【文档说明】物联网信息安全之传感器网络安全课件.ppt，共(95)页，1.552 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-10534.html

以下为本文档部分文字说明：

物联网信息安全之传感器网络安全1目录1.传感器网络安全概述2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN密钥管理5.WSN链路层安全和路由安全2目录1.传感器网络安全概述2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN密钥管理5.WSN链路层安

全和路由安全31概述传感器网络技术特点传感器网络是由大量具有感知能力、计算能力和通信能力的微型传感器节点构成的自组织分布式网络系统。搭载各类集成化微型传感器的传感器节点协同实时监测、感知和采集各种

环境或监测对象的信息，并对其进行有限处理，最终通过自组织无线网络以多跳中继方式将所感知的信息结果传到基站节点或者基站，最终借助长距离或临时建立的基站节点链路将整个区域内的数据传到远程中心进行集成处理。节点对监控区域进行数据采集；节点与网络内节

点进行信息交互；连接网关节点，并通过网关节点连接到互联网；数据汇集与融合；管理系统根据采集到的数据对节点进行管理和控制。41概述传感器网络技术特点技术标准不统一IEEE802.15.4、IEEE802.15.4C、ZigBee及IEEE1

451等标准层出不穷。技术不成熟综合了传感器、嵌入式计算、网络及无线通信、分布式系统等多领域的技术，现有的路由协议、传感器节点行为管理，密钥管理等技术还不成熟，无法保证大规模WSN应用。成本制约了WSN的应用推广。51概述

资源节点特性传感器节点一般由传感、数据处理、通信和电源4部分组成。为降低成本，典型的传感器节点通常只有几兆或十几兆赫兹的处理能力及几十K字节的存储空间。例如，MICA2只有4KB的RAM和128KB的fla

sh。节点体积微小，电量有限，而且通常无法重新充电。例如，Imote使用三节AAA电池供电61概述网络特性自组织网络和动态路由。为减轻整个传感器网络的负担，降低通信冲突量和延迟，减少通信冗余，通常对传感器网络进行区域划分，以簇进行管理，每个簇通过基站负责簇内数据的过滤转发以及与其它簇的

通信。基站本身也是网络中的节点，也具有自组织和动态路由特性。不可靠的通信。无线通信的不可靠特性会导致数据丢失及易受到干扰。冲突和延迟。可能同时有几十个或者上百个传感器发送数据包，可能导致数据通信冲突和延

迟。71概述物理特性无人值守环境。传感器常部署在无人值守环境，可能受到人为破坏或自然环境的破坏。远程监控。通过远程监控的方式难以及时有效地发现传感器的物理损坏，也不能够及时给传感器更换电池。8传感器网络

的安全威胁传感器网络的安全威胁主要有四种类型：干扰、截取、篡改、假冒。9传感器网络的安全防护手段传感器网络的安全防护手段：信息加密数据校验（消息认证）身份认证（实体认证）扩频与跳频安全路由入侵检测10传感器网络的安全防护手段11传感器网络的安全体系结构传感器网络安全体系结

构包括4个部分：加密算法及密码分析、密钥管理及访问控制、认证及安全路由、安全数据融合及安全定位。12WSN协议栈安全WSN协议栈包括物理层、数据链路层、网络层、传输层和应用层，与互联网协议栈的五层协议相对应。WSN协议栈与互联网协议栈的不同之处在于，它

还需包含能量管理、移动管理和任务管理。使得传感器节点能够按照能源高效的方式协同工作，在节点移动的无线传感器网络中转发数据，并支持多任务和资源共享。通信安全一体化的传感器网络协议栈，是保证WSN安全性的关键。安全

一体化网络协议栈能够整体上应对传感器网络面临的各种安全危胁，并通过整体设计、优化考虑将传感器网络的各类安全问题统一解决，包括认证鉴权、密钥管理、安全路由等。13目录1.传感器网络安全概述2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN密钥管理5

.WSN链路层安全和路由安全142传感器网络面临的主要攻击传感器网络常见的攻击有：窃听、伪造、重放、DOS、物理攻击、发射攻击、预言攻击、交叉攻击、损坏；分布式被动攻击、主动攻击、拒绝服务攻击、虫孔攻击、洪泛攻击、伪装攻击、重放攻击、信息操纵攻

击、延迟攻击、Sybil攻击等。15被动攻击例如：未授权的路由包偷听；安静地拒绝执行请求的功能。可能是试图获得路由信息，攻击者可利用路由信息可以预测每个节点相对于其他节点的位置信息。这样的攻击通常不可能被发现，因为攻击者并未扰乱路由协议的操作，仅仅是试图通过

偷听路由传输来发现有用的信息。16主动攻击主动攻击意味着降低或者阻止节点间的信息传输。可导致节点间通信恶化甚至完全终止。例如：敌方执行的行为；重放攻击；篡改和删除交换数据。17拒绝服务攻击攻击者利用无

用传输使节点过载，合法请求无法得到处理，无法访问资源。发送到目标节点的包将会随机选择返回地址，源地址经常被伪造，因此目标节点很难发现精确的攻击者位置。WSN的DOS攻击有两种基本形式：多个攻击者相互合作，可设定某个指定的节点作为攻击目标，

以耗尽它的资源。一个有足够能量的攻击者可设置多个节点作为攻击目标。18虫孔攻击攻击者记录网络一个位置的一个包，通过高质量的带外链接将这个包发送到另外一个位置。这个带外链接称为隧道，建立在网络中的攻击者之间。如攻击者在节点I2上重放节点I1收到的包。

图中，攻击者可通过转发路由信息使S和D相信它们是邻居，然后有选择性地丢弃数据包使它们之间的通信中断。入侵节点传感器节点SCI1I2D图虫孔攻击：攻击者控制节点I1和I2，并利用一个低延迟链路将它们连接起来19虫孔攻击节点S将会宣告一个到达D的一跳路径，因此C将会通过S将包转发给D。在几乎

所有的基于需求的路由协议中，虫孔攻击能够通过隧道将路由请求信息直接发送到邻近目的节点的节点。因为它比其他请求更早到达。根据协议，收到的为相同的路由发送的其它路由请求信息将会被丢弃，因此这个攻击防止了其他路由被发现

