趙曦濱，游之洋,2，趙志峰

（1. 清華大學 軟件學院 信息系統(tǒng)安全教育部重點實驗室，北京 100084；2. 清華大學 計算機科學與技術系，北京100084；3. 鎮(zhèn)江船艇學院 計算機教研室，江蘇 鎮(zhèn)江212003）

1 引言

當前，隨著輕量級的無線設備，如筆記本電腦、PDA、無線電話等的快速推廣應用，移動計算的潛力和重要性顯得更加突出。一些移動網(wǎng)絡中的應用將不再依賴于固定的基礎設施。MANET（mobile ad hoc network）就是應對這些環(huán)境而產(chǎn)生的網(wǎng)絡，它由一組無線移動主機構成，并動態(tài)地通過多跳建立連接，不依賴中心式的管理，特別適合在沒有基礎設施的環(huán)境中搭建臨時的無線應用，如應急救援等。MANET已經(jīng)成為無線網(wǎng)絡研究中最為重要的領域。但是由于MANET無中心、動態(tài)拓撲、資源受限等特性導致網(wǎng)絡對安全性的需求尤為迫切[1]。傳統(tǒng)基于中心的安全機制并不適合于MANET網(wǎng)絡環(huán)境，目前針對MANET提出了很多安全解決方案[2～4]。但是這些研究關注的重點都是集中在機密性（confidentiality）和完整性（integrity）上，對網(wǎng)絡的可用性（availability）考慮不足。

作為一種適用于特殊和臨時任務的網(wǎng)絡，MANET的可用性極為重要，可以說，網(wǎng)絡可用性是MANET適應廣泛應用的前提條件。但是現(xiàn)有針對MANET安全機制都不能很好地解決可用性的問題，關鍵就在于傳統(tǒng)的安全機制都不足以應對分布式網(wǎng)絡的安全需求，特別是高度分布、自治及動態(tài)的MANET環(huán)境[1]。但是我們不能因此簡單就拋棄傳統(tǒng)的安全機制，應當分析傳統(tǒng)安全機制的精髓，從而作為MANET可用性安全機制設計的基礎。傳統(tǒng)中心式的安全機制是建立在對中心的信任基礎之上的，它強調(diào)中心和網(wǎng)絡中節(jié)點的權威信任關系。但是這種中心式的機制在MANET中都很難實現(xiàn)。首先，MANET中的節(jié)點普遍資源受限，無法使之提供復雜的中心式安全服務；其次，由于MANET網(wǎng)絡形成的動態(tài)性以及臨時性，很難預先為其設定中心式的安全服務。而高效、實用的信任機制是MANET可用性的重要保障[5]。

如果能在MANET中引入信任機制，使得可以快速識別惡意節(jié)點并能迅速將它從網(wǎng)絡中孤立出去、惡意節(jié)點難以與合法節(jié)點交互,則整個網(wǎng)絡的安全，尤其是可用性將得到極大的保障[6]。在分布式環(huán)境下，信任管理作為底層的基礎服務，起著重要的作用。尤其是MANET這樣的高度分布、開放的無線信道環(huán)境，如果缺乏合理有效的信任約束，很容易由于節(jié)點自私、惡意洪泛、拒絕服務攻擊等行為嚴重影響系統(tǒng)的可用性。此外信任關系可以分為身份信任與行為信任[7]。傳統(tǒng)的安全機制在中心對網(wǎng)絡節(jié)點身份信任的基礎之上建立全局的節(jié)點行為信任，而對于無中心、動態(tài)、對等的MANET來說，無法建立中心身份信任機制，必須引入合適的信任模型并在網(wǎng)絡節(jié)點間建立全新的行為信任關系，從而保證網(wǎng)絡的可用性。

本文第2節(jié)簡述國內(nèi)外相關研究，第3節(jié)給出基于可用性的信任度量模型（ABTEM, availability based trust evaluation model），第4節(jié)結合路由協(xié)議提出ABTEM的應用，第5節(jié)給出模擬實驗方案及實驗結果分析，第6節(jié)是結束語。

