第8章物聯網安全技術8.1物聯網安全

8.2RFID的安全管理技術及手機的安全

8.3無線傳感器網絡的安全管理技術

8.4物聯網安全問題

8.5本章小結

8.1物?聯?網?安?全

8.1.1物聯網的安全特點

物聯網系統的安全和一般IT系統的安全基本一樣，主要有8個尺度：讀取控制、隱私保護、用戶認證、不可抵賴性、數據保密性、通信層安全、數據完整性、隨時可用性。前4項主要處在物聯網DCM三層架構的應用層，后4項主要位于傳輸層和感知層。其中，隱私權和可信度(數據完整性和數據保密性)問題在物聯網體系中尤其受關注。如果我們從物聯網系統體系架構的各個層面仔細分析，會發現現有的安全體系僅僅從基本上可以滿足物聯網應用的需求，尤其在我國物聯網發展的初級和中級階段。根據物聯網自身的特點，物聯網除了面對移動通信網絡傳統的網絡安全問題之外，還存在著一些特殊的安全問題，主要有以下幾個方面：

(1)物聯網機器/感知節點的本地安全問題。由于物聯網的應用可以取代人來完成一些復雜、危險和機械的工作，所以物聯網機器/感知節點多數部署在無人監控的場景中，攻擊者可以輕易地接觸到這些設備，從而對它們造成破壞，甚至通過本地操作更換機器的軟硬件。

(2)感知網絡的傳輸與信息安全問題。感知節點通常情況下功能簡單(如自動溫度計)，攜帶能量少(使用電池)，使得它們無法擁有復雜的安全保護能力，而感知網絡多種多樣，從溫度測量到水文監控，從道路導航到自動控制，它們的數據傳輸和消息也沒有特定的標準，所以無法提供統一的安全保護體系。

(3)核心網絡的傳輸與信息安全問題。核心網絡具有相對完整的安全保護能力，但由于物聯網中節點數量龐大，且以集群方式存在，因此會導致在數據傳播時，由于大量機器的數據發送而使網絡擁塞，產生拒絕服務攻擊。此外，現有通信網絡的安全架構都是從人通信的角度設計的，并不適用于機器的通信。使用現有安全機制會割裂物聯網機器間的邏輯關系。

(4)物聯網應用的安全問題。由于物聯網設備可能是先部署后連接網絡，而物聯網節點又無人看守，所以，如何對物聯網設備進行遠程簽約信息和應用信息的配置就成了難題。另外，龐大且多樣化的物聯網平臺必然需要一個強大而統一的安全管理平臺，否則，獨立的平臺會被各式各樣的物聯網應用所淹沒，但如此一來，如何對物聯網機器的日志等安全信息進行管理成為新的問題，并且可能割裂網絡與應用平臺之間的信任關系，導致新一輪安全問題的產生。

特別指出，物聯網作為一種WSN，具有傳統網絡和WSN共同的特點。因此，解決物聯網安全問題除了使用常規網絡安全措施外，針對物聯網本身特點進行的安全防護尤為重要。與WSN安全相關的特點主要有以下幾點：

(1)單個節點資源受限，包括處理器資源、存儲器資源、電源等。WSN中單個節點的處理器能力較低，無法進行快速、高復雜度的計算，這對依賴加密、解密算法的安全架構提出了挑戰。存儲器資源的缺乏使得節點存儲能力較弱，節點的充電也不能保證。

(2)節點無人值守，易失效，易受物理攻擊。WSN中較多的應用部署在一些特殊的環境中，使得單個節點失效率很高。由于很難甚至無法給予物理接觸上的維護，節點可能產生永久性的失效。另外，節點在這種環境中容易遭到攻擊，特別是軍事應用中的節點更易遭受針對性的攻擊。

(3)節點可能的移動性。節點移動性產生于受外界環境影響的被動移動、內部驅動的自發移動及固定節點的失效，它導致網絡拓撲的頻繁變化，造成網絡上大量的過時路由信息及攻擊檢測的難度增加。

(4)傳輸介質的不可靠性和廣播性。WSN中的無線傳輸介質易受外界環境影響，網絡鏈路產生差錯和發生故障的概率增大，節點附近容易產生信道沖突，而且惡意節點也可以方便地竊聽重要信息。

(5)網絡無基礎架構。WSN中沒有專用的傳輸設備，它們的功能需由各個節點配合實現，使得一些有線網中成熟的安全架構無法在WSN中有效部署，需要結合WSN的特點做改進。有線網安全中較少提及的基礎架構安全需要在WSN中引起足夠的重視。

(6)潛在攻擊的不對稱性。由于單個節點各方面的能力相對較低，攻擊者很容易使用常見設備發動點對點的不對稱攻擊。如處理速度不對稱、電源能量不對稱等，會使得單個節點難以防御而產生較大的失效率。

因此，建立物聯網安全模型，就是要根據物聯網的網絡模型，側重于電子標簽標簽安全及網絡設備之間交互的安全。

8.1.2物聯網的安全模型

在現階段，物聯網安全側重于電子標簽的安全可靠性、電子標簽與RFID讀寫器之間的可靠數據傳輸，以及包括RFID讀寫器及后臺管理程序和它們所處的整個網絡在內的可靠安全管理。物聯網的安全模型如圖8-1所示。圖8-1物聯網的安全模型但是，根據物聯網的特點及對物聯網的安全要求，其安全模型在“智慧感知”方面更應該側重于服務安全和接入安全。綜合起來，物聯網安全模型主要考慮以下因素：

第一，電子標簽由耦合元件及芯片組成，每個標簽具有唯一的RFID編碼，附著在物體上以標識目標對象。電子標簽是物體在物聯網中的“身份證”，不僅包含了該物體在此網絡中的唯一ID，而且有的電子標簽本身包含著一些敏感的隱私內容，或者通過對標簽的偽造可以獲取后端服務器內的相關內容造成物品持有者的隱私泄露，另外，對電子標簽的非法定位也會對標簽持有人(物)造成一定的風險。第二，物聯網系統是一個龐大的綜合網絡系統，在各個層級之間進行的數據傳輸有很多。在傳統的網絡中，網絡層和業務層的安全是相互獨立的。而物聯網的特殊安全問題，很大一部分是由于物聯網在現有移動網絡基礎上集成了感知網絡和應用平臺所帶來的。因此，在現階段，移動網絡中的大部分機制雖然可以適用于物聯網并能夠提供一定的安全性，如認證機制、加密機制等，但還需要根據物聯網的特征對安全機制進行補充調整，主要有以下兩個方面。

(1)物聯網中的業務認證機制。傳統的認證是區分不同層次的，網絡層的認證負責網絡層的身份鑒別，業務層的認證負責業務層的身份鑒別，兩者獨立存在。但在物聯網中，大多數情況下，機器都擁有專門的用途，因此，其業務應用與網絡通信緊緊地綁在一起。由于網絡層的認證是不可缺少的，那么，其業務層的認證機制就不再是必需的，而是可以根據業務由誰來提供和業務的安全敏感程度來設計。例如，當物聯網的業務由運營商提供時，就可以充分利用網絡層認證的結果而不需要進行業務層的認證；當物聯網的業務由第三方提供也無法從網絡運營商處獲得密鑰等安全參數時，它就可以發起獨立的業務認證而不用考慮網絡層的認證；或者當業務是敏感業務(如金融類業務)時，一般業務提供者會不信任網絡層的安全級別，而使用更高級別的安全保護，這時就需要做業務層的認證；而當業務是普通業務時，如氣溫采集業務等，業務提供者認為網絡認證已經足夠，就不再需要業務層的認證。

(2)物聯網中的加密機制。傳統的網絡層加密機制是逐跳加密，即信息在發送過程中，雖然在傳輸過程中是加密的，但需要不斷地在每個經過的節點上解密和加密。而傳統的業務層加密機制則是端到端的，即信息只在發送端和接收端才是明文，而在傳輸的過程和轉發節點上都是密文。由于物聯網中網絡連接和業務使用緊密結合，就面臨著到底使用逐跳加密還是端到端加密的選擇。對于逐跳加密來說，可以只對有必要受保護的連接進行加密，并且由于逐跳加密在網絡層進行，所以可以適用于所有業務，即不同的業務可以在統一的物聯網業務平臺上實施安全管理，從而做到安全機制對業務的透明，這就保證了逐跳加密的低時延、高效率、低成本、可擴展性好的特點。但是，因為逐跳加密需要在各傳送節點上對數據進行解密，所以，各節點都有可能解讀被加密消息的明文，因此，逐跳加密對傳輸路徑中的各傳送節點的可信任度要求很高。而對于端到端的加密方式來說，它可以根據業務類型選擇不同的安全策略，從而為高安全要求的業務提供高安全等級的保護。不過，端到端的加密不能對消息的目的地址進行保護，因為每一個消息所經過的節點都要以此目的地址來確定如何傳輸消息。這就導致端到端加密方式不能掩蓋被傳輸消息的源點與終點，并容易受到對通信業務進行分析而發起的惡意攻擊。由以上分析可知，對一些安全要求不是很高的業務，在網絡能夠提供逐跳加密保護的前提下，業務層端到端的加密需求就顯得并不重要。但是，對于高安全需求的業務，端到端的加密仍然是首選。

8.2RFID的安全管理技術及手機的安全

8.2.1RFID安全管理

到目前為止，設計高效和低成本的RFID安全機制仍然是一個具有挑戰性的課題。基于密碼技術的RFID安全機制分為靜態ID和動態ID。好的安全機制必須解決動態ID的“數據同步”問題，中國的RFID標準制訂者正在進行積極的研究。

RFID的安全缺陷主要表面在以下兩個方面。

(1)RFID標識自身訪問的安全性問題。由于RFID標識本身的成本所限，使之很難具備足以保證自身安全的能力。這樣，就面臨很大的問題。非法用戶可以利用合法的讀寫器或者自制的讀寫器直接與RFID標識進行通信，這樣就可以很容易獲取RFID標識中的數據，并且還能夠修改其中的數據。

(2)通信信道的安全性問題。RFID使用的是無線通信信道，這就給非法用戶的攻擊帶來了方便。攻擊者可以非法截取通信數據；可以通過發射干擾信號來堵塞通信鏈路，使得讀寫器過載，無法接收正常的標簽數據，制造拒絕服務攻擊；可以冒名頂替向RFID發送數據、篡改或偽造數據。8.2.2手機安全

當手機實現了發短信、彩信、電子郵件以及下載彩鈴、訪問Web網站、收看視頻這些與互聯網直接通信的應用方式后，對手機的攻擊和病毒侵入就不可避免地出現了。藍牙技術與手機的結合最終也會導致手機病毒的產生。手機病毒是以手機為感染對象，以手機網絡和計算機網絡為平臺，通過病毒短信等形式，利用手機嵌入式軟件的漏洞，將病毒程序夾帶在手機短信中，當用戶打開攜帶病毒的短信之后，手機的嵌入式軟件誤將短信內容作為系統指令執行，從而導致手機內部程序故障，達到攻擊手機的目的。手機病毒同樣具有傳播功能，可利用發送普通短信、彩信、上網瀏覽、下載軟件、鈴聲等方式，實現網絡到手機、或者手機到手機之間的傳播。手機病毒的危害包括造成手機死機、關機、刪除存儲的資料、手機通話被竊聽、向外發送垃圾郵件、撥打電話等，甚至是損毀SIM卡、芯片等。手機病毒攻擊有以下四種基本方式：

(1)以病毒短信的方式直接攻擊手機本身，使手機無法提供服務。

(2)攻擊WAP服務器，使WAP手機無法正常接受信息。

(3)攻擊和控制移動通信網絡與互聯網的網關，向手機發送垃圾信息。

(4)攻擊整個網絡。有許多型號的手機都支持運行Java程序，攻擊者可以利用Java語言編寫一些腳本病毒來攻擊整個網絡，使整個手機通信網絡產生異常。凡是基于Windows操作系統開發的手機應用軟件，都會受到針對Windows操作系統的蠕蟲與病毒的攻擊，Windows操作系統的漏洞也都有可能成為攻擊手機應用軟件的途徑。目前，針對Linux操作系統的病毒開始增多，那么基于Linux操作系統開發的應用系統，同樣也會是造成手機被攻擊和感染病毒的途徑。

歷史上最早的手機病毒出現在2000年。當時的手機病毒最多只能算是短信炸彈，真正意義上的第一個手機病毒是“Caribe”(卡比爾)。到了2005年總共出現了200多種手機病毒，盡管它的數量不能與互聯網上的病毒數量相比，但是手機病毒的增長速度是個人計算機病毒增長速度的10倍。從發展趨勢看，手機攻擊已經從初期的惡作劇開始向盜取用戶秘密、獲取經濟利益方向發展。2005年11月出現的SYMBOS-PBSTEALA是第一個竊取手機短信的病毒，它可以將染毒手機的信息傳送到一定距離的其他移動設備之中。

通過計算機向手機傳播的病毒在幾年前已經出現，但此前還沒有病毒能從一部手機傳染給另一部手機。2004年，俄羅斯防病毒軟件供應商——卡斯佩爾斯基實驗室宣布，一個名為29a的國際病毒編寫小組制造出了世界上首例可在手機之間傳播的病毒。這個名叫“Cabir”的手機病毒是一種蠕蟲病毒，它具有在手機之間傳播的功能，針對的是使用Symbian操作系統，并且具有藍牙接入模塊的手機。Cabir蠕蟲病毒不能通過文件的自動傳輸來傳播，它被偽裝成一種安全軟件。帶有病毒的文件在進入手機之前，手機會發出“是否接受文件”的提示，如果手機用戶回答“是”，帶有病毒的文件才會進入手機。反病毒專家提醒說，盡管這種病毒只是一種研究性的結果，但一些病毒編寫者可會利用它來制造殺傷力更強的手機病毒。手機病毒以及PDA等數字移動設備的病毒將成為病毒防治技術研究的一個新的分支。近年來，針對手機的病毒與攻擊愈演愈烈，因此也引起了信息安全研究人員的高度重視。物聯網環境中用手機作為最終用戶訪問的端系統設備會越來越多，因此研究針對手機和其他移動通信設備的安全技術就顯得更加重要。 8.3無線傳感器網絡的安全管理技術

網絡安全技術歷來是網絡技術的重要組成部分。網絡技術的發展史已經充分證明了這樣一個事實：沒有足夠安全保證的網絡是沒有前途的。

安全管理本來應該是網絡管理的一個方面，但是因為在日常使用的公用信息網絡中存在著各種各樣的安全漏洞和威脅，所以安全管理始終是網絡管理中最困難、最薄弱的環節之一。隨著網絡的重要性與日俱增，用戶對網絡安全的要求也越來越高，由此形成了現在的局面：網絡管理系統主要進行故障管理、性能管理和配置管理等，而安全管理軟件一般是獨立開發的。一般認為，網絡安全問題包括以下一些研究內容：

(1)網絡實體安全，如計算機機房的物理條件、物理環境及設施的安全標準，計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等。

(2)軟件安全，如保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等。

(3)網絡中的數據安全，如保護網絡信息的數據安全、不被非法存取，保護其完整性、一致性等。

(4)網絡安全管理，如網絡運行時突發事件的安全處理等，包括采取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等內容。由此可見，網絡安全問題的涉及面非常廣，已不單是技術和管理問題，還有法律、道德方面的問題，需要綜合利用數學、管理科學、計算機科學等眾多學科的成果才可能較好地予以解決，所以網絡安全現在已經成為一個系統工程。

如果僅從網絡安全技術的角度看，加密、認證、防火墻、入侵檢測、防病毒、物理隔離、審計技術等是網絡安全保障的主要手段，對應的產品也是當前網絡安全市場的主流，現在常用的網絡安全系統一般綜合使用上述多種安全技術。盡管如此，網絡安全問題并沒有得到很好的解決，現在僅互聯網上每年仍然會發生不計其數的網絡入侵事件，造成的損失非常驚人。無線傳感器網絡作為一種起源于軍事領域的新型網絡技術，其安全性問題顯得更加重要。由于和傳統網絡之間存在較大差別，無線傳感器網絡的安全問題也有一些新的特點。本節首先分析無線傳感器網絡的安全需求和特點，然后介紹研究現狀并分析其不足，在此基礎上給出一個基于生物免疫原理的無線傳感器網絡安全體系，最后提出解決無線傳感器網絡安全問題的幾個途徑。8.3.1無線傳感器網絡信息安全需求和特點

1.無線傳感器網絡信息安全需求

無線傳感器網絡的安全需求是設計安全系統的根本依據。尤其是無線傳感器網絡中資源嚴格受限，為使有限的資源發揮出最大的安全效益，首要任務是做細致、準確的安全需求分析。由于無線傳感器網絡具有和應用密切相關的特點，不同的應用有不同的安全需求，因此下述需求分析僅僅是一般意義上的討論，對于具體應用還需具體分析。通信安全需求包括以下幾方面的內容。

1)節點的安全保證

傳感器節點是構成無線傳感器網絡的基本單元，如果入侵者能輕易找到并毀壞各個節點，那么網絡就沒有任何安全性可言。節點的安全性包括以下兩個具體需求：

(1)節點不易被發現：無線傳感器網絡中普通傳感器節點的數量眾多，少數節點被破壞不會對網絡造成太大影響。但是，一定要保證簇首等特殊節點不被發現，這些節點在網絡中只占極少數，一旦被破壞整個網絡就面臨完全失效的危險。

(2)節點不易被篡改：節點被發現后，入侵者可能從中讀出密鑰、程序等機密信息，甚至可以重寫存儲器將該節點變成一個“臥底”。為防止為敵所用，要求節點具備抗篡改能力。

2)被動抵御入侵的能力

實際操作中由于諸多因素的制約，要把無線傳感器網絡的安全系統做得非常完善是非常困難的。對無線傳感器網絡安全系統的基本要求是：在局部發生入侵的情況下，保證網絡的整體可用性。因此，在遭到入侵時網絡的被動防御能力至關重要。被動防御要求網絡具備以下一些能力。

(1)對抗外部攻擊者的能力：外部攻擊者是指那些沒有得到密鑰、無法接入網絡的節點。外部攻擊者無法有效地注入虛假信息，但是可以進行竊聽、干擾、分析通信量等活動，為進一步攻擊收集信息，因此對抗外部攻擊者首先需要解決保密性問題。其次，要防范能擾亂網絡正常運轉的簡單網絡攻擊，如重放數據包等，這些攻擊會造成網絡性能下降。再次，要盡量減少入侵者得到密鑰的機會，防止外部攻擊者演變成內部攻擊者。

(2)對抗內部攻擊者的能力：內部攻擊者是指那些獲得了相關密鑰并以合法身份混入網絡的攻擊節點。由于無線傳感器網絡不可能阻止節點被篡改，而且密鑰可能被對方破解，因此總會有入侵者在取得密鑰后以合法身份接入網絡。由于至少能取得網絡中一部分節點的信任，內部攻擊者能發動的網絡攻擊種類更多，危害更大，也更隱蔽。

3)主動反擊入侵的能力

主動反擊入侵的能力是指網絡安全系統能夠主動地限制甚至消滅入侵者，為此至少需要具備以下能力。

(1)入侵檢測能力。和傳統的網絡入侵檢測相似，首先需要準確識別網絡內出現的各種入侵行為并發出警報。其次，入侵檢測系統還必須確定入侵節點的身份或者位置，只有這樣才能發動有效反擊。

(2)隔離入侵者的能力。網絡需要具有根據入侵檢測信息調度網絡正常通信來避開入侵者，同時丟棄任何由入侵者發出的數據包的能力。這樣相當于把入侵者和己方網絡從邏輯上隔離開來，可以防止它繼續危害網絡。

(3)消滅入侵者的能力：要想徹底消除入侵者對網絡的危害就必須消滅入侵節點。但是讓網絡自主消滅入侵者是較難實現的，由于無線傳感器網絡的主要用途是為用戶收集信息，因此可以在網絡提供的入侵信息的引導下，由用戶通過人工方式消滅入侵者。

2．無線傳感器網絡信息安全特點

與傳統網絡相比，無線傳感器網絡的特點使其在安全方面有一些獨有優勢。下面我們在分析無線傳感器網絡安全特點的同時，提出實現無線傳感器網絡安全面臨的挑戰性問題。在深刻理解無線傳感器網絡安全問題特點的基礎上，合理發揮無線傳感器網絡的安全優勢并據此克服資源約束帶來的挑戰，是解決無線傳感器網絡安全問題的必由之路。

與傳統網絡安全問題相比，無線傳感器網絡安全問題具有以下特點：

(1)內容廣泛。傳統Internet等數據網絡為用戶提供的是通用的信息傳輸平臺，其安全系統解決的是信息的安全傳輸問題。而無線傳感器網絡是面向特定應用的信息收集網絡，它要求安全系統支持數據采集、處理和傳輸等更多的網絡功能，因此無線傳感器網絡安全問題要研究的內容也更加廣泛。

(2)需求多樣。無線傳感器網絡作為用戶和物理環境之間的交互工具大多以局域網的形式存在，不論是工作環境還是網絡的用途都與傳統的公用網絡存在很大差異，不同用戶對網絡的性能以及網絡安全性的需求呈現出多樣化的特點。

(3)對抗性強。在一些軍事應用中，傳感器網絡本身就是用于進攻或防御的對抗工具。攻擊者往往是專業人員，相關經驗豐富，裝備先進，并且會動用一切可能的手段摧毀對方網絡。對此類無線傳感器網絡來說，安全性往往是最重要的性能指標之一。

綜上所述，在復雜的安全環境、多樣的安全需求和無線傳感器網絡自身資源限制等因素的綜合作用下，無線傳感器網絡的安全性面臨以下一些挑戰性問題：

(1)無線傳感器網絡中節點自身資源嚴重受限，能量有限、處理器計算能力弱、通信帶寬小、內存容量小，這極大地限制了傳感器節點本身的對抗能力。

(2)無線傳感器網絡主要采用無線通信方式，與有線網絡相比，其數據包更容易被截獲。其信道的質量較差，可靠性比較低，也更容易受到干擾。

(3)無線傳感器網絡內不存在控制中心來集中管理整個網絡的安全問題，所以安全系統必須適應網絡的分布式結構，并自行組織對抗網絡入侵。

在面臨這些挑戰性問題的同時，與傳統網絡相比，無線傳感器網絡在安全方面也具有自己獨有的優勢，總結為以下幾個方面：

(1)無線傳感器網絡是典型的分布式網絡，具備自組網能力，能適應網絡拓撲的動態變化，再加上網絡中節點數目眾多，網絡本身具有較強的可靠性，所以無線傳感器網絡對抗網絡攻擊的能力較強，遇到攻擊時一般不容易出現整個網絡完全失效的情況。

(2)隨著MEMS技術的發展，完全可能實現傳感器節點的微型化。在那些對安全要求高的應用中，可以采用體積更小的傳感器節點和隱蔽性更好的通信技術，使網絡難以被潛在的網絡入侵者發現。

(3)無線傳感器網絡是一種智能系統，有能力直接發現入侵者。有時網絡入侵者本身就是網絡要捕捉的目標，在發起攻擊前就已經被網絡發現，或者網絡攻擊行為也可能暴露攻擊者的存在，從而招致網絡的反擊。

(4)無線傳感器網絡不具有傳統網絡的通用性，每個網絡都是面向特定應用設計的，目前沒有統一的標準。在這種情況下，入侵者難以形成通用的攻擊手段。

8.3.2密鑰管理

針對無線傳感器網絡安全面臨的挑戰性問題，人們在密鑰管理、安全路由和安全數據聚合等多個方面進行了研究。加密和鑒別為網絡提供機密性、完整性、認證等基本的安全服務，而密鑰管理系統負責產生和維護加密和鑒別過程中所需的密鑰。相比其他安全技術，加密技術在傳統網絡安全領域已經相當成熟，但在資源受限的無線傳感器網絡中，任何一種加密算法都面臨如何在非常有限的內存空間內完成加密運算，同時還要盡量減小能耗和運算時間的問題。在資源嚴格受限的情況下，基于公開密鑰的加密、鑒別算法被認為不適合在無線傳感器網絡中使用。而無線傳感器網絡是分布式自組織的，屬于無中心控制的網絡，因此也不可能采用基于第三方的認證機制。考慮到這些因素，目前的研究主要集中在基于對稱密鑰的加密和鑒別協議。

1．單密鑰方案

無線傳感器網絡中最簡單的密鑰管理方式是所有節點共享同一個對稱密鑰來進行加密和鑒別。UCBerkeley的研究人員設計的TinySec就使用全局密鑰進行加密和鑒別。TinySec是一個已經在Mica系列傳感器平臺上實現的鏈路層安全協議，它提供了機密性、完整性保護和簡單的接入控制功能。在對節點進行編程時，TinySec所需的密鑰和相關加密、鑒別算法被一并寫入節點的存儲器，無需在運行期間交換和維護密鑰，加之選用了適于在微控制器上運行的RC5算法，使得它具有較好的節能性和實時性。由于TinySec在數據鏈路層實現，對上層應用完全透明，網絡的路由協議及更高層的應用都不必關心安全系統的實現，所以其易用性非常好。加密和解密過程中將消耗大量能量和時間，因此在無線傳感器網絡中要盡量減少加密、解密操作。為此研究人員提出SecureSense安全框架，允許節點根據自己所處的外部環境、自身資源和應用需求為網絡提供動態的安全服務，從而減少不必要的加密、解密操作。SecureSense也使用開銷比較小的RC5算法，提供語義安全、機密性、完整性和防止重放攻擊等安全機制。以上兩個協議都使用了固定長度的密鑰，加密強度是一定的。從理論上說，密鑰越長則安全性越好，但是計算開銷也越大。為便于根據不同數據包中信息的敏感程度實施不同強度的加密，UCLA和Rockwell開發的WINS傳感器節點上實現了SensorWare協議，可高效、靈活地利用有限的能量。由于采用了RC6算法，無需改變密鑰長度，只要簡單地調整參數即可改變加密強度，因此非常適合需要動態改變加密強度的場合。

總之，單密鑰方案的效率最高，對網絡基本功能的支持也最全面，但缺點是一旦密鑰泄露，那么整個網絡安全系統就形同虛設，對于無人值守并且大量使用低成本節點的無線傳感器網絡來說，這是非常嚴重的安全隱患。

2．多密鑰方案

為消除單密鑰系統存在的安全隱患可以使用多密鑰系統，即不同的節點使用不同的密鑰，而同一節點在不同時刻也可使用不同的密鑰。這樣的系統相比單密鑰系統要嚴密得多，即使有個別節點的密鑰泄露出去也不會造成太大危害，系統的安全性大大增強。

SPINS安全協議框架是一個典型的多密鑰協議，它提供了兩個安全模塊：SNEP和μTESLA。SNEP通過全局共享密鑰提供數據機密性、雙向數據鑒別、數據完整性和時效性等安全保障。而μTESLA首先通過單向函數生成一個密鑰鏈,然后廣播節點在不同的時隙中選擇不同的密鑰計算報文鑒別碼，再延遲一段時間公布該鑒別密鑰。接收節點使用和廣播節點相同的單向函數，它只需和廣播者實現時間同步就能連續鑒別廣播包。由于μTESLA算法只認定基站是可信的，只適用于從基站到普通節點的廣播數據包鑒別，普通節點之間的廣播包鑒別必須通過基站中轉。因此，在多跳網絡中將有大量節點卷入鑒別密鑰和報文鑒別碼的中繼過程，除了可能引發安全方面的問題，由此帶來的大量通信開銷也是以廣播通信為主的無線傳感器網絡難以承受的。

LEAP協議采用了另一種多密鑰方式：每個節點和基站之間共享一個單獨的密鑰，用于保護該節點發送給基站的數據。網絡內所有節點共享一個組密鑰，用于保護全局性的廣播。為保障局部數據聚合的安全進行，每個節點和它所有的鄰居節點之間還共享一個組密鑰。同時，任意節點都與其每個鄰居節點之間擁有一個單獨的會話密鑰，用于保護和鄰居節點之間的單播通信。由于LEAP協議使用不同的密鑰保護不同的通信關系，其對上層網絡應用的支持好于SPINS協議，但其缺點是每個節點要維護的密鑰個數比較多，開銷較大。為降低密鑰管理系統傳遞密鑰帶來的危險，減少用于密鑰管理的通信量，可采用隨機密鑰分配機制。通過從同一個密鑰池中隨機選擇一定數量的密鑰分配給各個節點，就能以一定的概率保證其中任意一對節點擁有相同的密鑰來支持相互通信。隨機分配機制不必傳輸密鑰，能適應網絡拓撲的動態變化，安全性較好，但是其擴展性有限，難以適應大規模的網絡應用。總之，由于入侵者很難同時攻破所有密鑰，多密鑰方案的安全性較好，但是網絡中必須有部分節點承擔繁重的密鑰管理工作，這種集中式的管理不適合無線傳感器網絡分布式的結構。這種結構性差異將引起一系列問題，當網絡規模增大時，用于密鑰管理的能耗將急劇增加，影響系統的實際可用性。此外，多密鑰系統仍無法徹底解決密鑰泄露問題。8.3.3安全路由

無線傳感器網絡中一般不存在專職的路由器，每一個節點都可能承擔路由器的功能，這和無線自組網絡是相似的。因此，網絡路由是無線傳感器網絡研究的熱點問題之一。對于任何路由協議，路由失敗都將導致網絡的數據傳輸能力下降，嚴重的會造成網絡癱瘓，因此路由必須是安全的。但現有的路由算法如SPIN、DD、LEACH等都沒有考慮安全因素，即使在簡單的路由攻擊下也難以正常運行，解決無線傳感器網絡的路由安全問題已經十分緊迫。與外部攻擊者相比，那些能夠發送虛假路由信息或者有選擇地丟棄某些數據包的攻擊者對路由安全造成的危害最大，因此網絡安全系統要具有防范和消除這些內部攻擊者的能力。當前實現安全路由的基本手段有兩類：一類是利用密鑰系統建立起來的安全通信環境來交換路由信息，另一類是利用冗余路由傳遞數據包。由于實現安全路由的核心問題在于拒絕內部攻擊者的路由欺騙，因此有研究者將SPINS協議用于建立無線自組網絡的安全路由，這種方法也可以用于無線傳感器網絡。在這類方法中，路由的安全性取決于密鑰系統的安全性。前面已經提到，無線傳感器網絡的特點決定其密鑰系統是脆弱的，難以抵擋設計巧妙的網絡攻擊。例如，在蟲孔(wormhole)攻擊中，入侵者利用其他頻段的高速鏈路把一個地點收集到的數據包快速傳遞到網絡中的其他地點再廣播出去，從而使相距很遠的節點誤以為它們相鄰。因為這些攻擊完全是基于入侵者擁有的強大硬件設施發動的，根本就無需靠竊取密鑰等方法接入網絡，密鑰系統對此類網絡攻擊無能為力。

J.Deng等研究人員提出了對網絡入侵具有抵抗力的路由協議INSENS。在這個路由協議