无线传感器网络的安全威胁分析与对策

1.引言

　　无线传感器网络WSN（WirelessSensorNetwork）是一种自组织网络，通过大量低成本、资源受限的传感节点设备协同工作实现某一特定任务。

　　它是信息感知和采集技术的一场革命，是21世纪最重要的技术之一。它在气候监测，周边环境中的温度、灯光、湿度等情况的探测，大气污染程度的监测，建筑的结构完整性监控，家庭环境的异常情况，机场或体育馆的化学、生物威胁的检测与预告等方面，WSN将会是一个经济的替代方案，有着广泛的应用前景。

　　传感器网络为在复杂的环境中部署大规模的网络，进行实时数据采集与处理带来了希望。但同时WSN通常部署在无人维护、不可控制的环境中，除了具有一般无线网络所面临的信息泄露、信息篡改、重放攻击、拒绝服务等多种威胁外，WSN还面临传感节点轻易被攻击者物理操纵，并获取存储在传感节点中的所有信息，从而控制部分网络的威胁。用户不可能接受并部署一个没有解决好安全和隐私问题的传感网络，因此在进行WSN协议和软件设计时，必须充分考虑WSN可能面临的安全问题，并把安全机制集成到系统设计中去。只有这样，才能促进传感网络的广泛应用，否则，传感网络只能部署在有限、受控的环境中，这和传感网络的最终目标 ——实现普遍性计算并成为人们生活中的一种重要方式是相违反的。

　　一种好的安全机制设计是建立在对其所面临的威胁、网络特点等的深刻分析基础之上的，传感网络也不例外，本文将深入分析无线传感器网络特点以及其所可能面临的安全威胁，并对其相应的安全对策进行了研究和探讨。

　　2.传感器网络特点分析

　　WSN是一种大规模的分布式网络，常部署于无人维护、条件恶劣的环境当中，且大多数情况下传感节点都是一次性使用，从而决定了传感节点是价格低廉、资源极度受限的无线通信设备［2］，它的特点主要体现在以下几个方面：（1）能量有限：能量是限制传感节点能力、寿命的最主要的约束性条件，现有的传感节点都是通过标准的AAA或AA电池进行供电，并且不能重新充电。（2）计算能力有限：传感节点CPU一般只具有8bit、4MHz～8MHz的处理能力。（3）存储能力有限：传感节点一般包括三种形式的存储器即RAM、程序存储器、工作存储器。RAM用于存放工作时的临时数据，一般不超过2k字节;程序存储器用于存储操作系统、应用程序以及安全函数等，工作存储器用于存放获取的传感信息，这两种存储器一般也只有几十k字节。（4）通信范围有限：为了节约信号传输时的能量消耗，传感节点的RF模块的传输能量一般为 10mW到100mW之间，传输的范围也局限于100米到1公里之内。（5）防篡改性：传感节点是一种价格低廉、结构松散、开放的网络设备，攻击者一旦获取传感节点就很轻易获得和修改存储在传感节点中的密钥信息以及程序代码等。

　　另外，大多数传感器网络在进行部署前，其网络拓扑是无法预知的，同时部署后，整个网络拓扑、传感节点在网络中的角色也是经常变化的，因而不像有线网、大部分无线网络那样对网络设备进行完全配置，对传感节点进行预配置的范围是有限的，很多网络参数、密钥等都是传感节点在部署后进行协商后形成的。

　　根据以上无线传感器特点分析可知，无线传感器网络易于遭受传感节点的物理操纵、传感信息的窃听、拒绝服务攻击、私有信息的泄露等多种威胁和攻击。下面将根据WSN的特点，对WSN所面临的潜在安全威胁进行分类描述与对策探讨。

　　3.威胁分析与对策

　　3.1传感节点的物理操纵

　　未来的传感器网络一般有成百上千个传感节点，很难对每个节点进行监控和保护，因而每个节点都是一个潜在的攻击点，都能被攻击者进行物理和逻辑攻击。另外，传感器通常部署在无人维护的环境当中，这更加方便了攻击者捕捉传感节点。当捕捉了传感节点后，攻击者就可以通过编程接口（JTAG接口），修改或获取传感节点中的信息或代码，根据文献［3］分析，攻击者可利用简单的工具（计算机、UISP自由软件）在不到一分钟的时间内就可以把EEPROM、Flash和SRAM中的所有信息传输到计算机中，通过汇编软件，可很方便地把获取的信息转换成汇编文件格式，从而分析出传感节点所存储的程序代码、路由协议及密钥等机密信息，同时还可以修改程序代码，并加载到传感节点中。

　　很显然，目前通用的传感节点具有很大的安全漏洞，攻击者通过此漏洞，可方便地获取传感节点中的机密信息、修改传感节点中的程序代码，如使得传感节点具有多个身份ID，从而以多个身份在传感器网络中进行通信，另外，攻击还可以通过获取存储在传感节点中的密钥、代码等信息进行，从而伪造或伪装成合法节点加入到传感网络中。一旦控制了传感器网络中的一部分节点后，攻击者就可以发动很多种攻击，如监听传感器网络中传输的信息，向传感器网络中发布假的路由信息或传送假的传感信息、进行拒绝服务攻击等。

