无线传感器网络的信任机制研究

在无线传感器网络基于行为信任的可信机制方面，目前国内外的主要研究方向主要有以下几个方面：对可信路由的整体信任机制的研究；各具体路由攻击的解决方案；安全的数据融合解决方案等。

（一）无线传感器网络可信路由机制现状

为了内部妥协节点发起的攻击，现有的一些文献提出了许多基于非密码技术的解决方案作为基于密码和证书技术的身份认证的补充以得到更为完整的安全保护。现有文献提出了无线传感器网络中基于声望的系统来监测和发现恶意行为节点。现有文献在无线传感器网络的可信路由领域做了相关研究。

Denise Umuhoza在其论文中提出，将信任值加入路由信息包中，采用主观逻辑进行信任的量化。为了不使路由路径上的每个传感器节点都一直处于活动状态，其模型采用由通信的端节点在多路径路由的基础上，通过监测数据包发送和接收的数量以及同步情况等来判断各路径的可信度。但其判断出的不可信路径常常是由于其中某一个或几个恶意节点造成的，而其方案不能将监测结果有效地保存下来，供下次路由选择时参考使用。

Asad Amir Pirzada在多路径DSR路由协议的基础上引入信任模型。其信任模型在每一个节点上执行并评价它的邻居节点的路由信任情况。节点发送完一个数据包后必须等待一个被称作信任更新间隔的时间来监听接收数据包的邻居节点是否接着传递数据包。信任更新间隔可以根据网络的通信情况来设置，设置得太小将会忽略一个效率较低的邻居节点的传递，而太大又将增加能量消耗。同时，如果DSR的源路由头部的完整性检验通过，则该节点的信任值增加，否则如果没有通过完整性检验或是在信任更新间隔时间内根本就没有传送数据包，则其信任值被降低。模型使用声望交换机制在邻居节点中共享信任值。在路由时结合节点的信任值选择其传递包的下一跳节点。但是该模型不能解决信任值的恶意评价问题，并且声望机制的信任值的交换又将增加通信开销。

Sapon Tanachaiwiwat等和K.D.Kang等分别提出了基于地理路由协议的可信路由。为了解决内部节点攻击，Sapon提出了一个适用于能量有限的传感器网络的位置为中心（与节点为中心相对）的恶意行为隔离和可信路由。该模型包括两大模块，其中用于选择可信路由的模块TRM安装在基站和所有的普通传感器节点中，而不安全位置的发现和隔离模块ILAM只安装在基站中，由基站执行。不安全位置的黑名单内嵌在包头中，而不是被广播。可信路由模块TRM中包括密码查证、包传递情况观察、有效性观察、信任表处理器以及黑名单处理器。ILAM中包括不安全位置查询（刺探）、黑名单发布、不安全位置集成。例如，检测中发现某个地理位置A没有传递请求，判断该地理位置的传感器节点为恶意节点，基站调用不安全位置查询（刺探）模块发送one-shot探测信息到另一个地理位置B确认，然后基站发送更新不安全位置列表给A的邻居节点，或是将A的坐标作为黑名单内嵌在包头部中，则再次路由时就可以避开位置A而成功传送请求包给B。该模型假设节点返回的请求回复包都携带定位信息，执行地理路由协议。

现有文献提出的一个基于模糊推荐的自动自组网信任模型，在该模型中，研究者利用多个邻居节点对另一节点评价的相似性计算来判断各推荐节点的可信性，并结合推荐机制合成节点的信任值。现有文献提出的无线自组网的信任模型包括两种信任，包传递信任以及信任值的传递，并部署一个安全认知协议，通过确认机制来得到没有邻居节点的数据包的转发情况，扩展节点的信任。推荐通信的较大开销并不适合无线传感器网络。

现有文献提出的一个定位无线传感器网络中妥协节点的认证机制，其通过哈希出入节点的数据包，以及丢弃的数据包来判断节点或者线路是否是妥协节点。然而，该哈希算法的前提是每个节点保存其输入输出的哈希值，如果该节点被捕获从而成为妥协节点，该值是否会被篡改作者并未提及。

