基于動態鄰接信任模型的安全路由算法研究

韓挺，羅守山,3，辛陽，楊義先，程工，吳瀟

（1.北京郵電大學 信息安全中心，北京 100876；2.災備技術國家工程實驗室，北京 100876；3.北京安碼科技有限公司，北京 100876；4.國家計算機網絡應急技術處理協調中心，北京 100029）

1 引言

現階段針對網絡路由節點的攻擊越來越普遍且后果嚴重，路由節點面臨被劫持、冒用、惡意攻擊等風險。目前針對網絡中路由節點安全的解決方案較為常見的是采用數字簽名等基于密碼學的安全加固方式。關于利用數字簽名技術保護路由信息目前國內外已有相關研究，Murphy S等人[1,2]提出對OSPF協議鏈路信息進行簽名保護的方法；李道豐[3]等利用可凈化簽名技術提出一種新的開放式OSPF路由協議安全保護機制；Kent S[4]等提出采用公鑰加密機制對BGP的通信進行授權；Sanzgiri K[5]等提出基于按需路由協議 AODV 的安全路由協議ARAN，采用公鑰機制對REP 進行簽名。上述方案主要解決了路由節點的身份認證和身份可信問題，能夠抵御外部節點的虛假路由或篡改路由攻擊，但基于密碼學的安全手段無法防止路由網絡內部具有合法身份的路由節點或被劫持節點發起的惡意攻擊行為。

目前國內外學者對基于信任評估方法的路由節點信任安全解決方案進行了相關研究。Peng[6]提出的信任評估方案通過Bayes方法評估節點行為，從而獲得節點的主觀信任；SUN[7]、喻利[8]等提出了基于改進 Bayes理論的信任度計算方法，并在移動自組織網絡路由協議中進行了驗證；許智君[9]等提出了一種信任路由協議，該協議中各路由節點監聽鄰居節點的數據分組轉發行為，據此評價其信任度；王麗娜[10]等提出的模型是對路由實體之間的交互行為進行分析，評估路由實體的接入所帶來的網絡安全風險及網絡增益。以上路由節點信任算法模型均是將路由節點的行為作為判定路由節點信任信息的依據，其給出的評價粒度較粗，且僅基于路由行為的信任評價方式，對路由節點自身狀態發生異常但仍表現正常行為的情景未進行考慮，如狀態異常的路由節點仍能表現出正常的行為，僅以路由節點的行為來評價其可信程度，不夠合理全面，未真實反映路由節點的信任度，不能對惡意節點發起的攻擊進行及時有效的評價。路由安全信任現有方案的總結如表1所示。

表1 路由節點安全已有方案總結

針對現有路由安全信任方案中的不足，為了更好地體現路由節點的動態信任，提高路由節點選路的可信度，本文首先提出一種動態鄰接信任模型，該動態信任模型從路由節點的狀態和行為入手，將路由節點的信任度分為狀態信任和行為信任；采用多屬性決策理論對路由節點的狀態信任進行度量并采用 Bayes模型對路由節點的行為信任進行度量；最終通過灰色關聯理論對狀態信任和行為信任進行整合得出路由節點的動態鄰接信任值。本文在動態鄰接信任模型的基礎上，提出了一種新的基于鄰接信任熵的安全路由算法。該路由算法使用信任采集模型采集路由節點的動態鄰接信任值，減小信任采集對已有網絡的影響，同時在路由選路時參考動態鄰接信任值，從而選擇可信度較高的路徑。基于鄰接信任熵的安全路由算法可以減少狀態異常節點和惡意攻擊節點給網絡帶來的破壞，具有良好的動態響應能力，保證了路由網絡中路由節點的狀態和行為可信。

