鞏思亮，邢 濤，梁慶偉，王營(yíng)冠

(1.中國(guó)科學(xué)院上海微系統(tǒng)與信息技術(shù)研究所無(wú)線傳感網(wǎng)與通信重點(diǎn)實(shí)驗(yàn)室，上海200050;2.中國(guó)科學(xué)院研究生院，北京100049;3.無(wú)錫物聯(lián)網(wǎng)產(chǎn)業(yè)研究院，江蘇 無(wú)錫214135)

0 引言

與傳統(tǒng)網(wǎng)絡(luò)不同，無(wú)線傳感器網(wǎng)絡(luò)(WSNs)的開放性自組織特征使得WSNs物理層到應(yīng)用層都面臨著來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的潛在安全威脅和攻擊。因此，出現(xiàn)了一系列針對(duì)WSNs安全的研究，如，針對(duì)WSNs的安全威脅與攻擊［1］、信任機(jī)制［2］、密碼管理［3］、節(jié)點(diǎn)身份認(rèn)證［4，5］和安全路由機(jī)制［6］等研究。

認(rèn)證是網(wǎng)絡(luò)安全中的重要組成部分，是在網(wǎng)絡(luò)中確認(rèn)用戶身份和消息來(lái)源的重要手段。認(rèn)證分為身份認(rèn)證和消息認(rèn)證。在WSNs中，由于網(wǎng)絡(luò)的開放性特征，需要為所有需要加入網(wǎng)絡(luò)的合法傳感器節(jié)點(diǎn)提供安全準(zhǔn)入機(jī)制，也就是身份認(rèn)證。

目前，針對(duì)WSNs認(rèn)證的研究主要集中于基于非對(duì)稱密碼體制的認(rèn)證和基于對(duì)稱密碼體制的認(rèn)證2種方案。其中，基于非對(duì)稱密碼體制的認(rèn)證方案大都是對(duì)現(xiàn)有Internet認(rèn)證機(jī)制的成果進(jìn)行改進(jìn)和改造，使其適用于WSNs，其中，比較典型的是2004年提出的TinyPK方案［4］。TinyPK采用了低指數(shù)級(jí)RSA算法，較傳統(tǒng)的RSA算法運(yùn)算量小。但是TinyPK方案只實(shí)現(xiàn)了單向認(rèn)證，不能解決網(wǎng)絡(luò)中的認(rèn)證方可能為非法的問題，并且在實(shí)際網(wǎng)絡(luò)中被認(rèn)證實(shí)體有可能是需要入網(wǎng)的節(jié)點(diǎn)，用來(lái)執(zhí)行大運(yùn)算量的操作并不合理。Benenson Z等人［7］在TinyPK 方案的基礎(chǔ)上做了兩點(diǎn)改進(jìn):1)使用總體損耗和密碼長(zhǎng)度都比低指數(shù)級(jí)RSA更小的橢圓曲線公鑰算法代替RSA;2)使用多認(rèn)證方認(rèn)證代替單一認(rèn)證。但是該方案需要大量的通信開銷。與基于非對(duì)稱密碼體制的認(rèn)證方案相比，基于對(duì)稱密鑰體制的認(rèn)證方案最大的優(yōu)勢(shì)是計(jì)算簡(jiǎn)單。面向WSNs的SPINS安全框架協(xié)議［5］提出可以使用節(jié)點(diǎn)之間預(yù)共享通信密碼和節(jié)點(diǎn)與基站之間預(yù)共享通信密碼2種方式實(shí)現(xiàn)節(jié)點(diǎn)與節(jié)點(diǎn)之間、節(jié)點(diǎn)與基站之間簡(jiǎn)單而高效的身份認(rèn)證。但該方案中密碼的預(yù)分配工作必須在網(wǎng)絡(luò)部署之前全部完成，不能隨著網(wǎng)絡(luò)規(guī)模的動(dòng)態(tài)變化而變化，因此，方案的擴(kuò)展性比較差。為了克服這一缺點(diǎn)，E-G方案［8］采用隨機(jī)密碼預(yù)分配的算法進(jìn)行認(rèn)證和密碼管理，節(jié)點(diǎn)通過各種持有的密碼進(jìn)行匹配實(shí)現(xiàn)認(rèn)證。使用該方案網(wǎng)絡(luò)擴(kuò)展能力會(huì)增強(qiáng)，但是由于密碼匹配存在一定的概率性，當(dāng)節(jié)點(diǎn)間不存在匹配的共享密碼時(shí)，也不能證明節(jié)點(diǎn)為非法;另外，隨著被捕獲節(jié)點(diǎn)的增多，網(wǎng)絡(luò)的安全性變差。

