無線傳感器網(wǎng)絡(luò)中基于雙重密文的攻擊節(jié)點追蹤方法研究

◆楊 鋼

（遼寧大學(xué)信息學(xué)院 遼寧 110036）

0 引言

無線傳感器網(wǎng)絡(luò)是由一系列具有感知、計算、通信功能的傳感器節(jié)點組成，由于其低成本、分布式部署方式、實時監(jiān)測和自組織等特點，能夠滿足信息獲取所需的時效性和準(zhǔn)確性而廣泛應(yīng)用于生活中的各行業(yè)之中[1]。但在無線傳感網(wǎng)中因為需要把傳感器節(jié)點布置在野外環(huán)境中，傳感器節(jié)點容易受到攻擊，傳感器節(jié)點會因為大量的攻擊數(shù)據(jù)包而嚴(yán)重消耗有限的資源，最終導(dǎo)致整個網(wǎng)絡(luò)癱瘓[2]。因此設(shè)計一種能夠追蹤到攻擊節(jié)點的追蹤方法具有十分重要的意義。在現(xiàn)有的溯源追蹤方法中，概率包標(biāo)記技術(shù)由于其占用的資源較少以及不影響網(wǎng)絡(luò)的正常通信，并能夠滿足不同協(xié)議的要求等特點[3]，從而最為適用于傳感器網(wǎng)絡(luò)中進(jìn)行溯源追蹤，從而使得概率包標(biāo)記技術(shù)成為該領(lǐng)域研究的一大熱點。

基本的概率包標(biāo)記策略中由于下游節(jié)點的標(biāo)記容易覆蓋上游節(jié)點的標(biāo)記，從而導(dǎo)致該策略的溯源追蹤效率低，匯聚節(jié)點需收集到足夠多的數(shù)據(jù)包，才能重構(gòu)溯源路徑?；卩従庸?jié)點信息的溯源追蹤策略雖然改進(jìn)了溯源追蹤的效率，但仍采用逐級定位的方法進(jìn)行溯源追蹤，這就要求在溯源過程中需要途中節(jié)點的參與，導(dǎo)致溯源的效率仍然較低和消耗的能量較多。

1 系統(tǒng)模型

1.1 網(wǎng)絡(luò)模型

假定無線傳感器網(wǎng)絡(luò)中節(jié)點分布不均勻且密集，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可動態(tài)變化，匯聚節(jié)點布置后就不再移動，且具有不會被俘獲、資源不受限制和安全性強的特點。與現(xiàn)有的安全問題研究假設(shè)基本相同，但在本網(wǎng)絡(luò)中還需假設(shè)源節(jié)點不受攻擊以及不會出現(xiàn)連續(xù)節(jié)點受到攻擊的情況。

1.2 攻擊模型

攻擊模型，如圖1所示。在該模型中存在著多條攻擊路徑，模型中的一條攻擊路徑為：P={S0,S1,S2,…,Sn,Sink}。其中S0為源節(jié)點，Si(0≤i≤n)為中間節(jié)點，攻擊路徑長度為n+1。

圖1 多重攻擊路徑圖

2 基于雙重密文的攻擊節(jié)點追蹤方法

2.1 密鑰的生成

部署前，每個節(jié)點都有一個唯一的 ID 標(biāo)識，個人密鑰生成公式，全局的單向鏈生成函數(shù)H(x)以及與匯聚節(jié)點共享的密鑰。假設(shè)在網(wǎng)絡(luò)初始化過程中，每個節(jié)點都是安全的。個人密鑰生成公式如式(1)：

f是隨機函數(shù)，ksm是該節(jié)點與匯聚節(jié)點的私鑰，且這個密鑰由匯聚節(jié)點發(fā)送。由于使用哈希函數(shù)可能會出現(xiàn)沖突現(xiàn)象，本方法中使用開放定址法對哈希函數(shù)進(jìn)行處理，如下式：

其中H(x)為哈希函數(shù)；di為增量序列，取di=1,2,…,m-1,稱為線性探測再散列；m為哈希表表長。

因此單向鏈密鑰生成函數(shù)如公式(3)。

當(dāng)節(jié)點部署在某區(qū)域后，每個節(jié)點如 V利用式(1)生成密鑰kvm，然后通過公式(3)生成每個節(jié)點對應(yīng)的m+1 個單向鏈密鑰〈kv0,kv1, … … ,kvm〉。每個節(jié)點存儲間隔為d的若干密鑰，其余密鑰由相鄰密鑰利用密鑰生成算式生成。之后每個節(jié)點向鄰居節(jié)點廣播自身與鄰居節(jié)點的共享密鑰，鄰居節(jié)點將這個密鑰記錄下來，以此類推，每個節(jié)點就都記錄了其與下一跳鄰居節(jié)點的共享密鑰，同時每個中間轉(zhuǎn)發(fā)節(jié)點還記錄了其與上一跳鄰居節(jié)點的共享密鑰。

