1.引言

　　無線傳感器網絡WSN（WirelessSensorNetwork）是一種自組織網絡，通過大量低成本、資源受限的傳感節點設備協同工作實現某一特定任務。

　　它是信息感知和采集技術的一場革命，是21世紀最重要的技術之一。它在氣候監測，周邊環境中的溫度、燈光、濕度等情況的探測，大氣污染程度的監測，建筑的結構完整性監控，家庭環境的異常情況，機場或體育館的化學、生物威脅的檢測與預告等方面，WSN將會是一個經濟的替代方案，有著廣泛的應用前景。

　　傳感器網絡為在復雜的環境中部署大規模的網絡，進行實時數據采集與處理帶來了希望。但同時WSN通常部署在無人維護、不可控制的環境中，除了具有一般無線網絡所面臨的信息泄露、信息篡改、重放攻擊、拒絕服務等多種威脅外，WSN還面臨傳感節點輕易被攻擊者物理操縱，并獲取存儲在傳感節點中的所有信息，從而控制部分網絡的威脅。用戶不可能接受并部署一個沒有解決好安全和隱私問題的傳感網絡，因此在進行WSN協議和軟件設計時，必須充分考慮WSN可能面臨的安全問題，并把安全機制集成到系統設計中去。只有這樣，才能促進傳感網絡的廣泛應用，否則，傳感網絡只能部署在有限、受控的環境中，這和傳感網絡的最終目標 ——實現普遍性計算并成為人們生活中的一種重要方式是相違反的。

　　一種好的安全機制設計是建立在對其所面臨的威脅、網絡特點等的深刻分析基礎之上的，傳感網絡也不例外，本文將深入分析無線傳感器網絡特點以及其所可能面臨的安全威脅，并對其相應的安全對策進行了研究和探討。

　　2.傳感器網絡特點分析

　　WSN是一種大規模的分布式網絡，常部署于無人維護、條件惡劣的環境當中，且大多數情況下傳感節點都是一次性使用，從而決定了傳感節點是價格低廉、資源極度受限的無線通信設備［2］，它的特點主要體現在以下幾個方面：（1）能量有限：能量是限制傳感節點能力、壽命的最主要的約束性條件，現有的傳感節點都是通過標準的AAA或AA電池進行供電，并且不能重新充電。（2）計算能力有限：傳感節點CPU一般只具有8bit、4MHz～8MHz的處理能力。（3）存儲能力有限：傳感節點一般包括三種形式的存儲器即RAM、程序存儲器、工作存儲器。RAM用于存放工作時的臨時數據，一般不超過2k字節;程序存儲器用于存儲操作系統、應用程序以及安全函數等，工作存儲器用于存放獲取的傳感信息，這兩種存儲器一般也只有幾十k字節。（4）通信范圍有限：為了節約信號傳輸時的能量消耗，傳感節點的RF模塊的傳輸能量一般為 10mW到100mW之間，傳輸的范圍也局限于100米到1公里之內。（5）防篡改性：傳感節點是一種價格低廉、結構松散、開放的網絡設備，攻擊者一旦獲取傳感節點就很輕易獲得和修改存儲在傳感節點中的密鑰信息以及程序代碼等。

　　另外，大多數傳感器網絡在進行部署前，其網絡拓撲是無法預知的，同時部署后，整個網絡拓撲、傳感節點在網絡中的角色也是經常變化的，因而不像有線網、大部分無線網絡那樣對網絡設備進行完全配置，對傳感節點進行預配置的范圍是有限的，很多網絡參數、密鑰等都是傳感節點在部署后進行協商后形成的。

　　根據以上無線傳感器特點分析可知，無線傳感器網絡易于遭受傳感節點的物理操縱、傳感信息的竊聽、拒絕服務攻擊、私有信息的泄露等多種威脅和攻擊。下面將根據WSN的特點，對WSN所面臨的潛在安全威脅進行分類描述與對策探討。

　　3.威脅分析與對策

　　3.1傳感節點的物理操縱

　　未來的傳感器網絡一般有成百上千個傳感節點，很難對每個節點進行監控和保護，因而每個節點都是一個潛在的攻擊點，都能被攻擊者進行物理和邏輯攻擊。另外，傳感器通常部署在無人維護的環境當中，這更加方便了攻擊者捕捉傳感節點。當捕捉了傳感節點后，攻擊者就可以通過編程接口（JTAG接口），修改或獲取傳感節點中的信息或代碼，根據文獻［3］分析，攻擊者可利用簡單的工具（計算機、UISP自由軟件）在不到一分鐘的時間內就可以把EEPROM、Flash和SRAM中的所有信息傳輸到計算機中，通過匯編軟件，可很方便地把獲取的信息轉換成匯編文件格式，從而分析出傳感節點所存儲的程序代碼、路由協議及密鑰等機密信息，同時還可以修改程序代碼，并加載到傳感節點中。

　　很顯然，目前通用的傳感節點具有很大的安全漏洞，攻擊者通過此漏洞，可方便地獲取傳感節點中的機密信息、修改傳感節點中的程序代碼，如使得傳感節點具有多個身份ID，從而以多個身份在傳感器網絡中進行通信，另外，攻擊還可以通過獲取存儲在傳感節點中的密鑰、代碼等信息進行，從而偽造或偽裝成合法節點加入到傳感網絡中。一旦控制了傳感器網絡中的一部分節點后，攻擊者就可以發動很多種攻擊，如監聽傳感器網絡中傳輸的信息，向傳感器網絡中發布假的路由信息或傳送假的傳感信息、進行拒絕服務攻擊等。

