，

(陸軍工程大學(xué)石家莊校區(qū) 電子與光學(xué)工程系，石家莊 050003)

0 引言

移動(dòng)Ad Hoc網(wǎng)絡(luò)(mobile ad hoc networks,MANET)[1]是由若干個(gè)帶有無(wú)線通信設(shè)備的移動(dòng)節(jié)點(diǎn)組成的。MANET面臨的安全威脅日益嚴(yán)峻，無(wú)線鏈路本身易受到外部節(jié)點(diǎn)攻擊，而網(wǎng)絡(luò)路由的不斷變化也會(huì)導(dǎo)致節(jié)點(diǎn)間的信任關(guān)系產(chǎn)生動(dòng)態(tài)變化，容易遭受內(nèi)部節(jié)點(diǎn)背叛攻擊[2]。因此MANET的安全性已經(jīng)成為一大研究熱點(diǎn)。

隨著定位技術(shù)的不斷發(fā)展，定位精度越來(lái)越高，因此基于位置的路由協(xié)議也引起了人們的重視[3]。GRID路由協(xié)議是WEN-HWA LIAO[4]等人提出的完全基于位置的路由協(xié)議，它利用位置信息完全解決了路由中的查找路由、數(shù)據(jù)轉(zhuǎn)發(fā)、維護(hù)路由3個(gè)關(guān)鍵問(wèn)題。該協(xié)議將網(wǎng)絡(luò)所覆蓋的范圍劃分為網(wǎng)格狀的區(qū)域，每個(gè)網(wǎng)格內(nèi)通過(guò)子協(xié)議網(wǎng)格Leader選擇協(xié)議(Grid Leader Selection Protocol)選取一個(gè)帶有定位裝置的節(jié)點(diǎn)，作為該網(wǎng)格的Leader，負(fù)責(zé)該網(wǎng)格的數(shù)據(jù)轉(zhuǎn)發(fā)[5]。本文將對(duì)該子協(xié)議的安全性進(jìn)行研究。

本文將利用形式化分析的方法，先對(duì)網(wǎng)格Leader選擇協(xié)議的安全性進(jìn)行分析[6]，更形象地分析它可能存在的安全漏洞，之后利用信譽(yù)系統(tǒng)[7]對(duì)其進(jìn)行改進(jìn)，更好的解決其安全漏洞，以滿足MANET通信的安全目標(biāo)。

1 形式化安全分析

形式化分析方法是用數(shù)學(xué)方法描述和推理，對(duì)協(xié)議及安全屬性進(jìn)行形式化建模，將對(duì)協(xié)議的安全性分析轉(zhuǎn)化為對(duì)應(yīng)形式化模型的分析[8]，運(yùn)用這種方法可以避免協(xié)議安全性分析的局限性，有可能發(fā)現(xiàn)安全協(xié)議的一些未知攻擊。

本文利用有限狀態(tài)機(jī)(Finite-state machine,FSM)對(duì)網(wǎng)格Leader選擇協(xié)議進(jìn)行形式化建模。有限狀態(tài)機(jī)，又稱有限狀態(tài)自動(dòng)機(jī)，是表示有限個(gè)狀態(tài)以及在這些狀態(tài)之間的轉(zhuǎn)移和動(dòng)作等行為的數(shù)學(xué)模型[9]。FSM是一種算法思想，由一組狀態(tài)、一個(gè)初始狀態(tài)、輸入和根據(jù)輸入及現(xiàn)有狀態(tài)轉(zhuǎn)換為下一個(gè)狀態(tài)的轉(zhuǎn)換函數(shù)組成。通常使用狀態(tài)圖來(lái)對(duì)FSM進(jìn)行精確地描述。有限狀態(tài)機(jī)是一個(gè)五元組M=(Q,Σ,δ,q0,F)，其中：

Q={q0,q1,...,qn}是有限狀態(tài)集合,Σ={σ1,σ2,...,σn}是有限輸入字符集合，δ:Q×Σ→Q是狀態(tài)轉(zhuǎn)移函數(shù),q0∈Q是初始狀態(tài)，F(xiàn)?Q是最終狀態(tài)集合[10]。

