无线传感器网络隐私保护关键性问题研究

【摘要】随着无线传感器网络的广泛应用，安全问题发生变化，通信安全成为重要的一部分，隐私保护日渐重要。首先分析了无线传感器网络的通信安全特点、通信安全的需求、面临的保密性威胁及攻击模型。最后，基于对无线传感器网络隐私保护问题的分析和评述，指出了今后该领域的研究方向。

【关键词】无线传感器网络；通信安全；隐私保护；保密性

随着无线传感器网络（Wireless Sensor Network，WSN）理论与技术的不断成熟，其应用已经由国防军事领域扩展到环境监测、交通管理、医疗卫生、制造业、反恐抗灾等诸多领域，使人们在任何时间、任何地点和任何环境条件下都能够获得大量详实可靠的信息，真正实现/无处不在的计算0理念。

WSN是一种大规模的分布式网络，常部署于无人维护、条件恶劣的环境当中，且大多数情况下传感节点都是一次性使用，从而决定了传感节点是价格低廉、资源极度受限的无线通信设备。在复杂的安全环境、多样的安全需求和资源限制等因素的综合影响下，WSN的安全受到严峻的挑战。为WSN创造一个相对安全的工作环境，是关系到WSN能否真正走向实用的关键性问题。另外，在WSN中，安全的概念也发生了变化，通信安全是其中重要的一部分，隐私保护日渐重要。

1.无线传感器网络的通信安全需求

WSN起源于军事应用领域，主要采用射频无线通信组网。由于网络中资源严格受限，为使有限的资源发挥最大的安全效益，要求具有如下通信安全需求：

（1）节点的安全保证

传感节点是构成WSN的基本单元，节点的安全性包括节点不易被发现和节点不易被篡改。WSN中普通传感器节点的数量众多，少数节点被破坏不会对网络造成太大的影响。

但敌手如果俘获节点，就可能从中读出密钥、程序等机密信息，甚至可以重写存储器将该节点变成一个“卧底”。为防止为敌所用，要求节点具备抗篡改能力。

（2）被动抵御入侵的能力

WSN安全系统的基本要求是：在局部发生入侵的情况下，保证网络的整体可用性。

1）对抗外部攻击者的能力：外部攻击者是指那些没有得到密钥、无法接入网络的节点。外部攻击者无法有效地注入虚假信息，但是可以进行窃听、干扰、分析通信量等活动，为进一步攻击收集信息。因此，对抗外部攻击者，首先需要解决机密性问题；其次，要防范能扰乱网络正常运转的简单网络攻击，如重放数据包等，这些攻击会造成网络性能下降；再次，要尽量减少入侵者得到密钥的机会，防止外部攻击者演变成内部攻击者。

2）对抗内部攻击者的能力：内部攻击者是指那些获得了相关密钥并以合法身份混入网络并欺骗信息的攻击节点。由于WSN不可能阻止节点被篡改，而且密钥可能被对方破解，因此总会有入侵者在取得密钥后以合法身份接入网络。由于至少能取得网络中一部分节点的信任，因此内部攻击者能发动的网络攻击种类更多，危害更大，也更隐蔽。

（3）主动反击入侵的能力

主动反击能力是指网络安全系统能够主动地限制甚至消灭入侵者，为此至少需要具备以下能力：

1）入侵检测能力：和传统的网络入侵检测相似，首先需要准确识别网络内出现的各种入侵行为并发出警报，其次，入侵检测系统还必须确定入侵节点的身份或者位置，只有这样才能随后发动有效反击。

2）隔离入侵者的能力：网络需要具有根据入侵检测信息，调度网络正常通信来避开入侵者，同时，丢弃任何由入侵者发出的数据包的能力。这样相当于把入侵者和己方网络从逻辑上隔离开来，可以防止它继续危害网络。

3）消灭入侵者的能力：要想彻底消除入侵者对网络的危害就必须消灭入侵节点。但是让网络自主消灭入侵者是较难实现的。由于WSN的主要用途是为用户收集信息，因此可以在网络提供的入侵信息的引导下，由用户通过人工方式消灭入侵者。

