无线传感器网络WSN(Wireless Sensor Network)是一种自组织网络,通过大量低成本、资源受限的微型传感器节点设备协同工作实现某一特定任务。这些微型传感器通常由传感部件、数据处理部件和通信部件组成,大量微型传感器构成了自组织的无线传感器网络。无线传感器网络节点的微处理和无线通信能力使无线传感器网络有广阔的应用前景,广泛应用在工业控制、智能家居、消费类电子、安保、军事、物流、农业、环境感知和健康监测等诸多领域。
传感器网络为在复杂的环境中部署大规模的网络,进行实时数据采集与处理带来希望。但同时WSN通常部署在无人维护、不可控制的环境中,除了具有一般无线网络所面临的信息泄露、信息篡改、重放攻击、拒绝服务等多种威胁外,WSN还面临传感节点容易被攻击者物理操纵,并获取存储在传感节点中的所有信息,从而控制部分网络的威胁。用户不可能接受并部署一个没有解决好安全和隐私问题的传感网络,因此必须充分考虑WSN可能面临的安全问题,并把安全机制集成到系统设计中去。只有这样,才能促进传感网络的广泛应用,达成传感网络目标:实现普遍性计算并成为人们生活中的一种重要方式。然而由于无线传感器本身的特点,实现无线传感器网络的安全不是一件容易的事。
WSN是一种大规模的分布式网络,经常部署于无人维护、条件恶劣的环境当中,且大多数情况下传感节点都是一次性使用,从而决定了传感节点是价格低廉、资源极度受限的无线通信设备,它的特点主要体现在以下几个方面:(1)能量有限:能量是限制传感节点能力、寿命的主要的约束性条件,现有的传感节点很多都是通过标准的AAA或AA电池进行供电,并且不能重新充电。(2)计算能力有限:传感节点CPU一般只具有8bit、4MHz~8MHz的处理能力。(3)存储能力有限:传感节点一般包括三种形式的存储器即RAM、程序存储器、工作存储器。RAM用于存放工作时的临时数据,一般不超过2k字节;程序存储器用于存储操作系统、应用程序以及安全函数等,工作存储器用于存放获取的传感信息,这两种存储器一般也只有几十k字节。(4)防篡改性有限:传感节点是一种价格低廉、结构松散、开放的网络设备,攻击者一旦获取传感节点就很轻易获得和修改存储在传感节点中的密钥信息以及程序代码等。
无线传感器网络具有分布性、动态性和开放性的特点,传统的安全机制难以应对其安全需求,而认证技术是无线传感器网络安全的首道屏障。身份认证的目的在于防止伪装。由于恶意节点有可能伪装成合法节点,因此任何部署到工作区域的节点在加入网络之前,首先要与当前可信网络中的节点或基站进行有效的身份认证。外部节点通过网络的身份认证后才能够加入网络,成为网络中可信的节点成员,未能通过认证的节点则不允许加入网络,确保了网络的外部安全。
物理不可克隆函数(Physical Unclonable Function, PUF)是一种新型硬件内生安全技术,可用于安全参数生成(如密钥、初始化向量、随机数和种子)、实体认证或密码模块中的设备识别。PUF通常是由物理实体提供的一个输入与输出的函数关系,且函数关系依赖于物理实体(在物理上)不可克隆的内部结构特征。由于硅基PUF与每个硬件细微的随机性差异相关,函数关系具有物理和数学不可克隆性,产生的芯片指纹信息“不需存储、用时产生、用后即毁”,大幅提升安全性。
通常对于一颗PUF芯片的输入称为挑战(Challenge),输出称为响应(Response),特定的挑战唯+特定的PUF芯片=特定的响应,称为该PUF芯片的挑战响应对(CRP)。每个PUF芯片可以产生不限量的输入-输出函数关系,也就是CRP数据。PUF芯片CRP信息结合合理的流程设计,可用于物联网安全身份标识、接入认证、加密通信和加密存储。
近年来,通过设计高效、小能耗的安全认证方案来保证无线传感器网络的通信安全已经成为无线传感器网络安全研究领域的热点。但是,传统的大多数认证方法不能很好地直接应用于无线传感器网络。在无线传感器网络安全认证方面,由于传感器节点受限的计算能力、存储能力和通信能力,对称密码体制是极适合无线传感器网络特性的。应用对称密码体制时,对称密钥的存储及管理是个技术难点,同时要解决快捷的身份认证技术手段,避免大规模传感器节点并发认证带来网络拥塞问题。为此,本方案应用对称密码体制结合PUF技术,提供了一种适用性选择。
在无线传感器网络中,基于PUF芯片的传感节点与汇聚节点之间建立接入的安全认证和加密通信,可快速构建高安全数据链路,应用特点:
汇聚节点CRP数据基于PUF芯片指纹加密存储;
传感节点不存储密钥,需要时基于PUF芯片产生;
密钥更新时需要基于PUF芯片指纹加密保护。
应用分为接入认证、加密通信和密钥更新三个阶段协议流程。关键特征是汇聚节点预先获得(预存或通过安全信道)传感节点的CRP信息(加密存储),例如N组,一部分CRP数据用来对传感节点进行身份认证,另一部分CRP数据用来生成对称加密密钥,进行数据加密,传递敏感数据或者当预存CRP数据使用完以后,对新提取传感节点的CRP数据加密传递。通信时候随机协商挑战信息实现密钥变换,不需要密钥分发过程,在管理者需要时候可进行批量密钥在线更新(可手动或设置周期)。传感节点保存与汇聚节点同步的挑战值、以及前一个挑战值(对当前响应值同步时加密)。
本解决方案基于PUF技术,通过CRP数据进行身份认证,不占用计算资源,认证快捷安全,避免大规模并行认证造成网络拥塞,同时,仅采用不需要指数运算的对称加密算法进行数据加密,对计算及能耗等负荷压力大大降低,适合条件受限的无线传感器应用场景。
