基于多因子的ZigBee安全认证机制

冷洋

针对ZigBee网络节点入网认证机制中存在认证机制不完善、协调器的负载过大的不足，设计了基于多因子的ZigBee安全认证机制，以特定周期更新的新鲜因子并将其与节点硬件信息绑定，匹配节点上传的密钥信息因子和配置因子完成身份认证以防止非法节点入网对整个网络造成危害。安全性分析及测试结果表明，该机制在保证网络节点入网安全的前提下实现了协调器的负载均衡，改善了其综合性能。

【关键词】ZigBee 多因子 安全认证

1 引言

ZigBee是具有功耗低、成本低、時延短、抗干扰性强的短距离无线通信技术，广泛应用于无线网络领域。但由于网络规模大，数据通信量小，环境安全难于控制。因此，出现了一系列针对ZigBee入网及通信安全的研究，如针对网络安全威胁与攻击、信任机制、节点身份认证[1]等。文献[2]提出的基于信任中心的认证方案，能够解决移动节点问题，但加重了协调器的负担。文献[3]指出适合ZigBee节点身份认证的技术，但其仅适合单播通信节点的认证，在多播通信节点中会使组密钥信息泄露，导致网络不安全；当密钥因子泄露时会导致系统处于不安全状态。

综上所述结合非对称密码体制认证方案以及MAC层协议，提出一种适用于ZigBee网络的“新鲜因子+配置信息+密钥”多因子安全认证方案，设计簇头与控制中心、终端的双向认证流程，保证入网节点的合法性，抵御中间人攻击以及有效降低了协调器的负载，提高了ZigBee网络的综合性能。

2 多因子安全认证机制设计

方案中采用椭圆曲线密码机制。簇头发送入网请求帧，控制中心经认证通过后与簇头建立网络连接。然后，终端节点发送入请求帧，经簇头认证通过后建立整个网络结构。其具体的认证入网流程如下。

CHj在获取到NC的公钥PuKNC后将初始对称密钥keyic、IEEE地址、初始配置时间和网络ID加密发送给NC并且C=（keyic||Ad||Tdata||PANID）。NC计算DeECCk（c）得到keyic、Ad、Tdata和PANID后生成index（i）及Ti将该索引项信息存入控制中心合法节点库中。NC构造m=将发送给CHj。NC生成初始D并将含有该随机数的信标帧M以周期T0广播发送到各节点。CHj接收到NC发送的包含有D的信标帧后利用单向函数变换得到自身硬件信息因子H并保存。NC接收到消息m1检测T3到是否新鲜，检测通过后验证签名的有效性随后查找索引项index（j），利用当前的D计算硬件信息因子H并提取TLi和Tdata与消息m1中的字段匹配，匹配成功时NC获取当前时间戳T4并构造消息m2=向CHj发送消息m3=。CHj提取m3的签名验证字段，验证通过时检测T3T4的合理性然后确定m2来自于NC并更新两者之间的对密钥keyid从而完成CHj与NC的双向认证。

3 测试与分析

为了验证本方案设计的三种协议对入网性能的影响，设置两组对比实验，实验组一协调器与终端里的协议设置为基于Zigbee自身的协议；实验组二协调器与终端的协议设置为本方案设计的通信协议协议。将两组设备分别接入可信路由节点，记录设备入网成功所用的时间。

实验组2认证入网成功所用的平均时间略高于实验组1（相差5ms以内），在用户体验时，时延可以忽略，达到了协调器负载均衡的要求。因此本方案设计的安全协议性能达到了预期要求。可知本方案基于多因子安全认证机制的优点，协调器负载率明显降低，免疫力更强，扩展性更好，具有更高的优越性，相比原有的Zigbee规范中的认证方案，本方案在实现Zigbee节点的认证通信开销很小，同时有效的减小了协调器负载，提高了综合性能。既能在安全方面实现设备之间的安全身份认证，又能在性能上满足用户的响应时间需要。

4 结语

基于ZigBee网络以其低功耗、高安全性、网络节点容量大、低成本等特点必定将受到社会的青睐，本方案针对ZigBee网络缺乏身份认证以及协调器负载过大，从ZigBee网络的路由协议方面入手，结合分簇路由协议，并在深入把握ZigBee协议规范和组网技术的基础上，设计了一种多因子的ZigBee安全认证机制，对簇头与控制中心、簇头与终端节点的双向认证进行了设计。有效解决了ZigBee节点入网认证存在的安全问题，实验测试与分析结果表明系统设计达到预期要求，有效降低了通信开销，使协调器达到负载均衡，同时增强了ZigBee节点安全入网认证的性能。

参考文献

[1]Roszainiza Rosli，Yusnani Mohd Yusoff，Habibah Hashim. Performance Analysis of ID-Based Authentication on Zigbee Transceiver[C]2012IEEESymposium on Wireless Technology and Applications，012.USA：IEEE，2012.

[2]LeeKyunghwa，LeeJoohyun，ZhangBongduk，etal.An enhanced trust center based authentication in ZigBee networks[C].Advances in Information Security and Assurance，LectureNotes in Computer Science，Seoul，2009，5576：471-484.

[3]杨同豪，郁滨.基于身份的ZigBee节点认证方案[J].计算机工程与设计， 2012，11：1000-7024（2012）11-4127-04

作者单位

郑州信息科技学院 河南省郑州市 450000