一種基于信任模型的安全度量及安全路由算法設(shè)計(jì)

1、第 30卷第 1期 電 子 與 信 息 學(xué) 報(bào) Vol.30No.1 2008年 1月 Journal of Electronics & Information Technology Jan. 2008一種基于信任模型的安全度量及安全路由算法設(shè)計(jì)張 靜 胡捍英 童 珉 李慶榮(信息工程大學(xué)信息工程學(xué)院 鄭州 450002摘 要:針對網(wǎng)絡(luò)路由的攻擊普遍且后果嚴(yán)重。 目前的研究大多是采用數(shù)字簽名, 消息驗(yàn)證和入侵檢測等機(jī)制來提 高路由控制信息的安全, 基本沒有考慮機(jī)密應(yīng)用數(shù)據(jù)的路由安全問題。 該文通過分析通信實(shí)體的安全機(jī)制和安全威 脅來測量鏈路和節(jié)點(diǎn)的信任度,建立節(jié)點(diǎn)間的信任關(guān)系,并基于該

2、信任模型定義和量化一種新的安全度量 SM(Security Metric,提出以 SM 為選路標(biāo)準(zhǔn)的安全路由算法 SMRA(Security Metric based Routing Algorithm。 仿真表明,網(wǎng)絡(luò)存在攻擊時(shí), SMRA 算法比 OSPF 算法有更好的包傳輸率和路由安全性能。關(guān)鍵詞:路由安全;信任度;信任關(guān)系;安全度量中圖分類號 :TP393 文獻(xiàn)標(biāo)識碼 :A 文章編號 :1009-5896(200801-0010-06 A Security Metric and Related Security Routing Algorithm Design Based on Tru

3、st ModelZhang Jing Hu Han-ying Tong Min Li Qing-rong(Department of Communication Engineering, Information Engineering University, Zhengzhou 450002, China Abstract : Network routing-based attacks have become more common and the attack consequence can be more serious than other traditional network att

4、acks. Most schemes on improving routing data security are applied to current routing protocols, e.g. digital signature, message authentication and intrusion detection, etc. But very few design guidelines on how to select a secure path to forward confidential user packets. By analyzing the security m

5、echanisms and security threats over network entities, trust degrees of communication links and routers are measured and trust relations are built among network routers. Based on the trust model, a novel SM (Security Metric is further defined and quantified as the routing criterion used in the propos

6、ed security routing algorithm SMRA (Security Metric based Routing Algorithm. Simulation results show that SMRA gets better performance than OSPF in terms of packets delivery ratio and routing security in unsafe networks.Key words: Routing security; Trust degree; Trust relation; Security Metric (SM1引

7、言目前,針對網(wǎng)絡(luò)路由的攻擊越來越普遍且后果嚴(yán)重,網(wǎng) 絡(luò)的路由安全問題受到廣泛關(guān)注。 IETF 專門成立 “ 路由協(xié)議 安 全 需 求 ” 工 作 組 1, 開 展 對 路 由 協(xié) 議 安 全 的 研 究 。 Chakrabarti 對路由攻擊進(jìn)行了分類,強(qiáng)調(diào)為保護(hù) Internet 的 底層結(jié)構(gòu)進(jìn)行體系結(jié)構(gòu),算法和協(xié)議的研究 2,并開發(fā)了一 種安全路由協(xié)議 SLIP ,有效檢測惡意的 LSA 源 3。 Murphy 等人提出用數(shù)字簽名機(jī)制保證洪泛 (floodLSAs的完整性 4; Cheung 為鏈路狀態(tài)路由設(shè)計(jì)了一種有效的消息驗(yàn)證機(jī)制 5, 還研究采用入侵檢測機(jī)制來保護(hù)路由結(jié)構(gòu) 6。國內(nèi)關(guān)

