孫踐知，張迎新，陳丹，韓忠明

（北京工商大學 計算機與信息工程學院，北京 100048）

1 引言

機會網(wǎng)絡(luò)是一種不需要在源節(jié)點和目的節(jié)點之間存在完整路徑，利用節(jié)點移動帶來相遇機會實現(xiàn)網(wǎng)絡(luò)通信的、時延和分裂可容忍的自組織網(wǎng)絡(luò)[1]。和傳統(tǒng)多跳無線網(wǎng)絡(luò)不同，機會網(wǎng)絡(luò)的節(jié)點可能不是被統(tǒng)一部署的，節(jié)點間不存在確定的路徑，節(jié)點通過移動而得相遇機會進行通信，網(wǎng)絡(luò)中存在更多的不確定因素，對路由安全以及數(shù)據(jù)的完整性、機密性帶來更大的挑戰(zhàn)[2]。

在機會網(wǎng)絡(luò)安全領(lǐng)域，主要關(guān)注如何保證網(wǎng)絡(luò)的可用性以及數(shù)據(jù)的完整性、機密性。目前關(guān)于機會網(wǎng)絡(luò)安全問題直接的文獻還較少，但對 DTN(delaytolerant networking)及 MANET（mobile ad hoc network）安全的研究已取得一些進展，其相關(guān)研究如下。

加密和身份認證是解決安全問題最常用的手段。文獻[3]定義了束層安全機制，通過定義 BAB（bundle authentication block）、PIB（payload integrity block）和PCB（payload confidentiality block）來保證所傳輸束的真實性、完整性和機密性，核心思想與IPSec類似。

理論上講，束層安全機制可以從根本上解決機會網(wǎng)絡(luò)多數(shù)安全問題。但由于機會網(wǎng)絡(luò)獨有的特性，使密鑰管理問題難于解決，以致于在機會網(wǎng)絡(luò)中無法有效部署束層安全機制，許多學者在該領(lǐng)域做了大量研究。文獻[4]分析了DTN網(wǎng)絡(luò)安全領(lǐng)域的問題，指出目前還未得到很好解決的、最主要的問題是密鑰管理問題。文獻[5]指出在傳統(tǒng)MANET網(wǎng)絡(luò)中使用的密鑰管理技術(shù)，如 PKI(public key infrastructure)[6]、off-line certificates[7]、a priori key distribution[8]、a reputation system[9]等，均難于部署。IBC(identity-based cryptography)[10]被認為是解決密鑰管理問題最有希望的方案，也是 DTN安全研究的一個熱點。文獻[11]提出用IBC解決端到端安全問題，文獻[12]討論了IBC在DTN網(wǎng)絡(luò)中的應(yīng)用，文獻[4]指出了 IBC方案的局限性，文獻[13]指出IBC不能解決DTN網(wǎng)絡(luò)中的密鑰管理問題。

文獻[4]認為由于DTN網(wǎng)絡(luò)資源匱乏，DTN網(wǎng)絡(luò)安全防護的重點是保證DTN網(wǎng)絡(luò)不被非授權(quán)使用。

文獻[4, 14, 15]分別描述了DTN網(wǎng)絡(luò)面對的威脅，主要有資源消耗、完整性和機密性問題、DoS攻擊、廣播風暴等。文獻[5]描述了具體的攻擊形態(tài)，主要有泛洪、Drop攻擊、破壞路由表、偽造ACK、發(fā)送畸形數(shù)據(jù)分組、重放、流量分析、授權(quán)用戶偵聽其他用戶等。文獻[5]使用了UMass Dieselnet項目[16]和Cambridge Haggle項目[17]數(shù)據(jù)集，研究了在缺乏安全機制下，DTN網(wǎng)絡(luò)中的攻擊效果，得出了即便在強有力的攻擊下，DTN網(wǎng)絡(luò)依然是健壯的結(jié)論。

在Epidemic機制下，惡意節(jié)點會向網(wǎng)絡(luò)中注入偽造的數(shù)據(jù)分組，但由于機會網(wǎng)絡(luò)不存在始終連接的鏈路，惡意泛洪行為難以持續(xù)進行，顯然會影響泛洪效果。文獻[18]和文獻[19]分別研究了泛洪攻擊對Epidemic機制下網(wǎng)絡(luò)性能的影響，得出了截然不同的結(jié)論，文獻[18]認為難以產(chǎn)生影響，而文獻[19]認為會產(chǎn)生顯著影響，但兩者都沒有涉及泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響。

