何文才　李　娜　劉培鶴　繆浩健　孫亞飛

1(西安電子科技大學(xué)通信工程學(xué)院　陜西 西安 710071)2(北京電子科技學(xué)院通信工程系　北京 100070)

0　引　言

近年來(lái)，WSN作為物聯(lián)網(wǎng)的底層網(wǎng)絡(luò)隨著物聯(lián)網(wǎng)的迅猛崛起也得到了快速的發(fā)展。WSN中節(jié)點(diǎn)相關(guān)參數(shù)的更新就是小數(shù)據(jù)分發(fā)[1]。由于要經(jīng)常調(diào)整WSN節(jié)點(diǎn)的相關(guān)數(shù)據(jù)，因此，在無(wú)線傳感器網(wǎng)絡(luò)中小數(shù)據(jù)分發(fā)的安全機(jī)制是十分重要的。

在無(wú)線傳感器網(wǎng)絡(luò)中，sink節(jié)點(diǎn)組成了該網(wǎng)絡(luò)的骨干網(wǎng)，如果將系統(tǒng)的主密鑰保存在單獨(dú)的某個(gè)節(jié)點(diǎn)，那么該骨干網(wǎng)十分容易由于惡意節(jié)點(diǎn)的攻擊而導(dǎo)致癱瘓。Ibriq等[2]提出了一種高效的層次密鑰模型，但是，一些節(jié)點(diǎn)必須在表中保留每個(gè)節(jié)點(diǎn)的信息來(lái)支持節(jié)點(diǎn)的移動(dòng)。Das M L[3]第一個(gè)提出了基于智能卡和口令的用戶(hù)認(rèn)證方案，但是該方案中存在了諸如離線字典攻擊以及節(jié)點(diǎn)捕獲攻擊等。Arikumar等[4]指出了Das M L提出方案的不足，同時(shí)，提出一種雙向認(rèn)證的方案，但是，該方案中當(dāng)共享密鑰被破解時(shí)，整個(gè)網(wǎng)絡(luò)就會(huì)喪失所有的抵御能力。Fantacci等[5]提出了一種新的模型，該模型使用分布式節(jié)點(diǎn)認(rèn)證，不需要把認(rèn)證中心設(shè)置為基站。但是該方案存在一定不足，比如，計(jì)算和通信的開(kāi)支會(huì)隨著認(rèn)證請(qǐng)求的增加而增加。為解決這一問(wèn)題，Han等[6]提出了一種方案，該方案可以實(shí)現(xiàn)高效率認(rèn)證，但是在節(jié)點(diǎn)初始化過(guò)程中，該方案存在認(rèn)證效率低，通信開(kāi)銷(xiāo)比較大的問(wèn)題。

本文針對(duì)上述方案的缺陷，提出使用門(mén)限思想進(jìn)行無(wú)線傳感器網(wǎng)絡(luò)骨干網(wǎng)的組網(wǎng)，將該系統(tǒng)主密鑰的秘密份額交給多簇頭節(jié)點(diǎn)掌握。然后根據(jù)門(mén)限秘密共享的機(jī)制建立安全系數(shù)高的骨干網(wǎng)[7]。在骨干網(wǎng)中接入普通節(jié)點(diǎn)時(shí)，本方案使用結(jié)合TCP SYN-Cookie原理的雙向認(rèn)證技術(shù)，用以抵御惡意節(jié)點(diǎn)攻擊。在數(shù)據(jù)傳輸安全方面，采用輕量級(jí)加密算法LED。本文的重點(diǎn)在于所提出來(lái)的安全方案，并且結(jié)合實(shí)際的傳感器節(jié)點(diǎn)測(cè)試，對(duì)WSN中數(shù)據(jù)分發(fā)安全方案進(jìn)行研究。

1　基礎(chǔ)知識(shí)

