教学材料WSN研究-第9章_第1页
教学材料WSN研究-第9章_第2页
教学材料WSN研究-第9章_第3页
教学材料WSN研究-第9章_第4页
教学材料WSN研究-第9章_第5页
已阅读5页,还剩117页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

9.1无线传感器网络安全挑战无线传感器网络与Adhoc网络有许多相似之处,均是自组织可重构的多跳无线网络。因此,从某种程度上讲,前者是后者的一种特例,将Adhoc网络的安全方案移植到无线传感器网络上来似乎合乎逻辑。但是,和Adhoc网络相比,传感器节点功能和能量严重受限使得适于Adhoc网络的多数安全解决方案都很难在无线传感器网络中实现。实际上,以微型化、低成本、应用自适应为发展目标的无线传感器网络与Adhoc网络有很大区别,具体表现在:下一页返回9.1无线传感器网络安全挑战1.网络模型不同2.网络规模不同3.网络终端能力不同4.通信模型不同5.网络拓扑变化频繁6.网络应用环境带来新的安全威胁上一页返回9.2无线传感器网络安全需求9.2.1通信安全需求通信安全的目标一般包括机密性、完整性、真实性和新鲜性。1.数据机密性数据机密性是网络安全中的一个重要问题,要求所有敏感信息在存储和传输过程中都要保证其机密性,不得向任何非授权用户或系统泄露信息的真实内容。传感器网络中,数据机密性主要包括:(1)保证敏感的感知信息无泄露(2)保证敏感的协议信息无泄露。下一页返回9.2无线传感器网络安全需求2.数据完整性有了机密性保证,攻击者可能无法获取信息的真实内容,但接收者并不能保证其收到数据是正确的。数据完整性是确保数据正确的一种手段。通过数据完整性鉴别,可以确保数据没有因为传输过程有任何改变。这是因为,恶意的中间节点可以截获、篡改和干扰信息的传输过程;正常的数据丢失或差错率也会随着信道质量的变化而变化。只有解决数据完整性鉴别问题,才能保证接收到的数据和发送出的数据一模一样。上一页下一页返回9.2无线传感器网络安全需求3.真实性很显然,仅仅防范数据包被篡改还不够。攻击者还可以在网络中插入伪造的数据包来影响或改变网络数据流。所以,接收者需要有一个数据鉴别决策过程来确保每个数据包均有正确的来源。另一方面,在传感器网络拓扑构造、任务管理(网络重编程,节点工作周期控制等)过程中,基站或簇头节点都需通过广播或组播方式向下游节点发送指令,对所有操控实施认证都是必须的。由此可见,认证对于传感器网络的安全运转非常重要。它可以让接收者验证数据以确认该数据发自声明的发送者。上一页下一页返回9.2无线传感器网络安全需求4.数据新鲜性即便是解决了数据的机密性和完整性问题,在许多应用中,还需要保证数据的新鲜性。通俗地讲,数据新鲜性问题是张调何次接收的数据都是发送方最新发送的数据,以此杜绝接收重复的信息。值得注息的是,网络传输延迟造成的数据包错序提交或数据时效过时并不是数据新鲜性要解决的主要问题,但新鲜性问题总是和时序相关。保证数据新鲜性的主要目的是防止重放(Replay)攻击。上一页下一页返回9.2无线传感器网络安全需求9.2.2网络服务安全需求从网络服务的角度看,可用性是第一位的。自组织及其他组件的安全是实现这一重要目标的保证。

1.可用性鉴于传感器网络的资源约束特性,移植传统计算机网络的安全算法和协议是有代价的。比如安全代码需要重写以适应传感器网络的存储资源约束;安全协议也会引入额外通信量;为简化算法或协议有时甚至需要引入不合适的策略如基站集中控制等。所有这些往往会严重影响传感器节点及网络的可用性。上一页下一页返回9.2无线传感器网络安全需求2.自组织作为一种特殊的Adhoc网络,传感器网络中没有专门用于网络管理的服务器和路由器等固定基础设施,每个传感器节点既独立又灵活,自组织地构建自愈性多跳无线网络。因此,分布式传感器网络必须自组织地支持多跳路由、密钥管理、节点间信任关系建立。自组织特性给其安全实现带来了巨大挑战。它要求所有安全策略符合自组织要求,例如,由于整个网络的动态特性,在所有节点和基站之间直接预安装共享密钥并不现实,迫切需要高效的密钥分配机制。目前,在传感器网络中解决密钥管理问题的主要思想是基于对称加密技术的共享密钥预分配机制,即首先在节点中预分配秘密信息,然后在网络撒布阶段,通过算法或协议,建立共享密钥,实现安全通信。上一页下一页返回9.2无线传感器网络安全需求3.其他服务组件的安全需求在传感器网络的许多应用中,时间同步、定位及网内融合处理都是必不可少的基本服务。例如,为节能,单个传感器节点往往需要周期性睡眠,数据传输时邻近传感器节点必须同步苏醒;在保证QoS或网络测量等应用中,传感器节点间可能需要测量端到端传输延迟;跟踪应用中节点的协同操作也需要时间同步服务。时间同步服务对于某些安全机制如数据新鲜性保证、广播认证操作等的实现也尤为关键。采用合适的安全手段和策略确保这些服务的正常运作,是保证网络应用的前提之一。因此,对于实现应用目标的作用是不言而喻的。上一页返回9.3无线传感器网络安全威胁9.3.1从传感器节点看安全威胁直观地讲,传感器节点主要面临两种威胁,即欺骗和控制。欺骗主要来自于环境和网络。来自环境的欺骗通常是这样发生的:攻击者知晓传感器节点所在地理环境及其感知兴趣;然后在该地理位置伪造环境假象,使得传感器节点采集虚假信息。比如,在森林火灾监测传感器网络应用中,传感器节点会感知环境温湿度的变化情况,判断是否发出火灾预警信号。攻击者很容易在一个或少数传感器节点的感知位置通过伪造火焰或提高环境温度等行为,欺骗传感器节点采集火灾预警信号。基于冗余的安全数据融合可能是防范这种威胁的主要手段。来自网络的欺骗发生在网络通信过程中,因此可纳入网络通信威胁。下一页返回9.3无线传感器网络安全威胁

对于网络属主而言,控制攻击是最具威胁的攻击行为,又可分为物理控制和逻辑控制。在逻辑控制中,攻击者可以通过监听节点间的通信,分析获知属于节点的关键信息,如身份ID等,以期冒充该节点在网络内发动其他攻击。消除或降低逻辑控制可能性的基本方法是通过加密机制和安全协议隐藏节点关键信息。不幸的是,物理控制攻击后果更为严重。攻击者首先从网络部署的环境中直接拿到该传感器节点,然后可以选择实施以下攻击:(1)直接停止服务。比如拿掉该节点的供电电池,让节点失效,从网络中退出。如果受攻击的是网络骨干节点,将直接威胁网络的可用性。上一页下一页返回9.3无线传感器网络安全威胁(2)物理剖析。通过对节点硬件和软件的分析,攻击者可以获得节点中存储的机密信息如身份ID、会话密钥等。同时可以获得相关网络协议的工作原理。这使得攻击者能够轻易地克隆伪造和篡改合法节点功能,使之成为变节节点,最大限度扰乱网络功能。直接采用防分析、防篡改的硬件设计是抵御这种攻击的有效方法,但有可能增加节点成本。考虑到传感器节点成本低廉且部署数目巨大,传感器网络具有自组织和容错能力。鉴于此,目前主流安全研究均假设允许节点被俘获,而致力于从其他安全策略提高整个网络系统抗俘获的安全弹性。上一页下一页返回9.3无线传感器网络安全威胁9.3.2从网络通信看安全威胁针对网络通信的攻击可分为:监听、篡改、伪造和阻断四种基本攻击行为,参见图9-1.这些攻击又可分为被动攻击和主动攻击两类。

