陳國(guó)良

摘 要：傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊；同時(shí)傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，能源非常有限，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。文章結(jié)合作者的研究，介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法。

關(guān)鍵詞：無(wú)線傳感器網(wǎng)絡(luò)；傳感器節(jié)點(diǎn)；防御選擇性轉(zhuǎn)發(fā)；鄰居協(xié)同測(cè)定

中圖法分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2014）04-0028-02

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)技術(shù)涉及到多個(gè)學(xué)科、多個(gè)層面。從網(wǎng)絡(luò)體系結(jié)構(gòu)上看，傳感器網(wǎng)絡(luò)相關(guān)技術(shù)可以劃分為分層的網(wǎng)絡(luò)通信技術(shù)、網(wǎng)絡(luò)管理技術(shù)及網(wǎng)絡(luò)支撐技術(shù)三個(gè)大部分。無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)主要完成信息采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理以及數(shù)據(jù)傳輸?shù)裙δ埽溆布脚_(tái)在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執(zhí)行器和供電單元等幾部分。由于傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊。同時(shí)，傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，傳感器節(jié)點(diǎn)能源非常有限且珍貴，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。為此，本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下攻擊的防御方法。

1 節(jié)點(diǎn)的概念

大規(guī)模傳感器網(wǎng)絡(luò)通常由相同傳感器節(jié)點(diǎn)組成，它們具有相同的通信半徑，設(shè)為R。大量傳感器節(jié)點(diǎn)以高密度隨機(jī)部署在監(jiān)測(cè)區(qū)域里，節(jié)點(diǎn)一經(jīng)部署就不再移動(dòng)，具有全網(wǎng)唯一的id。全網(wǎng)有一個(gè)安全可信的基站，基站收集所有節(jié)點(diǎn)感知的數(shù)據(jù)。監(jiān)測(cè)區(qū)域根據(jù)感知事件的不同被劃分成多個(gè)不相重疊的事件區(qū)域，每個(gè)事件區(qū)域內(nèi)有多個(gè)節(jié)點(diǎn)；在同一事件區(qū)域內(nèi)的節(jié)點(diǎn)將感知到相同的感知數(shù)據(jù)。當(dāng)兩個(gè)節(jié)點(diǎn)之間的距離r≤R時(shí)，它們可直接通信，互為鄰居；距離較遠(yuǎn)的節(jié)點(diǎn)間需借助鄰居轉(zhuǎn)發(fā)進(jìn)行多跳通信，節(jié)點(diǎn)間最短鏈路的長(zhǎng)度稱為節(jié)點(diǎn)間的距離矢量。

2 傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法

傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊的方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）節(jié)點(diǎn)j擁有與基站共享的唯一密鑰kj

在網(wǎng)絡(luò)部署前，為每個(gè)節(jié)點(diǎn)j分配一個(gè)唯一的與基站共享的密鑰kj，該密鑰用于多項(xiàng)式對(duì)感知數(shù)據(jù)的劃分與還原中。

（2）每個(gè)節(jié)點(diǎn)建立自己的鄰居表以記錄必要的鄰居信息

所有節(jié)點(diǎn)在網(wǎng)絡(luò)部署后，將建立自己的鄰居表。當(dāng)節(jié)點(diǎn)需要發(fā)送感知數(shù)據(jù)到基站時(shí)，節(jié)點(diǎn)就要根據(jù)本發(fā)明中的多路徑路由方法從鄰居表中選擇合適的下一跳節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)。

（3）基于多項(xiàng)式的數(shù)據(jù)劃分與還原策略

多項(xiàng)式的數(shù)據(jù)劃分與還原策略是指，當(dāng)節(jié)點(diǎn)感知到數(shù)據(jù)后，為了減少通信量需要將數(shù)據(jù)劃分成長(zhǎng)度更小的數(shù)據(jù)片；然后，通過(guò)多項(xiàng)式的計(jì)算生成不同的多項(xiàng)式值。所以，只要基站能收到一定的多項(xiàng)式值就可以解析多項(xiàng)式還原出原有的感知數(shù)據(jù)。

