1   引言

　　隨著傳感器、計算機(jī)、無線通信及微機(jī)電等技術(shù)的發(fā)展和相互融合，產(chǎn)生了無線傳感器網(wǎng)絡(luò)（wireless sensor network，WSN），目前WSN的應(yīng)用越來越廣泛，已涉及國防軍事、國家安全等敏感領(lǐng)域，安全問題的解決是這些應(yīng)用得以實(shí)施的基本保證。WSN一般部署廣泛，節(jié)點(diǎn)位置不確定，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)也處于不斷變化之中。另外，節(jié)點(diǎn)在通信能力、計算能力、存儲能力、電源能量、物理安全和無線通信等方面存在固有的局限性，WSN的這些局限性直接導(dǎo)致了許多成熟、有效的安全方案無法順利應(yīng)用。正是這種“供”與“求”之間的矛盾使得WSN安全研究成為熱點(diǎn)。

 
　　2   WSN安全問題

　　2.1   與安全相關(guān)的特點(diǎn)

　　WSN與安全相關(guān)的特點(diǎn)主要有以下幾個。

　　· 資源受限，通信環(huán)境惡劣。WSN單個節(jié)點(diǎn)能量有限，存儲空間和計算能力差，直接導(dǎo)致了許多成熟、有效的安全協(xié)議和算法無法順利應(yīng)用。另外，節(jié)點(diǎn)之間采用無線通信方式，信道不穩(wěn)定，信號不僅容易被竊聽，而且容易被干擾或篡改。

　　· 部署區(qū)域的安全無法保證，節(jié)點(diǎn)易失效。傳感器節(jié)點(diǎn)一般部署在無人值守的惡劣環(huán)境或敵對環(huán)境中，其工作空間本身就存在不安全因素，節(jié)點(diǎn)很容易受到破壞或被俘，一般無法對節(jié)點(diǎn)進(jìn)行維護(hù)，節(jié)點(diǎn)很容易失效。

　　· 網(wǎng)絡(luò)無基礎(chǔ)框架。在WSN中，各節(jié)點(diǎn)以自組織的方式形成網(wǎng)絡(luò)，以單跳或多跳的方式進(jìn)行通信，由節(jié)點(diǎn)相互配合實(shí)現(xiàn)路由功能，沒有專門的傳輸設(shè)備，傳統(tǒng)的端到端的安全機(jī)制無法直接應(yīng)用。

　　· 部署前地理位置具有不確定性。在WSN中，節(jié)點(diǎn)通常隨機(jī)部署在目標(biāo)區(qū)域，任何節(jié)點(diǎn)之間是否存在直接連接在部署前是未知的。

　　2.2   安全需求

　　WSN的安全需求主要有以下幾個方面。

　　· 機(jī)密性。機(jī)密性要求對WSN節(jié)點(diǎn)間傳輸?shù)男畔⑦M(jìn)行加密，讓任何人在截獲節(jié)點(diǎn)間的物理通信信號后不能直接獲得其所攜帶的消息內(nèi)容。

　　· 完整性。WSN的無線通信環(huán)境為惡意節(jié)點(diǎn)實(shí)施破壞提供了方便，完整性要求節(jié)點(diǎn)收到的數(shù)據(jù)在傳輸過程中未被插入、刪除或篡改，即保證接收到的消息與發(fā)送的消息是一致的。

　　· 健壯性。WSN一般被部署在惡劣環(huán)境、無人區(qū)域或敵方陣地中，外部環(huán)境條件具有不確定性，另外，隨著舊節(jié)點(diǎn)的失效或新節(jié)點(diǎn)的加入，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不斷發(fā)生變化。因此，WSN必須具有很強(qiáng)的適應(yīng)性，使得單個節(jié)點(diǎn)或者少量節(jié)點(diǎn)的變化不會威脅整個網(wǎng)絡(luò)的安全。

