摘 要： 針對WSN數(shù)據(jù)聚集安全算法通信與計算成本較高的問題，提出一種基于同態(tài)加密與改進橢圓曲線密碼學的WSN安全數(shù)據(jù)聚集算法。首先，采用有態(tài)公鑰加密算法降低加密算法的計算與通信成本，并且分別使用同態(tài)加密與消息認證碼聚集密文與簽名；然后，基站可提取每個節(jié)點的數(shù)據(jù)，驗證消息的完整性、發(fā)送者的合法性以及識別惡意節(jié)點；最終，基于TelosB平臺進行實驗，并且使用快速算法實現(xiàn)橢圓曲線標量乘法降低該方法的執(zhí)行時間。實驗結果表明，該方法在保證數(shù)據(jù)安全性的前提下，計算成本與通信成本均明顯低于其他同類型算法。

關鍵詞： 無線傳感器網(wǎng)絡； 數(shù)據(jù)采集； 有態(tài)公鑰加密； 同態(tài)加密； 橢圓曲線密碼學

中圖分類號： TN915.08?34； TP391 文獻標識碼： A 文章編號： 1004?373X（2016）19?0056?07

Abstract： To solve the high communication and computation overheads of the data security aggregation algorithm of WSN， a homomorphic encryption and improved elliptic curve cryptography（ECC） based security aggregation algorithm of WSN is proposed. The stateful public key encryption algorithm is used to reduce the communication and computation overheads， and the homomorphic encryption and message authentication code are used to aggregate the ciphertext and signature respectively. The base station extracts the data of each node to verify the integrity of all messages and validity of the senders， and identify the malicious nodes. The experiment is performed based on TelosB platform. The fast algorithm is used to realize the elliptic curve scalar multiplication to reduce the execution time of this algorithm. The experimental results show that the computation and communication overheads of the proposed algorithm are lower than those of other similar algorithms on the premise of ensuring the complete data security.

Keywords： wireless sensor network； data acquisition； stateful public key encryption； homomorphic encryption； elliptic curve cryptography

0 引 言

傳統(tǒng)的WSN安全聚集協(xié)議對每跳傳輸進行加解密處理。傳感器對采集的數(shù)據(jù)加密后發(fā)送至聚集節(jié)點，聚集節(jié)點解密，然后運行聚集函數(shù)，最終將加密數(shù)據(jù)發(fā)送至上級聚集節(jié)點或基站[1?3]。此類算法可提高網(wǎng)絡的帶寬與能量效率，但極大地增大了計算開銷與傳輸延遲。此外，聚集節(jié)點可操作明文數(shù)據(jù)，因此無法保證數(shù)據(jù)的端到端完整性。

近期，許多研究[4?5]在聚集過程中采用同態(tài)加密隱藏敏感信息，使得簇首無需解密操作，即可直接對密文進行聚集處理，由此保證了數(shù)據(jù)的端到端安全性，同時簇首無需加解密的操作。

文獻[6?8]對上述問題提出了改進方法，采用同態(tài)加密進行WSN的數(shù)據(jù)處理，簇首無需解密，即可直接處理密文數(shù)據(jù)，此類方法保證了端到端的完整性，并且聚集節(jié)點無需額外的計算。然而，上述方法對不同聚集請求的計算與通信成本較高。

本文提出一種基于同態(tài)加密[9]與改進橢圓曲線密碼學[10]的WSN安全數(shù)據(jù)聚集算法（HEEEC），采用有態(tài)的公鑰加密（StPKE）[11]保證端到端的安全性。此外，本方法基于TelosB傳感器網(wǎng)絡平臺實現(xiàn)，測試了算法的安全性能、計算與通信成本，結果表明，本方法具有較高的安全性，同時計算、通信成本均較低。

