A METHODS OF AUTHENTICATION OF DEVICES IN SENSOR NETWORKS


Cite item

Full Text

Abstract

Sensor networks (peer-to-peer) are designed to automate production processes and monitoring processes. Therefore, the elements of sensor networks are characterized by the presence of centralized control, and the possibility of interacting directly with each other. An important criterion for the operation of the sensor network is the speed of its responds to change external factors. The time for performing the service operations during the interaction of the sensors should be minimal. In this article, we examine the known authentication methods used to ensure the security of the ongoing messaging processes over the network. The analysis of their effectiveness is presented, the tendencies of the modern development of the protocols are indicated. The problem of a relatively long time of authentication when using existing methods is defined, as well as a method for shortening the execution time of the authentication procedure. The experiment and a comparative analysis of the speed of existing and proposed authentication algorithms were carried out, during which the advantage of the proposed method was revealed, which made it possible to shorten the authentication time by more than 7 times.

Full Text

Современные сенсорные сети (peer-to-peer) строятся, как правило, на принципе централизованного управления, с элементами самоорганизации, когда сетевые элементы могут взаимодействовать между собой напрямую без обращения к серверам управления. Для корректной работы всей сети требуется обеспечить минимальное время установления сеанса связи между ее структурными элементами. Таким образом, необходима система аутентификации, которая позволяет участникам сети проводить как прямое взаимодействие друг с другом, так и оставаться под контролем централизованного управления с сохранением равной степени защищённости. Для этого требуется и соответствующая процедура аутентификации элементов. Методы аутентификации на сенсорных сетях На практике используются несколько типов аутентификации на сенсорных сетях [1]: ACL (Access Control List), динамическая аутентификация пользователей на основе легковесного пароля с использованием хэш-функции, двухфакторная аутентификация с смарт-карты или биометрией, аутентификация пользователей в беспроводных сетях на основе криптографии эллиптических кривых. Протокол ACL использует списки управления доступом [2]. Способ основывается на проверке наличие записи по каждому участнику сети в базе данных (БД) на центральном элементе. В случае наличия записи об участнике в списке проверяются права его доступа, и согласно этим правам выдается разрешение на установление связи между элементами. Как видно из алгоритма работы данного протокола (см. рис.1), взаимодействие идет через сервер управления, обеспечивая централизованность управления, но при этом автономность данной системы практически отсутствует. На первом этапе клиент «А» отправляет свои данные на сервер для регистрации в сети, сервер сверяет полученные данные от «А» со списками доступа и в ответ выдает подтверждение или отказ в регистрации. После этого «А» отправляет запрос серверу управления на доступ к клиенту «Б». Сервер сверяет полученный запрос со списками доступа и в случае подтверждения прав доступа к «Б» отправляет «А» сеансовый ключ для взаимодействия с «Б». Рис. 1. Алгоритм работы ACL - Протокол динамической аутентификация пользователей на основе легковесного пароля с использованием хэш - функции [3] протекает в несколько этапов (см. рис. 2). На первом этапе происходит регистрация нового абонента в сети: для этого регистрируемый элемент «А» отправляет на центральный сервер свой идентификатор и хэш пароля доступа к запрашиваемой сети и специальной метки. Обрабатывающий шлюз принимает полученную информацию, и данный абонент регистрируется на сети. При этом остальным участникам сети приходит уведомлении о появлении нового элемента «А». Рис. 2. Алгоритм динамической аутентификации на основе легковесного пароля с использованием хэш-функции После регистрации узел «А» запрашивает доступ к необходимым для его функционирования другим участникам сети. Получив данный запрос узел «Б» сенсорной сети перенаправляет его на сервер для проверки подлинности обратившегося элемента «А» и его прав доступа к нему. После проверки центральный узел выдает информацию по запрашиваемым правам доступа и на основании полученных данных делается о начале сеанса между конечными элементами сети. Рис. 3 Алгоритм работы двухфакторной аутентификации В протоколе с двухфакторной аутентификацией (см. рис. 3) шлюз (сервер управления) создает два мастер-ключа Х и Y для клиента «А» и «Б» соответственно [4]. Предполагается, что шлюз и узлы датчиков используют общий долгосрочный общий секретный ключ, вычисляемый как хэш-функция от ключей «А» и «Б» с их метками. Протокол состоит из этапа регистрации по логину и паролю, фазу аутентификации и фазы обновления пароля. При подключении клиент «А» запрашивает доступ к центральному узлу по открытому каналу. Центральный узел запрашивает подтверждение знания секрета. Клиент «А» преобразует полученную метку и отправляет обратно. Если преобразование верно, клиенту «А» выдается ключ X для взаимодействия с сервером управления. После этого «А» отправляет запрос доступа к клиенту «Б», передавая сой идентификатор. Абонент «Б» перенаправляет запрос с на шлюз с указанием своего идентификатора и идентификатора, полученного от «А». Сервер сверяет права доступа между «А» и «Б» и по результатам в ответ высылает ключ, вычисленный на основе ключей X и Y. Затем «Б» передает «А» полученный от сервера новый сеансовый ключ. После получения всеми сторонами сеансового ключа идет уведомление сервера о начале работы «А» и «Б» по сеансовому ключу. По завершению данных процедур начинается данными между «А» и «Б», при