(1)被动攻击主要是指不会打扰合法应用信息收集的攻击行为。这种攻击不易被合法用户觉察到。传感器网络中的被动攻击是指通过在通信传输介质上的窃听行为发起的一组消息监听攻击。被动攻击可以达成消息机密性攻击和流量分析攻击。通过监听记录节点间交换的消息包,然后分析消息头、消息大小以及流模式,攻击者可以从中窃取重要的敏感信息。上一页下一页返回9.3无线传感器网络安全威胁(2)主动攻击是指会妨碍合法应用的故意攻击行为。主动攻击容易被合法用户觉察到。传感器网络中的主动攻击包括信息篡改、伪造攻击以及IBS攻击。信息篡改包括改变、延迟和重排消息或数据存储。冒充和信息重放是两种伪造攻击实例。阻断攻击就属于IBS攻击。由于被动攻击很难被发现,因此预防很重要。防止被动攻击的主要手段是加密网络通信。但对于流量分析攻击方法,仅有加密是不够的,具体防御方法参见安全路由部分介绍。相对于被动攻击,主动攻击手段多、攻击动机多变,更难防范。主要对策是实现基于认证的安全保护机制,辅以攻击检测工具及时发现主动攻击行为并及时恢复其所造成的破坏。上一页下一页返回9.3无线传感器网络安全威胁Hand将传感器网络通信攻击分为三种不同的攻击类型:重放攻击、DOS攻击和Sybil攻击。对于重放攻击,在攻击时效上分为当前通信运行时内攻击和运行时外攻击。在攻击目标上,可以对消息包的原接收节点实施延迟重放,或者冲击其他节点。DOS攻击的主要特点是试图阻止网络服务被合法使用。Wood等给出了DOS攻击的另一种定义:任何能够减小或削弱网络设计能力的攻击行为。传感器网络中,和网络通信有关的DOS攻击可以分为:(1)阻塞攻击:简单阻塞一个或一组传感器节点的通信信道,是一种标准的DOS攻击,只需用传感器网络选定的频率传送无线信号以占用信道即可。攻击区内的所有节点都无法进行正常的收发操作。上一页下一页返回9.3无线传感器网络安全威胁(2)冲突攻击:攻击者可故息违反通信协议相关规定,简单地连续发送消息以期产生冲突。被冲突的消息将不得不进行重传。

(3)路由攻击:多跳环境中,恶意节点简单地丢弃路由的数据,可使预定接收者接收不到该数据包。

(4)泛洪攻击:恶意节点对网络中的敏感节点发送许多连接请求。这样,由于处理连接请求要消耗资源,最后必将导致该敏感节点资源耗尽,失去功用。

Sybil攻击是指“恶意设备非法冒充多个身份”的一种攻击,将在安全路由部分再做介绍。上一页下一页返回9.3无线传感器网络安全威胁9.3.3从系统角度看安全威胁正常应用的传感器网络必须保护多种服务:如多跳自组织路由、时间同步、定位和数据融合等服务,甚至安全服务。攻击者可以通过扰乱这些服务达到其攻击目的。例如,通过暴力攻击、字典攻击及监测攻击,可能危害传感器网络的密钥管理功能,使众多安全机制失去息义。另外,由于能量是传感器网络的重要资源,因此,传感器网络面临一种不同于传统网络的攻击行为能量消耗攻击:攻击者通过发起不必要的通信,剥夺能量受限节点的睡眠,达到快速消耗节点电能的目的。在这种攻击下,关键节点的能量被耗尽,可以导致整个网络通信崩溃。有些研究人员将能量消耗攻击归为DOS攻击。但不可否认,这是针对传感器网络的特殊攻击方式。上一页返回9.4基本安全技术9.4.1基本安全框架如前节所述,传感器网络中大部分攻击都需要用安全机制进行防御。整合多种安全机制于一体,构成传感器网络的整体安全框架是构建安全传感器网络的重要手段。本节首先简要介绍SPINS安全框架,然后就几种安全解决方案做简单比较。1.SPINS(SecurityPrivacyInSensorNetwork)SPINS安全协议族是最早的无线传感器网络的安全框架之一,包含了SNEP(SecureNetworkEncryptionProtocol)和μTESLA(microTimedEff面entStreamingLoss-tolerantauthenticationProtocol)两个安全协议。SNEP协议提供点到点通信认证、数据机密性、完整性和新鲜性等安全服务;μTESLA协议则提供对广播消息的数据认证服务。下一页返回9.4基本安全技术1)SNEP协议在SNEP协议中,通信双方共同维护两个计数器,分别代表两种数据传输方向。每发送一块数据后,通信双方各自增加计数器。通过共享计数器状态,SNEP协议的通信开销比较低。基于计数器交换协议,通信双方可以进行计数器同步。在SNEP协议中,使用消息认证码(MAC)提供认证和数据完整性服务。假设通信双方A,B和基站共享一个主密钥χAB,并且可用伪随机函数F从χAB导出一些独立的密钥。上一页下一页返回9.4基本安全技术如KAB=FχAB(1),KBA=FχAB(3)分别作为从A到B和从B到A的加密密钥,而相应的MAC密钥为K’AB=FχAB(2)和K’

BA=FχAB(4)。不同的密钥用于加密和MAC操作,目的是防止引入任何安全脆弱性。下面介绍从A到B的消息通信的协议过程:这里,加密数据为,其中D是数据,KAB是加密密钥,CA是A的发送计数器值,用作块加密的初始向量。部分用于计算数据包的MAC,其中K'AB是MAC的认证密钥,||为连接符号.上一页下一页返回9.4基本安全技术MAC认证可以保证点到点认证和数据完整性。在这里采用密文认证方式,可以加快接收者认证数据包的速度:接收者在收到数据包后马上可以对密文进行认证,发现问题直接丢弃,无需对数据包进行解密。另外,逐跳认证方式只能选择密文认证的方式,因为中间节点没有端到端的通信密钥,不能对加密的数据包进行解密。同时,在消息中嵌入计数器值CA,简单SNEP提供弱数据新鲜性。在MAC计算中加入一个随机数Nonce即可实现强新鲜性保证。支持强新鲜性的完整SNEP协议消息交换过程如下:上一页下一页返回9.4基本安全技术2)μTESLA协议

μTESLA协议是为低功耗设备如传感器节点令门打造的实现广播认证的微型化TESLA协议版本。TESLA协议中使用数字签名实现认证,每个包的协议负载达24B,这些特性均不适合在传感器节点中实现。在基站和节点松散同步的假设情况下,基于对称密钥体制,μTESLA协议通过延迟公开广播认证密钥来模拟非对称认证。μTESLA协议分别实现了基站广播认证数据过程和节点广播认证消息过程。上一页下一页返回9.4基本安全技术在基站广播认证数据过程中,基站用一个密钥计算MAC。基于松散时间同步,节点知道同步误差上界,因而了解密钥公开时槽从而知晓特定消息的认证密钥是否已经被公开。如果该密钥尚未公开,节点可以确信在传送过程中消息不会被篡改。接着,节点缓存消息直至基站广播公开相应密钥。如果节点收到正确密钥,就用该密钥认证缓存中的消息。如果密钥不正确或者消息晚于密钥到达,该消息可能被恶意篡改,故弃之。上一页下一页返回9.4基本安全技术