，虫孔将完全控制路由。战略性地放置虫孔端点能够中断几乎所有的到达或者来自于一个特定节点和所有网络中其他节点的通信。入侵节点传感器节点SCI1I2D图虫孔攻击：攻击者控制节点I1和I2，并利用一个低延迟链路将它们连接起来20洪泛攻击在洪泛攻击中，攻击者利用路由发现的操作特性：现

存的基于请求的路由协议在每次路由发现中转发一个最先到达的请求包。如果被攻击者转发的这次路由发现的路由请求是第一个到达每个目标的邻居，那么通过这次路由发现而发现的任何路由都将包括通过攻击者的这一跳。即，当目标节点的邻居突然收

到来自攻击者的请求时，它转发这一请求，但是不会进一步转发来自这个路由发现的请求。当非攻击者的请求晚一点到达这些节点时，它们将被丢弃。因此，发起者将不能发现任何包含至两跳的可用路由（即不包括攻击者的路由）。入侵节点传感器节点受影响的节点SD图网络说明洪泛攻击21伪

装攻击一个系统实体非法伪装成另一个实体。假设节点A发送一个参考信号到它的两个邻居B和C。攻击者伪装成B，之后和C之间交换错误的时间信息，中断真正的B和C之间的时间同步处理。入侵节点传感器节点PT图网络说明伪装攻击DBQRSE（B）C

ASink22重放攻击一个有效数据传输被恶意地或者不正当地重复或延迟。例如，Alice向Bob证明身份，并出示了口令。Eve偷听了该会话，记住了该口令。交互结束后，Eve伪装成Alice向Bob发出连接请求，发送上次偷听的口令，使Bob接受。23信息操纵攻击对路由协

议最直接的攻击是瞄准节点间交换的路由信息。通过欺诈、篡改或者重放路由信息，攻击者能够建立路由回路，扩展或者缩短源路由，继而攻击或者排斥网络通信，产生假的错误信息，划分网络，增加端到端延迟等。入侵节点传感器节点AD图网络

说明消息操纵攻击QRCEPISinkSV1231、节点发送包头为（路由缓存到节点E）A-B-I-C-D-E；2、入侵者I解封包，更改包头A-B-I-C-E；3、节点C没有直达E的路由，包被丢弃B24延迟攻击

攻击者故意延迟一些时间信息，例如在参考广播同步机制（ReferenceBroadcastSynchronization，RBS）中的信标信息，这样来使时间同步处理失效。入侵节点传感器节点AD图网络说明延迟攻击QRCEPISinkSV攻击者I在时间t1接收信标信息，经过很

长一段时间tn发送25Sybil攻击在Sybil（女巫）攻击中，网络中一个单一节点扮演了多重身份。Sybil攻击会明显降低容错模式的效力，例如分布式存储、系统一致性性、多路径路由、拓扑维护等。S

ybil攻击对地理路由协议构成严重的威胁。位置感知路由通常需要节点与邻居之间交换协调信息来有效地路由地理地址包。26拜占庭攻击起源：拜占庭位于现在土耳其的伊斯坦布尔，是东罗马帝国的首都。由于当时拜占庭罗马帝国国土辽阔，为了防御目的，因此每个军队都分隔很远，将军与将军

之间只能靠信差传消息。在战争的时候，拜占庭军队内所有将军和副官必需达成一致的共识，决定是否有赢的机会才去攻打敌人的阵营。但是，军队可能有叛徒和敌军间谍，左右将军们的决定，扰乱军队整体的秩序。在进行共识时，结果并不代表大多数人的意见。这时候，在已知有成员谋反的情况下，其余忠诚的将军

在不受叛徒的影响下如何达成一致的协议，拜占庭问题就此形成。拜占庭将军问题（Byzantinefailures）又称两军问题，是由莱斯利·兰伯特提出的点对点通信中的基本问题：在存在消息丢失的不可靠信道上试图通过消息传递的方式达到一致性是不可能的。27拜占庭攻击军队与军队之

间分隔很远，传讯息的信差可能在途中路上阵亡，或因军队距离，不能在得到消息后即时回复，发送方也无法确认消息确实丢失的情形，导致不可能达到一致性。在分布式计算上，系统上协调节点（Coordinator/Commander）或成员节点（Mem

ber/Lieutanent）可能因系统错误并交换错的信息，导致影响最终的系统一致性。实际上，试图在异步系统和不可靠的通道上达到一致性是不可能的。因此对一致性的研究一般假设信道是可靠的。拜占庭将军问题根据错误节点的数量，寻找可能的解决办法（但无法找到一个绝对的答案，只可以用来验证一个机制的

有效程度）。28拜占庭攻击解决拜占庭将军问题的算法必须保证：A．所有忠诚的将军必须基于相同的行动计划做出决策。忠诚的将军按算法的要求行动，而叛徒则按他们自己的意志行动。算法要保证不管叛徒怎么做，条件A都能得到保证。忠诚的将军们不但要能达成一致，而且要同意一

个合理的计划。这就要求条件B。B．少数叛徒不能使忠诚的将军做出错误的计划。这一条是很难做到的，因为“错误的计划”很难形式地加以定义。29拜占庭攻击简化的拜占庭将军问题：一个司令要送一个命令给他的n

-1个副官，使得：IC1：所有忠诚的副官遵守同一个命令。IC2：假如司令是忠诚的，则每一个忠诚的副官遵守他送出的该命令。条件IC1和IC2称为交互一致性条件。注意，如果司令是忠诚的，IC1可以从IC2推出来。但

是，司令并不一定是忠诚的。这个问题比一般的容错问题更困难。容错针对那样一些软硬件故障，其故障效果是固定的。而拜占庭故障却假定故障节点是鲜活的，它可以做坏事。30拜占庭攻击拜占庭将军问题可能的解决办法：N：节点总数F：有问题节点总数信息在节点间互相交换后，各节点列出所有

得到的信息，以大多数的结果作为解决办法。条件在N≥3F+1的情况下一致性是可能解决。31WSN路由层攻击小结可以看到，路由层攻击是传感器网络攻击中最重要的一类。传感器网络中的每个节点既是终端节点，也是路由节点。节点之间的通信一般要

经过很多跳，这样恶意节点就有更多的机会破坏节点间的正常通信。路由层可能遭受到的攻击类型包括：1、欺骗、改变或重放路由信息锁定节点间交换的路由信息进行攻击。通过伪造、篡改或重放路由信息，敌方人员能够造成路由环路、吸引或阻塞网络流量、延长或缩短源路径，形

