0 概述

随着低功耗无线通信技术、微型传感器技术及集成电路技术的飞速发展, 无线传感器网络(Wireless Sensor Network, WSN)在社会生活中的应用越来越广泛^[1]。广播是无线传感器网络中数据分发与收集的主要方式, 不仅应用于网络节点的配置与管理过程, 且常用于节点之间的数据通信^[2]。广播认证是无线传感器网络安全认证中的重要部分, 是保证广播信息完整性和信息源真实性的重要方法。

传统WSN广播信息认证方式主要分为2种, 分别是基于对称加密的方式与基于数字签名的认证方式^[3]。其中, 基于对称加密的对称方式是利用消息认证码MAC的延迟认证, 通过网络节点共享秘密信息或者延迟公布密钥的方式实现认证, 主要为μTESLA^[4]及其改进方案^[5-6], 由于引入了时间延迟机制, 该方案很容易遭受DOS攻击。基于数字签名的认证方式主要是利用公钥密码实现, 但是基于PKC的非对称认证方案^[7]需要复杂的公钥基础设施和数字证书管理^[8], 基于身份的认证方案^[9-10]则将会面临密钥托管问题, 而基于双线性计算的无证书认证方案^[11-12]将会造成极大的计算开销。

针对上述问题, 本文提出一种基于非双线性的无证书WSN广播认证方案, 该方案利用椭圆曲线密码(Elliptic Curve Cryptography, ECC)算法实现认证, 利用节点之间的相互协作, 以减少计算开销, 降低计算复杂度。

1 基础知识 1.1 椭圆曲线密码体制

椭圆曲线密码体制是一种基于有限域上椭圆曲线的公钥密码体制, 能够用较短的密钥长度得到较高的加密强度, 160位ECC算法可以提供大约1 024位RSA算法的加密强度^[13]。假设q是一个λ位素数, 定义在有限域F(p)上的椭圆曲线E包含满足等式y²+xy=x³+ax²+b上的所有点以及一个无穷远的点O, 其中, a, b∈F(p)且4a³+27b²≠0 mod q。假设G为所有点的集合组成的加法循环群, 则G={(x, y):y²=x³+ax+b}∪O, 且G的阶为n, 点P为G的生成元。椭圆曲线上的点乘定义为kP=$\underbrace{P+P+\cdots +P}_{k}$。

1.2 椭圆曲线离散对数问题

假设G为椭圆曲线上的一个阶为q的循环加法群, P是它的一个生成元, 已知P, aP∈G, 对任意a∈F(p), 计算a。

在概率多项式时间(Probabilistic Polynomial Time, PPT)内, 算法Φ成功解决椭圆曲线离散对数(Elliptic Curve Discrete Logarithm, ECDL)问题的优势定义如下:

Adv^ECDL(Φ)=Pr[Φ(P, aP)=a|a∈F(p)]

椭圆曲线离散对数问题的假设:对于任意的概率多项式时间算法Φ, 优势Adv^ECDL(Φ)是可以忽略的^[14]。

2 方案设计 2.1 网络初始化

在无线传感器节点部署到指定区域后, 迅速建立网络连接, 并进行网络初始化。首先, 以基站为网络的密钥生成中心(Key Generation Center, KGC), 并执行以下步骤:

步骤1  产生GF(2ⁿ)上的椭圆曲线E:y²=x³+ax+b(a, b∈GF(2ⁿ)), 任选E上的循环群G中阶为n的生成元P=(px, py)作为公开的基点, 其中, px, py mod q∈GF(2ⁿ)。

步骤2  随机选择s∈GF(2ⁿ)作为基站的主密钥, 计算PK=sP作为公钥。

步骤3  选择2个安全Hash函数:

H₁:{0, 1}^*×G×G→GF(2ⁿ);

H₂:{0, 1}^*×G×{0, 1}^*×{0, 1}^*→GF(2ⁿ)。

步骤4  向网络中公开基站的系统参数Parameter= < G, P, PK, H₁, H₂>。

2.2 节点注册

节点注册的步骤为:

步骤1  节点N_i随机选取秘密值s′_i∈GF(2ⁿ), 计算PK′_i=s′_iP为节点的部分公钥, 将身份标识符ID_i和PK′_i发送给基站。

步骤2  基站选择随机数k_i∈GF(2ⁿ), 计算PK″_i=k_iP以及s″_i=k_i+sH₁(ID_i, PK′_i, PK″_i), 基站通过安全信道将{PK″_i, s″_i}发送给节点N_i, 其中, PK″_i可作为节点的部分公钥, s″_i为节点的部分私钥。此外, 基站保存节点的身份标识符及部分公钥信息PK′_i, 此时节点N_i完成在基站上的注册。

步骤3  节点N_i通过判断等式s″_iP=PK″_i+H₁(ID_i, PK′_i, PK″_i)PK是否成立来确定基站产生的部分公钥与私钥是否正确。结合{PK″_i, s″_i}, 节点N_i产生自己的公私钥对 < PK_i=(PK′_i, PK″_i), s_i=(s′_i, s″_i)>。

2.3 签名产生

当身份标识为ID_a的节点A向网络中广播信息m时, 需要利用其私钥对消息进行签名, 步骤如下:

步骤1  节点A获取时间戳tt并选取随机数r_a∈GF(2ⁿ), 计算R_a=r_aP, h=H₂(tt, ID_a, m, R_a, PK′_a, PK″_a), L=r_a(s′_a+s″_a+h)^-1, 并生成m的签名信息为σ= < h, L>。

步骤2  结合签名信息σ, 节点A生成广播信息δ=(tt, ID_a, m, σ), 并将信息发送给基站。

由于普通节点的通信距离一般较小, 对其直接进行网络广播时, 往往需要通过其他节点进行转发, 这样会增加认证过程的时延且会引起更大的安全风险。因此, 本文考虑以基站为中间人, 基站的通信范围能够覆盖整个网络, 直接与其他节点进行通信。

2.4 广播认证 2.4.1 基站认证

基站收到广播δ后, 首先判断时间戳tt是否较新, 之后根据身份标识ID_a查询节点对应的公钥PK_a=(PK′_a, PK″_a), 并根据公钥信息对签名信息进行验证。计算R′_a=L(PK′_a+PK″_a+h_aPK+hP), 其中, h_a=H₁(ID_a, PK′_a, PK″_a), 再计算Hash值h′=H₂(tt, R′_a, ID_a, PK′_a, PK″_a, m), 并判断h′=h是否成立。如果等式h′=h成立, 则基站通过对广播信息的验证, 并将节点A的公钥信息结合广播信息转发到网络δ′=(tt, ID_a, m, PK′_a, PK″_a, σ)中; 如果验证失败, 则将信息丢弃。

正确性验证过程如下:

R′_a=L(PK′_a+PK″_a+h_aPK+hP)=L(s′_a+k_a+sH₁(ID_a, PK′_a, PK″_a)+h)P=L(s′_a+s″_a+h)P=r_aP=R_a

h′=H₂(tt, R′_a, ID_a, PK′_a, PK″_a, m)=h

2.4.2 网络节点协同认证

网络中的普通节点在收到广播信息δ′后, 同样需要通过判断h′=h来验证信息的真实性。然而从基站的验证过程可知, 判断广播信息的真实性需要计算h_aPK、hP以及LQ共3次点乘以及4次点加运算, 其中, Q=PK′_a+PK″_a+h_aPK+hP。与点加运算相比, 椭圆曲线上的点乘运算需要消耗大量的能量与较长的计算时间。由于节点在认证过程中都需要执行以上3次点乘运算, 因此考虑使用相邻节点进行协同认证, 使网络中的节点先计算h_aPK、hP中的一个值, 并将中间计算结果共享给邻居节点, 以减少邻居节点的计算量, 提高广播认证速度并降低能耗。节点协作广播认证过程如图 1所示。

