基于IEEE802.15.4e标准的工业物联网安全时间同步策略

杨 伟 何 杰 万亚东 王 沁 李 翀

1(北京科技大学计算机与通信工程学院 北京 100083)2(江西师范大学软件学院 南昌 330027)3 (中国科学院计算机网络信息中心 北京 100190)

基于IEEE802.15.4e标准的工业物联网安全时间同步策略

杨 伟1,2何 杰1万亚东1王 沁1李 翀3

1(北京科技大学计算机与通信工程学院 北京 100083)2(江西师范大学软件学院 南昌 330027)3(中国科学院计算机网络信息中心 北京 100190)

(ustbyangwei@139.com)

IEEE802.15.4e是一个面向工业物联网应用的MAC层标准，其采用时间同步关键技术实现高可靠、低功耗的工业无线网络.网络空间中存在各式各样攻击，由于时间同步机制是工业无线网络中的核心支撑技术，其可能成为首选的攻击目标.假如攻击者对时间同步协议发起攻击，破坏节点之间的同步，将导致网络通信、节点定位以及数据融合等方面应用不能正常工作.针对基于IEEE802.15.4e标准的工业物联网中时间同步协议安全性不足问题，提出了一个安全时间同步策略.首先，提出了Sec_ASN算法保护单跳的ASN时间同步和TOF算法保护单跳的Device-to-Device时间同步；其次，提出了Rank-based入侵检测算法保护多跳时间同步；最后通过理论分析和实验测试证明，该安全时间同步策略具有时间同步精度高和开销低特点，并且能有效防御外部攻击和内部攻击.

IEEE802.15.4e；安全；时间同步；工业物联网；攻击

物联网被认为是继计算机、互联网之后，信息技术领域的一次重大变革，它将“通过信息传感设备，按照标准的通信协议，实现任何物品在任何时间任何地点的互联互通”[1].物联网可以广泛应用在环境监测、智慧城市、智慧医疗以及工业控制等领域[2-3]，其中以工业无线技术为核心的工业物联网是目前物联网领域中主流发展方向之一.由于标准通信协议在工业物联网发展过程中起到至关重要作用，国际工作组IEEE和IETF共同为其制定一个标准的通信协议[4].IEEE主要负责制定工业物联网的物理层和MAC层上标准，如IEEE802.15.4-2006标准，其中IEEE802.15.4e[5]是其最新的MAC层上标准；IETF负责制定工业物联网的网络层及以上标准，如6LoWPAN[6]，RPL[7]，CoAP[8]标准，其可以将资源受限传感器节点接入互联网.

目前无线传感器网络(wireless sensor network, WSN)中主流低功耗射频芯片均使用IEEE802.15.4-2006标准，并已逐渐应用在工业无线领域.由于工业无线应用对通信实时性、可靠性和低功耗有着严格要求，以前IEEE802.15.4-2006标准暴露出许多不足，如在空闲监听时浪费能量和使用单个信道通信容易受到干扰.为了更好地支持工业和商业的应用，如过程自动化、工厂自动化、定位和追踪等，国际工作组IEEE开始制定IEEE802.15.4e[5]标准.IEEE802.15.4e标准的关键技术是时间同步信道跳频(time synchronization channel hopping, TSCH)，采用时间同步技术协调网络中节点状态(发送、接收或休眠)，避免了节点空闲监听，从而延长了网络寿命；采用跳频技术让节点在不同时隙使用不同信道，可增强节点抵抗周围环境中噪声干扰和多径干扰的鲁棒性[9]，在工业无线网络中，使用时间同步信道跳频技术，可以实现在极低的能量消耗下达到99.9%的可靠性[10].目前，工业无线标准WirelessHART[11]和ISA100.11a[12]均采用了时间同步信道跳频技术.

与传统网络相比，工业无线网络对安全性提出了更高的要求.2010年震网病毒(Stuxnet)是第1个专门针对工业控制系统的恶意代码，包括中国、伊朗和印尼等多个国家地区的工业控制网络均遭受该病毒的攻击而无法正常运行.由于时间同步是工业无线网络中的核心支撑技术，往往成为攻击者首选的攻击目标，一旦网络的时间同步机制被破坏，将导致网络跳频、资源分配、路由转发和数据融合等依赖时间同步机制的应用不能正常运行.

然而IEEE802.15.4e[5]标准的时间同步协议设计之初主要关注同步精度和能耗问题，缺乏安全方面考虑.研究表明[13-18]，传统WSN时间同步协议存在安全漏洞，如Manzo等人[13]指出捕获(compromise)攻击对RBS，TPSN，FTSP时间同步影响，导致时间同步错误；Sun等人[14]指出了TPSN时间同步协议存在延时攻击、虫洞攻击、女巫攻击和捕获攻击，并提出了TinySeRSync安全时间同步协议，其采用了加密和认证等安全机制，抵御恶意的外部攻击；Ganeriwal等人[15]对TPSN时间同步协议的安全性进行了分析，指出了其可能遭受各种外部和内部攻击，然后将信息完整性认证等安全机制融入时间同步协议中，提出了安全的单跳时间同步协议(secure pairwise synchronization, SPS)和安全的组同步协议(secure group synchronization, SGS)；Huang等人[16]指出了FTSP时间同步协议存在篡改发送时间攻击、篡改包序列号攻击、假冒节点标识攻击和叛徒攻击，提出了时间黑名单滤波器、包序列号黑名单滤波器、时钟偏差率滤波器和时间波动滤波器来抵御以上攻击；尹香兰等人[17]针对FTSP时间同步协议受到恶意攻击现象，提出一种基于单向Hash链的轻量级安全时间同步协议LiteST，其能够防御篡改或延迟时间同步包、外部虫洞等攻击.由于IEEE802.15.4e标准的时间同步协议与TPSN，FTSP时间同步协议存在较大区别，以及IEEE802.15.4e标准主要适用于工业无线网络，其对网络安全性要求更加苛刻，以上安全时间同步协议均无法应用于IEEE802.15.4e标准.

