WSN中帶消息恢復機制的PBC廣播認證協議

戴 冬，王 果，王 磊

(1.河南機電高等專科學校 計算機科學與技術系，河南 新鄉 453003；2.西南財經大學 經濟信息工程學院，四川 成都 610074)

WSN中帶消息恢復機制的PBC廣播認證協議

戴 冬1，王 果1，王 磊2

(1.河南機電高等專科學校 計算機科學與技術系，河南 新鄉 453003；2.西南財經大學 經濟信息工程學院，四川 成都 610074)

為了在無線傳感器網絡(WSN)中保證安全等級的情況下降低通信成本和計算成本，提出了一種帶消息恢復機制的基于配對密碼學的廣播認證協議。該機制不需要同時傳輸原始簽名信息和新生成的簽名信息，認證/消息恢復過程能自動恢復原始簽名信息。首先初始化系統，基站產生系統參數；然后用戶從基站獲取密鑰，訪問WSN；最后當用戶需要廣播消息給WSN時，用戶使用包含消息恢復機制的身份簽名(IBS)協議寫下簽名消息，生成簽名后進行消息廣播。實驗性能分析表明，與IMBAS和IDBAS相比，本文協議的廣播消息大小分別減少了30%和22.3%，在112 bit安全等級，總能耗至少減少30%左右，在80 bit安全等級至少可降低15%的總能耗。

無線傳感器網絡；廣播認證協議；消息恢復機制；配對密碼學；網絡安全；簽名消息

1 BA協議

在移動計算研究領域，無線傳感器網絡(Wireless Sensor Network，WSN)[1]作為一種新的研究方向在通信、電力監控、設備診斷和環境監控等方面快速發展[2-3]。WSN由大量資源有限傳感器節點和可變數量控制節點(基站)組成，具有能源有限、低帶寬、內存小和能源利用率低的特點[4]。由于無線信道的開放性，簡單的無線電收發機很容易被竊聽或更改數據包。為了以一種更加安全方法廣播消息給大量節點，廣播認證(Broadcast Authentication， BA)協議必不可少[5]。

現存BA協議一般可以分為基于對稱密鑰的密碼學(Symmetric Key Cryptography， SKC)機制[6-7]、基于公鑰密碼學(Public Key Cryptography， PKC)機制[8-9]和基于配對密碼學(Pairing Based Cryptography， PBC)機制[10-11]，現存的大多BA協議通常基于SKC，然而，PBC具有更多的優勢，預計未來將更多地利用PBC機制。

基于SKC的BA協議目前應用比較多，如文獻[6]提出了uTESLA協議，利用單向哈希鏈保證身份認證和數據完整性，利用松弛時間使發送方和接收方同步。然而，由于該協議是基于單播的參數分布方法增加新的接收節點，因此限制了該協議的性能。文獻[7]提出了多層uTESLA協議用于提高協議性能，該協議明顯減少了不必要的計算量和緩沖內存。但由于消息的延遲認證，容易導致嚴重的能耗和DOS攻擊。

基于PKC的BA協議在能耗方面更有優勢，基于PKC的BA協議[8-9]能解決密鑰分配問題。其中，WSN中一種最合適的PKC基元為橢圓曲線密碼(ECC)，該密碼能有效平衡速度、內存需求和安全等級。ECC主要特點是其密鑰大小(與帶有80 bit安全等級的RSA相比只需要160 bit，而RSA需要1 024 bit)和速度。考慮到軟件和硬件特點，ECC能提高8 bit mote平臺的性能。但是PKC的BA協議的發送方和接收方之間的密鑰分布是一個問題。

