一個針對行動無基礎網路中的信任證據產生、散佈與信任值計算機制

國 立 交 通 大 學

資訊管理研究所

碩 士 論 文

一個針對行動無基礎網路中的信任證據產生、散佈與信任值計

算機制

A Trust Evidence Establishment, Distribution and Value

Computation Mechanism for Mobile Ad Hoc Networks

研 究 生：黃展翊

指導教授：羅濟群 博士

一個針對行動無基礎網路中的信任證據產生、散佈與信任值

計算機制

A Trust Evidence Establishment, Distribution and Value Computation

Mechanism for Mobile Ad Hoc Networks

研 究 生：黃展翊 Student: Chan-Yi Huang 指導教授：羅濟群 Advisor: Chi-Chun Lo

國立交通大學 資訊管理研究所

碩士論文

A Thesis

Submitted to Institute of Information Management College of Management

National Chiao Tung University in Partial Fulfillment of the Requirements

for the Degree of Master of Science

in

Information Management June 2007

Hsinchu, Taiwan, the Republic of China

一個針對行動無基礎網路中的信任證據產生、散佈與信任值

計算機制

研究生：黃展翊 指導教授：羅濟群 博士

國立交通大學

資訊管理研究所

摘要

身分認證在行動無基礎網路中是網路使用者識別的基礎方式，讓周圍節點確 認往後將要通訊的對象。又為了衡量通訊節點的行為，可將節點識別和信任程度 相互結合，以達到資料轉送的安全。然而在行動無基礎網路中的節點為互相獨立 且為完全自我組成架構，所以必須擬定一套包含身分識別、憑證資訊、以及信任 機制的整體信任證據運作，並在線上做信任證據產生、散佈、衡量、以及驗證。 本研究針對行動無基礎網路提出一個分散式的信任證據運作機制，讓網路節 點可以各自產生代表己方的憑證並擁有相關的信任識別，而不用中央管理端控 管，以作為節點的識別、傳送、衡量。信任證據管理方法可讓信任證據在網路中 經由傳送來得到節點的資訊，且不會被假造或修改。節點在經過互動後，信任值 高的節點可透過信任值重新衡量適時反應先前階段的互動結果。於實驗中證明此 信任證據運作方式可以解決自私節點和惡意節點的問題，並可以在行動無基礎網 路中得到最好的路由參考。運用賽局理論也可證明節點合作可以得到最大的利 益，若中繼節點採取背離的策略，則此節點會因為信任值的降低而成為不受信任 的節點，故傳送資料時也會遭受其他節點的拒絕，直到合作為止。 關鍵字：行動無基礎網路、信任證據、信任產生、信任散佈、信任成員、信 任節點、信任值、總信任值、賽局理論

A Trust Evidence Establishment, Distribution and Value Computation

Mechanism for Mobile Ad Hoc Networks

Student: Chan-Yi Huang Advisor: Dr. Chi-Chun Lo National Chiao Tung University

Institute of Information Management

Abstract

Personal identity is the basic way to present user’s role for MANETs, so all around nodes can verify the node which they will communicate with in the future. In order to evaluate the node’s behavior, we can combine the identity with trust value. But nodes are in independent and self-configured architecture, so it is important to develop a totally trust evidence which contains personal identity, certificate information, and trust operation mechanism. Moreover, the trust evidence can be established, distributed, evaluated, and verified on-line.

This research proposes the distributed trust evidence operation mechanism for MANETs. The node establishes certificate itself and has corresponding trust identity without central certificate authority. The way to manage trust evidence can get others’ trust evidence via the transmission of packets and would not be modified by malicious nodes. The model will resolve selfish node and malicious node problem via simulation. It will be suitable to operate MANETs and provide most correct routing reference. We can also prove that nodes in MANETs will cooperate via game theory. After interaction, higher trust nodes can reflect the outcome and re-evaluate the trust. If the intermediate node deviates, its trust value will be decreased and will be regarded as the doubtful node. Therefore when the doubtful node requests surrounding node to forward packets, it will be rejected until the node cooperates.

