王洁　卢建朱　曾小飞

摘要：

无线传感器网络（WSN）中，当传感器节点受到攻击导致网络数据和传输受到干扰，及时确定受攻击的传感器节点并采取相应措施以保障整个网络的安全性尤为重要。因此，提出一种可及时确定受攻击节点的无线传感器网络数据聚合方案。首先使用状态公钥加密和对称公钥加密结合伪随机函数和消息认证码对数据进行两次加密；其次，在簇头节点进行认证，将假数据过滤后，解密，并将假数据节点编号发送给基站；最后在基站进行解密认证，恢复明文数据。该方案的提出解决了由于受攻击节点导致的错误聚合值问题，而且还实现了及时过滤假数据并确认受攻击的传感器节点。理论分析表明，提出的基于安全的单向函数、消息认证码和椭圆曲线上的离散对数难问题的方案是安全的，并大大降低了网络的通信成本和计算成本。仿真实验表明，该方案的计算成本、通信成本和确认受攻击节点时间比使用状态公钥加密的无线传感器网络安全聚合方案分别降低了至少19.96% 、36.81%和28.10%。

关键词：

无线传感器网络； 数据聚合； 消息认证码； 伪随机函数； 同态加密

中图分类号：

TP309.7

文献标志码：A

Abstract：

In Wireless Sensor Network （WSN）， when the compromised sensor nodes disturb network data and transmission are subject to interference， it is particularly important to determine the compromised sensor nodes in time and take appropriate measures to ensure the security of the entire network. Therefore， a data aggregation scheme for wireless sensor network was proposed to timely determine the compromised sensor nodes. First， the state public key encryption， the symmetric public key encryption， the pseudo random function and the message authentication code were used to encrypt the plaintext twice. Secondly， the cluster head node authenticated the ciphertext and filtered false data. Then， the cluster head node decrypted the ciphertext， and the numbers of the compromised nodes were sent to the base station. At last， the base station decrypted the ciphertext to recover the plaintext and authenticated the data. The proposed scheme solves the problem of the error aggregation value problem caused by the compromised nodes， filters the false data in time and determines the compromised sensor nodes. The analysis shows that the proposed scheme is secure under the secure oneway hash function， the message authentication code and the assumption of the Discrete Logarithm Problem （DLP）， and also greatly reduces the communication cost and computational cost. Simulation result shows that， compared with the secure aggregation scheme for WSN using stateful public key cryptography， the computational cost， the communication cost and the time consumption of determining the compromised sensor nodes of the proposed scheme is decreased by at least 19.96%， 36.81% and 28.10%， respectively.

英文關键词Key words：

Wireless Sensor Network （WSN）； data aggregation； message authentication code； pseudorandom function； homomorphic encryption

0引言

无线传感器网络（Wireless Sensor Network， WSN）已经被广泛地应用于环境监测、医疗保健、交通运输等领域[1]。在WSN中，节点通常是由能量非常有限的电池供电，因此，研究如何使节点能够在保证可用性的情况下尽量降低能量消耗，对WSN长时间工作显得尤为必要[2]。此外，传感器节点是被放置在公共的、不可信甚至可被恶意入侵的现实环境中，且无线传输本身数据易于被捕获和侦听。数据聚合技术作为降低数据通信成本的重要技术之一，将节点的感应数据进行聚合之后发送给基站，以减少能量消耗[3]。

