第8章安全技術(shù)

1、第八章第八章 安全技術(shù)安全技術(shù)鄭來波鄭來波山東大學(xué)信息學(xué)院通信研究所山東大學(xué)信息學(xué)院通信研究所辦公室：信息學(xué)院北樓辦公室：信息學(xué)院北樓513513電話：電話：8836220888362208Email: Email: 第8章 安全技術(shù)8.1 無線傳感器網(wǎng)絡(luò)安全基本理論無線傳感器網(wǎng)絡(luò)安全基本理論8.1.1 無線傳感器網(wǎng)絡(luò)安全的限制因素8.1.2 系統(tǒng)假設(shè)8.1.3無線傳感器網(wǎng)絡(luò)的安全問題分析8.1.4無線傳感器網(wǎng)絡(luò)安全要求第8章 安全技術(shù)8.1.1 無線傳感器網(wǎng)絡(luò)安全的限制因素?zé)o線傳感器網(wǎng)絡(luò)安全的限制因素實現(xiàn)傳感器網(wǎng)絡(luò)安全的限制因素包括兩個方面：實現(xiàn)傳感器網(wǎng)絡(luò)安全的限制因素包括兩個方面：（一）傳

2、感器節(jié)點本身的限制（一）傳感器節(jié)點本身的限制包括電池能量的限制，節(jié)點包括電池能量的限制，節(jié)點CPU、內(nèi)存、存儲容量方面的限制，以及缺乏足、內(nèi)存、存儲容量方面的限制，以及缺乏足夠的篡改保護等；夠的篡改保護等；（二）無線網(wǎng)絡(luò)本身的限制（二）無線網(wǎng)絡(luò)本身的限制包括通信帶寬、延時、數(shù)據(jù)包的大小等方面的限制。包括通信帶寬、延時、數(shù)據(jù)包的大小等方面的限制。第8章 安全技術(shù)具體的限制總結(jié)如下：具體的限制總結(jié)如下：1信道的脆弱性信道的脆弱性不需要物理基礎(chǔ)網(wǎng)絡(luò)部件，惡意攻擊者可以輕易地進行網(wǎng)絡(luò)監(jiān)聽和發(fā)送偽造不需要物理基礎(chǔ)網(wǎng)絡(luò)部件，惡意攻擊者可以輕易地進行網(wǎng)絡(luò)監(jiān)聽和發(fā)送偽造的數(shù)據(jù)報文。的數(shù)據(jù)報文。2節(jié)點的脆弱性節(jié)

3、點的脆弱性傳感器節(jié)點一般布置在敵對或者無人看管的區(qū)域，傳感器節(jié)點的物理安全沒傳感器節(jié)點一般布置在敵對或者無人看管的區(qū)域，傳感器節(jié)點的物理安全沒有很多保證，攻擊者很容易攻占節(jié)點，且節(jié)點沒有防篡改的安全部件，易被有很多保證，攻擊者很容易攻占節(jié)點，且節(jié)點沒有防篡改的安全部件，易被攻擊者利用。攻擊者利用。3弱安全假設(shè)弱安全假設(shè)一般情況下，傳感器節(jié)點很可能被攻擊者獲取，而且傳感器網(wǎng)絡(luò)的防護機制一般情況下，傳感器節(jié)點很可能被攻擊者獲取，而且傳感器網(wǎng)絡(luò)的防護機制很弱，可能會泄露存放在節(jié)點上的密鑰。很弱，可能會泄露存放在節(jié)點上的密鑰。因此，在傳感器網(wǎng)絡(luò)的安全設(shè)計中，需要考慮到這個方面，不同的密鑰，安因此，在傳

4、感器網(wǎng)絡(luò)的安全設(shè)計中，需要考慮到這個方面，不同的密鑰，安全級別不同，傳送不同級別的數(shù)據(jù)。而且，密鑰需要經(jīng)常更新。全級別不同，傳送不同級別的數(shù)據(jù)。而且，密鑰需要經(jīng)常更新。第8章 安全技術(shù)4無固定結(jié)構(gòu)無固定結(jié)構(gòu)從安全角度來看，沒有固定的結(jié)構(gòu)使得一些傳統(tǒng)的安全技術(shù)難以應(yīng)用。從安全角度來看，沒有固定的結(jié)構(gòu)使得一些傳統(tǒng)的安全技術(shù)難以應(yīng)用。5拓撲結(jié)構(gòu)動態(tài)變化拓撲結(jié)構(gòu)動態(tài)變化網(wǎng)絡(luò)拓撲的頻繁的動態(tài)變化，需要比較復(fù)雜的路由協(xié)議。網(wǎng)絡(luò)拓撲的頻繁的動態(tài)變化，需要比較復(fù)雜的路由協(xié)議。6局限于對稱密鑰技術(shù)局限于對稱密鑰技術(shù)由于節(jié)點功能的局限性，只能使用對稱密鑰技術(shù)，而不能采用公鑰技術(shù)。由于節(jié)點功能的局限性，只能使用對稱

5、密鑰技術(shù)，而不能采用公鑰技術(shù)。7性能因素性能因素?zé)o線傳感器網(wǎng)絡(luò)，在考慮安全的同時，必須考慮一些其它的限制因素，性能無線傳感器網(wǎng)絡(luò)，在考慮安全的同時，必須考慮一些其它的限制因素，性能是一個重要方面。例如，為了可以進行數(shù)據(jù)匯聚，可能對數(shù)據(jù)不進行加密，是一個重要方面。例如，為了可以進行數(shù)據(jù)匯聚，可能對數(shù)據(jù)不進行加密，或者使用組密鑰，這兩種方法都減弱了安全性。或者使用組密鑰，這兩種方法都減弱了安全性。8節(jié)點的電源能量有限節(jié)點的電源能量有限一種最簡單的攻擊方法，可能是向網(wǎng)絡(luò)中發(fā)送大量的偽造數(shù)據(jù)報，耗盡中間一種最簡單的攻擊方法，可能是向網(wǎng)絡(luò)中發(fā)送大量的偽造數(shù)據(jù)報，耗盡中間路由節(jié)點的電源能量，導(dǎo)致網(wǎng)絡(luò)中大量

6、節(jié)點不可用。路由節(jié)點的電源能量，導(dǎo)致網(wǎng)絡(luò)中大量節(jié)點不可用?？捎眯栽趥鹘y(tǒng)密鑰學(xué)中不是非常重要，但在無線傳感器網(wǎng)絡(luò)中，卻是安全的可用性在傳統(tǒng)密鑰學(xué)中不是非常重要，但在無線傳感器網(wǎng)絡(luò)中，卻是安全的重要部分。設(shè)計安全協(xié)議時候，應(yīng)該充分考慮能量的消耗情況。重要部分。設(shè)計安全協(xié)議時候，應(yīng)該充分考慮能量的消耗情況。第8章 安全技術(shù)8.1.2 系統(tǒng)假設(shè)系統(tǒng)假設(shè)在分析在分析WSN安全需求和安全基礎(chǔ)設(shè)施之前，先給出一些假設(shè)。安全需求和安全基礎(chǔ)設(shè)施之前，先給出一些假設(shè)。一般來說傳感器節(jié)點使用一般來說傳感器節(jié)點使用RF（Radio Frequency）通信，因此廣播是基）通信，因此廣播是基本的通信原語。本的通信原語。

7、在部署之前，傳感器和基站是任意分布的，沒有任何的拓撲特征。在部署之前，傳感器和基站是任意分布的，沒有任何的拓撲特征。在節(jié)點部署之后，節(jié)點是固定的。在節(jié)點部署之后，節(jié)點是固定的。這些網(wǎng)絡(luò)節(jié)點的假設(shè)如下：這些網(wǎng)絡(luò)節(jié)點的假設(shè)如下：第8章 安全技術(shù)1傳感器傳感器每個傳感器節(jié)點能夠向前傳輸信息給基站，識別達到本節(jié)點的數(shù)據(jù)包，并每個傳感器節(jié)點能夠向前傳輸信息給基站，識別達到本節(jié)點的數(shù)據(jù)包，并且進行消息廣播。且進行消息廣播。對于節(jié)點不作任何的信任假設(shè)。對于節(jié)點不作任何的信任假設(shè)。2基站基站 基站是傳感器網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的接口?；臼莻鞲衅骶W(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的接口。傳感器節(jié)點以基站為根建立路由鏈路。傳感器節(jié)

