陳　英， 葛楊銘， 楊豐玉

(南昌航空大學(xué) 軟件學(xué)院,江西 南昌 330063)

?

基于虹膜生物特征的WSNs訪問認(rèn)證方法研究*

陳英， 葛楊銘， 楊豐玉

(南昌航空大學(xué) 軟件學(xué)院,江西 南昌 330063)

提出了一種基于虹膜生物特征的訪問認(rèn)證方法。該方法引入第三方服務(wù)器對(duì)用戶身份進(jìn)行認(rèn)證，認(rèn)證的過程除了對(duì)用戶ID和消息時(shí)效性進(jìn)行認(rèn)證外，更重要的是根據(jù)用戶的系列虹膜圖像對(duì)其進(jìn)行活體身份驗(yàn)證，在實(shí)現(xiàn)認(rèn)證的同時(shí)也采用加密的方式保證了用戶生物特征模板的隱私性；該方法也實(shí)現(xiàn)了用戶和網(wǎng)關(guān)節(jié)點(diǎn)的雙向認(rèn)證，有效地保證了網(wǎng)絡(luò)資源的安全性。理論分析結(jié)果表明:相對(duì)傳統(tǒng)的訪問認(rèn)證方法,該方法所提出的方法具有更高的安全性能。

無線傳感器網(wǎng)絡(luò)； 虹膜特征； 訪問認(rèn)證方法； 用戶活體檢測(cè)

0　引　言

無線傳感器網(wǎng)絡(luò)(wireless sensor networks,WSNs)由分布在物理空間上大量傳感器節(jié)點(diǎn)感知環(huán)境或監(jiān)測(cè)對(duì)象信息，并以自組織多跳無線通信方式將信息傳送到用戶。在軍事、工業(yè)安全監(jiān)控等級(jí)別高的WSNs的應(yīng)用中，為了防止敏感數(shù)據(jù)的非法訪問，需要對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行加密處理，更需要從源頭控制對(duì)WSNs的非法訪問和使用。因此,如何設(shè)計(jì)一個(gè)安全的身份認(rèn)證方案已成為當(dāng)前WSNs的一個(gè)十分重要且迫切的難點(diǎn)問題。Yu S等人[1]提出了精細(xì)粒度的分布式訪問控制機(jī)制，在該機(jī)制中，每個(gè)傳感器節(jié)點(diǎn)均被分配一系列的屬性和一個(gè)公鑰，每個(gè)用戶通過其私鑰和訪問樹被分配相應(yīng)的訪問結(jié)構(gòu)。Zhang C等人[2]提出基于信任管理的方法設(shè)計(jì)訪問控制模型，但該模型需要有公鑰基礎(chǔ)設(shè)施的輔助。Duan J等人[3]提出基于信任度和中心度的分布式和細(xì)粒度的訪問控制模型，該模型通過評(píng)估信任程度和中心程度，給出不同的訪問權(quán)限，但該模型的計(jì)算復(fù)雜度也比較高。Chatterjee I S等人[4]采用單向Hash函數(shù)和按位異或運(yùn)算以確定密鑰、認(rèn)證過程和訪問權(quán)限的分配。Fafoutis X等人[5]提出了接收者發(fā)起的訪問控制協(xié)議，該協(xié)議的核心為接收者是負(fù)責(zé)開始與一個(gè)合格的發(fā)送方直接溝通。Maerien J等人[6]提出了借助中間件構(gòu)建以滿足WSNs對(duì)信任建立、訪問控制和安全策略實(shí)施的需求。然而該控制模型只針對(duì)特定的系統(tǒng)，其算法的復(fù)雜性比較高，無法滿足WSNs資源受限的特點(diǎn)?；诖?，Yuan J等人[7]結(jié)合密碼和智能卡提出了生物特征的WSNs認(rèn)證理論。Das A[8]借助智能卡提出了一種基于生物特征的遠(yuǎn)程用戶認(rèn)證機(jī)制。Yoon E等人[9]提出了無需密鑰的生物特征WSNs認(rèn)證機(jī)制。Das A等人[10]提出了基于生物特征對(duì)異構(gòu)WSNs身份認(rèn)證的機(jī)制。Das A等人[11]在其之前研究工作的基礎(chǔ)上，提出了更加健壯的基于匿名生物密鑰的遠(yuǎn)程用戶認(rèn)證機(jī)制。