　　· 真實(shí)性。WSN的真實(shí)性主要體現(xiàn)在兩個方面：點(diǎn)到點(diǎn)的消息認(rèn)證和廣播認(rèn)證。點(diǎn)到點(diǎn)的消息認(rèn)證使得某一節(jié)點(diǎn)在收到另一節(jié)點(diǎn)發(fā)送來的消息時，能夠確認(rèn)這個消息確實(shí)是從該節(jié)點(diǎn)發(fā)送過來的，而不是別人冒充的；廣播認(rèn)證主要解決單個節(jié)點(diǎn)向一組節(jié)點(diǎn)發(fā)送統(tǒng)一通告時的認(rèn)證安全問題。

　　· 新鮮性。在WSN中由于網(wǎng)絡(luò)多路徑傳輸延時的不確定性和惡意節(jié)點(diǎn)的重放攻擊使得接收方可能收到延后的相同數(shù)據(jù)包。新鮮性要求接收方收到的數(shù)據(jù)包都是最新的、非重放的，即體現(xiàn)消息的時效性。

　　· 可用性�？捎眯砸�求WSN能夠按預(yù)先設(shè)定的工作方式向合法的用戶提供信息訪問服務(wù)，然而，攻擊者可以通過信號干擾、偽造或者復(fù)制等方式使WSN處于部分或全部癱瘓狀態(tài)，從而破壞系統(tǒng)的可用性。

　　· 訪問控制。WSN不能通過設(shè)置防火墻進(jìn)行訪問過濾，由于硬件受限，也不能采用非對稱加密體制的數(shù)字簽名和公鑰證書機(jī)制。WSN必須建立一套符合自身特點(diǎn)，綜合考慮性能、效率和安全性的訪問控制機(jī)制。

　　3   WSN安全的研究現(xiàn)狀

　　3.1   密鑰管理

　　密鑰管理是數(shù)據(jù)加密技術(shù)中的重要環(huán)節(jié)，它處理密鑰從生成到銷毀的整個生命周期，涉及密鑰的生成、分發(fā)、存儲、更新及銷毀等所有方面，密鑰的丟失將直接導(dǎo)致明文的泄露。有效的密鑰管理方案是實(shí)現(xiàn)WSN安全的基礎(chǔ)。

　　參考文獻(xiàn)[1]提出了一種動態(tài)分簇密鑰管理方案（key management for dynamically clustering WSN，KMDC），該方案能夠與現(xiàn)有的層簇式路由協(xié)議相結(jié)合，具有計算量小、能耗低的特點(diǎn)。任何節(jié)點(diǎn)在運(yùn)行狀態(tài)時只需要保存一個主密鑰、一個簇密鑰以及用于管理簇密鑰的管理密鑰，簇頭不需要保存與成員節(jié)點(diǎn)之間的對密鑰。同時，該方案采用EBS組合最優(yōu)組密鑰管理算法，減少了管理簇密鑰帶來的存儲負(fù)擔(dān)，降低了更新簇密鑰時網(wǎng)絡(luò)的通信負(fù)載。在網(wǎng)絡(luò)運(yùn)行后，EBS算法等較大規(guī)模的運(yùn)算又由基站負(fù)責(zé)完成，所以簇頭不需要具有較大存儲空間，不必進(jìn)行大規(guī)模的運(yùn)算，任何傳感器節(jié)點(diǎn)都可以擔(dān)任。另外，該方案還具有較好的擴(kuò)展性。

　　參考文獻(xiàn)[2]提出了一種基于對稱矩陣LU分解的對密鑰分配方案，該方案在實(shí)際應(yīng)用中存在密鑰信息分配不均、U矩陣信息完全公開等缺點(diǎn)。參考文獻(xiàn)[3]利用矩陣空間的思想對其進(jìn)行了改進(jìn)，提出了一種基于LU矩陣空間的隨機(jī)對密鑰預(yù)分配方案，解決了普通對稱矩陣方案在實(shí)際應(yīng)用中的局限性。