1 系統(tǒng)模型與設計目標

1.1 StPKE（有態(tài)公鑰加密）

1.5 攻擊模型

將攻擊者按攻擊能力分為以下三類：

類型1：竊聽WSN傳輸?shù)臄?shù)據(jù)；

類型2：偽造非法數(shù)據(jù)包與響應數(shù)據(jù)包，修改數(shù)據(jù)包并響應數(shù)據(jù)包已傳輸；

類型3：對傳感器進行能量分析使節(jié)點妥協(xié)。

文獻[15]的CDA（隱藏數(shù)據(jù)聚集）方法對攻擊類型1與2作出安全性分析，文獻[16]對類型3做了實驗分析。類型1旨在推理出密鑰，最基本的方法是分析密文，并推理出密鑰，其中已知明文攻擊與選擇明文攻擊是常用且有效的攻擊方式。WSN中的類型2攻擊旨在干擾網(wǎng)絡通信，主要包括數(shù)據(jù)包偽造與重放攻擊等[15]。類型3主要包括妥協(xié)攻擊與邊信道攻擊等[16]。

2 本文HEEEC方法

HEEEC由兩個主要階段組成：轉發(fā)階段與聚集階段。首先，傳感器發(fā)出其狀態(tài)；然后，傳感器基于節(jié)點狀態(tài)對數(shù)據(jù)加密并驗證；之后，簇首將所有的密文使用同態(tài)操作與Xor操作融合為一個密文；最終，BS對聚集的數(shù)據(jù)進行驗證、解密與明文檢索等操作。

2.1 建立階段

文獻[11]為StPKE引入了ECC（橢圓曲線密碼），有效地提高了安全性。對于圖1所示的拓撲，BS生成密鑰對[（x，Y）]，其中[Y=xG]，BS將密鑰[x]隱藏。每個傳感器[Sij]加載一個密鑰[SKBSij，]并與BS共享該密鑰，將橢圓曲線密碼域參數(shù)設為集合[（Y，E，p，G，n）]，其中[Y]是公鑰；[E]是橢圓曲線；[p]是素域；[G]是基點；[n]是階。

2.2 轉發(fā)階段

轉發(fā)階段，每個節(jié)點發(fā)出狀態(tài)[Stij，]聚集階段基于節(jié)點的狀態(tài)生成密鑰。使用HKDF獲得認證密鑰：將[nonce]作為迭代變量計算出PRF的輸出[Kij，]然后將其作為認證的密鑰。每個傳感器[Sij]執(zhí)行算法1，然后將結果（[Stij]與[MACij]）發(fā)至下一跳。數(shù)據(jù)轉發(fā)示意圖如圖2（a）所示。

2.3.1 加密

首先，傳感器[Sij]將采集的數(shù)據(jù)[mij]編碼，然后，將其加密。本文編碼函數(shù)使用對稱加密，速度快于非對稱加密，而且密文較短。聚集階段，HKDF輸出兩個密鑰，即[Kij1，][Kij2，]其中[Kij1

2.3.2 數(shù)據(jù)聚集

簇首聚集所有的數(shù)據(jù)，如圖2（b）所示。CH將收集的[L-1]個密文與其自身的密文融合為一個密文[Cagg，]并將所有的MAC融合為[MACagg，]如算法4所示。使用模加運算同態(tài)地聚集密文，使用異或操作計算MAC。然后，將輸出（[Cagg]與[MACagg]）發(fā)送至BS或者最近的簇首。相反，如果未收到某個節(jié)點的數(shù)據(jù)包，CH則通知BS該情況。

2.3.3 數(shù)據(jù)驗證

BS對聚集的所有數(shù)據(jù)包進行解密與驗證。首先使用各節(jié)點的狀態(tài)（存儲于BS數(shù)據(jù)庫）計算所有節(jié)點的密鑰；然后，BS解密聚集的密文并推導每個獨立的明文，如算法5所示；最終，BS計算每組[（Cij，MACij）]，并檢查端到端完整性，如果驗證成功，則接收聚集數(shù)據(jù)[eagg]；否則拒絕該數(shù)據(jù)。BS檢查所有的[（Cij，MACij）]，即可檢測出惡意節(jié)點。在本文方法中，沒有感應數(shù)據(jù)的節(jié)點也產(chǎn)生一個加密與簽名MAC，確保所有的傳感器參與聚集過程，從而防止文獻[12]的問題。

