基于D‑S证据和博弈理论的多域光网络信任模型

摘要

本发明公开了一种基于D‑S证据和博弈理论的多域光网络信任模型，在分层PCE架构的光网络上，设计了一种包含域内信任和域间信任机制的信任模型，以D‑S证据理论作为计算信任度的基础，提高了信任度计算的精确性，使用博弈的分析方法分析信任主体的信任度，为理性的信任评价提供依据，并通过博弈机制，对高可信的节点的偶尔恶意具有较好的包容度，对低可信节点的偶尔恶意具有一定的警告性，对持续不断的过失和恶意行为具有较好的惩罚性，维护了光网络的公平公正环境。在信任的应用方面，PCE可利用信任度计算可信度值最大的光路径，为光传输搭建了更为可信的环境，为光网络可信管理提供了一套可行的方案。

说明书

技术领域

本发明涉及基于D-S证据和博弈理论的多域光网络信任模型。

背景技术

随着网络规模的不断扩大，光网络呈现多域化和异构化的发展趋势。但是，由于域内隐私保护的需要使得域间部共享详细的域内信息，这为多样化的跨域业务带来了挑战，因此IETF提出了两种不同的PCE架构路由解决方案：即平坦型PCE方案和分层PCE方案。

上述两类方案在建路过程中，由于存在各种安全威胁，具体包括身份假冒攻击、小心篡改、伪造与重放攻击、拒绝服务攻击、隐私泄露攻击等主动攻击威胁，以及窃听攻击、通信模式分析等被动攻击威胁，因此节点间的相互信任变得十分困难。目前还没有成熟的多域光网络信任模型，但是对于一般网络信任模型的研究取得了较好的进展。

若按信任值表示方法来分类，现有的信任模型主要分为三类：基于离散值的信任模型、基于隶属度的信任模型、基于概率值的信任模型。其中，基于离散值的信任模型通过映射函数将离散值映射为相应的信任值，由于离散等级划分的模糊性和信任评价的不确定性，使得这种基于离散信任值的表示不够精确；基于隶属度的信任模型通常用模糊理论和灰色理论将信任等级表述为的多个模糊子集或灰类，但这类信任模型最终将信任对应到集合中去，对信任的定量描述比较困难；基于概率值的信任模型将信任值定义在[0,1]区间中，在充分考虑历史和当下交互信息的基础上，将信任的主观性和不确定性描述为概率的随机性，经典的基于概率值的信任模型主要通过四种方法计算信任值：基于贝叶斯理论的信任模型、基于主观逻辑的信任模型、基于熵的信任模型、基于行为的信任模型。其中，基于贝叶斯理论的信任模型的数学基础是Beta概率密度函数通过现有的变量合成先验概率推导未知的后验概率作为信任值；基于主观逻辑的信任模型定义为三元组ω_A-B＝{b,d,u}的观念空间，其中ω_A-B是实体A对实体B的主观逻辑观念，b,d,u分别代表实体A认为实体B的可信概率、不可信概率和不确定概率，通过一系列规则合并为可信值；基于熵的信任模型则根据信息论中熵函数用于消除不确定程度的原理将熵作为信任值；基于行为的信任模型通过记录简单的交易行为，通过简单的计算方法将交易行为数据转化为[0,1]上的信任度，例如网格信任模型就是一种简单的基于行为的信任模型。

参考文献：

【1】李文立,郭凯红.D-S证据理论合成规则及冲突问题[J].系统工程理论与实践.2010,30(8):1422-1426.

发明内容

针对多域光网络中存在主动和被动攻击，导致节点间的相互信息变得十分困难的问题，本发明的目的在于，提供一种基于D-S证据和博弈理论的多域光网络信任模型，该信任模型具有域内信任和域间信息机制，在提升多域光网络安全性的同时，具有较低的时间复杂度和空间复杂度，同时具有较好的连接阻塞性能。

为了实现上述目的，本发明采用如下技术方案：

基于D-S证据和博弈理论的多域光网络信任模型，包括证据产生模块、证据分发模块和信任管理模块；其中，

证据产生模块针对信任管理对象产生光网络证据，光网络证据包括传输证据和安全证据，证据产生模块将光网络证据提交至证据分发模块；

证据分发模块用于将光网络证据分发给该信任管理对象的信任管理者，信任管理者为该信任管理对象划分信任表，信任表包括证据表、加权信任函数表和信任度表，将光网络证据存储在证据表中；证据分发模块为光网络证据分配权重；

信任管理模块用于将光网络证据转化为基本信任分配函数，将光网络证据的权重累加到基本信任分配函数的权重中得到加权信任函数，将加权信任函数存储到加权信任函数表中；信任管理模块根据加权信任函数计算该信任管理对象的直接信任度和公共信任度，并存储到信任度表中。

具体地，所述证据产生模块包括网络监测模块和信任评价模块，

其中，信任评价模块用于产生传输证据，传输证据的结构为：证据(证据类别，传输时间，传输结果，主体角色，传输价值，业务评价)，简写为：

Evi(Cla,T,Res,Duty,Val,Asse) (1)

