梁 靚 張鐠丹 武彥飛 賈云健

(重慶大學微電子與通信工程學院 重慶 400044)

1 引言

近年來，分布式網絡應用前景越來越廣泛，與集中式網絡相比，分布式網絡能有效避免因單個重要節(jié)點失效而影響整個網絡運行的問題。但也因為傳統(tǒng)網絡安全措施如身份認證、訪問控制等技術過于依賴中心節(jié)點的特點，分布式網絡安全問題需另找一條解決途徑——信任模型。

文獻[1]針對p2p網絡中典型的信任模型Eigentrust進行改進，保留每個節(jié)點與交互節(jié)點利用迭代得出全局信任值的優(yōu)點，還解決了Eigentrust模型對新加入節(jié)點估計不準確的問題。文獻[2]基于熵的信任模型和基于概率的信任模型提出了信任值建立和信任值更新方法并將所提出的信任模型和評估方法應用于adhoc網絡。文獻[3]基于adhoc網絡的特點提出了分布式自適應信任模型DATEA，分為單跳模塊與多跳模塊。單跳模塊可自適應地設置權重來計算直接信任值與推薦信任值，多跳模塊負責間接信任值的計算。文獻[4]針對無線傳感器網絡提出了一種分布式高效信任模型EDTM，考慮了直接信任值和推薦信任值。該模型在直接信任值中提出基于數據、能量和通信的3維信任證據，在推薦信任值中引入可靠性和熟悉度兩個指標以提高推薦信任值的準確性。文獻[5]針對水下無線傳感器網絡提出了一種基于C4.5決策樹的可信評估方法，該方法采用模糊邏輯信任模型收集各類信任證據并進行分析，再采用訓練好的C4.5決策樹完成信任值分類。文獻[6]基于水下傳感網絡易遭到混合攻擊的特點提出了一種分布式容錯信任模型，該模型分為3個階段。首先利用量化的環(huán)境模型反映水下環(huán)境對信任評估的影響；然后構建一個基于強化學習的信任更新模型來對抗混合攻擊；最后采用一種信任恢復模型來恢復低信任值的節(jié)點以提高網絡的資源利用率。

運用信任模型進行可信評估雖然是解決分布式網絡安全問題的重要手段，但很多針對分布式網絡提出的信任模型依賴于節(jié)點過去行為的歷史信任證據，可是初次對分布式網絡進行可信評估時是沒有這些信任證據的。一種解決方式是對網絡中所有節(jié)點統(tǒng)一設置信任值，這是許多現(xiàn)有信任模型采用的方式，其優(yōu)點是設置簡單且節(jié)省能量，缺點是統(tǒng)一設置的信任值并不代表節(jié)點的真實行為。另一種方式是對節(jié)點進行評估來獲取可靠的初始信任值，這種做法的優(yōu)點是可以在可信評估初始階段獲取節(jié)點的真實行為，從而對惡意節(jié)點和自私節(jié)點有更準確的預測。與統(tǒng)一設置初始信任值相比，該方式的缺點是相對復雜而且會消耗更多能量。在文獻[7]中，作者提出了一種在個人空間物聯(lián)網中創(chuàng)建設備初始信任值的方法。

本文基于挑戰(zhàn)-響應模型，提出了一種面向分布式網絡的可信評估方法。網絡節(jié)點通過該方法對挑戰(zhàn)進行響應，形成關于節(jié)點的先驗知識，用于度量其初始信任值。然后利用節(jié)點的初始信任值進行分簇，在簇內進行信任值計算和信任值更新，完成分布式網絡中整個可信評估的流程。

2 系統(tǒng)模型

2.1 網絡模型

本文所研究的分布式網絡結構如圖1所示，由一個超級節(jié)點和大量普通節(jié)點組成。

圖1 分布式網絡結構圖

其中，超級節(jié)點是擁有足夠能量的可靠節(jié)點，主要負責與普通節(jié)點實行挑戰(zhàn)-響應模型以獲取各節(jié)點的初始信任值。部署在一定區(qū)域范圍內的各個節(jié)點ni ∈N, i=1,2,...,M都由超級節(jié)點分配給它們一個唯一的標識符I Di。

