1.引言
無(wú)線傳感器網(wǎng)絡(luò)WSN(WirelessSensorNetwork)是一種自組織網(wǎng)絡(luò),通過(guò)大量低成本,、資源受限的傳感節(jié)點(diǎn)設(shè)備協(xié)同工作實(shí)現(xiàn)某一特定任務(wù),。
它是信息感知和采集技術(shù)的一場(chǎng)革命,是21世紀(jì)最重要的技術(shù)之一,。它在氣候監(jiān)測(cè),周邊環(huán)境中的溫度,、燈光,、濕度等情況的探測(cè),大氣污染程度的監(jiān)測(cè),,建筑的結(jié)構(gòu)完整性監(jiān)控,,家庭環(huán)境的異常情況,機(jī)場(chǎng)或體育館的化學(xué),、生物威脅的檢測(cè)與預(yù)告等方面,,WSN將會(huì)是一個(gè)經(jīng)濟(jì)的替代方案,有著廣泛的應(yīng)用前景,。
傳感器網(wǎng)絡(luò)為在復(fù)雜的環(huán)境中部署大規(guī)模的網(wǎng)絡(luò),,進(jìn)行實(shí)時(shí)數(shù)據(jù)采集與處理帶來(lái)了希望。但同時(shí)WSN通常部署在無(wú)人維護(hù),、不可控制的環(huán)境中,,除了具有一般無(wú)線網(wǎng)絡(luò)所面臨的信息泄露、信息篡改,、重放攻擊,、拒絕服務(wù)等多種威脅外,WSN還面臨傳感節(jié)點(diǎn)輕易被攻擊者物理操縱,,并獲取存儲(chǔ)在傳感節(jié)點(diǎn)中的所有信息,,從而控制部分網(wǎng)絡(luò)的威脅。用戶不可能接受并部署一個(gè)沒有解決好安全和隱私問題的傳感網(wǎng)絡(luò),,因此在進(jìn)行WSN協(xié)議和軟件設(shè)計(jì)時(shí),,必須充分考慮WSN可能面臨的安全問題,并把安全機(jī)制集成到系統(tǒng)設(shè)計(jì)中去,。只有這樣,,才能促進(jìn)傳感網(wǎng)絡(luò)的廣泛應(yīng)用,,否則,傳感網(wǎng)絡(luò)只能部署在有限,、受控的環(huán)境中,,這和傳感網(wǎng)絡(luò)的最終目標(biāo) ——實(shí)現(xiàn)普遍性計(jì)算并成為人們生活中的一種重要方式是相違反的。
一種好的安全機(jī)制設(shè)計(jì)是建立在對(duì)其所面臨的威脅,、網(wǎng)絡(luò)特點(diǎn)等的深刻分析基礎(chǔ)之上的,,傳感網(wǎng)絡(luò)也不例外,本文將深入分析無(wú)線傳感器網(wǎng)絡(luò)特點(diǎn)以及其所可能面臨的安全威脅,,并對(duì)其相應(yīng)的安全對(duì)策進(jìn)行了研究和探討,。
2.傳感器網(wǎng)絡(luò)特點(diǎn)分析
WSN是一種大規(guī)模的分布式網(wǎng)絡(luò),常部署于無(wú)人維護(hù),、條件惡劣的環(huán)境當(dāng)中,,且大多數(shù)情況下傳感節(jié)點(diǎn)都是一次性使用,從而決定了傳感節(jié)點(diǎn)是價(jià)格低廉,、資源極度受限的無(wú)線通信設(shè)備[2],,它的特點(diǎn)主要體現(xiàn)在以下幾個(gè)方面:(1)能量有限:能量是限制傳感節(jié)點(diǎn)能力、壽命的最主要的約束性條件,,現(xiàn)有的傳感節(jié)點(diǎn)都是通過(guò)標(biāo)準(zhǔn)的AAA或AA電池進(jìn)行供電,,并且不能重新充電。(2)計(jì)算能力有限:傳感節(jié)點(diǎn)CPU一般只具有8bit,、4MHz~8MHz的處理能力,。(3)存儲(chǔ)能力有限:傳感節(jié)點(diǎn)一般包括三種形式的存儲(chǔ)器即RAM、程序存儲(chǔ)器,、工作存儲(chǔ)器,。RAM用于存放工作時(shí)的臨時(shí)數(shù)據(jù),一般不超過(guò)2k字節(jié);程序存儲(chǔ)器用于存儲(chǔ)操作系統(tǒng),、應(yīng)用程序以及安全函數(shù)等,,工作存儲(chǔ)器用于存放獲取的傳感信息,這兩種存儲(chǔ)器一般也只有幾十k字節(jié),。