0 引言

无线传感器网络(Wireless Sensor Network, WSN)已经被广泛地应用于环境监测、医疗保健、交通运输等领域^[1]。在WSN中，节点通常是由能量非常有限的电池供电，因此，研究如何使节点能够在保证可用性的情况下尽量降低能量消耗，对WSN长时间工作显得尤为必要^[2]。此外，传感器节点是被放置在公共的、不可信甚至可被恶意入侵的现实环境中，且无线传输本身数据易于被捕获和侦听。数据聚合技术作为降低数据通信成本的重要技术之一，将节点的感应数据进行聚合之后发送给基站，以减少能量消耗^[3]。

为了提高数据聚合的安全性，人们通常会采用某种加密技术。传统的安全数据聚合方案多采用逐跳聚合加密^[4-6]，其数据聚合过程中频繁的加解密操作往往会影响聚合效率，也增加了相应的额外能量支出和延时。针对这一情况，引入了同态加密技术^[7-9]使得计算运算可以在密文之上执行，数据聚合过程变得更有效率。基于公钥的同态加密技术，可应用于高端传感器的数据安全聚合；而对于一般的低端传感器更青睐于基于对称加密算法的同态加密技术。在基于对称加密算法的同态加密技术中，根据WSN的特点，设计一个资源消耗较低且同时提供数据机密性和完整性服务的方案是一个非常有挑战的问题^[10]。基于文献[11]的对称加密生成的密文数据聚合，Boudia等^[12]通过一个转发阶段定义传感器节点S_ij的当前状态St_ij，利用基于状态的对称密钥实现加密数据聚合的机密性和完整性；当加密数据聚合操作中受到攻击，该方案中基站发现聚合数据无效，但没有给出确定受攻击节点的方法。为了保障WSN的正常运行，震慑攻击者的攻击行为，设计一种保证加密数据聚合的机密性和完整性、且能及时确定所受攻击的节点的数据聚合方案是十分必要的。

针对Boudia等^[12]提出方案的不足，本文将伪随机函数、安全消息认证码和转发阶段定义传感器节点S_ij的当前状态St_ij相结合，使簇节点能及时验证其属下传感器发送的密文数据，这样基站接收的密文是簇节点验证有效的密文数据的聚合。簇节点的验证结果可及时过滤无效的密文数据，确定受攻击的节点，方便相关部门采取措施及时维护网络的安全运行。

1 本文设计方案

本章将椭圆曲线上的点加法与散列函数相结合，设计了一种可及时确定受攻击的传感器节点的数据聚合方案，可及时检测接收数据的正确性，并及时确定受攻击的传感器节点。该方案由系统初始化、状态转发和数据聚合阶段组成，每个阶段的具体操作将在下面描述。

1.1 系统初始化

假设G是定义在数域F_p中椭圆曲线E_p(a, b)上的加法群，P是G的q阶生成元。令传感器网络中的最大节点数目为n，采集数据的长度为μ比特，正整数M不小于2^μ*n。系统选取一个伪随机函数的f(·)和一个安全消息认证码mac_(·)(·)，并为基站(Base Station, BS)配置一对私钥/公钥(x, Y)，其中Y=xP, x∈Z_q^*，基站BS与每一个传感器节点S_ij建立一个共享密钥SK_ij^BS。

1.2 转发阶段

节点部署后，传感器节点S_ij与其所在簇的簇头CH_j建立一个共享的对称密钥K_ij^CH。在每次执行数据聚合前，BS广播一个严格单调递增的一次性随机数t(如，取BS当前的时间)，部署的传感器节点执行一个转发操作，以生成一个一次性的状态，这是一些传感器网络^[13-15]通常采用的方法。隶属于不同簇的传感器节点不能与基站直接通信，需要通过所在簇的簇头转发来执行这一操作。

隶属于簇CH_j的第i个节点S_ij执行算法1，然后将结果经簇头转发给BS。即，CH_j将St_ij和消息认证码mac_ij转发送给BS。为了确保BS能够提取到所有密钥，要求簇头转发所有的数据包。

