基于信任感知的無線傳感器網絡安全路由協議

韓優佳，胡黃水，姚美琴

（長春工業大學計算機科學與工程學院，長春 130012）

0 概述

隨著物聯網的飛速發展，無線傳感器網絡（Wireless Sensor Network，WSN）越來越廣泛地應用于軍事、環境監測、醫療、工業生產、交通控制等領域［1-2］。然而，節點有限的計算能力、存儲容量、能量和其他因素限制了無線傳感器網絡的發展［3-4］，尤其是如果WSN 隨機部署在復雜的環境中，則很容易受到來自惡意節點的路由攻擊。因此，關于安全路由協議的研究已成為WSN 的熱門話題［5］。

已有大量的研究工作從各個角度來延長網絡生命周期和提高網絡安全傳輸指數［6-8］。通常，將基于加密和身份驗證的安全機制用于抵御來自惡意節點的路由攻擊，但由于攻擊者已經擁有所有密鑰和密碼信息，因此這些惡意節點無法抵御內部路由攻擊［9-10］。此外，這些機制需要復雜的計算，導致額外的能耗［11-12］。因此，研究人員提出了基于信任感知的安全機制，以解決基于加密和身份驗證的安全機制中的問題。

為確保無線傳感器網絡的安全性，該信任的方案已被證明對內部節點的攻擊更具抵抗力。該方案有助于根據節點過去的觀察結果預測節點的未來行為，并識別對可疑節點行為的有效決策。它為無線傳感器網絡的路由安全性提供了一種新的解決方案［13］。但傳統的信任方案安全性較低，只能抵擋少部分的惡意攻擊種類。

本文提出一種信任感知的無線傳感器網絡安全路由協議（Trust-aware wireless Sensor network secure Routing Protocol，TSRP）。該協議通過直接信任、間接信任和剩余能量構造綜合信任以防御黑洞攻擊、選擇性轉發攻擊、槽洞攻擊和Hello 洪泛攻擊。在構造直接信任值中引入揮發因子來降低歷史信任的作用，同時在路由建立過程中主動避開蟲洞攻擊的鏈路，以選擇一條綜合信任值高、跳數少的路由，從而在提高無線傳感器網絡安全性的同時降低網絡的能耗。

1 相關工作

文獻［14］提出一種BRDT（Beta Reputation and Direct Trust model for secure communication in wireless sensor networks）模型，其為Bata 模型和直接信任模型的組合。該模型分為信任度評估、閾值設置和基于信任值的路由3 個階段。其中信任度評估包括信任服務、能量信任、周轉時間信任和數據傳輸信任4 個部分。閾值設置是選取這4 個部分中最小的值作為閾值，基于信任值的路由能為網絡提供安全的數據傳輸鏈路。雖然該協議平衡了網絡的能耗，但可能會造成簇頭與簇頭之間通信范圍的重疊區域較大，容易引起簇頭過多，導致能量浪費。此外，BRDT中未指定可防御的攻擊。文獻［15］提出了防御信任攻擊的無線傳感器網絡安全信任評估模型DTSA（A trust evaluation model for Defense against Trust System Attacks）。DTSA 利用模糊綜合評判模型對直接信任進行計算，選擇合適的第三方節點推薦的間接信任值以保證沒有惡意評價，并將直接信任值，間接信任值和歷史信任值綜合考慮到綜合信任值的計算中以保證安全性高的節點具有高綜合信任值。但是，節點的剩余能量并沒有被考慮其中。對于能量受限的無線傳感器網絡來說，節能也是網絡研究的重要研究熱點之一。因此，文獻［16］提出一種基于分布式信任評價模型的能量優化安全路由協議

EOSR（Energy-Optimized Secure Routing protocol），EOSR 考慮了綜合信任值、節點剩余能量和路徑跳數以評價路徑安全程度，從而保證選擇路徑的安全可靠性。其綜合信任值由直接信任值和間接信任值綜合決定，其中直接信任值若大于置信度閾值，則將直接信任值當做綜合信任值以降低獲取間接信任值的能量開銷。節點成為惡意節點之前均為合法節點，都擁有較高的信任值，但EOSR 并沒有將節點的歷史信任值考慮到信任程度中，使得節點被俘獲成為惡意節點后無法被快速地降低信任值，以至于惡意節點無法快速地被排除在網絡之外。

