CN104717645A - 保证无线传感器网络的数据传输方法及其系统 - Google Patents

Abstract

本发明适用于通信技术领域，提供了一种保证无线传感器网络的数据传输方法及其系统，所述方法包括：节点设置步骤：在需要采集数据的区域内设置多个锚节点；节点认证步骤：通过所述无线传感器网络的SINK端和多个所述锚节点对所述区域内的普通节点进行安全认证；数据传输步骤：每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。借此，本发明解决WSN节点安全认证时的密钥托管问题，实现WSN网络的数据的安全传输。

Description

保证无线传感器网络的数据传输方法及其系统

技术领域

本发明涉及通信技术领域，尤其涉及一种保证无线传感器网络的数据传输方法及其系统。

背景技术

无线传感器网络(Wireless Sensor Networks,WSN)的产生是微机电系统(Micro-Electro-Mechanism System,MEMS)、片上系统(System on Chip,SoC)、无线通信和低功耗嵌入式技术等领域的飞速发展的结果。其以低功耗、低成本、分布式和自组织的特点带来了信息感知的一场变革。无线传感器网络是由部署在监测区域内大量的廉价微型传感器节点，通过无线通信方式形成的一个多跳自组织网络。

近年来，传感器技术发展飞速，已经被广泛应用在各行各业，特别是一些需要长期监控而地理环境又不好的地方，一个传感器节点的放置能够解决许多难题。而传感器节点作为一种嵌入式设备，也不可避免的拥有其特性，进而有许多明显的优势和劣势。作为一种优势，传感器节点摆脱了人工的操作，不需时时刻刻抄录数据(比如温度、湿度等)，节点可以根据预设的时间间隔每隔一段时间对用户针对的数据进行采集。而硬件系统又能保证其数据的实时准确性，能够确切的记录在某一特定时刻的数据。而近年来蓝牙、Zigbee等技术的发展也使得高效精确的在节点之间传递数据成为可能。由此发展，许多利用简单节点进而构成的传感器WSN系统应运而生，为用户带来了许多便利。

无线传感器网络(简称WSN)是多种领域联合发展的结晶，被广泛应用于科教、医学、军工、交通等各行各业。但是安全问题一直是比较困扰WSN领域发展的难题，以前硬件条件有限的情况下，要保证安全实在是一件很艰巨的任务，一般的芯片存储空间比较小，而这有限的空间内需要完成的工作却不少，首先需要有一个时刻运行的16进制程序，其次需要有一部分用来暂时存储实时采集的数据。

随着科技与制作工艺日新月异的发展，节点端的硬件资源不断得到发展，而与此同时，无线传感器网络中的不安全问题也日益引起了人们的重视，特别是有些特定的系统中安全问题直接关系到整个系统的效率和存在的价值，无线传感器网络中的安全问题目前已经被广泛地作为一项研究重点进行实验研究。在现有技术中的WSN网络中，通常安全认证过程中存在密钥的托管问题，而使用对称加密的方式则普遍被认为安全性不高，容易受到攻击。因此，如何保证无线传感器网络的数据的安全传输成为行业中的难题。

综上可知，现有的无线传感器网络的数据的安全传输技术，在实际使用上，显然存在不便与缺陷，所以有必要加以改进。

发明内容

针对上述的缺陷，本发明的目的在于提供一种保证无线传感器网络的数据传输方法及其系统，以解决WSN节点安全认证时的密钥托管问题，实现WSN网络的数据的安全传输。

为了实现上述目的，本发明提供一种保证无线传感器网络的数据传输方法，包括：

节点设置步骤：在需要采集数据的区域内设置多个锚节点；

节点认证步骤：通过所述无线传感器网络的SINK端和多个所述锚节点对所述区域内的普通节点进行安全认证；

数据传输步骤：每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。

根据所述的数据传输方法，所述节点设置步骤包括：在所述需要采集数据的区域内局域内预先设置多个所述锚节点；

在所述需要采集数据的区域内局域内随机分布多个所述普通节点；

在以每个所述锚节点为中心，且距离所述锚节点于预定距离的区域内的多个所述普通节点为所述锚节点的邻居节点。

根据所述的数据传输方法，其特征在于，所述节点认证步骤包括：

所述SINK端接收安全参数和所述区域内的所有的所述邻居节点用户标识输入后，产生所述邻居节点的无证书签名的公钥和私钥，并向所述邻居节点对应的锚节点返回认证参数和所述公钥，以及向每个所述邻居节点返回认证参数、所述公钥和私钥；

