冷洋

針對ZigBee網(wǎng)絡(luò)節(jié)點入網(wǎng)認證機制中存在認證機制不完善、協(xié)調(diào)器的負載過大的不足，設(shè)計了基于多因子的ZigBee安全認證機制，以特定周期更新的新鮮因子并將其與節(jié)點硬件信息綁定，匹配節(jié)點上傳的密鑰信息因子和配置因子完成身份認證以防止非法節(jié)點入網(wǎng)對整個網(wǎng)絡(luò)造成危害。安全性分析及測試結(jié)果表明，該機制在保證網(wǎng)絡(luò)節(jié)點入網(wǎng)安全的前提下實現(xiàn)了協(xié)調(diào)器的負載均衡，改善了其綜合性能。

【關(guān)鍵詞】ZigBee 多因子 安全認證

1 引言

ZigBee是具有功耗低、成本低、時延短、抗干擾性強的短距離無線通信技術(shù)，廣泛應(yīng)用于無線網(wǎng)絡(luò)領(lǐng)域。但由于網(wǎng)絡(luò)規(guī)模大，數(shù)據(jù)通信量小，環(huán)境安全難于控制。因此，出現(xiàn)了一系列針對ZigBee入網(wǎng)及通信安全的研究，如針對網(wǎng)絡(luò)安全威脅與攻擊、信任機制、節(jié)點身份認證[1]等。文獻[2]提出的基于信任中心的認證方案，能夠解決移動節(jié)點問題，但加重了協(xié)調(diào)器的負擔。文獻[3]指出適合ZigBee節(jié)點身份認證的技術(shù)，但其僅適合單播通信節(jié)點的認證，在多播通信節(jié)點中會使組密鑰信息泄露，導致網(wǎng)絡(luò)不安全；當密鑰因子泄露時會導致系統(tǒng)處于不安全狀態(tài)。

綜上所述結(jié)合非對稱密碼體制認證方案以及MAC層協(xié)議，提出一種適用于ZigBee網(wǎng)絡(luò)的“新鮮因子+配置信息+密鑰”多因子安全認證方案，設(shè)計簇頭與控制中心、終端的雙向認證流程，保證入網(wǎng)節(jié)點的合法性，抵御中間人攻擊以及有效降低了協(xié)調(diào)器的負載，提高了ZigBee網(wǎng)絡(luò)的綜合性能。

2 多因子安全認證機制設(shè)計

方案中采用橢圓曲線密碼機制。簇頭發(fā)送入網(wǎng)請求幀，控制中心經(jīng)認證通過后與簇頭建立網(wǎng)絡(luò)連接。然后，終端節(jié)點發(fā)送入請求幀，經(jīng)簇頭認證通過后建立整個網(wǎng)絡(luò)結(jié)構(gòu)。其具體的認證入網(wǎng)流程如下。

CHj在獲取到NC的公鑰PuKNC后將初始對稱密鑰keyic、IEEE地址、初始配置時間和網(wǎng)絡(luò)ID加密發(fā)送給NC并且C=（keyic||Ad||Tdata||PANID）。NC計算DeECCk（c）得到keyic、Ad、Tdata和PANID后生成index（i）及Ti將該索引項信息存入控制中心合法節(jié)點庫中。NC構(gòu)造m=將發(fā)送給CHj。NC生成初始D并將含有該隨機數(shù)的信標幀M以周期T0廣播發(fā)送到各節(jié)點。CHj接收到NC發(fā)送的包含有D的信標幀后利用單向函數(shù)變換得到自身硬件信息因子H并保存。NC接收到消息m1檢測T3到是否新鮮，檢測通過后驗證簽名的有效性隨后查找索引項index（j），利用當前的D計算硬件信息因子H并提取TLi和Tdata與消息m1中的字段匹配，匹配成功時NC獲取當前時間戳T4并構(gòu)造消息m2=向CHj發(fā)送消息m3=。CHj提取m3的簽名驗證字段，驗證通過時檢測T3T4的合理性然后確定m2來自于NC并更新兩者之間的對密鑰keyid從而完成CHj與NC的雙向認證。

3 測試與分析

為了驗證本方案設(shè)計的三種協(xié)議對入網(wǎng)性能的影響，設(shè)置兩組對比實驗，實驗組一協(xié)調(diào)器與終端里的協(xié)議設(shè)置為基于Zigbee自身的協(xié)議；實驗組二協(xié)調(diào)器與終端的協(xié)議設(shè)置為本方案設(shè)計的通信協(xié)議協(xié)議。將兩組設(shè)備分別接入可信路由節(jié)點，記錄設(shè)備入網(wǎng)成功所用的時間。

實驗組2認證入網(wǎng)成功所用的平均時間略高于實驗組1（相差5ms以內(nèi)），在用戶體驗時，時延可以忽略，達到了協(xié)調(diào)器負載均衡的要求。因此本方案設(shè)計的安全協(xié)議性能達到了預期要求。可知本方案基于多因子安全認證機制的優(yōu)點，協(xié)調(diào)器負載率明顯降低，免疫力更強，擴展性更好，具有更高的優(yōu)越性，相比原有的Zigbee規(guī)范中的認證方案，本方案在實現(xiàn)Zigbee節(jié)點的認證通信開銷很小，同時有效的減小了協(xié)調(diào)器負載，提高了綜合性能。既能在安全方面實現(xiàn)設(shè)備之間的安全身份認證，又能在性能上滿足用戶的響應(yīng)時間需要。

4 結(jié)語

基于ZigBee網(wǎng)絡(luò)以其低功耗、高安全性、網(wǎng)絡(luò)節(jié)點容量大、低成本等特點必定將受到社會的青睞，本方案針對ZigBee網(wǎng)絡(luò)缺乏身份認證以及協(xié)調(diào)器負載過大，從ZigBee網(wǎng)絡(luò)的路由協(xié)議方面入手，結(jié)合分簇路由協(xié)議，并在深入把握ZigBee協(xié)議規(guī)范和組網(wǎng)技術(shù)的基礎(chǔ)上，設(shè)計了一種多因子的ZigBee安全認證機制，對簇頭與控制中心、簇頭與終端節(jié)點的雙向認證進行了設(shè)計。有效解決了ZigBee節(jié)點入網(wǎng)認證存在的安全問題，實驗測試與分析結(jié)果表明系統(tǒng)設(shè)計達到預期要求，有效降低了通信開銷，使協(xié)調(diào)器達到負載均衡，同時增強了ZigBee節(jié)點安全入網(wǎng)認證的性能。

參考文獻

[1]Roszainiza Rosli，Yusnani Mohd Yusoff，Habibah Hashim. Performance Analysis of ID-Based Authentication on Zigbee Transceiver[C]2012IEEESymposium on Wireless Technology and Applications，012.USA：IEEE，2012.

[2]LeeKyunghwa，LeeJoohyun，ZhangBongduk，etal.An enhanced trust center based authentication in ZigBee networks[C].Advances in Information Security and Assurance，LectureNotes in Computer Science，Seoul，2009，5576：471-484.

[3]楊同豪，郁濱.基于身份的ZigBee節(jié)點認證方案[J].計算機工程與設(shè)計， 2012，11：1000-7024（2012）11-4127-04

作者單位

鄭州信息科技學院 河南省鄭州市 450000