易 瑜
(重慶郵電大學(xué),重慶 400065)
一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制
易瑜
(重慶郵電大學(xué),重慶 400065)
摘要:路由是WIA-PA網(wǎng)絡(luò)通信的前提,路由安全是WIA-PA網(wǎng)絡(luò)通信安全的基礎(chǔ),本文設(shè)計(jì)了一種集中式和分布式相結(jié)合的信任管理機(jī)制,提出了一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制,能夠在保證時(shí)延和能耗平衡的基礎(chǔ)上有效的抵制選擇性轉(zhuǎn)發(fā)等內(nèi)部攻擊的入侵。
關(guān)鍵詞:安全路由;內(nèi)部攻擊;信任管理
WIA-PA[1]采用了無線信道通信,由于現(xiàn)場(chǎng)環(huán)境惡劣復(fù)雜,網(wǎng)絡(luò)的無線通信容易受到來自系統(tǒng)外部或者內(nèi)部的路由攻擊。因此提高WIA-PA網(wǎng)絡(luò)路由的安全性能對(duì)于WIA-PA網(wǎng)絡(luò)的發(fā)展具有十分重要的意義。
WIA-PA網(wǎng)絡(luò)通常資源非常有限,通信能力受限,而且對(duì)抗干擾、低功耗以及實(shí)時(shí)性有著重要的限制[2]。要求WIA-PA的路由算法設(shè)計(jì)必須考慮時(shí)延、能量以及安全的問題。目前WIA-PA網(wǎng)絡(luò)的路由協(xié)議[3]研究缺乏對(duì)路由安全的考慮。
2.1信任管理的框架
WIA-PA標(biāo)準(zhǔn)雖然沒有規(guī)定具體的路由算法,但要求路由設(shè)備只能采用靜態(tài)路由方式[4],路由表的配置由網(wǎng)絡(luò)管理者完成。本文結(jié)合WIA-PA的路由方式設(shè)計(jì)了一種集中式和分布式相結(jié)合的信任管理模型對(duì)網(wǎng)絡(luò)進(jìn)行安全管理,信任管理框架如圖1所示。
圖1 信任管理框架圖
其分布式體現(xiàn)在路由節(jié)點(diǎn)對(duì)鄰居的轉(zhuǎn)發(fā)行為的量化,集中式體現(xiàn)在安全管理者對(duì)信任的合并以及決策。節(jié)點(diǎn)在建立路由表后,按照路由表周期性的上傳數(shù)據(jù),然后在數(shù)據(jù)發(fā)送后檢測(cè)自身下一跳節(jié)點(diǎn)的轉(zhuǎn)發(fā)情況,并將轉(zhuǎn)發(fā)情況形成信任值,當(dāng)信任值變化超過一定的閾值范圍時(shí),節(jié)點(diǎn)將信任值嵌入到周期性的數(shù)據(jù)報(bào)文中,一同上傳至網(wǎng)絡(luò)管理者,并由網(wǎng)絡(luò)管理者轉(zhuǎn)交給安全管理者進(jìn)行信任合并。
2.2信任的分布式管理
(1)信任值的計(jì)算。信任值是節(jié)點(diǎn)轉(zhuǎn)發(fā)情況的量化值,當(dāng)前節(jié)點(diǎn)若檢測(cè)到下一跳節(jié)點(diǎn)成功轉(zhuǎn)發(fā),則增加對(duì)該節(jié)點(diǎn)的信任值;若檢測(cè)到下一跳轉(zhuǎn)發(fā)失敗,則減少對(duì)該節(jié)點(diǎn)的信任值。
本文將信任值轉(zhuǎn)化為數(shù)值形式,每成功轉(zhuǎn)發(fā)一次,節(jié)點(diǎn)增加部分信任值,失敗一次,減少部分信任值,其表現(xiàn)形式如公式(1)所示。
(2)信任值的匯報(bào)。WIA-PA網(wǎng)絡(luò)由現(xiàn)場(chǎng)設(shè)備周期性采集傳感器數(shù)據(jù),在路由設(shè)備處進(jìn)行數(shù)據(jù)融合,再轉(zhuǎn)發(fā)至網(wǎng)關(guān)設(shè)備。本文將匯報(bào)的信任值嵌入到周期性上行數(shù)據(jù)包中,減少每匯報(bào)一次而帶來的至少33個(gè)字節(jié)的能耗開銷。
