1 引言
随着网络技术、传感器技术、微机电系统(MEMS)和无线通信技术的不断发展,出现了一种新型的网络技术――无线传感器网络技术(WSN)。众多具有通信、计算能力的传感器通过无线方式连接;相互协作,与物理世界进行交互,共同完成特定的应用任务,成为传感器网络。与传统无线通讯网络Ad Hoc 网络相比,WSN的自组织性、动态性、可靠性和以数据为中心等特点,使其可以应用到人员无法到达的地方[1],比如战场,沙漠等,因此,WSN的潜在应用包括:地球物理监视(地震活动),精确度农业(土壤管理),栖所监视(跟踪动物牧群),跟踪战场目标,救灾网络等等。
2 安全分析
早期的研究集中在新的网络协议发展方面,新的协议具有比其他ad-hoc网络更严格的性能要求,包括节能、自组织能力、高数量节点的可测量性等。然而,传感器网络的多数应用面临严峻的安全问题,包括窃听、传感器数据伪造、拒绝服务攻击和传感器节点物理妥协,这使得安全问题和其他传感器性能问题同样重要。以下具体分析对传感器网络安全威胁攻击,并提出适当的解决机制,以适应这种新出现的特殊的ad-hoc网络分类。
一、路由安全
许多传感器网络路由协议是相当简单的,并且不把安全放在主要目标。因此,这些协议比在一般ad-hoc网络更易受攻击。 Karlof等介绍了如何攻击ad-hoc网络和端对端网络,同时也介绍了sinkholes和HELLO flood攻击,我们简要地介绍攻击传感器网络的这两类攻击。
sinkholes攻击-根据路由算法技术,sinkholes攻击设法诱使几乎所有通往衰竭节点的数据,在对方中心创造一个“污水池”。例如,攻击者可能欺骗或重放一个虚假信息给通过衰竭节点的一条高质量路线。如果路由协议使用一个端到端承认技术来核实路线的质量,一个强有力的laptop类攻击者可能供给一条特高品质路线,以单跳方式提供足够的能量到达目的地,就象早期的rushing攻击。因为sinkholes攻击意味很大数量的节点,他们能够引起许多篡改交通流通的其他攻击,例如有选择性的向前。我们应该提及传感器网络由于自身的特别通信范例,对这类攻击是特别脆弱的,所有节点必须发送感知数据到一个接收节点。因此,一个减弱的节点只有提供一条唯一优质路线给接收节点,为了感应潜在的大量节点。
sinkholes攻击是很难防范的,特别是在集成的路由协议,结合数据信息例如剩余能量。另外,geo-路由协议作为抵抗sinkholes攻击众所周知,因为它的拓扑结构建立在局部信息和通信上,通信通过接收节点的实际位置自然地寻址,所以在别处诱使它创造污水池变得就很困难了。
HELLO flood攻击-这类攻击对他们的邻居节点发送多数路由协议必需的hello数据包。收到这样数据包的节点也许假设,它在发送者的范围内。Laptop类攻击者在网络中能寄发这种数据包到所有传感器节点,以使他们相信减弱的节点属于他们的邻居。这导致大量的节点发送数据包到这个虚构的邻居。传感器网络中的几个路由协议,例如directed diffustion ,LEACH,and TEEN [2],易受这类攻击,特别是当 hello包包含路由信息或定位信息进行交换。一种简单的方式减少hello泛洪攻击是验证链接是否是双向的。然而,如果攻击者有一台高度敏感接收器,一个信任的接收节点为了防止hello攻击,对每个节点来说也许只选择有限的邻居节点。
解决方法:SPINS安全框架协议-SPINS提出用于优选的二个传感器网络安全协议框架,即SNEP和μTESLA。SNEP通过一个链接加密功能实现加密作用。这个技术在发送者和接收者之间使用一个共有的计数器,建立一个一次性密钥的接收器防止重放攻击并且保证数据新鲜。SNEP也使用一个信息验证代码保证两方认证和数据完整性。μTESLA是TESLA的优化形式,是为严格地提供被证实的广播环境的一个新的协议。μTESLA需要在广播节点和接收器之间实现宽松同步。
