Mesh網絡安全路由協議聲譽模型的改進

曾 萍，宋 杰，楊亞濤，張 歷

（北京電子科技學院通信工程系，北京100070）

0 引 言

WMN作為一種大容量分布式網絡，具有自愈性、頻譜效率高、覆蓋范圍大、可拓展性強等眾多優勢［1］倍受人們關注，同時它也具有帶寬及資源受限等缺點。由于采用無線信道、有限資源、分布式控制，無線mesh網絡的安全隱患十分嚴重。它不像有線網絡那樣擁有實在的物理屏障作為防護設施，因此無線網絡的安全漏洞更加嚴重。

其中路由協議是mesh網絡最脆弱和最易遭受攻擊的環節，也是該網絡安全性研究的關鍵技術之一［2］。自配置和自適應的無線多跳路由機制要求網絡的各個節點之間必須相互協作，且不間斷的運行協議。并且在消息傳輸的過程中，又需要經歷如此長的 “戰線”。這就使得mesh網絡在路由過程中輕易的遭受各種攻擊。常見mesh路由攻擊［3］主要有以下幾類：

黑灰洞攻擊、DOS攻擊、DDOS攻擊、RUSHING攻擊、蟲洞攻擊、篡改偽造攻擊、女巫攻擊等攻擊行為：①黑灰洞攻擊的攻擊方法來自mesh網絡內部節點的丟棄包行為。某些mesh網絡內部節點通過欺騙偽造等不良手段搶先宣布自己有到達目的節點的路由，來吸引源節點與其建立路由騙取報文并將其丟棄或部分性的丟棄，形成吸收報文不對外繼續轉發的黑洞。②DOS攻擊、DDOS攻擊、RUSHING攻擊等攻擊的主要攻擊方法為通過對網絡發送大量路由請求、處理請求等無用信息來占用網絡資源，使得網絡在獲得必要的處理信息時無法對其進行及時處理。嚴重時，能夠造成網絡擁塞或者區域性的網絡癱瘓。③篡改攻擊以字義理解即對路由中的報文信息進行更改和刪除，該攻擊使得在尋找路由的過程中產生回路、重定向等問題，這就導致錯誤的路由信息產生或者網絡無法獲取最優路由從而影響了整個網絡性能。例如：在AODV路由中修改序號和跳數，在DSR路由包中修改路由節點序列等。④偽造攻擊主要由mesh網絡中的節點無法時時分析驗證報文的真實性所致，其攻擊手段為偽造不存在的路由或者曾經存在現已中斷的路由。通過該攻擊，網絡容易出現孤立節點、網絡部分分割及回路等危害。如DSR報文頭部含有從源節點到目的節點的路由。當被觀測節點的相鄰節點的情況、所處位置等拓撲信息被攻擊者監聽獲取后，通過對這些信息進行進一步流量分析，得到該節點在網絡中的功能和角色。借助這些信息，攻擊者可準確偽造成網絡中的一員并對網絡進行攻擊。而女巫攻擊屬于對節點位置信息的一種偽造。

1 Mesh網絡現有安全路由協議的研究

無線mesh網絡的路由協議存在許多安全問題，因此對無線mesh網絡安全路由協議的研究具有非常重要的意義。國內外許多針對mesh網絡安全路由協議的研究，主要集中于在mesh網絡的路由協議中加入CA［4］認證機制，該方案對于網絡的安全性來講可以抵御一小部分網絡的攻擊，一定程度上增強了網絡的安全性。但這類路由協議都存在這一個共同的缺陷：無法消除網絡內部節點的不良行為并對其進行懲罰，比如：mesh網絡安全路由協議ARWMN、SHSPU［5］、SMRPA［6］、SEAD［7］等。在這些協議中，均分別采用了CA認證機制對路由信息的整個報文或者報文中的路由序列、序列號、跳數進行加密，使得攻擊者無法對其路由協議進行修改，提高了網絡部分的抗攻擊性能，然而當網絡內部節點發起攻擊時，比如蟲洞攻擊、拒絕服務攻擊，這類協議無法采取相應的保護措施甚至無法識別惡意行為。在mesh網絡內部還存在著另一類不良節點——自私節點［8］，這類節點在mesh網絡中只享受服務而不提供服務，在網絡內部存在著嚴重的丟包棄包行為。自私節點的存在嚴重影響了mesh網絡中其它節點向網絡提供服務的積極性，降低網絡的性能，浪費了網絡資源，嚴重時形成網絡阻塞使得良好的節點也無法為網絡提供服務。所以在設計無線mesh網絡安全路由協議時，還應考慮對其內部節點的檢測。

