CN109302424A - 传感器网络簇头监视节点秘密选择协议 - Google Patents

Abstract

本发明提供一种传感器网络簇头监视节点秘密选择协议，包括：步骤1、在簇头节点O确定之后，由簇头节点O发起节点群构建子协议，建立节点群；步骤2、各节点在明确备选节点身份后，发起令牌生成子协议，建立其所持有令牌集；步骤3、节点群中序列号最小的备选节点发起节点秘密选择子协议，结合各备选节点所持有令牌集确定下一个监视周期中的簇头监视节点；步骤4、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其令牌集；步骤5、重复执行步骤3至步骤4；步骤6、在监视周期内，若簇头节点失去簇头地位，簇头节点发起节点群撤消子协议，协议中止。本发明能够极大地增加攻击者的攻击难度，从而提高网络安全性能。

Description

传感器网络簇头监视节点秘密选择协议

技术领域

本发明涉及传感器网络技术领域，尤其涉及一种传感器网络簇头监视节点秘密选择协议。

背景技术

低功耗自适应集簇分层型(Low Energy Adaptive Clustering Hierarchy；LEACH)协议，是一种无线传感器网络路由协议。该协议的基本思想是：以循环的方式随机选择簇头节点，将整个网络的能量负载平均分配到每个传感器节点中，从而达到降低网络能源消耗、提高网络整体生存时间的目的。

LEACH在运行过程中不断的循环执行簇的重构过程，每个簇重构过程可以用回合的概念来描述。每个回合可以分成两个阶段：簇的建立阶段和传输数据的稳定阶段。为了节省资源开销，稳定阶段的持续时间要大于建立阶段的持续时间。簇头节点的选择依据网络中所需要的簇头节点总数和迄今为止每个节点已成为簇头节点的次数来决定。具体的选择办法是：每个传感器节点随机生成0-1之间的一个值，若传感器节点生成的随机值小于某一个阈值，那么该节点成为簇头节点。选定簇头节点后，簇头节点通过广播告知整个网络。网络中的其他节点根据接收信息的信号强度决定从属的簇，并通知相应的簇头节点，完成簇的建立。最后，簇头节点采用TDMA/CDMA方式为簇中每个节点分配向其传递数据的时间点。稳定阶段中，传感器节点将采集的数据传送到簇头节点。簇头节点对簇中所有节点所采集的数据进行信息融合后再传送给汇聚节点，这是一种较少通信业务量的合理工作模型。稳定阶段持续一段时间后，网络重新进入簇的建立阶段，进行下一回合的簇重构，不断循环，每个簇采用不同的TDMA/CDMA方式进行通信来减少其他簇内节点的干扰。

LEACH协议的选择结果对于用户和攻击者都是公开的。LEACH选择节点的标准是网络中所需要的此类节点总数和迄今为止每个节点已成为此类节点的次数，并且最终还需要公开选择结果。这虽然方便了用户选择，但是也便于攻击者确定攻击目标。

现有传感器网络所采用的簇头节点选择算法，往往只是着眼于延长网络生命周期、节约节点能量。然而，作为簇内节点数据汇集节点，簇头节点自然成为攻击目标。由于传感器网络节点经常部署在管理者并不完全物理控制的环境中，难以确保传感器节点不被攻击者所控制。一旦簇头节点被攻击者所控制，将对传感器网络的整个安全造成影响。

图4描述一种可能的攻击场景。为了确保贵重物品不被窃取，人们在物品周围部署了若干压力、位置、红外等多类型传感器节点(图1中圆圈代表传感器节点)，收集物品周围环境的变化，感知物品非法移动、不明物体非法侵入等异常事件。这些传感器节点所感知的数据需要通过簇头节点向上汇集(簇头节点如图阴影圆圈所示)。由于传感器网络内消息通常都是公开的，攻击者能够容易的探知簇头节点的位置，并对其实施控制，甚至上报虚假数据，从而使传感器网络无法感知可能导致贵重物品被窃取的异常事件。

发明内容

为了解决特殊场景下传感器网络无法感知异常事件的技术问题，本发明提供一种传感器网络簇头监视节点秘密选择协议，增强传感器网络的整体安全性。

本发明提供的一种传感器网络簇头监视节点秘密选择协议，包括如下步骤：

步骤1、在簇头节点O确定之后，由所述簇头节点O发起节点群构建子协议，建立节点群，所述节点群指所有参与簇头监视节点选择的备选节点集合，每个备选节点设置有一活动节点集，所述活动节点集记录有所有备选节点的节点信息，所述节点信息包括序列号；

步骤2、传感器网络中的各节点在明确备选节点身份后，发起令牌生成子协议，建立其所持有令牌集；

步骤3、节点群中序列号最小的备选节点发起节点秘密选择子协议，结合各备选节点所持有令牌集确定下一个监视周期中的簇头监视节点；

步骤4、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；

步骤5、重复执行步骤3至步骤4；

步骤6、在监视周期内，若簇头节点失去簇头地位，簇头节点发起节点群撤消子协议，协议中止。

进一步地，所述步骤4还包括：

在监视周期内，若新节点需要加入节点群，新节点发起节点增加子协议；

在监视周期内，若节点需要退出节点群，待退群节点发起节点退出子协议。

进一步地，所述步骤4还包括：

在监视周期即将结束时，节点群中序列号最小的备选节点检查是否到群维护周期，若已到群维护周期，由其发起节点群维护子协议。

进一步地，所述节点群构建子协议包括：

步骤1.1、簇头节点O广播消息Msg(Init,ID_O,Mdata)，其中，Mdata是监视簇头节点所必需的信息；

步骤1.2、收到所述消息Msg(Init,ID_O,Mdata)的备选节点ID_i增加发射功率，广播其加入簇头监视节点选择的消息Msg(Init-R,ID_O,ID_i)；

