無線傳感器網(wǎng)絡中基于PUF的輕量級多網(wǎng)關身份認證協(xié)議

摘 要：針對無線傳感器網(wǎng)絡中多網(wǎng)關身份認證協(xié)議所存在的計算效率低、缺乏安全性以及無線傳感器資源受限等問題，提出了一種基于不可克隆函數(shù)（PUF）的輕量級多網(wǎng)關身份認證協(xié)議。該協(xié)議全部使用異或、哈希函數(shù)等輕量級運算保證加密傳輸和完整性驗證，每個設備利用PUF函數(shù)生成“設備指紋”標志其唯一性，并且通過提出的網(wǎng)絡架構(gòu)能夠解決網(wǎng)關節(jié)點計算瓶頸和單點故障問題。其次通過隨機預言模型、ProVerif協(xié)議仿真工具和非形式化安全分析，證明了所提協(xié)議滿足信息傳輸機密性、完整性、匿名性等14 種安全屬性。最后在統(tǒng)一的性能基準下通過與近年相關協(xié)議進行分析對比，結(jié)果表明所提協(xié)議在效率、存儲成本和安全屬性方面具有較大的優(yōu)勢。

關鍵詞：不可克隆函數(shù)；輕量級；多網(wǎng)關；身份認證協(xié)議

中圖分類號：TN918.9"" 文獻標志碼：A""" 文章編號：1001-3695（2025）04-036-1230-09

doi： 10.19734/j.issn.1001-3695.2024.06.0249

Lightweight PUF-based multi-gateway authentication protocol for wireless sensor network

Wang Xionga， Wang Wenboa， Liu Angb， Xu Shengweic， Li Weilina， Zhang Zehaoa

（a. Dept. of Cyberspace Security， b. Network amp; Information Management Division， c. Institute of Information Security， Beijing Electronic Science amp; Technology Institute， Beijing 100070， China）

Abstract：To address issues such as low computational efficiency， lack of security， and limited resources in wireless sensor networks， this paper proposed a lightweight multi-gateway authentication protocol based on PUF. This protocol utilized only lightweight operations such as XOR and hash functions to ensure encrypted transmission and integrity verification. Each device generated a unique “device fingerprint” using the PUF function to identify its uniqueness. The proposed network architecture solved the computational bottleneck and single point of failure issues at gateway nodes. Additionally， this paper demonstrated that this protocol meets 14 security attributes， including confidentiality， integrity， anonymity of information transmission， and so on， through the random oracle model， ProVerif protocol simulation tool， and informal security analysis. Finally， under a unified performance benchmark， this paper compared and analyzed this protocol against recent related protocols， showing significant advantages in efficiency， storage cost， and security attributes.

Key words：physical unclonable function（PUF）; lightweight; multi-gateway; authentication protocol

0 引言

物聯(lián)網(wǎng)（Internet of Things，IoT）是一種新興的數(shù)字通信網(wǎng)絡。物聯(lián)網(wǎng)技術的迅猛發(fā)展使得無線傳感器網(wǎng)絡（wireless sensor network，WSN）在遠程醫(yī)療、工業(yè)自動化、智能農(nóng)業(yè)等領域展現(xiàn)出日益凸出的重要性。然而，WSN的開放性與分布式特性亦伴隨著一系列安全挑戰(zhàn)，尤其是在身份認證與密鑰協(xié)商環(huán)節(jié)。由于傳統(tǒng)的單網(wǎng)關身份驗證協(xié)議計算消耗量大、易受攻擊、故障冗余機制不夠完善以及缺乏靈活性等不足，已難以滿足現(xiàn)代WSN對效率、安全性、可靠性以及可擴展性的高要求。

近年來，為滿足WSN一系列的不足和挑戰(zhàn)，研究人員提出了許多基于密碼學源語的身份認證協(xié)議。 但許多協(xié)議僅依賴于密碼安全性，容易受到脫機密碼猜測攻擊。為了避免這些問題，研究人員接連提出了基于密碼和智能卡的雙因素身份驗證協(xié)議。2009年，Das［1］建立了一種新穎的雙因素身份驗證方案，其中用戶擁有密碼和智能卡。同年，Nyang等人［2］指出文獻［1］容易受到脫機密碼猜測攻擊，并提出了克服此缺點的解決方法。2010年，Cheikhrouhou等人［3］提出了一種基于對稱算法高級加密標準（advanced encryption standard，AES）的輕量級身份驗證方案，使用了互相認證和密鑰建立機制來確保協(xié)議的機密性和數(shù)據(jù)完整性?；诠€算法的方案可以實現(xiàn)比基于對稱算法的方案更多的安全屬性，但它們也會消耗更多的系統(tǒng)資源。2011年，Yeh等人［4］發(fā)現(xiàn)文獻［5］未能提供安全的用戶密碼更新方法，并容易受到內(nèi)部攻擊的影響。為了解決這些現(xiàn)有問題，他們首先應用了橢圓曲線密碼算法（elliptic curve cryptography， ECC）和智能卡來構(gòu)建WSN身份驗證協(xié)議。2013年，文獻［6］建立了一個身份驗證協(xié)議，以實現(xiàn)完美的前向保密性與用戶和傳感器節(jié)點之間的互相認證和密鑰協(xié)商。Choi等人［7］指出文獻［6］容易受到會話密鑰攻擊、盜竊智能卡等攻擊的影響，并改進了出現(xiàn)的安全問題?；贓CC的身份驗證協(xié)議是用于改善射頻識別（radio frequency identification， RFID）系統(tǒng)安全性和隱私性的方法之一。Dinarvand等人［8］檢驗并比較了利用該方法建立安全性的協(xié)議，并提出了一種使用ECC進行相互認證的RFID身份驗證協(xié)議，以克服現(xiàn)有方案的弱點。2021年，Wang等人［9］利用ECC提出了增強的匿名身份驗證方案，用于智能醫(yī)療保健系統(tǒng)。2022年，文獻［10］提出了一種輕量級的用于基于物聯(lián)網(wǎng)的WSN的身份驗證協(xié)議。文獻［11］提出了一種基于區(qū)塊鏈平臺的IoT環(huán)境的三因素認證方案。