节点B接收到广播信息后, 首先随机选择计算hP, 并将计算结果发送给其邻居节点, 那么节点C、D、E、F只需要计算h_aPK以及LQ共2次点乘运算即可实现对广播信息的验证。同样, 节点B也可以从其相邻节点中接收到通过接受h_aPK的计算值进行快速认证。在此过程中, 虽然节点增加了一部分接收数据包的过程, 但是远小于计算一次ECC点乘运算的消耗。因此, 通过共享中间点乘计算结果, 每个节点可以减少约33%的能耗。在网络中, 节点一般对其邻居节点的状态比较了解, 因此, 为防止网络中的恶意节点散播虚假中间计算值, 规定节点只能从其相邻节点处接收中间计算值。

2.5 预防攻击

虽然通过节点协同认证减少了计算消耗, 但是容易引起中间人攻击。恶意节点通过散布虚假点乘计算值, 使其相邻的合法节点认为接收到的广播信息不可信, 从而干扰广播信息的传输。为避免此类信任欺骗, 本文对方案进一步改进, 引入系统参数ω和θ。假设节点B计算的点乘结果为hP, 节点等待θ时间之后, 从其λ个相邻节点中接收到ω个计算中间值, 包括ω₁个h_aPK₁和ω₂个hP₁。节点判断接收到的数据中是否含有与自身计算结果不同的hP, 如果发现有不同的hP, 则传感器节点向基站发送报告存在隐藏攻击; 节点查找数据包中是否有自身需要的点乘运算结果h_aPK, 如果有多个值且不相同, 节点同样向基站报告存在潜在攻击; 如果接收到的h_aPK值相同, 则节点只需要在进行一次点乘运算LQ后即可完成验证; 如果接收到的h_aPK值不同, 则由节点本身计算h_aPK得到R′_a=LQ, 并得到h′=H₁(tt, R, ID_a, PK′_a, PK″_a, m), 完成对广播信息的验证。

在本文方案中, 对于ω的选择, 假设传感器节点B共有υ个可以直接通信的相邻节点, 且都将计算结果发送给B, 网络中传感器节点被攻击者影响的概率为τ, 则节点最多收到υτ个虚假中间值, 即至少有ω-υτ个合法的中间值。同时, 只有节点接收到的h_aPK₁全为虚假值, 且ω-υτ个合法的中间值全为hP₁时, 才会对广播信息认证的结果产生影响。否则, 节点将放弃所有数据包, 并向基站发送报告。因此, 为了抵御节点信任欺骗造成的共谋攻击, 需要尽量保证接收到的h_aPK₁的数量大于相邻恶意节点的数量。

因为每个合法节点初始选择计算的点乘值随机, 所以节点受到共谋攻击的概率为ϑ=1/2^ω-υτ。为了使得ϑ < 1%, 设置λ≥ω≥υτ+7。关于等待时间θ的选取, 应该使节点B能够在θ时间内接收到ω个数据包。θ值取决于节点的数据传输时间以及无线收发器的退避延时, 退避延时主要是指节点在接收或者发送数据前对信道空闲状态进行检测的等待时间。因此, 设置网络的等待时间为θ≥(PackSize/TransRate+T)ω, 其中, PackSize表示一个点乘计算结果h_aPK或hP的数据大小, TransRate表示节点的数据传输速率, T表示节点的退避延时。

3 安全性分析 3.1 安全模型证明

根据AL-RIYAMI等人^[15]针对无证书密码体系(CL-PKC)提出的安全模型, 本文主要考虑以下2种攻击:

1) 挑战者A₁是一个恶意的网络参与节点, 不能获取系统的主私钥, 但是可以查询和替换网络中的合法节点的公钥。

2) 挑战者A₂是一个恶意的PKG, 可以获取系统的主密钥, 但是无法同时替换网络中合法节点的公钥信息。

挑战者A₁的安全性证明过程如下:

