用于危險(xiǎn)環(huán)境中的無(wú)線傳感器網(wǎng)絡(luò)主、被動(dòng)防御的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于無(wú)線傳感器網(wǎng)絡(luò)（Wireless Sensor Network)信息安全技術(shù)領(lǐng)域，特 別涉及一種用于危險(xiǎn)環(huán)境中的無(wú)線傳感器網(wǎng)絡(luò)主、被動(dòng)防御的方法。
【背景技術(shù)】
[0002] 無(wú)線傳感器網(wǎng)絡(luò)（WSN)是由大量具有感知、計(jì)算和通信能力的微型傳感器節(jié)點(diǎn)通 過(guò)無(wú)線通信方式形成的一個(gè)多跳、自組織的網(wǎng)絡(luò)系統(tǒng)。它能夠自主實(shí)現(xiàn)數(shù)據(jù)采集、融合和傳 輸，使得邏輯上的信息世界和真實(shí)的物理世界緊密結(jié)合，真正實(shí)現(xiàn)"無(wú)處不在的計(jì)算"模式。 在軍事偵查、環(huán)境監(jiān)測(cè)、交通管理、醫(yī)療護(hù)理、智能家居、工農(nóng)業(yè)控制等方面都具有廣闊的應(yīng) 用前景。由于無(wú)線傳感器網(wǎng)絡(luò)具有規(guī)模大、無(wú)人值守、資源嚴(yán)格受限等特點(diǎn)，其在數(shù)據(jù)采集、 數(shù)據(jù)傳輸、服務(wù)提供等環(huán)節(jié)面臨巨大的信息安全挑戰(zhàn)。特別是一些部署在危險(xiǎn)環(huán)境中的無(wú) 線傳感器網(wǎng)絡(luò)應(yīng)用，由于易受監(jiān)聽(tīng)和各種惡意攻擊，通訊安全問(wèn)題變得極為重要，為其創(chuàng)造 一個(gè)相對(duì)安全的工作環(huán)境是關(guān)系到其能否真正走向?qū)嵱玫年P(guān)鍵方面。
[0003] 網(wǎng)絡(luò)部署區(qū)域的開(kāi)放特性以及無(wú)線電網(wǎng)絡(luò)的廣播特性是無(wú)線傳感器網(wǎng)絡(luò)安全隱 患的根源。針對(duì)進(jìn)攻者的攻擊行為，傳感器網(wǎng)絡(luò)節(jié)點(diǎn)可以采用各種主動(dòng)和被動(dòng)的防御措施。 主動(dòng)防御是指在網(wǎng)絡(luò)遭受攻擊之前，通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)相互合作，合理采用諸如：對(duì)發(fā)送的數(shù)據(jù) 采取加密認(rèn)證處理，對(duì)接收到的數(shù)據(jù)包進(jìn)行數(shù)據(jù)解密、簽名認(rèn)證、完整性鑒別等一系列檢查 的安防措施。被動(dòng)防御指在網(wǎng)絡(luò)遭受攻擊以后，節(jié)點(diǎn)為減小攻擊影響而采取的措施。
[0004] 近些年來(lái)，隨著無(wú)線傳感器網(wǎng)絡(luò)技術(shù)的發(fā)展以及應(yīng)用領(lǐng)域的不斷擴(kuò)大，無(wú)線傳感 器網(wǎng)絡(luò)的安全性問(wèn)題越來(lái)越受到重視，尤其是一些部署在危險(xiǎn)環(huán)境中的無(wú)線傳感器網(wǎng)絡(luò)應(yīng) 用，如商業(yè)安全監(jiān)控，軍事偵查等。在這些應(yīng)用中，需要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密和認(rèn)證保護(hù)。 SPINS協(xié)議是Perrig等人提出的一套針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的安全解決方案。是目前所提出 的安全機(jī)制中比較經(jīng)典、實(shí)用的網(wǎng)絡(luò)安全協(xié)議。該協(xié)議在無(wú)線傳感器網(wǎng)絡(luò)中實(shí)現(xiàn)了數(shù)據(jù)的 機(jī)密性、完整性、真實(shí)性和新鮮性，屬于典型的主動(dòng)防御。但此協(xié)議在設(shè)計(jì)上存在以下不足： ①基站需存儲(chǔ)與網(wǎng)絡(luò)中所有節(jié)點(diǎn)對(duì)應(yīng)的主密鑰，需要較大的存儲(chǔ)空間；②沒(méi)有考慮拒絕服 務(wù)（Dos)攻擊的可能性；③基于可信基站且過(guò)分依賴(lài)基站。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的目的是解決部署在危險(xiǎn)環(huán)境中的無(wú)線傳感器網(wǎng)絡(luò)存在的密鑰占用存儲(chǔ) 空間大、易受攻擊和過(guò)分依賴(lài)基站的技術(shù)問(wèn)題，提供一種能夠有效抵御惡意節(jié)點(diǎn)的攻擊、并 能提高網(wǎng)絡(luò)抗毀能力和延長(zhǎng)網(wǎng)絡(luò)生命周期的用于危險(xiǎn)環(huán)境中的無(wú)線傳感器網(wǎng)絡(luò)主、被動(dòng)防 御的方法。
