专利名称:一种基于数字水印的抗转发攻击方法
技术领域:
本方法涉及一种基于数字水印的抗转发攻击方法。主要解决无线传感器网络中选择转发攻击的检测及对恶意节点的排除,属于无线传感器网络安全领域。
背景技术:
无线传感器网络(Wireless Sensor Networks)是由大量部署在无人看管的区域并进行数据采集和传输的传感器节点构成的网络,在军事、环境、医疗、家居、工业等方面都有着广阔的应用前景。无线传感器网络主要以数据为中心,节点采集数据后都要通过多跳传输到达基站。数据在传输过程中,会遭到各方面的攻击,选择转发攻击就是其中一类。所谓选择转发攻击即攻击节点接收到邻居节点发送的数据,并不是立刻将收到的数据包转发给下一个节点,而是故意丢弃或者篡改部分数据包,使得通过恶意节点的数据都不能完整的到达基站,影响用户接受数据。选择转发攻击示意如图1 数据在网络中传输,当节点1将数据传给恶意节点Cl,恶意节点Cl丢弃或者篡改部分数据包,使得节点2无法完全获得节点1所转发的数据,从而导致基站无法获得完整的数据信息。在这类攻击中,恶意节点在大多数时间内的表现和正常节点一样,但是他们会选择性的丢弃或篡改一些包含重要信息的数据包,很难将它和正常的网络丢包行为所区分, 具有很大的迷惑性,特别是当它与其他攻击相结合后,往往会变得更有破坏力,对无线传感器网络的安全运行产生巨大威胁。针对选择转发攻击的特性,现有的技术主要有以下几种方案
1)Karlof C, Wagner D. Secure Routing in Wireless Sensor Networks:
Attacks and Countermeasures[J]. IEEE International Workshop on Sensor Network Protocols and Applications, 2003,1(5) : 113-127.提出了一种利用多路径路由的方法抵御选择转发攻击,源节点在发送数据时,同时选取多条路径来发送数据,即使一条路径遭到恶意节点的选择转发攻击,其他路径也同样可以到达基站,该方法利用多路径的冗余性提高恶意节点控制数据流的难度,从而提高数据在传输过程中的安全性。2)B. Yu, B. Xiao. Detecting selective forwarding attacks in wireless sensor networks. In: Proe. of the 20th International Parallel and Distributed Processing SymPosiumj RhodesIslandj Greeeej 2006,1218-1230.提出了一种基于检查点的多点确认方案检测选择转发攻击。该方案主要思想是随机选取传输路径上的部分节点作为检查点,检查点每收到一个数据包都会发送一个确认报文给上游的检查点,上游的检查点比较自己发送出去的数据包数量和接收到的确认报文数量,判断传输路径中是否存在恶意节点。上述方法可以有效的检测出恶意节点丢弃数据包的行为,但是也存在一定的不足,方法(1)是基于多径传输的抵御策略,在网络规模较大时传输的通信开销会随着路径数的增加而迅速增加。方法(2)需要检查节点持续发送确认数据包,增加了网络资源开销。同时,上述两种方法都无法检测出恶意节点篡改数据包的攻击行为。
发明内容
技术问题本发明主要针对选择转发攻击的特点,针对已有的解决方法无法有效的检测恶意节点篡改数据内容的不足加以改进,引入数字水印技术来保护数据的完整性。 本发明的目的是提供一种选择转发攻击的检测排除方法,对恶意节点进行的选择转发攻击进行判断以及恶意节点的检测。技术方案本发明的方法是提出了一种基于数字水印技术的数据认证方法,通过在源节点处对数据进行水印嵌入,在基站处对水印信息进行提取,以获得数据在传输过程中的被丢弃率和被篡改率,再与安全网络中数据丢包率进行比较,以此判断传输路径中是否存在选择转发攻击节点;在基站判断传输路径中存在恶意节点时,则进行恶意节点检测。本发明主要目的在于判断网络中是否存在选择转发攻击以及恶意节点的检测排除。本发明的方法主要通过数字水印认证模块和恶意节点检测模块的功能运行来实现。下面具体说明这两个模块的运行方式
水印认证模块运行如图2所示,分为水印生成、水印嵌入、水印提取三个步骤,为了有效的保证完整性,水印信息的生成需要依靠原始数据本身,源节点采集得到原始数据,进行数据特征值提取,获得的特征值与密钥K 一起进入水印生成器获得水印信息W,在通过水印嵌入器进行水印嵌入,之后进入网络进行传输,到达基站时,通过水印提取,将水印信息提取出来获得W’,再对收到的数据进行特征值提取,与密钥K 一起进入水印生成器,获得水印信息W0,比较W’和WO的相似度,获得数据在传输过程中的被丢弃率和被篡改率。1)水印生成器主要负责水印信息的生成,具体步骤如下
1.计算密钥K的哈希值,记作Hash(K);
2.取c个数据分组L[i]的最高有效位,记作C[i](i=0, 1……c);
3.MHash(K)的前 c 位,记作 H[i] (i=0, 1……c);
4.计算水印信息W,ff[i]=H[i]十C[i] (i=0, 1……c),十为异或操作·
2)水印嵌入器主要负责水印的嵌入,具体步骤如下
a)获得分组i的数据L[i];
b)若W[i]为0,则不对L[i]进行处理;若W[i]为1,则在L[i]数据后增加一位比特
零;
c)封装分组数据,添加分组序号等操作;
3)水印提取器主要负责水印的提取,具体步骤如下
a)对接收到的数据包进行排序;
b)根据序列号得到数据在传输过程中丢失的个数Q;
c)计算水印信息W’[i],计算L[i]的数据长度,如果为m,则W’ [i]为0;如果为m+1 且最后一位为0,则W’ [i]为1 ;否则,判定该数据包在传输过程中被篡改;
d)获得与W’[i]对应序列号的数据包,利用水印生成算法2的方法获得水印信息Wtl;e)比较W’ [i]和W0 [i],获得数据分组的被篡改个数P.
