基于位置的容錯安全機制

1、 基于位置的無線傳感器網絡容錯安全機制 摘要節(jié)點妥協(xié)是對部署在無人值守和充滿敵意環(huán)境中的無線傳感器的嚴重威脅。減輕妥協(xié)節(jié)點的影響，我們提出了一套基于位置的妥協(xié)寬容的安全機制。基于一個新的加密的概念稱之為配對，我們提出了基于位置的密鑰的概念（LBKs）通過對單個節(jié)點身份和地理位置私鑰的綁定。我們提出了一個基于位置密鑰鄰域的認證方案去定位惡意節(jié)點對其附近的影響。我們也提出有效的方法，在任何的兩個網絡節(jié)點之間建立一個共享密鑰。與以前的密鑰建立解決方案相比，我們的方法特點近乎完美對快速恢復節(jié)點妥協(xié)，低通信和計算開銷，低內存需求，和高網絡的可擴展性。此外，我們證明LBKs有效抵御幾個臭名昭著的對傳感器網

2、絡的攻擊，如Sybil攻擊，認同復制攻擊、蟲洞和天坑攻擊。最后，我們提出了基于位置的閾值認可方案，叫作LTE，它能阻止低劣的的虛假數(shù)據注入攻擊，在對手注入很多的虛假數(shù)據進入網絡時。通過詳細的性能評估驗證，LTE能實現(xiàn)顯著的節(jié)能效用。 索引詞：妥協(xié)寬容，位置，配對，安全性，無線傳感器網絡。一 引言最近由于無線傳感器網絡（WSNs）在軍事和民用服務廣泛的應用，已經吸引人們很多的關注。許多無線傳感器網絡部署在無人值守和敵對的環(huán)境中，如軍事和國土安全防衛(wèi)等方面。因此，安全機制需提供機密性、身份認證、數(shù)據完整性和不可否認性，安全性，以及其他安全性目的，要保證網絡的正常運轉至關重要。 未來的無線傳感器網絡

3、將由數(shù)百甚至數(shù)千個傳感器節(jié)點組成。這使得它是不切實際監(jiān)視和保護每個單獨的節(jié)點免受物理或邏輯攻擊。這也是不現(xiàn)實和不經濟的裝入每個節(jié)點的防篡改硬件。因此，每個節(jié)點代表一個潛在的妥協(xié)點。一旦損害某些節(jié)點，并獲得其密鑰材料，敵人就可以發(fā)動多樣的內部攻擊。例如，他們可能欺騙、改變、或重放路由信息中斷網絡路由。他們還可能發(fā)起的Sybil攻擊，在一個節(jié)點到其他節(jié)點提供了多重身份，或身份復制攻擊，其中一個妥協(xié)節(jié)點克隆放入多個網絡的地址。此外，入侵者可能會向網絡中注入虛假數(shù)據，以消耗稀缺的網絡資源。這種情況對容錯的安全設計提出了要求。也就是說，網絡應該保持高度安全，即使在一些節(jié)點被損害。雖然有很多的解決方案，如

4、已經提出了保護無線傳感器網絡，他們中的大多數(shù)不提供足夠的彈性保護對節(jié)點妥協(xié)和由此產生的攻擊。 許多無線傳感器網絡有一個固有的屬性，傳感器節(jié)點是固定的，即，固定在他們部署的地方。此屬性在許多無線傳感器網絡應用中發(fā)揮了重要作用，如目標跟蹤和地理路由。相比之下，在安全的無線傳感器網絡其巨大的潛力，已經只引起了很少的關注。基于這一觀察，我們提出了一套基于位置的容錯的安全機制，在本文中的無線傳感器網絡。我們的主要貢獻概括如下。 首先，我們提出了基于位置密鑰的新概念一種新的基于密碼的概念稱為配對。在我們的計劃中，每個節(jié)點都有一個私人密鑰綁定到它的身份和地理位置，而不是僅僅是其在傳統(tǒng)的方案中的身份認證。在無

5、線傳感器網絡的背景下這是第一次這樣的努力嘗試，。 其次，我們設計了一種新的基于位置密鑰節(jié)點到節(jié)點周圍認證協(xié)議。它有助于實現(xiàn)這樣一個目標，確定妥協(xié)節(jié)點（如果有的話）對它們的附近影響，在許多以前的建議中這是一個很好的性能。 第三，我們提出有效的方法來建立任何兩個節(jié)點之間的兩兩共享密鑰，無論是直接相連的或多跳距離的兩個節(jié)點。這樣的共享密鑰為無線傳感器網絡提供最基本的安全支持。與以前的建議相比，我們的方法特點具有低通信和低計算，低內存的要求，和良好的網絡可擴展性。更重要的是，我們的方法表現(xiàn)了良好性能在抵御共享密鑰之間的節(jié)點妥協(xié)總是安全的，無論有多少個節(jié)點被攻破。 第四，我們證實了基于位置的密鑰如何有效

6、的防范一些臭名昭著的網絡攻擊。這些包括Sybil攻擊的身份復制攻擊，蟲洞的污水坑攻擊，等等。最后，我們開發(fā)了一個基于位置的閾值的支持方案（LTE）來阻止上述虛假數(shù)據注入攻擊。詳細的性能評價表明，LTE可以通過檢測和丟棄虛假數(shù)據在早期傳送階段達到顯著的節(jié)能效果。此外，我們LTE的已經比以前的工作的容錯能力更加突出。本文其余部分的結構如下。第二部分介紹了加密的基礎，對手模型，以及本文的安全目標。接下來，我們詳細介紹了一種基于位置密鑰的管理方案，包括密鑰的生成、認證和共享密鑰建立。接著的是用基于位置密鑰來應對不同攻擊的詳細說明。第五部分提出了LTE的方案并對其進行了性能評估。然后，第六部分我們相關工

