无线传感器网络安全路由研究综述_

第29卷第12期2012年12月计算机应用研究ApplicationResearchofComputersVol．29No．12Dec．2012无线传感器网络安全路由研究综述*李挺，冯勇(昆明理工大学信息工程与自动化学院云南省计算机技术应用重点实验室，昆明650500)摘要:首先总结了无线传感器网络路由面临的主要安全威胁及其应对机制;然后根据协议所采用的核心安全策略对现有的安全路由协议进行了归纳、分类和比较，并着重对国内外重要的安全路由协议进行了介绍和分析。最后提出了几个无线传感器网络安全路由中需要进一步研究的问题。关键词:无线传感器网络;网络安全;路由攻击;安全策略;安全路由协议中图分类号:TP393文献标志码:A文章编号:1001-3695(2012)12-4412-08doi:10．3969/j．issn．1001-3695．2012．12．003SurveyonsecureroutingresearchinwirelesssensornetworksLITing，FENGYong(YunnanKeyLaboratoryofComputerTechnologyApplications，FacultyofInformationEngineering＆Automation，KunmingUniversityofScience＆Technology，Kunming650500，China)Abstract:ThispaperfirstlysumedupthemainsecurethreatsandcopingmechanismsinthenetworklayerofWSN，andthensummarized，classifiedandcomparedtheexistingsecureroutingprotocolsaccordingtothecoresecureschemesusedbythem，andemphaticallyintroducedandanalyzedtheimportantandtypicalonesamongthem．Lastlythispaperproposedsomeprob-lemswhichwereworthfurtherstudyinginsecureroutingareainWSN．Keywords:wirelesssensornetworks(WSN);networkssecurity;routingattacks;secureschemes;secureroutingprotocols在无线传感器网络的许多应用领域中，如安保防范、战场环境监控等，传感器节点采集和传输的数据非常敏感，确保数据在采集和传递过程中的安全显得尤为重要。由于采用多跳转发的数据传输机制和自组织的组网机制，无线传感器网络中每一个节点都需要参与路由的发现、建立和维护。这些特性使无线传感器网络的路由协议容易受到各种各样的攻击，如伪造路由信息、女巫攻击、虫洞攻击、污水池攻击、Hello泛洪攻击等。这些攻击轻则影响网络的性能，缩短网络的生存时间;重则丢弃、窃取或窜改网络信息，破坏整个网络，给用户造成无法挽回的损失［1～3］。同时，为减少数据消息的传输以节约能量，无线传感器网络中感知数据在传递给汇聚节点的过程中通常需要进行数据融合、冗余消息删除和数据压缩等网内(in-network)处理。数据消息传输过程中所经过的中间节点需要读取、修改和压缩消息的内容，而且无线传感器网络中很可能存在恶意的内部攻击者和被捕获的节点。因此，传统无线网络和Adhoc网络中端到端的加密方式并不能保证无线传感器网络中传输数据的安全，需要在其网络层引入新的安全机制，即采用安全路由协议。安全路由协议不仅要以节约传感器节点能量的方式完成数据消息传输过程中的有效路由决策，而且要保证数据消息从源节点到汇聚节点的传输过程中，在每一个中间节点进行数据融合和冗余消除处理时的安全。