基于博弈論的能量合作安全機制

劉宣 汪峰坤

關鍵詞：無線傳感器網絡；能量合作；安全；博弈論；一報還一報

0 引言

作為物聯網的重要組成部分，無線傳感器網絡（Wireless Sensor Networks，WSN）在日常生活中具有廣泛的應用[1-2]。WSN是由大量傳感器節點組成的，每個傳感器節點都具備收集和處理信息的能力，并將信息通過多跳網絡傳送給匯聚節點。由于傳感器節點通常由不可替換的電池供電，網絡的生命期隨著節點能量的耗盡而結束。

為解決此類網絡中節點能量耗盡問題，近年來，人們開始關注并研究能量收集型無線傳感器網絡（En?ergy Harvesting Wireless Sensor Networks，EH-WSN） [3]。在EH-WSN中，傳感器節點具備從周圍環境中收集能量的能力。能量收集技術的引入徹底改變了無線傳感器網絡的設計，傳感器節點可用的能量不一定會減少，反而有可能隨著時間增加，極大地延長網絡的生命期和減少維護開銷。目前，人們已經探索了不同的收集技術，如太陽能、風能、機械能等，這些被廣泛應用于能量收集。

然而，能量收集技術存在不確定性，而且WSN中存在能量不均衡問題[4]。為了進一步延長網絡生命周期，基于無線能量傳輸的能量合作技術引起了人們的關注。作為一種新興的技術，能量合作技術在延長網絡生命期、均衡節點能量方面具有獨特的優勢。然而，能量合作技術也面臨著能量合作背叛、能量狀態偽造、能量抵賴等攻擊，可能會造成信息和能量的損失。因此，我們需要針對上述攻擊提出一些可行的防范策略。

1 國內外研究成果

無線傳感器網絡在軍事、工業監控、智能交通、物流領域、生態環境等方面具有廣泛的應用，然而，在實際應用中由于面臨著節點能量耗盡的風險，由此制約了傳感器網絡作用的發揮。

隨著無線傳輸技術的進步，節點間進行能量共享成為可能。文獻[5]基于磁諧振耦合式無線能量傳輸技術，提出了一種基于無線能量傳輸的能量均衡路由算法，實現了不同節點間的能量補充。Gurakan[6]提出了能量合作的概念。Ni[7]設計了一個能量合作儲存- 傳輸機制，減少了系統中斷概率并提高了吞吐量。GAMBIN[8]研究了能量合作在物聯網中的應用，并提出一種能量分配優化策略，延長了系統的生命期。能量合作技術以其獨特的優勢必將在日常生活中發揮更大作用。

然而，新技術的引入存在一定的安全隱患，盡管人們對能量合作技術做了一些研究，卻忽視了能量合作技術本身的安全風險。文獻[9]介紹了無線能量傳輸中常見的攻擊類型并提出了一些可能的對策。文獻[10]提出了通過在合作網絡中添加人工噪聲來實現信息安全的方案。在能量合作中，還存在能量狀態不可見、能量不可加密、能量不可備份等安全隱患，對能量合作構成嚴重的安全威脅。

2 能量合作的風險

2.1 能量合作技術簡介

能量合作指在能量收集型傳感器網絡中，節點之間以無線能量傳輸的方式實現能量共享，如圖1所示為能量收集型合作網絡模型。該網絡主要有三種類型的節點：源節點（S） 、合作節點（C）和目標節點（D），所有的節點都具備從周圍環境中收集能量的能力。節點由兩大模塊組成：

1） 能量收集模塊：該模塊主要用于節點能量的收集和存儲。

2） 信息傳輸模塊：該模塊主要功能是節點之間信息傳輸。

圖2-圖4所示為常見的能量合作模型：能量預支付直接傳輸、能量租借合作傳輸和能量租借直接傳輸[11]。

能量預支付直接傳輸（Cooperative Relay with En?ergy Prepayment，CREP） 。如圖2所示，在能量預支付直接傳輸中，源節點與合作節點共同完成信息的傳輸。作為源節點S到目標節點D的中繼，合作節點C 不僅接收來自源節點的信息，也接受來自源節點的能量。在傳輸開始前，源節點S根據路由協議選擇適當的節點C作為合作節點，并向C咨詢所需能量，將信息與能量傳輸給C，合作節點C在傳輸過程中并不消耗自身能量。然后，S向節點D發送一個提示信息，提醒D準備接收來自節點C信息。D收到來自C的信息后，向節點S發送一個確認信息，作為本次能量合作結束的標志。

