|
1.引言 無線傳感器網(wǎng)絡(luò)WSN(WirelessSensorNetwork)是一種自組織網(wǎng)絡(luò),通過大量低成本、資源受限的傳感節(jié)點設(shè)備協(xié)同工作實現(xiàn)某一特定任務(wù)。 它是信息感知和采集技術(shù)的一場革命,是21世紀(jì)最重要的技術(shù)之一。它在氣候監(jiān)測,周邊環(huán)境中的溫度、燈光、濕度等情況的探測,大氣污染程度的監(jiān)測,建筑的結(jié)構(gòu)完整性監(jiān)控,家庭環(huán)境的異常情況,機場或體育館的化學(xué)、生物威脅的檢測與預(yù)報等方面,WSN將會是一個經(jīng)濟的替代方案,有著廣泛的應(yīng)用前景。 傳感器網(wǎng)絡(luò)為在復(fù)雜的環(huán)境中部署大規(guī)模的網(wǎng)絡(luò),進行實時數(shù)據(jù)采集與處理帶來了希望。但同時WSN通常部署在無人維護、不可控制的環(huán)境中,除了具有一般無線網(wǎng)絡(luò)所面臨的信息泄露、信息篡改、重放攻擊、拒絕服務(wù)等多種威脅外,WSN還面臨傳感節(jié)點容易被攻擊者物理操縱,并獲取存儲在傳感節(jié)點中的所有信息,從而控制部分網(wǎng)絡(luò)的威脅。用戶不可能接受并部署一個沒有解決好安全和隱私問題的傳感網(wǎng)絡(luò),因此在進行WSN協(xié)議和軟件設(shè)計時,必須充分考慮WSN可能面臨的安全問題,并把安全機制集成到系統(tǒng)設(shè)計中去。只有這樣,才能促進傳感網(wǎng)絡(luò)的廣泛應(yīng)用,否則,傳感網(wǎng)絡(luò)只能部署在有限、受控的環(huán)境中,這和傳感網(wǎng)絡(luò)的最終目標(biāo)——實現(xiàn)普遍性計算并成為人們生活中的一種重要方式是相違背的。 一種好的安全機制設(shè)計是建立在對其所面臨的威脅、網(wǎng)絡(luò)特點等的深刻分析基礎(chǔ)之上的,傳感網(wǎng)絡(luò)也不例外,本文將深入分析無線傳感器網(wǎng)絡(luò)特點以及其所可能面臨的安全威脅,并對其相應(yīng)的安全對策進行了研究和探討。 2.傳感器網(wǎng)絡(luò)特點分析 WSN是一種大規(guī)模的分布式網(wǎng)絡(luò),常部署于無人維護、條件惡劣的環(huán)境當(dāng)中,且大多數(shù)情況下傳感節(jié)點都是一次性使用,從而決定了傳感節(jié)點是價格低廉、資源極度受限的無線通信設(shè)備[2],它的特點主要體現(xiàn)在以下幾個方面:(1)能量有限:能量是限制傳感節(jié)點能力、壽命的最主要的約束性條件,現(xiàn)有的傳感節(jié)點都是通過標(biāo)準(zhǔn)的AAA或AA電池進行供電,并且不能重新充電。(2)計算能力有限:傳感節(jié)點CPU一般只具有8bit、4MHz~8MHz的處理能力。(3)存儲能力有限:傳感節(jié)點一般包括三種形式的存儲器即RAM、程序存儲器、工作存儲器。RAM用于存放工作時的臨時數(shù)據(jù),一般不超過2k字節(jié);程序存儲器用于存儲操作系統(tǒng)、應(yīng)用程序以及安全函數(shù)等,工作存儲器用于存放獲取的傳感信息,這兩種存儲器一般也只有幾十k字節(jié)。(4)通信范圍有限:為了節(jié)約信號傳輸時的能量消耗,傳感節(jié)點的RF模塊的傳輸能量一般為10mW到100mW之間,傳輸?shù)姆秶簿窒抻?00米到1公里之內(nèi)。(5)防篡改性:傳感節(jié)點是一種價格低廉、結(jié)構(gòu)松散、開放的網(wǎng)絡(luò)設(shè)備,攻擊者一旦獲取傳感節(jié)點就很容易獲得和修改存儲在傳感節(jié)點中的密鑰信息以及程序代碼等。 另外,大多數(shù)傳感器網(wǎng)絡(luò)在進行部署前,其網(wǎng)絡(luò)拓?fù)涫菬o法預(yù)知的,同時部署后,整個網(wǎng)絡(luò)拓?fù)洹鞲泄?jié)點在網(wǎng)絡(luò)中的角色也是經(jīng)常變化的,因而不像有線網(wǎng)、大部分無線網(wǎng)絡(luò)那樣對網(wǎng)絡(luò)設(shè)備進行完全配置,對傳感節(jié)點進行預(yù)配置的范圍是有限的,很多網(wǎng)絡(luò)參數(shù)、密鑰等都是傳感節(jié)點在部署后進行協(xié)商后形成的。 