Ad Hoc网络中基于信息论的可信模型研究

迟 凯

(中国电子科技集团公司第二十研究所 电子信息网络实验室，陕西 西安 710068)

可信网络是下一代网络安全研究的热点，旨在通过“主动防御”的方式来应对安全和服务质量保证等挑战。可信网络的概念最初来源于可信计算，1999年由IBM、HP等著名IT企业发起成立了可信计算平台联盟(Trusted Computing Platform Alliance，TCPA)，2003年TCPA改组为可信计算组织(Trusted Computing Group，TCG)。可信计算组织制定了关于可信平台模块、可信存储等一系列技术规范，可信网络连接分组(TNC Sub Group，TNC-SG)制定了一个基于可信计算技术的可信网络连接架构，它本质上就是要从终端的完整性开始建立可信连接。可信网络关键技术包括可信计算、可信模型、网络架构等[1]，可信网络技术被认为是应对网络攻击、提升网络安全的重要手段。在可信网络理论学术研究方面,林闯等人[4]提出了可信网络的理论概念,揭示了其基本属性,通过改进网络体系结构的安全机制来保障网络的可控性、安全性和可生存性,以及信息的机密性、完整性、真实性和可用性。张焕国等人[5]指出现阶段可信性主要关注两个属性:一个是可靠性;另一个是安全性,并且要同时解决网络接入、传输以及数据共享的可信问题。

无线Ad Hoc网络是一种多跳中继网络，数据传输时面临如何选择一条快速、稳定、高效的最佳路径问题，中继节点的可信程度对整个网络的安全与效能至关重要[2]。通过在中继节点中增加信任值评估能够有效的解决节点失效或者恶意入侵带来的路由安全问题[3]。针对Ad Hoc网络的可信技术研究具有广泛的军事应用价值，尤其需要建立以准确、动态、高效的可信度量模型为依据的可信Ad Hoc网络架构。其中，信任度量模型是其基础和关键。

1 信任模型

信任模型最早来源于分布式多代理系统中，1994年，Marsh在解决多代理系统中实体间的信任合作问题时，系统的阐述了信任的抽象化问题，为信任模型在计算机网络信息系统中应用奠定了基础。在这基础上，相关的信任管理、可信认证与信任评估理论相继提出。其中，信任模型的雏形是Blaze等人于1996年提出的“信任管理(Trust Management)”概念,A Abdulrahman等以信任的设计概念为基础，对信任的内容与程度进行等级划分，考虑信任的主观性，提出了信任度量的数学模型[8]。近年来，学者们使用了不同的数学模型和工具对可信度量展开研究，但到目前为止，还没有形成较为公认的度量基准，其中比较典型的有：文献[6]采用改进的证据理论(D-S theory)对可信关系进行建模，可信度评估采用概率加权平均方法。文献[7]基于贝叶斯网络提出了一种使用Kalman方法的简化模型，通过引入衰减及奖惩机制，使模型具有一定的动态适应性。文献[9]给出了一种P2P网络下的可信度量模型。文献[10]给出一种多代理环境下的可信度量模型。文献[11]将风险评估引入到可信度计算中，提出了适用于普适计算网络环境下基于可信度的安全服务发现模型。文献[12]提出了一种普适计算网络环境下通用的、基于交互上下文的可信度计算模型。

在集中式网络中，有专门的管理节点负责信任评估和管理，结构简单，易于实现。而在类似于Ad Hoc的分布式网络中，没有信任管理中心，这样由中心依赖性导致的脆弱问题能够得到良好解决，然而分布式的信任监督和交流机制较集中式更为复杂。当前针对分布式信任模型的研究成为信任管理和评估领域的热点，比较典型的有T Beth提出的采用概率的方法来描述信任度的信任模型[13], A Josang提出的基于主观逻辑的信任模型[14]，和Y Wang等提出的在P2P网络中基于交互信息进行信任评估的信任模型[15]。针对Ad Hoc网络的动态安全问题，YL Sun等人[16]提出了基于信息论的信任模型，以信心论中熵的计算方法来度量信任的不确定性，同时对信任的传递、合成进行了规则性约束。

虽然这些研究成果有效推动了可信度量的研究与发展，但是仍然存在一些问题。首先，基于概率统计的模型，缺少灵活性，并且在建模过程中以各种假设为前提，使得模型在具体网络中的适应性不高。其次，针对Ad Hoc网络多跳通信普遍存在，拓扑结构复杂的情况缺乏良好的适应性策略，影响模型的可用性。针对研究现状，本文结合网络信息理论中多址接入信道容量域理论，提出了一种面向Ad Hoc网络，适用于多跳路由的可信路径度量方法，能够在分布式路径选择过程中提高自适应性和灵活性，降低冲突概率，在保证安全性的前提下提高网络性能。

