无线传感器网络安全问题分析与研究
2016-03-29王雪丽
王雪丽
(宿州学院 信息工程学院,安徽 宿州 234000)
无线传感器网络安全问题分析与研究
王雪丽
(宿州学院 信息工程学院,安徽 宿州 234000)
在目前无线传感器的应用中,较为突出的问题即为网络安全问题,因而针对无线传感器的安全问题的研究也不断深入.基于此,本文对无线传感器网络的安全需求与解决的问题进行了细致的研究,同时分析了当前其面临的主要网络攻击和威胁,通过对各种问题和攻击的研究分析,提出了无线传感器网络的相关安全防护策略.
无线传感器;网络安全;攻击;安全防护
无线传感器作为一种新型的信息捕获和分析技术,也是一种综合了当今主流网络与数据处理技术而生成的一种自组织性新技术,由一系列传感节点连接而成传感器网络,在当今大数据时代得到了广泛应用,具有网络成本低、性能高等优点,同时具有传感器、数据计算、数据处理、信息传输的特点.随着传感器网络研究和实用化不断深入,其安全缺陷也成为亟需处理的首要问题.
1 无线传感器网络的安全需求与解决的问题
1.1 机密性
机密性即要保证传感器在感知监测后得到的信息在储存以及传送过程中数据的安全性,进而确保信息不被泄露或被恶意获取.信息的采集处理传送都是通过网络内的节点间相互配合完成的,故要保证采集储存信息的节点不向未授权认证的节点释放信息,即使有恶意节点干扰仍能正常输送,不受外界环境影响,禁止非认证节点访问信息,以保证机密性.
1.2 真实性
真实性即是要保证数据来源的可靠性,可靠性则必须通过身份认证监测系统来得以保证,在传送过程中,要确保数据来源于经认证的节点,假设敌方在网络系统中设置了恶意干扰节点发送数据,还要及时通过身份认证系统判断发送信息的节点是否是正确的节点,以及保证获取到的信息是正确真实的.
1.3 完整性
完整性是指信息传达的全面性,节点间数据的传送要保证一定的抗干扰能力,确保信息未经未认证的节点恶意非法改动或替换.在无线传感器网络通信过程中,要确保数据的可靠性,且在传输过程中没有被恶意篡改或替换,可阻断中间恶意篡改行为.
1.4 新鲜性
一方面数据是最新生成的,另一方面节点间的匹配信息也是最新生成的.
1.5 扩展性
体现在能及时感知并适应外界波动,自行调节传感器的分配、监测环境的处理、准确度的适应性调节等方面.
1.6 可用性
可用性是指在恶劣条件下网络服务仍可为客户提供服务.由于网络环境的多变性,当遇到非法恶意攻击时,数据的传送处理仍能精准进行,阻断恶意攻击带来的拒绝服务.
1.7 鲁棒性
鲁棒性是指无线传感器网络及时适应各种意外,针对各种突发状况及时采取有效的对策,灵活拓展,保证自身安全运转,提供安全服务.
2 无线传感器网络面临的攻击威胁
2.1 虚假路由信息
虚假路由信息攻击是基于传感器网络的无线通信特性而发起的,攻击者针对节点间的路由信息的交换为破解点,通过对路由信息的重放或吸引,达到改变路由路径、传播虚假信息以及增加端间时延的目的.
2.2 选择转发
网络中的被捕获节点在接收到数据包后,会故意拒绝转发信息甚至丢弃信息,阻止这些信息的继续传播,进而导致系统接受的数据包不能及时传递.
2.3 虫洞攻击
虫洞(Wormholes)攻击又可称为隧道(Tunnel-ing)攻击,一般是通过2个恶意节点的配合产生,汇节点负责汇总节点信息,故1个恶意节点在它临近,与另一个性质相同的节点形成低时延通路,这就阻断了汇节点的其他链路,吸引信息流量,导致所有节点信息都通过这条恶意通道发送给恶意节点.另外,虫洞攻击常与其他攻击方式组合增加隐秘性.
2.4 女巫攻击
女巫攻击指的是为单一节点的复杂多变性,主要针对地理路由协议展开,且女巫攻击常与其他攻击捆绑应用,通过一个节点伪造多个身份,从而破坏网络的安全性.
2.5 槽洞攻击
槽洞(Sinkhole)攻击指的是在网格中形成妥协节点,凭借其效能高、能量足、准确可靠的特点吸引周围节点的信息.通过它把周围的流量汇总于自身,形成巨大的槽洞.槽洞攻击也一般与其他的攻击方式一起使用,利用汇集信息流量的功能攻击所有目的地为汇节点的通路.目前防止槽洞攻击的对策,一般是通过对网络路由协议进一步严密组构.
2.6 告知收到欺骗
告知收到欺骗即充分利用无线网络的便捷特性,在通信过程中造成传输通道或者节点的识别迷惑,由此产生虚假判断,进而影响无线传感器网络安全.
2.7 Hello flood攻击
针对传感器网络的新型攻击方式,在通信过程中,相邻节点之间的识别根据大部分协议要求要输送Hello信息来确定,这个数据包也就成为相邻节点间的识别的依据.恶意节点根据这一特性,伪造发送Hello包,利用其自身高功率、广范围来使得周围节点确信其在正常通信范围内.这样,信息节点就与恶意节点间形成链道,以此发送数据.目前,相对有效的处理办法是加强身份认证布置的可靠性.