8、于完善 IOS 配置來抵御網(wǎng)絡(luò)攻擊的討論不勝枚舉,范煒瑋將物理網(wǎng) 絡(luò)劃分為虛擬信任路由域 VTRD ,并設(shè)計(jì)了一種基于 VTRD 的安全路由協(xié)議框架 7。這些方案的共同之處都是討論如何 增強(qiáng)路由結(jié)構(gòu)的安全性,以保護(hù)路由協(xié)議數(shù)據(jù)免受攻擊,如2006-05-29收到, 2007-01-26改回國家 863計(jì)劃重大課題 (2005AA121210和河南省杰出人才創(chuàng)新基 金 (0421000100資助課題 果把這些機(jī)制也用于應(yīng)用數(shù)據(jù)的安全傳輸,將帶來很高的 CPU 計(jì)算負(fù)載而難以實(shí)現(xiàn)。 Gupta 提出為 0SPFv38部署 IPSec 9, 通過驗(yàn)證、 重播檢測和加密等手段提高應(yīng)用數(shù)據(jù)的 防攻擊能力

9、和驗(yàn)證其傳輸?shù)耐暾浴⒄_性。但并不能保證 在內(nèi)部攻擊的情況下路由協(xié)議還能正確運(yùn)作,而且數(shù)據(jù)在網(wǎng) 絡(luò)傳輸過程中,不會躲避不安全的網(wǎng)絡(luò)設(shè)備,從而丟包或被 黑。總之,如何為安全敏感應(yīng)用 (如金融業(yè)務(wù) 選擇一條有效 的安全轉(zhuǎn)發(fā)路徑是值得研究的問題。本文提出把網(wǎng)絡(luò)的安全狀態(tài)視為路由選擇的度量之一。 事實(shí)上,安全度量尚且是一個(gè)模糊的概念和不成熟的研究方 向,業(yè)界尚未定義用于路由目的的安全度量和形成測量數(shù)據(jù) 安全的統(tǒng)一標(biāo)準(zhǔn),所以安全度量設(shè)計(jì)面臨很多困難,最大挑 戰(zhàn)是如何在實(shí)際網(wǎng)絡(luò)中測量該度量。本文通過分析通信鏈路 和路由節(jié)點(diǎn)的安全機(jī)制和安全威脅,建立基于鏈路和節(jié)點(diǎn)信 任度的信任模型,量化了一種新的安全度量

10、 SM (Security Metric ,并提出基于 SM 的安全路由算法 SMRA(Security Metric based Routing Algorithm, 最后通過仿真測試了 SM 和 SMRA 算法的性能。第 1期 張 靜等: 一種基于信任模型的安全度量及安全路由算法設(shè)計(jì) 112 信任模型和安全度量信任網(wǎng)絡(luò)是有向圖 (, G R E ,其中 R 是路由節(jié)點(diǎn)集, E 是通信鏈路集。 ij e E 表示鏈路 ij i j e r r = , i r 和 j r 是共 享鏈路 ij e 的鄰居節(jié)點(diǎn)。2.1 信任度,信任關(guān)系和安全度量通信鏈路和路由節(jié)點(diǎn)是兩種關(guān)鍵的網(wǎng)絡(luò)設(shè)備。節(jié)點(diǎn)r R

11、是否能安全地把數(shù)據(jù)包轉(zhuǎn)發(fā)給其鄰居依賴于兩方面:一方面是與 r 相連的鏈路的可靠性,另一方面是 r 的鄰居節(jié) 點(diǎn)的可靠性。因此,本文提出在鄰居節(jié)點(diǎn) (信任對 間建立信 任關(guān)系,為源和目的間的通信建立一條安全的信息存儲和包 轉(zhuǎn)發(fā)可信路徑。在 Huang 的信任框架 10中,假定鏈路是安 全的且節(jié)點(diǎn)間只有兩種信任關(guān)系,即 trusted 或 untrusted 。 考慮到這種信任理論的簡單性,本文對該信任模型進(jìn)行改 進(jìn),用信任度概念更精確地描述節(jié)點(diǎn)間的信任關(guān)系。定義 1 信任度 (Trust Degree, TD 信任度概念包含通 信鏈路信任度和路由節(jié)點(diǎn)信任度。 t 時(shí)刻,令 TD ( t ij e

