一種基于時(shí)間隱蔽信道的WSN認(rèn)證算法

何 磊，郭曉軍，2，張春玉

（1.西藏民族學(xué)院 信息工程學(xué)院，陜西 咸陽 712082；2.東南大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 211189）

近年來，隨著無線傳感器網(wǎng)絡(luò)（WSN）相關(guān)技術(shù)研究不斷進(jìn)步，基于WSN的各種應(yīng)用不斷涌現(xiàn)，主要在包括科學(xué)、工業(yè)、軍事、民事、商用等領(lǐng)域［1－2］。當(dāng)前的研究主要集中在無線傳感器的路由、擁塞控制、節(jié)能等方面［3－4］。然而，由于無線傳感器網(wǎng)絡(luò)在某些應(yīng)用領(lǐng)域（如軍事、商業(yè)等）所收集和傳遞的信息大都為敏感或隱私信息，并且所付出的代價(jià)較高，因此WSN在此類領(lǐng)域應(yīng)用的安全性顯得尤為重要。

WSN中節(jié)點(diǎn)的自身特點(diǎn)，使得其安全認(rèn)證機(jī)制與傳統(tǒng)網(wǎng)絡(luò)存在較大差異。目前WSN安全性研究多偏重于WSN節(jié)點(diǎn)之間數(shù)據(jù)安全傳輸問題并形成了相關(guān)協(xié)議［1－2，5－7］，有關(guān) WSN 的認(rèn)證機(jī)制則研究較少，且已有的實(shí)現(xiàn)方案多依托于加密機(jī)制而實(shí)現(xiàn)［8－9］，典型代表為E－G方案［8］，其核心思想是在 WSN節(jié)點(diǎn)布置前，預(yù)先給每個(gè)節(jié)點(diǎn)分配相關(guān)密鑰參數(shù)，并由服務(wù)器生成密鑰池，然后每個(gè)節(jié)點(diǎn)從密鑰池中隨機(jī)選擇多個(gè)密鑰；在節(jié)點(diǎn)布置后，相鄰節(jié)點(diǎn)相互查詢自己內(nèi)存中存儲(chǔ)的密鑰子集中是否存在相同的預(yù)分配密鑰，如果存在，則可以利用共享的密鑰建立雙方的安全傳輸通道。類似的方法還有Chan等［9］提出的Q－COMPOSITE隨機(jī)密鑰預(yù)分配方案。此外，Oscar等［10］設(shè)計(jì)了一種給每個(gè)WSN節(jié)點(diǎn)預(yù)加載相關(guān)參數(shù)或主密鑰的認(rèn)證方案，并在網(wǎng)絡(luò)初始化結(jié)束后，刪除預(yù)加載數(shù)據(jù)以保證預(yù)加載信息的安全性。國(guó)內(nèi)學(xué)者也提出了一些類似的認(rèn)證機(jī)制，如基于可信計(jì)算的認(rèn)證機(jī)制［11］，基于單向哈希函數(shù)和對(duì)稱加密算法的輕量級(jí)的WSN認(rèn)證和密鑰協(xié)商方案［12］。但基于加解密算法的認(rèn)證機(jī)制要求 WSN節(jié)點(diǎn)具有較大的存儲(chǔ)空間和較高的計(jì)算能力，造成節(jié)點(diǎn)硬件資源緊張，其計(jì)算的復(fù)雜性也給WSN節(jié)點(diǎn)性能和能耗帶來巨大負(fù)擔(dān)。

為實(shí)現(xiàn)在輕負(fù)載的情況下使得WSN網(wǎng)關(guān)、節(jié)點(diǎn)、終端之間能進(jìn)行安全訪問與數(shù)據(jù)傳輸，本文針對(duì)現(xiàn)有以加解密思想為核心認(rèn)證方案的不足，提出了一種基于時(shí)間隱蔽通信信道（timing covert channel）的無線傳感器網(wǎng)絡(luò)認(rèn)證機(jī)制，可用于WSN節(jié)點(diǎn)與節(jié)點(diǎn)、節(jié)點(diǎn)與網(wǎng)關(guān)之間發(fā)生訪問行為時(shí)的身份認(rèn)證。仿真實(shí)驗(yàn)結(jié)果證明，該算法在WSN節(jié)點(diǎn)較少的時(shí)空開銷下，可靠地完成身份認(rèn)證信息驗(yàn)證過程，并且具有較好的隱蔽性和穩(wěn)定性。

