文摘

引入以来,物联网(物联网)享受世界各地的政府和研究机构的大力支持,并取得了显著成果。物联网的感知层起着重要的作用作为一个物联网与现实世界之间的联系;安全已经成为一个瓶颈制约物联网的进一步发展。感知层是一个自组织的网络系统组成的各种资源受限的传感器节点通过无线通信。因此,昂贵的加密机制不能用于感知层。摘要小说轻量级数据完整性保护计划基于脆弱水印,提出了解决矛盾的安全和受限资源感知层。提高安全性,我们设计一个位置随机水印(PRW)策略计算嵌入位置传感数据的时序动态。单向散列函数sha - 1生成的数字水印在嵌入动态计算的位置。通过这种方式,安全漏洞提出的固定嵌入位置不仅可以有效地解决,但也达到零干扰数据。安全分析和仿真结果表明,该方案可以有效地保证数据的完整性在低成本。

1。介绍

随着计算机技术的快速发展,嵌入式技术、互联网和移动通信网络,物联网的出现在一个历史性的时刻。物联网的基本特征是全面感知、可靠传递、智能处理的信息,关键是要意识到人类和事物之间或事物之间的信息交互和事情1]。引入以来,世界各地的物联网已经引起了很大的反响,很多人力和物力投入支持的研究,并取得了显著成果。物联网的快速发展引起了巨大的变化,它被认为是世界信息产业的第三次浪潮之后,电脑和互联网(2]。中国通信标准协会(CCSA)定义了建筑的物联网感知层,网络层和应用程序层(3),如图1。感知层由传感器、射频识别阅读器,摄像头,智能手机用于感知和收集对象和环境的信息。互联网和无线网络的网络层由2 g、3 g, 4 g,和卫星网络,负责将感觉到数据转移到应用程序层。应用程序层由应用平台和支持平台如分布式并行计算,数据挖掘、云计算。支持平台提供了特定的应用程序的功能,如数据处理、数据存储和安全管理。物联网应用已经广泛应用于智能城市、远程医疗、智能家居等领域。

网络层和应用程序层应用成熟的技术将确保感知数据的安全。然而,感知层组成的简单的节点将面临严重的安全问题,吸引了大部分学者的注意。感知层的主要功能是信息感知。信息感知是物联网的基础应用程序提供了从物理世界的信息,因此,感知层已经成为物联网相关研究的主要问题。物联网感知层的通信机制如图2。扮演重要角色的知觉信息物联网和现实世界之间的联系。它是由感知数据和位置数据。感知数据的披露会导致重要信息的披露在整个网络,造成不可估量的后果。在本文中,我们主要考虑感知数据的保护和把无线传感器网络(网络)作为物联网的感知层。网络由大量微型传感器的自组织有限的计算能力和小型电池在无线自组织网络通信。收集传感器数据从传感器节点和发送到汇聚节点通过多次反射继电器。水槽节点处理感知数据并将其发送到应用程序层通过网络层。与其他传感器节点相比,水槽节点可以被视为一个强大的计算机连接到电源,速度快的处理器,巨大的存储容量,高网络带宽、安全保证(4]。

与传统网络相比,网络有一些特点:( )网络以数据为中心的网络,它纯粹关注检测和收集传感区域的感知数据,而不关心数据的来源。( )网络需要解决的迫切问题是减少能源消耗和延长传感器节点的工作时间。( )所需的传感器节点动态地适应网络的变化,因为大多数人在恶劣的环境工作,失败随时可能发生。( )传感器节点不能完全执行复杂的计算由于处理器和存储容量有限。( )安全注意事项应全面关注网络的设计之前,因为固有的漏洞使他们容易被各种攻击,攻击数据包篡改等攻击,包伪造攻击,选择转发攻击,包重放攻击,攻击和传输延迟(5]。数据网络安全成为一个瓶颈,影响了网络的进一步发展。

保护网络中数据的完整性是网络安全的关键问题。恶意修改的数据可能会导致严重的后果。传统网络的数据完整性验证主要是利用加密和消息身份验证代码(MAC)。虽然加密的数据安全,数据只能用于解密后,这让攻击者的机会。此外,为了确保安全,加密算法利用复杂的计算指令需要额外空间来存储密钥,这无疑会增加计算负载的重大挑战,能源消耗,传感器节点的存储空间6]。文献[7]首次实现了链路层安全协议TinySec,生成4比特MAC防止数据伪造和篡改数据。尽管TinySec优化的基于网络的高度受限的资源,还有一个额外的载荷传感器节点,不容忽视。考虑到计算能力、存储空间和传感器节点有限的能源供应;该策略基于MAC和加密网络并不适用于(8]。

