摘 要：無線傳感器網(wǎng)絡(luò)是集成了傳感器技術(shù)、計算機(jī)技術(shù)和無線通信技術(shù)的一種新型的網(wǎng)絡(luò)。它是獲取外部環(huán)境的物理信息的一種有效的方法。可以工作在惡劣的環(huán)境下，獲取人們自身無法得到的信息。本文主要分析了對傳感器網(wǎng)絡(luò)安全構(gòu)成威脅的幾種具體攻擊，并提出適當(dāng)?shù)慕鉀Q機(jī)制，以保證網(wǎng)絡(luò)運(yùn)行的安全。 關(guān)鍵詞：無線傳感器網(wǎng)絡(luò) 路由協(xié)議 密鑰管理 數(shù)據(jù)融合 [b][align=center]Research on the Security in Wireless Sensor Networks （WSN） ZHENGqiang，WANG-Xiaodong[/align][/b] Abstract：Sensor network is a new-style network that integrates sensor technology, computer technology and wireless communication technology. It is effective way that obtains exterior information. Sensor network can fix wireless sensor network in the area where people can’t reach and obtain some useful information that people can’t get. The paper mainly analyses specific attack of security threats specific to sensor networks, advises suitable solve mechanisms,and assure security of network. Keywords：Wireless Sensor Networks, Routing Protocol, Key Management, Data Fusion 1 引言 　　隨著網(wǎng)絡(luò)技術(shù)、傳感器技術(shù)、微機(jī)電系統(tǒng)（MEMS）和無線通信技術(shù)的不斷發(fā)展，出現(xiàn)了一種新型的網(wǎng)絡(luò)技術(shù)­­――無線傳感器網(wǎng)絡(luò)技術(shù)（WSN）。眾多具有通信、計算能力的傳感器通過無線方式連接;相互協(xié)作，與物理世界進(jìn)行交互，共同完成特定的應(yīng)用任務(wù)，成為傳感器網(wǎng)絡(luò)。與傳統(tǒng)無線通訊網(wǎng)絡(luò)Ad Hoc網(wǎng)絡(luò)相比，WSN的自組織性、動態(tài)性、可靠性和以數(shù)據(jù)為中心等特點(diǎn)，使其可以應(yīng)用到人員無法到達(dá)的地方[1]，比如戰(zhàn)場，沙漠等，因此，WSN的潛在應(yīng)用包括：地球物理監(jiān)視（地震活動），精確度農(nóng)業(yè)（土壤管理），棲所監(jiān)視（跟蹤動物牧群），跟蹤戰(zhàn)場目標(biāo)，救災(zāi)網(wǎng)絡(luò)等等。 2 安全分析 　　早期的研究集中在新的網(wǎng)絡(luò)協(xié)議發(fā)展方面，新的協(xié)議具有比其他ad-hoc網(wǎng)絡(luò)更嚴(yán)格的性能要求，包括節(jié)能、自組織能力、高數(shù)量節(jié)點(diǎn)的可測量性等。然而，傳感器網(wǎng)絡(luò)的多數(shù)應(yīng)用面臨嚴(yán)峻的安全問題，包括竊聽、傳感器數(shù)據(jù)偽造、拒絕服務(wù)攻擊和傳感器節(jié)點(diǎn)物理妥協(xié)，這使得安全問題和其他傳感器性能問題同樣重要。