WSN中基于橢圓曲線的可追蹤匿名認(rèn)證方案

常 芬 崔 杰 王良民

1(安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 合肥 230601)2(安徽大學(xué)信息保障技術(shù)協(xié)同創(chuàng)新中心 合肥 230601)3 (江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院 江蘇鎮(zhèn)江 212013)

WSN中基于橢圓曲線的可追蹤匿名認(rèn)證方案

常 芬1,2崔 杰1,2王良民1,3

1(安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 合肥 230601)2(安徽大學(xué)信息保障技術(shù)協(xié)同創(chuàng)新中心 合肥 230601)3(江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院 江蘇鎮(zhèn)江 212013)

(1198813216@qq.com)

A Traceable and Anonymous Authentication Scheme Based on Elliptic Curve for

在無線傳感器網(wǎng)絡(luò)中，傳感器節(jié)點(diǎn)布置在相應(yīng)的應(yīng)用領(lǐng)域,用于檢測(cè)周邊環(huán)境并發(fā)送檢測(cè)值給Sink.消息在轉(zhuǎn)發(fā)的過程中，消息的完整性及消息源的敏感信息應(yīng)該受到保護(hù).一方面，消息認(rèn)證是阻止未經(jīng)授權(quán)和損壞的消息轉(zhuǎn)發(fā)的最有效的方法；另一方面，采用匿名通信的方式可以隱藏敏感節(jié)點(diǎn)的身份信息，實(shí)現(xiàn)節(jié)點(diǎn)位置的隱私保護(hù).然而，匿名通信也為攻擊者提供了利用匿名技術(shù)進(jìn)行違法活動(dòng)的機(jī)會(huì).因此，追蹤惡意節(jié)點(diǎn)的身份就顯得尤為重要.為了解決無線傳感器網(wǎng)絡(luò)絡(luò)中的發(fā)送節(jié)點(diǎn)身份隱私泄露和惡意節(jié)點(diǎn)追蹤問題，提出基于橢圓曲線的可追蹤匿名認(rèn)證方案.方案將橢圓曲線和環(huán)簽名相結(jié)合，實(shí)現(xiàn)節(jié)點(diǎn)匿名通信，提供中間節(jié)點(diǎn)的認(rèn)證.仿真實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有方法相比，在簽名產(chǎn)生和認(rèn)證開銷相當(dāng)?shù)那闆r下，利用環(huán)簽名的可鏈接特性能夠?qū)崿F(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性，提高網(wǎng)絡(luò)的性能和安全性.

無線傳感器網(wǎng)絡(luò)；匿名認(rèn)證；可追蹤；環(huán)簽名；公鑰密碼體制

無線傳感器網(wǎng)絡(luò)(wireless sensor network， WSN)一般由一個(gè)或多個(gè)資源豐富的基站和大量資源受限的傳感器節(jié)點(diǎn)組成[1]，通過無線通信方式形成多跳的自組織的網(wǎng)絡(luò)系統(tǒng).無線傳感器網(wǎng)絡(luò)中的隱私主要分為2類[2]：內(nèi)容隱私(content privacy)和上下文隱私(contextual privacy).內(nèi)容隱私是對(duì)傳感器網(wǎng)絡(luò)中傳輸?shù)南⑻峁┩暾浴⒉豢傻仲囆约氨Ｃ苄员Ｗo(hù)，具體細(xì)化為數(shù)據(jù)融合和數(shù)據(jù)查詢2方面的隱私，一般情況下內(nèi)容的隱私可以用加密認(rèn)證技術(shù)實(shí)現(xiàn).上下文隱私通常是對(duì)通信實(shí)體的身份、位置和節(jié)點(diǎn)間流量信息的保護(hù).位置隱私包括對(duì)數(shù)據(jù)源節(jié)點(diǎn)和匯聚節(jié)點(diǎn)的位置隱私.

在實(shí)際應(yīng)用中，由于傳感器節(jié)點(diǎn)資源受限、部署環(huán)境惡劣而且采用無線多跳通信方式等特點(diǎn)，易受到攻擊者攻擊，引發(fā)嚴(yán)重的敏感節(jié)點(diǎn)身份隱私泄露問題.例如：在珍稀動(dòng)物監(jiān)測(cè)領(lǐng)域，攻擊者可以對(duì)源節(jié)點(diǎn)進(jìn)行ID分析攻擊，通過對(duì)獲取的源節(jié)ID信息分析，進(jìn)而獲得源節(jié)點(diǎn)的位置信息，從而發(fā)現(xiàn)珍稀動(dòng)物的位置對(duì)其進(jìn)行捕捉[3]；在軍事領(lǐng)域，身份隱私的泄露和篡改會(huì)導(dǎo)致戰(zhàn)術(shù)決策的失誤，使軍友陷入危險(xiǎn)之中；在智能家居和智能交通領(lǐng)域，傳感器采集的相關(guān)信息往往關(guān)聯(lián)到用戶實(shí)體，一旦敏感節(jié)點(diǎn)的ID信息泄露，將導(dǎo)致用戶信息泄露.因此，對(duì)無線傳感器網(wǎng)絡(luò)中敏感節(jié)點(diǎn)身份信息的保護(hù)意義重大.

針對(duì)攻擊者發(fā)起的ID分析攻擊，可以采取匿名通信的方式進(jìn)行抵御，通過匿名隱藏敏感節(jié)點(diǎn)的身份信息來實(shí)現(xiàn)節(jié)點(diǎn)位置的隱私保護(hù)[4-8].匿名通信固然能為節(jié)點(diǎn)提供隱私保護(hù)，但也為攻擊者提供了利用匿名技術(shù)進(jìn)行違法活動(dòng)的機(jī)會(huì).因此，在為節(jié)點(diǎn)提供匿名通信的同時(shí)，一旦有惡意節(jié)點(diǎn)發(fā)送無效或偽造信息，追蹤惡意節(jié)點(diǎn)的身份就顯得尤為重要.

