技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)，特別是指一種在傳感器網(wǎng)絡(luò)中進(jìn)行認(rèn)證的方法和傳感器網(wǎng)絡(luò)。

背景技術(shù)

傳感器網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)之間存在很大差別，傳感器網(wǎng)絡(luò)的安全由于其部署環(huán)境的開放性，使得入侵者可以輕易的竊聽、干擾、插入和篡改數(shù)據(jù)包。認(rèn)證技術(shù)是傳感器網(wǎng)絡(luò)中的一種基本安全服務(wù)，認(rèn)證的目的是證明節(jié)點的身份和消息的來源。現(xiàn)有的認(rèn)證技術(shù)提供兩方面的安全保障：一是實體認(rèn)證，傳感器網(wǎng)絡(luò)可確認(rèn)通信節(jié)點的身份，進(jìn)而實現(xiàn)訪問控制、授權(quán)服務(wù)等安全服務(wù)；二是消息源認(rèn)證，為保障傳感器網(wǎng)絡(luò)中的數(shù)據(jù)合法性，防止接收到干擾或非法的數(shù)據(jù)包，通信中接收方需要確認(rèn)收到消息的發(fā)送源。由于傳感器網(wǎng)絡(luò)的部署特點，廣播認(rèn)證是一種有效的消息源認(rèn)證方法；用于傳感器網(wǎng)絡(luò)的廣播認(rèn)證協(xié)議主要有、基于數(shù)字簽名的廣播認(rèn)證方案、基于多MAC的非對稱廣播認(rèn)證方案、μTESLA廣播認(rèn)證方案以及基于Merkle散列樹的廣播認(rèn)證方案等。

基于Merkle散列樹的廣播認(rèn)證方案主要包括以下步驟：初始化階段，匯聚節(jié)點建立含有N個傳感器節(jié)點(葉子節(jié)點)的Merkle散列樹，匯聚節(jié)點在網(wǎng)絡(luò)部署前或部署時，將Merkle散列樹的根節(jié)點值預(yù)裝入或廣播給每個傳感器節(jié)點；消息認(rèn)證階段，匯聚節(jié)點向傳感器節(jié)點廣播帶有輔助認(rèn)證信息的消息包，傳感器節(jié)點根據(jù)輔助認(rèn)證信息計算出的根節(jié)點值與自己已存的根節(jié)點值比較，兩者相同則接收該消息包，否則拒絕消息包。

發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在如下問題：當(dāng)網(wǎng)絡(luò)中存在大量傳感器節(jié)點時，會造成構(gòu)造的Merkle樹過大，節(jié)點存儲空間和通信消耗過多，而傳感器網(wǎng)絡(luò)資源是有限的；其次，廣播認(rèn)證技術(shù)是一種單向認(rèn)證技術(shù)，即傳感器節(jié)點認(rèn)證消息源，只保障了傳感器節(jié)點接收消息包的合法性，而匯聚節(jié)點接收到的來自傳感器節(jié)點的消息包的合法性無法認(rèn)證。

發(fā)明內(nèi)容

本發(fā)明的發(fā)明目的在于實現(xiàn)傳感器節(jié)點與匯聚節(jié)點間的雙向認(rèn)證方案，保障傳感器節(jié)點和匯聚節(jié)點接收消息包的合法性，并節(jié)約節(jié)點的計算開銷、存儲空間和通信開銷。