为了解决传统的数据完整性验证方法的缺陷,研究人员介绍了数字水印技术在网络保护数据完整性(9]。数字水印技术被广泛用于保护多媒体数字作品的版权信息和内容完整性(图像、音频和视频等)(10]。与传统的加密技术,数字水印技术具有以下四个优势: )的操作水印生成、水印嵌入、水印和提取使用轻量级计算导致能耗低;( )水印信息直接集成到网络通信的载波数据没有额外开销和网络中的节点存储容量;( 一旦加密数据进行解密,加密技术的保护失去效果,但随着宿主载体,密不可分的一部分,水印可以保证数据安全(11];( )数字水印技术可以显著降低端到端延迟引起的加密技术。根据antiattack特点,数字水印技术可以分为脆弱水印和鲁棒水印12]。鲁棒水印修改不敏感,可用于版权保护。脆弱水印对篡改是极其敏感,任何修改承运人可能导致失败的提取水印,可以用来验证数据的完整性(13]。

本文首先介绍了互联网的安全保护机制的事情。然后我们主要关注数据完整性保护物联网的感知层(网络)。数据完整性意味着接收者接收到的数据是符合由发送方发送的数据传输过程。提出了网络中各种数据的完整性保护战略,总结如下。

李等人。14]提出的RealAlert安全传感策略基于物联网的政策。战略报告适用于历史和政策规定数据收集,以确保数据的可信度和物联网设备。李和歌曲15)提出一个信托计划为车辆的临时网络(VANETs)保护VANETs收集的数据和节点。该模型可以评价数据的可信度和节点,分别。更重要的是,它还可以找到VANETs恶意节点和自己的抵抗各种攻击。Anbuchelian et al。16)应用网络的信任机制簇头的选择。基于信任机制叫萤火虫metaheuristic将改善安全,延长了网络的生命周期。

冯和Potkonjak [17)第一个实时数字水印系统实现了网络验证感知数据的完整性。该算法嵌入的数字签名加密代码到感觉到网络收集的数据。利用传感器节点的属性,允许一定误差的各种实际参数的存在,被嵌入的水印信息修改实际参数的值在允许范围内。以原子三角测量的定位过程为例,它改变了定位问题的最优解非线性方程和作者的加密签名嵌入的系数方程。然而,最优解非线性方程的局限性导致了这个方法不能被广泛使用。

郭et al。18信令转换]提出了一种新的脆弱数字水印算法,从而验证应用程序层的数据流的完整性。文献分组根据密钥和数据计算每组数据的哈希值作为水印。然后直接嵌入水印数据的最低有效位(LSB)从每组以节省带宽。该方法水印用来链接所有组,检测数据的删除,甚至整个集团。然而,战略的设计并没有把有限的能源供应和网络节点的计算能力,所以它不能直接适用于网络。卡迈勒和Juma19]提出轻量级链接水印(LWC)优化信令转换,取得高绩效。它还应用动态组大小和使用的散列值连续两组数据作为水印大幅节省计算开销而不是计算每个数据元素的散列值。

卡迈勒和Juma20.]提出FWC-D算法来解决上述两种方法固有的安全漏洞。算法首先将感觉到数据分成相同大小的组根据分隔符(感觉到的价值数据无法达到)。算法生成一个序列号为每个组SN和嵌入到集团来达到检测的目的的操作删除或添加组。数字水印是通过哈希函数通过键K组数据,和组序列号。为了避免重播攻击,该算法嵌入的水印当前组到前面的组,然后链接所有组与数字水印。

史和肖21)提出了一种新的网络数据完整性验证算法基于可逆数字水印。该算法有效地预测误差扩展应用于避免失去感知数据由于嵌入水印。然而,这种算法不仅需要计算组的大小根据预报函数也计算组中的每个数据项的散列值,大大增加了计算复杂度,所以它不适合高度网络资源受限。此外,水印嵌入过程使用的预测扩散误差扩张可能导致数据下溢和溢出。

