无线传感器网络中的广播认证协议

无线传感器网络中的广播认证协议 * 赵 鑫+，王晓东，周兴铭 ZHAOXin+，WANGXiaodong，ZHOUXingming 国防科技大学 计算机学院，长沙 410073 CollegeofComputerScience，NationalUniversityofDefenseTechnology，Changsha410073，China +Correspondingauthor：E-mail：xinzhao_remerci@nudt.edu.cn ZHAOXin，WANGXiaodong，ZHOUXingming.Broadcastauthenticationprotocolsinwirelesssensor networks.JournalofFrontiersofComputerScienceandTechnology，2008，2（2）：113-122. Abstract：Withthesummaryaboutidealpropertiesofbroadcastauthenticationprotocols，theperformanceof proposedbroadcastauthenticationprotocolsbasedondigitalsignatureandsymmetriccryptographyisanalyzed. Ithighlightssomemechanismsintheseprotocolswhendesigningbroadcastauthenticationprotocolsinwireless sensornetworks.Thenotionofintegralityproblemsofbroadcastauthenticationprotocols，meaningrelativekey managementproblemsoftheseprotocolssuchasdistributionofbootstrapparametersandupdateofkeys，is presented.Furthermore，italsoconcludesthelimitationofexistingmethods.It’sconsideredvaluabletosup- portmultiplesecuritylevelsforbroadcastauthenticationprotocolsinwirelesssensornetworks.Adesignof suchprotocolsisalsoproposed. Keywords：wirelesssensornetworks；broadcastauthentication；hashchain；hashtree；digitalsignature； onetimesignature 摘 要：在 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 广播认证协议理想属性的基础上，对现有基于数字签名技术和对称加密技术的广播认证协议优缺 点进行了分析讨论，并指出其对无线传感器网络广播认证协议设计的借鉴价值。将广播认证协议中的参数初始化 和密钥更新等与密钥管理相关的问题归结为认证系统的完备性问题，并指出现有技术方案在解决该问题时存 在的缺陷。初步探讨了无线传感器网络广播认证协议分级安全功能支持的意义，并给出了相应的方案设计思路。 关键词：无线传感器网络；广播认证；哈希链；哈希树；数字签名；一次性签名 文献标识码：A 中图分类号：TP393.08 E-mail：fcst@public2.bta.net.cn http：//www.ceaj.org Tel：+86-10-51616056 *theNationalGrandFundamentalResearch973ProgramofChinaunderGrantNo.2006CB303000（国家重点基础研究发展规划 （973））. Received2007-11，Accepted2008-03. ISSN1673-9418 CODENJKYTA8 JournalofFrontiersofComputerScienceandTechnology 1673-9418/2008/02（02）-0113-10 DOI：10.3778/j.issn.1673-9418.2008.02.001 JournalofFrontiersofComputerScienceandTechnology 计算机科学与探索 2008，2（2） 1 概述 无线传感器网络（以下简称无线传感网）由一组 分布式部署的无线节点构成，可感测周围环境诸如温 度、湿度、亮度等参数的变化，并通过多跳传输将数据 反馈到数据中心。