郑晓东 王健

在如今“地球村”的世界里，无线传感器网络因其价格实惠、扩展方便与部署灵活的优点，已渗入到各个领域。无线传感器网络方便人类生活的同时，因其工作在高度开放与合作的环境中，加上本身节点链接的脆弱性、缺失身份认证、缺乏管理点和缺乏集中监控、拓扑结构动态化的特性，使其存在诸多安全威胁。尤其是针对路由层的攻击，稍出差错，就有可能致使整个无线传感器网络瘫痪。路由的安全关系到整个无线传感器网络的运行，掌控路由技术尤为关键。

一、无线传感器网络安全问题概述

无线传感器网络的节点设备都是暴露的，得不到物理安全保护，加上是无线传输的通信方式，极大增加了网络的安全问题。此外，由于无线传感器没有基础设施，且所有的业务与拓扑结构均是动态变化的，少了基础设备的支持，脆弱的无线链路就易于受到各种网络攻击，网络安全受到威胁。

（一）待解决安全问题

1. 机密性。保证合法发送者与接收者的数据信息，防止敌手截取到传输的明文内容。通常是采取信息加/解密手段，与非对称加密措施相比，无线传感器网络更倾向于如Res、Skipjack等对称加密算法，因为此法耗能相对较小。

2. 可用性。保证整个网络可用即使网络遭到拒绝服务的攻击。采取保护措施包括：入侵检测技术、网络自我恢复技术、入侵容忍技术与加入冗余信息。

3. 消息认证。保证网络消息来源的可靠性与合法性，即是确认该数据包不是被冒充的，而是由该节点输送的。身份认证、消息签名机制、消息散列与访问控制等措施可用于消息认证。

4. 信息新鲜性。信息具有时效性，网络节点要保证收到的消息是新鲜的。可通过消息序列号、网络管理、访问控制、入侵检测等手段保證数据信息的新鲜性。

5. 数据完整性。保证数据包未被恶意节点篡改，可采用循环冗余校验（cyclic redundancy checksum，CRC）或者消息认证码（message authentication code，MAC）检测传送过程中数据包有无随机错误被篡改。

6. 安全管理。安全维护与安全引导都属于安全管理的内容。安全引导指的是网络系统根据预定的网络协议，逐渐由无安全保护通道的、独立与分散的个体集合演变成连通的、有安全保护通道的安全网络的一个过程。

（二）易受到的攻击

1. 伪造路由信息。攻击者通过路由环的创建，缩短或延长路由路径，来拒绝或是吸引网络信息流通量，篡改与伪造信息以达到分割网络，增加端到端时延的目的。

2. 选择性传递。攻击者选择性转发或是根本不传递数据包，如此，在动态性很强的网络拓扑结构中，攻击者就可以隐藏自己数据流输送的路径而不被发现，得以继续破坏网络。

3. 巫女（Sybil）攻击。攻击者先融入网络，取得邻居节点信任，变身为路由路径上的中间节点后，再进行破坏活动，这是多数路由攻击的方式。巫女攻击在网络中的节点面前身份多样，这就迷惑了普通节点，让其将信息传递到实际上属于攻击者的基站或汇聚节点。巫女攻击对地理路由协议威胁特别大。

4. 虫洞（Wormhole）攻击。虫洞攻击对多跳路由协议特别有效。攻击者把两个节点串通合谋，一个节点处于基站附近，另一个离得远一些，它们对邻居节点称它们之间建立了一条可以低时延高带宽的链接“隧道”，获得邻居节点信任，以接收转发信息。

5. 重放（Replay）攻击。重放攻击的主要攻击手段是堵塞传送者与接收者间的信息输送路径，再重放错误的或旧的信息并传送过去。这种攻击方式简单，不需要很强的攻击能力就可进行。

6. 确认欺骗。广播媒介本身的属性，给攻击者得以窃听到附近节点传送过来的数据包，方便其将伪造的链路层确认发送。对于某些依赖明确或潜在链路层确认的路由更是容易遭到攻击。攻击者通过让目标节点沿失效的节点发送数据包，进行选择性信息转发攻击。