（4）多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制

為了更好的防止惡意節(jié)點(diǎn)的丟包行為，必須實(shí)現(xiàn)同一事件的若干個(gè)相關(guān)數(shù)據(jù)包沿不同的路徑發(fā)往基站。因此提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。當(dāng)節(jié)點(diǎn)將同一事件區(qū)域的相關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節(jié)點(diǎn)從鄰居表中動(dòng)態(tài)地選擇下一跳傳遞數(shù)據(jù)包，這樣可以進(jìn)一步加大攻擊者掌握數(shù)據(jù)流信息的難度。具體如下：

（1）網(wǎng)絡(luò)部署前，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均分配一個(gè)與基站共享的唯一密鑰。

（2）網(wǎng)絡(luò)初始化階段，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均獲得自己的鄰居集Nr（j）。

（3）假設(shè)網(wǎng)絡(luò)有N個(gè)節(jié)點(diǎn)；m個(gè)事件區(qū)域；在第i個(gè)事件區(qū)域里有xi個(gè)節(jié)點(diǎn)，它們共同感知的數(shù)據(jù)是Di；那么，可以得到每個(gè)節(jié)點(diǎn)多項(xiàng)式的次數(shù)ti-1為：

（1）

很顯然，當(dāng)ti=1，就是信息不做任何處理，退變?yōu)閱温窂桨l(fā)送的最簡(jiǎn)方案；然而無(wú)線傳感器網(wǎng)絡(luò)具有高密度的特點(diǎn)，所以大多數(shù)事件區(qū)域內(nèi)會(huì)有多個(gè)節(jié)點(diǎn)存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項(xiàng)式，將感知數(shù)據(jù)Di劃分成ti個(gè)數(shù)據(jù)片dik''k∈1，2，…，ti，并使dik作為多項(xiàng)式f（kj）的系數(shù)，因此可以得到：

（2）

這樣，同一事件區(qū)域的不同節(jié)點(diǎn)計(jì)算出不同的fj值，最后將xi個(gè)fj值而非感知數(shù)據(jù)沿不同的路徑轉(zhuǎn)發(fā)給基站。

（5）為了實(shí)現(xiàn)同一事件的xi個(gè)數(shù)據(jù)包沿不同的路徑發(fā)往基站。本專利提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制如表1所列。

（6）基站收到節(jié)點(diǎn)發(fā)送來(lái)的數(shù)據(jù)包后，根據(jù)多項(xiàng)式解析出原有的感知數(shù)據(jù)Di。顯然，同一事件區(qū)域內(nèi)有xi個(gè)數(shù)據(jù)包發(fā)往基站，由多項(xiàng)式原理，基站只要收到xi中ti個(gè)任意fj數(shù)據(jù)包就可以解析出Di。

（7）設(shè)Ri為基站接收到來(lái)自事件區(qū)i的數(shù)據(jù)包個(gè)數(shù)，那么，基站的成功接收率Ps可進(jìn)行如下統(tǒng)計(jì)：

否則 （3）

（4）

3 鄰居協(xié)同測(cè)定假冒攻擊源方法

本方法無(wú)需全網(wǎng)拓?fù)湫畔⒓奥酚蓞f(xié)議支撐，測(cè)定過(guò)程不借助密碼算法。當(dāng)局部網(wǎng)絡(luò)密度較高時(shí)，該方法具有漏報(bào)率低，成功測(cè)定率高的特點(diǎn)，是一種輕量級(jí)分布式的高效、簡(jiǎn)潔的檢測(cè)方法。鄰居協(xié)同測(cè)定假冒攻擊源方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）每個(gè)節(jié)點(diǎn)存儲(chǔ)并及時(shí)更新自己的鄰居集

網(wǎng)絡(luò)初始化階段每個(gè)節(jié)點(diǎn)均可獲得自己的鄰居集，并在網(wǎng)絡(luò)更新過(guò)程中能及時(shí)更新自己的鄰居集。節(jié)點(diǎn)i的鄰居集記為Nr（i）。

（2）每個(gè)節(jié)點(diǎn)按報(bào)警規(guī)則判斷假冒消息

當(dāng)惡意節(jié)點(diǎn)可針對(duì)特定的網(wǎng)絡(luò)任務(wù)發(fā)起假冒攻擊，其發(fā)出的假冒消息可以被該惡意節(jié)點(diǎn)的鄰居監(jiān)聽到。相應(yīng)地，當(dāng)節(jié)點(diǎn)監(jiān)聽到一條假冒消息，即可斷定一次假冒攻擊發(fā)生，且攻擊源是其鄰居。節(jié)點(diǎn)判斷假冒消息的報(bào)警規(guī)則包括“基本報(bào)警規(guī)則”和“從動(dòng)報(bào)警規(guī)則”。