　　參考文獻(xiàn)[4]在基站是絕對安全和傳感器節(jié)點(diǎn)部署好以后就基本處于靜止?fàn)顟B(tài)的假設(shè)下，提出了基于多項(xiàng)式和分組的密鑰管理方案。為了在確保網(wǎng)絡(luò)安全性的同時，達(dá)到較好的網(wǎng)絡(luò)節(jié)點(diǎn)密鑰連通概率，該方案首先通過多項(xiàng)式計算節(jié)點(diǎn)間鏈路共享密鑰，然后通過分組的方法，彌補(bǔ)基于多項(xiàng)式方案的不足，提高網(wǎng)絡(luò)密鑰連通性。節(jié)點(diǎn)的標(biāo)志符ID劃分為組標(biāo)志符GID和組內(nèi)節(jié)點(diǎn)標(biāo)志符NID兩部分，節(jié)省了一定的節(jié)點(diǎn)開銷，通過NID的擴(kuò)展能夠支持網(wǎng)絡(luò)中節(jié)點(diǎn)的動態(tài)加入。

　　參考文獻(xiàn)[5]利用基于身份的密碼體制（identity-based cryptography，IBC）提出一種基于部署信息的密鑰管理方案，該方案將節(jié)點(diǎn)身份和部署信息應(yīng)用到橢圓曲線密鑰算法中，與以前的方案相比安全性更高。在節(jié)點(diǎn)部署后不需要一個初始信任時間，節(jié)點(diǎn)被捕獲之后不會泄露其他節(jié)點(diǎn)的秘密，可以抵擋克隆攻擊和Sybil攻擊，具有良好的可擴(kuò)展性。該方案僅在節(jié)點(diǎn)部署時執(zhí)行一次橢圓曲線密鑰算法，在隨后的整個通信過程中都采用對稱密鑰算法，能較好地應(yīng)用到WSN中。

　　參考文獻(xiàn)[6]提出了一種基于多密鑰空間的密鑰管理方案，該方案在參考文獻(xiàn)[7]的基礎(chǔ)上，引入了q-composite機(jī)制，大大降低了WSN的通信密鑰被破解的概率，但是這會同時造成網(wǎng)絡(luò)的連通率降低。通過引入地理位置信息在離線階段利用尚未使用的存儲空間存儲多個密鑰空間。在節(jié)點(diǎn)部署以后，利用定位算法得到自己在網(wǎng)絡(luò)中的坐標(biāo)，對所存儲的密鑰空間進(jìn)行優(yōu)化，刪除一些無效的密鑰空間，釋放原先利用的存儲空間，增大兩個鄰居節(jié)點(diǎn)擁有相同密鑰空間的概率，從而實(shí)現(xiàn)在不增加節(jié)點(diǎn)存儲空間的情況下大幅提高被俘節(jié)點(diǎn)的閾值的目的，增強(qiáng)了網(wǎng)絡(luò)安全性。

　　3.2  攻防技術(shù)