針對(duì)現(xiàn)有方案的缺陷，本文結(jié)合了現(xiàn)有基于非對(duì)稱密碼體制認(rèn)證方案和基于對(duì)稱密碼體制認(rèn)證方案二者的優(yōu)點(diǎn)，提出了一種適用于簇結(jié)構(gòu)傳感器網(wǎng)絡(luò)的認(rèn)證方案，采用分級(jí)的思想將基于非對(duì)稱密碼的復(fù)雜運(yùn)算放在簇頭和網(wǎng)絡(luò)管理者等計(jì)算能力強(qiáng)的節(jié)點(diǎn)上，而簇成員等計(jì)算能力差的普通傳感器節(jié)點(diǎn)僅承擔(dān)基于對(duì)稱密碼體制的簡(jiǎn)單操作，具有針對(duì)性和實(shí)用性。同時(shí)，方案中基于非對(duì)稱密碼的算法采用了橢圓曲線密碼加密體制(elliptic curve cryptosystem，ECC)［9］，在同等安全強(qiáng)度下進(jìn)一步降低了計(jì)算復(fù)雜度和減小了密碼長(zhǎng)度。最后對(duì)方案的安全性和效率進(jìn)行了分析。

1 網(wǎng)絡(luò)模型

本文采用三層結(jié)構(gòu)的簇狀網(wǎng)絡(luò)模型，假設(shè)每個(gè)節(jié)點(diǎn)在網(wǎng)絡(luò)中都有唯一的地址標(biāo)識(shí)符，圖1給出了一種典型的單Sink三層傳感網(wǎng)結(jié)構(gòu)模型。本文使用的網(wǎng)絡(luò)模型不限定簇的形成過程、簇頭的選舉方式、簇內(nèi)的通信方式以及簇頭間的路由方式等，因此，可以用于多種網(wǎng)絡(luò)環(huán)境。

2 基于ECC的非對(duì)稱密碼技術(shù)

2.1 ECC加/解密算法

給定E是定義在有限域Fp上的橢圓曲線，G是E上選擇的階為 n(n為＞160的素?cái)?shù))的基點(diǎn)。CA隨機(jī)選擇k(1≤k≤n-1)作為自己的私鑰，并公開對(duì)應(yīng)的公鑰K=kG和橢圓曲線E的域參數(shù)。

假設(shè)實(shí)體b要安全地發(fā)送消息m給實(shí)體a，那么實(shí)體b需要使用實(shí)體a的公鑰K對(duì)消息m進(jìn)行加密。加密過程如下:

1)實(shí)體b獲取實(shí)體a傳送來(lái)的域參數(shù)信息，并產(chǎn)生隨機(jī)數(shù) j，1≤j≤n-1;

圖1 典型的單Sink三層傳感網(wǎng)結(jié)構(gòu)模型Fig 1 Typical three-layer structure model with single Sink

2.2 ECC簽名與驗(yàn)證算法

假設(shè)實(shí)體a要對(duì)消息m進(jìn)行簽名，過程如下:

1)實(shí)體 a 產(chǎn)生隨機(jī)數(shù) j，1≤j≤n-1;

2)實(shí)體 a 計(jì)算 jG=(x1，y1);

3)實(shí)體a計(jì)算r=x1mod n，若r為0，則返回步驟(1);

4)實(shí)體a計(jì)算e=hash(m);

5)實(shí)體a計(jì)算s=j-1(e+rk)mod n;

6)實(shí)體a對(duì)m的簽名為(s，r)

記實(shí)體a對(duì)消息m的簽名(s，r)為SigECCa(m)。

擁有實(shí)體a公鑰K的實(shí)體b對(duì)簽名SigECCa(m)的驗(yàn)證過程如下:

1)實(shí)體b計(jì)算e=hash(m);

2)實(shí)體b計(jì)算u=s-1mod n;

3)實(shí)體b計(jì)算v1=ew mod n和v2=rw mod n;

4)實(shí)體 b計(jì)算(x1，y1)=v1G+v2K;

5)實(shí)體b判斷r是否等于x1mod n，若相等，則簽名有效;若不相等，則簽名無(wú)效。

3 認(rèn)證方案

方案分為網(wǎng)絡(luò)初始化、節(jié)點(diǎn)注冊(cè)、節(jié)點(diǎn)與簇頭的雙向認(rèn)證和節(jié)點(diǎn)的簇間漫游4個(gè)主要階段。