（3）測(cè)定集義務(wù)傳遞規(guī)則

測(cè)定集義務(wù)傳遞規(guī)則是指，發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。對(duì)于發(fā)現(xiàn)假冒消息M的每個(gè)節(jié)點(diǎn)i，將生成相應(yīng)的假冒攻擊源懷疑集，稱為測(cè)定集，記為Ssuspect（i，M），初始測(cè)定集為Nr（i）。發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。

（4）發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)求交測(cè)定集

每當(dāng)收到鄰居j廣播的報(bào)警消息Ssuspect（j，M），節(jié)點(diǎn)i若認(rèn)定M為假冒消息，可求交以縮小測(cè)定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當(dāng)card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個(gè)元素）時(shí)，i成功測(cè)定相對(duì)于消息M的攻擊源。

4 結(jié) 語(yǔ)

本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法，其中第一種是傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法，第二種是鄰居協(xié)同測(cè)定假冒攻擊源的方法防御。事實(shí)上，網(wǎng)絡(luò)攻擊有很多方法，應(yīng)用時(shí)應(yīng)根據(jù)具體情況采用有針對(duì)性的方法，以保證傳感器網(wǎng)絡(luò)的安全有效。

參 考 文 獻(xiàn)

[1]徐勇軍. 物聯(lián)網(wǎng)關(guān)鍵技術(shù)[M]. 北京：電子工業(yè)出版社， 2012.

[2]徐勇軍. 物聯(lián)網(wǎng)實(shí)驗(yàn)教程[M]. 北京：機(jī)械工業(yè)出版社， 2011.

[3]吳亞林. 物聯(lián)網(wǎng)用傳感器[M]. 北京：電子工業(yè)出版社， 2012.

[4]李新國(guó). 無(wú)線傳感器網(wǎng)絡(luò)的攻擊方法與防御措施研究[J]. 計(jì)算技術(shù)與自動(dòng)化， 2012（1）： 138-141.

[5]田斌. 無(wú)線傳感器網(wǎng)絡(luò)中攻擊檢測(cè)和防御技術(shù)研究[D]. 北京：北京郵電大學(xué)，2012.

摘 要：傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊；同時(shí)傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，能源非常有限，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。文章結(jié)合作者的研究，介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法。

關(guān)鍵詞：無(wú)線傳感器網(wǎng)絡(luò)；傳感器節(jié)點(diǎn)；防御選擇性轉(zhuǎn)發(fā)；鄰居協(xié)同測(cè)定

中圖法分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2014）04-0028-02

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)技術(shù)涉及到多個(gè)學(xué)科、多個(gè)層面。從網(wǎng)絡(luò)體系結(jié)構(gòu)上看，傳感器網(wǎng)絡(luò)相關(guān)技術(shù)可以劃分為分層的網(wǎng)絡(luò)通信技術(shù)、網(wǎng)絡(luò)管理技術(shù)及網(wǎng)絡(luò)支撐技術(shù)三個(gè)大部分。無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)主要完成信息采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理以及數(shù)據(jù)傳輸?shù)裙δ?，其硬件平臺(tái)在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執(zhí)行器和供電單元等幾部分。由于傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊。同時(shí)，傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，傳感器節(jié)點(diǎn)能源非常有限且珍貴，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。為此，本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下攻擊的防御方法。