μTESLA协议中,基站的MAC;密钥来自一个单向散列密钥链,单向散列函数F公开。首先,基站随机选择密钥Kn作为密钥链中的第一个密钥;接着如下重复运用函数F产生其他密钥:密钥链中耳个密钥都关联一个时槽。这样,基站即可根据消息发送的相应时槽选择密钥来计算MAC。上一页下一页返回9.4基本安全技术2.几种安全解决方案比较

TinySec是一个链路层加密机制,作为TinyOS平台上的一个安全组件,因此成为首先得以实用的传感器网络安全框架之一。TinySec主要包括分块加密算法和密钥管理机制,支持最基本的安全服务需求:访问控制、数据完整性、数据机密性,其在能量、延迟、通信等方面的实现负载均低于10%。传感器节点在发送一个消息之前,首先加密数据,并附上MAC构成消息包。接收者收到该消息后,通过校验MAC进行完整性验证,接着可进行消息解密。上一页下一页返回9.4基本安全技术TinySec采用对称密码算法RC5(或Skipjack),密码分组链接CBC(CipherBlockChaining)模式,分组长度为128位。TinySec目前使用共享对称密钥机制。TinySec支持两种安全模式:TinySec-AE和TinySec-AuthoTinySec-AE加密数据并计算MAC保证完整性;TinySec-Auth仅仅计算MAC,而不进行加密。所以TinySec-AE提供了访问控制、数据完整性、数据保密性等安全服务,TinySec-Auth不能保证数据保密性。上一页下一页返回9.4基本安全技术

通过参数化跳频机制,K.Jones等提出一个能为无线传感器网络提供不同安全服务的方案。其方案在匿名节点构成的传感器网络中提供完整性、机密性和可用性。跳频方案通常实现于一种非敌对环境下,平抑频率差异和干扰,以此保证系统可用性。由于节点是匿名的,因此,该方案不提供访问控制和抗抵赖性,也不提供直接认证机制。但是,由于不清楚载频跳变的规律,外部节点很难试图伪装为合法节点。轻量级安全协议(LiSP)实现了高效的密钥重分配(re-keying策略,在安全和能量消耗方面有较好折中。LiSP实现了认证、机密性、数据完整性、访问控制和可用性。LiSP框架的另一特色是支持入侵检测。上一页下一页返回9.4基本安全技术SencunZhu等针对大规模分布式WSN提出了局部加密认证协议(LEAP).LEAP的特色是:提供4密钥机制以满足不同安全需求,密钥机制可扩展。

RiazA.Shaikh等从认证、访问控制、抗抵赖性、完整性、机密性和可用性几个方面,对上述传感器网络安全协议进行了比较,具体见表9-1.上一页下一页返回9.4基本安全技术9.4.2密钥管理密码系统的两个基本要素是密码体制和密钥管理。密码体制规定明文和密文之间的变换方法。由于密码体制的反复使用,仅靠保密密码体制已难以保证系统的安全。根据近代密码学观点,密码系统的安全取决于密钥的安全。因此,密钥管理是系统所有安全服务的基础,它包括加密系统密钥的产生、分配、存储、使用、重构、失效及撤销等全过程。传感器网络中,在大规模合法传感器节点间协商或共享密钥显得非常困难。因此,一定程度上,密钥管理是确保传感器网络安全通信的最大难题。上一页下一页返回9.4基本安全技术

在安全通信信道建立之前,网络中密钥的分配问题是密钥管理中的最核心问题,也是近几年传感器网络安全研究最热门的话题。基于传感器网络的安全特点,其密钥管理问题通常需要解决以下几个方面的问题:(1)抗俘获攻击的安全弹性问题。(2)轻量级问题。(3)分布式网内处理问题。(4)网络的安全扩展问题。(5)密钥撤销问题。上一页下一页返回9.4基本安全技术在传统网络中,解决密钥分配问题的主要方案有信任服务器分配模型(CA,centerofauthentication)密钥分配中心模型(KDC,KeyDistributionCenter)或其他基于公钥密码体制的密钥协商算法。信任服务器模型使用令门的服务器完成节点之间的密钥协商过程,如Kerhero、协议;KDC属于集中式密钥分配模型。在传感器网络中,CA和KDC模型很容易遭受单点失效和拒绝服务(DOS)攻击。而基于公钥密码体制的很多算法,如Diffie-Hell-man(DH)密钥协商算法,因其复杂的计算需求和较大的通信能量开销,都很难在传感器节点上实现。最近的研究表明,在低成本、低功耗、资源受限的传感器节点上现实可行的密钥分配方案是基于对称密码体制的密钥预分配模型。这种模型在传感器网络布置之前完成密钥管理的大部分基础工作,网络运行之后的密钥协商只需简单的协议过程,对节点能力的要求较低。上一页下一页返回9.4基本安全技术传感器网络密钥预分配模型根据分配方式可分为预安装模型、确定预分配模型和随机预分配模型。预安装模型无需进行密钥协商,其代表为主密钥模型和成对密钥模型。在主密钥模型中,网络中所有节点预安装相同主密钥。该模型安全弹性差,攻击者俘获任一节点中的主密钥就等于俘获整个网络。在成对密钥模型中,何对通信节点分配一个唯一的密钥,这对存储容量有限的传感器节点不现实,且不易于网络扩展。确定预分配模型,如参考文献[22][23][24]等,通常基于数学方法,在安全门限内可提供无条件安全,有效地抵御节点被俘获。确定预分配模型中,通过数学关系推导共享密钥可降低协议通信开销。上一页下一页返回9.4基本安全技术随机预分配模型基于随机图连通原理,并由Eschenauer和Gligor:首次提出了基本随机密钥预分配方案.其主要思想是在网络撒布之前,每个节点从一个较大密钥池中随机选择少量密钥构成密钥环,使得任两个节点之间能以某一较大概率共享相同的密钥。这样,安全通信可以在具有相同密钥的节点间进行。随机预分配模型可有效缓解节点存储空间制约问题,网络的安全弹性也较好,但共享密钥发现过程通常比较复杂,同时存在安全连通问题。在实际应用中密钥池的大小与网络连通性和安全性之间的关系比较微妙:密钥池越大,安全性越好,但密钥环存储需求会增加,否则两节点间能找到共享密钥的可能性会变小,安全通信的连通性就越差;密钥池越小,网络抗攻击的能力就越差。上一页下一页返回9.4基本安全技术由于随机密钥预分配模型在学术界已被普遍接受,本节仅对这一模型进行介绍。

1.随机密钥预分配模型理论基础近年来,在Eschenauer和Gligor提出的基本随机密钥预分配方案基础上,出现了许多随机预分配模型。下面首先介绍其理论基础。在传感器节点随机均匀撒布,密钥随机均匀分配假设前提下,传感器网络的密钥图(Keygraph)G(V,E)可以看做随机图G(n,p),其中传感器节点数为n,任息两节点之间存在安全边的概率为p。上一页下一页返回9.4基本安全技术这样,根据Erdos和Renyi的随机图理论:在大规模随机图G(n,p)中,对于其连通属性,若户满足阀值函数(这里c为常数)时,随机图G(n,p)连通的概率Pr满足:因此,在大规模随机图中,p和Pc有如下(近似)关系:上一页下一页返回9.4基本安全技术而由于每个节点的最大邻居数为n-1,设期望出度(关联边)为d,则,因此可得以上几个公式表明,在大规模随机图中,要保证较高的连通概率Pc,可通过保证一定的概率h或者一期望出度d来达到。并且由期望连通率Pc(如Pc=0.999)和网络规模n,可以计算出p或d。上一页下一页返回9.4基本安全技术2.基于基本随机密钥预分配模型的改进Chan等提出的(q-composite协议直接扩展了上述基本协议,目的是增强安全性和网络安全弹性。在q-composite协议中,要求节点对之间至少共享q个密钥才能建立安全通信而在基本协议只共享一个密钥。这样,任两个邻居节点可建立安全通信的概率p“有图9-3给出了被俘节点数和正常节点通信被俘概率的关系。上一页下一页返回9.4基本安全技术为进一步缓解密钥环对存储空间的压力,Ren等在密钥池构造和密钥环预分配方面做了改进。其密钥池构造如下:(1)密钥池K:其规模大小|K|=K,由五个互不相交的等长密钥链构成。(2)密钥链Ci:其长度|Ci|=C通过带秘密密钥的hash函数H,由唯一的生成秘密gi和公开种子seed来构造。图9-4给出了密钥池的构造示意图。上一页下一页返回9.4基本安全技术

