葉承瓊
(安徽新華學院信息工程學院,安徽 合肥230088)
?
基于物聯(lián)網(wǎng)的通信關鍵技術研究
葉承瓊
(安徽新華學院信息工程學院,安徽 合肥230088)
物聯(lián)網(wǎng)通信是當前通信領域研究的熱點.為了提高物聯(lián)網(wǎng)通信的安全性,設計了基于物聯(lián)網(wǎng)的節(jié)點隱匿通信模型,搭建了基于組的自組織匿名轉(zhuǎn)發(fā)網(wǎng)絡,并對模型進行了深入分析.重點研究了基于物聯(lián)網(wǎng)的節(jié)點隱匿通信模型的抗攻擊技術:信任關系網(wǎng)絡更新技術、局部信任關系抽取技術和基于信任路由的防御技術.這些關鍵技術在一定程度上保證了物聯(lián)網(wǎng)信息技術的安全及個人身份隱私的保護.
物聯(lián)網(wǎng);通信模型;模型分析;抗攻擊技術
物聯(lián)網(wǎng)通信的實現(xiàn)其實就是對節(jié)點進行感知的過程,外部攻擊者通過追蹤數(shù)據(jù)包以及分析流量等手段對信息的接收和發(fā)送雙方進行推斷,容易導致信息接收和發(fā)送方的隱私泄露問題[1];內(nèi)部攻擊者通過串謀攻擊以及分析數(shù)據(jù)包等方式可以對信息接收和發(fā)送雙方之間的通信關系進行推斷,進而泄露通信關系隱私.為了對以上通信關系隱私進行保護,有必要對節(jié)點的隱匿通信機制進行深入的研究. 有一類惡意節(jié)點存在于隱匿通信系統(tǒng)中,可以通過身份的偽造加入隱匿通信系統(tǒng),并利用合作的方式從系統(tǒng)中獲取額外的轉(zhuǎn)發(fā)信息,對信息接收和發(fā)送方的信息及其通信關系進行推斷.在隱匿通信系統(tǒng)中,我們通常稱這種攻擊方式為Sybil攻擊.
在物聯(lián)網(wǎng)的通信過程中,本文綜合考慮了物聯(lián)網(wǎng)具有較多的感知節(jié)點、有限的計算和存儲能力以及頻繁的加入和退出操作等因素,針對通信關系隱私泄露問題,面向物聯(lián)網(wǎng)設計了節(jié)點隱匿通信模型.在該隱匿通信系統(tǒng)中,為了切實提高抗攻擊能力,針對其中的Sybil攻擊方式,對Sybil攻擊檢測與防范技術進行了探討和研究.
1.1物聯(lián)網(wǎng)節(jié)點隱匿通信模型
圖1 物聯(lián)網(wǎng)節(jié)點隱匿通信模型
首先,我們用一個四元組(S,D,N,T)對節(jié)點隱匿通信模型進行定義,其中發(fā)送方用S表示,接收方用D表示,安全傳輸策略用T表示,轉(zhuǎn)發(fā)網(wǎng)絡用N來描述,圖1給出了具體的通信模型示意圖.
發(fā)送方:在定義中用S表示,把信息劃分為m片,通過假名策略的應用相應地生成m個虛擬源節(jié)點,并把m個信息分片分配到虛擬源節(jié)點中.
接收方:在定義中用D表示,解碼出口節(jié)點輸送的全局、局部編碼向量以及編碼信息,對原始信息進行恢復.
安全傳輸策略:在定義中用T表示,通過同態(tài)加密函數(shù)發(fā)送方S可以對初始全局編碼向量進行加密,對分片信息進行隨機系數(shù)選擇下的網(wǎng)絡編碼并向入口節(jié)點傳輸;通過隨機系數(shù)選擇中繼節(jié)點可以編碼信息分片,并采用分徑轉(zhuǎn)發(fā)的方式在匿名轉(zhuǎn)發(fā)網(wǎng)絡中對編碼信息、局部編碼矩陣以及全局編碼向量等進行傳輸;出口節(jié)點負責對以上信息進行廣播.
