn)。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)模型

多級(jí)分簇結(jié)構(gòu)的出現(xiàn)是為了解決大規(guī)模部署節(jié)點(diǎn)時(shí)，簇頭和基站間直接通信所導(dǎo)致巨大能量消耗的問(wèn)題［7］。通過(guò)將節(jié)點(diǎn)分成多級(jí)的簇結(jié)構(gòu)，不但可以降低全網(wǎng)的能量消耗，同時(shí)極大增強(qiáng)了網(wǎng)絡(luò)的可擴(kuò)展性。由于多級(jí)分簇拓?fù)浣Y(jié)構(gòu)具有以上優(yōu)良特性，因此該結(jié)構(gòu)在無(wú)線傳感器網(wǎng)絡(luò)大規(guī)模部署的現(xiàn)實(shí)需求中具有十分重要的應(yīng)用價(jià)值和研究?jī)r(jià)值。

該網(wǎng)絡(luò)具有如下特點(diǎn)：

（1）網(wǎng)絡(luò)拓?fù)錇槎嗖鏄?shù)結(jié)構(gòu)，在這種結(jié)構(gòu)中，所有節(jié)點(diǎn)都扮演者根節(jié)點(diǎn)和成員節(jié)點(diǎn)的屬性。

（2）在該多叉樹(shù)網(wǎng)絡(luò)結(jié)構(gòu)中，基站為整個(gè)網(wǎng)絡(luò)的根節(jié)點(diǎn)，底層普通節(jié)點(diǎn)視為沒(méi)有成員節(jié)點(diǎn)的根節(jié)點(diǎn)。

（3）成員節(jié)點(diǎn)只能通過(guò)根節(jié)點(diǎn)與外界交換數(shù)據(jù)，屬于同一個(gè)根節(jié)點(diǎn)的成員節(jié)點(diǎn)內(nèi)部可以相互交換數(shù)據(jù)。

網(wǎng)絡(luò)工作的過(guò)程為：各層節(jié)點(diǎn)采集到的數(shù)據(jù)逐級(jí)向上匯聚至基站，以及由基站下發(fā)的指令逐級(jí)向下分散至目標(biāo)節(jié)點(diǎn)。

2 基于多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)的身份認(rèn)證機(jī)制

2.1 設(shè)計(jì)原則

關(guān)于無(wú)線傳感器網(wǎng)絡(luò)下的身份認(rèn)證，各國(guó)學(xué)者提出了多種算法及技術(shù)手段［8－10］，主要圍繞對(duì)稱(chēng)密碼，非對(duì)稱(chēng)密碼等進(jìn)行算法方面的研究和改進(jìn)，多是研究相鄰節(jié)點(diǎn)間的相互認(rèn)證方式。本文針對(duì)多級(jí)分簇拓?fù)浣Y(jié)構(gòu)提出一種以基站為核心的間接身份認(rèn)證機(jī)制，該機(jī)制拋開(kāi)了傳統(tǒng)點(diǎn)到點(diǎn)直接認(rèn)證的局限，從多級(jí)分簇拓?fù)浣Y(jié)構(gòu)的特點(diǎn)入手進(jìn)行全網(wǎng)性的身份認(rèn)證機(jī)制設(shè)計(jì)。該機(jī)制可用于在分簇結(jié)構(gòu)初始化階段建立認(rèn)證密鑰，局部簇頭的調(diào)整等網(wǎng)絡(luò)拓?fù)渥兓^(guò)程中分發(fā)認(rèn)證密鑰。

針對(duì)多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)的特點(diǎn)，本文提出的身份認(rèn)證技術(shù)的設(shè)計(jì)原則如下：

（1）以基站為核心，由基站作為身份信息的授予者和仲裁者。由于在多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)中，基站如果癱瘓則其余節(jié)點(diǎn)便無(wú)法正常工作，因此把基站視為可信者是合理的。