能量租借合作傳輸（Cooperative Relay with EnergyDebt，CRED）。如圖3所示，在CRED中，若節點S沒有足夠的能量用于支付給合作節點C，節點間將采用能量租借直接傳輸的方式進行合作。節點S首先將自己的剩余能量傳輸給C，C收到來自S的信息和能量后，拿出自己的一部分能量幫助節點S進行數據傳輸，并收到來自節點S的能量欠條。當節點S空閑時，它從周圍環境中收集能量，并根據能量欠條將能量償還給節點C。節點C收到足夠的償還能量后將節點S的能量欠條銷毀。

能量租借直接傳輸（Direct Transmission with En?ergy Debt，DTED） 。如圖4所示，當節點S接近目標節點D但沒有足夠的能量進行數據傳輸時，S將向周圍的合作節點C請求能量傳輸，并給C一個能量欠條。S 收到來自C的能量后直接將數據傳輸到D，當其能量充足時對C進行能量償還。

2.2 能量合作的脆弱性

與信息不同，能量有個顯著的特征：一旦攻擊者獲得其他節點的能量，它可以直接使用。因此，在能量合作中存在新的安全挑戰。能量合作面臨如下的安全風險：

能量不可加密：不同于傳統的信息傳輸，能量不能通過加密的方式來保證僅給合法的節點使用，攻擊者可以以非法方式竊取并利用節點能量。

能量不可備份：傳輸的信息可以通過備份和復制得到恢復，然而能量不同，惡意節點攻擊造成的能量損失無法恢復。

能量狀態不可見：某個節點的能量狀態對其他節點是不可見的，惡意節點可能偽造自身能量狀態以欺騙其他節點。

這些風險不僅會導致能量的損失，還可能會造成信息傳輸延遲或信息丟失，甚至會使系統因大量的冗余信息而崩潰。

2.3 典型的能量合作攻擊

由于能量的脆弱性，在能量合作中可能面臨以下攻擊：

能量狀態偽造（Energy State Forgery，ESF） ：能量狀態偽造指攻擊者偽造自身能量狀態，在通信過程中向合作者發送錯誤的能量信息。有三種主要的攻擊場景：

1） 受害者節點v向攻擊者節點a請求能量合作，節點a能量充足，卻謊稱自己能量不足，拒絕向節點v 提供幫助，能量合作無法完成。

2） 攻擊者v能量充足，卻向合作節點a謊稱能量不足，不斷向a請求能量幫助，消耗了a大量的能量。

3） 受害者v向附近節點請求能量合作，攻擊者節點a能量不足，卻謊稱自身有足夠的能量，與v建立了無效的能量合作連接。

能量合作背叛（Energy Cooperation Betrayal，ECB）：能量合作背叛指攻擊者假意合作或因自私而拒絕合作。如在DTED中，S（受害者）向C（攻擊者）請求能量傳輸，自私節點C出于自身利益拒絕向S傳輸能量。在CREP中，C（攻擊者）同意S（受害者）的合作請求并接收來自S的能量，隨后拒絕將S的信息轉發到D。

能量抵賴（Energy Repudiation of Reception，ERR）：能量抵賴指攻擊者否認接收能量。如在CRED中，C （攻擊者）與S（受害者）完成能量合作后收到了來自S 的補償能量，卻否認接收過來自S的能量償還。在DTED中，S（攻擊者）收到了來自C（受害者）的能量傳輸，卻聲稱自身未得到來自C的幫助。

能量相關的信息攻擊（Energy- Related Informa?tion Attack，ERID）：能量相關的信息攻擊通常與節點的串通合謀有關。如在CREP或CRED中，S（攻擊者）與D（攻擊者）串通欺騙節點C（受害者），D已收到卻聲稱未收到來自C轉發的來自S的信息，C不得不重傳信息，損失了自身的能量。

表1揭示了在能量合作模型中可能出現的能量攻擊。

3 重復囚徒困境博弈模型

3.1 重復囚徒困境博弈模型

參與者：這里的參與者指網絡中的每一個傳感器節點，而所有節點構成了參與者集合。本章研究傳感器網絡鄰居節點之間的博弈。

策略空間：策略空間就是節點所采取策略及行為方式的集合。所有的節點都包括兩種行為，一種為合作策略，即愿意提供能量傳輸或數據轉發服務；另一種為背叛策略，即拒絕為其他節點提供能量傳輸或數據轉發。

