无线传感器网络安全综合研究与分析

摘要：从无线传感器网络的安全挑战、安全需求、可能受到的安全攻击及相应的防御方法以及安全体系等方面对目前国内外开展的研究进行了较系统的总结，有助于了解当前无线传感器网络安全研究进展及现状。

关键词：无线传感器网络；安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21535-02

Survey of Security Technologies on Wireless Sensor Networks

HUANG Zhao-he,WANG Yu-lei

(Nanyang Institute of Technology,Computer Network Center,Nanyang 473004)

Abstract:This paper deals with summarization of security of wireless sensor network which including challenges, security demands, possible security attacks and their countermeasures，and also security architecture. This will benefit researchers greatly to familiarizing with the current research and its trend in the field.

Key words:wireless sensor network (WSN);security

1 引言

微电子技术、计算技术和无线通信技术的进步，推动了低功耗、低价格、多功能传感器的快速发展，使其在微小体积内能够集成信息采集、数据处理和无线通信等多种功能。无线传感器网络(Wireless Sensor Networks, WSN)就是由一组传感器以Ad Hoc方式构成的有线或无线网络，其目的是协作地感知、采集和处理网络覆盖的地理区域中感知对象的信息，并给观察者。人们可以通过传感器网络直接感知客观世界，从而极大地扩展现有网络的功能和人类认识世界的能力。

由于WSN受能耗、数据处理和通信能力的限制，使得无线传感器网络受到的安全威胁与移动网络所受到的安全威胁相比有其特殊性，所以在WSN上采用传统网络上的一些技术是不适用的。本文正是在总结和分析这些研究成果的基础上，试图明确今后WSN安全研究的方向和重点，探索可行的解决方案。

2 无线传感器网络的安全需求

WSN 的开放性分布和无线广播通信特征存在安全隐患,而不同应用背景的WSN对信息提出了不同的保护需求。传感器网络的安全内容和相应的安全需求主要表现为以下几个方面：

(1)机密性 机密性就是使未被授权者不能获取消息的内容。由于共享的无线传输介质，袭击者可能偷听传感器节点之间的交换消息。为了阻止袭击者获取消息的内容，在传输之前，应对消息采用有效的密码系统。

(2)完整性 完整性是指在消息的传输过程中，接收者能够发现接收消息的改变。完整性要求网络节点收到的数据包在传输过程中未入、删除、篡改等，即保证收到的消息和源方发出的消息是完全一致的。

(3)访问控制 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等。

(4)真实性 WSN的真实性需求主要体现在点到点的消息认证和广播认证,前者指任何一个节点在收到来自另一个节点的消息时,能够核实这个消息来源的真实性，不是被伪造或假冒的。后者解决的是单一节点向一组节点发送统一通告时的真实性确认问题。

(5)可用性 WSN的安全解决方案所提供的各种服务能够被授权用户使用，并能够有效防止非法攻击者企图终端传感器网络服务的恶意攻击。同时，安全设计方案不应当限制网络的可用性，并能够有效防止攻击者对传感器节点资源的恶意消耗。

(6)新鲜性 WSN采样得到的数据本身具有时效性，网络节点能够判断最新接收到的数据包是发送者最新产生的数据包。采用这种方法保证了袭击者不可能中转以前的数据。

(7)鲁棒性 WSN应用具有很强的动态性和不确定性，包括网络拓扑的变化、节点的去除或加入、面临多种威胁等，因此，WSN 对各种安全攻击应具有强适应性和存活性，即使某次攻击行为得逞，该特性要求其影响被最小化，单个节点受到威胁并不会导致整个网络的瘫痪。

3 WSN面临的攻击及防御策略

3.1 节点的俘获（物理破坏）

由于WSN一般部署在应用者无法监控的区域内，所以存在受到无关人员或敌方人员破坏的可能性，同时，也很难保证每个节点都是物理安全的。敌方人员很可能俘获一些节点，对其进行物理上的分析和修改，并利用它干扰网络正常功能。