成虚假错误消息，以达到分割网络、增加端到端的时延等目的。32WSN路由层攻击2、HELLO泛洪攻击攻击者使用能量足够大的信号来广播路由或其他信息，使得网络中的每个节点都认为攻击者是其直接邻居，并试图将其报文转发给攻击节点，这将导致随后的网络陷入混乱之中。

3、选择转发攻击节点收到数据包后，有选择地转发或者根本不转发收到的数据包，导致数据包不能到达目的地。另一种简单方式是:恶意节点扮演一个黑洞的角色，丢弃所有收到的数据包。不过，这种攻击者冒着一定的风险，因为它们很可能会被邻节点认为该路由失

败，而寻找另外的有效路由。敌方人员只对破坏少数特定节点的正常通信感兴趣，它便可以压制或篡改这些节点发出的数据包，而完全正常的转发其余节点发送来的消息，这样，攻击者便减少了因自己非法行为而被发现的可能性。33WSN路由层攻击4、Sinkhole攻击攻击者的目标是吸引特

定区域的几乎所有的数据流通过一个已经受到入侵的节点，或者通过已被攻击者控制的被俘获节点，产生以该节点为中心的一个Sinkhole。由于基站附近区域往往交换的数据信息量最大，因此这个特定区域常常在基站附近

。因为通向Sinkhole的数据包传送路径上的节点或路径附近的节点有很多机会来篡改数据，能够吸引数据流，因此能为很多其他形式的攻击提供便利，比如选择转发攻击。34WSN路由层攻击5、虫洞攻击（Wormhole）这种攻击通常需要两个恶意节

点相互串通，合谋进行攻击。一般情况下，一个恶意节点位于基站附近，另一个恶意节点离开基站较远，较远的那个节点声称自己和基站附近的节点可以建立低时延，高带宽的链路，从而吸引周围节点将其数据包发到它这里。在这种情况下，远离基站的那个恶意节点其实也是一个Sinkhole。Wormhole攻击可以和其他

攻击，如选择转发、Sybil攻击等结合使用。35WSN路由层攻击5、虫洞攻击（Wormhole）这种攻击通常需要两个恶意节点相互串通，合谋进行攻击。一般情况下，一个恶意节点位于基站附近，另一个恶意节点离开基站较远，较远的那个节点声称自己和基站附近的节点可以建立低时延，高带

宽的链路，从而吸引周围节点将其数据包发到它这里。在这种情况下，远离基站的那个恶意节点其实也是一个Sinkhole。Wormhole攻击可以和其他攻击，如选择转发，Sybil攻击等结合使用。36目录1.传感器网络安全概述2.传感器网络面临的安全攻击3

.传感器网络节点安全4.WSN密钥管理5.WSN链路层安全和路由安全37导例：基于WSN的节点定位安全需求私密性要求，保证信标节点或传感器节点的位置消息不会暴露给未授权实体。可采用的方法是加密/信息隐藏，采用被动接收方式或保

持无线电静默。完整性要求，确保定位消息在传递中未被篡改。可用的方法如MAC、数字签名，此外还要确保信标的相关物理属性在传递中未被篡改，如采用距离界限协议、基于传输时间或覆盖范围的校验等手段；真实性要求：通过身份认证确保定位消息源的真实性。通

过位置校验机制确保定位消息的真实性。可用性要求，确保节点能按照需求及时完成定位计算，即使遭受攻击和发生故障仍能正常使用。可采用的技术包括鲁棒计算、资源冗余以及重配置等。38WSN节点安全设计一般而言，安全W

SN节点主要由数据采集单元、数据处理单元及数据传输单元三部分组成。工作时，每个节点通过数据采集单元，将周围环境的特定信号转换成电信号；然后将得到的电信号传输到整形滤波电路和AD转换电路，进入数据处理

单元进行数据处理；最后由数据传输单元将从数据处理单元中得到的有用信号以无线方式传输出去。39WSN节点安全设计传感节点，如Mica2、Mote等，一般由8位CPU、传感器、低功率的无线收发器、片外存储器、LED、I/O接

口、编程接口等组成。其中CPU内部含有Flash程序存储器、EEPROM数据存储器、SRAM、寄存器、定时器、计数器、算术逻辑单元、模数转换器（ADC）等。40WSN节点安全设计传感器节点电路和天线部分是传感器网络物理层的主要部分。安全WSN节点通常采用电池对节点

提供能量，然后电池能量有限，可能造成节点在电能耗尽时退出网络，如果大量节点退出网络，网络将失去作用。应在已有节点的基本功能基础上分析其他电路组成，测试已经有的节点的功耗及各个器件的功耗比例。综合各种节点的优点，以设计低功耗多传感器的稳定工作节点，并分析各种传感器节点的天线架构，测试其性能

并进行性价比分析，以设计可抗干扰的通信质量好的天线。41WSN节点安全设计为保证节点的物理层安全，还需解决节点的身份认证和通信安全问题，目的是保证合法的各个节点间及基站和节点间可以有效地互相通信，不被干扰或窃听。同时需研究多

信道问题，防范专门针对物理层的侧信道攻击。42WSN节点安全设计由于传感节点应用非常广泛，为了提高传感节点的灵活性，传感节点都有一个编程接口（JTAG接口），以便对传感节点重新编程，这为传感节点留下了重大安全隐患。攻击者可利用简单的工具（

ISP软件，即在线仿真编程软件，如UISP）在很短的时间内就可以把EEPROM、Flash和SRAM中的信息传输到计算机中。攻击者利用此漏洞，可：通过汇编软件方便地把获取的信息转换成汇编文件格式，从而分析出

传感节点所存储的程序代码、路由协议及密钥等机密信息，可以修改程序代码，并加载到传感节点中，从而伪造或伪装成合法节点加入到传感网络中，以达到监听、篡改传感信息，甚至是破坏整个网络可用性的目的。43WSN节点安全设计解决方案通常是在传感节点上引入一个安全存储模块S

SM（SecurityStorageModule），用于安全地存储用于安全通信的机密信息，并且对传感节点上关键应用代码的合法性进行验证，SSM可通过智能卡芯片来实现。优点一：智能卡具有简单的安全存储及验证功能，结构简单，成本低廉。优点二：对现有传

感节点的系统结构基本上不作任何改动，设计方便。若攻击者可修改传感器节点的启动代码，企图旁路SSM模块，可考虑在SSM加入自锁功能，使得传感节点无法在传感网络中进行正常的通信。加入验证程序，以密文的形式存储在节点的EEPROM中，攻击者无法获取或修改其对应

