摘 要：針對無線傳感器網絡中多網關身份認證協議所存在的計算效率低、缺乏安全性以及無線傳感器資源受限等問題，提出了一種基于不可克隆函數（PUF）的輕量級多網關身份認證協議。該協議全部使用異或、哈希函數等輕量級運算保證加密傳輸和完整性驗證，每個設備利用PUF函數生成“設備指紋”標志其唯一性，并且通過提出的網絡架構能夠解決網關節(jié)點計算瓶頸和單點故障問題。其次通過隨機預言模型、ProVerif協議仿真工具和非形式化安全分析，證明了所提協議滿足信息傳輸機密性、完整性、匿名性等14 種安全屬性。最后在統(tǒng)一的性能基準下通過與近年相關協議進行分析對比，結果表明所提協議在效率、存儲成本和安全屬性方面具有較大的優(yōu)勢。

關鍵詞：不可克隆函數；輕量級；多網關；身份認證協議

中圖分類號：TN918.9"" 文獻標志碼：A""" 文章編號：1001-3695（2025）04-036-1230-09

doi： 10.19734/j.issn.1001-3695.2024.06.0249

Lightweight PUF-based multi-gateway authentication protocol for wireless sensor network

Wang Xionga， Wang Wenboa， Liu Angb， Xu Shengweic， Li Weilina， Zhang Zehaoa

（a. Dept. of Cyberspace Security， b. Network amp; Information Management Division， c. Institute of Information Security， Beijing Electronic Science amp; Technology Institute， Beijing 100070， China）

Abstract：To address issues such as low computational efficiency， lack of security， and limited resources in wireless sensor networks， this paper proposed a lightweight multi-gateway authentication protocol based on PUF. This protocol utilized only lightweight operations such as XOR and hash functions to ensure encrypted transmission and integrity verification. Each device generated a unique “device fingerprint” using the PUF function to identify its uniqueness. The proposed network architecture solved the computational bottleneck and single point of failure issues at gateway nodes. Additionally， this paper demonstrated that this protocol meets 14 security attributes， including confidentiality， integrity， anonymity of information transmission， and so on， through the random oracle model， ProVerif protocol simulation tool， and informal security analysis. Finally， under a unified performance benchmark， this paper compared and analyzed this protocol against recent related protocols， showing significant advantages in efficiency， storage cost， and security attributes.

Key words：physical unclonable function（PUF）; lightweight; multi-gateway; authentication protocol

0 引言

物聯網（Internet of Things，IoT）是一種新興的數字通信網絡。物聯網技術的迅猛發(fā)展使得無線傳感器網絡（wireless sensor network，WSN）在遠程醫(yī)療、工業(yè)自動化、智能農業(yè)等領域展現出日益凸出的重要性。然而，WSN的開放性與分布式特性亦伴隨著一系列安全挑戰(zhàn)，尤其是在身份認證與密鑰協商環(huán)節(jié)。由于傳統(tǒng)的單網關身份驗證協議計算消耗量大、易受攻擊、故障冗余機制不夠完善以及缺乏靈活性等不足，已難以滿足現代WSN對效率、安全性、可靠性以及可擴展性的高要求。

近年來，為滿足WSN一系列的不足和挑戰(zhàn)，研究人員提出了許多基于密碼學源語的身份認證協議。 但許多協議僅依賴于密碼安全性，容易受到脫機密碼猜測攻擊。為了避免這些問題，研究人員接連提出了基于密碼和智能卡的雙因素身份驗證協議。2009年，Das［1］建立了一種新穎的雙因素身份驗證方案，其中用戶擁有密碼和智能卡。同年，Nyang等人［2］指出文獻［1］容易受到脫機密碼猜測攻擊，并提出了克服此缺點的解決方法。2010年，Cheikhrouhou等人［3］提出了一種基于對稱算法高級加密標準（advanced encryption standard，AES）的輕量級身份驗證方案，使用了互相認證和密鑰建立機制來確保協議的機密性和數據完整性?；诠€算法的方案可以實現比基于對稱算法的方案更多的安全屬性，但它們也會消耗更多的系統(tǒng)資源。2011年，Yeh等人［4］發(fā)現文獻［5］未能提供安全的用戶密碼更新方法，并容易受到內部攻擊的影響。為了解決這些現有問題，他們首先應用了橢圓曲線密碼算法（elliptic curve cryptography， ECC）和智能卡來構建WSN身份驗證協議。2013年，文獻［6］建立了一個身份驗證協議，以實現完美的前向保密性與用戶和傳感器節(jié)點之間的互相認證和密鑰協商。Choi等人［7］指出文獻［6］容易受到會話密鑰攻擊、盜竊智能卡等攻擊的影響，并改進了出現的安全問題。基于ECC的身份驗證協議是用于改善射頻識別（radio frequency identification， RFID）系統(tǒng)安全性和隱私性的方法之一。Dinarvand等人［8］檢驗并比較了利用該方法建立安全性的協議，并提出了一種使用ECC進行相互認證的RFID身份驗證協議，以克服現有方案的弱點。2021年，Wang等人［9］利用ECC提出了增強的匿名身份驗證方案，用于智能醫(yī)療保健系統(tǒng)。2022年，文獻［10］提出了一種輕量級的用于基于物聯網的WSN的身份驗證協議。文獻［11］提出了一種基于區(qū)塊鏈平臺的IoT環(huán)境的三因素認證方案。

