网络控制协议与信息安全技术

无线传感器网络是一种全新的信息获取平台，能够实时监测和采集网络分布区域内的各种检测对象的信息，并将这些信息发送到网关节点，以实现复杂的指定范围内目标检测与跟踪，具有快速展开、抗毁性强等特点，有着广阔的应用前景。无线传感器网络介绍无线传感器网络是无线通讯与网络领域的一个重要分支，涉及的研究领域也非常广泛。其中包括MAC协议、路由算法、拓扑控制、定位技术、数据融合和管理、安全、微操作系统、模拟平台等等。另外，由于无线传感器网络节点的资源有限性，实际应用中往往需要其他高级节点配合完成特定的任务。这些衍生出的无线传感器异构网络使得传感器网络的研究领域更为广泛。传感器节点由数据采集单元、数据处理单元、数据传输单元和能量供应单元4部分组成，如图1-1所示。数据采集单元负责监测区域内信息的采集和数据转换，可以是温度、湿度、光强度、加速度和大气压力等传感器;数据处理单元负责控制整个节点的处理操作、路由协议、同步、定位、能量管理、任务管理、数据融合等;数据传输单元负责与其他节点进行无线通信，交换控制消息和收发采集数据;能量供应可由各类微型电池组成，以减少传感器节点的体积。图1-1传感器节点的体系结构无线传感器网络(WirelessSensorNetwork，WSN)通常包括传感器节点和汇聚节点(Sinknode)。汇聚节点也称网关(gateway)，可汇聚附近传感器节点的报告数据，剔出一些错误或异常的数据，并能结合一定时间段内的报告数据，进行数据融合和事件判断。无线传感器网络结构如图1-2所示。传感器节点随机分布于目标区域的各个部分，用于收集数据，并且将数据路由至汇聚节点(Sink)。汇聚节点与用户节点通过广域网络(如internet网络或者卫星网络等)或直接进行通信，从而实现用户对收集到的数据进行处理。无线传感反应网络(wirelesssensorandactuatornetworks)是传感器网络的一种衍生网络，由大量传感器，一定数量的反应器和基站组成，通过无线介质，协作完成分布感应和反应任务。例如：在监控应用中，分布的传感器节点感应到异常情况，汇报给附近的反应器(如摄像头，安全装置)，反应器适时做出正确的自动反应等。可以推断，类似这样的无线传感反应网络将在未来得到更为广泛的实际应用。图1-2多用户模式下的无线传感网络示意图传统的网络相比，无线传感器网络最大的特点就是能量受限。传感器节点受环境的限制，通常由电量有限且不可更换的电池供电，所以在考虑传感器网络体系结构以及各层协议设计时，节能是设计的主要考虑日标之一。另外，由于传感器网络应用环境的特殊性、无线信道不稳定以及能源受限的特点，传感器网络节点受损的概率远大于传统网络节点，因此，自组织网络的健壮性保障是必须的，以保证部分传感器网络的损坏不会影响到全局任务的进行。与传统的网络相比，传感器网络有以下主要特点：l)网络的自组织性：任何时刻，任何地点不需要基础网络设施的支持，能通过传感器节点本身，自组织形成通讯网络；2)拓扑结构经常发生变化：由于传感器节点容易失效、无线信道的相互干扰、节点发送功率的变化、地形对无线信号的影响等综合因素影响，使得传感器网络的拓扑结构相对于传统的internet网络变化更加频繁；3)多跳的通讯路由：由于节点无线收发功率有限，节点与本身信号覆盖范围外的节点通讯时，需要其他中间节点转发。而且，这些中间节点也是传感器节点，不是路由器或接入点AP；4)有限的通讯带宽：无线信道本身的物理特性使得无线网络带宽一般低于传统有线网络，而且传感器节点间通过多跳传输，高密度部署，竞争共享无线信道产生的碰撞更加激烈，暴露和隐藏终端问题更加突出。传感器节点的低成本性也使得传感器网络比较少采用那些较高带宽的无线协议。如常用于传感器网络的Zigbee协议，带宽是20k-250kbps；5)节点资源受限:由于传感器网络通常大规模部署，节点数量成千上万，因此一般传感器节点的成本低廉。引发的结果是节点能量受限，一般是电池提供能量，计算能力和通讯能力都很有限；6)网络的分布式特性：网络中传感器节点的角色可以是终端、服务器或路由器，没有中心控制的节点对各节点网络通讯进行控制，由于网络的自组织性，一定数量的传感器节点出现故障，不影响整个传感器网络的功能；7)安全性问题严重：由于无线传感器网络的特性如无线多跳通信，大规模分布在未保护区域，传感器节点资源受限，节点容易被捕获等，使得传感器网络容易遭受多种类型的攻击。