无线传感网络第八章

1、第第8 8章章 无线传感器网络安全无线传感器网络安全8.1 WSN8.1 WSN安全概述安全概述8.1.1 WSN8.1.1 WSN安全威胁模型安全威胁模型在在WSNWSN中，通常假定攻击者可能知道传感器网络中使用的安中，通常假定攻击者可能知道传感器网络中使用的安全机制，能够危及某个传感器节点的安全，甚至能够捕获某个传全机制，能够危及某个传感器节点的安全，甚至能够捕获某个传感器节点。由于布置具有抗篡改能力的传感器节点成本高，所以感器节点。由于布置具有抗篡改能力的传感器节点成本高，所以认为大多数认为大多数WSNWSN节点没有抗篡改能力。一旦一个节点存在安全威节点没有抗篡改能力。一旦一个节点存在安

2、全威胁，那么攻击者可以窃取这个节点内的密钥。胁，那么攻击者可以窃取这个节点内的密钥。WSNWSN中的中心节点中的中心节点通常认为是可信的。通常认为是可信的。 传感器网络的攻击分成以下几类：传感器网络的攻击分成以下几类： 外部攻击与内部攻击；外部攻击与内部攻击； 被动攻击与主动攻击；被动攻击与主动攻击； 传感器类攻击与微型计算机类攻击；传感器类攻击与微型计算机类攻击；8.1.2 WSN8.1.2 WSN安全面临的障碍安全面临的障碍WSNWSN是一种特殊类型的网络，其约束条件很多是一种特殊类型的网络，其约束条件很多( (相对于传统计相对于传统计算机网络算机网络) )，这些约束条件导致很难将现有的安

3、全技术应用到，这些约束条件导致很难将现有的安全技术应用到WSNWSN中，下面分析中，下面分析WSNWSN的约束条件。的约束条件。 1 1WSNWSN资源极其有限资源极其有限 (1) (1)存储器容量限制存储器容量限制; (2); (2)能量限制能量限制 2 2不可靠通信不可靠通信 (1)(1)不可靠传输不可靠传输 ; ; (2)(2)碰撞碰撞; ; (3)(3)时延时延 3 3WSNWSN网络操作无人照看网络操作无人照看 (1)(1)暴露在物理攻击之下暴露在物理攻击之下;(2);(2)远程管理远程管理;(3);(3)缺乏中心管理点缺乏中心管理点 8.1.3 WS N8.1.3 WS N安全要求

4、安全要求WSNWSN安全服务的目标就是防止信息和网络资源受到攻击和发生异常。安全服务的目标就是防止信息和网络资源受到攻击和发生异常。 1.1.数据机密性数据机密性 2 2数据完整性数据完整性 3 3数据新鲜度数据新鲜度 4 4认证认证 5. 5.可用性可用性 6. 6.自组织自组织 7. 7. 时间同步时间同步 8 8安全定位安全定位 9 9其他安全要求其他安全要求8.1.4 WSN8.1.4 WSN安全解决方案的评估安全解决方案的评估一个一个WSNWSN安全解决方案的性能指标和能力的评估包括如下几方面：安全解决方案的性能指标和能力的评估包括如下几方面：安全；安全；弹性弹性; ;能量效率；能量

5、效率；灵活性灵活性; ;可扩展性；可扩展性；容错能力；容错能力；自愈能力自愈能力; ;保证保证; ;8.2 WSN8.2 WSN中的安全攻击中的安全攻击WSNWSN易受各种攻击，根据易受各种攻击，根据WSNWSN的安全要求，对的安全要求，对WSNWSN的攻击归类如下：的攻击归类如下：对秘密和认证的攻击，标准加密技术能够保护通信信道的秘密对秘密和认证的攻击，标准加密技术能够保护通信信道的秘密和认证，使其免受外部攻击和认证，使其免受外部攻击( (比如偷听、分组重放攻击、分组篡改、分比如偷听、分组重放攻击、分组篡改、分组哄骗组哄骗) )；对网络有效性的攻击，对网络有效性的攻击常常称为拒绝服务对网络有

