DOI QR코드

DOI QR Code

Improved Tree-Based ${\mu}TESLA$ Broadcast Authentication Protocol Based on XOR Chain for Data-Loss Tolerant and Gigh-Efficiency

데이터 손실에 강하고 효율적 연산을 지원하는 XOR 체인을 이용한 트리기반 ${\mu}TESLA$ 프로토콜 개선

  • 여돈구 (순천향대학교 정보보호학과) ;
  • 정재훈 (순천향대학교 정보보호학과) ;
  • 최현우 (순천향대학교 정보보호학과) ;
  • 염흥열 (순천향대학교 공과대학 정보보호학과)
  • Received : 2009.10.19
  • Accepted : 2010.02.23
  • Published : 2010.04.30

Abstract

${\mu}TESLA$ broadcast authentication protocol have been developed by many researchers for providing authenticated broadcasting message between receiver and sender in sensor networks. Those cause authentication delay Tree-based ${\mu}TESLA$[3] solves the problem of authentication delay. But, it has new problems from Merkel hash tree certificate structure. Such as an increase in quantity of data transmission and computation according to the number of sender or parameter of ${\mu}TESLA$ chain. ${\mu}TPCT$-based ${\mu}TESLA$[4] has an advantages, such as a fixed computation cost by altered Low-level Merkel has tree to hash chain. However, it only use the sequential values of Hash chain to authenticate ${\mu}TESLA$ parameters. So, It can't ensure the success of authentication in lossy sensor network. This paper is to propose the improved method for Tree-based ${\mu}TESLA$ by using XOR-based chain. The proposed scheme provide advantages such as a fixed computation cost with ${\mu}$TPCT-based ${\mu}TESLA$ and a message loss-tolerant with Tree-based ${\mu}TESLA$.

센서 네트워크에서 송신자와 수신자 간의 인증을 위한 ${\mu}TESLA$ 브로드캐스트 인증 기법은 다수의 연구자들에 의해 연구되어 왔지만, 인증지연 문제를 내포하고 있다. Tree-based ${\mu}TESLA$${\mu}TESLA$의 대표적인 인증지연 문제를 해결하였지만, 머클 해쉬 트리 기반 인증서 구조로 인해 메시지 인증시 송신자나 키 체인의 수에 따라 가변적인 오버헤드를 가지는 문제점이 있다. ${\mu}TPCT$-based ${\mu}TESLA$는 하위 머클 해쉬 트리 기반 인증서 구조를 해쉬 체인으로 변경함으로써 고정된 연산량 가지는 인증서 구조를 제안하였다. 하지만, 순차적으로 분배되는 해쉬 체인 값만으로 ${\mu}TESLA$ 파라메타를 인증하므로 데이터 손실률이 높은 네트워크에서는 성공적인 인증을 보장할 수 없다. 본 논문에서는 XOR 체인 기반 인증서 구조를 이용함으로써 ${\mu}TPCT$-based ${\mu}TESLA$의 장점인 고정된 연산량과 Tree-based ${\mu}TESLA$의 장점인 데이터 손실에도 관대한 인증서 체인 구조를 제안하고자 한다.

Keywords

I. 서론

센서 네트워크(Sensor Network)는 주변 환경정보를 수집하는 수신자(Sensor Node)와 수신자를 컨트롤하며 수신자로부터 수집된 정보를 모으고 센서 네트워크 외부와 통신할 수 있는 송신자(Base Station)로 구성된다. 센서 네트워크의 특징 중 하나는 수신자의 파워’ 저장. 연산 능력이 제약적이라는 것이다. 이러한 특징은 센서 네트워크 전체의 수명에도 영향을 미치게 되기 때문에, 송. 수신자간 통신 중수 신자의 부하를 최대한 줄이려는 연구가 활발하게 진행되어왔다.

센서 네트워크에서는 송신자와 수신자 간에 메시지전달에 있어 무선 통신 기술을 이용한다. 무선 통신에 사용되는 브로드캐스트 방식은 송신자의 전파 범위 안에 있는 수신자라면 누구든지 메시지를 획득할 수 있다. 이러한 통신 방식은 광범위한 센서 네트워크에서의 센서 노드들을 관리하는데 있어 효율적이다. 다만. 브로드캐스트된 메시지들을 인증하는데 있어 센서 네트워크의 낮은 대역폭, 무선 통신의 간헐적인 통신 두절. 센서 노드의 자원 제약적인 특징 등이 제약사항으로 작용한다. 그렇기 때문에 기존의 유선 네트워크에서 사용하던 브로드캐스트 방식에서의 인증 방식이나, 기존 보안 프로토콜들을 센서 네트워크에 그대로 적용할 수가 없다.

