時延容忍傳感器網絡中抗黑洞攻擊的安全路由協議

陳 思,張 宏,李華峰,涂慶華,湯東陽

(1.南京理工大學a.信息化建設與管理處;b.計算機科學與工程學院,南京210094;

2.中國石化石油物探技術研究院,南京211103)

時延容忍傳感器網絡中抗黑洞攻擊的安全路由協議

陳 思1a,張 宏1b,李華峰1a,涂慶華1a,湯東陽2

(1.南京理工大學a.信息化建設與管理處;b.計算機科學與工程學院,南京210094;

2.中國石化石油物探技術研究院,南京211103)

時延容忍網絡是一種在大部分時間內源節點和目的節點之間不存在端到端路徑,而依靠存儲轉發機制實現異步通信的無線自組織網絡。針對其黑洞攻擊的問題,設計一種能夠檢測黑洞節點的安全路由協議。分析時延容忍傳感器網絡模型和黑洞攻擊模型,給出基于傳遞證據的惡意節點檢測方案,并將其與路由協議相融合。仿真結果表明,該協議可準確識別出惡意節點,并且在傳感器網絡環境中具有較好的路由性能。將安全路由協議應用于水下環境監測或城市交通控制等領域,可以避免其網絡環境遭受惡意節點的攻擊,保證網絡的可靠性與穩定性。

時延容忍網絡;傳感器網絡;黑洞攻擊;信任評價;安全路由

1 概述

傳感器網絡是一種通過在空間上分布的無線傳感器節點(Sensor)收集數據,并將數據反饋回中心基站(Sink)的無線自組織網絡,目前已廣泛應用于水下環境監測［1］、野生動物追蹤(ZebraNet)［2］、城市交通控制(urban sensing)［3］等領域。由于傳感器網絡的自組織性、開放性、缺乏基礎設施等特點［4］,使得這種網絡很容易遭受惡意節點的攻擊,而導致網絡功能的減退甚至失效。

目前針對無線自主網的安全與信任問題已有相關研究,人們提出了多種不同惡意行為,進一步尋求檢測惡意節點方法［5］,但是在節點密度稀疏且頻繁移動的情況下,這類策略將不再適用。這種情況下的無線自主網被稱為時延容忍網絡(Delay-tolerant Network,DTN)［6］。

DTN是一種在大部分時間內源和目的節點之間不存在端到端路徑,而依靠存儲轉發的機制實現異步通信的無線自組織網絡,目前已有相關工作提出了DTN中的安全路由策略［7］。文獻［8］提出了使用信使節點檢測黑洞節點的策略FBIDM,另有相關研究利用節點相遇的歷史信息或者傳遞數據包的歷史行為,通過節點間出現的不一致信息的發現黑洞節點［9-10］。

上述DTN中安全路由策略均不是專為傳感器網絡而設計的。目前已有相關工作將DTN的數據傳輸模式應用到傳感器網絡中,并分析了網絡結構和路由策略［11］。因此,本文研究時延容忍傳感器網絡中的黑洞節點檢測的方法,并通過仿真實驗,從檢測率、誤檢率和路由性能3個方面驗證路由策略的可行性和合理性。

2 抗黑洞攻擊模型設計

2.1 傳感器網絡模型

假設網絡的規模限定在一個范圍內,其中安裝傳感器的實體(例如在野生動物檢測的網絡中,傳感器被安裝在動物身上,下文中統一稱為節點)可以在網絡中自由移動。在網絡中安置若干個靜止的基站負責收集節點采集的數據。節點之間、節點與基站之間可以通過短距離的無線信號進行通信。

根據已有相關文獻,本文假設這種傳感器網絡具有如下性質:

(1)N個節點隨機分布在大小為L×L的網絡內,節點的移動符合Zebranet模型［12］;

(2)M個基站均勻部署在網絡內,且M ＜＜N;

(3)所有節點和基站都被事先編排唯一的ID,通過非對稱加密機制可以確保節點無法偽造自己的身份;

(4)節點的傳輸半徑為r1,基站的覆蓋范圍為r2,且r1≤r2＜＜L;

(5)節點按照一定的速率產生數據包,且為數據包設置一個唯一的ID。

在上述網絡中利用節點之間的接觸機會,以及節點和基站之間的接觸機會,逐跳將數據包傳遞給基站。如果基站數目M＞1,那么數據包到達任意一個基站即可視為完成了傳遞過程。本文將基于上述網絡模型展開研究。

2.2 黑洞節點的攻擊模型

無線自主網中的黑洞節點,通常指接收到數據包后不再轉發,而是直接丟棄數據包的惡意節點。會導致傳輸成功率的下降并造成節點能量浪費,同時黑洞節點為了對網絡性能造成更大的破壞。在本文中,黑洞節點的惡意攻擊方式如下:通過提供虛假的相遇概率信息,讓正常節點誤以為其與基站相遇概率很高,從正常節點接收數據包后丟棄。黑洞節點不產生數據包也不向外傳遞數據包。