文獻［5］首次提出了基于兩因素的多網關身份驗證和密鑰協議，用于WSN，能夠確保用戶匿名性，同時抵抗密碼猜測攻擊、內部攻擊等。同年，Das等人［12］指出文獻［5］無法保護用戶匿名性，此外，還容易受到密碼猜測攻擊和身份猜測攻擊的影響。之后，文獻［12］提出了一個基于AES算法的三因素身份驗證協議來解決這些問題。此外，Wu等人［13］指出文獻［5］也無法抵抗跟蹤攻擊，并且沒有一個共同的三方會話密鑰。Guo等人［14］發(fā)現文獻［13］無法抵抗脫機密碼猜測攻擊和身份猜測攻擊，并且容易受到內部特權攻擊、用戶跟蹤等攻擊的影響。為解決文獻［13］的安全問題，Guo等人［14］在其基礎上提出了一種多網關WSN的三因素身份驗證協議。在2017年，Srinivas等人［15］詳細分析了文獻［5］，并提出了改進的三因素身份驗證協議。然而，Wang等人［16］發(fā)現文獻［15］同樣容易受到智能卡盜竊攻擊、節(jié)點捕獲攻擊和跟蹤攻擊的影響，并且無法保證前向保密性。2019年，Lee等人［17］提出了一種適用于多網關協議的三因素相互認證協議，其中如果用戶希望使用所有傳感器節(jié)點，則需要在所有網關節(jié)點注冊。2022年，Dai等人［18］發(fā)現文獻［14］容易出現單點故障，并提出了一種基于ECC的多網關WSN的新型三因素認證方案，實現了智能卡吊銷、動態(tài)傳感器節(jié)點添加，并能夠抵御單點故障。Zhao等人［19］提出了一種基于ECC的新型三因素身份驗證和密鑰協議，適用于IoT環(huán)境，在單網關環(huán)境中可以使用其方案，并可以擴展到多網關環(huán)境。2023年，Chen等人［20］提出了基于密碼和智能卡的兩因素多網關身份驗證協議，能夠抵抗密碼和身份猜測以及智能卡丟失攻擊。大多數方案利用ECC算法來確保它們可以實現更多的安全屬性。然而，ECC提供更多的安全性，同時產生更多的計算開銷。

目前面向無線傳感器網絡中的密鑰協商協議大多以單網關為主，少數使用多網關或者多網關相互協作，此外多網關也無法達到輕量級。其中單網關作為可信機構負責普通用戶和傳感器設備的注冊、信息傳遞和密鑰協商等。而多網關則仍然借助一個可靠中心節(jié)點網關負責注冊等其他功能。在目前無線傳感器網絡中使用的網絡結構無論是單網關或多網關，在中心網關節(jié)點發(fā)生故障時都沒有其他備用網關可以保障系統(tǒng)的正常運行，并無法通過多個網關實現負載均衡。所以設計一種既能夠實現故障備用，也能實現負載均衡的網絡結構，并提出一種可行安全的協議變得尤為重要。

為改進上述不足，本文提出了一個基于PUF的輕量級多網關身份認證與密鑰協商方法，旨在為WSN構建一個更為高效、安全、可靠且具備良好擴展性的身份驗證方法。該方法充分利用PUF的不可預測性與不可克隆性特點，結合輕量級計算技術與多網關架構，設計出了一項既安全又高效的密鑰協商協議。本文主要工作如下：a）提出了一個基于PUF的輕量級多網關身份認證與密鑰協商協議。該協議中，全部使用哈希運算、異或和PUF函數等輕量級密碼源語，用戶和網關、網關和傳感器通過使用輕量級運算進行加密傳輸重要參數，極大地降低了該協議的計算開銷；b）使用隨機預言模型、ProVerif仿真工具對協議進行了形式化安全證明，確保了會話密鑰的安全性。同時，非形式化安全分析表明，該協議可以抵御常見攻擊和特定漏洞，比如口令猜測攻擊、臨時秘密值泄露攻擊、節(jié)點捕獲攻擊等，且具有前向/后向安全等屬性，同時滿足三因子安全性；c）在統(tǒng)一基準下與近年相關協議在計算開銷、通信開銷、存儲開銷和安全性方面進行對比。結果表明，該協議在計算效率、存儲開銷和安全性方面具有優(yōu)勢，適合在資源受限環(huán)境中部署。