1.1　TCP SYN-Cookie技術(shù)

SYN Cookie原理是由D.J. Bernstain和Eric Schenk提出的，該技術(shù)是對(duì)TCP/IP協(xié)議中服務(wù)器端的三次握手過(guò)程做一些修改，達(dá)到抵御半連接攻擊這一目的[8]。其基本原理是：在三次握手過(guò)程中，當(dāng)服務(wù)器端接收到客戶(hù)端發(fā)來(lái)的TCP SYN包之后，服務(wù)器端返回給客戶(hù)端一個(gè)TCP SYN+ACK包，同時(shí)，服務(wù)器端不分配一個(gè)特定的數(shù)據(jù)區(qū)，而是根據(jù)客戶(hù)端發(fā)送過(guò)來(lái)的SYN包計(jì)算出一個(gè)cookie值。該cookie值是服務(wù)器端要回應(yīng)給客戶(hù)端的SYN ACK數(shù)據(jù)包的初始序列號(hào)。當(dāng)客戶(hù)端返回給服務(wù)器端一個(gè)ACK數(shù)據(jù)包時(shí)，按照包頭信息來(lái)獲取cookie值，和回復(fù)的確認(rèn)序列號(hào)相比，也就是和初始序列號(hào)+1相比，若相等，那么說(shuō)明該連接不存在惡意服務(wù)攻擊。同時(shí)，服務(wù)器為本次請(qǐng)求提供資源分配并建立連接，從而抵御DDOS攻擊。

本次連接中的狀態(tài)信息是cookie值計(jì)算中一個(gè)重要的參數(shù)，該狀態(tài)信息是無(wú)法被攻擊者所仿造的。計(jì)算一個(gè)服務(wù)器端所接收到SYN包的摘要為：

mac=Mac(AM,k)

(1)

式中：Mac(·)是密碼學(xué)中的一個(gè)消息認(rèn)證函數(shù)，帶密鑰的hash函數(shù)，k是服務(wù)器的私鑰，將消息摘要作為服務(wù)器端序列號(hào)發(fā)送給客戶(hù)端。

AM=SOURCEIP‖SOURCEPORT‖

DSTIP‖DSTPORT‖t‖MSSIND

把ACK包的ack_seq-1，得到原來(lái)計(jì)算的cookie。把ACK包的seq-1，得到SYN段的seq。

cookie=cookie_hash(saddr,daddr,sport,

dport,0,0)+seq+(t1<<24)+

(cookie_hash(saddr,daddr,sport,

dport,t1,1)+mssind)%24

(2)

SYN-Cookie過(guò)程如圖1所示。

圖1　SYN-Cookie過(guò)程

1.2　 LED輕量級(jí)加密算法

本方案使用LED輕量級(jí)加密算法對(duì)數(shù)據(jù)進(jìn)行加密處理，來(lái)提高方案的安全性。在2011年的CHES會(huì)議上，Guo等[9]提出了該輕量級(jí)加密算法LED，該加密算法是一種典型的適用于資源受限的加密算法。其分組長(zhǎng)度為64 bit，支持64/128 bit的密鑰長(zhǎng)度，加密輪數(shù)為32輪。LED輕量級(jí)加密算法采用的是AES-like結(jié)構(gòu)，該結(jié)構(gòu)的安全界限有理論保障。AES-like結(jié)構(gòu)需要進(jìn)行多輪的迭代，每一次的迭代過(guò)程為：首先進(jìn)行密鑰的“異或”，然后進(jìn)行密鑰的代換，接著是進(jìn)行移位行，最后進(jìn)行混淆列。其中，代換是非線性變換，多由S盒組成。S盒和線性變換的行移位于列混淆組合起來(lái)的運(yùn)算迭代多輪，便可以實(shí)現(xiàn)香農(nóng)提出的擴(kuò)散和混淆的設(shè)計(jì)原則[10]。

2　安全方案

本文選取LED加密算法來(lái)對(duì)數(shù)據(jù)進(jìn)行加密處理，同時(shí)使用結(jié)合TCP SYN-Cookie原理的雙向認(rèn)證以及密鑰協(xié)商技術(shù)，研究并且設(shè)計(jì)了一種WSN中小數(shù)據(jù)分發(fā)的安全方案。在無(wú)線傳感器網(wǎng)絡(luò)中，中間人攻擊這一問(wèn)題是十分棘手的問(wèn)題，為了解決這一問(wèn)題，本文使用可信第三方頒發(fā)的證書(shū)和產(chǎn)生隨機(jī)數(shù)增加臨時(shí)密鑰算法并且結(jié)合TCP SYN-Cookie技術(shù)來(lái)實(shí)現(xiàn)雙向認(rèn)證和密鑰協(xié)商。與其他方案相比，本方案具較高的安全性，同時(shí)計(jì)算存儲(chǔ)以及內(nèi)存存儲(chǔ)容量小、效率高，更加適合資源受限的無(wú)線傳感器網(wǎng)絡(luò)。本方案由三部分組成，分別是注冊(cè)、登錄以及雙向認(rèn)證和密鑰協(xié)商。本方案的簡(jiǎn)單流程如圖2所示。