(4)通信范圍有限:為了節(jié)約信號(hào)傳輸時(shí)的能量消耗,,傳感節(jié)點(diǎn)的RF模塊的傳輸能量一般為 10mW到100mW之間,傳輸?shù)姆秶簿窒抻?00米到1公里之內(nèi),。(5)防篡改性:傳感節(jié)點(diǎn)是一種價(jià)格低廉,、結(jié)構(gòu)松散、開放的網(wǎng)絡(luò)設(shè)備,,攻擊者一旦獲取傳感節(jié)點(diǎn)就很輕易獲得和修改存儲(chǔ)在傳感節(jié)點(diǎn)中的密鑰信息以及程序代碼等,。
另外,大多數(shù)傳感器網(wǎng)絡(luò)在進(jìn)行部署前,,其網(wǎng)絡(luò)拓?fù)涫菬o(wú)法預(yù)知的,,同時(shí)部署后,,整個(gè)網(wǎng)絡(luò)拓?fù)洹鞲泄?jié)點(diǎn)在網(wǎng)絡(luò)中的角色也是經(jīng)常變化的,,因而不像有線網(wǎng),、大部分無(wú)線網(wǎng)絡(luò)那樣對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行完全配置,對(duì)傳感節(jié)點(diǎn)進(jìn)行預(yù)配置的范圍是有限的,,很多網(wǎng)絡(luò)參數(shù),、密鑰等都是傳感節(jié)點(diǎn)在部署后進(jìn)行協(xié)商后形成的。
根據(jù)以上無(wú)線傳感器特點(diǎn)分析可知,,無(wú)線傳感器網(wǎng)絡(luò)易于遭受傳感節(jié)點(diǎn)的物理操縱,、傳感信息的竊聽、拒絕服務(wù)攻擊,、私有信息的泄露等多種威脅和攻擊,。下面將根據(jù)WSN的特點(diǎn),對(duì)WSN所面臨的潛在安全威脅進(jìn)行分類描述與對(duì)策探討,。
3.威脅分析與對(duì)策
3.1傳感節(jié)點(diǎn)的物理操縱
未來(lái)的傳感器網(wǎng)絡(luò)一般有成百上千個(gè)傳感節(jié)點(diǎn),,很難對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行監(jiān)控和保護(hù),因而每個(gè)節(jié)點(diǎn)都是一個(gè)潛在的攻擊點(diǎn),,都能被攻擊者進(jìn)行物理和邏輯攻擊。另外,,傳感器通常部署在無(wú)人維護(hù)的環(huán)境當(dāng)中,,這更加方便了攻擊者捕捉傳感節(jié)點(diǎn)。當(dāng)捕捉了傳感節(jié)點(diǎn)后,,攻擊者就可以通過(guò)編程接口(JTAG接口),,修改或獲取傳感節(jié)點(diǎn)中的信息或代碼,根據(jù)文獻(xiàn)[3]分析,,攻擊者可利用簡(jiǎn)單的工具(計(jì)算機(jī),、UISP自由軟件)在不到一分鐘的時(shí)間內(nèi)就可以把EEPROM、Flash和SRAM中的所有信息傳輸?shù)接?jì)算機(jī)中,,通過(guò)匯編軟件,,可很方便地把獲取的信息轉(zhuǎn)換成匯編文件格式,從而分析出傳感節(jié)點(diǎn)所存儲(chǔ)的程序代碼,、路由協(xié)議及密鑰等機(jī)密信息,,同時(shí)還可以修改程序代碼,并加載到傳感節(jié)點(diǎn)中,。
很顯然,,目前通用的傳感節(jié)點(diǎn)具有很大的安全漏洞,攻擊者通過(guò)此漏洞,,可方便地獲取傳感節(jié)點(diǎn)中的機(jī)密信息,、修改傳感節(jié)點(diǎn)中的程序代碼,,如使得傳感節(jié)點(diǎn)具有多個(gè)身份ID,從而以多個(gè)身份在傳感器網(wǎng)絡(luò)中進(jìn)行通信,,另外,,攻擊還可以通過(guò)獲取存儲(chǔ)在傳感節(jié)點(diǎn)中的密鑰、代碼等信息進(jìn)行,,從而偽造或偽裝成合法節(jié)點(diǎn)加入到傳感網(wǎng)絡(luò)中,。一旦控制了傳感器網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)后,攻擊者就可以發(fā)動(dòng)很多種攻擊,,如監(jiān)聽傳感器網(wǎng)絡(luò)中傳輸?shù)男畔?,向傳感器網(wǎng)絡(luò)中發(fā)布假的路由信息或傳送假的傳感信息、進(jìn)行拒絕服務(wù)攻擊等,。