二、无线传感器网络安全路由技术

（一）密钥管理技术

加密技术是保障无线传感器网络安全的基础技术，而密钥管理作为加密技术的核心技术，在保障无线传感器网络安全中也起到基础的作用。

目前，无线传感器网络的密钥管理技术大致包括四大模型：①随机密钥对模型。此技术对复制节点的攻击能有效抵御，安全性高。但此模型的网络扩展性小，只适用于节点数目少的网络环境，大规模的节点则不适用。②基于密钥池的随机密钥预分配技术。与随机密钥对模型相比，基于密钥池的随机密钥预分配技术可适用于大规模节点的网络，适应网络的动态变化，某种程度可实现节点间的密钥共享。但存在整个网络的安全性会因攻击方破坏部分关键节点而弱化的缺陷。密钥也将被泄露，节点的正常通信受影响，网络的后向机密性也难以保证。③预共享密钥管理模型。此模型有点到点与整个网络的预共享模型。点到点预共享模型适用于网络规模不大，节点数量少的网络环境中。全网预共享密钥模型易遭到假冒攻击或是复制攻击，故此技术适用于网络环境要稳定但安全性要求不高的网络中。④基于密钥分发中心（KDC）的分配模型。基于KDC的分配模型支持网络的动态变化，节点前向与后向的安全都可得到保证；其安全性强，即使部分节点被破坏，仍不会弱化整个网络的安全性。

（二）安全路由技术

1. 以安全性作为路由协议的一个设计目标。在开始设计路由之初，应将安全性作为原始的设计目标。虽说此方式使得设计变得复杂，但对新设计来说可避免后续引入或补充安全机制或打安全补丁。能耗同样是无线传感器网络技术首要解决的问题，安全性与能耗问题同时列为原始设计目标，可降低路由协议设计的成本，这也是研究安全路由技术未来努力的方向。

2. 扩展已有路由协议的安全性。当前的路由协议LEACH、SPIN 和 GPSR 等较为成熟，可在此基础上进行小改动，增加安全机制，保障安全，如SRD、INTRSN等。这不失为一种好的路由协议扩展方法。

3. 多种安全机制联合进行。权衡考虑多种安全机制，按需求选定安全策略，才能更好地保证路由协议的安全。密钥管理、认证技术、时间戳机制与信誉机制等是目前较为完善的安全机制。如引入信誉评价值，节点用来评价邻居节点行为或是使用基站进行监听与检测，路由协议改进后可有效抵御巫女攻击、虫洞攻击与选择性攻击。

（三）入侵检测机制

通常而言，尽管采取了先进的安全手段预防网络入侵行为的发生，网络还是会遭到攻击，且在无线传感器网络中不适用防火墙方案，所以在路由中引入攻击检测机制对保障无线传感器网络的安全意义重大。分布式Bayesian算法是当中较有实用性与创新性的检测方法。该法统计可能的入侵，通过Bayesian模型计算发生攻击的概率，估算入侵发生的节点位置，进而给出设计无线传感器网络入侵检测系统的初步方案，但它具有依赖节点位置信息的缺点。

三、安全路由协议

无线传感器网络的安全问题已成为关注焦点，人们也提出了相应的安全路由协议，如基于密钥管理实现的SPINS安全协议；基于自身的路由机制实现的REINFORM协议；多路径路由协议，如HREEMR协议，它是在定向扩散（DD）路由机制的基础上扩展的；关于直径的启发式安全路由（SRD）；基于地理位置的路由协议GEAS，GEAS协议在GPRS的基础上加入节点的能量值，弥补了GPRS协议网络中使用节点能量不平衡的缺陷；基于节点地理位置及节点信誉的路由协议TRANS；还有基于簇的LEACH等其他类型的协议。

（一）INSENS协议

INSENS协议是一个较为经典的无线传感器网络安全路由协议，其核心思想是加入入侵容忍机制，可以保障整个网络正常运行不受恶意节点攻击的影响。INSENS整个路由通信过程分为三大步骤：第一步是请求与传送信息。基站广播在網络初始化阶段请求信息，节点收到信息后向下一跳传送请求信息。第二步是信息回送。节点接收到路由的请求信息后，再将其拥有的路由信息传送到基站。第三步是更新路由表。基站会对节点回送的信息进行汇总与优化，检查有无恶意节点，可对DOS攻击进行有效抵御，保障恶意信息不被扩散。

（二）SHSMRP协议

该协议结合了纳树和分层网络结构，节点能够自行获得所处的、是入网重要条件的地理位置信息。该协议由纳树的构造、纳子树的构造、纳树的维护、节点信息聚集与数据传递五部分组成。它利用HMAC保证信息的完整性与秘密性，进而防止女巫攻击和虫洞攻击。

四、结语

网络本身就存有安全漏洞，也受到各种攻击，通常路由层遭受到的攻击最为集中，严重时会使整个网络不能工作。所以研究安全路由技术对于保障无线传感器网络的安全至关重要，尤其是未来无线传感器网络要大规模部署，应用到更多领域，就必须解决路由安全问题。