鄭曉東 王健

在如今“地球村”的世界里，無線傳感器網(wǎng)絡因其價格實惠、擴展方便與部署靈活的優(yōu)點，已滲入到各個領(lǐng)域。無線傳感器網(wǎng)絡方便人類生活的同時，因其工作在高度開放與合作的環(huán)境中，加上本身節(jié)點鏈接的脆弱性、缺失身份認證、缺乏管理點和缺乏集中監(jiān)控、拓撲結(jié)構(gòu)動態(tài)化的特性，使其存在諸多安全威脅。尤其是針對路由層的攻擊，稍出差錯，就有可能致使整個無線傳感器網(wǎng)絡癱瘓。路由的安全關(guān)系到整個無線傳感器網(wǎng)絡的運行，掌控路由技術(shù)尤為關(guān)鍵。

一、無線傳感器網(wǎng)絡安全問題概述

無線傳感器網(wǎng)絡的節(jié)點設備都是暴露的，得不到物理安全保護，加上是無線傳輸?shù)耐ㄐ欧绞?，極大增加了網(wǎng)絡的安全問題。此外，由于無線傳感器沒有基礎設施，且所有的業(yè)務與拓撲結(jié)構(gòu)均是動態(tài)變化的，少了基礎設備的支持，脆弱的無線鏈路就易于受到各種網(wǎng)絡攻擊，網(wǎng)絡安全受到威脅。

（一）待解決安全問題

1. 機密性。保證合法發(fā)送者與接收者的數(shù)據(jù)信息，防止敵手截取到傳輸?shù)拿魑膬?nèi)容。通常是采取信息加/解密手段，與非對稱加密措施相比，無線傳感器網(wǎng)絡更傾向于如Res、Skipjack等對稱加密算法，因為此法耗能相對較小。

2. 可用性。保證整個網(wǎng)絡可用即使網(wǎng)絡遭到拒絕服務的攻擊。采取保護措施包括：入侵檢測技術(shù)、網(wǎng)絡自我恢復技術(shù)、入侵容忍技術(shù)與加入冗余信息。

3. 消息認證。保證網(wǎng)絡消息來源的可靠性與合法性，即是確認該數(shù)據(jù)包不是被冒充的，而是由該節(jié)點輸送的。身份認證、消息簽名機制、消息散列與訪問控制等措施可用于消息認證。

4. 信息新鮮性。信息具有時效性，網(wǎng)絡節(jié)點要保證收到的消息是新鮮的?？赏ㄟ^消息序列號、網(wǎng)絡管理、訪問控制、入侵檢測等手段保證數(shù)據(jù)信息的新鮮性。

5. 數(shù)據(jù)完整性。保證數(shù)據(jù)包未被惡意節(jié)點篡改，可采用循環(huán)冗余校驗（cyclic redundancy checksum，CRC）或者消息認證碼（message authentication code，MAC）檢測傳送過程中數(shù)據(jù)包有無隨機錯誤被篡改。

6. 安全管理。安全維護與安全引導都屬于安全管理的內(nèi)容。安全引導指的是網(wǎng)絡系統(tǒng)根據(jù)預定的網(wǎng)絡協(xié)議，逐漸由無安全保護通道的、獨立與分散的個體集合演變成連通的、有安全保護通道的安全網(wǎng)絡的一個過程。

（二）易受到的攻擊

1. 偽造路由信息。攻擊者通過路由環(huán)的創(chuàng)建，縮短或延長路由路徑，來拒絕或是吸引網(wǎng)絡信息流通量，篡改與偽造信息以達到分割網(wǎng)絡，增加端到端時延的目的。

2. 選擇性傳遞。攻擊者選擇性轉(zhuǎn)發(fā)或是根本不傳遞數(shù)據(jù)包，如此，在動態(tài)性很強的網(wǎng)絡拓撲結(jié)構(gòu)中，攻擊者就可以隱藏自己數(shù)據(jù)流輸送的路徑而不被發(fā)現(xiàn)，得以繼續(xù)破壞網(wǎng)絡。