参考文献[30]中给出了基于该密钥分配机制的两种改进方案较详细的分析和仿真结果,并对改进方案对抗节点俘获攻击的安全弹性和原方案作了细致的比较。图9-5给出了基于基本方案的改进协议对于被俘节点数和正常节点通信被俘概率的关系,其中网络规模n=10000,prepuired=0.5,(密钥环尺寸)Rmax=192。显然,该改进协议提供了更好的抗俘虏攻击的安全弹性。同时可以看到,和Eschenauer基本共享密钥方案相比,所需的密钥环尺寸要小很多。上一页下一页返回9.4基本安全技术

类似的,图9-6针对(q-composite方案的改进协议作了分析。这里网络规模和连接概率都不变,即n=10000,prepuired=0.5,q=2并且Rmax=161。和(q-composite方案相比较,可以发现改进协议的安全弹性也非常好。为更精确论证所提协议安全性提升的程度,通过修正密钥环尺寸,该文献进行了对比研究。图9-7中将密钥环尺寸修改为90,可以看到,在相同的系统设置下,当Eschenauer方案的通信完全被俘获时,基于基本方案的改进协议的系统通信被俘获率仅为38%。上一页下一页返回9.4基本安全技术针对q-composite方案的改进协议,当密钥环尺寸也修改为90,系统其他参数不变的情况下,图9-8表明,在剩余网络中,俘获10%的网络通信,q-composite方案中仅需俘获25个节点。然而,q-composite方案的改进协议中却需要俘获50个节点。更重要的是,这一改进协议在小规模和大规模攻击下都保持了更佳的安全弹性,完全克服了q-composite方案仅在小规模攻击情况下有较好的安全弹性的这一安全弱点。图9-9表明了这个事实。上一页下一页返回9.4基本安全技术9.4.3安全路由安全路由对顺利实现网络功能,延长网络寿命都至关重要。在设计和实现安全路由协议时,传感器网络资源受限且安全威胁多等特点必须得到关注。安全路由协议一般应包括的特性有:(1)降低配置差错影响的方法。

(2)对俘虏节点的鲁棒性。

(3)确保只有合法节点参与消息转发。

(4)防止攻击者注入伪造的路由信息。上一页下一页返回9.4基本安全技术下面讨论路由协议中存在的攻击和现有安全路由协议。1.网络层攻击传感器网络中许多路由协议都十分简单,因此,相比传统的路由协议而言,更易受到攻击。传感器网络中的网络层攻击大致分成以下几类:1)路由信息欺骗2)选择性转发3)污水坑(Sinkhole)攻击上一页下一页返回9.4基本安全技术4)Sybil攻击5)虫洞(Wormholes)攻击6)Hello数据包泛洪攻击7)ACK欺骗8)流量分析攻击参考文献[32]还列举了一些网络层协议可能受到的路由攻击,参见表9-2。上一页下一页返回9.4基本安全技术2.网络层防御对于上面提到大部分路由攻击,参考文献[32]分别提出了防御手段,这里不再介绍,下面仅给出流量分析攻击的防御方法。许多协议假设基站可信而不会被攻击。但鉴于数据流向基站,因此,靠近基站的节点被攻击,其结果也是灾难性的。防御流量分析攻击的一种方法是增加敌人分析流量模型进而发现关键节点的难度。Deng等讨论了一种抗流量分析方法。为隐藏路由信息,最简单办法是加密数据包中所有信息。然而,攻击者通过监视数据流大小和路径就可得到所需的信息。攻击者可以监视速率和时间相关性。速率监视包括跟踪临近节点的数据发送速率,并跟踪传到基站的高频率路径。上一页下一页返回9.4基本安全技术通过发送时间的相关性检查,攻击者可以沿着数据包的传送刻画出到达基站的路径。节点随机延迟数据转发来破坏相关性检查,对于包括一些高优先,时间敏感包的应用而言是不可行的。为此,参考文献[33]列举了四种减小流量一致性方向的办法:第一是允许节点在转发中,有一组父节点,使得路由模式不明显;第二是将随机通信被引入到包经过的路径,缩小速率监视造成的危害;第三,随机转发子集沿着伪造路径传递假数据,挫败攻击者一跟踪移动到基站的包的企图;第四,产生各种随机区域的高流量,以欺骗攻击者相信基站在远离真实位置的某个地方。尽管抗流量分析攻击显得越来越重要,但很少得到研究者关注。同时,重新设计传感器网络结构,以减少可被分析的脆弱性很重要。否则,特别是在敌对环境中部署和运行传感器网络将非常困难。上一页下一页返回9.4基本安全技术3.安全路由协议理想状态下,如果我们知道遭受到某种确定的攻击,正确的对策或许有用。然而,由于噪声和动态环境的影响,在传感器网络中,错误和攻击很难被检测,并正确区分。同时,由于网络冗余特点,只要错误或攻击源被检测出来,遭受攻击的传感器网络仍然可以继续发挥其功能。因此,为在安全路由设计中降低节点安全操作能源损耗,提高网络生命周期,发展能够容忍攻击的路由协议,提高其抗攻击弹性非常必要。上一页下一页返回9.4基本安全技术INSENS是一个面向无线传感器网络安全的入侵容忍路由协议。它致力于为异构的、资源受限传感器网络建立安全有效的基于树结构的路由。鉴于攻击者一可能发起注入、篡改或阻塞网络数据传输,在最坏情况下甚至能够瘫痪整个网络,如在网络中泛洪恶息数据包。因此INSENS的主要目的是将入侵者一的攻击破坏局部化,使其影响范围降到最小。为实现入侵容忍和对入侵者破坏能力的限制,INSENS路由协议的主要策略包括:.使用单向散列链(OHC,onewayhashchains)}垠制广播:INSENS协议只允许基站广播发送请求消息,以收集网络拓扑信息。每个基站维护一个单向散列链编号,称为单向序号,用来标记每个广播包。入侵者由于不能猜到OHC中的下一个序号,因此无法进行广播,限制其泛洪攻击能力,增强网络入侵容忍能力。上一页下一页返回9.4基本安全技术.多路径路由:INSENS协议采用冗余多路径路由以增强入侵容忍。尽可能为每个节点建立多条独立到达基站的路径。这样,当入侵者俘虏一个节点或一条路径时,还有其他安全的路径可供选择。入侵容忍设计必须平衡多路径路由的能量耗费。INSENS协议可退化配置为单路径安全路由机制。

.路由更新限制:只允许基站更新节点的数据路由表。假定每个节点和基站共享唯一的密钥。这限制了许多直接针对传感器网络路由信息更新的许多攻击。例如污水池攻击。上一页下一页返回9.4基本安全技术