文獻［5］首次提出了基于兩因素的多網(wǎng)關身份驗證和密鑰協(xié)議，用于WSN，能夠確保用戶匿名性，同時抵抗密碼猜測攻擊、內(nèi)部攻擊等。同年，Das等人［12］指出文獻［5］無法保護用戶匿名性，此外，還容易受到密碼猜測攻擊和身份猜測攻擊的影響。之后，文獻［12］提出了一個基于AES算法的三因素身份驗證協(xié)議來解決這些問題。此外，Wu等人［13］指出文獻［5］也無法抵抗跟蹤攻擊，并且沒有一個共同的三方會話密鑰。Guo等人［14］發(fā)現(xiàn)文獻［13］無法抵抗脫機密碼猜測攻擊和身份猜測攻擊，并且容易受到內(nèi)部特權攻擊、用戶跟蹤等攻擊的影響。為解決文獻［13］的安全問題，Guo等人［14］在其基礎上提出了一種多網(wǎng)關WSN的三因素身份驗證協(xié)議。在2017年，Srinivas等人［15］詳細分析了文獻［5］，并提出了改進的三因素身份驗證協(xié)議。然而，Wang等人［16］發(fā)現(xiàn)文獻［15］同樣容易受到智能卡盜竊攻擊、節(jié)點捕獲攻擊和跟蹤攻擊的影響，并且無法保證前向保密性。2019年，Lee等人［17］提出了一種適用于多網(wǎng)關協(xié)議的三因素相互認證協(xié)議，其中如果用戶希望使用所有傳感器節(jié)點，則需要在所有網(wǎng)關節(jié)點注冊。2022年，Dai等人［18］發(fā)現(xiàn)文獻［14］容易出現(xiàn)單點故障，并提出了一種基于ECC的多網(wǎng)關WSN的新型三因素認證方案，實現(xiàn)了智能卡吊銷、動態(tài)傳感器節(jié)點添加，并能夠抵御單點故障。Zhao等人［19］提出了一種基于ECC的新型三因素身份驗證和密鑰協(xié)議，適用于IoT環(huán)境，在單網(wǎng)關環(huán)境中可以使用其方案，并可以擴展到多網(wǎng)關環(huán)境。2023年，Chen等人［20］提出了基于密碼和智能卡的兩因素多網(wǎng)關身份驗證協(xié)議，能夠抵抗密碼和身份猜測以及智能卡丟失攻擊。大多數(shù)方案利用ECC算法來確保它們可以實現(xiàn)更多的安全屬性。然而，ECC提供更多的安全性，同時產(chǎn)生更多的計算開銷。

目前面向無線傳感器網(wǎng)絡中的密鑰協(xié)商協(xié)議大多以單網(wǎng)關為主，少數(shù)使用多網(wǎng)關或者多網(wǎng)關相互協(xié)作，此外多網(wǎng)關也無法達到輕量級。其中單網(wǎng)關作為可信機構(gòu)負責普通用戶和傳感器設備的注冊、信息傳遞和密鑰協(xié)商等。而多網(wǎng)關則仍然借助一個可靠中心節(jié)點網(wǎng)關負責注冊等其他功能。在目前無線傳感器網(wǎng)絡中使用的網(wǎng)絡結(jié)構(gòu)無論是單網(wǎng)關或多網(wǎng)關，在中心網(wǎng)關節(jié)點發(fā)生故障時都沒有其他備用網(wǎng)關可以保障系統(tǒng)的正常運行，并無法通過多個網(wǎng)關實現(xiàn)負載均衡。所以設計一種既能夠?qū)崿F(xiàn)故障備用，也能實現(xiàn)負載均衡的網(wǎng)絡結(jié)構(gòu)，并提出一種可行安全的協(xié)議變得尤為重要。

為改進上述不足，本文提出了一個基于PUF的輕量級多網(wǎng)關身份認證與密鑰協(xié)商方法，旨在為WSN構(gòu)建一個更為高效、安全、可靠且具備良好擴展性的身份驗證方法。該方法充分利用PUF的不可預測性與不可克隆性特點，結(jié)合輕量級計算技術與多網(wǎng)關架構(gòu)，設計出了一項既安全又高效的密鑰協(xié)商協(xié)議。本文主要工作如下：a）提出了一個基于PUF的輕量級多網(wǎng)關身份認證與密鑰協(xié)商協(xié)議。該協(xié)議中，全部使用哈希運算、異或和PUF函數(shù)等輕量級密碼源語，用戶和網(wǎng)關、網(wǎng)關和傳感器通過使用輕量級運算進行加密傳輸重要參數(shù)，極大地降低了該協(xié)議的計算開銷；b）使用隨機預言模型、ProVerif仿真工具對協(xié)議進行了形式化安全證明，確保了會話密鑰的安全性。同時，非形式化安全分析表明，該協(xié)議可以抵御常見攻擊和特定漏洞，比如口令猜測攻擊、臨時秘密值泄露攻擊、節(jié)點捕獲攻擊等，且具有前向/后向安全等屬性，同時滿足三因子安全性；c）在統(tǒng)一基準下與近年相關協(xié)議在計算開銷、通信開銷、存儲開銷和安全性方面進行對比。結(jié)果表明，該協(xié)議在計算效率、存儲開銷和安全性方面具有優(yōu)勢，適合在資源受限環(huán)境中部署。

