基于ECC和ID簽名的WSN廣播快速認證方案

何常勝，孫宇軒

(韶關學院韶州師范分院，廣東 韶關 512009)

?

基于ECC和ID簽名的WSN廣播快速認證方案

何常勝，孫宇軒

(韶關學院韶州師范分院，廣東 韶關 512009)

廣播認證是無線傳感器網絡(WSN)的一種基本安全服務，針對現有認證方案的計算量大、認證速度慢等問題，提出一種基于橢圓曲線加密(ECC)和身份(ID)簽名的WSN廣播快速認證方案。對現有EIBAS簽名認證方案進行改進，通過節點間的合作，共享中間計算結果來減少鄰居節點的計算量，以此提高認證速度，減少能量消耗。同時，提出一種安全機制，通過對多個鄰居共享數據的對比來抵御惡意節點的攻擊。實驗結果表明，該方案相對于傳統的橢圓曲線加密算法能夠提高約42%的簽名認證速度，降低約36%的能耗，大大延長網絡生命周期。

無線傳感器網絡；廣播快速認證；橢圓曲線加密；身份

在無線傳感器網絡(Wireless Sensor Networks，WSN)中，消息廣播是一種基本的數據傳播方式，能夠有效地大規模發布消息，也允許大量用戶動態加入網絡和傳播消息[1]。然而，傳感器網絡很容易受到攻擊，在多中繼轉發時，攻擊者可以很容易地竊聽流量、注入虛假數據消息或改變合法內容。所以，必須具備一種認證機制，以確保通信的安全性。另外，在考慮加密認證的同時，也要考慮認證的時間和能量效率問題[2]。

目前，公鑰加密(Public Key Cryptosystem，PKC)技術應用到WSN認證中，公鑰加密認證不存在認證延時，但是它資源開銷很大[3]。基于PKC的廣播認證協議通常采用一些加密技術，例如梅克爾哈希樹、橢圓曲線密碼(Elliptic Curve Cryptography，ECC)等。文獻[4]提出一種基于橢圓曲線數字簽名的WSN認證算法(ECDSA)，其具有密鑰長度短、占用存儲空間小等優點。然而，其運算過程復雜，耗時較多。對此，文獻[5]提出一種改進型快速ECDSA方案(F-ECDSA)，提高ECDSA中簽名認證的速度，避免了求逆過程，運算速度得到了提高，但是此算法中存在著2次標乘運算，仍存在改進的空間。文獻[6]提出了一種基于ID的WSN廣播認證方案(EIBAS)，EIBAS是一種基于ID的簽名方案，可以減小簽名的大小，其中，用戶的公鑰直接從其公共身份信息產生，用戶的私鑰由一個私鑰生成器(PKG)計算得到。利用ECC組合密鑰實現公鑰加密，保證WSN的廣播通信安全。同樣，其存在計算量大等缺點，每次簽名認證需要3次標乘運算。

本文對文獻[6]提出的EIBAS方案進行改進，提出一種基于ECC和ID的WSN廣播快速認證方案，提高簽名認證速度。方案中，基站基于ECC和ID對廣播包進行加密并廣播，第一批接收到廣播包的傳感器節點執行傳統簽名驗證，然后向鄰居節點共享中間計算結果，以此減少鄰居節點的計算量，提高簽名驗證速度。同時添加一個安全策略，對多個鄰居數據包進行對比來抵御惡意節點的攻擊。實驗結果表明，本文方案計算量小，認證速度快，提高了網絡的生命周期，且具有較高的安全性能。

1　EIBAS簽名認證方案

本章在介紹了橢圓曲線加密的基礎上，對基于ID的EIBAS的簽名認證方案進行較詳細的技術分析。

1.1橢圓曲線加密

密碼學中橢圓曲線通常定義在一個素數有限域Fq，其中q是一個大素數，它由一個三次方程定義[7]

y2=x3+ax+b

(1)

式中：a,b∈Fq是常量，且4a3+27b3?0。Fq上的橢圓曲線E由所有滿足方程(1)的坐標(x,y)和無窮大點?構成

E(Fq)=(x,y)∈Fq×Fq,其中y2=x3+ax+b∪?