圖2　方案總體流程圖

2.1　注冊(cè)階段

用戶(hù)要訪問(wèn)WSN時(shí)，首先要在GWN進(jìn)行注冊(cè)。注冊(cè)階段的步驟如下所示：

(3)

其中，n是用戶(hù)選取的隨機(jī)數(shù)。

第二步：網(wǎng)關(guān)節(jié)點(diǎn)GWN接收到來(lái)自用戶(hù)的信息之后，通過(guò)以下計(jì)算公式將安全參數(shù)Ku和M、網(wǎng)關(guān)節(jié)點(diǎn)的身份標(biāo)識(shí)信息IDGW以及函數(shù)H(·)寫(xiě)入智能卡中，并且通過(guò)可靠的信道發(fā)給用戶(hù)。

(4)

其中，x是網(wǎng)關(guān)節(jié)點(diǎn)的秘密信息。

最后，通過(guò)式(5)計(jì)算后將{N,W,h(·)}存入智能卡。

(5)

2.2　登錄階段

用戶(hù)想要獲取WSN中的數(shù)據(jù)，就必須將智能卡放入終端，同時(shí)輸入用戶(hù)標(biāo)識(shí)信息IDi和口令PWi，然后通過(guò)式(6)計(jì)算來(lái)驗(yàn)證W*與智能卡上的W，若二者數(shù)據(jù)相同，則該用戶(hù)是合法的，否則退出。

(6)

(7)

其中，a為一個(gè)隨機(jī)數(shù)，T1是時(shí)間戳。

注冊(cè)過(guò)程示意圖如圖3所示。

圖3　注冊(cè)過(guò)程

2.3　雙向認(rèn)證和密鑰協(xié)商

第一步：傳感器節(jié)點(diǎn)先對(duì)時(shí)間戳T1進(jìn)行驗(yàn)證，通過(guò)驗(yàn)證之后，傳感器節(jié)點(diǎn)根據(jù)所接收到的登錄信息生成set-cookie，然后將相應(yīng)結(jié)果發(fā)給用戶(hù)，用戶(hù)再次發(fā)起請(qǐng)求。傳感器節(jié)點(diǎn)接收到用戶(hù)的對(duì)SYN ACK的確認(rèn)包之后，從該ACK包中取出確認(rèn)號(hào)。判斷

ack-1=cookie_hash(saddr,daddr,sport,dport,0,0)-seq

是否成立，若成立，則繼續(xù)，否則，拒絕請(qǐng)求。

第二步：計(jì)算：

(8)

(9)

如果驗(yàn)證成立，則繼續(xù)下面步驟，否則，停止。

第四步：GWN進(jìn)行下面計(jì)算之后，將消息{E,F,T3}以及SYN數(shù)據(jù)包發(fā)送給傳感器節(jié)點(diǎn)。其中，T3是當(dāng)前的時(shí)間戳。

(10)

第五步：傳感器節(jié)點(diǎn)接收到來(lái)自網(wǎng)關(guān)節(jié)點(diǎn)的數(shù)據(jù)之后，先判斷時(shí)間戳的新鮮性，若新鮮，按照第一步的方法進(jìn)行驗(yàn)證該網(wǎng)關(guān)是否存在惡意攻擊。排除存在惡意攻擊這一可能之后判斷等式VerkGS(A‖B‖C‖D‖T3,F)=1是否成立，如果等式成立，則說(shuō)明GWN是合法的。

第六步：傳感器節(jié)點(diǎn)通過(guò)下面的計(jì)算得到會(huì)話密鑰SK，然后將時(shí)間戳T4等信息{B,E,P,T3,T4}以及SYN包發(fā)送給用戶(hù)。

(11)