王等人。22)提出了一个multimarked脆弱数字水印算法基于字符数据的完整性检测恶意攻击者篡改的。该算法使用链动态组大小的水印。它首先感觉到数值数据类型为字符类型,然后使用水印嵌入策略基于空白字符。在该算法中,节点的通信带宽和存储容量可以有效地保存在数据完整性保护。然而,有限数量的空白字符导致水印容量有限。

卡迈勒et al。23)提出了一种新的无损数字水印算法,适用于网络来验证感知数据的完整性。首先,算法将感觉到数据分成固定大小的组,然后使用variable-base阶乘数字系统重新感觉到的位置数据。其次,它嵌入水印信息通过感知数据组的新秩序;最后,发送者和接收者添加了一个字符串映射为每个组提供的基础重构原始数据元素,然后提取水印信息。算法没有带来任何损失感知数据和网络可以应用于有效地由于其较低的计算复杂度。

太阳et al。24)提出了一种无损数字水印策略,利用冗余空间的数据嵌入水印信息。传感器节点的感知数据的收集是重新包装;与前面的方法,水印的嵌入不导致任何修改原始感知数据。然而,这种策略仍有一定的安全漏洞,因为预订水印位的初始值是零,和水印嵌入位置相对固定,可能被攻击者利用获得感知数据。

总之,现有的网络数据完整性验证算法都是基于数字水印主要由与水印数据的LSB替换感觉到数据达到嵌入水印信息的目的。这种算法易于实现,具有较低的时间复杂度,满足高度要求的资源受限的网络在一定程度上。除此之外,大量的学者提出了许多改进的LSB算法:基于LSB算法,基于分布式LSB算法,该算法基于multiflag LSB。在某种程度上,虽然改进算法提高了安全性,水印嵌入位置可以成为一个严重的安全漏洞,这是容易受到恶意攻击者使用。此外,LSB将导致数据损失在某种程度上,这是不可接受的敏感医疗和军事等领域。更重要的是,在现有的算法,数据完整性只能验证后的到来,整个集团的数据,从而导致更大的延迟。为了解决这些问题,本文提出了一种轻量级的水印技术位置随机水印(PRW)。该算法计算动态水印的嵌入位置通过使用传感器节点的数据采集时间,这不仅提高了安全性,但也可以节省能源和实现实时数据验证。

3所示。攻击模型和方案

3.1。攻击模型

与有线网络相比,极端环境中部署的网络面临更多的威胁,更重要的是,公众通信协议采用了网络加剧了物理篡改的风险。感知节点拥有有限的计算能力和能源资源,增加安全协议设计的难度。我们总结的主要攻击模型分为五类:(一)网络数据包篡改:恶意节点添加到篡改数据包,并将干扰数据包转发的价值从而导致极其严重的后果在一些特殊的情况。(b)包伪造:恶意节点添加到网络不断伪造数据包发送给其他节点,大大提高网络流量和导致浪费能源的整个网络。(c)选择性转发:恶意节点添加到网络删除部分数据包和选择性地将一些数据包转发到目的地。数据丢失可能导致糟糕的局面,水槽节点未能作出正确的反应。(d)包回放:恶意节点添加到网络转发的数据包转发,一次或多次其他节点将造成交通拥挤和能源浪费。(e)传输延迟:恶意节点添加到网络将数据包转发比预定的时间晚,将导致这一事实滴水槽节点数据包由于时间戳。

3.2。该方案

提出了一种新的网络数据完整性保护策略基于脆弱数字水印保护感觉到数据从以上四类的攻击模式。该算法利用脆弱水印的特点修改敏感。主机数据被修改后,水印被摧毁。恶意节点的先验知识水印算法不能有效恢复真实数据。数据篡改和伪造数据是相似的,可以被视为恶意数据生成的恶意节点。恶意感觉到恶意节点生成的数据不能被验证了水印算法在达到水槽节点。该算法引入了分组序号 用于定位包添加或删除数据包。