3.1 安全性分析

HEEEC包括兩個階段：轉發(fā)階段與聚集階段。

定理1 轉發(fā)階段將狀態(tài)[Stij]傳遞至BS是安全的。

證明：使用密鑰[Kij]計算MAC，而[Kij]則由[rijY]與[SKBSij]推導（采用HKDF）而來，節(jié)點與BS共享密鑰，因此[xStij=rijY，]BS可通過[x]與[SKBSij]驗證所有數(shù)據(jù)包的完整性與發(fā)送者的合法性。同時，考慮到HEEEC使用保存的MAC，因此攻擊者無法偽造傳輸階段的數(shù)據(jù)包。

定理2 對于第一種攻擊類型，HEEEC具有端到端數(shù)據(jù)包的保密性。

證明：本文加密算法改進了Castelluccia的方法[12]，差異在于本文對編碼的明文進行加密，而非對裸數(shù)據(jù)。因為編碼在明文域完成，因此并不影響安全性，HEEEC與文獻[12]的安全性相同，根據(jù)文獻[12]，本文加密在理論上是安全的。

定理3 在第二種攻擊類型下，HEEEC具有端到端數(shù)據(jù)的完整性。

證明：在本文聚集MAC的過程中，直接處理第二種攻擊，如果數(shù)據(jù)完整性被破壞，則端到端驗證會失敗。該情況在文獻[13]中得以證明。而HEEEC對其他幾種常見攻擊也具有理論上的安全性。

重放攻擊：HEEEC對不同的數(shù)據(jù)包使用不同的加密密鑰與驗證。在一定時間[t]之后，攻擊者重放第[t]次聚集階段的數(shù)據(jù)包時，因為基站使用第[i+t]輪的密鑰[k]來驗證數(shù)據(jù)，顯然檢查會失敗。

Mallieability攻擊：文獻[12]的方案無法抵御該攻擊。HEEEC通過聚集MAC，實現(xiàn)了基站對數(shù)據(jù)端到端的完整性以及發(fā)送者身份的驗證。之后，如果加密數(shù)據(jù)被修改，BS的檢查程序則會失敗，BS將拒絕偽數(shù)據(jù)。

3.2 算法的性能實驗與分析

3.2.1 計算開銷分析

基于TelosB平臺（http：//www.xbow.com）進行實驗，采用16 b的德州儀器MSP430F1611微控制器，其FLASH ROM為48 KB，RAM為10 KB，時鐘頻率為8 MHz。分別假設[SM，][MA]與[SG]是一個標量乘法、模加操作與簽名的計算成本。一個[SG]應等同于一個HKDF，因為通過HMAC完成了密鑰推導與簽名的生成。在轉發(fā)階段，每個傳感器必須計算其狀態(tài)并轉發(fā)至基站，共包含[2SM+2SG]個操作；在聚集階段，每個傳感器需要[MA+2SG]個操作計算一個加密與簽名。簇首需[2*（L-1）*MA]個操作實現(xiàn)同態(tài)聚集。因此，對于一個聚集周期，HEEEC的總計算成本是[2SM+2SG+][NS*（NR*（MA+2SG）+2*R*MA*（L-1））]，其中[NS]是一個聚集階段的會話數(shù)量。

本實驗采用TinyOS與TinyECC實現(xiàn)本算法，TinyOS是一個開源低能量無線設備的操作系統(tǒng)[17]，TinyECC是橢圓曲線操作的開源庫[18]，域參數(shù)設為“secp160r1”。實驗中，開發(fā)了一個應用程序，包含狀態(tài)計算、對稱加密以及MAC計算等功能。對于本文的HKDF與簽名，使用庫中提供的HMAC，并將SHA?1作為Hash函數(shù)。在轉發(fā)與聚集階段HKDF均生成一個20 B的密鑰，將[M]設為2160，以防止內(nèi)存溢出。