定理1  在随机预言机模型下, 假如挑战者A₁可以在PPT内以不可忽略的优势ε赢得相关游戏(游戏的详细定义见文献[13]), 则算法Φ能以不可忽略的优势$Ad{{v}^{\text{ECDL}}}\left( \mathit{\Phi } \right)={{\left( 1-\frac{{{q}_{{{H}_{1}}}}}{q} \right)}^{{{q}_{cu}}}}{{\left( 1-\frac{1}{{{q}_{cu}}} \right)}^{{{q}_{ep}}}}\left( 1-\frac{{{q}_{{{H}_{2}}}}}{q} \right)\frac{1}{{{q}_{cu}}}\varepsilon $在PPT内解决ECDL(G, P, PK=sP)问题。其中, q_H1、q_H2、q_cu、q_ep分别表示进行H₁查询、H₂查询、新节点注册查询以及部分私钥提取查询。

证明  令算法Φ为二元组 < P, aP>的计算困难问题解决者, 其目标是计算出a。Φ以挑战者A₁作为子程序并充当游戏的挑战者。Φ创建列表L_u、L₁、L₂分别记录新节点注册查询、H₁查询、H₂查询的结果。游戏开始时, 所有的列表为空。

1) 第一阶段

算法Φ随机选择一个ID_T作为目标节点, 设置参数Parameter= < n, P, PK, H₁, H₂>, 并发送给挑战者A₁。

2) 第二阶段

挑战者A₁向Φ发送查询信息并接收Φ的回复信息, 具体如下:

(1) H₁查询:列表L₁中的数据格式为(ID_i, PK′_i, PK″_i, h₁), 当Φ接收到挑战者A₁对H₁的查询信息ID_t时, 若存在(ID_t, PK′_t, PK″_t, h₁)∈L₁, 则返回对应的h₁给挑战者A₁; 否则, 挑战者A₁对ID_t的新节点注册查询, 之后Φ返回L₁中相应的元组给挑战者A₁。

(2) H₂查询:列表L₂中每一项的格式为(tt_i, ID_i, m_i, R_i, PK′_i, PK″_i, h₂), 当Φ接收到挑战者A₁对H₂的查询信息(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t)时, 若存在(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t, h₂)∈L₂, 则返回对应的h₂给挑战者A₁; 否则, Φ随机选取h₂且满足(*, *, *, *, *, *, h₂)∉L₂, 并将(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t, h₂)加入至列表L₂, 并返回h₂给挑战者A₁。

(3) 新节点注册查询(ID_t):列表L_u中每一项的格式为(ID_i, PK′_i, PK″_i, s′_i, s″_i), 当Φ接收到挑战者A₁对ID_t的新节点注册查询时, 若存在(ID_t, PK′_t, PK″_t, s′_t, s″_t)∈L_u, 则返回(PK′_t, PK″_t); 否则, Φ选取随机数s′_t、s″_t和h₁, 计算PK′_i=s′_iP, PK″_i=h₁PK+s″_tP。如果ID_t=ID_T, Φ随机选取k_t, s′_t, 计算PK′_t=s′_tP, PK″_t=k_tP, s″_t=NULL。检查列表L₁, 若已经存在(ID_t, PK′_t, PK″_t, H₁(ID_t, PK′_t, PK″_t)), 且H₁(ID_t, PK′_t, PK″_t)≠h₁, 则游戏终止; 否则, 返回(PK′_t, PK″_t), 并将(ID_t, PK′_t, PK″_t, s′_t, s″_t)保存至L_u, (ID_t, PK′_t, PK″_t, h₁)保存至L₁。

(4) 公钥替换查询(ID_t, PK′_t, PK″_t):挑战者A₁可以选择随机数s′_t, 并将原来的公钥PK′替换为PK′_t=s′_tP参与之后的计算。