文獻［17］提出了基于節點信任與能耗均衡的分簇協議（Secure Clustering Routing protocol based on Trust and Balancing Enemy consumption，SCR-TBE）。SCR-TBE 采用模糊評價的方法來計算節點的直接信任值，并將歷史信任值考慮到綜合信任值的計算中以保證對惡意節點識別的準確性。同時SCRTBE 采用非均勻分簇方法來緩解多跳分簇協議中的能量空洞現象。但SCR-TBE 評價節點的直接信任值的模糊性可能會造成信任評估的不準確性。文獻［17-18］提出的機制均是采用模糊控制理論，兩者的不同點在于：文獻［18］采用的模糊控制理論是根據綜合信任值的大小對節點的安全性進行模糊評估，以選出安全的路由。為提供準確的信任值和評價路由的安全性，文獻［19］提出了基于QoS 的無線傳感器網絡信任路由算法SQEER（Secured QoS aware Energy Efficient Routing），該信任模型使用基于密鑰的安全機制提供信任值的認證技術。該算法中的安全模塊負責使用時間約束管理器維護信任，并通過與安全管理器交互來執行身份驗證。而能量管理器則通過計算能量水平并將其發送給決策管理器，以做出節能決策。QoS 管理器通過調用數據包傳輸率、延時和錯誤率分析器檢查QoS 來執行分析。然后，SQEER 根據QoS 指標和信任值來選擇簇頭以執行基于簇的安全路由。最后，根據路徑信任值、能量和跳數選擇最終路徑，有效地實現了安全路由過程。但SQEER 的信任模型需要基于密鑰的安全機制的參與，這使節點增加了額外的能量消耗。

綜上所述，傳統的信任感知安全路由協議仍然面臨以下挑戰：

1）準確地檢測惡意節點。例如文獻［16］沒有考慮歷史信任值這一重要因素；文獻［17-18］利用模糊控制器來模糊計算節點的信任值，在這些方案中信任評估的準確性均有待提高。

2）使網絡能夠抵抗多種路由攻擊。如果網絡防御攻擊的類型相對單一，則網絡仍將面臨主要的安全風險。例如文獻［6，20］只針對蟲洞攻擊進行防御；文獻［21］只針對黑洞攻擊進行防御。

3）減少網絡能耗。例如文獻［15］沒有考慮節點的剩余能量這一重要因素；文獻［19］則需要密鑰安全機制的參與，這使得網絡的能量消耗增加。

面對上述的挑戰，本文目標如下：

1）TSRP 的直接信任值將由歷史和當前的信任值構成，同時為歷史信任值分配一個新穎的揮發因子，以降低惡意節點擁有良好的歷史信任的作用，從而提高信任評估的準確性。

2）TSRP 的綜合信任值將用來防御黑洞攻擊、選擇性轉發攻擊、Hello flood 攻擊和槽洞攻擊；同時，將利用AODV 路由建立階段引入鏈路質量來主動避開蟲洞攻擊，以此增強網絡對抗多種攻擊的能力。

3）在傳統的基于AODV 安全路由協議中，其源節點向sink 方向發送RREQ 幀后，sink 會以多路徑的方式返回RREP 幀。但TSRP 協議將只選擇一條跳數少、信任程度高的鏈路返回RREP 幀，以此降低網絡在路由建立和數據傳輸的能耗。

2 信任模型

節點的信任值是參與安全路由協作的基礎，這意味著較大信任值的節點將具有更高的安全性。因此，具有更高信任值的節點更有可能被選作為路由的中繼節點。文獻［15，17］并沒有考慮節點的歷史信任值對信任評估系統的影響。如果合法節點成為惡意節點之前擁有較高的綜合信任值，沒有揮發因子的作用則降低了識別惡意節點的速度。而TSRP使用節點的直接信任值、間接信任值、揮發因子和剩余能量計算綜合信任值以抵抗來自惡意節點的黑洞攻擊、選擇性轉發攻擊、Hello 洪泛攻擊和槽洞攻擊。此外，傳統的安全路由協議只防御蟲洞攻擊［6］，TSRP可以防御多種攻擊，增強網絡安全。