從以上的研究現(xiàn)狀分析可知，傳統(tǒng)的身份認(rèn)證方式方便實(shí)現(xiàn)，但容易偽造和丟失，而將生物特征密鑰與WSNs的安全認(rèn)證進(jìn)行結(jié)合還處于起步階段，更重要的是，目前應(yīng)用于WSNs中的指紋特征相對(duì)虹膜特征而言，前者更容易偽造，且不具備快速活體檢測(cè)防偽特性。針對(duì)這種情況，本文提出利用虹膜特征構(gòu)建WSNs的訪問認(rèn)證方法，該方法具有更高安全性。

1　虹膜生物特征密鑰的優(yōu)勢(shì)

基于生物特征的身份認(rèn)證技術(shù)是以人體唯一的、可靠的、穩(wěn)定的生物特征為依據(jù)，該技術(shù)具有很好的安全性、可靠性和有效性，與傳統(tǒng)的身份確認(rèn)手段相比，生物特征身份認(rèn)證技術(shù)的主要優(yōu)勢(shì)如下：1)不直接存儲(chǔ)生物特征模版于系統(tǒng)中，避免了黑客直接攻擊生物特征模版；2)實(shí)現(xiàn)了模版的可撤銷性，即生物特征模版一旦丟失可以重新發(fā)布，不會(huì)泄漏用戶的隱私；3)由于生物特征數(shù)據(jù)與密鑰數(shù)據(jù)的有機(jī)結(jié)合，可有效抵御黑客攻擊，提高身份認(rèn)證的安全性；4)保護(hù)個(gè)人隱私及提高通信安全性，用戶時(shí)刻掌握著自己的個(gè)人信息和密鑰，因此不存在生物特征模版的網(wǎng)絡(luò)傳輸問題；5)可增強(qiáng)生物特征識(shí)別技術(shù)應(yīng)用的公眾可信度和可接受性，提高使用率。相比于指紋、掌紋、聲音、耳形、手形等生物特征，虹膜圖像具有高度的活體檢測(cè)性，眼睛一個(gè)重要的生理特性是瞳孔的動(dòng)態(tài)性，虹膜上附著有環(huán)形的瞳孔收縮肌和輻射狀的瞳孔擴(kuò)張肌，二者共同決定了瞳孔的大小。在正常的條件下，瞳孔一直處于有節(jié)奏的收縮和擴(kuò)張狀態(tài)。

2　基于生物特征密鑰的WSNs訪問認(rèn)證框架

本文將基于虹膜生物特征的身份識(shí)別技術(shù)和WSNs的安全技術(shù)相結(jié)合，所提出的訪問認(rèn)證的基本模型如圖1所示。模型中主要包括三種不同的角色，分別為用戶、第三方服務(wù)器和網(wǎng)關(guān)節(jié)點(diǎn)。

圖1　本方案訪問認(rèn)證模型Fig 1　Access and authentication model of the proposed scheme

認(rèn)證過程分為三個(gè)階段，它們分別為：注冊(cè)階段、登錄和身份驗(yàn)證階段、訪問控制階段。

2.1注冊(cè)階段

用戶(記為Useri)將自己的虹膜圖像發(fā)送給第三方服務(wù)器(記為S)，由S完成虹膜的定位[12]、特征提取[13]、特征加密[14](Hash函數(shù))以得到該用戶的生物特征密鑰(記為IrisKeyi)，在生成特征密鑰后，S刪除該注冊(cè)用戶的原始虹膜圖像，以保證注冊(cè)用戶的隱私性。同時(shí)為了將來對(duì)登錄用戶的身份進(jìn)行多重驗(yàn)證，S給該用戶分配注冊(cè)編號(hào)(記為IDi)和注冊(cè)時(shí)間戳(記Timei1)，S存儲(chǔ)的數(shù)據(jù)為IrisKeyi‖IDi‖Timei1(記為M1)。同時(shí)S將M1發(fā)送回注冊(cè)用戶Useri，Useri應(yīng)該記住該信息，以在登錄和身份驗(yàn)證時(shí)使用。

2.2登錄和身份驗(yàn)證階段

當(dāng)Useri要訪問WSNs時(shí)，其一定要通過S的身份驗(yàn)證，具體的驗(yàn)證過程分以下幾個(gè)子階段來完成。

1)Useri把自己的IDi‖Timei2發(fā)送給S，S在收到信息后，和存儲(chǔ)在本地的信息進(jìn)行比對(duì)，如果對(duì)比成功，則給Useri發(fā)送短消息IDi‖Timei2‖F(xiàn)alsei(記為M2)，以告知Useri無法通過第一步的身份驗(yàn)證，無需再嘗試新的進(jìn)一步的身份驗(yàn)證過程；否則給Useri發(fā)送短消息IDi‖Timei2+random()‖Truei(記為M3)，以告知Useri進(jìn)行進(jìn)一步的身份驗(yàn)證。

