何 磊，郭曉軍，2，張春玉

（1.西藏民族學院 信息工程學院，陜西 咸陽 712082；2.東南大學 計算機科學與工程學院，江蘇 南京 211189）

近年來，隨著無線傳感器網(wǎng)絡（WSN）相關技術研究不斷進步，基于WSN的各種應用不斷涌現(xiàn)，主要在包括科學、工業(yè)、軍事、民事、商用等領域［1－2］。當前的研究主要集中在無線傳感器的路由、擁塞控制、節(jié)能等方面［3－4］。然而，由于無線傳感器網(wǎng)絡在某些應用領域（如軍事、商業(yè)等）所收集和傳遞的信息大都為敏感或隱私信息，并且所付出的代價較高，因此WSN在此類領域應用的安全性顯得尤為重要。

WSN中節(jié)點的自身特點，使得其安全認證機制與傳統(tǒng)網(wǎng)絡存在較大差異。目前WSN安全性研究多偏重于WSN節(jié)點之間數(shù)據(jù)安全傳輸問題并形成了相關協(xié)議［1－2，5－7］，有關 WSN 的認證機制則研究較少，且已有的實現(xiàn)方案多依托于加密機制而實現(xiàn)［8－9］，典型代表為E－G方案［8］，其核心思想是在 WSN節(jié)點布置前，預先給每個節(jié)點分配相關密鑰參數(shù)，并由服務器生成密鑰池，然后每個節(jié)點從密鑰池中隨機選擇多個密鑰；在節(jié)點布置后，相鄰節(jié)點相互查詢自己內存中存儲的密鑰子集中是否存在相同的預分配密鑰，如果存在，則可以利用共享的密鑰建立雙方的安全傳輸通道。類似的方法還有Chan等［9］提出的Q－COMPOSITE隨機密鑰預分配方案。此外，Oscar等［10］設計了一種給每個WSN節(jié)點預加載相關參數(shù)或主密鑰的認證方案，并在網(wǎng)絡初始化結束后，刪除預加載數(shù)據(jù)以保證預加載信息的安全性。國內學者也提出了一些類似的認證機制，如基于可信計算的認證機制［11］，基于單向哈希函數(shù)和對稱加密算法的輕量級的WSN認證和密鑰協(xié)商方案［12］。但基于加解密算法的認證機制要求 WSN節(jié)點具有較大的存儲空間和較高的計算能力，造成節(jié)點硬件資源緊張，其計算的復雜性也給WSN節(jié)點性能和能耗帶來巨大負擔。

為實現(xiàn)在輕負載的情況下使得WSN網(wǎng)關、節(jié)點、終端之間能進行安全訪問與數(shù)據(jù)傳輸，本文針對現(xiàn)有以加解密思想為核心認證方案的不足，提出了一種基于時間隱蔽通信信道（timing covert channel）的無線傳感器網(wǎng)絡認證機制，可用于WSN節(jié)點與節(jié)點、節(jié)點與網(wǎng)關之間發(fā)生訪問行為時的身份認證。仿真實驗結果證明，該算法在WSN節(jié)點較少的時空開銷下，可靠地完成身份認證信息驗證過程，并且具有較好的隱蔽性和穩(wěn)定性。

1 典型的WSN身份認證體系結構

通常情況下，無線傳感器網(wǎng)絡由 WSN節(jié)點、WSN網(wǎng)關（Gateway）及服務終端三部分組成。因此，本文所提出的WSN身份認證體系結構如圖1所示。圖中x、y、z為傳感器節(jié)點，Gateway為傳感器網(wǎng)關（網(wǎng)關一般為專用嵌入式系統(tǒng)，也可由能力較強的普通WSN節(jié)點充當），認證服務器端表示身份驗證的最終機構。無線鏈路可以包含移動通信網(wǎng)、衛(wèi)星鏈路等。

現(xiàn)有WSN身份認證機制不僅在Gateway與認證服務終端間采用加解密算法，在無線網(wǎng)絡傳感器節(jié)點以及節(jié)點和Gateway間也采用加密算法（如在x、y、z節(jié)點間，x與Gateway之間均采用加密算法）［11］。由于Gateway與認證服務終端相對于WSN節(jié)點硬件配置較好，處理能力較強，因而可以完全承受加解密算法計算過程的負擔。但WSN節(jié)點硬件資源及電池能力有限，很難應對如此繁重的計算。因此，本文提出Gateway與認證服務終端間采用加解密算法，而在WSN節(jié)點與節(jié)點及節(jié)點與Gateway之間借用時間隱蔽通信［13－15］的方式進行身份認證，可使得數(shù)據(jù)傳輸與身份認證同時進行，提高了WSN身份認證整體計算的時空效率，也增加了身份認證的隱蔽性和保密性。

