倪 妍

（同濟(jì)大學(xué)電子與信息工程學(xué)院，上海，200000）

0 引言

由于車載網(wǎng)絡(luò)（VANET，Vehicular Ad hoc Networks）具有高度動(dòng)態(tài)和開放的特性，因此對(duì)網(wǎng)絡(luò)的安全、隱私、可信度的實(shí)現(xiàn)提出了挑戰(zhàn)。目前VANET系統(tǒng)中的相關(guān)安全技術(shù)研究進(jìn)展，包括安全硬件設(shè)備、數(shù)字簽名技術(shù)、身份認(rèn)證與隱私保護(hù)、數(shù)據(jù)驗(yàn)證等幾個(gè)問題[1]。信任管理機(jī)制是針對(duì)VANET安全應(yīng)用的重要方法，在信任管理中信任被定義為一個(gè)實(shí)體對(duì)另外一個(gè)實(shí)體基于歷史交互經(jīng)驗(yàn)而得出的對(duì)該節(jié)點(diǎn)關(guān)于未來的一個(gè)主觀期望[2]。信任管理的意義在于提供了一個(gè)適合開放式應(yīng)用系統(tǒng)開放、分布和動(dòng)態(tài)特性的安全決策框架[3]。信任管理模型一般基于節(jié)點(diǎn)間過去交互的經(jīng)驗(yàn)以及其他節(jié)點(diǎn)的評(píng)價(jià)來進(jìn)行行為的判斷。目前，多數(shù)基于移動(dòng)自組網(wǎng)絡(luò)（MANET，Mobile Ad-hoc NETworks）的信任管理機(jī)制包括基于實(shí)體化的信任模型，面向數(shù)據(jù)的信任模型，以及綜合的信任模型等，實(shí)體化的信任模型關(guān)注節(jié)點(diǎn)信任度的建模[4]。MANET是一種點(diǎn)對(duì)點(diǎn)的自創(chuàng)建、自組織、自管理的臨時(shí)性自治系統(tǒng)[5], 而VANET中的信任管理比過去的MANET信任管理顯得更為復(fù)雜，原因如下[6]：

1）由于VANET高度動(dòng)態(tài)開放的特性，使得節(jié)點(diǎn)之間建立信任關(guān)系的接觸時(shí)間很短。

2）行為不良的節(jié)點(diǎn)，并不一定都是惡意節(jié)點(diǎn)，有時(shí)候比較可信的節(jié)點(diǎn)會(huì)由于自私的原因而行為不良。節(jié)點(diǎn)發(fā)送正確或錯(cuò)誤信息取決于實(shí)際環(huán)境，所以不能總是將節(jié)點(diǎn)標(biāo)記為“可信”或者“不可信”。

3）MANET中的信任管理機(jī)制依賴于投票決定。而在 VANET中，由于持續(xù)改變的網(wǎng)絡(luò)拓?fù)洌袝r(shí)候投票節(jié)點(diǎn)數(shù)低于閾值。

在實(shí)際的VANET應(yīng)用中，多個(gè)車輛間會(huì)聯(lián)合進(jìn)行惡意推薦和評(píng)價(jià)，以達(dá)到提高自身信用值或者降低其他良性節(jié)點(diǎn)信任值，這種具有惡意目的聯(lián)合推薦和評(píng)價(jià)會(huì)嚴(yán)重?cái)_亂 VANET中的信任關(guān)系，影響VANET網(wǎng)絡(luò)中正常的信息發(fā)送和傳遞。

針對(duì)以上問題，引入角色和事件信任等級(jí)機(jī)制的概念，提出一種基于事件和角色等級(jí)評(píng)價(jià)的信任模型。其核心是根據(jù)不同的信任等級(jí)分配給節(jié)點(diǎn)不同的評(píng)價(jià)權(quán)重，并給予事件不同的等級(jí)權(quán)重，同時(shí)考慮信息的實(shí)效機(jī)制，建立一個(gè)綜合的信任評(píng)價(jià)機(jī)制。

1 基于角色和事件等級(jí)評(píng)價(jià)的信任模型

1.1 系統(tǒng)模型假設(shè)

在實(shí)際的 VANET環(huán)境中，很難保證所有可信節(jié)點(diǎn)的行為都一直可信。行為不良的節(jié)點(diǎn)，并非都是惡意節(jié)點(diǎn)，有時(shí)候比較可信的節(jié)點(diǎn)會(huì)由于自私的原因而行為不良。在本文中，完全模擬現(xiàn)實(shí)環(huán)境中所有節(jié)點(diǎn)的真實(shí)行為難度很大，因此基于的假設(shè)與條件如下：