的内容，否则验证程序将无法运行，因而也就无法调用SSM模块。由于攻击者无法知道SSM将验证应用程序的哪部分代码，因此也就无法有效地进行代码修改攻击。如果对整个应用程序代码可进行完整性校验，需要考虑计算量和节点的能

量消耗。44WSN节点算法安全设计受环境限制，传感器网络节点的安全算法更多使用ECC算法，而不是RSA算法。TinyEcc是北卡罗莱纳州立大学开发提供的一个基于TinyOS，由NesC编写的椭圆曲线密码体制的基本运算库，提供在域Fp上的椭圆曲线的运算。TinyEcc密码库提供

的接口有：NN模块，实现了基本大数运算，同时也为ECC提供了一些经过优化了的基本模数运算；ECC模块提供了基本的椭圆曲线运算，如初始化一条椭圆曲线、点加、标量乘和基于滑动窗口优化的椭圆曲线运算等；操作中可调用callECC.win_mul（）方法实现滑动窗口标量乘

，它是ECC各类算法的主要运算部分。ECDSA模块则提供了签名产生和验证，实现了ECDSA签名协议。椭圆曲线密码库的工作过程分为初始化和基本操作两部分。TinyEcc系统提供了初始化椭圆曲线参数的接口CurveParam，定义了128位、160位和192位的椭圆曲线，我们可根据

传感器节点的环境资源和安全要求选择。45WSN节点算法安全设计TinyTate是由巴西坎皮纳斯大学五位学者在传感器上的Tate对运算的一个实现。基于TinyEcc所提供的椭圆曲线的基本运算，利用优化的Miller算法，在传感器网络上实现了Tate双线性对的运算，可用于属性加密算法中。46传

感器节点认证WSN常见的实体认证主要分为两类一类是基于对称密钥密码体制认证方案；一类是基于公钥的认证体制。Kerberos是基于对称密钥的认证协议。它是由MIT开发的一种基于可信赖的第三方公证的认证方案。Kerberos密钥管理采取了KDC的方式，包括用户初始认证服务器AS和许可证认证

服务器TGS。Kerberos可以提供三种安全级别：l）仅在连接初始化时进行认证；2）何条信息都认证；3）每条消息既加密，又认证。Kerberos在传感器网络感知层实现不太方便。47传感器节点认证基于公钥的认证体制要求认证双方持有第三方的认证

授权中心（CA）为客户签发的身份证明。通信时首先交换身份证明，然后用对方的公钥验证对方的签名、加密信息等等。两种主流的公钥身份认证方式是基于证书的公钥认证系统和基于身份的公钥认证系统。基于身份的公钥认证系统（基于属性的公钥认证系统）应用流程简单，比较适合于

物联网工程应用，但是它面临私钥分发问题，即认证中心掌握masterkey，负责计算使用者的私钥并分发，这必须通过一个安全的秘密通道将密钥传送给用户，这个过程并不容易。48传感器节点认证WSNTinyPK认证方案基于低指数级RSA。它需要一个可信任中心（CA），一般由基站充当这个角色。

任何想要与传感器节点建立联系的外部组织（EP）必须有公/私密钥对，同时它的公钥用CA的私钥签名，以此来建立其合法身份。TinyPK认证协议采用请求应答机制。TinyPK存在一定的缺点，一旦某个节点被捕获了，整个网络都将变得不安全。

强用户认证协议可以在一定程度上解决这个问题。它采用了密钥长度更短的ECC。认证方式不是采用传统的单一认证，而是采用n认证。传统单一认证是EP只是通过任意一个节点上的认证，则它就可以获得合法身份进入网络。n认证则要求EP至少通过其通信范围内n

个节点中若干个节点的认证，才能获得合法身份。49主流安全方案K.Jones等人提出了一个基于参数化跳频机制[26]的安全协议，能够在匿名节点构成的WSN中提供完整性、机密性和可用性等安全服务。跳频方案通常实现于一种非敌对环境下，平抑频率差异和干扰，以此保证系统

可用性。由于节点是匿名的，因此该方案不提供访问控制和抗抵赖，也不提供直接认证机制。有人针对大规模分布式无线传感网提出了局部加密认证协议（LEAP），LEAP提供了4种密钥机制以满足不同安全需求，密钥具有可扩展性。50目录1.传感器网络安全概述

2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN密钥管理5.WSN链路层安全和路由安全51WSN的密钥管理所有节点共享同一主密钥的方式不能满足传感器网络的安全需求。工程应用中可考虑以下4种WSN密钥管理方

式：（1）每对节点都共享一对密钥其优点是不依赖于基站，计算复杂度低，引导成功率为100％，被俘获节点不会威胁到其他链路。由于每个传感器节点都必须存储与其他所有节点共享的密钥，因此消耗的存储资源大、扩展性差，只能支持小规模网络。（2）每个节点分别与基站共享一

对密钥这种方式的计算和存储压力都集中在基站。优点是计算复杂度低，对普通节点资源和计算能力要求不高；引导成功率高；可以支持大规模的传感器网络；基站能够识别异常节点并及时剔除出网络。缺点是过分依赖基站，传感器节点间无法直接建立安全链接。52WSN的密钥管理（3）随机密钥预分配模型

所有节点均从一个大的密钥池中随机选取若干个密钥组成密钥链，密钥链之间拥有相同密钥的相邻节点能够建立安全通道。随机密钥预分配模式由三个阶段组成：密钥预分配；密钥共享发现；路径密钥建立。随机密钥预分配模型可以保证任何两个节点之间均以一定的概率共享密钥。密钥池中密钥的

数量越小，传感器节点存储的密钥链越长，共享密钥的概率就越大，但消耗的存储资源就越大，并且网络的安全性也越脆弱。但是，节点存储的密钥链越长，消耗的存储资源就越大。53WSN的密钥管理（4）基于位置的密钥管理在传感器节点被部署之前，

如果能够预先知道哪些节点是相邻的，对密钥预分配具有重要意义，能够减少密钥预分配的盲目性，增加节点之间共享密钥的概率。例如，对一个节点认为部署后位置最近的N个节点（N的大小由节点的内存大小决定）进行预分配对密钥。如果部署后，两个相邻节点u和v没有对密钥，就通过各自的邻居节点i建立会

