無線傳感器網絡環境下的攻擊防御方法

陳國良

摘 要：傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊；同時傳感器網絡作為一種耗盡型網絡，能源非常有限，系統功能極易受到拒絕服務攻擊。文章結合作者的研究，介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法。

關鍵詞：無線傳感器網絡；傳感器節點；防御選擇性轉發；鄰居協同測定

中圖法分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2014）04-0028-02

0 引 言

無線傳感器網絡技術涉及到多個學科、多個層面。從網絡體系結構上看，傳感器網絡相關技術可以劃分為分層的網絡通信技術、網絡管理技術及網絡支撐技術三個大部分。無線傳感器網絡節點主要完成信息采集、數據處理、數據存儲、數據管理以及數據傳輸等功能，其硬件平臺在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執行器和供電單元等幾部分。由于傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊。同時，傳感器網絡作為一種耗盡型網絡，傳感器節點能源非常有限且珍貴，系統功能極易受到拒絕服務攻擊。為此，本文介紹了兩種無線傳感器網絡環境下攻擊的防御方法。

1 節點的概念

大規模傳感器網絡通常由相同傳感器節點組成，它們具有相同的通信半徑，設為R。大量傳感器節點以高密度隨機部署在監測區域里，節點一經部署就不再移動，具有全網唯一的id。全網有一個安全可信的基站，基站收集所有節點感知的數據。監測區域根據感知事件的不同被劃分成多個不相重疊的事件區域，每個事件區域內有多個節點；在同一事件區域內的節點將感知到相同的感知數據。當兩個節點之間的距離r≤R時，它們可直接通信，互為鄰居；距離較遠的節點間需借助鄰居轉發進行多跳通信，節點間最短鏈路的長度稱為節點間的距離矢量。

2 傳感器網絡防御選擇性轉發攻擊方法

傳感器網絡防御選擇性轉發攻擊的方法包括以下4個技術要點：

（1）節點j擁有與基站共享的唯一密鑰kj

在網絡部署前，為每個節點j分配一個唯一的與基站共享的密鑰kj，該密鑰用于多項式對感知數據的劃分與還原中。

（2）每個節點建立自己的鄰居表以記錄必要的鄰居信息

所有節點在網絡部署后，將建立自己的鄰居表。當節點需要發送感知數據到基站時，節點就要根據本發明中的多路徑路由方法從鄰居表中選擇合適的下一跳節點轉發數據。

（3）基于多項式的數據劃分與還原策略

多項式的數據劃分與還原策略是指，當節點感知到數據后，為了減少通信量需要將數據劃分成長度更小的數據片；然后，通過多項式的計算生成不同的多項式值。所以，只要基站能收到一定的多項式值就可以解析多項式還原出原有的感知數據。

（4）多路徑的數據轉發機制

為了更好的防止惡意節點的丟包行為，必須實現同一事件的若干個相關數據包沿不同的路徑發往基站。因此提出相應的路由協議使相關的數據從不同的路徑進行轉發。當節點將同一事件區域的相關數據轉發時，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節點從鄰居表中動態地選擇下一跳傳遞數據包，這樣可以進一步加大攻擊者掌握數據流信息的難度。具體如下：

（1）網絡部署前，按技術方案所述，每個節點j均分配一個與基站共享的唯一密鑰。

（2）網絡初始化階段，按技術方案所述，每個節點j均獲得自己的鄰居集Nr（j）。

（3）假設網絡有N個節點；m個事件區域；在第i個事件區域里有xi個節點，它們共同感知的數據是Di；那么，可以得到每個節點多項式的次數ti-1為：

（1）

很顯然，當ti=1，就是信息不做任何處理，退變為單路徑發送的最簡方案；然而無線傳感器網絡具有高密度的特點，所以大多數事件區域內會有多個節點存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項式，將感知數據Di劃分成ti個數據片dik''k∈1，2，…，ti，并使dik作為多項式f（kj）的系數，因此可以得到：

（2）

這樣，同一事件區域的不同節點計算出不同的fj值，最后將xi個fj值而非感知數據沿不同的路徑轉發給基站。

（5）為了實現同一事件的xi個數據包沿不同的路徑發往基站。本專利提出相應的路由協議使相關的數據從不同的路徑進行轉發。多路徑的數據轉發機制如表1所列。

（6）基站收到節點發送來的數據包后，根據多項式解析出原有的感知數據Di。顯然，同一事件區域內有xi個數據包發往基站，由多項式原理，基站只要收到xi中ti個任意fj數據包就可以解析出Di。

