趙曦濱，游之洋,2，趙志峰

（1. 清華大學(xué) 軟件學(xué)院 信息系統(tǒng)安全教育部重點(diǎn)實(shí)驗(yàn)室，北京 100084；2. 清華大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)系，北京100084；3. 鎮(zhèn)江船艇學(xué)院 計(jì)算機(jī)教研室，江蘇 鎮(zhèn)江212003）

1 引言

當(dāng)前，隨著輕量級(jí)的無線設(shè)備，如筆記本電腦、PDA、無線電話等的快速推廣應(yīng)用，移動(dòng)計(jì)算的潛力和重要性顯得更加突出。一些移動(dòng)網(wǎng)絡(luò)中的應(yīng)用將不再依賴于固定的基礎(chǔ)設(shè)施。MANET（mobile ad hoc network）就是應(yīng)對(duì)這些環(huán)境而產(chǎn)生的網(wǎng)絡(luò)，它由一組無線移動(dòng)主機(jī)構(gòu)成，并動(dòng)態(tài)地通過多跳建立連接，不依賴中心式的管理，特別適合在沒有基礎(chǔ)設(shè)施的環(huán)境中搭建臨時(shí)的無線應(yīng)用，如應(yīng)急救援等。MANET已經(jīng)成為無線網(wǎng)絡(luò)研究中最為重要的領(lǐng)域。但是由于MANET無中心、動(dòng)態(tài)拓?fù)?、資源受限等特性導(dǎo)致網(wǎng)絡(luò)對(duì)安全性的需求尤為迫切[1]。傳統(tǒng)基于中心的安全機(jī)制并不適合于MANET網(wǎng)絡(luò)環(huán)境，目前針對(duì)MANET提出了很多安全解決方案[2～4]。但是這些研究關(guān)注的重點(diǎn)都是集中在機(jī)密性（confidentiality）和完整性（integrity）上，對(duì)網(wǎng)絡(luò)的可用性（availability）考慮不足。

作為一種適用于特殊和臨時(shí)任務(wù)的網(wǎng)絡(luò)，MANET的可用性極為重要，可以說，網(wǎng)絡(luò)可用性是MANET適應(yīng)廣泛應(yīng)用的前提條件。但是現(xiàn)有針對(duì)MANET安全機(jī)制都不能很好地解決可用性的問題，關(guān)鍵就在于傳統(tǒng)的安全機(jī)制都不足以應(yīng)對(duì)分布式網(wǎng)絡(luò)的安全需求，特別是高度分布、自治及動(dòng)態(tài)的MANET環(huán)境[1]。但是我們不能因此簡(jiǎn)單就拋棄傳統(tǒng)的安全機(jī)制，應(yīng)當(dāng)分析傳統(tǒng)安全機(jī)制的精髓，從而作為MANET可用性安全機(jī)制設(shè)計(jì)的基礎(chǔ)。傳統(tǒng)中心式的安全機(jī)制是建立在對(duì)中心的信任基礎(chǔ)之上的，它強(qiáng)調(diào)中心和網(wǎng)絡(luò)中節(jié)點(diǎn)的權(quán)威信任關(guān)系。但是這種中心式的機(jī)制在MANET中都很難實(shí)現(xiàn)。首先，MANET中的節(jié)點(diǎn)普遍資源受限，無法使之提供復(fù)雜的中心式安全服務(wù)；其次，由于MANET網(wǎng)絡(luò)形成的動(dòng)態(tài)性以及臨時(shí)性，很難預(yù)先為其設(shè)定中心式的安全服務(wù)。而高效、實(shí)用的信任機(jī)制是MANET可用性的重要保障[5]。

如果能在MANET中引入信任機(jī)制，使得可以快速識(shí)別惡意節(jié)點(diǎn)并能迅速將它從網(wǎng)絡(luò)中孤立出去、惡意節(jié)點(diǎn)難以與合法節(jié)點(diǎn)交互,則整個(gè)網(wǎng)絡(luò)的安全，尤其是可用性將得到極大的保障[6]。在分布式環(huán)境下，信任管理作為底層的基礎(chǔ)服務(wù)，起著重要的作用。尤其是MANET這樣的高度分布、開放的無線信道環(huán)境，如果缺乏合理有效的信任約束，很容易由于節(jié)點(diǎn)自私、惡意洪泛、拒絕服務(wù)攻擊等行為嚴(yán)重影響系統(tǒng)的可用性。此外信任關(guān)系可以分為身份信任與行為信任[7]。傳統(tǒng)的安全機(jī)制在中心對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)身份信任的基礎(chǔ)之上建立全局的節(jié)點(diǎn)行為信任，而對(duì)于無中心、動(dòng)態(tài)、對(duì)等的MANET來說，無法建立中心身份信任機(jī)制，必須引入合適的信任模型并在網(wǎng)絡(luò)節(jié)點(diǎn)間建立全新的行為信任關(guān)系，從而保證網(wǎng)絡(luò)的可用性。

