近年来，针对传感器节点、用户和GWN之间的安全传输问题已经有一些解决方案被提出^{[3-20, 21]}。2004年，文献^[3]首次指出传感器网络中外部用户访问传感器内部节点时存在的安全问题，并设计相应的安全机制，实现对用户和节点的安全认证。随后，研究人员基于公钥密码体制提出解决上述问题的安全协议。文献^[4]基于RSA和Diffie-Hellman算法提出了用户认证协议TinyPK。2009年，TinyPK协议被发现无法抵御中间人攻击(man-in-the-middle attack)，在协议运行时攻击者可以伪装成一个合法传感器节点完成与外部用户的通信^[5]。文献^[6-7]分别基于Diffie-Hellman算法设计了一个传感器网络认证和密钥协商协议。2011年，文献^[8]基于椭圆密码算法提出了一个传感器网络认证协议。上述研究人员设计的安全协议都是基于公钥密码体制，存在一个共同的问题，每个传感器节点都需存储所有其他节点和用户的公钥，这对传感器节点存储资源有限的传感器网络并不适用。

2006年，文献^[9]基于对称密钥体制设计了一个用户认证协议，协议只使用哈希函数实现，由此提出了一个轻量级用户认证协议的架构。但是，随后协议被发现在协议执行时，不同用户可采用相同的用户身份登录传感器网络，而且由于网关节点和传感器节点都要存储登录用户的认证信息，使得协议存在stolen-verifier attack(攻击者使用从认证服务器中盗窃的用户指纹信息冒充合法用户)^[5]。文献^[5]对文献^[9]提出的协议进行改进，提出一个基于设备和口令的轻量级认证协议，实现对外部用户、网关节点和传感器节点之间的身份认证。随后，研究人员在Das协议的基础上做出大量工作，发现很多Das类协议存在安全缺陷，如privileged-insider attack(内部用户的特权攻击)、网关节点存在bypassing attack(旁路攻击)、协议不提供用户密钥更新和密钥协商^{[10, 11, 12]}。2010年，文献^[13]在Das协议的基础上提出一个改进协议，改进协议通过预共享密钥实现GWN和传感器节点之间的双向认证，协议还提供用户的密钥更新机制，解决Das存在的旁路攻击问题。随后，文献^[14]指出Das^[5]协议和Khan^[13]协议都存在stolen smart card(盗取智能卡攻击)，并给出对应解决方案。此外，文献^[15]基于Das协议提出一个改进方案，该方案可以实现所有节点和用户的双向认证^[15]。

最近，文献^[16-17]提出一个新的传感器网络双向认证和密钥协商协议，这两个方案不但实现对传感器网络外部用户、网关和传感器节点之间的身份认证，而且添加了密钥协商功能。但是，文献^[18-19]指出文献^[16]提出的协议需要优化设计后才能应用于实际的传感器网络。而文献^[17]提出的协议被指出仍然存在stolen-verifier、离线密码猜测攻击等安全缺陷^[20]。文献^[21]在上述工作的基础上，提出了一个新的适用于异构传感器网络的认证和密钥协商协议。作者通过对Turkanovic协议进行分析，发现协议中存在重放攻击、智能卡窃取攻击、拒绝服务攻击(DOS)、假冒攻击、多用户登录攻击和共享密钥修改攻击。为了解决上述安全缺陷，本文提出了一个新的认证和密钥协商协议。

该异构传感器网络有两类节点，低消耗、资源受限的传感器节点和GWN节点。GWN相对于普通传感器节点，具有较大的存储空间和计算能力，在安全协议中GWN担任可信第三方，即认证服务器。

HUK协议包含注册、登录、认证3个阶段，在网络初始化阶段，网络管理员预先部署GWN，为网络中的传感器节点{S_j |1≤j≤m}预分配身份SID_j和共享密钥${{X}_{\text{GWN}-{{S}_{j}}}}$，其中，m为网络可能添加的最大传感器节点数，GWN需存储网络中所有节点的身份SID_j和共享密钥${{X}_{\text{GWN}-{{S}_{j}}}}$，传感器节点出厂时需设置和存储自己的身份SID_j和共享密钥${{X}_{\text{GWN}-{{S}_{j}}}}$。

协议中所使用的变量和符号，如表 1所示。

注册阶段分为用户注册和传感器节点注册两部分，协议中传感器节点的注册过程如下。

1) 节点S_j计算$\text{M}{{\text{P}}_{j}}=h({{X}_{\text{GWN}-{{S}_{j}}}}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$，其中T₁是S_j的当前时间。S_j将{SID_j,MP_j,T₁}发送给GWN。