INSENS-INSENS是在传感器网络中通过修造传感器节点和接收节点之间多个重复道路以绕过中间恶意节点提供闯入宽容的路由协议。另外,INSENS也限制了DOS类型泛洪攻击,同时防止错误路由信息或其他控制信息克服sinkholes攻击。然而,INSENS存在几个缺点,最重要的是接收节点应该容错,并且它不应该在休息时被攻击者与网络的其余节点隔离分开。
二、密钥管理发布
虽然“密钥管理”在保证机密和认证方面是重要的,但它在无线传感器网络中仍然存在着很多未解决的问题,主要表现在以下几个方面:
密钥前配置:在传感器网络设计安装前,由于未知的物理拓扑结构,predeployment密钥被考虑作为唯一的实用选择密钥分发给相应的可信赖选项。然而,传统密钥配置计划在无线传感器网络是不合适的,安装的密钥在每个节点要么是单一任务密钥,要么是一套分离的n-1密钥,与另一个私下配对分享。实际上,所有传感器节点的捕获都会危及整个网络的安全,因为在传感器捕获侦查上有选择性的密钥撤销是不可能的,反之在每个传感器节点成对的密钥分配解决需要存储和装载n-1个密钥[3]。当使用超过10000个传感器时,由于资源局限先前描述了,这就变得不切实际了。此外,因为直接的点对点通信是仅在数量极少的邻近节点之间完成的,分享在所有两个传感器节点之间的私用密钥是不能再用的。
共享密钥发现:另一个富有挑战性问题是每个节点在它分享至少一把密钥的无线通信范围内需要发现一个邻居。 因此,只有当他们分享一把密钥时,链接存在两个传感器节点之间。一种好的共享密钥发现方法不应该允许攻击者知道其在每两个节点之间的共有密钥。
道路密钥确立:对于不共享密钥和以多跳方式连接的任一对节点来说,需要被分配道路密钥来保证端到端的安全通信。道路钥匙应该是与中介节点不成对地共享钥匙,这一点很重要。
除了这些问题之外, 在传感器网络中密钥管理还面对其他重要富有挑战性问题,例如当可利用的密钥过期时,能量效率重建密钥机制,以及最小密钥建立延迟。
三、数据融合安全
数据聚合(或数据融合)是在无线传感器网络的设计和发展中涌现的一个关键主题。在这个过程中,
称作“aggregators”的中介节点收集未加工的感知信息形式传感器节点,在本地处理它,并且迅速将结果发送给终端用户。这种重要操作根本上减少相当数量在网络上传送的数据,因而延长节点的工作周期,是无线传感器网络最重要的设计因素[6]。然而,这种功能由于攻击环境的存在而受到挑战。对于数据融合有效性的断言提出了对重复数据融合节点的用途。这些节点进行数据融合操作和aggregators一样, 但寄发的结果作为信息验证代码(MAC)送到aggregator而不是送它到基地[7]。为了证明融合结果的有效性,aggregator必须与它所证明节点接收到的结果一起沿着计划的路线送到基地。如果一衰竭的aggregator想要发送无效融合数据,它必须给无效结果伪造证明。当n从m证人处证明与aggregators结果一致时,融合结果被证实,否则后者放弃并且基地发送它合法的融合结果。我们认为当证人被足够信任时,这种解答是高效率的,否则它要求使用投票计划以获得可接受的融合结果。在提出了基于融合集体证明方法的安全框架核实 aggregators给的值是真实值的接近值,即使aggregators和传感器节点发生破坏。在这种方法中aggregator通过修建 Merkle杂乱信息树来收集数据。aggregator承诺保证使用传感器提供的数据,并且作为基地核实的声明关于融合结果的正确性。