曾 萍，宋 杰，杨亚涛，张 历

（北京电子科技学院通信工程系，北京100070）

0 引 言

WMN作为一种大容量分布式网络，具有自愈性、频谱效率高、覆盖范围大、可拓展性强等众多优势［1］倍受人们关注，同时它也具有带宽及资源受限等缺点。由于采用无线信道、有限资源、分布式控制，无线mesh网络的安全隐患十分严重。它不像有线网络那样拥有实在的物理屏障作为防护设施，因此无线网络的安全漏洞更加严重。

其中路由协议是mesh网络最脆弱和最易遭受攻击的环节，也是该网络安全性研究的关键技术之一［2］。自配置和自适应的无线多跳路由机制要求网络的各个节点之间必须相互协作，且不间断的运行协议。并且在消息传输的过程中，又需要经历如此长的 “战线”。这就使得mesh网络在路由过程中轻易的遭受各种攻击。常见mesh路由攻击［3］主要有以下几类：

黑灰洞攻击、DOS攻击、DDOS攻击、RUSHING攻击、虫洞攻击、篡改伪造攻击、女巫攻击等攻击行为：①黑灰洞攻击的攻击方法来自mesh网络内部节点的丢弃包行为。某些mesh网络内部节点通过欺骗伪造等不良手段抢先宣布自己有到达目的节点的路由，来吸引源节点与其建立路由骗取报文并将其丢弃或部分性的丢弃，形成吸收报文不对外继续转发的黑洞。②DOS攻击、DDOS攻击、RUSHING攻击等攻击的主要攻击方法为通过对网络发送大量路由请求、处理请求等无用信息来占用网络资源，使得网络在获得必要的处理信息时无法对其进行及时处理。严重时，能够造成网络拥塞或者区域性的网络瘫痪。③篡改攻击以字义理解即对路由中的报文信息进行更改和删除，该攻击使得在寻找路由的过程中产生回路、重定向等问题，这就导致错误的路由信息产生或者网络无法获取最优路由从而影响了整个网络性能。例如：在AODV路由中修改序号和跳数，在DSR路由包中修改路由节点序列等。④伪造攻击主要由mesh网络中的节点无法时时分析验证报文的真实性所致，其攻击手段为伪造不存在的路由或者曾经存在现已中断的路由。通过该攻击，网络容易出现孤立节点、网络部分分割及回路等危害。如DSR报文头部含有从源节点到目的节点的路由。当被观测节点的相邻节点的情况、所处位置等拓扑信息被攻击者监听获取后，通过对这些信息进行进一步流量分析，得到该节点在网络中的功能和角色。借助这些信息，攻击者可准确伪造成网络中的一员并对网络进行攻击。而女巫攻击属于对节点位置信息的一种伪造。

1 Mesh网络现有安全路由协议的研究

无线mesh网络的路由协议存在许多安全问题，因此对无线mesh网络安全路由协议的研究具有非常重要的意义。国内外许多针对mesh网络安全路由协议的研究，主要集中于在mesh网络的路由协议中加入CA［4］认证机制，该方案对于网络的安全性来讲可以抵御一小部分网络的攻击，一定程度上增强了网络的安全性。但这类路由协议都存在这一个共同的缺陷：无法消除网络内部节点的不良行为并对其进行惩罚，比如：mesh网络安全路由协议ARWMN、SHSPU［5］、SMRPA［6］、SEAD［7］等。在这些协议中，均分别采用了CA认证机制对路由信息的整个报文或者报文中的路由序列、序列号、跳数进行加密，使得攻击者无法对其路由协议进行修改，提高了网络部分的抗攻击性能，然而当网络内部节点发起攻击时，比如虫洞攻击、拒绝服务攻击，这类协议无法采取相应的保护措施甚至无法识别恶意行为。在mesh网络内部还存在着另一类不良节点——自私节点［8］，这类节点在mesh网络中只享受服务而不提供服务，在网络内部存在着严重的丢包弃包行为。自私节点的存在严重影响了mesh网络中其它节点向网络提供服务的积极性，降低网络的性能，浪费了网络资源，严重时形成网络阻塞使得良好的节点也无法为网络提供服务。所以在设计无线mesh网络安全路由协议时，还应考虑对其内部节点的检测。

针对内部节点不良行为检测的解决方案主要有：

（1）Sergio Marti等人提出一种看门狗、选路人算法［9］。即每个节点各自维护一个缓存区记录其邻节点的行为特性。当网络需要路由发送消息时，使数据包尽量避免经过那些可能存在不良节点的路径。

（2）入侵检测协议CONFIDANT［10］是由Sonja Buchegger和Jean－Yves Le Boudec共同提出，该协议的基本原理为是利用相邻节点之间互相监视来发现排除不良节点。它通过节点自身观察和相互通告的手段来检测几种已知类型的攻击，使得网络中节点在选择路由时绕过可能的恶意节点。

（3）CORE机制［11］由PietroMichiardi和 RefikMolva二人提出，该机制是一种基于游戏理论的通过监视技术和名誉机制来激励合作的算法。它的主要发现排除无线mesh网络中的不良节点。

（4）协作式入侵检测系统［12］由 Yongguang Zhang和Wenkle.Lee提出，该系统是一种基于簇结构的攻击检测。在该系统中，每个节点独立地对攻击进行检测，有时需要其它节点的信息协同检测，各个节点间不存在层次关系。

以上几种不良节点的检测方案各有不足：看门狗、选路人算法中节点之间互不通信使其不能全面检测到有攻击行为的不良节点，并且该方案只是避开不良节点，并不孤立和惩罚不良节点，反而为其免除了正常的转发流量，客观上奖赏了不良节点。CORE机制中仅针对自私节点进行检测，检测范围很局限；而协作式入侵检测和CONFIDANT中，都没有对节点进行分级处理，当节点对邻节点行为互相通报时会带来的网络业务繁忙、计算量大等不足，同时也存在浪费网络资源占用大量带宽的缺点。相比之下CONFIDANT即声誉方案是一种较为有效的检测不良节点的方案。

目前，已有各种有关声誉值的计算模型在国内外陆续提出，而这些已提出的模型其构建基础各有特色。其中基于概率统计的、证据理论及模糊集合理论的算法成为现有算法中的主流算法。具体的声誉值计算模型主要有：

（1）贝叶斯估算法计算声誉值［13］，Beth等人将声誉分为直接声誉和间接声誉，并利用概率统计贝叶斯算法来合成直接声誉和间接声誉。

（2）熵声誉值计算法［14］，Yah Sun等人对声誉值的不确定性进行设计，并以信息论中的熵来度量。该模型还采用了贝叶斯估算法来计算直接声誉值，声誉值计算的同时还体现出声誉值随时间衰减的特性。

（3）证据理论声誉值合成计算法，Bin Yu等人提出使用该算法合成声誉的问题，而声誉值观测计算只基于节点的直观观察［15］。

总的来说，上述声誉值计算模型中，有些只利用直接声誉，得出的最终声誉值不具客观性；有些计算迭代次数高，使得最终声誉值计算的过程收敛缓慢，在检测出不良节点时需耗费较长的时间，即效率性不高；有些声誉机制虽利用了间接声誉，但其采取盲目接收的原则，因此不能抵抗节点间的声誉值诋毁攻击和欺骗攻击，即鲁棒性不高。

2 改进的声誉值确定模型

首先对本文中用到的名词和术语进行定义。

定义1 信任 （Trust）：一个实体根据另一个实体的某次行为，对其可靠性进行评估，评估具有主观性。

定义2 声誉 （Reputation）：在一定范围内，由实体间的多次交易后，根据各个实体对观测实体的满意程度而得出的结论，该结论具有客观性。

网络中任意相邻的两两节点之间相互进行行为监视，监视其所观测的节点是否履行正常网络功能，如网络信息转发、执行网络路由请求等。假设网络中的每个节点都会与多于两个的节点进行通信，因此采用前后跳观测节点行为的方案使得网络中的每个节点都会有多于一个的观测节点。当被观测节点没有履行正常的网络功能或者正在对网络进行某种攻击时，观测节点就会发现该被观测节点的前后跳节点之间产生节点行为不一致的现象。在此将节点的行为列为节点信任事件表，依据该表观测节点对其每个被观测的节点给出其信任值，然后实时性的交予观测节点所在微群的CA节点处，由每个群的CA节点依据各个节点发送的节点信任值，使用Markov链计算方案来计算群内每个节点的信任值。而每个微群的划分是根据节点的区域，以及节点之间的最佳接收半径来度量的。在此特别说明，向每个微群转发信任值的节点由群内的节点和该微群边缘节点非此微群的一跳节点组成。

2.1 定义节点信任事件表

首先由每个节点对其观测节点进行信任值评估，设定好mesh网络每个节点对其邻节点的观测半径为R （选择时根据最佳接收半径来度量），即每个节点对其观测范围内的邻节点的行为进行观察，当前后跳的节点都在某个节点范围内时，该节点就成为后跳节点的观测节点，对其行为进行评估给出评估的信任值TV （trust value）。每个节点都有一个缓存区用来存放节点信任事件表以及被观测节点的动态信任值评估表。其中，信任事件表是用来识别恶意节点或自私节点；对于被观测节点动态声誉值评估表将会及时发送给CA节点，成为CA节点最终做出决策的依据。

假设：mesh网络内部中节点i的观测范围内，选择前后跳节点都在此范围的后跳节点为观测节点，根据下面的节点信任事件表，对后跳节点的信任值进行评估，见表1。

表1 节点信任事件

2.2 CA节点的选择

受恶意节点或其它因素的影响，单个节点对其观测节点的信任值并不能客观表示一个节点的行为。这就需要选择一个额外的节点来评估各个节点的声誉值。

Mesh网络依据区域和节点之间通信的最佳接收半径将其网络中的节点划分成一片一片的微群，图1表示就是网络中的一个微群G。而群G中的CA节点的选取依据群G内部每个节点的声誉值，即声誉值最高的节点将作为群G的CA节点，来管理微群G内所有节点的密钥分发及微群G内各个节点的声誉值的评估。而群G内声誉值次高的节点将选作备用CA节点。当网络中的CA节点遭受攻击时，其声誉值将急剧下降，此时备用CA节点将成为群G内的簇首节点，来执行CA节点的任务。规定CA节点和备用CA节点的声誉值变化为普通节点的3倍和2倍。在图1中，节点D、E、L、H、I为群G边缘节点的非群内一跳节点，这些节点也会向群G的CA节点发送其评估的信任值。

图1 群G中CA节点

2.3 基于Markov的声誉值计算办法

Markov链定义［16］：Markov链是一种特殊的随机过程，既是一种时间离散、状态离散的无后效过程。该体系的每次状态转移仅仅依赖于前一时刻转移后的状态，与更以前的体系状态无关。其表达式为

其中状态 ｛Xn，n≥0｝。P＝（pij）满足以下两个条件：

在进行节点的声誉值计算时，判定一个节点的声誉值只依据被观测节点本次行为的好坏，而与过去节点的行为无关，并且满足Markov表达式。

建立基于Markov链的声誉值计算方案，将网络中的节点设一个最高的声誉值5，当节点的声誉值大于5时就不再为节点增加声誉值，即状态X是一个闭区间 ［1，5］。

首先定义Tim和Rlj，其中，Tim表示节点m对节点i评估的信任值，Rlj表示第j次的各个节点的声誉值。通过这两个值来计算第j＋1次各个节点的声誉值，即观测节点的声誉值是由各个节点的权重信任值累加而成。计算如下

根据Markov链中的Kolmogorov－Chapman方程可知

与节点声誉值的期望E的表达式相对应，计算时还需要Tim和Rlj都转化为概率形式。

另外，CA节点对每个节点每次评估的声誉值进行积累，当两个节点的声誉值相同时，积累声誉值高的节点会被选作CA节点，或者备选CA节点，这样的选择也会防止网络中一些有过on－off攻击行为的节点被选作CA节点。使用这样的计算方法，更能有效的遏制节点的不良行为，更好的保持良好合作的网络环境。从第n－1步到第n步的状态值转换公式为

在此

对恶意节点的惩罚：网络节点声誉值的高低，会产生各个节点间流量的差异，声誉值好的节点流量会多于声誉值一般的节点，这样的奖惩措施更能激励网络节点间良好的合作，优化网络环境。

3 改进声誉模型的性能分析

本文的第2部分详细的介绍了现有的入侵检测方案及各种声誉值计算模型。据此可知，目前主流的声誉值计算模型是基于贝叶斯估算法声誉机制。本文结合之前研究的优缺点，提出一种改进的声誉模型，它采用前后跳的检测方法以及Markov链的声誉值计算方案。同之前基于贝叶斯估算法声誉模型相比，该模型在性能上有以下优势：

（1）复杂性小。改进的声誉机制中，每次节点的声誉值更新只于被观测节点的本次行为有关，与之前的节点行为无关。即不需要对之前节点的评估结果进行遗忘因子的计算，复杂性较低。

（2）计算量小。改进的声誉机制只有CA节点进行对各个节点的声誉值权重计算来得出对每个被观测节点较客观的声誉值，而之前的声誉机制需要每个节点对被观测的节点进行信任值和声誉值计算。相比之下，改进的声誉机制计算量大大减小。

（3）通信量小。改进的声誉机制采用分簇式结构来评估节点的声誉值。各个节点将各自实时评估的信任值统一交予自身所在群的CA节点，再由每个群的CA节点对其群内的所有节点进行声誉值评判，最后结果将返回到群内各个节点。该方案只需要各个节点和CA节点进行通信，同之前方案需要节点之间两两通信交换声誉值相比大大减少了所需的通信量。

（4）鲁棒性较强。改进的声誉方案拥有较小的通信量，对网络的各种攻击的检测较为全面，即使当网络中的CA节点遭受攻击时，备用CA节点马上会接管CA节点的任务，增加了网络的鲁棒性。

4 改进声誉模型的安全性分析

本文采用前后跳节点的行为进行观测来检测异常节点的方案，对恶意节点的发现具有实时性。

改进方案的抗攻击性能由现存网络的各种攻击进行验证如下：

（1）篡改攻击：观测节点将前跳节点转发的路由信息同后跳节点转发的信息相比对，当发生篡改攻击时，就会发现前后跳节点转发信息出现不一致。

（2）伪造：当恶意节点伪造路由信息时，即路由中的某些节点是伪造的，这些伪造节点不会有观测节点。根据节点信任事件表，若某个节点没有观测节点将被诊断为恶意行为并对此次路由提供者进行声誉值惩罚。

（3）Wormhole攻击：当观测节点发现节点没有根据路由信息中的路径来转发消息时，观测节点根据前后跳节点及其路由信息发现该恶意行为，并根据节点信任事件表进行惩罚。

（4）BLACKHOLE攻击：当节点丢包弃包时，节点没有履行网络功能。这样的行为也将作为不良行为被观测节点发现。

（5）RUSHING攻击：mesh网络中的节点不允许在节点转发的周期内有重复发送服务请求的行为。因此改进的声誉机制会遏制RUSHING攻击。

同时，该方案对不良节点采取了适当的惩罚措施，保证了网络的内部节点都是可信任的。

本文采用的方案满足用户对无线网络安全性的一般要求，具体如下：

（1）可用性。确保网络在遭受DOS攻击或其它情况下仍能提供可靠的服务，在无线mesh网络中，拒绝服务攻击可以在任何层次发起，在路由层，攻击者可以通过破坏路由协议，导致整个网络不可用。改进的声誉模型专门针对此攻击进行服务请求控制，服务请求重发时间大于网络的处理时间，确保了网络的安全；

（2）私密性。是指保证特定的信息不会被未授权的节点获得。在安全路由方面表现为对路由信息进行保密。改进的声誉模型，对网络外部节点不颁发CA证书，且对有严重不良行为的节点进行流量控制或将其剔出网络；

（3）完整性。保证信息在传输过程中不被窜改且在路由过程中防止虚假的信息在节点间传送来破坏网络的可用性，改进的声誉机制采用前后跳观察节点的行为，一旦发现节点存在篡改和伪造的行为，观测节点会对其声誉值进行评估并传送到CA节点进行惩罚；

（4）抗抵赖性。确保每条信息的发出节点不能否认曾发送过该信息，在改进的声誉模型中，每个节点的行为都会被许多节点观测并对其前后跳行为进行记录，保证了节点的行为无法抵赖。总的来说，与之前的声誉方案相比，改进的声誉方案大大提高了网络的安全性并有效遏制了内部节点的不良行为。

5 结束语

安全路由协议设计是无线mesh网络中一个非常重要的研究方向。而现有的安全路由协议依然存在着许多问题，无法满足无线用户对mesh网络的安全需求。针对目前的安全路由设计思路，本文对现有的声誉模型进行了改进，其安全性能也有所提高。相对于之前的方案，本文设计了较为全面的节点信任行为表，可以较全面检测网络内部节点的入侵行为和自私行为，并采取相应措施；①对簇首节点的选择进行了优化，避免了一旦簇首节点遭受攻击，网络性能就会严重下降的现象；②采用了Markov链来计算节点的声誉值，降低了其复杂性。因此，与其它的检测内部不良节点的方案相比较，本方案具有计算量小、检测较全面、奖惩措施更健全能更好的激励节点间互相合作的优点。

［1］JIANG Hongqi，KANG Kai，LIN Xiaokang.Broadband expanded accessing technology in wireless mesh network ［J］.Telecom Science，2005 （1）：24－30 （in Chinese）. ［姜红旗，康凯，林孝康.拓展宽带接入的无线mesh网技术 ［J］.电信科学，2005 （1）：24－30.］

［2］FANG Xuming.The next generation technology of wireless Internet：Wireless mesh network ［M］.Beijing：The People’s Posts and Telecommunications Press，2006：9－11 （in Chinese）. ［方旭明.下一代无线因特网技术：无线mesh网络［M］.北京：人民邮电出版社，2006：9－11.］

［3］Ekram Hossain，Kin K Leung.Wireless mesh networks architectures and protocols ［M］.YI Yan，LI Qiang，LIU Bo，et al transl.Beijing：Mechanic Industry Press，2009：1－22（in Chinese）.［Ekram Hossain，Kin K Leung.无线 mesh网络构架与协议 ［M］.易燕，李强，刘波，等译.北京：机械工业出版社，2009：1－22.］

［4］SONG Zhixian，YU Jizhuo，XIAO Mingpo.Security routing protocol in the WMN ［J］.Journal of Xiamen University，2008，47 （6）：823－827 （in Chinese）. ［宋志贤，喻继桌，肖明波.无线Mesh网络中安全路由协议的研究 ［J］.厦门大学学报，2008，47 （6）：823－827.］

［5］YAN Qi.Security routing protocol in the WMN ［D］.Xi’an：Xi’an University of Electronic Science and Technology，2007（in Chinese）. ［闫琦.无线 Mesh网安全路由研究 ［D］.西安：西安电子科技大学，2007.］

［6］ZHANG Fuyi.Secure multipath routing protocol based on DSR［D］.Hefei：China Science and Technology University，2005（in Chinese）.［张福益.基于DSR的多径路由安全协议 ［D］.合肥：中国科学技术大学，2005.］

［7］Lin Chuhsing，Lai Weishen，Huang Yenlin，et al.I－SEAD：A secure routing protocol for mobile Ad Hoc networks ［C］.Bussan，Korea：IEEE Infocom，2008.

［8］LIU Chunfeng，SHU Yantai，LI Mingyuan，et al.Delay modeling and analysis of IEEE 802.11DCF with selfish nodes［C］.Proceedings of the 4th International Conference on Wireless Communications，Networking and Mobile Computing.Piscataway，NJ，USA：IEEE Press，2008：1－4.

［9］Hasswa A，Zulker M，Hassanein H.Routeguard：An intrusion detection and response system for mobile Ad Hoc networks ［C］.Hotel Delta Centre－Ville Montreal，Canada：Wireless and Mobile Computing，Networking and Communication，2005：336－343.

［10］Kejun L，Jing D，Pramod K V，et al.An acknowledgment－based approach for the detection of routing misbehavior in MANETs ［J］.IEEE Transactions on Mobile Computing，2007，6 （5）：488－502.

［11］JING Qi，TANG Liyong，CHEN Zhong.The trust management of the wireless sensor network ［J］.Journal of Software，2008，19 （7）：1716－1730 （in Chinese）.［荆琦，唐礼勇，陈钟.无线传感器网络中的信任管理［J］.软件学报，2008，19 （7）：1716－1730.］

［12］ZHONG Yiping，YI Ping，JIANG Yichuan，et al.A survey of security for mobile Ad hoc networks ［J］.Acta Electronica Sinica，2005，33 （5）：893－899.

［13］Marcel Frigalat，Wang L.Measuring network security using Bayesian network－based attack graphs ［C］.Annual IEEE International Computer Software and Applications Conference.Washington USA：IEEE Computer Society，2006：698－703.

［14］Yan Sun，Wei Yu，Zhu Hart，et al.Trust modeling and evaluation in Ad hoe networks ［C］.St.Louis，Missouri，USA：IEEE Globecom，2005.

［15］TAN Changgeng，LI Jiang.The recommended trust model based on the Mobile Ad hoc network ［J］.Computer Techno－logy and Development，2009，19 （11）：68－71（in Chinese）.［谭长庚，李江.移动自组网中基于推荐的信任模型 ［J］.计算机技术与发展，2009，19 （11）：68－71.］

［16］ZOU Yongmei.Elements of information theory ［M］.Beijing：Science Press，2012：50－61 （in Chinese）.［邹永魅.信息论基础 ［M］.北京：科学出版社，2012：50－61.］