對(duì)策:由于傳感節(jié)點(diǎn)輕易被物理操縱是傳感器網(wǎng)絡(luò)不可回避的安全問題,,必須通過(guò)其它的技術(shù)方案來(lái)提高傳感器網(wǎng)絡(luò)的安全性能。如在通信前進(jìn)行節(jié)點(diǎn)與節(jié)點(diǎn)的身份認(rèn)證;設(shè)計(jì)新的密鑰協(xié)商方案,,使得即使有一小部分節(jié)點(diǎn)被操縱后,,攻擊者也不能或很難從獲取的節(jié)點(diǎn)信息推導(dǎo)出其它節(jié)點(diǎn)的密鑰信息等。另外,,還可以通過(guò)對(duì)傳感節(jié)點(diǎn)軟件的合法性進(jìn)行認(rèn)證等措施來(lái)提高節(jié)點(diǎn)本身的安全性能,。
3.2信息竊聽
根據(jù)無(wú)線傳播和網(wǎng)絡(luò)部署特點(diǎn),攻擊者很輕易通過(guò)節(jié)點(diǎn)間的傳輸而獲得敏感或者私有的信息,,如:在通過(guò)無(wú)線傳感器網(wǎng)絡(luò)監(jiān)控室內(nèi)溫度和燈光的場(chǎng)景中,,部署在室外的無(wú)線接收器可以獲取室內(nèi)傳感器發(fā)送過(guò)來(lái)的溫度和燈光信息;同樣攻擊者通過(guò)監(jiān)聽室內(nèi)和室外節(jié)點(diǎn)間信息的傳輸,也可以獲知室內(nèi)信息,,從而揭露出房屋主人的生活習(xí)性,。
對(duì)策:對(duì)傳輸信息加密可以解決竊聽問題,但需要一個(gè)靈活,、強(qiáng)健的密鑰交換和治理方案,,密鑰治理方案必須輕易部署而且適合傳感節(jié)點(diǎn)資源有限的特點(diǎn),另外,,密鑰治理方案還必須保證當(dāng)部分節(jié)點(diǎn)被操縱后(這樣,,攻擊者就可以獲取存儲(chǔ)在這個(gè)節(jié)點(diǎn)中的生成會(huì)話密鑰的信息),不會(huì)破壞整個(gè)網(wǎng)絡(luò)的安全性,。由于傳感節(jié)點(diǎn)的內(nèi)存資源有限,,使得在傳感器網(wǎng)絡(luò)中實(shí)現(xiàn)大多數(shù)節(jié)點(diǎn)間端到端安全不切實(shí)際。然而在傳感器網(wǎng)絡(luò)中可以實(shí)現(xiàn)跳-跳之間的信息的加密,,這樣傳感節(jié)點(diǎn)只要與鄰居節(jié)點(diǎn)共享密鑰就可以了,。在這種情況下,,即使攻擊者捕捉了一個(gè)通信節(jié)點(diǎn),,也只是影響相鄰節(jié)點(diǎn)間的安全。但當(dāng)攻擊者通過(guò)操縱節(jié)點(diǎn)發(fā)送虛假路由消息,,就會(huì)影響整個(gè)網(wǎng)絡(luò)的路由拓?fù)?。解決這種問題的辦法是具有魯棒性的路由協(xié)議,另外一種方法是多路徑路由,,通過(guò)多個(gè)路徑傳輸部分信息,,并在目的地進(jìn)行重組,。
3.3私有性問題
傳感器網(wǎng)絡(luò)是用于收集信息作為主要目的的,,攻擊者可以通過(guò)竊聽,、加入偽造的非法節(jié)點(diǎn)等方式獲取這些敏感信息,,假如攻擊者知道怎樣從多路信息中獲取有限信息的相關(guān)算法,那么攻擊者就可以通過(guò)大量獲取的信息導(dǎo)出有效信息,。一般傳感器中的私有性問題,并不是通過(guò)傳感器網(wǎng)絡(luò)去獲取不大可能收集到的信息,,而是攻擊者通過(guò)遠(yuǎn)程監(jiān)聽WSN,,從而獲得大量的信息,,并根據(jù)特定算法分析出其中的私有性問題。因此攻擊者并不需要物理接觸傳感節(jié)點(diǎn),,是一種低風(fēng)險(xiǎn),、匿名的獲得私有信息方式,。遠(yuǎn)程監(jiān)聽還可以使單個(gè)攻擊者同時(shí)獲取多個(gè)節(jié)點(diǎn)的傳輸?shù)男畔ⅰ?/p>