本文通過理論分析和仿真實驗方法，從節(jié)點能量消耗的角度，研究Epidemic機制下泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響。

2 泛洪攻擊和網(wǎng)絡(luò)生命期

2.1 攻擊模型

由于密鑰管理的問題未得到很好的解決，在機會網(wǎng)絡(luò)中難于部署有效的身份認證和加密機制[4,7]。因此本文假定在束層未部署身份認證和加密機制，但應(yīng)用層是否進行身份認證和加密不作限制。

本文假定機會網(wǎng)絡(luò)中存在正常節(jié)點和惡意節(jié)點。正常節(jié)點是構(gòu)成機會網(wǎng)絡(luò)的基礎(chǔ)，惡意節(jié)點具有正常節(jié)點的部分特征，如遵循共同的移動模型、路由協(xié)議等，但其具有某種攻擊行為，以破壞網(wǎng)絡(luò)、阻礙正常數(shù)據(jù)分組傳輸為目的。

當惡意節(jié)點和正常節(jié)點相遇時會盡力向正常節(jié)點轉(zhuǎn)發(fā)偽造的數(shù)據(jù)分組，即采用無限制泛洪策略。正常節(jié)點接收到惡意節(jié)點偽造的數(shù)據(jù)分組時，由于無法判定數(shù)據(jù)分組性質(zhì)，在隨后的轉(zhuǎn)發(fā)中亦會按照既有轉(zhuǎn)發(fā)策略盡力向其他節(jié)點轉(zhuǎn)發(fā)，會進一步放大攻擊的效果。

2.2 機會網(wǎng)絡(luò)的生命期

在機會網(wǎng)絡(luò)應(yīng)用的某些場景中，存在節(jié)點無法補充能量的情況，如災(zāi)難場景、野生動物監(jiān)控場景。節(jié)點出于維持通信的需要不斷地消耗固有能量，當能量耗盡時，會發(fā)生節(jié)點死亡事件。節(jié)點死亡事件的不斷發(fā)生最終導致整個網(wǎng)絡(luò)死亡，即機會網(wǎng)絡(luò)具有生命期。

機會網(wǎng)絡(luò)的生命期始于網(wǎng)絡(luò)部署，止于網(wǎng)絡(luò)失去功能。何為網(wǎng)絡(luò)失去功能可以從不同角度定義，如剩余存活節(jié)點數(shù)量、剩余的傳輸能力、剩余的網(wǎng)絡(luò)覆蓋情況等，也可以是幾種角度的組合。目前尚無法檢索到和機會網(wǎng)絡(luò)生命期直接相關(guān)的文獻，但無線自組織網(wǎng)絡(luò)生命期的研究工作已有一些進展，如文獻[20]對WSN（wireless sensor networks）生命期定義做了很好的分類。

在機會網(wǎng)絡(luò)中節(jié)點分布是不均勻的，一些節(jié)點處于“樞紐”位置，這些節(jié)點和其他節(jié)點有較高的相遇概率，會承擔較多的轉(zhuǎn)發(fā)工作，消耗的節(jié)點能量也較多，這些節(jié)點會首先死亡；而一些節(jié)點處于“末梢”位置，這些節(jié)點消耗的能量較少，會有較長的生命期。當網(wǎng)絡(luò)中一定比例的節(jié)點死亡后，盡管網(wǎng)絡(luò)中還有一些節(jié)點存活，但網(wǎng)絡(luò)的整體傳輸能力嚴重下降，難以完成原有網(wǎng)絡(luò)的工作，此時即認為網(wǎng)絡(luò)死亡。

本文從存活節(jié)點占總節(jié)點數(shù)百分比的角度定義機會網(wǎng)絡(luò)生命期，當比值超過閾值時，即認為機會網(wǎng)絡(luò)死亡。

