CN110691358B - 无线传感器网络中基于属性密码体制的访问控制系统 - Google Patents

无线传感器网络中基于属性密码体制的访问控制系统 Download PDF

Info

Publication number
CN110691358B
CN110691358B CN201911115586.5A CN201911115586A CN110691358B CN 110691358 B CN110691358 B CN 110691358B CN 201911115586 A CN201911115586 A CN 201911115586A CN 110691358 B CN110691358 B CN 110691358B
Authority
CN
China
Prior art keywords
cluster head
base station
module
data user
head node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911115586.5A
Other languages
English (en)
Other versions
CN110691358A (zh
Inventor
李伟
张彤
司敬
张永静
郑春一
朱英泮
李同宇
李景田
徐海
高晓琼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jinghang Computing Communication Research Institute
Original Assignee
Beijing Jinghang Computing Communication Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jinghang Computing Communication Research Institute filed Critical Beijing Jinghang Computing Communication Research Institute
Priority to CN201911115586.5A priority Critical patent/CN110691358B/zh
Publication of CN110691358A publication Critical patent/CN110691358A/zh
Application granted granted Critical
Publication of CN110691358B publication Critical patent/CN110691358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/32Connectivity information management, e.g. connectivity discovery or connectivity update for defining a routing cluster membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

本发明属于无线传感器网络中数据加解密技术领域,具体涉及一种无线传感器网络中基于属性密码体制的访问控制系统。为使通过基站和传感器节点认证的数据用户访问传感器节点的实时数据,且不同类型的数据用户可以被赋予不同的访问权限,而认证不通过的用户则无权访问数据,该系统包括:预先部署模块、安全信道建立模块、基站端访问结构生成模块、基站端认证模块、簇头节点认证模块、簇头节点加密模块、数据用户端解密模块。与现有方案对比,本发明在保障数据安全性的同时,提高了数据访问控制的效率。