提出的水印算法包括三个过程,即数字水印生成、数字水印嵌入和提取数字水印,如图3:首先,每个传感节点收集传感数据并生成根据脆弱水印的数字水印算法。其次,水印是合并成感觉到数据通过预定义的规则形成一个数据包传输到汇聚节点通过传输节点。包可能遭受一个不可靠的传输和面对不同类型的攻击。第三,水槽节点接收数据,然后提取水印和恢复感觉数据根据预定义的规则。恢复数据用于生成水印根据相同的算法。数据完整性验证通过比较再生水印和提取的水印。如果再生水印不一样的提取水印,数据在传输过程中被证明是回火。否则,数据证明是安全的。数字水印与数字媒体的拷贝复制,和过程是隐藏的。如果不知道预定义的方法,数字水印很难检测到。

摘要网络的简化,只有需考虑三种类型的节点:(我)传感节点负责收集数据的监控区域。(2)传输节点负责将数据传输到汇聚节点通过多次反射继电器。(3)水槽节点负责接收感觉到通过传感器节点发送的数据。

本文以下假设:传感节点的数量 ;相同的传感节点定义为节点汇聚节点附近的存在和使用相同的协议和参数节点的传感区域;收集每个传感节点感知数据同时在一个工作循环。为了提高安全性,感知数据的收集时间不是传播。靠近汇聚节点的节点发送的时间感觉数据汇聚节点收集的每一个工作循环。水槽节点设置队列保存时间根据接收订单。表1展示了主要的算法中使用的符号和参数。

定义1。在网络中,感觉到根据预定义的数据封装为一个包传输之前。一系列的感觉在每个工作循环的定义是收集的数据 , 代表一个感知数据的价值 , 代表了传感节点的工作周期 ,和工作周期 保存到数据包序列号吗

定义2。传输包来标示 。它由一个固定的数据头,包序列号 ,和一系列的感知数据元素 包的数据是存储在二进制模式。有水印的包和包表示W。接收到的数据包来标示

3.2.1之上。水印生成算法

水印生成算法使用sha - 1哈希函数计算出散列值。sha - 1哈希函数不仅保证数据完整性,但也有一个轻量级的特性,使用少65%的内存比其他的散列算法,如MD5算法,它更适用于资源受限的网络(25]。秘钥K(26)是唯一已知的特定信息的发送者和接收者。

水印生成过程描述如下:(我)连接所有的感知数据元素,收集时间t,和密钥 数据: (2)计算出散列值的变量数据表示 ,基于sha - 1哈希函数: (3)选择 从最重要的比特位 随着水印 ,根据实际的需求。

水印生成算法的详细操作步骤所示算法1

输入输入参数:
输出:水印
( )
( )数据 数据 ;
( ) ;
( ) ;
( ) =散列( );
( ) = MSB ( );
( )返回 ;
3.2.2。水印嵌入算法

提出的水印嵌入算法提高了从以下两个方面:(我)包重新设计,添加了水印,以确保m比特水印嵌入到包是透明的。它不会引起任何干涉数据,满足高精度的要求。(2)为了解决固定嵌入位置带来的漏洞,我们引入一个新的位置随机函数动态地计算水印嵌入位置,有效地解决了潜在的漏洞,大大提高了算法的安全性。

4说明了生成和嵌入机制。水印嵌入过程描述如下:(我)计算水印信息W根据算法1和更新数据包的有效载荷 (2)获取位置数组 通过收集rand()函数 ,秘密密钥 ,和num水印比特 P 代表了水印嵌入位置和感觉数据嵌入位置,分别。 需要满足公式 (3)嵌入水印 根据位置数组 根据位置和嵌入感觉到数据数组 形成一个新的分组数据包W

水印嵌入算法的详细操作步骤所示算法2:

输入输入参数:
输出:新包
( )得到水印 根据算法1;
( ) ;
( )
( ) ;
( ) = ;
( )
( ) ;
( ) = ;
( )返回 ;
3.2.3。水印提取算法

当数据包传输到汇聚节点,汇聚节点提取数字水印和恢复感知数据的信息。接收到的数据包来标示 水槽节点,传感节点共享密钥 表示为恢复包

提取和验证过程描述如下:(我)提取序列号 从收到包 (2)获得收集到的时间 从队列中存储基于水槽节点 (3)计算数组 根据函数 (iv)获得水印表示 和恢复数据包表示为 (v)重新计算水印 根据算法1 , , , (vi)比较 ;如果 等于 ,数据完整性验证;否则,数据被破坏。