GRID路由協(xié)議中，每個(gè)網(wǎng)格中的節(jié)點(diǎn)運(yùn)行網(wǎng)格Leader選擇協(xié)議來(lái)維護(hù)本網(wǎng)格的Leader，保證該網(wǎng)格的數(shù)據(jù)轉(zhuǎn)發(fā)。網(wǎng)格Leader選擇協(xié)議規(guī)定距離網(wǎng)格中心最近的節(jié)點(diǎn)將被選為網(wǎng)格Leader，只要某節(jié)點(diǎn)被選為L(zhǎng)eader，直到它移出網(wǎng)格才重新選取新Leader。定義S={S0,S1,S2},表示原網(wǎng)格Leader選擇協(xié)議的狀態(tài)集，S0表示初始狀態(tài)，F(xiàn)={S0}表示終結(jié)狀態(tài)。其FSM模型如圖1所示。

圖1 FSM模型

網(wǎng)格Leader周期性發(fā)送GATE(g,loc)分組，其中g(shù)是該網(wǎng)格坐標(biāo)，loc是當(dāng)前位置。當(dāng)它離開該網(wǎng)格時(shí)，廣播RETIRE(g,T)分組，g是原網(wǎng)格坐標(biāo)，T是它保存的路由表。保存T，并由狀態(tài)S0轉(zhuǎn)移到S1。若在一個(gè)周期內(nèi)網(wǎng)格內(nèi)節(jié)點(diǎn)沒(méi)有接收到GATE分組，則節(jié)點(diǎn)A廣播BID(g,loc)分組，g是網(wǎng)格坐標(biāo)，loc是A的當(dāng)前位置，轉(zhuǎn)入狀態(tài)S2。若Leader仍在該網(wǎng)格中，則向A回復(fù)GATE分組；非Leader節(jié)點(diǎn)X收到BID分組時(shí)，若它離網(wǎng)格中心比分組中的loc近，就向A回復(fù)BID(g,loc')分組，loc'為X當(dāng)前位置，并廣播BID分組；若沒(méi)有收到新的GATE或BID(g,loc')分組，將自己認(rèn)定為新的網(wǎng)格Leader，返回狀態(tài)S0。由于新Leader是節(jié)點(diǎn)自己認(rèn)定的，因此同一網(wǎng)格中可能存在多個(gè)Leader。當(dāng)一個(gè)自認(rèn)為是網(wǎng)格Leader的節(jié)點(diǎn)收到其他離網(wǎng)格中心更近的節(jié)點(diǎn)發(fā)送的GATE分組時(shí)，就認(rèn)為自己不是Leader，不再發(fā)送任何GATE分組[11]。

由圖1及其分析可知，網(wǎng)格Leader選擇協(xié)議在面臨選擇新節(jié)點(diǎn)時(shí)的優(yōu)先級(jí)只考慮到離網(wǎng)格中心的位置，容易引起內(nèi)部惡意節(jié)點(diǎn)的攻擊。若網(wǎng)格內(nèi)存在惡意節(jié)點(diǎn)，當(dāng)Leader離開時(shí)會(huì)廣播RETIRE報(bào)文，包含網(wǎng)格坐標(biāo)，若惡意節(jié)點(diǎn)通過(guò)篡改將自己的位置坐標(biāo)改為前網(wǎng)格Leader坐標(biāo)，則它將被選為新的網(wǎng)格Leader，控制該網(wǎng)格的數(shù)據(jù)傳輸，在路由過(guò)程中竊取有用數(shù)據(jù)，破壞路由協(xié)議的工作過(guò)程。因此需要對(duì)網(wǎng)格Leader選擇協(xié)議進(jìn)行改進(jìn)增加它的安全性，本文結(jié)合現(xiàn)有的信譽(yù)系統(tǒng)，提出基于信譽(yù)度的信譽(yù)系統(tǒng)對(duì)Leader進(jìn)行改進(jìn)，增加選擇新網(wǎng)格Leader的依據(jù)，抑制內(nèi)部背叛節(jié)點(diǎn)攻擊。

2 網(wǎng)格Leader選擇協(xié)議改進(jìn)

