CN104363626A - 一种基于贝叶斯理论的vanet可信路由方法 - Google Patents

Abstract

本发明公开了一种基于贝叶斯理论的VANET可信路由方法，具体包括如下步骤：步骤1，路由初始化；步骤2，路由发现及信任管理；步骤3，可信路由建立；包括进入初始贪婪模式，进到边界模式，模式转换选择；切换到DTN模式和DTN模式；步骤4，路由删除；本发明的方法在提升路由安全性的同时，具有较低的时间复杂度和良好的扩展性。同时，本发明的方法在恶意节点排除率、分组平均到达率及端到端平均时延方面取得了较好的性能。

Description

一种基于贝叶斯理论的VANET可信路由方法

技术领域

本发明属于车辆自组织网络VANET安全技术领域，具体涉及一种VANET可信路由的方法。 

背景技术

车联网(Vehicular Ad-hoc Network，VANET)是一种特殊的移动自组织网络，其通过电子标签、传感器、智能控制、卫星定位和无线移动通信等技术，实现车辆与其他车辆、路边基础设施间的无线通信，可以提供交通安全管理、事故告警、辅助驾驶和Internet信息服务等方面的应用。由于车联网的特殊性，如高度动态性、相遇临时性等，使得车辆间的信任与合作变得困难。同时，车辆的高速移动造成网络拓扑结构频繁变化，因此车联网路由技术严重影响着车联网的有效性和可靠性。由于原有的移动自组织网络安全路由技术不能完全适用于车联网，因此如何在路由技术中引入安全和信任机制是车联网急需解决的问题。 

针对车联网信任与合作问题，文献[1-4]([1]Li Q,Malip A,Marin K,et al.A Reputation-based Announcement Scheme for VANETs[J].IEEE Transactions on Vehicular Technology,2012,61(9):45-51.[2]Chen L Q,Lit Q,Martin K M,et al.A Privacy-aware announcement scheme for VANETs[C].//IEEE 5th International Symposium on WiVec.Dresden:IEEE Press,2013:1-5.[3]王健,刘衍珩,焦玉.VANETs信任传播建模[J].北京邮电大学学报,2009,32(2):61-65.[4]陈辰,韩伟力,朱列等.面向VANET的声誉模型研究[J].小型微型计算机系统,2013,24(2):233-237)通过对消息可靠性的评估，提出 了相关的VANET声誉模型，但是其没有考虑安全路由的信任管理问题。文献[5-6]([5]何俊婷,刘衍珩,王健.一种高生存性的车载自组网可信路由协议[J].武汉大学学报(理学版),2010,56(2):189-192.[6]李景民.一种新的车辆自组网可信路由协议[J].吉林大学学报,2011,41(1):198204)将经验信任值和信誉度作为一种度量标准，提出了新的车联网可信路由机制，但是其主要应用于贪婪周边无状态路由协议中。另外，文献[6]([7]陈根乐,樊秀梅.基于分簇的车载自组网可信路由协议研究[J].天津科技大学学报,2013,28(4):68-73.)提出了一种基于分簇的车联网可信路由算法，但是其仅解决了可信簇头的选择问题。这些研究工作为车联网安全可信路由的研究奠定了良好的基础，但是针对不同类型的路由情形，其可信机制还需要进一步研究。 

基于导航预测的地理延迟路由协议(Geographic DTN Routing with Navigator Prediction,GeoDTN+Nav)采用地理路由和机会路由的混合策略，在综合有效性方面非常适用于车联网。但是，目前对该路由协议安全性的研究还没有相关报道。在GeoDTN+Nav协议中，假设每一辆汽车都配有虚拟导航接口(Virtual Navigator Interface，VNI)。VNI是一个与底层的车辆组件交互的轻量级封装接口，其目标是发现可以传递数据包的相邻车辆，并提供格式一致的导航交互信息。VNI的基本数据格式被定义为一个二元信息组(Nav_info,Confidence)，其中，Nav_info表示车辆的预测路由信息，包括详细路径、目的地或者车辆的运动方向；Confidence表示该车辆的运动模式遵守Nav_info信息的概率，值为0％时表示车辆移动是完全随机的，为100％则表示车辆严格按照Nav_info信息移动。各节点广播自己的VNI导航信息组，收集相邻节点VNI导航信息组。 

根据路由需要和车辆的运动方式，GeoDTN+Nav协议将车辆分为四大 类，并定义了不同的类型的VNI二元信息组： 

(1)确定路线的车辆节点(记为A类节点)：车辆严格地沿着预先设定的路线移动，如公交车和轨道交通。例如，公交车上的VNI将广播的二元信息组为(Path,100％)； 

(2)确定目的地的车辆节点(记为B类节点)：车辆严格地向着预先设定的目的地移动，然而，车辆可能采取不同的路线到达目的地。例如，出租车的VNI将广播的二元信息组为(Destination，100％)，因为出租车的移动有确定的目的地。 

