無(wú)線傳感器網(wǎng)絡(luò)安全研究

1 引言

　　隨著網(wǎng)絡(luò)技術(shù)、傳感器技術(shù)、微機(jī)電系統(tǒng)（MEMS）和無(wú)線通信技術(shù)的不斷發(fā)展，出現(xiàn)了一種新型的網(wǎng)絡(luò)技術(shù)­­――無(wú)線傳感器網(wǎng)絡(luò)技術(shù)（WSN）。眾多具有通信、計(jì)算能力的傳感器通過(guò)無(wú)線方式連接;相互協(xié)作，與物理世界進(jìn)行交互，共同完成特定的應(yīng)用任務(wù)，成為傳感器網(wǎng)絡(luò)。與傳統(tǒng)無(wú)線通訊網(wǎng)絡(luò)Ad Hoc 網(wǎng)絡(luò)相比，WSN的自組織性、動(dòng)態(tài)性、可靠性和以數(shù)據(jù)為中心等特點(diǎn)，使其可以應(yīng)用到人員無(wú)法到達(dá)的地方[1]，比如戰(zhàn)場(chǎng)，沙漠等，因此，WSN的潛在應(yīng)用包括：地球物理監(jiān)視（地震活動(dòng)），精確度農(nóng)業(yè)（土壤管理），棲所監(jiān)視（跟蹤動(dòng)物牧群），跟蹤戰(zhàn)場(chǎng)目標(biāo)，救災(zāi)網(wǎng)絡(luò)等等。

2 安全分析

　　早期的研究集中在新的網(wǎng)絡(luò)協(xié)議發(fā)展方面，新的協(xié)議具有比其他ad-hoc網(wǎng)絡(luò)更嚴(yán)格的性能要求，包括節(jié)能、自組織能力、高數(shù)量節(jié)點(diǎn)的可測(cè)量性等。然而，傳感器網(wǎng)絡(luò)的多數(shù)應(yīng)用面臨嚴(yán)峻的安全問(wèn)題，包括竊聽、傳感器數(shù)據(jù)偽造、拒絕服務(wù)攻擊和傳感器節(jié)點(diǎn)物理妥協(xié)，這使得安全問(wèn)題和其他傳感器性能問(wèn)題同樣重要。以下具體分析對(duì)傳感器網(wǎng)絡(luò)安全威脅攻擊，并提出適當(dāng)?shù)慕鉀Q機(jī)制，以適應(yīng)這種新出現(xiàn)的特殊的ad-hoc網(wǎng)絡(luò)分類。

　　一、路由安全

　　許多傳感器網(wǎng)絡(luò)路由協(xié)議是相當(dāng)簡(jiǎn)單的，并且不把安全放在主要目標(biāo)。因此，這些協(xié)議比在一般ad-hoc網(wǎng)絡(luò)更易受攻擊。 Karlof等介紹了如何攻擊ad-hoc網(wǎng)絡(luò)和端對(duì)端網(wǎng)絡(luò)，同時(shí)也介紹了sinkholes和HELLO flood攻擊，我們簡(jiǎn)要地介紹攻擊傳感器網(wǎng)絡(luò)的這兩類攻擊。

　　sinkholes攻擊-根據(jù)路由算法技術(shù)，sinkholes攻擊設(shè)法誘使幾乎所有通往衰竭節(jié)點(diǎn)的數(shù)據(jù)，在對(duì)方中心創(chuàng)造一個(gè)“污水池”。例如，攻擊者可能欺騙或重放一個(gè)虛假信息給通過(guò)衰竭節(jié)點(diǎn)的一條高質(zhì)量路線。如果路由協(xié)議使用一個(gè)端到端承認(rèn)技術(shù)來(lái)核實(shí)路線的質(zhì)量，一個(gè)強(qiáng)有力的laptop類攻擊者可能供給一條特高品質(zhì)路線，以單跳方式提供足夠的能量到達(dá)目的地，就象早期的rushing攻擊。因?yàn)閟inkholes攻擊意味很大數(shù)量的節(jié)點(diǎn)，他們能夠引起許多篡改交通流通的其他攻擊，例如有選擇性的向前。我們應(yīng)該提及傳感器網(wǎng)絡(luò)由于自身的特別通信范例，對(duì)這類攻擊是特別脆弱的，所有節(jié)點(diǎn)必須發(fā)送感知數(shù)據(jù)到一個(gè)接收節(jié)點(diǎn)。因此，一個(gè)減弱的節(jié)點(diǎn)只有提供一條唯一優(yōu)質(zhì)路線給接收節(jié)點(diǎn)，為了感應(yīng)潛在的大量節(jié)點(diǎn)。

　　sinkholes攻擊是很難防范的，特別是在集成的路由協(xié)議，結(jié)合數(shù)據(jù)信息例如剩余能量。另外，geo-路由協(xié)議作為抵抗sinkholes攻擊眾所周知，因?yàn)樗耐負(fù)浣Y(jié)構(gòu)建立在局部信息和通信上，通信通過(guò)接收節(jié)點(diǎn)的實(shí)際位置自然地尋址，所以在別處誘使它創(chuàng)造污水池變得就很困難了。