为了提高数据聚合的安全性，人们通常会采用某种加密技术。传统的安全数据聚合方案多采用逐跳聚合加密[4-6]，其数据聚合过程中频繁的加解密操作往往会影响聚合效率，也增加了相应的额外能量支出和延时。针对这一情况，引入了同态加密技术[7-9]使得计算运算可以在密文之上执行，数据聚合过程变得更有效率。基于公钥的同态加密技术，可应用于高端传感器的数据安全聚合；而对于一般的低端传感器更青睐于基于对称加密算法的同态加密技术。在基于对称加密算法的同态加密技术中，根据WSN的特点，设计一个资源消耗较低且同时提供数据机密性和完整性服务的方案是一个非常有挑战的问题[10]。基于文献[11]的对称加密生成的密文数据聚合，Boudia等[12]通过一个转发阶段定义传感器节点Sij的当前状态Stij，利用基于状态的对称密钥实现加密数据聚合的机密性和完整性；当加密数据聚合操作中受到攻击，该方案中基站发现聚合数据无效，但没有给出确定受攻击节点的方法。为了保障WSN的正常运行，震慑攻击者的攻击行为，设计一种保证加密数据聚合的机密性和完整性、且能及时确定所受攻击的节点的数据聚合方案是十分必要的。

针对Boudia等[12]提出方案的不足，本文将伪随机函数、安全消息认证码和转发阶段定义传感器节点Sij的当前状态Stij相结合，使簇节点能及时验证其属下传感器发送的密文數据，这样基站接收的密文是簇节点验证有效的密文数据的聚合。簇节点的验证结果可及时过滤无效的密文数据，确定受攻击的节点，方便相关部门采取措施及时维护网络的安全运行。

1本文设计方案

本章将椭圆曲线上的点加法与散列函数相结合，设计了一种可及时确定受攻击的传感器节点的数据聚合方案，可及时检测接收数据的正确性，并及时确定受攻击的传感器节点。该方案由系统初始化、状态转发和数据聚合阶段组成，每个阶段的具体操作将在下面描述。

1.1系统初始化

假设G是定义在数域Fp中椭圆曲线Ep（a，b）上的加法群，P是G的q阶生成元。令传感器网络中的最大节点数目为n，采集数据的长度为μ比特，正整数M不小于2μn。系统选取一个伪随机函数的f（·）和一个安全消息认证码mac（·）（·），并为基站（Base Station， BS）配置一对私钥/公钥（x，Y），其中Y=xP，x∈Zq，基站BS与每一个传感器节点Sij建立一个共享密钥SKBSij。

1.2转发阶段

节点部署后，传感器节点Sij与其所在簇的簇头CHj建立一个共享的对称密钥KCHij。在每次执行数据聚合前，BS广播一个严格单调递增的一次性随机数t（如，取BS当前的时间），部署的传感器节点执行一个转发操作，以生成一个一次性的状态，这是一些传感器网络[13-15]通常采用的方法。隶属于不同簇的传感器节点不能与基站直接通信，需要通过所在簇的簇头转发来执行这一操作。

隶属于簇CHj的第i个节点Sij执行算法1，然后将结果经簇头转发给BS。即，CHj将Stij和消息认证码macij转发送给BS。为了确保BS能够提取到所有密钥，要求簇头转发所有的数据包。

1.3数据聚合阶段

数据的聚合阶段在转发阶段之后进行，包含数据加密、数据聚合和数据恢复与认证三个过程。具体地，在数据加密过程，节点感测数据，将所得结果加密发送至簇头；在数据聚合过程，簇头接收密文数据并验证数据的正确性，簇头将簇中采集的有效数据进行聚合传送给基站；在数据的恢复与认证过程，基站对簇头发来的有效数据进行解密和认证。

1.3.1数据加密过程

据加密前，传感器节点Sij先将感知到的数据mij用类似于文献[16]的编码方式进行编码，与之不同的是编码之后的eij使用对称加密算法，其速度比非对称加密更快并且支持较短的密文。

由f（·）生成两个密钥Kij1和Kij2，其中Kij1

3性能分析

本文方案与文献[12]都是基于椭圆曲线上的DiffieHellman 密钥协商算法、消息认证码、伪随机函数和椭圆曲线上的离散对数难问题。假设BS的计算能力和存储空间能够满足系统的设计要求，下文着重分析与传感器相关的性能。相对于椭圆曲线上的点乘、消息认证码和伪随机函数计算，哈希函数、异或运算、模的加法运算和字符串的串接操作的耗时可忽略不计。