步骤1.3、同时接收到所述消息Msg(Init,ID_O,Mdata)和所述消息Msg(Init-R,ID_O,ID_i)的节点将ID_i记录在其所持有活动节点集中。

进一步地，所述令牌生成子协议包括：

步骤2.1、各备选节点清空其所持有的令牌集Token，并各自继续完成下列动作；

步骤2.2、根据预先约定的令牌数量与能量水平之间的映射规则，确定所持有令牌数量为s，其中s_down≤s≤s_up，s_down为预设令牌数量下限值，s_up为预设令牌数量上限值；

步骤2.3、生成随机数random，并计算k＝random mod n，n为备选节点总数；

步骤2.4、将k加入令牌集Token＝{k}；

步骤2.5、检测当前时刻所述令牌集中的令牌数量，若令牌数量未达到s，继续生成随机数random’，并计算k’＝random’mod n；

步骤2.6、若k’与所述令牌集中其它令牌均不相同，将k’加入所述令牌集，否则返回步骤2.5，重新计算k’；

步骤2.7、重复步骤2.5和步骤2.6，直至所述令牌集中的令牌数量达到s个。

进一步地，所述节点秘密选择子协议包括：

步骤3.1、节点群中序列号最小的备选节点ID₁随机生成一段字符串str₁，封装成节点秘密选择消息Msg(Sel,ID_O,ID₁,str₁)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID₁,str₁)；

步骤3.2、待间隔时间T后，节点群中序列号次小的节点ID₂随机生成一段字符串str₂，封装成节点秘密选择消息Msg(Sel,ID_O,ID₂,str₂)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID₂,str₂)；

步骤3.3、依此类推，每间隔时间T后，根据序列号大小，备选节点ID_i随机生成一段字符串str_i，封装成节点秘密选择消息Msg(Sel,ID_O,ID_i,str_i)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID_i,str_i)，i＝3,4,……,n，n为备选节点总数；

步骤3.4、每个备选节点收集所有备选节点生成的字符串得到新字符串str＝str₁||str₂||…||str_n，其中||为字符串拼接操作；

步骤3.5、每个备选节点计算下一个监视周期的工作令牌token＝hash(str)modn，token即为秘密选择结果，各备选节点查看所述token是否命中其所持有令牌集中的令牌，若命中，则表示由其作为下一个监视周期中的簇头监视节点。

进一步地，所述节点群撤消子协议包括：

步骤4.1、簇头节点O发送节点群撤消消息Msg(Exit,ID_O)；

步骤4.2、所有接收到所述节点群撤消消息Msg(Exit,ID_O)的备选节点，将清除其所持有令牌集和活动节点集，监视任务中止。

进一步地，所述节点增加子协议包括：

步骤5.1、新节点X向簇头节点O发送入群请求消息Msg(Entry,ID_O,IDx)；

步骤5.2、簇头节点O在收到所述入群请求消息Msg(Entry,ID_O,IDx)后，广播响应消息Msg(Entry-R,ID_O,ID_X,MData)，其中，MData是监视簇头节点所必需的信息；

步骤5.3、当前监视周期中的簇头监视节点，监视簇头节点是否正确响应新节点X的所述入群请求消息Msg(Entry,ID_O,IDx)，若簇头节点正常工作，簇头监视节点无其它操作，否则发出警报；

步骤5.4、节点群中各备选节点接收到所述响应消息Msg(Entry-R,ID_O,IDx,MData)后，将新节点IDx信息记录在本地；

步骤5.5、在下一个监视周期的簇头监视节点秘密选择前，节点群中各备选节点根据本地所记录的信息，查验在当前监视周期内，是否出现新节点，若存在，将所述新节点添加到其所持有活动节点集中。

进一步地，所述节点退出子协议包括：

步骤6.1、待退群节点ID_T向簇头节点O发送退群请求消息Msg(Quit,ID_O,ID_T,flag)，其中，flag表示待退群节点ID_T是否为当前监视周期中的簇头监视节点，所述待退群节点指备选节点ID_T不再参与簇头监视节点选择；

步骤6.2、簇头节点O在收到所述退群请求消息Msg(Quit,ID_O,ID_T,flag)后，广播响应消息Msg(Quit-R,ID_O,ID_T,flag)；

步骤6.3、当前监视周期内的簇头监视节点，监视簇头节点是否正确响应待退群节点ID_T的所述退群请求消息Msg(Quit,ID_O,ID_T,flag)，若簇头节点正常工作，簇头监视节点无其它操作；

步骤6.4、节点群中各备选节点接收到所述响应消息Msg(Quit-R,ID_O,ID_T,flag)，各备选节点根据所述flag确定待退群节点ID_T是否为当前监视周期中的簇头监视节点；若是，则立即更新其活动节点集，重新秘密选择簇头监视节点；若不是，则记录待退群节点ID_T信息，延迟至下一个监视周期开始前更新其活动节点集。