为适应不同规模传感器网络,文献中给出了基本INSENS协议和增强型INSENS协议。在基本INSENS协议中,节点预置的安全信息和μTESLA类似。基本INSENS协议过程包括路由发现和数据转发两部分。在路由发现中,通过交换控制信息,基站探知传感器网络拓扑,并为每个节点建立合适的转发表。整个路由发现任务分为三个阶段:.基站向网络中所有可达节点安全广播一个请求消息。

.每个节点将其本地拓扑信息通过反馈信息告知基站。

.基站验证这些局部拓扑信息,为每个节点计算多路径转发表,然后按宽度优先方式以安全单播给对应节点发送路由更新消息,传送转发表。上一页下一页返回9.4基本安全技术

相比基本协议,增强型INSENS协议主要有三点补充:(1)双向验证用来防范路由信息欺骗攻击。

(2)多路径多基站扩展以适应大规模传感器网络。

(3)节点加入和离开的安全维护机制。由此可见,基本INSENS协议适用于规模适度的单基站传感器网络,增强型INSENS协议对于存在多个基站的大规模传感器网络而言,多路径路由和多基站能够提升入侵容忍能力。上一页下一页返回9.4基本安全技术9.4.4入侵检测在传感器网络中,完全依靠密码体制,不能抵御所有攻击。特别对于内部攻击,密码体制往往无能为力。基于传感器网络自身安全的入侵检测和将传感器网络应用于安全环境的检测任务不同,其主要任务是检测和发现针对传感器网络本身的攻击行为。入侵检测是一种检测网络中违反安全策略行为,并及时发现并报告系统中未授权或异常现象的技术,是信息安全的第二道防线。对于传感器网络而言,入侵检测也非常重要,几乎出现在所有传感器网络安全相关研究中。例如,许多安全路由策略都试图识别网络入侵者;在密钥管理技术中,通常也需要确定被俘获的节点,以便将其携带的密钥撤销。上一页下一页返回9.4基本安全技术在传统计算机网络中,从部署位置看,可分为基于主机的和基于网络的入侵检测系统(IDS)。基于主机的IDS在一个或更多主机上运行,通过分析操作系统的审计信息,以期发现在那些主机上的不良行为。基于网络的IDS作用于网络整体,通过不停地监视网络中的各种数据包,对每一个数据包或可疑的数据包进行特征分析,以检测对网络的攻击行为。从技术层面看,基于行为检测的IDS可分为特征检测(Signature-basedintrusiondetection)与异常检测(Anomalybasedintrusiondetection)两种,它们都基于入侵者行为异常于正常主体行为这一假设前提。特征检测又称Misuseintrusiondetection,这一检测假设所有已知入侵者行为可以用模式来表示,系统的目标是检测主体行为是否匹配这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。上一页下一页返回9.4基本安全技术其难点在于如何设计模式既能够表达“入侵”现象又不会误将正常行为包含进来。异常检测则是针对正常的主体行为进行建模,得到所有合法行为的模式,然后检测当前主体的行为是否匹配这些模式。它可以检测新的入侵方法。异常检测的难题在于如何建立所有合法行为模式以及如何设计模式匹配算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。总之,入侵检测是一种基于行为检测的技术。它期望能对系统中所有活动和行为进行建模,以便进行识别和分类,并针对任何不希望有的活动,采取相关措施限制这些活动,以保护系统的安全。入侵检测系统的应用,能在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。上一页下一页返回9.4基本安全技术

传感器网络易于受到多种攻击,对入侵者行为建模将非常困难,而且,未知的新的攻击方法无从预料。另外,鉴于极强的应用特点会简化任务相关的正常行为建模,似乎基于异常检测的IDS更适合于传感器网络。但是,相对于特征检测方法,异常检测容易产生误报。为降低误报率,异常检测的匹配算法会很复杂,消耗大量传感器网络的能量,进而可能严重影响网络寿命。上一页下一页返回9.4基本安全技术Brutch和Ko提到了在无线自组织网中实现IDS的各种挑.钱,同时提出基于看门狗、控制消息、邻居监测以及异常监测等方法对抗动态路由源攻击。如果将这些技术在传感器网络中实现,不能回避的问题是:由于资源受限,不可能在每个节点上都运行一个全功能IDS代理;而且,传感器网络通常是高密度冗余撒布,让每个节点都参与分析邻居传来的所有数据包明显多余和浪费资源;那么如何在传感器网络中合理地分布IDS代理,进而合理分配IDS任务。上一页下一页返回9.4基本安全技术因此,鉴于IDS在传感器网络中的实现难度,研究者们还在淤找能量高效IDS实现技术。回避入侵监测的办法即入侵容忍也有相应研究成果出现。入侵容忍是基于冗余的,冗余提高了网络的可用性,但也容易带来资源浪费。因此入侵容忍不是抵御内部攻击的根本解决之道,入侵检测问题仍然是一个开放的研究问题。下面介绍一个基于博弈论的入侵检测方法。上一页下一页返回9.4基本安全技术这里将入侵检测看作是两人参与的非零和博弈。博弈双方分别是传感器网络IDS和攻击者,IDS目的是维护传感器网络功能不受攻击,而攻击者泪的是扰乱传感器网络的正常功能。同时假设传感器网络为分簇结构,IDS以簇为单位实施保护。并且在同一时刻,IDS只保护一个簇,攻击者也只攻击一个簇。博弈中与得益相关的符号说明见表9-3。上一页下一页返回9.4基本安全技术针对特定簇走,攻击者可以有三种策略即:攻击簇k,不攻击,攻击另一簇k“;IDS可以有两种策略即:防护簇k和防护另一簇k‘。不难得到一个2X3得益矩阵(PayoffMatrix),参见表9-4,单元格中上行公式为IDS得益,下行公式为攻击者得益。由于CW<PI-CI,所以,攻击者更愿息发动攻击以获取更高的得益。因此,可以忽略上表中间不攻击策略那一列。这样,对于攻击者而言,其得益是固定的。而对IDS而言,优势策略是仅当防护的簇是攻击者正在攻击的簇。因此,IDS尽可能防护正在被攻击的簇。可是作者并没有给出相应的解决方案。上一页下一页返回9.4基本安全技术上述的博弈论表述不能让人信服,表现在以下两点:(1)攻击者得益独立于IDS策略。但是,如果攻击者以破坏网络为目的,那么在IDS到位的情况下攻击者获利少,同时在IDS缺位的情况下网络所蒙受的损失应该更大,相应的攻击得益也更大。(2)IDS任一时刻只防守一个簇。簇间的防守转换将带来大量额外的控制消息通信开销。因此,为什么不允许IDS同时可以防守多个簇呢?虽然那样可能会消耗更多资源。上一页下一页返回9.4基本安全技术

为此,MichaelKrishnan对此方法做出了相应改进。假设簇k的得益为Uk,防守成本为Ck,同时假定为完全信息博弈。这样,

.当IDS防守簇k且没有攻击发生情况下,得益为Uk-Ck;.当IDS没有防守簇k且没有攻击发生情况下,得益为Uk;.当IDS没有防守簇k,攻击者攻击簇k,得益为0。并且假定攻击者总是在发动攻击,其得益和IDS的损失仅相差一个常数即入侵成本CI上一页下一页返回9.4基本安全技术定理1:上述博弈不存在一个纯纳什均衡(Nashequilibrium,简称NE).定理2:E[B|攻击簇k]=Ck∈K,C为常数。因此,IDS的NE策略是得到簇集合K,并且满足:上一页下一页返回(9.7)(9.8)9.4基本安全技术