1）網(wǎng)絡(luò)中的大多數(shù)節(jié)點(diǎn)為普通節(jié)點(diǎn)。

2）普通節(jié)點(diǎn)行為中存在惡意行為的概率很低。3）網(wǎng)絡(luò)中只有小部分節(jié)點(diǎn)是惡意節(jié)點(diǎn)。

4）對(duì)于節(jié)點(diǎn)給出的意見，被評(píng)價(jià)節(jié)點(diǎn)具有不可否認(rèn)性，通過對(duì)數(shù)據(jù)添加帶有加密算法的簽名，在之后追溯某節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)意見時(shí)可以追蹤歷史情況，防止惡意節(jié)點(diǎn)篡改歷史記錄。

5）判定節(jié)點(diǎn)可信度的門限設(shè)定。通過實(shí)驗(yàn)中設(shè)置不同參數(shù)值，找到一個(gè)合理的門限值，經(jīng)過計(jì)算后得到的信任值，如高于門限值，則認(rèn)定為可信，否則丟棄該節(jié)點(diǎn)發(fā)送的信息。

1.2 信任等級(jí)模型

1.2.1 節(jié)點(diǎn)的信任等級(jí)劃分

以往的方法，基于角色的信任方法可以從在一定程度上從不可信的節(jié)點(diǎn)中區(qū)分出可信節(jié)點(diǎn)，且在這些信任模型中，和角色有關(guān)的信任是事先定義的。而本模型在該基礎(chǔ)上引入角色的信任等級(jí)概念，在計(jì)算推薦信任值時(shí)按照評(píng)價(jià)節(jié)點(diǎn)自身所屬信任級(jí)別，給不同信任等級(jí)分配相應(yīng)的權(quán)重。

在本模型中，TVi表示節(jié)點(diǎn) I的信任值，TViε（0，1）。將節(jié)點(diǎn)信任等級(jí)分為五級(jí)，即完全可信節(jié)點(diǎn)（TTN），可信節(jié)點(diǎn)(TN)、一般可信節(jié)點(diǎn)(CTN)、不可信節(jié)點(diǎn)(NTN)和惡意節(jié)點(diǎn)(MN)，如表1所示。設(shè)定每個(gè)車輛節(jié)點(diǎn)在出廠時(shí)都會(huì)被制造商以及相關(guān)認(rèn)證機(jī)關(guān)（CA）進(jìn)行認(rèn)證和角色分配，給予一個(gè)初始的信任值。如警車、救護(hù)車等重要公共節(jié)點(diǎn)將分配一個(gè)高信任值，屬于完全可信級(jí)別；公共車等公用設(shè)施節(jié)點(diǎn)屬于比較可信級(jí)別，普通車輛分配一個(gè)初始的一般可信角色，初始信任值為0.5。

當(dāng)節(jié)點(diǎn)加入到VANET網(wǎng)絡(luò)中時(shí)，節(jié)點(diǎn)向RSU發(fā)送申請(qǐng)加入網(wǎng)絡(luò)的請(qǐng)求，通過 CA驗(yàn)證后獲得一個(gè)臨時(shí)的公私鑰和執(zhí)照及最新的信任值，有效期為T，需要節(jié)點(diǎn)定期發(fā)送更新請(qǐng)求，如果超出有效期T，則信任值實(shí)效，節(jié)點(diǎn)無法與其他節(jié)點(diǎn)進(jìn)行交互。設(shè)定閾值η，信任值低于η的節(jié)點(diǎn)被判定為惡意節(jié)點(diǎn)。一旦被判定為惡意，其他節(jié)點(diǎn)拒絕接收該類節(jié)點(diǎn)的發(fā)送的消息，但可以接收來自其他節(jié)點(diǎn)發(fā)送的消息，因而在一定程度上確保了惡意節(jié)點(diǎn)也能正確收到可靠的信息，從而在實(shí)際環(huán)境中達(dá)到規(guī)避危險(xiǎn)情況的目的。

