WSN安全：秘密与认证攻击的防范与应对

WSN易受各种攻击。根据WSN的安全要求，对WSN的攻击归类如下：

（1）对秘密和认证的攻击。标准加密技术能够保护通信信道的秘密和认证，使其免受外部攻击，比如偷听、分组重放攻击、分组篡改、分组哄骗等。

（2）对网络有效性的攻击。对网络有效性的攻击常常被称为拒绝服务（Denial of Service，DoS）攻击。可以针对传感器网络任意协议层进行DoS攻击。

（3）对服务完整性的秘密攻击。指在秘密攻击中，攻击者的目的是使传感器网络接收到虚假数据。例如攻击者威胁了一个传感器结点的安全，并通过这个结点向网络注入虚假数据。

面对这些攻击时，使传感器网络继续发挥其预定作用是必要的。DoS攻击通常就是攻击者针对网络进行的破坏、扰乱、毁灭。一种DoS攻击可以是削弱或者消除网络执行其预定功能的能力的任何事件。由于攻击者能够针对传感器网络任意协议层进行DoS攻击，所以层次化体系结构使得WSN在面对DoS攻击时很脆弱。

1）物理层安全攻击

物理层负责频率选择、载波频率生成、信号检测、调制／解调、数据加密／解密。传感器网络是Ad Hoc大规模网络，主要采用的是无线通信，无线传输媒介是开放式媒介，因此在WSN中有可能存在人为干扰。对于布置在敌方环境或者不安全环境中的WSN结点，攻击者很容易进行物理访问。

（1）人为干扰

对无线通信的一种众所周知的攻击就是采用干扰台干扰网络结点的工作频率。一个干扰源只要功率足够大，就能够破坏整个WSN。如果其功率比较低，则只能破坏网络中的一个较小区域。即使采用的是功率较低的干扰源，假如干扰源随机分布在网络中，那么攻击者仍然有可能能够破坏整个网络。攻击者使用k个随机分布的干扰结点就能够破坏整个网络，并使N个结点处于服务之外，k比N小得多。对于单个频率的网络，这种攻击既简单又有效。

抗人为干扰的典型技术就是采用各种扩频通信技术，如跳频、码扩。

①跳频扩频（Frequency－Hopping Spread Spectrum，FHSS）就是发送信号时使用发射机和接收机均知道的伪随机序列在许多频率之间迅速切换载波频率。攻击者若不能跟踪频率选择序列，就不能及时干扰给定的时刻的工作频率。但是，由于工作频率的范围是有限的，所以攻击者可以干扰工作频带的很大一部分甚至整个工作频带。

②码扩是用来对抗人为干扰的另一种技术，通常用于移动网络中。码扩的设计复杂度较高，能量需求也较高，这限制了其在WSN中的应用。一般地，为了满足低成本和低功耗要求，传感器装置会采用单频率工作，因此极易受人为干扰的攻击。

假如攻击者持久性地采用干扰台干扰整个网络，就会得到有效而完整的DoS效果。因此，传感器结点应该具有对抗人为干扰的策略，比如切换到较低占空因数，尽量节省能量。结点周期性地苏醒，检查其人为干扰是否已经结束。传感器结点通过节省能量，有可能承受得住攻击者的人为干扰，此后攻击者必须以更高的成本进行人为干扰。

假如人为干扰是断断续续的干扰，那么传感器结点就可以采用高功率给中心结点发送几条高优先级的消息，以将人为干扰报告给中心结点。各个传感器结点应该相互协作，共同努力将这些消息交付给中心结点。传感器结点也可以不定期地缓存高优先级消息，等待在人为干扰的间隙将其中继给其他传感器结点。