进一步地，所述节点群维护子协议包括：

步骤7.1、发起的备选节点增加发射功率，广播群维护消息Msg(Act,ID_O，ID₁)；

步骤7.2、接受到所述群维护消息Msg(Act,ID_O，ID₁)的备选节点ID_j，依序列号广播消息Msg(Act-R,ID_O,ID_j)，j＝2,3,4,……,n，n为备选节点总数；

步骤7.3、簇头节点整理所有节点，广播群维护消息Msg(Act-S,ID_O,{ID₁,ID₂,…,ID_n)}；

步骤7.4、各备选节点，根据所接收的各种消息，更新其所持有活动节点集。

本发明的有益效果：

本发明提供的传感器网络簇头监视节点秘密选择协议，其核心是除了目标节点外，其它节点均不知晓选择结果。这一特性保证了：在针对簇头节点实施监视的同时，攻击者无法有效缩小攻击目标范围。攻击者为了避免控制簇头节点的行为被暴露，必须也对簇头监视节点实施攻击。簇头监视节点只需要潜伏的收集簇头节点接收和上报数据即可完成监视，所以攻击者无法从监视行为这个角度来发现簇头监视节点，从而在整体上提高了传感器网络的安全性。

附图说明

图1为本发明实施例提供的传感器网络簇头监视节点秘密选择协议的流程示意图；

图2为本发明实施例提供的传感器网络簇头监视节点秘密选择协议的原理示意图；

图3为本发明实施例提供的发射功率调整原因示意图；

图4为特定场景下的攻击场景示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

传感器网络：是由许多在空间上分布的自动装置组成的一种计算机网络，这些装置使用传感器协作地监控不同位置的物理或环境状况(比如温度、声音、振动、压力、运动或污染物)。无线传感器网络的发展最初起源于战场监测等军事应用。而现今无线传感器网络被应用于很多民用领域，如环境与生态监测、健康监护、家庭自动化、以及交通控制等。

簇头节点：在传感器网络中，往往将网络划分为若干个区域，每个区域拥有一个或少数几个节点，负责收集本区域(也称簇)内的感知数据，并向上提交汇集，所述一个或少数几个节点称为簇头节点。

簇头节点选择算法：在传感器网络中，并不是由某个节点固定担任簇头节点，而是基于某种原则构建一个算法，根据该算法在一段时间内从所有候选节点中选择某个节点作为簇头节点，这个算法就是簇头节点选择算法。

LEACH算法：是以循环的方式随机选择簇头节点，将整个网络的能量负载平均分配到每个传感器节点中，从而达到降低网络能源消耗、提高网络整体生存时间的目的。

簇头监视节点：本发明专有名词。现有传感器网络选择簇头节点往往基于延长网络生命周期、节约节点能量消耗的考虑。然而，作为簇内数据汇集节点，簇头节点容易成为攻击目标。发现簇头节点可能存在的异常就十分必要。簇头监视节点是专门用于监视簇头节点的传感器节点，它通过采集和分析簇头节点接收和发送的数据，发现簇头节点可能的异常行为。

邻居节点：某传感器节点附近的其它传感器节点，这些节点能够接收该节点广播的消息。通常情况下，簇头节点的邻居节点都可能是簇头监视节点。

备选节点：本发明专有名词。参与秘密选择簇头监视节点的传感器节点，一般都是簇头节点的邻居节点。

冗余监视：本发明专有名词。多个节点同时对簇头节点实施监视的方法被称为冗余监视。

活动节点集：本发明专有名词。备选节点记录的参与当前监视活动的节点的集合，即所述活动节点集记录有所有备选节点的节点信息，所述节点信息主要包括节点的序列号。

结合图2，本发明提供的传感器网络簇头监视节点秘密选择协议的发明构思如下：一般将簇头节点的邻居节点视为备选节点(如图2中斜线填充圆圈和网格填充圆圈)。本发明并不希望所有的邻居节点都参与簇头节点异常情况的检测，因为这会造成所有邻居节点的能量开销。当然，本发明也并不希望簇头节点自己完成异常情况检测，因为其一旦被攻击者控制就很难如预期那样实施检测。本发明希望在备选节点中，采用某种原则选择某些节点作为簇头监视节点(如图2中网格填充圆圈)。一旦簇头监视节点发现簇头节点存在异常，就发出警报消息，以警示网络内其它节点。为了避免簇头监视节点本身成为攻击目标，关键要保证：任何备选节点以及簇头节点并不知道当前哪些节点是簇头监视节点。本发明希望从邻居节点中秘密选择某些节点参与攻击事件的检测，使得攻击者无法探知当前哪些节点正在监视簇头节点，无法缩小攻击目标的范围。

簇头节点秘密选择协议的设计目标：首先，簇头节点秘密选择协议要保证选择的节点不被可能被攻击者所控制的簇头节点或其它邻居节点所获知，只有这样才能保证攻击者无法轻易绕开监视。其次，簇头节点秘密选择协议必须适应邻居节点的动态加入和退出。在大多数节点部署方案下，无法确保节点是不可移动或者变化的。再次，攻击者即使控制簇头节点和少量邻居节点，也无法影响簇头监视行为的实施。最后，簇头节点秘密选择协议不能要求传感器节点进行频繁的计算或者通信，因为这会使得传感器节点的能量开销增加，使整个网络生命周期下降。总结簇头节点秘密选择协议的设计目标如下：