基于PBC機制的BA協議在安全、能耗等方面具有更多優勢。如文獻[10]使用TinyPBC充分利用PBC解決水下WSN密鑰分配問題，在ATmega128L，MSP430和PXA27x平臺上使用TinyPBC計算ηt配對需要時間分別為1.90 s、1.27 s和0.46 s。以上的實驗數據表明傳感器節點計算匹配所需要的時間在過去三年已經提高了至少5倍。文獻[11]提出一種更有效的基于ID的多用戶BA協議，IMBAS，該協議基于匹配自由的身份簽名(Identity-Based Signature， IBS)協議，認證效率大大提高，然而，通過去除用戶公鑰證書能降低廣播消息增加了約30%，計算負載較高，每個傳感器需要計算兩個匹配和一個MapToPoint操作，其中MapToPoint功能用于映射身份信息到橢圓曲線上的一個點上。

2 構建模塊

本節介紹WSN中用于創建一種有效的基于ID的BA協議所需的構建模塊。

2.1 橢圓曲線和雙線性配對

1)雙線性：?P,Q∈G1,?a,b∈Z*,e(aP,bQ)=e(P,bQ)a=e(aP,Q)b=e(P,Q)ab。

2)非退化性：如果P為G1生成器，則e(P,P)也是G2的一種生成器。

3)可計算性：對所有P,Q∈G1，存在一種有效算法計算e(P,Q)。

該配對也存在對稱性，即e(P,Q)=e(Q,P)，可以通過Tate配對[11]計算e(P,Q)=e(Q,P)。具體細節請參考文獻[12]。

2.2 包含消息恢復機制的ID的簽名協議

簽名：給定密鑰SID和消息m∈{0,1}l1。

傳輸的數據由簽名σ=(h,V)，身份ID和消息m組成，它們對應的長度分別為88 byte，20 byte和2 byte。在文獻[13]提出的協議中，傳輸數據的總長度為68 byte，因為沒有傳輸原始消息m。

3 提出的廣播認證協議

本文構建了一種有效基于ID的BA協議(PBCMR-BAS)，充分利用了文獻[13]中消息恢復機制。

3.1 系統模型和設計目標

網絡由固定數量基站、網絡用戶和大量資源有限的傳感器節點組成。在WSN中存在一種基站，假設該基站總是可信的，作為私鑰生成器，主要用于生成用戶密鑰，有強大的存儲能力。WSN主要目的是給訪問該網絡的用戶提供服務，網絡用戶包括車輛，使用移動終端的人。根據計算和通信能力，移動終端擁有的能源量高于傳感器節點。用戶能實時連接到WSN，且用戶也可能因為認證失敗取消訪問權限。每個網絡用戶裝備有防干擾設備，該設備能防止別人竊聽設備數據，包括私鑰、數據和代碼[11]。用戶也在設備上存儲與身份對應的私鑰，用于簽署發送消息命令。

本文目的是設計一種滿足以下安全和性能要求的協議：1)用戶認證和消息數據完整性：WSN網絡用戶的所有廣播消息必須先經過認證使得非法用戶或泄露節點插入的虛假信息能被有效過濾或拒絕。2)最小化負載：主要是最小化通信負載，保證能耗最小。

3.2 本文認證協議

本文協議由4個階段組成：系統初始化，提取密鑰，生成簽名和消息廣播，廣播認證(簽名驗證)。

系統初始化：部署WSN之前，基站產生的系統參數如下：

1)給定安全參數k∈Z+，產生素數q，q的兩種群組G1,G2。生成器q∈G1和雙線性映射e:G1×G2→G2。

4)系統參數為Params={G1,G2,e,q,P,Ppub,μ,H,H1,F1,F2,l1,l2}。

公鑰系統參數Params預先裝載于WSN中每個傳感器節點中。

生成簽名和消息廣播：當用戶需要廣播消息給WSN時，用戶使用包含消息恢復機制的IBS協議寫下簽名消息。為了簽名一種消息M∈{0,1}l1，帶有與IDi對應私鑰SKi的網絡用戶完成以下步驟：

1)選擇當前時間戳tti。

如果認證過程失敗，傳感器節點丟棄消息。否則，認證接收消息可信。在該階段的簽名認證僅需要計算一種匹配，G1中一種標量乘法，G2中一種求冪運算。

3.3 安全分析

1)源認證和消息數據完整性：本文使用帶有消息恢復機制[13]的IBS協議認證廣播消息。在自適應選擇消息攻擊和自適應選擇身份攻擊下，底層簽名協議具有不可偽造性。因此，攻擊者不能更改或篡改合法用戶的可信廣播消息。

