基于雙層模糊邏輯信任的OLSR安全路由協議①

劉 杰, 劉光杰

(南京信息工程大學 電子與信息工程學院, 南京 210044)

1 引言

MANET是一種自組織網絡, 移動節點通過無線鏈路和多跳轉發連接, 沒有固定的網絡基礎設施[1].MANET由于其靈活性強, 廣泛應用于救災、車載網絡、軍事服務等領域. 然而, 由于其分布式特性、網絡拓撲結構的不斷動態變化和沒有絕對控制中心, MANET容易受到惡意節點的各種攻擊[2].

MANET中的通信分為兩種類型: “單跳通信” 和“多跳通信”. 在前者中, 位于彼此通信范圍內的節點直接通信, 而在多跳通信中, 當目的節點超出源節點通信范圍時, 需要中間節點將消息中繼到目的節點. 從廣義上講, 路由協議可以分為3類: 主動路由協議、被動路由協議、混合協議[3]. 在主動路由協議中, 僅當需要將數據包發送到特定目的地, 并且沒有可用的緩存路由時, 才會獲得路由. 如動態源路由(dynamic source routing, DSR)、即按需距離矢量路由協議(ad hoc ondemand distance vector routing, AODV). 在被動路由協議中, 所有的路由都是預先發現的, 所有的路由都是可用的, 并且一直由網絡中的所有節點維護. 如目的節點序列距離矢量(destination sequenced distance vector,DSDV)路由協議、優化狀態鏈路路由協議 (optimized link-state routing, OLSR)[4]. 在混合協議中, 這類協議是主動和被動協議的混合. 對于本地鄰居, 使用主動技術,對于較遠的節點, 使用被動路由機制. 區域路由協議(zone routing protocol, ZRP)是一種混合路由協議. 目前MANET常用的路由協議之一是OLSR, 該協議是對傳統路由協議鏈路狀態的改進, 使用了多點中繼(multi-point relay, MPR)技術[4], 每個節點在其所有單跳鄰居之間最優選擇一個MPR的子集, 以覆蓋所有的2跳鄰居, 且只允許MPR節點生成和轉發 (topology control, TC)廣播消息, 大大減少了網絡中的中繼數量和信息量. 但OLSR與傳統路由協議相比, 需要大量的帶寬和能源資源、開銷, 且不支持多播和安全性. 因此,OLSR容易遭受各種惡意攻擊, 如黑洞攻擊、重放攻擊、自私行為等[5]. 黑洞攻擊最具破壞性, 攻擊者通過謊稱到達目的地的最短路徑來吸引所有數據包, 后將數據全部轉儲, 惡意阻止數據轉發到目的節點. 此外,惡意節點滲透到網絡中, 會修改、盜用、注入數據, 甚至產生虛假消息. 攻擊會采取“自私”的形式[6], 當一個或多個節點拒絕將流量中繼到網絡的其余節點時, 為了保留能量, 攻擊者會隱式地阻止節點之間的通信.

當前增強OLSR安全性的工作主要基于密碼學方法. Semchedine等人[7]提出了一種對標準OLSR路由協議的擴展, 稱為加密優化鏈路狀態路由(CRY OLSR),以保護其免受黑洞攻擊. 該提議的機制基于非對稱密碼, 允許識別并隔離網絡中的惡意節點, 但基于非對稱加密算法的現代密碼學通常是沉重的, 計算壓力和能耗高. Baadache等人[8]提出了一種基于認證的端到端確認的方法, 用來檢查中間節點對數據包的正確轉發,可檢測出自組網絡中的黑洞攻擊. 該方案的局限性是可以防止外部攻擊, 但仍然容易受到內部攻擊. 綜合來說, 基于密碼學的安全路由協議由于需要額外的信息交換, 網絡和計算開銷大, 以及密鑰管理和公鑰基礎設施的支持, 對資源有限的移動設備不友好, 且無法應對存在內部惡意節點的攻擊場景.

