陈 思,张 宏,李华峰,涂庆华,汤东阳

(1.南京理工大学a.信息化建设与管理处;b.计算机科学与工程学院,南京210094;

2.中国石化石油物探技术研究院,南京211103)

时延容忍传感器网络中抗黑洞攻击的安全路由协议

陈 思1a,张 宏1b,李华峰1a,涂庆华1a,汤东阳2

(1.南京理工大学a.信息化建设与管理处;b.计算机科学与工程学院,南京210094;

2.中国石化石油物探技术研究院,南京211103)

时延容忍网络是一种在大部分时间内源节点和目的节点之间不存在端到端路径,而依靠存储转发机制实现异步通信的无线自组织网络。针对其黑洞攻击的问题,设计一种能够检测黑洞节点的安全路由协议。分析时延容忍传感器网络模型和黑洞攻击模型,给出基于传递证据的恶意节点检测方案,并将其与路由协议相融合。仿真结果表明,该协议可准确识别出恶意节点,并且在传感器网络环境中具有较好的路由性能。将安全路由协议应用于水下环境监测或城市交通控制等领域,可以避免其网络环境遭受恶意节点的攻击,保证网络的可靠性与稳定性。

时延容忍网络;传感器网络;黑洞攻击;信任评价;安全路由

1 概述

传感器网络是一种通过在空间上分布的无线传感器节点(Sensor)收集数据,并将数据反馈回中心基站(Sink)的无线自组织网络,目前已广泛应用于水下环境监测［1］、野生动物追踪(ZebraNet)［2］、城市交通控制(urban sensing)［3］等领域。由于传感器网络的自组织性、开放性、缺乏基础设施等特点［4］,使得这种网络很容易遭受恶意节点的攻击,而导致网络功能的减退甚至失效。

目前针对无线自主网的安全与信任问题已有相关研究,人们提出了多种不同恶意行为,进一步寻求检测恶意节点方法［5］,但是在节点密度稀疏且频繁移动的情况下,这类策略将不再适用。这种情况下的无线自主网被称为时延容忍网络(Delay-tolerant Network,DTN)［6］。

DTN是一种在大部分时间内源和目的节点之间不存在端到端路径,而依靠存储转发的机制实现异步通信的无线自组织网络,目前已有相关工作提出了DTN中的安全路由策略［7］。文献［8］提出了使用信使节点检测黑洞节点的策略FBIDM,另有相关研究利用节点相遇的历史信息或者传递数据包的历史行为,通过节点间出现的不一致信息的发现黑洞节点［9-10］。

上述DTN中安全路由策略均不是专为传感器网络而设计的。目前已有相关工作将DTN的数据传输模式应用到传感器网络中,并分析了网络结构和路由策略［11］。因此,本文研究时延容忍传感器网络中的黑洞节点检测的方法,并通过仿真实验,从检测率、误检率和路由性能3个方面验证路由策略的可行性和合理性。

2 抗黑洞攻击模型设计

2.1 传感器网络模型

假设网络的规模限定在一个范围内,其中安装传感器的实体(例如在野生动物检测的网络中,传感器被安装在动物身上,下文中统一称为节点)可以在网络中自由移动。在网络中安置若干个静止的基站负责收集节点采集的数据。节点之间、节点与基站之间可以通过短距离的无线信号进行通信。

根据已有相关文献,本文假设这种传感器网络具有如下性质:

(1)N个节点随机分布在大小为L×L的网络内,节点的移动符合Zebranet模型［12］;

(2)M个基站均匀部署在网络内,且M ＜＜N;

(3)所有节点和基站都被事先编排唯一的ID,通过非对称加密机制可以确保节点无法伪造自己的身份;

(4)节点的传输半径为r1,基站的覆盖范围为r2,且r1≤r2＜＜L;

(5)节点按照一定的速率产生数据包,且为数据包设置一个唯一的ID。

在上述网络中利用节点之间的接触机会,以及节点和基站之间的接触机会,逐跳将数据包传递给基站。如果基站数目M＞1,那么数据包到达任意一个基站即可视为完成了传递过程。本文将基于上述网络模型展开研究。

2.2 黑洞节点的攻击模型

无线自主网中的黑洞节点,通常指接收到数据包后不再转发,而是直接丢弃数据包的恶意节点。会导致传输成功率的下降并造成节点能量浪费,同时黑洞节点为了对网络性能造成更大的破坏。在本文中,黑洞节点的恶意攻击方式如下:通过提供虚假的相遇概率信息,让正常节点误以为其与基站相遇概率很高,从正常节点接收数据包后丢弃。黑洞节点不产生数据包也不向外传递数据包。