2 多址信道容量域

网络信息论近些年发展较快，拓展了香农的点到点通信基础理论，适用于多信源、多信宿共享资源的一般网络模型，虽然一些理论还没完全成熟，但已在现实网络中展现出很大的生命力。其中在多个用户多信道通信的情况下，以容量域的概念代替了单一信道的容量概念，以多址信道最为典型。

在两个用户的离散无记忆多址接入信道(DM-MAC)模型表述如下：

包含3个有限集合X1，X2，Y以及定义在Y上的条件概率分布p(y|x1,x2)。

两个消息集合：[1:2nR1]和[1:2nR2]。

(1)

两个用户各自最大的可达速率分别为

C1=maxx2,p(x1)I(X1;Y|X2=x2)

(2)

C2=maxx1,p(x2)I(X2;Y|X1=x1)

(3)

合速率的上界为

R1+R2≤C12=maxp(x1),p(x2)I(X1,X2;Y)

(4)

例如输入X1和X2为二进制符号，输出Y=X1+X2则为三进制符号。容易验证C1=C2=1，C12=3/2。

3 基于多址信道容量域的信任模型建立方法

在Sun Y L等人所提出的基于信息论的信任模型中，Ad Hoc网络中的节点在多跳路由转发分组时，能够根据邻居节点对自已所发出业务分组的历史转发情况判断邻居节点的可信程度。Sun Y L等人结合信息论中熵的计算定义了可信程度的度量：

(5)

H(p)=-plog2p-(1-p)log2(1-p)

(6)

概率p表征了邻居节点的可信程度，通过p=Nretran/Nsend来不断进行估计，其中Nretran为转发的分组数，Nsend为源节点发送的分组数，多条路径的信任度量为每条路径信任度量的乘积。根据式(5)的定义，节点对转发率大于0.5的邻居节点可信度量为 区间内的正值，而对转发率小于0.5的邻居节点可信度量为 区间内的负值，被认为是“恶意节点”。这样，在选择路径的时候源节点能够主动规避“恶意节点”，并对比多条路径的可信度量值选择具有最大信任度量值的路径。

通过引入熵的概念计算得出每个邻居节点的可信度量的方法简单，便于实施。然而在Ad Hoc网络中，拓扑结构复杂且时变，端到端路由往往是多跳的，多个节点可能在同一时刻选择相同的邻居节点转发分组，在中继节点发送队列缓存有限的情况下，大量的转发多个源节点的分组不但会引起端到端时延的增加，更可能因为超过中继节点的缓存容限导致丢包。并且由于Ad Hoc网络中节点能源往往是受限的，大量的转发分组也会导致中继节点活动寿命的减少。即引发由于负载不均衡导致资源分配不合理，网络性能下降等问题。而根据式(5)的定义，转发多个源节点的分组超过中继节点的缓存能力时，中继节点的信任度量会迅速下降，此时信任度量值的改变并不是因为中继节点自身状态的改变(如故障、受攻击等影响)，不能真实的衡量节点的工作状态，而且源节点在选择新的中继节点后仍然可能出现同样的问题。

图1 多跳Ad Hoc网络

如图1所示，在一个由7个节点组成的Ad Hoc网中，源节点S希望建立到达目的节点F的路由，有3条路径可供源节点S选择，path1{S,A,C,F}， path2{S,B,C,F}，path3{S,D,E,F}。假定其中节点S到节点A、B、C的信任度量TSA=TSB=TSD，节点C和E到节点F的信任度量TCF=TEF，在这种情况下，选择哪条路径取决于TAC，TBC，TDE的值。假设TBC>TDE>TAC,则根据单一路径的信任度量结果可知源节点S会选择path2来发送分组。此时如果节点A同时有分组发送至节点F，节点A只有选择path{A,C,F}进行发送，则节点C会同时处理来自节点A和节点S的转发分组。如果单位时间内转发分组的数量超过了节点C的转发队列缓存，则会造成节点S和节点A的分组丢失。可以注意到，如果信任度量TDE只是略小于TBC，则节点S选择path3才是最优选。

针对这种情况，节点S发给节点B的分组，将会从之前的两种动作：{Action=0，不转发；Action=1，直接转发}，更改为3种动作，即：{Action=0，不转发；Action=1，直接转发；Action=2，入缓存队列}。参考多址信道容量域理论，定义双路径可信度量模型DPET(Double Path Entropy-based Trust model)为

T{subject1,subject2:agent,Doublepath}=
1.5+(1-p1)(1-p2)log2(1-p1)(1-p2)+
[p1(1-p2)+p2(1-p1)]log2[p1(1-p2)+p(1-p1)]+
p1p2log2(p1p2)

(7)

其中P1≥0.5，P2≥0.5。

T{subject1,subject2:agent,Doublepath}=
-(1-p1)(1-p2)log2[(1-p1)(1-p2)]-
[p1(1-p2)+p2(1-p1)]log2[p1(1-p2)+p2(1-p1)]-
p1p2log2(p1p2)-0.5

(8)