第七步：用戶(hù)接收到消息之后，先對(duì)驗(yàn)證T4的新鮮性，驗(yàn)證通過(guò)之后，再進(jìn)行第一步的驗(yàn)證。驗(yàn)證了該網(wǎng)關(guān)節(jié)點(diǎn)不存在惡意攻擊之后，驗(yàn)證VerKU(A‖B‖C‖T3,E)=1是否成立來(lái)判斷網(wǎng)關(guān)節(jié)點(diǎn)是否為合法的。如果等式成立，那么繼續(xù)；否則，終止。

第八步：用戶(hù)通過(guò)下面的計(jì)算，來(lái)驗(yàn)證P*=P是否成立，若成立，則得出會(huì)話密鑰為SK。

(12)

雙向認(rèn)證以及密鑰協(xié)商的流程圖如圖4所示。

圖4　雙向認(rèn)證和密鑰協(xié)商過(guò)程

2.4　具有保密性的小數(shù)據(jù)分發(fā)方案

在經(jīng)過(guò)雙向認(rèn)證以及密鑰協(xié)商之后，將產(chǎn)生的密鑰SK作為L(zhǎng)ED輕量級(jí)加密算法的密鑰。加密過(guò)程是對(duì)64 bit數(shù)據(jù)分組交替地運(yùn)用輪密鑰加roundAdd和步函數(shù)，輪密鑰加是通過(guò)“異或”的方式，將密鑰引入狀態(tài)，步函數(shù)用來(lái)完成主要的變換，通過(guò)多輪運(yùn)算之后就能得到密文數(shù)據(jù)分組。

(mi×4,mi×4+1,mi×4+2,mi×4+3):=S(ni)=

S(mi×4,mi×4+1,mi×4+2,mi×4+3)

(13)

S盒可表示為：

n01234567S(n)C56B90ADn89ABCDEFS(n)3EF84712

ShiftRow是把中間狀態(tài)視為4×4的矩陣：

(14)

當(dāng)i=0,1,2,3時(shí)，把矩陣的第i行循環(huán)左移i個(gè)nibble的位置；MixColumnsSerial是把矩陣連續(xù)進(jìn)行4次左乘，其中不可約多項(xiàng)式為X4+X+1，具體如下所示：

(15)

取輪密鑰：將主密鑰看成nibble的序列k0,k1,…,kl，并且把第i個(gè)子密鑰KSi表示成nibble矩陣，如下所示：

取密鑰的操作表示為：

(16)

加密過(guò)程的偽代碼如下所示：

for (i=0;i≤s-1;i++)

{

roundAdd(STATE,Ki);

Step(STATE);

}

roundAdd(STATE,Ks)

3　性能分析

3.1　安全性分析

WSN采用無(wú)線傳輸?shù)姆绞剑褂玫膫鬏斝诺朗遣话踩?，本文中提出的方案可以使該網(wǎng)絡(luò)進(jìn)行通信的對(duì)象得到本次通信所使用的密鑰，采取“一次一密”的方式。小數(shù)據(jù)分發(fā)過(guò)程中的數(shù)據(jù)只需要保密數(shù)小時(shí)，攻擊者想要在短時(shí)間內(nèi)獲取密鑰的機(jī)會(huì)是不可能的。同時(shí)，本方案也采用了結(jié)合SYN Cookie技術(shù)的雙向認(rèn)證，能夠有效地抵御惡意攻擊、用戶(hù)仿冒攻擊、網(wǎng)關(guān)攻擊以及智能卡泄露攻擊。

LED輕量級(jí)密碼密碼算法的安全界限有理論保證，其擁有對(duì)相關(guān)密鑰差分攻擊的可證明安全性。所以可得出：每?jī)刹街锌隙ㄓ幸徊接?jì)算過(guò)程中差分不為0，對(duì)于n步的路徑，至少有[n/2]·25個(gè)活躍S盒，概率上界是2-[s/2]·50。