2 相關研究

目前，國內(nèi)外提出了許多針對MANET的安全機制，按照安全機制的部署方式可以分為2大類：預配置的安全機制與自組織的安全機制。

預配置的安全機制中最典型的代表就是分布式證書中心（DCA, distribute certificate authority）[2]。DCA的核心思想就是將傳統(tǒng)有線網(wǎng)絡中可信證書中心的功能全部或者部分地分配到多個網(wǎng)絡中的預先配置的節(jié)點上去，然后由這些節(jié)點為網(wǎng)絡中的用戶提供安全服務，也就是說把傳統(tǒng)對一個中心的權威信任分配到多個預先配置的節(jié)點上。目前針對MANET環(huán)境的 DCA方案大多數(shù)基于門限技術并在傳統(tǒng)DCA上進行改進。DCA的優(yōu)點就是在傳統(tǒng)權威信任的基礎上改進，很多傳統(tǒng)的安全機制在DCA的基礎上可以重新應用于MANET，但該方案還存在不足，首先網(wǎng)絡中充當 DCA的節(jié)點需要事先配置，很難滿足MANET動態(tài)性和臨時組網(wǎng)的要求，同時也正是因為需要預先部署，DCA目前針對MANET的網(wǎng)絡分割還沒有很有效的解決方案，會出現(xiàn)CA不完備情況，無法保證MANET網(wǎng)絡的可用性；其次，對于資源受限的MANET環(huán)境來說，基于門限的分布式認證方案給網(wǎng)絡通信造成過大開銷，也影響了網(wǎng)絡的可用性。

自組織的安全機制是針對MANET自主建網(wǎng)的特性所提出的一類安全機制，可以說它更加適合MANET環(huán)境。目前主要有基于傳統(tǒng)PKI機制的證書鏈（CC, certificate chain）方案[3]及基于網(wǎng)絡中節(jié)點信任關系的信任模型安全方案。

CC是針對DCA需要預先配置的不足之處而提出的安全機制，它的主要思想是通過證書鏈的傳遞來建立網(wǎng)絡的信任關系。CC基于公鑰加密技術，每個節(jié)點各自生成自己的公私密鑰對，并在網(wǎng)絡運行過程中，不斷地為自己所信任的節(jié)點簽發(fā)證書。每個節(jié)點保留自己獲得的證書，通過證書可以建立該節(jié)點與多個節(jié)點的信任關系圖，即證書圖。當 2個節(jié)點需要建立可信連接的時候，就合并證書圖，然后在證書圖上找到相關路徑。CC的優(yōu)點是可以自組織地建立網(wǎng)絡中的信任關系，不需要集中或者分布式的可信中心。但其缺點也很明顯：首先是效率問題，當網(wǎng)絡中節(jié)點較多時，每個節(jié)點需要維護巨大的證書圖，并且還要不斷的公鑰操作，這就意味著 CC無法應對大規(guī)模的網(wǎng)絡應用；其次，CC證書的交換是基于近距離接觸的信任關系建立的，即2個節(jié)點的證書交換通過額外的可信信道，如紅外線等，并建立在證書交換雙方的近距離接觸基礎上。但是在MANET網(wǎng)絡中，大部分節(jié)點都是陌生的，節(jié)點間的信任關系是不能簡單地建立在近距離的接觸基礎之上。

基于信任模型的安全方案是在DCA與CC效率問題及CC的網(wǎng)絡信任關系的基礎上提出的一個新的安全方案，目前較為典型有分布式信任模型[8]、基于經(jīng)驗和概率統(tǒng)計的信任模型[9]、主觀邏輯建模[10,11]與矢量信任模型[12]等。

分布式信任模型是Abdul-Rahman等人從信任的基本概念出發(fā)，針對開放網(wǎng)絡環(huán)境提出的一種信任模型。該模型最大的貢獻就是首次明確將信任關系分為直接信任和推薦信任，這種信任關系的分類被廣泛接受。此外，該模型采用了一系列離散值對信任關系進行度量，并給出了信任度的傳遞方法。但是沒有給出信任的綜合計算方法。

基于經(jīng)驗和概率統(tǒng)計的信任模型是 Beth等人提出的，該模型引入經(jīng)驗的概念來表述和度量信任關系，并利用概率統(tǒng)計的方法給出了信任的傳遞和綜合計算公式，但是缺乏對信任主觀性的考慮。

主觀邏輯建模是 J?sang等人提出的利用主觀邏輯建立信任模型，通過引入事實空間和觀念空間的概念來描述和度量信任關系，它包含了對某件事情發(fā)生的不確定性判斷，并提供一套主觀邏輯算子用于信任度的推導和綜合計算。目前很多網(wǎng)絡的信任模型的研究都是基于主觀邏輯建模的，但主觀邏輯建模主要用于電子商務領域。