(3)具有导航路线/目的地的车辆节点(记为C类节点)：车辆可根据建议路线和目的地移动。例如，按照导航系统行驶的车辆将广播的二元信息组为(Path/Destination，P％)。 

(4)运动未知的车辆节点(记为D类节点)：即无法获得有关的导航信息车辆节点。由于不能获得足够的路由信息，车辆可能广播的两元组信息为(Default，0％)，如果VNI能够估算车辆的运动方向，则可能广播的两元组信息为(Direction，P％)。 

另外，GeoDTN+Nav协议提供三种路由转发模式：贪婪模式，边界模式和容迟网络(Delay Tolerant Network,DTN)模式。 

(1)贪婪模式：各节点选择自己所能转发的所有节点之中距离目的节点最近的节点作为下一跳节点； 

(2)边界模式：因为贪婪模式中出现了节点空洞(即不存在比节点本身更接近目的节点的邻居节点，但目的节点又不在自己可以转发的范围内)而采用右手定则转发的策略，当绕过节点空洞后，又回归贪婪模式； 

(3)DTN模式指网络出现不连通情况时，利用车节点自身移动，存储 并转发数据包。 

发明内容

针对导航预测的地理延迟路由协议(GeoDTN+Nav)中存在的可信路由的问题，本发明的目的在于，提供一种基于贝叶斯理论的VANET可信路由方法，该方法基于导航预测的地理延迟路由协议GeoDTN+Nav的基础上，利用信任分类与动态管理的方法解决上述技术问题。 

为了完成上述任务，本发明采用如下的技术方案予以解决： 

一种基于贝叶斯理论的VANET可信路由方法，具体包括如下步骤： 

步骤1，路由初始化； 

步骤2，路由发现及信任管理；包括A.路由发现；B.信任管理；C.信任值计算和更新； 

步骤3，可信路由建立；具体包括如下步骤： 

步骤31，进入初始贪婪模式 

贪婪模式下，在当前节点的邻居节点数量大于或等于全网平均邻居节点数量时，选择距离目的地最短且信任值最高的节点作为下一跳节点，当不能找到同时满足距离目的地最短且信任值最高这两个条件的节点时，选择信任值最高的节点作为下一跳节点；在当前节点的邻居节点数量小于全网平均邻居节点数量时，选取节点信任值不小于规定的最小信任阈值且距离目的节点最近的邻居节点作为下一跳节点；直到出现节点空洞，记录下贪婪模式的首节点和转发跳数，并切换到边界模式； 

步骤32，进入到边界模式，具体包括如下步骤： 

步骤321，边界模式路由选择； 

源节点按照右手定则选择转发路径，然后判断该路径上各节点的信任值 之和是否大于或等于规定的最小路径信任阈值，若不满足该条件，则转至步骤321；否则，继续判断该路径上节点的信任值是否大于或等于规定的最小节点信任阈值，若不满足该条件，则转至步骤322，否则数据包保持在第一个不满足最小节点信任阈值条件节点的前一个节点，转至步骤322；若最小路径信任阈值和最小节点信任阈值条件均满足，则按该路径进行正常数据包转发，转发完毕后，源节点转至步骤322； 

步骤322，模式转换选择； 

当节点的当前状态处于绕过节点空洞时，则由边界模式转换为贪婪模式；否则，源节点在RSU或A类节点处获取网络不连通性的概率、节点自身以及各邻居节点的数据包交付质量、各邻居的运动方向、各邻居节点信任值；并计算邻居节点的模式转换分值S(N_k)＝αP(h)×βQ(N_k)×γD(N_k)+ε[C(N_k)-C]，其中，P(h)表示网络不连通的可能性；Q(N_k)表示邻居节点N_k的投递质量；D(N_k)表示邻居节点N_k的运动方向；α,β,γ为系统参数；C(N_i)为邻居节点N_k的信任值，C为当前节点的信任值，ε为大于零的系统参数。若某邻居节点S(N_k)值小于门限S_thresh，该数据包将继续基于边界模式转发，转至步骤321；若某邻居节点的S值大于或等于门限S_thresh，则将数据包转发到该邻居节点，转至步骤323；如果同时出现多个邻居节点的S值大于或等于模式转换分值的阈值S_thresh，选择其中S(N_k)值最大的节点作为下一跳节点，转至步骤323； 

步骤323，切换到DTN模式； 

步骤33，DTN模式 

所述数据包将被该进入DTN模式的节点存储和携带转发，在DTN模式，当找到满足连通性要求的下一跳节点时，又转换为初始贪婪模型进行转发； 

步骤4，路由删除； 

进一步的，所述步骤2中的A.路由发现包括如下步骤： 

将GeoDTN+Nav协议中的虚拟导航接口VNI的基本数据格式设定为五元信息(Nav-infor，Confidence，Time，curLoc，M_i)，其中，Nav_info表示车辆节点的预测路由信息，包括详细路径、目的地或者车辆的运动方向；Confidence表示车辆节点的运动模式遵守Nav_info信息的概率，其值为0％时表示车辆移动是完全随机的，为100％则表示车辆严格按照Nav_info信息移动；Time表示上次更新信任值的时间戳，curLoc表示M_i的当前位置，M_i表示节点i的标识； 