1 基礎知識

1）生物哈希函數(shù)BioHashing（）

生物哈希（biometric hashing）函數(shù)是一種專門用于處理生物識別數(shù)據(jù)的哈希函數(shù)，可將個人生物特征（如指紋、虹膜圖案等）轉(zhuǎn)換為固定長度的哈希值。生物哈希函數(shù)對輸入的生物特征的微小差異敏感。

2）物理不可克隆函數(shù)PUF（）

PUF（）函數(shù)是一種基于物理世界的唯一性和不可復制性所實現(xiàn)的安全機制。其核心思想為利用集成電路制造過程中產(chǎn)生的微小物理差異來產(chǎn)生唯一的且不可克隆的驗證標識。

2 相關描述

2.1 協(xié)議框架

目前在無線傳感器網(wǎng)絡中，密鑰協(xié)商雖然仍以單網(wǎng)關為主，但隨著外部環(huán)境的變化，不斷增加的傳感器節(jié)點數(shù)量以及對效率的要求等問題，使得單網(wǎng)關已無法適應現(xiàn)存的一些挑戰(zhàn)。為了應對單網(wǎng)關所存在的問題，不斷有研究人員提出一些基于多網(wǎng)關的身份認證與密鑰協(xié)商協(xié)議，但大多協(xié)議中多網(wǎng)關之間的數(shù)據(jù)沒有共享，且完成一次會話密鑰協(xié)商需要多個網(wǎng)關共同完成，雖然可以應對傳感器數(shù)量不斷增加的問題，但其本質(zhì)仍是單網(wǎng)關。所以為了滿足實際需求，本文在其基礎之上設計了一種多網(wǎng)關框架結(jié)構(gòu)，如圖1所示。該框架涉及多個網(wǎng)關，網(wǎng)關與網(wǎng)關之間通過安全信道連接，兩兩互通，并且每個網(wǎng)關中保存的數(shù)據(jù)一致，任何一個網(wǎng)關都可單獨完成一次會話密鑰協(xié)商。除此之外，網(wǎng)關間使用已存在的數(shù)據(jù)轉(zhuǎn)發(fā)和通信策略進行數(shù)據(jù)轉(zhuǎn)發(fā)和通信，并規(guī)定某一網(wǎng)關為主網(wǎng)關，所以能夠更好地集中于考量身份認證和密鑰協(xié)商的過程上，即協(xié)議本身。

2.2 應用場景

在所設計的框架基礎上，提出了一個無線傳感器網(wǎng)絡中基于PUF的輕量級多網(wǎng)關身份認證協(xié)議，該協(xié)議涉及用戶、可信網(wǎng)關以及傳感器設備三個實體。在實際應用場景中，用戶需要訪問或控制傳感器設備。在用戶與傳感器交互前，用戶和傳感器都需通過安全信道向可信網(wǎng)關進行注冊。當主網(wǎng)關收到注冊信息之后，會將注冊信息共享至其他網(wǎng)關并保存。注冊完成后，用戶通過終端設備首先進行本地身份驗證，然后借助可信網(wǎng)關與傳感器協(xié)商出一個會話密鑰。協(xié)商過程中，當主網(wǎng)關中央處理單元（central processing unit，CPU）使用率超過75%時或發(fā)生故障時，可通過已存在的數(shù)據(jù)轉(zhuǎn)發(fā)和通信傳輸策略將其所接收到的消息轉(zhuǎn)至其他任一備用網(wǎng)關進行運算，以免節(jié)點故障導致系統(tǒng)的癱瘓。密鑰協(xié)商完成后，用戶與傳感器設備利用會話密鑰對傳輸數(shù)據(jù)進行加密，以實現(xiàn)數(shù)據(jù)安全傳輸?shù)哪繕?。大致過程如圖1所示，圖中虛線表示公共信道，實線表示私有信道。

2.3 協(xié)議優(yōu)點

提出的無線傳感器網(wǎng)絡中基于PUF的輕量級多網(wǎng)關的身份認證與密鑰協(xié)商協(xié)議，具有無線傳感器中輕量級的優(yōu)點，同時也基于PUF技術解決了身份認證信息泄露、用戶身份追蹤、會話密鑰不可偽造等問題，在資源受限的傳感器節(jié)點保持了較高的計算效率，并基于會話密鑰建立后續(xù)安全傳輸通道。

本文協(xié)議在身份認證中有著非常高的安全強度。在普通用戶中，利用PUF的特性，本文將用戶的生物信息經(jīng)過PUF的處理生成唯一且不可克隆的信息，使得攻擊者即使在獲得用戶的ID、口令、生物特征和智能卡參數(shù)的前提下依然無法通過已獲取的信息在另一臺移動設備上進行登錄和假冒合法用戶，也無法偽造出合法的M1，其具備n-1因素安全特征。此外，基于PUF的特性，即使用戶端、傳感器端被竊取并分析，仍然無法恢復出之前協(xié)商的會話密鑰，無法假冒身份計算出后續(xù)的會話密鑰，適合安全性要求較高的場景。

其次，每個網(wǎng)關均部署了PUF函數(shù)，利用PUF函數(shù)生成的數(shù)據(jù)形成每個網(wǎng)關的“設備指紋”，即挑戰(zhàn)應答機制中的響應值，且該指紋不可克隆也不可恢復。而在每次會話協(xié)商的過程中，網(wǎng)關的“設備指紋”會通過加密傳輸給用戶設備，用戶設備更新此前的數(shù)據(jù)。網(wǎng)關在收到用戶認證更新通過之后，也會通過安全信道將挑戰(zhàn)響應對共享至其他網(wǎng)關進行數(shù)據(jù)更新。所以用戶和網(wǎng)關之間、網(wǎng)關與網(wǎng)關之間的數(shù)據(jù)始終保持同步。