如圖1所示，無線傳感器網(wǎng)絡(luò)(WSN)由大量傳感器節(jié)點(diǎn)組成，假定每個(gè)節(jié)點(diǎn)都知道它在傳感器領(lǐng)域的相對(duì)位置，而且可以和鄰居節(jié)點(diǎn)直接通過地理路由通信.整個(gè)網(wǎng)絡(luò)通過多跳通信全鏈接.假定安全服務(wù)器(security server， SS)負(fù)責(zé)在整個(gè)網(wǎng)絡(luò)內(nèi)產(chǎn)生、存儲(chǔ)、分配安全參數(shù)，該服務(wù)器不可能被破解.在網(wǎng)絡(luò)部署后，傳感器節(jié)點(diǎn)可能被破解.一旦被破解，則完全被攻擊者控制.已經(jīng)破解的節(jié)點(diǎn)不能產(chǎn)生能被SS和其他節(jié)點(diǎn)接受的新公鑰.

Fig. 1 Wireless sensor network model圖1 無線傳感器網(wǎng)絡(luò)模型

在圖1所示的網(wǎng)絡(luò)模型基礎(chǔ)上，本文考慮惡意節(jié)點(diǎn)或?qū)κ挚砂l(fā)動(dòng)2種類型的攻擊：主動(dòng)攻擊和被動(dòng)攻擊.

主動(dòng)攻擊可能只是被破解的傳感器節(jié)點(diǎn)發(fā)射的.一旦傳感器節(jié)點(diǎn)被破解，敵人將獲得存儲(chǔ)在破解節(jié)點(diǎn)的所有信息，其中包括被破解節(jié)點(diǎn)的安全參數(shù).對(duì)手可以修改信息的內(nèi)容；也可以假裝成其他節(jié)點(diǎn)，在協(xié)議中引入新的消息，刪掉原有的消息，用另外的消息代替原來的消息，并重放舊的消息，破壞通信信道；或注入自己的消息等.

采用各種方法對(duì)協(xié)議進(jìn)行攻擊，與協(xié)議無關(guān)的人能夠竊聽協(xié)議的部分或全部.通過被動(dòng)攻擊，敵人可以竊聽網(wǎng)絡(luò)中的信息傳播和進(jìn)行交通分析.如ID分析，攻擊者通過獲得先驗(yàn)消息或竊聽數(shù)據(jù)包信息的方式來獲得節(jié)點(diǎn)的ID信息，并通過監(jiān)聽分析得出節(jié)點(diǎn)ID與網(wǎng)絡(luò)拓?fù)渲g的對(duì)應(yīng)關(guān)系.

本文研究的重點(diǎn)是對(duì)上下文隱私中的敏感節(jié)點(diǎn)身份信息進(jìn)行保護(hù)的同時(shí)，必要時(shí)對(duì)惡意節(jié)點(diǎn)的身份進(jìn)行追蹤，提出基于橢圓曲線的可追蹤惡意節(jié)點(diǎn)的匿名認(rèn)證方案.本方案將橢圓曲線加密技術(shù)與可鏈接環(huán)簽名技術(shù)相結(jié)合，用以隱藏敏感節(jié)點(diǎn)的身份信息.當(dāng)發(fā)現(xiàn)有惡意節(jié)點(diǎn)發(fā)送了未通過驗(yàn)證的消息后，Sink節(jié)點(diǎn)和環(huán)中成員節(jié)點(diǎn)將進(jìn)行合作，利用環(huán)簽名的可鏈接特性找出惡意節(jié)點(diǎn)的身份.

本文的主要貢獻(xiàn)：

1) 將橢圓曲線加密技術(shù)與可鏈接環(huán)簽名技術(shù)相結(jié)合，保證了節(jié)點(diǎn)身份信息的隱私，降低了簽名和驗(yàn)證過程所需的計(jì)算開銷，提高了通信效率.

2) 利用環(huán)簽名的可鏈接特性，實(shí)現(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性，以保證高效準(zhǔn)確地找到惡意節(jié)點(diǎn)，提高網(wǎng)絡(luò)的安全性.

1 相關(guān)工作

無線傳感器網(wǎng)絡(luò)中對(duì)敏感節(jié)點(diǎn)身份信息的保護(hù)，可以采用環(huán)簽名技術(shù)實(shí)現(xiàn).認(rèn)證作為無線傳感器網(wǎng)絡(luò)中基本的安全服務(wù)，它主要包括實(shí)體認(rèn)證和消息認(rèn)證2方面.在之前的研究中，提出了大量的消息認(rèn)證和完整性驗(yàn)證的認(rèn)證方案.這些方案基本上可分為2類:基于對(duì)稱密鑰的方案[9-13]和基于公鑰的方案[4,14-16].其中，基于對(duì)稱密鑰和Hash函數(shù)的認(rèn)證方案[9-10]中的節(jié)點(diǎn)共享密鑰，攻擊者可以通過俘獲單個(gè)傳感器節(jié)點(diǎn)來獲得共享的密鑰.因此，這些方案對(duì)俘獲節(jié)點(diǎn)的攻擊不具有恢復(fù)力.其他類型的對(duì)稱密鑰方案包括TESLA[17]和它的改進(jìn)方案[18-19]，這些方案可以提供消息發(fā)送者的認(rèn)證，但都需要節(jié)點(diǎn)之間的初始時(shí)間同步，在大規(guī)模無線傳感器網(wǎng)絡(luò)中實(shí)現(xiàn)起來比較困難.另外，在消息認(rèn)證過程中引入了延遲，而且延遲隨傳感器規(guī)模的增大而增加.

為了解決上述方案的局限性，基于多項(xiàng)式的消息認(rèn)證方案[11]被提出，該方案采用多項(xiàng)式對(duì)消息認(rèn)證，在傳統(tǒng)的多項(xiàng)式方案中增加了干擾因素，以阻止攻擊者通過計(jì)算多項(xiàng)式系數(shù)恢復(fù)多項(xiàng)式.與基于多重MACs[9-10]的方案相比適應(yīng)性更高，而且保持了中間節(jié)點(diǎn)認(rèn)證的優(yōu)點(diǎn).然而，可使用錯(cuò)誤校正碼技術(shù)[20]完全消除方案中增加的干擾因素.因此，多項(xiàng)式的消息認(rèn)證方案中存在的閾值問題仍然沒能解決.閾值的大小取決于多項(xiàng)式階的大小，當(dāng)單個(gè)節(jié)點(diǎn)被俘獲時(shí)，該節(jié)點(diǎn)只要接收到多于閾值個(gè)消息便可解出多項(xiàng)式，當(dāng)多于閾值個(gè)節(jié)點(diǎn)被被俘獲時(shí)，共謀也可以解出多項(xiàng)式.

