1 引言
隨著網絡技術、傳感器技術、微機電系統(MEMS)和無線通信技術的不斷發展,出現了一種新型的網絡技術――無線傳感器網絡技術(WSN)。眾多具有通信、計算能力的傳感器通過無線方式連接;相互協作,與物理世界進行交互,共同完成特定的應用任務,成為傳感器網絡。與傳統無線通訊網絡Ad Hoc 網絡相比,WSN的自組織性、動態性、可靠性和以數據為中心等特點,使其可以應用到人員無法到達的地方[1],比如戰場,沙漠等,因此,WSN的潛在應用包括:地球物理監視(地震活動),精確度農業(土壤管理),棲所監視(跟蹤動物牧群),跟蹤戰場目標,救災網絡等等。
2 安全分析
早期的研究集中在新的網絡協議發展方面,新的協議具有比其他ad-hoc網絡更嚴格的性能要求,包括節能、自組織能力、高數量節點的可測量性等。然而,傳感器網絡的多數應用面臨嚴峻的安全問題,包括竊聽、傳感器數據偽造、拒絕服務攻擊和傳感器節點物理妥協,這使得安全問題和其他傳感器性能問題同樣重要。以下具體分析對傳感器網絡安全威脅攻擊,并提出適當的解決機制,以適應這種新出現的特殊的ad-hoc網絡分類。
一、路由安全
許多傳感器網絡路由協議是相當簡單的,并且不把安全放在主要目標。因此,這些協議比在一般ad-hoc網絡更易受攻擊。 Karlof等介紹了如何攻擊ad-hoc網絡和端對端網絡,同時也介紹了sinkholes和HELLO flood攻擊,我們簡要地介紹攻擊傳感器網絡的這兩類攻擊。
sinkholes攻擊-根據路由算法技術,sinkholes攻擊設法誘使幾乎所有通往衰竭節點的數據,在對方中心創造一個“污水池”。例如,攻擊者可能欺騙或重放一個虛假信息給通過衰竭節點的一條高質量路線。如果路由協議使用一個端到端承認技術來核實路線的質量,一個強有力的laptop類攻擊者可能供給一條特高品質路線,以單跳方式提供足夠的能量到達目的地,就象早期的rushing攻擊。因為sinkholes攻擊意味很大數量的節點,他們能夠引起許多篡改交通流通的其他攻擊,例如有選擇性的向前。我們應該提及傳感器網絡由于自身的特別通信范例,對這類攻擊是特別脆弱的,所有節點必須發送感知數據到一個接收節點。因此,一個減弱的節點只有提供一條唯一優質路線給接收節點,為了感應潛在的大量節點。
sinkholes攻擊是很難防范的,特別是在集成的路由協議,結合數據信息例如剩余能量。另外,geo-路由協議作為抵抗sinkholes攻擊眾所周知,因為它的拓撲結構建立在局部信息和通信上,通信通過接收節點的實際位置自然地尋址,所以在別處誘使它創造污水池變得就很困難了。
HELLO flood攻擊-這類攻擊對他們的鄰居節點發送多數路由協議必需的hello數據包。收到這樣數據包的節點也許假設,它在發送者的范圍內。Laptop類攻擊者在網絡中能寄發這種數據包到所有傳感器節點,以使他們相信減弱的節點屬于他們的鄰居。這導致大量的節點發送數據包到這個虛構的鄰居。傳感器網絡中的幾個路由協議,例如directed diffustion ,LEACH,and TEEN [2],易受這類攻擊,特別是當 hello包包含路由信息或定位信息進行交換。一種簡單的方式減少hello泛洪攻擊是驗證鏈接是否是雙向的。然而,如果攻擊者有一臺高度敏感接收器,一個信任的接收節點為了防止hello攻擊,對每個節點來說也許只選擇有限的鄰居節點。
解決方法:SPINS安全框架協議-SPINS提出用于優選的二個傳感器網絡安全協議框架,即SNEP和μTESLA。SNEP通過一個鏈接加密功能實現加密作用。這個技術在發送者和接收者之間使用一個共有的計數器,建立一個一次性密鑰的接收器防止重放攻擊并且保證數據新鮮。SNEP也使用一個信息驗證代碼保證兩方認證和數據完整性。μTESLA是TESLA的優化形式,是為嚴格地提供被證實的廣播環境的一個新的協議。μTESLA需要在廣播節點和接收器之間實現寬松同步。