一个有妥协节点存在的无线自组网中数据可用性协议，该协议采用了博弈论的方法来讨论节点的信任值，不过作者在博弈算法中没有进行详细的分析和介绍。学者罗俊海、范明钰研究了基于博弈MANETs中的节点行为，根据节点的信任值来获得所需的资源，鼓励节点共享资源和转发数据。其提出了基于博弈理论的信任模型，鼓励包转发，约束自私节点。但是在该模型中，MANETs节点只是自私的，并不一定是恶意的，即节点希望从其他节点获得资源而不消耗自身的资源，但是却不试图对其他节点造成破坏。其影响的效果没有恶意节点强；其所采用的博弈算法仍属于合作博弈算法，不适合无线传感器网络中与恶意节点的博弈。

节点可信度的概念以解决无线传感器网络节点缺乏固定的基础设施、节点的恶意行为难以检测等问题被提出，引出在路由过程中引入节点的可信度作为路由分配策略的一个参考因素，与群体智能优化算法结合，把恶意节点隔离出网络，从而得到安全可信的无线传感器网络环境。作者仿真可信度的引入证实对Wormholes攻击效果显著，但该方案不能解决选择性转发问题。

（二）选择性转发攻击解决方案研究现状

在无线传感器网络所面临的攻击中，选择性转发攻击由于其选择性转发或抛弃的动态特征使得该攻击更加隐蔽，从而引起越来越多的关注。

在选择性传递攻击中，恶意节点（被俘获节点和外部干扰节点）为避免被发现，它并不丢弃经过它的每一个数据包，而是在一定时刻选择性地丢弃经过的部分敏感数据包。如何在通信开销和成功递交率之间达到平衡仍然是一个问题。此外，多条路径在靠近基站的位置仍然会合并为一条路径，因而在基站附近的攻击仍然是多路径路由所不能解决的问题。目前，一些文献从各个角度提出了选择性转发问题的解决方案。然而，现有文献多数是从无线传感器网络的节点间的合作角度来看待这个问题的。

在这些文献中，所解决的选择性转发问题主要是针对节点的自私行为而非恶意行为导致的选择性转发。在这种选择性转发问题中，节点处于节省自身能量或资源等动机选择性转发邻居节点发来的数据包，而不是为了破坏整个网络的路由。因而，这些文献中相应的解决方案主要是从鼓励或奖励转发的角度来实施的。与本书需要解决的恶意选择性转发所解决的问题并不完全相同。除了鼓励合作的选择性转发解决方案，也有一些文献提出了非合作的选择性转发攻击的解决方案。这些文献中的多数，主要是基于通道监听来发现单独的选择性转发攻击。对于有合谋节点的协作选择性转发攻击，使用这些方案不能得到有效的解决。其他文献提到了多路径的方案来解决选择性转发攻击并在这些多路径中均衡负载。然而，敌对方可以窃听无线传感器网络中的无线通信信道，并且修改路由控制包，从而影响替代路径的发现，制造路由回路。冗余的多路径路由也会带来比单路径路由更多的能量消耗，我们需要在安全的多路径路由和有限的能量消耗之间找到一个折中点。(www.xing528.com)

博弈理论是解决攻防问题的一个非常有效的数学方法。目前已有大量的文献将博弈理论应用到无线传感器网络中的合作、激励和优化等问题。部分文献对近期的无线传感器网络中博弈理论的应用做了一个总结。其中一些文献使用了博弈理论来分析和试图解决选择性转发攻击问题。在现有的一些文献中，其研究者分析了选择性转发攻击中的合谋攻击问题，并且提出了一个多攻击者的重复合谋博弈。作者认为所有参与攻击的合谋者形成了一个恶意的组，并且对任何该组内一个攻击者的惩罚都应该跟该恶意组的整体表现评价相关。源节点利用洪泛的方式发送数据包p，但是只有有限个数目的邻居节点参与转发。

源节点的任一个邻居节点i都需要通过博弈来决定是否转发数据包p。博弈的混合策略纳什均衡给出了洪泛的数据包p被接收节点i转发的概率。在该博弈中，博弈的参与者数目就是接收到数据包p的节点数目。根据网络的吞吐量、延迟和能量消耗代价，利用一个固定的马尔可夫博弈模型来优化无线传感器网络的系统表现。然而，在马尔科夫博弈中，博弈参与者的动作是根据当前博弈的状态来决定的，而不是根据完整的博弈的历史来决定。现有文献研究了在非合作的无线ad hoc网络中的抵御合谋攻击的路由。在模型中，一个路径中的每一个节点如果正确地转发了一次数据包，都将从发送数据包的源节点s那里得到一份报酬。一个中央权威机构用来收集源节点发放给各转发节点的报酬并将这些报酬安全地分发给各转发节点。