Description

无线传感器网络中基于属性密码体制的访问控制系统
技术领域
本发明属于无线传感器网络中数据加解密相关技术领域,具体涉及一种无线传感器网络中基于属性密码体制的访问控制系统。
背景技术
早在20世纪九十年代,美国商业周刊就曾撰文指出无线传感器网络将成为21世纪最重要的技术之一。我国在2020年中长期规划(纲要)中也指出无线传感器网络是我国需要重点突破的核心技术。随着微电子技术和无线通信技术的不断进步,使信息采集、数据处理和通信等功能得以集成在微小体积内,这进一步推动了多功能传感器的快速发展。无线传感器网络由大量部署在监测区域的微型传感器组成,传感器节点之间进行无线通信,相互交换信息以自组织的形式构成网络。节点监测的数据通过其他节点以逐跳的形式进行传输。在这一过程中,监测数据可能会被多个中继节点处理,这些数据经过多跳路由之后传输到基站,最后通过互联网或其他通信链路到达数据用户。对于大规模的网络,可以采用聚类分层的模式,将网络中的传感器节点分成多个簇结构。每个簇中都有一个簇头节点来负责收集该簇内所有节点采集的数据,这些数据在簇头节点经过数据融合后,发送到基站。
近年来,随着无线传感器网络应用的多样化,用户对于网络中数据的访问控制成为了一个热点问题。在无线传感器网络中,认证用户允许对数据进行访问。通过有效的访问控制机制,可以为认证用户提供正确信息以及不同服务资源的访问权限。而通过适当的用户认证,不同类型的用户可以被赋予不同的访问权限。在医疗保健和战场监测等应用场景中,专家的实时监视至关重要。因此,传感器所感知的实时数据需要由认证用户在必要时直接监视。所以在允许用户访问敏感的实时数据之前,其必须通过网络中的基站和传感器节点对特定的访问权限进行身份认证。
因此需要发明一种无线传感器网络中的访问控制系统,能够使通过基站和传感器节点认证的数据用户访问传感器节点的实时数据,且不同类型的数据用户可以被赋予不同的访问权限,而认证不通过的用户则无权访问数据。该访问控制系统应在保证数据安全性的前提下,同时具有较高的访问控制效率。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提供一种无线传感器网络中基于属性密码体制的访问控制系统。
(二)技术方案
为解决上述技术问题,本发明提供一种无线传感器网络中基于属性密码体制的访问控制系统,所述访问控制系统包括:预先部署模块、安全信道建立模块、基站端访问结构生成模块、基站端认证模块、簇头节点认证模块、簇头节点加密模块、数据用户端解密模块;
所述预先部署模块用于在无线传感器网络中,对传感器节点和簇头节点进行预先部署;
所述安全信道建立模块用于在传感器节点、簇头节点和基站之间建立安全信道;
所述基站端访问结构生成模块用于在数据用户在基站注册时,为数据用户生成访问结构和智能卡;
所述基站端认证模块和簇头节点认证模块用于在数据用户登录无线传感器网络时,共同对数据用户的身份进行认证;
所述簇头节点加密模块用于加密实时数据,并向数据用户传输加密后的数据;
所述数据用户端解密模块用于对接收到的数据进行解密,获得数据明文。
其中,所述预先部署模块包括:网络参数生成单元、网络参数加载单元;
所述网络参数生成单元用于基于有限域上的超奇异曲线构建的椭圆曲线群,生成无线传感器网络中的相关网络参数;
所述网络参数加载单元用于将相关网络参数加载到每个簇头节点的存储器中。
其中,所述相关网络参数包括:
基站随机选取一个不低于160比特的大素数作为椭圆曲线群的阶;
在椭圆曲线群上选取随机数与属性空间中的每个属性元素相对应;
基站为每个簇头节点和传感器节点选取的唯一标识符;
其中,所述属性空间是由无线传感器网络中所有无线传感器的所有属性元素所组成的集合。
其中,所述安全信道建立模块在传感器节点、簇头节点和基站之间建立安全信道,表示:
一旦传感器节点被部署成功,其便定位通信范围内的相邻节点;簇头节点在各自的簇中定位相邻的传感器节点,也定位其通信范围内的其他簇头节点;为了传感器节点和其所在簇的簇头节点以及其他传感器节点之间的安全通信,节点之间需要建立会话密钥;因此,在传感器节点和簇头节点之间建立会话密钥;至此,传感器节点可以与其相邻节点和簇头节点安全通信,簇头节点可以与其他簇头节点及基站安全通信。
其中,所述基站端访问结构生成模块工作之前,先由数据用户将其唯一标识符、口令和随机数通过复合运算生成注册请求信息,并发送给基站;