轉(zhuǎn)發(fā)網(wǎng)絡:在定義中用N表示,是一個無線多跳網(wǎng)絡,由多個中繼節(jié)點組成,這些節(jié)點和鏈路具有以下特征:入口節(jié)點是發(fā)送方一跳內(nèi)的鄰居節(jié)點,共有m個;出口節(jié)點為接收方一跳內(nèi)的鄰居節(jié)點,數(shù)量也為m個;中繼節(jié)點的通信范圍是相鄰一跳的節(jié)點;n為每條路徑的長度; 入口節(jié)點到出口節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)路徑有多條,且這些路徑互不相交.
1.2模型通信實體
由圖1可知,本文介紹的節(jié)點隱匿通信模型由三類節(jié)點組成,分別為由發(fā)送方S組成的源節(jié)點,接收方D組成的目的節(jié)點以及中繼節(jié)點R(i,j)(中繼節(jié)點R(i,j)(i=1,2,…,m;j=1,2,…,n;).其中,轉(zhuǎn)發(fā)網(wǎng)絡的入口節(jié)點是第一列的轉(zhuǎn)發(fā)中繼節(jié)點,也是源節(jié)點的下一跳,用R(i,j)(i=1,2,…,m;j=1)表示;轉(zhuǎn)發(fā)網(wǎng)絡的出口節(jié)點是其路徑最后一列中繼節(jié)點,也是目的節(jié)點的上一跳,用R(i,j)(i=1,2,…,m;j=n)表示.
1.3模型通信機制
在本文探討的節(jié)點隱匿通信模型中,為了滿足匿名轉(zhuǎn)發(fā)的條件,本文在組概念的基礎上提出了自組織匿名轉(zhuǎn)發(fā)網(wǎng)絡[2].通過假名策略實現(xiàn)轉(zhuǎn)發(fā)網(wǎng)絡中發(fā)送方的匿名,接收方的匿名則通過廣播策略得以實現(xiàn).在轉(zhuǎn)發(fā)網(wǎng)絡的每一跳中,通過對中繼節(jié)點匿名組的構建可以實現(xiàn)信息接收和發(fā)送方之間的通信關系匿名.在這種轉(zhuǎn)發(fā)網(wǎng)絡環(huán)境下,對感知節(jié)點的管理不需要使用集中式目錄服務器,而是采用自組織形式,系統(tǒng)的容錯性和可擴展性都由此得到顯著提升.
在數(shù)據(jù)傳輸過程中,秘鑰協(xié)商次數(shù)較多,秘鑰管理機制復雜,公鑰加解密難度較大.為了使其得到有效降低,本文在同態(tài)加密函數(shù)和網(wǎng)絡編碼的基礎上提出了新的安全傳輸機制.這種新機制采用信息分片的形式,通過對網(wǎng)絡編碼方法的隨機選用確保信息的機密性,同時采用輕量級的異或運算;通過同態(tài)加密函數(shù)對源節(jié)點的全局網(wǎng)絡編碼向量進行加密,傳輸至目的節(jié)點之后運用算法對信息進行解密,原始信息得以恢復,能成功抵御串謀攻擊.這種安全傳輸機制使秘鑰加解密次數(shù)和秘鑰協(xié)商次數(shù)得到有效減少,中繼節(jié)點的計算開銷得到有效降低,同時還提高了抗串謀攻擊能力,保持了良好的機密性.
在信息發(fā)送方和接收方之間成功構建出匿名轉(zhuǎn)發(fā)網(wǎng)絡,需要滿足信息接收方、發(fā)送方以及兩者之間通信關系的匿名[3].在轉(zhuǎn)發(fā)網(wǎng)絡中,未來市縣自組織匿名方式,通過假名策略的使用可以生成多個虛擬源節(jié)點市縣發(fā)送方的匿名;出口節(jié)點廣播信息至目標節(jié)點可以實現(xiàn)接收方的匿名;通過匿名中繼轉(zhuǎn)發(fā)網(wǎng)絡可以實現(xiàn)兩者之間通信關系的匿名,在轉(zhuǎn)發(fā)網(wǎng)絡的每一跳中都有一組節(jié)點包括在其中,每一組節(jié)點能了解的僅有上一跳和下一跳組節(jié)點的具體信息,在組節(jié)點之間可以通信,從而實現(xiàn)通信關系的匿名.圖2給出了具體的構建轉(zhuǎn)發(fā)網(wǎng)絡過程及使用的相關匿名策略.
