王 牧，亢保元，景東亞

(天津工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與軟件學(xué)院，天津 300387)

無(wú)線傳感器網(wǎng)絡(luò)中身份認(rèn)證與密鑰共識(shí)方案

王 牧，亢保元，景東亞

(天津工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與軟件學(xué)院，天津 300387)

隨著無(wú)線通信技術(shù)的飛速發(fā)展，無(wú)線傳感器網(wǎng)絡(luò)(WSN)已經(jīng)在軍事、環(huán)境檢測(cè)、工業(yè)以及醫(yī)療等領(lǐng)域得到廣泛應(yīng)用，且逐漸成為最有潛力的技術(shù)之一。然而，因?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)是通過(guò)無(wú)線信道傳送信息，傳感器節(jié)點(diǎn)通常是部署在無(wú)人看管的環(huán)境中并且受到計(jì)算能力和能量的限制，所以無(wú)線傳感器網(wǎng)絡(luò)比起傳統(tǒng)網(wǎng)絡(luò)更容易受到各種各樣的攻擊。最近Sheetal Kalra提出一種無(wú)線傳感器網(wǎng)絡(luò)中基于口令的認(rèn)證方案，并聲稱這個(gè)方案可以抵抗各種攻擊。但是，Sheetal Kalra的方案容易受到來(lái)自用戶的假冒攻擊。文中提出了一種安全高效的基于口令的身份認(rèn)證與密鑰共識(shí)方案，并給出了安全性分析，以此證明該方案可以滿足無(wú)線傳感器網(wǎng)絡(luò)中的安全需求。

身份認(rèn)證；密鑰共識(shí)；傳感器網(wǎng)絡(luò)；安全性

1 概 述

無(wú)線傳感器網(wǎng)絡(luò)(WSN)是由大量細(xì)小的傳感器構(gòu)成的無(wú)線網(wǎng)絡(luò)，協(xié)作地感知、采集、處理和傳輸網(wǎng)絡(luò)覆蓋地理區(qū)域內(nèi)被感知對(duì)象的信息，并最終把這些信息發(fā)送給網(wǎng)絡(luò)的所有者。無(wú)線傳感器網(wǎng)絡(luò)通常帶有敏感的數(shù)據(jù)工作在不安全的環(huán)境中，因此傳感器網(wǎng)絡(luò)的安全性是無(wú)線傳感器網(wǎng)絡(luò)應(yīng)用的首要問(wèn)題。在傳統(tǒng)的無(wú)線傳感器網(wǎng)絡(luò)中，網(wǎng)關(guān)節(jié)點(diǎn)(GWN)通常用來(lái)連接外部的傳感器與用戶。傳感器、用戶以及網(wǎng)關(guān)之間的通信必須在安全的認(rèn)證協(xié)議保障下才可以進(jìn)行。用戶、網(wǎng)關(guān)、傳感器之間必須通過(guò)相互的認(rèn)證并達(dá)成共享的密鑰之后才可以進(jìn)行通信。

典型的傳感器節(jié)點(diǎn)通常很小，感應(yīng)、通信和計(jì)算能力均受到所攜帶電量的限制，減少傳感器的能量損耗可以延長(zhǎng)傳感器的生命周期。因?yàn)闊o(wú)線傳感器網(wǎng)絡(luò)的工作受到計(jì)算能力和電量的限制，所以傳統(tǒng)的網(wǎng)絡(luò)安全協(xié)議不能直接應(yīng)用在無(wú)線傳感器網(wǎng)絡(luò)中。因此，設(shè)計(jì)出安全高效、低損耗的無(wú)線傳感器網(wǎng)絡(luò)認(rèn)證協(xié)議是面臨的一項(xiàng)重要挑戰(zhàn)。

