登錄
注冊
無線傳感器網絡安全研究
作者:RFID世界網 收編
來源:電信科學
日期:2011-01-07 09:43:40
摘要:隨著傳感器、計算機、無線通信及微機電等技術的發展和相互融合,產生了無線傳感器網絡(wireless sensor network,WSN),目前WSN的應用越來越廣泛,已涉及國防軍事、國家安全等敏感領域,安全問題的解決是這些應用得以實施的基本保證。
1 引言
隨著傳感器、計算機、無線通信及微機電等技術的發展和相互融合,產生了無線傳感器網絡(wireless sensor network,WSN),目前WSN的應用越來越廣泛,已涉及國防軍事、國家安全等敏感領域,安全問題的解決是這些應用得以實施的基本保證。WSN一般部署廣泛,節點位置不確定,網絡的拓撲結構也處于不斷變化之中。另外,節點在通信能力、計算能力、存儲能力、電源能量、物理安全和無線通信等方面存在固有的局限性,WSN的這些局限性直接導致了許多成熟、有效的安全方案無法順利應用。正是這種“供”與“求”之間的矛盾使得WSN安全研究成為熱點。
2 WSN安全問題
2.1 與安全相關的特點
WSN與安全相關的特點主要有以下幾個。
· 資源受限,通信環境惡劣。WSN單個節點能量有限,存儲空間和計算能力差,直接導致了許多成熟、有效的安全協議和算法無法順利應用。另外,節點之間采用無線通信方式,信道不穩定,信號不僅容易被竊聽,而且容易被干擾或篡改。
· 部署區域的安全無法保證,節點易失效。傳感器節點一般部署在無人值守的惡劣環境或敵對環境中,其工作空間本身就存在不安全因素,節點很容易受到破壞或被俘,一般無法對節點進行維護,節點很容易失效。
· 網絡無基礎框架。在WSN中,各節點以自組織的方式形成網絡,以單跳或多跳的方式進行通信,由節點相互配合實現路由功能,沒有專門的傳輸設備,傳統的端到端的安全機制無法直接應用。
· 部署前地理位置具有不確定性。在WSN中,節點通常隨機部署在目標區域,任何節點之間是否存在直接連接在部署前是未知的。
2.2 安全需求
WSN的安全需求主要有以下幾個方面。
· 機密性。機密性要求對WSN節點間傳輸的信息進行加密,讓任何人在截獲節點間的物理通信信號后不能直接獲得其所攜帶的消息內容。
· 完整性。WSN的無線通信環境為惡意節點實施破壞提供了方便,完整性要求節點收到的數據在傳輸過程中未被插入、刪除或篡改,即保證接收到的消息與發送的消息是一致的。
· 健壯性。WSN一般被部署在惡劣環境、無人區域或敵方陣地中,外部環境條件具有不確定性,另外,隨著舊節點的失效或新節點的加入,網絡的拓撲結構不斷發生變化。因此,WSN必須具有很強的適應性,使得單個節點或者少量節點的變化不會威脅整個網絡的安全。
· 真實性。WSN的真實性主要體現在兩個方面:點到點的消息認證和廣播認證。點到點的消息認證使得某一節點在收到另一節點發送來的消息時,能夠確認這個消息確實是從該節點發送過來的,而不是別人冒充的;廣播認證主要解決單個節點向一組節點發送統一通告時的認證安全問題。
· 新鮮性。在WSN中由于網絡多路徑傳輸延時的不確定性和惡意節點的重放攻擊使得接收方可能收到延后的相同數據包。新鮮性要求接收方收到的數據包都是最新的、非重放的,即體現消息的時效性。
· 可用性。可用性要求WSN能夠按預先設定的工作方式向合法的用戶提供信息訪問服務,然而,攻擊者可以通過信號干擾、偽造或者復制等方式使WSN處于部分或全部癱瘓狀態,從而破壞系統的可用性。
· 訪問控制。WSN不能通過設置防火墻進行訪問過濾,由于硬件受限,也不能采用非對稱加密體制的數字簽名和公鑰證書機制。WSN必須建立一套符合自身特點,綜合考慮性能、效率和安全性的訪問控制機制。
