韓挺，羅守山,3，辛陽，楊義先，程工，吳瀟

（1.北京郵電大學 信息安全中心，北京 100876；2.災備技術國家工程實驗室，北京 100876；3.北京安碼科技有限公司，北京 100876；4.國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心，北京 100029）

1 引言

現(xiàn)階段針對網(wǎng)絡路由節(jié)點的攻擊越來越普遍且后果嚴重，路由節(jié)點面臨被劫持、冒用、惡意攻擊等風險。目前針對網(wǎng)絡中路由節(jié)點安全的解決方案較為常見的是采用數(shù)字簽名等基于密碼學的安全加固方式。關于利用數(shù)字簽名技術保護路由信息目前國內(nèi)外已有相關研究，Murphy S等人[1,2]提出對OSPF協(xié)議鏈路信息進行簽名保護的方法；李道豐[3]等利用可凈化簽名技術提出一種新的開放式OSPF路由協(xié)議安全保護機制；Kent S[4]等提出采用公鑰加密機制對BGP的通信進行授權；Sanzgiri K[5]等提出基于按需路由協(xié)議 AODV 的安全路由協(xié)議ARAN，采用公鑰機制對REP 進行簽名。上述方案主要解決了路由節(jié)點的身份認證和身份可信問題，能夠抵御外部節(jié)點的虛假路由或篡改路由攻擊，但基于密碼學的安全手段無法防止路由網(wǎng)絡內(nèi)部具有合法身份的路由節(jié)點或被劫持節(jié)點發(fā)起的惡意攻擊行為。

目前國內(nèi)外學者對基于信任評估方法的路由節(jié)點信任安全解決方案進行了相關研究。Peng[6]提出的信任評估方案通過Bayes方法評估節(jié)點行為，從而獲得節(jié)點的主觀信任；SUN[7]、喻利[8]等提出了基于改進 Bayes理論的信任度計算方法，并在移動自組織網(wǎng)絡路由協(xié)議中進行了驗證；許智君[9]等提出了一種信任路由協(xié)議，該協(xié)議中各路由節(jié)點監(jiān)聽鄰居節(jié)點的數(shù)據(jù)分組轉(zhuǎn)發(fā)行為，據(jù)此評價其信任度；王麗娜[10]等提出的模型是對路由實體之間的交互行為進行分析，評估路由實體的接入所帶來的網(wǎng)絡安全風險及網(wǎng)絡增益。以上路由節(jié)點信任算法模型均是將路由節(jié)點的行為作為判定路由節(jié)點信任信息的依據(jù)，其給出的評價粒度較粗，且僅基于路由行為的信任評價方式，對路由節(jié)點自身狀態(tài)發(fā)生異常但仍表現(xiàn)正常行為的情景未進行考慮，如狀態(tài)異常的路由節(jié)點仍能表現(xiàn)出正常的行為，僅以路由節(jié)點的行為來評價其可信程度，不夠合理全面，未真實反映路由節(jié)點的信任度，不能對惡意節(jié)點發(fā)起的攻擊進行及時有效的評價。路由安全信任現(xiàn)有方案的總結(jié)如表1所示。

表1 路由節(jié)點安全已有方案總結(jié)

針對現(xiàn)有路由安全信任方案中的不足，為了更好地體現(xiàn)路由節(jié)點的動態(tài)信任，提高路由節(jié)點選路的可信度，本文首先提出一種動態(tài)鄰接信任模型，該動態(tài)信任模型從路由節(jié)點的狀態(tài)和行為入手，將路由節(jié)點的信任度分為狀態(tài)信任和行為信任；采用多屬性決策理論對路由節(jié)點的狀態(tài)信任進行度量并采用 Bayes模型對路由節(jié)點的行為信任進行度量；最終通過灰色關聯(lián)理論對狀態(tài)信任和行為信任進行整合得出路由節(jié)點的動態(tài)鄰接信任值。本文在動態(tài)鄰接信任模型的基礎上，提出了一種新的基于鄰接信任熵的安全路由算法。該路由算法使用信任采集模型采集路由節(jié)點的動態(tài)鄰接信任值，減小信任采集對已有網(wǎng)絡的影響，同時在路由選路時參考動態(tài)鄰接信任值，從而選擇可信度較高的路徑?；卩徑有湃戊氐陌踩酚伤惴梢詼p少狀態(tài)異常節(jié)點和惡意攻擊節(jié)點給網(wǎng)絡帶來的破壞，具有良好的動態(tài)響應能力，保證了路由網(wǎng)絡中路由節(jié)點的狀態(tài)和行為可信。