　　WSN受到的攻擊類型主要有Sybil攻擊、Sinkhole攻擊、Wormhole攻擊、Hello泛洪攻擊、選擇性轉(zhuǎn)發(fā)等。

　　（1）Sybil攻擊

　　Sybil攻擊的目標(biāo)是破壞依賴多節(jié)點(diǎn)合作和多路徑路由的分布式解決方案。在Sybil攻擊中，惡意節(jié)點(diǎn)通過扮演其他節(jié)點(diǎn)或者通過聲明虛假身份，對網(wǎng)絡(luò)中其他節(jié)點(diǎn)表現(xiàn)出多重身份。Sybil攻擊能夠明顯降低路由方案對于諸如分布式存儲、分散和多路徑路由、拓?fù)浣Y(jié)構(gòu)保持的容錯能力，對于基于位置信息的路由協(xié)議也構(gòu)成很大的威脅。參考文獻(xiàn)[8]第一次系統(tǒng)地分析了Sybil攻擊及其防御手段，對Sybil攻擊進(jìn)行了分類，分析了攻擊者如何使用不同類型的Sybil攻擊破壞網(wǎng)絡(luò)的協(xié)議或算法的性能，提出了一種采用密鑰交換來確認(rèn)節(jié)點(diǎn)身份的方案，可以有效地防御Sybil攻擊。但是這種方案需要額外消耗大量能量以完成隨機(jī)密鑰的生成和交換，并且傳感器節(jié)點(diǎn)需要存儲大量的密鑰信息，這使得該方案在節(jié)點(diǎn)資源受限的WSN的應(yīng)用受到了限制。參考文獻(xiàn)[9]提出了一種基于接收信號強(qiáng)度檢測器（received signal strength indicator，RSSI）的解決方案，該方案通過計算接收節(jié)點(diǎn)和另外一個協(xié)同節(jié)點(diǎn)RSSI的比值在兩個時刻是否相等，來判斷發(fā)送節(jié)點(diǎn)是否為Sybil節(jié)點(diǎn)。該方案對Sybil攻擊的檢測概率達(dá)到99%以上，對通信要求也不高，只需要接收節(jié)點(diǎn)與另外一個協(xié)同節(jié)點(diǎn)進(jìn)行一次通信即可。其缺點(diǎn)是存在較高的誤檢概率，存在將合法節(jié)點(diǎn)當(dāng)成Sybil節(jié)點(diǎn)的可能性，但是這對整個網(wǎng)絡(luò)造成的危害與Sybil攻擊相比是微乎其微的。該方案具有較高的實(shí)用價值。

　　（2）Sinkhole攻擊

　　攻擊者為一個被妥協(xié)的節(jié)點(diǎn)篡改路由信息，盡可能地引誘附近的流量通過該惡意節(jié)點(diǎn)，一旦數(shù)據(jù)都經(jīng)過該惡意節(jié)點(diǎn)，該惡意節(jié)點(diǎn)就可以對正常數(shù)據(jù)進(jìn)行竄改或選擇性轉(zhuǎn)發(fā)，從而引發(fā)其他類型的攻擊。參考文獻(xiàn)[10]提出了一種新的輕量級的針對Sinkhole攻擊的入侵檢測方案，該方案主要分為兩步：基站首先通過檢查數(shù)據(jù)密度列出可疑節(jié)點(diǎn)，然后采用一種安全、低開銷的算法以分布式的方式搜集可疑節(jié)點(diǎn)附近信息的傳輸情況，通過對搜集的信息進(jìn)行分析來鑒別入侵者。該方案對多個惡意節(jié)點(diǎn)相互合作欺騙基站的情況也進(jìn)行了考慮，并給出了一些加強(qiáng)算法。

　　（3）Wormhole攻擊

　　Wormhole攻擊對WSN有很大威脅，因?yàn)檫@類攻擊不需捕獲合法節(jié)點(diǎn)，而且在節(jié)點(diǎn)部署后進(jìn)行組網(wǎng)的過程中就可以實(shí)施攻擊。惡意節(jié)點(diǎn)通過聲明低延遲鏈路騙取網(wǎng)絡(luò)的部分消息并開鑿隧道，以一種不同的方式來重傳收到的消息，這也可以引發(fā)其他類似于Sinkhole的攻擊。參考文獻(xiàn)[11]提出了一種檢測和預(yù)防WSN中Wormhole攻擊的方案，該方案通過地理或者臨時約束條件來限制數(shù)據(jù)包的最大傳輸距離，并給出了一種高效協(xié)議TIK來對接收的數(shù)據(jù)包進(jìn)行實(shí)時認(rèn)證。參考文獻(xiàn)[12]提出了一種針對Wormhole和關(guān)鍵鏈路的分布式檢測算法，相比以前的算法，該算法不需要專門的硬件設(shè)備來獲取節(jié)點(diǎn)的位置信息，節(jié)點(diǎn)之間不需要嚴(yán)格的時間同步。

