无线传感器网络面临的安全隐患及安全定位机制.docx

1、无线传感器网络面临的安全隐患及安全定位机制无线传感器网络面临的安全隐患及安全定位机制随着通信技术的发展，安全问题显得越来越重要。在现实生活中，有线网 络已经深入到干家万户：互联网、有线电视网络、有线电话网络等与人们生活 的联系越来越紧密，已经成为必不可少的一部分，有线网络的安全问题己经能 够得到有效的解决。在日常生活中，人们可以放心的使用这些网络，利用它来 更好的生活和学习。然而随着无线通信技术的不断发展，无线网络在日常生活 中已占据重要的地位，如无线LAN技术、3G技术、4G技术等，同时也有许多 新兴的无线网络技术如无线传感器网络，Ad-hoc等有待进一步发展。随着人们 对无线通信的依赖越来

2、越强烈，无线通信的安全问题也面临着重要的考验。本 章首先介绍普通网络安全定位研究方法，随后介绍无线传感器网络存在的安全 隐患以及常见的网络攻击模型，分析比较这些攻击模型对定位的影响，最后介 绍已有的一些安全定位算法，为后续章节的相关研究工作打下基础。3.1安全定位研究方法不同的定位算法会面临着不同的安全方面的问题，安全定位的研究方法可以采用图31所示的流程来进行。图3-1安全定位方法研究流程图在研究中首先要找出针对不同定位算法的攻击模型，分析这些攻击对定位 精度所造成的影响，然后从两方面入手来解决这个安全问题或隐患：一方面改 进定位算法使得该定位算法不易受到来自外界的攻击，另一方面可以设计进行

3、 攻击检测判断及剔除掉受到攻击的节点的安全定位算法或者把已有的安全算法 进行改进使之能够应用于无线传感器网络定位，还可以从理论上建立安全定位 算法的数学模型，分析各种参数对系统性能的影响，最后根据这个数学模型对 算法进行仿真，并把仿真结果作为反馈信息，对安全定位算法进一步优化和改 进，直到达到最优为止。32安全隐患山于无线传感器网络随机部署、网络拓扑易变、自组织成网络和无线链路 等特点，使其面临着更为严峻的安全隐患。在传感器网络不同的定位算法中具 有不同的定位思想，所面临的安全问题也不尽相同。攻击者会利用定位技术的 弱点设计不同的攻击手段，因此了解各定位系统自身存在的安全隐患和常见的 攻击模型

4、对安全定位至关重要。影响无线传感器网络定位的原因大致可以分为两类：其一，节点失效（如 节点被破坏、电量耗尽）、环境毁坏（通信干扰）等引起的定位误差；其二, 恶意攻击卩叫 攻击者主要是通过内部攻击和外部攻击两种方式来增大无线传感 器网络的定位误差或使节点定位失效。采用不同的定位算法，系统存在不同的安全隐患。按照定位算法的分类将 安全隐患大致分为：基于测距的定位的安全隐患和基于无需测距定位的安全隐 患。3. 2.1基于测距定位的安全隐患基于测距的定位技术需要测量未知节点和参考节点之间的距离或方位信息。攻击者主要针对定位系统位置关系的测量阶段和距离估讣阶段进行攻击。在测 距阶段，攻击者通过改变测距所

5、需要的参数或者产生干扰和欺骗以增大误差, 达到攻击的U的。基于测距定位的攻击手段主要有以下儿种：（1）通过移动、隔离信标节点 来降低定位精度，或者通过大功率干扰设备产生无线电干扰信号，使得信标节 点发出的信号中有较大的噪声，以此增大误差，降低定位精度。如在RSSI测距 技术中，通过增加周W信道噪声来造成信号的衰减，使得未知节点的测量距离 长于实际距离：（2）通过在未知节点和信标节点传输的信道中设置干扰信号或 阻断装置来达到降低节点定位精度的U的。如在测量到达角度，计算相邻节点 或者未知节点相对于信标节点的方位角的AOA算法中，通过使用反射物来改变 信号的到达角度；（3）通过破坏距离定位协议，使