表1 節(jié)點(diǎn)角色等級(jí)表

1.2.2 事件等級(jí)權(quán)重

在實(shí)際環(huán)境中節(jié)點(diǎn)發(fā)送的事件重要程度是不一樣的。一旦惡意節(jié)點(diǎn)對(duì)重要性高的事件進(jìn)行惡意行為，將帶來很大的危害。此外，也會(huì)存在惡意節(jié)點(diǎn)通過對(duì)重要性很低的事件相互轉(zhuǎn)發(fā)并成功評(píng)價(jià)提供良好服務(wù)來積累惡意節(jié)點(diǎn)信譽(yù)，從而達(dá)到在轉(zhuǎn)發(fā)重要程度高的事件或者評(píng)價(jià)其他節(jié)點(diǎn)可信度時(shí)實(shí)行惡意行為。為此定義了事件等級(jí)權(quán)重。設(shè)M表示事件值，如下式所示：

當(dāng)x=U/C/I時(shí)，M(x)=(0.5,1,2)。

其中U表示的是不重要事件（Unimportant），C表示的是普通事件（Common），I表示重要事件（Important）。計(jì)算直接信任值時(shí)，引入事件等級(jí)權(quán)重，提高了重要事件的影響，降低了非重要事件的影響。

1.3 信任評(píng)價(jià)機(jī)制

節(jié)點(diǎn)進(jìn)入 VANET中完成授權(quán)認(rèn)證的過程之后，RC(Receiver)收到發(fā)送節(jié)點(diǎn)RP(Reporter)發(fā)送過來的一個(gè)Beacon包，包中包含了RP需要轉(zhuǎn)發(fā)的信息內(nèi)容以及事件發(fā)生的時(shí)間戳。RC首先查看Beacon包中信息的事件權(quán)重值以及該事件已發(fā)生的時(shí)間間隔。

通過計(jì)算得到事件綜合值，判斷事件是否需要進(jìn)一步轉(zhuǎn)發(fā)。若不需要，則拋棄Beacon包，但不判定節(jié)點(diǎn) RP發(fā)送失敗，只是廣播給鄰居節(jié)點(diǎn)該信息無需接收。若需要進(jìn)一步轉(zhuǎn)發(fā)，請(qǐng)求鄰居節(jié)點(diǎn)提供推薦及直接信任值，最終合并事件信任值計(jì)算得到綜合信任值。此時(shí)先由RC查看和RP的交互歷史，若在系統(tǒng)設(shè)定的有效期T內(nèi)交互成功次數(shù)超過一定閾值F，則RC無需再計(jì)算推薦信任，而直接根據(jù)直接信任值判斷是否轉(zhuǎn)發(fā)信息。

若低于設(shè)定的綜合閾值，說明RC接受RP發(fā)送的信息風(fēng)險(xiǎn)較大。則RC拋棄信息，且判定RP轉(zhuǎn)發(fā)失敗,否則接受。相應(yīng)的結(jié)果廣播給鄰居節(jié)點(diǎn)及RSU，RC本地?cái)?shù)據(jù)庫自動(dòng)更新對(duì)RP的記錄，并將Beacon包更新后轉(zhuǎn)發(fā)給下一條節(jié)點(diǎn)。

節(jié)點(diǎn)在計(jì)算直接信任以及給其他節(jié)點(diǎn)發(fā)送推薦信任的時(shí)候，只考慮有效時(shí)間內(nèi)的交互，設(shè)定距離當(dāng)前時(shí)刻前的T個(gè)時(shí)間段內(nèi)的交易，節(jié)點(diǎn)本地記錄的交互歷史只保存有效期內(nèi)的交互信息，超過T個(gè)時(shí)間段的信息將被刪除。整個(gè)機(jī)制如圖1所示。

圖1 角色信任等級(jí)評(píng)價(jià)流程

1.4 模型算法

1.4.1 事件信任值計(jì)算

信息接收節(jié)點(diǎn)在判斷是否接收信息之前，首先要判斷發(fā)送節(jié)點(diǎn)發(fā)送的信息事件權(quán)重值以及時(shí)間衰減。令Mvt表示事件的信任值，設(shè)定閾值θ，當(dāng)計(jì)算值低于θ時(shí)，丟棄Beacon包。

定義時(shí)間衰減因子為φ(t)，事件綜合信任值Mvt計(jì)算公式如下：

λ為時(shí)間因子，M為1.2.2節(jié)中提到的事件值，△t為事件發(fā)生到此刻轉(zhuǎn)發(fā)的時(shí)間差。λ和 θ根據(jù)VANET不同的環(huán)境進(jìn)行相應(yīng)的調(diào)節(jié)，針對(duì)不同場(chǎng)景的閾值設(shè)定將在文中的仿真階段進(jìn)行仿真實(shí)驗(yàn)。