以下具體分析對傳感器網(wǎng)絡(luò)安全威脅攻擊，并提出適當(dāng)?shù)慕鉀Q機(jī)制，以適應(yīng)這種新出現(xiàn)的特殊的ad-hoc網(wǎng)絡(luò)分類。 　　一、路由安全 　　許多傳感器網(wǎng)絡(luò)路由協(xié)議是相當(dāng)簡單的，并且不把安全放在主要目標(biāo)。因此，這些協(xié)議比在一般ad-hoc網(wǎng)絡(luò)更易受攻擊。 Karlof等介紹了如何攻擊ad-hoc網(wǎng)絡(luò)和端對端網(wǎng)絡(luò)，同時也介紹了sinkholes和HELLO flood攻擊，我們簡要地介紹攻擊傳感器網(wǎng)絡(luò)的這兩類攻擊。 　　sinkholes攻擊-根據(jù)路由算法技術(shù)，sinkholes攻擊設(shè)法誘使幾乎所有通往衰竭節(jié)點(diǎn)的數(shù)據(jù)，在對方中心創(chuàng)造一個“污水池”。例如，攻擊者可能欺騙或重放一個虛假信息給通過衰竭節(jié)點(diǎn)的一條高質(zhì)量路線。如果路由協(xié)議使用一個端到端承認(rèn)技術(shù)來核實(shí)路線的質(zhì)量，一個強(qiáng)有力的laptop類攻擊者可能供給一條特高品質(zhì)路線，以單跳方式提供足夠的能量到達(dá)目的地，就象早期的rushing攻擊。因?yàn)閟inkholes攻擊意味很大數(shù)量的節(jié)點(diǎn)，他們能夠引起許多篡改交通流通的其他攻擊，例如有選擇性的向前。我們應(yīng)該提及傳感器網(wǎng)絡(luò)由于自身的特別通信范例，對這類攻擊是特別脆弱的，所有節(jié)點(diǎn)必須發(fā)送感知數(shù)據(jù)到一個接收節(jié)點(diǎn)。因此，一個減弱的節(jié)點(diǎn)只有提供一條唯一優(yōu)質(zhì)路線給接收節(jié)點(diǎn)，為了感應(yīng)潛在的大量節(jié)點(diǎn)。 　　sinkholes攻擊是很難防范的，特別是在集成的路由協(xié)議，結(jié)合數(shù)據(jù)信息例如剩余能量。另外，geo-路由協(xié)議作為抵抗sinkholes攻擊眾所周知，因?yàn)樗耐負(fù)浣Y(jié)構(gòu)建立在局部信息和通信上，通信通過接收節(jié)點(diǎn)的實(shí)際位置自然地尋址，所以在別處誘使它創(chuàng)造污水池變得就很困難了。 　　HELLO flood攻擊-這類攻擊對他們的鄰居節(jié)點(diǎn)發(fā)送多數(shù)路由協(xié)議必需的hello數(shù)據(jù)包。收到這樣數(shù)據(jù)包的節(jié)點(diǎn)也許假設(shè)，它在發(fā)送者的范圍內(nèi)。Laptop類攻擊者在網(wǎng)絡(luò)中能寄發(fā)這種數(shù)據(jù)包到所有傳感器節(jié)點(diǎn)，以使他們相信減弱的節(jié)點(diǎn)屬于他們的鄰居。這導(dǎo)致大量的節(jié)點(diǎn)發(fā)送數(shù)據(jù)包到這個虛構(gòu)的鄰居。傳感器網(wǎng)絡(luò)中的幾個路由協(xié)議，例如directed diffustion ，LEACH，and TEEN [2]，易受這類攻擊，特別是當(dāng)hello包包含路由信息或定位信息進(jìn)行交換。一種簡單的方式減少hello泛洪攻擊是驗(yàn)證鏈接是否是雙向的。然而，如果攻擊者有一臺高度敏感接收器，一個信任的接收節(jié)點(diǎn)為了防止hello攻擊，對每個節(jié)點(diǎn)來說也許只選擇有限的鄰居節(jié)點(diǎn)。 　　解決方法：SPINS安全框架協(xié)議-SPINS提出用于優(yōu)選的二個傳感器網(wǎng)絡(luò)安全協(xié)議框架，即SNEP和μTESLA。