基于信譽機制的車聯網惡意節點識別算法研究與實現

戴 亮，曹 利，桑 爍，鄒偉偉，顧 淳

（1. 江蘇寬通無線通信科技有限公司，江蘇 南通 226001；2. 南通大學 信息科學技術學院，江蘇 南通 226001）

0 引 言

車聯網（VANET）作為現代智能交通系統的重要組成部分，主要通過車載傳感器獲取車輛、車主、道路屬性信息以及車輛行駛過程中的動、靜態信息，并通過多種通信技術實現人與車、車與車、車與路側基礎設施之間的信息交流和共享，從而提高道路安全和交通運營效率。

VANET系統基本結構如圖1所示，主要由交通管理中心（TRC）、路邊單元（RSU）、車載單元（OBU）三個主體部分構成。

圖1 VANET系統結構

（1）交通管理中心（TRC）是VANET中的最高權威機構，與路邊單元（RSU）進行有線連接，主要負責交通參與者初始化、核心信息保存等；

（2）路邊單元（RSU）分布在十字路口及道路兩旁，提供車輛接入、身份驗證等相關服務；

（3）車載單元（OBU）安裝在車輛嵌入式設備中，作為車輛的通信模塊，與周圍車輛交互信息。

車聯網和傳統有線網絡通信相比，具有信道開放、帶寬有限、鏈路容量易變、快速移動和網絡拓撲動態變化等特性，這些特性使車聯網通信具有許多先天安全弱點。當前對車聯網的安全研究主要是建立在傳統的安全機制之上，如數據加密、可信路由、通信協議安全認證、隱私保護等。但車聯網作為AD HOC網的一種特殊形態，網絡節點成員時刻處于動態變化中，加密認證等傳統機制雖然可以在一定程度上抵御外部節點的攻擊，卻對內部節點的惡意行為無能為力。

若網絡中的惡意節點拒絕通信合作或者進行拒絕服務攻擊，將會嚴重影響網絡性能，威脅網絡安全。基于此，需在研究車聯網安全特性的基礎上建立相應惡意節點識別和剔除機制。本文引入一種基于主觀邏輯模型的信任機制，提出車聯網惡意節點識別算法，該算法利用節點間相互分享的信譽信息，能快速檢測出惡意節點的存在，并將其隔離。實驗結果表明，該算法能有效抵制網絡內部節點的攻擊，保障車聯網的安全。

1 相關工作

車聯網允許車輛生成并廣播車輛、車主、道路屬性信息及車輛行駛過程中關于路面狀況的消息，如交通堵塞、交通事故等。接收到這些消息的車輛可根據消息內容確認鄰居節點和前面路段狀況、了解當前交通環境，讓車輛及時做出符合自身利益的行為。但車聯網的優勢必須基于車輛生成并廣播出去的消息是可靠的。現實中，車聯網內可能會存在惡意車輛，它們故意發送惡意消息，引發交通混亂。在大的車聯網環境中，車輛間并非互相信任。由此引發的問題是，車輛是否可以相信其他車輛發來的消息。這涉及到車輛節點彼此的信任和惡意節點的檢測問題，國內外學者提出了不同的研究方案。俞波等提出了基于 ACK 的惡意節點識別方法。該方法中正確接收數據包的節點會回送一個ACK給源節點或轉發數據包的上一跳節點，以此來檢查是否有不可靠通信連接，但此方法在某些特殊情況下，會導致節點判斷錯誤。C.-Y. Tseng等提出了基于規范的惡意節點識別方法，以構建有限狀態機為基礎，利用這些狀態機反映節點期望行為，該方法只是針對特定路由設計，具有一定的局限性。Ana Paula R.daSllva等提出基于統計的惡意節點識別方法，該方法學習周期長，誤報率較高。還有一些學者提出基于激勵機制的惡意節點識別方法，對表現良好的節點給予獎勵，激勵節點參與網絡合作，識別網絡中的惡意節點，如Nuglets方案和改進的Nuglets方案。