无线传感器网络和移动Adhoc相比，具有以下特点：1)网络中存在大量的传感器节点，并且在大多数情况下传感器节点的位置相对固定，密度较高，网络拓扑变化较为频繁。因此，需要着重考虑网络的可扩展性问题。2)传感器节点经常配置在偏远或者危险的地区，并需要持续工作，容易被破坏和干扰，而传感器节点的寿命是由电池的能量决定，因此，需要考虑节省能源的消耗。3)传感器节点主要使用广播通信模式，而大多数Adhoc网络是基于点对点通信模式的。4)传感器节点的资源，包括电源，计算能力和内存等，比Adhoc网络中的节点更加受限。5)传感器网络的目标是检测相关事件的发生，而不是实现节点间的通讯。因此，节点通常需要协作来进行信息的汇聚和处理。6)由于传感器节点数目多，而且安全性比较差，因此整个网络应该具有容错性，不会导致由于部分节点出现问题，而导致整个网络不可用。无线传感器网络安全介绍保障传感器网络的安全运行是传感器网络得以广泛应用的基础之一。但是，与传统的Internet网络不同，传感器网络本身的特点决定了其安全研究的复杂性和独特性：如传感器节点大规模地分布在未保护或敌对环境中，节点容易被捕获而泄漏敏感信息；昂贵的安全机制不能适用于资源受限的传感器网络；无线多跳通信的特性使得窃听、干扰等攻击更加容易；另外，传感器节点的低成本也使得节点被捕俘后容易泄露密钥，从而导致整个网络的安全受到威胁。无线传感器网络安全的限制因素实现传感器网络安全的限制因素包括两个方面，一是传感器节点本身的限制，包括电池能量的限制，节点CPU，内存，存储容量方面的限制，以及缺乏足够的篡改保护等；另一个方面是无线网络本身的限制，包括通信带宽，延时，数据包的大小等方面的限制。具体的限制总结如下：信道的脆弱性：不需要物理基础网络部件，恶意攻击者可以轻易地进行网络监听和发送伪造的数据报文。节点的脆弱性：传感器节点一般布置在敌对或者无人看管的区域，传感器节点的物理安全没有很多保证，攻击者很容易攻占节点，且节点没有防篡改的安全部件，易于被攻击者利用。弱安全假设：一般情况下，传感器节点很可能被攻击者获取，而且传感器网络的防护机制很弱，可能会泄露存放在节点上的密钥。因此，在传感器网络的安全设计中，需要考虑到这个方面，不同的密钥，安全级别不同，传送不同级别的数据。而且，密钥需要经常更新。无固定结构：从安全角度来看，没有固定的结构使得一些传统的安全技术难以应用。拓扑结构动态变化：网络拓扑的频繁的动态变化，需要比较复杂的路由协议。局限于对称密钥技术：由于节点功能的局限性，只能使用对称密钥技术，而不能采用公钥技术。性能因素：无线传感器网络，在考虑安全的同时，必须考虑一些其它的限制因素，性能是一个重要方面。例如，为了可以进行数据汇聚，可能对数据不进行加密，或者使用组密钥，这两种方法都减弱了安全性。节点的电源能量有限。一种最简单的攻击方法，可能是向网络中发送大量的伪造数据报，耗尽中间路由节点的电源能量，导致网络中大量节点不可用。可用性在传统密钥学中不是非常重要，但在无线传感器网络中，却是安全的重要部分。设计安全协议时候，应该充分考虑能量的消耗情况。安全目标无线传感器网络的安全目标一般可以通过可用性、机密性、完整性、认证和抗抵赖性共五个方面进行评价。可用性是指无线传感器网络在遭受DoS攻击时，网络主要功能还能够正常工作，也就是说攻击不能使网络瘫痪。机密性是保证网络中一些敏感信息不被未授权的实体窃听，除了传感器节点收集到的敏感信息外，路由信息也可能要求被保密。如在军事领域，如果路由信息被窃取，敌方可能找到重要攻目标，发动攻击。完整性是保证信息的完整性不被破坏。由于无线信号原因或攻击者的破坏，可能导致信息报文的不完整。认证是节点间相互建立信任机制的基础。如果没有认证，恶意节点可以冒充正常节点窃听敏感信息，干扰其他节点正常工作或发动其他攻击，如DoS攻击。抗抵赖性是指节点对自己的行为不能抵赖。譬如节点A收到B发出的恶意报文进行报警，此时，节点B不能抵赖己发送恶意报文的事实。