矢量信任模型是由 Indrajit等人提出的利用矢量來描述信任關系的模型，它強調(diào)信任必須存在于特定的上下文當中。這個模型主要依賴于3個參數(shù)：經(jīng)驗（experience）、知識（knowledge）和推薦（recommendation），基于這3個參數(shù)，就可以得到信任的向量化表示。與主觀邏輯建模相比，矢量信任模型更適合于MANET環(huán)境，但其對MANET可用性考慮不足。

3 可用性信任模型（ABTEM）

3.1 MANET可用性分析

在無線、無中心、動態(tài)的網(wǎng)絡環(huán)境下，MANET應對傳統(tǒng)無線攻擊的同時還要面對許多新的攻擊類型。目前，針對MANET的攻擊可以按照對安全性破壞的側重點不同分為以下3類：針對保密性的攻擊、針對完整性的攻擊和針對可用性的攻擊?，F(xiàn)有的MANET安全機制研究大都關注網(wǎng)絡安全的保密性和完整性，如分布式的密鑰管理機制等。但是，對MANET最容易實現(xiàn)同時又是破壞最大的攻擊均屬于針對可用性的攻擊，例如，在黑洞攻擊中，攻擊者既不需要設計任何復雜的協(xié)議，也不需要增加任何強大的計算能力，只需要完全或者有選擇地不轉(zhuǎn)發(fā)數(shù)據(jù)分組就可以實現(xiàn)對網(wǎng)絡路由協(xié)議的破壞，造成分組丟失率大幅增加，導致周圍節(jié)點無法通信。作為一種適用于特殊和臨時任務的網(wǎng)絡，MANET的可用性極為重要。

對于MANET來說，可用性的第一要素就是協(xié)作，只有網(wǎng)絡中節(jié)點的共同協(xié)作才能保證網(wǎng)絡的連通以實現(xiàn)MANET的可用性。其次，可用性還必須建立在節(jié)點的誠實性上，在保證參與網(wǎng)絡節(jié)點的誠實性并孤立惡意節(jié)點的基礎上才能抵御各種攻擊，保證MANET的正常運行。最后，能力也是可用性保障的一大要素，MANET中各種節(jié)點總是存在差異性，實行能者多勞，不僅可以提高網(wǎng)絡的效率，還可以減少對弱勢節(jié)點的資源消耗，提高網(wǎng)絡的整體可用性。

3.2 可用性信任模型的建立

基于上述對 MANET可用性的分析，本文將

M?ANET可用性的3大要素：協(xié)作、誠實、能力，歸納為安全與能力，并建立了基于可用性的信任度量模型（ABTEM, availability based trust evaluation model）。

3.2.1 安全信任 TS(τ)建立和計算

定義1安全信任。MANET中的安全信任是節(jié)點i指對另一節(jié)點j能及時響應請求，及時正確應答，及時傳送與轉(zhuǎn)發(fā)數(shù)據(jù)分組的信任。

用 TiSj來表示節(jié)點i指對另一節(jié)點 j安全信任，即

其中， R0=[0,1]，τ是連續(xù)時間的間隔，即τ=Δt。

安全信任評估的主要目標是提供用以判定節(jié)點是否可信的可靠信息，鼓勵節(jié)點的協(xié)作行為，排斥不良節(jié)點，獲取機制所保護的合作服務，包括節(jié)點一直遵守網(wǎng)絡行為的合法行為；網(wǎng)絡中惡意行為和網(wǎng)絡中預測評估惡意行為等方面的內(nèi)容。節(jié)點的網(wǎng)絡安全行為信任是指及時響應請求、及時正確應答、及時傳送與轉(zhuǎn)發(fā)數(shù)據(jù)分組。在對節(jié)點進行考察后，根據(jù)人類行為學，這時往往還會有對目標節(jié)點的初步判斷，因此本文認為對一個節(jié)點的安全信任應包含3個方面的內(nèi)容：安全行為信任、負面信任和經(jīng)驗評估。