3 WSN安全的研究現狀
3.1 密鑰管理
密鑰管理是數據加密技術中的重要環節,它處理密鑰從生成到銷毀的整個生命周期,涉及密鑰的生成、分發、存儲、更新及銷毀等所有方面,密鑰的丟失將直接導致明文的泄露。有效的密鑰管理方案是實現WSN安全的基礎。
3.2 攻防技術
WSN受到的攻擊類型主要有Sybil攻擊、Sinkhole攻擊、Wormhole攻擊、Hello泛洪攻擊、選擇性轉發等。
(1)Sybil攻擊
Sybil攻擊的目標是破壞依賴多節點合作和多路徑路由的分布式解決方案。在Sybil攻擊中,惡意節點通過扮演其他節點或者通過聲明虛假身份,對網絡中其他節點表現出多重身份。Sybil攻擊能夠明顯降低路由方案對于諸如分布式存儲、分散和多路徑路由、拓撲結構保持的容錯能力,對于基于位置信息的路由協議也構成很大的威脅。參考文獻[8]第一次系統地分析了Sybil攻擊及其防御手段,對Sybil攻擊進行了分類,分析了攻擊者如何使用不同類型的Sybil攻擊破壞網絡的協議或算法的性能,提出了一種采用密鑰交換來確認節點身份的方案,可以有效地防御Sybil攻擊。但是這種方案需要額外消耗大量能量以完成隨機密鑰的生成和交換,并且傳感器節點需要存儲大量的密鑰信息,這使得該方案在節點資源受限的WSN的應用受到了限制。參考文獻[9]提出了一種基于接收信號強度檢測器(received signal strength indicator,RSSI)的解決方案,該方案通過計算接收節點和另外一個協同節點RSSI的比值在兩個時刻是否相等,來判斷發送節點是否為Sybil節點。該方案對Sybil攻擊的檢測概率達到99%以上,對通信要求也不高,只需要接收節點與另外一個協同節點進行一次通信即可。其缺點是存在較高的誤檢概率,存在將合法節點當成Sybil節點的可能性,但是這對整個網絡造成的危害與Sybil攻擊相比是微乎其微的。該方案具有較高的實用價值。
(2)Sinkhole攻擊
攻擊者為一個被妥協的節點篡改路由信息,盡可能地引誘附近的流量通過該惡意節點,一旦數據都經過該惡意節點,該惡意節點就可以對正常數據進行竄改或選擇性轉發,從而引發其他類型的攻擊。參考文獻[10]提出了一種新的輕量級的針對Sinkhole攻擊的入侵檢測方案,該方案主要分為兩步:基站首先通過檢查數據密度列出可疑節點,然后采用一種安全、低開銷的算法以分布式的方式搜集可疑節點附近信息的傳輸情況,通過對搜集的信息進行分析來鑒別入侵者。該方案對多個惡意節點相互合作欺騙基站的情況也進行了考慮,并給出了一些加強算法。
(3)Wormhole攻擊
Wormhole攻擊對WSN有很大威脅,因為這類攻擊不需捕獲合法節點,而且在節點部署后進行組網的過程中就可以實施攻擊。惡意節點通過聲明低延遲鏈路騙取網絡的部分消息并開鑿隧道,以一種不同的方式來重傳收到的消息,這也可以引發其他類似于Sinkhole的攻擊。參考文獻[11]提出了一種檢測和預防WSN中Wormhole攻擊的方案,該方案通過地理或者臨時約束條件來限制數據包的最大傳輸距離,并給出了一種高效協議TIK來對接收的數據包進行實時認證。參考文獻[12]提出了一種針對Wormhole和關鍵鏈路的分布式檢測算法,相比以前的算法,該算法不需要專門的硬件設備來獲取節點的位置信息,節點之間不需要嚴格的時間同步。
(4)Hello泛洪攻擊
在WSN中,許多協議要求節點廣播Hello數據包發現其鄰居節點,收到該包的節點將確信它的發送者在傳輸范圍內,攻擊者通過發送大功率的信號來廣播路由或其他信息,使網絡中的每一個節點都認為攻擊者是其鄰居,這些節點就會通過“該鄰居”轉發信息,從而達到欺騙的目的,最終引起網絡的混亂。防御Hello泛洪攻擊最簡單的方法就是通信雙方采取有效措施進行相互身份認證。參考文獻[13]給出了防御Hello泛洪攻擊的有效方法。