表1為在安全性方面，給出了本文所提出方案與其他方案的對(duì)比。其中，PIA表示特權(quán)內(nèi)部人攻擊；UIA表示用戶(hù)仿冒攻擊，GIA表示網(wǎng)關(guān)攻擊，SRA表示智能卡泄露攻擊，SK表示有會(huì)話密鑰產(chǎn)生；“√”表示能夠抵抗此類(lèi)攻擊；“×”表示不能抵抗攻擊。從表1中，我們可以得到：本方案相對(duì)于Das[3]方案、He[11]方案、Yoo[12]方案以及Yeh[13]方案能夠抵抗更多種諸如特權(quán)內(nèi)部人攻擊、用戶(hù)仿冒攻擊、網(wǎng)關(guān)攻擊以及智能卡泄露攻擊，同時(shí)，本方案還能夠產(chǎn)生會(huì)話密鑰SK，保證“一次一密”。

表1　方案抵御攻擊對(duì)比

3.2　存儲(chǔ)開(kāi)銷(xiāo)

無(wú)線傳感器網(wǎng)絡(luò)處于惡劣的環(huán)境中，其存儲(chǔ)以及能源受到嚴(yán)格的限制，因此，設(shè)計(jì)WSN安全方案時(shí)，必須考慮到存儲(chǔ)開(kāi)銷(xiāo)。Yeh等[13]提出的方案中，網(wǎng)關(guān)節(jié)點(diǎn)需要保存所有用戶(hù)的公鑰，在本方案中，智能卡只需要保存GSN的身份標(biāo)識(shí)數(shù)據(jù)，GSN只需要保存自己的私鑰以及公鑰，每個(gè)傳感器節(jié)點(diǎn)也只需要保存公鑰就好，大大縮小了存儲(chǔ)空間。同時(shí)，本方案中所使用的加密算法是LED輕量級(jí)加密算法，該加密算法不需要使用私鑰，簡(jiǎn)單高效。

接著，本文分別對(duì)幾種輕量級(jí)分組加密算法在不同的明文長(zhǎng)度下所需的內(nèi)存空間進(jìn)行整理和總結(jié)，整理總結(jié)結(jié)果如表2所示。

表2　三種加密方式不同明文長(zhǎng)度下所需內(nèi)存空間

3.3　計(jì)算開(kāi)銷(xiāo)

在其他比如基于ECC認(rèn)證的安全方案中，需要進(jìn)行多次的點(diǎn)乘操作以及橢圓曲線的運(yùn)算，相比于其他同類(lèi)的安全方案，本方案只需要若干哈希函數(shù)以及Mac(·)函數(shù)，大大減少了點(diǎn)乘的操作次數(shù)，這在很大程度上減少了計(jì)算開(kāi)銷(xiāo)。對(duì)于數(shù)據(jù)加密算法部分的計(jì)算開(kāi)銷(xiāo)，下面分別使用LED輕量級(jí)分組加密算法，TWINE輕量級(jí)分組加密算法以及AES傳統(tǒng)加密算法進(jìn)行加密64 bit、128 bit、256 bit、512 bit以及1 024 bit明文，然后繪制出加密明文長(zhǎng)度與加密時(shí)間比較圖。如圖5所示。

圖5　三種加密算法在相應(yīng)明文長(zhǎng)度下加密時(shí)間比較圖

由圖5可以得出：在加密小數(shù)據(jù)時(shí)，輕量級(jí)加密算法LED和TWINE的加密時(shí)間幾乎是傳統(tǒng)加密算法AES的十分之一，LED和TWINE的加密時(shí)間相差不大。同時(shí)，由于無(wú)線傳感器網(wǎng)絡(luò)具有特殊的資源，所以要選擇功耗小的加密算法，實(shí)現(xiàn)LED所需等效門(mén)數(shù)(GE)為1 040；而實(shí)現(xiàn)TWINE所需等效門(mén)數(shù)(GE)為1 503[14]。那么，對(duì)于無(wú)線傳感器網(wǎng)絡(luò)中小數(shù)據(jù)分發(fā)安全機(jī)制這一問(wèn)題，采用LED加密算法最為適宜。因此，本方案具有更高的計(jì)算效率，更加適合資源受限的無(wú)線傳感器網(wǎng)絡(luò)。

4　結(jié)　語(yǔ)