然而，这种集中式的机制是比较耗能的，也易造成中央机构的瓶颈问题。

（三）无线传感器网络可靠的数据融合研究现状

由于无线传感网络节点在电池能量、存储空间与计算能力上非常有限，冗余或没有实际意义的数据的传送将消耗不必要的能量，并缩短整个网络的生存周期。为了在保证收集数据结果有效性的基础上同时减少传感器节点的数据通信量，使用数据融合技术在汇聚节点处对来自多个传感器节点的数据进行融合后再继续传送至基站是非常必要的。

传统的无线传感器网络数据融合技术包括简单查询（如求和、计数、平均值、最大/小值等）、基于概率模型的数据融合算法、基于人工智能方法的数据融合算法等。在数据融合的过程中，同样也可能遭受数据被窃听、篡改、伪造、丢弃等各种攻击。这带来了数据融合对机密性、完整性和消息认证性等安全需求。目前，在安全数据融合领域，主要的研究集中于加密技术、隐私保护技术、身份认证技术、消息认证技术等方面，对于节点行为信任与数据融合技术的结合比较少。

在最早的安全数据融合中，比较普遍的方法是采用对称密钥进行逐跳的点到点的加密来实现安全的数据融合，中间节点加密数据解密后进行融合处理，然后将融合结果再次加密后做进一步传输。然而，这种在中间节点反复对数据进行加密解密运算的方式存在着在中间节点可以看到明文数据并泄密的可能，在数据汇聚过程中的任何一个中间节点被攻击者俘获都可能带来错误的融合结果。同时，中间节点的加密、解密操作也提高了数据聚合的平均时延。

为了解决点到点的对称加密并在中间节点处进行明文数据聚合所存在的安全问题，现有的一些文献采用了数据以密文的形式进行传输和聚合，采用如同态加密算法、椭圆曲线密码等技术实现端到端的安全数据聚合，只有基站能够对最终的融合结果进行解密，并得到最后的融合结果，该结果与用明文进行数据融合操作得到的结果相同。然而，端到端的安全数据融合多数基于公钥密钥机制，其传输开销和计算开销都非常大，并且同态加密技术仅支持加法融合，不能应用于其他如决策级的数据融合算法中。

现有文献提出了一种基于merkle-hash无线传感器网络数据融合完整性验证方案SIA。该方案是采用节点数据的哈希值代替节点的原始数据，通过由单向散列函数和完全二叉树构成的一棵merkle-hash树来传输信息并验证数据融合过程中可能发生的数据篡改。merkle-hash树能够在不公开其他的叶子节点的情况下对每一个叶子节点的值进行验证。随后，一些文献中描述了一种能支持多种融合操作的基于merkle-hash树的数据融合完整性验证方案。

在基于行为信任的安全数据融合研究领域，提出了一个包含数据采集、融合和路由等各方面的基于行为信任的无线传感器网络安全数据融合模型RDAT。簇内各节点监听其邻居节点的行为并更新对该邻居节点的信任值，并依据信任值选举簇头节点。当某节点的信任值低于门限值时，将其列入黑名单，从而达到安全的数据融合。

然而，在基站或其他汇聚节点执行的对簇头节点发来的融合数据二次融合的过程中，仍需要考虑各种可能出现的攻击情况。例如，敌对方物理捕获的簇头节点恶意丢弃簇内节点发来的数据、利用合法身份注入虚假非法数据、重复发送过期数据等问题使用现有方法仍不能得到较好的解决，仅有机密性保障和身份验证的数据融合结果仍然是不可信的，这需要结合基于行为的信任信息，并采用综合评判各种影响数据融合结果的因素来得到。

在现有的文献中，节点可将自己的信任值存储在自身，或是在自身存储其邻居节点的信任值，并根据本地存储的信任值决策，或是在基站或某个特殊节点处集中式的存储簇头节点的信任值，在簇头节点处集中式的存储簇内普通节点的各种相关信任值。但是集中式的存储簇头节点的信任值对于分簇众多大规模的无线传感器网络来说，会带来存储节点的瓶颈和安全性问题。因此，如何有效并安全地存储簇头节点的信任值仍是一个尚未解决的问题。