倪 妍

（同济大学电子与信息工程学院，上海，200000）

0 引言

由于车载网络（VANET，Vehicular Ad hoc Networks）具有高度动态和开放的特性，因此对网络的安全、隐私、可信度的实现提出了挑战。目前VANET系统中的相关安全技术研究进展，包括安全硬件设备、数字签名技术、身份认证与隐私保护、数据验证等几个问题[1]。信任管理机制是针对VANET安全应用的重要方法，在信任管理中信任被定义为一个实体对另外一个实体基于历史交互经验而得出的对该节点关于未来的一个主观期望[2]。信任管理的意义在于提供了一个适合开放式应用系统开放、分布和动态特性的安全决策框架[3]。信任管理模型一般基于节点间过去交互的经验以及其他节点的评价来进行行为的判断。目前，多数基于移动自组网络（MANET，Mobile Ad-hoc NETworks）的信任管理机制包括基于实体化的信任模型，面向数据的信任模型，以及综合的信任模型等，实体化的信任模型关注节点信任度的建模[4]。MANET是一种点对点的自创建、自组织、自管理的临时性自治系统[5], 而VANET中的信任管理比过去的MANET信任管理显得更为复杂，原因如下[6]：

1）由于VANET高度动态开放的特性，使得节点之间建立信任关系的接触时间很短。

2）行为不良的节点，并不一定都是恶意节点，有时候比较可信的节点会由于自私的原因而行为不良。节点发送正确或错误信息取决于实际环境，所以不能总是将节点标记为“可信”或者“不可信”。

3）MANET中的信任管理机制依赖于投票决定。而在 VANET中，由于持续改变的网络拓扑，有时候投票节点数低于阈值。

在实际的VANET应用中，多个车辆间会联合进行恶意推荐和评价，以达到提高自身信用值或者降低其他良性节点信任值，这种具有恶意目的联合推荐和评价会严重扰乱 VANET中的信任关系，影响VANET网络中正常的信息发送和传递。

针对以上问题，引入角色和事件信任等级机制的概念，提出一种基于事件和角色等级评价的信任模型。其核心是根据不同的信任等级分配给节点不同的评价权重，并给予事件不同的等级权重，同时考虑信息的实效机制，建立一个综合的信任评价机制。

1 基于角色和事件等级评价的信任模型

1.1 系统模型假设

在实际的 VANET环境中，很难保证所有可信节点的行为都一直可信。行为不良的节点，并非都是恶意节点，有时候比较可信的节点会由于自私的原因而行为不良。在本文中，完全模拟现实环境中所有节点的真实行为难度很大，因此基于的假设与条件如下：

1）网络中的大多数节点为普通节点。

2）普通节点行为中存在恶意行为的概率很低。3）网络中只有小部分节点是恶意节点。

4）对于节点给出的意见，被评价节点具有不可否认性，通过对数据添加带有加密算法的签名，在之后追溯某节点对其他节点意见时可以追踪历史情况，防止恶意节点篡改历史记录。

5）判定节点可信度的门限设定。通过实验中设置不同参数值，找到一个合理的门限值，经过计算后得到的信任值，如高于门限值，则认定为可信，否则丢弃该节点发送的信息。

1.2 信任等级模型

1.2.1 节点的信任等级划分

以往的方法，基于角色的信任方法可以从在一定程度上从不可信的节点中区分出可信节点，且在这些信任模型中，和角色有关的信任是事先定义的。而本模型在该基础上引入角色的信任等级概念，在计算推荐信任值时按照评价节点自身所属信任级别，给不同信任等级分配相应的权重。

在本模型中，TVi表示节点 I的信任值，TViε（0，1）。将节点信任等级分为五级，即完全可信节点（TTN），可信节点(TN)、一般可信节点(CTN)、不可信节点(NTN)和恶意节点(MN)，如表1所示。设定每个车辆节点在出厂时都会被制造商以及相关认证机关（CA）进行认证和角色分配，给予一个初始的信任值。如警车、救护车等重要公共节点将分配一个高信任值，属于完全可信级别；公共车等公用设施节点属于比较可信级别，普通车辆分配一个初始的一般可信角色，初始信任值为0.5。