对于任意一条传输证据规定：证据类别变量Cla＝1；时间变量T等于当前证据产生的时间，即当前传输发生的时间；传输结果变量Res∈{-1,1}，且Res＝-1表示传输失败，Res＝1表示传输成功；主体角色变量Role∈{-1,0,1}，且Role＝-1表示信任主体造成了传输的失败，Role＝0表示评价主体造成了传输的失败，Role＝1表示评价主体和信任主体均无传输过错；传输评价变量Asse∈{-1,0,1}，且Asse＝-1表示评价主体给予负性评价，Asse＝0表示评价主体给予中性评价或缺失评价，Asse＝1表示评价主体给予正性评价；

网络监测模块用于产生安全证据，安全证据有域内安全证据和域间安全证据，当某节点作出危害网络安全的行为时，域内网络监测模块及时发现问题，直接向域内cPCE提交安全证据，该证据的信任主体为作出危害网络安全的行为的节点；当某cPCE作出危害网络安全的行为时，域间网络监测模块及时发现问题，直接向pPCE提交安全证据，该证据的信任主体为作出危害网络安全的行为的cPCE；cPCE为子路径计算单元；

安全证据的数据结构为：证据(证据类别，证据时间，危害等级)，简写为：

Evi(Cla,T,Lev) (2)

对于任意一条安全证据规定：证据类别变量Cla＝2；时间变量T等于当前证据产生的时间，即当前危害行为发生的时间；危害等级Lev∈{1,2,3,4,5}，且Lev＝1表示进行窃听攻击，Lev＝2表示通信模式分析，Lev＝3表示拒绝服务攻击，Lev＝4表示身份假冒攻击，Lev＝5表示消息篡改、伪造与重放攻击。

具体地，所述证据分发模块将光网络证据分发给该信任管理对象的信任管理者，分为以下几种情况：

(1)网络监测模块分发安全证据，该安全证据直接提交给相应的PCE，PCE完全相信网络监测模块，将该安全证据直接存入信任表中；PCE指的是路径计算单元；

(2)域内节点间分发传输证据，节点向本域cPCE提交传输证据，cPCE在接收到双方的证据后，在了解光传输事件的结果信息后，为公平存储证据权重，cPCE处理Val字段的值，然后按照信任主体不同将传输证据分别存储到相应的信任表中；

(3)两个域节点间分发传输证据，首先，两个域的节点分别向其域内cPCE提交传输证据，该证据的信任主体为被评价节点；然后两个cPCE接收到证据后，为保护域内隐私，cPCE将评价主体由评价节点改为自身cPCE，并添加一个证据的信任主体为被评价节点所在域的cPCE；pPCE接收到双方的证据，在了解光传输事件的结果信息后为公平存储证据权重，pPCE根据处理Val字段的值，pPCE按照信任主体中的cPCE将证据分别存储到相应的信任表中，分别向交叉向2个cPCE转发修改后的证据，cPCE按照信任主体中的节点将证据分别存储到相应的信任表中，完成信任的分发过程。

具体地，所述证据分发模块包括权重分配模块，权重分配模块为光网络证据即传输证据和安全证据分配权重，包括以下几种情况：

对于传输证据，传输证据的权重应正比于流量和数据传输的网速，传输证据中的Val变量的计算如公式(3)所示：

$Val=\frac{{\mathrm{flow}}^2}{\Delta t}---\left(3\right)$

其中，flow表示本次传输的流量，单位：MB，Δt表示本次传输总时间，单位：s；

当光传输成功完成时或光传输由目的节点导致传输失败时，传输证据的权重w分配方式为：根据不同的Val的范围，传输证据对应不同的权重w；当光传输由目的节点之外的节点导致传输失败时，修改传输证据的Val变量，根据光传输成功完成的权重分配方法进行权重分配；

对于安全证据，根据危害等级Lev的不同，对应不同的权重w。

具体地，所述信任管理模块包括加权信任函数产生模块和节点信任度计算模块，其中加权信任函数产生模块用于将光网络证据的权重累加到基本信任分配函数的权重中得到加权信任函数，节点信任度计算模块用于根据加权信任函数计算该信任管理对象的直接信任度和公共信任度。

具体地，所述将光网络证据的权重累加到基本信任分配函数的权重中得到加权信任函数，其中，加权信任函数的形式如下：

$M=\oplus \left(\underset{i=1}{\overset{3}{\oplus }}\left(m_i,w_i\right),\underset{i=4}{\overset{6}{\oplus }}\left(m_i,w_i\right)\right)---\left(14\right)$

其中，m_i表示基本信任分配函数，i＝1,...6，w_i表示基本信任分配函数的权重，i＝1,...6。

具体地，所述根据加权信任函数计算该信任管理对象的直接信任度和公共信任度，计算方法如下：

以A为评价主体，B为信任主体的加权信任函数M₁,M₂,…,M₆合并后的加权信任函数为M_A，B，A对B的直接信任度定义为：

Tru_A,B＝M_A，B(T)>

以B为信任主体的加权信任函数N₁,N₂,…,N₆合并后的加权信任函数为M_B，B的公共信任度定义为：

Tru_B＝M_B(T)>

其中，T表示时间变量。

具体地，所述信任管理模块还包括路径信任度计算模块，路径信任度计算模块用于计算路径信任度。

具体地，所述信任管理模块还包括信任分发模块，所述信任评价模块调用信任分发模块请求获得信任主体的历史综合信任度，并利用博弈方法得到理智的评价策略。

与现有技术相比，本发明具有以下技术效果：本发明在分层PCE架构的光网络上，设计了一种包含域内信任和域间信任机制的信任模型，以D-S证据理论作为计算信任度的基础，提高了信任度计算的精确性，使用博弈的分析方法分析信任主体的信任度，为理性的信任评价提供依据，并通过博弈机制，对高可信的节点的偶尔恶意具有较好的包容度，对低可信节点的偶尔恶意具有一定的警告性，对持续不断的过失和恶意行为具有较好的惩罚性，维护了光网络的公平公正环境。在信任的应用方面，PCE可利用信任度计算可信度值最大的光路径，为光传输搭建了更为可信的环境，为光网络可信管理提供了一套可行的方案。

