基于同态MAC的无线传感器网络安全数据融合*

魏琴芳，张双杰，胡向东，秦晓良

(1.重庆邮电大学通信与信息工程学院，重庆 400065；2.重庆邮电大学自动化学院，重庆 400065)

无线传感器网络(Wireless Sensor Networks，WSN)由大量资源有限的节点以自组织方式组成，用来监控目标环境，例如森林防火、污染监控、军事应用等。由于传感器网络能量受限及以数据为中心的特点，数据融合技术逐渐得到了重视和广泛应用。作为传感器网络的一项关键技术，数据融合在节省整个网络的能量、提高收集数据的准确性以及提高收集数据的效率方面起着十分重要的作用［1］。但是，大多数情况下，WSN部署在无法控制的、危险性高的环境中。由于物理上的可接触性，WSN更容易受到物理攻击。攻击者不仅可以捕捉和威胁到普通节点，而且还可以控制融合节点，如果融合节点遭到攻击，那么，得到的数据将可能无效，甚至有害［2］。因此，安全是WSN数据融合研究中最重要的问题之一。

在WSN中，数据融合安全主要包括数据的机密性和完整性。机密性是为了防止网络中传输的数据被偷听；完整性则保证数据在传输过程中没有被篡改。为了实现安全的数据融合，研究者提出了各种方案来保证数据融合结果的安全性，它可以分为基于逐跳加密传输的安全数据融合［3－4］和基于端到端加密传输的安全数据融合［5－8］。

端到端的加密方式由于其可以保证数据在融合节点的机密性，降低数据融合节点的计算开销，减少网络延时，受到了越来越多的关注；缺点是无法检测融合数据的完整性。实现端到端加密传输的一个直接且有效的办法就是使用同态加密算法。同态加密算法允许融合节点在不进行解密操作的情况下直接对密文进行运算，运算结果发送至基站再进行解密，得到的最终结果跟直接对明文进行运算的结果一样［9］。

文献［5］提出了一种基于流密钥的CMT(Castelluccia C，Myklentn E，Tsudik G)同态加密算法，它直接采用移位密码进行加密，其加密解密方法简单；但算法存在很突出的问题，即为了成功解密需要发送所有参与融合节点的ID，会造成很大的开销；作者指出，即使只有10%的节点没有响应，方案的总开销也会增加2倍以上，而且网络开销分布极不均匀。针对CMT算法的不足，文献［10－11］提出了两种不同的方案对CMT算法进行改进，试图减少ID传输所带来的额外开销。文献［10］提出一种AIE(Aggregation of Interleaved Encryption)机制，算法引入t值来减少ID的传输开销，但其安全性也随之下降。文献［11］提出一种评估机制来减少ID传输的开销，作者提出3种思路，但均过于理想化，没有实际意义。SEEDA［6］(Secure End－to－End Data Aggregation)同样使用CMT算法进行加密，并提出减少ID传输的方法；算法要求所有节点都要进行信息发送，若节点不响应基站查询，则将其感应数据设为0，然后进行发送；但是如果网络中未响应节点比例过高，则造成较大的额外开销。且以上方案均不能保证融合结果的完整性。

与CMT采用对称密码体制为基础相反，文献［12］比较了几种公钥同态加密算法，认为ECOU(Elliptic Curve Okamoto－Uchiyama)和 ECEG(Elliptic Curve ElGamal)这两种基于椭圆曲线的加密算法具有较少的计算开销及较短的明密文，非常适合于无线传感器网络；文献［7］同样提出基于椭圆曲线密码算法的安全数据融合机制，它允许对密文进行N次加法操作和1次乘法操作，增加了对密文的可操作性。但算法只能保证数据的机密传输，无法检测融合结果的完整性。文献［8］在保证数据机密性的同时，设计了满足同态性质的数字签名来检查融合结果的完整性；但其加密和数字签名均使用基于椭圆曲线密码的非对称密钥，加密解密开销很大。

文献［13］比较了适用于WSN的3种同态加密算法 DFPH(Domingo－Ferrer Privacy Homomorphism)、CMT、ECEG［12］的优点及不足，指出基于流密钥的CMT算法是最具有发展前景的同态加密机制之一；并提出了相应的改进措施，其中包括使用同态消息认证码的思想，但文中并没有给出产生同态消息认证码的方法。

针对上述研究的不足，本文在采用CMT加密的基础上，通过设计基于离散对数的同态消息认证码，实现对数据的完整性检验；同时提出了一种改进的ID传输措施来有效减少通信开销。仿真及性能对比分析表明该方案能够保障融合数据的机密性和完整性，并且能够有效减少ID传输所带来的额外开销。