7、作的調查，第七部分是討論使用對稱密鑰與公共密鑰加密，在第八部分是結論和未來的工作。二 前言A. 配對的概念 基于身份的密碼系統(tǒng)（IBC）作為一個功能強大的替代傳統(tǒng)的基于證書密碼（CBC）系統(tǒng)受到了廣泛關注。其主要思想是衍生一個實體的公鑰直接從其公開的身份信息，如電子郵件地址。消除了公鑰證書和他們的分布的需求使IBC更呼吁保護無線傳感器網絡，在需要發(fā)送和校驗證書已被確定為一個重要的限制。為此，我們采用了IBC作為本文的密碼學基礎。雖然IBC的歷史可以追溯到1984 18 的想法，只是最近快速發(fā)展發(fā)生了由于應用配對技術概述如下。1） 雙線性：對任意的P,Q,R,SG (1)然后，對任意的c,d,我

8、們有： 等B.攻擊模型 在無線傳感器網絡中的對手可以歸類為外部對手或內部的對手。前者沒有真正的鍵控材料，作為合法的節(jié)點從而參與網絡操作。他們可能只是被動竊聽無線電傳輸或積極注入虛假數(shù)據或消息路由到網絡消耗網絡資源。一旦完全控制某些節(jié)點，外部的敵人可以成為內部的，能夠發(fā)動更微妙的攻擊，如在第1節(jié)所提到的。內部的敵人一般比外部的更難以抵御，他們擁有的真正的鍵控材料。我們進一步假設，對手在能源，通信和通信能力比普通傳感器節(jié)點有更多的強大的資源。他們還可能與合法傳感器節(jié)點一個高帶寬和低延遲的信道進行不可見的通信和協(xié)作。然而，我們假設對手不能攻擊無限數(shù)量的傳感器節(jié)點。他們也不能打破任何在我們的設計基礎上

9、的原始加密。否則，不可能有任何可行的安全解決方案。C.安全目標我們的目標是提供機密性、身份認證、數(shù)據完整性和不可否認性，四大基本安全目標。我們還打算提供鏈路層和端到端的安全保證，這兩者都是無線傳感器網絡必不可少的安全敏感部分。通過定義表明，鏈路層的安全象征著鄰近節(jié)點無線鏈路的安全。這是一個先決條件，防止外部的敵人從外部訪問或修改或偽造無線傳輸。相反的，端到端的安全是指一對源節(jié)點和目的節(jié)點之間通信的安全性，例如，數(shù)據聚合點（AP）到一個更高的水平的聚合（AP）或下降。我們實現(xiàn)鏈路層的安全性是通過直接成對的相鄰節(jié)點之間的密鑰共享，實現(xiàn)端到端層的安全是通過終端到終端的源和目的地之間多跳密鑰的共享。三

10、. 基于位置的密鑰（LBK）管理方案本節(jié)介紹了無線傳感器網絡的基于位置密鑰（LBK）的管理方案，包括密鑰的產生和分配，在直接和多跳反射后共享密鑰的方法一個安全的LBK鄰域的認證方案。A.部署前階段我們研究了一個大規(guī)模的無線傳感器網絡，包含數(shù)百甚至數(shù)千個傳感器節(jié)點。我們假設所有的節(jié)點具有相同的傳輸范圍R，通過雙向無線鏈路的通信。節(jié)點執(zhí)行指定的傳感器領域的協(xié)同監(jiān)測和報告遠距離接收器接受到的事件，這是一個具有足夠強大的處理能力和資源數(shù)據采集中心。 我們進一步假設每個節(jié)點是獨特的，整數(shù)的值和非零標識，表示由?？紤]到成本約束，節(jié)點被假定為在這個意義上不具有抗干擾能力，對手可以提取所有的鍵控材料和存儲在一

11、個妥協(xié)的節(jié)點上的數(shù)據。然而，我們假設接收器是可信的和不容置疑的，通常在文獻 7 14 是這樣認為的。B. 傳感器的部署和定位加載后的鍵控材料，傳感器節(jié)點可以以不同的方式部署，如物理安裝或隨機天線散射。也有許多方法來定位每個節(jié)點，即，提供每個節(jié)點的地理位置。我們考慮下面的兩個傳感器的定位技術，相應的每個節(jié)點生成基于位置的密鑰。任何一種方法的最終結果是，每個節(jié)點都具有其所表示的位置1）基于距離的定位：在這種方法中，我們假設一組移動機器人被派遣到整個傳感器領域沿預定的路線。移動機器人具有全球定位系統(tǒng)的功能，以及更強大的計算和通信能力比普通節(jié)點。移動機器人具有全球定位系統(tǒng)的功能，以及更強大的計算和通信

12、能力比普通節(jié)點。領先的機器人還配備了更加大的網絡導航能力。要定位一個節(jié)點，定位A，移動機器人運行的安全范圍為基基于距離的定位協(xié)議，在或首先測量其各自的絕對距離節(jié)點，然后共同確定A的位置。 當接收到消息時，節(jié)點首先使用其預裝IBK IKA解密LKA和La然后再生MIC。如果結果與機器人發(fā)送的結果匹配，A節(jié)點節(jié)省LKA和LA后續(xù)的使用。在這個過程中，所有的節(jié)點可以有各自的位置和基于位置的密鑰。在那之后，移動機器人離開傳感器領域和領先的機器人應該安全地抹去所存儲的記憶。在隨后的網絡操作中，節(jié)點的加入可能是必要的，以保持良好的網絡連接。新節(jié)點的定位可以用相同的方式進行。這種方法的假設是，敵人不會發(fā)起積

13、極地和精確地的攻擊對這一階段移動的機器人，這一階段，通常不會持續(xù)太久。然而，他們可能仍然進行相對被動的攻擊，如消息竊聽或戰(zhàn)略通道推斷，以擾亂精確定位的進程。這種假設是合理的，在移動機器人數(shù)量是遠低于普通傳感器節(jié)點的，因此，我們可以在他們的高品質防篡改硬件上花更多的錢，并把它們放在超級監(jiān)測。對手也可能會暫時避免主動和明確的攻擊，避免暴露自己。在定位階段之后，敵人可以自由發(fā)動各種攻擊。2） 自由定位：通過對比，自由定位方法不依賴于精確的距離或距離測量。相反，我們假設有一些特殊的節(jié)點稱為錨知道自己的位置。所有的非錨節(jié)點自主地獲取它們的位置信息從錨信息的基礎上和相鄰節(jié)點通過安全測距定位技術獲得位置信息