下面结合附图和具体实施方式对本发明的方案做进一步详细地解释和说明。

附图说明

图1是分层PCE的多域光网络模型；

图2是本发明的基于D-S证据和博弈理论的多域光网络信任模型的结构；

图3是信任表的结构；

图4是网络仿真拓扑结构；

图5安全环境下的阻塞率；

图6为在网络中设置一定比例的恶意节点后光网络的阻塞率。

具体实施方式

遵从上述技术方案，本发明的基于D-S证据和博弈理论的多域光网络信任模型，属于基于概率值的信任模型，采用主观逻辑的方法计算信任值，并运用D-S证据理论合成信任度，在节点评价环节中引入博弈的分析机制，使得评价双方产生相对理智的评价策略，提高网络节点的智能决策能力，为光网络可信环境的构建提出具体的解决方案。

以下对本发明所涉及到的相关概念进行解释：

基于分层PCE的多域光网络模型：

基于分层PCE的多域光网络示例如图1所示，包括3个自治域(Domain)，每个域有若干节点R(Router)作为域成员，每个域配有一个子路径计算单元cPCE(child-PCE)，整个网络配有一个父路径计算单元pPCE(parent-PCE)。假设源节点为R-1，目的节点为R-15。具体的域间算路和建路过程如下：

1、源节点R-1作为PCC(Path Computation Client)向本域cPCE(即cPCE-1)发送跨域路径计算请求消息，然后cPCE-1将该请求转发给pPCE。

2、pPCE接收到请求后，首先通过向其他域cPCE广播目的地址，确定目的节点所在的域，然后计算出一条源到目的节点的抽象路径，并发送算路请求给相关的cPCE，即要求计算源节点到边界节点、边界节点到边界节点、边界节点到目的节点的路径段。

3、pPCE收到来自相关cPCE的路径计算结果后，首先将这些路径段合并处理，得到多条端到端跨域路径，然后从中选择一条满足约束条件的最优的路径作为最终计算结果，将该结果发送到cPCE-1。

4、cPCE-1收到来自pPCE的算路结果后，将计算得到的路径信息发送给PCC，即完成了跨域路径的计算。

5、源节点启动RSVP-TE或CR-LDP信令协议进行建路处理，完成波长等资源的收集和分配，从而整条端到端光路径建立成功，如果建路失败，光连接请求按阻塞处理。

D-S证据理论：

D-S证据理论通过引入识别框架、基本信任分配函数、信任函数和似然函数等概念来描述不确定性，通过对证据的合并和对信任函数的更新来实现集合的推理。本发明借鉴文献【1】中改进的D-S证据理论，对该规则进行局部简化和修改，为了防止D-S信任合并规则退化为简单的加权平均计算方法，需灵活地对基本信任分配函数进行分步合并，因此本发明定义了加权信任函数的概念，将原D-S证据理论对基本信任分配函数的合并转变为加权信任函数的合并，提出一种适合光网络的证据合并过程。

博弈论：

博弈论主要用于研究决策主体的行为发生直接相互作用时的决策以及这种决策的均衡问题。本发明在节点评价环节引入博弈的分析机制，使得评价双方产生相对理智的评价策略。对于一个博弈，通常包含以下几个要素：

1、博弈的参与者，即博弈由哪些主体参与。本信任模型在证据分发过程中，为维护光网络公平性，对失败的传输进行评价博弈，博弈的参与者为参与评价的双方，其中一方为产生故障或资源不足等原因导致了传输的失败的节点，另一方为接收方节点。

2、博弈的策略，即博弈参与者能够选择的方案。任意一个博弈方的纯策略空间为s＝{负性评价,中性评价,正性评价}。

3、博弈的收益，即博弈参与者选择一种策略后能够产生的效益。本发明博弈的收益为节点获得的权重。本信任模型的权重分配模块根据网络节点的相互评价，修改证据的价值字段，从而改变博弈参与者的证据权重，参与博弈的节点为争取自身信任度最大化而产生博弈。

4、本发明的基于D-S证据和博弈理论的多域光网络信任模型，分为域内信任管理和域间信任管理两层，并约定如下：

域内信任管理层由cPCE作为信任管理者，以域内节点为信任管理对象。域间信任管理层由pPCE作为信任管理者，以所有cPCE为信任管理对象，本信任模型用cPCE的信任度表示域的信任度。信任的评价方称作评价主体，信任的评价对象称作信任主体。

本信任模型中，任何节点及cPCE的信任度及合成该信任度所需的数据均不在自身存储。因此，本信任模型将节点及cPCE的信任度及合成信任度所需的数据全部存储在其信任管理者的信任表中。

