基于信任機制與Rank閾值的RPL路由協議

李成星,王 珺,徐京明

(南京郵電大學 通信與信息工程學院,南京 210003)

0 概述

物聯網是連接電子產品、家用電器等異構設備進行數據交換的網絡。隨著物聯網業務的快速發展,全球物聯網設備量正呈幾何級增長,但相關的安全技術卻沒有得到相應提升[1]。考慮到物聯網設備的資源有限以及傳輸鏈路的不可靠,可將物聯網歸類于低功耗有損網絡(Low-power and Lossy Network,LLN)。針對LLN無線鏈路的不穩定性,IETF ROLL工作組提出一個RPL路由協議[2]。該協議基于IPv6和6LoWPAN技術,具有強健壯性,使得物聯網能夠適應快速、頻繁的網絡拓撲變換。由于RPL路由協議在設計之初對網絡的安全性關注較少,導致其面臨許多威脅,而現如今異構設備的大量增長,更是使得物聯網長期處于不安全的狀態,容易受到惡意節點(黑客)的攻擊,因此非常有必要對RPL路由協議的安全性進行更加深入的研究。

目前,針對RPL路由協議中Sinkhole攻擊、Blackhole攻擊、Rank攻擊等的研究已經逐步開展[3],其中Rank攻擊是RPL協議中最具破壞性的攻擊之一。事實上,Rank值是RPL協議中的一個重要參數,表示節點在網絡拓撲中相對于根節點的位置,離根節點越近其Rank值越小。RPL協議定義的Rank值策略被用于選擇最優父節點、決定最佳路由及避免環路,但是其如果被惡意節點操控,就會對網絡造成不利影響。在Rank攻擊[4-5]中,惡意節點基于Rank值的改變來通告虛假的最佳路由,從而吸引或迫使鄰居節點經過其傳輸數據。通過此惡意節點路由的數據包會路由到其他串聯攻擊節點,如黑洞節點或轉發節點,從而丟棄數據包或者選擇性地將數據包轉發到其他目的地,甚至泄露網絡的機密信息?？梢?Rank攻擊能否成功很大程度上取決于協作能力,例如,結合黑洞攻擊與Sybil攻擊的Rank攻擊,通過丟棄或偽造路由信息會對網絡拓撲造成巨大破壞。本文介紹了RPL路由協議的原理及常見的RPL路由協議攻擊類型,并結合Rank攻擊的特性,提出一種基于信任的Rank攻擊檢測與隔離的安全RPL路由協議。

1 Rank攻擊檢測

1.1 RPL路由協議原理

RPL路由協議是一種輕量級的距離矢量路由協議。在拓撲形成期間,RPL路由協議通過傳播由根節點發起的控制分組DODAG信息對象(DODAG Information Object,DIO)消息來執行向下拓撲的構造[6-7]。節點在收到DIO消息后,通過DIO消息配置選項中的相關字段來選擇和優化RPL實例中的路由并回復目的地通告對象(Destination Advertisement Object,DAO)消息確認加入網絡,同時將目標函數(Objective Function,OF)中定義的一個或多個度量和約束轉換為Rank值。新節點可以通過廣播DODAG信息請求(DODAG Information Solicitation,DIS)來加入現有網絡,以便從RPL節點請求DIO消息。這些消息周期性地進行廣播并通過使用Trickle[8]算法來確定周期,通過上述過程構建的網絡拓撲稱為DODAG。

與傳統的路由協議不同,RPL路由協議利用路由度量、路由約束和OF等因素來計算最佳路由路徑。在路由過程中,RPL路由協議為網絡中運行的每個傳感器節點選擇一個首選父節點,并且每個子節點都包含父節點的相關信息,如控制和路由信息,這些信息對于路由和網絡穩定性具有重要作用。路由決策基于指定的OF,如跳數、能量最小化和延遲等。

1.2 常見的RPL攻擊

由于RPL設備具有弱安全性,沒有防篡改能力,因此攻擊者可以捕獲節點,提取所有加密信息并利用其在網絡中進行合法工作。一旦捕獲某個節點,攻擊者可在其中注入惡意代碼,從而打破一些路由規則。文獻[9]針對RPL協議的多數現有攻擊進行分析,根據攻擊目標和手段對攻擊進行分類。