1 典型的WSN身份認(rèn)證體系結(jié)構(gòu)

通常情況下，無線傳感器網(wǎng)絡(luò)由 WSN節(jié)點(diǎn)、WSN網(wǎng)關(guān)（Gateway）及服務(wù)終端三部分組成。因此，本文所提出的WSN身份認(rèn)證體系結(jié)構(gòu)如圖1所示。圖中x、y、z為傳感器節(jié)點(diǎn)，Gateway為傳感器網(wǎng)關(guān)（網(wǎng)關(guān)一般為專用嵌入式系統(tǒng)，也可由能力較強(qiáng)的普通WSN節(jié)點(diǎn)充當(dāng)），認(rèn)證服務(wù)器端表示身份驗(yàn)證的最終機(jī)構(gòu)。無線鏈路可以包含移動(dòng)通信網(wǎng)、衛(wèi)星鏈路等。

現(xiàn)有WSN身份認(rèn)證機(jī)制不僅在Gateway與認(rèn)證服務(wù)終端間采用加解密算法，在無線網(wǎng)絡(luò)傳感器節(jié)點(diǎn)以及節(jié)點(diǎn)和Gateway間也采用加密算法（如在x、y、z節(jié)點(diǎn)間，x與Gateway之間均采用加密算法）［11］。由于Gateway與認(rèn)證服務(wù)終端相對(duì)于WSN節(jié)點(diǎn)硬件配置較好，處理能力較強(qiáng)，因而可以完全承受加解密算法計(jì)算過程的負(fù)擔(dān)。但WSN節(jié)點(diǎn)硬件資源及電池能力有限，很難應(yīng)對(duì)如此繁重的計(jì)算。因此，本文提出Gateway與認(rèn)證服務(wù)終端間采用加解密算法，而在WSN節(jié)點(diǎn)與節(jié)點(diǎn)及節(jié)點(diǎn)與Gateway之間借用時(shí)間隱蔽通信［13－15］的方式進(jìn)行身份認(rèn)證，可使得數(shù)據(jù)傳輸與身份認(rèn)證同時(shí)進(jìn)行，提高了WSN身份認(rèn)證整體計(jì)算的時(shí)空效率，也增加了身份認(rèn)證的隱蔽性和保密性。

2 基于時(shí)間隱蔽通信的認(rèn)證機(jī)制

在基于時(shí)間隱蔽通信的認(rèn)證機(jī)制中，被認(rèn)證方在正常發(fā)送內(nèi)容的同時(shí)，通過主動(dòng)調(diào)整承載發(fā)送內(nèi)容的數(shù)據(jù)包流的一些特征來表示認(rèn)證信息（以下稱為水印信息），以將水印信息嵌入到該數(shù)據(jù)包流中，認(rèn)證方在接受此數(shù)據(jù)包流正常內(nèi)容的同時(shí)，也會(huì)對(duì)該數(shù)據(jù)包流的特征進(jìn)行檢測(cè)，以恢復(fù)出所嵌入的水印信息，從而完成認(rèn)證過程。本文通過調(diào)整相鄰兩個(gè)數(shù)據(jù)包時(shí)間間隔IPD（inter packet delay）表示水印信息，以建立一條被認(rèn)證方與認(rèn)證方之間的時(shí)間隱蔽通道，秘密完成發(fā)送和接受認(rèn)證信息過程，其框架如圖2所示。

圖2 基于時(shí)間隱蔽通信的認(rèn)證機(jī)制框架

對(duì)于被認(rèn)證方，認(rèn)證信息首先被轉(zhuǎn)化為二進(jìn)制流BS。Embedder負(fù)責(zé)將BS中的每一bit位信息嵌入進(jìn)數(shù)據(jù)包流中，按照如下方式：

ti，ti＋1分別為第i和i＋1個(gè)數(shù)據(jù)包的發(fā)送時(shí)刻，BS（i）為二進(jìn)制流BS中第i個(gè)bit位，Ai為BS（i）所對(duì)應(yīng)的延遲。D1和D2分別代表兩個(gè)不同延遲值，D1為較大延遲，D2為較小延遲，即D1＞D2。本文用對(duì)IPDi增加較大延遲D1來表示BS（i）為“0”，相反增加較小的延遲D2來代表BS（i）為“1”。