算法1   Forwarding phase(S_ij)。

输入:para, SK_ij^BS, t；

输出:St_ij, mac_ij。

1)  生成随机数r_ij∈[1, q－1]；

2)  计算St_ij=r_ijP；

3)  计算K_ij=f(St_ij‖r_ijY‖SK_ij^BS，t)；

4)  计算mac_ij=mac_Kij(St_ij)。

接受到信息(St_ij, mac_ij)后，基站BS使用私钥x计算出与节点S_ij的共享密钥xSt_ij=xr_ijP=r_ijY，调用算法2，检查该状态信息的有效性和完整性。BS将认证结果通过其簇头CH_j转发给节点S_ij，若信息(St_ij, mac_ij)被BS接受，则节点S_ij将(St_ij, mac_ij)作为其状态，此状态用于随后的数据聚合过程；否则，该节点重新执行算法1。转发阶段的最终结果是基站同网络中参加数据聚合的每一个节点S_ij之间共享一个状态St_ij和执行簇数据聚合操作的序号o_i。

算法2  Verification(BS)。

输入:para, t, (St_ij, mac_ij)，SK_ij^BS, x；

输出:mac verification。

对每个节点S_ij

1)  计算K_ij=f(St_ij‖xSt_ij‖SK_ij^BS，t)；

2)  计算mac′_ij=mac_Kij(St_ij)；

3)  若mac′_ij=mac_ij成立则接受；否则拒绝。

1.3 数据聚合阶段

数据的聚合阶段在转发阶段之后进行，包含数据加密、数据聚合和数据恢复与认证三个过程。具体地，在数据加密过程，节点感测数据，将所得结果加密发送至簇头；在数据聚合过程，簇头接收密文数据并验证数据的正确性，簇头将簇中采集的有效数据进行聚合传送给基站；在数据的恢复与认证过程，基站对簇头发来的有效数据进行解密和认证。

1.3.1 数据加密过程

据加密前，传感器节点S_ij先将感知到的数据m_ij用类似于文献[16]的编码方式进行编码，与之不同的是编码之后的e_ij使用对称加密算法，其速度比非对称加密更快并且支持较短的密文。

由f(·)生成两个密钥K_ij1和K_ij2，其中K_ij1 < M(M是传感器节点部署前预装载的大整数，正整数M不小于2^μn)。数据加密过程中，传感器节点S_ij使用K_ij1加密编码之后的数据e_ij，K_ij2则用来生成相应的验证码MAC_ij；传感器节点与簇头共享的密钥K_ij^CH则可分割为两个子密钥K^CH_ij1和K^CH_ij2；K^CH_ij1用来对已经加密的数据进行第二次加密，K_ij2^CH则是生成再次加密之后密文和MAC_ij对应的认证码，具体的加密过程如算法3。

算法3  Encrypt phase(S_ij)。

输入:m_ij, (r_ij, St_ij), SK_ij^BS, K_ij^CH, t；

输出:(c′_ij, mac′_ij), MAC_ij。

1)  对数据进行编码e_ij=m_ij‖0^z，其中z=μ(o_i－1)；

2)  计算K_ij=f(St_ij‖r_ijY‖Y, t)，拆分K_ij为K_ij1‖K_ij2；

3)  生成密文c_ij和对应认证消息MAC_ij，其中c_ij=e_ij+K_ij1 mod M，MAC_ij=mac_Kij2(c_ij)；

4)  拆分K_ij^CH为K_ij1^CH‖K_ij2^CH，计算${{c'}_{ij}} = {c_{ij}} \oplus K_{ij1}^{CH},ma{{c'}_{ij}} = ma{c_{K_{ij2}^{CH}}}\left( {{{c'}_{ij}}\left\| {MA{C_{ij}}} \right.} \right)$。

1.3.2 数据聚合过程

收到节点S_ij的信息(c′_ij, mac′_ij)和MAC_ij后，簇头CH_j首先验证其有效性。具体地，簇头CH_j将与S_ij的共享密钥K_ij^CH拆分成K^CH_ij1‖K_ij2^CH，由K^CH_ij2计算c_ij和MAC_ij的消息认证码mac″_ij，只有当mac″_ij与接收的mac′_ij匹配时才执行对c′_ij的解密，恢复密文c_ij；如果不匹配，则要求节点S_ij重新发送。

