基于信任模型使用隨機分散路由的安全數據收集協議*

顧偉剛，馬 征，2，王國軍*

(1.中南大學信息科學與工程學院，長沙 410083;2.湖南大學信息科學與工程學院，長沙 410082)

無線傳感器網絡(WSNs)是由一組傳感器節點以Ad Hoc方式構成的無線網絡，其目的是協作地感知、采集和處理網絡覆蓋地理區域中感知對象的信息，并發送給觀察者［1］。由于其具有部署靈活、維護簡單等特點而在事件監測、軍事監控、氣候預測等方面有著廣泛的應用前景。而WSNs通常部署在無人維護、不可控制的環境中，使其除了具有一般無線網絡所面臨的信息泄露、信息竄改、重放攻擊、拒絕服務等多種威脅外，它還面臨傳感節點容易被攻擊者物理操縱，并獲取存儲在傳感節點中的所有信息，從而控制部分網絡的威脅。所以路由安全問題始終是傳感器網絡的研究熱點。

近年來，學術界已提出了一些安全路由協議［2］，但是這些路由協議一般采用多路徑路由、身份認證、認證廣播等機制來抵御攻擊。加密安全機制不能有效解決上面提到的攻擊手段［3］，因為一旦傳感器節點被破壞，攻擊者將很容易獲得該節點的加密、解密密鑰，即便攻擊者不知道密鑰，也可以使用拒絕服務攻擊。使用多路徑路由(如文獻［4－6］)也不能有效地解決上述攻擊手段，事實證明節點不相交的多路徑路由是很難實現的［7］。如果給定網絡拓撲結構，那么基于該結構的路由算法也是固定的，路徑是由路由算法確定的，也就是說如果路由算法確定了，路由路徑也就確定了。如果路由算法泄露了，攻擊者可以計算出任意源節點和目的節點的路徑，精確地破壞或阻塞每次路由過程中的重要節點，從而攔截每一份信息。

文獻［8］提出了一種產生隨機分散多路徑路由的機制，如圖1，使用(T，M)門限秘密共享機制把數據包分割成M份，每一小份數據再通過隨機分散路由發送出去，這樣即使路由算法暴露了，攻擊者也無法精確地、完整地截獲數據包信息。而sink節點只要得到T份數據，便可恢復原始信息。但是該算法存在以下問題:

(1)如果數據在正常路由階段遭到攻擊，那么此機制并不能保證sink節點獲得正確的結果。對于這類問題，可以使用基于目擊者模型［9］的數據融合算法來處理，并假設這類問題已得到解決，本文其他部分不再對其討論。事實上文獻［10］使用直接投票機制對目擊者模型做了較大改進，使其更加健壯、安全、可靠;

(2)只考慮了單個源節點的情況，現實世界中，往往有多個節點同時監測環境并發送數據，經過路由后發送到融合節點，數據經融合后再發給sink節點或基站。在小份數據中加入源節點ID字段可以解決此問題，本文其他部分不再做詳細討論;

(3)只考慮了產生黑洞［11］的攻擊手段，如圖2，如果路由轉發路徑中有復制節點存在，攻擊者就可以任意操縱復制節點篡改數據，從而對sink節點恢復數據的過程產生影響。即使sink節點最后能得到T份數據，也無法恢復原始信息，這不僅不能保證網絡的安全性，整個網絡節點的能量也會產生巨大損耗。

圖1 WSNs：隨機分散路由過程

圖2 受到復制節點攻擊的路由過程

本文主要討論在隨機分散路由過程中如何避免節點復制攻擊:攻擊者通過妥協攻擊竊取傳感器節點的密鑰信息及各種參數，一旦攻擊者掌握了這些信息，便可以復制出一系列這樣的節點，并作為偽節點加入原有網絡。如果這些復制節點(妥協節點及其復制節點)沒有被發現，攻擊者將進一步對網絡發起攻擊，或者利用多個復制節點發布虛假信息，這種通過節點復制方式進行的攻擊會導致整個網絡數據的安全性和準確性遭到破壞和降低。

1 網絡環境及假設

為了更好地闡述本文提出的路由算法，提出如下假設:①每個傳感器節點編號(ID)唯一;投放后節點能識別自身所在的地理位置;②妥協節點及其復制節點使用相同的ID來標識，文獻［12］描述的方法使攻擊者用任意ID將復制節點注入網絡變得難以實現;③復制節點與正常節點工作方式相同，節點的任何異常行為，例如拒絕申報所在位置，都將被其鄰居節點揭發;④所有傳感器節點都是時間同步的。