2 動態鄰接信任模型分析與設計

信任關系是一種建立在自身知識和經驗基礎上的判斷，是一種實體與實體之間的主觀行為，是基于觀察所得到的經驗總結[11]。信任包括直接信任、間接信任和經過不同計算方法得到的節點總體信任。直接信任是指在給定的上下文中，評估主體根據所觀察的直接接觸信息的歷史記錄而形成的對另外一個實體的信任評估；間接信任是評估主體根據推薦者所提供的信任進行相關處理，最終給出的對實體的信任評估；節點總體信任是評估主體對直接信任和推薦信任進行相關組合形成的信任評估[12]。

直接信任可以保證信息的可靠傳遞，而間接信任由于作為推薦者的中間節點可能修改或篡改信息而出現惡意推薦（合謀攻擊），因此本文采用鄰接方式來獲得路由節點的直接信任信息，避免間接信任對信任評價帶來的不利影響。本文提出的動態鄰接信任（DAC-trust, dynamic adjacent credibility trust）模型包含動態狀態信任值(DSC，dynamic state credibility)的計算方案設計、動態行為信任值 (DBC,dynamic behavior credibility)計算方案設計以及動態鄰接信任值（DAC, dynamic adjacent credibility）計算方案設計。

定義1（動態鄰接信任值）動態鄰接信任值是指評價主體以直接信任的方式（鄰接采集）獲取到的路由節點的動態信任信息，動態鄰接信任值分為動態狀態信任值和動態行為信任值。

定義2（動態狀態信任值）動態狀態信任值是指評價主體以直接信任的方式通過對路由節點狀態信息進行信任評價而獲取到的動態信任信息。

定義3（動態行為信任值）動態行為信任值是指評價主體以直接信任的方式通過對路由節點行為信息進行信任評價而獲取到的動態信任信息。

2.1 動態狀態信任值計算方案設計

采用多屬性決策理論[13,14]對路由節點的動態狀態信任值進行評價計算。根據多屬性決策理論，將對路由節點狀態的n維屬性做出的評價e（evaluation）的可能值的集記為E=e1×e2×…e n，即E為各分屬性的笛卡爾積，稱E為多屬性偏好集。其屬性值為E=[e1×e2×…×en]T，其中，ei（i=1,2,…,n），簡記為E，ei為各屬性的信任評價值。各屬性的權重向量定義為W={w1,w2,…,wn}，其中，0≤wi≤1(i=1,2,…,n)且定義E上的效用函數為Y(E)，屬性ei的效用函數為yi(ei)，且0≤yi(ei)≤1(i=1,2,…,n）。

本文在衡量路由節點可信度時，采取風險厭惡的態度，且根據路由節點狀態屬性的重要程度將各屬性進行排序。假設選取的路由節點狀態的各屬性相互獨立，則有

為了在對狀態可信度進行衡量中體現對風險的厭惡，本文采用冪函數來表示所有維度的效用函數，其計算公式為

其中，gi為常數，且gi＞0，0≤ei≤1(i=1,2,…,n），εi為常數且 0≤εi≤1(i=1,2,…,n)。由式（1）和式（2）得出

本文中路由節點狀態主要考慮以下4個維度：實時流量（throughput）、響應時間（response time）、網絡時延（delay）以及安全系數（security），即E=et×er×ed×es。其中，實時流量為某時間段內停留在路由器節點內的數據分組數量，由通過路由節點的入口處流量(進入路由器的流量)到出口處流量(流出路由器的流量)來決定；響應時間與該路由節點的等待隊列長度和該節點的處理速度有關，等待隊列越長則響應越慢，處理速度越快響應越快；網絡延時反映該節點與相鄰節點間鏈路的帶寬等通信質量問題；安全系數是指對路由節點的安全加固措施以及路由器本身所采取的安全配置。此外假設路由節點為穩妥型，即設gi=1，εi=1/2(i=t,r,d,s)。設每次信任信息采集的初始時間為t1，結束時間為t2，則第k次信任采集的時間為△tk=t2-t1。