1 基礎知識

1）生物哈希函數BioHashing（）

生物哈希（biometric hashing）函數是一種專門用于處理生物識別數據的哈希函數，可將個人生物特征（如指紋、虹膜圖案等）轉換為固定長度的哈希值。生物哈希函數對輸入的生物特征的微小差異敏感。

2）物理不可克隆函數PUF（）

PUF（）函數是一種基于物理世界的唯一性和不可復制性所實現的安全機制。其核心思想為利用集成電路制造過程中產生的微小物理差異來產生唯一的且不可克隆的驗證標識。

2 相關描述

2.1 協議框架

目前在無線傳感器網絡中，密鑰協商雖然仍以單網關為主，但隨著外部環(huán)境的變化，不斷增加的傳感器節(jié)點數量以及對效率的要求等問題，使得單網關已無法適應現存的一些挑戰(zhàn)。為了應對單網關所存在的問題，不斷有研究人員提出一些基于多網關的身份認證與密鑰協商協議，但大多協議中多網關之間的數據沒有共享，且完成一次會話密鑰協商需要多個網關共同完成，雖然可以應對傳感器數量不斷增加的問題，但其本質仍是單網關。所以為了滿足實際需求，本文在其基礎之上設計了一種多網關框架結構，如圖1所示。該框架涉及多個網關，網關與網關之間通過安全信道連接，兩兩互通，并且每個網關中保存的數據一致，任何一個網關都可單獨完成一次會話密鑰協商。除此之外，網關間使用已存在的數據轉發(fā)和通信策略進行數據轉發(fā)和通信，并規(guī)定某一網關為主網關，所以能夠更好地集中于考量身份認證和密鑰協商的過程上，即協議本身。

2.2 應用場景

在所設計的框架基礎上，提出了一個無線傳感器網絡中基于PUF的輕量級多網關身份認證協議，該協議涉及用戶、可信網關以及傳感器設備三個實體。在實際應用場景中，用戶需要訪問或控制傳感器設備。在用戶與傳感器交互前，用戶和傳感器都需通過安全信道向可信網關進行注冊。當主網關收到注冊信息之后，會將注冊信息共享至其他網關并保存。注冊完成后，用戶通過終端設備首先進行本地身份驗證，然后借助可信網關與傳感器協商出一個會話密鑰。協商過程中，當主網關中央處理單元（central processing unit，CPU）使用率超過75%時或發(fā)生故障時，可通過已存在的數據轉發(fā)和通信傳輸策略將其所接收到的消息轉至其他任一備用網關進行運算，以免節(jié)點故障導致系統(tǒng)的癱瘓。密鑰協商完成后，用戶與傳感器設備利用會話密鑰對傳輸數據進行加密，以實現數據安全傳輸的目標。大致過程如圖1所示，圖中虛線表示公共信道，實線表示私有信道。

2.3 協議優(yōu)點

提出的無線傳感器網絡中基于PUF的輕量級多網關的身份認證與密鑰協商協議，具有無線傳感器中輕量級的優(yōu)點，同時也基于PUF技術解決了身份認證信息泄露、用戶身份追蹤、會話密鑰不可偽造等問題，在資源受限的傳感器節(jié)點保持了較高的計算效率，并基于會話密鑰建立后續(xù)安全傳輸通道。

本文協議在身份認證中有著非常高的安全強度。在普通用戶中，利用PUF的特性，本文將用戶的生物信息經過PUF的處理生成唯一且不可克隆的信息，使得攻擊者即使在獲得用戶的ID、口令、生物特征和智能卡參數的前提下依然無法通過已獲取的信息在另一臺移動設備上進行登錄和假冒合法用戶，也無法偽造出合法的M1，其具備n-1因素安全特征。此外，基于PUF的特性，即使用戶端、傳感器端被竊取并分析，仍然無法恢復出之前協商的會話密鑰，無法假冒身份計算出后續(xù)的會話密鑰，適合安全性要求較高的場景。

其次，每個網關均部署了PUF函數，利用PUF函數生成的數據形成每個網關的“設備指紋”，即挑戰(zhàn)應答機制中的響應值，且該指紋不可克隆也不可恢復。而在每次會話協商的過程中，網關的“設備指紋”會通過加密傳輸給用戶設備，用戶設備更新此前的數據。網關在收到用戶認證更新通過之后，也會通過安全信道將挑戰(zhàn)響應對共享至其他網關進行數據更新。所以用戶和網關之間、網關與網關之間的數據始終保持同步。

當其中一個網關發(fā)生故障時，因每個網關當中所存儲的數據一致，只需通過已存在的數據轉發(fā)和通信策略將其數據信息轉發(fā)至另一臺網關設備，便可使會話密鑰協商過程不間斷地完成，解決了一個網關環(huán)境惡劣情況下單點故障或計算資源消耗極大時的處理瓶頸