本文第2節(jié)簡(jiǎn)述國內(nèi)外相關(guān)研究，第3節(jié)給出基于可用性的信任度量模型（ABTEM, availability based trust evaluation model），第4節(jié)結(jié)合路由協(xié)議提出ABTEM的應(yīng)用，第5節(jié)給出模擬實(shí)驗(yàn)方案及實(shí)驗(yàn)結(jié)果分析，第6節(jié)是結(jié)束語。

2 相關(guān)研究

目前，國內(nèi)外提出了許多針對(duì)MANET的安全機(jī)制，按照安全機(jī)制的部署方式可以分為2大類：預(yù)配置的安全機(jī)制與自組織的安全機(jī)制。

預(yù)配置的安全機(jī)制中最典型的代表就是分布式證書中心（DCA, distribute certificate authority）[2]。DCA的核心思想就是將傳統(tǒng)有線網(wǎng)絡(luò)中可信證書中心的功能全部或者部分地分配到多個(gè)網(wǎng)絡(luò)中的預(yù)先配置的節(jié)點(diǎn)上去，然后由這些節(jié)點(diǎn)為網(wǎng)絡(luò)中的用戶提供安全服務(wù)，也就是說把傳統(tǒng)對(duì)一個(gè)中心的權(quán)威信任分配到多個(gè)預(yù)先配置的節(jié)點(diǎn)上。目前針對(duì)MANET環(huán)境的 DCA方案大多數(shù)基于門限技術(shù)并在傳統(tǒng)DCA上進(jìn)行改進(jìn)。DCA的優(yōu)點(diǎn)就是在傳統(tǒng)權(quán)威信任的基礎(chǔ)上改進(jìn)，很多傳統(tǒng)的安全機(jī)制在DCA的基礎(chǔ)上可以重新應(yīng)用于MANET，但該方案還存在不足，首先網(wǎng)絡(luò)中充當(dāng) DCA的節(jié)點(diǎn)需要事先配置，很難滿足MANET動(dòng)態(tài)性和臨時(shí)組網(wǎng)的要求，同時(shí)也正是因?yàn)樾枰A(yù)先部署，DCA目前針對(duì)MANET的網(wǎng)絡(luò)分割還沒有很有效的解決方案，會(huì)出現(xiàn)CA不完備情況，無法保證MANET網(wǎng)絡(luò)的可用性；其次，對(duì)于資源受限的MANET環(huán)境來說，基于門限的分布式認(rèn)證方案給網(wǎng)絡(luò)通信造成過大開銷，也影響了網(wǎng)絡(luò)的可用性。

自組織的安全機(jī)制是針對(duì)MANET自主建網(wǎng)的特性所提出的一類安全機(jī)制，可以說它更加適合MANET環(huán)境。目前主要有基于傳統(tǒng)PKI機(jī)制的證書鏈（CC, certificate chain）方案[3]及基于網(wǎng)絡(luò)中節(jié)點(diǎn)信任關(guān)系的信任模型安全方案。

CC是針對(duì)DCA需要預(yù)先配置的不足之處而提出的安全機(jī)制，它的主要思想是通過證書鏈的傳遞來建立網(wǎng)絡(luò)的信任關(guān)系。CC基于公鑰加密技術(shù)，每個(gè)節(jié)點(diǎn)各自生成自己的公私密鑰對(duì)，并在網(wǎng)絡(luò)運(yùn)行過程中，不斷地為自己所信任的節(jié)點(diǎn)簽發(fā)證書。每個(gè)節(jié)點(diǎn)保留自己獲得的證書，通過證書可以建立該節(jié)點(diǎn)與多個(gè)節(jié)點(diǎn)的信任關(guān)系圖，即證書圖。當(dāng) 2個(gè)節(jié)點(diǎn)需要建立可信連接的時(shí)候，就合并證書圖，然后在證書圖上找到相關(guān)路徑。CC的優(yōu)點(diǎn)是可以自組織地建立網(wǎng)絡(luò)中的信任關(guān)系，不需要集中或者分布式的可信中心。但其缺點(diǎn)也很明顯：首先是效率問題，當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)較多時(shí)，每個(gè)節(jié)點(diǎn)需要維護(hù)巨大的證書圖，并且還要不斷的公鑰操作，這就意味著 CC無法應(yīng)對(duì)大規(guī)模的網(wǎng)絡(luò)應(yīng)用；其次，CC證書的交換是基于近距離接觸的信任關(guān)系建立的，即2個(gè)節(jié)點(diǎn)的證書交換通過額外的可信信道，如紅外線等，并建立在證書交換雙方的近距離接觸基礎(chǔ)上。但是在MANET網(wǎng)絡(luò)中，大部分節(jié)點(diǎn)都是陌生的，節(jié)點(diǎn)間的信任關(guān)系是不能簡(jiǎn)單地建立在近距離的接觸基礎(chǔ)之上。