基站收到数据用户的注册请求信息后,由所述基站端访问结构生成模块为其生成一个访问结构,所述访问结构是一个由属性空间内的属性元素组成的逻辑表达式,由访问树表示,其访问树的叶子节点表示属性元素,非叶子节点表示门限,基站利用拉格朗日插值定理为访问树中的每个节点构造一个多项式;
所述基站端访问结构生成模块将相关网络参数、访问结构、数据用户的注册时间戳、所有的簇头节点的引导时间和到期时间信息存入智能卡,并将智能卡发至数据用户处。
其中,所述基站端认证模块和簇头节点认证模块工作之前,
由数据用户将其智能卡插入特定终端的读卡器,并输入其唯一标识符和口令,智能卡对唯一标识符和口令进行验证,若验证不通过,则终止流程;若验证通过,智能卡生成包含数据用户的唯一标识符和口令的部分登录信息;数据用户再选择其想要访问的簇头节点,与智能卡生成的部分登录信息组成完整的登录信息,由数据用户发送至基站;
所述基站端认证模块收到登录信息后,首先进行身份认证,若不通过,则终止流程;若认证通过,基站端认证模块将认证信息发送至相应的簇头节点处,簇头节点处的簇头节点认证模块再次进行身份认证,若不通过,则终止流程;若认证通过,即确认数据用户是要访问该簇头节点所提供的实时数据。
其中,所述登录信息由数据用户利用建立安全信道时生成的会话密钥通过对称加密算法加密后发送至基站。
其中,所述基站端认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息;在基站端认证模块认证通过后,基站端认证模块将登录信息利用会话密钥通过对称加密算法加密后发送至对应的簇头节点处;
所述簇头节点的簇头节点认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息。
其中,所述簇头节点加密模块包括:密钥生成单元、相关值生成单元、簇头节点信息发送单元;
所述密文生成单元利用该簇头节点的唯一标识符和数据用户的唯一标识符以及簇头节点的引导时间和数据用户的注册时间戳生成对称密钥,利用对称加密算法加密实时数据,生成密文;
所述簇头节点的相关值生成单元利用簇头节点存储器中保存的随机数为属性集合中的每个属性元素计算生成一个相关值,并记录生成该相关值时的时间戳,将该时间戳记作簇头节点的时间戳;
然后由簇头节点信息发送单元将相关值、密文生成单元实时加密生成的密文以及簇头节点的时间戳一并发送给数据用户;
所述数据用户端解密模块接收簇头节点信息发送单元发送的信息之后,首先利用哈希算法对其消息认证码进行验证,以确保消息的完整性,若验证不通过,则终止流程;若验证通过,则数据用户利用其访问结构与簇头节点的属性集合中的属性元素的相关值进行计算,恢复出对称密钥,并利用对称解密算法得到数据明文。
其中,所述数据用户端解密模块的相关值计算过程为:由访问树的叶子节点自下而上地进行,最终达到访问树的根节点,从而恢复出对称密钥,随后数据用户利用对称解密算法得到数据明文,从而获得其想要访问的簇头节点的实时数据。
(三)有益效果
与现有技术相比较,本发明提供一种无线传感器网络中基于属性密码体制的访问控制系统,能够使通过基站和传感器节点认证的数据用户访问传感器节点的实时数据,且不同类型的数据用户可以被赋予不同的访问权限,而认证不通过的用户则无权访问数据。在本方案中,数据用户能够高效安全地访问无线传感器网络中的实时数据。
其具备如下有益效果:
(1)将基于属性的密码体制运用到无线传感器网络中,使得不同类型的数据用户根据其访问结构的不同,被赋予特定的访问权限,进而使访问控制机制更加灵活;
(2)通过基站和传感器节点共同认证的数据用户能够高效安全地访问无线传感器网络中特定簇头节点的实时数据。
附图说明
图1为本发明技术方案的方法流程图。
图2为本发明技术方案网络结构示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
为解决现有技术问题,本发明提供一种无线传感器网络中基于属性密码体制的访问控制系统,如图1及图2所示,所述访问控制系统包括:预先部署模块、安全信道建立模块、基站端访问结构生成模块、基站端认证模块、簇头节点认证模块、簇头节点加密模块、数据用户端解密模块;
所述预先部署模块用于在无线传感器网络中,对传感器节点和簇头节点进行预先部署;
所述安全信道建立模块用于在传感器节点、簇头节点和基站之间建立安全信道;
所述基站端访问结构生成模块用于在数据用户在基站注册时,为数据用户生成访问结构和智能卡;
所述基站端认证模块和簇头节点认证模块用于在数据用户登录无线传感器网络时,共同对数据用户的身份进行认证;
所述簇头节点加密模块用于加密实时数据,并向数据用户传输加密后的数据;
所述数据用户端解密模块用于对接收到的数据进行解密,获得数据明文。
