齊鵬

（中國(guó)飛行試驗(yàn)研究院陜西 西安 710072）

無(wú)線重編程中虛假?gòu)V告DoS攻擊分析

齊鵬

（中國(guó)飛行試驗(yàn)研究院陜西 西安 710072）

介紹了基于Hash散列鏈的無(wú)線重編程廣告認(rèn)證方法，指出該方法容易受到相同版本廣告DoS攻擊，并分析了該攻擊的原理和產(chǎn)生的危害。在TOSSIM平臺(tái)上對(duì)相同版本廣告攻擊進(jìn)行了細(xì)致的模擬并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明，在某些情況下相同版本廣告攻擊會(huì)給無(wú)線重編程帶來(lái)較大的影響，給無(wú)線傳感器網(wǎng)絡(luò)安全重編程的進(jìn)一步研究提供了參考。

無(wú)線傳感器網(wǎng)絡(luò)無(wú)線重編程虛假?gòu)V告安全DoS攻擊

1 引言

無(wú)線傳感器網(wǎng)絡(luò)（W ireless Sensor Networks，W SNs）在無(wú)人可達(dá)的地域長(zhǎng)期工作時(shí)，經(jīng)常需要更改節(jié)點(diǎn)任務(wù)或升級(jí)應(yīng)用程序。無(wú)線重編程（W ireless Reprogramm ing）通過(guò)無(wú)線廣播介質(zhì)將更新代碼完整、正確和及時(shí)地分發(fā)至整個(gè)網(wǎng)絡(luò)以達(dá)到動(dòng)態(tài)分配節(jié)點(diǎn)功能的目的[1-3]。

Deluge[4]是占主導(dǎo)地位的無(wú)線重編程協(xié)議，實(shí)現(xiàn)了在多跳無(wú)線傳感器網(wǎng)絡(luò)中的代碼分發(fā)。由于Deluge沒(méi)有考慮安全因素，其自身的特性（3次握手和“傳染病”）使其很容易受到攻擊并使危害蔓延至整個(gè)網(wǎng)絡(luò)[5]。有些方案在Deluge中引入安全機(jī)制（如Sluice[6]、SecureDeluge[7]、Deng-Tree[8]、Deng-hybrid[8]等），然而這些方案只考慮了更新代碼的安全，沒(méi)有對(duì)控制消息（廣告和請(qǐng)求）的合法性進(jìn)行認(rèn)證。研究成果表明，虛假控制消息將對(duì)無(wú)線傳感器網(wǎng)絡(luò)造成嚴(yán)重的DoS攻擊[9]。

ADV-Hash方案[9]利用廣告的有限性和有序性，采用了基于認(rèn)證方法，解決了虛假?gòu)V告DoS攻擊中的高版本號(hào)、高頁(yè)號(hào)和低版本號(hào)攻擊問(wèn)題，但未能解決相同版本廣告的DoS攻擊。在TOSSIM[10]平臺(tái)上對(duì)相同版本虛假?gòu)V告攻擊進(jìn)行了仿真，對(duì)仿真結(jié)果進(jìn)行了詳細(xì)分析。實(shí)驗(yàn)結(jié)果表明相同版本攻擊會(huì)給無(wú)線重編程帶來(lái)嚴(yán)重危害，對(duì)預(yù)防和消除該攻擊提供了一定的參考。

2 虛假?gòu)V告攻擊

2.1 虛假?gòu)V告攻擊

Deluge是利用基于SPIN協(xié)議[11]的3次握手機(jī)制（廣告-

請(qǐng)求-更新代碼）進(jìn)行代碼分發(fā)的，作為控制消息的廣告和請(qǐng)求雖然只占消息總數(shù)的18.18%[4]。然而惡意節(jié)點(diǎn)可以利用虛假控制消息對(duì)無(wú)線傳感器網(wǎng)絡(luò)造成嚴(yán)重危害，其中針對(duì)虛假?gòu)V告的攻擊包括高版本號(hào)廣告、高頁(yè)號(hào)廣告、低版本號(hào)廣告和相同版本號(hào)廣告4種[9]。

2.2 ADV-Hash方法的缺陷

有研究成果提出了一種基于單向Hash散列鏈的廣告認(rèn)證方法ADV-Hash，這種方法利用廣告的有限性和有序性，將更新代碼對(duì)應(yīng)的廣告構(gòu)建成序列，對(duì)其進(jìn)行輕量級(jí)認(rèn)證來(lái)解決虛假?gòu)V告的DoS攻擊問(wèn)題。下文中涉及的符號(hào)見(jiàn)參考文獻(xiàn)[8]。

