【正文】 根據(jù)節(jié)點信任的可信、不確定、不可信三種級別，在節(jié)點信任值T的論域[0,1]上劃分模糊子集TT2和T3，如圖15所示，建立隸屬度函數(shù)μ1(t)、μ2(t)和μ3(t)，且隸屬度函數(shù)μ1(t)、μ2(t)和μ3(t)需滿足μ1(t)+μ2(t)+μ3(t)=1。因此，信任值可以定義為如下向量形式：(m({T}), m({T,T}), m({T}))。在證據(jù)沖突不大的情況下，經(jīng)過證據(jù)組合，不確定命題的基本置信度將迅速減小，確定性命題間的基本置信度差異迅速增大，命題真假的不確定測度快速地下降，通過一定的證據(jù)決策方法可以很方便的實現(xiàn)問題的判決。m(A)也稱為命題A的質(zhì)量函數(shù)或mass函數(shù)。(5)證據(jù)理論不但允許人們將信度賦予假設(shè)空間的單元素子集，而且還能賦予它的多元素子集，類似于人類在各級抽象層次上的證據(jù)收集過程。DS證據(jù)理論具有自身獨特的一些優(yōu)勢：(1)具有比較強的理論基礎(chǔ)，既能處理隨機性所導(dǎo)致的不確定性，也能處理模糊性導(dǎo)致的不確定性。例如，人們在現(xiàn)實中常常會劃分“完全信任”、“非常信任”、“很信任”等不同等級的信任，并且通常不會簡單地斷定是否應(yīng)該“非常信任”某主體，而是認(rèn)為應(yīng)當(dāng)在多大程度上“非常信任”該主體，在許多情況下，人們甚至?xí)J(rèn)為既可以一定程度“非常信任”某主體，同時也可以另一程度“很信任”該主體。對于給定的信任范圍，通過比較節(jié)點信任值的大小，能夠有效識別惡意節(jié)點，并通過相應(yīng)策略，降低惡意節(jié)點的危害程度，提高網(wǎng)絡(luò)的安全性。如圖10所示：測試平臺由傳感器節(jié)點、節(jié)點性能測試儀和監(jiān)管主機三部分組成；16個節(jié)點隨機部署，監(jiān)測指定區(qū)域內(nèi)溫度和濕度的變化情況，所有節(jié)點分為兩個簇，簇頭節(jié)點收集簇內(nèi)信息并傳輸至匯聚節(jié)點；每個節(jié)點為鄰居節(jié)點建立一個信任表，記錄信任值的變化情況；2個節(jié)點性能測試儀并聯(lián)工作，以有線的方式讀取節(jié)點本地存儲的信任值、剩余能量、收發(fā)包情況等，并上傳至監(jiān)管主機；只需運行相應(yīng)的監(jiān)控軟件，即可得到節(jié)點信任值的實時變化情況。圖8 黑洞攻擊策略下惡意節(jié)點和正常節(jié)點的信任值圖9 自私行為策略下惡意節(jié)點和正常節(jié)點的信任值分析可知，隨著證據(jù)的積累，所有節(jié)點的信任值都隨著仿真時間的進行而增加，最終趨于穩(wěn)定狀態(tài)。以下面記錄為例：圖7 Trace文件具體格式f _113_ RTR 78 cbr 532 [13a 71 28 800] [9:0 120:0 28 120] [8] 2 2，節(jié)點113轉(zhuǎn)發(fā)了一個大小為532B的cbr數(shù)據(jù)分組，分組的ID為78，源節(jié)點ID為9，源節(jié)點端口號為0，目的節(jié)點ID為120，目的節(jié)點端口號為0。某個時刻的網(wǎng)絡(luò)模擬狀況如圖6所示。假設(shè)每個節(jié)點都監(jiān)測到了一個給定的事件，即所有節(jié)點都綁定一個流量發(fā)生器，通過自組織多跳轉(zhuǎn)發(fā)的方式，使用AODV路由協(xié)議向位于監(jiān)測區(qū)域邊緣的匯聚節(jié)點發(fā)送數(shù)據(jù)分組，流量類型為cbr，速率為1 packet/s，分組大小為512B。假設(shè)網(wǎng)絡(luò)中的惡意節(jié)點數(shù)量少于正常節(jié)點，定義任意推薦信任值的偏離程度為 ()偏離程度越大，表示該推薦信任值與其它推薦信任值的平均距離越遠，發(fā)生惡意攻擊行為的可能越高。