其中,所述预先部署模块包括:网络参数生成单元、网络参数加载单元;
所述网络参数生成单元设置于基站,用于基于有限域上的超奇异曲线构建的椭圆曲线群,生成无线传感器网络中的相关网络参数;
所述网络参数加载单元设置于基站,用于将相关网络参数加载到每个簇头节点的存储器中。
其中,所述相关网络参数包括:
基站随机选取一个不低于160比特的大素数作为椭圆曲线群的阶;
在椭圆曲线群上选取随机数与属性空间中的每个属性元素相对应;
基站为每个簇头节点和传感器节点选取的唯一标识符;
基站为每个簇头节点和传感器节点生成的主密钥;
其中,所述属性空间是由无线传感器网络中所有无线传感器的所有属性元素所组成的集合。
其中,所述安全信道建立模块在传感器节点、簇头节点和基站之间建立安全信道,表示:
一旦传感器节点被部署成功,其便定位通信范围内的相邻节点;簇头节点在各自的簇中定位相邻的传感器节点,也定位其通信范围内的其他簇头节点;为了传感器节点和其所在簇的簇头节点以及其他传感器节点之间的安全通信,节点之间需要建立会话密钥;因此,利用现有的密钥建立方案在传感器节点和簇头节点之间建立会话密钥;至此,传感器节点可以与其相邻节点和簇头节点安全通信,簇头节点可以与其他簇头节点及基站安全通信。
其中,所述基站端访问结构生成模块工作之前,先由数据用户将其唯一标识符、口令和随机数通过包括哈希和连接等运算在内的复合运算生成注册请求信息,并通过安全信道发送给基站;
基站收到数据用户的注册请求信息后,由所述基站端访问结构生成模块为其生成一个访问结构,所述访问结构是一个由属性空间内的属性元素组成的逻辑表达式,由访问树表示,其访问树的叶子节点表示属性元素,非叶子节点表示门限,基站利用拉格朗日插值定理为访问树中的每个节点构造一个多项式;
所述基站端访问结构生成模块将相关网络参数、访问结构、数据用户的注册时间戳、所有的簇头节点的引导时间和到期时间信息存入智能卡,并将智能卡发至数据用户处。
其中,所述基站端认证模块和簇头节点认证模块工作之前,
由数据用户将其智能卡插入特定终端的读卡器,并输入其唯一标识符和口令,智能卡对唯一标识符和口令进行验证,若验证不通过,则终止流程;若验证通过,智能卡生成包含数据用户的唯一标识符和口令的部分登录信息;数据用户再选择其想要访问的簇头节点,与智能卡生成的部分登录信息组成完整的登录信息,由数据用户发送至基站;
所述基站端认证模块收到登录信息后,首先进行身份认证,若不通过,则终止流程;若认证通过,基站端认证模块将认证信息发送至相应的簇头节点处,簇头节点处的簇头节点认证模块再次进行身份认证,若不通过,则终止流程;若认证通过,即确认数据用户是要访问该簇头节点所提供的实时数据。
其中,所述登录信息由数据用户利用建立安全信道时生成的会话密钥通过对称加密算法加密后发送至基站。
其中,所述基站端认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息;在基站端认证模块认证通过后,基站端认证模块将登录信息利用会话密钥通过对称加密算法加密后发送至对应的簇头节点处;
所述簇头节点的簇头节点认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息。
其中,所述簇头节点加密模块包括:密钥生成单元、相关值生成单元、簇头节点信息发送单元;
所述密文生成单元利用该簇头节点的唯一标识符和数据用户的唯一标识符以及簇头节点的引导时间和数据用户的注册时间戳生成对称密钥,利用对称加密算法加密实时数据,生成密文;
所述簇头节点的相关值生成单元利用簇头节点存储器中保存的随机数为属性集合中的每个属性元素计算生成一个相关值,并记录生成该相关值时的时间戳,将该时间戳记作簇头节点的时间戳;
然后由簇头节点信息发送单元将相关值、密文生成单元实时加密生成的密文以及簇头节点的时间戳一并发送给数据用户;
所述数据用户端解密模块接收簇头节点信息发送单元发送的信息之后,首先利用哈希算法对其消息认证码进行验证,以确保消息的完整性,若验证不通过,则终止流程;若验证通过,则数据用户利用其访问结构与簇头节点的属性集合中的属性元素的相关值进行计算,恢复出对称密钥,并利用对称解密算法得到数据明文。
其中,所述数据用户端解密模块的相关值计算过程为:由访问树的叶子节点自下而上地进行,最终达到访问树的根节点,从而恢复出对称密钥,随后数据用户利用对称解密算法得到数据明文,从而获得其想要访问的簇头节点的实时数据。
此外,本发明还提供一种无线传感器网络中基于属性密码体制的访问控制方法,其特征在于,如图1及图2所示,其包括如下步骤:
步骤1:在无线传感器网络中,对传感器节点和簇头节点进行预先部署;
步骤2:在传感器节点、簇头节点和基站之间建立安全信道;
步骤3:数据用户在基站注册,基站为数据用户生成访问结构和智能卡;
步骤4:数据用户登录无线传感器网络,并由基站和簇头节点共同对数据用户的身份进行认证;
步骤5:簇头节点加密实时数据,并向数据用户传输加密后的数据,数据用户。
其中,所述步骤1包括:
步骤11:基于有限域上的超奇异曲线构建的椭圆曲线群,基站生成无线传感器网络中的相关网络参数;
步骤12:基站将相关网络参数加载到每个簇头节点的存储器中。
其中,所述相关网络参数包括:
基站随机选取一个不低于160比特的大素数作为椭圆曲线群的阶;
在椭圆曲线群上选取随机数与属性空间中的每个属性元素相对应;
基站为每个簇头节点和传感器节点选取的唯一标识符;
基站为每个簇头节点和传感器节点生成的主密钥;
其中,所述属性空间是由无线传感器网络中所有无线传感器的所有属性元素所组成的集合。
其中,所述步骤2中,一旦传感器节点被部署成功,其便定位通信范围内的相邻节点;簇头节点在各自的簇中定位相邻的传感器节点,也定位其通信范围内的其他簇头节点;为了传感器节点和其所在簇的簇头节点以及其他传感器节点之间的安全通信,节点之间需要建立会话密钥;因此,利用现有的密钥建立方案在传感器节点和簇头节点之间建立会话密钥;至此,传感器节点可以与其相邻节点和簇头节点安全通信,簇头节点可以与其他簇头节点及基站安全通信。
其中,所述步骤3包括:
步骤31:数据用户将其唯一标识符、口令和随机数通过包括哈希和连接等运算在内的复合运算生成注册请求信息,并通过安全信道发送给基站;
步骤32:基站收到数据用户的注册请求信息后,为其生成一个访问结构,所述访问结构是一个由属性空间内的属性元素组成的逻辑表达式,由访问树表示,其访问树的叶子节点表示属性元素,非叶子节点表示门限,基站利用拉格朗日插值定理为访问树中的每个节点构造一个多项式;
步骤33:基站将相关网络参数、访问结构、数据用户的注册时间戳、所有的簇头节点的引导时间和到期时间信息存入智能卡,并将智能卡发至数据用户处。
其中,所述步骤4包括:
步骤41:数据用户将其智能卡插入特定终端的读卡器,并输入其唯一标识符和口令,智能卡对唯一标识符和口令进行验证,若验证不通过,则终止流程;若验证通过,智能卡生成包含数据用户的唯一标识符和口令的部分登录信息;数据用户再选择其想要访问的簇头节点,与智能卡生成的部分登录信息组成完整的登录信息,由数据用户发送至基站;
步骤42:基站收到登录信息后,首先进行身份认证,若不通过,则终止流程;若认证通过,基站将认证信息发送至相应的簇头节点处,簇头节点再次进行身份认证,若不通过,则终止流程;若认证通过,即确认数据用户是要访问该簇头节点所提供的实时数据。
其中,所述步骤41中,登录信息由数据用户利用建立安全信道时生成的会话密钥通过对称加密算法加密后发送至基站。
其中,所述步骤42中,基站收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息;在基站认证通过后,基站将登录信息利用会话密钥通过对称加密算法加密后发送至对应的簇头节点处;
所述簇头节点收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息。
其中,所述步骤5包括:
步骤51:簇头节点利用其唯一标识符和数据用户的唯一标识符以及簇头节点的引导时间和数据用户的注册时间戳生成对称密钥,利用对称加密算法加密实时数据,生成密文;
步骤52:簇头节点利用其存储器中保存的随机数为属性集合中的每个属性元素计算生成一个相关值,并记录生成该相关值时的时间戳,将该时间戳记作簇头节点的时间戳;然后将相关值、步骤51实时加密生成的密文以及簇头节点的时间戳一并发送给数据用户;
步骤53:数据用户接收步骤52中簇头节点发送的信息之后,首先利用哈希算法对其消息认证码进行验证,以确保消息的完整性,若验证不通过,则终止流程;若验证通过,则数据用户利用其访问结构与簇头节点的属性集合中的属性元素的相关值进行计算,恢复出对称密钥,并利用对称解密算法得到数据明文。
其中,所述步骤53中的计算过程为:由访问树的叶子节点自下而上地进行,最终达到访问树的根节点,从而恢复出对称密钥,随后数据用户利用对称解密算法得到数据明文,从而获得其想要访问的簇头节点的实时数据。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (3)