動態狀態信任的計算由評價的效用函數Y(E)按照路由節點的狀態屬性加權平均而來,考慮了評價的效用性，對某一路由節點的第N次動態狀態信任計算公式為

其中，當N=0時，fdsc(N)=0；當N≥1時fdsc(N)的計算公式為

式（4）和式（5）中，DSC的計算由評價的效用函數Y(E)按照路由節點狀態各個維度的相應屬性加權平均而來，既考慮了評價的效用性, 又考慮了每次狀態變化對信任評價的影響。

2.2 動態行為信任值計算方案設計

路由節點動態行為信任值觀測計算時使用Bayes模型。根據路由信任的本質，路由轉發僅有成功與失敗2種情況，因此路由節點能夠成功完成路由的次數和失敗的次數均可看作是一個隨機變量，并服從概率近似為p的二項事件，因此可利用二項事件后驗概率分布服從 Beta 分布的特性推導動態鄰接信任關系[15]，其計算公式為

其中，n=s+f，且s、f分別表示事件成功次數和失敗次數，此概率是對路由節點未來行為的期望值，可用以表示路由節點的行為信任值。

引入獎賞因子（RD）和懲罰因子（PN），為了體現信任建立難失去容易的特性，設懲罰因子大于獎賞因子。引入獎勵因子和懲罰因子后的動態鄰接信任值的計算公式為

其中，RAT為節點整體歷史行為良好率，其計算公式為

為了體現信任值的時間敏感特性，減少過去行為信息對當前信任值的影響，增加最近發生事件的權重，引入指數衰減因子(遺忘因子)來減少過去行為的影響。引入指數衰減因子后的動態行為信任值計算公式為

其中，c為指數衰減系數。

以上所提到的參數可以按照具體應用的需要進行調整，表明了本文信任模型的靈活性。

2.3 動態鄰接信任值計算方案設計

本文采用灰色關聯理論[16～18]結合路由節點的動態狀態信任、動態行為信任等信任信息，將由灰色關聯理論計算得到的關聯度作為路由節點的動態鄰接信任值，反映一段時間內路由節點的信任值及其變化。

定義 4（動態狀態信任流）定義動態狀態信任值流為序列DSCs=(dss(1),dss(2),…,dss(k),…,dss(n))，其中，dss(k)為時間節點k時路由節點的動態狀態信任值。

定義 5（動態行為信任流）定義動態行為信任值流為序列，其中，DBCs=(dbs(1),dbs(2),…,dbs(k),…,dbs(n))，其中，dbs(k)為時間節點k是路由節點的動態行為信任值。

根據灰色關聯理論，設鄰接信任評估比較序列為dacs=(dacs(1),dacs(2),…,dacs(k),…,dacs(n))，其中，dacs(k)=min(dss(k),dbs(k))。

設鄰接信任評估的參考序列為dacs0=(dacs0(1),dacs0(2),…,dacs0(k),…,dacs0(n))，該序列為路由節點狀態和行為的信任評價信息均為最優時的鄰接信任評估比較序列。

根據灰色關聯理論中灰色關聯度的計算方法，動態鄰接信任DAC的計算公式如式（10）和式（11）。

其中，τ稱為分辨系數。當τ≤0.546 3時，分辨力最好，通常取τ =0.5。

定理1根據灰色關聯理論[18]，動態鄰接信任值DAC穩定的充分必要條件如下。

1) 0<(dacs(k),dacs0(k)) ≤1,?k; 1dacs(k)= dacs0(k)。

2) 設X為灰關聯因子集，DAC(X,Y)= DAC(Y,X)<=> X={x,y,}。

3)xi,xj∈X={xk|k=0,1,2,…,n},n≥2。

DAC(xi,xj)≠DAC(xj,xi),且n為有限數，n∈N,N為自然數集。

證明

必要性。

1) 若|dacs(k)-dacs0(k)|= minmin |dacs(k)-dacs0(k)|即dacs(k)=dacs0(k)，則DAC(dacs(k),dacs0(k))=1;

若|dacs(k)-dacs0(k)|≠maxmax|dacs(k)-dacs0(k)|，則DAC(dac(k),dacs0(k))=(minmin|dacs(k)-dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)| < (maxmax|dacs(k) -dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)|=1，易知(minmin|dacs(k)-dacs0(k)|+τmaxmax|dacs(k) -dacs0(k)|)/(1+τ)maxmax|dacs(k)-dacs0(k)|>0；