(5) 秘密值生成查询(ID_t):Φ接收到对ID_t查询时, 查找列表L_u, 如果存在(ID_t, PK′_t, PK″_t, s′_t, s″_t)∈L_u, 则返回相应的秘密值s′_t; 否则, Φ进行新节点注册查询, 并返回s′_t。

(6) 部分私钥提取(ID_t):如果ID_t=ID_T, 返回s″_t=NULL, 游戏终止; 否则, Φ查找列表L_u, 并返回s″_t。一般情况下, 在进行部分私钥提取查询前, 已经完成了对应的新节点注册查询。

(7) 签名查询(ID_t, m):当接收到签名查询时, 如果ID_t=ID_T, 则终止游戏; 否则, Φ首先搜索列表L_u, L₁, 如果s″_t≠NULL, 获取 < PK′_t, PK″_t, s′_t, s″_t>, 随机选取r_t, 计算R_t=r_tP、h₂=H₂(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t)并加入列表L₂, 计算L_t=r_t(s′_t+s″_t+h₂)^-1, 返回(L_t, h₂); 如果s″_t=NULL, Φ随机选择并返回(L_t, h₂)。

(8) 签名验证查询(ID_t, m, L_t, h₂):挑战者A₁在执行新节点注册查询之后, 获取 < ID_t, PK′_t, PK″_t>, 并向Φ发送签名验证查询。Φ首先在列表L_u中查询 < ID_t, PK′_t, PK″_t>:

① 存在 < ID_t, PK′_t, PK″_t>, 若ID_t≠ID_T, 则查询L₁, 并计算R_t=L_t(PK′_t+PK″_t+h₁PK+h₂P), 如果H₂(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t)=h₂, 则验证通过, 否则, 终止游戏; 若ID_t=ID_T, 查询列表L₂中是否存在(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t, h₂), 若存在, 则验证通过, 否则, 游戏终止。

② 如果列表L_u中不存在 < ID_t, PK′_t, PK″_t>, 即公钥已经被替换, 查询列表L₂中是否存在(tt_t, ID_t, m_t, R_t, PK′_t, PK″_t, h₂), 若存在, 则验证通过, 否则, 游戏终止。

3) 第三阶段

挑战者A₁针对信息 < ID^*, m^*>伪造签名, ID^*=ID_T, 选取随机数r^*, L^*, 计算R^*=r^*P、h₁=(ID_t, PK′_t, PK″_t), 获取伪装签名σ^*= < h₂^*, L^*>。同时, Φ知道替换后的公钥, 如果伪造成功, 那么根据r^*=L^*(s^*′+k^*+sh₁^*+h₂^*), Φ输出s=(r^*-L^*(s^*′+k^*+h₂^*))/L^*h₁^*, 即为ECDL(G, P, PK=sP)问题的解答; 否则, Φ没有解决ECDL问题。

分析算法Φ解决ECDL(G, P, PK=sP)问题的概率。算法Φ成功的条件为:

1) Φ没有停止游戏;

2) σ^*是一个有效的伪装广播信息。

那么Φ的优势Adv(Φ)=Pr[Con₁∧Con₂]=Pr[Con₁]Pr[Con₂|Con₁], 且Pr[Con₂|Con₁]=ε。

算法Φ没有停止游戏的概率如下:

在新节点注册查询时, 游戏未终止的概率为${{\left( 1-\frac{{{q}_{{{H}_{1}}}}}{{{2}^{n}}} \right)}^{{{q}_{cu}}}}$, 在进行部分私钥提取查询时, 游戏未终止的概率为${{\left( 1-\frac{1}{{{q}_{cu}}} \right)}^{{{q}_{ep}}}}$, 签名及验证查询时, 游戏未终止的概率不小于$\frac{1}{{{q}_{cu}}}\left( 1-\frac{{{q}_{{{H}_{2}}}}}{{{2}^{n}}} \right)$, 得到Pr[Con₁]≥${{\left( 1-\frac{{{q}_{{{H}_{1}}}}}{{{2}^{n}}} \right)}^{{{q}_{cu}}}}{{\left( 1-\frac{1}{{{q}_{cu}}} \right)}^{{{q}_{ep}}}}\left( 1-\frac{{{q}_{{{H}_{2}}}}}{{{2}^{n}}} \right)\frac{1}{{{q}_{cu}}}$。