SNEP通過一個鏈接加密功能實(shí)現(xiàn)加密作用。這個技術(shù)在發(fā)送者和接收者之間使用一個共有的計數(shù)器，建立一個一次性密鑰的接收器防止重放攻擊并且保證數(shù)據(jù)新鮮。SNEP也使用一個信息驗(yàn)證代碼保證兩方認(rèn)證和數(shù)據(jù)完整性。μTESLA是TESLA的優(yōu)化形式，是為嚴(yán)格地提供被證實(shí)的廣播環(huán)境的一個新的協(xié)議。μTESLA需要在廣播節(jié)點(diǎn)和接收器之間實(shí)現(xiàn)寬松同步。 　　INSENS-INSENS是在傳感器網(wǎng)絡(luò)中通過修造傳感器節(jié)點(diǎn)和接收節(jié)點(diǎn)之間多個重復(fù)道路以繞過中間惡意節(jié)點(diǎn)提供闖入寬容的路由協(xié)議。另外，INSENS也限制了DOS類型泛洪攻擊，同時防止錯誤路由信息或其他控制信息克服sinkholes攻擊。然而，INSENS存在幾個缺點(diǎn)，最重要的是接收節(jié)點(diǎn)應(yīng)該容錯，并且它不應(yīng)該在休息時被攻擊者與網(wǎng)絡(luò)的其余節(jié)點(diǎn)隔離分開。 　　二、密鑰管理發(fā)布 　　雖然“密鑰管理”在保證機(jī)密和認(rèn)證方面是重要的，但它在無線傳感器網(wǎng)絡(luò)中仍然存在著很多未解決的問題，主要表現(xiàn)在以下幾個方面： 　　密鑰前配置：在傳感器網(wǎng)絡(luò)設(shè)計安裝前，由于未知的物理拓?fù)浣Y(jié)構(gòu)，predeployment密鑰被考慮作為唯一的實(shí)用選擇密鑰分發(fā)給相應(yīng)的可信賴選項(xiàng)。然而，傳統(tǒng)密鑰配置計劃在無線傳感器網(wǎng)絡(luò)是不合適的，安裝的密鑰在每個節(jié)點(diǎn)要么是單一任務(wù)密鑰，要么是一套分離的n-1密鑰，與另一個私下配對分享。實(shí)際上，所有傳感器節(jié)點(diǎn)的捕獲都會危及整個網(wǎng)絡(luò)的安全，因?yàn)樵趥鞲衅鞑东@偵查上有選擇性的密鑰撤銷是不可能的，反之在每個傳感器節(jié)點(diǎn)成對的密鑰分配解決需要存儲和裝載n-1個密鑰[3]。當(dāng)使用超過10000個傳感器時，由于資源局限先前描述了，這就變得不切實(shí)際了。此外，因?yàn)橹苯拥狞c(diǎn)對點(diǎn)通信是僅在數(shù)量極少的鄰近節(jié)點(diǎn)之間完成的，分享在所有兩個傳感器節(jié)點(diǎn)之間的私用密鑰是不能再用的。 　　共享密鑰發(fā)現(xiàn)：另一個富有挑戰(zhàn)性問題是每個節(jié)點(diǎn)在它分享至少一把密鑰的無線通信范圍內(nèi)需要發(fā)現(xiàn)一個鄰居。 因此，只有當(dāng)他們分享一把密鑰時，鏈接存在兩個傳感器節(jié)點(diǎn)之間。一種好的共享密鑰發(fā)現(xiàn)方法不應(yīng)該允許攻擊者知道其在每兩個節(jié)點(diǎn)之間的共有密鑰。 　　道路密鑰確立：對于不共享密鑰和以多跳方式連接的任一對節(jié)點(diǎn)來說，需要被分配道路密鑰來保證端到端的安全通信。道路鑰匙應(yīng)該是與中介節(jié)點(diǎn)不成對地共享鑰匙，這一點(diǎn)很重要。 　　除了這些問題之外， 在傳感器網(wǎng)絡(luò)中密鑰管理還面對其他重要富有挑戰(zhàn)性問題，例如當(dāng)可利用的密鑰過期時，能量效率重建密鑰機(jī)制，以及最小密鑰建立延遲。 　　解決方法：為了克服傳統(tǒng)的密鑰配置缺點(diǎn)，本質(zhì)上是解決配置在每個節(jié)點(diǎn)上的密鑰的大小。例如，被描述的機(jī)率密鑰分享協(xié)議是在每兩個節(jié)點(diǎn)之間使用保證的一種共有的密鑰發(fā)現(xiàn)方法，以一個被選上的概率，分享一把密鑰，僅僅很小數(shù)量的密鑰在每個傳感器節(jié)點(diǎn)被裝載。