2.1 SGRP的安全方案

陳晶[12]等人在GRID協(xié)議的基礎(chǔ)上提出了安全的網(wǎng)格路由協(xié)議SGRP(Security Grid Routing Protocol)，它利用單向散列函數(shù)為基礎(chǔ)而改進(jìn)的TESLA認(rèn)證方案[13]，對(duì)新加入網(wǎng)絡(luò)的節(jié)點(diǎn)進(jìn)行認(rèn)證，并提出了一種基于CONFIDENT[14]的信譽(yù)系統(tǒng)來(lái)抑制內(nèi)部惡意節(jié)點(diǎn)的破壞行為。仿真表明SGRP可以檢測(cè)出報(bào)文轉(zhuǎn)發(fā)時(shí)的惡意中斷攻擊者，同時(shí)有一定概率可以發(fā)現(xiàn)內(nèi)部背叛節(jié)點(diǎn)。但SGRP沒(méi)有針對(duì)子協(xié)議網(wǎng)格Leader選擇協(xié)議進(jìn)行安全性分析，也沒(méi)有對(duì)防止內(nèi)部節(jié)點(diǎn)破壞進(jìn)行設(shè)計(jì)。本文在SGRP協(xié)議的基礎(chǔ)上對(duì)網(wǎng)格Leader選擇協(xié)議進(jìn)行改進(jìn)，增加它對(duì)內(nèi)部惡意節(jié)點(diǎn)的處理決策。

2.2 網(wǎng)格Leader選擇協(xié)議的改進(jìn)

針對(duì)網(wǎng)格Leader選擇協(xié)議中面臨的內(nèi)部攻擊問(wèn)題，結(jié)合SGRP中的信譽(yù)機(jī)制對(duì)它進(jìn)行了安全性改進(jìn)。信譽(yù)模型以信譽(yù)度為依據(jù)，由信譽(yù)度計(jì)算、信譽(yù)管理及信譽(yù)決策三層組成，以信譽(yù)度計(jì)算為基礎(chǔ)，將第一手信譽(yù)度、信譽(yù)報(bào)告綜合成信譽(yù)等級(jí)，根據(jù)信譽(yù)度門限值進(jìn)行信譽(yù)決策，高效判別出惡意節(jié)點(diǎn)，合理進(jìn)行Leader選擇，提高網(wǎng)絡(luò)通信的安全可靠。

本文提出的信譽(yù)模型由信譽(yù)度計(jì)算、信譽(yù)管理和信譽(yù)決策組成。信譽(yù)度計(jì)算是模型的基礎(chǔ)，信譽(yù)管理是核心，信譽(yù)決策是目的。結(jié)構(gòu)如圖2所示。

圖2 信譽(yù)模型結(jié)構(gòu)圖

信譽(yù)度計(jì)算主要完成信譽(yù)度初始化，第一手信譽(yù)信息計(jì)算、信譽(yù)報(bào)告及信譽(yù)等級(jí)的具體計(jì)算過(guò)程。信譽(yù)管理主要負(fù)責(zé)網(wǎng)格內(nèi)節(jié)點(diǎn)信譽(yù)度及保存路由表的更新，實(shí)現(xiàn)節(jié)點(diǎn)信息的動(dòng)態(tài)管理。信任決策以信譽(yù)度為重要標(biāo)準(zhǔn)選擇網(wǎng)格Leader，通過(guò)節(jié)點(diǎn)信譽(yù)度識(shí)別惡意節(jié)點(diǎn)，并對(duì)識(shí)別到的惡意節(jié)點(diǎn)進(jìn)行處理，從而提高網(wǎng)絡(luò)的安全性。

2.2.1 信譽(yù)度計(jì)算

2.2.1.1 初始化

模型主要維護(hù)節(jié)點(diǎn)保存的信息列表，詳細(xì)記錄節(jié)點(diǎn)間交互信息及信譽(yù)度列表，每個(gè)周期對(duì)節(jié)點(diǎn)的信譽(yù)度進(jìn)行更新。信息列表如表1所示。

