CN102546650A - 无线传感器网络与因特网互联通信的端到端安全保障方法 - Google Patents

无线传感器网络与因特网互联通信的端到端安全保障方法 Download PDF

Info

Publication number
CN102546650A
CN102546650A CN2012100182138A CN201210018213A CN102546650A CN 102546650 A CN102546650 A CN 102546650A CN 2012100182138 A CN2012100182138 A CN 2012100182138A CN 201210018213 A CN201210018213 A CN 201210018213A CN 102546650 A CN102546650 A CN 102546650A
Authority
CN
China
Prior art keywords
wireless sensor
sensor network
key
node
support method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2012100182138A
Other languages
English (en)
Inventor
何泾沙
于虹
肖鹏
张婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN2012100182138A priority Critical patent/CN102546650A/zh
Publication of CN102546650A publication Critical patent/CN102546650A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供的无线传感器网络与因特网互联通信的端到端安全保障方法,将一部分认证和访问控制的工作转移到无线传感器网络的网关中进行,并采用基于椭圆曲线签密技术的非对称密钥协商方式,将计算量大的解签密运算放在Internent远程终端中进行,而对称密钥解密运算放在传感器节点中进行,与改进的基于ECC的SSL协议和改进的基于椭圆曲线身份的TLS协议相比,有效减少了传感器节点的能量消耗,加强了访问控制和隐私保护并能抵抗DoS攻击。