信任管理者和信任管理对象之间为上下级关系：上级(信任管理者)通过秘密信道(PCE组网构成的控制平面信道)接收其他网络主体对它所属下级(信任管理对象)打的“小报告”(各类光网络证据)，完成对所属下级历史行为的掌握，信任管理者并通过一套评判机制(信任合并规则)得到信任管理对象的可信度，形成其信任管理对象的“信任档案”(信任表)作为是信任管理对象是否可信的依据。

下面介绍本发明的基于D-S证据和博弈理论的多域光网络信任模型的具体结构：

参见图2，本发明的基于D-S证据和博弈理论的多域光网络信任模型，包括证据产生模块、证据分发模块和信任管理模块，通过5类信任事件触发运行：

(1)某节点或cPCE加入光网络，触发其信任管理者为其分配初始信任度；

(2)PCE计算路径可信度，域内段由cPCE计算，域间段由pPCE计算；

(3)一次光传输结束，控制平面将传输结果分发给指定的评价节点，让评价节点对本次传输进行信任评价；

(4)某网络主体做出破坏网络安全的行为，网络监测模块检测到这种行为后，向该节点的信任管理者分发安全威胁证据；

(5)光网络进入下一周期，统一对所有信任表进行更新。

证据产生模块包括网络监测模块和信任评价模块，并通过网络监测模块和信任评价模块产生光网络证据，光网络证据包括传输证据和安全证据，其中，信任评价模块用于产生传输证据，网络监测模块用于产生安全证据，光网络证据产生后提交证据分发模块；

证据分发模块包括主体转换模块和权重分配模块；主体转换模块的功能是：根据证据具体分情况，更改证据的“评价主体”和“信任主体”。证据分发模块通过PCE组网的控制平面将光网络证据分发给其信任主体的信任管理者，光网络证据存储在证据表中，权重分配模块为光网络证据分配权重；

证据分发给其信任主体的信任管理者后，触发信任管理者的证据表的插入操作，进入信任管理模块，信任管理模块内包括加权信任函数产生模块、节点信任度计算模块、路径信任度计算模块和信任度分发模块。该证据携带的信任信息转换为某一基本信任分配函数，利用加权信任函数产生模块将该证据的权重累加到该基本信任分配函数的权重中去，得到加权信任函数，并将加权信任函数存储到信任管理者的加权信任函数表中。随后信任管理者进入信任管理模块中的节点信任度计算模块，根据新的加权信任函数计算该信任管理对象的直接信任度和公共信任度，存储到信任管理者的信任度表中。

域内及域间信任管理者均为其每一个信任管理对象划分信任表，信任表中存储信任数据。信任表由证据表、加权信任函数表和信任度表分别存储该信任管理对象的证据、加权信任函数和信任度数据。以某PCE的一个管理对象为例，其信任表结构如图3所示：

其中，证据表将传输证据和安全证据分类存储，传输证据按评价主体分类存储；加权信任函数表按评价主体分类存储，对每个评价主体按6种基本信任分配函数及其权重分类存储；信任度表将直接信任度、公共信任度、推荐节点、信任因子分类存储，其中直接信任度按评价主体分类存储，存储本周期和上一周期的直接信任度。公共信任度存储本周期和上一周期的该信任管理对象的公共信任度。

本信任模型可以进行如下2类应用：

应用1：为传输结束后节点作出更加客观的评价提供可信度依据。为了能理智看待节点的行为，评价不仅需要借鉴当前的传输结果，还需要参考信任主体的历史信任度。为实现这个功能，本信任模型设计节点评价环节，评价主体进行评价前调用信任管理模块中的信任分发模块请求获得信任主体的历史综合信任度，得到该综合信任度后采用博弈方法得到理智的评价策略，实现自身获得较高的信任度。

应用2：为PCE选取最可信的路径提供可信度依据。当PCE获得多条可选的传输路径后，PCE调用信任管理模块中的路径信任度计算模块计算可选路径的可信度，从中选择信任度最高的路径进行光传输。

证据产生模块：

(1)传输证据的产生

本发明的信任模型规定：一次光传输结束后，参与传输的节点开始相评。评价主体在作出评价之前，会调用信任度分发模块，获取信任主体的综合信任度，并以此为依据作出理智评价。评价和相关数据转化为节点间的证据，该证据在分发过程中若跨域则转化为含PCE为评价主体或信任主体的证据，以此作为域的证据。本发明的信任模型采用指定评价节点的方法，使证据分发保持在O(n)级上，若参与传输的节点两两互评，将导致O(n²)级的证据分发，产生过高的阻塞率。且两两互评导致每个节点的信任管理者接收到对同一信任管理对象的多个证据，急剧增加评价合成的复杂度。为简化信任评价流程，本信任模型指定评价节点规定如下：

1)传输成功时，源节点产生一条传输证据，该证据的信任主体为目的节点。目的节点产生一条传输证据，该证据的信任主体为本次传输中除目的节点外的其他节点。

2)传输失败时，若目的节点导致了传输的失败，评价流程和传输成功的评价流程相同；若目的节点未导致传输的失败，目的节点产生一条无责任传输证据和一条责任传输证据，无责任传输证据的信任主体为本次传输中未导致传输失败的节点，责任传输证据的信任主体为导致传输失败的节点。导致传输失败的节点产生一条证据(或无法产生证据系统产生缺省评价证据)，该证据的信任主体为目的节点。

