王远强，咸 凛

（中国电子科技集团公司第三十研究所，四川 成都 610000）

0 引 言

随着传感网络的快速发展，无线传感网络（Wireless Sensor Network，WSN）相关产业在我国已经成为极具发展前景的产业。以无线传感网络技术为基础的智慧农业、智能家居等，都具备较好的发展潜力，也受到越来越多的关注。在无线传感网络应用中，如何保证数据的安全性，提高无线传感网络的健壮性，成为目前发展中的重点。可信计算技术通过对硬件平台植入具有主动度量控制功能的可信根，实现信任链的建立与传递，通过完整性度量在平台中进行信任扩展，保障平台的完整性，实现从底层硬件平台，到操作系统，再到上层应用服务功能软件的行为可信，从而确保具有平台自身的安全性。如何将可信计算和无线传感网络构建进行结合，对于可信无线传感网络的安全机制应用具有重要的意义。

1 发展现状

1.1 国内外可信发展

按照可信计算组织（Trusted Computing Group，TCG）的定义，“可信”被定义为能够为用户提供更加稳定的开发与应用基础，提高用户使用的安全性，达到或超过系统预设的安全标准。可信计算概念的提出是为了保护用户的隐私数据，当系统受到恶意攻击和破坏的时候，通过可信计算系统将用户敏感数据进行保护，从而避免数据泄露的发生。

可信计算通过可信平台模块（Trusted Platform Module，TPM）芯片平台来实现主要功能，TPM芯片技术主要包括以下几个方面：（1）签名密钥的安全；（2）输入输出设备的安全；（3）加密存储技术。

1999年，IBM、HP、Intel、微软等发起成立了可信计算平台联盟（Trusted Computing Platform Alliance，TCPA），2003年TCPA改组为可信计算组织TCG，其目的是在计算和通信系统中广泛使用基于硬件安全模块支撑的可信计算平台，以提高终端整体的安全性。欧洲于2006年启动“开放式可信计算（Open Trusted Computing）”研究计划，形成可信计算发展新高潮。

我国的可信计算技术几乎与国外同时起步。从2000年国家立项开始，到多家公司开展相应的实际研究工作，已经推出了一系列可信产品和相关标准，包括可信密码模块、可信计算机、可信交换机等可信设备。2014年中关村可信计算联盟成立，产业链得到整合，市场竞争能力增强，产业资源配置得到优化。

1.2 无线传感网络

无线传感网络是由大量的传感器网络节点所组成的一个系统，大量的传感器网络节点组成自适应自组织的网络，采用分布式动态协同感知的方法获得感知数据[1]，根据所采用的传感器不同，可以采集包括温度、湿度、光照度、声音、压力、土壤水分、土壤温度、土壤离子、水质参数、图像信息等。由于它适用环境广泛，可动态配置，可扩展性，无线传感网络被越来越多的应用在森林、草场、农田、战场等环境。同时无线传感器网与物联网结合发展，处于物联网的感知的最前端，能够使得物联网通过网络化的感知手段获得物理世界的信息，实现物与物的交流[2]。无线传感网络构成如图1所示。

无线传感网络按协议栈分层有以下几层：应用层、传输层、网络层、数据链路层、物理层、能源管理平台、移动管理平台及任务管理平台。不同的传感器、传感任务，对应应用层上不同的应用软件。传输层协助维护传感网络的数据流。网络层管理由传输层所提供的数据的路由选择。物理层实现对简单而突发式调制、传输及接收技术的需求。三个管理平台监测传感节点之间的电源、移动和任务分配。

图1 无线传感网络构成

2 无线传感网络的安全风险

与传统计算机网络相比，无线传感网络底层增加了感知层。感知层的传感器设备要求体积小，能适应工作环境复杂，工作时间长等需求；计算资源、电源等受到较大的局限，防护能力较弱。由于大量的感应器部署在一些特殊的环境中，无人值守，很难甚至无法给予接触式的维护，节点在这种环境中容易遭到攻击，特别是军事应用中的节点更易遭受针对性的攻击[3]。

无线传感网络中的无线传输介质易受外界环境影响，网络链路产生差错和发生故障的概率增大，节点附近容易产生信道冲突，而且恶意节点也可以方便地窃听重要信息。

在某些应用场景中，传感器作为终端感应设备，需要跟随设备或人员进行位置变换。无线节点的频繁加入、退出以及不断变换的网络拓扑，造成网络上大量的过时路由信息以及攻击检测的难度增加。