假设在限定的时间内有η个节点没有传送有效的数据给簇头CH_j，其中0≤η≤n/3。不失一般性，令这η个节点为S_1j, S_2j, …, S_ηj。对接收到的n-η个有效数据，簇头CH_j执行密文数据的聚合操作得到C_agg。类似地，该簇头将n-η个有效数据对应的消息认证码进行异或聚合得到MAC_agg。最后，簇头将(C_agg, MAC_agg)和没有传送有效数据的节点标识符{S_1j, S_2j, …, S_ηj}转发给基站。上述两个操作的具体实现见算法4。

算法4  Homomorphic aggregation(CH_j)。

输入:((c′_ij, mac′_ij), MAC_ij)，其中i∈{1, 2，…, n}；

输出:(C_agg, MAC_agg)。

1)  认证每个接受信息(c_ij, MAC_ij)

  ①计算$ma{c''_{ij}} = ma{c_{K_{ij2}^{CH}}}\left( {{{c'}_{ij}}\left\| {MA{C_{ij}}} \right.} \right)$

  ②若mac″_ij≠mac′_ij，则要求相应节点重发，

  ③否则，解密${c_{ij}} = {{c'}_{ij}} \oplus K_{ij1}^{CH}$；

2)  当簇中的节点信息有效时，对簇中有效的n－η个密文(c_(η+1)j, c_(η+2)j, …, c_nj)执行聚合计算${C_{{\rm{agg}}}} = \sum\limits_{i = n + 1}^n {{c_{ij}}} \;\bmod \;M$

3)  由n－η个消息验证码(MAC_(η+1)j，MAC_(η+2)j，…，MAC_nj)执行聚合得到 $MA{C_{{\rm{agg}}}}{\rm{ = }}MA{C_{\left( {\eta {\rm{ + }}1} \right)j}} \oplus MA{C_{\left( {\eta + 2} \right)j}} \oplus \cdots \oplus MA{C_{nj}}$。

1.3.3 数据的恢复与认证

基站BS接收到每个簇CH_j发送来的聚合数据(C_agg, MAC_agg)和{S_1j, S_2j, …, S_ηj}后，对它们进行解密和认证两个操作。

令L={η+1, η+2, …, n}，对每个i∈L及其对应节点S_ij，BS读取转发阶段与其共享的状态St_ij，计算对应节点的密钥K_ij，并将该密钥拆分成K_ij1‖K_ij2；然后，通过计算${C_{{\rm{agg}}}} - \sum\limits_{i = \eta + 1}^n {{K_{ij1}}\;\bmod \;M} $得到解密的明文e_agg，由e_agg的结构可得到传感器节点S_ij的数据m_ij，其中i=η+1, η+2, …, n，结合序号o_i和密钥K_ij2，可生成m_ij的消息认证码MAC′_ij；将n-η个MAC′_ij异或操作的结果为MAC′_agg，如果MAC′_agg=MAC_agg成立，则簇头CH_j下的n-η个节点感测数据{m_(η+1)j, m_(η+2)j, …, m_nj}是真实有效的，否则要求对应簇头CH_j重发。具体的恢复与认证操作实现见算法5。

算法5  End-to-end verification(BS)。

输入:(C_agg, MAC_agg)_j无效数据节点{S_1j, S_2j, …, S_ηj}，其中j∈{1, 2, …, n}；

输出:MAC verification。

1)  对有效节点{S_(η+1)j, S_(η+2)j, …, S_nj}计算密钥

  K_ij=f(St_ij‖xSt_ij‖Y, t)，并拆分成K_ij1‖K_ij2；

2)  依据CH_j的信息(C_agg, MAC_agg)_j

  ①计算${e_{{\rm{agg}}}} = {C_{{\rm{agg}}}} - \sum\limits_{i = \eta + 1}^n {{K_{ij1\;}}\bmod \;M} $，

