易　瑜

（重慶郵電大學(xué),重慶 400065）

一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制

易瑜

（重慶郵電大學(xué),重慶 400065）

摘要：路由是WIA-PA網(wǎng)絡(luò)通信的前提，路由安全是WIA-PA網(wǎng)絡(luò)通信安全的基礎(chǔ)，本文設(shè)計(jì)了一種集中式和分布式相結(jié)合的信任管理機(jī)制，提出了一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制，能夠在保證時(shí)延和能耗平衡的基礎(chǔ)上有效的抵制選擇性轉(zhuǎn)發(fā)等內(nèi)部攻擊的入侵。

關(guān)鍵詞：安全路由；內(nèi)部攻擊；信任管理

1　引言

WIA-PA[1]采用了無線信道通信，由于現(xiàn)場(chǎng)環(huán)境惡劣復(fù)雜，網(wǎng)絡(luò)的無線通信容易受到來自系統(tǒng)外部或者內(nèi)部的路由攻擊。因此提高WIA-PA網(wǎng)絡(luò)路由的安全性能對(duì)于WIA-PA網(wǎng)絡(luò)的發(fā)展具有十分重要的意義。

WIA-PA網(wǎng)絡(luò)通常資源非常有限，通信能力受限，而且對(duì)抗干擾、低功耗以及實(shí)時(shí)性有著重要的限制[2]。要求WIA-PA的路由算法設(shè)計(jì)必須考慮時(shí)延、能量以及安全的問題。目前WIA-PA網(wǎng)絡(luò)的路由協(xié)議[3]研究缺乏對(duì)路由安全的考慮。

2　適用于WIA-PA網(wǎng)絡(luò)的安全路由

2.1信任管理的框架

WIA-PA標(biāo)準(zhǔn)雖然沒有規(guī)定具體的路由算法，但要求路由設(shè)備只能采用靜態(tài)路由方式[4]，路由表的配置由網(wǎng)絡(luò)管理者完成。本文結(jié)合WIA-PA的路由方式設(shè)計(jì)了一種集中式和分布式相結(jié)合的信任管理模型對(duì)網(wǎng)絡(luò)進(jìn)行安全管理，信任管理框架如圖1所示。

圖1　信任管理框架圖

其分布式體現(xiàn)在路由節(jié)點(diǎn)對(duì)鄰居的轉(zhuǎn)發(fā)行為的量化，集中式體現(xiàn)在安全管理者對(duì)信任的合并以及決策。節(jié)點(diǎn)在建立路由表后，按照路由表周期性的上傳數(shù)據(jù)，然后在數(shù)據(jù)發(fā)送后檢測(cè)自身下一跳節(jié)點(diǎn)的轉(zhuǎn)發(fā)情況，并將轉(zhuǎn)發(fā)情況形成信任值，當(dāng)信任值變化超過一定的閾值范圍時(shí)，節(jié)點(diǎn)將信任值嵌入到周期性的數(shù)據(jù)報(bào)文中，一同上傳至網(wǎng)絡(luò)管理者，并由網(wǎng)絡(luò)管理者轉(zhuǎn)交給安全管理者進(jìn)行信任合并。

2.2信任的分布式管理

（1）信任值的計(jì)算。信任值是節(jié)點(diǎn)轉(zhuǎn)發(fā)情況的量化值，當(dāng)前節(jié)點(diǎn)若檢測(cè)到下一跳節(jié)點(diǎn)成功轉(zhuǎn)發(fā)，則增加對(duì)該節(jié)點(diǎn)的信任值；若檢測(cè)到下一跳轉(zhuǎn)發(fā)失敗，則減少對(duì)該節(jié)點(diǎn)的信任值。

本文將信任值轉(zhuǎn)化為數(shù)值形式，每成功轉(zhuǎn)發(fā)一次，節(jié)點(diǎn)增加部分信任值，失敗一次，減少部分信任值，其表現(xiàn)形式如公式（1）所示。