(2)

P∈E(Fq)是p階的一個點，G是由P生成的一個組。p是一個素數，p2不劃分E(Fq)的階。G在點加"+"的作用下構建一個循環群，定義如下：令P,Q∈E(Fq)，l是包含P和Q的直線(當P=Q時，l為E(Fq)的切線)，R是l與E(Fq)相交的第3個點。令l′為包含R和?的直線，P"+"Q是l′與E(Fq)在點R，?和P"+"Q處相交的點。E/Fq的點乘可計算為nP=

尋找對應于nP的n和P的問題稱為橢圓曲線離散對數問題(ECDLP)[8]。

1.2EIBAS的簽名認證

EIBAS是一種基于ID的簽名方案，可以減小簽名的大小，保障用戶在WSN中的廣播安全。其中，用戶的公鑰直接從其公共身份信息產生，用戶的私鑰由一個私鑰生成器(PKG)計算得到。EIBAS方案的4個步驟(偽代碼)如下描述[6]：

1)設置安全參數k，生成密鑰：

指定E/Fq和p階的P點。

●從Zp中隨機選擇一個系統的密鑰x，設置系統公鑰為P0=xP。

●發布系統參數(E/Fq,P,p,P0,H1,H2)，保持系統密鑰為x。

2)給定用戶A一個唯一標識符IDA∈{0,1}*，PKG基于Schnorr簽名算法生成A的私鑰PriA：

●選擇隨機數r，r∈Zp，計算R=rP。

●PKG通過安全通道將私鑰(R,s)傳送給用戶A。

3)通過標識符IDA和私鑰PriA生成用戶A的簽名：

●選擇隨機數y，y∈Zp，計算Y=rP。

●計算h=H2(IDA,m,R,Y)和z=y+hs。

●形成用戶A在m上的簽名為數組(R,h,z)。

4)對簽名(R,h,z)、IDA和信息m進行簽名認證：

●檢驗等式h=H2(IDA,m,R,zP-h(R+cP0))是否成立。如果成立，則簽名可接受，否則就拒絕。

1.3EIBAS的消息廣播和認證

EIBAS中，如果具有標識符ID的用戶想要廣播一個消息M，則會發送一個數據包PM

PM=(M,tt,ID,Sig{M,tt,ID})

(3)

式中：tt代表當前時間；Sig{M,tt,ID}為用戶在{M,tt,ID}上的EIBAS簽名。在接收到數據包PM后，傳感器進行如下操作：

1)檢查tt是否更新。

2)如果tt有效，驗證EIBAS簽名，否則丟棄消息。

3)如果簽名認證失敗，拒絕消息或者丟掉它；否則，傳播消息到下一跳。

2　本文快速認證方案

2.1改進EIBAS簽名認證

EIBAS方案的廣播認證過程中，在接收到一個廣播包后，所有的傳感器節點都執行相同的簽名驗證，且都需要計算h=H2(IDA,m,R,zP-h(R+cP0))，然后計算zP,hP和hcP0，來確認EIBAS簽名。這3個值都通過橢圓曲線上的標量乘法計算，因此產生了顯著認證時間和能源消耗。為了提高認證速度，本文對EIBAS進行改進，提出一種快速簽名認證方案。其核心思想是，在廣播認證過程中，接收到廣播包的第一批傳感器節點執行相同的簽名驗證，然后向鄰居節點共享一些中間計算結果，減少鄰居節點的計算量，通過節點間的合作提高驗證速度。改進EIBAS簽名認證方案的認證過程如圖1所示。

圖1　改進EIBAS數字簽名認證過程

在圖1中，用戶廣播(M,tt,ID,Sig{M,tt,ID})數據包，其中Sig{M,tt,ID}=(R,h,z)是(M,tt,ID)的EIBAS簽名。當節點A，B和C接收到包且成功完成簽名認證后，它們決定分別釋放一個中間計算結果(l1P=zP，l2=hP或l3P0=hcP0)給鄰居節點。這意味著與A相鄰的節點D和E，只需通過執行兩次橢圓曲線標乘和兩次橢圓曲線點加計算zP-hR-hcP0，就可以進行數字簽名的快速驗證，其中，hR和hcP0可通過節點D和E自身進行計算，zP通過節點A獲得。節點F，G，H和I也可以類似的方式執行快速簽名驗證。因此，如果WSN中的一些節點釋放其中間計算結果，其所有相鄰節點都可以通過計算兩個標乘和兩個點加(而不是3個標量乘法)來快速驗證數字簽名。由于點加運算的計算量很小，可以忽略不計，所以和傳統EIBAS簽名認證相比，可以提高33%的性能。