2 基于時間隱蔽通信的認證機制

在基于時間隱蔽通信的認證機制中，被認證方在正常發(fā)送內容的同時，通過主動調整承載發(fā)送內容的數(shù)據(jù)包流的一些特征來表示認證信息（以下稱為水印信息），以將水印信息嵌入到該數(shù)據(jù)包流中，認證方在接受此數(shù)據(jù)包流正常內容的同時，也會對該數(shù)據(jù)包流的特征進行檢測，以恢復出所嵌入的水印信息，從而完成認證過程。本文通過調整相鄰兩個數(shù)據(jù)包時間間隔IPD（inter packet delay）表示水印信息，以建立一條被認證方與認證方之間的時間隱蔽通道，秘密完成發(fā)送和接受認證信息過程，其框架如圖2所示。

圖2 基于時間隱蔽通信的認證機制框架

對于被認證方，認證信息首先被轉化為二進制流BS。Embedder負責將BS中的每一bit位信息嵌入進數(shù)據(jù)包流中，按照如下方式：

ti，ti＋1分別為第i和i＋1個數(shù)據(jù)包的發(fā)送時刻，BS（i）為二進制流BS中第i個bit位，Ai為BS（i）所對應的延遲。D1和D2分別代表兩個不同延遲值，D1為較大延遲，D2為較小延遲，即D1＞D2。本文用對IPDi增加較大延遲D1來表示BS（i）為“0”，相反增加較小的延遲D2來代表BS（i）為“1”。

當攜帶認證信息的數(shù)據(jù)包流到達認證方一端時，認證方調用Extracter對該數(shù)據(jù)包流中每個數(shù)據(jù)包的到達時間進行記錄，并計算所有相鄰數(shù)據(jù)包間的IPD，并按照公式（3）對該數(shù)據(jù)包流所攜帶的認證信息進行提取。

式中，t′i＋1，t′i分別為第i＋1和i個數(shù)據(jù)包的到達時刻。H（x，y）為計算漢明距離函數(shù)，θ，α分別為事先設置的閾值，可通過實驗確定。當Extracter所提取的認證信息與原始認證信息滿足式（4）時，則認為此數(shù)據(jù)包流是來自授權用戶發(fā)送的合法數(shù)據(jù)流，即被認證方是該WSN網(wǎng)絡中的合法用戶，并允許該用戶訪問WSN網(wǎng)絡內其他資源。否則，被認證方為非法用戶，中斷該用戶訪問的鏈接，阻止該用戶訪問其他資源，并向終端或網(wǎng)關發(fā)出警告。

3 仿真實驗與分析

本文采用NS2平臺進行仿真實驗，并構建如圖1所示的典型的WSN網(wǎng)絡拓撲結構。在30m×30m的區(qū)域中隨機散布多個節(jié)點和一個Gateway節(jié)點。MAC層采用CSMA和RTS／CTS機制的IEEE802.11協(xié)議，路由為事先設置好的靜態(tài)路由，其余參數(shù)設置見表1。本實驗主要測試WSN節(jié)點z發(fā)出的數(shù)據(jù)包流，在經(jīng)過y、x節(jié)點轉發(fā)后，到Gateway節(jié)點的認證過程。Embedder和Extracter分別部署在z節(jié)點與Gateway節(jié)點上。

表1 實驗相關參數(shù)設置

實驗過程中，節(jié)點z為被認證方，Gateway為認證方。節(jié)點z標記發(fā)出的數(shù)據(jù)包流，經(jīng)節(jié)點y和x持續(xù)穩(wěn)定地傳向Gateway。本文總共選取了6個不同的θ值，每個θ值分別和3組不同的D1和D2值進行測試，如表2所示。從表2中可以看出，對于同一組D1和D2，認證方提取認證信息的準確率會隨著θ值的增大而提高；對于同一θ值，準確率隨著D1的變大而增加。這主要是因為采用較大的數(shù)據(jù)包間IPD可有效抵制WSN網(wǎng)絡噪聲流量的干擾，但考慮到傳輸速率、超時等原因，D1是不能無限增大的。因此，應設置較為合理的θ、D1及D2。