2 動態(tài)鄰接信任模型分析與設計

信任關系是一種建立在自身知識和經(jīng)驗基礎上的判斷，是一種實體與實體之間的主觀行為，是基于觀察所得到的經(jīng)驗總結(jié)[11]。信任包括直接信任、間接信任和經(jīng)過不同計算方法得到的節(jié)點總體信任。直接信任是指在給定的上下文中，評估主體根據(jù)所觀察的直接接觸信息的歷史記錄而形成的對另外一個實體的信任評估；間接信任是評估主體根據(jù)推薦者所提供的信任進行相關處理，最終給出的對實體的信任評估；節(jié)點總體信任是評估主體對直接信任和推薦信任進行相關組合形成的信任評估[12]。

直接信任可以保證信息的可靠傳遞，而間接信任由于作為推薦者的中間節(jié)點可能修改或篡改信息而出現(xiàn)惡意推薦（合謀攻擊），因此本文采用鄰接方式來獲得路由節(jié)點的直接信任信息，避免間接信任對信任評價帶來的不利影響。本文提出的動態(tài)鄰接信任（DAC-trust, dynamic adjacent credibility trust）模型包含動態(tài)狀態(tài)信任值(DSC，dynamic state credibility)的計算方案設計、動態(tài)行為信任值 (DBC,dynamic behavior credibility)計算方案設計以及動態(tài)鄰接信任值（DAC, dynamic adjacent credibility）計算方案設計。

定義1（動態(tài)鄰接信任值）動態(tài)鄰接信任值是指評價主體以直接信任的方式（鄰接采集）獲取到的路由節(jié)點的動態(tài)信任信息，動態(tài)鄰接信任值分為動態(tài)狀態(tài)信任值和動態(tài)行為信任值。

定義2（動態(tài)狀態(tài)信任值）動態(tài)狀態(tài)信任值是指評價主體以直接信任的方式通過對路由節(jié)點狀態(tài)信息進行信任評價而獲取到的動態(tài)信任信息。

定義3（動態(tài)行為信任值）動態(tài)行為信任值是指評價主體以直接信任的方式通過對路由節(jié)點行為信息進行信任評價而獲取到的動態(tài)信任信息。

2.1 動態(tài)狀態(tài)信任值計算方案設計

采用多屬性決策理論[13,14]對路由節(jié)點的動態(tài)狀態(tài)信任值進行評價計算。根據(jù)多屬性決策理論，將對路由節(jié)點狀態(tài)的n維屬性做出的評價e（evaluation）的可能值的集記為E=e1×e2×…e n，即E為各分屬性的笛卡爾積，稱E為多屬性偏好集。其屬性值為E=[e1×e2×…×en]T，其中，ei（i=1,2,…,n），簡記為E，ei為各屬性的信任評價值。各屬性的權重向量定義為W={w1,w2,…,wn}，其中，0≤wi≤1(i=1,2,…,n)且定義E上的效用函數(shù)為Y(E)，屬性ei的效用函數(shù)為yi(ei)，且0≤yi(ei)≤1(i=1,2,…,n）。

本文在衡量路由節(jié)點可信度時，采取風險厭惡的態(tài)度，且根據(jù)路由節(jié)點狀態(tài)屬性的重要程度將各屬性進行排序。假設選取的路由節(jié)點狀態(tài)的各屬性相互獨立，則有

為了在對狀態(tài)可信度進行衡量中體現(xiàn)對風險的厭惡，本文采用冪函數(shù)來表示所有維度的效用函數(shù)，其計算公式為

其中，gi為常數(shù)，且gi＞0，0≤ei≤1(i=1,2,…,n），εi為常數(shù)且 0≤εi≤1(i=1,2,…,n)。由式（1）和式（2）得出

本文中路由節(jié)點狀態(tài)主要考慮以下4個維度：實時流量（throughput）、響應時間（response time）、網(wǎng)絡時延（delay）以及安全系數(shù)（security），即E=et×er×ed×es。其中，實時流量為某時間段內(nèi)停留在路由器節(jié)點內(nèi)的數(shù)據(jù)分組數(shù)量，由通過路由節(jié)點的入口處流量(進入路由器的流量)到出口處流量(流出路由器的流量)來決定；響應時間與該路由節(jié)點的等待隊列長度和該節(jié)點的處理速度有關，等待隊列越長則響應越慢，處理速度越快響應越快；網(wǎng)絡延時反映該節(jié)點與相鄰節(jié)點間鏈路的帶寬等通信質(zhì)量問題；安全系數(shù)是指對路由節(jié)點的安全加固措施以及路由器本身所采取的安全配置。此外假設路由節(jié)點為穩(wěn)妥型，即設gi=1，εi=1/2(i=t,r,d,s)。設每次信任信息采集的初始時間為t1，結(jié)束時間為t2，則第k次信任采集的時間為△tk=t2-t1。