表1 信息列表

其中，IDi、IDj是節(jié)點(diǎn)i,j的身份標(biāo)識(shí)；歷史信譽(yù)度表示在網(wǎng)絡(luò)運(yùn)行期間節(jié)點(diǎn)通信過(guò)程中的信譽(yù)等級(jí)，范圍為[0,1]，0表示節(jié)點(diǎn)完全不可信，節(jié)點(diǎn)須立即移出網(wǎng)絡(luò)，1表示節(jié)點(diǎn)完全可信，如果沒(méi)有計(jì)算結(jié)果則顯示為default，若為新節(jié)點(diǎn)，則設(shè)置為信譽(yù)度默認(rèn)值，取值為0.6。

需要強(qiáng)調(diào)的是，節(jié)點(diǎn)自身不能保存自己的狀態(tài)列表，無(wú)法查看自己在其他鄰節(jié)點(diǎn)列表中的信譽(yù)度大小，以防惡意節(jié)點(diǎn)通過(guò)查詢自己的信譽(yù)度而發(fā)動(dòng)掩飾攻擊將自身的信譽(yù)度提高。

2.2.1.2 計(jì)算

網(wǎng)絡(luò)內(nèi)每個(gè)節(jié)點(diǎn)通過(guò)自身檢驗(yàn)得到第一手信譽(yù)信息，然后按照周期越近信譽(yù)權(quán)重越高的原則計(jì)算最近3個(gè)周期的信譽(yù)信息，計(jì)算得到的信譽(yù)值再傳遞給其他節(jié)點(diǎn)，節(jié)點(diǎn)就可以根據(jù)自身的信譽(yù)值及其他節(jié)點(diǎn)的信譽(yù)值綜合得到信譽(yù)等級(jí)，來(lái)判斷節(jié)點(diǎn)的可信程度。

假設(shè)節(jié)點(diǎn)i與節(jié)點(diǎn)j相互觀察，第一手信譽(yù)信息可以用Fij表示，信譽(yù)報(bào)告值用FRij表示，信譽(yù)等級(jí)用R表示。在一個(gè)周期內(nèi)若觀察到節(jié)點(diǎn)正常，信譽(yù)值加α，若觀察到節(jié)點(diǎn)異常，則減β，若一個(gè)周期內(nèi)沒(méi)有觀察到節(jié)點(diǎn)行為，則減δ，要求α<δ<β，這樣可以更快地剔除惡意節(jié)點(diǎn)。在3個(gè)周期末，按公式(1)計(jì)算FRij:

(1)

這里系數(shù)可以根據(jù)實(shí)際環(huán)境中的硬件條件或其他條件進(jìn)行調(diào)整，應(yīng)保持最近周期內(nèi)的信譽(yù)度權(quán)重更高，確保信譽(yù)值得新鮮性。

為避免因?yàn)楣?jié)點(diǎn)故障而產(chǎn)生誤判，計(jì)算信譽(yù)等級(jí)還需考慮周圍節(jié)點(diǎn)的信譽(yù)報(bào)告。假設(shè)節(jié)點(diǎn)i收到節(jié)點(diǎn)j的信譽(yù)報(bào)告FRkj，節(jié)點(diǎn)i依據(jù)公式(2)更新信譽(yù)等級(jí)Rij：

Rij=w·FRij+(1-w)·FRkj

(2)

其中:w可設(shè)定參數(shù)。節(jié)點(diǎn)i接收到所有關(guān)于j的信譽(yù)報(bào)告都應(yīng)執(zhí)行該過(guò)程。在初始化時(shí)，設(shè)定初始值r0、最大值rmax和門限值rthresh，當(dāng)Rij>rthresh時(shí)，節(jié)點(diǎn)i與j互相信任，否則認(rèn)為j是惡意節(jié)點(diǎn)。

當(dāng)節(jié)點(diǎn)間開始交互報(bào)文時(shí)，首先計(jì)算第一手信譽(yù)信息。在一個(gè)周期內(nèi)若節(jié)點(diǎn)i與j正常交互，則Fij+α，若失敗則Fij-β，若沒(méi)有交互則Fij-δ,其中(α<δ<β)。