(1)除了被选择节点，簇头节点和备选节点无法获知对簇头节点实施监视的节点；

(2)适应备选节点动态增加或减少的情形；

(3)簇头节点或少量备选节点被攻击，不影响簇头监视行为的实施；

(4)不需要节点完成复杂的计算和频繁的通信。

在上述设计目标引导下，本发明提出传感器网络簇头监视节点秘密选择协议。图1为本发明实施例提供的传感器网络簇头监视节点秘密选择协议的流程示意图。如图1所示，该协议包括以下步骤：

S101、在簇头节点O确定之后，由所述簇头节点O发起节点群构建子协议，建立节点群，所述节点群指所有参与簇头监视节点选择的备选节点集合，每个备选节点设置有一活动节点集，所述活动节点集记录有所有备选节点的节点信息，所述节点信息包括序列号；

S102、传感器网络中的各节点在明确备选节点身份后，发起令牌生成子协议，建立其所持有令牌集；

S103、节点群中序列号最小的备选节点发起节点秘密选择子协议，结合各备选节点所持有令牌集确定下一个监视周期中的簇头监视节点；

S104、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；

S105、重复执行步骤3至步骤4；

S106、在监视周期内，若簇头节点失去簇头地位，簇头节点发起节点群撤消子协议，协议中止。

具体地，所述节点群构建子协议用于簇头节点确定后，构建节点群。所述令牌生成子协议用于当节点群发生变化时或者进入下一个监视周期时，为备选节点生成新的令牌集。所述节点秘密选择子协议用于在当前监视周期结束时，从所有备选节点中秘密选择下一个监视周期中的簇头监视节点。所述节点群撤消子协议用于簇头节点被撤消后，撤消节点群。

由于传感器节点制造成本限制以及往往部署在危险环境下，单个传感器节点的安全性很难得到保证，本发明实施例提供的传感器网络簇头监视节点秘密选择协议，除了选中的目标节点外，其它节点均不知晓选择结果。本发明实施例基于秘密选择的原则，从若干个备选节点中，选择少量节点成为簇头监视节点。由于攻击者无法获知当前簇头监控节点信息，要绕开对簇头节点的监视，必须控制大量潜在成为簇头监视节点的传感器节点，从而提高其攻击难度。

在上述实施例的基础上，该协议中的步骤4还包括：在监视周期内，若新节点需要加入节点群，新节点发起节点增加子协议；在监视周期内，若节点需要退出节点群，待退群节点发起节点退出子协议。

具体地，本发明实施例的步骤具体如下：

S201至S203：分别同步骤S101至S103；

S204、进入监视周期，在监视周期内，若新节点需要加入节点群，新节点发起节点增加子协议；若节点需要退出节点群，待退群节点发起节点退出子协议；在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；

S205、重复执行步骤S203至步骤S204；

S206、同步骤S106。

具体地，所述节点增加子协议用于当簇头节点出现新的邻居节点时，将新节点添加到备选节点群中。所述节点退出子协议用于当某个节点因为失效等原因无法担负监视任务时，将该节点从节点群中删除。

在上述各实施例的基础上，该协议中的步骤4还包括：在监视周期即将结束时，节点群中序列号最小的备选节点检查是否到群维护周期，若已到群维护周期，由其发起节点群维护子协议。

具体地，本发明实施例的步骤具体如下：

S301至S303：分别同步骤S101至S103；

S304、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；以及，在监视周期即将结束时，节点群中序列号最小的备选节点检查是否到群维护周期，若已到群维护周期，由其发起节点群维护子协议。需要说明的是，本步骤中的两个操作，二者可以并行进行，也可先执行其中一个操作，再执行另一个操作，二者没有固定的先后顺序。

S305、重复执行步骤S303至步骤S304；

S306、同步骤S106。

作为另一个可实施方式，本发明实施例中的步骤S304为：进入监视周期，在监视周期内，若新节点需要加入节点群，新节点发起节点增加子协议；若节点需要退出节点群，待退群节点发起节点退出子协议；在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；以及，在监视周期即将结束时，节点群中序列号最小的备选节点检查是否到群维护周期，若已到群维护周期，由其发起节点群维护子协议。

考虑到无线传感的不可控性，节点群维护子协议用于在固定周期后确定备选节点的状态。

下面对上述各实施例中涉及到的各子协议(节点群构建子协议、令牌生成子协议、节点秘密选择子协议、节点增加子协议、节点退出子协议、节点群维护子协议以及节点群撤消子协议)进行具体介绍。其中：

所述节点群构建子协议包括：

步骤1.1、簇头节点O广播消息Msg(Init,ID_O,Mdata)，其中，Mdata是监视簇头节点所必需的信息；

步骤1.2、收到所述消息Msg(Init,ID_O,Mdata)的备选节点ID_i增加发射功率，例如，使发射半径增加一倍，广播其加入簇头监视节点选择的消息Msg(Init-R,ID_O,ID_i)；

步骤1.3、同时接收到所述消息Msg(Init,ID_O,Mdata)和所述消息Msg(Init-R,ID_O,ID_i)的节点将ID_i记录在其所持有活动节点集中。

具体地，节点群是指所有参与簇头监视节点选择的传感器节点集合。本发明称节点群中的节点为备选节点。理论上，簇头节点的邻居节点都是备选节点。当然，一些邻居节点因为能量开销等问题，也可能不属于备选节点，也不会纳入到节点群中。