　　（4）Hello泛洪攻擊

　　在WSN中，許多協(xié)議要求節(jié)點(diǎn)廣播Hello數(shù)據(jù)包發(fā)現(xiàn)其鄰居節(jié)點(diǎn)，收到該包的節(jié)點(diǎn)將確信它的發(fā)送者在傳輸范圍內(nèi)，攻擊者通過發(fā)送大功率的信號來廣播路由或其他信息，使網(wǎng)絡(luò)中的每一個節(jié)點(diǎn)都認(rèn)為攻擊者是其鄰居，這些節(jié)點(diǎn)就會通過“該鄰居”轉(zhuǎn)發(fā)信息，從而達(dá)到欺騙的目的，最終引起網(wǎng)絡(luò)的混亂。防御Hello泛洪攻擊最簡單的方法就是通信雙方采取有效措施進(jìn)行相互身份認(rèn)證。參考文獻(xiàn)[13]給出了防御Hello泛洪攻擊的有效方法。

　　（5）選擇性轉(zhuǎn)發(fā)

　　惡意節(jié)點(diǎn)可以概率性地轉(zhuǎn)發(fā)或者丟棄特定消息，而使網(wǎng)絡(luò)陷入混亂狀態(tài)。如果惡意節(jié)點(diǎn)拋棄所有收到的信息將形成黑洞攻擊，但是這種做法會使鄰居節(jié)點(diǎn)認(rèn)為該惡意節(jié)點(diǎn)已失效，從而不再經(jīng)由它轉(zhuǎn)發(fā)信息包，因此選擇性轉(zhuǎn)發(fā)更具欺騙性。其有效的解決方法是多徑路由，節(jié)點(diǎn)也可以通過概率否決投票并由基站或簇頭對惡意節(jié)點(diǎn)進(jìn)行撤銷。

　　（6）DoS攻擊

　　DoS攻擊是指任何能夠削弱或消除WSN正常工作能力的行為或事件，對網(wǎng)絡(luò)的可用性危害極大，攻擊者可以通過擁塞、沖突碰撞、資源耗盡、方向誤導(dǎo)、去同步等多種方法在WSN協(xié)議棧的各個層次上進(jìn)行攻擊。參考文獻(xiàn)[14]提出了一種基于流量預(yù)測的傳感器網(wǎng)絡(luò)DoS攻擊檢測方案，該方案從DoS攻擊引發(fā)的網(wǎng)絡(luò)流量異常變化入手，根據(jù)已有的流量觀測值來預(yù)測未來流量，如果真實(shí)的流量與其預(yù)測流量存在較大偏差，則判定為一種異�；蚬�擊。該方案在一種簡單、高效的流量預(yù)測模型ARMA（2，1）的基礎(chǔ)上，設(shè)計了一種基于閾值超越的流量異常判斷機(jī)制，使路徑中的節(jié)點(diǎn)在攻擊發(fā)生后自發(fā)地檢測異常，最后提出了一種報警評估機(jī)制以提高檢測質(zhì)量。閾值的設(shè)定是該方案的關(guān)鍵，要綜合考慮具體應(yīng)用場景的信道誤碼率和應(yīng)用環(huán)境的安全需求等因素。

　　4   WSN安全研究重點(diǎn)

　　WSN安全問題已經(jīng)成為WSN研究的熱點(diǎn)與難點(diǎn)，隨著對WSN安全研究的不斷深入，筆者認(rèn)為以下幾個方向?qū)⒊蔀檠芯康闹攸c(diǎn)。

　　（1）密鑰管理

　　· 密鑰的動態(tài)管理問題。WSN的節(jié)點(diǎn)隨時都可能變化（死亡、捕獲、增加等），其密鑰管理方案要具有良好的可擴(kuò)展性，能夠通過密鑰的更新或撤銷適應(yīng)這種頻繁的變化。