1 節(jié)點(diǎn)的概念

大規(guī)模傳感器網(wǎng)絡(luò)通常由相同傳感器節(jié)點(diǎn)組成，它們具有相同的通信半徑，設(shè)為R。大量傳感器節(jié)點(diǎn)以高密度隨機(jī)部署在監(jiān)測(cè)區(qū)域里，節(jié)點(diǎn)一經(jīng)部署就不再移動(dòng)，具有全網(wǎng)唯一的id。全網(wǎng)有一個(gè)安全可信的基站，基站收集所有節(jié)點(diǎn)感知的數(shù)據(jù)。監(jiān)測(cè)區(qū)域根據(jù)感知事件的不同被劃分成多個(gè)不相重疊的事件區(qū)域，每個(gè)事件區(qū)域內(nèi)有多個(gè)節(jié)點(diǎn)；在同一事件區(qū)域內(nèi)的節(jié)點(diǎn)將感知到相同的感知數(shù)據(jù)。當(dāng)兩個(gè)節(jié)點(diǎn)之間的距離r≤R時(shí)，它們可直接通信，互為鄰居；距離較遠(yuǎn)的節(jié)點(diǎn)間需借助鄰居轉(zhuǎn)發(fā)進(jìn)行多跳通信，節(jié)點(diǎn)間最短鏈路的長(zhǎng)度稱為節(jié)點(diǎn)間的距離矢量。

2 傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法

傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊的方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）節(jié)點(diǎn)j擁有與基站共享的唯一密鑰kj

在網(wǎng)絡(luò)部署前，為每個(gè)節(jié)點(diǎn)j分配一個(gè)唯一的與基站共享的密鑰kj，該密鑰用于多項(xiàng)式對(duì)感知數(shù)據(jù)的劃分與還原中。

（2）每個(gè)節(jié)點(diǎn)建立自己的鄰居表以記錄必要的鄰居信息

所有節(jié)點(diǎn)在網(wǎng)絡(luò)部署后，將建立自己的鄰居表。當(dāng)節(jié)點(diǎn)需要發(fā)送感知數(shù)據(jù)到基站時(shí)，節(jié)點(diǎn)就要根據(jù)本發(fā)明中的多路徑路由方法從鄰居表中選擇合適的下一跳節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)。

（3）基于多項(xiàng)式的數(shù)據(jù)劃分與還原策略

多項(xiàng)式的數(shù)據(jù)劃分與還原策略是指，當(dāng)節(jié)點(diǎn)感知到數(shù)據(jù)后，為了減少通信量需要將數(shù)據(jù)劃分成長(zhǎng)度更小的數(shù)據(jù)片；然后，通過(guò)多項(xiàng)式的計(jì)算生成不同的多項(xiàng)式值。所以，只要基站能收到一定的多項(xiàng)式值就可以解析多項(xiàng)式還原出原有的感知數(shù)據(jù)。

（4）多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制

為了更好的防止惡意節(jié)點(diǎn)的丟包行為，必須實(shí)現(xiàn)同一事件的若干個(gè)相關(guān)數(shù)據(jù)包沿不同的路徑發(fā)往基站。因此提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。當(dāng)節(jié)點(diǎn)將同一事件區(qū)域的相關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節(jié)點(diǎn)從鄰居表中動(dòng)態(tài)地選擇下一跳傳遞數(shù)據(jù)包，這樣可以進(jìn)一步加大攻擊者掌握數(shù)據(jù)流信息的難度。具體如下：

（1）網(wǎng)絡(luò)部署前，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均分配一個(gè)與基站共享的唯一密鑰。

（2）網(wǎng)絡(luò)初始化階段，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均獲得自己的鄰居集Nr（j）。

（3）假設(shè)網(wǎng)絡(luò)有N個(gè)節(jié)點(diǎn)；m個(gè)事件區(qū)域；在第i個(gè)事件區(qū)域里有xi個(gè)節(jié)點(diǎn)，它們共同感知的數(shù)據(jù)是Di；那么，可以得到每個(gè)節(jié)點(diǎn)多項(xiàng)式的次數(shù)ti-1為：

（1）

很顯然，當(dāng)ti=1，就是信息不做任何處理，退變?yōu)閱温窂桨l(fā)送的最簡(jiǎn)方案；然而無(wú)線傳感器網(wǎng)絡(luò)具有高密度的特點(diǎn)，所以大多數(shù)事件區(qū)域內(nèi)會(huì)有多個(gè)節(jié)點(diǎn)存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項(xiàng)式，將感知數(shù)據(jù)Di劃分成ti個(gè)數(shù)據(jù)片dik''k∈1，2，…，ti，并使dik作為多項(xiàng)式f（kj）的系數(shù)，因此可以得到：