2 算法描述

本文最大的貢獻是基于節點行為信任模型和節點復制檢測機制，提出了一種改進的隨機分散路由算法，且使無線傳感器網絡能抵御節點復制、節點損壞和拒絕服務攻擊。本節將詳細描述此算法。

圖3描述了WSNs中安全信息傳輸的三個階段:門限加密階段，隨機分散路由階段，正常路由到sink節點。感知傳感器監測環境因素、參數，當一個節點想給sink節點或基站發送數據時，首先把大數據經(T，M)－門限加密(如 Shamir算法［13］)切割成 M 小份。接著每一小份隨機選擇下一跳轉播，下一跳將按照同樣的方式隨機再選擇下一跳轉播等等。每一小份數據中攜有一個TTL字段。TTL字段表示隨機轉播的次數，此字段值由源節點給出。每轉播一次，此TTL字段值減1，當TTL值為0時，將會結束隨機轉播過程并且開始使用單路徑路由轉播數據。

圖3 WSNs：改進的隨機分散路由過程

為了抵御復制節點攻擊，本文在隨機分散路由階段引入了沖突檢測和節點行為信任模型，具體算法描述如下:

步驟1:簇的形成:在LEACH算法［14］中加入節點信任等級，改進簇頭選擇時閾值I的計算方法，閾值的大小由下式確定:

其中:p是網絡中簇頭所占比例，r是目前進行的回合次，G是在最后1/p輪中沒有成為簇頭的節點集合，ri(t)是節點i的信任等級，TH0是信任閾值。除閾值外，此階段簇頭選舉過程與LEACH算法相同。當簇頭選定后，向其他節點廣播自己成為簇頭的消息，其他節點根據接收到消息信號的強度來決定加入哪個簇。

步驟2:位置信息發送期:各節點向周圍鄰居節點廣播位置信息，由鄰居節點在簇內隨機選擇若干節點將位置信息發送出去。

步驟3:沖突檢測期:節點檢查是否收到重復的位置信息，一旦發現立即報告給簇頭。檢測期結束，各節點立即清空接收到的位置信息以節約存儲空間。

步驟4:位置信息融合期:各簇頭節點有序融合節點位置信息并隔離所發現的復制節點。2.1節將詳細介紹如何在簇形成后檢測并隔離復制節點。

步驟5:隨機分散路由期:初始化節點信任值，信息隨機轉播。簇頭節點使用節點行為信任模型(將在2.2節詳細介紹)定期計算出各個節點的信任值并廣播給簇內節點。當前節點根據上一跳節點的信任值決定是否接收或轉播數據。

2.1 節點復制攻擊檢測

網絡分簇后，節點開始向周圍的鄰居節點廣播帶有簽名的位置信息。鄰居節點判斷接收到的位置信息是否來自同一簇，如果不是則丟棄。對位置信息進行簽名認證后，鄰居節點在簇內隨機選擇若干節點作為目的地將位置信息發送出去，被隨機選中的節點稱為證人節點［15］。簇內每個節點既向外發送位置信息同時自身也接收位置信息。

證人節點接收位置信息，認證簽名后將其存儲;檢查之前接收到的所有位置信息，一旦發現其中有ID相同而位置不同的位置信息，便成功找到一個關于此ID的復制節點，并報告簇頭節點進而將簇內所有使用該ID的節點隔離?！吧浙Ｕ摗保?6］確保一定數量的證人節點能夠實現以上過程。

假設節點α遭到攻擊者妥協，攻擊者將若干個α節點的復制節點注入網絡;設恰好有G個復制節點落入節點α所屬的簇，并在簇內分布于G個不同的地理位置;設每個節點平均有t個同簇的鄰居節點，鄰居節點隨機選擇m個證人節點作為位置信息的接收地。由于有可能發生重復選擇，任一節點的實際證人節點總數將小于或等于t·m。

復制節點能否被檢測出來，取決于簇內是否有復制節點選擇了相同的節點作為證人節點。設整個網絡有n個節點，分為k個簇;設G個復制節點的證人節點都不相同的概率為P，依據“生日悖論”的推導公式有:

因此，G個復制節點的證人節點至少有一個相同的概率為:

單個非簇頭節點收到70個位置信息時，檢測率可達90%。由以上過程可以看出，當節點數目、分簇數目和復制節點個數固定時，增加證人節點數目和增加鄰居節點數目都可以提高簇內復制節點的檢測概率。由于傳感器網絡是一種資源受限的網絡，在本文中只對網絡做簇內局部檢測，找出復制節點并進行隔離。