8、點以基站為根建立路由鏈路。假設(shè)基站也擁有傳感器節(jié)點的能力，但是它擁有足夠的電池能源支撐整個假設(shè)基站也擁有傳感器節(jié)點的能力，但是它擁有足夠的電池能源支撐整個傳感器網(wǎng)絡(luò)的過程，足夠的內(nèi)存存儲密鑰，并且能夠與外部網(wǎng)絡(luò)通信。傳感器網(wǎng)絡(luò)的過程，足夠的內(nèi)存存儲密鑰，并且能夠與外部網(wǎng)絡(luò)通信。在基站之間的廣播通信是可行的，并且是安全的組通信。在基站之間的廣播通信是可行的，并且是安全的組通信。集群算法能夠很容易地擴展用來建立安全的通信?；灸軌驗閮蓚€傳感器集群算法能夠很容易地擴展用來建立安全的通信?；灸軌驗閮蓚€傳感器節(jié)點生成臨時的回話密鑰。節(jié)點生成臨時的回話密鑰。第8章 安全技術(shù)3命令節(jié)點命令節(jié)點假設(shè)命令節(jié)點

9、是安全的，并且受信于傳感器網(wǎng)絡(luò)的所有節(jié)點。假設(shè)命令節(jié)點是安全的，并且受信于傳感器網(wǎng)絡(luò)的所有節(jié)點。4時間同步時間同步假設(shè)傳感器網(wǎng)絡(luò)的各種節(jié)點能夠在允許的誤差范圍內(nèi)保證時間同步。假設(shè)傳感器網(wǎng)絡(luò)的各種節(jié)點能夠在允許的誤差范圍內(nèi)保證時間同步。在在WSN中通信模式可以分為如下幾類：中通信模式可以分為如下幾類：(1)傳感器與傳感器之間通信；傳感器與傳感器之間通信；(2)傳感器與基站之間通信；傳感器與基站之間通信；(3)傳感器與命令節(jié)點之間通信；傳感器與命令節(jié)點之間通信；(4)基站之間通信；基站之間通信；(5)基站與命令節(jié)點之間通信?；九c命令節(jié)點之間通信。在無線傳感器網(wǎng)絡(luò)平臺上，由于計算資源是有限的，不能

10、使用非對稱加密技在無線傳感器網(wǎng)絡(luò)平臺上，由于計算資源是有限的，不能使用非對稱加密技術(shù)，因此使用對稱加密技術(shù)來設(shè)計安全協(xié)議。術(shù)，因此使用對稱加密技術(shù)來設(shè)計安全協(xié)議。第8章 安全技術(shù)8.1.3無線傳感器網(wǎng)絡(luò)的安全問題分析無線傳感器網(wǎng)絡(luò)的安全問題分析 WSN協(xié)議棧由物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成。協(xié)議棧由物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層組成。物理層主要處理信號的調(diào)制，發(fā)射和接收。物理層主要處理信號的調(diào)制，發(fā)射和接收。數(shù)據(jù)鏈路層主要負責(zé)數(shù)據(jù)流的多路傳輸，數(shù)據(jù)幀檢測，媒介訪問控制和錯數(shù)據(jù)鏈路層主要負責(zé)數(shù)據(jù)流的多路傳輸，數(shù)據(jù)幀檢測，媒介訪問控制和錯誤控制。誤控制。網(wǎng)絡(luò)層主要考慮數(shù)

11、據(jù)的路由。網(wǎng)絡(luò)層主要考慮數(shù)據(jù)的路由。傳輸層用于維持給定的數(shù)據(jù)流。傳輸層用于維持給定的數(shù)據(jù)流。根據(jù)不同的應(yīng)用，應(yīng)用層上可使用不同的應(yīng)用軟件。根據(jù)不同的應(yīng)用，應(yīng)用層上可使用不同的應(yīng)用軟件。 下面逐層對安全性進行分析。下面逐層對安全性進行分析。第8章 安全技術(shù)1. 物理層的攻擊與防御物理層的攻擊與防御物理層中安全的主要問題有兩類：物理層中安全的主要問題有兩類：無線通信的干擾無線通信的干擾-一個攻擊者可以用一個攻擊者可以用K個節(jié)點去干擾并阻塞個節(jié)點去干擾并阻塞N個個節(jié)點的服務(wù)節(jié)點的服務(wù)(KN)。節(jié)點淪陷節(jié)點淪陷-攻擊者取得節(jié)點的秘密信息，從而可以代替這個節(jié)點攻擊者取得節(jié)點的秘密信息，從而可以代替這個節(jié)

12、點進行通信。進行通信。物理層的攻擊與防御具體情況如下：物理層的攻擊與防御具體情況如下： 第8章 安全技術(shù)（1）擁塞攻擊：）擁塞攻擊：攻擊節(jié)點通過在傳感器網(wǎng)絡(luò)工作頻段上不斷發(fā)送無用信號，可以使攻擊節(jié)點攻擊節(jié)點通過在傳感器網(wǎng)絡(luò)工作頻段上不斷發(fā)送無用信號，可以使攻擊節(jié)點通信半徑內(nèi)的傳感器節(jié)點都不能正常工作。通信半徑內(nèi)的傳感器節(jié)點都不能正常工作。擁塞攻擊對單頻點無線通信網(wǎng)絡(luò)非常有效。擁塞攻擊對單頻點無線通信網(wǎng)絡(luò)非常有效。抵御擁塞攻擊的方法抵御擁塞攻擊的方法1）使用寬頻和跳頻方法；）使用寬頻和跳頻方法；2）對于全頻段持續(xù)擁塞攻擊，轉(zhuǎn)換通信模式是唯一能夠使用的方法。如使用）對于全頻段持續(xù)擁塞攻擊，轉(zhuǎn)換通信

13、模式是唯一能夠使用的方法。如使用光通信和紅外線通信。光通信和紅外線通信。3）鑒于全頻擁塞攻擊實施困難，攻擊者一般不采用的事實，傳感器網(wǎng)絡(luò)還可）鑒于全頻擁塞攻擊實施困難，攻擊者一般不采用的事實，傳感器網(wǎng)絡(luò)還可以采用不斷降低自身工作的占空比來抵御使用能量有限持續(xù)的擁塞攻擊；以采用不斷降低自身工作的占空比來抵御使用能量有限持續(xù)的擁塞攻擊；4）采用高優(yōu)先級的數(shù)據(jù)包通知基站遭受局部擁塞攻擊，由基站映射出受攻擊）采用高優(yōu)先級的數(shù)據(jù)包通知基站遭受局部擁塞攻擊，由基站映射出受攻擊地點的外部輪廓，并將擁塞區(qū)域通知整個網(wǎng)絡(luò)，在進行數(shù)據(jù)通信時節(jié)點將擁塞地點的外部輪廓，并將擁塞區(qū)域通知整個網(wǎng)絡(luò)，在進行數(shù)據(jù)通信時節(jié)點將

14、擁塞區(qū)視為路由空洞，選擇繞過擁塞區(qū)的路由將數(shù)據(jù)傳到目的節(jié)點。區(qū)視為路由空洞，選擇繞過擁塞區(qū)的路由將數(shù)據(jù)傳到目的節(jié)點。第8章 安全技術(shù)（2）物理破壞：）物理破壞：敵方可以捕獲節(jié)點，獲取加密密鑰等敏感信息，從而可以不受限制地訪問上敵方可以捕獲節(jié)點，獲取加密密鑰等敏感信息，從而可以不受限制地訪問上層的信息。層的信息。針對無法避免的物理破壞可以采用的防御措施有：針對無法避免的物理破壞可以采用的防御措施有：1）增加物理損害感知機制，節(jié)點在感知到被破壞后，可以銷毀敏感數(shù)據(jù)、）增加物理損害感知機制，節(jié)點在感知到被破壞后，可以銷毀敏感數(shù)據(jù)、脫離網(wǎng)絡(luò)、修改安全處理程序等，從而保護網(wǎng)絡(luò)其他部分免受安全威脅；脫離網(wǎng)

15、絡(luò)、修改安全處理程序等，從而保護網(wǎng)絡(luò)其他部分免受安全威脅；2）對敏感信息進行加密存儲，通信加密密鑰、認證密鑰和各種安全啟動密）對敏感信息進行加密存儲，通信加密密鑰、認證密鑰和各種安全啟動密鑰需要嚴密的保護，在實現(xiàn)的時候，敏感信息盡量放在易失存儲器上，若不鑰需要嚴密的保護，在實現(xiàn)的時候，敏感信息盡量放在易失存儲器上，若不能，則采用輕量級的對稱加密算法進行加密處理。能，則采用輕量級的對稱加密算法進行加密處理。第8章 安全技術(shù)2數(shù)據(jù)鏈路層的攻擊與防御數(shù)據(jù)鏈路層的攻擊與防御鏈路層的攻擊與防御具體情況如下。鏈路層的攻擊與防御具體情況如下。（1）碰撞攻擊：）碰撞攻擊：由于無線網(wǎng)絡(luò)的通信環(huán)境是開放的，當兩個