基于信任模型的安全方案是在DCA與CC效率問題及CC的網(wǎng)絡(luò)信任關(guān)系的基礎(chǔ)上提出的一個(gè)新的安全方案，目前較為典型有分布式信任模型[8]、基于經(jīng)驗(yàn)和概率統(tǒng)計(jì)的信任模型[9]、主觀邏輯建模[10,11]與矢量信任模型[12]等。

分布式信任模型是Abdul-Rahman等人從信任的基本概念出發(fā)，針對(duì)開放網(wǎng)絡(luò)環(huán)境提出的一種信任模型。該模型最大的貢獻(xiàn)就是首次明確將信任關(guān)系分為直接信任和推薦信任，這種信任關(guān)系的分類被廣泛接受。此外，該模型采用了一系列離散值對(duì)信任關(guān)系進(jìn)行度量，并給出了信任度的傳遞方法。但是沒有給出信任的綜合計(jì)算方法。

基于經(jīng)驗(yàn)和概率統(tǒng)計(jì)的信任模型是 Beth等人提出的，該模型引入經(jīng)驗(yàn)的概念來表述和度量信任關(guān)系，并利用概率統(tǒng)計(jì)的方法給出了信任的傳遞和綜合計(jì)算公式，但是缺乏對(duì)信任主觀性的考慮。

主觀邏輯建模是 J?sang等人提出的利用主觀邏輯建立信任模型，通過引入事實(shí)空間和觀念空間的概念來描述和度量信任關(guān)系，它包含了對(duì)某件事情發(fā)生的不確定性判斷，并提供一套主觀邏輯算子用于信任度的推導(dǎo)和綜合計(jì)算。目前很多網(wǎng)絡(luò)的信任模型的研究都是基于主觀邏輯建模的，但主觀邏輯建模主要用于電子商務(wù)領(lǐng)域。

矢量信任模型是由 Indrajit等人提出的利用矢量來描述信任關(guān)系的模型，它強(qiáng)調(diào)信任必須存在于特定的上下文當(dāng)中。這個(gè)模型主要依賴于3個(gè)參數(shù)：經(jīng)驗(yàn)（experience）、知識(shí)（knowledge）和推薦（recommendation），基于這3個(gè)參數(shù)，就可以得到信任的向量化表示。與主觀邏輯建模相比，矢量信任模型更適合于MANET環(huán)境，但其對(duì)MANET可用性考慮不足。

3 可用性信任模型（ABTEM）

3.1 MANET可用性分析

在無線、無中心、動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境下，MANET應(yīng)對(duì)傳統(tǒng)無線攻擊的同時(shí)還要面對(duì)許多新的攻擊類型。目前，針對(duì)MANET的攻擊可以按照對(duì)安全性破壞的側(cè)重點(diǎn)不同分為以下3類：針對(duì)保密性的攻擊、針對(duì)完整性的攻擊和針對(duì)可用性的攻擊?，F(xiàn)有的MANET安全機(jī)制研究大都關(guān)注網(wǎng)絡(luò)安全的保密性和完整性，如分布式的密鑰管理機(jī)制等。但是，對(duì)MANET最容易實(shí)現(xiàn)同時(shí)又是破壞最大的攻擊均屬于針對(duì)可用性的攻擊，例如，在黑洞攻擊中，攻擊者既不需要設(shè)計(jì)任何復(fù)雜的協(xié)議，也不需要增加任何強(qiáng)大的計(jì)算能力，只需要完全或者有選擇地不轉(zhuǎn)發(fā)數(shù)據(jù)分組就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)路由協(xié)議的破壞，造成分組丟失率大幅增加，導(dǎo)致周圍節(jié)點(diǎn)無法通信。作為一種適用于特殊和臨時(shí)任務(wù)的網(wǎng)絡(luò)，MANET的可用性極為重要。

對(duì)于MANET來說，可用性的第一要素就是協(xié)作，只有網(wǎng)絡(luò)中節(jié)點(diǎn)的共同協(xié)作才能保證網(wǎng)絡(luò)的連通以實(shí)現(xiàn)MANET的可用性。其次，可用性還必須建立在節(jié)點(diǎn)的誠實(shí)性上，在保證參與網(wǎng)絡(luò)節(jié)點(diǎn)的誠實(shí)性并孤立惡意節(jié)點(diǎn)的基礎(chǔ)上才能抵御各種攻擊，保證MANET的正常運(yùn)行。最后，能力也是可用性保障的一大要素，MANET中各種節(jié)點(diǎn)總是存在差異性，實(shí)行能者多勞，不僅可以提高網(wǎng)絡(luò)的效率，還可以減少對(duì)弱勢(shì)節(jié)點(diǎn)的資源消耗，提高網(wǎng)絡(luò)的整體可用性。