近年來(lái)，很多身份認(rèn)證和密鑰共識(shí)方案相繼提出。2004年，Watro等[1]提出了基于公鑰加密的方案，但該方案計(jì)算量大、效率低；2009年，Das[2]指出Watro的方案不能抵抗假冒攻擊和重放攻擊，并提出了包含網(wǎng)關(guān)節(jié)點(diǎn)的無(wú)線傳感器網(wǎng)絡(luò)的雙方認(rèn)證方案。盡管這個(gè)方案是高效的，但是不能提供相互認(rèn)證和共享密鑰；2010年，He等[3]和Khan等[4]分別改進(jìn)了Das的方案。改進(jìn)方案在網(wǎng)關(guān)節(jié)點(diǎn)和傳感器節(jié)點(diǎn)之間利用口令的哈希值而不是直接利用口令進(jìn)行相互認(rèn)證，但是這個(gè)方案中網(wǎng)關(guān)節(jié)點(diǎn)的存儲(chǔ)空間受到限制，并且口令更新階段難以實(shí)現(xiàn)。2010年，Chen等[5]提出了用戶、網(wǎng)關(guān)節(jié)點(diǎn)、傳感器節(jié)點(diǎn)間的認(rèn)證方案，但是這個(gè)方案容易受到偽造攻擊和重放攻擊；2011年，Yeh等[6]提出了基于ECC的遠(yuǎn)程認(rèn)證方案，該方案與其他方案相比計(jì)算量大很多；2013年，He等[7]提出了移動(dòng)設(shè)備中的口令認(rèn)證方案；2015年，He等[8]提出了基于臨時(shí)證書的匿名認(rèn)證方案。

2013年，Xue等[9]提出了基于臨時(shí)證書的相互認(rèn)證和密鑰共識(shí)方案，該方案提供了用戶、網(wǎng)關(guān)節(jié)點(diǎn)、傳感器節(jié)點(diǎn)之間的相互認(rèn)證和共享密鑰。2015年，Sheetal Kalra[10]指出Xue的方案不能抵抗假冒攻擊和智能卡丟失攻擊等，并提出了高效的無(wú)線傳感器網(wǎng)絡(luò)中基于口令的認(rèn)證方案。然而Sheetal Kalra提出的方案不能抵抗因數(shù)據(jù)庫(kù)泄露和智能卡丟失而產(chǎn)生的假冒攻擊[11]，此外，方案不能達(dá)成正確的共享密鑰。

2015年，Sheetal Kalra提出了基于口令的無(wú)線傳感器網(wǎng)絡(luò)認(rèn)證方案，該方案提供了用戶、傳感器、網(wǎng)關(guān)節(jié)點(diǎn)之間的相互認(rèn)證并達(dá)成了共享密鑰。文中分析了Sheetal Kalra提出的方案，發(fā)現(xiàn)這個(gè)方案容易在數(shù)據(jù)庫(kù)泄露和用戶智能卡丟失的情況下受到用戶的假冒攻擊，并且不能達(dá)成正確的共享密鑰。

因此，文中提出了一種改進(jìn)的帶有智能卡的認(rèn)證方案，解決了Sheetal Kalra方案中的安全性問(wèn)題并且達(dá)成了正確的共享密鑰[12]。此外，還給出了新方案的安全性分析，以此證明該方案可以滿足無(wú)線傳感器網(wǎng)絡(luò)中的安全需求。

2 Sheetal Kalra方案

2015年，Sheetal Kalra提出了高效的無(wú)線傳感器網(wǎng)絡(luò)中基于口令的認(rèn)證方案。在這個(gè)方案中，假設(shè)攻擊者不可以攔截到通過(guò)安全信道傳送的信息，攻擊者可以攔截到通過(guò)無(wú)線公共信道傳送的信息，并有能力更改、刪除、轉(zhuǎn)發(fā)這些信息，如果用戶的智能卡丟失，攻擊者可以提取出智能卡中的數(shù)據(jù)[13]。該方案包括四個(gè)階段：注冊(cè)階段，登錄階段，認(rèn)證和密鑰共識(shí)階段，口令改變階段。

相關(guān)參數(shù)見(jiàn)表1。

表1 相關(guān)參數(shù)

3 安全性分析

Sheetal Kalra聲稱他們的方案可以抵抗各種各樣的攻擊，通過(guò)仔細(xì)分析，筆者發(fā)現(xiàn)這個(gè)方案不能抵抗數(shù)據(jù)庫(kù)泄露攻擊和智能卡丟失攻擊。此外，該方案中用戶、傳感器節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)之間并不能得到共享密鑰[14]，詳細(xì)分析如下。

3.1 數(shù)據(jù)庫(kù)泄露攻擊

綜上所述，如果網(wǎng)關(guān)節(jié)點(diǎn)的數(shù)據(jù)庫(kù)泄露，一個(gè)惡意的用戶Uk能夠得到x和yi，而且可以進(jìn)行用戶假冒攻擊。

