無線傳感器網(wǎng)絡的安全路由技術(shù)研究,報告人：謝曉宇,什么是無線傳感器網(wǎng)絡,無線傳感器網(wǎng)絡是由一組能量有限的傳感器節(jié)點通過無線介質(zhì)自組織構(gòu)成,不需要固定網(wǎng)絡支持,具有快速展開,抗毀性強等優(yōu)勢的無線網(wǎng)絡。它能夠協(xié)作地實時監(jiān)測、感知和采集網(wǎng)絡分布區(qū)域內(nèi)的各種環(huán)境或監(jiān)測對象的信息,并對這些信息進行處理,獲得詳盡而準確的信息,傳送到需要這些信息的用戶。它能夠適用于人們無法接近的惡劣或特殊環(huán)境,如地震與氣候監(jiān)控、外層空間以及礦山資源探索、安全生產(chǎn)監(jiān)控等,是信息感知和采集的一場革命。無線傳感器網(wǎng)絡節(jié)點間通過多跳轉(zhuǎn)發(fā)機制進行數(shù)據(jù)通信,所有節(jié)點都處于平等地位,每個節(jié)點兼?zhèn)渎酚善骱椭鳈C兩種功能,不但執(zhí)行自己的應用任務(如感知和傳輸數(shù)據(jù)), 還要參與路由的發(fā)現(xiàn)、維護,以及網(wǎng)絡的組織構(gòu)建。因此,路由技術(shù)是無線傳感器網(wǎng)絡的關(guān)鍵技術(shù)。,無線傳感器網(wǎng)絡的路由技術(shù),無線傳感器網(wǎng)絡是一種特殊的移動Ad Hoc無線網(wǎng)絡,與Ad Hoc網(wǎng)絡最大的區(qū)別就是具有無全局標識、節(jié)點數(shù)量大且密集、多對一通信、數(shù)據(jù)冗余大和資源受限等特點。在無線傳感器網(wǎng)絡的研究初期,人們一度認為成熟的Internet路由技術(shù)加上Ad Hoc網(wǎng)絡路由機制對無線傳感器網(wǎng)絡的路由設(shè)計是足夠充分的,但深入的研究表明:無線傳感器網(wǎng)絡有著與傳統(tǒng)網(wǎng)絡明顯不同的路由技術(shù)要求。,(1) 降低能耗。由于無線傳感器網(wǎng)絡節(jié)點能量有限,所以路由技術(shù)必須將有效利用能源放在第一位,將服務質(zhì)量 (QOS)放在第二位考慮; (2) 遵循多對一通信方式。無線傳感器網(wǎng)絡是以數(shù)據(jù)為中心(Data Centric)進行路由的,數(shù)據(jù)傳輸遵循多對一 (Many To One)的通信模式,不同于傳統(tǒng) Ad Hoc網(wǎng)絡的點對點通信模式; (3) 減少冗余信息。無線傳感器網(wǎng)絡鄰近節(jié)點間采集的數(shù)據(jù)具有相似性,存在冗余信息,需經(jīng)數(shù)據(jù)融合(Data Fusion) 處理后再進行數(shù)據(jù)傳輸;,(4) 受限節(jié)點狀態(tài)。在無線傳感器網(wǎng)絡中,節(jié)點的狀態(tài)一般分為傳輸、接收、空閑和休眠四個狀態(tài),節(jié)點處于不同的狀態(tài)下,所消耗的能量級別是不同的。路由技術(shù)必須考慮節(jié)點當前狀態(tài)。 (5) 適應動態(tài)拓撲結(jié)構(gòu)。無線傳感器網(wǎng)絡某節(jié)點可能會因能量耗盡或其他原因,退出網(wǎng)絡運行;也可能由于需要而被添加到網(wǎng)絡中,會使網(wǎng)絡的拓撲結(jié)構(gòu)隨時發(fā)生變化。路由技術(shù)需支持網(wǎng)絡拓撲結(jié)構(gòu)的動態(tài)變化。 (6) 安全強度高。無線傳感器網(wǎng)絡節(jié)點都是暴露的設(shè)備,缺少物理安全保護,并且通信方式還是無線傳輸,網(wǎng)絡安全問題大大增大了。路由技術(shù)必須加入安全機制以增強網(wǎng)絡安全強度。,因此,包括Ad Hoc網(wǎng)絡在內(nèi)的傳統(tǒng)網(wǎng)絡路由技術(shù)都無法直接應用到無線傳感器網(wǎng)絡中,針對無線傳感器網(wǎng)絡中數(shù)據(jù)傳送的特點,已經(jīng)提出許多新的較為合適有效的路由技術(shù)。就路由算法而言,按實現(xiàn)方法劃分,有洪泛式路由(如 Go ssiping)、以數(shù)據(jù)為中心的路由(如Directed Diff usion)、層次式路由(如LEACH)、基于位置信息的路由(如GPSR)等。但是,這些針對無線傳感器網(wǎng)絡提出的路由算法,只對節(jié)點有限的性能和網(wǎng)絡特性的應用進行了盡可能的完善,卻沒有考慮安全問題。