2.3信任的集中式管理
(1)信任值的合并。父母親節(jié)點(diǎn)可能會(huì)得到多個(gè)孩子的信任值評(píng)估,本文設(shè)定在安全管理者處將此類信任值合并,并減少信任值較低的節(jié)點(diǎn)的合并比重,增加信任值高的節(jié)點(diǎn)的合并比重。例如,若網(wǎng)絡(luò)管理者獲得了三份來自對(duì)節(jié)點(diǎn)A、B、C的對(duì)節(jié)點(diǎn)D的信任值,分別為TAD、TBD、TCD,同時(shí)網(wǎng)絡(luò)管理者也維護(hù)了節(jié)點(diǎn)A、B、C 各自的綜合信任值TA、TB、TC,則有:
(2)攻擊的檢測(cè)。本文規(guī)定節(jié)點(diǎn)每成功轉(zhuǎn)發(fā)一次,其信任值增加Δs,每失敗轉(zhuǎn)發(fā)一次,其信任值減少。其中Δs/的計(jì)算公式。設(shè)信道丟包率的范圍為0~P信道,則這表明節(jié)點(diǎn)在一定時(shí)間內(nèi)正常轉(zhuǎn)發(fā)數(shù)據(jù)時(shí),其信任值是增加的。在本方案的測(cè)試環(huán)境中,P信道的值不大于10%,假設(shè)P信道取最大值10%,則有Δs/=1/9,當(dāng)信任值低于信任下限,則判定為攻擊節(jié)點(diǎn)。
3.1安全性分析
本方案在信任計(jì)算時(shí),采用了小獎(jiǎng)大懲的管理策略,達(dá)到了較高的攻擊檢測(cè)率和較低的誤檢率;在信任值合并時(shí),利用節(jié)點(diǎn)的信任值比重為權(quán)重計(jì)算綜合信任值,能夠降低非法節(jié)點(diǎn)惡意匯報(bào)信任值的影響,提高了對(duì)非法節(jié)點(diǎn)的檢測(cè)率。
3.2性能分析
本方案檢測(cè)鄰居節(jié)點(diǎn)的通信行為,并以此生成信任值。方案信任值的匯報(bào)嵌入到周期性上行的報(bào)文中,有效的降低了通信開銷。信任的計(jì)算采用簡(jiǎn)單的加/減法運(yùn)算,其計(jì)算開銷非常低。且信任值變化范圍在100以內(nèi),只需要在鄰居表項(xiàng)中添加1個(gè)字節(jié)的信任值存儲(chǔ)開銷,存儲(chǔ)開銷很低。
本文將提出的一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制,能有效抵御WIA-PA網(wǎng)絡(luò)中選擇性轉(zhuǎn)發(fā)攻擊等內(nèi)部入侵,信任值的計(jì)算采用簡(jiǎn)單的加/減運(yùn)算,通過大懲小獎(jiǎng)的方式提高了檢測(cè)率,并將信任值的匯報(bào)嵌入到周期性的上行數(shù)據(jù)報(bào)文中,減少了匯報(bào)的通信與計(jì)算開銷。
參考文獻(xiàn):
[1]IEC/PAS62601:Industrial communication networks-Fieldbus specification-WIA-PA communication network and communication profile.
[2]孫利民,李建中,陳渝等.無線傳感器網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社,2005:6-11.
[3]杜小杰,蔡照鵬.WIA-PA多路徑路由設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù), 2012,8(32):7710-7713.
[4]李華英.基于資源調(diào)度的靜態(tài)路由算法(SCIRS)設(shè)計(jì)[J].電腦知識(shí)與技術(shù),2008,3(07):1519-1522.