當(dāng)攜帶認(rèn)證信息的數(shù)據(jù)包流到達(dá)認(rèn)證方一端時(shí)，認(rèn)證方調(diào)用Extracter對(duì)該數(shù)據(jù)包流中每個(gè)數(shù)據(jù)包的到達(dá)時(shí)間進(jìn)行記錄，并計(jì)算所有相鄰數(shù)據(jù)包間的IPD，并按照公式（3）對(duì)該數(shù)據(jù)包流所攜帶的認(rèn)證信息進(jìn)行提取。

式中，t′i＋1，t′i分別為第i＋1和i個(gè)數(shù)據(jù)包的到達(dá)時(shí)刻。H（x，y）為計(jì)算漢明距離函數(shù)，θ，α分別為事先設(shè)置的閾值，可通過實(shí)驗(yàn)確定。當(dāng)Extracter所提取的認(rèn)證信息與原始認(rèn)證信息滿足式（4）時(shí)，則認(rèn)為此數(shù)據(jù)包流是來自授權(quán)用戶發(fā)送的合法數(shù)據(jù)流，即被認(rèn)證方是該WSN網(wǎng)絡(luò)中的合法用戶，并允許該用戶訪問WSN網(wǎng)絡(luò)內(nèi)其他資源。否則，被認(rèn)證方為非法用戶，中斷該用戶訪問的鏈接，阻止該用戶訪問其他資源，并向終端或網(wǎng)關(guān)發(fā)出警告。

3 仿真實(shí)驗(yàn)與分析

本文采用NS2平臺(tái)進(jìn)行仿真實(shí)驗(yàn)，并構(gòu)建如圖1所示的典型的WSN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在30m×30m的區(qū)域中隨機(jī)散布多個(gè)節(jié)點(diǎn)和一個(gè)Gateway節(jié)點(diǎn)。MAC層采用CSMA和RTS／CTS機(jī)制的IEEE802.11協(xié)議，路由為事先設(shè)置好的靜態(tài)路由，其余參數(shù)設(shè)置見表1。本實(shí)驗(yàn)主要測(cè)試WSN節(jié)點(diǎn)z發(fā)出的數(shù)據(jù)包流，在經(jīng)過y、x節(jié)點(diǎn)轉(zhuǎn)發(fā)后，到Gateway節(jié)點(diǎn)的認(rèn)證過程。Embedder和Extracter分別部署在z節(jié)點(diǎn)與Gateway節(jié)點(diǎn)上。

表1 實(shí)驗(yàn)相關(guān)參數(shù)設(shè)置

實(shí)驗(yàn)過程中，節(jié)點(diǎn)z為被認(rèn)證方，Gateway為認(rèn)證方。節(jié)點(diǎn)z標(biāo)記發(fā)出的數(shù)據(jù)包流，經(jīng)節(jié)點(diǎn)y和x持續(xù)穩(wěn)定地傳向Gateway。本文總共選取了6個(gè)不同的θ值，每個(gè)θ值分別和3組不同的D1和D2值進(jìn)行測(cè)試，如表2所示。從表2中可以看出，對(duì)于同一組D1和D2，認(rèn)證方提取認(rèn)證信息的準(zhǔn)確率會(huì)隨著θ值的增大而提高；對(duì)于同一θ值，準(zhǔn)確率隨著D1的變大而增加。這主要是因?yàn)椴捎幂^大的數(shù)據(jù)包間IPD可有效抵制WSN網(wǎng)絡(luò)噪聲流量的干擾，但考慮到傳輸速率、超時(shí)等原因，D1是不能無限增大的。因此，應(yīng)設(shè)置較為合理的θ、D1及D2。

表2 不同閾值組合的準(zhǔn)確率

Extracter提取認(rèn)證信息的檢測(cè)率還與α有一定關(guān)系，圖3給出了在θ＝130ms、D2＝50ms，D1取不同值時(shí)，不同α所對(duì)應(yīng)的變化趨勢(shì)曲線。從圖中可看出，當(dāng)α取較大值時(shí)，可有效提高Extracter的檢測(cè)準(zhǔn)確率，但隨著α增大，Extracter誤判率也會(huì)增加。因此，需要根據(jù)無線傳感器網(wǎng)絡(luò)實(shí)際情況選擇合適的α值，以權(quán)衡各方面的因素，發(fā)揮最優(yōu)性能。

圖3 不同α值對(duì)檢測(cè)準(zhǔn)確率的影響

4 總結(jié)