Description

无线传感器网络与因特网互联通信的端到端安全保障方法
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种无线传感器网络与因特网互联通信的端到端安全保障方法。
背景技术
随着无线传感器网络技术的飞速发展,迫切地需要利用IP技术(特别是IPv6技术)将传感器网络与Internet进行互联,使用远程终端(包括PC、手机、PDA等)通过Internet对传感器节点进行远程访问、控制和管理,将互联网中人与人之间的连接和通信扩展到人与物、物与物之间的连接和通信,实现物联网的最终目的。在这种开放的环境中,当涉及到一些敏感信息的传输和应用时,为传感器节点与Internent远程终端的通信建立端到端的安全连接是十分关键和急待解决的问题。现有Internet中的端到端安全通信协议(比如SSL和TLS协议)都是为两个Internet终端进行互联通信而设计的,都是基于公钥体制的对称的认证和密钥管理方案,因为传感器节点的资源有限,这些方案无法直接应用于无线传感器网络与Internet的互联通信中。
现有的一些改进方案都是基于SSL或TLS协议的,比如用基于ECC的D-H密钥协商算法替代SSL中基于RSA的D-H密钥协商算法做认证及密钥交换,用基于椭圆曲线身份密码体制的D-H密钥协商算法或双线性对运算替代TLS中基于公钥证书的D-H密钥协商算法做认证及密钥交换。这两种改进方案虽然都减少了传感器节点的能量消耗,但是传感器节点端的负载依然与Internent远程终端的负载相当,而传感器节点端的能力却比Internent远程终端弱得多。另外,改进的方案无法提供对Internent远程终端的隐私保护,也没有实现访问控制并抵抗DoS攻击。
因此,当下需要迫切解决的一个技术问题就是:如何能够提出一种有效的措施,以解决现有技术存在的问题。
发明内容
本发明所要解决的技术问题是提供一种无线传感器网络与因特网互联通信的端到端安全保障方法,有效减少传感器节点的能量消耗,加强访问控制和隐私保护并能抵抗DoS攻击。
为了解决上述技术问题,本发明提供了一种无线传感器网络与因特网互联通信的端到端安全保障方法,包括:
部署若干个无线传感器子网并进行参数设定;
用户提供身份ID并验证身份的有效性;
有效身份的用户发送访问请求并验证访问权限;
具有访问权限的用户与传感器节点进行密钥协商,并与节点进行密钥的确认;
确认有效时进行消息传送。
进一步地,所述参数设定包括全局网络参数设定、节点参数设定和用户参数设定。
进一步地,所述全局网络参数包括乘法群
Figure BDA0000132599810000021
一个大于2160的素数p、有限域Fp、有限域Fp上的椭圆曲线E(Fp)、椭圆曲线E(Fp)上的一个基点G、G在椭圆曲线E(Fp)上的一个素数阶n,安全长度等于|p|、能将任意长度的字符串转换成椭圆曲线E(Fp)上的一个点的哈希映射H、强无碰撞的单向杂凑函数hash、带密钥k的强无碰撞的单向杂凑函数hk、采用密钥k的对称加密算法的Ek、以及与Ek对应的采用密钥k的对称解密算法Dk
进一步地,所述节点参数设定包括节点所属子网的网络密钥、ID、私钥、公钥、有效期限和证书。
进一步地,所述用户参数设定包括用户所能访问子网的通行证、私钥、公钥、有效期限和证书。
进一步地,所述Fp上的椭圆曲线,满足E:y2≡(x3+ax+b)mod p,其中a,b∈Fp,满足a,b∈Fp且4a3+27b2≠0(modp);
进一步地,所述乘法群
Figure BDA0000132599810000031
进一步地,所述有限域Fp=[0,1,...,p-1]。
综上,本发明提供的无线传感器网络与因特网互联通信的端到端安全保障方法,将一部分认证和访问控制的工作转移到无线传感器网络的网关中进行,并采用基于椭圆曲线签密技术的非对称密钥协商方式,将计算量大的解签密运算放在Internent远程终端中进行,而对称密钥解密运算放在传感器节点中进行,与改进的基于ECC的SSL协议和改进的基于椭圆曲线身份的TLS协议相比,有效减少了传感器节点的能量消耗,加强了访问控制和隐私保护并能抵抗DoS攻击。
附图说明
图1是本发明的一种无线传感器网络与因特网互联通信的端到端安全保障方法的流程示意图;
图2是本发明的无线传感器网络与Internet互联通信的示意图;
图3是本发明的Internet用户与传感器节点的交互流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1所示一种无线传感器网络与因特网互联通信的端到端安全保障方法的流程示意图,包括:
S101,部署若干个无线传感器子网并进行参数设定;
S102,用户提供身份ID并验证身份的有效性;
S103,有效身份的用户发送访问请求并验证访问权限;
S104,具有访问权限的用户与传感器节点进行密钥协商,并与节点进行密钥的确认;
S105,确认有效时进行消息传送。具体的参照图2以用户U通过远程终端设备访问节点i为例。
1)部署阶段
服务提供商为他所提供的服务设置系统参数,描述如下:
Figure BDA0000132599810000041
乘法群 Z n * = [ 1,2 , . . . , n - 1 ] ;
p:p是一个大素数且p>2160
Fp:有限域Fp=[0,1,...,p-1];
E(Fp):有限域Fp上的椭圆曲线,满足E:y2≡(x3+ax+b)modp,其中a,b∈Fp,满足a,b∈Fp且4a3+27b2≠0(modp);
G:椭圆曲线E(Fp)上的一个基点
n:G在椭圆曲线E(Fp)上的一个素数阶,安全长度约等于|p|;
H:哈希映射,能将任意长度的字符串转换成椭圆曲线E(Fp)上的一个点;
hash:  强无碰撞的单向杂凑函数;
hk:带密钥k的强无碰撞的单向杂凑函数;
Ek:采用密钥k的对称加密算法;
Dk:采用密钥k的对称解密算法,与Ek对应。
服务提供商部署若干个无线传感器子网,每个子网有一个网关,网关是可信任的且能力强大无能量限制。对于传感器节点i所在的子网j,网关标识为
Figure BDA0000132599810000043
服务提供商选择一个随机整数
Figure BDA0000132599810000044
作为子网j的网络密钥。对于子网j中的每一个传感器节点,比如节点i,被分配一个唯一的IDi,一个私钥
Figure BDA0000132599810000045
一个公钥Pi=(Si·G)modp,一个有效期限Ti。服务提供商用自己的私钥
Figure BDA0000132599810000046
对IDi,Pi,Ti用ECDSA算法进行签名生成节点i的证书Certi。然后生成sj·H(subj)。服务提供商将子网j中所有传感器节点的Certi以及sj·H(subj)和他自己的公钥PSP=(SSP·G)modp存储在子网j的网关中。
2)  注册阶段
用户U向服务提供商告知自己的身份IDU,服务提供商验证该身份的有效性,为其分配一个私钥
Figure BDA0000132599810000047
一个公钥PU=(SU·G)modp,一个有效期限TU。并用自己的私钥SSP对IDU,PU,TU用ECDSA算法进行签名生成U的证书CertU。接着对该用户进行授权,比如该用户只能够访问子网j中的传感器节点,则计算通行证sj·H(IDU)·H(subj),将其与H(IDU)、CertU和他自己的公钥PSP一起通过安全的渠道授予该用户,并将部署阶段设置的系统参数也告知该用户。