3.1 網(wǎng)絡(luò)初始化

網(wǎng)絡(luò)管理者(NM)選擇安全的橢圓曲線域參數(shù)，并生成自己的密碼對(duì)(PrKNM，PuKNM)，H是使用 SHA—1算法的安全散列函數(shù)。橢圓曲線域參數(shù)和NM的公鑰PuKNM是全網(wǎng)公開的，網(wǎng)絡(luò)中的簇頭CH1，CH2，…，CHn使用相同的橢圓曲線域參數(shù)生成各自的密碼對(duì)(PrKCH1，PuKCH1)，(PrKCH2，PuKCH2)，…，(PrKCHn，PuKCHn)，其中，私鑰為各自私有，公鑰對(duì)外公開。

3.2 節(jié)點(diǎn)注冊(cè)

節(jié)點(diǎn)i在加入網(wǎng)絡(luò)之前，NM會(huì)檢驗(yàn)和確認(rèn)節(jié)點(diǎn)i的身份。身份確認(rèn)之后，NM為節(jié)點(diǎn)i在合法節(jié)點(diǎn)列表中建立索引項(xiàng)并將相關(guān)索引信息發(fā)送給節(jié)點(diǎn)i。若該過程發(fā)生在網(wǎng)絡(luò)已經(jīng)部署完成之后且NM與節(jié)點(diǎn)i之間不存在物理安全信道，則需要使用加密信息完成該注冊(cè)流程。步驟如下:

1)身份確認(rèn)之后，節(jié)點(diǎn)i隨機(jī)選擇對(duì)稱密碼Keyi0作為原始密碼，然后發(fā)送密文C=EnECCPuKNM(Keyi0)給NM;

2)NM計(jì)算DeECCK(C)得到Keyi0，然后為節(jié)點(diǎn)i在合法節(jié)點(diǎn)列表中添加索引項(xiàng)，索引項(xiàng)至少應(yīng)包括索引編號(hào)Index(i)、有效期TLi節(jié)點(diǎn)i的原始密碼Keyi0三項(xiàng);

3)NM構(gòu)造消息 m={Index(i)，SigECCNM(Index(i))，TLi}，并發(fā)送EnKeyi0(m)給節(jié)點(diǎn)i;

4)節(jié)點(diǎn)i使用Keyi0對(duì)消息進(jìn)行解密后得到Index(i)，

通過該步驟，節(jié)點(diǎn)i與NM之間共享了初始密碼Keyi0。

3.3 節(jié)點(diǎn)與簇頭的雙向認(rèn)證步驟

1)節(jié)點(diǎn)i獲取當(dāng)前時(shí)戳T1并存儲(chǔ)，向簇頭CHj發(fā)起入簇申請(qǐng)，申請(qǐng)消息為 m1={Index(i)，T1，TLi，EnKeyi0(Ti)};

2)CHj收到申請(qǐng)消息m1后，若T1新鮮，則獲取當(dāng)前時(shí)戳 T2，構(gòu)造消息 m2={Index(i)，T1，EnKeyi0(T1)，T2}，發(fā)送{m2，SigECCCHj(m2)}給NM;

3)NM收到m2以后，首先驗(yàn)證簽名SigECCCHj(m2)來(lái)自于簇頭CHj。若簽名有效，則在合法節(jié)點(diǎn)列表中查找Index(i)，找到對(duì)應(yīng)的密碼Keyi0和有效期TLi。列表中無(wú)此項(xiàng)或者有效期已過，則直接回復(fù)CHj節(jié)點(diǎn)i為非法。若有此項(xiàng)且有效期未過，計(jì)算DeKeyi0(EnKeyi0(T1))得到T1并與數(shù)據(jù)包中的T1進(jìn)行比較，若不相等，則回復(fù)CHj節(jié)點(diǎn)i為非法;若相等，NM獲取當(dāng)前時(shí)戳T3，隨機(jī)選擇Keyi1作為節(jié)點(diǎn)i的臨時(shí)密碼，構(gòu)造消息m3={EnECCPuKCHj(Keyi1)，T3，EnKeyi0({T1，Keyi1})}，發(fā)送{m3，SigECCNM(m3)}給 CHj;