节点群构建子协议的应用时机是：当簇头节点被选定后，在簇头监视节点选择前，对参与秘密选择的节点范围进行明确。当然，此时簇头节点可能已经被攻击者所控制。不过，本发明假设簇头节点在节点群建立时是可信的。对于簇头节点建立时的可信考察，可以借助簇间监视方案来实施，本发明不对此做讨论。

本子协议操作结束后，簇头节点首先触发令牌生成子协议，各备选节点生成令牌集，然后触发节点秘密选择子协议，开始选择簇头监视节点。

所述令牌生成子协议包括：

步骤2.1、各备选节点清空其所持有的令牌集Token，并各自继续完成下列动作；

步骤2.2、根据预先约定的令牌数量与能量水平之间的映射规则，确定所持有令牌数量为s，其中s_down≤s≤s_up，s_down为预设令牌数量下限值，s_up为预设令牌数量上限值；

步骤2.3、生成随机数random，并计算k＝random mod n，n为备选节点总数；

步骤2.4、将k加入令牌集Token＝{k}；

步骤2.5、检测当前时刻所述令牌集中的令牌数量，若令牌数量未达到s，继续生成随机数random’，并计算k’＝random’mod n；

步骤2.6、若k’与所述令牌集中其它令牌均不相同，将k’加入所述令牌集，否则返回步骤2.5，重新计算k’；

步骤2.7、重复步骤2.5和步骤2.6，直至所述令牌集中的令牌数量达到s个。

具体地，子协议假设条件：各节点已经知晓下一轮参与监视节点的数量为n，提前约定各节点持有令牌上限为s_up，下限是s_down。

令牌是一个整数，代表节点成为簇头监视节点的可能。例如：当前秘密选择的结果是下一轮(即下一个监视周期)秘密监视节点的令牌是6，那么持有6这个令牌的节点将成为簇头监视节点。每个节点要求持有多个令牌，节点与节点之间可以持有相同的令牌。例如节点A持有令牌2和3，节点B持有令牌1和3，当秘密选择结果是令牌3时，那么节点A和B均成为下一轮秘密的簇头监视节点。这种同时有多个节点实施监视，本发明称之为冗余监视。

冗余监视有其必要性。理论上，当n个节点参与秘密监视(即有n个备选节点)，令牌范围是从1到n，每个节点持有1个令牌，只要各令牌不重复，那么就可以保证每次监控都有一个节点负责。但是这种情况过于理想，难以得到保证。首先，如果要保证每个节点只持有一个与他人不重复的令牌，还必须保证其它节点不知晓其持有的令牌，其通信代价和计算代价过于高昂。而传感器节点的低能量开销要求并不能满足这样条件。其次，即使存在这样的方法，使得每个节点都理想的持有一个令牌，仍然无法满足要求。由于簇头监视节点本身也是可能被攻击者控制的，那么攻击者就可以利用获知当前轮监视是否由其控制节点完成，如果是，那么攻击者就可以对簇头节点实施攻击而不被发现。所以本发明采用多节点重复持有同一令牌，通过冗余监视的方式来避免上述情况。

为了使能量水平已经处于较低的节点减少能量开销，可以有意识减少低能量水平节点承担监视任务的概率。即可以设置单个节点所持有令牌数量的上限和下限，通过调整令牌数量来改变节点被选中的概率。当节点能量水平正常时，可以持有上限数量的令牌。随着时间推移，节点能量逐渐消耗后，可以按预先约定的规律，减少其持有的令牌数量，直至下限值。当其能量水平低于某个阈值，不再担负簇头节点监视任务，此时由节点退出子协议完成该节点的退出。

所述节点秘密选择子协议包括：

步骤3.1、节点群中序列号最小的备选节点ID₁随机生成一段字符串str₁，封装成节点秘密选择消息Msg(Sel,ID_O,ID₁,str₁)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID₁,str₁)；

步骤3.2、待间隔时间T后，节点群中序列号次小的节点ID₂随机生成一段字符串str₂，封装成节点秘密选择消息Msg(Sel,ID_O,ID₂,str₂)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID₂,str₂)；

步骤3.3、依此类推，每间隔时间T后，根据序列号大小，备选节点ID_i随机生成一段字符串str_i，封装成节点秘密选择消息Msg(Sel,ID_O,ID_i,str_i)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel,ID_O,ID_i,str_i)，i＝3,4,……,n，n为备选节点总数；

步骤3.4、每个备选节点收集所有备选节点生成的字符串得到新字符串str＝str₁||str₂||…||str_n，其中||为字符串拼接操作；

步骤3.5、每个备选节点计算下一个监视周期的工作令牌token＝hash(str)modn，token即为秘密选择结果，各备选节点查看所述token是否命中其所持有令牌集中的令牌，若命中，则表示由其作为下一个监视周期中的簇头监视节点，否则在下一个监视周期中进入潜伏状态。

具体地，该子协议假设条件：设参加秘密选择的节点群包含的节点数量为n，簇头节点编号为ID_O，参与选择的节点都拥有唯一序列号以及令牌集合，各节点约定轮流发送消息的时间间隔为T，并知晓参与选择的各节点及其序列号。

