一种无线传感器网络抵抗DoS攻击的方法及系统的制作方法
【专利摘要】本发明涉及一种无线传感器网络抵抗DoS攻击的方法及系统,属于无线传感器网络【技术领域】。在所述的无线传感器网络抵抗DoS攻击的方法中,包括无线传感器模块,二级安全保护机制,以及抵抗DoS攻击的低功耗方法。通过安全唤醒机制和加密认证算法,使得传感器节点在非睡眠状态下进行认证或加解密,从而在低功耗情况下能有效抵抗DoS攻击,并避免影响无线传感器网络余下部分的能量消耗。因此,除了收发数据信息必需的能量消耗外,本发明在能抵抗DoS攻击条件下,最大限度地降低能量消耗。
【专利说明】一种无线传感器网络抵抗DoS攻击的方法及系统
【技术领域】
[0001]本发明涉及无线传感器网络【技术领域】,尤其是涉及一种低功耗计算的无线传感器 网络抵抗DoS (Denial of Service,拒绝服务)攻击的方法以及系统。
【背景技术】
[0002]无线传感器网络(Wireless Sensor Networks WSNs)是由密集型、低成本、随机分 布的传感器节点组成。它集成了传感器、无线通信、嵌入式计算、微机电系统以及微电子等 多项技术。它能够协同地实时监测、感知和采集各种环境或对象的信息,对其进行处理,通 过特定的网络技术将需要的信息传送给用户。其巨大应用前景引起了军事、工业、商业和学 术界专家的广泛关注。在军事领域,通过无线传感器网络,隐蔽地分布在战场上的传感器可 将获取的信息发回到指挥部。在民用领域,无线传感器网络可在家具智能化、环境监测、医 疗保健、灾害预测等方面得到广泛应用。在工商业领域,无线传感器网络在工业自动化、空 间探索和其他商业用途上得到广泛应用。
[0003]无线传感器节点是网络的基本单元,节点的稳定运行是整个网络可靠性的保证。 无线传感器节点通常是一个微型的嵌入式系统,体积小,具有无线通信、传感和数据处理功 能,但处理能力、存储能力和通信能力相对较弱。无线传感器节点采用便携式电源(电池)供 电,电源的寿命决定了无线传感器节点的寿命。无线传感器网络节点主要负责对周围信息 的采集和处理,并发送自己采集的数据给相邻节点或将相邻节点发送过来的数据转发给基 站或更靠近基站的节点。
[0004]由图1可见,无线传感器节点一般由传感器模块(传感器,A/D转换器),处理器模 块(微处理器,存储器),无线通信模块(无线收发器)和能量供应模块(电池)组成。无线传 感器节点处于唤醒状态(工作状态),能量消耗多,特别是收发数据包。
[0005]抵抗DoS攻击是一件困难的事情,特别是针对无线传感器网络中无线传感器节 点资源有限的情况,攻击者发动DoS攻击的目的是耗尽无线传感器节点的能量来试图影 响整个网络的正常运行。DoS攻击可以发生在物理层。例如通过无线电干扰,还可以通过 恶意传输来干扰无线传感器网络协议或物理破坏中心网络节点。攻击者通过持续发送一 系列无用的数据包到无线传感器网络中,可耗尽无线传感器节点的电池。因为无线传感 器节点会消耗能量来处理数据包,或者接收和转发数据包,使无线传感器节点始终处于唤 醒状态,消耗无线传感器节点的能量资源,使节点丧失运行能力。危害更大的攻击是发生 在内部传感器网络,如果攻击者可以攻破网络中的无线传感器节点,那么可以创建路由环 路,最终耗尽所有节点的能量。针对认证协议存在的Dos攻击问题,现有的抵抗DoS攻击 方法,主要包括无状态连接机制(具体可参见P.Karn, ff.Simpson.Photuris: Session-Key Management Protocol.RFC2522, IETF Network Working Group,March,1999,Cookie 机制(具体可参见 P.Karn, W.Simpson.Photuris: Session-Key Management Protocol.RFC2522,IETF Network Working Group,March, 1999)和工作量证明(uelsand J.Brainard.Client Puzzles:A Cryptographic Counter measure against ConnectionDepletion Attacks.1n Proceedings of the Network and Distributed Security Systems(NDSS^ 99),pages51 - 165.1EEE Computer)D