注意，本文方案假設每個節點把中間計算結果發送到它的相鄰節點，若該中間計算結果是三個信息中的任意兩個，即 (l1P-l2R)=(zP-hR)，(l1P-l3P0)=(zP-hcP0)或(l2R+l3P0)=(hR+hcP0)。那么，和傳統的EIBAS簽名認證相比，本文方案可以實現約66%的性能提升。若把3個中間計算結果全部公布，可再次提高速度，然而這樣存在很大的危險性。攻擊者可以通過標識符IDA捕獲傳感器節點A，偽造中間計算結果，并能輕易地通過認證。

于是，本文只允許傳感器節點最多釋放{l1P,l2R,l3P0}中的兩個中間結果來進行簽名認證。為簡單起見，本文假設傳感器節點釋放的是l2R和l3P0。因此，節點發送消息為

{M,tt,ID,Sig{M,tt,ID},(l2R+l3P0)}

(4)

令MUL和ADD分別代表橢圓曲線標乘運算和橢圓曲線點加運算。在本文方案中，一個傳感器節點會收到數據包{M,tt,ID,(R,h,z)}或{M,tt,ID,(R,h,z),l2R+l3P0}。如果接收到數據包{M,tt,ID,(R,h,z)}，傳感器節點將首先計算l1P，然后，等待一個很短的時間α，觀察是否能從相鄰節點得到提高簽名速度的有用信息。如果能得到，該節點可通過1MUL+1ADD結束簽名認證，否則，該節點將通過3MUL+2ADD來完成驗證。如果簽名被成功驗證，該節點將繼續傳遞廣播包到相鄰的節點，并釋放中間計算結果，否則，該傳感器節點將發送一個簽名報告給基站。一旦基站接收到來自網絡的足夠多的報告，它將執行相應的安全機制來識別WSN的受損節點。

2.2預防攻擊

雖然本文方案考慮了攻擊行為，但仍然容易受到攻擊。

攻擊者：

1)隨機選取m′,z′,R′,Y′,M′={m′,tt,IDA}。

2)計算h′=H2(IDA,M′,R′,Y′)。

5)使用(R′,h′,z′)作為消息M′的簽名，并且發布假廣播包{M′,(R′,h′,z′),Q}到相鄰的節點。

受害者：

1)計算c′=H1(IDA||R′)。

3)根據公布的兩個中間計算信息和簽名，受害者計算H2(IDA,M′,R′,z′P-Q)，并和接收到的h′進行比較。其結果是，受害者接收的M′為一個有效的消息。

為了抵御這種攻擊，本文對上述方案又進行改進，添加一個系統參數β。每個傳感器節點首先等待α秒，從不同相鄰節點得到β個數據包(即(R,h,z)或{(R,h,z),l2R+l3P0}，其中，α和β可選擇，使傳感器節點可以從不同的可信相鄰節點接收到至少一個數據包。接著，傳感器節點檢查β個數據包是否具有相同的(R,h,z)和l2R+l3P0。如果傳感器節點發現接收到的數據包具有不同的R,h,z或l2R+l3P0，那么它將向基站發生潛在攻擊報告。否則，傳感器節點檢查是否接收到有用的l2R+l3P0，如果有，該節點可通過1MUL+1ADD結束簽名認證，否則，該傳感器節點將利用3MUL+2ADD進行傳統的簽名驗證。簽名認證后的步驟和基本方案中的步驟一樣。

對于α和β的選擇，本文方案中，假設傳感器節點A平均擁有λ個相鄰節點，且其中一半將通過特定路徑廣播數據包到A。本文還假設在A的λ/2個相鄰節點中，υ個節點會受到攻擊者的影響，且它們最多發送w個偽造數據包給A。需要注意的是，若要想進行攻擊，則所有惡意節點必須相互串通，發送相同的偽造數據包到A。否則，只要存在不同數據包，A將放棄所有數據包，并且報告給基站。為了使本文方案抵御這種共謀攻擊，需要保證接收到的數據包數要大于惡意節點數，即閾值β應該滿足