2.2 節點行為信任模型

所謂信任模型，是指通過節點本身及與其他節點交互的歷史來建立量化的評價體系，以信任值度量節點的可信程度。網絡節點信任不僅包括對節點的身份信任，也包括對節點的行為信任。

在無線傳感器網絡中，參與路由的傳感器節點的行為(即節點的輸出數據)不僅與節點本身的歷史有關(時間相關)，還與同區域內其他節點的數據相關(空間相關)。并且節點行為特征隨時間的變化規律具有某些統計特征。

若傳感器網絡中某一區域參與路由的傳感器集合為S=(S1，S2，…，Sn)，Zi(k)表示k時刻傳感器Si的輸出。假設系統可用如下狀態方程和輸出方程描述:

其中:Φ(k)，G(k)，H(k)分別表示狀態轉移矩陣、過程噪聲分布矩陣及輸出矩陣，式(5)中省略了各傳感器編號的下標;V(k)和W(k)分別表示具有零均值和正定協方差矩陣的高斯噪聲向量。采用Kalman濾波算法進行狀態更新。

文獻［17］詳細介紹了這一過程，作者使用相似度矩陣和傳感器節點兩兩之間的標準化方差來計算各個節點的信任值，并根據需要劃分信任閾值。在隨機分散路由轉播過程中，當前節點將根據上一跳節點信任值來決定是否接收并轉播數據。

3 分析及模擬

考慮一個200 m×200 m的正方形場景，如圖4，傳感器均勻隨機分布。正方形的中心是坐標原點，黑洞區域是被損壞節點的外接圓，Re表示黑洞的半徑，網絡中傳感器節點個數NN=2000。sink節點和黑洞中心的坐標分別為:(100，0)和(50，0)。每個傳感器的感知半徑Rh=10 m。在網絡啟動后，任何經過此圓的路由都是易受攻擊的，假設經過黑洞(半徑是10 m的圓形區域)的數據包全部被攻擊者攔截。

圖4 模擬網絡場景

隨機轉播階段之后，每一小份數據都以最小跳數傳遞給sink節點。文獻［7］提出了四種隨機轉播機制，本文采用結果最優的DRP(定向隨機轉播)機制。由于本文引入了沖突檢測機制和節點行為信任模型，因此稱該機制為Trust-DRP(簡稱T-DRP)。

源節點的坐標是(－50，0)，網絡中復制節點的概率是2%。圖5和圖6分別表示隨著TTL值(N)和小數據包份數(M)的增加，信息攔截概率的變化情況?？梢钥吹剑瑑煞N情況下攔截概率均隨著M、N的值增大而降低。圖7表示隨著黑洞半徑(Re)的增加，信息攔截概率的變化情況?？梢钥吹剑瑑煞N情況下攔截概率均隨著黑洞半徑的增大而升高。

圖5 信息攔截概率隨TTL值變化

圖6 信息攔截概率隨M值變化

圖7 信息攔截概率隨Re值變化

圖8 信息篡改概率隨TTL值和M值變化

圖8表示隨著TTL值(N)的增加及M值的變化，信息篡改概率的變化情況?？梢钥吹?，隨著N值的增大信息被篡改的概率也在升高，而M值的變化對概率影響并不大。因此在后面的模擬中，本文只觀測各項指標隨N值的變化情況;另外，T-DRP的結果明顯好于DRP，因為在隨機路由過程中，信任模型會計算各節點的信任值，并對信任值低于信任閾值的節點進行隔離。圖9表示隨著TTL值(N)的增加，平均無效轉播概率的變化情況?？梢钥吹?，隨著TTL值(N)的增加概率也在升高，T-DRP的概率明顯低于DRP，因為在檢測到上一跳節點不可信時，當前節點會直接丟棄小份數據。圖10表示隨著TTL值(N)的增加，sink節點收到篡改小數據個數的變化情況，T-DRP的結果明顯好于DRP，sink節點很可能會使用被篡改的小份數據恢復原始信息，這不但無法恢復原始信息，在某些精密計算中還會造成嚴重后果。

圖9 平均無效轉播概率真隨TTL值變化

圖10 平均篡改數據隨TTL值變化

從上面分析可以看出，本文所做的改進并不會影響信息攔截概率。本文的貢獻是在有復制節點攻擊的情況下，阻止被篡改數據的進一步傳輸，減少網絡能量的損耗，且讓sink節點接收到正確的數據，從而恢復出正確信息。

