王 娜

(中国联合网络通信集团有限公司 北京 100033)

0 引言

由于无线传感器网络具备多跳自组网、自愈、无人值守等优势,已被广泛用于环境空间监测、军事领域、商业服务之中,然而受限于无线传感器体积小、节点资源有限的现实情况,不能完成海量化数据、复杂节点加密传输的安全要求[1]。因而在无线传感器网络不同簇、簇内节点的安全通信传输中,使用基于轻量级数字签名算法,考虑新加入网络节点的安全性,设置簇间共享密钥、数字签名密钥分配方案,进而实现网络恶意攻击节点的跟踪识别,提升无线传感器网络的通信效率、接收/传输数据可信度[2]。

1 无线传感器网络的节点协作通信传输策略

无线传感器网络内包含着大量的传感器节点,由主节点、MIMO聚类簇节点、数据传输链路等构成多跳协作通信网络,为簇内节点、簇间的数据流通信提供支持。假设发射簇内存在nr个节点、接收簇内存在ns个节点,则发射簇发送信号x、接收簇信号y的关系可表示为公式(1):

y=Hx+w

(1)

这里x=[x1,x2,…,xnr]T、y=[y1,y2,…,yns]T;w=[w1,w2,…,wnr]T表示随机无线高斯白噪声分量,各高斯白噪声分量独立分布、功率谱密度为n0;H表示nr×ns维的信道系数矩阵。

若参与无线传感器网络通信传输的节点集合簇为V,节点簇集合V的不相交部分表示为簇-d,也即发射簇、接收簇内两个节点间的距离为d则表示不相交,那么可用A、B分别表示发射簇、接收簇内的不相交节点簇,称为MIMO聚类簇,每个聚类簇内又包含着主节点、其他节点,不同节点间的分布式扩充连接、可生成多跳主干树的协作通信网络,在数据链路中设置安全通信路由[3]。

依托无线传感器网络的光纤长距离(50 m以上)通信过程中,主要使用发射簇A、接收簇B、MIMO聚类簇节点,来完成源数据序列的通信传输。假设发射簇A内存在∣A∣个节点、接收簇B内存在ns个节点,那么发射簇A内参与源数据(I-I1,I2,…Ik)传输的节点数可表示为以下公式(2)。

(2)

round()表示四舍五入为整数,通过MIMO码的编码技术、将发射簇A节点的数据序列I作出编码,并向接收簇B的ns个节点传播编码数据序列,接收簇B的主节点收到数据序列I后,再向簇内的其他相关节点进行数据传输,具体无线传感器网络的数据链路长距离传输方式如图1所示[4]。

图1 无线传感器网络的数据链路传输方式

2 基于ECC椭圆曲线的非对称节点加密算法

无线传感器网络具有的去中心化属性,使得不同网络簇节点内均含有系统的全部信息,这一情况下通常采用椭圆曲线(elliptic curve cryptography,ECC)的非对称加密算法,完成不同网络节点间的数据加密、同步与共享[5]。假设椭圆曲线Ep(a,b)上的节点P满足nP=O∞、Ep(a,b)的多阶循环群为G,其中n为节点P的阶数(n是大素数)、O为无穷远的网络节点,点P为无线传感器网络的簇首节点、点P的阶数记为ord(P)。

使用椭圆曲线非对称加密算法时,应引入明文m、0≤m≤ord(P)-1,设置网络节点P公式为Pm(xm,ym),定义椭圆曲线上节点P、Q的关系为Q=kP,对节点Pm作出加密、解密变换操作,解密后再通过逆向译码操作才能获得节点Pm的原始明文。具体的ECC非对称节点加密算法的执行流程如下[6]:

(1)生成加密密钥。选取椭圆曲线Ep(a,b)上网络节点P阶数为n(n为大素数)的生成元,依据加密公钥Q、私钥k(1

(2)Pm节点加密变换。在点Pm加密变换中,选择随机整数r对Pm(xm,ym)网络节点作出加密、解密的变换操作,生成的加密数据序列可表示为C=(rP,m+rQ)。

(3)Pm节点解密。在加密数据序列解密时,使用逆向译码M+rQ-k(rP)=M+r(kP)-k(rp)=M,能够获得无线传感器网络通信的源数据序列,网络恶意攻击者若要利用C=(rP,m+rQ)计算出Pm,则必须求取基于随机数r的椭圆曲线离散对数[7]。

3 基于无线传感器网络的节点簇轻量级数字签名算法

由于ECC非对称加密算法是基于椭圆曲线的离散对数问题,在网络安全参数设置上,往往会随着曲线类型选择的变化而发生变化,容易被外部恶意攻击者采用木马连接的方式建立后门,建立后门以后将每隔5 s使用自动匹配模块exploit/multi/handler,尝试与黑客的机器形成连接,并攻击网络节点。因而提出基于轻量级数字签名算法,包括非对称加密、数字签名两方面组成内容,可用于鉴别、确保网络数据消息传输的准确性[8]。该融合式加密算法的签密、存储成本更低,即使发射簇的密钥泄露,也不影响其他簇内节点数据消息传输的私密性,具体的数字签名、加密过程如下。

(1)密钥预分配。初始化网络配置时,将共享密钥pre_key(b,m)预分配给汇聚节点b,以及发射簇A、接收簇B的网络主节点。

(2)数字签名。发射簇A生成随机整数r,计算数据序列R=r×G=(r1,r2)、加密密钥K=r×Apre_key(b,m)=(k,1)、加密数据C_key(A)=Ek(m),经过数字签名后无线传感器网络发送的消息为(R,K,C_key)。