（2）

這樣，同一事件區(qū)域的不同節(jié)點(diǎn)計(jì)算出不同的fj值，最后將xi個(gè)fj值而非感知數(shù)據(jù)沿不同的路徑轉(zhuǎn)發(fā)給基站。

（5）為了實(shí)現(xiàn)同一事件的xi個(gè)數(shù)據(jù)包沿不同的路徑發(fā)往基站。本專利提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制如表1所列。

（6）基站收到節(jié)點(diǎn)發(fā)送來(lái)的數(shù)據(jù)包后，根據(jù)多項(xiàng)式解析出原有的感知數(shù)據(jù)Di。顯然，同一事件區(qū)域內(nèi)有xi個(gè)數(shù)據(jù)包發(fā)往基站，由多項(xiàng)式原理，基站只要收到xi中ti個(gè)任意fj數(shù)據(jù)包就可以解析出Di。

（7）設(shè)Ri為基站接收到來(lái)自事件區(qū)i的數(shù)據(jù)包個(gè)數(shù)，那么，基站的成功接收率Ps可進(jìn)行如下統(tǒng)計(jì)：

否則 （3）

（4）

3 鄰居協(xié)同測(cè)定假冒攻擊源方法

本方法無(wú)需全網(wǎng)拓?fù)湫畔⒓奥酚蓞f(xié)議支撐，測(cè)定過(guò)程不借助密碼算法。當(dāng)局部網(wǎng)絡(luò)密度較高時(shí)，該方法具有漏報(bào)率低，成功測(cè)定率高的特點(diǎn)，是一種輕量級(jí)分布式的高效、簡(jiǎn)潔的檢測(cè)方法。鄰居協(xié)同測(cè)定假冒攻擊源方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）每個(gè)節(jié)點(diǎn)存儲(chǔ)并及時(shí)更新自己的鄰居集

網(wǎng)絡(luò)初始化階段每個(gè)節(jié)點(diǎn)均可獲得自己的鄰居集，并在網(wǎng)絡(luò)更新過(guò)程中能及時(shí)更新自己的鄰居集。節(jié)點(diǎn)i的鄰居集記為Nr（i）。

（2）每個(gè)節(jié)點(diǎn)按報(bào)警規(guī)則判斷假冒消息

當(dāng)惡意節(jié)點(diǎn)可針對(duì)特定的網(wǎng)絡(luò)任務(wù)發(fā)起假冒攻擊，其發(fā)出的假冒消息可以被該惡意節(jié)點(diǎn)的鄰居監(jiān)聽到。相應(yīng)地，當(dāng)節(jié)點(diǎn)監(jiān)聽到一條假冒消息，即可斷定一次假冒攻擊發(fā)生，且攻擊源是其鄰居。節(jié)點(diǎn)判斷假冒消息的報(bào)警規(guī)則包括“基本報(bào)警規(guī)則”和“從動(dòng)報(bào)警規(guī)則”。

（3）測(cè)定集義務(wù)傳遞規(guī)則

測(cè)定集義務(wù)傳遞規(guī)則是指，發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。對(duì)于發(fā)現(xiàn)假冒消息M的每個(gè)節(jié)點(diǎn)i，將生成相應(yīng)的假冒攻擊源懷疑集，稱為測(cè)定集，記為Ssuspect（i，M），初始測(cè)定集為Nr（i）。發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。

（4）發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)求交測(cè)定集

每當(dāng)收到鄰居j廣播的報(bào)警消息Ssuspect（j，M），節(jié)點(diǎn)i若認(rèn)定M為假冒消息，可求交以縮小測(cè)定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當(dāng)card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個(gè)元素）時(shí)，i成功測(cè)定相對(duì)于消息M的攻擊源。

4 結(jié) 語(yǔ)

本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法，其中第一種是傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法，第二種是鄰居協(xié)同測(cè)定假冒攻擊源的方法防御。事實(shí)上，網(wǎng)絡(luò)攻擊有很多方法，應(yīng)用時(shí)應(yīng)根據(jù)具體情況采用有針對(duì)性的方法，以保證傳感器網(wǎng)絡(luò)的安全有效。

參 考 文 獻(xiàn)

[1]徐勇軍. 物聯(lián)網(wǎng)關(guān)鍵技術(shù)[M]. 北京：電子工業(yè)出版社， 2012.