假設(shè)鏡像的大小為p頁(yè)，則在一次重編程過(guò)程中，合法廣告有p+1個(gè)：

其中v'是更新程序鏡像的版本號(hào)。基站在分發(fā)代碼前首先構(gòu)建廣告序列散列鏈，將最后一個(gè)廣告(v',p)和填充該包的0做散列運(yùn)算得到Hp，把Hp存入前一個(gè)廣告(v',p-1)中，再對(duì)這個(gè)廣告及Hp做散列運(yùn)算，并逐步計(jì)算得到H 0，即H((v', 0)椰H 1)），最后將H 0做一次數(shù)字簽名得[H 0]SK，并使其與H 0一起作為基站的第一個(gè)分發(fā)包。

無(wú)線重編程開(kāi)始前，基站將Seq:Madv序列中的廣告廣播給第一跳節(jié)點(diǎn)N[1]，N[1]先用已預(yù)先保存在其上的基站公鑰PK對(duì)廣告散列上的鏈?zhǔn)鬃龊灻?yàn)證，再用Hash函數(shù)對(duì)后續(xù)散列逐一驗(yàn)證。在接受基站所發(fā)廣告后，根據(jù)N[1]自身?yè)碛懈鲁绦蛴诚翊a頁(yè)的情況來(lái)向其鄰居節(jié)點(diǎn)N[2]廣播相應(yīng)的廣告。每個(gè)N[i]節(jié)點(diǎn)在聽(tīng)到一個(gè)廣告時(shí)，將與N[1]一樣做相同的操作來(lái)驗(yàn)證該廣告的合法性。

ADV-Hash方法限制了節(jié)點(diǎn)自己生成廣告，所有的節(jié)點(diǎn)廣告都源自基站，并由其簽名，節(jié)點(diǎn)自己不能隨意生成或修改。因此該方法對(duì)高版本號(hào)、高頁(yè)號(hào)和低版本號(hào)廣告的DoS攻擊具有較強(qiáng)的抵御能力。然而當(dāng)網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)收到廣告序列后，可以進(jìn)行相同版本廣告攻擊。假設(shè)網(wǎng)絡(luò)的某個(gè)局部正在進(jìn)行第i頁(yè)更新代碼的分發(fā)，如圖1所示。

圖1中左邊的正常節(jié)點(diǎn)正在進(jìn)行第i頁(yè)更新代碼分發(fā)，右邊區(qū)域正在廣播廣告(v',i-1)。惡意節(jié)點(diǎn)此時(shí)已擁有合法的廣告(v',i)，如果它在一個(gè)i Round時(shí)間段內(nèi)廣播不少于k個(gè)廣告(v',i)，則節(jié)點(diǎn)A的廣告將被抑制，右邊的節(jié)點(diǎn)只會(huì)向惡意節(jié)點(diǎn)發(fā)送請(qǐng)求，A節(jié)點(diǎn)得到的更新代碼無(wú)法分發(fā)至右側(cè)網(wǎng)絡(luò)中。在特定的網(wǎng)絡(luò)拓?fù)渲?，如果被攻擊的?jié)點(diǎn)所處位置節(jié)點(diǎn)稀少且是更新代碼必經(jīng)區(qū)域，則攻擊將對(duì)網(wǎng)絡(luò)產(chǎn)生巨大危害。

圖1 相同版本廣告攻擊示意圖

3 相同版本廣告攻擊的分析和仿真

3.1 攻擊分析

相同版本廣告攻擊可以利用合法的消息對(duì)網(wǎng)絡(luò)進(jìn)行DoS攻擊，因此即使對(duì)廣告消息進(jìn)行認(rèn)證，ADV-Hash仍未能解決相同版本廣告攻擊問(wèn)題。為了簡(jiǎn)化分析過(guò)程，假設(shè)的線型網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 線型拓?fù)渲械墓羰疽鈭D

圖2中惡意節(jié)點(diǎn)F的通信范圍用虛線圓圈表示。假設(shè)節(jié)點(diǎn)A剛獲得了第i頁(yè)，而節(jié)點(diǎn)B、C和D只有第i-1頁(yè)。此時(shí)節(jié)點(diǎn)B、C、D廣播的廣告是(v',i-1)。根據(jù)ADV-Hash方法的處理過(guò)程，惡意節(jié)點(diǎn)F已獲得了合法的廣告(v',i-1)，若F以較高的頻率（每個(gè)i Round時(shí)間段不少于k次）廣播該廣告，則節(jié)點(diǎn)B、C和D的廣告將被抑制。節(jié)點(diǎn)A在一個(gè)iRound內(nèi)沒(méi)有聽(tīng)到“不一致”消息，將會(huì)調(diào)整i Round時(shí)間長(zhǎng)度到2子m,i（由于是剛接收完第i頁(yè)，因此子m,i=子l），在新的i Round里將再次廣播(v',i)，這時(shí)節(jié)點(diǎn)B聽(tīng)到A的廣告后，才會(huì)向A發(fā)送請(qǐng)求第i頁(yè)的請(qǐng)求消息。在線型拓?fù)淝闆r下，惡意節(jié)點(diǎn)的相同版本攻擊首先造成了一個(gè)時(shí)間延遲，延遲長(zhǎng)度是子l。因此，對(duì)于p頁(yè)的鏡像，一個(gè)惡意節(jié)點(diǎn)在傳播方向上造成的重編程延時(shí)Tdelay為：