λ/2≥β≥υ·w+1

(5)

在確定閾值β后，選擇延時參數α，使β個數據包能被傳感器節點A接收。延時參數α取決于傳輸數據的速率和傳感器節點上使用的無線電收發器的無線電退避。A的無線電退避是在發送前的一段暫停時間周期?？紤]兩個無線電退避周期，即初始退避(InitialBackoff)和阻塞退避(CongestionBackoff)。考慮到所有的這些因素，本文得出延時參數α應該滿足

α≥(SizeMAX/RateMAX+Init_BackoffMAX+

Cong_BackoffMAX)×β

(6)

式中：SizeMAX，RateMAX，Init_BackoffMAX和Cong_BackoffMAX分別代表允許的最大包大小、最大發送數據速率、最大初始退避和最大阻塞退避。

3　能耗和安全性分析

3.1能耗分析

假設具有平均N個傳感器節點的簽名驗證，PT為傳感器節點T釋放其中間計算結果的概率。令Es，Er分別表示發送、接收一個包的能耗，EMUL表示傳感器節點上計算一個橢圓曲線的標量乘法的能耗。每個節點平均具有λ個相鄰節點。則可以通過以下的快速簽名認證過程，估算出額外消耗/節約的能量。

1)節點T局部廣播其中間計算結果，消耗T×Es的能量。

2)大約有λT/2個傳感器節點將會接收到中間計算結果，消耗λT/2×Er的能量。

3)大約有λT/2個傳感器節點將會通過運用接收到的中間計算結果提高它們的簽名認證速度，將節約λT/2×2EMUL=λT×EMUL的能量。

因此，與EIBAS方案相比，本文方案的額外消耗/節約的能量為

(7)

3.2安全性分析

1)重放攻擊

重放攻擊利用重發之前的合法消息作為當前消息進行攻擊[9]。本文方案通過廣播消息中攜帶的時間戳信息tt來抵御這種攻擊。需要注意的是，使用時間戳來抵御重放攻擊必須具有同步機制。也可以使用隨機數來代替時間戳，隨機數實時更新，不可預知。

2)女巫攻擊

女巫攻擊通過非法聲稱多重身份來破壞網絡協議的運行[10]。本文方案中，私鑰生成器(PKG)為每個用戶標識符(ID)生成一個私鑰，并分配給用戶。用戶可以一直使用私鑰對消息進行簽名，生成的簽名根據用戶的ID不同而不同。為了能偽造用戶的ID，攻擊者必須偽造一個新的私鑰，然而，這只有通過獲取系統的密鑰x才能實現。這種情況下，除非系統密鑰x被盜或者基站被攻擊，否則，女巫攻擊就可以避免。

3)拒絕服務攻擊

拒絕服務(DoS)攻擊是通過對網絡進行消耗性攻擊，使其無法提供服務[11]。本文方案中，可通過廣播消息的實時簽名認證，設定驗證失敗的次數閾值來避免DoS攻擊。當檢測到攻擊后，傳感器節點將發送報告到基站。基站接收到來自網絡的報告后，會執行相應的安全機制來識別網絡中的惡意節點。

4　實驗及分析

利用NS2工具構建一種4×4網格化傳感器仿真網絡，如圖2所示。其中每個節點僅能與它距離一跳的鄰居節點通信，用戶將其簽名的廣播包發送到節點1，然后通過轉發傳播到各個節點。例如，廣播消息要到達節點12，則需要經過6輪的傳遞(節點1，2，6，7，11和12)。

圖2　4×4網格化WSN模型

實驗中，為更好地模擬實際環境，根據一個具有8位處理器ATmega128L的實際傳感器節點參數來設定仿真參數:工作頻率為8MHz，遵循IEEE802.15.4標準，工作電壓為3.0V，活動狀態下電流消耗為8.0mA，接收電流消耗為19.7mA，發送電流消耗為17.4mA，數據傳輸速率為250kbit/s。ATmega128L處理器在橢圓曲線上進行一次點乘需要0.81s[12]。

