摘要：基于傳感網(wǎng)絡(luò)的感測元件對物理妥協(xié)的弱勢、功率及處理能力的限制、獨(dú)立節(jié)點(diǎn)被侵入等情況，引發(fā)了對傳統(tǒng)安全技術(shù)的重新思考。該文將著重介紹容忍節(jié)點(diǎn)以及誤導(dǎo)網(wǎng)絡(luò)入侵的一些方法：首先是傳感數(shù)據(jù)的分布和網(wǎng)絡(luò)拓?fù)涞陌踩苑治?，然后?cè)重于評估傳感網(wǎng)絡(luò)的脆弱性。由此為傳感網(wǎng)絡(luò)安全開辟一條新的途徑，也為傳感網(wǎng)絡(luò)安全的發(fā)展提供了新思路。

關(guān)鍵詞：無線傳感網(wǎng)絡(luò)；竊聽；數(shù)據(jù)流；概率分布

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）02-0259-03

1 概述

由于傳感網(wǎng)絡(luò)的發(fā)展，對安全與隱私考慮逐漸成為重要的話題。現(xiàn)實(shí)生活中的機(jī)構(gòu)（比如安全系統(tǒng)，智能建筑，醫(yī)院，自動倉庫等）可能需要部署大量的傳感器，這就引發(fā)出對傳感網(wǎng)絡(luò)隱私條款的考慮，以及在傳感網(wǎng)絡(luò)中加固數(shù)據(jù)安全和保密機(jī)制的需求。

在賓夕法尼亞大學(xué)基于應(yīng)用的傳感器編程環(huán)境當(dāng)中，它側(cè)重于發(fā)展一定的基礎(chǔ)設(shè)施來維護(hù)傳感網(wǎng)絡(luò)的安全。在這樣的設(shè)施當(dāng)中，傳感裝置和網(wǎng)絡(luò)可能是不均勻分布的，例如智能讀卡器，攝像機(jī)，移動傳感器等等， 傳感網(wǎng)絡(luò)也有可能直接通過因特網(wǎng)與外界的數(shù)據(jù)源互動。其重點(diǎn)就在于保護(hù)應(yīng)用數(shù)據(jù)使他免受竊聽和黑客的攻擊。

就安全而言，傳感網(wǎng)有幾個(gè)非常重要的特性將它與傳統(tǒng)的分布式系統(tǒng)區(qū)別開來。首先，感測元件是被嵌入在這個(gè)環(huán)境當(dāng)中的，所以它經(jīng)常容易受到物理妥協(xié)和本地竊聽。其次，感測元件有顯著的功率和處理限制。昂貴的加密協(xié)議不僅阻礙它的運(yùn)行，也限制了它對整個(gè)傳感網(wǎng)造成的損害的數(shù)目。第三，傳感網(wǎng)絡(luò)的各項(xiàng)應(yīng)用一般都是一致的，或者是基于聚合的，這意味著妥協(xié)的一個(gè)或幾個(gè)節(jié)點(diǎn)將不會對整個(gè)系統(tǒng)造成嚴(yán)重的影響。

安全技術(shù)可以被傳感網(wǎng)采用，這樣可以通過減少加密的計(jì)算要求，在其受限的處理能力之內(nèi)完成操作。盡管如此，加密技術(shù)可不是為傳感網(wǎng)的各種應(yīng)用提供保護(hù)的唯一渠道。事實(shí)上，如果一個(gè)進(jìn)攻者有足夠的資源密匙，那么很短的加密方案將無法起到保護(hù)的作用。而且如果攻擊者妥協(xié)了若干個(gè)節(jié)點(diǎn)，這樣的技術(shù)將不會考慮對整個(gè)系統(tǒng)產(chǎn)生的效果。

在這里提倡另一種方法：任何現(xiàn)實(shí)生活當(dāng)中的攻擊者都會被它意圖攻擊的系統(tǒng)的屬性所限制，利用這一點(diǎn)可以搶占一定的有利條件。該文假設(shè)一定數(shù)目的節(jié)點(diǎn)會被妥協(xié)，然后基于網(wǎng)絡(luò)的大小，展示傳感網(wǎng)絡(luò)應(yīng)用的隱私和安全的初始結(jié)構(gòu)、分類以及方法論。目的就是用妥協(xié)來檢查概率的保證，繼而理解并改進(jìn)現(xiàn)存的合成策略，而不是提供隱私和安全的保障。文章的重點(diǎn)就在于竊聽問題，盡管我們會將其他類型的攻擊一概而論。特別提出，我所做的研究主要有：

1）基于攻擊者的目的，為傳感網(wǎng)提議了一個(gè)攻擊模型的分類準(zhǔn)則。

2）在若干個(gè)節(jié)點(diǎn)被妥協(xié)的前提下，來評估系統(tǒng)的保密性和安全性的提議。

3）展示了該方法如何被用于選擇協(xié)議和取樣策略。

4）討論了加密和非加密技術(shù)將被用來提升傳感網(wǎng)的保密性。

2 攻擊模型的分類準(zhǔn)則

通過妥協(xié)的節(jié)點(diǎn)竊聽，敵人可能嘗試去違犯傳感網(wǎng)應(yīng)用的安全性。為了評估出傳感應(yīng)用的安全性特征，必須了解對手攻擊的潛在目的。這里基于對手的目的定義了一個(gè)傳感網(wǎng)攻擊模型的分類法則。

2.1 竊聽

對手（竊聽者）目的在于確定被傳感網(wǎng)輸出的合成數(shù)據(jù)，是在嘗試查看系統(tǒng)在觀測什么，例如傳感網(wǎng)的用戶將會如何反應(yīng)。敵手將會傾聽節(jié)點(diǎn)傳送的信息，或者直接妥協(xié)掉這些節(jié)點(diǎn)。進(jìn)一步區(qū)分兩種竊聽如下：

1）被動式：竊聽者對傳感節(jié)點(diǎn)隱藏自身的所在，然后僅用廣播媒介來竊聽所有的信息。

2）主動式：竊聽者通過主動向傳感器或合成節(jié)點(diǎn)發(fā)送查詢，又或攻擊傳感節(jié)點(diǎn)來辨認(rèn)信息。

2.2 瓦解

對手的目的是要瓦解傳感應(yīng)用。這主要由兩種技術(shù)組合而成：

1）語意的：敵手注入信息，破壞數(shù)據(jù)或改變數(shù)值來補(bǔ)償合成數(shù)據(jù)當(dāng)中被破壞的或無用的。

2）物理的：敵手通過直接控制環(huán)境擾亂傳感閱讀。例如，在傳感器附近產(chǎn)生熱量會導(dǎo)致錯(cuò)誤數(shù)報(bào)告。

2.3 劫持

該類破壞模型可以用一個(gè)案例來說明：敵手想要令傳感應(yīng)用的合成輸出指向一個(gè)她選定的值。如果敵手能夠控制足夠的傳感器，那么這一類攻擊將會是最難解決的。

我們關(guān)注的焦點(diǎn)： 在本文中， 形成了第一步的攻擊模型解決分類， 我們將在嚴(yán)格的情況下偷聽。假設(shè)對手的目標(biāo)是確定聚集值輸出網(wǎng)絡(luò)： 能從另一定義試圖精確地確定有關(guān)感覺環(huán)境. 相信這是一種更有可能的攻擊動機(jī)傳感器網(wǎng)絡(luò)。在定義中，試圖保護(hù)的系統(tǒng)是看見了， 從而預(yù)測如何使使用者的系統(tǒng)做出反應(yīng)， 而不只是環(huán)境保護(hù)信息。我們注意到，我們的傳感器網(wǎng)絡(luò)應(yīng)用還可以最準(zhǔn)確的信息環(huán)境。

3 傳感網(wǎng)絡(luò)模型

從引入一個(gè)傳感網(wǎng)絡(luò)開始，先檢查計(jì)算是如何進(jìn)行的，然后分析網(wǎng)絡(luò)的精確程度和成本。這些因素，如同被竊聽的脆弱性一樣，將會成為評估傳感網(wǎng)絡(luò)的基礎(chǔ)。

1）數(shù)據(jù)流與合成

來自傳感器的數(shù)據(jù)是典型的連續(xù)型而且隨時(shí)間變化， 與實(shí)際的離散數(shù)值相反。捕捉這種數(shù)據(jù)是適當(dāng)?shù)摹?/p>

定義1：傳感器數(shù)據(jù)流是一個(gè)可能含有無窮個(gè)元素的序列 {n}n≥1，這里id∈Z+是一個(gè)傳感器的標(biāo)識，d 是一個(gè)傳感器的數(shù)據(jù)結(jié)構(gòu)。T是一個(gè)時(shí)間戳，P 是ф或者傳感器的位置。

推論有兩種數(shù)據(jù)流的正交類型：其一為數(shù)據(jù)流內(nèi)合成，只發(fā)生在單獨(dú)的數(shù)據(jù)流和一個(gè)時(shí)間窗口之內(nèi)；多數(shù)據(jù)流合成，在一個(gè)時(shí)間窗口或者是相同的時(shí)間范圍之內(nèi)，集合多條數(shù)據(jù)流的數(shù)據(jù)。

數(shù)據(jù)流內(nèi)合成可以被看成是某一個(gè)傳感器在幾個(gè)時(shí)間窗口內(nèi)所發(fā)出的所有的數(shù)據(jù)的聚合。我們也可以把多數(shù)據(jù)流合成看成是相同時(shí)間窗口之內(nèi)來自于多個(gè)傳感器的數(shù)據(jù)的合成。

2）分層合成

為了達(dá)到分析的目的，我們找出感知，通信，計(jì)算，通過收集和合成純數(shù)據(jù)查看網(wǎng)絡(luò)的具體細(xì)節(jié)。分層合成樹是一個(gè)遞歸的結(jié)構(gòu)，它的每一個(gè)層級和子節(jié)點(diǎn)都向父節(jié)點(diǎn)發(fā)送數(shù)值，父節(jié)點(diǎn)負(fù)責(zé)合成數(shù)值。基站就是最高層的中間點(diǎn)。而所建的模型是與最受推崇的聚合算法一致的。[1-3]

最后，假設(shè)傳感器觀測到的數(shù)值不是一致的，可以通過一些概率數(shù)據(jù)的分布被賦予一定的特征。典型的傳感網(wǎng)絡(luò)的數(shù)據(jù)包括一定數(shù)目的屬性；一個(gè)概率密度方程可以用來給可能的事物分配一定的概率。這樣的模型可以通過收集數(shù)據(jù)并運(yùn)用算法來學(xué)習(xí)，學(xué)習(xí)一個(gè)模型包括維護(hù)特定的參數(shù)，例如，方式和變量，還有應(yīng)對噪音和異常數(shù)值等。有大量關(guān)于學(xué)習(xí)數(shù)據(jù)流模型的文獻(xiàn)可以參考。[4-5]

4 建模竊聽

現(xiàn)在開始進(jìn)入敵人的一些傳感器讀數(shù)（或者通過竊聽或妥協(xié)）， 誰正在試圖竊聽傳感器網(wǎng)絡(luò)。我認(rèn)為保密方面的網(wǎng)絡(luò)是否能估計(jì)敵人產(chǎn)值δ的公差較小?；趲讉€(gè)竊聽的危險(xiǎn)參數(shù)重要的計(jì)算。首先，一個(gè)受損害的概率是集感測節(jié)點(diǎn)， SA， 大的節(jié)點(diǎn)就被我們的應(yīng)用程序取樣， SC， 這是一個(gè)函數(shù)的概率，其大小的完成， 具體由σ聚合函數(shù)及數(shù)據(jù)分布傳感器獲得。例如，如果多個(gè)傳感器產(chǎn)生相同的閱讀，那么對手就可以從一個(gè)單一的讀數(shù)進(jìn)入妥協(xié)的系統(tǒng)。[6]

1）層次聚集

到目前為止，都只考慮聚集在一群，并有一個(gè)單一的聚集點(diǎn)?，F(xiàn)在再推廣到竊聽層次組：目標(biāo)是考慮關(guān)閉的對手得到累計(jì)價(jià)值較高的權(quán)限時(shí)，她在樹型數(shù)據(jù)組成的低水平的那一群里。值越高越接近的對手的竊聽，能夠找到整個(gè)網(wǎng)絡(luò)的總和。

2）性能比

竊聽的脆弱性γ或γl給出了一個(gè)對手的概率，可以獲得較好的估算效果。顯然，想用這個(gè)概率設(shè)計(jì)傳感器網(wǎng)絡(luò)，要考慮到性能比。更要考慮額外的開銷。

5 防止竊聽

鑒于影響竊聽的潛在因素，現(xiàn)在用一些一般性的技術(shù)來防止敵人。分為傳統(tǒng)加密技術(shù)和密碼方案兩種。

1）加密技術(shù)

使用加密和非加密技術(shù)使系統(tǒng)更安全的防止竊聽和其它攻擊事件。加密可以用來保持?jǐn)?shù)據(jù)安全脫離敵人，而非加密技術(shù)可以用來抵御虛假的數(shù)據(jù)。在本質(zhì)上，這些技術(shù)試圖確保傳感器網(wǎng)絡(luò)環(huán)境所有的鏈接。對稱的關(guān)鍵技術(shù)是最常用的方法，但目前尚不清楚如何管理好鑰匙和怎樣證明架空的加密。在許多工程技術(shù)之前加入無線傳感器網(wǎng)絡(luò)。

然而，許多方法假定pre-key妨礙創(chuàng)造和分配網(wǎng)絡(luò)比較困難。在端到端加密中，Perrig提倡不可能預(yù)見到新的傳感器網(wǎng)絡(luò)及其解決方法。此外，如果這些節(jié)點(diǎn)沒有幫助自己受到威脅的承諾。我們簡要建議多種加密。

2）非加密技術(shù)

非加密技術(shù)使它更難被竊，通過減少對手的傳感器數(shù)據(jù)采集系統(tǒng)的采樣比SC的數(shù)據(jù)多。一個(gè)方法是故意偽造數(shù)據(jù)發(fā)送（或數(shù)據(jù)）和虛假的補(bǔ)償傳感器，并通過濾噪聲合并點(diǎn)。過濾后，產(chǎn)生的數(shù)據(jù)集的信息將包括合法的潛在網(wǎng)絡(luò)。敵人并沒有意識到這一點(diǎn)的信息共享，就會看到數(shù)據(jù)進(jìn)行不同的分布。

這樣的一個(gè)觀點(diǎn)被稱為混亂[6]。當(dāng)傳感器傳遞一個(gè)消息，它在個(gè)體節(jié)點(diǎn)列表之后添加的共享權(quán)標(biāo)。一套混亂生成節(jié)點(diǎn)才能注入假的數(shù)據(jù)，使得第三方進(jìn)入網(wǎng)絡(luò)，并能產(chǎn)生混亂信息，還可以通過第三方節(jié)點(diǎn)成為一個(gè)集合中的傳感器。在接收端使用于分離合成訊息?？偣?jié)點(diǎn)能過濾掉多余的信息。因此，她會最終接受了分布在網(wǎng)絡(luò)的不同的數(shù)據(jù) ，承擔(dān)傳感器共享獨(dú)有的秘密，但可能會需要一定的計(jì)算，它是寬容地對待這個(gè)妥協(xié)的一些節(jié)點(diǎn)去竊聽。 [7]

傳感器網(wǎng)絡(luò)提出另一個(gè)方法去隱藏?cái)?shù)據(jù)。隱藏的數(shù)據(jù)包括一個(gè)預(yù)定義的偏移量。這是用匿名的方法實(shí)現(xiàn)的網(wǎng)絡(luò)。也可以被用來反竊聽： 1）首先，節(jié)點(diǎn)劃分多個(gè)子集。2）然后，基于共享的秘密，每個(gè)節(jié)點(diǎn)安排一個(gè)偏移量。被添加到實(shí)際傳感器。理想上，應(yīng)該是一個(gè)獨(dú)特的抵消隔斷。3）在點(diǎn)的集合，適當(dāng)?shù)拇咕嗫梢孕纬闪夹匝h(huán)。

6 結(jié)論和未來的工作

本文對無線傳感器網(wǎng)脆弱性進(jìn)行了詳述，并認(rèn)真分析基于對手的目的，定義了傳感網(wǎng)攻擊模型的分類法則及傳感網(wǎng)絡(luò)模型，并對各類方法及傳感網(wǎng)絡(luò)模型進(jìn)行了闡述與說明。這些工作為加強(qiáng)傳感網(wǎng)絡(luò)安全做出了鋪墊，也為傳感網(wǎng)絡(luò)安全方法提供了某些啟示性想法。 下一步工作將會加大研究范圍，使該方法應(yīng)用于更多的領(lǐng)域。

參考文獻(xiàn)：

[1] Madden S， Franklin M J， Hellerstein J M.Design of an acquisitional query processor for sensor networks[J].SIGMOD， 2003：491-502.

[2] Yaoand Y， Gehrke J.Query processing for sensor networks[J].CIDR2003， 2003.

[3] Hellerstein J M，Hong W，Madden S.Beyond average： Towards sophisticated sensing withqueries[J].2nd International Workshop on Information Processing in Sensor Networks ，IPSN’03， March 2003.

[4] Babcock B，Babu S，Datar M.Models and issues in data stream systems[J].PODS’02 Proceedings of the twenty-first ACM SIGMOD-SIGACT-SIGART symposium on Principles of database systems， New York，NY， USA， ACM Press.2002：1-16.

[5] Chu F， Wang Y， Zaniolo C.An adaptive learning approach fornoisy data streams [J].ICDM， 2004：351-354.

[6] 王東安，張方舟，秦剛，等.無線傳感器網(wǎng)絡(luò)安全協(xié)議的研究[J].計(jì)算機(jī)工程，2005，31（21）：10-13.

[7] 余群.無線傳感器網(wǎng)絡(luò)Sybil攻擊檢測及安全路由協(xié)議研究[D].蘇州：江蘇大學(xué)，2006.