由上可知1

2) 若X={x,y}，則有|x(k)-y(k)|=|y(k)-x(k)|，maxmax|x0(k)-x(k)|=max|x0(k)-x(k)|，因此DAC(X,Y)=DAC(Y,X)

3) 若X={xk|k=0,1,2,…,n}，n≥2，則有

maxmax|xa(k)-xj(k)|≠ maxmax|xb(k)-xj(k)|則DAC(xi,xj)≠DAC(xj,xi)。

充分性。

記k時刻|dacs(k) -dacs0(k)|為Δ(k)，則各時刻的最小絕對差和最大絕對差分別為Δmin=minmin|dacs(k)-dacs0(k)|；Δmax= maxmax |dacs(k)-dacs0(k)|。

dacs(k)、dacs0(k)兩因素曲線在k時的相對差值即灰色關聯系數可用式(12)來表示。

灰色關聯系數具有一定的分散性，因此用其平均值作為集中化處理的一種方法。所以節點的動態鄰接信任值DAC的計算公式如式(10)。

證畢。

由定理1可以推導出動態鄰接信任值的性質1。

性質 1當路由節點狀態及行為信任評價信息越接近其最優值時，路由節點的動態鄰接信任值越高，即|dacs(k) -dacs0(k)|越小，DAC越大。

根據定理1和性質1可知，動態鄰接信任值可以正確地反映節點的狀態和行為信任評價信息。

2.4 DAC-Trust仿真分析

采用 Opnet仿真軟件構建路由交換網絡，對DAC-Trust模型進行仿真實驗，并從兩方面分析動態信任模型：1) 模型準確性分析，驗證所提出的信任模型與算法是否能夠準確地反應路由節點的行為與狀態變化；2) 動態響應能力分析，動態的信任評估模型應該具有良好的動態響應能力，以刻畫實體信任演化程度。

1) 準確性分析

實驗場景設計：在開放的路由交換網絡中對 3個路由節點進行信任評價，其中，節點 1處于正常狀態且行為表現正常（僅存在小概率的路由轉發失敗行為）；節點2處于緊急狀態且存在較多異常行為（存在一定概率的路由轉發失敗行為）；節點3由緊急狀態轉移至危險狀態且產生攻擊行為（進行惡意攻擊，存在較大概率的路由轉發失敗行為）。

DAC-Trust模型的準確性分析仿真結果如圖 1所示。三角形標記代表節點 1，在初期存在一定小概率的路由轉發行為導致信任值略低于 0.8，當路由行為穩定后，其信任值穩定在 0.8以上的較高水平。正方形標記代表節點 2，由于其處于緊急狀態所以信任值一直低于0.7，當其產生一定概率的路由轉發失敗行為后，其信任值下降到 0.6以下。圓形標記代表節點 3，初期從緊急狀態轉移至危險狀態，其信任值從0.7下降至0.6左右，當其產生較大概率的路由轉發失敗行為后，其信任值下降至 0.2左右。綜上所述，動態鄰接信任模型能夠準確地反應路由節點行為和狀態變化對信任帶來的影響。

圖1 DAC-Trust模型的準確性分析仿真結果

2) 動態響應能力分析

實驗場景設計：基于以上的實驗環境，本文的DAC-Trust模型和采用Bayes模型動態信任計算模型進行比較，即采用2種信任模型計算同一路由節點的信任值。假定路由節點是從正常狀態和正常行為開始，而后隨著狀態的惡化（如其安全性遭到破壞導致狀態惡化），最后處于危險狀態表現出惡意行為的過程。