3)请求阶段
所有发送的信息都需要附加一个消息认证码来确保整条消息在发送过程中没有被篡改,这个消息认证码可以用MD5、SHA等算法生成,所有收到的消息也都需要先验证消息认证码,以下描述过程中不再赘述。
3.1U发送一条请求消息包括CertU、H(IDU)和sj·H(IDU)·H(subj)和当前的时戳TSU给节点i。
3.2当该消息到达网关处,网关检查这条消息的目的地址是否为该子网中的某一传感器节点,如果不是,则直接丢弃这条消息。否则验证时戳TSU是否新鲜,然后用服务提供商的公钥PSP用ECDSA算法对CertU进行解签名,验证CertU是否有效,如果有效,网关得到IDU的有效公钥PU。接着将收到的H(IDU)与他自己存储的sj·H(subj)进行点乘运算,将得到的结果与接收到的sj·H(IDU)·H(subj)作比较,如果不相等,证明U无权访问该网络中的任何节点,包括节点i,网关终止此次会话。如果相等,证明U有权访问子网j中的节点i。
3.3网关记录此次U与i的会话,将存储的i的证书Certi发送给U。U用同样的方法验证Certi的有效性来得到i的有效公钥Pi。如果验证通过,U发送一个确认信息给网关。网关收到该确认信息后,将H(IDU)、PU用他与节点i之间的共享密钥加密后发送给i。
4)密钥协商阶段
4.1节点i选择一个随机整数
Figure BDA0000132599810000051
计算临时密钥k=hash((x·PU)modp),将其按照将要采用的加密算法和签名算法所需要的密钥长度分成临时加密密钥k1和临时签名密钥k2
4.2节点i用临时加密密钥k1生成
Figure BDA0000132599810000052
用临时签名密钥k2生成TSi为节点i当前的时戳。再生成签名s=x/(r+Si),发送签密密文{c,r,s}给U。
4.3  U计算u=(s·SU)modn,恢复临时密钥k=hash((u·Pi+u·r·G)modp),将其按照将要采用的解密算法和签名验证算法所需要的密钥长度分成临时解密密钥k1和临时签名验证密钥k2
4.4U用临时解密密钥k1解密
Figure BDA0000132599810000061
如果TSi是新鲜的,IDi和H(IDU)是有效的,则用临时签名验证密钥k2计算
Figure BDA0000132599810000062
如果r*与接收到的r相等,U接受xG,否则U终止会话。
4.5U选择一个随机整数
Figure BDA0000132599810000063
计算共享密钥θ=y·(xG),用临时密钥k1生成
Figure BDA0000132599810000064
用临时密钥k2生成
Figure BDA0000132599810000065
TSU为U当前的时戳。U发送{c′,r′}给节点i。
5)密钥确认阶段
5.1节点i用临时密钥k1解密
Figure BDA0000132599810000066
计算共享密钥θ*=x·(yG)。如果TSU是新鲜的,IDi是有效的,节点用接收到的IDU计算H(IDU),如果计算的结果与先前收到的H(IDU)相等,则证明IDU是有效的,至此节点i得知了U的真实身份。i计算
Figure BDA0000132599810000067
如果r′*与接收到的r′相等,节点i接受θ*=x·(yG)作为共享密钥并确信U已经拥有此密钥。否则节点i终止会话。
5.2节点i利用共享密钥θ*=x·(yG)生成
Figure BDA0000132599810000068
TS′i是当前节点i的时戳。节点i将{v}发送给U。
5.3U利用他计算的共享密钥θ=y·(xG)解密{v},如果TS′i是新鲜的,IDi和IDU是有效的,U接受θ=y·(xG)作为共享密钥并确信i已经拥有此密钥。否则U终止会话。
至此,U可以发送任何用该共享密钥加密的请求消息给节点i并等到i的回复消息来访问、控制和管理节点i。整个交互过程可参见图3。
以上对本发明所提供的无线传感器网络与因特网互联通信的端到端安全保障方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于,包括:
部署若干个无线传感器子网并进行参数设定;
用户提供身份ID并验证身份的有效性;
有效身份的用户发送访问请求并验证访问权限;
具有访问权限的用户与传感器节点进行密钥协商,并与节点进行密钥的确认;
确认有效时进行消息传送。
2.根据权利要求1所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述参数设定包括全局网络参数设定、节点参数设定和用户参数设定。
3.根据权利要求2所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述全局网络参数包括乘法群 
Figure FDA0000132599800000011
一个大于2160的素数p、有限域Fp、有限域Fp上的椭圆曲线E(Fp)、椭圆曲线E(Fp)上的一个基点G、G在椭圆曲线E(Fp)上的一个素数阶n,安全长度等于|p|、能将任意长度的字符串转换成椭圆曲线E(Fp)上的一个点的哈希映射H、强无碰撞的单向杂凑函数hash、带密钥k的强无碰撞的单向杂凑函数hk、采用密钥k的对称加密算法的Ek、以及与Ek对应的采用密钥k的对称解密算法Dk
4.根据权利要求2所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述节点参数设定包括节点所属子网的网络密钥、ID、私钥、公钥、有效期限和证书。
5.根据权利要求2所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述用户参数设定包括用户所能访问子网的通行证、私钥、公钥、有效期限和证书。
6.根据权利要求3所述的无线传感器网络与因特网互联通信的端到端 安全保障方法,其特征在于:
所述Fp上的椭圆曲线,满足E:y2≡(x3+ax+b)modp,其中a,b∈Fp,满足a,b∈Fp 且4a3+27b2≠0(modp)。
7.根据权利要求3所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述乘法群
Figure FDA0000132599800000021
8.根据权利要求3所述的无线传感器网络与因特网互联通信的端到端安全保障方法,其特征在于:
所述有限域Fp=[0,1,...,p-1]。 
CN2012100182138A 2012-01-19 2012-01-19 无线传感器网络与因特网互联通信的端到端安全保障方法 Pending CN102546650A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2012100182138A CN102546650A (zh) 2012-01-19 2012-01-19 无线传感器网络与因特网互联通信的端到端安全保障方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2012100182138A CN102546650A (zh) 2012-01-19 2012-01-19 无线传感器网络与因特网互联通信的端到端安全保障方法