Li等人[4]針對(duì)傳統(tǒng)的多項(xiàng)式報(bào)文加密技術(shù)存在的最大閾值問題，給出了一種基于橢圓曲線加密技術(shù)的網(wǎng)絡(luò)匿名協(xié)議.該協(xié)議可阻止攻擊者通過獲取報(bào)文消息內(nèi)容來確定源節(jié)點(diǎn)的ID信息.源節(jié)點(diǎn)從一組不可區(qū)分的公鑰組中進(jìn)行密鑰選擇，加密消息在傳輸過程中進(jìn)行逐跳身份認(rèn)證，因此，當(dāng)節(jié)點(diǎn)中存在俘獲節(jié)點(diǎn)時(shí)，節(jié)點(diǎn)的ID信息也不會(huì)被泄露.由于協(xié)議中使用的橢圓曲線加密技術(shù)確保了數(shù)據(jù)的完整性，當(dāng)基站連續(xù)接收到不完整信息時(shí)，可以通過對(duì)密鑰取交集操作來確定被俘獲節(jié)點(diǎn)的ID.然而，協(xié)議中發(fā)送節(jié)點(diǎn)發(fā)送每條消息都要?jiǎng)討B(tài)選擇環(huán)成員，開銷較大.當(dāng)被俘獲的節(jié)點(diǎn)每次發(fā)送消息都選取相同的匿名集時(shí)，再對(duì)密鑰取交集操作來確定被俘獲節(jié)點(diǎn)的ID的做法就不可取.

針對(duì)消息發(fā)送者的匿名，Rivest等人[21]首次提出了環(huán)簽名匿名方案.隨后，許多結(jié)構(gòu)改進(jìn)、性能提高的環(huán)簽名方案[22-27]被相繼提出.環(huán)簽名方案允許簽名者與其他成員協(xié)作匿名簽名信息，消息的真正簽名者與其他成員構(gòu)成的匿名集被稱為環(huán).環(huán)中任何一個(gè)成員使用自己的私鑰和其他環(huán)成員的公鑰，而不需要經(jīng)過他們的同意即可代表整個(gè)環(huán)進(jìn)行簽名，而對(duì)于驗(yàn)證者只知道簽名來自這個(gè)環(huán)并不知道誰是真正的簽名者，也不能確定2個(gè)環(huán)簽名是由相同的簽名者產(chǎn)生.對(duì)此，Liu等人[28]提出了一種變體的環(huán)簽名方案，創(chuàng)造了可鏈接環(huán)簽名.這個(gè)概念下，環(huán)簽名的簽名者的身份仍然是匿名的，但是如果2個(gè)環(huán)簽名是由相同的簽名者簽名，那么這2個(gè)簽名是可鏈接的.

因?yàn)闊o線傳感器網(wǎng)絡(luò)中沒有權(quán)威中心或可信第三方，群的形成是自發(fā)的，所以可鏈接的環(huán)簽名在無線傳感器網(wǎng)絡(luò)中的應(yīng)用受到關(guān)注.當(dāng)接收方想知消息的發(fā)送節(jié)點(diǎn)是否是同一節(jié)點(diǎn)時(shí)，可鏈接環(huán)簽名便可以滿足這個(gè)場(chǎng)景下的需求.因此，在無線傳感器網(wǎng)絡(luò)中環(huán)簽名是作為匿名認(rèn)證工具的一個(gè)很好的候選[28].又因?yàn)榛诠€的方案在密鑰管理上更為簡(jiǎn)單，基于橢圓曲線密碼(elliptic curve cryptography)的公鑰方案在計(jì)算復(fù)雜度、內(nèi)存使用和安全的彈性上表現(xiàn)更高效[21].據(jù)此，考慮將以上2種技術(shù)相結(jié)合，以適合資源受限的無線傳感器網(wǎng)絡(luò).

2 基礎(chǔ)知識(shí)

2.1 橢圓曲線加密技術(shù)

橢圓曲線密碼系統(tǒng)作為一個(gè)公鑰加密系統(tǒng)，它也具有公鑰加密系統(tǒng)的所有特點(diǎn).公鑰加密系統(tǒng)的加密雙方都需要2個(gè)密鑰:公鑰和私鑰.每一方的公鑰都是通過自己的私鑰得到的，加密明文時(shí)都要用到對(duì)方的公鑰，解密密文時(shí)使用自己的私鑰.橢圓曲線的公鑰密碼系統(tǒng)加密和解密過程:

p是一個(gè)大于3的素?cái)?shù)，F(xiàn)p是模p的有限域.Fp上的曲線E定義為：y2=x3+ax+bmodp.其中a，b∈Fp且滿足4a2+27b3≠0 modp.若數(shù)偶(x,y)滿足上式，則是曲線E上的點(diǎn)，定義∞為E上的無窮遠(yuǎn)點(diǎn).假定G=(xG,yG)是曲線上的生成元，其階為N足夠大.

1) 密鑰生成算法.設(shè)(E,+)是有限域Fp上的橢圓曲線，G是E的循環(huán)子群，生成元為P，其階n足夠大，使得G上的離散對(duì)數(shù)是難解的.隨機(jī)挑選一個(gè)整數(shù)a，使得a∈[1,n-1]，計(jì)算公鑰Q=aP；公開(Q,P,G)，保存私鑰a.

2) 加密算法.假設(shè)B想把明文m∈Fp加密發(fā)送給A，B首先獲取A的公鑰(Q,P,G)，(必要時(shí)重復(fù))選取隨機(jī)數(shù)r，r∈[1,n-1]，計(jì)算(x2,y2)=rQ，直到x2≠0;然后計(jì)算：c1=rP=(x1,y1)，c2=mx2modp，則密文為(c1,c2).