14、如 26 24 ?；谖恢玫拿荑€也在自身節(jié)點產生的。為了實現(xiàn)這一目標，每個節(jié)點A預裝網絡主密鑰由此生成的基于位置的密鑰。作為LEAP 27 ，這種方法利用的事實，在安全敏感的環(huán)境中部署的傳感器節(jié)點通常被設計為抵御少在一個短的時間間隔攻擊，當被對手捕獲時。具體來說，我們假設一個對手至少需要一個時間間隔成功妥協(xié)的一個節(jié)點，每個節(jié)點需要一些小于TDE 時間完成定位和其基于位置密鑰的生成。此外，每個節(jié)點應該被編程，以安全地擦除其部署后它的內存中的數(shù)據。在隨后添加新節(jié)點的情況下，新的節(jié)點可以用同樣的方式把它們的位置和基于位置的密鑰。C.基于位置的鄰域認證通過定義，鄰域認證意味著任何相鄰節(jié)點驗證彼此的網絡

15、成員資格的過程。這個過程是支持無線傳感器網絡中的許多安全服務的基礎。例如，一個節(jié)點應該只接受消息和轉發(fā)消息，以驗證鄰居。否則，外部的敵人可以很容易地注入虛假消息廣播到網絡或誆騙網絡秘密信息從合法節(jié)點。在部署后的階段，每個節(jié)點需要發(fā)現(xiàn)并執(zhí)行與鄰近節(jié)點的相互認證，這是一個正常的過程，在許多現(xiàn)有的傳感器網絡安全性的解決方案里。在我們的計劃中，每個節(jié)點都會把另一個節(jié)點作為一個真實的鄰居，如果這唯一的節(jié)點是在它的傳輸范圍內，還擁有正確的基于位置的密鑰。我們采取以下具體的例子來解釋附近的認證過程。1)2)3)上面的過程是有效的，只有當A和B都有正確的LBK，由下面的公式推導使得等于： (2) 使用上述三方

16、握手，所有的節(jié)點可以實現(xiàn)與相鄰節(jié)點的相互驗證。請注意，如果多個節(jié)點同時響應相同的身份驗證請求，可能會發(fā)生MAC層的沖突。我們采取有效的MAC層機制來解決這個問題問題。例如，它可以通過MAC層的重傳或使用一個隨機抖動延遲緩解，在回答一個身份驗證請求之前，節(jié)點的等待。 在我們的計劃中，新的節(jié)點可以自由地被添加以維護必要的網絡連接，特別是在一些現(xiàn)有的節(jié)點由于電力短缺或其他原因而死亡時。一個新的節(jié)點，也需要執(zhí)行的身份驗證協(xié)議，一旦其被部署后。安全分析：基于位置的身份驗證方案是安全的，當面對各種惡意攻擊時。例如，在一個位置偽造攻擊，攻擊者可能會發(fā)送一個在B節(jié)點的范圍內的偽造的位身份置驗證請求。由于入侵者

17、沒有偽造的位置相應的基于位置的密鑰，他或她不能成功完成驗證過程，從而欺騙B節(jié)點相信他或她是一個真正的鄰居。入侵者也可能對認證信息傳輸?shù)穆窂桨l(fā)起攻擊，通過認證消息在網絡的一個位置傳輸另一個網絡位置，由在一個看不見的、帶外的低延遲信道的多條跳離。通過這樣做，他們試圖使兩邊的被攻擊的節(jié)點遠離對方認為或者認為它們是認證的鄰居。這種攻擊是不可行的，我們方案里僅僅拒絕驗證在其每個節(jié)點傳輸范圍內沒有物理的節(jié)點請求。此外，入侵者可能會入侵附近的合法節(jié)點，例如B節(jié)點，在它的遙遠位置的一個妥協(xié)節(jié)點的副本。最純粹的基于身份的認證方案是極易受到攻擊的，因為沒有雨中央機構相依存，受損節(jié)點B很難區(qū)分，合法的認證請求和一個

18、惡意的妥協(xié)節(jié)點副本之間。在我們的方案里，B節(jié)點將會很容易忽略副本的認證請求，因為該副本不應該出現(xiàn)在其傳輸范圍。值得指出的是，作為任何其它安全的解決方案，我們的計劃本身不能防止一個妥協(xié)的節(jié)點或者它的復制品用其鄰近的合法節(jié)點實現(xiàn)相互認證。然而，它可以保證妥協(xié)的節(jié)點或它的副本只收到一些公共入侵檢測和合法節(jié)點的位置的隨機數(shù)。這確保了妥協(xié)節(jié)點無法冒充合法的鄰居節(jié)點。因此，我們的基于位置的認證方案可以減少，一個受損害的節(jié)點到另外的網絡規(guī)模及其附近的影響，更具體地說，以其當前位置為中心在一個半徑為2R的圓內。一些人可能會擔心，對手可能會嵌入拒絕服務攻的擊，不斷發(fā)送虛假的身份驗證請求或引誘合法的節(jié)點無休止的處

19、理這樣的消息。在我們看來，這種攻擊實際上是不太令人擔憂的。其原因是，在現(xiàn)實中，任何節(jié)點的鄰近節(jié)點的數(shù)目是有限的。因此，異常多身份驗證請求或回復很可能是惡意攻擊的指標。在這種情況下，我們假設有一些有效的機制，可用于合法節(jié)點報告這樣一個異常的情況。D.即時配對密鑰（IPK）的建立鏈路層安全方案需要一種有效的方法在相鄰節(jié)點間建立共享的密鑰。以后，我們把這樣的鑰匙，作為即時配對密鑰。即時配對密鑰，信息的交換在相鄰節(jié)點的加密與高校堆成密鑰算法的驗證之間進行。由于即時配對密鑰是附近認證過程的副產品，沒有額外的密鑰建立的通信和計算管理。此外，我們IPK建立的方法具有很好的抗節(jié)點妥協(xié)的表現(xiàn)，因為即時配對密鑰是