16、設(shè)備同時進行發(fā)送時，它們的由于無線網(wǎng)絡(luò)的通信環(huán)境是開放的，當兩個設(shè)備同時進行發(fā)送時，它們的輸出信號會因為相互疊加而不能被分離出來。輸出信號會因為相互疊加而不能被分離出來。任何數(shù)據(jù)包只要有一個字節(jié)的數(shù)據(jù)在傳輸過程中發(fā)生了沖突，則整個數(shù)據(jù)任何數(shù)據(jù)包只要有一個字節(jié)的數(shù)據(jù)在傳輸過程中發(fā)生了沖突，則整個數(shù)據(jù)包都會被丟棄。這種沖突在鏈路層協(xié)議中稱為碰撞。包都會被丟棄。這種沖突在鏈路層協(xié)議中稱為碰撞。攻擊節(jié)點只要發(fā)送一個字節(jié)的干擾數(shù)據(jù)，即會引起正常節(jié)點的回退。不斷攻擊節(jié)點只要發(fā)送一個字節(jié)的干擾數(shù)據(jù)，即會引起正常節(jié)點的回退。不斷的回退和重復(fù)發(fā)送回逐漸耗盡節(jié)點的能量。的回退和重復(fù)發(fā)送回逐漸耗盡節(jié)點的能量。防御措

17、施：采用糾錯編碼、信道監(jiān)聽和重傳機制來對抗碰撞攻擊。防御措施：采用糾錯編碼、信道監(jiān)聽和重傳機制來對抗碰撞攻擊。第8章 安全技術(shù)（2）耗盡攻擊：）耗盡攻擊：耗盡攻擊指利用協(xié)議漏洞，通過持續(xù)通信的方式使節(jié)點能量資源耗盡。耗盡攻擊指利用協(xié)議漏洞，通過持續(xù)通信的方式使節(jié)點能量資源耗盡。如利用鏈路層的錯包重傳機制，使節(jié)點不斷重發(fā)上一數(shù)據(jù)包，耗盡節(jié)點資源。如利用鏈路層的錯包重傳機制，使節(jié)點不斷重發(fā)上一數(shù)據(jù)包，耗盡節(jié)點資源。防御措施：防御措施：1）限制網(wǎng)絡(luò)節(jié)點發(fā)送速度，讓節(jié)點自動忽略過多的請求不必應(yīng)答每個請求；）限制網(wǎng)絡(luò)節(jié)點發(fā)送速度，讓節(jié)點自動忽略過多的請求不必應(yīng)答每個請求；2）另一種方法是對同一數(shù)據(jù)包的重

18、傳次數(shù)進行限制。）另一種方法是對同一數(shù)據(jù)包的重傳次數(shù)進行限制。第8章 安全技術(shù)（3）非公平競爭：）非公平競爭：如果網(wǎng)絡(luò)數(shù)據(jù)包在通信機制中存在優(yōu)先級控制，惡意節(jié)點或者被俘節(jié)點可如果網(wǎng)絡(luò)數(shù)據(jù)包在通信機制中存在優(yōu)先級控制，惡意節(jié)點或者被俘節(jié)點可能被用來不斷在網(wǎng)絡(luò)上發(fā)送高優(yōu)先級的數(shù)據(jù)包占據(jù)信道，從而導(dǎo)致其它節(jié)點能被用來不斷在網(wǎng)絡(luò)上發(fā)送高優(yōu)先級的數(shù)據(jù)包占據(jù)信道，從而導(dǎo)致其它節(jié)點在通信過程中處于劣勢。在通信過程中處于劣勢。這是一種弱這是一種弱DoS攻擊（拒絕式服務(wù)攻擊）方式。攻擊（拒絕式服務(wù)攻擊）方式。防御措施：防御措施：1）采用短包策略，即在）采用短包策略，即在MAC層中不允許使用過長的數(shù)據(jù)包，以縮短每

19、包占層中不允許使用過長的數(shù)據(jù)包，以縮短每包占用信道的時間；用信道的時間；2）采用弱優(yōu)先級之間的差異或不采用優(yōu)先級策略，而采用競爭或時分復(fù)用）采用弱優(yōu)先級之間的差異或不采用優(yōu)先級策略，而采用競爭或時分復(fù)用的方式實現(xiàn)數(shù)據(jù)傳輸。的方式實現(xiàn)數(shù)據(jù)傳輸。第8章 安全技術(shù)3傳感器網(wǎng)絡(luò)路由層面臨的安全威脅傳感器網(wǎng)絡(luò)路由層面臨的安全威脅網(wǎng)絡(luò)層路由協(xié)議為整個無線傳感器網(wǎng)絡(luò)提供了關(guān)鍵的路由協(xié)議，針對路由網(wǎng)絡(luò)層路由協(xié)議為整個無線傳感器網(wǎng)絡(luò)提供了關(guān)鍵的路由協(xié)議，針對路由的攻擊可能導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。的攻擊可能導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。大多數(shù)路由協(xié)議都以效率為主要目標，并沒有把安全作為主要設(shè)計目標考大多數(shù)路由協(xié)議都以效率為主要

20、目標，并沒有把安全作為主要設(shè)計目標考慮進去。慮進去。傳感器網(wǎng)絡(luò)路由層遭受的攻擊可以歸為以下幾類：傳感器網(wǎng)絡(luò)路由層遭受的攻擊可以歸為以下幾類：（1）虛假路由信息）虛假路由信息（2）選擇轉(zhuǎn)發(fā)）選擇轉(zhuǎn)發(fā)（3）女巫（）女巫（Sybil）攻擊）攻擊（4）槽洞（）槽洞（Sinkhole）攻擊）攻擊（5）蟲洞（）蟲洞（Wormholes）攻擊）攻擊（6）Hello flood攻擊攻擊（7）告知收到欺騙）告知收到欺騙第8章 安全技術(shù)（1）虛假路由信息）虛假路由信息這是對路由協(xié)議的最直接的攻擊方式，通過哄騙、修改或者重放路由信息，這是對路由協(xié)議的最直接的攻擊方式，通過哄騙、修改或者重放路由信息，攻擊者能夠使傳感

21、器網(wǎng)絡(luò)產(chǎn)生路由環(huán)、吸引或抑制網(wǎng)絡(luò)流量、延伸或縮短源攻擊者能夠使傳感器網(wǎng)絡(luò)產(chǎn)生路由環(huán)、吸引或抑制網(wǎng)絡(luò)流量、延伸或縮短源路由，產(chǎn)生虛假錯誤消息、分割網(wǎng)絡(luò)、增加端到端的延遲等。路由，產(chǎn)生虛假錯誤消息、分割網(wǎng)絡(luò)、增加端到端的延遲等。這種攻擊方式與網(wǎng)絡(luò)層協(xié)議相關(guān)。這種攻擊方式與網(wǎng)絡(luò)層協(xié)議相關(guān)。防御措施：防御措施：對于層次式路由協(xié)議，可以使用輸出過濾的方法，即對源路由進行認證，確對于層次式路由協(xié)議，可以使用輸出過濾的方法，即對源路由進行認證，確認一個數(shù)據(jù)包是否是從它的合法子節(jié)點發(fā)送過來的，直接丟棄不能認證的數(shù)認一個數(shù)據(jù)包是否是從它的合法子節(jié)點發(fā)送過來的，直接丟棄不能認證的數(shù)據(jù)包。據(jù)包。第8章 安全技術(shù)（2

22、）選擇轉(zhuǎn)發(fā)）選擇轉(zhuǎn)發(fā)無線傳感器網(wǎng)絡(luò)中每一個傳感器節(jié)點既是終節(jié)點又是路由中繼點，要求每無線傳感器網(wǎng)絡(luò)中每一個傳感器節(jié)點既是終節(jié)點又是路由中繼點，要求每個傳感器忠實地轉(zhuǎn)發(fā)收到的消息。個傳感器忠實地轉(zhuǎn)發(fā)收到的消息。攻擊者節(jié)點在轉(zhuǎn)發(fā)信息包的過程中會有意丟棄部分或全部信息包，使得信攻擊者節(jié)點在轉(zhuǎn)發(fā)信息包的過程中會有意丟棄部分或全部信息包，使得信息包不能到達目的節(jié)點。息包不能到達目的節(jié)點。該種攻擊的一個簡單做法是惡意節(jié)點拒絕轉(zhuǎn)發(fā)經(jīng)由它的任何數(shù)據(jù)包，即所該種攻擊的一個簡單做法是惡意節(jié)點拒絕轉(zhuǎn)發(fā)經(jīng)由它的任何數(shù)據(jù)包，即所謂謂“黑洞攻擊黑洞攻擊”，但這種做法會使得鄰居節(jié)點認為該惡意節(jié)點已失效，從而，但這種做法會使