为了检测恶意节点,本文首先定义以下2种特殊类型的数据包:

(1)传递证据,由节点生成,记为Eijk=＜vi,vj, t,mk＞,表明节点 vi在 t时刻将数据包 mk传递给vj。

(2)信任评价,由基站生成,记为:Pjit=＜sj,vi, t,b＞,表明基站sj在t时刻对节点vi合法性的判断为b。其中,b为一个布尔值,ture表明vi是合法节点,false表明vj是可疑节点。

节点vi将数据包mk传递给vj后,vi可以向vj索取一个传递证据,表明vj已经成功接收mk并负责mk下一步的传递工作。

节点vi和基站sj接触后,向 sj提供传递证据Eijk=＜vi,vj,t,mk＞,sj产生信任评价Pjjt=＜sj,vj, t,b＞并返还给vi。如果sj已经接收到数据包mk,可以证明vj的合法性,则以Pjjt中b为true表明;反之,如果sj没有接收到数据包mk,vj可能是恶意节点并丢弃mk,或者vj并不是恶意节点且将mk传递给其他的节点或基站,此时b为false表明vj是一个可疑节点。

如果2个信任评价Pijt=＜si,vj,t1,b1＞和Pjjt=＜sj,vj,t2,b2＞中的vj相同,那么它们是针对同一个节点的,可以按照以下规则进行合并:

(1)如果si=sj,那么是同一个基站给出的信任评价,保留时间更晚的一个,并舍弃另一个。

(2)如果si≠sj,并且b1和b2中至少有一个为true,那么保留时间更晚的vj为合法节点的信任评价,并舍弃另一个。此时单个基站就可以认定一个节点的合法性。

(3)如果si≠sj,并且b1和b2都为false,那么同时保留这2个信任评价。

当一个节点vi收集到M个来自不同基站对vj可疑信任评价时,就说明vj没有将数据转发给任意一个基站,则vi将vj判断为恶意节点。对于已经被判断为合法或者恶意的节点vj,vi将不再保存关于vj的传递证据。

3 抗黑洞攻击的安全路由协议

根据Zebranet移动模型,节点具有不同的移动范围,因此,每个节点与不同基站之间的接触机率也不相同。本文从时间和空间2个角度综合衡量节点与基站间的接触机率,并综合两者计算节点与基站间的相遇概率。

在时空距离路由协议的基础上,结合上述恶意节点检测策略,在常规路由过程的基础上,本节提出一种抵御黑洞攻击的路由策略供合法节点使用。当节点vi遇到节点vj之后,vi与vj交换信任评价,并采取以下数据传递策略:

(1)如果vi判定vj为恶意节点,vi不会传递任何数据给vj。

(2)如果vi判定vj为合法节点,并且pi＜pj,vi尽量将全部数据包传递给vj(由于接触时间的限制或者vj缓冲区的限制,vj可能无法接收vi的所有数据包)。

(3)如果vi无法判断vj的合法性,但是pi＜pj,vi会随机选择1个数据包传递给vj,并且要求vj提供该数据包的传递证据。

当节点vi遇到基站sj之后,vi为每个传递证据换取信任评价,之后完成所有数据传递的过程。算法1和算法2分别描述了节点之间的通信过程,以及节点与基站间的通信过程。

算法1 节点vi与vj之间的通信过程

算法2 节点vi与基站sj之间的通信过程

在节点的通信过程中,先执行信任评价的合并(1行～12行),再执行数据的传递(13行～19行)。在数据传递的过程中,对于合法的节点,将不再要求对方提供传递证据。随着越来越多节点的合法性被明确,产生的传递证据和信任评价也随之减少。最终算法收敛于不再产生新的传递证据和信任评价完成路由过程。

4 仿真实验及结果分析

在机会网络平台(Opportunistic Network Environment,ONE)上［13］编写仿真程序,实现了本文提出的安全路由协议,默认情况下仿真参数设置如表1所示。

表1 仿真参数设置

仿真环境中设置9个固定基站,可以与50 m覆盖范围内的节点通信,并且基站间的覆盖范围不重叠。仿真时间为24 h,并且在前20 h内,每个合法节点平均每小时产生5个数据包。实验过程中动态改变节点数目或者恶意节点的数目,并从恶意节点检测率、误检率、传输成功率3个方面衡量路由协议的性能以及抗攻击能力。同时将本文协议与RCAR协议、SRSnF协议(数据包的副本数目设置为3)和MUTON协议进行比较。

4.1 检测率和误检率

在实验中,首先设置合法节点数目为60个～160个时(每次递增10个),并将设置恶意节点数目设置为合法节点数目的20%(随合法节点数目的增加而增加),考察本文协议以及SRSnF和MUTON的检测率和误检率。由于RCAR通过节点的信誉值进行路由决策,并不严格排除恶意节点,因此本文不考察RCAR路由协议。实验结果如图1、图2所示。

图1 不同协议在不同节点数目条件下的检测率

图2 不同协议在不同节点数目条件下的误检率

由图1可见,由于SRSnF协议使用了3个副本,额外的副本有助于发现恶意节点的丢弃行为,因此具有最好的检测率。本文提出的检测协议,随着节点数目的增加,检测率也可以逐渐提升至100%,这是因为增加节点数目的同时,会增加节点之间的相遇概率,不仅能够获取更多的传递证据来发现恶意节点,而且可以更快地传播信任评价。MUTON协议通过Ferry进行恶意节点的检测,由于并非为传感器网络设计,因此其检出率较差,同时随着节点数目的增加,Ferry的负担变重,检测率也有所降低。

由图2可见,3种协议的误检测率都低于1%。因为各种协议都是以丢弃数据包的行为,来判断恶意节点的身份,所以如果没有缓冲区溢出而导致数据包丢弃的情况出现,合法节点很难被误以为是恶意节点。

4.2 路由协议的性能

检测恶意节点是为了维持正常的路由过程,本节主要检测路由协议是否可以在存在恶意节点的条件下,依然取得可以接受的传输成功率。实验结果如图3、图4所示。

图3 不同路由协议在不同节点数目条件下的成功率

图4 不同路由协议在不同恶意节点数目条件下的成功率

由图3可见,除了MUTON路由,增加节点数目对路由性能的影响并不明显。MUTON路由中,增加节点数目会降低检测率,因此影响了传输成功率。

由图4可见,增加恶意节点数目,会增加数据包被恶意节点丢弃的概率,因此各种协议的性能都有所下降。横向比较4种路由协议,SRSnF使用了3个副本进行数据的传递,只有不是全部副本都被恶意节点丢弃,都能完成数据的传递,因此具有最可靠的传输成功率。本文协议也具有较高的传输成功率,但是由于在检测恶意的节点的时,会导致部分数据被恶意节点丢弃,造成传输成功率的下降。RCAR路由综合节点的信任值和节点与目的节点的相遇概率,进行路由决策,因此部分数据会传递给与基站接触概率高的恶意节点,造成传输成功率进一步的下降。最后MUTON协议的恶意节点检测率本身就不高,自然在传递数据时会造成较多的数据包被恶意节点截获,而具有最差的传输成功率。

综合上述分析可见,本文提出的检测策略和路由方案可以准确地确定节点的身份,并能有效提升存在恶意节点攻击时的传输成功率。虽然其综合性能略逊于SRSnF路由协议,但考虑到SRSnF是一种多副本的策略,本文中单个副本的思路可以节省网络带宽以及节点能耗,更加适用于传感器网络。

5 结束语

本文在分析时延容忍传感器网络模型的基础上,针对传感器网络中的黑洞攻击,提出一种利用传递证据和信任评价的恶意节点检测策略,并将其与路由协议进行融合。实验结果显示,本文提出的安全路由协议可以准确地检测出恶意节点并维持路由性能。采取多副本策略可以有效地抵御黑洞攻击,但多副本策略势必会增加节点的能耗,而传感器网络中节点的能量通常是有限的,因此,下一步需要研究如何在节点能耗允许的情况下,适当利用多余副本来抵御黑洞攻击。同时,还将研究传感器网络中其他攻击行为与防御策略。

［1］ Vasilescu I,Kotay K,Rus D.Data Collection,Storage, and Retrieval with an Underwater Sensor Network［C］// Proceedings of the 3rd International Conference on Embedded Networked Sensor Systems.New York,USA: ACM Press,2005:154-165.

［2］ Juang P,OkiH,Wang Yong,etal.Energy-efficient Computing for Wildlife Tracking:Design Tradeoffs and Early Experiences with ZebraNet［J］.SIGARCH Computer Architecture News,2002,30(5):96-107.

［3］ Campbell A,Eisenman S,Lane N,et al.People Centric Urban Sensing［C］//Proceedings of WICON'06.Los Alamitos,USA:IEEE Computer Society,2006:2-5.

［4］ 廖 俊,刘耀宗,姜海涛.基于人工免疫的MANET不端行为检查模型［J］.南京理工大学学报,2011,35(5): 652-658.

［5］ Khalil I,Bagchi S,Rotaru C N,et al.UnMask:Utilizing Neighbor Monitoring for Attack Mitigation in Multihop Wireless Sensor Networks［J］.Ad Hoc Networks,2010, 8(2):148-164.

［6］ 徐 佳,李千目,张 宏,等.机会网络中的自适应喷雾路由及其性能评估［J］.计算机研究与发展,2010, 47(9):1622-1632.

［7］ Chuah M,Yang P,Han J.A Ferry-based Intrusion Detection Scheme for Sparsely Connected Ad Hoc Networks［C］//Proceedings of the 4th Annual International Conference on Mobile and Ubiquitous Systems: Networking&Services.［S.l.］:IEEE Press,2007:1-8.

［8］ Ren Yanzhi,Chuah M C,Yang J,et al.MUTON: Detecting Malicious Nodes in Disruption-tolerant Networks［C］//Proceedings of WCNC'10.［S.l.］: IEEE Press,2010:1-6.

［9］ Dini G,Duca A L.Towards a Reputation-based Routing Protocol to Contrast Blackholes in a Delay Tolerant Network［J］.Ad Hoc Networks,2012,10(7):1167-1178.

［10］ Saha S,Verma R,Sengupta S,et al.SRSnF:A Strategy for Secured Routing in Spray and Focus Routing Protocol for DTN［C］//Proceedings of ACITY'12.Chennai,India:［s.n.］,2012:159-169.

［11］ Shah R C,Roy S,Jain S,et al.Data MULEs:Modeling a Three-tier Architecture for Sparse Sensor Networks［C］// Proceedings of the 1st International Workshop on Sensor Network Protocols and Applications.［S.l.］:IEEE Press, 2003:30-41.

［12］ Ren Yanzhi,Chuah M C,Yang Jie,et al.Detecting Blackhole Attacks in Disruption-tolerant Networks Through Packet Exchange Recording［C］//Proceedings of WoWMoM'10.［S.l.］:IEEE Press,2010:1-6.

［13］ Ari K,Jörg O,Teemu K.The ONE Simulator for DTN Protocol Evaluation［C］//Proceedings of ACM International Conference on Simulation Tools and Techniques.New York,USA:ACM Press,2009:1-10.

编辑 金胡考

Security Routing Protocol Resisting Blackhole Attack in Delay-tolerant Sensor Network

CHEN Si1a,ZHANG Hong1b,LI Huafeng1a,TU Qinghua1a,TANG Dongyang2
(1a.Division of Informationization Construction and Management;1b.School of Computer Science and Engineering, Nanjing University of Science and Engineering,Nanjing 210094,China;
2.SINOPEC Geophysical Research Institute,Nanjing 211103,China)

Delay-tolerant Network(DTN)is an Ad Hoc network,in which there is not end-to-end path between the source and the destination nodes in most of the time,and DTN relies on the mechanism of store and forwards to realize the asynchronous communication.Aiming at the blackhole attack in DTN,this paper proposes a security routing protocol which can detect blackhole nodes.It analyzes the model of DTN,gives a scheme to detect malicious nodes,and merges this scheme with the routing protocol.Compared with existing routing protocols through the simulation,it verifies that the security routing protocol can accurately detect the malicious nodes and it has better performance in DTN environment.When being used in water environment monitoring or city traffic control and other fields,the security routing protocol can avoid the network environment from malicious nodes attack,and ensure the reliability and stability of network.

Delay-tolerant Network(DTN);sensor network;blackhole attack;trust evaluation;security routing

1000-3428(2014)11-0121-05

A

TP391

10.3969/j.issn.1000-3428.2014.11.024

江苏省自然科学基金资助项目(BK2011370)。

陈 思(1987-),女,硕士,主研方向:无线网络路由协议;张 宏,教授、博士、博士生导师;李华峰,高级工程师、博士研究生;涂庆华、汤东阳,硕士。

2013-10-16

2013-12-04E-mail:chensi@njust.edu.cn

中文引用格式:陈 思,张 宏,李华峰,等.时延容忍传感器网络中抗黑洞攻击的安全路由协议［J］.计算机工程, 2014,40(11):121-125.

英文引用格式:Chen Si,Zhang Hong,Li Huafeng,et al.Security Routing Protocol Resisting Blackhole Attack in Delaytolerant Sensor Network［J］.Computer Engineering,2014,40(11):121-125.