20、建立在基于位置的密鑰和單個節(jié)點基礎之上的。E.多跳成對密鑰（MPK）的建立 除了對即時配對密鑰，一個節(jié)點可能需要建立成對共享密鑰與其他節(jié)點，在多跳距離上。我們稱為這樣的密鑰為多跳成對密鑰（或mpks短），以確保終端到終端的通信。假設U節(jié)點和V節(jié)點是多跳的距離的兩個節(jié)點，它們之間的路由路徑已經建立在底層路由協(xié)議。為了建立一個多跳成對密鑰，節(jié)點U和V必須執(zhí)行下面的協(xié)議：1)2)在這里是通過節(jié)點U和V隨機選擇的私人的密鑰。有協(xié)議推論，V節(jié)點計算得：同理，節(jié)點U計算得：如果節(jié)點是合法的并且遵循了正確的協(xié)議，由雙線性和對稱性得：基于MPK，節(jié)點U和V可以得到各種共享會話密鑰，用于不同的安全目的。討論：如

21、果可能的話，兩協(xié)議消息可以已經在U和V節(jié)點已經建立的在路由路徑上背負式運行。在這樣做時，相關的通信開銷可以大大減少。此外，沒有必要在U節(jié)點與V節(jié)點進一步交換消息證明多跳成對密鑰的其它知識。未來任何信息的加密和認證與MPK或衍生的會話密鑰都可以明確地達到同樣的效果。我們的多跳成對密鑰的建立協(xié)議是證明基于身份的密鑰協(xié)商協(xié)議安全的一個簡單的適應。任何第三方可聽到節(jié)點U和節(jié)點V之間交換的明文消息，在不知道節(jié)點U與節(jié)點V的基于位置的密鑰時，不能得到U與V節(jié)點的多跳成對密鑰。該協(xié)議還具有完美的抵御節(jié)點妥協(xié)的表現(xiàn)，因為這多跳成對密鑰依賴于私密的基于位置的密鑰。四、基于位置的密鑰對入侵的緩解效果在這一部分中，

22、我們展示了基于位置的密鑰（lbks）可以有效的防范一些臭名昭著的對無線傳感器網絡攻擊。A.欺騙，改變，或重放路由信息沒有預防，外部的敵人都能惡搞，改變或重放路由消息。通過這樣做，他們試圖創(chuàng)建路由循環(huán)，導致網絡分區(qū)，產生虛假的錯誤消息，等等 1 。如前所述，相鄰節(jié)點要求完成基于私密的基于位置密鑰（lbks）的相互認證。由于每個節(jié)點只處理來自認證的鄰居的路由消息，外部的敵人可以被阻止進入網絡和分布虛假路由信息。剩下的問題是如何抵御內部的敵人或妥協(xié)節(jié)點擁有真正的鍵控材料時?；谒矫艿幕谖恢妹荑€（lbks）的相互認證被認為是沒有加密的方式，可以阻止敵人操縱路由信息。然而，我們的基于位置的鄰居認證方案

23、可以限制的小范圍集中在其原來的位置的妥協(xié)節(jié)點的影響。換句話說，內部的敵人不能利用獲得的加密材料在一個地方或在另一個遙遠的地方發(fā)起路由攻擊。他們只能做的是繼續(xù)在一個小范圍內的妥協(xié)節(jié)點的位置行為不端。如果這樣做，他們可能會冒著被合法節(jié)點檢測到的高風險，如果有效的局部異常行為檢測機制啟動時。B. Sybil攻擊Sybil攻擊發(fā)生時，惡意節(jié)點的行為好像它是一個大量的節(jié)點，例如，通過模仿其他節(jié)點或偽造許多的ID和位置信息。指出， 1 和 3 ，這種對許多重要的網絡功能的攻擊是非常有害的，如對路由、資源分配的公平性，異常行為檢測，數(shù)據融合，分布式存儲的攻擊。我們的這個方案是，當一個惡意節(jié)點打算冒充合法節(jié)點

24、，它不具有真正的基于位置的密鑰，因此，不能成功地與其他合法節(jié)點完成雙向認證。同樣的原因，一個惡意節(jié)點不能要求偽造的身份或位置被檢測到。因此，Sybil攻擊是可以被有效地打敗的。C.復制攻擊身份復制攻擊 3 就會發(fā)生，當對手在不同的地理位置復制受損節(jié)點的信息時。它可能導致網絡的路由信息不一致，以及對其他重要的網絡功能造成危害。傳統(tǒng)的防御系統(tǒng)往往涉及中心節(jié)點的管理，如要么把每個節(jié)點的位置 3 記錄，或集中起連接的節(jié)點數(shù)和撤銷那些 8 連接太多。這些解決方案需要節(jié)點到節(jié)點的身份驗證和成對的密鑰建立，從而導致顯著的通信開銷和缺乏可擴展性。這種攻擊是不可行的，當我們的基于位置的鄰域認證方案被應用時。被破

25、壞的節(jié)點的副本將被阻止進入網絡通過合法節(jié)點對其附近的妥協(xié)節(jié)點的檢測。我們的對策是完全自組織的，不涉及任何中央機構，因此，它是相當輕量級的，高度可擴展性的對比以前的解決方案。D.Wormhole和Sinkhole攻擊Wormhole 1 、 29 和Sinkhole 1 攻擊是對無線傳感器網絡路由協(xié)議最典型的攻擊，尤其是當兩者結合起來對路由協(xié)議攻擊時，無線路由協(xié)議往往很難承受?！跋x孔”攻擊，而不是妥協(xié)的任何節(jié)點，合作的敵人首先在遙遠的兩個網絡位置上創(chuàng)建一個“蟲孔”的鏈路，基本上是一個帶外的低延遲信道。然后，他們在一個位置記錄路由信息，通過與其他的鏈路鏈接，導致的混亂的路由操作。胡等。 29 提出