总结列表如下：表1无线传感器网络安全目标目标意义主要技术可用性确保网络能够完成基本的任务，即使受到攻击，如DoS攻击冗余、入侵检测、容错、容侵、网络自愈和重构机密性保证机密信息不会暴露给未授权的实体信息加、解密完整性保证信息不会被窜改MAC、散列、签名不可否认性信息源发起者不能够否认自己发送的信息签名，身份认证、访问控制数据新鲜度保证用户在指定时间内得到所需要的信息网络管理、入侵检测、访问控制无线传感器网络安全问题分析无线传感器网络协议栈由物理层、数据链路层、网络层、传输层和应用层组成。物理层主要处理信号的调制，发射和接收。数据链路层主要负责数据流的多路传输，数据帧检测，媒介访问控制和错误控制。网络层主要考虑数据的路由。传输层用于维持给定的数据流。根据不同的应用，应用层上可使用不同的应用软件。在各层协议中，都面临着一些安全问题，具体分析如下：1.物理层中安全的主要问题由无线通信的干扰和节点的沦陷引起。无线通信的干扰所引起的安全问题是：一个攻击者可以用K个节点去干扰并阻塞N个节点的服务（K<<N）。其次，节点沦陷是另一种类型的物理攻击：攻击者取得节点的秘密信息，从而可以代替这个节点进行通信。这部分攻击没有办法使用传统的网络安全方法来解决。2.链路层或者介质访问控制层为邻居节点提供了可靠的通信通道。在介质访问控制协议中，节点通过监测邻居节点是否发送数据来确定自身是否能访问通信信道，这种载波监听的方式特别容易遭到拒绝服务攻击（DoS）。在某些介质访问控制协议中使用载波监听的方法来与相邻节点协调使用信道，当发生信道冲突时，节点使用二进制指数倒退算法来确定重新发送数据的时机。攻击者只需要产生一个字节的冲突就可以破坏整个数据包的发送。因为只要部分数据的冲突就会导致接收者对数据包的校验和不匹配，从而接收者会发送数据冲突的应答控制信息，使发送节点根据二进制指数倒退算法重新选择发送时机。这样通过有计划的反复冲突，可以使节点不断倒退，从而导致其信道阻塞。而且相对于节点载波监听的开销，攻击者所消耗的能量非常的小，而能量有限的接收节点却会被这种攻击很快耗尽能量。某些介质访问控制协议采用时分多路复用算法为每个节点分配了传输时间片，这样就不需要在传输每一帧之前进行协商了。这个方法避免了倒退算法中由于冲突而导致信道阻塞的问题，但它也容易受到DoS攻击。一个恶意节点会利用介质访问控制协议的交互特性来实施攻击。例如，基于IEEE802.11的介质访问控制协议用RTS（RequestToSend）、CTS(ConfirmToSend)和Data/ACK消息来预定信道和传输数据。恶意节点不断地用RTS消息来申请信道，并促使目标节点发送CTS消息来响应其申请。这种持续不断的请求最终会导致目标节点耗尽能量。不过可以通过对MAC的准入控制进行限速，网络自动忽略过多的请求，从而不必对于每个请求都应答，节省了通信的开销。但是由于时分多路复用算法依赖于节点间的时间同步，攻击者依然可以通过攻击时间同步服务来干扰时分多路复用协议。3.网络层路由协议为整个无线传感器网络提供了关键的路由服务，针对路由的攻击可能导致整个网络的瘫痪。安全的路由算法直接影响了无线传感器网络的安全性和可用性，因此是整个无线传感器网络安全研究的重点。目前，已经有提出了许多安全路由协议，这些方案一般采用链路层加密和认证、多路径路由、身份认证、双向连接认证和认证广播等机制来有效地抵御外部伪造的路由信息、Sybil攻击和HELLOflood攻击。通常这些方法可以直接应用到现有的路由协议，从而提高路由协议的安全性，但是Sinkhole攻击和Wormholes攻击却很难找到有效的抵御方法。现有的基于地理位置的路由协议，可以通过定期广播探测帧来检测黑洞区域，以此有效地发现和抵御Sinkhole和Wormholes攻击。然而，基于地理位置的路由协议需要节点位置定位协议来帮助传感器节点确定自身位置从而实现路由协议，攻击者也可以通过攻击节点位置确认协议来攻击这类基于地理位置的路由协议。4.传输层主要负责无线传感器网络与Internet或外部网络端到端的连接。由于无线传感器网络节点的限制，节点无法保存维持端到端连接的大量信息，而且节点发送应答消息会消耗大量能量，因此，目前还没有关于传感器节点上的传输层协议的研究。5.在应用层存在很多的服务，这部分服务，如数据聚集，任务分发，目标跟踪等，都需要安全机制。