當其中一個網(wǎng)關發(fā)生故障時，因每個網(wǎng)關當中所存儲的數(shù)據(jù)一致，只需通過已存在的數(shù)據(jù)轉(zhuǎn)發(fā)和通信策略將其數(shù)據(jù)信息轉(zhuǎn)發(fā)至另一臺網(wǎng)關設備，便可使會話密鑰協(xié)商過程不間斷地完成，解決了一個網(wǎng)關環(huán)境惡劣情況下單點故障或計算資源消耗極大時的處理瓶頸

。

3 提出的協(xié)議

本文提出了一個基于PUF的輕量級多網(wǎng)關身份認證協(xié)議。該協(xié)議包括初始化、用戶注冊、傳感器注冊、登錄和密鑰協(xié)商、口令更新和用戶注銷階段六個階段。協(xié)議使用的符號及其描述參見表1。

3.1 初始化階段

a）主網(wǎng)關和其他備用網(wǎng)關都建立各自的PUFGW（），便于后續(xù)生成各自的挑戰(zhàn)應答機制對。其次主網(wǎng)關生成自己的主密鑰y并安全共享到其他網(wǎng)關，保存下來以便傳感器注冊階段使用。

b）建立各個網(wǎng)關之間的安全信道、數(shù)據(jù)轉(zhuǎn)發(fā)和通信策略，使網(wǎng)關之間兩兩互通，安全連接。設定各個網(wǎng)關CPU利用率的閾值75%，若當前CPU超過75%時將所接收到的信息轉(zhuǎn)發(fā)至下一空閑網(wǎng)關進行運算。

c）建立數(shù)據(jù)共享策略，使其能夠快速精準地實現(xiàn)數(shù)據(jù)定位和數(shù)據(jù)更新，達到數(shù)據(jù)同步的目的。

3.2 用戶注冊階段

用戶設備注冊階段流程如圖2所示，具體步驟如下：

a）用戶在自己想要注冊的終端設備上輸入自己的身份標識ID、口令PW和生物特征BIO。隨即計算Bi=Biohashing（BIO），Ei=PUF1（BIO），GPW=h（ID‖Ei‖PW）和HID=h（ID‖Ei）。用戶設備通過安全信道將HID發(fā)送至主網(wǎng)關。隨后接著計算本地身份驗證參數(shù)Ver=h（GPW‖Ei‖PW），并將其保存在本地設備中。

b）主網(wǎng)關收到HID后，隨后產(chǎn)生一對挑戰(zhàn)應答機制對。即通過產(chǎn)生一個隨機數(shù)CD，計算出重要參數(shù)RnewD=PUFGW（CnewD）。接著將{CD，RD，HID}保存在自己的數(shù)據(jù)庫當中。主網(wǎng)關將{CD，RD，HID}通過安全信道廣播至其他網(wǎng)關，其他網(wǎng)關也保存至自己的數(shù)據(jù)庫中，實現(xiàn)用戶信息數(shù)據(jù)的共享。

c）主網(wǎng)關將{CD，RD}廣播至其他網(wǎng)關實現(xiàn)數(shù)據(jù)共享后，將通過安全信道將挑戰(zhàn)應答機制對{CD，RD}發(fā)送給用戶設備，用戶設備收到信息后，立即保存至自己本地設備中，供登錄和密鑰協(xié)商過程中使用。

3.3 傳感器設備注冊階段

傳感器設備注冊階段流程如圖3所示，具體步驟如下：

a）每個傳感器設備擁有自己的身份標識SID，所以注冊時傳感器首先計算SD=PUF2（SID）。然后通過安全信道將{SID，SD}發(fā)送給主網(wǎng)關。

b）主網(wǎng)關擁有自己的主密鑰y。所以主網(wǎng)關計算KJ=h（SID‖SD‖y），隨后將Kj通過安全信道發(fā)送給傳感器設備，保存{SID，SD}。

c）傳感器設備收到Kj后，將其保存在自己的設備中，以供密鑰協(xié)商過程中使用。

4.3 安全分析

1）離線口令猜測攻擊

針對以口令為主的身份認證協(xié)議，離線口令猜測攻擊是一個主要的安全威脅。根據(jù)攻擊者模型，攻擊者可以通過側(cè)信道攻擊獲取用戶智能卡中的參數(shù){Ver，CD，RD}，可以獲取公共信道中的參數(shù)?？诹畹倪\算只在本地身份驗證中出現(xiàn)Ver=h（h（ID‖PUF1（BIO）‖PW）。攻擊者無法通過攻破和公共信道中獲取的數(shù)據(jù)得出身份標識ID和PUF1（BIO），其中BIO是生物特征，攻擊者不可能從口令空間中猜測到用戶的口令。所以該協(xié)議能夠抵抗離線口令猜測攻擊。

2）用戶匿名性

用戶的匿名性是指用戶無法被攻擊者追蹤到。也就是用戶不可能兩次發(fā)出同一參數(shù)。本文協(xié)議中用戶發(fā)送的消息是M1={CD，N1，N3，N4，T1}，其中CD是隨機數(shù)，{N1，N3，N4}中的每個消息都有RD的參與。因RD是經(jīng)過PUF2（CD）生成的，所以具備隨機數(shù)的特性。同理，消息M5={N13，N14}中因隨機數(shù)r的參與，該消息也具備隨機數(shù)的特性。所以用戶端發(fā)出的每個消息都具備隨機性，攻擊者無法通過公共信道中獲取的消息計算出具有用戶標識特性的信息。所以該協(xié)議滿足用戶的匿名性。