為了檢測惡意節點,本文首先定義以下2種特殊類型的數據包:

(1)傳遞證據,由節點生成,記為Eijk=＜vi,vj, t,mk＞,表明節點 vi在 t時刻將數據包 mk傳遞給vj。

(2)信任評價,由基站生成,記為:Pjit=＜sj,vi, t,b＞,表明基站sj在t時刻對節點vi合法性的判斷為b。其中,b為一個布爾值,ture表明vi是合法節點,false表明vj是可疑節點。

節點vi將數據包mk傳遞給vj后,vi可以向vj索取一個傳遞證據,表明vj已經成功接收mk并負責mk下一步的傳遞工作。

節點vi和基站sj接觸后,向 sj提供傳遞證據Eijk=＜vi,vj,t,mk＞,sj產生信任評價Pjjt=＜sj,vj, t,b＞并返還給vi。如果sj已經接收到數據包mk,可以證明vj的合法性,則以Pjjt中b為true表明;反之,如果sj沒有接收到數據包mk,vj可能是惡意節點并丟棄mk,或者vj并不是惡意節點且將mk傳遞給其他的節點或基站,此時b為false表明vj是一個可疑節點。

如果2個信任評價Pijt=＜si,vj,t1,b1＞和Pjjt=＜sj,vj,t2,b2＞中的vj相同,那么它們是針對同一個節點的,可以按照以下規則進行合并:

(1)如果si=sj,那么是同一個基站給出的信任評價,保留時間更晚的一個,并舍棄另一個。

(2)如果si≠sj,并且b1和b2中至少有一個為true,那么保留時間更晚的vj為合法節點的信任評價,并舍棄另一個。此時單個基站就可以認定一個節點的合法性。

(3)如果si≠sj,并且b1和b2都為false,那么同時保留這2個信任評價。

當一個節點vi收集到M個來自不同基站對vj可疑信任評價時,就說明vj沒有將數據轉發給任意一個基站,則vi將vj判斷為惡意節點。對于已經被判斷為合法或者惡意的節點vj,vi將不再保存關于vj的傳遞證據。

3 抗黑洞攻擊的安全路由協議

根據Zebranet移動模型,節點具有不同的移動范圍,因此,每個節點與不同基站之間的接觸機率也不相同。本文從時間和空間2個角度綜合衡量節點與基站間的接觸機率,并綜合兩者計算節點與基站間的相遇概率。

在時空距離路由協議的基礎上,結合上述惡意節點檢測策略,在常規路由過程的基礎上,本節提出一種抵御黑洞攻擊的路由策略供合法節點使用。當節點vi遇到節點vj之后,vi與vj交換信任評價,并采取以下數據傳遞策略:

(1)如果vi判定vj為惡意節點,vi不會傳遞任何數據給vj。

(2)如果vi判定vj為合法節點,并且pi＜pj,vi盡量將全部數據包傳遞給vj(由于接觸時間的限制或者vj緩沖區的限制,vj可能無法接收vi的所有數據包)。

(3)如果vi無法判斷vj的合法性,但是pi＜pj,vi會隨機選擇1個數據包傳遞給vj,并且要求vj提供該數據包的傳遞證據。

當節點vi遇到基站sj之后,vi為每個傳遞證據換取信任評價,之后完成所有數據傳遞的過程。算法1和算法2分別描述了節點之間的通信過程,以及節點與基站間的通信過程。

算法1 節點vi與vj之間的通信過程

算法2 節點vi與基站sj之間的通信過程

在節點的通信過程中,先執行信任評價的合并(1行～12行),再執行數據的傳遞(13行～19行)。在數據傳遞的過程中,對于合法的節點,將不再要求對方提供傳遞證據。隨著越來越多節點的合法性被明確,產生的傳遞證據和信任評價也隨之減少。最終算法收斂于不再產生新的傳遞證據和信任評價完成路由過程。

4 仿真實驗及結果分析

在機會網絡平臺(Opportunistic Network Environment,ONE)上［13］編寫仿真程序,實現了本文提出的安全路由協議,默認情況下仿真參數設置如表1所示。

表1 仿真參數設置

仿真環境中設置9個固定基站,可以與50 m覆蓋范圍內的節點通信,并且基站間的覆蓋范圍不重疊。仿真時間為24 h,并且在前20 h內,每個合法節點平均每小時產生5個數據包。實驗過程中動態改變節點數目或者惡意節點的數目,并從惡意節點檢測率、誤檢率、傳輸成功率3個方面衡量路由協議的性能以及抗攻擊能力。同時將本文協議與RCAR協議、SRSnF協議(數據包的副本數目設置為3)和MUTON協議進行比較。

