CN102325131A - 无线传感器网络节点双向身份认证方法 - Google Patents

Abstract

本发明为一种无线传感器网络节点双向身份认证方法，由于身份认证过程中认证双方需要根据对方提供的挑战来生成相应的PUF应答，而PUF又是与节点中的芯片不可分割且不可复制，所以保证了节点不能被复制攻击；由于节点每次在申请认证时发送的分组中都设有一次性的随机数，且签名消息也与随机数有关，所以避免了攻击者进行重放攻击；同时节点内部与认证相关的三元组信息和PUF同在一个芯片内部，因此即使攻击者获取了这些信息，但由于破坏了PUF特性，也不能对网络中其他节点构成威胁。

Description

无线传感器网络节点双向身份认证方法

技术领域

本发明涉及一种基于公钥签名和物理不可复制功能(PUF)的抗复制攻击的无线传感器网络节点双向身份认证方法。

背景技术

无线传感器网络中，包括公钥签名技术在内的很多身份认证方法常常被用作抵抗网络攻击的重要手段。然而由于节点间身份认证中所需的信息往往都存储在节点内部，因此当某一节点被攻击者捕获后，攻击者很容易便可实现复制攻击，也就是说当节点被攻击者捕获并复制后，其他节点基本无法对其身份进行有效识别。尤其是在移动传感器网络、延迟容忍传感器网络以及RFID等系统当中，由于节点或标签常常疏于维护，因此能否抵抗复制攻击成为网络的一项重要需求。

物理不可复制功能(PUF)是近些年出现的一种集成电路(IC)新技术，是一个被具体化在IC内部的物理结构，它利用芯片制造过程中不可避免产生的差异来实现芯片唯一性的辨别。当向PUF提供挑战时，它生成被称为响应的随机输出。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性，因此认为PUF是“不可复制的”，即难以实施物理复制和/或计算建模。通常将PUF以及能够提高PUF性能的辅助电路和算法包含在芯片之内，以此来实现芯片的抗复制攻击的功能。

理想的PUF，具有以下特性：

1.不可预测性：向PUF输入挑战，产生的响应难以预测。

2.差异性：相同的挑战输入到不同的PUF当中，产生的响应有较大差别且容易区分；不同的挑战输入到同一个PUF当中，产生的响应同样有较大差别且容易区分。

3.噪声容许：在某种程度上，所有PUF度量都是有噪声的。如果向PUF输入同一挑战，其响应并不一定完全相同，但差异会很小，这是噪声产生的影响。可以通过萃取和纠错码等方法来压制噪声。

4.变异性：PUF包括在芯片内部且与芯片融为一体。任何企图破坏芯片的行为都将导致PUF的损害和特性的更改。

PUF的一个简单例子就是包含有处于随机位置的光散射器的3D光学介质。以激光束入射角作为输入(即挑战)照射PUF，其相应的输出(即响应)则是由光散射器所产生的散斑图案。利用专用节点可将该输出量化成密钥。

PUF设计实现的另一方式是利用有介电粒子散布其中的涂层来覆盖集成电路(IC)。由于集成电路生产工艺的不同，这些介电粒子通常具有不同介电常数、不同的随机形状、以及不同的大小和位置。可以利用位于IC顶部金属层处的传感器元件来对不同涂层位置处的电容值进行局部测量。在该实现方法中，涂层本身具有不可复制的功能。作为介电粒子的随机性结果，所测量的电容值可以形成很好的密钥材料，比如对具有涂层形式PUF的IC对电容进行测量，并且将该电容值转换成可从其导出的密钥数据。

文献“Physical Unclonable Functions for Device Authentication and Secret KeyGeneration.Proc.of Design Automation Conference.San Diego，California，USA，2007，9-14”给出了一种基于PUF的认证方法。该方法需要将设备的“激励-响应”对存储在数据库中，认证过程中通过查询数据库来确定设备的合法性。这种方法不能使设备摆脱对数据库的依赖，不适用于无线传感器网络等分布式系统。

发明内容

本发明的目的是提供一种不需要通过查找数据库就能够进行节点身份认证的适用于无线传感器网络、延迟容忍网络等无线通信环境下的抗复制攻击节点双向身份认证方法。

该无线传感器网络节点双向身份认证方法，包括以下步骤“

第一步：初始化节点：假设需要相互认证的两个节点分别为i和j，则初始化阶段中可信第三方向节点i内部下载有关节点j的认证信息三元组<ID_j，Q_j，H(P_j(C_i))>，向节点j内部下载有关节点i的认证信息三元组<ID_i，Q_i，H(P_i(C_j))>；同时将公钥签名算法S、单向哈希函数H、节点的身份标识及其挑战下载到节点当中；