由于其节点价格低廉、部署灵活，具 有一定的容错能力，近年来成为研究热点，提出了大 量应用，如智能家居、办公环境监测、病人生理数据监 测、精确农耕等。其中一些应用，如战场侦察、森林火 险监测，对无线传感器网络的安全性提出了要求。 可认证性是一个实用的安全信息系统所需要的 基本安全服务之一，其他的基本安全服务包括信息的 私密性、完整性和实体行为的不可否认性。通过认证 服务，系统可确认通信实体的身份，进而实现访问控 制、授权服务等安全服务。认证服务提供两方面的安 全属性，一是系统可确认通信实体的身份（简称实体 认证），进而实现访问控制、授权服务等安全服务；二 是通信中的接收方可确认所收到消息的发送源（简称 消息源认证）。本文主要针对消息源认证进行讨论。 点对点通信的消息源认证可由对称加密技术完 美解决：通信双方用共享的密钥对消息认证码加密即 可。组播和广播通信的消息源认证若采用同样的机 制，则任意接收节点都可用共享的密钥假冒某个发送 节点发送报文而其他节点无法区分这两者。一旦某个 节点共享的密钥被攻击者获取，所有节点的广播认证 机制都不再安全。因此一般认为广播认证需要采用非 对称加密的方式来实现，最直观的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 是采用基于公 钥机制的数字签名算法。但由于无线传感网节点资源 受限（包括计算、存储和能量等方面），普遍使用的公 钥签名算法如RSA[1]计算开销和能耗太大，无法适应 无线传感网的要求。因此如何针对无线传感网设计相 应的广播认证协议成为近年来的研究热点。 2 无线传感器网络广播认证协议的理想属性 对于一般意义上的广播认证协议，希望其具有以 下一些属性： （1）低计算、存储、通信开销。计算开销来自于产 生和验证认证信息的过程，存储开销来自于认证过程 中对报文或认证信息的缓存，通信开销来自于通信发 送和接收方所需传输的认证信息，理想的广播认证协 议希望这些开销在通信的发送方和接收方都尽可 能小。 （2）无认证延迟。认证延迟来自于现实协议设计 中为一部分协议性能进行权衡后付出的代价。许多低 开销的认证协议中，信息发送方在发送经过认证的信 息之前或接收方收到认证信息后都需等待一段时间。 理想的广播认证协议希望消除这样的等待时间，实现 无认证延迟。 （3）可容忍报文的丢失。理想的广播认证协议希 望在报文可能丢失的通信信道中能够对丢失报文的 后续报文进行认证，这对广播认证协议的健壮性提出 了要求。 （4）协议完备性。非对称加密机制一般都需要一 个参数初始化的过程，协议在长时间的运行过程中需 要及时地更新密钥，理想的广播认证协议应该明确描 述这些与密钥管理紧密联系的协议机制，保证协议的 完备性。 （5）分级安全功能支持。安全支持是在应用系统 正常运行之外附加的，必然带来额外的开销，且提供 较强安全服务的协议一般开销也大。另一方面，不同 应用对安全服务强度的要求也不同。因此可以认为理 想的广播认证协议应该提供不同的分级安全功能，以 确保满足应用系统所要求安全条件的同时尽可能降 低开销。 然而事实上，目前提出的广播认证协议中还不能 完全满足以上所有条件。如RSA数字签名算法可容 忍报文的丢失、无认证延迟，但开销较大；一次性签名 算法计算开销较低，但通信开销较大；基于对称加密 技术的认证算法如μTESLA[2]等开销较低，但引入了 认证延迟，同时还存在初始化参数发布效率低下的问 题。另外，已知的所有协议都没有提供协议安全级别 支持。目前许多实用的广播认证协议大都针对特定网 络环境或应用设计，并尽可能满足以上属性。 无线传感网的网络环境也对广播认证协议设计 产生了一些硬性限制，包括： 114 赵 鑫 等：无线传感器网络中的广播认证协议 （1）受限的资源：尽管由于硬件技术的发展，无线 传感网节点计算能力和存储能力在可预见的未来会 有较大的提高，但采用电池供电、能耗有限仍旧是无 线传感网的软肋。因此低开销是无线传感网广播认证 协议的主要要求。 （2）无线通信的不稳定性：无线传感网采用无线 通信方式，报文的丢失率较传统网络高，因此要求广 播认证协议能够容忍报文的丢失。 以下几章在对广播认证协议基本技术介绍的基 础上，对现有的低开销广播认证协议进行介绍和分 析，并指出其在无线传感网应用的可能性，及对无线 传感网广播认证协议设计的启发意义，并进一步分析 了在认证协议的完备性和分级安全功能支持方面可 做的工作，最终得出一些具有指导意义的结论和建议。 