定義 2安全行為信任。安全行為信任是指某節(jié)點對目標節(jié)點一直遵守網(wǎng)絡行為的信任。

用 TiCj來表示安全行為信任，即

由于網(wǎng)絡中所有數(shù)據(jù)都是以數(shù)據(jù)分組的形式轉(zhuǎn)發(fā)，因此判定某節(jié)點的信任可通過此節(jié)點的數(shù)據(jù)分組的正確傳送、轉(zhuǎn)發(fā)和及時響應來度量，TiCj可以采用以下公式：

其中，α(τ)為系數(shù)，nτ為一定時間τ內(nèi)正確轉(zhuǎn)發(fā)數(shù)據(jù)分組的數(shù)量，Nτ為τ時間內(nèi)總轉(zhuǎn)發(fā)的數(shù)據(jù)分組。α(τ )定義為

其中，α表示根據(jù)經(jīng)驗確定的常數(shù)。

定義 3 負面信任。負面信任是由于網(wǎng)絡中惡意節(jié)點的惡意行為而導致產(chǎn)生的負面評判。

用 TiMj來表示負面信任，即

由于 TiMj是確定網(wǎng)絡中負面的信任值計算公式，同樣由于網(wǎng)絡中所有數(shù)據(jù)都是以數(shù)據(jù)分組的形式轉(zhuǎn)發(fā)，因此判定某節(jié)點的信任可通過此節(jié)點的數(shù)據(jù)分組的不能正確傳送、不能正確轉(zhuǎn)發(fā)和不及時響應來度量， TiMj的計算公式如下：

其中， TiCj(τ)和 TiMj(τ)是根據(jù)網(wǎng)絡中的實際數(shù)據(jù)分組的轉(zhuǎn)發(fā)次數(shù)來度量的，而在實際網(wǎng)絡和社會生活中，還有根據(jù)人的經(jīng)驗和能力而得到的推測和預測值，因此應考慮的另外一個方面是對行為的評估。

定義 4經(jīng)驗信任。經(jīng)驗信任是指對網(wǎng)絡中的某信任節(jié)點的經(jīng)驗和經(jīng)歷而產(chǎn)生的信任。

用 TiIj來表示經(jīng)驗信任，即

由于經(jīng)驗信任是根據(jù)安全行為信任和負面信任而產(chǎn)生的信任，且根據(jù)兩者的變化而變化，而 TiIj由 TiCj(τ)和 TiMj(τ)得到，建立 TiIj的關系式如下：

則安全信任 TiSj可以形式化為

依據(jù)上述分析，本文提出如下的安全信任TiSj(τ)預測評估的公式：

3.2.2 能力信任 TiAj建立和計算

定義5能力信任。能力信任主要是指某節(jié)點具有參與網(wǎng)絡協(xié)作的多大程度能力而產(chǎn)生的信任。

能力信任可以分為網(wǎng)絡協(xié)作（轉(zhuǎn)發(fā)數(shù)據(jù)分組）、節(jié)點單機效率兩類能力。用 TiAj來表示能力信任，即

定義6網(wǎng)絡協(xié)作信任。MANET的活動時間內(nèi)某節(jié)點對另外一節(jié)點參與數(shù)據(jù)分組轉(zhuǎn)發(fā)的協(xié)作能力而產(chǎn)生的信任。

用 TiOj來表示網(wǎng)絡協(xié)作信任，即

網(wǎng)絡協(xié)作部分的信任以參與時間為量化指標，采用如下的計算式：

其中，δ是系數(shù)，τ是網(wǎng)絡的運行時間間隔，tΔ是在τ時間內(nèi)節(jié)點參與網(wǎng)絡協(xié)作的時間。

定義 7單機能力信任。單機能力信任是指某節(jié)點對另外一節(jié)點單機效率信任值。

用 TiEj來表示單機能力信任，

轉(zhuǎn)發(fā)數(shù)據(jù)分組的能力是一個節(jié)點單機能力的重要指標，所以 TiEj采用如下的計算式：

其中，φ是系數(shù)，ntΔ是指單位時間內(nèi)節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)分組的數(shù)量； NM是指節(jié)點所能轉(zhuǎn)發(fā)數(shù)據(jù)分組數(shù)量的理論最大值。則網(wǎng)絡協(xié)作信任 TiOj可以形式化為

