一種分布式網絡環境下基于挑戰-響應模型的可信評估方法

梁 靚 張鐠丹 武彥飛 賈云健

(重慶大學微電子與通信工程學院 重慶 400044)

1 引言

近年來，分布式網絡應用前景越來越廣泛，與集中式網絡相比，分布式網絡能有效避免因單個重要節點失效而影響整個網絡運行的問題。但也因為傳統網絡安全措施如身份認證、訪問控制等技術過于依賴中心節點的特點，分布式網絡安全問題需另找一條解決途徑——信任模型。

文獻[1]針對p2p網絡中典型的信任模型Eigentrust進行改進，保留每個節點與交互節點利用迭代得出全局信任值的優點，還解決了Eigentrust模型對新加入節點估計不準確的問題。文獻[2]基于熵的信任模型和基于概率的信任模型提出了信任值建立和信任值更新方法并將所提出的信任模型和評估方法應用于adhoc網絡。文獻[3]基于adhoc網絡的特點提出了分布式自適應信任模型DATEA，分為單跳模塊與多跳模塊。單跳模塊可自適應地設置權重來計算直接信任值與推薦信任值，多跳模塊負責間接信任值的計算。文獻[4]針對無線傳感器網絡提出了一種分布式高效信任模型EDTM，考慮了直接信任值和推薦信任值。該模型在直接信任值中提出基于數據、能量和通信的3維信任證據，在推薦信任值中引入可靠性和熟悉度兩個指標以提高推薦信任值的準確性。文獻[5]針對水下無線傳感器網絡提出了一種基于C4.5決策樹的可信評估方法，該方法采用模糊邏輯信任模型收集各類信任證據并進行分析，再采用訓練好的C4.5決策樹完成信任值分類。文獻[6]基于水下傳感網絡易遭到混合攻擊的特點提出了一種分布式容錯信任模型，該模型分為3個階段。首先利用量化的環境模型反映水下環境對信任評估的影響；然后構建一個基于強化學習的信任更新模型來對抗混合攻擊；最后采用一種信任恢復模型來恢復低信任值的節點以提高網絡的資源利用率。

運用信任模型進行可信評估雖然是解決分布式網絡安全問題的重要手段，但很多針對分布式網絡提出的信任模型依賴于節點過去行為的歷史信任證據，可是初次對分布式網絡進行可信評估時是沒有這些信任證據的。一種解決方式是對網絡中所有節點統一設置信任值，這是許多現有信任模型采用的方式，其優點是設置簡單且節省能量，缺點是統一設置的信任值并不代表節點的真實行為。另一種方式是對節點進行評估來獲取可靠的初始信任值，這種做法的優點是可以在可信評估初始階段獲取節點的真實行為，從而對惡意節點和自私節點有更準確的預測。與統一設置初始信任值相比，該方式的缺點是相對復雜而且會消耗更多能量。在文獻[7]中，作者提出了一種在個人空間物聯網中創建設備初始信任值的方法。

本文基于挑戰-響應模型，提出了一種面向分布式網絡的可信評估方法。網絡節點通過該方法對挑戰進行響應，形成關于節點的先驗知識，用于度量其初始信任值。然后利用節點的初始信任值進行分簇，在簇內進行信任值計算和信任值更新，完成分布式網絡中整個可信評估的流程。

2 系統模型

2.1 網絡模型

本文所研究的分布式網絡結構如圖1所示，由一個超級節點和大量普通節點組成。

圖1 分布式網絡結構圖

其中，超級節點是擁有足夠能量的可靠節點，主要負責與普通節點實行挑戰-響應模型以獲取各節點的初始信任值。部署在一定區域范圍內的各個節點ni ∈N, i=1,2,...,M都由超級節點分配給它們一個唯一的標識符I Di。

2.2 攻擊模型

攻擊者對分布式網絡發起的內部惡意攻擊一般分為3個階段[8]，其各個階段的攻擊過程和攻擊可能帶來的后果如表1所示。分布式網絡中的節點通常都配備有編程接口或測試接口以便對其進行編程或者調試。其中，當攻擊者對節點發起物理捕獲攻擊時，一般手段是采用一塊編程板連接到節點的編程接口或測試接口來獲取節點中的關鍵信息[9]。所以在對分布式網絡進行可信評估前，必須假設當攻擊者發起物理節點物理捕獲攻擊時，每個節點都可以檢測到被編程板連接。