2.2 信息保護(hù)機制

本文中用雙重密文的方式進(jìn)行信息的傳遞，確保信息的安全傳輸。為了防止傳輸信息被惡意節(jié)點篡改，本文采用以下措施進(jìn)行保護(hù)：

將每個節(jié)點的真實 ID 隱藏起來:

其中是由匯聚節(jié)點發(fā)送的節(jié)點 V和匯聚節(jié)點的私鑰，|| 為連接操作。

采用與密文相關(guān)的 MAC 認(rèn)證:

其中E為加密算法，data為要傳輸?shù)南?，ki為兩相鄰節(jié)點的共享密鑰，C為 MAC 算法，為源節(jié)點與匯聚節(jié)點的私鑰。

2.3 數(shù)據(jù)包的格式

當(dāng)某一傳感器節(jié)點收到至少 T 個傳感器節(jié)點發(fā)送的感知信息時，就向其鄰居節(jié)點聲明自己是簇頭節(jié)點。之后簇頭節(jié)點將收集到的感知信息進(jìn)行數(shù)據(jù)融合處理，形成數(shù)據(jù)包發(fā)送給下一跳節(jié)點，然后經(jīng)過中間節(jié)點進(jìn)行轉(zhuǎn)發(fā)，最后發(fā)送到匯聚節(jié)點。本文中數(shù)據(jù)包格式如下所示：

2.4 數(shù)據(jù)包的轉(zhuǎn)發(fā)過程

第一步：源節(jié)點首先將收集到的信息進(jìn)行數(shù)據(jù)融合處理，形成初始的數(shù)據(jù)包，源節(jié)點再將該數(shù)據(jù)包轉(zhuǎn)發(fā)給下一跳節(jié)點。

第二步：中間轉(zhuǎn)發(fā)節(jié)點接收到數(shù)據(jù)包后，首先利用兩通信節(jié)點的共享密鑰解密雙重密文Mi得到初級密文，然后該節(jié)點將得到的初級密文與數(shù)據(jù)包中保存的E(data)進(jìn)行比較，若比較結(jié)果相同，則進(jìn)行第三步；反之，則進(jìn)行第四步。

第三步：若 MAC 認(rèn)證成功，則該節(jié)點先利用其與下一跳節(jié)點的共享密鑰和 MAC 算法對E(data)進(jìn)行加密得到新的雙重密文Mi，再將更新好的數(shù)據(jù)包傳輸給下一跳節(jié)點后直接進(jìn)入第五步。

第四步：若 MAC 認(rèn)證未成功，則該節(jié)點記錄其上一跳節(jié)點的隱藏 ID 到攻擊節(jié)點 ID 域IDA′中，然后根據(jù)數(shù)據(jù)包中的E(data)，與下一跳節(jié)點共享的密鑰以及MAC 算法重新生成一個雙重密文Mi；最后將更新的數(shù)據(jù)包轉(zhuǎn)發(fā)給下一跳節(jié)點后進(jìn)行第五步。

第五步：當(dāng)下一跳節(jié)點接收到數(shù)據(jù)包后，驗證當(dāng)前節(jié)點是否為匯聚節(jié)點，若為匯聚節(jié)點，則數(shù)據(jù)包不再進(jìn)行轉(zhuǎn)發(fā)；若不為匯聚節(jié)點，則進(jìn)入第二步。

2.5 攻擊節(jié)點追蹤過程

當(dāng)網(wǎng)絡(luò)中各通信路徑上的數(shù)據(jù)包傳遞到匯聚節(jié)點后：

第一步：匯聚節(jié)點首先檢查數(shù)據(jù)包中的攻擊節(jié)點域的值，若其值為空，則表示該數(shù)據(jù)包代表的通信路徑是安全的路徑；若其值不為空，則表明該通信路徑為攻擊路徑。

3 結(jié)語

本文提出的基于雙重密文的攻擊節(jié)點追蹤方法，匯聚節(jié)點不需要收集大量的數(shù)據(jù)包和利用“邊”思想進(jìn)行定位便可追蹤到攻擊節(jié)點。而且還可以追蹤到網(wǎng)絡(luò) 上的所有攻擊節(jié)點，并不局限于只追蹤攻擊源，但該方法不能夠有效的處理網(wǎng)絡(luò)中出現(xiàn)的合謀攻擊，因此還需對網(wǎng)絡(luò)上出現(xiàn)的合謀攻擊的情況進(jìn)行深一步的研究。