1 基于同态消息认证码的安全数据融合

1.1 同态加密技术

同态加密技术允许直接对密文进行运算。考虑到加密和解密操作，同态加密非常适合于无线传感器网络，它具有如下性质:

式(1)中，Enc(a)表示用同态加密密钥对明文a进行加密(ENC为Encyption简写)，⊕、⊗指分别对明密文进行某种运算。

1.1.1 CMT 同态加密算法

CMT是一种基于流密钥的加密方法，每个节点i和基站共享密钥种子Ki及伪随机序列生成器。由于其易于执行的特点，非常适合于资源有限的WSN；唯一的不足是为了成功解密，必须发送所有响应节点的ID，会造成较大的开销。下面简单介绍CMT算法。

参数:大整数M

加密:

(1)明文m∈［0，M－1］；

(2)随机生成流密钥k∈［0，M－1］；

(3)密文c=Enc(m，k，M)=(m+k)modM。

解密:m=Dec(c，k，M)=(c－k)modM。

融合:

对于c1=Enc(m1，k1，M)，c2=Enc(m2，k2，M)，则c1，2=c1+c2=Enc(m1+m2，k1+k2，M)

解密时，有 Dec(c1+c2，k1+k2，M)=m1+m2。

其中mod表示取模运算。Enc(m，k，M)表示用密钥k对明文m进行加密，Dec(c，k，M)表示对密文c进行解密(Decyption)。显然，CMT机制具有加法同态的性质。

如果n个不同的密文ci相加，则M必须大于，否则无法保证融合结果的正确性。实际应用中，若p=max(mi)，则M可以选为M=2「log2(p·n)⏋。

1.1.2 基于离散对数的加法同态加密算法

考虑幂函数F=gx，满足F(x1+x2)=F(x1)×F(x2)，由于gx+y=gx×gy。对其进行变换:假设感应信息为d，则d→gdmodp，p为一个素数，g为乘群Gp的一个生成元。如对于d1、d2进行同态加密，有

式(2)～式(4)中，E(d1)表示对d1进行加密。由式(2)、式(3)、式(4)可得E(d1+d2)=E(d1)×E(d2)，故基于离散对数的同态加密算法具有加法同态的性质。

1.2 同态消息认证码

使用§1.1.2提出的基于离散对数的同态加密算法来设计满足加法同态性质的消息认证码。每个节点s和基站共享m个密钥种子ksi(i=1，2，…，m)，如ks={ks1，ks2，…，ksm}。

1.3 改进的ID传输机制

通常节点ID用2字节明文表示，记为Sensor ID。采用文献［15］中设计的方法来表示节点的另一种ID，记为Real ID。它使用固定长度的签名来表示，且每个节点的ID只有一位为高位(1)。各节点共享签名生成算法。2字节的Real ID如表1所列。

表1 2 byte Real ID表示方法

不同子树内的两个节点可以具有相同的Real ID，基站能区分它们。Real ID可以使用按位异或运算来进行融合。

叶节点直接发送自己的Sensor ID给其直接父节点。当中间节点向父节点发送参与融合节点的ID时，首先确定其收到融合节点的ID的类型(连接的Sensor ID或融合的Real ID)。若为连接的Sensor ID，则将连接后的Sensor ID(如果自己参与融合，则长度增加)与自己的Real ID长度进行比较:若其长度小于Real ID，则将连接后响应节点的Sensor ID发送至父节点，否则将融合后的Real ID发送至父节点；若为融合的Real ID，则直接将融合后的Real ID发送至父节点。即发送连接后的Sensor ID和Real ID中较短的一个，若相等，则选择发送融合的Real ID。

在先前的ID传输机制中，中间节点只是简单将参与融合节点的Sensor ID进行连接，越接近数据融合树的上层，节点需要传输ID的数目就越多，使得整个网络负载极不均衡，上层节点的能量会很快耗尽继而影响网络寿命。研究证实，传感器网络失效时，大部分节点仍具有较高的能量［16］。在本文的机制中，由于同一子树内的节点具有相同长度的Real ID，且每比特可以携带一个节点的ID。上层树节点传送ID的最大长度也仅仅为Real ID的长度，减少了由ID传输带来的能量消耗，有助于延长网络寿命。若将其用于分簇网络，则减少ID传输开销的效果会更加明显。

1.4 基于同态消息认证码的安全数据融合

1.4.1 网络拓扑及相关符号标记

假设一个无线传感器网络，基站足够安全且不能被俘获。节点随机部署后通过自组织的方式构成以基站为根节点的静态树型网络。本文使用如下标记便于后续描述:

BS:基站

M:节点和基站共享的大整数；

p:节点和基站共享的素数；

g:乘群Gp的生成元；

Ks:节点s与基站共享的密钥种子，用于产生随机序列；

ksi(i=1，2，…，m):节点s与基站共享的密钥种子，m为其个数，通过时间片轮转来选择，产生消息认证码；

IDs:节点s的ID，在网络中独一无二；

ds:节点s感应的数据；

Enc(d):用CMT算法加密消息d；

MAC(g，km，d，p):对消息d生成消息认证码；

其中，M、p、g和都在节点部署到目标区域前存储在内存中。各节点s和基站共享密钥种子Ks及伪随机序列生成器。

1.4.2 安全数据融合机制

这里主要讨论求和融合函数SUM，因为其它融合函数如均值、标准差、方差等都可以由SUM得出。

证明不失一般性，我们假设只有叶节点a，b，c响应基站查询，则节点a将其数据da进行加密得:

ca=Enc(da)=(da+ka)modM；

同理，节点b将其数据db进行加密得:

cb=Enc(db)=(db+kb)modM；

节点c将其数据dc进行加密得:

cc=Enc(dc)=(dc+kc)modM；

父结点对密文进行数据融合cdata=ca+cb+cc，而后发送cdata至基站。

同时，响应节点a对其感应数据da生成消息认证码:

同理，节点b对其感应数据db生成消息认证码:

节点c对其感应数据dc生成消息认证码:

首先，由于节点和基站共享大素数M，密钥种子K，及伪随机序列生成器。基站将收到的融合数据解密得到 data；即 data=Dec(cdata)=da+db+dc。同时，基站将收到融合的消息认证码MAC(agg)存储。

其次，由于节点和基站共享，基站由收到的融合后响应节点的ID以及参与融合节点的值，可得出参与融合节点的值之和

2 安全分析

2.1 消极攻击

消极攻击指敌人只对传输的数据进行监听，包括密文分析和已知明文攻击。由于数据进行加密传输，且在融合节点不进行解密，故算法能有效地防止偷听，且融合信息不泄露给融合节点，保证融合信息在中间节点的机密性。

2.2 主动攻击

这种类型的攻击指敌人能够扰乱通信，比如捕获、毁坏、篡改或者重发数据包等，以欺骗用户接收非法值，这种攻击对于安全数据融合来说是最危险的。

2.2.1 重放攻击

重放攻击指恶意节点重发先前发送过的数据包。由于本文采用CMT流密钥进行加密，对每个数据使用新的密钥，即“一次一密”，若敌人重放数据包，则会导致MAC检查失败，故所提出的算法能够有效地防止重放攻击。

2.2.2 节点捕获攻击

若节点被敌人捕获，敌人就获取了此节点的所有信息，包括g、p、M及此节点的K、k，但是由于不同节点部署了不同的K和k，故不能得到其余节点的其他任何信息。

2.2.3 恶意数据注入

若节点被敌人捕获，敌人通过节点注入虚假信息，通常这种攻击很难被检测出来。相反，若数据在传输途中被篡改或者融合节点被捕获导致融合信息被篡改，则可以通过同态的消息认证码检测出来，并对错误融合数据进行排除，保证融合结果的准确性。

3 性能比较

下面对本文提出的算法与典型的CMT及AIE算法的通信开销进行比较。三种算法均使用基于流密钥的CMT机制加密，主要区别在于本文使用新提出的ID传输机制进行响应节点ID的发送，而CMT则发送响应节点或未响应节点两者中较少的部分，AIE则根据t值来进行ID的传输。

3.1 静态树型网络

假设数据融合树形成以基站为根节点的完全三叉树，共有5层(基站为第0层)，包括363个节点。设AIE算法的t为3。图1为响应节点比例(假设响应节点全部为叶节点)与要传送ID的数目在三种方案下的比较。

图1 静态树型结构传输ID数目在三种方案中的比较

由图1可知，当响应节点比例较高时，即使在最坏情况下，本文提出的ID传输机制相对于CMT机制来说也能减少20%－30%的ID传输开销，且优于AIE机制，从而节省网络能量。

3.2 动态分簇网络

分簇的思想是通过簇头对簇内节点间的相关信息融合及转发机制减少数据的传输量和距离，进而降低通信能量，达到网络节能的目的［17］。假设1050个节点的动态分簇网络，包含50个簇头，每个簇内有20个节点。簇头只进行数据融合并发送数据到基站，并不进行数据采集。由于AIE不适用于分簇网络，故只将本文提出的ID传输机制与CMT机制进行比较。图2为响应节点比例与传输ID的数目在两种方案下的比较。