后者從一個大的密鑰池中任意地得出。然而，這個協(xié)議存在幾個缺點(diǎn)，由于它對被信任的控制節(jié)點(diǎn)的信賴，每個密鑰圈和對應(yīng)的傳感器的身份驗(yàn)證密鑰標(biāo)識符被保存。此外，基本的機(jī)率密鑰分享方法的恢復(fù)力對節(jié)點(diǎn)捕獲能力是微弱的，因?yàn)閮H一把密鑰分享在每兩個節(jié)點(diǎn)之間，對于攻擊者來說，捕獲一個小數(shù)字節(jié)點(diǎn)來打破大數(shù)字鏈接變得比較容易。為提高節(jié)點(diǎn)捕獲能力的恢復(fù)力，提出了一種q綜合方法[4]，q密鑰（q > 1）需要分享在節(jié)點(diǎn)之間來代替一把密鑰。當(dāng)很小數(shù)量的節(jié)點(diǎn)減弱，這種方法證明了它的效率與基本配置的比較。另一個解決方案是一把共有的密鑰可以位于多個節(jié)點(diǎn)中，不僅僅只有兩個節(jié)點(diǎn)知道。因此，這把密鑰不可能加密任何在網(wǎng)絡(luò)中使用的兩個節(jié)點(diǎn)間的私有消息。所以，我們提議強(qiáng)化基本的機(jī)率方法，建立使用極限密鑰共享，對相應(yīng)的通訊節(jié)點(diǎn)建立專有的配對方式密鑰。 　　另一個重要研究趨勢是在傳感器網(wǎng)絡(luò)中密鑰管理領(lǐng)域，包括在這樣環(huán)境里允許對公共密鑰加密法用途的新技術(shù)。Guabtz等提出對被使用的加密算法和關(guān)聯(lián)參量的正確選擇，仔細(xì)優(yōu)化，以及低功率設(shè)計技術(shù)可能使不對稱的加密在傳感器網(wǎng)絡(luò)中可行。雖然這項(xiàng)研究顯示出，公共密鑰加密法可以達(dá)到與使用NtruEncrypt密碼系統(tǒng)平均功率消耗量少20 W [5]，但我們應(yīng)該注意到，這種算法還沒有證明它對密碼分析學(xué)的抵抗。另外，考慮運(yùn)算法則的安全級別，不能反映使用不對稱的密碼學(xué)在傳感器網(wǎng)絡(luò)中的現(xiàn)實(shí)情景，因?yàn)槲覀兿嘈旁跓o線傳感器網(wǎng)絡(luò)中對公共密鑰機(jī)制的使用由一個更高的安全級別的保證比那些以更低的消息交換的對稱關(guān)鍵技術(shù)更復(fù)雜。 　　三、數(shù)據(jù)融合安全 　　數(shù)據(jù)聚合（或數(shù)據(jù)融合）是在無線傳感器網(wǎng)絡(luò)的設(shè)計和發(fā)展中涌現(xiàn)的一個關(guān)鍵主題。在這個過程中，稱作“aggregators”的中介節(jié)點(diǎn)收集未加工的感知信息形式傳感器節(jié)點(diǎn)，在本地處理它，并且迅速將結(jié)果發(fā)送給終端用戶。這種重要操作根本上減少相當(dāng)數(shù)量在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，因而延長節(jié)點(diǎn)的工作周期，是無線傳感器網(wǎng)絡(luò)最重要的設(shè)計因素[6]。然而，這種功能由于攻擊環(huán)境的存在而受到挑戰(zhàn)。對于數(shù)據(jù)融合有效性的斷言提出了對重復(fù)數(shù)據(jù)融合節(jié)點(diǎn)的用途。這些節(jié)點(diǎn)進(jìn)行數(shù)據(jù)融合操作和aggregators一樣， 但寄發(fā)的結(jié)果作為信息驗(yàn)證代碼（MAC）送到aggregator而不是送它到基地[7]。為了證明融合結(jié)果的有效性，aggregator必須與它所證明節(jié)點(diǎn)接收到的結(jié)果一起沿著計劃的路線送到基地。