DAC-Trust動態響應能力分析仿真結果如圖 2所示。正方形標記為采用Bayes動態信任模型的計算結果，三角形標記為采用DAC-Trust模型的計算結果。當路由節點狀態出現惡化時（150s左右），由于Bayes信任模型未考慮路由節點狀態信息其計算得到的信任值暫時仍保持較高水平（0.8），直到其表現出惡意行為之后其計算得到的信任值才開始下降。DAC-Trust考慮了路由節點狀態信息，因此，當狀態惡化之后DAC-Trust及時作出響應其計算得到的信任值會隨之下降。綜上所述，DAC-Trust模型在信任計算動態響應方面優于 Bayes信任模型。若突發事件發生，DAC-Trust 模型能比 Bayes信任模型更快做出響應。

圖2 DAC-Trust模型與Bayes模型動態響應能力比較

3 基于動態鄰接信任熵的可信路由算法研究

3.1 CCM平臺設計

本文設計了信任采集平臺（CCM, credibility collect monitors）對動態鄰接信任信息進行采集。CCM 的引入保證了動態鄰接信任信息的可靠獲取和傳遞，其結構如圖3所示。

圖3 CCM結構

CCM采用可信計算平臺模塊保證CCM自身平臺的完整性和安全性。CCM 利用信任信息采集評估模塊來采集和計算路由節點的信任信息。

考慮到CCM對網絡的影響，CCM采用監聽/采集部署方式。監聽/采集方式是指CCM通過監聽動作和采集動作獲得路由節點的相關可信信息。一個CCM 可以同時監測幾個路由節點。這種部署方式的優點是只需要幾個CCM就可以監視整個路由網絡，同時CCM之間可以通過專有網絡來交互信息，不給現有網絡添加多余的負擔。圖4為CCM的部署方式。

圖4 CCM的部署方式

CCM進行信任值采集的過程如下。

1) CCM部署。采用監聽/采集方式部署CCM。在路由網絡中部署若干個CCM監視所有路由節點。

2) CCM信任信息采集。CCM通過監聽動作獲得并計算動態狀態信任值。CCM 通過采集動作獲得動態行為信任值。

3) CCM信任整合。將采集到的動態狀態信任值和動態行為信任值通過計算整合為路由節點的動態鄰接信任值。

4) CCM之間信任信息交互。每個CCM采用可靠泛洪的方式將其采集到的路由節點的動態鄰接信任值在CCM專有網絡中洪泛給其他CCM。通過信任信息交互，每個CCM都能獲得到整個網絡中所有路由節點的動態鄰接信任值。

5) CCM 與路由節點之間信任信息交互。當CCM 獲得整個網絡中所有路由節點的鄰接信任值后，將這些鄰接信任值的信息發送給其監視的路由節點，從而使每個路由節點都能獲得整個網絡中其他路由節點的鄰接信任值。

3.2 動態鄰接信任熵

為了評估出指定路由節點和目的路由節點之間的可信度最高的路線，本文引入動態鄰接信任熵（DACE, dynamic adjacent credibility entropy）。

定義 6(動態鄰接信任熵)假設路由節點a到路由節點b存在n條可達路徑，記為集合route(a→b)，中間節點集合為C={ci,i=1, 2,3,…}。對于其中任意一條路徑rα=a→c1→c2→c3→…→cm→b，定義在t時刻時路徑rα的動態鄰接信任熵為DACE，其計算公式為

由文獻[10]可知，一條鏈路的DACE越小，該條鏈路的總體信任程度越高，信任分布越均勻，同時跳數也越小。

3.3 基于動態鄰接信任熵的安全路由算法設計

基于動態鄰接信任熵的安全路由算法（DACERA dynamic adjacent credibility entropy security routing algorithm）是一個包含局部最優解的貪心迭代過程。本文采用Dijkstra算法來實現該貪心迭代過程并定義函數CalDACE()來計算2點之間鏈路的動態鄰接信任熵。由于 DACERA是基于 Dijkstra算法且CalDACE()函數只增加了一個常量因子，所以DACERA的計算復雜度與Dijkstra算法相同為O(|E|+|R| log |R|)。