对于大规模WSN，攻击者要成功干扰整个网络比较困难。假如受干扰的只是被攻击者攻克的原网络结点，那么要成功干扰整个网络就更加困难了。

（2）物理篡改

攻击者也可以从物理上篡改WSN结点并询问和危害WSN结点，这些是导致Ad Hoc大规模、普遍性的WSN不断恶化的安全威胁。实际上，对分布在数千米范围内的几百个传感器结点实施访问控制是极困难的，甚至是不可能的。WSN不仅要承受武力破坏，而且还要承受较复杂的分析攻击。攻击者可以毁坏WSN结点，使其丧失正常工作能力，或者替换WSN结点中的关键组件，如传感器硬件、计算硬件甚至软件，将WSN结点变成失密结点，从而实现对其掌控，也可以提取WSN结点中的敏感组件，如加密密钥，以便能够自由访问高层通信。WSN可能无法区分结点被毁和结点故障静默这两种情形。

物理篡改的一种对抗措施是改变验证结点的物理层分组。这种对抗措施的成功依赖于如下几点：

①WSN设计者在设计WSN时就精确、完整地考虑到了可能存在的物理安全威胁。

②可用于设计、测试的有效资源。

③攻击者的智慧高低和果断程度。

但是这种对抗措施通常假定，在WSN中由于额外的成本开销，传感器结点是不能重改验证的。这就意味着安全机制必须考虑传感器结点被危害的情形。

2）链路层安全攻击

MAC层为相邻结点之间的通信提供信道仲裁，基于载波侦听的协作性MAC协议特别易受DoS攻击。

（1）碰撞

攻击者只需要发送一个字节就可能产生碰撞，从而损坏整个分组。分组中的数据部分发生变化，在接收方就不能通过校验。ACK控制消息被损坏会引起有些MAC协议的退避时间呈指数级递增。除了旁听信道发送之外，攻击者需要的能量极少。

采用差错纠错机制能够容忍消息在任意协议层次上遇到不同程度的损伤，差错纠错编码本身存在额外的处理开销和通信开销。对于一个给定的差错纠错编码，恶意结点仍然能够使其损坏的分组多于网络能够纠正的分组，但是其开销较高。

WSN可以采用碰撞检测技术来识别恶意碰撞。恶意碰撞会产生一种链路层人为干扰，但是迄今为止还没有彻底有效的防护措施和技术。正当发送仍然需要结点之间的相互协作，以避免互相损坏对方发送的分组。一个被攻击者彻底颠覆的结点能够故意、反复地拒绝信道访问，而攻击者的能耗比全时段人为干扰的能耗低得多。

（2）能量消耗

链路层可能会采用反复重传技术。即使被一个异常延迟的碰撞，如在本帧即将结束时引起的碰撞所触发的时候，也可能会进行重传。这种主动DoS攻击会耗尽附近结点的电池储能，危害网络的可用性，即使攻击者不再进行攻击。随机退避只能降低无意碰撞概率，但不能防止这种攻击。

时分复用给每个结点分配一个发送时隙，不需要为发送每个帧而进行信道访问仲裁。这种方法能够解决退避算法中的不确定性延迟的问题，但是仍然易受碰撞攻击。

可以利用大多数MAC协议的交互式特性来进行询问攻击。例如，基于IEEE 802.11的MAC协议采用RTS／CTS／DATA／ACK交互方式预留信道访问和发送数据，因此结点可以反复利用RTS请求信道访问，以得到目标相邻结点的CTS响应。持续发送最终会耗尽发送结点和相邻目标结点的能量资源。

一种解决方法是限制MAC准入控制速率，网络不理睬过多的信道访问请求，不进行能耗很高的无线发送。这种限制策略不会使准入速率下降到网络所能支持的最大数据速率以下。防止电池能量消耗攻击的一个策略是限制无关紧要的却是MAC协议所需要的响应。为了提高总体效率，设计人员常常在系统中实现这种功能，但是处理攻击的软件代码需要额外的逻辑。

（3）不公平性

不公平性是一种较弱形式的DoS攻击。断断续续地运用碰撞攻击和电池能量消耗攻击，或者滥用协作性MAC层优先权机制会引起不公平性。这种安全威胁尽管不能完全阻止合法的信道访问，但是会降低服务质量，如导致实时MAC协议的用户发生时间错位。