每過(guò)3個(gè)周期，節(jié)點(diǎn)i按照公式(1)計(jì)算信譽(yù)報(bào)告。同時(shí)考慮周圍節(jié)點(diǎn)的信譽(yù)報(bào)告，按照公式(2)計(jì)算節(jié)點(diǎn)i的信譽(yù)等級(jí)，并作為最終信譽(yù)度寫入信息列表中。

信譽(yù)系統(tǒng)有一定的局限性，很難判定惡意節(jié)點(diǎn)和故障節(jié)點(diǎn)，設(shè)定Δ=rmax-rthresh，隨著Δ的增大，誤判率會(huì)降低，但系統(tǒng)靈敏度會(huì)隨之下降，因此只能在誤判度和靈敏度之間尋求一個(gè)平衡。

2.2.1.3 更新

網(wǎng)絡(luò)正常運(yùn)行階段，隨著網(wǎng)絡(luò)的動(dòng)態(tài)變化以及惡意節(jié)點(diǎn)的攻擊，節(jié)點(diǎn)信譽(yù)度會(huì)發(fā)生變化，因此必須更新信譽(yù)度。計(jì)算得出新的信譽(yù)等級(jí)后要對(duì)節(jié)點(diǎn)本地列表中的歷史信譽(yù)度進(jìn)行更新，從而保持節(jié)點(diǎn)對(duì)鄰節(jié)點(diǎn)信譽(yù)信息的動(dòng)態(tài)掌握。更新歷史信譽(yù)度采取加權(quán)求和的方式，若歷史信譽(yù)度為默認(rèn)值，則用新信譽(yù)度進(jìn)行替換，否則按公式(3)進(jìn)行更新。

Rij=λRijold+ (1-λ)Rijnew

(3)

其中:λ為歷史信譽(yù)度權(quán)重，可根據(jù)不同網(wǎng)絡(luò)環(huán)境進(jìn)行設(shè)置。

2.2.2 信譽(yù)管理

信譽(yù)管理是該模型的核心，負(fù)責(zé)網(wǎng)絡(luò)中信譽(yù)信息的存儲(chǔ)、提取、更新、刪除等任務(wù)，確保節(jié)點(diǎn)信譽(yù)度的新鮮、高效和安全。

網(wǎng)絡(luò)建立初期，節(jié)點(diǎn)的信息列表為空，節(jié)點(diǎn)間相互發(fā)送如下報(bào)文交換信息并保存在自己的信息列表中。當(dāng)網(wǎng)絡(luò)運(yùn)行到一定周期后，就會(huì)伴隨有節(jié)點(diǎn)信息列表的更新和刪除。

表2 報(bào)文格式

節(jié)點(diǎn)信息列表管理流程為：當(dāng)網(wǎng)絡(luò)開始運(yùn)行，節(jié)點(diǎn)A與B開始交互，查看交互報(bào)文中節(jié)點(diǎn)B的信譽(yù)信息，并與信譽(yù)閾值進(jìn)行比較，若小于閾值，則將節(jié)點(diǎn)B標(biāo)記為非正常節(jié)點(diǎn)，不建立信息列表；若大于閾值，則計(jì)算節(jié)點(diǎn)A與B的信譽(yù)度，并保存到節(jié)點(diǎn)A的信息列表中。隨著網(wǎng)絡(luò)的運(yùn)行，每過(guò)3個(gè)周期節(jié)點(diǎn)A更新關(guān)于B的歷史信譽(yù)度，保證列表的新鮮性。

2.2.3 信譽(yù)決策

信譽(yù)決策主要是利用信譽(yù)度進(jìn)行網(wǎng)格Leader選擇，識(shí)別出惡意節(jié)點(diǎn)，并選擇信譽(yù)度高且距離網(wǎng)格中心近的節(jié)點(diǎn)作為網(wǎng)格Leader，負(fù)責(zé)網(wǎng)格數(shù)據(jù)轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)的安全運(yùn)行。因此本部分主要包括兩方面：惡意節(jié)點(diǎn)識(shí)別和網(wǎng)格Leader選擇。