以下給出以路由節點r1為源節點的 DEACRA的具體形式化描述，其流程如圖5所示。

圖5 DACERA算法流程

1) 初始時設全部路由節點的集合為R，令集合S={r1},T={除了r1以外的其他節點}。

2) 若存在路徑(r1,ri)且尚無權值則利用函數CalDACE()計算DACE(r1,ri)，將該路徑的權值設為DACE(r1,ri)；若不存在路徑(r1,ri)將該路徑權值設為∞。

3) 從T中選取一個權值最小的節點rw加入S。

4) 對T中節點的路徑的權值進行修改：若加進rw為中間節點，重新利用函數CalDACE()計算DACE(r1,ri)，若從r1到ri的DACE(r1,ri)不包含rw的DACE(r1,ri)要小，則修改此路徑的權值。

5) 重復上述步驟，直到S中包含所有節點，即S=T為止。

3.4 DACERA路由算法驗證及仿真分析

為了驗證DACERA路由算法，本文在現有的OSPF路由協議中引入了本算法。通過OPNET來仿真采用DACERA的OSPF路由協議，同時將采用 DACERA的 OSPF協議同基于數字簽名的OSPF協議[1]以及同文獻[6～8]中的采用 Bayes理論的動態信任計算模型的OSPF協議進行比較。

1) 采用 DACERA的 OSPF協議同基于數字簽名的 OSPF協議仿真比較，其仿真參數如表 2所示。

表2 仿真參數

從仿真結果圖6(a)可以看出，隨著被攻擊的節點的增加，分組丟失行為也不斷增多，采用DACERA的OSPF協議的分組投遞數受到的影響明顯低于數字簽名OSPF協議，其分組投遞數始終高于數字簽名 OSPF協議，這主要是由于采用DACERA的OSPF協議在路由選擇時會選擇可信度較高的路徑，避免了實施惡意攻擊的路由節點出現在路由路徑上，減少了分組的丟棄，增加了整個網絡運行的穩定性。

根據圖6(b)可以發現實施惡意攻擊的節點隨著時間增加導致分組丟失數逐漸增加，特別是第一個被惡意攻擊的節點出現后，數字簽名OSPF協議的分組丟失率明顯增加。而采用 DACERA的 OSPF協議，將實施攻擊的節點排除在路由路徑之外，對實施惡意攻擊的節點使用率減少，因此與數字簽名OSPF協議相比，分組丟失數明顯減少，具有更好的抵御惡意攻擊的能力。

通過整個網絡收集全局統計量平均值 OSPF平均發送流量（bit/s）的仿真結果來分析路由的開銷情況。從圖 6(c)可知，采用 DACERA的 OSPF協議是收斂的。在0～300 s之間，整個網絡中路由交換的數據量較大且變化較快；在300 s之后網絡進入到收斂狀態，所以仿真進行到300 s以后，數據通信量趨于零。從仿真結果可以看出，由于要進行可信信息的采集以及可信信息的評估，采用DACERA的OSPF協議在大約200 s時開始收斂，采用數字簽名的OSPF在大約180 s時開始收斂。由于路由節點需要通過報文與 CCM 之間交換可信度的信息，采用DACERA的OSPF協議的路由開銷比數字簽名OSPF協議略大。

圖6 采用DACERA的OSPF協議同基于數字簽名的OSPF協議仿真比較

綜上所述，在存在攻擊的情況下，采用DACERA的OSPF協議較采用數字簽名的OSPF協議有更好的抗攻擊性、更高的分組投遞率以及更低的分組丟失率。

2) 采用DACERA的OSPF協議同采用Bayes理論的動態信任計算模型的OSPF協議仿真比較，其仿真參數如表3所示。

表3 仿真參數

從仿真結果圖7(a)可以看出，隨著狀態異常節點的增多，采用DACERA的OSPF協議的分組投遞數受到的影響明顯低于采用Bayes理論的OSPF協議，其分組投遞數始終高于采用 Bayes理論的OSPF協議，這主要是由于采用DACERA的OSPF協議在路由信任評價時采集節點的狀態信息，避免了狀態異常的路由節點出現在路由路徑上，減少了分組的丟棄。在180 s時，當信任信息采集完成后，采用DACERA的OSPF協議的選路基本避開狀態異常節點，分組投遞數隨之增加；而采用Bayes理論的OSPF協議直到狀態異常節點出現異常行為后才能在選路時避開這些節點（240 s左右）。因此與采用Bayes理論的OSPF協議相比，采用DACERA的OSPF協議在動態節點變化中具有更好的動態適應能力。