2.保密性威胁

借助WSN，很容易收集个人信息。有的机构将个人信息当作商品，进行收集、交换和出售。人们对这些行为越来越警觉，，希望保护自己的隐私。

在诸如战场等特定情形下，保密性是一本质特性。有三种类型的保密性威胁：

（1）内容保密性威胁：因为消息的存在和所处位置的顺序关系，敌手能够确定信息交换的含义，这就存在内容保密性威胁。

（2）身份保密性威胁：如果敌手能够演绎出参与通信的节点，那就存在身份保密性威胁。

（3）位置保密性威胁：如果敌手能够推断出通信实体的物理位置或估计出相对通信实体的距离，那就存在位置保密性威胁。

3.隐私保护研究进展

WSN中的隐私保护研究起步于2003年，根据WSN潜在的保密性威胁和攻击，国际上对于WSN中的隐私保护作了如下几个方面的研究。

3.1 信息加密

现代安全技术依靠密钥来保护和确认信息，而不是依靠安全算法，所以通信加密密钥、认证密钥和各种安全启动密钥需要严格的保护。对传输信息加密可以解决窃听问题，但需要一个灵活、强健的密钥交换和管理方案。由于WSN资源严格受限，使得非对称密码的许多算法，如Diffie-Hellman密钥协商算法无法在WSN上实现。根据共享密钥节点的个数，，可以把WSN中的密钥管理方法分为对密钥管理方案和组密钥管理方案。

3.2 匿名机制

在WSN中，匿名阻止第三方了解参与通信的消息发送方和接收方的特性。匿名包括发送方和接收方间的发送方匿名、接收方匿名和无链接能力。通过匿名，敌手不能通过读从网络中截获的消息或从被俘传感节点转发来的消息确定发送和接收方的特性；也不能断定两个通信段是否属于同一通信。

匿名机制使数据在传送前失去个性。因为全部匿名是困难的，所以在解决保密性问题时，需要在匿名和公用信息需求间作一平衡。

3.3 基于对策的方法保证网络中的传感信息只有可信实体才可以访问，这可通过建立在保密性对策规范基础上的访问控制决议和认证来实现。

（1）根据不同的密钥给数据以不同的保密级。

（2）弱化节点的异构性，增加重要节点的冗余度。一旦系统的关键节点被破坏，通过选举机制或网络重组方式进行网络重构。

（3）使用输出过滤（egress filtering）。通过认证冤路由的方式确认一个数据包是否是从它的合法子节点发送过来的，直接丢弃不能认证的数据包。这样攻击的数据包在前几级的节点转发过程中就会被丢弃，从而达到保护目标节点的目的。

（4）多路径路由，通过多个路径传输部分信息，并在目的地进行重组。

4.隐私保护研究方向

目前，有关无线传感器网络隐私保护问题的研究才刚刚起步，虽然做了一些初步探索，但方法还不成熟。发现和探索保密性威胁存在的地方，观察和开发解决隐私保护问题的方法是重要的。

（1）现有的预置密钥管理方案可扩展性不强，而且不支持网络合并。如何在资源受限的网络环境下，建立支持网络合并，且具有灵活的可扩展性的预置密钥管理方案是一个需要进行深入研究的问题。

（2）从安全的角度来看，非对称密码体制的安全强度在计算意义上要远远高于对称密码体制。如何优化非对称加密算法，使之适用于资源受限的无线传感器网络，任然是一个需要进一步研究的问题。

（3）仅用加密的方法不能保护系统的隐私。在事件驱动型传感器网络中，传感节点只有在监测到事件时，才发送消息。敌手使用相应频段的接收设备就可以接收链路中的信号，进行窃听。敌手不必知道原始消息的具体内容，仅凭观察到消息的存在就断定监测事件出现了。在传统网络中，可以用周期性地发送空闲包的方法来隐藏真正的消息包，但在传感器网络中，由于传感节点资源严格受限，采用这样的方法来保护隐私是行不通的。在这种情形下，如何隐藏传感信号是一个需要研究的问题。