收益：對于參與能量合作的節點來說，鄰居節點之間相互依存，收益通常體現為數據包的傳輸和能量的變化。若B是A的下一跳節點，則A需要B為其轉發數據，而由于無線傳感器網絡能量的不均衡性，B需要A的能量補充。因此，正常合作下節點雙方是互利共贏的。重復囚徒困境中節點關心的不是眼前利益，而是長期利益。

在能量合作中，各傳感器節點長期共存，相互依存，有多次合作機會，且對于各節點來說，背叛總比合作收益大。因此，能量合作中的節點符合重復囚徒困境模型。

3.2 合作的進化——“一報還一報”策略的應用

研究表明，在重復囚徒困境博弈中，最好的策略是“一報還一報”策略[12]。一報還一報策略中，博弈雙方首先選擇合作，接下來，重復對方的上一個回合的策略。在能量合作中，節點A首先選擇與節點B進行能量合作，若節點B選擇合作，下一回合節點A仍然會重復B的合作策略，若無背叛，合作將一直持續下去。若節點B在某一回合背叛了A，在下一回合節點A將會背叛節點B作為懲罰，即拒絕與B進行能量合作。它具有善良性、寬容性、明晰性和可激怒性。善良性使它不首先背叛；寬容性使得它在別人背叛之后只報復一次；明晰性使得這種策略易于被識別；可激怒性限制了對方的背叛。因此，在能量合作中，節點之間采用一報還一報的合作策略有利于減少節點的背叛行為，形成長期穩定的合作關系。

4 能量合作的安全機制

4.1 定期能量報告

定期能量報告（Periodic Energy State Report，PER） 指節點的信任模塊將節點的能量狀態信息定期發送給認證機構，報告的內容為節點的身份、地理位置、能量狀態并用數據簽名技術實現身份認證。出于隱私保護的需要，節點的身份可以匿名。為了防止能量狀態偽造，合法節點可以申請認證機構對其他節點的能量狀態進行認證，根據認證機構的反饋結果選擇合作對象。定期能量報告可以有效地避免節點能量狀態偽造。

4.2 能量雙重簽名

如圖5所示，為了實現能量傳輸的不可抵賴性，我們可以仿照數據簽名技術實現能量傳輸的確認。首先，能量的發送者i將待傳輸的能量細分為若干個小的能量單元，并按照時間順序為每一個能量單元加上數據簽名。數據簽名包括發送者和接收者的身份、時間戳、合作記錄、傳輸的能量總量和當前事件的序列號。在T1時刻i將能量與數據簽名發送到接收者j。

接收者j收到來自i的能量單元和相應的數據簽名后，證實了事件的有效性，在T2時刻仿照i的數據簽名產生一個雙重簽名并發送給i。i收到來自j的確認后，即可以模仿上述過程在T3時刻繼續開始能量和簽名的傳輸，直到本次能量合作的完成。

4.3 能量合作安全算法

下面結合“一報還一報”的合作策略和定期能量報告及能量簽名技術提出能量合作安全算法。

假設在能量雙重簽名中，每份能量被等分為t個能量單元（E1，E2...Et） 。節點當前可用能量為Eavali?able，節點傳輸數據包（package）能量消耗為Ep。為了避免能量狀態偽造，定期能量報告須貫穿于整個網絡生命期。在數據傳輸之前，節點首先根據目標節點的位置選擇合作方式。若目標節點就是自己的下一跳節點，則根據自身能量狀態選擇是否需要能量合作。當節點能量不足以傳輸數據到下一跳節點時選擇DTED的合作方式，即請求附近鄰居節點為其提供能量補充，獲得足夠能量后直接將數據傳輸到目標節點。若目標節點不是自身鄰居節點，則需要以中繼轉發的方式進行能量合作，節點根據自身能量狀態選擇恰當的合作模型。

如算法1所示，節點根據目標節點位置和自身能量狀態選擇能量合作方式。當節點需要其中繼轉發數據時，節點間以CREP的方式進行能量合作，在能量合作的同時要確保安全，改進的CREP 的實現方式如下：