котором обе стороны считаются достоверными. Протоколы двухфакторной аутентификации со смарт-карт или биометрией [5-6] используют выше описанный метод двухфакторной аутентификации с внесением корректировок на то, что для процедуры регистрации на сервере, или же генерирования ID клиента привлекается дополнительная информация со смарт-карты либо используются биометрические данные в качестве своеобразной подписи, для формирования индивидуального ключа с более высокими параметрами аутентичности. Аутентификация пользователей в беспроводных сетях на основе криптографии эллиптических кривых [7] строится на принципах протокола двухфакторной аутентификации, с той разницей, что используется шифрование с более сильной криптографией. Процедуру можно разделить на четыре этапа, а именно фаза регистрации пользователя в системе, фаза получение обновления информации об участниках сети, фаза аутентификации между конечными узлами и фаза получения сеансового ключа между конечными узлами. В ходе аутентификации клиент «А» отсылает запрос доступа клиенту «Б». Клиент «Б» перенаправляет запрос на сервер для определения прав доступа. В случае положительного результатам проверки клиента «Б» создает сеансовый ключ и передает его абоненту «А». После получения данного ключа абонентом «А» начинается передача данных между конечными узлами «А» и «Б». Опыт применения вышеописанных типов аутентификации показал их основные недостатки [8-10], заключающиеся в невысокой скорости выполнения процедур и избыточной зависимости от центрального узла, без которого невозможно проведение процедур аутентификации между конечными узлами сенсорной сети, что в большей степени относится к методу аутентификации через списки доступов. Сегодня ведутся проработки алгоритмов в направлении повышения защищенности каналов обмена данных в момент проведения процедуры аутентификации. Также оптимизируются потоки информации между сервером и конечными узлами. Однако, алгоритмов, предоставляющих возможность конечным устройствам сенсорной сети проводить процедуру аутентификации без участия посредника и с высокой скоростью выполнения операций, в настоящий момент не создано. Предлагаемый алгоритм аутентификации Разработанный алгоритм аутентификации решает задачу аутентификации узлов сенсорных сетей между собой без участия центрального узла управления, а также позволяет сократить время, необходимое для выполнения данной операции. Для этого необходимо провести в два этапа аутентификации каждого узла на сенсорной сети (см. рис. 4). Сначала элемент «А» регистрируется на центральном сервере, тем самым создавая централизованный канал управления данным узлом. Регистрация проходит путем подтверждения запрашиваемой стороной знания общего секрета через преобразование случайной метки. После чего абонент «А» отсылает свои данные, подтверждающие его права доступа к серверу. В случае успешного подтверждения сервером данных абонента «А» он отправляет клиенту «А» его идентификатор (ID), определяющий данного абонента на сети, создаются уникальные клиентские пароли для централизованного канала управления, а также регистрирующемуся абоненту передаётся информация об уже зарегистрированных участниках сети. Далее происходит установление сеанса между зарегистрированным узлом «А» и абонентом «Б», находящимся в сети, с которым необходимо связаться. Для этого абонент «А» отсылает запрос доступа на узел «Б», одновременно запрашивая его ID. Получив данный запрос, клиент «Б» отправляет свой ID. После чего передает тестовую метку абоненту «А» для проверки его подлинности, путём подтверждения знания общего секрета. Метка преобразовывается узлом «А» и передаётся обратно. Если все процедуры выполнены корректно, то вырабатывается сеансовый ключ между конечными узлами «А» и «Б». Рис. 4. Предлагаемый алгоритм аутентификации между узлами сенсорной сети Результаты экспериментального сравнения эффективности алгоритмов В ходе изучения быстродействия алгоритмов аутентификации на сенсорных сетях был поставлен эксперимент по их сравнительному анализу. Аутентификация проводилась между узлами, уже зарегистрированными в сети. Таким образом не учитывалось время, затрачиваемое сенсором при первичном подключении к сети, а лишь измерялось время, необходимое для проведения процедуры аутентификации между конечными узлами. Таблица 1 Сравнительный анализ затрачиваемого времени на выполнение процедуры аутентификации между конечными узлами Исследуемый алгоритм аутентификации Время аутентификации ACL 106 мс На основе легковесных паролей 60 мс Двухфакторная аутентификация 60 мс На основе эллиптических кривых 60 мс Предложенный алгоритм аутентификации 8 мс Результаты тестирования отображены в Таблице 1, приведенной ниже. По результатам эксперимента выявлено, что применяемые в настоящее время методы аутентификации не имеют временных преимуществ относительно друг друга, так как в их основе используются схожие принципы работы. Алгоритм аутентификации по спискам доступа показывает самые плохие временные показатели, так как вся процедура аутентификации проходит через сервер управления. Разработанный алгоритм аутентификации показывает наилучшие результаты по быстродействию. Сравнительный анализ показывает, что предлагаемый алгоритм имеет выигрыш по быстродействию более чем в 7 раз. Заключение Разработанный метод проведения аутентификации элементов сенсорных сетей позволяет снизить нагрузку на центральный узел сети, тем самым повышая автономность его работы. Обеспечивается высокая отказоустойчивость сети, так как нагрузка распределяется между всеми элементами сети. Данный алгоритм обладает наивысшими показателями быстродействия среди проанализированных. По завершению процедуры аутентификации реализуется рабочая автономная система с возможностью централизованного управления. Таким образом, предлагаемый алгоритм отвечает всем требованиям, предъявляемым для работы на сенсорных сетях.
×