节点秘密选择子协议将在每个监视周期完毕时，从所有备选邻居节点中秘密选择下一轮簇头节点监视节点(即簇头监视节点)。要求选择过程中，即使攻击者控制了簇头节点或者少量备选节点，也无法获知下一轮簇头监视节点的信息。

需要说明的是：(1)为了保证节点群中的节点均收到节点秘密选择消息Msg(Sel,ID_O,ID_i,str_i)，各节点必须增加发射功率。如图3所示，正常情况下，节点消息的发射半径(如图3中实线所示)，所以簇头节点(图3中阴影节点)的邻居节点1，2，3，4，5和6均为节点群中备选节点。如果节点1和节点5需要交换消息，节点1和节点5之间的距离(如图3中虚线表示)，已超出正常的通信距离，所以必须增加发送功率以增加消息传送距离。

(2)如果在时间间隔T到达后，按序列号排序的节点没有发送消息，则默认该节点因为某种情况(如能量耗尽)“丢失”，在下一个时间间隔T到达后，则由下一个序列号的节点按上述协议流程正常发送。

(3)由于无线网络的不可靠，可能存在有的节点没有收集到所有节点的节点秘密选择消息，从而使得计算下一个监视周期的令牌的输入不一样。但是根据令牌的生成方法来看，这种误差并不会影响监视行为整体的安全性。

所述节点群撤消子协议包括：

步骤4.1、簇头节点O发送节点群撤消消息Msg(Exit,ID_O)；

步骤4.2、所有接收到所述节点群撤消消息Msg(Exit,ID_O)的备选节点，将清除其所持有令牌集和活动节点集，监视任务中止。

具体地，当簇头节点不再担任簇头时，将撤消对该簇头节点的监视任务。节点群撤销子协议由簇头节点发起，由簇头监视节点确保其正确行为。一旦执行节点群撤销子协议，所有备选节点将停止监视任务。

所述节点增加子协议包括：

步骤5.1、新节点X向簇头节点O发送入群请求消息Msg(Entry,ID_O,IDx)；

步骤5.2、簇头节点O在收到所述入群请求消息Msg(Entry,ID_O,IDx)后，广播响应消息Msg(Entry-R,ID_O,ID_X,MData)，其中，MData是监视簇头节点所必需的信息；

步骤5.3、当前监视周期中的簇头监视节点，监视簇头节点是否正确响应新节点X的所述入群请求消息Msg(Entry,ID_O,IDx)，若簇头节点正常工作，簇头监视节点无其它操作，否则发出警报；

步骤5.4、节点群中各备选节点接收到所述响应消息Msg(Entry-R,ID_O,IDx,MData)后，将新节点IDx信息记录在本地；

步骤5.5、在下一个监视周期的簇头监视节点秘密选择前，节点群中各备选节点根据本地所记录的信息，查验在当前监视周期内，是否出现新节点，若存在，将所述新节点添加到其所持有活动节点集中。

具体地，当新的传感器节点被部署到簇头节点O附近，成为簇头节点的邻居节点，该节点也具备成为簇头监视节点的资格。为了将新的节点纳入到备选节点群中，设计该节点增加子协议。该子协议的核心是将新增加传感器节点的信息添加到各节点的活动节点集中。在此子协议中，簇头节点担负广播新增加节点信息的任务，而此时簇头节点可能存在被控制的可能，所以子协议要求簇头监视节点保证簇头节点正确的广播消息。

所述节点退出子协议包括：

步骤6.1、待退群节点ID_T向簇头节点O发送退群请求消息Msg(Quit,ID_O,ID_T,flag)，其中，flag表示待退群节点ID_T是否为当前监视周期中的簇头监视节点，所述待退群节点指备选节点ID_T不再参与簇头监视节点选择；

步骤6.2、簇头节点O在收到所述退群请求消息Msg(Quit,ID_O,ID_T,flag)后，广播响应消息Msg(Quit-R,ID_O,ID_T,flag)；

步骤6.3、当前监视周期内的簇头监视节点，监视簇头节点是否正确响应待退群节点ID_T的所述退群请求消息Msg(Quit,ID_O,ID_T,flag)，若簇头节点正常工作，簇头监视节点无其它操作；

步骤6.4、节点群中各备选节点接收到所述响应消息Msg(Quit-R,ID_O,ID_T,flag)，各备选节点根据所述flag确定待退群节点ID_T是否为当前监视周期中的簇头监视节点；若是，则立即更新其活动节点集，重新秘密选择簇头监视节点；若不是，则记录待退群节点ID_T信息，延迟至下一个监视周期开始前更新其活动节点集。

具体地，节点退出子协议应对的场景主要有两个：原有节点离开簇头节点附近，不具备成为簇头监控节点的资格和能力，不再参与簇头节点监视活动；或者由于节点的剩余能量较少，为减少能量开销，不再参与簇头节点监视活动。

不再参与簇头节点监视的节点存在两种情况：第一种是待下一轮监视时不再参与监视，第二种是该节点立即不再参与监视。第一种情况通常是该节点能量消耗过多，申请不再担负监视任务。第二种情况可能是该节点将被移除，或者其它原因立刻导致其不能担负监视任务。对于第二种情况，还可以分为两种情况，如果当前该节点承担监控任务，那么其必须立刻通知其它节点其不再担负监视任务。如果当前该节点不承担监视任务，那么其离去不影响系统整体监视效果。