这里X可以是预先设定的值,表不被攻击的损失得益大小。需要注息的是,在公式(9.8)中,由于簇j将进入不防守集合J,因此,如果簇j被攻击,其损失Uj和攻击者收益相关,如果没有公式(9.8)约束,簇j的攻击收益不会小于簇k。这样,攻击者将等概率选择攻击集合K中的簇,而不会去攻击其他簇,而且攻击者的得益期望固定为X-CI。由于每个簇k都知道自己的Uk,由公式(9.7)即可算出IDS防守概率pk上一页下一页返回(9.9)9.4基本安全技术所以,对于集合K中所有簇k的总得益为上一页下一页返回(9.10)9.4基本安全技术IDS的得益为:如果IDS对所有簇都进行防守,即,则上一页下一页返回(9.11)(9.12)9.4基本安全技术公式(9.11)与公式(9.12)可得上一页下一页返回(9.13)9.4基本安全技术由此可以看到,如果防守成本Ck趋于0,公式(9.13)等于-X,表明一个简单的事实,即防守所有节点比按概率防守更好。但是,传感器网络中通常情况下是防守成本Ck较大,Uk较小,节点数量多,公式(9.13)因此会是一个正数。值得注意的是,当时,公式(9.13)会随着X值增大。这似乎与直觉相背,因为X和攻击者的得益仅差一个常量。但是,因为X越大,就可能会有更多的簇无需IDS防守。这也表明在非零和博弈中,让攻击者得到一定的得益,我们也能得到更多好处,而且不需开销许多重要的资源。上一页返回9.5传感器网络加密技术9.5.1公钥密码

公钥密码可用于数据加密、身份认证等。在WSN中,公钥密码的应用场合包括广播消息认证、引导建立安全框架、特定应用场合的身份认证需求等。例如,在公钥机制下采用Diffie-Hellman密钥交换方法建立节点之间的通信密钥十分方便和安全。目前应用最广泛的公钥密码有RSA和ECC。下一页返回9.5传感器网络加密技术1.RSARSA公钥密码算法是被研究和使用最广的公钥密码算法。在互联网中,RSA可用于提供身份认证、密钥交换等;在嵌入式系统,RSA可用于智能卡身份认证。一般而言,互联网机器都有足够的运算能力去实现RSA密码算法,智能卡中则普遍使用安全协处理器来加速公钥密码的实现。在WSN中,如果节点所用的微处理器芯片带有安全协处理器最好,但出于节点廉价的考虑,在很多情况下不会考虑使用安全协处理器。那么在WSN节点上软件实现RSA密码算法是否可行呢?下面从能量消耗、运算时间以及程序、存储空间的占用量来分析RSA在WSN中的实现。参考文献[41]从能耗的角度指出在WSN中使用RSA是可行的。Mica2平台上各种功耗特征数据见表9-5。上一页下一页返回9.5传感器网络加密技术典型的RSA模乘运算算法有加法型算法、估商型算法、蒙哥马利算法,有兴趣的读者可以参看参考文献[42],蒙哥马利算法由于其高效率、低空间等优点被广泛采用。采用蒙哥马利模乘的RSA密码运算如下:上一页下一页返回9.5传感器网络加密技术参考文献[43]将蒙哥马利模乘算法的各种实现方法归为五大类SOS、CIOS、FIOS、FIPS、CIHS,对各种方法进行了详细的分析比较,并提出了CIOS方法,这种方法需要2s2+s次乘法运算,4s2+4s+2次加法运算,占用的RAM空间为s+3。上一页下一页返回9.5传感器网络加密技术2.ECC

椭圆曲线加密ECC(EllipticCurveCrypto)是另一种公钥密码算法,相比于RSA,它有如下优点:(1)计算量小,处理速度快,在私钥的处理速度上ECC比RSA快得多。

(2)存储空间占用小,ECC的密钥尺寸和系统参数与RSA相比要小得多,ECC-160与RSA-1024有相同的安全张度,所以占用的存储空间小得多。RSA密钥太长,如果一个节点存储周围邻居节点的公钥,将占用很大的存储空间。另外,为了给邻居发送公钥,由于密钥很长,一般会分为几个包发送,能量消耗会很大。

(3)密钥生成方便,ECC的密钥生成可以随机选择一个数,RSA需要生成素数上一页下一页返回9.5传感器网络加密技术3.小结与对称密码相比,公钥密码的运算量仍然是巨大的,会占用大量的处理器资源和能量。尽管如此,公钥密码带来的好处却是显而易见的,使用公钥机制能够方便的建立安全框架,提供身份认证等。采用公钥用来协商密钥,在流量较小的WSN应用中,一次商定的通信密钥可以使用很久,不需要频繁地使用公钥密码来商定通信密钥,那么公钥加密所耗的能量相对于总体的能量而言是很小的一部分。因此,对于某些把安全放在第一位的场合,或者对能量约束较低的场合,使用软件优化实现公钥密码是可行的。上一页下一页返回9.5传感器网络加密技术9.5.2对称密码在WSN中,对称密码用来加密数据,保证机密数据不被泄露。鉴于WSN的特性,对称密码的选择不仅要考虑密码算法的安全性,还要考虑加解密时间,以及采用不同操作模式对通信开销所带来的影响,另外密钥长度、分组长度带来的通信量的影响也不容忽视。

表9-6列出了几种对称密码的分组长度,密钥长度,加解密轮数;表9-7列出在采用不同的工作模式CBC,CFB,OFB,CTR时,密文错误、同步错误对通信产生的影响。上一页下一页返回9.5传感器网络加密技术

下面就几种典型的密码算法Rijndael、RC5、RC4,分析它们的特点和实现方法。

1.Rijndael

高级加密标准(AES)采用的Rijndael算法将在各行业各部门有着广泛的应用,在WSN中,通信双方商议密钥之后,可采用Rijndael算法用通信密钥加解密数据。密钥可以随机生成,或者根据当时的传感器采集到的数据值计算得到,也可以直接使用伪随机数。上一页下一页返回9.5传感器网络加密技术

参考文献[41]指出在MSP430F149上实现Rijndael,所需代码空间约为4K~9KB,所需数据空间约为60~100B.该论文指出Rijndael的加解密运算功耗为1.62/2.49μJ/字节。软件实现Rijndael对能耗、时间、存储空间的要求是可以接受的。

Rijndael算法在设计之初就将软件实现的高效性、灵活性作为一个目标。Rijndael能在8位处理器上非常有效地实现,轮密钥加是按位异或操作,行移位是字节移位操作,字节代换是在字节级别上进行操作的,而且只要求一个256B的查找表,列混淆变换在域GF(28)做乘法运算,所有的操作都是基于字节的。列混淆仅要求乘以{02}和{03},这涉及简单的移位、条件异或和异或。上一页下一页返回9.5传感器网络加密技术128位密钥的Rijndael算法能提供足够的安全性,每个分组16B,不足的部分填充。WSN的加密数据部分的长度不是确定的,那么数据包需要填充至16B的整数信,这会增加加解密运算和通信的能量开销。对于长度超过16B的数据包,可以采用密文挪用技术避免填充。

