【《移动自组网信任评估相关研究综述》7100字】

移动自组网信任评估相关研究综述目录TOC\o"1-3"\h\u10543移动自组网信任评估相关研究综述 1136541.1移动自组网 189741.2移动自组网面临的威胁模型 2293911.1.1内部攻击 226901.1.2本文的威胁模型 3310941.3移动自组网信任评估研究 5270391.3.1信任的定义 511561.3.2信任的性质 6190501.3.3信任评估的体系结构 8273691.3.4面临的威胁 101.1移动自组网移动自组网是一种无需固定基础设施、可依靠移动终端通过无线快速组建的临时通信网络。其节点可自主加入网络，也可自由离开网络，而不需要依赖现有的网络基础设施。相较于常见网络，移动自组网具有网络拓扑动态变化、终端异构且资源有限、信道容量易变化、分布式、自组织、多跳等特点。因此，移动自组网广泛应用于紧急救灾、会议通讯、军事应用等领域。移动自组网的这些特点使得它非常容易部署，但也使得它无法直接应用其他常规网络结构的安全机制。基于传统密码学的保护机制可以有效防止来自网络外部的攻击，但随着攻击手段多样化、智能化的发展，攻击者从内部俘获、控制具有合法身份的节点，可以从网络内部发动各种攻击，导致经过身份认证的节点仍然不一定是完全可信赖的。学者们针对此类安全问题提出针对网络的“软保护”机制。如图2-1所示，移动自组网由各个实体组成，实体间通过各类网络协议连接形成网络。这些实体存储各类资源、网络协议使得实体间可以共享资源和访问资源。在采用“软保护”机制的网络中，客户端实体和服务端实体按照策略返回本次服务的评价，这些数据将成为实体间的信任计算依据。图2-1移动自组网1.2移动自组网面临的威胁模型1.1.1内部攻击网络的“无线”决定了移动自组网将面临更加复杂的攻击方式ADDINNE.Ref.{D30AE956-CFE3-48AC-847A-A5220E06C5C6}[28]，包括以下两类：1)外部攻击：伪造身份/记录、窃取/篡改信息攻击网络，干扰正常运行。采用传统的密码学和身份验证机制可以有效地抵御没有身份认证的攻击者发起的外部攻击。2)内部攻击：攻击者通过各种方式获得密钥取得合法身份，突破了传统密码学的防护机制，进而窃听、捕获存储在网络内部的信息，从而威胁整个网络的正常运行。目前被证实信任机制是应对内部攻击的有效途径ADDINNE.Ref.{636CFC07-AA16-4DCD-AB1F-373E56659E32}[7]。下面介绍几种典型的内部攻击方式：对数据包的篡改攻击者通过篡改数据包，产生虚假的数据和错误的消息，甚至篡改路由信息造成路由环路，导致网络流量异常，增加了网络中某段路径上的时延，造成网络传输出现异常，传输的数据可能不可靠或者错误。黑洞攻击移动自组网中经常存在需要多跳才能到达目的节点的情况，恶意节点在路径建立的过程中虚假宣传有目的节点的最短路径，欺骗其他节点的流量，这些恶意节点截获数据后并不按照正常节点期待的安全、正确转发数据包，而是选择截获后丢弃，使这些数据并不会被进一步地传播，导致当前网络流量中大量数据包的丢失。选择性转发攻击与黑洞攻击类似，这些节点通过诱骗、截获到数据包后为了掩藏自己的恶意目的，丢弃部分数据包，选择性地转发数据包。这样既能达到恶意节点干扰网络的目的，又能降低被怀疑的可能性。拒绝服务攻击拒绝服务攻击是通过技术手段恶意消耗目标实体所需要的资源，使得正常节点因无法获取到正常资源而提供不了正常服务，进而导致网络异常甚至瘫痪。移动自组网中的节点要承担多项任务，包括完成普通终端提供对应服务的任务，以及多跳任务转发功能。