如算法2所示，在S-CREP中引入能量簽名技術可以保證能量的不可抵賴性，減少能量損失。當節點自身能量不足以支付給中繼節點時，節點可以先請求其周圍鄰居節點以DTED的方式為其提供能量補充，然后執行S-CREP進行數據傳輸。在執行DTED時要考慮能量的安全問題，改進的DETD算法如下：

如算法3所示，在S-DTED中通過引入能量簽名實現了能量的不可抵賴性，此外，定期能量報告技術的引入避免了節點的能量狀態偽造。

4.4 算法分析

下面結合上述所描述的能量合作的脆弱性和典型的能量攻擊對所提算法有效性進行分析。

針對能量合作中可能出現的節點能量合作背叛，TFT策略通過對背叛合作的節點予以懲罰，讓節點失去背叛的動機，促進了節點之間的合作。此外，由于TFT策略是集體穩定的，其他策略難以在TFT策略中生存下去。

針對能量合作中節點能量不可加密的弱點可能造成能量損失，算法中的能量簽名技術通過“化整為零”，將能量塊劃分成若干能量單元，并為每份能量單元加上數字簽名，實現了收發雙方身份的認證。非法節點在取得第一份能量單元后難以偽造合法節點的身份向發送方提供正確的能量雙重簽名。發送方得不到正確的反饋后停止發送能量單元，避免了更大的能量損失。

針對能量狀態不可見以及因此造成的能量狀態偽造攻擊，算法中應用的定期能量報告技術使得節點的信任模塊定期將節點的能量狀態發送給認證機構。

由于認證機構是可信的，節點可以請求認證機構驗證其他節點的能量狀態，偽造的能量狀態可以被其他節點識別。

針對能量合作中的能量抵賴攻擊，能量簽名技術通過將能量與數據簽名“綁定”在一起，使數據簽名技術實現了數據傳輸的不可抵賴性，也相應地保證了能量傳輸的不可抵賴性。

5 仿真實驗

下面用matlab仿真平臺評估所提安全算法的有效性。假設在100min內，網絡中有100個傳感器節點，其中一部分為惡意節點，數目為n。它們隨機向其鄰居節點發起攻擊，攻擊強度隨著攻擊概率的提高而增加。節點數據包到達速率服從泊松分布，節點之間請求和回復信息包大小為10字節，消耗4μJ的能量[6]。能量包的到達隊列服從獨立同分布隨機變量，從集合δ={0.25，0.50，0.75，1}中等概率取值。數據簽名大小為140字節，消耗節點120μJ的能量[13]。

圖6和圖7揭示了不同數據包傳輸率下的能量損失。由圖6和圖7可知，隨著數據包傳輸速率的增加，無安全防護下能量損失增幅超過80%，然而安全防護時能量損失增幅不超過20%，這說明我們的安全算法對數據包傳輸速率的增加并不敏感。此外，由圖6可知，無防護時的能量損失是防護狀態下的10倍以上，這是由于安全防范算法是綜合手段，能同時防御多種能量合作攻擊。同時，網絡中的惡意節點比例對無防護的網絡影響較大，然而對安全防護下的網絡影響較小。因此，能量安全算法可以有效地避免能量攻擊造成的能量損失。

如圖8所示，能量消耗隨著節點數據傳輸率的增加而增加。此外，雖然能量安全算法的引入增加了2-3倍的能量消耗，然而這些消耗低于安全算法挽回的能量損失。因此，安全算法可以有效抵御能量合作攻擊。

下面來評估安全算法對數據包傳輸率的影響，這里的數據包傳輸率指被成功轉發的數據包總數與發送的數據包總數之比。能量合作中節點可能因能量合作背叛而降低其數據包傳輸率。

如圖9和圖10所示，數據包傳輸率隨著攻擊強度的增加而降低。此外，在同樣的攻擊強度下，隨著惡意節點數量的成倍增加，數據傳輸率降低幅度超過50%。然而采用安全算法可以將降低惡意節點的危害降低為原來的1/3左右，因此，安全算法可以有效減弱能量合作攻擊對數據包傳輸的影響。

6 總結與展望

本文首先引入博弈論重復囚徒困境模型解決了節點的合作問題，確保節點之間能夠形成長期穩定的合作關系。然后利用定期能量報告技術解決了節點的能量狀態偽造問題，使用能量雙重簽名技術實現了能量的不可抵賴性，并提出了相應的安全算法，最后用matlab仿真實驗驗證了所提算法的有效性。