（2）以節(jié)點(diǎn)預(yù)分配的主密鑰作為身份識(shí)別的依據(jù)，由基站掌握全網(wǎng)的主密鑰，對(duì)節(jié)點(diǎn)身份判定以建立信任關(guān)系，并傳遞這種信任關(guān)系至其余節(jié)點(diǎn)。

（3）網(wǎng)絡(luò)中的所有節(jié)點(diǎn)，只需要與其簇頭節(jié)點(diǎn)進(jìn)行相互的身份認(rèn)證即可。除此之外的點(diǎn)到點(diǎn)認(rèn)證都是不必要的，這是因?yàn)橹灰?jié)點(diǎn)與簇頭建立了相互的身份認(rèn)證，便可由簇頭節(jié)點(diǎn)把對(duì)該節(jié)點(diǎn)的信任傳遞給其余成員節(jié)點(diǎn)。而由于網(wǎng)絡(luò)是遞歸的樹(shù)狀結(jié)構(gòu)，因此這一過(guò)程能實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)中所有節(jié)點(diǎn)的全覆蓋。

（4）兩個(gè)節(jié)點(diǎn)間的身份認(rèn)證通過(guò)間接的方式進(jìn)行，基于對(duì)基站的信任實(shí)現(xiàn)。由于對(duì)稱(chēng)密鑰不具備非對(duì)稱(chēng)密鑰的可直接識(shí)別的特點(diǎn)，因此兩個(gè)節(jié)點(diǎn)相互的身份信任需要通過(guò)可信的第三方來(lái)進(jìn)行傳導(dǎo)。

2.2 初始化階段

節(jié)點(diǎn)密鑰預(yù)分配過(guò)程如圖2所示，由基站為所有節(jié)點(diǎn)建立認(rèn)證密鑰并分發(fā)至各節(jié)點(diǎn)中，基站處存儲(chǔ)所有節(jié)點(diǎn)的認(rèn)證密鑰。

圖2 密鑰預(yù)分配

具體步驟如下：

（1）基站讀取節(jié)點(diǎn)的id，為保證不同節(jié)點(diǎn)的認(rèn)證密鑰沒(méi)有關(guān)聯(lián)性，使用隨機(jī)值產(chǎn)生器Rand產(chǎn)生一個(gè)隨機(jī)密鑰，作為Kid。

（2）基站保存id與Kid的對(duì)應(yīng)關(guān)系：id＝＞Kid，針對(duì)id建立B－Tree索引，以方便快速根據(jù)id查找Kid。

（3）基站將Kid寫(xiě)入節(jié)點(diǎn)中，此時(shí)節(jié)點(diǎn)保存了數(shù)據(jù) ｛id｜ Kid｝。

以上步驟在所有節(jié)點(diǎn)中進(jìn)行后，則每個(gè)節(jié)點(diǎn)擁有了一個(gè)獨(dú)特的且相互之間沒(méi)有關(guān)聯(lián)的密鑰，服務(wù)器掌握所有節(jié)點(diǎn)的密鑰信息。

2.3 身份認(rèn)證過(guò)程

2.3.1 原始簇的形成

首先，在節(jié)點(diǎn)首次部署或全網(wǎng)周期性重新分簇時(shí)，通過(guò)傳統(tǒng)非安全分簇協(xié)議（如LEACH等）形成底層簇并產(chǎn)生簇頭，之后通過(guò)在簇頭節(jié)點(diǎn)間繼續(xù)成簇，以形成多級(jí)分簇結(jié)構(gòu)。此時(shí)，網(wǎng)絡(luò)已通過(guò)高效的分簇算法形成原始的拓?fù)浣Y(jié)構(gòu)，但節(jié)點(diǎn)間并沒(méi)有進(jìn)行安全性驗(yàn)證，且相互是明文傳輸數(shù)據(jù)，這個(gè)時(shí)候形成的多級(jí)簇稱(chēng)之為原始簇。