  ②解码(e_agg, {o₁, o₂, …, o_n－η}, μ)：

m_ij=e_agg[(o_i－1)*μ, μ*o_i－1]，其中{o₁, o₂, …, o_n－η}是{1, 2, …, n-η}的置换，

  ③对明文 ${e_{ij}} = {m_{ij}}\left\| {{0^{\mu \left( {{o_i} - 1} \right)}}} \right.$计算 $MA{C_{ij}} = ma{c_{{K_{ij2}}}}\left( {{e_{ij}} + {K_{ij1}}\bmod M} \right)$，执行聚合 $MA{{C'}_{{\rm{agg}}}}{\rm{ = }}MA{C_{\left( {\eta {\rm{ + }}1} \right)j}} \oplus MA{C_{\left( {\eta + 2} \right)j}} \oplus \cdots \oplus MA{C_{nj}}$，

  ④当MAC′_agg=MAC_agg时，接受e_agg；否则对应簇头CH_j重发。

2 安全性分析 2.1 数据机密性分析

本节将讨论本文方案的安全性，其安全性是基于伪随机函数、安全的单向函数、消息认证码和椭圆曲线上的离散对数难问题。

本文方案加密数据聚合的安全性可归约到文献[11]方案的安全性。在文献[11]设计的加密数据聚合方案由下述4个算法组成：

$\begin{array}{l} KeyGen\left( {\lambda ,n} \right) \to e{k_i} = {f_K}\left( i \right);\\ Encrypt\left( {e{k_i},m} \right) \to {c_i} = \left( {{m_i} + {f_{e{k_i}}}\left( r \right)} \right)\bmod \;p;\\ {\rm{Aggregation}}\left( {{c_1},{c_2}, \cdots ,{c_n}} \right) \to c = \left( {{c_1} + {c_2} + \cdots + {c_n}} \right)\bmod \;p;\\ {\rm{Decrypt}}\left( {\sum\limits_{i = 1}^n {e{k_i},c} } \right) \to x = \left( {c - \sum\limits_{i = 1}^n {{f_{e{k_i}}}\left( r \right)} } \right)\bmod \;p \end{array}。$

作者在文献[11]的定理6.2证明了文中方案可抵抗至多(n－1)个参加者的共谋攻击。具体描述如下：

定理1^[11]   若f_K(·)：{0, 1}^λ→{0, 1}^λ是一个伪随机函数，r是一个一次性的整数，则上述加密数据聚合方案可安全地抵抗至多(n－1)参加者的共谋攻击。

定理2   若f(·)：{0, 1}^λ→{0, 1}^λ是一个伪随机函数，且在子群〈P〉求解离散对数问题是难的，则本文加密数据聚合方案Γ可安全地抵抗至多(n－η－1)参加者的共谋攻击，其中n－η是提供有效聚合数据的参加者。

证明  用反证法证明上述定理，即若攻击者能从本文加密聚合的密文获取明文，则他能攻破文献[11]设计的加密数据聚合方案Λ。特别地，取η=0，存在共谋攻击者A₁, A₂, …, A_n－1在时间γ内使得${\rm{Pr}}\left[ {{\mathit{\Gamma} _{{A_1},{A_2}, \cdots ,{A_{n - 1}}}}\left( {{C_{{\rm{agg}}}},MA{C_{{\rm{agg}}}}} \right) = \sum\limits_{i = 1}^n {{e_{ij}}} } \right] > \varepsilon $，由于文献已证${\rm{Pr}}\left[ {{\mathit{\Lambda} _{{A_1},{A_2}, \cdots ,{A_{n - 1}}}}\left( {{C_{{\rm{agg}}}}} \right) = \sum\limits_{i = 1}^n {{e_{ij}}} } \right] > \varepsilon $，它们攻击方案Λ的耗时为γ+O(n(t_f+t_P))，其中t_f和t_P是分别计算伪随机函数和椭圆曲线上的点乘各自执行一次所需的时间。