本文研究基于IEEE802.15.4e标准的工业物联网安全时间同步策略.首先介绍IEEE802.15.4e标准的时间同步协议;然后指出了其面临的安全问题，并提出了一个安全时间同步策略，其主要包括安全的单跳时间同步和安全的多跳时间同步；最后通过理论分析和实验结果表明，提出的策略能有效防御外部攻击和内部攻击，并且具有时间同步精度高和开销低特点.

1 IEEE802.15.4e标准的时间同步协议

在IEEE802.15.4e网络中，时间被分成许多时隙，每个时隙有足够长的时间让1对节点交换数据包，但是节点需要在精确的时间去发送和接收数据包.槽帧(slotframe)是多个时隙组合，它是周期性重复的，如图1表示一个槽帧长度为101的时隙通信示意图，每一个时隙都有绝对时隙号(ASN),它表示网络从开始形成经过的时隙数目，所有节点共享ASN，节点A和节点B在时隙1进行通信，节点B和节点D在时隙2通信，节点A和节点C也在时隙2通信，但是它们使用不同信道，互相不干扰.

Fig. 1 Slot-channel schedule matrix for IEEE802.15.4e networks图1 IEEE802.15.4e网络的时隙-信道分配矩阵模型示意图

1.1 单跳时间同步

IEEE802.15.4e标准采用时间同步信道跳频技术，其同步机制与传统WSN时间同步算法有很大区别，采用时隙模板同步机制,包括ASN同步和Device-to-Device同步2部分.

1)ASN同步

Fig. 2 ASN synchronization图2 ASN同步过程

在IEEE802.15.4e网络中，ASN值主要有2个方面作用：①ASN是整个网络资源分配的基础，网络中节点处于发送、接收或睡眠状态与其所处时隙相关；②为了增强节点抵抗周围环境中噪声干扰和多径干扰的鲁棒性，IEEE802.15.4e标准采用时隙跳频的技术，而射频采用哪个信道是通过式(1)计算出来.

(1)

IEEE802.15.4e网络中，ASN同步过程如图2所示.全功能在网节点周期性地发送广播EB(enhanced beacon)包，EB包中有足够信息让节点加入和同步网络，新入网节点接收到广播信息，然后同步网络，从EB广播信息中提取ASN值；入网后所有节点都共享ASN值，并在每个时隙后自动增加，它表示网络从开始形成运行多少时隙.

2) Device-to-Device同步

节点成功加入网络后，仍需要保持同步.节点通过硬件晶振来计时，如选择频率为32.768 kHz晶振，由于工艺和温度等原因，晶振存在偏移现象，典型的2个晶振存在10 ppm偏移，在1 s时间后，2个晶振跑偏20 μs，因此，节点需要周期性重同步.Device-to-Device同步用于邻居节点时间对齐，这样邻居节点间可以在一个时隙里正常完成数据包发送和接收，其同步方法主要有包同步和ACK同步.当网络中存在包交换，节点通过数据包通信进行同步，当网络比较空闲(如30 s)，节点需要发送keep-alive包进行同步.

IEEE802.15.4e网络中，Device-to-Device时间同步过程如图3所示.发送节点按照调度算法进入发送时隙，接收节点按照调度算法进入接收时隙.发送节点在一个时隙开始首先等待TsTxoffset时间(典型2 ms)，在这段时间配置射频和准备发送数据，数据包的前导码在这个时间点发送出去，当数据包完全发送出去后，发送节点关掉射频等待TsRxAckDelay时间，然后打开射频准备接收ACK信息.对于接收方而言，其在一个时隙开始首先等待TsRxoffset时间打开射频，考虑到节点可能不完全同步，所以接收方提早一点打开射频，这段时间称为保护时间(guard time，GT)，经过很短传播延迟(典型2 μs)，接收方收到发送方的前导码，射频芯片前导码引脚产生一个高电平给微控制器，接收方记录下当前的时间，图3中的开始接收帧事件(SFR)，当数据接收完毕后，产生接收完成事件(EFR), 然后接收方根据式(2)计算时间偏差.假如发送者时钟源，接收方根据时间偏差调整自己时间，否则将时间偏差填充到ACK包中，等待TsTxAckDelay时间发送ACK包.经过这样重同步，节点双方在下一个时隙都能对齐.

