1、2007年第12期，第40卷 通 信 技 術 Vol.40，No.12,2007 總第192期Communications Technology No.192,Totally無線傳感器網絡安全數據融合算法研究唐 慧， 胡向東(重慶郵電大學 自動化學院，重慶 400065【摘 要】在無人監管和惡劣的環境下，節點被捕獲對無線傳感器網絡的安全構成了極大的威脅，被捕獲的節點能發送偽造的數據以改變整個融合結果，這樣就為融合結果引入了不確定性，為了抵抗節點被捕獲的攻擊以及量化融合結果中的不確定性，文中提出了一種基于信任的融合構架解決了融合過程中存在的安全問題。【關鍵詞】無線傳感器網絡；安全；融合；信譽度【

2、中圖分類號】TN918 【文獻標識碼】A 【文章編號】1002-0802(200712-0290-04 The Research on Algorithm of Secure Aggregation in WSNTANG Hui， HU Xiang-dong（Automation College CUPI, Chongqing 400065, China）【Abstract】In unattended and hostile environments, node capture can become a disastrous threat to wireless sensor. In orde

3、r to change the whole aggregation result,the captured nodes can send bogus data, thus introdcing introduce uncertainty in the aggregation results.To make aggregation resilient to node capture and quantify uncertainty in aggregation result, RBSA(Reputation Based Framework for Secure Data Aggregation

4、is proposed, which could solve security problem in the porcess of aggregation.【Key words】wireless sensor network；security；aggregation；reputation0 引言在無人監管和惡劣的環境下,無線傳感器網絡易受到各種類型的攻擊,比如說捕獲和竊聽,以及尖端的分析1。這些攻擊通常會導致節點的秘密被完全暴露給攻擊者，攻擊者能在不被察覺的情況下通過捕獲部分傳感器節點來控制它們的行為,繼而就可以插入錯誤的數據或決策以誤導整個網絡。僅單獨使用密碼和認證機制不能解決上述問題,因為

5、內部的惡意節點能夠獲得加密的密鑰, 而密碼技術在攻擊者能夠獲得正確的密鑰時就失去了它的有效性。除了惡意攻擊,傳感器節點也易受到系統錯誤的影響。非惡意行為,比如說無線收發裝置/傳感器節點的故障同樣能導致偽造數據的產生,因此這種類型的惡意行為已經超出了密碼技術能夠處理的范疇。傳感器網絡的首要目標是聚集傳感器節點感知的數據,此外,為了提高系統的能量效率,傳感器網絡經常在網內進行數據融合, 而且被捕獲的節點能發送偽造的數據以改變整個融合結果,這樣就為融合結果引入了不確定性。 1 安全數據融合算法1.1 RBSA構架為了抵抗在融合過程中節點被捕獲的攻擊以及量化融合結果中的不確定性,文中提出了一個系統的方

6、案以保證數據融合過程的安全性，還提出了一個基于信任的融合構架解決了融合過程中存在的安全問題.這個構架的核心思想是來源于統計學技術以及信息理論。由于任何融合過程中,從物理上相近節點采集到的信息必定存在一些冗余,采用統計和信號處理技術,通過檢查它報告的感知數據來衡量每個節點的可信賴的程度。這個可信賴的程度用節點的信譽度來表示,它還被作為動態劃分節點類型的標準。此外,每個融合結果也和一個評價相關聯,這個評價是對融合結果不確定性的度量,它表示對融合結果的信賴程度。因此在傳感器網絡中進行安全數據融合的問題就簡化成一個基本的問題-傳感器節點怎樣在相互信任的基礎上實行數據融合操作。從對現存的人類社會這個網絡

7、發展的觀察,可以得到一些啟示。滲透在人類中的一種非常重要的抽象網收稿日期：2007-08-10。基金項目：重慶市科委自然科學基金項目(編號：2006BB2430；重慶郵電大學博士啟動資金項目（編號：A2007-03）。作者簡介：唐 慧，碩士研究生，主要研究方向為無線傳感器網絡；胡向東，男，博士教授，主要研究方向為無線傳感器網絡、應用密碼學。290絡-信任網,這張網的鏈路代表兩個個體的信任程度2。類似地信譽度被定義為一個人對其他人意圖的理解，當面臨不確定時,人們傾向于信賴那些有著較高信譽度的人。RBSA(Reputation Based Framework for Secure Data Agg

8、regation就是一個類似與上述的構架,如圖1所示。考慮一個由大量傳感器節點構成的靜態網絡,它利用比如3這樣的分簇算法使網絡分成若干個簇。每個簇由簇頭也就是融合節點和簇成員構成。簇成員負責將感知數據發送給自己的融合節點,融合節點則執行融合操作并將融合結果傳送給基站。此外還假設簇成員和融合節點都共享一密鑰對以對傳輸的信息進行加密和認證。在RBSA 中,融合節點監視其簇成員節點的行為,并在這個基礎上建立起對成員的信譽度并保存它。它利用這個信譽度來估計它們的信賴程度和預測它們未來的行為。在協作時,融合節點就只利用那些它信任節點的數據來進行融合操作,并在融合操作后形成對這個融合結果的評價以供基站進行