3 泛洪攻擊的影響

假設(shè)在機會網(wǎng)絡(luò)中有n個正常節(jié)點，k個惡意節(jié)點。將機會網(wǎng)絡(luò)整個生命期分為M個時間片，m為第m個時間片；ε0m是第m個時間片內(nèi)正常節(jié)點的總能量。EΔ為單位時間傳輸?shù)哪芰肯模珽s為單位掃描的能量消耗，Ew為無法使用的能量。

在無攻擊時，第m個時間片有

有攻擊時，第m個時間片內(nèi)，正常節(jié)點有

假設(shè)惡意節(jié)點和正常節(jié)點有相同的移動模型，則節(jié)點i遇到正常節(jié)點的概率約為，遇到惡意節(jié)點的概率為，由此可得

由式(3)和式(4)可得

由式(1)和式(5)可得

若以ΔLm表示在m時間片內(nèi)對網(wǎng)絡(luò)生命期的影響，則有

若以LΔ表示對網(wǎng)絡(luò)生命期的影響，則有

由式(8)可知，惡意節(jié)點的泛洪攻擊對網(wǎng)絡(luò)生命期影響有4個因素，分別是：

1) 正常節(jié)點和惡意節(jié)點數(shù)量之比；

2) 單位掃描能量消耗和單位傳輸能量消耗之比；

4 惡意數(shù)據(jù)分組數(shù)量的影響

惡意節(jié)點注入網(wǎng)絡(luò)數(shù)據(jù)分組的數(shù)量是否會對網(wǎng)絡(luò)生命期產(chǎn)生影響也是需要研究的問題，下面分析正常節(jié)點和惡意節(jié)點的數(shù)量確定時，惡意節(jié)點產(chǎn)生的數(shù)據(jù)分組數(shù)量對網(wǎng)絡(luò)生命期的影響。

若wi是第i個節(jié)點生成數(shù)據(jù)分組的個數(shù)；Wn和Wk分別是正常節(jié)點和惡意節(jié)點產(chǎn)生數(shù)據(jù)分組的總數(shù)，則；gi是第i個節(jié)點緩存大??；di是第i個數(shù)據(jù)分組大小，和分別是i和j節(jié)點最大可存儲的數(shù)據(jù)分組個數(shù)，=gi/d、=gj/d；tij是節(jié)點i和節(jié)點j相遇持續(xù)的時間長度；vij是節(jié)點i和節(jié)點j間數(shù)據(jù)傳輸?shù)乃俣?；是當i節(jié)點和j節(jié)點相遇時可傳輸數(shù)據(jù)分組的最大個數(shù)，=tij×vij/d。

當節(jié)點i和任意節(jié)點j相遇時，在i節(jié)點中存在，而在j節(jié)點中不存在的數(shù)據(jù)分組個數(shù)小于時，會出現(xiàn)節(jié)點間有傳輸能力但無數(shù)據(jù)分組需要傳輸?shù)那闆r，出現(xiàn)這種情況的概率在式(1)中由表述。若X是表述i、j 2節(jié)點緩存中相同數(shù)據(jù)分組個數(shù)的隨機變量，則

5 仿真實驗設(shè)計

本文設(shè)計的實驗場景中確定了度量值，通過軟件仿真的方法來定量分析泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響，并以此驗證理論分析結(jié)果。

5.1 度量值

本文從存活節(jié)點數(shù)量和單位時間段內(nèi)傳輸成功率2個方面來評價路泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響。

1) 存活節(jié)點數(shù)量

由于節(jié)點需不斷地進行掃描、傳輸工作，隨著節(jié)點能量的不斷消耗，網(wǎng)絡(luò)中節(jié)點會相繼死亡，剩余的存活節(jié)點構(gòu)成了網(wǎng)絡(luò)的新形態(tài)，而存活節(jié)點的數(shù)量會對新形態(tài)下的網(wǎng)絡(luò)性能產(chǎn)生決定性的影響。本文將一段時間后存活節(jié)點數(shù)量作為評價泛洪攻擊的一個度量值。