2.2 攻擊模型

攻擊者對分布式網絡發(fā)起的內部惡意攻擊一般分為3個階段[8]，其各個階段的攻擊過程和攻擊可能帶來的后果如表1所示。分布式網絡中的節(jié)點通常都配備有編程接口或測試接口以便對其進行編程或者調試。其中，當攻擊者對節(jié)點發(fā)起物理捕獲攻擊時，一般手段是采用一塊編程板連接到節(jié)點的編程接口或測試接口來獲取節(jié)點中的關鍵信息[9]。所以在對分布式網絡進行可信評估前，必須假設當攻擊者發(fā)起物理節(jié)點物理捕獲攻擊時，每個節(jié)點都可以檢測到被編程板連接。

表1 內部攻擊過程及后果

3 基于挑戰(zhàn)-響應模型的初始信任值獲取

3.1 挑戰(zhàn)-響應模型

在網絡開始運行前，超級節(jié)點中需引入偽隨機數生成算法為每個節(jié)點生成獨一無二的挑戰(zhàn)數，該挑戰(zhàn)數在網絡中是公開的。然后，每個節(jié)點需生成密鑰對來實施挑戰(zhàn)-響應模型，運用RSA公鑰密碼算法原理[10–12]，對節(jié)點集合N={n1, n2,..., nM}進行預置密鑰操作。

節(jié)點完成預置密鑰后，超級節(jié)點和普通節(jié)點間實行挑戰(zhàn)-響應模型，以獲取每個普通節(jié)點的初始信任值。挑戰(zhàn)-響應模型的運作機制如圖2所示，不同顏色的線條代表不同的挑戰(zhàn)-響應輪次。據圖2可知超級節(jié)點與普通節(jié)點ni之間實施挑戰(zhàn)-響應模型的步驟如下：

圖2 挑戰(zhàn)-響應模型運作機制

(1)節(jié)點ni發(fā) 送[ IDi,(Ei,Ri)]給超級節(jié)點，超級節(jié)點把這個對應關系記錄在表中；

(2)超級節(jié)點生成一個挑戰(zhàn)數N oncei并把挑戰(zhàn)數發(fā)送給節(jié)點ni；

(3)節(jié)點ni收到挑戰(zhàn)后，結合標識符I Di、挑戰(zhàn)數N oncei以及自己是否感應到被編程板連接的狀態(tài)h(0表示連接狀態(tài)，1表示未連接狀態(tài))，采用密鑰對(Di, Ri)生 成響應R esponsei=Noncei //IDi//h并將(IDi,Responsei)發(fā)給超級節(jié)點；

(4)當超級節(jié)點收到響應后采用預存的密鑰(Ei, Ri) 對Responsei進 行解密得到消息序列I si，根據消息序列 Isi的不同，對應的響應結果由式(1)給出

第1種情況下，超級節(jié)點相信該節(jié)點未被捕獲；第2種情況下節(jié)點ni有很大可能被攻擊者的編程板連接，挑戰(zhàn)失敗且累計挑戰(zhàn)失敗次數為cnum/3次(cnum為挑戰(zhàn)的總輪數)；第3種情況表明這些節(jié)點可能是合作意愿較低的自私節(jié)點，挑戰(zhàn)失敗且累計挑戰(zhàn)失敗次數1次。利用上述挑戰(zhàn)-響應模型，可以獲得節(jié)點的響應結果。

3.2 初始信任值獲取

獲取節(jié)點初始信任值前，網絡中任一節(jié)點行為均具有不確定性。引入貝葉斯準則來度量節(jié)點行為的不確定性概率x。首先給x分配一個先驗分布p(x)，p(x)取自Beta函數族[7]，即