本文方案借鑒了傳統無線傳感器網絡的信譽機制，并將它改進以適應車聯網環境。在信譽機制中，網絡節點可信直接影響通信結果。網絡中的節點互相交流其他節點的行為信息，期待每個節點維護其他節點的信譽信息，節點將觀察到的其他節點的信譽信息在網內廣播。因此，當節點觀察到一個新的鄰居節點時，可能由于它已從其他節點處聽說過該節點，因而有足夠的信息判斷該節點是否可信。車聯網節點的特點是處于高速移動和頻繁連接的變化中，一個節點很有可能需要與之前未通信過的節點進行合作，所以需要快速檢測出惡意節點。目前基于信任機制的鄰居行為研究的主要成果有：AmelLtifi等提出了一種基于信任方法的警告傳播模型，設立了Communication，Management，Enhancement Cooperation，Security 4個模塊，受看門狗機制啟發，用13個數據包完成網絡中鄰居節點行為的檢測；Michiardi等提出了強化節點合作的CORE方案，利用看門狗機制對下一跳節點的行為進行檢測，并在本地保存一個信任值表，根據信任值表來判斷是否與目標節點合作，但無法抵御惡意誹謗攻擊。吳靜等提出利用TPM芯片做可信計算，結合可信屬性和可信等級提出可信值管理方案，但對于尚未普及TPM芯片的設備并不適用。

2 基于信譽機制的惡意節點識別模型

本文提出的基于信譽機制的惡意節點識別方案，基于主觀邏輯模型對節點行為度量化，并檢測節點行為動態更新其信譽值，根據節點信譽的臨界值判定該節點是否為惡意節點。

2.1 主觀邏輯模型和行為檢測

在基于信任機制的評估模型中，根據節點行為來量化節點信譽是判斷節點信譽的重要手段，合理的量化方法是決定信譽評估模型性能的先決條件。基于證據理論，Audun于1999年提出主觀邏輯理論。主觀邏輯引入事實空間和觀念空間描述及度量信任關系，提出一個四維變量=(,,,)表示主觀信任。

事實空間由若干實體產生的可觀測到的事件組成，實體產生的事件被簡單劃分為肯定事件、否定事件。主觀邏輯理論基于Beta分布函數描述二項事件后驗概率的思想，給出一個基于觀察到的確定事件數和否定事件數來確定事件概率的確定性密度函數pcdf。

表示概率變量，和分別表示肯定事件和否定事件數目，表示相對粒子度，pcdf函數如下所示：

式中，0≤≤1，≥0，≥0，0<<1。

觀念空間由一系列對陳述的主觀信任評估組成，用四維變量=(,,,)描述稱為信譽觀念，滿足：

式中：表示對陳述的信任度（Belief）；表示對陳述的不信任度（Disbelief）；表示對陳述的不確定度（Uncertainty）；代表相對例子度，表示對陳述的可信成熟的先驗概率。

事實空間到觀念空間的轉換，將=(,,)表示為事實空間中肯定事件數和否定事件數的函數，成為觀念映射函數。

本文利用主觀邏輯模型，采用四維變量“信譽觀念”表示主觀信任，進而度量信任關系。

VANET中非鄰居節點數據通過中繼節點轉發，惡意的中繼節點往往由于自私等目的拒絕合作，所有轉發到惡意節點的數據包被有選擇性的轉發，嚴重影響了網絡正常通信。由于VANET采用無線廣播通信，節點間數據傳輸情況完全暴露在網絡環境中，因此，周圍節點可以通過混雜監聽檢測鄰居節點行為，記錄鄰居節點成功轉發數據包的次數和通信失敗次數。

2.2 車聯網信任檢測模型

建立合理有效的車聯網信任檢測模型的關鍵如下：

（1）依據節點行為計算信任信息；

（2）有效防止節點惡意貶低正常節點信譽信息；

（3）快速識別并隔離惡意節點；

（4）防止由于網絡等原因造成正常節點被隔離。

方案的基本框架和流程如圖2、圖3所示。通過檢測節點行為，根據信譽評估標準對節點信任值進行分析和判斷，針對網絡中存在惡意行為的節點加以處罰，達到識別惡意節點的效果。

圖2 信任檢測模型基本框架

圖3 信任檢測模型流程

車輛節點需線下在車輛管理中心注冊身份，初始化并分配相關密鑰。接入網絡后驗證身份并分配信任值，擁有信任值并且信任值處在正常范圍內的節點允許使用網絡。車輛在運行過程中時刻監聽鄰居節點的通信情況，同時被鄰居節點時刻監聽，鄰居節點根據通信行為計算節點信任值，信任值過低向可信中心舉報，可信中心核實之后做出處置；信任值過低的節點被隔離出網絡，被隔離節點信任值處于正常范圍內后允許重新接入網絡，否則永久隔離出網絡。