　　HELLO flood攻擊-這類攻擊對(duì)他們的鄰居節(jié)點(diǎn)發(fā)送多數(shù)路由協(xié)議必需的hello數(shù)據(jù)包。收到這樣數(shù)據(jù)包的節(jié)點(diǎn)也許假設(shè)，它在發(fā)送者的范圍內(nèi)。Laptop類攻擊者在網(wǎng)絡(luò)中能寄發(fā)這種數(shù)據(jù)包到所有傳感器節(jié)點(diǎn)，以使他們相信減弱的節(jié)點(diǎn)屬于他們的鄰居。這導(dǎo)致大量的節(jié)點(diǎn)發(fā)送數(shù)據(jù)包到這個(gè)虛構(gòu)的鄰居。傳感器網(wǎng)絡(luò)中的幾個(gè)路由協(xié)議，例如directed diffustion ，LEACH，and TEEN [2]，易受這類攻擊，特別是當(dāng) hello包包含路由信息或定位信息進(jìn)行交換。一種簡(jiǎn)單的方式減少hello泛洪攻擊是驗(yàn)證鏈接是否是雙向的。然而，如果攻擊者有一臺(tái)高度敏感接收器，一個(gè)信任的接收節(jié)點(diǎn)為了防止hello攻擊，對(duì)每個(gè)節(jié)點(diǎn)來(lái)說(shuō)也許只選擇有限的鄰居節(jié)點(diǎn)。

　　解決方法：SPINS安全框架協(xié)議-SPINS提出用于優(yōu)選的二個(gè)傳感器網(wǎng)絡(luò)安全協(xié)議框架，即SNEP和μTESLA。SNEP通過(guò)一個(gè)鏈接加密功能實(shí)現(xiàn)加密作用。這個(gè)技術(shù)在發(fā)送者和接收者之間使用一個(gè)共有的計(jì)數(shù)器，建立一個(gè)一次性密鑰的接收器防止重放攻擊并且保證數(shù)據(jù)新鮮。SNEP也使用一個(gè)信息驗(yàn)證代碼保證兩方認(rèn)證和數(shù)據(jù)完整性。μTESLA是TESLA的優(yōu)化形式，是為嚴(yán)格地提供被證實(shí)的廣播環(huán)境的一個(gè)新的協(xié)議。μTESLA需要在廣播節(jié)點(diǎn)和接收器之間實(shí)現(xiàn)寬松同步。

　　INSENS-INSENS是在傳感器網(wǎng)絡(luò)中通過(guò)修造傳感器節(jié)點(diǎn)和接收節(jié)點(diǎn)之間多個(gè)重復(fù)道路以繞過(guò)中間惡意節(jié)點(diǎn)提供闖入寬容的路由協(xié)議。另外，INSENS也限制了DOS類型泛洪攻擊，同時(shí)防止錯(cuò)誤路由信息或其他控制信息克服sinkholes攻擊。然而，INSENS存在幾個(gè)缺點(diǎn)，最重要的是接收節(jié)點(diǎn)應(yīng)該容錯(cuò)，并且它不應(yīng)該在休息時(shí)被攻擊者與網(wǎng)絡(luò)的其余節(jié)點(diǎn)隔離分開。

　　二、密鑰管理發(fā)布

　　雖然“密鑰管理”在保證機(jī)密和認(rèn)證方面是重要的，但它在無(wú)線傳感器網(wǎng)絡(luò)中仍然存在著很多未解決的問(wèn)題，主要表現(xiàn)在以下幾個(gè)方面：

