徐振華

摘要：針對(duì)傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)所具有的算法收斂速度慢、容易陷入局部極小等固有缺陷，文章提出了一種優(yōu)化改進(jìn)算法的BP神經(jīng)網(wǎng)絡(luò)，并利用其構(gòu)建了分布式入侵檢測(cè)模型。通過(guò)仿真實(shí)驗(yàn)證明，該入侵檢測(cè)模型不僅具有良好的全局搜索能力，而且算法收斂速度較快，具有極佳的入侵檢測(cè)效果。

關(guān)鍵詞：BP神經(jīng)網(wǎng)絡(luò)：分布式入侵檢測(cè)模型；構(gòu)建

無(wú)線傳感器網(wǎng)絡(luò)是一種具備自動(dòng)數(shù)據(jù)采集、數(shù)據(jù)傳輸?shù)膹?fù)雜化的通信網(wǎng)絡(luò)系統(tǒng)。相比無(wú)線局域網(wǎng)，它具有工作區(qū)域節(jié)點(diǎn)數(shù)目多、節(jié)點(diǎn)資源受限、無(wú)固定設(shè)施、網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化以及無(wú)中心控制等特點(diǎn)，這都導(dǎo)致了無(wú)線傳感器網(wǎng)絡(luò)更容易受到安全攻擊，且攻擊次數(shù)頻繁，攻擊種類(lèi)復(fù)雜。為確保無(wú)線傳感器網(wǎng)絡(luò)運(yùn)行的安全、可靠，必須采用身份認(rèn)證機(jī)制，以確保用戶(hù)身份的合法化，并有效阻止非法用戶(hù)的進(jìn)入。

1 無(wú)線傳感器網(wǎng)絡(luò)的安全性特點(diǎn)及安全目標(biāo)

I.I WSN網(wǎng)絡(luò)的安全性特點(diǎn)

1.1.1 信道安全的脆弱性

由于WSN網(wǎng)絡(luò)的無(wú)線傳輸信道由資源有限的節(jié)點(diǎn)所構(gòu)成，并主要采用的是分布式控制技術(shù)及無(wú)線信道傳輸技術(shù)。這也導(dǎo)致了任何人采用相應(yīng)頻段的接受設(shè)備都可以實(shí)現(xiàn)對(duì)傳輸信道數(shù)據(jù)的竊聽(tīng)、入侵或干擾。因此，攻擊者很容易進(jìn)入到網(wǎng)絡(luò)中開(kāi)展各種破壞活動(dòng)。

1.1.2 網(wǎng)絡(luò)拓?fù)涞拇笠?guī)模性、動(dòng)態(tài)性

大規(guī)模性是指WSN網(wǎng)絡(luò)是由成千甚至上萬(wàn)個(gè)傳感器節(jié)點(diǎn)所構(gòu)成，大規(guī)模性也相應(yīng)加大了網(wǎng)絡(luò)安全管理的難度。動(dòng)態(tài)性則是指?jìng)鞲衅鞴?jié)點(diǎn)分布的不均勻性、多變性，這都導(dǎo)致了整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，變化頻繁，這也加大了WSN網(wǎng)絡(luò)安全管理的難度。

1.1.3 安全技術(shù)應(yīng)用的局限性

與WLAN（無(wú)線局域網(wǎng)）相比，由于WSN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，且傳感器節(jié)點(diǎn)的計(jì)算能力、存儲(chǔ)能力有限，這都導(dǎo)致了許多適用于傳統(tǒng)有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)中的安全技術(shù)將不再適宜，技術(shù)應(yīng)用的局限性較大。例如，因傳感器節(jié)點(diǎn)的計(jì)算能力較低，傳統(tǒng)的加密技術(shù)、認(rèn)證技術(shù)不再適宜。因網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，傳統(tǒng)的防火墻技術(shù)不再適宜等。

1.2

WSN網(wǎng)絡(luò)的安全目標(biāo)

正是由于WSN網(wǎng)絡(luò)的安全特性較差，使得其在應(yīng)用過(guò)程中容易受到拒絕服務(wù)攻擊（Denial of Service，DoS）、蠕蟲(chóng)洞攻擊（Wormholes）、污水池攻擊（Sinkhole Attack）、女巫攻擊（Sybil Attack）、泛洪攻擊、路由攻擊、能量攻擊等多種類(lèi)型的安全攻擊。因此，WSN網(wǎng)絡(luò)必須采取有效的安全策略，以降低安全風(fēng)險(xiǎn)，達(dá)到相應(yīng)的安全標(biāo)準(zhǔn)。其安全目標(biāo)包括：