3.2 智能卡丟失攻擊

3.3 錯(cuò)誤的共享密鑰

在注冊(cè)階段，用戶Ui向網(wǎng)關(guān)節(jié)點(diǎn)提交了Ei,Fi而不真正的IDi，網(wǎng)關(guān)節(jié)點(diǎn)也沒(méi)有儲(chǔ)存真正的IDi。在登錄階段為了實(shí)現(xiàn)匿名性，智能卡發(fā)送匿名身份CIDi=Ei⊕H(yi)⊕H(x)⊕N1而不是用戶的真正身份信息IDi，所以在登錄及認(rèn)證階段都沒(méi)有用戶的真正身份信息IDi。也就是說(shuō)，傳感器節(jié)點(diǎn)和網(wǎng)關(guān)節(jié)點(diǎn)都不可能得到用戶Ui的身份信息IDi，然而生成的共享密鑰SK=H(H(IDi‖yi‖N1)‖(N1‖N2‖N3))中卻包含了IDi，所以認(rèn)為得到的這個(gè)共享密鑰是錯(cuò)誤的。

4 改進(jìn)方案

圖1 文中方案

4.1 注冊(cè)階段

用戶Ui首先要向網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行注冊(cè)，注冊(cè)階段都是在安全信道中進(jìn)行的。

用戶Ui選取一個(gè)隨機(jī)數(shù)n，計(jì)算Ei=H(n‖Pi)，然后把IDi,Ei通過(guò)安全信道提交給網(wǎng)關(guān)節(jié)點(diǎn)。

Step1:Ui→GWN:IDi,Ei

網(wǎng)關(guān)節(jié)點(diǎn)收到IDi,Ei之后，計(jì)算Fi=H(IDi‖x),Ji=H(IDi‖Ei),Di=Ei⊕Fi，網(wǎng)關(guān)節(jié)點(diǎn)把(Ji,Di,g,yGWN,H(·))存儲(chǔ)在智能卡中并把智能卡通過(guò)安全信道頒發(fā)給用戶。

Step2:GWN→Ui:SmartCard

當(dāng)用戶收到智能卡之后，計(jì)算Bi=n⊕H(IDi‖Pi)，并把Bi保存在智能卡中，最終智能卡存儲(chǔ)了(Ji,Di,Bi,g,yGWN,H(·))。

每一個(gè)傳感器節(jié)點(diǎn)也要在網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行注冊(cè)。當(dāng)傳感器節(jié)點(diǎn)用它的身份SIDj向網(wǎng)關(guān)節(jié)點(diǎn)注冊(cè)時(shí)，網(wǎng)關(guān)節(jié)點(diǎn)計(jì)算H(SIDj‖x)，然后把H(SIDj‖x)提交給傳感器節(jié)點(diǎn)保存。

4.2 登錄階段

Step2:SmartCard→GWN:Gi,Hi,Di,yi,CIDi,SIDj網(wǎng)關(guān)節(jié)點(diǎn)根據(jù)傳感器身份SIDj，把收到的請(qǐng)求轉(zhuǎn)發(fā)給附近的傳感器節(jié)點(diǎn)。

4.3 認(rèn)證和密鑰共識(shí)階段

收到網(wǎng)關(guān)節(jié)點(diǎn)發(fā)來(lái)的登錄請(qǐng)求之后，傳感器節(jié)點(diǎn)選取一個(gè)隨機(jī)數(shù)N2，計(jì)算Mi=H(SIDj‖x)⊕N2,Ki=H(H(SIDj‖x)‖N2)，之后傳感器節(jié)點(diǎn)把登錄請(qǐng)求(Gi,Hi,Di,yi,CIDi,SIDj,Mi,Ki)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)。

網(wǎng)關(guān)節(jié)點(diǎn)生成一個(gè)隨機(jī)數(shù)N3，計(jì)算Qi=N1⊕N3⊕H(SIDj‖N2),Ri=H(Ei‖F(xiàn)i)⊕H(N1⊕N2⊕N3),Vi=H(H(Ei‖F(xiàn)i)‖H(N1⊕N2⊕N3)),Ti=N2⊕N3⊕H(Ei‖F(xiàn)i‖N1)，網(wǎng)關(guān)節(jié)點(diǎn)把(Qi,Ri,Vi,Ti)作為相互認(rèn)證的信息發(fā)給傳感器節(jié)點(diǎn)。

Step4:GWN→Sj:Qi,Ri,Vi,Ti

Step6:SmartCard checksVi′?=Vi

最終，用戶Ui，傳感器節(jié)點(diǎn)Sj，網(wǎng)關(guān)節(jié)點(diǎn)GWN達(dá)成了一個(gè)共享密鑰SK=H(H(Ei‖F(xiàn)i)‖(N1⊕N2⊕N3))。