2001년 ACM에 게재된 SPINfSecurity Protocol for Sensor Networks)(1) 은 일반 PC급에서 디지털 서명을 이용한 브로드캐스트 인증 방식을 지원하는 TESLA 프로토콜을 센서 네트워크에 적용한 uTESLA를 선보였다. uTESLA는 해쉬 함수를 이용하여 해쉬 체인을 만들고, 체인이 생성된 방향과 반대 방향으로 생성된 키를 브로드캐스트 한다. 한번 공개된 키는 다음 키가 공개되기 이전 시점까지만 사용함으로서 비대칭 키와 유사한 특징을 갖는다. 하지만. 하나의 키 체인으로 센서 네트워크의 수명을 포함(cover)하기에는 키 체인의 각 구간(血temWdj)이 상당히 길어지기 때문에 인증지연 문제가 발생한다. 이후, 다수의 짧은 구간의 키 체인을 계층적으로 연결하여 인증지연 시간을 줄인 Multi-Level 11TESLA 프로토콜〔2〕를 비롯하여. 광범위한 센서 네트워크에서 다수의 송신자를 고려한 Tree-based pTESLA 프로토콜〔3〕등이 제안되었다.

pTPCT-based uTESLA 프로토콜(4)은 Tree -based pTESLA 프로토콜에서 송신자가 소유하~는 키 체인의 수가 늘어남에 따라 센서 노드에서의 연산량이 증가하는 문제를 해결하였다. 이 기법은 ITU-T와 ISO/IEC에서 국제 표준화로 추진 중인 USN (Ubiquitous Sensor Network)을 위한 보안 프레임워크(X.usnsecT) 〔6〕에서 센서 네트워크에서의 브로드캐스트 인증 기법으로 채택되었다.

본 논문에서는 uTPCT-based uTESLA 프로토콜의 해쉬 체인 기반 인증서 구조가 연속적인 통신 두절 시 메시지 인증이 불가능하다는 점을 보이고, 이 문제를 해결하기 위해[그림 3〕의 해쉬 체인 기반 인증서 구조를[그림 4〕의 XOR 연산을 이용해 값을 연결한 XORC(eXclusive-OR Chain) 기반 인증서 구조로 변경함으로써 센서 노드 측면에서 메시지 인증을 위해 고정적인 연산량을 소비하며, 즉시인증도 지원한다. uTESLA 프로토콜에 XOR 연산을 적용한 연구는 XORC가 최초이다. 2장에서는 이전에 연구되었던 UTESLA 기법들에 대해 알아보고, 3장에서는 제안하고자 하는 XORC 구조가 갖는 연산적 특성 및 구조적 특성에 대해 알아본다. 이후, 4장에서는 제안하는 기법의 효율성 및 안전성에 대해 분석하고, 5장에서 결론을 맺고자 한다. N

Ⅱ. 관련 연구

이번 장에서는 이전에 제안되었던 uTESLA 프로토콜의 특성들에 대해 살펴보고자 한다. 들어가기에 앞서, 각 논문에서 사용하는 용어에 차이가 있으므로이해를 돕기 위해 용어와 약어에 대해 다음과 같이 정의를 한다.

〔표 1〕은 본 논문에서 사용되는 용어와 약어에 대한 설명을 나타내고’〔표 2]는 참조한 논문들에서 사용한 용어와 약어들이다. 각 참조 논문에서의 역할을 기준으로 유사 용어를 묶어 분류하였으며, 제안하는 논문에서는 대표 용어로 사용하도록 한다.

다음으로 센서 네트워크의 구조를 프로토콜이 단일송신자를 고려하는지 , 다중 송신자를 고려하는지 에 따라서 아래와 같이 분류하고, 각 프로토콜의 구조적 차이와 이용하는 인증 기법에 대하여 알아보고자 한다. (1) 단일 송신자를 고려한 센서 네트워크 : 센서 네트워크에 하나의 유선 혹은 무선으로 연결된 단일송신자가 있고, 주변에 수신자가 위치한 네트워크 구조로 소규모의 센서 네트워크에 적합하다. 적용 가능한 uTESLA 프로토콜은 Original uTESLA, Multi-Level pTESLA이다’

[표 1) 용어 및 약어 설명

(표 2] 유사 용어 및 대표 용어 선택

(2) 다수의 송신자를 고려한 센서 네트워크 : 센서 네트워크에 하나의 중앙 서버가 위치하고 유선 혹은 무선으로 연결된 다수의 송신자가 있으며, 그 주변에 수신자가 위치한 네트워크 구조로 광대역의 센서 네트워크에 적합하다. 적용 가능한 pTESLA 프로토콜은 Tree-based uTESLA, pTPCT-based uTESLA, 제안하는 프로토콜이다.

2.1 단일 송신자를 고려한 센서 네트워크를 지원하는 pTESLA 프로토콜

TESLA(the Timed, Efficient, Streaming, Loss-tolerant, Authentication) 프로토콜〔7〕은 워크스

[그림 1) 2-Level uTESLA의 키 체인 구조

테이션 급 PC 간의 효율적인 브로드캐스트 기법을 제공하는 프로토콜이다. 인증을 위해 송신자의 디지털 서명 기법을 이용하기 때문에, 자원이 제약적이고 무선을 이용하는 센서 네트워크에 적용하기에는 부적합하다(1).

2.1.1 Original pTESLA

Original uTESLA에서 이용되는 키 체인 구조는 [그림 1〕에서 Levell에 해당한다. 전체 센서 네트워크의 생명 주기를 Intervale 길이의 "개의 구간으로 서로 다른 인증키 (缶)를 할당한다. 송신자는 n 구간마다 전달되는 메시지에 인증키 값(缶)을 포함하여 전달하고. 수신자는 이를 수신하였다가 수식(2)의 검증 식을 거쳐 인증되었을 경우 수신한 메시지를 저장한다. 수집한 정보가 있어 송신자에게 전달할 경우, 약속된 지연시간(delay) 이후에 저장해둔 인증키 값(务)과 수집 정보를 함께 전달한다. 송신자가 수신한 메시지에 이전에 전달했던 인증키 값(妁)이 있을 경우에만 메시지를 저장하게 된다.

