专利名称:无线传感器网络节点双向身份认证方法
技术领域:
本发明涉及一种基于公钥签名和物理不可复制功能(PUF)的抗复制攻击的无线传感器网络节点双向身份认证方法。
背景技术:
无线传感器网络中,包括公钥签名技术在内的很多身份认证方法常常被用作抵抗网络攻击的重要手段。然而由于节点间身份认证中所需的信息往往都存储在节点内部,因此当某一节点被攻击者捕获后,攻击者很容易便可实现复制攻击,也就是说当节点被攻击者捕获并复制后,其他节点基本无法对其身份进行有效识别。尤其是在移动传感器网络、延迟容忍传感器网络以及RFID等系统当中,由于节点或标签常常疏于维护,因此能否抵抗复制攻击成为网络的一项重要需求。物理不可复制功能(PUF)是近些年出现的一种集成电路(IC)新技术,是一个被具体化在IC内部的物理结构,它利用芯片制造过程中不可避免产生的差异来实现芯片唯一性的辨别。当向PUF提供挑战时,它生成被称为响应的随机输出。由于芯片制造过程中产生的差异本身具有不可模仿和复制的特性,因此认为PUF是“不可复制的”,即难以实施物理复制和/或计算建模。通常将PUF以及能够提高PUF性能的辅助电路和算法包含在芯片之内,以此来实现芯片的抗复制攻击的功能。理想的PUF,具有以下特性1.不可预测性向PUF输入挑战,产生的响应难以预测。2.差异性相同的挑战输入到不同的PUF当中,产生的响应有较大差别且容易区分;不同的挑战输入到同一个PUF当中,产生的响应同样有较大差别且容易区分。3.噪声容许在某种程度上,所有PUF度量都是有噪声的。如果向PUF输入同一挑战,其响应并不一定完全相同,但差异会很小,这是噪声产生的影响。可以通过萃取和纠错码等方法来压制噪声。4.变异性PUF包括在芯片内部且与芯片融为一体。任何企图破坏芯片的行为都将导致PUF的损害和特性的更改。PUF的一个简单例子就是包含有处于随机位置的光散射器的3D光学介质。以激光束入射角作为输入(即挑战)照射PUF,其相应的输出(即响应)则是由光散射器所产生的散斑图案。利用专用节点可将该输出量化成密钥。PUF设计实现的另一方式是利用有介电粒子散布其中的涂层来覆盖集成电路 (IC)。由于集成电路生产工艺的不同,这些介电粒子通常具有不同介电常数、不同的随机形状、以及不同的大小和位置。可以利用位于IC顶部金属层处的传感器元件来对不同涂层位置处的电容值进行局部测量。在该实现方法中,涂层本身具有不可复制的功能。作为介电粒子的随机性结果,所测量的电容值可以形成很好的密钥材料,比如对具有涂层形式PUF 的IC对电容进行测量,并且将该电容值转换成可从其导出的密钥数据。文献“Physical Unclonable Functions for Device Authentication andSecret Key Generation. Proc. of Design Automation Conference. San Diego, California, USA,2007,9_14”给出了一种基于PUF的认证方法。该方法需要将设备的“激励-响应”对存储在数据库中,认证过程中通过查询数据库来确定设备的合法性。这种方法不能使设备摆脱对数据库的依赖,不适用于无线传感器网络等分布式系统。
发明内容
本发明的目的是提供一种不需要通过查找数据库就能够进行节点身份认证的适用于无线传感器网络、延迟容忍网络等无线通信环境下的抗复制攻击节点双向身份认证方法。该无线传感器网络节点双向身份认证方法,包括以下步骤“第一步初始化节点假设需要相互认证的两个节点分别为i和j,则初始化阶段中可信第三方向节点i内部下载有关节点j的认证信息三元组ODjApH(Pj(Ci))X向节点 j内部下载有关节点i的认证信息三元组<IDi,Qi, H(Pi(Cj)));同时将公钥签名算法S、单向哈希函数H、节点的身份标识及其挑战下载到节点当中;第二步节点i首先在网络中广播如下认证请求分组报文来完成邻居发现;
权利要求
1.无线传感器网络节点双向身份认证方法,其特征在于,包括以下步骤第一步初始化节点假设需要相互认证的两个节点分别为i和j,则初始化阶段中可信第三方向节点i内部下载有关节点j的认证信息三元组ODjApH(Pj(Ci))X向节点j内部下载有关节点i的认证信息三元组<IDi,Qi, H(Pi(Cj)));同时将公钥签名算法S、单向哈希函数H、节点的身份标识及其挑战下载到节点当中;第二步节点i首先在网络中播如下认证请求分组报文来完成邻居发现;
2.如权利要求1所述的无线传感器网络节点双向身份认证方法,其特征在于,其中初始化阶段具体步骤如下1)可信第三方为网络中的每个节点随机生成一个挑战;2)可信第三方选择一个单向哈希函数H和一种公钥签名算法S,并为网络中每个节点选择基于该公钥算法的一个公私钥对(Q,k),其中公钥仏公开,私钥1^只有节点i自己知道;3)可信第三方将每个节点的挑战输入到所有其他节点当中,并利用哈希函数H对获得的其他节点的PUF响应进行哈希操作;4)可信第三方将以下数据下载到每个节点当中该节点的身份标识,该节点的挑战, 该节点的公私钥对,哈希函数H及公钥签名算法的相关实现程序,同时可信第三方为每个节点下载存储有其他节点相关信息的三元组表。
全文摘要
本发明为一种无线传感器网络节点双向身份认证方法,由于身份认证过程中认证双方需要根据对方提供的挑战来生成相应的PUF应答,而PUF又是与节点中的芯片不可分割且不可复制,所以保证了节点不能被复制攻击;由于节点每次在申请认证时发送的分组中都设有一次性的随机数,且签名消息也与随机数有关,所以避免了攻击者进行重放攻击;同时节点内部与认证相关的三元组信息和PUF同在一个芯片内部,因此即使攻击者获取了这些信息,但由于破坏了PUF特性,也不能对网络中其他节点构成威胁。
文档编号H04L29/06GK102325131SQ20111020307
公开日2012年1月18日 申请日期2011年7月20日 优先权日2011年7月20日
发明者周亚建, 张冬梅, 杨奎武, 武斌, 王秀娟, 郑康锋 申请人:北京邮电大学