话密钥（假设u、i和v、i有对密钥），然后用会话密钥加密建立u和v的对密钥。54目录1.传感器网络安全概述2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN链路层安全和路由安全55主流安全方案

TinySec是一个链路层加密机制，作为TinyOS平台上的一个安全组件，成为首先得以实用的WSN安全框架之一。TinySec主要包括分块加密算法和密钥管理机制，支持最基本的安全服务需求：访问控制、数据完整性、数据机密性，其在能量、延迟

、通信等方面的实现负载均低于10%。轻量级安全协议（Lisp）实现了高效的密钥重分配策略，在安全和能量消耗方面有较好折中。Lisp实现了认证、机密性、数据完整性、访问控制和可用性。Lisp框架的另一特色是支持入侵检测。56SPINS协议

SPINS协议是可选的传感器网络安全框架之一，是基于时间的、高效的、容忍丢包的流认证协议（microTimedEfficientStreamingLoss-tolerantAuthenticationProtocol，μ-TESLA）和

SNEP协议相结合的产物。通过μ-TESLA来完成广播的认证，再通过SNEP来完成数据保密性、完整性和新鲜性的保护57SNEP协议SNEP是一个低通信开销的简单高效的安全通信协议，其本身只是描述协议过程

，并没有规定具体加密认证等算法，因此具有较好的通用性。SNEP的机密性不仅仅体现在加密环节，还有一个重要的安全属性是语义安全，即，同一明文在不同的时刻，对于不同的上下文，经过相同的密钥和加密算法后，产生的密文也不相同

。如果窃听者己知一对明文和密文，也不能从加密的信息中推析出明文。为达到此要求，可采用随机数：在数据加密前，先用一个随机的位串处理信息。加密的格式如下：E={D}（Kenc,C）58SNEP协议SNEP提供的强新鲜性消息格式如下：A

B：NA,{DA}（Kenc,C）,MAC（Kmac,C|{DA}（Kenc,C））BA：{DB}（Kenc,C）,MAC（Kmac,NA|C|{DB}（Kenc,C））其中，D是需要传送的数据，Kenc为使用的加密密钥，C是计数器。MAC的

值是M=MAC（Kmac,C|E），其中，Kmac表示消息认证算法的密钥，C|E为计数器值C和密文E的粘接，表明消息认证码是对计数器和密文一起进行运算。Kenc和Kmac是通过主密钥K生成出来的。59SNEP协议1、节点A发送信息给节

点B节点A通过在发往节点B的消息中加入新鲜数NA的方式，实现强新鲜性的保护（NA是随机选取而且足够长的数）。节点A随机产生新鲜数NA，然后把它一起随请求信息RA发送给节点B。2、节点B接收和认证节点B对消息认证，若不成功，则将此消息丢弃；若认证成功，则节点B将在应答信息RB中加入节点A

发送给节点B的新鲜数，但预先用MAC算法进行加密。3、节点A在接收到节点B的反馈信息后，如果MAC值验证正确，节点A就知道节点B在收到了请求信息后发送了这个反馈信息。60SNEP协议使用SNEP协议完成节点间通信的一种可选方法是通过信任基站为将要通信的两个

节点建立临时的通信密钥。假设A和B都与基站S存在共享密钥KAS和KBS,安全通道的建立过程如下:SKAB是基站S为节点A和B设定的临时通信密钥,NA和NB是强新鲜认证的Nonce随机数,在节点间通信完成以后,双方可

以直接丢弃这个信任密钥。61SNEP协议传感器网络加密协议SNEP的优点：通信负载较低，计算状态存储在每个节点本身，不必在每条消息中发送，符合传感器网络的低能耗要求。语义安全，计数值足够长，能够防止窃听者从加密的信息中推断出信息原文，而且可保证在节点的生命周期内不会重复。数据认证：如果MA

C验证通过，接收者能够确认消息来自所声称的发送者。重放保护：在MAC中的计数值能够保护重放攻击。如果计数值不在MAC中，则敌方能够很容易地重放消息。弱实时性：如果消息正确验证，接收者知道这个消息是接

着前一个消息发送过来的。62TESLA协议TESLA（TimedEfficientStreamingLoss-tolerantAuthenticationProtocol）广播认证协议最初是为流认证设计，用于在Internet上进行广播、电视等单向连续媒体传输或者卫星信道数据传输等。连续的流

媒体认证需要考虑：确保发送者是唯一的信任数据源；支持成千上万的接收者；必须能够容忍数据丢失，因为用户所在的网络环境千差万别；效率足够高，以实现实时传输。这些特点决定了该协议可应用于WSN，且它使用对称

算法，对能耗的要求比较低。但它同时也存在一些局限性：TESLA发送认证广播包的时候不需要签名算法，但是在进行认证广播初始化的时候需要进行一次非对称签名；原始的TESLA要求每个数据包增加24位的认证消息，但是无线通信环境下，数据包的长度很有限，例如一共只有30位等，因此增加的认证头过长了；单

向密钥链在空间上太大，无法放在WSN感知节点中；TESLA每包都进行一次密钥公布过程，开销较大。63μ-TESLA协议μTESLA协议是WSN领域内主流的广播认证构架，是PerrigA等提出的。

协议采用了轻量级加密技术,并在广播时通过延迟公布密钥机制在使用对称密钥的情况下实现了非对称的认证要求，很大程度上契合了WSN的特点和安全需求。μTESLA协议的主要思想是先广播一个通过密钥Kmac认证的数据包,然后公布Kmac。这样就保证了密钥Kmac公布之前没有人能得到认证密钥的任

何信息,也就没有办法在广播包正确认证之前伪造出正确的广播包。μTESLA协议的运行过程包括基站安全初始化、网络节点加入安全体系和节点完成数据包广播认证3个部分。64μ-TESLA协议基站一旦在目标区域内开始工作，首先生成密钥池，确定密钥同步时钟。密钥池生成:KN是初始密钥,

F（x）是单向密钥生成函数,Ki=F（Ki+1）。注意，这里密钥的发布时间与生成次序是正好相反的，因此发布之后可以验证，但攻击者不能根据前一密钥生成。随后,基站确定密钥同步时钟的两个变量:同步时间间隔Tint和密钥发布延迟时间间隔d。密钥池的尺寸N和密钥同步周期T一般