2.1 直接信任值

節點根據鄰居節點的接收和發送數據包個數，可以計算對每個鄰居節點的直接信任值，節點i對鄰居節點j的直接信任值可表示如下：

其中：前者代表歷史信任值，后者代表當前信任值；γ和(1-γ)（0<γ<1）分別是歷史信任值和當前信任值的權重，其為可調參數。為公平起見，令γ的值為0.5。Rt和St分別是發送和接收的數據包數量占總數據包數量的比例，可以表示為：

此外，還定義了揮發因子，目的是將從具有高信任度值和普通節點轉變成低信任度值的節點快速排除。揮發因子表示如下：

其中：T是網絡的當前時間；τ是時間閾值；c1和c2都是用來調整信任值變化速度的常數。此外，引入mod(T,τ)以保證歷史信任值不會太小，并使揮發因子在一定范圍內周期性衰減。

2.2 間接信任值

如圖1 所示，節點i對節點j的間接信任值由其公共鄰居節點提供的直接信任值計算而來。公共鄰居節點集合可以用Bh=[B1,B2,…,Bm]表示，m是公共節點個數。節點i對節點j的間接信任值表示如下：

圖1 節點i 和j 的公共節點Fig.1 The common nodes of nodes i and j

2.3 能量信任值

本文使用與文獻［22］相同的能耗模型。當節點j在距離d上接收到l位數據包時，接收和發送的能耗為：

其中：Eelec表示發射器電子設備消耗的能量/比特；εfs表示自由空間模型的能耗；εmp表示多徑衰落模型的能耗；d0是放大器調整其功率的閾值。

令j的初始能量為E0，則剩余能量REj為：

其中：只有當j的剩余能量REj大于閾值Eth時，節點j才能參與TSPR 的操作，因此j能量信任值為：

2.4 綜合信任值

考慮到節點的安全性和能耗，節點i對節點j的綜合信任值公式如下：

其中：η1、η2和η3分別是直接信任值、間接信任值和能量信任值的權重，滿足η1+η2+η3=1，η1、η2和η3的值選取為0.34、0.4 和0.26。和Ej均分布在［0，1］區間內，因此綜合信任值滿足［0，1］，的值越高，節點j越值得信賴。

當網絡中的某個節點發起黑洞攻擊時，St的值會急劇降至接近于0，在揮發因子的作用下歷史信任值會急劇下降，因此惡意節點的綜合信任值也會急劇下降，從而使發起黑洞攻擊的惡意節點被隔離到網絡之外。同樣，如果網絡有發起Hello 洪泛攻擊的節點，Rt的值會急劇下降并接近于近0，這必然導致惡意節點的綜合信任值也會下降。從而使惡意節點被排除在網絡之外。因此，伴隨著選擇性轉發攻擊和槽洞攻擊的節點，在揮發因子、St和Rt的作用下，其綜合信任值逐漸下降，同樣會被排除在網絡之外。

2.5 信任值的存儲

節點i將監聽到鄰居節點j接收到的數據包數量receive_messagej的值、發送的數據包數量send_messagej的值和數據包總量mesagej的值并存放在如表1 所示哈希表中。通過式（1）計算直接信任值并將其存放在哈希表中，以便計算間接信任值。之后，通過式（12）計算出綜合信任值并將其保存在哈希表中。

表1 節點i 對鄰居節點j 的評價信息哈希表Table 1 Hash table of evaluation information of node i to neighbor node j

節點i的鄰居節點個數為q，對其ID編碼：｛ID1=0，ID2=1，…，IDq=q-1｝；同時對 鄰居節 點j的receive_messagej，send_messagej，mesagej，和分別編碼 為q，q+1，q+2，q+3，q+4，令a1=q，a2=q+1，a3=q+2，a4=q+3，a5=q+4。

節點i將監聽到鄰居節點j的receive_messagej，send_messagej，mesagej，和的值通過哈希函數映射到同一張表中，哈希函數設計如下：

例如，節點i查詢和計算2 號鄰居節點的值時，根據式（13），將其存儲在index=10 的位置，查詢和計算1 號鄰居節點的值時，將其存儲在index=3 的位置。

