俞立峰，陳潘航

(浙江工業(yè)職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院，浙江 紹興 312000)

0 引言

近年來，物聯(lián)網(wǎng)技術(shù)已經(jīng)廣泛應(yīng)用于生產(chǎn)生活的各個(gè)領(lǐng)域。物聯(lián)網(wǎng)技術(shù)可以實(shí)現(xiàn)遠(yuǎn)程監(jiān)控、遠(yuǎn)程操作、自動(dòng)化操作等功能，極大提高生產(chǎn)生活的便利性。與此同時(shí)，物聯(lián)網(wǎng)的安全僅2017上半年全球針對(duì)物聯(lián)網(wǎng)的攻擊增加280%。由此可見，物聯(lián)網(wǎng)安全問題是阻止物聯(lián)網(wǎng)發(fā)展的重要限制因素。

物聯(lián)網(wǎng)是一種開放性網(wǎng)絡(luò)，其萬物互聯(lián)的特征是通過終端設(shè)備靈活的加入或離開網(wǎng)絡(luò)，并共享信息而實(shí)現(xiàn)的。目前，RPL（Routing Protocol for Low-power and lossy networks，低功耗有損網(wǎng)絡(luò)路由協(xié)議）是主流的物聯(lián)網(wǎng)基礎(chǔ)通信方案，并成為了學(xué)術(shù)界及產(chǎn)業(yè)界普遍認(rèn)同的通信標(biāo)準(zhǔn)。然而，RPL 在原生設(shè)計(jì)上仍存在較大的安全性風(fēng)險(xiǎn)。黑客可以利用部分物聯(lián)網(wǎng)設(shè)備的軟硬件漏洞控制設(shè)備，并將之轉(zhuǎn)化為不良節(jié)點(diǎn)，進(jìn)而通過RPL 的特征攻擊整個(gè)網(wǎng)絡(luò)。相較于傳統(tǒng)網(wǎng)絡(luò)，物聯(lián)網(wǎng)節(jié)點(diǎn)間的可信度較低，傳統(tǒng)網(wǎng)絡(luò)安全方案在物聯(lián)網(wǎng)上的表現(xiàn)不佳。因此，設(shè)計(jì)符合物聯(lián)網(wǎng)特征的網(wǎng)絡(luò)安全方案應(yīng)充分考慮節(jié)點(diǎn)間的信任風(fēng)險(xiǎn)，探索新的輕量化且具有較高安全性的通信協(xié)議。非合作博弈是一種經(jīng)典的博弈模型，其預(yù)先假定參與者無法就具有約束力的協(xié)議達(dá)成一致，即參與者是去中心化的、對(duì)等、不可信的狀態(tài)，難以達(dá)成一致性的合作。在計(jì)算機(jī)研究領(lǐng)域中，非合作博弈主要應(yīng)用于資源分配的策略設(shè)計(jì)中，通過研究個(gè)體在非合作環(huán)境中的自主決策，實(shí)現(xiàn)包含沖突元素的依賴性平衡。受到非合作博弈理論啟發(fā)，本文基于零和博弈理論，將其引入信任機(jī)制及通信協(xié)議構(gòu)建領(lǐng)域，設(shè)計(jì)了一種兼顧性能與安全性的輕量級(jí)解決方案，記為NGR-R（Non-cooperative Game Routing）。