(2)

Fig. 3 Device-to-Device synchronization图3 Device-to-Device时间同步过程

1.2 多跳时间同步

IEEE802.15.4e标准中仅定义了单跳时间同步的方式，没有详细说明如何进行多跳时间同步以及时钟源选择问题.IETF 6TiSCH 工作组设计了高层协议来解决这些问题.在6TiSCH的网络中，定义了一个节点为全网的根时钟源，其他节点可以通过单跳或多跳形式与其进行同步.IETF 6TiSCH 工作组推荐使用RPL路由协议生成时间同步树[19]，离根时钟源比较远的节点可以通过时间同步树逐层进行同步.

RPL是物联网IPv6路由协议[7]，其通过使用目标函数和度量构建有向非循环图(DODAG)，每个节点都拥有路由父节点.采用RPL路由协议生成时间同步树主要能带来2方面好处：1)DODAG是有向非循环图，可以有效避免多跳时间同步中循环；2)DODAG通过RPL路由协议建立与维护，不需要额外能量开销去构造时间同步树.

2 面临安全挑战

IEEE802.15.4e标准的时间同步协议设计之初主要关注同步精度和能耗问题，缺乏安全方面考虑.在IEEE802.15.4e标准的单跳时间同步过程中，其包括ASN时间同步和Device-to-Device时间同步2部分.ASN是整个网络资源分配和正常通信的最重要的基础，网络中所有节点通过ASN时间同步方式获取ASN值，一旦被攻击，势必会造成网络通信瘫痪.可是，在目前的工业无线协议中，并没有给ASN的传播以足够的保护，多数网络只是采用Default Key保护的EB包来传播ASN.Default Key通常采用预配置方式分配给网络中节点，其保密性非常低.因此，攻击者很容易通过广播包含错误ASN的EB达到破坏网络通信的目的.在Device-to-Device时间同步中，由于节点晶振存在时间偏移现象，已入网节点需要周期性与时间父节点进行时间同步，其存在身份认证漏洞，当攻击者假冒时间父节点发送同步包或广播伪造ACK包，子节点将计算到一个错误的时间偏差.

在IEEE802.15.4e标准的多跳时间同步过程中，网络首先构建分层时间同步树，IETF 6TiSCH 工作组推荐使用RPL路由协议生成分层时间同步树，离根时钟源比较远的节点可以通过时间同步树逐层进行同步.但是RPL 路由协议使用 ICMPv6 控制包来交换路由信息，其通过父节点广播DIO 信息来构建RPL DODAG 图，攻击者很容易伪造DIO 信息来吸引子节点加入，从而导致IEEE802.15.4e标准的多跳时间同步存在安全问题.

3 安全时间同步策略

针对基于IEEE802.15.4e标准的工业物联网时间同步过程中存在多种安全问题，本文提出一个安全时间同步策略架构如图4所示，可以有效保障节点之间安全地进行时间同步.工业物联网由大量资源受限无线传感器节点组成，节点之间通过单跳或多跳方式进行时间同步，然后通过边界路由器将采集数据发送到互联网中服务器.针对IEEE802.15.4e标准的单跳时间同步提出了Sec_ASN和TOF算法，其可以分别保护ASN时间同步和Device-to-Device时间同步；针对IEEE802.15.4e标准的多跳时间同步提出了Rank-based入侵检测算法.

Fig. 4 Security countermeasures for time synchronization in IEEE802.15.4e-based industrial IoT图4 基于IEEE802.15.4e标准的工业物联网安全时间同步策略架构图

3.1 安全的单跳时间同步策略

安全的单跳时间同步的目的是保证节点能够以安全的方式获取网络的ASN值和邻居节点的时间偏差，其需要对时间同步过程中信息进行加密和认证，以及其他相关的安全措施.下面内容主要包括：安全单跳的ASN时间同步和安全单跳的Device-to-Device时间同步方法.

3.1.1 安全单跳的ASN时间同步

在单跳的ASN时间同步过程中，网关和簇头节点周期性广播EB包, EB包中有ASN域，新入网的簇头或现场节点通过监听EB来加入和同步网络，在时间同步过程中，攻击者可以发起ASN的攻击.如外部攻击者先监听网络中的EB包，然后可以篡改或伪造EB包；内部攻击者可以捕获网络中的节点，然后伪造节点重新放入网络，内部攻击节点将发送包含错误ASN和JP值的EB包.

针对单跳的ASN时间同步协议存在安全漏洞问题，设计了一个安全单跳的ASN时间同步算法(Sec_ASN).Sec_ASN算法主要采用2种机制抵御ASN攻击.针对外部攻击者篡改EB包的攻击方式，采用了消息完整性认证的方法，可以有效检测出合法EB包是否被篡改.另外，由于多数网络采用Default Key保护的EB包来传播ASN，攻击者很容易获取到Default Key，从而可以伪装成合法节点加入网络，然后广播包含错误ASN和JP值的EB包，消息完整性认证无法抵御这种内部攻击，因为非法节点已经获取到合法身份；本文利用ASN全网共享特点，当合法节点数量大于恶意节点数量情况下，采用2s+1思想选出合法时钟源，其中s代表节点数量.

Sec_ASN具体步骤如算法1所示，其中GW和CH分别表示网关节点和簇头节点.

算法1. Sec_ASN算法.