(5)選擇性轉發
惡意節點可以概率性地轉發或者丟棄特定消息,而使網絡陷入混亂狀態。如果惡意節點拋棄所有收到的信息將形成黑洞攻擊,但是這種做法會使鄰居節點認為該惡意節點已失效,從而不再經由它轉發信息包,因此選擇性轉發更具欺騙性。其有效的解決方法是多徑路由,節點也可以通過概率否決投票并由基站或簇頭對惡意節點進行撤銷。
(6)DoS攻擊
DoS攻擊是指任何能夠削弱或消除WSN正常工作能力的行為或事件,對網絡的可用性危害極大,攻擊者可以通過擁塞、沖突碰撞、資源耗盡、方向誤導、去同步等多種方法在WSN協議棧的各個層次上進行攻擊。參考文獻[14]提出了一種基于流量預測的傳感器網絡DoS攻擊檢測方案,該方案從DoS攻擊引發的網絡流量異常變化入手,根據已有的流量觀測值來預測未來流量,如果真實的流量與其預測流量存在較大偏差,則判定為一種異常或攻擊。該方案在一種簡單、高效的流量預測模型ARMA(2,1)的基礎上,設計了一種基于閾值超越的流量異常判斷機制,使路徑中的節點在攻擊發生后自發地檢測異常,最后提出了一種報警評估機制以提高檢測質量。閾值的設定是該方案的關鍵,要綜合考慮具體應用場景的信道誤碼率和應用環境的安全需求等因素。
4 WSN安全研究重點
WSN安全問題已經成為WSN研究的熱點與難點,隨著對WSN安全研究的不斷深入,筆者認為以下幾個方向將成為研究的重點。
(1)密鑰管理
· 密鑰的動態管理問題。WSN的節點隨時都可能變化(死亡、捕獲、增加等),其密鑰管理方案要具有良好的可擴展性,能夠通過密鑰的更新或撤銷適應這種頻繁的變化。
· 丟包率的問題。WSN無線的通信方式必然存在一定的丟包率,目前絕大多數的密鑰管理方案都是建立在不存在丟包的基礎上的,這與實際是不相符的,因此需要設計一種允許一定丟包率的密鑰管理方案。
· 分層、分簇或分組密鑰管理方案的研究。WSN一般節點數目較多,整個網絡的安全性與節點資源的有限性之間的矛盾通過傳統的密鑰管理方式很難解決,而通過對節點進行合理的分層、分簇或分組管理,可以在提高網絡安全性的同時,降低節點的通信、存儲開銷。因此,密鑰管理方案的分層、分簇或分組研究是WSN安全研究的一個重點。
· 橢圓曲線密碼算法在WSN中的應用研究。
(2)安全路由
WSN沒有專門的路由設備,傳感器節點既要完成信息的感應和處理,又要實現路由功能。另外,傳感器節點的資源受限,網絡拓撲結構也會不斷發生變化。這些特點使得傳統的路由算法無法應用到WSN中。設計具有良好的擴展性,且適應WSN安全需求的安全路由算法是WSN安全研究的重要內容。
(3)安全數據融合
在WSN中,傳感器節點一般部署較為密集,相鄰節點感知的信息有很多都是相同的,為了節省帶寬、提高效率,信息傳輸路徑上的中間節點一般會對轉發的數據進行融合,減少數據冗余。但是數據融合會導致中間節點獲知傳輸信息的內容,降低了傳輸內容的安全性。在確保安全的基礎上,提高數據融合技術的效率是WSN實際應用中需要解決的問題。
(4)入侵檢測
· 針對不同的應用環境與攻擊手段,誤檢率與漏檢率之間的平衡問題;
· 結合集中式和分布式檢測方法的優點,更高效的入侵檢測機制的研究。
(5)安全強度與網絡壽命的平衡
WSN的應用很廣泛,針對不同的應用環境,如何在網絡的安全強度和使用壽命之間取得平衡,在安全的基礎上充分發揮WSN的效能,也是一個急需解決的問題。
5 結束語