3.2 可用性信任模型的建立

基于上述對(duì) MANET可用性的分析，本文將

M?ANET可用性的3大要素：協(xié)作、誠實(shí)、能力，歸納為安全與能力，并建立了基于可用性的信任度量模型（ABTEM, availability based trust evaluation model）。

3.2.1 安全信任 TS(τ)建立和計(jì)算

定義1安全信任。MANET中的安全信任是節(jié)點(diǎn)i指對(duì)另一節(jié)點(diǎn)j能及時(shí)響應(yīng)請(qǐng)求，及時(shí)正確應(yīng)答，及時(shí)傳送與轉(zhuǎn)發(fā)數(shù)據(jù)分組的信任。

用 TiSj來表示節(jié)點(diǎn)i指對(duì)另一節(jié)點(diǎn) j安全信任，即

其中， R0=[0,1]，τ是連續(xù)時(shí)間的間隔，即τ=Δt。

安全信任評(píng)估的主要目標(biāo)是提供用以判定節(jié)點(diǎn)是否可信的可靠信息，鼓勵(lì)節(jié)點(diǎn)的協(xié)作行為，排斥不良節(jié)點(diǎn)，獲取機(jī)制所保護(hù)的合作服務(wù)，包括節(jié)點(diǎn)一直遵守網(wǎng)絡(luò)行為的合法行為；網(wǎng)絡(luò)中惡意行為和網(wǎng)絡(luò)中預(yù)測(cè)評(píng)估惡意行為等方面的內(nèi)容。節(jié)點(diǎn)的網(wǎng)絡(luò)安全行為信任是指及時(shí)響應(yīng)請(qǐng)求、及時(shí)正確應(yīng)答、及時(shí)傳送與轉(zhuǎn)發(fā)數(shù)據(jù)分組。在對(duì)節(jié)點(diǎn)進(jìn)行考察后，根據(jù)人類行為學(xué)，這時(shí)往往還會(huì)有對(duì)目標(biāo)節(jié)點(diǎn)的初步判斷，因此本文認(rèn)為對(duì)一個(gè)節(jié)點(diǎn)的安全信任應(yīng)包含3個(gè)方面的內(nèi)容：安全行為信任、負(fù)面信任和經(jīng)驗(yàn)評(píng)估。

定義 2安全行為信任。安全行為信任是指某節(jié)點(diǎn)對(duì)目標(biāo)節(jié)點(diǎn)一直遵守網(wǎng)絡(luò)行為的信任。

用 TiCj來表示安全行為信任，即

由于網(wǎng)絡(luò)中所有數(shù)據(jù)都是以數(shù)據(jù)分組的形式轉(zhuǎn)發(fā)，因此判定某節(jié)點(diǎn)的信任可通過此節(jié)點(diǎn)的數(shù)據(jù)分組的正確傳送、轉(zhuǎn)發(fā)和及時(shí)響應(yīng)來度量，TiCj可以采用以下公式：

其中，α(τ)為系數(shù)，nτ為一定時(shí)間τ內(nèi)正確轉(zhuǎn)發(fā)數(shù)據(jù)分組的數(shù)量，Nτ為τ時(shí)間內(nèi)總轉(zhuǎn)發(fā)的數(shù)據(jù)分組。α(τ )定義為

其中，α表示根據(jù)經(jīng)驗(yàn)確定的常數(shù)。

定義 3 負(fù)面信任。負(fù)面信任是由于網(wǎng)絡(luò)中惡意節(jié)點(diǎn)的惡意行為而導(dǎo)致產(chǎn)生的負(fù)面評(píng)判。

用 TiMj來表示負(fù)面信任，即

由于 TiMj是確定網(wǎng)絡(luò)中負(fù)面的信任值計(jì)算公式，同樣由于網(wǎng)絡(luò)中所有數(shù)據(jù)都是以數(shù)據(jù)分組的形式轉(zhuǎn)發(fā)，因此判定某節(jié)點(diǎn)的信任可通過此節(jié)點(diǎn)的數(shù)據(jù)分組的不能正確傳送、不能正確轉(zhuǎn)發(fā)和不及時(shí)響應(yīng)來度量， TiMj的計(jì)算公式如下：

其中， TiCj(τ)和 TiMj(τ)是根據(jù)網(wǎng)絡(luò)中的實(shí)際數(shù)據(jù)分組的轉(zhuǎn)發(fā)次數(shù)來度量的，而在實(shí)際網(wǎng)絡(luò)和社會(huì)生活中，還有根據(jù)人的經(jīng)驗(yàn)和能力而得到的推測(cè)和預(yù)測(cè)值，因此應(yīng)考慮的另外一個(gè)方面是對(duì)行為的評(píng)估。