。

3 提出的協議

本文提出了一個基于PUF的輕量級多網關身份認證協議。該協議包括初始化、用戶注冊、傳感器注冊、登錄和密鑰協商、口令更新和用戶注銷階段六個階段。協議使用的符號及其描述參見表1。

3.1 初始化階段

a）主網關和其他備用網關都建立各自的PUFGW（），便于后續(xù)生成各自的挑戰(zhàn)應答機制對。其次主網關生成自己的主密鑰y并安全共享到其他網關，保存下來以便傳感器注冊階段使用。

b）建立各個網關之間的安全信道、數據轉發(fā)和通信策略，使網關之間兩兩互通，安全連接。設定各個網關CPU利用率的閾值75%，若當前CPU超過75%時將所接收到的信息轉發(fā)至下一空閑網關進行運算。

c）建立數據共享策略，使其能夠快速精準地實現數據定位和數據更新，達到數據同步的目的。

3.2 用戶注冊階段

用戶設備注冊階段流程如圖2所示，具體步驟如下：

a）用戶在自己想要注冊的終端設備上輸入自己的身份標識ID、口令PW和生物特征BIO。隨即計算Bi=Biohashing（BIO），Ei=PUF1（BIO），GPW=h（ID‖Ei‖PW）和HID=h（ID‖Ei）。用戶設備通過安全信道將HID發(fā)送至主網關。隨后接著計算本地身份驗證參數Ver=h（GPW‖Ei‖PW），并將其保存在本地設備中。

b）主網關收到HID后，隨后產生一對挑戰(zhàn)應答機制對。即通過產生一個隨機數CD，計算出重要參數RnewD=PUFGW（CnewD）。接著將{CD，RD，HID}保存在自己的數據庫當中。主網關將{CD，RD，HID}通過安全信道廣播至其他網關，其他網關也保存至自己的數據庫中，實現用戶信息數據的共享。

c）主網關將{CD，RD}廣播至其他網關實現數據共享后，將通過安全信道將挑戰(zhàn)應答機制對{CD，RD}發(fā)送給用戶設備，用戶設備收到信息后，立即保存至自己本地設備中，供登錄和密鑰協商過程中使用。

3.3 傳感器設備注冊階段

傳感器設備注冊階段流程如圖3所示，具體步驟如下：

a）每個傳感器設備擁有自己的身份標識SID，所以注冊時傳感器首先計算SD=PUF2（SID）。然后通過安全信道將{SID，SD}發(fā)送給主網關。

b）主網關擁有自己的主密鑰y。所以主網關計算KJ=h（SID‖SD‖y），隨后將Kj通過安全信道發(fā)送給傳感器設備，保存{SID，SD}。

c）傳感器設備收到Kj后，將其保存在自己的設備中，以供密鑰協商過程中使用。

4.3 安全分析

1）離線口令猜測攻擊

針對以口令為主的身份認證協議，離線口令猜測攻擊是一個主要的安全威脅。根據攻擊者模型，攻擊者可以通過側信道攻擊獲取用戶智能卡中的參數{Ver，CD，RD}，可以獲取公共信道中的參數?？诹畹倪\算只在本地身份驗證中出現Ver=h（h（ID‖PUF1（BIO）‖PW）。攻擊者無法通過攻破和公共信道中獲取的數據得出身份標識ID和PUF1（BIO），其中BIO是生物特征，攻擊者不可能從口令空間中猜測到用戶的口令。所以該協議能夠抵抗離線口令猜測攻擊。

2）用戶匿名性

用戶的匿名性是指用戶無法被攻擊者追蹤到。也就是用戶不可能兩次發(fā)出同一參數。本文協議中用戶發(fā)送的消息是M1={CD，N1，N3，N4，T1}，其中CD是隨機數，{N1，N3，N4}中的每個消息都有RD的參與。因RD是經過PUF2（CD）生成的，所以具備隨機數的特性。同理，消息M5={N13，N14}中因隨機數r的參與，該消息也具備隨機數的特性。所以用戶端發(fā)出的每個消息都具備隨機性，攻擊者無法通過公共信道中獲取的消息計算出具有用戶標識特性的信息。所以該協議滿足用戶的匿名性。

3）抵抗會話密鑰泄露安全

該協議中會話密鑰是由哈希函數生成，且由于隨機數的參與，具備隨機性。協議中會話密鑰為SK=h（R′D‖h（SD‖R），而攻擊者無法仿造出{RD，SD}，同時也無法仿造出隨機數R，攻擊者也無法通過從公共信道中獲取的數據恢復出{RD，SD}和R。所以該協議能夠抵抗會話密鑰泄露安全。

