無線傳感器網絡安全路由技術研究

鄭曉東 王健

在如今“地球村”的世界里，無線傳感器網絡因其價格實惠、擴展方便與部署靈活的優點，已滲入到各個領域。無線傳感器網絡方便人類生活的同時，因其工作在高度開放與合作的環境中，加上本身節點鏈接的脆弱性、缺失身份認證、缺乏管理點和缺乏集中監控、拓撲結構動態化的特性，使其存在諸多安全威脅。尤其是針對路由層的攻擊，稍出差錯，就有可能致使整個無線傳感器網絡癱瘓。路由的安全關系到整個無線傳感器網絡的運行，掌控路由技術尤為關鍵。

一、無線傳感器網絡安全問題概述

無線傳感器網絡的節點設備都是暴露的，得不到物理安全保護，加上是無線傳輸的通信方式，極大增加了網絡的安全問題。此外，由于無線傳感器沒有基礎設施，且所有的業務與拓撲結構均是動態變化的，少了基礎設備的支持，脆弱的無線鏈路就易于受到各種網絡攻擊，網絡安全受到威脅。

（一）待解決安全問題

1. 機密性。保證合法發送者與接收者的數據信息，防止敵手截取到傳輸的明文內容。通常是采取信息加/解密手段，與非對稱加密措施相比，無線傳感器網絡更傾向于如Res、Skipjack等對稱加密算法，因為此法耗能相對較小。

2. 可用性。保證整個網絡可用即使網絡遭到拒絕服務的攻擊。采取保護措施包括：入侵檢測技術、網絡自我恢復技術、入侵容忍技術與加入冗余信息。

3. 消息認證。保證網絡消息來源的可靠性與合法性，即是確認該數據包不是被冒充的，而是由該節點輸送的。身份認證、消息簽名機制、消息散列與訪問控制等措施可用于消息認證。

4. 信息新鮮性。信息具有時效性，網絡節點要保證收到的消息是新鮮的。可通過消息序列號、網絡管理、訪問控制、入侵檢測等手段保證數據信息的新鮮性。

5. 數據完整性。保證數據包未被惡意節點篡改，可采用循環冗余校驗（cyclic redundancy checksum，CRC）或者消息認證碼（message authentication code，MAC）檢測傳送過程中數據包有無隨機錯誤被篡改。

6. 安全管理。安全維護與安全引導都屬于安全管理的內容。安全引導指的是網絡系統根據預定的網絡協議，逐漸由無安全保護通道的、獨立與分散的個體集合演變成連通的、有安全保護通道的安全網絡的一個過程。

（二）易受到的攻擊

1. 偽造路由信息。攻擊者通過路由環的創建，縮短或延長路由路徑，來拒絕或是吸引網絡信息流通量，篡改與偽造信息以達到分割網絡，增加端到端時延的目的。

2. 選擇性傳遞。攻擊者選擇性轉發或是根本不傳遞數據包，如此，在動態性很強的網絡拓撲結構中，攻擊者就可以隱藏自己數據流輸送的路徑而不被發現，得以繼續破壞網絡。

3. 巫女（Sybil）攻擊。攻擊者先融入網絡，取得鄰居節點信任，變身為路由路徑上的中間節點后，再進行破壞活動，這是多數路由攻擊的方式。巫女攻擊在網絡中的節點面前身份多樣，這就迷惑了普通節點，讓其將信息傳遞到實際上屬于攻擊者的基站或匯聚節點。巫女攻擊對地理路由協議威脅特別大。

4. 蟲洞（Wormhole）攻擊。蟲洞攻擊對多跳路由協議特別有效。攻擊者把兩個節點串通合謀，一個節點處于基站附近，另一個離得遠一些，它們對鄰居節點稱它們之間建立了一條可以低時延高帶寬的鏈接“隧道”，獲得鄰居節點信任，以接收轉發信息。

5. 重放（Replay）攻擊。重放攻擊的主要攻擊手段是堵塞傳送者與接收者間的信息輸送路徑，再重放錯誤的或舊的信息并傳送過去。這種攻擊方式簡單，不需要很強的攻擊能力就可進行。

6. 確認欺騙。廣播媒介本身的屬性，給攻擊者得以竊聽到附近節點傳送過來的數據包，方便其將偽造的鏈路層確認發送。對于某些依賴明確或潛在鏈路層確認的路由更是容易遭到攻擊。攻擊者通過讓目標節點沿失效的節點發送數據包，進行選擇性信息轉發攻擊。

