一種使用二進制認證樹的無線傳感器網(wǎng)絡(luò)安全路由協(xié)議

摘 要：本文提出了一種新型的門限密鑰預(yù)分配方案，這種方案是通過使用對稱密鑰為無線傳感器網(wǎng)絡(luò)實現(xiàn)認證服務(wù)。提出的方案稱為無線傳感器網(wǎng)絡(luò)安全路由協(xié)議（SRPWSN）。這種方案對于檢測這種網(wǎng)絡(luò)路由協(xié)議的主要攻擊起著至關(guān)重要的作用；同時，它也為網(wǎng)絡(luò)流量提供了一定程度的服務(wù)質(zhì)量（QoS）。當在一個需要的時間間隔內(nèi)驗證大量的簽名，甚至在帶有虛假信息的不利情況下，為了獲得認證服務(wù)，我們使用二進制認證樹（BAT）方案能夠有效的消除性能瓶頸。

關(guān)鍵詞：無線傳感器網(wǎng)絡(luò)；密鑰預(yù)分配；二進制認證樹

中圖分類號 TP391

1 相關(guān)原理

當傳感器網(wǎng)絡(luò)被布置在一個敵對的環(huán)境里，安全是一個很關(guān)鍵的問題。密鑰建立是一個重要的安全原語，它是很多安全服務(wù)的構(gòu)建塊。在傳統(tǒng)的網(wǎng)絡(luò)里，公鑰密碼學提供了一個完整的解決方案。所有的公鑰基礎(chǔ)設(shè)施都需要一個可信第三方來分發(fā)證書。在傳感器節(jié)點分配上，很多節(jié)點不能接到全部信息。為了解決這一問題，有人提出了使用對稱加密或基于身份的簽名方案。此外，我們還是用了公鑰算法[1]。

必須對路由協(xié)議進行安全保護[2]，足以抵抗來自外部（或）內(nèi)部節(jié)點的攻擊。在外部攻擊中，一個偽裝成可信節(jié)點的惡意節(jié)點能夠產(chǎn)生大量的虛假服務(wù)請求，即使它沒有參與路由過程，例如阻斷服務(wù)（DOS）攻擊[3]。因此更是難以檢測到內(nèi)部節(jié)點。第二協(xié)議必須與QoS路由方案結(jié)合來支持承載流量的QoS需求[4]?，F(xiàn)存的無線傳感器網(wǎng)絡(luò)安全路由協(xié)議經(jīng)常避開最有挑戰(zhàn)性的攻擊（或）承載流量的QoS需求。

為提供更多安全和性能問題，我們引進了穩(wěn)健有效的簽名方案-二進制認證樹（BAT）：（1）穩(wěn)健性：BAT方案適用于帶有虛假信息的不利攻擊場景。每個路由器能夠迅速從所有真實信息中區(qū)分出虛假信息。因此，BAT在很大程度上能夠有效的容忍信息泛濫的攻擊。（2）效率：BAT方案可以有效的消除降低計算量所造成的性能瓶頸。為驗證接收到的帶有k>=1的虛假信息，耗時配對操作的次數(shù)約等于（k+1）.log（n/k）+4k-2。在理想情況下（k=0），驗證所有信息的計算量能夠從2n次耗時配對操作顯著降低到2。BAT方案是第一個包括驗證復(fù)雜性的評估理論界限。其適用于攻擊條件下的基于身份簽名的批量驗證，可以用來對安全與性能進行平衡。

2 提出的算法

我們可以使用二進制認證樹（BAT）方案。它包括4個基本條件：（1）設(shè)置：我們可以設(shè)置MD-5算法。（2）提?。何覀兛梢詮暮芏喙?jié)點中提取信息。（3）標記：通過使用DSRC協(xié)議，我們創(chuàng)建簽名并在簽名上附加信息，然后連同簽名把信息傳遞到目的地。（4）驗證：以接收到信息，我們就可以運用散列函數(shù)產(chǎn)生信息摘要及與接收到的信息摘要作比較并作驗證。

3 二進制認證算法：

binary_auth（）

{if（fast_check（）=TRUE

return FS

if（h=1）

return FS=FS U{^< h， v >}；//finding fake signature//

returnbinary_auth（^Fs）；

returnbinary_auth（^Fs）；}

4 仿真結(jié)果

圖1 網(wǎng)絡(luò)里有20個惡意節(jié)點存在的情況下，傳輸數(shù)據(jù)包的總數(shù)