5说明了提取和验证机制。水印提取算法的详细操作步骤所示算法3:

输入输入参数:
输出:完整性验证结果
( )指数 ;
( ) ;
( ) ;
( )
( ) ;
( ) ;
( )
( ) ;
( ) = ;
( )
( )数据 数据 ;
( ) ;
( ) ;
( ) 散列( );
( ) 最高有效位( );
( )如果 然后
( )返回(完整性不变);
( )其他的
( )返回(完整性破坏);

4所示。安全分析

恶意节点添加到网络可以发动各种攻击基于前面提到的攻击模型。攻击通常发生在传输。一个攻击应该是成功如果水槽节点不能探测感知数据的修改。在本节中,我们将讨论如何提出的水印算法抵抗各种攻击。

4.1。修改
以下4.4.1。修改一个数据元素

如果攻击者只是修改一个数据元素和嵌入的水印保持不变。水槽节点可以提取的水印信息和恢复错误的数据元素根据提取算法。一个数据元素的修改可能会导致错误的散列值和错误的重新计算水印提取的水印不匹配。水槽节点将拒绝修改后的数据包。如果修改多个数据元素攻击,结果是相似的。

4.1.2。修改嵌入水印

如果攻击者修改嵌入的水印数据元素保持不变,这可能导致错误的提取水印和重新计算水印,导致认证失败。

4.1.3。修改SN

我们假设攻击者修改序列号 更改的 导致错误的水槽收集时间节点。它会影响提取水印和恢复感觉数据因为错误的收集时间会导致错误的嵌入位置。重新计算水印和提取的水印不一致。水槽节点将拒绝修改后的数据包。

4.2。插入/删除
4.2.1。准备插入/删除元素的包

当数据包到达时,水池节点检查它的长度。无论一个元素或多个元素被插入到数据包,数据包的长度不符合要求,导致这包的拒绝。类似于插入删除元素,所以它不是这里讨论的细节。

4.2.2。整个包的插入/删除

收集的时间和发送方和接收方的密钥是已知的但不知道攻击者。如果攻击者删除一个或多个数据包,水槽节点可能找到这些数据包根据 没有知识的收集时间和秘密密钥,攻击者很难得到正确的位置和嵌入水印,所以攻击不能生成满足要求的数据包。插入的数据包到达汇聚节点时,他们不能被验证成功,被拒绝。

以上分析足以证明该算法能抵抗各种攻击的网络,如修改、插入和删除。它也适用于场景的组合。证明该算法能保证网络的数据的完整性。

5。实验结果

本文中使用的实验数据是真正的感觉到英特尔伯克利研究实验室收集的数据,其中包含湿度数据,温度数据,光强度数据和电压数据,和时间来获取这些数据。然而,不同类型的感知数据的收集时间是不一样的。为了节省大量的计算,假设所有类型的数据收集在一个工作周期中使用相同的时间。

我们使用网络模拟器Ns-2实现仿真实验评估了PRW算法的性能。Ns-2是开源仿真平台,模拟离散事件。它在学术界被广泛使用,因为它可伸缩的特性。表2显示了重要的符号和参数模拟。

为了更好的节约能源,使用S-MAC协议设计实验。S-MAC协议是专为资源受限的网络。它具有节能特性,因为它实现了low-duty-cycle操作和定期听和睡觉。

在仿真实验中,设置了网络的覆盖范围 附近有1水槽节点,传感节点水槽节点,8传感节点、80传输节点,和10攻击者节点随机分布在传感领域,和传感节点的总数是100。在每个数据包,数据包字节数据包报头,2字节 ,字节冗余空间,8个字节的数据元素。每个模拟的持续时间设置为200秒。每个模拟随机选择200包作为实验样本。20模拟的平均值作为结果数据。

我们进行两组实验。在实验中选择的 ,我们的目标是选择正确的参数 达到最小的最佳实验结果计算负载。在实验antiattack,我们验证的antiattack能力五个常见的攻击方法。其余的实验比较嵌入容量,能源消耗,延迟,检出率与现有的LSB信令转换方法(18],LWC [19],FWC-D [20.],multimark [22),分别以证明我们的算法具有更好的性能比基线。