6、效性的攻击，对网络有效性的攻击常常称为拒绝服务(Denial of Service(Denial of Service，DoS)DoS)攻击，可以针对传感器网络任意协议层进行攻击，可以针对传感器网络任意协议层进行DoSDoS攻击；对服务完整性的秘密攻击：在秘密攻击中，攻击者的目的是攻击；对服务完整性的秘密攻击：在秘密攻击中，攻击者的目的是使传感器网络接收虚假数据，例如攻击者威胁一个传感器节点的安全，使传感器网络接收虚假数据，例如攻击者威胁一个传感器节点的安全，并通过这个节点向网络注入虚假数据。并通过这个节点向网络注入虚假数据。8.3.18.3.1物理层安全攻击物理层安全攻击物理层负责频率选择、

7、载波频率生成、信号检测、调制物理层负责频率选择、载波频率生成、信号检测、调制/ /解调、数据解调、数据加密加密/ /解密。传感器网络是解密。传感器网络是Ad HocAd Hoc大规模网络，主要采用无线通信，无线传大规模网络，主要采用无线通信，无线传输媒介是开放式媒介，因此在输媒介是开放式媒介，因此在WSNWSN中有可能存在人为干扰。中有可能存在人为干扰。 1 1人为干扰人为干扰 对无线通信的一种众所周知的攻击就是采用干扰台干扰网络节点的工对无线通信的一种众所周知的攻击就是采用干扰台干扰网络节点的工作频率。作频率。 抗人为干扰的典型技术就是采用各种扩频通信技术抗人为干扰的典型技术就是采用各种扩频

8、通信技术( (如跳频、码扩如跳频、码扩) )。 码扩是用来对抗人为干扰的另一种技术，通常用于移动网络中。码扩是用来对抗人为干扰的另一种技术，通常用于移动网络中。 2 2物理篡改物理篡改 攻击者也可以从物理上篡改攻击者也可以从物理上篡改WSNWSN节点、询问和危害节点、询问和危害WSNWSN节点，这些是导节点，这些是导致大规模、致大规模、Ad HocAd Hoc、普遍性的、普遍性的WSNWSN不断恶化的安全威胁。不断恶化的安全威胁。8.3.2 链路层安全攻击链路层安全攻击MACMAC层为相邻节点到相邻节点的通信提供信道仲裁，基于载层为相邻节点到相邻节点的通信提供信道仲裁，基于载波侦听的协作性波侦

9、听的协作性MACMAC协议特别易受协议特别易受DoSDoS攻击。攻击。1 1碰撞碰撞 攻击者只需要发送一个字节就可能产生碰撞，从而损坏整个攻击者只需要发送一个字节就可能产生碰撞，从而损坏整个分组。分组。 2 2能量消耗能量消耗 一种解决方法是限制一种解决方法是限制MACMAC准入控制速率，网络不予理睬过多准入控制速率，网络不予理睬过多信道访问请求，不进行能耗甚高的无线发送。信道访问请求，不进行能耗甚高的无线发送。 3 3不公平性不公平性 不公平性是一种较弱形式的不公平性是一种较弱形式的DoSDoS攻击。攻击。 一种对付不公平性攻击的方法是采用短帧结构，因此每个节一种对付不公平性攻击的方法是采用

10、短帧结构，因此每个节点占用信道的时间较短。点占用信道的时间较短。8.3.3 8.3.3 对对WSNWSN网络层网络层( (路由路由) )的攻击的攻击 针对针对WSNWSN进行的网络层攻击分成以下几类：进行的网络层攻击分成以下几类： 1 1对路由信息的哄骗、篡改、重放对路由信息的哄骗、篡改、重放2 2选择性转发选择性转发 3 3污水池攻击污水池攻击 4 4女巫攻击女巫攻击 5 5蠕虫攻击蠕虫攻击 6 6hellohello泛洪攻击泛洪攻击 7 7确认哄骗确认哄骗8.3.4 8.3.4 对传输层的攻击对传输层的攻击 传输层负责管理端到端连接。传输层提供的连接管理服务可以是简单传输层负责管理端到端连