23、得鄰居節(jié)點認為該惡意節(jié)點已失效，從而不再經(jīng)由它轉(zhuǎn)發(fā)信息包。一種比較具有迷惑性的做法是選擇性地丟棄某些數(shù)不再經(jīng)由它轉(zhuǎn)發(fā)信息包。一種比較具有迷惑性的做法是選擇性地丟棄某些數(shù)據(jù)包。據(jù)包。防御措施：防御措施：使用多徑路由，這樣即使攻擊者丟棄數(shù)據(jù)包，數(shù)據(jù)包仍然可以從其它路徑到使用多徑路由，這樣即使攻擊者丟棄數(shù)據(jù)包，數(shù)據(jù)包仍然可以從其它路徑到達目標節(jié)點；而且節(jié)點通過多徑路由收到數(shù)據(jù)包和數(shù)據(jù)包的幾個副本，通過達目標節(jié)點；而且節(jié)點通過多徑路由收到數(shù)據(jù)包和數(shù)據(jù)包的幾個副本，通過對比可以發(fā)現(xiàn)某些中間數(shù)據(jù)包的丟失，從而推測選擇轉(zhuǎn)發(fā)攻擊點。對比可以發(fā)現(xiàn)某些中間數(shù)據(jù)包的丟失，從而推測選擇轉(zhuǎn)發(fā)攻擊點。第8章 安全技術(shù)（3

24、）女巫（）女巫（Sybil）攻擊）攻擊女巫（女巫（Sybil）攻擊的目標是破壞依賴多節(jié)點合作和多路徑路由的分布式）攻擊的目標是破壞依賴多節(jié)點合作和多路徑路由的分布式解決方案。解決方案。在女巫攻擊中，惡意節(jié)點通過扮演其他節(jié)點或者通過聲明虛假身份，從而在女巫攻擊中，惡意節(jié)點通過扮演其他節(jié)點或者通過聲明虛假身份，從而對網(wǎng)絡(luò)中其他節(jié)點表現(xiàn)出多重身份。在其他節(jié)點看來存在女巫節(jié)點偽造出來對網(wǎng)絡(luò)中其他節(jié)點表現(xiàn)出多重身份。在其他節(jié)點看來存在女巫節(jié)點偽造出來的一系列節(jié)點，但事實上那些節(jié)點都不存在，所有發(fā)往那些節(jié)點的數(shù)據(jù)，將的一系列節(jié)點，但事實上那些節(jié)點都不存在，所有發(fā)往那些節(jié)點的數(shù)據(jù)，將被女巫節(jié)點獲得。被女巫節(jié)

25、點獲得。 Sybil攻擊能夠明顯降低路由方案對于諸如分布式存儲、分散和多路徑路攻擊能夠明顯降低路由方案對于諸如分布式存儲、分散和多路徑路由、拓撲結(jié)構(gòu)保持的容錯能力，對于基于位置信息的路由協(xié)議也構(gòu)成很大的由、拓撲結(jié)構(gòu)保持的容錯能力，對于基于位置信息的路由協(xié)議也構(gòu)成很大的威脅。威脅。防御措施：防御措施：。采用基于密鑰分配、加密和身份認證等方法來抵御。采用基于密鑰分配、加密和身份認證等方法來抵御。每個節(jié)點都與可信任的基站共享一個唯一的對稱密鑰。每個節(jié)點都與可信任的基站共享一個唯一的對稱密鑰。基站可以給每個節(jié)點允許擁有的鄰居數(shù)目設(shè)一個閥值，當節(jié)點的鄰居數(shù)目?；究梢越o每個節(jié)點允許擁有的鄰居數(shù)目設(shè)一個閥

26、值，當節(jié)點的鄰居數(shù)目超出該閾值時，基站發(fā)送出錯消息。超出該閾值時，基站發(fā)送出錯消息。第8章 安全技術(shù)（4）槽洞（）槽洞（Sinkhole）攻擊）攻擊槽洞（槽洞（Sinkhole）攻擊的目標是通過一個妥協(xié)節(jié)點吸引一個特定區(qū)域的幾乎所）攻擊的目標是通過一個妥協(xié)節(jié)點吸引一個特定區(qū)域的幾乎所有流量，創(chuàng)建一個以敵手為中心的槽洞。有流量，創(chuàng)建一個以敵手為中心的槽洞。攻擊者利用收發(fā)能力強的特點可以在基站和攻擊者之間形成單跳高質(zhì)量路由，攻擊者利用收發(fā)能力強的特點可以在基站和攻擊者之間形成單跳高質(zhì)量路由，從而吸引附近大范圍的流量。從而吸引附近大范圍的流量。（5）蟲洞（）蟲洞（Wormholes）攻擊）攻擊蟲洞（

27、蟲洞（Wormholes）攻擊又可稱為隧道攻擊，兩個或者多個節(jié)點合謀通過封）攻擊又可稱為隧道攻擊，兩個或者多個節(jié)點合謀通過封裝技術(shù)，壓縮它們之間的路由，減少它們之間的路徑長度，使之似乎是相鄰節(jié)點。裝技術(shù)，壓縮它們之間的路由，減少它們之間的路徑長度，使之似乎是相鄰節(jié)點。常見的蟲洞攻擊行為是：惡意節(jié)點將在某一區(qū)域網(wǎng)絡(luò)中收到的信息包通過低延常見的蟲洞攻擊行為是：惡意節(jié)點將在某一區(qū)域網(wǎng)絡(luò)中收到的信息包通過低延遲鏈路傳到另一區(qū)域的惡意節(jié)點，并在該區(qū)域重放該信息包。遲鏈路傳到另一區(qū)域的惡意節(jié)點，并在該區(qū)域重放該信息包。蟲洞攻擊易轉(zhuǎn)化為槽洞攻擊，兩個惡意節(jié)點之間有一條低延遲的高效隧道，其蟲洞攻擊易轉(zhuǎn)化為槽洞

28、攻擊，兩個惡意節(jié)點之間有一條低延遲的高效隧道，其中一個位于基站附近，這樣另一個較遠的惡意節(jié)點可以使其周圍的節(jié)點認為自己中一個位于基站附近，這樣另一個較遠的惡意節(jié)點可以使其周圍的節(jié)點認為自己有一條到達基站的高質(zhì)量路由，從而吸引其周圍的流量。有一條到達基站的高質(zhì)量路由，從而吸引其周圍的流量。第8章 安全技術(shù)槽洞攻擊和蟲洞種攻擊很難防御，尤其是兩者聯(lián)合攻擊的時候。槽洞攻擊和蟲洞種攻擊很難防御，尤其是兩者聯(lián)合攻擊的時候。蟲洞攻擊難以覺察是因為攻擊者使用一個私有的、對傳感器網(wǎng)絡(luò)不可見的、蟲洞攻擊難以覺察是因為攻擊者使用一個私有的、對傳感器網(wǎng)絡(luò)不可見的、超出頻率范圍的信道；超出頻率范圍的信道；槽洞攻擊對于

29、那些需要廣告某些信息（如剩余能量信息或估計端到端的可槽洞攻擊對于那些需要廣告某些信息（如剩余能量信息或估計端到端的可靠度以構(gòu)造路由拓撲的信息）的協(xié)議很難防御，因為這些信息難以確認。靠度以構(gòu)造路由拓撲的信息）的協(xié)議很難防御，因為這些信息難以確認。防御措施：使用地理路由協(xié)議。防御措施：使用地理路由協(xié)議。該協(xié)議中每個節(jié)點都保持自己絕對或是彼此相對的位置信息，節(jié)點之間按該協(xié)議中每個節(jié)點都保持自己絕對或是彼此相對的位置信息，節(jié)點之間按需形成地理位置拓撲結(jié)構(gòu)。需形成地理位置拓撲結(jié)構(gòu)。當蟲洞攻擊者妄圖跨越物理拓撲時，局部節(jié)點可以通過彼此之間的拓撲信當蟲洞攻擊者妄圖跨越物理拓撲時，局部節(jié)點可以通過彼此之間的拓

30、撲信息來識破這種破壞，因為息來識破這種破壞，因為“鄰居鄰居”節(jié)點將會注意到兩者之間的距離遠遠超出節(jié)點將會注意到兩者之間的距離遠遠超出正常的通信范圍。正常的通信范圍。另外由于流量自然地流向基站的物理位置，別的位置很難吸引流量因而不另外由于流量自然地流向基站的物理位置，別的位置很難吸引流量因而不能創(chuàng)建槽洞。能創(chuàng)建槽洞。第8章 安全技術(shù)（6）Hello flood攻擊攻擊很多協(xié)議要求節(jié)點廣播很多協(xié)議要求節(jié)點廣播Hello信息包來確定鄰居節(jié)點，認為接收到該信息包來確定鄰居節(jié)點，認為接收到該Hello信息包的節(jié)點在發(fā)送者正常的無線通信范圍內(nèi)。信息包的節(jié)點在發(fā)送者正常的無線通信范圍內(nèi)。然而一個膝上電腦級的