3 广播认证协议中的基本技术 本章主要对现有低开销广播认证协议中常用到 的基本技术进行介绍和分析，主要包括hash链、hash 树和一次性签名。 3.1 Hash链 哈希链广泛应用在高效的不基于公钥签名机制 的认证算法中，通常用于构造更为复杂的认证机制。 如图1所示对给定信息M（其长度通常也为哈希值 长度）和单向哈希函数H，由集合{H n （M），n≥0}依照 元素生成关系组成的链称为哈希链。由于哈希函数计 算的单向性，当n≥l>m≥0时，给定H l （M），无法逆 推出H m （M）。而在H l （M）可信的前提下，可通过验证 等式H l （M）=H （l-m） （H m （M））是否成立来判断H m （M） 是否可信。 3.2 Hash树 Hash树[3]也称为Merkle树，由Merkle等人于1987 年提出，主要用于对一组信息的认证。图2给出了可 对8个信息进行认证的哈希树结构，其中深灰色节点 代 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 需被认证的一组信息，黑色箭头代表对起始节点 值进行一次哈希函数计算得到终止节点值。可以看 出，哈希树是一个完全二叉树，叶子节点由对一组信 息分别进行一次哈希函数计算后得到的值组成。非叶 115 JournalofFrontiersofComputerScienceandTechnology 计算机科学与探索 2008，2（2） 子节点的值则由对其孩子节点值的连接进行一次哈 希函数计算得到，即parent=H（childleft‖childright），其 中H为单向哈希函数。 通过可信信道获得哈希树根节点的值后，数据的 接收方即可对一组信息的任意一个进行认证。但数据 发送方为了对该信息认证需要发送额外的认证信息， 以确保数据接收方能够根据这些信息重建包括该原 始信息的部分哈希树。这些信息就是该原始信息对应 的哈希树叶子节点到根节点路径上所有节点的兄弟 节点值。如要对图 2中节点A所代表的原始信息认 证，信息发送方需要额外发送所有浅灰色节点的值， 以构造出浅灰色虚线箭头所示的部分树。接收方利用 收到的认证信息通过对该部分树的重新计算并与已 存储的根节点值比较即完成了一次认证过程。 哈希树认证的优点是计算效率高、接收方认证快 速、没有延迟，缺点是认证过程需要额外认证信息的 支持，当树的规模较大时可能会带来较大的通信开 销。另外哈希树需要在一组信息内容已知的情况下建 立，树建好后可认证的信息也相应确定，不适合被认 证信息动态产生的情况。 3.3 一次性签名 一次性签名最早由 Rabin[4]和 Lamport[5]分别于 1978和1979年提出，而为人所熟知的一次性签名方 案则由Merkle和Winternitz[6]于1987年提出。一次性 签名区别于基于公钥机制陷门单向函数的数字签名 方案，它基于单向哈希函数，因此易于实现且计算效 率很高。缺陷在于它的“一次性”特征，即一对密钥只 能用于对一个报文进行签名和认证。另外一次性签名 方案产生的签名很大，会带来较大的通信开销。Perrig 和Reyzin等人分别提出了新的一次性签名方案BiBa[7] 和HORS[8]，减小了签名的长度但又增加了公钥的长 度。下面对Merkle-Winternitz一次性签名方案进行具 体的介绍。 Merkle-Winternitz一次性签名利用基于单向哈 希函数构造的有向无环图来进行签名，如图 3所示。 其中每条有向边代表一次单向函数运算，有多条入边 的节点值由单向函数作用于其前辈节点值的连接得 到。图的起始节点为私钥，终节点为公钥。 图3（a）所示的有向无环图中，单向哈希函数链 的长度为 4，可对 0-3的 2位数据进行签名。其中 （s3，s2，s1，s0）称为签名链，链中的每个值si代表了被 签名的值i；（c0，c1，c2，c3）称为校验链，目的是防止签 名的伪造。签名者首先随机产生私钥Kpriv，利用一个 伪随机函数（Pseudo-RandomFunction，PRF）和私钥 Kpriv分别产生s3和c0，其余的值则由s3和c0通过单向 哈希函数依次产生。对需被签名的值i（0≤i≤3），用 116 si和ci作为签名。接收节点通过计算Kpub=F（F i （si）‖ F 3-i （ci））与存储的Kpub进行比较验证。由于si和ci两 个链的计算方向相反，因此攻击者要伪造一个签名必 须能够逆向运算至少一个单向函数，这保证了该签名 算法的安全性。 用两个单向哈希函数链构造的签名算法不具有 可扩展性，如对32位数据的签名就需要2 32 长度的单 向哈希函数链。为此可用多个签名链来构造有向无环 图，如图3（b）所示，用4个长度为4的签名链即可对 8位数据产生签名。