本文介紹了3種常見的RPL路由協議攻擊:

1)Sinkhole攻擊[10-11]是最常見的RPL攻擊之一。在Sinkhole攻擊中,惡意節點會發布錯誤的路由消息,并宣稱其具有到達特定目的地的最佳路由,從而吸引鄰居節點通過該惡意節點傳送數據。當惡意節點接收到數據分組時,立即修改網絡安全數據在內的各種路由信息,從而使網絡拓撲結構復雜化。

2)Blackhole攻擊[12]中的惡意節點會直接丟棄所有通過其的數據,從而隔離網絡中的部分節點。選擇性轉發攻擊[10]是Blackhole攻擊的一個特例,在選擇性轉發攻擊中某些數據包(數據或控制消息)會被選擇性地丟棄,從而破壞路由路徑并影響網絡效率。

3)DODAG不一致攻擊[13]中的惡意節點會篡改RPL IPv6報頭,導致正常節點對表示數據包預期傳輸方向的“O”標志位和檢測Rank錯誤的“R”標志位處理不當。攻擊者節點可以通過發送標志“O”和“R”的數據包直接攻擊其父節點,因此指定的數據包將被丟棄,并且Trickle定時器將被重置,從而導致通道阻塞和能量耗盡。

在3種攻擊中,Rank攻擊最具威脅性,因為其可以放大所有攻擊的不利影響。Rank攻擊分為增大型Rank攻擊和減小型Rank攻擊。通過發布高Rank值,攻擊者可在DODAG中進行更深層次地移動,以便在網絡中生成環路。通過發布低Rank值,DODAG的大部分節點將經過惡意Rank攻擊節點連接到DODAG根節點,這樣惡意節點就能夠竊聽、操縱和隔離大部分網絡流量。攻擊者可以通過不斷改變首選父節點來破壞拓撲的穩定性,同時使系統產生高開銷、嚴重的分組沖突并導致整體網絡性能惡化。由于減小型Rank攻擊危害性更大,因此本文重點研究減小型Rank攻擊。圖1、圖2是Rank攻擊前后的網絡拓撲圖示例,其中使用OF0目標函數[14]。

圖1 正常的DODAG網絡拓撲

圖2 Rank攻擊下的DODAG網絡拓撲

1.3 現有Rank攻擊檢測方法存在的問題

雖然目前已提出許多解決RPL路由協議中Rank攻擊的方法,但是這些方法均存在各種問題,并不適用于資源受限的物聯網。

文獻[12]提出一種VeRa安全機制,針對減小型Rank攻擊,引入Rank驗證的概念。惡意節點通過復制靠近根節點或者特定Rank值的鄰居節點的Rank值來執行Rank攻擊。在VeRa機制中,通過實現單向哈希鏈方法防止攻擊節點獲得比其原始Rank值更低的Rank值,同時確保從DODAG根節點到鄰近節點的Rank值嚴格遞增。但是該機制存在較大漏洞,不能檢測出惡意節點偽造Rank進行惡意活動。

文獻[15]通過在DODAG的根節點中查找Rank值不一致來檢測攻擊節點。如果節點的Rank值低于其父節點,則DODAG根節點將該節點判斷為攻擊節點,因為RPL協議的Rank策略規定父節點的Rank值必須低于其子節點的Rank值。在第一個模塊中,DODAG根節點請求每個節點報告各自的Rank值和鄰居節點的Rank值。當每個節點接收到該請求后,以其鄰居和父級別節點進行響應。在第二個模塊中,DODAG根節點分析收集的數據并檢測攻擊節點。DODAG根節點通過比較其自身的Rank值與其鄰居節點報告的Rank值來檢查每個節點的Rank值不一致情況。如果Rank值的差異大于預定閾值,則DODAG根節點判斷該節點是攻擊節點。但文獻[15]方法存在兩個問題:1)誤檢率高;2)DODAG根節點必須向每個節點報告攻擊節點的信息,但是在存在攻擊節點的情況下此類信息是否可信并不確定。