2.3.2 統(tǒng)一身份認(rèn)證過(guò)程

在該階段，原始的多級(jí)分簇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)已經(jīng)形成，節(jié)點(diǎn)間的通信還在以非安全形式進(jìn)行。此時(shí)，由底層的簇內(nèi)節(jié)點(diǎn)向上逐層發(fā)起認(rèn)證請(qǐng)求，各級(jí)簇頭依次匯集認(rèn)證請(qǐng)求信息并壓縮與融合后向上級(jí)匯集，直到認(rèn)證請(qǐng)求包匯集至基站。基站通過(guò)各節(jié)點(diǎn)的認(rèn)證密鑰對(duì)節(jié)點(diǎn)身份進(jìn)行識(shí)別，并將識(shí)別結(jié)果逐級(jí)下發(fā)，各級(jí)簇頭節(jié)點(diǎn)通過(guò)反饋信息識(shí)別簇內(nèi)節(jié)點(diǎn)身份，并繼續(xù)向合法節(jié)點(diǎn)下發(fā)來(lái)自基站的反饋信息。下級(jí)節(jié)點(diǎn)收到反饋信息后，檢查其簇頭節(jié)點(diǎn)的合法性，之后檢查下級(jí)節(jié)點(diǎn)并下發(fā)反饋信息，該過(guò)程重復(fù)進(jìn)行，直到底層簇內(nèi)節(jié)點(diǎn)時(shí)停止。整個(gè)過(guò)程上傳和下發(fā)的數(shù)據(jù)協(xié)議格式如下

該階段的具體步驟如下：

（1）由底層的普通節(jié)點(diǎn)向簇頭節(jié)點(diǎn)匯聚認(rèn)證請(qǐng)求，請(qǐng)求的具體數(shù)據(jù)內(nèi)容如下：

id：｛id｝

該節(jié)點(diǎn)的唯一標(biāo)識(shí)id，該部分?jǐn)?shù)據(jù)為明文形式。

Certificateid：｛P（kid）｛id｜rand｜hash（Data）｝｝

該部分把節(jié)點(diǎn)id，一個(gè)隨機(jī)值rand（該值需要記錄下來(lái)以校驗(yàn)與反饋信息的一致性），和數(shù)據(jù)域的哈希值hash（Data）連接在一起后，用節(jié)點(diǎn)的密鑰Kid加密。

Data：｛｝

最底層的簇內(nèi)節(jié)點(diǎn)，該部分內(nèi)容為空。

（2）簇頭節(jié)點(diǎn)匯集所有來(lái)自簇內(nèi)節(jié)點(diǎn)的認(rèn)證請(qǐng)求后，產(chǎn)生自己的認(rèn)證請(qǐng)求，并把簇內(nèi)節(jié)點(diǎn)的認(rèn)證請(qǐng)求壓縮后存在數(shù)據(jù)的Data部分，計(jì)算hash（Data）并生成自己的認(rèn)證請(qǐng)求。之后簇頭節(jié)點(diǎn)把數(shù)據(jù)繼續(xù)向上一級(jí)簇頭發(fā)送，同時(shí)緩存該數(shù)據(jù)直到收到合法的反饋消息。該過(guò)程在各級(jí)簇頭節(jié)點(diǎn)進(jìn)行，直到數(shù)據(jù)到達(dá)基站。

簇頭發(fā)送的數(shù)據(jù)中，id和Certificateid部分與普通節(jié)點(diǎn)的相同，Data部分為：

Data：｛Compress（List（sub data））｝

遞歸的結(jié)構(gòu)，存儲(chǔ)壓縮后的數(shù)據(jù)，該部分內(nèi)容解壓縮后為來(lái)自下層數(shù)據(jù)的認(rèn)證請(qǐng)求。

