一种基于时间隐蔽信道的WSN认证算法
2014-12-25郭晓军张春玉
何 磊,郭晓军,2,张春玉
(1.西藏民族学院 信息工程学院,陕西 咸阳 712082;2.东南大学 计算机科学与工程学院,江苏 南京 211189)
近年来,随着无线传感器网络(WSN)相关技术研究不断进步,基于WSN的各种应用不断涌现,主要在包括科学、工业、军事、民事、商用等领域[1-2]。当前的研究主要集中在无线传感器的路由、拥塞控制、节能等方面[3-4]。然而,由于无线传感器网络在某些应用领域(如军事、商业等)所收集和传递的信息大都为敏感或隐私信息,并且所付出的代价较高,因此WSN在此类领域应用的安全性显得尤为重要。
WSN中节点的自身特点,使得其安全认证机制与传统网络存在较大差异。目前WSN安全性研究多偏重于WSN节点之间数据安全传输问题并形成了相关协议[1-2,5-7],有关 WSN 的认证机制则研究较少,且已有的实现方案多依托于加密机制而实现[8-9],典型代表为E-G方案[8],其核心思想是在 WSN节点布置前,预先给每个节点分配相关密钥参数,并由服务器生成密钥池,然后每个节点从密钥池中随机选择多个密钥;在节点布置后,相邻节点相互查询自己内存中存储的密钥子集中是否存在相同的预分配密钥,如果存在,则可以利用共享的密钥建立双方的安全传输通道。类似的方法还有Chan等[9]提出的Q-COMPOSITE随机密钥预分配方案。此外,Oscar等[10]设计了一种给每个WSN节点预加载相关参数或主密钥的认证方案,并在网络初始化结束后,删除预加载数据以保证预加载信息的安全性。国内学者也提出了一些类似的认证机制,如基于可信计算的认证机制[11],基于单向哈希函数和对称加密算法的轻量级的WSN认证和密钥协商方案[12]。但基于加解密算法的认证机制要求 WSN节点具有较大的存储空间和较高的计算能力,造成节点硬件资源紧张,其计算的复杂性也给WSN节点性能和能耗带来巨大负担。
为实现在轻负载的情况下使得WSN网关、节点、终端之间能进行安全访问与数据传输,本文针对现有以加解密思想为核心认证方案的不足,提出了一种基于时间隐蔽通信信道(timing covert channel)的无线传感器网络认证机制,可用于WSN节点与节点、节点与网关之间发生访问行为时的身份认证。仿真实验结果证明,该算法在WSN节点较少的时空开销下,可靠地完成身份认证信息验证过程,并且具有较好的隐蔽性和稳定性。
1 典型的WSN身份认证体系结构
通常情况下,无线传感器网络由 WSN节点、WSN网关(Gateway)及服务终端三部分组成。因此,本文所提出的WSN身份认证体系结构如图1所示。图中x、y、z为传感器节点,Gateway为传感器网关(网关一般为专用嵌入式系统,也可由能力较强的普通WSN节点充当),认证服务器端表示身份验证的最终机构。无线链路可以包含移动通信网、卫星链路等。
现有WSN身份认证机制不仅在Gateway与认证服务终端间采用加解密算法,在无线网络传感器节点以及节点和Gateway间也采用加密算法(如在x、y、z节点间,x与Gateway之间均采用加密算法)[11]。由于Gateway与认证服务终端相对于WSN节点硬件配置较好,处理能力较强,因而可以完全承受加解密算法计算过程的负担。但WSN节点硬件资源及电池能力有限,很难应对如此繁重的计算。因此,本文提出Gateway与认证服务终端间采用加解密算法,而在WSN节点与节点及节点与Gateway之间借用时间隐蔽通信[13-15]的方式进行身份认证,可使得数据传输与身份认证同时进行,提高了WSN身份认证整体计算的时空效率,也增加了身份认证的隐蔽性和保密性。
2 基于时间隐蔽通信的认证机制
在基于时间隐蔽通信的认证机制中,被认证方在正常发送内容的同时,通过主动调整承载发送内容的数据包流的一些特征来表示认证信息(以下称为水印信息),以将水印信息嵌入到该数据包流中,认证方在接受此数据包流正常内容的同时,也会对该数据包流的特征进行检测,以恢复出所嵌入的水印信息,从而完成认证过程。本文通过调整相邻两个数据包时间间隔IPD(inter packet delay)表示水印信息,以建立一条被认证方与认证方之间的时间隐蔽通道,秘密完成发送和接受认证信息过程,其框架如图2所示。
图2 基于时间隐蔽通信的认证机制框架
对于被认证方,认证信息首先被转化为二进制流BS。Embedder负责将BS中的每一bit位信息嵌入进数据包流中,按照如下方式:
ti,ti+1分别为第i和i+1个数据包的发送时刻,BS(i)为二进制流BS中第i个bit位,Ai为BS(i)所对应的延迟。D1和D2分别代表两个不同延迟值,D1为较大延迟,D2为较小延迟,即D1>D2。本文用对IPDi增加较大延迟D1来表示BS(i)为“0”,相反增加较小的延迟D2来代表BS(i)为“1”。
当携带认证信息的数据包流到达认证方一端时,认证方调用Extracter对该数据包流中每个数据包的到达时间进行记录,并计算所有相邻数据包间的IPD,并按照公式(3)对该数据包流所携带的认证信息进行提取。
式中,t′i+1,t′i分别为第i+1和i个数据包的到达时刻。H(x,y)为计算汉明距离函数,θ,α分别为事先设置的阈值,可通过实验确定。当Extracter所提取的认证信息与原始认证信息满足式(4)时,则认为此数据包流是来自授权用户发送的合法数据流,即被认证方是该WSN网络中的合法用户,并允许该用户访问WSN网络内其他资源。否则,被认证方为非法用户,中断该用户访问的链接,阻止该用户访问其他资源,并向终端或网关发出警告。
3 仿真实验与分析
本文采用NS2平台进行仿真实验,并构建如图1所示的典型的WSN网络拓扑结构。在30m×30m的区域中随机散布多个节点和一个Gateway节点。MAC层采用CSMA和RTS/CTS机制的IEEE802.11协议,路由为事先设置好的静态路由,其余参数设置见表1。本实验主要测试WSN节点z发出的数据包流,在经过y、x节点转发后,到Gateway节点的认证过程。Embedder和Extracter分别部署在z节点与Gateway节点上。
表1 实验相关参数设置
实验过程中,节点z为被认证方,Gateway为认证方。节点z标记发出的数据包流,经节点y和x持续稳定地传向Gateway。本文总共选取了6个不同的θ值,每个θ值分别和3组不同的D1和D2值进行测试,如表2所示。从表2中可以看出,对于同一组D1和D2,认证方提取认证信息的准确率会随着θ值的增大而提高;对于同一θ值,准确率随着D1的变大而增加。这主要是因为采用较大的数据包间IPD可有效抵制WSN网络噪声流量的干扰,但考虑到传输速率、超时等原因,D1是不能无限增大的。因此,应设置较为合理的θ、D1及D2。