定義 4經(jīng)驗(yàn)信任。經(jīng)驗(yàn)信任是指對(duì)網(wǎng)絡(luò)中的某信任節(jié)點(diǎn)的經(jīng)驗(yàn)和經(jīng)歷而產(chǎn)生的信任。

用 TiIj來表示經(jīng)驗(yàn)信任，即

由于經(jīng)驗(yàn)信任是根據(jù)安全行為信任和負(fù)面信任而產(chǎn)生的信任，且根據(jù)兩者的變化而變化，而 TiIj由 TiCj(τ)和 TiMj(τ)得到，建立 TiIj的關(guān)系式如下：

則安全信任 TiSj可以形式化為

依據(jù)上述分析，本文提出如下的安全信任TiSj(τ)預(yù)測(cè)評(píng)估的公式：

3.2.2 能力信任 TiAj建立和計(jì)算

定義5能力信任。能力信任主要是指某節(jié)點(diǎn)具有參與網(wǎng)絡(luò)協(xié)作的多大程度能力而產(chǎn)生的信任。

能力信任可以分為網(wǎng)絡(luò)協(xié)作（轉(zhuǎn)發(fā)數(shù)據(jù)分組）、節(jié)點(diǎn)單機(jī)效率兩類能力。用 TiAj來表示能力信任，即

定義6網(wǎng)絡(luò)協(xié)作信任。MANET的活動(dòng)時(shí)間內(nèi)某節(jié)點(diǎn)對(duì)另外一節(jié)點(diǎn)參與數(shù)據(jù)分組轉(zhuǎn)發(fā)的協(xié)作能力而產(chǎn)生的信任。

用 TiOj來表示網(wǎng)絡(luò)協(xié)作信任，即

網(wǎng)絡(luò)協(xié)作部分的信任以參與時(shí)間為量化指標(biāo)，采用如下的計(jì)算式：

其中，δ是系數(shù)，τ是網(wǎng)絡(luò)的運(yùn)行時(shí)間間隔，tΔ是在τ時(shí)間內(nèi)節(jié)點(diǎn)參與網(wǎng)絡(luò)協(xié)作的時(shí)間。

定義 7單機(jī)能力信任。單機(jī)能力信任是指某節(jié)點(diǎn)對(duì)另外一節(jié)點(diǎn)單機(jī)效率信任值。

用 TiEj來表示單機(jī)能力信任，

轉(zhuǎn)發(fā)數(shù)據(jù)分組的能力是一個(gè)節(jié)點(diǎn)單機(jī)能力的重要指標(biāo)，所以 TiEj采用如下的計(jì)算式：

其中，φ是系數(shù)，ntΔ是指單位時(shí)間內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)分組的數(shù)量； NM是指節(jié)點(diǎn)所能轉(zhuǎn)發(fā)數(shù)據(jù)分組數(shù)量的理論最大值。則網(wǎng)絡(luò)協(xié)作信任 TiOj可以形式化為

則由式(5)和式(6)可得到對(duì)節(jié)點(diǎn)的能力信任組合公式：

其中，1v和2v滿足：

3.3 ABTEM

3.3.1 模型假設(shè)

① 節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j的信任值jiT 是時(shí)間間隔τ的連續(xù)函數(shù)；

② 節(jié)點(diǎn)i對(duì)節(jié)點(diǎn) j的信任值jiT 是安全信任和能力信任的線性組合函數(shù)；

③ 節(jié)點(diǎn)i對(duì)節(jié)點(diǎn) j的信任值jiT 的變化率是影響下一個(gè)時(shí)間間隔的重要影響因子。

3.3.2 信任模型綜合計(jì)算

2) 根據(jù)模型分析②，節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j的信任值計(jì)算公式為

其中， TiSj(τ)是安全信任預(yù)測(cè)評(píng)估值， TiAj能力信任評(píng)估值，ε是系數(shù)。

3) 根據(jù)模型分析③，設(shè)其信任值的變化率為

則信任值的預(yù)測(cè)、評(píng)估迭代公式為

這樣就建立了節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j信任值的計(jì)算。

4 模型應(yīng)用及其分析

4.1 應(yīng)用架構(gòu)

信任模型的應(yīng)用架構(gòu)如圖1所示。在通過提取可用性信任值，可以為MANET 的信任管理提供有效的定量支持，并可在此基礎(chǔ)上進(jìn)一步提供訪問控制和可用性安全路由等高層安全服務(wù)。

圖1 信任模型應(yīng)用架構(gòu)

為了更好地說明模型的實(shí)際效果，本文將ABTEM 應(yīng)用于 DSR路由協(xié)議[13]，提出 ATDSR（availability trust DSR）通過對(duì)節(jié)點(diǎn)的信任評(píng)估來指導(dǎo)節(jié)點(diǎn)的路由選擇。