則由式(5)和式(6)可得到對節(jié)點的能力信任組合公式：

其中，1v和2v滿足：

3.3 ABTEM

3.3.1 模型假設

① 節(jié)點i對節(jié)點j的信任值jiT 是時間間隔τ的連續(xù)函數(shù)；

② 節(jié)點i對節(jié)點 j的信任值jiT 是安全信任和能力信任的線性組合函數(shù)；

③ 節(jié)點i對節(jié)點 j的信任值jiT 的變化率是影響下一個時間間隔的重要影響因子。

3.3.2 信任模型綜合計算

2) 根據(jù)模型分析②，節(jié)點i對節(jié)點j的信任值計算公式為

其中， TiSj(τ)是安全信任預測評估值， TiAj能力信任評估值，ε是系數(shù)。

3) 根據(jù)模型分析③，設其信任值的變化率為

則信任值的預測、評估迭代公式為

這樣就建立了節(jié)點i對節(jié)點j信任值的計算。

4 模型應用及其分析

4.1 應用架構

信任模型的應用架構如圖1所示。在通過提取可用性信任值，可以為MANET 的信任管理提供有效的定量支持，并可在此基礎上進一步提供訪問控制和可用性安全路由等高層安全服務。

圖1 信任模型應用架構

為了更好地說明模型的實際效果，本文將ABTEM 應用于 DSR路由協(xié)議[13]，提出 ATDSR（availability trust DSR）通過對節(jié)點的信任評估來指導節(jié)點的路由選擇。

4.2 DSR路由協(xié)議

動態(tài)源路由（DSR, dynamic source routing）協(xié)議是基于源路由方式的按需路由協(xié)議，是目前MANET較為常用的路由協(xié)議之一。DSR協(xié)議有2個主要的機制協(xié)同運行以發(fā)現(xiàn)和維護網(wǎng)絡中的源節(jié)點路由。路由發(fā)現(xiàn)機制：若一個節(jié)點S希望向節(jié)點D發(fā)送一個數(shù)據(jù)分組，則它需要獲得一條通向D的路由，此時需要使用路由發(fā)現(xiàn)。路由發(fā)現(xiàn)只存在于S試圖發(fā)送數(shù)據(jù)分組但還未曾獲得通向D的路由。路由維護機制：若一個節(jié)點S可以通過源路由到達D，但如果路由中的一個連接無法工作使網(wǎng)絡拓撲結構發(fā)生變化導致S通向D的路由失效時，需要使用路由維護。當路由維護發(fā)現(xiàn)一個源節(jié)點丟失，S可以嘗試使用其他通向D的路由，或者它可以再次觸發(fā)路由發(fā)現(xiàn)以便為其后的數(shù)據(jù)分組找到新的通向D的路由。

在 DSR中，路由發(fā)現(xiàn)和路由維護的工作都是“按需”的。特別地，DSR不需要網(wǎng)絡中的任何一層中存在任何類型的周期性數(shù)據(jù)分組。例如，DSR不需要使用任何周期性的路由廣播、路由狀態(tài)監(jiān)控或者鄰居數(shù)據(jù)分組探測，而且不依賴網(wǎng)絡底層其他協(xié)議提供的功能。當所有節(jié)點相對其他節(jié)點來講，都近似靜止并且當前所需要的路由都已經(jīng)發(fā)現(xiàn)時，這種完全的按需行為和無周期數(shù)據(jù)存在使得由DSR產(chǎn)生的冗余數(shù)據(jù)分組的規(guī)模降為零。隨著節(jié)點開始移動或者通信模式的改變，DSR產(chǎn)生的冗余數(shù)據(jù)分組規(guī)模也僅限于追蹤當前使用的路由。網(wǎng)絡拓撲結構的變化對當前正在使用的路由沒有任何影響故可忽略，這種變化也不需要路由協(xié)議做出反應。

4.3 信任計算

根據(jù)式（4）得到安全信任值的計算，根據(jù)式（7）可計算每個節(jié)點的能力信任值，由式（10）可知，每個節(jié)點都可以計算出其他節(jié)點的綜合信任度。

在式（3）中，由于存在微分方程，因此必須將其離散化，其離散后的公式為

在模型的實際使用過程中，其對一個節(jié)點的信任預測值不可避免地會遇到誤差，為了保證模型和算法的可用性，用EΔ表示信任值的偏移，即定義為

其中，Tij(τ+1)表示信任預測值， TR表示真實值。定義可接受的門限制誤差值為ε≥0，則若ΔE≤ε，表示算法和模型可以接受，反之只要調(diào)整模型的相關參數(shù)。

