時延容忍傳感器網(wǎng)絡(luò)中抗黑洞攻擊的安全路由協(xié)議

陳 思,張 宏,李華峰,涂慶華,湯東陽

(1.南京理工大學(xué)a.信息化建設(shè)與管理處;b.計算機科學(xué)與工程學(xué)院,南京210094;

2.中國石化石油物探技術(shù)研究院,南京211103)

時延容忍傳感器網(wǎng)絡(luò)中抗黑洞攻擊的安全路由協(xié)議

陳 思1a,張 宏1b,李華峰1a,涂慶華1a,湯東陽2

(1.南京理工大學(xué)a.信息化建設(shè)與管理處;b.計算機科學(xué)與工程學(xué)院,南京210094;

2.中國石化石油物探技術(shù)研究院,南京211103)

時延容忍網(wǎng)絡(luò)是一種在大部分時間內(nèi)源節(jié)點和目的節(jié)點之間不存在端到端路徑,而依靠存儲轉(zhuǎn)發(fā)機制實現(xiàn)異步通信的無線自組織網(wǎng)絡(luò)。針對其黑洞攻擊的問題,設(shè)計一種能夠檢測黑洞節(jié)點的安全路由協(xié)議。分析時延容忍傳感器網(wǎng)絡(luò)模型和黑洞攻擊模型,給出基于傳遞證據(jù)的惡意節(jié)點檢測方案,并將其與路由協(xié)議相融合。仿真結(jié)果表明,該協(xié)議可準確識別出惡意節(jié)點,并且在傳感器網(wǎng)絡(luò)環(huán)境中具有較好的路由性能。將安全路由協(xié)議應(yīng)用于水下環(huán)境監(jiān)測或城市交通控制等領(lǐng)域,可以避免其網(wǎng)絡(luò)環(huán)境遭受惡意節(jié)點的攻擊,保證網(wǎng)絡(luò)的可靠性與穩(wěn)定性。

時延容忍網(wǎng)絡(luò);傳感器網(wǎng)絡(luò);黑洞攻擊;信任評價;安全路由

1 概述

傳感器網(wǎng)絡(luò)是一種通過在空間上分布的無線傳感器節(jié)點(Sensor)收集數(shù)據(jù),并將數(shù)據(jù)反饋回中心基站(Sink)的無線自組織網(wǎng)絡(luò),目前已廣泛應(yīng)用于水下環(huán)境監(jiān)測［1］、野生動物追蹤(ZebraNet)［2］、城市交通控制(urban sensing)［3］等領(lǐng)域。由于傳感器網(wǎng)絡(luò)的自組織性、開放性、缺乏基礎(chǔ)設(shè)施等特點［4］,使得這種網(wǎng)絡(luò)很容易遭受惡意節(jié)點的攻擊,而導(dǎo)致網(wǎng)絡(luò)功能的減退甚至失效。

目前針對無線自主網(wǎng)的安全與信任問題已有相關(guān)研究,人們提出了多種不同惡意行為,進一步尋求檢測惡意節(jié)點方法［5］,但是在節(jié)點密度稀疏且頻繁移動的情況下,這類策略將不再適用。這種情況下的無線自主網(wǎng)被稱為時延容忍網(wǎng)絡(luò)(Delay-tolerant Network,DTN)［6］。

DTN是一種在大部分時間內(nèi)源和目的節(jié)點之間不存在端到端路徑,而依靠存儲轉(zhuǎn)發(fā)的機制實現(xiàn)異步通信的無線自組織網(wǎng)絡(luò),目前已有相關(guān)工作提出了DTN中的安全路由策略［7］。文獻［8］提出了使用信使節(jié)點檢測黑洞節(jié)點的策略FBIDM,另有相關(guān)研究利用節(jié)點相遇的歷史信息或者傳遞數(shù)據(jù)包的歷史行為,通過節(jié)點間出現(xiàn)的不一致信息的發(fā)現(xiàn)黑洞節(jié)點［9-10］。