表1 內部攻擊過程及后果

3 基于挑戰-響應模型的初始信任值獲取

3.1 挑戰-響應模型

在網絡開始運行前，超級節點中需引入偽隨機數生成算法為每個節點生成獨一無二的挑戰數，該挑戰數在網絡中是公開的。然后，每個節點需生成密鑰對來實施挑戰-響應模型，運用RSA公鑰密碼算法原理[10–12]，對節點集合N={n1, n2,..., nM}進行預置密鑰操作。

節點完成預置密鑰后，超級節點和普通節點間實行挑戰-響應模型，以獲取每個普通節點的初始信任值。挑戰-響應模型的運作機制如圖2所示，不同顏色的線條代表不同的挑戰-響應輪次。據圖2可知超級節點與普通節點ni之間實施挑戰-響應模型的步驟如下：

圖2 挑戰-響應模型運作機制

(1)節點ni發 送[ IDi,(Ei,Ri)]給超級節點，超級節點把這個對應關系記錄在表中；

(2)超級節點生成一個挑戰數N oncei并把挑戰數發送給節點ni；

(3)節點ni收到挑戰后，結合標識符I Di、挑戰數N oncei以及自己是否感應到被編程板連接的狀態h(0表示連接狀態，1表示未連接狀態)，采用密鑰對(Di, Ri)生 成響應R esponsei=Noncei //IDi//h并將(IDi,Responsei)發給超級節點；

(4)當超級節點收到響應后采用預存的密鑰(Ei, Ri) 對Responsei進 行解密得到消息序列I si，根據消息序列 Isi的不同，對應的響應結果由式(1)給出

第1種情況下，超級節點相信該節點未被捕獲；第2種情況下節點ni有很大可能被攻擊者的編程板連接，挑戰失敗且累計挑戰失敗次數為cnum/3次(cnum為挑戰的總輪數)；第3種情況表明這些節點可能是合作意愿較低的自私節點，挑戰失敗且累計挑戰失敗次數1次。利用上述挑戰-響應模型，可以獲得節點的響應結果。

3.2 初始信任值獲取

獲取節點初始信任值前，網絡中任一節點行為均具有不確定性。引入貝葉斯準則來度量節點行為的不確定性概率x。首先給x分配一個先驗分布p(x)，p(x)取自Beta函數族[7]，即

Beta(1,1)是均勻分布[13]。初次對網絡進行可信評估時，節點的任何一個信任值都可能對應任意概率，因此參數選擇α=β=1。在挑戰-響應模型中，響應被定義為二元事件，用r表示一輪挑戰結束后的響應結果。當r=1時，代表節點給超級節點的響應是預期中的響應，反之亦然。每一輪挑戰-響應回合后r發生的概率結合給定未知概率x如式(3)所示

當一輪挑戰-響應完成后，結合全概率式和條件概率式，利用貝葉斯準則更新x的后驗分布p(x|r)如式(4)所示

此時x的后驗分布也為Beta分布，且參數為(α+r) 和(β+1?r)。

在隨后幾輪的挑戰-響應中，x的估計將采用上一輪挑戰-響應結束后的后驗分布作為其先驗分布，在cnum輪挑戰-響應之后x 的后驗分布為p(x|r1r2...rcnum) ，其 參 數 為( 1+cnumrˉ) 和(1+cnum?cnumrˉ)。 因此cnum輪挑戰-響應結束后x的后驗分布期望值如式(6)所示

4 信任值計算與信任值更新

獲取節點的初始信任值后，對節點進行分簇：(1)將初始信任值最高的幾個節點選為簇頭節點，負責簇內管理；(2)剩下的節點被隨機均勻地分配到每一個簇中，形成如圖3所示的分層管理結構。

