超宽带物联网信息安全策略

　　超宽带（UWB）技术起源于20世纪50年代末，此前主要作为军事技术在雷达探测和定位等应用领域中使用。美国FCC（联邦通信委员会）于2002年2月准许该技术进入民用领域，用户不必进行申请即可使用，FCC已将3.1GHz～10.6GHz频带向UWB通信开放，IEEE也专门制定了IEEE 802.15.3系列标准来规范UWB技术的应用。

　　1 UWB的应用优势

　　UWB作为一种重要的超宽带近距离通信技术在需要传输宽带感知信息的物联网应用领域具有广阔的应用前景。与现有无线通信技术相比，UWB通信技术的主要特点有：

　　（1）低成本

　　UWB产品不再需要复杂的射频转换电路和调制电路，它只需要一种数字方式来产生脉冲，并对脉冲进行数字调制，而这些电路都可以被集成到一个芯片上。因此，其收发电路的成本很低，在集成芯片上加上时间基和一个微控制器，就可构成一部超宽带通信设备。

　　（2）传输速率高

　　为确保提供高质量的多媒体业务的无线网络，其信息速率不能低于50Mbit/s。在用商品中，一般要求UWB信号的传输范围为10m以内，再根据经过修改的信道容量公式，其传输速率可达500Mbit/s，是实现无线个域网的一种理想调制技术。UWB以非常宽的频率来换取高速的数据传输，并且不单独占用现在的频率资源，而是共享其他无线技术使用的频带。

　　（3）空间容量大

　　UWB无线通信技术的单位区域内通信容量可超过每平方米1000kbit/s，而IEEE 802.11b仅为每平方米1kbit/s，蓝牙技术为每平方米30kbit/s，IEEE 802.11a也只有每平方米83kbit/s，可见，现有的无线技术标准的空间容量都远低于UWB技术。随着技术的不断完善，UWB系统的通信速率、传输距离及空间容量还将不断提高。

　　（4）低功耗

　　UWB使用简单的传输方式发出的是瞬间尖波形电波，即所谓的脉冲电波——直接发送0或1脉冲信号出去，脉冲持续时间很短，仅为0.2ns～1.5ns，由于只在需要时发送出脉冲电波，因此UWB系统的功耗很低，仅为1mW～4mW，民用的UWB设备功率一般是传统移动电话或者无线局域网所需功率的1/10～1/100左右，大大延长了电源的供电时间。UWB设备在电池寿命和电磁辐射上，相对于传统无线设备有着很大的优越性。

　　2 UWB面临的信息安全威胁

　　由于UWB网络独特特征，致使网络非常脆弱，更易受到各种安全威胁和攻击。而传统加密和安全认证机制等安全技术虽能在一定程度上避免UWB网络中的入侵，但是面临的信息安全形势依旧严峻。

　　（1）拒绝服务攻击 

    拒绝服务攻击是使节点无法对其它合法节点提供所需正常服务的攻击。在无线通信中，攻击者的攻击目标可以是任意的移动节点，且攻击可以来自于各个方向，拒绝服务攻击可以发生在UWB网络的各个层。在物理层和媒体接入层，攻击者通过无线干扰来拥塞通信信道；在网络层，攻击者可以破坏路由信息，使网络无法互连；在更高层，攻击者可以攻击各种高层服务。拒绝服务攻击的后果取决于UWB网络的应用环境，在UWB网络中，使中心资源溢出的拒绝服务攻击威胁甚小，UWB网络各个节点相互依赖的特点，使得分布式的拒绝服务攻击威胁更为严重。如果攻击者有足够的计算能力和运行带宽，较小的UWB网络可能非常容易阻塞，甚至崩溃。在UWB网络中，剥夺睡眠攻击是一种特殊的拒绝服务攻击，攻击者通过合法方式与节点交互，其唯一目的就是消耗节点的有限电池能源，使节点无法正常工作。

　　（2）密钥泄露

　　在传统公钥密码体制中，用户采用加密、数字签名等来实现信息的机密性、完整性等安全服务。但这需要一个信任的认证中心，而UWB网络不允许存在单一的认证中心，否则单个认证中心崩溃将造成整个网络无法获得认证，而且被攻破认证中心的私钥可能会泄露给攻击者，致使网络完全失去安全性。

　　（3）假冒攻击 

    假冒攻击在UWB网络的各个层次都可以进行。它可以威胁到UWB网络的所有结构层。如果没有适当的身份认证，恶意节点就可以伪装成其他信任的节点，从而破坏整个网络的正常运行，Sybil攻击就是这样的一种攻击。如果没有适当的用户验证的支持，在网络层，泄密节点就可以冒充其它被信任节点攻击网络（如加入网络或发送虚假的路由信息）而不会暴露；在网络管理范围内，攻击者可作为超级用户获得对配置系统的访问；在服务层次，一个恶意用户甚至不需要适当的证书就可以拥有经过授权的公钥。成功的假冒攻击所造成的结果非常严重。一个恶意用户可以假冒任何一个友好节点，向其它节点发布虚假的命令或状态信息，并对其它节点或服务造成永久性的毁坏。同时UWB网络这些安全缺陷也导致在传统网络中能够较好工作的安全机制如加密和认证机制、防火墙以及网络安全方案，不能有效适用于UWB网络。