4.2 DSR路由協(xié)議

動(dòng)態(tài)源路由（DSR, dynamic source routing）協(xié)議是基于源路由方式的按需路由協(xié)議，是目前MANET較為常用的路由協(xié)議之一。DSR協(xié)議有2個(gè)主要的機(jī)制協(xié)同運(yùn)行以發(fā)現(xiàn)和維護(hù)網(wǎng)絡(luò)中的源節(jié)點(diǎn)路由。路由發(fā)現(xiàn)機(jī)制：若一個(gè)節(jié)點(diǎn)S希望向節(jié)點(diǎn)D發(fā)送一個(gè)數(shù)據(jù)分組，則它需要獲得一條通向D的路由，此時(shí)需要使用路由發(fā)現(xiàn)。路由發(fā)現(xiàn)只存在于S試圖發(fā)送數(shù)據(jù)分組但還未曾獲得通向D的路由。路由維護(hù)機(jī)制：若一個(gè)節(jié)點(diǎn)S可以通過源路由到達(dá)D，但如果路由中的一個(gè)連接無法工作使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化導(dǎo)致S通向D的路由失效時(shí)，需要使用路由維護(hù)。當(dāng)路由維護(hù)發(fā)現(xiàn)一個(gè)源節(jié)點(diǎn)丟失，S可以嘗試使用其他通向D的路由，或者它可以再次觸發(fā)路由發(fā)現(xiàn)以便為其后的數(shù)據(jù)分組找到新的通向D的路由。

在 DSR中，路由發(fā)現(xiàn)和路由維護(hù)的工作都是“按需”的。特別地，DSR不需要網(wǎng)絡(luò)中的任何一層中存在任何類型的周期性數(shù)據(jù)分組。例如，DSR不需要使用任何周期性的路由廣播、路由狀態(tài)監(jiān)控或者鄰居數(shù)據(jù)分組探測(cè)，而且不依賴網(wǎng)絡(luò)底層其他協(xié)議提供的功能。當(dāng)所有節(jié)點(diǎn)相對(duì)其他節(jié)點(diǎn)來講，都近似靜止并且當(dāng)前所需要的路由都已經(jīng)發(fā)現(xiàn)時(shí)，這種完全的按需行為和無周期數(shù)據(jù)存在使得由DSR產(chǎn)生的冗余數(shù)據(jù)分組的規(guī)模降為零。隨著節(jié)點(diǎn)開始移動(dòng)或者通信模式的改變，DSR產(chǎn)生的冗余數(shù)據(jù)分組規(guī)模也僅限于追蹤當(dāng)前使用的路由。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化對(duì)當(dāng)前正在使用的路由沒有任何影響故可忽略，這種變化也不需要路由協(xié)議做出反應(yīng)。

4.3 信任計(jì)算

根據(jù)式（4）得到安全信任值的計(jì)算，根據(jù)式（7）可計(jì)算每個(gè)節(jié)點(diǎn)的能力信任值，由式（10）可知，每個(gè)節(jié)點(diǎn)都可以計(jì)算出其他節(jié)點(diǎn)的綜合信任度。

在式（3）中，由于存在微分方程，因此必須將其離散化，其離散后的公式為

在模型的實(shí)際使用過程中，其對(duì)一個(gè)節(jié)點(diǎn)的信任預(yù)測(cè)值不可避免地會(huì)遇到誤差，為了保證模型和算法的可用性，用EΔ表示信任值的偏移，即定義為

其中，Tij(τ+1)表示信任預(yù)測(cè)值， TR表示真實(shí)值。定義可接受的門限制誤差值為ε≥0，則若ΔE≤ε，表示算法和模型可以接受，反之只要調(diào)整模型的相關(guān)參數(shù)。

4.4 路由選擇

在源節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的綜合信任度計(jì)算的基礎(chǔ)上，將模型應(yīng)用到DSR路由協(xié)議的路由發(fā)現(xiàn)環(huán)節(jié)，源節(jié)點(diǎn)發(fā)起路由請(qǐng)求并獲得相應(yīng)到達(dá)目的節(jié)點(diǎn)的路徑后，疊加該路徑上所有節(jié)點(diǎn)的綜合信任度，記為T，然后定義路徑信任度，n為該路徑上節(jié)點(diǎn)的數(shù)量。源節(jié)點(diǎn)選擇 TR最高的路徑用來發(fā)送數(shù)據(jù)。

4.5 可用性保障

上述路由協(xié)議建立在對(duì)節(jié)點(diǎn)的安全信任與能力信任基礎(chǔ)之上，通過信任值的激勵(lì)作用，鼓勵(lì)協(xié)作的、誠實(shí)的、有能力的節(jié)點(diǎn)共同維護(hù)網(wǎng)絡(luò)的可用性，同時(shí)孤立惡意節(jié)點(diǎn)，使之無法參與進(jìn)入網(wǎng)絡(luò)，無法對(duì)可用性造成破壞。