文獻[16]提出一種TRAIL安全機制。通過在每個父節點中查找Rank值不一致來檢測攻擊節點。子節點向其父節點A告知自身Rank信息,父節點A將包含子節點Rank信息和自身Rank信息的消息轉發給父節點A的上級父節點B。上級父節點B通過檢查Rank值是否滿足以下兩個條件來驗證節點的可靠性:1)消息中子節點的Rank值高于父節點A的Rank值。2)父節點A的Rank值位于消息中子節點的Rank值和上級父節點B的Rank值之間。如果不滿足這兩個條件,則父節點將其子節點視為攻擊節點。TRAIL機制也存在一個問題,子節點可能選攻擊者節點作為其父節點,因為子節點無法辨別該父節點是否為攻擊節點,所以文獻[17]提出一種安全父節點的選方法,以確保子節點從候選父節點中選出合適的父節點。但是該策略不能有效抵御Blackhole攻擊,同時在子節點選擇父節點時可能會排除正常的最優父節點,選擇次最優父節點,從而使得每條路徑的跳數變大,造成系統資源消耗增加。

文獻[18]提出一種基于信任的Sec-Trust機制,用于檢測和隔離Rank攻擊和Sybil攻擊。通過節點間基于時間的分組交換計算以評估節點的可信行為,可信度低于特定閾值的節點被判定為惡意節點。該機制僅使用推薦信任,但卻未考慮間接推薦的不確定性,同時其劃分的5個信任級別不太合理,不能有效識別出惡意節點,因此造成較高的誤判率。

上述檢測方法雖然能在一定程度上檢測出Rank攻擊,但是依然存在各種問題。本文考慮到物聯網環境下傳感器節點資源受限的特性,充分分析Rank攻擊行為特性,設計一種結合信任閾值和Rank閾值的Rank攻擊檢測與隔離方法。

2 基于信任機制的Rank攻擊檢測與隔離方法

2.1 網絡模型

本文方法使用的網絡模型基于以下假設:

1)僅適用于靜態網絡,節點隨機分布,所有節點通信半徑相同,在仿真期間節點能量充足。

2)每個節點都以混雜模式運行,因此可以監測鄰居數據分組的傳輸。

3)隨著時間的推移,每個節點間的有效通信(分組轉發成功率)會反映出節點的攻擊性質。

2.2 基于貝葉斯的信任計算

2.2.1 信任引入

在社交網絡中,信任是一個常被提及的概念。信任可以定義為委托人委托受托人所做的事情,然后對受托人進行評價確定其信任程度。該定義在計算機通信領域同樣適用。在傳感器網絡中,信任是一個復雜的概念,是指對傳感器節點可靠性、完整性、安全性等特性的期望。在一個節點與另一個節點直接或間接的通信中,節點的信任是一個可以觀察到的有限量化過程,節點的累積信任值用來定義節點的信譽。節點間的協作在信任關系中至關重要,因為這些關系決定了網絡的可拓展性、可靠性等性能。

文獻[19]研究表明在資源受限的傳感器節點中,使用密碼學及傳統協議中的交換和分發密鑰來創建和形成信任,其在物聯網中已被證明是不現實的。基于密碼機制的路由方案使用加密、認證等技術,對節點的計算能力要求較高,極大地增加了通信資源消耗。而基于信任的路由方案中節點計算量小,只需利用相鄰節點之間的交互行為來計算得到信任值,通信開銷較低,適用于資源受限的物聯網設備。

經過理論分析及大量實驗驗證,貝葉斯方法是一種有效的信任評估方法,其基于主體概率進行信任度計算,得到的信任度較主觀,并根據對象的經驗和認知對相關信息進行綜合分析。因此,本文引入貝葉斯方法進行信任值計算。

2.2.2 直接信任值計算

直接信任是指一個節點對其直接連接鄰居的信任,即其對發送請求的處理可靠性和能力[20]。本文將節點的直接信任定義為節點之間成功交互的可能性,以確定節點到正確目的地的分組轉發行為,如圖3所示。

圖3 直接信任示意圖

文獻[21]提出的RFSN模型是無線傳感器網絡中最具代表性的貝葉斯信任管理模型。該模型通過貝葉斯方法擬合信譽分布與Beta分布,得到的節點信譽服從Beta分布,即reputationij～Beta(αij+1,βij+1),其中,reputationij表示節點i關于節點j的信譽分布,αij和βij分別表示節點j轉發來自節點i的成功數據包數目和失敗數據包數目。本文采用基于貝葉斯的RFSN模型下信譽分布的數學期望來表示節點i對節點j的直接信任值Dij,即節點j能否真實轉發來自節點i的分組的可能性,如式(1)所示:

(1)

由于計算節點信任值的目的是根據信任值檢測并隔離網絡中的惡意節點,而基于Beta分布的信任方案沒有考慮到惡意節點給網絡帶來的影響,因此在網絡存在Rank及其他攻擊的情況下,會對信任值計算帶來較大影響。為解決該問題,本文引入懲罰因子λ,表示對行為不當(轉發數據包失敗)節點的懲罰權重,從而對上述直接信任值計算公式進行改進。

節點最初的信任值為0.5,表示尚不明確節點是否可信。由于λ表示附加給任何行為不當節點的懲罰權重,因此λ初始值設定為0.1,而懲罰增量設定為λ初始值的一半(0.05),即λ=λi+0.05。如果評估一個節點時,其一旦表現出惡意行為,那么λ便增加0.05,會逐漸降低行為不當節點的信任值并迅速檢測出惡意節點,同時需將其與路由決策進行隔離。

綜上所述,直接信任值的計算公式可以修正為:

(2)

需要注意的是,雖然直接信任值可以通過對惡意行為的統計和計算得到,但是惡意節點可能會通過偽裝使得其惡意行為難以被檢測到。在這種情況下,惡意節點通過偽造身份信息偽裝成正常節點,一個節點采用多個身份,使得受害者將數據包發送給攻擊者,造成網絡混亂,為其他惡意節點創造操作機會,此類攻擊稱為Sybil攻擊。由上文可知,當Rank攻擊與Sybil攻擊相結合時丟棄或偽造路由信息,會對網絡拓撲造成巨大破壞,因此在未來的工作中將對Sybil攻擊作進一步研究。

2.2.3 信任值更新

節點的信任值是變化的,有的惡意節點會在一開始表現為正常節點,因此信任值需要隨時間的變化進行更新,但是信任值更新頻率較低意味著可能無法捕獲到某些節點的惡意行為,造成整個網絡的混亂。相反地,如果信任更新太頻繁,則可能會過多占用節點能量及存儲器和CPU等網絡資源,從而最終導致傳感器節點過早死亡。在信任更新階段,每個節點基于直接信任值來收集直接鄰居的信任信息。在更新節點的信任值時,采用定期更新信任值的方法,基于給定的時間,周期性地重新計算當前的信任值,同時惡意節點偽造其Rank值造成網絡中出現不一致現象,從而導致Trickle計時器重置其更新周期,即重置DIO消息的發送周期[5-6]。關于Trickle計時器的相關描述,可詳見RFC 6550、RFC 6206標準[2,8]。

2.3 Rank閾值計算

因為信任值的計算是一個動態過程,僅根據節點信任值來辨別Rank攻擊是不夠的,并且信任閾值的設置也是一個難題,所以本文考慮結合Rank攻擊時惡意節點的Rank值規律特性進行檢測。由上文介紹可知在Rank攻擊中,惡意節點通過改變其Rank值來通告虛假的最佳路由,使其成為該通信范圍內的虛假首選父節點,從而吸引鄰居節點通過其傳輸數據。為排除該惡意節點,在父節點選擇階段,當存在多個候選父節點時可選擇次最優父節點為其父節點,然后排除可能是惡意節點的最優首選父節點,因此需要設置一個合理的Rank閾值,排除低于該閾值的節點。閾值計算公式如式(3)所示:

Ti=Rave-Rmax×K

(3)

其中,Ti表示Rank閾值,Rave表示鄰居節點的平均Rank值,Rmax表示鄰居節點的最大Rank值,K為[0,0.5]中的一個恒定參數。

如果參數K值太小,則閾值Ti相對而言會很大,這樣雖然能排除惡意節點,但也會誤排除多數正常節點,從而大幅增加系統的誤報率。如果參數K值太大,則閾值Ti相對而言會很小,這樣不僅不能排除惡意節點,而且會導致節點選擇攻擊節點作為其父節點,使得網絡中每個節點到根節點的跳數增加,因此需要對閾值范圍內的候選父節點進行篩選。需要注意的是式(3)在節點數很少時不具參考價值,但在物聯網環境下無需考慮該情況,因為攻擊節點無法收集大量數據包,而本文考慮的是節點數量很多的情況。