3)跨域证据分发时，不存在cPCE产生证据的过程，但是在证据跨域分发过程中，证据的评价主体将根据证据主体转换的规则转换为评价主体所在域的cPCE，证据的信任主体将变为被评价节点及被评价节点所在域的cPCE的2个信任主体，发给这2个信任主体的信任管理者中去。

本发明的传输证据的结构为：证据(证据类别，传输时间，传输结果，主体角色，传输价值，业务评价)，简写为：

Evi(Cla,T,Res,Duty,Val,Asse) (1)

对于任意一条传输证据规定：证据类别变量Cla＝1；时间变量T等于当前证据产生的时间，即当前传输发生的时间；传输结果变量Res∈{-1,1}，且Res＝-1表示传输失败，Res＝1表示传输成功；主体角色变量Role∈{-1,0,1}，且Role＝-1表示信任主体造成了传输的失败，Role＝0表示评价主体造成了传输的失败，Role＝1表示评价主体和信任主体均无传输过错；价值变量Val由证据分发模块中的权重分配模块计算并赋值；传输评价变量Asse∈{-1,0,1}，且Asse＝-1表示评价主体给予负性评价，Asse＝0表示评价主体给予中性评价或缺失评价，Asse＝1表示评价主体给予正性评价。

(2)安全证据的产生

本发明的安全证据有域内安全证据和域间安全证据，当某节点作出危害网络安全的行为时，域内网络监测模块及时发现问题，直接向域内cPCE提交安全证据，该证据的信任主体为作出危害网络安全的行为的节点。当某cPCE作出危害网络安全的行为时，域间网络监测模块及时发现问题，直接向pPCE提交安全证据，该证据的信任主体为作出危害网络安全的行为的cPCE。

本发明定义安全证据的数据结构为：证据(证据类别，证据时间，危害等级)，简写为：

Evi(Cla,T,Lev) (2)

对于任意一条安全证据规定：证据类别变量Cla＝2；时间变量T等于当前证据产生的时间，即当前危害行为发生的时间；危害等级Lev∈{1,2,3,4,5}，且Lev＝1表示进行窃听攻击，Lev＝2表示通信模式分析，Lev＝3表示拒绝服务攻击，Lev＝4表示身份假冒攻击，Lev＝5表示消息篡改、伪造与重放攻击。

证据分发模块：

对信任管理者而言，除新的信任管理对象加入外，得到其他网络主体分发的其所属信任管理对象的证据是获取其信任管理对象信任度的唯一方法。本发明的信任模型规定，信任管理者无需在网络中收集这些证据，产生的证据将分发到信任主体的信任管理者中。

证据分发模块对产生的光网络证据进行分发过程包括以下几种分发情况：

(1)网络监测模块分发安全证据。该安全证据直接提交给相应的PCE，PCE完全相信网络监测模块，将该安全证据直接存入信任表中；

(2)域内节点间分发传输证据。节点向本域cPCE提交传输证据，cPCE在接收到双方的证据后，在了解光传输事件的结果信息(即传输是否失败和若传输失败哪个节点导致了失败)后为公平存储证据权重，cPCE根据信任管理模块中的规则处理Val字段的值，然后按照信任主体不同将传输数据分别存储到相应的信任表中；

(3)两个域节点间分发传输证据。首先，两个域的节点分别向其域内cPCE提交传输证据，该证据的信任主体为被评价节点。然后两个cPCE接收到证据后，为保护域内隐私，cPCE将评价主体由评价节点改为自身cPCE，并添加一个证据的信任主体为被评价节点所在域的cPCE。pPCE接收到双方的证据，在了解光传输事件的结果信息(即传输是否失败和若传输失败哪个域导致了失败)后为公平存储证据权重，pPCE根据信任管理模块中的规则处理Val字段的值，然后pPCE按照信任主体中的cPCE将证据分别存储到相应的信任表中，随后分别向交叉向2个cPCE转发修改后的证据，cPCE按照信任主体中的节点将证据分别存储到相应的信任表中，完成信任的分发过程。

当证据分发到位后，信任管理者将依据证据和控制平面检测到的传输的结果消息对传输证据分配权重。

当Cla＝1时，传输证据的权重应正比于流量和数据传输的网速，从而体现节点服务的质量，所以本信任模型规定证据中的Val变量的计算如公式(3)所示：

$Val=\frac{{\mathrm{flow}}^2}{\Delta t}---\left(3\right)$

其中flow表示本次传输的流量(单位：MB)，Δt表示本次传输总时间(单位：s)。

当光传输成功完成时或光传输由目的节点导致传输失败时，传输证据的权重w分配如表1所示。

表1权重d分配

当光传输由目的节点之外的节点导致传输失败时，为避免评价主体担心传输失败的信任主体本次对自己进行恶意评价，导致自己信任度降低而不敢如实评价，本次传输的最高层PCE(域内传输时为cPCE，域间传输时为pPCE)需要依据传输结果及双方的互评对双方提交的原始证据进行仲裁并修改证据的Val变量，再按照光传输成功完成的权重分配方法进行权重分配，维护光网络信任环境的公平公正。

