




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
无线传感器网络
WirelessSensorNetworks2023/6/131第九章无线传感器网络安全无线传感器网络安全无线传感器网络存在的安全隐患有:无线信道的开放性设计中缺乏安全性考量资源受限影响安全机制:无线传感器网络的节点的计算能力和能量储备等均严重受到成本限制网络易受到物理攻击:节点容易受到环境(如雨雪天气、冰雹等)、动物甚至是敌方人员的破坏无线传感器网络安全按照攻击者的类型来分,可以分为内部攻击和外部攻击。外部攻击中,攻击者不知道传感器网络内部信息(包括网络的密钥信息等),不能访问网络的节点。内部攻击,是指网络中合法的参与者进行的攻击,攻击者可以是已被攻陷的传感器节点,也可以是获得合法节点信息(包括密钥信息、代码、数据)的传感器节点。内部攻击比外部攻击更难检测和预防,其危害性也更大。无线传感器网络安全安全目标机密性:保证非授权人员无法读取信息内容,一个机密信息应能够抵抗破解。可用性:即使在遭到拒绝服务攻击的情况下,也应确保授权用户可以使用网络提供的服务;拒绝服务攻击可能来自协议栈的任意层。完整性:完整性确保数据在传输过程中没有被第三方篡改。认证:在和对端节点通信前,节点应能识别对方的合法身份,确保这个节点是“真实”的,而不是敌方的“假冒”节点。不可否认性:节点不能否认之前发出的数据。授权:只有授权节点才能访问网络服务或资源。新鲜性:包括数据新鲜性和密钥新鲜性,无线传感器网络的数据具有时效性,从而应该保证每个消息都是最新的,防止敌方使用旧的消息进行攻击。网络攻击和防御网络攻击与防御物理层攻击:处于信号干扰区域边界的节点向外报告遭到信号干扰攻击,这个消息被扩散到网络中,之后进行数据传输时可以调整路由处于干扰域边界点节点报告受到干扰网络攻击和防御物理层攻击节点选择绕过遭到干扰的区域进行传输。对于间歇性的攻击,网络可以采取优先级传输策略,在攻击间隙优先转发高优先级信息。绕过干扰区域进行数据传输网络攻击和防御数据链路层攻击与防御:攻击者主要利用传输碰撞或MAC协议的某些特性进行攻击,属于DoS攻击的范畴。MAC层攻击示意图网络攻击和防御针对数据链路层的攻击手段主要有:恶意碰撞攻击、能量消耗攻击和不公平性攻击。恶意碰撞攻击恶意碰撞攻击原理示意图网络攻击和防御能量消耗攻击对于传输过程中出错的数据,节点间通常会进行反复的重传来保证交付,攻击者可以利用这一特点进行持续地恶意碰撞攻击,大量消耗节点的能量。不公平性攻击这类攻击利用了某些MAC协议的优先级机制或者利用恶意碰撞、能量消耗攻击造成不公平性,从而降低服务质量,对实时性要求较高的网络造成灾难性后果。网络攻击和防御欺骗、修改或重放路由信息针对路由协议的直接攻击就是将节点间交换的路由信息作为目标进行攻击。通过欺骗、修改或重放路由信息,攻击者可以创建路由回路、吸引或抵制网络流量(即将网络流量吸引到某一区域,造成路由热点,或者使网络流量绕过某一区域),从而延长或缩短路由路径、产生错误的路由信息、分割网络、增大端到端的时延。网络攻击和防御选择转发拒绝转发攻击示意图网络攻击和防御Sinkhole攻击攻击者的目标是吸引所有的数据流通过攻击者所控制的节点进行传输,从而形成一个以攻击者为中心的黑洞。Sinkhole攻击通常使用功能强大的处理器来代替受控节点,使其传输功率、通信能力和路由质量大大提高,进而使得通过它路由到基站的可靠性大大提高,以此吸引其他节点选择通过它的路由。对于传感器网络中存在的Sinkhole攻击,目前一般通过对路由协议进行精心的安全设计来进行有效的防止。网络攻击和防御Sinkhole攻击sinkhole攻击示意图网络攻击和防御女巫攻击:通过女巫节点对网络发起安全攻击女巫攻击示意图网络攻击和防御虫洞攻击:攻击者沿着虫洞链路将一个区域的消息转发到另一个区域。将一个恶意节点放在两个正常节点之间,转发它们的通信数据到另一个恶意节点,就完成了简单的虫洞攻击。虫洞攻击示意图网络攻击和防御针对特定协议的攻击分析协议相关攻击TinyOS信标(beaconing)伪造路由信息、选择转发、sinkhole攻击、女巫攻击、虫洞攻击、HELLO攻击定向扩散及其多径路由伪造路由信息、选择转发、sinkhole攻击、女巫攻击、虫洞攻击、HELLO攻击地理路由(GEAR、GPSR)伪造路由信息、选择转发、女巫攻击最小成本转发伪造路由信息、选择转发、sinkhole攻击、虫洞攻击、HELLO攻击分簇协议(LEACH、TEEN、PEGASIS)选择转发、HELLO攻击谣言路由伪造路由信息、选择转发、sinkhole攻击、女巫攻击、虫洞攻击节能拓扑维护(SPAN、GAF、CEC)伪造路由信息、女巫攻击、HELLO攻击SPINS安全协议SPINS是一种通用的传感器网络安全协议,其包含两个子协议:SNEP、μTESLA。SNEP主要实现数据的机密性、完整性、实体的认证和数据的实时性;μTESLA是一种广播认证协议。SPINS的假设前提是部署传感器之前,所有的传感器节点都与同一个基站各自共享一对密钥。SPINS安全协议通用性、语义安全、认证和数据完整性在数据加密前,先用一个随机的位串处理信息。加密的格式如下: E={D}(Kenc,C)E为加密后的密文,D为加密前的明文,Kenc为加密密钥,C为计数器,用做块加密的初始数据。 需要使用消息认证码(MAC)实现。认证公式: M={D}(Kmac,C||E)Kmac为消息认证算法的密钥,C||E为计数器值C和密文E的粘接。SPINS安全协议安全网络加密协议SNEPNA,{DA}(Kencr,C),MAC(Kmac,C|{DA}(Kencr,C)){DB}(Kencr,C),MAC(Kmac,NA|C|{DB}(Kencr,C))通过以上的过程,可以看到传感器网络加密协议SNEP具有以下优点:①通信负载较低