4.1理論計算分析

理論計算分析中，只考慮3個主要能量消耗操作[13]，即標量點乘、信息發生和接收，其余操作引起的功耗可以忽略不計。根據實際傳感器性能參數，設定傳感器節點發送一個比特數據能耗為Es=1.67μJ，接收一個比特數據能耗為 Er=1.89μJ，一次橢圓曲線的標乘運算的能耗為EMUL=19.44mJ[14]。

在EIBAS中，傳感器認證簽名主要需要3個點乘運算，則簽名驗證消耗為Ever=58.32mJ。若傳感器節點需要傳輸128bit的數據，傳輸一次128bit數據總體能耗為(1.67+1.89)×128uJ+52.32mJ=58.77mJ。可以看出，在認證過程中，能量消耗主要為標乘運算。

本方案中簽名包含E(Fq)上的一個點和Zp中的一個整數。為實現與1 024位RSA相同的安全等級，設定橢圓曲線的q和p大小分別為168bit和166bit，因此，傳感器發送消息{M,tt,ID,Sig{M,tt,ID},(l2R+l3P0)}的大小為139bit，其中，簽名大小為83bit，M為10bit，ID為2bit，tt為2bit，l2R+l3P0為42bit。 本文方案中，需要發送附加消息l2R+l3P0，因此需要一個額外的發送和接收能量，但總量非常小，不足0.2mJ。但本文方法卻減少了2次標乘運算，約節省39mJ的能量。所以一次傳播，理論上整體能耗比傳統EIBAS方案降低約66%。

4.2仿真性能比較

運行傳統EIBAS、ECDSA、F-ECDSA和本文方法，在能耗和時間效率上進行比較。實驗中，所有操作和節點狀態的能耗都被考慮，每個節點消耗的能量都會被記錄，并計算網絡中總能量消耗，同時記錄傳播時間。一次廣播消息傳遍整個網絡的能耗和時間數據如表1所示，數據為10個獨立運行結果的平均值。

表1網絡消耗的總能量和傳遞時間

對比項EIBAS本文方案ECDSAF-ECDSA能量/mJ2064131520961760時間/s49.2028.3154.7438.92

當考慮多種能耗時(CPU空閑狀態能耗等)，本文方案的實際能耗并沒有像理論計算中的改善66%。表1表明，本文方案的能耗比傳統EIBAS方案降低約36.3%，比F-ECDSA方法降低約25%。本文方案的擴散時間比傳統EIBAS方法減少了約42.5%，比F-ECDSA方法減少約27.3%。

假設節點由2節容量為2 450mAH的AA電池供電，那么4×4的網絡初始狀態時各節點具有26 460J的能量，整個網絡能量約為4.23×105J。在實驗中，假設當電池電壓低于2.1V時，網絡停止運行，即當網絡能量降到3×105J時，就不能正常工作。以此來測量網絡的生命周期，各種方案的網絡生命周期如圖3所示。

圖3　網絡的生命周期

從圖3可以看出，由于本文方案的計算量小，總體能耗最低，所以本文方案的網絡生命周期最長，可達到約4 500 輪，而傳統EIBAS大約在3 000輪網絡就不能正常運行。

5　結束語

本文提出了一種基于ID和ECC的WSN快速認證方案，在現有EIBAS方案的基礎上進行改進，通過節點共享中間計算結果來減少鄰居節點的計算量，提高簽名驗證速度，從而來減少耗能并且延長網絡生命周期。同時考慮了改進帶來了安全隱患，并提出一種安全機制來預防攻擊。仿真實驗表明，與EIBAS方案相比，本文方案在驗證階段的能量增益提高約36%，比F-ECDSA方案提高大約25%。另外，本文方法加速了網絡中信息擴散，減少了總擴散時間和空閑狀態的能量消耗，從而提高了網絡的生命周期。未來工作中，將設計負載均衡技術和尋找更優的擴散模式達到更高的節能效果。

[1]楊奎武，郭淵博，馬駿，等.基于網絡編碼的延遲容忍移動傳感器網絡低時延廣播傳輸機制[J].電子與信息學報，2012，34(5)：1239-1245.