由于在子群〈P〉求解离散对数问题是难的，攻击者A₁, A₂, …, A_n－1从St_ij=r_ijP和Y=xP分别得到整数r_ij和密钥x的概率是可忽略不计。又t是一次性的，令eK_ij=St_ij‖r_ijY‖Y，则K_ij=f_ekij(t)=f(eK_ij, t)；拆分密钥K_ij为K_ij1‖K_ij2，即K_ij1为f_ekij(t)的高位部分，记为K_ij1=f^h_ekij(t)，这样c_ij=e_ij+f^h_ekij(t)mod M。聚合密文可表示为${C_{{\rm{agg}}}} = \sum\limits_{i = 1}^n {{c_{ij}}\;\bmod \;M} = \sum\limits_{i = 1}^n {{e_{ij}} + \sum\limits_{i = 1}^n {f_{e{k_{ij}}}^{\rm{h}}\left( t \right)\;\bmod \;M} } $。解密操作为$\sum\limits_{i = 1}^n {{e_{ij}} = {C_{{\rm{agg}}}} - \sum\limits_{i = 1}^n {f_{e{k_{ij}}}^{\rm{h}}\left( t \right)\;\bmod \;M} } $。当所有参加者提供有效的聚合数据时，即η=0，i从1取值到n，则攻击者可获得m_i=e_ij聚合的消息$\sum\limits_{i = 1}^n {{m_i}} $，故${\rm{Pr}}\left[ {{\mathit{\Lambda} _{{A_1},{A_2}, \cdots ,{A_{n - 1}}}}\left( {{C_{{\rm{agg}}}}} \right) = \sum\limits_{i = 1}^n {{e_{ij}}} } \right] > \varepsilon $。

在利用本文加密数据聚合方案Γ攻击文献[11]设计的方案Λ过程中，攻击者计算St_ij=r_ijP、Y=xP和eK_ij中的r_ijY耗时为(2n+1)t_P；又利用伪随机函数生成密钥K_ij=f(eK_ij, t)耗时为nt_f，这里i从1取值到n。因而攻击方案Λ的总时间为γ+(2n+1)t_P+nt_f=γ+O(n(t_P+t_f))。

2.2 数据完整性分析

本文加密数据聚合方案Γ的数据完整性是基于消息认证码MAC和伪随机函数f(·)生成的密钥K_ij。由于eK_ij=St_ij‖r_ijY‖Y，攻击者不可能获得eK_ij中的r_ijY；又因St_ij是一次性的，所以攻击者想获取eK_ij的概率很小，从而它们计算密钥K_ij=f(eK_ij, t)的概率可忽略不计。依据消息认证码MAC的安全性可知，攻击者在没有密钥K_ij=K_ij1‖K_ij2的情形下形成一个消息e_ij对应的消息认证码MAC_ij=mac_Kij2(e_ij+K_ij1mod M)的概率可忽略不计的。

3 性能分析

本文方案与文献[12]都是基于椭圆曲线上的Diffie-Hellman密钥协商算法、消息认证码、伪随机函数和椭圆曲线上的离散对数难问题。假设BS的计算能力和存储空间能够满足系统的设计要求，下文着重分析与传感器相关的性能。相对于椭圆曲线上的点乘、消息认证码和伪随机函数计算，哈希函数、异或运算、模的加法运算和字符串的串接操作的耗时可忽略不计。

3.1 计算成本分析

在本文方案实现中，使用带密钥的伪随机函数生成相关信息的消息认证码，即执行一次消息认证码或伪随机函数计算操作所耗费的时间相同。令t_p和t_f分别表示执行1次椭圆曲线上的点乘和执行1次伪随机函数计算所耗费的时间。

传感器节点St_ij计算各自状态St_ij=r_ijP和密钥K_ij=f(St_ij‖r_ijY‖SK_ij^BS，t)需各自执行1次椭圆曲线上点乘操作t_p，密钥生成与消息认证码生成MAC_ij=mac_Kij(St_ij)各自执行1次伪随机函数操作t_f。在转发阶段的相关操作执行次数及时间消耗与文献[12]相似，因此，转发阶段本文方案与文献[12]的时间总消耗均为：2(t_f+t_p)。