4)CHj驗(yàn)證簽名 SigECCNM(m3)，并檢驗(yàn) T1，T2，T3的合理性，從而驗(yàn)證m3來(lái)自于NM。CHj用自身的私鑰PrK解密)得到與節(jié)點(diǎn)i的臨時(shí)對(duì)稱密碼Keyi1，然后發(fā)送消息m4=EnKeyi0({T1，Keyi1})給節(jié)點(diǎn)i;

5)節(jié)點(diǎn)i收到消息m4之后，計(jì)算DeKeyi0(m)得到T1和Keyi1。若T1正確且整個(gè)過程在合理的延時(shí)范圍之內(nèi)，則確認(rèn)CHj為合法的簇頭，并與CHj成功建立安全的對(duì)稱密碼Keyi1。

3.4 節(jié)點(diǎn)的簇間漫游

WSNs中的節(jié)點(diǎn)可以是能夠自由移動(dòng)的節(jié)點(diǎn)，當(dāng)節(jié)點(diǎn)i從一個(gè)簇移動(dòng)到另一個(gè)簇時(shí)，就產(chǎn)生了節(jié)點(diǎn)的簇間漫游問題。當(dāng)節(jié)點(diǎn)i在簇間漫游過程中需要向漫游地簇頭CHk申請(qǐng)認(rèn)證時(shí)，需要重復(fù)3.3小節(jié)所述的認(rèn)證流程。不同的是之前臨時(shí)的對(duì)稱密碼Keyi1會(huì)被拋棄，而由NM為節(jié)點(diǎn)i和簇頭CHk重新生成一個(gè)新的隨機(jī)密碼Keyi2。CHk與節(jié)點(diǎn)i隨后的通信將通過Keyi2進(jìn)行加密和解密。

4 方案分析

4.1 安全性分析

1)雙向認(rèn)證分析

在3.3小節(jié)新加入節(jié)點(diǎn)i與簇頭CHj的認(rèn)證過程中，實(shí)現(xiàn)了二者的雙向認(rèn)證。

CHj對(duì)i的認(rèn)證:簇頭CHj對(duì)節(jié)點(diǎn)i認(rèn)證的安全性主要基于2個(gè)要素:網(wǎng)絡(luò)管理者NM的可信性和NM對(duì)節(jié)點(diǎn)i的認(rèn)證。其中，NM的可信性是通過對(duì)簽名SigECCNM(m3)的驗(yàn)證來(lái)保證的。NM根據(jù)合法節(jié)點(diǎn)列表中的索引項(xiàng)和有效期限認(rèn)證節(jié)點(diǎn)i。只有真正的節(jié)點(diǎn)i才擁有Keyi0，因此，只要解密得到的T1正確，就可以確認(rèn)節(jié)點(diǎn)i身份的真實(shí)性。

i對(duì)CHj的認(rèn)證:節(jié)點(diǎn)i對(duì)簇頭CHj的認(rèn)證取決于NM對(duì)簇頭CHj的認(rèn)證。在雙向認(rèn)證的步驟(3)中，NM驗(yàn)證簽名SigECCCHj(m2)的有效性。由于NM只能通過CHj與節(jié)點(diǎn)i進(jìn)行通信，為了防止CHj偽造驗(yàn)證結(jié)果，NM使用只有NM和節(jié)點(diǎn)i持有的對(duì)稱密碼Keyi0加密包含申請(qǐng)時(shí)間戳T1的數(shù)據(jù)包通過CHj轉(zhuǎn)發(fā)給節(jié)點(diǎn)i。由于每次申請(qǐng)時(shí)的時(shí)間戳T1不同并且CHj不具有密碼Keyi0，因此，CHj無(wú)法偽造驗(yàn)證結(jié)果。節(jié)點(diǎn)i通過解密轉(zhuǎn)發(fā)的數(shù)據(jù)包得到時(shí)間戳T1與當(dāng)時(shí)存儲(chǔ)的時(shí)間戳T1進(jìn)行比較，如果相等，則驗(yàn)證了CHj的合法性。

2)安全的會(huì)話密鑰建立和更新分析

在節(jié)點(diǎn)i與簇頭CHj的認(rèn)證過程中，節(jié)點(diǎn)i與簇頭CHj可以建立安全的會(huì)話密碼Keyi1。Keyi1是由NM隨機(jī)生成的，并且通過2個(gè)安全信道分別傳給節(jié)點(diǎn)i和簇頭CHj:

安全信道NM節(jié)點(diǎn)i:NM向節(jié)點(diǎn)i傳遞消息m'的安全路徑為

在傳遞過程中，雖然經(jīng)過簇頭CHj轉(zhuǎn)發(fā)，但是消息經(jīng)過NM和節(jié)點(diǎn)i共享的Keyi0加密，CHj無(wú)法篡改該消息，因此，該信道是安全的。

安全信道NM→CHj:在該方案中，NM與簇頭CHj之間的通信采用了基于非對(duì)稱密碼的加密方式，保證了二者通信過程中的安全性。在整個(gè)過程中，i與CHj的會(huì)話密碼Keyi1由NM隨機(jī)生成，并且分別通過安全信道傳送給節(jié)點(diǎn)i與簇頭CHj，因此，會(huì)話密鑰Keyi1的建立是安全的。

3)通信安全性分析

認(rèn)證過程中，NM和簇頭的保密內(nèi)容通信均使用基于ECC的算法進(jìn)行加密和簽名，保證了消息的安全性和完整性，發(fā)送的消息添加了時(shí)間戳以保證消息的新鮮性，可以防止重放攻擊。認(rèn)證過程完成之后，簇頭CHj和節(jié)點(diǎn)i建立了安全的共享密碼Keyi1，后續(xù)的通信都使用Keyi1進(jìn)行加密，保證了通信內(nèi)容的安全。在節(jié)點(diǎn)i的認(rèn)證有效期內(nèi)，節(jié)點(diǎn)如果在各簇間漫游，那么，每次都會(huì)產(chǎn)生不同的對(duì)稱會(huì)話密碼，實(shí)現(xiàn)了一次一密。由于會(huì)話密碼由可信的NM隨機(jī)產(chǎn)生并通過安全信道傳輸，任何一方不能單獨(dú)產(chǎn)生會(huì)話密碼，保證了會(huì)話密碼的公正性。

4.2 效率分析

表1對(duì)本方案與 E-G 認(rèn)證方案［8］、TinyPK 方案［4］、Benenson方案［7］在認(rèn)證方式上進(jìn)行了效率比較。

表1 效率比較Tab 1 Comparisons of efficiency

表中SK表示對(duì)稱密碼，由于對(duì)稱密鑰算法的計(jì)算復(fù)雜度要遠(yuǎn)遠(yuǎn)小于非對(duì)稱密碼算法，因此，E-G認(rèn)證方案的計(jì)算復(fù)雜度最小。但E-G方案安全性差、認(rèn)證成功率低、可擴(kuò)展性差，不適應(yīng)大規(guī)模的WSNs應(yīng)用。而相比Benenson方案，本方案和傳感器節(jié)點(diǎn)相關(guān)的操作都使用了基于對(duì)稱密碼的算法，在計(jì)算量方面占有絕對(duì)優(yōu)勢(shì)。因此，下文主要將本方案與TinyPK方案進(jìn)行比較?？紤]到163位的ECC算法與1024位的RSA的安全性相當(dāng)［10］，此處 TinyPK采用 RSA—1024算法，密碼長(zhǎng)度為1024 bit，本方案采用160位的ECC算法，密碼長(zhǎng)度為160 bit。

4.2.1 計(jì)算開銷

1)認(rèn)證方的計(jì)算開銷

表2對(duì)認(rèn)證方的運(yùn)算進(jìn)行了比較，通過文獻(xiàn)［9］可知，160位的ECC非對(duì)稱密碼算法與RSA—1024的算法復(fù)雜度在同一數(shù)量級(jí)。因此，2種方案中認(rèn)證方的計(jì)算開銷相差不大。但本方案所使用的ECC密碼長(zhǎng)度為160 bit，相比TinyPK使用的1024 bit密碼長(zhǎng)度，大大減少了密碼存儲(chǔ)所需要的空間。同時(shí)，在TinyPK中，認(rèn)證方為計(jì)算能力較弱的傳感器節(jié)點(diǎn)，而本方案中的認(rèn)證方為計(jì)算能力較強(qiáng)的簇頭，因此，本方案更具有實(shí)用性。另外，隨著網(wǎng)絡(luò)對(duì)安全要求的提高，ECC低計(jì)算開銷的優(yōu)勢(shì)還會(huì)更加明顯的展現(xiàn)出來(lái)。

表2 認(rèn)證過程中認(rèn)證方的計(jì)算開銷比較Tab 2 Comparisons of the authenticators’computational pay expenses during the authenticational process

2)被認(rèn)證方的計(jì)算開銷

表3對(duì)被認(rèn)證方的運(yùn)算進(jìn)行了比較，相比TinyPK方案，本方案主要使用對(duì)稱密碼加密，計(jì)算量相對(duì)可以忽略。