1 相關(guān)工作

目前，學(xué)術(shù)界已就信任管理機(jī)制的應(yīng)用在物聯(lián)網(wǎng)安全領(lǐng)域開展了全面的研究。EXT-SVELTE使用ETX metric機(jī)制，根據(jù)期望傳輸機(jī)制評(píng)估節(jié)點(diǎn)的安全性。EXT-SVELTE 的設(shè)計(jì)是輕量級(jí)的，可以直接在大多數(shù)物聯(lián)網(wǎng)設(shè)備上，所有良好的實(shí)踐性。物聯(lián)網(wǎng)是能耗型的網(wǎng)絡(luò)，Taylor-C-SSA是一種簇頭路由策略，旨在充分利用物聯(lián)網(wǎng)中的節(jié)點(diǎn)資源。在安全性上，Taylor-C-SSA 采用簇頭節(jié)點(diǎn)負(fù)責(zé)監(jiān)督與管理。Taylor-C-SSA 可以識(shí)別出多數(shù)安全攻擊，但其依賴于大量的能量消耗，未能在能量消耗與安全性上達(dá)成良好的平衡。CLT另一種基于監(jiān)督的安全策略，較好的降低了能量消耗。然而，CLT 需要假定所有節(jié)點(diǎn)需要有統(tǒng)一可信的標(biāo)識(shí)符，對(duì)既有網(wǎng)絡(luò)的兼容性不佳，限制了其使用范圍。上述路由及安全策略均具有特定的安全性、能效和兼容性的考量，但針對(duì)物聯(lián)網(wǎng)大量非可信節(jié)點(diǎn)的輕量化安全策略仍面臨較大挑戰(zhàn)，其本質(zhì)在于如何假定的信任前提及設(shè)計(jì)響應(yīng)的信任決策策略。就此問題，本文給出D2D 增強(qiáng)型NB-IoT 網(wǎng)絡(luò)模型下的具體分析。

2 D2D增強(qiáng)型NB-IoT網(wǎng)絡(luò)的模型分析

2.1 D2D增強(qiáng)型NB-IoT網(wǎng)絡(luò)模型

本文的分析基于D2D 增強(qiáng)型NB-IoT 網(wǎng)絡(luò)，典型的NB-IoT 網(wǎng)絡(luò)如圖1 所示，由遠(yuǎn)端服務(wù)中心、固定通信設(shè)施eNB、物聯(lián)網(wǎng)終端設(shè)備UE組成。

圖1 D2D增強(qiáng)型NB-IoT網(wǎng)絡(luò)

現(xiàn)實(shí)的NB-IoT 網(wǎng)絡(luò)，通常通過對(duì)既有的eNB 進(jìn)行升級(jí)而實(shí)現(xiàn)。eNB 并不是專門的物聯(lián)網(wǎng)基礎(chǔ)設(shè)備，同時(shí)由于地理環(huán)境的復(fù)雜性、通信能力的有限性，eNB的服務(wù)區(qū)易出現(xiàn)通信盲區(qū)。在大規(guī)模通信時(shí)，完全依賴eNB 作為通信中繼的物聯(lián)網(wǎng)網(wǎng)絡(luò)，其能耗、數(shù)據(jù)吞吐量、時(shí)延上將出現(xiàn)瓶頸。為此，D2D增強(qiáng)型NB-IoT網(wǎng)絡(luò)將采用相鄰UE作為通信中繼。

2.2 攻擊行為分析

本文主要研究物聯(lián)網(wǎng)路由通信過程中的攻擊行為，主要有：虛假路由、黑洞攻擊、DDoS 攻擊等方式。黑客的攻擊過程可分為以下幾個(gè)步驟。

⑴入侵：破解并劫持若干UE，記為不良節(jié)點(diǎn)MU；

⑵網(wǎng)絡(luò)加入：MUE 模擬正常UE 的行為，加入正常的NB-IoT網(wǎng)絡(luò)；

⑶攻擊：MU執(zhí)行攻擊行為。

不失一般性的，本文以協(xié)同黑洞攻擊為例，展開進(jìn)一步的分析。如圖2所示，協(xié)同黑洞攻擊表現(xiàn)為，黑客在NB-IOT 網(wǎng)絡(luò)中部署了數(shù)個(gè)MU，進(jìn)行安全攻擊。在攻擊過程中，僅當(dāng)MU0為MUE1的下一路由時(shí)，MU0拋棄數(shù)據(jù)包，MU1則偽造，UE接收到數(shù)據(jù)的信息戳。