2) 当GWN收到S_j发送的数据，首先确认(T^*-T₁≤ΔT)，其中T^*是GWN的当前时间，∆T是允许消息延迟的最长时间，防止消息重放。GWN根据收到的节点身份SID_j，查找到对应共享密钥${{X}_{\text{GWN}-{{S}_{j}}}}$，计算$\text{M}{{\text{P}}_{j}}^{*}=h({{X}_{\text{GWN}-{{S}_{j}}}}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$，并判断$\text{M}{{\text{P}}_{j}}=\text{M}{{\text{P}}_{j}}^{*}$是否成立，确认S_j的身份，随后计算${{f}_{j}}=h(\text{SI}{{\text{D}}_{j}}||$ ${{X}_{\text{GWN}}})$，${{x}_{j}}=h({{f}_{j}}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{2}})$，其中T₂是S_j的当前时间。GWN发送{ f_j,x_j,T₂}给S_j。

3) S_j接收{ f_j,x_j,T₂}后，判断(T^*-T₂)≤∆T，计算$x_{j}^{*}=h({{f}_{j}}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{2}})$，并判断${{x}_{j}}={{x}_{j}}^{*}$是否成立，如果成立，S_j存储f_j。

当用户要访问传感器节点时，也需先向GWN注册，用户注册过程如下。

4) 用户U_i选择身份ID_i，生成随机数r_i，计算$\text{M}{{\text{I}}_{i}}=h({{r}_{i}}||\text{I}{{\text{D}}_{i}})$。U_i将{h(ID_i),MI_i}通过一个安全通道^[8]发送给GWN。

5) GWN接收{h(ID_i), MI_i}，计算${{f}_{i}}=h(\text{M}{{\text{I}}_{i}}||$ ${{X}_{\text{GWN}}})$，然后将参数MI_i，f_i初始化到智能卡SC，通过安全信道传输给用户，并存储h(ID_i),MI_i。

6) U_i收到SC后，需将随机数r_i存储到SC。

用户访问传感器节点，需先使用智能卡登录。

U_i将SC插入到读卡器，并输入身份$\text{I}{{\text{D}}_{i}}^{*}$。SC计算$\text{M}{{\text{I}}_{i}}^{*}=h({{r}_{i}}||\text{I}{{\text{D}}_{i}}^{*})$，判断$\text{M}{{\text{I}}_{i}}=\text{M}{{\text{I}}_{i}}^{*}$是否成立，如果成立，计算${{N}_{i}}=h({{K}_{i}}||{{f}_{i}}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$，${{A}_{i}}=$ $h(h(\text{I}{{\text{D}}_{i}})||{{T}_{1}})\oplus {{K}_{i}}$，其中T₁是U_i的当前时间，K_i是SC生成的随机数，SID_j是用户想要访问节点的身份。SC将{MI_i,A_i,N_i,SID_j,T₁}发送给选择的S_j。

协议认证的过程如下。

1) S_j收到{ MI_i,A_i,N_i,SID_j,T₁}后，确认(T^*-T₁)≤ ∆T。如果成功，计算${{B}_{j}}=h({{X}_{\text{GWN}-{{S}_{j}}}}||{{f}_{j}}||{{T}_{1}}||{{T}_{2}})$，其中T₂是S_j的当前时间。S_j将{MI_i,A_i,N_i,SID_j,T₁,B_j,T₂}发送给GWN。

2) GWN收到消息后，确认(T^*-T₂)≤∆T。如果成功，根据SID_j查找到对应的${{X}_{\text{GWN}-{{S}_{j}}}}$，计算${{f}_{j}}^{*}=h(\text{SI}{{\text{D}}_{j}}||{{X}_{\text{GWN}}})$，${{B}_{j}}^{*}=h({{X}_{\text{GWN}-{{S}_{j}}}}||{{f}_{j}}^{*}||{{T}_{1}}||{{T}_{2}})$，然后判断${{B}_{j}}={{B}_{j}}^{*}$是否成立，如果不成立，终止操作，并向S_j发送拒绝消息；否则对S_j的身份认证成功。