2.2.3.1 惡意節(jié)點(diǎn)識(shí)別

惡意節(jié)點(diǎn)的識(shí)別是提高網(wǎng)絡(luò)安全的重要環(huán)節(jié)，能夠準(zhǔn)確識(shí)別并處理惡意節(jié)點(diǎn)是衡量信任模型性能的關(guān)鍵[15]。本文定義了兩個(gè)閾值分別是處理閾值θ和預(yù)警閾值φ，以及定義了節(jié)點(diǎn)的3種狀態(tài)分別是爭(zhēng)創(chuàng)狀態(tài)、懷疑狀態(tài)、驅(qū)除狀態(tài)。

正常狀態(tài)表示節(jié)點(diǎn)的信譽(yù)等級(jí)在允許的范圍內(nèi)，可以將此節(jié)點(diǎn)選為可靠的Leader進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。懷疑狀態(tài)表示節(jié)點(diǎn)新的信譽(yù)信息與歷史信譽(yù)信息變化較大，超過(guò)了預(yù)警閾值φ，故將此類節(jié)點(diǎn)定義為懷疑狀態(tài)，繼續(xù)觀察一個(gè)周期，若再次發(fā)生異常，則將該節(jié)點(diǎn)采取處理措施。驅(qū)除狀態(tài)表示節(jié)點(diǎn)信譽(yù)度低于處理閾值θ，直接移出網(wǎng)絡(luò)。

圖3 惡意節(jié)點(diǎn)識(shí)別流程圖

2.2.3.2 網(wǎng)格Leader選擇

根據(jù)節(jié)點(diǎn)計(jì)算得信譽(yù)等級(jí)進(jìn)行網(wǎng)格Leader的選擇，是信譽(yù)決策的目的。本文充分考慮節(jié)點(diǎn)信譽(yù)等級(jí)和距離網(wǎng)格中心距離，利用信譽(yù)度進(jìn)行網(wǎng)格Leader選擇的流程如圖4所示。

圖4 網(wǎng)格Leader選擇流程圖

3 仿真性能分析

利用NS2仿真實(shí)驗(yàn)工具[16]來(lái)驗(yàn)證信譽(yù)模型的安全性及測(cè)試網(wǎng)絡(luò)性能。在仿真中，節(jié)點(diǎn)總數(shù)設(shè)置為100個(gè)，節(jié)點(diǎn)運(yùn)動(dòng)區(qū)域?yàn)?00 m×500 m，網(wǎng)格大小為100 m×100 m，節(jié)點(diǎn)傳輸半徑為80 m，在區(qū)域內(nèi)以0-10 m/s的隨機(jī)速度隨機(jī)運(yùn)動(dòng)，到達(dá)目標(biāo)點(diǎn)后短暫停留，繼續(xù)向新目標(biāo)點(diǎn)隨機(jī)運(yùn)動(dòng)，直到仿真結(jié)束。其中設(shè)置部分惡意節(jié)點(diǎn)，在網(wǎng)絡(luò)中發(fā)動(dòng)多種攻擊，包括數(shù)據(jù)報(bào)丟棄攻擊，篡改攻擊，誹謗攻擊以及掩飾攻擊等。節(jié)點(diǎn)以固定比特率發(fā)送數(shù)據(jù)包，大小為128 bit，每秒發(fā)送4個(gè)報(bào)文，仿真時(shí)間為300 s。具體的仿真參數(shù)如表3所示。

表3 實(shí)驗(yàn)仿真參數(shù)

3.1 節(jié)點(diǎn)信譽(yù)度變化

隨著網(wǎng)絡(luò)的運(yùn)行，節(jié)點(diǎn)之間有了信息交互，節(jié)點(diǎn)信譽(yù)度發(fā)生變化。如圖5所示，節(jié)點(diǎn)的初始信譽(yù)值為0.6，隨著網(wǎng)絡(luò)運(yùn)行時(shí)間的增長(zhǎng)，正常節(jié)點(diǎn)的信譽(yù)等級(jí)呈現(xiàn)平滑緩慢上升趨勢(shì)，而由于惡意節(jié)點(diǎn)對(duì)鄰節(jié)點(diǎn)的惡意影響，惡意節(jié)點(diǎn)的間接信譽(yù)度對(duì)信譽(yù)等級(jí)產(chǎn)生較大影響，因此惡意節(jié)點(diǎn)的信譽(yù)等級(jí)出現(xiàn)快速下滑趨勢(shì)，當(dāng)信譽(yù)等級(jí)達(dá)到預(yù)警閾值0.45以下時(shí)，先觀察一個(gè)周期，發(fā)現(xiàn)其信譽(yù)等級(jí)仍存在下降趨勢(shì)，將其剔除出網(wǎng)絡(luò)。

