夏　怒　李　偉　陸　悠　蔣　健　單　馮　羅軍舟

(東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院　南京　211189)(xia_nu@seu.edu.cn)

一種面向域間路由系統(tǒng)的信任模型

夏怒李偉陸悠蔣健單馮羅軍舟

(東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院南京211189)(xia_nu@seu.edu.cn)

摘要在域間路由系統(tǒng)中，邊界網(wǎng)關(guān)協(xié)議(border gateway protocol, BGP)的運(yùn)行基于對(duì)自治域路由通告行為的可信假設(shè)，給了虛假路由信息發(fā)布者可乘之機(jī)，導(dǎo)致影響Internet穩(wěn)定運(yùn)行的安全事件時(shí)有發(fā)生，然而現(xiàn)有研究工作并不能有效抑制虛假路由信息的產(chǎn)生和傳播，因此提出一種面向域間路由系統(tǒng)的信任模型，以實(shí)現(xiàn)對(duì)自治域路由通告行為準(zhǔn)確的可信評(píng)估.在該模型中，在每個(gè)評(píng)估周期，評(píng)估自治域?qū)ζ溧従幼灾斡虻臍v史路由通告行為進(jìn)行直接評(píng)估，同時(shí)收集被評(píng)估自治域的其他鄰居自治域?qū)ζ涞闹苯釉u(píng)估，最后綜合多方來源的直接評(píng)估結(jié)果計(jì)算被評(píng)估自治域的信任度.采用路由通告行為預(yù)測(cè)方法，以使直接評(píng)估結(jié)果可準(zhǔn)確反映被評(píng)估自治域的未來路由通告行為，此外，為使評(píng)估自治域可獲得充分的信任信息以保障信任度評(píng)估結(jié)果的準(zhǔn)確性，采用信任推薦激勵(lì)機(jī)制促進(jìn)自治域積極參與信任推薦，自治域間相互根據(jù)對(duì)方的歷史信任推薦積極性計(jì)算信任推薦概率，并基于該概率進(jìn)行信任推薦.實(shí)驗(yàn)結(jié)果表明：相比于其他信任模型，在不同的評(píng)估環(huán)境中，信任模型的信任評(píng)估結(jié)果可更為準(zhǔn)確地反映被評(píng)估自治域未來發(fā)布真實(shí)路由通告的可能性.

關(guān)鍵詞域間路由系統(tǒng)；信任模型；信任度；路由行為預(yù)測(cè)；信任推薦激勵(lì)

域間路由系統(tǒng)由眾多自治域系統(tǒng)(autonomous system， AS)互聯(lián)而成，肩負(fù)著維護(hù)網(wǎng)絡(luò)可達(dá)的重任，是Internet穩(wěn)定運(yùn)行的基石.在該系統(tǒng)中，自治域間基于邊界網(wǎng)關(guān)協(xié)議(border gateway protocol， BGP)交換路由通告以實(shí)現(xiàn)域間路由收斂，BGP協(xié)議的運(yùn)行基于對(duì)自治域路由通告行為的可信假設(shè)，然而這種可信假設(shè)卻導(dǎo)致域間路由系統(tǒng)的穩(wěn)定運(yùn)行時(shí)常遭受由前綴劫持、錯(cuò)誤配置、軟件故障等產(chǎn)生的虛假路由信息的干擾[1-2].例如，2005年Google的一個(gè)前綴被劫持導(dǎo)致部分用戶將近1 h無法訪問Google[3]，2008年巴基斯坦電信錯(cuò)誤散播YouTube的一個(gè)前綴導(dǎo)致后者的服務(wù)中斷2 h[4]，這些安全事件同時(shí)也造成了重大的經(jīng)濟(jì)損失.為了應(yīng)對(duì)域間路由系統(tǒng)所面臨的安全挑戰(zhàn)，當(dāng)前的研究工作主要是從完善路由協(xié)議的安全機(jī)制以及加強(qiáng)對(duì)路由信息的診斷監(jiān)測(cè)這2方面展開的.在安全機(jī)制方面，常用的解決方案如使用公共密鑰設(shè)施(public key infrastructure， PKI)，通過對(duì)自治域與其可發(fā)布前綴的綁定[5-7]，以限制虛假路由信息的傳播，然而，在分布式的域間路由系統(tǒng)內(nèi)設(shè)置集中式的密鑰授權(quán)管理機(jī)構(gòu)尚缺乏現(xiàn)實(shí)可行性.在路由信息診斷監(jiān)測(cè)方面，主要是基于數(shù)據(jù)層面(前綴是否可達(dá))或控制層面(路由路徑是否變化)的行為監(jiān)測(cè)結(jié)果分析是否存在虛假前綴等安全威脅[8-10]，然而，此類方法實(shí)質(zhì)上是對(duì)域間路由通告的有效性進(jìn)行后驗(yàn)式診斷，并沒有對(duì)路由通告來源進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而難以有效抑制虛假路由信息的產(chǎn)生和傳播.

鑒于信任機(jī)制在電子商務(wù)和P2P等領(lǐng)域[11-13]內(nèi)遏制實(shí)體惡意行為方面的功效，目前信任機(jī)制也被逐漸引入到域間路由系統(tǒng)中，以實(shí)現(xiàn)對(duì)自治域的路由行為如所發(fā)布路由通告的前綴真實(shí)性等進(jìn)行信任評(píng)估，評(píng)估結(jié)果可以作為路由決策規(guī)避路由風(fēng)險(xiǎn)的有效依據(jù).在文獻(xiàn)[14]提出的信任模型中相鄰自治域間相互交換自身的路由策略、授權(quán)狀態(tài)等指標(biāo)，并基于這些指標(biāo)展開信任評(píng)估，所使用的評(píng)估方法為對(duì)多個(gè)歸一化的行為指標(biāo)進(jìn)行加權(quán)平均，然而，在該模型中信任評(píng)估所基于的一些行為指標(biāo)并非來源于評(píng)估方的直接監(jiān)測(cè)結(jié)果而是由被評(píng)估方提供，因此這些指標(biāo)的可靠性無法得到保障，此外，要求被評(píng)估方提供如路由策略等隱私信息的做法缺乏現(xiàn)實(shí)可行性.在文獻(xiàn)[15]所提出的信任模型中，自治域分別基于其他自治域所發(fā)布的路由通告的前綴真實(shí)性、所包含路由是否為谷底路由(valley free routing)以及所包含域間鏈路穩(wěn)定度來計(jì)算相應(yīng)的有效通告所占比例，隨后基于不同的有效通告所占比例，分別評(píng)估自治域在不同路由通告行為指標(biāo)方面的信任度.值得注意的是由于現(xiàn)有的路由行為監(jiān)測(cè)方法并不能完全保障監(jiān)測(cè)結(jié)果的準(zhǔn)確性，并且由于不同自治系統(tǒng)之間的路由策略受商業(yè)關(guān)系的約束，有些路由通告可能被路由過濾器(route filter)所屏蔽進(jìn)而無法被路由監(jiān)測(cè)系統(tǒng)所發(fā)現(xiàn)，因此單個(gè)自治域僅僅依靠自身路由行為監(jiān)測(cè)所得出的評(píng)估結(jié)果往往難以準(zhǔn)確地反映被評(píng)估自治域的路由行為.盡管文獻(xiàn)[16]所提出的信任模型在評(píng)估自治域信任度時(shí)綜合考慮多個(gè)自治域所提供的信任信息，然而該模型沒有采取過濾虛假信任推薦信息的措施，使得當(dāng)存在虛假信任推薦信息時(shí)信任評(píng)估的準(zhǔn)確性無法得到保障.在文獻(xiàn)[17]所提出的信任模型中，域間路由系統(tǒng)被分割成若干個(gè)信任聯(lián)盟，每個(gè)聯(lián)盟中有一個(gè)自治域擔(dān)任盟主，其他自治域(聯(lián)盟成員)之間基于Beta分布理論相互展開直接評(píng)估，針對(duì)某一成員，盟主收集聯(lián)盟其他成員所提供的關(guān)于該成員的直接評(píng)估，隨后過濾掉與直接評(píng)估平均值偏離較大的直接評(píng)估值，最后取未被過濾的直接評(píng)估值的平均值作為該成員的信任度.然而，這種在信任模型中常用的過濾不可靠推薦信任度的方法需要在大多數(shù)推薦者為善意的情況下才能保障過濾效果，當(dāng)在局部范圍內(nèi)惡意推薦者所占比例較大時(shí)該信任推薦過濾方法的效能將大打折扣.此外，在該模型中，為實(shí)現(xiàn)大范圍內(nèi)信任信息共享需要不同聯(lián)盟的盟主之間交互所管轄成員的信任信息，這種盟主-成員式的信任模型所帶來的問題是：各個(gè)獨(dú)立的自治域并非樂意讓其他自治域成為自己的信任代理，因此盟主的選擇很難在自治域間展開并最終達(dá)成共識(shí)；盟主行為難以被監(jiān)管，若盟主提供虛假信任信息會(huì)對(duì)域間路由系統(tǒng)的安全性造成嚴(yán)重破壞.還需要指出的是，在被評(píng)估自治域路由行為波動(dòng)較大的情況下，上述信任模型基于加權(quán)平均、Beta分布等方法所得信任評(píng)估結(jié)果難以準(zhǔn)確反映其未來路由行為變化，因此不能有效地為路由決策規(guī)避未來路由風(fēng)險(xiǎn)提供支持.此外，由于在現(xiàn)有面向域間路由系統(tǒng)的信任模型中沒有采取方法促進(jìn)自治域積極的參與信任推薦，會(huì)導(dǎo)致在自治域出于私利不積極反饋直接評(píng)價(jià)的情況下，評(píng)估者由于無法獲取足夠的信任信息而無法保障信任度評(píng)估結(jié)果的準(zhǔn)確性，因此，有必要建立促進(jìn)自治域積極參與信任推薦的激勵(lì)機(jī)制.通過研究面向其他研究領(lǐng)域的激勵(lì)機(jī)制后發(fā)現(xiàn)，在基于一次一罰策略的激勵(lì)機(jī)制中[18-19]，實(shí)體一旦有1次不合作行為后其將被迫進(jìn)入1個(gè)懲罰期，被懲罰實(shí)體需無償向其他未被懲罰實(shí)體提供若干次服務(wù)才能脫離懲罰期，并且在該期間內(nèi)被懲罰實(shí)體不能享受其他實(shí)體提供的服務(wù)，這種激勵(lì)機(jī)制的問題在于沒有對(duì)實(shí)體的歷史合作行為進(jìn)行有效區(qū)分，會(huì)嚴(yán)重影響長(zhǎng)期合作偶爾無法合作的實(shí)體的合作積極性.此外，在合作雙方初始積極性不高的情況下，2個(gè)實(shí)體很有可能由于1次同時(shí)不合作而雙雙陷入懲罰期，導(dǎo)致相互不能提供服務(wù)而都無法脫離懲罰期即陷入合作僵局.在基于行為閾值的激勵(lì)機(jī)制中[20-21]，實(shí)體合作行為一旦低于某個(gè)閾值將被迫經(jīng)歷1個(gè)懲罰期，在該懲罰期內(nèi)被懲罰實(shí)體需無償向其他未被懲罰實(shí)體提供若干次服務(wù)，并不能享受服務(wù)，這種激勵(lì)機(jī)制雖然避免了一次一罰策略對(duì)實(shí)體合作積極性的影響，但是在這種機(jī)制中合作行為高于閾值的實(shí)體所受到的獎(jiǎng)勵(lì)相同，會(huì)導(dǎo)致實(shí)體采取保持合作行為達(dá)標(biāo)(高于閾值)即可的投機(jī)策略.此外，這種基于行為閾值的激勵(lì)機(jī)制也存在使實(shí)體陷入合作僵局的風(fēng)險(xiǎn)，即當(dāng)2個(gè)實(shí)體合作行為都低于閾值后將相互不能提供服務(wù).