图2 分簇结构传输ID数目在两种方案下的比较

由图2可知，随着响应节点比例的增加，本文提出的方案所需要传输的ID数目几乎不变；当响应节点比例为50%时，减少了约85%的ID传输开销，极大地节省了传输ID所消耗的能量。同时，减少数据包的长度能够减少信息干扰，从而减少丢包率，保证信息的可靠传输。

4 结论

安全数据融合能够保证融合数据的机密性和完整性，在安全敏感的传感器网络应用中具有重要的实用价值。本文使用轻量级的加密机制来保证数据机密性，通过构造同态消息认证码来检测融合结果的完整性。安全性分析表明该算法能够实现对融合数据机密性和完整性的双重保障；并且能够减少ID传输的数目，减少ID传输所带来的额外开销，有助于延长网络寿命。

［1］孙利民，李建中，陈渝，等.无线传感器网络［M］.北京:清华大学出版社，2005.

［2］罗蔚，胡向东.无线传感器网络中一种高效的安全数据融合协议［J］.重庆邮电大学学报(自然科学版)，2009，21(1):110－114.

［3］Przydatek B，Song D，Perrig A.SIA:Secure Information Aggregation in Sensor Networks［C］//Proc of SenSys 03.Los Angeles:ACM Press，2003:255－265.

［4］Yang Y，Wang X，Zhu S，et al.SDAP:A Secure Hop－by－Hop Data Aggregation Protocol for Sensor Networks［C］//Proc of the ACM MOBIHOC 06.Florence:ACM Press，2006:356－367.

［5］Castelluccia C，Myklentn E，Tsudik G.Efficient Aggregation of Encrypted Data in Wireless Sensor Networks［C］//The Second Annual International Conference on MobiQuitous 2005.San Diego:IEEE Computer Society，2005:109－117.

［6］Poornima A S，Amberker B B.SEEDA:Secure End－to－End Data Aggregation in Wireless Sensor Networks［C］//2010 Seventh International Conference On Wireless And Optical Communications Networks(WOCN)，Colombo:IEEE Press，2010:1－5.

［7］Bahi J M，Guyeux C，Makhoul A.Efficient and Robust Secure Aggregation of Encrypted Data in Sensor Networks［C］//2010 Fourth International Conference on Sensor Technologies and Applications(SENSORCOMM)，Venice/Mestre:IEEE Press，2010:472－477.

［8］Albath J，Madria S.Secure Hierarchical Data Aggregation in Wireless Sensor Networks［C］//Proc of the WCNC 2009.Budapest:IEEE Press，2009:1－6.

［9］刘鑫芝.无线传感器网络安全数据融合的研究［J］.计算机与现代化，2010(5):151－155.

［10］Castelluccia C.Securing Very Dynamic Groups and Data Aggregation in Wireless Sensor Networks［C］//IEEE Internatonal Conference on Mobile Adhoc and Sensor Systems(MASS).Washington DC:IEEE Computer Society Press，2007:1－9.

［11］Taiming Feng，Chuang Wang，Wensheng Zhang，et al.Confidentiality Protection for Distributed Sensor Data Aggregation［C］//The 27th Conference on Computer Communications(INFOCOM).New York:IEEE Communications Society Press，2008:56－60.

［12］Mykletun E，Girao J，Westhoff D.Public Key Based Cryptoschemes for Data Concealment in Wireless Sensor Networks［C］//Proc of the ICC 2006.Istanbul:IEEE Press，2006:2288－2295.

［13］Peter S，Piotrowski S，Langendoerfer R.On Concealed Data Aggregation for WSNs［C］//Proc of the CCNC 2007.Las Vegas:IEEE Press，2007:192－196.

［14］Domingo－Ferrer J.A Provably Secure Additive and Multiplicative Privacy Homomorphism［C］//Proc of the 5th International Conference on Information Security(ISC).Sao Paulo:ISC，2002:471－483.

［15］Bista R，Yoo H K，Chang J W.Achieving Scalable Privacy Preserving Data Aggregation for Wireless Sensor Networks［C］//Proc of the CIT 2010.Bradford:IEEE Press，2010:1962－1969.

［16］王海员，石为人.面向动态传感器网络的数据汇集算法［J］.传感技术学报，2011，24(1):116－121.

［17］胡向东，蔡东强.无线传感器网络安全加密成簇算法的设计及研究［J］.重庆邮电大学学报(自然科学版)，2009，21(3):421－424.