[2]徐勇軍. 物聯(lián)網(wǎng)實(shí)驗(yàn)教程[M]. 北京：機(jī)械工業(yè)出版社， 2011.

[3]吳亞林. 物聯(lián)網(wǎng)用傳感器[M]. 北京：電子工業(yè)出版社， 2012.

[4]李新國(guó). 無(wú)線傳感器網(wǎng)絡(luò)的攻擊方法與防御措施研究[J]. 計(jì)算技術(shù)與自動(dòng)化， 2012（1）： 138-141.

[5]田斌. 無(wú)線傳感器網(wǎng)絡(luò)中攻擊檢測(cè)和防御技術(shù)研究[D]. 北京：北京郵電大學(xué)，2012.

摘 要：傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊；同時(shí)傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，能源非常有限，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。文章結(jié)合作者的研究，介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法。

關(guān)鍵詞：無(wú)線傳感器網(wǎng)絡(luò)；傳感器節(jié)點(diǎn)；防御選擇性轉(zhuǎn)發(fā)；鄰居協(xié)同測(cè)定

中圖法分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2014）04-0028-02

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)技術(shù)涉及到多個(gè)學(xué)科、多個(gè)層面。從網(wǎng)絡(luò)體系結(jié)構(gòu)上看，傳感器網(wǎng)絡(luò)相關(guān)技術(shù)可以劃分為分層的網(wǎng)絡(luò)通信技術(shù)、網(wǎng)絡(luò)管理技術(shù)及網(wǎng)絡(luò)支撐技術(shù)三個(gè)大部分。無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)主要完成信息采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)管理以及數(shù)據(jù)傳輸?shù)裙δ?，其硬件平臺(tái)在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執(zhí)行器和供電單元等幾部分。由于傳感器節(jié)點(diǎn)大多部署在非受控區(qū)域，無(wú)線信道的廣播特性和自組織的組網(wǎng)特性都使得傳感器網(wǎng)絡(luò)容易受到攻擊。同時(shí)，傳感器網(wǎng)絡(luò)作為一種耗盡型網(wǎng)絡(luò)，傳感器節(jié)點(diǎn)能源非常有限且珍貴，系統(tǒng)功能極易受到拒絕服務(wù)攻擊。為此，本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下攻擊的防御方法。

1 節(jié)點(diǎn)的概念

大規(guī)模傳感器網(wǎng)絡(luò)通常由相同傳感器節(jié)點(diǎn)組成，它們具有相同的通信半徑，設(shè)為R。大量傳感器節(jié)點(diǎn)以高密度隨機(jī)部署在監(jiān)測(cè)區(qū)域里，節(jié)點(diǎn)一經(jīng)部署就不再移動(dòng)，具有全網(wǎng)唯一的id。全網(wǎng)有一個(gè)安全可信的基站，基站收集所有節(jié)點(diǎn)感知的數(shù)據(jù)。監(jiān)測(cè)區(qū)域根據(jù)感知事件的不同被劃分成多個(gè)不相重疊的事件區(qū)域，每個(gè)事件區(qū)域內(nèi)有多個(gè)節(jié)點(diǎn)；在同一事件區(qū)域內(nèi)的節(jié)點(diǎn)將感知到相同的感知數(shù)據(jù)。當(dāng)兩個(gè)節(jié)點(diǎn)之間的距離r≤R時(shí)，它們可直接通信，互為鄰居；距離較遠(yuǎn)的節(jié)點(diǎn)間需借助鄰居轉(zhuǎn)發(fā)進(jìn)行多跳通信，節(jié)點(diǎn)間最短鏈路的長(zhǎng)度稱為節(jié)點(diǎn)間的距離矢量。

2 傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法

傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊的方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）節(jié)點(diǎn)j擁有與基站共享的唯一密鑰kj

在網(wǎng)絡(luò)部署前，為每個(gè)節(jié)點(diǎn)j分配一個(gè)唯一的與基站共享的密鑰kj，該密鑰用于多項(xiàng)式對(duì)感知數(shù)據(jù)的劃分與還原中。

