基于Merkle哈希樹的無線軀體傳感器網絡安全認證方案

張皓　李楊波　馬飛

摘 要： 針對無線軀體傳感器網絡（WBSN）數據傳輸的安全性，提出一種融合Merkle哈希樹和網絡編碼的輕量級認證方案。首先，將傳感器網絡構建成Merkle哈希樹結構，只對根節點進行數字簽名；然后，在哈希樹中選擇一個最優層進行網絡編碼，形成恢復數據包，并將數據包、簽名和恢復包發送給接收器；最后，接收器通過密鑰對根節點簽名進行驗證，若存在節點丟失，則根據恢復數據包重建哈希樹，從而對數據進行認證。實驗結果表明，該方案能夠實現對數據的安全認證，且需要較少的網絡開銷，滿足WBSN的性能需求。

關鍵詞： 無線軀體傳感器網絡； 安全認證； Merkle哈希樹； 網絡編碼

中圖分類號： TN915.08?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2017）03?0065?06

Merkle Hash tree based security authentication scheme for WBSN

ZHANG Hao1， LI Yangbo1， MA Fei2

（1. Department of Computer Science and Technology， Henan Institute of Technology， Xinxiang 453000， China；

2. School of Computer Science， Wuhan University， Wuhan 430072， China）

Abstract： Aiming at the data transmission security of the wireless body sensor network （WBSN）， a lightweight authentication scheme based on Merkle Hash tree and network coding is proposed. The sensor network was constructed as the Merkle Hash tree structure for digital signature only for the root node. An optimal layer in the Hash tree is chosen to conduct the network coding， form the recover data packet， and send the data packet， signature and recovery packet to the receiver. The root node signature was verified by the receiver via the key. If the node is missing， the Hash tree will be reconstructed according to the recover data packet to authenticate the data. The experimental results show that the scheme can realize the data security authentication， needs less network overhead， and meets the performance requirement of WBSN.

Keywords： wireless body sensor network； security authentication； Merkle Hash tree； network coding

0 引 言

移動醫療是由可穿戴無線感應節點組成，與手持設備配合使用，使病人在家就能夠實現健康監測和治療，能夠大幅削減醫療保健開銷。其中，無線軀體傳感器網絡（Wireless Body Sensor Network，WBSN）起著關鍵作用，WBSN是基于無線傳感器網絡（WSN），由采集人體生理參數的穿戴式傳感器組成[1]。然而，可穿戴醫療監測設備要融入到醫療保健系統的前提是這些設備產生的數據具有可信性[2]。

文獻[3]提出基于公鑰算法的實體認證協議，由傳感器節點執行RSA或ECC公鑰算法的加密和驗證簽名，由能源充足的基站執行解密和簽名完成認證過程。然而應用公鑰算法使得協議本身就讓節點能量消耗較大。文獻[4]通過哈希（Hash）函數運算，并對數據內容進行數字簽名。然而，數字簽名計算量較大，通常要比對稱密鑰操作高出兩到三個數量級。文獻[5]提出一種適用于無線傳感器網絡基于分簇的Merkle哈希樹實體認證協議（CMAS），利用Merkle哈希樹的思想，結合網絡分簇技術，避免采用公開密鑰算法實施數字簽名計算量大的問題。

本文提出一種用于無線軀體傳感器網絡的新型認證方案，結合Merkle哈希樹和網絡編碼技術，發送器根據數據項的哈希表生成哈希樹，并只對根節點進行數字簽名。接收器沿著認證路徑通過反復Hash運算認證數據，直到根節點抵達為止。由于數據包丟失，沿著認證路徑的節點可能無法抵達接收器。為此，發送器應用網絡編碼插入恢復數據包幫助接收器重建認證路徑。穿戴式設備僅需要進行不頻繁的數據簽名（一小時一次），減少了能量消耗，在丟包情況下仍可以認證大部分數據。該方案的主要目標是認證接收到的數據包，即使在數據集發送丟失較多數據包的情況下。

1 系統模型

為了使無線軀體傳感器網絡應用到人體健康領域，考慮如圖1所示的遠程健康服務系統基本架構，由不同的設備和多個接入點組成。在家的病人可以通過穿戴無線傳感器裝置來讀他的血壓、心電圖等。這些數據將周期性地傳送到基站（智能手機或PDA），并可以上傳到互聯網上的衛生服務云端[6]。授權的醫生和護士可以直接訪問數據庫，對病人進行診斷和監測。