由于实现无线传感器网络的安全存在诸多方面的限制，主要包括无线信道开放传输的脆弱性，廉价传感器节点防护薄弱容易被攻击者捕获的脆弱性，部署环境无人看管存在着物理防护的脆弱性，节点计算、存储和能量受限不适合采用安全等级高但计算强度大的公钥密码算法等。这些因素使得无线传感器网络的安全路由成为一个具有挑战性的研究课题，吸引了国内外众多学者对无线传感器网络路由安全进行大量研究，并取得了丰富成果。1典型攻击及其防范1.1典型攻击许多路由协议在最初设计时，只针对无线传感器网络的特点，将提高数据递交成功率、减少传输延迟、节约节点电池能量和延长网络的生存时间等方面作为设计重点，但是并没有考虑安全方面，因而这些协议存在着严重的安全问题。利用路由协议中安全缺陷所发起的攻击，主要可以分为以下几类［1，4，5］:a)伪造路由信息，此类攻击是最简单的。攻击者参与到整个网络中，如数据的传递，在传递过程中攻击者可以传递自己伪造的路由信息给其他节点。由此，攻击者可能造成路由环路，吸引或阻塞网络流量，产生虚假信息，增加端到端的延迟，消耗相邻节点的能量，缩短整个网络的生存时间。b)污水池攻击。如果攻击者只想破坏网络的性能，如增加合法用户收到信息的延迟、减少网络的生存时间等，它可以通过声称自己有充足的能量、路径最优来吸引部分或全部邻居节点将信息传给它，再由它传送出去。借此，攻击者可以将所收稿日期:2012-04-22;修回日期:2012-05-30基金项目:国家自然科学基金资助项目(71161015);云南省自然科学基金资助项目(KKSY201203027)作者简介:李挺(1988-)，男，重庆人，硕士研究生，主要研究方向为无线传感器网络安全;冯勇(1975-)，男(通信作者)，云南楚雄人，副教授，博士，主要研究方向为无线传感器网络和自组织网络(fybraver@163．com)．·4413·第12期李挺，等:无线传感器网络安全路由研究综述有信息全部丢弃或传递虚假信息等。c)选择性传递，此类攻击是对污水池攻击的改进。若攻击者将自己接收到的信息全部丢弃，只要利用网络的冗余性，很快就能发现攻击者，并将其隔离。但如果攻击者采用选择性转发，因为无线传感器网络的拓扑结构存在很强的动态性，部分消息丢失是很正常的，这样就能降低邻居节点对攻击者的怀疑，而攻击者可以继续对网络造成破坏。d)女巫攻击。在大多数路由攻击中，攻击者首先都要融入网络，得到邻居节点的信任，使自己成为路由路径上的一个中间节点。女巫攻击让攻击者在网络中拥有多重身份，让普通节点以为存在着更多节点并且可以通过这些节点将信息传递给汇聚节点或基站，然而这些信息却全都转发给了攻击者。此类攻击针对地理路由协议特别有效。e)Hello泛洪。某些路由协议需要广播Hello数据包来声称自己是其邻居节点，收到数据包的节点会认为发送者在自己的通信范围内。所以攻击者只要发送足够大功率的数据包给普通节点，并广播自己是其邻居节点即可。在以后的信息传递过程中，普通节点可能会选择包含该攻击者的路径，但由于普通节点与攻击者的实际距离太远，信息根本无法到达攻击者，从而导致网络混乱。f)虫洞攻击。针对多跳路由协议，虫洞攻击是一种很好的攻击方法。首先两个节点相互串通(也可以不串通，可以一个攻击者和一个普通节点)，一个位于基站附近，一个相离较远，在它们之间有一条“隧道”，相距较远的节点对外声称自己与基站附近的节点可以建立低延迟、高带宽的信道，让其邻居节点相信它，将信息转发给它。g)确认欺骗。由于无线传感器网络的节点是电池供电，而且一般运行的环境比较恶劣，所以有些节点存在“死亡”或功率不足的问题，从而达不到传递消息的能力。但有些协议需要先通过链路层的确认，再通过得到回复确认的节点转发数据包。攻击者通过监听邻居节点的数据传输，替“死亡”或功率不足的节点发送伪造的链路层确认，让邻居节点以为这些节点还能运行，可以通过这些节点传递信息，从而导致网络失效，或者攻击者以这种诱导方式形成一条它期待的路径。h)拒绝服务攻击。由于攻击者一般拥有足够多的能量，攻击和污水池攻击。