為實(shí)現(xiàn)對(duì)自治域路由通告行為進(jìn)行準(zhǔn)確的信任評(píng)估，使得評(píng)估結(jié)果可作為域間路由決策的依據(jù)，以有效抑制虛假路由信息的產(chǎn)生和傳播，本文提出一種面向域間路由系統(tǒng)的信任模型TMIRS(trust model for inter-domain routing system)，在該模型中，在每個(gè)評(píng)估周期，評(píng)估自治域?qū)ζ溧従幼灾斡虻臍v史路由通告行為進(jìn)行直接評(píng)估，同時(shí)收集被評(píng)估自治域的其他鄰居自治域?qū)ζ涞闹苯釉u(píng)估，最后綜合多方來源的直接評(píng)估結(jié)果計(jì)算被評(píng)估自治域的信任度.本文采用路由通告行為預(yù)測(cè)方法以使直接評(píng)估結(jié)果可準(zhǔn)確反映被評(píng)估自治域的未來路由通告行為.此外，為使評(píng)估自治域可獲得充分的信任信息以保障信任度評(píng)估結(jié)果的準(zhǔn)確性，本文采用信任推薦激勵(lì)機(jī)制促進(jìn)自治域積極參與信任推薦，自治域間相互根據(jù)對(duì)方的歷史信任推薦積極性計(jì)算信任推薦概率，并基于該概率進(jìn)行信任推薦，一個(gè)自治域歷史上向其他自治域信任推薦積極性越高，其從其他自治域獲取信任信息的概率就越大，反之亦然.

1信任模型

在本文的信任模型中，自治域?qū)ζ溧従幼灾斡虻穆酚赏ǜ嫘袨檎归_信任度評(píng)估，在評(píng)估時(shí)評(píng)估方綜合考慮自身獲取的以及被評(píng)估自治域其他鄰居所提供的直接評(píng)估信息，在有效區(qū)分不同來源直接評(píng)估值的可靠性的基礎(chǔ)上計(jì)算被評(píng)估自治域的信任度.

在當(dāng)前的域間路由系統(tǒng)中，惡意攻擊、軟件故障或配置錯(cuò)誤都有可能導(dǎo)致自治域?qū)ν獍l(fā)布包含虛假前綴的路由通告，這類通告會(huì)快速傳播到多個(gè)自治域的邊界路由器并引發(fā)路由表項(xiàng)的變動(dòng)，最終導(dǎo)致數(shù)據(jù)流量無法到達(dá)自治域所宣稱的目的前綴，虛假前綴已經(jīng)成為當(dāng)前域間路由系統(tǒng)所面臨的最嚴(yán)重威脅.因此，為抑制包含虛假前綴的路由通告的產(chǎn)生，有必要對(duì)自治域的路由通告行為進(jìn)行可信評(píng)估，評(píng)估結(jié)果應(yīng)能夠反映出被評(píng)估自治域在未來發(fā)布包含真實(shí)前綴的路由通告的可信程度.鑒于現(xiàn)有的路由信息診斷和監(jiān)測(cè)研究工作[8-10]在發(fā)現(xiàn)前綴劫持行為方面取得了一定的成效，對(duì)自治域路由通告行為的可信評(píng)估提供了良好的基礎(chǔ)，可以通過現(xiàn)有的路由信息診斷和監(jiān)測(cè)方法驗(yàn)證被評(píng)估自治域所發(fā)布前綴的真實(shí)性.綜上所述，本文設(shè)計(jì)一種面向域間路由系統(tǒng)的信任模型，在該模型中，在每個(gè)評(píng)估周期，評(píng)估自治域基于其自身對(duì)被評(píng)估自治域路由通告行為的監(jiān)測(cè)結(jié)果做出直接評(píng)估，考慮到現(xiàn)有的路由行為監(jiān)測(cè)方法并不能完全保障診斷結(jié)果的準(zhǔn)確性，并且有些路由通告可能被路由過濾器(route filter)所屏蔽進(jìn)而無法被路由監(jiān)測(cè)系統(tǒng)所發(fā)現(xiàn)，會(huì)導(dǎo)致單個(gè)自治域的直接評(píng)估結(jié)果難以準(zhǔn)確反映被評(píng)估自治域的實(shí)際路由通告行為，因此評(píng)估自治域還需要參考被評(píng)估自治域的其他鄰居自治域?qū)ζ涞闹苯釉u(píng)估，為實(shí)現(xiàn)不同自治域間信任信息的交互，可以采取如在不同域內(nèi)設(shè)置信任服務(wù)器相互交互信任信息，或采取帶外連接的方式如管理員之間通過電話和郵件等進(jìn)行信任信息的交互.在收集到其他自治域的信任推薦信息后，評(píng)估自治域?qū)Σ煌瑏碓吹闹苯釉u(píng)估設(shè)以相應(yīng)的權(quán)重，最后計(jì)算被評(píng)估自治域的信任度.由上述可知，在每個(gè)評(píng)估周期，評(píng)估自治域首先需要對(duì)被評(píng)估自治域做出直接評(píng)估：

定義1. 直接評(píng)估DTi,j(t).DTi,j(t)為在第t個(gè)評(píng)估周期自治域i對(duì)自治域j在未來發(fā)布滿足前綴真實(shí)性的路由通告的可信預(yù)期，該值是基于自治域i自身對(duì)自治域j的歷史路由通告行為監(jiān)測(cè)結(jié)果得出的，取值范圍為[0,1].

隨后，評(píng)估自治域綜合多方來源的直接評(píng)估計(jì)算被評(píng)估自治域的信任度.

定義2. 信任度CTi,j(t).CTi,j(t)為在第t個(gè)評(píng)估周期自治域i認(rèn)為自治域j在未來發(fā)布滿足前綴真實(shí)性的路由通告的可信程度，該值是自治域i綜合多方直接評(píng)估得出的，取值范圍為[0,1].