9、最后的決策。文中提出RBSA 的最終目標也就是在即使存在一部分節 點被捕獲的情況下,也能保證融合結果的真實性。圖1 RBSA構架1.2 Josang的信任模型這里引入Josang 的信任模型4,5以處理數據流中不確定因素的問題。 Josang模型提出了一個被稱為評價的信任度量來表達對于某種聲明的信任程度。評價的定義如下: 定義1:評價(, , , w b d u a=是一個四元向量,它們分別對應信任度, 不信任度, 不確定度和相對系數。, , , 0,1,1a b d u b d u+=相對系數( a 被用來計算評價的期望概率。(O E w b au=+。因此，a 是用來決定不確定度( u 對

10、(E w 的貢獻程度。1.3 信譽度計算和更新大多數的WSN 網絡的的密度都比較大7。當一個簇中的多個節點各自獨立地感測一個物理環境的平均值時,根據中心極限定理,這些感知數據將近似地遵循正態分布。如果某個節點被捕獲,偽造的數據將會歪曲正態分布. 融合節點將通過量化節點的信譽度來曝露這些偏差。對于正態分布根據“3”規則，隨機變量值落在以為中心,3倍為半徑這個事件,幾乎總會發生的。 因此設定當 融合節點接收到的值超出中值的3范圍時,它就會認定其為outliers 并將它拋棄。同樣對于正態分布根據定理:( P X=(2其中，ir 為節點i 的信譽度,R_aver為融合節點計算出的所有ir 的平均值。

11、HighG 為高信譽度組,UncertainG 為不確定組。 一旦信譽度被分成了不同組,融合節點就能夠發現和識別出捕獲節點。由于信譽度是基于所有節點遵循的統計規律,因此在捕獲節點占少數時,合法的節點擁有較高的信譽度。相反,無論捕獲的節點能作用多少樣本,它們只能影響到信譽度的分組,而不能獲得和合法節點一樣高的信譽度,因為291292 它們的異常行為和統計規律相抵觸。在分類節點和識別(可能的被捕獲節點后,融合節點就可以計算平均值作為融合結果。在我們的方案中,融合節點會聚集從高信譽度組獲得數據的平均值以及標準差作為這輪采樣的融合結果通過只包含從最高信譽度組獲得的數據,融合結果能夠避免受低信譽度捕獲節

12、點的影響。 1.5 融合結果的評價在得到節點的信譽度和融合結果后,融合節點就能夠形成它的評價,即:對于基于統計規律結果的信任程度。從高信譽度數據集計算出節點信譽度的平均值r ,融合節點計算節點的信譽度大于r 或者大于0.9的個數,把這些節點作為本輪采樣的信任節點。因此評價中的信任部分就是信譽度大于r 或者大于0.9的節點百分比。其他的節點就被作為評價的不確定部分。對于融合結果R,融合節點形成的評價, , AA A Rw b d = , A A u a 如下:A b :落在范圍之內的節點百分比; A u :落在范圍之外的節點百分比;A a :不確定節點的平均信譽度。因為outlier 不計入報告

13、內,不信任度(Ad 設為0。因此融合節點關于結果R 的評價為:( A A A A R A O E w b a u =+, 1A A b u +=。 (2舉個例子來說,假設融合節點有36個成員節點,對于某個融合結果R1,有4個節點的數據落在范圍之外,而在范圍之外節點的平均信譽度為0.7,因此A 對于結果的評價為: 11A R w =(0.9,0,0.1,0.7，11A R O =0.97。這是從融合節點A 的視角量化的對于融合結果的不確定性。通常來說,節點的數據值落在上述范圍內的百分比越大以及那些數據值不落在范圍內的節點的平均信譽度越高,融合節點就越信任它的融合結果。在得到結果和評價后,融合將它

14、們報告給基站。基站根據設定的門限值,當評價結果高于這個值,那么基站將接受結果,否則就將其拋棄。2 仿真分析假設網絡已經分成了若干簇,在不失一般性的前提下,假設一個簇內有1個融合節點和36個簇成員。這個簇內節點的ID 分別為1到36。每個節點產生的感知數據都遵循N(20,22的正態分布,實驗總共進行1 000輪。在這里假設簇內的惡意節點數占10%(分別是節點1-4, 它們分別實施如下表1所示的五種攻擊。表1 攻擊類型攻擊類型惡意時間所占百分比(%偽造數據類型1 0 2 100 易察覺 3 100 難察覺 4 70 易察覺 570難察覺在表1中易察覺的偽造數據在14或26(3附近,難察覺的偽造數據