各节点通过虚拟导航接口VNI周期性地广播五元信息；如果源节点能够接收到其他节点的广播信息，表明其它节点在源节点的转发范围内，它们互为邻居节点，假设各节点转发范围半径相同；当源节点存在邻居节点时，则进入可信路由建立阶段；否则，源节点继续行驶，直至出现邻居节点时，进入可信路由建立阶段。 

进一步的，所述步骤2中的B.信任管理包括定义以下常见的不诚实行为： 

(1)查看当前节点广播的当前位置curLoc，根据数据包发送延迟时间与车辆允许的最大速度的乘积测距，若被监测节点的位置远远超出实际最大测距，则认为存在伪造的位置信息或虫洞攻击； 

(2)查看被监测节点的Nav-infor字段，若其没有按照预定路线行进且没有广播路线改变信息，则认为该被监测节点被攻击或被捕获； 

(3)查看被监测节点的时间戳Time，若五元信息在规定的一段时间(如30秒)没有更新，则认为该被监测节点正在进行重放攻击； 

(4)节点A转发时，抽取数据包部分信息利用自己私钥签名，附加到 数据包后一同发送，后续的第二跳节点C用节点A的公钥对附加数据包解密，对比原数据包，若一致，则证明上一跳节点B没有恶意篡改，否则认为上一跳节点B篡改了数据包内容； 

(5)节点A通过节点B转发数据包给节点C，采用两跳ACK确认回传机制，在回传时间门限t内，只有节点A收到节点B、C两跳节点的确认信息，才认为节点B没有出现异常行为，否则认为节点B发起了黑洞攻击。 

进一步的，所述步骤2中C.信任值计算和更新的具体步骤如下： 

RSU或A类节点查看当前节点M_i，如果当前节点M_i是第一次入网的节点，则应计算当前节点的信任值，当前节点M_i的信任值为：

若当前节点M_i为已入网节点，在当前节点M_i与RSU或A类节点相遇时，进行当前节点M_i信任值的更新； 

进一步的，所述的若当前节点M_i为已入网节点，在当前节点M_i与RSU或A类节点相遇时，进行当前节点M_i信任值的更新的具体步骤如下： 

(1)RSU或A类节点查看当前节点M_i中的Time字段，若时间Time不满一个周期T，则不对其进行更新；否则，进行下一步； 

(2)RSU或A类节点查看当前节点中的诚信行为观测记录，并统计α_i和β_i；再利用公式C_i＝C_i+C_i-1对当前节点M_i的信任值进行更新，并加上时间戳Time，得到新的(C_i,Time)。 

进一步的，所述步骤2还包括：D.引入退化因子的步骤，具体为： 

每一次信任值更新后且下一次的更新前，利用如下含有退化因子的公式更新当前节点M_i的信任值C_i： 

$C_i=\left\{\begin{array}{c}{C}_i-\mathrm{\&lambda;}\left(t\right),C_i>C_{\min }^{\mathrm{Type}},t\&Element;T\\ C_{\min }^{\mathrm{Type}},C_i=C_{\min }^{\mathrm{Type}}\\ C_i,C_i<C_{\min }^{\mathrm{Type}}\end{array}\right.$

其中，信任退化因子λ(t)＝kt,t∈(0,T),k＞0。 

进一步的，所述步骤4的路由删除具体步骤为：当RSU或A类节点发现某节点的信任值降低直到小于时，则由RSU或A类节点将其加入黑名单并广播该节点为不可信节点，发起路由删除过程，其它接到该信息的节点继续广播；所有接到该广播的节点此后都拒绝为此节点服务，将其排除出网络。 

本发明的有益效果如下： 

本发明的方法在提升路由安全性的同时，具有较低的时间复杂度和良好的扩展性。同时，本发明的方法在恶意节点排除率、分组平均到达率及端到端平均时延方面取得了较好的性能。 

附图说明

图1是本发明的基于贝叶斯理论的VANET可信路由方法的流程图。 

图2是贪婪模式转发示意图。其中，(a)中邻节点数目大于4，(b)中邻节点数目小于4。 

图3是边界模式转发示意图。其中，(a)中的路径总信任值小于5，(b)中路径总信任值大于5，但节点z的信任值小于2，(c)中路径总信任值大于5，且各节点信任值均大于等于2。 

图4是恶意节点排除率图。 

图5是分组平均到达率图。 

图6是端到端平均时延图。 

下面结合附图和实施例对本发明进行详细说明。 

具体实施方式

现有的GeoDTN+Nav路由协议将各车节点分类为：A、B、C、D四类节点。在实际情况中，车联网在城市环境中一般会部署大量路边设施单元(Road-Side Units,RSU)。因为RSU位置固定，最初由网络规划者统一部署，具有较高的安全性和信息处理能力。因此，在信任管理中，授予RSU相应的安全管理权限，可管理其它车辆节点的信任值。其次，确定路线的A类节点特指公交车和轨道交通等，由于其严格按照既定的路线和班次运行，覆盖城市大部分范围，并由统一的公共交通运输公司管理、部署、配备驾驶人员，因此其相比其他车节点具有更高的可信任性，也作为辅助信任管理的主体。 