需要指出的是，在信任度計(jì)算時(shí)，評(píng)估自治域參考的是其他自治域?qū)Ρ辉u(píng)估自治域的直接評(píng)估而非信任度，這是因?yàn)椋盒湃味瓤赡芫C合了第三方自治域所提供的直接評(píng)估，在第三方直接評(píng)估不可靠的情況下，會(huì)導(dǎo)致不可靠信任信息的傳播和擴(kuò)散即形成以訛傳訛.為有效降低不可靠直接評(píng)估對(duì)信任度評(píng)估的影響，在信任度計(jì)算時(shí)評(píng)估自治域需要對(duì)比歷史上不同來源的直接評(píng)估與被評(píng)估自治域的實(shí)際路由通告行為的總體偏差程度，根據(jù)對(duì)比結(jié)果對(duì)不同來源的直接評(píng)估設(shè)置相應(yīng)的權(quán)重.本文的信任模型示意圖如圖1所示，當(dāng)一個(gè)自治域i對(duì)其鄰居自治域j進(jìn)行信任度評(píng)估時(shí)，自治域i需要綜合考慮i對(duì)j的直接評(píng)估以及j的其他鄰居(k和m)對(duì)j的直接評(píng)估，這些評(píng)估值通過自治域間信任推薦的方式獲取，隨后自治域i賦予不同來源的直接行為值相應(yīng)的權(quán)重，最后綜合多個(gè)賦有權(quán)重的直接行為值計(jì)算被評(píng)估自治域j的信任度.

Fig. 1　The diagram of the trust model.圖1　信任模型示意圖

設(shè)在第t個(gè)評(píng)估周期，自治域i對(duì)自治域j的信任度計(jì)算方法為

(1)

其中，CTi,j(t)為自治域i對(duì)自治域j的信任度，DTk,j(t)為自治域k(包括自治域i)對(duì)自治域j的直接評(píng)估，m表示在當(dāng)前評(píng)估周期自治域i收集到的關(guān)于自治域j的直接評(píng)估的數(shù)量(m≥1)，wk為自治域k對(duì)自治域j的直接評(píng)估在此次信任度評(píng)估中所占的權(quán)重.需要指出的是，對(duì)于同一個(gè)被評(píng)估自治域j，在同一個(gè)評(píng)估周期，其不同鄰居自治域計(jì)算得出的信任度是不一樣的，原因是：在1個(gè)評(píng)估周期里，由于自治域并非總是積極地參與信任推薦，不同鄰居收集到的對(duì)自治域j的直接評(píng)估的來源會(huì)有所不同，進(jìn)而所得信任度會(huì)不一樣；即便不同鄰居收集到的對(duì)自治域j的直接評(píng)估的來源是相同的，但是不同的評(píng)估自治域?qū)τ谕粋€(gè)由第三方提供的直接評(píng)估所設(shè)置的權(quán)重是不一樣的，因?yàn)樵u(píng)價(jià)第三方直接評(píng)價(jià)可靠性的指標(biāo)要基于評(píng)估自治域自身對(duì)被評(píng)估自治域的路由通告行為的驗(yàn)證結(jié)果(詳見1.2節(jié))，而不同評(píng)估自治域所獲的驗(yàn)證結(jié)果是不一樣的，因此對(duì)同一個(gè)第三方直接評(píng)估設(shè)置的權(quán)重會(huì)不一樣，進(jìn)而所得信任度會(huì)有所不同.下面將分別詳細(xì)介紹信任度計(jì)算所需的直接評(píng)估以及不同直接信任評(píng)價(jià)值所對(duì)應(yīng)權(quán)重的計(jì)算方法.

1.1直接評(píng)估

由定義1可知，本文對(duì)直接評(píng)估的計(jì)算是基于對(duì)被評(píng)估自治域歷史路由通告行為的驗(yàn)證結(jié)果，如果僅僅以被評(píng)估自治域歷史上所發(fā)布的滿足前綴真實(shí)性的路由通告的比例作為評(píng)估依據(jù)，會(huì)由于缺乏對(duì)不同時(shí)期被評(píng)估自治域的路由通告行為的分析，導(dǎo)致評(píng)估結(jié)果只是反映被評(píng)估自治域以往發(fā)布滿足前綴真實(shí)性的路由通告的總體比例，而無法有效反映其未來發(fā)布滿足前綴真實(shí)性的路由通告的可能性.因此，為了有效把握被評(píng)估自治域路由通告行為的變化規(guī)律，在本文的信任模型中，評(píng)估自治域以評(píng)估周期為單位來統(tǒng)計(jì)對(duì)被評(píng)估自治域所發(fā)布路由通告的前綴真實(shí)性的驗(yàn)證結(jié)果，進(jìn)而計(jì)算出以評(píng)估周期為單位的被評(píng)估自治域的路由通告行為指標(biāo)：路由通告行為值.

定義3. 路由通告行為值A(chǔ)Bi,j(t).ABi,j(t)為在第t個(gè)評(píng)估周期自治域i計(jì)算得出的自治域j在該周期內(nèi)向其發(fā)布滿足前綴真實(shí)性的路由通告的比例，該值的取值范圍為[0,1].

ABi,j(t)的計(jì)算方法為

ABi,j(t)=u

(2)

其中，n為在第t個(gè)評(píng)估周期內(nèi)自治域i收到的來自自治域j的路由通告數(shù)量，u為滿足前綴真實(shí)性的路由通告數(shù)量.由此可知，經(jīng)過t個(gè)評(píng)估周期，自治域i可獲得自治域j歷史上各個(gè)評(píng)估周期的行為指標(biāo)即路由通告行為值A(chǔ)Bi,j(1),ABi,j(2),…,ABi,j(t).值得注意的是，現(xiàn)有的信任模型在計(jì)算直接評(píng)估時(shí)，對(duì)歷史行為指標(biāo)往往采用加權(quán)平均、貝葉斯算法、Beta分布等方法，所得評(píng)價(jià)結(jié)果在被評(píng)估對(duì)象路由行為非平穩(wěn)變化的情況下難以準(zhǔn)確反映其未來路由通告行為狀態(tài)，導(dǎo)致評(píng)價(jià)結(jié)果不能有效幫助路由決策規(guī)避未來的路由風(fēng)險(xiǎn).因此，在本文的信任模型中，為了使得直接評(píng)估結(jié)果可準(zhǔn)確反映被評(píng)估自治域在未來1個(gè)評(píng)估周期內(nèi)的路由通告行為表現(xiàn)，設(shè)當(dāng)前為第t個(gè)評(píng)估周期，評(píng)估自治域i基于對(duì)被評(píng)估自治域j未來一個(gè)評(píng)估周期的路由通告行為值的預(yù)測(cè)，來計(jì)算直接評(píng)估DTi,j(t)，有DTi,j(t)=ABi,j(t+1)，ABi,j(t+1)為評(píng)估自治域i基于自治域j歷史上各個(gè)評(píng)估周期的路由通告行為值預(yù)測(cè)出的其在第t+1個(gè)評(píng)估周期的路由通告行為值.由此可知，該直接評(píng)估可以有效反映自治域未來路由通告行為，將有助于路由決策規(guī)避未來的路由風(fēng)險(xiǎn).

Fig. 2　Prediction method of the routing behavior value.圖2　路由行為值預(yù)測(cè)方法示意圖

本文所使用的對(duì)自治域路由通告行為值的預(yù)測(cè)方法基于早先的1個(gè)在路由行為預(yù)測(cè)方面的研究成果[22]，與現(xiàn)有的AR模型、人工神經(jīng)網(wǎng)絡(luò)、小波變換、灰色模型相比，該研究成果的優(yōu)點(diǎn)是：在小樣本狀態(tài)下(樣本數(shù)量不少于4個(gè))即可實(shí)施預(yù)測(cè)、無樣本分布要求、不依賴專家經(jīng)驗(yàn)、在樣本數(shù)據(jù)值波動(dòng)較大的情況下預(yù)測(cè)精度更高.設(shè)自治域i獲得的自治域j的歷史路由通告行為值序列為(ABi,j(1),ABi,j(2),…,ABi,j(t))，本文在預(yù)測(cè)路由通告行為值時(shí)，所基于的路由行為預(yù)測(cè)算法定義了2種波動(dòng)類型：1)突發(fā)波動(dòng)，該波動(dòng)只干擾波動(dòng)出現(xiàn)時(shí)刻的行為值，對(duì)后續(xù)行為值無影響，具有突發(fā)性；2)遷移波動(dòng)，該波動(dòng)不僅干擾波動(dòng)出現(xiàn)那一刻的行為值并會(huì)對(duì)后續(xù)行為值產(chǎn)生一定影響，導(dǎo)致行為曲線發(fā)生如水平遷移以及趨勢(shì)改變等.該預(yù)測(cè)算法定義了1個(gè)級(jí)比序列，此序列由相鄰路由通告行為值的比值構(gòu)成，表示為(r1,r2,…,rt-1)，其中有ru=ABi,j(u+1)ABi,j(u).隨后，基于一個(gè)分組標(biāo)準(zhǔn)|max(ri)-min(ri)|