其中P1<0.5，P2<0.5。

当两个节点有着相同的下一跳节点时，若两个节点对下一跳节点路径的可信度量值全为正时，即Pi>0.5,Pj (j≠i)>0.5时，通过式(7)计算两节点总共的信任度量值。而当两个节点对下一跳节点路径的可信度量值全为负时，通过式(8)得出下一跳节点的不可信度量值。当两个节点对下一跳节点路径的可信度量不全为正时，将度量为负的节点排除在可选范围之外。

根据多址信道容量域理论中合速率的上界R1+R2≤C12=maxp(x1),p(x2)I(X1，X2；Y)，此时对于图1节点A和节点B对节点C的度量为：

(9)

(10)

一般的，Ad Hoc网络中节点采用DPET-DSR更新邻居节点信任度量的步骤如下：

(1)在设定的时间内，节点i统计邻居节点j的成功转发次数Nretran，计算成功转发概率Pij，由式(5)、式(6)更新出此邻居节点的信任度：Tij=T{i,j,action=0,1}；

(2)节点i收到路由请求ROUTE REQUEST时，如果自己是目的节点，回复ROUTE REPLY消息，报告自己所有邻居节点的Pij和Tij:Tij=T{i,j,action=0,1}。如果自己不是目的节点，转发此ROUTE REQUEST消息。

(3)节点i收到ROUTE REPLY消息，如果自己不是发起路由请求ROUTE REQUEST的节点，则将自己所有邻居节点的信任度量添加至ROUTE REPLY消息中；如果自己是发起路由请求ROUTE REQUEST的节点，则：

a.查询路径中的所有度量，若度量值全为正则执行b;全为负则执行c；同时存在正负度量值，则首先排除具有负度量值的路径，再执行b。

d.形成路径度量Tpath=∏i,j∈path|Tij|，选择具有最小Tpath值的路径，结束。

e.形成路径度量Tpath=∏i,j∈pathTij, 选择具有最大Tpath值的路径，结束。

4 仿真和分析

仿真场景为由10个节点所组成Ad Hoc网络，节点之间只有在彼此的传输距离内方能通信，节点的最大传输距离为4 km，每个节点单位时间内产生业务分组数服从均值为5的泊松分布，包长为1 000 bit，目的节点为随机产生。信任度量模型采用DPET模型，路由建立过程采用DSR路由算法，源节点选择最具有信任值的路径建立路由。

在DPET-DSR路由中，源节点产生并发送的路由请求消息ROUTE REQUEST被非目的节点的中继节点收到时，中继节点将广播一次此路由请求消息。如果被目的节点收到，目的节点将回复最多5条路由回复消息ROUTE REPLY至对应的ROUTE REQUEST消息，可回溯形成从源节点目的节点的多条可用路径供源节点选择。每条路径最大跳数限制为10跳。

如图2所示，当某一时刻节点1试图发送分组至节点10时，由单一路径信任度量模型得到的路径为path1{1,3,5,9,10}，如图3所示，由双路径信任度量模型得到的路径为path2{1,2,6,8,10}，这是因为路径1上的节点3，5，9是多个节点的下一跳节点，在仿真运行的过程中会转发多个源节点的分组，存在超过缓存容限导致丢包的可能。路径2上只有节点2，8是多个节点的下一跳节点，计算信任度量值时，路径上不容易队列缓存紧张的中继节点能够为整个路径的信任度量值加成。

图2 节点1路由选择(a)

图3 节点1路由选择(b)

如图4所示，整个Ad Hoc网络吞吐量表明采用基于信任度量的DSR路由协议比传统的采用距离(或跳数)为路径度量的DSR路由协议吞吐性能要好(Distance-based)，这是因为节点在选路的过程中能够有效避免“恶意节点”，增大分组成功转发的概率。而采用DPET(Double Path Entropy-based)度量模型比单链路信任度量模型(Single Path Entropy-based)性能要好，是因为能够避免具有较优位置的中继节点承担大量转发分组责任，引起缓存队列溢出从而导致丢包的发生，在一定程度上能够达到负载均衡的效果，从而提高网络吞吐量。

图4 10节点Ad Hoc网络吞吐量

5 结束语

本文提出了基于信息论的多路径可信度量模型，充分考虑了多跳Ad Hoc网络中的可信路由与负载均衡，通过引入多址信道容量域理论，在根据信任度量模型建立路由过程中，能够将业务分组在网络中均衡，有效避免位置较优的中继节点大量承担转发任务，从而在转发队列缓存有限的情况产生丢包，影响网络性能。仿真结果表明，本模型在多跳Ad Hoc网络中能够根据信任度量值选择最优路径，避免中继节点缓存队列溢出丢包，有效提高网络吞吐率，为进一步研究Ad Hoc网络中可信连接、可信路由管理建立了基础。下一步的工作是对本模型做进一步的完善，并对基于可信路径的可信网络管理展开研究，本项技术在对安全与可信要求极高的军用Ad Hoc自组织网络中具有较高的潜在应用价值。