当节点加入到VANET网络中时，节点向RSU发送申请加入网络的请求，通过 CA验证后获得一个临时的公私钥和执照及最新的信任值，有效期为T，需要节点定期发送更新请求，如果超出有效期T，则信任值实效，节点无法与其他节点进行交互。设定阈值η，信任值低于η的节点被判定为恶意节点。一旦被判定为恶意，其他节点拒绝接收该类节点的发送的消息，但可以接收来自其他节点发送的消息，因而在一定程度上确保了恶意节点也能正确收到可靠的信息，从而在实际环境中达到规避危险情况的目的。

表1 节点角色等级表

1.2.2 事件等级权重

在实际环境中节点发送的事件重要程度是不一样的。一旦恶意节点对重要性高的事件进行恶意行为，将带来很大的危害。此外，也会存在恶意节点通过对重要性很低的事件相互转发并成功评价提供良好服务来积累恶意节点信誉，从而达到在转发重要程度高的事件或者评价其他节点可信度时实行恶意行为。为此定义了事件等级权重。设M表示事件值，如下式所示：

当x=U/C/I时，M(x)=(0.5,1,2)。

其中U表示的是不重要事件（Unimportant），C表示的是普通事件（Common），I表示重要事件（Important）。计算直接信任值时，引入事件等级权重，提高了重要事件的影响，降低了非重要事件的影响。

1.3 信任评价机制

节点进入 VANET中完成授权认证的过程之后，RC(Receiver)收到发送节点RP(Reporter)发送过来的一个Beacon包，包中包含了RP需要转发的信息内容以及事件发生的时间戳。RC首先查看Beacon包中信息的事件权重值以及该事件已发生的时间间隔。

通过计算得到事件综合值，判断事件是否需要进一步转发。若不需要，则抛弃Beacon包，但不判定节点 RP发送失败，只是广播给邻居节点该信息无需接收。若需要进一步转发，请求邻居节点提供推荐及直接信任值，最终合并事件信任值计算得到综合信任值。此时先由RC查看和RP的交互历史，若在系统设定的有效期T内交互成功次数超过一定阈值F，则RC无需再计算推荐信任，而直接根据直接信任值判断是否转发信息。

若低于设定的综合阈值，说明RC接受RP发送的信息风险较大。则RC抛弃信息，且判定RP转发失败,否则接受。相应的结果广播给邻居节点及RSU，RC本地数据库自动更新对RP的记录，并将Beacon包更新后转发给下一条节点。

节点在计算直接信任以及给其他节点发送推荐信任的时候，只考虑有效时间内的交互，设定距离当前时刻前的T个时间段内的交易，节点本地记录的交互历史只保存有效期内的交互信息，超过T个时间段的信息将被删除。整个机制如图1所示。

图1 角色信任等级评价流程

1.4 模型算法

1.4.1 事件信任值计算

信息接收节点在判断是否接收信息之前，首先要判断发送节点发送的信息事件权重值以及时间衰减。令Mvt表示事件的信任值，设定阈值θ，当计算值低于θ时，丢弃Beacon包。

定义时间衰减因子为φ(t)，事件综合信任值Mvt计算公式如下：

λ为时间因子，M为1.2.2节中提到的事件值，△t为事件发生到此刻转发的时间差。λ和 θ根据VANET不同的环境进行相应的调节，针对不同场景的阈值设定将在文中的仿真阶段进行仿真实验。

1.4.2 综合信任值计算

本模型对于不同信任等级的节点分配不同的权重，模拟在实际社交社会中，个体往往更容易相信高权威的人所说的话。不同级别的节点所给出的判断值所占的权重不同，L越高的节点的评价对节点的信任度影响更大。由于评价很大程度上基于主观信任，因此研究的困难之一在于如何对这种模糊性进行建模[7]。

在本文中引入风险值W，令N表示两个节点之间历史交互的总次数（无论成功或失败，所发送的Beacon中信息的综合事件值都高于信息阈值，低于阈值的信息导致交互失败次数不记录在N内），n表示交互总数中成功的次数，w为风险调节因子，w ∈ （ 0,1 ）数值可由具体不同的环境设定。综合考虑事件权重以及时间衰减，得出节点i对节点j的直接信任值为：

式（3）中，set(i)表示给节点i提供推荐信任的邻居节点集合。节点i对节点j的综合信任值。计算如式（4）：

β∈（ 0,1）用来调节直接信任和推荐信任对综合信任值的权重影响。当在节点稀疏环境下，邻居推荐信任数据比较少时，可以提高节点直接信任的权重，而当在密集环境中，则可提高推荐信任的权重值。不同阈值根据不同的 VANET环境进行调节，在实验仿真阶段，将会根据不同场景进行模拟，根据不同阈值设定进行比较。

2 安全性分析

文中采用 NS-2来进行系统的仿真和性能的评价。场景设计为一个网格形的街道图。如图所示，地图由10×10的网格组成，且每个区块长为150 m，即仿真范围为1500m×1500m的矩形区域。假定车辆在该区域按照随机的路径移动，随机分布100个节点，移动速度为10～40m/s，停留时间为0～30 s，模拟周期为500 s，节点的传输范围设置为150 m，MAC层采用IEEE802.11协议，路由协议采用DSR协议。

在本模型中，设定了五类节点：完全可信节点（CTN），可信节点(TN)、一般可信节点(CTN)、不可信节点(NTN)和恶意节点(MN)。本实验参数设定为固定参数和可变参数两种情形，固定参数设定如下：初始的节点比例为 CTN:TN:CTN:NTN:MN=2:3:2:2:1，且每类节点所属的角色信任等级L1～L5所占权重为(0,0.1,0.2,0.3,0.4)，其中0表示恶意节点不占权重。η=0.3，θ=0.7，μ=0.4，w=0.9，β=0.8，T=5，F=5。可变参数为模型中恶意节点和不可信节点的比例。

（1）虚假信息对受影响的车辆数的影响

为检验文中模型抵抗虚假信息攻击的能力，针对错误信息对模型中节点的影响进行仿真。在一个仿真周期内，每隔10 s随机选择除了完全可信节点以外的节点进行虚假交通信息的广播。其他节点接收信息，分别进行验证，并且决定是否继续转发。信任广播的信息并且通知驾驶员的车辆标记为被信息影响的车辆。图2显示了当一个真实的交通信息被广播时，受影响的车辆数快速增加；而另一方面，受本模型影响，由不可信节点发送的恶意虚假信息并不能影响其他车辆。

图2 虚假信息对受影响的车辆数的影响

（2）虚假信息对综合信任值的影响

在图3中，当一个真实的交通信息被广播时，平均的综合信任值保持一个较为平稳的下降趋势。而当一个虚假的交通信息被广播时，如图4所示，平均的综合信任值在一开始虽然较高，但是随之将快速降低，这是因为即使不可信节点通过共谋对虚假信息进行恶意推荐，但由于不可信节点自身的信任值较低，所占的权重也较低，因此无法过多影响其他节点对信息的正确判断，因此当虚假信息进行广播时，可信节点正确判断将更多地影响综合信任值，使得虚假信息的综合信任值将快速下降。

图3 真实信息对综合信任值的影响

图4 虚假信息对综合信任值的影响

3 结语

文中提出了一种基于角色和事件等级评判信任模型，根据节点的信任角色等级计算综合信任值，同时考虑发送信息的事件等级以及时效性综合判定是否转发信息，并由接收节点将转发结果广播给邻居节点，并发送给RSU更新节点信任值。

在存储开销方面，文中的方法给出了进一步的优化，本模型中设定了有效期T和单位时间内交互成功次数阈值F，在实际的VANET网络中，自动删除超过有效期T的交互信息，并且当两个节点在有效期T内交互成功次数高于阈值F则无需计算推荐信任，直接判断，节约的系统的存储开销。

[1] 陈辰,韩伟力,王新,等.VANET安全技术综述[J].小型微型计算机系统,2011,32(05):896-904.

[2] MATT B, JOAN F. Decentralized Trust Management[C].USA: IEEE Computer Society,1996:164-173.

[3] 李超,李小勇,管海兵.一个信任管理模型的改进[J].信息安全与通信保密,2008(05):97-98.

[4] Zhang Jie. A Survey on Trust Management for VANETs[C].[s.l.]:International Conference on Advanced Information Networking and Applications,2011:105-112.

[5] 何中林.MANET 中的关键技术探讨[J].通信技术,2008,41(04):122-123.

[6] Huang Zhen, RUJ S.Limitations of Trust Management Schemes in VANET and Countermeasures[C].USA:IEEE,2011:1228-1232.

[7] 于晓东,高会生. 基于模糊理论的通信系统有效性分析[J].通信技术,2008,41(06):8-10.