基于信任度權(quán)衡的無線傳感器網(wǎng)絡安全研究

王 誠 ，張祖昶

（南京郵電大學通信與信息工程學院 南京 210003）

1 引言

近年來,隨著無線傳感器網(wǎng)絡(wireless sensor network,WSN)相關技術(shù)的快速發(fā)展,特別是物聯(lián)網(wǎng)概念的提出，WSN作為物聯(lián)網(wǎng)的重要組成部分，其應用范圍非常廣泛，如環(huán)境監(jiān)測、候鳥遷徙、醫(yī)療保健、災難應急、軍事戰(zhàn)爭等領域[1]。與傳統(tǒng)的網(wǎng)絡相比，WSN具有眾多新的特性，如廉價、方便信息采集，尤其是在敵對和惡劣的網(wǎng)絡應用環(huán)境下，這些新特性就更為突出。但是由于WSN由大量資源有限的傳感器節(jié)點構(gòu)成，這些節(jié)點的計算和存儲能力較差[2]，使得一些傳統(tǒng)的網(wǎng)絡安全機制無法適用，也由于這些自身的缺陷，引出了許多網(wǎng)絡安全問題。這些網(wǎng)絡安全問題在敵對的情況下，潛在的危害和破壞性極大，越來越多地成為阻礙WSN發(fā)展的屏障，因此目前急需一些有效的方法解決這些問題。

2 WSN網(wǎng)絡安全問題

由于WSN具有一次性、無人看管、無線通信、低成本、資源受限等特點[2]，其自身節(jié)點抵御外部攻擊能力差，傳感器容易異常。外部攻擊者可輕易地發(fā)起物理攻擊、密鑰破解、拒絕服務攻擊、偷聽、流量分析等動作[3]，這些行為嚴重地威脅著WSN的信息安全，如攻擊者可采用欺騙、改變或重放路由信息的方式，對WSN造成如下影響[4]。

·建立環(huán)行的路徑讓信息永不停息地傳遞。

·延長或縮短路徑長度。

·增加源節(jié)點到目標節(jié)點的延遲。

· 改變網(wǎng)絡流量的分布，吸引或分散網(wǎng)絡流量。

·創(chuàng)建錯誤信息以及改變網(wǎng)絡結(jié)構(gòu)。

相對于傳統(tǒng)網(wǎng)絡，WSN網(wǎng)絡安全方面存在著諸多漏洞。這些安全漏洞極大地阻礙了WSN的廣泛應用，因此，其安全方面的研究勢在必行。

3 WSN網(wǎng)絡安全模型

在現(xiàn)實生活中,特別是在經(jīng)濟或安全等領域中,信任機制發(fā)揮了巨大的作用[5]。在信任機制內(nèi)，通過對個人信用度進行評判，可有效識別出個人的行為安全等級，大大地降低了不可測的未來行為的風險性；而且，通過信任機制可以預先定義資源分配的原則，既可防控危害行為產(chǎn)生的影響，也可以提高資源合理配給水平，有效地對資源進行利用。

WSN規(guī)模龐大，節(jié)點間關系松散、節(jié)點可流動等特性與人類社會有相同之處，因此完全可以提出一種新的評判標準和評判機制,將信任機制引入WSN網(wǎng)絡安全,以提高WSN對潛在攻擊行為的抵御能力。

3.1 基本定義

有關WSN節(jié)點信任度的定義如下。

定義1無線傳感器網(wǎng)絡節(jié)點的信任度是指在某一特定時間段內(nèi)，無線傳感器網(wǎng)絡對某個網(wǎng)絡節(jié)點的身份和行為的可信度的評估。

定義2無線傳感器網(wǎng)絡節(jié)點信任度由直接信任度和間接信任度組成，直接信任度是指兩個無線傳感器網(wǎng)絡節(jié)點之間直接的信任度量，而間接信任度是指兩個節(jié)點之間通過其他節(jié)點的推薦建立的一種信任關系，其信任值由其他節(jié)點對其信任度決定[5]。

定義3無線傳感器網(wǎng)絡節(jié)點的信任度標記為Τ,直接信任度標記為Τd,間接信任度標記為Τc，則無線傳感器網(wǎng)絡節(jié)點的信任度與直接信任度和間接信任度之間的關系如下：

其中，α+β=1,且 α≥0,β≥0。

有關WSN的定義如下。

定義4：一個節(jié)點之間通過雙向無線鏈路通信、每個節(jié)點與至少一個基站或其他節(jié)點連通、基站之間通過傳統(tǒng)網(wǎng)絡連通的無線傳感器網(wǎng)絡可以被抽象為一個無向圖G(,E)，其中 表示網(wǎng)絡中的傳感器節(jié)點和基站的集合，E表示鏈路的集合，如圖1所示[6]。

定義5：記網(wǎng)絡中的傳感器節(jié)點集合為V，基站集合為S，則 =V∪S,節(jié)點i∈V的鄰居集合為Ni={j|(i,j)∈E}[6]。

以上為本文所設定的WSN及網(wǎng)絡節(jié)點信任度的相關定義。由于WSN可以延伸出多種網(wǎng)絡組織形式，網(wǎng)絡節(jié)點亦可根據(jù)功能的不同進行不同的定義，本文為了將問題簡化，采用了一種較為典型的無線傳感器網(wǎng)絡作為研究對象，其他形式的無線傳感器網(wǎng)絡可在此基礎上進行相應的變化，在網(wǎng)絡節(jié)點間建立起信任權(quán)衡機制。

3.2 信任度模型

定義 6：對于網(wǎng)絡中的任意鏈路(i,j)∈E，其中 i,j∈，Nj為節(jié)點 j的鄰居集，根據(jù)式（1），節(jié)點 i對于節(jié)點 j的信任度如下：

其中，i,j∈ ,k∈Nj,α+β=1,且 α≥0,β≥0。

考慮到WSN具有節(jié)點資源有限、數(shù)量龐大、分布無規(guī)則、網(wǎng)絡節(jié)點具有流動性等特性，其節(jié)點間的信任度權(quán)衡機制將存在于網(wǎng)絡節(jié)點之間。式（2）中的Τij表示節(jié)點i對于節(jié)點j的直接信任度。由于WSN鄰近節(jié)點之間具有很強的相關性[6]，所以某個網(wǎng)絡節(jié)點的間接信任度可通過周邊鄰近的節(jié)點共同給出，網(wǎng)絡節(jié)點直接的鄰近程度直接影響到了彼此的信任程度。由此，引入了節(jié)點j的鄰近節(jié)點集合Nj，通過每個鄰近節(jié)點k(k∈Nj)給節(jié)點j提供信任度值，以此作為節(jié)點j的間接信任度ΣΤkj。

WSN中的每個節(jié)點都具有一張對鄰近網(wǎng)絡節(jié)點的信任度表，此表保持實時的權(quán)衡結(jié)果，以便為下次節(jié)點間的權(quán)衡提供依據(jù)。由于一般的WSN中的節(jié)點流動速度不是很快，因此，每個網(wǎng)絡節(jié)點所產(chǎn)生的鄰近網(wǎng)絡節(jié)點的信任度表具有較長的時效性，能夠真實地反映出即時網(wǎng)絡節(jié)點周圍鄰近節(jié)點的安全狀況。對于新加入的網(wǎng)絡節(jié)點，其他的網(wǎng)絡節(jié)點經(jīng)過一段時間的權(quán)衡，能為此節(jié)點提供相應的信任度等級，可有效阻止非法節(jié)點快速、大批量地加入，提高網(wǎng)絡自身防范外界攻擊的安全等級。

圖1 WSN網(wǎng)絡結(jié)構(gòu)

3.3 訪問控制策略

在WSN訪問控制中,信息服務策略采取最高信任度策略,而資源分配策略則采取信任度等級劃分策略。信息服務策略之所以采取最高信任度策略,是為了保證服務質(zhì)量；而資源分配策略采取信任度等級劃分策略，其好處是將網(wǎng)絡資源按信任度的高低進行劃分,使信任度高的節(jié)點能獲得更多的資源,信任度低的節(jié)點只能獲取與之相似的資源[5]。

通過對WSN節(jié)點信任度等級的劃分，能有效區(qū)分安全與不安全節(jié)點，并可將與之相關的信息服務與資源分配對等劃分，為WSN智能規(guī)避潛在的風險提供了有效的依據(jù)。

3.4 訪問控制模型

本文所提出的無線傳感器網(wǎng)絡訪問控制模型是以§3.1定義4所給出的WSN網(wǎng)絡結(jié)構(gòu)為基礎的。在WSN中,存在著普通網(wǎng)絡節(jié)點和基站兩種不同的網(wǎng)絡基本元素，可以根據(jù)基站將傳感器網(wǎng)絡劃分成不同的域，每個基站及所關聯(lián)的網(wǎng)絡節(jié)點可構(gòu)成一個域。每個域內(nèi)的節(jié)點普遍存在著關聯(lián)關系,而域與域之間一般是彼此獨立的關系。因此，無線傳感器網(wǎng)絡訪問控制具有網(wǎng)絡域內(nèi)和網(wǎng)絡域間兩種不同的模式。

（1）網(wǎng)絡域內(nèi)模式

WSN域內(nèi)訪問控制的模型如圖2所示,其具體的控制策略為:當WSN提供信息服務時，基站會選擇周圍信任度最高的普通網(wǎng)絡節(jié)點作為數(shù)據(jù)源，而被選中的普通網(wǎng)絡節(jié)點采取信任度等級劃分的策略訪問周圍鄰近的其他普通網(wǎng)絡節(jié)點，如此可有效地規(guī)避不安全的網(wǎng)絡節(jié)點，保證了服務質(zhì)量。當普通網(wǎng)絡節(jié)點需要其他網(wǎng)絡節(jié)點或基站為其分配資源或提供服務時，其他網(wǎng)絡節(jié)點或基站將對此網(wǎng)絡節(jié)點進行信任度權(quán)衡，分配與之信任度等級相似的資源或服務給請求的網(wǎng)絡節(jié)點。在信息服務或資源分配過程中，網(wǎng)絡節(jié)點對周圍的其他網(wǎng)絡節(jié)點進行信任度權(quán)衡，并實時地更新網(wǎng)絡節(jié)點自帶的鄰近網(wǎng)絡節(jié)點信任度表。陌生的雙方最初的信任是建立在雙方具有共同屬性基礎之上的,彼此的信任度等級最低。普通網(wǎng)絡節(jié)點的信任度等級隨著訪問次數(shù)的增加而增加，隨著服務失敗次數(shù)的增加而遞減，由此可形成網(wǎng)絡節(jié)點間渴望服務與請求獲勝的競爭機制。

網(wǎng)絡節(jié)點間的信任權(quán)衡機制是建立在現(xiàn)有WSN安全機制之上的。由于WSN相鄰節(jié)點間具有很強的相關性，因此能實時地反映當前互動雙方的可信度,從而可提供長久的安全識別機制，有助于提高網(wǎng)絡的安全級別。

（2）網(wǎng)絡域間模式

WSN可以由多個基站組成，每個基站之間可以由傳統(tǒng)的網(wǎng)絡構(gòu)成。每個基站可以自成一域，因此多個基站構(gòu)成的WSN可視為多個域互聯(lián)，每個域之間彼此獨立。為了簡化問題,可以將每一個域抽象為一個節(jié)點,如圖3所示。

在跨域訪問過程中,由于基站之間由傳統(tǒng)的網(wǎng)絡構(gòu)成，因此可以采用傳統(tǒng)的網(wǎng)絡訪問控制策略疊加節(jié)點間信任權(quán)衡機制實現(xiàn)。雖然每個域之間是彼此獨立的，但是域之間如果存在著歷史的訪問控制記錄，則依然可以對WSN之間進行信任度權(quán)衡。在域之間建立起信任度權(quán)衡機制，其好處是當一個WSN基站被攻擊之后，其他的基站可以通過對其歷史的訪問控制記錄進行信任權(quán)衡，及早地識別出潛在的危害行為，將其與自身隔離開來，阻止其破壞的范圍；而且可以從其他基站獲取自身信任度的等級，為自身主動檢測不安全網(wǎng)絡節(jié)點提供額外的信息來源，從另一方面為WSN整體的安全提供了一套新的檢測機制。

4 實驗數(shù)據(jù)及結(jié)論

本文采用16個傳感器節(jié)點（Crossbow公司的MICAz）和2個基站組成無線傳感器實驗網(wǎng)絡，如圖4所示。每個基站由1個MICAz處理器/射頻板和1個MIB520 USB PC網(wǎng)關連接而成，通過MoteView客戶端監(jiān)控軟件匯聚由傳感器節(jié)點所采集的數(shù)據(jù)。另外，每個基站與8個傳感器節(jié)點構(gòu)成一個域，隨機選取其中幾個傳感器節(jié)點作為惡意節(jié)點，用于發(fā)動各種惡意攻擊,以檢驗本文提出的安全機制所起的作用。

圖4 無線傳感器實驗網(wǎng)絡

實驗步驟如下。

（1）域內(nèi)惡意節(jié)點發(fā)起被動攻擊

在每個域內(nèi)隨機選取兩個節(jié)點作為惡意節(jié)點，并置于網(wǎng)絡中基站及其他節(jié)點的傳播范圍之內(nèi),用來竊聽其發(fā)送或接收的數(shù)據(jù)流[7]。實驗中設置竊聽時間為30 min，網(wǎng)絡節(jié)點信任度值計算式(2)中的 α、β取值為：α=0.4、β=0.6。域內(nèi)惡意節(jié)點的信任度見表1，信任度最高為1，最低為0。

表1 域內(nèi)惡意節(jié)點信任度

實驗結(jié)果表明，由于惡意節(jié)點只竊聽網(wǎng)絡的信息，很少提供有效的數(shù)據(jù)，惡意節(jié)點的信任度基本上保持在較低的信任度值，且有隨著時間趨降的形態(tài)，因此無法獲取更多的網(wǎng)絡信息。

（2）域內(nèi)惡意節(jié)點發(fā)起重放攻擊

在每個域內(nèi)隨機選取兩個節(jié)點作為惡意節(jié)點，并置于網(wǎng)絡中基站及其他節(jié)點的傳播范圍之內(nèi)。惡意節(jié)點首先竊聽數(shù)據(jù)流，然后重放給接收節(jié)點[7]。實驗中設置竊聽時間為30 min，網(wǎng)絡節(jié)點信任度值計算式（2）中的 α、β取值為：α=0.4、β=0.6。域內(nèi)惡意節(jié)點的信任度見表2，信任度最高為 1，最低為0。

表2 域內(nèi)惡意節(jié)點信任度

實驗結(jié)果表明，由于惡意節(jié)點竊聽網(wǎng)絡的信息，然后進行重放，惡意節(jié)點的信任度基本上保持在較低的信任度值，且隨著時間急速下降，說明網(wǎng)絡的接收節(jié)點對惡意節(jié)點提供了惡評，使惡意節(jié)點的信任度在短時間內(nèi)急速下降，因此WSN可有效地規(guī)避不安全的節(jié)點。

（3）域間惡意節(jié)點發(fā)起拒絕服務攻擊

在每個域內(nèi)隨機選取兩個節(jié)點作為惡意節(jié)點，并置于網(wǎng)絡中基站及其他節(jié)點的傳播范圍之內(nèi)。每個域內(nèi)的惡意節(jié)點通過偽造數(shù)據(jù)，連續(xù)向另一個域發(fā)送信息[7]。實驗中設置竊聽時間為30 min，網(wǎng)絡節(jié)點信任度值計算式（2）中的α、β取值為：α=0.4、β=0.6。基站的信任度見表 3，信任度最高為1，最低為0。

表3 基站信任度

實驗結(jié)果表明，由于惡意節(jié)點通過基站發(fā)起拒絕服務攻擊，包含惡意節(jié)點的基站的信任度隨著時間急速下降，因此WSN具有自動隔離的功能。

惡意節(jié)點B發(fā)起被動攻擊和重放攻擊時的信任度隨時間的變化趨勢如圖5所示。根據(jù)前面的實驗結(jié)論,WSN中即使存在多個惡意節(jié)點,本文提供的安全方案亦可以規(guī)避惡意節(jié)點發(fā)起的攻擊。當網(wǎng)絡中有節(jié)點被敵人俘獲時,那么此節(jié)點的變節(jié)將導致其周圍鄰近的節(jié)點對其惡評，因此被敵人俘獲節(jié)點會很快被發(fā)現(xiàn)，并為其他網(wǎng)絡節(jié)點所規(guī)避，使網(wǎng)絡能夠繼續(xù)正常地運作。

5 結(jié)束語

本文提出了一種基于信任度權(quán)衡的無線傳感器網(wǎng)絡訪問機制模型，詳細闡述了該模型的相關原理、實驗方法及結(jié)論。實驗結(jié)果表明此方案能夠防止惡意節(jié)點對網(wǎng)絡數(shù)據(jù)進行竊聽和其他惡意攻擊,從而確保WSN的保密性、完整性、可鑒別性和可用性。由于WSN還處于技術(shù)完善階段，而其還可以擴展出多種形式的網(wǎng)絡結(jié)構(gòu)，因此其安全問題仍面臨著眾多的困難。本文僅為WSN安全研究提供一種新思路，期望能為WSN技術(shù)的發(fā)展完善做出一些貢獻。

1 Akyildiz I F,Su W,Sankarasubramaniam Y,et al.A survey on sensor networks.IEEE Communications Magazine,2002(8):102～114

2 倪洋,田立勤,沈?qū)W利.基于ANP的無線傳感器網(wǎng)絡節(jié)點信任評估.微計算機信息，2010

3 趙章界,劉海峰.無線傳感網(wǎng)中的安全問題.計算機安全信息，2010(6)：1～4

4 Karlof C,Wagner D.Secure routing in wireless sensor networks:attacks and countermeasures.In:Proc 1st IEEE Int'l Wksp,Sensor Network Protocols and Applications,2003

5 王誠,張祖昶.基于信任度的網(wǎng)格安全訪問模型的研究.南京郵電大學學報(自然科學版)，2009，29(3)：78～82

6 唐偉,郭偉.多基站數(shù)據(jù)聚合無線傳感器網(wǎng)絡中的最大生命期路由.通信學報，2010，31(3)

7 張興,韋潛,馬戈.基于鄰居列表的傳感器網(wǎng)絡鏈路安全方案.微計算機信息(測控自動化)，2010，26(6-1)：14～17