2.2 環(huán)簽名

給定環(huán)S={A1,A2,…,Ak,…,An}，環(huán)中的每個(gè)節(jié)點(diǎn)的公私鑰對(duì)為(pki,ski)，i=1，2，…，n，不失一般性，假定Ak是真正簽名人.除密鑰生成算法以外，環(huán)簽名還包括環(huán)簽名產(chǎn)生算法和環(huán)簽名驗(yàn)證算法:

1) 環(huán)簽名產(chǎn)生算法.其輸入是待簽名的消息m、環(huán)中所有成員的公鑰pki(i∈[1,n])、真正簽名人的私鑰skk;其輸出是Ak對(duì)消息m的環(huán)簽名σ.記作σ←ring-sign(m,pk1,pk2,…,pkn,skk).

2) 環(huán)簽名驗(yàn)證算法.其輸入是待驗(yàn)證的消息簽名對(duì)(m,σ)、環(huán)中所有成員的的公鑰;其輸出是0或1，1表示該簽名有效，0表示該簽名無效.記作1或0←ring-verify(m,pk1,pk2,…,pkn,σ).

一個(gè)安全的環(huán)簽名一般要滿足以下3個(gè)性質(zhì):

1) 正確性.環(huán)中的任一成員執(zhí)行環(huán)簽名算法后，輸出的簽名都能通過該體制中的簽名驗(yàn)證算法.

2) 匿名性.若環(huán)中成員為n個(gè)，驗(yàn)證者不會(huì)以大于1n的概率識(shí)別產(chǎn)生該簽名的真正簽名者.

3) 不可偽造性.任意不在環(huán)S={A1,A2,…,Ak,…,An}中的節(jié)點(diǎn)不能產(chǎn)生一個(gè)使得ring-verify(m,pk1,pk2,…,pkn,σ)=1的有效的簽名對(duì)(m,σ).

在本文中不區(qū)分節(jié)點(diǎn)Ai與它的公鑰Qi.因此，也有環(huán)S={Q1,Q2,…,Qk,…,Qn}.

2.3 基于離散對(duì)數(shù)的簽名方案

如圖1的網(wǎng)絡(luò)模型中，包括一個(gè)Sink和N個(gè)傳感器節(jié)點(diǎn)Node={N1,N2,…,NN}組成.對(duì)于每一個(gè)要發(fā)送的消息m，發(fā)送節(jié)點(diǎn)Nk都要對(duì)消息m產(chǎn)生一個(gè)消息簽名.假定環(huán)中成員只有發(fā)送者Nk一個(gè)時(shí)，Nk和Nj的通信過程如下:

1) 密鑰生成階段.發(fā)送節(jié)點(diǎn)Nk選擇一個(gè)大素?cái)?shù)p和乘法群*p上的生成元g.隨機(jī)選取私鑰x∈*p，計(jì)算公鑰：y=gxmodp.這里g和p是系統(tǒng)公開參數(shù).

2) 簽名產(chǎn)生階段.設(shè)m∈*p是待簽名的消息，簽名者Nk隨機(jī)選擇一個(gè)秘密整數(shù)k∈*p-1，計(jì)算：r=gkmodp，s=xh(m,r)-rkmod (p-1).這里的h是單向Hash函數(shù)，對(duì)消息m的簽名為sig(m)=(r,s)∈*p×*p.隨后，簽名者Nk將數(shù)據(jù)(m,(r,s))發(fā)送給接受者Nj.

3) 簽名認(rèn)證階段.接收方Nj收到簽名(m,(r,s))后,驗(yàn)證等式y(tǒng)h(m,r)=rrgsmodp是否成立，如果等號(hào)成立，則確認(rèn)(r,s)是m的有效簽名.

3 基于橢圓曲線的可追蹤匿名認(rèn)證方案

本文提出的基于橢圓曲線的可追蹤匿名認(rèn)證方案，將橢圓曲線和可鏈接環(huán)簽名相結(jié)合，實(shí)現(xiàn)節(jié)點(diǎn)匿名通信，同時(shí)在環(huán)簽名中附加一些額外的信息，在必要時(shí)可通過環(huán)中所有節(jié)點(diǎn)的協(xié)作追蹤簽名者的真實(shí)身份，用以解決無線傳感器網(wǎng)絡(luò)絡(luò)中的發(fā)送節(jié)點(diǎn)身份隱私泄露和惡意節(jié)點(diǎn)追蹤問題.該方案由系統(tǒng)初始化與密鑰生成、匿名簽名產(chǎn)生、簽名認(rèn)證和惡意節(jié)點(diǎn)追蹤4個(gè)部分組成.

圖1是本文的網(wǎng)絡(luò)模型，其中包括一個(gè)Sink和N個(gè)傳感器節(jié)點(diǎn)Node={N1,N2,…,NN}組成.對(duì)于每一個(gè)要發(fā)送的消息m，發(fā)送節(jié)點(diǎn)Nk都要對(duì)消息m產(chǎn)生一個(gè)消息簽名.簽名的產(chǎn)生是基于橢圓曲線上的離散對(duì)數(shù)問題.圖2是本方案的系統(tǒng)流程圖.

Fig. 2 System flow chart of this scheme圖2 本方案系統(tǒng)流程圖

下面結(jié)合流程圖給出本方案各個(gè)階段的具體過程:

1) 系統(tǒng)初始化與密鑰生成階段

假設(shè)G=(xG,zG)是橢圓曲線上的生成元，其中基于橢圓曲線的離散對(duì)數(shù)問題是難解問題，假設(shè)H:{0,1}*→G和H1:{0,1}*→p是2個(gè)Hash函數(shù).公共參數(shù)為:param=(G,H,H1).假定消息的發(fā)送者Nk要匿名發(fā)送消息m給其他的節(jié)點(diǎn)Nj，不失一般性，Nk要隨機(jī)選取其他n-1個(gè)節(jié)點(diǎn)和自身共同組成環(huán)成員節(jié)點(diǎn).Nk的匿名節(jié)點(diǎn)集一旦選定，就不再改變.Ak表示發(fā)送消息的節(jié)點(diǎn)Nk的身份，匿名節(jié)點(diǎn)集S={A1,A2,…,Ak,…,An}.注意，本文不區(qū)分節(jié)點(diǎn)Ai與它的公鑰Qi.因此，也有S={Q1,Q2,…,Qk,…,Qn}.節(jié)點(diǎn)Nk隨機(jī)挑選一個(gè)整數(shù)dk∈[1,N-1]作為私鑰，計(jì)算公鑰Qk=dk×G.