DevDTi,k,j(t)=

(3)

其中，nk,i,j為在過去的t個(gè)評(píng)估周期里自治域k(包含自治域i)向自治域i提供的關(guān)于自治域j的直接評(píng)估的次數(shù)，出于策略或開銷的考慮，其他自治域不一定會(huì)在每個(gè)評(píng)估周期都向自治域i提供關(guān)于自治域j的直接評(píng)估，因此第u次(1≤u

(4)

由式(4)可知，如果歷史上自治域k所提供的關(guān)于自治域j的直接評(píng)估與自治域j路由通告行為值的平均偏差相對(duì)于其他自治域的更小，則在當(dāng)前自治域i對(duì)自治域j的信任度評(píng)估中自治域k所提供的直接評(píng)估所占權(quán)重更大，反之亦然.在極端情況下，如果每個(gè)自治域的歷史直接評(píng)估與自治域j的路由通告行為值的平均偏差都為1，這說明參與評(píng)估的自治域總是提供與自治域j實(shí)際路由通告行為相反的評(píng)估結(jié)果，顯然在這種情況下各個(gè)自治域所提供的直接評(píng)估毫無價(jià)值，故權(quán)重都設(shè)為0.

1.3算法描述

基于上述對(duì)本文信任模型的介紹，本節(jié)給出對(duì)信任度評(píng)估的算法描述，設(shè)評(píng)估自治域?yàn)锳，被評(píng)估自治域?yàn)锽，自治域B的鄰居集合為N(B)，該集合包含自治域A，N(B)中任意1個(gè)自治域R在A對(duì)B信任評(píng)估時(shí)所提供的直接評(píng)估值序列為SeqR，自治域B的路由通告行為值序列為SeqB，自治域A對(duì)自治域B的信任度評(píng)估算法如下所示：

算法1. 信任度評(píng)估算法.

輸入：N(B),SeqR(R∈N(B)),SeqB;

輸出：CTA,B(t).

①t=1,?SeqR=[],SeqB=[];

② 計(jì)算路由通告行為值A(chǔ)BA,B(t)，并將其加入到SeqB中;

③ if (t≠1) then

④ for eachR∈N(B) do

⑤ 計(jì)算邊路由通告行為值的平均偏差DevDTA,R,B(t);

⑥ end for

⑦ for eachR∈N(B) do

⑧ 計(jì)算直接評(píng)估權(quán)重wR;

⑨ end for

⑩ else then

2信任推薦激勵(lì)機(jī)制

在本文的信任推薦激勵(lì)機(jī)制中，自治域間相互根據(jù)對(duì)方的歷史信任推薦行為計(jì)算信任推薦概率，并基于該概率決定是否向?qū)Ψ酵扑]信任信息即反饋對(duì)被評(píng)估自治域的直接評(píng)估值，自治域參與信任推薦的積極性越高，其從其他自治域獲取信任推薦的可能性越大，反之亦然.此外，為保障自治域間的信任推薦不會(huì)陷入合作僵局，本文還設(shè)置了補(bǔ)償概率，信任推薦行為不好的自治域可以通過付出較大補(bǔ)償概率的方式來提升與其他自治域的合作水平，而信任推薦行為較好的自治域只需付出有限的補(bǔ)償概率來維持合作.

由本文第1節(jié)可知，評(píng)估自治域通過綜合考慮多方對(duì)評(píng)估自治域的直接評(píng)價(jià)可提高信任度量結(jié)果的準(zhǔn)確性，然而，在自治域出于私利不積極反饋直接評(píng)價(jià)的情況下，評(píng)估自治域無法獲取足夠的信任信息，最終使得信任度評(píng)估結(jié)果的準(zhǔn)確性無法得到保障.考慮到現(xiàn)有面向域間路由系統(tǒng)的信任模型中沒有采取方法促進(jìn)自治域積極地參與信任推薦，因此，有必要建立促進(jìn)自治域積極參與信任推薦的激勵(lì)機(jī)制.同時(shí)鑒于現(xiàn)有激勵(lì)機(jī)制所存在的不足，本文提出一種激勵(lì)機(jī)制.在該激勵(lì)機(jī)制中，設(shè)當(dāng)前為第t個(gè)評(píng)估周期，自治域A基于自治域B對(duì)其的歷史信任推薦行為設(shè)置相應(yīng)的信任推薦概率RPA,B(t)，有0%≤RPA,B(t)≤100%，隨后，當(dāng)B向A發(fā)送信任查詢請(qǐng)求時(shí)，A首先判斷其資源策略是否允許其對(duì)B信任推薦，如果不允許則不推薦，否則A則以信任推薦概率RPA,B(t)向B進(jìn)行信任推薦.本文使用信任推薦有效性來刻畫自治域歷史信任推薦行為：

定義4. 信任推薦有效性CB,A(t).CB,A(t)為自治域B歷史上向自治域A反饋信任信息的比例，有0%≤CB,A(t)≤100%.

CB,A(t)的計(jì)算方法為

(5)

其中，nT為在信任推薦有效性評(píng)估窗口(最近T個(gè)評(píng)估周期)中A向B發(fā)送過的信任信息查詢請(qǐng)求次數(shù)，kT為在該評(píng)估窗口內(nèi)B向A信任推薦的次數(shù).設(shè)當(dāng)前為第t個(gè)評(píng)估周期，在計(jì)算出信任推薦概率RPA,B(t)后， 由上述可知，本文的激勵(lì)機(jī)制基于“多勞多得少勞少得”理念，A對(duì)B的信任推薦概率與B對(duì)A的歷史信任推薦行為相掛鉤：B對(duì)A的歷史信任推薦合作積極性越高，當(dāng)A在策略資源允許的情況下，B從A獲取信任信息的概率就越大，反之亦然.因此，相比于現(xiàn)有的激勵(lì)機(jī)制，本文激勵(lì)機(jī)制的優(yōu)點(diǎn)是：1)歷史信任推薦積極性較高的自治域偶爾幾次不推薦，只會(huì)一定程度降低其他自治域?qū)ζ湫湃瓮扑]的概率，不會(huì)如基于一次一罰策略的激勵(lì)機(jī)制那樣必然遭受無法獲取信任信息的懲罰，而是仍然有較大可能性從其他自治域獲取信任信息，然而，隨著不推薦次數(shù)的增多，其他自治域?qū)ζ涞男湃瓮扑]概率會(huì)不斷下降，最終會(huì)使其無法有效從其他自治域獲取信任信息；2)自治域是否能夠有效地從其他自治域獲取信任信息與該自治域的歷史信任推薦積極程度有關(guān)，而非與某個(gè)行為閾值掛鉤，因此越積極地參與信任推薦，從其他自治域獲取信任信息的可能性就越大，使得自治域不會(huì)采取在信任推薦積極性到達(dá)一定程度就不加努力的投機(jī)策略.本文信任推薦激勵(lì)機(jī)制流程圖如圖3所示.

由圖3可知，設(shè)在第t個(gè)評(píng)估周期，在自治域A和自治域B相互展開信任推薦之前，自治域A需要計(jì)算自治域B對(duì)其的信任推薦有效性CB,A(t)，并依此計(jì)算其對(duì)其自治域B的信任推薦概率RPA,B(t)，自治域B也是如此.在A收到B的信任查詢請(qǐng)求后，A對(duì)B的信任推薦概率并不是決定A向B信任推薦的唯一要素：在A受資源策略限制的情況下，即便A對(duì)B的信任推薦概率為百分之百，A也不能向B推薦信任信息.只有在A不受自身資源策略的限制下，A對(duì)B的信任推薦概率才能成為左右A是否向B信任推薦的唯一要素.下面將介紹信任推薦概率的計(jì)算方法.