[0006]为抵抗DoS攻击,无线传感器网络中的无线传感器节点在接收到数据包之后,有两种处理方式:认证和转发;两种处理方式都要求无线传感器节点处于唤醒状态下,若认证成功,转发数据包;认证失败丢弃数据包。如果攻击者持续发送一系列的伪造数据包,无线传感器节点接收到之后,需要认证或转发,都将使无线传感器节点持续处于唤醒状态,耗尽能量资源,丧失运行能力,从而影响整个网络。因此在抵抗DoS攻击的同时,设法降低无线传感器节点的功耗,延长传感器可靠工作时间成为网络化传感器设计中重点考虑的问题之一。
[0007]而现有技术的无线传感器网络抵抗Dos攻击的方法在这方面存在缺陷,需要改进。
【发明内容】
[0008]本发明的目的在于提供一种无线传感器网络抵抗DoS攻击的方法,使其无线传感器节点接收到数据后,在唤醒认证阶段节点无需处于唤醒状态,从而可以实现抵抗DoS攻击的同时降低无线传感器节点的功耗,延长无线传感器节点的寿命。
[0009]本发明的另一目的在于提供一种能抵抗DoS攻击的降低无线传感器节点功耗的无线传感器网络系统。
[0010]本发明的无线传感器网络抵抗DoS攻击的方法,所述无线传感器网络包括至少一基站,在指定区域部署的若干无线传感器节点,其步骤包括:
[0011]1、所述基站与其相邻节点、各节点与其相邻节点之间进行密钥协商,确定并存储共享的抗DoS攻击密钥和数据包认证密钥,完成自组织无线传感器网络的组建,同时所有节点处于睡眠状态;
[0012]2、所述基站或各节点发送数据包之前,首先发送无线唤醒信号和由其通过抗DoS 攻击密钥生成的MAC值给路由选择的下一相邻节点;
[0013]3、所述相邻节点通过其无线唤醒器接收无线唤醒信号和MAC (Message Authentication Code,消息认证码)值,无线唤醒器验证无线唤醒信号成功后,将MAC值发送该节点的处理模块,由其根据存储的抗DoS攻击密钥进行MAC值验证;
[0014]4、MAC值验证通过后唤醒当前节点,接收上一节点发送的数据包并根据数据包认证密钥进行数据包认证,当前节点只转发通过认证后的数据包;
[0015]5、目的节点接收其上一相邻节点发送的数据包后根据数据包认证密钥进行数据包认证,处理通过认证的数据包,或丢弃没有通过认证的数据包。
[0016]各所述节点执行完相应操作后仍进入睡眠状态。
[0017]所述基站和各节点的抗DoS攻击密钥可以是预置的全网统一密钥;也可以是不相同的密钥。
[0018]所述基站和各节点的数据包认证密钥可以是预置的全网统一密钥;也可以是不相同的密钥。
[0019]所述抗DoS攻击密钥存储在各节点处理模块的主控芯片中;所述数据包认证密钥存储在各节点处理模块的安全芯片中。[0020]所述MAC值验证和/或数据包认证采用安全散列算法。
[0021]所述数据包中嵌入时间戳信息或者计数器信息,作为MAC值和/或数据包认证算 法的参数。
[0022]一种抵抗DoS攻击的无线传感器网络,包括至少一基站和若干个在指定区域布置 的无线传感器节点,所述无线传感器节点包括传感器模块,处理器模块,无线通信模块和能 量供应模块;所述无线通信模块包括无线收发器和无线唤醒器,其中所述无线唤醒器用于 接收并验证无线唤醒信号;所述基站与其相邻节点、各节点与其相邻节点之间存储共享的 抗DoS攻击密钥和数据包认证密钥,并通过其抗DoS攻击密钥生成MAC值。
[0023]所述处理器模块包括主控芯片和安全芯片,分别存储抗DoS攻击密钥和数据包认 证密钥。
[0024]本发明方法大致分为如下几个部分:
[0025]Al、在指定区域部署无线传感器节点,进入初始化阶段;
[0026]A2、所有无线传感器节点处于睡眠状态;
[0027]A3、基站或传感节点发送数据包之前,首先发送唤醒信号和MAC值给邻居节点;
[0028]A4、邻居节点校验唤醒信号和MAC值,若校验失败,传感器节点仍处于睡眠状态, 不接收或转发数据包;若校验成功,则唤醒并接收,处理或转发数据包。