26、了一種技術被稱為數(shù)據包限制抵御蟲洞攻擊。它需要非常嚴格的時間同步，因此，在大多數(shù)無線傳感器網絡中是不可行的，如在 1 。相反，在我們的方案中每個節(jié)點只接受附近路由消息的認證并丟棄那些從遠距離地方的路由信息。因此，該蟲孔攻擊是可以被有效的和高效的挫敗的。在天坑攻擊，惡意節(jié)點試圖吸引周圍節(jié)點的數(shù)據通過發(fā)布高品質的路由鏈路到其它的目的地。例如，對手會在距離很遠的兩個妥協(xié)節(jié)點A和B創(chuàng)造了一個無形的快速通道。節(jié)點A聲稱它距離B節(jié)點是一跳或幾跳的距離。通過這樣做的目的是通過合法的周圍節(jié)點作為一個數(shù)據包中繼節(jié)點或其他節(jié)點在該地區(qū)。通過這樣做，A節(jié)點的目的是通過挑選周圍合法的一個節(jié)點作為數(shù)據中繼節(jié)點中繼到節(jié)點

27、B或在該地區(qū)的其他節(jié)點。幸運的是，我們的方案可以承受這樣的天坑攻擊對最小跳數(shù)路由協(xié)議的攻擊。例如，在看到A的公告的節(jié)點B單跳路徑，一個合法的節(jié)點可以立即發(fā)現(xiàn)A節(jié)點是惡意的，當注意到A節(jié)點與B節(jié)點之間的距離遠遠大于正常傳輸范圍。此外，地理路由協(xié)議等 16 是 1 認定為有前途的解決方案，抗天坑，蟲洞攻擊。其原因是，他們只使用定位的相互作用和地理信息的需求構建的路由拓撲結構。然而，應用這些計劃，從相鄰節(jié)點獲取的位置信息，必須進行驗證。我們提供這種保證的基于位置的密鑰（lbks）和位置附近的認證方案。我們注意到，我們的方案本身不能阻止Sinkhole對路由協(xié)議的攻擊，路由度量如剩余能量或端到端的可靠

28、性。主要的原因是，通過加密手段，來驗證這些信息的真實性是非常困難的。據我們所知，相關的對策，因此，目前仍然是一個開放的具有挑戰(zhàn)性的問題，是一個有趣的話題，值得進一步研究。五基于位置過濾的偽數(shù)據在這一節(jié)中，我們首先描述了偽造的數(shù)據注入攻擊。我們提出了一種LTE方案作為對策。最后，我們對LTE在節(jié)能方面的性能進行評估。A 虛假數(shù)據注入攻擊如前所述，附近的相互認證是足夠的，以防止外部的敵人向網絡注入虛假數(shù)據，但當內部的敵人的存在時會失敗。通過一個單一的妥協(xié)節(jié)點，內部的敵人可以誘導任意的和看似真實的數(shù)據報告到網絡。如果沒有防范措施，這種攻擊會對網絡造成很大的傷害，比如，造成假警報或網絡擁塞。更糟糕的是

29、，它會消耗掉中繼節(jié)點寶貴的電能在任何轉發(fā)路徑的接收器，這是幾十甚至數(shù)百個路跳數(shù)遠離數(shù)據報告的來源。因此，設計有效的對策阻止的這樣的攻擊時十分重要的。由于沒有辦法阻止內部的敵人將偽造的數(shù)據注入網絡，我們試圖找出辦法以減輕所造成的影響。我們的第一個目標是盡可能早地過濾掉虛假的數(shù)據報告，在其到達接收器之前。我們的第二個目標是，阻止對手偽造的數(shù)據報告自由的注入制造的原始位置。我們實現(xiàn)第一個目標的閾值的認可方法。這是一個數(shù)據報告應由t個共同簽署，它菜被認為是可信的。沒有正確的認可的報告將被視為假冒的，并通過任何合法的節(jié)點驗證后并丟棄。我們的方法是通過有目的的觀察，在應至少覆蓋t個節(jié)點傳感器區(qū)域的每一節(jié)點

30、，稱為T-coverage問題 30 。T-coverage性能是由許多安全敏感的無線傳感器網絡的應用程序檢測的，如入侵檢測促進精細的監(jiān)控要求。在這種情況下，對手會有更大的難度，在注入看似真實的虛假數(shù)據報告進入網絡，因為他們現(xiàn)在不得不妥協(xié)，至少一個以上的節(jié)點相比之前。我們完成了二個目標，通過在起始區(qū)域進行的聯(lián)合認可的嵌入的位置信息的數(shù)據報告。注入虛假數(shù)據報告，來源于某一地區(qū)，可以通過過濾的合法的中間節(jié)點，對手必須妥協(xié)在這一區(qū)域至少一個節(jié)點的密鑰信息。即便如此，對手也不能利用所獲取的數(shù)據來偽造其他區(qū)域的數(shù)據報告。另一個好處是，一旦確定了到達的報告是未經過濾的虛假的報告，接收器可以找準它們的的始發(fā)

31、區(qū)域，然后采取具體的補救措施。下面,我們詳細的介紹怎樣去真正實現(xiàn)上述想法。C.執(zhí)行門限認可的數(shù)據報告現(xiàn)在，我們解釋如何進行閾值認可的數(shù)據報告。為不失一般性，在下面的描述中，我們以蜂窩區(qū)域為例進行說明。在一般情況下，傳感器節(jié)點產生一個報告，由一個特殊的事件引發(fā)的，如入侵者的出現(xiàn)，或響應于由接收器所作的查詢。假定這樣的時間發(fā)生在區(qū)域中，并且由s大于等于t個節(jié)點探測到。如果事件發(fā)生在蜂窩區(qū)域的邊界附近，則s個節(jié)點可以在包含在不同的相鄰小區(qū)里。為了簡化我們的演示，然而，我們假設所有的節(jié)點都是在蜂窩區(qū)域里。通過局部的相互作用，檢測節(jié)點可以在最后的報告中達成共識，由和包含應用程序決定的類型信息，記錄事件的