设评价主体为A，导致传输失败的网络主体为B，当A≠B时，最高层PCE按表2的规定修改Val变量：

表2 Va/变量的修改

Tab.2 The modification of variable of val

当Cla＝2时，安全证据由于非常不利于网络构建信任环境，信任管理者将给予该类证据极大的权重对危害网络安全的节点进行严厉惩罚，按表3规则进行分配权重。

表3安全证据的权重

信任管理模块：

(1)基本信任分配函数的构造

当证据分发并存储到相应的证据表后，将触发加权信任函数表的插入操作，将证据转化为基本信任分配函数，将证据的权重和原来该基本信任分配函数的权重相加，作为该基本信任分配函数新的权重，本发明的信任模型加权信任函数的构造基于D-S证据理论，识别框架Θ为一个信任周期内对某信任主体的信任判别，即Θ＝{信任，不信任}，简写为：

Θ＝{t,d} (4)

基本信任分配函数定义为：

m(T,F,Θ) (5)

其中T＝{t},F＝{d},Θ＝{t,d}，为识别框架Θ的3个焦元，分别表示该证据对信任主体可信、不可信、无法判断可信与否的支持力度，证据按表4所示规则转化为相应的基本信任分配函数。

表4基本信任分配函数的设置

(2)加权信任函数的定义

本发明利用文献【1】中的D-S证据合并规则，但该规则直接对本信任模型的基本信任分配函数合并时，会引发证据的全面冲突，因为在合并时只要有1个转换成(1,0,0)和1个转换成(0,1,0)基本信任分配函数的证据，就能导致本发明公式(12)中K′＝1，基本信任分配函数合并规则退化为简单的加权合并运算，失去了引入D-S证据理论的必要性。为减小证据的完全冲突，本信任模型引入加权信任函数概念，目的是使基本信任分配函数能够灵活的分步合并。加权信任函数定义为：

M(m,w) (6)

其中w为基本信任分配函数m的权重。对任意信任管理对象的加权信任函数表，规定如下：

m₁＝(0.6,0,0.4)；

m₂＝(0.5,0,0.5)；

m₃＝(0.2,0.5,0.3)；

m₄＝(1,0,0)；

m₅＝(0.5,0.5,0)；

m₆＝(0,1,0)。

不同的证据转化成了相同的基本信任分配函数，那么该基本信任分配函数的权重就是转化为它的证据的权重之和。加权信任函数表通过累加相关证据的权重得到基本信任分配函数m₁,m₂,m₃,m₄,m₅,m₆的权重分别为w₁,w₂,w₃,w₄,w₅,w₆。

定义n个加权信任函数M₁,M₂,…,M_n合并为一个加权信任函数M的运算为：

$M=\oplus (M_1,M_2,...,M_n)---\left(7\right)$

其中，表示合并。

简写为：

$M=\underset{i=1}{\overset{n}{\oplus }}\left(M_i\right)---\left(8\right)$

加权信任函数的合并运算规定如下：

1)定义基本信任分配函数的绝对权重为：

$w_a\left(m_i\right)=\frac{w_i}{\underset{1\le j\le n}{\max }{w}_j}---\left(9\right)$

2)定义基本信任分配函数的相对权重为：

$w_r\left(m_i\right)=\frac{w_i}{\underset{j=1}{\overset{n}{\Sigma }}{w}_j}---\left(10\right)$

3)利用基本信任分配函数的绝对权重对原始信任函数做如下修改：

$m_i^{\prime }\left(A\right)=\left(\begin{array}{cc}{w}_a\left(m_i\right)·m_i\left(A\right),& A\ne \Theta \\ 1-\underset{B⋐\Theta ,B\ne A}{\Sigma }{w}_a\left(m_i\right)·m_i\left(B\right),& A=\Theta \end{array}\right)---\left(1\right)$

4)对修改后的信任函数按如下规则分别进行合并：

$m\left(A\right)=K^{\prime }·\delta (A,m)+\underset{B⋐\Theta ,\cap B=A}{\Sigma }\underset{j=1}{\overset{n}{\Pi }}{m_j}^{\prime }\left(B\right)---\left(12\right)$

其中表示修正后证据的总冲突；表示分配给冲突的比例。

5)加权信任函数的权重部分为：

$w=\underset{j=1}{\overset{n}{\Sigma }}{w}_j---\left(13\right)$

6)本发明对加权信任函数进行如下的分步合并：

$M=\oplus \left(\underset{i=1}{\overset{3}{\oplus }}\left(m_i,w_i\right),\underset{i=4}{\overset{6}{\oplus }}\left(m_i,w_i\right)\right)---\left(14\right)$

(3)节点信任度的计算

本发明的信任模型定义直接信任度、公共信任度、推荐信任度和综合信任度刻画某信任主体的可信程度。

1)假设以A为评价主体，B为信任主体的加权信任函数M₁,M₂,…,M₆合

并后的加权信任函数为M_A，B，A对B的直接信任度定义为：

Tru_A,B＝M_A，B(T)>

2)假设以B为信任主体的加权信任函数N₁,N₂,…,N₆合并后的加权信任函数为M_B，B的公共信任度定义为：

Tru_B＝M_B(T)>

3)假设A的n个推荐节点为C_i，i＝1,2,…,n，令A对B的推荐信任度定义为：

Tru_A→B＝M_A→B(T)>

M是加权信任函数，其数据结构为(可信概率，不可信概率，不确定可信度概率，权重)，表示为(T,F，Θ，w),M＝(M(T)，M(F)，M(Θ)，M(w))，因此M(T)表示为对象可信概率的值。

4)设α∈[0,1]为公共信任因子，表示A对公共信任度的借鉴程度，β∈[0,1]为推荐信任因子，表示A对推荐信任度的借鉴程度，且α和β满足α+β≤1，令A对B的综合信任度定义为：