Fig. 3　The trust recommendation incentive mechanism for the inter-domain routing system.圖3　面向域間路由系統(tǒng)的信任推薦激勵(lì)機(jī)制示意圖

2.1信任推薦概率的計(jì)算方法

如果2個(gè)自治域之前并無信任推薦歷史，出于對(duì)合作的激勵(lì)，在本文的激勵(lì)機(jī)制中，初次開展信任推薦的自治域?qū)⑾嗷サ男湃瓮扑]概率設(shè)置為100%，在隨后的評(píng)估周期再根據(jù)對(duì)方實(shí)際的信任推薦行為(信任推薦有效性)來調(diào)整信任推薦概率.在介紹本文的信任推薦概率的計(jì)算方法之前，首先分析1個(gè)問題：是否可以直接將自治域B對(duì)自治域A的信任推薦有效性作為自治域A對(duì)自治域B的信任推薦概率？下面通過1個(gè)實(shí)例來討論上述猜想的可行性，在這個(gè)實(shí)例中A與B相互將對(duì)方對(duì)自己的信任推薦有效性作為自己向?qū)Ψ降男湃瓮扑]概率，設(shè)A與B之間相互信任推薦100次，并設(shè)A和B的資源策略所允許推薦的概率相同，當(dāng)A和B的資源策略所允許信任推薦的概率分別為90%,50%以及30%時(shí)，分別計(jì)算在每次信任推薦時(shí)A對(duì)B的信任推薦概率，重復(fù)上述測(cè)試100遍后對(duì)每次信任推薦所得信任推薦概率取平均值，測(cè)試結(jié)果如圖4所示.從圖4可以發(fā)現(xiàn)，如果雙方僅僅將對(duì)方的信任推薦有效性作為計(jì)算信任推薦概率的唯一要素，會(huì)導(dǎo)致信任推薦合作水平遠(yuǎn)低于預(yù)期，特別是當(dāng)資源策略

所允許推薦的概率較低時(shí)，合作水平下降非?？熘敝邻呌诓缓献鳡顟B(tài).由此可知，不能將自治域B對(duì)自治域A的信任推薦有效性直接作為自治域A對(duì)自治域B的信任推薦概率.

Fig. 4　The change of trust recommendation probability.圖4　信任推薦概率變化示意圖

下面對(duì)造成上述問題的原因進(jìn)行分析，在本文的激勵(lì)機(jī)制中，自治域A是否向自治域B信任推薦需要A首先判斷資源策略是否允許信任推薦，如果允許則A將基于其對(duì)B的信任推薦概率決定是否推薦，因此即便A與B相互的初始信任推薦概率為100%，但如果雙方資源策略允許推薦的概率小于100%，則當(dāng)資源策略不允許信任推薦時(shí)A也不能給予B信任推薦，進(jìn)而隨后從B的角度來說A對(duì)其的信任推薦概率將小于100%，因此B也會(huì)降低對(duì)A的信任推薦概率，進(jìn)而又會(huì)導(dǎo)致未來B對(duì)A的信任推薦有效性小于100%，如此往復(fù)，A和B不斷降低向?qū)Ψ降男湃瓮扑]概率，導(dǎo)致最終A與B的信任推薦合作水平會(huì)遠(yuǎn)低于預(yù)期.顯然，這種當(dāng)雙方都具有較高理論上的合作水平(資源策略允許推薦概率為90%)卻無法達(dá)到高水平合作的現(xiàn)象是不合理的.為解決這個(gè)問題，本文設(shè)在第t個(gè)評(píng)估周期自治域A對(duì)自治域B的信任推薦概率計(jì)算為

(6)

其中，CB,A(t)為B對(duì)A的信任推薦有效性；FC(t)為補(bǔ)償概率，設(shè)置該值的目的是為了避免圖4所示情況的發(fā)生：自治域A與自治域B之間由于一方或雙方的歷史不合作，導(dǎo)致相互降低向?qū)Ψ叫湃瓮扑]的概率，最終使得雙方都不愿意主動(dòng)提升合作積極性，導(dǎo)致雙方的信任推薦陷入僵局.

2.2補(bǔ)償概率的計(jì)算方法

補(bǔ)償概率FC(t)的計(jì)算方法為

(7)

(8)

3實(shí)驗(yàn)

為驗(yàn)證本文信任模型的有效性，本文分析了RIS項(xiàng)目網(wǎng)站①提供的位于美國(guó)邁阿密的1臺(tái)邊界路由器(AS12654)上的路由通告數(shù)據(jù)，繪制出了以AS12654為中心的1個(gè)局部網(wǎng)絡(luò)拓?fù)洌鐖D5所示，其中自治域A代表AS12654.

Fig. 5　The network topology of simulation.圖5　實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?/p>

鑒于RIS項(xiàng)目所提供的每個(gè)邊界路由器路由通告數(shù)據(jù)樣本所對(duì)應(yīng)的時(shí)間跨度為5 min，因此本文設(shè)置1個(gè)信任評(píng)估周期的時(shí)間跨度為5 min.設(shè)置實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渲忻總€(gè)自治域擁有10個(gè)前綴，在每個(gè)評(píng)估周期，這些自治域都要將自己的前綴宣告出去，隨后在此基礎(chǔ)上設(shè)置相應(yīng)的發(fā)布虛假前綴的行為(見3.1節(jié)).需要指出的是，在前綴真實(shí)性驗(yàn)證方面，當(dāng)前研究主要采用的方法是查詢地區(qū)級(jí)互聯(lián)網(wǎng)路由注冊(cè)中心(Internet routing registry， IRR)[23]的“網(wǎng)絡(luò)前綴-來源”對(duì)應(yīng)關(guān)系數(shù)據(jù)庫(kù)，依此來判斷1個(gè)前綴是否真實(shí)存在且屬于相應(yīng)的自治域，為模擬真實(shí)的前綴認(rèn)證環(huán)境，在本文實(shí)驗(yàn)中設(shè)置1個(gè)數(shù)據(jù)庫(kù)存放所有自治域與其所擁有的前綴的對(duì)應(yīng)關(guān)系，通過查詢數(shù)據(jù)庫(kù)，實(shí)驗(yàn)網(wǎng)絡(luò)中的自治域i可以驗(yàn)證來自其鄰居自治域j的路由通告前綴真實(shí)性即只要沒有在數(shù)據(jù)庫(kù)中查到相關(guān)的前綴與自治域?qū)?yīng)關(guān)系則認(rèn)為1條通告不滿足前綴真實(shí)性.此外，為了模擬實(shí)際中自治域在驗(yàn)證路由通告前綴真實(shí)性時(shí)由于IRR所存信息陳舊或查詢請(qǐng)求未得到響應(yīng)等所造成的驗(yàn)證結(jié)果不準(zhǔn)確的情況，本實(shí)驗(yàn)設(shè)1個(gè)自治域i在1個(gè)評(píng)估周期內(nèi)從自治域j收到的每個(gè)路由通告有10%的概率由于未能得到數(shù)據(jù)庫(kù)響應(yīng)而不將該路由通告納入到對(duì)路由通告行為值的計(jì)算中，隨后如果對(duì)該通告的驗(yàn)證查詢可以得到數(shù)據(jù)庫(kù)的響應(yīng)，則再設(shè)有10%的概率該通告的前綴因無法驗(yàn)證(模擬IRR所存信息陳舊)而被認(rèn)為是虛假前綴.由上可知，在每個(gè)評(píng)估周期自治域i可計(jì)算出相應(yīng)的路由通告行為值A(chǔ)Bi,j(u)=vn，其中n為在第u個(gè)評(píng)估周期內(nèi)自治域j向自治域i發(fā)送的路由通告數(shù)量(不包括在驗(yàn)證前綴真實(shí)性時(shí)未能得到數(shù)據(jù)庫(kù)響應(yīng)的路由通告數(shù)量)，v為前綴真實(shí)性得以驗(yàn)證的路由通告數(shù)量.本實(shí)驗(yàn)環(huán)境為2.0 GHz的P4處理器、2 GB內(nèi)存、Windows XP平臺(tái)，使用Java作為開發(fā)工具.