動態(tài)狀態(tài)信任的計算由評價的效用函數(shù)Y(E)按照路由節(jié)點的狀態(tài)屬性加權平均而來,考慮了評價的效用性，對某一路由節(jié)點的第N次動態(tài)狀態(tài)信任計算公式為

其中，當N=0時，fdsc(N)=0；當N≥1時fdsc(N)的計算公式為

式（4）和式（5）中，DSC的計算由評價的效用函數(shù)Y(E)按照路由節(jié)點狀態(tài)各個維度的相應屬性加權平均而來，既考慮了評價的效用性, 又考慮了每次狀態(tài)變化對信任評價的影響。

2.2 動態(tài)行為信任值計算方案設計

路由節(jié)點動態(tài)行為信任值觀測計算時使用Bayes模型。根據(jù)路由信任的本質(zhì)，路由轉(zhuǎn)發(fā)僅有成功與失敗2種情況，因此路由節(jié)點能夠成功完成路由的次數(shù)和失敗的次數(shù)均可看作是一個隨機變量，并服從概率近似為p的二項事件，因此可利用二項事件后驗概率分布服從 Beta 分布的特性推導動態(tài)鄰接信任關系[15]，其計算公式為

其中，n=s+f，且s、f分別表示事件成功次數(shù)和失敗次數(shù)，此概率是對路由節(jié)點未來行為的期望值，可用以表示路由節(jié)點的行為信任值。

引入獎賞因子（RD）和懲罰因子（PN），為了體現(xiàn)信任建立難失去容易的特性，設懲罰因子大于獎賞因子。引入獎勵因子和懲罰因子后的動態(tài)鄰接信任值的計算公式為

其中，RAT為節(jié)點整體歷史行為良好率，其計算公式為

為了體現(xiàn)信任值的時間敏感特性，減少過去行為信息對當前信任值的影響，增加最近發(fā)生事件的權重，引入指數(shù)衰減因子(遺忘因子)來減少過去行為的影響。引入指數(shù)衰減因子后的動態(tài)行為信任值計算公式為

其中，c為指數(shù)衰減系數(shù)。

以上所提到的參數(shù)可以按照具體應用的需要進行調(diào)整，表明了本文信任模型的靈活性。

2.3 動態(tài)鄰接信任值計算方案設計

本文采用灰色關聯(lián)理論[16～18]結(jié)合路由節(jié)點的動態(tài)狀態(tài)信任、動態(tài)行為信任等信任信息，將由灰色關聯(lián)理論計算得到的關聯(lián)度作為路由節(jié)點的動態(tài)鄰接信任值，反映一段時間內(nèi)路由節(jié)點的信任值及其變化。

定義 4（動態(tài)狀態(tài)信任流）定義動態(tài)狀態(tài)信任值流為序列DSCs=(dss(1),dss(2),…,dss(k),…,dss(n))，其中，dss(k)為時間節(jié)點k時路由節(jié)點的動態(tài)狀態(tài)信任值。

定義 5（動態(tài)行為信任流）定義動態(tài)行為信任值流為序列，其中，DBCs=(dbs(1),dbs(2),…,dbs(k),…,dbs(n))，其中，dbs(k)為時間節(jié)點k是路由節(jié)點的動態(tài)行為信任值。

根據(jù)灰色關聯(lián)理論，設鄰接信任評估比較序列為dacs=(dacs(1),dacs(2),…,dacs(k),…,dacs(n))，其中，dacs(k)=min(dss(k),dbs(k))。

設鄰接信任評估的參考序列為dacs0=(dacs0(1),dacs0(2),…,dacs0(k),…,dacs0(n))，該序列為路由節(jié)點狀態(tài)和行為的信任評價信息均為最優(yōu)時的鄰接信任評估比較序列。

根據(jù)灰色關聯(lián)理論中灰色關聯(lián)度的計算方法，動態(tài)鄰接信任DAC的計算公式如式（10）和式（11）。

其中，τ稱為分辨系數(shù)。當τ≤0.546 3時，分辨力最好，通常取τ =0.5。

定理1根據(jù)灰色關聯(lián)理論[18]，動態(tài)鄰接信任值DAC穩(wěn)定的充分必要條件如下。

1) 0<(dacs(k),dacs0(k)) ≤1,?k; 1dacs(k)= dacs0(k)。

2) 設X為灰關聯(lián)因子集，DAC(X,Y)= DAC(Y,X)<=> X={x,y,}。

3)xi,xj∈X={xk|k=0,1,2,…,n},n≥2。

DAC(xi,xj)≠DAC(xj,xi),且n為有限數(shù)，n∈N,N為自然數(shù)集。

證明

必要性。

1) 若|dacs(k)-dacs0(k)|= minmin |dacs(k)-dacs0(k)|即dacs(k)=dacs0(k)，則DAC(dacs(k),dacs0(k))=1;