圖2 黑洞攻擊

目前，針對(duì)物聯(lián)網(wǎng)的安全攻擊的演化特征呈現(xiàn)復(fù)雜化、隱匿化的特點(diǎn)。在面對(duì)如協(xié)同黑洞攻擊時(shí)，傳統(tǒng)的輕量級(jí)安全策略的可靠性明顯不足。另一方面，重量級(jí)策略雖然有效提高了安全性，但其能效比指標(biāo)普遍低下，嚴(yán)重加大了物聯(lián)網(wǎng)系統(tǒng)的整體能耗。我們研究的過程中，在應(yīng)對(duì)新型的安全攻擊行為時(shí)，系統(tǒng)的安全性與能效比都將進(jìn)行權(quán)衡。

3 NGR-R安全路由策略的設(shè)計(jì)原理

3.1 D2D增強(qiáng)型NB-IoT網(wǎng)絡(luò)中的假定條件

基于D2D 增強(qiáng)型NB-IoT 網(wǎng)絡(luò)，本文所提出的NGR-R安全路由策略將建立在以下條件之上：

⑴所有設(shè)備具備通信能力并支持支持IPv6；

⑵所有設(shè)備具有唯一識(shí)別編號(hào)。

所有設(shè)備可感知其相鄰節(jié)點(diǎn)，并通信網(wǎng)絡(luò)共享自身的路由拓?fù)潢P(guān)系。

3.2 基礎(chǔ)理論

本文的策略關(guān)系如公式⑴所示，其中U 表示物聯(lián)網(wǎng)通信節(jié)點(diǎn)，S 表示策略空間，F(xiàn) 表示效益方法，E 表示節(jié)點(diǎn)間的通信拓?fù)?，G 表示本文定義的物聯(lián)網(wǎng)系統(tǒng)。在通信網(wǎng)絡(luò)G 中，任意節(jié)點(diǎn)U都可以利用其他節(jié)點(diǎn)，通過IPv6網(wǎng)絡(luò)將數(shù)據(jù)傳遞給目標(biāo)結(jié)點(diǎn)U。

本文的設(shè)計(jì)采用進(jìn)化博弈理論，網(wǎng)絡(luò)G 在進(jìn)行路由決策時(shí)，將對(duì)節(jié)點(diǎn)返回的能量(energetic,e)與可信度(trusted,t)參數(shù)進(jìn)行評(píng)估，決定節(jié)點(diǎn)的權(quán)重值，將所有節(jié)點(diǎn)U 劃分為高權(quán)重子集HU，與低權(quán)重節(jié)子集LU。HU與U的約束關(guān)系如式⑵所示。網(wǎng)絡(luò)G 中的所有節(jié)點(diǎn)U，都具有對(duì)等的路由地位，皆可承擔(dān)父節(jié)點(diǎn)與子節(jié)點(diǎn)的作用。

網(wǎng)絡(luò)G 被定性為一個(gè)容易遭受攻擊的網(wǎng)絡(luò)，節(jié)點(diǎn)U將因安全攻擊轉(zhuǎn)化為惡意節(jié)點(diǎn)M。M 干擾網(wǎng)絡(luò)中的正常通信行為，如偽造路由信息、丟棄數(shù)據(jù)包等。網(wǎng)絡(luò)G 將根據(jù)效益方法F 的輸出識(shí)別并丟棄惡意節(jié)點(diǎn)M。根據(jù)非合作博弈的特征，網(wǎng)絡(luò)G 的約束條件為使所有參與者的效益最大化。為此，SCDV 的信息戳中包含了數(shù)據(jù)丟失情況的相關(guān)字段，以檢測(cè)并消除惡意節(jié)點(diǎn)，具體的程序流程設(shè)計(jì)將在節(jié)3.3中展開。

3.3 協(xié)議設(shè)計(jì)

本文是一種增加型的RPL 路由協(xié)議，將根據(jù)節(jié)點(diǎn)路由行為檢測(cè)惡意行為。協(xié)議由信任建立、信任決策與信任持久化三個(gè)流程組成。

3.3.1 信任建立

為了低消耗的建立防御體系，如式⑶所示本文設(shè)計(jì)了一個(gè)采用貝葉斯算法的信用量化公式。其中DT表示節(jié)點(diǎn)U與U之間的信用度量，SC表示U與U之間的數(shù)據(jù)通信成功次數(shù)，F(xiàn)C表示失敗次數(shù)。