[0029]本发明采用了主控芯片和安全芯片的两级安全保护机制,具体包括如下内容,
[0030]B1、传感器模块中传感器用于采集相应的测量值;
[0031]B2、处理器模块中主控芯片属于低功耗芯片,具有简单的处理能力,抗DoS攻击的 密钥存储在主控芯片里;
[0032]B3、处理器模块中安全芯片可以是智能卡芯片,处理能力强,可进行数据加密,完 整性,指令控制,认证等操作,加密算法,认证等密钥都存储在安全芯片中,安全级别较高;
[0033]B4、无线通信模块中无线唤醒器用于接收唤醒信号并校验;无线收发器用于接收 和发送数据包。
[0034]所述方法中,其中,步骤Al具体包括无线传感器节点随机分布在指定区域,然后 进入初始化阶段,主要进行密钥协商,路由选择等;抗DoS攻击的认证密钥可以是整个网络 统一的相同密钥,可以预置;也可以是不同的密钥,通过密钥协商确定。
[0035]所述方法中,其中,步骤A3具体包括由抗DoS攻击的密钥生成MAC值。
[0036]所述方法中,其中,步骤A4具体包括邻居节点中的无线唤醒器接收唤醒信号后, 验证唤醒信号,若校验失败,节点维持睡眠状态,不唤醒,若校验成功,则将MAC值发送给低 功耗的主控芯片;主控芯片利用存储的抵抗Dos攻击密钥校验MAC,若成功,则唤醒传感器 节点,接收数据包,并进行转发或处理;否则不唤醒。
[0037]与现有技术相比,本发明采用主控芯片和安全芯片的两级安全保护机制、安全唤 醒机制、认证机制等方法,有益效果是无线传感器节点能在不唤醒的状态下进行认证校验, 只有在校验成功条件下才唤醒传感器节点,校验失败则不唤醒;在能抵抗DoS攻击的同时, 最大化地降低能量消耗,延长传感节点的使用时间。
【专利附图】
【附图说明】
[0038]图1为现有传感器节点结构框图;[0039]图2为本发明方法的无线传感网络部署图;
[0040]图3为本发明方法的传感器节点结构框图;
[0041]图4为本发明方法的抗DoS攻击传感器节点内部处理流程图。
【具体实施方式】
[0042]下面结合附图对本发明进行详细说明。
[0043]本发明解决的是抵抗DoS攻击的低功耗处理问题,利用传感节点特殊的模块组成,安全唤醒机制以及认证机制来抵抗DoS攻击,使得传感节点在非唤醒状态下可认证抗DoS攻击的MAC值,从而有效的降低传感节点的能量消耗。
[0044]如图2所示,本发明提供了一种物联网感知节点抵抗DoS攻击的系统,其包括基站,无线传感节点。首先将所述的无线传感节点随机部署在目标环境中,在部署之前不知道传感器节点的位置;然后所述系统进入初始化阶段,包括路由选择,密钥协商等。
[0045]所述传感节点可用作路由节点,用来转发数据包给邻居节点,亦可用作测量节点,用来采集周围环境中的数据;同时能最低功耗地抵抗DoS攻击。因此所述的传感器节点的模块组成具体如图3所示,包括传感器模块,处理器模块,无线通信模块和能量供应模块;其中,所述传感器模块用于采集周围环境数据;所述处理器模块具有两级安全保护机制,由主控芯片,安全芯片,存储器组成;所述无线通信模块中的无线唤醒器用于接收无线唤醒信号,并校验正确性,无线收发器是在所述传感节点唤醒后用于接收和发送数据包;所述能量供应模块提供所述传感器节点工作所需的能量资源。与现有传感器节点模块组成相比,所述传感器节点新增了主控芯片和安全芯片的两级安全保护机制,其中主控芯片能在低功耗的环境下工作,从而可完成在非唤醒状态下进行认证计算;安全芯片的安全级别较高,用于存储重要的密钥,处理能力强,可保证数据的私密性,完整性,以及认证等。
[0046]在具体实施中,所述基站处理能力强且能量充足,在初始化阶段结束后所述的所有传感器节点进入睡眠状态,在睡眠状态下只有所述的无线唤醒器和主控芯片处于浅睡眠状态(低功耗状态),其他所述模块都处在睡眠状态,节省能量消耗。
[0047]如图4所示,本发明的主要步骤包括:
[0048]Al、无线传感器节点随机的部署在目标环境中;本发明不具体限定无线传感器节点的部署方式和拓扑结构,系统进入初始化阶段,自组织组建无线传感器网络。
[0049]A2、无线传感网络中的传感器节点进入睡眠状态;处于浅睡眠状态的无线唤醒器用来接收无线唤醒信号,主控芯片中存储抗DoS攻击的密钥,用来低功耗处理MAC校验。