2.RC5RC5是面向字的算法,一个分组为2个字,每个字的长度可以设定为16,32,64位等。RC5通过改变迭代次数来达到不同级别的安全性能,迭代次数允许值为0~255,迭代次数越多,安全性越高。RC5的密钥长度可变,密钥长度允许值为0~255B。上一页下一页返回9.5传感器网络加密技术RC5算法分为密钥扩展、加解密运算两部分,主要用到了加法,按位异或,循环左移运算等微处理器上最常见的基本运算,易于WSN节点的实现。RC5的使用可以采用不同的模式:RC5分组密码模式、RC5-CBC模式、RC5-CBC-Pad模式、RC5-CTS模式。美国加州大学伯克利分校的电子工程与计算机科学系为SPIVS协议开发的模型系统使用了RC5密码算法。加密协议采用了CTR模式,算法实现占用的代码空间为392/508/802B(分别对应于代码最小化策略、运行最快策略、原始协议处理策略),占用的数据空间为80B。由于RC5具有算法简单高效,可定制不同级别的安全性能,对存储空间的要求比较低等特点,因此比较适合WSN的应用。上一页下一页返回9.5传感器网络加密技术3.RC4RC4是一个可变密钥长度、面向字节操作的流密码算。相对十分组密码,流密码的加解密数度更快,实现算法简单;分组密码的优点是可以重复使用密钥。RC4何次加解密一个字节的数据,加解密的速度可达DES加密的10倍左右,算法实现仅需数行代码。分组密码的优点是可以重复使用密钥,而流密码必须保证一包一密。使用流密码能节省加解密时间、节省能量。

RC4算法的原理很简单,包括初始化算法和伪随机子密码生成算法两部分。由于RC4采用了伪随机数产生器来参与生成密钥,因此发送方和接收方必须保持伪随机数的一致性。当无线信道发生丢包的情况,如接收方的ACK数据包没有被发送方收到的时候,就会导致收发双发的伪随机数不一致。RC4和RC5都存在这个问题。上一页下一页返回9.5传感器网络加密技术9.5.3消息认证算法消息认证算法主要用来验证所收到的消息来自真正的发送方并且未被修改。消息认证算法一般都使用单项散列函数,最常用的单向散列函数有消息认证码MAC,以及MD5,SHA等HASH函数。最近的研究表明,存在有效的算法才找MD5,SHA-。的碰撞序列,这两种HASH算法不被推荐使用,SHA-1虽然理论上被破解,但目前在实际应用中破解它依然十分困难。SHA-1以512位为单位的分组作为输入,输出128位的消息摘要,WSN的数据大多是突发性短数据,不是大块的数据,试想一下,一个数据包中传感采集的数据才于几个字节,执行SHA-1算法需要将数据扩展到512位,并且产生128位的摘要,因此从能耗、存储空间的消耗等角度考虑,SHA-1不适用于大多数WSN应用。上一页下一页返回9.5传感器网络加密技术

美国加州大学伯克利分校的电子工程与计算机科学系为SPIVS协议开发的模型系统的消息认证算法采用了RC5-CBC-MAC。借用对称密码的CBC模式,将最后一个分组的密文作为消息认证码,该算法占用代码空间为622/622/686B(分别对应于代码最小化策略、运行最快策略、原始协议处理策略),占用的数据空间为120B,生成的消息认证码的长度等于RC5的分组长度,并且该长度是可变的。为了验证消息的顺序性和新鲜性,一般采用在数据包中加入计数器的方法。为了验证消息的完整性,一般采用消息认证算法。在WSN中,从降低能耗的角度出发,消息认证算法生成的消息认证码在保证足够安全性的前提下应该尽量短。消息认证码太长会浪费能量,太短不能提供足够的安全性,那么多长的消息认证码是合适的呢?上一页下一页返回9.5传感器网络加密技术TinySec使用了32位长的认证码,比起前面提到的SHA-1生成的128位认证码,长度要小得多,这是根据WSN的特点做出的选择。在Internet中,通信双方传送的数据量可能会很大,达到M,G的级别,可供分析数据包的增多,给破解带来了很大的优势。在WSN中,网络流量表现出突发性、少量性,因此可供攻击者分析的数据包很少。当网络节点采用电池供电等有限能量方式的时候,一个节点能发送、接收的数据包是有限的。上一页下一页返回9.5传感器网络加密技术对于32位长的MAC,攻击者如果通过穷举攻击方法产生两个消息认证码相同的消息,需要发送约216个数据包才能保证约50%的成功率。在WSN中,节点会周期性睡眠以节省能量,假设接收者的工作周期为2s,那么接收者接收这么多数据包需要约36h,接收节点在这么长的时间内可能已经更换认证密钥了;接收节点接收攻击者216个数据包,可能电量已经消耗殆尽了,节点死亡,攻击也就没有息义了;攻击者频繁给接收者发送不能通过消息认证的数据包,也会被视为DOS攻击或者通过入侵检测被发现。上一页下一页返回9.5传感器网络加密技术9.5.4硬件加密上面章节所述的用软件实现各种密码算法,特别是公钥密码,占用了节点较多的资源,而且节点一旦被俘获,很容易泄露密钥、数据等机密信息。在微处理器中嵌入安全协处理器,一方面加速实现密码算法,另一方面给密钥等机密信息提供保护,能为WSN节点提供很张的安全支持。很多芯片供应商提供硬件加密芯片,如Atmel公司推出的AT90SC系列安全微处理器,具有真随机数据发生器、唯一的芯片ID、存储器编密码、存储保护单元、主动防护功能、防止SPA,DPA、短时脉冲干扰和旁路攻击,以及电压、频率、温度和光线保护功能等。除具有高速、高安全性DES/3DES引擎外,AdvX高性能加密加速器和内嵌固件(位于附加32KB专用ROM内)也支持标准有限域算术功能,包括RSA、DSA、DH、ELL、AES。Chipcom公司推出的射频芯片CC2420提供了硬件AES加密。上一页返回9.6节点安全技术9.6.1节点破坏攻击

1.盲物理破坏攻击(blindphysicalattack)

盲物理破坏攻击是指攻击者使用炸弹等破坏性武器攻击部署WSN的区域,破坏区域内的节点,使WSN不能正常工作。

2.捕获破坏攻击(searchbasedattack)

捕获破坏攻击是指攻击者通过探测器等工具在部署WSN的区域探测才找节点,并破坏找到的节点。下一页返回9.6节点安全技术9.6.2节点泄露攻击

1.通过JTAG攻击

Crossbow公司的Mica2节点采用的ATmegal128微处理器和Moteiv公司的Telos节点采用的MSP430F1611微处理器都留有JTAG接口,通过JTAG攻击指攻击者使用JTAG编程器通过JTAG接口读取节点的程序和数据,可以在很短的时间内就可以把EEPROMFlash和SRAM中的所有信息读出到计算机中,通过反汇编软件,可以很方便地把获取到的信息转换成汇编代码,从而分析传感节点所存储的协议、密钥、数据等机密信息口〕。攻击者还可以在修改节点程序代码后使其重新加入网络,窃取网络信息或者一破坏网络正常工作。上一页下一页返回9.6节点安全技术为了防止未经授权访问或拷贝单片机的机内程序,大部分单片机都带有加密锁定位或者加密字节,以保护片内程序。如果在编程时加密锁定位被使能(锁定),就无法用普通编程器直接读取单片机内的程序,这就是所谓拷贝保护或者说锁定功能。事实上,这样的保护措施很脆弱,由于通用低档的单片机并非定位于制作安全类产品,因此,它们往往没有提供有针对性的防范措施且安全级别较低。加上单片机应用场合广泛,销售量大,厂商间委托加工与技术转让频繁,大量技术资料外泄,使得利用该类芯片的设计漏洞和厂商的测试接口,并通过修改熔妊保护位等侵入型攻击或非侵入型攻击手段来读取单片机的内部程序变得比较容易。上一页下一页返回9.6节点安全技术2.过错产生攻击过错产生攻击指攻击者通过各种手段产生异常工作条件,如离子射线、电磁辐射、瞬间快速脉冲,非正常电压等,使得芯片在运算过程中产生错误,通过分析错误获得有用的信息。使用最广泛的过错产生攻击手段包括电压冲击和时钟冲击,低电压和高电压攻击可用来禁止保护电路工作或张制处理器执行错误操作,时钟瞬态跳变也许会复位保护电路而不会破坏受保护信息。另外,针对不同的攻击目标有很多具体的过错产生攻击方式,下面简要介绍3种攻击方法上一页下一页返回9.6节点安全技术1)电压冲击攻击电源和时钟瞬态跳变可以在某些处理器中影响单条指令的解码和执行,微处理器要求在稳定的电压下工作,一个短而巧妙的脉冲可以引起单步的程序错误而微处理器仍能继续执行程序。