,路由面臨的安全威脅,在無線傳感器網(wǎng)絡中,大量的傳感器節(jié)點密集地分布在一個區(qū)域里,消息可能需要經(jīng)過若干節(jié)點才能到達目的地,但由于傳感器網(wǎng)絡的動態(tài)性,沒有固定基礎(chǔ)結(jié)構(gòu),每一個節(jié)點都是潛在的路由節(jié)點,更易受到攻擊,主要攻擊有以下幾種: (1) 虛假路由信息。通過欺騙、篡改和重發(fā)路由信息,攻擊者可以創(chuàng)建路由環(huán),吸引或者拒絕網(wǎng)絡信息流通量,延長或者縮短路由路經(jīng),形成虛假錯誤消息,以分割網(wǎng)絡,增加端到端的時延。,(2) 選擇性地轉(zhuǎn)發(fā)。節(jié)點收到數(shù)據(jù)包后,有選擇地轉(zhuǎn)發(fā)或者根本不轉(zhuǎn)發(fā)收到的數(shù)據(jù)包,導致數(shù)據(jù)包不能達到目的地。當攻擊者確定自身在數(shù)據(jù)流傳輸路徑上的時候,該攻擊通常是最有效的?？梢韵胂蟮玫?當一個攻擊者對正竊聽的數(shù)據(jù)流通過相鄰節(jié)點的時候,有可能通過阻塞或者制造沖突,對它感興趣的每個轉(zhuǎn)發(fā)數(shù)據(jù)包實行選擇性地轉(zhuǎn)發(fā)攻擊。因此 ,我們相信發(fā)起選擇性地轉(zhuǎn)發(fā)的攻擊者最可能攻擊的路徑是抵抗力最弱的路徑,并且企圖把自己藏身于數(shù)據(jù)流傳輸?shù)膶嶋H路徑之上。,(3) sinkhole 攻擊。攻擊者的目標是吸引從一個區(qū)域來的幾乎所有的數(shù)據(jù)流通過一個已經(jīng)受到入侵的節(jié)點,使它看起來對周圍基于一定路由算法的節(jié)點更具有吸引力。通過正式存在的或者是虛假的通往已被入侵節(jié)點的高性能路由,攻擊者周圍的每個節(jié)點就很可能會把轉(zhuǎn)發(fā)目的地的數(shù)據(jù)包交給攻擊者傳輸,并且向各自相鄰的節(jié)點傳播這個頗具吸引力的路由消息。 由于無線傳感器網(wǎng)絡中大量的數(shù)據(jù)包都是通過多跳或單跳的通信方式共享同一目的地,一個被入侵的節(jié)點只需要提供通往目的地的高性能路由,就能夠影響相當多的節(jié)點通信能力,因此,無線傳感器網(wǎng)絡對于sinkhole攻擊特別敏感。,(4) Sybil攻擊。在Sybil攻擊中,一個節(jié)點在網(wǎng)絡中的其它節(jié)點面前具有多個不同的身份。Sybil攻擊能夠明顯地降低路由方案對于諸如分布式存儲、分散和多路徑路由,拓撲結(jié)構(gòu)保持的容錯能力。 Sybil 攻擊還給基于位置信息的路由協(xié)議造成了很大的威脅。對于位置敏感的路由為了高效地為用地理地址標識的包選路,通常要求節(jié)點與它們的鄰居交換坐標信息。一個節(jié)點對于它的鄰居們來說只有唯一的一組坐標才是合理的, 但是通過使用Sybil攻擊,攻擊者可以同時處在不同的坐標上。,(5) Wormholes攻擊。攻擊者把通過一個很小延遲鏈路在部分網(wǎng)絡中收到的消息,用隧道傳輸,并且在網(wǎng)絡的不同部分中重放這些消息。最簡單的例子就是,兩個節(jié)點串通合謀進行攻擊。一個惡意節(jié)點在基站附近,另一個相距較遠,這個節(jié)點聲稱自己和基站附近節(jié)點可以建立低時延高帶寬的鏈路,以吸引其他節(jié)點把其數(shù)據(jù)包發(fā)往這里。 Wormholes攻擊很可能與選擇性地轉(zhuǎn)發(fā)或者Sybil攻擊相結(jié)合。當它與Sybil攻擊相結(jié)合的時候,通常很難探測出這些攻擊。,(6) HELLO Flood攻擊。一些路由協(xié)議需要節(jié)點不斷發(fā)送Hello包,以聲稱自己為鄰居,但當一個較強的惡意節(jié)點以大功率廣播HELLO包時,收到此包的節(jié)點會認為這個惡意節(jié)點是他們的鄰居。在以后路由中,這些節(jié)點可能會使用惡意節(jié)點的路徑,使得網(wǎng)絡不能正常運行。 使用 HELLO Flood攻擊的攻擊者不必具有構(gòu)造合法數(shù)據(jù)流的能力。它只需以足夠讓網(wǎng)絡中的所有節(jié)點都能收到消息的功率,重新廣播系統(tǒng)開銷數(shù)據(jù)包就可以了。因此, HELLO Flood攻擊可以想象成一個單向廣播Wormholes攻擊。,(7) 確認欺騙。