其中数据聚集服务是无线传感器网络的主要特性之一，由于数据聚集的特性使数据加密不易实现，给无线传感器网络安全的设计带来了极大的挑战，也是无线传感器网络安全研究的热点之一。另外由于所有安全机制都需要建立在密钥的基础上，因此，应用层的安全研究另一个热点是为整个无线传感器网络安全提供支持的基础设施的研究，也就是密钥管理的研究上。由于传感器网络的诸多限制，使得传统的密钥管理方法不能适用于传感器网络中，因此传感器网络密钥管理是应用层的另一个研究热点。在无线传感器网络中除了各层协议以外，还有一些关键的基础协议用于协助各层协议完成其各自的功能，如时间同步协议，节点定位协议。安全准确的时间同步是许多无线传感器网络协议和应用正常运行的基础，如MAC层的TDMA访问控制协议要根据同步的时钟来进行信道的访问控制；在定位协议中，节点需要通过计算消息传播的时间来计算自身位置；数据聚集协议也需要时间同步来聚集有效的数据；机动车测速的应用中，除了要定位车辆的位置，也需要得到同步的时间来计算车速；对于一些环境监测的应用，还需要与外部全局时间同步，以得知检测到的事件发生的时间。节点定位协议帮助节点确定自身地理位置。在大多数实际应用中，用户都需要传感器检测到的事件的发生地点，另外网络层的某些路由协议也需要根据节点的位置来选择路由路径。因此，这些协议的正确运行需要节点定位的安全准确。但是以往这些协议的安全性没有受到足够的重视，因此，这些协议通常没有把安全作为设计的目标之一。而这些协议一旦受到攻击，很容易使整个传感器网络瘫痪，因此，这些关键基础协议的安全性也是整个传感器网络安全研究的重点。无线传感器网络中的攻击和防御手段列表如下：表2无线传感器网络中的攻击和防御手段网络层次攻击手段防御方法物理层拥塞攻击调频、消息优先级、低占空比、区域映射、模式转换链路层物理破坏破坏证明、伪装和隐藏碰撞攻击纠错码耗尽攻击设置竞争门限非公平竞争短帧和非优先级策略网络层丢弃和贪婪破坏冗余路径、探测机制汇聚节点攻击加密和逐跳认证机制方向误导攻击出口过滤、认证监视机制黑洞攻击认证、监视、冗余机制传输层泛洪攻击客户端谜题失步攻击认证1.2无线传感器网络安全问题分析和部分对策1.2.1安全时间同步在传统的集中式系统中，时间同步并不是一个问题；然而在分布式系统中，特别是无线传感器网络中，时间同步是一个关键的基础服务。准确并且同步的时钟对于许多无线传感器协议及应用都是非常关键的，例如：MAC层的TDMA访问控制协议要根据同步的时钟来进行信道的访问控制；在定位协议中，节点需要通过计算消息传播的时间来计算自身位置；数据聚集协议也需要时间同步来聚集有效时间段内的数据；机动车测速的应用中，除了要定位车辆的位置，也需要得到同步的时间来计算车速；对于一些环境监测的应用，还需要与外部全局时间同步，以得知检测到的事件发生的时间。虽然近年来许多针对无线传感器网络的时间同步协议得到了广泛的研究，如RBS，TPSN等这些时间同步协议可以适用于各种不同的无线传感器网络。然而这些时间同步协议通常没有考虑安全问题。正如我们所知，无线传感器网络通常工作在危险或者敌对的环境中，对安全有较高的要求，如军事应用中。并且，时间同步协议是许多无线传感器网络服务的基础，因此只要破坏时间同步协议就能对整个无线传感器网络发起毁灭性的打击。由于以往的无线传感器网络时间同步协议并没有考虑安全问题，因此攻击者可以轻易的发起各种针对时间同步协议的攻击。为此，SaurabhGaneriwal等人提出了一种安全时间同步方案[1]。该方案中，每条时间同步报文都附加上消息验证码，用以防止修改或伪造同步报文的外部攻击。针对内部攻击，该方案采用三角一致性的方法（TriangleConsistency）来检测是否有内部攻击。三角一致性方法就是指当3个节点[i，j，k]已经获得两两之间的时间偏移，可以假设这3个节点形成一个三角形，其中每条边的权重是两个节点间的时间偏移。这样从任意一个节点出发遍历这个三角形后返回该节点，比如[i→j,j→k,k→i]，在正常情况下其累计的权重和应该是0。因此节点可以构造这样的三角形来检测是否发生攻击，一旦攻击发生，则需要重新进行时间同步。虽然[1]可以有效地抵御外部攻击，并检测出内部攻击协议[2]的基本思想是为每一个节点提供冗余的路径将自己本地时间与全局时间进行同步。