3 TSRP 設計

TSRP 具體包括信任模型、路由建立和路由維護3 個階段。信任模型是TSRP 的前期準備也是評價節點是否安全的重要依據。擁有越高綜合信任值的節點代表的安全性也越高，被選擇作為下一跳節點的可能性也越大。路由建立是將這些高綜合信任值的節點作為中繼節點的同時控制好跳數，使鏈路跳數盡可能少。當鏈路的不再是最優時，路由維護再次選擇出最優路由，使網絡中的數據沿著安全節能的路徑傳輸。

3.1 網絡模型

在本文中，WSN 有n個節點被隨機部署在感興趣的L×M矩形區域上且每個節點均通過鄰居節點將信息發送到sink。進行以下假設以簡化網絡模型：

1）部署后，每個節點和sink 均不可移動；

2）考慮同構節點并具有相等的初始能量，此外，不可能補充能量；

3）每個節點都有一個唯一的標識符號（ID）；

4）可以基于接收信號強度來計算任意一對節點或任意節點與sink 之間的距離；

5）節點部署后，sink 知道每個節點的ID 和位置信息。

3.2 路由建立

TSRP中的路由建立是對AODV［23］的改進，擴展了路由請求幀（RREQ）和路由回復幀（RREP），在RREQ中添加了節點ID、綜合信任值、剩余能量和跳數，在RREP中添加了節點的路由表和中繼節點的剩余能量。RREQ 和RREP 中添加節點的剩余能量以便鄰居節點收到此幀時更新其對鄰居節點的能量信任值。

網絡中的源節點廣播RREQ 消息以啟動路由建立過程，因此sink 可以接收多個RREQ，其數量等于源節點到sink 之間總共存在的鏈路個數，鏈路集合可以表示為link_list=[link1,link2,…,linkr]，r是鏈接的數量。鏈路集合中的鏈路由源節點i和所有中繼節點組成，可以用link=[node1,node2,…,nodek]表示，k是鏈路中節點的數量。sink 根據鏈路集合中每條鏈路的鏈路質量選擇出最優路徑，鏈路質量表示如下：

其中：dis是鏈路的傳輸距離，可以用以下公式表示：

從式（14）可以看出，如果存在蟲洞攻擊，2 個惡意節點之間的距離將會很長，必然會產生較大的dis值，從而降低鏈路質量，將惡意節點排除在鏈路之外。其中R為節點的傳輸半徑。

為了將網絡中的延遲降到最低，將跳數考慮到最優路徑的選擇中。TSRP 定義了最優路徑指標PPV，其表示如下：

其中：jump 是鏈路中的跳數；λ和1-λ分別是鏈路質量和跳數的權重系數，其為可調參數，為了公平起見，令λ的值為0.5。對鏈集合的PV值由大到小排序，構建路由表PV_list=[PV1,PV2,…,PVr]，選擇最大的PV 值對應的鏈路作為數據傳輸的最優路由。

具體的路由建立步驟如下：

步驟1節點部署之后，sink 向全網發送一個廣播包，每個節點根據接收到廣播包的信號強度計算出與sink 之間的距離；向自己的鄰居節點廣播自己與sink 之間的距離；每個節點保存自己所有鄰居節點到sink 的距離和相應的ID。

步驟2源節點i廣播RREQ 來啟動路由建立過程，首先源節點i根據自己鄰居節點的綜合信任值來尋找符合要求的預選下一跳節點，預選下一跳節點應該滿足綜合信任值高于閾值且距sink 的距離小于自己到sink 的距離（如圖2 中的節點2、3、5、8、a1、a2所示）；之后節點i將預選下一跳節點按照綜合信任值的大小由大到小排序，取前1/2 高信任值的節點作為下一跳，且將下一跳節點的ID（如圖2 中的節點2、3、5、8 所示）、自己的綜合信任值和ID 放在RREQ 包中；最后廣播RREQ，跳到步驟3。

步驟3源節點i的鄰居節點在收到RREQ 消息后，首先檢查RREQ 中是否有自己的ID，如果沒有則丟棄RREQ，否則檢查自己的剩余能量是否低于閾值，低于閾值則丟棄RREQ（如圖2 中的節點2 所示），高于閾值則跳轉到步驟4。

步驟4如圖2 中節點3、5、8 所示將RREQ 包中的Jjump=Jjump+1，將RREQ 中別的ID 和對應的綜合信任值刪除，只保留自己ID、上一跳ID、源節點ID 和對應的綜合信任值。