每个所述锚节点的邻居节点采用所述认证参数和所述私钥通过预设的无证书认证算法生成第一签名；

每个所述锚节点将接收到所述认证参数和所述公钥通过预设的无证书认证算法对所述第一签名进行验证，在通过验证时，则认证所述邻居节点为可靠节点；在未通过验证时，则认证所述邻居节点为非可靠节点。

根据所述的数据传输方法，所述公钥和私钥的产生步骤包括：

通过预设的所述密钥算法，在所述SINK端输入安全参数后返回公共参数和系统主密钥；

通过所述密钥算法，然后输入所述系统参数、系统主密钥以及所述邻居节点的身份标识，输出部分私钥；

通过所述密钥算法，在所述锚节点输入所述系统参数和所述邻居节点的身份标识，则输出所述邻居节点的秘密值；

通过所述密钥算法，在sink端输入所述系统参数所述部分私钥和所述秘密值，则输出所述私钥；

通过所述密钥算法，在sink端输入所述系统参数和所述秘密值，输出所述公钥。

根据所述的数据传输方法，在所述节点认证步骤之前还包括：

每个所述锚节点向所述SINK端返回其邻居节点的节点信息；并且每个所述锚节点存储其所述邻居节点的节点信息；

所述认证参数包括：所述邻居节点的身份标识、公共参数、认证要求信息。

根据所述的数据传输方法，所述分簇步骤包括：

所述SINK端对所述普通节点进行分簇，并选出每簇的簇头节点；

所述SINK端将对所述普通节点的分簇的结果信息传递到所述普通节点以及所述簇头节点。

根据所述的数据传输方法，所述数据传输步骤包括：

所述普通节点收集所述数据，并在将所述数据传递到其所属的簇的簇头节点时与所述簇头节点进行安全认证；

在通过所述安全认证后，将所述数据传递到所述簇头节点；

所述簇头节点按照预定的多跳网络方式与所述多跳网络中的下一个簇头节点进行安全认证，在通过所述安全认证后，将所述数据传递到所述下一个簇头节点；

在所述按照预定的多跳网络方式中的最后一个簇头节点接收所述数据，并与所述SINK端完成安全认证后，将所述数据传递到所述SINK端。

根据所述的数据传输方法，所述安全认证通过无证书签名算法实现；

在所述无证书签名算法中，所述锚节点协助所述普通节点和所述簇头节点产生私钥和密钥。

根据所述的数据传输方法，所述锚节点为预设的可信任节点。

为了实现本发明的另一发明目的，本发明还提供了一种用于实现如上述任一项所述的数据传输方法的系统，所述系统包括：

多个锚节点，设置于需要采集数据的区域内；

所述无线传感器网络的SINK端，用于与多个所述锚节点对所述区域内的普通节点进行安全认证；

每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。

本发明通过在需要采集数据的区域内设置多个锚节点；通过所述无线传感器网络的SINK端和多个所述锚节点对所述区域内的普通节点进行安全认证；所述SINK端对所述普通节点进行分簇，并选出每簇的簇头节点；最后，每个所述簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。由此，本发明解决WSN节点安全认证时的密钥托管问题，实现WSN网络的数据的安全传输。并且，本发明提供的系统及方法，保证在比较节能的前提下保证节点传输信息的安全。并且，锚节点使用在一定程度上可以使得认证算法不必过多消耗普通节点的能量，形成一种数据传递与安全保证两个方便相对分开的系统体系；解决传统方法的证书管理问题，节省资源。优选的，本发明提供的方法及系统可用于对传输的数据安全性比较高的WSN系统以及需要保证节点数据不被伪造的场合。例如在森林中使用这中方案搭建温度传感器网络，就能够保证传输的数据是真实的，防止不法分子的恶作剧节点攻击避免浪费警力人力。

附图说明

图1是本发明第一实施例提供的保证无线传感器网络的数据传输系统的组成示意图；

图2是本发明一个实施例提供的无线传感器网络内的节点分布示意图；

图3是本发明第四实施例提供的保证无线传感器网络的数据传输方法的流程图；

图4A是本发明一个实施例提供的无证书签名认证方法的流程图；

图4B是本发明一个实施例提供的无证书签名认证方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参见图1，在本发明的第一实施例中，提供了一种无线传感器网络的数据传输系统100，所述系统包括：

多个锚节点10，设置于需要采集数据的区域内；

所述无线传感器网络的SINK端20，用于与多个所述锚节点10对所述区域内的普通节点30进行安全认证；

每个簇头节点接收在其所属簇中通过所述安全认证的普通节点30传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端20。