当节点要同步本地时钟时，它需要通过与周围至少2t+1个邻居节点进行同步，并取这2t+1个时间偏移的中间值作为自己与全局时间的时间偏移，并以此来修正本地时钟。这种方法可以防止少量恶意节点发布错误的同步信息所导致的时间同步错误，并且可以避免[1]所遇到的DOS攻击。1.2.2安全的路由协议虽然在过去几年，无线传感器网络路由协议已经得到了广泛的研究，几种路由协议基本可以适用于各种无线传感器网络的应用环境中。但是，以往这些路由协议并没有考虑安全问题，因此一旦受到攻击，这些协议往往不能正常工作。理想情况下，路由协议的安全目标是确保数据的完整性，可鉴别和可认证，以及可用性。接收者只接收发送者想要发送给它的信息，并且能够验证消息的完整性以及发送者的身份。而在实际应用中，防止偷听并不是安全路由的目标。路由协议的安全目标通常不包括数据的保密性，这一点应该由其他层的协议来确保。Buttyan和Hubaux提出利用虚拟货币“nuglets”来解决Adhoc网络中恶意节点对路由不合作的攻击[3]。在该方案中，每个数据报文在发送源节点预先加载一定数量的nuglets，中间的转发节点采用类似Pay-It-Forward的方式帮助转发报文，并获得相应的nuglets。在该系统中，每个节点需要安装一个不可篡改的安全模块，用来为每个相邻节点之间建立安全联系，并确保每个节点不会滥用nuglets。另一个基于信用和支付的系统，是由zhong等人提出的Sprite系统[4]。该系统利用信用的机制来解决Adhoc网络路由中自私节点丢弃和不转发报文的问题。该系统建立在已有的路由协议基础上，主要用来确保报文能够安全的被每一个中间节点转发。为了解决信任交换和评估问题，Sprite系统引入了一个在线的信任评估中心服务器（CSS）。当每个节点接收到其它节点发来的报文后，保留一个接收收据，并将该收据发送给在线的信任评估中心（CSS），CSS通过该收据对该报文路由路径上的节点的信任度进行评估，并决定对这些节点的收费额度和授予信任的额度。报文收据是利用博弈论的思想，使路由路径上的节点都真实地反映自己转发该报文所付出的代价并记录在该收据中。1.2.3安全数据聚集在无线传感器网络中，大量传感器节点可能会采集到众多的数据，然而由于受到传感器自身能力的限制，需要一种高效节能的方式来处理这些海量的数据。数据聚集技术就是在这种情况下应运而生的。所谓数据聚集，就是指在数据在从节点传输到基站的过程中，某些节点作为聚集点(aggregator)在本地对数据进行初步的处理，如删除冗余数据。这样可以有效的减少需要进行传输的数据，从而节省能量开销，延长整个网络的运行寿命。虽然数据聚集可以有效地减少无线传感器网络的通讯负载，但是对于那些安全性敏感的应用，数据聚集使安全难以实现。数据聚集是无线传感器网络与传统的网络的显著差别之处，因此传统网络的安全机制不能直接应用到无线传感器网络。比如在传统的网络中，安全路由算法只需要保证路由的畅通，信息可以传输，路由节点不需要也不被鼓励去访问报文的内容。因此信息的保密性，完整性和认证很容易由端到端安全机制如SSH（SecureShell），SSL（SecureSocketLayer）来保证。而在有数据聚集的网络中，由于中间节点需要访问并处理报文的内容，因此，端到端的安全很难实现。B．Pryzdatek等最先提出了一个新型的安全信息聚集的方案[5]。他们使用高效的抽样和交互的证明来保证数据聚集节点给出的结果是一个真实值的近似。但是，这个方案只给出了部分数据聚集的函数，比如计算中间值，最大/最小问题，以及挑选一些特殊元素和计算平均值等。而其它数据聚集函数则没有给出方案。这种方案的另一个问题是，对于每种数据聚集计算，都需要一个复杂的算法来保证它的安全性，这样计算的代价太大，而且该方案没有考虑数据的保密性。Mahimkar给出了SecureDAV方案[6]，这个方案通过两个协议来解决这个问题。首先，该方案选择了椭圆曲线公钥体制来进行加解密，并认为这种密钥体制的短的密钥机制具有快速的计算和较低的处理能力要求，可以适应于无线传感器网络。并且对同一个聚类的节点进行密钥分享。然后这篇文献在此基础上给出了数据安全聚集和认证的协议。