當(dāng)節(jié)點(diǎn)B得到第i頁(yè)更新代碼后，將廣播新的廣告(v',i)，此時(shí)惡意節(jié)點(diǎn)F也得到了廣告(v',i)。若此時(shí)F用(v',i)進(jìn)行攻擊，將會(huì)抑制B和C的廣告，導(dǎo)致節(jié)點(diǎn)D和E只向惡意節(jié)點(diǎn)而不是節(jié)點(diǎn)C發(fā)送請(qǐng)求。這在線型拓?fù)淝闆r下將導(dǎo)致重編程中斷。綜上所述，在ADV-Hash方法中，惡意節(jié)點(diǎn)仍可利用相同版本廣告進(jìn)行DoS攻擊。攻擊造成的危害是增加了重編程完成時(shí)間，在特定的情況下可能導(dǎo)致重編程失敗。

3.2 實(shí)驗(yàn)仿真

為了進(jìn)一步分析相同版本廣告攻擊帶來(lái)的危害，本文在TOSSIM[10]仿真平臺(tái)上模擬了相同版本廣告攻擊，給出了在攻擊下傳感器網(wǎng)絡(luò)受到的危害程度。以下所有仿真實(shí)驗(yàn)中，Deluge的參數(shù)設(shè)置為：子l=2 s，子h=60 s，k=2，子r=0.5，姿=2，棕=8。

實(shí)驗(yàn)在1伊10的線型網(wǎng)絡(luò)中進(jìn)行，并在節(jié)點(diǎn)5旁邊放置模擬的惡意節(jié)點(diǎn)。為了在TOSSIM中配置實(shí)驗(yàn)要求的拓?fù)浣Y(jié)構(gòu)，首先用LossyBuilder生成2伊10的網(wǎng)格，再在TinyViz可視仿真界面中關(guān)閉10至14號(hào)、16至19號(hào)節(jié)點(diǎn)。同時(shí)給15號(hào)節(jié)點(diǎn)增加攻擊代碼（只進(jìn)行延時(shí)攻擊）。

隨著更新代碼大小的變化，攻擊對(duì)重編程完成時(shí)間的影響，如圖3所示，在遭受攻擊時(shí)節(jié)點(diǎn)間距離的變化對(duì)重編程完成時(shí)間的影響，如圖4所示。

圖3 完成時(shí)間比較（更新代碼大小變化）

圖4 完成時(shí)間比較（節(jié)點(diǎn)間距變化）

圖4說(shuō)明了惡意節(jié)點(diǎn)對(duì)無(wú)線重編程完成時(shí)間造成了一定的延時(shí)。根據(jù)公式（1），該延時(shí)應(yīng)與更新代碼頁(yè)的數(shù)量成正比。實(shí)驗(yàn)數(shù)據(jù)顯示，該延時(shí)略大于理論計(jì)算的數(shù)據(jù)，如對(duì)于5頁(yè)大小的更新代碼，理論延時(shí)應(yīng)為10 s（5伊2 s），但仿真實(shí)驗(yàn)顯示的延時(shí)是13 s。原因是惡意節(jié)點(diǎn)廣播的廣告在網(wǎng)絡(luò)的無(wú)線廣播介質(zhì)中不可避免的產(chǎn)生了碰撞，因此加劇了時(shí)間延遲。

實(shí)驗(yàn)表明，攻擊效果對(duì)網(wǎng)絡(luò)密度是敏感的。這與Deluge協(xié)議本身的密度感知特性是相符的。在較為合適的情況下，更新代碼的傳播更加快速，而其受到攻擊后的影響也就更大。