在该实施例中，无线传感器网络的数据传输系统100包括多个传感器网络节点，传感器网络节点的组成和功能包括如下四个基本单元：传感单元(由传感器和模数转换功能模块组成)、处理单元(由嵌入式系统构成，包括CPU、存储器、嵌入式操作系统等)、通信单元(由无线通信模块组成)、以及电源部分。此外，传感器网络节点可以选择的其它功能单元包括：定位系统、运动系统以及发电装置等。SINK端20为WSN网络的SINK节点，该SINK节点是整个系统的处理终端，可以是PC机甚至是服务器，其运算存储能力不受约束。锚节点10是由人工预先进行布设的设备，具有优于普通节点30的性能。优选的，锚节点10为预设的可信任节点。即用户预先在需要采集数据的区域内设置其绝对可以信任的锚节点10。

在无线传感器网络的数据传输系统100中，SINK端20(SINK节点)在无线传感器网络汇聚结点，主要负责传感器网与外网(eg,gprs，internet等)的连接，可看作网关节点。在传感器网络中，节点通过各种方式大量部署在被感知对象内部或者附近。这些节点通过自组织方式构成无线网络，以协作的方式感知、采集和处理网络覆盖区域中特定的信息，可以实现对任意地点信息在任意时间的采集，处理和分析。更好的，传感器网络的结构包括分布式传感器节点(群)、sink节点、互联网和用户界面等。传感节点之间可以相互通信，组织成网并通过多跳的方式连接至Sink(基站节点)，Sink节点收到数据后，通过网关(Gateway)完成和公用Internet网络的连接。整个系统通过任务管理器来管理和控制这个系统。

在本发明的第二实施例中，SINK端20还会对区域内的普通节点30进行分簇。其中，分簇与选择簇头由SINK端20完成，在认证定位阶段，SINK端20(SINK节点)会收集到所有的节点信息，该节点信息包括距离、能量以及用户标识等。在无线传感器网络的数据传输系统100的构建过程中，必然首先需要进行节点设置，在所述需要采集数据的区域内局域内预先设置多个所述锚节点10；在所述需要采集数据的区域内局域内随机分布多个所述普通节点30；在以每个所述锚节点10为中心，且距离所述锚节点10于预定距离的区域内的多个所述普通节点30为所述锚节点10的邻居节点。

其中，邻居节点是指两节点之间的未知关系，例如，如果两节点间的距离达到初始设定的距离最小值，则可以认为这两个节点互为邻居节点。而在该实施例中，锚节点10的邻居节点是指锚节点10为中心的一片区域内的所有节点。参见图2，锚节点10的布置上为了使得每个节点都有一个作为邻居节点的锚节点10，所以采用空间上均分的方式。需要采集数据的区域的简单空间模拟如图2所示，锚节点10按照空间均匀分布，而普通节点30的分布是随机的。图中方形节点为按照空间分布的锚节点10，其余节点为普通节点30。

在认证定位阶段，SINK节点会收集到所有节点的信息(距离、能量等)。其按照节点的分布密度而在操作区域内均匀的布设相应数量的锚节点10。未知节点通过邻居节点中的锚节点10进行两方认证，顺利通过认证的节点就被标识为可信任节点，WSN网络中的数据一般为实时采集的数据，所以采取时钟中断的方式每隔一段时间进行认证一次，选取恰当的时间间隔既能够有效保证信息传递的安全性，又能够使两方会话高效的进行。经过锚节点10认证后的节点就被认证为已知节点，实现了节点的定位。

在本发明的第三实施例中，在确定无线传感器网络的数据传输系统100中的节点位置后，则进行安全的数据传输。优选的使用无证书签名的安全认证方式，其简化了证书的复杂管理过程，适合传感器节点使用，同时可以消除密码托管，能够使得两个节点在对话时通过不安全的信道建立共享的会话密钥，更进一步的，还可以利用加密机机制和消息认证码，使用生成的短期会话密钥来保证对话的安全性。而在大规模的无线传感器网络结构中，还使用分簇的结构，所谓分簇即把整个无线传感器网络根据空间特征等分为若干个独立的部分，而分簇的核心问题在于簇头的选择。在无线传感器网络的数据传输系统100中，簇头节点又远端的SINK节点在普通节点30中选取。分簇与选择簇头由SINK端20完成。簇头节点的确定是由锚节点10经过对所有节点认证后将所有节点的位置和能量信息传递给SINK节点，由SINK节点进行分簇并选择出的。SINK节点是处理终端，不受能源和计算能力的限制。簇头节点负责收集其所在簇的数据然后传送出去，在其担任簇头的时间段内会有相对其他节点更多的能量消耗，同时簇头节点要与sink节点以及簇内所有其他节点通讯，安全认证上更应该得到保证。将无证书签名的方法引入WSN多簇路由中，构建以锚节点10、普通节点30、簇头节点、sink节点几种不同角色间相互认证，进行无证书签名的用于数据传输的无线传感器网络的数据传输系统100。