若|dacs(k)-dacs0(k)|≠maxmax|dacs(k)-dacs0(k)|，則DAC(dac(k),dacs0(k))=(minmin|dacs(k)-dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)| < (maxmax|dacs(k) -dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)|=1，易知(minmin|dacs(k)-dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)|>0；

由上可知1

2) 若X={x,y}，則有|x(k)-y(k)|=|y(k)-x(k)|，maxmax|x0(k)-x(k)|=max|x0(k)-x(k)|，因此DAC(X,Y)=DAC(Y,X)

3) 若X={xk|k=0,1,2,…,n}，n≥2，則有

maxmax|xa(k)-xj(k)|≠ maxmax|xb(k)-xj(k)|則DAC(xi,xj)≠DAC(xj,xi)。

充分性。

記k時刻|dacs(k) -dacs0(k)|為Δ(k)，則各時刻的最小絕對差和最大絕對差分別為Δmin=minmin|dacs(k)-dacs0(k)|；Δmax= maxmax |dacs(k)-dacs0(k)|。

dacs(k)、dacs0(k)兩因素曲線在k時的相對差值即灰色關聯(lián)系數(shù)可用式(12)來表示。

灰色關聯(lián)系數(shù)具有一定的分散性，因此用其平均值作為集中化處理的一種方法。所以節(jié)點的動態(tài)鄰接信任值DAC的計算公式如式(10)。

證畢。

由定理1可以推導出動態(tài)鄰接信任值的性質(zhì)1。

性質(zhì) 1當路由節(jié)點狀態(tài)及行為信任評價信息越接近其最優(yōu)值時，路由節(jié)點的動態(tài)鄰接信任值越高，即|dacs(k) -dacs0(k)|越小，DAC越大。

根據(jù)定理1和性質(zhì)1可知，動態(tài)鄰接信任值可以正確地反映節(jié)點的狀態(tài)和行為信任評價信息。

2.4 DAC-Trust仿真分析

采用 Opnet仿真軟件構(gòu)建路由交換網(wǎng)絡，對DAC-Trust模型進行仿真實驗，并從兩方面分析動態(tài)信任模型：1) 模型準確性分析，驗證所提出的信任模型與算法是否能夠準確地反應路由節(jié)點的行為與狀態(tài)變化；2) 動態(tài)響應能力分析，動態(tài)的信任評估模型應該具有良好的動態(tài)響應能力，以刻畫實體信任演化程度。

1) 準確性分析

實驗場景設計：在開放的路由交換網(wǎng)絡中對 3個路由節(jié)點進行信任評價，其中，節(jié)點 1處于正常狀態(tài)且行為表現(xiàn)正常（僅存在小概率的路由轉(zhuǎn)發(fā)失敗行為）；節(jié)點2處于緊急狀態(tài)且存在較多異常行為（存在一定概率的路由轉(zhuǎn)發(fā)失敗行為）；節(jié)點3由緊急狀態(tài)轉(zhuǎn)移至危險狀態(tài)且產(chǎn)生攻擊行為（進行惡意攻擊，存在較大概率的路由轉(zhuǎn)發(fā)失敗行為）。

DAC-Trust模型的準確性分析仿真結(jié)果如圖 1所示。三角形標記代表節(jié)點 1，在初期存在一定小概率的路由轉(zhuǎn)發(fā)行為導致信任值略低于 0.8，當路由行為穩(wěn)定后，其信任值穩(wěn)定在 0.8以上的較高水平。正方形標記代表節(jié)點 2，由于其處于緊急狀態(tài)所以信任值一直低于0.7，當其產(chǎn)生一定概率的路由轉(zhuǎn)發(fā)失敗行為后，其信任值下降到 0.6以下。圓形標記代表節(jié)點 3，初期從緊急狀態(tài)轉(zhuǎn)移至危險狀態(tài)，其信任值從0.7下降至0.6左右，當其產(chǎn)生較大概率的路由轉(zhuǎn)發(fā)失敗行為后，其信任值下降至 0.2左右。綜上所述，動態(tài)鄰接信任模型能夠準確地反應路由節(jié)點行為和狀態(tài)變化對信任帶來的影響。

圖1 DAC-Trust模型的準確性分析仿真結(jié)果

2) 動態(tài)響應能力分析

實驗場景設計：基于以上的實驗環(huán)境，本文的DAC-Trust模型和采用Bayes模型動態(tài)信任計算模型進行比較，即采用2種信任模型計算同一路由節(jié)點的信任值。假定路由節(jié)點是從正常狀態(tài)和正常行為開始，而后隨著狀態(tài)的惡化（如其安全性遭到破壞導致狀態(tài)惡化），最后處于危險狀態(tài)表現(xiàn)出惡意行為的過程。