防御策略：针对无法避免的物理破坏，需要传感器网络采用更精细的控制保护机制，如：增加物理损害感知机制，即节点能够根据其收发数据包的情况、外部环境的变化和一些敏感信号的变化判断是否受到物理侵犯。节点在感知到被破坏以后，就可以采用自销毁、脱离网络、修改安全处理程序等手段避免网络剩余部分受到威胁。

3.2 拒绝服务攻击

针对WSN 的拒绝服务攻击包括黑洞、资源耗尽、方向误导和泛洪攻击等,它们能够削弱或消除传感器网络正常工作的能力，造成硬件失效、软件漏洞、资源耗尽、环境干扰等恶性后果，直接威胁WSN 的可用性。

WSN各层可能受到的拒绝服务攻击方法及对应的防御手段概括如表1所示。

3.3 Sinkhole（污水池）攻击

在这种攻击手段中，攻击点利用收发器功率大、收发能力强、距离远的特点，可以在基站和攻击点之间形成单跳路由或是比其他节点更快到达基站的路由，以此吸引附近大范围内的传感器以其为父节点向基站转发报文。污水池攻击“调度”了网络数据报文的传输流向，严重破坏了网络负载平衡，同时，也为其他攻击方式提供了平台。

表1 传感器网络分层拒绝服务攻击及其防御手段

防御策略：对于Sinkhole攻击，目前一般通过对路由协议进行精细设计来进行有效的抵御。

3.4 Wormhole（蠕虫洞）攻击

蠕虫洞可以将不同分区里的节点距离拉近，使彼此成为邻居节点，破坏的正常分区。蠕虫洞最简单的实现形式是位于2个多跳节点之间，通过攻击点强大的收发能力实现2个节点的报文中继，使客观上是多跳的路由节点误以为彼此单跳。2个蠕虫洞联合作用可以实现污水池攻击。

防御策略：检测蠕虫洞攻击的最好方法是避免路由选择竞争条件，仔细地设计路由选择协议，使这些攻击不那么有意义。

3.5 Sybil 攻击

Sybil 攻击指恶意的节点向网络中的其他节点非法地提供多个身份。Sybil 攻击利用多身份特点,威胁路由算法、数据融合、投票、公平资源分配和阻止不当行为的发现。

防御策略：文献[1]提出运用无线资源检测来发现Sybil攻击，并使用身份注册和随机密钥分发方案建立节点之间的安全连接等方法来防止Sybil 攻击。

3.6 路由威胁

路由威胁是指由攻击者向WSN中注入大量欺骗路由报文，或者截获并篡改路由报文，把自己伪装成发送路由请求的基站，使全网范围内报文传输被吸引到某一局域内，致使各传感器之间能效失衡。或是在网络内造成环形路由，在不能破解路由报文的情况下，重发以前收到的路由报文，增加网络延迟。

防御策略：针对以上的协议攻击,文献[3]提出了一系列的反措施,包括链路层加密和认证、多路径路由行程、身份确认、双向连接确认和广播认证。但这些措施只有在路由协议设计完成以前加入协议中，对攻击的抵御才有作用，这是实现路由安全的重要前提。在传感器网络路由协议的设计过程中，使用当前已有的安全加密算法可以解决一些针对路由的攻击。比如对报文加密或者通过对报文散列进行完整性保护，可以防止攻击点破坏报文；通过在加密的报文里添加时间戳，可以防止对数据报文的重放攻击；在数据链路层使用全局共享密钥对报文加密，计算消息认证码MAC可以防止欺骗攻击和Hello洪泛攻击。

4 WSN的安全机制

鉴于WSN面临的诸多威胁，必须要为其设计合适的安全防护机制，保护整个网络的安全通信。下面主要就无线传感器网络中的密钥管理、安全数据融合等方面的研究现状进行讨论和分析。

4.1 密钥管理

无线传感器网络安全的关键性问题是密钥的建立和管理过程，这也一直是传感器网络安全中的研究热点。由于无线传感器网络节点的计算能力、电源能力等非常有限，因此，在考虑使用密钥的协商和管理时主要考虑对称密钥的协商和管理协议。