3）抵抗會話密鑰泄露安全

該協(xié)議中會話密鑰是由哈希函數(shù)生成，且由于隨機數(shù)的參與，具備隨機性。協(xié)議中會話密鑰為SK=h（R′D‖h（SD‖R），而攻擊者無法仿造出{RD，SD}，同時也無法仿造出隨機數(shù)R，攻擊者也無法通過從公共信道中獲取的數(shù)據(jù)恢復出{RD，SD}和R。所以該協(xié)議能夠抵抗會話密鑰泄露安全。

4）前向/后向安全性

根據(jù)無線傳感器網(wǎng)絡安全需求，身份認證協(xié)議應該滿足傳感器網(wǎng)絡的前向或后向安全性。在本文協(xié)議中，用戶、網(wǎng)關和傳感器完成雙向認證后，生成一個會話密鑰SK用于加密后續(xù)傳輸?shù)臋C密數(shù)據(jù)。而SK是由各通信實體在每次認證過程中生成的隨機數(shù)加密生成的，所以SK在每次認證過程中呈動態(tài)隨機變化的。如果未來某個時刻通信密鑰被泄露，之前的通信內(nèi)容不會被解密，如果某一時刻會話密鑰被泄露，未來的通信內(nèi)容也不會被解密。此外，SK只因參與N7哈希運算，不涉及其他任何運算，即使SK丟失也不會影響之前或未來的會話密鑰安全。因此，當用戶、傳感器加入或者離開后，攻擊者不可能獲得之前或者之后傳輸數(shù)據(jù)的SK。因此，該協(xié)議可以滿足前向/后向安全性。

5）抵抗臨時秘密值泄露攻擊。該協(xié)議中，有兩個臨時秘密值R和r。當R泄露時，因為R=N8SDKj，攻擊者無法得到SD、Kj。當r泄露時，因為r的計算過程是r=N13HIDRnewD，攻擊者無法知道HID、RnewD，所以無法計算出HID、RnewD。所以該協(xié)議可以抵抗臨時秘密值泄露攻擊。

6）雙向認證

該協(xié)議中，用戶、網(wǎng)關和傳感器每次收到消息后，都會進行消息的合法性認證。都要通過合法性驗證才進行后續(xù)運算，而每個驗證消息的生成都涉及兩個或兩個以上的秘密參數(shù)，所以攻擊者無法恢復，也無法仿造。

a）可信網(wǎng)關認證用戶及傳感器。針對用戶身份，首先通過CD檢索初步驗證用戶的合法性，通過驗證N4進一步驗證用戶的身份。為了通過F5的驗證，需要知道GPW和RD。顯然，依據(jù)PUF的唯一性，假冒用戶無法計算GPW和RD，進而無法通過N4的驗證。針對傳感器身份，利用N9計算中SD因子驗證了傳感器身份。因為，只有TGW與Sj才可能擁有SD。

b）用戶認證可信網(wǎng)關及傳感器。用戶收到可信網(wǎng)關的消息M4后，通過驗證N12可以驗證可信網(wǎng)關的身份。因為只有用戶與可信網(wǎng)關掌握GPW與HID，并且GPW不能恢復和計算（PUF的唯一性）。由于可信網(wǎng)關的完全可信且驗證了傳感器身份，所以用戶間接驗證了傳感器身份。

c）傳感器認證可信網(wǎng)關與用戶。傳感器收到消息M2后，通過N6驗證可信網(wǎng)關的身份。因為只有網(wǎng)關和傳感器知悉Kj與SD才能計算出RD，繼而驗證N6，且計算需要可信網(wǎng)關的主密鑰y以及PUF2的支持，這些都不可能由攻擊者同時獲取到。所以，傳感器驗證了可信網(wǎng)關的身份，考慮到可信網(wǎng)關的完全可信，間接證明了用戶身份。

由上可知，該協(xié)議的三個實體實現(xiàn)了相互認證。

7）重放攻擊

重放攻擊是一種非常流行的簡單攻擊模式。根據(jù)攻擊者模型，攻擊者可以截獲并且轉(zhuǎn)發(fā)在公共網(wǎng)絡中傳輸?shù)臄?shù)據(jù)，以實現(xiàn)欺騙的目的。在該協(xié)議中用戶向網(wǎng)關，網(wǎng)關向傳感器發(fā)送消息時都通過時間戳參與完整性校驗，且收到信息后接收方首先驗證時間戳的新鮮性。如果收到的時間戳不新鮮，接收方拒絕請求并終止會話。傳感器向網(wǎng)關、網(wǎng)關向用戶發(fā)送信息，因為隨機數(shù)的存在，可以保證會話的新鮮性。所以該協(xié)議可以抵抗重放攻擊。

8）抵抗傳感器節(jié)點捕獲攻擊

當傳感器節(jié)點被捕獲之后，攻擊者可以通過側(cè)信道攻擊提取出傳感器中所保存的參數(shù)。該協(xié)議中，攻擊者獲得{SID，Kj}，只能恢復出N2HID與RDSD。由于SD由PUF生成，所以攻擊者無法仿造出SD，攻擊者也無法恢復出RD=N5SDKj，所以也無法恢復出會話密鑰；同樣，只有SID和Kj，攻擊者無法恢復出用戶與網(wǎng)關的隱私數(shù)據(jù)，無法進行假冒傳感器向網(wǎng)關發(fā)送消息以及用戶、網(wǎng)關的假冒等。

