無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)8.1網(wǎng)絡(luò)安全技術(shù)概述8.2無(wú)線傳感器網(wǎng)絡(luò)的安全機(jī)制8.3信息隱私權(quán)與保護(hù)8.4數(shù)據(jù)計(jì)算安全性8.5業(yè)務(wù)認(rèn)證與加密技術(shù)8.6物理設(shè)備安全問(wèn)題8.7移動(dòng)互聯(lián)網(wǎng)安全漏洞與防范技術(shù)思考題

8.1網(wǎng)絡(luò)安全技術(shù)概述

眾所周知，在日常使用的公共信息網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅，安全管理始終是網(wǎng)絡(luò)管理中最困難、最薄弱的環(huán)節(jié)之一。在某些商業(yè)應(yīng)用或者軍事應(yīng)用的無(wú)線傳感器網(wǎng)絡(luò)中，安全問(wèn)題不容忽視。從網(wǎng)絡(luò)技術(shù)的發(fā)展史可以得出這樣一個(gè)結(jié)論：沒(méi)有足夠安全保證的網(wǎng)絡(luò)是沒(méi)有前途的。因此，傳感器網(wǎng)絡(luò)的安全問(wèn)題研究是十分重要的。

網(wǎng)絡(luò)安全技術(shù)主要包括以下內(nèi)容：

(1)機(jī)密性問(wèn)題。所有敏感數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中都要保證其機(jī)密性。

(2)完整性鑒別問(wèn)題。網(wǎng)絡(luò)節(jié)點(diǎn)在接收到一個(gè)數(shù)據(jù)包時(shí)，能夠確認(rèn)這個(gè)數(shù)據(jù)包和發(fā)出來(lái)時(shí)一模一樣，沒(méi)有被中間節(jié)點(diǎn)篡改或者通信出錯(cuò)。

(3)新鮮性問(wèn)題。數(shù)據(jù)本身具有時(shí)效性，網(wǎng)絡(luò)節(jié)點(diǎn)能夠判定最新接收到的數(shù)據(jù)包是發(fā)送者最新產(chǎn)生的數(shù)據(jù)包。

(4)點(diǎn)到點(diǎn)的消息認(rèn)證問(wèn)題。網(wǎng)絡(luò)節(jié)點(diǎn)在接收到消息時(shí)，需要確認(rèn)這個(gè)消息確實(shí)是從網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)發(fā)送出來(lái)的而不是別人冒充的。

(5)認(rèn)證組播/廣播問(wèn)題。認(rèn)證組播/廣播解決的是單一節(jié)點(diǎn)向一組/所有節(jié)點(diǎn)發(fā)送統(tǒng)一通告的認(rèn)證安全問(wèn)題。

(6)安全管理問(wèn)題。安全管理包括安全引導(dǎo)和安全維護(hù)兩個(gè)部分。安全引導(dǎo)是指一個(gè)網(wǎng)絡(luò)從分散的、獨(dú)立的、沒(méi)有安全通道保護(hù)的個(gè)體集合，按照預(yù)定的協(xié)議機(jī)制逐步形成統(tǒng)一的、完整的、具有安全信道保護(hù)的、連通的安全網(wǎng)絡(luò)的過(guò)程。安全維護(hù)主要研究通信中的密鑰更新，以及網(wǎng)絡(luò)變更引起的安全變更，其方法往往是安全引導(dǎo)過(guò)程的延伸。

8.1.1網(wǎng)絡(luò)安全問(wèn)題

依據(jù)傳感器網(wǎng)絡(luò)的安全需求，可以將傳感器網(wǎng)絡(luò)安全分為實(shí)體安全和系統(tǒng)安全。其中，系統(tǒng)安全又可以分為通信安全和信息安全。實(shí)體安全是指?jìng)鞲衅骶W(wǎng)絡(luò)的節(jié)點(diǎn)所處的物理?xiàng)l件、物理環(huán)境的安全標(biāo)準(zhǔn)等方面的內(nèi)容。信息安全就是要保證網(wǎng)絡(luò)中傳輸信息的安全性，它是以通信安全為基礎(chǔ)，側(cè)重于網(wǎng)絡(luò)中所傳輸?shù)男畔⒌恼鎸?shí)性、完整性和保密性，是面向用戶應(yīng)用的安全。

1．通信安全

通信安全是面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，目的是保證傳感器網(wǎng)絡(luò)內(nèi)數(shù)據(jù)采集、融合、傳輸?shù)然竟δ艿恼＿M(jìn)行。為此，通信安全應(yīng)具備保證節(jié)點(diǎn)安全、被動(dòng)抵御入侵和主動(dòng)反擊入侵的能力。傳感器節(jié)點(diǎn)是構(gòu)成傳感器網(wǎng)絡(luò)的基本單元，如果入侵者能輕易找到并毀壞各個(gè)節(jié)點(diǎn)，那么網(wǎng)絡(luò)就沒(méi)有任何安全性可言了。

節(jié)點(diǎn)的安全性又可以分以下兩類：節(jié)點(diǎn)被發(fā)現(xiàn)問(wèn)題和篡改節(jié)點(diǎn)內(nèi)容問(wèn)題。

(1)節(jié)點(diǎn)被發(fā)現(xiàn)問(wèn)題。無(wú)線傳感器網(wǎng)絡(luò)中的普通傳感器節(jié)點(diǎn)的數(shù)量眾多，少數(shù)節(jié)點(diǎn)被破壞不會(huì)對(duì)網(wǎng)絡(luò)造成太大影響。但是，一定要保證簇頭等特殊節(jié)點(diǎn)不被發(fā)現(xiàn)，這些節(jié)點(diǎn)在網(wǎng)絡(luò)中只占極少數(shù)，一旦被破壞，整個(gè)網(wǎng)絡(luò)就面臨失效的危險(xiǎn)。

(2)篡改節(jié)點(diǎn)內(nèi)容問(wèn)題。節(jié)點(diǎn)不易被篡改。節(jié)點(diǎn)被發(fā)現(xiàn)后，入侵者可能從中讀出密鑰、程序等機(jī)密信息，甚至可以重寫存儲(chǔ)器將該節(jié)點(diǎn)變成一個(gè)“臥底”。

在實(shí)際應(yīng)用中，由于受諸多因素的限制，要把傳感器網(wǎng)絡(luò)的安全系統(tǒng)做得非常完善是非常困難的。因此，在遭到入侵時(shí)網(wǎng)絡(luò)的被動(dòng)防御能力很重要，這就要求傳感器網(wǎng)絡(luò)具備對(duì)抗外部攻擊者和對(duì)抗內(nèi)部攻擊者的能力。外部攻擊者是指那些沒(méi)有得到密鑰，無(wú)法接入網(wǎng)絡(luò)的節(jié)點(diǎn)。外部攻擊者無(wú)法有效地注入虛假信息，但是可以進(jìn)行竊聽(tīng)、干擾、分析通信量等活動(dòng)，從而進(jìn)一步攻擊無(wú)線傳感器網(wǎng)絡(luò)信息。因此，對(duì)抗外部攻擊者首先需要解決保密性問(wèn)題；其次，要防范能擾亂網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的簡(jiǎn)單網(wǎng)絡(luò)攻擊，如重要數(shù)據(jù)包等，這些攻擊會(huì)造成網(wǎng)絡(luò)性能下降。內(nèi)部攻擊者是指那些獲得了相關(guān)密鑰，并以合法身份混入網(wǎng)絡(luò)的攻擊節(jié)點(diǎn)。由于傳感器網(wǎng)絡(luò)不可能阻止節(jié)點(diǎn)被篡改，而且密鑰可能被對(duì)方破解，因此總會(huì)有入侵者在取得密鑰后以合法身份接入網(wǎng)絡(luò)。

主動(dòng)反擊能力是指網(wǎng)絡(luò)安全系統(tǒng)能夠主動(dòng)地限制甚至消滅入侵者。為此，要保證網(wǎng)絡(luò)具有入侵檢測(cè)能力、隔離入侵者能力和消滅入侵者能力。檢測(cè)是發(fā)動(dòng)有效攻擊的前提，網(wǎng)絡(luò)首先要準(zhǔn)確識(shí)別網(wǎng)絡(luò)內(nèi)出現(xiàn)的各種入侵行為并發(fā)出警報(bào)，確定入侵節(jié)點(diǎn)位置或者身份。隔離入侵者就是網(wǎng)絡(luò)需要根據(jù)入侵檢測(cè)信息調(diào)度網(wǎng)絡(luò)正常通信來(lái)避開(kāi)入侵者，同時(shí)丟棄任何由入侵者發(fā)出的數(shù)據(jù)包。而對(duì)于消滅入侵者，一般由用戶通過(guò)人工方式進(jìn)行。

2．信息安全

信息安全的稱謂隨著信息安全技術(shù)的發(fā)展發(fā)生了有趣的變化，從早期的計(jì)算機(jī)安全和計(jì)算機(jī)系統(tǒng)安全、計(jì)算機(jī)信息系統(tǒng)安全到現(xiàn)在的信息安全和信息系統(tǒng)安全。曾經(jīng)被人們廣泛采用并且現(xiàn)在還在使用的－些有關(guān)信息安全的稱謂有網(wǎng)絡(luò)安全、網(wǎng)絡(luò)系統(tǒng)安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)信息系統(tǒng)安全、信息網(wǎng)絡(luò)安全、信息網(wǎng)絡(luò)系統(tǒng)安全、網(wǎng)絡(luò)計(jì)算機(jī)安全和計(jì)算機(jī)網(wǎng)絡(luò)安全等，這些稱謂無(wú)不反映出信息安全的一些發(fā)展痕跡。這些稱謂從字面上看，有的差別不大，有的相去甚遠(yuǎn)，然而其基本含義是完全一致的，只是在信息安全發(fā)展的不同階段，人們從不同的側(cè)面注重考慮和認(rèn)識(shí)信息安全問(wèn)題的反映。

所有這些稱謂都是確保在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的信息系統(tǒng)的安全運(yùn)行，并且確保信息系統(tǒng)中所存儲(chǔ)、傳輸和處理的信息的安全保護(hù)，或者簡(jiǎn)單地描述為系統(tǒng)安全運(yùn)行和信息安全保護(hù)，也就是通常所說(shuō)的確保信息的保密性、完整性和可用性(包含可控性、抗抵賴性、可辨認(rèn)性和可操作性等)。

信息安全的新概念主要體現(xiàn)在信息安全保障、信息系統(tǒng)整體安全以及綜合密碼技術(shù)等方面。

1)信息安全保障

信息安全保障是指?jìng)鹘y(tǒng)意義上對(duì)信息的保密性及完整性的保護(hù)，是用來(lái)防止信息財(cái)產(chǎn)被故意地或偶然地泄露、改變、破壞或者使信息不可用的系統(tǒng)識(shí)別、控制及策略和過(guò)程。按照信息安全保障的要求，信息安全必須考慮以下四個(gè)方面：

(1)信息保護(hù)(P)：對(duì)信息系統(tǒng)中存儲(chǔ)、處理、傳輸和使用的信息進(jìn)行保護(hù)，使其不因內(nèi)部和外部的人為或自然的原因遭到泄露、破壞或篡改。

(2)運(yùn)行監(jiān)測(cè)(D)：對(duì)運(yùn)行中的信息系統(tǒng)，通過(guò)一定手段隨時(shí)檢測(cè)并監(jiān)控系統(tǒng)的運(yùn)行情況，以及時(shí)發(fā)現(xiàn)各種入侵和破壞。

(3)快速反應(yīng)(D)：對(duì)信息及信息系統(tǒng)運(yùn)行中出現(xiàn)的各種異常情況能及時(shí)做出反應(yīng)。

(4)快速恢復(fù)(R)：當(dāng)信息遭到破壞或系統(tǒng)不能正常運(yùn)行時(shí)能及時(shí)且快速地恢復(fù)。

2)信息系統(tǒng)整體安全

信息安全的目標(biāo)是保護(hù)在信息系統(tǒng)中存儲(chǔ)、傳輸和處理的信息的安全，可概括為確保信息的完整性、保密性和可用性。其中，完整性是指信息必須按照其原形保存，不能被非法破壞，也不能被偶然無(wú)意地修改。保密性是指信息必須按照擁有者的要求保持一定的秘密性。可用性是指在任何情況下信息必須是可用的，它是信息系統(tǒng)能夠完成可靠操作的重要前提。這里的信息系統(tǒng)是指在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下運(yùn)行的信息處理系統(tǒng)，因而計(jì)算機(jī)安全及網(wǎng)絡(luò)安全應(yīng)該是信息安全的基礎(chǔ)和保證。歸結(jié)起來(lái)，信息系統(tǒng)整體安全應(yīng)從以下三個(gè)方面理解。

(1)整體安全才是真正的安全，只有對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)及在其上運(yùn)行的信息處理系統(tǒng)從組成信息系統(tǒng)的各個(gè)層面(包括物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和管理層面等)的安全進(jìn)行整體考慮才能實(shí)現(xiàn)真正的信息系統(tǒng)安全。

