面向無人機自組網的可信路由協議

趙蓓英，姬偉峰，翁 江，孫 巖，李映岐，吳 玄

空軍工程大學 信息與導航學院，西安 710177

近年來，無人機自組織網絡（flying ad hoc networks，FANETs）在軍事和民用領域的應用越來越廣泛，如協同偵查、實時監控、空中基站等。無人機具有體型小、易操作、速度快等優點，機間相互協調、共享信息以完成任務[1]。然而，天氣狀況、地理障礙以及高動態性導致網絡拓撲變化快、鏈路中斷頻繁[2]。同時，節點本身兼顧路由轉發功能，而路由層面的攻擊如黑洞、灰洞、泛洪等內部攻擊易于實施且破壞性極強[3]。

無人機自組織網絡可歸納為移動自組織網絡的一類，采取基于信任的路由協議是確保自組織網絡路由安全性與可靠性的有效措施之一，但是仍存在信任評估因子單一、信任計算不合理等問題。文獻[4]將節點間交互成功概率作為節點信任度，檢測黑洞攻擊節點并指導下一跳節點的選擇。但該文獻對信任度的評估僅基于對節點轉發行為的觀測，無法應對協作式攻擊、鏈路故障等問題。文獻[5]考慮了直接信任度、間接信任度、歷史信任度、鏈路質量、活躍度多個信任評估因子，通過模糊層次分析法確定權重進行信任聚合，提出了一種輕量級信任增強路由協議（light-weight trust-enhanced ad hoc on-demand multipath distance vector，TEAOMDV）。文獻[6]提出一種隨機重復信任計算信任管理（random repeat trust computation，RRTC）方案，進一步考慮了剩余能量、信道質量，直接指定信任評估因子權重，通過加權平均方式計算節點的信任度。但文獻[5-6]中權重向量相對固定，忽略了動態環境下信任測度的不確定性，惡意節點檢測準確度較低，且容易造成誤判。文獻[7-8]考慮信號強度、剩余能量、傳輸延時、數據包投遞率，通過模糊C-Means 聚類將節點分為三類，同時根據聚類中心調整評估因子權重并計算信任度。文獻[9]選取了覆蓋自組織網絡中黑洞、泛洪與數據包丟棄攻擊的特征作為模糊變量，采用模糊Petri 網絡將節點的信任等級分為5 級，實現了節點之間的模糊安全驗證。但文獻[7-9]未考慮FANETs 網絡拓撲高度動態變化、鏈路中斷頻繁的特點，導致丟包率較高。以上文獻中信任評估模型能夠一定程度上防御內部攻擊，但對信任模型中的開關攻擊均欠缺考慮。文獻[10-11]通過判斷一個時間窗內信任度下降次數是否超過閾值來檢測攻擊節點，但沒有考慮攻擊節點信任度上升快的特點，當惡意節點處于高信任度時，將再次加入路由路徑，從而發動攻擊。

針對以上協議存在信任評估因子單一、信任計算不夠合理的問題，本文引入數據包轉發率、可信交互度、探測包接收率作為信任評估因子，提出一種自適應模糊信任聚合網絡（adaptive fuzzy trust aggregation network，AFTAN）計算節點間的直接信任度，綜合可信鄰居節點的間接信任度，得到節點信任度。針對信任模型中的開關攻擊，引入信任波動懲罰因子，修正節點信任度。基于按需多徑距離矢量路由協議（ad hoc on-demand multipath distance vector，AOMDV），本文提出一種基于信任的按需多徑距離矢量路由協議（trust-based ad hoc on-demand multipath distance vector routing protocol，TAOMDV），在路由發現與維護過程中考慮節點信任度，建立可信路由路徑，保障通信安全。

1 基本定義

信任關系具有不確定性、非對稱性、部分傳遞性等復雜的動態屬性，是一個抽象概念，不同環境下存在多種定義。為更清晰地描述模型，對本文采取的信任度以及信任評估因子定義作出如下說明：