基于信任模型的安全路由設計總體輕量卻能較好應對內部攻擊場景, 已受到了廣泛關注. 如Shcherba等人[9]提出了一個新的布爾值信譽模型, 該框架由3個模塊(信譽模塊、信任模塊和加權模塊)組成, 并與OLSR路由協議交互以減輕丟包攻擊. 每個節點的信譽模塊計算所有其他節點的本地信譽值, 并將這些值收集在網絡中廣播的信譽向量中. Bhuvaneswari等人[10]提出利用虛構節點檢測和防止網絡中導致蟲洞、黑洞以及灰洞攻擊. 這些惡意入侵者通過虛假HELLO消息和基于虛擬節點定期發送的TC消息驗證被及時識別.盡管已經提出了許多信任管理方案來評估信任值, 但是沒有一項工作明確地說明應測量什么來評估網絡信任. 在此基礎上, Tu等人[11]提出了建立基于云模型和模糊Petri網的CFPN信任推理機制來計算節點的信任值, 通過設置固定的閾值檢測[12]和排除惡意節點. 該方法由于網絡傳輸范圍短、節點移動性高, 在網絡拓撲頻繁變化情況下設置一個固定的信任閾值, 將很難權衡誤報率、檢測率、丟包率等性能指標[13]. Inedjaren等人[14]利用模糊邏輯模型, 將模糊的、隨機的節點可信度的性能指標由定性描述轉化為定量描述, 評估網絡信任和減少計算開銷. 該方案中節點的信任值是基于單個信任屬性標準來計算的, 可能會出現自舉時間問題[15], 即基于信任的方案在網絡中建立信任所需的時間, 將會給惡意節點提供更多的機會來丟棄數據包并在網絡中長時間不被發現, 且靜態閾值的設置難以適應網絡環境的動態性.

為解決上述問題, 本文提出一種基于環境自適應決策的雙層模糊邏輯信任OLSR (EFT-OLSR)作為原始OLSR的安全擴展協議. 該模型使用雙層模糊邏輯計算節點的信任級別, 極大降低計算的復雜度; 并根據鏈路變化率、節點度、2跳連通性動態調整信任閾值,隔離惡意節點, 有效檢測惡意節點發起的黑洞攻擊和自私攻擊.

2 基于環境自適應決策的雙層模糊邏輯信任路由(EFT-OLSR)協議

OLSR協議是典型的先驗式鏈路狀態協議, 也是802.11s推薦的無線Mesh網路由協議[16]. 該協議主要采用兩個路由消息: 握手(HELLO)和拓撲控制(TC)消息, HELLO消息用來執行鏈路感知, 鄰居檢測和MPR選擇, TC消息用來聲明MPR信息. 其次, 該協議引入了多點中繼(MPR)節點的概念, MPR節點周期性發送TC消息, 將拓撲信息擴散到整個網絡. OLSR協議具有以下兩個優點:

1) 只有MPR節點才能轉發TC消息, 減小了路由發現過程中洪泛消息的數量.

2) 節點發送的TC消息, 只包括與多點中繼選擇者節點(MPR selector)之間的鏈路信息, 減小了路由發現過程中洪泛消息的長度.

一個節點想要將數據包發送到目的節點, 首先需要將這個包發送到它的MPR節點, 所以MPR節點是攻擊者的中心目標. 為了檢測和防止惡意節點發起的黑洞攻擊和自私攻擊, 本文提出一種基于環境自適應決策的雙層模糊邏輯模型, 將該模型嵌入到OLSR協議中, 首先通過模糊邏輯計算所屬節點的可信度水平;其次根據網絡環境中鏈路變化率、節點度、2跳連通性, 構建出動態的信任閾值. 當一個節點的可信值小于閾值時, 該節點就被標記為惡意節點, 避免了惡意節點作為MPR節點, 有效的解決了黑洞攻擊和自私攻擊,提高網絡性能. 其模型框架如圖1所示.

圖1 模型框架

2.1 參數提取模塊

基于信任路由機制的方案中, 參數提取往往基于單一的屬性標準[16]. 如FT-OLSR中僅選取數據包數量屬性進行決策, 未考慮到節點因自私攻擊, 造成的數據包大量丟失. 由于節點頻繁的加入和離開網絡, 使用單一的屬性準則會花費更多的時間去建立信任模型, 給行為不端的節點提供更多的機會破壞網絡的拓撲結構,最終不能有效的發現并處理惡意節點. 為了加快信任機制的建立過程, 有效的處理惡意節點行為, 在參數提取時, 采用多個屬性的標準. 于是選取數據包數量屬性和節點的剩余能量屬性, 避免一個或多個節點拒絕將流量中繼到網絡的其余節點的情況, 而造成的自私攻擊.

1) HELLO消息的數量和TC消息的數量(nHELLO,nTC)

在OLSR中, 最主要的兩個屬性是HELLO消息和TC消息. HELLO消息用來執行鏈路感知, 鄰居檢測和MPR選擇, TC消息用來聲明MPR信息. 因此, 在參數提取時要考慮節點產生的nHELLO和nTC.

2) 節點剩余能量(P)

由于節點的頻繁移動會消耗大量的能量, 有些節點為了保護自身的能量消耗, 會采取“自私”的攻擊形式, 隱式地阻止節點之間的通信. 這種惡意攻擊常常難以被發現. 在資源受到限制的情況下, 參數提取時必須考慮到節點的剩余能量[15].2

.2 雙層模糊推理模塊

FT-OLSR中選取兩輸入單輸出的Mamdani[17]進行決策, 其模糊規則數增加為指數級, 在資源有限的移動設備中實現該構造會增加計算負載和路由開銷. 本文通過運用雙層模糊邏輯結構, 使得模糊規則數極大減少, 限制了計算的復雜性, 加快模糊控制器的響應速度, 如圖2所示.

圖2 雙層模糊邏輯結構

在第一層模糊結構中, 選取那些對輸出結果有著較大影響的變量為第一層結構的輸入變量, 即nHELLO和nTC; 接著選取對輸出結果有著次要影響的變量: 節點剩余能量(P), 與第一層結構的輸出變量M共同作為第二層結構的輸入, 其結構圖如圖3所示.

1)模糊化處理

計算信任值檢查節點的行為, 即“正常或惡意”, 其基礎是TC信息的數量和 HELLO信息的數量. 因此,把這兩個變量作為模糊系統第一層的輸入, 對每個輸入使用兩個隸屬度級別: 低、高. 通過使用相應的預定義變量和隸屬函數[18], 將nHELLO和nTC化為模糊語言變量. 如圖3所示, HELLO隸屬函數的數量估計了nHELLO值的程度. nTC的隸屬函數也定義在圖3中.

圖3 nHELLO和nTC的隸屬函數

第1層結構有一個輸出變量: M, 同時與節點剩余能量(P)共同作為第2層結構的輸入變量, 其模糊語言變量可被定義為: {Low, Medium, High}, 其隸屬度函數表示如圖4所示.

圖4 M和P的隸屬函數

第2層結構的輸出為: Trust, 也是整個模糊系統的輸出. 模糊語言變量可被定義為: {Very low, Low,Medium, High, Very high}, 其隸屬度函數如圖5所示.

圖5 Trust的隸屬函數

2) 模糊規則庫的構建

在該模型中, 為模糊推理模塊[19]建立了一個規則庫. 采用了If-then規則, 則第一層的模糊規則可表示為:

第2層的模糊規則可表示為:

3)去模化

該模型采用加權平均法進行去模化處理, 并利用式(3)對節點的信任值進行預測:

VL(x): 1跳鄰居節點x的信任度, 對應信任度為Very low.

L(x): 1跳鄰居節點x的信任度, 對應信任度為Low.

M(x): 1跳鄰居節點x的信任度, 對應信任度為Medium.

H(x): 1跳鄰居節點x的信任度, 對應信任度為High.

VH(x): 1跳鄰居節點x的信任度, 對應信任度為Very high.

信任值介于0到1之間. 當信任水平值較低時, 節點表現出的惡意行為多于相鄰節點的正常行為.

2.3 決策模塊

由于MANET中的節點具有移動性, 網絡拓撲變化頻繁, 因此, 很難在基于信任的方案中設置一個合適的信任閾值, 檢測出惡意節點. FT-OLSR中僅使用靜態的、預定義的信任閾值, 忽視每個節點的網絡環境. 使用靜態閾值會導致高誤報率和低惡意節點檢測率. 若閾值太低, 錯誤率將會很高, 從路由路徑中移除惡意節點會遲緩. 為解決上述問題, 在該模塊中, 采用了一種新的環境自適應的決策方法, 該策略根據網絡條件調整路由協議中的信任閾值.

2.3.1 網絡模型

本文考慮由一些移動節點組成的自組網. 設該網絡模型為圖G (V,E), 其中V是節點的集合, E是鏈路的集合[20]. 所有節點都有一個均勻的傳輸范圍r0, 當且僅當節點x與v之間的歐氏距離小于傳輸范圍r0時, 無線鏈路( x,v)∈E.

2.3.2 網絡參數

1) 鏈路變化率(η)

由于網絡的移動性, 網絡的組成以及各個節點的鄰域經常發生變化. 節點可通過計算鄰域鏈路變化的速率來確定其鄰域內節點的可移動性. 設x是一個節點, 關注單個節點x的鏈路變化率[21], 從而得到節點x平均的鏈路變化率為:

其中, λ表示平均鏈路連接率, μ表示平均斷鏈率, η表示平均鏈路變化率.

每一個新節點進入節點x的傳輸范圍, 就會產生一條到x的新鏈路, 因此x附近的新節點數等于每一個時間間隔[t-1, t]下在x處的鏈路連接率, 設為λx:

同理, 斷鏈數為每個時間間隔[t-1, t]內移動出節點x傳輸區域的節點總數. 斷鏈率設為μx:

節點x在t時刻的最小鏈路變化率為0, 表示沒有新的節點到達, 也由于沒有移動的節點而導致的鏈路中斷(網絡是臨時靜態的). 同樣的, 當節點x在t時刻,所有與其直接相連的鄰居都不在傳播范圍, 則可能出現最大斷鏈率. Samar等人[22]表明, 當最大的鏈接連接率等于斷鏈率時, 最大鏈路變化率可為:

若鄰域的鏈路變化率較高, 考慮到節點間交互時間較短, 較低的信任閾值可能是避免誤報的最佳選擇.同樣, 如果一個鄰域內的鏈路變化率較低, 則網絡趨向于靜態, 因此較高的信任閾值可能是最佳選擇. 對于鏈路變化率, 其最優的信任閥值公式如下:

2) 節點度(?)

定義為一個節點的1跳鄰居中的節點數量. 設x為節點, x在t時刻的節點度定為 ?x(t), 傳輸范圍為r0定義為:

節點度為0的節點是孤立的, 即沒有鄰居; 因此,最小節點度 m in(?x)=0. 此外, 如果網絡中所有節點都直接連接到x, 則節點有最大節點度m ax(?x), 節點度直接影響信任閾值. 在計算信任閾值時, 每個節點都考慮其1跳鄰域內的節點度. 1跳鄰居的節點度越高, 信任閾值越高, 反之亦然. 當源節點有更多可供選擇的1跳節點時, 可以容忍更嚴格的信任閾值, 網絡分區的風險也更低. 如果將惡意的節點m與路由路徑隔離, 節點x仍然可以連接到網絡中. 通過式(10), 可以找到節點x處的最優信任閾值:

由式(10)可知, 節點度的最大值為最高信任閾值(1), 節點度的最小值為最低信任閾值(0).

3) 2跳連通性

設僅通過鄰居z可達的2跳鄰居的節點數w, 則節點x的2跳鄰居定義為:

節點x的2跳連通性σ (x,z)定義如下:

對于特定的1跳鄰居z, 節點 min(σx)最小2跳連通性為0, 表明通過該節點不能達到任何2跳節點. 相反, 一個節點其鄰居z的最大2跳連通性最大值是|2hop(x)|, 這表明x的所有2跳鄰居只能通過節點z到達.

2跳連通性是一個重要參數, 表示網絡對節點故障的容忍度, 將行為不正常的節點與路由路徑隔離之前,確保網絡的連通性. 其2跳連通性σ (x,z)的最優信任閾值公式如下:

由式(13)可知, 當σ (x,z)值最大時, 信任閾值最小(0), 當σ (x,z)值最小時, 信任閾值最大(1).

將以上的方程合并到數學模型中, 計算惡意節點的信任閾值為:

最后為了保持高保真的仿真場景, 需將式(14)計算的信任閾值作為性能指標測試的依據.

2.4 EFT-OLSR協議

EFT-OLSR路由協議的主要模塊是信任管理機制.EFT-OLSR路由協議以上述提出的多屬性環境自適應決策的模糊邏輯信任模型為基礎, 這些組件之間關系如圖6所示.

圖6 EFT-OLSR協議流程圖

3 仿真實驗與分析

該實驗采用網絡模擬器3 (NS-3)進行了測試該方案的性能. 為了獲得可靠的結果, 要確保部署的仿真場景能夠高保真地表示所提出方案.

3.1 仿真環境構建

為實現這一目標, 考慮了網絡節點的隨機部署, 以更好地評估提出的方案. 在仿真實驗中, 將節點的移動速度在1-10 m/s之間變化. 并且節點移動性采用Constant Waypoint mobility model移動性模型; 且隨機選擇惡意節點, 以保持其在網絡中的分布均勻. 惡意節點數設置為節點總數的10%-60%. 在實驗中, 讓惡意節點以25%的概率隨機或有選擇地丟棄數據包來模擬這種攻擊.與真實場景中一樣, 惡意節點與常規節點沒有區別, 因此具有相同的移動屬性, 如速度、方向等. 模擬場景的參數如表1所示.

表1 模擬場景的參數

3.2 性能指標

仿真中, 通過不同的性能指標測試設計方案, 以下為分析提出的方案時考慮的性能指標:

1)數據包傳遞率(PDR): 源節點產生的數據包數量與目的地接收到的數據包數量的比率.

2)平均端到端延遲: 數據包從源節點發送到目的地所花費的平均時間.

3)丟包率: 行為不正常的節點丟失的數據包占發送數據包總數的百分比.

3.3 模擬結果與分析

測試1: 不同節點速度下的性能比較.

1)數據包傳遞率(PDR)

該測試比較不同節點速度下FT-OLSR和EFTOLSR性能. 圖7(a)表明, 兩種路由協議的PDR都隨著節點移動速度的增加而降低. 在較低的節點速度下,EFT-OLSR比FT-OLSR性能更好, 因為鏈路變化速率越低, 自適應閾值越嚴格, 惡意節點在較早期就被隔離,并保持較高的數據包傳遞率. 然而, 隨著節點速度增大,鏈路變化速率較高, 自適應閾值保持較低水準, 導致EFT-OLSR的數據包傳遞率較低, 但仍高于FT-OLSR.

圖7 不同節點速度下的性能比較

2)平均端到端延遲

如圖7(b)所示, 兩種協議的平均端到端延遲都隨著節點速度的增加而增加, 隨著節點速度的提高, 鏈路連接很容易崩潰. 因此, 源節點在發送包之前必須發起更多路由請求, 這增加了這兩種協議的平均端到端延遲. 相對于FT-OLSR協議, EFT-OLSR的平均端到端延遲相對較高. 因為為了保證較高的數據包傳遞率, 可能會使數據包沿較長的路徑行進, 以避免惡意節點的出現.

3)丟包率

如圖7(c)所示, 兩種協議的丟包率都隨著節點速度的增加而增加, FT-OLSR的丟包率顯著上升, EFTOLSR的丟包率緩慢上升. 這是因為EFT-OLSR用較高的時延, 保證了較高的數據包傳遞率, 防止惡意節點轉發數據包. 然而, FT-OLSR沒有考慮網絡拓撲的變化, 未能有效阻止惡意節點, 導致惡意節點隨機的丟棄數據包, 造成丟包率大幅度上升.

測試2: 不同惡意節點數量的性能比較

1) 數據包傳遞率(PDR)

圖8(a)顯示了在改變惡意節點數量時FT-OLSR和EFT-OLSR的PDR變化. 當惡意節點數量較低時,EFT-OLSR比FT-OLSR性能更好. 原因是, 網絡拓撲中的正常節點數遠遠大于惡意節點數時, 源節點在路由路徑中有更多的備選節點, 獲得更高的閾值, 惡意節點將從路徑中刪除, 使得PDR更高. 然而, 隨著惡意節點數量的增加, 該網絡拓撲已經完全失去了原有的構造,被惡意節點肆意破壞, 采用的閾值變低, 使得FT-OLSR和EFT-OLSR的PDR基本相同.

2)平均端到端延遲

圖8(b)顯示了與FT-OLSR協議相比, 增加惡意節點數的EFT-OLSR協議平均端到端延遲. 結果表明, 在惡意節點數量較少的時候EFT-OLSR的端到端延遲略高, 因為為了保證較高的PDR, 可能會讓數據包沿著較長的路徑避開惡意節點. 隨著惡意節點的增加, FT-OLSR開始高于EFT-OLSR的均端到端延遲, 因為EFT-OLSR雖花費更多時間尋找能夠正確傳遞信息的路徑, 但當惡意節點逐漸覆蓋整個網絡拓撲時, FT-OLSR協議已經更加難以正確的傳遞數據包.

3)丟包率

圖8(c)顯示了不同惡意節點下兩種協議的丟包率. 從圖中可以看出, 與FT-OLSR協議相比, 采用EFTOLSR協議的丟包率更低. 原因是, 在EFT-OLSR協議下, 網絡中的每個節點都在考慮其本地網絡條件的情況下計算惡意節點隔離的閾值, 惡意節點被提前檢測到. 然而FT-OLSR協議采用靜態閾值, 容易誤報惡意節點, 丟包率增加.

圖8 不同惡意節點數量的性能比較

4 結論

本文提出一種基于環境自適應決策的雙層模糊邏輯信任OLSR(EFT-OLSR)作為原始OLSR的安全擴展協議.

(1)通過模糊邏輯計算所屬節點的可信度水平; 并根據網絡環境中鏈路變化率、節點度、2跳連通性, 構建出動態的信任閾值. 當一個節點的可信值小于閾值時, 該節點就被標記為惡意節點, 避免了惡意節點作為MPR節點, 有效的解決了黑洞攻擊和自私攻擊, 提高網絡性能.

(2)仿真結果表明, 本文提出的EFT-OLSR協議在數據包傳遞率、平均端到端時延、丟包率方面與FTOLSR協議相比性能更好, 且降低了惡意節點的誤報率.

(3)當然本文提出的協議也有需要改進的地方, 如提取更多的參數, 加快信任機制的建立過程. 需研究和開發一個盡可能通用的信任模型, 有效檢測和防止惡意節點發起的常見攻擊.