WSN安全：内部攻击和不可靠通信的威胁与解决方案

1）无线传感器网络安全威胁模型

在WSN中，通常假定攻击者可能知道传感器网络中使用的安全机制，能够危及某个传感器结点的安全，甚至能够捕获某个传感器结点。由于布置具有抗篡改能力的传感器结点的成本很高，所以一般认为大多数WSN结点都没有抗篡改能力。一旦一个结点存在安全威胁，那么攻击者就可以窃取这个结点内的密钥。通常认为WSN中的中心结点是可信的。

对传感器网络的攻击可以分成以下几类：

（1）外部攻击与内部攻击：外部攻击被定义为来自本WSN之外的结点的攻击。当WSN的合法结点进行无意识操作或者未授权操作时，即为发生了内部攻击。

（2）被动攻击与主动攻击：被动攻击包括偷听、监视WSN内交换的分组。主动攻击涉及对数据流的某种程度的修改及创建虚假数据流。

（3）传感器类攻击与微型计算机类攻击：在传感器类攻击中，攻击者是使用少数几个与WSN结点能力类似的结点来攻击这个WSN的。在微型计算机类攻击中，攻击者采用较强装置比如微型计算机来攻击WSN，这种攻击装置的传输距离更远、处理能力更强、存储能量更多，当然这是相对于WSN结点而言的。

2）无线传感器网络安全面临的障碍

WSN是一种特殊类型的网络，相对于传统计算机网络，其约束条件很多，由于这些约束条件的存在，很难将现有的安全技术应用到WSN中。

（1）WSN资源极其有限

所有的安全协议和安全技术都要依靠一定资源来实现，包括数据存储器、程序代码存储器、能量以及带宽。但是，目前无线微型传感器中的这些资源极其有限。

①存储器容量限制

传感器结点是微型装置，只有少量存储器用于存储代码。为了建立有效的安全机制，有必要限制安全算法的实现代码长度。例如一个Mica传感器结点只有128KB的代码存储容量，4KB的数据存储容量，TinyOS代码约占4 KB。因此，所有的安全实现代码都必须很小。

②能量限制

能量是无线传感器能力的最大约束因素。通常，依靠电池供电的传感器结点一旦被部署在一个传感器网络中后，就不容易被替换，其工作成本很高，也不容易重新充电，由于传感器成本也很高，因此必须节省电池能量，延长各个传感器结点的寿命，从而延长整个传感器网络的寿命。在传感器结点上实现一个加密函数或者协议时，必须考虑所增加的安全代码对能量的影响。给传感器结点增加安全能力时，必须考虑这种安全能力对结点寿命即电池工作寿命的影响。结点安全能力引起的能耗包括所要求的安全功能如加密、解密、数据签名、签名验证的处理，有关安全数据和开销如加密／解密所需要的初始化向量的发送能耗，采用安全方式存储安全参数的能耗如加密密钥的存储。

（2）不可靠通信

不可靠通信无疑是WSN安全的另一个威胁。WSN安全密切依赖其定义的协议，而协议又依赖于通信。

①不可靠传输

传感器网络的分组传输路由属于无连接路由，因此是不可靠的。信道误码、高拥塞结点的分组丢失可能会损坏分组，结果将导致分组丢失。不可靠的无线通信信道也会损坏分组，高信道误码率迫使软件开发人员利用一些额外的网络资源来处理误码。假如协议没有合适的误码处理能力，那么就有可能丢失关键的安全分组，如加密密钥。

②碰撞

即使信道是可靠的，通信也仍然可能不可靠，其原因在于WSN具有广播特性。假如分组在传输途中遇到了碰撞，那么分组传输就会失败。在高密度的传感器网络中，碰撞是一个主要的问题。

③时延

多跳路由、网络拥塞、结点处理会引起较多的网络时延，因此实现传感器结点之间的同步很困难。同步问题对传感器的安全来说很关键，安全机制依赖于关键事件报告和加密密钥分组。