定義1（節點信任度）[12]節點對其鄰居節點未來行為的信任程度，包括通過觀測節點行為與狀態得到的直接信任度與通過其他鄰居節點推薦得到的間接信任度。

節點信任度的計算如式（1），其中Tij表示節點vi對vj的信任程度，為直接信任度，為間接信任度。節點信任關系模型如圖1。

定義2（路徑信任度）節點通過候選路徑傳輸數據的可信程度。

信任的評估具有非對稱性，因此路徑信任度分為正向路徑信任度和反向路徑信任度。前者決定源節點是否通過該路徑發送數據，后者決定目的節點是否從該路徑接收數據。路徑信任度的計算如式（2）。其中FPT為正向路徑信任度，RPT為反向路徑信任度，vS為源節點，vD為目的節點,vM、vK為路徑中任意兩個相鄰節點,TMK表示vM對vK的信任度，TKM表示vK對vM的信任度。

Fig.1 Trust model of nodes圖1 節點信任關系模型

本文主要針對FANETs 中黑洞、灰洞攻擊問題，此類節點收到數據包丟棄而不轉發，因此引入數據包轉發率，同時考慮節點的交互情況，是否遵守信任機制隔離惡意節點，引入可信交互度，確保了節點級別的安全性。考慮節點間的物理鏈路狀況，引入探測包接收率，保障了鏈路級別的可靠性。數據包轉發率、可信交互度、探測包接收率定義如下：

定義3（數據包轉發率）節點接收到的數據包與其轉發的數據包的比率。

黑洞節點與灰洞節點在收到數據包時往往會丟棄而不進行轉發，通過檢測數據包轉發率，可以識別此類惡意節點。數據包轉發率定義式如式（3）：

其中，NRDP為節點接收到數據包，NFDP為轉發的數據包。

定義4（可信交互度）節點與其他節點的交互程度。

節點與可信節點交互越多，可信度越高，反之可信度越低，可信交互度定義式如式（4）：

其中，fT表示被評估節點與可信節點的交互頻率,fN表示與非可信節點的交互頻率。

定義5（探測包接收率）反映物理鏈路和周圍環境的狀況。利用Hello 消息，對鄰居節點進行周期性鏈路探測，計算探測包成功到達接收方的概率。

探測包接收率定義式如式（5）：

其中，N(t-π,t)為評估節點在時間窗π內實際接收到的探測包個數，τ為探測周期，π/τ為理論上應接收到的探測包個數，即被評估節點發送的探測包個數。

2 節點信任度評估模型

2.1 基于AFTAN 的直接信任度計算

本文從不同角度周期性地觀察節點行為，提出一種自適應模糊信任聚合網絡AFTAN 來聚合數據包轉發率、可信交互度與探測包接收率3 個信任評估因子，根據信任評估因子不同的模糊隸屬等級，合理計算節點間的直接信任度，以適應不同的網絡環境。

Fig.2 Fuzzy membership function圖2 模糊隸屬函數

令評估因子集{數據包轉發率、可信交互度、探測包接收率}為X={x1,x2,x3}，參考文獻[7-8]，將每個評估因子分為“Bad”“ Neutral”與“Good”3 個等級，設計信任評估因子的隸屬函數如圖2所示。采用Takagi-Sugeno 模型[13-14]進行模糊推理，根據模糊隸屬函數，設計模糊規則集，共有3×3×3=27 條模糊規則，規則形式如式（6），其中l、m、n分別代表評估因子隸屬的等級，i表示規則序號,pi、qi、ri為結論參數。結論參數依據各評估因子值所處不同等級時，對網絡影響程度不同，因此其重要程度也不相同，采用層次分析法進行確定。表1 給出了計算結論參數的總體重要程度判別規則。

Table 1 Judgment rules of importance for conclusion parameters表1 結論參數重要程度判別規則

參考自適應神經模糊推理系統（adaptive neuro fuzzy inference system，ANFIS）[15]，根據表1 確定結論參數，設計自適應模糊信任聚合網絡如圖3 所示。輸入層的參數為3 個信任評估因子，通過信任聚合層進行模糊推理，最終輸出節點的直接信任度。信任聚合層共分為4 層，各層功能如下：

第一層：模糊化層。利用圖2 隸屬函數對信任評估因子進行模糊化處理，降低網絡不確定性造成的影響，具有一定的容錯能力，輸出信號為對應各等級的隸屬度。

第二層：標準化規則層。每個節點分別對應不同的模糊規則，每條規則的輸出對結果的影響不同。各節點通過乘法計算對應規則的激勵強度wi，同時計算相對于所有規則的激勵強度比例，輸出信號為標準化激勵強度。

第三層：自適應函數層。由于每個信任評估因子可能對應多個模糊等級，映射多個模糊規則，而不同模糊規則下信任評估因子的權重不同。因此應該確保信任評估因子參與每個模糊規則的計算，每個模糊規則的作用效果取決于其標準化激勵強度wˉi。各節點將第二層的輸出的標準化激勵強度作為輸入信號，根據表1 確定的結論參數pi、qi、ri計算每個模糊規則對應的結論zi。此層各節點的輸出信號代表了各規則對結果的貢獻度，即該規則的標準化激勵強度與對應輸出的乘積，如式（9）。

第四層：聚合層。將第三層的每個自適應函數輸出信號進行聚合，輸出信號傳遞到輸出層作為節點的直接信任度。

Fig.3 Adaptive fuzzy trust aggregation network圖3 自適應模糊信任聚合網絡

通過自適應模糊信任聚合網絡計算節點的直接信任度，能夠根據節點3 個信任評估因子的模糊等級，適配不同的模糊規則，選擇合適的參數，信任計算更為靈活；并且輸入量經過模糊處理，對應多個模糊規則時，各規則能夠根據激勵強度進行信任聚合，信任計算更為合理，同時提高了系統的容錯能力。

2.2 基于可信鄰居推薦的間接信任度計算

直接信任度的評估主要來源于自身經驗，存在主觀性，并且當評估節點與被評估節點的交互較少時能夠獲取的信任知識有限，而通過間接采納其他實體的經驗可以減輕主觀評價的影響，同時也能夠充分利用網絡中的信任知識。間接信任度的計算如式（11），其中θ為判定節點是否可信的閾值。

本文中間接信任度的推薦只在鄰居節點之間進行，評估節點只接受來自可信鄰居節點的推薦，主要有以下幾個優點：

（1）鄰居節點距離較近，與被評估節點有更多交集。

（2）本節點與非鄰居節點沒有直接的交互，而對鄰居節點有一定的信任基礎，可信鄰居節點的推薦能夠提高間接信任度的可靠性。

（3）多跳信任推薦的信任推薦鏈較長，將導致推薦不可信，多重計算復雜度較高，同時需要轉發推薦信息，路由開銷較大；在一跳鄰居范圍內進行信任推薦，推薦信任來源易追溯，能夠減輕網絡通信負荷，降低路由開銷與計算復雜度。

2.3 基于懲罰機制的開關攻擊防御策略

開關攻擊是分布式網絡中一種典型的內部攻擊，節點會在某個時間段內積極參與路由轉發，間歇性地發動攻擊。從信任角度出發，攻擊節點先偽裝成正常節點以積累信任度，然后進行攻擊，當信任度較低時，又會表現正常以提高自己的信任度。因此，節點的信任度相差可能并不大，但變化極其頻繁。

針對此類攻擊，結合信任“易失難得”的特點，引入信任波動懲罰因子ρ與信任翻轉頻率TF對節點信任度進行修正，控制攻擊節點的信任度范圍，避免其作為中繼節點參與路由轉發。信任波動懲罰因子ρ∈(0,1)，信任翻轉定義如式（12），其中式（12a）表示正翻轉，式（12b）表示負翻轉，為前一個信任評估周期的信任度，σ為信任波動閾值。翻轉頻率每10個信任評估周期進行清零，計算方式如式（13），其中F為從第一次負翻轉開始到目前的總翻轉次數，K為從第一次負翻轉開始到目前的信任評估次數。最終節點信任計算如式（14），其中，δ為翻轉頻率閾值。

3 TAOMDV 路由協議

AOMDV 是基于按需距離矢量路由協議（ad hoc on-demand distance vector，AODV）的多徑路由協議，主要針對鏈路故障與路由中斷頻繁發生的高度動態的自組織網絡而設計[16]。本文以AOMDV 協議為基礎，結合第2 章信任度評估模型，提出基于信任的按需多徑距離矢量路由協議TAOMDV，考慮節點信任度，從而在路由過程中隔離惡意節點，建立可信路徑。

3.1 路由表設計

TAOMDV 在AOMDV 原始路由表中添加了路徑信任度字段，如圖4 所示。在建立路由路徑時同時考慮跳數與路徑信任度，為數據傳輸提供多條可靠路徑，路由選擇時選取滿足信任度需求的跳數最少路徑。其中，廣播跳數（Advertised HopCount）表示到目的節點最大跳數，對于同一序列號，廣播跳數不變；最后一跳節點（LastHop）表示目的節點的前一跳節點，以區分不同的路徑。

3.2 可信路由建立與維護

3.2.1 路由發現

TAOMDV 在路由發現過程中完成可信路徑的建立。源節點首先查找路由表是否存在可用路徑，如不存在，則啟動路由發現，向鄰居節點廣播路由請求RREQ 報文。在RREQ 報文中新增反向路徑信任度rq_rpt字段，初始化值為1，隨分組的傳輸而更新。路由回復報文RREP 中新增正向路徑信任度rp_fpt與反向路徑信任度rp_rpt字段，rp_fpt初始化為1，隨報文的傳輸而更新，rp_rpt從RREQ 中獲取。路由發現具體步驟如下：

步驟1源節點vS廣播RREQ 報文，初始化rp_rpt=1。

步驟2當節點vK收到RREQ 報文時，更新rq_rpt=min(rq_rpt,TKS)，若rq_rpt＜θ，則丟棄此請求報文，否則轉下一步。

步驟3若該節點是目的節點或有到目的節點的路徑，則沿反向路徑發送RREP 報文，初始化rp_fpt=1，rp_rpt=rq_rpt，否則更新RREQ 報文并轉發，直到找到目的節點。

步驟4當節點vK收到RREP 報文時，更新rp_fpt=min(rp_fpt,TKD)，若rp_fpt＜θ，則丟棄此報文，否則轉下一步。

步驟5若該節點是源節點，插入轉發路徑，FPT=rp_fpt，RPT=rp_rpt，否則更新RREP 報文并轉發，直到源節點收到RREP 報文，可信路徑建立。

3.2.2 路由維護

TAOMDV 增加了路由路徑報警報文（routing path alert，RPA），發布惡意節點信息，及時隔離惡意節點。RPA 中包含不可達目的地的地址、序列號、最后轉發節點。由于路由表中到達同一目的地存在多條路徑，用最后轉發節點LastHop 區分不同路徑。RPA 報文格式如圖5 所示。

Fig.5 Routing path alert圖5 路由路徑報警報文

在數據轉發過程中，同時更新下一跳節點的FPT為當前的信任度，若低于信任度閾值，則啟動路徑報警機制。當前節點發送RPA 到上一跳節點，上一跳節點收到RPA 時，查找RPA 的不可達目的地，檢查路由表中對應到達不可達目的節點單個路徑的LastHop 是否與RPA 通報的LastHop 相同，如果此類型路徑存在，則刪除相關路徑，并將相應的不可達目的地添加到新的RPA 中，RPA 的下一跳設為相關路徑中的LastHop 的前驅節點，繼續發送RPA，直到源節點收到RPA，并刪除相應的路徑，選擇其他可信路徑進行通信。由于到達同一目的地的多條鏈路互不相交，轉發路徑上任何節點的信任度變化不影響其他備用路徑，該機制可應對路徑中隱藏的惡意節點，保證數據的高效可靠傳輸。

4 仿真實驗與性能分析

本文通過包投遞率、吞吐量、路由開銷與平均端到端時延4組性能指標對AODV、AOMDV、TEAOMDV[5]與TAOMDV 進行仿真對比，分析多徑路由協議在存在惡意攻擊與節點高速運動場景中的優勢，評估基于信任的路由協議的性能。

4.1 仿真環境及參數設置

本文仿真實驗在Linux 系統中采用NS2 模擬器完成。50 個無人機節點隨機分布在1 500 m×1 500 m的仿真區域內，15 個數據連接分別在不同時刻啟動。具體參數設置如表2 所示。

Table 2 Setting of parameters表2 參數設置

為確定合適的閾值參數，本文模擬了正常節點、惡意節點、開關攻擊節點的數據轉發情況，參考文獻[5,7]，設置信任度閾值為0.7，選取了20 個周期內的信任度，如圖6 所示。正常節點的信任度集中在0.9以上，當鏈路狀況不佳時可能會低于0.7，且信任度波動較小；惡意節點信任度在0.7 以下，信任度波動主要與攻擊力度相關，攻擊力度相差越大波動越大；開關攻擊節點信任度時高時低，信任度波動集中在0.3左右，且波動頻繁。因此確定信任度閾值為0.7，波動閾值為0.3，信任度閾值過大、波動閾值過小容易導致對正常節點的誤判，反之無法檢測出惡意節點。

Fig.6 Trust degree and its fluctuation圖6 節點信任度及其波動狀況

翻轉頻率閾值的確定需要考慮鏈路狀況差導致的信任度波動，因此，當出現第一次信任翻轉時，該節點被列為可疑節點，連續監控10 個信任周期。當信任翻轉小于3 次時，可認為是偶然的鏈路障礙，不進行懲罰；當鏈路障礙較多時，主要特點是持續時間長而頻率較低，其翻轉頻率一般小于0.5，可適當進行懲罰降低信任度；開關攻擊節點的信任度翻轉頻率大于0.5，可采取懲罰措施大幅降低其信任度，使得節點處于非攻擊狀態時，信任度仍低于閾值。因此，本文中取翻轉頻率閾值為0.5，針對不同狀況采取不同懲罰力度，在懲罰惡意節點的同時又具有一定的容錯性。

4.2 仿真結果及分析

本文所提TAOMDV 主要與同樣基于信任的TEAOMDV進行對比，如表3所示。TEAOMDV 采用多個信任評估因子，但其中活躍度僅考慮了與可信節點的交互；不同網絡狀況下各信任評估因子重要程度差異較大，通過模糊層次分析法確定的固定權重進行信任聚合，得到的信任度無法準確刻畫節點屬性；同時TEAOMDV 并未考慮信任模型中的開關攻擊。本文提出的TAOMDV 將信任度分為直接信任度與間接信任度，其中可信交互度同時考慮了與可信節點及非可信節點的交互，避免正常節點與惡意節點合謀攻擊；通過自適應模糊信任聚合網絡計算節點直接信任度，能夠適應不同的網絡狀況；同時TAOMDV 采取了信任波動懲罰機制防御開關攻擊。對比實驗分別在以下三個場景中進行，每次實驗采用同一個數據流場景,分別運行在10 個隨機生成的節點運動場景下，取平均值作為最終實驗結果。

4.2.1 不同惡意節點數量下協議性能比較

設置節點最大移動速度均為10 m/s，改變惡意節點數量，其中黑洞節點與灰洞節點比例為1∶1，實驗結果如圖7 所示。

由圖7 可知，隨著惡意節點個數的增加，傳輸路徑中存在惡意節點的概率增大，由于AOMDV 與AODV 未采取任何防御措施，丟包狀況嚴重，包投遞率與網絡吞吐量急劇下降。雖然惡意節點丟包造成數據包減少，但同時由于惡意節點的路由欺騙，減少了控制報文的傳播，導致路由開銷增加。AODV 的路由開銷與平均端到端時延高于AOMDV，且受惡意節點影響較大。TAOMDV 與TEAOMDV 能夠檢測并隔離惡意節點，選取可信度較高的路徑，減輕了惡意攻擊造成的破壞，包投遞率與吞吐量下降幅度較小。TAOMDV 與TEAOMDV 雖然減少了丟包，路由開銷反而上升，主要原因有：（1）控制包中增加了信任字段，字節數有所增加；（2）路由發現階段需要發送更多的控制包來建立可信路徑；（3）惡意節點造成路徑信任變化和路由維護。TAOMDV 可以更加準確地檢測出惡意節點，包投遞率與吞吐量提升效果更為顯著，避免了不必要的路徑切換與維護，降低了路由開銷。TAOMDV 與TEAOMDV 將惡意節點從路徑中剔除后，需重新選擇可信路由路徑，可能會增加跳數，從而導致更長的延遲。TEAOMDV 的時延明顯高于TAOMDV，容易受到惡意節點的影響，可能對正常節點造成誤判，切換到其他跳數更大的路徑，而TAOMDV 受惡意節點影響較小，時延變化更為平穩。

Table 3 Comparison of protocols表3 協議對比

Fig.7 Effect of number of malicious nodes on protocol performance圖7 惡意節點數量對協議性能的影響

4.2.2 不同節點移動速度下協議性能比較

設置6 個惡意節點，其中黑洞節點與灰洞節點比例為1∶1，改變節點的最大移動速度。實驗結果如圖8所示。

由圖8 可知，隨著節點移動速度的增加，網絡拓撲變更頻繁，傳輸鏈路中斷概率增大，丟包現象頻繁發生，包投遞率與吞吐量均不斷下降；同時需要發送更多的控制包用于路由發現與維護，進行路徑切換或重新建立新路徑，路由開銷與平均端到端時延不斷上升。TAOMDV 與TEAOMDV 包投遞率較高，吞吐量下降緩慢，原因在于避免了存在惡意節點以及丟包嚴重節點的路徑，通信鏈路較為穩定，但需要發送更多的路由控制包來建立可信路徑，從而導致路由開銷與延遲有所上升。相比TEAOMDV，TAOMDV的惡意節點檢測更為準確，建立的路徑更加高效可靠，提升了數據包投遞率與吞吐量，降低了路由開銷與平均端到端時延。

4.2.3 開關攻擊下協議性能比較

設置6 個惡意節點，其中黑洞節點與灰洞節點比例為1∶1，在160 s 后進行間歇式攻擊，每次攻擊持續時間為20 s，間隔時間為40 s。實驗結果如圖9 所示，其中統計時間間隔為20 s。

由圖9 可知，當惡意節點發起攻擊時，AODV、AOMDV 的包投遞率、吞吐量均大幅下降，同時路由開銷與平均端到端時延相對上升。TAOMDV 與TEAOMDV 由于加入了信任機制，不同程度上緩解了惡意節點的攻擊，提高了包投遞率與吞吐量，但同時增加了路由開銷與平均端到端時延。TAOMDV 引入了信任波動懲罰因子，當檢測到節點信任度波動頻率較大時，將立即降低其信任度并移出路由路徑，避免后續再次受到攻擊。而TEAOMDV 缺乏防御此類攻擊的機制，當惡意節點表現正常時，又將其加入轉發路徑，從而反復遭受攻擊。相比TEAOMDV，TAOMDV 的包投遞率、吞吐量顯著提高，路由開銷與平均端到端時延明顯優化。

5 結束語

本文針對FANETs 存在內部攻擊、鏈路中斷頻繁的問題，提出了一種基于信任的按需多徑距離矢量路由協議（TAOMDV）。在該協議中建立了節點信任度評估模型，通過自適應模糊信任聚合網絡計算直接信任度，可信鄰居節點推薦得到間接信任度。同時利用信任波動懲罰因子對節點信任度進行修正，以應對開關攻擊。在路由發現階段考慮下一跳節點信任度，建立可信路徑，在路由維護階段及時檢測并隔離惡意節點。仿真結果表明，TAOMDV 能夠降低網絡拓撲頻繁變更帶來的影響，有效抵御黑洞、灰洞攻擊與開關攻擊，在數據包投遞率、吞吐量、路由開銷與平均端到端時延方面均優于同樣基于信任的TEAOMDV。未來工作主要是考慮FANETs 中其他類型攻擊如泛洪、蟲洞攻擊，與協議性能相關的時延、能量等的優化問題，引入多信任評估因子，同時對信任計算問題進行深入研究，在可控的開銷范圍內，平衡安全與性能，進一步優化路由協議。

Fig.9 Effect of on-off attack on protocol performance圖9 開關攻擊對協議性能的影響