4）前向/后向安全性

根據無線傳感器網絡安全需求，身份認證協議應該滿足傳感器網絡的前向或后向安全性。在本文協議中，用戶、網關和傳感器完成雙向認證后，生成一個會話密鑰SK用于加密后續(xù)傳輸的機密數據。而SK是由各通信實體在每次認證過程中生成的隨機數加密生成的，所以SK在每次認證過程中呈動態(tài)隨機變化的。如果未來某個時刻通信密鑰被泄露，之前的通信內容不會被解密，如果某一時刻會話密鑰被泄露，未來的通信內容也不會被解密。此外，SK只因參與N7哈希運算，不涉及其他任何運算，即使SK丟失也不會影響之前或未來的會話密鑰安全。因此，當用戶、傳感器加入或者離開后，攻擊者不可能獲得之前或者之后傳輸數據的SK。因此，該協議可以滿足前向/后向安全性。

5）抵抗臨時秘密值泄露攻擊。該協議中，有兩個臨時秘密值R和r。當R泄露時，因為R=N8SDKj，攻擊者無法得到SD、Kj。當r泄露時，因為r的計算過程是r=N13HIDRnewD，攻擊者無法知道HID、RnewD，所以無法計算出HID、RnewD。所以該協議可以抵抗臨時秘密值泄露攻擊。

6）雙向認證

該協議中，用戶、網關和傳感器每次收到消息后，都會進行消息的合法性認證。都要通過合法性驗證才進行后續(xù)運算，而每個驗證消息的生成都涉及兩個或兩個以上的秘密參數，所以攻擊者無法恢復，也無法仿造。

a）可信網關認證用戶及傳感器。針對用戶身份，首先通過CD檢索初步驗證用戶的合法性，通過驗證N4進一步驗證用戶的身份。為了通過F5的驗證，需要知道GPW和RD。顯然，依據PUF的唯一性，假冒用戶無法計算GPW和RD，進而無法通過N4的驗證。針對傳感器身份，利用N9計算中SD因子驗證了傳感器身份。因為，只有TGW與Sj才可能擁有SD。

b）用戶認證可信網關及傳感器。用戶收到可信網關的消息M4后，通過驗證N12可以驗證可信網關的身份。因為只有用戶與可信網關掌握GPW與HID，并且GPW不能恢復和計算（PUF的唯一性）。由于可信網關的完全可信且驗證了傳感器身份，所以用戶間接驗證了傳感器身份。

c）傳感器認證可信網關與用戶。傳感器收到消息M2后，通過N6驗證可信網關的身份。因為只有網關和傳感器知悉Kj與SD才能計算出RD，繼而驗證N6，且計算需要可信網關的主密鑰y以及PUF2的支持，這些都不可能由攻擊者同時獲取到。所以，傳感器驗證了可信網關的身份，考慮到可信網關的完全可信，間接證明了用戶身份。

由上可知，該協議的三個實體實現了相互認證。

7）重放攻擊

重放攻擊是一種非常流行的簡單攻擊模式。根據攻擊者模型，攻擊者可以截獲并且轉發(fā)在公共網絡中傳輸的數據，以實現欺騙的目的。在該協議中用戶向網關，網關向傳感器發(fā)送消息時都通過時間戳參與完整性校驗，且收到信息后接收方首先驗證時間戳的新鮮性。如果收到的時間戳不新鮮，接收方拒絕請求并終止會話。傳感器向網關、網關向用戶發(fā)送信息，因為隨機數的存在，可以保證會話的新鮮性。所以該協議可以抵抗重放攻擊。

8）抵抗傳感器節(jié)點捕獲攻擊

當傳感器節(jié)點被捕獲之后，攻擊者可以通過側信道攻擊提取出傳感器中所保存的參數。該協議中，攻擊者獲得{SID，Kj}，只能恢復出N2HID與RDSD。由于SD由PUF生成，所以攻擊者無法仿造出SD，攻擊者也無法恢復出RD=N5SDKj，所以也無法恢復出會話密鑰；同樣，只有SID和Kj，攻擊者無法恢復出用戶與網關的隱私數據，無法進行假冒傳感器向網關發(fā)送消息以及用戶、網關的假冒等。

9）長期秘密值泄露攻擊

在網關中，有一個秘密值y，長期保存在網關當中，負責傳感器的注冊。當y被泄露時，由于攻擊者無法獲得由PUFGW生成的SD，所以攻擊者無法計算出K′j=h（SID‖SD‖y），也無法恢復出會話密鑰，所以該協議可以抵抗長期秘密值泄露攻擊。

10）抵抗竊聽攻擊

攻擊者可以攔截來自公共信道的消息，但是每個認證消息和會話密鑰SK都受哈希函數的保護，所以攻擊者無法從公共信道傳輸的信息中獲取有用的信息來進行假冒攻擊或者恢復出會話密鑰。 該協議可以抵抗竊聽攻擊。

11）抵抗內部攻擊

用戶在注冊時未將其生物特征或口令泄露給可信網關，網關無從獲得用戶的隱私信息。當網關中內部人員攻破到長期存儲的某一個長期參數時，其也無法恢復出當前的會話密鑰。所以該協議可以抵抗網關假冒攻擊和內部攻擊。