2) 簽名產(chǎn)生階段

假定節(jié)點(diǎn)Ak要發(fā)送消息m，其私鑰為dk∈[1,N-1]，為了產(chǎn)生一個(gè)有效的匿名簽名，Ak做以下步驟：

① 計(jì)算h=H(Q1,Q2,…,Qk,…,Qn)，這里的H是Hash函數(shù)，例如SHA-1；

② 計(jì)算t=hdk；

③ 由隨機(jī)函數(shù)產(chǎn)生隨機(jī)數(shù)r,si,ci∈*p，i∈[1,n]，i≠k；

④ 計(jì)算(xi,zi)=siG+ciQi，yi=hsitcimodN(i=1,2,…,k-1,k+1,…,n)；

⑤ 計(jì)算(xk,zk)=rG，yk=hrmodN；

⑥ 計(jì)算ck=H1(m,t,x1,…,xn,y1,…,yn)-

其中,i≠k，計(jì)算sk=r-ckdkmodN；

⑦ 輸出簽名σ=(t,s1,…,sn,c1,…,cn).

3) 認(rèn)證階段

給定環(huán)S={Q1,Q2,…,Qk,…,Qn}、消息m以及待驗(yàn)證的簽名σ=(t,s1,…,sn,c1,…,cn).當(dāng)消息的接受者接收到簽名消息后，接收者要檢查：

檢查公鑰Qi≠∞，i=1,2,…,n，否則無效；

檢查公鑰S={Q1,Q2,…,Qk,…,Qn},i=1,2,…,n,是否在橢圓曲線上，否則無效；

檢查nQi=∞，i=1,2,…,n，否則無效.

在此之后，接收者做以下操作：

首先計(jì)算h=H(Q1,Q2,…,Qk,…,Qn)，(xi,zi)=siG+ciQi，yi=hsitci(i=1,2,…,n)；

然后檢查等式

是否成立,其中i=1,2,…,n.如果等式成立，則輸出1，否則輸出0.

4) 惡意節(jié)點(diǎn)追蹤階段

對(duì)于簽名認(rèn)證階段中未通過認(rèn)證的簽名，消息的接收節(jié)點(diǎn)將收到的消息轉(zhuǎn)發(fā)給Sink節(jié)點(diǎn).Sink節(jié)點(diǎn)收到轉(zhuǎn)發(fā)來的消息后，假設(shè)其收到的簽名是σ=(t,s1,…,sn,c1,…,cn)，Sink節(jié)點(diǎn)進(jìn)行以下操作：

根據(jù)消息簽名的環(huán)S={Q1,Q2,…,Qk,…,Qn}，Sink節(jié)點(diǎn)與環(huán)中的成員節(jié)點(diǎn)逐一進(jìn)行一次交互，即Sink節(jié)點(diǎn)向環(huán)中成員發(fā)送查詢命令，環(huán)中成員向Sink節(jié)點(diǎn)發(fā)送經(jīng)匿名的消息.將未通過簽名認(rèn)證的簽名與當(dāng)前環(huán)成員發(fā)送來的匿名消息的簽名進(jìn)行逐一比較.由于同一發(fā)送節(jié)點(diǎn)所選環(huán)成員集相同，故而同一節(jié)點(diǎn)簽名不同消息的簽名中t值相同，據(jù)此即可找到未通過驗(yàn)證的消息的節(jié)點(diǎn)，從而完成節(jié)點(diǎn)的追蹤.

Fig. 3 Tracking process of malicious nodes (n=5)圖3 惡意節(jié)點(diǎn)追蹤過程(n=5)

4 安全分析

在本節(jié)中，將給出基于橢圓曲線的可追蹤匿名認(rèn)證方案的安全性證明.假設(shè)以下數(shù)學(xué)問題是難解的:Hash函數(shù)和離散對(duì)數(shù)問題.

定理1. 確定性.環(huán)中的任一成員執(zhí)行環(huán)簽名算法后，輸出的簽名都能通過該體制中的簽名驗(yàn)證算法.

證明. 當(dāng)接受者接收到簽名消息后，要驗(yàn)證簽名的正確性，也就是驗(yàn)證等式

i=1,2,…,n

成立.

因?yàn)?/p>

ck=H1(m,t,x1,x2,…xn,y1,y2,…yn)-

因?yàn)椋瑂k=r-ckdk,r=sk+ckdk.所以可推得，

xk=skG+ckQk，yk=hsktck.

因此，輸出的簽名都能通過該體制中的簽名驗(yàn)證算法.

證畢.

定理2. 匿名性.本文提出的可追蹤惡意節(jié)點(diǎn)的基于橢圓曲線的可追蹤匿名認(rèn)證方案提供無條件消息發(fā)送者匿名.

證明. 首先，本文方案產(chǎn)生的簽名σ是由簽名者利用其私鑰和隨機(jī)數(shù)生成的，簽名者的私鑰是隨機(jī)分布的.其次，簽名中的t是由單向Hash函數(shù)得到，簽名中除sk和ck外其他均是隨機(jī)選取.而sk和ck也是經(jīng)橢圓曲線上點(diǎn)的橫坐標(biāo)值、Hash函數(shù)和隨機(jī)數(shù)得到，沒有泄露簽名者身份的任何信息.最后，即使攻擊者獲得了環(huán)中成員的私鑰，攻擊者也不會(huì)以大于1n的概率識(shí)別產(chǎn)生該簽名的真正簽名者.故而，本文提出的方案滿足無條件匿名性.

證畢.

定理3. 在無線傳感器網(wǎng)絡(luò)SN={Sink,Node}中，其中Node={N1,N2,…,NN}.對(duì)任意2個(gè)節(jié)點(diǎn)(Ni,Nj)之間采用本文簽名產(chǎn)生算法的簽名方案滿足不可偽造性.即任意不在環(huán)S={A1,A2,…,Ak,…,An}中的節(jié)點(diǎn)不能產(chǎn)生一個(gè)使得ring-verify(m,G,Q1,Q2,…,Qk,…,Qn,σ)=1的有效的簽名.