（3）基站獲取的認(rèn)證請(qǐng)求經(jīng)逐級(jí)解壓縮后為圖3所示的樹(shù)狀結(jié)構(gòu)。

圖3 認(rèn)證請(qǐng)求的樹(shù)狀結(jié)構(gòu)

基站遍歷該樹(shù)中的所有節(jié)點(diǎn)，并對(duì)其進(jìn)行身份認(rèn)證，具體流程如下：

（1）根據(jù)節(jié)點(diǎn)id在密鑰庫(kù)中查詢(xún)其密鑰Kid。

（2）使用Kid解密Certificateid數(shù)據(jù)，獲得：｛id｜rand｜ hash（Data）｝

（3）檢查數(shù)據(jù)中的id與節(jié)點(diǎn)聲稱(chēng)的id是否一致，如果一致則該節(jié)點(diǎn)通過(guò)身份認(rèn)證，否則無(wú)法通過(guò)。

（4）如果該節(jié)點(diǎn)通過(guò)身份認(rèn)證，對(duì)其Data域計(jì)算哈希值，并與上述的hash（Data）做比較，如果一致說(shuō)明下一層節(jié)點(diǎn)的數(shù)據(jù)是完整的，則解壓縮Data域，并對(duì)其中節(jié)點(diǎn)重復(fù)認(rèn)證步驟。

（5）基站根據(jù)通過(guò)身份認(rèn)證的節(jié)點(diǎn)的信息，生成反饋消息，數(shù)據(jù)內(nèi)容如下：

id：｛id｝

目標(biāo)節(jié)點(diǎn)的唯一標(biāo)識(shí)id，該部分?jǐn)?shù)據(jù)為明文形式。

Certificateid：

｛P（Kid）｛id ｜ copyrand｜（id，Kid）Header｜［id，Kid］Members｜hash（Data）｝｝

該部分把節(jié)點(diǎn)id，認(rèn)證請(qǐng)求中隨機(jī)值的拷貝copyrand，簇頭級(jí)與簇頭通信密鑰（id，Kid）Header，下級(jí)簇內(nèi)各節(jié)點(diǎn)的密鑰［id，Kid］Members和數(shù)據(jù)域的哈希值hash（Data）連接在一起后，用目標(biāo)節(jié)點(diǎn)的密鑰Kid加密。

Data：｛Compress（List（sub data））｝

遞歸的結(jié)構(gòu)，存儲(chǔ)壓縮后的數(shù)據(jù)，該部分內(nèi)容解壓縮后為反饋給目標(biāo)節(jié)點(diǎn)下層各節(jié)點(diǎn)的響應(yīng)數(shù)據(jù)。

（4）各級(jí)簇頭節(jié)點(diǎn)接收到來(lái)自基站的反饋數(shù)據(jù)后，執(zhí)行以下步驟：

1）若超出預(yù)設(shè)的超時(shí)時(shí)間Ttime－out沒(méi)有獲得反饋，則跳至步驟4），若收到反饋數(shù)據(jù)，則使用預(yù)存的密鑰Kid解密Certificateid數(shù)據(jù)，獲得

｛id｜ copyrand｜（id，Kid）Header｜［id，Kid］Members｜hash（Data）｝

2）檢查數(shù)據(jù)中的id與自身id是否一致，確認(rèn)消息合法性；判斷copyrand與上次發(fā)送請(qǐng)求時(shí)的rand值是否一致，確定本次反饋是針對(duì)上次請(qǐng)求的；檢查接受反饋的簇頭節(jié)點(diǎn)id與idHeader是否一致，防止其它節(jié)點(diǎn)偽裝；記錄與簇頭的通信密鑰KHeader，從而可以與簇頭安全通信；記錄子簇的通信組密鑰［id，Kid］Members，從而可以與即將身份認(rèn)證的下級(jí)簇的節(jié)點(diǎn)安全通信；計(jì)算Data部分的哈希值并和數(shù)據(jù)中的hash（Data）做比較以檢查運(yùn)載數(shù)據(jù)的完整性。若以上步驟未全部通過(guò)，則跳至步驟4）。

