第5章 无线传感网.pptVIP

TinyOS基于组件的程序模型 * 本章到此结束 欢迎使用 《物联网技术》教材 电子工业出版社 刘化君 刘传清 编著 2.传感网的安全要求与目标 传感网安全服务的目标就是防止信息和网络资源受到攻击和发生异常。传感网要具备数据机密性、完整性、认证性、数据新鲜度、自组织和可用性等。 （1）数据机密性:数据机密性是网络安全中最重要的内容。每个网络的任何安全重点通常首先就是解决数据机密性问题。在传感网中，一个传感网不应该将其传感器感知数据泄露给邻近网络，特别是在军事应用中，传感器节点存储的数据可能高度敏感。在很多传感网应用中（如密钥分发），节点发送高度敏感数据，因此在传感网中建立安全信道尤其重要。公用传感器信息（如传感器节点身份识别码ID、公共密钥等）也应该被加密，在一定程度上防止流量分析攻击。 （2）数据完整性:实现数据机密性后，攻击者不能窃取信息，但是并不意味着数据就是安全的。攻击者能够修改数据，使传感网进入混乱状态。例如，恶意节点可以在分组中添加一些数据分片或者篡改分组中的数据，然后将改变后的分组发送给原始接收节点。即使不存在恶意节点，但由于通信环境条件恶劣，所以仍然会发生数据丢失或者数据受损。因此在通信中，数据完整性确保接收节点所接收数据在传输途中不会被攻击者篡改。SPIN采用数据认证来实现数据完整性。 （3）认证 消息认证对很多传感网应用（例如网络重新编程、控制传感器节点占空因数之类的管理任务）都非常重要。攻击者并不局限于修改数据分组，还能够通过注入额外分组而改变整个分组流，所以接收节点必须确保决策过程中使用的数据来自正确的可信任源节点。接收节点通过数据认证验证数据确实是所要求的发送节点发送的。 对于点对点通信，可以采用完全对称机制实现数据认证。发送节点和接收节点共享一个秘密密钥，秘密密钥用于计算所有通信数据的消息认证码(Message Authentication Code，MAC)。接收节点接收到一条具有正确消息认证码的消息时，就知道这条消息必定是与其通信的那个合法发送节点发送的。 在广播环境中不能对网络节点做出较高的信任假设，因此这种认证技术不适用于广播环境。假如一个发送节点需要给互不信任的接收节点发送消息，那么使用一个对称消息认证码是不安全的：其中任何一个不信任接收节点只要知道这个对称消息认证码，就可以扮演成这个发送节点，伪造发送给其它接收节点的消息。因此，需要非对称机制来实现广播认证。 （4）数据新鲜度 即使能够保证数据机密性和数据完整性，但是仍然必须确保每条消息的新鲜度。数据新鲜度意味着数据是最近的，确保不是攻击者重放的旧消息。当采用共享密钥策略时，这个要求尤其重要，通常共享密钥必须随时改变。但是，将新的共享密钥传播给整个网络需要一定时间。此时，攻击者很容易进行重放攻击。假如传感器节点意识不到随时改变新密钥，那么很容易破坏传感器节点的正常工作。为了解决这个问题，可以在分组中添加一个随机数或者跟时间有关的计数器，确保数据新鲜度。 SPIN识别两种类型的新鲜度：弱新鲜度一提供局部消息排序，但是不承载时延信息；强新鲜度一提供全部请求一响应对的排序，允许时延估计。弱新鲜度用于传感器感知数据，强新鲜度用于网内时间同步。 （5）自组织 传感网一般是Ad Hoc网络，要求每个传感器节点具有足够的独立性和灵活性，能够按照不同情况进行自组织、自愈。网络中不存在固定基础设施用于网络管理。这个固定特征给传感网安全带来一个极大的挑战。例如，整个网络的动态性导致无法预先配置中心节点与所有传感器节点共享的密钥。于是提出了若干种随机密钥预分配方案。若在传感网中采用公共密钥加密技术，则必须具有公共密钥高效分发机制。分布式传感网必须能够自组织，支持多跳路由和密钥管理，建立传感器节点之间的信任。假如，传感网自组织能力不足或者缺乏自组织能力，那么攻击者甚至危险环境造成的网络受损都可能是毁灭性的。 （6）可用性 调整、修改传统加密算法而使其适用于传感网不方便，而且会引入额外开销，或者修改代码，使其尽可能重复使用，或者采用额外通信实现相同目标，或者强行限制数据访问，这些方法都会弱化传感器和传感网的可用性。 假如使用中心控制方案，那么会发生单点失效问题，由此极大地威胁网络可用性。可用性安全要求不仅影响网络操作，而且对于维护整个网络的可用性非常重要。 5.7.3 传感网安全攻击与防御 对于传感网，它所面临的安全问题主要包括3个方面： 一是来自于无线体系过程中的信号干扰，攻击者可以采取频率干扰的方法破坏传感器接收信号，破坏传感器节点与汇聚节点之间的联系； 二是来自无线自组织网络本身的脆弱性，如无线自组织网络拓扑结构的快速变化； 三是来自与传感器本身，如单个传感器能源和处理能力有限，引起地能源攻击和剥夺睡眠攻击等。下面按照传感网协议层次结构