圖2 基于組的自組織匿名轉(zhuǎn)發(fā)網(wǎng)絡
(1)初始化
在對匿名轉(zhuǎn)發(fā)網(wǎng)絡進行構建時,首先在源節(jié)點到目的節(jié)點之間要生成一條轉(zhuǎn)發(fā)鏈路.表1給出了節(jié)點到目的節(jié)點之間發(fā)送的路由請求消息結構,如果鄰接節(jié)點還沒有到達目的節(jié)點,就在路由請求消息中進行記錄,路徑數(shù)加1之后繼續(xù)向下一節(jié)點轉(zhuǎn)發(fā);如果鄰接節(jié)點已經(jīng)到達目的節(jié)點,轉(zhuǎn)發(fā)停止,轉(zhuǎn)發(fā)路徑成功獲得.目的節(jié)點把應答消息傳送至路由請求節(jié)點,在應答消息中包含了具體的轉(zhuǎn)發(fā)路徑信息.
表1 路由請求消息RREQ
(2)發(fā)送方匿名策略
本文基于假名提出了虛擬源節(jié)點策略,進而實現(xiàn)發(fā)送方的匿名,通過假名機制的使用對虛擬源節(jié)點進行生成,共生成m個轉(zhuǎn)發(fā)節(jié)點,具體的轉(zhuǎn)發(fā)路徑也有m條.
把IDs作為發(fā)送方S的標識,并預置一個隨機數(shù)生成器和一個哈希函數(shù)在發(fā)送方中,然后發(fā)送方通過哈希函數(shù)對假名集合進行隨機生成.表2給出了生成的虛擬源節(jié)點列表,而且假名滿足以下條件:
S1=H(IDs⊕α1)
S2=H(IDs⊕α2)
Sm=H(IDs⊕αm)
表2 虛擬Source nodes 表
(3)中繼節(jié)點匿名策略
在源節(jié)點至目的節(jié)點的路徑中,組頭為以路徑上的節(jié)點i,并且通過選擇鄰節(jié)點,對第i跳m-匿名組(Hop_Groupi)進行構建,在匿名組的節(jié)點需要滿足以下要求:首先,第i跳m-匿名組Hop_Groupi其上下一跳的匿名組都能彼此通信;其次,組頭節(jié)點可以為匿名組內(nèi)的成員節(jié)點設置如表3所示的轉(zhuǎn)發(fā)路徑序列.
表3 第i條的m-Hop_Groupi(匿名組)
(4)出口節(jié)點廣播策略
出口節(jié)點生成的轉(zhuǎn)發(fā)節(jié)點集合包含了m個節(jié)點,而且上一跳轉(zhuǎn)發(fā)節(jié)點與生成的轉(zhuǎn)發(fā)節(jié)點通信范圍相同,出口節(jié)點集合的廣播通信范圍包含了目的節(jié)點D.
(5)更新策略
未來對網(wǎng)絡節(jié)點能耗進行進一步的均衡,確保路由節(jié)點的有效,本文還設置了通信周期T.在T時間范圍內(nèi),沿著構建完成的匿名轉(zhuǎn)發(fā)網(wǎng)絡,發(fā)送方S進行數(shù)據(jù)的傳輸;到達下一個通信周期T時,原來的匿名轉(zhuǎn)發(fā)網(wǎng)絡則棄之不用,數(shù)據(jù)傳輸沿著重新建立的匿名轉(zhuǎn)發(fā)網(wǎng)絡進行.
3.1通信模型正確性分析
在網(wǎng)絡編碼基礎上實現(xiàn)的數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡中,假設不會出現(xiàn)傳輸出錯的概率,則m條路徑上存在的全部網(wǎng)絡編碼信息、局部編碼矩陣以及全局編碼向量都可以傳輸至目的節(jié)點,通過這些信息目標節(jié)點可以對源節(jié)點發(fā)送的信息進行正確的恢復[4].
= C(i,n)⊕(C(i,n-1)⊕(C(i,n-2)⊕(…(C(i,0)⊕Mi))))
通過以上三個信息可以對原始信息分片進行恢復,具體的計算方法如下所示:
Mi可以根據(jù)上述公式,通過以下計算推導得出:
根據(jù)Mi可以對原始信息M=(M1,M2,…,Mn) 進行恢復.