32、發(fā)生時間和地點。探測節(jié)點需要在它們中間選擇一個作為AP.為了獲得的門限認可，AP會選擇一個隨機的和計算到探測其他節(jié)點的廣播距離。下面是證明的公式： （4） 第三行方程認為是雙線性的。如果檢查成功，AP認為節(jié)點合法，否則就是缺乏抵抗力的。在這種方式下，AP是能夠確定所有中繼節(jié)點提供的虛假認可并且從中刪除它們。隨后，它補充，從閑置的隨機選擇的節(jié)點，并重新計算。只要有t個合法的認可，一個正確的門限認可就會被產生。值得注意的是，AP的精確識別能力可能會阻止缺乏抵抗力的代認可，（如果有的話）來自于提供的虛假的認可。其結果是，它是非常有可能的，在第一輪中，AP就可以得到一個真實的閾值的認可。在這一點上，我

33、們讓AP驗證了個體的認可，只有當閾值背書是不正確的，而不是在開始，從而降低了其計算負載。在某些情況下，AP本身可能是一個妥協(xié)的節(jié)點。它可能不會在所有都發(fā)送后最后一個到達接收器，或發(fā)送一個假的報告，有一個不正確的或一個錯誤的或者兩個都是錯誤的。這兩種攻擊都能很容易地被合法的節(jié)點檢測到，反過來，選出一個新的AP，以產生一個新的門限認可，并發(fā)送到接收器的最后報告。同時，處理后者的攻擊時，需要注意用合法檢測節(jié)點驗證在最終報告中的門限。驗證類似于過濾操作，通過中間節(jié)點的方式到接收器。D.似然路線的過濾數(shù)據報告AP向接收器發(fā)送一個最后報告，沿著一個多跳路徑發(fā)現(xiàn)通過底層路由協(xié)議。根據不同的應用，終端到終端的

34、或者鏈路層的，不同的安全措施被執(zhí)行在報告?zhèn)鬏斨?。我們通過的采樣概率來表示，這是一個系統(tǒng)的參數(shù)。當收到一份報告轉發(fā)時，與概率，每個中間節(jié)點，例如，去了原始細胞信息從嵌入在事件的位置。然后計算：（5） 其中是在第三部分a里定義的公共系統(tǒng)參數(shù)。如果報告是真實的，我們將有：（6）因此，如果（123），節(jié)點A認為該報告是真實的，然后轉發(fā)到下一跳。否則，它認為該報告是捏造的并且簡單地把它扔了。我們的LTE方案是一個簡單的改編，可證明安全門限的版本，是基于Hess的身份簽名方案基礎上的。E.功效與安全分析我們第一次量化概率效果是過濾掉捏造的數(shù)據報告?？赡軙粨p害的節(jié)點在轉發(fā)路徑的接收器里，這只不過是轉發(fā)給下

35、一跳的沒有驗證的偽造的報告。因為我們是只對合法的中間節(jié)點的能量消耗感興趣，我們只考慮一個“有效的”轉發(fā)路徑并從中提取妥協(xié)節(jié)點。給定的采樣概率為，一個假報告的概率可以被檢測到，并在跳下降是，平均的跳數(shù)虛假報告?zhèn)魉褪牵?（7）圖2顯示了和表示是怎樣變化的。我們可以看到，即使假定一個很小的值，例如0.3，超過83%的虛假報告可以被過濾在五跳之內，不到3%的能超越十跳。因此，對于大規(guī)模的無線傳感器網絡往往涉及很長的轉發(fā)路徑，我們的LTE能在早起傳播階段非常有效的過濾掉虛假數(shù)據，從而節(jié)省合法節(jié)點的寶貴能量。由于中間節(jié)點的概率驗證，一個偽造的報告可能會以很小的概率逃脫過濾，len表示轉發(fā)路徑長度。作為最后

36、一道防線，該接收器是必需的，以驗證每個接收的報告的閾值認可，并丟棄那些驗證失敗的認可。代表一個權衡的選擇，在虛假報告和參與驗證的真實報告的計算開銷之間，在早期的過濾階段。一方面，如果是太小了，在過濾前一個虛假的報告將會傳輸許多跳。另一方面，如果是太大了，在驗證真實報告時，它可能會造成中間節(jié)點不必要的計算開銷。隨著時間的推移，可以是固定的也可以是動態(tài)調整。例如，接收器接收到許多虛假報告的報警，當傳感器節(jié)點或檢測到許多未經過濾的虛假報道時。在預定時間內，它可以增加，通過一個一定量或者其他減少。新的可以被安全地傳送到傳感器節(jié)點通過使用-like廣播認證協(xié)議。我們的LTE方案對節(jié)點妥協(xié)的有很好的恢復性

37、。它保證，只要有超過t個妥協(xié)節(jié)點擁有相同細胞共享密鑰，入侵者就無法偽造數(shù)據報告，來源于逃避過中間節(jié)點過濾而匯聚在一起的虛假數(shù)據。在最壞的情況下，對手可能會妥協(xié)至少t個節(jié)點通過共享細胞密鑰。我們把這個事件作為細胞妥協(xié)。幸運的是，入侵者只能利用重構的細胞密鑰偽造虛假的報告，在這個細胞中而不是在其他的細胞里，由于細胞密鑰位置相關的性質。因此，如果接收器最初接受一個正確的背書，但最后通過進一步實地調查或其他手段發(fā)現(xiàn)報告是虛假的，該接收器可以立即檢測細胞的妥協(xié)事件，并立即采取相應的補救措施。敵人可能通過捕獲合法節(jié)點到無窮無盡的驗證數(shù)據報告發(fā)動拒絕服務攻擊。因此，如果一個合法的節(jié)點在短時間內檢測到太多虛假