特别是当通信节点非邻居节点时，还需借助其他节点进行多跳转发。所以如果网络中存在节点恶意丢弃数据包的行为，则会影响网络通信质量，破坏网络工作机制，导致网络的性能急剧下降。而且由于移动自组网中的节点能量并非源源不断，因此节点可能为了节约自身能量而选择丢弃部分数据包，也会影响网络质量。文献ADDINNE.Ref.{FB4C32DC-00D2-489B-92EB-231CBB802F86}[29,30]对移动自组网中节点的自私行为和恶意丢弃数据包的行为进行了仿真实验，结果显示当网络中的自私节点和恶意节点占比达到10%时，就会导致网络通信性能下降。当占比达到50%时，转发数据包的吞吐量将会大幅度下降，降为正常的40%。由于在转发数据包时难以界定节点是出于自私还是因为恶意丢弃，但是从网络性能的角度而言，无论是出于何种原因，若因自私丢弃的数据包数量较多，最终会造成通信过程中大量数据包丢失，影响网络正常工作，造成很大负面影响。因此本文将自私行为和恶意丢弃数据包行为都视作恶意节点进行的恶意行为。1.1.2本文的威胁模型如前面所描述的移动自组网面临着来自内部的诸多攻击，下面针对本文的场景讨论移动自组网的威胁模型类型：自私行为信任评估模型应该考虑节点存在的自私行为。节点为了主观上节省资源而进行的自私行为是不可避免的ADDINNE.Ref.{AB9175CA-9360-4135-B3B7-B179C8D608D3}[31]。因此网络中的节点可能存在的自私行为也应该是信任评估模型需要考虑的，应该激励节点工作避免出现自私行为。移动自组网的可用性基础是建立在网络中的节点愿意无偿地和其他节点积极协作、共享资源信息。然而实际的网络环境中，特别是当网络节点属于不同的组织、受到自身资源比如存储空间、电池容量、计算能力等限制时，节点为了追求自身利益或成为了自私节点，在使用网络资源的同时却不愿参与网络正常的路由和数据转发工作，不愿耗费自身的能量参与服务共享。这样的自私行为将会导致网络吞吐性能的显著下降ADDINNE.Ref.{96373FF1-0016-4FD5-82E8-9554386CCEDA}[32]，降低节点的服务积极性，甚至造成网络无法正常运转。因此，研究如何解决节点的自私行为，鼓励节点积极参与网络协作、共享服务是有必要的。针对通信的篡改攻击行为移动自组网中的节点要承担多项任务，包括完成普通终端提供对应服务的任务，以及多跳任务转发功能。针对这一通信过程，可能存在数据包被恶意篡改等内部攻击行为。这样的内部攻击会影响到网络通信质量、破坏网络工作机制，这样的行为很可能会被视作节点的自私行为而未引起重视，最终酿成严重后果。因此，需要针对节点的通信行为收集对应的行为数据，判断节点是否进行了针对通信的恶意攻击。由于不论是出于自私行为还是篡改行为，数据包大量出现异常均会对网络造成较大负面影响，因此本文将导致数据包出现异常的行为都视为恶意行为。同时为了避免由于网络本身不可靠等原因造成对正常节点的误判，本文将考虑多因素对节点的行为证据进行分析，识别出由于恶意行为而导致的信任值波动的恶意节点。干扰信任评估的恶意策略攻击针对分布式信任管理系统最为常见的攻击即共谋攻击和振荡攻击。共谋攻击即多个恶意节点组合起来以共谋的形式威胁信任评估模型，会给予恶意服务节点较高的直接评价进行虚假推荐、还可能对良好服务节点进行不符合实际的恶意推荐，进而影响信任评价的公正性。导致恶意节点被推荐的几率升高、良好节点被选中的概率降低。应对措施即需要检测到恶意推荐值的存在，排除其被参考的可能性。振荡攻击即恶意节点的行为总是在动态地变化，节点会交替随机地表现良好行为和恶意行为。当恶意节点的信任评估值较低时，它会提供良好的服务来获得较好的评价以提升信任评估值。当累积的信任值足够高时，则开始提供恶意服务来影响其他节点的工作，来达到破坏网络的目的。抵御振荡攻击的方法就是引入时间衰减因子，随着时间的流逝减少前一段时间恶意节点伪装的良好行为对现在的影响。根据上述分析，几种典型的攻击实施时间段如表2-1所示。攻击发生的时间发生在提供服务或者反馈评价中，这两个行为都是需要通过通信进行的，所以通信过程可视为二者的统称。这两个行为也是任何节点间发生交互的正常固有操作。表2-1攻击威胁发生时间攻击行为实施攻击的时间段自私行为提供服务篡改数据通信过程丢弃数据通信过程振荡攻击提供服务共谋攻击反馈评价1.3移动自组网信任评估研究信任这一概念曾在多个领域中的不同学科的研究中被提及和应用，是一种有着悠久研究历史的跨学科性的研究，早期的研究主要涉及到社会学、心理学、人类学及经济学等多个领域，后为解决网络服务的安全问题而引入计算机领域。信任是人类社会交往和发展的基石，是一种长期存在的依赖关系。某个群体或者个体被视为值得信任则意味着他们是遵守法律、道德守则，并且是奉行言行一致的。在本节，本文将介绍信任的定义和基本性质，并给出本文认可的信任概念。1.3.1信任的定义信任是一个跨学科交叉性的问题ADDINNE.Ref.{8957658A-AE8F-452E-AD6F-711574CCA513}[33]。信任这个概念最初是产生于社会学学科，为了解决交互对象的可信问题而引入计算机领域ADDINNE.Ref.{D3F453CE-9ECA-4090-8ADD-DFDB1E32F2BB}[34]。学者们也曾试图从多个角度出发对信任进行定义，在不同的学科中虽尚未形成统一的定义，但是在某种程度上却达成了共识。“信任”这个概念与可预测、可信赖性、行为一致性、行为预期性、可信任性等概念密切相关，它是不同个体之间的一种信任关系，是个体间进行交往/合作的依据。Blaze首次将信任评估机制引入到计算机领域，把人的认知赋予网络中的对象，用以识别和选择可靠的客体进行交互来解决网络服务的安全问题ADDINNE.Ref.{E034B737-667A-473F-969E-71235067CD43}[35]。并提出一个信任框架系统，如图2-2所示。信任是一种用于防御内部攻击的安全策略，可以在开放网络中建立客体之间交互的基础，提高交互的信心ADDINNE.Ref.{72EC61AB-5C0E-4CAA-B96C-7A6B270D0764}[36]。Denning认为信任是对某一特定客体在规定的行为域内的行为进行的符合要求的评估。信任不是客体的属性，却与客体的行为域密切相关，是主体对客体的行为观察得到的评估值ADDINNE.Ref.{2A369DFF-803C-46D8-BB9A-E14C52B06791}[37]。而文献ADDINNE.Ref.{E2347F9E-0B03-499A-B6DE-3952D9F95F6B}[38]提出信任是一种坚定的信念，是涉及很多不同属性的概念，具体的定义则取决于信任所处的环境。针对的是实体能否在特定的上下文环境中采取安全、可靠和可依赖性的行动的能力ADDINNE.Ref.{F99A0A1F-EF2E-4342-AC74-CF09C5A862D6}[39,40]。文献ADDINNE.Ref.{BA85FA14-1DD3-46AD-8A26-499568CB9DCC}[41]提出在网络环境下，信任是一种用于描述网络实体的能力，强调信任将随着实体的一系列行为表现的改变以及时间的推移而变化。文献ADDINNE.Ref.{4D7A9B96-8250-4C11-A0EE-6D3D2C570F3C}[42]认为信任是一种建立在过往经验和自身知识的主观判断，本身并不能作为证据或者事实，和对客观事物/真理的相信不同，信任本质上是主观的，是关于所监测到的事实的知识信息。图2-2Blaze信任框架系统虽然不同学者对信任的理解和定义不尽相同，但是可以看出有以下几点基本达成共识：信任是建立在对实体历史行为的过往经验的认知上；信任可以表现为实体的可靠和可依赖的程度；信任是实体之间存在的一种主观判断，而非固有属性；信任受多种环境因素影响，并且随着时间的推移而衰减。因此，信任是某实体利用先验知识对其他实体行为的可信程度在某段有效时间内的主观评价，是一种受多种环境因素影响、随着时间变化而发生改变的主观信念。信任的建立不仅可以通过直接认知获取信息外，还可以通过获取间接信息进行决策。综上所述，为了更好地描述本文工作，在此提出本文的信任的概念：“信任是表征主体对客体过往一段时间内的综合表现进行的客观评价和对其行为的期望，本文中即评估节点对被评估节点的期望，信息获取包含主体对客体历史行为的直接评判以及其他实体对该客体的间接建议，而且信任随着客体行为变化和时间的推进而发生变化。”1.3.2信任的性质通过对研究学者们的研究成果进行分析，可以得出信任具有以下主要特性：主观性信任本质上是基于所观察到的事实知识而做出的主观判断。对于不同的评估者，即使在同一评价环境和评价条件下，由于评估者自身的评价标准和判断准则不同，同时被评估者自身经验、能力和收集的知识所限制，给出的信任判断的准确度也会有所差异。不对称性信任是存在于评估主体和评估客体之间的一种单向、不对称的主观关系。评估者A信任被评估者B，但是并不等价于被评估者B就信任评估者A，这不是等价关系。因此，信任关系不仅仅只有一对一的单向关系模式，还存在一对多和多对多的信任关系模式。图2-3即为这三种不对称性的信任关系示例。图2-3信任关系模式动态性信任由于实体自身的自然属性而存在动态性。实体自身的客观能力（如，心理、意愿、能力等）和实体外在的行为表现（如，策略、协议等）会引起信任的动态改变。此外，信任还会随着评估者的自身经验知识积累、上下文环境以及时间等因素的改变而动态地变化。例如，评估者随着对被评估者的观察加深，其对后者的了解和认识程度也会逐渐加深，在这个过程中，信任也会随之动态改变。可量化性在计算机领域中，信任是可以通过评估方法和相应的数学模型去度量的。通过某一时刻采集到的外在行为的特征值（历史交互经验/行为证据信息），去间接地评估、量化实体的客观能力，得到一个具体的信任值或者信任级别。弱传递性信任关系一般情况下是不能完全传递的，在某种程度上具有弱传递性。例如A信任B，B信任C，不能直接得到A是否信任C的判断。只有在B将自己关于C的信任信息推荐给A后，A综合自身对C的证据信息来度量对C的信任值，才能得到A对C的信任关系。并且约束A对B、B对C是相同的信任目标的前提，才能进行传递。这说明信任在一定程度上具有弱传递性，如图2-4所示。图2-4信任传递原理时间衰减性信任会随着时间推移而呈现衰减的趋势。因为信任关系是建立在观察被评估目标的历史行为表现的基础上的，所以这些证据信息具有时效性。并且随着时间的推移，证据信息带来的认知程度是呈现下降趋势的。例如，特定时刻，实体A信任实体B，但接下来的一段时间A与B不存在交互，则A对B的认证程度下降，将不能确定B是否仍然值得信任。这也体现了信任的动态性。1.3.3信任评估的体系结构根据信任评估模型的工作模式划分，信任评估有以下两种体系结构：集中式信任模型和分布式信任模型。主要区分在于数据存储、传输以及信任计算的方式。集中式信任模型集中式信任模型顾名思义是利用集中管理的方式获取网络实体的信任信息。它有一个被称为认证中心或信任中心的固定的管理中心。如图2-5所示。中心收集汇总实体间的信任关系并计算得到全局信任，同时向网络中的节点提供查询其他节点信任值的机会。网络中的节点获得信息后可自行判断交互与否。一般而言，拥有较高信任值的实体会获得更多的交互机会。早期的信任模型大多应用集中式体系结构，比如电子购物网站的交易双方/产品的评价系统和基于用户口碑建立的网站评价都是采用此类体系结构。集中式信任模型的特点是设计思路简洁、模型较为简单，实现过程并不复杂，但同时存在着过于依赖信任中心的可靠性的问题，以及集中式系统存在的健壮性和负载的问题。对信任中心的要求非常苛刻，这在实际应用中难以实现，导致若存在单点失效问题，则信任中心将成为整个系统的瓶颈。且在集中式系统中，难以保证信任评估的准确性和识别欺骗行为的及时性。图2-5集中式信任模型框架分布式信任模型分布式信任模型不同于集中式，如图2-6所示，它并没有一个中心来管理网络实体间的信任关系，它通过实体之间的交互通信来完成网络信息的采集、传输和存储以及它们之间信任值的计算。分布式信任模型中直接信任和推荐信任的信任结构关系如图2-7所示。图2-6分布式信任模型框架图2-7信任结构关系目前分布式信任模型虽仍然处于理论研究阶段，但是已然成为信任评估研究领域的重点。它更符合无线传感器网络、移动对等网络和移动自组网的分布式环境的。分布式信任模型一般会使用复杂的数学方法建模，导致难以评价和比较其性能。其中较为经典的有文献ADDINNE.Ref.{69074CF6-F961-4404-80A2-9F291ECF22AB}[43]的信任传播模型、文献ADDINNE.Ref.{ED02E798-9B14-4C3D-8189-781175E13670}[44]的面向数据的模型、文献ADDINNE.Ref.{3622FA7E-A493-4D3C-B9FC-7C247B4D4F4A}[45]的自证明模型和文献ADDINNE.Ref.{9C12756D-B146-492C-90BA-335C44D5F524}[46]的相似度模型等。1.3.4面临的威胁由于信任评估自身的特点，该评估机制也面临着来自恶意节点的攻击威胁。恶意节点的攻击是针对信任计算这个过程进行的，是带有强烈目的性的恶意攻击行为。信任评估系统中的正常实体也叫做诚实实体。它完成相应的任务后，将会提供较为客观的评价。而其他的恶意实体会利用各种手段针对信任评估机制的特点进行针对性的攻击，提供虚假的、不可靠的服务，并且会提供不诚实的评价诋毁正常实体、抬高恶意节点的信任。信任机制虽然可以通过客观地评价实体交互行为，为后续交互提供一个可靠的可信度，能够有效地检测、识别出恶意节点。但是信任评估由于本身的方法的特殊性会引入新的安全威胁。下面将介绍针对信任评估常见的攻击及对应的预防措施：诋毁攻击诋毁攻击也称为UnfairlyLowRatings攻击或Slandering攻击。信任评估中收集信息形成信任的过程中，采用推荐信任是普遍使用的重要方式。恶意节点通过恶意传播虚假的正常节点的信任值，降低正常节点的信任值，以此来相对提高其他恶意节点在网络中的信任值。信任评估中，评估方实体通过自己的过往交互经验可以识别出恶意节点的诋毁攻击行为，从而降低恶意节点的信任值。评估方也可通过对恶意节点已有的信任值来判断是否接受恶意节点的推荐信息。冲突行为攻击冲突行为攻击，也被称为偏见攻击。它通过对部分节点的偏见评价。使得不同的正常节点关于恶意节点的信任评价产生冲突，导致正常节点之间的信任关系岌岌可危。恶意节点提供的评价与目标节点实际行为服