9）長期秘密值泄露攻擊

在網(wǎng)關中，有一個秘密值y，長期保存在網(wǎng)關當中，負責傳感器的注冊。當y被泄露時，由于攻擊者無法獲得由PUFGW生成的SD，所以攻擊者無法計算出K′j=h（SID‖SD‖y），也無法恢復出會話密鑰，所以該協(xié)議可以抵抗長期秘密值泄露攻擊。

10）抵抗竊聽攻擊

攻擊者可以攔截來自公共信道的消息，但是每個認證消息和會話密鑰SK都受哈希函數(shù)的保護，所以攻擊者無法從公共信道傳輸?shù)男畔⒅蝎@取有用的信息來進行假冒攻擊或者恢復出會話密鑰。 該協(xié)議可以抵抗竊聽攻擊。

11）抵抗內(nèi)部攻擊

用戶在注冊時未將其生物特征或口令泄露給可信網(wǎng)關，網(wǎng)關無從獲得用戶的隱私信息。當網(wǎng)關中內(nèi)部人員攻破到長期存儲的某一個長期參數(shù)時，其也無法恢復出當前的會話密鑰。所以該協(xié)議可以抵抗網(wǎng)關假冒攻擊和內(nèi)部攻擊。

12）抵抗中間人攻擊

攻擊者可以攔截來自公共信道的消息，但由于其中的秘密參數(shù)都是未知的攻擊者。攻擊者無法生成有效的消息欺騙任意兩個通信方。所以，該協(xié)議可以抵抗中間人攻擊。

13）抵抗口令更新階段攻擊

在該協(xié)議中，由于在注冊階段，用戶口令并未向網(wǎng)關發(fā)送，所以口令更新時只在本地進行口令更新，不存在公共通道中傳輸敏感數(shù)據(jù)。該協(xié)議可以抵抗口令更新階段的攻擊。

14）滿足三因子安全性

三因素安全是指，即使攻擊者獲得了用戶的兩個身份驗證因素，他們?nèi)匀粺o法獲得第三個身份驗證因素，也就無法成功假冒用戶。以下三種情況詳細分析了協(xié)議中的三因素安全。

a）當攻擊者獲得了用戶的智能卡參數(shù)和生物特征時，無法獲得用戶的口令和ID。攻擊者利用獲得的數(shù)據(jù)計算出Bi=BioHashing（BIO），但是由于攻擊者沒有PUF，無法計算Ei=PUF1（BIO），繼而無法計算GPW=h（ID‖Ei‖PW）與HID=h（ID‖Ei‖）。所以無法計算或成功猜測出PW以及ID的值。

b）當攻擊者獲得了用戶的智能卡參數(shù)、口令和ID時，無法獲得用戶的生物特征。因為攻擊者沒有PUF，無法得到Ei，所以利用已有數(shù)據(jù)無法計算GPW=h（ID‖Ei‖PW），HID=h（ID‖Ei），N2=h（GPW‖N1‖RD），N1=HIDGPWRD，更無法計算出生物特征BIO或者Ei。

c）當攻擊者獲得了用戶的生物特征、用戶的口令和ID時，無法得出用戶本地存儲的參數(shù)。由于攻擊者沒有PUF，所以無法恢復出Ei，攻擊者無法計算出GPW=h（ID‖Ei‖PW），HID=h（ID‖Ei），所以也無法計算出本地存儲的參數(shù)Ver且由于CD與RD是有可信網(wǎng)關在注冊時生成，任何非可信網(wǎng)關實體都無法恢復出這對參數(shù)。所以，攻擊者無法恢復出智能卡中保存的參數(shù)。

現(xiàn)有的三因子認證協(xié)議多數(shù)無法實現(xiàn)三因子安全性，這是由于當生物特征和智能卡被攻破時，攻擊者可以根據(jù)智能卡中存儲的驗證值驗證輸入口令與生物特征的有效性，進而猜測用戶口令。在本文協(xié)議中，生物特征經(jīng)過PUF處理，所以攻擊者無法克隆Ei，無法進一步計算出其他參數(shù)，所以本文協(xié)議可以滿足三因子安全性。

5 對比分析

傳感器設備大多存在物理尺寸小、存儲資源不足、計算資源有限等情況。為了評估該協(xié)議在計算開銷、存儲開銷和安全特性方面的具體情況，本章在相同的性能基準下將所提協(xié)議與文獻［24～27］在計算開銷、通信開銷、存儲開銷和安全性方面進行對比。

5.1 計算開銷對比

參考文獻［28］中所定義的運算時間，規(guī)定hash運算、對稱加密/解密、模糊提取運算、生物哈希運算、PUF模塊等的1次運算時間分別為TH≈0.002 6 ms、Tsym≈0.003 25 ms、Tfuzy≈1.989 ms、Tb≈0.005 ms、TP≈0.000 15 ms。

該協(xié)議中，用戶端使用1次BioHashing、1次PUF和9次hash函數(shù)，分別表示為1Tb、1TP、9TH。所以用戶端的計算開銷為1Tb+1TP+9TH≈0.028 55 ms。同理，在TGW中的計算開銷為1TP+8TH≈0.020 95 ms。傳感器中的計算開銷為1TP+5TH≈0.013 15 ms。三個實體完成一次會話密鑰協(xié)商的總計算開銷為1Tb+3TP+22TH≈0.062 6 ms。在統(tǒng)一的性能基準和計算方式下，對比五個協(xié)議在用戶端、網(wǎng)關端和傳感器端的計算開銷如圖6～8所示。圖9表示完成一次會話密鑰協(xié)商總計算開銷的對比情況。