（7）設Ri為基站接收到來自事件區i的數據包個數，那么，基站的成功接收率Ps可進行如下統計：

否則 （3）

（4）

3 鄰居協同測定假冒攻擊源方法

本方法無需全網拓撲信息及路由協議支撐，測定過程不借助密碼算法。當局部網絡密度較高時，該方法具有漏報率低，成功測定率高的特點，是一種輕量級分布式的高效、簡潔的檢測方法。鄰居協同測定假冒攻擊源方法包括以下4個技術要點：

（1）每個節點存儲并及時更新自己的鄰居集

網絡初始化階段每個節點均可獲得自己的鄰居集，并在網絡更新過程中能及時更新自己的鄰居集。節點i的鄰居集記為Nr（i）。

（2）每個節點按報警規則判斷假冒消息

當惡意節點可針對特定的網絡任務發起假冒攻擊，其發出的假冒消息可以被該惡意節點的鄰居監聽到。相應地，當節點監聽到一條假冒消息，即可斷定一次假冒攻擊發生，且攻擊源是其鄰居。節點判斷假冒消息的報警規則包括“基本報警規則”和“從動報警規則”。

（3）測定集義務傳遞規則

測定集義務傳遞規則是指，發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。對于發現假冒消息M的每個節點i，將生成相應的假冒攻擊源懷疑集，稱為測定集，記為Ssuspect（i，M），初始測定集為Nr（i）。發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。

（4）發現假冒消息的每個節點求交測定集

每當收到鄰居j廣播的報警消息Ssuspect（j，M），節點i若認定M為假冒消息，可求交以縮小測定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個元素）時，i成功測定相對于消息M的攻擊源。

4 結 語

本文介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法，其中第一種是傳感器網絡防御選擇性轉發攻擊方法，第二種是鄰居協同測定假冒攻擊源的方法防御。事實上，網絡攻擊有很多方法，應用時應根據具體情況采用有針對性的方法，以保證傳感器網絡的安全有效。

參 考 文 獻

[1]徐勇軍. 物聯網關鍵技術[M]. 北京：電子工業出版社， 2012.

[2]徐勇軍. 物聯網實驗教程[M]. 北京：機械工業出版社， 2011.

[3]吳亞林. 物聯網用傳感器[M]. 北京：電子工業出版社， 2012.

[4]李新國. 無線傳感器網絡的攻擊方法與防御措施研究[J]. 計算技術與自動化， 2012（1）： 138-141.

[5]田斌. 無線傳感器網絡中攻擊檢測和防御技術研究[D]. 北京：北京郵電大學，2012.

摘 要：傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊；同時傳感器網絡作為一種耗盡型網絡，能源非常有限，系統功能極易受到拒絕服務攻擊。文章結合作者的研究，介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法。

關鍵詞：無線傳感器網絡；傳感器節點；防御選擇性轉發；鄰居協同測定

中圖法分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2014）04-0028-02

0 引 言

無線傳感器網絡技術涉及到多個學科、多個層面。從網絡體系結構上看，傳感器網絡相關技術可以劃分為分層的網絡通信技術、網絡管理技術及網絡支撐技術三個大部分。無線傳感器網絡節點主要完成信息采集、數據處理、數據存儲、數據管理以及數據傳輸等功能，其硬件平臺在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執行器和供電單元等幾部分。由于傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊。同時，傳感器網絡作為一種耗盡型網絡，傳感器節點能源非常有限且珍貴，系統功能極易受到拒絕服務攻擊。為此，本文介紹了兩種無線傳感器網絡環境下攻擊的防御方法。

1 節點的概念

大規模傳感器網絡通常由相同傳感器節點組成，它們具有相同的通信半徑，設為R。大量傳感器節點以高密度隨機部署在監測區域里，節點一經部署就不再移動，具有全網唯一的id。全網有一個安全可信的基站，基站收集所有節點感知的數據。監測區域根據感知事件的不同被劃分成多個不相重疊的事件區域，每個事件區域內有多個節點；在同一事件區域內的節點將感知到相同的感知數據。當兩個節點之間的距離r≤R時，它們可直接通信，互為鄰居；距離較遠的節點間需借助鄰居轉發進行多跳通信，節點間最短鏈路的長度稱為節點間的距離矢量。