其做法是，对于每个节点都用自己分享的秘密对自己的数据进行加密，因此只有在多个节点都被攻陷的情况下，数据才能被篡改，不然都会被检查出来。但是，这种方案问题在于，文献只给出了一个计算平均值的聚集函数，针对其它数据聚集函数的协议没有涉及。其次，这种方案会有很高的计算耗费，椭圆曲线公钥体制在无线传感器网络中的应用可能还需要实际测试结果。Hu和Evans[7]提出的安全数据聚集方案利用了两个主要的思想来实现安全数据聚集，一是延迟的数据聚集，二是延迟的认证。每一个报文被不加修改地转发到下一个节点，并且在第二个节点进行数据聚集。但是该方案也存在不少问题，首先该方案中如果在聚集路径上的父子两个节点都被攻占，那么这两个节点可以合作进行欺骗而不被发现，其次该方案没有考虑数据的保密性，另外每次数据验证需要基站广播各个节点的密钥，其通信耗费大。CamH.等人给出了一个安全的基于模板的数据聚集协议[8]。数据聚集节点首先要求传感器节点根据模板发送相应的代码给它。如果多个传感器节点都发送同样的代码给数据聚集节点，那么说明这些数据是重复的，因此只有其中一个被允许发送，并且以加密形式传输给上级节点；这样来完成数据聚集。同时，因为数据聚集节点并不知道也不能篡改传输的值，所以，数据聚集是安全的。参考文献[1]S.Ganeriwal,S.Capkun,C.Han,andM.B.Srivastava,”Securetimesynchroniza-tionserviceforsensornetworks,”inProc.ACMWorkshoponWirelessSecurity,Sep.2021,pp.97C106.[2]KunSun,PengNing,andClickWang,”SecureandResilientClockSynchroniza-tioninWirelessSensorNetworks”,IEEEJOURNALONSELECTEDAREASINCOMMUNICATIONS,VOL.24,NO.2,FEBRUARY2021S.ColeriandP.[3]ButtyanL,HubauxJP,”Stimulatingcooperationinself-organizingmobileadhocnetworks”ACM/KluwerMobileNetworksandApplications,2021,8(5):579-592.[4]ZhongS,ChenJ,YangYR.,”Sprite:Asimple,cheatproof,credit-basedsystemformobilead-hocnetworks,”ProceedingsofIEEEINFOCOM,2021,3:1987-2021.[5]PrzydatekB.，SongD.andPerrigA.,”SIA:SecureInformationAggregationinSensorNet-works”,Proc.1stACMInt.Conf.EmbeddedNetworkedSensorSystems(ACMSenSys2021)，2021，pp.255-265.[6]mahimkarAjay,”RappaportS.Theodore，SecureDAV:ASecureDataAggregationandVeri-ficationProtocolforSensorNetworks,”IeeeGloalTelecommunicationsconference，Nov.-Dec.2021，Pp.2175-2179[7]HuL.andEvansD.,”Secureaggregationforwirelessnetworks,”WorkshoponSecurityandAssur-anceinAdHocNetworks，January2021[8]CamH.，OzdemirS.，NairP.，MuthuavinashiappanD.,”ESPDA:Energy-efficientandSecurepattern-basedAggregationforWirelessSensornetworks,”ProceedingofIEEEonsensors，Oct.2021，81volume2，pp.732-736