12、 表示 i r 對連接其到鄰居節(jié)點(diǎn) j r 的鏈路 ij e 的信任程度; TD ( t ij r 表示i r 對通過 ij e 所連接的鄰居節(jié)點(diǎn) j r 的信任程度。定義 2 信任關(guān)系 (Trust Relation, TR 令 TRi r j r 表示 i r 與鄰居節(jié)點(diǎn) j r 的信任關(guān)系。 影響 TRi j r r 的主 要因素是 TD( ij e 及 TD( ij r ,所以 t 時(shí)刻的 TR t i j r r 可 形式化為12TR TD ( TD ( t i j t ij t ij r r d e d r =+(12, 0,1d d , 121d d +=其中與 TD 無關(guān)的權(quán)值

13、 1d , 2d 表明鏈路 TD 和節(jié)點(diǎn) TD 對于 信 任 對 間 信 任 關(guān) 系 建 立 的 重 要 程 度 。 TR 是 單 向 的 :TR TR t i j t j i r r r r , TR 隨網(wǎng)絡(luò)安全狀態(tài)變化而 動態(tài)更新:12TR TR t i j t i j r r r r , 12t t 。定義 3 安全度量 (Security Metric, SM 對鏈路 ij e E , 定義其凹性的安全度量為 SM( ij e 或 SM(, i j r r , 表示從 ir 轉(zhuǎn)發(fā)數(shù)據(jù)到 j r 的安全程度, SM 顯然也是單向的。這樣 G 中 h 跳路徑 01(, ,., h p r

14、r r =的安全度量為011211, SM( minSM(, ,SM(, ,.,SM(, minSM(,1i i i i p r r r r r r e i h = (1鄰居節(jié)點(diǎn)以及其間通信鏈路的可信度越高,節(jié)點(diǎn)間的信 任關(guān)系就越可靠,數(shù)據(jù)傳輸?shù)陌踩跃驮礁?。安全路徑其?shí) 就是沿信息傳輸路徑建立一條信任關(guān)系鏈,因此不妨設(shè)鏈路ij e 在 t 時(shí)刻的安全度量為12SM ( TR TD ( TD ( t ij t i j t ij t ij e r r d e d r = =+,12, 0,1d d , 121d d += (2在此, 1d , 2d 表明鏈路的安全狀態(tài)對于鏈路 TD 和節(jié)點(diǎn) TD

15、 的敏感程度。可見 SM 是隨網(wǎng)絡(luò)安全狀態(tài)變化而更新的動態(tài)變量,適用于路由計(jì)算。網(wǎng)絡(luò)設(shè)備傳輸和轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)所 面臨的安全威脅和所采取的安全機(jī)制是關(guān)系到鏈路安全度 量的兩個(gè)主要因素,所以在量化鏈路 TD 和節(jié)點(diǎn) TD 時(shí)應(yīng)加 以考慮。2.2 通信鏈路信任度的量化當(dāng)前有許多作用于 OSI 模型中鏈路層的安全機(jī)制 (表 1 , 可帶給 TD( ij e 不同的信任度增加值 IV( ij e 。令實(shí)施 (0 x x 種 安 全 機(jī) 制 的 鏈 路 ij e 的 最 大 信 任 度 為 max TD ( ij e =Label( 0IV ( x ij x e , 比如應(yīng)用 C , A , T 安全機(jī)制的

16、max TDC A T ( IV ( IV ( IV ( ij ij ij ij e e e e =+=0.1+0.2+0.3=0.6。 當(dāng) 然,無任何安全機(jī)制的鏈路信任度 max TD ( ij e =0,若動態(tài)增 減 (0 x' x' 種鏈路安全機(jī)制, max TD ( ij e 也會隨之增減相應(yīng) 的信任度:max max Label( 0TD ( TD ( IV ( ij ij x' ij x' e e e =±另一方面,通信鏈路傳輸可能面臨各種威脅 (如 MAC 洪 泛攻擊, ARP 攻擊等 ,有許多入侵 /誤用行為檢測和反應(yīng)技 術(shù) 6可發(fā)現(xiàn)攻