根據(jù)以上無線傳感器特點分析可知,無線傳感器網(wǎng)絡(luò)易于遭受傳感節(jié)點的物理操縱、傳感信息的竊聽、拒絕服務(wù)攻擊、私有信息的泄露等多種威脅和攻擊。下面將根據(jù)WSN的特點,對WSN所面臨的潛在安全威脅進行分類描述與對策探討。 3.威脅分析與對策 3.1傳感節(jié)點的物理操縱 未來的傳感器網(wǎng)絡(luò)一般有成百上千個傳感節(jié)點,很難對每個節(jié)點進行監(jiān)控和保護,因而每個節(jié)點都是一個潛在的攻擊點,都能被攻擊者進行物理和邏輯攻擊。另外,傳感器通常部署在無人維護的環(huán)境當(dāng)中,這更加方便了攻擊者捕獲傳感節(jié)點。當(dāng)捕獲了傳感節(jié)點后,攻擊者就可以通過編程接口(JTAG接口),修改或獲取傳感節(jié)點中的信息或代碼,根據(jù)文獻[3]分析,攻擊者可利用簡單的工具(計算機、UISP自由軟件)在不到一分鐘的時間內(nèi)就可以把EEPROM、Flash和SRAM中的所有信息傳輸?shù)接嬎銠C中,通過匯編軟件,可很方便地把獲取的信息轉(zhuǎn)換成匯編文件格式,從而分析出傳感節(jié)點所存儲的程序代碼、路由協(xié)議及密鑰等機密信息,同時還可以修改程序代碼,并加載到傳感節(jié)點中。 很顯然,目前通用的傳感節(jié)點具有很大的安全漏洞,攻擊者通過此漏洞,可方便地獲取傳感節(jié)點中的機密信息、修改傳感節(jié)點中的程序代碼,如使得傳感節(jié)點具有多個身份ID,從而以多個身份在傳感器網(wǎng)絡(luò)中進行通信,另外,攻擊還可以通過獲取存儲在傳感節(jié)點中的密鑰、代碼等信息進行,從而偽造或偽裝成合法節(jié)點加入到傳感網(wǎng)絡(luò)中。一旦控制了傳感器網(wǎng)絡(luò)中的一部分節(jié)點后,攻擊者就可以發(fā)動很多種攻擊,如*傳感器網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ騻鞲衅骶W(wǎng)絡(luò)中發(fā)布假的路由信息或傳送假的傳感信息、進行拒絕服務(wù)攻擊等。 對策:由于傳感節(jié)點容易被物理操縱是傳感器網(wǎng)絡(luò)不可回避的安全問題,必須通過其它的技術(shù)方案來提高傳感器網(wǎng)絡(luò)的安全性能。如在通信前進行節(jié)點與節(jié)點的身份認(rèn)證;設(shè)計新的密鑰協(xié)商方案,使得即使有一小部分節(jié)點被操縱后,攻擊者也不能或很難從獲取的節(jié)點信息推導(dǎo)出其它節(jié)點的密鑰信息等。另外,還可以通過對傳感節(jié)點軟件的合法性進行認(rèn)證等措施來提高節(jié)點本身的安全性能。 3.2信息竊聽 根據(jù)無線傳播和網(wǎng)絡(luò)部署特點,攻擊者很容易通過節(jié)點間的傳輸而獲得敏感或者私有的信息,如:在通過無線傳感器網(wǎng)絡(luò)監(jiān)控室內(nèi)溫度和燈光的場景中,部署在室外的無線接收器可以獲取室內(nèi)傳感器發(fā)送過來的溫度和燈光信息;同樣攻擊者通過*室內(nèi)和室外節(jié)點間信息的傳輸,也可以獲知室內(nèi)信息,從而揭露出房屋主人的生活習(xí)性。 對策:對傳輸信息加密可以解決竊聽問題,但需要一個靈活、強健的密鑰交換和管理方案,密鑰管理方案必須容易部署而且適合傳感節(jié)點資源有限的特點,另外,密鑰管理方案還必須保證當(dāng)部分節(jié)點被操縱后(這樣,攻擊者就可以獲取存儲在這個節(jié)點中的生成會話密鑰的信息),不會破壞整個網(wǎng)絡(luò)的安全性。由于傳感節(jié)點的內(nèi)存資源有限,使得在傳感器網(wǎng)絡(luò)中實現(xiàn)大多數(shù)節(jié)點間端到端安全不切實際。然而在傳感器網(wǎng)絡(luò)中可以實現(xiàn)跳-跳之間的信息的加密,這樣傳感節(jié)點只要與鄰居節(jié)點共享密鑰就可以了。在這種情況下,即使攻擊者捕獲了一個通信節(jié)點,也只是影響相鄰節(jié)點間的安全。但當(dāng)攻擊者通過操縱節(jié)點發(fā)送虛假路由消息,就會影響整個網(wǎng)絡(luò)的路由拓?fù)洹=鉀Q這種問題的辦法是具有魯棒性的路由協(xié)議,另外一種方法是多路徑路由,通過多個路徑傳輸部分信息,并在目的地進行重組。 3.3私有性問題 傳感器網(wǎng)絡(luò)是用于收集信息作為主要目的的,攻擊者可以通過竊聽、加入偽造的非法節(jié)點等方式獲取這些敏感信息,如果攻擊者知道怎樣從多路信息中獲取有限信息的相關(guān)算法,那么攻擊者就可以通過大量獲取的信息導(dǎo)出有效信息。一般傳感器中的私有性問題,并不是通過傳感器網(wǎng)絡(luò)去獲取不大可能收集到的信息,而是攻擊者通過遠程*WSN,從而獲得大量的信息,并根據(jù)特定算法分析出其中的私有性問題。因此攻擊者并不需要物理接觸傳感節(jié)點,是一種低風(fēng)險、匿名的獲得私有信息方式。遠程*還可以使單個攻擊者同時獲取多個節(jié)點的傳輸?shù)男畔ⅰ?nbsp; 對策:保證網(wǎng)絡(luò)中的傳感信息只有可信實體才可以訪問是保證私有性問題的最好方法,這可通過數(shù)據(jù)加密和訪問控制來實現(xiàn);另外一種方法是限制網(wǎng)絡(luò)所發(fā)送信息的粒度,因為信息越詳細(xì),越有可能泄露私有性,比如,一個簇節(jié)點可以通過對從相鄰節(jié)點接收到的大量信息進行匯集處理,并只傳送處理結(jié)果,從而達到數(shù)據(jù)匿名化。 3.4拒絕服務(wù)攻擊(DOS) DOS攻擊主要用于破壞網(wǎng)絡(luò)的可用性,減少、降低執(zhí)行網(wǎng)絡(luò)或系統(tǒng)執(zhí)行某一期望功能能力的任何事件。如試圖中斷、顛覆或毀壞傳感網(wǎng)絡(luò),另外還包括硬件失敗、軟件bug、資源耗盡、環(huán)境條件等[4]。這里我們主要考慮協(xié)議和設(shè)計層面的漏洞。確定一個錯誤或一系列錯誤是否是有意DOS攻擊造成的,是很困難的,特別是在大規(guī)模的網(wǎng)絡(luò)中,因為此時傳感網(wǎng)絡(luò)本身就具有比較高的單個節(jié)點失效率。 DOS攻擊可以發(fā)生在物理層,如信道阻塞,這可能包括在網(wǎng)絡(luò)中惡意干擾網(wǎng)絡(luò)中協(xié)議的傳送或者物理損害傳感節(jié)點。攻擊者還可以發(fā)起快速消耗傳感節(jié)點能量的攻擊,比如,向目標(biāo)節(jié)點連續(xù)發(fā)送大量無用信息,目標(biāo)節(jié)點就會消耗能量處理這些信息,并把這些信息傳送給其它節(jié)點。如果攻擊者捕獲了傳感節(jié)點,那么他還可以偽造或偽裝成合法節(jié)點發(fā)起這些DOS攻擊,比如,它可以產(chǎn)生循環(huán)路由,從而耗盡這個循環(huán)中節(jié)點的能量。防御DOS攻擊的方法沒有一個固定的方法,它隨著攻擊者攻擊方法的不同而不同。一些跳頻和擴頻技術(shù)可以用來減輕網(wǎng)絡(luò)堵塞問題。恰當(dāng)?shù)恼J(rèn)證可以防止在網(wǎng)絡(luò)中插入無用信息,然而,這些協(xié)議必須十分有效,否則它也會被用來當(dāng)作DOS攻擊的手段。比如,使用基于非對稱密碼機制的數(shù)字簽名可以用來進行信息認(rèn)證,但是創(chuàng)建和驗證簽名是一個計算速度慢、能量消耗大的計算,攻擊者可以在網(wǎng)絡(luò)中引入大量的這種信息,就會有效地實施DOS攻擊。 4.總結(jié) 安全是一個好的傳感網(wǎng)絡(luò)設(shè)計中的關(guān)鍵問題,沒有足夠的保護機密性、私有性、完整性以及防御DOS和其它攻擊的措施,傳感網(wǎng)絡(luò)就不能得到廣泛的應(yīng)用,它只能在有限的、受控的環(huán)境中得到實施,這會嚴(yán)重影響傳感網(wǎng)絡(luò)的應(yīng)用前景。另外,在考慮傳感網(wǎng)絡(luò)安全問題和選擇對應(yīng)安全機制的時候,必須在協(xié)議和軟件的設(shè)計階段就根據(jù)網(wǎng)絡(luò)特點、應(yīng)用場合等綜合進行設(shè)計,試圖在事后增加系統(tǒng)的安全功能通常被證明為不成功或功能較弱的。 |