（2）每個(gè)節(jié)點(diǎn)建立自己的鄰居表以記錄必要的鄰居信息

所有節(jié)點(diǎn)在網(wǎng)絡(luò)部署后，將建立自己的鄰居表。當(dāng)節(jié)點(diǎn)需要發(fā)送感知數(shù)據(jù)到基站時(shí)，節(jié)點(diǎn)就要根據(jù)本發(fā)明中的多路徑路由方法從鄰居表中選擇合適的下一跳節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)。

（3）基于多項(xiàng)式的數(shù)據(jù)劃分與還原策略

多項(xiàng)式的數(shù)據(jù)劃分與還原策略是指，當(dāng)節(jié)點(diǎn)感知到數(shù)據(jù)后，為了減少通信量需要將數(shù)據(jù)劃分成長(zhǎng)度更小的數(shù)據(jù)片；然后，通過(guò)多項(xiàng)式的計(jì)算生成不同的多項(xiàng)式值。所以，只要基站能收到一定的多項(xiàng)式值就可以解析多項(xiàng)式還原出原有的感知數(shù)據(jù)。

（4）多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制

為了更好的防止惡意節(jié)點(diǎn)的丟包行為，必須實(shí)現(xiàn)同一事件的若干個(gè)相關(guān)數(shù)據(jù)包沿不同的路徑發(fā)往基站。因此提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。當(dāng)節(jié)點(diǎn)將同一事件區(qū)域的相關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節(jié)點(diǎn)從鄰居表中動(dòng)態(tài)地選擇下一跳傳遞數(shù)據(jù)包，這樣可以進(jìn)一步加大攻擊者掌握數(shù)據(jù)流信息的難度。具體如下：

（1）網(wǎng)絡(luò)部署前，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均分配一個(gè)與基站共享的唯一密鑰。

（2）網(wǎng)絡(luò)初始化階段，按技術(shù)方案所述，每個(gè)節(jié)點(diǎn)j均獲得自己的鄰居集Nr（j）。

（3）假設(shè)網(wǎng)絡(luò)有N個(gè)節(jié)點(diǎn)；m個(gè)事件區(qū)域；在第i個(gè)事件區(qū)域里有xi個(gè)節(jié)點(diǎn)，它們共同感知的數(shù)據(jù)是Di；那么，可以得到每個(gè)節(jié)點(diǎn)多項(xiàng)式的次數(shù)ti-1為：

（1）

很顯然，當(dāng)ti=1，就是信息不做任何處理，退變?yōu)閱温窂桨l(fā)送的最簡(jiǎn)方案；然而無(wú)線傳感器網(wǎng)絡(luò)具有高密度的特點(diǎn)，所以大多數(shù)事件區(qū)域內(nèi)會(huì)有多個(gè)節(jié)點(diǎn)存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項(xiàng)式，將感知數(shù)據(jù)Di劃分成ti個(gè)數(shù)據(jù)片dik''k∈1，2，…，ti，并使dik作為多項(xiàng)式f（kj）的系數(shù)，因此可以得到：

（2）

這樣，同一事件區(qū)域的不同節(jié)點(diǎn)計(jì)算出不同的fj值，最后將xi個(gè)fj值而非感知數(shù)據(jù)沿不同的路徑轉(zhuǎn)發(fā)給基站。

（5）為了實(shí)現(xiàn)同一事件的xi個(gè)數(shù)據(jù)包沿不同的路徑發(fā)往基站。本專利提出相應(yīng)的路由協(xié)議使相關(guān)的數(shù)據(jù)從不同的路徑進(jìn)行轉(zhuǎn)發(fā)。多路徑的數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制如表1所列。

（6）基站收到節(jié)點(diǎn)發(fā)送來(lái)的數(shù)據(jù)包后，根據(jù)多項(xiàng)式解析出原有的感知數(shù)據(jù)Di。顯然，同一事件區(qū)域內(nèi)有xi個(gè)數(shù)據(jù)包發(fā)往基站，由多項(xiàng)式原理，基站只要收到xi中ti個(gè)任意fj數(shù)據(jù)包就可以解析出Di。

（7）設(shè)Ri為基站接收到來(lái)自事件區(qū)i的數(shù)據(jù)包個(gè)數(shù)，那么，基站的成功接收率Ps可進(jìn)行如下統(tǒng)計(jì)：