17、擊。在定長周期 t 內(nèi),若檢測到 次鏈路攻 擊 , TD( ij e 應(yīng) 該 呈 指 數(shù) 下 降 (信 任 度 失 去 容 易 :1TD ( TD ( 2DV( t ij t t ij ij e e e = (1 ,直到 TD( ij e0=為止;反之,若 t 內(nèi)無鏈路攻擊,曾遭到攻擊而失去 一些信任度的 TD( ij e 則線性增加一個(gè)變化值 CV( ij e (信任 度獲得難 :TD ( TD ( CV( t ij t t ij ij e e e =+,同時(shí)重置攻擊 次數(shù) 0=,直到 TD( ij e 恢復(fù)到 ij e 被攻擊前的最大信任度 為止:max TD( TD ( ij ij e

18、e =。表 1 通信鏈路的安全機(jī)制及 IV( ij e 舉例安全機(jī)制 標(biāo)識協(xié)議舉例IV( e 舉例 (可配置 加密 C DES 、 IDEA 、 RSA 等 0.1 認(rèn)證 APAP 、 CHAP 、數(shù)字簽名、MIT Kerberos等 0.2隧道 T PPTP 、 L2TP 等 0.32.3 路由節(jié)點(diǎn)信任度的量化j r 不 僅 是 i r 的 鄰 居 , 也 可 能 是 網(wǎng) 絡(luò) 中 其 它 節(jié) 點(diǎn)k r R (k i j , kj e E 的鄰居。 因此, 路由節(jié)點(diǎn)信任度TD( ij r 的量化應(yīng)包含兩部分:一是 i r 主動觀測得到的對 j r 的直接信任度 DTD( ij r , 二是 i

19、 r 通過路由信息交換, 從其它 節(jié)點(diǎn) k r 獲得的對 j r 的間接信任度 ITD( kj r ,即12TD ( DTD ( ITD ( t ij t ij t kj r w r w r =+(k i j , ij e , kj e E , 1w , 2w 0,1, 121w w +=其中權(quán)值 1w , 2w 表示 DTD 和 ITD 在量化 TD( ij r 時(shí)所占的 比例,為防止敵人惡意詆毀,一般取 1w >2w 。(1直接信任度測量 i r 對 j r 直接信任度 DTD( ij r 的測 量也是依據(jù)路由結(jié)構(gòu)所面臨的安全威脅及路由協(xié)議運(yùn)行的 安全機(jī)制。 認(rèn)證 (authenti

20、cation和加密 (confidentiality是目 前主要的兩種路由信息安全機(jī)制 (表 2 ,二者都可提供信息級 (IL或包級 (PL的安全服務(wù) 10。 j r 采用不同的安全機(jī)制,可12 電 子 與 信 息 學(xué) 報(bào) 第 30卷 帶給 DTD( ij r 不同的信任度增加值 IV( ij r 。令 i r 對實(shí)施 x (x 0 種安全機(jī)制的節(jié)點(diǎn) j r 的最大直接信任度為表 2 路由節(jié)點(diǎn)的安全機(jī)制及 ij r IV( 舉例安全機(jī)制標(biāo)識 (Label協(xié)議舉例 IV( r ij 舉例(可配置 P 2P APLOSPFv2 和 OSPFv30.1 包級APL N/A 0.2 P 2P AIL