（2）信任值的匯報(bào)。WIA-PA網(wǎng)絡(luò)由現(xiàn)場(chǎng)設(shè)備周期性采集傳感器數(shù)據(jù)，在路由設(shè)備處進(jìn)行數(shù)據(jù)融合，再轉(zhuǎn)發(fā)至網(wǎng)關(guān)設(shè)備。本文將匯報(bào)的信任值嵌入到周期性上行數(shù)據(jù)包中，減少每匯報(bào)一次而帶來的至少33個(gè)字節(jié)的能耗開銷。

2.3信任的集中式管理

（1）信任值的合并。父母親節(jié)點(diǎn)可能會(huì)得到多個(gè)孩子的信任值評(píng)估，本文設(shè)定在安全管理者處將此類信任值合并，并減少信任值較低的節(jié)點(diǎn)的合并比重，增加信任值高的節(jié)點(diǎn)的合并比重。例如，若網(wǎng)絡(luò)管理者獲得了三份來自對(duì)節(jié)點(diǎn)A、B、C的對(duì)節(jié)點(diǎn)D的信任值，分別為TAD、TBD、TCD，同時(shí)網(wǎng)絡(luò)管理者也維護(hù)了節(jié)點(diǎn)A、B、C 各自的綜合信任值TA、TB、TC，則有：

（2）攻擊的檢測(cè)。本文規(guī)定節(jié)點(diǎn)每成功轉(zhuǎn)發(fā)一次，其信任值增加Δs，每失敗轉(zhuǎn)發(fā)一次，其信任值減少。其中Δs/的計(jì)算公式。設(shè)信道丟包率的范圍為0～P信道，則這表明節(jié)點(diǎn)在一定時(shí)間內(nèi)正常轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，其信任值是增加的。在本方案的測(cè)試環(huán)境中，P信道的值不大于10％，假設(shè)P信道取最大值10％，則有Δs/=1/9，當(dāng)信任值低于信任下限，則判定為攻擊節(jié)點(diǎn)。

3　方案分析

3.1安全性分析

本方案在信任計(jì)算時(shí)，采用了小獎(jiǎng)大懲的管理策略，達(dá)到了較高的攻擊檢測(cè)率和較低的誤檢率；在信任值合并時(shí)，利用節(jié)點(diǎn)的信任值比重為權(quán)重計(jì)算綜合信任值，能夠降低非法節(jié)點(diǎn)惡意匯報(bào)信任值的影響，提高了對(duì)非法節(jié)點(diǎn)的檢測(cè)率。

3.2性能分析

本方案檢測(cè)鄰居節(jié)點(diǎn)的通信行為，并以此生成信任值。方案信任值的匯報(bào)嵌入到周期性上行的報(bào)文中，有效的降低了通信開銷。信任的計(jì)算采用簡(jiǎn)單的加/減法運(yùn)算，其計(jì)算開銷非常低。且信任值變化范圍在100以內(nèi)，只需要在鄰居表項(xiàng)中添加1個(gè)字節(jié)的信任值存儲(chǔ)開銷，存儲(chǔ)開銷很低。

4　結(jié)論

本文將提出的一種適用于WIA-PA網(wǎng)絡(luò)的安全路由機(jī)制，能有效抵御WIA-PA網(wǎng)絡(luò)中選擇性轉(zhuǎn)發(fā)攻擊等內(nèi)部入侵，信任值的計(jì)算采用簡(jiǎn)單的加/減運(yùn)算，通過大懲小獎(jiǎng)的方式提高了檢測(cè)率，并將信任值的匯報(bào)嵌入到周期性的上行數(shù)據(jù)報(bào)文中，減少了匯報(bào)的通信與計(jì)算開銷。

參考文獻(xiàn)：

[1]IEC/PAS62601：Industrial communication networks-Fieldbus specification-WIA-PA communication network and communication profile.

[2]孫利民，李建中，陳渝等.無線傳感器網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社,2005：6-11.

[3]杜小杰，蔡照鵬.WIA-PA多路徑路由設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù), 2012,8（32）：7710-7713.

[4]李華英.基于資源調(diào)度的靜態(tài)路由算法（SCIRS）設(shè)計(jì)[J].電腦知識(shí)與技術(shù),2008,3（07）：1519-1522.