31、攻擊者能夠以足夠大的發(fā)射功率發(fā)送然而一個膝上電腦級的攻擊者能夠以足夠大的發(fā)射功率發(fā)送Hello信息包，信息包，使得網(wǎng)絡(luò)中所有節(jié)點認為該惡意節(jié)點是其鄰居節(jié)點。使得網(wǎng)絡(luò)中所有節(jié)點認為該惡意節(jié)點是其鄰居節(jié)點。事實上，由于該節(jié)點離惡意節(jié)點距離較遠，以普通的發(fā)射功率傳輸?shù)男畔⑹聦嵣?，由于該?jié)點離惡意節(jié)點距離較遠，以普通的發(fā)射功率傳輸?shù)男畔镜讲涣四康牡?。包根本到不了目的地。防御措施：防御措施：。通過信任基站，使用身份確認協(xié)議認證每一個鄰居的身份。通過信任基站，使用身份確認協(xié)議認證每一個鄰居的身份?；鞠拗乒?jié)點的鄰居個數(shù)，當攻擊者試圖發(fā)起?；鞠拗乒?jié)點的鄰居個數(shù)，當攻擊者試圖發(fā)起Hello flood

32、 攻擊時，必須攻擊時，必須被大量鄰居認證，這將引起基站的注意。被大量鄰居認證，這將引起基站的注意。第8章 安全技術(shù)（7）告知收到欺騙）告知收到欺騙該攻擊方式充分利用無線通信的特性。其目標是使發(fā)送者認為弱鏈路很強該攻擊方式充分利用無線通信的特性。其目標是使發(fā)送者認為弱鏈路很強或者或者“死死”節(jié)點是節(jié)點是“活活”的。的。如，源節(jié)點向某一鄰居節(jié)點發(fā)送信息包，當攻擊者偵聽到該鄰居處于如，源節(jié)點向某一鄰居節(jié)點發(fā)送信息包，當攻擊者偵聽到該鄰居處于“死死”或或“將死將死”狀態(tài)時，便冒充該鄰居向源節(jié)點回復(fù)一個消息，告知收到信息包，狀態(tài)時，便冒充該鄰居向源節(jié)點回復(fù)一個消息，告知收到信息包，源節(jié)點誤以為該節(jié)點處于

33、源節(jié)點誤以為該節(jié)點處于“活活”狀態(tài)，這樣發(fā)往該鄰居的數(shù)據(jù)相當于進入了狀態(tài)，這樣發(fā)往該鄰居的數(shù)據(jù)相當于進入了“黑洞黑洞”。第8章 安全技術(shù)4傳輸層傳輸層傳輸層主要負責(zé)無線傳感器網(wǎng)絡(luò)與傳輸層主要負責(zé)無線傳感器網(wǎng)絡(luò)與Internet或外部網(wǎng)絡(luò)端到端的連接。或外部網(wǎng)絡(luò)端到端的連接。由于無線傳感器網(wǎng)絡(luò)節(jié)點的限制，節(jié)點無法保存維持端到端連接的大量信由于無線傳感器網(wǎng)絡(luò)節(jié)點的限制，節(jié)點無法保存維持端到端連接的大量信息，而且節(jié)點發(fā)送應(yīng)答消息會消耗大量能量，因此，目前還沒有關(guān)于傳感器息，而且節(jié)點發(fā)送應(yīng)答消息會消耗大量能量，因此，目前還沒有關(guān)于傳感器節(jié)點上的傳輸層協(xié)議的研究。節(jié)點上的傳輸層協(xié)議的研究?；竟?jié)點作為傳

34、感器網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口，傳輸層協(xié)議一般采用傳統(tǒng)網(wǎng)基站節(jié)點作為傳感器網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口，傳輸層協(xié)議一般采用傳統(tǒng)網(wǎng)絡(luò)協(xié)議，其安全問題和傳統(tǒng)網(wǎng)絡(luò)中的安全問題完全一樣。絡(luò)協(xié)議，其安全問題和傳統(tǒng)網(wǎng)絡(luò)中的安全問題完全一樣。第8章 安全技術(shù)5應(yīng)用層應(yīng)用層應(yīng)用層提供了應(yīng)用層提供了WSN的各種實際應(yīng)用，因此也面臨各種安全問題。的各種實際應(yīng)用，因此也面臨各種安全問題。密鑰管理和安全組播為整個密鑰管理和安全組播為整個WSN的安全機制提供了安全支撐。的安全機制提供了安全支撐。 WSN 中采用對稱加密算法、低能耗的認證機制和中采用對稱加密算法、低能耗的認證機制和Hash函數(shù)。函數(shù)。目前普遍認為可行的密鑰分配方案是預(yù)

35、分配，即在節(jié)點在部署之前，將密目前普遍認為可行的密鑰分配方案是預(yù)分配，即在節(jié)點在部署之前，將密鑰預(yù)先配置在節(jié)點中。鑰預(yù)先配置在節(jié)點中。實現(xiàn)方法有基于密鑰池的預(yù)配置方案、基于多項式的預(yù)配置方案以及利用實現(xiàn)方法有基于密鑰池的預(yù)配置方案、基于多項式的預(yù)配置方案以及利用節(jié)點部署信息的預(yù)配置方案等。節(jié)點部署信息的預(yù)配置方案等。第8章 安全技術(shù)8.1.4無線傳感器網(wǎng)絡(luò)安全要求無線傳感器網(wǎng)絡(luò)安全要求在普通網(wǎng)絡(luò)中，安全目標往往包括數(shù)據(jù)的保密性、完整性以及認證性三個在普通網(wǎng)絡(luò)中，安全目標往往包括數(shù)據(jù)的保密性、完整性以及認證性三個方面。方面。由于由于WSN的節(jié)點的特殊性以及其應(yīng)用環(huán)境的特殊性，其安全目標以及重要的

36、節(jié)點的特殊性以及其應(yīng)用環(huán)境的特殊性，其安全目標以及重要程度略有不同。程度略有不同。 WSN安全可歸納為以下幾個方面安全可歸納為以下幾個方面(1)數(shù)據(jù)保密性數(shù)據(jù)保密性(2)數(shù)據(jù)認證數(shù)據(jù)認證(3)數(shù)據(jù)完整性數(shù)據(jù)完整性(4)數(shù)據(jù)實時性數(shù)據(jù)實時性(5)密鑰管理密鑰管理(6)真實性真實性(7)擴展性擴展性(8)可用性可用性(9)自組織性自組織性(10)魯棒性魯棒性第8章 安全技術(shù)(1)數(shù)據(jù)保密性。數(shù)據(jù)保密性。保密性是無線傳感器網(wǎng)絡(luò)軍事應(yīng)用中的重要目標。保密性是無線傳感器網(wǎng)絡(luò)軍事應(yīng)用中的重要目標。在民用中，除了部分隱私信息，比如屋內(nèi)是否有人居住，人員居住在哪些房間在民用中，除了部分隱私信息，比如屋內(nèi)是否有

37、人居住，人員居住在哪些房間等信息需要保密外，很多探測等信息需要保密外，很多探測(溫度探測溫度探測)或警報信息或警報信息(火警警報火警警報)并不需要保密。并不需要保密。一個一個WSN不能把該網(wǎng)絡(luò)傳感器的感應(yīng)數(shù)據(jù)泄漏給臨近的節(jié)點。不能把該網(wǎng)絡(luò)傳感器的感應(yīng)數(shù)據(jù)泄漏給臨近的節(jié)點。保持敏感數(shù)據(jù)機密性的標準方法是用密匙對數(shù)據(jù)進行加密，并且這些密匙只有保持敏感數(shù)據(jù)機密性的標準方法是用密匙對數(shù)據(jù)進行加密，并且這些密匙只有特定的使用者所有。特定的使用者所有。(2)數(shù)據(jù)認證。數(shù)據(jù)認證。信息認證對信息認證對WSN的許多應(yīng)用都非常重要。的許多應(yīng)用都非常重要。網(wǎng)絡(luò)建立的同時，網(wǎng)絡(luò)管理任務(wù)的實現(xiàn)中數(shù)據(jù)認證也是必須的。同時