21、N/A 0.3 認(rèn)證信息級 E 2E AIL帶數(shù)字簽名的 OSPF (20.4包級CPL OSPFv3 0.2加密信息級CIL N/A 0.4 P2P(point to point:點(diǎn)到點(diǎn)。E2E(end to end:端到端,提供比 P2P 更強(qiáng)的保護(hù)。maxLabel( 0DTD( IV ( ij x ij x r r = ,比如應(yīng)用 P 2P APL 和 CPL安 全 機(jī) 制 的 P 2P maxAPL CPL DTD( IV ( IV ( ij ij ij r r r =+=0. 1+0.2=0.3。如果 j r 無任何安全機(jī)制,則 max DTD ( ij r =0;如 果 j r

22、動態(tài)增減 (0 x' x' 種安全機(jī)制, max DTD ( ij r 會隨之增 減:max max Label(' ' 0DTD ( DTD ( IV ( ij ij x ij x r r r =± 。另一方面,網(wǎng)絡(luò)路由攻擊 (包括外部攻擊和內(nèi)部攻擊 10 普遍且后果嚴(yán)重。通過 IDS(如 Ji-Nao 11 等手段可以檢測和 隔離路由攻擊。在定長周期 t 內(nèi),若檢測到 次對 j r 的攻 擊 , DTD( ij r 呈 指 數(shù) 下 降 :DTD ( DTD ( t ij t t ij r r =12DV( ij r (1 ,直到 DTD( 0ij

23、r =。若 t 內(nèi)無路由 攻擊, 曾失去一些信任度的 DTD( ij r 則線性增加一個(gè)變化值CV( ij r , 同時(shí)重置攻擊次數(shù) 0=, 直到 DTD( ij r 恢復(fù)到 jr 被攻擊前的最大信任度為止:max DTD( DTD ( ij ij r r =。 (2 間接信任度測量 i r 對 j r 間接信任度 ITD( kj r 的測量是通過路由更新信息的洪泛。 t 時(shí)刻,當(dāng) i r 得到 k r 發(fā)出的TD ( t' kj r , t' t <,就更新其 ITD ( t kj r :|1, (TD( TD ( TD (ITD ( , |R t' kj t&

24、#39;ij t' ik k k i jt kj r r r r R = ×=' t t < 圖 1 信任模型及安全度量第 1期 張 靜等: 一種基于信任模型的安全度量及安全路由算法設(shè)計(jì) 13其中 |R 是 G 中節(jié)點(diǎn)個(gè)數(shù)。 顯然, ITD( kj r 與 i r 對 k r 的 信任程度 TD( ik r 有關(guān), TD( ik r 越高, ITD( kj r 的更新程度 越大,說明在量化 TD( ij r 時(shí), i r 對其它節(jié)點(diǎn)觀測意見的采 納程度,取決于 i r 對這些節(jié)點(diǎn)的信任程度。通過以上對通信鏈路和路由節(jié)點(diǎn)信任度的測量,為路由 節(jié)點(diǎn)間建立了信任關(guān)系,

25、 得到一個(gè)量化的信任模型和鏈路 ij e 在 t 時(shí)刻的安全度量 SM ( t ij e (圖 1 。3 SMRA算法安全度量 SM 可以和其它路由度量 (如帶寬、 延時(shí) 共同應(yīng)用于多約束的 QoS 路由機(jī)制 (如 QOSPF12。為方便討論, 本文改進(jìn)原 OSPF 算法 13,僅以 SM 為選路標(biāo)準(zhǔn)而得到SMRA 安全路由算法 (圖 2 :根據(jù)式 (1中路徑安全度量的定 義, SMRA 定義比較函數(shù) FindSecureNode ,輸入是從源 s 到 兩個(gè)備選下一跳 1v , 2v 的路徑安全度量 1sm v 和 2sm v ,輸 出是從 1v , 2v 中選出的較安全的下一跳。 SMRA