Beta分布是指一组定义在(0,1)区间的连续分布，是贝叶斯理论中常用的拟合分布模型。其中，有两个大于0的参数α和β，可通过调整α和β值对由两种变量决定的不确定事件进行概率拟合。在信任管理中，信任度空间定义在区间[0,1]内，α和β定义为与评价对象正常行为和异常行为相关联的变量，其符合Beta分布的基本条件，可进行拟合。 

基于此，本发明的基本思想如下：根据GeoDTN+Nav路由协议中车辆节点的分类，利用贝叶斯信任管理理论，为各类车辆节点和RSU预设不同的信任初始值，节点间相互监视和记录行为，作为评价节点信任值的证据。其中，将RSU和A类节点作为信任管理的主体，它们综合自己的检测和其他节点的反馈，对各节点的信任值进行周期性更新。当某节点信任值低于预设最低信任阈值时，该节点将被加入黑名单并排除出网络。B、C、D类节点只能读取但不能修改其它节点的和自身的信任值，且将监视到的不同情况反馈给具有评价权限的主体节点，即RSU和A类节点。 

遵循本发明的技术方案，发明人给出基于贝叶斯理论的VANET可信路由方法实施例，如图1所示，具体包括如下步骤： 

步骤1，路由初始化 

假设网络中各节点能够监视其邻居节点的相关通信行为，进行参数初始化，如表1所示。 

表1 初始化参数 

当前节点的信任行为记录字段的定义如表2所示，以黑盒形式存储于节点设备中，自身不可见。 

表2 信任行为记录字段 

其中，1、2号字段为固定字段，不可修改；3、4号字段只能以周期T被RSU或A类节点修改；5号字段为与当前节点相遇的邻居节点N_k对当前节点行为的观测记录，邻居节点只允许在每个观测记录的时间点k上记录观测到的当前节点行为，由三元组表明在何时由哪一个邻居节点观测到何种行为。 

当各节点入网时，由车辆管理所或运营公司设定各项数据初始值。根据节点的类型设定其初值，包括首次信任值初始化为  $\left(C_i\mathrm{Time}\right)=(C_i^{\mathrm{Type}},0).$

步骤2，路由发现及信任管理 

A.路由发现 

将GeoDTN+Nav协议中的虚拟导航接口VNI的基本数据格式由二元信息扩充为五元信息(Nav-infor，Confidence，Time，curLoc，M_i)，其中，Nav_info表示车辆节点的预测路由信息，包括详细路径、目的地或者车辆的运动方向；Confidence表示车辆节点的运动模式遵守Nav_info信息的概率，其值为0％时表示车辆移动是完全随机的，为100％则表示车辆严格按照Nav_info信息移动；Time表示上次更新信任值的时间戳，curLoc表示M_i的当前位置，M_i表示节点i的标识。 

各节点通过虚拟导航接口VNI周期性地广播五元信息：(Nav-infor，Confidence，Time，curLoc，M_i)。如果源节点(指需要转发数据包的初始节点)能够接收到其他节点的广播信息，表明其它节点在源节点的转发范围内，它们互为邻居节点，假设各节点转发范围半径相同；当源节点存在邻居节点时，则进入可信路由建立阶段；否则，源节点继续行驶，直至出现邻居节点时，进入可信路由建立阶段。 

B.信任管理 

在监测邻居节点的行为中，需要解决如何区分行为的诚实与否问题。在自组织网络中，传统的判断方法是各节点转发时将数据包缓存一段时间，同时监听下一跳节点发出的数据包是否与自身缓存的一致，以此判断下一跳节点是否行为诚实。但是，车联网中如何监听下一跳节点发出的数据包是比较困难的，尤其在GeoDTN+Nav协议中，下一跳节点转发数据包时，上一个节点很可能已经不在能够监听的范围内。因此，本发明针对车联网和GeoDTN+Nav路由协议的特点，定义以下常见的不诚实行为，为信任管理提供相关判别准则： 

(1)查看当前节点(即被监测节点)广播的当前位置curLoc，根据数据包发送延迟时间与车辆允许的最大速度的乘积测距，若被监测节点的位置远远超出实际最大测距，则认为存在伪造的位置信息或虫洞攻击； 

(2)查看被监测节点的Nav-infor字段，若其没有按照预定路线行进且没有广播路线改变信息，则认为该被监测节点被攻击或被捕获； 

(3)查看被监测节点的时间戳Time，若五元信息在规定的一段时间(如30秒)没有更新，则认为该被监测节点正在进行重放攻击； 

(4)节点A转发时，抽取数据包部分信息利用自己私钥签名，附加到数据包后一同发送，后续的第二跳节点C用节点A的公钥对附加数据包解密，对比原数据包，若一致，则证明上一跳节点B没有恶意篡改，否则认为上一跳节点B篡改了数据包内容； 