根据水印提取器获得的分组丢失的个数Q和被篡改个数P,计算分组丢失率Qa=Q/c和被篡改率
恶意节点检测模块的检测过程如图3所示,具体检测过程如下
节点1为数据采集源节点,节点3为恶意节点,节点2和节点4为正常转发节点。当基站判断传输路径中存在选择转发攻击时,基站通知节点1进行数据重传,节点1将数据经过水印嵌入等相关操作后传给节点2,在节点2处通过上述水印认证模块对数据完整性进行认证计算1 和Qa,以判断上一节点是否为恶意节点,判断数据正常后,将数据转发给节点3,节点3作为恶意节点选择性的丢弃或者篡改了部分数据包之后转发给节点4,节点4 收到数据包后,作节点2相同的操作判断节点3是否为恶意节点,此处节点4计算出的1 和Qa出现异常,判断节点3为恶意节点。节点4丢弃收到的被攻击的数据,同时通知基站节点3为恶意节点,基站获得恶意节点3的相关信息之后,广播通知全网节点将恶意节点从转发列表中删除。并通知源节点继续重传数据,直至重传数据安全达到基站,则整个恶意节点检测模块结束。
方法流程
基于数字水印的抗转发攻击方法具体为无线传感器网络中,源节点进行水印信息的生成、水印的嵌入等操作,数据经过网络多跳到达基站,在基站处对收到的数据进行分析, 判断网路传输中数据是否遭到选择转发攻击。如果发现攻击行为,则实施恶意节点排除机制。具体的流程如下
(1)对源节点采集的原始数据进行分组,利用水印生成算法获得水印信息;
(2)在源节点嵌入水印信息;
(3)分组数据经过多跳发送到基站;
(4)在基站处进行水印信息的提取和比较,计算数据在传输过程中的数据丢弃率Qa和数据篡改率1 ;
(5)通过将Qa和1 与正常网络数据丢包率Loss这个阈值进行比较,如果Qa>LoSS或者I^>L0SS则说明网络中存在选择转发攻击,进入恶意节点检测机制,进入(6);否则,说明数据安全传输;
(6)通知源节点重传数据包,并通知所有转发节点采用自检模式进行数据转发;(所谓自检模式为转发节点在接收到数据包后,进行中的Qa和1 的计算)
(7)转发节点进行自检模式转发,如果Qa>LoSS或者Pa>LoSS则判断上一跳节点为恶意节点,通知基站作相应处理,同时丢弃数据包,不在进行转发,进入(6);否则,正常转发数据包给下一跳节点,判断下一跳节点是否为基站,如果是,则转到(8);否则继续(7);
(8)直至重传数据包到达基站,基站再次进行Qa和1 的计算,如果Qa>LoSS或者 Pa>Loss则判断上一跳节点为恶意节点,做相应处理;否则,基站认为网络中已不存在进行选择转发攻击的恶意节点;
(9)基站通知所有节点不再使用自检模式进行数据转发,所有节点进行正常数据传输, 基站持续进行⑷中的Qa和1 计算以及(5)中的判断,监控网络;
(10)全过程结束。
有益效果
本发明主要针对无线传感器网络中的选择转发攻击,提出了一种判断和检测排除方案。在攻击情况下,攻击节点故意丢弃或篡改一定数量的数据包,使基站无法完全获得源节点发送的数据包,影响基站接收数据。采用本发明的检测方法可以对恶意节点随机丢弃和篡改数据包的行为做出判断,同时检测并排除恶意节点,提高了网络的安全性。
图1是选择转发攻击示意图。图2是数字水印认证示意图。图3是一个恶意节点检测过程。图4是整个检测排除方法的简单流程图。
具体实施方案这里以传输路径中存在一个选择转发攻击节点为例,下面是本发明的具体实施方案
(1)源节点采集原始数据,长度为Λ将数据分为C组,每组数据记作L[i],i=0,l……
C;
(2)生成水印信息
a)计算密钥f的哈希值,记作/fed(幻;
b)取c个数据分组L[i]的最高有效位,记作C[i](i=0, 1……c);
c)MHash(K)的前 c 位,记作 H[i] (i=0, 1……c);
d)计算水印信息W,W[i]=H[i]十C[i] (i=0, 1……c), 为异或操作.