GWN根据MI_i查找到对应的h(ID_i)，计算${{K}_{i}}^{*}=h(h(\text{I}{{\text{D}}_{i}})||{{T}_{1}})\oplus {{A}_{i}}$，${{f}_{i}}^{*}=h(\text{M}{{\text{I}}_{i}}||{{X}_{\text{GWN}}})$，${{N}_{i}}^{*}=$ $h({{K}_{i}}^{*}||{{f}_{i}}^{*}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$，然后判断${{N}_{i}}={{N}_{i}}^{*}$是否成立，如果不成立，终止操作，并向S_j发送拒绝消息，S_j收到拒绝消息后，向U_i转发拒绝消息；否则对U_i的身份认证成功。

GWN计算${{F}_{ij}}=K_{i}^{*}\oplus h(f_{j}^{*}||{{X}_{\text{GWN}-{{S}_{j}}}})$，${{S}_{i}}=$ $h({{f}_{i}}^{*}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$，${{H}_{j}}=h(K_{i}^{*}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$。GWN发送{S_i,H_j,F_ij,T₁,T₂,T₃}给S_j，其中T₃是GWN的当前时间。

3) S_j收到{F_ij,H_j,S_i,T₁,T₂,T₃}后，确认(T^*-T₃)≤ ∆T。如果成功，计算$K_{i}^{*}={{F}_{ij}}\oplus h(f_{j}^{{}}||{{X}_{\text{GWN}-{{S}_{j}}}})$，${{H}_{j}}^{*}=h(K_{i}^{*}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$，然后判断${{H}_{j}}=$ ${{H}_{j}}^{*}$是否成立，如果不成立，发送拒绝信息给GWN；否则可以确认GWN的身份。S_j生成随机数K_j，计算${{M}_{ij}}=h({{S}_{i}}||{{K}_{j}})$，${{R}_{ij}}=h(K_{i}^{*}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}}||{{T}_{4}})\oplus $ ${{K}_{j}}$。

S_j将{S_i,R_ij,M_ij,T₁,T₂,T₃,T₄}发送给U_i。计算、存储协商的共享密钥$\text{SK}=h({{K}_{i}}\oplus {{K}_{j}})$。

4) U_i收到{S_i,R_ij,M_ij,T₁,T₂,T₃,T₄}后，确认(T-T₄)≤∆T。如果成功，计算$h({{f}_{i}}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$并与收到的S_i进行比较，如果不相等，终止操作，并向S_j发送拒绝消息，S_j收到拒绝消息后转发给GWN；否则对GWN和S_j的身份认证成功。U_i计算${{M}_{ij}}^{*}=h(S_{i}^{{}}||{{K}_{j}}^{*})$，${{K}_{j}}^{*}={{R}_{ij}}\oplus h({{K}_{i}}|\text{ }\!\!|\!\!\text{ SI}{{\text{D}}_{j}}||{{T}_{1}}||{{T}_{2}}||$ ${{T}_{3}}||T_{4}^{{}})$，然后判断${{M}_{ij}}={{M}_{ij}}^{*}$是否相等，如果相等，计算$\text{SK}=h({{K}_{i}}\oplus {{K}_{j}})$，获得协商的共享密钥SK。

用户和传感器节点完成认证后，可以使用共享密钥SK进行安全通信。

在协议执行过程中，用户可以通过ID更新阶段对ID进行更新。

1) U_i将SC插入到读卡器，并输入身份$\text{I}{{\text{D}}_{i}}^{*}$和$\text{I}{{\text{D}}_{\text{inew}}}$。

2) SC计算$\text{M}{{\text{I}}_{i}}^{*}=h({{r}_{i}}||\text{I}{{\text{D}}_{i}}^{*})$，然后判断$\text{M}{{\text{I}}_{i}}=$ $\text{M}{{\text{I}}_{i}}^{*}$是否成立，如果不成立，终止操作；否则计算$\text{M}{{\text{I}}_{\text{inew}}}=h({{z}_{i}}||\text{I}{{\text{D}}_{\text{inew}}})$，$\text{M}{{\text{N}}_{i}}=h(\text{I}{{\text{D}}_{i}})\oplus h(\text{I}{{\text{D}}_{\text{inew}}})$和$\text{M}{{\text{J}}_{i}}=h(\text{M}{{\text{I}}_{\text{inew}}}||h{{(\text{I}{{\text{D}}_{\text{inew}}})}^{\text{*}}}||{{T}_{1}})$，其中T₁是U_i的当前时间，z_i是SC生成的随机数。将{MI_i,MI_inew,MN_i,MJ_i,T₁}发送给选择的GWN。