Publications (1)

Publication Number Publication Date
CN102546650A true CN102546650A (zh) 2012-07-04

Family

ID=46352608

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2012100182138A Pending CN102546650A (zh) 2012-01-19 2012-01-19 无线传感器网络与因特网互联通信的端到端安全保障方法

Country Status (1)

Country Link
CN (1) CN102546650A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036674A (zh) * 2012-12-04 2013-04-10 同济大学 基于手机动态密码的电脑使用权限控制方法
CN103647762A (zh) * 2013-11-27 2014-03-19 清华大学 基于访问路径的IPv6物联网节点身份认证方法
CN103856463A (zh) * 2012-12-04 2014-06-11 航天信息股份有限公司 基于密钥交换协议的轻量目录访问协议实现方法和装置
CN105610583A (zh) * 2014-11-04 2016-05-25 上海华虹集成电路有限责任公司 用于抵御错误曲线攻击的ecdsa方法
CN106060070A (zh) * 2016-07-01 2016-10-26 中国人民解放军国防科学技术大学 基于身份密码系统的tls握手协议
CN107181750A (zh) * 2017-05-27 2017-09-19 南京发艾博光电科技有限公司 一种智能电网无线传感器网络的监测方法
CN108632035A (zh) * 2018-05-17 2018-10-09 湖北工业大学 一种带有访问控制的不经意传输系统及方法
CN110351727A (zh) * 2019-07-05 2019-10-18 北京邮电大学 一种适于无线传感网络的认证与密钥协商方法
CN110691358A (zh) * 2019-11-14 2020-01-14 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制系统
CN111885058A (zh) * 2020-07-23 2020-11-03 伊拉克巴士拉大学 物联网云中端到端智能设备通信的轻量级消息传递方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005459B (zh) * 2007-01-18 2011-01-05 西安电子科技大学 基于密钥链的无线传感器访问控制方法
CN102035647A (zh) * 2010-12-24 2011-04-27 北京工业大学 一种增强保护的非对称密钥协商方法
CN102035646A (zh) * 2010-12-24 2011-04-27 北京工业大学 一种增强保护的混合密钥协商方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005459B (zh) * 2007-01-18 2011-01-05 西安电子科技大学 基于密钥链的无线传感器访问控制方法
CN102035647A (zh) * 2010-12-24 2011-04-27 北京工业大学 一种增强保护的非对称密钥协商方法
CN102035646A (zh) * 2010-12-24 2011-04-27 北京工业大学 一种增强保护的混合密钥协商方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
曹雪菲: "基于身份认证协议的理论及应用研究", 《西安电子科技大学博士论文》 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103856463A (zh) * 2012-12-04 2014-06-11 航天信息股份有限公司 基于密钥交换协议的轻量目录访问协议实现方法和装置
CN103036674B (zh) * 2012-12-04 2015-06-03 同济大学 基于手机动态密码的电脑使用权限控制方法
CN103036674A (zh) * 2012-12-04 2013-04-10 同济大学 基于手机动态密码的电脑使用权限控制方法
CN103647762A (zh) * 2013-11-27 2014-03-19 清华大学 基于访问路径的IPv6物联网节点身份认证方法
CN103647762B (zh) * 2013-11-27 2016-08-17 清华大学 基于访问路径的IPv6物联网节点身份认证方法
CN105610583A (zh) * 2014-11-04 2016-05-25 上海华虹集成电路有限责任公司 用于抵御错误曲线攻击的ecdsa方法
CN105610583B (zh) * 2014-11-04 2018-10-26 上海华虹集成电路有限责任公司 用于抵御错误曲线攻击的ecdsa方法
CN106060070A (zh) * 2016-07-01 2016-10-26 中国人民解放军国防科学技术大学 基于身份密码系统的tls握手协议
CN106060070B (zh) * 2016-07-01 2019-05-10 中国人民解放军国防科学技术大学 基于身份密码系统的tls握手协议
CN107181750B (zh) * 2017-05-27 2020-07-17 南京法艾博光电科技有限公司 一种智能电网无线传感器网络的监测方法
CN107181750A (zh) * 2017-05-27 2017-09-19 南京发艾博光电科技有限公司 一种智能电网无线传感器网络的监测方法
CN108632035A (zh) * 2018-05-17 2018-10-09 湖北工业大学 一种带有访问控制的不经意传输系统及方法
CN108632035B (zh) * 2018-05-17 2021-02-19 湖北工业大学 一种带有访问控制的不经意传输系统及方法
CN110351727B (zh) * 2019-07-05 2020-06-02 北京邮电大学 一种适于无线传感网络的认证与密钥协商方法
CN110351727A (zh) * 2019-07-05 2019-10-18 北京邮电大学 一种适于无线传感网络的认证与密钥协商方法
CN110691358A (zh) * 2019-11-14 2020-01-14 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制系统
CN110691358B (zh) * 2019-11-14 2022-10-14 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制系统
CN111885058A (zh) * 2020-07-23 2020-11-03 伊拉克巴士拉大学 物联网云中端到端智能设备通信的轻量级消息传递方法