1.一种无线传感器网络中基于属性密码体制的访问控制系统,其特征在于,所述访问控制系统包括:预先部署模块、安全信道建立模块、基站端访问结构生成模块、基站端认证模块、簇头节点认证模块、簇头节点加密模块、数据用户端解密模块;
所述预先部署模块用于在无线传感器网络中,对传感器节点和簇头节点进行预先部署;
所述安全信道建立模块用于在传感器节点、簇头节点和基站之间建立安全信道;
所述基站端访问结构生成模块用于在数据用户在基站注册时,为数据用户生成访问结构和智能卡;
所述基站端认证模块和簇头节点认证模块用于在数据用户登录无线传感器网络时,共同对数据用户的身份进行认证;
所述簇头节点加密模块用于加密实时数据,并向数据用户传输加密后的数据;
所述数据用户端解密模块用于对接收到的数据进行解密,获得数据明文;
其中,所述预先部署模块包括:网络参数生成单元、网络参数加载单元;
所述网络参数生成单元用于基于有限域上的超奇异曲线构建的椭圆曲线群,生成无线传感器网络中的相关网络参数;
所述网络参数加载单元用于将相关网络参数加载到每个簇头节点的存储器中;
其中,所述相关网络参数包括:
基站随机选取一个不低于160比特的大素数作为椭圆曲线群的阶;
在椭圆曲线群上选取随机数与属性空间中的每个属性元素相对应;
基站为每个簇头节点和传感器节点选取的唯一标识符;
其中,所述属性空间是由无线传感器网络中所有无线传感器的所有属性元素所组成的集合;
其中,所述安全信道建立模块在传感器节点、簇头节点和基站之间建立安全信道,表示:
一旦传感器节点被部署成功,其便定位通信范围内的相邻节点;簇头节点在各自的簇中定位相邻的传感器节点,也定位其通信范围内的其他簇头节点;为了传感器节点和其所在簇的簇头节点以及其他传感器节点之间的安全通信,节点之间需要建立会话密钥;因此,在传感器节点和簇头节点之间建立会话密钥;至此,传感器节点可以与其相邻节点和簇头节点安全通信,簇头节点可以与其他簇头节点及基站安全通信;
其中,所述基站端访问结构生成模块工作之前,先由数据用户将其唯一标识符、口令和随机数通过复合运算生成注册请求信息,并发送给基站;
基站收到数据用户的注册请求信息后,由所述基站端访问结构生成模块为其生成一个访问结构,所述访问结构是一个由属性空间内的属性元素组成的逻辑表达式,由访问树表示,其访问树的叶子节点表示属性元素,非叶子节点表示门限,基站利用拉格朗日插值定理为访问树中的每个节点构造一个多项式;
所述基站端访问结构生成模块将相关网络参数、访问结构、数据用户的注册时间戳、所有的簇头节点的引导时间和到期时间信息存入智能卡,并将智能卡发至数据用户处;
其中,所述基站端认证模块和簇头节点认证模块工作之前,
由数据用户将其智能卡插入特定终端的读卡器,并输入其唯一标识符和口令,智能卡对唯一标识符和口令进行验证,若验证不通过,则终止流程;若验证通过,智能卡生成包含数据用户的唯一标识符和口令的部分登录信息;数据用户再选择其想要访问的簇头节点,与智能卡生成的部分登录信息组成完整的登录信息,由数据用户发送至基站;
所述基站端认证模块收到登录信息后,首先进行身份认证,若不通过,则终止流程;若认证通过,基站端认证模块将认证信息发送至相应的簇头节点处,簇头节点处的簇头节点认证模块再次进行身份认证,若不通过,则终止流程;若认证通过,即确认数据用户是要访问该簇头节点所提供的实时数据。
2.如权利要求1所述的无线传感器网络中基于属性密码体制的访问控制系统,其特征在于,所述登录信息由数据用户利用建立安全信道时生成的会话密钥通过对称加密算法加密后发送至基站。
3.如权利要求2所述的无线传感器网络中基于属性密码体制的访问控制系统,其特征在于,所述基站端认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息;在基站端认证模块认证通过后,基站端认证模块将登录信息利用会话密钥通过对称加密算法加密后发送至对应的簇头节点处;
所述簇头节点的簇头节点认证模块收到登录信息后,利用会话密钥通过对称解密算法解密得到登录信息。
CN201911115586.5A 2019-11-14 2019-11-14 无线传感器网络中基于属性密码体制的访问控制系统 Active CN110691358B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911115586.5A CN110691358B (zh) 2019-11-14 2019-11-14 无线传感器网络中基于属性密码体制的访问控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911115586.5A CN110691358B (zh) 2019-11-14 2019-11-14 无线传感器网络中基于属性密码体制的访问控制系统