在数据聚合阶段，传感器S_ij加密数据，而簇头对它管辖传感器发送的数据执行数据聚合。在数据加密过程中，传感器S_ij生成密钥K_ij=f(St_ij‖r_ijY‖Y, t)用于加密原始数据e_ij，需要计算r_ijY和执行1次伪随机函数操作，所耗费时间共计为t_p+t_f。传给基站的密文c_ij=e_ij+K_ij1mod M，S_ij利用与簇头CH_j的共享密钥K^CH_ij1加密c_ij得到c′_ij=c_ij⊕K^CH_ij1，再分别生成对应的消息验证码MAC_ij=mac_Kij2(c_ij)和mac′_ij=mac_Kij2^CH(c′_ij‖MAC_ij)，此过程，传感器S_ij需要执行2次生成消息验证码的操作，所耗费时间为2t_f。综上，传感器S_ij耗费总时间为t_p+3t_f。文献[12]的每个传感器所需要的时间耗费是t_p+2t_f，但是当某个传感器S_i0j发送给簇节点的信息(c_i0j, MAC_i0j)受到篡改等攻击时，基站通过解密验证只能发现本次聚合数据无效，却不能定位传感器节点S_i0j受到攻击；这样，基站为了获取正确的数据聚合，只好向网络所在簇的所有节点重新收集数据，其传感器节点计算成本为(t_p+2t_f)δ，其中δ是重新收集数据的次数。本文方案通过了簇节点的认证可确定受攻击的节点S_i0j，并对攻击节点及时采取了相应的措施，使重新收集数据的次数一般不超过2次，克服了文献[12]中的不足。

在数据聚合过程中，簇头CH_j只对传感器S_ij的有效数据进行聚合，以降低通信成本，减少基站的对无效数据的解密操作。接收来自传感器S_ij的信息((c′_ij, mac′_ij), MAC_ij)后，CH_j利用与S_ij的共享密钥K^CH_ij1计算c′_ij对应的消息验证码mac″_ij=mac_K^CHij2(c′_ij‖MAC_ij)，再通过mac″_ij与接收的mac′_ij是否匹配来验证接收信息的有效性，此时需要进行1次消息认证码操作，所耗费时间为t_f。假设每个CH_j最大节点数为L，则CH_j需要进行L次消息认证码操作，对应的时间耗费为t_fL，即簇头CH_j耗费总时间。本文方案和文献[12]方案的时间消耗对比分析如表 1所示，其中δ≥2，L′为有效节点个数且L′≤L，簇CH_j中的传感器标识符满足1≤o_i, i≤L，且对同一网络中相同节点o_i=i。

3.2 通信成本分析

令|x|表示二进制字符串的长度。取函数f(·)和mac_(·)(·)输出长度为160比特，感应数据信息长度|μ|=|m_ij|=160比特。

转发阶段，各节点S_ij要将各自状态St_ij与消息认证码MAC_ij通过簇头节点CH_j转发给BS。其中|MAC_ij|=|St_ij|=160比特，且假设传感器节点个数为L，则转发阶段每个传感器节点需要发送数据长度为|MAC_ij|+|St_ij|=320比特，而簇头节点CH_j则需要转发的数据长度为L(|MAC_ij|+|St_ij|)=320L比特。转发阶段发送数据操作与文献[12]相似，同理，转发阶段本文方案与文献[12]的总通信消耗相同且均为：(L+1)(|MAC_ij|+|St_ij|)=320(L+1)比特。

数据加密过程，对数据编码后得到|e_ij|=|m_ij‖0^μ(o_i－1)|=160o_i比特，对其加密后密文|c_ij|=160o_i比特，S_ij利用与簇头CH_j的共享密钥K_ij1^CH加密c_ij得到c′_ij=c_ij⊕K_ij1^CH，故|c′_ij|=|c_ij|；分别生成对应的消息验证码MAC_ij=mac_Kij2(c_ij)和mac′_ij=mac_Kij2^CH(c′_ij‖MAC_ij)，MAC_ij和mac′_ij的长度为函数mac_(·)(·)输出长度，|mac′_ij|=|MAC_ij|=|mac_(·)(·)|=160比特。由此本文方案的数据加密过程传感器节点S_ij发送消息长度为|c′_ij|+|mac′_ij|+|MAC_ij|=160(2+o_i)比特，文献[12]数据加密阶段传感器节点消息长度为|c_ij|+|MAC_ij|=160(1+i)比特。但是当某个传感器S_i0j发送给簇节点的信息(c_i0j, MAC_i0j)受到篡改等攻击时，同理，数据加密过程中本文方案传感器节点的消息长度一般不超过320(2+o_i)比特，文献[12]传感器节点的消息长度为160δ(1+i)比特。