${\mathrm{Tru}}_{A\Rightarrow B}=M_{A\Rightarrow B}\left(T\right)---\left(18\right)$

(4)节点信任度的初始化和更新

信任模型从t₀时刻开始运行，进入第一周期。当节点或cPCE加入光网络时，其信任管理者为其分配上一个周期公共信任度Tru_A＝0.5，并为其分配本周期加权信任函数(0.5,0.5,0,50)。系统每经过T_s进入下一信任周期，并对所有节点的信任表按如下规则统一更新：若信任主体A的某类信任度在上一周期的信任度值为Tru_-1，本周期的信任度值为Tru₀，A的信任管理者设置历史信任因子为σ∈[0,1]：则由系统时钟引发的更新将按公式(19)的规则修改信任度：

Tru＝σ·Tru_-1+(1-σ)Tru₀>

若本周期信任主体参与网络传输，没有任何相关证据，系统设定时间衰减因子δ∈(0,1)按公式(20)的规则进行更新：

Tru＝δ·Tru_-1>

当某节点或cPCE的公共信任度更新后小于0.2时，该节点或cPCE的信任管理者将剔除该节点，保护其它网络实体在更为可信的环境中进行光传输。

信任模型的应用

(1)节点评价

每个传输主体都希望自己能够得到对方的正性评价使自身获得较高的信任度，所以在传输后的评价环节，节点都会依据对方的综合信任度作为本次评价的依据。

当传输成功时，如正常节点都会对对方进行好评，若评价环节发生故障，可能产生缺省评价，若为恶意节点，则会对对方进行差评，所以光网络不修改这样的原始证据，因为该证据真实反应节点的意图。

当传输失败时，节点都倾向于对对方做出负性评价使本次交易的权重达到最小化，但节点也担心导致传输失败的信任主体本次或下次对自己进行恶意评价，从而带有很大的主观性。光网络为了给每个节点提供被评价节点的综合信任度，节点再通过博弈的方法计算最为理智的评价，最大程度消除评价的主观性。博弈过程如下所示：

设A为评价主体，B为导致传输失败的主体，由于权重是网络实体角色和Val的线性函数，可设w(m)＝f(a)，其权重矩阵如表2所示。假设双方只考虑本次传输失败给自身信任度带来的影响。由于失败的传输都会得到小于1的信任评判，所以双方都希望本次传输证据的权重能最小化。

从表2可以看出：对博弈方B而言，Asse＝-1策略完全占优Asse＝0策略，所以在不发生评价故障的情况下，B不会做出评价Asse＝0，除非偶然的故障因素而缺失评价，设发生评价故障的概率为ρ，B以x的概率选择Asse＝1，那么它以1-ρ-x的概率选择Asse＝-1；对博弈方A而言，他以μ的概率选择Asse＝1策略，则它以1-μ的概率选择Asse＝-1或Asse＝0策略。

则博弈方B的权重平均收益为：

$\begin{array}{c}w\left(B\right)=x·\left(\begin{array}{c}\mu ·f\left(0.25\right)+\\ (1-\mu )·f\left(2\right)\end{array}\right)+\\ \rho ·f\left(1\right)+(1-\rho -x)·f\left(0.5\right)\end{array}---\left(21\right)$

该收益函数的一阶条件为：

$\begin{array}{c}\mu ·f\left(0.25\right)+\\ (1-\mu )·f\left(2\right)-f\left(0.5\right)=0\end{array}---\left(22\right)$

即判别条件为：

$\mu 0=\frac{f\left(2\right)-f\left(0.5\right)}{f\left(2\right)-f\left(0.25\right)}---\left(23\right)$

即当时，B应选择策略Asse＝1，当时，B应选择策略Asse＝-1。

同理，博弈方A的权重平均收益为：

$\begin{array}{c}w\left(A\right)=\mu ·\left(\begin{array}{c}x·f\left(1\right)+\rho ·f\left(1\right)+\\ (1-\rho -x)·f\left(8\right)\end{array}\right)+\\ (1-\mu )·\left(\begin{array}{c}x·f\left(0.5\right)+\rho ·f\left(1\right)+\\ (1-\rho -x)·f\left(10\right)\end{array}\right)\end{array}---\left(24\right)$

该收益函数的一阶条件为：

$\begin{array}{c}x·f\left(1\right)+\rho ·f\left(1\right)+\\ (1-\rho -x)·f\left(8\right)-x·f\left(0.5\right)-\\ \rho ·f\left(1\right)-(1-\rho -x)·f\left(10\right)=0\end{array}---\left(25\right)$

即判别条件为：

$x0=\frac{(1-\rho )·\left(f\right(10)-f(8\left)\right)}{f\left(10\right)-f\left(8\right)+f\left(1\right)-f\left(0.5\right)}---\left(26\right)$