　　· 丟包率的問題。WSN無線的通信方式必然存在一定的丟包率，目前絕大多數(shù)的密鑰管理方案都是建立在不存在丟包的基礎(chǔ)上的，這與實(shí)際是不相符的，因此需要設(shè)計一種允許一定丟包率的密鑰管理方案。

　　· 分層、分簇或分組密鑰管理方案的研究。WSN一般節(jié)點(diǎn)數(shù)目較多，整個網(wǎng)絡(luò)的安全性與節(jié)點(diǎn)資源的有限性之間的矛盾通過傳統(tǒng)的密鑰管理方式很難解決，而通過對節(jié)點(diǎn)進(jìn)行合理的分層、分簇或分組管理，可以在提高網(wǎng)絡(luò)安全性的同時，降低節(jié)點(diǎn)的通信、存儲開銷。因此，密鑰管理方案的分層、分簇或分組研究是WSN安全研究的一個重點(diǎn)。

　　· 橢圓曲線密碼算法在WSN中的應(yīng)用研究。

　　（2）安全路由

　　WSN沒有專門的路由設(shè)備，傳感器節(jié)點(diǎn)既要完成信息的感應(yīng)和處理，又要實(shí)現(xiàn)路由功能。另外，傳感器節(jié)點(diǎn)的資源受限，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也會不斷發(fā)生變化。這些特點(diǎn)使得傳統(tǒng)的路由算法無法應(yīng)用到WSN中。設(shè)計具有良好的擴(kuò)展性，且適應(yīng)WSN安全需求的安全路由算法是WSN安全研究的重要內(nèi)容。

　　（3）安全數(shù)據(jù)融合

　　在WSN中，傳感器節(jié)點(diǎn)一般部署較為密集，相鄰節(jié)點(diǎn)感知的信息有很多都是相同的，為了節(jié)省帶寬、提高效率，信息傳輸路徑上的中間節(jié)點(diǎn)一般會對轉(zhuǎn)發(fā)的數(shù)據(jù)進(jìn)行融合，減少數(shù)據(jù)冗余。但是數(shù)據(jù)融合會導(dǎo)致中間節(jié)點(diǎn)獲知傳輸信息的內(nèi)容，降低了傳輸內(nèi)容的安全性。在確保安全的基礎(chǔ)上，提高數(shù)據(jù)融合技術(shù)的效率是WSN實(shí)際應(yīng)用中需要解決的問題。

　　（4）入侵檢測

　　· 針對不同的應(yīng)用環(huán)境與攻擊手段，誤檢率與漏檢率之間的平衡問題；

　　· 結(jié)合集中式和分布式檢測方法的優(yōu)點(diǎn)，更高效的入侵檢測機(jī)制的研究。

　　（5）安全強(qiáng)度與網(wǎng)絡(luò)壽命的平衡

　　WSN的應(yīng)用很廣泛，針對不同的應(yīng)用環(huán)境，如何在網(wǎng)絡(luò)的安全強(qiáng)度和使用壽命之間取得平衡，在安全的基礎(chǔ)上充分發(fā)揮WSN的效能，也是一個急需解決的問題。

　　5   結(jié)束語

　　WSN作為虛擬網(wǎng)絡(luò)與現(xiàn)實(shí)世界連接的橋梁，在未來具有廣闊的應(yīng)用前景，其安全問題現(xiàn)已引起了國內(nèi)外眾多學(xué)者的注意。密鑰管理是WSN其他安全機(jī)制如安全路由、安全數(shù)據(jù)融合、入侵檢測等的基礎(chǔ)，是WSN安全研究中最基本的內(nèi)容。在以后的科研工作中，筆者將從密鑰管理出發(fā)，結(jié)合現(xiàn)有的密鑰管理方案和WSN協(xié)議棧，對WSN安全進(jìn)行深入研究。

　　轉(zhuǎn)載請注明來源：賽斯維傳感器網(wǎng)（ywhs9.com）