針對內部節點不良行為檢測的解決方案主要有：

（1）Sergio Marti等人提出一種看門狗、選路人算法［9］。即每個節點各自維護一個緩存區記錄其鄰節點的行為特性。當網絡需要路由發送消息時，使數據包盡量避免經過那些可能存在不良節點的路徑。

（2）入侵檢測協議CONFIDANT［10］是由Sonja Buchegger和Jean－Yves Le Boudec共同提出，該協議的基本原理為是利用相鄰節點之間互相監視來發現排除不良節點。它通過節點自身觀察和相互通告的手段來檢測幾種已知類型的攻擊，使得網絡中節點在選擇路由時繞過可能的惡意節點。

（3）CORE機制［11］由PietroMichiardi和 RefikMolva二人提出，該機制是一種基于游戲理論的通過監視技術和名譽機制來激勵合作的算法。它的主要發現排除無線mesh網絡中的不良節點。

（4）協作式入侵檢測系統［12］由 Yongguang Zhang和Wenkle.Lee提出，該系統是一種基于簇結構的攻擊檢測。在該系統中，每個節點獨立地對攻擊進行檢測，有時需要其它節點的信息協同檢測，各個節點間不存在層次關系。

以上幾種不良節點的檢測方案各有不足：看門狗、選路人算法中節點之間互不通信使其不能全面檢測到有攻擊行為的不良節點，并且該方案只是避開不良節點，并不孤立和懲罰不良節點，反而為其免除了正常的轉發流量，客觀上獎賞了不良節點。CORE機制中僅針對自私節點進行檢測，檢測范圍很局限；而協作式入侵檢測和CONFIDANT中，都沒有對節點進行分級處理，當節點對鄰節點行為互相通報時會帶來的網絡業務繁忙、計算量大等不足，同時也存在浪費網絡資源占用大量帶寬的缺點。相比之下CONFIDANT即聲譽方案是一種較為有效的檢測不良節點的方案。

目前，已有各種有關聲譽值的計算模型在國內外陸續提出，而這些已提出的模型其構建基礎各有特色。其中基于概率統計的、證據理論及模糊集合理論的算法成為現有算法中的主流算法。具體的聲譽值計算模型主要有：

（1）貝葉斯估算法計算聲譽值［13］，Beth等人將聲譽分為直接聲譽和間接聲譽，并利用概率統計貝葉斯算法來合成直接聲譽和間接聲譽。

（2）熵聲譽值計算法［14］，Yah Sun等人對聲譽值的不確定性進行設計，并以信息論中的熵來度量。該模型還采用了貝葉斯估算法來計算直接聲譽值，聲譽值計算的同時還體現出聲譽值隨時間衰減的特性。

（3）證據理論聲譽值合成計算法，Bin Yu等人提出使用該算法合成聲譽的問題，而聲譽值觀測計算只基于節點的直觀觀察［15］。

總的來說，上述聲譽值計算模型中，有些只利用直接聲譽，得出的最終聲譽值不具客觀性；有些計算迭代次數高，使得最終聲譽值計算的過程收斂緩慢，在檢測出不良節點時需耗費較長的時間，即效率性不高；有些聲譽機制雖利用了間接聲譽，但其采取盲目接收的原則，因此不能抵抗節點間的聲譽值詆毀攻擊和欺騙攻擊，即魯棒性不高。