　　（4）路由攻击

　　路由攻击包括内部攻击和外部攻击。内部攻击源于网络内部，这种攻击对路由信息将造成很大的威胁。外部攻击中除了常规的路由表溢出攻击等外部攻击外还包括隧道（tunnel）攻击，睡眠剥夺攻击，结点自私性攻击等针对移动自组网的独特攻击。

　　3 媒体接入控制安全策略

　　与传统有线网络相比，无线网络的安全问题往往是出乎预料的，而分布式无线网络更因为各种各样的应用和使用模式，安全问题更加复杂。 

　　3.1 安全性规范

　　针对UWB应用过程中容易发生的信息安全问题，国际标准化组织（ISO）接受了由WiMedia联盟提出的“高速率超宽带通信的物里层和媒体接入控制标准”，即ECMA-368（ISO/IEC26907），规范了相应的安全性要求。

　　（1）安全级别 

    ECMA-368（ISO/IEC26907）标准定义了两种安全级别:无安全和强安全保护。安全保护包括数据加密，消息认证和重播攻击防护；安全帧提供对数据帧，选择帧和控制帧的保护。 

    （2）安全模式 

    安全模式指是否一个设备被允许或者被需要建立与其他设备进行数据通信的安全关系。ECMA-368（ISO/IEC26907）标准定义了三种安全模式，用于控制设备间的通信。两台设备通过四次握手协议来建立安全关系，一旦两台设备建立了安全关系，它们将使用安全帧来作为帧传输，如果接受方需要接受安全帧，而发送方无安全帧，那么接受方将丢弃该帧。 

    安全模式0定义了数据传输时使用无安全帧的通信方式，并且与其它设备建立无安全关系的通信方式。在该模式下，如果接受到安全帧，MAC层将直接丢弃该帧。 

    安全模式1定义了数据传输时与安全模式0下的设备进行数据通信，或者与未建立安全关系的处于安全模式1下的设备进行数据通信，或者在特定帧的控制下与处于安全模式1下并建立安全关系的设备进行通信。否则将丢弃数据。 

    安全模式2不与其它安全模式的设备进行通信，将通过四次握手协议建立安全关系。 

    （3）握手协议 

    四次握手协议使得两台具有共享主密钥的设备进行相互认证，同时产生PTK(Pair-wise Transient Key)来加密特定的帧。 

    （4）密钥传输 

    在成功地四次握手并建立安全关系后，两台设备开始分发各自的GTKs( Group Transient Key )。GTK用于组播通信时，对传输数据的加密。每个GTK的分发是通过四次握手中产生的PTK进行加密后再传送。

　　3.2 信息接收与验证

　　在信息接收过程中，接收帧时，MAC子层信息处理流程如图1所示。

图1  信息接收过程中MAC子层信息处理流程

    帧重发保护接收拥有有效的FCS和MIC的安全帧时，信息接收流程为：从接收帧中萃取出SFN，将其与此帧所用临时密钥的重发计一数器的值作比较。如果前者小于等于后者，接收者MAC子层丢弃此帧。MLME提交MLME-SECURITY-VIOLATION，它的ViolationCode设为REPLAYED_RAME。否则，接收者将接收到的SFN赋给相应的重发计数器。不过，使用此SFN更新重发计数器前，接收者应确保此帧已通过FCS验证，重发预防和MIC确认。

　　3.3 MAC层的信息安全传输机制

　　UWB系统中，MAC层的信息安全传输功能主要包括以下几个方面：

　　通过物理层，在一个无线频道上与对等设备进行通信；
　　采用基于动态配置(reservation-based)的分布式信道访问方式；
　　基于竞争的信道访问方式；
　　采用同步的方式进行协调应用；
　　提供在设备移动和干扰环境下的有效解决方案；
　　以调度帧传送和接收的方式来控制设备功耗；
　　提供安全的数据认证和加密方式；
　　提供设备间距离计算方案。

　　UWB 的MAC层是一种完全分布式的结构，没有一台设备是处于中心控制的角色。同时所有的设备都具有上述八种功能，并且根据应用的不同可以选择性的使用这八种功能。分布式环境中，设备间通过信标帧的交换来识别。设备的发现、网络结构的动态重组和设备移动性的支持都是通过进行周期性的信标传输来实现的。