26、仍然基于Dijkstras 算法, 由于 FindSecureNode 函數(shù)只是增加了一個(gè)常 量因子, 所以 SMRA 的計(jì)算復(fù)雜度與 Dijkstras 算法相同, 即 (|log |O E R R +。 圖 2 SMRA 算法偽碼4 仿真及性能分析本節(jié)對應(yīng)用 SM 的 SMRA 算法與傳統(tǒng) OSPF 算法進(jìn)行 了仿真和性能比較。令 SMRA-1和 SMRA-2分別表示不含 和包含間接信任度測量部分。仿真以 Waxman 模型 14隨機(jī) 生成拓?fù)渚W(wǎng)絡(luò) G :在矩形坐標(biāo)區(qū)域內(nèi)隨機(jī)分布 n 個(gè)路由節(jié)點(diǎn),任意節(jié)點(diǎn)對間有鏈路的概率為 max (, (, exp d i j P i j d = , 其

27、中 (, d i j 是 i r , j r 之間的 Euclid 距離, max d 是節(jié)點(diǎn)間可能 的最大距離, 控制長短邊的比例, 控制節(jié)點(diǎn)的度。 G 中所有源和目的對間最多有 2PN( nn C =條路徑。令初始時(shí)刻 (0 t =, max 0TD ( TD ( ij ij e e =和 max 0DTD ( DTD ij r =( ij r 在 區(qū) 間 0,1內(nèi) 均 勻 分 布 , 那 么 在 SMRA-1中 , 0TD ( ij r =0DTD ( ij r ; 在 SMRA-2中, 令 1w =0.8, 2w =0.2, 0ITD ( ij r =0,則 0TD ( ij r =0

28、.8×0DTD ( ij r +0.2×0ITD ( ij r=0.80DTD ( ij r 。如果令式 (2中的權(quán)值 1d , 2d 取相同值 0.5, 即得到反映網(wǎng)絡(luò)初始安全狀態(tài)的在區(qū)間 0,1內(nèi)均勻分布的安 全度量 0SM ( ij e 。總仿真時(shí)間 T =100s,每隔 10s 同時(shí)觸發(fā) 一次鏈路攻擊和節(jié)點(diǎn)攻擊, 隨機(jī)選擇攻擊目標(biāo) (一個(gè)目標(biāo)可以 被攻擊多次 并更新 TD( ij e 和 TD( ij r ,選擇下列參數(shù)來評價(jià) SMRA 算法和 OSPF 算法的性能。(1 網(wǎng)絡(luò)安全狀態(tài) SS ( t G n t 時(shí)刻 (0 t T , n 節(jié) 點(diǎn)的 G 中所有鏈路的

29、平均安全度量。 SS ( t G n 隨攻擊的隨 機(jī)發(fā)生而動態(tài)變化。( 12( SS ( SM ( ( |(TD ( TD ( ( |ij ij t t ij e E G t ij t ij e E G G n e E G d e d r E G = =+ 14 電 子 與 信 息 學(xué) 報(bào) 第 30卷(2 網(wǎng)絡(luò)丟包率 DR ( t G n t 時(shí)刻 (0 t T , n 節(jié) 點(diǎn)的 G 中被攻擊鏈路和節(jié)點(diǎn)的丟包數(shù)與網(wǎng)絡(luò)傳輸數(shù)據(jù)包總 量的比率。設(shè)任意路徑 (1,PN(k p G k n 在 t 時(shí)刻的安 全度量為 SM ( t k p ,所有路徑的發(fā)包量均為 C ,那么:1,PN(1,PN(DR

30、( 1(SM( /(PN( 1SM ( t t k k n t k k n G n p C n C p n = ×× = 實(shí)驗(yàn) 1 主要觀察網(wǎng)絡(luò) G 的 SS ( t G n 動態(tài)變化情況。 圖 3a(1, 3b(1, 3c(1分別以 “ ” 和 “ ” 表示 10次隨機(jī)攻擊 的鏈路數(shù)和節(jié)點(diǎn)數(shù)。圖 3a(2, 3b(2, 3c(2顯示,隨著被攻 擊目標(biāo) (鏈路或節(jié)點(diǎn) 數(shù)量的增減, SS ( t G n 會隨之伏起。 這 是因?yàn)楸还裟繕?biāo)的 TD 值呈指數(shù)下降,當(dāng)被攻擊目標(biāo)數(shù)量 增多時(shí),涉及被攻擊目標(biāo) TD 的鏈路 SM 隨之減少,自然引起 網(wǎng)絡(luò)安全狀態(tài)的迅速下降; 相反,