[0050]A3、基站或传感器节点发送数据包之前,首先发送无线唤醒信号和MAC值给邻居节点;其中MAC值是用抗DoS攻击的密钥和相邻节点的共享信息生成的,本发明不限定生成MAC值的具体算法,可以是Hash算法,Hmac算法等。
[0051]A4、处于睡眠状态的邻居节点的无线唤醒器接收无线唤醒信号和MAC值;无线唤醒器进行无线唤醒信号的校验,若校验失败,则不唤醒节点,返回到步骤A2 ;若成功,则将MAC值发送给主控芯片。其中本发明不限定无线唤醒信号的生成和校验算法。
[0052]A5、处于浅睡眠状态的主控芯片接收MAC值并进行校验;主控芯片利用存储的抗DoS攻击的密钥进新MAC校验,若校验失败,则不唤醒节点,返回到步骤A2 ;若成功,则发送命令启动唤醒程序,唤醒节点。[0053]A6、唤醒状态的传感器节点使用无线收发器接收数据包,安全芯片利用存储的相应密钥验证数据包的正确性;若该传感器节点为路由节点,验证成功则转发数据包,否则丢弃数据包,若该传感器节点为目的节点,验证成功则进行相应操作,否则不操作并丢弃数据包。当该传感器节点处理完成时,进入步骤A2所示的睡眠状态。
[0054]具体实施中,步骤A5使用的抗DoS攻击的密钥存储在主控芯片中,可以是预置的全网统一密钥;也可以是不相同的密钥,在所述系统初始化阶段或通信阶段,相邻的所述传感器节点进行密钥协商,确定共享的抗DoS攻击密钥;步骤A6中用于验证数据包正确性的密钥存储在安全芯片中,该密钥可以是预置的全网统一密钥;也可以是不相同的密钥,在所述系统初始化阶段或通信阶段,相邻的所述传感器节点进行密钥协商,确定共享密钥,从而完成自组织传感器网络的组建。
[0055]图4所示为本发明方法的传感节点内部处理细节流程图。以安全散列算法(Gallagher P.Secure Hash Standard(SHS)[J].2008) SHA-1 (Gallagher P.Secure HashStandard(SHS) [J].2008.)为例(记为函数f),本发明提供一种物联网的无线传感器节点抵抗DoS攻击的一个实施例,依次可以包括如下步骤。
[0056]( I)在目标环境中随机部署传感器节点,可以通过飞机在目标区域内随机安置传感器节点,也可以实施人工随机部署。
[0057](2)所有传感器节点进入初始化阶段,包括密钥协商,路由选择等等;所述实施例中使用的抗DoS攻击的密钥(K1)和验证数据包正确性的密钥(K2)为全网统一密钥,分别存储在传感器节点的主控芯片和安全芯片中;自组织组建无线传感器网络。
[0058](3)传感器网络中的所有传感器节点进入睡眠状态
[0059](4)基站计算MAC=f (c,K1),将MAC和无线唤醒信号发送给邻居节点;其中c为相邻两个传感器节点协商的共享信息,k为抵抗重放攻击(Replay Attacks),散列算法中可加入时间戳信息或者计数器信息,如MAC=f (c,b,K1),其中b为时间戳或者计数器信息。
[0060](5)邻居节点首先在无线唤醒器验证无线唤醒信号的正确性,验证成功后将MAC发送给主控芯片,主控芯片利用存储的K1,计算MACfffeK1),比较MACtl与MAC是否相等;若不相等,则不唤醒,若相等则唤醒,向基站发送请求数据命令。
[0061](6)基站接收到邻居节点的请求数据命令后,计算h=f(m, K2),并将m+h发送给邻居节点;其中m为数据包。为防止重放攻击,散列算法中可加入时间戳信息或者计数器信
肩、O
[0062](7)处于唤醒状态的邻居节点利用无线收发器接收m+h,安全芯片利用存储的K2,计算hff (m, K2),比较Iitl与h是否相等,若不等则丢弃数据包,若相等则转发数据包给其他邻居节点,等该节点处理完成后进入睡眠状态。
[0063](8)相邻的两个邻居节点重复步骤(4)?(7),直到正确的数据包到达目的节点,否则错误的数据包被丢弃,不在传感器网络中传输,节省传感器节点的能量消耗。
[0064](9)当目的节点执行步骤(7)时,若比较Iitl与h相等,则根据数据包进行处理,不再转发;若不等则丢弃数据包,不进行其他操作。
[0065]从以上实施例可知,