2)DOS攻擊：DOS攻擊是一種降低網絡負載的攻擊。不同于TESLA-like協議，TESLA-like協議必須以基站與節點間的固定傳輸延遲為前提，才能實現正確的廣播認證，一旦傳輸延遲發生改變，周期交界處發送的數據包就容易發生“認證漂移”。本文協議不需要廣播消息的延遲認證，因此每個傳感器節點不需要緩沖包。即當攻擊者肆意攻擊整個網絡時，攻擊者能向目標節點傳輸虛假信息，從而強制節點執行高代價的簽名認證，最終耗盡節點能源。然而，本文協議通過有限時間能有效緩解該問題。

3)撤銷用戶：在本文協議中，若用戶IDi被撤銷，撤銷IDi必須立刻廣播給所有網絡節點，這些節點僅存儲撤銷的ID。在基于PKC的協議中，傳感器節點必須存儲包含撤銷用戶身份的證書撤銷列表。因此，隨著時間的增加，撤銷用戶的數量將不斷增加，增加了存儲負載，而本文協議卻明顯減少存儲負載。

4 實驗性能分析

根據MICA2元件上通信負載和能耗評價本文協議，給出了定量分析。

表1 3種廣播認證協議的性能比較

認證協議簽名大小簽名認證IMBAS2p+2q+1921SM+1H3SM+2HIDBASq+p+1921MH+3SM+1E+1H2P+1H+1MH+1M+1E+1SRPBCMR-BASp+q+321E+3H+1SM1P+1E+1M+3H+1SR

IDBAS和PBCMR-BAS協議需要最優配對曲線，該曲線是帶有小嵌入度的橢圓曲線。使用ηT配對定義4嵌入度超奇異曲線y2+y=x3+x在域F2271的252素數階的子群組。在MICA2元件上該子群組匹配速度最快，當80 bit安全等級時，曲線不存在素數階接近160 bit的子群組。在該曲線中，均方根的計算與開方計算過程相似。因此，當發送方發送橢圓曲線的一個點Q=(x,y)時，為了減少通信負載，發送方僅發送Q的x坐標，接收方通過計算x的開方獲取y坐標值。實際上，為了減少簽名大小，更適合使用嵌入度為6的MNT曲線或超奇異曲線。然而，這些曲線的匹配計算時間高于超奇異曲線，因此，根據能耗，超奇異曲線更適合匹配計算。假設IDBAS，IMBAS和PBCMR-BAS中消息大小(M)，身份(ID)和當前時間戳(tt)分別為20 byte， 2 byte和2 byte。在IMBAS中，產生的簽名大小為83 byte，因為該簽名包括一個FP域橢圓曲線點和來自ZP的兩個整數，其中p和q分別為168和166比特位。為了比較實驗結果，本文在以下曲線完成標量乘法，求冪運算和ηT配對：

1)IMBAS協議：ECC secp160r1， ECC secp224r1[13]。

2)IDBAS和PBCMR-BAS協議：在域F2271的超奇異曲線y2+y=x3+x。

由于本文使用252 bit素數階的子群組的超奇異曲線完成本文協議，考慮到IDBAS和PBCMR-BAS協議在域F2271上帶有252 bit素數階子群組G1的超奇異曲線，廣播消息的總長分別為90 byte(包括M，ID，tt)和70 byte(包括ID，tt)，具體如下：

在IDBAS和PBCMR-BAS協議中，比特位安全等級和112比特位安全等級的廣播消息總長度為80。與IMBAS和IDBAS相比，本協議的廣播消息大小分別減少了30%和22.3%。