第二步：节点i首先在网络中广播如下认证请求分组报文来完成邻居发现；

IDi

Ci

Ni

其中ID_i字段：表示节点i的身份标识；C_i字段：表示节点i发出的挑战；N_i字段：表示节点i选取的一次性随机数；

第三步：当邻居节点j接收到节点i的认证请求分组后，节点j根据ID_i查找自身是否存储有节点i的三元组信息，如果不存节点i的信息则认为ID_i非法，放弃认证过程，如果存在ID_i的信息，则发送如下认证响应分组给节点i；

IDj

Cj

S(kj，M)

Nj

其中ID_j字段：表示节点j的身份标识；C_j字段：表示节点j发出的挑战；N_j字段：表示节点j选取的一次性随机数；S(k_j，M)字段：表示节点j利用自身私钥k_j对消息M做出的签名，其中 $M=H\left({\mathrm{ID}}_j\right|\left|C_j\right|\left|H\left(P_j\left(C_i\right)\right)\right||N_i\&CirclePlus;N_j),$ 这里P_j(C_i)为节点j在C_i为挑战时其PUF的响应；H(P_j(C_i))是P_j(C_i)做单向哈希运算得到的值；P(C)表示PUF在挑战C激励下的输出，||表示连接符；

第四步：当节点i接收到节点j的响应分组后，首先根据ID_j查找自身存储的三元组，如果不存在ID_j的信息则认为ID_j非法，放弃认证过程；如果存在ID_j的信息，则对该节点的身份进行认证，根据接收到的认证响应和存储在自身三元组中的信息重组消息M，并利用节点j的公钥Q_j对签名S(k_j，M)进行验证，如果验证结果正确则说明节点j是合法的，否则节点i终止认证；

第五步：当节点i确认节点j身份合法后，在提取节点j认证响应中的信息后，发送如下认证分组给节点j；

IDi

S(ki，M′)

其中ID_i字段：表示节点i的身份标识；S(k_i，M′)字段：表示节点i利用自身私钥k_i对消息M′做出的签名，其中 $M^{\&prime;}=H\left({\mathrm{ID}}_i\right|\left|C_i\right|\left|H\left(P_i\left(C_j\right)\right)\right||N_i\&CirclePlus;N_j),$ 这里P_i(C_j)为节点i在C_j为挑战时其PUF的响应，H(P_i(C_j))是P_i(C_j)做单向哈希运算得到的值；

第六步：当节点j接收到节点i的认证分组后，采取与第四步相同的方法对i的认证分组进行认证，如果认证不成功，则说明i是非法的，终止认证过程；如果认证成功，则说明i是合法的，整个双向认证过程结束。

本发明的有益效果是：由于身份认证过程中认证双方需要根据对方提供的挑战来生成相应的PUF应答，而PUF又是与节点中的芯片不可分割且不可复制，所以保证了节点不能被复制攻击；由于节点每次在申请认证时发送的分组中都设有一次性的随机数，且签名消息也与随机数有关，所以避免了攻击者进行重放攻击；同时节点内部与认证相关的三元组信息和PUF同在一个芯片内部，因此即使攻击者获取了这些信息，但由于破坏了PUF特性，也不能对网络中其他节点构成威胁。

附图说明

图1是网络节点内部存储的三元组结构。

图2是网络节点相互认证流程图。

具体实施方式

下面结合附图和实施例对本发明做详细说明。

以下是实施例中所用到的名词和符号说明。

参照附图，本发明节点双向身份认证方法分为两个阶段：初始化阶段和认证阶段。各阶段及其具体步骤如下：

1.初始化阶段

初始化阶段需要在可信第三方辅助下完成，假设传感器网络中有n个节点，节点编号从1到n，身份标识分别ID₁，ID₂，ID₃.....ID_n，初始化阶段具体步骤如下：

1)可信第三方为网络中的每个节点随机生成一个挑战。例如为节点i生成一个挑战C_i。

2)可信第三方选择一个单向哈希函数H(如SHA1)和一种公钥签名算法S(如椭圆曲线签名算法)，并为网络中每个节点选择基于该公钥算法的一个公私钥对(Q，k)，例如为节点i选择的公私钥对为(Q_i，k_i)；其中公钥Q_i可以公开，私钥k_i只有节点i自己知道。

3)可信第三方将每个节点的挑战输入到所有其他节点当中，并利用哈希函数H对获得的其他节点的PUF响应进行哈希操作，例如可信第三方将节点i的挑战C_i输入到其他节点的PUF中，对响应结果进行哈希操作后便获得H(P₁(C_i))，H(P₂(C_i))，.....，H(P_i-1(C_i))，H(P_i+1(C_i))，......，H(P_n(C_i))等值。