　　对策：由于传感节点轻易被物理操纵是传感器网络不可回避的安全问题，必须通过其它的技术方案来提高传感器网络的安全性能。如在通信前进行节点与节点的身份认证;设计新的密钥协商方案，使得即使有一小部分节点被操纵后，攻击者也不能或很难从获取的节点信息推导出其它节点的密钥信息等。另外，还可以通过对传感节点软件的合法性进行认证等措施来提高节点本身的安全性能。

　　3.2信息窃听

　　根据无线传播和网络部署特点，攻击者很轻易通过节点间的传输而获得敏感或者私有的信息，如：在通过无线传感器网络监控室内温度和灯光的场景中，部署在室外的无线接收器可以获取室内传感器发送过来的温度和灯光信息;同样攻击者通过监听室内和室外节点间信息的传输，也可以获知室内信息，从而揭露出房屋主人的生活习性。

　　对策：对传输信息加密可以解决窃听问题，但需要一个灵活、强健的密钥交换和治理方案，密钥治理方案必须轻易部署而且适合传感节点资源有限的特点，另外，密钥治理方案还必须保证当部分节点被操纵后（这样，攻击者就可以获取存储在这个节点中的生成会话密钥的信息），不会破坏整个网络的安全性。由于传感节点的内存资源有限，使得在传感器网络中实现大多数节点间端到端安全不切实际。然而在传感器网络中可以实现跳-跳之间的信息的加密，这样传感节点只要与邻居节点共享密钥就可以了。在这种情况下，即使攻击者捕捉了一个通信节点，也只是影响相邻节点间的安全。但当攻击者通过操纵节点发送虚假路由消息，就会影响整个网络的路由拓扑。解决这种问题的办法是具有鲁棒性的路由协议，另外一种方法是多路径路由，通过多个路径传输部分信息，并在目的地进行重组。

　　3.3私有性问题

　　传感器网络是用于收集信息作为主要目的的，攻击者可以通过窃听、加入伪造的非法节点等方式获取这些敏感信息，假如攻击者知道怎样从多路信息中获取有限信息的相关算法，那么攻击者就可以通过大量获取的信息导出有效信息。一般传感器中的私有性问题，并不是通过传感器网络去获取不大可能收集到的信息，而是攻击者通过远程监听WSN，从而获得大量的信息，并根据特定算法分析出其中的私有性问题。因此攻击者并不需要物理接触传感节点，是一种低风险、匿名的获得私有信息方式。远程监听还可以使单个攻击者同时获取多个节点的传输的信息。

　　对策：保证网络中的传感信息只有可信实体才可以访问是保证私有性问题的最好方法，这可通过数据加密和访问控制来实现;另外一种方法是限制网络所发送信息的粒度，因为信息越具体，越有可能泄露私有性，比如，一个簇节点可以通过对从相邻节点接收到的大量信息进行汇集处理，并只传送处理结果，从而达到数据匿名化。

　　3.4拒绝服务攻击（DOS）

　　DOS攻击主要用于破坏网络的可用性，减少、降低执行网络或系统执行某一期望功能能力的任何事件。如试图中断、颠覆或毁坏传感网络，另外还包括硬件失败、软件bug、资源耗尽、环境条件等［4］。这里我们主要考虑协议和设计层面的漏洞。确定一个错误或一系列错误是否是有意DOS攻击造成的，是很困难的，非凡是在大规模的网络中，因为此时传感网络本身就具有比较高的单个节点失效率。

　　DOS攻击可以发生在物理层，如信道阻塞，这可能包括在网络中恶意干扰网络中协议的传送或者物理损害传感节点。攻击者还可以发起快速消耗传感节点能量的攻击，比如，向目标节点连续发送大量无用信息，目标节点就会消耗能量处理这些信息，并把这些信息传送给其它节点。假如攻击者捕捉了传感节点，那么他还可以伪造或伪装成合法节点发起这些DOS攻击，比如，它可以产生循环路由，从而耗尽这个循环中节点的能量。防御DOS攻击的方法没有一个固定的方法，它随着攻击者攻击方法的不同而不同。一些跳频和扩频技术可以用来减轻网络堵塞问题。恰当的认证可以防止在网络中插入无用信息，然而，这些协议必须十分有效，否则它也会被用来当作DOS攻击的手段。比如，使用基于非对称密码机制的数字签名可以用来进行信息认证，但是创建和验证签名是一个计算速度慢、能量消耗大的计算，攻击者可以在网络中引入大量的这种信息，就会有效地实施DOS攻击。

　　4.总结

　　安全是一个好的传感网络设计中的要害问题，没有足够的保护机密性、私有性、完整性以及防御DOS和其它攻击的措施，传感网络就不能得到广泛的应用，它只能在有限的、受控的环境中得到实施，这会严重影响传感网络的应用前景。另外，在考虑传感网络安全问题和选择对应安全机制的时候，必须在协议和软件的设计阶段就根据网络特点、应用场合等综合进行设计，试图在事后增加系统的安全功能通常被证实为不成功或功能较弱的。