2 改進的聲譽值確定模型

首先對本文中用到的名詞和術語進行定義。

定義1 信任 （Trust）：一個實體根據另一個實體的某次行為，對其可靠性進行評估，評估具有主觀性。

定義2 聲譽 （Reputation）：在一定范圍內，由實體間的多次交易后，根據各個實體對觀測實體的滿意程度而得出的結論，該結論具有客觀性。

網絡中任意相鄰的兩兩節點之間相互進行行為監視，監視其所觀測的節點是否履行正常網絡功能，如網絡信息轉發、執行網絡路由請求等。假設網絡中的每個節點都會與多于兩個的節點進行通信，因此采用前后跳觀測節點行為的方案使得網絡中的每個節點都會有多于一個的觀測節點。當被觀測節點沒有履行正常的網絡功能或者正在對網絡進行某種攻擊時，觀測節點就會發現該被觀測節點的前后跳節點之間產生節點行為不一致的現象。在此將節點的行為列為節點信任事件表，依據該表觀測節點對其每個被觀測的節點給出其信任值，然后實時性的交予觀測節點所在微群的CA節點處，由每個群的CA節點依據各個節點發送的節點信任值，使用Markov鏈計算方案來計算群內每個節點的信任值。而每個微群的劃分是根據節點的區域，以及節點之間的最佳接收半徑來度量的。在此特別說明，向每個微群轉發信任值的節點由群內的節點和該微群邊緣節點非此微群的一跳節點組成。

2.1 定義節點信任事件表

首先由每個節點對其觀測節點進行信任值評估，設定好mesh網絡每個節點對其鄰節點的觀測半徑為R （選擇時根據最佳接收半徑來度量），即每個節點對其觀測范圍內的鄰節點的行為進行觀察，當前后跳的節點都在某個節點范圍內時，該節點就成為后跳節點的觀測節點，對其行為進行評估給出評估的信任值TV （trust value）。每個節點都有一個緩存區用來存放節點信任事件表以及被觀測節點的動態信任值評估表。其中，信任事件表是用來識別惡意節點或自私節點；對于被觀測節點動態聲譽值評估表將會及時發送給CA節點，成為CA節點最終做出決策的依據。

假設：mesh網絡內部中節點i的觀測范圍內，選擇前后跳節點都在此范圍的后跳節點為觀測節點，根據下面的節點信任事件表，對后跳節點的信任值進行評估，見表1。

表1 節點信任事件

2.2 CA節點的選擇

受惡意節點或其它因素的影響，單個節點對其觀測節點的信任值并不能客觀表示一個節點的行為。這就需要選擇一個額外的節點來評估各個節點的聲譽值。

Mesh網絡依據區域和節點之間通信的最佳接收半徑將其網絡中的節點劃分成一片一片的微群，圖1表示就是網絡中的一個微群G。而群G中的CA節點的選取依據群G內部每個節點的聲譽值，即聲譽值最高的節點將作為群G的CA節點，來管理微群G內所有節點的密鑰分發及微群G內各個節點的聲譽值的評估。而群G內聲譽值次高的節點將選作備用CA節點。當網絡中的CA節點遭受攻擊時，其聲譽值將急劇下降，此時備用CA節點將成為群G內的簇首節點，來執行CA節點的任務。規定CA節點和備用CA節點的聲譽值變化為普通節點的3倍和2倍。在圖1中，節點D、E、L、H、I為群G邊緣節點的非群內一跳節點，這些節點也會向群G的CA節點發送其評估的信任值。

圖1 群G中CA節點

2.3 基于Markov的聲譽值計算辦法

Markov鏈定義［16］：Markov鏈是一種特殊的隨機過程，既是一種時間離散、狀態離散的無后效過程。該體系的每次狀態轉移僅僅依賴于前一時刻轉移后的狀態，與更以前的體系狀態無關。其表達式為