根据实际的存储空间大小、网络生命周期以及广播频率来确定。假如密钥池密钥使用完毕，需要重新启动依次初始化和节点同步过程。基站完成广播安全初始化以后，就开始接受节点的加入。每个节点通过SNEP协议与基站建立同步。65μ-TESLA协议节点A在[i×Tint，（i

+1）×Tint]时间段内向基站S要求加入网络，过程如下：其中，NM是一个强新鲜性认证的随机Nonce；RA是请求加入的数据包；Kas是节点A与基站S之间的认证密钥；Ki是初始化密钥；Ts是当前时间；Ti是当前同步间隔的起始时间；Tint是同步间隔

；d是密钥发布的延迟时间尺寸，单位为Tint。dTTKTNKMACdTTKTASRNSAiiSMasiiSAM|||||,,||||:|:intint66μ-TESLA协议经过这样一轮的认证过程，节点将获得关于认证广播的所有消息

。节点的加入过程可以穿插在网络运行的任何时段，而认证广播的过程在基站初始化完成后进行。节点接收到基站的广播包后，通过同步时间判断，选择在基站公布认证密钥的时间接收认证密钥；接收到认证密钥后，通过Hash密钥链的计算来验证其合法性；再

根据时间标尺使用密钥验证相应时间段的广播包。67μ-TESLA协议μTESLA广播认证协议的主要缺点：（1）μTESLA协议中通信半径有限的基站限制了广播范围，而且远离基站的节点有较大时延；（2）没有考虑Hash密钥链资

源用尽的情形，此时再生新的Hash密钥链损失了系统效率；（3）密钥公布的时间间隔固定，缺乏灵活性。68多层μ-TESLA协议基本思想：预先决定和广播μ-TESLA所需要的初始参数，通过高层密钥链分发低层认证密钥链的密钥头，再由低层密钥链认证数据包。由于双层μ-TES

LA很容易扩展成多层μ-TESLA，故WSN中主要应用双层μ-TESLA。双层μ-TESLA对应的时间间隔被分为高层时间间隔和低层时间间隔。69多层μ-TESLA协议基本思想：预先决定和广播μ-TESLA所需要的初始参数，通过高层密钥链分发低层认

证密钥链的密钥头，再由低层密钥链认证数据包。由于双层μ-TESLA很容易扩展成多层μ-TESLA，故WSN中主要应用双层μ-TESLA。双层μ-TESLA对应的时间间隔被分为高层时间间隔和低层时间间隔。70SPINS的讨论在传感网络中,一个节点要加入网络,需要与基站使用SN

EP协议完成密钥初始化和同步过程,此过程是一个点对点的单播过程,对于一个规模很大的网络来说,源端认证的广播协议初始化会耗费非常大的宝贵的传感器网络资源,这一点在传感器网络的实际应用中是不现实的。因此μTESLA协议适用的网络规模受到很大限制。μTESLA并没有考虑DoS攻击的问题。恶意节点

广播错误数据包,节点会将这些数据包保存起来等待密钥公布后验证,这样将可能耗尽节点的资源。71短签名广播认证2001年，Boneh，Lynn和Shacham提出了一个短签名方案，即BLS签名，方案分为四个阶段。1.系统参数建立

（l）选择Gl，G2同为q阶的加群和乘群，Gl的生成元为P。选择双线性映射对e：Gl×Gl→G2。（2）选择哈希函数H：{0，l}→Gl，用于把消息映射到加法群Gl中的某个元素。2.生成密钥，签名者：（l）随机选取xZ*p作为自己的私钥；（2）计算y=xP，则签名者的公钥为（P，

y）。72短签名广播认证3.生成签名（需要签名的消息M{0，1}*）（1）处理需要签名的消息M，用哈希函数H把消息映射到Gl上，即H（M）Gl。（2）对消息M生成签名，签名者用私钥计算，σ=xH（M），签名为（M,σ）。4.验证签名收到签名的验证者得到（

M，σ）后，验证签名计算如下等式：e（σ,P）=e（H（M）,y）如果等式成立，则签名正确，否则签名不正确。73目录1.传感器网络安全概述2.传感器网络面临的安全攻击3.传感器网络节点安全4.WSN密钥

管理5.WSN链路层安全和路由安全74WSN安全路由的特殊需求WSN路由协议在配置网络节点拓扑结构、定义报文内容格式、识别节点身份等方面具有非常重要的作用，同时也面临很多关键问题，例如结构频繁改变的路由协议、面向应用的路由协议、

安全路由协议等问题。WSN安全路由应着重考虑如下5点需求：1.能量高效性：路由协议需要考虑有限的节点能量，算法要尽可能的减少节点的通信量。有时还要考虑负载均衡的问题以避免一些优先路径因为通信集中而导致关键节点的过早死亡。2.鲁棒性：现实的无线传感器网络工作环境大多比较恶劣，数据传输的可靠性可

能会比较低，路由信息的传递或者路由协议所需要的信息的采集（比如节点行为的检测）可能会经常出现错误，所以要求一个良好的协议必须有较好的容错机制。75安全路由设计的特殊需求3.不可否认性：在网络中一旦出现发动攻击的恶意节点或者行为异常的合法节点，需要路由协议来支持将这种异常

行为准确识别的能力，能够对发生异常行为的节点及时做出处理。4.抗攻击性：可以防范虚假路由攻击、选择性转发攻击、Sinkhole攻击和Wormhole攻击、Sybil攻击、HELLOFloods攻击、ACKspoofing攻击等。5.可扩展性：对于动态的网络拓扑变化和节点的加入退出，

协议必须做出相应的改变以减少或者消除拓扑变化对协议的性能带来的影响。当有新的节点加入时，需要考虑如何认证节点的身份，并且将新加入的节点组合到某一条路径中去；当某一条路径上的节点因为各种原因失去正常的数据转发能力时，需要考虑如何将路径重组以避免节点

退出导致的路径断裂。76WSN平面路由协议回顾Flooding（泛洪）泛洪是一种传统的路由技术，不要求维护网络的拓扑结构和进行路由计算，接收到消息的节点以广播的形式转发分组。对于自组织的传感器网络，泛洪路由是一种较直接的实现方法，但消息的“

内爆”和“重叠”是其固有的缺陷。为了克服它们，S.hedetniemi等人提出了Gossiping策略，节点随机选取一个相邻节点转发它接收到的分组，而不是采用广播形式。这种方法避免了消息的“内爆”现象，但有可能增加端到端的传输延时。77WSN平面路由