上述DTN中安全路由策略均不是專為傳感器網(wǎng)絡(luò)而設(shè)計的。目前已有相關(guān)工作將DTN的數(shù)據(jù)傳輸模式應(yīng)用到傳感器網(wǎng)絡(luò)中,并分析了網(wǎng)絡(luò)結(jié)構(gòu)和路由策略［11］。因此,本文研究時延容忍傳感器網(wǎng)絡(luò)中的黑洞節(jié)點檢測的方法,并通過仿真實驗,從檢測率、誤檢率和路由性能3個方面驗證路由策略的可行性和合理性。

2 抗黑洞攻擊模型設(shè)計

2.1 傳感器網(wǎng)絡(luò)模型

假設(shè)網(wǎng)絡(luò)的規(guī)模限定在一個范圍內(nèi),其中安裝傳感器的實體(例如在野生動物檢測的網(wǎng)絡(luò)中,傳感器被安裝在動物身上,下文中統(tǒng)一稱為節(jié)點)可以在網(wǎng)絡(luò)中自由移動。在網(wǎng)絡(luò)中安置若干個靜止的基站負責(zé)收集節(jié)點采集的數(shù)據(jù)。節(jié)點之間、節(jié)點與基站之間可以通過短距離的無線信號進行通信。

根據(jù)已有相關(guān)文獻,本文假設(shè)這種傳感器網(wǎng)絡(luò)具有如下性質(zhì):

(1)N個節(jié)點隨機分布在大小為L×L的網(wǎng)絡(luò)內(nèi),節(jié)點的移動符合Zebranet模型［12］;

(2)M個基站均勻部署在網(wǎng)絡(luò)內(nèi),且M ＜＜N;

(3)所有節(jié)點和基站都被事先編排唯一的ID,通過非對稱加密機制可以確保節(jié)點無法偽造自己的身份;

(4)節(jié)點的傳輸半徑為r1,基站的覆蓋范圍為r2,且r1≤r2＜＜L;

(5)節(jié)點按照一定的速率產(chǎn)生數(shù)據(jù)包,且為數(shù)據(jù)包設(shè)置一個唯一的ID。

在上述網(wǎng)絡(luò)中利用節(jié)點之間的接觸機會,以及節(jié)點和基站之間的接觸機會,逐跳將數(shù)據(jù)包傳遞給基站。如果基站數(shù)目M＞1,那么數(shù)據(jù)包到達任意一個基站即可視為完成了傳遞過程。本文將基于上述網(wǎng)絡(luò)模型展開研究。

2.2 黑洞節(jié)點的攻擊模型

無線自主網(wǎng)中的黑洞節(jié)點,通常指接收到數(shù)據(jù)包后不再轉(zhuǎn)發(fā),而是直接丟棄數(shù)據(jù)包的惡意節(jié)點。會導(dǎo)致傳輸成功率的下降并造成節(jié)點能量浪費,同時黑洞節(jié)點為了對網(wǎng)絡(luò)性能造成更大的破壞。在本文中,黑洞節(jié)點的惡意攻擊方式如下:通過提供虛假的相遇概率信息,讓正常節(jié)點誤以為其與基站相遇概率很高,從正常節(jié)點接收數(shù)據(jù)包后丟棄。黑洞節(jié)點不產(chǎn)生數(shù)據(jù)包也不向外傳遞數(shù)據(jù)包。

為了檢測惡意節(jié)點,本文首先定義以下2種特殊類型的數(shù)據(jù)包:

(1)傳遞證據(jù),由節(jié)點生成,記為Eijk=＜vi,vj, t,mk＞,表明節(jié)點 vi在 t時刻將數(shù)據(jù)包 mk傳遞給vj。

(2)信任評價,由基站生成,記為:Pjit=＜sj,vi, t,b＞,表明基站sj在t時刻對節(jié)點vi合法性的判斷為b。其中,b為一個布爾值,ture表明vi是合法節(jié)點,false表明vj是可疑節(jié)點。

節(jié)點vi將數(shù)據(jù)包mk傳遞給vj后,vi可以向vj索取一個傳遞證據(jù),表明vj已經(jīng)成功接收mk并負責(zé)mk下一步的傳遞工作。

