基于mesh安全策略的無線傳感網(wǎng)的工程試驗(yàn)研究

1、    基于mesh安全策略的無線傳感網(wǎng)的工程試驗(yàn)研究    李新宏+趙靜+楊榮雙+楊根甜+張玉龍摘 要 mesh網(wǎng)絡(luò)采用分布式技術(shù)實(shí)現(xiàn)，非常容易組網(wǎng)，可以方便應(yīng)用于無線傳感器網(wǎng)絡(luò)中。然而mesh網(wǎng)絡(luò)的安全體系并不完善，偽造惡意節(jié)點(diǎn)的攻擊尚無法完全消除，無線傳感網(wǎng)絡(luò)的安全尚存在風(fēng)險(xiǎn)。本文基于更新包和鄰居認(rèn)證的mesh安全策略，結(jié)合工程應(yīng)用，進(jìn)行了無線傳感網(wǎng)絡(luò)的安全體系的工程試驗(yàn)研究。研究結(jié)果表明：在無線傳感網(wǎng)絡(luò)使用安全策略，能夠提升網(wǎng)絡(luò)的安全性和穩(wěn)定性。關(guān)鍵詞 無線傳感網(wǎng)絡(luò)；mesh安全策略；mesh更新包；鄰居認(rèn)證；數(shù)字簽名tp3 文獻(xiàn)標(biāo)識(shí)碼 a 16

2、74-6708（2017）194-0058-03無線傳感器網(wǎng)絡(luò)是指由多個(gè)傳感器節(jié)點(diǎn)通過自組網(wǎng)方式構(gòu)建，具有特定應(yīng)用功能的網(wǎng)絡(luò)。其網(wǎng)絡(luò)具有易組網(wǎng)、成本低、性能穩(wěn)定等優(yōu)點(diǎn)，但是也存在節(jié)點(diǎn)電源、計(jì)算能力有限、節(jié)點(diǎn)密集等缺點(diǎn)。其組網(wǎng)方式主要有星型組網(wǎng)、mesh組網(wǎng)等，本文主要討論基于mesh的組網(wǎng)的方式。mesh組網(wǎng)方式的傳感器節(jié)點(diǎn)不僅能夠接收和發(fā)送數(shù)據(jù)，還可以作為其鄰居節(jié)點(diǎn)的路由器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，從而搭建一個(gè)多路徑多速率的多跳網(wǎng)絡(luò)。由于wsn網(wǎng)絡(luò)拓?fù)涞膭?dòng)態(tài)特性，網(wǎng)絡(luò)的安全性就成了wsn網(wǎng)絡(luò)不可避免的關(guān)鍵問題。mesh網(wǎng)絡(luò)特有的分布式特性使得網(wǎng)絡(luò)容易受到許多攻擊：惡意節(jié)點(diǎn)通過竊取路由器中認(rèn)證密鑰，發(fā)布錯(cuò)

3、誤的路由信息，制造網(wǎng)絡(luò)廣播風(fēng)暴；惡意節(jié)點(diǎn)使用的竊聽、dos攻擊等攻擊方式在多跳wsn網(wǎng)絡(luò)中進(jìn)一步放大；惡意節(jié)點(diǎn)通過散播虛假路由消息，讓其他可信節(jié)點(diǎn)誤以為經(jīng)此惡意節(jié)點(diǎn)的開銷最低，從而形成不斷吸收數(shù)據(jù)報(bào)文的黑洞；惡意節(jié)點(diǎn)可以截獲并存儲(chǔ)合法用戶數(shù)據(jù)的數(shù)據(jù)，形成重放攻擊，獲取網(wǎng)絡(luò)的資源訪問權(quán)，獲取無線傳感器網(wǎng)絡(luò)的私密信息。由于mesh網(wǎng)絡(luò)的應(yīng)用的廣泛性和容易受攻擊的特性，wsn網(wǎng)絡(luò)安全受到更多的重視，研究也逐漸深入。shariful islam提出了混合域無線mesh網(wǎng)絡(luò)的安全協(xié)議shwmp，將preq和prep報(bào)文中的跳數(shù)等變量分別進(jìn)行hash計(jì)算，運(yùn)用merkel樹方式生成最終hash值，以保證消