　　密鑰前配置：在傳感器網(wǎng)絡(luò)設(shè)計(jì)安裝前，由于未知的物理拓?fù)浣Y(jié)構(gòu)，predeployment密鑰被考慮作為唯一的實(shí)用選擇密鑰分發(fā)給相應(yīng)的可信賴選項(xiàng)。然而，傳統(tǒng)密鑰配置計(jì)劃在無(wú)線傳感器網(wǎng)絡(luò)是不合適的，安裝的密鑰在每個(gè)節(jié)點(diǎn)要么是單一任務(wù)密鑰，要么是一套分離的n-1密鑰，與另一個(gè)私下配對(duì)分享。實(shí)際上，所有傳感器節(jié)點(diǎn)的捕獲都會(huì)危及整個(gè)網(wǎng)絡(luò)的安全，因?yàn)樵趥鞲衅鞑东@偵查上有選擇性的密鑰撤銷是不可能的，反之在每個(gè)傳感器節(jié)點(diǎn)成對(duì)的密鑰分配解決需要存儲(chǔ)和裝載n-1個(gè)密鑰[3]。當(dāng)使用超過(guò)10000個(gè)傳感器時(shí)，由于資源局限先前描述了，這就變得不切實(shí)際了。此外，因?yàn)橹苯拥狞c(diǎn)對(duì)點(diǎn)通信是僅在數(shù)量極少的鄰近節(jié)點(diǎn)之間完成的，分享在所有兩個(gè)傳感器節(jié)點(diǎn)之間的私用密鑰是不能再用的。

　　共享密鑰發(fā)現(xiàn)：另一個(gè)富有挑戰(zhàn)性問(wèn)題是每個(gè)節(jié)點(diǎn)在它分享至少一把密鑰的無(wú)線通信范圍內(nèi)需要發(fā)現(xiàn)一個(gè)鄰居。 因此，只有當(dāng)他們分享一把密鑰時(shí)，鏈接存在兩個(gè)傳感器節(jié)點(diǎn)之間。一種好的共享密鑰發(fā)現(xiàn)方法不應(yīng)該允許攻擊者知道其在每?jī)蓚€(gè)節(jié)點(diǎn)之間的共有密鑰。

　　道路密鑰確立：對(duì)于不共享密鑰和以多跳方式連接的任一對(duì)節(jié)點(diǎn)來(lái)說(shuō)，需要被分配道路密鑰來(lái)保證端到端的安全通信。道路鑰匙應(yīng)該是與中介節(jié)點(diǎn)不成對(duì)地共享鑰匙，這一點(diǎn)很重要。

　　除了這些問(wèn)題之外， 在傳感器網(wǎng)絡(luò)中密鑰管理還面對(duì)其他重要富有挑戰(zhàn)性問(wèn)題，例如當(dāng)可利用的密鑰過(guò)期時(shí)，能量效率重建密鑰機(jī)制，以及最小密鑰建立延遲。

　　解決方法：為了克服傳統(tǒng)的密鑰配置缺點(diǎn)，本質(zhì)上是解決配置在每個(gè)節(jié)點(diǎn)上的密鑰的大小。例如，被描述的機(jī)率密鑰分享協(xié)議是在每?jī)蓚€(gè)節(jié)點(diǎn)之間使用保證的一種共有的密鑰發(fā)現(xiàn)方法，以一個(gè)被選上的概率，分享一把密鑰，僅僅很小數(shù)量的密鑰在每個(gè)傳感器節(jié)點(diǎn)被裝載。后者從一個(gè)大的密鑰池中任意地得出。然而，這個(gè)協(xié)議存在幾個(gè)缺點(diǎn)，由于它對(duì)被信任的控制節(jié)點(diǎn)的信賴，每個(gè)密鑰圈和對(duì)應(yīng)的傳感器的身份驗(yàn)證密鑰標(biāo)識(shí)符被保存。此外，基本的機(jī)率密鑰分享方法的恢復(fù)力對(duì)節(jié)點(diǎn)捕獲能力是微弱的，因?yàn)閮H一把密鑰分享在每?jī)蓚€(gè)節(jié)點(diǎn)之間，對(duì)于攻擊者來(lái)說(shuō)，捕獲一個(gè)小數(shù)字節(jié)點(diǎn)來(lái)打破大數(shù)字鏈接變得比較容易。為提高節(jié)點(diǎn)捕獲能力的恢復(fù)力，提出了一種q綜合方法[4]，q密鑰（q > 1）需要分享在節(jié)點(diǎn)之間來(lái)代替一把密鑰。當(dāng)很小數(shù)量的節(jié)點(diǎn)減弱，這種方法證明了它的效率與基本配置的比較。另一個(gè)解決方案是一把共有的密鑰可以位于多個(gè)節(jié)點(diǎn)中，不僅僅只有兩個(gè)節(jié)點(diǎn)知道。因此，這把密鑰不可能加密任何在網(wǎng)絡(luò)中使用的兩個(gè)節(jié)點(diǎn)間的私有消息。所以，我們提議強(qiáng)化基本的機(jī)率方法，建立使用極限密鑰共享，對(duì)相應(yīng)的通訊節(jié)點(diǎn)建立專有的配對(duì)方式密鑰。