4)可信第三方将以下数据下载到每个节点当中：该节点的身份标识，该节点的挑战，该节点的公私钥对，哈希函数H及公钥签名算法的相关实现程序，同时可信第三方为每个节点下载如图1所示的存储有其他节点相关信息的三元组表。例如对节点i而言，它内部则存储有ID_i，C_i，(Q_i，k_i)，哈希函数H和公钥签名算法S的实现程序，以及图1所示三元组表。

2.认证阶段

1)发送广播认证请求分组。无线网络中节点进行互相通信之前往往要事先广播认证请求分组进行邻居发现，发送认证请求分组的目的是激活整个认证过程。广播认证请求分组内容主要包括请求分组发送节点身份标识、发送节点的挑战以及发送节点生成的一次性随机数。为了防止重放攻击，节点每次发送广播认证请求分组时，随机数都是变化的。例如节点i发送的广播认证请求分组格式如下：

IDi

Ci

Ni

其中：

--ID_i为节点i的身份标识；

--C_i为节点i的挑战；

--N_i为节点i在本次广播中生成的一次性随机数，在认证过程没有结束之前，该随机数会暂存在节点i内。

2)发送认证应答1。当传感器网络中的某个节点，例如节点j，接收到广播请求认证分组后，如果希望与该发送节点(节点i)建立链接，则进行如下操作：

a)首先节点j查看是否短时间内收到过同样认证请求分组，如果收到过同样的分组则说明存在重放攻击，此时放弃认证过程，否则执行下一步操作。

b)节点j在自身三元组表中查找请求认证节点i的身份标识，如果其三元组表中没有节点i的身份标识及其表项，说明系统初始化时并没有节点i，则放弃认证过程；否则执行下一步操作。

c)节点j提取认证请求分组中的节点i的挑战C_i和随机数N_i；将挑战C_i输入到自身的PUF当中，取得响应P_j(C_i)；节点j利用哈希函数H对响应P_j(C_i)做哈希操作得到H(P_j(C_i))，同时节点j生成一次性随机数N_j。为了防止PUF的响应被窃取，节点j此时删除响应P_j(C_i)。在认证过程未结束之前随机数N_i，N_j和挑战C_i暂存在节点j内部。

d)节点j利用自身的私钥k_j和公钥签名算法对消息 $M=H\left({\mathrm{ID}}_j\right|\left|C_j\right|\left|H\left(P_j\left(C_i\right)\right)\right||N_i\&CirclePlus;N_j)$ 进行签名得S(k_j，M)。同时发送如下消息作为认证应答1给节点i。

IDj

Cj

S(kj，M)

Nj

其中：

--ID_j为节点j的身份标识；

--C_j为节点j的挑战；

--N_j为节点j在本次广播中生成的一次性随机数，在认证过程没有结束之前，该随机数会暂存在节点j内；

--S(k_j，M)为节点j利用自身私钥对消息M的签名。

3)验证认证应答1。当节点i接收到来自节点j的认证应答1后，需要验证节点j的合法性，具体操作如下：

a)节点i提取认证应答1分组中节点j的身份标识ID_j、挑战C_j和随机数N_j；节点i在自身三元组表中查找节点j的身份标识ID_j，如果其三元组表中没有节点j的身份标识，则放弃认证过程；否则执行下一步操作。

b)节点i利用提取的ID_j，C_j，N_j和自身存储的H(P_j(C_i))以及N_i等信息重新构建消息 $M=H\left({\mathrm{ID}}_j\right|\left|C_j\right|\left|H\left(P_j\left(C_i\right)\right)\right||N_i\&CirclePlus;N_j),$ 并利用存储的节点j的公钥Q_j对签名S(k_j，M)进行验证。如果验证不通过则说明节点j非法，放弃认证过程。否则说明节点j合法，继续执行下一步操作。需要指出的是：在认证过程未结束之前随机数N_j暂存在节点i内部。

4)发送认证应答2。当节点i经过验证确定节点j合法后，为了能够使得节点j对自己的身份进行验证，则将发送认证应答2给节点j。具体操作如下：

a)节点i将节点j的挑战C_j输入到自身PUF当中，取得响应P_i(C_j)；同时利用哈希函数H对该响应做哈希操作得到H(P_i(C_j))，并将P_i(C_j)删除，以防攻击者窃取到PUF的响应。

b)节点i利用自身的私钥K_i和公钥签名算法S对消息 $M^{\&prime;}=H\left({\mathrm{ID}}_i\right|\left|C_i\right|\left|H\left(P_i\left(C_j\right)\right)\right||N_i\&CirclePlus;N_j)$ 进行签名得S(k_i，M′)。同时删除认证过程中暂时存储的随机数N_i，N_j和C_j，并发送如下消息作为认证应答2给节点j。

IDi

S(ki，M′)