對(duì)策:保證網(wǎng)絡(luò)中的傳感信息只有可信實(shí)體才可以訪問是保證私有性問題的最好方法,,這可通過(guò)數(shù)據(jù)加密和訪問控制來(lái)實(shí)現(xiàn);另外一種方法是限制網(wǎng)絡(luò)所發(fā)送信息的粒度,,因?yàn)樾畔⒃骄唧w,越有可能泄露私有性,,比如,一個(gè)簇節(jié)點(diǎn)可以通過(guò)對(duì)從相鄰節(jié)點(diǎn)接收到的大量信息進(jìn)行匯集處理,,并只傳送處理結(jié)果,從而達(dá)到數(shù)據(jù)匿名化,。
3.4拒絕服務(wù)攻擊(DOS)
DOS攻擊主要用于破壞網(wǎng)絡(luò)的可用性,減少,、降低執(zhí)行網(wǎng)絡(luò)或系統(tǒng)執(zhí)行某一期望功能能力的任何事件。如試圖中斷,、顛覆或毀壞傳感網(wǎng)絡(luò),另外還包括硬件失敗,、軟件bug、資源耗盡,、環(huán)境條件等[4]。這里我們主要考慮協(xié)議和設(shè)計(jì)層面的漏洞,。確定一個(gè)錯(cuò)誤或一系列錯(cuò)誤是否是有意DOS攻擊造成的,是很困難的,非凡是在大規(guī)模的網(wǎng)絡(luò)中,,因?yàn)榇藭r(shí)傳感網(wǎng)絡(luò)本身就具有比較高的單個(gè)節(jié)點(diǎn)失效率。
DOS攻擊可以發(fā)生在物理層,,如信道阻塞,這可能包括在網(wǎng)絡(luò)中惡意干擾網(wǎng)絡(luò)中協(xié)議的傳送或者物理?yè)p害傳感節(jié)點(diǎn),。攻擊者還可以發(fā)起快速消耗傳感節(jié)點(diǎn)能量的攻擊,,比如,向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送大量無(wú)用信息,,目標(biāo)節(jié)點(diǎn)就會(huì)消耗能量處理這些信息,并把這些信息傳送給其它節(jié)點(diǎn),。假如攻擊者捕捉了傳感節(jié)點(diǎn),那么他還可以偽造或偽裝成合法節(jié)點(diǎn)發(fā)起這些DOS攻擊,,比如,它可以產(chǎn)生循環(huán)路由,,從而耗盡這個(gè)循環(huán)中節(jié)點(diǎn)的能量。防御DOS攻擊的方法沒有一個(gè)固定的方法,,它隨著攻擊者攻擊方法的不同而不同。一些跳頻和擴(kuò)頻技術(shù)可以用來(lái)減輕網(wǎng)絡(luò)堵塞問題,。恰當(dāng)?shù)恼J(rèn)證可以防止在網(wǎng)絡(luò)中插入無(wú)用信息,然而,這些協(xié)議必須十分有效,,否則它也會(huì)被用來(lái)當(dāng)作DOS攻擊的手段,。比如,,使用基于非對(duì)稱密碼機(jī)制的數(shù)字簽名可以用來(lái)進(jìn)行信息認(rèn)證,,但是創(chuàng)建和驗(yàn)證簽名是一個(gè)計(jì)算速度慢,、能量消耗大的計(jì)算,,攻擊者可以在網(wǎng)絡(luò)中引入大量的這種信息,,就會(huì)有效地實(shí)施DOS攻擊。
4.總結(jié)
安全是一個(gè)好的傳感網(wǎng)絡(luò)設(shè)計(jì)中的要害問題,,沒有足夠的保護(hù)機(jī)密性、私有性,、完整性以及防御DOS和其它攻擊的措施,傳感網(wǎng)絡(luò)就不能得到廣泛的應(yīng)用,,它只能在有限的、受控的環(huán)境中得到實(shí)施,,這會(huì)嚴(yán)重影響傳感網(wǎng)絡(luò)的應(yīng)用前景。另外,,在考慮傳感網(wǎng)絡(luò)安全問題和選擇對(duì)應(yīng)安全機(jī)制的時(shí)候,必須在協(xié)議和軟件的設(shè)計(jì)階段就根據(jù)網(wǎng)絡(luò)特點(diǎn),、應(yīng)用場(chǎng)合等綜合進(jìn)行設(shè)計(jì),試圖在事后增加系統(tǒng)的安全功能通常被證實(shí)為不成功或功能較弱的,。