3 无线传感器网络安全防护策略
目前对无线传感器网络安全防护策略的研究主要聚焦入侵检测技术、密钥管理技术、安全路由技术、身份认证技术等,笔者在下文针对每项技术进行分别介绍:
3.1 入侵检测技术
无线传感器网络利用入侵检测技术收集、分析、处理一些正在发生的攻击行为,是为确保网络安全进行匹配的一项实时监测技术,它可以实时收集并传送网络中未经身份认证或没有授权的现象.具体来说,入侵检测技术可分为3个环节,即数据搜集、数据分析和结果应对.
(1)数据搜集:检测系统、网络、用户的操作及相关行为,及时发现异常并告警;
(2)数据分析:搜集到的信息和数据被送到检测引擎检测后,运用多种分析技术对其进行严谨分析,例如统计学、配对原理等;
(3)结果处理:根据告警发生预置的响应而选择对策处理.
当前,入侵检测研究成果比较欠缺,所得出的理论成果较少.但是基于入侵行为而衍生的检测算法的研究成果显著,如Edith Ngai所发表的一种针对WSN的入侵检测技术模型;Su等研究者提出的一种低能耗可抵御外部攻击的入侵检测技术方案;Onat和Miri等人设计出的一种检测无线传感器网络中耗能型攻击的入侵检测技术系统;Da-Silva等人提出的一种无线传感器网络混杂模式下检测攻击的模型等.
3.2 密钥管理技术
密钥管理在当前是一个十分有研究意义的课题,其为数据加密中的关键之处,可应用于整个密钥从产生一直到结束的周期,比如网络系统的初始定义、密钥产生、保存、应用、遗失、终止应用等环节,是全部加密系统中相对比较易被攻击的一部分.可以说,网络系统中一旦密钥被泄露,将造成信息内容的泄漏,导致不可挽回的后果.
从目前来看,无线传感器网络的密钥问题解决的研究主要是针对密钥预配置和密钥更新等问题.如Esehesnauer和Gliagor等人提出了一项基于分布式传感器系统的密钥问题解决提议;Chan等学者提议了一项传感器系统中的不连续预分密钥提议;Jolly等学者提议了一项能耗低的密钥解决方案等.
3.3 安全路由技术
安全路由技术指的是在IPSec VPN隧道上运用非静态选择路由协议,其结合了路由、VPN、防火墙等相关技术衍生而来.要想实现安全路由技术,关键在于建立一种特定的SA(Security Association),该技术既允许动态路由协议包通过,也同样允许两端所有用户的数据通过.若要建立这种SA,需要对IKE的信令进行改进,实现采用传输模式的信令来建立隧道模式的SA.
另外,安全路由协议的研究通常从以下两个方面来考虑:一方面是利用身份认证技术、信息源认证应用于路由协议、信任解决方案等机制来确保数据传送的安全;另一方面是针对传感器节点杂乱性,采用多组通道来保障路由的可靠.
安全路由协议的提出,在一定程度上可减小了传感器节点在路由安全上的脆弱性,但是并不能从根本上发现和解决所面临的安全攻击.
3.4 身份认证技术
由于现代网络的开放性比较强,且凸显其脆弱性特点,因此使网络环境中较易被恶意入侵.而开发出身份认证技术,可用来验证节点的正确性,担任系统安全的首条防护线.总之,身份认证技术在当前网络环境中有着不可估量的用处.
目前针对这一技术的主要研究方法是基于节点协同的认证算法、对称密钥算法、单向密钥链的认证方案等.当前,国内外的无线传感器系统安全防御体系大多要求基站或传感器节点来承担全部的防御任务,这就对节点的能力提出了更高的要求,如可以充分利用传感器节点互相协作的特性,把防御任务分派给多个节点,由多个节点协作进行分布式防御.
3.5 应用相关的特殊安全技术
有一部分特殊的安全需求是基于某类应用程序所提出的,靠普通的安全技术根本无法解决这类问题,所以针对这部分特殊的安全需求,需要做特殊对待.当下这一类具有代表性的特殊问题典型案例是熊猫保护问题中所涉及到的特殊安全技术(由Ozturk等人所提出).安全技术应用于熊猫保护问题中,本质上就是如何保护源节点位置的隐秘性,将无线传感器网络应用于熊猫保护问题,偷猎者可以对无线信号进行数据分析,后追踪到其他各节点,进而不断确定节点位置,实施对熊猫位置的追踪.基于这个问题,研究者分析了该问题的路由协议,后根据具体问题提出了该协议下的防护对策,最后提出整体的解决方案.
4 结语
无线传感器网络是一项新型数据捕获和分析技术,当前被应用于不同生产环境中.本文在对无线传感器网络安全问题分析的基础上,提出了针对各种攻击威胁的防范对策,但由于网络环境的开放性较强和复杂多变性特点,针对无线传感器网络的安全研究目前仍是一个比较薄弱的环节,相信随着研究的深入,未来将会有更加完备的安全机制提出.
〔1〕周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.
〔2〕李文锋.无线传感器网络与移动机器人控制[M].北京:科学出版社,2009.1-20.
〔3〕陈昆龙,刘漳辉,郭文忠.三维无线传感器网络中一种容错低干扰的拓扑控制算法 [J].小型微型计算机系统,2014 (12).
TP393
A
1673-260X(2016)11-0027-02
2016-08-11