一种对付不公平性攻击的方法是采用短帧结构，这样会导致每个结点占用信道的时间较短。但是，假如网络经常发送长消息，那么这种方法会导致成帧的开销上升。在竞争信道访问时，攻击者采取欺骗手段很容易突破这种防护措施。攻击者能够迅速作出响应，而其他结点则随机延迟其响应。

3）网络层（路由）安全攻击(www.xing528.com)

由于WSN常常依靠电池供电，而电池能量非常有限，所以许多传感器网络的路由协议被设计得很简单，以节省能量，使结点寿命、网络寿命达到最大，因此有时易受攻击。各种WSN网络层攻击的主要差异表现在是试图直接操作用户数据的攻击还是试图影响低层路由拓扑的攻击。针对WSN进行的网络层攻击分成对路由信息的哄骗、篡改、重放；选择性转发；污水池攻击；女巫攻击；蠕虫攻击；Hello洪泛攻击；应答哄骗。

（1）对路由信息的哄骗、篡改、重放

针对路由协议最直接的攻击就是以结点之间交换的路由信息为目标进行的攻击。攻击者通过对路由信息的哄骗、篡改、重放，能够创建路由闭环，吸引或者抵制网络流量，延长或者缩短源路由，产生虚假的错误消息，分割网络，增加端到端时延等。

（2）选择性转发

多跳网络常常假定参与结点能够安全、正确地转发所收消息。在选择性转发攻击中，攻击者可能拒绝转发某些消息，简单地将这些消息丢掉，并确保这些消息不会被进一步传播。当恶意结点的表现类似黑洞并拒绝转发通过其传递的每个分组时，就是一种简单形式的选择性转发攻击。攻击者采用这种形式的攻击存在着风险，由于接收不到攻击者结点发送的消息，所以相邻结点将会认为攻击者结点已经失效，因而决定寻找另一条路由。另一种表现形式稍有不同的选择性转发攻击是，攻击者选择性地转发分组，其兴趣在于抑制或者篡改若干个精选结点产生的分组，但是仍然会可靠地转发其余流量分组，从而降低了其攻击行为被怀疑的可能性。

当攻击者直接处在数据流传输路由上时，选择性转发攻击通常是非常有效的。攻击者可以旁听经过相邻结点的数据流量，因此通过人为干扰或者碰撞其感兴趣的每个转发分组就能够模仿选择性转发。这种攻击机制需要高超的技巧，因此很难施行。例如，如果网络中每个相邻结点对都使用唯一一个密钥初始化跳频通信或者扩频通信，那么攻击者要施行这种攻击就极其困难。因此，攻击者很可能沿着抗攻击能力最弱的路由，并且尽量包含自身的数据流的实际传输路由进行选择性转发攻击。

（3）污水池攻击

在污水池攻击中，攻击者的目的是引诱来自某个特定区域的附近所有流量都通过一个失密结点，从而产生一个比喻性的污水池，其中心位置就是攻击者。由于分组传输路径上的结点及其附近的结点有很多机会篡改应用数据，所以污水池攻击能够同时伴随许多其他攻击，如选择性转发攻击。

污水池攻击的工作原理是使失密结点对路由算法和周围结点看上去很有吸引力。例如，攻击者可以哄骗或者重放到达中心结点的极高质量的路由广播消息。有些路由协议可能会采用端到端包含可靠性、时延信息的应答真正验证路由的质量。此时，微型计算机类攻击者采用大功率发射机直接对中心结点发送（发射功率足够高，单跳可达）或者采用蠕虫攻击，就能够提供到达中心结点的真正高质量路由。由于存在通过失密结点的真正或者虚假的高质量路由，所以攻击者的每个相邻结点都很可能将传递给中心结点的分组转发给攻击者，并且又将这种高质量路由信息传播给自己的相邻结点。攻击者由此可以有效地创建一个巨大的影响球，吸引传递给中心结点的所有数据流，这样数据就来自离失密结点有数个转发跳远的结点。