4、息的完整性；西安電子科技大學(xué)的閆琦基于hrpu路由協(xié)議的安全協(xié)議shrpu，利用不斷廣播的mesh更新包確保節(jié)點(diǎn)獲得路由路徑，通過數(shù)字簽名保證通信安全；陜西師范大學(xué)的張景東等針對(duì)報(bào)文多徑傳輸?shù)乃枷胩岢鲆环N多路徑路由協(xié)議smpra，在路徑的建立階段加入安全機(jī)制，保證通信的可靠性和完整性。mesh網(wǎng)絡(luò)安全策略的研究在不斷深入，各種安全策略不斷被提出，豐富著整個(gè)mesh安全體系。但是，現(xiàn)有的安全策略更多的停留在理論和仿真階段，對(duì)于工程應(yīng)用尚無涉及。本文綜合了mesh更新包和鄰居認(rèn)證等最新的mesh安全算法，采用數(shù)字簽名和單向hash鏈的方法保證了協(xié)議的可用性和節(jié)點(diǎn)認(rèn)證的可靠性，并將算法在無線傳感器網(wǎng)

5、絡(luò)中進(jìn)行工程試驗(yàn)驗(yàn)證研究。1 mesh安全策略原理1.1 mesh節(jié)點(diǎn)證書更新本文使用基于公私鑰體系的數(shù)字簽名能夠?yàn)橥ㄐ殴?jié)點(diǎn)的認(rèn)證提供保證。節(jié)點(diǎn)i的ip地址為ipi，每個(gè)節(jié)點(diǎn)具有唯一公鑰pki和私鑰ski；pkca和skca分別代表ca的公鑰和私鑰；certi表示節(jié)點(diǎn)i 的由本地ca頒發(fā)的證書。在本文中，由于mesh邊界路由是無線傳感器mesh網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)到外界互聯(lián)網(wǎng)的唯一通信端口，假設(shè)mesh路由器是安全可信的，因此可以將邊界路由作為認(rèn)證中心ca，為無線傳感器mesh網(wǎng)絡(luò)的各個(gè)子節(jié)點(diǎn)頒發(fā)證書。無線傳感器mesh網(wǎng)絡(luò)為多徑多跳網(wǎng)絡(luò)，邊界路由作為根節(jié)點(diǎn)向互聯(lián)網(wǎng)接收和轉(zhuǎn)發(fā)數(shù)據(jù)。本文采用的網(wǎng)絡(luò)結(jié)構(gòu)圖

6、如圖1。mesh邊界路由作為唯一合法的認(rèn)證中心ca，在網(wǎng)絡(luò)初始化的時(shí)候，發(fā)送包含hello廣播消息的mesh更新包。hello消息ip地址ipca和網(wǎng)絡(luò)的最大跳數(shù)。mesh邊界路由使用hash算法對(duì)跳數(shù)信息進(jìn)行保護(hù)。消息格式為：ca->broadcast：update_flag，ipca，seq，hop_count，top_hash，hello_flag，ipca，ttl；節(jié)點(diǎn)收到hello消息后，立即檢查本節(jié)點(diǎn)是否已經(jīng)獲得最新的有效證書。檢查之后繼續(xù)轉(zhuǎn)發(fā)hello消息。如果不是有效證書，則發(fā)送一個(gè)注冊(cè)請(qǐng)求reg req消息，直到注冊(cè)成功。節(jié)點(diǎn)a向ca中心請(qǐng)求證書示例如下：a->c