3. 巫女（Sybil）攻擊。攻擊者先融入網(wǎng)絡，取得鄰居節(jié)點信任，變身為路由路徑上的中間節(jié)點后，再進行破壞活動，這是多數(shù)路由攻擊的方式。巫女攻擊在網(wǎng)絡中的節(jié)點面前身份多樣，這就迷惑了普通節(jié)點，讓其將信息傳遞到實際上屬于攻擊者的基站或匯聚節(jié)點。巫女攻擊對地理路由協(xié)議威脅特別大。

4. 蟲洞（Wormhole）攻擊。蟲洞攻擊對多跳路由協(xié)議特別有效。攻擊者把兩個節(jié)點串通合謀，一個節(jié)點處于基站附近，另一個離得遠一些，它們對鄰居節(jié)點稱它們之間建立了一條可以低時延高帶寬的鏈接“隧道”，獲得鄰居節(jié)點信任，以接收轉(zhuǎn)發(fā)信息。

5. 重放（Replay）攻擊。重放攻擊的主要攻擊手段是堵塞傳送者與接收者間的信息輸送路徑，再重放錯誤的或舊的信息并傳送過去。這種攻擊方式簡單，不需要很強的攻擊能力就可進行。

6. 確認欺騙。廣播媒介本身的屬性，給攻擊者得以竊聽到附近節(jié)點傳送過來的數(shù)據(jù)包，方便其將偽造的鏈路層確認發(fā)送。對于某些依賴明確或潛在鏈路層確認的路由更是容易遭到攻擊。攻擊者通過讓目標節(jié)點沿失效的節(jié)點發(fā)送數(shù)據(jù)包，進行選擇性信息轉(zhuǎn)發(fā)攻擊。

二、無線傳感器網(wǎng)絡安全路由技術(shù)

（一）密鑰管理技術(shù)

加密技術(shù)是保障無線傳感器網(wǎng)絡安全的基礎技術(shù)，而密鑰管理作為加密技術(shù)的核心技術(shù)，在保障無線傳感器網(wǎng)絡安全中也起到基礎的作用。

目前，無線傳感器網(wǎng)絡的密鑰管理技術(shù)大致包括四大模型：①隨機密鑰對模型。此技術(shù)對復制節(jié)點的攻擊能有效抵御，安全性高。但此模型的網(wǎng)絡擴展性小，只適用于節(jié)點數(shù)目少的網(wǎng)絡環(huán)境，大規(guī)模的節(jié)點則不適用。②基于密鑰池的隨機密鑰預分配技術(shù)。與隨機密鑰對模型相比，基于密鑰池的隨機密鑰預分配技術(shù)可適用于大規(guī)模節(jié)點的網(wǎng)絡，適應網(wǎng)絡的動態(tài)變化，某種程度可實現(xiàn)節(jié)點間的密鑰共享。但存在整個網(wǎng)絡的安全性會因攻擊方破壞部分關(guān)鍵節(jié)點而弱化的缺陷。密鑰也將被泄露，節(jié)點的正常通信受影響，網(wǎng)絡的后向機密性也難以保證。③預共享密鑰管理模型。此模型有點到點與整個網(wǎng)絡的預共享模型。點到點預共享模型適用于網(wǎng)絡規(guī)模不大，節(jié)點數(shù)量少的網(wǎng)絡環(huán)境中。全網(wǎng)預共享密鑰模型易遭到假冒攻擊或是復制攻擊，故此技術(shù)適用于網(wǎng)絡環(huán)境要穩(wěn)定但安全性要求不高的網(wǎng)絡中。④基于密鑰分發(fā)中心（KDC）的分配模型?；贙DC的分配模型支持網(wǎng)絡的動態(tài)變化，節(jié)點前向與后向的安全都可得到保證；其安全性強，即使部分節(jié)點被破壞，仍不會弱化整個網(wǎng)絡的安全性。

（二）安全路由技術(shù)

1. 以安全性作為路由協(xié)議的一個設計目標。在開始設計路由之初，應將安全性作為原始的設計目標。雖說此方式使得設計變得復雜，但對新設計來說可避免后續(xù)引入或補充安全機制或打安全補丁。能耗同樣是無線傳感器網(wǎng)絡技術(shù)首要解決的問題，安全性與能耗問題同時列為原始設計目標，可降低路由協(xié)議設計的成本，這也是研究安全路由技術(shù)未來努力的方向。