2)Useri在收到來自S的短消息后，如果短消息為M2，則Useri停止操作，表明其已經(jīng)無法訪問WSNs網(wǎng)絡(luò)；如果短消息為M3，則Useri在規(guī)定的時(shí)間ΔT內(nèi)給S發(fā)送N幅自己的虹膜圖像。

3)S在收到這N幅圖像后，要根據(jù)這些圖像是否為來自于活體的虹膜圖像(具體參加之前的工作[15])，也即是判斷Useri是否為偽造用戶。如果判斷的結(jié)果是這些圖像為非活體圖像，則服務(wù)器給Useri發(fā)送短消息IDi‖Timei3‖F(xiàn)alsei(標(biāo)記為M4)，否則給Useri發(fā)送短消息IDi‖Timei3+random()‖Truei(標(biāo)記為M5)。

4)Useri在收到來自S的短消息后，如果短消息為M4，則Useri停止操作，表明其已經(jīng)無法訪問WSNs網(wǎng)絡(luò)；如果短消息為M5，則Useri知道已經(jīng)成功通過身份認(rèn)證過程。

5)S把EH(IDi‖Timei3+random()‖IrisKeyi)(記為M6)發(fā)送給網(wǎng)關(guān)階段(記為GW)，其中,EH()為單向加密算法，且S和GW都知道該加密算法。

2.3訪問控制階段

當(dāng)Useri從S得到其身份驗(yàn)證后，即在需要訪問WSNs時(shí)利用該身份屬性發(fā)起訪問請(qǐng)求，以得到需要的網(wǎng)絡(luò)資源，完成對(duì)WSNs的訪問，具體的過程如下：

3)用戶Useri在收到資源信息后，首先解密DIrisKeyi(M7)，得到IDi、Timei3+random()和Rsourcei。然后通過驗(yàn)證IDi和Timei3+random()是否和之前保存的信息是否一致，如果一致，則接受Rsourcei，否則丟棄該資源消息。

在不同階段，不同角色之間的相互通信過程如圖2所示。

圖2　角色間的通信過程Fig 2　Communication process between roles

3　性能分析

1)保證了消息的時(shí)效性：消息M1，M2，M3，M4,M5，M6，M7都包含時(shí)間戳，而避免消息被重置的可能性。同時(shí)，M3較M2，M5較M4都增加了一個(gè)時(shí)間的隨機(jī)數(shù)，這樣可以有效地避免把驗(yàn)證不成功的消息偽造驗(yàn)證成功的消息。

2)更高的安全性：使用了2次身份驗(yàn)證過程對(duì)登錄用戶進(jìn)行驗(yàn)證，更重要是,對(duì)是否為活體用戶進(jìn)行了驗(yàn)證，有效地避免了欺騙攻擊，相對(duì)傳統(tǒng)的認(rèn)證方式具有更高的安全性。

3)實(shí)現(xiàn)了用戶和網(wǎng)關(guān)節(jié)點(diǎn)的雙向認(rèn)證：用戶Useri在收到資源消息M7后，通過驗(yàn)證其用戶ID和時(shí)間戳，可以有效地保證所獲取網(wǎng)絡(luò)資源的真實(shí)性。

4)實(shí)現(xiàn)了資源信息的加密性：網(wǎng)關(guān)GW發(fā)送給Useri的數(shù)據(jù)是經(jīng)過加密后的數(shù)據(jù)，即使被竊取也無法解密。

5)保證了用戶生物特征的隱私性：用戶的原始虹膜圖像被沒有被保存，第三方服務(wù)器只是保存了經(jīng)過單向Hash函數(shù)加密后的特征數(shù)據(jù)。

4　結(jié)　論

隨著研究的深入，WSNs的一些核心技術(shù)得到了長足的進(jìn)步，但是如何充分保證網(wǎng)絡(luò)的安全仍然是要特別關(guān)注的焦點(diǎn)問題。本文針對(duì)傳統(tǒng)認(rèn)證方式的不足，提出了基于虹膜生物特征的WSNs訪問認(rèn)證方法，該方法能在保證用戶生物特征隱私的前提下，實(shí)現(xiàn)了用戶和網(wǎng)關(guān)節(jié)點(diǎn)的雙向認(rèn)證、網(wǎng)絡(luò)資源的加密型和消息的時(shí)效性，相對(duì)傳統(tǒng)的訪問認(rèn)證方法具有更高的安全性能。

[1]Yu S,Ren K,Lou W.FDAC:toward fine-grained distributed data access control in wireless sensor networks[C]∥Proceedings of 2009 IEEE INFOCOM,2009:963-971.