對VANET中節點信譽評估的結果是判定節點信任的重要依據，信譽度較低的節點被判定為惡意節點。對于識別出的惡意節點，一是直接將惡意節點隔離出網絡，不再給予二次接入的機會；二是允許被隔離出網絡的節點再次接入網絡，但這種方式會造成惡意節點的重復攻擊。

2.3 車聯網信任檢測模型實現

路邊單元RSU通過有線網絡與車輛管理中心直接相連，為VANET提供服務。一般認為RSU為可信節點，作為車輛管理中心在路邊的分支節點提供網絡服務。本方案所涉及的與可信中心的信息交互都指與RSU交互。

2.3.1 線下注冊

本方案的車聯網信任檢測模型基于現有的車輛管理制度，依賴車輛管理中心。規定車輛購買之后在車輛管理所注冊上牌時，生成數字名片保存在車輛管理中心的數據庫。數字名片包括車輛ID，車輛基本信息，舉報信任值和接入信任值，并賦予初值，生成密鑰對。過程見表1所列。

表1 車輛注冊

2.3.2 建立連接

（1）接入網絡

車輛節點接入網絡時，要宣告自己的存在，并發現鄰居，本方案的鄰居發現參考了梁俊斌等提出的SPND發現方法。該方法的思想是，在某一時刻，在蘇醒時刻，節點持續向周圍廣播發現報文，同時接收發現報文，當兩節點同時檢測到彼此的發現報文時，則聲明雙方存在，并且商議下一個休眠時長，在休眠期結束之后，重新發送報文告知自身存在。SPAN方法主要應用于MANET中，由于節點能量限制，需要設置休眠期。在拓撲結構高速變化的車聯網中，這將嚴重影響發現效率和性能。車聯網中的節點無需考慮能量損耗問題，因此本方案對SPND算法進行了改進，改進后的算法為：當車輛節點接入網絡后，向周圍廣播一條信標，告知自己的存在，時刻，在通信范圍內的車輛、收到廣播消息后，返回一條消息，告知對方存在，并且同步時鐘，協商下一次發送存在報文的時間間隔。當新的車輛進入網絡后，廣播消息，告知自己的存在，在通信范圍內的車輛收到廣播消息返回一條存在消息，同步時鐘，協商下一次存在報文發送時間間隔。改進算法的一個顯著優點是，未規定特定的發送時間，當網絡節點較多時，不會同一時間出現大量廣播報文，造成網絡擁塞。改進算法如圖4所示。

圖4 鄰居發現改進算法

某車輛節點的網絡接入過程見表2所列。

表2 接入網絡

（2）身份認證

車輛首次接入網絡時，由于未分配信任值，與所有鄰居節點建立連接之后，不能進行數據通信，方案把未分配信任值的節點稱為未知節點。未知節點入網后，首先在本地建立一個鄰居列表，僅保存鄰居節點的ID，同時向可信中心發送認證請求。對于未知節點，網絡僅允許轉發其認證信息，認證過程如下：

①→RSU(1||(PU,ID|||)，車輛對可信中心的驗證。

②RSU→(PU,||||)，可信中心對車輛驗證。

③→RSU(PU,||NeighborList||)，確認驗證信息并詢問鄰居節點信任值。

④RSU→(PU, NeighborListTrustedValuel||)，回復信任值。

為未知節點，RSU為路邊節點（可信中心）。PU為未知節點公鑰，PU為可信中心公鑰。報文(1||(PU,ID)||||)中的1表示消息類型為認證請求報文。

當認證通過之后，可信中心根據第三條報文傳來的鄰居節點列表，發出告知報文向鄰居節點告知該節點的信任值。

車輛被分配初始通信信任值，同時分配舉報信任值和接入信任值，通信信任值告知網絡中的所有節點，另外2個信任值由可信中心保存，并與對應ID關聯。

2.3.3 信任值計算

（1）行為檢測

車輛根據鄰居異常行為檢測結果計算信任值，當信譽值低于“0”時向可信中心舉報節點。可信中心收到舉報后，向網絡中廣播詢問信息。由于與被舉報節點相鄰的所有節點時刻監視著節點行為，此時，節點信任值理應相同，如果其余節點反饋結果多數一致，則該節點被拒絕服務，剔除出網絡，一段時間后允許重連，并記錄舉報節點舉報成功一次；反之，忽略舉報，并記錄舉報失敗一次。算法見表3所列。

