刘宣 汪峰坤

关键词：无线传感器网络；能量合作；安全；博弈论；一报还一报

0 引言

作为物联网的重要组成部分，无线传感器网络（Wireless Sensor Networks，WSN）在日常生活中具有广泛的应用[1-2]。WSN是由大量传感器节点组成的，每个传感器节点都具备收集和处理信息的能力，并将信息通过多跳网络传送给汇聚节点。由于传感器节点通常由不可替换的电池供电，网络的生命期随着节点能量的耗尽而结束。

为解决此类网络中节点能量耗尽问题，近年来，人们开始关注并研究能量收集型无线传感器网络（En?ergy Harvesting Wireless Sensor Networks，EH-WSN） [3]。在EH-WSN中，传感器节点具备从周围环境中收集能量的能力。能量收集技术的引入彻底改变了无线传感器网络的设计，传感器节点可用的能量不一定会减少，反而有可能随着时间增加，极大地延长网络的生命期和减少维护开销。目前，人们已经探索了不同的收集技术，如太阳能、风能、机械能等，这些被广泛应用于能量收集。

然而，能量收集技术存在不确定性，而且WSN中存在能量不均衡问题[4]。为了进一步延长网络生命周期，基于无线能量传输的能量合作技术引起了人们的关注。作为一种新兴的技术，能量合作技术在延长网络生命期、均衡节点能量方面具有独特的优势。然而，能量合作技术也面临着能量合作背叛、能量状态伪造、能量抵赖等攻击，可能会造成信息和能量的损失。因此，我们需要针对上述攻击提出一些可行的防范策略。

1 国内外研究成果

无线传感器网络在军事、工业监控、智能交通、物流领域、生态环境等方面具有广泛的应用，然而，在实际应用中由于面临着节点能量耗尽的风险，由此制约了传感器网络作用的发挥。

随着无线传输技术的进步，节点间进行能量共享成为可能。文献[5]基于磁谐振耦合式无线能量传输技术，提出了一种基于无线能量传输的能量均衡路由算法，实现了不同节点间的能量补充。Gurakan[6]提出了能量合作的概念。Ni[7]设计了一个能量合作储存- 传输机制，减少了系统中断概率并提高了吞吐量。GAMBIN[8]研究了能量合作在物联网中的应用，并提出一种能量分配优化策略，延长了系统的生命期。能量合作技术以其独特的优势必将在日常生活中发挥更大作用。

然而，新技术的引入存在一定的安全隐患，尽管人们对能量合作技术做了一些研究，却忽视了能量合作技术本身的安全风险。文献[9]介绍了无线能量传输中常见的攻击类型并提出了一些可能的对策。文献[10]提出了通过在合作网络中添加人工噪声来实现信息安全的方案。在能量合作中，还存在能量状态不可见、能量不可加密、能量不可备份等安全隐患，对能量合作构成严重的安全威胁。

2 能量合作的风险

2.1 能量合作技术简介

能量合作指在能量收集型传感器网络中，节点之间以无线能量传输的方式实现能量共享，如图1所示为能量收集型合作网络模型。该网络主要有三种类型的节点：源节点（S） 、合作节点（C）和目标节点（D），所有的节点都具备从周围环境中收集能量的能力。节点由两大模块组成：

1） 能量收集模块：该模块主要用于节点能量的收集和存储。

2） 信息传输模块：该模块主要功能是节点之间信息传输。

图2-图4所示为常见的能量合作模型：能量预支付直接传输、能量租借合作传输和能量租借直接传输[11]。

能量预支付直接传输（Cooperative Relay with En?ergy Prepayment，CREP） 。如图2所示，在能量预支付直接传输中，源节点与合作节点共同完成信息的传输。作为源节点S到目标节点D的中继，合作节点C 不仅接收来自源节点的信息，也接受来自源节点的能量。在传输开始前，源节点S根据路由协议选择适当的节点C作为合作节点，并向C咨询所需能量，将信息与能量传输给C，合作节点C在传输过程中并不消耗自身能量。然后，S向节点D发送一个提示信息，提醒D准备接收来自节点C信息。D收到来自C的信息后，向节点S发送一个确认信息，作为本次能量合作结束的标志。