表2顯示了通信和計算過程中的能耗，遵循如下數據包格式：數據包大小為128 byte，跳躍式能耗。發送和接收 1 byte 的代價分別為52.2 μJ和19.3 μJ。當使用本文PBCMR-BAS協議傳輸和接收數據時，能耗分別為101×52.2 μJ=5.3 mJ和101×19.3 μJ=1.9 mJ，傳輸73+31=101 byte數據。本文也假設MICA2的功率電平為3.0 V，主動模式下電流消耗為8 mA。在本文數據集中，每個傳感器節點從它的N個鄰居節點接收廣播消息[IDi,tti,σ]，若認證成功，則將消息傳輸給其他節點，即每個傳感器節點同時是接受方和發送方。

表2 3種廣播認證協議的能耗比較

認證協議安全等級/比特位傳輸負載/byte(1)通信功耗/mJ計算消耗時間/s(2)計算功耗/mJ總功耗W×{(1)+(2)}/mJIMBAS[11]8016988+33×N24583W×(671+33×N)112198103+38×N661577W×(1680+38×N)IDBAS[7]8012166+23×N471128W×(1191+23×N)11212163+23×N531272W×(1335+23×N)PBCMR-BAS8010153+19×N28672W×(725+19×N)11210153+19×N34816W×(869+19×N)

由于傳輸的電流消耗(27 mA)高于接收消息的電流消耗(10 mA)，因此，較長消息對節點產生更嚴重影響，即廣播消息總長度越大，傳輸消息的能耗將越大。然而，本文協議PBCMR-BAS數據包較小，因此傳輸數據能耗較小。表2顯示了實驗比較結果，在廣播認證過程中標量乘法、取冪和匹配運算需要時間最長，在MICA2元件上，橢圓曲線上的點乘需要0.81 s[13]且ηt匹配計算需要1.9 s。

因為MB需要11 727次循環且匹配計算需要14×106次循環(1.9 s)[14]，所以本文評估擴展域F24·271上的取冪運算大約需要0.9 s。因此，本文忽略其他運算消耗的時間，與上面幾種運算相比，本文認證協議消耗時間很小。PBCMR-BAS協議需要一個匹配一種取冪認證簽名，因此導致能耗為 3.0×8.0×(1.9+0.9)=67.2 mJ。為了將廣播消息傳輸給整個WSN網絡。每個傳感器節點至少傳輸一次和接收N次相同類型消息。表2分別顯示了通信消耗的能源、時間和總體能耗。圖1和圖2表明大小為W的網絡函數的總體廣播能耗，假設N=20。從圖1～2可以看出，在80比特位安全等級，與IDBAS和IMBAS協議相比，本文協議PBCMR-BAS的總體能耗分別降低了大約32.8%和15.8%。在112比特位安全等級，與IDBAS和IMBAS協議相比PBCMR-BAS的總體能耗分別降低了大約30.2% 和46.5%。

圖1 80 bit安全等級的3種協議性能比較

圖2 112 bit安全等級的3種協議性能比較

5 總結

本文提出了一種有效的基于ID的廣播認證協議，PBCMR-BAS，該協議滿足WSN的安全等級要求。為了最小化通信和計算負載，使用帶有消息恢復機制的基于PKC的ID簽名協議，在該協議中，不需要同時傳輸原始簽名信息和新生成的簽名信息，因為認證/消息恢復機制能恢復原始消息。在所有基于ID的BA協議中，本文協議需要更短的廣播消息，且明顯降低了能耗。

[1] 韓鵬瑋，王慶生，張博. 基于網格的無線傳感器網絡非均勻分簇算法[J]. 電視技術， 2013， 37(15)： 110-113.

[2] 裴慶祺，沈玉龍，馬建峰. 無線傳感器網絡安全技術綜述[J]. 通信學報， 2007， 28(8)： 113-122.

[3] 張希偉，戴海鵬，徐力杰，等. 無線傳感器網絡中移動協助的數據收集策略[J]. 軟件學報， 2013， 19(2)： 198-214.

[4] REN K， LOU W，ZENG K， et al. On broadcast authentication in wireless sensor networks[J]. IEEE Trans.Wireless Communications，2007，6(11)：4136-4144.