Beta(1,1)是均勻分布[13]。初次對網絡進行可信評估時，節(jié)點的任何一個信任值都可能對應任意概率，因此參數選擇α=β=1。在挑戰(zhàn)-響應模型中，響應被定義為二元事件，用r表示一輪挑戰(zhàn)結束后的響應結果。當r=1時，代表節(jié)點給超級節(jié)點的響應是預期中的響應，反之亦然。每一輪挑戰(zhàn)-響應回合后r發(fā)生的概率結合給定未知概率x如式(3)所示

當一輪挑戰(zhàn)-響應完成后，結合全概率式和條件概率式，利用貝葉斯準則更新x的后驗分布p(x|r)如式(4)所示

此時x的后驗分布也為Beta分布，且參數為(α+r) 和(β+1?r)。

在隨后幾輪的挑戰(zhàn)-響應中，x的估計將采用上一輪挑戰(zhàn)-響應結束后的后驗分布作為其先驗分布，在cnum輪挑戰(zhàn)-響應之后x 的后驗分布為p(x|r1r2...rcnum) ，其 參 數 為( 1+cnumrˉ) 和(1+cnum?cnumrˉ)。 因此cnum輪挑戰(zhàn)-響應結束后x的后驗分布期望值如式(6)所示

4 信任值計算與信任值更新

獲取節(jié)點的初始信任值后，對節(jié)點進行分簇：(1)將初始信任值最高的幾個節(jié)點選為簇頭節(jié)點，負責簇內管理；(2)剩下的節(jié)點被隨機均勻地分配到每一個簇中，形成如圖3所示的分層管理結構。

圖3 分布式網絡分層管理結構

4.1 信任值計算

評估節(jié)點A獲取被評估節(jié)點B信任值的步驟如下： (1)根據兩節(jié)點間的通信行為和節(jié)點B的剩余能量來計算直接信任值；(2)若節(jié)點A與節(jié)點B之間通信行為較少，則需挑選一組與節(jié)點A、B均有過交互的推薦節(jié)點 {C1,C2,...,CZ}給出推薦信任值；(3)若有推薦信任值，則需對直接信任值和推薦信任值進行加權得到整合信任值。信任值計算過程如圖4所示。

圖4 信任值計算過程

4.1.1 直接信任證據

(1) 基于通信行為的信任證據

基于主觀邏輯的信任模型引入了不確定度，比用單一數值表示節(jié)點間信任關系的方法更準確[14]，所以采用此信任模型來量化基于通信行為的信任證據。引入信任3元組 {b,d,u} ， 其中b,d和u分別對應于信任、不信任和不確定度，{b,d,u}的計算方法由式(8)給出

其中，b,d,u ∈[0,1]且b+d+u=1。s和f是指通信成功和不成功的次數，λ(λ>1)表示對不成功通信的懲罰因子。u是分布式網絡中的不確定因素，本文將其定義為動態(tài)變量u=δc(s+f)， 其中δc ∈(0,1)為不確定因素的調控因子?；谕ㄐ判袨榈男湃巫C據可表示為

(2) 基于能量的信任證據

分布式網絡中的節(jié)點依賴于它們所擁有的能量[5]，能量信任值的計算由式(10)給出

其中，θ為能量閾值，Eres和Eini分別代表節(jié)點當前剩余能量與未開始評估前的初始能量。若節(jié)點當前剩余能量較低，可能是參與了內部攻擊而消耗了節(jié)點自身過多能量，且剩余能量較低的節(jié)點可能無法與其他節(jié)點進行交互。因此可將剩余能量作為衡量能量信任值的指標。