6、得信标报文沿多径传输，从 而增大信号传输的时间来降低定位精度。如在根据信号的传播时间和传播速度 进行定位的TOA/TDOA算法中，通过提前或者延迟发送响应报文以达到虚减 或虚增节点距离的U的。3. Z 2基于无需测距定位的安全隐患无需测距定位的定位方法不存在测距阶段，所以从根本上避免了攻击者的 攻击，但是山于该算法本身也存在安全隐患故也面临着更为严峻的安全问题。无需测距定位的定位方法很容易受到虫洞、女巫、重放、伪造、篡改和丢弃信 标报文等针对网络层的攻击。在Centroid定位算法中，山于定位过程中需要用到已知坐标的信息（邻居 节点信息），这就存在着很大的安全隐患。攻击者可以通过伪装邻居节点，

7、捕 获邻居节点并散布虚假坐标信息或者在邻居节点间放置障碍物和吸收材料来隔 离邻居节点，使邻居节点失效从而降低定位精度或使定位失败。在DV-HOP定位算法中，山于定位过程中需要依据节点之间的最小跳数来 佔汁每跳距离，攻击者可以通过改变最小跳数来改变每跳距离或者改变计算距 离。在Amorphous定位算法中，由于定位过程中需要利用节点之间的最小跳数, 攻击者同样可以改变最小跳数，从而达到攻击的U的。在APIT定位算法中，山于定位过程中也杲要用到已知坐标的节点信息，攻 击者可以发起虫洞攻击，从而使定位失效或精度降低。33常见的网络攻击方法及防御手段传感器网络中很容易受到来自各方面的各种各样的攻击，主

8、要包括内部攻t6(Internal Attackers)和外部攻击(External Attackers)内部攻击主要是报告错误的位置、距离信息，从而造成定位的误差。其主要的攻击类型有：女巫攻击.Hello flood攻击、虫洞和槽洞以及选择性转发等。内部攻击对系统定位功能极具威胁，在内部攻击中，一旦某儿个节点受到攻击或者儿个攻击节点深入到网络内部就会导致整个网络的安全功能丧失，整个网络也就失去了作用。外部攻击主要是俘虏或破坏物理节点、干扰或阻塞传感器节点间的通信，外部攻击者位于整个网络的外部，不能够深入到网络内部中去，攻击者无法获取网络密码或认证信息。外部攻击危害较小，攻击者无法从俘虏的节点

9、中获取整个网络的有效信息，另外个别节点被俘虏的情况下对定位精度的影响不大，但外部攻击具有很强的隐蔽性，更难被网络所检测到卩讥传感器网络各个层次容易受到的攻击方法和防御手段如表31所示。衷3T无线传感器网络中的攻击方法和防御手段Tablc3-1 Ways of attack and recovery instruments of wireless sensor network网络层次攻击方法防御手段物理层物理破坏(Tampering)拥塞攻击(Jamming)增加物理损害感知机制和自毁机 制提高容错机制、节点伪装和隐藏 宽频和跳频通信区域映射，模式转换，消息优先 级链路层冲突攻击(Collisi

10、on)耗尽攻击(Exhaustion) 询问攻击(Challenge) 女巫攻击(Sybil attack) 非公平竞争(Unfairness)信道监听和重传机制、纠错码 对节点重传信息次数设置门限 限制接收同样身份节点连接的次 数无线电资源测试使用短帧和非优先级策略网络层黑洞攻击(Blackholes)通信认证和多径路山汇聚节点攻击(Homing) 方向误导攻击 (Misdirection) 虫洞攻击(Wormhole Attack )加密和逐跳认证机制 认证、监视机制、出口过滤 基于地理位置的路山机制传输层泛洪攻击(Flood attacks)不同步攻击 DistortZTamper At