b)针对女巫攻击的防范方法。对于那些已经通过认证、融入网络但却被攻击者捕获的节点，可以采用让每个节点与可信的基站使用对称密钥。对于一组邻居节点可以用所得的密钥来实现它们之间的认证和加密连接。由于攻击者可以在网络中移动，与别的节点建立共享密钥，基站则可以限制每个节点可拥有的最多节点数。若邻居节点数目过多，则说明此节点有问题，从而阻止攻击者拥有过多身份。c)针对Hello泛洪的防范方法。可以采用双向确认认证，在双方确定通信前进行双向的确认认证。由于普通节点发送功率小，无法将确认消息发送给攻击者，则认为链路失败。有时攻击者可能采用高功率的接收器达到确认的目的。对此，基站仍然可以采用限制邻居节点数目来防止此类攻击。d)针对选择性转发的防范方法。最好的方式是多路径路由。因为无线传感器网络节点密度较高，具有冗余性，当一个消息从源节点到目的节点有M条路径，而且这些路径完全独立时，能够完全防范多达M个攻击者的攻击。e)针对广播认证和泛洪的防范方法。由于所有节点都信任基站，不能够让攻击者随意伪造基站的信息，因此普通节点必须能够验证消息是否来自基站，可以采用数字签名或在信息中加入认证信息的方式。泛洪防范主要是防止一个消息传播到网络的每个节点，可以要求内部攻击节点在网络基础拓扑结构中形成顶点切割。f)针对虫洞和污水池攻击的防范方法。这两类攻击是最难防范的，特别是当两类攻击相结合时。虫洞攻击很难被检测出来，因为攻击者之间使用私用频率;污水池攻击很难防范是因为普通节点无法辨别攻击者发送消息的真伪。所以最好的防范方法是在设计路由协议时，重点考虑这两种攻击。设计安全路由协议时，就是在考虑怎么避免这些攻击，让无线传感器网络能在一个安全的环境中运行。但因为攻击的多样性和无线传感器网络自身的缺陷，导致想要设计出全面的防范方法是困难的。2安全路由协议［7］它可以在网络中大量占用网络带宽等资源，或者大量消耗普通2002年Perrig等人较早提出了无线传感器网络的安全［1］节点的能量，从而阻碍普通节点正常的数据传输，甚至导致网路由问题;次年Karlof等人对传感器网络路由机制面临的攻络瘫痪。通常针对具体的路由协议可以发动某一种特定类型的攻击，也可以将上述攻击方式组合起来形成新的更有威胁的攻击。而且，随着研究的不断深入，针对无线传感器网络路由攻击的方式也在不断出现，如Ramaswami等人［2］提出了一种谋串的黑洞攻击，Deng等人［3］提出孤立基站的攻击方法，以及Qi等人［6］提出的目标定向的攻击模式等。1.2应对攻击的防范方法为了应对无线传感器网络面临的各种攻击，提高网络的安全性，在研究人员的努力下已提出许多应对攻击的方法。根据所防范种类的不同，这些方法可以作如下分类:a)针对外部攻击的防范方法。大部分无线传感器网络路由协议的外部攻击可以通过简单的链路层加密和认证来防范。因为节点不接受没有通过认证的节点，所以女巫攻击难以实施;又由于阻止了攻击者加入网络，同时也避免了选择性转发击和相应的防范方法进行了讨论，阐述了安全路由问题的重要性。该问题从提出至今一直受到人们的广泛关注，经过研究人员多年的努力，已经取得了丰富的研究成果，提出了许多安全路由协议。根据这些路由协议所采用的核心安全策略，可以将它们分为基于反馈信息的安全路由、基于地理位置的安全路由、基于密码算法的安全路由、基于多路径传输的安全路由、针对层次结构的安全路由和应对特定攻击的安全路由等几类。2.1基于反馈信息的安全路由协议在某些路由协议中，节点通过反馈信息，如延迟、信任度、地理位置、剩余能力等，作出一系列决策以提高安全性改善网络性能。这些决策主要包括安全路径选择、低耗能路径的选择、信任邻居节点的选择等。Cao等人［8］提出的FBSR重点考虑了网络的动态行为、安全路由和能量效应。节点从邻居节点获得当前动态网络信息作为反馈信息，使节点以安全和能量为要求来转发信息。反馈·4414·计算机应用研究第29卷信息包含在MAC层的应答帧中，以避免网络拥塞;以关键