無(wú)線傳感器網(wǎng)絡(luò)隱私保護(hù)關(guān)鍵性問題研究

【摘要】隨著無(wú)線傳感器網(wǎng)絡(luò)的廣泛應(yīng)用，安全問題發(fā)生變化，通信安全成為重要的一部分，隱私保護(hù)日漸重要。首先分析了無(wú)線傳感器網(wǎng)絡(luò)的通信安全特點(diǎn)、通信安全的需求、面臨的保密性威脅及攻擊模型。最后，基于對(duì)無(wú)線傳感器網(wǎng)絡(luò)隱私保護(hù)問題的分析和評(píng)述，指出了今后該領(lǐng)域的研究方向。

【關(guān)鍵詞】無(wú)線傳感器網(wǎng)絡(luò)；通信安全；隱私保護(hù)；保密性

隨著無(wú)線傳感器網(wǎng)絡(luò)（Wireless Sensor Network，WSN）理論與技術(shù)的不斷成熟，其應(yīng)用已經(jīng)由國(guó)防軍事領(lǐng)域擴(kuò)展到環(huán)境監(jiān)測(cè)、交通管理、醫(yī)療衛(wèi)生、制造業(yè)、反恐抗災(zāi)等諸多領(lǐng)域，使人們?cè)谌魏螘r(shí)間、任何地點(diǎn)和任何環(huán)境條件下都能夠獲得大量詳實(shí)可靠的信息，真正實(shí)現(xiàn)/無(wú)處不在的計(jì)算0理念。

WSN是一種大規(guī)模的分布式網(wǎng)絡(luò)，常部署于無(wú)人維護(hù)、條件惡劣的環(huán)境當(dāng)中，且大多數(shù)情況下傳感節(jié)點(diǎn)都是一次性使用，從而決定了傳感節(jié)點(diǎn)是價(jià)格低廉、資源極度受限的無(wú)線通信設(shè)備。在復(fù)雜的安全環(huán)境、多樣的安全需求和資源限制等因素的綜合影響下，WSN的安全受到嚴(yán)峻的挑戰(zhàn)。為WSN創(chuàng)造一個(gè)相對(duì)安全的工作環(huán)境，是關(guān)系到WSN能否真正走向?qū)嵱玫年P(guān)鍵性問題。另外，在WSN中，安全的概念也發(fā)生了變化，通信安全是其中重要的一部分，隱私保護(hù)日漸重要。

1.無(wú)線傳感器網(wǎng)絡(luò)的通信安全需求

WSN起源于軍事應(yīng)用領(lǐng)域，主要采用射頻無(wú)線通信組網(wǎng)。由于網(wǎng)絡(luò)中資源嚴(yán)格受限，為使有限的資源發(fā)揮最大的安全效益，要求具有如下通信安全需求：

（1）節(jié)點(diǎn)的安全保證

傳感節(jié)點(diǎn)是構(gòu)成WSN的基本單元，節(jié)點(diǎn)的安全性包括節(jié)點(diǎn)不易被發(fā)現(xiàn)和節(jié)點(diǎn)不易被篡改。WSN中普通傳感器節(jié)點(diǎn)的數(shù)量眾多，少數(shù)節(jié)點(diǎn)被破壞不會(huì)對(duì)網(wǎng)絡(luò)造成太大的影響。

但敵手如果俘獲節(jié)點(diǎn)，就可能從中讀出密鑰、程序等機(jī)密信息，甚至可以重寫存儲(chǔ)器將該節(jié)點(diǎn)變成一個(gè)“臥底”。為防止為敵所用，要求節(jié)點(diǎn)具備抗篡改能力。

（2）被動(dòng)抵御入侵的能力

WSN安全系統(tǒng)的基本要求是：在局部發(fā)生入侵的情況下，保證網(wǎng)絡(luò)的整體可用性。

1）對(duì)抗外部攻擊者的能力：外部攻擊者是指那些沒有得到密鑰、無(wú)法接入網(wǎng)絡(luò)的節(jié)點(diǎn)。外部攻擊者無(wú)法有效地注入虛假信息，但是可以進(jìn)行竊聽、干擾、分析通信量等活動(dòng)，為進(jìn)一步攻擊收集信息。因此，對(duì)抗外部攻擊者，首先需要解決機(jī)密性問題；其次，要防范能擾亂網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的簡(jiǎn)單網(wǎng)絡(luò)攻擊，如重放數(shù)據(jù)包等，這些攻擊會(huì)造成網(wǎng)絡(luò)性能下降；再次，要盡量減少入侵者得到密鑰的機(jī)會(huì)，防止外部攻擊者演變成內(nèi)部攻擊者。

2）對(duì)抗內(nèi)部攻擊者的能力：內(nèi)部攻擊者是指那些獲得了相關(guān)密鑰并以合法身份混入網(wǎng)絡(luò)并發(fā)布欺騙信息的攻擊節(jié)點(diǎn)。由于WSN不可能阻止節(jié)點(diǎn)被篡改，而且密鑰可能被對(duì)方破解，因此總會(huì)有入侵者在取得密鑰后以合法身份接入網(wǎng)絡(luò)。由于至少能取得網(wǎng)絡(luò)中一部分節(jié)點(diǎn)的信任，因此內(nèi)部攻擊者能發(fā)動(dòng)的網(wǎng)絡(luò)攻擊種類更多，危害更大，也更隱蔽。

（3）主動(dòng)反擊入侵的能力

主動(dòng)反擊能力是指網(wǎng)絡(luò)安全系統(tǒng)能夠主動(dòng)地限制甚至消滅入侵者，為此至少需要具備以下能力：

1）入侵檢測(cè)能力：和傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)相似，首先需要準(zhǔn)確識(shí)別網(wǎng)絡(luò)內(nèi)出現(xiàn)的各種入侵行為并發(fā)出警報(bào)，其次，入侵檢測(cè)系統(tǒng)還必須確定入侵節(jié)點(diǎn)的身份或者位置，只有這樣才能隨后發(fā)動(dòng)有效反擊。

2）隔離入侵者的能力：網(wǎng)絡(luò)需要具有根據(jù)入侵檢測(cè)信息，調(diào)度網(wǎng)絡(luò)正常通信來(lái)避開入侵者，同時(shí)，丟棄任何由入侵者發(fā)出的數(shù)據(jù)包的能力。這樣相當(dāng)于把入侵者和己方網(wǎng)絡(luò)從邏輯上隔離開來(lái)，可以防止它繼續(xù)危害網(wǎng)絡(luò)。

3）消滅入侵者的能力：要想徹底消除入侵者對(duì)網(wǎng)絡(luò)的危害就必須消滅入侵節(jié)點(diǎn)。但是讓網(wǎng)絡(luò)自主消滅入侵者是較難實(shí)現(xiàn)的。由于WSN的主要用途是為用戶收集信息，因此可以在網(wǎng)絡(luò)提供的入侵信息的引導(dǎo)下，由用戶通過人工方式消滅入侵者。

2.保密性威脅

借助WSN，很容易收集個(gè)人信息。有的機(jī)構(gòu)將個(gè)人信息當(dāng)作商品，進(jìn)行收集、交換和出售。人們對(duì)這些行為越來(lái)越警覺，，希望保護(hù)自己的隱私。

在諸如戰(zhàn)場(chǎng)等特定情形下，保密性是一本質(zhì)特性。有三種類型的保密性威脅：

（1）內(nèi)容保密性威脅：因?yàn)橄⒌拇嬖诤退幬恢玫捻樞蜿P(guān)系，敵手能夠確定信息交換的含義，這就存在內(nèi)容保密性威脅。

（2）身份保密性威脅：如果敵手能夠演繹出參與通信的節(jié)點(diǎn)，那就存在身份保密性威脅。

（3）位置保密性威脅：如果敵手能夠推斷出通信實(shí)體的物理位置或估計(jì)出相對(duì)通信實(shí)體的距離，那就存在位置保密性威脅。

3.隱私保護(hù)研究進(jìn)展

WSN中的隱私保護(hù)研究起步于2003年，根據(jù)WSN潛在的保密性威脅和攻擊，國(guó)際上對(duì)于WSN中的隱私保護(hù)作了如下幾個(gè)方面的研究。

3.1 信息加密

現(xiàn)代安全技術(shù)依靠密鑰來(lái)保護(hù)和確認(rèn)信息，而不是依靠安全算法，所以通信加密密鑰、認(rèn)證密鑰和各種安全啟動(dòng)密鑰需要嚴(yán)格的保護(hù)。對(duì)傳輸信息加密可以解決竊聽問題，但需要一個(gè)靈活、強(qiáng)健的密鑰交換和管理方案。由于WSN資源嚴(yán)格受限，使得非對(duì)稱密碼的許多算法，如Diffie-Hellman密鑰協(xié)商算法無(wú)法在WSN上實(shí)現(xiàn)。根據(jù)共享密鑰節(jié)點(diǎn)的個(gè)數(shù)，，可以把WSN中的密鑰管理方法分為對(duì)密鑰管理方案和組密鑰管理方案。

3.2 匿名機(jī)制

在WSN中，匿名阻止第三方了解參與通信的消息發(fā)送方和接收方的特性。匿名包括發(fā)送方和接收方間的發(fā)送方匿名、接收方匿名和無(wú)鏈接能力。通過匿名，敵手不能通過讀從網(wǎng)絡(luò)中截獲的消息或從被俘傳感節(jié)點(diǎn)轉(zhuǎn)發(fā)來(lái)的消息確定發(fā)送和接收方的特性；也不能斷定兩個(gè)通信段是否屬于同一通信。

匿名機(jī)制使數(shù)據(jù)在傳送前失去個(gè)性。因?yàn)槿磕涿抢щy的，所以在解決保密性問題時(shí)，需要在匿名和公用信息需求間作一平衡。

3.3 基于對(duì)策的方法保證網(wǎng)絡(luò)中的傳感信息只有可信實(shí)體才可以訪問，這可通過建立在保密性對(duì)策規(guī)范基礎(chǔ)上的訪問控制決議和認(rèn)證來(lái)實(shí)現(xiàn)。

（1）根據(jù)不同的密鑰給數(shù)據(jù)以不同的保密級(jí)。

（2）弱化節(jié)點(diǎn)的異構(gòu)性，增加重要節(jié)點(diǎn)的冗余度。一旦系統(tǒng)的關(guān)鍵節(jié)點(diǎn)被破壞，通過選舉機(jī)制或網(wǎng)絡(luò)重組方式進(jìn)行網(wǎng)絡(luò)重構(gòu)。

（3）使用輸出過濾（egress filtering）。通過認(rèn)證冤路由的方式確認(rèn)一個(gè)數(shù)據(jù)包是否是從它的合法子節(jié)點(diǎn)發(fā)送過來(lái)的，直接丟棄不能認(rèn)證的數(shù)據(jù)包。這樣攻擊的數(shù)據(jù)包在前幾級(jí)的節(jié)點(diǎn)轉(zhuǎn)發(fā)過程中就會(huì)被丟棄，從而達(dá)到保護(hù)目標(biāo)節(jié)點(diǎn)的目的。

（4）多路徑路由，通過多個(gè)路徑傳輸部分信息，并在目的地進(jìn)行重組。

4.隱私保護(hù)研究方向

目前，有關(guān)無(wú)線傳感器網(wǎng)絡(luò)隱私保護(hù)問題的研究才剛剛起步，雖然做了一些初步探索，但方法還不成熟。發(fā)現(xiàn)和探索保密性威脅存在的地方，觀察和開發(fā)解決隱私保護(hù)問題的方法是重要的。

（1）現(xiàn)有的預(yù)置密鑰管理方案可擴(kuò)展性不強(qiáng)，而且不支持網(wǎng)絡(luò)合并。如何在資源受限的網(wǎng)絡(luò)環(huán)境下，建立支持網(wǎng)絡(luò)合并，且具有靈活的可擴(kuò)展性的預(yù)置密鑰管理方案是一個(gè)需要進(jìn)行深入研究的問題。

（2）從安全的角度來(lái)看，非對(duì)稱密碼體制的安全強(qiáng)度在計(jì)算意義上要遠(yuǎn)遠(yuǎn)高于對(duì)稱密碼體制。如何優(yōu)化非對(duì)稱加密算法，使之適用于資源受限的無(wú)線傳感器網(wǎng)絡(luò)，任然是一個(gè)需要進(jìn)一步研究的問題。

（3）僅用加密的方法不能保護(hù)系統(tǒng)的隱私。在事件驅(qū)動(dòng)型傳感器網(wǎng)絡(luò)中，傳感節(jié)點(diǎn)只有在監(jiān)測(cè)到事件時(shí)，才發(fā)送消息。敵手使用相應(yīng)頻段的接收設(shè)備就可以接收鏈路中的信號(hào)，進(jìn)行竊聽。敵手不必知道原始消息的具體內(nèi)容，僅憑觀察到消息的存在就斷定監(jiān)測(cè)事件出現(xiàn)了。在傳統(tǒng)網(wǎng)絡(luò)中，可以用周期性地發(fā)送空閑包的方法來(lái)隱藏真正的消息包，但在傳感器網(wǎng)絡(luò)中，由于傳感節(jié)點(diǎn)資源嚴(yán)格受限，采用這樣的方法來(lái)保護(hù)隱私是行不通的。在這種情形下，如何隱藏傳感信號(hào)是一個(gè)需要研究的問題。