二、無線傳感器網絡安全路由技術

（一）密鑰管理技術

加密技術是保障無線傳感器網絡安全的基礎技術，而密鑰管理作為加密技術的核心技術，在保障無線傳感器網絡安全中也起到基礎的作用。

目前，無線傳感器網絡的密鑰管理技術大致包括四大模型：①隨機密鑰對模型。此技術對復制節點的攻擊能有效抵御，安全性高。但此模型的網絡擴展性小，只適用于節點數目少的網絡環境，大規模的節點則不適用。②基于密鑰池的隨機密鑰預分配技術。與隨機密鑰對模型相比，基于密鑰池的隨機密鑰預分配技術可適用于大規模節點的網絡，適應網絡的動態變化，某種程度可實現節點間的密鑰共享。但存在整個網絡的安全性會因攻擊方破壞部分關鍵節點而弱化的缺陷。密鑰也將被泄露，節點的正常通信受影響，網絡的后向機密性也難以保證。③預共享密鑰管理模型。此模型有點到點與整個網絡的預共享模型。點到點預共享模型適用于網絡規模不大，節點數量少的網絡環境中。全網預共享密鑰模型易遭到假冒攻擊或是復制攻擊，故此技術適用于網絡環境要穩定但安全性要求不高的網絡中。④基于密鑰分發中心（KDC）的分配模型?；贙DC的分配模型支持網絡的動態變化，節點前向與后向的安全都可得到保證；其安全性強，即使部分節點被破壞，仍不會弱化整個網絡的安全性。

（二）安全路由技術

1. 以安全性作為路由協議的一個設計目標。在開始設計路由之初，應將安全性作為原始的設計目標。雖說此方式使得設計變得復雜，但對新設計來說可避免后續引入或補充安全機制或打安全補丁。能耗同樣是無線傳感器網絡技術首要解決的問題，安全性與能耗問題同時列為原始設計目標，可降低路由協議設計的成本，這也是研究安全路由技術未來努力的方向。

2. 擴展已有路由協議的安全性。當前的路由協議LEACH、SPIN 和 GPSR 等較為成熟，可在此基礎上進行小改動，增加安全機制，保障安全，如SRD、INTRSN等。這不失為一種好的路由協議擴展方法。

3. 多種安全機制聯合進行。權衡考慮多種安全機制，按需求選定安全策略，才能更好地保證路由協議的安全。密鑰管理、認證技術、時間戳機制與信譽機制等是目前較為完善的安全機制。如引入信譽評價值，節點用來評價鄰居節點行為或是使用基站進行監聽與檢測，路由協議改進后可有效抵御巫女攻擊、蟲洞攻擊與選擇性攻擊。

（三）入侵檢測機制

通常而言，盡管采取了先進的安全手段預防網絡入侵行為的發生，網絡還是會遭到攻擊，且在無線傳感器網絡中不適用防火墻方案，所以在路由中引入攻擊檢測機制對保障無線傳感器網絡的安全意義重大。分布式Bayesian算法是當中較有實用性與創新性的檢測方法。該法統計可能的入侵，通過Bayesian模型計算發生攻擊的概率，估算入侵發生的節點位置，進而給出設計無線傳感器網絡入侵檢測系統的初步方案，但它具有依賴節點位置信息的缺點。

三、安全路由協議

無線傳感器網絡的安全問題已成為關注焦點，人們也提出了相應的安全路由協議，如基于密鑰管理實現的SPINS安全協議；基于自身的路由機制實現的REINFORM協議；多路徑路由協議，如HREEMR協議，它是在定向擴散（DD）路由機制的基礎上擴展的；關于直徑的啟發式安全路由（SRD）；基于地理位置的路由協議GEAS，GEAS協議在GPRS的基礎上加入節點的能量值，彌補了GPRS協議網絡中使用節點能量不平衡的缺陷；基于節點地理位置及節點信譽的路由協議TRANS；還有基于簇的LEACH等其他類型的協議。

（一）INSENS協議

INSENS協議是一個較為經典的無線傳感器網絡安全路由協議，其核心思想是加入入侵容忍機制，可以保障整個網絡正常運行不受惡意節點攻擊的影響。INSENS整個路由通信過程分為三大步驟：第一步是請求與傳送信息。基站廣播在網絡初始化階段請求信息，節點收到信息后向下一跳傳送請求信息。第二步是信息回送。節點接收到路由的請求信息后，再將其擁有的路由信息傳送到基站。第三步是更新路由表。基站會對節點回送的信息進行匯總與優化，檢查有無惡意節點，可對DOS攻擊進行有效抵御，保障惡意信息不被擴散。

（二）SHSMRP協議

該協議結合了納樹和分層網絡結構，節點能夠自行獲得所處的、是入網重要條件的地理位置信息。該協議由納樹的構造、納子樹的構造、納樹的維護、節點信息聚集與數據傳遞五部分組成。它利用HMAC保證信息的完整性與秘密性，進而防止女巫攻擊和蟲洞攻擊。

四、結語

網絡本身就存有安全漏洞，也受到各種攻擊，通常路由層遭受到的攻擊最為集中，嚴重時會使整個網絡不能工作。所以研究安全路由技術對于保障無線傳感器網絡的安全至關重要，尤其是未來無線傳感器網絡要大規模部署，應用到更多領域，就必須解決路由安全問題。