節(jié)點vi和基站sj接觸后,向 sj提供傳遞證據(jù)Eijk=＜vi,vj,t,mk＞,sj產(chǎn)生信任評價Pjjt=＜sj,vj, t,b＞并返還給vi。如果sj已經(jīng)接收到數(shù)據(jù)包mk,可以證明vj的合法性,則以Pjjt中b為true表明;反之,如果sj沒有接收到數(shù)據(jù)包mk,vj可能是惡意節(jié)點并丟棄mk,或者vj并不是惡意節(jié)點且將mk傳遞給其他的節(jié)點或基站,此時b為false表明vj是一個可疑節(jié)點。

如果2個信任評價Pijt=＜si,vj,t1,b1＞和Pjjt=＜sj,vj,t2,b2＞中的vj相同,那么它們是針對同一個節(jié)點的,可以按照以下規(guī)則進行合并:

(1)如果si=sj,那么是同一個基站給出的信任評價,保留時間更晚的一個,并舍棄另一個。

(2)如果si≠sj,并且b1和b2中至少有一個為true,那么保留時間更晚的vj為合法節(jié)點的信任評價,并舍棄另一個。此時單個基站就可以認定一個節(jié)點的合法性。

(3)如果si≠sj,并且b1和b2都為false,那么同時保留這2個信任評價。

當一個節(jié)點vi收集到M個來自不同基站對vj可疑信任評價時,就說明vj沒有將數(shù)據(jù)轉(zhuǎn)發(fā)給任意一個基站,則vi將vj判斷為惡意節(jié)點。對于已經(jīng)被判斷為合法或者惡意的節(jié)點vj,vi將不再保存關(guān)于vj的傳遞證據(jù)。

3 抗黑洞攻擊的安全路由協(xié)議

根據(jù)Zebranet移動模型,節(jié)點具有不同的移動范圍,因此,每個節(jié)點與不同基站之間的接觸機率也不相同。本文從時間和空間2個角度綜合衡量節(jié)點與基站間的接觸機率,并綜合兩者計算節(jié)點與基站間的相遇概率。

在時空距離路由協(xié)議的基礎(chǔ)上,結(jié)合上述惡意節(jié)點檢測策略,在常規(guī)路由過程的基礎(chǔ)上,本節(jié)提出一種抵御黑洞攻擊的路由策略供合法節(jié)點使用。當節(jié)點vi遇到節(jié)點vj之后,vi與vj交換信任評價,并采取以下數(shù)據(jù)傳遞策略:

(1)如果vi判定vj為惡意節(jié)點,vi不會傳遞任何數(shù)據(jù)給vj。

(2)如果vi判定vj為合法節(jié)點,并且pi＜pj,vi盡量將全部數(shù)據(jù)包傳遞給vj(由于接觸時間的限制或者vj緩沖區(qū)的限制,vj可能無法接收vi的所有數(shù)據(jù)包)。

(3)如果vi無法判斷vj的合法性,但是pi＜pj,vi會隨機選擇1個數(shù)據(jù)包傳遞給vj,并且要求vj提供該數(shù)據(jù)包的傳遞證據(jù)。

當節(jié)點vi遇到基站sj之后,vi為每個傳遞證據(jù)換取信任評價,之后完成所有數(shù)據(jù)傳遞的過程。算法1和算法2分別描述了節(jié)點之間的通信過程,以及節(jié)點與基站間的通信過程。

算法1 節(jié)點vi與vj之間的通信過程

算法2 節(jié)點vi與基站sj之間的通信過程

在節(jié)點的通信過程中,先執(zhí)行信任評價的合并(1行～12行),再執(zhí)行數(shù)據(jù)的傳遞(13行～19行)。在數(shù)據(jù)傳遞的過程中,對于合法的節(jié)點,將不再要求對方提供傳遞證據(jù)。隨著越來越多節(jié)點的合法性被明確,產(chǎn)生的傳遞證據(jù)和信任評價也隨之減少。最終算法收斂于不再產(chǎn)生新的傳遞證據(jù)和信任評價完成路由過程。