WSN作為虛擬網絡與現實世界連接的橋梁,在未來具有廣闊的應用前景,其安全問題現已引起了國內外眾多學者的注意。密鑰管理是WSN其他安全機制如安全路由、安全數據融合、入侵檢測等的基礎,是WSN安全研究中最基本的內容。在以后的科研工作中,筆者將從密鑰管理出發,結合現有的密鑰管理方案和WSN協議棧,對WSN安全進行深入研究。
隨著傳感器、計算機、無線通信及微機電等技術的發展和相互融合,產生了無線傳感器網絡(wireless sensor network,WSN),目前WSN的應用越來越廣泛,已涉及國防軍事、國家安全等敏感領域,安全問題的解決是這些應用得以實施的基本保證。WSN一般部署廣泛,節點位置不確定,網絡的拓撲結構也處于不斷變化之中。另外,節點在通信能力、計算能力、存儲能力、電源能量、物理安全和無線通信等方面存在固有的局限性,WSN的這些局限性直接導致了許多成熟、有效的安全方案無法順利應用。正是這種“供”與“求”之間的矛盾使得WSN安全研究成為熱點。
2 WSN安全問題
2.1 與安全相關的特點
WSN與安全相關的特點主要有以下幾個。
· 資源受限,通信環境惡劣。WSN單個節點能量有限,存儲空間和計算能力差,直接導致了許多成熟、有效的安全協議和算法無法順利應用。另外,節點之間采用無線通信方式,信道不穩定,信號不僅容易被竊聽,而且容易被干擾或篡改。
· 部署區域的安全無法保證,節點易失效。傳感器節點一般部署在無人值守的惡劣環境或敵對環境中,其工作空間本身就存在不安全因素,節點很容易受到破壞或被俘,一般無法對節點進行維護,節點很容易失效。
· 網絡無基礎框架。在WSN中,各節點以自組織的方式形成網絡,以單跳或多跳的方式進行通信,由節點相互配合實現路由功能,沒有專門的傳輸設備,傳統的端到端的安全機制無法直接應用。
· 部署前地理位置具有不確定性。在WSN中,節點通常隨機部署在目標區域,任何節點之間是否存在直接連接在部署前是未知的。
2.2 安全需求
WSN的安全需求主要有以下幾個方面。
· 機密性。機密性要求對WSN節點間傳輸的信息進行加密,讓任何人在截獲節點間的物理通信信號后不能直接獲得其所攜帶的消息內容。
· 完整性。WSN的無線通信環境為惡意節點實施破壞提供了方便,完整性要求節點收到的數據在傳輸過程中未被插入、刪除或篡改,即保證接收到的消息與發送的消息是一致的。
· 健壯性。WSN一般被部署在惡劣環境、無人區域或敵方陣地中,外部環境條件具有不確定性,另外,隨著舊節點的失效或新節點的加入,網絡的拓撲結構不斷發生變化。因此,WSN必須具有很強的適應性,使得單個節點或者少量節點的變化不會威脅整個網絡的安全。
· 真實性。WSN的真實性主要體現在兩個方面:點到點的消息認證和廣播認證。點到點的消息認證使得某一節點在收到另一節點發送來的消息時,能夠確認這個消息確實是從該節點發送過來的,而不是別人冒充的;廣播認證主要解決單個節點向一組節點發送統一通告時的認證安全問題。
· 新鮮性。在WSN中由于網絡多路徑傳輸延時的不確定性和惡意節點的重放攻擊使得接收方可能收到延后的相同數據包。新鮮性要求接收方收到的數據包都是最新的、非重放的,即體現消息的時效性。
· 可用性。可用性要求WSN能夠按預先設定的工作方式向合法的用戶提供信息訪問服務,然而,攻擊者可以通過信號干擾、偽造或者復制等方式使WSN處于部分或全部癱瘓狀態,從而破壞系統的可用性。
· 訪問控制。WSN不能通過設置防火墻進行訪問過濾,由于硬件受限,也不能采用非對稱加密體制的數字簽名和公鑰證書機制。WSN必須建立一套符合自身特點,綜合考慮性能、效率和安全性的訪問控制機制。
3 WSN安全的研究現狀
3.1 密鑰管理
密鑰管理是數據加密技術中的重要環節,它處理密鑰從生成到銷毀的整個生命周期,涉及密鑰的生成、分發、存儲、更新及銷毀等所有方面,密鑰的丟失將直接導致明文的泄露。有效的密鑰管理方案是實現WSN安全的基礎。