2 傳感器網絡防御選擇性轉發攻擊方法

傳感器網絡防御選擇性轉發攻擊的方法包括以下4個技術要點：

（1）節點j擁有與基站共享的唯一密鑰kj

在網絡部署前，為每個節點j分配一個唯一的與基站共享的密鑰kj，該密鑰用于多項式對感知數據的劃分與還原中。

（2）每個節點建立自己的鄰居表以記錄必要的鄰居信息

所有節點在網絡部署后，將建立自己的鄰居表。當節點需要發送感知數據到基站時，節點就要根據本發明中的多路徑路由方法從鄰居表中選擇合適的下一跳節點轉發數據。

（3）基于多項式的數據劃分與還原策略

多項式的數據劃分與還原策略是指，當節點感知到數據后，為了減少通信量需要將數據劃分成長度更小的數據片；然后，通過多項式的計算生成不同的多項式值。所以，只要基站能收到一定的多項式值就可以解析多項式還原出原有的感知數據。

（4）多路徑的數據轉發機制

為了更好的防止惡意節點的丟包行為，必須實現同一事件的若干個相關數據包沿不同的路徑發往基站。因此提出相應的路由協議使相關的數據從不同的路徑進行轉發。當節點將同一事件區域的相關數據轉發時，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節點從鄰居表中動態地選擇下一跳傳遞數據包，這樣可以進一步加大攻擊者掌握數據流信息的難度。具體如下：

（1）網絡部署前，按技術方案所述，每個節點j均分配一個與基站共享的唯一密鑰。

（2）網絡初始化階段，按技術方案所述，每個節點j均獲得自己的鄰居集Nr（j）。

（3）假設網絡有N個節點；m個事件區域；在第i個事件區域里有xi個節點，它們共同感知的數據是Di；那么，可以得到每個節點多項式的次數ti-1為：

（1）

很顯然，當ti=1，就是信息不做任何處理，退變為單路徑發送的最簡方案；然而無線傳感器網絡具有高密度的特點，所以大多數事件區域內會有多個節點存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項式，將感知數據Di劃分成ti個數據片dik''k∈1，2，…，ti，并使dik作為多項式f（kj）的系數，因此可以得到：

（2）

這樣，同一事件區域的不同節點計算出不同的fj值，最后將xi個fj值而非感知數據沿不同的路徑轉發給基站。

（5）為了實現同一事件的xi個數據包沿不同的路徑發往基站。本專利提出相應的路由協議使相關的數據從不同的路徑進行轉發。多路徑的數據轉發機制如表1所列。

（6）基站收到節點發送來的數據包后，根據多項式解析出原有的感知數據Di。顯然，同一事件區域內有xi個數據包發往基站，由多項式原理，基站只要收到xi中ti個任意fj數據包就可以解析出Di。

（7）設Ri為基站接收到來自事件區i的數據包個數，那么，基站的成功接收率Ps可進行如下統計：

否則 （3）

（4）

3 鄰居協同測定假冒攻擊源方法

本方法無需全網拓撲信息及路由協議支撐，測定過程不借助密碼算法。當局部網絡密度較高時，該方法具有漏報率低，成功測定率高的特點，是一種輕量級分布式的高效、簡潔的檢測方法。鄰居協同測定假冒攻擊源方法包括以下4個技術要點：

（1）每個節點存儲并及時更新自己的鄰居集

網絡初始化階段每個節點均可獲得自己的鄰居集，并在網絡更新過程中能及時更新自己的鄰居集。節點i的鄰居集記為Nr（i）。

（2）每個節點按報警規則判斷假冒消息

當惡意節點可針對特定的網絡任務發起假冒攻擊，其發出的假冒消息可以被該惡意節點的鄰居監聽到。相應地，當節點監聽到一條假冒消息，即可斷定一次假冒攻擊發生，且攻擊源是其鄰居。節點判斷假冒消息的報警規則包括“基本報警規則”和“從動報警規則”。

（3）測定集義務傳遞規則

測定集義務傳遞規則是指，發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。對于發現假冒消息M的每個節點i，將生成相應的假冒攻擊源懷疑集，稱為測定集，記為Ssuspect（i，M），初始測定集為Nr（i）。發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。

（4）發現假冒消息的每個節點求交測定集

每當收到鄰居j廣播的報警消息Ssuspect（j，M），節點i若認定M為假冒消息，可求交以縮小測定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個元素）時，i成功測定相對于消息M的攻擊源。

4 結 語

本文介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法，其中第一種是傳感器網絡防御選擇性轉發攻擊方法，第二種是鄰居協同測定假冒攻擊源的方法防御。事實上，網絡攻擊有很多方法，應用時應根據具體情況采用有針對性的方法，以保證傳感器網絡的安全有效。

參 考 文 獻

[1]徐勇軍. 物聯網關鍵技術[M]. 北京：電子工業出版社， 2012.