About the authors

Roman Viktorovich Chigir

Povolzhskij State University of Telecommunications and Informatics

Email: rwch63@mail.ru

Nicolai Nicolaevich Vasin

Povolzhskij State University of Telecommunications and Informatics

Email: vasin@psuti.ru

References

  1. Куан Ж., Чунминг Т., Ксиангхан Ж., Чунминг Р. Безопасный протокол аутентификации пользователей для сети датчиков при захвате данных. Журнал облачных компьютерных вычислений, систем и приложений. №4:6, 16 февраля 2015 // URL: https://journalofcloud computing.springeropen.com/articles/10.1186/s13677-015-0030-z (д.о. 10.02.2017).
  2. Списки управления доступом (ACL) и правила уровня связывания ACL. Центр знаний IBM. Посл. обновл. 12. 2013 // URL: http://www.ibm.com/support/knowledgecenter/ru/SSRS7Z_8.5.0/com.ibm.programmingcm.doc/dcmcm035.htm (д.о. 13.02.2017).
  3. Шах И.Д., Гала Ш.Х., Шекокар Н.М. Легковесный протокол аутентификации, используемый в беспроводной сенсорной сети. Материалы МНК «Схемы, системы, коммуникационные и информационные технологии применения (CSCITA)», опубл. 19.06. 2014 // URL: http://ieeexplore.ieee.org/ document/6839249/ (д.о. 15.02.2017).
  4. Ньянг Дае-Хан, Ли Мун-Ку. Совершенствование двухфакторного протокола аутентификации Даса в безпроводных сенсорных сетях. Архив по криптологии ePrint. Доклад № 631, 21.12. 2009 // URL: http://eprint.iacr.org/2009/631.pdf (д.о. 21.02.2017).
  5. Лал Дас М. Двухфакторная аутентификация пользователей в беспроводных сенсорных сетях // Труды IEEE по беспроводной связи. №8 (3), 16.03.2009 // URL: http://ieeexplore. ieee.org/abstract/document/4801450/ (д.о. 21.02.2017)
  6. Юань Д., Джианг Ч., Янг Ж. Аутентификация пользователей по биометрической базе на беспроводных сенсорных сетях // Журнал Естественных Наук университета Вухань. Т.3, №15, 2010. - С. 272-276.
  7. Венбо Ш, Гонг П. Новый протокол аутентификации пользователей в беспроводных сенсорных сетях на основе криптографии эллиптических кривых. Журналы SAGE. 01.01. 2013 // URL: http://journals.sagepub.com/doi/full/10.1155/2013/730831 (д.о. 7.03.2017).
  8. Хан М.К., Альхазбар Х. Криптоанализ и улучшение безопасности «двухфакторной аутентификации пользователей в беспроводных сенсорных сетях» // Сенсоры. Т.3, №10, 2010. - С. 2450-2459.
  9. Сю-Лянь Йе, Тянь-Хо Чен, Пинь-Чуань Лю, Тай-Ху Ким, Синь-Уэн Вей. Протокол обеспечения аутентификации в беспроводных сенсорных сетях на основе криптографии эллиптических кривых // Сенсоры. Т.5, №11, 2011. -С. 4767-4779.
  10. Хан В. Уязвимости защищенного протокола аутентификации в беспроводных сенсорных сетях на основе криптографии эллиптических кривых. Архив по криптологии ePrint. Доклад №293, 15.05.2014 // URL: http:// eprint.iacr.org/2011/293. (д.о. 21.03.2017).

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2017 Chigir R.V., Vasin N.N.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies