无线传感器网络面临的安全隐患及安全定位机制.docx

无线传感器网络面临的安全隐患及安全定位机制随着通信技术的发展，安全问题显得越来越重要。在现实生活中，有线网络已经深入到千家万户：互联网、有线电视网络、有线电话网络等与人们生活的联系越来越紧密，已经成为必不可少的一部分，有线网络的安全问题已经能够得到有效的解决。在日常生活中，人们可以放心的使用这些网络，利用它来更好的生活和学习。然而随着无线通信技术的不断发展，无线网络在日常生活中已占据重要的地位，如无线LAN技术、3G技术、4G技术等，同时也有许多新兴的无线网络技术如无线传感器网络，Ad-hoc等有待进一步发展。随着人们对无线通信的依赖越来越强烈，无线通信的安全问题也面临着重要的考验。本章首先介绍普通网络安全定位研究方法，随后介绍无线传感器网络存在的安全隐患以及常见的网络攻击模型，分析比较这些攻击模型对定位的影响，最后介绍已有的一些安全定位算法，为后续章节的相关研究工作打下基础。3.1 安全定位研究方法不同的定位算法会面临着不同的安全方面的问题，安全定位的研究方法可以采用图3-1所示的流程来进行。图3-1安全定位方法研究流程图Figure 3-1 Flowchart of security positioning research method在研究中首先要找出针对不同定位算法的攻击模型，分析这些攻击对定位精度所造成的影响，然后从两方面入手来解决这个安全问题或隐患：一方面改进定位算法使得该定位算法不易受到来自外界的攻击，另一方面可以设计进行攻击检测判断及剔除掉受到攻击的节点的安全定位算法或者把已有的安全算法进行改进使之能够应用于无线传感器网络定位，还可以从理论上建立安全定位算法的数学模型，分析各种参数对系统性能的影响，最后根据这个数学模型对算法进行仿真，并把仿真结果作为反馈信息，对安全定位算法进一步优化和改进，直到达到最优为止。3.2 安全隐患由于无线传感器网络随机部署、网络拓扑易变、自组织成网络和无线链路等特点，使其面临着更为严峻的安全隐患。在传感器网络不同的定位算法中具有不同的定位思想，所面临的安全问题也不尽相同。攻击者会利用定位技术的弱点设计不同的攻击手段，因此了解各定位系统自身存在的安全隐患和常见的攻击模型对安全定位至关重要。影响无线传感器网络定位的原因大致可以分为两类：其一，节点失效（如节点被破坏、电量耗尽）、环境毁坏（通信干扰）等引起的定位误差；其二，恶意攻击30，攻击者主要是通过内部攻击和外部攻击两种方式来增大无线传感器网络的定位误差或使节点定位失效。采用不同的定位算法，系统存在不同的安全隐患。按照定位算法的分类将安全隐患大致分为：基于测距的定位的安全隐患和基于无需测距定位的安全隐患。3.2.1 基于测距定位的安全隐患基于测距的定位技术需要测量未知节点和参考节点之间的距离或方位信息。攻击者主要针对定位系统位置关系的测量阶段和距离估计阶段进行攻击。在测距阶段，攻击者通过改变测距所需要的参数或者产生干扰和欺骗以增大误差，达到攻击的目的。基于测距定位的攻击手段主要有以下几种：（1）通过移动、隔离信标节点来降低定位精度，或者通过大功率干扰设备产生无线电干扰信号，使得信标节点发出的信号中有较大的噪声，以此增大误差，降低定位精度。如在RSSI测距技术中，通过增加周围信道噪声来造成信号的衰减，使得未知节点的测量距离长于实际距离；（2）通过在未知节点和信标节点传输的信道中设置干扰信号或阻断装置来达到降低节点定位精度的目的。如在测量到达角度，计算相邻节点或者未知节点相对于信标节点的方位角的AOA算法中，通过使用反射物来改变信号的到达角度；（3）通过破坏距离定位协议，使得信标报文沿多径传输，从而增大信号传输的时间来降低定位精度。如在根据信号的传播时间和传播速度进行定位的 TOA/TDOA 算法中，通过提前或者延迟发送响应报文以达到虚减或虚增节点距离的目的。3.2.2 基于无需测距定位的安全隐患无需测距定位的定位方法不存在测距阶段，所以从根本上避免了攻击者的攻击，但是由于该算法本身也存在安全隐患故也面临着更为严峻的安全问题。无需测距定位的定位方法很容易受到虫洞、女巫、重放、伪造、篡改和丢弃信标报文等针对网络层的攻击。在Centroid定位算法中，由于定位过程中需要用到已知坐标的信息（邻居节点信息），这就存在着很大的安全隐患。攻击者可以通过伪装邻居节点，捕获邻居节点并散布虚假坐标信息或者在邻居节点间放置障碍物和吸收材料来隔离邻居节点，使邻居节点失效从而降低定位精度或使定位失败。在DV-HOP定位算法中，由于定位过程中需要依据节点之间的最小跳数来估计每跳距离，攻击者可以通过改变最小跳数来改变每跳距离或者改变计算距离。在Amorphous定位算法中，由于定位过程中需要利用节点之间的最小跳数，攻击者同样可以改变最小跳数，从而达到攻击的目的。在APIT定位算法中，由于定位过程中也是要用到已知坐标的节点信息，攻击者可以发起虫洞攻击，从而使定位失效或精度降低。3.3 常见的网络攻击方法及防御手段传感器网络中很容易受到来自各方面的各种各样的攻击，主要包括内部攻击(Internal Attackers)和外部攻击(External Attackers)。内部攻击主要是报告错误的位置、距离信息，从而造成定位的误差。其主要的攻击类型有：女巫攻击、Hello flood 攻击、虫洞和槽洞以及选择性转发等。内部攻击对系统定位功能极具威胁，在内部攻击中，一旦某几个节点受到攻击或者几个攻击节点深入到网络内部就会导致整个网络的安全功能丧失，整个网络也就失去了作用。外部攻击主要是俘虏或破坏物理节点、干扰或阻塞传感器节点间的通信，外部攻击者位于整个网络的外部，不能够深入到网络内部中去，攻击者无法获取网络密码或认证信息。外部攻击危害较小，攻击者无法从俘虏的节点中获取整个网络的有效信息，另外个别节点被俘虏的情况下对定位精度的影响不大，但外部攻击具有很强的隐蔽性，更难被网络所检测到31。传感器网络各个层次容易受到的攻击方法和防御手段如表3-1所示。表3-1无线传感器网络中的攻击方法和防御手段Table3-1 Ways of attack and recovery instruments of wireless sensor network网络层次攻击方法防御手段物理层 物理破坏（Tampering）拥塞攻击（Jamming）增加物理损害感知机制和自毁机制提高容错机制、节点伪装和隐藏宽频和跳频通信区域映射，模式转换，消息优先级链路层冲突攻击（Collision） 耗尽攻击（Exhaustion）询问攻击（Challenge） 女巫攻击（Sybil attack） 非公平竞争（Unfairness）信道监听和重传机制、纠错码对节点重传信息次数设置门限限制接收同样身份节点连接的次数无线电资源测试使用短帧和非优先级策略网络层黑洞攻击（Black holes）汇聚节点攻击（Homing）方向误导攻击（Misdirection）虫洞攻击（Wormhole Attack）通信认证和多径路由加密和逐跳认证机制认证、监视机制、出口过滤基于地理位置的路由机制传输层泛洪攻击（Flood attacks）不同步攻击（Resynchronization）限制一个特定节点被连接的次数认证机制3.4 常见的网络攻击模型及对定位的影响目前无线传感器网络中存在的攻击类型主要有：虫洞攻击32 (Wormhole)、重放、伪造、篡改攻击（Replay Attack、Forge Attack 、Distort/Tamper Attack）、女巫攻击32（Sybil Attack）、改变测量距离攻击（Alter Estimation Distance Attack）、节点俘虏攻击33（Compromise Attack）、拒绝服务(DoS)攻击、黑洞(Sinkhole)攻击、HELLO 洪泛攻击等。3.4.1 虫洞攻击（Wormhole Attack）虫洞攻击是一种非常复杂的攻击方式，对传感器网络的精确定位有着严重的影响。虫洞攻击至少需要两个攻击者通过建立虫洞链路（Wormhole Link）将偷听到网络中的有用信息从网络一端传送到另一端。虫洞攻击可以通过Wormhole Link将整个网络中受到攻击的节点或恶意节点连接成一个整体，这些连接在一起的节点会同时发起对整个网络的攻击，这样虫洞攻击就会威胁到整个网络的安全。另外在虫洞攻击中攻击者往往不会忠实、完整的传输所偷听到的消息，而是故意传递部分数据包，从而造成数据包的丢失。虫洞攻击在传输数据过程中往往会结合篡改、选择转发等手段对网络中的数据进行破坏。由于虫洞攻击没有破坏通信的验证性和完整性，也没有攻击网络中的相关主体结构，因此很难被检测到也更具有隐蔽性。虫洞攻击所带来的影响可以从图3-2中看出来。图3-2 虫洞攻击示意图Figure 3-2 Diagram of Wormhole Attack在图3-2中节点、 在节点的通信范围内，而节点、在节点的通信范围内。节点要与节点进行通信需要经过节点和，而节点、一旦受到虫洞攻击就会在它们之间形成虫洞链路，通过这个虫洞链路和之间能直接进行通信，就好像、都在其通信范围之内。能够接收到、和的信息，并且能够通过虫洞将这些信息传送到节点，节点也能将收到的、和所发送的信息转发给节点。这时，节点和就会接收到不在其通信范围内的消息，在定位过程中若用到此信息进行运算必然会增大误差，从而导致网络定位精度降低。在以PIT理论为基础的APIT算法中35，也容易受到虫洞攻击。针对APIT定位算法的虫洞攻击如图3-3所示。图3-3 APIT定位算法的虫洞攻击Figure 3-3 Diagram of Wormhole Attack direct at APIT在图3-3中节点位于、三个信标节点所组成的三角形之中，但是由于虫洞攻击的存在，节点与节点之间存在一条虫洞链路，从而节点错误的判断出其位于这个三角形之外的错误结论。3.4.2 重放、伪造、篡改攻击重放攻击（Replay Attack）是一种最简单的、最常用的而且最普遍的攻击方式。特别是在攻击者自身资源受限或者没有能力俘获两个或多个传感器节点的时候，攻击者无法伪装成多个节点，重放攻击就成了攻击者最主要的攻击手段。重放攻击的主要过程是：攻击者采用特殊的手段阻塞发射节点和接收节点之间的信息传递，与此同时攻击者将发射节点所发送的信息保存下来，然后向接收节点重放以前的定位信息。在重放攻击过程中，攻击者无需修改定位信息而直接重放以前相同的定位信息，因此在信标节点的位置信息变化快、定位信息更新的速度快、网络的拓扑结构也变化很快的具有高速移动性的网络中，重放攻击就会极大的影响定位精度。重放攻击对网络的精确定位影响很大，一旦存在这种攻击，未知节点就会接收不到正确的位置信息，从而导致定位精度的下降，更有甚者会导致定位的失败。针对于固定的传感器网络结构，重放攻击造成的影响如图3-4所示。节点A向节点B和C发送定位参数，恶意节点M 对节点C所发送的信息进行阻塞，同时恶意节点M 能够很好的伪装成节点C并将所接受到信息发送给节点D，使得节点D误以为所接收到的信息是节点C所发的，从而导致定位的误差。 图3-4重放攻击示意图(a) 图3-5重放攻击示意图(b)Figure 3-4 Diagram of Replay Attack (a) Figure 3-4 Diagram of Replay Attack (b)针对于移动的传感器网络的结构，重放攻击造成的影响如图3-5所示。节点A、B、C、D、E和F都是信标节点，节点F具有移动性，节点M会阻塞移动节点和未知节点之间的通信。在定位过程中，一旦节点F的位置发生改变，攻击节点M就会把以前旧的节点F的信息发送给信标节点，信标节点A和E收到这个旧的节点F的坐标后进行定位计算就会得到错误的位置信息，从而造成未知节点实际位置由G变为G1（如图3-5所示），从而造成定位错误。伪造、篡改攻击（Forge Attack、Distort/Tamper Attack）和重放攻击方式类似，这时恶意节点对所接收到的发射节点的定位参数信息进行篡改、伪造然后传递给接收节点。伪造、篡改攻击相对于重放攻击更具有破坏性，使得未知节点的定位更容易出现大的误差或错误。3.4.3 女巫攻击（Sybil Attack）女巫攻击（Sybil Attack）和重放攻击（Replay Attack）一样，也只需要一个攻击节点即可完成，但是女巫攻击对攻击者的要求要复杂的多。它要求攻击者在传感器网络中随意俘获一个信标节点，然后伪装成多个信标节点，这个被俘虏的信标节点就会依次对外发送多个错误的信标节点位置信息。这个节点对整个系统的定位精度有极大的影响，一旦某一个节点受到女巫攻击就会导致大量的节点定位失效，更严重的会导致整个网络的瘫痪。女巫攻击的原理如图3-6所示，在网络中一旦节点 M 受到女巫攻击，它就会阻塞与其进行通信的节点A、B和C的信息，然后节点M分别伪装成节点A、B和C，依次转发经过篡改的或随机产生的节点的位置信息，这样节点 D 就会接收到许多错误的坐标信息导致定位失败。在质心定位算法（Centroid）中，女巫攻击更具有危害性。受到攻击的一个节点会伪装成多个信标节点，分别向网络中的未知节点发送错误的位置信息，未知节点利用接收到的错误的信息进行定位运算必然会得出错误的结果。如图3-7所示，节点M一旦受到女巫攻击，它就会伪装成两个信标节点E和F，然后分别向未知节点G发送出错误的坐标信息，未知节点G接收到这些错误的定位信息之后进行定位计算就会得出其位置为G1 的错误坐标。 图3-6女巫攻击示意图（a） 图3-7女巫攻击示意图（b）Figure 3-6 Diagram of Sybil Attack（a） Figure 3-7 Diagram of Sybil Attack（b）3.4.4 改变测量距离攻击在基于测距的定位算法（Alter Estimation Distance Attack）中，需要测量节点之间的距离，而攻击者可以在测距过程中通过在参考节点和未知节点之间设置障碍物或干扰设备来产生多径干扰，从而延长信号的传输时间、改变信号的强度，从而改变测量距离。 图3-8 改变测量距离攻击（a） 图3-9 改变测量距离攻击（b）Figure 3-8 Change the measuring distance（a） Figure 3-9 Change the measuring distance（b）如图3-8和图3-9所示，已知信标节点A1，A2，A3 的位置，要确定未知节点 S 的坐标。信标节点使用三边测量法、多边测量法等测距技术计算出节点间的距离，就可以估计出未知节点 S 的坐标。假若没有测量误差，未知节点位于三个圆的公共交点处如图3-8所示。然而在实际应用中，在测量距离过程中很容易受到外界改变测量距离的攻击，如图3-9所示。节点A1 的实际通信半径d1 由于受到外界改变测量距离的攻击使之成为d1，从而致使对S的估计位置范围变大。3.4.5 节点俘虏攻击节点俘虏攻击（Compromise Attack）是无线传感器网络攻击模式中较为复杂的一种攻击方式，它对攻击者有着更为复杂的要求。在这种攻击方式中，攻击者首先要俘虏网络中的部分节点，然后采用解密技术破解被俘虏节点的通信密钥和网络中的加密和认证机制，最后攻击者利用已获得的通信密钥和加密认证机制伪装成网络中的信标节点并伪造虚假报文消息向周围传播。在定位过程中，当未知节点与攻击者所伪装的节点进行通信以获取信标节点的位置信息时，伪装的信标节点就会伪造错误的虚假信息并发送给要定位的节点，在这种情况下未知节点直接利用接收到的错误消息进行定位计算肯定会导致定位失败。节点俘虏攻击危害巨大，一旦网络受到这种攻击就会导致大量的节点定位失效，从而会导致整个网络功能丧失。3.5 现有的安全定位机制近几年来随着无线传感器网络的大量投入使用，无线传感器网络面临着更多的安全问题，其安全定位方法也得到越来越多人的关注。针对于不同的应用场合，已经出现了各种各样的安全定位算法，根据安全目标不同，可以将这些安全定位措施分为安全定位机制36-37、距离界定与安全定位38、鲁棒性节点定位算法和异常检测技术39等三个方面。攻击者会针对不同的定位技术发起不同的攻击，安全定位机制具有最大限度的减弱攻击效果或剔除攻击节点的能力。针对不同的攻击也相应的具有不同的安全定位算法，大致可以分为两类：监测节点攻击安全定位算法（寻找最大可信任的参考节点集合）和容忍节点攻击安全定位算法（最大程度弱化攻击效果），下面分别介绍。3.5.1 监测攻击节点安全定位算法监测节点攻击的安全定位算法（寻找最大可信任的参考节点集合）主要是根据系统所采用的定位方法的不同和受到的攻击模型的性质和特点，选用有效的方法和定位机制，剔除掉攻击节点或恶意节点，寻找最大的可信任的参考节点集合来进行安全定位。检测节点攻击的安全定位算法主要是基于距离界限（Distance Bounding ）和距离改变量相同（SDM）、投票估计（Voting-based Estimation）、统计量的（Statistical Methods ）稳定性等三个性质进行安全定位，本节简单介绍一下几种具有代表性的安全定位算法。Donggang Liu，Peng Ning40等提出Beacon Suite安全定位算法。该算法在定位过程中将已知位置信息的节点充当测试节点，该测试节点用来测试周围节点是否具有可信任性。具体方法是：该测试节点向周围被测试的节点发送定位请求，被测试节点则向测试节点回复自己的坐标信息，测试节点利用得到的被测试节点的坐标值和自身坐标值计算与被测试节点距离的同时通过接收信号的强度测量两点间的距离。然后比较测量距离和计算距离的大小，若大于设定误差的最大值，则被测试节点为恶意节点，就可以把该被测试节点列为不可信任节点，反之则将该节点列为信任的参考节点。最后这些通过测试的节点组成可信任的参考节点的集合，以用于对未知节点的定位。Donggang Liu，Peng Ning等提出两种抵制攻击的无线传感器网络定位估计算法41（Attack-Resistant Location Estimation in Sensor Networks）。第一种是应用均方误差作为定位参数集合稳定性的判别指标，在该算法中定位参数集合为： （3-1）为从定位参数计算得到的坐标位置。均方误差定义为： （3-2）在没有攻击的情况下先计算均方误差的值作为判决门限，然后应用蛮力算法（Brute-force Algorithm）、贪婪算法（Greedy Algorithm）或者增强型贪婪算法（Enhanced Greedy Algorithm）找出最大稳定的定位参数集合。第二种是基于投票的定位算法，如图3-10所示。该定位算法的基本思想是：首先由定位参数集合确定未知节点可能所在的区域，然后将该区域划分成小的正方形网格，将信标节点覆盖最多的区域视为可信区域并将该区域的质心作为未知节点的坐标。图3-10 基于投票的定位算法Figure 3-10 The location algorithm of Voting MethodSrdjan Capkun和Jean-Pierre Hubaux等提出一种基于测距系统的无线传感器网络安全定位算法42（Secure Positioning in Wireless Networks，SPINE）。SPINE是建立在距离界定协议上的，该协议中攻击者只能增大其和验证者之间的距离而不能缩短，它还利用了多边形校验（Verifiable Multilateration，VM）的性质。VM应用在TOA算法中，如果采用与光传播速度相同的电磁波作为测量距离的媒介，则恶意节点不会减小信标节点与未知节点之间的距离（光的传播速度最快），所以攻击节点只能假装比实际距离大；在三角形内部时，为了保持位置稳定性（Position Consistence）只要移动节点必然将缩短到某一节点间的距离。SPINE主要用于三个以上的信标节点来组成多个三角形，它就可以通过可验证的多边测量法计算自己的位置，并判断所得位置结果的均方差是否低于阈值来验证该结果的准确性。具体的验证步骤如下：（1） 首先验证该节点是否在信标节点组成的三角形内部；（2） 其次验证该节点到周围三个信标节点间的均方差是否在阈值范围之内，该均方差计算公式为： （3-3）其中为信标节点的坐标值，为被验证节点坐标值，如果上式成立，则认为该估计的坐标有效。SPINE需要较多的定位参数，并且该算法属于集中式定位，这样使得节点的运算量增大。 Loukas Lazos, Radha Poovendran和Srdjan Capkun等人提出了无线传感器网络位置估计算法43（Robust Position Estimation in Wireless Sensor Networks, ROPE）。ROPE是基于具有方向性的天线来实现了数据采集前的定位声称验证，集体步骤如下：（1） 首先判断能否应用多边形校验（VM）算法，如果不行的话，则以每个信标节点为圆心，以距离界限为半径画圆，执行下一步运算；（2） Secure Range-independent Localization：需要信标节点配备定向天线，在每个天线的扇区，信标节点发送自己的坐标位置和天线的边界，未知节点收集所有的能接收到得信标节点的坐标和界限，计算重叠区域，并以重叠区域的质心作为坐标。该算法可以防止虫洞攻击和女巫攻击，但增加了计算复杂度和通信开销。Xin Li，Bei Hua等提出Bilateration安全定位算法44，Bilateration算法如图3-11和图3-12、3-13所示。在图3-11中，对于两个信标节点组成的圆形区域可以通过求交点来确定两个位置。在图3-12中，对于三个信标节点组成的圆形区域可以通过求交点来确定唯一的一个位置。如果信标节点的个数大于三个，如图3-13所示，在理想的情况下，未知节点的坐标是某三个圆的交点，但是在非理想情况下，三个圆不一定能交到一起。寻找所有相交节点最近的交点组成集合，逐个排除可疑节点。 图3-11两个信标节点 图3-12 三个信标节点 图3-13 多个信标节点Figure 3-11 Two beacon nodes Figure 3-12 Three beacon nodes Figure 3-13 More beacon nodesMurat Demirbas, Youngwhan Song等提出A RSSI-based Scheme for Sybil Attack Detection in Wireless Sensor Networks45。该算法是根据女巫攻击在同一位置具有不同身份的特点，利用接收信号功率与距离的关系检测是否存在攻击。女巫攻击检测原理如图3-14所示。图3-14 女巫攻击检测Figure 3-14 Sybil Attack detectionS节点在t1和t2时刻发送ID（坐标信息），节点A1分别计算t1和t2时刻S节点到A1、A2、A3、A4的信号强度的比率，如果两时刻信号强度的比率相同，则认为存在女巫攻击。该算法在不增加硬件设备的情况下能有的效检测出女巫攻击，但是该算法不适合在节点移动的无线传感器网络中应用。Wenliang Du, Lei Fang , Peng Ning等提出的定位不规则检测算法46（Localization Anomaly Detection ，LAD），该算法中认为基于群的布置模型服从某一个概率分布(Probability Distribution Function)，即未知节点按一定的概率分布在目标节点的周围，为了减小节点的运算量，采用查表法和插值法近似计算结果。如图3-15所示，未知节点S的实际位置为S1，当攻击存在时所测得的位置为S2，从S的实际位置看S周围的邻居节点分别为A、B、C、D而S2周围的邻居节点分别为E、F、G、H，当S1和S2之间的邻居节点相差很远时，认为有攻击存在。S1周围的邻居节点是已知的，S2由分布函数计算所得。图3-15不规则检测算法示意图Figure 3-15 Diagram of anomalous detection algorithm3.5.2 容忍攻击节点安全定位算法在容忍攻击节点的安全定位算法中（最小化攻击效果），主要是利用具有鲁棒性的统计算法和健壮的定位机制建立对攻击免疫力强的定位算法，最小化攻击效果，使得恶意节点对系统的攻击效果达到最小。该类安全定位算法主要是基于如下思想和方法来最小化攻击效果：（1） 缩小相交区域，通过改变发射功率或定向天线方向（Variation of the Antenna Orientation and Communication Range）来达到效果；（2） 设定约束条件，通过包约束（Packet Leashes ）、信任度等条件达到目的；（3） 多种安全定位机制共存 (Hybrid System )来提高WSN的安全性能。在实际应用中结合上述几种安全定位的思想，采用不同的方式方法，从而提高网络的抗攻击能力。下面介绍几种这类较有代表性的安全定位算法。LOUKAS LAZOS和RADHA POOVENDRAN等提出具有鲁棒性的无线传感器网络定位算法47（SeRLoc）。在该算法中，信标节点都安装有定向天线，未知节点安装全向天线，未知节点从信标节点获取定位参数。信标节点定时发送节点的位置信息和定向天线相对于绝对坐标系统的角度信息。SeRLoc利用密钥机制保证信息传输安全，采用了基于散列链的随机密钥预分发方案抗冲突原理编制密码，仅仅核对接收到的信标节点之间的密码。SeRLoc运用定向天线增加了