为进一步减少校验链数量， Merkle等人提出用校验链来代表签名链的和而不是 实际数据。图3（b）所示的签名链的和为4×（2 4 -1）= 60，因此只需要两个校验链。一般而言，对于k个签名 链，其中每个签名链可对m位数据签名，所需要校验 链的数量为「lbkg（2 m -1） m !。当采用每个签名链可对4 位数据进行签名的有向无环图对80位数据进行签名 时，假设哈希函数的输出为10字节，通过计算可以得 出签名的长度为230字节。 4 无线传感器网络中的广播认证协议 本章对现有的低开销广播认证协议进行综合分 析和评价，按采用的主要技术不同分为基于数字签名 的广播认证协议和基于对称加密技术的广播认证协 议，指出其对无线传感网广播认证协议设计的启发和 借鉴意义。总结部分分析了两类协议的优缺点和互 补性。 4.1 基于数字签名的广播认证协议 由于基于公钥（或称双钥）机制的数字签名技术 具有天然的非对称性，因而成为广播数据源认证的一 个很自然的解决方案。除此之外，数字签名技术还能 够提供实体行为不可否认性的安全服务。但目前被广 泛使用的基于RSA公钥机制的数字签名技术会产生 较大的计算开销和通信开销，由于无线传感器节点资 源受限，学术界较长时间以来普遍认为基于公钥机制 的数字签名技术不适用于无线传感器网络。 解决这一问题的思路有两个，一是设计或采用效 率更高的数字签名方案；一是将一次签名产生的计算 和通信开销平均到多个数据报文上。对于前者，主要 的研究成果集中在对基于椭圆曲线公钥机制数字签 名技术的应用和设计高效的一次性签名方案。对于后 者，主要的技术手段是将基于公钥机制的数字签名和 哈希函数链、哈希树、一次性签名等方案结合起来，目 前的研究仍集中于传统网络的流认证（指音频视频流 数据）和组播认证，但它们也对无线传感器网络中的 广播认证协议设计具有借鉴意义。下面对这些研究中 的主要成果简要介绍。 基于椭圆曲线密码（EllipticCurveCryptography， ECC）[9]的公钥机制比基于RSA的具有更高的效率， 一般认为，160位椭圆曲线密码的安全性等同于1024 位的 RSA密码，因此更适合于资源受限的环境。 Piotrowski等人在文献[10]中得到的实验结果为：在 Crossbow公司的小型传感器MICA2DOT（使用ATMEL 公司 4MHz的 ATmega128L芯片）上 160位密钥长 度的椭圆曲线签名的产生和认证分别需时1.65s和 3.26s，已经接近于实用。事实上，Liu等人已针对 MICAz、TelosB、TmoteSky和Imote2等传感器节点设 计实现了经过优化的椭圆曲线加密、认证和密钥交换 算法tinyECC[11]，Certicom公司也致力于将椭圆曲线 加密技术应用于传感器网络[12]。 另一种方案是使用和设计高效的一次性签名算 法进行认证，如Perrig等人提出的BiBa[7]和稍后Reyzin 等人提出的HORS[8]等。这些一次性签名算法相对于 Merkle-Winternitz一次性签名算法，一对密钥可以对 有限制的若干个信息进行签名，减少了认证信息即签 名的大小，大大加快了签名验证的速度，主要的问题 是用于验证签名的公钥太大，如HORS的公钥约为 10KByte，因而难以在无线传感器网络中使用。Luk等 人在文献[13]中提出用 Merkle-Winternitz一次性签 名算法对无线传感器网络中低熵的报文进行签名的 思路，但不具有普遍意义。 在传统网络的流认证和组播认证的协议设计中， 为了减少公钥签名算法带来的系统开销，研究工作者 赵 鑫 等：无线传感器网络中的广播认证协议 117 JournalofFrontiersofComputerScienceandTechnology 计算机科学与探索 2008，2（2） 提出了许多混合认证方案。如Gennaro等人在文献 [14]提出在流认证中只对第一个报文进行公钥签名， 同时每个报文都附加下一个报文（包括附加在其上的 哈希值）的哈希值，这一方案的主要问题是无法容忍 报文的丢失。为解决这一问题，Wong等人在文献[15] 提出先对一组报文构建哈希树，然后再对哈希树根节 点的值进行公钥签名的方案。这一方案仍旧有许多问 题，如发送方缓存一组报文带来的延迟，哈希树认证 所带来的额外通信开销等。后续又有Rohatgi、Perrig 等人提出了改进方案[16，17]。图4给出了这些方案中的 一个例子，图中每个报文附加下两个报文的哈希值， 具有一定的抗报文丢失的能力。