DAC-Trust動態(tài)響應能力分析仿真結(jié)果如圖 2所示。正方形標記為采用Bayes動態(tài)信任模型的計算結(jié)果，三角形標記為采用DAC-Trust模型的計算結(jié)果。當路由節(jié)點狀態(tài)出現(xiàn)惡化時（150s左右），由于Bayes信任模型未考慮路由節(jié)點狀態(tài)信息其計算得到的信任值暫時仍保持較高水平（0.8），直到其表現(xiàn)出惡意行為之后其計算得到的信任值才開始下降。DAC-Trust考慮了路由節(jié)點狀態(tài)信息，因此，當狀態(tài)惡化之后DAC-Trust及時作出響應其計算得到的信任值會隨之下降。綜上所述，DAC-Trust模型在信任計算動態(tài)響應方面優(yōu)于 Bayes信任模型。若突發(fā)事件發(fā)生，DAC-Trust 模型能比 Bayes信任模型更快做出響應。

圖2 DAC-Trust模型與Bayes模型動態(tài)響應能力比較

3 基于動態(tài)鄰接信任熵的可信路由算法研究

3.1 CCM平臺設計

本文設計了信任采集平臺（CCM, credibility collect monitors）對動態(tài)鄰接信任信息進行采集。CCM 的引入保證了動態(tài)鄰接信任信息的可靠獲取和傳遞，其結(jié)構(gòu)如圖3所示。

圖3 CCM結(jié)構(gòu)

CCM采用可信計算平臺模塊保證CCM自身平臺的完整性和安全性。CCM 利用信任信息采集評估模塊來采集和計算路由節(jié)點的信任信息。

考慮到CCM對網(wǎng)絡的影響，CCM采用監(jiān)聽/采集部署方式。監(jiān)聽/采集方式是指CCM通過監(jiān)聽動作和采集動作獲得路由節(jié)點的相關可信信息。一個CCM 可以同時監(jiān)測幾個路由節(jié)點。這種部署方式的優(yōu)點是只需要幾個CCM就可以監(jiān)視整個路由網(wǎng)絡，同時CCM之間可以通過專有網(wǎng)絡來交互信息，不給現(xiàn)有網(wǎng)絡添加多余的負擔。圖4為CCM的部署方式。

圖4 CCM的部署方式

CCM進行信任值采集的過程如下。

1) CCM部署。采用監(jiān)聽/采集方式部署CCM。在路由網(wǎng)絡中部署若干個CCM監(jiān)視所有路由節(jié)點。

2) CCM信任信息采集。CCM通過監(jiān)聽動作獲得并計算動態(tài)狀態(tài)信任值。CCM 通過采集動作獲得動態(tài)行為信任值。

3) CCM信任整合。將采集到的動態(tài)狀態(tài)信任值和動態(tài)行為信任值通過計算整合為路由節(jié)點的動態(tài)鄰接信任值。

4) CCM之間信任信息交互。每個CCM采用可靠泛洪的方式將其采集到的路由節(jié)點的動態(tài)鄰接信任值在CCM專有網(wǎng)絡中洪泛給其他CCM。通過信任信息交互，每個CCM都能獲得到整個網(wǎng)絡中所有路由節(jié)點的動態(tài)鄰接信任值。

5) CCM 與路由節(jié)點之間信任信息交互。當CCM 獲得整個網(wǎng)絡中所有路由節(jié)點的鄰接信任值后，將這些鄰接信任值的信息發(fā)送給其監(jiān)視的路由節(jié)點，從而使每個路由節(jié)點都能獲得整個網(wǎng)絡中其他路由節(jié)點的鄰接信任值。

3.2 動態(tài)鄰接信任熵

為了評估出指定路由節(jié)點和目的路由節(jié)點之間的可信度最高的路線，本文引入動態(tài)鄰接信任熵（DACE, dynamic adjacent credibility entropy）。

定義 6(動態(tài)鄰接信任熵)假設路由節(jié)點a到路由節(jié)點b存在n條可達路徑，記為集合route(a→b)，中間節(jié)點集合為C={ci,i=1, 2,3,…}。對于其中任意一條路徑rα=a→c1→c2→c3→…→cm→b，定義在t時刻時路徑rα的動態(tài)鄰接信任熵為DACE，其計算公式為

由文獻[10]可知，一條鏈路的DACE越小，該條鏈路的總體信任程度越高，信任分布越均勻，同時跳數(shù)也越小。

3.3 基于動態(tài)鄰接信任熵的安全路由算法設計

基于動態(tài)鄰接信任熵的安全路由算法（DACERA dynamic adjacent credibility entropy security routing algorithm）是一個包含局部最優(yōu)解的貪心迭代過程。本文采用Dijkstra算法來實現(xiàn)該貪心迭代過程并定義函數(shù)CalDACE()來計算2點之間鏈路的動態(tài)鄰接信任熵。由于 DACERA是基于 Dijkstra算法且CalDACE()函數(shù)只增加了一個常量因子，所以DACERA的計算復雜度與Dijkstra算法相同為O(|E|+|R| log |R|)。