[5] 鄢遇祥. 無線傳感器網絡通信協議棧的研究與實現[D]. 成都：電子科技大學，2014.

[6] ELDEFRAWY M H， KHAN M K， ALGHATHBAR K， et al. Article broadcast authentication for wireless sensor networks using nested hashing and the chinese remainder theorem[J]. Sensors，2010，10(9)：8683-8695.

[7] 趙鑫. 面向應用的無線傳感器網絡廣播認證協議研究[D]. 長沙：國防科學技術大學，2010.

[8] ALBRECHT M R， FAUGERE J C， FITZPATRICK R， et al. Practical cryptanalysis of a public-key encryption scheme based on new multivariate quadratic assumptions[C]//Proc. Public-Key Cryptography-PKC 2014. Berlin，Heidelberg：Springer，2014： 446-464.

[9] 黃剛，王汝傳，許一帆. 無線傳感器網絡中基于分簇廣播認證協議方案[J]. 南京航空航天大學學報， 2010，42(1)： 72-76.

[10] GALINDO D， ROMAN R，LOPEZ J. A killer application for pairings： authenticated key establishment in underwater wireless sensor networks[M]. Berlin Heidelberg:Springer，2008.

[11] CHIEN H， LEE C， WU T. Comments on IMBAS： identity-based multi-user broadcast authentication in wireless sensor networks[J]. Security & Communication Networks，2013，6(8)：993-998.

[12] 劉秀燕. 基于超奇異橢圓曲線的多對一加密算法的研究與應用[D]. 青島：中國海洋大學，2014.

[13] LI M，FANG T. Provably secure and efficient id-based strong designated verifier signature scheme with message recovery[C]// Proc. 17th International Conference on Network-Based Information Systems (NBiS).[S.l.]：IEEE Press，2014：287-293.

[14] OLIVEIRA L B， SCOTT M， LOPEZ J， et al. TinyPBC： Pairings for authenticated identity-based non-interactive key distribution in sensor networks[J]. Computer Communications，2011，34(3)：485-493.

戴 冬(1978— )，女，講師，碩士，主要研究領域為網絡安全、云計算等；

王 果(1977— )，副教授，碩士，主要研究領域為網絡安全、智能算法；

王 磊(1978— )，副教授,碩導，博士，IACSIT會員，主要研究領域為網絡安全、數據挖掘等。

責任編輯：閆雯雯

Efficient Broadcast Authentication Scheme Based on Pairing-based Cryptography withMessage Recovery in Wireless Sensor Networks

DAI Dong1, WANG Guo1, WANG Lei2

(1.DepartmentofComputerScience&Technology,HenanMechanicalandElectricalEngineeringCollege,HenanXinxiang453003,China;2.CollegeofEconomicInformationEngineering,SouthwesternUniversityofFinanceandEconomics,Chengdu610074,China)

In order to reduce communication cost and computation cost in wireless sensor networks (WSN), an efficient broadcast authentication scheme based on pairing-based cryptography with message recovery is proposed. This mechanism does not require the simultaneous transmission of the original signature information and the new generated signature information. Authentication/message recovery process can automatically restore the original signature information. Firstly, the system is initialized, the base station generates system parameters. Then, users get the key from the base station, and access WSN. Finally, when the users need to broadcast messages to WSN, the identity-based signature (IBS) protocol based on message recovery mechanisms is used to write the signed message to broadcast. Experimental analysis show that compared with IMBAS and IDBAS, the message size of the protocol is decreased by 30% and 22.3% respectively. On the 112 bit security level, the total energy consumption is reduced by at least about 30%. It has at least 15% reduction in total energy consumption on the 80 bit security level.

wireless sensor network; broadcast authentication protocol; message recovery mechanisms; pairing-based cryptography; network security; signed message

河南省高等學校重點科研項目(15B520007)

TP393

A

10.16280/j.videoe.2015.19.016

2015-07-17

【本文獻信息】戴冬，王果，王磊.WSN中帶消息恢復機制的PBC廣播認證協議[J].電視技術,2015，39(19).