38、的報告，我們假設有有效的方法，去報告這樣一個異常情況到接收器。另一種可能的攻擊是妥協(xié)的中間節(jié)點可能會拖延報告真正的事件到接收器，通過直接丟棄任何已收到的報告或篡改報告內容，在轉發(fā)到下一跳之前。這種攻擊是偽造數(shù)據的正交注入攻擊，但我們想提出幾種可能的方法來抵御它。一種方法是利用一種SPREAD-like 35 安全的多路徑路由協(xié)議來傳輸拷貝沿多個不相交的路徑的接收器的報告。另一種可能的方法是通過局部監(jiān)測功能，利用廣播電臺播送的性質。特別是，如果一個中間節(jié)點從術前接收報告，它的多個鄰居節(jié)點也能收到這個數(shù)據包。同樣，這些鄰居能聽到它發(fā)出下一跳的數(shù)據包，因此，能夠告訴它是否表現(xiàn)良好。在這個問題上我們會

39、進一步的調查，并與偽造的數(shù)據注入攻擊的一個單獨的文件相結合。F.績效評估在這一部分中，我們對LTE在實現(xiàn)節(jié)約能源的性能進行評估。1）參數(shù)配對：在我們的評估中，雙線性映射的使用的是Tatepairing 20 。橢圓曲線被定義在，其中是一個512位程。和的標準是160位程。根據 19 ，我們選擇的參數(shù)提供同等水平的安全性，1024位的RSA。我們用下面的方法來量化的計算時間和能耗的Tate對。我們假設傳感器處理器是一個低功耗、高性能、32位英特爾PXA255處理器在400 MHz。PXA255已廣泛應用于許多傳感器產品，如Sensoria WINS 3.0和Crossbow Stargate。根

40、據 36 ，PXA255在主動和空閑模式的典型功耗分別是411和121mw。據報道，在 37 ，這需要752毫秒來計算Tate配對的相似參數(shù)，我們在33兆赫32 ST22智能卡微處理器。因此，在PXA255處理器上計算Tate配對大約需要毫秒，消耗的能量33大約是25.5 MJ。2）間接費用分析：一個真實的報告轉發(fā)在跳路徑，LTE統(tǒng)計涉及濾波運算，而只需要一個操作來檢測和過濾轉儲一個虛假報告。過濾操作需要在取一個指數(shù)，一個散列函數(shù)評價和兩個Tate對的評價。由于傳感器節(jié)點的平穩(wěn)性，每一個傳感器很容易從同一組細胞中向前報告。作為一個結果，每個節(jié)點可以預先評估一組有限的值，每一個對應于來自一個潛在

41、的細胞。通過這樣做，可以消除一個配對評估。正如在 33 中指出的那樣，配對評估是對過濾操作的運行時間進行評估。因此，為了簡單起見，我們使用近似過濾操作的能耗。我們的LTE要求每個報告進行閾值認可在格式的正常領域。是的一個點，唯一的和需要發(fā)送坐標，因為其他的可以很容易地推導出曲線方程。另外，假設哈希函數(shù)是用SHA-1的一個20字節(jié)的輸出的。然后，介紹了LTE數(shù)據包總開銷是由84個字節(jié)實現(xiàn)高水平的安全，1024位的RSA。3）節(jié)約能源：我們的LTE旨在節(jié)約中間節(jié)點的能源，沿“轉發(fā)路徑”到“接收器”，通過其早期發(fā)現(xiàn)和減少偽造數(shù)據的報告。另一方面，介紹通信和計算在分組開銷和概率途中過濾操作中產生的能源

42、消耗。在下面，我們采用類似的模式， 4 分析由LTE所節(jié)約的能量。為了簡單起見，我們忽略了報告生成過程的能量消耗，這被認為是可以忽略不計，與發(fā)送到遠距離接收器所消耗的能量相比。我們用跳發(fā)射和接收一個字節(jié)的能量消耗來表示。在 38 報道，在Xrossbow MICA2DOT中一個CC1000接受或發(fā)射一比特信息節(jié)點所耗費的能量分別是28.6 and59.2 J，在12.4 kb/s的有效數(shù)據率下。因此，我們有=87.8uJ，這是作為一個典型的數(shù)值，在我們的評估中。我們還用原始數(shù)據報告的字節(jié)長度來表示，不使用LTE，并通過的原始報告?zhèn)魉偷浇邮掌鞯钠骄鶙l數(shù)表示。為了簡化我們的評估，我們假設是固定的2

43、56字節(jié)。我們進一步假設合法數(shù)據流量與假數(shù)據流量之比為和被稱為偽流量比。如前所述，我們的LTE花完成過濾操作驗證一個可信的報告，只不過是一個過濾操作，篩選虛假報告而已。和可以看成是正常的能量消耗，以提供所有的流量在沒有LTE的地方。然后，我們有： （8）和 (9)圖3將與進行了比較，其中的最佳使用和。我們可以看到，隨著虛假數(shù)據報告的增加，的增長顯著增加，而始終保持一個相當穩(wěn)定的水平。原因是大多數(shù)虛假報道可以被檢測和丟掉在LTE早期傳播階段。此外，當沒有虛假的信息時，我們的LTE約32%能量消耗是由于引入分組開銷造成的。然而，當假流量開始超過合法流量時，LTE被證明是越來越顯著的能源節(jié)省的功效。

44、例如，在和5，我們的LTE能分別節(jié)省超過37%和63%的能源。 在大多數(shù)無線傳感器網絡應用中，數(shù)據傳遞是由事件驅動，并且合法的流量發(fā)生是只有在傳感器領域出行感興趣的事件。相反，為了增加攻擊的影響，對手經常向網絡注入大量虛假流量，這些虛假的流量往往是大于合法流量的 4 。我們LTE在早期過濾虛假數(shù)據報告，節(jié)省大量的能源，這些場景中是特別有用的。在現(xiàn)實中，往往是難以獲得準確估計的假流量的比例的。因此，在某種程度上，圖3反映了我國LTE性能的上限。有兩種可能的方法來接近這個上限。在第一種方法中，接收器估計目前在收到的報告和可能的報警的基礎上傳感器的節(jié)點數(shù)。然后，它獲得最佳的采樣概率，這是傳送到傳感器