(3)加密密钥设置。发射簇A根据共享密钥pre_key(b,m),利用以上私钥k、数字签名规则,对簇内主节点m处的数据ID进行加密,数据加密后存储至簇的主节点列表中。汇聚结点b对接收到的发射簇A加密数据作出解密,为簇A生成新的密钥C_key(A)、为数据传输链路AB生成密钥L_key(A,B)。随后由簇A主节点向簇B的网络主节点广播密钥,簇B网络主节点x接收到密钥加密消息后,解密得到C_key(A)=Ek(m)、L_key(A,B)。

(4)网络安全通信链路建构。由于簇内主节点存在多个相连的网络节点,因而主节点m包含1个主密钥C_key(A)和i个链路密钥L_keys,无线传感器网络发送的消息可表示为(R,K,C_key),由此建构其传感器网络安全通信链路[9]。

4 恶意攻击节点检测、簇密钥更新管理策略

4.1 恶意攻击节点检测

基于簇间共享密钥、数字签名密钥分配方案,对新加入簇节点作出恶意攻击的关联性检测、密钥更新,实现网络恶意攻击节点的跟踪识别,以消除恶意节点对数据传输的影响。在恶意攻击节点检测之前,设定汇聚节点b的安全级别1(0≤1≤1)、加密数据传输时间间隔t,安全级别越低、时间间隔越短表明恶意节点的识别检测将越频繁。若网络安全系数N>1则无需进行恶意节点检测,否则需要完成恶意节点检测,检测执行代码如下:

set t and l, l∈[0,1]

Generate N in m,N∈[0,1]

If N>l

node transmit data

else

m broadcast the detecting report

each host node detects suspected node

end if

4.2 簇密钥更新与网络连通

若汇聚节点b确定发射簇A存在恶意攻击节点,将在新节点加入、原节点失效时,根据网络安全需求更新密钥、调整网络连通状态,保证簇密钥、簇间数据传输的后向安全性,避免恶意攻击节点的虚假信息发送、网络信息窃取。簇密钥更新和网络恢复过程如下:

(1)由汇聚节点b向簇A除主节点以外的其他所有节点U发送更新密钥,包括经过密钥pre_key(b,U)加密后的所有节点ID信息、恶意攻击节点ID列表;由汇聚节点b向簇B除主节点以外的其他所有节点U发送更新密钥,包括经过密钥pre_key(b,U)加密后的所有节点ID信息、新的数据传输链路密钥L_key(A,B)。

(2)其他节点接收到更新密钥后的数据信息以后,对pre_key(b,U)解密获得节点新的C_key或L_key,并自动跳过恶意攻击节点x,从而完成无线传感器网络的重构。

5 仿真实验分析

5.1 安全分析

由于节点簇轻量级数字签名加密算法,是采用公钥(私钥)加密、数字签名相结合的方式,在椭圆曲线上先由汇聚节点b生成公开共享密钥pre_key(b,m),再使用发射簇A主节点m信息、私钥k(m)生成数字签名Sm,建立无线传感器网络场景的移动节点密钥加密方案。通过设置网络安全系数、数据序列号的检测验证机制,再加上相邻节点双向序列号的验证方案,可隔绝针对无线传感器节点资源的拒绝服务攻击,降低外部入侵用户的网络数据窃听、伪造和篡改情况。当入侵者使用未更新的加密密钥、验证过的数据序列号,该节点将被接收者所丢弃,这样能够有效地解决拒绝服务攻击问题[10]。

5.2 仿真性能评估

使用RADIO-ENERGIED传感器、XMTS300CB传感器板和Matlab仿真软件,对无线传感器网络中ECC椭圆曲线加密算法、节点簇轻量级数字签名算法的安全通信控制情况作出性能评估。选择20轮ECC加密算法、轻量级数字签名算法的点乘运算方案,进行发射簇节点加密、网络新加入节点的恶意攻击检测,得出网络通信负载的性能测试结果如图2所示。

图2 不同算法的网络通信负载性能测试

从图2可以得出,相比于ECC椭圆曲线加密算法的节点加密而言,本文轻量级数字签名算法方案在单位时间内的新节点加入、邻居节点单播数据包的通信流量更高,每个节点在存储邻居节点的本地广播密钥、共享密钥后,可通过节点密钥解密、数据序列号的验证检测新加入节点的安全性,可被用于节点资源有限的无线传感器网络安全通信控制[11-12]。

6 结语

综上所述,无线传感器网络场景下,受到信道多径衰落、网络恶意攻击等外部因素的影响,原有ECC椭圆曲线的非对称加密算法,并不能及时对网络攻击恶意节点作出标记、簇首被俘时簇内的其他感知节点可能发生失效情况。主要针对无线网络带宽容量、信道信号干扰、通信频谱利用率现状,提出基于ECC非对称加密方案,进行不同节点间移动数据信号的密钥加密、解密传输。但基于ECC椭圆曲线的非对称加密算法,无法完全确保网络节点间通信的机密性,因而提出轻量级数字签名算法,使用共享密钥pre_key(b,m)、m信息、私钥k(m),生成数字签名Sm,建立起发射簇、接收簇簇间数据流的解码转发协作通信方案,对新加入簇节点作出网络攻击的关联性检测、密钥更新,可实现长距离的源数据序列安全通信传输。