①GW→*:GW‖EB‖MIC(KG,GW‖EB‖NA);

②CH→*:CH‖EB‖MIC(KG,CH‖EB‖NA);

③ 新入网节点:SetCounter=0,Counter++at each slot;

④Loop:监听来自邻居节点的EB包

⑤ 认证EB包；

⑥ 计算:ASN_Offset=Counter-ASN;

⑦ 记录neighbor_id,ASN_value,ASN_Offset,JP;

⑧ 等待接收来自其他邻居节点的EB包;

⑨ End Loop

⑩ 合法邻居节点的ASN_Offset的值相同;

算法1中，已在网的节点周期性广播带有消息完整性认证码的EB包，可以有效抵御外部攻击者篡改EB包.新入网节点需要保持一个计数器Counter，并在每个时隙自增；然后监听邻居节点广播的EB包，并进行消息完整性认证，假如认证成功，就计算ASN_Offset值；记录下广播EB包的节点ID，ASN，ASN_Offset和JP；由于在IEEE802.15.4e网络中所有合法节点共享ASN，并且ASN值也是每个时隙不断自增，因此，计数器Counter与网络中的ASN值的差值是一个常数，这是区分合法节点和内部攻击的一个重要特征.当新入网节点扫描2s+1个邻居节点后，获取一些相关数据，一部分来自网络中合法节点，另一部分是来自内部攻击节点，但来自合法节点的ASN_Offset值是相等的.当邻居节点中的合法节点多于内部攻击节点时，通过比较ASN_Offset值，很容易选出合法节点，该方法最多可以容忍s个内部攻击节点.

3.1.2 安全单跳的Device-to-Device时间同步

节点成功加入网络后，通过硬件晶振来计时，但由于晶振存在偏移现象，因此需要Device-to-Device时间同步保持与网络的同步，其同步方法主要有包同步和ACK同步.在包同步和ACK同步过程中，攻击者可以发起时隙模板攻击，如外部攻击者可以篡改或伪造包含错误时间偏差的ACK包；内部攻击者可以修改时钟源的时隙模板TsTxoffset值，使得与其同步的节点计算出错误时间偏差.

针对单跳的Device-to-Device时间同步过程中存在被攻击情况，设计了安全单跳的Device-to-Device时间同步，其采用基于硬件支持加密与认证的方法发送同步信息包，可以有效抵御外部攻击者篡改或伪造ACK包；设计了门限过滤器TOF算法，对时间偏差大于门限值的时间同步包丢弃，可以有效抵御修改时隙模板攻击；在门限过滤器算法中，Q是时间偏差门限值，其可以通过式(3)计算出来；Q的大小取决于时间同步周期T和晶振的频率偏差率Skew，max(η)定义为在室温情况下晶振之间最大的频率偏差率，在一个同步周期T时间内，正常节点之间的时间偏差小于T×max(η)，当攻击者发起修改时隙模板攻击时，节点之间时间偏差可能远大于T×max(η)，因此采用门限过滤器算法，对时间偏差大于门限值Q的时间同步包丢弃，可以有效抵御修改时隙模板攻击.

(3)

安全单跳的Device-to-Device时间同步设计如算法2所示.

算法2. TOF算法.

①A→B:A‖B‖NA‖M‖MIC(KAB,A‖B‖NA‖M);

②B→A:B‖A‖NA‖ACK‖MIC(KAB,B‖A‖NA‖ACK);

③BCalculate:Offset=timeReceived-TsTxoffset;

④ if (Offset≤Q)

⑤newPeriod=newPeriod+Offset;

⑥ else

⑦ absort sync message,num_attack++;

⑧ end if

⑨ if (num_attack>K)

算法2中,假设节点A和节点B已经拥有共享密钥KAB，节点A给节点B发送同步信息包，并且使用共享密钥KAB对节点A地址、节点B地址、随机数NA和同步信息包进行完整性校验，NA在IEEE802.15.4e标准由源地址、帧计时器和安全等级构成，可以保证消息的新鲜性，抵御抗重放攻击.节点B接收后将计算完整性校验，假如与节点A发送的完整性校验相同则认为信息没有被篡改，并发送ACK给节点A，然后节点B计算时间偏差Offset，定义Q是时间偏差门限值，其由门限过滤器算法产生.当节点B计算时间偏差Offset≤Q时，节点B进行同步并计算出新的同步周期的长度；否则丢弃时间同步包，并将攻击次数加1，当攻击次数超过设定值K，将该节点ID加入到黑名单中，并重新选择时钟源.

3.2 安全的多跳时间同步策略

IEEE802.15.4e 网络的时间同步树由RPL 路由协议构建.RPL 路由协议使用 ICMPv6 控制包来交换路由信息，其通过父节点广播DIO 信息来构建RPL DODAG 图，子节点周期性发送DAO 包给边界路由器.在RPL DODAG图中，节点的Rank值大小是有规律的，子节点Rank值大于父节点Rank值；以节点P和节点C为例，节点P是节点C的父节点，则Rank(C)=Rank(P)+RankIncrease；其中RankIncrease与RPL路由协议定义了OF0函数相关，OF0函数将链路质量、丢包率以及时间延迟等参数作为衡量指标，实际使用中RankIncrease计算过程如式(4)所示，其主要将发包数量和ACK回复数量比率作为衡量指标.