11、tack)、 女巫攻击31 (Sybil Attack )、改变测量距离攻击(Aller Estimation Distance Attack)、节点俘虏攻击mi (Compromise Attack) 拒绝服务(DoS)攻击、黑洞 (Sinkhole)攻击、HELLO洪泛攻击等。3 4 1 虫洞攻击(Woirnhole Attack)虫洞攻击是一种非常复杂的攻击方式，对传感器网络的精确定位有着严重 的影响。虫洞攻击至少需要两个攻击者通过建立虫洞链路(Wormhole Link)将偷听到网络中的有用信息从网络一端传送到另一端。虫洞攻击可以通过Wormhole Link将整个网络中受到攻击的节点

12、或恶意节点连接成一个整体，这些连接在一起的节点会同时发起对整个网络的攻击，这样虫洞攻击就会威胁到 整个网络的安全。另外在虫洞攻击中攻击者往往不会忠实、完整的传输所偷听 到的消息，而是故意传递部分数据包，从而造成数据包的丢失。虫洞攻击在传 输数据过程中往往会结合篡改、选择转发等手段对网络中的数据进行破坏。山 于虫洞攻击没有破坏通信的验证性和完整性，也没有攻击网络中的相关主体结 构，因此很难被检测到也更具有隐蔽性。虫洞攻击所带来的影响可以从图3-2中看出来。N图3-2虫洞攻击示意图Figure 3-2 Diagram of Wormhole Attack在图32中节点A、B、C、D在节点M的通信范

13、圉内，而节点E、F、G、H在节点N的通信范圉内。节点M要与节点N进行通信需要经过节点D和,而节点M、N旦受到虫洞攻击就会在它们之间形成虫洞链路，通过这 个虫洞链路M和N之间能直接进行通信，就好像M、N都在其通信范圉之内。M能够接收到A、B、C和D的信息，并且能够通过虫洞将这些信息传送到节点N,节点N也能将收到的E、F、G和H所发送的信息转发给节点M。这 时，节点M和N就会接收到不在其通信范n内的消息，在定位过程中若用到此 信息进行运算必然会增大误差，从而导致网络定位精度降低。在以PIT理论为基础的APIT算法中闪】，也容易受到虫洞攻击。针对APIT定 位算法的虫洞攻击如图3-3所示。a 3-3

14、 APIT定位算法的虫洞攻击Figure 3-3 Diagram of Wormhole Attack direct at APIT在图3-3中节点M位于A、B、C三个信标节点所组成的三角形之中，但是山于虫洞攻击的存在，节点M与节点N之间存在一条虫洞链路，从而节点M 错误的判断出其位于这个三角形之外的错误结论。342重放、伪造、篡改攻击重放攻击(Replay Attack)是一种最简单的、最常用的而且最普遍的攻击方式。特别是在攻击者自身资源受限或者没有能力俘获两个或多个传感器节点的 时候，攻击者无法伪装成多个节点，重放攻击就成了攻击者最主要的攻击手段。重放攻击的主要过程是：攻击者采用特殊的手段

15、阻塞发射节点和接收节点之间 的信息传递，与此同时攻击者将发射节点所发送的信息保存下来，然后向接收 节点重放以前的定位信息。在重放攻击过程中，攻击者无需修改定位信息而直 接重放以前相同的定位信息，因此在信标节点的位置信息变化快、定位信息更 新的速度快、网络的拓扑结构也变化很快的具有高速移动性的网络中，重放攻 击就会极大的影响定位精度。重放攻击对网络的精确定位影响很大，一旦存在 这种攻击，未知节点就会接收不到正确的位置信息，从而导致定位精度的下降, 更有其者会导致定位的失败。针对于固定的传感器网络结构，重放攻击造成的影响如图34所示。节点A 向节点B和C发送定位参数，恶意节点M对节点C所发送的信息

16、进行阻塞, 同时恶意节点M能够很好的伪装成节点C并将所接受到信息发送给节点D,使得节点D误以为所接收到的信息是节点C所发的，从而导致定位的误差。针对于移动的传感器网络的结构，a放攻击造成的影响如图35所示。节点A、B、C、D、E和F都是信标节点，节点F具有移动性，节点M会阻塞移动节点和未知节点之间的通信。在定位过程中，一旦节点F的位置发生改变，攻击节点M就会把以前旧的节点F的信息发送给信标节点，借标节点A和收到 这个旧的节点F的坐标后进行定位计算就会得到错误的位置信息，从而造成未 知节点实际位置山G变为G (如图35所示)，从而造成定位错误。伪造、篡改攻击(Forge AttackDistor

17、t/Tainper Attack)和重放攻击方式类 似，这时恶意节点对所接收到的发射节点的定位参数信息进行篡改、伪造然后 传递给接收节点。伪造、篡改攻击相对于重放攻击更具有破坏性，使得未知节 点的定位更容易出现大的误差或错误。343女巫攻击(Sybil Attack)女巫攻击(Sybil Attack)和車放攻击(Replay AUnck)样.也只需要一个 攻击节点即可完成，但是女巫攻击对攻击者的要求要复杂的多。它要求攻击者 在传感器网络中随意俘获一个信标节点，然后伪装成多个信标节点，这个被俘 虏的倍标节点就会依次对外发送多个错误的信标节点位置信息。这个节点对整 个系统的定位精度有极大的影响，

18、一旦某一个节点受到女巫攻击就会导致大量 的节点定位失效，更严重的会导致整个网络的瘫痪。女巫攻击的原理如图36所 示，在网络中一旦节点M受到女巫攻击，它就会阻塞与其进行通信的节点A、B 和C的信息，然后节点M分别伪装成节点B和G依次转发经过篡改的或随机 产生的节点的位置信息，这样节点D就会接收到许多错误的坐标信息导致定位 失败。在质心定位算法(Centroid)中，女巫攻击更具有危害性。受到攻击的一个 节点会伪装成多个信标节点，分别向网络中的未知节点发送错误的位置信息, 未知节点利用接收到的错误的信息进行定位运算必然会得出错误的结果。如图37所示，节点M旦受到女巫攻击，它就会伪装成两个信标节点E

19、和F,然后分别向未知节点G发送出错误的坐标信息，未知节点G接收到这些错误的定位信息 之后进行定位计算就会得出其位置为6的错误坐标。344改变测量距离攻击在基于测距的定位算法(Alter Estimation Distance Attack)中，需要测量节点之间的距离，而攻击者可以在测距过程中通过在参考节点和未知节点之间设 置障碍物或干扰设备来产生多径干扰，从而延长信号的传输时间、改变信号的强度，从而改变测量距离。distance (b)如图38和图39所示，己知信标节点A /b，43的位置，要确定未知节点S的坐标。信标节点使用三边测量法、多边测量法等测距技术计算出节点间的距 离，就可以估计出未

20、知节点S的坐标。假若没有测量误差，未知节点位于三个 圆的公共交点处如图38所示。然而在实际应用中，在测量距离过程中很容易受 到外界改变测量距离的攻击，如图39所示。节点如的实际通信半径力山于受到 外界改变测量距离的攻击使之成为从而致使对S的估计位置范围变大。34. 5节点俘虏攻击节点俘虏攻击（Compromise Attack）是无线传感器网络攻击模式中较为复朵的一种攻击方式，它对攻击者有着更为复杂的要求。在这种攻击方式中，攻 击者首先要俘虏网络中的部分节点，然后采用解密技术破解被俘虏节点的通信 密钥和网络中的加密和认证机制，最后攻击者利用己获得的通信密钥和加密认 证机制伪装成网络中的信标节点

21、并伪造虚假报文消息向周传播。在定位过程 中，当未知节点与攻击者所伪装的节点进行通信以获取信标节点的位置信息时, 伪装的信标节点就会伪造错误的虚假信息并发送给要定位的节点，在这种请况 下未知节点直接利用接收到的错误消息进行定位计算肯定会导致定位失败。节 点俘虏攻击危害巨大，一旦网络受到这种攻击就会导致大量的节点定位失效, 从而会导致整个网络功能丧失。35现有的安全定位机制近儿年来随着无线传感器网络的大量投入使用，无线传感器网络面临着更 多的安全问题，其安全定位方法也得到越来越多人的关注。针对于不同的应用 场合，已经出现了各种各样的安全定位算法，根据安全目标不同，可以将这些 安全定位措施分为安全定

22、位机制13切、距离界定与安全定位【3叭鲁棒性节点定 位算法和异常检测技术mi等三个方面。攻击者会针对不同的定位技术发起不同的攻击，安全定位机制具有最大限 度的减弱攻击效果或剔除攻击节点的能力。针对不同的攻击也相应的具有不同 的安全定位算法，大致可以分为两类：监测节点攻击安全定位算法（寻找最大 可信任的参考节点集合）和容忍节点攻击安全定位算法（最大程度弱化攻击效 果），下面分别介绍。351监测攻击节点安全定位算法监测节点攻击的安全定位算法（寻找最大可信任的参考节点集合）主要是 根据系统所采用的定位方法的不同和受到的攻击模型的性质和特点，选用有效 的方法和定位机制，剔除掉攻击节点或恶意节点，寻找最

23、大的可信任的参考节 点集合来进行安全定位。检测节点攻击的安全定位算法主要是基于距离界限（Distance Bounding ）和业离改变量相同（SDM）、投票佔计（Voting-basedEstimation) 统计量的(Statistical Methods )稳定性等三个性质进行安全定位本节简单介绍一下儿种具有代表性的安全定位算法。Donggang Liu, Peng Ning问等提出Beacon Suite安全定位算法。该算法在 定位过程中将已知位置信息的节点充当测试节点，该测试节点用来测试周W节 点是否具有可信任性。具体方法是：该测试节点向周围被测试的节点发送定位 请求，被测试节点则向

24、测试节点回复自己的坐标信息，测试节点利用得到的被 测试节点的坐标值和自身坐标值计算与被测试节点距离的同时通过接收信号的 强度测量两点间的距离。然后比较测量距离和计算距离的大小，若大于设定误 差的最大值，则被测试节点为恶意节点，就可以把该被测试节点列为不可信任 节点，反之则将该节点列为信任的参考节点。最后这些通过测试的节点组成可 信任的参考节点的集合，以用于对未知节点的定位。Donggang Liu, Peng Ning等提出两种抵制攻击的无线传感器网络定位佔讣 算法刖(Attack-Resistant Location Estimation in Sensor Networks)。第一种是应用

25、均方误差作为定位参数集合稳定性的判别指标，在该算法中定位参数集合为/：(3-1)(3-2)/ (人|，X 9 (2 $2，)9 C；，J (兀，儿)为从定位参数汁算得到的坐标位置。均方误差定义为:歹 2 二 (4 一 J(兀厂 +(开一儿)2 )2/=!在没有攻击的悄况下先计算均方误差的值作为判决门限，然后应用蛮力算法(Brute-force Algorithm)、贪婪算法(Greedy Algorithm)或者增强型贪婪算法(Enhanced Greedy Algorithm)找出最大稳定的定位参数集合。第二种是基于投票的定位算法，如图310所示。该定位算法的基本思想是: 首先山定位参数集合

