基于接收信號強度的安全RPL 路由

徐會彬魯于暢汪玉婷

（湖州師范學院信息工程學院，湖州 313000）

1 引言

女巫攻擊是物聯網（Internet of Things，IoT）［1］網絡常遭受的攻擊。女巫攻擊通過偽造多個虛假非法身份，控制若干節點，并實施一些惡意行為，如誤導正常節點的路由表，頻繁傳輸數據包，消耗節點間通信的網絡資源。由于正常節點難以認證節點身份，在物聯網中檢測女巫攻擊是一項必不可缺的任務。

由于低功率低損耗網絡路由協議（Routing Protocol for low power and Lossy network，RPL）［2］的可靠性高、擴展性好以及功耗低［3］，無線IoT 常采用RPL 路由。RPL 路由利用目標函數（Objective Function，OF）構建以根節點為導向的有向無環圖（DODAG）。每個非根節點依據OF 計算表征離根節點距離關系的秩值（Rank）。信息請求包（DIS）、信息對象包（DIO）和目的廣告對象包（DAO）是RPL 路由構建數據傳輸路徑的三類控制包。DIO 包攜帶了配置參數。若網絡外的節點想加入網絡，就向網絡內節點發送DIS 包。收到后，網絡內節點回復DIO 包，進而使這些節點獲取相關的配置參數。而DAO 包主要用于建立向下路由［4］。

然而，由于RPL 路由采用無線網絡，無線IoT常遭受女巫攻擊。針對女巫攻擊，研究人員提出了不同的應對之策。例如，文獻［5］提出基于人工蜂群的女巫攻擊防御算法（Artificial bee colony Model against Sybil Attack，AMSA）。該算法通過比較單位時間內傳輸的控制包的數量以及控制包的到達率，識別攻擊節點和正常節點。然而，當女巫攻擊節點從隨機的IPv6 地址中故意推測大量虛假身份，該算法的檢測女巫攻擊的概率迅速下降。

文獻［6］采用身份散列bloom 濾波器陣列和物理不可克隆函數檢測女巫攻擊。基于其他節點的K個散列函數計算K個陣列位置，再結合bloom 濾波器的匹配，該算法能夠檢測女巫攻擊。文獻［7］提出基于超寬帶測距的女巫攻擊檢測算法（Ultrawideband Ranging-based Detection Sybil attack，URDS）。URDS 算法利用超寬帶信號測距，通過估計離信號發送者的距離，檢測攻擊節點。

然而，這些應對之策略嚴重干擾了RPL 路由的核心模塊：Trickle 算法。Trickle 算法控制了DIO 包的發送頻率［8］，其直接影響了DODAG 拓撲的構建。若Trickle 算法的運行受到干擾，RPL 路由性能會迅速下降。

為此，提出基于接收信號強度（Received Signal Strength Index，RSSI）的防御女巫攻擊的RPL 路由（RSSI-based against Sybil attack RPL，RSPL）。RSPL路由通過測量節點發送信號的RSSI 值，判斷節點行為是否異常，并形成對節點的局部信任值。根節點收集這些信息后，對評估節點進行主觀信譽評估，最終形成節點可信度。在RPL 路由階段，將節點可信度和期望傳輸次數融入目標函數，降低可信度低的節點參與路由的概率。性能分析表明，提出的RSPL 路由能夠有效檢測攻擊節點，提高了數據包傳輸率。

2 網絡和攻擊模型

2.1 網絡模型

假定網絡內有n個靜態節點，它們形成節點集S＝｛root，s1，s2，s3，…，sn-1｝，其中root表示根節點。節點不知道其他節點的真實位置，只通過介質訪問層（Medium Access Control，MAC）［9］地址識別節點的身份（ID）。

采用IEEE 802.15.4 標準，節點能夠測量所接收信號的信號強度（RSSI）。例如，當CC2420 傳感節點配備802.15.4 標準，節點具有RSSI 寄存器，就能夠測量RSSI 值。

2.2 攻擊模型

鄰居節點接收這些DIS 包后，將認為有些新節點加入網絡，并頻繁地重置Trickle 定時器，進而能使這些新節點及時共享網絡拓撲信息，再廣播DIO包。而實質上，這些所謂的新節點是攻擊者偽造的多個虛假身份。攻擊者的行為擾亂網絡，導致正常節點不斷重置Trickle 定時器，并傳輸DIO 包增加，這增加正數據包的傳輸時延，增加了節點額外能耗［10］。

圖1 攻擊者偽造多個虛假身份圖Fig.1 Diagram of attacker forges multiple fake identities

3 RSPL 路由

3.1 局部信任矩陣

引用１文獻［11］的監測機制，每個節點能夠直接觀察鄰居節點的行為，行為分為正常行為和異常行為兩類。令pi，u和ni，u分別表示節點si觀察su時，su表現為正常行為次數和異常行為次數。依據這些觀察數據，節點si計算對節點su的局部信任值Li，u為：

依式（1）可知，Li，u∈［0，1］。如果pi，u＋ni，u＝0，則表明節點si未能與su相遇，即沒有直接觀察。在這種情況下，Li，u＝φ（空值）。

將網絡內n個節點對其他任意一個節點的局部信任值構成矩陣，便形成n×n維局部信任矩陣L。

通過測量所接收的DIS 包信號的RSSI 值，判斷節點行為是否為正常行為和異常行為。令X表示所測的RSSI 值。如果N次測量值的方差小于預設值，則認為所測RSSI 值同質的，這存在由攻擊節點多次廣播的DIS 包的可能。因此，將這些行為判定為異常行為。反之，則認為是正常行為。如圖1 所示，攻擊者發送的多個DIS 包信號強度相似。接收節點能夠依據相似的RSSI 值判斷節點的異常行為。

具體過程如下：令Xk表示第k次測量的RSSI 值。N次測量的RSSI 值的期望E（X）和方差V（X）為：

若節點的V（X）值低于閾值ThRSSI，則判斷節點行為異常行為。

3.2 主觀信譽評估

假定網絡內多數節點是正常節點。這些正常節點希望對其他節點能夠形成一致的評估意見。將由多個節點對某一個節點的信譽評估值，稱為主觀信譽值（Subjective Reputation，SR）。SR 值由root節點計算。

令SRi，u表示由root 評估節點su的SR 值，其能夠由節點si主觀評估，其定義如式（3）所示：

式中：Su——擁有對節點su直接觀察的節點集；Lj，u——節點sj對節點su形成的局部信任 值；HRj——節點sj的秩值。sim（i，j）——節點si和節點sj對節點su形成局部信任值的相似性。

即集Su內任意一個節點（sj∈Su），Lj，u≠φ。當然，si∈Su。

sim（i，j）定義如式（4）所示：

式中：Li，Lj——節點si和節點sj對其他n-1 個節點局部信任值所構成的矢量。

3.3 節點可信度

令CRu表示節點su的可信度，其反映了由節點su評估的局部信任值（Lu）可信性。通過估算Lu與由節點su評估的節點的平均主觀信譽值的差，計算CRu為：

式中：BRu——網絡內節點對節點su行為的綜合評估的均值。

即，

最后，計算節點su的最終全局信任值GRu為：

熱點分析法屬于局部自相關分析方法，根據在一定分析規模內的所有要素，計算每個要素統計值，得到每個要素的z值和p值[35]，通過熱點分析，可以識別出老年人口高、低值在空間上聚類的區域,公式如下[31]：

根節點依據節點的全局信任值GRu，判斷節點的狀態：不可信、可信。判斷依據如下：

式中：θ——閾值。

3.4 鏈路信任

對于由節點si和節點su構成的鏈路，此鏈路的信任值為：

其中，

若路徑P由?條鏈路構成，則該路徑的信任值等于各鏈路信任值的乘積為：

式中：MP——構成該路徑的節點集。

如圖2 所示為例，s 為源節點，d 為目的節點。整條路徑的信任值為：

圖2 計算路徑信任值圖Fig.2 Diagram of calculating trust value of path

3.5 基于鏈路信任值的目標函數的修正

RPL 路由是以目標函數構建以目的節點為導向的DODAG。磁滯最小秩值目標函數（Minimum Rank with Hysteresis Objective Function，MRHOF）和基于期望傳輸次數（Expected Transmission Count，ETX）的目標函數是常用的目標函數。RSPL 路由結合MRHOF，并對選擇父節點的指標進行修改。將鏈路信任值和ETX 納入選擇父節點指標，避免攻擊節點參與路由。同時，維護數據包傳遞率。

因此，RSPL 路由融合鏈路信任值和ETX，構建成選擇父節點的度量指標為：

式中：cost（u）——候選父節點su的度量指標；Gi——節點si的候選父節點集；λ——控制參數。

從式（14）可知，節點si從Gi中選擇具有最小λETX（i，u）＋（1 -λ）（1 -）值的節點作為父節點。

且有：

式中：ETX（i，u）——由節點si至節點su所構成鏈路的期望傳輸次數；Di，u，Du，i——鏈路的正向傳遞率和反向傳遞率。

Di，u和Du，i這兩個參數可依據文獻［12］提供的方法計算。

4 仿真和數據分析

利用MATLAB R2020a 軟件建立仿真平臺。在半徑為200 m 的圓形區域內部署一個DODAG 根節點和100 個傳感節點。節點選用基于 IEEE 802.15.4PHY／MAC 標準的Tmote-Sky 節點，每個節點采用8 MHz 微處理器、10 kB RAM 和48 kB Flash。節點最大通信半徑為30 m。

考慮到無線射頻傳輸環境，節點傳輸數據包失敗的概率為0.05。節點發動女巫攻擊的概率（簡稱攻擊概率）在0.1 至0.5 區間變化。ThRSSI＝0.19，θ＝0.8［13］。

選擇AMSA，URDS，以及MRHOF 算法為基準，與RSPL 算法進行對比分析。選擇的性能指標：

1）檢測攻擊節點的錯誤率（簡稱誤檢率）。誤檢率等于虛警率和漏警率之和；

2）數據包傳輸率：葉節點將數據包傳輸至根節點的成功率；

3）檢測攻擊節點時延（簡稱檢測時延）：從節點發起攻擊時至被檢測到所消耗的時間；

4）通信開銷：由攻擊節點產生的總的控制包數；

5）能耗：指接收控制包消息和檢測攻擊節點所消耗能量。

4.1 檢測攻擊節點的錯誤率（誤檢率）

RSPL 路由（誤檢率）隨攻擊概率的變化情況如圖3 所示。從圖3 可知，攻擊概率的增加，增加了檢測攻擊節點的難度。相比于URDS 和AMSA 算法，RSPL 算法將檢測攻擊節點的錯誤率分別下降了約15%和40%。這歸功于RSPL 算法利用RSSI 值并結合鄰居節點所觀察的行為，綜合地檢測攻擊節點，提高了檢測精度。即使攻擊率達到0.5，RSPL算法檢測攻擊節點的錯誤率小于0.1。

圖3 誤檢率隨攻擊率的變化曲線圖Fig.3 Curves of misdetection ratio versus attack rate

AMSA 算法將節點身份作為檢測攻擊的線索。當攻擊節點從MAC 地址中隨意挑選地址作為身份，AMSA 算法很難準確地檢測攻擊節點［10］。因此，AMSA 算法的檢測攻擊節點的錯誤率最高。

4.2 數據包傳輸率

URDS 算法、AMSA 算法和RSPL 算法的數據包傳遞率隨攻擊率的變化情況，如圖4 所示。從圖4可知，相比于URDS 和AMSA 算法，RSPL 路由將數據包傳輸率分別提高了約15%和45%。原因在于：RSPL 算法從ETX 和鏈路信任值兩方面構建目標函數，所構建的路由更穩定。

圖4 數據包傳輸率隨攻擊率的變化曲線圖Fig.4 Curves of packet delivery ratio rate versus attack rate

此外，URDS 算法和AMSA 算法的數據包傳輸率隨攻擊率的增加，它們的數據包傳輸率快速下降。原因在于：它們只從局部信息構建路由。相比于URDS 算法、AMSA 算法和RSPL 算法，MRHOF算法的數據包傳輸率受攻擊率影響甚大。攻擊率的增加使MRHOF 算法的數據包傳輸率迅速下降。這主要是因為：MRHOF 算法的目標函數沒有考慮攻擊節點。一旦攻擊節點增加，MRHOF 算法的數據包傳遞率迅速下降。

4.3 檢測攻擊節點時延（檢測時延）

URDS 算法、AMSA 算法和RSPL 算法的檢測時延如圖5 所示。從圖5 可知，相比于URDS 算法和AMSA 算法，RSPL 算法縮短了檢測時延。原因在于：RSPL 算法通過估算RSSI 值的方差，能夠快速檢測攻擊節點。相比之下，URDS 算法和AMSA 算法的檢測時延更長。

圖5 檢測時延隨攻擊率的變化曲線圖Fig.5 Curves of detection latency versus attack rate

4.4 通信開銷

接下來，分析RSPL 算法的通信開銷，如圖6所示。從圖6 可知，攻擊率的增加提高了通信開銷。這符合邏輯。攻擊率越高，網絡內攻擊節點數越高，檢測攻擊節點更難，這就增加了傳輸控制包的開銷。此外，相比于MRHOF 和AMSA 算法，RSPL 算法有效地控制通信開銷。原因在于：RSPL算法能夠快速地檢測攻擊節點，檢測攻擊節點的效率更高。

圖6 通信開銷隨攻擊率的變化曲線圖Fig.6 Curves of communication overhead versus attack rate

4.5 路由的平均能耗

最后，分析RSPL 路由的平均能耗，如圖7 所示。圖7 與圖6 曲線的趨勢相近，這符合邏輯，通信開銷越大，消耗的能量越多。相比MRHOF 和AMSA算法，RSPL 路由能夠有效地降低節點能量消耗。

圖7 平均能耗隨攻擊率的變化曲線圖Fig.7 Curves of average energy consumption versus attack rate

5 結束語

考慮到女巫攻擊對RPL 路由性能的影響，提出基于接收信號強度的防御女巫攻擊的RPL 路由（RSPL）。RPL 路由通過測量RSSI 值檢測攻擊節點，同時根節點綜合節點對其他評估的可信值，計算節點可信度，降低可信度低的節點參與路由的概率，緩解攻擊節點對RPL 路由的性能影響。性能分析表明，RSPL 路由提高了檢測率和數據包傳輸率。

由于RSSI 值易受環境影響，RSPL 路由未考慮測量RSSI 值的準確問題。后期，將采用適宜算法，提高測量RSSI 值的精度，這將是后期的研究工作。