4.4 路由選擇

在源節(jié)點對其他節(jié)點的綜合信任度計算的基礎上，將模型應用到DSR路由協(xié)議的路由發(fā)現(xiàn)環(huán)節(jié)，源節(jié)點發(fā)起路由請求并獲得相應到達目的節(jié)點的路徑后，疊加該路徑上所有節(jié)點的綜合信任度，記為T，然后定義路徑信任度，n為該路徑上節(jié)點的數(shù)量。源節(jié)點選擇 TR最高的路徑用來發(fā)送數(shù)據(jù)。

4.5 可用性保障

上述路由協(xié)議建立在對節(jié)點的安全信任與能力信任基礎之上，通過信任值的激勵作用，鼓勵協(xié)作的、誠實的、有能力的節(jié)點共同維護網(wǎng)絡的可用性，同時孤立惡意節(jié)點，使之無法參與進入網(wǎng)絡，無法對可用性造成破壞。

5 仿真實驗

5.1 實驗方法

本文在 NS2網(wǎng)絡模擬器[14]上對方案進行了初步實現(xiàn)。實驗中使用NS2模擬無線MANET中的黑洞攻擊及其解決方案，在這個模擬環(huán)境下，每一個無線設備節(jié)點都被抽象成為一個具有獨立行為的實例對象，節(jié)點之間使用給定的網(wǎng)絡協(xié)議進行通信。當一個節(jié)點按照標準的網(wǎng)絡協(xié)議與其他節(jié)點通信時，它就是一個正常的網(wǎng)絡節(jié)點，而當某個節(jié)點被賦予了特定的行為規(guī)則的時候，它可能會對整個網(wǎng)絡環(huán)境造成某些不利的影響，例如惡意行為或攻擊等。在NS2平臺上模擬MANET黑洞攻擊就是首先建立一系列使用ad hoc協(xié)議互相通信的正常無線節(jié)點，而當黑洞節(jié)點進入的時候，黑洞節(jié)點會利用標準無線路由協(xié)議中默認的彼此信任關系，來對周圍的節(jié)點實施路由欺騙，并丟棄所有經(jīng)過自己的網(wǎng)絡數(shù)據(jù)分組，從而形成無線網(wǎng)絡上的一個數(shù)據(jù)黑洞。利用NS2平臺所提供的過程追蹤文件，可以記錄整個模擬過程中每一個節(jié)點上的所有網(wǎng)絡活動，通過這些信息，可以分析出網(wǎng)絡在不同情況下的各方面狀態(tài)，從而為實驗分析提供了充分的數(shù)據(jù)。NS2提供了隨機移動模型，它可以生成模擬真實環(huán)境下的移動節(jié)點的場景。首先使用這一模型來定義仿真的環(huán)境信息，這里指定一個長寬各670m的矩形區(qū)域，在上面隨機放置50個節(jié)點，在一段時間過后，節(jié)點會陸續(xù)以不超過20m/s的速度向隨機的方向移動，以模仿真實應用中的人或交通工具的移動。在這 50個節(jié)點之中，有若干個黑洞節(jié)點，實驗中會根據(jù)無線網(wǎng)絡當中的黑洞節(jié)點數(shù)目不同時的網(wǎng)絡狀況來評估黑洞攻擊對整個網(wǎng)絡可用性所產(chǎn)生的破壞程度，其中一些使用到的對網(wǎng)絡可用性的評價指標包括網(wǎng)絡數(shù)據(jù)分組的成功接收率及無線分組交換中從源節(jié)點到達目的節(jié)點的平均跳數(shù)等。最后，向標準的 DSR協(xié)議中加入了本文提出的信任機制之后，再重新評估有黑洞攻擊情況下的網(wǎng)絡可用性，與先前沒有加入信任機制的情況進行比較，從而評估出所加入的信任機制的有效性。

