基于mesh安全策略的無線傳感網的工程試驗研究

李新宏+趙靜+楊榮雙+楊根甜+張玉龍

摘 要 mesh網絡采用分布式技術實現，非常容易組網，可以方便應用于無線傳感器網絡中。然而mesh網絡的安全體系并不完善，偽造惡意節點的攻擊尚無法完全消除，無線傳感網絡的安全尚存在風險。本文基于更新包和鄰居認證的mesh安全策略，結合工程應用，進行了無線傳感網絡的安全體系的工程試驗研究。研究結果表明：在無線傳感網絡使用安全策略，能夠提升網絡的安全性和穩定性。

關鍵詞 無線傳感網絡；mesh安全策略；mesh更新包；鄰居認證；數字簽名

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）194-0058-03

無線傳感器網絡是指由多個傳感器節點通過自組網方式構建，具有特定應用功能的網絡。其網絡具有易組網、成本低、性能穩定等優點，但是也存在節點電源、計算能力有限、節點密集等缺點。其組網方式主要有星型組網、MESH組網等，本文主要討論基于MESH的組網的方式。MESH組網方式的傳感器節點不僅能夠接收和發送數據，還可以作為其鄰居節點的路由器進行數據轉發，從而搭建一個多路徑多速率的多跳網絡。

由于WSN網絡拓撲的動態特性，網絡的安全性就成了WSN網絡不可避免的關鍵問題。MESH網絡特有的分布式特性使得網絡容易受到許多攻擊：惡意節點通過竊取路由器中認證密鑰，發布錯誤的路由信息，制造網絡廣播風暴；惡意節點使用的竊聽、DoS攻擊等攻擊方式在多跳WSN網絡中進一步放大；惡意節點通過散播虛假路由消息，讓其他可信節點誤以為經此惡意節點的開銷最低，從而形成不斷吸收數據報文的黑洞；惡意節點可以截獲并存儲合法用戶數據的數據，形成重放攻擊，獲取網絡的資源訪問權，獲取無線傳感器網絡的私密信息。

由于MESH網絡的應用的廣泛性和容易受攻擊的特性，WSN網絡安全受到更多的重視，研究也逐漸深入。Shariful Islam提出了混合域無線MESH網絡的安全協議SHWMP，將PREQ和PREP報文中的跳數等變量分別進行hash計算，運用merkel樹方式生成最終hash值，以保證消息的完整性；西安電子科技大學的閆琦基于HRPU路由協議的安全協議SHRPU，利用不斷廣播的mesh更新包確保節點獲得路由路徑，通過數字簽名保證通信安

全；陜西師范大學的張景東等針對報文多徑傳輸的思想提出一種多路徑路由協議SMPRA，在路徑的建立階段加入安全機制，保證通信的可靠性和完整性。

MESH網絡安全策略的研究在不斷深入，各種安全策略不斷被提出，豐富著整個MESH安全體系。但是，現有的安全策略更多的停留在理論和仿真階段，對于工程應用尚無涉及。本文綜合了MESH更新包和鄰居認證等最新的MESH安全算法，采用數字簽名和單向hash鏈的方法保證了協議的可用性和節點認證的可靠性，并將算法在無線傳感器網絡中進行工程試驗驗證研究。

1 MESH安全策略原理

1.1 MESH節點證書更新

本文使用基于公私鑰體系的數字簽名能夠為通信節點的認證提供保證。節點i的IP地址為IPi，每個節點具有唯一公鑰PKi和私鑰SKi；PKca和SKca分別代表CA的公鑰和私鑰；Certi表示節點i 的由本地CA頒發的證書。在本文中，由于MESH邊界路由是無線傳感器MESH網絡數據轉發到外界互聯網的唯一通信端口，假設MESH路由器是安全可信的，因此可以將邊界路由作為認證中心CA，為無線傳感器MESH網絡的各個子節點頒發證書。無線傳感器MESH網絡為多徑多跳網絡，邊界路由作為根節點向互聯網接收和轉發數據。本文采用的網絡結構圖如圖1。

MESH邊界路由作為唯一合法的認證中心CA，在網絡初始化的時候，發送包含Hello廣播消息的MESH更新包。Hello消息IP地址IPca和網絡的最大跳數。MESH邊界路由使用hash算法對跳數信息進行保護。消息格式為：

CA--->broadcast：[update_flag，IPca，SEQ，Hop_count，top_hash，[hello_flag，IPca，TTL]]；

節點收到Hello消息后，立即檢查本節點是否已經獲得最新的有效證書。檢查之后繼續轉發Hello消息。如果不是有效證書，則發送一個注冊請求Reg REQ消息，直到注冊成功。節點A向CA中心請求證書示例如下：

A--->CA ：[RegREQ， IPi ， IPca ， t， PKi ]；

CA中心回復示例如下：

CA--->A：[RegREP， Cert ]= [RegREP， [IPi ， PKi ， t， e] SK ]；

節點不斷的廣播轉發并發起注冊，直到網絡的所有節點均注冊完成。注冊過程僅在網絡初始化階段有效，因此能夠有效的防止外來惡意節點對網絡的攻擊。

1.2 MESH安全路由的建立

MESH網絡是一種多徑多跳的網狀網絡模式，在源節點和目標節點直接存在非常多的路徑，如何在給定最大TTL的條件下，挑選出最高效最合理的有效路徑是本文研究的重要內容。為了避免在路由建立過程中，有未授權節點加入到路由路徑過程中，相鄰節點之間需要進行相鄰節點認證。完成認證后，才能建立連接。

