CN103313246B - 一种无线传感网双因子认证方法和装置及其网络 - Google Patents
一种无线传感网双因子认证方法和装置及其网络 Download PDFInfo
- Publication number
- CN103313246B CN103313246B CN201310221333.2A CN201310221333A CN103313246B CN 103313246 B CN103313246 B CN 103313246B CN 201310221333 A CN201310221333 A CN 201310221333A CN 103313246 B CN103313246 B CN 103313246B
- Authority
- CN
- China
- Prior art keywords
- authentication
- node
- user
- gateway
- gateway node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 230000008569 process Effects 0.000 claims abstract description 37
- 230000008447 perception Effects 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims abstract description 4
- 238000004364 calculation method Methods 0.000 claims description 21
- 230000002457 bidirectional effect Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 102000044159 Ubiquitin Human genes 0.000 description 1
- 108090000848 Ubiquitin Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000013433 optimization analysis Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种无线传感网双因子认证方法和装置及其网络,该装置包括互相通信连接的网关节点、智能终端和感知节点,还包括双因子认证模块,所述双因子认证模块采用基于Merkle哈希树的无线传感网双因子认证方法,该方法包括如下步骤:网关预认证步骤,基于Merkle哈希树的可抵御DoS攻击的网关预认证;网关感知节点间双向认证步骤,在感知节点完成了对网关节点访问请求的认证之后,网关节点对感知节点进行认证,双向认证过程中通过同感知节点ID连接后做单向哈希,从而形成感知节点个性化的安全参数,以抵御由于安全参数泄漏所引发的网关假冒和数据伪造攻击。本发明还提供了一种具有上述无线传感网双因子认证装置的互联计算机网络。
Description
技术领域
本发明涉及信息科学领域无线通信中的信息安全技术,特别是一种用于无线传感网中用户、网关和感知节点之间的安全认证的基于Merkle哈希树的无线传感网双因子认证方法和装置及其网络。
背景技术
目前,无线传感网由于其部署方便、普适存在以及能够抵御一定程度的意外事件等特性,在车辆追踪、环境监控、军事探测、地震活动测量、健康护理检测等方面应用广泛(参见I.F.Akyildiz,W.Su,Y.Sankarasubramaniam,and E.Cayirci,“Wireless sensor networks:a survey”,ComputerNetworks,第38卷,第393-422页,2002;C.Chee-Yee and S.P.Kumar,“Sensor networks:evolution,opportunities,and challenges”,Proceedings of the IEEE,第91卷,第1247-1256页,2003)。但由于无线通讯暴露在外监听容易,而且“攻击者不像传感节点设备一样资源受限”(参见D.R.Raymond and S.F.Midkiff,“Denial-of-Service in WirelessSensor Networks:Attacks and Defenses”,Pervasive Computing,IEEE,第7卷,第74-81页,2008),再加上网关节点、数据伪造等资源受限,所以无线传感网很容易遭受包括DoS、网关伪装、感知节点假冒等等多种攻击,因而设计一种适用于无线传感网的轻量级认证协议对于真正将无线传感器网络推向应用就变得至关重要。
以攻击者通过监听安全信息进行网关假冒的攻击为例,攻击者通过监听用户、网关和感知节点之间的通讯信息就可以获得相关的安全信息,如果用户、网关和感知节点之间的认证协议不够安全,攻击者就可以伪装成网关,直接从感知节点获取所需要的信息。再以恶意合法用户发起DoS攻击进行举例,恶意合法用户可以通过在短时间内发起大量合法认证请求来耗尽网关节点的计算和存储资源,最终使整个无线传感网无法工作。
