摘 要：本文提出了一種新型的門限密鑰預(yù)分配方案，這種方案是通過使用對稱密鑰為無線傳感器網(wǎng)絡(luò)實(shí)現(xiàn)認(rèn)證服務(wù)。提出的方案稱為無線傳感器網(wǎng)絡(luò)安全路由協(xié)議（SRPWSN）。這種方案對于檢測這種網(wǎng)絡(luò)路由協(xié)議的主要攻擊起著至關(guān)重要的作用；同時(shí)，它也為網(wǎng)絡(luò)流量提供了一定程度的服務(wù)質(zhì)量（QoS）。當(dāng)在一個(gè)需要的時(shí)間間隔內(nèi)驗(yàn)證大量的簽名，甚至在帶有虛假信息的不利情況下，為了獲得認(rèn)證服務(wù)，我們使用二進(jìn)制認(rèn)證樹（BAT）方案能夠有效的消除性能瓶頸。

關(guān)鍵詞：無線傳感器網(wǎng)絡(luò)；密鑰預(yù)分配；二進(jìn)制認(rèn)證樹

中圖分類號(hào) TP391

1 相關(guān)原理

當(dāng)傳感器網(wǎng)絡(luò)被布置在一個(gè)敵對的環(huán)境里，安全是一個(gè)很關(guān)鍵的問題。密鑰建立是一個(gè)重要的安全原語，它是很多安全服務(wù)的構(gòu)建塊。在傳統(tǒng)的網(wǎng)絡(luò)里，公鑰密碼學(xué)提供了一個(gè)完整的解決方案。所有的公鑰基礎(chǔ)設(shè)施都需要一個(gè)可信第三方來分發(fā)證書。在傳感器節(jié)點(diǎn)分配上，很多節(jié)點(diǎn)不能接到全部信息。為了解決這一問題，有人提出了使用對稱加密或基于身份的簽名方案。此外，我們還是用了公鑰算法[1]。

必須對路由協(xié)議進(jìn)行安全保護(hù)[2]，足以抵抗來自外部（或）內(nèi)部節(jié)點(diǎn)的攻擊。在外部攻擊中，一個(gè)偽裝成可信節(jié)點(diǎn)的惡意節(jié)點(diǎn)能夠產(chǎn)生大量的虛假服務(wù)請求，即使它沒有參與路由過程，例如阻斷服務(wù)（DOS）攻擊[3]。因此更是難以檢測到內(nèi)部節(jié)點(diǎn)。第二協(xié)議必須與QoS路由方案結(jié)合來支持承載流量的QoS需求[4]?，F(xiàn)存的無線傳感器網(wǎng)絡(luò)安全路由協(xié)議經(jīng)常避開最有挑戰(zhàn)性的攻擊（或）承載流量的QoS需求。

為提供更多安全和性能問題，我們引進(jìn)了穩(wěn)健有效的簽名方案-二進(jìn)制認(rèn)證樹（BAT）：（1）穩(wěn)健性：BAT方案適用于帶有虛假信息的不利攻擊場景。每個(gè)路由器能夠迅速從所有真實(shí)信息中區(qū)分出虛假信息。因此，BAT在很大程度上能夠有效的容忍信息泛濫的攻擊。（2）效率：BAT方案可以有效的消除降低計(jì)算量所造成的性能瓶頸。為驗(yàn)證接收到的帶有k>=1的虛假信息，耗時(shí)配對操作的次數(shù)約等于（k+1）.log（n/k）+4k-2。在理想情況下（k=0），驗(yàn)證所有信息的計(jì)算量能夠從2n次耗時(shí)配對操作顯著降低到2。BAT方案是第一個(gè)包括驗(yàn)證復(fù)雜性的評估理論界限。其適用于攻擊條件下的基于身份簽名的批量驗(yàn)證，可以用來對安全與性能進(jìn)行平衡。

2 提出的算法

我們可以使用二進(jìn)制認(rèn)證樹（BAT）方案。它包括4個(gè)基本條件：（1）設(shè)置：我們可以設(shè)置MD-5算法。（2）提取：我們可以從很多節(jié)點(diǎn)中提取信息。（3）標(biāo)記：通過使用DSRC協(xié)議，我們創(chuàng)建簽名并在簽名上附加信息，然后連同簽名把信息傳遞到目的地。（4）驗(yàn)證：以接收到信息，我們就可以運(yùn)用散列函數(shù)產(chǎn)生信息摘要及與接收到的信息摘要作比較并作驗(yàn)證。

3 二進(jìn)制認(rèn)證算法：

binary_auth（）

{if（fast_check（）=TRUE

return FS

if（h=1）

return FS=FS U{^< h， v >}；//finding fake signature//

returnbinary_auth（^Fs）；

returnbinary_auth（^Fs）；}

4 仿真結(jié)果

圖1 網(wǎng)絡(luò)里有20個(gè)惡意節(jié)點(diǎn)存在的情況下，傳輸數(shù)據(jù)包的總數(shù)