基于通信信任值Tcom、能量信任值Tene，根據式(11)可獲得兩節(jié)點之間的直接信任值Tdir

其中，ωcom和ωene分別是通信行為信任證據和能量信任證據的權重，且ωcom+ωene=1。

4.1.2 推薦信任證據

若評估節(jié)點A與被評估節(jié)點B間通信數據包過少，還須加入推薦信任值以保證信任值計算的準確性[15,16]。節(jié)點A想獲取節(jié)點B的推薦信任值時，將挑選節(jié)點A和B的一組公共鄰居節(jié)點中初始信任值較高的節(jié)點作為推薦節(jié)點Ci(i=1,2,...,Z)。節(jié)點A收到多個推薦值時通過檢測每個推薦值的一致性來計算其權重，計算方法如式(12)所示

其中，c pAB是評估節(jié)點A與被評估節(jié)點B之間的通信數據包數量， Thnum是定義的通信數據包閾值；ωdir和ωrecom分別是直接信任值和推薦信任值的權重，ωdir+ωrecom=1。

4.2 信任值更新

本文采用基于新記錄滑動窗口的信任值更新機制?；谛掠涗浻|發(fā)的信任值更新原理是當有新的信任記錄產生時，滑動窗口移動，舊的信任記錄被移除窗口。如圖5所示窗口存儲節(jié)點的信任記錄，信任值更新開始后窗口隨新記錄的產生從左向右移動，定期清除歷史記錄。

圖5 滑動窗口示意圖

信任值更新應保持快降慢升的準則[17]，引入調節(jié)因子γ(0<γ<1)來 控制信任值更新的快慢，Tnew是最新記錄中的信任值，Told是歷史信任值。信任值更新方式由式(15)給出

5 仿真驗證與結果分析

本文采用MATLAB進行仿真驗證。在100 m×100 m的區(qū)域內隨機部署100個節(jié)點，設置挑戰(zhàn)-響應的輪數為10輪，經過挑戰(zhàn)-響應后獲取每個節(jié)點相應的初始信任值，選擇初始信任值不小于0.95的節(jié)點作為簇頭節(jié)點，隨機均勻地把剩下的節(jié)點分配到每一個簇中，簇頭節(jié)點擁有較多能量，簇內節(jié)點與簇頭節(jié)點之間的通信數據包c pAB隨機分配。參照文獻[4]的仿真參數設置，將通信數據包閾值Thnum的初始值設為60，信任值更新的輪數設為3輪。

現(xiàn)對基于挑戰(zhàn)-響應模型獲取節(jié)點信任值算法的復雜度進行分析。在挑戰(zhàn)-響應階段中，挑戰(zhàn)-響應總輪次數為cnum，所以獲取節(jié)點初始信任值的循環(huán)最多執(zhí)行cnumN次。設信任值更新的輪次為Tnum輪，則獲取節(jié)點直接信任值和間接信任值最多循環(huán)執(zhí)行 2N+N2次，信任值更新的循環(huán)執(zhí)行TnumN次。因此基于挑戰(zhàn)-響應模型獲取節(jié)點信任值算法的計算復雜度為O(cnumN+2N+N2+TnumN)，可在二次時間內求解。

5.1 挑戰(zhàn)-響應模型性能驗證

在此環(huán)節(jié)中設置惡意節(jié)點率為25%，自私節(jié)點率為10%(序號76-100為惡意節(jié)點，66-75為自私節(jié)點)，得到經挑戰(zhàn)-響應后獲取的節(jié)點初始信任值如圖6所示。從圖中可以看到惡意節(jié)點的初始信任值都很低，自私節(jié)點的初始信任值也不高，為信任值計算提供了可靠前提。

圖6 挑戰(zhàn)-響應后的初始信任值

圖7為經過3輪信任值更新后每一簇節(jié)點的信任值變化情況。從圖7(a)—圖7(c)中可以看到大部分節(jié)點信任值變化的幅度不大，反映出了挑戰(zhàn)-響應模型的誤判率較低，用初始信任值就可以較為準確地預測節(jié)點在信任值計算階段與信任值更新階段的表現(xiàn)。