Key words: mobile ad hoc networks, trust evidence, trust establishment, trust distribution, trust member, trust node, trust value, total trust value, game theory

誌謝

本論文的完成首先感謝家人對我的支持與鼓勵，當我遇到困難時雖然他們無 法提供技術上的支持，但是在精神上的鼓勵使得我能不畏失敗繼續挑戰。 感謝羅濟群老師在研究上給我的指導及指教，雖然我有時呈現的進度無法令 老師滿意，但是老師不厭其煩的修正且可耐心的解答我的問題，我會遵照老師的 教誨並在往後工作及處世中追求最好的表現。 其次感謝實驗室的俊傑、鼎元、智超以及友義學長對我論文的建議及改正， 在我低潮的時候安慰我，並適時的在論文的每一個階段提示正確的方向。還有實 驗室的學長姐、同學和學弟，有你們的地方充滿著歡笑，讓我的研究過程不會感 到枯燥乏味，反之實驗室的氣氛使得我能以輕鬆的態度迎接挑戰。同時感謝聖鈞 和崴逸同學的鼓勵，使得我在遇到瓶頸的時候能給我多方面的建議。 最後感謝去年過世的外婆，雖然無法在您面前畢業，但是我答應您會好好的 認真讀書及工作，希望您在天之靈可以感受到我對您的思念，在將來能成為有用 的人。

目錄

第一章 緒論... - 1 - 1.1 研究動機... - 1 - 1.2 研究目標... - 2 - 1.3 研究方法... - 3 - 1.4 研究架構... - 4 - 1.5 章節介紹... - 5 - 第二章 文獻探討... - 6 - 2.1 行動無基礎網路... - 6 - 2.1.1 蜂巢式網路及行動無基礎網路... - 6 - 2.1.2 行動無基礎網路的特性... - 7 - 2.1.3 行動無基礎網路的應用... - 8 - 2.2 行動無基礎網路之公鑰管理... - 9 - 2.3 信任證據與信任值... - 11 - 2.3.1 信任證據... - 11 - 2.3.2 信任建立... - 13 - 2.3.3 信任關係... - 15 - 2.3.4 信任散佈... - 15 - 2.3.5 信任值計算與衡量... - 18 - 2.4 賽局理論... - 20 - 2.4.1 賽局理論... - 20 - 2.4.2 納許均衡... - 22 - 2.4.3 標準型式賽局... - 23 - 2.4.4 擴展形式賽局... - 26 - 2.4.5 賽局於無線網路中之應用... - 28 - 第三章 信任證據產生、散佈與信任值計算機制... - 34 - 3.1 問題定義... - 34 - 3.1.1 信任散佈問題... - 34 - 3.1.2 自私節點問題... - 35 - 3.1.3 惡意節點問題... - 35 - 3.1.4 個別信任值問題... - 36 - 3.2 研究假設... - 36 - 3.2.1 節點資訊... - 37 - 3.2.2 信任證據... - 37 - 3.2.3 環境資訊... - 37 - 3.3 信任證據資料表示... - 38 - 3.4 信任證據產生與散佈... - 40 -

第四章 實作模擬與結果分析... - 50 - 4.1 模擬相關議題... - 50 - 4.1.1 模擬環境... - 50 - 4.1.2 模擬參數... - 51 - 4.1.3 模擬效率評估... - 51 - 4.1.4 模擬案例... - 52 - 4.2 模擬流程... - 53 - 4.3 案例一:自私節點之總信任值參考比較 ... - 55 - 4.3.1 節點個數於自私節點之有無採用總信任值參考比較... - 55 - 4.3.2 自私節點比例之有無採用總信任值參考比較... - 58 - 4.4 案例二:惡意節點信任比較 ... - 60 - 4.4.1 節點個數於惡意節點之有無採用總信任值參考比較... - 60 - 4.4.2 惡意節點比例之有無採用總信任值參考比較... - 62 - 4.5 案例三:個別信任值與總信任值權重分配 ... - 65 - 4.6 模擬結果比較... - 67 - 第五章 行動無基礎網路信任賽局分析... - 69 - 5.1 賽局符號定義... - 69 - 5.2 賽局評估效用分析... - 70 - 5.3 信任賽局之連續封包傳送問題... - 71 - 5.2.1 連續封包傳送擴展式賽局... - 72 - 5.2.2 連續封包傳送標準形式賽局... - 73 - 5.4 信任賽局之相互封包傳送問題... - 75 - 5.4.1 相互封包傳送擴展式賽局... - 76 - 5.4.2 相互封包傳送標準形式賽局... - 77 - 5.5 第三方合作節點賽局... - 80 - 5.5.1 存在合作備援節點... - 80 - 5.5.2 不存在合作備援節點... - 81 - 5.6 信任賽局分析結論... - 82 - 第六章 結論與建議... - 84 - 6.1 憑證中心與信任證據比較... - 84 - 6.2 研究結論... - 85 - 6.3 未來研究方向... - 86 -