(5)节点A通过节点B转发数据包给节点C，采用两跳ACK确认回传机制，在回传时间门限t内，只有节点A收到节点B、C两跳节点的确认信息，才认为节点B没有出现异常行为，否则认为节点B发起了黑洞攻击。 

C.信任值计算和更新 

RSU或A类节点查看当前节点M_i，如果当前节点M_i是第一次入网的节点，则应计算当前节点的信任值，应用Beta分布描述当前节点M_i的信任分布，表示为R_i～Be(α_i+1,β_i+1)。Beta分布的概率密度函数为： 其中r_i∈(0,1)，α＞0，β＞0。当α＜1时，r_i≠0；当β＜1时，r_i≠1。其概率密度函数的期望值表示为：则可得当前节点M_i的评价信任值为：其中，α_i和β_i依据表1中的定义，通过观测得到。 

若当前节点M_i为已入网节点，在当前节点M_i与RSU或A类节点相遇时，进行当前节点M_i信任值的更新，具体步骤如下： 

(1)RSU或A类节点查看当前节点M_i中的Time字段，若时间Time不满一个周期T，则不对其进行更新；否则，进行下一步； 

(2)RSU或A类节点查看当前节点中的5号字段(即诚信行为观测记录)，并统计α_i和β_i；(即由RSU或A类节点对观测结果次数进行累加)再利用公式C_i＝C_i+C_i-1，对当前节点M_i的信任值进行更新，并加上时间戳Time，更新为新的(C_i,Time)； 

关于α_i和β_i的统计，需要对当前节点M_i的各记录进行两两比较，排除对同一行为的重复记录。具体如下：首先将记录按照诚实和不诚实分为两类数据(不诚实行为之外的行为均看做诚实行为)，再按照表3所示的规则，在两类数据中分别统计诚实行为和不诚实行为出现的次数。表3所示的规则用于对统计过程中的重复记录进行剔除。其中，x和y分别表示不同的记录，i表示被评价的节点，j表示被评价节点的邻居节点，k表示观测记录的时间 点，i_x＝＝i_y用来判断两条记录是否为被评价节点的同一行为，j_x＝＝j_y用来判断两条记录是否为相同的邻居节点产生，k_x＝＝k_y用来判断两条记录是否为相同时刻产生，1表示真，0表示假，共3个判断条件8种状态，其中，同一节点在同一评价时刻的行为只允许被记录一次。表中，1次、2次均表示满足相应条件下被记录的次数。 

表3 行为统计规则 

D.信任退化因子 

由于随着时间的推移，信任值可能会逐步降低，因此，需要在各节点中引入信任退化因子λ(t)，λ(t)是参数为时间t的函数，引入退化因子的初始时刻为每一次信任值更新后开始，直至下一次更新结束(即在C.信任值计算和更新的过程中的每次更新C_i后，再用以下公式对C_i进行处理)。引入信任退化因子的目的是防止恶意节点故意躲避与RSU或A类节点的相遇，避免信任值的更新。信任退化因子定义如下：λ(t)＝kt,t∈(0,T),k＞0。 

引入信任退化因子后，节点的评价信任值C_i为一个随时间平滑缓慢递减的函数，且当C_i随着时间的推移而逐步逼近后，λ(t)将被置为0，使节点不会因为长时间没有更新信任值而使C_i低于

$C_i=\left\{\begin{array}{c}{C}_i-\mathrm{\&lambda;}\left(t\right),C_i>C_{\min }^{\mathrm{Type}},t\&Element;T\\ C_{\min }^{\mathrm{Type}},C_i=C_{\min }^{\mathrm{Type}}\\ C_i,C_i<C_{\min }^{\mathrm{Type}}\end{array}\right.$

退化因子的引入符合信任“慢增快降”的特性，能够更好地反映出节点间交互的信任关系。 

步骤3，可信路由建立 

如图1所示，三种路由转发模式(包括贪婪模式，边界模式和容迟网络DTN模式)的转换关系为：在贪婪模式中，在出现节点空洞时，由贪婪模式转换为边界模式；在边界模式中，当绕过节点空洞时由边界模式转换为贪婪模式，否则当模式转换分值满足一定条件时由边界模式转换为DTN模式；在DTN模式中，当找到合适的下一跳时，由DTN模式转换为贪婪模式进行数据包的转发，具体过程如下： 

步骤31，进入初始贪婪模式 

在贪婪模式下转发时，本发明考虑距离最短的同时兼顾节点信任值。贪婪模式下，在当前节点的邻居节点数量大于或等于全网平均邻居节点数量时，选择距离目的地最短且信任值最高的节点作为下一跳节点，当不能找到同时满足距离目的地最短且信任值最高这两个条件的节点时，选择信任值最高的节点作为下一跳节点；在当前节点的邻居节点数量小于全网平均邻居节点数量时，选取节点信任值不小于规定的最小信任阈值且距离目的节点最近的邻居节点作为下一跳节点；直到出现节点空洞，记录下贪婪模式的首节点和转发跳数，并切换到边界模式。 