3.2匿名性分析
發(fā)送方在匿名轉(zhuǎn)發(fā)網(wǎng)絡中,其轉(zhuǎn)發(fā)節(jié)點使生成假名S,而且僅有一個前驅(qū)節(jié)點存在于入口節(jié)點集合中,雖然很容易就此對發(fā)送方進行推斷,但推斷得出的僅僅是假名,發(fā)送方的真實身份沒有泄露,發(fā)送方的匿名得以保證.
在構建匿名轉(zhuǎn)發(fā)網(wǎng)絡的過程中,對于每一個中繼節(jié)點來說,其擁有的信息范圍只包括上一跳和下一跳節(jié)點,其他節(jié)點的信息并不了解.在這種形勢下,即便攻擊者能截獲路由信息,也無法由此對信息接收和發(fā)送方的相關信息進行推斷.通信關系的匿名得以保證.
4.1信任關系網(wǎng)絡更新技術
擊邊刪除、節(jié)點加入以及點的退出是全局社會關系的更新策略內(nèi)容.其中在擊邊刪除中,Sybil節(jié)點與誠實節(jié)點的連接路徑會經(jīng)由攻擊邊,同時有限的攻擊邊數(shù)目會限制Sybil社區(qū)以及城市社區(qū)之間的連通性.在轉(zhuǎn)發(fā)數(shù)據(jù)的過程中,如果誠實節(jié)點在發(fā)現(xiàn)Sybil節(jié)點的同時對某些攻擊邊執(zhí)行刪除操作,會極大地提高抵御Sybil攻擊的能力.在節(jié)點加入中,當在網(wǎng)絡中新加一個節(jié)點時,根據(jù)該節(jié)點與其他節(jié)點間的交互,物聯(lián)網(wǎng)節(jié)點會執(zhí)行局部的信任或不信任度量,然后發(fā)送節(jié)點對至遠程服務器中,然后服務器在信任關系網(wǎng)絡中添加節(jié)點及節(jié)點對之間的關系[6].在點的退出方面,節(jié)點周期性地把特定驗證消息發(fā)送到服務器上,通過時間閾值的設置,證明自己在網(wǎng)絡中存在.如果在閾值范圍內(nèi)某個節(jié)點沒有把驗證消息發(fā)送到服務器上,證明該節(jié)點沒有在網(wǎng)絡中存在,在信任關系網(wǎng)絡中就會刪除該節(jié)點機器邊,最終完成信任關系網(wǎng)絡的更新.
4.2局部信任關系抽取技術
對于節(jié)點來說,與節(jié)點關系相關的信任和不信任關系都是隨身攜帶的.本文充分考慮到節(jié)點的存儲能力,把部分信任關系網(wǎng)絡從整體的關系網(wǎng)絡中抽離,周期性地向物聯(lián)網(wǎng)節(jié)點發(fā)送,提供給數(shù)據(jù)轉(zhuǎn)發(fā)的決策.下面是具體的抽取規(guī)則:
首先是信任列表的局部生產(chǎn)規(guī)則,節(jié)點與其所在社區(qū)中的節(jié)點具有交互概率高以及相遇頻繁等特點,要針對所有社區(qū)內(nèi)的節(jié)點進行正連接度的計算;其中的種子節(jié)點選擇連接度較高的m個節(jié)點,目標節(jié)點為選擇的其中一個節(jié)點.按照隨機游走方法從種子節(jié)點出發(fā)傳輸至目標節(jié)點的路徑共有m條,其中所涉及的節(jié)點為信任節(jié)點,并在局部信任列表中記錄;考慮到部分信任關系網(wǎng)絡要執(zhí)行抽離操作,信息會產(chǎn)生不確定和不完全性,所以要把社區(qū)內(nèi)連接邊的節(jié)點抽取作為信任節(jié)點,并在局部信任列表中加入,確保社區(qū)關系網(wǎng)絡的連通.