根據(jù)信任傳遞衰減原則，推薦信任值為 ()其中k為i與j兩者的共同鄰居節(jié)點。拒絕包的格式為 （）在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不變或變化較小的情況下，為節(jié)約請求包的收發(fā)能耗和網(wǎng)絡(luò)資源，可以采用定期匯報機制。首先，評估主體i向其鄰居節(jié)點廣播推薦信任值的請求包，請求包的格式為 （）其中，為請求包的身份標(biāo)識，類似于時間戳，用于抵抗重放攻擊，和分別為評估主體和評估客體的全網(wǎng)統(tǒng)一身份標(biāo)識，域為該請求包的有效時間。設(shè)評估主體i存儲的前一時間段的直接信任值為HDTi,j，則直接信任值的更新過程為 （）其中，DTi,j為更新后的直接信任值，a為時間衰減函數(shù)。為降低低能量節(jié)點的網(wǎng)絡(luò)參與程度，適當(dāng)延長網(wǎng)絡(luò)生命周期，可以將剩余能量作為信任值的重要參考因素，則能量因子為： ()其中，為評估客體j的剩余能量，為評估客體j的初始化能量。一致性因子: ()其中，為監(jiān)測結(jié)果一致的數(shù)據(jù)包數(shù)量，為監(jiān)測結(jié)果不一致的數(shù)據(jù)包數(shù)量；（4）轉(zhuǎn)發(fā)率因子：無線傳感器網(wǎng)絡(luò)的節(jié)點無法直接和基站通信，需要鄰居節(jié)點進行多跳轉(zhuǎn)發(fā)。假設(shè)評估主體i對評估客體j進行信任評估，針對傳感器節(jié)點的行為特性，從通信狀況、數(shù)據(jù)內(nèi)容和剩余能量等方面，對影響信任值的各種因素進行定量分析[40, 41]。惡意節(jié)點對一部分節(jié)點表現(xiàn)良好，對另一部分節(jié)點執(zhí)行惡意攻擊，以降低被發(fā)現(xiàn)的可能。當(dāng)在信任評估機制中考慮推薦信任值時，評估主體有可能收到惡意推薦節(jié)點發(fā)送的虛假信任值，如惡意節(jié)點給正常的節(jié)點以較低的推薦信任值，或者惡意節(jié)點間共謀，互相給予對方以較高的推薦信任值，使得最終的信任評估結(jié)果不能反映真實的信任狀況。在信任表的建立階段，由于缺少關(guān)于節(jié)點信任的先驗知識，并且為防止惡意節(jié)點偽造新的身份重新加入網(wǎng)絡(luò)以洗刷其惡劣的信任紀(jì)錄，采用悲觀化的信任初始化策略對信任評估表中的直接信任值、推薦信任值和總體信任值進行初始化。 分布式信任評估機制在無線傳感器網(wǎng)絡(luò)中，信任是一種實體相互之間的主觀行為，它取決于主體對客體的觀察以及第三方的推薦，并隨著客體行為的變化而改變。（2）完整性。攻擊者通過惡意節(jié)點可以對無線傳感器網(wǎng)絡(luò)的協(xié)議棧進行攻擊，也可以對傳輸?shù)臄?shù)據(jù)進行攻擊，威脅數(shù)據(jù)的機密性、完整性和新鮮性[38]：（1）機密性。而更為常見的形式是由兩個惡意節(jié)點合謀，利用惡意節(jié)點才能訪問到的帶外信道來中繼報文。同時也為其他攻擊方式（如選擇性轉(zhuǎn)發(fā)）提供了方便。這種攻擊方式降低了諸如分布式存儲路由、分散路由和多路徑路由等具有容錯功能的路由方案的容錯效果，并對地理路由協(xié)議產(chǎn)生重大威脅。惡意節(jié)點接收到數(shù)據(jù)包后，拒絕進一步轉(zhuǎn)發(fā)所有數(shù)據(jù)包，使得網(wǎng)絡(luò)中的目的節(jié)點不能獲得源節(jié)點的相關(guān)信息，這種攻擊形式使得惡意節(jié)點如同一個黑洞，丟棄掉所有接收的轉(zhuǎn)發(fā)數(shù)據(jù)包。惡意節(jié)點記錄合法的控制包或數(shù)據(jù)包，在適當(dāng)?shù)臅r候重新發(fā)送相關(guān)消息，消耗接收者的能量或影響感知結(jié)果。常見的對路由層的攻擊形式有[3437]:（1）拒絕服務(wù)（denial of service）攻擊。隨著傳感網(wǎng)基礎(chǔ)研究的逐漸成熟，相關(guān)應(yīng)用的逐步拓展，信任評估機制逐漸成為當(dāng)前的研究熱點。另一方面，節(jié)點傳輸信道的沖突、不穩(wěn)定、不可靠等特性容易造成數(shù)據(jù)包的丟失和測量結(jié)果不確定的增加。傳感器節(jié)點的計算能力、內(nèi)存、通信帶寬、電池容量等有限，無法運行復(fù)雜的加密算法，只能采用基于對稱密碼算法的安全機制。在成簇過程中，通過節(jié)點間的相互協(xié)作，排除惡意節(jié)點，建立安全可信的層次路由。根據(jù)節(jié)點觀測的各種信任因子，評估主體結(jié)合本地歷史記錄和時間的上下文關(guān)系，動態(tài)評估鄰居節(jié)點的直接信任值；采用地理位置信息確定推薦節(jié)點，以建立評估主體與客體間的信任推薦結(jié)構(gòu)；分析了多值信任推薦過程中的條件傳遞性和動態(tài)綜合性；使用DS證據(jù)理論，綜合直接和推薦信任值，計算客體的總體信任值。分析了無線傳感器網(wǎng)絡(luò)的主要安全威脅，分析了無線傳感器網(wǎng)絡(luò)分布式信任評估機制及其所面臨的主要攻擊方式，針對節(jié)點的通信、數(shù)據(jù)內(nèi)容、能量等方面的網(wǎng)絡(luò)行為，定義了多種信任因子。 論文內(nèi)容及整體結(jié)構(gòu)論文的主要研究內(nèi)容分為兩部分：(1)確定無線傳感器網(wǎng)絡(luò)節(jié)點間的信任關(guān)系，以信任值的計算為核心，建立一個適用于無線傳感器網(wǎng)絡(luò)的信任評估模型，識別惡意節(jié)點、自私節(jié)點和故障節(jié)點，解決網(wǎng)絡(luò)內(nèi)部攻擊，并為上層應(yīng)用提供相關(guān)信任服務(wù)；(2)在節(jié)點安全可信的基礎(chǔ)上，提出合理的路由主干節(jié)點選舉算法和成簇控制協(xié)議，建立一個安全可信高效的層次路由算法。Tanachaiwiwat等人提出了TRANS，在基于地理信息路由的無線傳感器網(wǎng)絡(luò)中，查找并標(biāo)識出可疑位置，將可疑位置的節(jié)點加入黑名單并廣播給所有節(jié)點，實現(xiàn)基于信任的安全路由[29]。Zhan等提出了基于信任的平面路由協(xié)議TARF，采用信任值和能量代價進行路由決策，防止惡意節(jié)點重放路由信息而誤導(dǎo)網(wǎng)絡(luò)流量[25]。它定義了基于普適環(huán)境的域間動態(tài)信任模型，主要采用證據(jù)理論方法進行建模；該方法對惡意行為進行嚴(yán)格懲罰，體現(xiàn)信任“得到困難、失之容易”的特性，具有較好的計算收斂性和可擴展性；但是該方法采用算術(shù)平均獲得間接信任值，沒有考慮信任的模糊性、主觀性和不確定性[22]。葉阿勇等人提出了一個用于度量服務(wù)間信任關(guān)系的移動自組織網(wǎng)信任評估模型，該模型采用模糊貼近度來量化描述推薦，采用證據(jù)理論來評價服務(wù)信任和綜合多方推薦的經(jīng)驗，但是該模型的信任計算過程過于理想，沒有考慮信任傳遞過程中的信息變化及信任綜合過程中可能的策略攻擊問題[19]。然而，部分信任評估方法存在以下一些問題：(1）難以充分表達傳感網(wǎng)節(jié)點信任的主觀性、不確定性、傳遞性及動態(tài)性；（2）忽視了鄰居節(jié)點間的推薦信任值；（3）忽視了針對信任機制本身的惡意攻擊，如毀謗攻擊、共謀攻擊、信任補償以及策略攻擊等；（4）忽視了特定場景下信任內(nèi)容的上下文相關(guān)性；（5）缺乏必要的信任決策方法和風(fēng)險計算模型。吳鵬等人提出了一種基于概率統(tǒng)計方法的信任評價模型，該模型借鑒人類社會中主觀信任關(guān)系的概念，基于Beta分布信息，利用概率統(tǒng)計方法分別計算節(jié)點的直接信任和推薦信任，并通過直接經(jīng)驗的重要程度，區(qū)分反饋信息及其推薦者的可信度，以提高信任評估模型的有效性[13]。Hur等人將網(wǎng)絡(luò)劃分為多個柵格，通過檢查柵格內(nèi)感知數(shù)據(jù)的一致性來計算鄰居節(jié)點的信任值，以識別非法節(jié)點和濾除虛假信息[9]。如可以將信任評估用于安全路由，在信息轉(zhuǎn)發(fā)時繞過惡意節(jié)點；可以將信任評估用于安全信息融合，將節(jié)點的信任值作為其感知數(shù)據(jù)的權(quán)重進行融合；可以將信任評估用于簇頭選舉，選舉信任值最大的節(jié)點為簇頭。信任值的橫向合成，主要包括評估主體本地獲取的各類信任因子的合成，來自第三方節(jié)點的推薦信任值的合成，以及直接信任信息和推薦信任信息的合成。信任值初始化與信任預(yù)定義直接相關(guān)，一般包括兩種方式：全部節(jié)點統(tǒng)一初始化為相同信任值；或者通過一個初始化階段進行節(jié)點信任值初始化。(e) 其它方面根據(jù)信任管理系統(tǒng)設(shè)計目標(biāo)的不同，很多因素都可以作為信任的評估依據(jù)，如節(jié)點能量、節(jié)點可用性等。由于節(jié)點密集分布，節(jié)點不可避免的會采集到冗余數(shù)據(jù)，在感知數(shù)據(jù)的上傳過程中，為減少網(wǎng)絡(luò)在數(shù)據(jù)傳輸、存儲和處理方面的資源消耗，通常采用數(shù)據(jù)融合技術(shù)。(b) 密碼學(xué)在大部分應(yīng)用中，信任評估機制是基于密碼學(xué)安全機制的補充手段，用以提高網(wǎng)絡(luò)的安全性。自私節(jié)點也可能會因為降低能耗而減少網(wǎng)絡(luò)參與程度，如丟棄需要轉(zhuǎn)發(fā)的數(shù)據(jù)包、降低數(shù)據(jù)包的發(fā)送數(shù)量等。圖4 無線傳感器網(wǎng)絡(luò)信任評估框架（1） 信任因子信任因子是信任的主要組成要素，和信任的定義直接相關(guān)，是信任評估框架設(shè)計的基本依據(jù)。（6）異步性，是指實體之間的對信任關(guān)系的評估結(jié)果具有時間異步性。（3）傳遞性：A信任B，B信任C，那么A通過B的推薦也可以信任C。信任值（Trust Value）是信任的定量表示，根據(jù)獲得方式的不同，信任值分為直接信任值（Direct Trust Value）、間接信任值（Remendation Trust Value）以及經(jīng)過各種信任合成方法得到的總體信任值（Overall Trust Value）。典型的層次路由協(xié)議有：LEACH（low energy adaptive clustering hierarchy）路由協(xié)議、PEGASIS（powerefficient gathering in sensor information systems）路由協(xié)議、HEED（hybrid energyefficient distributed clustering）路由協(xié)議、TEEN（thresold sensitive energy efficient sensor network protocol）路由協(xié)議等 無線傳感器網(wǎng)絡(luò)信任評估機制 信任的基本概念在社會活動中，人們在交易之前通常會根據(jù)雙方直接交易的歷史記錄或者朋友的推薦信息，對交易活動的可靠性進行評價，依據(jù)評價結(jié)果決定是否進行交易。（2）層次路由協(xié)議在層次型結(jié)構(gòu)的網(wǎng)絡(luò)中，具有某種關(guān)聯(lián)的網(wǎng)絡(luò)節(jié)點組成簇。它們通過局部操作和信息反饋來生成路由，原則上不存在瓶頸問題。許多應(yīng)用中如視頻應(yīng)用，需要路由協(xié)議提供滿足要求的服務(wù)質(zhì)量。路由協(xié)議應(yīng)該快速收斂，以適應(yīng)網(wǎng)絡(luò)拓?fù)涞膭討B(tài)變化，減少通信協(xié)議開銷，提高消息傳輸?shù)男?。路由協(xié)議能夠適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的快速變化，并保證節(jié)點連通性。 無線傳感器網(wǎng)絡(luò)路由協(xié)議的設(shè)計無線傳感器網(wǎng)絡(luò)路由協(xié)議的設(shè)計會受到網(wǎng)絡(luò)自身特點、數(shù)據(jù)融合技術(shù)、節(jié)點定位技術(shù)等多種因素的的影響，也必須考慮傳感器節(jié)點的工作環(huán)境、電池能量、通信范圍、計算能力和網(wǎng)絡(luò)帶寬等因素。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)會因為節(jié)點損壞、移動、加入和退出而頻繁變化。（4） 應(yīng)用相關(guān)。傳感器節(jié)點沒有統(tǒng)一的身份標(biāo)識，節(jié)點間采用多跳通信方式。這些特點使得傳統(tǒng)網(wǎng)絡(luò)路由協(xié)議不能用于無線傳感器網(wǎng)絡(luò)。（8）任務(wù)管理平臺在一個給定的區(qū)域內(nèi)平衡和調(diào)度監(jiān)測任務(wù)。因此傳輸層技術(shù)必須實現(xiàn)流量和擁塞控制，以及無差錯、有序、無丟失、無重復(fù)的數(shù)據(jù)傳輸功能。其任務(wù)是為上一層提供數(shù)據(jù)傳輸?shù)奈锢磉B接服務(wù)。無線通信模塊由網(wǎng)絡(luò)、MAC和收發(fā)器構(gòu)成，負(fù)責(zé)與其他傳感器節(jié)點進行無線通信，交換控制信息和收發(fā)采集數(shù)據(jù)。不同的無線傳感器網(wǎng)絡(luò)應(yīng)用關(guān)心不同的物理量，這需要網(wǎng)絡(luò)能夠適應(yīng)客觀環(huán)境的多樣性要求。因此，無線傳感器網(wǎng)絡(luò)的軟硬件必須具有魯棒性和容錯性。（3）以數(shù)據(jù)為中心的網(wǎng)絡(luò)。最后，感知的數(shù)據(jù)經(jīng)過分析、挖掘后通過一個界面提供給終端用戶。一個典型的無線傳感器網(wǎng)絡(luò)由傳感器節(jié)點、匯聚節(jié)點、傳輸介質(zhì)（互聯(lián)網(wǎng)或衛(wèi)星）和任務(wù)管理節(jié)點（網(wǎng)絡(luò)用戶）組成。因此，基于密碼體系的安全機制只能抵御外部攻擊問題，其設(shè)計思路和實現(xiàn)機制都無法解決私密信息已丟失、惡意節(jié)點已獲得網(wǎng)絡(luò)認(rèn)證的內(nèi)部攻擊問題。因此，如何抵御內(nèi)外部攻擊，保障網(wǎng)絡(luò)節(jié)點和路由協(xié)議的安全，即是現(xiàn)實實踐的需要，也是完善網(wǎng)絡(luò)安全理論的需要，具有重要的科學(xué)研究價值和意義。無線傳感器網(wǎng)絡(luò)通常部署在開放甚至不友好的環(huán)境中，比如野外和戰(zhàn)場，由于成本低廉和資源受限，傳感器節(jié)點缺乏必要的硬件防篡改措施，攻擊者能夠較為容易地俘虜節(jié)點，破譯網(wǎng)絡(luò)的密鑰及協(xié)議棧信息；另一方面，傳感器節(jié)點所監(jiān)測的信息往往具有敏感性和隱私性，節(jié)點高度自