4 仿真實驗及結(jié)果分析

在機會網(wǎng)絡(luò)平臺(Opportunistic Network Environment,ONE)上［13］編寫仿真程序,實現(xiàn)了本文提出的安全路由協(xié)議,默認情況下仿真參數(shù)設(shè)置如表1所示。

表1 仿真參數(shù)設(shè)置

仿真環(huán)境中設(shè)置9個固定基站,可以與50 m覆蓋范圍內(nèi)的節(jié)點通信,并且基站間的覆蓋范圍不重疊。仿真時間為24 h,并且在前20 h內(nèi),每個合法節(jié)點平均每小時產(chǎn)生5個數(shù)據(jù)包。實驗過程中動態(tài)改變節(jié)點數(shù)目或者惡意節(jié)點的數(shù)目,并從惡意節(jié)點檢測率、誤檢率、傳輸成功率3個方面衡量路由協(xié)議的性能以及抗攻擊能力。同時將本文協(xié)議與RCAR協(xié)議、SRSnF協(xié)議(數(shù)據(jù)包的副本數(shù)目設(shè)置為3)和MUTON協(xié)議進行比較。

4.1 檢測率和誤檢率

在實驗中,首先設(shè)置合法節(jié)點數(shù)目為60個～160個時(每次遞增10個),并將設(shè)置惡意節(jié)點數(shù)目設(shè)置為合法節(jié)點數(shù)目的20%(隨合法節(jié)點數(shù)目的增加而增加),考察本文協(xié)議以及SRSnF和MUTON的檢測率和誤檢率。由于RCAR通過節(jié)點的信譽值進行路由決策,并不嚴格排除惡意節(jié)點,因此本文不考察RCAR路由協(xié)議。實驗結(jié)果如圖1、圖2所示。

圖1 不同協(xié)議在不同節(jié)點數(shù)目條件下的檢測率

圖2 不同協(xié)議在不同節(jié)點數(shù)目條件下的誤檢率

由圖1可見,由于SRSnF協(xié)議使用了3個副本,額外的副本有助于發(fā)現(xiàn)惡意節(jié)點的丟棄行為,因此具有最好的檢測率。本文提出的檢測協(xié)議,隨著節(jié)點數(shù)目的增加,檢測率也可以逐漸提升至100%,這是因為增加節(jié)點數(shù)目的同時,會增加節(jié)點之間的相遇概率,不僅能夠獲取更多的傳遞證據(jù)來發(fā)現(xiàn)惡意節(jié)點,而且可以更快地傳播信任評價。MUTON協(xié)議通過Ferry進行惡意節(jié)點的檢測,由于并非為傳感器網(wǎng)絡(luò)設(shè)計,因此其檢出率較差,同時隨著節(jié)點數(shù)目的增加,Ferry的負擔變重,檢測率也有所降低。

由圖2可見,3種協(xié)議的誤檢測率都低于1%。因為各種協(xié)議都是以丟棄數(shù)據(jù)包的行為,來判斷惡意節(jié)點的身份,所以如果沒有緩沖區(qū)溢出而導(dǎo)致數(shù)據(jù)包丟棄的情況出現(xiàn),合法節(jié)點很難被誤以為是惡意節(jié)點。

4.2 路由協(xié)議的性能

檢測惡意節(jié)點是為了維持正常的路由過程,本節(jié)主要檢測路由協(xié)議是否可以在存在惡意節(jié)點的條件下,依然取得可以接受的傳輸成功率。實驗結(jié)果如圖3、圖4所示。

圖3 不同路由協(xié)議在不同節(jié)點數(shù)目條件下的成功率

圖4 不同路由協(xié)議在不同惡意節(jié)點數(shù)目條件下的成功率

由圖3可見,除了MUTON路由,增加節(jié)點數(shù)目對路由性能的影響并不明顯。MUTON路由中,增加節(jié)點數(shù)目會降低檢測率,因此影響了傳輸成功率。