3.1自治域都積極信任推薦時(shí)信任模型有效性驗(yàn)證

在這個(gè)實(shí)驗(yàn)部分不考慮自治域不積極參與信任推薦即不提供直接評(píng)估的情況，將實(shí)驗(yàn)網(wǎng)絡(luò)中的自治域A作為被評(píng)估自治域，當(dāng)其任意1個(gè)鄰居自治域如B為評(píng)估自治域時(shí)，A的其他鄰居自治域如C，D，E，F(xiàn)則為信任推薦自治域.設(shè)置A每次在應(yīng)該宣告自己所擁有的前綴時(shí)都有30%的概率將非自己所擁有的前綴宣告出去以模擬前綴劫持行為.鑒于當(dāng)前面向域間路由系統(tǒng)的信任模型中最常用的評(píng)估方法是基于算術(shù)平均法或Beta分布，因此本文選取2個(gè)信任模型作為比較:1)文獻(xiàn)[15]提出的信任模型，簡(jiǎn)稱為AVE，該模型分別計(jì)算出各個(gè)評(píng)估周期滿足前綴真實(shí)性的路由通告比例，然后對(duì)這些比例值取平均值作為直接評(píng)估，該模型不采用信任推薦；2)文獻(xiàn)[17]提出的信任模型，簡(jiǎn)稱為Beta_Filter，該模型統(tǒng)計(jì)歷史評(píng)估周期中滿足前綴真實(shí)性的路由通告?zhèn)€數(shù)，然后基于Beta分布計(jì)算直接評(píng)估，此外，該模型采用信任推薦并基于平均值過濾偏離較大的直接評(píng)估，最后將未被過濾的直接評(píng)估的平均值作為信任度.為了驗(yàn)證不同信任模型的評(píng)估效能，在每個(gè)評(píng)估周期自治域A的所有鄰居分別采用不同的信任模型計(jì)算A的信任度，并將信任評(píng)估結(jié)果與A實(shí)際的對(duì)其不同鄰居下一個(gè)評(píng)估周期的路由通告行為值進(jìn)行對(duì)比以計(jì)算評(píng)估偏差(取絕對(duì)值)，進(jìn)而再計(jì)算A的多個(gè)鄰居評(píng)估偏差的平均值，將該值作為比較不同信任模型評(píng)估效能的指標(biāo).還需要指出的是，由于本文所采用的路由通告行為預(yù)測(cè)方法需要積累4個(gè)評(píng)估周期的路由通告行為值才能進(jìn)行預(yù)測(cè)，因此在本實(shí)驗(yàn)中從第5個(gè)評(píng)估周期開始對(duì)不同信任模型的評(píng)估效能進(jìn)行對(duì)比.此外，在本實(shí)驗(yàn)中信任推薦者被分為誠(chéng)實(shí)推薦者和虛假推薦者，誠(chéng)實(shí)推薦者將自身所獲直接評(píng)估不做修改地提供給評(píng)估者；虛假推薦者又分為長(zhǎng)期虛假推薦者和非長(zhǎng)期虛假推薦者，長(zhǎng)期虛假推薦者在每次信任推薦時(shí)都將其實(shí)際所獲直接評(píng)估提高10%～20%后提供給評(píng)估者，而非長(zhǎng)期虛假推薦者在每次信任推薦時(shí)有10%的概率提供高出實(shí)際所獲直接評(píng)估10%～20%的直接評(píng)估.下面將在不同的信任評(píng)估環(huán)境中比較不同信任模型的評(píng)估效能.

實(shí)驗(yàn)1. 在包含不同比例的誠(chéng)實(shí)推薦者與長(zhǎng)期虛假推薦者的環(huán)境中信任評(píng)估有效性驗(yàn)證.

本實(shí)驗(yàn)分析100個(gè)數(shù)據(jù)樣本即評(píng)估時(shí)長(zhǎng)為100個(gè)周期(每周期間隔5 min)，將長(zhǎng)期虛假推薦者的個(gè)數(shù)分別設(shè)為0～4個(gè)(由實(shí)驗(yàn)拓?fù)淇芍?，以A的任意1個(gè)鄰居作為評(píng)估自治域都會(huì)存在最多4個(gè)信任推薦者)，實(shí)驗(yàn)結(jié)果如圖6(a)～(e)所示.其中，不同類型的線對(duì)應(yīng)不同模型所得100個(gè)評(píng)估偏差的平均值，實(shí)線代表TMIRS模型所得平均值，虛線代表AVE模型所得平均值，點(diǎn)劃線代表Beta_Filter模型所得平均值.可以看出，由于采用路由通告行為預(yù)測(cè)方法進(jìn)行直接評(píng)估，TMIRS所得信任評(píng)估結(jié)果與被評(píng)估者路由通告行為值的偏差最??；隨著誠(chéng)實(shí)推薦者數(shù)量的減少，由于AVE模型沒有考慮信任推薦，所以該模型的信任評(píng)估偏差不隨虛假推薦者數(shù)量增加而增大；而對(duì)于Beta_Filter模型，由于其基于平均值過濾偏離較大的直接評(píng)估，因此隨著虛假推薦者數(shù)量的增加，該模型的信任評(píng)估偏差逐漸增大.作為比較，隨著虛假推薦者數(shù)量的增加，本文的信任模型TMIRS所得評(píng)估結(jié)果仍然與被評(píng)估者路由通告行為值偏差較小，這是因?yàn)門MIRS模型基于推薦者過往提供的直接評(píng)估與自治域路由通告有效值的整體偏差程度來設(shè)置相應(yīng)的直接評(píng)估的權(quán)重，可以有效降低持續(xù)虛假推薦者所提供直接評(píng)估的權(quán)重，從而有效限制了長(zhǎng)期虛假推薦者對(duì)于信任評(píng)估的影響力.

Fig. 6　The trust evaluation comparison on the condition of long-time malice recommenders.圖6　在包含長(zhǎng)期虛假推薦者的環(huán)境中信任評(píng)估效果比較

實(shí)驗(yàn)2. 在包含不同比例的誠(chéng)實(shí)推薦者與非長(zhǎng)期虛假推薦者的環(huán)境中信任評(píng)估有效性驗(yàn)證.

本實(shí)驗(yàn)將非長(zhǎng)期虛假推薦者的個(gè)數(shù)分別設(shè)為1～4，實(shí)驗(yàn)結(jié)果如圖7(a)～(d)所示.其中,不同類型的線對(duì)應(yīng)不同模型所得100個(gè)評(píng)估偏差的平均值，實(shí)線代表TMIRS模型所得平均值，虛線代表AVE模型所得平均值，點(diǎn)劃線代表Beta_Filter模型所得平均值.可以看出，由于推薦者偶爾實(shí)施虛假推薦，不會(huì)導(dǎo)致他們所提供的直接評(píng)估權(quán)重下降太多，因此會(huì)對(duì)TMIRS模型的信任評(píng)估產(chǎn)生一定影響即在虛假推薦發(fā)生時(shí)評(píng)估值會(huì)增大(惡意吹捧)，因此TMIRS模型所得結(jié)果中出現(xiàn)了一些偏差值較大的情況；相比Beta_Filter模型，TMIRS模型遭受的影響相對(duì)較小，這是因?yàn)樵撃Ｐ突诼酚赏ǜ嫘袨轭A(yù)測(cè)方法進(jìn)行直接評(píng)估，評(píng)估者自身所得直接評(píng)估結(jié)果與被評(píng)估自治域的路由通告行為偏差較小，因此評(píng)估者會(huì)賦予自身所獲直接評(píng)估較大的權(quán)重，進(jìn)而削弱了其他來源的直接評(píng)估對(duì)信任度評(píng)估的影響程度.

Fig. 7　The trust evaluation comparison on the condition of several occasional malice recommenders.圖7　在包含不同數(shù)量的非長(zhǎng)期虛假推薦者的環(huán)境中信任評(píng)估效果比較

3.2信任推薦激勵(lì)機(jī)制有效性驗(yàn)證

在這個(gè)實(shí)驗(yàn)部分驗(yàn)證本文所提出的面向域間路由系統(tǒng)的信任推薦激勵(lì)機(jī)制(IMTRGT)的有效性，使用2個(gè)激勵(lì)機(jī)制作為對(duì)比：1)類似文獻(xiàn)[20-21]中博弈模型所設(shè)置的激勵(lì)機(jī)制GTIS，設(shè)置1個(gè)閾值0.6，對(duì)于信任推薦有效性低于閾值的自治域?qū)⒈黄冗M(jìn)入懲罰期，在懲罰期中的自治域只能響應(yīng)其他未被懲罰的推薦者的信任查詢而自身不能進(jìn)行信任查詢，直到其信任推薦有效性高于閾值后才可脫離懲罰期；2)類似文獻(xiàn)[18-19]中的一次一罰的機(jī)制SEV，在該機(jī)制中當(dāng)1個(gè)自治域不給予信任推薦后，該自治域?qū)⒈黄冗M(jìn)入懲罰期并同時(shí)設(shè)置1個(gè)初始值為2的計(jì)數(shù)值count，在懲罰期中自治域需積極響應(yīng)其他未被懲罰的推薦者的信任查詢而自身不能進(jìn)行信任查詢，完成1次信任推薦count值減1直到count值為0后自治域脫離懲罰期.同樣將圖5所示的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渲械淖灾斡駻作為被評(píng)估自治域，當(dāng)其任意1個(gè)鄰居自治域如B為評(píng)估自治域時(shí)，其他A的鄰居自治域如C，D，E，F(xiàn)則為信任推薦自治域.為了驗(yàn)證不同激勵(lì)機(jī)制的效能，計(jì)算自治域A的所有鄰居在每個(gè)評(píng)估周期能夠獲取的關(guān)于自治域A的信任信息數(shù)量的平均值，并將該值作為不同激勵(lì)機(jī)制激勵(lì)效能的對(duì)比指標(biāo).

實(shí)驗(yàn)1.自治域信任推薦行為穩(wěn)定情況下不同激勵(lì)機(jī)制有效性分析.