7、a ：regreq， ipi ， ipca ， t， pki ；ca中心回復(fù)示例如下：ca->a：regrep， cert = regrep， ipi ， pki ， t， e sk ；節(jié)點(diǎn)不斷的廣播轉(zhuǎn)發(fā)并發(fā)起注冊(cè)，直到網(wǎng)絡(luò)的所有節(jié)點(diǎn)均注冊(cè)完成。注冊(cè)過程僅在網(wǎng)絡(luò)初始化階段有效，因此能夠有效的防止外來惡意節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)的攻擊。1.2 mesh安全路由的建立mesh網(wǎng)絡(luò)是一種多徑多跳的網(wǎng)狀網(wǎng)絡(luò)模式，在源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)直接存在非常多的路徑，如何在給定最大ttl的條件下，挑選出最高效最合理的有效路徑是本文研究的重要內(nèi)容。為了避免在路由建立過程中，有未授權(quán)節(jié)點(diǎn)加入到路由路徑過程中，相鄰節(jié)點(diǎn)之間需要進(jìn)行

8、相鄰節(jié)點(diǎn)認(rèn)證。完成認(rèn)證后，才能建立連接。1.3 mesh路由安全性能分析在mesh網(wǎng)絡(luò)中，網(wǎng)絡(luò)的主要威脅來源于外來節(jié)點(diǎn)的竊聽和節(jié)點(diǎn)偽造。在本文方案中，節(jié)點(diǎn)的證書是在網(wǎng)絡(luò)初始化的過程中向唯一的認(rèn)證中心邊界路由進(jìn)行信息注冊(cè)后，由邊界路由進(jìn)行統(tǒng)一發(fā)放，因此在網(wǎng)絡(luò)運(yùn)行過程中，外來節(jié)點(diǎn)將無法進(jìn)行網(wǎng)絡(luò)注冊(cè)，外來節(jié)點(diǎn)在邊界路由處屬于不可信節(jié)點(diǎn)。由于消息的發(fā)送都是經(jīng)過節(jié)點(diǎn)本身的秘鑰加密后廣播，中間節(jié)點(diǎn)接收到消息以后需要向邊界路由請(qǐng)求對(duì)應(yīng)公鑰進(jìn)行解密，而外來節(jié)點(diǎn)由于其不可信的特性無法從邊界路由獲取公鑰，導(dǎo)致無法解密，有效的避免了外來節(jié)點(diǎn)的竊聽問題；網(wǎng)絡(luò)初始化過程中，每個(gè)傳感器節(jié)點(diǎn)建立并維護(hù)自己的鄰居節(jié)點(diǎn)表單。網(wǎng)

9、絡(luò)運(yùn)行過程中，由于外來節(jié)點(diǎn)偽造發(fā)送消息時(shí)，由于外來節(jié)點(diǎn)的ip并未在可信網(wǎng)絡(luò)節(jié)點(diǎn)的鄰居表單中，中間節(jié)點(diǎn)會(huì)認(rèn)為消息來源于不可靠節(jié)點(diǎn)，從而將消息丟棄，有效的保護(hù)網(wǎng)絡(luò)的安全性；消息中的唯一的時(shí)間戳和序列號(hào)標(biāo)記又能夠有效的避免外來節(jié)點(diǎn)的重放攻擊。endprint2 安全策略實(shí)例分析為了進(jìn)行安全策略驗(yàn)證，我們搭建了由100個(gè)傳感器節(jié)點(diǎn)自組網(wǎng)形成的多跳無線mesh網(wǎng)絡(luò)。mesh網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都是平等的，因此我們的所有傳感器節(jié)點(diǎn)運(yùn)行著同一套軟件系統(tǒng)，都可以作為消息源節(jié)點(diǎn)，也可以作為中間節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)。由于本安全策略在防止竊聽、偽造節(jié)點(diǎn)和重放攻擊上具有優(yōu)良的性能，而所有的攻擊都來自外來惡意節(jié)點(diǎn)，所以在mesh無