进行污水池攻击的一个动机是为了进行选择性转发攻击，攻击者通过确保特定目标区域的所有数据流传递都经过失密结点，就能够选择性地抑制或者篡改来自该区域任意结点的分组。

传感器网络特别易受污水池攻击的原因在于其特殊的通信模式。在只有一个中心结点的WSN中，因为所有分组的最终目的结点只有一个中心结点，所以失密结点只需要提供单跳可达中心结点的高质量路由就有可能影响大量的传感器结点。

（4）女巫攻击

女巫攻击是指一个恶意装置非法占用了多个网络身份。将一个恶意装置的额外身份称为女巫结点。女巫攻击会大幅度地降低路由协议、拓扑维护中的容错功效。一般认为使用不相交结点的各条路由实际上包含了冒充多个身份的那个攻击者结点。

一个女巫结点可以采取多种方法获取身份，其中一种方法是伪造一个新的身份。在有些情况下，攻击者可以简单地任意产生新的女巫身份。例如，假如用一个32bit的整数表示每个结点的身份，那么攻击者可以给每个女巫结点分配一个随机的32bit的整数。另一种获取身份的方法是窃取某个合法结点的身份。给定一个合法结点的身份识别机制，那么攻击者就可能无法伪造新的身份了。此时攻击者需要将其他合法结点的身份分配给女巫结点。假如攻击者摧毁了假扮结点或者使假扮结点临时性失效，就可能无法察觉这种身份窃取行为了。

女巫结点直接与合法结点通信。当一个合法结点给一个女巫结点发送一条消息时，其中一个恶意装置会在无线信道上侦听到此消息。女巫结点发送的消息实际上是其中一个恶意结点发送的。假如合法结点不能与女巫结点直接通信，那么其中一个或者多个恶意装置的声明就能够到达女巫结点。女巫结点发送的消息通过其中一个恶意结点传递，后者假装将消息传递给女巫结点。

女巫攻击对地理路由协议的威胁极大。位置意识路由为了高效地利用地理路由传递分组，一般都要求结点与其相邻结点交换位置坐标信息。攻击者运用女巫攻击就能够“立即出现在多个地点”。

（5）蠕虫攻击

一条蠕虫就是一条连接两个网络子区域的低时延链路，攻击者在这条链路上中继网络消息。蠕虫可以由单个结点创建，即该结点位于两个相邻或者不相邻的结点之间，转发其间的消息；也可以由一对结点创建，即这两个结点分别位于两个不同的网络子区域，并且能够相互进行通信。

在蠕虫攻击中，攻击者接收到某个网络子区域的消息，然后沿着低时延链路即蠕虫将这些消息重放到网络的其他区域中。特别是在同一个通信结点对之间，通过蠕虫发送的分组传输时延小于采用正常多跳路由时的分组传输时延。最简单的蠕虫攻击就是一个结点位于另外两个结点之间，转发这两个结点之间的消息。但是蠕虫攻击通常涉及两个相距较远的恶意结点，这两个恶意结点共同有意地低估相互之间的距离，沿着只有攻击者才能够使用的带外信道中继分组。

假如攻击者离中心结点较近，那么攻击者通过精心设计和布置的蠕虫就有可能彻底破坏路由。攻击者可能会使离中心结点有数个转发跳远的结点相信通过蠕虫只有一跳或者两跳远。这就能够产生污水池，处在蠕虫另一边的攻击者能够提供到达中心结点的虚假高质量路由。要是备用路由没有竞争力，那么附近区域中的所有流量就有可能通过蠕虫传递，当蠕虫的端点离中心结点相对较远时就很可能总是如此。

较一般的情况是，蠕虫可以充分利用路由竞争条件。当一个结点根据其接收的第一条消息忽略随后的消息而采用某种操作时，通常就会出现路由竞争条件。在这种情况下，要是攻击者能够使结点在多跳路由正常到达的时间前接收到某种路由信息，那么攻击者就能够影响最后得到的拓扑。蠕虫正是这样实现的，即使路由信息被加密和需要认证，蠕虫也仍然有效。蠕虫通过中继两个相距甚远结点之间的分组能使这两个结点相信对方是相邻结点。