在上述多个实施例中的无线传感器网络的数据传输系统100的节点和SINK端可以包括软件和/或硬件模块。

参见图3，在本发明的第四实施例中，提供了一种保证无线传感器网络的数据传输方法，该方法可采用上述任一实施例提供的保证无线传感器网络的数据传输系统100实现，包括：

步骤S301中，在需要采集数据的区域内设置多个锚节点10；该步骤为节点设置步骤；

步骤S302中，通过所述无线传感器网络的SINK端20和多个所述锚节点10对所述区域内的普通节点30进行安全认证；该步骤为节点认证步骤

步骤S304中，每个簇头节点接收在其所属簇中通过所述安全认证的普通节点30传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端20。该步骤为数据传输步骤。

在该实施例中，首先需要在需要采集数据的区域内设置多个锚节点10；通过无线传感器网络的SINK端20和多个所述锚节点10对所述区域内的普通节点30进行安全认证；该安全认证可以使用无证书签名认证的方式，则无需考虑证书的保管问题，减轻了无线传感器网络中的节点的负担。此外，在数据传输步骤前还包括了分簇步骤，SINK端20对普通节点30进行分簇，并选出每簇的簇头节点；以便于无线传感器网路的数据传输，同时也保证了数据传输的安全性。优选的，所述分簇步骤包括：SINK端20对普通节点30进行分簇，并选出每簇的簇头节点；SINK端20将对普通节点30的分簇的结果信息传递到所述普通节点30以及所述簇头节点。在分簇后，每个所述簇头节点接收在其所属簇中通过所述安全认证的普通节点30传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端20。该预定的多跳网络方式可以由用户在设置该无线传感器网络的数据传输系统100时根据无线传感器网络的数据传输系统100的结构及其技术要求等方便进行设定。

在本发明的一个实施方式中，假定此时有一个安全要求很高的国防传感器系统，手机数据为某种气体的密度，要求其数据不能被敌方收到，并且不会被敌方发射出来的伪装数据破坏。此时可以使用上述方法及系统实现。首先，在派遣部队布设锚节点10。具体的，所述节点设置步骤包括：在所述需要采集数据的区域内局域内预先设置多个所述锚节点10；在所述需要采集数据的区域内局域内随机分布多个所述普通节点30；人工布设的锚节点10的设备，具有优于普通节点30的性能，并且这些锚节点10能量充足，可长期使用维护也方便，是可以信任的一方。此外，在锚节点10的周围还包括多个普通节点30，在以每个锚节点10为中心，且距离所述锚节点10于预定距离的区域内的多个所述普通节点30为所述锚节点10的邻居节点。邻居节点是指两节点之间的未知关系，而在该实施例中，锚节点10的邻居节点是指锚节点10为中心的一片区域内的所有节点。锚节点10可以存储其邻居节点的节点信息，并且协助进行节点的安全认证。

在本发明的第六实施例中，所述节点认证步骤包括：

所述SINK端20接收安全参数和所述区域内的所有的所述邻居节点用户标识输入后，产生所述邻居节点的无证书签名的公钥和私钥，并向所述邻居节点对应的锚节点10返回认证参数和所述公钥，以及向每个所述邻居节点返回认证参数、所述公钥和私钥；

每个所述锚节点10的邻居节点采用所述认证参数和所述私钥通过预设的无证书认证算法生成第一签名；

每个所述锚节点10将接收到所述认证参数和所述公钥通过预设的无证书认证算法对所述第一签名进行验证，在通过验证时，则认证所述邻居节点为可靠节点；在未通过验证时，则认证所述邻居节点为非可靠节点。