由圖4可見,增加惡意節(jié)點數(shù)目,會增加數(shù)據(jù)包被惡意節(jié)點丟棄的概率,因此各種協(xié)議的性能都有所下降。橫向比較4種路由協(xié)議,SRSnF使用了3個副本進行數(shù)據(jù)的傳遞,只有不是全部副本都被惡意節(jié)點丟棄,都能完成數(shù)據(jù)的傳遞,因此具有最可靠的傳輸成功率。本文協(xié)議也具有較高的傳輸成功率,但是由于在檢測惡意的節(jié)點的時,會導(dǎo)致部分數(shù)據(jù)被惡意節(jié)點丟棄,造成傳輸成功率的下降。RCAR路由綜合節(jié)點的信任值和節(jié)點與目的節(jié)點的相遇概率,進行路由決策,因此部分數(shù)據(jù)會傳遞給與基站接觸概率高的惡意節(jié)點,造成傳輸成功率進一步的下降。最后MUTON協(xié)議的惡意節(jié)點檢測率本身就不高,自然在傳遞數(shù)據(jù)時會造成較多的數(shù)據(jù)包被惡意節(jié)點截獲,而具有最差的傳輸成功率。

綜合上述分析可見,本文提出的檢測策略和路由方案可以準確地確定節(jié)點的身份,并能有效提升存在惡意節(jié)點攻擊時的傳輸成功率。雖然其綜合性能略遜于SRSnF路由協(xié)議,但考慮到SRSnF是一種多副本的策略,本文中單個副本的思路可以節(jié)省網(wǎng)絡(luò)帶寬以及節(jié)點能耗,更加適用于傳感器網(wǎng)絡(luò)。

5 結(jié)束語

本文在分析時延容忍傳感器網(wǎng)絡(luò)模型的基礎(chǔ)上,針對傳感器網(wǎng)絡(luò)中的黑洞攻擊,提出一種利用傳遞證據(jù)和信任評價的惡意節(jié)點檢測策略,并將其與路由協(xié)議進行融合。實驗結(jié)果顯示,本文提出的安全路由協(xié)議可以準確地檢測出惡意節(jié)點并維持路由性能。采取多副本策略可以有效地抵御黑洞攻擊,但多副本策略勢必會增加節(jié)點的能耗,而傳感器網(wǎng)絡(luò)中節(jié)點的能量通常是有限的,因此,下一步需要研究如何在節(jié)點能耗允許的情況下,適當利用多余副本來抵御黑洞攻擊。同時,還將研究傳感器網(wǎng)絡(luò)中其他攻擊行為與防御策略。

［1］ Vasilescu I,Kotay K,Rus D.Data Collection,Storage, and Retrieval with an Underwater Sensor Network［C］// Proceedings of the 3rd International Conference on Embedded Networked Sensor Systems.New York,USA: ACM Press,2005:154-165.

［2］ Juang P,OkiH,Wang Yong,etal.Energy-efficient Computing for Wildlife Tracking:Design Tradeoffs and Early Experiences with ZebraNet［J］.SIGARCH Computer Architecture News,2002,30(5):96-107.

［3］ Campbell A,Eisenman S,Lane N,et al.People Centric Urban Sensing［C］//Proceedings of WICON'06.Los Alamitos,USA:IEEE Computer Society,2006:2-5.

［4］ 廖 俊,劉耀宗,姜海濤.基于人工免疫的MANET不端行為檢查模型［J］.南京理工大學(xué)學(xué)報,2011,35(5): 652-658.

［5］ Khalil I,Bagchi S,Rotaru C N,et al.UnMask:Utilizing Neighbor Monitoring for Attack Mitigation in Multihop Wireless Sensor Networks［J］.Ad Hoc Networks,2010, 8(2):148-164.

［6］ 徐 佳,李千目,張 宏,等.機會網(wǎng)絡(luò)中的自適應(yīng)噴霧路由及其性能評估［J］.計算機研究與發(fā)展,2010, 47(9):1622-1632.