31、當(dāng)被攻擊目標(biāo)數(shù)量減少時(shí), 曾被攻擊過,而在本次攻擊中幸免的目標(biāo) TD 值線性上升, 涉及這些目標(biāo) TD 的鏈路 SM 也隨之增加,因此網(wǎng)絡(luò)安全狀態(tài) 會逐漸回升?？傮w來看,隨著仿真的推移和網(wǎng)絡(luò)不斷面臨攻 擊,網(wǎng)絡(luò)的安全狀態(tài) 100SS ( G n 比 0SS ( G n 明顯下降約29%,說明路由攻擊對網(wǎng)絡(luò)安全性所造成的影響。實(shí)驗(yàn) 2 主要比較在有攻擊的網(wǎng)絡(luò) G 中, SMRA 和OSPF 的丟包性能。圖 3a(3, 3b(3, 3c(3顯示, OSPF 和 SMRA 的 DR ( t G n 都隨著網(wǎng)絡(luò)安全狀態(tài)的伏起而升降, 而 且隨著攻擊次數(shù)的逐漸增加,總體都呈上升趨勢,說明網(wǎng)絡(luò) 丟包率與網(wǎng)

32、絡(luò)的安全狀態(tài)緊密相關(guān)。 由于 OSPF 路由計(jì)算時(shí) 并不考慮鏈路的安全度量, 所以沿 OSPF 路徑傳輸數(shù)據(jù)時(shí)不能主動繞開不良節(jié)點(diǎn)和攻陷鏈路。 相反, SMRA 路由時(shí)盡量 躲避被攻擊目標(biāo),因此其網(wǎng)絡(luò)丟包率明顯低于 OSPF 網(wǎng)絡(luò)。 在 仿 真 時(shí) 間 T 內(nèi) , 定 義 0,SMRA DR ( T G n 低 于 0,DR T OSPF ( G n 的平均百分比為OSPF SMRA 0OSPF 1(DR( DR (100%DR (t t t T t G n G n T G n × , 圖 3a(3, 3b(3, 3c(3顯示, 0,SMRA DR (20T G 低出0,OSPF D

33、R (20T G 約 10%, 0,SMRA DR (60T G 低 出0,OSPF DR (60T G 約 36%, 0,SMRA DR (100T G 低 出 0,OSPF DR (100T G 約 53%。可見網(wǎng)絡(luò)規(guī)模越大, SMRA 比 OSPF 的丟包率性能更優(yōu), 說明 SMRA 對于大型網(wǎng)絡(luò)的適應(yīng) 性和可擴(kuò)展性。實(shí)驗(yàn) 3 主要比較 SMRA-1和 SMRA-2的網(wǎng)絡(luò)丟包性 能。圖 3a(3, 3b(3, 3c(3顯示, SMRA-2的丟包率低于SMRA-1。可見對某路由節(jié)點(diǎn)的直接信任度測量有主觀片面 性,而參考其它節(jié)點(diǎn)觀測意見的間接信任度測量可增加其客 觀性和準(zhǔn)確度。實(shí)驗(yàn) 4 任意

34、時(shí)刻 t ,令 ave TD ( r t 表示平均一個(gè)被攻 擊節(jié)點(diǎn)的信任度, ave UT ( r t 表示平均一個(gè)被攻擊節(jié)點(diǎn)在所 有路徑中的使用次數(shù),那么:ave ATKset( TD ( TD ( ATKset( |,t r t r t r t = 0t T ave ATKset( 1,PN(UT ( ( ATKset( |k p r t k n r t r t t = 0t T 圖 3 不同規(guī)模網(wǎng)絡(luò)中,鏈路和節(jié)點(diǎn)被隨機(jī)攻擊的情況,網(wǎng)絡(luò)安全狀態(tài)的動態(tài)變化情況以及網(wǎng)絡(luò)的丟包率趨勢第1期 張 靜等： 一種基于信任模型的安全度量及安全路由算法設(shè)計(jì) html.charters rpsec-char

