每周文章分享

2023.06.12-2023.06.18

标题: An Efficient Authentication Scheme Based on Deployment Knowledge Against Mobile Sink Replication Attack in UWSNs

期刊: IEEE Internet of Things Journal ( Volume: 6, Issue: 6, December 2019).

作者: Boqing Zhou; Sujun Li; Weiping Wang; Jianxin Wang; Yun Cheng; Jie Wu.

分享人: 河海大学——夏茹

研究背景

无线传感器网络（WSN）通常由大量超小型自治传感器组成。无线传感器网络被部署用于各种各样的应用，包括军事传感和跟踪、环境监测、患者监测和跟踪、智能环境等。许多无线传感器网络被认为是在实时模式下运行的，在获取数据后不久，传感器节点将其发送到受信任的接收器。以一个沿国际边界部署的监测系统来记录非法过境的场景为例，监视区域的大小需要一个移动接收器(MS)来周期性地收集数据。将这种网络称为无人值守无线传感器网络（UWSNs）。

当UWSNs部署在敌对环境中时，安全性变得极其重要，因为它们容易受到不同类型的恶意攻击，例如MS复制攻击。为了抵御这种攻击，传感器和移动存储系统之间的身份验证和成对密钥建立非常重要。然而，传感器的资源限制及其在无线介质上通信的性质使得数据的机密性和完整性成为一项重要任务。随着移动终端预分配密钥数量的增加，移动终端与传感器节点在认证过程中需要交换的信息量也随之增加，传感器节点的能量消耗也将显着增加。显然，在 UWSNs 中，基于部署知识有效提高 MS 抗复制攻击的能力的问题仍未解决。

关键技术

为了提高网络对 MS 抗复制攻击的能力，本文基于部署知识构建了新的三维反向密钥链，并在此基础上为 UWSNs 提出了一种身份验证方案。本文的主要贡献如下。 

 1) 构建基于部署知识的三维反向密钥链。并基于这些密钥链开发了一个全局密钥池。全局密钥池的大小与部署区域的大小无关。因此，预分配给 MS 的密钥数量与部署区域的大小无关。也就是说，在MS和传感器节点之间的认证阶段，传感器节点的能量消耗不会随着部署区域的扩大而增加。

2) 提出了一种新的移动接收器与传感器节点之间的认证机制。在本文方案中，MS与传感器节点之间认证成功的概率为1。通过动态调整MS与传感器节点在不同阶段相互认证所需的密钥数量，不仅可以降低传感器节点的能耗，而且可以提高网络对MS抗复制攻击的抵御能力。

算法介绍

一、部署知识模型

本文假设UWSNs由大量静态传感器节点和一个MS组成。如图1所示，将目标区域划分为若干六边形单元，并且每个单元具有驻留在单元中心的部署点。节点分布遵循以部署点为中心的二维高斯分布。SN_l表示部署点位于单元l中的未捕获节点的集合，当|SN_l|小于阈值 ρ 时，表示应该向单元格添加新节点。

图1 目标区域分割成六边形网格（·代表一个部署点）

二、攻击模型

在该模型中，攻击者侵入一个单元并随机捕获并破坏部署点位于该单元中的传感器节点。本文假设一个攻击者随机选择一个单元，连续破坏节点并且驻留在该单元中。此外，本文假设在第i个部署阶段和第(i+1)个部署阶段之间发生的捕获称为第i次捕获。如果攻击者捕获了一个传感器节点，它所拥有的所有关密钥信息也将被泄露。此外，敌方可以将来自多个节点的密钥材料集中起来，以破坏网络的安全性或发动高级攻击，例如窃听、MS复制攻击等。

三、本文算法

基于部署知识模型和威胁模型，本文为 UWSNs 提出了一种有效的身份验证方案。本文算法包括以下两个阶段：1）密钥预分配阶段和2）成对密钥建立和认证阶段。

1、基于部署知识的三维反向密钥链

图2 基于部署知识的三维反向密钥链

（1） 通过使用密钥的哈希函数 (即Hk(inf)) 生成长度为L的第一维度密钥链，如下所示:

其中 gj 和 k_ j^(sl)分别表示三维反向密钥链的生成密钥和单元 Sl 的生成密钥。

（2）使用哈希函数 (即H(inf)) 生成长度为n的第二维密钥链，如下所示:

其中k_ j^(sl，i+1)表示单元sl的第i个生成密钥。

（3）长度为L的第三维密钥链通过使用密钥哈希函数Hk（inf）生成，如下所示：

其中 k_ j ^(sl，i，l′)表示单元sl的第i个生成密钥的第(l′)个密钥。

2、密钥池

密钥池包括全局密钥池以及基于单元格的本地密钥池。

（1）全局密钥池

其中m为基于部署知识的三维反向密钥链的数量。PG的组成说明PG的大小与部署区域的大小无关，只与单元总数有关。

（2）基于单元格的本地密钥池

它包括两个部分: 

1) 一个本地普通密钥池，即

2) 一个局部生成密钥池，示例如图3所示。

图3 单元l的生成密钥池

对于单元 l，LG中的秘钥被分成7个相等的部分。然后这些相邻的单元相互交换它们的密钥。例如单元1传递给单元−4，单元−4传递到单元1。因此

3、密钥预分配阶段

传感器节点 𝑎_(𝑙)^(𝑖)分别预加载了来自局部生成密钥池和本地普通密钥池的t1和t2(t2 > > t1)时间的密钥以及这些密钥的 id。MS只随机从 PG 中选择密钥。在本文中，一个MS预加载了来自PG的t3 (t3 = m + T −t1−t2) 时间的密钥以及这些密钥的id（T：MS和传感器节点之间的最小公共密钥）。