[2]程紅舉，黃行波，XIONGN.不可靠通信環境下無線傳感器網絡最小能耗廣播算法[J].軟件學報，2014，25(5)：1101-1112.

[3]任勇軍，王建東，徐大專，等.自認證公鑰的無線傳感器網絡密鑰協商協議[J].計算機研究與發展，2012，49(2)：304-311.

[4]AQEELK，KULDIPS，SANDEEPS.Implementationofellipticcurvedigitalsignaturealgorithm[J].Internationaljournalofcomputerapplications，2010，1(2)：21-27.

[5]CHANDEMK，THAKURBS.Anellipticcurvebasedmulti-signatureschemeforwirelessnetwork[J].Internationaljournalofinformation&networksecurity，2013，30(1)：2089-3299.

[6]SHIMKA，LEEYR，PARKCM.EIBAS：anefficientidentity-basedbroadcastauthenticationschemeinwirelesssensornetworks[J].AdHocnetworks，2013，25(6)：134-

142.

[7]昝亞洲，劉文芬，魏江宏，等.適用于無線傳感器網絡的動態ID認證方案[J].密碼學報，2014，1(5)：422-436.

[8]羅文俊，付海洋.一種基于橢圓曲線的WSN密鑰管理方案[J]. 計算機工程與應用，2013，49(19)：88-91.

[9]BIJN，XUE.Anenergy-efficientattackdetectionprotocolforWSN[J].Appliedmechanics&materials，2013，380-384：2716-2719.

[10]胡蓉華，董曉梅，王大玲.SenLeash：一種無線傳感器網絡蟲洞攻擊約束防御機制[J]. 通信學報，2013，34(10)：65-75.

[11]MANSOURID，MOKDADL，BEN-OTHMANJ，etal.DetectingDoSattacksinWSNbasedonclusteringtechnique[C]//WirelessCommunicationsandNetworkingConference(WCNC)，2013.[S.l.]：IEEE，2013：2214-2219.

[12]HEOJS，OKKS，KIMKC.Publickeytechniquesforpreventionofresourceexhaustionattackinwirelesssensornetworks[J].Advancedmaterialsresearch，2013，740：159-

163.

[13]王艷，萬鏹.生物啟發的無線傳感器網絡能量均衡方法研究[J].系統仿真學報，2013，25(12)：2860-2866.

[14]趙彤，楊文國.無線傳感器網絡中基于能效的最優數據包長[J].中國科學院大學學報，2008，25(2)：161-166.

何常勝(1976— )，講師，碩士，研究領域為網絡安全、云計算等；

孫宇軒(1979— )，碩士，主研計算機輔助技術、數據庫安全等。

責任編輯：許盈

Fast authentication scheme of WSN broadcast based on ECC and ID signature

HE Changsheng, SUN Yuxuan

(ShaoguanUniversityShaozhounormalbranch,GuangdongShaoguan512009,China)

Broadcast authentication is a fundamental security service in wireless sensor network (WSN). For the issues that the existing authentication schemes has the disadvantages such as large amount of calculation, slow authentication and so on, a fast authentication scheme of WSN broadcast based on ECC and ID signature is proposed. The existing EIBAS signature authentication scheme is improved, the calculation amount of neighbor nodes are reduced through sharing intermediate computing results between nodes, in order to improve the speed of certification, reduce energy consumption. At the same time, a security mechanism is proposed to resist the attack of the malicious nodes by comparing the data from the multiple neighbors. Experimental results show that the proposed scheme can improve the speed of signature verification by about 42% compared with the traditional elliptic curve encryption algorithm, which can reduce the energy consumption by about 36%, and greatly extend the network lifetime.

wireless sensor network; fast authentication of broadcast; elliptic curve cryptography; identity

TP393

A

10.16280/j.videoe.2016.09.018

2015-07-22

文獻引用格式：何常勝，孫宇軒.基于ECC和ID簽名的WSN廣播快速認證方案[J].電視技術，2016，40(9)：89-94.

HE C S，SUN Y X.Fast authentication scheme of WSN broadcast based on ECC and ID signature[J].Video engineering，2016，40(9)：89-94.