{$page$}

　　4 拒绝服务攻击防御策略 

    最初，拒绝服务攻击是针对计算机网络系统的，随着通信技术的发展，现在已经有针对所有通信系统的发展趋势。由于UWB是一种开放的分布式网络，没有中央控制，所以基于UWB的物联网在运营过程中受到拒绝服务攻击的概率就大大增加。

　　4.1 UWB拒绝服务攻击原理

　　拒绝服务是指网络信息系统由于某种原因遭到不同程度的破坏，使得系统资源的可用性降低甚至不可用，从而导致不能为授权用户提供正常的服务。拒绝服务通常是由配置错误、软件弱点、资源毁坏、资源耗尽和资源过载等因素引起的。其基本原理是利用工具软件，集中在某一时间段内向目标机发送大量的垃圾信息，或是发送超过系统接收范围的信息，使对方出现网络堵塞、负载过重等状况，造成目标系统拒绝服务。由于在实际的网络中，由于网络规模和速度的限制，攻击者往往难以在短时间内发送过多的请求，因而多采用分布式拒绝服务攻击的方式。在这种类攻击中，为提高攻击的成功率，攻击者需要控制大量的被入侵主机。为此攻击者一般会采用一些远程控制软件，以便在自己的客户端操纵整个攻击过程，如图2所示。

图2  UWB拒绝服务攻击流程

　　需要注意的是，在利用入侵主机继续进行扫描和攻击过程中，采用分布式拒绝服务的客户端通常采用IP欺骗技术，以逃避追查。

　　4.2 UWB网络中拒绝服务攻击类型 

    在UWB网络中，拒绝服务攻击主要有两种类型:MAC层攻击和网络层攻击。 

    在MAC层实施的拒绝服务攻击，实施这类攻击主要有两种方法，一是拥塞UWB网络中的目标节点设备使用的无线UWB信道，致使UWB网络中的目标节点设备不可用；二是将UWB网络中的目标节点设备作为网桥，让其不停地中继转发无效的数据帧，以耗尽UWB网络中的目标节点设备的可用资源。

　　在UWB网络层实施的攻击也称为UWB路由攻击，其主要攻击方法措施有：

　　UWB网络的多个节点通过与UWB网络中的被攻击目标节点设备建立大量的无效TCP连接来消耗目标节点设备的TCP资源，致使正常的连接不能进入，从而降低甚至耗尽系统的资源；

　　UWB网络的多个节点同时向UWB网络中的目标节点设备发送大量的伪造的路由更新数据包，致使目标节点设备忙于频繁的无效路由更新，以此恶化系统的性能；

　　通过IP地址欺骗技术，攻击节点通过向路由器的广播地址发送虚假信息，使得路由器所在网络上的每台设备向UWB网络中的目标节点设备回应该讯息，从而降低系统的性能；

　　修改IP数据包头部的TTL域，使得数据包无法到达UWB网络中的目标节点设备。

　　4.3 UWB网络中拒绝服务攻击防御措施 

    针对UWB网络中基于数据报文的拒绝服务攻击，可以采用路由路径删除措施来防止UWB洪水拒绝服务攻击。 

    当攻击者发动基于数据报文的UWB洪水攻击行为时，发送大量攻击数据报文至所有UWB网络中的节点。作为邻居节点和沿途节点是难以判别攻击行为的，因为节点无法判断数据报文的用途。但作为数据报文的目标节点，就比较容易判定了。当目标节点发现收到的报文都是无用的时候，它就可以认定源节点为攻击者。目标节点可通过路径删除的方法来阻止基于数据报文的UWB洪水攻击行为。

　　具体实施步骤是：当UWB网络中的目标节点发现源节点是攻击者时，由目标节点生成一个路由请求（RRER）报文，该报文中标明目标节点不可达，目标节点将这个RRER报文发送到攻击者。当RRER到达攻击者时，它就会认为这条路由己经中断，从而将这条路由从本节点路由表中删除，这样它就无法继续发送攻击报文了。如果它还要发送，就必须重新建立路由。此时，目标节点已经识别该节点为攻击者，对它发送的RREQ报文不回答RREP，这样就无法重新建立路由。通过这种方式，只要被攻击过的节点都会拒绝与攻击者建立路由。如果攻击者不断发动基于数据报文的UWB拒绝服务攻击，拒绝与其建立路由的节点就会越来越多，最终所有节点都拒绝与其建立路由，攻击者就会被隔绝于UWB网络，从而阻止了基于数据报文的UWB拒绝服务攻击。

　　5 结语

　　随着物联网应用领域的不断拓展，对于物联网末端感知信息的需求会不断增加，在物联网末端的信息感知网络中应用UWB技术具有越来越重要的意义。当前对于UWB应用过程中的信息安全机制虽然有一定的研究，但是基本处于初级阶段，还需要针对物联网的运营环境和面临的新型信息安全威胁进行更加深入的研究，以满足物联网产业日新月异的发展需要。