[0066]情形一:即使攻击者可以捕获无线唤醒信号并重放,但不知道密钥K1,因而无法伪造正确的MAC,路由节点的主控芯片验证MAC失败,因而不会唤醒,有效的节省能量消耗。[0067]情形二:在所述的实施例中,当步骤(5)节点被唤醒后,攻击者无法知道密钥K2,因而无法伪造步骤(6)中的正确的m+h,已唤醒的路由节点的安全芯片校验数据包失败,则丢弃数据包。及时的丢弃错误数据包能避免网络的其他节点因接收,处理,转发该数据包而损失能量,因而大大降低了网络功耗影响。
[0068]因此,与现有技术相比,本发明所述方法能有效的抵抗DoS攻击,避免传感器节点的能量消耗;而且传感器节点的模块结构提供主控芯片和安全芯片的两级安全保护机制,能有效合理地利用能量资源的同时,提高更高级别的安全性。
【权利要求】
1.一种无线传感器网络抵抗DoS攻击的方法,所述无线传感器网络包括至少一基站, 在指定区域部署若干无线传感器节点,其步骤包括:1)所述基站与其相邻节点、各节点与其相邻节点之间进行密钥协商,确定并存储共享 的抗DoS攻击密钥和数据包认证密钥,完成自组织无线传感器网络的组建,同时所有节点 处于睡眠状态;2)所述基站或各节点发送数据包之前,首先发送无线唤醒信号和由其通过抗DoS攻击 密钥生成的MAC值给路由选择的下一相邻节点;3)所述相邻节点通过其无线唤醒器接收无线唤醒信号和MAC值,无线唤醒器验证无线 唤醒信号成功后,将MAC值发送该节点的处理模块,由其根据存储的抗DoS攻击密钥进行 MAC值验证;4)MAC值验证通过后唤醒当前节点,接收上一节点发送的数据包并根据数据包认证密 钥进行数据包认证,当前节点只转发通过认证后的数据包;5)目的节点接收其上一相邻节点发送的数据包后根据数据包认证密钥进行数据包认 证,处理通过认证的数据包,或丢弃没有通过认证的数据包。
2.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,各所述节 点执行完相应操作后仍进入睡眠状态。
3.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,所述基站 和各节点的抗DoS攻击密钥可以是预置的全网统一密钥;也可以是不相同的密钥。
4.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,所述基站 和各节点的数据包认证密钥可以是预置的全网统一密钥;也可以是不相同的密钥。
5.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,所述抗 DoS攻击密钥存储在各节点处理模块的主控芯片中;所述数据包认证密钥存储在各节点处 理模块的安全芯片中。
6.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,所述MAC 值验证和/或数据包认证采用安全散列算法。
7.根据权利要求1所述的无线传感器网络抵抗Dos攻击的方法,其特征在于,所述数据 包中嵌入时间戳信息或者计数器信息,作为MAC值和/或数据包认证算法的参数。
8.一种无线传感器网络抵抗DoS攻击的系统,包括至少一基站和若干个在指定区域布 置的无线传感器节点,所述无线传感器节点包括传感器模块,处理器模块,无线通信模块和 能量供应模块;所述无线通信模块包括无线收发器和无线唤醒器,其中所述无线唤醒器用 于接收并验证无线唤醒信号;所述基站与其相邻节点、各节点与其相邻节点之间存储共享 的抗DoS攻击密钥和数据包认证密钥,并通过其抗DoS攻击密钥生成MAC值。
9.根据权利要求8所述的无线传感器网络抵抗DoS攻击的系统,其特征在于,所述处理 器模块包括主控芯片和安全芯片,分别存储抗DoS攻击密钥和数据包认证密钥。
10.根据权利要求8所述的无线传感器网络抵抗DoS攻击的系统,其特征在于,所述基 站和各节点的数据包认证密钥和/或抗DoS攻击密钥可以是预置的全网统一密钥;也可以 是不相同的密钥。
【文档编号】H04W84/18GK103560998SQ201310468289
【公开日】2014年2月5日 申请日期:2013年10月9日 优先权日:2013年10月9日
【发明者】武传坤, 皮兰 申请人:中国科学院信息工程研究所