為此我們通過使用NS-2模擬器對提出的無線傳感器網(wǎng)絡(luò)SRP協(xié)議進行模擬。仿真實驗環(huán)境為現(xiàn)在通用的PC電腦環(huán)境，具體參數(shù)為：CPU為Intel酷睿i5 4570；系統(tǒng)為WIN7；硬盤為500G；內(nèi)存為2G。最終實驗數(shù)據(jù)使用MATLAB進行了分析。通過使用提出的協(xié)議，我們可以在具有20個惡意節(jié)點（隨著認證服務(wù)的節(jié)點增加）的情況下傳輸數(shù)據(jù)包。如圖1所示，在網(wǎng)絡(luò)里存在20個惡意節(jié)點的情況下，隨著可靠認證服務(wù)節(jié)點的增加，網(wǎng)絡(luò)協(xié)議實現(xiàn)所傳輸?shù)臄?shù)據(jù)包的數(shù)量也會隨之增加，在40個認證服務(wù)節(jié)點之前，數(shù)據(jù)包的數(shù)量隨著認證節(jié)點數(shù)量近似線性變化，但是在接近50個認證服務(wù)節(jié)點時，二進制認證樹（BAT）方案達到極限，即最多只能依靠50多個認證服務(wù)節(jié)點來提高協(xié)議質(zhì)量，方案到達峰值效果。也就是說在網(wǎng)絡(luò)存在20個惡意節(jié)點的情況下，二進制認證樹（BAT）方案所需要的最佳認證服務(wù)節(jié)點數(shù)量為50。

通過分析可得，在惡意節(jié)點數(shù)量不是很大的情況下，本文提出的方法能夠在不需要大量認證服務(wù)節(jié)點的情況下，完成大數(shù)據(jù)量的傳輸任務(wù)。而且在后續(xù)工作中，可以將惡意節(jié)點數(shù)量和對應(yīng)所需的認證服務(wù)節(jié)點數(shù)量的對應(yīng)關(guān)系進行統(tǒng)計分析，可以預(yù)見在惡意節(jié)點數(shù)量較少的情況下，如0到10多的情況下，所需的認證服務(wù)節(jié)點在任意為網(wǎng)絡(luò)環(huán)境下都大致分布在1得到10時間，數(shù)量比較固定，這是因為惡意節(jié)點數(shù)量很少，二進制分叉樹的選擇范圍較少，即二進制樹的分叉枝葉較少，因此所需要的認證服務(wù)節(jié)點數(shù)量很少。但是在惡意節(jié)點增加到10到20階段時，所需要的認證服務(wù)節(jié)點開始線性增加，并且需要的認證服務(wù)節(jié)點數(shù)量開始好過惡意節(jié)點數(shù)量，并且在惡意節(jié)點數(shù)量是20時，所需要的認證服務(wù)節(jié)點數(shù)量開始超過網(wǎng)絡(luò)中存在的惡意節(jié)點的數(shù)量。但是本文提出的二進制認證樹（BAT）方案安全路由協(xié)議，可以實現(xiàn)讓所需要的認證服務(wù)節(jié)點數(shù)量存在極限值，也就是說在達到某一峰值情況下，不會再需要增加認證服務(wù)節(jié)點，這是本文方法的優(yōu)勢所在。

5 結(jié)束語

在本文中，我們解決了最具挑戰(zhàn)性問題，即設(shè)計出一個由QoS支持的二進制認證樹（BAT）方案安全路由協(xié)議。這種方案是通過使用對稱密鑰為無線傳感器網(wǎng)絡(luò)實現(xiàn)認證服務(wù)。提出的方案稱為無線傳感器網(wǎng)絡(luò)安全路由協(xié)議（SRPWSN）。由于路由協(xié)議是為了檢測的主要的內(nèi)部攻擊，我們提出了在拓撲搜索期間使用路由和消息冗余。對于每一條進入信息，我們可以通過使用二進制認證樹來運用認證服務(wù)。這種方案對于檢測這種網(wǎng)絡(luò)路由協(xié)議的主要攻擊起著至關(guān)重要的作用；同時，它也為網(wǎng)絡(luò)流量提供了一定程度的服務(wù)質(zhì)量（QoS）。當在一個需要的時間間隔內(nèi)驗證大量的簽名，甚至在帶有虛假信息的不利情況下，為了獲得認證服務(wù)，我們使用二進制認證樹（BAT）方案能夠有效的消除性能瓶頸。

參考文獻：

[1]靳志成.云計算環(huán)境下的軟件動態(tài)部署[D].上海交通大學，2011.

[2]王春波，靳志成，曹健.面向云計算環(huán)境的分布式軟件部署算法[J].2012（02）：42-45.

[3]H.Meyerhenke，B.Monien，S.Schamberger.Graph partitioning and disturbeddiffusion[J].Parallel Computing，2009（35）.

[4]T.Verbelen，T.Stevens，P.Simoens，F(xiàn).De Turck，B.Dhoedt.Dynamic deployment and quality adaptation for mobile augmented reality applications[J].Journal of Systems and Software，2011（84）：1871-1882.

作者簡介：趙高權(quán)（1985-），男，四川成都人，碩士，助教，主要研究方向：形式化方法、信息安全。

作者單位：西華大學應(yīng)用技術(shù)學院，成都 610039