圖目錄

圖1 論文研究步驟... - 4 - 圖2 研究架構... - 5 - 圖3 蜂巢和行動無基礎網路... - 7 - 圖4 公鑰憑證發佈圖... - 10 - 圖5 憑證交換圖... - 10 - 圖6 憑證更新... - 11 - 圖7 信任證據軍事應用實例... - 12 - 圖8 於信任模式中信任建立之邏輯流程... - 14 - 圖9 於行動無基礎網路中不同 k 值之信任鏈... - 14 - 圖10 信任關係運作... - 15 - 圖11 信任關係特性 ... - 15 - 圖12 semiring 路徑評價... - 16 - 圖13 推薦架構資料流... - 16 - 圖14 評價空間... - 19 - 圖15 信任衡量系統運作... - 20 - 圖16 一階段擴展式賽局實例... - 27 - 圖17 連續封包傳送問題... - 28 - 圖18 連續封包傳送擴展式賽局... - 30 - 圖19 相互封包傳送問題... - 30 - 圖20 相互封包傳送擴展式賽局... - 32 - 圖21 信任擴展形式賽局... - 33 - 圖22 不完全資訊之信任擴展式賽局... - 34 - 圖23 信任成員表示關係... - 38 - 圖24 信任節點表示關係... - 39 - 圖25 節點信任證據產生與信任值衡量流程圖... - 41 - 圖26 新進節點初始化流程圖... - 43 - 圖27 舊節點信任證據衡量及總信任值計算流程圖... - 44 - 圖28 區塊驗證圖... - 46 - 圖29 區塊互相驗證流程圖... - 47 - 圖30 節點資料傳送流程圖... - 47 - 圖31 節點離開之資料註銷流程圖... - 48 - 圖32 模擬流程圖... - 53 - 圖33 自私節點有無總信任值參考 End-to-end 平均延遲時間比較... - 56 - 圖34 自私節點有無總信任值參考平均產量比較... - 57 - 圖35 自私節點有無總信任值參考平均封包遺失率比較... - 57 - 圖36 自私節點比例之有無總信任值參考 End-to-End 平均延遲時間比較 ... - 58 -

圖37 自私節點比例之有無總信任值參考平均產量比較... - 59 - 圖38 自私節點比例之有無總信任值參考平均封包遺失率比較... - 59 - 圖39 惡意節點有無總信任值參考 End-to-end 平均延遲時間比較... - 61 - 圖40 惡意節點有無總信任值參考平均產量比較... - 61 - 圖41 惡意節點有無總信任值參考平均封包遺失率比較... - 62 - 圖42 惡意節點比例之有無總信任值參考 End-to-End 平均延遲時間比較 ... - 63 - 圖43 惡意節點比例之有無總信任值參考平均產量比較... - 63 - 圖44 惡意節點比例之有無總信任值參考平均封包遺失率比較... - 64 - 圖45 個別信任值與總信任值權重分配 End-to-End 平均延遲時間 ... - 66 - 圖46 個別信任值與總信任值權重分配平均產量... - 66 - 圖47 個別信任值與總信任值權重分配平均封包遺失率... - 67 - 圖48 合作報酬大於背離報酬表示... - 71 - 圖49 信任賽局之連續封包傳送問題... - 71 - 圖50 狀況一:一階段連續封包傳送擴展式賽局 ... - 72 - 圖51 狀況二:一階段連續封包傳送擴展式賽局 ... - 73 - 圖52 相互封包傳送問題... - 75 - 圖53 狀況一:一階段相互封包傳送擴展式賽局 ... - 76 - 圖54 狀況二:一階段相互封包傳送擴展式賽局 ... - 77 - 圖55 第三方合作節點示意圖... - 80 -

表目錄

表1 蜂巢式網路與行動無基礎網路比較... - 7 - 表2 行為剖繪格式... - 17 - 表3 節點憑證表... - 17 - 表4 囚犯兩難標準形式賽局... - 24 - 表5 第一天投資情況標準形式賽局... - 25 - 表6 第二天投資情況標準形式賽局... - 26 - 表7 連續封包傳送問題標準形式賽局... - 29 - 表8 相互封包傳送問題標準形式賽局... - 31 - 表9 信任成員資料表示... - 38 - 表10 信任節點資料表示... - 40 - 表11 自私節點與惡意節點效率評估比較 ... - 68 - 表12 個別信任值與總信任值權重之效率評估比較... - 68 - 表13 第一階段連續封包傳送問題標準形式賽局... - 73 - 表14 第二階段連續封包傳送問題標準形式賽局... - 73 - 表15 連續封包傳送標準形式賽局... - 74 - 表16 連續封包傳送總報酬... - 74 - 表17 第一階段相互封包傳送問題標準形式賽局... - 77 - 表18 第二階段相互封包傳送問題標準形式賽局... - 77 - 表19 相互封包傳送標準形式賽局... - 78 - 表20 相互封包傳送總報酬... - 79 - 表21 憑證中心與信任證據比較... - 84 -