在该实施例中，认证阶段锚节点10担任产生部分公钥与认证节点身份。首先需要对需要采集数据的区域内的节点进行认证。其采用的是无证书签名认证的方式。具体的，SINK端20接收安全参数和所述区域内的所有的所述邻居节点用户标识输入后，产生所述邻居节点的无证书签名的公钥和私钥，并向所述邻居节点对应的锚节点10返回认证参数和所述公钥，以及向每个所述邻居节点返回认证参数、所述公钥和私钥；每个所述锚节点10的邻居节点采用所述认证参数和所述私钥通过预设的无证书认证算法生成第一签名；每个所述锚节点10将接收到所述认证参数和所述公钥通过预设的无证书认证算法对所述第一签名进行验证，在通过验证时，则认证所述邻居节点为可靠节点；在未通过验证时，则认证所述邻居节点为非可靠节点。通过安全认证的节点则被认为是可靠的节点，可以放心的通过这些节点进行数据的采集及传递。优选的，在所述节点认证步骤之前还包括：每个锚节点10向SINK端20返回其邻居节点的节点信息；并且每个锚节点10存储其所述邻居节点的节点信息；所述认证参数包括：所述邻居节点的身份标识、公共参数、认证要求信息。

在本发明的一个实施方式中，对节点的认证过程中，首先需要进行节点的初始化，由可信的工作人员输入或者系统自动生成初始化参数I，结合每个节点自由的身份ID，通过相关事先选定的算法生成无证书公钥和私钥，然后通过锚节点10播散节点，之后是锚节点10利用上一个步骤生成的公钥和私钥对锚节点10的邻居节点进行认证，经过认证成功后的节点就被认为可信的已知节点开始参与系统的运行。在系统运行后即开始进行数据的收集处理。一旦此时有不良节点介入，锚节点10首先不会认证其发送的数据真实性，这样讲不会影响整体数据收集；如果有节点的信息被敌方捕获，借此进行重放攻击，由于系统的实时更新的特点，也会很快发现错误并且获知是哪个节点收到了攻击。

另外，数字签名是信息安全领域一项非常重要的技术，它在大型网络安全通信中的密钥分配、安全认证、公文的安全传输以及电子商务系统中的防否认等方面都具有重要作用。类似于手书签名，数字签名应满足以下要求：接收方能够确认或证实发方的签名，但不能伪造；发方发出签名的消息送收方后，就不能再否认他所签发的消息；收方对已收到的签名消息不能否认，即有收报认证；第3者可以确认收发双方之间的消息传送，但不能伪造这一过程。无证书签名有一定的优越性。它的优点在于摆脱了一个工作量繁重的公钥证书库的管理和维护，在本发明的一个实施方式中，采用无证书签名认证的方式对WSN节点进行安全认证。无线传感器网络的数据传输系统100在实现所述数据传输方法时，对WSN网络中的节点的认证阶段锚节点10担任产生部分公钥与认证节点身份，运行阶段锚节点10作为可信任的KCG负责无证书签名的方式认证密钥的更新维护；数据传输工程中节点间传递数据首先通过无证书签名的方式认证相互间的身份安全。

参见图4A和图4B，在本发明的一个实施例中，采用的无证书签名认证方法分为两大部分，首先是设定阶段：设定阶段首先输入安全参数l，由算法一输出系统参数pa，和系统主密钥s；然后输入身份ID，算法二输出部分密钥D；pa和身份ID作为输入，算法三产生输出秘密值X；秘密值X和部分密钥D作为输入，算法四产生输出私钥SK；秘密值、Pa和身份ID作为输入，算法五生成输出公钥pk。至此公钥与私钥均生成成功。

然后是使用阶段：签名时将公共参数pa、认证的要求、用户的身份ID、公钥pk和私钥sk作为输入，签名算法产生认证签名s1；认证签名s1传递给验证方，验证方以s1、pa、签名人的ID和公钥pk作为输入，如果返回1则验证通过，返回0表示验证失败。

在本发明的第七实施例中，所述公钥和私钥的产生步骤包括：

通过预设的密钥算法，在所述SINK端20输入安全参数后返回公共参数和系统主密钥；

通过所述密钥算法，输入系统参数、系统主密钥以及所述邻居节点的身份标识，输出部分私钥；

通过所述密钥算法，在所述锚节点10输入所述系统参数和所述邻居节点的身份标识，则输出所述邻居节点的秘密值；

通过所述密钥算法，在SINK端20输入所述系统参数所述部分私钥和所述秘密值，则输出所述私钥；

通过所述密钥算法，在SINK端20输入所述系统参数和所述秘密值，输出所述公钥。

在该实施例中，在节点认证阶段SINK端20通过锚节点10的协助产生其他普通节点30的公钥和密钥。此外，系统运行阶段锚节点10作为可信任的KCG负责密钥的更新维护；由此，保证了无线线传感器网络的数据传输的安全性。该锚节点10就是在搭建WSN节点网络系统时，就已经确定其安全性的节点，可以人工方式确定锚节点10，以最安全稳妥的方式确定。锚节点10在系统中作为网络数据传输与维护的第三方，既能够保证在网络运行期间的安全，又不会轻易将节点的安全信息暴露给其他方，由此其适于配合SINK端20进行私钥的生成以及数据的传递。