2) 單位時間傳輸成功率

傳輸成功率是指在一定的時間內(nèi)到達目標節(jié)點數(shù)據(jù)分組總數(shù)和所有數(shù)據(jù)分組總數(shù)之比，該指標刻畫了網(wǎng)絡(luò)的傳輸能力，是機會網(wǎng)絡(luò)最重要的指標。為評估節(jié)點死亡對網(wǎng)絡(luò)性能的影響，本文采用每個時間單位上的傳輸成功率作為度量值。在后面的分析中，僅計算正常節(jié)點在各時間單位上傳輸成功率。

5.2 場景設(shè)計

文本使用了 ONE（opportunistic networking environment）[23]仿真平臺，模擬了攜帶無線智能設(shè)備的行人步行于赫爾辛基的場景，并以此來分析泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響。具體設(shè)置如表1所示。

表1 仿真場景設(shè)置

在仿真中正常節(jié)點和惡意節(jié)點分屬不同的群組，群組間節(jié)點不互為目標節(jié)點，但可以相互轉(zhuǎn)發(fā)數(shù)據(jù)分組。

6 結(jié)果分析

本文從惡意節(jié)點數(shù)量和惡意節(jié)點注入網(wǎng)絡(luò)數(shù)據(jù)分組數(shù)量2個角度，分析泛洪攻擊對機會網(wǎng)絡(luò)生命期的影響。

6.1 惡意節(jié)點數(shù)量的影響

以表1場景為基礎(chǔ)，正常節(jié)點數(shù)為200個，惡意節(jié)點數(shù)為0～200個。惡意節(jié)點生成5倍于正常節(jié)點的數(shù)據(jù)分組數(shù)量注入網(wǎng)絡(luò)中。圖1為惡意節(jié)點數(shù)量對網(wǎng)絡(luò)生命期的影響。

圖1 惡意節(jié)點數(shù)量對網(wǎng)絡(luò)生命期的影響

圖1表明，在不同數(shù)量惡意節(jié)點攻擊下，正常節(jié)點死亡發(fā)生的趨勢是一致的。只是由于惡意節(jié)點的加入導致正常節(jié)點能耗大大增加，使節(jié)點死亡的時間提前。圖1表明，有力的泛洪攻擊會大大增加正常節(jié)點能量的消耗，加速正常節(jié)點的死亡，從而加快整個網(wǎng)絡(luò)的死亡。

圖2描述了不同數(shù)量惡意節(jié)點的攻擊下，各時間單位段上傳輸成功的數(shù)據(jù)分組個數(shù)。圖2表明，惡意節(jié)點的攻擊不會改變機會網(wǎng)絡(luò)各單位時間傳輸成功個數(shù)的總體形態(tài)，但會令單位時間傳輸成功個數(shù)大幅度地下降，隨著節(jié)點大批死亡，單位時間傳輸成功率急劇下降。

圖2 惡意節(jié)點數(shù)量對網(wǎng)絡(luò)傳輸性能的影響

表2描述了惡意節(jié)點數(shù)量對網(wǎng)絡(luò)生命期的影響，以剩余的存活節(jié)點減少到節(jié)點總數(shù)的20%為閾值。表2表明，惡意節(jié)點的數(shù)量增加網(wǎng)絡(luò)生命期會大幅度下降，兩者間有顯著的關(guān)系，這與式(8)的結(jié)果一致。

表2 惡意節(jié)點數(shù)量對網(wǎng)絡(luò)生命期的影響

6.2 惡意數(shù)據(jù)分組數(shù)量的影響

為分析惡意節(jié)點注入網(wǎng)絡(luò)數(shù)據(jù)分組的數(shù)量對網(wǎng)絡(luò)生命期的影響，以表1場景為基礎(chǔ)，設(shè)置200個正常節(jié)點，200個惡意節(jié)點，令惡意節(jié)點分別以正常節(jié)點數(shù)據(jù)分組數(shù)量10%、100%和500%向網(wǎng)絡(luò)中注入數(shù)據(jù)分組。由表 1給出的節(jié)點和數(shù)據(jù)分組的參數(shù)可計算超幾何分布的4個參數(shù)，進而計算出。

i節(jié)點和 j節(jié)點的接觸時間和節(jié)點移動模型有關(guān)，目前還是一個尚無定論的問題，一般認為節(jié)點間接觸時間符合冪律分布。為簡化起見，以表1中定義的2個在一條直線上相向運動節(jié)點的接觸時間作為平均接觸時間來估計，并以此來計算。本文中對估計可能會有較大誤差，但由于超幾何分布的特點，這種誤差并不會對計算產(chǎn)生顯著影響。