2009年,Das等人提出了基本的无线传感网双因子认证协议,仅仅依赖于单向哈希和异或操作,通过构建“你所知”和“你所是”两个安全因子(参见G.Yang,D.S.Wong,H.Wang,and X.Deng,“Two-factor mutualauthentication based on smart cards and passwords”,Journal of Computerand System Sciences,第74卷,第1160-1172页,2008;D.Coffin,“Two-FactorAuthentication Expert Oracle and Java Security”,2011版,第177-208页。其中,“你所知”可以是密码,“你所是”可以是数字证书或者生物特征),首次提出了无线传感网双因子认证的概念,与在此之前的传感网认证协议(参见K.H.M.Wong,Z.Yuan,C.Jiannong,and W.Shengwei,“A dynamicuser authentication scheme for wireless sensor networks”,in SensorNetworks,Ubiquitous,and Trustworthy Computing,2006.IEEEInternational Conference on,2006,第8页;Z.Benenson,F.Garther,and D.Kesdogan,“User authentication in sensor networks”,in Informatic2004,Workshop on Sensor Networks,2004;R.Watro,D.Kong,S.-f.Cuti,C.Gardiner,C.Lynn,and P.Kruus,“TinyPK:securing sensor networkswith public key technology”,presented at the Proceedings of the2ndACM workshop on Security of ad hoc and sensor networks,Washington DC,USA,2004;Z.Benenson,N.Gedicke,and O.Raivio,“Realizing robustuser authentication in sensor networks”,in REALWSN2005,2005;T.Huei-Ru,J.Rong-Hong,and Y.Wuu,“An Improved Dynamic UserAuthentication Scheme for Wireless Sensor Networks”,in GlobalTelecommunications Conference,2007.GLOBECOM'07.IEEE,2007,第986-990页;K.Lee-Chun,“A novel dynamic user authentication schemefor wireless sensor networks”,in Wireless Communication Systems.2008.ISWCS'08.IEEE International Symposium on,2008,第608-612页)相比以较低的开销取得了一定程度的安全性,能够抵御重放、相同ID多次同时登陆等工具。但却容易遭受离线密码猜测、网关绕过、中间人、网关伪装、数据伪造、智能卡窃取、DoS等等多种攻击。后来又有很多研究者提出了各种改进的双因子认证协议(参见D.Nyang and M.-K.Lee,“Improvement of Das'sTwo-Factor Authentication Protocol in Wireless Sensor Networks.”,Cryptology ePrint Archive,2009;D.He,Y.Gao,S.Chan,C.Chen,andJ.Bu,“An Enhanced Two-factor User Authentication Scheme in WirelessSensor Networks”,Ad Hoc&Sensor Wireless Networks,第10卷,第361-371页,2010;M.K.Khan and K.Alghathbar,“Cryptanalysis and SecurityImprovements of‘Two-Factor User Authentication in Wireless SensorNetworks’”,Sensors,第10卷,第2450-2459页,2010;K.Lee-Chun,“A novel dynamic user authentication scheme for wireless sensornetworks”,in Wireless Communication Systems.2008.ISWCS'08.IEEEInternational Symposium on,2008,第608-612页;B.Vaidya,D.Makrakis,and H.T.Mouftah,“Improved two-factor user authentication in wirelesssensor networks”,in Wireless and Mobile Computing,Networking andCommunications(WiMob),2010IEEE6th International Conference on,2010,第600-606页;G.Yang,D.S.Wong,H.Wang,and X.Deng,“Two-factormutual authentication based on smart cards and