这些减少公钥签名算 法系统开销的方案对于无线传感器网络广播认证协 议的设计具有启发意义：将基于椭圆曲线公钥的签名 算法和哈希链、哈希树以及一次性签名算法等高效认 证方案结合有可能产生高效并且安全的无线传感网 广播认证方案。 4.2 基于对称加密技术的广播认证协议 由于数字签名算法的系统开销较高，一些研究工 作者开始寻求从高效的对称加密算法构造非对称认 证算法的方案。这里主要介绍Canetti等人提出的多 MAC方案[18]和Perrig等人提出的μTESLA协议[2]。 Canetti等人在文献[18]中提出的基于多MAC的 非对称方案中，每个发送方带有k个密钥，每个接收 方拥有该组密钥的一个子集。发送方对每个报文都用 这k个密钥计算出k个MAC值并附加到报文中，接 收方可利用自己掌握的密钥对其中的一部分 MAC 进行验证，但无法伪造出k个合法的MAC，从而实现 了认证算法的非对称性。事实上，Canetti指出通过适 当的参数调整，可以确保任意w个接收方无法串通 伪造出k个合法的MAC值。由于每个报文都要携带 k个MAC值，该方案会带来较大的通信开销，同时只 能提供有限的安全性（大于w个接收方的串通将攻破 该认证系统）。 μTESLA协议源于Perrig等人稍前的工作 TES- LA[17]，是作者所知最早提出针对无线传感器网络的广 播认证协议，也是最为经典的一个。它利用哈希密钥 链和延迟发布密钥等技术，在发送节点和接收节点宽 松时间同步的条件下，以一定的认证延迟为代价，用 对称加密机制实现了广播认证所需的非对称性，具有 很高的效率。下面对其机制做较为详细的介绍。 发送节点建立一组长度为n+1的单向函数密钥 链，这组密钥链的第一个密钥Kn随机产生，其后的密 钥则由单向函数H（如单向哈希函数MD5、SHA1等） 重复作用于上一个密钥产生，即Kj=H（Kj+1）。发送节 点将时间划分成等长的时间片（设时间片长度为D）， 每个时间片按序分配一个密钥，但分配密钥的顺序与 密钥链产生的顺序正好相反，如图5所示。在时间片 118 j内发送的任何报文Pi用密钥Kj计算报文的消息认 证码（MACKj（Pi））。发送节点以时间片长度为单位确 定密钥发布延迟时间 !，当前时间片j使用的密钥Kj 将在 !后发布出去，如图5中 !为2。为避免额外的 通信开销，μTESLA协议规定发布的密钥附在数据报 文中发送，如果某时间片没有广播数据报文发送，则 该时间片应发布的密钥也不发送，接收节点可由后续 发布的密钥通过单向函数计算出该密钥。发送节点在 发送广播认证报文之前需要将K0、!、D及开始时间T0 等参数发送给接收节点。 在宽松时间同步的条件下，接收节点收到广播认 证报文后可利用存储的参数计算出该报文中使用的 密钥是否已发布。如果已经发布，则任何收到该密钥 的节点都可伪造或篡改该报文，因此该报文被视为不 安全的，被丢弃；如果密钥还未发布，则该报文被缓存 起来，直到该密钥发布，这一步称为报文的安全条件 检查。收到发布的密钥Kj后，首先通过K0或上一个 已经被认证的密钥Ki验证该密钥的正确性，即检查 Ki=H （j-i） （Kj）是否成立，从而完成源节点认证；然后再 验证消息认证码的正确性，从而完成报文认证。如果 两个认证都通过，则该广播报文正确接收。 μTESLA协议不仅在计算和通信上的开销小，且 能够容忍报文的丢失，如附带密钥Ki的某个数据报 文在传输过程中丢失，接收节点可通过后续收到的密 钥Kj通过公式Ki=H （j-i） （Kj）计算出Ki，并继续进行 报文的认证过程。 4.3 小结 基于对称加密技术的广播认证方案虽然效率较 高，但这是在一定代价基础上的，如μTESLA协议需 要节点间的宽松时间同步，接收节点需要缓存数据报 文，从而带来认证延迟，且可能受到DoS攻击。数字 签名算法开销较大，但提供了不可否认性的安全服 务，并可通过多个广播报文分担一次签名的开销，或 设计高效的可用于无线传感网的一次性签名算法来 降低开销。随着硬件技术的提高，数字签名技术应用 在无线传感网的可能性也越来越强。但硬件能力的提 高主要在计算和存储方面，有限的能源供应始终是限 制高能耗的数字签名技术应用的关键。因此这两种方 案无法完全取代对方，具有一定的互补性。 5 无线传感网广播认证协议的完备性和分级 安全功能支持 由于无线传感网分布式计算的特性，广播认证协 议的初始化参数发布和密钥更新难以采用传统的证 书中心完成，而必须另外设计方案。本文将这些与无 线传感网广播认证协议相关的密钥管理问题归结为 认证系统的完备性问题。通过对现有技术方案的分 析，指出其在解决完备性问题时存在的缺陷。针对能 源受限的无线传感网，提供分级的安全功能支持，有 助于在确保系统安全的同时最大限度降低能耗，延长 整个系统的生命周期。