無線傳感器網絡隱私保護關鍵性問題研究

【摘要】隨著無線傳感器網絡的廣泛應用，安全問題發生變化，通信安全成為重要的一部分，隱私保護日漸重要。首先分析了無線傳感器網絡的通信安全特點、通信安全的需求、面臨的保密性威脅及攻擊模型。最后，基于對無線傳感器網絡隱私保護問題的分析和評述，指出了今后該領域的研究方向。

【關鍵詞】無線傳感器網絡；通信安全；隱私保護；保密性

隨著無線傳感器網絡（Wireless Sensor Network，WSN）理論與技術的不斷成熟，其應用已經由國防軍事領域擴展到環境監測、交通管理、醫療衛生、制造業、反恐抗災等諸多領域，使人們在任何時間、任何地點和任何環境條件下都能夠獲得大量詳實可靠的信息，真正實現/無處不在的計算0理念。

WSN是一種大規模的分布式網絡，常部署于無人維護、條件惡劣的環境當中，且大多數情況下傳感節點都是一次性使用，從而決定了傳感節點是價格低廉、資源極度受限的無線通信設備。在復雜的安全環境、多樣的安全需求和資源限制等因素的綜合影響下，WSN的安全受到嚴峻的挑戰。為WSN創造一個相對安全的工作環境，是關系到WSN能否真正走向實用的關鍵性問題。另外，在WSN中，安全的概念也發生了變化，通信安全是其中重要的一部分，隱私保護日漸重要。

1.無線傳感器網絡的通信安全需求

WSN起源于軍事應用領域，主要采用射頻無線通信組網。由于網絡中資源嚴格受限，為使有限的資源發揮最大的安全效益，要求具有如下通信安全需求：

（1）節點的安全保證

傳感節點是構成WSN的基本單元，節點的安全性包括節點不易被發現和節點不易被篡改。WSN中普通傳感器節點的數量眾多，少數節點被破壞不會對網絡造成太大的影響。

但敵手如果俘獲節點，就可能從中讀出密鑰、程序等機密信息，甚至可以重寫存儲器將該節點變成一個“臥底”。為防止為敵所用，要求節點具備抗篡改能力。

（2）被動抵御入侵的能力

WSN安全系統的基本要求是：在局部發生入侵的情況下，保證網絡的整體可用性。

1）對抗外部攻擊者的能力：外部攻擊者是指那些沒有得到密鑰、無法接入網絡的節點。外部攻擊者無法有效地注入虛假信息，但是可以進行竊聽、干擾、分析通信量等活動，為進一步攻擊收集信息。因此，對抗外部攻擊者，首先需要解決機密性問題；其次，要防范能擾亂網絡正常運轉的簡單網絡攻擊，如重放數據包等，這些攻擊會造成網絡性能下降；再次，要盡量減少入侵者得到密鑰的機會，防止外部攻擊者演變成內部攻擊者。

2）對抗內部攻擊者的能力：內部攻擊者是指那些獲得了相關密鑰并以合法身份混入網絡并發布欺騙信息的攻擊節點。由于WSN不可能阻止節點被篡改，而且密鑰可能被對方破解，因此總會有入侵者在取得密鑰后以合法身份接入網絡。由于至少能取得網絡中一部分節點的信任，因此內部攻擊者能發動的網絡攻擊種類更多，危害更大，也更隱蔽。

（3）主動反擊入侵的能力

主動反擊能力是指網絡安全系統能夠主動地限制甚至消滅入侵者，為此至少需要具備以下能力：

1）入侵檢測能力：和傳統的網絡入侵檢測相似，首先需要準確識別網絡內出現的各種入侵行為并發出警報，其次，入侵檢測系統還必須確定入侵節點的身份或者位置，只有這樣才能隨后發動有效反擊。

2）隔離入侵者的能力：網絡需要具有根據入侵檢測信息，調度網絡正常通信來避開入侵者，同時，丟棄任何由入侵者發出的數據包的能力。這樣相當于把入侵者和己方網絡從邏輯上隔離開來，可以防止它繼續危害網絡。

3）消滅入侵者的能力：要想徹底消除入侵者對網絡的危害就必須消滅入侵節點。但是讓網絡自主消滅入侵者是較難實現的。由于WSN的主要用途是為用戶收集信息，因此可以在網絡提供的入侵信息的引導下，由用戶通過人工方式消滅入侵者。