以下給出以路由節(jié)點r1為源節(jié)點的 DEACRA的具體形式化描述，其流程如圖5所示。

圖5 DACERA算法流程

1) 初始時設全部路由節(jié)點的集合為R，令集合S={r1},T={除了r1以外的其他節(jié)點}。

2) 若存在路徑(r1,ri)且尚無權值則利用函數(shù)CalDACE()計算DACE(r1,ri)，將該路徑的權值設為DACE(r1,ri)；若不存在路徑(r1,ri)將該路徑權值設為∞。

3) 從T中選取一個權值最小的節(jié)點rw加入S。

4) 對T中節(jié)點的路徑的權值進行修改：若加進rw為中間節(jié)點，重新利用函數(shù)CalDACE()計算DACE(r1,ri)，若從r1到ri的DACE(r1,ri)不包含rw的DACE(r1,ri)要小，則修改此路徑的權值。

5) 重復上述步驟，直到S中包含所有節(jié)點，即S=T為止。

3.4 DACERA路由算法驗證及仿真分析

為了驗證DACERA路由算法，本文在現(xiàn)有的OSPF路由協(xié)議中引入了本算法。通過OPNET來仿真采用DACERA的OSPF路由協(xié)議，同時將采用 DACERA的 OSPF協(xié)議同基于數(shù)字簽名的OSPF協(xié)議[1]以及同文獻[6～8]中的采用 Bayes理論的動態(tài)信任計算模型的OSPF協(xié)議進行比較。

1) 采用 DACERA的 OSPF協(xié)議同基于數(shù)字簽名的 OSPF協(xié)議仿真比較，其仿真參數(shù)如表 2所示。

表2 仿真參數(shù)

從仿真結(jié)果圖6(a)可以看出，隨著被攻擊的節(jié)點的增加，分組丟失行為也不斷增多，采用DACERA的OSPF協(xié)議的分組投遞數(shù)受到的影響明顯低于數(shù)字簽名OSPF協(xié)議，其分組投遞數(shù)始終高于數(shù)字簽名 OSPF協(xié)議，這主要是由于采用DACERA的OSPF協(xié)議在路由選擇時會選擇可信度較高的路徑，避免了實施惡意攻擊的路由節(jié)點出現(xiàn)在路由路徑上，減少了分組的丟棄，增加了整個網(wǎng)絡運行的穩(wěn)定性。

根據(jù)圖6(b)可以發(fā)現(xiàn)實施惡意攻擊的節(jié)點隨著時間增加導致分組丟失數(shù)逐漸增加，特別是第一個被惡意攻擊的節(jié)點出現(xiàn)后，數(shù)字簽名OSPF協(xié)議的分組丟失率明顯增加。而采用 DACERA的 OSPF協(xié)議，將實施攻擊的節(jié)點排除在路由路徑之外，對實施惡意攻擊的節(jié)點使用率減少，因此與數(shù)字簽名OSPF協(xié)議相比，分組丟失數(shù)明顯減少，具有更好的抵御惡意攻擊的能力。

通過整個網(wǎng)絡收集全局統(tǒng)計量平均值 OSPF平均發(fā)送流量（bit/s）的仿真結(jié)果來分析路由的開銷情況。從圖 6(c)可知，采用 DACERA的 OSPF協(xié)議是收斂的。在0～300 s之間，整個網(wǎng)絡中路由交換的數(shù)據(jù)量較大且變化較快；在300 s之后網(wǎng)絡進入到收斂狀態(tài)，所以仿真進行到300 s以后，數(shù)據(jù)通信量趨于零。從仿真結(jié)果可以看出，由于要進行可信信息的采集以及可信信息的評估，采用DACERA的OSPF協(xié)議在大約200 s時開始收斂，采用數(shù)字簽名的OSPF在大約180 s時開始收斂。由于路由節(jié)點需要通過報文與 CCM 之間交換可信度的信息，采用DACERA的OSPF協(xié)議的路由開銷比數(shù)字簽名OSPF協(xié)議略大。

圖6 采用DACERA的OSPF協(xié)議同基于數(shù)字簽名的OSPF協(xié)議仿真比較

綜上所述，在存在攻擊的情況下，采用DACERA的OSPF協(xié)議較采用數(shù)字簽名的OSPF協(xié)議有更好的抗攻擊性、更高的分組投遞率以及更低的分組丟失率。

2) 采用DACERA的OSPF協(xié)議同采用Bayes理論的動態(tài)信任計算模型的OSPF協(xié)議仿真比較，其仿真參數(shù)如表3所示。

表3 仿真參數(shù)