表3 行為檢測

（2）可信值計算

車聯網通信中，節點通信行為的好壞直接決定了節點信譽信息，節點間若相距較遠，受限于通信距離，無法進行直接通信，則采用傳統信任值評估方法，利用間接信任值來判斷通信節點是否可信。節點信任值在網絡中多次傳遞，經過多次計算后最終得到某個節點對該節點的間接信任值，不僅會占用大量通信帶寬，還會耗費一定的計算資源。同時，單個節點需要保存網絡中所有節點的信任信息，占用了大量存儲空間。本方案在計算可信值時，不采用間接信任值，所有數據來自于對鄰居的直接觀測。另外，惡意節點也可以通過惡意貶低正常節點信任值的行為攻擊信任檢測模型。從現實世界來看，信譽總是難于獲得并且易于失去，從主觀角度講，否定事件的影響要大于肯定事件。結合事實空間統計函數，為降低惡意貶低類的否定事件對節點信任度的影響，本方案提出一種加權主觀邏輯信任評估算法WSLT（Weighted Subjective Logic Trust Model, WSLT），該算法引入通信信任值，舉報信任值，接入信任值，對節點行為進行評估，在一定程度上抵制了惡意貶低正常節點信任值行為對信譽機制的影響，提升了網絡性能。

①通信可信值計算

當節點首次接入網絡時，可信中心分配一個初始信任值，設初始信任值為T，監視時間周期為Δ。在監視周期Δ內設立2個計數器SUCCESS和FAIL，分別表示轉發數據包數量和未轉發數據包數量，算法如下：

當一個檢測周期結束后，計算通信周期內的信任值：

式中：表示周期內可信程度；表示周期內不可信程度；表示不確定程度；T表示周期內信任值；和分別表示在計算中和所擁有的不同權值，且<。

對于實體信任模型而言，近期行為對信任值的影響要大于歷史行為的影響，為盡可能減少歷史行為對信任值的影響，同時避免近期行為對信任度影響過大，參考對時間加權的思想，本文提出一種平均算法。將通信信任值與單個檢測周期信任值相加求平均值，有效降低了歷史行為對節點信任值的影響。

式中：表示節點通信信任值；T表示第周期的信任值。

②舉報可信值

WSLT模型信任值計算依賴于節點對鄰居節點的行為檢測，若節點對周圍節點進行惡意舉報，使得正常節點信任值降低以至于被隔離出網絡，將對網絡通信產生嚴重影響。本文設立舉報信任值，結合異常行為檢測，判斷節點是否存在惡意舉報行為；設立獨立信任值，將信任值低于閾值的節點同樣隔離出網絡。根據節點行為計算可信值，算法如下：

和分別表示成功和失敗的影響因子，并且規定(T,,)∈[0, 1)，<，0表示完全不可信，1表示完全可信。

③接入信任值

VANET通信依賴于無線網絡，不可避免的存在通信連接不穩定、異常掉線等情況，當出現異常之后，必然會被其他節點檢測到并且誤認為是惡意節點被剔出網絡。設立連接信任值，保證因外圍因素導致行為異常的節點在恢復正常之后能夠重新連接網絡，并且避免惡意節點無限重連。根據節點離線方式計算信任值，算法如下：

和分別表示隔離出網絡和一般退出網絡的影響因子，并且規定 (,)∈ [0, 1)，<，0表示完全不可信，1表示完全可信。

2.3.4 識別并隔離節點

當節點通信可信值低于閾值時，網絡中所有節點拒絕與之合作，并且在鄰居列表中刪除該節點的信任信息，斷開連接，該節點變為未知節點。允許未知節點重新向可信中心發送接入認證請求，當接入可信值在正常區間時，被隔離節點可以重連，否則拒絕重連。異常節點處置見表4所列。

表4 異常節點處置

3 仿真結果及分析

本方案主要研究VANET網絡中的信任管理問題，旨在尋找一種簡單而有效的方法來評估節點的信譽，對網絡中節點的信譽進行分析，識別并隔離惡意節點，保證網絡的性能，提高網絡的安全性。為了更好地仿真驗證本方案提出的算法和模型的性能，在仿真過程中進行了相應的簡化處理，暫時忽略車聯網路由信息等問題，采用MATLAB仿真軟件對模型進行仿真分析，仿真過程分為兩個階段：