例如，网络中各车节点的邻居节点数目平均值为4时，源节点为X，目的节点为D，图2中，C表示节点信任值，d表示节点到目的节点的距离。 图2(a)中邻节点数目大于4，各邻节点到目的节点距离平均值为5，则选取到目的节点距离小于均值的邻节点集合(A,B,C)中，信任值最大的节点C作为下一跳转发节点；图2(b)中邻节点数目小于4，各邻节点信任值均值为2，则选取信任值大于的均值的邻节点集合(A,B)中，距离目的节点最近的节点A。 

步骤32，进入到边界模式，具体步骤如下： 

步骤321，边界模式路由选择。源节点按照右手定则选择转发路径，然后判断该路径上各节点的信任值之和是否大于或等于规定的最小路径信任阈值，若不满足该条件，则转至步骤321；否则，继续判断该路径上节点的信任值是否大于或等于规定的最小节点信任阈值，若不满足该条件，则转至步骤322，否则数据包保持在第一个不满足最小节点信任阈值条件节点的前一个节点，转至步骤322；若最小路径信任阈值和最小节点信任阈值条件均满足，则按该路径进行正常数据包转发，转发完毕后，源节点转至步骤322。 

步骤322，模式转换选择。当节点的当前状态处于绕过节点空洞时，则由边界模式转换为贪婪模式；否则，源节点在RSU或A类节点处获取网络不连通性的概率、节点自身以及各邻居节点的数据包交付质量、各邻居的运动方向、各邻居节点信任值；并计算邻居节点的模式转换分值S(N_k)＝αP(h)×βQ(N_k)×γD(N_k)+ε[C(N_k)-C]，其中，P(h)表示网络不连通的可能性；Q(N_k)表示邻居节点N_k的投递质量；D(N_k)表示邻居节点N_k的运动方向；α,β,γ为系统参数(本发明中α＝0.2,β＝0.3,γ＝0.2)；C(N_i)为邻居节点N_k的信任值，C为当前节点的信任值，ε为大于零的系统参数(本发明中ε＝0.3)。若某邻居节点S(N_k)值小于门限S_thresh(本发明中取0.6)，该数据包将继续基于边界模式转发，转至步骤321；若某邻居节点的S值大于或等于门限S_thresh， 则将数据包转发到该邻居节点，转至步骤323；如果同时出现多个邻居节点的S值大于或等于模式转换分值的阈值S_thresh，选择其中S(N_k)值最大的节点作为下一跳节点，转至步骤323。 

步骤323，切换到DTN模式。 

如图3所示，假定可接受的最小路径信任值为5，可接受的最小节点的信任值为2。为了绕过节点空洞，按照右手定则将按照x-y-z-d的路径进行转发，节点y和z的信任值不同，转发效果不同。图3(a)中，路径总信任值小于5，数据包不能按照此不可信路径转发，依然停留在节点x处；图3(b)中，路径总信任值大于5，但节点z的信任值小于2，因此数据包转发到节点y处不再转发给节点z；图3(c)中，路径总信任值大于5，且各节点信任值均大于等于2，则数据包按照x-y-z-d的路径转发到目的节点d。 

步骤33，DTN模式 

该数据包将被该进入DTN模式的节点存储和携带转发，在DTN模式，当找到满足连通性要求的下一跳节点时，又转换为初始贪婪模型转发。 

步骤4，路由删除 

当RSU或A类节点发现某节点的信任值降低直到小于时，则由RSU或A类节点将其加入黑名单并广播该节点为不可信节点，发起路由删除过程，其它接到该信息的节点继续广播。所有接到该广播的节点此后都拒绝为此节点服务，将其排除出网络。 

本发明的方法的可行性及有益效果如下： 

1、单个时间周期内，基于贝叶斯理论的车联网可信路由方法的时间复杂度至多为O(τ×n)，其中τ表示单个时间周期所划分的时隙数目，n表示单个时间周期内与目标节点相遇的节点数量。由于在单个时间周期内，车联网 安全路由信任管理中，其初始化时间为O(n)；另外，行为监测时由n个相遇节点在τ个时隙上对目标节点进行行为记录，所需要的时间为O(τ×n)；信任值更新每个周期至多一次，比较各记录排除重复记录，需要遍历各记录三遍，因此时间复杂度为O(τ×n)；利用记录的行为次数计算信任值，时间复杂度为O(τ×n)。综上，本发明的基于贝叶斯理论的车联网可信路由方法的时间复杂度至多为O(τ×n)。 

(2)本发明的基于贝叶斯理论的车联网可信路由方法具有良好的扩展性。该方法明确了信任管理的主体，同时解决了分布式系统中信任值管理和存放不同步的问题。另外，对于不诚实行为的判定定义了相关规则，实际应用时允许管理员根据实际情况定义更多的类型，并可以随时间更新。此外，新节点加入网络时，运营商给它分配了合法身份、定义了相应的初始信任值，其他节点无需更新任何信息，只需在相遇时读取信任数据即可，因此具有良好的可扩展性。 