5 仿真實(shí)驗(yàn)

5.1 實(shí)驗(yàn)方法

本文在 NS2網(wǎng)絡(luò)模擬器[14]上對(duì)方案進(jìn)行了初步實(shí)現(xiàn)。實(shí)驗(yàn)中使用NS2模擬無線MANET中的黑洞攻擊及其解決方案，在這個(gè)模擬環(huán)境下，每一個(gè)無線設(shè)備節(jié)點(diǎn)都被抽象成為一個(gè)具有獨(dú)立行為的實(shí)例對(duì)象，節(jié)點(diǎn)之間使用給定的網(wǎng)絡(luò)協(xié)議進(jìn)行通信。當(dāng)一個(gè)節(jié)點(diǎn)按照標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議與其他節(jié)點(diǎn)通信時(shí)，它就是一個(gè)正常的網(wǎng)絡(luò)節(jié)點(diǎn)，而當(dāng)某個(gè)節(jié)點(diǎn)被賦予了特定的行為規(guī)則的時(shí)候，它可能會(huì)對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境造成某些不利的影響，例如惡意行為或攻擊等。在NS2平臺(tái)上模擬MANET黑洞攻擊就是首先建立一系列使用ad hoc協(xié)議互相通信的正常無線節(jié)點(diǎn)，而當(dāng)黑洞節(jié)點(diǎn)進(jìn)入的時(shí)候，黑洞節(jié)點(diǎn)會(huì)利用標(biāo)準(zhǔn)無線路由協(xié)議中默認(rèn)的彼此信任關(guān)系，來對(duì)周圍的節(jié)點(diǎn)實(shí)施路由欺騙，并丟棄所有經(jīng)過自己的網(wǎng)絡(luò)數(shù)據(jù)分組，從而形成無線網(wǎng)絡(luò)上的一個(gè)數(shù)據(jù)黑洞。利用NS2平臺(tái)所提供的過程追蹤文件，可以記錄整個(gè)模擬過程中每一個(gè)節(jié)點(diǎn)上的所有網(wǎng)絡(luò)活動(dòng)，通過這些信息，可以分析出網(wǎng)絡(luò)在不同情況下的各方面狀態(tài)，從而為實(shí)驗(yàn)分析提供了充分的數(shù)據(jù)。NS2提供了隨機(jī)移動(dòng)模型，它可以生成模擬真實(shí)環(huán)境下的移動(dòng)節(jié)點(diǎn)的場(chǎng)景。首先使用這一模型來定義仿真的環(huán)境信息，這里指定一個(gè)長(zhǎng)寬各670m的矩形區(qū)域，在上面隨機(jī)放置50個(gè)節(jié)點(diǎn)，在一段時(shí)間過后，節(jié)點(diǎn)會(huì)陸續(xù)以不超過20m/s的速度向隨機(jī)的方向移動(dòng)，以模仿真實(shí)應(yīng)用中的人或交通工具的移動(dòng)。在這 50個(gè)節(jié)點(diǎn)之中，有若干個(gè)黑洞節(jié)點(diǎn)，實(shí)驗(yàn)中會(huì)根據(jù)無線網(wǎng)絡(luò)當(dāng)中的黑洞節(jié)點(diǎn)數(shù)目不同時(shí)的網(wǎng)絡(luò)狀況來評(píng)估黑洞攻擊對(duì)整個(gè)網(wǎng)絡(luò)可用性所產(chǎn)生的破壞程度，其中一些使用到的對(duì)網(wǎng)絡(luò)可用性的評(píng)價(jià)指標(biāo)包括網(wǎng)絡(luò)數(shù)據(jù)分組的成功接收率及無線分組交換中從源節(jié)點(diǎn)到達(dá)目的節(jié)點(diǎn)的平均跳數(shù)等。最后，向標(biāo)準(zhǔn)的 DSR協(xié)議中加入了本文提出的信任機(jī)制之后，再重新評(píng)估有黑洞攻擊情況下的網(wǎng)絡(luò)可用性，與先前沒有加入信任機(jī)制的情況進(jìn)行比較，從而評(píng)估出所加入的信任機(jī)制的有效性。

5.2 實(shí)驗(yàn)結(jié)果及分析

分組丟失率的實(shí)驗(yàn)結(jié)果如圖 2所示，可以看出，純DSR協(xié)議在網(wǎng)絡(luò)節(jié)點(diǎn)增加的情況，分組丟失率上升非常快，在無惡意節(jié)點(diǎn)的情況，分組丟失率僅僅9%左右，但當(dāng)網(wǎng)絡(luò)中存在5個(gè)惡意節(jié)點(diǎn)時(shí)，分組丟失率就達(dá)到了 57%。而在相同情況下，包含了信任機(jī)制的DSR表現(xiàn)較為良好，分組丟失率從無惡意節(jié)點(diǎn)的情況的9%變?yōu)榇嬖?個(gè)惡意節(jié)點(diǎn)情況的 17%。這說明了基于 ABTEM的信任機(jī)制在路由層能夠成功地根據(jù)其惡意行為發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)，并且進(jìn)一步孤立這些惡意節(jié)點(diǎn)，從而避免網(wǎng)絡(luò)繼續(xù)收到惡意節(jié)點(diǎn)的侵害，保證了網(wǎng)絡(luò)的可用性。

