无线传感器网络安全数据融合算法研究概要

2007年第12期，第40卷通信技术Vol.40，No.12,2007总第192期CommunicationsTechnologyNo.192,Totally无线传感器网络安全数据融合算法研究唐慧，胡向东(重庆邮电大学自动化学院，重庆400065【摘要】在无人监管和恶劣的环境下，节点被捕获对无线传感器网络的安全构成了极大的威胁，被捕获的节点能发送伪造的数据以改变整个融合结果，这样就为融合结果引入了不确定性，为了抵抗节点被捕获的攻击以及量化融合结果中的不确定性，文中提出了一种基于信任的融合构架解决了融合过程中存在的安全问题。【关键词】无线传感器网络；安全；融合；信誉度【中图分类号】TN918【文献标识码】A【文章编号】1002-0802(200712-0290-04TheResearchonAlgorithmofSecureAggregationinWSNTANGHui，HUXiang-dong（AutomationCollegeCUPI,Chongqing400065,China）【Abstract】Inunattendedandhostileenvironments,nodecapturecanbecomeadisastrousthreattowirelesssensor.Inordertochangethewholeaggregationresult,thecapturednodescansendbogusdata,thusintrodcingintroduceuncertaintyintheaggregationresults.Tomakeaggregationresilienttonodecaptureandquantifyuncertaintyinaggregationresult,RBSA(ReputationBasedFrameworkforSecureDataAggregationisproposed,whichcouldsolvesecurityproblemintheporcessofaggregation.【Keywords】wirelesssensornetwork；security；aggregation；reputation0引言在无人监管和恶劣的环境下,无线传感器网络易受到各种类型的攻击,比如说捕获和窃听,以及尖端的分析[1]。这些攻击通常会导致节点的秘密被完全暴露给攻击者，攻击者能在不被察觉的情况下通过捕获部分传感器节点来控制它们的行为,继而就可以插入错误的数据或决策以误导整个网络。仅单独使用密码和认证机制不能解决上述问题,因为内部的恶意节点能够获得加密的密钥,而密码技术在攻击者能够获得正确的密钥时就失去了它的有效性。除了恶意攻击,传感器节点也易受到系统错误的影响。非恶意行为,比如说无线收发装置/传感器节点的故障同样能导致伪造数据的产生,因此这种类型的恶意行为已经超出了密码技术能够处理的范畴。传感器网络的首要目标是聚集传感器节点感知的数据,此外,为了提高系统的能量效率,传感器网络经常在网内进行数据融合,而且被捕获的节点能发送伪造的数据以改变整个融合结果,这样就为融合结果引入了不确定性。1安全数据融合算法1.1RBSA构架为了抵抗在融合过程中节点被捕获的攻击以及量化融合结果中的不确定性,文中提出了一个系统的方案以保证数据融合过程的安全性，还提出了一个基于信任的融合构架解决了融合过程中存在的安全问题.这个构架的核心思想是来源于统计学技术以及信息理论。由于任何融合过程中,从物理上相近节点采集到的信息必定存在一些冗余,采用统计和信号处理技术,通过检查它报告的感知数据来衡量每个节点的可信赖的程度。这个可信赖的程度用节点的信誉度来表示,它还被作为动态划分节点类型的标准。此外,每个融合结果也和一个评价相关联,这个评价是对融合结果不确定性的度量,它表示对融合结果的信赖程度。