其中：

--ID_i为节点i的身份标识；

--S(k_i，M′)为节点i利用自身私钥对消息M′的签名。

5)验证认证应答2。当节点j接收到节点i的认证应答2后，需要对节点i的合法性进行验证。具体操作如下：

a)节点j利用从认证应答2中提取的ID_i以及自身存储的C_i，N_i，N_j和H(P_i(C_j))等信息重新构建消息 $M^{\&prime;}=H\left({\mathrm{ID}}_i\right|\left|C_i\right|\left|H\left(P_i\left(C_j\right)\right)\right||N_i\&CirclePlus;N_j),$ 并利用在三元组表中存储的节点i的公钥Q_i对签名S(k_i，M′)进行验证。如果验证不通过则说明节点i非法，放弃认证过程。否则说明节点i合法，此时双向身份认证过程成功结束，节点j删除认证过程中暂时存储的N_i，N_j和C_i等信息。

Claims (2)

1.无线传感器网络节点双向身份认证方法，其特征在于，包括以下步骤：

第一步：初始化节点：假设需要相互认证的两个节点分别为i和j，则初始化阶段中可信第三方向节点i内部下载有关节点j的认证信息三元组<ID_j，Q_j，H(P_j(C_i))>，向节点j内部下载有关节点i的认证信息三元组<ID_i，Q_i，H(P_i(C_j))>；同时将公钥签名算法S、单向哈希函数H、节点的身份标识及其挑战下载到节点当中；

第二步：节点i首先在网络中广播如下认证请求分组报文来完成邻居发现；

  ID_i   C_i   N_i

其中ID_i字段：表示节点i的身份标识；C_i字段：表示节点i发出的挑战；N_i字段：表示节点i选取的一次性随机数；

第三步：当邻居节点j接收到节点i的认证请求分组后，节点j根据ID_i查找自身是否存储有节点i的三元组信息，如果不存节点i的信息则认为ID_i非法，放弃认证过程，如果存在ID_i的信息，则发送如下认证响应分组给节点i；

  ID_j   C_j   S(k_j，M)   N_j

其中ID_j字段：表示节点j的身份标识；C_j字段：表示节点j发出的挑战；N_j字段：表示节点j选取的一次性随机数；S(k_j，M)字段：表示节点j利用自身私钥k_j对消息M做出的签名，其中 $M=H\left({\mathrm{ID}}_j\right|\left|C_j\right|\left|H\left(P_j\left(C_i\right)\right)\right||N_i\&CirclePlus;N_j),$ 这里P_j(C_i)为节点j在C_i为挑战时其PUF的响应；H(P_j(C_i))是P_j(C_i)做单向哈希运算得到的值；P(C)表示PUF在挑战C激励下的输出，||表示连接符；

第四步：当节点i接收到节点j的响应分组后，首先根据ID_j查找自身存储的三元组，如果不存在ID_j的信息则认为ID_j非法，放弃认证过程；如果存在ID_j的信息，则对该节点的身份进行认证，根据接收到的认证响应和存储在自身三元组中的信息重组消息M，并利用节点j的公钥Q_j对签名S(k_j，M)进行验证，如果验证结果正确则说明节点j是合法的，否则节点i终止认证；

第五步：当节点i确认节点j身份合法后，在提取节点j认证响应中的信息后，发送如下认证分组给节点j；

  ID_i   S(k_i，M′)

其中ID_i字段：表示节点i的身份标识；S(k_i，M′)字段：表示节点i利用自身私钥k_i对消息M′做出的签名，其中 $M^{\&prime;}=H\left({\mathrm{ID}}_i\right|\left|C_i\right|\left|H\left(P_i\left(C_j\right)\right)\right||N_i\&CirclePlus;N_j),$ 这里P_i(C_j)为节点i在C_j为挑战时其PUF的响应，H(P_i(C_j))是P_i(C_j)做单向哈希运算得到的值；

第六步：当节点j接收到节点i的认证分组后，采取与第四步相同的方法对i的认证分组进行认证，如果认证不成功，则说明i是非法的，终止认证过程；如果认证成功，则说明i是合法的，整个双向认证过程结束。

2.如权利要求1所述的无线传感器网络节点双向身份认证方法，其特征在于，其中初始化阶段具体步骤如下：

1)可信第三方为网络中的每个节点随机生成一个挑战；

2)可信第三方选择一个单向哈希函数H和一种公钥签名算法S，并为网络中每个节点选择基于该公钥算法的一个公私钥对(Q，k)，其中公钥Q_i公开，私钥k_i只有节点i自己知道；

3)可信第三方将每个节点的挑战输入到所有其他节点当中，并利用哈希函数H对获得的其他节点的PUF响应进行哈希操作；

4)可信第三方将以下数据下载到每个节点当中：该节点的身份标识，该节点的挑战，该节点的公私钥对，哈希函数H及公钥签名算法的相关实现程序，同时可信第三方为每个节点下载存储有其他节点相关信息的三元组表。

Images