4 總結與未來工作

模擬顯示基于信任模型的隨機分散路由算法使整個路由既可以抵卸節點損壞、拒絕服務攻擊，也可以抵御節點復制攻擊。數據受損概率低至10－3，比確定路徑的多路徑路由算法要要低得多。該算法使整個數據收集過程更安全，提高了數據傳輸效率，延長了網絡壽命。

在沖突檢測方案中，如果想得到更好的結果仍需要進行全局檢測，但是隨著節點位置信息的增長，節點編號較大的簇頭節點的計算開銷和存儲開銷將非常大。文獻［18］提出了一個保護鄰居節點發現、避免節點損壞的理論模型，可以在一定程度上避免這種情況。此文獻還提出一種在部署節點時基于安全屬性的高效的、局部的解決方案，在處理節點損壞、節點復制時能夠保證一定的安全性。未來將基于此模型進一步優化。

［1］李建中，李金寶，石勝飛.傳感器網絡及其數據管理的概念、問題與進展［J］.軟件學報，2003，14(10):1718－1727.

［2］覃伯平，周賢偉，楊軍.無線傳感器網絡的安全路由技術研究［J］.傳感技術學報，2006，19(1):16－19.

［3］趙章界，劉海峰.無線傳感網中的安全問題［J］.計算機安全，2010(6):4－7.

［4］Lou W，Liu W，Fang Y.Spread:Enhancing Data Confidentiality in Mobile Ad Hoc Networks［C］//Proc.IEEE INFOCOM Conference，Mar.2004，vol.4，pages 2404－2413.

［5］Lou W，Kwon Y.H-spread:A Hybrid Multipath Scheme for Secure and Reliable Data Collection in Wireless Sensor Networks［J］.IEEE Transactions on Vehicular Technology，Jul.2006，55(4):1320－1330.

［6］Lee P C，Misra V，Rubenstein D.Distributed Algorithms for Secure Multipath Routing in Attack-Resistant Networks［J］.IEEE/ACM Transactions on Networking，Dec.2007，15(6):1490－1501.

［7］Ye Z，Krishnamurthy V，Tripathi S K.A Framework for Reliable Routing in Mobile Ad Hoc Networks［C］//Proc.IEEE Infocom Conference，Mar.2003，vol.1，pages 270－280.

［8］Shu T，Liu S，Krunz M.Secure Data Collection in Wireless Sensor Networks Using Randomized Dispersive Routes［J］.IEEE Transactions on Mobile Computing，2010，pages 941－954.

［9］Du W，Deng J，Han Y S.A Witness-Based Approach for Data Fusion Assurance in Wireless Sensor Networks［C］//Proc.IEEE Global Telecomm Conference，Dec.2003，vol.3，pages 1435－1439.

［10］Pai H T，Han Y S.Power-Efficient Direct-Voting Assurance for Data Fusion in Wireless Sensor Networks［J］.IEEE Transactions on Computers，Feb.2008，57(2):261－273.

［11］Akyildiz I F，Su W，Sankarasubramaniam Y，et al.A Survey on Sensor Networks［J］.IEEE Communications Magazine，Aug.2002，40(8):102－114.

［12］Newsome J，Shi E，Song E，et al.The Sybil Attack in Sensor Networks:Analysis and Defenses［C］//Proc.IEEE Conference on Information Processing in Sensor Networks(IPSN)，Apr.2004，pages 259－268.

［13］Stinson D R.Cryptography，Theory and Practice.CRC Press，2006.

［14］李田，史浩山，楊俊剛.無線傳感器網LEACH協議成簇算法研究［J］.傳感技術學報，2010，23(8):1158－1162.

［15］劉帥，林亞平，余建平.基于簇的傳感器網絡節點復制攻擊檢測［J］.計算機仿真，2007，24(06):129－132.

［16］韓屏，李方敏.無線傳感網絡中基于生日悖論的分簇算法［J］.小型微型計算機系統，2007，28(11):110－114.

［17］朱程，周嗚爭，許金生.BTSR:一種基于行為可信的安全數據融合與路由算法［J］.計算機應用，2008，28(11):2820－2823.

［18］Liu D.Protecting Neighbor Discovery Against Node Compromises in Sensor Networks［C］//Proc.IEEE International Conference on Distributed Computing Systems，2009，9:579－588.