11、接。传输层提供的连接管理服务可以是简单的区域到区域的不可靠任意组播传输，也可以是复杂、高开销的可靠按序的区域到区域的不可靠任意组播传输，也可以是复杂、高开销的可靠按序多目标字节流。多目标字节流。WSNWSN一般采用简单协议，使应答和重传的通信开销最低。一般采用简单协议，使应答和重传的通信开销最低。WSNWSN传输层可能存在两种攻击：泛洪和去同步。传输层可能存在两种攻击：泛洪和去同步。 1 1泛洪泛洪 要求在连接端点维护状态的传输协议易受泛洪攻击，泛洪攻击会引起要求在连接端点维护状态的传输协议易受泛洪攻击，泛洪攻击会引起传感器节点存储容量被耗尽的问题。传感器节点存储容量被耗尽的问题。 2 2去同

12、步去同步 去同步就是指打断一个既存的连接。例如，攻击者反复给一个端主机去同步就是指打断一个既存的连接。例如，攻击者反复给一个端主机发送哄骗消息，使这个主机申请重传丢失分组。发送哄骗消息，使这个主机申请重传丢失分组。8.3 SPINS8.3 SPINS安全解决方案安全解决方案SPINSSPINS采用安全网络加密协议采用安全网络加密协议(Secure Network Encryption (Secure Network Encryption ProtocolsProtocols，SNEP)SNEP)提供数据机密性、数据认证、数据完整性、数据新鲜提供数据机密性、数据认证、数据完整性、数据新鲜度，采用

13、度，采用TESLATESLA提供广播认证。提供广播认证。8.3.1 8.3.1 符号符号使用如下符号描述使用如下符号描述SPINSPIN及其加密操作：及其加密操作：A A、B B表示主体表示主体( (比如通信节点比如通信节点) )；N NA A表示表示A A产生的一个随机数，一个随机数就是一个不可预测的比产生的一个随机数，一个随机数就是一个不可预测的比特串，通常用于实现新鲜度；特串，通常用于实现新鲜度；X XABAB表示表示A A、B B共享的主秘密密钥共享的主秘密密钥( (对称秘密密钥对称秘密密钥) )，主秘密密钥表，主秘密密钥表示符号没有方向性，即示符号没有方向性，即XABXAB= =X

14、XBABA； K KABAB和和K KBABA表示表示A A、B B共享的秘密加密密钥，共享的秘密加密密钥，A A和和B B根据通信方向和根据通信方向和利用主秘密密钥推导秘密加密密钥，即利用主秘密密钥推导秘密加密密钥，即 ， ，其中，其中F F表示伪随机函数表示伪随机函数(Pseudo Random Function(Pseudo Random Function，PRF)PRF)(1)ABABXKF(3)ABBAXKF 和和 表示表示A A、B B共享的秘密消息认证码密钥。共享的秘密消息认证码密钥。A A和和B B根据通信方向和根据通信方向和利用主秘密密钥推导秘密消息认证码密钥：利用主秘密密钥

15、推导秘密消息认证码密钥： ， ，其中，其中F F表示伪随机函数；表示伪随机函数；MMK KABAB表示采用秘密加密密钥表示采用秘密加密密钥K KABAB加密的消息加密的消息M M ； M M表示采用密钥表示采用密钥K KABAB和初始矢量和初始矢量IvIv加密的消息加密的消息M M，IvIv用于加密方用于加密方式式 比如加密分组链比如加密分组链(Cipher Block Chaining(Cipher Block Chaining，CBC)CBC)、输出反馈方式、输出反馈方式(Output Feedback Mode(Output Feedback Mode，OFM)OFM)或者计算方式；或者