3) GWN收到消息后，确认(T^*-T₁)≤∆T。如果成功，根据MI_i查找到对应的$h{{(\text{I}{{\text{D}}_{i}})}^{\text{*}}}$，计算$h{{(\text{I}{{\text{D}}_{\text{inew}}})}^{\text{*}}}=$ $\text{M}{{\text{N}}_{i}}\oplus h{{(\text{I}{{\text{D}}_{i}})}^{\text{*}}}$，$\text{MJ}_{i}^{*}=h(\text{M}{{\text{I}}_{\text{inew}}}||$$h{{(\text{I}{{\text{D}}_{\text{inew}}})}^{\text{*}}}||{{T}_{1}})$，然后判断$\text{MJ}_{i}^{{}}=\text{MJ}_{i}^{*}$是否成立，如果成立，计算${{f}_{i}}=$ $h(\text{M}{{\text{I}}_{\text{inew}}}||{{\text{X}}_{\text{GWN}}})$，$\text{M}{{\text{O}}_{i}}=$$h{{(\text{I}{{\text{D}}_{\text{inew}}})}^{\text{*}}}\oplus {{f}_{i}}$，$\text{M}{{\text{Q}}_{i}}=$ $h({{f}_{i}}||{{T}_{2}})$。GWN发送{MI_inew,MO_i,MQ_i,T₂}给U_i，其中T₂是当前时间。GWN存储$\text{M}{{\text{I}}_{\text{inew}}},h(\text{I}{{\text{D}}_{\text{inew}}})$，替换原来的$\text{M}{{\text{I}}_{i}},h(\text{I}{{\text{D}}_{i}})$。

4) U_i收到消息后，确认(T^*-T₂)≤∆T。如果成功，计算${{f}_{i}}^{\text{*}}=\text{M}{{\text{O}}_{i}}\oplus h(\text{I}{{\text{D}}_{\text{inew}}})$，$\text{MQ}_{i}^{*}=h({{f}_{i}}^{\text{*}}||{{T}_{2}})$。判断$\text{MQ}_{i}^{{}}=\text{MQ}_{i}^{*}$是否成立，如不成立，终止操作，并向GWN发送拒绝消息，否则计算更新智能卡为SC=$\{\text{M}{{\text{I}}_{\text{inew}}},\text{ }{{f}_{i}}^{\text{*}},\text{ }{{z}_{i}}\}$。

通过上述过程，经过一段时间，用户可以使用上述过程更新ID。

HUK协议提供对用户、传感器节点、GWN的双向认证功能，并在认证过程中实现传感器节点和用户之间的密钥协商，本节针对下面列出的常用攻击方式，采用非形式化方法进一步分析HUK协议的安全性。

1) 用户匿名(user anonymity)：在HUK协议运行过程中使用$\text{M}{{\text{I}}_{i}}=h({{r}_{i}}|\text{ }\!\!|\!\!\text{ I}{{\text{D}}_{i}})$代替用户ID_i，其中h( )是哈希函数，因此攻击者无法获得用户的ID_i。由于在智能卡中存储的信息h(ID_i)、MI_i是经过伪装后的用户ID_i，即使智能卡被窃取，攻击者也无法获得用户ID_i。协议实现了对用户的匿名操作。

2) 重放攻击(replay attack)：在传感器注册阶段$\text{M}{{\text{P}}_{j}}=h({{X}_{\text{GWN}-{{S}_{j}}}}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$，${{x}_{j}}=h({{f}_{j}}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{2}})$中分别包含传感器节点和GWN的当前时间T₁、T₂。在协议认证过程中，用户发送的消息${{N}_{i}}=h({{K}_{i}}||$ ${{f}_{i}}||\text{SI}{{\text{D}}_{j}}||{{T}_{1}})$中包含当前时间T₁，传感器节点发送的消息${{B}_{j}}=h({{X}_{\text{GWN}-{{S}_{j}}}}||{{f}_{j}}||{{T}_{1}}||{{T}_{2}})$，${{R}_{ij}}=h(K_{i}^{*}||\text{SI}{{\text{D}}_{j}}||$ ${{T}_{1}}||{{T}_{2}}||{{T}_{3}}||T_{4}^{{}})\oplus {{K}_{j}}$中包含当前时间T₂、T₄，GWN发送的消息${{H}_{j}}=h(K_{i}^{*}||{{X}_{\text{GWN}-{{S}_{j}}}}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$，${{S}_{i}}=$ $h({{N}_{i}}^{*}||{{T}_{1}}||{{T}_{2}}||{{T}_{3}})$中包含当前时间T₃。因此HUK协议