在這個過程中，數據的安全性尤為重要，其主要存在兩種威脅[7]：

（1） 外部攻擊，攻擊者可以通過竊聽消息，然后偽裝成另一個實體，向網絡中注入虛假數據；

（2） 內部攻擊，合法的用戶試圖通過他們的手機終端篡改生理數據，或者憑借他們的身份信息登錄到云端刪除或修改數據文檔。為此，本文提出一種基于Merkle哈希樹和網絡編碼的數據認證方案，確保人體醫療數據的安全性。

1.1 哈希樹

哈希樹可以用來驗證數據集，利用Hash計算數據項集上的消息摘要，通過連接操作構建一個樹結構來包含整個數據集[8]。一個高度為[h]的哈希樹如圖2所示，其中[H（i，j）]表示第[i]層第[j]個樹節點，最底層為相應數據項的Hash運算，例如，Hash（[Dj]）中，[Dj]是第[j]個數據項，Hash（）為一個彈性沖突Hash函數。每個樹內部節點通過Hash運算連接它的子節點，由于Hash函數的單向性，每個節點可以驗證它的子節點，包括所包含的數據項。

如果在樹的根節點設置一個數字簽名，則可以驗證所有的數據項。假設數據項和簽名的根節點被可靠傳輸，接收者可以根據這些數據重建樹，利用發送方的公鑰來驗證簽名，同時驗證所有數據項[9]。

1.2 網絡編碼

網絡編碼可以將節點發送數據包進行線性組合來提高網絡吞吐量，使接收者可以快速分離信息和重建。

本文在數據包層應用網絡編碼，每個編碼數據包（恢復包）[X]和一組[n]個系數[g1，g2，…，gn]相關：[X=][i=1ngiMi，]其中[M1，M2，…，Mn]為原始數據包。為了成功恢復所有數據，接收者需要所有原始數據包和恢復數據包。

2 提出的安全認證方案

本文方案按照樹高度和恢復開銷來配置傳感器裝置，隨著感應數據項的增加，在數據項上構建一個哈希樹，并且使用傳感器的私鑰對根節點進行數字簽名。同時，發送器設備構建恢復數據包，與恢復開銷數目相同。然后，將這些數據項、恢復數據包、簽名根作為可用數據進行傳輸，而樹的內部哈希節點是從不傳輸的。

既然在樹中所有數據認證都是基于接收到的簽名進行，故假定接收器（基站或者存檔式數據庫）能可靠地接收簽名根節點，也就是使用了可靠的傳輸協議。然而，數據項與恢復數據包一樣，都是非可靠地傳輸，這就可能會導致丟包。由于數據項被接收，則樹可以通過接收器進行重建。在高度[h]的樹上（層次由底部向頂部計數），[i]層有[N（i）=2h-i+1]個節點，其中有[l]個被接收到。在此層上有[R（i）]個數據恢復包，其中[k]個被接收到。如果[l+k≥N（i）]，則接收器能夠完全重建樹[i]層，并最終把在樹中[i]以上的所有層次（通過連續的拼接和哈希）都恢復[10]。因此，一個數據項的可認證性不再需要接收全部的數據項，而只需要在[i]層具備重建認證路徑的能力。

本文方案中，穿戴式傳感設備的操作過程如圖3所示。

發送器設備操作的詳細流程如下：

（1） 引導程序：假定接收器能夠訪問傳感器的公鑰。用于編碼的線性相關系數采用確定性算法[11]預先計算，兩個通信部分在引導階段進行通信，其中允許的恢復成本為[R（i），]并在樹[i]層應用網絡編碼。

（2） 數據取樣、樹的構建和數字簽名：傳感器按照采樣頻率對數據取樣，每一個數據項可能包含若干拼接的樣本。哈希樹都是并行構建的，數據項一次哈希產生相應樹的葉子；然后進行傳遞和刪除，以此節約內存。隨著胞葉子成為可用葉子，則它們通過哈希產生父級，之后被丟棄。任何時刻，緩存在傳感器設備內存中的內部樹節點都不會超過[h]個，同時，樹總會保持進行部分構建來降低內存的消耗。對于具有4 096個數據葉子和8 191個內部哈希節點高度為[h=12]的樹，發送器根本不必要進行緩沖，但是任何時候都要存儲1個數據葉子和12個哈希節點[12]。當計算根節點時，它就會利用可靠的協議進行簽字并傳輸，其中，內部哈希節點不會被傳輸。