一是應(yīng)保證WSN網(wǎng)絡(luò)在數(shù)據(jù)收集、傳輸過(guò)程中數(shù)據(jù)信息的完整性、機(jī)密性與時(shí)效性；二是應(yīng)采用可靠的身份認(rèn)證技術(shù)，以確保WSN網(wǎng)絡(luò)與外部用戶(hù)之間的通信安全，并驗(yàn)證其合法身份；三是應(yīng)避免網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及傳感器節(jié)點(diǎn)、路由等核心裝置受到損壞，確保網(wǎng)絡(luò)的安全組建與運(yùn)行；四是WSN網(wǎng)絡(luò)應(yīng)具備一定的容錯(cuò)機(jī)制，即網(wǎng)絡(luò)局部信道或節(jié)點(diǎn)受到安全攻擊時(shí)，網(wǎng)絡(luò)整體仍能正常工作。

由此可見(jiàn)，加強(qiáng)對(duì)基于WSN網(wǎng)絡(luò)的身份認(rèn)證體系的構(gòu)建，不僅是WSN網(wǎng)絡(luò)的基本安全目標(biāo)，而且對(duì)于保障WSN網(wǎng)絡(luò)與外部用戶(hù)之間的通信安全，以及有效降低網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)都有著極為重要的意義。

2 無(wú)線傳感器網(wǎng)絡(luò)的身份認(rèn)證體系的構(gòu)建

2.1 傳統(tǒng)身份認(rèn)證技術(shù)應(yīng)用的局F艮性

身份認(rèn)證體系的構(gòu)建可以說(shuō)是保證WSN網(wǎng)絡(luò)安全的第一道屏障。根據(jù)密碼學(xué)家Menezes的定義，身份認(rèn)證既是網(wǎng)絡(luò)中的一方，根據(jù)某項(xiàng)網(wǎng)絡(luò)協(xié)議、算法以確定另一方身份的過(guò)程，也是對(duì)網(wǎng)絡(luò)所構(gòu)建的安全準(zhǔn)入機(jī)制。目前，應(yīng)用于傳統(tǒng)互聯(lián)網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)的身份認(rèn)證技術(shù)主要利用的是公鑰加密算法（數(shù)字簽名、數(shù)字證書(shū)等）和共享密鑰算法（識(shí)別碼MAC等）。然而受限于WSN網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，一是傳感器節(jié)點(diǎn)的存儲(chǔ)容量小、計(jì)算能力差，二是網(wǎng)絡(luò)通信帶寬有限，這都導(dǎo)致了傳統(tǒng)的基于公鑰加密算法、共享密鑰算法的身份認(rèn)證技術(shù)不能直接應(yīng)用于WSN網(wǎng)絡(luò)中。

這就需要通過(guò)進(jìn)一步研究，構(gòu)建出算法計(jì)算量小、對(duì)存儲(chǔ)容量要求低且適合于WSN網(wǎng)絡(luò)的身份認(rèn)證體系。近年來(lái)，國(guó)內(nèi)外相關(guān)學(xué)者通過(guò)不斷的研究，在基于WSN網(wǎng)絡(luò)的身份認(rèn)證技術(shù)方面己取得了很大的進(jìn)展。目前，應(yīng)用于WSN網(wǎng)絡(luò)的身份認(rèn)證體系方案主要包括了：TinyPK身份認(rèn)證方案、強(qiáng)用戶(hù)身份認(rèn)證方案等。