　　對策：由于傳感節點輕易被物理操縱是傳感器網絡不可回避的安全問題，必須通過其它的技術方案來提高傳感器網絡的安全性能。如在通信前進行節點與節點的身份認證;設計新的密鑰協商方案，使得即使有一小部分節點被操縱后，攻擊者也不能或很難從獲取的節點信息推導出其它節點的密鑰信息等。另外，還可以通過對傳感節點軟件的合法性進行認證等措施來提高節點本身的安全性能。

　　3.2信息竊聽

　　根據無線傳播和網絡部署特點，攻擊者很輕易通過節點間的傳輸而獲得敏感或者私有的信息，如：在通過無線傳感器網絡監控室內溫度和燈光的場景中，部署在室外的無線接收器可以獲取室內傳感器發送過來的溫度和燈光信息;同樣攻擊者通過監聽室內和室外節點間信息的傳輸，也可以獲知室內信息，從而揭露出房屋主人的生活習性。

　　對策：對傳輸信息加密可以解決竊聽問題，但需要一個靈活、強健的密鑰交換和治理方案，密鑰治理方案必須輕易部署而且適合傳感節點資源有限的特點，另外，密鑰治理方案還必須保證當部分節點被操縱后（這樣，攻擊者就可以獲取存儲在這個節點中的生成會話密鑰的信息），不會破壞整個網絡的安全性。由于傳感節點的內存資源有限，使得在傳感器網絡中實現大多數節點間端到端安全不切實際。然而在傳感器網絡中可以實現跳-跳之間的信息的加密，這樣傳感節點只要與鄰居節點共享密鑰就可以了。在這種情況下，即使攻擊者捕捉了一個通信節點，也只是影響相鄰節點間的安全。但當攻擊者通過操縱節點發送虛假路由消息，就會影響整個網絡的路由拓撲。解決這種問題的辦法是具有魯棒性的路由協議，另外一種方法是多路徑路由，通過多個路徑傳輸部分信息，并在目的地進行重組。

　　3.3私有性問題

　　傳感器網絡是用于收集信息作為主要目的的，攻擊者可以通過竊聽、加入偽造的非法節點等方式獲取這些敏感信息，假如攻擊者知道怎樣從多路信息中獲取有限信息的相關算法，那么攻擊者就可以通過大量獲取的信息導出有效信息。一般傳感器中的私有性問題，并不是通過傳感器網絡去獲取不大可能收集到的信息，而是攻擊者通過遠程監聽WSN，從而獲得大量的信息，并根據特定算法分析出其中的私有性問題。因此攻擊者并不需要物理接觸傳感節點，是一種低風險、匿名的獲得私有信息方式。遠程監聽還可以使單個攻擊者同時獲取多個節點的傳輸的信息。

　　對策：保證網絡中的傳感信息只有可信實體才可以訪問是保證私有性問題的最好方法，這可通過數據加密和訪問控制來實現;另外一種方法是限制網絡所發送信息的粒度，因為信息越具體，越有可能泄露私有性，比如，一個簇節點可以通過對從相鄰節點接收到的大量信息進行匯集處理，并只傳送處理結果，從而達到數據匿名化。

　　3.4拒絕服務攻擊（DOS）

　　DOS攻擊主要用于破壞網絡的可用性，減少、降低執行網絡或系統執行某一期望功能能力的任何事件。如試圖中斷、顛覆或毀壞傳感網絡，另外還包括硬件失敗、軟件bug、資源耗盡、環境條件等［4］。這里我們主要考慮協議和設計層面的漏洞。確定一個錯誤或一系列錯誤是否是有意DOS攻擊造成的，是很困難的，非凡是在大規模的網絡中，因為此時傳感網絡本身就具有比較高的單個節點失效率。

　　DOS攻擊可以發生在物理層，如信道阻塞，這可能包括在網絡中惡意干擾網絡中協議的傳送或者物理損害傳感節點。攻擊者還可以發起快速消耗傳感節點能量的攻擊，比如，向目標節點連續發送大量無用信息，目標節點就會消耗能量處理這些信息，并把這些信息傳送給其它節點。假如攻擊者捕捉了傳感節點，那么他還可以偽造或偽裝成合法節點發起這些DOS攻擊，比如，它可以產生循環路由，從而耗盡這個循環中節點的能量。防御DOS攻擊的方法沒有一個固定的方法，它隨著攻擊者攻擊方法的不同而不同。一些跳頻和擴頻技術可以用來減輕網絡堵塞問題。恰當的認證可以防止在網絡中插入無用信息，然而，這些協議必須十分有效，否則它也會被用來當作DOS攻擊的手段。比如，使用基于非對稱密碼機制的數字簽名可以用來進行信息認證，但是創建和驗證簽名是一個計算速度慢、能量消耗大的計算，攻擊者可以在網絡中引入大量的這種信息，就會有效地實施DOS攻擊。

　　4.總結

　　安全是一個好的傳感網絡設計中的要害問題，沒有足夠的保護機密性、私有性、完整性以及防御DOS和其它攻擊的措施，傳感網絡就不能得到廣泛的應用，它只能在有限的、受控的環境中得到實施，這會嚴重影響傳感網絡的應用前景。另外，在考慮傳感網絡安全問題和選擇對應安全機制的時候，必須在協議和軟件的設計階段就根據網絡特點、應用場合等綜合進行設計，試圖在事后增加系統的安全功能通常被證實為不成功或功能較弱的。