12）抵抗中間人攻擊

攻擊者可以攔截來自公共信道的消息，但由于其中的秘密參數都是未知的攻擊者。攻擊者無法生成有效的消息欺騙任意兩個通信方。所以，該協議可以抵抗中間人攻擊。

13）抵抗口令更新階段攻擊

在該協議中，由于在注冊階段，用戶口令并未向網關發(fā)送，所以口令更新時只在本地進行口令更新，不存在公共通道中傳輸敏感數據。該協議可以抵抗口令更新階段的攻擊。

14）滿足三因子安全性

三因素安全是指，即使攻擊者獲得了用戶的兩個身份驗證因素，他們仍然無法獲得第三個身份驗證因素，也就無法成功假冒用戶。以下三種情況詳細分析了協議中的三因素安全。

a）當攻擊者獲得了用戶的智能卡參數和生物特征時，無法獲得用戶的口令和ID。攻擊者利用獲得的數據計算出Bi=BioHashing（BIO），但是由于攻擊者沒有PUF，無法計算Ei=PUF1（BIO），繼而無法計算GPW=h（ID‖Ei‖PW）與HID=h（ID‖Ei‖）。所以無法計算或成功猜測出PW以及ID的值。

b）當攻擊者獲得了用戶的智能卡參數、口令和ID時，無法獲得用戶的生物特征。因為攻擊者沒有PUF，無法得到Ei，所以利用已有數據無法計算GPW=h（ID‖Ei‖PW），HID=h（ID‖Ei），N2=h（GPW‖N1‖RD），N1=HIDGPWRD，更無法計算出生物特征BIO或者Ei。

c）當攻擊者獲得了用戶的生物特征、用戶的口令和ID時，無法得出用戶本地存儲的參數。由于攻擊者沒有PUF，所以無法恢復出Ei，攻擊者無法計算出GPW=h（ID‖Ei‖PW），HID=h（ID‖Ei），所以也無法計算出本地存儲的參數Ver且由于CD與RD是有可信網關在注冊時生成，任何非可信網關實體都無法恢復出這對參數。所以，攻擊者無法恢復出智能卡中保存的參數。

現有的三因子認證協議多數無法實現三因子安全性，這是由于當生物特征和智能卡被攻破時，攻擊者可以根據智能卡中存儲的驗證值驗證輸入口令與生物特征的有效性，進而猜測用戶口令。在本文協議中，生物特征經過PUF處理，所以攻擊者無法克隆Ei，無法進一步計算出其他參數，所以本文協議可以滿足三因子安全性。

5 對比分析

傳感器設備大多存在物理尺寸小、存儲資源不足、計算資源有限等情況。為了評估該協議在計算開銷、存儲開銷和安全特性方面的具體情況，本章在相同的性能基準下將所提協議與文獻［24～27］在計算開銷、通信開銷、存儲開銷和安全性方面進行對比。

5.1 計算開銷對比

參考文獻［28］中所定義的運算時間，規(guī)定hash運算、對稱加密/解密、模糊提取運算、生物哈希運算、PUF模塊等的1次運算時間分別為TH≈0.002 6 ms、Tsym≈0.003 25 ms、Tfuzy≈1.989 ms、Tb≈0.005 ms、TP≈0.000 15 ms。

該協議中，用戶端使用1次BioHashing、1次PUF和9次hash函數，分別表示為1Tb、1TP、9TH。所以用戶端的計算開銷為1Tb+1TP+9TH≈0.028 55 ms。同理，在TGW中的計算開銷為1TP+8TH≈0.020 95 ms。傳感器中的計算開銷為1TP+5TH≈0.013 15 ms。三個實體完成一次會話密鑰協商的總計算開銷為1Tb+3TP+22TH≈0.062 6 ms。在統(tǒng)一的性能基準和計算方式下，對比五個協議在用戶端、網關端和傳感器端的計算開銷如圖6～8所示。圖9表示完成一次會話密鑰協商總計算開銷的對比情況。

根據認證過程可知，文獻［24，26，27］在用戶端本地身份驗證過程中使用模糊提取函數，導致三個協議在用戶端開銷較大，進一步提高了總計算開銷。文獻［29］在本地登錄和密鑰協商階段使用輕量級運算，其用戶端計算開銷較小。但是由于設計中存在計算冗余，導致該協議在網關的計算開銷最大。本文協議在身份驗證和密鑰協商階段使用輕量級運算，并且設計巧妙，使得在用戶、網關、傳感器和總計算開銷方面都達到最優(yōu)，并且在用戶端和總計算開銷方面遠優(yōu)于文獻［24，26，27］。

5.2 存儲開銷對比

根據文獻［30］的數值，本文定義隨機數、hash函數、身份ID/口令/生物識別、時間戳和對稱加密/解密的輸出長度分別為32 bit、160 bit、32 bit、32 bit和128 bit。根據上述定義的數值，計算5個協議存儲和通信開銷，并進行對比。