1.4.2 綜合信任值計(jì)算

本模型對(duì)于不同信任等級(jí)的節(jié)點(diǎn)分配不同的權(quán)重，模擬在實(shí)際社交社會(huì)中，個(gè)體往往更容易相信高權(quán)威的人所說的話。不同級(jí)別的節(jié)點(diǎn)所給出的判斷值所占的權(quán)重不同，L越高的節(jié)點(diǎn)的評(píng)價(jià)對(duì)節(jié)點(diǎn)的信任度影響更大。由于評(píng)價(jià)很大程度上基于主觀信任，因此研究的困難之一在于如何對(duì)這種模糊性進(jìn)行建模[7]。

在本文中引入風(fēng)險(xiǎn)值W，令N表示兩個(gè)節(jié)點(diǎn)之間歷史交互的總次數(shù)（無論成功或失敗，所發(fā)送的Beacon中信息的綜合事件值都高于信息閾值，低于閾值的信息導(dǎo)致交互失敗次數(shù)不記錄在N內(nèi)），n表示交互總數(shù)中成功的次數(shù)，w為風(fēng)險(xiǎn)調(diào)節(jié)因子，w ∈ （ 0,1 ）數(shù)值可由具體不同的環(huán)境設(shè)定。綜合考慮事件權(quán)重以及時(shí)間衰減，得出節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j的直接信任值為：

式（3）中，set(i)表示給節(jié)點(diǎn)i提供推薦信任的鄰居節(jié)點(diǎn)集合。節(jié)點(diǎn)i對(duì)節(jié)點(diǎn)j的綜合信任值。計(jì)算如式（4）：

β∈（ 0,1）用來調(diào)節(jié)直接信任和推薦信任對(duì)綜合信任值的權(quán)重影響。當(dāng)在節(jié)點(diǎn)稀疏環(huán)境下，鄰居推薦信任數(shù)據(jù)比較少時(shí)，可以提高節(jié)點(diǎn)直接信任的權(quán)重，而當(dāng)在密集環(huán)境中，則可提高推薦信任的權(quán)重值。不同閾值根據(jù)不同的 VANET環(huán)境進(jìn)行調(diào)節(jié)，在實(shí)驗(yàn)仿真階段，將會(huì)根據(jù)不同場(chǎng)景進(jìn)行模擬，根據(jù)不同閾值設(shè)定進(jìn)行比較。

2 安全性分析

文中采用 NS-2來進(jìn)行系統(tǒng)的仿真和性能的評(píng)價(jià)。場(chǎng)景設(shè)計(jì)為一個(gè)網(wǎng)格形的街道圖。如圖所示，地圖由10×10的網(wǎng)格組成，且每個(gè)區(qū)塊長為150 m，即仿真范圍為1500m×1500m的矩形區(qū)域。假定車輛在該區(qū)域按照隨機(jī)的路徑移動(dòng)，隨機(jī)分布100個(gè)節(jié)點(diǎn)，移動(dòng)速度為10～40m/s，停留時(shí)間為0～30 s，模擬周期為500 s，節(jié)點(diǎn)的傳輸范圍設(shè)置為150 m，MAC層采用IEEE802.11協(xié)議，路由協(xié)議采用DSR協(xié)議。

在本模型中，設(shè)定了五類節(jié)點(diǎn)：完全可信節(jié)點(diǎn)（CTN），可信節(jié)點(diǎn)(TN)、一般可信節(jié)點(diǎn)(CTN)、不可信節(jié)點(diǎn)(NTN)和惡意節(jié)點(diǎn)(MN)。本實(shí)驗(yàn)參數(shù)設(shè)定為固定參數(shù)和可變參數(shù)兩種情形，固定參數(shù)設(shè)定如下：初始的節(jié)點(diǎn)比例為 CTN:TN:CTN:NTN:MN=2:3:2:2:1，且每類節(jié)點(diǎn)所屬的角色信任等級(jí)L1～L5所占權(quán)重為(0,0.1,0.2,0.3,0.4)，其中0表示惡意節(jié)點(diǎn)不占權(quán)重。η=0.3，θ=0.7，μ=0.4，w=0.9，β=0.8，T=5，F(xiàn)=5。可變參數(shù)為模型中惡意節(jié)點(diǎn)和不可信節(jié)點(diǎn)的比例。