无线传感器网络中的密钥管理方法根据共享密钥的节点个数可以分为对密钥管理方案和组密钥管理方案；根据密钥产生的方式又可分为预共享密钥模型和随机密钥预分布模型。

4.1.1 预共享密钥模型

预共享密钥模型是最简单的一种密钥建立过程。预共享密钥有以下两种主要模型：（1）节点对之间都共享一个主密钥。使用这种方式的优点是不依赖于基站，计算复杂度低；其缺点是扩展性差，抗俘获性差。（2）节点与基站之间共享一对主密钥。这种方式中节点需要存储的密钥空间非常小，计算和存储的压力集中在基站上。其缺点是：基站的安全性尤为重要，且过分依赖基站可能使得基站成为通信的瓶颈。总的来说，这种模型适用于安全性要求较低的小规模的应用中。

4.1.2 随机密钥预分布模型

基本的随机密钥预分配模型是由Eschenauer和Gligor首先提出的。其主要思想是为每个传感器网络选择一个比较大的密钥空间(又称密钥池),任何节点都拥有密钥池中一部分密钥，并要保证任意两个节点共享相同密钥的概率大于一个预先设定的概率p。节点布置好以后就开始寻找那些和自己有共享密钥的邻居节点，从而构建网络的安全拓扑。对于那些与自己没有共享密钥的邻居节点，节点根据网络的安全拓扑和它们之间建立起一条安全路径，通过这条安全路径协商一对路径密钥。以后节点间的通信将直接通过这一对路径密钥进行，而不再依靠中间转发。

随机密钥对模型中任何两个节点之间都有一个独立的共享密钥，它没有共享的密钥空间和密钥池，消除了由于密钥空间中存在的大量冗余密钥信息而可能带来的安全隐患，提高了网络对节点被俘后的抵御能力。该模型还支持分布式节点撤消，并能有效防止对传感器节点的恶意复制和生成。

4.2 安全数据融合

有众多节点的WSN会产生大量原始冗余信息，数据融合是节省网络通信资源、减轻网络负荷的有效方法。如何在一个开放的网络环境中安全地融合数据以保证被融合数据的完整性、认证性和机密性也是传感器网络安全的一个研究课题。

文献[4]提出了一个使用高效的抽样和交互证明方案来保证数据汇聚节点给出的结果是一个真实值的近似。可以给出对多种计算函数的汇聚方法，包括计算平均值、中间值及寻找最大/最小值。但是，所要得到的数据值的可靠性要求越高，需要的交互次数就越多，汇聚节点的消耗就越多。

无线传感器网络环境下，如何设计出既能通过高效的协议保证汇聚节点的诚实性又能保证汇聚数据的机密性和完整性的融合方案，如何设计出能够适应于多种汇聚函数的安全数据融合方案，或者针对具体应用，设计出满足以上某些安全条件的融合方案，是一个比较困难的、值得深入研究的课题。

5 结束语

无线传感器网络作为一种新的信息获取和处理技术,具有传统技术不可比拟的优势，将在诸多应用领域起到重要的所用。由于传感器网络本身在计算能力、存储能力、通信能力、电源能量、物理安全和无线通信等方面存在固有的局限和脆弱性，因此，其安全问题是一个大的挑战。本文从WSN的安全挑战、安全需求、可能受到的安全攻击及相应的防御方法以及安全体系等方面对目前国内外开展的研究进行了较系统的总结，提供了主要的研究成果有助于了解当前WSN安全研究进展及现状。

参考文献：

[1]Newsome J. The Sybil Attack in Sensor Networks: Analysis & Defense [C].Proceedings of the third International Symposium on Information Proceeding in Sensor Networks. ACM press,2004:259-268.

[2]Zhu Sencun. LEAP: Efficient Security Mechanisms for Large-Scale Distributed Sensor Networks [C].In the proceedings of the 10th ACM conference on computer and communication security, Oct., 2003: 62-72.

[3]Chris Karlof, David Wagner. Secure Routing in Wireless Sensor Networks Attacks and Countermeasures [R].University of California, Berkely,2004

[4]Przydatek B, Song D and Perrig A. SIA: Secure Information Aggregation in Sensor Networks. In: Proc 1st Int'l Conf on Embedded Networked Sensor Systems,2003,255-265.

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”