所述节点群维护子协议包括：

步骤7.1、发起的备选节点增加发射功率(例如，使发送半径增加一倍)，广播群维护消息Msg(Act,ID_O，ID₁)；

步骤7.2、接受到所述群维护消息Msg(Act,ID_O，ID₁)的备选节点ID_j，依序列号广播消息Msg(Act-R,ID_O,ID_j)，j＝2,3,4,……,n，n为备选节点总数；

步骤7.3、簇头节点整理所有节点，广播群维护消息Msg(Act-S,ID_O,{ID₁,ID₂,…,ID_n)}；

步骤7.4、各备选节点，根据所接收的各种消息，更新其所持有活动节点集。

具体地，由于无线网络的不可靠，以及节点突然失效等多方面的因素，可能会造成簇头监视节点“丢失”，而其它簇头监视节点仍然认为其正常工作的局面。这种情况可能会造成：秘密选择结果正好命中“丢失”的节点。如果节点群内存在大量“丢失”的节点，就会使得秘密选择的节点无法完成监视工作，从而导致簇头节点的工作缺乏有效监视。

间隔事先约定的若干个监视周期后，由某个备选节点发起节点群维护子协议。节点群维护周期为监视周期的整数倍，根据传感器网络所部署的环境不同，由管理人员事先设定。一般而言，当传感器网络所处的网络较为恶劣时，可能存在节点频繁失效、失窃等情况存在时，维护周期应该设定较短。节点群维护子协议由节点群中序列号最小的节点发起。如果该序列号的节点因为失效，或者其认为维护周期未到(该节点可能是在维护周期中间所新增加的节点)，没有发起群维护子协议，则在等待若干时间后，由拥有次小序列号的节点发起，依次类推。

本发明提供的簇头监视节点秘密选择协议，簇头监视节点是专门用于监视簇头节点行为的传感器节点。一般来讲，它与簇头节点互为邻居节点，能够部分或者全部接收到簇头节点所能接收的数据。簇头监视节点采用秘密选择算法，能够使攻击者无法确认监视节点，进而无法对簇头节点实施攻击(当然，攻击者可以攻击簇头节点所有的邻居节点，但这无疑会增加它的攻击难度)。簇头监视节点利用与簇头节点之间的时间相关性和空间相关性，发现疑似簇头节点异常，并立即上报。中心节点(又称sink节点)收集异常报告，综合评判目标簇头节点是否异常，并决定后继动作。

本发明提供的簇头监视节点秘密选择协议适用场景：适应簇头节点秘密选择协议的应用背景有两个明显特征：(1)传感器网络节点密集部署；(2)愿意针对簇头节点部署异常检测系统。形象来讲，对于应用于军事监视或者贵重物品监控等场景的传感器网络，人们愿意部署密集的传感器节点，并且当传感器网络选择出簇头节点后，希望由簇头节点的邻居节点监视簇头节点的行为是否可信。当簇头节点的邻居节点较多时，为了减少邻居节点的能量开销，可以秘密选择部分邻居节点来负责监视。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.传感器网络簇头监视节点秘密选择协议，其特征在于，包括：

步骤1、在簇头节点O确定之后，由所述簇头节点O发起节点群构建子协议，建立节点群，所述节点群指所有参与簇头监视节点选择的备选节点集合，每个备选节点设置有一活动节点集，所述活动节点集记录有所有备选节点的节点信息，所述节点信息包括序列号；

步骤2、传感器网络中的各节点在明确备选节点身份后，发起令牌生成子协议，建立其所持有令牌集；

步骤3、节点群中序列号最小的备选节点发起节点秘密选择子协议，结合各备选节点所持有令牌集确定下一个监视周期中的簇头监视节点；

步骤4、进入监视周期，在监视周期即将结束时，各备选节点发起令牌生成子协议，更新其所持有令牌集；

步骤5、重复执行步骤3至步骤4；

步骤6、在监视周期内，若簇头节点失去簇头地位，簇头节点发起节点群撤消子协议，协议中止。

2.根据权利要求1所述的协议，其特征在于，所述步骤4还包括：

在监视周期内，若新节点需要加入节点群，新节点发起节点增加子协议；

在监视周期内，若节点需要退出节点群，待退群节点发起节点退出子协议。

3.根据权利要求1或2所述的协议，其特征在于，所述步骤4还包括：

在监视周期即将结束时，节点群中序列号最小的备选节点检查是否到群维护周期，若已到群维护周期，由其发起节点群维护子协议。

4.根据权利要求1所述的协议，其特征在于，所述节点群构建子协议包括：

步骤1.1、簇头节点O广播消息Msg(Init, ID_O, Mdata)，其中，Mdata是监视簇头节点所必需的信息；

步骤1.2、收到所述消息Msg(Init, ID_O, Mdata)的备选节点ID_i增加发射功率，广播其加入簇头监视节点选择的消息Msg(Init-R, ID_O, ID_i)；

步骤1.3、同时接收到所述消息Msg(Init, ID_O, Mdata)和所述消息Msg(Init-R, ID_O,ID_i)的节点将ID_i记录在其所持有活动节点集中。

5.根据权利要求1所述的协议，其特征在于，所述令牌生成子协议包括：

步骤2.1、各备选节点清空其所持有的令牌集Token，并各自继续完成下列动作；

步骤2.2、根据预先约定的令牌数量与能量水平之间的映射规则，确定所持有令牌数量为s，其中s_down≤s≤s_up，s_down为预设令牌数量下限值，s_up为预设令牌数量上限值；