(2)技術(shù)和管理是信息安全的兩個(gè)重要方面。GB1785—1999中的定義：計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)格對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人/機(jī)系統(tǒng)。人/機(jī)系統(tǒng)強(qiáng)調(diào)了人對(duì)信息系統(tǒng)安全的重要性，人的因素需要通過(guò)加強(qiáng)管理來(lái)發(fā)揮作用。

(3)可信計(jì)算基(TCB)是信息系統(tǒng)中所有安全機(jī)制的總稱。GB1785—1999中的定義：TCB是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境，并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。這一定義擴(kuò)展到信息系統(tǒng)，信息系統(tǒng)的TCB就是通常所說(shuō)的信息系統(tǒng)安全子系統(tǒng)。

3)綜合密碼技術(shù)

系統(tǒng)安全技術(shù)與密碼技術(shù)的緊密結(jié)合在信息保護(hù)中具有重要作用。密碼技術(shù)只有與系統(tǒng)安全技術(shù)緊密結(jié)合，才能夠構(gòu)建出具有適當(dāng)強(qiáng)度安全的信息系統(tǒng)。當(dāng)前系統(tǒng)安全技術(shù)與密碼技術(shù)相結(jié)合主要體現(xiàn)在以下五個(gè)方面：

(1)以訪問(wèn)控制為中心的系統(tǒng)安全技術(shù)能構(gòu)建完整的安全體系結(jié)構(gòu)。

(2)密碼技術(shù)對(duì)防假冒、抵賴、信息被泄露以及篡改等方面有著不可替代的作用。

(3)將系統(tǒng)安全技術(shù)與密碼技術(shù)有機(jī)結(jié)合能實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。

(4)以PKI為基礎(chǔ)的CA系統(tǒng)是安全技術(shù)與密碼技術(shù)結(jié)合的范例。

(5)基于TPM的可信計(jì)算為計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全提供了強(qiáng)有力的支持。

8.1.2安全防護(hù)技術(shù)的分類

針對(duì)傳感器網(wǎng)絡(luò)的安全需求，其安全防護(hù)技術(shù)包括：安全路由技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)、數(shù)字簽名、完整性檢測(cè)技術(shù)等。

1．安全路由技術(shù)

WSN遇到的安全威脅以路由威脅為主，具體包括選擇轉(zhuǎn)發(fā)、偽造路由信息、蟲洞攻擊、多重身份攻擊、呼叫洪攻擊、急行軍攻擊、確認(rèn)欺騙攻擊、同步攻擊、重放攻擊、拒絕服務(wù)攻擊等。對(duì)不同的攻擊，采取的防御方式主要有：物理攻擊防護(hù)、阻止拒絕服務(wù)、對(duì)抗女巫攻擊、數(shù)據(jù)融合等。WSN的特殊架構(gòu)使得對(duì)路由安全的要求較高，因此應(yīng)當(dāng)根據(jù)物聯(lián)網(wǎng)不同應(yīng)用的需求選擇合適的安全路由協(xié)議。一般來(lái)說(shuō)，可以從以下兩個(gè)方面來(lái)設(shè)計(jì)安全路由協(xié)議：①采用密鑰系統(tǒng)建立的安全通信環(huán)境來(lái)交換路由信息；②利用冗余路由傳送數(shù)據(jù)。

就WSN面臨的諸多威脅而言，需要設(shè)計(jì)合適的安全防護(hù)機(jī)制，以保證整個(gè)網(wǎng)絡(luò)安全通信。SPINS安全協(xié)議是可選的傳感器網(wǎng)絡(luò)安全框架之一，它包括SNEP協(xié)議及TESLA協(xié)議兩個(gè)部分。其中：SNEP協(xié)議用來(lái)實(shí)現(xiàn)通信的機(jī)密性、完整性和點(diǎn)對(duì)點(diǎn)認(rèn)證；TESLA協(xié)議則用來(lái)實(shí)現(xiàn)點(diǎn)到多點(diǎn)的廣播認(rèn)證。SPINS安全框架協(xié)議可以有效地保證物聯(lián)網(wǎng)路由安全，但它并沒(méi)有指出實(shí)現(xiàn)各種安全機(jī)制的具體算法。所以，在具體應(yīng)用中，應(yīng)當(dāng)多考慮SPINS協(xié)議的實(shí)現(xiàn)問(wèn)題。

2．密鑰管理技術(shù)

密鑰系統(tǒng)是信息與網(wǎng)絡(luò)安全的基礎(chǔ)，加密、認(rèn)證等安全機(jī)制都需要密鑰系統(tǒng)的支持。所謂密鑰，就是一個(gè)秘密的值，是密碼學(xué)的核心內(nèi)容。密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)就是利用加密算法和密鑰對(duì)傳遞的信息進(jìn)行編碼以隱藏真實(shí)信息，而密碼分析學(xué)試圖破譯加密算法和密鑰以獲得信息內(nèi)容，二者既相互對(duì)立，又相互聯(lián)系，構(gòu)成了密碼學(xué)的密碼體制。

密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密/解密算法和密鑰。加密的基本思想是偽裝明文以隱藏其真實(shí)內(nèi)容。將明文偽裝成密文的操作過(guò)程稱為加密，加密時(shí)所使用的信息變換規(guī)則稱為加密算法。由密文恢復(fù)出明文的操作過(guò)程稱為解密，解密時(shí)所使用的信息變換規(guī)則稱為解密算法。

加密密鑰和解密密鑰的操作通常都在一組密鑰控制下進(jìn)行。加密密鑰和解密密鑰相同的密碼算法稱為對(duì)稱密鑰密碼算法，而加密密鑰和解密密鑰不同的密碼算法稱為非對(duì)稱密鑰密碼算法。對(duì)稱密鑰密碼系統(tǒng)要求保密通信雙方必須事先共享一個(gè)密鑰，因而也稱為單鑰(私鑰)密碼系統(tǒng)。這種算法又分為分流密碼算法和分組密碼算法兩種。而非對(duì)稱密鑰密碼系統(tǒng)中，每個(gè)用戶擁有兩種密鑰，即公開(kāi)密鑰和秘密密鑰。公開(kāi)密鑰對(duì)所有人公開(kāi)，而秘密密鑰只有用戶自己知道。

密鑰管理主要有以下四種協(xié)議：簡(jiǎn)單密鑰分布協(xié)議、動(dòng)態(tài)密鑰管理協(xié)議、密鑰預(yù)分布協(xié)議、分層密鑰管理協(xié)議。其中，簡(jiǎn)單密鑰分布協(xié)議的安全性最差。而分層密鑰管理協(xié)議中采用的LEAP協(xié)議，使用多種密鑰機(jī)制共同維護(hù)網(wǎng)絡(luò)安全，它為每個(gè)傳感器節(jié)點(diǎn)建立四種類型的密鑰：包到基站的單個(gè)密鑰、與另一個(gè)傳感器的成對(duì)密鑰、與簇內(nèi)多個(gè)鄰節(jié)點(diǎn)的共享密鑰、與網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的全局密鑰。LEAP在計(jì)算復(fù)雜度、存儲(chǔ)空間等方面都具有顯著優(yōu)勢(shì)，并且能很好地抵御多種攻擊，這種密鑰分布協(xié)議的防護(hù)措施較高效、安全。

密碼技術(shù)是無(wú)線傳感器網(wǎng)絡(luò)安全的基礎(chǔ)，也是所有網(wǎng)絡(luò)安全實(shí)現(xiàn)的前提。加密是一種基本的安全機(jī)制，它把傳感器節(jié)點(diǎn)間的通信消息轉(zhuǎn)換為密文，形成加密密鑰，這些密文只有知道解密密鑰的人才能識(shí)別。

3．身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)通過(guò)檢測(cè)通信雙方擁有什么或者知道什么來(lái)確定通信雙方的身份是否合法。這種技術(shù)是通信雙方中的一方通過(guò)密碼技術(shù)驗(yàn)證另一方是否知道他們之間共享的秘密密鑰或者其中一方自有的私有密鑰。這是建立在運(yùn)算簡(jiǎn)單的對(duì)稱密鑰密碼算法和雜湊函數(shù)基礎(chǔ)上的，適合所有無(wú)線網(wǎng)絡(luò)通信。

由于WSN處于開(kāi)放的環(huán)境中，節(jié)點(diǎn)很容易受到來(lái)自外部攻擊者的破壞，甚至將偽造的虛假路由信息、錯(cuò)誤的采集數(shù)據(jù)發(fā)布給其他節(jié)點(diǎn)，從而干擾正常數(shù)據(jù)的融合、轉(zhuǎn)發(fā)。因此，要確保消息來(lái)源的正確性，必須對(duì)通信雙方進(jìn)行身份認(rèn)證。身份認(rèn)證技術(shù)可以使得通信雙方確認(rèn)對(duì)方的身份并交換會(huì)話密鑰，其及時(shí)性和保密性是兩個(gè)重要問(wèn)題。

由于傳感器節(jié)點(diǎn)的計(jì)算能力和存儲(chǔ)能力有限，數(shù)字簽名、數(shù)字證書等非對(duì)稱密碼技術(shù)都不能采用，只能選擇建立安全性能適中的身份認(rèn)證方案。同時(shí)，網(wǎng)絡(luò)中信息資源的訪問(wèn)必須建立在有序的訪問(wèn)控制前提下，這要求對(duì)不同的訪問(wèn)者規(guī)定相應(yīng)的操作權(quán)限，如是否可讀、是否可寫、是否允許修改等。

4．入侵檢測(cè)技術(shù)

安全路由、密鑰管理等技術(shù)在一定程度上降低了節(jié)點(diǎn)安全的脆弱性，并且增強(qiáng)了網(wǎng)絡(luò)的防御能力。但是，對(duì)于一些特殊的安全攻擊行為來(lái)說(shuō)，這些技術(shù)能發(fā)揮的作用是有限的。因此，WSN引入了入侵檢測(cè)來(lái)檢測(cè)和處理那些影響WSN正常工作的安全攻擊行為。WSN的入侵檢測(cè)系統(tǒng)具備協(xié)作處理、多方監(jiān)控、分布檢測(cè)等特征。

目前，針對(duì)WSN的入侵檢測(cè)技術(shù)的研究大部分還停留在模型設(shè)計(jì)、理論分析上，但已有人提出了可用于WSN的入侵檢測(cè)模型、神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法等較好的入侵檢測(cè)算法。由于WSN自身的特點(diǎn)，入侵檢測(cè)系統(tǒng)的組織結(jié)構(gòu)需要根據(jù)其特定的應(yīng)用環(huán)境進(jìn)行設(shè)計(jì)。目前已經(jīng)提出的體系結(jié)構(gòu)中，根據(jù)檢測(cè)節(jié)點(diǎn)之間存在的關(guān)系不同，例如是否存在數(shù)據(jù)交換、相互協(xié)作等，可以將入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)分為分布式入侵檢測(cè)體系、對(duì)等合作入侵檢測(cè)體系、層次式入侵檢測(cè)體系。

5．?dāng)?shù)字簽名

數(shù)字簽名是用于提供服務(wù)不可否認(rèn)性的安全機(jī)制。數(shù)字簽名大多基于非對(duì)稱密鑰密碼算法，用戶利用其秘密密鑰對(duì)一個(gè)消息進(jìn)行簽名，然后將消息和簽名一起傳給驗(yàn)證方，驗(yàn)證方利用簽名者公開(kāi)的密鑰來(lái)認(rèn)證簽名的真?zhèn)巍?/p>

6．完整性檢測(cè)技術(shù)

完整性檢測(cè)技術(shù)用來(lái)進(jìn)行消息的認(rèn)證，是為了檢測(cè)因惡意攻擊者篡改而引起的信息錯(cuò)誤。為了抵御惡意攻擊，完整性檢測(cè)技術(shù)加入了秘密信息，不知道秘密信息的攻擊者將不能產(chǎn)生有效的消息完整性碼。消息認(rèn)證碼是一種典型的完整性檢測(cè)技術(shù)，其含義如下：

(1)將消息通過(guò)一個(gè)帶密鑰的雜湊函數(shù)來(lái)產(chǎn)生一個(gè)消息完整性碼，并將它附著在消息后一起傳送給接收方。

(2)接收方在收到消息后可以重新計(jì)算消息完整性碼，并將其與接收到的消息完整性碼進(jìn)行比較：若相等，則接收方認(rèn)為消息沒(méi)有被篡改；若不相等，則接收方知道消息在傳輸過(guò)程中被篡改了。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單，易于在無(wú)線傳感器網(wǎng)絡(luò)中實(shí)現(xiàn)。