在这些分析研究的基础上，本 赵 鑫 等：无线传感器网络中的广播认证协议 119 JournalofFrontiersofComputerScienceandTechnology 计算机科学与探索 2008，2（2） 章给出了一些广播认证协议设计的原则和建议。 5.1 完备性问题 通过对以上各个协议的分析可知，非对称的认证 方案都需要提供参数初始化的方案，如基于数字签名 的认证方案需要将发送方的公钥预先发布到所有可 能的接收方，基于多消息认证码的方案中需要将发送 方产生的 k个密钥中的部分子集发送到接收方， μTESLA协议则需将K0、!、D、T0等初始化参数发布 到所有可能的接收方。 传统的公钥密码体系里主要使用额外的证书签 署中心（CertificationAuthority，CA）完成公钥的管理 和发布，无线传感网由于能耗和网络体系结构等原因 不适合采用这种方式。另一个比较直观的方案是预置 这些初始化参数，这一方案实现简单，不带来额外通 信开销，但不具有可扩展性，当潜在的发送方很多时， 需要预置的信息量可能超出了无线传感网节点的存 储能力；另外预置参数也无法解决参数更新的问题。 更为有效的、也是大多数认证协议中使用的方案是结 合使用预置参数和哈希链、哈希树技术。 文献[19]和[20]分别利用哈希树来解决数字签名 公钥和μTESLA协议初始化参数的发布问题，同时 将哈希树根节点值预置到所有节点中。在文献[19] 中，Du等人进一步利用地理位置信息将位置相邻的 节点初始化参数放在哈希树的同一个子分支中，并将 子分支的根节点值也预置到这些节点中，从而将哈希 树分解为哈希森林。这样相邻节点互相验证公钥时， 发送节点只需附带少量的认证信息，而接收节点也只 需进行较少的哈希函数计算。这一方案利用地理信 息，以适度的存储空间为代价，减少了公钥验证时的 计算和通信开销，当网络规模较大，即相应的哈希树 高度较大时，具有一定的意义。 μTESLA协议中，密钥链的生命周期（用于认证 的时间）取决于其长度，一般来说它相对于无线传感 网的生命周期较小，因此每个发送节点都需要多个密 钥链进行广播认证，因而需要发布多个密钥链的初始 化参数。在文献[20]中，Liu等人进一步利用2个层次 的哈希树来发布这些初始化参数：对于每个发送节点 的多个 μTESLA初始化参数构造一个下层的哈希 树，再以这些树的根节点值作为叶子节点构造上层的 哈希树。另外，Liu等还用哈希树构造了回收树以收 回被捕获节点的广播权限。 哈希树配合预置参数的方案是一种静态的初始 化方案，对于需要认证的信息数量不确定或有动态变 化的情况难以适应，并且额外的认证信息也带来了 不可忽视的通信开销。Luk等人在文献[13]中基于 μTESLA协议提出了一个小巧的初始化信息发布方 案RPT（Regular-PredictableTESLA）。其主要思路是 在初始化信息可以预知的前提下，先生成广播信息的 消息认证码并广播出去，经过 !时间后再将广播信息 和密钥同时发布。由于密钥在消息认证码被接收后才 发布，因此攻击者无法对消息认证码进行篡改。这一 方案的主要问题是被认证信息的内容必须预先明确， 如对于一次性签名方案，需要动态发送公钥信息， RPT方案难以适应这一需求。 无线传感网节点部署后初始网络的建立过程是 系统安全的薄弱环节，设计恰当的参数初始化方案以 提供足够的安全支持并避免过大的开销仍旧是一个 开放性的问题。在传感器整个网络生命周期里广播认 证协议所需的密钥更新和回收机制也是一个完备的 广播认证方案所需包含的协议组成部分，与之紧密相 关的密钥管理问题应在广播认证协议中加以明确。 5.2 分级安全功能支持 安全协议是应用系统正常运行之外的附加程序， 因而在保证系统安全运行的同时也带来了额外的开 销。一般而言，安全功能越强，对应的协议开销也越 大。另一方面，对于大多数应用，不同的报文类型对于 安全的需求往往不同。如不断记录和发送的环境数据 相对于报警信息而言，对于安全的要求相对较弱。因 此理想的安全协议应具有分级的安全功能支持，对于 不同的应用和报文采用能保证安全需求且开销最小 120 的安全方案，以最大限度减小协议的开销。同一个协 议提供不同的安全级别支持是较难的，折中的方案是 采用混合策略。 无线传感网中基于数字签名的广播认证方案和 基于对称加密技术的广播认证方案在安全和能耗两 方面恰好形成了互补。对于一些应用或关键报文，如 火灾报警信息，数字签名技术不可否认性的支持增强 了网络的安全性，利于对恶意节点的检测。这种互补 特性启示作者在广播认证协议设计时采用混合式的 认证方案，即对于安全级别要求高的数据报文采用数 字签名算法认证，其他报文则采用基于对称加密技术 的认证方案。