2.2

WSN網(wǎng)絡(luò)的身份認(rèn)證體系的構(gòu)建

2.2.1 基于RSA公鑰算法的TinyPK身份認(rèn)證方案

近年來(lái)，國(guó)內(nèi)外相關(guān)學(xué)者紛紛加大了對(duì)公鑰加密算法的關(guān)注度。對(duì)于公鑰加密算法而言，它雖然在WSN網(wǎng)絡(luò)中解密操作、簽名操作等認(rèn)證過(guò)程中能量損耗較大，但是在加密操作及簽名驗(yàn)證操作時(shí)不僅速度快，而且能量損耗較小。因此，可以設(shè)想在WSN網(wǎng)絡(luò)的身份認(rèn)證中，公鑰加密算法只應(yīng)用于加密操作和簽名驗(yàn)證操作，而其他操作過(guò)程中則交由WSN網(wǎng)絡(luò)的外部組織（PE）來(lái)執(zhí)行。正是基于這種思想，Watro等人提出了一種基于低指數(shù)級(jí)（指數(shù)=3） RSA公鑰算法的TinyPK身份認(rèn)證方案。

（l） TinyPK身份認(rèn)證方案的實(shí)現(xiàn)機(jī)制。

TinyPK身份認(rèn)證方案的實(shí)現(xiàn)過(guò)程與普遍的公鑰加密算法相類(lèi)似，都需要一定的公鑰基礎(chǔ)設(shè)施（PKI）。首先，身份認(rèn)證方案需要一個(gè)認(rèn)證中心（CA），CA通常選擇工作基站，它擁有值得所有人信任的公私密鑰對(duì)，且不容易被攻擊者所利用；其次，任務(wù)進(jìn)入WSN網(wǎng)絡(luò)的第三方，必須擁有自己的公私密鑰對(duì)，且其公鑰應(yīng)經(jīng)過(guò)認(rèn)證中心的簽名認(rèn)證，并以此作為第三方的數(shù)字證書(shū)以證明其合法身份；第三，每個(gè)無(wú)線傳感器節(jié)點(diǎn)都預(yù)先裝載有CA的公鑰與相應(yīng)的軟件。TinyPK身份認(rèn)證方案中傳感器節(jié)點(diǎn)的工作流程，具體如圖1所示。

TinyPK身份認(rèn)證方案采用的是請(qǐng)求應(yīng)答機(jī)制，如圖2所示。其具體過(guò)程是：首先由外部實(shí)體（第三方）向WSN網(wǎng)絡(luò)中的某一傳感器節(jié)點(diǎn)發(fā)送請(qǐng)求信息，信息的內(nèi)容主要包括了2個(gè)方面，一是公鑰信息，即經(jīng)過(guò)認(rèn)證中心CA驗(yàn)證簽名的數(shù)字證書(shū)；二是經(jīng)過(guò)私鑰簽名的時(shí)間標(biāo)簽（可抵抗重放攻擊）和公鑰信息的檢驗(yàn)值（可保證信息的完整性）。然而，第一部分的質(zhì)詢(xún)信息將由傳感器節(jié)點(diǎn)對(duì)信息源的真實(shí)性進(jìn)行身份認(rèn)證，而第二部分質(zhì)詢(xún)信息內(nèi)容則由外部組織的公鑰間身份認(rèn)證，如時(shí)間標(biāo)簽有效以及公鑰信息的檢驗(yàn)值完全相同，則外部組織可獲得合法的身份。endprint

（2） TinyPK身份認(rèn)證方案的優(yōu)缺點(diǎn)。

TinyPK身份方案，適用于資源有限、計(jì)算力有限的WSN網(wǎng)絡(luò)中，協(xié)議只需要執(zhí)行能量消耗少、響應(yīng)速度快的簽名驗(yàn)證和數(shù)據(jù)加密操作，而其他能量消耗多、響應(yīng)速度慢的認(rèn)證操作則交由WSN的外部組織或工作基站進(jìn)行。因此具有能量消耗小、時(shí)效性高的特點(diǎn)。

該方案的主要缺點(diǎn)是，由于WSN網(wǎng)絡(luò)中的傳感器節(jié)點(diǎn)分布范圍廣，數(shù)量多，考慮到節(jié)點(diǎn)的布設(shè)環(huán)境，單一的傳感器節(jié)點(diǎn)容易被攻擊者捕獲。而在該身份認(rèn)證方案中，如果某一認(rèn)證節(jié)點(diǎn)被捕獲，攻擊者就可以通過(guò)這一節(jié)點(diǎn)以合法身份進(jìn)入，從而影響到整個(gè)WSN網(wǎng)絡(luò)的安全。因此綜合而言，該身份認(rèn)證方案的安全性不高。