(4)

在IEEE802.15.4e网络的时间同步树攻击过程中，攻击节点可以采用广播伪造的DIO 包方式，其中伪造DIO 包中含有较小的Rank值，导致周围正常节点选择攻击节点为时间父节点，从而破坏时间同步树构建.为有效检测出攻击节点通过伪造DIO 包方式攻击时间同步树，本文提出了Rank-based入侵检测算法.由于边界路由器在计算能力和存储能力比较强大，并且不用考虑能耗问题，入侵检测模块将部署到边界路由器.在边界路由器中主要包括3个模块:1)信息收集，收集网络节点DIO包信息；2)入侵检测的分析引擎，通过对收集数据进行分析来发现各种攻击；3)轻量级防火墙，主要功能是抵御来自互联网的非法主机攻击.在资源受限节点中主要部署信息采集模块，节点采集到相关信息将实时发送到边界路由器.边界路由器通过信息收集模块采集网络中所有节点的DIO包中Rank值，当节点Rank值小于其父节点Rank值与MinHopRank-Increase的和时(其中MinHopRankIncrease是RPL路由协议中规定最小Rank增量)，表示出现异常；为了进一步提高检测率，设置了门限值Threshold，当检测到同一个节点出现异常次数超过Threshold时就发出报警信息，并将该节点加入黑名单.

算法3. Rank-based入侵检测算法.

① Require:N-Alist of nodes in the IEEE802.15.4e network;

②forNodeinNdo

③ifNode.rank

④Node.fault=Node.fault+1;

⑤ end if

⑥ ifNode.fault>Thresholdthen

⑦ Raise Alarm;BlackList.add(Node);

⑧ end if

⑨ end for

4 安全时间同步策略性能分析

本文主要对安全时间同步策略的安全性、同步精度以及通信和存储开销等方面性能进行分析，并与其他安全时间同步协议进行比较.

1) 安全性

在安全的单跳时钟同步中，分为入网前的ASN同步和入网后的Device-to-Device时间同步，在ASN同步过程中，通过对EB包进行加密和认证，接收者可以安全地收到EB包，可以有效抵御外部攻击，如外部设备假冒时钟源、篡改同步报文和伪造同步报文；对于内部攻击，采用2s+1思想，监听所有邻居节点的EB包，可以最多容忍s个攻击节点；在入网后的Device-to-Device时间同步中，采用硬件支持产生MIC方法，保证信息传输完整性，可以有效抵御假冒时钟源攻击；并设计门限过滤器算法，对时间偏差大于门限值的时间同步包丢弃，可以有效抵御修改时隙模板攻击和延时攻击；但是安全的单跳时钟同步不足以抵御持续干扰攻击以及DOS攻击.

在安全的多跳时钟同步中，先构建分层的时间同步树.在Rank-based入侵检测算法的时间同步树构建中，通过边界路由器收集网络中节点及其邻居信息的Rank值，然后采用入侵检测算法对Rank数据进行分析，有效检测出对IEEE802.15.4e网络的多跳时间同步过程中同步树的攻击；通过在边界路由器上部署一个轻量级防火墙，对来自互联网中信息进行包过滤，可以有效防止互联网中恶意主机对IEEE802.15.4e网络破坏，并且IEEE802.15.4e网络内部节点可以通过协同方式发现恶意的外部主机，边界路由器将其添加到控制列表中.

2) 其他性能

在同步精度方面，安全的时间同步中采用射频模块支持加密和认证，射频的AES加密模块与发射接收模块是相互独立的，并且在时隙模板的TsTxoffset时段中预留部分时间作为射频发送字符码、起始符和前导码，所以对正常时间同步基本没有带来延时，对时间同步精度没有影响.

在通信开销方面，安全的单跳时间同步中的簇头节点需要周期性与邻居簇头进行时间同步；安全的全网时间同步中，簇头节点需要广播时间同步包让簇内节点与其同步，假设簇头节点有k个邻居节点，其通信开销为k+1.

在存储开销方面，安全的单跳时间同步中采用硬件支持的加密和认证方法，簇头需要存储邻居簇头的对密钥和簇内节点的私钥；在安全的多跳时间同步中，节点需要向边界路由器回复响应包，响应包主要包括Node_ID，DODAG_ID，Rank，Parent_ID和邻居节点信息，假如节点有k个邻居节点(包含1个父时钟源)，响应包大小8+4k(单位B)；当发送完后可以空闲出来.

3种安全时间同步协议性能对比如表1所示. TinySeRSync是针对TPSN设计的安全时间同步协议，其在采用μTESLA广播认证协议时需要松散的时间同步，因此其同步过程需要2个阶段：1)本地同步，节点与周围邻居节点交换2次同步包达到松散的时间同步；2)全局同步，节点广播同步报文和密钥，因此其通信开销为2k+2(k为邻居节点个数). LiteST是针对FTSP设计的安全时间同步协议，其采用了单向散列函数的安全机制，节点广播时间同步包和接收周围节点的时间同步包，因此其通信开销为k+1.本文安全时间同步协议提出了Sec_ASN，TOF，Rank-based入侵检测算法，可以保证信息的机密性、完整性、新鲜性和点到点的认证性，比TinySeRSync，LiteST协议的安全性高.