这种混合式策略可能带来较大的存储开 销，需要谨慎的设计方案达到较好的权衡效果。 6 结束语 目前无线传感网中广播认证协议的研究工作以 μTESLA协议和对其的改进加强为主流，一部分工作 集中于基于椭圆曲线数字签名算法在无线传感网中 的实用。通过本文的分析和讨论，可以发现轻量级的 一次性签名算法和将公钥签名开销分担到多个报文 的认证方案也在无线传感网中有一定的应用价值。考 虑到广播认证协议对于应用系统不同安全级别需求 的适应性、安全协议初始化和密钥管理等方面的问 题，无线传感网中的广播认证协议还有许多可研究的 内容。 References： [1]RivestRL，ShamirA，AdlemanLM.Amethodforob- tainingdigitalsignaturesandpublic-keycryptosystems[J]. CommunicationsoftheACM，1978，21：120-126. [2]PerrigA，SzewczykR，WenV，etal.SPINS：security protocolsforsensornetworks[J].WirelessNetworks，2002， 8：521-534. [3]MerkleR.Protocolsforpublickeycryptosystems[C]//Pro- ceedingsoftheIEEESymposiumonResearchinSecurity andPrivacy，1980. [4]RabinMO.Digitalizedsignatures[J].FoundationsofSecure Computation，1978：155-168. [5]LamportL.Constructingdigitalsignaturesfromaone-way function，TechnicalReportSRI-CSL-98[R].SRIInterna- tionalComputerScienceLaboratory，October1979. [6]Merkle.Adigitalsignaturebasedonaconventionalen- cryptionfunction[C]//CRYPTO：ProceedingsofCrypto，1987. [7]PerrigA.TheBiBaone-timesignatureandbroadcastau- thenticationprotocol[C]//ACM ConferenceonComputerand CommunicationsSecurity，2001：28-37. [8]Reyzin.BetterthanBiBa：shortone-timesignatureswith fastsigningandverifying[C]//ACISP：AustralasianConfer- enceonInformationSecurityandPrivacy，2002. [9]MillerV S.Usesofellipticcurvesincryptography[C]// LNCS： Advances in Cryptology CRYPTO’85. [S.l.]： Springer-Verlag，1986，218：417-426. [10]PiotrowskiK，Langend"rferP，PeterS.Howpublickey cryptographyinfluenceswirelesssensornodelifetime[C]// SASN，ACM，2006：169-176. [11]LiuAn，NingPeng.TinyECC：aconfigurablelibraryfor ellipticcurvecryptographyinwirelesssensornetworks， TechnicalReportTR-2007-36[R]. NorthCarolinaState University，DepartmentofComputerScience，November 2007. [12]http：//www.certicom.com. [13]LukM，PerrigA，WhillockB.Sevencardinalproperties ofsensornetworkbroadcastauthentication[C]//theFourth ACMWorkshoponSecurityofAdHocandSensorNet- works，2006：147-156. [14]GennaroR，RohatgiP.Howtosigndigitalstreams[C]// CRYPTO.