2. 擴展已有路由協(xié)議的安全性。當前的路由協(xié)議LEACH、SPIN 和 GPSR 等較為成熟，可在此基礎上進行小改動，增加安全機制，保障安全，如SRD、INTRSN等。這不失為一種好的路由協(xié)議擴展方法。

3. 多種安全機制聯(lián)合進行。權(quán)衡考慮多種安全機制，按需求選定安全策略，才能更好地保證路由協(xié)議的安全。密鑰管理、認證技術(shù)、時間戳機制與信譽機制等是目前較為完善的安全機制。如引入信譽評價值，節(jié)點用來評價鄰居節(jié)點行為或是使用基站進行監(jiān)聽與檢測，路由協(xié)議改進后可有效抵御巫女攻擊、蟲洞攻擊與選擇性攻擊。

（三）入侵檢測機制

通常而言，盡管采取了先進的安全手段預防網(wǎng)絡入侵行為的發(fā)生，網(wǎng)絡還是會遭到攻擊，且在無線傳感器網(wǎng)絡中不適用防火墻方案，所以在路由中引入攻擊檢測機制對保障無線傳感器網(wǎng)絡的安全意義重大。分布式Bayesian算法是當中較有實用性與創(chuàng)新性的檢測方法。該法統(tǒng)計可能的入侵，通過Bayesian模型計算發(fā)生攻擊的概率，估算入侵發(fā)生的節(jié)點位置，進而給出設計無線傳感器網(wǎng)絡入侵檢測系統(tǒng)的初步方案，但它具有依賴節(jié)點位置信息的缺點。

三、安全路由協(xié)議

無線傳感器網(wǎng)絡的安全問題已成為關(guān)注焦點，人們也提出了相應的安全路由協(xié)議，如基于密鑰管理實現(xiàn)的SPINS安全協(xié)議；基于自身的路由機制實現(xiàn)的REINFORM協(xié)議；多路徑路由協(xié)議，如HREEMR協(xié)議，它是在定向擴散（DD）路由機制的基礎上擴展的；關(guān)于直徑的啟發(fā)式安全路由（SRD）；基于地理位置的路由協(xié)議GEAS，GEAS協(xié)議在GPRS的基礎上加入節(jié)點的能量值，彌補了GPRS協(xié)議網(wǎng)絡中使用節(jié)點能量不平衡的缺陷；基于節(jié)點地理位置及節(jié)點信譽的路由協(xié)議TRANS；還有基于簇的LEACH等其他類型的協(xié)議。

（一）INSENS協(xié)議

INSENS協(xié)議是一個較為經(jīng)典的無線傳感器網(wǎng)絡安全路由協(xié)議，其核心思想是加入入侵容忍機制，可以保障整個網(wǎng)絡正常運行不受惡意節(jié)點攻擊的影響。INSENS整個路由通信過程分為三大步驟：第一步是請求與傳送信息。基站廣播在網(wǎng)絡初始化階段請求信息，節(jié)點收到信息后向下一跳傳送請求信息。第二步是信息回送。節(jié)點接收到路由的請求信息后，再將其擁有的路由信息傳送到基站。第三步是更新路由表?；緯?jié)點回送的信息進行匯總與優(yōu)化，檢查有無惡意節(jié)點，可對DOS攻擊進行有效抵御，保障惡意信息不被擴散。

（二）SHSMRP協(xié)議

該協(xié)議結(jié)合了納樹和分層網(wǎng)絡結(jié)構(gòu)，節(jié)點能夠自行獲得所處的、是入網(wǎng)重要條件的地理位置信息。該協(xié)議由納樹的構(gòu)造、納子樹的構(gòu)造、納樹的維護、節(jié)點信息聚集與數(shù)據(jù)傳遞五部分組成。它利用HMAC保證信息的完整性與秘密性，進而防止女巫攻擊和蟲洞攻擊。

四、結(jié)語

網(wǎng)絡本身就存有安全漏洞，也受到各種攻擊，通常路由層遭受到的攻擊最為集中，嚴重時會使整個網(wǎng)絡不能工作。所以研究安全路由技術(shù)對于保障無線傳感器網(wǎng)絡的安全至關(guān)重要，尤其是未來無線傳感器網(wǎng)絡要大規(guī)模部署，應用到更多領(lǐng)域，就必須解決路由安全問題。