在存儲開銷方面只比較用戶端和傳感器兩個實體。因可信網關是可信第三方，屬于資源不受限實體，故不考慮網關的存儲開銷。該協議中，用戶端存儲用于本地身份驗證的參數{Ver，CD，RD}，開銷為224 bit。傳感器存儲了身份標識和參數{SID，Kj}，開銷為192 bit。所以總的存儲開銷為416 bit。

通信開銷為公開信道中傳輸參數的比特值。該協議在公開信道中所傳輸的參數長度分別為M1={CD，N1，N3，N4，T1}=32+160+160+160+32=544 bit，M2={N5，N6，T2}=160+160+32= 352 bit，M3={N7，N8，N9}=160+160+160=480 bit，M4={N7，N10，N10，N11}=160+160+160+160=640 bit，M5={N13，N14}=160+160=320 bit。所以總通信開銷為2 336 bit。

在統(tǒng)一的性能基準和計算方式下，其他4個協議使用上述定義數值，得出各自的存儲開銷和通信開銷，具體數值如圖10、11所示。該協議由于在用戶和網關之間使用挑戰(zhàn)響應對，極大減小了用戶設備中需要存儲的參數。在傳感器設備中只保存了一個身份標識和一個密鑰。所以該協議在存儲開銷方面仍是最優(yōu)的。同時，為了保證協議的安全性，本文協議中的消息在公開信道傳輸的過程中使用哈希保護或與哈希值異或，導致該協議在通信開銷方面相對較大，但是相差的具體數值較小?？紤]到該協議在計算開銷、存儲開銷方面都是最優(yōu)的，而且在后面的安全性對比中也是最優(yōu)的，所以通信開銷的劣勢在容忍范圍之內。

5.3 安全性比較和分析

參考文獻［24，31］中的安全漏洞類型和分析方法，將本文協議與相關協議在安全性方面作出對比，如表3所示。在表中，“√”表示可以抵制該漏洞或滿足安全要求，“×”表示不能。根據表3，本文協議在安全性方面有著較大優(yōu)勢，滿足多種應用場景下的安全需求。

6 結束語

本文提出了一種面向無線傳感器網絡的基于PUF的輕量級多網關身份認證協議。該協議不僅具有無線傳感器網絡中輕量級的優(yōu)點，同時利用PUF技術有效解決了離線口令猜測、用戶身份追蹤以及會話密鑰不可偽造等問題，且采用輕量級算法。協議中沒有使用任何對稱加密或非對稱等其他非輕量級加密算法，除使用生物哈希函數、PUF函數，其余運算都采用哈希和異或操作，適用于計算資源受限諸多場景，比如遠程醫(yī)療、車聯網、工業(yè)、農業(yè)等。其次該協議中多網關策略擴展了可信網關，解決了單個網關在環(huán)境惡劣或計算資源消耗極大的情況下的處理瓶頸問題和單節(jié)點故障問題。使得該協議特別適用于計算資源受限的諸多場景。其次通過隨機預言模型、ProVerif協議仿真工具和安全分析證明了該協議的安全性。最后通過與近年相關類似協議進行比較，結果表明其在計算開銷、存儲開銷和安全性方面展現了相對較大的優(yōu)勢。

參考文獻：

［1］

Das M L. Two-factor user authentication in wireless sensor networks ［J］. IEEE Trans on Wireless Communications， 2009， 8（3）： 1086-1090.

［2］Nyang D， Lee M K. Improvement of Das’s two-factor authentication protocol in wireless sensor networks ［J］. IACR Cryptology EPrint Archive， 2009， 2009： 631.

［3］Cheikhrouhou O， Koubaa A， Boujelben M， et al. A lightweight user authentication scheme for wireless sensor networks ［C］// Proc of ACS/IEEE International Conference on Computer Systems and Applications. Piscataway， NJ： IEEE Press， 2010： 1-7.

［4］Yeh H L， Chen T H， Liu Pinchuan， et al. A secured authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. Sensors， 2011， 11（5）： 4767-4779.

［5］Amin R， Biswas G P. A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks ［J］. Ad hoc Networks， 2016， 36： 58-80.

［6］Shi Wenbo， Gong Peng. A new user authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. International Journal of Distributed Sensor Networks， 2013， 9（4）： 730831.

［7］Choi Y， Lee D， Kim J， et al. Security enhanced user authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. Sensors， 2014， 14（6）： 10081-10106.

［8］Dinarvand N， Barati H. An efficient and secure RFID authentication protocol using elliptic curve cryptography ［J］. Wireless Networks， 2019， 25（1）： 415-428.

［9］Wang Yuanbing， Liu Wanrong， Li Bin. An improved authentication protocol for smart healthcare system using wireless medical sensor network ［J］. IEEE Access， 2021， 9： 105101-105117.