passwords”,Journal ofComputer and System Sciences,第74卷,第1160-1172页,2008;D.Coffin,“Two-Factor Authentication Expert Oracle and Java Security”,2011版,第177-208页;P.Kumar,M.Sain,and L.Hoon Jae,“An efficienttwo-factor user authentication framework for wireless sensornetworks”,Proceedings of the201113th International Conference onAdvanced Communication Technology(ICACT).Smart Service Innovationthrough Mobile Interactivity,第574-578页,2011;B.Vaidya,J.J.Rodrigues,andJ.H.Park,“User authentication schemes withpseudonymity for ubiquitous sensor network in NGN”,InternationalJournal of Communication Systems,第23卷,第1201-1222页,2010;M.K.Khan and K.Alghathbar,“Cryptanalysis and Security Improvements of‘Two-Factor User Authentication in Wireless Sensor Networks'”,Sensors,第10卷,第2450-2459页,Mar2010;P.Kumar and L.Hoon-Jae,“Cryptanalysis on two user authentication protocols using smart cardfor wireless sensor networks”,2011Wireless Advanced(WiAd2011),第241-245页,2011),但在面对网关假冒、传感数据伪造、DoS攻击方面都有各种各样的漏洞,不能兼顾各种安全属性。
例如Vaidya等人在2010年提出的改进的双因子认证协议,通过在智能卡上进行预认证和在网关节点、感知节点之间进行双向认证能够解决大部分安全攻击,但面临感知节点俘获后网关伪装、感知节点俘获后的数据伪造和拒绝服务攻击等却无能为力。
现有的无线传感网双因子认证协议,有的是直接进行网关上的认证;有的是只在智能卡上进行了预认证。这两种方式均不能抵御由攻击者和恶意合法用户发起的拒绝服务攻击,健壮性方面存在不足。另外,考虑网关节点派发给感知节点的安全参数,有的是直接存储,有的是做了简单处理后存储,在感知节点被俘获且安全参数泄漏之后,都会引发网关假冒攻击和数据伪造攻击。无法保证多种形式的安全性。
另外,在现有的双因子认证协议中,网关节点和感知节点共享的秘密参数大都是通过明文存储的方式存于感知节点中,也有通过简单处理后再派发给感知节点的,这两种方式共同的缺点是,一旦俘获感知节点并且通过边信道攻击释放出秘密参数,就非常容易结合窃听发起网关假冒攻击和数据伪造攻击。
发明内容
本发明所要解决的技术问题是提供一种为抵御包括感知节点俘获后的网关伪装、感知节点俘获后的传感数据伪造、拒绝服务攻击等威胁的高效率、轻量级且兼顾各类安全属性的无线传感网双因子认证方法和装置及其网络。
为了实现上述目的,本发明提供了一种无线传感网双因子认证方法,其中,包括如下步骤:
网关预认证步骤,基于Merkle哈希树的可抵御DoS攻击的网关预认证;
网关感知节点间双向认证步骤,在感知节点完成了对网关节点访问请求的认证之后,网关节点对感知节点进行认证,双向认证过程中通过同感知节点ID连接后做单向哈希,从而形成感知节点个性化的安全参数,以抵御由于安全参数泄漏所引发的网关假冒和数据伪造攻击。
上述的无线传感网双因子认证方法,其中,所述网关预认证步骤进一步包括:
初始化步骤,生成Merkle哈希树;
注册步骤,以Merkle哈希树为基础构建访问证书,用户将自己的身份和哈希处理过的密码发给网关节点,网关节点通过已存储的Merkle哈希树构建面向个性化用户的访问控制证书,与双因子认证的安全参数一同写入智能卡派发给用户;
登陆/认证步骤,用户在智能卡上进行第一次预认证,第一次预认证成功后,在网关节点处通过Merkle哈希树进行第二次预认证,第二次预认证成功后进行主认证。
上述的无线传感网双因子认证方法,其中,所述初始化步骤中,利用离线计算,完成Merkle哈希树的创建,从而保证无线传感网在服务提供过程中轻量级安全认证的性能。
上述的无线传感网双因子认证方法,其中,所述注册步骤包括:
用户将自己的身份和哈希处理过的密码发给网关节点,
计算γi=h(pwi),
发送注册请求{IDi,γi}给所述网关节点,
在接受到所述注册请求之后,所述网关节点进行以下步骤:
计算ηi=h(IDi||γi||xs)⊕h(IDs||Kg),
计算αi=h(γi⊕xs),
计算βi=xs⊕h(IDs||γi),
选取Certi并存储映射关系IDi-Certi,
将IDs,IDi,h(·),ηi,αi,βi,Certi写入智能卡,
将所述智能卡发送给Ui,
其中,pwi——用户的密码,h(·)——单向哈希函数,IDx——身份,i下标的表示用户,s下标的表示智能卡,xs——网关节点创建,存储在感知节点里的共享秘密参数,Certi——分配给第i个用户的访问证书。