协议回顾SAR（SequentialAssignmentRouting）SAR是1999年KatayounSohrabi等人提出的一种主动型平面路由协议。在选择路径时，SAR策略充分考虑了功耗和分组优先权等特殊要求，采用局部路径恢复和多路径备份策略，避免由于

节点或链路失败而引起的重新计算路由的开销。SAR在每个节点与接收器（sink）节点间生成多条路径，维护多个树结构，每个树以落在sink节点有效传输半径内的节点为根向外生长，枝干的选择需要满足一定的QoS要求和能量储备。这一处理使大多数传感器节点可能同时属于多个树，可任选其一将采集

数据回传到sink节点。78WSN平面路由协议回顾DD（DirectedDiffusion）定向扩散专门为无线传感器网络设计，由加州大学洛杉矶分校计算机科学系的DeborahEstrin等人在DARPA的199

7-98ISAT项目完成后提出的。DD适合于对于如“给我一个特定区域的温度”这样的询问为大多数通信形式的网络。DD协议中，节点用一组属性值来命名它生成的数据，比如将地震波传感器生成的数据命名为：Type=seismic，i

d=12，timestamp=02.01.22／21:10:23，location=75-80S／100-120E。在定向扩散中路由的建立由接收器（sink）节点发起，sink节点通过广播“兴趣（Int

erest）”来寻找数据源。网络中的每个节点只了解给它发送请求的相邻节点，节点通过建立一个梯度（gradient）来转发“询问”给它的相邻节点，梯度越大则在这个方向上找到源节点的可能性就越大。在这个过程中，“兴趣”到达了源节点，一个临时的梯度

场建立了。源节点沿着梯度最大的方向传输数据到sink节点。梯度最大路径也就是功耗最低路径，也就是说定向扩散每次都寻找功耗最低的路径传输数据。这样节省了能耗，但是同时也会导致整个网络的节点能耗不均衡，使得这条功耗最低路径上的节点过早死亡。79WSN层次路由协议回顾LEACH协

议2000年麻省理工学院的WendiHeizelman等人为无线传感器网络专门设计的低功耗自适应聚类路由协议。与一般的平面多跳路由协议和静态聚类算法相比，LEACH可以延长网络生命周期，主要通过随机选择聚类首领，平均分担中继通信业务来实现。LE

ACH定义了“轮”的概念，一轮由初始化和稳定工作两个阶段组成。为了避免额外的处理开销，稳定态一般持续相对较长的时间。在初始化阶段，聚类首领是通过下面的机制产生的。传感器节点生成0和1之间的随机数，如果T大于阈值Ts则选该节点为聚类首领，计算方法如式：其中，p为节点中成为聚类首领的百

分数，r是当前的轮数。80WSN层次路由协议回顾LEACH协议一旦聚类首领被选定，它们便主动向所有节点广播这一消息。依据接收信号的强度，节点选择它所要加入的组，并告知相应的聚类首领。基于时分复用的方式，聚类首领为其中的每个成员分配通

信时隙。在稳定工作阶段，节点持续采集监测数据，传于聚类首领，进行必要的融合处理之后，发送到sink节点，这是一种减小通信业务量的合理工作模式。持续一段时间以后，整个网络进入下一轮工作周期，重新选择聚类首领。81WSN层次路由协议

回顾PEGASIS（Power-EfficientGatheringinSensorInformationSystem）PEGASIS是在LEACH的基础上发展而来。但PEGASIS中节点只同距它最近的相邻节点通信，而且每一轮只选一个节点作为聚类首领与接收器

通信。节点通过发送能量递减的测试信号发现距离自己最近的相邻节点，从而建立一条包含网络中所有节点的“链”。当聚类首领选定后，链两端的节点向链中的下一个节点发送数据，接收到数据的节点将自己的数据和接收到的数据融合，然后将融合的数据发送到下一个节点，如此一直到聚类首领。聚类首领把接收到的两

组数据和自己的数据融合后发送给接收器节点。由于当距离接收器节点较远的节点充当聚类首领时，该节点与接收器之间的通信消耗的能量过大，导致这个节点过早死亡，所以PEGASIS设置了一个距离门限，如果节点到基站的距离超过这个门限将不能成为聚

类首领。相比LEACH，PEGASIS中的节点之间的平均通信距离较短，聚类首领最多只接收两个消息，而且每一轮只有一个节点与接收器节点通信，因此PEGASIS比LEACH节能。82WSN层次路由协议回顾TEEN（thresholdsen

sitiveenergyefficientsensornetworkprotocol）依照应用模式的不同（即数据传输时机的不同），可以将无线自组织网络分为主动和响应两种类型。主动型传感器网络持续监视周围的物质现象，并以恒定速率发送监视数据；而响应型传感器网络只是在被观测变量发生突变时才

传送数据。响应型传感器网络更适合敏感时间的应用。TEEN和LEACH的路由实现机制相似，但TEEN组织的网络是响应型而LEACH是主动型。TEEN只有满足如下两个条件的时候才能发送数据：当前数据的属性值大于硬门限；当前数据的属性值与上一次发送的

数据的属性值之间的差距大于软门限。因为用户大多数情况下不需要所有的数据，所以周期性的传输数据是不必要的，因此TEEN比LEACH节省了许多的数据传输。TEEN的缺点是：如果数据的属性值一直达不到门限，节点不会发送数据，用户将接收不到网络的任何数据，并且不能得知所

有节点是否死亡。83针对路由攻击的防范攻击类型防范和检测手段虚假路由攻击加密路由信息、认证选择性转发攻击冗余路径路由、多跳确认、流量验证、基于信任值的管理机制Sinkhole攻击和Wormhole攻击基于位置信息、安全定位技术Sybil攻击链路层加密和认证、全局唯一的与基站共

享的对称密钥，唯一标识节点身份HELLOFloods攻击基于基站的身份确认、限制邻居个数ACKspoofing攻击身份认证84实现安全路由的技术路线1、基于已有的安全协议将一些安全机制与已有的路由协议相结合，以加强路由协议的安全性。

在早期的无线传感器网络安全研究中，出现了一批基本的链路层安全协议，例如TinySec、LLSP、SNEP、TESLA、LiSP和LEDS等等。优点：这些安全协议与高层的路由协议有着较好的兼容性，通过在链路层实现加密和身份认证，保证了路由引导阶段和通信过程的