從仿真結(jié)果圖7(a)可以看出，隨著狀態(tài)異常節(jié)點的增多，采用DACERA的OSPF協(xié)議的分組投遞數(shù)受到的影響明顯低于采用Bayes理論的OSPF協(xié)議，其分組投遞數(shù)始終高于采用 Bayes理論的OSPF協(xié)議，這主要是由于采用DACERA的OSPF協(xié)議在路由信任評價時采集節(jié)點的狀態(tài)信息，避免了狀態(tài)異常的路由節(jié)點出現(xiàn)在路由路徑上，減少了分組的丟棄。在180 s時，當信任信息采集完成后，采用DACERA的OSPF協(xié)議的選路基本避開狀態(tài)異常節(jié)點，分組投遞數(shù)隨之增加；而采用Bayes理論的OSPF協(xié)議直到狀態(tài)異常節(jié)點出現(xiàn)異常行為后才能在選路時避開這些節(jié)點（240 s左右）。因此與采用Bayes理論的OSPF協(xié)議相比，采用DACERA的OSPF協(xié)議在動態(tài)節(jié)點變化中具有更好的動態(tài)適應能力。

根據(jù)圖7(b)可以發(fā)現(xiàn)隨著狀態(tài)異常節(jié)點的增加導致 OSPF網(wǎng)絡中分組丟失數(shù)逐漸增加，但采用DACERA的OSPF協(xié)議通過DACERA基本將狀態(tài)異常的節(jié)點排除在路由選路之外，對狀態(tài)異常節(jié)點的使用率減少，與采用Bayes理論的OSPF協(xié)議相比，分組丟失數(shù)明顯減少。因此與采用Bayes理論的OSPF協(xié)議相比，采用DACERA的OSPF協(xié)議能更細粒度地對路由信任進行評價，減少狀態(tài)異常路由對網(wǎng)絡的影響，提高網(wǎng)絡的穩(wěn)定性。

圖7 采用DACERA的OSPF協(xié)議同采用Bayes理論的動態(tài)信任計算模型的OSPF協(xié)議仿真比較

通過整個網(wǎng)絡收集全局統(tǒng)計量平均值 OSPF 平均發(fā)送流量（bit/s）的仿真結(jié)果來分析路由的開銷情況。從仿真結(jié)果圖7(c)可以看出，由于采用DACERA的OSPF協(xié)議同采用Bayes理論的OSPF協(xié)議均要進行可信信息的采集以及可信信息的評估，兩者路由開銷的差距細微即采用DACERA的OSPF協(xié)議同采用Bayes理論的OSPF協(xié)議具有相近的路由性能。

綜上所述，在存在異常狀態(tài)節(jié)點的情況下，采用 DACERA的 OSPF協(xié)議較采用 Bayes理論的OSPF有更好的動態(tài)適應能力、更細粒度的信任評價、更高的分組投遞率、更低的分組丟失率以及更高的網(wǎng)絡穩(wěn)定性。

4 結(jié)束語

首先本文在深入研究了路由節(jié)點的狀態(tài)信息及行為信息的基礎上，設計了路由節(jié)點的動態(tài)狀態(tài)信任值計算方案和動態(tài)行為信任值計算方案，最后通過引入灰色關聯(lián)理論，提出了一種有別于傳統(tǒng)信任模型的動態(tài)鄰接信任模型。仿真結(jié)果表明該模型能夠準確反映路由節(jié)點的狀態(tài)和行為信任信息并具有更高的動態(tài)響應能力；其次本文在動態(tài)鄰接信任模型的基礎上提出了基于動態(tài)鄰接信任熵的安全路由算法并在現(xiàn)有 OSPF協(xié)議中對該算法進行了驗證。仿真結(jié)果表明，該算法可以有效地評測節(jié)點的動態(tài)鄰接信任值并且在路由選擇時選擇可信度較高的路徑，有效抵御惡意行為和狀態(tài)異常節(jié)點的攻擊，具有更好的動態(tài)響應能力以及更細粒度的信任評估，有效地提升了網(wǎng)絡的抗攻擊性及穩(wěn)定性。

[1] MURPHY S, BADGER M, WELLINGTON B．OSPF with digital signatures[EB/OL].http：//www.faqs.org/rfcs /rfc2154.html．

[2] MURPHY S, BADGER M.Digital signature protection of the OSPF routing protocol[A].Proceedings of the Symposium on Network and Distributed System Sercurity[C].Washington DC,USA,1996.93-102．

[3] 李道豐, 楊義先, 谷利澤.采用可凈化簽名的 OSPF協(xié)議安全保護機制[J].北京郵電大學學報,2011,34(3)：79-83.LI D F, YANG Y X, GU L Z.Secure protection mechanism for OSPF protocol with sinitizable signature scheme[J].Journal of Beijing University of Posts and Telecommunications, 2011, 34(3)：79-83.