上述的无线传感网双因子认证方法,其中,所述登陆/认证步骤包括:
用户将自己的智能卡插入无线传感网的智能终端,智能终端要求用户输入其IDi和pwi,无线传感网终端进行以下步骤:
计算
计算
计算
认证
如果不成立,终止进程并通知用户,
否则计算
计算εi=h(ηi||xs||T),
从访问证书Certi中选择依然存活可用的
发送登陆请求给网关节点,
在接收到登陆信息之后,所述网关节点会进行以下步骤:
认证(T1-T)≤ΔT,如果不成立,终止进程,
如果成立,计算
其中,表示计算Certi中的上一级密钥节点,
认证
如果不成功,终止进程,并通知用户,
否则将标记为死亡并且计算χ*=DIDi⊕h(xs||T),
计算
认证
如果不通过便终止进程并通知用户,
否则计算σi=h(DIDi||h(Sn||xs)||T1),
发送{DIDi,σi,T1}给感知节点,
其中,DIDi——动态用户身份,——第i个用户的访问证书(Certi)的第j个密钥节点,ΔT——消息传输的估计时间间隔。
上述的无线传感网双因子认证方法,其中,所述感知节点接收到信息之后,进行以下步骤:
认证(T2-T1)≤ΔT,
如果不成立终止进程,
否则计算
认证
如果不成立,终止进程并拒绝请求,
否则计算
计算ωi=h(μi||h(Sn||xs)||T2),
发送{ωi,T2}给所述网关节点,所述网关节点进行对所述感知节点的认证。
上述的无线传感网双因子认证方法,其中,所述网关节点进行对所述感知节点的认证,包括以下步骤:
认证(T3-T2)≤ΔT,
如果不成立,取消进程,
否则计算
计算
认证
如果成立,通知感知节点服务请求合法,否则发送终止消息,
在接收到服务请求合法的通知之后,所述感知节点按照用户请求的数据回发数据。
上述的无线传感网双因子认证方法,其中,所述网关预认证步骤进一步包括:
密码更新步骤,用户将自己的智能卡插入无线传感网的智能终端,并输入{IDi,pwi,pwi'},其中,pwi'为新密码,所述智能终端和所述智能卡协作进行所述新密码认证并在以后的登陆认证中使用所述新密码。
上述的无线传感网双因子认证方法,其中,所述智能终端和所述智能卡协作进行所述新密码认证,包括如下步骤:
计算
计算
计算并认证,如果认证失败就终止进程,否则继续计算,
计算γi'=h(pwi')和ηi'=ηi⊕h(IDi||γi||xs)⊕h(IDi||γi'||xs),
计算αi'=h(γi'⊕xs),
计算βi'=xs⊕(IDs||γi'),
将ηi,αi,βi替换为ηi',αi',βi'。
为了更好地实现上述目的,本发明还提供了一种无线传感网双因子认证装置,包括网关节点、智能终端和感知节点,所述网关节点、智能终端和感知节点之间互相通信连接,其中,所述网关节点、智能终端和感知节点之间采用上述的基于Merkle哈希树的无线传感网双因子认证方法。
为了更好地实现上述目的,本发明还提供了一种具有上述的无线传感网双因子认证装置的互联计算机网络。
本发明的技术效果在于:本发明可抵御包括感知节点俘获后的网关伪装、感知节点俘获后的传感数据伪造、拒绝服务攻击等威胁,具有高效率、轻量级且兼顾各类安全属性的特点,特别适用于在大规模分布、节点能量资源受限、节点易被俘获的无线传感网系统中进行高效、安全、可靠的认证。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1为本发明一实施例的装置结构示意图;
图2为本发明一实施例的Merkle哈希树生成及访问证书生成图;
图3A为本发明中一实施例的注册步骤中基于Merkle哈希树的无线传感网双因子认证协议图;
图3B为本发明中一实施例的登陆/认证步骤中基于Merkle哈希树的无线传感网双因子认证协议图。
其中,附图标记
100 无线传感网双因子认证装置
200 互联计算机网络
1 网关节点
2 智能终端
3 感知节点
4 双因子认证模块
具体实施方式
下面结合附图对本发明的结构原理和工作原理作具体的描述:
参见图1,图1为本发明一实施例的装置结构示意图。本发明的无线传感网双因子认证装置100,包括网关节点1、智能终端2和感知节点3,所述网关节点1、智能终端2和感知节点3之间互相通信连接,其中,还包括双因子认证模块4,所述双因子认证模块4采用下述的基于Merkle哈希树的无线传感网双因子认证方法。本发明同时还提供了一种具有上述无线传感网双因子认证装置100的互联计算机网络200。
本发明的无线传感网双因子认证方法,包括如下步骤:
步骤100,网关预认证步骤,基于Merkle哈希树的可抵御DoS攻击的网关预认证;
步骤200,网关感知节点间双向认证步骤,在感知节点完成了对网关节点访问请求的认证之后,网关节点对感知节点进行认证,双向认证过程中通过同感知节点ID连接后做单向哈希,从而形成感知节点个性化的安全参数,以抵御由于安全参数泄漏所引发的网关假冒和数据伪造攻击。
本发明主要涉及以下内容:(1)基于Merkle哈希树的可抵御DoS攻击的网关预认证方法;(2)安全参数个性化的可抵御节点俘获后网关伪装和数据伪造的网关感知节点3间双向认证。
本发明由基于Merkle哈希树的预认证来保护主认证过程,这样不仅抵御了攻击者的DoS攻击,还能够抵御合法恶意用户的DoS攻击。
网关预认证步骤具体可包括如下步骤:
在初始化阶段,利用离线计算,完成相对消耗时间的Merkle哈希树的创建,从而保证无线传感网在服务提供过程中轻量级安全认证的性能,最大程度上适应无线传感器节点资源受限的特点。