蠕虫攻击很可能与选择性转发或者偷听一起使用。当蠕虫攻击与女巫攻击一起使用时，网络可能很难检测到蠕虫攻击。

（6）Hello洪泛攻击

Hel1o洪泛攻击就是攻击者利用WSN路由协议中使用的Hello消息进行的攻击。很多WSN路由协议要求结点广播Hello消息，以向其相邻结点声明自己的存在和广播自己的一些信息，如身份、地理位置等。接收到Hello消息的结点则可假定自己处在该Hello消息发送结点的覆盖范围内。这个假设条件有可能是虚假的，如微型计算机类的攻击者采用足够大的发射功率来广播路由或者其他信息，就能够使网络中每个结点都相信攻击者就是其相邻结点。

攻击者给每个网络结点广播到达中心结点的质量极高的路由，这样就可能使大量结点都使用这条路由，但是离攻击者甚远的所有那些结点发送的分组就会被湮没，从而导致网络处于混乱状态。结点认识到到达攻击者的这条链路是虚假链路后几乎没有什么可选择的处理办法，其所有相邻结点都可能将分组转发给攻击者。那些依靠相邻结点间的位置信息的交换来维护网络拓扑或者进行流量控制的协议也易受Hello洪泛攻击。

攻击者进行Hello洪泛攻击时不必建立合法的分组流。攻击者只需采用足够大的发射功率重复广播开销分组，就能使每个网络结点都接收到这个广播。也可以认为Hello洪泛是单方广播蠕虫。

“洪泛”经常用来表示一条消息在多跳拓扑上被迅速传播给每个网络结点。但是Hello洪泛攻击采用了单跳广播将一条消息发送给大量接收结点，所以两者之间是有差别的。

（7）应答哄骗

有些WSN路由协议依靠间接或者直接的链路层应答。由于WSN传输媒介的固有广播特性，所以攻击者可以旁听传递给相邻结点的分组，并对其作出链路层哄骗应答。应答哄骗的目的包括使发送结点相信一条质量差的链路是一条质量高的链路，一个失效结点或者被毁结点是一个活动结点。例如，路由协议可以运用链路可靠性来选择传输路径的下一个转发跳。在应答哄骗攻击中，攻击者故意强迫通信使用一条质量差的链路或者一条失效的链路。因为沿着质量差或者失效的链路传递的分组将会丢失，所以攻击者运用应答哄骗能够有效地进行选择性转发攻击，鼓励目标结点在质量差或者失效的链路上发送分组。

4）传输层安全攻击

传输层负责管理端到端连接。传输层提供的连接管理服务可以是简单的区域到区域的不可靠任意组广播传输，也可以是复杂、高开销的可靠按序多目标字节流。WSN一般采用简单协议，使应答和重传的通信开销最低。WSN传输层可能存在两种攻击，即洪泛和去同步。

（1）洪泛

要求在连接端点维护状态的传输协议易受洪泛攻击。洪泛攻击会引发传感器结点存储容量被耗尽的问题。攻击者不断反复提出新的连接请求，直到每个连接所需的资源被耗尽或者达到连接的最大限制条件为止。此后，合法结点的连接请求被忽略。攻击者建立新连接的速度快到足以在服务结点上产生资源饥饿问题。

（2）去同步

去同步就是指打断一个既存的连接。例如，攻击者反复给一个端主机发送哄骗消息，使这个主机申请重传丢失分组。假如时间同步正确，那么攻击者可以削弱端主机的数据交换能力，甚至阻止端主机交换数据，从而导致端主机浪费能量去试图从实际上并不存在的错误中恢复过来。一种对抗措施是要求认证端主机之间通信的所有分组。假定认证方法本身是安全的，则攻击者就不能给端主机发送哄骗消息。