35、ter.html, 2003. 2 3 15 其中 t 時(shí)刻， ATKset(t 表示隨機(jī)攻擊的節(jié)點(diǎn)集合， TDt (r 表示攻擊發(fā)生后節(jié)點(diǎn) r ATKset(t 的信任度， pk (r (t 表示 被攻擊節(jié)點(diǎn) r ATKset(t 在路徑 pk G (k 1, PN(n 中 的出現(xiàn)次數(shù)。采樣 10 次( t =10s,20s,100s節(jié)點(diǎn)和鏈路攻 擊，分別得到 TDave (r (t 和 UTave (r (t 的變化情況，以及 TDave (e(t 和 UTave (e(t 的 變 化 情 況 。 圖 4(a 顯 示 ， UTave (r (t 與 TDave (r (t 的變化趨勢基本一

36、致。 說明當(dāng)某個(gè) 4 Chakrabarti A and Manimaran G. Internet infrastructure security: A taxonomy. IEEE Network, 2002, 16(6: 13-21. Chakrabarti A and Manimaran G. A scalable method for router attack detection and location in link state routing. DCNL Tech. Report, 2002. Murphy S L and Badger M R. Digital signat

37、ure protection of the OSPF routing protocol. In Internet Society Symposium on Network and Distributed Systems Security, San Diego, CA, USA, 1996: 93-102. SMRA 網(wǎng)絡(luò)對該節(jié) 頻受攻擊的節(jié)點(diǎn)的信任度呈指數(shù)下降時(shí)， 點(diǎn)的使用率會隨之迅速降低，而經(jīng)過一段安全周期，該節(jié)點(diǎn) 的信任度開始恢復(fù)時(shí)， SMRA 網(wǎng)絡(luò)對該節(jié)點(diǎn)的使用率也會隨 之遞增。圖 4(b中關(guān)于通信鏈路的 TDave (e(t ， UTave (e(t 的情況也是類似的。這說明應(yīng)用 SM

38、RA 算法的網(wǎng)絡(luò)提高了 網(wǎng)絡(luò)防御攻擊，安全傳輸數(shù)據(jù)的能力。 6 5 Cheung S. An efficient message authentication scheme for link state routing. In 13th Annual. Computer Security Applications Conference, San Diego, CA, USA, 1997: 90-98. Cheung S and Levitt K N. Protecting routing infrastructure from denial of service using cooperati

39、ve intrusion detection. In New Security Paradigms Workshop, Cumbria, UK, 1997: 23-26. 7 范煒瑋, 蘇金樹. 路由協(xié)議安全性分析與安全路由協(xié)議域研 究. 武漢大學(xué)學(xué)報(bào)(理學(xué)版, 2004, 50(S1: 119-122. Fan Wei-wei, and Su Jin-shu. The study of routing protocol security and secure routing protocol domain. J. Wuhan Univ. (Nat. Sci. Ed., 2004, 50(S1

40、: 119-122. 8 9 10 Gupta M and Melam N. Authentication/confidentiality for OSPFv3. Internet draft, 2002. Kent S and Atkinson R. Security architecture for the internet protocol. RFC 2401, 1998. Huang Di-Jiang, Medhi Deep, and Beard Cory. Trust analysis of link state network routing. In Proceedings of the 2nd International Workshop on Trusted Internet (TIW, Hyderabad, India, 2003: 201-211. 圖 4 平均存在一個(gè)被攻擊節(jié)點(diǎn)或鏈路時(shí)，其信任度 和使用次數(shù)的變化情況 11 Wang Fei-yi, Gon