5.2 實驗結果及分析

分組丟失率的實驗結果如圖 2所示，可以看出，純DSR協(xié)議在網(wǎng)絡節(jié)點增加的情況，分組丟失率上升非常快，在無惡意節(jié)點的情況，分組丟失率僅僅9%左右，但當網(wǎng)絡中存在5個惡意節(jié)點時，分組丟失率就達到了 57%。而在相同情況下，包含了信任機制的DSR表現(xiàn)較為良好，分組丟失率從無惡意節(jié)點的情況的9%變?yōu)榇嬖?個惡意節(jié)點情況的 17%。這說明了基于 ABTEM的信任機制在路由層能夠成功地根據(jù)其惡意行為發(fā)現(xiàn)網(wǎng)絡中的惡意節(jié)點，并且進一步孤立這些惡意節(jié)點，從而避免網(wǎng)絡繼續(xù)收到惡意節(jié)點的侵害，保證了網(wǎng)絡的可用性。

圖2 ATDSR與DSR分組丟失率對比

平均跳數(shù)的實驗結果如圖3所示。無線網(wǎng)絡中的跳數(shù)是指數(shù)據(jù)分組從源節(jié)點發(fā)出，直到目的節(jié)點時，所經(jīng)過的節(jié)點數(shù)目。把無線網(wǎng)絡中的跳數(shù)取平均，可以用來評價網(wǎng)絡的規(guī)模和使用效率。從MANET黑洞實驗的結果可以看出，在沒有加入信任機制的時候，隨著黑洞節(jié)點的增加，平均跳數(shù)波動很大，此時惡意節(jié)點的存在對網(wǎng)絡的性能影響較大，而與之對應地加入了信任機制之后，可以看出在增加黑洞節(jié)點時，網(wǎng)絡性能不會產(chǎn)生大的波動，這說明了信任機制的引入在很大程度上穩(wěn)定了整個網(wǎng)絡的路由性能。

圖3 ATDSR與DSR平均跳數(shù)的對比

6 結束語

本文針對MANET當前安全機制研究側重于機密性和完整性而忽略可用性的問題，提出基于可用性的信任度量模型 ABTEM，在此基礎上可構建多種針對可用性的安全服務。實驗結果顯示，將ABTEM 應用于 DSR路由協(xié)議時，可以顯著提高MANET系統(tǒng)的可用性。

[1] DJENOURI D, KHELLADI L, BADACHE A N. A survey of security issues in mobile ad hoc and sensor networks[J]. IEEE Communications Surveys & Tutorials, 2005, 7(4)∶2-28.

[2] ZHOU L D, ZYGMUNT J H. Securing ad hoc networks[J]. IEEE Network, 1999, 13(6)∶24-30.

[3] CAPKUN S, BUTTYAN L, HUBAUX J P. Self-organized public-key management for mobile ad hoc networks[J]. IEEE Transactions on Mobile Computing, 2003, 2(1)∶52-64.

[4] YI S, KRAVETS R. MOCA∶ mobile certificate authority for wireless ad hoc networks[A]. The 2nd Annual PKI Research Workshop (PKI 03)[C]. USA, 2003.65-79.

[5] PIRZADA A A, MCDONALD C. Establishing trust in pure ad hoc networks[A]. Proceedings of the 27th Australasian Conference on Computer Science[C]. Australia, 2004.47-54.

[6] ESCHENAUER L, GLIGOR V D, BARAS J. On trust establishment in mobile ad-hoc networks[J]. Security Protocols, 2004, 2845∶47-62.

[7] AZZEDIN F, MAHESWARAN M. Evolving and managing trust in grid computing systems[A]. IEEE Ccec 2002∶ Canadian Conference on Electrcial and Computer Engineering, Vols 1-3, Conference Proceedings[C]. Canadian, 2002.1424-1429.

[8] ABDUL-RAHMAN A, HAILES S. A distributed trust model[A]. Proc of the 1997 New Security Paradigms Workshop[C]. New York, 1998.48-60.

[9] BETH T, BORCHERDING M, KLEIN B. Valuation of trust in open network[A]. Proc of the European Symp on Research in Security[C].Berlin, 1994.3-18.

[10] J?SANG A. A subjective metric of authentication[A]. Computer Security-Esorics 98[C]. 1998. 329-344.

[11] J?SANG A, ISMAIL R, BOYD C. A survey of trust and reputation systems for online service provision[J]. Decision Support Systems,2007, 43(2)∶618-644.

[12] RAY I, CHAKRABORTY S. A vector model of trust for developing trustworthy systems[A]. Computer Security Esorics 2004[C].2004.260-275.

[13] DSR[EB/OL]. htttp∶//www.ietf.org.

[14] ns [EB/OL]. http∶//www.isi.edu/nsnam/ns.