(3)本发明的基于贝叶斯理论的车联网可信路由方法可提升原路由协议的安全性。在GeoDTN+Nav路由协议中引入信任管理机制，可以动态评判节点的可信程度，掌握节点行为动向，实现了对节点行为的有效监管。其次，信任管理机制可以监测内部恶意节点的攻击，如伪造的位置信息、重放攻击、篡改攻击等，再通过广播黑名单，将不可信节点排除出网络。因此，该方法的引入提高了原有路由协议的安全性。 

为了验证本发明的有效性，发明人采用VanetMobiSim+NS2进行联合仿真，其中VanetMobiSim用于生成道路拓扑结构和生成车辆移动模型，即先使用VanetMobisim生成车联网轨迹文件，然后将这些轨迹文件直接导入到NS2中进行仿真。 

下面将从恶意节点排除率、分组平均到达率和端到端平均时延三个方面，来测量本发明的模型的性能。 

(1)恶意节点排除率 

实验设定恶意节点的比例为4％且仅存在于B类、C类和D类节点中，RSU和A类节点为信任管理主体节点，运行改进后的GeoDTN+Nav路由协议。实验结果如图4所示，随着运行时间的增加，恶意节点排除的概率随着增大。这是由于随着车辆之间的移动，B类、C类和D类节点与RSU和A类节点的相遇概率增大，即节点的综合信任评价值更新次数增多，对于低于信任阈值的恶意节点，通过本信任模型的黑名单广播机制将其排除出网络。另外，随着RSU和A类节点比例的增大，恶意节点排除的概率也随着增大，当信任管理主体比例达到14％且运行时间大小160秒时，恶意节点排除率达到了50％以上。 

(2)分组平均到达率 

分别运行GeoDTN+Nav路由协议及其改进版本，变化恶意节点比例，观察分组到达率情况。实验结果如图5所示，应用本信任模型的GeoDTN+Nav路由协议比原协议取得了更好的分组平均到达率。这里由于当恶意节点存在时，恶意节点可能伪造、重放、篡改和丢弃路由及分组信息，严重影响网络的性能，本发明的改进后GeoDTN+Nav路由协议会选择信任值高的节点转发。 

(3)端到端平均时延 

同样，分别运行GeoDTN+Nav路由协议及其改进版本，变化恶意节点比例，观察端到端平均时延情况。实验结果如图6所示，当恶意节点很少时，由于要进行信任的比较，改进后GeoDTN+Nav端到端平均时延略高于原协 议。当恶意节点增多时，两者的时延都在增加，但是由于本发明的信任模型能够尽量避开恶意节点的干扰和影响，因此其比原型取得了更好的时延性能。 

Claims (7)

1.一种基于贝叶斯理论的VANET可信路由方法，其特征在于，具体包括如下步骤： 

步骤1，路由初始化； 

步骤2，路由发现及信任管理；包括A.路由发现；B.信任管理；C.信任值计算和更新； 

步骤3，可信路由建立；具体包括如下步骤： 

步骤31，进入初始贪婪模式 

贪婪模式下，在当前节点的邻居节点数量大于或等于全网平均邻居节点数量时，选择距离目的地最短且信任值最高的节点作为下一跳节点，当不能找到同时满足距离目的地最短且信任值最高这两个条件的节点时，选择信任值最高的节点作为下一跳节点；在当前节点的邻居节点数量小于全网平均邻居节点数量时，选取节点信任值不小于规定的最小信任阈值且距离目的节点最近的邻居节点作为下一跳节点；直到出现节点空洞，记录下贪婪模式的首节点和转发跳数，并切换到边界模式； 

步骤32，进入到边界模式，具体包括如下步骤： 

步骤321，边界模式路由选择； 

源节点按照右手定则选择转发路径，然后判断该路径上各节点的信任值之和是否大于或等于规定的最小路径信任阈值，若不满足该条件，则转至步骤321；否则，继续判断该路径上节点的信任值是否大于或等于规定的最小节点信任阈值，若不满足该条件，则转至步骤322，否则数据包保持在第一个不满足最小节点信任阈值条件节点的前一个节点，转至步骤322；若最小路径信任阈值和最小节点信任阈值条件均满足，则按该路径进行正常数据包 转发，转发完毕后，源节点转至步骤322； 

