無線重編程中虛假廣告DoS攻擊分析

齊鵬

（中國飛行試驗研究院陜西 西安 710072）

無線重編程中虛假廣告DoS攻擊分析

齊鵬

（中國飛行試驗研究院陜西 西安 710072）

介紹了基于Hash散列鏈的無線重編程廣告認證方法，指出該方法容易受到相同版本廣告DoS攻擊，并分析了該攻擊的原理和產(chǎn)生的危害。在TOSSIM平臺上對相同版本廣告攻擊進行了細致的模擬并對實驗結(jié)果進行分析。實驗結(jié)果表明，在某些情況下相同版本廣告攻擊會給無線重編程帶來較大的影響，給無線傳感器網(wǎng)絡(luò)安全重編程的進一步研究提供了參考。

無線傳感器網(wǎng)絡(luò)無線重編程虛假廣告安全DoS攻擊

1 引言

無線傳感器網(wǎng)絡(luò)（W ireless Sensor Networks，W SNs）在無人可達的地域長期工作時，經(jīng)常需要更改節(jié)點任務(wù)或升級應(yīng)用程序。無線重編程（W ireless Reprogramm ing）通過無線廣播介質(zhì)將更新代碼完整、正確和及時地分發(fā)至整個網(wǎng)絡(luò)以達到動態(tài)分配節(jié)點功能的目的[1-3]。

Deluge[4]是占主導(dǎo)地位的無線重編程協(xié)議，實現(xiàn)了在多跳無線傳感器網(wǎng)絡(luò)中的代碼分發(fā)。由于Deluge沒有考慮安全因素，其自身的特性（3次握手和“傳染病”）使其很容易受到攻擊并使危害蔓延至整個網(wǎng)絡(luò)[5]。有些方案在Deluge中引入安全機制（如Sluice[6]、SecureDeluge[7]、Deng-Tree[8]、Deng-hybrid[8]等），然而這些方案只考慮了更新代碼的安全，沒有對控制消息（廣告和請求）的合法性進行認證。研究成果表明，虛假控制消息將對無線傳感器網(wǎng)絡(luò)造成嚴重的DoS攻擊[9]。

ADV-Hash方案[9]利用廣告的有限性和有序性，采用了基于認證方法，解決了虛假廣告DoS攻擊中的高版本號、高頁號和低版本號攻擊問題，但未能解決相同版本廣告的DoS攻擊。在TOSSIM[10]平臺上對相同版本虛假廣告攻擊進行了仿真，對仿真結(jié)果進行了詳細分析。實驗結(jié)果表明相同版本攻擊會給無線重編程帶來嚴重危害，對預(yù)防和消除該攻擊提供了一定的參考。

2 虛假廣告攻擊

2.1 虛假廣告攻擊

Deluge是利用基于SPIN協(xié)議[11]的3次握手機制（廣告-

請求-更新代碼）進行代碼分發(fā)的，作為控制消息的廣告和請求雖然只占消息總數(shù)的18.18%[4]。然而惡意節(jié)點可以利用虛假控制消息對無線傳感器網(wǎng)絡(luò)造成嚴重危害，其中針對虛假廣告的攻擊包括高版本號廣告、高頁號廣告、低版本號廣告和相同版本號廣告4種[9]。

2.2 ADV-Hash方法的缺陷

有研究成果提出了一種基于單向Hash散列鏈的廣告認證方法ADV-Hash，這種方法利用廣告的有限性和有序性，將更新代碼對應(yīng)的廣告構(gòu)建成序列，對其進行輕量級認證來解決虛假廣告的DoS攻擊問題。下文中涉及的符號見參考文獻[8]。

假設(shè)鏡像的大小為p頁，則在一次重編程過程中，合法廣告有p+1個：

其中v'是更新程序鏡像的版本號?；驹诜职l(fā)代碼前首先構(gòu)建廣告序列散列鏈，將最后一個廣告(v',p)和填充該包的0做散列運算得到Hp，把Hp存入前一個廣告(v',p-1)中，再對這個廣告及Hp做散列運算，并逐步計算得到H 0，即H((v', 0)椰H 1)），最后將H 0做一次數(shù)字簽名得[H 0]SK，并使其與H 0一起作為基站的第一個分發(fā)包。

無線重編程開始前，基站將Seq:Madv序列中的廣告廣播給第一跳節(jié)點N[1]，N[1]先用已預(yù)先保存在其上的基站公鑰PK對廣告散列上的鏈首做簽名驗證，再用Hash函數(shù)對后續(xù)散列逐一驗證。在接受基站所發(fā)廣告后，根據(jù)N[1]自身擁有更新程序映像代碼頁的情況來向其鄰居節(jié)點N[2]廣播相應(yīng)的廣告。每個N[i]節(jié)點在聽到一個廣告時，將與N[1]一樣做相同的操作來驗證該廣告的合法性。