(3)向每个分组中嵌入水印信息
f)获得分组i的数据L[i];
g)若W[i]为0,则不对L[i]进行处理;若W[i]为1,则在L[i]数据后增加一位比特
零;
h)封装分组数据,添加分组序号等操作;
(4)数据经过多跳转发到达基站;
(5)基站处对水印信息进行提取,同时计算数据丢弃率Qa和数据篡改率1 ,具体做
法为
a)对接收到的数据包进行排序;
b)根据序列号得到数据在传输过程中丢失的个数Q;
c)计算水印信息W’[i],计算L[i]的数据长度,如果为m,则W’ [i]为0;如果为m+1 且最后一位为0,则W’ [i]为1 ;否则,判定该数据包在传输过程中被篡改;
d)获得与W’[i]对应序列号的数据包,利用水印生成算法2的方法获得水印信息Wtl;e)比较W’[i]和W0 [i],获得数据分组的被篡改个数P;
f)计算数据丢弃率Qa=Q/c和数据篡改率f^=P/c.
(6)基站对Qa和1 进行分析,如果Pa>LoSS或者Qa>LoSS则判断传输路径中存在选择转发攻击,启动恶意节点检测机制,进入(7);否则,说明数据安全达到,不作处理;
(7)基站启动恶意节点检测机制,通知源节点进行数据重传,同时通知所有节点以自检模式进行数据转发;
(8)转发节点对收到的数据进行(5)和(6)的计算和比较,判断接收到的数据是否正
常;
(9)如果正常则说明转发节点的上一跳节点为正常节点,则正常转发数据给下一跳节占.
(10)如果不正常则说明上一跳节点为恶意节点,则丢弃收到的数据,不再继续转发数据。同时,通知基站恶意节点相关信息,基站广播全网,将恶意节点从转发表中删除,并通知源节点重传数据,继续(8);
(11)直至数据达到基站,基站进行(5)和(6)的计算和比较,判断收到的数据是否正
常;
(12)如果不正常则说明基站的上一跳节点为恶意节点,则基站丢弃收到的数据包,通知全网,将上一跳节点从转发表中删除,并通知源节点重传数据;
(13)如果正常则说明传输路径中的已无恶意节点,则结束恶意节点检测,基站通知所有转发节点不在进行自检模式转发,采用正常模式转发;
(14)基站持续检测收到的数据,判断网络中是否存在选择转发攻击。
权利要求
1. 一种基于数字水印的抗转发攻击方法,其特点在于包含如下步骤1)、采用数字水印认证技术对无线传感器网络中传输的数据实现了完整性保护,通过在发送端进行水印信息生成和水印嵌入,最后在接收端进行水印提取以及相关分析,判断网络是否遭受选择转发攻击;2)、由1中计算获得的数据丢弃率Qa和数据篡改率Pa,比较Qala和正常网络丢包率 Loss进行比较,若Qa>LoSS或者I^>L0SS,判断网络中存在选择转发攻击;否则,判断网络中无选择转发攻击;3)、由2中判断网络中存在选择转发,则启动恶意节点检测机制,即当基站判断传输路径中存在选择转发攻击,则通知源节点进行数据重传,转发节点采用自检模式进行数据转发,对收到的数据包进行水印提取、丢弃率和篡改率计算,判断上一跳节点是否为恶意节点,若为恶意节点,则丢弃收到的被攻击的数据,并通知基站恶意节点信息,进行恶意节点删除处理,然后基站再通知源节点再次进行数据重传;若为正常节点,则转发给下一跳节点,直至重传数据安全到达基站,基站则通知转发节点取消自检模式进行数据重传,网络回到正常的传输模式,基站持续检测收到的数据,监控网络中是否存在选择转发攻击。
全文摘要
本方法涉及一种基于数字水印的抗转发攻击方法。通过在源节点处对数据进行水印嵌入,在基站处对水印信息进行提取,以获得数据在传输过程中的被丢弃率和被篡改率,再与安全网络中数据丢包率进行比较,以此判断传输路径中是否存在选择转发攻击节点;在基站一旦判断传输路径中存在恶意节点时,则进行恶意节点检测并排除。采用本发明的检测方法可以对恶意节点随机丢弃数据包的行为做出判断,同时检测并排除恶意节点,提高了网络的安全性。
文档编号H04W12/10GK102316456SQ20111022816
公开日2012年1月11日 申请日期2011年8月10日 优先权日2011年8月10日
发明者刘林峰, 张登银, 程春玲, 许超, 邹志强 申请人:南京邮电大学