②语义安全③数据认证
④重放保护⑤弱实时性μTESLA安全协议微型μTESLA:先发送数据包,然后公布该数据包的认证密钥。使得敌方不能在密钥公布之前,伪造出正确的数据包,实现了认证功能。一、初始化:基站一旦在目标区域内开始工作后,首先生成密钥池;各个节点只需要存储单向散列函数的代码;基站确定Tint和d;μTESLA安全协议微型μTESLA:二、节点加入假设节点A在[i×
Tint,(i+1)
×
Tint]时间段内申请加入传感器网,过程表示为:A→S:(NM|RA)S→A:(TS|Ki|Ti|Tint|d),MAC(KAS,NM|TS|Ki|Ti|Tint|d)μTESLA安全协议微型μTESLA三、节点认证广播包假设基站在[Ti,Ti+Tint]内发送广播包P1、P21、节点接收到广播包后,判断广播密钥Ki还没有公布,保存P1、P22、在Ti+2时刻,基站公布Ki,节点计算F(Ki),看是否等于Ki-1,若相同则Ki是合法密钥,否则就丢弃该密钥。3、由于网络不稳定,可能并没有收到Ki,只收到Ki+1,此时节点计算F(F(Ki+1)),若等于Ki-1,则Ki+1是合法的,并计算Ki=F(Ki+1),用Ki对P1、P2进行认证。μTESLA安全协议微型μTESLA数据认证密钥暴露延迟为2个时间间隔,并且接收节点M和发送节点S保持松散的时间同步,且拥有受信任的密钥K0。S在第一个时间间隔发送P1、P2,因此M使用K1进行认证,同理P3使用K2认证。假设K1丢失,在第四个时间间隔S发布了K2,从而节点验证K0=F(F(K2)),并可计算出K1=F(K2),这样就可以验证前三个数据包。μTESLA的密钥与数据验证密钥管理加密是最基本的实现方式:对称加密和非对称加密密钥预分配模式让所有节点携带主密钥(mastersecretkey),任意一对节点都可以使用全局主密钥来初始化密钥管理。这种想法虽然简化了管理,但万一某个节点被俘获、破解,那么整个网络将全部暴露在攻击者面前,密钥也就没有了用处。让每对节点使用一个主密钥。将密钥预分配模式分为确定模式和概率模式密钥管理有四个黑色的的节点不能和邻居节点建立安全路径,成为了孤立的节点。影响Eschenauer-Gligor机制安全连通性的因素有:密钥环大小m,密钥池大小n以及它们的比例,网络的部署密度(通信连通度),网络部署区域状况。网络安全拓扑结构示意图密钥管理在此基础上,为了提高网络抵御节点遭受入侵的能力,Chan等人提出了q-composite随机密钥预分配机制。与Eschenauer-Gligor机制不同,q-composite机制要求节点间的共享密钥数要大于q(q≥1)。随着q的增大,网络抵抗入侵的能力随之增强,但节点的密钥环大小也随之增大。密钥管理
密钥管理密钥预分配模式混合加密模式密钥传播模式层次网络中的密钥管理攻击检测攻击检测手段分类:集中式和邻居协作式两类集中式机制使用基站进行攻击检测。原本这种方法主要用于节点失效检测,但其原理也可用于攻击检测。邻居协作节点相互监督,一旦发现行为不正常的节点就立刻上报。攻击检测常见的攻击检测与防御手段有:女巫攻击、虫洞攻击、节点复制攻击女巫攻击:通过区分不同的攻击类型并提出利用无线电测试、对随机密钥预分配进行密钥完整性验证、对位置进行验证以及节点注册来进行女巫攻击识别和防御。攻击检测虫洞攻击:虫洞攻击将网络一个区域内的消息在另一个区域进行重放,从而使得这两部分节点错误地认为彼此很靠近。Hu等人提出使用数据包“束带”来检测并抵御虫洞攻击。这种机制采用地理位置束带来保证接
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 公司交易管理办法
- 党员承诺管理办法
- 代理发货管理办法
- 共济互济管理办法
- 2025年护士基础知识试题及答案
- 2025年商标保护面试题及答案
- 2025年化肥检验试题及答案
- 2025年临沂九中面试题及答案
- 2025年血液透析面试题目及答案
- 2025年青少年法律竞赛题库
- 2025至2030中国智慧铁路行业产业运行态势及投资规划深度研究报告
- 未成年人法制宣传教学课件
- 内部财务审计培训
- 探索虚拟现实在心理健康培训中的应用前景
- 解读学习2025年《住房租赁条例》培训课件
- Q-JJJ 9002-2025 铁路建设项目安全穿透式管理实施指南
- 法律宣传讲座课件
- 重症5c考试试题及答案百度
- DB44T 2632-2025 内河航道架空缆线通航净空尺度标准
- 熟食技工考试试题及答案
- 搅拌驾驶员安全
评论
0/150
提交评论