（3） 網絡編碼：編碼是作為累積操作來執行，傳感設備為允許恢復數據包[R（i）]維持一個運行的緩沖器。當樹節點被累積到恢復數據包中的一部分時，它才能被舍棄掉。當準備好恢復的數據包后，將會被傳輸。需要注意的是，恢復數據包會在發送器的內存中存儲，所以數量不能太多。

接收器設備操作的詳細流程如下：

（1） 數據包接收、簽名認證和樹的重構：接收的數據包會在數據集中進行映射，發送器的公鑰用于認證根節點上的簽名。從底部往上進行樹的重建，樹中一些節點將會由于丟失的數據項而缺失。

（2） 網絡編碼：在[i]層，接收的恢復數據包用于嘗試恢復丟失節點。如果在這個層次上所有節點都是可用的，則可以重建更高層次的樹。否則，更高層次樹中也將會有丟失的節點。

（3） 數據認證：具備到根節點都有完整認證路徑的數據項可以通過認證；否則，認證失敗。

3 網絡編碼的最優配置

當恢復數據包[R（i）]在層[i]上發送，同時[R（j）]在樹的更高層次[j]（[j>i]）上發送時，在接收器部分，如果在層[i]上丟失節點的數量比[R（i）]少，所有丟失節點都能夠恢復。這樣，更高層次就能夠完全重建，那么層[j]的恢復數據包就會無用浪費。另外一方面，如果層[i]的丟失節點數目超過了[R（i），]則層次[i]的網絡編碼就不能恢復任何節點，也將被丟棄。所以，不管哪種情況，其中的一個數據包總會被廢棄掉。為了節約資源，本文只考慮對樹的一個層次進行網絡編碼，并提出一種框架來確定所要編碼的最優層次[i]，達到最大的認證概率。

3.1 認證概率

首先計算接收器能夠認證接收數據項[D]的認證概率[Pver。]本文中，設定數據包接收概率為[p]（相反地，數據丟失的概率為[1-p]），網絡編碼成本（恢復數據包數目）為[R]，編碼的樹層為[i]。設定的目標是為了找到具有最大[Pver]的層[i]。模型做了如下簡化假設：

（1） 每個數據項和恢復信息都是作為單獨的包進行傳遞的。

（2） 每個包都具有獨立同分布（IID）的成功接收概率[p]。

（3） 樹的根節點傳輸是可信賴的，不受制于丟包情況。

（4） 用于恢復的網絡編碼僅用在樹的單個層次上。

認證概率[Pver]對任意的數據包[D]進行計算，過程如圖4所示。

定義1：一個樹的節點[H（i，j）]當且僅當滿足下列條件之一，才可用作為接收器：

（1） 重建成功：對層次[i=1]（一個葉子節點），子級數據項[Di]被成功接收，或對[i=2，3，…，h]（一個內部樹節點，除了根節點之外），子樹中的數據項位于[H（i，j），]即從[D（2i，j）]到[D（2i，j-2i+1）]的數據項都被成功接收。

（2） 恢復成功：如果在層次[i]應用了編碼，那么層次[i]節點重建的總數（從子級開始）和接收到的恢復數據包數目之和至少等于層次[i]上的節點總數[N（i）=2h-i+1]（確保層次[i]所有節點和其上層的節點都能成為接收器）。

定義2：高度為[h]的樹在指定層次[i]上具有數據恢復包[R（i）]，則接收數據項[D]能被接收器認證的概率是下列兩個事件交集的概率：

（1） 子樹層次[i]上所有其他數據項（[D]是其中一部分）被接收。

（2） 所有在層次[i]的其他節點都可以成為接收器，通過在對應子樹中接收的所有數據項，或通過使用接收到的恢復包來恢復層次[i]上任意丟失的節點。

上面定義的兩個事件都是獨立的，使用這種方法，能夠計算出在樹中一個接收數據項[D]能得到認證的概率[Pver]：

[Pver=P{D所在的子樹接收到的所有其他數據項}×P{層次i上所有其他節點都可用}]

其中[P{ }]表示括號內事件發生的概率。由于[p]表示某個數據包成功接收的概率，而且在層次[i]上任何節點的子樹都有[2i-1]個葉子，因此可得：

[P{D所在的子樹接收到的所有其他數據項}=p2i-1≡ξ]