為此我們通過使用NS-2模擬器對提出的無線傳感器網(wǎng)絡(luò)SRP協(xié)議進(jìn)行模擬。仿真實(shí)驗(yàn)環(huán)境為現(xiàn)在通用的PC電腦環(huán)境，具體參數(shù)為：CPU為Intel酷睿i5 4570；系統(tǒng)為WIN7；硬盤為500G；內(nèi)存為2G。最終實(shí)驗(yàn)數(shù)據(jù)使用MATLAB進(jìn)行了分析。通過使用提出的協(xié)議，我們可以在具有20個(gè)惡意節(jié)點(diǎn)（隨著認(rèn)證服務(wù)的節(jié)點(diǎn)增加）的情況下傳輸數(shù)據(jù)包。如圖1所示，在網(wǎng)絡(luò)里存在20個(gè)惡意節(jié)點(diǎn)的情況下，隨著可靠認(rèn)證服務(wù)節(jié)點(diǎn)的增加，網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)所傳輸?shù)臄?shù)據(jù)包的數(shù)量也會(huì)隨之增加，在40個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)之前，數(shù)據(jù)包的數(shù)量隨著認(rèn)證節(jié)點(diǎn)數(shù)量近似線性變化，但是在接近50個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)時(shí)，二進(jìn)制認(rèn)證樹（BAT）方案達(dá)到極限，即最多只能依靠50多個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)來提高協(xié)議質(zhì)量，方案到達(dá)峰值效果。也就是說在網(wǎng)絡(luò)存在20個(gè)惡意節(jié)點(diǎn)的情況下，二進(jìn)制認(rèn)證樹（BAT）方案所需要的最佳認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量為50。

通過分析可得，在惡意節(jié)點(diǎn)數(shù)量不是很大的情況下，本文提出的方法能夠在不需要大量認(rèn)證服務(wù)節(jié)點(diǎn)的情況下，完成大數(shù)據(jù)量的傳輸任務(wù)。而且在后續(xù)工作中，可以將惡意節(jié)點(diǎn)數(shù)量和對應(yīng)所需的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量的對應(yīng)關(guān)系進(jìn)行統(tǒng)計(jì)分析，可以預(yù)見在惡意節(jié)點(diǎn)數(shù)量較少的情況下，如0到10多的情況下，所需的認(rèn)證服務(wù)節(jié)點(diǎn)在任意為網(wǎng)絡(luò)環(huán)境下都大致分布在1得到10時(shí)間，數(shù)量比較固定，這是因?yàn)閻阂夤?jié)點(diǎn)數(shù)量很少，二進(jìn)制分叉樹的選擇范圍較少，即二進(jìn)制樹的分叉枝葉較少，因此所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量很少。但是在惡意節(jié)點(diǎn)增加到10到20階段時(shí)，所需要的認(rèn)證服務(wù)節(jié)點(diǎn)開始線性增加，并且需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量開始好過惡意節(jié)點(diǎn)數(shù)量，并且在惡意節(jié)點(diǎn)數(shù)量是20時(shí)，所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量開始超過網(wǎng)絡(luò)中存在的惡意節(jié)點(diǎn)的數(shù)量。但是本文提出的二進(jìn)制認(rèn)證樹（BAT）方案安全路由協(xié)議，可以實(shí)現(xiàn)讓所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量存在極限值，也就是說在達(dá)到某一峰值情況下，不會(huì)再需要增加認(rèn)證服務(wù)節(jié)點(diǎn)，這是本文方法的優(yōu)勢所在。

5 結(jié)束語

在本文中，我們解決了最具挑戰(zhàn)性問題，即設(shè)計(jì)出一個(gè)由QoS支持的二進(jìn)制認(rèn)證樹（BAT）方案安全路由協(xié)議。這種方案是通過使用對稱密鑰為無線傳感器網(wǎng)絡(luò)實(shí)現(xiàn)認(rèn)證服務(wù)。提出的方案稱為無線傳感器網(wǎng)絡(luò)安全路由協(xié)議（SRPWSN）。由于路由協(xié)議是為了檢測的主要的內(nèi)部攻擊，我們提出了在拓?fù)渌阉髌陂g使用路由和消息冗余。對于每一條進(jìn)入信息，我們可以通過使用二進(jìn)制認(rèn)證樹來運(yùn)用認(rèn)證服務(wù)。這種方案對于檢測這種網(wǎng)絡(luò)路由協(xié)議的主要攻擊起著至關(guān)重要的作用；同時(shí)，它也為網(wǎng)絡(luò)流量提供了一定程度的服務(wù)質(zhì)量（QoS）。當(dāng)在一個(gè)需要的時(shí)間間隔內(nèi)驗(yàn)證大量的簽名，甚至在帶有虛假信息的不利情況下，為了獲得認(rèn)證服務(wù)，我們使用二進(jìn)制認(rèn)證樹（BAT）方案能夠有效的消除性能瓶頸。

參考文獻(xiàn)：

[1]靳志成.云計(jì)算環(huán)境下的軟件動(dòng)態(tài)部署[D].上海交通大學(xué)，2011.

[2]王春波，靳志成，曹健.面向云計(jì)算環(huán)境的分布式軟件部署算法[J].2012（02）：42-45.

[3]H.Meyerhenke，B.Monien，S.Schamberger.Graph partitioning and disturbeddiffusion[J].Parallel Computing，2009（35）.

[4]T.Verbelen，T.Stevens，P.Simoens，F(xiàn).De Turck，B.Dhoedt.Dynamic deployment and quality adaptation for mobile augmented reality applications[J].Journal of Systems and Software，2011（84）：1871-1882.

作者簡介：趙高權(quán)（1985-），男，四川成都人，碩士，助教，主要研究方向：形式化方法、信息安全。

作者單位：西華大學(xué)應(yīng)用技術(shù)學(xué)院，成都 610039