38、，由于敵網(wǎng)絡(luò)建立的同時，網(wǎng)絡(luò)管理任務(wù)的實現(xiàn)中數(shù)據(jù)認證也是必須的。同時，由于敵手能夠很容易地侵入信息，所以接收方需要確定數(shù)據(jù)的正確來源。手能夠很容易地侵入信息，所以接收方需要確定數(shù)據(jù)的正確來源。數(shù)據(jù)認證可以分為兩種情況，雙方單一通信、廣播通信。數(shù)據(jù)認證可以分為兩種情況，雙方單一通信、廣播通信。1）雙方單一通信）雙方單一通信-指一個發(fā)送者和一個接收者通信，其數(shù)據(jù)認證使用的是完全指一個發(fā)送者和一個接收者通信，其數(shù)據(jù)認證使用的是完全對稱機制，即發(fā)送者和接收者共用一個密匙來計算所有通信數(shù)據(jù)的消息認證碼對稱機制，即發(fā)送者和接收者共用一個密匙來計算所有通信數(shù)據(jù)的消息認證碼(MAC)；2）廣播通信）廣播通信-

39、完全對稱機理并不安全，因為網(wǎng)絡(luò)中的所有接收者都可以模仿發(fā)完全對稱機理并不安全，因為網(wǎng)絡(luò)中的所有接收者都可以模仿發(fā)送者來偽造發(fā)送信息。送者來偽造發(fā)送信息。第8章 安全技術(shù)(3)數(shù)據(jù)完整性。數(shù)據(jù)完整性。完整性是無線傳感器網(wǎng)絡(luò)安全最基本的需求和目標。完整性是無線傳感器網(wǎng)絡(luò)安全最基本的需求和目標。雖然很多信息不需要保密，但是這些信息必須保證沒有被篡改。雖然很多信息不需要保密，但是這些信息必須保證沒有被篡改。在網(wǎng)絡(luò)通信中，數(shù)據(jù)的完整性確保數(shù)據(jù)在傳輸過程中不被敵手改變。在網(wǎng)絡(luò)通信中，數(shù)據(jù)的完整性確保數(shù)據(jù)在傳輸過程中不被敵手改變。(4)數(shù)據(jù)實時性。數(shù)據(jù)實時性。所有的傳感器網(wǎng)絡(luò)測量的數(shù)據(jù)都是與時間有關(guān)的，所以

40、一定要確保每個消息是所有的傳感器網(wǎng)絡(luò)測量的數(shù)據(jù)都是與時間有關(guān)的，所以一定要確保每個消息是實時的（實時的（fresh）。）。數(shù)據(jù)實時暗含了數(shù)據(jù)是近期的，并且確保沒有敵人重放以前的信息。數(shù)據(jù)實時暗含了數(shù)據(jù)是近期的，并且確保沒有敵人重放以前的信息。有兩種類型的實時性：有兩種類型的實時性：1）弱實時性）弱實時性-提供部分信息順序，但是不攜帶任何延時信息；提供部分信息順序，但是不攜帶任何延時信息；2）強實時性）強實時性-提供請求提供請求/響應(yīng)對的完全順序，并且允許延時預(yù)測。響應(yīng)對的完全順序，并且允許延時預(yù)測。感知測量需要弱的實時性，而網(wǎng)絡(luò)內(nèi)的時間同步需要強的實時性。感知測量需要弱的實時性，而網(wǎng)絡(luò)內(nèi)的時間

41、同步需要強的實時性。第8章 安全技術(shù)(5)密鑰管理。密鑰管理。為了實現(xiàn)、滿足上述安全需求，需要對加密密鑰進行管理。為了實現(xiàn)、滿足上述安全需求，需要對加密密鑰進行管理。 WSN由于能源和計算能力的限制，需要在安全級別和這些限制之間維持平衡。由于能源和計算能力的限制，需要在安全級別和這些限制之間維持平衡。密鑰管理應(yīng)該包括密鑰分配，初始化階段，節(jié)點增加，密鑰撤銷，密鑰更新。密鑰管理應(yīng)該包括密鑰分配，初始化階段，節(jié)點增加，密鑰撤銷，密鑰更新。(6)真實性。真實性。節(jié)點身份認證或數(shù)據(jù)源認證在傳感器網(wǎng)絡(luò)的許多應(yīng)用中是非常重要的。節(jié)點身份認證或數(shù)據(jù)源認證在傳感器網(wǎng)絡(luò)的許多應(yīng)用中是非常重要的。在傳感器網(wǎng)絡(luò)中，

42、攻擊者極易向網(wǎng)絡(luò)注人信息，接收者只有通過數(shù)據(jù)源認證才能確在傳感器網(wǎng)絡(luò)中，攻擊者極易向網(wǎng)絡(luò)注人信息，接收者只有通過數(shù)據(jù)源認證才能確信消息是從正確的節(jié)點處發(fā)送過來的。信消息是從正確的節(jié)點處發(fā)送過來的。同時，對于共享密鑰的訪問控制權(quán)應(yīng)當控制在最小限度，即共享密鑰只對那些己認同時，對于共享密鑰的訪問控制權(quán)應(yīng)當控制在最小限度，即共享密鑰只對那些己認證過身份的用戶開放。證過身份的用戶開放。傳統(tǒng)有線網(wǎng)絡(luò)通常使用數(shù)字簽名或數(shù)字證書來進行身份認證。傳統(tǒng)有線網(wǎng)絡(luò)通常使用數(shù)字簽名或數(shù)字證書來進行身份認證。此類公鑰算法不適用于此類公鑰算法不適用于WSN網(wǎng)絡(luò)，因為其通信能力、計算速度和存儲空間都相當網(wǎng)絡(luò)，因為其通信能力

43、、計算速度和存儲空間都相當有限。有限。針對這種情況，傳感器網(wǎng)絡(luò)通常使用共享唯一的對稱密鑰來進行數(shù)據(jù)源的認證。針對這種情況，傳感器網(wǎng)絡(luò)通常使用共享唯一的對稱密鑰來進行數(shù)據(jù)源的認證。第8章 安全技術(shù)(7)擴展性。擴展性。 WSN中傳感器節(jié)點數(shù)大，分布范圍廣，環(huán)境條件、惡意攻擊或任務(wù)的變化可中傳感器節(jié)點數(shù)大，分布范圍廣，環(huán)境條件、惡意攻擊或任務(wù)的變化可能會影響傳感器網(wǎng)絡(luò)的配置。能會影響傳感器網(wǎng)絡(luò)的配置。同時，節(jié)點的經(jīng)常加入或失效也會使得網(wǎng)絡(luò)的拓撲結(jié)構(gòu)不斷發(fā)生變化。同時，節(jié)點的經(jīng)常加入或失效也會使得網(wǎng)絡(luò)的拓撲結(jié)構(gòu)不斷發(fā)生變化。傳感器網(wǎng)絡(luò)的可擴展性表現(xiàn)在傳感器數(shù)據(jù)、網(wǎng)絡(luò)覆蓋區(qū)域、生命周期、時間延傳感器網(wǎng)

44、絡(luò)的可擴展性表現(xiàn)在傳感器數(shù)據(jù)、網(wǎng)絡(luò)覆蓋區(qū)域、生命周期、時間延遲、感知精度等方面的可擴展極限。遲、感知精度等方面的可擴展極限。因此，給定傳感器網(wǎng)絡(luò)的可擴展性級別，安全解決方案必須提供支持該可擴展因此，給定傳感器網(wǎng)絡(luò)的可擴展性級別，安全解決方案必須提供支持該可擴展性級別的安全機制和算法，來使傳感器網(wǎng)絡(luò)保持良好的工作狀態(tài)。性級別的安全機制和算法，來使傳感器網(wǎng)絡(luò)保持良好的工作狀態(tài)。 第8章 安全技術(shù)(8)可用性。可用性?？捎眯砸彩菬o線傳感器網(wǎng)絡(luò)安全的基本需求和目標?？捎眯砸彩菬o線傳感器網(wǎng)絡(luò)安全的基本需求和目標?？捎眯钥捎眯?指安全協(xié)議高效可靠，不會給節(jié)點帶來過多的負載導(dǎo)致節(jié)點過早消指安全協(xié)議高效可靠，

45、不會給節(jié)點帶來過多的負載導(dǎo)致節(jié)點過早消耗完有限的電量。耗完有限的電量。傳感器網(wǎng)絡(luò)的安全解決方案所提供的各種服務(wù)能夠被授權(quán)用戶使用，并能夠有傳感器網(wǎng)絡(luò)的安全解決方案所提供的各種服務(wù)能夠被授權(quán)用戶使用，并能夠有效防止非法攻擊者企圖中斷傳感器網(wǎng)絡(luò)服務(wù)的惡意攻擊。效防止非法攻擊者企圖中斷傳感器網(wǎng)絡(luò)服務(wù)的惡意攻擊。一個合理的安全方案應(yīng)當具有節(jié)能的特點，各種安全協(xié)議和算法的設(shè)計不應(yīng)當一個合理的安全方案應(yīng)當具有節(jié)能的特點，各種安全協(xié)議和算法的設(shè)計不應(yīng)當太復(fù)雜，并盡可能地避開公鑰運算，計算開銷、存儲容量和通信能力也應(yīng)當充分太復(fù)雜，并盡可能地避開公鑰運算，計算開銷、存儲容量和通信能力也應(yīng)當充分考慮傳感器網(wǎng)絡(luò)資源