#(1)

Original yTESLA는 디지털 서명 대신에 송. 수신자간에 공유되는 초기 키(危)를 의사 난수 생성 함수 0缶( ))의 입력값으로 사용함으로써 일정 시간 구간 (血姑性凹)마다 서로 다른 키(吗)를 만들어내는 해쉬체인을 구성한다.

#(2)

수식(2)는 Original uTESLA의 메시지 검증 식이 다. 수신자는 현재 구간(血加冲山)에 수신한 인증키 (缶)의 검증을 위해 의사 난수 생성 함수(尸J ))에 인증키㈤)를 입력 값으로 하여 GT 회 반복 연산한다. 결과 값이 가장 최근(血temra/j)에 이용하였던 인증키 (氏)값과 동일한지 확인한다. 만약, 값이 동일하다면 올바른 인증키로 믿고 인중키를 K로 대체한다.

2.1.2 Multi-Level pTESLA

MultFLevel 11TESLA에서는 Original uTESLA를 좀 더 큰 규모의 센서 네트워크에 적용할 수 있도록 개선하였다. 그 특징으로 첫째, 동일한 uTESLA 파라메타의 경우 사전결정 방법을 이용하여 전달할 데이터의 양을 줄였다. 둘째, 상위 레벨에 구간이 긴 키 체인을 두고. 구간이 짧은 키 체인을 하위 레벨에 두고 서로를 계층적으로 연결함으로써 인증키의 갱신 주기를 줄였다. 셋째, 메시지 손실과 DoS (Denial of Service) 공격의 피해를 줄이기 위해 메시지를 반복 전송하는 방법과 메시지 인증 지연을 줄이기 위해 다음 구간의 인증키를 현재 구간의 에 추가하는 방법을 이용하였다.

[그림 1〕은 2-Level uTESLA의 키 체인 구조를 나타낸다. Multi-Level uTESLA는 Levell의 n개의 긴 구간을 m개의 짧은 구간(血terwZZ、)으로 나누어 메시지 인증지연 시간을 줄이고, 인증키의 갱신 주기를 줄였다.

#(3)

#(4)

수식(3)의 3번째 파라메타가 다음 구간(血teroa/j) 에서 사용될 인증키 (气 + 璀)의 이미지 값을 담고 있으므로, 洌4을 수신하고 丑(瓦+ 项)을 연산하여 값이 동일하면 CDNJ을 인증하게 된다. 이후 勿 A 知 의무결성 검사를 위해서의 마지막 파라메타인를 이용한다. W 번째 구간의 하위 레벨 키 체인의 마지막 키(晚“)의 분실 시 복구가 가능하도록 상위 레벨 키 체인과 하위 레벨 키 체인을 %( )로 서로 연결하였다.

2.2 다수의 송신자를 고려한 센서 네트워크를 지원하는 uTESLA 프로토콜

센서 네트워크에 송신자가 하나만 위치한 경우, 다수의 수신자들로부터 전달되는 데이터로 인하여 병목현상이 발생하며 송신자 인근에 배치된 중계 노드들의 에너지 소모가 많아지게 된다. 결과적으로 센서 네트워크의 수명을 짧아지게 만든다. Tree-based μ TESLA는 하나의 센서 네트워크에 다수의 송신자를 고려함으로써 병목현상을 줄일 수 있으며 광범위한 센서 네트워크에 적용 가능하다.

앞으로 설명할 두 프로토콜 및 제안하는 프로토콜은[그림 5〕의 키 체인 구조와[그림 2〕의 상위 레벨 트리 (Bee”) 를 기반으로 한다. 본 절에서는 각 프로토콜이 갖는 장점과 단점에 대해 기술하고, 키 체인 구조 및 트리를 이용한 인증서 구조에 대한 자세한 설명은 3.3절에서 살펴보도록 한다.

2.2.1 Tree-based μTESLA

Tree-based uTESLA는 센서 네트워크에 다수의 송신자를 고려하기 위하여 각 송신자/에 대한 인증서 (可)와 2번째 구간에 대한 송신자j의 키 체인에 대한인증서 (耳3)를 생성하고, 이를 연산할 수 있는 인증서파라메타(RjraCfertj, Rzra(血弓;)를 수신자에게 전달한다. 트리의 각 노드는 이웃한 하위 레벨 트리 2개를 연접하고 해쉬 함수를 적용함으로써 생성된다.[그림 2〕는 송신자3을 위한 5번째 키 체인의 “冯, 5의 인증서 ($3.5)를 생성했을 경우를 나타낸다.

Tree-based uTESLA는 짧은 구간(血terw/d)의 키 체인을 이용하여 메시지 인증지연 시간을 줄이고, 사전 분배된 상위 트리의 루트 값(岛。塌)을 이용하여 송신자로부터 인증서 파라메타 (RjraQrtj, Rra(%r知)를 수신할 경우, 즉시 인증이 가능하다. 또한, 송신자를 위해 상위 레벨의 트리 기반 인증서 구조를 이용함으로써 센서 네트워크에 다수의 송신자를 설치할 수 있는 장점이 있다.