即当时，A应选择策略Asse＝-1或Asse＝0，当时，A应选择策略Asse＝1。

在实际的网络运行中，绝大多数传输信息较小，使得证据的Val值落在内(0,1000)中，所以即B只需要参考A的综合信任度与0.86的大小就能够作出理智的信任评价了。同理，一般情况下ρ极小，可假设ρ＝0，即当时，A应选择策略Asse＝0或Asse＝-1，当时，A应选择策略Asse＝1。但A仅对本次传输理智选择会对双方的下次合作带来不利影响，因为A一旦选择策略Asse＝0或Asse＝-1，就会降低B的信任度，导致B对A的直接信任度下降，进而使B对A的综合信任度降低，当B在未来某次评价中A有责任且计算出B对A的综合信任度小于博弈的一阶条件时，B将选择策略Asse＝-1，这时A将受到更大的惩罚，则A本次的恶意评价虽然暂时没有导致自身信任度快速下降，但将导致今后自身发生问题时付出更高的信任度降低代价。考虑到下一次博弈评价时不至于陷于被动，A将根据本次评价可能对今后产生的影响而做出更为符合长期利益的评价。

(2)路径信任度计算

由于光网络每个节点和cPCE都具有公共信任度，这为路径信任度计算提供了依据。假设背景为一次跨域光路建立过程，路径信任度计算过程如下：

1、根据分层PCE算路过程计算得到多条可选的跨域路径，假设得到了m条可选跨域路径L₁,L₂,…,L_m。

2、设其中某条跨域路径L_n经过h个域：D₁,D₂,…,D_h，这些域的cPCE的分别为：cPCE₁,cPCE₂,…,cPCE_h。

3、由于域内采取隐私保护，只有cPCE知道本条跨域路径在本域内经过的具体节点，该跨域路径经过的任意一个域D_k的cPCE将本域的路径段包含的所有节点的公共信任度相乘，结果作为本域路径段的信任度记做Tru_Link_k提交给pPCE。

4、pPCE收到跨域路径L_n的所有自治域信任度提交的计算结果后，利用公式(27)计算跨域路径L_n的信任度为：

${\mathrm{Tru}}_{L_n}=\underset{i=1}{\overset{h}{\Pi }}({\mathrm{Tru}}_{{\mathrm{cPCE}}_i}·Tru\_{\mathrm{Link}}_i)---\left(27\right)$

5、pPCE通过上述方法计算出每一条路径的路径信任度，按信任值从大到小排序，优先建立信任度最高的路径，当该路径资源不足时再考虑建立信任度次高的路径。

模型分析与仿真实验

(1)模型分析

定理1：在一个信任周期内，本信任模型的时间复杂度最多为O(m×n)，其中n为本周期与节点发生传输的节点，m为本周期与该节点相关的证据数量。

证明：每一次传输评价过程包含计算节点综合信任度、进行信任评价、分发证据、计算权重、存储或更新信任表。在综合信任计算环节，节点提出综合信任度计算请求，其信任管理者请求获得对方和推荐节点的信任管理者数据，结合自身存储的数据进行计算，计算复杂度最大为O(n)，在存储环节，为了插入信任数据，最多对所有相关节点进行遍历，计算复杂度最大为O(n)，所以当有m个证据进行分发管理时，其最大的时间复杂度为O(m×n)。

定理2：在一个信任周期内，本信任模型的空间复杂度最多为O(m)，其中m为本周期与该节点相关的证据。

证明：在信任度存储的环节，每个证据都要进行存储，产生空间复杂度O(m)，在加权信任函数表和信任度表中，虽然按评价主体不同进行了分类，但其复杂度不超过O(m)，所以综合得到本信任模型的空间复杂度最多为O(m)。

(2)仿真实验

本发明通过仿真来验证信任模型的有效性和可靠性。仿真的硬件环境如下：CPU为Intel Core i5 2.3GHZ，内存4G，Windows XP平台，仿真平台采用项目组开发的基于NS-2平台设计的光网络仿真系统SSANS^[10]，在此基础上扩展实现分层PCE的光网络信任模型，域内路由协议采用OSPF-TE，信令协议采用RSVP-TE，采用美国国家科学基金会网络(NSFNet)作为单域的拓扑结构，域间拓扑按图4所示方式连接。光连接请求到达满足泊松分布，连接保持时间满足指数分布，网络负载的单位为爱尔兰(Erlang)。各节点之间的光纤链路上的波长数为16，波长的带宽为2.5Gbps。模拟的相关参数配置如表5所示。

表5实验参数取值

由于网格信任模型也是一种基于概率的分层网络信任模型，不同的是网格信任模型是一种简单的基于行为的信任模型，采用两两互评的方法，运用简单的加权方法计算节点可信度。因此，本发明在仿真中对无信任模型、网格信任模型、本信任模型的阻塞率进行比较。

1)网络正常情况下的阻塞率情况

光网络中没有恶意节点或严重的网络故障的环境下，比较无信任模型、网格模型、本信任模型的阻塞率情况如图5所示。

从仿真结果可以看出，在网络没有安全威胁的情况下，无模型时光网络的阻塞率较低，网格模型和本模型的阻塞率较高，这是因为运用信任模型需要进行证据的分发和信任的存储带来一定阻塞，本模型较网格模型阻塞率稍小是因为本模型证据的多少和网络节点数线性相关，但网格模型由于完全两两评价使得证据数与传输节点数的平方线性相关，使得在网络节点数增加时阻塞率大于本模型。

2)网络受攻击时的阻塞率情况

在网络中设置一定比例的恶意节点后，光网络的阻塞率见图6。

随着恶意节点的增多，无信任模型无法清除恶意节点，恶意节点一直危害网络的安全，导致网络高的阻塞状态；网格模型和本模型对恶意节点进行信任度筛选，在节点做出一定量的危害行为后，会清除信任度很低的节点，从而降低阻塞率。