46、有限的特點，從而使得能消耗最小化，最終延長網(wǎng)絡(luò)的生命考慮傳感器網(wǎng)絡(luò)資源有限的特點，從而使得能消耗最小化，最終延長網(wǎng)絡(luò)的生命周期。周期。同時，安全性設(shè)計方案不應(yīng)當限制網(wǎng)絡(luò)的可用性，并能夠有效防止攻擊者對傳同時，安全性設(shè)計方案不應(yīng)當限制網(wǎng)絡(luò)的可用性，并能夠有效防止攻擊者對傳感器節(jié)點資源的惡意消耗。感器節(jié)點資源的惡意消耗。第8章 安全技術(shù)(9)自組織性。自組織性。由于傳感器網(wǎng)絡(luò)是以自組織的方式進行組網(wǎng)的，這就決定了相應(yīng)的安全解決方由于傳感器網(wǎng)絡(luò)是以自組織的方式進行組網(wǎng)的，這就決定了相應(yīng)的安全解決方案也應(yīng)當是自組織的，即在傳感器網(wǎng)絡(luò)配置之前無法確定節(jié)點的任何位置信息和案也應(yīng)當是自組織的，即在傳感器網(wǎng)絡(luò)

47、配置之前無法確定節(jié)點的任何位置信息和網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，也無法確定某個節(jié)點的鄰近節(jié)點集。網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，也無法確定某個節(jié)點的鄰近節(jié)點集。(10)魯棒性。魯棒性。傳感器網(wǎng)絡(luò)一般配置在惡劣環(huán)境、無人區(qū)域或敵方陣地中，環(huán)境條件、現(xiàn)實威傳感器網(wǎng)絡(luò)一般配置在惡劣環(huán)境、無人區(qū)域或敵方陣地中，環(huán)境條件、現(xiàn)實威脅和當前任務(wù)具有很大的不確定性。脅和當前任務(wù)具有很大的不確定性。這要求傳感器節(jié)點能夠靈活地加入或去除、傳感器網(wǎng)絡(luò)之間能夠進行合并或拆這要求傳感器節(jié)點能夠靈活地加入或去除、傳感器網(wǎng)絡(luò)之間能夠進行合并或拆分，因而安全解決方案應(yīng)當具有魯棒性和自適應(yīng)性，能夠隨著應(yīng)用背景的變化而分，因而安全解決方案應(yīng)當具有魯棒性和自

48、適應(yīng)性，能夠隨著應(yīng)用背景的變化而靈活拓展，來為所有可能的應(yīng)用環(huán)境和條件提供安全解決方案此外。靈活拓展，來為所有可能的應(yīng)用環(huán)境和條件提供安全解決方案此外。當某個或某些節(jié)點被攻擊者控制后，安全解決方案應(yīng)當限制其影響范圍，保證當某個或某些節(jié)點被攻擊者控制后，安全解決方案應(yīng)當限制其影響范圍，保證整個網(wǎng)絡(luò)不會因此而癱瘓或失效。整個網(wǎng)絡(luò)不會因此而癱瘓或失效。第8章 安全技術(shù)82 無線傳感器網(wǎng)絡(luò)的安全技術(shù)研究無線傳感器網(wǎng)絡(luò)的安全技術(shù)研究無線傳感器網(wǎng)絡(luò)無線傳感器網(wǎng)絡(luò)(WSN)是由一組傳感器以自組織、多跳方式構(gòu)成的無線網(wǎng)是由一組傳感器以自組織、多跳方式構(gòu)成的無線網(wǎng)絡(luò)絡(luò),是一種全新的信息獲取、處理和傳輸技術(shù)是一種

49、全新的信息獲取、處理和傳輸技術(shù), 集傳感器技術(shù)、嵌入式計算技集傳感器技術(shù)、嵌入式計算技術(shù)、無線通信技術(shù)以及分布式信息處理技術(shù)于一體。術(shù)、無線通信技術(shù)以及分布式信息處理技術(shù)于一體。隨著隨著WSN應(yīng)用領(lǐng)域不斷擴大應(yīng)用領(lǐng)域不斷擴大,其安全問題也變得越來越重要。其安全問題也變得越來越重要。 WSN的安全技術(shù)分類見下頁表。的安全技術(shù)分類見下頁表。 第8章 安全技術(shù)類類子類子類類類子類子類密碼技術(shù)加密技術(shù)路由安全安全路由行程完整性檢測技術(shù)攻擊身份認證技術(shù)路由算法數(shù)字簽名位置意識安全攻擊密匙管理預(yù)先配置密匙安全路由協(xié)議仲裁密匙位置確認自動加強的自治密匙數(shù)據(jù)融合安全集合使用配置理論的密匙管理認證其他第8章 安

50、全技術(shù)8.2.1無線傳感器網(wǎng)絡(luò)密碼技術(shù)無線傳感器網(wǎng)絡(luò)密碼技術(shù)WSN也是無線通信網(wǎng)絡(luò)的一種，有著基本相同的密碼技術(shù)。密碼技術(shù)是也是無線通信網(wǎng)絡(luò)的一種，有著基本相同的密碼技術(shù)。密碼技術(shù)是WSN安全的基礎(chǔ)，也是所有網(wǎng)絡(luò)安全實現(xiàn)的前提。安全的基礎(chǔ)，也是所有網(wǎng)絡(luò)安全實現(xiàn)的前提。1加密技術(shù)加密技術(shù)2完整性檢測技術(shù)完整性檢測技術(shù)3身份認證技術(shù)身份認證技術(shù)4數(shù)字簽名數(shù)字簽名第8章 安全技術(shù)1加密技術(shù)加密技術(shù)加密是一種基本的安全機制，它把傳感器節(jié)點間的通信消息轉(zhuǎn)換為密文，加密是一種基本的安全機制，它把傳感器節(jié)點間的通信消息轉(zhuǎn)換為密文，形成加密密匙。形成加密密匙。這些密文只有知道解密密匙的人才能識別。這些密文只有

51、知道解密密匙的人才能識別。1）對稱密匙密碼算法）對稱密匙密碼算法-加密密匙和解密密匙相同的密碼。加密密匙和解密密匙相同的密碼。對稱密匙密碼系統(tǒng)要求保密通信雙方必須事先共享一個密匙，因而也叫單對稱密匙密碼系統(tǒng)要求保密通信雙方必須事先共享一個密匙，因而也叫單匙密碼系統(tǒng)。匙密碼系統(tǒng)。這種算法又分為分流密碼算法和分組密碼算法兩種。這種算法又分為分流密碼算法和分組密碼算法兩種。2）非對稱密匙密碼算法）非對稱密匙密碼算法-加密密匙和解密密匙不同的密碼算法。加密密匙和解密密匙不同的密碼算法。非對稱密匙密碼系統(tǒng)中，每個用戶擁有兩種密匙，即公開密匙和秘密密匙。非對稱密匙密碼系統(tǒng)中，每個用戶擁有兩種密匙，即公開密

52、匙和秘密密匙。公開密匙對所有人公開，而只有用戶自己知道秘密密匙。公開密匙對所有人公開，而只有用戶自己知道秘密密匙。opuijoh jt jnqpttjcmf ?Nothing is impossible! 第8章 安全技術(shù)2完整性檢測技術(shù)完整性檢測技術(shù)完整性檢測技術(shù)用來進行消息的認證，是為了檢測因惡意攻擊者竄改而引完整性檢測技術(shù)用來進行消息的認證，是為了檢測因惡意攻擊者竄改而引起的信息錯誤。起的信息錯誤。為了抵御惡意攻擊，完整性檢測技術(shù)加入了秘密信息，不知道秘密信息的為了抵御惡意攻擊，完整性檢測技術(shù)加入了秘密信息，不知道秘密信息的攻擊者將不能產(chǎn)生有效的消息完整性碼。攻擊者將不能產(chǎn)生有效的消息完