하지만, 송신자의 수나 소유하는 키 체인의 수가 많은 경우, 트리 높이가 증가하기 때문에 전달해야 하는 Paraarte 데이터 량이 증가하게 된다. 따라서 송. 수신자 사이의 통신량 및 연산량이 증가하게 되는 단점을 가지고 있다.

2.2.2 pTPCT-based pTESLA

uTPCT-based uTESLA는 트리 높이 증가에 따른 연산량이 증가하는 문제점을 해결하기 위해 제안되었다. 이 프로토콜은 현재 ISO/IEC JTC1/SC6 WG7에서 진행 중인 USN을 위한 보안 프레임워크 (X.usnsec-1)에서 브로드캐스트 인증 기법으로 채택된 프로토콜이다〔7〕.[그림 3〕은 송신자3이 소유한 6번째키 체인의 M玛, 5를 위한 인증서 C&rM辨效5)를 생성했을 경우를 나타낸다.

(그림 2) Tree-based pTESLA의 인증서 구조

(그림 3) yTPCT-based uTESLA 인증서 구조

Tree-based uTESLA의 하위 트리의 구조를 » TPC(uTESLA Parameter Chain)라 불리는 해쉬 체인 구조로 변경하여. 수신자 측에서의 메시지 인증 시 연산에 필요한 인증서 파라메타(RzraQr顷)의데이터양을 줄임으로써 통신량과 수신자의 연산량을 고정적으로 줄이는 효과를 가져왔다.

반면, 해쉬 체인 구조는 긴 2구간(2XQ)) 이상의 통신 두절시 더 이상 메시지 인증이 불가능한 특성을 가지고 있다. 만약. 수신자가 초기 인증서 값 (4, 0)만을 가지고 있는 상태에서 2구간 이상 데이터를 수신하지 못한 경우, 수신자가 받을 수 있는 파라메타들은 인증서 값 知와 11TESLA 파라메타가 된다. 이때, 수신한 파라메타들을 이용해 Z&2값을 계산할 수 있지만. 汇明, i을 도출할 수 없으므로 수신자3이 전달하는 이후의 메시지들을 인증할 수 없게 된다.

Ⅲ. 제안 프로토콜

이번 장에서는 위에서 언급한 목적을 달성하기 위해 이용되는 연산적인 특성과 제안한 XORC 인증서구조 및 생성 과정에 대해 알아보고자 한다. 본 논문에서 제안하는 기법은 uTPCT-based uTESLA의 장기간 통신 두절 시 메시지 인증이 불가능하다는 문제점을 해결하기 위해 해쉬 함수를 이용한 XORC 구조를 제안하며. XORC 구조를 이용한 목적은 다음과 같다.

3.1 브로드캐스트 인증 방식의 목적 및 요구사항

① 해쉬 체인의 순서 성이 장기간 통신 두절시 메시지 인증불가 문제를 해결한다.

② 장기간 통신 두절 이후, 언제라도 인증서 파라메타를 수신하면 인증이 가능해야 한다.

③ 키 체인의 수와 관계없이 적은 양의 고정된 연산만으로 송신자와 메시지를 인증할 수 있어야 한다.

④ 만들어진 키와 인증서의 값은 각 구간마다 서로 상이해야 하고. 공개되지 않은 키에 대한 정보를 유추할 수 없어야 한다.

3.2 제안하는 인증서 구조에서 이용하는 연산자 측면의 특성 분석

트리 기반 인증서 구조는 트리 높이가 높아질 경우 통신량과 연산량이 증가하는 문제점을 가지고 있다. 해쉬 체인 기반 인증서 구조는 트리 기반 인증서 구조의 문제를 해결했지만. 장기간의 통신 두절이 발생할 경우에는 인증이 불가능하다는 문제점이 발생한다. 제안하고자 하는 인증서 구조는 이러한 문제를 해결하면서 트리 기반 인증서 구조의 장점과 체인 기반 인증서구조의 장점을 고루 갖춘 XORC 생성을 위해 XOR 연산과 해쉬 연산을 이연산은 표, 각 연산은〔표 3〕 에나열된 특성을 가진다.

해쉬 체인 기반 인증서 구조의 경우, 장기간 통신두절 시 메시지 인증이 불가능하게 되는데 그 이유는해쉬 함수의 순서 성 때문이다. (2.2.2 참조). 제안하는 기법에서는 해쉬 연산의 순서 성을 없애기 위해 XORC 을 이용한다. 위에서 살펴본 XOR 연산의 특성①과 특성②는 장점으로 작용하지만, 특성③과 특성④는 보안상 취약한 요소로 작용할 수 있다. 3.1 절의 목적 달성과 특성③과 특성④를 보완하기 위해서 XORC 생성 이전에 1회의 해쉬 연산을 추가하였다. XORC에 대한 안전성 분석은 4.4절에서 다룬다.