為模擬整體的信任推薦環(huán)境，統(tǒng)一設(shè)置自治域資源策略允許信任推薦的概率分別為90%，80%，60%，30%.實(shí)驗(yàn)結(jié)果如圖8所示.可以看出，在自治域整體合作水平較高的情況下(90%)，在GTIS機(jī)制下自治域可獲得的信任推薦數(shù)量最多，這是因?yàn)樵谠摍C(jī)制中如果1個(gè)自治域i對(duì)任意1個(gè)自治域j的信任推薦有效性超過閾值，只要j的資源策略允許則自治域j一定會(huì)給予i信任推薦；而在IMTRGT方法中，自治域j還需要基于對(duì)i的信任推薦率決定是否推薦.在自治域整體合作水平較低的情況下，IMTRGT機(jī)制中采用補(bǔ)償概率可有效維持自治域間的信任推薦合作水平，因此自治域仍然可以獲得一定數(shù)量的信任推薦，而GTIS和SEV機(jī)制沒有設(shè)置相應(yīng)的維持合作的方法導(dǎo)致自治域間信任推薦合作水平快速降低.此外，還值得注意的是，由圖8(a)～(b)可知，在自治域合作水平有所下降(從90%下降到80%)的情況下，在GTIS機(jī)制中自治域可獲取的信任推薦數(shù)量并沒有明顯下降，這是因?yàn)樵谠摍C(jī)制中只要1個(gè)自治域的信任推薦有效性超過閾值則該自治域的信任查詢請(qǐng)求必然會(huì)得到相應(yīng)自治域的響應(yīng).

Fig. 8　The incentive mechanism comparison on the condition of the stable ASes behavior.圖8　自治域信任推薦行為穩(wěn)定情況下不同激勵(lì)機(jī)制有效性對(duì)比

實(shí)驗(yàn)2. 自治域信任推薦行為變化情況下不同激勵(lì)機(jī)制有效性分析.

設(shè)置所有自治域行為持續(xù)變化即資源策略允許信任推薦的概率發(fā)生變化，變化函數(shù)為y=a+b(i-1).其中，a為資源策略允許信任推薦的概率初始值；i表示評(píng)估周期數(shù)，取值范圍為[1,100]；b為每周期推薦概率變化值.設(shè)a=0%，30%，設(shè)i=10%.實(shí)驗(yàn)結(jié)果如圖9(a)～(b)所示，當(dāng)自治域初始資源策略允許信任推薦的概率為0%時(shí)，在GTIS和SEV機(jī)制中自治域?qū)⑾嗷ハ萑霊土P期即出現(xiàn)合作僵局使得信任推薦過程陷入停滯，而在IMTRGT機(jī)制中沒有懲罰期的概念而是根據(jù)自治域的信任推薦有效性計(jì)算信任推薦概率來決定是否信任推薦，因此即便初始合作積極性再差的自治域也可以通過不斷地改善合作水平(放寬資源策略限制)，從而最終能夠有效地從其他自治域得到信任信息.當(dāng)自治域初始資源策略允許推薦的概率為30%的情況下，相比在其他激勵(lì)機(jī)制中，在IMTRGT機(jī)制中自治域所獲取信任推薦數(shù)量的增長(zhǎng)速度更快，而對(duì)于GTIS和SEV機(jī)制，由于部分自治域仍然會(huì)陷入合作僵局導(dǎo)致相互合作水平無法提升，這說明這2個(gè)激勵(lì)機(jī)制并不適用于在自治域初始信任推薦合作水平都比較低的環(huán)境中使用，而IMTRGT機(jī)制則不受限于自治域的初始信任推薦合作水平.

Fig. 9　The incentive mechanism comparison on the condition of the changing ASes behavior.圖9　自治域信任推薦行為變化時(shí)不同激勵(lì)機(jī)制有效性對(duì)比

3.3自治域并非總是積極參與信任推薦情況下信任模型有效性驗(yàn)證

本節(jié)在自治域會(huì)出于私利不積極參與信任推薦情況下，驗(yàn)證本文所提出的信任推薦激勵(lì)機(jī)制能否有效激勵(lì)信任推薦以保障信任評(píng)估的準(zhǔn)確性.將圖5所示實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渲械淖灾斡駻作為被評(píng)估自治域，當(dāng)其任意1個(gè)鄰居自治域如B為評(píng)估自治域時(shí)，其他A的鄰居自治域如C，D，E，F(xiàn)則為信任推薦自治域.在每個(gè)評(píng)估周期自治域A的所有鄰居分別采用不同的信任模型計(jì)算A的信任度，并將信任評(píng)估結(jié)果與A實(shí)際的對(duì)不同鄰居的下一個(gè)評(píng)估周期的路由通告行為值進(jìn)行對(duì)比以計(jì)算評(píng)估偏差(取絕對(duì)值)，進(jìn)而再計(jì)算A的多個(gè)鄰居評(píng)估偏差的平均值，將該值作為驗(yàn)證本文信任模型評(píng)估效能的指標(biāo).為模擬整體的信任推薦環(huán)境，統(tǒng)一設(shè)置自治域資源策略允許信任推薦的概率為80%，隨后分別在沒有虛假推薦者、有長(zhǎng)期虛假推薦者(2個(gè))、非長(zhǎng)期虛假推薦者(2個(gè))的環(huán)境中，對(duì)比不使用本文提出的激勵(lì)機(jī)制以及使用該機(jī)制的情況下A的多個(gè)鄰居評(píng)估偏差的平均值.實(shí)驗(yàn)結(jié)果如圖10(a)～(c)所示，

Fig. 10　The trust evaluation comparison with incentive mechanism or not.圖10　使用或不使用信任推薦時(shí)信任評(píng)估效果比較

其中不同類型的線對(duì)應(yīng)使用或不使用信任推薦激勵(lì)機(jī)制時(shí)TMIRS模型所得100個(gè)評(píng)估偏差的平均值，實(shí)線代表不使用信任推薦激勵(lì)機(jī)制時(shí)TMIRS模型所得評(píng)估偏差的平均值，虛線代表使用信任推薦激勵(lì)機(jī)制時(shí)TMIRS模型所得評(píng)估偏差的平均值.可以看出，在不同的信任推薦環(huán)境中，如果采用本文提出的信任推薦激勵(lì)機(jī)制，自治域所得信任評(píng)估結(jié)果與被評(píng)估自治域的實(shí)際路由通告行為值的偏差將會(huì)更小，這說明本文信任推薦激勵(lì)機(jī)制可以有效地激勵(lì)自治域間相互分享信任信息，從而有助于對(duì)被評(píng)估自治域做出準(zhǔn)確全面的信任評(píng)估.

4結(jié)束語

為實(shí)現(xiàn)對(duì)自治域路由通告行為的準(zhǔn)確信任評(píng)估，本文提出了一種面向域間路由系統(tǒng)的信任模型TMIRS，在該模型中自治域?qū)ζ溧従幼灾斡蜻M(jìn)行信任度評(píng)估，信任度的計(jì)算基于評(píng)估自治域?qū)Ρ辉u(píng)估自治域的直接評(píng)估以及其他自治域提供的直接評(píng)估.在直接評(píng)估中，本文基于路由通告行為預(yù)測(cè)方法以使信任評(píng)估結(jié)果有效反映被評(píng)估自治域的未來路由行為.為降低不可靠直接評(píng)估對(duì)信任度評(píng)估的影響，對(duì)于同一個(gè)被評(píng)估自治域，本文對(duì)比歷史上來源于不同自治域的直接評(píng)估與被評(píng)估自治域路由通告行為的偏差，依據(jù)對(duì)比結(jié)果設(shè)置來源于不同自治域的直接評(píng)估的權(quán)重.此外，為保障評(píng)估自治域可以獲得足夠的信任信息以實(shí)現(xiàn)對(duì)被評(píng)估自治域的準(zhǔn)確信任度評(píng)估，本文還設(shè)置了信任推薦激勵(lì)機(jī)制，自治域間相互根據(jù)對(duì)方的歷史信任推薦積極性計(jì)算信任推薦概率，并基于該概率向相應(yīng)的自治域進(jìn)行信任推薦.實(shí)驗(yàn)結(jié)果表明，相比于其他信任模型，在不同的評(píng)估環(huán)境中，本文信任模型的信任評(píng)估結(jié)果可更為準(zhǔn)確地反映被評(píng)估自治域未來發(fā)布滿足前綴真實(shí)性的路由通告的可能性.