其中狀態 ｛Xn，n≥0｝。P＝（pij）滿足以下兩個條件：

在進行節點的聲譽值計算時，判定一個節點的聲譽值只依據被觀測節點本次行為的好壞，而與過去節點的行為無關，并且滿足Markov表達式。

建立基于Markov鏈的聲譽值計算方案，將網絡中的節點設一個最高的聲譽值5，當節點的聲譽值大于5時就不再為節點增加聲譽值，即狀態X是一個閉區間 ［1，5］。

首先定義Tim和Rlj，其中，Tim表示節點m對節點i評估的信任值，Rlj表示第j次的各個節點的聲譽值。通過這兩個值來計算第j＋1次各個節點的聲譽值，即觀測節點的聲譽值是由各個節點的權重信任值累加而成。計算如下

根據Markov鏈中的Kolmogorov－Chapman方程可知

與節點聲譽值的期望E的表達式相對應，計算時還需要Tim和Rlj都轉化為概率形式。

另外，CA節點對每個節點每次評估的聲譽值進行積累，當兩個節點的聲譽值相同時，積累聲譽值高的節點會被選作CA節點，或者備選CA節點，這樣的選擇也會防止網絡中一些有過on－off攻擊行為的節點被選作CA節點。使用這樣的計算方法，更能有效的遏制節點的不良行為，更好的保持良好合作的網絡環境。從第n－1步到第n步的狀態值轉換公式為

在此

對惡意節點的懲罰：網絡節點聲譽值的高低，會產生各個節點間流量的差異，聲譽值好的節點流量會多于聲譽值一般的節點，這樣的獎懲措施更能激勵網絡節點間良好的合作，優化網絡環境。

3 改進聲譽模型的性能分析

本文的第2部分詳細的介紹了現有的入侵檢測方案及各種聲譽值計算模型。據此可知，目前主流的聲譽值計算模型是基于貝葉斯估算法聲譽機制。本文結合之前研究的優缺點，提出一種改進的聲譽模型，它采用前后跳的檢測方法以及Markov鏈的聲譽值計算方案。同之前基于貝葉斯估算法聲譽模型相比，該模型在性能上有以下優勢：

（1）復雜性小。改進的聲譽機制中，每次節點的聲譽值更新只于被觀測節點的本次行為有關，與之前的節點行為無關。即不需要對之前節點的評估結果進行遺忘因子的計算，復雜性較低。

（2）計算量小。改進的聲譽機制只有CA節點進行對各個節點的聲譽值權重計算來得出對每個被觀測節點較客觀的聲譽值，而之前的聲譽機制需要每個節點對被觀測的節點進行信任值和聲譽值計算。相比之下，改進的聲譽機制計算量大大減小。

（3）通信量小。改進的聲譽機制采用分簇式結構來評估節點的聲譽值。各個節點將各自實時評估的信任值統一交予自身所在群的CA節點，再由每個群的CA節點對其群內的所有節點進行聲譽值評判，最后結果將返回到群內各個節點。該方案只需要各個節點和CA節點進行通信，同之前方案需要節點之間兩兩通信交換聲譽值相比大大減少了所需的通信量。

（4）魯棒性較強。改進的聲譽方案擁有較小的通信量，對網絡的各種攻擊的檢測較為全面，即使當網絡中的CA節點遭受攻擊時，備用CA節點馬上會接管CA節點的任務，增加了網絡的魯棒性。

4 改進聲譽模型的安全性分析

本文采用前后跳節點的行為進行觀測來檢測異常節點的方案，對惡意節點的發現具有實時性。

改進方案的抗攻擊性能由現存網絡的各種攻擊進行驗證如下：

（1）篡改攻擊：觀測節點將前跳節點轉發的路由信息同后跳節點轉發的信息相比對，當發生篡改攻擊時，就會發現前后跳節點轉發信息出現不一致。

（2）偽造：當惡意節點偽造路由信息時，即路由中的某些節點是偽造的，這些偽造節點不會有觀測節點。根據節點信任事件表，若某個節點沒有觀測節點將被診斷為惡意行為并對此次路由提供者進行聲譽值懲罰。