[4] KENT S, LYNN C, SEO K.Secure border gateway protocol(SBGP)[J].IEEE Journal on Selected Areas in Communications, 2000,18(4)： 582-592.

[5] SANZGIRI K, DAHILL B, LEVINE B N.A secure routing protocol for ad hoc networks[A].Proeedings of the 10th IEEE International Conference on Network Protocols[C].Paris, France, 2002.

[6] PENG S C, JIA W J.Voting-based clustering algorithm with subjective trust and stability in mobile ad-hoc networks[A]. Proceedings of IEEE/IFIP International Conference on Embedded and Ubiquitous-Computing[C].Washington, DC, USA, 2008.3-9.

[7] SUN Y X, HUANG S H, CHEN L.Bayesian decision-making based recommendation trust revision model in ad hoc networks[J].Journal of Software, 2009, 20(9)： 2574- 2586.

[8] 喻莉,李靜茹,劉祖浩.基于自適應遺忘機制的半環(huán)信任模型[J].電子信息學報.2011, 33(1)：175-179.YU L, LI J R, LIU Z H.Semiring trust model based on adaptive forgetting scheme[J].Journal of Electronics & Information Technology,2011, 33(1)：175-179.

[9] 許智君,胡琪一,張玉軍.MANET網(wǎng)絡激勵節(jié)點協(xié)作的信任評估路由協(xié)議[J].通信學報.2012, 33(7)：27-35.XU Z J, HU Q Y, ZHANG Y J.Trust evaluation routing protocol to enforce cooperation in mobile adhoc networks[J].Journal on Communications, 2012, 33(7)：27-35.

[10] 王麗娜,趙磊, 郭遲.一種基于信任理論的路由安全接入與選路模型[J].武漢大學學報.2008, 10(10)：999-1002.WANG L N, ZHAO L, GUO C.A network connection and routing model based on trust theory[J].Geomatics and Information Science of Wuhan University, 2008, 10(10)：999-1002.

[11] 賀利堅, 黃厚寬, 張偉.多Agent 系統(tǒng)中信任和信譽系統(tǒng)研究綜述[J].計算機研究與發(fā)展, 2008, 45(07) ： 1151- 1160.HE L J, HUANG H K, ZHANG W.A survey of trust and reputation systems in multi-agent systems[J].Journal of Computer Research and Development, 2008,45(07)： 1151- 1160.

[12] DUMA C, SHAHMEHRI N, CARONNI G.Dynamic trust metrics for peer-to-peer systems[A].Proceedings of the 16th Intel Joint Workshop on Database and Expert Systems Applications[C].Washington DC,USA, 2005.776-781.

[13] 魏世孝, 周獻中.多屬性決策理論方法及其在 C3I 系統(tǒng)中的應用[M].北京： 國防工業(yè)出版社,1998.31-45.WEI S X, ZHOU X Z.Multiple Attribute Decision Making Principle and Its Application In C3I System[M].Beijing： National Defense Industry Press, 1998.31－45.

[14] 甘早斌, 丁倩, 李開.基于聲譽的多維度信任計算算法[J].軟件學報, 2011,22(10)：2401－2411.GAN Z B, DING Q, LI K.Reputation-based multi-dimensional trust algorithm[J].Journal of Software, 2011,22(10)：2401－2411.

[15] 洪亮, 洪帆, 彭冰.一種基于鄰居信任評估的蟲洞防御機制[J] .計算機科學, 2006 , 33 (8)： 130-133.HONG L, HONG F, PENG B.Defend against wormhole attack based on neighbor trust evaluation in MANET[J].Computer Science, 2006,33 (8)： 130-133.

[16] 鄧聚龍.灰色系統(tǒng)理論教程[M].武漢：華中理工大學出版社,1990.128-134.DENG J L.Grey System Theory Tutorial[M].Wuhan： Huazhong University Press, 1990.128-134.

[17] 徐蘭芳, 胡懷飛 ,桑子夏.基于灰色系統(tǒng)理論的信譽報告機制[J].軟件學報, 2007, 18(7) ： 1730- 1737.XU L F, HU H F, SANG Z X.A prestige reporting mechanism based on gray system theory[J].Journal of Software, 2007, 18(7) ： 1730-1737.

[18] 徐蘭芳, 張大圣, 徐鳳鳴.基于灰色系統(tǒng)理論的主觀信任模型[J].小型微型計算機系統(tǒng),2007,28(5)：801-804.XU L F, ZHANG D S, XU F M.Subjective trust model based on grey system theory[J].Journal of Chinese Computer Systems, 2007, 28(5)：801-804.