(표 3] XOR 체인 구조가 이용하는 연산의 특성

[그림 4) XOR-based uTESLA 인증서 구조

(그림 5) XOR-based μTESLA의 키 체인 구조

3.3 제안하는 인증서 구조 분석

본 절에서는 제안하고자 하는 인증서 구조가 이용하는 키 체인과 상위 인증서 트리 및 하위 XORC 기반 인증서 구조에 대해 알아보고자 한다. 설명은 키 체인 생성을 시작으로 하여 최종값인 Boot "를 생성하는 순서로 진행한다.[그림 4〕의 상위 트리는 송신자를 나타내는 N=3, Intervale 키 체인의 수를 나타내는 n = 10. 한 개의 Intervale 키 체인이 갖는 Interval키 체인의 수를 나타내는 m = 5인 경우를 나타낸다.[그림 5〕의 키 체인은 송신자를 지원하는 y TESLA 프로토콜에서 공통적으로 이용하고 있는 구조이고, [그림 4〕의 하위 체인이 XORC 기반의 인증서 구조를 나타낸 것이다. 이해를 돕기 위해[그림 4] 에서 인증서에 포함되는 파라메타들을 회색으로 표현하도록 한다’ (단, 송신자를 나타내는 顶 = 3. 긴 체인의 인덱스를 나타내는 6 = 2인 경우를 나타낸다.)

(1) 키 체인 구조의 생성 과정

중앙 서버가 키 체인과 관련된 파라메타를 사전에 결정하고, 관련 정보를 송신자에게 전달한다.

단계①, 3번째 송신자의 2번째 키 체인 생성을 위해서 중앙 서버가 랜덤하게 선택한 마지막 키값(從, J 을 송신자에 전달한다.

#(5)

수신된 마지막 키값을 气( )의 입력값으로 하여 4 회 반복 연산하여 1개의 짧은 키 체인을 만들고, 缶, 0 을 초기 키값으로 선택한다.

#(6)

이웃한 짧은 키 체인을 서로 연결하기 위해, 수식 ⑸에서 /饥값을 爲10의 입력값으로 하여 다음 키 체인의 마지막 키값修丄)을 만든다’

단계④. 단계②와 단계③을 반복하여 송신자3을 위한 한 개의 키 체인을 생성한다.([그림 5))

#(7)

센서 네트워크 내의 시간 동기화를 위해 다음의 파라메타들을 각 체인의 초기 키값과 함께 전달한다. (여기서. 각 짧은 키 체인의 초기 키값(瓦.0)을 제외한 값들이 동일한 경우, 중앙 서버는 이를 사전에 결정할 수 있다.)

단계⑥. 공개되는 키의 방향은 키 체인 생성 방향과 반대 방향이다.

(2) 하위 XORC 기반의 인증서 생성 과정

XORCe 중앙 서버에서 생성하여 관련 정보를 각 송신자에게 전달한다.

#(8)

송신자3의 인증서(这 =0』饱)의 부분 정보로. 송신자3이 소유한 키 체인의 pTESLA 파라메타 값들에 의해 생성된다.

#(9)

송신자3의 인증서 부분 정보(払)를 이용하여, 송신자3의 두 번째 짧은 체인의 uTESLA 파라메타 값에 대한 인증서 값을 생성한다.

#(10)

단계③, 如"妙如 = {鸟』“巧, }

송신자3은 수신자에게 자신이 소유한 孔 정보를 알리기 우] 해, uTESLA 파라메타와 인증서로 구성된 Paradwt*% 를 주기적으로 브로드캐스트한다.

(3) 상위 트리 기반 인증서 생성 과정

상위 트리 기반 인증서 구조는 중앙 서버에서 생성

#(11)

송신자3의 인증서 (禺)는 키 체인의 초기 키 값들의정보(払)와 송신자3의 식별자(丑4)로 구성된다.

#(12)

각 송신자의 인증서(曷) 정보가 노출되지 않도록해쉬 연산을 한다.

단계③.#(13)

각 트리 높이 별로 이웃한 해쉬 연산 결과를 연접하여 해쉬 연산을 한다. 이와 같은 연산을 통해 노드의 수가 1/2씩 줄게 되므로, Z*회를 반복하면 血。如 값을 생성할 수 있다. BootR 값은 센서 네트워크에 참여하고 있는 송.수신자에게 사전 분배된다.

단계④,#(14)

중앙 서버가 송신자3에게 전달하려는 정보가- 있을경우. 송신자3의 인증서 파라메타를 함께 전달한다. (N= 8, j = 3으로 가정)

(4) 송신자의 메시지 인증 과정

중앙 서버로부터 송신자가 메시지를 수신한 경우.

(N=8” = 3으로 가정)

단계①, #(15)

송신자3은 중앙서버로부터 데이터와 자신의 인증서

#(16)

송신자3은 사전분배 받은 血如값을 이용하여, 인증서 파라메타의 연산 결과(血。/急와 동일한지 검사한다. 일치할 경우. 수신했던 데이터를 저장한다.

(5) 수신자의 메시지 인증 과정

송신자로부터 수신자가 메시지를 수신한 경우. 3=8, 丿으로 가정)

#(17)

#(18)

#(19)

송신자3이 데이터를 보내는 경우, 7初4@呜을 이용해서 올바른 송신자인지를 확인하고, 수식(19)에서 계산한 亢s을 이용하여 송신자3의 丑, 3와 연접한 값이송신자3의 인증서 값耳와 동일한지 검사한다. 일치할 경우. 수신했던 데이터를 저장한다.