15、在18或22(附近。圖2顯示的是在實驗結束末每個節點獲得的信譽度。可以看出在上述幾種情況下惡意節點獲得的信譽度都要遠低于正常節點的值。圖3所示的是利用文中算法得出的實際融合結果對真實融合結果的逼近程度。可以看出在實驗剛剛開始的階段,二者之間存在的誤差相對較大,隨著時間的推移, 實際的融合結果就能很好地逼近真實的融合結果。圖 2 節點信譽度a 50輪 b 100 輪c 150輪 d 200輪圖3 融合結果比較3 結語為了抵抗節點被捕獲的攻擊以及量化融合結果中的不確定性, 文中提出了一種基于信任的融合構架解決了融合過程中存在的安全問題。使得網絡在即使一部分節點被捕獲的情況下,也能保證融合結果的真實

16、性。參考文獻1 Michiardi P, Molva R. CORE: A Collaborative Reputation mechanism to enforce node cooperation in Mobile Ad Hoc Networks. Communication and Multimedia Security, September, 2002. 2 Trivers L R. The evolution of reciprocal altruismJ.Quarterlyreview of biology, 46:35-57.3 Heinzelman W, Chandrakas

17、an A, Balakrishnan H. Energyefficient Communication Protocol for Wireless Microsensor NetworksC. in Proceedings of Hawaii International Conference on System Science(HICSS, Maui, Hawaii, 2000: 3005-3014.4 Josang A, Ismail R, Boyd C.A Survey of Trust and Reputation Systems for Online Service Provision

18、J. Decision Support Systems, 2006.5 Josang A .Trust-based Decision Making for Electronic TransactionsC. In L. Yngstrom and T. Svensson, editors, in Proceedings of the 4th Nordic workshop on secure IT systems(NORDSEC99, Stockholm,Sweden, Stockholm University Report 1999:99-005.6 Wagner D. Resilient A

19、ggregation in Sensor NetworksC. in Proceedings of the 2nd ACM workshop on Security of Ad hoc and Sensor Networks(SASN, Washington DC, 2004:78-87.7 Deng J, Han Y, Heinzelman W,et al.Balanced-Energy Sleep Scheduling for High Density Cluster-based Sensor NetworksJ. Elsevier Computer Communications Jour

20、nal, Special Issue on ASWN04, 2005,28(14:1631-1642.8 Cover M T ,Thomas A J. Elements of Information Theor yM. John Wiley, 1991.（上接第289頁）據這些數據來進一步更改檢測入侵的規則，使得虛擬蜜網能夠更加有效的捕獲攻擊的數據。Trap-server 是作為輔助軟件來監測某一特定端口，對KFsensor 是一個重要的補充。KFsensor 可以捕捉到黑客的攻擊，但是有時沒有辦法對黑客的每個攻擊步驟進行追蹤，Trap-server 就是對此的一個補充。這兩個蜜罐軟件互相配合

21、，基本上不會發生沖突，模擬一些虛擬的服務，誘惑攻擊者“上鉤”。3.3整體監控系統數據控制關系到虛擬蜜網的安全性和隱蔽性，同時對第三方網絡的安全有重要的意義。記錄攻擊者的攻擊行為的第一關是防火墻日志；第二關是入侵檢測系統；整體監控系統則是第三關。整體監控系統主要是針對攻擊者攻入虛擬機以后的行為的記錄：可以記錄攻擊者對虛擬機硬盤數據的修改；對注冊表的修改；虛擬機的進程運行和網絡流量情況。4這一點是蜜罐軟件和入侵檢測系統的薄弱環節。整體監控系統還有一個重要的任務：在虛擬蜜罐被識別出來時或者當虛擬機被攻破時，物理機可以對虛擬機采取最高權限的控制，可以阻止攻擊者的一些攻擊行為降低其對虛擬蜜網的危害，還可

22、以阻止攻擊者將虛擬蜜網當成跳板，對第三方網絡發起攻擊。采用“清揚”公司所產的內網管理軟件來承當整體監控的任務，采用C/S結構，記錄虛擬機的活動進程列表、網絡情況，硬盤數據、注冊表等的變化；在緊急情況下，可以對虛擬機進行最高權限的控制。3.4實時備份系統攻擊者的攻擊數據對虛擬蜜網是相當重要的，因為虛擬蜜網就是圍繞著捕獲、分析攻擊數據來展開的。5攻擊者的攻擊行為可以被虛擬機里的蜜罐軟件、入侵檢測系統和系統日志等記錄下來。作為攻擊者，當然不希望自己的攻擊行為被記錄，留下“證據”，他會千方百計的將這些記錄抹掉；做為虛擬蜜網，如果得不到這些真實的數據，整個蜜網就沒有多大存在的價值。實時備份系統解決了這方面的問題。該系統可以將攻擊者的重要數據實時地從虛擬機傳到物理機的安全地方，防止虛擬機被攻入癱瘓后所有數據丟失；而且 運用AES