2)时钟冲击攻击每个晶体管都可以模型化为一RC电路,有着固定的延迟,芯片内每条路径的延迟也是固定的。单片机的最高工作频率是由最长路径延迟决定的,每个触发器都有特征时间来取样输入电压值,改变输出值。对于某工作频率为5MHz的单片机,如果提供给它20MHz的时钟,某些触发器的值就会发生异常改变,通过控制的时钟频率,可以让单片机执行各种完全不同于指令集的一些“指令”。通过系统组织的试验,可以得到采用控制时钟脉冲实现的“特殊指令”。上一页下一页返回9.6节点安全技术3)攻击RSA假设现在对信息M进行签名运算,运算过程为S=Mdmodn,n=pq,假设计算过程先分别计算模p和模q的值,然后利用中国剩余定理(CRT)计算S,那么,通过DFA攻击,使得S=Mdmodpq,运算对于p是正确的,对于q是错误的。这时,我们将得到RSA运算过程中,大部分时间都在计算modp或者modq,有足够的时间去创造一个DFA错误,这种攻击可以在线进行。上一页下一页返回9.6节点安全技术4)防御方法防范过错产生攻击的策略一方面是严格的电压、频率和温度检测,能够监测到部分攻击;另一方面还可以通过软件防范,通过检查关键的程序流向以及加密运算结果来实现故障监测。

3.侵入攻击侵入攻击指攻击者物理剖析芯片,直接暴露芯片内部连线,然后观察、操控、干扰单片机以达到攻击目的。侵入攻击需要非常昂贵的设备,而且攻击周期比较长,需要令业的技术人员。侵入攻击一般先通过各种化学方法揭去芯片封装,然后才找熔妊保护位并将其暴露在紫外光下一段时间,破坏保护位的保护作用,最后用编程器读出程序。一种防御方法是设置感知电路感知侵入攻击,然后销毁数据上一页下一页返回9.6节点安全技术4.板级攻击WSN节点,如Mica2、Mote等,一般由微处理器、传感器、无线收发芯片、片外存储器、片外Flash等组成。板级攻击是指攻击者通过在电路板上监听信号线,或者切断、重连信号线来更改电路连接等方法来获取数据、程序、密钥等信息。

5.旁路攻击(TheSideChannelAttack)旁路攻击指攻击者通过观察电路中的某些物理量,如能量消耗、电磁辐射、时间等的变化规律,来分析节点的程序、密钥、数据等信息。目前,应用最为给泛的旁路攻击方法是差分能量分析(DPA,DifferentialPowerAnalysis)方法。芯片执行不同指令的时候执行不同的操作,消耗的电流也是不一样的,通过使用电子测量仪器测量芯片电流,通过统计技术分析执行的指令以及处理的数据,攻击者可以获得芯片中的机密信息。和传统的攻击技术相比,差分能量分析有更强的攻击性能。图9-10给出了在智能片上执行不同指令时的电流波形图。上一页下一页返回9.6节点安全技术6.计时攻击计时攻击是针对密码算法的一种攻击,其原理是利用加密或解密算法对于不同的输入所花时间的细微差别用来猜测密钥。计时攻击类似于窃贼通过观察他人转动保险柜拨号盘的时间长短来猜测密码,攻击者通过记录解密消息所用的时一间来确定私钥。计时攻击不仅可用于攻击RSA,而且可以用于攻击其他的公钥密码系统,由于这种攻击的完全不可预知性以及它仅依赖于明文,所以计时攻击具有很大的威胁。上一页下一页返回9.6节点安全技术7.逻辑攻击逻辑攻击对嵌入式系统来说威胁很大,它利用软件、加密算法或安全协议的弱点和漏洞进行攻击,例如缓冲区溢出攻击等。逻辑攻击取得成功的一个典型事例是对早期ATMELA,117890系列单片机的攻击。攻击者一利用了该系列单片机擦除操作时序设计上的漏洞,使用自编程序在擦除加密锁定位后,停止下一步擦除片内程序存储器数据的操作,从而使加过密的单片机变成没加密的单片机,然后利用编程器读出片内程序。上一页下一页返回9.6节点安全技术9.6.3小结没有完美无缺、不可攻破的安全系统,衡量一个系统安全保护的级别,在于攻击者攻破它所需的代价。上面介绍的几种常见物理攻击的攻击代价如表9-8所示。节点是WSN的基本单元,节点的安全是网络安全的基础。节点安全包括节点本身的物理安全和节点里的数据、程序安全,针对节点的攻击包括物理破坏节点和窃取节点程序、数据、密钥等信息。上一页返回9.7传感器网络服务组件安全9.7.1位置相关应用安全传感器网络的主要应用目的是监测应用环境,向用户提交环境相关的监测信息。因此,刻画其应用能力的指标往往是信息的准确性,这和传感器节点在具体环境中的位置信息相关。如在森林火险监测传感器网络应用中,发出火险报警信号的传感器节点位置对于后续的火火行动至关重要。由此可见,即便是正确的数据,如被附加了错误的地理位置信息,也不能为决策者提供正确的决策依据。因此,没有位置信息,传感器网络的感知数据就没有息义。同时,如果不对传感器网络节点定位算法进行保护的话,对手很容易操控节点,扰乱系统的定位性能。遗憾的是,为简化设计,多数传感器网络定位策略没有相关安全设计,恶意或变节节点可以任息声明自己的位置。下一页返回9.7传感器网络服务组件安全Lazos等提出了一个安全的无需测距的新颖定位方法SeRLoc.该方法使传感器节点能从可信锚节点安全地推导出自己的位置,并对虫洞攻击、Sybil攻击和节点捕获攻击等进行针对性设计。然而,这一方法不能防止异常行为节点向邻居节点谎报自己的真实位置。为防止节点谎报自己的真实位置,Sastry等提出了一个位置验证方案。这是一个基于超声波信道的握手验证协议。首先,节点向验证者发送自己的位置声明;随后该节点可以收到验证者回发的一个带Nonce随机数的询问消息。这时,该节点必须立刻应答验证者已收到该询问消息。上一页下一页返回9.7传感器网络服务组件安全验证者通过测量询问消息和应答之间的延迟,估计该位置声明的可信度。不幸的是,这种方法需要超声波硬件,并且只有一个验证者进行声明位置的相对校验。同时,正如在超负荷或丢包情祝下,实时的超声波信道握手协议并不总是能够正常进行。这样的结果是,错误的估计可能导致忠诚节点可能被宣告无效。参考文献[63]提出了一个多位置校验方法,而不仅仅依靠唯一的验证者。它不需要使用超声波硬件,同时提供更准确完善的位置校验。其主要思想是反向运用定位中的三角测量过程。一个节点首先需要通过无线信道发送一个定位请求;周围的锚节点定位该请求节点,并向该节点发出经证明的位置信息。上一页下一页返回9.7传感器网络服务组件安全9.7.2安全时间同步协议时间同步是传感器网络中重要的服务中间件。引入时间同步服务,可以使许多设计更加简洁、算法更加优雅。反过来讲,没有精确和可靠的时间同步服务,这些算法就不会产生正确的结果。现存的时间同步算大多法没有抗外部和内部恶息攻击行为的能力

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论