本發明屬于物聯網安全技術領域，涉及一種大規模無線傳感器網絡協同身份驗證方法。基于分布式思想，采用協作策略，將網絡中所有節點上的存儲空間看作大型池來緩存驗證后的公鑰證書。所有傳感器設備構造CLoc定位器，在網絡初始化后執行冷啟動改進算法；當設備需要驗證公鑰證書時，首先查詢基于布谷鳥散列的定位器，若得到緩存信息，則與其通信完成驗證。此外，還設計了在動態網絡中評估設備可信度的傳感器信任模型。本發明的效果和益處是大大縮短了平均驗證時間并且顯著降低了計算以及空間復雜度，有利于在維護無線傳感器網絡長期運行的基礎上實現安全的身份驗證。

技術領域

本發明屬于物聯網安全技術領域，特別涉及到用于映射傳感器及其驗證者的定位器結構(CLoc，Cuckoo Locator)、協同驗證協議、冷啟動改進算法以及信任模型技術，具體是一種大規模無線傳感器網絡協同身份驗證方法，可用于大規模物聯網中的設備身份認證。

背景技術

近年來，由于工業自動化、智能設備、智慧城市的新興應用，物聯網引起了人們的極大關注。物聯網的感知層由一組在空間上分散分布并且有專用的傳感器組成，用于監測和記錄環境中的物理數據并在中央組織收集的數據，這些傳感數據具有極高的利用價值，需要安全、高效的收集處理。同時，由于無線傳感器網絡的應用目的以及資源受限的特性，使其成為入侵以及其他攻擊的誘人目標。因此，無線傳感器網絡安全問題是保障物聯網系統正常運作的基礎，具備研究價值與應用價值。

無線傳感器網絡的安全需求是基于信息系統的安全等級三個性質(CIA)構建的，包含機密性、完整性以及可用性。機密性是指安全機制必須確保只有預期的接受者才能夠正確的解析消息內容，并且防止未經授權的訪問和使用；機密性是CIA的基礎，而完整性則是確保未經授權的用戶不能夠破壞或更改敏感信息的內容；可用性是指安全機制要在確保系統或網絡能夠在不中斷的情況下執行安全保護任務。而傳感器設備的身份認證將是保障無線傳感器網絡安全需求的源頭問題，只有保障了網絡中設備身份的安全、可驗證，才能夠為后續的安全機制以及數據收集任務提供基礎。

傳感器身份驗證多發生于以下場景：

(1)協議中的身份驗證過程，用于在兩個終端設備或一個設備與服務器之間建立安全通道。

(2)傳感器設備檢索由其他傳感器收集并存儲在云中的傳感數據時，需要驗證數據的完整性和真實性，以確保數據不會被篡改或部分丟失。對傳感數據進行數字簽名適用于這種情況，為了驗證由私鑰簽名的數據的正確性，設備需要先驗證其公鑰證書來驗證公鑰，確保設備身份真實可靠。

無線傳感器網絡中，基于對稱密碼體制的認證方案如μTESLA(micro Timed,Efficient,Streaming,Loss-tolerant Authentication)廣播認證協議及其擴展協議的方案，都存在著需要時間同步、密鑰公開存在延時無法及時進行認證以及存在著DoS(Denialof Service)攻擊等問題。基于非對稱密碼體制進行廣播的身份驗證方案可以解決基于對稱密碼體制的問題。此外，當前主流的身份認證方案多數基于公鑰密碼體制和數字簽名技術，雖然針對無線傳感器網絡具有很多改進的技術和方法，但是與外部網絡進行交互通信時依舊需要驗證數字簽名，驗證數字證書，因此在計算、存儲以及能量資源受限的無線傳感器網絡中實現高效的非對稱式加密算法是有必要的。

傳統互聯網中多基于公鑰基礎設施(Public Key Infrastructure,PKI)機制，通過可信的簽證機構(Certificate Authority,CA)構建包含用戶公鑰等相關信息的X.509數字證書，任何用戶通過獲取CA的公鑰就可以獲得證書中的用戶公鑰，從而驗證證書持有者發送的經私鑰簽名的數據，并驗證數據發送方的身份。而證書驗證流程需要一定的加解密操作以及存儲資源，這在普通的計算設備或者服務器上可以輕松的完成，但是對于以節省能耗為要求，并且計算與存儲資源有限的傳感器網絡而言是不適合實現的。例如，使用優化的方法來進行證書驗證僅需要一個簽名驗證操作，而不是驗證完整的證書鏈，但證書驗證仍然需要1.9s的時間，并且基于證書的公鑰操作占總處理時間的95％，這是令人不愿意看到的情況。