Table 1 Performance Comparison of Three Secure Time Synchronization Protocols

Fig. 5 An implementation of test-bed for secure time synchronization图5 安全时间同步测试系统示意图

5 实验设计与结果分析

为了验证安全时间同步策略的有效性和能耗约束下的可实现性，搭建了一个安全时间同步测试平台.安全时间同步测试平台实物图如图5所示，其主要包括无线网络测试专用木架、16个OpenMoteSTM节点、1套USB HUB设备和上位机等.OpenMoteSTM硬件节点是由我们实验室自主研发的低功耗WSN节点，其采用32 b高性能ARM系列微控制器STM32F103RE和低功耗2.4 GHz射频模块AT86RF231，节点使用32.768 kHz外部晶振作为时钟源，其时钟漂移±30 ppm.节点运行的软件是基于OpenWSN[20]协议栈.

OpenWSN[20]协议栈是由美国加州大学伯克利分校Watteyne教授团队开发，与上海同济大学开发开放的无线传感器网络平台OpenWSN[21]有本质区别，它是第1个完成IEEE802.15.4e标准并且完全开源的协议栈，并且能够很好地支持6LoWPAN，RPL，CoAP标准，目前已有多种硬件平台支持该协议栈，如GINA，TelosB，OpenMoteSTM节点，在MAC层上支持IEEE802.15.4e标准.OpenWSN协议栈已经实现了基本的ASN同步和Device-to-Device同步，但是没有实现任何有关安全时间同步协议，本文添加了加密与认证等安全相关的代码.

5.1 安全单跳的时间同步

为验证安全单跳的Device-to-Device时间同步的有效性，采用2个OpenMoteSTM节点上并完成了相关安全代码.本文使用以下2个性能指标来评价提出安全策略性能：同步误差和能耗.同步误差是指1对节点在运行时候的时间偏差，其可以通过逻辑分析仪测量出来.假设2个节点是A和B，其中节点B是父时钟源.设置同步周期T=5 s.在时隙模板攻击时，攻击者捕获节点B并且修改时隙模板TsTxoffset值.为了更好地观察到攻击效果，恶意节点B间歇性发起时隙模板攻击.

Fig. 6 The synchronization error varying with time in different case图6 不同情况下节点之间同步误差随时间变化图

图6为不同情况下节点之间同步误差随时间变化图.在正常同步情况，节点A和节点B之间同步误差在原始和安全策略2种方案下均比较小，因此我们仅适用一条曲线表明同步误差波动，节点之间最大同步误差大概0.1 ms并且随时间波动，同步误差变大是由于节点的时钟漂移带来的，当进行一次时间同步后，节点A将自己时间向父节点B对齐，2个节点之间同步误差随之下降.在时间同步攻击情况，我们对比了原始和安全策略2种方案在不同攻击参数ξ下同步误差变化.图6(a)表明在攻击情况下(ξ=0.4 ms)节点之间同步误差波动大于正常情况，并且原始时间同步协议下同步误差波动大于添加安全策略同步协议.原始时间同步协议在攻击情况下，节点之间最大同步误差达到0.5 ms，然而安全策略同步协议在攻击情况下，节点之间最大同步误差仅有比较小的波动，因为其采用了门限过滤器算法去检测攻击，当同步周期T=5 s和max(η)=60 ppm时，根据式(3)可得门限Q=0.3 ms，小于攻击参数ξ，因此节点A忽略来自节点B的时间同步信息，但是由于节点之间的时钟漂移存在，其同步误差变大直到接收到合法的时间同步包.图6(b)表示在攻击情况下(ξ=0.8 ms)节点之间同步误差随时间变化，与图6(a)对比，原始时间同步协议的最大同步误差波动更多，而安全策略同步协议的最大同步误差波动基本一致.实验结果表明安全策略同步协议可以有效地抵御时隙模板攻击.

Fig. 7 The energy consumption in different operating modes图7 不同模式下的能量消耗图

由于WSN中节点大都采用电池供电，能耗是一个非常重要衡量指标.在安全单跳的Device-to-Device时间同步过程中，采用了认证算法抵御时间同步攻击.实验采用OpenMoteSTM 硬件节点完成认证算法.在安全时间同步中，OpenMoteSTM节点可分为3种工作状态：仅CPU工作、CPU+SPI+AES工作和CPU+SPI+RF工作.仅CPU工作状态时，射频模块处于休眠状态；在CPU+SPI+AES工作状态时，节点可以进行加密和认证处理；在CPU+SPI+RF工作状态时，节点可以发送或接收数据.节点工作电流可以通过示波器的电流探头测量，节点工作电压为3.3 V，因此能耗开销E可以通过式(5)计算出来：

(5)

图7反映了OpenMoteSTM节点在不同模式下发送16 B数据所需要的能量开销.节点在加密模式下能耗开销比无安全模式下多9%，在认证模式下多23%，而在加密和认证模式下多32%；然而单跳Device-to-Device的同步周期通常为30 s，从整个网络生命周期来看基于对称加密的认证算法带来能量开销比较小.