16、计算方式； 表示采用密钥表示采用密钥 计算消息计算消息M M的消息认证码。的消息认证码。一个安全信道就是一个提供机密性、数据认证、完整性、新鲜度的信息。一个安全信道就是一个提供机密性、数据认证、完整性、新鲜度的信息。.ABVKIM( ,)ABMAC KMABKABKBAK(2)ABABXKF(4)ABBAXKF8.3.1 8.3.1 符号符号8.3.2 SNEP8.3.2 SNEPSNEPSNEP具有许多独特优点：具有许多独特优点：SNEPSNEP通信开销低，每条消息只增加通信开销低，每条消息只增加8 8 B B；像许多加密协议一样，；像许多加密协议一样，SNEPSNEP采用一个计数器，通过在

17、两个端点采用一个计数器，通过在两个端点维持状态而不需要发送计数器值；维持状态而不需要发送计数器值；SNEPSNEP实现语义安全，这是一个实现语义安全，这是一个很强的安全特性，防止偷听者从加密消息中推导出消息内容；同很强的安全特性，防止偷听者从加密消息中推导出消息内容；同样简单而高效的协议也能提供数据认证、重放保护、弱消息新鲜样简单而高效的协议也能提供数据认证、重放保护、弱消息新鲜度。度。 SNEP SNEP具有如下特点：具有如下特点：语义安全：语义安全：数据认证：数据认证：重放保护：重放保护：弱新鲜度：弱新鲜度：通信开销低：通信开销低： 8.3.3 TESLA8.3.3 TESLATESLTE

18、SLA A协议提供高效广播认证。但是，协议提供高效广播认证。但是，TESLATESLA不是为传感器网不是为传感器网络这种有限计算环境设计的，理由如下：络这种有限计算环境设计的，理由如下： TESLATESLA采用数字签名认证初始分组，对于传感器节点，数采用数字签名认证初始分组，对于传感器节点，数字签名计算开销太高，因为即使将数字签名程序代码安装到存储字签名计算开销太高，因为即使将数字签名程序代码安装到存储器中也是面临的一个挑战；器中也是面临的一个挑战； 标准标准TESLATESLA每个分组约每个分组约24 B24 B开销，对于连接工作站的网络，开销，对于连接工作站的网络，这个开销是无关紧要的，

19、但是传感器节点发送极短消息，大约每这个开销是无关紧要的，但是传感器节点发送极短消息，大约每条消息条消息30 B30 B，暴露每个分组前一个间隔的，暴露每个分组前一个间隔的TESLATESLA密钥完全不可能，密钥完全不可能，由于由于64 bit64 bit密钥以及消息认证码，所以密钥以及消息认证码，所以TESLATESLA有关部分占一个分有关部分占一个分组长度的组长度的5050以上；以上； 单向密钥系列不适合传感器节点的存储器，所以单向密钥系列不适合传感器节点的存储器，所以FESLAFESLA不不适用于无线传感器节点广播数据认证。适用于无线传感器节点广播数据认证。TESLATESLA用于解决用于

20、解决TESLATESLA用于用于WSNWSN中面临的如下问题和不足：中面临的如下问题和不足：TESLATESLA采用数字签名认证初始分组，这种方法对于采用数字签名认证初始分组，这种方法对于WSNWSN节点代价节点代价太高，太高，TESLATESLA只采用对称机制；只采用对称机制； 暴露每个分组的密钥需要太多发送能量和接收能量，暴露每个分组的密钥需要太多发送能量和接收能量， TESLATESLA按按照每个时段暴露一次密钥；照每个时段暴露一次密钥； 在在WSNWSN节点中存储单向密钥系列代价高，节点中存储单向密钥系列代价高， TESLATESLA限制待认证节限制待认证节点的数量。点的数量。8.3.