3.2 攻防技術
WSN受到的攻擊類型主要有Sybil攻擊、Sinkhole攻擊、Wormhole攻擊、Hello泛洪攻擊、選擇性轉發等。
(1)Sybil攻擊
Sybil攻擊的目標是破壞依賴多節點合作和多路徑路由的分布式解決方案。在Sybil攻擊中,惡意節點通過扮演其他節點或者通過聲明虛假身份,對網絡中其他節點表現出多重身份。Sybil攻擊能夠明顯降低路由方案對于諸如分布式存儲、分散和多路徑路由、拓撲結構保持的容錯能力,對于基于位置信息的路由協議也構成很大的威脅。參考文獻[8]第一次系統地分析了Sybil攻擊及其防御手段,對Sybil攻擊進行了分類,分析了攻擊者如何使用不同類型的Sybil攻擊破壞網絡的協議或算法的性能,提出了一種采用密鑰交換來確認節點身份的方案,可以有效地防御Sybil攻擊。但是這種方案需要額外消耗大量能量以完成隨機密鑰的生成和交換,并且傳感器節點需要存儲大量的密鑰信息,這使得該方案在節點資源受限的WSN的應用受到了限制。參考文獻[9]提出了一種基于接收信號強度檢測器(received signal strength indicator,RSSI)的解決方案,該方案通過計算接收節點和另外一個協同節點RSSI的比值在兩個時刻是否相等,來判斷發送節點是否為Sybil節點。該方案對Sybil攻擊的檢測概率達到99%以上,對通信要求也不高,只需要接收節點與另外一個協同節點進行一次通信即可。其缺點是存在較高的誤檢概率,存在將合法節點當成Sybil節點的可能性,但是這對整個網絡造成的危害與Sybil攻擊相比是微乎其微的。該方案具有較高的實用價值。
(2)Sinkhole攻擊
攻擊者為一個被妥協的節點篡改路由信息,盡可能地引誘附近的流量通過該惡意節點,一旦數據都經過該惡意節點,該惡意節點就可以對正常數據進行竄改或選擇性轉發,從而引發其他類型的攻擊。參考文獻[10]提出了一種新的輕量級的針對Sinkhole攻擊的入侵檢測方案,該方案主要分為兩步:基站首先通過檢查數據密度列出可疑節點,然后采用一種安全、低開銷的算法以分布式的方式搜集可疑節點附近信息的傳輸情況,通過對搜集的信息進行分析來鑒別入侵者。該方案對多個惡意節點相互合作欺騙基站的情況也進行了考慮,并給出了一些加強算法。
(3)Wormhole攻擊
Wormhole攻擊對WSN有很大威脅,因為這類攻擊不需捕獲合法節點,而且在節點部署后進行組網的過程中就可以實施攻擊。惡意節點通過聲明低延遲鏈路騙取網絡的部分消息并開鑿隧道,以一種不同的方式來重傳收到的消息,這也可以引發其他類似于Sinkhole的攻擊。參考文獻[11]提出了一種檢測和預防WSN中Wormhole攻擊的方案,該方案通過地理或者臨時約束條件來限制數據包的最大傳輸距離,并給出了一種高效協議TIK來對接收的數據包進行實時認證。參考文獻[12]提出了一種針對Wormhole和關鍵鏈路的分布式檢測算法,相比以前的算法,該算法不需要專門的硬件設備來獲取節點的位置信息,節點之間不需要嚴格的時間同步。
(4)Hello泛洪攻擊
在WSN中,許多協議要求節點廣播Hello數據包發現其鄰居節點,收到該包的節點將確信它的發送者在傳輸范圍內,攻擊者通過發送大功率的信號來廣播路由或其他信息,使網絡中的每一個節點都認為攻擊者是其鄰居,這些節點就會通過“該鄰居”轉發信息,從而達到欺騙的目的,最終引起網絡的混亂。防御Hello泛洪攻擊最簡單的方法就是通信雙方采取有效措施進行相互身份認證。參考文獻[13]給出了防御Hello泛洪攻擊的有效方法。
(5)選擇性轉發