[S.l.]：Springer，1997，1294：180-190. [15]WongC，LamS.Digitalsignaturesforflowsandmulti- casts[C]//IEEEICNP’98，Austin，TX，1998. [16]RohatgiP.Acompactandfasthybridsignaturescheme formulticastpacket[C]//Proceedingsofthe6thACMCon- ference on Computer and Communications Security， November1999，1999：93-100. [17]PerrigA，CanettiR，TygarJD，etal.Efficientau- 赵 鑫 等：无线传感器网络中的广播认证协议 121 JournalofFrontiersofComputerScienceandTechnology 计算机科学与探索 2008，2（2） ZHAOXinwasbornin1979.HereceivedtheM.S.degreeinComputerSciencefromNationalUniversity ofDefenseTechnology，andnowisaPh.D.candidateattheuniversity.Hisresearchinterestsincludethe securityofmobileadhocnetworksandwirelesssensornetworks. 赵鑫（1979-），男，山西长治人，国防科技大学计算机学院博士研究生，2005年于国防科技大学获计算机科学 专业工学硕士学位，主要研究领域为移动自组网及无线传感器网络中的安全问题。 WANGXiaodongwasbornin1973.HereceivedthePh.D.degreeincomputerfromNationalUniversityof DefenseTechnologyin2001.Heisanassociateprofessorandmaster’ssupervisoratNationalUniversityof DefenseTechnology.Hisresearchinterestincludesmobilecomputingtechnology. 王晓东（1973-），男，山东巨野人，2001年于国防科技大学计算机学院获博士学位，国防科技大学计算机学院 副研究员，硕士生导师，主要研究领域为移动计算技术。 ZHOUXingmingwasbornin1938.HeisaprofessoranddoctoralsupervisoratNationalUniversityofDe- fenseTechnology，andanacademicianofChineseAcademyofSciences.Hisresearchinterestsincludehigh performancecomputingtechnology，networkanddistributedcomputingtechnology. 周兴铭（1938-），男，上海人，国防科技大学计算机学院教授，博士生导师，中科院院士，主要研究领域为高性 能计算技术、网络与分布式计算技术。 thenticationandsignatureofmulticaststreamsoverlossy channels[C]//ProceedingsoftheIEEESymposiumonRe- searchinSecurityandPrivacy，May2000，2000：56-73. [18]CanettiR，GarayJ，ItkisG，etal.Multicastsecurity： ataxonomyandsomeefficientconstructions[C]//INFO- COMM’99，March1999，1999：708-716. [19]DuW，WangR.Anefficientschemeforauthenticating publickeysinsensornetworks[C]//MobiHoc.Illinois，USA： Urbana-Champaign，2005. [20]LiuD，NingP，ZhuS，etal.Practicalbroadcastau- thenticationinsensornetworks[C]//MobiQuitous.[S.l.]： IEEEComputerSociety，2005：118-132. 122