[0006] 為了解決上述技術(shù)問(wèn)題，本發(fā)明采用的技術(shù)方案是：一種用于危險(xiǎn)環(huán)境中的無(wú)線 傳感器網(wǎng)絡(luò)主、被動(dòng)防御的方法，該無(wú)線傳感器網(wǎng)絡(luò)包括多個(gè)部署在監(jiān)控區(qū)域內(nèi)的相同普 通傳感器節(jié)點(diǎn)和具有不同級(jí)別的基站節(jié)點(diǎn)，所述的節(jié)點(diǎn)以自組織的方式組成無(wú)線傳感器網(wǎng) 絡(luò)，所述的無(wú)線傳感器網(wǎng)絡(luò)與遠(yuǎn)程控制設(shè)備相連，由遠(yuǎn)程控制設(shè)備發(fā)出任務(wù)指令控制無(wú)線 傳感器網(wǎng)絡(luò)的運(yùn)行，其包括以下步驟：無(wú)線傳感器網(wǎng)絡(luò)配置前的準(zhǔn)備工作；監(jiān)控區(qū)域內(nèi)節(jié) 點(diǎn)的部署；主動(dòng)防御的建立和被動(dòng)防御的建立。
[0007] 所述無(wú)線傳感器網(wǎng)絡(luò)配置前的準(zhǔn)備工作，是指①建立密鑰池，首先建立一個(gè)大容 量的密鑰池，給參與組網(wǎng)的所有普通傳感器節(jié)點(diǎn)隨機(jī)地預(yù)分配一個(gè)不同的密鑰；②節(jié)點(diǎn)分 組和配備，依據(jù)部署區(qū)域的地理位置信息對(duì)節(jié)點(diǎn)進(jìn)行分組和配備，并使每個(gè)組內(nèi)基站節(jié)點(diǎn) 預(yù)先存儲(chǔ)其組內(nèi)所有普通傳感器節(jié)點(diǎn)的ID號(hào)和對(duì)應(yīng)的密鑰；③分配基站間會(huì)話(huà)密鑰，按基 站級(jí)別高低的不同，給不同級(jí)的基站節(jié)點(diǎn)預(yù)分配一個(gè)不同的站間會(huì)話(huà)密鑰；同級(jí)別的各個(gè) 基站節(jié)點(diǎn)預(yù)分配一個(gè)相同的站間會(huì)話(huà)密鑰；所有會(huì)話(huà)密鑰均在遠(yuǎn)程控制設(shè)備中予以存儲(chǔ)。
[0008] 所述的依據(jù)部署區(qū)域的地理位置信息對(duì)節(jié)點(diǎn)進(jìn)行分組和配備是指：根據(jù)部署區(qū)域 地理位置的實(shí)際情況，先將部署區(qū)域劃分成i+Ι塊，每一塊區(qū)域配備與之對(duì)應(yīng)級(jí)別的基站 節(jié)點(diǎn)和若干數(shù)量的普通傳感器節(jié)點(diǎn)，然后將每一塊區(qū)域配備的節(jié)點(diǎn)按其面積再分成若干個(gè) 小分組，每一個(gè)小分組配備一個(gè)基站節(jié)點(diǎn)和若干數(shù)量的普通傳感器節(jié)點(diǎn)，即：根據(jù)部署區(qū)域 地理位置的實(shí)際情況，將部署區(qū)域劃分成i+Ι塊，第一塊區(qū)域配備第一級(jí)別的基站節(jié)點(diǎn)和 若干數(shù)量的普通傳感器節(jié)點(diǎn)，然后將第一塊區(qū)域配備的節(jié)點(diǎn)按其面積情況將其再分成若干 個(gè)小分組，每一個(gè)小分組配備一個(gè)第1級(jí)別的基站節(jié)點(diǎn)和若干數(shù)量的普通傳感器節(jié)點(diǎn)；以 此類(lèi)推，完成整個(gè)分組和配備過(guò)程。
[0009] 所述監(jiān)控區(qū)域內(nèi)節(jié)點(diǎn)的部署其具體實(shí)施過(guò)程如下：a)依據(jù)部署區(qū)域的地理位置 信息完成節(jié)點(diǎn)的分組和配備；b)將分組和配備好的節(jié)點(diǎn)拋撒于監(jiān)控區(qū)域內(nèi)的規(guī)定位置。