圖3 分布式網絡分層管理結構

4.1 信任值計算

評估節點A獲取被評估節點B信任值的步驟如下： (1)根據兩節點間的通信行為和節點B的剩余能量來計算直接信任值；(2)若節點A與節點B之間通信行為較少，則需挑選一組與節點A、B均有過交互的推薦節點 {C1,C2,...,CZ}給出推薦信任值；(3)若有推薦信任值，則需對直接信任值和推薦信任值進行加權得到整合信任值。信任值計算過程如圖4所示。

圖4 信任值計算過程

4.1.1 直接信任證據

(1) 基于通信行為的信任證據

基于主觀邏輯的信任模型引入了不確定度，比用單一數值表示節點間信任關系的方法更準確[14]，所以采用此信任模型來量化基于通信行為的信任證據。引入信任3元組 {b,d,u} ， 其中b,d和u分別對應于信任、不信任和不確定度，{b,d,u}的計算方法由式(8)給出

其中，b,d,u ∈[0,1]且b+d+u=1。s和f是指通信成功和不成功的次數，λ(λ>1)表示對不成功通信的懲罰因子。u是分布式網絡中的不確定因素，本文將其定義為動態變量u=δc(s+f)， 其中δc ∈(0,1)為不確定因素的調控因子。基于通信行為的信任證據可表示為

(2) 基于能量的信任證據

分布式網絡中的節點依賴于它們所擁有的能量[5]，能量信任值的計算由式(10)給出

其中，θ為能量閾值，Eres和Eini分別代表節點當前剩余能量與未開始評估前的初始能量。若節點當前剩余能量較低，可能是參與了內部攻擊而消耗了節點自身過多能量，且剩余能量較低的節點可能無法與其他節點進行交互。因此可將剩余能量作為衡量能量信任值的指標。

基于通信信任值Tcom、能量信任值Tene，根據式(11)可獲得兩節點之間的直接信任值Tdir

其中，ωcom和ωene分別是通信行為信任證據和能量信任證據的權重，且ωcom+ωene=1。

4.1.2 推薦信任證據

若評估節點A與被評估節點B間通信數據包過少，還須加入推薦信任值以保證信任值計算的準確性[15,16]。節點A想獲取節點B的推薦信任值時，將挑選節點A和B的一組公共鄰居節點中初始信任值較高的節點作為推薦節點Ci(i=1,2,...,Z)。節點A收到多個推薦值時通過檢測每個推薦值的一致性來計算其權重，計算方法如式(12)所示

其中，c pAB是評估節點A與被評估節點B之間的通信數據包數量， Thnum是定義的通信數據包閾值；ωdir和ωrecom分別是直接信任值和推薦信任值的權重，ωdir+ωrecom=1。

4.2 信任值更新

本文采用基于新記錄滑動窗口的信任值更新機制。基于新記錄觸發的信任值更新原理是當有新的信任記錄產生時，滑動窗口移動，舊的信任記錄被移除窗口。如圖5所示窗口存儲節點的信任記錄，信任值更新開始后窗口隨新記錄的產生從左向右移動，定期清除歷史記錄。

圖5 滑動窗口示意圖

信任值更新應保持快降慢升的準則[17]，引入調節因子γ(0<γ<1)來 控制信任值更新的快慢，Tnew是最新記錄中的信任值，Told是歷史信任值。信任值更新方式由式(15)給出

5 仿真驗證與結果分析

本文采用MATLAB進行仿真驗證。在100 m×100 m的區域內隨機部署100個節點，設置挑戰-響應的輪數為10輪，經過挑戰-響應后獲取每個節點相應的初始信任值，選擇初始信任值不小于0.95的節點作為簇頭節點，隨機均勻地把剩下的節點分配到每一個簇中，簇頭節點擁有較多能量，簇內節點與簇頭節點之間的通信數據包c pAB隨機分配。參照文獻[4]的仿真參數設置，將通信數據包閾值Thnum的初始值設為60，信任值更新的輪數設為3輪。

現對基于挑戰-響應模型獲取節點信任值算法的復雜度進行分析。在挑戰-響應階段中，挑戰-響應總輪次數為cnum，所以獲取節點初始信任值的循環最多執行cnumN次。設信任值更新的輪次為Tnum輪，則獲取節點直接信任值和間接信任值最多循環執行 2N+N2次，信任值更新的循環執行TnumN次。因此基于挑戰-響應模型獲取節點信任值算法的計算復雜度為O(cnumN+2N+N2+TnumN)，可在二次時間內求解。