假设每一个簇中最多有L个节点，其中有效节点数为L′。数据聚合过程对密文c_ij和对应消息认证码MAC_ij进行聚合，分别得到|C_agg|=((n－η)160+160)比特=(L′+1)160比特, 和|MAC_agg|=160比特。在数据聚合过程簇头CH_ij发送消息的长度为|C_agg|+|MAC_agg|=(L′+2)160比特，文献[12]数据聚合阶段簇头发送消息长度为|C_agg|+|MAC_agg|=(L+2)160比特。同理，当某个传感器S_i0j发送给簇节点的信息(c_i0j, MAC_i0j)受到篡改等攻击时，在数据聚合过程中，本文方案中簇头CH_ij发送消息的长度一般不超过320(L′+2)比特，文献[12]簇头CH_ij发送消息的长度为160δ(L+2)比特。通信成本对比分析如表 2所示。

3.3 确定受攻击节点时间分析

本文提出的数据聚合方案中，转发阶段相关操作类似于文献[12]，由上一节理论分析可知，本文方案转发阶段的时间消耗和通信消耗与文献[12]相同，因此在确定受攻击节点时间分析时只考虑数据聚合阶段相关操作时间对比。

当传感器节点S_ij将加密的数据发送至簇头节点CH_j，簇头节点CH_j对数据进行认证，如果该簇网络中存在受攻击节点，此时，簇头节点CH_j便可以确定受攻击节点，并将节点信息发送给BS。假设，传输1比特的时间为t_b，传感器节点数为L。传感器节点S_ij向簇头CH_j传输数据所消耗总时间为：$\sum\limits_{i = 1}^L {160\left( {2 + i} \right){t_{\rm{b}}} = 80\left( {{L^2} + 5L} \right){t_{\rm{b}}}} $；确认受攻击节点前各操作时间消耗为：t_p+3t_f；由此可知，簇头节点CH_j确定受攻击节点的消耗时间为：t_p+3t_f+80(L²+5L)t_b；当数据发生错误时需重新收集数据，重新收集数据次数一般不超过2次，因此，簇头CH_j确定受攻击节点消耗总时间一般不超过：2(t_p+3t_f+80(L²+5L)t_b)。而Boudia等的方案中，当簇头节点CH_j将聚合信息发送至BS，如果存在受攻击节点，BS对聚合数据进行解密和认证后才会发现聚合数据值是错误的，且无法确定受攻击节点信息。由分析可知传感器节点S_ij向簇头CH_j传输数据所消耗总时间为： $\sum\limits_{i = 1}^L {160\left( {1 + i} \right){t_b} = 80\left( {L + 3} \right)L{t_b}} $；簇头CH_j向BS发送消耗时间为：160(L+2)t_b；BS发现错误聚合值前各操作时间消耗为：(t_p+2t_f)+(t_p+t_f)L；由此可知，BS发现错误聚合值的时间消耗为：80(L+3)Lt_b+160(L+2)t_b+(t_p+2t_f)+(t_p+t_f)L=(t_p+2t_f)+(t_p+t_f)L+80(L²+5L+4)t_b；由于，当BS发现聚合值错误时，需要不断地重新收集数据，直到聚合值正确，因此，BS发现存在受攻击节点消耗时间为：δ((t_p+2t_f)+(t_p+t_f)L+80(L²+5L+4)t_b)，其中δ为重新收集数据次数，且$\delta \gg 2$，然而，当存在受攻击节点时，BS无法得到最终正确的聚合值，同时也无法准确确认受攻击的传感器节点。由此可以得到确认受攻击的传感器节点的时间对比如表 3所示。