3.1计算成本分析

在本文方案实现中，使用带密钥的伪随机函数生成相关信息的消息认证码，即执行一次消息认证码或伪随机函数计算操作所耗费的时间相同。令tp和tf分别表示执行1次椭圆曲线上的点乘和执行1次伪随机函数计算所耗费的时间。

传感器节点Stij计算各自状态Stij=rijP和密钥Kij=f（Stij‖rijY‖SKBSij，t）需各自执行1次椭圆曲线上点乘操作tp，密钥生成与消息认证码生成macij=macKij（Stij）各自执行1次伪随机函数操作tf。在转发阶段的相关操作执行次数及时间消耗与文献[12]相似，因此，转发阶段本文方案与文献[12]的时间总消耗均为：2（tf+tp）。

在数据聚合阶段，传感器Sij加密数据，而簇头对它管辖传感器发送的数据执行数据聚合。在数据加密过程中，传感器Sij生成密钥Kij=f（Stij‖rijY‖Y，t）用于加密原始数据eij，需要计算rijY和执行1次伪随机函数操作，所耗费时间共计为tp+tf。传给基站的密文cij=eij+Kij1mod M，Sij利用与簇头CHj的共享密钥KCHij1加密cij得到c′ij=cij⊕KCHij1，再分别生成对应的消息验证码MACij=macKij2（cij）和mac′ij=macKCHij2（c′ij‖MACij），此过程，传感器Sij需要执行2次生成消息验证码的操作，所耗费时间为2tf。综上，传感器Sij耗费总时间为tp+3tf。文献[12]的每个传感器所需要的时间耗费是tp+2tf，但是当某个传感器Si0j发送给簇节点的信息（ci0j，MACi0j）受到篡改等攻击时，基站通过解密验证只能发现本次聚合数据无效，却不能定位传感器节点Si0j受到攻击；这样，基站为了获取正确的数据聚合，只好向网络所在簇的所有节点重新收集数据，其传感器节点计算成本为（tp+2tf）δ，其中δ是重新收集数据的次数。本文方案通过了簇节点的认证可确定受攻击的节点Si0j，并对攻击节点及时采取了相应的措施，使重新收集数据的次数一般不超过2次，克服了文献[12]中的不足。

在數据聚合过程中，簇头CHj只对传感器Sij的有效数据进行聚合，以降低通信成本，减少基站的对无效数据的解密操作。接收来自传感器Sij的信息（（c′ij，mac′ij），MACij）后，CHj利用与Sij的共享密钥KCHij1计算c′ij对应的消息验证码mac″ij=macKCHij2（c′ij‖MACij），再通过mac″ij与接收的mac′ij是否匹配来验证接收信息的有效性，此时需要进行1次消息认证码操作，所耗费时间为tf。假设每个CHj最大节点数为L，则CHj需要进行L次消息认证码操作，对应的时间耗费为tfL，即簇头CHj耗费总时间。本文方案和文献[12]方案的时间消耗对比分析如表1所示，其中δ≥2，L′为有效节点个数且L′≤L，簇CHj中的传感器标识符满足1≤oi，i≤L，且对同一网络中相同节点oi=i。

本文方案中，簇节点CHj对传感器节点Sij数据进行认证后，过滤错误数据，并将错误数据的传感器节点Sij信息发送给BS，BS可确定受攻击节点的信息。BS对接收到的数据进行解密和认证，如果此时仍发现聚合值错误，则可知，受攻击的传感器节点为簇头节点CHj，因此，该方案中，无论是普通传感器节点Sij还是簇头节点CHj受到攻击，BS都可以准确判断出受攻击的节点。若考虑信道的传输误差，当传感器节点Sij传输错误数据，在簇头节点CHj认证时会及时发现数据错误，要求相应的传感器节点Sij重新发送数据；当簇头节点CHj传输错误数据，BS中消息认证错误，要求相应的簇头CHj节点重新发送数据；如果在规定聚合时间内没有收到相应节点的正确信息，则将节点归为无效节点，不参与有效数据聚合操作以及其后在BS的解密和认证操作；因此，不正确的数据并不会影响无线传感器网络聚合数据的有效性。