將本文方法（SWM）與comb[19]方法進行比較。SM是ECC的主要操作，占據(jù)了約80%的密鑰計算時間。在本文實現(xiàn)中，使用SPA（攻擊類型3）安全標量乘法操作提高ECEG的安全性，該方法不僅可以提高計算效率，同時可抵御SPA，同時，該算法僅需要[2w-1]個點，文獻[19]則需要[2w-1，]其中[w]是使用的窗口，將該方法加入庫中。

定理4 HEEEC對第三種攻擊類型具有安全性。

證明：SPA安全算法[20]的操作包括點加與點加倍兩種運算，即[DADA…DADA，]因此，本文的實現(xiàn)不會泄露任何關于密鑰[rij]的信息。

基于TelosB平臺的加密函數(shù)運行時間，如表2所示。Stpke.init（）函數(shù)中預先計算了[G]與[Y，]每個實驗獨立運行30次，取其平均值作為結果統(tǒng)計，因為曲線點[Y]與[G]是固定的，因此可忽略Stpke.init（）的開銷，在網(wǎng)絡拓撲建立之前將各曲線點分布于每個傳感器中。

表2的結果顯示，Comb方法明顯增加了轉發(fā)階段[SM]的運行時間，并且，文獻[20]的方法不僅對SPA具有安全性，速度也較快，分別比SWM（滑動窗口法）與Comb快61%與15%，而這兩個算法無法抵御SPA。HEEEC采用點壓縮技術傳輸節(jié)點的狀態(tài)，并且使用最少的可行比特位來表示一個點，而解壓需要計算素數(shù)域的一個平方根，但該操作僅需基站完成。

在聚集階段，傳感器需要0.081 s完成加密與MAC的生成，成本為[MA+2SG]。與相關研究的成本比較，本文方法效率最高。文獻[13?14]均使用ECEC加密，與本文運行時間相等，有態(tài)加密的主要優(yōu)點是每個加密操作可節(jié)省兩個SM。

3.2.2 通信成本分析

分析可得在轉發(fā)階段，非簇首節(jié)點通信的復雜度是[O（1）]，簇首節(jié)點是[O（L）]，因此，該階段的總通信成本是[R（2L-1）]；在聚集階段，每個傳感器向BS發(fā)送一個數(shù)據(jù)包，即[O（1）]，因此，總通信成本是[N]。在此僅考慮CH節(jié)點與BS直接連接的情況。

本文進行仿真實驗分析本文方法的通信成本與能耗，選擇了廣泛使用的仿真器TOSSIM[21]。使用TinyOS提供的TOSSIM?CC2420仿真器，該仿真器為CC2420無線模型，將本方法與其他兩種方法進行比較YDW[22]，ECSHA[23]，ECYDW與YDW的安全性能與本文方法接近。每組實驗均設立三個仿真場景：分別將50，100，150個傳感器隨機分布于正方形區(qū)域中，并且設立一個基站。

本文方法節(jié)點的狀態(tài)支持橢圓曲線，并且以壓縮格式傳輸狀態(tài)，僅需要[1+[log2p]]個比特，即21 B，HMAC應當輸出160 b，可截斷為10 B。在聚集階段，編碼的明文設為20 B。實驗中，發(fā)送不同的數(shù)據(jù)包，然后計算其成本，分為兩種數(shù)據(jù)包：較長的消息，802.15.4支持高達127 B，缺點為誤碼率較高；將數(shù)據(jù)包分為多個塊，分別發(fā)送每個塊，缺點為延遲較高、數(shù)據(jù)包頭的開銷較大。

本文進行了三組試驗，每個試驗運行500 s，每個實驗獨立運行10次，取其均值做結果統(tǒng)計。分簇協(xié)議選擇TDMA（時分復用），分別為三個拓撲50，100，150設立4，8，12個簇首。非簇首節(jié)點每20 s發(fā)送一個數(shù)據(jù)包至簇首，簇首聚集數(shù)據(jù)發(fā)送至BS。本文方法的非簇首節(jié)點首先發(fā)送其狀態(tài)，然后發(fā)送采集的數(shù)據(jù)至BS，將一個轉發(fā)與聚集階段設為1E。