Similar Documents

Publication Publication Date Title
Sucasas et al. An autonomous privacy-preserving authentication scheme for intelligent transportation systems
CN102546650A (zh) 无线传感器网络与因特网互联通信的端到端安全保障方法
Lu et al. A dynamic privacy-preserving key management scheme for location-based services in VANETs
Kamat et al. An identity-based security framework for VANETs
Li et al. Efficient certificateless access control for industrial Internet of Things
Peng et al. Efficient and provably secure multireceiver signcryption scheme for multicast communication in edge computing
CN104270249A (zh) 一种从无证书环境到基于身份环境的签密方法
Nkenyereye et al. A Fine-Grained Privacy Preserving Protocol over Attribute Based Access Control for VANETs.
CN105897416B (zh) 一种基于标识密码系统的前向端到端安全即时通信方法
CN104301108A (zh) 一种从基于身份环境到无证书环境的签密方法
CN101162999A (zh) 基于身份的公钥密码系统与加密地址在网络中的认证方法
Timpner et al. Trustworthy parking communities: Helping your neighbor to find a space
Jebri et al. An efficient scheme for anonymous communication in IoT
Choi et al. A security framework with strong non-repudiation and privacy in VANETs
Liu et al. An efficient message access quality model in vehicular communication networks
CN102594553A (zh) Ptp协议密钥分配方法及装置
Ananth et al. An Efficient Privacy Preservation in Vehicular Communications Using EC-Based Chameleon Hashing
Mamun et al. Secure VANET applications with a refined group signature
Daza et al. Cryptographic techniques for mobile ad-hoc networks
Wang et al. An anonymous data access scheme for VANET using pseudonym-based cryptography
Lai et al. SPGS: a secure and privacy‐preserving group setup framework for platoon‐based vehicular cyber‐physical systems
Rabadi Implicit certificates support in IEEE 1609 security services for wireless access in vehicular environment (WAVE)
Bamasag et al. Efficient multicast authentication in internet of things
Sun et al. Ridra: A rigorous decentralized randomized authentication in VANETs
Ding et al. Efficient authentication and key agreement protocol with anonymity for delay tolerant networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20120704