在本发明的一个实施方式中，预设的密钥算法为无证书签名密钥算法，可以下述算法应用到第七实施例中，进行所述公钥和私钥的计算，具体步骤描述如下：

1)系统建立。产生系统参数和主密钥，KGC做如下操作：选取2个q阶加法循环群G1和乘法循环群G2，任意选取G1的一个生成元P，并且选取一个双线性对e：G1×C1一>G2；选取任意的s∈Zq*作为主密钥，并且计算系统公钥P_Pub＝sP；选取2个加密哈希函数H1：{0，1}*×G1一>G1和H2：{O，1}*×{0，1}*×G1×G1一>Zq*。系统公开参数为{G1，G2，q，e，P，P_pub，H1，H2}，主密钥s由KGC保管。

2)部分私钥提取。KGC为用户A产生部分私钥D。＝sQa，其中Qa＝H1(IDa，P)，并通过安全信道将Da传送给用户。

3)设置秘密值。用户A随机选择Xa∈Zq*作为秘密值。

4)完全私钥生成。用户A产生自己的完全私钥Sa＝(Xa，Da)。

5)公钥生成。用户A产生自己的公钥PKa＝XaP

6)签名。用户A输入系统公开参数、身份IDa、消息m∈{0，1}*和私钥Sa＝(Xa，Da)，进行签名操作：选取任意的r∈Zq，计算U＝rP，h＝H2(m，IDa，PKa，U)，V＝Da+(hx+r)Qa；输出签名d＝(U，V)。

7)验证。验证者接收到用户A发送的消息m及签名d＝(U，V)，利用消息m、用户身份IDa及用户的公钥PKa进行验证操作：计算Qa＝H1(IDa，P)，h＝H2(m，IDa，PKa，U)；当且仅当等式e(V，P)＝e(Qa，P_pub+hPKa+U)成立时，接受签名。

在本发明的第八实施例中，所述数据传输步骤包括：

普通节点30收集所述数据，并在将所述数据传递到其所属的簇的簇头节点时与所述簇头节点进行安全认证；

在通过所述安全认证后，将所述数据传递到所述簇头节点；

所述簇头节点按照预定的多跳网络方式与所述多跳网络中的下一个簇头节点进行安全认证，在通过所述安全认证后，将所述数据传递到所述下一个簇头节点；

在所述按照预定的多跳网络方式中的最后一个簇头节点接收所述数据，并与所述SINK端20完成安全认证后，将所述数据传递到所述SINK端20。

在该实施例中，所述安全认证通过无证书签名算法实现；在所述无证书签名算法中，锚节点10协助普通节点30和所述簇头节点产生私钥和密钥。数据传输工程中节点间传递数据首先通过无证书签名的方式认证相互间的身份安全。一个实施方式中，锚节点10不参与成簇与路由传递，而只进行认证工作并且将预设锚节点10的广播能力与能源都远远优于其他普通节点30，即保证其能在其他节点能源均耗尽之前正常运行。同时在该数据传输的方法中能够在SINK节点端进行的程序操作尽量在SINK端20进行。这样可以大大缓解在传统的认证方案中，某些节点因为负担过重早早被消耗的问题。

另一方面，在本发明的一个实施方式中，多跳网络方式传递的方式包括，分簇算法把广泛分布的传感器节点按簇来划分，每个簇选出一个簇头节点，簇头节点负责汇总、融合簇成员节点发来的数据，并发送给基站。分簇算法能使无线传感器网络具有可延展性，分簇的组网结构更能减少数据传输量，进而大幅降低节点能量损耗。分簇作为节点组网的一种方式，在较大规模的无线传感器网络中，能较好的提高网络生存周期，增强网络稳定性、鲁棒性。

LEACH(Low Energy Adaptive Clustering Hierarchy低功耗自适应集簇分层型协议)算法，是最早的无线传感器网分簇算法，该算法通过建模计算出一个网络区间内的簇首数目，然后用随机循环的方法将网络的负载分配到每个节点上，从而降低单个节点能量消耗。LEACH算法是将WSN中的所有节点分为若干簇,每个簇选举一个首领,简称簇头。算法操作时使。算法操作时使用了“轮”的概念,每一轮由初始化和稳定工作两个阶段组成。在初始化阶段,算法随机地选取节点作为簇头,簇头向所有节点广播此消息,其它节点根据接收信号的强弱加入就近的簇,并通知相应的簇头；在稳定阶段,簇头节点接收簇中其它节点发送的数据,并将这些数据进行必要的融合,然后发送给基站节点。在本轮工作结束之后,网络将进入初始化和稳定工作的下一轮新的工作周期。