一些傳感器網(wǎng)絡路由算法依賴于潛在的或者明確的鏈路層確認。由于廣播媒介的內(nèi)在性質(zhì),攻擊者能夠通過偷聽通向臨近節(jié)點的數(shù)據(jù)包,發(fā)送偽造的鏈路層確認。目標包括使發(fā)送者相信一個弱鏈路是健壯的,或者是相信一個已經(jīng)失效的節(jié)點還是可以使用的。因為沿著弱連接或者失效連接發(fā)送的包會發(fā)生丟失,攻擊者能夠通過引導目標節(jié)點利用那些鏈路傳輸數(shù)據(jù)包,從而有效地使用確認欺騙進行選擇性轉(zhuǎn)發(fā)攻擊。,安全路由技術(shù)分析,由于無線傳感器網(wǎng)絡路由面臨的特殊威脅,可把安全路由技術(shù)分為兩個層次:采用有效的密鑰管理技術(shù),以及設(shè)計有效的安全路由協(xié)議。針對某一具體攻擊,以使用相應的安全策略和防御措施。 密鑰管理技術(shù) 對路由面臨的攻擊和威脅,采用有效的密鑰管理技術(shù),對節(jié)點間的通信實施加密,以增大路由的安全性。NewsomeJ 等人就應用對稱密鑰管理技術(shù),提出了針對Sybil攻擊的防御方案。,該方案首先對Sybil攻擊進行定義和分類 ,把攻擊類型分為直接通信和非直接通信、虛構(gòu)認證和偷竊認證、模仿和非模仿等;針對攻擊目標又分為分布式存儲、路由、數(shù)據(jù)融合、投票、公正資源分配、誤行為檢測等。然后在每個節(jié)點與一個可信賴的基站之間建立惟一的對稱密鑰,兩個節(jié)點之間使用一個像Needham - Schroeder樣的協(xié)議進行身份認證并且建立一個共享密鑰,相鄰節(jié)點使用產(chǎn)生的共享密鑰對它們之間的連接實現(xiàn)加密。雖然一個入侵者仍能利用一個Wormhole在兩個節(jié)點間建立一個虛假的連接使它們確信它們是鄰居,但是入侵者將不能竊聽或修改在它們之間的任何將來的連接信息。,安全路由協(xié)議 無線傳感器網(wǎng)絡路由設(shè)計的重要目標是降低節(jié)點能源損耗,提高網(wǎng)絡生命周期。但是,增加安全機制將增大節(jié)點能量消耗,使得安全路由協(xié)議的設(shè)計更為復雜。目前采用的一般方法是在現(xiàn)有路由協(xié)議基礎(chǔ)上增加安全機制。 對于 Sinkhole 攻擊和 Wormholes攻擊,采用密鑰管理 技 術(shù) 防 御 效 果 不 很 好。哈 佛 大 學 的 BradKarp 等 提 出 了 貪 婪 周 邊 的 無 狀 態(tài) 路 由GPSR( Greedy Perimeter Stateless Ro uting),在其基礎(chǔ)上通過定期廣播探測幀來檢測黑洞區(qū)域,可以有效地發(fā)現(xiàn)和抵御Sinkhole攻擊和Wormholes攻擊。,針對確認欺騙、虛假路由信息等攻擊,復旦大學的 Yin Changqing 等人設(shè)計了關(guān)于直徑的路由協(xié)議并增加安全機制,提出了關(guān)于直徑的啟發(fā)式安全路由( heuristic Secure Routing on the Diameter ,SRD)。該協(xié)議設(shè)計思想是首先以源節(jié)點A為中心,以r跳數(shù)為半徑作圓,尋找最小距離的節(jié)點B,然后再以B為圓心作圓,以此下去,最終尋找到目的節(jié)點D。在此基礎(chǔ)上,考慮能量有限問題,將To2kens代替公鑰而采取認證和加密機制。該協(xié)議以數(shù)字簽名和密鑰管理作為路由安全機制的方法,把計算復雜的能量消耗來代替通信復雜的能量消耗,在盡量保證網(wǎng)絡生命期不減弱的情況下,增加了安全機制。但是計算量大,同時,所有節(jié)點都在直徑范圍內(nèi)進行廣播自己的路由信息,使得能量浪費。,提出了 一 些 安 全 路 由 協(xié) 議, 如 容 侵 路 由INTRSN,安全區(qū)域路由SLRSN等,這些安全路由協(xié)議一般采用鏈路層加密和認證、多路經(jīng)路由、身份認證、雙向連接認證和認證廣播等機制來有效抵御虛假路由信息、Sybil攻擊和HELLO flood攻擊。 綜上所述,無論是增加安全機制的GPSR,還是SRD、IN TRSN和SLRSN 等安全路由協(xié)議,都在復雜性、能量損耗和安全性等方面難以平衡,一般都側(cè)重于強化某些性能,而以犧牲其他性能為代價。另一方面,一些安全路由協(xié)議是在現(xiàn)有路由協(xié)議基礎(chǔ)上增加了安全機制,這使得