第一階段，仿真一對一節點之間的通信，目的是研究在采用了WSLT算法后正常節點與惡意節點通信成功率與信任值的關系；

第二階段，仿真惡意節點在不同通信周期中被檢測出的概率。

在第一階段仿真過程中，隨機選取節點對參與通信，并且一次通信中有且僅有一對節點參與通信。設置單個通信周期內節點通信20次，允許正常節點在特定網絡條件下存在0～15%的通信失敗率。單節點信任變化仿真參數設置見表5所列。

表5 單節點信任變化仿真參數設置

圖5表明，采用WSLT模型后，設置節點通信成功率分別為85%、88%、90%、93%和95%后，隨著通信周期數的增加，正常節點通信信任值在（0，1）內波動，一般節點參與通信過程時不會因為信任值過低導致通信被拒絕，但數據表明，某個周期內節點通信成功率過低，同樣會導致信任值有較大程度下跌，甚至低于0。

圖5 一般節點信任值

為進一步評估本算法對信任值的影響，同時降低偶然情況對信任值變化的影響，將單周期交互次數增加到150個周期。調整單周期節點交互成功率分別為85%、90%、95%、100%，并且根據設定的節點交互成功率隨機生成單次交互失敗或者成功。圖6表明，相對于節點之間通信成功，節點通信失敗對信任值的影響明顯更大。

圖6 周期節點信任值

當節點通信失敗率超過15%后，設置每次通信有且僅有一對節點參與，每個通信周期節點交互20次，設置節點通信成功率分別為30%、50%、70%和80%。圖7表明，當節點間通信成功率低于80%之后，節點信任值總是低于0。通信成功率越低，節點信任值相應也越低。

圖7 惡意節點信任值

VANET引入信任模型，主要目的是根據惡意節點的行為檢測并隔離惡意節點，惡意節點在網絡中的生存周期是衡量信任模型最重要、最直接的指標。在第二階段仿真過程中，信譽評估模型中參數的具體取值見表6所列。假設所有節點均為正常節點，并且都已經分配了信任值，節點對其余節點完全不了解，僅僅通過節點信任值判定節點是否為正常節點。

表6 惡意節點檢測仿真參數設定

取不同的節點交互成功率分別測試隔離節點周期，隔離周期長短直接決定了模型檢測惡意節點的能力。為減少偶然事件對實驗結果的影響，每組實驗測試1 000次取平均值。

圖8與圖9表明，網絡中出現惡意節點后，利用本方案所建立的模型，當節點通信成功率處于較低水平時，能夠在一個通信周期內檢測出惡意節點，并且進行隔離。隨著節點通信成功率的逐漸升高，惡意節點活躍周期也在逐漸上升，但交互成功率始終低于20%。相比較傳統的信任值計算方法，本文方法識別并隔離惡意節點能力較強，反應周期更短。

圖8 惡意節點檢出周期

圖9 惡意節點通信成功率

為進一步檢驗本方案惡意節點檢出性能，設置通信周期為100，對比20周期內惡意節點交互成功概率。如圖10所示，橫坐標為單周期內節點通信成功率，縱坐標為惡意節點成功通信率，當車聯網內的相關節點通信周期從20延長至100時，惡意節點通信成功概率顯著降低，說明隨著通信周期的增加，惡意節點檢出性能也隨之提高。同時也可以發現，當周期內通信成功率從80%向100%提升時，無論通信時長如何，整體通信成功率顯著提高，原因是周期內通信成功率的提高意味著節點信任值的增加。

圖10 惡意節點交互成功率（20周期，100周期）

4 結 語

車聯網環境中，車輛節點是否可信是保證VANET安全的關鍵。為解決該問題，本文提出了一種加權主觀邏輯信任模型（WSLT），根據車輛節點不同的行為引入了3個不同的信任值，對節點行為量化。結合主觀邏輯模型，引入加權思想計算信任值。最終根據信任值判斷節點是否可信，并對不可信節點進行隔離。在仿真實驗中，通過評估不同交互成功率下車輛節點信任值的變化，表明WSLT模型可以快速檢測出惡意節點的存在并且將其隔離。根據不同交互成功率下節點被隔離周期，對比傳統方案，發現本文方案的靈敏度更高。而惡意節點通信成功率隨著通信周期數的增加降低，說明本模型能夠更快地識別惡意節點，維護車聯網內部通信的安全。