[2]Zhang C,Zhu X,Song Y.A formal study of trust-based routing in wireless Ad Hoc networks[C]∥Proceedings of 2010 IEEE INFOCOM,2010:1-9.

[3]Duan J,Gao D,Foh C.TC-BAC:A trust and centrality degree based access control model in wireless sensor networks[J].Ad Hoc Networks,2013,11:2675-2692.

[4]Chatterjee I S,Das A,Sing J.A secure and effective access control scheme for distributed wireless sensor networks[J].International Journal of Communication Networks and Distributed Systems,2015,14(1):40-73.

[5]Fafoutis X,Mauro A D,Vithanage M D.Receiver-initiated me-dium access control protocols for wireless sensor networks[J].Computer Networks,2015,76:55-74.

[6]Maerien J,Michiels S,Hughes D.SecLooCI:A comprehensive security middleware architecture for shared wireless sensor network-s[J].Ad Hoc Networks,2015,25:141-169.

[7]Yuan J,Jiang C,Jiang Z.A biometric-based user authentication for wireless sensor networks[J].Wuhan University Journal of Natural Sciences,2010,15(3):272-276.

[8]Das A.Analysis and improvement on an efficient biometric-based remote user authentication scheme using smart cards[J].IET Information Security,2011,5(3):541-552.

[9]Yoon E,Yoo K. A new biometric-based user authentication scheme without using password for wireless sensor networks[C]∥Proceedings of the 20th IEEE International Workshops on Enabling Technologies:Infrastructure for Collaborative Enterprises,2011:279-284.

[10] Das A,Bruhadeshwar B.A biometric-based user authentication scheme for heterogeneous wireless sensor networks[C]∥Proceedings of the 27th International Conference on Advanced Information Networking and Applications Workshops,2013:291-296.

[11] Das A,Goswami A.A robust anonymous biometric-based remote user authentication scheme using smart cards[J].Journal of King Saud University:Computer and Information Sciences,2015,27(2):193-210.

[12] Chen Ying,Liu Yuanning,Zhu Xiaodong.Robust iris segmentation algorithm based on self-adaptive Chan-Vese level set mo-del[J].Journal of Electronic Imaging,2015,24 (4):043012.

[13] 陳英.虹膜定位和識(shí)別算法的研究[D].長春：吉林大學(xué), 2014.

[14] Chen Ying,Shu Jian,Yang Fengyu,et al.User authentication and data cryptograph system based on biometric key for wireless sensor networks[J].Journal of Computational Information Systems,2013,10(9):3949-3959.

[15] 陳英.序列虹膜圖像質(zhì)量評(píng)價(jià)的研究 [D].長春：吉林大學(xué), 2006.

Research on access and authentication method for WSNs based on iris biological feature*

CHEN Ying, GE Yang-ming, YANG Feng-yu

(College of Software,Nanchang Hangkong University, Nanchang 330063,China)

On the basis of analysis of access authentication of wireless sensor networks(WSNs) and pointing out its shortcomings,propose an access authentication method based on iris biological feature.The proposed method introduces a third-party server to identity user’s authentication,which includes user ID and message timeliness authentication,most important of all is to identify liveness of user according to user’s series iris images,and ensure user’s privacy of biologicat feature templet through encrypted.Moreover,the proposed method also realizes mutual authentication between gateway node and user,which can guarantee security of network resources effectively.Theoretical analysis results show that the proposed method has higher safety performance than traditional access authentication methods.

wireless sensor networks(WSNs); iris feature; access and authentication method; user liveness detection

2015—11—13

國家自然科學(xué)基金資助項(xiàng)目(61501217)；江西省教育廳科技計(jì)劃項(xiàng)目(GJJ14542)；南昌航空大學(xué)博士啟動(dòng)金項(xiàng)目(EA201520009)

TP 393

A

1000—9787(2016)08—0060—03

陳英(1981-)，男，江西撫州臨川人，博士，講師，主要研究方向?yàn)闊o線傳感器網(wǎng)絡(luò)、物聯(lián)網(wǎng)、圖像處理、生物特征識(shí)別。

DOI:10.13873/J.1000—9787(2016)08—0060—03