因此, 可以得到算法Φ成功解决ECDL问题的概率为Adv(Φ)≥${{\left( 1-\frac{{{q}_{{{H}_{1}}}}}{{{2}^{n}}} \right)}^{{{q}_{cu}}}}{{\left( 1-\frac{1}{{{q}_{cu}}} \right)}^{{{q}_{ep}}}}\left( 1-\frac{{{q}_{{{H}_{2}}}}}{{{2}^{n}}} \right)\frac{1}{{{q}_{cu}}}\varepsilon $。

挑战者A₂的安全性证明过程如下:

定理2  若挑战者A₂可以在PPT内以不可忽略的ε优势赢得相关游戏(游戏的详细定义见文献[16]), 则算法Φ能以不可忽略的优势Adv^ECDL(Φ)=${\left( {1 - \frac{{{q_{{H_1}}}}}{q}} \right)^{{q_{cu}}}}{\left( {1 - \frac{1}{{{q_{cu}}}}} \right)^{{q_{ep}}}}\left( {1 - \frac{{{q_{{H_2}}}}}{q}} \right)\frac{1}{{{q_{cu}}}}\varepsilon $在PPT内解决ECDL(G, P, PK=sP)问题。其中, q_H1、q_H2、q_cu、q_ep分别表示进行H₁查询、H₂查询、新节点注册查询以及部分私钥提取查询。

证明思路与定理1类似, 这里不再赘述。

3.2 安全属性分析

为了证明本文方案的安全性, 下面对方案的3个典型的安全属性进行分析, 具体如下:

1) 密钥托管

本文采用基于无证书的密码体制, 节点的私钥s_i=(s′_i, s″_i)一部分s′_i由节点随机产生, 另一部分s″_i由基站结合节点的部分公钥产生, 因此即使基站被攻击, 攻击者也无法获取节点的另一部分私钥, 避免了密钥托管的危险。

2) 重放攻击

节点向网络发送的广播信息中含有时间戳信息tt, 可有效防范信息重放攻击, 而且广播信息中通过加入广播者的公钥信息, 并利用Hash函数进行完整性保护, 可以防止攻击者伪造广播者的身份进行攻击。

3) 拒绝服务攻击

本文方案中, 节点利用基站对广播信息进行中间广播, 基站的传输范围可以覆盖整个网络, 因此可以避免信息在网络节点中的大部分传输延迟。对广播信息的认证是通过非对称密码实时进行签名认证的, 每个节点都接收到了完整的广播信息, 节点只是利用其有限个相邻节点的计算结果进行协同认证, 设定了相应的阈值来避免DOS攻击。而且, 在检测到攻击时, 节点可以将潜在攻击报告发送给基站, 并对网络进行安全检测, 识别出恶意的攻击者。

4 方案性能分析

对方案性能进行分析时, 为了更接近真实情况, 设置节点为具有1个工作频率为8 MHz ATmega处理器的MicaZ平台, 节点的工作电压为3 V, 工作状态下节点的电流为8 mA, 接收电流为10 mA, 发送电流为27 mA, 最大数据传输速率为250 Kb/s^[17]。由于基站的计算能力和电量不受限制, 因此本文在性能分析中不对其进行讨论。

4.1 形式化分析

假设每个传感器节点只从其邻居节点中接收ω个中间计算结果。节点的计算开销只考虑进行点乘计算的能耗, 节点信息传输的能耗只与传输信息的长度有关, 已知|G|=2n, 则进行如下定义:

E_S、E_R分别为发送和传输一个字节信息的能量消耗, E_M为计算一次点乘的能耗, l₁、l₂、l₃分别为节点身份标识ID_i的长度、时间戳tt的长度以及需要广播的信息m的长度。