5.2 基于入侵检测的安全多跳的时间同步

为了验证基于入侵检测的安全多跳时间同步的性能，搭建如图5所示由16 个OpenMoteSTM节点组成的多跳时间同步网络.在没有配置情况下，网络拓扑是随机的.我们通过修改原始代码，将网络拓扑设置成如图8所示结构.RPL路由协议采用ICMPv6控制信息来交换路由图信息，其通过广播DIO信息来构建RPL DODAG图. 在RPL DODAG图中，节点的Rank值大小是沿着时间同步树依次增加的，如图9中节点1，2，7，12的Rank值关系是Rank(1)

Fig. 8 The structure of time synchronization tree in the initial state图8 初始状态时时间同步树结构

图9表示在攻击情况下网络的时间同步树结构.攻击节点8广播伪造DIO包，其中DIO包中Rank值比正常小，从而吸引周围邻居节点选择其作为父时钟源.在正常情况下，节点3是节点8的父时钟源，其Rank值大小应该是：Rank(8)=Rank(3)+RankIncrease；然而攻击节点8伪造Rank值，使得Rank(8)

Fig. 9 The structure of time synchronization tree in the attack case图9 攻击情况下时间同步树结构

Fig. 10 The detection rate of Rank-based algorithm varying with time图10 Rank-based入侵检测算法的检测率随运行时间的变化

图10表示不同攻击节点数目情况下Rank-based入侵检测算法的检测率随时间变化.在实验过程中，攻击节点数目m大小为1，2，3.攻击节点周期性广播伪造的DIO包，其中伪造DIO包中含有较小的Rank值.网络中节点通过信息采集模块来监听网络DIO包信息，然后发送到边界路由器，边界路由器通过入侵检测算法判断有无攻击.图10中表示实验运行5 min时，攻击节点数目为1时具有很高检测率，可以达到91%，但是攻击节点比较多时检测率不高，因为有些攻击节点未检测出来；随着检测时间增加，检测率有明显上升，当运行时间为20 min时，检测率均可以达到90%左右.

6 总 结

针对基于IEEE802.15.4e标准的工业物联网中时间同步协议安全性不足问题，提出了一个安全时间同步策略，包括安全的单跳时间同步和安全的多跳时间同步策略.在安全的单跳ASN时间同步，提出了Sec_ASN算法，其采用基于硬件支持认证的方法保护EB包，可以有效抵御如外部设备冒充基站、修改同步报文和伪造同步报文等外部攻击，并采用2s+1思想，可以最多容忍s个攻击节点；在安全的单跳Device-to-Device时间同步，提出了TOF算法，其采用硬件支持产生MIC方法，可以有效抵御假冒时钟源攻击；并设计门限过滤器算法，对时间偏差大于门限值的时间同步包丢弃，可以有效抵御修改时隙模板攻击和延时攻击.在安全的多跳时间同步，提出了Rank-based入侵检测算法抵御时间同步树攻击.最后通过理论分析和实验结果表明，安全时间同步策略能有效防御多种外部攻击和内部攻击，并具有同步精度高和开销低特点.

未来的工作主要2方面:1)引入安全协议的形式化分析方法，进一步提高协议的安全性；2)将安全时间同步协议应用到实际应用中.

[1]International Telecommunication Union. Internet Reports 2005: The Internet of Things[R]. Geneva, CH: ITU, 2005

[2]Miorandi D, Sicari S, De Pellegrini F, et al. Internet of things: Vision, applications and research challenges[J]. Ad Hoc Networks, 2012, 10(7): 1497-1516

[3]Chi Qingping, Yan Hairong, Zhang Chuan, et al. A reconfigurable smart sensor interface for industrial WSN in IoT environment[J]. IEEE Trans on Industrial Informatics, 2014, 10(2): 1417-1425

[4]Dujovne D, Watteyne T, Vilajosana X, et al. 6TiSCH: Deterministic IP-enabled industrial Internet (of things)[J]. IEEE Communications Magazine, 2014, 52(12): 36-41

[5]Robert F, Rick A, Patrick W, et al. 802.15.4e-2012: IEEE Standard for Local and Metropolitan Area Networks—Part 15.4: Low-Rate Wireless Personal Area Networks (LR-WPANs) Amendment 1[S]. New York: LANMAN Standards Committee, 2012

[6]Kushalnagar N, Montenegro G, Schumacher C.IPv6 over low-power wireless personal area networks (6LoW-PANs): Overview, assumptions, problem statement, and goals, RFC 4919 [R]. New York: Internet Engineering Task Force, 2007

[7]Thubert P, Winter T, Brandt A, et al. RPL: IPv6 routing protocol for low power and lossy networks [R]. New York: Internet Engineering Task Force, 2012

[8]Bormann C, Castellani A P, Shelby Z. Coap: An application protocol for billions of tiny Internet nodes[J]. IEEE Internet Computing, 2012, 16(2): 62-67

[9]Watteyne T, Lanzisera S, Mehta A, et al. Mitigating multipath fading through channel hopping in wireless sensor networks[C]Proc of ICC 2010. Piscataway, NJ: IEEE, 2010: 1-5

[10]Stanislowski D, Vilajosana X, Wang Qin, et al. Adaptive synchronization in IEEE802.15.4e networks[J]. IEEE Trans on Industrial Informatics, 2014, 10(1): 795-802

[11]HART Communication Foundation. WirelessHART7.1 specification[EBOL]. [2016-04-02]. http:www.hartcomm2.orghart_protocolprot ocolprotocol_specs_popup.html