[2]徐勇軍. 物聯網實驗教程[M]. 北京：機械工業出版社， 2011.

[3]吳亞林. 物聯網用傳感器[M]. 北京：電子工業出版社， 2012.

[4]李新國. 無線傳感器網絡的攻擊方法與防御措施研究[J]. 計算技術與自動化， 2012（1）： 138-141.

[5]田斌. 無線傳感器網絡中攻擊檢測和防御技術研究[D]. 北京：北京郵電大學，2012.

摘 要：傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊；同時傳感器網絡作為一種耗盡型網絡，能源非常有限，系統功能極易受到拒絕服務攻擊。文章結合作者的研究，介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法。

關鍵詞：無線傳感器網絡；傳感器節點；防御選擇性轉發；鄰居協同測定

中圖法分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2014）04-0028-02

0 引 言

無線傳感器網絡技術涉及到多個學科、多個層面。從網絡體系結構上看，傳感器網絡相關技術可以劃分為分層的網絡通信技術、網絡管理技術及網絡支撐技術三個大部分。無線傳感器網絡節點主要完成信息采集、數據處理、數據存儲、數據管理以及數據傳輸等功能，其硬件平臺在邏輯上可分為微控制器（MCU）、通信模塊、傳感器、執行器和供電單元等幾部分。由于傳感器節點大多部署在非受控區域，無線信道的廣播特性和自組織的組網特性都使得傳感器網絡容易受到攻擊。同時，傳感器網絡作為一種耗盡型網絡，傳感器節點能源非常有限且珍貴，系統功能極易受到拒絕服務攻擊。為此，本文介紹了兩種無線傳感器網絡環境下攻擊的防御方法。

1 節點的概念

大規模傳感器網絡通常由相同傳感器節點組成，它們具有相同的通信半徑，設為R。大量傳感器節點以高密度隨機部署在監測區域里，節點一經部署就不再移動，具有全網唯一的id。全網有一個安全可信的基站，基站收集所有節點感知的數據。監測區域根據感知事件的不同被劃分成多個不相重疊的事件區域，每個事件區域內有多個節點；在同一事件區域內的節點將感知到相同的感知數據。當兩個節點之間的距離r≤R時，它們可直接通信，互為鄰居；距離較遠的節點間需借助鄰居轉發進行多跳通信，節點間最短鏈路的長度稱為節點間的距離矢量。

2 傳感器網絡防御選擇性轉發攻擊方法

傳感器網絡防御選擇性轉發攻擊的方法包括以下4個技術要點：

（1）節點j擁有與基站共享的唯一密鑰kj

在網絡部署前，為每個節點j分配一個唯一的與基站共享的密鑰kj，該密鑰用于多項式對感知數據的劃分與還原中。

（2）每個節點建立自己的鄰居表以記錄必要的鄰居信息

所有節點在網絡部署后，將建立自己的鄰居表。當節點需要發送感知數據到基站時，節點就要根據本發明中的多路徑路由方法從鄰居表中選擇合適的下一跳節點轉發數據。

（3）基于多項式的數據劃分與還原策略

多項式的數據劃分與還原策略是指，當節點感知到數據后，為了減少通信量需要將數據劃分成長度更小的數據片；然后，通過多項式的計算生成不同的多項式值。所以，只要基站能收到一定的多項式值就可以解析多項式還原出原有的感知數據。

（4）多路徑的數據轉發機制

為了更好的防止惡意節點的丟包行為，必須實現同一事件的若干個相關數據包沿不同的路徑發往基站。因此提出相應的路由協議使相關的數據從不同的路徑進行轉發。當節點將同一事件區域的相關數據轉發時，可以使用貪婪方法在鄰居表中找尋距離矢量最小的符合條件的鄰居作為下一跳。方法使節點從鄰居表中動態地選擇下一跳傳遞數據包，這樣可以進一步加大攻擊者掌握數據流信息的難度。具體如下：