Ⅳ. 성능 분석

이번 절에서는 지금까지 알아본 브로드캐스트 인증기법들의 효율성을 확인하기 위해서 각 기법에서의 저장, 통신, 연산 오버헤드 및 메시지 복원력과 제안한 인증서 구조의 안전성에 대해 분석을 하고자 한다. 파라메타의 크기는 기법①. ②, ③이 모두 Tree-based hTESLA〔1〕를 송신자 인증서 생성을 위해 사용하였으므로〔1〕 에서 가정한 패킷 페이로드 크기인 29顷es ' 로 가정하고, \HASH\, \Part\, ISI, 加, 끼 모두 kbytes 로 가정한다. 1必?|낄 게파라메타{:끼I끼| 7;」1아가 중앙서버에서 사전에 정의될 경우. 农ZP| = {&, o}가 되므로 8以es의 크기를 가질 수 있다.

4.1 효율성 분석

비교에 앞서 체인 전체를 생성해 내는 중앙서버, 송신자의 능력은 PC급이므로 저장과 연산 능력에 제한이 없는 것으로 고려한다. 다수의 송신자를 고려하고 있는 3가지 기법이 동일한 키 체인 구조와 트리 기반인증서 구조를 이용하고 있으므로 CS에서 인증서를 생성하는데 드는 연산량을 비교하고, BS와 SN에서는 저장량, 통신량, 연산량 등을 비교하도록 한다. 분석대상을 원문자를 할당하여 각 기법을 구분한다. ① Tree-based pTESLA, ② pTPCT-based pTESLA, ③ XOR Chain-based uTESLA. 센서 네트워크에 N명의 송신자는 각각 段개의 긴 키 체인을 소유하고 있다고 가정한다.

(1) 중앙 서버 (CS) 의 연산량 분석

기법①, ②, ③ 모두 다중 송신자를 지원하기 위해 트리 기반의 인증서 구조를 이용하고 있다. M명의 송신자로 구성된 상위 레벨 트리 인증서 구조 생성을 위해(2如-1)회의 해쉬 연산이 필요하다. 기법①의 경우, "개의 긴 키 체인으로 구성된 하위 레벨 트리 인증서 구조 생성을 위해 (心-1) 회의 해쉬 연산이 필요하다. 기법②의 경우. E>C을 이용하기 때문에 n회의해쉬 연산만 필요로 한다. 기법③의 경우. XORC을이용하기 때문에 “회의 해쉬 연산과 XORC 생성을 위한 (2n-l)의 XOR 연산이 추가로 요구된다. 효율성을 비교하자면 기법②>기법③>기법① 순이다.

(2) 송신자(BS)의 저장 오버헤드 분석

기법①, ②, ③ 모두 상위 레벨 트리 인증서 구조를 사용하기 때문에, 사전 분배된 상위 레벨의 루트 값 (砌如)과 키 체인 정보를 담고 있는 하위 레벨 트리 (기법②의 경우 V.TPC, 기법③의 경우 XORC)에 대한 정보를 저장하고 있어야 한다. 따라서 기법①의 경우 (*”-1) 개의 Paraart, 기법②와 기법③의 경우 n 개의 /braCfert을 주가로 저장해야 한다. 효율성을 때비교할 때 기법② = 기법③>기법① 순이다.

(3) 중앙 서버와 송신자 간의 통신량 분석

각 송신자는 중앙 서버로부터 데이터나 쿼리를 받을 경우, 자신이 소유한 키 체인 정보로 만들어진 송신자의 인증서를 받게 된다. 기법①. ②, ③ 모두 상위레벨 트리 인증서 구조를 사용하기 때문에, (z*-1) 개의 와 号을 수신해야 한다.

(4) 송신자의 연산량 분석

송신자는 중앙 서버로부터 수신한 메시지를 인증하기 위해 (l + Sg/O 회의 해쉬 연산을 수행해야 한다. 기법 ①, ②. ③ 모두 상위 레벨 트리 인증서 구조를 사용하기 때문에, 모두 동일한 연산량을 갖는다고 볼 수 있다.

(5) 수신자의 저장량 분석

기법①. ②, ③ 모두 상위 레벨 트리 인증서 구조를 사용하기 때문에, 꾜皿 r을 사전에 분배받는다. 다만. 기법②의 경우, 하위 레벨 체인으로 pTPC을 이용하기 때문에 NPC의 초기 값인 4。값을 추가로 저장하고 있어야 한다.

[표 4] 기존 방법과의 효율성 분석

(6) 송신자와 수신자 간의 통신량 분석

송신자가 수신자에게 정보를 전달하려면, 송신자 자신을 증명할 수 있는 인증서 값(耳.)을 포함하고 있는 RzraCJrtj을 전달해야 하고, 자신이 소유한 키 체인에 대한 인증서 값(与“)와 uTESLA 파라메타 값 (“7%)을 포함하고 있는 Paraarte 주기적으로 전달해야 한다. 모든 기법에서 Paraarte 데이터 크기는 (知-1)成6纽|뉘 SI로 표현 가능하다. ■RzraQrt “의 데이터 크기는 기법①의 경우에는 (4, -1)成6机|+備7, |이고, 기법①와 ②의 경우에는 成(侥rtl뉘"7FI이다. 효율성을 비교해보면 기법② = 기법③>기법① 순이다.