钻井工程承包合同甲方：＿＿＿＿＿＿＿

乙方：＿＿＿＿＿＿＿

双方经充分协商，达成如下协议：

第一条总则

第一、井位

１．钻井施工地点：＿＿＿＿省＿＿＿＿市＿＿＿＿县＿＿＿＿乡

２．地形图

３．井位设计图

４．地层构造图

第二、国家、部、局对钻进工程施工的批准投资计划、工程项目，设计任务书等文件号及影印件。

第三、井别：

第四、钻井口数：

第五、井深结构：

第六、质量：

１．井身质量合格率

２．固井质量合格率

第七、价格

１．调整井单价＿＿＿元／米，合计金额＿＿＿＿＿万元

２．开发井单价＿＿＿元／米，合计金额＿＿＿＿＿万元

第二条工程期限本合同钻井工程自＿＿＿＿年＿＿月＿＿日开钻至＿＿＿＿年＿＿月＿＿日全部钻完。在组织钻井工程施工中，如遇下列情况，得顺延工期，双方应及时进行协商，并通过书面形式确定顺延期限；第一、因天灾或人力不能抗拒的原因被迫停工者；第二、因甲方提出变更计划或更变施工图而不能继续施工者；第三、因甲方不能按期提供技术文件、技术图纸和钻井施工条件，被迫停工或不能继续施工者。第三条钻前准备第一、甲方在开钻前应办妥征地拆迁和井场道路的垫方；清除施工场地及进出道路范围内影响施工的原有建筑物、构筑物、管线、树木、青苗等阻碍物。解决施工用的水、电和钻机安装搬运的道路。第二、甲方按时向乙方交付井位设计、完钻井深、层位和完井要求，负责钻井区块的断层分布图；断层数据；小层平面图；构造图和邻井图压力资料数据，并向乙方进行地质和工程技术要求交底。第三、乙方在开钻前应组织有关技术人员学习和熟悉各种设计图纸，参加地质设计交底，编好施工图预算，负责安排钻机运行计划，施工方案，做好一切施工准备。第四条工程款结算第一、按不同的机型、井别、井深、另加风险金，确定承包费用。对承包范围以外的费用，按规定结算。第二、本合同自签订生效之日起，甲方应在＿＿＿＿日内按工程费用总额＿＿＿＿元的百分之＿＿＿＿一次拨给乙方，作为乙方备料及施工费。第五条施工与设计变更第一、乙方在组织施工中，必须为油田开发着想，严格按照部、局颁发的施工验收规范和质量检验标准，以及设计要求组织施工。第二、在钻井施工中，乙方必须坚持按技术要求施工，甲方派员监督。任何一方不得随意变更设计，如遇下列情况造成乙方井喷、卡钻等事故和费用增加，应由甲方负担；１．钻井施工设计有错误或甲方提供的技术资料与实际不符造成的事故由甲方负责。如乙方