表3 認(rèn)證過程中被認(rèn)證方的計(jì)算開銷比較Tab 3 Comparisons of the computational pay expenses of the parties to be authenticated during the authentication process

4.2.2 通信開銷

對(duì)于每次成功認(rèn)證，TinyPK僅需要2次通信，而本方案需要4次通信。從通信開銷上看，TinyPK方案要優(yōu)于本方案。但是由于TinyPK方案只實(shí)現(xiàn)了單向認(rèn)證，不能解決認(rèn)證方可能為非法的問題;而本方案實(shí)現(xiàn)了雙向認(rèn)證，認(rèn)證雙方的任意一方為非法實(shí)體都無(wú)法通過。另外，由于TinyPK方案的認(rèn)證是分布式的，并不能解決證書的撤銷問題;而本方案由NM統(tǒng)一對(duì)所有節(jié)點(diǎn)的認(rèn)證信息進(jìn)行管理，可以根據(jù)實(shí)際情況對(duì)證書進(jìn)行撤銷，即本方案通過增加通信開銷提高了網(wǎng)絡(luò)安全性。

5 結(jié)束語(yǔ)

針對(duì)基于非對(duì)稱密碼認(rèn)證方案計(jì)算量大、基于對(duì)稱密碼認(rèn)證方案安全性差的缺陷，本文提出了一種基于ECC的分簇傳感器網(wǎng)絡(luò)節(jié)點(diǎn)身份認(rèn)證機(jī)制。該機(jī)制的核心思想是將基于非對(duì)稱密鑰的復(fù)雜運(yùn)算放在簇頭和網(wǎng)絡(luò)管理者等計(jì)算能力強(qiáng)的節(jié)點(diǎn)上，而簇成員等計(jì)算能力差的普通傳感器節(jié)點(diǎn)僅承擔(dān)基于對(duì)稱密碼體制的簡(jiǎn)單操作，從而降低了普通傳感器節(jié)點(diǎn)的計(jì)算量，具有針對(duì)性和實(shí)用性。同時(shí)，方案引入ECC密碼系統(tǒng)用于進(jìn)一步降低計(jì)算量和減少密碼長(zhǎng)度，具有安全性高、計(jì)算量小、擴(kuò)展性好的優(yōu)勢(shì)。

［1］Perrig A，Stankovic J，Wagner D.Security in wireless sensor networks［J］.Communications of the ACM，2004，47(6):53-57.

［2］Bankovic Z，F(xiàn)raga D，JoséM，et al.Detecting and confining sybil attack in wireless sensor networks based on reputation systems coupled with self-organizing maps［J］.IFIPAdvances in Information and Communication Technology，2010，339:311-318.

［3］Canh N T，Truc PT H，Hai T H，et al.Enhanced group-based key management scheme for wireless sensor networks using deployment knowledge［C］∥The 6th Annual IEEE Consumer Communications and Networking Conference，Las Vegas，Nevada，USA，2009:1-5.

［4］Watro R，Kong D，Cuti S，et al.TinyPK:Securing sensor networks with public technology［C］∥Proceedings of the 2nd ACM Workshop on Security of Ad Hoc Networks and Sensor Networks，Washington DC，2004:59-64.

［5］Perrig A，Szewczyk R，Tygar J D，et al.SPINS:Security protocols for sensor networks［J］.Wireless Networks，2002，8(5):521-534.

［6］章國(guó)安，周 超.基于名譽(yù)機(jī)制的無(wú)線傳感器網(wǎng)絡(luò)安全路由協(xié)議［J］.傳感器與微系統(tǒng)，2010，29(10):75-79.

［7］Benenson Z，Gedicke N，Raivio O.Realizing robust user authentication in sensor networks［C］∥Proceedings of Int’l Conf on Real-World Wireless Sensor Networks，Stockholm，2005:135-142.

［8］Eschenauer L，Gligor V D.A key-management scheme for distributed sensor networks［C］∥Proceedings of the 9th ACM Conference on Computer and Communications Security，New York，USA，2002:41-47.

［9］Koblitz N.Elliptic curve cryptosystems［J］.Mathematics of computation，1987，48(177):203-209.

［10］Gura N，Patel A，Wander A，et al.Comparing elliptic curve cryptography and RSA on 8-bit CPUs［C］∥Proceedings of Int’l Conf on Cryptography Hardware and Embedded Systems，Cambridge，2004:925-943.