其次是不信任列表的具體生成規(guī)則,Sybil節(jié)點與誠實節(jié)點的連接路徑必然會途經(jīng)攻擊邊,所以可以在局部不信任列表中加入攻擊邊涉及的Sybil節(jié)點;在社區(qū)的內(nèi)部節(jié)點中,往往具有穩(wěn)定性的關系網(wǎng)絡,所以可以把其中隨機選擇的路徑節(jié)點納入到不信任列表中.
4.3基于信任路由的防御技術
本文在路由信任的基礎上提出了具體的防御策略,通過周期性接收和存儲每個節(jié)點向服務器發(fā)送的局部信任和不信任列表,進行數(shù)據(jù)轉(zhuǎn)發(fā)或路由決策.下面給出了具體過程:
當兩個節(jié)點相遇時,其中一個節(jié)點把數(shù)據(jù)轉(zhuǎn)發(fā)請求發(fā)送給另一個節(jié)點,然后收到請求的節(jié)點會對該節(jié)點與自身的社會關系進行檢驗,通常會存在以下三種情況:當該節(jié)點存在于自身信任列表中時,則接受請求;當該節(jié)點存在于自身不信任列表中時,拒絕請求;當該節(jié)點均不存在于信任和不信任關系列表中時,則向提出數(shù)據(jù)轉(zhuǎn)發(fā)申請的節(jié)點發(fā)送關系驗證信息,通過兩個節(jié)點信任列表交集的計算,得出兩者的共同信任集合,同時進行閾值的設置,如果兩者間是足夠信任的,則節(jié)點接收請求,若兩者之間信任不足,則發(fā)出請求拒絕消息.
節(jié)點通信在物聯(lián)網(wǎng)環(huán)境下會存在一定的隱私泄露問題.本文針對這種隱私威脅,面向物聯(lián)網(wǎng)環(huán)境構建了節(jié)點隱匿通信模型,探討了節(jié)點隱匿通信模型在社交發(fā)現(xiàn)服務和分享過程中的身份隱私保護問題,深入研究了模型的抗攻擊技術,有助于物聯(lián)網(wǎng)隱私保護水平的提升,使物聯(lián)網(wǎng)中節(jié)點對抗攻擊能力得到有效提高,通過理論模型和技術方案的提供,幫助解決切實存在的物聯(lián)網(wǎng)安全隱私問題.
[1]孫其博,劉杰,黎弄,等.物聯(lián)網(wǎng):概念、架構與關鍵技術研究綜述[J].北京郵電大學學報,2010,(3): 1-9.
[2]沈蘇彬,范曲立,宗平,等.物聯(lián)網(wǎng)的體系結構與相關技術研究[J].南京郵電大學學報:自然科學版,2009, (6):1-11.
[3]Tong Z, Choudhury R R, Ning P,etal. P2DAP-sybil attacks detection in vehicular Ad Hoc networks [J]. IEEE Journal on Selected Areas in Communications,2011,(3): 582-594.
[4]周彥偉,楊波,吳振強,等.基于網(wǎng)絡編碼的匿名通信模型[J].中國科學:信息科學,2014, (12): 1560-1579.
[5]Weber R H. Internet of things new security and privacy challenges[J]. Computer Law&Security Review, 2010,(l):23-30.
[6]Grover J, Prajapati N K, Laxmi V, et al. Machine learning approach for multiple misbehavior detection in VANET[J]. Communications in Computer & Information Science, 2011,192: 644-653.
(責任編校:晴川)
Research on Key Technologies of Communication Based on Internet of Things
YE Chengqiong
(Institute of Information Engineering, Anhui Xinhua University, Hefei Anhui 230088, China)
Internet of things communication is a hot research topic in the field of communication. In order to improve the security of the internet of things, this paper designs a hidden communication model based on internet of things. A group based self - organization anonymous forwarding network is built, and the model is analyzed in depth. Finally, it focuses on the technology of the hidden communication model based on the internet of things.
internet of things; model of communication; model analysis; anti attack technology
2016-07-07
安徽新華學院省級自然科學研究項目“面向隱私保護無線傳感器網(wǎng)絡數(shù)據(jù)融合技術研究 ”(批準號:kj2016A303).
葉承瓊(1984— ),女,安徽繁昌人,安徽新華學院信息工程學院講師,碩士.研究方向:無線傳感器網(wǎng)絡.
TN929.5
A
1008-4681(2016)05-0042-04