基于多因子的ZigBee安全認證機制

冷洋

針對ZigBee網絡節點入網認證機制中存在認證機制不完善、協調器的負載過大的不足，設計了基于多因子的ZigBee安全認證機制，以特定周期更新的新鮮因子并將其與節點硬件信息綁定，匹配節點上傳的密鑰信息因子和配置因子完成身份認證以防止非法節點入網對整個網絡造成危害。安全性分析及測試結果表明，該機制在保證網絡節點入網安全的前提下實現了協調器的負載均衡，改善了其綜合性能。

【關鍵詞】ZigBee 多因子 安全認證

1 引言

ZigBee是具有功耗低、成本低、時延短、抗干擾性強的短距離無線通信技術，廣泛應用于無線網絡領域。但由于網絡規模大，數據通信量小，環境安全難于控制。因此，出現了一系列針對ZigBee入網及通信安全的研究，如針對網絡安全威脅與攻擊、信任機制、節點身份認證[1]等。文獻[2]提出的基于信任中心的認證方案，能夠解決移動節點問題，但加重了協調器的負擔。文獻[3]指出適合ZigBee節點身份認證的技術，但其僅適合單播通信節點的認證，在多播通信節點中會使組密鑰信息泄露，導致網絡不安全；當密鑰因子泄露時會導致系統處于不安全狀態。

綜上所述結合非對稱密碼體制認證方案以及MAC層協議，提出一種適用于ZigBee網絡的“新鮮因子+配置信息+密鑰”多因子安全認證方案，設計簇頭與控制中心、終端的雙向認證流程，保證入網節點的合法性，抵御中間人攻擊以及有效降低了協調器的負載，提高了ZigBee網絡的綜合性能。

2 多因子安全認證機制設計

方案中采用橢圓曲線密碼機制。簇頭發送入網請求幀，控制中心經認證通過后與簇頭建立網絡連接。然后，終端節點發送入請求幀，經簇頭認證通過后建立整個網絡結構。其具體的認證入網流程如下。

CHj在獲取到NC的公鑰PuKNC后將初始對稱密鑰keyic、IEEE地址、初始配置時間和網絡ID加密發送給NC并且C=（keyic||Ad||Tdata||PANID）。NC計算DeECCk（c）得到keyic、Ad、Tdata和PANID后生成index（i）及Ti將該索引項信息存入控制中心合法節點庫中。NC構造m=將發送給CHj。NC生成初始D并將含有該隨機數的信標幀M以周期T0廣播發送到各節點。CHj接收到NC發送的包含有D的信標幀后利用單向函數變換得到自身硬件信息因子H并保存。NC接收到消息m1檢測T3到是否新鮮，檢測通過后驗證簽名的有效性隨后查找索引項index（j），利用當前的D計算硬件信息因子H并提取TLi和Tdata與消息m1中的字段匹配，匹配成功時NC獲取當前時間戳T4并構造消息m2=向CHj發送消息m3=。CHj提取m3的簽名驗證字段，驗證通過時檢測T3T4的合理性然后確定m2來自于NC并更新兩者之間的對密鑰keyid從而完成CHj與NC的雙向認證。

3 測試與分析

為了驗證本方案設計的三種協議對入網性能的影響，設置兩組對比實驗，實驗組一協調器與終端里的協議設置為基于Zigbee自身的協議；實驗組二協調器與終端的協議設置為本方案設計的通信協議協議。將兩組設備分別接入可信路由節點，記錄設備入網成功所用的時間。

實驗組2認證入網成功所用的平均時間略高于實驗組1（相差5ms以內），在用戶體驗時，時延可以忽略，達到了協調器負載均衡的要求。因此本方案設計的安全協議性能達到了預期要求。可知本方案基于多因子安全認證機制的優點，協調器負載率明顯降低，免疫力更強，擴展性更好，具有更高的優越性，相比原有的Zigbee規范中的認證方案，本方案在實現Zigbee節點的認證通信開銷很小，同時有效的減小了協調器負載，提高了綜合性能。既能在安全方面實現設備之間的安全身份認證，又能在性能上滿足用戶的響應時間需要。

4 結語

基于ZigBee網絡以其低功耗、高安全性、網絡節點容量大、低成本等特點必定將受到社會的青睞，本方案針對ZigBee網絡缺乏身份認證以及協調器負載過大，從ZigBee網絡的路由協議方面入手，結合分簇路由協議，并在深入把握ZigBee協議規范和組網技術的基礎上，設計了一種多因子的ZigBee安全認證機制，對簇頭與控制中心、簇頭與終端節點的雙向認證進行了設計。有效解決了ZigBee節點入網認證存在的安全問題，實驗測試與分析結果表明系統設計達到預期要求，有效降低了通信開銷，使協調器達到負載均衡，同時增強了ZigBee節點安全入網認證的性能。

參考文獻

[1]Roszainiza Rosli，Yusnani Mohd Yusoff，Habibah Hashim. Performance Analysis of ID-Based Authentication on Zigbee Transceiver[C]2012IEEESymposium on Wireless Technology and Applications，012.USA：IEEE，2012.

[2]LeeKyunghwa，LeeJoohyun，ZhangBongduk，etal.An enhanced trust center based authentication in ZigBee networks[C].Advances in Information Security and Assurance，LectureNotes in Computer Science，Seoul，2009，5576：471-484.

[3]楊同豪，郁濱.基于身份的ZigBee節點認證方案[J].計算機工程與設計， 2012，11：1000-7024（2012）11-4127-04

作者單位

鄭州信息科技學院 河南省鄭州市 450000