安全。缺点：无法对网络中出现的恶意节点做出有效的识别和判断，不能及时的对攻击行为做出响应，属于一种被动的安全措施。措施：在网络层附加更强的安全机制来保证路由的安全性。85实现安全路由的技术路线2、基于节点信誉模型对无线传感器网络发动攻击的节点分为两

大类：一类是身份未得到合法验证的攻击者，这类攻击者一般称作外部攻击者。因为其身份的合法性未得到验证，所以无法通过正常的通信方式发动对网络的攻击，针对这一类攻击者可以通过链路层加密和身份验证方式做到有效防护；另一类是攻击者通过某种手段（例如破解了网络的密钥体系，或者通过俘获正常节点）能

够与网络中的其他节点进行合法的通信，这类攻击者一般称作内部攻击者。因为它们能够与其他节点正常通信，所以很难通过加密和身份验证的方式进行防范，所以这类攻击者的危害更大。对付内部攻击者，往往要采取恶意行

为识别的手段，通过建立节点行为的信誉制度，对每一个节点的行为进行信誉的评价来区分恶意节点。建立节点信誉模型有很多种方式，大多采取统计节点异常行为的策略，并结合一定的数学模型例如Beta分布和高斯分布模型，通过前期统计的关于节点行为

好坏的先验知识，利用贝叶斯公式推导出后验经验，来预测下一次交互行为成功的概率。86实现安全路由的技术路线3、基于节点匿名机制节点匿名问题是针对被动攻击的出现提出的。被动攻击是通过对网络信息进行窃取和

分析，进而得到节点之间的通信关系和关键路由节点的位置，然后针对目标网络中关键部位发动其他攻击。为防范这种被动攻击，需对节点的身份、位置、路由信息等进行一定的处理，使攻击者难以获得这些信息，从而无法找到攻击的着力点。节点匿名

一般通过假名机制结合随机行走路由、环路由、广播路由等方式进行数据转发。现有节点匿名机制缺乏高效的密钥机制，并且路由方案的开销比较大，不适合大量节点的网络，有关研究尚处于起步阶段，技术不够成熟。87实现安全路由的技术路线4、采用入侵检

测和入侵容忍无线传感器网络的分布式计算特点为入侵检测提供了良好的条件，通过节点之间的监测和协作，能够及时的发现和定位恶意节点。入侵容忍策略可以将恶意节点的损害限制在一个很小的范围之内。入侵检测和

入侵容忍通常结合负载均衡和去冗余的策略来解决能量消耗问题。如基于冗余多路径的路由算法。如入侵容忍路由协议（Intrusion-tolerantroutingprotocolforwirelesssensornetworks,INSENS）88实现安全路由的技术路线其它：基于位置的可信传感网

络路由协议（Trustedroutingforlocationawaresensornetworks,TRANS）89基于节点信誉模型的安全路由由于传感器节点互相之间是独立的，而善意的或者恶意的行为的发生并不一定是连续的，同时由于传感器网络脆弱的信道带来的不稳定通信可能造成正常节点的功能受

到影响。用Xij表示节点i保存的关于节点j的信誉，即通过i观测j得到的对j的评价。假设有传感器节点i和节点j，传感器信誉的具体表现可以描述如下：在m+n次交互中，有m次成功，n次失败，则成功的比率M/（m+n）可以视作在此次交互过程中传感器节点i观测

到的j的信誉变量的一个样本。随着交互的进行，不断取得样本，进而可以根据样本来估计下一次i与j交互中j的信誉程度。90基于节点信誉模型的安全路由根据Josang等人观点，将传感器节点的信誉描述为服从高斯分布的随机变量。定义：如果随机变量X的概率密度函数为其中μ和σ为常数，则X服从高斯

分布，记为:X~N（μ,σ2），称此X为正态随机变量。91基于节点信誉模型的安全路由在基于高斯分布的传感器网络信誉系统中，节点i保存节点j的信誉通过下面的等式表示：Xij=N（μij,σij2）其中，μij和σij2分别表示节点i对节点j的信誉和方差。则节

点i对节点j的信誉值可以用Xij的数学期望来表示，即μij。92基于节点信誉模型的安全路由GRFSN模型步骤：1.初始化1.传感器网络刚部署之时还没有通信，节点i要对所有的邻居节点j赋初值，由于没有先验知识，对邻居节点不能完全信任，

也不能完全不信任。所以将信任值初始化为0.5，将方差也初始化为0.5。2.直接信誉更新假设在一个时段中节点i和节点j执行了m+n次事件，其中m次成功和n次失败，则这组事件在[0,1]区间上满足高斯分布：即，μ=t=m/（m+n），σ2=t（1-t）初始化的时候将信

任值初始化为0.5，方差也初始化为0.5，表示“初始化信誉为0.5”这个事实具有最大的不确定性。经过叠代，方差σ2<=0.25。93基于节点信誉模型的安全路由步骤：1.间接信誉更新1.如果节点只依靠直接信誉，从直观来看，

节点自己的主观因素较多，也许某个邻居节点正巧在和它交互的时候出现问题，在别的时候不会出现问题，这样未免就会冤枉一个好的节点。所以还需要引入第三方节点的意见。2.节点i保存的节点j的间接信誉就是节点i通过第三方节点k获取的在

节点k保存的节点j的直接信誉，间接信誉同样有迭代更新的过程。3.虽然节点i的所有直接信息都是可靠的，但是间接的信息未必是可靠的，所以考虑节点i应该把从信誉好的节点处得到的间接信息赋予更高权重，体现节点i对该节点的信任。94安全路由中的异常行为检测内部恶意节点发起的选择性转发攻击

和自私节点的丢包行为：检测模式：采用ACK回传机制，节点i将数据包发送给下一跳节点j之后，如果在一段时间内收不到节点j回传的ACK，则认为j涉嫌丢包攻击。对于内部恶意节点发起的能源耗尽攻击：检测模式：如果节点i在一段时间内接收到同一个节点j发送的消息数量超过一定的阈值，则认为j

涉嫌能源耗尽攻击。对于内部恶意节点发动的重放攻击：检测模式：如果节点i在一段时间内收到同一个节点j发送的相同消息数量超过一定阈值，则认为j涉嫌重放攻击；对于内部恶意节点发起的路由表溢出攻击：检测模式：如果节点i在一段时间内接收

源节点j发起的路由请求数量超过一定阈值，则认为j涉嫌路由表攻击；95