（1）網絡部署前，按技術方案所述，每個節點j均分配一個與基站共享的唯一密鑰。

（2）網絡初始化階段，按技術方案所述，每個節點j均獲得自己的鄰居集Nr（j）。

（3）假設網絡有N個節點；m個事件區域；在第i個事件區域里有xi個節點，它們共同感知的數據是Di；那么，可以得到每個節點多項式的次數ti-1為：

（1）

很顯然，當ti=1，就是信息不做任何處理，退變為單路徑發送的最簡方案；然而無線傳感器網絡具有高密度的特點，所以大多數事件區域內會有多個節點存在；

（4）定義f（kj）是在有限域F（q）上的一元ti-1次多項式，將感知數據Di劃分成ti個數據片dik''k∈1，2，…，ti，并使dik作為多項式f（kj）的系數，因此可以得到：

（2）

這樣，同一事件區域的不同節點計算出不同的fj值，最后將xi個fj值而非感知數據沿不同的路徑轉發給基站。

（5）為了實現同一事件的xi個數據包沿不同的路徑發往基站。本專利提出相應的路由協議使相關的數據從不同的路徑進行轉發。多路徑的數據轉發機制如表1所列。

（6）基站收到節點發送來的數據包后，根據多項式解析出原有的感知數據Di。顯然，同一事件區域內有xi個數據包發往基站，由多項式原理，基站只要收到xi中ti個任意fj數據包就可以解析出Di。

（7）設Ri為基站接收到來自事件區i的數據包個數，那么，基站的成功接收率Ps可進行如下統計：

否則 （3）

（4）

3 鄰居協同測定假冒攻擊源方法

本方法無需全網拓撲信息及路由協議支撐，測定過程不借助密碼算法。當局部網絡密度較高時，該方法具有漏報率低，成功測定率高的特點，是一種輕量級分布式的高效、簡潔的檢測方法。鄰居協同測定假冒攻擊源方法包括以下4個技術要點：

（1）每個節點存儲并及時更新自己的鄰居集

網絡初始化階段每個節點均可獲得自己的鄰居集，并在網絡更新過程中能及時更新自己的鄰居集。節點i的鄰居集記為Nr（i）。

（2）每個節點按報警規則判斷假冒消息

當惡意節點可針對特定的網絡任務發起假冒攻擊，其發出的假冒消息可以被該惡意節點的鄰居監聽到。相應地，當節點監聽到一條假冒消息，即可斷定一次假冒攻擊發生，且攻擊源是其鄰居。節點判斷假冒消息的報警規則包括“基本報警規則”和“從動報警規則”。

（3）測定集義務傳遞規則

測定集義務傳遞規則是指，發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。對于發現假冒消息M的每個節點i，將生成相應的假冒攻擊源懷疑集，稱為測定集，記為Ssuspect（i，M），初始測定集為Nr（i）。發現假冒消息的每個節點有義務廣播自己的假冒攻擊源測定集。

（4）發現假冒消息的每個節點求交測定集

每當收到鄰居j廣播的報警消息Ssuspect（j，M），節點i若認定M為假冒消息，可求交以縮小測定集，即Ssuspect（i，M）= Ssuspect（i，M）∩Ssuspect（j，M）；當card（Ssuspect（i，M））=1（即集合Ssuspect（i，M）中只有一個元素）時，i成功測定相對于消息M的攻擊源。

4 結 語

本文介紹了兩種無線傳感器網絡環境下網絡攻擊的防御方法，其中第一種是傳感器網絡防御選擇性轉發攻擊方法，第二種是鄰居協同測定假冒攻擊源的方法防御。事實上，網絡攻擊有很多方法，應用時應根據具體情況采用有針對性的方法，以保證傳感器網絡的安全有效。

參 考 文 獻

[1]徐勇軍. 物聯網關鍵技術[M]. 北京：電子工業出版社， 2012.

[2]徐勇軍. 物聯網實驗教程[M]. 北京：機械工業出版社， 2011.

[3]吳亞林. 物聯網用傳感器[M]. 北京：電子工業出版社， 2012.

[4]李新國. 無線傳感器網絡的攻擊方法與防御措施研究[J]. 計算技術與自動化， 2012（1）： 138-141.

[5]田斌. 無線傳感器網絡中攻擊檢測和防御技術研究[D]. 北京：北京郵電大學，2012.