（3）Wormhole攻擊：當觀測節點發現節點沒有根據路由信息中的路徑來轉發消息時，觀測節點根據前后跳節點及其路由信息發現該惡意行為，并根據節點信任事件表進行懲罰。

（4）BLACKHOLE攻擊：當節點丟包棄包時，節點沒有履行網絡功能。這樣的行為也將作為不良行為被觀測節點發現。

（5）RUSHING攻擊：mesh網絡中的節點不允許在節點轉發的周期內有重復發送服務請求的行為。因此改進的聲譽機制會遏制RUSHING攻擊。

同時，該方案對不良節點采取了適當的懲罰措施，保證了網絡的內部節點都是可信任的。

本文采用的方案滿足用戶對無線網絡安全性的一般要求，具體如下：

（1）可用性。確保網絡在遭受DOS攻擊或其它情況下仍能提供可靠的服務，在無線mesh網絡中，拒絕服務攻擊可以在任何層次發起，在路由層，攻擊者可以通過破壞路由協議，導致整個網絡不可用。改進的聲譽模型專門針對此攻擊進行服務請求控制，服務請求重發時間大于網絡的處理時間，確保了網絡的安全；

（2）私密性。是指保證特定的信息不會被未授權的節點獲得。在安全路由方面表現為對路由信息進行保密。改進的聲譽模型，對網絡外部節點不頒發CA證書，且對有嚴重不良行為的節點進行流量控制或將其剔出網絡；

（3）完整性。保證信息在傳輸過程中不被竄改且在路由過程中防止虛假的信息在節點間傳送來破壞網絡的可用性，改進的聲譽機制采用前后跳觀察節點的行為，一旦發現節點存在篡改和偽造的行為，觀測節點會對其聲譽值進行評估并傳送到CA節點進行懲罰；

（4）抗抵賴性。確保每條信息的發出節點不能否認曾發送過該信息，在改進的聲譽模型中，每個節點的行為都會被許多節點觀測并對其前后跳行為進行記錄，保證了節點的行為無法抵賴。總的來說，與之前的聲譽方案相比，改進的聲譽方案大大提高了網絡的安全性并有效遏制了內部節點的不良行為。

5 結束語

安全路由協議設計是無線mesh網絡中一個非常重要的研究方向。而現有的安全路由協議依然存在著許多問題，無法滿足無線用戶對mesh網絡的安全需求。針對目前的安全路由設計思路，本文對現有的聲譽模型進行了改進，其安全性能也有所提高。相對于之前的方案，本文設計了較為全面的節點信任行為表，可以較全面檢測網絡內部節點的入侵行為和自私行為，并采取相應措施；①對簇首節點的選擇進行了優化，避免了一旦簇首節點遭受攻擊，網絡性能就會嚴重下降的現象；②采用了Markov鏈來計算節點的聲譽值，降低了其復雜性。因此，與其它的檢測內部不良節點的方案相比較，本方案具有計算量小、檢測較全面、獎懲措施更健全能更好的激勵節點間互相合作的優點。

［1］JIANG Hongqi，KANG Kai，LIN Xiaokang.Broadband expanded accessing technology in wireless mesh network ［J］.Telecom Science，2005 （1）：24－30 （in Chinese）. ［姜紅旗，康凱，林孝康.拓展寬帶接入的無線mesh網技術 ［J］.電信科學，2005 （1）：24－30.］

［2］FANG Xuming.The next generation technology of wireless Internet：Wireless mesh network ［M］.Beijing：The People’s Posts and Telecommunications Press，2006：9－11 （in Chinese）. ［方旭明.下一代無線因特網技術：無線mesh網絡［M］.北京：人民郵電出版社，2006：9－11.］