在文献[12]中，若存在受攻击的传感器节点，BS就无法获取通过认证的聚合数据，为了获取正确数据只能重新收集，因而其对应的重新收集数据次数δ2，因此，经理论分析可知，本文方案中，BS不仅可以获取正确的聚合数据，而且确认

受攻击节点的时间小于文献[12]方案，并且本文方案与文献[12]的方案相比，在计算成本和通信成本方面都有降低。

4仿真实验

根据第3章的理论分析，对本文方案进行模拟实验，选取输出度为160比特的安全的单向Hash函数SHA1，并且用这个Hash函数生成一个长度为160比特的随机数，采用安全的椭圆曲线Curve P192，即，基于|p|=192比特的素数域，Fp的椭圆曲线，E：y2=x3-3x+b mod p，其素数阶|q|为192比特[17]，将无线传感器网络的传感器节点数目设置为51，其中簇节点个数为1，在如图1所示的网络结构下进行仿真实验。在不考虑网络拥塞控制的情况下，即在理想的网络状态下，无线网络传输速率可达250kb/s，可知网络中传输1比特数据平均消耗时间为tb=1/250×10-3s=0.4×10-5s，通过实验仿真测得执行1次椭圆曲线点乘消耗平均时间tp=0.346s以及执行1次伪随机函数所需平均时间tf=0.638×10-5s。通过实验仿真可得到各个阶段的计算成本实验数据和通信成本实验数据分别如表4和表5所示，并且得到确认受攻击的传感器节点的时间结果如表5所示。在规定的时间周期内，由实验数据可得到，本文方案和文献[12]方案的总计算成本对比和总通信成本对比分别如图2和图3所示，其中δ2，当 δ取值3和4时，本文方案比文献[12]方案的计算成本分别降低了19.96%和33.30%，通信成本分别降低了36.81%和52.32%，确认受攻击节点时间降低了94.41%和95.80%。随着重发次数δ的增加，文献[12]方案时间消耗、通信消耗及确认受攻击节点的时间越来越大，而本文方案则在要求第二次重发时已经确认受攻击节点。由仿真实验结果可知，本文方案的计算成本、通信成本和确认受攻击节点时间比文献[12]方案分别降低了至少19.96%、36.81%和94.41%。

理论分析和仿真实验可知，本文方案与文献[12]相比，降低了计算成本和通信成本，发现错误节点所需时间小于文献[12]方案所需时间，且能够准确发现错误节点信息。

5结语

确定无线传感器网络中受攻击的节点可以及时对受攻击节点采取相应措施，以保障整个网络的安全性。本文针对Boudia等方案[12]中存在的缺陷，提出了可及时确定受攻击的传感器节点的数据聚合方案。该方案通过消息认证码保障数据的完整性，并且可及时确定网络中受攻击的传感器节点信息。安全性和性能分析表明，本文方案能及时认证传感器发送的数据，过滤无效数据，确定受攻击节点并保证端到端的数据机密性和完整性。

参考文献：

[1]

GUBBI J， BUYYA R， MARUSIC S， et al. Internet of Things （IoT）： a vision， architectural elements， and future directions [J]. Future Generation Computer Systems， 2013， 29（7）： 1645-1660.

[2]

YICK J， MUKHERJEE B， GHOSAL D， Wireless sensor network survey [J]. Computer Networks， 2008， 52（12）： 2292-2330.

[3]

AKKAYA K， DEMIRBAS M， AYGUN R S， The impact of data aggregation on the performance of wireless sensor networks [J]. Wireless Communications and Mobile Computing， 2008， 8（2）： 171-193.