21、3 TESLA8.3.3 TESLA8.3.4 TESLA8.3.4 TESLA详细描述详细描述 TESLA TESLA包含多个阶段：发送节点建立阶段、待认证分包含多个阶段：发送节点建立阶段、待认证分组发送阶段、新接收节点引导阶段、分组认证阶段。组发送阶段、新接收节点引导阶段、分组认证阶段。 1 1发送节点建立阶段发送节点建立阶段 2 2待认证分组广播阶段待认证分组广播阶段 3 3新接收节点引导阶段新接收节点引导阶段 4 4广播分组认证阶段广播分组认证阶段 5 5节点广播通过认真的分组节点广播通过认真的分组8.3.5 SPINS8.3.5 SPINS实现实现1. 1. 分组密码分组密码2. 2

22、. 加密函数加密函数3. 3. 新鲜度新鲜度4. 4. 随机数的生成随机数的生成5. 5. 消息认证消息认证6. 6. 密钥设置密钥设置 8.3.6 SPINS8.3.6 SPINS性能评估性能评估表表8-18-1给出了在给出了在TinyOSTinyOS中安全程序三种实现的代码长度。中安全程序三种实现的代码长度。 表表8-28-2给出了安全的时间性能。给出了安全的时间性能。按照按照30 B30 B分组计算能耗。表分组计算能耗。表8-48-4给出了给出了SNEPSNEP协议的计算与通协议的计算与通信的能量开销。信的能量开销。8.3.6 SPINS8.3.6 SPINS性能评估性能评估表表8-3给

23、出了安全的时间性能给出了安全的时间性能。表表8-4 给给WSN增加安全协议后的能耗增加安全协议后的能耗操作能耗比发送数据71%发送消息认证码20%发送随机数（为了新鲜度）7%消息认证码和加密计算2%表表8-4 给给WSN增加安全协议后的能耗增加安全协议后的能耗安全管理最核心的问题就是安全密钥的建立过程安全管理最核心的问题就是安全密钥的建立过程(bootstrap)(bootstrap)。传。传统解决密钥协商过程的主要方法有信任服务器分配模型统解决密钥协商过程的主要方法有信任服务器分配模型(center of (center of authenticatinauthenticatin，CA)CA

24、)、白增强模型和密钥预分布模型。、白增强模型和密钥预分布模型。 对随机密钥模型的各个算法从下面几个方面进行评价和比较：对随机密钥模型的各个算法从下面几个方面进行评价和比较： 计算复杂度评价；计算复杂度评价； 引导过程的安全度评价；引导过程的安全度评价； 安全引导成功概率；安全引导成功概率； 节点被俘后，网络的恢复力评价；节点被俘后，网络的恢复力评价； 节点被复制后，或者不合法节点插入到现有网络中，网络对节点被复制后，或者不合法节点插入到现有网络中，网络对异异构节点的抵抗力；构节点的抵抗力； 支持的网络规模评价。支持的网络规模评价。8.4 8.4 安全管理安全管理8.4.1 8.4.1 预共享密

25、钥模型预共享密钥模型预共享密钥是最简单的一种密钥建立过程，预共享密钥是最简单的一种密钥建立过程，SPINSSPINS使用的就使用的就是这种建立过程。预共享密钥有几种主要的模式：是这种建立过程。预共享密钥有几种主要的模式：(1)(1)每对节点之间都共享一个主密钥，以保证每个节点之间通信每对节点之间都共享一个主密钥，以保证每个节点之间通信都可以直接使用这个预共享密钥衍生出来的密钥进行加密。都可以直接使用这个预共享密钥衍生出来的密钥进行加密。 (2)(2)每个普通节点与基站之间共享一对主密钥，参考每个普通节点与基站之间共享一对主密钥，参考SPINSSPINS协议描协议描述。这样每个节点需要存储的密钥