［3］Ekram Hossain，Kin K Leung.Wireless mesh networks architectures and protocols ［M］.YI Yan，LI Qiang，LIU Bo，et al transl.Beijing：Mechanic Industry Press，2009：1－22（in Chinese）.［Ekram Hossain，Kin K Leung.無線 mesh網絡構架與協議 ［M］.易燕，李強，劉波，等譯.北京：機械工業出版社，2009：1－22.］

［4］SONG Zhixian，YU Jizhuo，XIAO Mingpo.Security routing protocol in the WMN ［J］.Journal of Xiamen University，2008，47 （6）：823－827 （in Chinese）. ［宋志賢，喻繼桌，肖明波.無線Mesh網絡中安全路由協議的研究 ［J］.廈門大學學報，2008，47 （6）：823－827.］

［5］YAN Qi.Security routing protocol in the WMN ［D］.Xi’an：Xi’an University of Electronic Science and Technology，2007（in Chinese）. ［閆琦.無線 Mesh網安全路由研究 ［D］.西安：西安電子科技大學，2007.］

［6］ZHANG Fuyi.Secure multipath routing protocol based on DSR［D］.Hefei：China Science and Technology University，2005（in Chinese）.［張福益.基于DSR的多徑路由安全協議 ［D］.合肥：中國科學技術大學，2005.］

［7］Lin Chuhsing，Lai Weishen，Huang Yenlin，et al.I－SEAD：A secure routing protocol for mobile Ad Hoc networks ［C］.Bussan，Korea：IEEE Infocom，2008.

［8］LIU Chunfeng，SHU Yantai，LI Mingyuan，et al.Delay modeling and analysis of IEEE 802.11DCF with selfish nodes［C］.Proceedings of the 4th International Conference on Wireless Communications，Networking and Mobile Computing.Piscataway，NJ，USA：IEEE Press，2008：1－4.

［9］Hasswa A，Zulker M，Hassanein H.Routeguard：An intrusion detection and response system for mobile Ad Hoc networks ［C］.Hotel Delta Centre－Ville Montreal，Canada：Wireless and Mobile Computing，Networking and Communication，2005：336－343.

［10］Kejun L，Jing D，Pramod K V，et al.An acknowledgment－based approach for the detection of routing misbehavior in MANETs ［J］.IEEE Transactions on Mobile Computing，2007，6 （5）：488－502.

［11］JING Qi，TANG Liyong，CHEN Zhong.The trust management of the wireless sensor network ［J］.Journal of Software，2008，19 （7）：1716－1730 （in Chinese）.［荊琦，唐禮勇，陳鐘.無線傳感器網絡中的信任管理［J］.軟件學報，2008，19 （7）：1716－1730.］

［12］ZHONG Yiping，YI Ping，JIANG Yichuan，et al.A survey of security for mobile Ad hoc networks ［J］.Acta Electronica Sinica，2005，33 （5）：893－899.

［13］Marcel Frigalat，Wang L.Measuring network security using Bayesian network－based attack graphs ［C］.Annual IEEE International Computer Software and Applications Conference.Washington USA：IEEE Computer Society，2006：698－703.

［14］Yan Sun，Wei Yu，Zhu Hart，et al.Trust modeling and evaluation in Ad hoe networks ［C］.St.Louis，Missouri，USA：IEEE Globecom，2005.

［15］TAN Changgeng，LI Jiang.The recommended trust model based on the Mobile Ad hoc network ［J］.Computer Techno－logy and Development，2009，19 （11）：68－71（in Chinese）.［譚長庚，李江.移動自組網中基于推薦的信任模型 ［J］.計算機技術與發展，2009，19 （11）：68－71.］

［16］ZOU Yongmei.Elements of information theory ［M］.Beijing：Science Press，2012：50－61 （in Chinese）.［鄒永魅.信息論基礎 ［M］.北京：科學出版社，2012：50－61.］