在樹的層次[i]上有[N（i）=2h-i+1]個節點。為了恢復[D]，無論是從接收數據包直接重建還是通過恢復，在這個層次上余下的[N（i）-1]個節點是否能成為接收器是至關重要的。根據接收數據包，層次[i]上任意單一節點的重建概率為[ξ]。然后，從[N（i）-1]子樹中準確獲取層次[i]的[l]個節點概率為：

[PN（i）-1l=N（i）-1lξl（1-ξ）N（i）-l-1]

從總共傳輸[R（i）]中正確接收[k]個恢復數據包的概率為：

[PR（i）k=R（i）kpk（1-p）R（i）-k]

因此，重建節點數目[l]和接收到的恢復數據包[k]需滿足[l+k≥N（i）-1]。最終，成功接收數據包[D]并被認證的概率為：

[Pver=ξk=0R（i）PR（i）kl=N（i）-1-kN（i）-1PN（i）-1lp]

3.2 確定編碼層次[i]

在不同層次[i]中，認證概率[Pver]隨編碼數據包數量的變化曲線如圖5所示。對于[i]=1層，僅僅需要6個恢復數據包（開銷少于10%），就能使認證概率從無編碼使用時的30%提升到100%。

本文中，系統主要應用于人體生理信息的傳輸（血壓、心電圖監測），所以每秒傳輸一次數據包較為合理。若每小時計算一次簽名，則高度為[h=12]的樹就可以滿足應用，共生成4 096個葉子。此時，恢復數據包從0～128時，相應的認證概率如圖6所示。初始階段為網絡編碼未使用時，認證概率接近于零，因為任何數據項的認證都依賴于樹中所有4 096個數據項的接收。隨著恢復數據包的增加，認證率也急劇增加。在大約110個恢復數據包時（對應大概3%的成本），認證概率可達到將近100%。

另外，圖6中標注的適合編碼的最優配置層次曲線由不同的分段曲線構成，因為在不同的恢復數據包下，最大認證概率對應的層次[i]不同，所以當需要確定具體編碼層次時，需要根據系統允許的最大恢復數據包開銷來確定[i]。

4 實驗結果及分析

上述認證框架中，對丟失數據點操作進行了簡化，假設每一個數據包都與概率[p]獨立同分布。然而，在實際中，無線傳感器網絡數據丟包具有突發性，所以本文使用Markov模型模擬突發丟包情況[13]。實驗中，比較了基于Merkle哈希樹和本文融合Merkle哈希樹和網絡編碼的兩種認證方案。

4.1 丟包模型

本文利用Markov模型模擬丟包情況，其中有兩種狀態，接收到的數據包（0）和丟失的數據包（1），[pg]和[qg]分別表示從接收到丟失和丟失到接收兩種狀態下的傳遞概率[14]，如圖7所示。根據穿戴式設備收集到的實驗數據推導出這些傳遞概率值。

4.2 實驗結果

進行真實的穿戴式網絡實驗：一個男性實驗對象穿戴兩個無線通信設備，一個安放在右手臂，另外一個安放在左邊腰部，在室內辦公環境下工作[15]。以每秒一個數據包的速度對無線信道取樣。設置三種場景：

（1） 低活躍度，實驗對象被安排在小隔間里。

（2） 中活躍度，實驗對象偶爾會從椅子上起來，在房間周圍走動。

（3） 高活躍度，實驗對象會參與到周期性的短期戶外活動。表1給出了每種場景下的丟包率（[1-p]）、平均脈沖長度、實驗持續時間和對應的狀態轉換概率，其中[pg]為從接收狀態到丟失狀態的信道轉換概率，[qg]為從丟失狀態向接收狀態轉變的信道轉換概率。

從表1可以看出，丟包率隨著活躍度的增加而增加，這是由于室外活動導致的，戶外環境會降低多重路徑。

把實驗衍生出來的參量[pg]和[qg]輸入到Markov模型中模擬在三種活躍度下且高度[h=12]的樹中的丟包情況，并測量了每個樹層[i]的認證概率[Pver。]不同活躍度下基本Merkle哈希樹認證方案和本文認證方案的接收數據認證概率曲線，如圖8所示。