(7) 수신자 측면에서의 연산량 분석

수신자는 송신자로부터 송신자를 인증할 수 있는 정보를 담고 있는 FamCk电와 키 체인 정보를 담고 있는 HiraGfer如을 수신받는다. 기법①, ②, ③ 모두 상위 레벨 트리 인증서 구조를 사용하기 때문에, 송신자인증을 위해서 (l + Zog/V) 회의 해쉬 연산이 공통적으로 필요하고, 기법①의 경우 하위 트리의 인증을 위해 (1 + 姑9必)회의 해쉬 연산이 추가적으로 필요하다. 반면, 기법②의 경우에는 1회의 해쉬 연산이 추가되고, 기법③의 경우에는 1회의 해쉬 연산과 1회의 XOR 연산이 추가적으로 필요하다. 효율성을 비교해보면 기법②>기법③>기법① 순이다.

〔표 4)는 앞서 분석한 내용을 도표. 로 정리한 것이다. 제안하고자 기법③은 1회의 XOR 연산만을 추가함으로써 기법②의 방식처럼 수신자 측면에서 효율적인 메시지 인증 연산량을 갖는다.

4.2 메시지 복원력 분석

기법①, ③에서는 모든 송수신 자가 신뢰하는 RixsIr 값을 전달하기 위해 사전분배 기법을 이용하였다〔3〕. 따라서 네트워크 상태가 장기간 끊어지더라도, 메시지인증을 위해 ParaCkrt-, RiraCir知만 수신한다면 언제라도 메시지 인증이 가능하다.

기법②에서는 모든 송.수신자가 신뢰하는 以如값을 사전분배 받음으로써〔표 5〕와 같이 적은 양의 데이터만을 수신하여 즉시 인증이 7] 능하다’ 하지만, 순서 성을 갖는 해쉬 함수 체인(“77©를 이용하기 때문에 연속된 입력값을 알지 못하는 경우 출력 값을 알 수 없다’[그림 3〕에서 나타난 것처럼 추가 인증을 위해서는 최근에 인증된 £垢값을 저장하고 있어야만 한다. 그러므로 2.2.2에서 언급한 바와 같이 2구간 (2xd)간 이상 ParaC&rt%*을 수신하지 못하면 이후 수신한 메시지를 모두 인증할 수 없는 문제점이 발생하게 된다.

〔표 5〕는 각 기법에서 최대 복구 가능한 분실 기간을 표로 정리한 것이다. 기법①도 분실 기간에 상관없이 메시지 인증이 가능하지만, 키 체인의 개수에 따라 통신량이 증가하는 단점이 있다. 제안하는 기법③는 적은 양의 데이터 통신만으로 언제든 메시지 인증이 가능함을 확인할 수 있다.

4.3 인증서 구조의 안전성 분석

지금까지 알아본 기법①. ②, ③에서 송신자 인증을 위해 동일한 상위 트리 기반 인증서 구조를 이용하고, 트리 기반 인증서 구조는 해쉬 함수의 안전성에 기반을 둔다. 마찬가지로 각 기법이 이용하는 하위 레벨의 인증서 구조 또한 해쉬 함수의 안전성에 기반을 두고 있다. 다만, 기법③의 경우 XOR 체인을 이용함에 있어 . 3.2절에서 언급한 문제점이 발생할 수 있다. 이를 보완하는 방법으로 해쉬 함수를 이용하였다. 이번 절에서는 각 기법이 안전성에 기반을 두고 있는 해쉬 함수의 안전성에 대해 알아보고, XOR 체인의 문제점을 보완했음을 확인한다. 해쉬 함수의 특성을 자세히 알아보면 다음과 같다〔6〕.

[표 5] 허용 가능한 최대 메시지 분실 기간 비교

특성① 약한 일 방향성 : 해쉬 함수 丑伝) = 3/에서 y 가 주어질 때, 연관된 입력 ®를 계산할 수 없어야 한다. 특성② 강한 일 방향성 : 해쉬 함수 ■研抄 = !/에서 H(/)="가 되는 입력 z'林를 찾을 수 없어야 한다. 특성③ 충돌 회피성 : 해쉬. 함수 丑W = y에서 = 인 값이 없어야 한다.

하지만, 해쉬 함수는 m 비트의 메시지를 n비트의해쉬 값으로 사상시킴으로서 같은 결과 값을 가질 수 있는 확률이 존재하게 된다. 생일공격(Birthday Attack)〔6〕에서 충돌쌍이 발생할 수 있는 확률은 2^2이다' 아래 식은 각 기법의 브로드캐스트 메시지인증 과정을 나타내고 있다. (단. N=8, n = 10, m = 5, j = 3. / = 2일 경우 아래와 같이 표현할 수 있다.)

#(20)

#(21)

#(22)

기법①에서는 加비트의 입력으로 e 비트의 출력이 발생하고. 기법②에서는 2n + a비트 입력으로 n 비트의 출력이 발생하고, 기법③에서는 2”비트의 입력으로 n 비트의 출력이 발생한다. 각 기법 모두에서 n 비트의 출력이 발생하는 해쉬 연산을 이용하고 있으므로 모든 기법에서 해쉬 함수를 공격하여 인증서를 위조할 확률은 2"/2이다.