[12]ISA-100.11a-2011: Wireless systems for industrial automation: Process control and related applications [EBOL]. 2011 [2016-04-08]. https:www.isa.orgstoreproductsproduct-detail?productId=118261

[13]Manzo M, Roosta T, Sastry S. Time synchronization attacks in sensor networks[C]Proc of the 3rd ACM Workshop on Security of Ad Hoc and Sensor Networks. New York: ACM, 2005: 107-116

[14]Sun Kun, Peng Ning, Wang C. TinySeRSync: Secure and resilient time synchronization in wireless sensor networks[C]Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 264-277

[16]Huang D J, Teng W C, Yang K T. Secured flooding time synchronization protocol with moderator[J]. International Journal of Communication Systems, 2013, 26(9): 1092-1115

[17]Yin Xianglan, Qi Wangdong. LiteST: A lightweight secure time synchronization protocol for wireless sensor networks [J]. Journal on Communications, 2009, 30(4): 74-85 (in Chinese)(尹香兰, 齐望东. LiteST: 一种无线传感器网络轻量级安全时间同步协议[J]. 通信学报, 2009, 30(4): 74-85)

[18]He Jianping, Cheng Peng, Shi Ling, et al. SATS: Secure average-consensus-based time synchronization in wireless sensor networks[J]. IEEE Trans on Signal Processing, 2013, (24): 6387-6400

[19]Thubert P, Watteyne T, Palattella M R, et al. IETF 6TSCH: Combining IPv6 connectivity with industrial performance[C]Proc of IMIS-2013. Piscataway, NJ: IEEE, 395(6): 541-546

[20]Watteyne T, Vilajosana X, Kerkez B, et al. OpenWSN: A standards-based low-power wireless development environment[J]. Trans on Emerging Telecommunications Technologies, 2012, 23(5): 480-493

[21]Zhang Wei, He Bin, Zhao Xia, et al. An open wireless sensor network platform—OpenWSN [J]. Journal of Computer Research and Development, 2008, 45(1): 97-103 (in Chinese)(张伟, 何斌, 赵霞, 等. 开放的无线传感器网络平台OpenWSN[J]. 计算机研究与发展, 2008, 45(1): 97-103)

Yang Wei, born in 1987. PhD in the Universtiy of Science and Technology Beijing. He currently focuses on the research of IEEE802.15.4e standard and time synchronization protocols in wireless sensor networks.

He Jie, born in 1983. Received his PhD degree from the Universtiy of Science and Technology Beijing. His main research interests include indoor location systems and wireless sensor networks security.

Wan Yadong, born in 1982. Received his PhD degree from the Universtiy of Science and Technology Beijing. Student member of CCF. His main research interests include wireless sensor networks, embedded system and wireless security.

Wang Qin, born in 1961. Professor and PhD supervisor in the Universtiy of Science and Technology Beijing. She has been involved in international wireless network standard development since 2007, including ISA100.11a, IEEE802.15.4e, and industrial wireless standard WIA-PA proposed to IEC by China.

Li Chong, born in 1982. Received his PhD degree from the Universtiy of Science and Technology Beijing. Associate professor and master supervisor of Computer Network Information Center, Chinese Academy of Sciences. His main research interests include wireless sensor networks security and embedded system.

Security Countermeasures for Time Synchronization in IEEE802.15.4e-Based Industrial IoT

Yang Wei1,2, He Jie1, Wan Yadong1, Wang Qin1, and Li Chong3

1(SchoolofComputerandCommunicationEngineering,UniversityofScienceandTechnologyBeijing,Beijing100083)2(SchoolofSoftware,JiangxiNormalUniversity,Nanchang330027)3(ComputerNetworkInformationCenter,ChineseAcademyofSciences,Beijing100190)

IEEE802.15.4e is the latest MAC layer standards for the industrial Internet of things, which enables highly reliable and ultra-low power wireless networking through time synchronization technique. In cyberspace where an adversary may attack the networks through various ways, time synchronization becomes an attractive target due to its importance. If an adversary launches time synchronization attack, it will paralyze the whole network communication, the node localization and data fusion application. However, the time synchronization protocol is not insufficient to be protected in IEEE802.15.4e standard. So it is crucial to design a secure time synchronization protocol. First, we develop a secure single-hop ASN synchronization and a secure single-hop device-to-device synchronization using hardware-assisted encryption and authentication. And we also adopt the 2s+1 method and threshold filter algorithm. Second, we develop a secure multi-hop time synchronization mechanism which adopts a rank-based intrusion detection algorithm. Third, theoretical analysis and experiments show that the proposed countermeasures can successfully defend against external attacks and insider attacks, as well as high clock accurate and low power consumption.

IEEE802.15.4e；secure；time synchronization；industrial Internet of things；attack

2016-08-22；

2016-12-20

国家自然科学基金项目(61302065，61304257)； 北京市自然科学基金项目(4152036)； 中央高校基本科研业务费专项资金(FRF-TP-15-026A2) This work was supported by the National Natural Science Foundation of China (61302065, 61304257), the Beijing Natural Science Foundation (4152036), and the Fundamental Research Funds for the Central Universities (FRF-TP-15-026A2).

何杰(hejie@ustb.edu.cn)

TP393