圖5 節(jié)點(diǎn)信譽(yù)等級(jí)變化趨勢(shì)圖

3.2 性能分析

圖6表示在惡意節(jié)點(diǎn)數(shù)不同時(shí)的分組投遞率變化?？梢钥闯鲭S著網(wǎng)格內(nèi)惡意節(jié)點(diǎn)數(shù)的增加，兩個(gè)協(xié)議的分組投遞率都在減小，但改進(jìn)的網(wǎng)格Leader選擇協(xié)議的分組投遞率高于原網(wǎng)格Leader選擇協(xié)議的分組投遞率，這是因?yàn)榫W(wǎng)格內(nèi)惡意節(jié)點(diǎn)數(shù)增多，惡意節(jié)點(diǎn)的各種攻擊行為中斷了正常節(jié)點(diǎn)的報(bào)文傳送，而信譽(yù)系統(tǒng)及時(shí)檢測(cè)處理惡意節(jié)點(diǎn)，因此隨著惡意節(jié)點(diǎn)數(shù)的增加，改進(jìn)后的網(wǎng)格Leader選擇協(xié)議比原網(wǎng)格Leader選擇協(xié)議的分組投遞率影響更小。

圖6 不同惡意節(jié)點(diǎn)數(shù)下的分組投遞率

圖7表示在惡意節(jié)點(diǎn)數(shù)固定為20，節(jié)點(diǎn)在不同周期時(shí)的點(diǎn)到點(diǎn)平均時(shí)延?？梢钥闯龌谛抛u(yù)系統(tǒng)的網(wǎng)格Leader選擇協(xié)議點(diǎn)到點(diǎn)平均時(shí)延比原網(wǎng)格Leader選擇協(xié)議明顯偏高，這是因?yàn)榧尤胄抛u(yù)系統(tǒng)增加了點(diǎn)到點(diǎn)的身份認(rèn)證，節(jié)點(diǎn)的報(bào)文處理變復(fù)雜，對(duì)惡意節(jié)點(diǎn)的識(shí)別等都增加了路由開銷。

圖7 不同周期下的點(diǎn)到點(diǎn)平均時(shí)延

4 結(jié)束語(yǔ)

本文首先運(yùn)用形式化分析方法對(duì)GRID路由協(xié)議中的網(wǎng)格Leader選擇協(xié)議協(xié)議進(jìn)行安全性分析，得出該協(xié)議在面臨選擇新節(jié)點(diǎn)時(shí)只考慮到離網(wǎng)格中心的位置，易被內(nèi)部節(jié)點(diǎn)惡意攻陷，篡奪網(wǎng)格控制權(quán)。接著運(yùn)用基于信譽(yù)系統(tǒng)的方法從信譽(yù)度計(jì)算、信譽(yù)管理、信譽(yù)決策3個(gè)方面對(duì)網(wǎng)格Leader選擇協(xié)議進(jìn)行改進(jìn)，增加了以信譽(yù)度為首位的網(wǎng)格Leader優(yōu)先級(jí)選擇方案，在網(wǎng)絡(luò)通信前期識(shí)別出惡意節(jié)點(diǎn)并剔除，從而預(yù)防了內(nèi)部惡意節(jié)點(diǎn)的篡奪攻擊。本文對(duì)網(wǎng)格Leader選擇協(xié)議的形式化分析不夠深入，接下來(lái)應(yīng)采用更深入、更自動(dòng)的方法分析它的安全性，同時(shí)增加信譽(yù)系統(tǒng)后網(wǎng)絡(luò)通信性能影響很大，后續(xù)應(yīng)研究采用效率更高的算法改進(jìn)系統(tǒng)。