表3給出了3種不同攻擊場景下各參數(shù)值。仿真結(jié)果如圖3所示。

表3 惡意數(shù)據(jù)分組數(shù)量的影響

圖3 惡意數(shù)據(jù)分組數(shù)量的影響

第1和第3種攻擊場景注入網(wǎng)絡(luò)數(shù)據(jù)分組的數(shù)量相差50倍，由表2可知，其的值均為1，由式(8)可知不會對網(wǎng)絡(luò)生命期產(chǎn)生影響。圖3顯示，3種場景網(wǎng)絡(luò)中節(jié)點死亡的情況非常接近，影響輕微，此結(jié)果與本文第 4節(jié)中的理論分析高度吻合。由式(9)可知，惡意節(jié)點注入數(shù)據(jù)分組數(shù)量僅在某些特定的情況下對網(wǎng)絡(luò)生命期產(chǎn)生影響，在多數(shù)情況下影響輕微。

7 結(jié)束語

本文給出了泛洪攻擊時，惡意節(jié)點個數(shù)等因素對機會網(wǎng)絡(luò)生命期的影響，理論分析及仿真結(jié)果表明，泛洪攻擊會對機會網(wǎng)絡(luò)生命期產(chǎn)生顯著影響。

文獻[5]從網(wǎng)絡(luò)性能的角度出發(fā)，認為泛洪攻擊在 DTN網(wǎng)絡(luò)中是難以實現(xiàn)的，而從節(jié)點能量消耗的角度分析本文結(jié)果不支持該結(jié)論。本文結(jié)果表明，惡意節(jié)點數(shù)量和機會網(wǎng)絡(luò)生命期基本呈線性關(guān)系，即惡意節(jié)點數(shù)越多，機會網(wǎng)絡(luò)的生命期會越短，傳輸成功率同時也會顯著下降。

文獻[18]從網(wǎng)絡(luò)性能角度出發(fā)，認為在Epidemic機制下對網(wǎng)絡(luò)的惡意攻擊難以奏效，但從節(jié)點能量消耗角度，本文結(jié)果不支持該觀點。本文結(jié)果表明，Epidemic機制下的惡意攻擊會導致大量的節(jié)點能量消耗，導致節(jié)點死亡，使網(wǎng)絡(luò)生命期顯著下降，部分節(jié)點的死亡也會導致網(wǎng)絡(luò)性能的顯著下降。

本文給出了節(jié)點緩存大小、傳輸速度、數(shù)據(jù)分組個數(shù)等5個因素和機會網(wǎng)絡(luò)生命期的關(guān)系，理論分析和仿真實驗表明，一般情況下，網(wǎng)絡(luò)生命期與惡意節(jié)點注入機會網(wǎng)絡(luò)惡意數(shù)據(jù)分組的數(shù)量相關(guān)度較小。

[1] 任智, 黃勇, 陳前斌. 機會網(wǎng)絡(luò)路由協(xié)議[J]. 計算機應(yīng)用. 2010, (3):723-728.REN Z, HUANG Y, CHEN Q B. Routing protocols for opportunistic networks[J].Journal of Computer Applications, 2010, (3): 723-728.

[2] 熊永平, 孫利民, 牛建偉. 機會網(wǎng)絡(luò)[J]. 軟件學報, 2009, 20(1):124-137.XIONG Y P, SUN L M, NIU J W. Opportunistic networks[J]. Journal of Software, 2009, 20(1): 124-137.

[3] SYMINGTON S, FARRELL S, WEISS H, et al. Bundle Security Protocol Specification[R]. IETF Internet Draft, Work Progress, 2007.

[4] FARRELL S, SYMINGTON S, WEISS H, et al. Delay-Tolerant Networking Security Overview[R]. IRTF, DTN Research Group, 2008.

[5] BURGESS J, BISSIAS G D, CORNER M D, et al. Surviving attacks on disruption-tolerant networks without authentication[A]. Proceeding of the 8th ACM Internation Symposium on Mobile Ad Hoc Networking and Computing[C]. Montreal, Quebec, Canada, 2007. 61-70.