惡意節點可以概率性地轉發或者丟棄特定消息,而使網絡陷入混亂狀態。如果惡意節點拋棄所有收到的信息將形成黑洞攻擊,但是這種做法會使鄰居節點認為該惡意節點已失效,從而不再經由它轉發信息包,因此選擇性轉發更具欺騙性。其有效的解決方法是多徑路由,節點也可以通過概率否決投票并由基站或簇頭對惡意節點進行撤銷。
(6)DoS攻擊
DoS攻擊是指任何能夠削弱或消除WSN正常工作能力的行為或事件,對網絡的可用性危害極大,攻擊者可以通過擁塞、沖突碰撞、資源耗盡、方向誤導、去同步等多種方法在WSN協議棧的各個層次上進行攻擊。參考文獻[14]提出了一種基于流量預測的傳感器網絡DoS攻擊檢測方案,該方案從DoS攻擊引發的網絡流量異常變化入手,根據已有的流量觀測值來預測未來流量,如果真實的流量與其預測流量存在較大偏差,則判定為一種異常或攻擊。該方案在一種簡單、高效的流量預測模型ARMA(2,1)的基礎上,設計了一種基于閾值超越的流量異常判斷機制,使路徑中的節點在攻擊發生后自發地檢測異常,最后提出了一種報警評估機制以提高檢測質量。閾值的設定是該方案的關鍵,要綜合考慮具體應用場景的信道誤碼率和應用環境的安全需求等因素。
4 WSN安全研究重點
WSN安全問題已經成為WSN研究的熱點與難點,隨著對WSN安全研究的不斷深入,筆者認為以下幾個方向將成為研究的重點。
(1)密鑰管理
· 密鑰的動態管理問題。WSN的節點隨時都可能變化(死亡、捕獲、增加等),其密鑰管理方案要具有良好的可擴展性,能夠通過密鑰的更新或撤銷適應這種頻繁的變化。
· 丟包率的問題。WSN無線的通信方式必然存在一定的丟包率,目前絕大多數的密鑰管理方案都是建立在不存在丟包的基礎上的,這與實際是不相符的,因此需要設計一種允許一定丟包率的密鑰管理方案。
· 分層、分簇或分組密鑰管理方案的研究。WSN一般節點數目較多,整個網絡的安全性與節點資源的有限性之間的矛盾通過傳統的密鑰管理方式很難解決,而通過對節點進行合理的分層、分簇或分組管理,可以在提高網絡安全性的同時,降低節點的通信、存儲開銷。因此,密鑰管理方案的分層、分簇或分組研究是WSN安全研究的一個重點。
· 橢圓曲線密碼算法在WSN中的應用研究。
(2)安全路由
WSN沒有專門的路由設備,傳感器節點既要完成信息的感應和處理,又要實現路由功能。另外,傳感器節點的資源受限,網絡拓撲結構也會不斷發生變化。這些特點使得傳統的路由算法無法應用到WSN中。設計具有良好的擴展性,且適應WSN安全需求的安全路由算法是WSN安全研究的重要內容。
(3)安全數據融合
在WSN中,傳感器節點一般部署較為密集,相鄰節點感知的信息有很多都是相同的,為了節省帶寬、提高效率,信息傳輸路徑上的中間節點一般會對轉發的數據進行融合,減少數據冗余。但是數據融合會導致中間節點獲知傳輸信息的內容,降低了傳輸內容的安全性。在確保安全的基礎上,提高數據融合技術的效率是WSN實際應用中需要解決的問題。
(4)入侵檢測
· 針對不同的應用環境與攻擊手段,誤檢率與漏檢率之間的平衡問題;
· 結合集中式和分布式檢測方法的優點,更高效的入侵檢測機制的研究。
(5)安全強度與網絡壽命的平衡
WSN的應用很廣泛,針對不同的應用環境,如何在網絡的安全強度和使用壽命之間取得平衡,在安全的基礎上充分發揮WSN的效能,也是一個急需解決的問題。
5 結束語
WSN作為虛擬網絡與現實世界連接的橋梁,在未來具有廣闊的應用前景,其安全問題現已引起了國內外眾多學者的注意。密鑰管理是WSN其他安全機制如安全路由、安全數據融合、入侵檢測等的基礎,是WSN安全研究中最基本的內容。在以后的科研工作中,筆者將從密鑰管理出發,結合現有的密鑰管理方案和WSN協議棧,對WSN安全進行深入研究。