證明. 在簽名的生成階段，要用到環(huán)成員中簽名者的私鑰.因此，攻擊者A′想要偽造出合法的簽名σ′，就要得到某個(gè)環(huán)成員的私鑰dk.環(huán)成員的私鑰dk是由隨機(jī)函數(shù)產(chǎn)生，攻擊者若想從公鑰Qk=dk×G得出私鑰dk是解橢圓曲線上的離散對(duì)數(shù)問題.故而，簽名人的私鑰是安全的，攻擊者不能假冒環(huán)中節(jié)點(diǎn)去生成簽名.

證畢.

5 性能測(cè)試與分析

本節(jié)通過理論和仿真2個(gè)方面對(duì)我們提出的方案進(jìn)行分析.本文提出的方案將與一種基于橢圓曲線加密技術(shù)的網(wǎng)絡(luò)匿名協(xié)議[4]和基于二項(xiàng)式的方案[11]作比較.

5.1 理論分析

在認(rèn)證方案中私鑰的管理是個(gè)主要問題，尤其是在規(guī)模比較大的無線傳感器網(wǎng)絡(luò)中.現(xiàn)有的一些方案利用2節(jié)點(diǎn)間共享私鑰提供端到端的節(jié)點(diǎn)認(rèn)證，這就意味著只有接受者才能驗(yàn)證消息的真實(shí)性.也就是說，中間節(jié)點(diǎn)不能進(jìn)行消息認(rèn)證，只能轉(zhuǎn)發(fā)消息直到消息最終被接受節(jié)點(diǎn)認(rèn)證.這不僅消耗額外的傳感器的能量，而且還增加了網(wǎng)絡(luò)碰撞、降低了消息傳輸率.我們提出的方案實(shí)現(xiàn)中間節(jié)點(diǎn)的認(rèn)證，可抵抗ID分析攻擊.在發(fā)送節(jié)點(diǎn)的可連接性和追蹤惡意節(jié)點(diǎn)方面比文獻(xiàn)[4]的性能要好.

下面從安全性、計(jì)算開銷和通信開銷這3個(gè)方面進(jìn)行分析:

1) 從安全性方面分析，當(dāng)環(huán)成員n=1時(shí)(n為環(huán)成員的個(gè)數(shù))，我們提出的方案至少提供與文獻(xiàn)[4]相同的安全性.隨著n的增大，針對(duì)文獻(xiàn)[4]中當(dāng)基站連續(xù)接收到不完整信息時(shí)，可以通過對(duì)密鑰取交集操作來確定被俘獲節(jié)點(diǎn)的ID.顯然，當(dāng)被俘獲的節(jié)點(diǎn)每次發(fā)送消息都選取相同的匿名集時(shí)，再對(duì)密鑰取交集操作來確定被俘獲節(jié)點(diǎn)的ID的做法就不可取.假設(shè)被俘獲的節(jié)點(diǎn)NA每次發(fā)送消息都選取相同的匿名集S={Q1,Q2,…,QA,…,Qn}，Sink連續(xù)接收到不完整信息后，對(duì)不完整消息的發(fā)送節(jié)點(diǎn)匿名集取交集，得到的結(jié)果仍然是S={Q1,Q2,…,QA,…,Qn}，無法確定被俘獲節(jié)點(diǎn)的ID.而在我們的方案中，產(chǎn)生簽名的環(huán)成員是隨機(jī)選擇的，發(fā)送節(jié)點(diǎn)的環(huán)成員一旦選定，發(fā)送每條消息的環(huán)就固定.這就比文獻(xiàn)[4]中發(fā)送每條消息都要?jiǎng)討B(tài)選擇環(huán)成員節(jié)省開銷，而且根據(jù)消息簽名的環(huán)S={Q1,Q2,…,QA,…,Qn}，Sink節(jié)點(diǎn)與環(huán)中的成員節(jié)點(diǎn)逐一進(jìn)行一次交互，即Sink節(jié)點(diǎn)向環(huán)中成員發(fā)送查詢命令，環(huán)中成員向Sink節(jié)點(diǎn)發(fā)送經(jīng)匿名的消息，再利用環(huán)簽名的可鏈接特性，實(shí)現(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性，保證高效準(zhǔn)確地找到惡意節(jié)點(diǎn)，提高了網(wǎng)絡(luò)的安全性.

2) 對(duì)于基于公鑰的認(rèn)證方案，計(jì)算開銷是性能測(cè)量的最重要的指標(biāo)之一.因此，我們首先仿真一次簽名產(chǎn)生階段和認(rèn)證階段的運(yùn)行時(shí)間.表1所示2個(gè)方案的計(jì)算開銷，其中MP用以表示標(biāo)量點(diǎn)乘，n是環(huán)中成員個(gè)數(shù).從表1可看出，2個(gè)方案在一次簽名產(chǎn)生階段，其做橢圓曲線乘的次數(shù)相同，我們的方案只做2次Hash，而文獻(xiàn)[4]需做n次；在認(rèn)證階段，文獻(xiàn)[4]的各項(xiàng)計(jì)算次數(shù)都呈線性增長(zhǎng)，而我們方案仍只做2次Hash.這里的乘、加和指數(shù)的計(jì)算開銷相對(duì)橢圓曲線乘較小，對(duì)其影響不大.

Table 1 Computational Overhead for the Two Schemes

證畢.

5.2 仿真分析

本節(jié)通過仿真實(shí)驗(yàn)比較文獻(xiàn)[4]、文獻(xiàn)[11]和本方案在簽名產(chǎn)生和認(rèn)證階段的執(zhí)行時(shí)間.我們選擇4 MHz Telosb作為仿真平臺(tái)，并采用SHA-1作為單向Hash函數(shù).基于二項(xiàng)式的方案[11]是在對(duì)稱密鑰下實(shí)現(xiàn)，基于橢圓曲線加密技術(shù)的網(wǎng)絡(luò)匿名協(xié)議方案[4]和我們提出的方案均是基于ECC，這里我們選定對(duì)稱密鑰長(zhǎng)度l=80 b，我們方案的密鑰長(zhǎng)度L=2l=160 b.根據(jù)文獻(xiàn)[4]中對(duì)匿名成員個(gè)數(shù)n的選取，本方案同樣選取n=1，10，15，20.