　　另一個(gè)重要研究趨勢(shì)是在傳感器網(wǎng)絡(luò)中密鑰管理領(lǐng)域，包括在這樣環(huán)境里允許對(duì)公共密鑰加密法用途的新技術(shù)。Guabtz等提出對(duì)被使用的加密算法和關(guān)聯(lián)參量的正確選擇，仔細(xì)優(yōu)化，以及低功率設(shè)計(jì)技術(shù)可能使不對(duì)稱的加密在傳感器網(wǎng)絡(luò)中可行。雖然這項(xiàng)研究顯示出，公共密鑰加密法可以達(dá)到與使用 NtruEncrypt密碼系統(tǒng)平均功率消耗量少20 W [5]，但我們應(yīng)該注意到，這種算法還沒(méi)有證明它對(duì)密碼分析學(xué)的抵抗。另外，考慮運(yùn)算法則的安全級(jí)別，不能反映使用不對(duì)稱的密碼學(xué)在傳感器網(wǎng)絡(luò)中的現(xiàn)實(shí)情景，因?yàn)槲覀兿嘈旁跓o(wú)線傳感器網(wǎng)絡(luò)中對(duì)公共密鑰機(jī)制的使用由一個(gè)更高的安全級(jí)別的保證比那些以更低的消息交換的對(duì)稱關(guān)鍵技術(shù)更復(fù)雜。

　　三、數(shù)據(jù)融合安全

　　數(shù)據(jù)聚合（或數(shù)據(jù)融合）是在無(wú)線傳感器網(wǎng)絡(luò)的設(shè)計(jì)和發(fā)展中涌現(xiàn)的一個(gè)關(guān)鍵主題。在這個(gè)過(guò)程中，稱作“aggregators”的中介節(jié)點(diǎn)收集未加工的感知信息形式傳感器節(jié)點(diǎn)，在本地處理它，并且迅速將結(jié)果發(fā)送給終端用戶。這種重要操作根本上減少相當(dāng)數(shù)量在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，因而延長(zhǎng)節(jié)點(diǎn)的工作周期，是無(wú)線傳感器網(wǎng)絡(luò)最重要的設(shè)計(jì)因素[6]。然而，這種功能由于攻擊環(huán)境的存在而受到挑戰(zhàn)。對(duì)于數(shù)據(jù)融合有效性的斷言提出了對(duì)重復(fù)數(shù)據(jù)融合節(jié)點(diǎn)的用途。這些節(jié)點(diǎn)進(jìn)行數(shù)據(jù)融合操作和aggregators一樣， 但寄發(fā)的結(jié)果作為信息驗(yàn)證代碼（MAC）送到aggregator而不是送它到基地[7]。為了證明融合結(jié)果的有效性，aggregator必須與它所證明節(jié)點(diǎn)接收到的結(jié)果一起沿著計(jì)劃的路線送到基地。如果一衰竭的aggregator想要發(fā)送無(wú)效融合數(shù)據(jù)，它必須給無(wú)效結(jié)果偽造證明。當(dāng)n從m證人處證明與aggregators結(jié)果一致時(shí)，融合結(jié)果被證實(shí)，否則后者放棄并且基地發(fā)送它合法的融合結(jié)果。我們認(rèn)為當(dāng)證人被足夠信任時(shí)，這種解答是高效率的，否則它要求使用投票計(jì)劃以獲得可接受的融合結(jié)果。在提出了基于融合集體證明方法的安全框架核實(shí) aggregators給的值是真實(shí)值的接近值，即使aggregators和傳感器節(jié)點(diǎn)發(fā)生破壞。在這種方法中aggregator通過(guò)修建 Merkle雜亂信息樹來(lái)收集數(shù)據(jù)。aggregator承諾保證使用傳感器提供的數(shù)據(jù)，并且作為基地核實(shí)的聲明關(guān)于融合結(jié)果的正確性。

3 結(jié)束語(yǔ)

　　無(wú)線傳感器作為特殊的ad-hoc網(wǎng)絡(luò)，具有其自身的特點(diǎn)，同時(shí)對(duì)安全也提出了新要求，安全是一個(gè)好的傳感網(wǎng)絡(luò)設(shè)計(jì)中的關(guān)鍵問(wèn)題，沒(méi)有足夠的保護(hù)機(jī)密性、私有性、完整性和其它攻擊的措施，傳感器網(wǎng)絡(luò)就不能得到廣泛的應(yīng)用，它只能在有限的、受控的環(huán)境中得到實(shí)施，這會(huì)嚴(yán)重影響傳感器網(wǎng)絡(luò)的應(yīng)用前景。本文從WSN可能受到的安全攻擊及相應(yīng)的防御方法等方面對(duì)目前國(guó)內(nèi)外開展的研究進(jìn)行了較系統(tǒng)的總結(jié),提供了適當(dāng)?shù)慕鉀Q機(jī)制,有助于了解當(dāng)前WSN安全研究進(jìn)展及現(xiàn)狀。