步驟5滿足要求的節點重復步驟2～步驟3。在重復步驟2～步驟3 時，如果中繼節點收到多個RREQ 并且源節點相同則只對先收到的RREQ 進行處理，后收到的RREQ 丟棄，以避免路由循環，直至到達sink；或者中繼節點剩余能量或者綜合信任值低于閾值，同樣丟棄RREQ（如圖2 中節點4 所示）。

步驟6sink 可能收到一個或者多個RREQ 時（如圖2 中路徑r1和r2），sink 根據接收到的RREQ 中的信息通過式（14）～式（16）計算出每條路徑中的最優路徑，然后將其由大到小排序并且存儲在PV_list列表里。從列表中選擇最大的PV值對應的路徑作為最優路由，然后sink 沿著這條路徑反向傳播RREP，直至到達源節點i。

步驟7在轉發RREP 過程中，從中讀取鄰居節點的剩余能量以便更新能量信任值。一旦中繼節點剩余能量（如圖2 中的節點10 所示），則此節點沿著這條路徑向sink 發送RERR（錯誤幀）或者綜合信任值低于閾值（如圖2 中的節點10 所示），則此節點的上一跳節點（如圖2 中的節點11 所示）沿著這條路徑向sink 發送RERR。sink 收到RERR 后，從PV_list 選擇第二大的PV 值對應的路徑作為最優路由再次發送RREP，直至到達源節點i。

圖2 路由建立過程Fig.2 Process of route establishment

步驟8源節點i接收到RREP 后，沿著該路徑發送數據，并且該路徑上的節點和周圍的節點在一定周期Tt內更新其綜合信任值。

3.3 路由維護

在數據傳輸期間，一旦路徑中任何節點的剩余能量低于閾值（如圖3 中節點2 所示），表示節點無法承擔數據轉發，則此節點沿著這條路徑反向發送RERR，告知源節點i此路徑不再可靠，需要重新發動路由建立過程；或者任何節點的綜合信任值低于閾值（如圖3 中節點2 所示），表示此節點不再可信，則此節點的上一跳節點（如圖3 中節點1 所示）沿著路徑反向發送RERR，告知源節點i需要重新發動路由建立過程，并從步驟2 重新開始。

圖3 路由維護過程Fig.3 Process of route maintenance

4 仿真與結果分析

通過MATLAB 與AODV 和TBSRP（Trust Based Secure Routing Protocol）［10］進行比較，對本文提出的TSRP 的性能進行評估，將100 個節點隨機部署在通信半徑為30 m 的100 m×100 m 方形監視區域中，并將仿真回合數設置為3 000。上述剩余能量的閾值設置為不足以轉發2 個數據包所消耗的能量。惡意節點可以在網絡上發起蟲洞攻擊、槽洞攻擊、黑洞攻擊、選擇性轉發攻擊和Hello 洪泛攻擊。此外，當惡意節點發起選擇性轉發攻擊時，接收到的數據包中有60%～80%被丟棄。以下仿真實驗選擇惡意節點的個數為5，表2 給出了仿真參數。

表2 仿真參數Table 2 Simulation parameters

對于無線傳感器網絡安全路由來說最重要的是網絡的高安全性和低能耗。式（12）的前半部分η1×是評估節點安全性的指標，后半部分η3×Ej是評估節點的能耗指標。為了使高安全性和低能耗來主導綜合信任值的波動幅度，必須使η1×和之間的變化幅度不能大于η1×+η2×和η3×Ej的變化幅度，所 以η1×的值和η2×的值是相近的。根據仿真結果，直接信任值的平均值為0.919 4，間接信任值的平均值為0.802 14。由表3 可以看出，η1和η2的值選取為0.34 和0.40，所以η3的值為0.26。