圖4所示我們提出的方案和對(duì)比方案在簽名產(chǎn)生和認(rèn)證階段的處理時(shí)間.其中：圖4(a)是基于多項(xiàng)式的方案和基于橢圓曲線加密技術(shù)的網(wǎng)絡(luò)匿名協(xié)議及本文方案在產(chǎn)生一個(gè)簽名階段所需的時(shí)間；圖4(b)是3個(gè)方案認(rèn)證單個(gè)簽名所需的時(shí)間.文獻(xiàn)[11]中二項(xiàng)式的階dx,dy取80，100，50分別對(duì)應(yīng)本文方案的n取10，15，20.

Fig. 4 Process time for the three schemes (16 b,4 MHz TelosB Mote)圖4 3個(gè)方案的處理時(shí)間(16 b,4 MHz TelosB Mote)

從圖4曲線可看出，本文提出的方案在簽名階段的用時(shí)大于認(rèn)證階段的用時(shí).隨著環(huán)中成員的增多，簽名產(chǎn)生階段和認(rèn)證階段的處理時(shí)間呈線性增加.文獻(xiàn)[11]的簽名產(chǎn)生階段曲線呈非線性斜率逐漸增加，相比我們的方案在簽名產(chǎn)生階段的時(shí)間相對(duì)較短.與文獻(xiàn)[4]相比，我們的方案在產(chǎn)生和認(rèn)證階段的處理時(shí)間相差不大，符合以上進(jìn)行的理論分析.

經(jīng)過理論和仿真分析，與對(duì)比方案比較顯示，我們提出的基于橢圓曲線的可追蹤匿名認(rèn)證方案可實(shí)現(xiàn)節(jié)點(diǎn)匿名通信，提供中間節(jié)點(diǎn)的認(rèn)證，而且在簽名產(chǎn)生和認(rèn)證開銷相當(dāng)?shù)那闆r下，利用環(huán)簽名的可鏈接特性實(shí)現(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性，提高性能和網(wǎng)絡(luò)的安全性.

6 結(jié) 論

在本文中，我們提出基于橢圓曲線提出可追蹤惡意節(jié)點(diǎn)的匿名認(rèn)證方案，本方案將橢圓曲線和環(huán)簽名相結(jié)合，實(shí)現(xiàn)節(jié)點(diǎn)匿名通信，同時(shí)在環(huán)簽名中附加一些額外的信息，在必要時(shí)可通過環(huán)中所有節(jié)點(diǎn)的協(xié)作追蹤簽名者的真實(shí)身份，用以解決無線傳感器網(wǎng)絡(luò)絡(luò)中的發(fā)送節(jié)點(diǎn)身份隱私泄露和惡意節(jié)點(diǎn)追蹤問題,本方案實(shí)現(xiàn)中間節(jié)點(diǎn)的認(rèn)證.現(xiàn)有的一些方案利用2節(jié)點(diǎn)間共享私鑰提供端到端的節(jié)點(diǎn)認(rèn)證，這就意味著只有接受者才能驗(yàn)證消息的真實(shí)性.也就是說，中間節(jié)點(diǎn)不能進(jìn)行消息認(rèn)證，只能轉(zhuǎn)發(fā)消息直到消息最終被接受節(jié)點(diǎn)認(rèn)證.這不僅消耗額外的傳感器的能量，而且還增加網(wǎng)絡(luò)碰撞、降低消息傳輸率.利用環(huán)簽名的可鏈接特性，實(shí)現(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性.仿真實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有方法相比，本方案在簽名產(chǎn)生和認(rèn)證開銷相當(dāng)?shù)那闆r下，利用環(huán)簽名的可鏈接特性實(shí)現(xiàn)對(duì)惡意節(jié)點(diǎn)的可追蹤性，提高性能和網(wǎng)絡(luò)的安全性.

[1]Akyildiz I F, Su Weilian, Sankarasubramaniam Y, et al. A survey on sensor networks[J]. IEEE Communications Magazine, 2002, 40(8): 102-114

[2]Gottumukkala V P V, Pandit V, Li Hailong, et al. Base-station location anonymity and security technique (BLAST) for wireless sensor networks[C]Proc of IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2012: 6705-6709

[3]Peng Hui, Chen Hong, Zhang Xiaoying, et al. Location privacy preservation in wireless sensor networks[J]. Journal of Software, 2015, 26(3): 617-639 (in Chinese)(彭輝, 陳紅, 張曉瑩, 等. 無線傳感器網(wǎng)絡(luò)位置隱私保護(hù)技術(shù)[J]. 軟件學(xué)報(bào), 2015, 26(3): 617-639)

[4]Li Jian, Li Yun, Ren Jian,et al. Hop-by-Hop message authentication and source privacy in wireless sensor networks[J]. IEEE Trans on Parallel and Distributed Systems, 2014, 25(5): 1223-1232

[5]Christin D, Pons-Sorolla D R, Hollick M, et al. TrustMeter: A trust assessment scheme for collaborative privacy mechanisms in participatory sensing applications[C]Proc of the 9th Int Conf on Intelligent Sensors, Sensor Networks and Information Processing (ISSNIP). Piscataway, NJ: IEEE, 2014: 1-6

[6]Nezhad A A, Miri A, Makrakis D. Location privacy and anonymity preserving routing for wireless sensor networks[J]. Computer Networks, 2008, 52(18): 3433-3452

[7]Chen Juan, Du Xiaojiang, Fang Binxing. An efficient anonymous communication protocol for wireless sensor networks[J]. Wireless Communications and Mobile Computing, 2012, 12(14): 1302-1312

[8]Di Pietro R, Viejo A. Location privacy and resilience in wireless sensor networks querying[J]. Computer Communications, 2011, 34(3): 515-523

[9]Ye Fan, Luo Haiyun, Lu Songwu,et al. Statistical en-route filtering of injected false data in sensor networks[J]. IEEE Journal on Selected Areas in Communications, 2005, 23(4): 839-850