表2 不同阈值组合的准确率
Extracter提取认证信息的检测率还与α有一定关系,图3给出了在θ=130ms、D2=50ms,D1取不同值时,不同α所对应的变化趋势曲线。从图中可看出,当α取较大值时,可有效提高Extracter的检测准确率,但随着α增大,Extracter误判率也会增加。因此,需要根据无线传感器网络实际情况选择合适的α值,以权衡各方面的因素,发挥最优性能。
图3 不同α值对检测准确率的影响
4 总结
现今,WSN被广泛应用于农业、工业、家居安防、环保、医疗行业等领域,其安全问题日益引起人们的关注。针对WSN中节点尺寸小、硬件资源有限、电池容量低等特点,并结合WSN典型的网络体系结构,本文提出在WSN节点与节点及节点与Gateway间利用时间隐蔽通信方式来进行身份认证的过程,而Gateway与认证服务终端间则仍采用基于加解密算法的认证机制,实验结果证明该算法在WSN节点较少的时空开销下,能可靠地完成身份认证信息的验证过程,并且具有较好的隐蔽性和稳定性。然而WSN的拓扑结构是动态变化的,节点失效和新节点加入经常发生,因此,该方法的扩展性问题还有待于进一步研究。
(
)
[1]Rajaravivarma V,Yang Y,Yang T.An Overview of Wireless Sensor Network and Application[C]//Proc of 35th Southeastern Symposium on System Theory,Morgantown,USA,2003:432-436.
[2]Eric S,Adhan M,Kang D K.An Application-Driven Perspective on Wireless Sensor Network Security[C]//Proc of Q2SWinet’06,Torremolinos,Spain,2006.
[3]Muts chlechner M,Li B J,Kapitza R,et al.Using Erasure Codes to Overcome Reliability Issues in Energy-Constrained Sensor Networks[C]//Proc of 11th Annual Conference on Wireless On-demand Network Systems and Services(WONS),Obergurgl,Austria,2014:41-48.
[4]Latre B,Braem B,Moerman I,et al.A Survey on Wireless Body Area Networks[J].Wireless Networks,2011,17(1):1-18.
[5]Kumar P,Lee H J.Lightweight Secure Data Communication Framework Using Authenticated Encryption in Wireless Sensor Networks[R].Applied Cryptography And Network Security.2012:153-168.
[6]Simplicio M A,Oliveira B T,Barreto P S,et al.Comparison of Authenticated-Encryption Schemes in Wireless Sensor Networks[C]//Proc of 36th Conference on Local Computer Networks(LCN),Bonn,Germany,2011:450-457.
[7]Tan H,Ostry D,Zic J,et al.A Confidential and Dos-Resistant Multi-Hop Code Dissemination Protocol for Wireless Sensor Net-works[J].Computers &Security,2012,32:36-55.
[8]Eschenauer L,Gligor V D.A Key-Management Scheme for Distributed Sensor Networks[C]//Proc of the 9th ACM Conference on Computer and Communication Security(CSS’02).Washington DC,USA,2002:41-47.
[9]Chan H W,Perrig A,Song D.Random Key Pre-distribution Schemes for Sensor Networks[C]//Proc of the 2003IEEE Symposium on Security and Privacy(SP’03).Oakland,USA,2003:197-213.
[10]Oscar D M,Amparo F S,Jose M S.A Light-weight Authentication Scheme for Wireless Sensor Networks[J].Ad Hoc Networks,2011(9):727-735.
[11]杨凤,史浩山,朱灵波.一种基于可信计算的 WSN认证机制[J].计算机仿真,2008,25(10):119-124.
[12]范修伟,卢建朱.一种轻量级的WSN认证和密钥协商方案[J].计算机工程,2013,39(3):146-151.
[13]Cabuk S,Brodley C E,Shields C.IP covert channel detection[J].ACM Transactions on Information and System Security,2009,12(4):1-29.
[14]Zander S,Armitage G,Branch P.Stealthier Inter-Packet Timing Covert Channels[C]//Proc of 10th International Conference on IFIP TC 6Networking,Valencia,Spain,2011:458-470.
[15]Wu J,Wang Y,Ding L,et al.Improving Performance of Network Covert Timing Channel Through Huffman Coding[J].Mathematical and Computer Modelling,2012,55(1):69-79.