［10］Hayouni H. AuthenIoT： a lightweight authentication protocol for the Internet of Things based wireless sensor networks ［J］. EAI Endorsed Trans on Cloud Systems， 2022， 7（21）： 171321.

［11］Ghafouri Mirsaraei A， Barati A， Barati H. A secure three-factor authentication scheme for IoT environments ［J］. Journal of Parallel and Distributed Computing， 2022， 169： 87-105.

［12］Das A K， Sutrala A K， Kumari S， et al. An efficient multi-gateway-based three-factor user authentication and key agreement scheme in hierarchical wireless sensor networks ［J］. Security and Communication Networks， 2016， 9（13）： 2070-2092.

［13］Wu Fan， Xu Lili， Kumari S， et al. An efficient authentication and key agreement scheme for multi-gateway wireless sensor networks in IoT deployment ［J］. Journal of Network and Computer Applications， 2017， 89： 72-85.

［14］Guo Hua， Gao Ya， Xu Tongge， et al. A secure and efficient three-factor multi-gateway authentication protocol for wireless sensor networks ［J］. Ad hoc Networks， 2019， 95： 101965.

［15］Srinivas J， Mukhopadhyay S， Mishra D. Secure and efficient user authentication scheme for multi-gateway wireless sensor networks ［J］. Ad hoc Networks， 2017， 54： 147-169.

［16］Wang Ding， Li Wenting， Wang Ping. Measuring two-factor authentication schemes for real-time data access in industrial wireless sensor networks ［J］. IEEE Trans on Industrial Informatics， 2018， 14（9）： 4081-4092.

［17］Lee J， Yu S， Park K， et al. Secure three-factor authentication protocol for multi-gateway IoT environments ［J］. Sensors， 2019， 19（10）： 2358.

［18］Dai Cong， Xu Zhongwei. A secure three-factor authentication scheme for multi-gateway wireless sensor networks based on elliptic curve cryptography ［J］. Ad hoc Networks， 2022， 127： 102768.

［19］Zhao Xingwen， Li Dexin， Li Hui. Practical three-factor authentication protocol based on elliptic curve cryptography for industrial Internet of Things ［J］. Sensors， 2022， 22（19）： 7510.

［20］Chen Chen， Guo Hua， Wu Yapeng， et al. A novel two-factor multi-gateway authentication protocol for WSNs ［J］. Ad hoc Networks， 2023， 141： 103089.

［21］Abdalla M， Fouque P A， Pointcheval D. Password-based authenticated key exchange in the three-party setting ［C］// Proc of the 8th International Conference on Theory and Practice in Public Key Crypto-graphy. Berlin： Springer-Verlag， 2005： 65-84.

［22］Wang Ding， Cheng Haibo， Wang Ping， et al. Zipf’s law in passwords［J］. IEEE Trans on Information Forensics and Security， 2017， 12（11）： 2776-2791.

［23］Boyko V， MacKenzie P， Patel S. Provably secure password-authenticated key exchange using Diffie-Hellman ［C］// Advances in Cryptology — EUROCRYPT 2000. Berlin： Springer， 2000： 156-171.

［24］Yu S， Park Y. A robust authentication protocol for wireless medical sensor networks using blockchain and physically unclonable functions ［J］. IEEE Internet of Things Journal， 2022， 9（20）： 20214-20228.

［25］Kwon D K， Yu S J， Lee J Y， et al. WSN-SLAP： secure and lightweight mutual authentication protocol for wireless sensor networks ［J］. Sensors， 2021， 21（3）： 936.

［26］Chen C M， Liu Shuangshuang， Li Xuanang， et al. A provably-vsecure authenticated key agreement protocol for remote patient monitoring IoMT ［J］. Journal of Systems Architecture， 2023， 136： 102831.

［27］Wazid M， Thapliyal S， Singh D P， et al. Design and testbed experiments of user authentication and key establishment mechanism for smart healthcare cyber physical systems ［J］. IEEE Trans on Network Science and Engineering， 2023， 10（5）： 2697-2709.

［28］Huang Wenfeng. ECC-based three-factor authentication and key agreement scheme for wireless sensor networks ［J］. Scientific Reports， 2024， 14（1）： 1787.

［29］Yang J H. A multi-gateway authentication and key-agreement scheme on wireless sensor networks for IoT ［J］. EURASIP Journal on Information Security， 2023， 2023（1）： 2.

［30］Sahoo S S， Mohanty S， Sahoo K S， et al. A three-factor-based authentication scheme of 5G wireless sensor networks for IoT system ［J］. IEEE Internet of Things Journal， 2023， 10（17）： 15087-15099.

［31］王菲菲. 物聯網環(huán)境下的認證協議研究 ［D］. 北京： 北京郵電大學， 2020. （Wang Feifei. Research on authentication protocols in Internet of Things environment［D］. Beijing： Beijing University of Posts and Telecommunications， 2020.）