注册阶段,网关节点1通过已存储的Merkle哈希树构建面向个性化用户的访问控制证书,与双因子认证的其它安全参数一同写入智能卡派发给用户,这就意味着为用户分配了限定访问次数的访问凭据,每访问一次,访问证书可用密钥节点就会少一个,当访问证书耗尽,用户需向网关节点1更新证书。
登陆/认证阶段,用户必须提供自己的用户名和密码在智能卡上进行第一次预认证,认证成功之后,再在网关节点1处通过Merkle哈希树进行第二次预认证,认证成功后,才进行计算量相对较大的主认证,这样可以抵御由攻击者和恶意合法用户发起的两种类型的拒绝服务攻击。
安全参数个性化的可抵御节点俘获后网关伪装和数据伪造的网关感知节点间双向认证。
在本发明中,在感知节点3完成了对网关节点1访问请求的认证之后,网关节点1会对感知节点3进行认证。双向认证过程中所依赖的秘密参数在派发前已经做了一次保护,是通过同感知节点3的ID连接后做了单向哈希,从而形成感知节点3个性化的安全参数,在网关节点1和感知节点3之间造成一种不对称。通过这种加强后的双向认证,便可以抵御由于安全参数泄漏所引发的网关假冒和数据伪造攻击。
本发明的具体实施共包括初始化、注册、登陆/认证和密码更新四个阶段。
具体实施方式见图3A、图3B,图3A为本发明中一实施例的注册步骤中基于Merkle哈希树的无线传感网双因子认证协议图,图3B为本发明中一实施例的登陆/认证步骤中基于Merkle哈希树的无线传感网双因子认证协议图。
可能会用到的变量以及其说明总结在下表中:
在初始化阶段,生成Merkle哈希树,并以Merkle哈希树为基础构建访问证书,参见图2,图2为本发明一实施例的Merkle哈希树生成及访问证书生成图,图2中展示了一棵可以构建8个访问证书的Merkle哈希树,当然也可以根据需要构建更多。
注册阶段,用户将自己的身份和哈希处理过的密码发给网关节点1。操作如下:
计算γi=h(pwi)
发送注册请求{IDi,γi}给GWN
在接受到请求之后,GWN会进行以下操作:
计算ηi=h(IDi||γi||xs)⊕h(IDs||Kg)
计算αi=h(γi⊕xs)
计算βi=xs⊕h(IDs||γi)
选取Certi并存储映射关系IDi-Certi
将IDs,IDi,h(·),ηi,αi,βi,Certi写入智能卡
将智能卡发送给Ui
登陆/认证阶段,用户首先将自己的智能卡插入无线传感网的智能终端2,然后智能终端2会要求用户输入其IDi和pwi,接下来无线传感网终端会进行以下操作:
计算
计算
计算
认证
如果不成立,终止进程并通知用户
否则计算
计算εi=h(ηi||xs||T)
从访问证书Certi中选择依然存活可用的
发送登陆请求给GWN
在接收到登陆信息之后,GWN会进行以下操作:
认证(T1-T)≤ΔT,如果不成立,终止进程
如果成立,计算
(表示计算Certi中的上一级密钥节点)
认证
如果不成功,终止进程,并通知用户
否则将标记为死亡并且计算χ*=DIDi⊕h(xs||T)
计算
认证
如果不通过便终止进程并通知用户UD
否则计算σi=h(DIDi||h(Sn||xs)||T1)
发送{DIDi,σi,T1}给感知节点3SN
感知节点3接收到信息之后,会进行以下操作:
认证(T2-T1)≤ΔT
如果不成立终止进程
否则计算
认证
如果不成立,终止进程并拒绝请求
否则计算
计算ωi=h(μi||h(Sn||xs)||T2)
发送{ωi,T2}给GWN
GWN接下来进行对感知节点3的认证,进行以下操作:
认证(T3-T2)≤ΔT
如果不成立,取消进程
否则计算
计算
认证
如果成立,通知感知节点3服务请求合法,否则发送终止消息
在接收到服务请求合法的通知之后,感知节点3会按照用户请求的数据回发数据。
密码更新阶段相对独立,用户将智能卡插入无线传感网的物理终端,在用户输入{IDi,pwi,pwi'}(pwi'为新密码)后,物理终端会和智能卡协作进行以下操作:
计算
计算
计算并认证如果认证失败就终止进程,否则继续计算
计算γi'=h(pwi')和ηi'=ηi⊕h(IDi||γi||xs)⊕h(IDi||γi'||xs)
计算αi'=h(γi'⊕xs)
计算βi'=xs⊕(IDs||γi')
将ηi,αi,βi替换为ηi',αi',βi'
至此为止,密码更新阶段便结束了,新的密码就可以在以后的登陆认证中就可以使用了。
本发明技术方案带来的有益效果:
无线传感器网络资源受限,因此无法进行过于复杂的密码学运算,本发明的无线传感网认证方法基于双因子认证的基本方法,核心计算设计均通过单向哈希函数和异或操作实现,所形成的轻量级属性为设计完善的认证协议奠定了基础。
从安全属性上来说,该方法在现有的无线传感网双因子认证协议中所获得安全属性最多,特别是面对DoS攻击和感知节点3俘获引发的网关假冒和数据伪造攻击,切实解决了以前协议中存在的漏洞,达到了更高的安全等级。关于本协议所获得安全属性,可通过下面的表与现有技术进行对比说明:
本发明在网关阶段进行了第二次预认证,能够在大量非法登陆请求直接发送至网关节点1时仅通过一次哈希运算就鉴定登陆请求的合法性,保护了主认证过程相对耗费时间的计算过程,这能够抵御由非法用户发起的DoS攻击,这在现有的协议中是无法实现的;另外,该协议为用户分配了限定访问次数的访问证书,每访问一次,访问证书可用密钥节点就会少一个,这限制了合法用户的访问密度,使得合法用户无法通过大量合法访问请求来对无线传感网系统网关节点1发起DoS攻击,现有的协议同样无法实现这种防御。所以,该协议能够很好的抵御两种主要形式的DoS攻击。