[4]

DU W， DENG J， HAN Y S， et al. A witnessbased approach for data fusion assurance in wireless sensor networks [C]// Proceedings of the 2003 IEEE Global Telecommunications Conference. Piscataway， NJ： IEEE， 2003， 3： 1435-1439.

[5]

HU L， EVANS D， Secure aggregation for wireless networks[C]// Proceedings of the 2003 Applications and the Internet Workshops. Washington， DC： IEEE Computer Society， 2003： 384-391.

[6]

PRZYDATEK B， SONG D， PERRIG A. SIA： secure information aggregation in sensor networks [C]// SenSys 03： Proceedings of the 1st international Conference on Embedded Networked Sensor Systems. New York： ACM， 2003： 255-265.

[7]

WESTHOFF D， GIRAO J， ACHARYA M， Concealed data aggregation for reverse multicast traffic in sensor networks： encryption， key distribution， and routing adaptation [J]. IEEE Transactions on Mobile Computing， 2006， 5（10）： 1417-1431.

[8]

CASTELLUCCIA C， CHAN A C F， MYKLETUN E， et al. Efficient aggregation of encrypted data in wireless sensor networks [C]// Proceedings of the 2005 Second Annual International Conference on Mobile and Ubiquitous Systems： Networking and Services， 2005. MobiQuitous 2005. The . Piscataway， NJ： IEEE， 2005： 109-117.

CASTELLUCCIA C， MYKLETUN E， TSUDIK G. Efficient aggregation of encrypted data in wireless sensor networks [C]// MOBIQUITOUS 05： Proceedings of the the2nd Annual International Conference on Mobile and Ubiquitous Systems： Networking and Services. Washington， DC： IEEE Computer Society， 2005：109-117.

[9]

MYKLETUN E， GIRAO J， WESTHOFF D. Public key based cryptoschemes for data concealment in wireless sensor networks [C]// Proceedings of the 2006 IEEE International Conference on Communications. Piscataway， NJ： IEEE， 2006， 5： 2288-2295.

[10]

PETER S， WESTHOFF D， CASTELLUCCIA C. A survey on the encryption of convergecast traffic with innetwork processing [J]. IEEE Transactions on Dependable and Secure Computing， 2010， 7（1）： 20-34.

[11]

CASTELLUCCIA C， CHAN A C F， MYKLETUN E， et al. Efficient and provably secure aggregation of encrypted data in wireless sensor networks [J]. ACM Transactions on Sensor Networks， 2009， 5（3）： Article No. 20.

[12]

BOUDIA O R M， SENOUCI S M， FEHAM M， A novel secure aggregation scheme for wireless sensor networks using stateful public key cryptography [J]. Ad Hoc Networks， 2015， 32（C）： 98-113.

[13]

CHEN S， WANG G， JIA W. Clustergroup based trusted computing for mobile social networks using implicit social behavioral graph [J]. Future Generation Computer Systems， 2016，55： 391-400.

[14]

ZHANG Q Y， WANG R C， SHA C， et al. Node correlation clustering algorithm for wireless multimedia sensor networks based on overlapped FoVs [J]. Journal of China Universities of Posts and Telecommunications， 2013， 20（5）： 37-44.

[15]

LIU Z， YUAN Y， GUAN X， et al. An approach of distributed joint optimization for clusterbased wireless sensor networks [J]. IEEE/CAA Journal of Automatica Sinica， 2015， 2（3）： 267-273.

[16]

SUN H M， LIN Y H， HSIAO Y C， et al. An efficient and verifiable concealed data aggregation scheme in wireless sensor networks [C]// ICESS 08： Proceedings of the 2008 International Conference on Embedded Software and Systems. Washington， DC： IEEE Computer Society， 2008： 19-26.

[17]

KERRY C F， SECRETARY A， DIRECTOR C R. FIPS pub 1864 federal information processing standards publication Digital Signature Standard （DSS） [S]. Gaithersburg： National Institute of Standards & Technology， 2013.