3）解壓縮Data部分，獲得List（sub data），依次向其中的各下級(jí)節(jié)點(diǎn)發(fā)送對(duì)應(yīng)的數(shù)據(jù)sub data。

4）如果簇頭身份不可信，則該節(jié)點(diǎn)進(jìn)入等待局部再認(rèn)證階段。等待時(shí)間為一經(jīng)驗(yàn)值Ttime－out，該值需要結(jié)合節(jié)點(diǎn)的計(jì)算能力、通信帶寬、節(jié)點(diǎn)休眠時(shí)間、服務(wù)器計(jì)算能力等實(shí)際情況得出，且每下一級(jí)的等待時(shí)間Ttime－out不小于上一級(jí) Ttime－out的兩倍。

由于sub data中的節(jié)點(diǎn)均是通過(guò)了服務(wù)器的認(rèn)證的，因此此時(shí)已完成了該節(jié)點(diǎn)對(duì)其簇內(nèi)節(jié)點(diǎn)的身份認(rèn)證。同時(shí)，通過(guò)校驗(yàn)加密信息中的idHeader，因而完成了對(duì)簇頭節(jié)點(diǎn)的身份認(rèn)證。也即是說(shuō)，當(dāng)反饋消息順利經(jīng)過(guò)一個(gè)節(jié)點(diǎn)時(shí)，該節(jié)點(diǎn)就同時(shí)完成了對(duì)直接上級(jí)和直接下級(jí)節(jié)點(diǎn)的單向身份認(rèn)證。該過(guò)程是從上級(jí)往下級(jí)依次進(jìn)行的，因此：每個(gè)反饋消息驗(yàn)證成功的節(jié)點(diǎn)，都完成了對(duì)上級(jí)節(jié)點(diǎn)的雙向身份認(rèn)證；反饋消息驗(yàn)證失敗的節(jié)點(diǎn)，表示上級(jí)簇頭身份不可信；無(wú)法收到反饋消息的節(jié)點(diǎn)，表示從基站到該節(jié)點(diǎn)的通信鏈路上存在認(rèn)證失敗的節(jié)點(diǎn)。

2.3.3 局部再認(rèn)證過(guò)程

當(dāng)節(jié)點(diǎn)在Ttime－out時(shí)間內(nèi)無(wú)法獲得反饋消息，則啟動(dòng)局部再認(rèn)證流程，具體為：

（1）重新進(jìn)行本級(jí)簇的簇頭節(jié)點(diǎn)的選舉；

（2）將緩存的認(rèn)證信息Compress（List（sub data））再次發(fā)給新簇頭節(jié)點(diǎn)，之后重新進(jìn)行2.2–2.5的認(rèn)證流程。

（3）由于每一級(jí)的超時(shí)時(shí)間至少大于上一級(jí)的兩倍，因此新的簇頭如果認(rèn)證通過(guò)，則不影響整體認(rèn)證流程的進(jìn)行；多次重復(fù)仍然失敗時(shí)，則下一級(jí)節(jié)點(diǎn)將發(fā)起簇頭選舉，產(chǎn)生新的簇頭和上一級(jí)簇頭，并重復(fù)認(rèn)證流程；以此類(lèi)推，重建所有受到影響的層級(jí)的簇。

經(jīng)過(guò)局部再認(rèn)證階段，簇頭中的非法節(jié)點(diǎn)被隔離，避免了因中間層級(jí)的簇頭不合法導(dǎo)致大范圍節(jié)點(diǎn)認(rèn)證的失敗。