（3）WSN操作无人照看

依据具体传感器网络的特定功能，传感器结点可能会长时间处于无人照看状态。对于无人照看的传感器结点，存在以下3个主要威胁：

①暴露在物理攻击之下

传感器结点可能会被布置在对攻击者开放或者气候恶劣等环境中。这种环境中的传感器结点遭受物理攻击的可能性比典型PC（安置在一个安全地点，主要面临来自网络的攻击的情况）要高得多。

②远程管理

传感器网络的远程管理实质上不可能监测出物理篡改并进行物理维护，如替换电池。最典型的例子是用于远程侦查的传感器结点（布置在敌方边界之后）可能会失去与友方部队的联系。

③缺乏中心管理点

一个WSN应该是一个分布式网络，没有中心管理点，这会提高WSN的生命力。但是，假如设计不合理，这会导致网络组织困难、低效、脆弱。

传感器结点无人照看的时间越长，受到安全攻击的可能性就越大。

3）无线传感器网络安全要求

WSN安全服务的目标就是防止信息和网络资源受到攻击和发生异常。

（1）数据机密性

数据机密性是网络安全中最重要的内容。网络安全的重点通常首先就是要解决数据机密性问题。在WSN中，不应该将其传感器感知的数据泄露给邻近的网络。特别是在军事应用中，传感器结点存储的数据可能会高度敏感。在很多WSN应用中，如密钥分发中，结点发送的是高度敏感的数据，因此在WSN中建立安全信道尤其重要。公用传感器信息，如传感器结点身份标识符（ID）、公共密钥等，也应该被加密，从而在一定程度上防止流量分析攻击。

保持敏感数据秘密的标准方法是采用密钥加密敏感数据，只有预定接收结点才有密钥，因此可以保证数据机密性。对于给定的通信模式需要建立结点与中心结点之间的安全信道以及必需的其他安全信道。(www.xing528.com)

（2）数据完整性

保证了数据机密性，攻击者便不能窃取信息，但是并不意味着数据就是安全的。攻击者能够修改数据，使WSN进入混乱状态。例如，恶意结点可以在分组中添加一些数据分片或者篡改分组中的数据，然后将改变后的分组发送给原始接收结点。即使不存在恶意结点，但由于通信环境条件恶劣，所以仍然会发生数据丢失或者数据受损。因此在通信中，数据完整性要求确保接收结点所接收的数据在传输途中不会被攻击者篡改。SPIN采用数据认证来实现数据完整性。

（3）数据新鲜度

即使能够保证数据机密性和数据完整性，仍然必须确保每条消息的新鲜度。数据新鲜度意味着数据是最近的，确保其不是攻击者重放的旧消息。采用共享密钥策略时，这个要求尤其重要。通常，共享密钥必须随时改变。但是，将新的共享密钥传播给整个网络需要一定时间，此时攻击者很容易进行重放攻击。假如传感器结点意识不到需要随时改变新密钥，就很容易破坏传感器结点的正常工作。为了解决这个问题，可以在分组中添加一个随机数或者跟时间有关的计数器，以确保数据新鲜度。

SPIN识别两种类型的新鲜度。弱新鲜度提供局部消息排序，但是不承载时延信息；强新鲜度提供全部请求－响应对的排序，允许时延估计。弱新鲜度用于传感器感知数据，强新鲜度用于网内时间同步。

（4）数据认证

数据认证对很多传感器网络应用，例如网络重新编程、控制传感器结点占空因数之类的管理任务都非常重要。攻击者并不局限于修改数据分组，还能够通过注入额外分组来改变整个分组流，所以接收结点必须确保决策过程中使用的数据是来自正确的可信任源结点的。接收结点通过数据认证来验证数据确实是所要求的发送结点发送的。

对于点对点通信，可以采用完全对称机制来实现数据认证。发送结点和接收结点共享一个密钥，密钥用于计算所有通信数据的消息认证码（Message Authentication Code，MAC）。接收结点接收到一条具有正确消息认证码的消息时，就能知道这条消息必定是与其通信的哪个合法发送结点发送的。