4、成对密钥建立及认证阶段

（1）成对密钥建立：两个传感器节点之间的安全通信。

1）两个传感器节点𝑎_(𝑙_1)^(𝑖_1 )和𝑏_(𝑙_2)^(𝑖_2 )之间成对密钥的建立:

如果𝑙1和𝑙2是不等长的，并且不是彼此的邻居，则 𝑎_(𝑙_1)^(𝑖_1 )和 𝑏_(𝑙_2)^(𝑖_2 ) 不能建立成对密钥; 

否则，可以根据以下情况计算它们的公钥。如图4所示,如果 𝑙1=𝑙2和 i1=i2, 𝑎_(𝑙_1)^(𝑖_1 )和𝑏_(𝑙_2)^(𝑖_2 )的公钥由以下两部分组成:

a）x1和 x4公钥分别来自 𝑃𝐿𝐺_(𝑙_2)^(𝑖_2 )和 𝑃𝐿𝐶_(𝑙_2)^(𝑖_2 )；

b）x2和 x3公钥分别来自 𝑃𝐿𝐶_(𝑙_2)^(𝑖_2 )和 𝑃𝐿𝐶_𝑙1^(𝑖_1 ) 。

图4 两个节点之间共享的密钥

如果 x1 + x2 + x3 + x4 > 0，那么𝑎_(𝑙_1)^(𝑖_1 )和𝑏_(𝑙_2)^(𝑖_2 )之间的成对密钥就是所有公共密钥的 XOR

（2）相互认证：传感器节点和MS之间的安全通信。

   1）MS 广播其预分发密码的 ID；

   2）传感器节点从MS收到上述密码的ID后，通过MS从其密钥链中寻找公钥，随机SQ个密钥作为 MS 认证密码，记为𝑐𝑘_1  ，... ， 𝑐𝑘_𝑆𝑄 ：

其中BQ为在 MS和传感器节点之间相互认证所需的最小公共密钥的数量；AQ为部署阶段增加l时，用于MS和传感器节点之间相互认证的公共密钥的数量的增量；DC_g为网络中传感器节点的最大部署阶段；M_g为MS和传感器节点相互认证时的最大相位增量。

3）MS接收到上述信息后，MS计算共享密码𝑆𝐾_(𝑀𝑆−𝑎_𝑙^𝑖 ) 和认证码:

如果𝑀_1≠𝑀_1^′，那么认证失败; 否则，MS 发送以下消息至𝑎_𝑙^𝑖: 

其中

4）传感器节点收到上述消息后，𝑎_𝑙^𝑖 计算𝑀_2^′

当且仅当 𝑀_2 =𝑀_2^′时， 𝑎_𝑙^𝑖将用共享密码 𝑆𝐾_(𝑎_𝑙^𝑖−𝑀𝑆) 加密后的数据发送给 MS。

实验结果分析

仿真参数：

1. 该区域被划分为六边形单元，六边形单元的长度为50，即 len = 50。每个单元格的中心是部署点(见图1)。假设节点部署遵循一个二维正态分布。

2. 一个节点的无线通信范围是40米(r = 40米)。

3. 假设对手随机选择一个单元，并且连续地妥协节点驻留在该单元中。

4. 假设节点部署包括五个阶段。如果组中未捕获的节点数少于30个，则需要向其添加60个节点。

5. 在每个阶段，MS 从网络收集数据的次数是120次。

6. 全局密钥池(即 m)的大小为70，基于部署知识的三维后向密钥链的第三维长度为50(L3 = 50)。

7. 所给出的实验数据平均重复50次。

对比协议：(M，m)-D 方案与本文实验

评价指标：局部连通性、抗MS复制攻击的能力以及能耗

仿真结果：

1、局部连通性

连通性包括以下两部分: 1）移动接收器与传感器节点之间相互认证的概率，即 PC1和；2）两个相邻传感器节点之间成对建立密钥的概率PC2。图5显示了局部连通性的比较结果。图5(a)和(b)表示了 MS 和传感器可以相互验证的概率比较(PC1)和两个相邻传感器节点可以建立共享密钥(PC2)的概率比较。

图5 局部连通性的比较

本文的方案中，移动接收器与传感器节点之间相互认证的概率在任何时候都是1；两个相邻传感器节点之间成对建立密钥的概率在第三阶段之后趋于稳定。从图5(b)可以得出结论，尽管(M，m)-D 方案的两个相邻传感器节点之间成对建立密钥的概率在每个阶段都保持稳定，但它的值远小于本文的方案。

2、抗MS复制攻击的能力

本文在第一阶段捕获之后(为了方便描述，在下面的公式中，上标 I 代表第I阶段捕获) ，可以通过成功认证一个复制 MS 的未捕获节点数与未捕获节点总数的比值来评估抗 MS 复制攻击的能力，即 Pr^I

图6显示了优先级的比较，即每个阶段抗复制攻击的能力，在(M，m)-D 方案中，每个阶段的密钥池保持不变，优先级上升更快。本文方案使用了基于部署知识的三维反向密钥链，每个阶段的密钥池相互独立，优先级上升缓慢。

图6 抗复制攻击能力的比较

3、能耗

图7显示了在每个阶段建立共享密钥所需的能源消耗的比较。本文提出的方案不需要路径密钥的建立过程，因为局部连通性较高，在移动接收器与传感器节点之间的认证过程中不需要涉及邻居节点。因此，在本文的方案中，每个阶段的能量消耗远远低于(M，m)-D 方案。

图7 能耗的对比

总结