考虑到160 bit的ECC密码安全性与1 024 bit的RSA安全性相当, 设置ECC的密钥长度n=160、l₁=2 Byte、l₂=2 Byte、l₃=80 Byte; 设置参数ω=15, 同时, 根据实际传感器的性能, 设置E_S=2.59 μJ/Byte、E_S=0.96 μJ/Byte。在ATmega处理器上完成一次160 bit点乘运算大约需要0.81 s^[18], 因此, E_M=19.44 mJ。

一次广播信息认证过程的能耗情况如下:

1) 发送广播信息的节点能量消耗

节点需要广播信息长度为l₃的信息m时, 总共需要消耗E_M+(l₁+l₂+l₃)E_S=19.66 mJ。

2) 认证广播信息的节点能量消耗

节点单独进行广播消息认证时, 共需要执行3次点乘运算, 总的能耗为3E_M+(l₁+l₂+l₃+2|G|/8)E_R=58.48 mJ。在节点协同认证过程中, 节点减少一次点乘运算能耗19.44 mJ, 增加ω次接收信息和1次发送信息的能耗(2nE_S+2ωnE_R)/8=0.68 mJ, 因此, 共需要消耗约2E_M+(l₁+l₂+l₃+2|G|)E_R+(2nE_S+2ωnE_R)/8=39.72 mJ。

由此可以看出, 使用中间值共享的方式虽然增加了一定的能耗来进行数据的传输, 但是能量值非常小。在广播信息认证过程中, 每个节点的能耗减少大约为18.76 mJ, 理论上提升了32%。

在网络广播认证的时延方面, 本文方案减少了节点进行一次点乘运算的时间, 大约为0.81 s。虽然网络中增加了防共谋攻击机制, 引入了退避时延θ, 但是θ值很小, 一般在微秒级, 不会对认证时间产生较大的影响。

4.2 实验分析

本文在仿真时, 假设400个节点随机均匀分布在360×360 m²的区域内, 设置的节点通信半径为50 m。实验基于C++语言在OMNet++平台上进行仿真, 设备选用一台运行Windows 7、拥有i5-3210M处理器、4.00 GB RAM的笔记本。

在实验过程中, 选择文献[19-20]以及不执行节点协作的认证方案进行对比分析。在进行网络认证之后, 重复进行30次广播信息认证, 记录每个节点的能量消耗情况, 同时记录每次广播认证完成的时延。统计各方案完成一次广播信息认证中整个网络的平均总能耗和平均时间, 结果如表 1所示。

从表 1可以看出, 本文方案的能耗相比不进行节点协作的方案降低约30.0%, 相比文献[19]方案减少了约28.6%, 相比文献[20]方案减少了约45.9%。同时, 本文方案的广播认证时间比不进行节点协作的方案降低了约19.5%, 相比文献[19]方案减少了约18.1%, 相比文献[20]方案减少了约31.3%。

假设节点的能量由两节容量为500 mAh的AA电池提供, 整个网络中的总能量为2 160 000 J。假设节点的电压低于2.2 V时, 网络就不能正常工作, 此时网络总能量低于约为1 600 000 J, 则各方案下的网络生存周期如图 2所示。

从图 2可以看出, 本文方案的网络生存周期最长, 可以达到33 000轮左右, 而如果不进行节点协作, 网络在进行23 100轮左右的广播认证之后就不能正常工作。

5 结束语

针对WSN节点信息广播认证方案中安全性较低等问题, 本文提出一种基于ECC的无证书广播认证方案, 利用节点相互协作来共享中间计算结果, 有效减少了节点的计算消耗, 延长了网络的生存周期。实验结果表明, 该方案具有较强的安全性和优化资源消耗能力, 能够满足WSN的应用需求。下一步将对邻居节点协作方式进行优化, 以期达到更好的节能效果和安全性能。