ADV-Hash方法限制了節(jié)點自己生成廣告，所有的節(jié)點廣告都源自基站，并由其簽名，節(jié)點自己不能隨意生成或修改。因此該方法對高版本號、高頁號和低版本號廣告的DoS攻擊具有較強的抵御能力。然而當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點收到廣告序列后，可以進行相同版本廣告攻擊。假設(shè)網(wǎng)絡(luò)的某個局部正在進行第i頁更新代碼的分發(fā)，如圖1所示。

圖1中左邊的正常節(jié)點正在進行第i頁更新代碼分發(fā)，右邊區(qū)域正在廣播廣告(v',i-1)。惡意節(jié)點此時已擁有合法的廣告(v',i)，如果它在一個i Round時間段內(nèi)廣播不少于k個廣告(v',i)，則節(jié)點A的廣告將被抑制，右邊的節(jié)點只會向惡意節(jié)點發(fā)送請求，A節(jié)點得到的更新代碼無法分發(fā)至右側(cè)網(wǎng)絡(luò)中。在特定的網(wǎng)絡(luò)拓撲中，如果被攻擊的節(jié)點所處位置節(jié)點稀少且是更新代碼必經(jīng)區(qū)域，則攻擊將對網(wǎng)絡(luò)產(chǎn)生巨大危害。

圖1 相同版本廣告攻擊示意圖

3 相同版本廣告攻擊的分析和仿真

3.1 攻擊分析

相同版本廣告攻擊可以利用合法的消息對網(wǎng)絡(luò)進行DoS攻擊，因此即使對廣告消息進行認證，ADV-Hash仍未能解決相同版本廣告攻擊問題。為了簡化分析過程，假設(shè)的線型網(wǎng)絡(luò)拓撲如圖2所示。

圖2 線型拓撲中的攻擊示意圖

圖2中惡意節(jié)點F的通信范圍用虛線圓圈表示。假設(shè)節(jié)點A剛獲得了第i頁，而節(jié)點B、C和D只有第i-1頁。此時節(jié)點B、C、D廣播的廣告是(v',i-1)。根據(jù)ADV-Hash方法的處理過程，惡意節(jié)點F已獲得了合法的廣告(v',i-1)，若F以較高的頻率（每個i Round時間段不少于k次）廣播該廣告，則節(jié)點B、C和D的廣告將被抑制。節(jié)點A在一個iRound內(nèi)沒有聽到“不一致”消息，將會調(diào)整i Round時間長度到2子m,i（由于是剛接收完第i頁，因此子m,i=子l），在新的i Round里將再次廣播(v',i)，這時節(jié)點B聽到A的廣告后，才會向A發(fā)送請求第i頁的請求消息。在線型拓撲情況下，惡意節(jié)點的相同版本攻擊首先造成了一個時間延遲，延遲長度是子l。因此，對于p頁的鏡像，一個惡意節(jié)點在傳播方向上造成的重編程延時Tdelay為：

當(dāng)節(jié)點B得到第i頁更新代碼后，將廣播新的廣告(v',i)，此時惡意節(jié)點F也得到了廣告(v',i)。若此時F用(v',i)進行攻擊，將會抑制B和C的廣告，導(dǎo)致節(jié)點D和E只向惡意節(jié)點而不是節(jié)點C發(fā)送請求。這在線型拓撲情況下將導(dǎo)致重編程中斷。綜上所述，在ADV-Hash方法中，惡意節(jié)點仍可利用相同版本廣告進行DoS攻擊。攻擊造成的危害是增加了重編程完成時間，在特定的情況下可能導(dǎo)致重編程失敗。

3.2 實驗仿真

為了進一步分析相同版本廣告攻擊帶來的危害，本文在TOSSIM[10]仿真平臺上模擬了相同版本廣告攻擊，給出了在攻擊下傳感器網(wǎng)絡(luò)受到的危害程度。以下所有仿真實驗中，Deluge的參數(shù)設(shè)置為：子l=2 s，子h=60 s，k=2，子r=0.5，姿=2，棕=8。

實驗在1伊10的線型網(wǎng)絡(luò)中進行，并在節(jié)點5旁邊放置模擬的惡意節(jié)點。為了在TOSSIM中配置實驗要求的拓撲結(jié)構(gòu)，首先用LossyBuilder生成2伊10的網(wǎng)格，再在TinyViz可視仿真界面中關(guān)閉10至14號、16至19號節(jié)點。同時給15號節(jié)點增加攻擊代碼（只進行延時攻擊）。

隨著更新代碼大小的變化，攻擊對重編程完成時間的影響，如圖3所示，在遭受攻擊時節(jié)點間距離的變化對重編程完成時間的影響，如圖4所示。

圖3 完成時間比較（更新代碼大小變化）

圖4 完成時間比較（節(jié)點間距變化）

圖4說明了惡意節(jié)點對無線重編程完成時間造成了一定的延時。根據(jù)公式（1），該延時應(yīng)與更新代碼頁的數(shù)量成正比。實驗數(shù)據(jù)顯示，該延時略大于理論計算的數(shù)據(jù)，如對于5頁大小的更新代碼，理論延時應(yīng)為10 s（5伊2 s），但仿真實驗顯示的延時是13 s。原因是惡意節(jié)點廣播的廣告在網(wǎng)絡(luò)的無線廣播介質(zhì)中不可避免的產(chǎn)生了碰撞，因此加劇了時間延遲。