表3 η1 和η2 的選取Table 3 Selection of η1 and η2 values

4.1 平均剩余能量

測試網絡的平均剩余能量，該平均剩余能量是所有存活可信節點的剩余能量的平均值。圖4 顯示了在網絡中有5 個惡意節點的情況下平均剩余能量的比較。因為網絡在計算且選擇最優路徑時由sink完成，分擔了節點的計算能耗，更重要的是將節點的剩余能量、跳數和傳輸距離均考慮在其中，TSRP 選擇的最優路徑具備信任值高、剩余能量高、跳數少、傳輸距離短的特點，降低了節點之間的通信能耗。而TBSRP 并沒有考慮節點的剩余能量、跳數和傳輸距離，選擇的路徑并非最優，所以不能很好地平衡網絡的負載。AODV 是沒有安全防護措施的路徑，因此惡意節點會破壞網絡的路由，使節點更早更快地死亡。

圖4 平均剩余能量Fig.4 Average remaining energy

4.2 RREQ 成功送達率

RREQ 成功送達率是源節點i通過中繼節點轉發RREQ 成功達到sink 的路徑與總共建立的路徑的比值。源節點i向sink 方向擴散RREQ，滿足要求的中繼節點會繼續轉發RREQ，不滿足的則丟棄。因此，源節點i和sink 之間會建立很多的路徑，也會產生許多不能成功到達的sink 路徑。本文在路由建立過程中，控制了轉發過程中繼節點個數，從而減輕了節點間的信息交互，避免了通信擁堵，降低了網絡的能耗。表4 和表5 所示為距sink 不同距離下隨機選擇源節點建立的路徑個數和成功送達率。由表4、表5 可以看出該方法不僅降低了總共建立的路徑條數而且提高了RREQ 到達sink 的成功送達率，使每條鏈路得以充分利用。

表4 TSRP 的RREQ 成功送達率Table 4 Successful delivery rate of RREQ in TSRP

表5 TBSRP 的RREQ 成功送達率Table 5 Successful delivery rate of RREQ in TBSRP

4.3 平均端到端延遲

評估平均端到端延遲，比較結果如圖5 所示。隨著惡意節點的增加，所有協議的平均端到端延遲都在增加。在AODV 中，由于沒有防御措施，因此丟包率隨著惡意節點的增加而迅速增加。一旦發生數據包丟失，該節點需要建立重新連接并重新傳輸數據包，這無疑會增加端到端延遲。對于TBSRP 和TSRP 而言，由于采用了安全機制，平均端到端延遲會隨著惡意節點的增加而緩慢增加。但是TSRP 的延遲明顯低于TBSRP。從圖5 可以看出，當惡意節點個數為10 時，TBSRP 的端到端延遲為6.11 ms，而TSRP 的端到端延遲為4.50 ms。主要原因是TSRP和TBSRP 相比，TSRP 選擇了更安全且傳輸數據跳數更少的鏈路作為路徑。

圖5 平均端到端延遲比較Fig.5 Comparison of average end-to-end delay

4.4 平均丟包率

圖6 中顯示的是平均丟包率，它是源節點發送的數據包數量與接收器接收的數據包數量之差與發送方發送的數據包數量之差的比率。AODV 的平均丟包率隨著回合次數的增加而迅速增加，因為它缺乏安全措施保護。在惡意節點的攻擊下，節點將數據包惡意丟棄，使sink 不能接收到數據包，從而急劇地增加了網絡的丟包率。TSRP 和TBSRP 的丟包率先增大后減小，這是因為惡意節點逐漸地被排除在網絡之外，使網絡的丟包率逐漸降低。此外，TSRP的丟包率在2 100 輪之后開始下降，而TBSRP 在2 400 輪之后才開始下降，這意味著TSRP 比TBSRP能更快地將惡意節點排除在網絡之外。因此，TSRP的性能比TBSRP 更優?？傮w而言，TSRP 的平均丟包率比TBSRP 的平均丟包率高2.23 個百分點。

圖6 平均丟包率比較Fig.6 Comparison of average packet loss rate

5 結束語

為提高網絡安全性及節約網絡能量，本文提出一種基于信任的安全路由協議（TSRP）。該協議通過節點的成功收發包概率、歷史狀態和剩余能量來綜合評估每個節點的信任值，量化節點的安全等級，根據單個節點的信任值和跳數找到一條安全性最高、能量消耗最少的路徑作為數據傳輸的路由。仿真結果表明，TSRP 在能耗、丟包率及網絡延遲方面均優于AODV 和TBSRP。下一步將通過構建基于分簇結構的網絡，提高排除惡意節點的速度，降低節點的能量消耗。