INSENS-INSENS是在傳感器網絡中通過修造傳感器節點和接收節點之間多個重復道路以繞過中間惡意節點提供闖入寬容的路由協議。另外,INSENS也限制了DOS類型泛洪攻擊,同時防止錯誤路由信息或其他控制信息克服sinkholes攻擊。然而,INSENS存在幾個缺點,最重要的是接收節點應該容錯,并且它不應該在休息時被攻擊者與網絡的其余節點隔離分開。
二、密鑰管理發布
雖然“密鑰管理”在保證機密和認證方面是重要的,但它在無線傳感器網絡中仍然存在著很多未解決的問題,主要表現在以下幾個方面:
密鑰前配置:在傳感器網絡設計安裝前,由于未知的物理拓撲結構,predeployment密鑰被考慮作為唯一的實用選擇密鑰分發給相應的可信賴選項。然而,傳統密鑰配置計劃在無線傳感器網絡是不合適的,安裝的密鑰在每個節點要么是單一任務密鑰,要么是一套分離的n-1密鑰,與另一個私下配對分享。實際上,所有傳感器節點的捕獲都會危及整個網絡的安全,因為在傳感器捕獲偵查上有選擇性的密鑰撤銷是不可能的,反之在每個傳感器節點成對的密鑰分配解決需要存儲和裝載n-1個密鑰[3]。當使用超過10000個傳感器時,由于資源局限先前描述了,這就變得不切實際了。此外,因為直接的點對點通信是僅在數量極少的鄰近節點之間完成的,分享在所有兩個傳感器節點之間的私用密鑰是不能再用的。
共享密鑰發現:另一個富有挑戰性問題是每個節點在它分享至少一把密鑰的無線通信范圍內需要發現一個鄰居。 因此,只有當他們分享一把密鑰時,鏈接存在兩個傳感器節點之間。一種好的共享密鑰發現方法不應該允許攻擊者知道其在每兩個節點之間的共有密鑰。
道路密鑰確立:對于不共享密鑰和以多跳方式連接的任一對節點來說,需要被分配道路密鑰來保證端到端的安全通信。道路鑰匙應該是與中介節點不成對地共享鑰匙,這一點很重要。
除了這些問題之外, 在傳感器網絡中密鑰管理還面對其他重要富有挑戰性問題,例如當可利用的密鑰過期時,能量效率重建密鑰機制,以及最小密鑰建立延遲。
三、數據融合安全
數據聚合(或數據融合)是在無線傳感器網絡的設計和發展中涌現的一個關鍵主題。在這個過程中,
稱作“aggregators”的中介節點收集未加工的感知信息形式傳感器節點,在本地處理它,并且迅速將結果發送給終端用戶。這種重要操作根本上減少相當數量在網絡上傳送的數據,因而延長節點的工作周期,是無線傳感器網絡最重要的設計因素[6]。然而,這種功能由于攻擊環境的存在而受到挑戰。對于數據融合有效性的斷言提出了對重復數據融合節點的用途。這些節點進行數據融合操作和aggregators一樣, 但寄發的結果作為信息驗證代碼(MAC)送到aggregator而不是送它到基地[7]。為了證明融合結果的有效性,aggregator必須與它所證明節點接收到的結果一起沿著計劃的路線送到基地。如果一衰竭的aggregator想要發送無效融合數據,它必須給無效結果偽造證明。當n從m證人處證明與aggregators結果一致時,融合結果被證實,否則后者放棄并且基地發送它合法的融合結果。我們認為當證人被足夠信任時,這種解答是高效率的,否則它要求使用投票計劃以獲得可接受的融合結果。在提出了基于融合集體證明方法的安全框架核實 aggregators給的值是真實值的接近值,即使aggregators和傳感器節點發生破壞。在這種方法中aggregator通過修建 Merkle雜亂信息樹來收集數據。aggregator承諾保證使用傳感器提供的數據,并且作為基地核實的聲明關于融合結果的正確性。