4.4 口令改變階段

5 改進(jìn)方案的安全性分析

在提出的方案中，即使智能卡中的信息被攻擊者提取出，攻擊者也不能利用這些信息成功攻擊這個(gè)方案。下面是安全性分析的具體細(xì)節(jié)。

5.1 智能卡丟失攻擊

在這種攻擊中，攻擊者需要偽造一個(gè)登陸請(qǐng)求(Gi,Hi,Di,yi,CIDi)來(lái)假冒合法用戶，然而攻擊者并不能計(jì)算Gi=H(Ai)⊕N1,Hi=H(Fi‖Ei‖N1),Di=Ei⊕Fi,CIDi=Ei⊕H(Gi‖N1)，因?yàn)楣粽卟](méi)有Ai,Ei,Fi。

5.2 數(shù)據(jù)庫(kù)泄露攻擊

在Sheetal Kalra的方案中，如果網(wǎng)關(guān)節(jié)點(diǎn)的數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)Ji和yi⊕x泄露給攻擊者Uk，攻擊者就可以從中得到x，進(jìn)而得到每個(gè)用戶的yi，所以可以進(jìn)行假冒攻擊。而文中方案的網(wǎng)關(guān)節(jié)點(diǎn)數(shù)據(jù)庫(kù)中并沒(méi)有存儲(chǔ)任何有關(guān)用戶和傳感器節(jié)點(diǎn)的信息，所以攻擊者不能利用數(shù)據(jù)庫(kù)泄露得到用戶的相關(guān)信息，也就不可能進(jìn)行假冒攻擊。

5.3 重放攻擊

假設(shè)攻擊者截獲到用戶和網(wǎng)關(guān)節(jié)點(diǎn)之間的信息，想要把截獲到的信息再次發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)來(lái)假冒合法用戶。用戶計(jì)算Gi=H(Ai)⊕N1,CIDi=Ei⊕H(Gi‖N1),Hi=H(Fi‖Ei‖N1)，網(wǎng)關(guān)節(jié)點(diǎn)計(jì)算Qi=N1⊕N3⊕H(SIDj‖N2),Ri=H(Ei‖F(xiàn)i)⊕H(N1⊕N2⊕N3),Vi=H(H(Ei‖F(xiàn)i)‖H(N1⊕N2⊕N3)),Ti=N2⊕N3⊕H(Ei‖F(xiàn)i‖N1),Mi=H(SIDj‖x)⊕N2,Ki=H(H(SIDj‖x)‖N2)，傳感器節(jié)點(diǎn)計(jì)算Mi=H(SIDj‖x)⊕N2,Ki=H(H(SIDj‖x)‖N2)時(shí)，每次通信都選取不同的N1,N2,N3以保證每次發(fā)送的消息都是不同的，所以重放攻擊是無(wú)效的。

5.4 用戶的匿名性

在注冊(cè)階段，用戶和網(wǎng)關(guān)節(jié)點(diǎn)之間是在安全信道中進(jìn)行通信，可以保護(hù)用戶的身份。在登錄階段，用戶用CIDi=Ei⊕H(Gi‖N1)代替真正的身份來(lái)登錄，所以攻擊者不能得到真正的IDi。在認(rèn)證和密鑰共識(shí)階段，所有的計(jì)算都是在Ei,Fi的基礎(chǔ)上進(jìn)行的而不是真正的身份IDi。此外用戶每次登錄的動(dòng)態(tài)身份CIDi包含隨機(jī)數(shù)N1，所以用戶每次登陸的身份不同，因此攻擊者不能根據(jù)登錄請(qǐng)求來(lái)判斷具體是哪一個(gè)用戶。

5.5 正確的相互認(rèn)證和密鑰共識(shí)

6 結(jié)束語(yǔ)

文中指出了Sheetal Kalra的方案容易在數(shù)據(jù)庫(kù)泄露和用戶智能卡丟失的情況下受到用戶的假冒攻擊，而且，Sheetal Kalra方案也不能提供正確的共享密鑰。于是，提出了一種新的相互認(rèn)證和密鑰共識(shí)方案。該方案可以滿足無(wú)線傳感器網(wǎng)絡(luò)相互認(rèn)證和密鑰共識(shí)方案的所有安全需求。與Sheetal Kalra的方案以及其他相關(guān)方案相比，該方案的網(wǎng)關(guān)節(jié)點(diǎn)數(shù)據(jù)庫(kù)中并沒(méi)有存儲(chǔ)任何信息，即使智能卡丟失，攻擊者也無(wú)法進(jìn)行假冒攻擊。此外，該方案保證了用戶在通信過(guò)程中的匿名性，并提供了安全的共享密鑰，計(jì)算量也相對(duì)較小，所以更安全、更高效。

[1] WATRO R,KONG D,CUTI S F,et al.TinyPK:securing sensor networks with public key technology[C]//Proceedings of the 2nd ACM workshop on security of ad hoc and sensor networks.[s.l.]:ACM,2004:59-64.