10、線網(wǎng)絡(luò)之外增加一個(gè)完全相同的未注冊(cè)節(jié)點(diǎn)，此節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。w節(jié)點(diǎn)設(shè)置為外來節(jié)點(diǎn)，未進(jìn)行鄰居節(jié)點(diǎn)安全認(rèn)證，由w節(jié)點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)發(fā)起攻擊。其余節(jié)點(diǎn)為正常節(jié)點(diǎn)，進(jìn)行正常的數(shù)據(jù)通信。外來惡意節(jié)點(diǎn)的軟硬件和正常的mesh節(jié)點(diǎn)并無不同，因此，此節(jié)點(diǎn)也能夠正常的接收網(wǎng)絡(luò)發(fā)出的消息。但是，從計(jì)算機(jī)接口讀出節(jié)點(diǎn)接收的消息，發(fā)現(xiàn)此節(jié)點(diǎn)無法解析網(wǎng)絡(luò)消息，無法對(duì)網(wǎng)絡(luò)進(jìn)行竊聽。由于外來節(jié)點(diǎn)無法解析消息，也就無法實(shí)現(xiàn)重放攻擊。外來節(jié)點(diǎn)構(gòu)建消息激勵(lì)，并廣播發(fā)給整個(gè)mesh網(wǎng)絡(luò)。筆者開發(fā)了一個(gè)消息丟棄統(tǒng)計(jì)模塊，記錄中間節(jié)點(diǎn)d丟棄消息的數(shù)目。通過圖3可以清楚比較出中間節(jié)點(diǎn)d丟棄消息的統(tǒng)計(jì)數(shù)值和偽造節(jié)點(diǎn)的消息發(fā)送數(shù)值完全相同，

11、證明外來節(jié)點(diǎn)的偽造攻擊消息都被中間節(jié)點(diǎn)丟棄，無法實(shí)現(xiàn)攻擊。圖4可以很清晰的看到入侵行為的各種信息：入侵行為發(fā)生的時(shí)間、ip地址、報(bào)文長度、報(bào)文類型等，保證了丟棄的報(bào)文全是外來的攻擊節(jié)點(diǎn)的數(shù)據(jù)。3 結(jié)論本文通過對(duì)多個(gè)mesh網(wǎng)絡(luò)安全協(xié)議的分析和綜合，建立起一套完備的mesh網(wǎng)絡(luò)安全策略。通過對(duì)網(wǎng)絡(luò)的安全性能分析，此安全策略通過證書的發(fā)放和鄰居節(jié)點(diǎn)的關(guān)聯(lián)，能夠有效驗(yàn)證中間節(jié)點(diǎn)的身份，防止外來節(jié)點(diǎn)的竊聽、重放攻擊和節(jié)點(diǎn)偽造。尤為重要的是，本文將此安全策略應(yīng)用到實(shí)際的無線傳感器網(wǎng)絡(luò)中，取得了非常好的工程效果，使得安全策略完全應(yīng)用于實(shí)用，而不僅僅停留在理論推導(dǎo)和仿真過程，對(duì)安全策略的發(fā)展起到非常重要的促

12、進(jìn)作用。參考文獻(xiàn)1sen j， chandra m g， harihara s g， et al. a mechanism for detection of grayhole attack in mobile ad hoc n etworks c proceedings of the 6th ieee international conference on information， communications， and signal processing （icics 2007）， singapore ，2007.2s glass，m portmann，et al. secure wirel

13、ess mesh networkj. ieee internet computing，vol 12，no 4，2008，pp，30-36.3md. shariful islam， md. abdul hamid，et al. shwmp： a secure hybrid wireless mesh protocol for ieee 802.11s wireless mesh networksj. trans. on comput. sci. vi， lncs 5730， pp. 95114， 2009.4hu yih-chun， perrig a， et al. wormhole detec

14、tion in wireless ad hoc networksc. technical report tr01-384，department of computer science，rice university， december 2001.5宋志賢，喻繼燊，肖明波.無線mesh網(wǎng)絡(luò)中安全路由協(xié)議的研究j.廈門大學(xué)學(xué)報(bào)，2008，47（6）：823-827.6閆琦.無線mesh網(wǎng)安全路由研究d.西安：西安電子科技大學(xué)，2007.7楊寅春，陳克非.基于單向哈希鏈的無線傳感器網(wǎng)絡(luò)安全leach 路由協(xié)議j.計(jì)算機(jī)工程與設(shè)計(jì).2009，30（20）：4620-4623.8張景東，吳振強(qiáng).鄰居認(rèn)證mesh 網(wǎng)絡(luò)安全多路徑路由協(xié)議j.計(jì)算機(jī)工程與應(yīng)用