5.1。的选择

的参数 表明水印。为了选择适当的参数 符合安全要求,不会导致更高的假阳性率,我们选择三个参数的值 2、4、8。实验介绍了检出率,概率算法成功地检测到干扰包。它被定义为 在哪里 是破坏数据包,提取的水印的数量不匹配重新计算水印和 是所有数据包的数量到达水槽节点。

实验结果如图所示6。从实验结果可以得出结论,更大的值的参数 对应于较高的检出率和算法拥有更高的安全性。当参数 2,检测率迅速下降,因为水印容量太小,不能有效地检测干扰包。参数的适当选择 确保高安全性和高的性能提出的水印算法。

5.2。Antiattack

10攻击者节点利用各种攻击来验证antiattack我们算法的能力。五个攻击数据包篡改伪造数据包,选择性转发数据包回放和传输延迟,分别执行。每个攻击的测试重复50次,和实验结果显示在表3

根据实验结果,我们提出的算法有效地抵抗一些常见的攻击。前三个攻击,包篡改,包伪造、选择性转发,攻击不会计算正确的水印信息,所以我们的水印策略不能从数据包中提取正确的水印信息和数据完整性认证失败。最后两个攻击数据包回放和隐蔽传输延迟,可以逃避现有的项目,但是我们的算法将序列号和收集时间有效地检测这两种攻击和达到期望的结果。

5.3。嵌入容量

实验结果如图所示7清晰的显示了该算法的优越性的嵌入容量相比LSB (18- - - - - -20.]和multimark [22]。嵌入的水印位(LSB)最低不仅限制了水印嵌入容量,但也会影响数据的完整性是致命的高精度的应用程序。Multimark [22可以保证数据的准确性,但空白字符的数量有限,限制了水印容量。

5.4。能源消耗

感知节点使用电池为能源,能源消耗直接决定了感知节点的生命周期。感知节点的主要能源消耗主要包括数据收集、水印生成和嵌入,数据传输和数据转发,成本最高的能量。

本文的数据包是固定的,所以水印的嵌入不增加额外的存储开销和传输开销。该方法不会引起任何干扰由于水印嵌入到原始数据冗余的位置。实验结果如图所示8,这清楚地显示了该算法可以节省更多的能量比LSB算法(18- - - - - -20.]和multimark [22]。

5.5。平均延迟

网络延迟造成的算法主要包括计算、水印的嵌入、提取和验证。拟议中的PRW应用单向散列函数sha - 1算法用轻量级特性。与其他如MD5散列算法相比,sha - 1可以计算速度更快,节省更多的存储空间和精力。因此水印一代PRW节省更多的时间比之前的水印方案。虽然[9)也使用sha - 1, 160位的数据嵌入到数据包传输负荷大大增加。它不仅消耗更多的能量,但也增加了传输延迟。实验结果如图所示9,这清楚地表明,该算法减少了算法提出了延迟超过LSB (18- - - - - -20.]和multimark [22)将提高网络的响应时间。

5.6。检测率

由于无线通信的干扰问题,嵌入的水印可能会不自觉的影响,和完整性验证可能会失败数据包到达时没有攻击水槽节点,称为假阳性检测。

我们进行了几个仿真实验比较PRW之间的检出率和先前的LSB算法(18- - - - - -20.]和multimark [22]。我们测量的假阳性检出率与不同数量的活着网络中的节点。实验结果如图所示10,这清楚地表明,该算法降低了误判率比现有的算法。我们可以看到从图10的假阳性率约为0.8% 80%的传感器节点是活着的时候,它的20%降至0.2%,如果节点是活着。所以我们需要调整报警阈值的基础上动态地活着了网络中节点的数量。

6。结论

在本文中,一个先进的随机数字水印算法的物联网感知层的数据完整性。该算法可以有效防止各种攻击,如包伪造攻击,数据包转发攻击,包篡改攻击,包重播攻击,封包延迟传播引起的恶意节点的攻击。此外,该算法有效地解决了现有技术的缺点。它不仅简化了计算复杂度,提高验证效率和安全,也保证了可逆水印提取和无损的恢复数据。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是由美国国家科学基金会支持的中国(批准号61501132,批准号61370084),中国博士后科学基金会(没有。2016 m591515),黑龙江省博士后基金(没有。LBH-Z14055),哈尔滨应用技术研究与开发项目(批准号2016 raqxj063,批准号2016 raxxj013)。