步骤322，模式转换选择； 

当节点的当前状态处于绕过节点空洞时，则由边界模式转换为贪婪模式；否则，源节点在RSU或A类节点处获取网络不连通性的概率、节点自身以及各邻居节点的数据包交付质量、各邻居的运动方向、各邻居节点信任值；并计算邻居节点的模式转换分值S(N_k)＝αP(h)×βQ(N_k)×γD(N_k)+ε[C(N_k)-C]，其中，P(h)表示网络不连通的可能性；Q(N_k)表示邻居节点N_k的投递质量；D(N_k)表示邻居节点N_k的运动方向；α,β,γ为系统参数；C(N_i)为邻居节点N_k的信任值，C为当前节点的信任值，ε为大于零的系统参数。若某邻居节点S(N_k)值小于门限S_thresh，该数据包将继续基于边界模式转发，转至步骤321；若某邻居节点的S值大于或等于门限S_thresh，则将数据包转发到该邻居节点，转至步骤323；如果同时出现多个邻居节点的S值大于或等于模式转换分值的阈值S_thresh，选择其中S(N_k)值最大的节点作为下一跳节点，转至步骤323； 

步骤323，切换到DTN模式； 

步骤33，DTN模式 

所述数据包将被该进入DTN模式的节点存储和携带转发，在DTN模式，当找到满足连通性要求的下一跳节点时，又转换为初始贪婪模型进行转发； 

步骤4，路由删除。 

2.如权利要求1所述的方法，其特征在于，所述步骤2中的A.路由发现包括如下步骤： 

将GeoDTN+Nav协议中的虚拟导航接口VNI的基本数据格式设定为五元信息(Nav-infor，Confidence，Time，curLoc，M_i)，其中，Nav_info表示 车辆节点的预测路由信息，包括详细路径、目的地或者车辆的运动方向；Confidence表示车辆节点的运动模式遵守Nav_info信息的概率，其值为0％时表示车辆移动是完全随机的，为100％则表示车辆严格按照Nav_info信息移动；Time表示上次更新信任值的时间戳，curLoc表示M_i的当前位置，M_i表示节点i的标识； 

各节点通过虚拟导航接口VNI周期性地广播五元信息；如果源节点能够接收到其他节点的广播信息，表明其它节点在源节点的转发范围内，它们互为邻居节点，假设各节点转发范围半径相同；当源节点存在邻居节点时，则进入可信路由建立阶段；否则，源节点继续行驶，直至出现邻居节点时，进入可信路由建立阶段。 

3.如权利要求1所述的方法，其特征在于，所述步骤2中的B.信任管理包括定义以下常见的不诚实行为： 

(1)查看当前节点广播的当前位置curLoc，根据数据包发送延迟时间与车辆允许的最大速度的乘积测距，若被监测节点的位置远远超出实际最大测距，则认为存在伪造的位置信息或虫洞攻击； 

(2)查看被监测节点的Nav-infor字段，若其没有按照预定路线行进且没有广播路线改变信息，则认为该被监测节点被攻击或被捕获； 

(3)查看被监测节点的时间戳Time，若五元信息在规定的一段时间(如30秒)没有更新，则认为该被监测节点正在进行重放攻击； 

(4)节点A转发时，抽取数据包部分信息利用自己私钥签名，附加到数据包后一同发送，后续的第二跳节点C用节点A的公钥对附加数据包解密，对比原数据包，若一致，则证明上一跳节点B没有恶意篡改，否则认为上一跳节点B篡改了数据包内容； 

(5)节点A通过节点B转发数据包给节点C，采用两跳ACK确认回传机制，在回传时间门限t内，只有节点A收到节点B、C两跳节点的确认信息，才认为节点B没有出现异常行为，否则认为节点B发起了黑洞攻击。 

4.如权利要求1所述的方法，其特征在于，所述步骤2中C.信任值计算和更新的具体步骤如下： 

RSU或A类节点查看当前节点M_i，如果当前节点M_i是第一次入网的节点，则应计算当前节点的信任值，当前节点M_i的信任值为：

若当前节点M_i为已入网节点，在当前节点M_i与RSU或A类节点相遇时，进行当前节点M_i信任值的更新。 

5.如权利要求4所述的方法，其特征在于，所述的若当前节点M_i为已入网节点，在当前节点M_i与RSU或A类节点相遇时，进行当前节点M_i信任值的更新的具体步骤如下： 

(1)RSU或A类节点查看当前节点M_i中的Time字段，若时间Time不满一个周期T，则不对其进行更新；否则，进行下一步； 

(2)RSU或A类节点查看当前节点中的诚信行为观测记录，并统计α_i和β_i；再利用公式C_i＝C_i+C_i-1对当前节点M_i的信任值进行更新，并加上时间戳Time，得到新的(C_i,Time)。 

6.如权利要求1所述的方法，其特征在于，所述步骤2还包括：D.引入退化因子的步骤，具体为： 

每一次信任值更新后且下一次的更新前，利用如下含有退化因子的公式更新当前节点M_i的信任值C_i： 

其中，信任退化因子λ(t)＝kt,t∈(0,T),k＞0。 

7.如权利要求1所述的方法，其特征在于，所述步骤4的路由删除具体步骤为：当RSU或A类节点发现某节点的信任值降低直到小于时，则由RSU或A类节点将其加入黑名单并广播该节点为不可信节点，发起路由删除过程，其它接到该信息的节点继续广播；所有接到该广播的节点此后都拒绝为此节点服务，将其排除出网络。