初始化工作阶段,对簇头的选择是LEACH协议关键的任务,LEACH采用阈值的方式,即每个节点产生一个0～1之间的随机数,如果这个数小于阈值T(n),则该节点向周围节点广播它是簇头的消息。T(n)的计算公式为:

计算式中:p是簇头占所有节点的百分比,即节点当选簇头的概率；r是目前进行的轮数；G是最近1/p轮中还未当选过簇头的节点集合。从公式(1)知,当选过簇头的节点在接下来的1/p轮循环中将不能成为簇头；剩余节点当选簇头的阈值T(n)增大,节点产生小于T(n)的随机数的概率随之增大,所以节点当选簇头的概率增大。p值决定了每轮产生的簇头数量,在实际应用中,最佳p值的确定是十分困难的,与网络规模和节点密度等因素有关。

参见图1、图2、图4A和图4B，在本发明的一个实施例中，保证无线传感器网络的数据传输方法包括如下流程：

系统初始化阶段：这一阶段主要进项锚节点10的布设和普通节点30的预处理，这一阶段是由完全信任的第三方执行，首先在算法一SINK端20，输入安全参数l，返回公共参数pa，和系统主密钥s；算法二之后输入pa，系统主密钥和用户身份ID，输出部分私钥D。算法三这时锚节点10节点端输入pa和用户身份ID输出用户的秘密值X；算法四之后输入pa，用户的部分私钥D和秘密值X，输出私钥SK并且算法五同时在SINK端20输入pa和用户秘密值，输出用户的公钥PK。

节点认证定位阶段：通过锚节点10定位未知节点的方式，锚节点10认证其邻居节点中的未知节点使其成为已知节点，由于在第一阶段中已经将完整的私钥生成，认证签名S1阶段：所以此时邻居节点中的未知节点使用pa、认证要求、用户的身份ID、公钥、Pk、以及私钥sk作为输入，算法输出认证签名s1；验证算法阶段：锚节点10中存有所有节点的身份ID和公钥，对于接收到的s1进行算法操作，输入为pa、签名人ID、公钥pk、验证信息已经签名s1,返回1表示经过验证，返回0表示认证失败；锚节点10将自己管理的邻居普通节点30的信息进行储存和上传到Sink的操作。

分簇选择簇头阶段：分簇路由的功能性阶段，方便数据的传输，这一阶段在SINK端20完成，节点的计算机根据上一阶段收集到的数据将空间内所有节点分簇并选择出簇头，并通过这一阶段决定的多跳路由将这些信息传递给普通节点30；

数据传输阶段：这一阶段使用锚节点10作为KGC(密钥生成中心)来协助节点生成无证书密钥，达到传输数据安全的目的，普通节点30收集数据按照上一阶段中接收的信息获知将数据传输给哪一节点，信息被签名发送，普通节点30使用pa、认证要求、用户的身份ID、公钥、Pk、以及私钥sk作为输入，算法输出认证签名s1，簇头节点按照无证书的验证算法验证节点的可靠性，簇头节点中存有所有节点的身份ID和公钥，对于接收到的s1进行算法操作，输入为pa、签名人ID、公钥pk、验证信息已经签名s1,返回1表示经过验证，返回0表示认证失败。消息被继续传输到多跳网络的下一节点，以此类推知道传递到SINK端20。

在本发明的另一发实施方式中，在节点认证时期有另一种替代方式：节点通过对称密钥在初始化阶段只完成系统参数的生成，节点的认证通过对称密钥，之后的无证书的所有阶段由锚节点10和普通节点30共同完成。这种备用的方式是针对需要不断播撒节点的情况提出的一种解决方案。

综上所述，本发明通过在需要采集数据的区域内设置多个锚节点；通过所述无线传感器网络的SINK端和多个所述锚节点对所述区域内的普通节点进行安全认证；然后每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。由此，本发明解决WSN节点安全认证时的密钥托管问题，实现WSN网络的数据的安全传输。并且，本发明提供的系统及方法，保证在比较节能的前提下保证节点传输信息的安全。并且，锚节点使用在一定程度上可以使得认证算法不必过多消耗普通节点的能量，形成一种数据传递与安全保证两个方便相对分开的系统体系；解决传统方法的证书管理问题，节省资源。优选的，本发明提供的方法及系统可用于对传输的数据安全性比较高的WSN系统以及需要保证节点数据不被伪造的场合。例如在森林中使用这中方案搭建温度传感器网络，就能够保证传输的数据是真实的，防止不法分子的恶作剧节点攻击避免浪费警力人力。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种保证无线传感器网络的数据传输方法，其特征在于，包括：