45、節(jié)點使用的TESLA-like 34廣播認證協(xié)議。另一種方法是為每個節(jié)點本身估計的，在一定時期內采樣，在總流量中，假流量與合法流量之比。然后，它可以計算出新的個局部最優(yōu)的本身。即使沒有使用最佳的，從我們的LTE產生的節(jié)約能源仍然是顯著的。圖4描述的是，使用11的非最佳值的場景。使用我們的LTE的優(yōu)勢是非常明顯的在所有三個采樣的概率下。另一個觀察是，當變大，應增加，以盡可能早的過濾虛假數(shù)據報告。同樣，新的個可以被確定由作為一個網絡的共同價值的接收器，或單獨的每個節(jié)點根據其當?shù)氐挠^察。接下來，我們調查LTE的平均路徑長度為對節(jié)能性能的影響。從圖5可以看出，虛假的數(shù)據報告會進一步的遠離遠離接收器，我

46、們的LTE可以實現(xiàn)為轉發(fā)節(jié)點節(jié)約更多的能量。我們注意到，對手可能會注入偽造的數(shù)據報告，消耗的節(jié)點的能量資源，距離接收器只有幾跳的節(jié)點。在這種情況下，我們的LTE可能達不到預期的效果，從早期的過濾虛假報道實現(xiàn)節(jié)約能源。然而，虛假的報告，在原理接收器的地方就開始注入，對初始注入虛假數(shù)據的附近的節(jié)點危害更大，因為它們的傳輸涉及更多的中間節(jié)點。此外，我們相信接收器能更容易的探測到虛假數(shù)據的攻擊在遠距離幾節(jié)點處。六、相關工作近年來，傳感器網絡安全引起人們越來越多的興趣。由于篇幅的限制，在這里我們只討論本文中涉及的現(xiàn)有的技術。到目前為止，在兩個傳感器之間如何建立一個成對的共享密鑰的話題引起了廣泛的關注。作

47、為一個開創(chuàng)性的解決方案，Eschenauer和Gligor提出了一個概率的密鑰預分配方案 7 。其主要思想是在一個全局密鑰池中的一個隨機子集上預載每一個傳感器，其中任何兩個節(jié)點可以使用至少有一個共同特定概率的密鑰。這項計劃后來被一些其他的建議所使用，如 8 10 在網絡連接，內存使用，和對受損節(jié)點的恢復。不幸的是，這些計劃受到一些缺點，可能會限制其潛在的大規(guī)模無線傳感器網絡中對高的安全水平的潛能。首先，正如在 39 ，這些計劃是容易受到受損節(jié)點妥協(xié)的攻擊，當受損節(jié)點足夠多時，入侵者就可以得到很大部分共享的非受損節(jié)點之間的兩兩共享密鑰。其次，他們屬于第四節(jié)所討論的所有攻擊中的之一。第三，他們的目

48、的是建立相鄰節(jié)點之間的共享密鑰。作為一個結果，在非相鄰節(jié)點或相鄰節(jié)點之間設置一個成對的密鑰共享，在沒有先前的共享知識時，它們是低效和不安全的。第四，大多未能提供安全的鄰域認證，而鄰域認證這是保證鏈路級安全的前提。雖然隨機成對密鑰方案提供了兩個鄰居有一個預裝的密鑰之間的相互認證，但由此產生的成本很大的限制可支持的網絡規(guī)模 3 。第五，這些方案都有一個上限的網絡規(guī)模，往往需要每個節(jié)點存儲幾十甚至幾百個密鑰，導致網絡的可擴展性差。最后，他們都不支持數(shù)字簽名認可，而數(shù)字簽名認可是一個基本的安全要求。與上述方案相比，我們的計劃使能安全的和高效的在任何的兩個網絡節(jié)點之間的建立共享密鑰，無論是直接相連或間接

49、相連的兩個網絡節(jié)點。我們的IPK和 MPK的建立方法都有完美的恢復受損節(jié)點因為他們對私人LBK的單個節(jié)點的依賴。此外，我們的計劃方案不僅可以減少受損節(jié)點對其周圍的影響，也能承受一些對節(jié)點的攻擊，如在第四節(jié)所提到的。此外，我們的方案提供安全的基于位置的社區(qū)認證和支持數(shù)字簽名認證。此外，我們的方案只需要記住每個節(jié)點自己的 IBK 和LBK，允許添加任意數(shù)量的新節(jié)點。一些其他的建議 11 14 提出使用已知的部署信息，以方便更安全和高效的成對密鑰建立。這些解決方案仍然屬于概率方案的類別，從而帶有一些甚至所有的上述的缺點。此外，上述所有的方案都沒有使用每個節(jié)點的具體地理位置信息。最近賴索斯等人。 40

50、 提出了一個基于位置的解決方案來應對蟲洞攻擊。此解決方案的地址既不建立多跳的成對密鑰，也不涉及節(jié)點的問題（或網絡的可擴展性問題）。除了概率的計劃，另一個顯著的工作稱為LEAP是由朱等人提出的。在 27 。在LEAP，每個節(jié)點都預裝了一個全球共享的秘密，通過它可以實現(xiàn)相鄰節(jié)點的認證以及建立成對的共享密鑰，一旦節(jié)點部署之后。然而，LEAP的MPK建立方法受到重要的通信開銷和脆弱性中間節(jié)點的妥協(xié)。此外，LEAP不支持數(shù)字簽名的認可。我們都知道兩個現(xiàn)有的應對虛假數(shù)據注入攻擊的解決方案，也就是SEF 4 5 和IHA。這兩種方案都可以達到節(jié)約能源的目標，通過LTE檢測虛假數(shù)據以及在早期傳輸階段丟掉虛假數(shù)據。然而，這些敵人妥協(xié)節(jié)點攜帶鑰匙從t不同的分區(qū)可以使SEF完全無用，在 4 指出。同樣，IHA便會無用當敵人妥協(xié)在t節(jié)點時刻，因此，能夠偽造數(shù)據報告似乎來源于任意的網絡位置。在大規(guī)模的無線傳感器網絡中，有許多t節(jié)點，但是，它似乎不太可