否則 （3）

（4）

3 鄰居協(xié)同測(cè)定假冒攻擊源方法

本方法無(wú)需全網(wǎng)拓?fù)湫畔⒓奥酚蓞f(xié)議支撐，測(cè)定過(guò)程不借助密碼算法。當(dāng)局部網(wǎng)絡(luò)密度較高時(shí)，該方法具有漏報(bào)率低，成功測(cè)定率高的特點(diǎn)，是一種輕量級(jí)分布式的高效、簡(jiǎn)潔的檢測(cè)方法。鄰居協(xié)同測(cè)定假冒攻擊源方法包括以下4個(gè)技術(shù)要點(diǎn)：

（1）每個(gè)節(jié)點(diǎn)存儲(chǔ)并及時(shí)更新自己的鄰居集

網(wǎng)絡(luò)初始化階段每個(gè)節(jié)點(diǎn)均可獲得自己的鄰居集，并在網(wǎng)絡(luò)更新過(guò)程中能及時(shí)更新自己的鄰居集。節(jié)點(diǎn)i的鄰居集記為Nr（i）。

（2）每個(gè)節(jié)點(diǎn)按報(bào)警規(guī)則判斷假冒消息

當(dāng)惡意節(jié)點(diǎn)可針對(duì)特定的網(wǎng)絡(luò)任務(wù)發(fā)起假冒攻擊，其發(fā)出的假冒消息可以被該惡意節(jié)點(diǎn)的鄰居監(jiān)聽到。相應(yīng)地，當(dāng)節(jié)點(diǎn)監(jiān)聽到一條假冒消息，即可斷定一次假冒攻擊發(fā)生，且攻擊源是其鄰居。節(jié)點(diǎn)判斷假冒消息的報(bào)警規(guī)則包括“基本報(bào)警規(guī)則”和“從動(dòng)報(bào)警規(guī)則”。

（3）測(cè)定集義務(wù)傳遞規(guī)則

測(cè)定集義務(wù)傳遞規(guī)則是指，發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。對(duì)于發(fā)現(xiàn)假冒消息M的每個(gè)節(jié)點(diǎn)i，將生成相應(yīng)的假冒攻擊源懷疑集，稱為測(cè)定集，記為Ssuspect（i，M），初始測(cè)定集為Nr（i）。發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)有義務(wù)廣播自己的假冒攻擊源測(cè)定集。

（4）發(fā)現(xiàn)假冒消息的每個(gè)節(jié)點(diǎn)求交測(cè)定集

每當(dāng)收到鄰居j廣播的報(bào)警消息Ssuspect（j，M），節(jié)點(diǎn)i若認(rèn)定M為假冒消息，可求交以縮小測(cè)定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當(dāng)card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個(gè)元素）時(shí)，i成功測(cè)定相對(duì)于消息M的攻擊源。

4 結(jié) 語(yǔ)

本文介紹了兩種無(wú)線傳感器網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)攻擊的防御方法，其中第一種是傳感器網(wǎng)絡(luò)防御選擇性轉(zhuǎn)發(fā)攻擊方法，第二種是鄰居協(xié)同測(cè)定假冒攻擊源的方法防御。事實(shí)上，網(wǎng)絡(luò)攻擊有很多方法，應(yīng)用時(shí)應(yīng)根據(jù)具體情況采用有針對(duì)性的方法，以保證傳感器網(wǎng)絡(luò)的安全有效。

參 考 文 獻(xiàn)

[1]徐勇軍. 物聯(lián)網(wǎng)關(guān)鍵技術(shù)[M]. 北京：電子工業(yè)出版社， 2012.

[2]徐勇軍. 物聯(lián)網(wǎng)實(shí)驗(yàn)教程[M]. 北京：機(jī)械工業(yè)出版社， 2011.

[3]吳亞林. 物聯(lián)網(wǎng)用傳感器[M]. 北京：電子工業(yè)出版社， 2012.

[4]李新國(guó). 無(wú)線傳感器網(wǎng)絡(luò)的攻擊方法與防御措施研究[J]. 計(jì)算技術(shù)與自動(dòng)化， 2012（1）： 138-141.

[5]田斌. 無(wú)線傳感器網(wǎng)絡(luò)中攻擊檢測(cè)和防御技術(shù)研究[D]. 北京：北京郵電大學(xué)，2012.