（1）虛假信息對(duì)受影響的車輛數(shù)的影響

為檢驗(yàn)文中模型抵抗虛假信息攻擊的能力，針對(duì)錯(cuò)誤信息對(duì)模型中節(jié)點(diǎn)的影響進(jìn)行仿真。在一個(gè)仿真周期內(nèi)，每隔10 s隨機(jī)選擇除了完全可信節(jié)點(diǎn)以外的節(jié)點(diǎn)進(jìn)行虛假交通信息的廣播。其他節(jié)點(diǎn)接收信息，分別進(jìn)行驗(yàn)證，并且決定是否繼續(xù)轉(zhuǎn)發(fā)。信任廣播的信息并且通知駕駛員的車輛標(biāo)記為被信息影響的車輛。圖2顯示了當(dāng)一個(gè)真實(shí)的交通信息被廣播時(shí)，受影響的車輛數(shù)快速增加；而另一方面，受本模型影響，由不可信節(jié)點(diǎn)發(fā)送的惡意虛假信息并不能影響其他車輛。

圖2 虛假信息對(duì)受影響的車輛數(shù)的影響

（2）虛假信息對(duì)綜合信任值的影響

在圖3中，當(dāng)一個(gè)真實(shí)的交通信息被廣播時(shí)，平均的綜合信任值保持一個(gè)較為平穩(wěn)的下降趨勢(shì)。而當(dāng)一個(gè)虛假的交通信息被廣播時(shí)，如圖4所示，平均的綜合信任值在一開始雖然較高，但是隨之將快速降低，這是因?yàn)榧词共豢尚殴?jié)點(diǎn)通過共謀對(duì)虛假信息進(jìn)行惡意推薦，但由于不可信節(jié)點(diǎn)自身的信任值較低，所占的權(quán)重也較低，因此無法過多影響其他節(jié)點(diǎn)對(duì)信息的正確判斷，因此當(dāng)虛假信息進(jìn)行廣播時(shí)，可信節(jié)點(diǎn)正確判斷將更多地影響綜合信任值，使得虛假信息的綜合信任值將快速下降。

圖3 真實(shí)信息對(duì)綜合信任值的影響

圖4 虛假信息對(duì)綜合信任值的影響

3 結(jié)語

文中提出了一種基于角色和事件等級(jí)評(píng)判信任模型，根據(jù)節(jié)點(diǎn)的信任角色等級(jí)計(jì)算綜合信任值，同時(shí)考慮發(fā)送信息的事件等級(jí)以及時(shí)效性綜合判定是否轉(zhuǎn)發(fā)信息，并由接收節(jié)點(diǎn)將轉(zhuǎn)發(fā)結(jié)果廣播給鄰居節(jié)點(diǎn)，并發(fā)送給RSU更新節(jié)點(diǎn)信任值。

在存儲(chǔ)開銷方面，文中的方法給出了進(jìn)一步的優(yōu)化，本模型中設(shè)定了有效期T和單位時(shí)間內(nèi)交互成功次數(shù)閾值F，在實(shí)際的VANET網(wǎng)絡(luò)中，自動(dòng)刪除超過有效期T的交互信息，并且當(dāng)兩個(gè)節(jié)點(diǎn)在有效期T內(nèi)交互成功次數(shù)高于閾值F則無需計(jì)算推薦信任，直接判斷，節(jié)約的系統(tǒng)的存儲(chǔ)開銷。

[1] 陳辰,韓偉力,王新,等.VANET安全技術(shù)綜述[J].小型微型計(jì)算機(jī)系統(tǒng),2011,32(05):896-904.

[2] MATT B, JOAN F. Decentralized Trust Management[C].USA: IEEE Computer Society,1996:164-173.

[3] 李超,李小勇,管海兵.一個(gè)信任管理模型的改進(jìn)[J].信息安全與通信保密,2008(05):97-98.

[4] Zhang Jie. A Survey on Trust Management for VANETs[C].[s.l.]:International Conference on Advanced Information Networking and Applications,2011:105-112.

[5] 何中林.MANET 中的關(guān)鍵技術(shù)探討[J].通信技術(shù),2008,41(04):122-123.

[6] Huang Zhen, RUJ S.Limitations of Trust Management Schemes in VANET and Countermeasures[C].USA:IEEE,2011:1228-1232.

[7] 于曉東,高會(huì)生. 基于模糊理論的通信系統(tǒng)有效性分析[J].通信技術(shù),2008,41(06):8-10.