步骤2.3、生成随机数random，并计算k=random mod n，n为备选节点总数；

步骤2.4、将k加入令牌集Token={k}；

步骤2.5、检测当前时刻所述令牌集中的令牌数量，若令牌数量未达到s，继续生成随机数random’，并计算k’=random’ mod n；

步骤2.6、若k’与所述令牌集中其它令牌均不相同，将k’加入所述令牌集，否则返回步骤2.5，重新计算k’；

步骤2.7、重复步骤2.5和步骤2.6，直至所述令牌集中的令牌数量达到s个。

6.根据权利要求1所述的协议，其特征在于，所述节点秘密选择子协议包括：

步骤3.1、节点群中序列号最小的备选节点ID₁随机生成一段字符串str₁，封装成节点秘密选择消息Msg(Sel, ID_O, ID₁, str₁)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel, ID_O, ID₁, str₁)；

步骤3.2、待间隔时间T后，节点群中序列号次小的节点ID₂随机生成一段字符串str₂，封装成节点秘密选择消息Msg(Sel, ID_O, ID₂, str₂)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel, ID_O, ID₂, str₂)；

步骤3.3、依此类推，每间隔时间T后，根据序列号大小，备选节点ID_i随机生成一段字符串str_i，封装成节点秘密选择消息Msg(Sel, ID_O, ID_i, str_i)，并增大发射功率，向其他所有备选节点广播所述节点秘密选择消息Msg(Sel, ID_O, ID_i, str_i)，i=3,4,……,n，n为备选节点总数；

步骤3.4、每个备选节点收集所有备选节点生成的字符串得到新字符串str= str₁||str₂||…|| str_n，其中||为字符串拼接操作；

步骤3.5、每个备选节点计算下一个监视周期的工作令牌token=hash(str) mod n，token即为秘密选择结果，各备选节点查看所述token是否命中其所持有令牌集中的令牌，若命中，则表示由其作为下一个监视周期中的簇头监视节点。

7.根据权利要求1所述的协议，其特征在于，所述节点群撤消子协议包括：

步骤4.1、簇头节点O发送节点群撤消消息Msg(Exit, ID_O)；

步骤4.2、所有接收到所述节点群撤消消息Msg(Exit, ID_O)的备选节点，将清除其所持有令牌集和活动节点集，监视任务中止。

8.根据权利要求2所述的协议，其特征在于，所述节点增加子协议包括：

步骤5.1、新节点X向簇头节点O发送入群请求消息Msg(Entry, ID_O , IDx)；

步骤5.2、簇头节点O在收到所述入群请求消息Msg(Entry, ID_O , IDx)后，广播响应消息Msg(Entry-R, ID_O, ID_X, MData)，其中，MData是监视簇头节点所必需的信息；

步骤5.3、当前监视周期中的簇头监视节点，监视簇头节点是否正确响应新节点X的所述入群请求消息Msg(Entry, ID_O , IDx)，若簇头节点正常工作，簇头监视节点无其它操作，否则发出警报；

步骤5.4、节点群中各备选节点接收到所述响应消息Msg(Entry-R, ID_O, IDx, MData)后，将新节点IDx信息记录在本地；

步骤5.5、在下一个监视周期的簇头监视节点秘密选择前，节点群中各备选节点根据本地所记录的信息，查验在当前监视周期内，是否出现新节点，若存在，将所述新节点添加到其所持有活动节点集中。

9.根据权利要求2所述的协议，其特征在于，所述节点退出子协议包括：

步骤6.1、待退群节点ID_T向簇头节点O发送退群请求消息Msg(Quit, ID_O, ID_T, flag)，其中，flag表示待退群节点ID_T是否为当前监视周期中的簇头监视节点，所述待退群节点指备选节点ID_T不再参与簇头监视节点选择；

步骤6.2、簇头节点O在收到所述退群请求消息Msg(Quit, ID_O, ID_T, flag)后，广播响应消息Msg(Quit-R, ID_O, ID_T, flag)；

步骤6.3、当前监视周期内的簇头监视节点，监视簇头节点是否正确响应待退群节点ID_T的所述退群请求消息Msg(Quit, ID_O, ID_T, flag)，若簇头节点正常工作，簇头监视节点无其它操作；

步骤6.4、节点群中各备选节点接收到所述响应消息Msg(Quit-R, ID_O, ID_T, flag)，各备选节点根据所述flag确定待退群节点ID_T是否为当前监视周期中的簇头监视节点；若是，则立即更新其活动节点集，重新秘密选择簇头监视节点；若不是，则记录待退群节点ID_T信息，延迟至下一个监视周期开始前更新其活动节点集。

10.根据权利要求3所述的协议，其特征在于，所述节点群维护子协议包括：

步骤7.1、发起的备选节点增加发射功率，广播群维护消息Msg(Act, ID_O，ID₁)；

步骤7.2、接受到所述群维护消息Msg(Act, ID_O，ID₁)的备选节点ID_j，依序列号广播消息Msg(Act-R, ID_O, ID_j)，j=2,3,4,……,n，n为备选节点总数；

步骤7.3、簇头节点整理所有节点，广播群维护消息Msg(Act-S, ID_O, {ID₁, ID₂,…,ID_n)}；

步骤7.4、各备选节点，根据所接收的各种消息，更新其所持有活动节点集。