圖2 ATDSR與DSR分組丟失率對(duì)比

平均跳數(shù)的實(shí)驗(yàn)結(jié)果如圖3所示。無線網(wǎng)絡(luò)中的跳數(shù)是指數(shù)據(jù)分組從源節(jié)點(diǎn)發(fā)出，直到目的節(jié)點(diǎn)時(shí)，所經(jīng)過的節(jié)點(diǎn)數(shù)目。把無線網(wǎng)絡(luò)中的跳數(shù)取平均，可以用來評(píng)價(jià)網(wǎng)絡(luò)的規(guī)模和使用效率。從MANET黑洞實(shí)驗(yàn)的結(jié)果可以看出，在沒有加入信任機(jī)制的時(shí)候，隨著黑洞節(jié)點(diǎn)的增加，平均跳數(shù)波動(dòng)很大，此時(shí)惡意節(jié)點(diǎn)的存在對(duì)網(wǎng)絡(luò)的性能影響較大，而與之對(duì)應(yīng)地加入了信任機(jī)制之后，可以看出在增加黑洞節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)性能不會(huì)產(chǎn)生大的波動(dòng)，這說明了信任機(jī)制的引入在很大程度上穩(wěn)定了整個(gè)網(wǎng)絡(luò)的路由性能。

圖3 ATDSR與DSR平均跳數(shù)的對(duì)比

6 結(jié)束語

本文針對(duì)MANET當(dāng)前安全機(jī)制研究側(cè)重于機(jī)密性和完整性而忽略可用性的問題，提出基于可用性的信任度量模型 ABTEM，在此基礎(chǔ)上可構(gòu)建多種針對(duì)可用性的安全服務(wù)。實(shí)驗(yàn)結(jié)果顯示，將ABTEM 應(yīng)用于 DSR路由協(xié)議時(shí)，可以顯著提高M(jìn)ANET系統(tǒng)的可用性。

[1] DJENOURI D, KHELLADI L, BADACHE A N. A survey of security issues in mobile ad hoc and sensor networks[J]. IEEE Communications Surveys & Tutorials, 2005, 7(4)∶2-28.

[2] ZHOU L D, ZYGMUNT J H. Securing ad hoc networks[J]. IEEE Network, 1999, 13(6)∶24-30.

[3] CAPKUN S, BUTTYAN L, HUBAUX J P. Self-organized public-key management for mobile ad hoc networks[J]. IEEE Transactions on Mobile Computing, 2003, 2(1)∶52-64.

[4] YI S, KRAVETS R. MOCA∶ mobile certificate authority for wireless ad hoc networks[A]. The 2nd Annual PKI Research Workshop (PKI 03)[C]. USA, 2003.65-79.

[5] PIRZADA A A, MCDONALD C. Establishing trust in pure ad hoc networks[A]. Proceedings of the 27th Australasian Conference on Computer Science[C]. Australia, 2004.47-54.

[6] ESCHENAUER L, GLIGOR V D, BARAS J. On trust establishment in mobile ad-hoc networks[J]. Security Protocols, 2004, 2845∶47-62.

[7] AZZEDIN F, MAHESWARAN M. Evolving and managing trust in grid computing systems[A]. IEEE Ccec 2002∶ Canadian Conference on Electrcial and Computer Engineering, Vols 1-3, Conference Proceedings[C]. Canadian, 2002.1424-1429.

[8] ABDUL-RAHMAN A, HAILES S. A distributed trust model[A]. Proc of the 1997 New Security Paradigms Workshop[C]. New York, 1998.48-60.

[9] BETH T, BORCHERDING M, KLEIN B. Valuation of trust in open network[A]. Proc of the European Symp on Research in Security[C].Berlin, 1994.3-18.

[10] J?SANG A. A subjective metric of authentication[A]. Computer Security-Esorics 98[C]. 1998. 329-344.

[11] J?SANG A, ISMAIL R, BOYD C. A survey of trust and reputation systems for online service provision[J]. Decision Support Systems,2007, 43(2)∶618-644.

[12] RAY I, CHAKRABORTY S. A vector model of trust for developing trustworthy systems[A]. Computer Security Esorics 2004[C].2004.260-275.

[13] DSR[EB/OL]. htttp∶//www.ietf.org.

[14] ns [EB/OL]. http∶//www.isi.edu/nsnam/ns.