53、整性碼。消息認證碼是一種典型的完整性檢測技術(shù)。消息認證碼是一種典型的完整性檢測技術(shù)。將消息通過一個帶密匙的雜湊函數(shù)來產(chǎn)生一個消息完整性碼，并將它附著將消息通過一個帶密匙的雜湊函數(shù)來產(chǎn)生一個消息完整性碼，并將它附著在消息后一起傳送給接收方。在消息后一起傳送給接收方。接收方在收到消息后可以重新計算消息完整性碼，并將其與接收到的消息接收方在收到消息后可以重新計算消息完整性碼，并將其與接收到的消息完整性碼進行比較：如果相等，接收方可以認為消息沒有被竄改；如果不相完整性碼進行比較：如果相等，接收方可以認為消息沒有被竄改；如果不相等，接收方就知道消息在傳輸過程中被竄改了。等，接收方就知道消息在傳輸過程中被

54、竄改了。該技術(shù)實現(xiàn)簡單，易于無線傳感器網(wǎng)絡(luò)的實現(xiàn)。該技術(shù)實現(xiàn)簡單，易于無線傳感器網(wǎng)絡(luò)的實現(xiàn)。第8章 安全技術(shù)3身份認證技術(shù)身份認證技術(shù)身份認證技術(shù)通過檢測通信雙方擁有什么或者知道什么來確定通信雙方的身份身份認證技術(shù)通過檢測通信雙方擁有什么或者知道什么來確定通信雙方的身份是否合法。是否合法。這種技術(shù)是通信雙方中的一方通過密碼技術(shù)驗證另一方是否知道他們之間共享這種技術(shù)是通信雙方中的一方通過密碼技術(shù)驗證另一方是否知道他們之間共享的秘密密匙，或者其中一方自有的私有密匙。的秘密密匙，或者其中一方自有的私有密匙。這是建立在運算簡單的單匙密碼算法和雜湊函數(shù)基礎(chǔ)上的，適合所有無線網(wǎng)絡(luò)這是建立在運算簡單的單匙密

55、碼算法和雜湊函數(shù)基礎(chǔ)上的，適合所有無線網(wǎng)絡(luò)通信。通信。4數(shù)字簽名數(shù)字簽名數(shù)字簽名是用于提供服務(wù)不可否認性的安全機制。數(shù)字簽名是用于提供服務(wù)不可否認性的安全機制。數(shù)字簽名大多基于公匙密碼技術(shù)，用戶利用其秘密密匙將一個消息進行簽名，數(shù)字簽名大多基于公匙密碼技術(shù)，用戶利用其秘密密匙將一個消息進行簽名，然后將消息和簽名一起傳給驗證方，驗證方利用簽名者公開的密匙來認證簽名的然后將消息和簽名一起傳給驗證方，驗證方利用簽名者公開的密匙來認證簽名的真?zhèn)?。真?zhèn)巍５?章 安全技術(shù)8.2.2 密匙確立和管理密匙確立和管理密碼技術(shù)是網(wǎng)絡(luò)安全構(gòu)架十分重要的部分，而密匙是密碼技術(shù)的核心內(nèi)容。密碼技術(shù)是網(wǎng)絡(luò)安全構(gòu)架十分重要

56、的部分，而密匙是密碼技術(shù)的核心內(nèi)容。密匙確立需要在參與實體和加密匙計算之間建立信任關(guān)系，信任建立可以通過公密匙確立需要在參與實體和加密匙計算之間建立信任關(guān)系，信任建立可以通過公開密匙或者秘密密匙技術(shù)來實現(xiàn)。開密匙或者秘密密匙技術(shù)來實現(xiàn)。 WSN的通信不能依靠一個固定的基礎(chǔ)組織或者一個中心管理員來實現(xiàn)，而要用的通信不能依靠一個固定的基礎(chǔ)組織或者一個中心管理員來實現(xiàn)，而要用分散的密匙管理技術(shù)。分散的密匙管理技術(shù)。密匙管理協(xié)議分為：密匙管理協(xié)議分為：（1）預(yù)先配置密匙協(xié)議）預(yù)先配置密匙協(xié)議預(yù)先配置密匙協(xié)議在傳感器節(jié)點中預(yù)先配置密匙。這種方法不靈活，特別是在動態(tài)預(yù)先配置密匙協(xié)議在傳感器節(jié)點中預(yù)先配置密

57、匙。這種方法不靈活，特別是在動態(tài)WSN中增加或移除節(jié)點的時候。中增加或移除節(jié)點的時候。（2）仲裁密匙協(xié)議）仲裁密匙協(xié)議在仲裁密匙協(xié)議中，密匙分配中心在仲裁密匙協(xié)議中，密匙分配中心(KDC)用來建立和保持網(wǎng)絡(luò)的密匙，它完全被集用來建立和保持網(wǎng)絡(luò)的密匙，它完全被集中于一個節(jié)點或者分散在一組信任節(jié)點中。中于一個節(jié)點或者分散在一組信任節(jié)點中。（3）自動加強的自治密匙協(xié)議。）自動加強的自治密匙協(xié)議。自動加強的自治密匙協(xié)議把建立的密匙散布在節(jié)點組中。自動加強的自治密匙協(xié)議把建立的密匙散布在節(jié)點組中。第8章 安全技術(shù)1預(yù)先配置密匙預(yù)先配置密匙(1)網(wǎng)絡(luò)范圍的預(yù)先配置密匙。網(wǎng)絡(luò)范圍的預(yù)先配置密匙。WSN所有節(jié)

58、點在配置前都要裝載同樣的密匙。所有節(jié)點在配置前都要裝載同樣的密匙。(2)明確節(jié)點的預(yù)先配置密匙。在這種方法中，網(wǎng)絡(luò)中的每個節(jié)點需要知道與明確節(jié)點的預(yù)先配置密匙。在這種方法中，網(wǎng)絡(luò)中的每個節(jié)點需要知道與其通信的所有節(jié)點的其通信的所有節(jié)點的ID號，每兩個節(jié)點間共享一個獨立的密匙。號，每兩個節(jié)點間共享一個獨立的密匙。(3)J安全預(yù)先配置節(jié)點。在網(wǎng)絡(luò)范圍的預(yù)先配置節(jié)點密匙方法中，任何一個安全預(yù)先配置節(jié)點。在網(wǎng)絡(luò)范圍的預(yù)先配置節(jié)點密匙方法中，任何一個危險節(jié)點都會危及整個網(wǎng)絡(luò)的安全。而在明確節(jié)點預(yù)先配置中，盡管有少數(shù)危險節(jié)點都會危及整個網(wǎng)絡(luò)的安全。而在明確節(jié)點預(yù)先配置中，盡管有少數(shù)危險節(jié)點互相串接，但整個

59、網(wǎng)絡(luò)不會受到影響。危險節(jié)點互相串接，但整個網(wǎng)絡(luò)不會受到影響。J安全方法提供組節(jié)點保護安全方法提供組節(jié)點保護來對抗不屬于該組的來對抗不屬于該組的j個危險節(jié)點的威脅。個危險節(jié)點的威脅。第8章 安全技術(shù)2仲裁密匙協(xié)議仲裁密匙協(xié)議仲裁協(xié)議包含用于確立密匙的第三個信任部分。根據(jù)密匙確立的類型，協(xié)議仲裁協(xié)議包含用于確立密匙的第三個信任部分。根據(jù)密匙確立的類型，協(xié)議被分為秘密密匙和公開密匙。標準的秘密密匙協(xié)議發(fā)展成密匙分配中心被分為秘密密匙和公開密匙。標準的秘密密匙協(xié)議發(fā)展成密匙分配中心(KDC)或者密匙轉(zhuǎn)換中心。或者密匙轉(zhuǎn)換中心。成對密匙確立協(xié)議可以支持小組節(jié)點的密匙建立。有一種分等級的密匙確立成對密匙確

60、立協(xié)議可以支持小組節(jié)點的密匙建立。有一種分等級的密匙確立協(xié)議叫做分層邏輯密匙協(xié)議叫做分層邏輯密匙(LKH)。在這種協(xié)議中，一個第三信任方。在這種協(xié)議中，一個第三信任方(TTP)在網(wǎng)絡(luò)在網(wǎng)絡(luò)的底層用一組密匙創(chuàng)建一個分層邏輯密匙，然后加密密匙的底層用一組密匙創(chuàng)建一個分層邏輯密匙，然后加密密匙(KEK)形成網(wǎng)絡(luò)的形成網(wǎng)絡(luò)的內(nèi)部節(jié)點。內(nèi)部節(jié)點。第8章 安全技術(shù)3自動加強的自治密匙協(xié)議自動加強的自治密匙協(xié)議(1)成對的不對稱密匙。該種協(xié)議基于公共密匙密碼技術(shù)。每個節(jié)點在配置之成對的不對稱密匙。該種協(xié)議基于公共密匙密碼技術(shù)。每個節(jié)點在配置之前，在其內(nèi)部嵌入由任務(wù)權(quán)威授予的公共密匙認證。前，在其內(nèi)部嵌入由任