另外,该协议通过针对感知节点3的秘密参数个性化,使得原来在所有感知节点3中对等存储而且与登陆请求中对等使用的秘密参数得到了进一步的保护,修补了现有无线传感网双因子认证协议的漏洞,攻击者无法通过俘获节点释放安全参数获得进行网关假冒和数据伪造等攻击的便利条件,这进一步提高了网关节点1和感知节点3间双向认证的安全性。
从计算开销上来说,该方法相比之前的无线传感网双因子认证方法基本持平,在某些关键的阶段有略微变大,但权衡所获得安全属性,该协议整体上更加接近投入实际无线传感器网络进行应用的程度。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种无线传感网双因子认证方法,其特征在于,包括如下步骤:
网关节点预认证步骤,基于Merkle哈希树的可抵御DoS攻击的网关节点预认证;
网关感知节点间双向认证步骤,在感知节点完成了对网关节点访问请求的认证之后,网关节点对感知节点进行认证,双向认证过程中通过同感知节点ID连接后做单向哈希,从而形成感知节点个性化的安全参数,以抵御由于安全参数泄漏所引发的网关节点假冒和数据伪造攻击;
其中,所述网关节点预认证步骤进一步包括:
初始化步骤,生成Merkle哈希树;
注册步骤,以Merkle哈希树为基础构建访问证书,用户将自己的身份和哈希处理过的密码发给网关节点,网关节点通过已存储的Merkle哈希树构建面向个性化用户的访问控制证书,与双因子认证的安全参数一同写入智能卡派发给用户;
登陆/认证步骤,用户在智能卡上进行第一次预认证,第一次预认证成功后,在网关节点处通过Merkle哈希树进行第二次预认证,第二次预认证成功后进行主认证。
2.如权利要求1所述的无线传感网双因子认证方法,其特征在于,所述初始化步骤中,利用离线计算,完成Merkle哈希树的创建,从而保证无线传感网在服务提供过程中轻量级安全认证的性能。
3.如权利要求1所述的无线传感网双因子认证方法,其特征在于,所述注册步骤包括:
用户将自己的身份和哈希处理过的密码发给网关节点,
计算γi=h(pwi),
发送注册请求{IDi,γi}给所述网关节点,
在接受到所述注册请求之后,所述网关节点进行以下步骤:
计算
计算
计算
选取Certi并存储映射关系IDi-Certi,
将IDs,IDi,h(·),ηi,αi,βi,Certi写入智能卡,
将所述智能卡发送给Ui,
其中,γi——pwi的哈希值,pwi——用户的密码,h(·)——单向哈希函数,IDx——身份,i下标的表示用户,s下标的表示智能卡,xs——网关节点创建,存储在感知节点里的共享秘密参数,Certi——分配给第i个用户的访问证书,αi——智能卡中用来认证γi的秘密参数,βi——用以保护xs的秘密参数值,ηi——用来更新密码的秘密参数值,Kg——网关节点私有的密钥,Ui——第i个用户。
4.如权利要求1所述的无线传感网双因子认证方法,其特征在于,所述登陆/认证步骤包括:
用户将自己的智能卡插入无线传感网的智能终端,智能终端要求用户输入其IDi和pwi,无线传感网终端进行以下步骤:
计算
计算,
计算
认证
如果不成立,终止进程并通知用户,
否则计算
计算εi=h(ηi||xs||T),
从访问证书Certi中选择依然存活可用的
发送登陆请求给网关节点,
在接收到登陆信息之后,所述网关节点会进行以下步骤:
认证(T1-T)≤ΔT,如果不成立,终止进程,
如果成立,计算
其中,表示计算Certi中的上一级密钥节点,
认证
如果不成功,终止进程,并通知用户,
否则将标记为死亡并且计算
计算
认证
如果不通过便终止进程并通知用户,
否则计算σi=h(DIDi||h(Sn||xs)||T1),
发送{DIDi,σi,T1}给感知节点,
其中,εi——第i个用户认证值,εi *——网关节点计算的第i个用户待鉴定认证值,Kg——网关节点私有的密钥,σi——第i个用户发起请求时网关节点对感知节点的认证值,xs——网关节点创建并存储在感知节点里的共享秘密参数,DIDi——动态用户身份,——第i个用户的访问证书Certi的第j个密钥节点,ΔT——消息传输的估计时间间隔,γi *——无线传感网终端计算的待验证的γi,γi——pwi的哈希值,pwi——用户的密码,Sn——感知节点的身份。
5.如权利要求4所述的无线传感网双因子认证方法,其特征在于,所述感知节点接收到信息之后,进行以下步骤:
认证(T2-T1)≤ΔT,
如果不成立终止进程,
否则计算
认证
如果不成立,终止进程并拒绝请求,
否则计算
计算ωi=h(μi||h(Sn||xs)||T2),
发送{ωi,T2}给所述网关节点,所述网关节点进行对所述感知节点的认证,
其中,σi *——感知节点计算第i个用户发起请求时的网关节点认证值,σi——第i个用户发起请求时网关节点的认证值,μi——计算ωi所需的中间值,ωi——感知节点的认证值,Sn——感知节点的身份。
6.如权利要求5所述的无线传感网双因子认证方法,其特征在于,所述网关节点进行对所述感知节点的认证,包括以下步骤:
认证(T3-T2)≤ΔT,
如果不成立,取消进程,
否则计算
计算
认证
如果成立,通知感知节点服务请求合法,否则发送终止消息,
在接收到服务请求合法的通知之后,所述感知节点按照用户请求的数据回发数据,
其中,ωi *——由网关节点计算的待认证的感知节点的认证值。
7.如权利要求1、2、3、4、5或6所述的无线传感网双因子认证方法,其特征在于,所述网关节点预认证步骤进一步包括:
密码更新步骤,用户将自己的智能卡插入无线传感网的智能终端,并输入{IDi,pwi,pwi'},其中,pwi'为新密码,所述智能终端和所述智能卡协作进行所述新密码认证并在以后的登陆认证中使用所述新密码。