仿真結果顯示，本文方法比其他方法的通信成本低，原因在于本文方法使用有態(tài)公鑰加密，使用對稱加密方法，密文長度較短，數(shù)據(jù)包較小。綜上可以看出，本文方法獲得了優(yōu)于其他方法的安全性，依然保持了較低的通信開銷。

3.2.3 能耗成本分析

能耗是WSN的核心問題，計算與通信直接影響節(jié)點的能耗。使用文獻[24]的能量模型，能耗[E]可表示為[E=U×I×t]，其中[U]表示電壓；[I]表示電流；[t]表示運行時間。如文獻[24]所述，對于2AA電池，電壓大概為3.0 V，MCU打開/關閉無線電時，TelosB驅動的電流是1.8 mA。綜上可計算本文加密函數(shù)的能耗，結果如表3所示。

與其他算法相比，本文方法比其他算法的能耗低，對于相同的安全等級，本文方法明顯提高了網(wǎng)絡生命期，原因在于YDW與ECYDW中節(jié)點需要進行連續(xù)、密集的計算，而本文方法僅在轉發(fā)階段才有開銷較大的操作；在聚集過程中，ECYDW與YDW需要對橢圓曲線進行額外的操作，而本文方法僅需要少量的計算。

4 結 論

本文針對WSN聚集過程的數(shù)據(jù)安全問題，提出了一種基于同態(tài)加密[9]與改進橢圓曲線密碼學[10]的WSN安全數(shù)據(jù)聚集算法。采用StPKE降低加密算法的計算與通信成本，并且分別使用同態(tài)加密與消息認證碼聚集密文與簽名，基站可提取每個節(jié)點的數(shù)據(jù)，驗證消息的完整性、發(fā)送者的合法性以及識別惡意節(jié)點。最終，基于TelosB平臺進行實驗，并且使用快速算法實現(xiàn)橢圓曲線標量乘法降低HEEEC的執(zhí)行時間。實驗結果表明，本文方法在保證了完整的數(shù)據(jù)安全性的前提下，計算成本與通信成本均明顯低于其他同類型算法，具有較高的應用價值。

參考文獻

[1] 吳且，王改云，李小龍.基于最小覆蓋集的WSN數(shù)據(jù)聚集算法[J].計算機工程，2012，38（2）：97?99.

[2] 張堯，葉玲.基于AES的WSN加密算法[J].計算機工程與設計，2015（3）：619?623.

[3] 祁正華，楊庚，陳偉，等.ITBES：一種基于門限與身份的WSN加密簽名方法[J].南京郵電大學學報（自然科學版），2009，29（5）：14?20.

[4] 張永，溫濤，郭權，等. WSN中基于全同態(tài)加密的對偶密鑰建立方案[J].通信學報，2012，33（10）：101?109.

[5] 陳燕俐，傅春福，許建，等.輕量級的數(shù)據(jù)融合隱私保護算法[J].計算機應用，2014，34（8）：2336?2341.

[6] ZHU W T， GAO F， XIANG Y. A secure and efficient data aggregation scheme for wireless sensor networks [J]. Concurrency computation practice experience， 2011， 23（12）： 1414?1430.

[7] OZDEMIR S， XIAO Y. Integrity protecting hierarchical concealed data aggregation for wireless sensor networks [J]. Computer networks， 2011， 55（8）： 1735?1746.

[8] 趙小敏，梁學利，蔣雙雙，等.安全的WSN數(shù)據(jù)融合隱私保護方案設計[J].通信學報，2014，35（11）：154?161.

[9] 劉明潔，王安.全同態(tài)加密研究動態(tài)及其應用概述[J].計算機研究與發(fā)展，2014，51（12）：2593?2603.