4.1 檢測率和誤檢率

在實驗中,首先設置合法節點數目為60個～160個時(每次遞增10個),并將設置惡意節點數目設置為合法節點數目的20%(隨合法節點數目的增加而增加),考察本文協議以及SRSnF和MUTON的檢測率和誤檢率。由于RCAR通過節點的信譽值進行路由決策,并不嚴格排除惡意節點,因此本文不考察RCAR路由協議。實驗結果如圖1、圖2所示。

圖1 不同協議在不同節點數目條件下的檢測率

圖2 不同協議在不同節點數目條件下的誤檢率

由圖1可見,由于SRSnF協議使用了3個副本,額外的副本有助于發現惡意節點的丟棄行為,因此具有最好的檢測率。本文提出的檢測協議,隨著節點數目的增加,檢測率也可以逐漸提升至100%,這是因為增加節點數目的同時,會增加節點之間的相遇概率,不僅能夠獲取更多的傳遞證據來發現惡意節點,而且可以更快地傳播信任評價。MUTON協議通過Ferry進行惡意節點的檢測,由于并非為傳感器網絡設計,因此其檢出率較差,同時隨著節點數目的增加,Ferry的負擔變重,檢測率也有所降低。

由圖2可見,3種協議的誤檢測率都低于1%。因為各種協議都是以丟棄數據包的行為,來判斷惡意節點的身份,所以如果沒有緩沖區溢出而導致數據包丟棄的情況出現,合法節點很難被誤以為是惡意節點。

4.2 路由協議的性能

檢測惡意節點是為了維持正常的路由過程,本節主要檢測路由協議是否可以在存在惡意節點的條件下,依然取得可以接受的傳輸成功率。實驗結果如圖3、圖4所示。

圖3 不同路由協議在不同節點數目條件下的成功率

圖4 不同路由協議在不同惡意節點數目條件下的成功率

由圖3可見,除了MUTON路由,增加節點數目對路由性能的影響并不明顯。MUTON路由中,增加節點數目會降低檢測率,因此影響了傳輸成功率。

由圖4可見,增加惡意節點數目,會增加數據包被惡意節點丟棄的概率,因此各種協議的性能都有所下降。橫向比較4種路由協議,SRSnF使用了3個副本進行數據的傳遞,只有不是全部副本都被惡意節點丟棄,都能完成數據的傳遞,因此具有最可靠的傳輸成功率。本文協議也具有較高的傳輸成功率,但是由于在檢測惡意的節點的時,會導致部分數據被惡意節點丟棄,造成傳輸成功率的下降。RCAR路由綜合節點的信任值和節點與目的節點的相遇概率,進行路由決策,因此部分數據會傳遞給與基站接觸概率高的惡意節點,造成傳輸成功率進一步的下降。最后MUTON協議的惡意節點檢測率本身就不高,自然在傳遞數據時會造成較多的數據包被惡意節點截獲,而具有最差的傳輸成功率。

綜合上述分析可見,本文提出的檢測策略和路由方案可以準確地確定節點的身份,并能有效提升存在惡意節點攻擊時的傳輸成功率。雖然其綜合性能略遜于SRSnF路由協議,但考慮到SRSnF是一種多副本的策略,本文中單個副本的思路可以節省網絡帶寬以及節點能耗,更加適用于傳感器網絡。

5 結束語

本文在分析時延容忍傳感器網絡模型的基礎上,針對傳感器網絡中的黑洞攻擊,提出一種利用傳遞證據和信任評價的惡意節點檢測策略,并將其與路由協議進行融合。實驗結果顯示,本文提出的安全路由協議可以準確地檢測出惡意節點并維持路由性能。采取多副本策略可以有效地抵御黑洞攻擊,但多副本策略勢必會增加節點的能耗,而傳感器網絡中節點的能量通常是有限的,因此,下一步需要研究如何在節點能耗允許的情況下,適當利用多余副本來抵御黑洞攻擊。同時,還將研究傳感器網絡中其他攻擊行為與防御策略。

［1］ Vasilescu I,Kotay K,Rus D.Data Collection,Storage, and Retrieval with an Underwater Sensor Network［C］// Proceedings of the 3rd International Conference on Embedded Networked Sensor Systems.New York,USA: ACM Press,2005:154-165.

［2］ Juang P,OkiH,Wang Yong,etal.Energy-efficient Computing for Wildlife Tracking:Design Tradeoffs and Early Experiences with ZebraNet［J］.SIGARCH Computer Architecture News,2002,30(5):96-107.