如果一衰竭的aggregator想要發(fā)送無效融合數(shù)據(jù)，它必須給無效結(jié)果偽造證明。當(dāng)n從m證人處證明與aggregators結(jié)果一致時，融合結(jié)果被證實(shí)，否則后者放棄并且基地發(fā)送它合法的融合結(jié)果。我們認(rèn)為當(dāng)證人被足夠信任時，這種解答是高效率的，否則它要求使用投票計劃以獲得可接受的融合結(jié)果。在提出了基于融合集體證明方法的安全框架核實(shí)aggregators給的值是真實(shí)值的接近值，即使aggregators和傳感器節(jié)點(diǎn)發(fā)生破壞。在這種方法中aggregator通過修建Merkle雜亂信息樹來收集數(shù)據(jù)。aggregator承諾保證使用傳感器提供的數(shù)據(jù)，并且作為基地核實(shí)的聲明關(guān)于融合結(jié)果的正確性。 3 結(jié)束語 　　無線傳感器作為特殊的ad-hoc網(wǎng)絡(luò)，具有其自身的特點(diǎn)，同時對安全也提出了新要求，安全是一個好的傳感網(wǎng)絡(luò)設(shè)計中的關(guān)鍵問題，沒有足夠的保護(hù)機(jī)密性、私有性、完整性和其它攻擊的措施，傳感器網(wǎng)絡(luò)就不能得到廣泛的應(yīng)用，它只能在有限的、受控的環(huán)境中得到實(shí)施，這會嚴(yán)重影響傳感器網(wǎng)絡(luò)的應(yīng)用前景。本文從WSN可能受到的安全攻擊及相應(yīng)的防御方法等方面對目前國內(nèi)外開展的研究進(jìn)行了較系統(tǒng)的總結(jié),提供了適當(dāng)?shù)慕鉀Q機(jī)制,有助于了解當(dāng)前WSN安全研究進(jìn)展及現(xiàn)狀。 參考文獻(xiàn)： 　　[1] 梁國偉，李長武，李文軍.網(wǎng)絡(luò)化智能傳感技術(shù)發(fā)展淺析.微計算機(jī)信息，2004年第七期。 　　[2] C. Karlof and D. Wagner, “Secure Routing in Wireless Sensor Networks: Attacks and Countermeasure,” 1st IEEE International Workshop on Sensor Network Protocols and Applications,USA, 2003. 　　[3] L. Eschenauer and V. D. Gligor, “A Key Management Scheme for Distributed Sensor Networks,” CC502, Washington DC, USA, 2002. 　　[4] R. D. Pietro, L. Mancini, and A. Mci, “Efficient and Resilient Key Discovery based on Pseudo-random Key Pre-deployment,” 18th Int’l. Parallel and Distributed Processing Symp., Apr. 2004. 　　[5] W. Du et al., “A Witness-based Approach for Data Fusion Assurance in Wireless Sensor Networks,” GLOBECOM ’03, 2003. 　　[6] B. Przydatek, D. Song, and A. Perrig, “SIA: Secure Information Aggregation in Sensor Networks,” SenSys03, 2003. 　　[7] S. R. Madden et al., “Tag: A Tiny Aggregation Service for Ad-hoc Sensor Networks,” OSDI, Dec. 2002.