8.1.3WSN的網(wǎng)絡(luò)安全設(shè)計(jì)策略

與傳統(tǒng)的Internet網(wǎng)絡(luò)協(xié)議棧架構(gòu)相比，傳感器網(wǎng)絡(luò)協(xié)議棧架構(gòu)借鑒了其層次，但參考模型有著很大的區(qū)別。由于傳感器網(wǎng)絡(luò)自身的特性，能量的節(jié)約是首要考慮的問(wèn)題。為了減少各個(gè)層次之間的交互，可采用以下兩種辦法：一是把一些相關(guān)的層次進(jìn)行合并，減少網(wǎng)絡(luò)層次；二是在設(shè)計(jì)中，各層次之間的相互耦合性較大，有些在設(shè)計(jì)時(shí)，甚至只有物理層、鏈路層和應(yīng)用層。因此，在安全設(shè)計(jì)過(guò)程中，需要將鏈路層安全和端到端安全相結(jié)合。

因?yàn)閭鞲衅骶W(wǎng)絡(luò)是以數(shù)據(jù)為中心的，即傳感器網(wǎng)絡(luò)是應(yīng)用驅(qū)動(dòng)的，將端到端和鏈路層安全相結(jié)合設(shè)計(jì)靈活的傳感器網(wǎng)絡(luò)安全模型顯得更加重要。在認(rèn)證過(guò)程中，需要采用相同的處理方式，不論是數(shù)據(jù)包還是控制包。總的來(lái)說(shuō)，傳感器網(wǎng)絡(luò)完全設(shè)計(jì)策略包括加密算法的選擇、密鑰管理等幾個(gè)方面。

1．加密算法的選擇

由于傳感器節(jié)點(diǎn)本身的計(jì)算能力、能量供給、通信能力和存儲(chǔ)空間的限制，現(xiàn)有的應(yīng)用于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的各種加密解密算法尚不能很好地直接移植到無(wú)線傳感器網(wǎng)絡(luò)的節(jié)點(diǎn)中。因?yàn)橛糜趥鹘y(tǒng)網(wǎng)絡(luò)的加密解密算法需要節(jié)點(diǎn)具有強(qiáng)大的計(jì)算能力、穩(wěn)定的能量供給以及足夠容量存儲(chǔ)空間的支持，這是現(xiàn)有的無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)法滿足的，所以必須尋找適合無(wú)線傳感器網(wǎng)絡(luò)的加密解密算法。本節(jié)將介紹幾種適合無(wú)線傳感器網(wǎng)絡(luò)的加密解密算法。

1)?RC4加密算法

RC4是RonRivest在1987年為RSA公司設(shè)計(jì)的一種可變密鑰長(zhǎng)度、面向字節(jié)操作的流密碼，該算法以隨機(jī)置換為基礎(chǔ)。分析顯示，該密碼的周期大于10100字節(jié)，每輸出一字節(jié)的結(jié)果僅需要8～16條機(jī)器操作指令。

RC4算法非常簡(jiǎn)單，易于描述。該算法用從1到256個(gè)字節(jié)的可變長(zhǎng)度密鑰初始化一個(gè)256字節(jié)的狀態(tài)向量S，S的元素記為S[0]，S[1]，···，S[255]。從始至終置換后的S包含0～255所有的8比特?cái)?shù)。對(duì)于加密和解密，字節(jié)K由S中255個(gè)元素按一定方式選出一個(gè)元素而生成。每生成一個(gè)K值，S中的元素個(gè)體就被重新置換一次。

(1)初始化S。

開(kāi)始時(shí)，S中的元素的值按升序被置為0～255，即S[0]=0，S[1]=1，···，S[255]=255。同時(shí)，建立一個(gè)臨時(shí)向量T。如果密鑰K的長(zhǎng)度為256字節(jié)，那么將K賦給T。否則，若密鑰的長(zhǎng)度為keylen字節(jié)，則將K的值賦給keylen個(gè)元素，并循環(huán)重復(fù)用K的值賦給T剩下的元素，直到T的所有元素都被賦值。這些預(yù)操作可被概括為如下代碼：

Fori=0to255do

S[i]=I;

T[i]=K[Imodkeylen]

End

因?yàn)閷?duì)S的操作僅是交換，所以唯一改變的是置換，S仍然包含所有值為0～255的元素。

(2)密鑰流的生成。

向量S一旦完成初始化，輸入密鑰就不再被使用。密鑰流的生成是從S[0]到S[255]，對(duì)每個(gè)S[i]，根據(jù)當(dāng)前S的值，將S[i]與S中的另一個(gè)字節(jié)置換。當(dāng)S[255]完成置換后，操作繼續(xù)重復(fù)從S[0]開(kāi)始。用代碼表示如下：

i,j=0;

While(true)do

i=(i+j)mod256;

j=(j+S[i])mod256;

Swap(S[i],S[j]);

t=(S[i]+T[i])mod256;

k=S[t];

End

加密中，將K的值與下一明文字節(jié)異或；解密中，將K的值與下一密文字節(jié)異或。

2)?RC5、RC6分組加密算法

(1)三種加密算法的關(guān)系。

RC5是對(duì)稱加密算法，也是由RSA公司的首席科學(xué)家RonRivest于1994年設(shè)計(jì)，于1995年正式公開(kāi)的一種很實(shí)用的加密算法。RC6是作為AES(AdvancedEncryptionStandard)的候選算法提交給NIET(美國(guó)國(guó)家標(biāo)準(zhǔn)局)的一種新的分組密碼，它是在RC5基礎(chǔ)上設(shè)計(jì)的，能更好地滿足AES的要求，且提高了安全性，增強(qiáng)了性能。與RC4加密算法不同的是，RC4是流密碼，而RC5和RC6是分組密碼，所以后兩者并不是前者的性能升級(jí)版本。由于RC6是在RC5的基礎(chǔ)上升級(jí)改造的，所以下面僅對(duì)RC6加密算法進(jìn)行簡(jiǎn)要介紹。

(2)?RC6加密算法。

RC6是參數(shù)變量的分組算法，實(shí)際上是由三個(gè)參數(shù)確定的一個(gè)加密算法族。一個(gè)特定的RC6可以表示為RC6(w，r，b)，三個(gè)參數(shù)w，r和b分別為字長(zhǎng)、循環(huán)次數(shù)和密鑰長(zhǎng)度。在AES中，w=32，r=20。在本設(shè)計(jì)中，密鑰長(zhǎng)度b為128位(16字節(jié))。RC6用4個(gè)w位的寄存器A、B、C、D來(lái)存放輸入的明文和輸出的密文。明文和密文的第一個(gè)字節(jié)存放在A的最低字節(jié)，經(jīng)過(guò)加解密后，得到的明文和密文的最后一個(gè)字節(jié)存放在D的最高字節(jié)。RC6的六種基本運(yùn)算如表8-1所示。

這里假設(shè)明文由長(zhǎng)128位的4個(gè)字A、B、C、D表示(相當(dāng)于4個(gè)寄存器)，且這4個(gè)w比特字也表示最后輸出的密文。明密文的首字節(jié)(即低位8比特)是放在A的最低字節(jié)，明密文的高位字節(jié)是放在D的最高字節(jié)。用(A、B、C、D)=(B、C、D、A)來(lái)表示右邊寄存器的賦值給左邊的寄存器。描述RC6算法原理的偽代碼如下：

輸入：存儲(chǔ)在4個(gè)w位的A、B、C、D寄存器的明文、循環(huán)次數(shù)r、w比特循環(huán)密鑰S[0,1,…,2r?+?3]

輸出：存儲(chǔ)在A、B、C、D寄存器中的密文

算法流程：

Begin

B=B+S[0]

D=D+S[1]

Fori=1tordo

t=(B(2B+1))<<<log2w

u=(D(2D+1))<<<log2w

A=((A⊕t)<<<u)+S[2i]

C=((C⊕u)<<<t)+S[2i+1]

(A,B,C,D)=(B,C,D,A)

End

A=A+S[2r+2]

C=C+S[2r+3]

End

2．密鑰管理

無(wú)線傳感器網(wǎng)絡(luò)的特征導(dǎo)致許多在傳統(tǒng)無(wú)線網(wǎng)絡(luò)中較為成熟的密鑰管理方案不能被直接用于傳感器網(wǎng)絡(luò)中。但密鑰管理機(jī)制是無(wú)線傳感器網(wǎng)絡(luò)安全技術(shù)中一個(gè)非常重要的基礎(chǔ)性問(wèn)題，它包括用于安全加密或者認(rèn)證的密鑰的初始化、建立、連接共享、分配、更新、撤銷等一系列協(xié)議或者管理流程。許多研究者也對(duì)無(wú)線傳感器網(wǎng)絡(luò)中的這一問(wèn)題進(jìn)行了較為深入的研究和探討。無(wú)線傳感器網(wǎng)絡(luò)中的密鑰管理系統(tǒng)的設(shè)計(jì)在很大程度上受無(wú)線傳感器網(wǎng)絡(luò)的特征的限制，因此其設(shè)計(jì)需求與有線網(wǎng)絡(luò)和傳統(tǒng)的資源不受限制的無(wú)線網(wǎng)絡(luò)有所不同，主要分為安全需求和性能需求。

傳感器網(wǎng)絡(luò)中的密鑰管理方案可以按照四個(gè)依據(jù)進(jìn)行分類：一是按照密鑰管理方案所依托的密碼基礎(chǔ)進(jìn)行分類；二是按照網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進(jìn)行分類；三是按照網(wǎng)絡(luò)運(yùn)行后密鑰是否更新進(jìn)行分類；四是按照網(wǎng)絡(luò)密鑰的鏈接程度進(jìn)行分類。這四個(gè)分類方法并不是唯一的，也并非將所有的方案都依此劃清界限而彼此之間沒(méi)有交集，同一種密鑰管理方案完全可能在不同的分類中重復(fù)出現(xiàn)。

1)按照所依托的密碼基礎(chǔ)分類

按照所依托的密碼基礎(chǔ)，可將密鑰管理方案分成三種：基于對(duì)稱密鑰體制的密鑰管理方案、基于非對(duì)稱密鑰體制的密鑰管理方案、基于ID或者HASH算法的密鑰管理方案。

(1)基于對(duì)稱密鑰體制的密鑰管理方案。這種密鑰管理方案采用了相對(duì)輕型的對(duì)稱密鑰體制作為其密碼基礎(chǔ)，具有簡(jiǎn)單、計(jì)算存儲(chǔ)量不大的特點(diǎn)。許多對(duì)稱加密體制使用一個(gè)可信任的第三方，或密鑰分發(fā)中心為系統(tǒng)內(nèi)的任何兩個(gè)成員建立共享的會(huì)話密鑰。

除此之外，還有一些研究者將對(duì)稱密鑰體制和其他的密碼技術(shù)相結(jié)合，構(gòu)建用于無(wú)線傳感器網(wǎng)絡(luò)的密鑰管理方案。FarshidDelgosha等人提出一種基于多元多項(xiàng)式的對(duì)稱密鑰管理方案，每個(gè)節(jié)點(diǎn)具有唯一的ID標(biāo)識(shí)，并且存儲(chǔ)了相同的d元多項(xiàng)式。網(wǎng)絡(luò)部署以后，不需要任何第三方的參與，在規(guī)定距離之內(nèi)的任意兩個(gè)節(jié)點(diǎn)將共享d-1個(gè)公共密鑰，這些節(jié)點(diǎn)最終的對(duì)稱私鑰將由d-1個(gè)公共密鑰合成。該方案實(shí)際上基于門限共享機(jī)制，因此明顯提高了安全性，尤其是具有較好的抗毀性。

(2)基于非對(duì)稱密鑰體制的密鑰管理方案。基于公鑰體制的非對(duì)稱密鑰管理方案曾一度被排斥在無(wú)線傳感器網(wǎng)絡(luò)的研究范圍之外，但近期也有不少研究成果表明：即便存在計(jì)算量和存儲(chǔ)負(fù)載偏大的缺陷，非對(duì)稱密鑰管理方案仍然可用于解決無(wú)線傳感器網(wǎng)絡(luò)的安全問(wèn)題。研究者們認(rèn)為現(xiàn)有的許多基于對(duì)稱密鑰體制的密鑰管理方案過(guò)多地考慮了網(wǎng)絡(luò)的連通性，他們提出了一種基于輕量級(jí)ECC公鑰的密鑰管理方案，該方案僅為鄰居節(jié)點(diǎn)間分配通信密鑰。

性能仿真表明，該方案相比于對(duì)稱密鑰體制顯著提高了安全性，同時(shí)也比其他非對(duì)稱密鑰體制的管理方案更加節(jié)省能耗和存儲(chǔ)空間。橢圓曲線密碼體制作為公鑰密碼體制的輕量級(jí)代表，在無(wú)線傳感器網(wǎng)絡(luò)密鑰管理的研究中受到了極大的重視，同時(shí)也成為其他經(jīng)典公鑰方案在無(wú)線傳感器網(wǎng)絡(luò)中暫且無(wú)法突破的瓶頸。

(3)基于ID或者HASH算法的密鑰管理方案。一方面為了保證輕量級(jí)，另一方面為了實(shí)現(xiàn)易于認(rèn)證，許多研究者掙脫了對(duì)稱密鑰體制和公鑰非對(duì)稱密碼體制的單一束縛，利用混合密碼體制或者其他密碼基礎(chǔ)技術(shù)來(lái)實(shí)現(xiàn)無(wú)線傳感器網(wǎng)絡(luò)中的密鑰管理體制。其中，研究得最為廣泛和深入的是基于ID(身份)或者HASH密鑰鏈的方法。在基于ID的密鑰管理方案中，每個(gè)傳感器節(jié)點(diǎn)都被賦予唯一的ID值，密鑰管理方案將使用各個(gè)節(jié)點(diǎn)的ID號(hào)參與公鑰運(yùn)算，同時(shí)產(chǎn)生相應(yīng)的唯一私有密鑰。

2)按照網(wǎng)絡(luò)的邏輯結(jié)構(gòu)分類

按照網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，可將密鑰管理方案分成兩種：分布式密鑰管理方案和層簇式密鑰管理方案。前者適用于網(wǎng)絡(luò)中的節(jié)點(diǎn)完全分布式對(duì)等的無(wú)線傳感器網(wǎng)絡(luò)，而后者則適用于分層分組的無(wú)線傳感器網(wǎng)絡(luò)。

(1)分布式密鑰管理方案。這種密鑰管理方案并不多見(jiàn)，它一般認(rèn)為網(wǎng)絡(luò)具有完全分布式的特征，節(jié)點(diǎn)具有相同的通信能力和計(jì)算能力，是完全對(duì)等的關(guān)系，密鑰的生成、發(fā)布和更新往往由節(jié)點(diǎn)相互協(xié)商完成。

(2)層簇式密鑰管理方案。層簇式密鑰管理方案是無(wú)線傳感器網(wǎng)絡(luò)密鑰管理方案研究的主流。全網(wǎng)的節(jié)點(diǎn)被劃分為若干個(gè)簇，每一簇有能量較強(qiáng)(體現(xiàn)在剩余能量上)的一個(gè)或者多個(gè)簇頭節(jié)點(diǎn)協(xié)助基站節(jié)點(diǎn)共同管理整個(gè)傳感器網(wǎng)絡(luò)。一般密鑰的初始化、分發(fā)和管理都由簇頭節(jié)點(diǎn)主持，協(xié)同簇內(nèi)節(jié)點(diǎn)共同完成。

3)按照密鑰是否更新分類

按照網(wǎng)絡(luò)運(yùn)行后密鑰是否更新，可將密鑰管理方案分成三種：靜態(tài)密鑰管理方案、動(dòng)態(tài)密鑰管理方案和靜動(dòng)態(tài)混合密鑰管理方案。這三種密鑰管理方案是目前研究的熱點(diǎn)，尤其是靜動(dòng)態(tài)混合密鑰管理方案。

(1)靜態(tài)密鑰管理方案。這種密鑰管理方案非常常見(jiàn)，節(jié)點(diǎn)在部署前預(yù)分配一定數(shù)量的密鑰，部署后通過(guò)協(xié)商生成通信密鑰，網(wǎng)絡(luò)運(yùn)行穩(wěn)定后，不再考慮密鑰的更新和撤回。有研究者認(rèn)為隨機(jī)密鑰預(yù)分配是當(dāng)前最有效的密鑰管理機(jī)制。但是，目前的隨機(jī)密鑰預(yù)分配方案面臨一個(gè)潛在的挑戰(zhàn)：無(wú)法同時(shí)獲取理想的網(wǎng)絡(luò)安全連通性和網(wǎng)絡(luò)抗毀性。該研究者還提出了一種基于散列鏈的隨機(jī)密鑰預(yù)分配方案，通過(guò)有效調(diào)節(jié)散列鏈長(zhǎng)度、公共輔助節(jié)點(diǎn)數(shù)、散列鏈數(shù)量等參數(shù)，節(jié)點(diǎn)僅需要預(yù)分配數(shù)量較少的密鑰信息，就能夠以較高的概率建立對(duì)偶密鑰。而且，即使存在大量的受損節(jié)點(diǎn)，仍能保持較強(qiáng)的網(wǎng)絡(luò)抗毀性。

(2)動(dòng)態(tài)密鑰管理方案。與靜態(tài)密鑰管理方案相比，在動(dòng)態(tài)密鑰管理方案中，安全通信更多地依賴于網(wǎng)絡(luò)運(yùn)行后密鑰動(dòng)態(tài)地分發(fā)、協(xié)商和撤銷，這一過(guò)程將會(huì)周期性地進(jìn)行。為了解決大規(guī)模無(wú)線傳感器網(wǎng)絡(luò)的密鑰管理問(wèn)題，許多研究者提出了基于EBS系統(tǒng)的兩級(jí)密鑰動(dòng)態(tài)管理策略。該策略從網(wǎng)絡(luò)部署開(kāi)始，在整個(gè)生命周期內(nèi)對(duì)節(jié)點(diǎn)內(nèi)的密鑰進(jìn)行動(dòng)態(tài)管理。針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的特性，節(jié)點(diǎn)的密鑰管理分為三個(gè)階段：初始化階段、穩(wěn)定階段和動(dòng)態(tài)變更階段。

(3)靜動(dòng)態(tài)混合密鑰管理方案。目前，有關(guān)靜動(dòng)態(tài)混合密鑰管理方案并不多見(jiàn)，這種方案既需要在傳感器網(wǎng)絡(luò)運(yùn)行之前部署一定的先驗(yàn)知識(shí)，表現(xiàn)為各個(gè)節(jié)點(diǎn)預(yù)配置一些密鑰信息或者一些位置信息，或者用于將來(lái)生成密鑰用的秘密參數(shù)；也需要在網(wǎng)絡(luò)運(yùn)行之后進(jìn)行周期性的密鑰更新和撤銷，以確保更高的安全性。這種方案是一種混合型的密鑰管理方案。

4)按照密鑰鏈接程度分類

按照網(wǎng)絡(luò)密鑰的鏈接程度，可將密鑰管理方案分成兩種：

隨機(jī)分配的密鑰管理方案和確定分配的密鑰管理方案。

(1)隨機(jī)分配的密鑰管理方案。在隨機(jī)分配的密鑰管理方案中，節(jié)點(diǎn)的密鑰通過(guò)隨機(jī)概率方式獲得。例如，有些反感的節(jié)點(diǎn)是從一個(gè)大的密鑰池中隨機(jī)選取一部分密鑰來(lái)生成節(jié)點(diǎn)間的共享密鑰，有的則從多個(gè)密鑰空間中選取若干個(gè)密鑰進(jìn)行分發(fā)共享。

(2)確定分配的密鑰管理方案。在確定分配的密鑰管理方案中，節(jié)點(diǎn)密鑰是以確定的方式獲得的，可能預(yù)置全局共享密鑰，也可能預(yù)置全網(wǎng)所有的密鑰。例如，可以使用地理信息來(lái)產(chǎn)生確定的密鑰信息，或使用對(duì)稱BIBD、對(duì)稱多項(xiàng)式等特殊的結(jié)構(gòu)來(lái)進(jìn)行密鑰的分發(fā)。從連通概率角度來(lái)看，該方案的密鑰安全鏈接系數(shù)總為1。

8.1.4網(wǎng)絡(luò)安全框架協(xié)議分析

因?yàn)閭鞲衅骶W(wǎng)絡(luò)面臨諸多威脅，所以需要為傳感器網(wǎng)絡(luò)設(shè)計(jì)合適的安全防護(hù)機(jī)制來(lái)保證整個(gè)網(wǎng)絡(luò)的安全性。SPINS安全協(xié)議框架是可選的傳感器網(wǎng)絡(luò)安全框架之一，包括SNEP(SecureNetworkEncryptionProtocol)和μTESLA(microTimedEfficientStreamingLoss-tolerantAuthentication)兩部分。SNEP用于實(shí)現(xiàn)通信的機(jī)密性、完整性、新鮮性和點(diǎn)到點(diǎn)的認(rèn)證，μTESLA用于實(shí)現(xiàn)點(diǎn)到多點(diǎn)的廣播認(rèn)證。

1．安全網(wǎng)絡(luò)加密協(xié)議(SNEP)

SNEP協(xié)議是一個(gè)以低通信開(kāi)銷實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、數(shù)據(jù)認(rèn)證、完整性保護(hù)、新鮮性保證的簡(jiǎn)單高效的安全通信協(xié)議，是為傳感器網(wǎng)絡(luò)專門設(shè)計(jì)的。SNEP本身只描述安全實(shí)施的協(xié)議過(guò)程，并不規(guī)定實(shí)際實(shí)現(xiàn)的算法。該協(xié)議采用預(yù)共享主密鑰(MasterKey)的安全引導(dǎo)模型，假設(shè)每個(gè)節(jié)點(diǎn)與基站之間都共享一對(duì)主密鑰，其他密鑰都是從主密鑰衍生出來(lái)的，協(xié)議的各種安全機(jī)制通過(guò)信任基站完成。

SNEP協(xié)議實(shí)現(xiàn)的機(jī)密性不僅具有加密功能，還具有語(yǔ)義安全特性。語(yǔ)義安全特性是針對(duì)數(shù)據(jù)機(jī)密性而提出的一個(gè)概念，是指相同數(shù)據(jù)信息在不同的時(shí)間、上下文，經(jīng)過(guò)相同的密鑰和加密算法產(chǎn)生的密文不同。語(yǔ)義安全可以有效抑制已知明/密文對(duì)攻擊。實(shí)現(xiàn)語(yǔ)義安全的方法有很多，如密碼分組鏈加密模型具有先天的語(yǔ)義安全特性。每塊數(shù)據(jù)的密文是由明文與前段密文迭代產(chǎn)生的；計(jì)數(shù)器模式也可以實(shí)現(xiàn)語(yǔ)義安全，因?yàn)槊總€(gè)數(shù)據(jù)包的密文與其加密時(shí)的計(jì)數(shù)器值相關(guān)。

SNEP協(xié)議的消息完整性和點(diǎn)到點(diǎn)認(rèn)證是通過(guò)消息認(rèn)證碼協(xié)議實(shí)現(xiàn)的。消息認(rèn)證碼協(xié)議的認(rèn)證公式為

M?=?MAC(Kmac，C?|?E)(8-1)

式中，Kmac是消息認(rèn)證算法的密鑰；C?|?E是計(jì)數(shù)器C和密文E的粘接，表明消息認(rèn)證碼對(duì)計(jì)數(shù)器和密文儀器進(jìn)行運(yùn)算。

消息認(rèn)證的內(nèi)容可以是明文也可以是密文，SNEP采用的是密文認(rèn)證。用密文認(rèn)證方式可以加快接收節(jié)點(diǎn)認(rèn)證數(shù)據(jù)包的速度，接收節(jié)點(diǎn)在收到數(shù)據(jù)包后可以對(duì)密文進(jìn)行認(rèn)證，若發(fā)現(xiàn)問(wèn)題則直接丟棄。

SNEP協(xié)議通過(guò)計(jì)數(shù)器模式支持?jǐn)?shù)據(jù)通信的弱新鮮性。所謂弱新鮮性，是指一種單向的新鮮性認(rèn)證。假設(shè)節(jié)點(diǎn)1給節(jié)點(diǎn)2連續(xù)發(fā)送若干個(gè)請(qǐng)求數(shù)據(jù)包，通過(guò)計(jì)數(shù)器值，節(jié)點(diǎn)2能夠知道這些數(shù)據(jù)包是順序從節(jié)點(diǎn)1發(fā)送出來(lái)的；同樣，節(jié)點(diǎn)1也可以根據(jù)計(jì)數(shù)器值判定從節(jié)點(diǎn)2發(fā)出的若干響應(yīng)數(shù)據(jù)包，并且對(duì)于任何響應(yīng)包的重放攻擊都能夠有效抑制，即實(shí)現(xiàn)了弱新鮮性認(rèn)證。但弱新鮮性認(rèn)證存在一個(gè)問(wèn)題，即節(jié)點(diǎn)1不能判斷它所收到的響應(yīng)包是否是針對(duì)它所發(fā)出的請(qǐng)求包的回應(yīng)。

為此，SNEP協(xié)議使用Nonce機(jī)制實(shí)現(xiàn)強(qiáng)新鮮性認(rèn)證方法。Nonce是一個(gè)唯一標(biāo)志當(dāng)前狀態(tài)且任何無(wú)關(guān)者都不能預(yù)測(cè)的數(shù)，通常使用隨機(jī)數(shù)發(fā)生器產(chǎn)生。SNEP協(xié)議在其強(qiáng)新鮮性認(rèn)證過(guò)程中，在每個(gè)安全通信的請(qǐng)求數(shù)據(jù)包中增加Nonce段，唯一標(biāo)識(shí)誤碼請(qǐng)求包的身份。強(qiáng)新鮮性認(rèn)證會(huì)增加安全通信開(kāi)銷和計(jì)算開(kāi)銷，在一般情況下沒(méi)有必要采用。

2．基于時(shí)間高效容忍丟包的微型流認(rèn)證(μTESLA)協(xié)議

在查詢式網(wǎng)絡(luò)中，基站要向所有節(jié)點(diǎn)發(fā)出查詢命令。為節(jié)省網(wǎng)絡(luò)帶寬和通信時(shí)間，基站一般采取廣播的方式通知節(jié)點(diǎn)。節(jié)點(diǎn)接收廣播包時(shí)，必須能夠?qū)V播包的來(lái)源進(jìn)行認(rèn)證。廣播包的認(rèn)證和單播包的認(rèn)證過(guò)程不同，單播包的認(rèn)證只要收發(fā)節(jié)點(diǎn)之間共享一對(duì)認(rèn)證密鑰就可以完成了，而廣播包則要使用一個(gè)全網(wǎng)公共密鑰來(lái)完成認(rèn)證。廣播包認(rèn)證是一個(gè)單向的認(rèn)證過(guò)程，所以必須使用非對(duì)稱機(jī)制來(lái)完成。如果通過(guò)SNEP協(xié)議實(shí)現(xiàn)廣播包的認(rèn)證，那么需要通過(guò)復(fù)制數(shù)據(jù)包以單播包的形式傳播到所有節(jié)點(diǎn)，開(kāi)銷非常大。

最直接的方法是基站與所有節(jié)點(diǎn)共享一個(gè)公共的廣播認(rèn)證密鑰，節(jié)點(diǎn)使用該密鑰進(jìn)行廣播包認(rèn)證。但是，該方法安全度低，因?yàn)槿魏我粋€(gè)節(jié)點(diǎn)被俘都會(huì)泄露整個(gè)網(wǎng)絡(luò)的廣播密鑰。若使用一包一密的認(rèn)證方式，則可以有效防止被俘節(jié)點(diǎn)泄露信息，但是需要不斷更新密鑰，這樣就增加了通信開(kāi)銷。因此，需要一套完整有效的機(jī)制實(shí)現(xiàn)廣播包的認(rèn)證。

TELSA認(rèn)證廣播協(xié)議是一種比較高效的認(rèn)證廣播協(xié)議。該協(xié)議最初是為組播流認(rèn)證設(shè)計(jì)用于Internet上進(jìn)行廣播的。連續(xù)媒體流認(rèn)證需要完成以下工作：

①確保發(fā)送者是唯一的信任數(shù)據(jù)源；

②支持成千上萬(wàn)的接收者；

③必須能夠容忍丟失；

④效率足夠高，以實(shí)現(xiàn)高速流媒體的實(shí)時(shí)傳送。其中，前三個(gè)特點(diǎn)決定了該協(xié)議能夠在傳感器網(wǎng)絡(luò)中應(yīng)用，使認(rèn)證廣播過(guò)程不是使用非對(duì)稱密鑰算法，而是采用對(duì)稱密鑰算法，這大大降低了廣播認(rèn)證的計(jì)算強(qiáng)度，提高了廣播認(rèn)證速度。

但是，TELSA協(xié)議是針對(duì)Internet上的流媒體傳輸設(shè)計(jì)的認(rèn)證協(xié)議，直接用到傳感器網(wǎng)絡(luò)中還有很多不足之處：

①雖然TELSA發(fā)送認(rèn)證廣播包的過(guò)程不需要簽名算法完成認(rèn)證，但是在進(jìn)行認(rèn)證廣播初始化時(shí)，需要進(jìn)行一次非對(duì)稱簽名過(guò)程，這難以在傳感器網(wǎng)絡(luò)節(jié)點(diǎn)中實(shí)現(xiàn)；

②??TELSA協(xié)議要求每個(gè)數(shù)據(jù)包中增加24字節(jié)的認(rèn)證消息，對(duì)于無(wú)線傳感器網(wǎng)絡(luò)的通信環(huán)境，該認(rèn)證過(guò)程的開(kāi)銷過(guò)大；

③單向密鑰鏈在空間上太大，無(wú)法存放在傳感器網(wǎng)絡(luò)節(jié)點(diǎn)中；

④??TELSA每包都進(jìn)行一次密鑰公布過(guò)程，對(duì)于廣播比較頻繁的應(yīng)用來(lái)說(shuō)這個(gè)過(guò)程的開(kāi)銷較大。

針對(duì)以上不足，有人提出了μTESLA協(xié)議，使其能夠在傳感器網(wǎng)絡(luò)中有效實(shí)施。認(rèn)證廣播協(xié)議的安全條件是“沒(méi)有攻擊者可以偽造正確的廣播數(shù)據(jù)包”，μTESLA協(xié)議就是依據(jù)這個(gè)安全條件設(shè)計(jì)的。這個(gè)安全條件的合理性在于認(rèn)證本身不能防止惡意節(jié)點(diǎn)制造錯(cuò)誤的數(shù)據(jù)包來(lái)干擾系統(tǒng)的運(yùn)行，只能保證正確的數(shù)據(jù)包一定是由授權(quán)節(jié)點(diǎn)發(fā)送來(lái)的。

μTESLA協(xié)議的主要思想是先廣播一個(gè)通過(guò)密鑰Kmac認(rèn)證的數(shù)據(jù)包，然后公布密鑰Kmac。這樣就保證了在密鑰Kmac公布之前，沒(méi)人能夠得到認(rèn)證密鑰的任何信息，也就是不能在廣播包正確認(rèn)證之前就偽造出正確的廣播數(shù)據(jù)包，而這恰好滿足流認(rèn)證廣播的安全條件。下面針對(duì)基站廣播模型分析μTESLA協(xié)議在設(shè)計(jì)過(guò)程中解決的各種問(wèn)題。

(1)共享秘密問(wèn)題。認(rèn)證廣播協(xié)議的密鑰和數(shù)據(jù)包都通過(guò)廣播方式發(fā)送給所有節(jié)點(diǎn)，所以必須防止惡意節(jié)點(diǎn)同時(shí)偽造密鑰和數(shù)據(jù)包。為此，節(jié)點(diǎn)必須能夠首先認(rèn)證公布的密鑰，進(jìn)而用密鑰認(rèn)證數(shù)據(jù)包。TESLA協(xié)議解決這個(gè)問(wèn)題的方法是廣播者和接收者存放相同的密鑰池，每次由廣播者公布使用密鑰池中的某個(gè)密鑰。但這樣需要節(jié)點(diǎn)具有比較大的存儲(chǔ)空間，不適合在傳感器網(wǎng)絡(luò)節(jié)點(diǎn)中使用。μTESLA協(xié)議采用的是全網(wǎng)共享密鑰生成算法的方法，而不是共享密鑰池。

(2)密鑰生成算法的單向性問(wèn)題。因?yàn)槿W(wǎng)共享的秘密是密鑰生成算法，若正常節(jié)點(diǎn)被俘獲，將暴露這個(gè)密鑰生成算法。密鑰發(fā)布包是明文廣播，所以惡意節(jié)點(diǎn)和正常節(jié)點(diǎn)都可以獲得密鑰明文。μTESLA協(xié)議為了防止惡意節(jié)點(diǎn)根據(jù)已知密鑰明文和密鑰生成算法推測(cè)出新的認(rèn)證密鑰，使用單向散列函數(shù)來(lái)解決密鑰生成問(wèn)題。單向散列函數(shù)的特性就是其逆函數(shù)不存在或者計(jì)算復(fù)雜度非常高，這樣惡意節(jié)點(diǎn)即使擁有了算法和已公開(kāi)的密鑰，仍然不能推算出下一個(gè)要公布的密鑰。

(3)密鑰發(fā)布包丟失問(wèn)題。無(wú)線信道的質(zhì)量得不到保證，數(shù)據(jù)沖突和丟失的可能性較大。如果一個(gè)節(jié)點(diǎn)丟失了密鑰發(fā)布包，就會(huì)導(dǎo)致一個(gè)時(shí)段收到的廣播數(shù)據(jù)包不能被正確認(rèn)證。μTESLA協(xié)議引入密鑰鏈機(jī)制，解決了密鑰發(fā)布包丟失給認(rèn)證帶來(lái)的問(wèn)題。該機(jī)制要求基站密鑰池中存放的密鑰不是相互獨(dú)立的，而是通過(guò)單向密鑰生成算法經(jīng)過(guò)迭代運(yùn)算產(chǎn)生出來(lái)的一串密鑰。已知祖先密鑰，可以用單向密鑰生成函數(shù)產(chǎn)生所有的子孫密鑰。這樣即使中間丟失幾個(gè)發(fā)布的密鑰，仍然可以根據(jù)最新的密鑰推算出丟失的密鑰。

(4)時(shí)間同步和密鑰公布延遲問(wèn)題。TESLA協(xié)議在發(fā)送一個(gè)廣播包的同時(shí)，公布前一包的密鑰，這樣能夠保證一包一密，攻擊者沒(méi)有機(jī)會(huì)用已知密鑰偽造合法的廣播包，但這種方式開(kāi)發(fā)難度較大，而且會(huì)導(dǎo)致認(rèn)證延遲時(shí)間太長(zhǎng)，在廣播頻繁時(shí)甚至導(dǎo)致信道擁塞。μTESLA協(xié)議使用了周期性公布認(rèn)證密鑰的方式，一段時(shí)間內(nèi)使用相同的認(rèn)證密鑰，從而有效解決了上述問(wèn)題。周期性更新密鑰要求基站和節(jié)點(diǎn)之間維持一個(gè)簡(jiǎn)單的同步，這樣節(jié)點(diǎn)可以通過(guò)當(dāng)前時(shí)鐘判斷公布的密鑰是哪個(gè)時(shí)間段使用的密鑰，然后用該密鑰對(duì)該時(shí)間段中接收到的數(shù)據(jù)包進(jìn)行認(rèn)證。密鑰使用時(shí)間和密鑰公布時(shí)間之間的延遲是需要權(quán)衡的，太長(zhǎng)可能導(dǎo)致節(jié)點(diǎn)需要大量的存儲(chǔ)空間來(lái)緩存廣播包，太短又可能導(dǎo)致通信消耗過(guò)大。

(5)密鑰認(rèn)證和初始化問(wèn)題。節(jié)點(diǎn)對(duì)每個(gè)收到的密鑰首先要確認(rèn)它是來(lái)自信任基站的，而不是由一個(gè)惡意節(jié)點(diǎn)制造的。密鑰生成算法的單向特性為密鑰的確認(rèn)提供了很好的手段，因?yàn)槊荑€是單向可推導(dǎo)的，所以已知前面獲得的合法密鑰可以驗(yàn)證新收到的密鑰是否合法。但這個(gè)過(guò)程要求初始第一個(gè)密鑰必須是確認(rèn)合法的，這個(gè)初始認(rèn)證是通過(guò)協(xié)議初始化過(guò)程完成的，一般可以忽略該過(guò)程的安全性。

(6)普通節(jié)點(diǎn)的認(rèn)證廣播問(wèn)題。普通節(jié)點(diǎn)發(fā)送廣播包的情況比較少，所以一般的實(shí)現(xiàn)方法是節(jié)點(diǎn)將廣播信息發(fā)送給基站，然后由基站向全網(wǎng)廣播。還有一種方法就是節(jié)點(diǎn)借用基站的廣播密鑰完成認(rèn)證廣播，廣播密鑰的公布還是由基站完成。具體過(guò)程如下：一個(gè)要發(fā)送廣播包的節(jié)點(diǎn)首先通過(guò)點(diǎn)到點(diǎn)協(xié)議獲得當(dāng)前使用時(shí)段的廣播密鑰，再用該密鑰計(jì)算需要認(rèn)證的廣播數(shù)據(jù)包，然后向全網(wǎng)廣播。但是，這種方法需要考慮獲得認(rèn)證廣播密鑰過(guò)程的時(shí)間延遲，以保證節(jié)點(diǎn)在使用這個(gè)密鑰廣播時(shí)該密鑰還沒(méi)有過(guò)期，基站把一次包交換時(shí)間之后的有效密鑰發(fā)送給節(jié)點(diǎn)使用，即可保證廣播密鑰的有效性。

8.2無(wú)線傳感器網(wǎng)絡(luò)的安全機(jī)制

以密碼技術(shù)為核心的基礎(chǔ)信息安全平臺(tái)及基礎(chǔ)設(shè)施建設(shè)是傳感器網(wǎng)絡(luò)安全，特別是數(shù)據(jù)隱私保護(hù)的基礎(chǔ)。安全平臺(tái)同時(shí)包括安全事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施、安全管理等。

安全防御技術(shù)主要是為了保證信息的安全而采用的一些方法，在網(wǎng)絡(luò)和通信傳輸安全方面，它主要是針對(duì)網(wǎng)絡(luò)環(huán)境的安全技術(shù)，如VPN、路由等，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)過(guò)程的安全，旨在確保通信的機(jī)密性、完整性和可用性。而應(yīng)用環(huán)境安全技術(shù)主要針對(duì)用戶的訪問(wèn)控制與審計(jì)，以及應(yīng)用系統(tǒng)在執(zhí)行過(guò)程中產(chǎn)生的安全問(wèn)題。

8.2.1節(jié)點(diǎn)的安全機(jī)制

在傳感器網(wǎng)絡(luò)中，節(jié)點(diǎn)的任務(wù)是全面采集、匯集外界信息。如何處理這些感知信息將直接影響信息的有效應(yīng)用。為了使同樣的信息被不同的應(yīng)用領(lǐng)域有效使用，需要將采集的信息傳輸?shù)揭粋€(gè)處理平臺(tái)，實(shí)現(xiàn)信息共享。感知信息要通過(guò)一個(gè)或多個(gè)與外界網(wǎng)絡(luò)連接的傳感節(jié)點(diǎn)，這些傳感器節(jié)點(diǎn)稱為網(wǎng)關(guān)節(jié)點(diǎn)(Sink或Gateway)，所有與傳感網(wǎng)內(nèi)部節(jié)點(diǎn)的通信都需要經(jīng)過(guò)網(wǎng)關(guān)節(jié)點(diǎn)與外界聯(lián)系。因此，節(jié)點(diǎn)的安全機(jī)制關(guān)系到信息的有效性。

1．節(jié)點(diǎn)的安全問(wèn)題

節(jié)點(diǎn)可能遇到的安全問(wèn)題有以下五個(gè)方面：

①網(wǎng)關(guān)節(jié)點(diǎn)被敵手控制，安全性全部丟失；

②普通節(jié)點(diǎn)被敵手控制，敵手掌握節(jié)點(diǎn)密鑰；

③普通節(jié)點(diǎn)被敵手捕獲，但由于敵手沒(méi)有得到節(jié)點(diǎn)密鑰，節(jié)點(diǎn)沒(méi)有被控制；

④普通節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)受到來(lái)自網(wǎng)絡(luò)的DoS攻擊；

⑤接入到傳感器網(wǎng)絡(luò)的超大量節(jié)點(diǎn)的識(shí)別、認(rèn)證和控制問(wèn)題。

敵手捕獲網(wǎng)關(guān)節(jié)點(diǎn)不等于控制該節(jié)點(diǎn)，一個(gè)網(wǎng)關(guān)節(jié)點(diǎn)實(shí)際被敵手控制的可能性很小，因?yàn)樾枰莆赵摴?jié)點(diǎn)的密鑰(與內(nèi)部節(jié)點(diǎn)通信的密鑰或與遠(yuǎn)程信息處理平臺(tái)共享的密鑰)才有可能，而這是很困難的。如果敵手掌握了一個(gè)網(wǎng)關(guān)節(jié)點(diǎn)與內(nèi)部節(jié)點(diǎn)的共享密鑰，那么他就可以控制網(wǎng)關(guān)節(jié)點(diǎn)，并由此獲得通過(guò)該網(wǎng)關(guān)節(jié)點(diǎn)傳出的所有信息。但如果敵手不知道該網(wǎng)關(guān)節(jié)點(diǎn)與遠(yuǎn)程信息處理平臺(tái)的共享密鑰，那么他就不能篡改發(fā)送的信息。他只能阻止部分或全部信息的發(fā)送，但這樣容易被遠(yuǎn)程信息處理平臺(tái)察覺(jué)。因此，構(gòu)建一個(gè)能夠識(shí)別敵手控制的傳感器網(wǎng)絡(luò)，便可以降低甚至避免由敵手控制傳遞的虛假信息所造成的損失。

既然傳感器網(wǎng)絡(luò)最終要接入其他外在網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)，那么節(jié)點(diǎn)就難免會(huì)受到來(lái)自外在網(wǎng)絡(luò)的攻擊。目前，能預(yù)期到的主要攻擊除了非法訪問(wèn)外，應(yīng)該就是拒絕服務(wù)(DoS)攻擊了。因?yàn)楣?jié)點(diǎn)的通常資源(計(jì)算和通信能力)有限，所以對(duì)抗DoS攻擊的能力比較弱，在互聯(lián)網(wǎng)環(huán)境里不被識(shí)別為DoS攻擊的訪問(wèn)就可能使網(wǎng)絡(luò)癱瘓。因此，節(jié)點(diǎn)、安全應(yīng)該包括節(jié)點(diǎn)抗DoS攻擊的能力。考慮到外部訪問(wèn)可能直接針對(duì)傳感網(wǎng)內(nèi)部的某個(gè)節(jié)點(diǎn)(如遠(yuǎn)程控制啟動(dòng)或關(guān)閉紅外裝置)，而內(nèi)部普通節(jié)點(diǎn)的資源一般比網(wǎng)關(guān)節(jié)點(diǎn)更小，因此網(wǎng)絡(luò)抗DoS攻擊的能力應(yīng)包括網(wǎng)關(guān)節(jié)點(diǎn)和普通節(jié)點(diǎn)兩種情況。

網(wǎng)絡(luò)接入互聯(lián)網(wǎng)或其他類型的網(wǎng)絡(luò)所帶來(lái)的問(wèn)題不僅僅是如何對(duì)抗外來(lái)攻擊的問(wèn)題，更重要的是如何與外部設(shè)備相互認(rèn)證的問(wèn)題，而認(rèn)證過(guò)程又需要特別考慮傳感網(wǎng)資源的有限性。因此，認(rèn)證機(jī)制需要的計(jì)算和通信代價(jià)都必須盡可能小。此外，對(duì)外部互聯(lián)網(wǎng)來(lái)說(shuō)，其所連接的不同網(wǎng)絡(luò)的數(shù)量可能是一個(gè)龐大的數(shù)字，如何區(qū)分這些網(wǎng)絡(luò)及其內(nèi)部節(jié)點(diǎn)，并有效地識(shí)別它們，是節(jié)點(diǎn)安全機(jī)制能夠建立的前提。

2．節(jié)點(diǎn)的安全機(jī)制

在了解網(wǎng)絡(luò)的安全威脅基礎(chǔ)上，很容易建立合理的安全架構(gòu)。針對(duì)上述節(jié)點(diǎn)的安全問(wèn)題分析，建立安全機(jī)制的內(nèi)容如下：

(1)機(jī)密性。多數(shù)網(wǎng)絡(luò)內(nèi)部不需要認(rèn)證和密鑰管理，如統(tǒng)一部署的共享一個(gè)密鑰的傳感器網(wǎng)絡(luò)。

(2)密鑰協(xié)商。部分內(nèi)部節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸前，需要預(yù)先協(xié)商會(huì)話密鑰。

(3)節(jié)點(diǎn)認(rèn)證。個(gè)別網(wǎng)絡(luò)特別在數(shù)據(jù)共享時(shí)，需要節(jié)點(diǎn)認(rèn)證，確保非法節(jié)點(diǎn)不能接入。

(4)信譽(yù)評(píng)估。一些重要網(wǎng)絡(luò)需要對(duì)可能被敵手控制的節(jié)點(diǎn)行為進(jìn)行評(píng)估，以降低敵手入侵后的危害，這在某種程度上相當(dāng)于入侵檢測(cè)。

(5)安全路由。幾乎所有網(wǎng)絡(luò)內(nèi)部都需要不同的安全路由技術(shù)。

在網(wǎng)絡(luò)內(nèi)部需要有效的密鑰管理機(jī)制，用于保障傳感器網(wǎng)絡(luò)內(nèi)部通信的安全，網(wǎng)絡(luò)內(nèi)部的安全路由和連通性解決方案等都可以相對(duì)獨(dú)立地使用。由于網(wǎng)絡(luò)類型的多樣性，很難統(tǒng)一要求有哪些安全服務(wù)，但機(jī)密性和認(rèn)證性都是必要的。

機(jī)密性需要在通信時(shí)建立一個(gè)臨時(shí)會(huì)話密鑰，而認(rèn)證性可以通過(guò)對(duì)稱密碼或非對(duì)稱密碼方案解決。使用對(duì)稱密碼的認(rèn)證方案需要預(yù)置節(jié)點(diǎn)間的共享密鑰，這種做法具有較高的效率，由于網(wǎng)絡(luò)節(jié)點(diǎn)的資源較少，許多網(wǎng)絡(luò)都選用此方案。而使用非對(duì)稱密碼技術(shù)的傳感器網(wǎng)絡(luò)一般具有較好的計(jì)算能力和通信能力，并且對(duì)安全性要求更高。在認(rèn)證的基礎(chǔ)上完成密鑰協(xié)商是建立會(huì)話密鑰的必要步驟，安全路由和入侵檢測(cè)等也是網(wǎng)絡(luò)應(yīng)具有的性能。

由于傳感器網(wǎng)絡(luò)的安全一般不涉及其他網(wǎng)絡(luò)的安全，因此它是相對(duì)獨(dú)立的問(wèn)題，有些已有的安全解決方案在物聯(lián)網(wǎng)環(huán)境中也同樣適用。但由于傳感器網(wǎng)絡(luò)環(huán)境中遭受外部攻擊的機(jī)會(huì)在不斷增大，因此用于獨(dú)立的傳統(tǒng)安全解決方案需要提升安全等級(jí)后才能使用。也就是說(shuō)，傳感器網(wǎng)絡(luò)在安全上的要求更高，這僅僅是量的要求，沒(méi)有質(zhì)的變化。相應(yīng)地，安全需求所涉及的密碼技術(shù)包括輕量級(jí)密碼算法、輕量級(jí)密碼協(xié)議和可設(shè)定安全等級(jí)的密碼技術(shù)等。

8.2.2信息通信的安全機(jī)制

在無(wú)線傳感器網(wǎng)絡(luò)中，普通節(jié)點(diǎn)采集的信息通過(guò)匯聚節(jié)點(diǎn)傳遞給網(wǎng)關(guān)，再經(jīng)網(wǎng)關(guān)接入主干網(wǎng)絡(luò)(互聯(lián)網(wǎng)、移動(dòng)網(wǎng)、以太網(wǎng)等)傳遞給終端用戶。由此可見(jiàn)，信息通信的安全問(wèn)題是極其重要的。信息傳遞的通信渠道依賴于網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)和一些專業(yè)網(wǎng)(如國(guó)家電力專用網(wǎng)和廣播電視網(wǎng))等。在信息傳輸過(guò)程中，可能經(jīng)過(guò)一個(gè)或多個(gè)不同架構(gòu)的網(wǎng)絡(luò)進(jìn)行信息交接。例如，普通電話座機(jī)與手機(jī)之間的通話就是一個(gè)典型的跨網(wǎng)絡(luò)架構(gòu)的信息傳輸實(shí)例。在信息傳輸過(guò)程中跨網(wǎng)絡(luò)傳輸是很正常的，很可能在正常而普通的事件中產(chǎn)生信息傳遞安全隱患。

1．通信的安全需求

目前，網(wǎng)絡(luò)環(huán)境遇到前所未有的安全挑戰(zhàn)，直接關(guān)系到信息通信的安全問(wèn)題。同時(shí)，由于不同架構(gòu)的網(wǎng)絡(luò)需要相互連通，在跨網(wǎng)絡(luò)架構(gòu)的安全認(rèn)證等方面也會(huì)面臨安全挑戰(zhàn)。信息通信安全方面會(huì)遇到的安全問(wèn)題主要有：

①拒絕服務(wù)(DoS)攻擊、分布式拒絕服務(wù)(DDoS)攻擊；

②假冒攻擊和中間人攻擊；

③跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

目前的互聯(lián)網(wǎng)或者下一代互聯(lián)網(wǎng)將是傳感器網(wǎng)絡(luò)信息傳遞的核心載體，多數(shù)信息要經(jīng)過(guò)互聯(lián)網(wǎng)傳輸，互聯(lián)網(wǎng)遇到的拒絕服務(wù)(DoS)攻擊和分布式拒絕服務(wù)(DDoS)攻擊仍然存在。因此，需要有更好的防范措施和災(zāi)難恢復(fù)機(jī)制。考慮到傳感器網(wǎng)絡(luò)所連接的終端設(shè)備性能和對(duì)網(wǎng)絡(luò)需求的巨大差異，對(duì)網(wǎng)絡(luò)攻擊的防護(hù)能力也會(huì)有很大差別。因此，很難設(shè)計(jì)通用的安全方案，而應(yīng)針對(duì)不同網(wǎng)絡(luò)性能和網(wǎng)絡(luò)需求有不同的防范措施。異構(gòu)網(wǎng)絡(luò)的信息交換將成為安全性的脆弱點(diǎn)，特別是在網(wǎng)絡(luò)認(rèn)證方面，難免存在中間人攻擊和其他類型的攻擊(如異步攻擊和合謀攻擊等)。這些攻擊都需要有更高的安全防護(hù)措施。

如果僅考慮互聯(lián)網(wǎng)、移動(dòng)網(wǎng)以及其他一些專用網(wǎng)絡(luò)，那么信息通信對(duì)安全的需求可以概括為以下五點(diǎn)：

(1)數(shù)據(jù)機(jī)密性。需要保證數(shù)據(jù)在傳輸過(guò)程中不泄露其內(nèi)容。

(2)數(shù)據(jù)完整性。需要保證數(shù)據(jù)在傳輸過(guò)程中不被非法篡改，或遭受非法篡改的數(shù)據(jù)容易被檢測(cè)出。