3 性能與安全分析

針對(duì)傳統(tǒng)點(diǎn)到點(diǎn)的雙向認(rèn)證方式，本文提出的方法通過(guò)基站作為媒介傳遞身份信任關(guān)系，可以有效地減少能量消耗和內(nèi)存空間需求。下面將以傳統(tǒng)點(diǎn)到點(diǎn)認(rèn)證機(jī)制和本文提出的間接認(rèn)證機(jī)制作對(duì)比，分析該機(jī)制的特點(diǎn)。

3.1 傳統(tǒng)點(diǎn)到點(diǎn)認(rèn)證機(jī)制

傳統(tǒng)的點(diǎn)到點(diǎn)機(jī)制以直接進(jìn)行雙向身份認(rèn)證的方式進(jìn)行，在多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)中，其實(shí)現(xiàn)步驟如圖4所示。

為實(shí)現(xiàn)這種方式的點(diǎn)到點(diǎn)驗(yàn)證，有基于對(duì)稱(chēng)加密算法和基于非對(duì)稱(chēng)加密算法兩種方式，其中對(duì)稱(chēng)加密算法要求建立預(yù)共享密鑰池，存在容易泄露認(rèn)證信息和難以擴(kuò)展的缺點(diǎn)，因此基于非對(duì)稱(chēng)加密算法逐漸成為研究的主要方向。

3.2 本文提出的認(rèn)證機(jī)制

本文提出的認(rèn)證機(jī)制過(guò)程如圖5所示。

由于采用了獨(dú)立的預(yù)存認(rèn)證密鑰，該機(jī)制所有認(rèn)證過(guò)程均使用對(duì)稱(chēng)密鑰實(shí)現(xiàn)，同時(shí)由于是聯(lián)機(jī)認(rèn)證，因此沒(méi)有泄露認(rèn)證信息和失去可擴(kuò)展性的問(wèn)題。

3.3 對(duì)比分析

在多級(jí)分簇網(wǎng)絡(luò)中，使用點(diǎn)到點(diǎn)的基于對(duì)稱(chēng)密碼的認(rèn)證、使用點(diǎn)到點(diǎn)的基于非對(duì)稱(chēng)密碼的認(rèn)證以及本文提出的間接認(rèn)證機(jī)制的對(duì)比關(guān)系見(jiàn)表1。

由此可見(jiàn)，本文提出的方法同時(shí)具有傳統(tǒng)基于對(duì)稱(chēng)密鑰的計(jì)算量小和基于非對(duì)稱(chēng)密鑰算法的安全性和擴(kuò)展性的優(yōu)點(diǎn)，不足之處是高級(jí)別的簇頭在簇形成階段要承擔(dān)一定的通信量，但是由于該方法只在成簇階段使用，因此通信增加對(duì)能量的消耗有限。

表1 多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)中認(rèn)證機(jī)制特點(diǎn)對(duì)比

4 結(jié)束語(yǔ)

本文提出了一種在多級(jí)分簇?zé)o線傳感器網(wǎng)絡(luò)下的身份認(rèn)證機(jī)制，該機(jī)制在多級(jí)分簇網(wǎng)絡(luò)的形成階段，通過(guò)基站的參與完成了各相關(guān)節(jié)點(diǎn)的相互身份認(rèn)證。由于將身份認(rèn)證放在網(wǎng)絡(luò)初始化階段完成，因而其節(jié)點(diǎn)間身份可信的效果能完全覆蓋網(wǎng)絡(luò)形成后的所有工作過(guò)程，從而避免了在具體業(yè)務(wù)中承擔(dān)身份認(rèn)證的開(kāi)銷(xiāo)。同時(shí)，該機(jī)制以逐層匯聚和分發(fā)的方式進(jìn)行，可高效地進(jìn)行數(shù)據(jù)的壓縮傳輸，從而大幅減少了通信開(kāi)銷(xiāo)。在未來(lái)的工作中，需要針對(duì)本文的機(jī)制，找到適合的數(shù)據(jù)壓縮方法，減少高層簇頭節(jié)點(diǎn)的通信負(fù)載，同時(shí)由于能量開(kāi)銷(xiāo)主要集中在簇形成階段，需要找到局部的簇調(diào)整和認(rèn)證的辦法，盡量減少全網(wǎng)規(guī)模的簇重建和身份認(rèn)證過(guò)程。