1.3 MESH路由安全性能分析

在MESH網絡中，網絡的主要威脅來源于外來節點的竊聽和節點偽造。在本文方案中，節點的證書是在網絡初始化的過程中向唯一的認證中心邊界路由進行信息注冊后，由邊界路由進行統一發放，因此在網絡運行過程中，外來節點將無法進行網絡注冊，外來節點在邊界路由處屬于不可信節點。由于消息的發送都是經過節點本身的秘鑰加密后廣播，中間節點接收到消息以后需要向邊界路由請求對應公鑰進行解密，而外來節點由于其不可信的特性無法從邊界路由獲取公鑰，導致無法解密，有效的避免了外來節點的竊聽問題；網絡初始化過程中，每個傳感器節點建立并維護自己的鄰居節點表單。網絡運行過程中，由于外來節點偽造發送消息時，由于外來節點的IP并未在可信網絡節點的鄰居表單中，中間節點會認為消息來源于不可靠節點，從而將消息丟棄，有效的保護網絡的安全性；消息中的唯一的時間戳和序列號標記又能夠有效的避免外來節點的重放攻擊。endprint

2 安全策略實例分析

為了進行安全策略驗證，我們搭建了由100個傳感器節點自組網形成的多跳無線MESH網絡。MESH網絡中的所有節點都是平等的，因此我們的所有傳感器節點運行著同一套軟件系統，都可以作為消息源節點，也可以作為中間節點轉發數據。

由于本安全策略在防止竊聽、偽造節點和重放攻擊上具有優良的性能，而所有的攻擊都來自外來惡意節點，所以在MESH無線網絡之外增加一個完全相同的未注冊節點，此節點對網絡進行攻擊。W節點設置為外來節點，未進行鄰居節點安全認證，由W節點對整個網絡發起攻擊。其余節點為正常節點，進行正常的數據通信。

外來惡意節點的軟硬件和正常的MESH節點并無不同，因此，此節點也能夠正常的接收網絡發出的消息。但是，從計算機接口讀出節點接收的消息，發現此節點無法解析網絡消息，無法對網絡進行竊聽。由于外來節點無法解析消息，也就無法實現重放攻擊。

外來節點構建消息激勵，并廣播發給整個MESH網絡。筆者開發了一個消息丟棄統計模塊，記錄中間節點D丟棄消息的數目。通過圖3可以清楚比較出中間節點D丟棄消息的統計數值和偽造節點的消息發送數值完全相同，證明外來節點的偽造攻擊消息都被中間節點丟棄，無法實現攻擊。圖4可以很清晰的看到入侵行為的各種信息：入侵行為發生的時間、IP地址、報文長度、報文類型等，保證了丟棄的報文全是外來的攻擊節點的數據。

3 結論

本文通過對多個MESH網絡安全協議的分析和綜合，建立起一套完備的MESH網絡安全策略。通過對網絡的安全性能分析，此安全策略通過證書的發放和鄰居節點的關聯，能夠有效驗證中間節點的身份，防止外來節點的竊聽、重放攻擊和節點偽造。尤為重要的是，本文將此安全策略應用到實際的無線傳感器網絡中，取得了非常好的工程效果，使得安全策略完全應用于實用，而不僅僅停留在理論推導和仿真過程，對安全策略的發展起到非常重要的促進作用。

參考文獻

[1]Sen J， Chandra M G， Harihara S G， et al. A Mechanism for Detection of Grayhole Attack in Mobile Ad hoc N etworks [C] Proceedings of the 6th IEEE International Conference on Information， Communications， and Signal Processing （ICICS 2007）， Singapore ，2007.

[2]S Glass，M Portmann，et al. Secure Wireless Mesh Network[J]. IEEE Internet Computing，Vol 12，No 4，2008，pp，30-36.

[3]Md. Shariful Islam， Md. Abdul Hamid，et al. SHWMP： A Secure Hybrid Wireless Mesh Protocol for IEEE 802.11s Wireless Mesh Networks[J]. Trans. on Comput. Sci. VI， LNCS 5730， pp. 95–114， 2009.

[4]hu yih-chun， Perrig A， et al. Wormhole Detection in Wireless Ad Hoc Networks[C]. Technical Report TR01-384，Department of Computer Science，Rice University， December 2001.

[5]宋志賢，喻繼燊，肖明波.無線Mesh網絡中安全路由協議的研究[J].廈門大學學報，2008，47（6）：823-827.

[6]閆琦.無線mesh網安全路由研究[D].西安：西安電子科技大學，2007.

[7]楊寅春，陳克非.基于單向哈希鏈的無線傳感器網絡安全LEACH 路由協議[J].計算機工程與設計.2009，30（20）：4620-4623.

[8]張景東，吳振強.鄰居認證Mesh 網絡安全多路徑路由協議[J].計算機工程與應用.2009，45（4）：115-118.

[9]Pham P P，Perreau S.Performance analysis of reactive shortest path and multi -path routing mechanism with load balance [C].IEEE INFOCOMM 2003.

[10]劉麗云.一種新的基于 mesh 結構的多徑路由算法[D].濟南：山東大學，2007.endprint