圖8 基于Markov哈希樹和本文認證方案的性能比較

可以看出，本文方案比Markov哈希樹方案有更好的性能。對于高活躍度情景更為明顯，例如，當恢復數據包開銷為128個時，本文方案對接收數據項的認證概率能超過95%，表明本文方案需要較少的恢復數據包就能夠重建數據。例如，對于圖2中的哈希樹，考慮數據集中丟失兩個數據項的情形。如果丟包近似平均分布，此時[D1]和[D4]丟失（丟包都是最開始的半個數據集），則在層次1（[H（1，1）]和[H（1，4）]）和層次2（[H（2，1）]和[H（2，2）]）以及更高層次的樹將會有丟失的節點，在此情形下層次3只有[H（3，1）]丟失。此時如果一個編碼數據包在層次3被接收，則第二個一半數據集可以被認證，例如[D5～D8。]然而，如果兩個丟包是在一次脈沖中發生的，如[D1]和[D2，]對于樹的完整性影響將更小，且只需要更少的恢復開銷來彌補數據。因為，此時在層次1有兩個節點丟失（[H（1，1）]和[H（1，2）]），層次2（[H（2，1）]）和層次3（[H（3，1）]）有一個節點丟失。在這種情形下，如果接收到一個層次2的單一恢復包編碼，則[D3～D8]的6個數據項就能得到認證。

5 結 語

本文提出一種應用于人體傳感器網絡數據通信的安全認證方案，采用Merkle哈希樹來分攤數字簽名的成本，利用網絡編碼使認證方案對丟包具有魯棒性。同時選擇最優層進行單層網絡編碼來降低丟包恢復開銷，并最大化數據認證的概率。將基本Merkle哈希樹方案和本文方案進行比較，結果表明，本文方案在典型的室內環境下99%的數據都能被認證，且只需要較少的恢復開銷，能夠確保醫療數據的安全性。在未來的工作中將進一步改進方案，提升安全性能，使其能夠抵御網絡攻擊行為。

參考文獻

[1] 肖玲，李仁發，羅娟.體域網中一種基于壓縮感知的人體動作識別方法[J].電子與信息學報，2013（1）：119?125.

[2] 楊穎，劉軍.無線軀體傳感器網絡中低能耗的時間同步算法[J].電子技術，2011，38（6）：23?24.

[3] 楊麗娜，李士寧，張羽，等.傳感器網絡中一種輕量級的安全重編程方法[J].華中科技大學學報（自然科學版），2014，42（10）：74?78.

[4] NOROOZI E， DAUD B M D， SABOUHI A. Secure digital signature schemes based on Hash functions [J]. International journal of innovative technology & exploring engineering， 2013， 2（4）： 543?549.

[5] 王麗娜，施德軍，覃伯平，等.基于Merkle散列樹的無線傳感器網絡實體認證協議[J].傳感技術學報，2007，20（6）：1338?1343.

[6] ULLAH M G， CHOWDHARY B S， RAJPUT A Q， et al. Wireless body area sensor network authentication using vo?ronoi diagram of retinal vascular pattern [J]. International journal of wireless personal communications， 2014， 76（3）： 579?589.

[7] GIL Y， WU W， LEE J. A synchronous multi?body sensor platform in a wireless body sensor network： design and implementation [J]. Sensors， 2012， 12（8）： 10381?10394.

[8] 劉通，王鳳英.基于Merkle樹的起源完整性解決方案[J].山東理工大學學報（自然科學版），2012，26（3）：68?71.

[9] LI C L， CHEN Y. Merkle Hash tree based deduplication in cloud storage [J]. Applied mechanics & materials， 2014， 556： 6223?6227.

[10] ZHU Yi， LI Qingbao， ZHONG Chunli， et al. Non?balanced binary Hash?tree model for fine?grained integrity measurement [J]. Journal of Chinese Computer Systems， 2014， 35： 1604?1609.

[11] SANDERS P， EGNER S， TOLHUIZEN L. Polynomial time algorithms for network information flow [C]// Proceedings of 2003 the 15th Annual ACM Symposium on Parallel Algorithms and Architectures. San Diego： ACM， 2003： 286?294.

[12] 黃錦旺，胡志輝，馮久超.一種無線傳感器網絡的混沌Hash算法[J].計算機科學，2013，40（6）：49?51.

[13] 肖喜，田新廣，翟起濱，等.基于shell命令和Markov鏈模型的用戶偽裝攻擊檢測[J].通信學報，2011，32（3）：98?105.

[14] LIN W， BO L I， HAN L H. State determination algorithm of WSN based on twice grey Markov forecasting [J]. Compu?ter engineering & science， 2013， 35（8）： 41?45.

[15] 郭海鵬，文大化.基于WBSW技術的人體生命體征監控應用研究[J].長春理工大學學報（自然科學版），2013，36（1）：50?53.