本文方案中，簇节点CH_j对传感器节点S_ij数据进行认证后，过滤错误数据，并将错误数据的传感器节点S_ij信息发送给BS，BS可确定受攻击节点的信息。BS对接收到的数据进行解密和认证，如果此时仍发现聚合值错误，则可知，受攻击的传感器节点为簇头节点CH_j，因此，该方案中，无论是普通传感器节点S_ij还是簇头节点CH_j受到攻击，BS都可以准确判断出受攻击的节点。若考虑信道的传输误差，当传感器节点S_ij传输错误数据，在簇头节点CH_j认证时会及时发现数据错误，要求相应的传感器节点S_ij重新发送数据；当簇头节点CH_j传输错误数据，BS中消息认证错误，要求相应的簇头CH_j节点重新发送数据；如果在规定聚合时间内没有收到相应节点的正确信息，则将节点归为无效节点，不参与有效数据聚合操作以及其后在BS的解密和认证操作；因此，不正确的数据并不会影响无线传感器网络聚合数据的有效性。

在文献[12]中，若存在受攻击的传感器节点，BS就无法获取通过认证的聚合数据，为了获取正确数据只能重新收集，因而其对应的重新收集数据次数$\delta \gg 2$，因此，经理论分析可知，本文方案中，BS不仅可以获取正确的聚合数据，而且确认受攻击节点的时间小于文献[12]方案，并且本文方案与文献[12]的方案相比，在计算成本和通信成本方面都有降低。

4 仿真实验

根据第3章的理论分析，对本文方案进行模拟实验，选取输出度为160比特的安全的单向Hash函数SHA-1，并且用这个Hash函数生成一个长度为160比特的随机数，采用安全的椭圆曲线Curve P-192，即，基于|p|=192比特的素数域，F_p的椭圆曲线，E:y²=x³－3x+b mod p，其素数阶|q|为192比特^[17]，将无线传感器网络的传感器节点数目设置为51，其中簇节点个数为1，在如图 1所示的网络结构下进行仿真实验。在不考虑网络拥塞控制的情况下，即在理想的网络状态下，无线网络传输速率可达250 kb/s，可知网络中传输1比特数据平均消耗时间为t_b=1/250×10^－3s=0.4×10^－5 s，通过实验仿真测得执行1次椭圆曲线点乘消耗平均时间t_p=0.346 s以及执行1次伪随机函数所需平均时间t_f=0.638×10^－5 s。通过实验仿真可得到各个阶段的计算成本实验数据和通信成本实验数据分别如表 4和表 5所示，并且得到确认受攻击的传感器节点的时间结果如表 5所示。在规定的时间周期内，由实验数据可得到，本文方案和文献[12]方案的总计算成本对比和总通信成本对比分别如图 2和图 3所示，其中δ≫2，当δ取值3和4时，本文方案比文献[12]方案的计算成本分别降低了19.96%和33.30%，通信成本分别降低了36.81%和52.32%，确认受攻击节点时间降低了94.41%和95.80%。随着重发次数δ的增加，文献[12]方案时间消耗、通信消耗及确认受攻击节点的时间越来越大，而本文方案则在要求第二次重发时已经确认受攻击节点。由仿真实验结果可知，本文方案的计算成本、通信成本和确认受攻击节点时间比文献[12]方案分别降低了至少19.96%、36.81%和94.41%。

理论分析和仿真实验可知，本文方案与文献[12]相比，降低了计算成本和通信成本，发现错误节点所需时间小于文献[12]方案所需时间，且能够准确发现错误节点信息。

5 结语

确定无线传感器网络中受攻击的节点可以及时对受攻击节点采取相应措施，以保障整个网络的安全性。本文针对Boudia等方案^[12]中存在的缺陷，提出了可及时确定受攻击的传感器节点的数据聚合方案。该方案通过消息认证码保障数据的完整性，并且可及时确定网络中受攻击的传感器节点信息。安全性和性能分析表明，本文方案能及时认证传感器发送的数据，过滤无效数据，确定受攻击节点并保证端到端的数据机密性和完整性。