[10]Zhu Sencun, Setia S, Jajodia S, et al. An interleaved hop-by-hop authentication scheme for filtering of injected false data in sensor networks[C]Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2004: 259-271

[11]Zhang Wensheng, Subramanian N, Wang Guiling. Lightweight and compromise-resilient message authentication in sensor networks[C]Proc of the 27th Conf on Computer Communications (INFOCOM). Piscataway, NJ: IEEE, 2008: 1418-1426

[12]Panda M. Data security in wireless sensor networks via AES algorithm[C]Proc of the 9th Int Conf on Intelligent Systems and Control (ISCO). Piscataway, NJ: IEEE, 2015: 1-5

[13]Yu Lei, Li Jianzhong. Grouping-based resilient statistical en-route filtering for sensor networks[C]Proc of the 28th Conf on Computer Communications (INFOCOM). Piscataway, NJ: IEEE, 2009: 1782-1790

[14]Verma D, Jain R, Shrivastava A. Performance analysis of cryptographic algorithms RSA and ECC in wireless sensor networks[J]. IUP Journal of Telecommunications, 2015, 7(3): 51-65

[15]Lavanya M, Natarajan V. An improved authentication framework for wireless sensor network using elliptic curve cryptography[J]. IUP Journal of Computer Sciences, 2015, 9(1): 25-31

[16]Wang Haodong, Sheng Bo, Tan C C, et al. Comparing symmetric-key and public-key based security schemes in sensor networks: A case study of user access control[C]Proc of the 28th Int Conf on Distributed Computing Systems. Piscataway, NJ: IEEE, 2008: 11-18

[17]Perrig A, Canetti R, Tygar J D, et al. Efficient authentication and signing of multicast streams over lossy channels[C]Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2000: 56-73

[18]Liu Donggang, Ning Peng, Zhu Sencun, et al. Practical broadcast authentication in sensor networks[C]Proc of the 2nd Annual Int Conf on Mobile and Ubiquitous Systems: Networking and Services. Piscataway, NJ: IEEE, 2005: 118-129

[19]Perrig A, Szewczyk R, Tygar J D, et al. SPINS: Security protocols for sensor networks[J]. Wireless Networks, 2002, 8(5): 521-534

[20]Albrecht M, Gentry C, Halevi S, et al. Attacking cryptographic schemes based on perturbation polynomials[C]Proc of the 16th ACM Conf on Computer and Communications Security. New York: ACM, 2009: 1-10

[21]Rivest R L, Shamir A, Tauman Y. How to leak a secret[C]Proc of Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2001: 552-565

[22]Chow S S M, Yiu S M, Hui L C K. Efficient identity based ring signature[C]Proc of Int Conf on Applied Cryptography and Network Security. Berlin: Springer, 2005: 499-512

[23]Wang Huaqun, Zhang Futai, Sun Yanfei. Cryptanalysis of a generalized ring signature scheme[J]. IEEE Trans on Dependable and Secure Computing, 2009, 6(2): 149-151

[24]Liu J K, Au M H, Susilo W, et al. Linkable ring signature with unconditional anonymity[J]. IEEE Trans on Knowledge and Data Engineering, 2014, 26(1): 157-165

[25]Fujisaki E, Suzuki K. Traceable ring signature[C]Proc of Int Workshop on Public Key Cryptography. Berlin: Springer, 2007: 181-200

[26]Debnath A, Singaravelu P, Verma S. Privacy in wireless sensor networks using ring signature[J]. Journal of King Saud University-Computer and Information Sciences, 2014, 26(2): 228-236

[27]Au M H, Liu J K, Susilo W, et al. Secure ID-based linkable and revocable-iff-linked ring signature with constant-size construction[J]. Theoretical Computer Science, 2013, 469: 1-14

[28]Liu J K, Wei V K, Wong D S. Linkable spontaneous anonymous group signature for ad hoc groups[C ]Proc of

Australasian Conf on Information Security and Privacy. Berlin: Springer, 2004: 325-335

Chang Fen, born in 1989. Master. Her main research interests include network security, privacy protection for wireless sensor network.

Cui Jie, born in 1980. Associate professor and master supervisor. His main research interests include wireless sensor network, Internet of vehicles, software defined network, security multi-party computation, privacy for big data and cloud security.

Wang Liangmin, born in 1977. Professor and PhD supervisor. Member of IEEE, ACM, and senior member of CCF. His main research interests include security protocols for wireless sensor networks and privacy & security of big data.

Wireless Sensor Network

Chang Fen1,2, Cui Jie1,2, and Wang Liangmin1,3

1(SchoolofComputerScienceandTechnology,AnhuiUniversity,Hefei230601)2(Co-InnovationCenterforInformationSupply&AssuranceTechnology,AnhuiUniversity,Hefei230601)3(SchoolofComputerScienceandCommunicationEngineering,JiangsuUniversity,Zhenjiang,Jiangsu212013)

In wireless sensor network (WSN), sensor nodes are deployed in the corresponding application fields, in order to observe their environment and send their observations to the Sink. The message source should be protected in the process of transmission between nodes and Sink. On one hand, message authentication is one of the most effective ways to keep unauthorized and corrupted messages from being forwarded in wireless sensor network; on the other hand, anonymous communication can hide sensitive nodes identity information to implement the privacy protection of nodes location. However, anonymous communication has incurred a series of problems, such as, it gives the attacker an opportunity to use anonymous technology for illegal activities. Thus, it is particularly important to track the identity of the malicious nodes. In order to solve the problems above, a traceable and anonymous authentication scheme based on elliptic curve is proposed in this paper. The scheme combines elliptic curve with ring signature, implements nodes’ anonymous communication and provides the intermediate nodes’ authentication. The simulation results demonstrate that this scheme is equal to the existing schemes on the signature and certification cost. While, by using the linkable characteristics of ring signature, the proposed scheme can realize the traceability of malicious nodes, and improve the performance and security of the network.

wireless sensor network (WSN); anonymous authentication; traceability; ring signature; public-key cryptosystem

2016-08-22；

2016-12-15

國家自然科學(xué)基金項(xiàng)目(61472001,61272074) This work was supported by the National Natural Science Foundation of China (61472001, 61272074).

崔杰(cuijie@mail.ustc.edu.cn)

TP393