8.如权利要求7所述的无线传感网双因子认证方法,其特征在于,所述智能终端和所述智能卡协作进行所述新密码认证,包括如下步骤:
计算
计算
计算并认证如果认证失败就终止进程,否则继续计算,
计算γi'=h(pwi')和
计算
计算
将ηi,αi,βi替换为ηi',αi',βi',
其中,αi *——智能终端和智能卡协作生成的待验证的αi,γi'——更新密码时新生成的γi,ηi'——更新密码时新生成的ηi,αi'——更新密码时新生成的αi,βi'——更新密码时新生成的βi。
9.一种无线传感网双因子认证装置,包括网关节点、智能终端和感知节点,所述网关节点、智能终端和感知节点之间互相通信连接,其特征在于,还包括双因子认证模块,所述双因子认证模块采用上述权利要求1-8中任意一项所述的基于Merkle哈希树的无线传感网双因子认证方法。
10.一种具有上述权利要求9所述的无线传感网双因子认证装置的网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310221333.2A CN103313246B (zh) | 2013-06-05 | 2013-06-05 | 一种无线传感网双因子认证方法和装置及其网络 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310221333.2A CN103313246B (zh) | 2013-06-05 | 2013-06-05 | 一种无线传感网双因子认证方法和装置及其网络 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103313246A CN103313246A (zh) | 2013-09-18 |
CN103313246B true CN103313246B (zh) | 2016-02-03 |
Family
ID=49137924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310221333.2A Expired - Fee Related CN103313246B (zh) | 2013-06-05 | 2013-06-05 | 一种无线传感网双因子认证方法和装置及其网络 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103313246B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701797B (zh) * | 2013-12-23 | 2017-01-25 | 江苏物联网研究发展中心 | 一种轻量级的节点、网关双向身份认证方法 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104507082A (zh) * | 2014-12-16 | 2015-04-08 | 南京邮电大学 | 一种基于哈希双向认证的无线传感网络定位安全方法 |
WO2016206090A1 (zh) * | 2015-06-26 | 2016-12-29 | 华为技术有限公司 | 双因子认证方法、装置和设备 |
CN106804037B (zh) * | 2017-03-24 | 2019-06-14 | 厦门大学 | 一种基于多监督节点和信道信息的无线认证方法 |
CN110365468B (zh) | 2018-04-11 | 2021-09-14 | 华为技术有限公司 | 匿名化处理方法、装置、设备及存储介质 |
CN111836331B (zh) * | 2019-04-23 | 2022-05-06 | 中国科学院沈阳自动化研究所 | 一种基于机会转发的认知无线传感器网络路由方法 |
CN110234111B (zh) * | 2019-06-10 | 2022-06-17 | 北京航空航天大学 | 一种适用于多网关无线传感器网络的双因素认证密钥协商协议 |
CN110300411A (zh) * | 2019-06-13 | 2019-10-01 | 北京市天元网络技术股份有限公司 | 一种用于安全传输数据的方法和系统 |
CN114302389B (zh) * | 2021-12-22 | 2024-02-09 | 北京航空航天大学杭州创新研究院 | 认证与密钥协商方法、网关、传感器和电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101088300A (zh) * | 2004-12-22 | 2007-12-12 | 艾利森电话股份有限公司 | 分布式微微小区移动性 |
CN101778386A (zh) * | 2009-01-14 | 2010-07-14 | 北京天昭信息通信系统开发有限责任公司 | 可支持多媒体无线网关的认证系统 |
CN102256247A (zh) * | 2011-06-17 | 2011-11-23 | 西安电子科技大学 | 无线网络中安全有效的切换认证方案的通用构造 |
-
2013
- 2013-06-05 CN CN201310221333.2A patent/CN103313246B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101088300A (zh) * | 2004-12-22 | 2007-12-12 | 艾利森电话股份有限公司 | 分布式微微小区移动性 |