在本文方法中,根據節點轉發數據包成功與失敗的次數這一指標計算出節點間的信任值,并根據相應的Rank閾值對候選父節點進行篩選,使得高于閾值的節點可以繼續與其他節點進行安全通信,而低于閾值的節點被判定為惡意節點并被隔離。兩種方法的結合提高了檢測準確率,降低了系統誤判率,并且由于RPL協議標準中指出當拓撲重構時節點Rank值不像其他鏈路或節點指標一樣快速變化,因此為本文Rank閾值計算方案提供了相關理論依據。

2.4 Sec-RPL路由協議

根據上文對原RPL路由協議進行改進,形成基于信任的Rank攻擊檢測與隔離RPL路由協議,稱為Sec-RPL。而Contiki系統下基于OF0目標函數的RPL路由協議,稱為OF0-RPL。Sec-RPL路由協議實現過程如圖4所示。

圖4 Sec-RPL路由協議實現過程

通過節點間相關廣播消息的不斷發送,網絡拓撲DODAG構建完成。此時,信任機制開始運作,根據節點之間轉發數據包成功與失敗的次數來計算對應的信任值并周期性更新該值。當網絡中的疑似惡意節點不斷導致數據包轉發失敗時,使得鄰居節點對疑似惡意節點的信任值越來越低,直到低于設定的某個信任閾值,那么鄰居節點便斷開與疑似惡意節點的連接并進行拓撲重構。根據減小型Rank攻擊的特性可知,Rank攻擊節點必須有一個較低的Rank值才能吸引周圍的鄰居節點通過惡意節點來傳送數據。因此,通過仿真可以得到一個合理的Rank閾值并隔離低于該閾值的節點。

Sec-RPL路由協議中對節點惡意行為的容忍度較低,一旦發現節點的惡意行為,相應的懲罰因子便會增加0.05,使惡意行為對信任值的影響變大。惡意節點的信任值越來越低,當低于預先設定的安全通信信任值時,便會被認為是低信任節點。然后,通過Rank閾值對惡意節點進行篩選,檢測并隔離Rank攻擊節點,從而極大降低系統誤判。

3 仿真驗證與性能分析

為驗證Sec-RPL路由協議的性能,本文利用Contiki 3.0實驗平臺下的Cooja仿真工具進行實驗仿真,在節點混雜模式下收集路徑中的分組轉發信息,并將其作為計算Rank攻擊數和誤報率等性能指標的依據,然后對Sec-RPL路由協議進行評估。仿真參數設置如表1所示。

表1 仿真參數設置

3.1 參數K的確定

由上文對K值的分析可知,K值不是越大越好,也不是越小越好,K應該取一個合適的值,使得成功排除攻擊節點的概率最高同時所有節點到根節點的總跳數最小,從而保證系統能量消耗在理論上最少。由于本文方法中Rank閾值計算過程與信任計算過程相對獨立,因此先通過Contiki 3.0的Cooja模擬器進行模擬實驗確定K值。

將根節點固定在坐標原點位置,隨機部署正常節點和攻擊節點并分別進行仿真實驗。圖5顯示在K的每個取值下,分別統計并計算其100次實驗成功排除攻擊節點的概率及平均總跳數,其中成功排除惡意節點的概率表征節點的誤檢率及漏檢率,K值過小,會將正常節點錯誤地判定為惡意節點,即誤檢率;K值過大,會將惡意節點誤判為正常節點,即漏檢率。因此,本文用成功排除惡意節點的概率表示誤檢率和漏檢率。由仿真結果可以看到,當K值超過某個閾值時,隨著惡意節點由1個增加到3個,成功排除概率逐漸降低,由此可知K值對仿真結果影響較大。

圖5 不同K值下成功排除惡意節點的概率和

根據上述實驗數據可以看出,當K=0.25時,系統對惡意節點的成功排除概率最高且到根節點的平均總跳數最小,此時誤檢率和漏檢率均達到最低,閾值計算公式具體如下:

Ti=Rave-Rmax×0.25

(4)

3.2 Sec-RPL和OF0-RPL路由協議性能比較

3.2.1 Rank攻擊實施

在Rank攻擊實施過程中,惡意節點保持合法行為約5 s,這一時間足夠完成拓撲構建,之后惡意節點通過在每個Trickle定時器周期內廣播虛假的低Rank值來開始其攻擊。惡意節點聲稱具有到根節點更優的路徑來吸引其鄰居節點,從而創建未優化的路徑。RPL協議標準規定Rank值以向下方式增加,以防止路由循環和未優化的路由。未經優化的路徑使RPL每隔一段時間就進行本地修復和全局修復[2],極大地減少了RPL網絡生命周期并耗盡節點能量。

3.2.2 攻擊節點檢測與隔離

根據RFC 6550[2]中的定義,在拓撲形成階段,根節點通過發送包含了網絡基本信息的DIO消息給其通信范圍內的其他節點,構建DODAG的拓撲結構。DIO消息中包含實例身份標志、有向無環圖的版本號、有向無環圖的標志值、簇頭節點Rank值、路由協議工作模式、有向無環圖的配置信息、路由條件以及根節點、鄰居節點的IP地址等。因此,每個DIO消息中包含的網絡基本信息是一致的,其中每個節點都有一個IPv6地址作為標志符(ID)、一個父節點列表、一個鄰居列表、一個Rank值和其他參數。將潛在父節點i發送的DIO消息與鄰居列表中保存的DIO消息相比較,通過判斷子節點的潛在父節點的DIO消息與子節點的鄰居列表所保存的DIO消息是否一致進行攻擊檢測。

圖6展示了在仿真期間網絡遭受的Rank攻擊次數隨時間的變化情況。網絡在5 s時受到Rank攻擊,剛開始的攻擊次數很多,隨著仿真的進行,系統根據計算得到的Rank閾值和設置的信任閾值辨別出惡意節點并將其剔除,因此檢測到的攻擊次數逐漸減少。這證明了Sec-RPL路由協議對于Rank攻擊的檢測與隔離具有較好的效果,能有效防御Rank攻擊。

圖6 Sec-RPL檢測的Rank攻擊次數

3.2.3 性能分析

圖7展示了OF0-RPL和Sec-RPL路由協議在Rank攻擊下各節點的丟包率比較。可以看出,OF0-RPL路由協議的丟包率明顯高于Sec-RPL路由協議。由于OF0-RPL路由協議存在安全方面的漏洞,因此導致其遭受Rank攻擊時,網絡性能急劇惡化,表現為丟包率居高不下,而Sec-RPL路由協議結合了信任機制和Rank閾值,既保證了檢測準確性,又降低了Rank攻擊下節點的丟包率。由仿真結果可知,當惡意節點數量增加到3個時,Sec-RPL路由協議在Rank攻擊下的丟包率有所增加,但系統仍能保持一個較低的丟包率。隨著時間的變化,Sec-RPL能夠成功檢測和剔除惡意Rank攻擊節點,維護網絡正常運行。

圖7 OF0-RPL和Sec-RPL在Rank攻擊下節點丟包率比較

4 結束語

本文提出一種基于信任機制與Rank閾值的RPL路由協議Sec-RPL。通過檢查節點之間分組轉發成功與失敗的次數計算節點間的信任值,并結合節點Rank閾值評估節點行為及隔離網絡中的惡意節點,從而實現最佳路由決策。仿真結果表明,Sec-RPL路由協議相比OF0-RPL路由協議計算資源消耗較小,相比原RPL路由協議安全性較高,并且對于RPL路由協議面臨的Blackhole攻擊、選擇轉發攻擊等也具有一定的檢測效果。本文雖然針對RPL路由協議提出一種基于信任的Rank攻擊檢測與隔離方法,在一定程度上加強了系統安全性能,同時降低了誤檢率及漏檢率,但仍存在計算資源消耗較高的問題,因此下一步將對Sec-RPL路由協議進行功能擴展,使其能更高效地檢測與隔離RPL攻擊,此外還將量化節點能耗,通過節點信任值計算最小化網絡整體能耗,使Sec-RPL路由協議更適用于快速發展的物聯網環境。