為解決上述技術(shù)問題，本發(fā)明的實施例提供一種在傳感器網(wǎng)絡(luò)中進(jìn)行認(rèn)證的方法，所述傳感器網(wǎng)絡(luò)包括：一個網(wǎng)絡(luò)根節(jié)點、至少一個匯聚節(jié)點和至少一個網(wǎng)絡(luò)葉子節(jié)點；方法包括：建立至少兩個簇，第一簇包括所述網(wǎng)絡(luò)根節(jié)點和至少一個匯聚節(jié)點，所述網(wǎng)絡(luò)根節(jié)點是所述第一簇的根節(jié)點，至少一個所述匯聚節(jié)點是所述第一簇的葉子節(jié)點；第二簇包括一個所述匯聚節(jié)點和至少一個網(wǎng)絡(luò)葉子節(jié)點，所述匯聚節(jié)點是所述第二簇的根節(jié)點，至少一個所述網(wǎng)絡(luò)葉子節(jié)點是所述第二簇的葉子節(jié)點；在每一個簇中，建立散列樹，所述散列樹的根節(jié)點具有第一根節(jié)點值；所述簇的各個葉子節(jié)點中存放了所述第一根節(jié)點值；所述根節(jié)點發(fā)送一個數(shù)據(jù)包；該簇的葉子節(jié)點接到所述數(shù)據(jù)包，判定所述數(shù)據(jù)包的時間戳合法，根據(jù)所述數(shù)據(jù)包中的輔助認(rèn)證信息計算一第二根節(jié)點值，所述第二根節(jié)點值與所述第一根節(jié)點值相同，認(rèn)定該數(shù)據(jù)包合法。

所述的方法中，還包括：所述葉子節(jié)點是傳感器節(jié)點，所述傳感器節(jié)點驗證所述數(shù)據(jù)包合法后；利用預(yù)先約定的解密算法對所述數(shù)據(jù)包的數(shù)據(jù)部分進(jìn)行解密，得到數(shù)據(jù)。

所述的方法中，還包括：當(dāng)前的簇中的根節(jié)點接到來自該簇中的葉子節(jié)點的數(shù)據(jù)包，判定所述數(shù)據(jù)包的時間戳合法，利用數(shù)據(jù)包中的節(jié)點認(rèn)證路徑計算出一第二葉子節(jié)點地址，第二葉子節(jié)點地址與預(yù)存的第一葉子節(jié)點地址相同；將所述數(shù)據(jù)包加上當(dāng)前時刻的時間戳和所述網(wǎng)絡(luò)根節(jié)點的節(jié)點認(rèn)證路徑，發(fā)送給所述網(wǎng)絡(luò)根節(jié)點。

所述的方法中，所述傳感器網(wǎng)絡(luò)中增加了一個節(jié)點之后，判定所述節(jié)點所在的簇；更新所述簇中各個節(jié)點存放的驗證信息，所述驗證信息包括：該簇對應(yīng)的散列樹的第一根節(jié)點值、本節(jié)點的節(jié)點值、從該簇的根節(jié)點至本節(jié)點的節(jié)點認(rèn)證路徑和后級各個節(jié)點的輔助認(rèn)證信息；所述輔助認(rèn)證信息包括一數(shù)據(jù)項，所述數(shù)據(jù)項中存放當(dāng)前節(jié)點的各下級節(jié)點的節(jié)點值。

所述的方法中，在每一個簇中，建立散列樹包括：建立一個Merkle樹，所述Merkle樹的根節(jié)點是該簇包含的一個所述匯聚節(jié)點，所述Merkle樹的葉子節(jié)點是該簇包括的至少一個所述網(wǎng)絡(luò)葉子節(jié)點；所述Merkle樹還包括多個關(guān)鍵節(jié)點，各個關(guān)鍵節(jié)點構(gòu)成所述根節(jié)點到各個所述葉子節(jié)點的路徑；各個所述關(guān)鍵節(jié)點虛擬存在且不傳輸所述數(shù)據(jù)包。

所述的方法中，根據(jù)所述數(shù)據(jù)包中的輔助認(rèn)證信息計算一第二根節(jié)點值，具體包括：找到發(fā)出所述數(shù)據(jù)包的節(jié)點到達(dá)當(dāng)前的葉子節(jié)點的所有關(guān)鍵節(jié)點；在所述輔助認(rèn)證信息中找到所述所有關(guān)鍵節(jié)點的數(shù)據(jù)項；根據(jù)所述所有關(guān)鍵節(jié)點的數(shù)據(jù)項重構(gòu)一Merkle樹，計算出所述Merkle樹的根節(jié)點的Hash值作為所述第二根節(jié)點值。