［7］ Chuah M,Yang P,Han J.A Ferry-based Intrusion Detection Scheme for Sparsely Connected Ad Hoc Networks［C］//Proceedings of the 4th Annual International Conference on Mobile and Ubiquitous Systems: Networking&Services.［S.l.］:IEEE Press,2007:1-8.

［8］ Ren Yanzhi,Chuah M C,Yang J,et al.MUTON: Detecting Malicious Nodes in Disruption-tolerant Networks［C］//Proceedings of WCNC'10.［S.l.］: IEEE Press,2010:1-6.

［9］ Dini G,Duca A L.Towards a Reputation-based Routing Protocol to Contrast Blackholes in a Delay Tolerant Network［J］.Ad Hoc Networks,2012,10(7):1167-1178.

［10］ Saha S,Verma R,Sengupta S,et al.SRSnF:A Strategy for Secured Routing in Spray and Focus Routing Protocol for DTN［C］//Proceedings of ACITY'12.Chennai,India:［s.n.］,2012:159-169.

［11］ Shah R C,Roy S,Jain S,et al.Data MULEs:Modeling a Three-tier Architecture for Sparse Sensor Networks［C］// Proceedings of the 1st International Workshop on Sensor Network Protocols and Applications.［S.l.］:IEEE Press, 2003:30-41.

［12］ Ren Yanzhi,Chuah M C,Yang Jie,et al.Detecting Blackhole Attacks in Disruption-tolerant Networks Through Packet Exchange Recording［C］//Proceedings of WoWMoM'10.［S.l.］:IEEE Press,2010:1-6.

［13］ Ari K,J?rg O,Teemu K.The ONE Simulator for DTN Protocol Evaluation［C］//Proceedings of ACM International Conference on Simulation Tools and Techniques.New York,USA:ACM Press,2009:1-10.

編輯 金胡考

Security Routing Protocol Resisting Blackhole Attack in Delay-tolerant Sensor Network

CHEN Si1a,ZHANG Hong1b,LI Huafeng1a,TU Qinghua1a,TANG Dongyang2
(1a.Division of Informationization Construction and Management;1b.School of Computer Science and Engineering, Nanjing University of Science and Engineering,Nanjing 210094,China;
2.SINOPEC Geophysical Research Institute,Nanjing 211103,China)

Delay-tolerant Network(DTN)is an Ad Hoc network,in which there is not end-to-end path between the source and the destination nodes in most of the time,and DTN relies on the mechanism of store and forwards to realize the asynchronous communication.Aiming at the blackhole attack in DTN,this paper proposes a security routing protocol which can detect blackhole nodes.It analyzes the model of DTN,gives a scheme to detect malicious nodes,and merges this scheme with the routing protocol.Compared with existing routing protocols through the simulation,it verifies that the security routing protocol can accurately detect the malicious nodes and it has better performance in DTN environment.When being used in water environment monitoring or city traffic control and other fields,the security routing protocol can avoid the network environment from malicious nodes attack,and ensure the reliability and stability of network.

Delay-tolerant Network(DTN);sensor network;blackhole attack;trust evaluation;security routing

1000-3428(2014)11-0121-05

A

TP391

10.3969/j.issn.1000-3428.2014.11.024

江蘇省自然科學(xué)基金資助項目(BK2011370)。

陳 思(1987-),女,碩士,主研方向:無線網(wǎng)絡(luò)路由協(xié)議;張 宏,教授、博士、博士生導(dǎo)師;李華峰,高級工程師、博士研究生;涂慶華、湯東陽,碩士。

2013-10-16

2013-12-04E-mail:chensi@njust.edu.cn

中文引用格式:陳 思,張 宏,李華峰,等.時延容忍傳感器網(wǎng)絡(luò)中抗黑洞攻擊的安全路由協(xié)議［J］.計算機工程, 2014,40(11):121-125.

英文引用格式:Chen Si,Zhang Hong,Li Huafeng,et al.Security Routing Protocol Resisting Blackhole Attack in Delaytolerant Sensor Network［J］.Computer Engineering,2014,40(11):121-125.