26、确定未知节点可能所在的区域，然后将该区域划分成小的 正方形网格，将信标节点覆盖最多的区域视为可信区域并将该区域的质心作为 未知节点的坐标。Srdjan Capkun和Jean-Pierre Hubaux等提出一种基于测距系统的无线传感器 网络安全定位算法H习（Secure Positioning in Wireless Networks SPINE ）。 SPINE是建立在距离界定协议上的，该协议中攻击者只能增大其和验证者之间的距离而不能缩短P它还利用了多边形校验（Verifiable Multilateration, VM）的性质。VM应用在TOA算法中，如果采用与光传播速度相同的电磁波作为

27、测 量距离的媒介，则恶意节点不会减小信标节点与未知节点之间的距离（光的传 播速度最快），所以攻击节点只能假装比实际距离大；在三角形内部时，为了 保持位置稳定性（Position Consistence）只要移动节点必然将缩短到某一节点间的距离。SPINE上要用于三个以上的信标节点来组成多个三角形，它就可以通 过可验证的多边测量法计算自己的位置，并判断所得位置结果的均方差是否低 于阈值来验证该结果的准确性。具体的验证步骤如下（1）首先验证该节点是否在信标节点组成的三角形内部;其次验证该节点到周围三个信标节点间的均方差是否在阈值范W之内，该均方差计算公式为:(3-3)4 一丿（召一兀+（升一九）2

28、 4 （, = 123）其中（兀”刃）为信标节点的坐标值，（心,力）为被验证节点坐标值，如果上武成 立，则认为该估计的坐标有效。SPINE需要较多的定位参数，并且该算法属于 集中式定位，这样使得节点的运算量增大。Loukas Lazos. Radha Poovendran 和 Srdjan Capkun 等人提出 了无线传感器网 络位置估计算法（Robust Position Estimation in Wireless Sensor Networks,ROPE）。ROPE 是 基于具有方向性的天线来实现了数据采集前的定位声称验证，集体步骤如下: (1) 首先判断能否应用多边形校验(VM)算法

29、，如果执行下一步运算;位置和天线的边界，未知节点收集所有的能接收到得信标节点的坐标和界限，讣算叠区域，并以重叠区域的质心作为坐标。该算法可以防止虫洞攻击和女巫攻击，但增加了计算复杂度和通信开销。Xin Lb Bei Hun等提出Bilateration安全定位算法冋，Bilateration算法如图311和图3-12. 313所示。在图3H中，对于两个信标节点组成的圆形区域可以通过求交点来确定两个位置。在图312中，对于三个信标节点组成的圆形区域可以通过求交点来确定唯一的一个位置。如果信标节点的个数大于三个，如图3-13所示，在理想的W况下，未知节点的坐标是某三个圆的交点，但是在非理想悄况下，

30、三个圆不一定能交到一起。寻找所有相交节点最近的交点组成集合，逐个排除可疑节点。Figure 3-11 Two beacon nodes Figure 3-12 Three beacon nodes Figure 3-13 More beacon nodesMurat Demirbas, Youngwhan Song 等提出 A RSSI-based Scheme for SybilAttack Detection in Wireless Sensor Networks习。该算法是根据女巫攻击在同一位置具有不同身份的特点，利用接收信号功率与距离的关系检测是否存在攻击。女巫攻击检测原理如图314所

31、示。A4tAlt SAs A2图3-14女巫攻击检测Figure 3-14 Sybil Attack detectionS节点在和时刻发送ID (坐标信息)，节点A/分别计算D和时刻S 节点到A/、A去的信号强度的比率，如果两时刻信号强度的比率相同, 则认为存在女巫攻击。该算法在不增加硬件设备的悄况下能有的效检测出女巫 攻击，但是该算法不适合在节点移动的无线传感器网络中应用。Wenliang Du. Lei Fang , Peng Ning等提出的定位不规则检测算法购 (Localization Anomaly Detection LAD),该算法中认为基于群的布置模型服 从某一个概率分布(Probability Distribution Function),即未知节点按一定的概率 分布在U标节点的周为了减小节点的运算量，釆用査表法和插值法近似计 算结果。如图315所示，未知节点S