圖7 各簇更新后的信任值

5.2 可信評估性能驗證

為驗證本文可信評估方法的性能，將基于挑戰(zhàn)-響應模型的可信評估方法與基于統(tǒng)一初始信任值的方法進行對比仿真實驗。在統(tǒng)一初始信任值的評估方法中，把所有節(jié)點的初始信任值設為0.5，信任值計算與信任值更新方式均與本文所設計的方法一致。

在圖8(a)中，惡意節(jié)點率由5%增加到40%，步進為5%。比較了兩種不同設置初始信任值方法下的惡意節(jié)點檢測率，基于挑戰(zhàn)-響應模型的可信評估方法中隨著惡意節(jié)點數量的增加，其檢測率依舊較高，而統(tǒng)一信任值方法的檢測率一直在30%至50%徘徊。

在可信評估中常用信任計算誤差(TCE)來評價模型的好壞[18]，TCE越小說明模型效果越好。設M是網絡中節(jié)點的數量，τt(i)是時間t內第i個節(jié)點的信任值，在一定時間t內

其中，pt(i)表示時間t內第i個節(jié)點為誠實節(jié)點的可能性，pt(i)=1 表示節(jié)點為正常節(jié)點，pt(i)=0表示節(jié)點為惡意節(jié)點，pt(i)=0.5表示節(jié)點為自私節(jié)點。在圖8(b)中，惡意節(jié)點率由5%增加到40%，步進為5%。比較了兩種不同設置初始信任值方法下TCE的變化，可以看出基于挑戰(zhàn)-響應模型的可信評估方法的信任計算誤差較小，模型性能更好。

圖8 基于挑戰(zhàn)-響應與無挑戰(zhàn)-響應方法的性能對比

文獻[4]針對無線傳感器網絡提出了一種分布式信任模型EDTM，該模型采用統(tǒng)一設置初始信任值并首次根據多維信任證據評估節(jié)點信任值。相關文獻[3,19]也將該經典模型作為基準進行了對比。本文所設計的模型與EDTM模型的對比結果如圖9所示。其中，圖9(a)為惡意節(jié)點檢測率的變化圖，可以看出基于挑戰(zhàn)-響應模型的評估算法的惡意節(jié)點檢測率始終高于基于EDTM模型的算法。圖9(b)為信任計算誤差的變化圖，由該圖可知基于挑戰(zhàn)-響應模型算法的信任計算誤差始終小于基于EDTM模型的算法。由此可以說明本文提出的算法性能更優(yōu)于基于EDTM模型的算法。

圖9 本文算法與EDTM模型算法的性能對比

6 結束語

為了解決在分布式網絡中運用信任模型進行可信評估時缺乏歷史信任證據的問題，本文提出了基于挑戰(zhàn)-響應模型的可信評估方法。整個可信評估過程分為兩步：第1步是在超級節(jié)點和普通節(jié)點間實施挑戰(zhàn)-響應模型來獲取普通節(jié)點可靠的初始信任值。第2步是利用獲得的初始信任值進行分簇并在簇內實現(xiàn)信任值計算和信任值更新，以達到提早檢測惡意節(jié)點并降低自私節(jié)點信任值的目的。仿真實驗結果表明，采用挑戰(zhàn)-響應后獲取的初始信任值可以較為準確地檢測出惡意節(jié)點并降低自私節(jié)點的信任值，使用此初始信任值完成整個可信評估流程后的惡意節(jié)點檢測率較高且信任計算誤差較小，所以在分布式網絡中運用挑戰(zhàn)-響應模型獲取節(jié)點的初始信任值并實施完整的可信評估流程是一種解決缺乏歷史信任證據問題的可靠手段。由于挑戰(zhàn)-響應模型涉及密鑰的生成與配送問題，耗時較長，如何做到高效且可靠地獲取節(jié)點初始信任值來完成可信評估是未來的研究方向。