現(xiàn)今，WSN被廣泛應(yīng)用于農(nóng)業(yè)、工業(yè)、家居安防、環(huán)保、醫(yī)療行業(yè)等領(lǐng)域，其安全問題日益引起人們的關(guān)注。針對(duì)WSN中節(jié)點(diǎn)尺寸小、硬件資源有限、電池容量低等特點(diǎn)，并結(jié)合WSN典型的網(wǎng)絡(luò)體系結(jié)構(gòu)，本文提出在WSN節(jié)點(diǎn)與節(jié)點(diǎn)及節(jié)點(diǎn)與Gateway間利用時(shí)間隱蔽通信方式來進(jìn)行身份認(rèn)證的過程，而Gateway與認(rèn)證服務(wù)終端間則仍采用基于加解密算法的認(rèn)證機(jī)制，實(shí)驗(yàn)結(jié)果證明該算法在WSN節(jié)點(diǎn)較少的時(shí)空開銷下，能可靠地完成身份認(rèn)證信息的驗(yàn)證過程，并且具有較好的隱蔽性和穩(wěn)定性。然而WSN的拓?fù)浣Y(jié)構(gòu)是動(dòng)態(tài)變化的，節(jié)點(diǎn)失效和新節(jié)點(diǎn)加入經(jīng)常發(fā)生，因此，該方法的擴(kuò)展性問題還有待于進(jìn)一步研究。

（

）

［1］Rajaravivarma V，Yang Y，Yang T.An Overview of Wireless Sensor Network and Application［C］／／Proc of 35th Southeastern Symposium on System Theory，Morgantown，USA，2003：432－436.

［2］Eric S，Adhan M，Kang D K.An Application－Driven Perspective on Wireless Sensor Network Security［C］／／Proc of Q2SWinet’06，Torremolinos，Spain，2006.

［3］Muts chlechner M，Li B J，Kapitza R，et al.Using Erasure Codes to Overcome Reliability Issues in Energy－Constrained Sensor Networks［C］／／Proc of 11th Annual Conference on Wireless On－demand Network Systems and Services（WONS），Obergurgl，Austria，2014：41－48.

［4］Latre B，Braem B，Moerman I，et al.A Survey on Wireless Body Area Networks［J］.Wireless Networks，2011，17（1）：1－18.

［5］Kumar P，Lee H J.Lightweight Secure Data Communication Framework Using Authenticated Encryption in Wireless Sensor Networks［R］.Applied Cryptography And Network Security.2012：153－168.

［6］Simplicio M A，Oliveira B T，Barreto P S，et al.Comparison of Authenticated－Encryption Schemes in Wireless Sensor Networks［C］／／Proc of 36th Conference on Local Computer Networks（LCN），Bonn，Germany，2011：450－457.

［7］Tan H，Ostry D，Zic J，et al.A Confidential and Dos－Resistant Multi－Hop Code Dissemination Protocol for Wireless Sensor Net－works［J］.Computers ＆Security，2012，32：36－55.

［8］Eschenauer L，Gligor V D.A Key－Management Scheme for Distributed Sensor Networks［C］／／Proc of the 9th ACM Conference on Computer and Communication Security（CSS’02）.Washington DC，USA，2002：41－47.

［9］Chan H W，Perrig A，Song D.Random Key Pre－distribution Schemes for Sensor Networks［C］／／Proc of the 2003IEEE Symposium on Security and Privacy（SP’03）.Oakland，USA，2003：197－213.

［10］Oscar D M，Amparo F S，Jose M S.A Light－weight Authentication Scheme for Wireless Sensor Networks［J］.Ad Hoc Networks，2011（9）：727－735.

［11］楊鳳，史浩山，朱靈波.一種基于可信計(jì)算的 WSN認(rèn)證機(jī)制［J］.計(jì)算機(jī)仿真，2008，25（10）：119－124.

［12］范修偉，盧建朱.一種輕量級(jí)的WSN認(rèn)證和密鑰協(xié)商方案［J］.計(jì)算機(jī)工程，2013，39（3）：146－151.

［13］Cabuk S，Brodley C E，Shields C.IP covert channel detection［J］.ACM Transactions on Information and System Security，2009，12（4）：1－29.

［14］Zander S，Armitage G，Branch P.Stealthier Inter－Packet Timing Covert Channels［C］／／Proc of 10th International Conference on IFIP TC 6Networking，Valencia，Spain，2011：458－470.

［15］Wu J，Wang Y，Ding L，et al.Improving Performance of Network Covert Timing Channel Through Huffman Coding［J］.Mathematical and Computer Modelling，2012，55（1）：69－79.