［3］ Campbell A,Eisenman S,Lane N,et al.People Centric Urban Sensing［C］//Proceedings of WICON'06.Los Alamitos,USA:IEEE Computer Society,2006:2-5.

［4］ 廖 俊,劉耀宗,姜海濤.基于人工免疫的MANET不端行為檢查模型［J］.南京理工大學學報,2011,35(5): 652-658.

［5］ Khalil I,Bagchi S,Rotaru C N,et al.UnMask:Utilizing Neighbor Monitoring for Attack Mitigation in Multihop Wireless Sensor Networks［J］.Ad Hoc Networks,2010, 8(2):148-164.

［6］ 徐 佳,李千目,張 宏,等.機會網絡中的自適應噴霧路由及其性能評估［J］.計算機研究與發展,2010, 47(9):1622-1632.

［7］ Chuah M,Yang P,Han J.A Ferry-based Intrusion Detection Scheme for Sparsely Connected Ad Hoc Networks［C］//Proceedings of the 4th Annual International Conference on Mobile and Ubiquitous Systems: Networking&Services.［S.l.］:IEEE Press,2007:1-8.

［8］ Ren Yanzhi,Chuah M C,Yang J,et al.MUTON: Detecting Malicious Nodes in Disruption-tolerant Networks［C］//Proceedings of WCNC'10.［S.l.］: IEEE Press,2010:1-6.

［9］ Dini G,Duca A L.Towards a Reputation-based Routing Protocol to Contrast Blackholes in a Delay Tolerant Network［J］.Ad Hoc Networks,2012,10(7):1167-1178.

［10］ Saha S,Verma R,Sengupta S,et al.SRSnF:A Strategy for Secured Routing in Spray and Focus Routing Protocol for DTN［C］//Proceedings of ACITY'12.Chennai,India:［s.n.］,2012:159-169.

［11］ Shah R C,Roy S,Jain S,et al.Data MULEs:Modeling a Three-tier Architecture for Sparse Sensor Networks［C］// Proceedings of the 1st International Workshop on Sensor Network Protocols and Applications.［S.l.］:IEEE Press, 2003:30-41.

［12］ Ren Yanzhi,Chuah M C,Yang Jie,et al.Detecting Blackhole Attacks in Disruption-tolerant Networks Through Packet Exchange Recording［C］//Proceedings of WoWMoM'10.［S.l.］:IEEE Press,2010:1-6.

［13］ Ari K,J?rg O,Teemu K.The ONE Simulator for DTN Protocol Evaluation［C］//Proceedings of ACM International Conference on Simulation Tools and Techniques.New York,USA:ACM Press,2009:1-10.

編輯 金胡考

Security Routing Protocol Resisting Blackhole Attack in Delay-tolerant Sensor Network

CHEN Si1a,ZHANG Hong1b,LI Huafeng1a,TU Qinghua1a,TANG Dongyang2
(1a.Division of Informationization Construction and Management;1b.School of Computer Science and Engineering, Nanjing University of Science and Engineering,Nanjing 210094,China;
2.SINOPEC Geophysical Research Institute,Nanjing 211103,China)

Delay-tolerant Network(DTN)is an Ad Hoc network,in which there is not end-to-end path between the source and the destination nodes in most of the time,and DTN relies on the mechanism of store and forwards to realize the asynchronous communication.Aiming at the blackhole attack in DTN,this paper proposes a security routing protocol which can detect blackhole nodes.It analyzes the model of DTN,gives a scheme to detect malicious nodes,and merges this scheme with the routing protocol.Compared with existing routing protocols through the simulation,it verifies that the security routing protocol can accurately detect the malicious nodes and it has better performance in DTN environment.When being used in water environment monitoring or city traffic control and other fields,the security routing protocol can avoid the network environment from malicious nodes attack,and ensure the reliability and stability of network.

Delay-tolerant Network(DTN);sensor network;blackhole attack;trust evaluation;security routing

1000-3428(2014)11-0121-05

A

TP391

10.3969/j.issn.1000-3428.2014.11.024

江蘇省自然科學基金資助項目(BK2011370)。

陳 思(1987-),女,碩士,主研方向:無線網絡路由協議;張 宏,教授、博士、博士生導師;李華峰,高級工程師、博士研究生;涂慶華、湯東陽,碩士。

2013-10-16

2013-12-04E-mail:chensi@njust.edu.cn

中文引用格式:陳 思,張 宏,李華峰,等.時延容忍傳感器網絡中抗黑洞攻擊的安全路由協議［J］.計算機工程, 2014,40(11):121-125.

英文引用格式:Chen Si,Zhang Hong,Li Huafeng,et al.Security Routing Protocol Resisting Blackhole Attack in Delaytolerant Sensor Network［J］.Computer Engineering,2014,40(11):121-125.