相比传统的网络，无线传感网络更易受到各种安全威胁和攻击，包括窃听、数据篡改和重发、伪造身份和拒绝服务等[4]。表1列出了无线传感网络面临的安全危险。

表1 无线传感网络面临的安全危险

无线传感网络的传输、运用过程中涉及到大量的用户敏感数据，如果受到安全攻击，会导致数据泄露，给个人和企业用户造成不可估量的损失，因此建立安全的基于可信计算的无线传感网络系统，成为目前亟待解决的问题。

3 可信无线传感网络研究

3.1 可信传感器

可信传感器是在传统传感器设备的基础上，将可信度量和可信传输融入传感器设备设计中。其中，可信度量是以硬件附着的可信组件执行平台完整性和安全性检测，用于验证传感器平台核心软硬件的可信度；在验证传感器平台可信度的基础上，通过可信接入继续验证传感器行为的可信度。

无线传感网络感应器存在运算资源有限，电源补给困难等现状，不能通过增加可信密码模块（Trusted Cryptography Module，TCM）芯片的方式来实现端点的可信启动、可信度量。为解决此问题，采用感应器的bootloader作为可信根，提取设备硬件指纹，包含硬件序列号，MAC地址等作为可信根的密钥。设备启动时，通过读取感应器的硬件指纹，对存储器中的数据进行度量，度量通过，节点开始进行工作。可信传感器的启动流程图如图2所示。

图2 可信传感器的启动流程

可信传感器启动完毕后，开始进行温度、湿度、光照度、声音、压力、视频等数据采集，数据采集完毕后设备使用硬件指纹密钥对数据进行杂凑运算，并将杂凑值连同数据一并发送，确保传感器发送数据的完整性、可靠性。设备的采集运算流程图如图3所示。

图3 数据采集运算流程

3.2 可信汇聚节点

无线传感网络汇聚点，一般会提供电源供电，设备的体积，运算资源相较感应器大大提升。通过增加TCM芯片的方式来实现汇聚点的可信启动，以TCM芯片作为可信根，TCM芯片中包含有汇聚点的密码资源。设备启动时，TCM芯片首先启动，作为可信根对存储器中的bootloader进行度量，度量通过，节点开始进行工作。设备的启动流程图如图4所示。

图4 可信汇聚点启动流程图

3.3 可信覆盖

覆盖概念是无线传感网络感测服务质量的一种度量。覆盖概念也可以理解为感测区域中空间点与传感器节点之间的映射[5]。覆盖反映和描绘一个区域被感测程度的优劣，直观显示了感测的范围和力度，是衡量一个无线传感器网络成功与否的关键因素之一。

覆盖问题很大程度上依赖于节点覆盖的感知。通过对传感器节点、汇聚节点启动的可信度量，对传输数据的可信安全加固，可以通过对可信传感器节点发送数据的完整性校验，可以判断该节点的可靠性，可信性。从而为可信覆盖计算提供依据，为节点维护，网络维护提供保障，为可信应用提供基础 数据支撑。可信节点状态判断流程如图5所示。

图5 可信节点状态判断流程

3.4 可信应用

无线传感网络应用层的核心功能围绕着数据和应用两个方面来进行。而无论是应用还是数据，都是来源于用户同时都需要面向用户，这也是WSN的目的所在。因此用户的不规范或恶意行为就成为了应用层安全的主要威胁。

在应用层的可信度量主要有用户行为可信和用户身份可信。用户身份可信是指用户的身份通过认证、鉴别等手段确保访问控制有授权、访问过程有记录、恶意行为可追溯。用户行为可信主要通过节点可信度来衡量，节点的信任度是节点物理信息和行为信息的综合。物理信息包括电池容量、发射信号功率、节点负载、传输效率等，用户的行为信息是指通过用户的历史行为分析获取的，在分析敏感用户或者用户的敏感数据时，根据用户在一段时间内的行为数据，利用行为分析模型、多属性决策模型或者特征匹配模型进行可信评估，得出用户的可信度，并以此可信度来判断用户数据的可信度或者对用户的行为进行授权。在计算用户可信度时，对影响用户可信的多属性一般通过加权模型进行区别对待，同时需要考虑行为的连续性和阶段性。

4 结 语

尽管可信无线传感网络的研究已经获得了一定的发展，但还处于初级阶段，受感应节点资源限制，可信运行监控，可信接入等可信服务还无法与之融合；同时可信理论还有很多关键技术有待突破，还难以达到与互联网和无线移动通信网络相匹配的程度。未来的无线传感网络还需要进一步深入研究网络可信服务机制问题，借鉴互联网的发展经验消除可信服务壁垒，减少可信服务资源消耗，降低可信服务成本，从顶层设计的高度建立健全可信服务体制机制，使无线传感网络可信服务水平适应未来信息化社会多样化应用领域的发展要求。