Publications (2)

Publication Number Publication Date
CN110691358A CN110691358A (zh) 2020-01-14
CN110691358B true CN110691358B (zh) 2022-10-14

Family

ID=69116902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911115586.5A Active CN110691358B (zh) 2019-11-14 2019-11-14 无线传感器网络中基于属性密码体制的访问控制系统

Country Status (1)

Country Link
CN (1) CN110691358B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112188484B (zh) * 2020-09-14 2021-10-26 中标慧安信息技术股份有限公司 适合于传感器网络的安全加密方法
CN112672301B (zh) * 2020-12-21 2022-05-17 兰州工业学院 一种用于无线传感器的网络数据聚合方法
CN113890730A (zh) * 2021-09-23 2022-01-04 上海华兴数字科技有限公司 数据传输方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005459A (zh) * 2007-01-18 2007-07-25 西安电子科技大学 基于密钥链的无线传感器访问控制方法
CN102546650A (zh) * 2012-01-19 2012-07-04 北京工业大学 无线传感器网络与因特网互联通信的端到端安全保障方法
CN105163309A (zh) * 2015-09-10 2015-12-16 电子科技大学 一种基于组合密码的无线传感器网络安全通信的方法
CN105516980A (zh) * 2015-12-17 2016-04-20 河南大学 一种基于Restful架构的无线传感器网络令牌认证方法
CN110351727A (zh) * 2019-07-05 2019-10-18 北京邮电大学 一种适于无线传感网络的认证与密钥协商方法
CN110855435A (zh) * 2019-11-14 2020-02-28 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI401979B (zh) * 2009-10-14 2013-07-11 Ind Tech Res Inst 無線感測網路之存取授權裝置與方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005459A (zh) * 2007-01-18 2007-07-25 西安电子科技大学 基于密钥链的无线传感器访问控制方法
CN102546650A (zh) * 2012-01-19 2012-07-04 北京工业大学 无线传感器网络与因特网互联通信的端到端安全保障方法
CN105163309A (zh) * 2015-09-10 2015-12-16 电子科技大学 一种基于组合密码的无线传感器网络安全通信的方法
CN105516980A (zh) * 2015-12-17 2016-04-20 河南大学 一种基于Restful架构的无线传感器网络令牌认证方法
CN110351727A (zh) * 2019-07-05 2019-10-18 北京邮电大学 一种适于无线传感网络的认证与密钥协商方法
CN110855435A (zh) * 2019-11-14 2020-02-28 北京京航计算通讯研究所 无线传感器网络中基于属性密码体制的访问控制方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
User Authentication for Hiererchical Wireless Sensor Networks;Minsu Park;《2013 14th ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing》;20130916;第203-208页 *
一种无线传感器网络双要素用户认证会话机制;李晓娟;《传感器与微系统》;20160318;第35卷(第1期);第52-53页 *

Also Published As

Publication number Publication date
CN110691358A (zh) 2020-01-14

Similar Documents

Publication Publication Date Title
CN111083131B (zh) 一种用于电力物联网感知终端轻量级身份认证的方法
CN112073379B (zh) 一种基于边缘计算的轻量级物联网安全密钥协商方法
CN102883316B (zh) 建立连接的方法、终端和接入点
CN110691358B (zh) 无线传感器网络中基于属性密码体制的访问控制系统
EP2590356B1 (en) Method, device and system for authenticating gateway, node and server
CN110267270B (zh) 一种变电站内传感器终端接入边缘网关身份认证方法
CN104579679B (zh) 用于农配网通信设备的无线公网数据转发方法
CN109714360B (zh) 一种智能网关及网关通信处理方法
CN108964897B (zh) 基于群组通信的身份认证系统和方法
US20170155647A1 (en) Method for setting up a secure end-to-end communication between a user terminal and a connected object
CN113965930B (zh) 一种基于量子密钥的工业互联网主动标识解析方法及其系统
CN101159639A (zh) 一种单向接入认证方法
CN109691156A (zh) 无线装置的增强型聚合式重新认证
CN110401530A (zh) 一种燃气表的安全通信方法、系统、设备和存储介质
CN105323754A (zh) 一种基于预共享密钥的分布式鉴权方法
CN109150899B (zh) 一种物联网移动通信方法及系统
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN112491908A (zh) 一种基于区块链大数据的安全认证管理系统
CN114915970A (zh) 基于puf的轻量级智能表批量认证方法及网关
CN106452767A (zh) 基于标识认证公钥管理体系的接入认证方法
CN102612035B (zh) 多级分簇无线传感器网络中能量高效的身份认证方法
CN110855435B (zh) 无线传感器网络中基于属性密码体制的访问控制方法
CN110225028A (zh) 一种分布式防伪系统及其方法
CN111435389A (zh) 一种配电终端运维工具安全防护系统
CN114070579A (zh) 一种基于量子密钥的工控业务鉴权认证方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant