如何防御针对传感网络的“内外夹击”？

　　传感网络由多个传感器节点、网关、通信基站和后台系统组成，这些设备之间的通信链路相对薄弱，很可能成为黑客的攻击对象。为了抵御攻击，一般的应对措施就是对传感器节点之间的链路进行加密；对接收端受到的数据进行校验；对数据的发起者进行身份认证；对频率进行监听以及依靠安全路由或入侵检测。

　　无线传感网络本身就包括物理层、数据链路层、网络层、传输层与应用层，针对每一层都要设计不同的安全防护措施，具体如下：

　　第一，物理层安全设计。物理层包括天线部分和传感器节点，为了保证物理层的安全，就需要解决节点的通讯问题和身份认证问题，然后通过研究天线来解决节点间的信息传输，抓好多信道通信。其中，需要特别注意的是节点设计和天线设计。

　　（1）节点设计。安全且完整的WSN节点主要由数据采集单元、数据传单元和数据处理单元组成，其节点结构如下图：

　　节点设计的正确与否直接关系到整个传感器的安全性和稳定性。其中，WSN节点硬件结构设计、CPU和射频芯片的选择和连接、射频电路的设计以及数据采集单元的设计一定要采用标准和既定规则。

　　（2）天线设计。WSN设备大多具有低功耗、小体积等特点，所以其系统设计多采用微带天线。该类天线具有体积小、质量小、易集成和电性能化等优势。

　　第二，链路层安全协议。在该层的众多协议中，MAC层通信协议的安全问题最为重要，S-MAC协议是在802.11 MAC协议的基础上、针对传感器网络的节省能量需求而提出的，针对该协议存在的安全漏洞，又提出了基于数字签名算法的SSMAC协议，实现了抵御重放攻击、保证数据的来源真实和完整的目的。

　　SSMAC主要包括数据帧格式设计和ACK帧格式设计，前者用来传输上一层发到MAC子层的信息，后者是接受终端收到正确的信息帧后所传输的确帧。

　　第三，网络层安全路由协议。高效的安全路由协议算法基于分簇机制、多跳路由机制、数据融合机制、多路径路由机制和密匙机制，其实质是一个高稳定性、高安全性和高可靠性的WSN路由协议。为了解决路由协议通有的安全问题，它一般采用ARRIVE协议的思路，对TREE-BASED路由算法进行安全扩充，优化BP神经网络的系统安全评价模块，而从保证路由的可靠性和鲁棒性。

　　第四，传输层可靠传输协议。可靠传输模块的功能是：（1）网络遭到破坏时，运行在网络层上层的传输层协议可以将数据安全、稳定送达目的地；（2）能够抵御传输层所受到的攻击，依靠智能化的终端保证其稳定性，尽量简化核心操作，降低传输负担。另外，在设计该传输协议时，要尽量考虑如何应对资源有限性和对恶意节点的排查。

　　第五，应用层认证鉴权协议。针对资源受限于环境和无线网络的特点，该层协议总和基于SPINS，包括SNEP和uTESLA模块。SNEP提供了基本的安全规则，即端对端认证、数据的新鲜度、双方数据鉴别和数据机密性，uTESLA则提供了一种严格的针对资源限制情况的广播认证。不过，SPINS模块虽然能有效地解决节点之间的安全通信，但对密匙管理却显得力不从心。针对应用层的密匙管理问题，一般采用基于Merkle哈希树的访问控制方式，以所有密匙的HASH值作为叶子节点构造Merkle树，这样，每个传感器节点就能够轻松分配认证用户的请求信息。

　　针对每个层而设立的安全防护虽然可以抵御大部分外部黑客对网络发起的攻击，但有时候，网络内的节点也有可能对内部发起攻击，而内部节点出于节省能源的目的，也有可能会自发地做出一些不利于网络稳定的行动。相对于外部攻击，来自网络内部的攻击威胁更大，要使合法节点识别和杀灭这些不端节点，就需要用到行为监管技术。

　　行为监管就是对传感器网络的内部节点的行为进行监督，如传感器节点是否超越权限访问其他节点数据；是否用错权限、违规操作和擅自移动节点。行为监督通过设立信任模块、利用行为监测和行为分析来对内部节点进行监管，在信任管理模型中，通过信任计算机系统所得到的信任度可以正确反映当时相邻节点的情况，影响着模型管理能力的优劣。还有一个重要概念是“合作频率”，它可以很方便地识别恶意节点的泛洪攻击和DOS攻击。鼓励因子则是历史信任信息和合作频率的相关值，鼓励因子随着信任度和合作频率的增高而降低，主要用来实现TWSN模型中的惩罚和奖励机制。

　　传感网络的访问控制技术也是相当重要的安全技术之一，传感器网络作为服务的提供者，向用户提供环境监测信息请求服务，同时具有访问权限和合法身份的用户所发送的请求才能得到网络服务的响应。不过，传统的网络访问控制机制具有开销大、安全防护薄弱等缺点，但基于Merkle哈希树的访问控制方式却能够在提高访问能力的同时，增强抵抗攻击的能力。

　　与访问控制技术具有相同重要性的就是密匙管理技术，密匙管理最重要的两个方面就是密匙的派生和安全参数的确立。无限传感网络的密匙管理主要是采用基于随机密匙预分配模型的密匙管理机制，但该机制并没有很好地解决网络安全性和连通性之间的矛盾，为了解决这些问题，我们可以采用一种基于随机密匙预分配和环区域的无线传感器管理机制（PBRKP）。在该机制中，传感器节点可以根据自身所处的位置得到基站广播的密匙子集，再结合自身保存的原始子集，通过单方面的HASH函数派生密匙，从而建立安全链路。此机制不但具有较好的数据连通性，而且无需预知传感器节点的部署位置，撤销和更新都非常方便。即便攻击者具有很强的信息窃取能力，也只能捕获传感网路内的节点，而无法破解节点间的通信密匙。

　　在PBRKP机制中，密匙预分发阶级和初始阶段的派生密匙环生成后，通信网络的主要工作就是根据这些派生的密匙建立正确的安全链路。在该机制中，两个相邻节点之间有一个共享密匙，在读取数据后会自动删除，防止黑客利用捕捉的派生密匙合成一对完整的密匙，进而窃取信息。

　　另外，如何快速而安全地发现两个相邻节点的相同密匙也是密匙管理的一个重要问题。密匙环中的密匙直接交换很容易被捕获，捕获者也会据此制造出以假乱真的密匙池和密匙环。而PBRKP机制用Merkle谜语的形式来发现相同的派生密匙，PBRKP通过节点发送一个由谜面组成的信息给临近节点，临近节点答复谜底。谜面和谜底一一对应，使被破解的概率大大降低。

　　PBRKP的另一个特点是不容易被完全破坏，即使节点密匙环被破解，整个节点受到的影响也是局部的，对周围的传感节点的通信并不造成影响，攻击者也无法成功窃听。例如，假设某传感器节点保存的密匙随机数为a，那么，间隔a个环的传感节点间的密匙环内的密匙就与之完全不同。即使在相邻的环，甚至是同一环，由于生成密匙的HASH函数不同，密匙也都各不相同。可以这么说，在PBRKP机制中，被攻击区域基本可以被限制在单个节点或邻近节点的传输通道上，它对其他的链路或者节点没有丝毫影响。