根據圖7(b)可以發現隨著狀態異常節點的增加導致 OSPF網絡中分組丟失數逐漸增加，但采用DACERA的OSPF協議通過DACERA基本將狀態異常的節點排除在路由選路之外，對狀態異常節點的使用率減少，與采用Bayes理論的OSPF協議相比，分組丟失數明顯減少。因此與采用Bayes理論的OSPF協議相比，采用DACERA的OSPF協議能更細粒度地對路由信任進行評價，減少狀態異常路由對網絡的影響，提高網絡的穩定性。

圖7 采用DACERA的OSPF協議同采用Bayes理論的動態信任計算模型的OSPF協議仿真比較

通過整個網絡收集全局統計量平均值 OSPF 平均發送流量（bit/s）的仿真結果來分析路由的開銷情況。從仿真結果圖7(c)可以看出，由于采用DACERA的OSPF協議同采用Bayes理論的OSPF協議均要進行可信信息的采集以及可信信息的評估，兩者路由開銷的差距細微即采用DACERA的OSPF協議同采用Bayes理論的OSPF協議具有相近的路由性能。

綜上所述，在存在異常狀態節點的情況下，采用 DACERA的 OSPF協議較采用 Bayes理論的OSPF有更好的動態適應能力、更細粒度的信任評價、更高的分組投遞率、更低的分組丟失率以及更高的網絡穩定性。

4 結束語

首先本文在深入研究了路由節點的狀態信息及行為信息的基礎上，設計了路由節點的動態狀態信任值計算方案和動態行為信任值計算方案，最后通過引入灰色關聯理論，提出了一種有別于傳統信任模型的動態鄰接信任模型。仿真結果表明該模型能夠準確反映路由節點的狀態和行為信任信息并具有更高的動態響應能力；其次本文在動態鄰接信任模型的基礎上提出了基于動態鄰接信任熵的安全路由算法并在現有 OSPF協議中對該算法進行了驗證。仿真結果表明，該算法可以有效地評測節點的動態鄰接信任值并且在路由選擇時選擇可信度較高的路徑，有效抵御惡意行為和狀態異常節點的攻擊，具有更好的動態響應能力以及更細粒度的信任評估，有效地提升了網絡的抗攻擊性及穩定性。

[1] MURPHY S, BADGER M, WELLINGTON B．OSPF with digital signatures[EB/OL].http：//www.faqs.org/rfcs /rfc2154.html．

[2] MURPHY S, BADGER M.Digital signature protection of the OSPF routing protocol[A].Proceedings of the Symposium on Network and Distributed System Sercurity[C].Washington DC,USA,1996.93-102．

[3] 李道豐, 楊義先, 谷利澤.采用可凈化簽名的 OSPF協議安全保護機制[J].北京郵電大學學報,2011,34(3)：79-83.LI D F, YANG Y X, GU L Z.Secure protection mechanism for OSPF protocol with sinitizable signature scheme[J].Journal of Beijing University of Posts and Telecommunications, 2011, 34(3)：79-83.

[4] KENT S, LYNN C, SEO K.Secure border gateway protocol(SBGP)[J].IEEE Journal on Selected Areas in Communications, 2000,18(4)： 582-592.

[5] SANZGIRI K, DAHILL B, LEVINE B N.A secure routing protocol for ad hoc networks[A].Proeedings of the 10th IEEE International Conference on Network Protocols[C].Paris, France, 2002.