(3)數(shù)據(jù)流機(jī)密性。某些應(yīng)用場(chǎng)景需要對(duì)數(shù)據(jù)流量信息進(jìn)行保密，目前只能提供有限的數(shù)據(jù)流機(jī)密性。

(4)??DoS攻擊的檢測(cè)與預(yù)防。DoS攻擊是網(wǎng)絡(luò)中最常見(jiàn)的攻擊現(xiàn)象，在物聯(lián)網(wǎng)中將會(huì)更突出。物聯(lián)網(wǎng)中需要解決的問(wèn)題還包括如何對(duì)脆弱節(jié)點(diǎn)的DoS攻擊進(jìn)行防護(hù)。

(5)移動(dòng)網(wǎng)中認(rèn)證與密鑰協(xié)商(AKA)機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證(基于IMSI)。不同無(wú)線網(wǎng)絡(luò)所使用的不同AKA機(jī)制對(duì)跨網(wǎng)認(rèn)證帶來(lái)不便，這一問(wèn)題亟待解決。

2．通信的安全機(jī)制

信息通信的安全機(jī)制可分為端到端機(jī)密性和節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性兩類。對(duì)于端到端機(jī)密性，需要建立端到端認(rèn)證機(jī)制、端到端密鑰協(xié)商機(jī)制、密鑰管理機(jī)制和機(jī)密性算法選取機(jī)制等安全機(jī)制。在這些安全機(jī)制中，根據(jù)需要可以增加數(shù)據(jù)完整性服務(wù)。對(duì)于節(jié)點(diǎn)到節(jié)點(diǎn)機(jī)密性，需要節(jié)點(diǎn)間的認(rèn)證和密鑰協(xié)商協(xié)議，這類協(xié)議要重點(diǎn)考慮效率因素。機(jī)密性算法的選取和數(shù)據(jù)完整性服務(wù)則可以根據(jù)需求選取或省略。考慮到跨網(wǎng)絡(luò)架構(gòu)的安全需求，需要建立不同網(wǎng)絡(luò)環(huán)境的認(rèn)證銜接機(jī)制。

另外，根據(jù)信息應(yīng)用的不同需求，網(wǎng)絡(luò)傳輸模式可能分為單播通信、組播通信和廣播通信。針對(duì)不同類型的通信模式也應(yīng)該有相應(yīng)的認(rèn)證機(jī)制和機(jī)密性保護(hù)機(jī)制。簡(jiǎn)而言之，信息通信的安全架構(gòu)主要包括以下四個(gè)方面：

(1)節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)流機(jī)密性、DDoS攻擊的檢測(cè)與預(yù)防。

(2)移動(dòng)網(wǎng)中AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證(基于IMSI)。

(3)相應(yīng)的密碼技術(shù)，包括密鑰管理(密鑰基礎(chǔ)設(shè)施(PKI)和密鑰協(xié)商)、端對(duì)端加密和節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密、密碼算法和協(xié)議等。

(4)組播和廣播通信的認(rèn)證性、機(jī)密性和完整性安全機(jī)制。

8.2.3信息應(yīng)用的安全機(jī)制

在無(wú)線傳感器網(wǎng)絡(luò)中，終端用戶對(duì)信息的具體應(yīng)用是信息傳遞的最終目的。由于具體應(yīng)用業(yè)務(wù)具有個(gè)體特性，所涉及的某些安全問(wèn)題也具有個(gè)體要求，其中隱私保護(hù)就是典型的一種。在信息傳遞各個(gè)環(huán)節(jié)中，一般情況下不涉及隱私保護(hù)的問(wèn)題，但它卻是一些特殊應(yīng)用場(chǎng)景的實(shí)際需求，即信息應(yīng)用的特殊安全需求網(wǎng)絡(luò)的數(shù)據(jù)共享有多種情況，涉及不同權(quán)限的數(shù)據(jù)訪問(wèn)，還涉及知識(shí)產(chǎn)權(quán)保護(hù)、計(jì)算機(jī)取證、計(jì)算機(jī)數(shù)據(jù)銷毀等安全需求和相應(yīng)技術(shù)。

1．應(yīng)用的安全需求

信息應(yīng)用的安全挑戰(zhàn)和安全需求的主要內(nèi)容包括以下六個(gè)方面：

①如何根據(jù)不同訪問(wèn)權(quán)限對(duì)同一數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行篩選，并按照訪問(wèn)級(jí)別應(yīng)用信息；

②如何提供用戶隱私信息保護(hù)，同時(shí)又能正確認(rèn)證；

③如何解決信息泄露追蹤問(wèn)題，以挽回?fù)p失；

④如何進(jìn)行計(jì)算機(jī)取證；

⑤如何銷毀計(jì)算機(jī)數(shù)據(jù)；

⑥如何保護(hù)電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)。

傳感器網(wǎng)絡(luò)需要根據(jù)不同應(yīng)用需求對(duì)共享數(shù)據(jù)分配不同的訪問(wèn)權(quán)限，而且不同權(quán)限訪問(wèn)同一數(shù)據(jù)可能得到不同的結(jié)果。例如，道路交通監(jiān)控視頻數(shù)據(jù)在用于城市規(guī)劃時(shí)只需要很低的分辨率即可，因?yàn)槌鞘幸?guī)劃需要的是交通堵塞的大概情況；而用于交通管制時(shí)就需要很高的分辨率，以便能及時(shí)發(fā)現(xiàn)哪里發(fā)生了交通事故，及時(shí)掌握交通事故的基本情況，甚至用于公安偵查時(shí)可能需要更清晰的圖像以便能準(zhǔn)確識(shí)別汽車牌照等信息。

在信息應(yīng)用中，無(wú)論是個(gè)人信息還是商業(yè)信息，用戶隱私信息越來(lái)越多。需要提供隱私保護(hù)的應(yīng)用至少包括以下四種：

(1)移動(dòng)用戶既需要知道(或被合法人知道)其位置信息，又不愿意非法用戶獲取該

信息。

(2)用戶既需要證明自己合法使用某種業(yè)務(wù)，又不想讓他人知道自己在使用某種業(yè)務(wù)，如在線游戲。

(3)用戶的個(gè)人信息隱私保護(hù)，如在對(duì)病人進(jìn)行急救時(shí)，需要及時(shí)獲得該病人的電子病歷信息，但又要保護(hù)該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實(shí)上，電子病歷數(shù)據(jù)庫(kù)的管理人員可能有機(jī)會(huì)獲得電子病歷的內(nèi)容，但隱私保護(hù)采用某種管理和技術(shù)手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫(kù)中無(wú)關(guān)聯(lián)。

(4)許多業(yè)務(wù)需要匿名性，很多情況下用戶信息是認(rèn)證過(guò)程的必需信息，如何對(duì)這些信息提供隱私保護(hù)是一個(gè)具有挑戰(zhàn)性的問(wèn)題，但又是必須要解決的問(wèn)題。例如，醫(yī)療病歷的管理系統(tǒng)需要病人的相關(guān)信息來(lái)獲取正確的病歷數(shù)據(jù)，但又要避免該病歷數(shù)據(jù)與病人的身份信息相關(guān)聯(lián)。在實(shí)際應(yīng)用過(guò)程中，主治醫(yī)生知道病人的病歷數(shù)據(jù)，這種情況下對(duì)隱私信息的保護(hù)具有一定困難性，但可以通過(guò)密碼技術(shù)手段掌握醫(yī)生泄露病人病歷信息的證據(jù)。

與計(jì)算機(jī)取證相對(duì)應(yīng)的是數(shù)據(jù)銷毀，其目的是銷毀那些在密碼算法或密碼協(xié)議實(shí)施過(guò)程中所產(chǎn)生的臨時(shí)中間變量。一旦密碼算法或密碼協(xié)議實(shí)施完畢，這些中間變量將不再有用。但這些中間變量如果落入攻擊者手里，可能為攻擊者提供重要的參數(shù)，從而增大成功攻擊的可能性。因此，這些臨時(shí)中間變量需要及時(shí)安全地從計(jì)算機(jī)內(nèi)存和存儲(chǔ)單元中刪除。但是，計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)不可避免地會(huì)被計(jì)算機(jī)犯罪提供證據(jù)銷毀工具，從而增大計(jì)算機(jī)取證的難度。因此，如何處理好計(jì)算機(jī)取證和計(jì)算機(jī)數(shù)據(jù)銷毀這對(duì)矛盾是一項(xiàng)具有挑戰(zhàn)性的技術(shù)難題，也是傳感器網(wǎng)絡(luò)應(yīng)用中需要解決的問(wèn)題。

2．應(yīng)用的安全機(jī)制

傳感器網(wǎng)絡(luò)應(yīng)用絕大多數(shù)是商業(yè)應(yīng)用，存在大量需要保護(hù)的知識(shí)產(chǎn)權(quán)產(chǎn)品，包括電子產(chǎn)品和軟件等。對(duì)電子產(chǎn)品的知識(shí)產(chǎn)權(quán)保護(hù)將會(huì)提高到一個(gè)新的高度，對(duì)應(yīng)的技術(shù)要求也是一項(xiàng)新的挑戰(zhàn)，需要建立的安全機(jī)制如下：

(1)有效的數(shù)據(jù)庫(kù)訪問(wèn)控制和內(nèi)容篩選機(jī)制。

(2)不同場(chǎng)景的隱私信息保護(hù)技術(shù)。

(3)叛逆追蹤和其他信息泄露追蹤機(jī)制。

(4)有效的計(jì)算機(jī)取證技術(shù)。

(5)安全的計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)。

(6)安全的電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)。

針對(duì)這些安全架構(gòu)，需要發(fā)展相關(guān)的密碼技術(shù)，包括訪問(wèn)控制、匿名簽名、匿名認(rèn)證、密文驗(yàn)證(包括同態(tài)加密)、門限密碼、叛逆追蹤、數(shù)字水印和指紋技術(shù)等。

8.3信息隱私權(quán)與保護(hù)

8.3.1隱私保護(hù)

隱私即數(shù)據(jù)所有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性。通常所說(shuō)的隱私都是指敏感數(shù)據(jù)，如個(gè)人的薪資、病人的就診記錄和公司的財(cái)務(wù)信息等。但是，當(dāng)針對(duì)不同的數(shù)據(jù)以及數(shù)據(jù)所有者時(shí)，隱私的定義也會(huì)存在差別。例如，保守的病人會(huì)視疾病信息為隱私，而開(kāi)放的病人卻不視之為隱私。一般地，從隱私所有者的角度而言，隱私可以分為以下兩類：

(1)個(gè)人隱私。任何可以確認(rèn)特定個(gè)人或與可確認(rèn)的個(gè)人相關(guān)、但個(gè)人不愿被暴露的信息，都叫做個(gè)人隱私，如身份證號(hào)和就診記錄等。

(2)共同隱私。共同隱私不僅包含個(gè)人的隱私，還包含所有個(gè)人共同表現(xiàn)出但不愿被暴露的信息，如公司員工的平均薪資和薪資分布等信息。

隱私的度量和數(shù)據(jù)隱私的保護(hù)效果是通過(guò)攻擊者披露隱私的多寡來(lái)側(cè)面反映的。隱私度量可以統(tǒng)一用“披露風(fēng)險(xiǎn)”來(lái)描述。披露風(fēng)險(xiǎn)表示攻擊者根據(jù)所發(fā)布的數(shù)據(jù)和其他背景知識(shí)可能披露隱私的概率。通常，關(guān)于隱私數(shù)據(jù)的背景知識(shí)越多，披露風(fēng)險(xiǎn)越大。

若s表示敏感數(shù)據(jù)，事件SK表示攻擊者在背景知識(shí)K的幫助下揭露的敏感數(shù)據(jù)s，Pr表示事件的發(fā)生概率，則披露風(fēng)險(xiǎn)r(s,K)可表示為

r(s,K)?=?Pr(SK)

(8-2)

1．網(wǎng)絡(luò)隱私權(quán)

網(wǎng)絡(luò)隱私權(quán)并非一種完全新型的隱私權(quán)，而是隱私權(quán)在網(wǎng)絡(luò)空間的延伸。目前，學(xué)界對(duì)此尚沒(méi)有明確的概念，通常認(rèn)為網(wǎng)絡(luò)隱私權(quán)是指在網(wǎng)絡(luò)環(huán)境中公民享有私人生活安寧和私人信息依法受到保護(hù)，不被他人非法侵犯、知悉、搜集、利用或公開(kāi)的一種人格權(quán)。

網(wǎng)絡(luò)隱私包含個(gè)人信息、私人生活安寧、私人活動(dòng)與私人領(lǐng)域等重要內(nèi)容，其中尤以個(gè)人信息最為重要。個(gè)人信息又稱為個(gè)人識(shí)別資料，通常包括姓名、性別、年齡、電話號(hào)碼、通信地址、血型、民族、文化程度、婚姻狀況、病史、職業(yè)經(jīng)歷、財(cái)務(wù)資料和犯罪記錄等內(nèi)容。在網(wǎng)絡(luò)環(huán)境中的個(gè)人信息是以個(gè)人數(shù)據(jù)的形式存在的。

網(wǎng)絡(luò)隱私權(quán)具體包括以下內(nèi)容：

(1)知情權(quán)。任何個(gè)人都有權(quán)知道網(wǎng)站收集了關(guān)于自己的哪些信息，以及這些信息的用途、目的和使用等情況。

(2)選擇權(quán)。個(gè)人在知情權(quán)的基礎(chǔ)上，對(duì)網(wǎng)上個(gè)人資料的使用用途擁有選擇權(quán)。

(3)控制權(quán)。個(gè)人能夠通過(guò)合理的途徑訪問(wèn)、查閱、修改和刪除網(wǎng)絡(luò)個(gè)人信息資料，同時(shí)個(gè)人資料未經(jīng)本人同意不得被隨意公開(kāi)和處置。

(4)安全請(qǐng)求權(quán)。個(gè)人有權(quán)要求網(wǎng)絡(luò)個(gè)人信息資料的持有人采取必要、合理的技術(shù)措施保證其資料的安全；當(dāng)要求被拒絕或個(gè)人信息被泄露后，有權(quán)提起司法或者行政救濟(jì)。

此外，網(wǎng)絡(luò)隱私權(quán)還應(yīng)包括個(gè)人有權(quán)按照自己的意志在網(wǎng)上從事或不從事某種與社會(huì)公共利益無(wú)關(guān)的活動(dòng)(如網(wǎng)上交易、通信和下載文件等)，不受他人的干擾、干涉、逼迫或支配；任何人，包括網(wǎng)絡(luò)服務(wù)商，不允許不適當(dāng)?shù)厍秩胨说木W(wǎng)絡(luò)空間和窺視、泄露他人的私事。

2．侵犯網(wǎng)絡(luò)隱私權(quán)的主要現(xiàn)象

當(dāng)前侵犯網(wǎng)絡(luò)隱私權(quán)的主要現(xiàn)象包括：

(1)大量的網(wǎng)站通過(guò)合法的手段(要求用戶填寫注冊(cè)表格)或者隱蔽的技術(shù)手段搜集網(wǎng)絡(luò)用戶的個(gè)人信息，由于缺少?gòu)?qiáng)有力的外部監(jiān)督，網(wǎng)站可能不當(dāng)使用個(gè)人信息(如共享、出租或轉(zhuǎn)售)，從而泄露用戶的個(gè)人資料。

(2)由于利益驅(qū)使，網(wǎng)絡(luò)中產(chǎn)生了大批專門從事網(wǎng)上調(diào)查業(yè)務(wù)的公司，這些公司進(jìn)行窺探業(yè)務(wù)，以非法獲取和利用他人的隱私。此類公司使用具有跟蹤功能的Cookie工具瀏覽和定時(shí)跟蹤用戶站上所進(jìn)行的操作、自動(dòng)記錄用戶訪問(wèn)的站點(diǎn)和內(nèi)容，從而建立龐大的資料庫(kù)。任何機(jī)構(gòu)和個(gè)人只需支付低廉的費(fèi)用，都可以獲取他人詳細(xì)的個(gè)人資料。

(3)有些軟件和硬件廠商開(kāi)發(fā)出各種互聯(lián)網(wǎng)跟蹤工具用于收集用戶的隱私，加之網(wǎng)站出于經(jīng)濟(jì)利益考慮，對(duì)于此類行為有時(shí)會(huì)聽(tīng)之任之，使得人們?cè)诰W(wǎng)絡(luò)上沒(méi)有隱私可言。

(4)黑客(hacker)未經(jīng)授權(quán)進(jìn)入他人系統(tǒng)收集資料或打擾他人安寧，截獲或復(fù)制他人正在傳遞的電子信息，竊取和篡改網(wǎng)絡(luò)用戶的私人信息，甚至制造和傳播計(jì)算機(jī)病毒，破壞他人的計(jì)算機(jī)系統(tǒng)，從而引發(fā)個(gè)人數(shù)據(jù)隱私權(quán)保護(hù)的法律問(wèn)題。

(5)某些網(wǎng)絡(luò)的所有者或管理者甚至是政府機(jī)構(gòu)都可能通過(guò)網(wǎng)絡(luò)中心監(jiān)視或竊聽(tīng)局域網(wǎng)內(nèi)的其他計(jì)算機(jī)，監(jiān)控網(wǎng)內(nèi)人員的電子郵件。

(6)公民個(gè)人缺乏隱私權(quán)的法律意識(shí)，未經(jīng)授權(quán)在網(wǎng)絡(luò)上公開(kāi)或轉(zhuǎn)讓他人或自己與他人之間的隱私。

3．網(wǎng)絡(luò)隱私權(quán)的相關(guān)法律保護(hù)

我國(guó)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》第7條規(guī)定：“用戶的通信自由和通信秘密受法律保護(hù)。任何單位和個(gè)人不得違反法律規(guī)定，利用國(guó)際聯(lián)網(wǎng)侵犯用戶的通

信自由和通信秘密”。《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》第18條規(guī)定：“不得擅自進(jìn)入未經(jīng)許可的計(jì)算機(jī)系統(tǒng)，篡改他人信息，冒用他人名義發(fā)出信息，侵犯他人隱私”。

我國(guó)現(xiàn)行法律已經(jīng)開(kāi)始重視對(duì)隱私的保護(hù)，特別是司法解釋將其作為一項(xiàng)人格利益加以保護(hù)，無(wú)疑是立法的一大進(jìn)步。而一些保護(hù)網(wǎng)絡(luò)隱私權(quán)的法律、法規(guī)的頒布，表明網(wǎng)絡(luò)隱私權(quán)的法律保護(hù)已開(kāi)始呈現(xiàn)出獨(dú)立化和特別化的趨勢(shì)，制定旨在保護(hù)個(gè)人網(wǎng)絡(luò)隱私權(quán)的單行法律法規(guī)指日可待。但是，我國(guó)的隱私權(quán)立法存在著極大的不足：

(1)我國(guó)現(xiàn)行的法律條文中沒(méi)有直接出現(xiàn)“隱私權(quán)”一詞，也并沒(méi)有具體規(guī)定隱私權(quán)的內(nèi)容和侵犯隱私權(quán)行為的方式，憲法只原則性地規(guī)定了公民的人格尊嚴(yán)、住宅和通信秘密不受非法侵犯，為隱私權(quán)在其他法律部門中的保護(hù)提供了依據(jù)，卻沒(méi)有相關(guān)法律的配套，實(shí)際可操作性差。

(2)我國(guó)法律是通過(guò)保護(hù)名譽(yù)權(quán)的方式來(lái)間接保護(hù)公民的隱私權(quán)，盡管名譽(yù)權(quán)和隱私權(quán)存在密切關(guān)系，甚至可能重合，但兩者仍具有本質(zhì)的差別。

8.3.2隱私保護(hù)面臨的威脅

1．隱私保護(hù)問(wèn)題

(1)應(yīng)用分類。根據(jù)服務(wù)面向?qū)ο蟮牟煌谖恢梅?wù)(LocationBasedService，LBS)可以分為面向用戶和面向設(shè)備兩種。兩種業(yè)務(wù)的主要區(qū)別在于，在面向用戶的LBS中，用戶對(duì)服務(wù)擁有主控權(quán)；在面向設(shè)備的LBS中，用戶或物品處于被動(dòng)地位，對(duì)服務(wù)無(wú)主控權(quán)。

(2)基于位置的服務(wù)與隱私。很多調(diào)查研究顯示，消費(fèi)者非常關(guān)注個(gè)人隱私保護(hù)。歐洲委員會(huì)通過(guò)《隱私與電子通信法》對(duì)電子通信處理個(gè)人數(shù)據(jù)時(shí)的隱私保護(hù)問(wèn)題作出了明確的法律規(guī)定。2002年制定的自Directive文本規(guī)范了對(duì)位置數(shù)據(jù)的使用，其中條款9明確指出位置數(shù)據(jù)只有在匿名或用戶同意的前提下才能被有效并必要的服務(wù)使用。這突顯了位置隱私保護(hù)的重要性與必要性。此外，在運(yùn)營(yíng)商方面，全球最大的移動(dòng)通信運(yùn)營(yíng)商沃達(dá)豐(Vodafone)制定了一套隱私管理業(yè)務(wù)條例，并要求所有為沃達(dá)豐客戶提供服務(wù)的第三方必須遵守，這體現(xiàn)了運(yùn)營(yíng)商對(duì)隱私保護(hù)的重視。

(3)隱私泄露。LBS中的隱私內(nèi)容涉及兩個(gè)方面：位置隱私和查詢隱私。位置隱私中的位置是指用戶過(guò)去或現(xiàn)在的位置；查詢隱私是指涉及敏感信息的查詢內(nèi)容，如查詢距離我最近的艾滋病醫(yī)院。任何一種隱私泄露都有可能導(dǎo)致用戶行為模式、興趣愛(ài)好、健康狀況和政治傾向等個(gè)人隱私信息的泄露。所以，位置隱私保護(hù)要防止用戶與某一精確位置匹配。類似地，查詢隱私保護(hù)要防止用戶與某一敏感查詢匹配。

(4)位置服務(wù)與隱私保護(hù)。回想一下，我們似乎正面臨一個(gè)兩難的抉擇。一方面，定位技術(shù)的發(fā)展讓我們可以隨時(shí)隨地獲得LBS；而另一方面，位置服務(wù)又將泄露我們的隱私。當(dāng)然，我們可以放棄隱私，獲得精確的位置，享受完美的服務(wù)；或者可以關(guān)掉定位設(shè)備，為了保護(hù)隱私而放棄任何位置服務(wù)。那么，是否存在折中的方法，即在保護(hù)隱私的前提下享受服務(wù)呢？答案是肯定的，位置隱私保護(hù)研究所做的工作就是要在隱私保護(hù)與享受服務(wù)之間尋找一個(gè)平衡點(diǎn)，讓“魚”與“熊掌”兼得成為可能。

2．隱私保護(hù)技術(shù)面臨的挑戰(zhàn)

在LBS中，隱私保護(hù)問(wèn)題面臨著很多挑戰(zhàn)，如多技術(shù)混合的隱私保護(hù)、移動(dòng)軌跡的隱私保護(hù)和室內(nèi)位置隱私保護(hù)等。

(1)多技術(shù)混合的隱私保護(hù)。如前所述，加密方法安全但不高效，時(shí)空匿名高效但相對(duì)于加密方法而言卻不夠安全。雖然目前大部分研究工作均集中在時(shí)空匿名方法上，但是我們?cè)噲D在加密與時(shí)空匿名之間做些工作，研究結(jié)合加密算法的高隱秘性和空間匿名算法高效性的混合匿名模型與算法，保證利用匿名方法獲得數(shù)據(jù)的可用性，并研究基于混合匿名技術(shù)的查詢處理算法。

(2)移動(dòng)軌跡的隱私保護(hù)。由于攻擊者可能積累用戶的歷史信息分析用戶的隱私，因此我們還要考慮用戶的連續(xù)位置保護(hù)的問(wèn)題，或者說(shuō)對(duì)用戶的軌跡提供保護(hù)問(wèn)題。現(xiàn)有大部分的軌跡匿名技術(shù)多采用發(fā)布假數(shù)據(jù)或丟掉一些取樣點(diǎn)的方法。按照前面的分析，這樣的方法不夠安全，可能通過(guò)挖掘歷史信息辨別真?zhèn)巍Ｒ虼诵枰芯炕跁r(shí)空匿名的軌跡匿名模型和算法，在保證挖掘結(jié)果正確的前提下保證用戶軌跡信息不泄漏。另外，現(xiàn)有的軌跡匿名多是離線(offline)處理方式。在基于位置的服務(wù)中存在汽車導(dǎo)航的應(yīng)用，用戶需查詢從A地到B地的行軍路線。研究在線軌跡匿名模型和算法是另一個(gè)值得關(guān)注的問(wèn)題。

(3)室內(nèi)位置隱私保護(hù)。研究工作大都專注于室外位置隱私保護(hù)，其實(shí)在室內(nèi)也存在隱私泄露的問(wèn)題。在室內(nèi)安裝無(wú)線傳感器收集用戶位置，可用于安全控制和資源管理，如當(dāng)室內(nèi)人數(shù)小于某個(gè)值時(shí)關(guān)掉空調(diào)設(shè)備。但是收集室內(nèi)人員位置信息的同時(shí)可能會(huì)泄露個(gè)人隱私。如在公司中，管理者可以監(jiān)控雇員行為，并推測(cè)健康狀況等。為了保護(hù)室內(nèi)人員的個(gè)人隱私，需要根據(jù)室內(nèi)環(huán)境特點(diǎn)，研究基于室內(nèi)位置隱私的攻擊模型、匿