26、空间将非常小，计算和存储的述。这样每个节点需要存储的密钥空间将非常小，计算和存储的压力全部集中在基站上。压力全部集中在基站上。8.4.28.4.2随机密钥预分布模型随机密钥预分布模型1 1基本随机密钥预分布模型基本随机密钥预分布模型随机密钥预分配方案是由随机密钥预分配方案是由EschenauerEschenauer和和GligorGligor最早提出的，最早提出的，它的主要思想是根据经典的随机图理论，控制节点间共享密钥的它的主要思想是根据经典的随机图理论，控制节点间共享密钥的概率性，并在节点被捕获之后，撤销节点的密钥链，以及更新节概率性，并在节点被捕获之后，撤销节点的密钥链，以及更新节点间的共

27、享密钥。随机密钥预分配方案的具体实施过程如下：点间的共享密钥。随机密钥预分配方案的具体实施过程如下：(1)(1)密钥预分配阶段。密钥预分配阶段。 (2)(2)共享密钥发现阶段。共享密钥发现阶段。 (3)(3)密钥路径建立阶段。密钥路径建立阶段。(4)(4)当检测到一个节点被捕获时，为了保证网络中其他未被捕获当检测到一个节点被捕获时，为了保证网络中其他未被捕获节点之间的通信安全，必须删除被捕获节点中密钥链的密钥。节点之间的通信安全，必须删除被捕获节点中密钥链的密钥。2 2q-Compositeq-Composite随机密钥预分配方案随机密钥预分配方案ChanChan等人在等人在Eschenaue

28、rEschenauer和和GligorGligor的方案基础上，提出了的方案基础上，提出了q-q-CompositeComposite随机密钥预分配方案，该方案要求相邻节点间至少有随机密钥预分配方案，该方案要求相邻节点间至少有q q个共享密钥，通过提高个共享密钥，通过提高q q值来提高网络的抗毁性。值来提高网络的抗毁性。q-Compositeq-Composite随随机密钥预分配方案的具体实施过程如下：机密钥预分配方案的具体实施过程如下：(1)(1)密钥预分配阶段。密钥预分配阶段。 (2)(2)共享密钥发现阶段。共享密钥发现阶段。 (3)(3)共享密钥发现完成后。共享密钥发现完成后。8.4.2

29、8.4.2随机密钥预分布模型随机密钥预分布模型8.4.3 8.4.3 基于分簇式的密钥管理基于分簇式的密钥管理1 1低能耗密钥管理方案低能耗密钥管理方案低能耗密钥管理方案，是由低能耗密钥管理方案，是由JollyJolly等人提出的，它假定基站等人提出的，它假定基站有入侵检测机制，可以检测出恶意节点，并能触发删除节点的操有入侵检测机制，可以检测出恶意节点，并能触发删除节点的操作。但是，对传感器节点不做任何信任的假设，簇头之间可以通作。但是，对传感器节点不做任何信任的假设，簇头之间可以通过广播或单播与节点进行通信，该方案具体实施步骤如下。过广播或单播与节点进行通信，该方案具体实施步骤如下。(1)(

30、1)预分配阶段预分配阶段(2)(2)初始化阶段初始化阶段2 2LEAPLEAP密钥管理方案密钥管理方案20032003年年ZhuZhu等人提出的等人提出的LEAP (Localized Encryption and LEAP (Localized Encryption and Authentication Protocol)Authentication Protocol)是一个既能支持网内处理是一个既能支持网内处理(In-network (In-network processing)processing)，又具有较好抗捕获性的密钥管理协议，这种协议支持四，又具有较好抗捕获性的密钥管理协议，这种协议支持四类密钥的生成和管理，提供了较好的低能耗的密钥建立和更新方案，同类密钥的生成和管理，提供了较好的低能耗的密钥建立和更新方案，同时还提供了基于单向密钥链的网内节点认证方案，并在不丢失网内处理时还提供了基于单向密钥链的网内节点认证方案，并在不丢失网内处理功能和被动参与功能和被动参与(Passive participat