表2 不同閾值組合的準確率

Extracter提取認證信息的檢測率還與α有一定關系，圖3給出了在θ＝130ms、D2＝50ms，D1取不同值時，不同α所對應的變化趨勢曲線。從圖中可看出，當α取較大值時，可有效提高Extracter的檢測準確率，但隨著α增大，Extracter誤判率也會增加。因此，需要根據(jù)無線傳感器網(wǎng)絡實際情況選擇合適的α值，以權衡各方面的因素，發(fā)揮最優(yōu)性能。

圖3 不同α值對檢測準確率的影響

4 總結

現(xiàn)今，WSN被廣泛應用于農業(yè)、工業(yè)、家居安防、環(huán)保、醫(yī)療行業(yè)等領域，其安全問題日益引起人們的關注。針對WSN中節(jié)點尺寸小、硬件資源有限、電池容量低等特點，并結合WSN典型的網(wǎng)絡體系結構，本文提出在WSN節(jié)點與節(jié)點及節(jié)點與Gateway間利用時間隱蔽通信方式來進行身份認證的過程，而Gateway與認證服務終端間則仍采用基于加解密算法的認證機制，實驗結果證明該算法在WSN節(jié)點較少的時空開銷下，能可靠地完成身份認證信息的驗證過程，并且具有較好的隱蔽性和穩(wěn)定性。然而WSN的拓撲結構是動態(tài)變化的，節(jié)點失效和新節(jié)點加入經(jīng)常發(fā)生，因此，該方法的擴展性問題還有待于進一步研究。

（

）

［1］Rajaravivarma V，Yang Y，Yang T.An Overview of Wireless Sensor Network and Application［C］／／Proc of 35th Southeastern Symposium on System Theory，Morgantown，USA，2003：432－436.

［2］Eric S，Adhan M，Kang D K.An Application－Driven Perspective on Wireless Sensor Network Security［C］／／Proc of Q2SWinet’06，Torremolinos，Spain，2006.

［3］Muts chlechner M，Li B J，Kapitza R，et al.Using Erasure Codes to Overcome Reliability Issues in Energy－Constrained Sensor Networks［C］／／Proc of 11th Annual Conference on Wireless On－demand Network Systems and Services（WONS），Obergurgl，Austria，2014：41－48.

［4］Latre B，Braem B，Moerman I，et al.A Survey on Wireless Body Area Networks［J］.Wireless Networks，2011，17（1）：1－18.

［5］Kumar P，Lee H J.Lightweight Secure Data Communication Framework Using Authenticated Encryption in Wireless Sensor Networks［R］.Applied Cryptography And Network Security.2012：153－168.

［6］Simplicio M A，Oliveira B T，Barreto P S，et al.Comparison of Authenticated－Encryption Schemes in Wireless Sensor Networks［C］／／Proc of 36th Conference on Local Computer Networks（LCN），Bonn，Germany，2011：450－457.

［7］Tan H，Ostry D，Zic J，et al.A Confidential and Dos－Resistant Multi－Hop Code Dissemination Protocol for Wireless Sensor Net－works［J］.Computers ＆Security，2012，32：36－55.

［8］Eschenauer L，Gligor V D.A Key－Management Scheme for Distributed Sensor Networks［C］／／Proc of the 9th ACM Conference on Computer and Communication Security（CSS’02）.Washington DC，USA，2002：41－47.

［9］Chan H W，Perrig A，Song D.Random Key Pre－distribution Schemes for Sensor Networks［C］／／Proc of the 2003IEEE Symposium on Security and Privacy（SP’03）.Oakland，USA，2003：197－213.

［10］Oscar D M，Amparo F S，Jose M S.A Light－weight Authentication Scheme for Wireless Sensor Networks［J］.Ad Hoc Networks，2011（9）：727－735.

［11］楊鳳，史浩山，朱靈波.一種基于可信計算的 WSN認證機制［J］.計算機仿真，2008，25（10）：119－124.

［12］范修偉，盧建朱.一種輕量級的WSN認證和密鑰協(xié)商方案［J］.計算機工程，2013，39（3）：146－151.

［13］Cabuk S，Brodley C E，Shields C.IP covert channel detection［J］.ACM Transactions on Information and System Security，2009，12（4）：1－29.

［14］Zander S，Armitage G，Branch P.Stealthier Inter－Packet Timing Covert Channels［C］／／Proc of 10th International Conference on IFIP TC 6Networking，Valencia，Spain，2011：458－470.

［15］Wu J，Wang Y，Ding L，et al.Improving Performance of Network Covert Timing Channel Through Huffman Coding［J］.Mathematical and Computer Modelling，2012，55（1）：69－79.