［1］ZHU Zhengjian，TAN Qingping，ZHU Peidong.Research on wireless sensor network security：A survey［J］.Computer Engineering and Science，2008，30（4）：101－105（in Chinese）.［朱政堅(jiān)，譚慶平，朱培棟.無(wú)線傳感器網(wǎng)絡(luò)安全研究綜述［J］.計(jì)算機(jī)工程與科學(xué)，2008，30（4）：101－105.］

［2］WU Fan.Research on wireless sensor network security［D］.Nanchang：Nanchang University，2007（in Chinese）.［范武.無(wú)線傳感器網(wǎng)絡(luò)安全研究［D］.南昌：南昌大學(xué)，2007.］

［3］PEI Qingqi，SHEN Yulong，MA Jianfeng.Survey on wireless sensor network technology［J］.Journal of China Institute of Communications，2007，28（8）：113－122（in Chinese）.［裴慶祺，沈玉龍，馬建峰.無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)綜述［J］.通信學(xué)報(bào)，2007，28（8）：113－122.］

［4］Chen X Q，Makki K，Yen K，et al.Sensor network security：A survey［J］.IEEE Communications Surveys and Tutorials，2009，11（2）：52－73.

［5］ZHOU Wei.Research on key technologies of clustering wireless sensor networks［D］.Shanghai：Shanghai University，2011（in Chinese）.［周偉.基于分簇的無(wú)線傳感器網(wǎng)絡(luò)關(guān)鍵技術(shù)研究［D］.上海：上海大學(xué)，2011.］

［6］LIU Shugang，LIU Hongli.Energy－efficient Multi－layer clustering algorithm in wireless sensor networks［J］.Application Research of Computers，2011，28（6）：2257－2260（in Chinese）.［劉述鋼，劉宏立.無(wú)線傳感器網(wǎng)絡(luò)中能量有效的多層分簇算法［J］.計(jì)算機(jī)應(yīng)用研究，2011，28（6）：2257－2260.］

［7］JIA Yongcan，LIU Yuhua，XU Kaihua，et al.LEACH－based multi－layer clustering routing scheme in WSN［J］.Computer Engineering，2009，35（11）：74－76（in Chinese）.［賈永燦，劉玉華，許凱華，等.WSN中基于LEACH的多層分簇路由方案［J］.計(jì)算機(jī)工程，2009，35（11）：74－76.］

［8］MA Haisong，LIU Yijun，ZHU Yuhai.Research on wireless sensor network security authentication［J］.Computer Knowledge and Technology，2011，7（12）：2791－2792（in Chinese）.［馬海松，劉怡俊，朱昱海.無(wú)線傳感器網(wǎng)絡(luò)安全認(rèn)證的研究［J］.電腦知識(shí)與技術(shù)，2011，7（12）：2791－2792.］

［9］ZENG Yingzhi，SU Jinshu，XIA Yan，et al.Survey on security authentication technology of wireless sensor networks［J］.Computer Applications and Software，2009，26（3）：55－58（in Chinese）.［曾迎之，蘇金樹(shù)，夏艷，等.無(wú)線傳感器網(wǎng)絡(luò)安全認(rèn)證技術(shù)綜述［J］.計(jì)算機(jī)應(yīng)用與軟件，2009，26（3）：55－58.］

［10］ZHU Lei.Research on certain key technologies of wireless sensor network security authentication［D］.Zhengzhou：PLA Information Engineering University，2010（in Chinese）.［朱磊.無(wú)線傳感器網(wǎng)絡(luò)安全認(rèn)證若干關(guān)鍵技術(shù)研究［D］.鄭州：解放軍信息工程大學(xué)，2010.］