因此在传感器网络中进行安全数据融合的问题就简化成一个基本的问题-传感器节点怎样在相互信任的基础上实行数据融合操作。从对现存的人类社会这个网络发展的观察,可以得到一些启示。渗透在人类中的一种非常重要的抽象网收稿日期：2007-08-10。基金项目：重庆市科委自然科学基金项目(编号：2006BB2430；重庆邮电大学博士启动资金项目（编号：A2007-03）。作者简介：唐慧，硕士研究生，主要研究方向为无线传感器网络；胡向东，男，博士教授，主要研究方向为无线传感器网络、应用密码学。290络-信任网,这张网的链路代表两个个体的信任程度[2]。类似地信誉度被定义为一个人对其他人意图的理解，当面临不确定时,人们倾向于信赖那些有着较高信誉度的人。RBSA(ReputationBasedFrameworkforSecureDataAggregation就是一个类似与上述的构架,如图1所示。考虑一个由大量传感器节点构成的静态网络,它利用比如[3]这样的分簇算法使网络分成若干个簇。每个簇由簇头也就是融合节点和簇成员构成。簇成员负责将感知数据发送给自己的融合节点,融合节点则执行融合操作并将融合结果传送给基站。此外还假设簇成员和融合节点都共享一密钥对以对传输的信息进行加密和认证。在RBSA中,融合节点监视其簇成员节点的行为,并在这个基础上建立起对成员的信誉度并保存它。它利用这个信誉度来估计它们的信赖程度和预测它们未来的行为。在协作时,融合节点就只利用那些它信任节点的数据来进行融合操作,并在融合操作后形成对这个融合结果的评价以供基站进行最后的决策。文中提出RBSA的最终目标也就是在即使存在一部分节点被捕获的情况下,也能保证融合结果的真实性。图1RBSA构架1.2Josang的信任模型这里引入Josang的信任模型[4,5]以处理数据流中不确定因素的问题。Josang模型提出了一个被称为评价的信任度量来表达对于某种声明的信任程度。评价的定义如下:定义1:评价(,,,wbdua=是一个四元向量,它们分别对应信任度,不信任度,不确定度和相对系数。,,,[0,1],1abdubdu∈++=相对系数(a被用来计算评价的期望概率。(OEwbau==+。因此，a是用来决定不确定度(u对(Ew的贡献程度。1.3信誉度计算和更新大多数的WSN网络的的密度都比较大[7]。当一个簇中的多个节点各自独立地感测一个物理环境的平均值时,根据中心极限定理,这些感知数据将近似地遵循正态分布。如果某个节点被捕获,伪造的数据将会歪曲正态分布.融合节点将通过量化节点的信誉度来曝露这些偏差。对于正态分布根据“3σ”规则，随机变量值落在以µ为中心,3倍σ为半径这个事件,几乎总会发生的。因此设定当融合节点接收到的值超出中值的3σ范围时,它就会认定其为outliers并将它抛弃。同样对于正态分布根据定理:(PXµσµσ−+=0.68,表示对正态随机变量而言,其取值落在以µ为中心σ为半径的概率为0.68。因此,当不存在捕获节点时,对于某轮采样,所有节点的行为相似,每个节点的数据会以相同的概率0.68落在以上的范围内。把这个叫做理想节点频率分布,也就是概率为0.68的柏努利分布。但是在实际应用中频率分布可能不完全和上述的概率一样,特别是存在捕获节点经常地报告伪造数据时。把节点的数据落在上述范围的实际频率为实际节点频率。把理想节点频率称作为一个标准,理想节点频率分布和实际节点频率分布的差异用距离来表示。距离越短,节点就越值得信任,反之亦然。自然地,这个距离可以被用来作为量度标准来表示节点的信誉度。采用Kullback-Leibler(KL[8]距离来量化频率分布的距离,之后再将这个距离转化成信誉度度量。令∏={0,1},0代表数据落在范围之外,1则相反。考虑在∏上的两种分布s和t，,[0,1]pq∈分别表示s和t数据落在范围内的概率,即:(01-,(1,(01-,(1spsptqtq====。分布s和t的KL距离定义为:1(|||(1lb(lb(|1KLppDstppqq−=−+−。