节点设置步骤：在需要采集数据的区域内设置多个锚节点；

节点认证步骤：通过所述无线传感器网络的SINK端和多个所述锚节点对所述区域内的普通节点进行安全认证；

数据传输步骤：每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。

2.根据权利要求1所述的数据传输方法，其特征在于，在所述数据传输步骤之前还包括：

分簇步骤：所述SINK端对所述普通节点进行分簇，并选出每簇的所述簇头节点；

所述锚节点为预设的可信任节点。

3.根据权利要求1所述的数据传输方法，其特征在于，所述节点设置步骤包括：在所述需要采集数据的区域内局域内预先设置多个所述锚节点；

在所述需要采集数据的区域内局域内随机分布多个所述普通节点；

在以每个所述锚节点为中心，且距离所述锚节点于预定距离的区域内的多个所述普通节点为所述锚节点的邻居节点。

4.根据权利要求3所述的数据传输方法，其特征在于，所述节点认证步骤包括：

所述SINK端接收安全参数和所述区域内的所有的所述邻居节点用户标识输入后，产生所述邻居节点的无证书签名的公钥和私钥，并向所述邻居节点对应的锚节点返回认证参数和所述公钥，以及向每个所述邻居节点返回认证参数、所述公钥和私钥；

每个所述锚节点的邻居节点采用所述认证参数和所述私钥通过预设的无证书认证算法生成第一签名；

每个所述锚节点将接收到所述认证参数和所述公钥通过预设的无证书认证算法对所述第一签名进行验证，在通过验证时，则认证所述邻居节点为可靠节点；在未通过验证时，则认证所述邻居节点为非可靠节点。

5.根据权利要求4所述的数据传输方法，其特征在于，所述公钥和私钥的产生步骤包括：

通过预设的密钥算法，在所述SINK端输入安全参数后返回公共参数和系统主密钥；

通过所述密钥算法，输入系统参数、系统主密钥以及所述邻居节点的身份标识，输出部分私钥；

通过所述密钥算法，在所述锚节点输入所述系统参数和所述邻居节点的身份标识，则输出所述邻居节点的秘密值；

通过所述密钥算法，在sink端输入所述系统参数所述部分私钥和所述秘密值，则输出所述私钥；

通过所述密钥算法，在sink端输入所述系统参数和所述秘密值，输出所述公钥。

6.根据权利要求4所述的数据传输方法，其特征在于，在所述节点认证步骤之前还包括：

每个所述锚节点向所述SINK端返回其邻居节点的节点信息；并且每个所述锚节点存储其所述邻居节点的节点信息；

所述认证参数包括：所述邻居节点的身份标识、公共参数、认证要求信息。

7.根据权利要求3所述的数据传输方法，其特征在于，所述分簇步骤包括：

所述SINK端对所述普通节点进行分簇，并选出每簇的簇头节点；

所述SINK端将对所述普通节点的分簇的结果信息传递到所述普通节点以及所述簇头节点。

8.根据权利要求3所述的数据传输方法，其特征在于，所述数据传输步骤包括：

所述普通节点收集所述数据，并在将所述数据传递到其所属的簇的簇头节点时与所述簇头节点进行安全认证；

在通过所述安全认证后，将所述数据传递到所述簇头节点；

所述簇头节点按照预定的多跳网络方式与所述多跳网络中的下一个簇头节点进行安全认证，在通过所述安全认证后，将所述数据传递到所述下一个簇头节点；

在所述按照预定的多跳网络方式中的最后一个簇头节点接收所述数据，并与所述SINK端完成安全认证后，将所述数据传递到所述SINK端。

9.根据权利要求8所述的数据传输方法，其特征在于，所述安全认证通过无证书签名算法实现；

在所述无证书签名算法中，所述锚节点协助所述普通节点和所述簇头节点产生私钥和密钥。

10.一种用于实现如权利要求1～9任一项所述的数据传输方法的系统，其特征在于，所述系统包括：

多个锚节点，设置于需要采集数据的区域内；

所述无线传感器网络的SINK端，用于与多个所述锚节点对所述区域内的普通节点进行安全认证；

每个簇头节点接收在其所属簇中通过所述安全认证的普通节点传输的数据后，按照预定的多跳网络方式传递所述数据直至所述SINK端。