無(wú)線傳感器網(wǎng)絡(luò)是一個(gè)資源受到嚴(yán)格限制的分布式網(wǎng)絡(luò)，它是由包含了傳感器、數(shù)據(jù)處理單元和通信模塊的節(jié)點(diǎn)組建而成的。無(wú)線傳感器網(wǎng)絡(luò)中小數(shù)據(jù)分發(fā)是指對(duì)傳感器節(jié)點(diǎn)上相關(guān)參數(shù)進(jìn)行修改或者傳送一些命令，其安全性關(guān)系到整個(gè)無(wú)線傳感器網(wǎng)絡(luò)。本文通過(guò)將TCP SYN Cookie和雙向認(rèn)證技術(shù)進(jìn)行合理有效地結(jié)合起來(lái)，設(shè)計(jì)一種WSN小數(shù)據(jù)分發(fā)的安全方案。經(jīng)過(guò)分析和與同量級(jí)的方案進(jìn)行對(duì)比，本文提出的方案不僅可以保證小數(shù)據(jù)分發(fā)的安全性，同時(shí)也滿(mǎn)足無(wú)線傳感器網(wǎng)絡(luò)的環(huán)境資源限制。但是，在雙向認(rèn)證部分需要進(jìn)行多次對(duì)Cookie值進(jìn)行驗(yàn)證，占據(jù)了一部分CPU，接下來(lái)需要對(duì)這部分的算法進(jìn)行優(yōu)化，以獲得更加高效的安全方案。

[1] 陳得鵬. 無(wú)線傳感器網(wǎng)絡(luò)數(shù)據(jù)分發(fā)協(xié)議安全研究[D]. 上海:華東師范大學(xué), 2016.

[2] Ibriq J,Mahgoub I.A Hierarchical Key Establishment Scheme forWireless Sensor Networks[C]// International Conference on Advanced Information NETWORKING and Applications. IEEE, 2007:210-219.

[3] Das M L.Two-factor user authentication in wireless sensor networks[J].Wireless Communications,2009,8(3):1086-1090

[4] Arikumar K S, Thirumoorthy K. Improved user authentication in Wireless Sensor Networks[C]// International Conference on Emerging Trends in Electrical and Computer Technology. IEEE, 2011:1010-1015.

[5] Fantacci R, Chiti F, Maccari L. Fast distributed bi-directional authentication for wireless sensor networks[J]. Security and Communication Networks, 2008, 1(1): 17-24.

[6] Han K, Shon T, Kim K. Efficient mobile sensor authentication in smart home and WPAN[J]. IEEE Transactions on Consumer Elec-tronics, 2010, 56(2): 591-596.

[7] 王潮, 胡廣躍, 張煥國(guó). 無(wú)線傳感器網(wǎng)絡(luò)的輕量級(jí)安全體系研究[J]. 通信學(xué)報(bào), 2012, 33(2):30-35.

[8] Zuquete A. Improving the functionality of syn cookies[C]// ACM Sigspatial International Workshop on Crowdsourced and Volunteered Geographic Information. 2013:31-38.

[9] Guo J, Peyrin T, Poschmann A, et al. The LED Block Cipher[C]// International Conference on Cryptographic Hardware and Embedded Systems. Springer-Verlag, 2011:326-341.

[10] 郭淳, 徐興坤. LED 輕量級(jí)分組密碼設(shè)計(jì)的研究與改進(jìn)探討[J].電力信息與通信技術(shù),2014,12(9):15-19.

[11] He D, Chen C, Chan S, et al. SDRP:A Secure and Distributed Reprogramming Protocol for Wireless Sensor Networks[J]. IEEE Transactions on Industrial Electronics, 2012, 59(11):4155-4163.

[12] Yoo S G, Park K Y, Kim J. A Security-Performance-Balanced User Authentication Scheme for Wireless Sensor Networks[J]. International Journal of Distributed Sensor Networks,2012, 2012(382810):624-627.

[13] Yeh H L, Chen T H,Liu P C, et al. Asecured authentication protocol for wireless sensor networks using elliptic curves cryptography[J]. Sensors, 2011,11(5): 4767-4779.

[14] Manifavas C, Hatzivasilis G, Fvasrakis K, et al. Lightweight Cryptography for Embedded Systems ? A Comparative Analysis[C]// Revised Selected Papers of the, International Workshop on Data Privacy Management and Autonomous Spontaneous Security.Springer-Verlag New York,Inc.2013:333-349.