中攻击者无法实现重放攻击。

3) 窃取智能卡攻击(stolen smart card)：假设攻击者窃取智能卡，并获得智能卡中存储的数据，但是由于攻击者无法得到用户ID_i，就计算不出A_i=$h(h(\text{I}{{\text{D}}_{i}})||{{T}_{1}})\oplus {{K}_{i}}$，所以其无法通过GWN的认证。因此窃取智能卡攻击，在HUK协议中无法实现。

4) 密码更改攻击(password change attack)：在HUK协议中，ID充当用户的身份和密钥，攻击者想要更改用户ID，首先必须获得旧的ID，但在协议运行过程中使用$\text{M}{{\text{I}}_{i}}=h({{r}_{i}}||\text{I}{{\text{D}}_{i}})$代替用户ID，攻击者无法获得用户ID，也就无法进行密码更改攻击。

5) 假冒攻击(impersonation attack)：在HUK协议中攻击者无法冒充用户、节点和GWN。分析可见重放攻击，由于所有消息在传递过程中都添加了当前时间，因此攻击者要冒充任意角色，必须重新计算包含当前时间的对应变量，如传感器节点登录阶段的MP_j、认证阶段的N_i、B_j、H_j、S_i、R_ij。

6) 同一用户的重复登录攻击(many logged-in users with the same login-id attack)：由于攻击者无法获得用户ID，消息中又包含时间变量，因此攻击者无法伪装成合法用户对HUK实施此攻击。

7) 拒绝服务攻击(denial-of-attack)：由于协议中只使用了低计算量的异或和哈希函数运算，计算量较少，而且攻击者无法实施重放和假冒攻击，因此HUK协议可抵御拒绝服务攻击。

表 2将HUK协议与相关协议^{[8, 11-17, 21]}的安全性进行了对比，其中Y表示协议满足对应的安全属性，N表示协议不满足对应安全属性。由于有些协议的应用场景不同、采用的认证模式不同，所以有些安全属性在协议中没有被考虑。

由于传感器网络中节点具有低存储、低计算、低电量等特点，所以在设计安全协议时，除了考虑协议的安全属性外，协议的执行效率也是一个重要考察指标。通信开销和计算开销是影响协议执行效率的主要方面，本节将从这两个方面出发，分析设计协议的运行效率。由于针对不同应用场景设计的协议，其功能和通信方式有很大区别，因此本节在分析协议执行效率时，主要关注与HUK协议功能相似的Turkanovic协议^[21]、Xue协议^[17]和Das协议^[16]，且针对协议的认证和密钥协商阶段。

在通信消耗方面，HUK协议、Turkanovic协议和Das协议都需要4次消息交换完成身份认证和密钥协商，而Xue协议需要6次消息交换。

在计算量方面，由于异或操作的计算量很低，因此这里主要考虑哈希运算和加、解密运算。关于计算开销的比较结果如表 3所示，其中T_h是执行一次哈希运算所需的时间，T_ED是执行一次对称密钥算法中的加、解密运算所需的时间。

在计算开销方面，HUK协议、Turkanovic协议和Xue协议计算量相似，而Das协议中采用了对称加密算法，所以其计算开销较大。

而在存储开销上面，Turkanovic协议中节点需存储(SID_j、${{X}_{\text{GWN}-{{S}_{j}}}}$、e_j、f_j)，GWN需存储(SID_j、${{X}_{\text{GWN}-{{S}_{j}}}}$、MI_i、${{X}_{\text{GWN}-{{U}_{i}}}}$)。HUK协议中节点需存储(SID_j、${{X}_{\text{GWN}-{{S}_{j}}}}$、f_j)，GWN需存储(SID_j、${{X}_{\text{GWN}-{{S}_{j}}}}$、MI_i、h(ID_i))。因此，HUK协议中节点存储的信息要少于Turkanovic协议中节点存储的信息。

外部用户直接访问传感器节点获得信息是物联网应用中的基础需求， 本文为异构传感器网络设计一个新的认证和密钥协商协议，协议为所有参与者提供双向认证，并实现用户和节点之间的密钥协商。文中针对网络中的常见攻击，采用非形式化方法分析了协议的安全性。分析结果显示，协议能够满足物联网应用中外部用户直接访问传感器节点的安全需求。此外，新协议采用哈希函数和异或运算实现，是一个轻量级的安全协议，文中将所设计协议与相关协议的执行效率进行对比、分析。结果显示新协议在通信、计算和存储方面都具有较小的开销。综上所述，本文设计的协议适用于基于物联网应用环境下的传感器网络。

本文研究工作还得到成都信息工程大学科研基金(KYTZ201421)的资助，在此表示感谢。