能量租借合作传输（Cooperative Relay with EnergyDebt，CRED）。如图3所示，在CRED中，若节点S没有足够的能量用于支付给合作节点C，节点间将采用能量租借直接传输的方式进行合作。节点S首先将自己的剩余能量传输给C，C收到来自S的信息和能量后，拿出自己的一部分能量帮助节点S进行数据传输，并收到来自节点S的能量欠条。当节点S空闲时，它从周围环境中收集能量，并根据能量欠条将能量偿还给节点C。节点C收到足够的偿还能量后将节点S的能量欠条销毁。

能量租借直接传输（Direct Transmission with En?ergy Debt，DTED） 。如图4所示，当节点S接近目标节点D但没有足夠的能量进行数据传输时，S将向周围的合作节点C请求能量传输，并给C一个能量欠条。S 收到来自C的能量后直接将数据传输到D，当其能量充足时对C进行能量偿还。

2.2 能量合作的脆弱性

与信息不同，能量有个显著的特征：一旦攻击者获得其他节点的能量，它可以直接使用。因此，在能量合作中存在新的安全挑战。能量合作面临如下的安全风险：

能量不可加密：不同于传统的信息传输，能量不能通过加密的方式来保证仅给合法的节点使用，攻击者可以以非法方式窃取并利用节点能量。

能量不可备份：传输的信息可以通过备份和复制得到恢复，然而能量不同，恶意节点攻击造成的能量损失无法恢复。

能量状态不可见：某个节点的能量状态对其他节点是不可见的，恶意节点可能伪造自身能量状态以欺骗其他节点。

这些风险不仅会导致能量的损失，还可能会造成信息传输延迟或信息丢失，甚至会使系统因大量的冗余信息而崩溃。

2.3 典型的能量合作攻击

由于能量的脆弱性，在能量合作中可能面临以下攻击：

能量状态伪造（Energy State Forgery，ESF） ：能量状态伪造指攻击者伪造自身能量状态，在通信过程中向合作者发送错误的能量信息。有三种主要的攻击场景：

1） 受害者节点v向攻击者节点a请求能量合作，节点a能量充足，却谎称自己能量不足，拒绝向节点v 提供帮助，能量合作无法完成。

2） 攻击者v能量充足，却向合作节点a谎称能量不足，不断向a请求能量帮助，消耗了a大量的能量。

3） 受害者v向附近节点请求能量合作，攻击者节点a能量不足，却谎称自身有足够的能量，与v建立了无效的能量合作连接。

能量合作背叛（Energy Cooperation Betrayal，ECB）：能量合作背叛指攻击者假意合作或因自私而拒绝合作。如在DTED中，S（受害者）向C（攻击者）请求能量传输，自私节点C出于自身利益拒绝向S传输能量。在CREP中，C（攻击者）同意S（受害者）的合作请求并接收来自S的能量，随后拒绝将S的信息转发到D。

能量抵赖（Energy Repudiation of Reception，ERR）：能量抵赖指攻击者否认接收能量。如在CRED中，C （攻击者）与S（受害者）完成能量合作后收到了来自S 的补偿能量，却否认接收过来自S的能量偿还。在DTED中，S（攻击者）收到了来自C（受害者）的能量传输，却声称自身未得到来自C的帮助。

能量相关的信息攻击（Energy- Related Informa?tion Attack，ERID）：能量相关的信息攻击通常与节点的串通合谋有关。如在CREP或CRED中，S（攻击者）与D（攻击者）串通欺骗节点C（受害者），D已收到却声称未收到来自C转发的来自S的信息，C不得不重传信息，损失了自身的能量。

表1揭示了在能量合作模型中可能出现的能量攻击。

3 重复囚徒困境博弈模型

3.1 重复囚徒困境博弈模型

参与者：这里的参与者指网络中的每一个传感器节点，而所有节点构成了参与者集合。本章研究传感器网络邻居节点之间的博弈。

策略空间：策略空间就是节点所采取策略及行为方式的集合。所有的节点都包括两种行为，一种为合作策略，即愿意提供能量传输或数据转发服务；另一种为背叛策略，即拒绝为其他节点提供能量传输或数据转发。

收益：对于参与能量合作的节点来说，邻居节点之间相互依存，收益通常体现为数据包的传输和能量的变化。若B是A的下一跳节点，则A需要B为其转发数据，而由于无线传感器网络能量的不均衡性，B需要A的能量补充。因此，正常合作下节点双方是互利共赢的。重复囚徒困境中节点关心的不是眼前利益，而是长期利益。

在能量合作中，各传感器节点长期共存，相互依存，有多次合作机会，且对于各节点来说，背叛总比合作收益大。因此，能量合作中的节点符合重复囚徒困境模型。

3.2 合作的进化——“一报还一报”策略的应用

研究表明，在重复囚徒困境博弈中，最好的策略是“一报还一报”策略[12]。一报还一报策略中，博弈双方首先选择合作，接下来，重复对方的上一个回合的策略。在能量合作中，节点A首先选择与节点B进行能量合作，若节点B选择合作，下一回合节点A仍然会重复B的合作策略，若无背叛，合作将一直持续下去。若节点B在某一回合背叛了A，在下一回合节点A将会背叛节点B作为惩罚，即拒绝与B进行能量合作。它具有善良性、宽容性、明晰性和可激怒性。善良性使它不首先背叛；宽容性使得它在别人背叛之后只报复一次；明晰性使得这种策略易于被识别；可激怒性限制了对方的背叛。因此，在能量合作中，节点之间采用一报还一报的合作策略有利于减少节点的背叛行为，形成长期稳定的合作关系。

4 能量合作的安全机制

4.1 定期能量报告

定期能量报告（Periodic Energy State Report，PER） 指節点的信任模块将节点的能量状态信息定期发送给认证机构，报告的内容为节点的身份、地理位置、能量状态并用数据签名技术实现身份认证。出于隐私保护的需要，节点的身份可以匿名。为了防止能量状态伪造，合法节点可以申请认证机构对其他节点的能量状态进行认证，根据认证机构的反馈结果选择合作对象。定期能量报告可以有效地避免节点能量状态伪造。

4.2 能量双重签名

如图5所示，为了实现能量传输的不可抵赖性，我们可以仿照数据签名技术实现能量传输的确认。首先，能量的发送者i将待传输的能量细分为若干个小的能量单元，并按照时间顺序为每一个能量单元加上数据签名。数据签名包括发送者和接收者的身份、时间戳、合作记录、传输的能量总量和当前事件的序列号。在T1时刻i将能量与数据签名发送到接收者j。

接收者j收到来自i的能量单元和相应的数据签名后，证实了事件的有效性，在T2时刻仿照i的数据签名产生一个双重签名并发送给i。i收到来自j的确认后，即可以模仿上述过程在T3时刻继续开始能量和签名的传输，直到本次能量合作的完成。

4.3 能量合作安全算法

下面结合“一报还一报”的合作策略和定期能量报告及能量签名技术提出能量合作安全算法。

假设在能量双重签名中，每份能量被等分为t个能量单元（E1，E2...Et） 。节点当前可用能量为Eavali?able，节点传输数据包（package）能量消耗为Ep。为了避免能量状态伪造，定期能量报告须贯穿于整个网络生命期。在数据传输之前，节点首先根据目标节点的位置选择合作方式。若目标节点就是自己的下一跳节点，则根据自身能量状态选择是否需要能量合作。当节点能量不足以传输数据到下一跳节点时选择DTED的合作方式，即请求附近邻居节点为其提供能量补充，获得足够能量后直接将数据传输到目标节点。若目标节点不是自身邻居节点，则需要以中继转发的方式进行能量合作，节点根据自身能量状态选择恰当的合作模型。

如算法1所示，节点根据目标节点位置和自身能量状态选择能量合作方式。当节点需要其中继转发数据时，节点间以CREP的方式进行能量合作，在能量合作的同时要确保安全，改进的CREP 的实现方式如下：

如算法2所示，在S-CREP中引入能量签名技术可以保证能量的不可抵赖性，减少能量损失。当节点自身能量不足以支付给中继节点时，节点可以先请求其周围邻居节点以DTED的方式为其提供能量补充，然后执行S-CREP进行数据传输。在执行DTED时要考虑能量的安全问题，改进的DETD算法如下：

如算法3所示，在S-DTED中通过引入能量签名实现了能量的不可抵赖性，此外，定期能量报告技术的引入避免了节点的能量状态伪造。

4.4 算法分析

下面结合上述所描述的能量合作的脆弱性和典型的能量攻击对所提算法有效性进行分析。

针对能量合作中可能出现的节点能量合作背叛，TFT策略通过对背叛合作的节点予以惩罚，让节点失去背叛的动机，促进了节点之间的合作。此外，由于TFT策略是集体稳定的，其他策略难以在TFT策略中生存下去。

针对能量合作中节点能量不可加密的弱点可能造成能量损失，算法中的能量签名技术通过“化整为零”，将能量块划分成若干能量单元，并为每份能量单元加上数字签名，实现了收发双方身份的认证。非法节点在取得第一份能量单元后难以伪造合法节点的身份向发送方提供正确的能量双重签名。发送方得不到正确的反馈后停止发送能量单元，避免了更大的能量损失。

针对能量状态不可见以及因此造成的能量状态伪造攻击，算法中应用的定期能量报告技术使得节点的信任模块定期将节点的能量状态发送给认证机构。

由于认证机构是可信的，节点可以请求认证机构验证其他节点的能量状态，伪造的能量状态可以被其他节点识别。

针对能量合作中的能量抵赖攻击，能量签名技术通过将能量与数据签名“绑定”在一起，使数据签名技术实现了数据传输的不可抵赖性，也相应地保证了能量传输的不可抵赖性。

5 仿真实验

下面用matlab仿真平台评估所提安全算法的有效性。假设在100min内，网络中有100个传感器节点，其中一部分为恶意节点，数目为n。它们随机向其邻居节点发起攻击，攻击强度随着攻击概率的提高而增加。节点数据包到达速率服从泊松分布，节点之间请求和回复信息包大小为10字节，消耗4μJ的能量[6]。能量包的到达队列服从独立同分布随机变量，从集合δ={0.25，0.50，0.75，1}中等概率取值。数据签名大小为140字节，消耗节点120μJ的能量[13]。

图6和图7揭示了不同数据包传输率下的能量损失。由图6和图7可知，随着数据包传输速率的增加，无安全防护下能量损失增幅超过80%，然而安全防护时能量损失增幅不超过20%，这说明我们的安全算法对数据包传输速率的增加并不敏感。此外，由圖6可知，无防护时的能量损失是防护状态下的10倍以上，这是由于安全防范算法是综合手段，能同时防御多种能量合作攻击。同时，网络中的恶意节点比例对无防护的网络影响较大，然而对安全防护下的网络影响较小。因此，能量安全算法可以有效地避免能量攻击造成的能量损失。

如图8所示，能量消耗随着节点数据传输率的增加而增加。此外，虽然能量安全算法的引入增加了2-3倍的能量消耗，然而这些消耗低于安全算法挽回的能量损失。因此，安全算法可以有效抵御能量合作攻击。

下面来评估安全算法对数据包传输率的影响，这里的数据包传输率指被成功转发的数据包总数与发送的数据包总数之比。能量合作中节点可能因能量合作背叛而降低其数据包传输率。

如图9和图10所示，数据包传输率随着攻击强度的增加而降低。此外，在同样的攻击强度下，随着恶意节点数量的成倍增加，数据传输率降低幅度超过50%。然而采用安全算法可以将降低恶意节点的危害降低为原来的1/3左右，因此，安全算法可以有效减弱能量合作攻击对数据包传输的影响。

6 总结与展望

本文首先引入博弈论重复囚徒困境模型解决了节点的合作问题，确保节点之间能够形成长期稳定的合作关系。然后利用定期能量报告技术解决了节点的能量状态伪造问题，使用能量双重签名技术实现了能量的不可抵赖性，并提出了相应的安全算法，最后用matlab仿真实验验证了所提算法的有效性。