4.4 XOR Chain의 안전성 검증

제안하는 XOR 체인 구조에서는 户7写, , (1勺*氏0£拦项-1)일 때, 사용자■, 를 위해 nTPjt 모두를 XOR 연산한 결과를 기반으로 叫瑶의 인증서 5"를 생성하게 된다. 이 과정에서 XOR만을 이용하게 될 경우, 3.2절에서 알아본 XOR 연산의 특성 중 ③짝수 번 반복된 입력값 상쇄에 의해 공개되지 않은 IxTP., 값이 노출될 수 있는 취약점이 발생한다. 이런 문제점을 해결하기 위해 XOR 체인 연산에 해쉬연산을 추가하였다. 이번 절에서는 해쉬 연산을 추가한 XOR 체인 구조가 공개되지 않은 “代, , 의 노출 문제를 해결할 수 있음을 증명하고자 한다.

[그림 6] HASH 연산이 포함된 XORC 생성 과정

[그림 7] HASH 연산이 포함되지 않은 XORC 생성 과정

[그림 4〕에서 해쉬 연산이 포함되지 않은 XOR 체인의 생성 과정을 수식 및 그. 림으로 표현하면 다음과 같다.

증명 : 만약, n = 5. 전체 구간은 0~4, 현재 구간을 2로 가정할 경우. 구간 3이 되는 순간 아직 공개되지 않은 구간 4의 /汀写, 4 값을 유추할 수 있다. “77司4 = RgSZ写珈7写铮“7写2$〃, 写, 3)이 므로 공개되지 않은 底昭』값을 사전에 알 수 있다.

반면, XOR 체인을 생성하기 이전에 해쉬 연산을 적용한다면 信照, 4 값이 노출되지는 않는다.

#(27)

#(28)

#(29)

#(30)

#(31)

증며 .#일 때, 丑血码“)값을 얻을 수 있다. 하지만 以?丄 = 亿知』끼lq, /d} 값이 유출되지 않으므로, 공개되지 않은 uTESLA 파라메타를 보호할 수 있다. XORC에 사용된 血 )의 안전성은 4.3절에서 알아본 특성①에 의해 보장받는다.

V. 결론

센서 네트워크에서 수신자의 자원 제약적인 측면은 센서 네트워크의 전체적인 수명에 크게 영향을 미치기 때문에 송신자와 수신자 간에 전달되는 메시지의 양을 최대한 줄여야 하며, 전달된 메시지를 인증하기 위해 소모되는 연산량 또한 최소화시켜야 한다. 더욱이 대부분의 센서 네트워크에서 통신으로 이용하는 브로드캐스트 방식은 수신을 보장할 수 없으므로 반복적인 전송을 기본으로 하고 있다. 손실률이 높은 무선 네트워크라도 수신한 메시지에 대한 인증은 보장되어야 한다. 새롭게 제안한 XOR 체인 기반 인증서 체인 구조는 수신자 측면에서 1회의 XOR 연산이 증가하기는 하지만 고효율의 인증 연산을 지원하고, 장기간의 통신 두절이 발생하더라도 언제든 즉시 인증이 가능하다. 향후 연구를 통해 2-레벨의 XOR 체인 기반 인증서구조를 이용하면 상위 레벨 트리 인증서 구조가 가지는 저장, 연산, 통신 오버헤드를 획기적으로 줄일 수 있을 것으로 예상된다.

,본 연구는 지식경제早 및 정보통신산업진흥원의 대학 IT 연구센터 지원사업의 연구결과로 수행되었윰,

References

  1. A. Perrig, R. Szewczyk, V. Wen, D. Culler, and J.D. Tygar, "SPINS: security protocols for sensor networks," Proceedings of the seventh annual international conference on Mobile computing and networking, pp. 189-199, July 2001.
  2. D. Liu and P. Ning, "Multilevel $_{\mu}TESLA$: Broadcast authentication for distributed sensor networks," ACM Transactions on Embedded Computing Systems (TECS), vol. 3, no. 4, pp. 800-836, Nov. 2004. https://doi.org/10.1145/1027794.1027800
  3. D. Liu, P. Ning, S. Zhu, and S. Jajodia, "Practical broadcast authentication in sensor networks," the 2nd Annual International Conference on Mobile and Ubiquitous Systems: Networking and Services, pp. 118-132, July 2005.
  4. Z. Du, K. Wang, and L. Zhou, "Efficient broadcast authentication in wireless sensor networks," Proceedings of the 2008 IEEE Asia-Pacific Services Computing Conference, pp. 187-192, Dec. 2008.
  5. ITU-T, "Proposal for the 4th revised text on ITU-T X.usnsec-1 ISO CD 29180: Security framework for ubiquitous sensor network," http://www.itu.int/md/T09-SG 17-C-0125/en, Sep. 2009.
  6. A.J. Menezes, P.C. van Oorschot, and S.A. Vanstone, Handbook of Applied Cryptography, CRC Press, pp. 321-383, Oct. 1996.
  7. A. Perrig, R. Canetti, J.D. Tygar, and D. Song, "Efficient authentication and signing of multicast streams over lossy channels," In IEEE Symposium on Security and Privacy, pp. 56-74, May 2000.