(1对于融合节点来说,实际节点频率分布则是通过通过计算到现在为止数据落在范围的次数。如之前讨论的,合法节点的KL距离应该要比捕获节点的距离短。因此,KL距离是一个很好的表示节点可信赖程度的指标。但是在使用KL距离代表一个节点的信誉时，信誉度应该和这个距离成反比,且在0和1之间。因此，信誉度就可以定义为r=e。这个定义还能够缓和信誉度建立初期的振荡，因为相对来说平方根对于值的忽然变化的灵敏度要小些。可以看出节点的实际频率和理想频率越接近,信誉度就越高,反之亦然。此外,信誉度随着时间的推移而进行更新,因此它能够反应一个节点的累积行为。1.4信誉度分类在计算了每个节点的信誉度后,融合节点将综合所有节点的信誉度,在信誉度的基础上根据(2式的算法把节点分在不同组。,_||0.9,,,iHighiirUncertainGrRaverrGGother⎧⎪=⎨⎪⎩(2其中，ir为节点i的信誉度,R_aver为融合节点计算出的所有ir的平均值。HighG为高信誉度组,UncertainG为不确定组。一旦信誉度被分成了不同组,融合节点就能够发现和识别出捕获节点。由于信誉度是基于所有节点遵循的统计规律,因此在捕获节点占少数时,合法的节点拥有较高的信誉度。相反,无论捕获的节点能作用多少样本,它们只能影响到信誉度的分组,而不能获得和合法节点一样高的信誉度,因为291292它们的异常行为和统计规律相抵触。在分类节点和识别(可能的被捕获节点后,融合节点就可以计算平均值作为融合结果。在我们的方案中,融合节点会聚集从高信誉度组获得数据的平均值以及标准差作为这轮采样的融合结果通过只包含从最高信誉度组获得的数据,融合结果能够避免受低信誉度捕获节点的影响。1.5融合结果的评价在得到节点的信誉度和融合结果后,融合节点就能够形成它的评价,即:对于基于统计规律结果的信任程度。从高信誉度数据集计算出节点信誉度的平均值r−,融合节点计算节点的信誉度大于r−或者大于0.9的个数,把这些节点作为本轮采样的信任节点。因此评价中的信任部分就是信誉度大于r−或者大于0.9的节点百分比。其他的节点就被作为评价的不确定部分。对于融合结果R,融合节点形成的评价{,,AAARwbd=,}AAua如下:Ab:落在范围之内的节点百分比;Au:落在范围之外的节点百分比;Aa:不确定节点的平均信誉度。因为outlier不计入报告内,不信任度(Ad设为0。因此融合节点关于结果R的评价为:(AAAARAOEwbau==+,1AAbu+=。(2举个例子来说,假设融合节点有36个成员节点,对于某个融合结果R1,有4个节点的数据落在范围之外,而在范围之外节点的平均信誉度为0.7,因此A对于结果的评价为:11ARw=(0.9,0,0.1,0.7，11ARO=0.97。这是从融合节点A的视角量化的对于融合结果的不确定性。通常来说,节点的数据值落在上述范围内的百分比越大以及那些数据值不落在范围内的节点的平均信誉度越高,融合节点就越信任它的融合结果。在得到结果和评价后,融合将它们报告给基站。基站根据设定的门限值,当评价结果高于这个值,那么基站将接受结果,否则就将其抛弃。2仿真分析假设网络已经分成了若干簇,在不失一般性的前提下,假设一个簇内有1个融合节点和36个簇成员。这个簇内节点的ID分别为1到36。每个节点产生的感知数据都遵循N(20,22的正态分布,实验总共进行1000轮。在这里假设簇内的恶意节点数占10%(分别是节点1-4,它们分别实施如下表1所示的五种攻击。表1攻击类型攻击类型恶意时间所占百分比(%伪造数据类型10－2100易察觉3100难察觉470易察觉570难察觉在表1中易察觉的伪造数据在14或26(3µσ±附近,难察觉的伪造数据在18或22(µσ±附近。图2显示的是在实验结束末每个节点获得的信誉度。可以看出在上述几种情况下恶意节点获得的信誉度都要远低于正常节点的值。图3所示的是利用文中算法得出的实际融合结果对真实融合结果的逼近程度。可以看出在实验刚刚开始的阶段,二者之间存在的误差相对较大,随着