在广播环境中，不能对网络结点作出较高的信任假设，因此这种认证技术不适用于广播环境。假如一个发送结点需要给互不信任的接收结点发送消息，那么使用一个对称消息认证码是不安全的。因为其中任何一个不被信任的接收结点只要知道这个对称消息认证码，就可以扮演成这个发送结点，伪造发送给其他接收结点的消息。因此，需要使用非对称机制来实现广播认证。

（5）可用性

调整、修改传统的加密算法使其适用于WSN并不方便，而且会引入额外开销。修改代码，使其尽可能重复使用，或者采用额外的通信来实现相同目标，或者强行限制数据访问，这些方法都会弱化传感器和传感器网络的可用性，理由如下：

①额外计算消耗额外能量，若不再有能量，则数据不再可用。

②额外通信也消耗较多能量，而且通信增加，通信碰撞的概率也随之增大。

③假如使用了中心控制方案，就会发生单点失效问题，这将极大地威胁网络可用性。可用性安全要求不仅影响网络操作，而且对于维护整个网络的可用性非常重要。可用性确保即使存在QoS攻击，所需网络服务仍然可用。

（6）自组织

WSN一般是Ad Hoc网络，要求每个传感器结点都具有足够的独立性和灵活性，能够按照不同情况进行自组织、自愈。网络中不存在固定基础设施用于网络管理。这个固有的特征给WSN安全带来了一个极大的挑战。例如，整个网络的动态性将导致无法预先配置中心结点与所有传感器结点共享的密钥。于是，有人提出了若干种随机密钥预分配方案。若在传感器网络中采用了公共密钥加密技术，则必须具有公共密钥的高效分发机制。分布式传感器网络必须能够自组织并支持多跳路由和密钥管理，以建立传感器结点之间的信任。假如传感器网络的自组织能力不足或者缺乏自组织能力，那么攻击者攻击甚至恶劣环境造成的网络受损都可能是毁灭性的。

（7）时间同步

大多数传感器网络应用都依赖于某种形式的时间同步。为了节省能量，各个传感器会定期关闭其电源。传感器结点需要计算分组在两个通信结点对之间的端到端时延。联合协作型传感器网络用于跟踪应用时可能需要结点组同步。

（8）安全定位

一个传感器网络的效用常常依赖于每个网络结点精确而自动的结点定位能力。故障定位传感器网络需要精确的位置信息才能够查明故障的位置。但是，攻击者很容易操控不安全的位置信息，如报告虚假信号强度和重放信号等。

（9）其他安全要求

①授权：授权确保得到授权的传感器结点才能够参与对网络服务的信息提供。

②认可：认可表示结点不能拒绝发送其以前已经发送过的消息。

③WSN在网络运行过程中发生传感器结点失效问题而需要布置新的传感器结点是很常见的，因此应该考虑前向保密要求和后向保密要求。

前向保密是指一个传感器结点退网后应该不能再读取网络中随后的任何消息。后向保密是指入网结点应该不能读取网络中此前已经发送过的任何消息。

4）无线传感器网络安全解决方案的评估

一个WSN安全解决方案的性能指标和能力的评估包括如下几方面：

（1）安全：安全解决方案必须满足WSN的安全要求。

（2）弹性：在少数几个结点存在安全威胁时，安全解决方案应该能够防止继续攻击。

（3）能量效率：安全解决方案必须是能量高效的，这样才能够达到最大的结点寿命和网络寿命。

（4）灵活性：密钥管理要灵活，能够适用于各种不同的网络布置方法，如随机的结点扩散、预先确定的结点布置。

（5）可扩展性：安全解决方案要具有可扩展能力，不会对安全要求造成不利影响。

（6）容错能力：在发生故障如结点失效时，安全解决方案应该继续提供安全服务。

（7）自愈能力：传感器结点可能失效或者耗尽其能量，剩余的传感器结点可能需要重组，继续维持一定程度的安全性。

（8）保证：保证是按照不同安全等级给端用户分发信息的能力，安全解决方案应该提供其所需的可靠性、时延等选择。