根據(jù)認證過程可知，文獻［24，26，27］在用戶端本地身份驗證過程中使用模糊提取函數(shù)，導致三個協(xié)議在用戶端開銷較大，進一步提高了總計算開銷。文獻［29］在本地登錄和密鑰協(xié)商階段使用輕量級運算，其用戶端計算開銷較小。但是由于設計中存在計算冗余，導致該協(xié)議在網(wǎng)關的計算開銷最大。本文協(xié)議在身份驗證和密鑰協(xié)商階段使用輕量級運算，并且設計巧妙，使得在用戶、網(wǎng)關、傳感器和總計算開銷方面都達到最優(yōu)，并且在用戶端和總計算開銷方面遠優(yōu)于文獻［24，26，27］。

5.2 存儲開銷對比

根據(jù)文獻［30］的數(shù)值，本文定義隨機數(shù)、hash函數(shù)、身份ID/口令/生物識別、時間戳和對稱加密/解密的輸出長度分別為32 bit、160 bit、32 bit、32 bit和128 bit。根據(jù)上述定義的數(shù)值，計算5個協(xié)議存儲和通信開銷，并進行對比。

在存儲開銷方面只比較用戶端和傳感器兩個實體。因可信網(wǎng)關是可信第三方，屬于資源不受限實體，故不考慮網(wǎng)關的存儲開銷。該協(xié)議中，用戶端存儲用于本地身份驗證的參數(shù){Ver，CD，RD}，開銷為224 bit。傳感器存儲了身份標識和參數(shù){SID，Kj}，開銷為192 bit。所以總的存儲開銷為416 bit。

通信開銷為公開信道中傳輸參數(shù)的比特值。該協(xié)議在公開信道中所傳輸?shù)膮?shù)長度分別為M1={CD，N1，N3，N4，T1}=32+160+160+160+32=544 bit，M2={N5，N6，T2}=160+160+32= 352 bit，M3={N7，N8，N9}=160+160+160=480 bit，M4={N7，N10，N10，N11}=160+160+160+160=640 bit，M5={N13，N14}=160+160=320 bit。所以總通信開銷為2 336 bit。

在統(tǒng)一的性能基準和計算方式下，其他4個協(xié)議使用上述定義數(shù)值，得出各自的存儲開銷和通信開銷，具體數(shù)值如圖10、11所示。該協(xié)議由于在用戶和網(wǎng)關之間使用挑戰(zhàn)響應對，極大減小了用戶設備中需要存儲的參數(shù)。在傳感器設備中只保存了一個身份標識和一個密鑰。所以該協(xié)議在存儲開銷方面仍是最優(yōu)的。同時，為了保證協(xié)議的安全性，本文協(xié)議中的消息在公開信道傳輸?shù)倪^程中使用哈希保護或與哈希值異或，導致該協(xié)議在通信開銷方面相對較大，但是相差的具體數(shù)值較小?？紤]到該協(xié)議在計算開銷、存儲開銷方面都是最優(yōu)的，而且在后面的安全性對比中也是最優(yōu)的，所以通信開銷的劣勢在容忍范圍之內(nèi)。

5.3 安全性比較和分析

參考文獻［24，31］中的安全漏洞類型和分析方法，將本文協(xié)議與相關協(xié)議在安全性方面作出對比，如表3所示。在表中，“√”表示可以抵制該漏洞或滿足安全要求，“×”表示不能。根據(jù)表3，本文協(xié)議在安全性方面有著較大優(yōu)勢，滿足多種應用場景下的安全需求。

6 結(jié)束語

本文提出了一種面向無線傳感器網(wǎng)絡的基于PUF的輕量級多網(wǎng)關身份認證協(xié)議。該協(xié)議不僅具有無線傳感器網(wǎng)絡中輕量級的優(yōu)點，同時利用PUF技術有效解決了離線口令猜測、用戶身份追蹤以及會話密鑰不可偽造等問題，且采用輕量級算法。協(xié)議中沒有使用任何對稱加密或非對稱等其他非輕量級加密算法，除使用生物哈希函數(shù)、PUF函數(shù)，其余運算都采用哈希和異或操作，適用于計算資源受限諸多場景，比如遠程醫(yī)療、車聯(lián)網(wǎng)、工業(yè)、農(nóng)業(yè)等。其次該協(xié)議中多網(wǎng)關策略擴展了可信網(wǎng)關，解決了單個網(wǎng)關在環(huán)境惡劣或計算資源消耗極大的情況下的處理瓶頸問題和單節(jié)點故障問題。使得該協(xié)議特別適用于計算資源受限的諸多場景。其次通過隨機預言模型、ProVerif協(xié)議仿真工具和安全分析證明了該協(xié)議的安全性。最后通過與近年相關類似協(xié)議進行比較，結(jié)果表明其在計算開銷、存儲開銷和安全性方面展現(xiàn)了相對較大的優(yōu)勢。

參考文獻：

［1］

Das M L. Two-factor user authentication in wireless sensor networks ［J］. IEEE Trans on Wireless Communications， 2009， 8（3）： 1086-1090.

［2］Nyang D， Lee M K. Improvement of Das’s two-factor authentication protocol in wireless sensor networks ［J］. IACR Cryptology EPrint Archive， 2009， 2009： 631.

［3］Cheikhrouhou O， Koubaa A， Boujelben M， et al. A lightweight user authentication scheme for wireless sensor networks ［C］// Proc of ACS/IEEE International Conference on Computer Systems and Applications. Piscataway， NJ： IEEE Press， 2010： 1-7.

［4］Yeh H L， Chen T H， Liu Pinchuan， et al. A secured authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. Sensors， 2011， 11（5）： 4767-4779.

［5］Amin R， Biswas G P. A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks ［J］. Ad hoc Networks， 2016， 36： 58-80.