5.1 挑戰-響應模型性能驗證

在此環節中設置惡意節點率為25%，自私節點率為10%(序號76-100為惡意節點，66-75為自私節點)，得到經挑戰-響應后獲取的節點初始信任值如圖6所示。從圖中可以看到惡意節點的初始信任值都很低，自私節點的初始信任值也不高，為信任值計算提供了可靠前提。

圖6 挑戰-響應后的初始信任值

圖7為經過3輪信任值更新后每一簇節點的信任值變化情況。從圖7(a)—圖7(c)中可以看到大部分節點信任值變化的幅度不大，反映出了挑戰-響應模型的誤判率較低，用初始信任值就可以較為準確地預測節點在信任值計算階段與信任值更新階段的表現。

圖7 各簇更新后的信任值

5.2 可信評估性能驗證

為驗證本文可信評估方法的性能，將基于挑戰-響應模型的可信評估方法與基于統一初始信任值的方法進行對比仿真實驗。在統一初始信任值的評估方法中，把所有節點的初始信任值設為0.5，信任值計算與信任值更新方式均與本文所設計的方法一致。

在圖8(a)中，惡意節點率由5%增加到40%，步進為5%。比較了兩種不同設置初始信任值方法下的惡意節點檢測率，基于挑戰-響應模型的可信評估方法中隨著惡意節點數量的增加，其檢測率依舊較高，而統一信任值方法的檢測率一直在30%至50%徘徊。

在可信評估中常用信任計算誤差(TCE)來評價模型的好壞[18]，TCE越小說明模型效果越好。設M是網絡中節點的數量，τt(i)是時間t內第i個節點的信任值，在一定時間t內

其中，pt(i)表示時間t內第i個節點為誠實節點的可能性，pt(i)=1 表示節點為正常節點，pt(i)=0表示節點為惡意節點，pt(i)=0.5表示節點為自私節點。在圖8(b)中，惡意節點率由5%增加到40%，步進為5%。比較了兩種不同設置初始信任值方法下TCE的變化，可以看出基于挑戰-響應模型的可信評估方法的信任計算誤差較小，模型性能更好。

圖8 基于挑戰-響應與無挑戰-響應方法的性能對比

文獻[4]針對無線傳感器網絡提出了一種分布式信任模型EDTM，該模型采用統一設置初始信任值并首次根據多維信任證據評估節點信任值。相關文獻[3,19]也將該經典模型作為基準進行了對比。本文所設計的模型與EDTM模型的對比結果如圖9所示。其中，圖9(a)為惡意節點檢測率的變化圖，可以看出基于挑戰-響應模型的評估算法的惡意節點檢測率始終高于基于EDTM模型的算法。圖9(b)為信任計算誤差的變化圖，由該圖可知基于挑戰-響應模型算法的信任計算誤差始終小于基于EDTM模型的算法。由此可以說明本文提出的算法性能更優于基于EDTM模型的算法。

圖9 本文算法與EDTM模型算法的性能對比

6 結束語

為了解決在分布式網絡中運用信任模型進行可信評估時缺乏歷史信任證據的問題，本文提出了基于挑戰-響應模型的可信評估方法。整個可信評估過程分為兩步：第1步是在超級節點和普通節點間實施挑戰-響應模型來獲取普通節點可靠的初始信任值。第2步是利用獲得的初始信任值進行分簇并在簇內實現信任值計算和信任值更新，以達到提早檢測惡意節點并降低自私節點信任值的目的。仿真實驗結果表明，采用挑戰-響應后獲取的初始信任值可以較為準確地檢測出惡意節點并降低自私節點的信任值，使用此初始信任值完成整個可信評估流程后的惡意節點檢測率較高且信任計算誤差較小，所以在分布式網絡中運用挑戰-響應模型獲取節點的初始信任值并實施完整的可信評估流程是一種解決缺乏歷史信任證據問題的可靠手段。由于挑戰-響應模型涉及密鑰的生成與配送問題，耗時較長，如何做到高效且可靠地獲取節點初始信任值來完成可信評估是未來的研究方向。