[10] 劉永亮，高文，姚鴻勛，等.Aydos等基于橢圓曲線密碼學無線認證協(xié)議的安全性[J].計算機研究與發(fā)展，2006，43（12）：2076?2081.

[11] BELLARE M， KOHNO T， SHOUP V. Stateful public?key cryptosystems： how to encrypt with one 160?bit exponentiation [C]// Proceedings of 2006 13th ACM Conference on Computer and Communications Security. Alexandria： ACM， 2006：380?389.

[12] CASTELLUCCIA C， MYKLETUN E， TSUDIK G. Efficient aggregation of encrypted data in wireless sensor networks [C]// Proceedings of 2005 International Conference on Mobile and Quitous Systems. Washington， D. C.：IEEE， 2005： 109?117.

[13] KATZ J， LINDELL A Y. Aggregate message authentication codes [C]// Proceedings of 2008 Cryptopgraphers Track at the RSA Conference on Topics in Cryptology. San Francisco： Springer?Verlag， 2008： 155?169.

[14] CAMPAGNA M J， BROWN D R L， EBEI N M N. Key agreement using a key derivation key： US 9088408 [P]. 2014?03?22.

[15] PETER S， WESTHOFF D， CASTELLUCCIA C. A survey on the encryption of convergecast traffic with in?network processing [J]. IEEE transactions on dependable secure computing， 2010， 7（1）： 20?34.

[16] MEULENAER G D， STANDAERT F X. Stealthy compromise of wireless sensor nodes with power analysis attacks [C]// Proceedings of 2010 International ICST Conference. Barcelona： Springer Berlin Heidelberg， 2010： 229?242.

[17] GAY D， LEVIS P， CULLER D. Software design patterns for TinyOS [J]. ACM transactions on embedded computing systems， 2007， 6（4）： 40?49.

[18] LIU A， NING P. TinyECC： a configurable library for elliptic curve cryptography in wireless sensor networks [C]// Procee?dings of 2008 Information Conference on Information Proces?sing in Sensor Networks. St. Louis， MO.： IEEE， 2008： 245?256.

[19] YEN S M， CHEN C N， MOON S J. Multi?exponentiation algorithm based on binary GCD computation and its application to side?channel countermeasure [J]. Journal of cryptographic engineering， 2012， 2（2）： 99?110.

[20] HEDABOU M， BéNéTEAU L， PINEL P. Some ways to secure elliptic curve cryptosystems [J]. Advances in applied Clifford algebras， 2008， 18（3）： 677?688.

[21] LEVIS P， LEE N， WELSH M， et al. TOSSIM： accurate and scalable simulation of entire TinyOS applications [C]// Proceedings of 2003 International Conference on Embedded Networked Sensor Systems. New York： ACM， 2003： 126?137.

[22] YANG L J， DING C， WU M. An efficient and verifiable privacy?preserving data aggregation scheme for wireless sensor networks [J]. Applied mechanics materials， 2015， 742： 7?10.

[23] BHOOPATHY V， PARVATHI R M S. Energy constrained secure hierarchical data aggregation in wireless sensor networks [J]. American journal of applied sciences， 2012， 8（2）： 1?6.

[24] LIU Z， WENGER E， GRO?SCH?DL J. MoTE?ECC： energy?scalable elliptic curve cryptography for wireless sensor networks [C]// Proceedings of 2014 12th International Conference on Applied Cryptography and Network Security. Lausanne： Springer International Publishing， 2014： 361?379.

[25] KUMAR V， MADRIA S K. Secure hierarchical data aggregation in wireless sensor networks： performance evaluation and analysis [C]// Proceedings of 2012 13th IEEE International Conference on Mobile Data Management. Bengaluru： IEEE， 2012： 196?201.

[26] CHEN C M， LIN Y H， LIN Y C， et al. RCDA： recoverable concealed data aggregation for data integrity in wireless sensor networks [J]. IEEE transactions on parallel distributed systems， 2012， 23（4）： 727?734.