[6] PAPADIMITRATOS P, HAAS Z J. Secure routing for mobile ad hoc networks[A]. Proceeding of the SCS Communication Networks and Distributed Systems Modeling and Simulation Conference[C]. San Antonio, TX, 2002. 193-204.

[7] SANZGIRI K, LAFLAMME D, DAHILL B, et al. Authenticated routing for ad hoc networks[J]. Selected Areas in Communications,IEEE Journal, 2005, 23(3): 598-610.

[8] HU Y C, PERRIG A, JOHNSON D B. Ariadne: A secure on-demand routing protocol for ad hoc networks[J]. Wireless Networks, 2005,11(1-2): 21-38.

[9] BUCHEGGER S, LE B J. The effect of rumor spreading in reputation systems for mobile ad-hoc networks[J]. Proceedings of WiOpt '03:Modeling and Optimization in Mobile, Ad Hoc and Wireless Networks[C].Sophia-Antipolis, France, 2003.

[10] BONEH D, FRANKLIN M. Identity-Based Encryption From the Weil Pairing[A]. Cryptology CRYPTO[C]. Springer, 2001. 213-229.

[11] SETH A, KESHAV S. Practical security for disconnected nodes[A].First IEEE ICNP Workshop on Secure Network Protocols (NPSec)[C].2005. 31-36.

[12] ASOKAN N, KOSTIAINEN K, GINZBOORG P, et al. Applicability of identity-based cryptography for disruption-tolerant networking[A].Proceedings of the 1st International MobiSysWorkshop on Mobile Opportunistic Networking[C]. 2007. 52-56.

[13] MCMAHON A, FARRELL S. Delay-and disruption-tolerant networking[J]. Internet Computing, IEEE, 2009, 13(6): 82-87.

[14] KATE A, ZAVERUCHA G M, HENGARTNER U. Anonymity and security in delay tolerant networks[A]. Proceedings of the 3rd International Conference on Security and Privacy in Communication Networks[C]. 2007. 504-513.

[15] ASOKAN N, KOSTIANINEN K, GINZBOORG P, et al. Towards Securing Disruption-Tolerant Networking[R]. Nokia Research Center,Tech Rep NRC-TR-2007-007, 2007.

[16] BURGESS J, GALLAGHER B, JENSEN D, et al. Maxprop: Routing for vehicle-based disruption-tolerant networks[A]. The 25th IEEE International Conference on Computer Communications[C]. Barcelona,Spain, 2006. 1-11.

[17] HUI P, CHAINTREAU A, SCOTT J, et al. Pocket switched networks and human mobility in conference environments[A]. Proceedings of the 2005 ACM SIGCOMM Workshop on Delay-Tolerant Networking[C].2005. 244-251.

[18] FAWAL A, BOUDEC J Y, SALAMATIAN K. Vulnerabilities in epidemic forwarding[A]. World of Wireless, Mobile and Multimedia Networks[C]. 2007. 1-6.

[19] 孫踐知, 贠冰, 韓忠明. 泛洪攻擊下機會網(wǎng)絡(luò)典型路由算法健壯性分析[J]. 計算機工程與應(yīng)用, 2012, 48(5):54-58.SUN J Z, YUN B, HAN Z M. Robustness analysis of opportunistic network routing algorithms under flooding attacks[J]. Computer Engineering and Applications, 2012, 48(5): 54-58.

[20] CHEN Y, ZHAO Q. On the lifetime of wireless sensor networks[J].IEEE Communications Letters, 2005, 9(11): 976-978.

[21] CHAINTREAU A, HUI P, CROWCROFT J, et al. Impact of human mobility on opportunistic forwarding algorithms[J]. IEEE Transactions on Mobile Computing, 2007, 6(6): 606-620.

[22] KARAGIANNIS T, LEBOUDEC J Y, VOJNOVIC M. Power law and exponential decay of intercontact times between mobile devices[J].IEEE Transactions on Mobile Computing, 2010, 9(10): 1377-1390.

[23] KER?NEN A, OTT J, K?RKK?INEN T. The one simulator for DTN protocol evaluation[A]. ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering)[C]. 2009. 55.