3.3.2 信任決策

本文根據(jù)RPL 中的特定信息，設(shè)計(jì)效益方法，從而規(guī)避惡意節(jié)點(diǎn)。具體作法為，引入安全值ST，ST 的約束條件如式(4)所示。其中RV 是一個(gè)度量，其表示在一個(gè)通信區(qū)域內(nèi)，含有的高通信質(zhì)量的數(shù)量，當(dāng)RV值小于1時(shí)，其將被視為1個(gè)惡意節(jié)點(diǎn)。

3.3.3 信任執(zhí)久化

為加快優(yōu)質(zhì)DODAG的形成,本文將量化RPL包中的信用值，計(jì)算公式如式⑸所示。其中CE表示節(jié)點(diǎn)U的當(dāng)前剩余能量，IE表示其初始化時(shí)擁有的能量。當(dāng)節(jié)點(diǎn)U的信用值W低于0.5時(shí)，其將歸入LU分組，減少其被選為中繼節(jié)點(diǎn)的概率。為調(diào)節(jié)因子用于程序?qū)崿F(xiàn)過程。

4 仿真與分析

本文采用OMNET++仿真平臺(tái)，并模擬了在100～300m的通信范圍中應(yīng)用了D2D 模式無線通信網(wǎng)絡(luò)，主要的參數(shù)設(shè)置如表1所示。仿真運(yùn)行時(shí)長為無安全策略下，100m條件下正常結(jié)點(diǎn)能量耗盡所需要的時(shí)間。

表1 主要仿真參數(shù)

仿真將搜集以下數(shù)據(jù)：

⑴被識(shí)別為惡意結(jié)點(diǎn)的結(jié)點(diǎn)數(shù)量N；

⑵仿真終止后正常結(jié)點(diǎn)的剩余能量EE。

由此得出檢出率D=N/N，能量殘余率R=IEi/EE，我們通過簡單的貝葉斯安全策略BS、一種基于加密的安全策略LAAP作為對(duì)照組。表現(xiàn)結(jié)果如圖3所示。

圖3 表現(xiàn)結(jié)果

圖3(a)表明，本文采用的策略，相較于原始的單純的貝葉斯方案有效提高了不良結(jié)點(diǎn)的檢出率，與采用加密的LAAP 在檢出率上較為接近。更近一步的，本文研究了通信的能量開銷，將網(wǎng)絡(luò)長期運(yùn)行并檢測(cè)節(jié)點(diǎn)的平均能量剩余量，結(jié)果如圖3(b)所示。其中ORG由于檢測(cè)能力不足，網(wǎng)絡(luò)質(zhì)量低，重傳多而能耗巨大，LAAP 與NRG-R 則有效降低了能耗。細(xì)節(jié)上NRG-R依賴節(jié)點(diǎn)間的通信質(zhì)量，故在高密度通信節(jié)點(diǎn)狀態(tài)下能耗表現(xiàn)優(yōu)于LAAP，而低密度環(huán)境下表現(xiàn)明顯下降，但仍與LAAP 表現(xiàn)相近，總體NRG-R 相比于LAAP 能節(jié)約10%-25%的能耗。

5 結(jié)束語

針對(duì)日益復(fù)雜的通信安全問題，本文提出了一種采用非合作博弈的NGR-R 路由策略。由于本文安全路由策略具有輕量化特點(diǎn)，因此本文所提出的方法在實(shí)現(xiàn)了較高的路由安全性前提下，能夠有效降低網(wǎng)絡(luò)通信過程的整體能耗水平。實(shí)驗(yàn)表明，在通信節(jié)點(diǎn)密度較高的情況下，NGR-R策略具有較好的安全性及能耗水平，但隨著網(wǎng)絡(luò)節(jié)點(diǎn)密度的下降，本文所提路由策略性能顯著下降，分析其原因在于：單個(gè)節(jié)點(diǎn)搜索臨近可信節(jié)點(diǎn)的通信成本顯著提高。