2.2.2 基于ECC公鑰算法的強(qiáng)用戶(hù)身份認(rèn)證方案

針對(duì)TinyPK身份認(rèn)證方案節(jié)點(diǎn)易被捕獲且安全性不高的問(wèn)題，Benenson等人提出了一種基于ECC（橢圓曲線加密算法）公鑰算法的強(qiáng)用戶(hù)身份認(rèn)證方案。相比TinyPK方案，該方案在安全性上所做的改進(jìn)，一是通過(guò)采用具有同等安全強(qiáng)度的橢圓曲線加密算法ECC，其密鑰長(zhǎng)度更短，對(duì)密鑰的保存空間需求更低，更利于方便地進(jìn)行身份認(rèn)證和密鑰管理；二是通過(guò)采用n認(rèn)證法，以代替TinyPK身份認(rèn)證方案中的單一認(rèn)證，即使用戶(hù)通信范圍內(nèi)有多個(gè)節(jié)點(diǎn)被捕獲，其身份認(rèn)證體系仍然有效。

（l）強(qiáng)用戶(hù)身份認(rèn)證方案的實(shí)現(xiàn)機(jī)制。

強(qiáng)用戶(hù)身份認(rèn)證方案采用的是由ECC公鑰算法所提供的PKI系統(tǒng)，認(rèn)證中心CA普遍選擇工作基站。CA有一個(gè)公私鑰對(duì)，每個(gè)合法用戶(hù)都擁有一個(gè)由認(rèn)證中心CA簽名驗(yàn)證過(guò)的數(shù)字證書(shū)，且每個(gè)傳感器節(jié)點(diǎn)也預(yù)先裝載了CA的公鑰。同時(shí)，考慮到WSN網(wǎng)絡(luò)中時(shí)鐘同步較為困難，每個(gè)數(shù)字證書(shū)僅包括了公鑰，但不包括過(guò)期時(shí)間等信息，由認(rèn)證中心CA定期更換公鑰并在WSN網(wǎng)絡(luò)中傳播。

強(qiáng)用戶(hù)身份認(rèn)證方案的實(shí)現(xiàn)也是采用請(qǐng)求應(yīng)答機(jī)制，如圖3所示。其認(rèn)證過(guò)程與TinyPK方案相類(lèi)似，而主要區(qū)別在于：一是外部組織需要向其通信范圍內(nèi)的n個(gè)傳感器節(jié)點(diǎn)發(fā)送質(zhì)詢(xún)數(shù)據(jù)；二是需要由多個(gè)傳感器節(jié)點(diǎn)進(jìn)行身份認(rèn)證，方能在WSN網(wǎng)絡(luò)中獲得合法身份。

（2）強(qiáng)用戶(hù)身份認(rèn)證方案的優(yōu)缺點(diǎn)。

相比TinyPK方案，強(qiáng)用戶(hù)身份認(rèn)證方案的安全強(qiáng)度更高。其主要缺點(diǎn)是：一是能量消耗相比TinyPK方案更高；二是該方案對(duì)拒絕服務(wù)攻擊（DoS）無(wú)法有效防范，需通過(guò)輔以其他的入侵檢測(cè)技術(shù)來(lái)加以防范。

3 結(jié)語(yǔ)

目前，應(yīng)用于無(wú)線傳感器網(wǎng)絡(luò)的身份認(rèn)證體系方案主要包括了TinyPK方案和強(qiáng)用戶(hù)方案這2類(lèi)。基于WSN網(wǎng)絡(luò)的身份認(rèn)證體系的構(gòu)建，應(yīng)緊密結(jié)合WSN網(wǎng)絡(luò)的具體應(yīng)用環(huán)境，以及對(duì)網(wǎng)絡(luò)整體安全性能的要求進(jìn)行適宜的選擇。例如，在家庭控制、工農(nóng)業(yè)控制領(lǐng)域中，WSN網(wǎng)絡(luò)所在的環(huán)境較佳，應(yīng)優(yōu)先選擇能量消耗小、時(shí)效性高的TinyPK身份認(rèn)證方案；而在國(guó)防軍事、環(huán)境監(jiān)測(cè)、危險(xiǎn)區(qū)域遠(yuǎn)程控制等領(lǐng)域中，則應(yīng)優(yōu)先選擇安全強(qiáng)度更高、抵御攻擊更強(qiáng)的強(qiáng)用戶(hù)身份認(rèn)證方案。endprint