［6］Shi Wenbo， Gong Peng. A new user authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. International Journal of Distributed Sensor Networks， 2013， 9（4）： 730831.

［7］Choi Y， Lee D， Kim J， et al. Security enhanced user authentication protocol for wireless sensor networks using elliptic curves cryptography ［J］. Sensors， 2014， 14（6）： 10081-10106.

［8］Dinarvand N， Barati H. An efficient and secure RFID authentication protocol using elliptic curve cryptography ［J］. Wireless Networks， 2019， 25（1）： 415-428.

［9］Wang Yuanbing， Liu Wanrong， Li Bin. An improved authentication protocol for smart healthcare system using wireless medical sensor network ［J］. IEEE Access， 2021， 9： 105101-105117.

［10］Hayouni H. AuthenIoT： a lightweight authentication protocol for the Internet of Things based wireless sensor networks ［J］. EAI Endorsed Trans on Cloud Systems， 2022， 7（21）： 171321.

［11］Ghafouri Mirsaraei A， Barati A， Barati H. A secure three-factor authentication scheme for IoT environments ［J］. Journal of Parallel and Distributed Computing， 2022， 169： 87-105.

［12］Das A K， Sutrala A K， Kumari S， et al. An efficient multi-gateway-based three-factor user authentication and key agreement scheme in hierarchical wireless sensor networks ［J］. Security and Communication Networks， 2016， 9（13）： 2070-2092.

［13］Wu Fan， Xu Lili， Kumari S， et al. An efficient authentication and key agreement scheme for multi-gateway wireless sensor networks in IoT deployment ［J］. Journal of Network and Computer Applications， 2017， 89： 72-85.

［14］Guo Hua， Gao Ya， Xu Tongge， et al. A secure and efficient three-factor multi-gateway authentication protocol for wireless sensor networks ［J］. Ad hoc Networks， 2019， 95： 101965.

［15］Srinivas J， Mukhopadhyay S， Mishra D. Secure and efficient user authentication scheme for multi-gateway wireless sensor networks ［J］. Ad hoc Networks， 2017， 54： 147-169.

［16］Wang Ding， Li Wenting， Wang Ping. Measuring two-factor authentication schemes for real-time data access in industrial wireless sensor networks ［J］. IEEE Trans on Industrial Informatics， 2018， 14（9）： 4081-4092.

［17］Lee J， Yu S， Park K， et al. Secure three-factor authentication protocol for multi-gateway IoT environments ［J］. Sensors， 2019， 19（10）： 2358.

［18］Dai Cong， Xu Zhongwei. A secure three-factor authentication scheme for multi-gateway wireless sensor networks based on elliptic curve cryptography ［J］. Ad hoc Networks， 2022， 127： 102768.

［19］Zhao Xingwen， Li Dexin， Li Hui. Practical three-factor authentication protocol based on elliptic curve cryptography for industrial Internet of Things ［J］. Sensors， 2022， 22（19）： 7510.

［20］Chen Chen， Guo Hua， Wu Yapeng， et al. A novel two-factor multi-gateway authentication protocol for WSNs ［J］. Ad hoc Networks， 2023， 141： 103089.

［21］Abdalla M， Fouque P A， Pointcheval D. Password-based authenticated key exchange in the three-party setting ［C］// Proc of the 8th International Conference on Theory and Practice in Public Key Crypto-graphy. Berlin： Springer-Verlag， 2005： 65-84.

［22］Wang Ding， Cheng Haibo， Wang Ping， et al. Zipf’s law in passwords［J］. IEEE Trans on Information Forensics and Security， 2017， 12（11）： 2776-2791.

［23］Boyko V， MacKenzie P， Patel S. Provably secure password-authenticated key exchange using Diffie-Hellman ［C］// Advances in Cryptology — EUROCRYPT 2000. Berlin： Springer， 2000： 156-171.

［24］Yu S， Park Y. A robust authentication protocol for wireless medical sensor networks using blockchain and physically unclonable functions ［J］. IEEE Internet of Things Journal， 2022， 9（20）： 20214-20228.

［25］Kwon D K， Yu S J， Lee J Y， et al. WSN-SLAP： secure and lightweight mutual authentication protocol for wireless sensor networks ［J］. Sensors， 2021， 21（3）： 936.

［26］Chen C M， Liu Shuangshuang， Li Xuanang， et al. A provably-vsecure authenticated key agreement protocol for remote patient monitoring IoMT ［J］. Journal of Systems Architecture， 2023， 136： 102831.

［27］Wazid M， Thapliyal S， Singh D P， et al. Design and testbed experiments of user authentication and key establishment mechanism for smart healthcare cyber physical systems ［J］. IEEE Trans on Network Science and Engineering， 2023， 10（5）： 2697-2709.

［28］Huang Wenfeng. ECC-based three-factor authentication and key agreement scheme for wireless sensor networks ［J］. Scientific Reports， 2024， 14（1）： 1787.

［29］Yang J H. A multi-gateway authentication and key-agreement scheme on wireless sensor networks for IoT ［J］. EURASIP Journal on Information Security， 2023， 2023（1）： 2.

［30］Sahoo S S， Mohanty S， Sahoo K S， et al. A three-factor-based authentication scheme of 5G wireless sensor networks for IoT system ［J］. IEEE Internet of Things Journal， 2023， 10（17）： 15087-15099.

［31］王菲菲. 物聯(lián)網(wǎng)環(huán)境下的認證協(xié)議研究 ［D］. 北京： 北京郵電大學， 2020. （Wang Feifei. Research on authentication protocols in Internet of Things environment［D］. Beijing： Beijing University of Posts and Telecommunications， 2020.）