2.保密性威脅

借助WSN，很容易收集個人信息。有的機構將個人信息當作商品，進行收集、交換和出售。人們對這些行為越來越警覺，，希望保護自己的隱私。

在諸如戰場等特定情形下，保密性是一本質特性。有三種類型的保密性威脅：

（1）內容保密性威脅：因為消息的存在和所處位置的順序關系，敵手能夠確定信息交換的含義，這就存在內容保密性威脅。

（2）身份保密性威脅：如果敵手能夠演繹出參與通信的節點，那就存在身份保密性威脅。

（3）位置保密性威脅：如果敵手能夠推斷出通信實體的物理位置或估計出相對通信實體的距離，那就存在位置保密性威脅。

3.隱私保護研究進展

WSN中的隱私保護研究起步于2003年，根據WSN潛在的保密性威脅和攻擊，國際上對于WSN中的隱私保護作了如下幾個方面的研究。

3.1 信息加密

現代安全技術依靠密鑰來保護和確認信息，而不是依靠安全算法，所以通信加密密鑰、認證密鑰和各種安全啟動密鑰需要嚴格的保護。對傳輸信息加密可以解決竊聽問題，但需要一個靈活、強健的密鑰交換和管理方案。由于WSN資源嚴格受限，使得非對稱密碼的許多算法，如Diffie-Hellman密鑰協商算法無法在WSN上實現。根據共享密鑰節點的個數，，可以把WSN中的密鑰管理方法分為對密鑰管理方案和組密鑰管理方案。

3.2 匿名機制

在WSN中，匿名阻止第三方了解參與通信的消息發送方和接收方的特性。匿名包括發送方和接收方間的發送方匿名、接收方匿名和無鏈接能力。通過匿名，敵手不能通過讀從網絡中截獲的消息或從被俘傳感節點轉發來的消息確定發送和接收方的特性；也不能斷定兩個通信段是否屬于同一通信。

匿名機制使數據在傳送前失去個性。因為全部匿名是困難的，所以在解決保密性問題時，需要在匿名和公用信息需求間作一平衡。

3.3 基于對策的方法保證網絡中的傳感信息只有可信實體才可以訪問，這可通過建立在保密性對策規范基礎上的訪問控制決議和認證來實現。

（1）根據不同的密鑰給數據以不同的保密級。

（2）弱化節點的異構性，增加重要節點的冗余度。一旦系統的關鍵節點被破壞，通過選舉機制或網絡重組方式進行網絡重構。

（3）使用輸出過濾（egress filtering）。通過認證冤路由的方式確認一個數據包是否是從它的合法子節點發送過來的，直接丟棄不能認證的數據包。這樣攻擊的數據包在前幾級的節點轉發過程中就會被丟棄，從而達到保護目標節點的目的。

（4）多路徑路由，通過多個路徑傳輸部分信息，并在目的地進行重組。

4.隱私保護研究方向

目前，有關無線傳感器網絡隱私保護問題的研究才剛剛起步，雖然做了一些初步探索，但方法還不成熟。發現和探索保密性威脅存在的地方，觀察和開發解決隱私保護問題的方法是重要的。

（1）現有的預置密鑰管理方案可擴展性不強，而且不支持網絡合并。如何在資源受限的網絡環境下，建立支持網絡合并，且具有靈活的可擴展性的預置密鑰管理方案是一個需要進行深入研究的問題。

（2）從安全的角度來看，非對稱密碼體制的安全強度在計算意義上要遠遠高于對稱密碼體制。如何優化非對稱加密算法，使之適用于資源受限的無線傳感器網絡，任然是一個需要進一步研究的問題。

（3）僅用加密的方法不能保護系統的隱私。在事件驅動型傳感器網絡中，傳感節點只有在監測到事件時，才發送消息。敵手使用相應頻段的接收設備就可以接收鏈路中的信號，進行竊聽。敵手不必知道原始消息的具體內容，僅憑觀察到消息的存在就斷定監測事件出現了。在傳統網絡中，可以用周期性地發送空閑包的方法來隱藏真正的消息包，但在傳感器網絡中，由于傳感節點資源嚴格受限，采用這樣的方法來保護隱私是行不通的。在這種情形下，如何隱藏傳感信號是一個需要研究的問題。