[发明专利]一种在传感器网络中进行认证的方法和传感器网络

说明书

技术领域

本发明涉及信息安全技术，特别是指一种在传感器网络中进行认证的方法和传感器网络。

背景技术

传感器网络与传统网络之间存在很大差别，传感器网络的安全由于其部署环境的开放性，使得入侵者可以轻易的窃听、干扰、插入和篡改数据包。认证技术是传感器网络中的一种基本安全服务，认证的目的是证明节点的身份和消息的来源。现有的认证技术提供两方面的安全保障：一是实体认证，传感器网络可确认通信节点的身份，进而实现访问控制、授权服务等安全服务；二是消息源认证，为保障传感器网络中的数据合法性，防止接收到干扰或非法的数据包，通信中接收方需要确认收到消息的发送源。由于传感器网络的部署特点，广播认证是一种有效的消息源认证方法；用于传感器网络的广播认证协议主要有、基于数字签名的广播认证方案、基于多MAC的非对称广播认证方案、μTESLA广播认证方案以及基于Merkle散列树的广播认证方案等。

基于Merkle散列树的广播认证方案主要包括以下步骤：初始化阶段，汇聚节点建立含有N个传感器节点(叶子节点)的Merkle散列树，汇聚节点在网络部署前或部署时，将Merkle散列树的根节点值预装入或广播给每个传感器节点；消息认证阶段，汇聚节点向传感器节点广播带有辅助认证信息的消息包，传感器节点根据辅助认证信息计算出的根节点值与自己已存的根节点值比较，两者相同则接收该消息包，否则拒绝消息包。

发明人发现现有技术存在如下问题：当网络中存在大量传感器节点时，会造成构造的Merkle树过大，节点存储空间和通信消耗过多，而传感器网络资源是有限的；其次，广播认证技术是一种单向认证技术，即传感器节点认证消息源，只保障了传感器节点接收消息包的合法性，而汇聚节点接收到的来自传感器节点的消息包的合法性无法认证。

发明内容

本发明的发明目的在于实现传感器节点与汇聚节点间的双向认证方案，保障传感器节点和汇聚节点接收消息包的合法性，并节约节点的计算开销、存储空间和通信开销。

为解决上述技术问题，本发明的实施例提供一种在传感器网络中进行认证的方法，所述传感器网络包括：一个网络根节点、至少一个汇聚节点和至少一个网络叶子节点；方法包括：建立至少两个簇，第一簇包括所述网络根节点和至少一个汇聚节点，所述网络根节点是所述第一簇的根节点，至少一个所述汇聚节点是所述第一簇的叶子节点；第二簇包括一个所述汇聚节点和至少一个网络叶子节点，所述汇聚节点是所述第二簇的根节点，至少一个所述网络叶子节点是所述第二簇的叶子节点；在每一个簇中，建立散列树，所述散列树的根节点具有第一根节点值；所述簇的各个叶子节点中存放了所述第一根节点值；所述根节点发送一个数据包；该簇的叶子节点接到所述数据包，判定所述数据包的时间戳合法，根据所述数据包中的辅助认证信息计算一第二根节点值，所述第二根节点值与所述第一根节点值相同，认定该数据包合法。

所述的方法中，还包括：所述叶子节点是传感器节点，所述传感器节点验证所述数据包合法后；利用预先约定的解密算法对所述数据包的数据部分进行解密，得到数据。

所述的方法中，还包括：当前的簇中的根节点接到来自该簇中的叶子节点的数据包，判定所述数据包的时间戳合法，利用数据包中的节点认证路径计算出一第二叶子节点地址，第二叶子节点地址与预存的第一叶子节点地址相同；将所述数据包加上当前时刻的时间戳和所述网络根节点的节点认证路径，发送给所述网络根节点。

所述的方法中，所述传感器网络中增加了一个节点之后，判定所述节点所在的簇；更新所述簇中各个节点存放的验证信息，所述验证信息包括：该簇对应的散列树的第一根节点值、本节点的节点值、从该簇的根节点至本节点的节点认证路径和后级各个节点的辅助认证信息；所述辅助认证信息包括一数据项，所述数据项中存放当前节点的各下级节点的节点值。

所述的方法中，在每一个簇中，建立散列树包括：建立一个Merkle树，所述Merkle树的根节点是该簇包含的一个所述汇聚节点，所述Merkle树的叶子节点是该簇包括的至少一个所述网络叶子节点；所述Merkle树还包括多个关键节点，各个关键节点构成所述根节点到各个所述叶子节点的路径；各个所述关键节点虚拟存在且不传输所述数据包。

所述的方法中，根据所述数据包中的辅助认证信息计算一第二根节点值，具体包括：找到发出所述数据包的节点到达当前的叶子节点的所有关键节点；在所述辅助认证信息中找到所述所有关键节点的数据项；根据所述所有关键节点的数据项重构一Merkle树，计算出所述Merkle树的根节点的Hash值作为所述第二根节点值。