CN101778386A (zh) * | 2009-01-14 | 2010-07-14 | 北京天昭信息通信系统开发有限责任公司 | 可支持多媒体无线网关的认证系统 |
CN102256247A (zh) * | 2011-06-17 | 2011-11-23 | 西安电子科技大学 | 无线网络中安全有效的切换认证方案的通用构造 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701797B (zh) * | 2013-12-23 | 2017-01-25 | 江苏物联网研究发展中心 | 一种轻量级的节点、网关双向身份认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103313246A (zh) | 2013-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103313246B (zh) | 一种无线传感网双因子认证方法和装置及其网络 | |
Chaudhry et al. | A secure and reliable device access control scheme for IoT based sensor cloud systems | |
Mandal et al. | Certificateless-signcryption-based three-factor user access control scheme for IoT environment | |
Dhillon et al. | Secure multi‐factor remote user authentication scheme for Internet of Things environments | |
Garg et al. | Toward secure and provable authentication for Internet of Things: Realizing industry 4.0 | |
CN109768988B (zh) | 去中心化物联网安全认证系统、设备注册和身份认证方法 | |
CN112953727B (zh) | 一种面向物联网的设备匿名身份认证方法及系统 | |
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
Jia et al. | A Blockchain-Assisted Privacy-Aware Authentication scheme for internet of medical things | |
CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
CN109359464B (zh) | 一种基于区块链技术的无线安全认证方法 | |
US11722887B2 (en) | Privacy protection authentication method based on wireless body area network | |
Tanveer et al. | RUAM-IoD: A robust user authentication mechanism for the Internet of Drones | |
CN105516980A (zh) | 一种基于Restful架构的无线传感器网络令牌认证方法 | |
Quan et al. | A secure user authentication protocol for sensor network in data capturing | |
Srikanth et al. | An efficient Key Agreement and Authentication Scheme (KAAS) with enhanced security control for IIoT systems | |
Singh et al. | Evaluating authentication schemes for real-time data in wireless sensor network | |
Nimmy et al. | A novel multi-factor authentication protocol for smart home environments | |
Wazid et al. | TACAS-IoT: trust aggregation certificate-based authentication Scheme for edge-enabled IoT systems | |
Alrababah et al. | A survey: Authentication protocols for wireless sensor network in the internet of things; keys and attacks | |
CN114422106B (zh) | 一种多服务器环境下的物联网系统安全认证方法及系统 | |
KR101308498B1 (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. | |
CN106230840A (zh) | 一种高安全性的口令认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160203 |