[6] PENG S C, JIA W J.Voting-based clustering algorithm with subjective trust and stability in mobile ad-hoc networks[A]. Proceedings of IEEE/IFIP International Conference on Embedded and Ubiquitous-Computing[C].Washington, DC, USA, 2008.3-9.

[7] SUN Y X, HUANG S H, CHEN L.Bayesian decision-making based recommendation trust revision model in ad hoc networks[J].Journal of Software, 2009, 20(9)： 2574- 2586.

[8] 喻莉,李靜茹,劉祖浩.基于自適應遺忘機制的半環信任模型[J].電子信息學報.2011, 33(1)：175-179.YU L, LI J R, LIU Z H.Semiring trust model based on adaptive forgetting scheme[J].Journal of Electronics & Information Technology,2011, 33(1)：175-179.

[9] 許智君,胡琪一,張玉軍.MANET網絡激勵節點協作的信任評估路由協議[J].通信學報.2012, 33(7)：27-35.XU Z J, HU Q Y, ZHANG Y J.Trust evaluation routing protocol to enforce cooperation in mobile adhoc networks[J].Journal on Communications, 2012, 33(7)：27-35.

[10] 王麗娜,趙磊, 郭遲.一種基于信任理論的路由安全接入與選路模型[J].武漢大學學報.2008, 10(10)：999-1002.WANG L N, ZHAO L, GUO C.A network connection and routing model based on trust theory[J].Geomatics and Information Science of Wuhan University, 2008, 10(10)：999-1002.

[11] 賀利堅, 黃厚寬, 張偉.多Agent 系統中信任和信譽系統研究綜述[J].計算機研究與發展, 2008, 45(07) ： 1151- 1160.HE L J, HUANG H K, ZHANG W.A survey of trust and reputation systems in multi-agent systems[J].Journal of Computer Research and Development, 2008,45(07)： 1151- 1160.

[12] DUMA C, SHAHMEHRI N, CARONNI G.Dynamic trust metrics for peer-to-peer systems[A].Proceedings of the 16th Intel Joint Workshop on Database and Expert Systems Applications[C].Washington DC,USA, 2005.776-781.

[13] 魏世孝, 周獻中.多屬性決策理論方法及其在 C3I 系統中的應用[M].北京： 國防工業出版社,1998.31-45.WEI S X, ZHOU X Z.Multiple Attribute Decision Making Principle and Its Application In C3I System[M].Beijing： National Defense Industry Press, 1998.31－45.

[14] 甘早斌, 丁倩, 李開.基于聲譽的多維度信任計算算法[J].軟件學報, 2011,22(10)：2401－2411.GAN Z B, DING Q, LI K.Reputation-based multi-dimensional trust algorithm[J].Journal of Software, 2011,22(10)：2401－2411.

[15] 洪亮, 洪帆, 彭冰.一種基于鄰居信任評估的蟲洞防御機制[J] .計算機科學, 2006 , 33 (8)： 130-133.HONG L, HONG F, PENG B.Defend against wormhole attack based on neighbor trust evaluation in MANET[J].Computer Science, 2006,33 (8)： 130-133.

[16] 鄧聚龍.灰色系統理論教程[M].武漢：華中理工大學出版社,1990.128-134.DENG J L.Grey System Theory Tutorial[M].Wuhan： Huazhong University Press, 1990.128-134.

[17] 徐蘭芳, 胡懷飛 ,桑子夏.基于灰色系統理論的信譽報告機制[J].軟件學報, 2007, 18(7) ： 1730- 1737.XU L F, HU H F, SANG Z X.A prestige reporting mechanism based on gray system theory[J].Journal of Software, 2007, 18(7) ： 1730-1737.

[18] 徐蘭芳, 張大圣, 徐鳳鳴.基于灰色系統理論的主觀信任模型[J].小型微型計算機系統,2007,28(5)：801-804.XU L F, ZHANG D S, XU F M.Subjective trust model based on grey system theory[J].Journal of Chinese Computer Systems, 2007, 28(5)：801-804.