參考文獻(xiàn)

[1]Lychev R, Goldberg S, Schapira M. BGP security in partial deployment: Is the juice worth the squeeze?[J]. ACM SIGCOMM Computer Communication, 2013, 43(4): 171-182

[2]Butler K, Farley T R, McDaniel P, et al. A survey of BGP security issues and solutions[J]. Proceedings of the IEEE, 2010, 98(1): 100-122

[3]Wan T, Oorschot P C. Analysis of BGP prefix origins during Google’s May 2005 outage[C] //Proc of the 20th IEEE Int Paralleland Distributed Processing Symp(IPDPS 2006). Los Alamitos, CA: IEEE Computer Society, 2006: 422-429

[4]Hunter P. Pakistan YouTube block exposes fundamental Internet security weakness: Concern that Pakistani action affected YouTube access elsewhere in world[J]. Computer Fraud & Security, 2008, 28(4): 10-11

[5]Kent S, Lynn C, Mikkelson J, et al. Secure border gateway protocol[J]. IEEE Journal on Selected Areas in Communications, 2000, 18(4): 582-592

[6]Zhang F, Jia L, Basescu C, et al. Mechanized network origin and path authenticity proofs[C] //Proc of the 2014 ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2014: 346-357

[7]Lychev R, Goldberg S, Schapira M. BGP security in partial deployment: Is the juice worth the squeeze?[J]. ACM SIGCOMM Computer Communication, 2013, 43(4): 171-182

[8]Shi X, Xiang Y, Wang Z, et al. Detecting prefix hijackings in the Internet with argus[C] //Proc of the 2012 ACM Conf on Internet Measurement. New York: ACM, 2012: 15-28

[9]Zhang Z, Zhang Y, Hu Y C, et al. ISPY: Detecting IP prefix hijacking on my own[J]. IEEE/ACM Trans on Networking, 2010, 18(6): 1815-1828

[10]Hong S, Ju H, Hong J W. Network reachability‐based IP prefix hijacking detection[J]. International Journal of Network Management, 2013, 23(1): 1-15

[11]Oscar W X, Cheng W, Mohapatra P, et al. ARTSense: Anonymous reputation and trust in participatory sensing[C] //Proc of IEEE INFOCOM 2013. Piscataway, NJ: IEEE, 2013: 2517-2525

[12]Ghaffarinejad A, Akbari M K. An incentive compatible and distributed reputation mechanism based on context similarity for service oriented systems[J]. Future Generation Computer Systems, 2013, 29(3): 863-875

[13]Grenadier S R, Malenko A, Strebulaev I A. Investment busts, reputation, and the temptation to blend in with the crowd[J]. Journal of Financial Economics, 2014, 111(1): 137-157

[14]He L. A novel scheme on building a trusted IP routing infrastructure[C] //Proc of the Int Conf on Networking and Services(ICNS'06). New York: ACM, 2006: 13-18

[15]Chang J, Venkatasubramanian K K, Kannan A G, et al. As-cred: Reputation and alert service for interdomain routing[J]. IEEE Systems Journal, 2013, 7(3): 396-409

[16]Ahmed A, Qian D. Dynamic trust management based on routing system[C] //Proc of the 2nd Int Conf on Computer Technology and Development (ICCTD 2010). New York: ACM, 2010: 333-337

[17]Zhu Peidong, Cao Huayang, Deng Wenping. A systematic approach to evaluating the trustworthiness of the Internet inter-domain routing information[J]. IEICE Trans on Information and Systems, 2012, 95(1): 20-28

[18]Lu Yin, Shi Jin, Xie Li. Repeated-game modeling of cooperation enforcement in wireless ad hoc network[J]. Journal of Software, 2008, 19(3): 755-768 (in Chinese)(陸音, 石進(jìn), 謝立. 基于重復(fù)博弈的無線自組網(wǎng)絡(luò)協(xié)作增強(qiáng)模型[J]. 軟件學(xué)報(bào), 2008, 19(3): 755-768)

[19]Gui Jinsong, Chen Zhigang, Deng Xiaoheng. A game-based interaction scheme among mobile nodes in wireless access networks[J]. Journal of Computer Research and Development, 2013, 50(12): 2539-2548 (in Chinese)(桂勁松, 陳志剛, 鄧曉衡. 無線接入網(wǎng)中移動(dòng)節(jié)點(diǎn)間基于博弈的交互方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2013, 50(12): 2539-2548)

[20]Guo Yi, Wang Zhenxing, Cheng Dongnian. A game-based incentive strategy for the inter-domain routing collaborative monitor[J]. SCIENTIA SINICA Informationis, 2012, 42(7): 803-814 (in Chinese)(郭毅, 王振興, 程?hào)|年. 基于博弈的域間路由協(xié)同監(jiān)測(cè)激勵(lì)策略[J]. 中國(guó)科學(xué): 信息科學(xué), 2012, 42(7): 803-814)

[21]Xu Z, Yin Y, Wang J, et al. A game-theoretic approach for efficient clustering in wireless sensor networks[J]. International Journal of Hybrid Information Technology, 2014, 7(1): 67-80

[22]Xia Nu, Li Wei, Luo Junzhou, et al. A routing node behavior prediction algorithm based on fluctuation type identification[J]. Chinese Journal of Computers, 2014, 37(2): 326-334 (in Chinese)(夏怒, 李偉, 羅軍舟, 等. 一種基于波動(dòng)類型識(shí)別的路由行為預(yù)測(cè)算法[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(2): 326-334)

[23]Merit Network. Internet routing registries[EB/OL]. (2010-01-12) [2010-04-15]. http://www.irr.net

Xia Nu, born in 1981. PhD candidate in Southeast University. His research interests include network management.

Li Wei, born in 1978. Associate professor and master supervisor in Southeast University. Member of China Computer Federation. His research interests include next generation network architecture and service computing.

Lu You, born in 1977. PhD candidate in Southeast University. Member of China Computer Federation. His research interests include network management.

Jiang Jian, born in 1986. PhD candidate in Southeast University. His research interests include network management.

Shan Feng, born in 1985. PhD candidate in Southeast University. His research interests include wireless sensor network and algorithm design.

Luo Junzhou, born in 1960. Professor and PhD supervisor in Southeast University. Senior member of China Computer Federation. His research interests include next generation network architecture, protocol engineering, network security, wireless network and cloud computing.

A Trust Model for the Inter-Domain Routing System

Xia Nu, Li Wei, Lu You, Jiang Jian, Shan Feng, and Luo Junzhou

(SchoolofComputerScience&Engineering,SoutheastUniversity,Nanjing211189)

AbstractIn the inter-domain routing system, the running of the border gateway protocol (BGP) is on the assumption that ASes trust each other, and there is lack of effective verification on the validity of the routing information, so the false information publishers have the chance to seriously threaten the security of the inter-domain routing system. However, the existing works can not effectively limit the generation and transmission of the false routing information, so this paper presents a trust model for inter-domain routing system to achieve the trust evaluation on the routing behavior of the ASes. In this model, the evaluator’s direct evaluation of the evaluated AS’s routing behavior and the evaluated AS’s neighbors’ direct evaluation, weight value is assigned to different direct evaluation to compute the trust degree of the evaluated AS. A routing announcement behavior prediction method is used to make the direct evaluation result accurately reflect the evaluated AS’s future probability of sending true routing information. In addition, in order to promote ASes to join in the trust recommending positively, an incentive mechanism is used, in which every AS evaluates the other ASes’ recommendation behavior in history and computes the corresponding recommendation probability for them. The simulation results show that, compared with other trust models for inter-domain routing system, the trust evaluation result of our model is more accurate to reflect the evaluated AS’s future probability of sending true routing information.

Key wordsinter-domain routing system; trust model; trust degree; routing behavior predication; incentive for trust recommendation

收稿日期：2015-12-21；修回日期：2016-02-03

基金項(xiàng)目：國(guó)家自然科學(xué)基金項(xiàng)目(61320106007)；國(guó)家“八六三”高技術(shù)研究發(fā)展計(jì)劃基金項(xiàng)目(2013AA013503)；江蘇省未來網(wǎng)絡(luò)創(chuàng)新研究院未來網(wǎng)絡(luò)前瞻性研究項(xiàng)目(BY2013095-2-07)：教育部計(jì)算機(jī)網(wǎng)絡(luò)與信息集成重點(diǎn)實(shí)驗(yàn)室(東南大學(xué))基金項(xiàng)目(93K-9)；江蘇省網(wǎng)絡(luò)與信息安全重點(diǎn)實(shí)驗(yàn)室基金項(xiàng)目(BM2003201)；無線通信技術(shù)協(xié)同創(chuàng)新中心資助項(xiàng)目；軟件新技術(shù)與產(chǎn)業(yè)化協(xié)同創(chuàng)新中心資助項(xiàng)目；住建部科研項(xiàng)目(2015-K6-012)

中圖法分類號(hào)TP391

This work was supported by the National Natural Science Foundation of China (61320106007), the National High Technology Research and Development Program of China (863 program) (2013AA013503), the Prospective Research Project on Future Networks of Jiangsu Future Networks Innovation Institute (BY2013095-2-07), the Project Funded by Key Laboratory of Computer Network and Information Integration (Southeast University) of Ministry of Education of China (93K-9), the Project Funded by Jiangsu Provincial Key Laboratory of Network and Information Security (BM2003201), the Project Funded by Collaborative Innovation Center of Wireless Communication Technology, the Project Funded by Collaborative Innovation Center of Novel Software Technology and Industrialization, and the Project Funded by Ministry of Housing and Urban-Rural Development (2015-K6-012).