理論分析和實(shí)驗(yàn)數(shù)據(jù)也表明，如果惡意節(jié)點(diǎn)連線垂直于更新代碼傳染方向，則給網(wǎng)絡(luò)帶來(lái)的危害更大，因?yàn)樗麄冊(cè)诟麓a傳染方向上的“攔截”面積更大，就如同3.1小節(jié)中描述的線型拓?fù)渲校瑦阂夤?jié)點(diǎn)完全“攔截”了更新代碼的傳播。而惡意節(jié)點(diǎn)連線平行于更新代碼傳染方向時(shí)，他們的“攔截”面積較小，更新代碼可以繞過(guò)惡意節(jié)點(diǎn)進(jìn)行傳播。而現(xiàn)有的研究成果也表明，更新代碼延邊沿傳播的速度明顯大于延對(duì)角線方向節(jié)點(diǎn)密集處[4]。

以上的仿真實(shí)驗(yàn)說(shuō)明了相同版本廣告DoS攻擊將對(duì)無(wú)線重編程產(chǎn)生危害，并且危害程度與惡意節(jié)點(diǎn)數(shù)量、相對(duì)位置有一定的關(guān)系。

4 結(jié)束語(yǔ)

分析了無(wú)線傳感器網(wǎng)絡(luò)重編程安全認(rèn)證方案ADV-Hash中利用已通過(guò)認(rèn)證的合法廣告進(jìn)行相同版本廣告攻擊的原理，在理論上分析和量化了攻擊產(chǎn)生的危害，在TOSSIM仿真平臺(tái)上對(duì)該攻擊進(jìn)行了仿真，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了分析。相同版本廣告攻擊是利用合法廣告進(jìn)行攻擊，因此ADV-Hash認(rèn)證方案不能很好地解決該問(wèn)題。本文對(duì)無(wú)線重編程安全問(wèn)題的進(jìn)一步研究提供了一定了理論和實(shí)驗(yàn)基礎(chǔ)。

[1]張羽,蔣澤軍,周興社．無(wú)線傳感器網(wǎng)絡(luò)重編程技術(shù)研究[J]．計(jì)算機(jī)科學(xué),2008,5(35)：66-68,112．

[2]JEONG SK,BROAD A．Network Reprogramm ing[R]．USA：CA,2003．

[3]STATHOPOULOST,HEIDEMANN J,ESTR IN D．A Remote Code UpdateMechanism forW irelessSensor Networks[R]．USA：CA,2003．

[4]HUIJW，CULLER D．The Dynam ic BehaviorofaData Dissem ination Protocol for Network Programm ing at Scale[C]．USA：ACM,2004：81-94．

[5]張羽,周興社,蔣澤軍,等．傳感器網(wǎng)絡(luò)遠(yuǎn)程網(wǎng)絡(luò)重編程服務(wù)安全認(rèn)證機(jī)制研究[J]．計(jì)算機(jī)科學(xué),2008,10(35)：44-48．

[6]LAN IGAN PE,GANDHIR,NARASIMHAN P．Sluice：Secure Dissem ination O fCode Updatesin Sensor Networks [C]．Portugal：In IEEE InternationalConference on Distributed Computing Systems,2006：53-63．

[7]DUTTA PK,HUIJW,CHU D C,etal．Securing the Deluge network programm ing system[C]．USA：ACM,2006：326-333．

[8]DENG J,HAN R,M ISHRA S．Secure Code Distribution in Dynam ically ProgrammableW irelessSensor Networks[C]．USA：ACM,2006：292-300．

[9]方智毅．無(wú)線傳感器網(wǎng)絡(luò)重編程中DoS攻擊的研究[D]．西安：西北工業(yè)大學(xué),2009．

[10]LEVISP,LeeN,WELSHM,etal．TOSSIM：Accurateand ScalableSimulationofEntireTinyosApplications,In ProceedingsofSenSys'03,FirstACM ConferenceonEmbedded NetworkedSensorSystems[C]．USA：ACM,2003：126-137．

[11]KULIKJ,HEINZELMANW R,BALAKRISHNANH．Negotiation-basedProtocolsforDissem inating Informationin W irelessSensorNetworks[J]．W irelessNetworks,2002：169-185．

Analysis on DoSAttack of Mendacious Advertisem ent in W ireless Reprogramm ing

QIPeng
(Chinese Flight Test Establishment,Xi，an Shanxi710072,China)

This paper introduces the advertisement-authentication method ofw ireless reprogramm ing based on Hash chains,points out that thismethod iseasily attacked by the advertisement DoSattacks in same vision,and analyzes the principlesand harmsof attacks. The advertisementDoSattacksin same vision are precisely simulated on the TOSSIM platform and the experimental resultsare analyzed. The experimental results show that the advertisement attacks in same version w ill bring great effects to the w ireless reprogramm ing in some cases.Thispaper providesthe

forw irelesssensor network security reprogramm ing in further study.

w irelesssensornetworks;w irelessreprogramm ing;mendaciousadvertisement;security;DoSattack

TP212．9

A

1008-1739（2014）13-52-3

定稿日期：2014-05-26