實驗表明，攻擊效果對網(wǎng)絡(luò)密度是敏感的。這與Deluge協(xié)議本身的密度感知特性是相符的。在較為合適的情況下，更新代碼的傳播更加快速，而其受到攻擊后的影響也就更大。

理論分析和實驗數(shù)據(jù)也表明，如果惡意節(jié)點連線垂直于更新代碼傳染方向，則給網(wǎng)絡(luò)帶來的危害更大，因為他們在更新代碼傳染方向上的“攔截”面積更大，就如同3.1小節(jié)中描述的線型拓撲中，惡意節(jié)點完全“攔截”了更新代碼的傳播。而惡意節(jié)點連線平行于更新代碼傳染方向時，他們的“攔截”面積較小，更新代碼可以繞過惡意節(jié)點進行傳播。而現(xiàn)有的研究成果也表明，更新代碼延邊沿傳播的速度明顯大于延對角線方向節(jié)點密集處[4]。

以上的仿真實驗說明了相同版本廣告DoS攻擊將對無線重編程產(chǎn)生危害，并且危害程度與惡意節(jié)點數(shù)量、相對位置有一定的關(guān)系。

4 結(jié)束語

分析了無線傳感器網(wǎng)絡(luò)重編程安全認證方案ADV-Hash中利用已通過認證的合法廣告進行相同版本廣告攻擊的原理，在理論上分析和量化了攻擊產(chǎn)生的危害，在TOSSIM仿真平臺上對該攻擊進行了仿真，并對實驗結(jié)果進行了分析。相同版本廣告攻擊是利用合法廣告進行攻擊，因此ADV-Hash認證方案不能很好地解決該問題。本文對無線重編程安全問題的進一步研究提供了一定了理論和實驗基礎(chǔ)。

[1]張羽,蔣澤軍,周興社．無線傳感器網(wǎng)絡(luò)重編程技術(shù)研究[J]．計算機科學(xué),2008,5(35)：66-68,112．

[2]JEONG SK,BROAD A．Network Reprogramm ing[R]．USA：CA,2003．

[3]STATHOPOULOST,HEIDEMANN J,ESTR IN D．A Remote Code UpdateMechanism forW irelessSensor Networks[R]．USA：CA,2003．

[4]HUIJW，CULLER D．The Dynam ic BehaviorofaData Dissem ination Protocol for Network Programm ing at Scale[C]．USA：ACM,2004：81-94．

[5]張羽,周興社,蔣澤軍,等．傳感器網(wǎng)絡(luò)遠程網(wǎng)絡(luò)重編程服務(wù)安全認證機制研究[J]．計算機科學(xué),2008,10(35)：44-48．

[6]LAN IGAN PE,GANDHIR,NARASIMHAN P．Sluice：Secure Dissem ination O fCode Updatesin Sensor Networks [C]．Portugal：In IEEE InternationalConference on Distributed Computing Systems,2006：53-63．

[7]DUTTA PK,HUIJW,CHU D C,etal．Securing the Deluge network programm ing system[C]．USA：ACM,2006：326-333．

[8]DENG J,HAN R,M ISHRA S．Secure Code Distribution in Dynam ically ProgrammableW irelessSensor Networks[C]．USA：ACM,2006：292-300．

[9]方智毅．無線傳感器網(wǎng)絡(luò)重編程中DoS攻擊的研究[D]．西安：西北工業(yè)大學(xué),2009．

[10]LEVISP,LeeN,WELSHM,etal．TOSSIM：Accurateand ScalableSimulationofEntireTinyosApplications,In ProceedingsofSenSys'03,FirstACM ConferenceonEmbedded NetworkedSensorSystems[C]．USA：ACM,2003：126-137．

[11]KULIKJ,HEINZELMANW R,BALAKRISHNANH．Negotiation-basedProtocolsforDissem inating Informationin W irelessSensorNetworks[J]．W irelessNetworks,2002：169-185．

Analysis on DoSAttack of Mendacious Advertisem ent in W ireless Reprogramm ing

QIPeng
(Chinese Flight Test Establishment,Xi，an Shanxi710072,China)

This paper introduces the advertisement-authentication method ofw ireless reprogramm ing based on Hash chains,points out that thismethod iseasily attacked by the advertisement DoSattacks in same vision,and analyzes the principlesand harmsof attacks. The advertisementDoSattacksin same vision are precisely simulated on the TOSSIM platform and the experimental resultsare analyzed. The experimental results show that the advertisement attacks in same version w ill bring great effects to the w ireless reprogramm ing in some cases.Thispaper providesthe

forw irelesssensor network security reprogramm ing in further study.

w irelesssensornetworks;w irelessreprogramm ing;mendaciousadvertisement;security;DoSattack

TP212．9

A

1008-1739（2014）13-52-3

定稿日期：2014-05-26