[0010] 所述主動(dòng)防御的建立為：a)遠(yuǎn)程控制設(shè)備向無(wú)線傳感器網(wǎng)絡(luò)中所有基站節(jié)點(diǎn)廣 播hello消息，在t < T的時(shí)間范圍內(nèi)，最先響應(yīng)的基站節(jié)點(diǎn)即無(wú)線傳感器網(wǎng)絡(luò)中第1級(jí) 別基站節(jié)點(diǎn)向遠(yuǎn)程控制設(shè)備發(fā)送自身的ID和Info信息，并利用預(yù)先存儲(chǔ)的站間會(huì)話(huà)密鑰 與之建立安全通信；其中，T表示時(shí)間閾值，即基站節(jié)點(diǎn)、普通傳感器節(jié)點(diǎn)的最長(zhǎng)反應(yīng)時(shí)間； Info信息表示基站節(jié)點(diǎn)、普通傳感器節(jié)點(diǎn)通訊覆蓋范圍及資源使用情況信息；
[0011] b)第1級(jí)別的基站節(jié)點(diǎn)向遠(yuǎn)程控制設(shè)備申請(qǐng)其周?chē)?級(jí)別的基站節(jié)點(diǎn)的站間會(huì) 話(huà)密鑰，在兩基站節(jié)點(diǎn)都擁有站間會(huì)話(huà)密鑰的條件下建立起安全通信；
[0012] c)第k(2彡k彡i，且k為整數(shù)）級(jí)別的基站節(jié)點(diǎn)向遠(yuǎn)程控制設(shè)備申請(qǐng)周?chē)嚯x 其最近的第k+Ι級(jí)別的基站節(jié)點(diǎn)的站間會(huì)話(huà)密鑰，在兩基站節(jié)點(diǎn)都擁有站間會(huì)話(huà)密鑰的條 件下建立起安全通信，此過(guò)程持續(xù)下去直到無(wú)線傳感器網(wǎng)絡(luò)中各個(gè)級(jí)別的基站節(jié)點(diǎn)建立起 安全通信；
[0013] d)對(duì)于同級(jí)別的兩基站節(jié)點(diǎn)，只需一方基站節(jié)點(diǎn)向另一方申請(qǐng)通訊即能建立起安 全通訊，經(jīng)過(guò)a)、b)、c)和d)四步驟，首先建立基站節(jié)點(diǎn)間的安全通信；
[0014] e)每個(gè)基站節(jié)點(diǎn)向其周?chē)胀▊鞲衅鞴?jié)點(diǎn)廣播已存儲(chǔ)的節(jié)點(diǎn)ID列表{IDS}消息， 在t < T的時(shí)間范圍內(nèi)，具有節(jié)點(diǎn)ID列表中ID號(hào)的普通傳感器節(jié)點(diǎn)響應(yīng)該消息，并請(qǐng)求加 入該基站節(jié)點(diǎn)所在的分組，直到每一個(gè)基站節(jié)點(diǎn)都與其組內(nèi)的普通傳感器節(jié)點(diǎn)建立了安全 通信；
[0015] f)對(duì)于每一個(gè)組內(nèi)，處于一跳直接通訊范圍內(nèi)的兩普通傳感器節(jié)點(diǎn)，由任一方，向 其從屬的基站節(jié)點(diǎn)申請(qǐng)臨時(shí)的通信密鑰，在擁有通信密鑰的條件下兩節(jié)點(diǎn)建立安全通信；
[0016] g)對(duì)于不同組間處于一跳的直接通訊范圍內(nèi)的兩普通傳感器節(jié)點(diǎn)分別通過(guò)其各 自所屬基站節(jié)點(diǎn)找到共同控制它們的基站節(jié)點(diǎn)，然后向此基站節(jié)點(diǎn)申請(qǐng)臨時(shí)的通信密鑰。
[0017] 所述的在兩基站節(jié)點(diǎn)都擁有站間會(huì)話(huà)密鑰的條件下建立起安全通信，是指利用 SNEP協(xié)議中消息的完整性鑒別方法，強(qiáng)新鮮性認(rèn)證和利用SNEP協(xié)議完成節(jié)點(diǎn)間的安全通 {目。
[0018] 所述被動(dòng)防御的建立為：a)檢測(cè)到基站節(jié)點(diǎn)攻擊報(bào)警后，由該遭受攻擊報(bào)警的基 站節(jié)點(diǎn)向遠(yuǎn)程控制設(shè)備提交變換申請(qǐng)并提交自己的基站ID號(hào)、基站等級(jí)和替換它的基站 ID號(hào)，遠(yuǎn)程控制設(shè)備核對(duì)基站節(jié)點(diǎn)所提供的信息并發(fā)送允許變換消息；
[0019] b)遭受攻擊報(bào)警的基站節(jié)點(diǎn)向替換它的基站節(jié)點(diǎn)發(fā)送其存儲(chǔ)的組內(nèi)所有普通傳 感器節(jié)點(diǎn)的ID列表和密鑰，替換它的基站節(jié)點(diǎn)收到后發(fā)送確認(rèn)消息；
[0020] c)替換的基站節(jié)點(diǎn)廣播原基站節(jié)點(diǎn)發(fā)送給它的普通傳感器節(jié)點(diǎn)的ID列表，在 t < T的時(shí)間范圍內(nèi)，廣播范圍內(nèi)具有節(jié)點(diǎn)ID列表中ID號(hào)的普通傳感器