[2] DAS M L.Two-factor user authentication in wireless sensor networks[J].IEEE Transactions on Wireless Communications,2009,8(3):1086-1090.

[3] HE D,GAO Y,CHAN S,et al.An enhanced two-factor user authentication scheme in wireless sensor networks[J].Ad Hoc & Sensor Wireless Networks,2010,10(4):361-371.

[4] KHAN M K, ALGHATHBAR K. Cryptanalysis and security improvements of ‘two-factor user authentication in wireless sensor networks’[J].Sensors,2010,10(3):2450-2459.

[5] CHEN T H,SHIH W.A robust mutual authentication protocol for wireless sensor networks[J].ETRI Journal,2010,32(5):704-712.

[6] HSIU-LIEN Y,CHEN T H,LIU P C,et al.A secured authentication protocol for wireless sensor networks using elliptic curves cryptography[J].Sensors,2011,11(5):4767-4779.

[7] HE D,CHEN C,MA M,et al.A secure and efficient password-authenticated group key exchange protocol for mobile ad hoc networks[J].International Journal of Communication Systems,2013,26(4):495-504.

[8] HE D,KUMAR N,CHILAMKURTI N.A secure temporal-credential-based mutual authentication and key agreement scheme with pseudo identity for wireless sensor networks[C]//International symposium on wireless and pervasive computing.[s.l.]:[s.n.],2015:263-277.

[9] XUE K,MA C,HONG P,et al.A temporal-credential-based mutual authentication and key agreement scheme for wireless sensor networks[J].Journal of Network & Computer Applications,2013,36(1):316-323.

[10] KALRA S,SOOD S K.Advanced password based authentication scheme for wireless sensor networks[J].Journal of Information Security & Applications,2015,20:37-46.

[11] 趙澤茂.數(shù)字簽名理論[M].北京：科學(xué)出版社,2007.

[12] 張亦辰，李繼國(guó)，湯 銘.自認(rèn)證公鑰代理簽名方案[J].北京電子科技學(xué)院報(bào),2005,13(2):19-22.

[13] 張興華.指定驗(yàn)證人無(wú)第三方代理多重簽名方案[J].信息安全與通信保密,2014(2):85-87.

[14] 張玉磊，周冬瑞，李臣意，等.高效的無(wú)證書廣義指定驗(yàn)證者聚合簽名方案[J].通信學(xué)報(bào),2015,36(2):48-55.

AnIdentityAuthenticationandKeyAgreementSchemeforWirelessSensorNetwork

WANG Mu，KANG Bao-yuan，JING Dong-ya

(School of Computer Science and Software Engineering,Tianjin Polytechnic University,Tianjin 300387,China)

With rapid development of wireless communication technology,Wireless Sensor Network (WSN),as one of most gradually potential technologies,can be widely used in various fields such as military,environmental detection,industrial control,and medical monitoring.However,WSN is vulnerable to various attacks than traditional ones because it transmits data by using a wireless channel,and the sensors are commonly deployed in unattended environment and limited with computational and the energy resources.Recently,Sheetal Kalra proposed an advanced password based authentication scheme for wireless sensor network and claimed that it is secure against various type of security attacks.But it is subjected to impersonation attack from the users.For this,a password-based authentication and key agreement scheme for wireless sensor network is proposed.Through security analysis,it is proved that the proposed scheme is more suitable for providing security for various applications in WSN.

identity authentication;key agreement;wireless sensor network;security

TP918

A

1673-629X(2017)12-0098-05

10.3969/j.issn.1673-629X.2017.12.022

2016-08-12

2016-12-21 < class="emphasis_bold">網(wǎng)絡(luò)出版時(shí)間

時(shí)間：2017-09-27

天津市應(yīng)用基礎(chǔ)與前沿技術(shù)研究計(jì)劃(15JCYBJC15900)

王 牧(1990-),男,碩士研究生,研究方向?yàn)樾畔踩豢罕Ｔ?博士,教授,研究方向?yàn)樾畔踩?/p>

http://kns.cnki.net/kcms/detail/61.1450.TP.20170927.0957.008.html