第一章 緒論

1.1 研究動機

在現今的網路通訊中，已經由有線網路連結擴展至無線網路的通訊，而無線 網路主要由無線基地台和行動裝置組成，例如無線擷取點(Access Point)和 PDA。 隨著3G 以及 WiMax 時代的來臨，無線網路的發展成為將來的趨勢。 無線網路和有線網路最大的不同在於媒介存取與行動裝置的傳輸範圍限 制，於基礎網路(Infrastructure Network)中，擷取點的無線媒介傳播的傳輸只能持 續在一個範圍之內，若網路行動裝置移出擷取點所涵蓋的傳輸範圍時，便無法使 用無線網路服務。此外擷取點的部署亦是一大問題，有些地區因為硬體或成本限 制而無法架設擷取點，則會影響行動裝置的無線媒介存取範圍。

有鑑於基礎網路的限制，行動無基礎網路(Mobile Ad Hoc Network, MANET) 便被提出以解決上述問題，此網路架構是由獨立的行動裝置所組成，具有自我組 成的能力(Self-Organization)，可不須經由擷取點的支援運作，例如當傳送端節點 想將資料傳輸到遠方接收端節點時，因為傳輸範圍的限制無法直接傳送至目的 地，所以必須經由多點跳躍(Multi-hop)的方式由中繼節點續傳至接收端。 但是因為無線媒介的傳輸有一些安全機制的問題，所以本研究針對以下的問 題發展出一套信任的機制。 (1) 無線網路易遭到有心人士的竊取，並將資料修改或藉由其他的方式對行動裝 置做出攻擊。 (2) 在長期的通訊之下，不管是主動或是被動的攻擊，都會造成傷害。 (3) 行動無基礎網路是一種無中央管理的網路架構，故無集中管理的特性，有賴 於發展分散式的安全管理架構才可確保資訊安全的運作。 (4) 行動無基礎網路是一個動態的拓樸架構，故節點的加入或離開都會動態的影 響網路架構。 (5) 在現有的認證機制中，以 PKI 為基礎的認證機制因為是以中央控制憑證中心

(Certificate Authority)為主，故不適合行動無基礎網路。 (6) 受限於行動裝置的傳輸範圍，中繼節點可能因為省電而不將資料續傳，所以 必須發展出一套機制以辦別節點的信賴程度。 本研究致力於提供行動無基礎網路在資料傳輸時的信任證據，藉由分散式的 信任模式，讓每個節點都有各自的身分識別並將信任的情況表示，且不用線上的 第三方做憑證的產生、發放與管理而可達成相互認證之目的，讓節點在進行資料 傳輸時能夠判定中繼節點是否為信任的節點。

1.2 研究目標

以往在無線網路中的安全性研究中主要是以憑證中心(Certificate Authority) 作為實體的憑證發給中心，網路節點藉由第三公正方的憑證來做基本的金鑰及資 料交換基礎。但是在行動無基礎網路中，因為無線媒介範圍限制以及動態變動拓 墣的關係，導致於實體憑證中心變的不可行。本研究之目標為在行動無基礎網路 中建立分散式的信任機制，讓網路節點可以擁有屬於各自的信任證據(Trust Evidence)，並透過自我組成的方式管理。此外為了解決網路自私節點與惡意節點 的問題，本研究期望除了建立個別節點互動後所評估之個別信任值之外，亦可整 合各節點的信任值以求出此評估節點的總信任值，讓新進節點可以參考此節點之 信任程度。節點在選擇中繼節點時除了可以參考個別信任值之外，也可藉由總信 任值衡量來瞭解此節點和周圍節點互動的情況。 傳送資料需要耗費一定的資源，若沒有給予中繼節點一定的報酬，則中繼節 點傾向不會轉送資料，故需要發展整體的信任值機制來對行動節點做評比，讓合 作節點可以得到增加信任值的報酬，而自私節點和惡意節點則會因為和周圍節點 的互動中被認定為不合作之節點，故會被減去一定的信任值。而在下一階段互動 時，信任值高的節點的資料可以被優先傳遞並享有較好的服務品質，而信任值低 的節點的轉送優先順序會較低，甚至轉送封包會被丟棄。本研究會用賽局來證明 在行動無基礎網路中節點經由此信任機制會趨於合作的結果，並得到一定的報

酬。若節點選擇不合作則會漸漸被其他節點所忽略，故此節點雖然仍可在行動無 基礎網路中存在，但是它的封包轉送要求會被其他節點拒絕，且無法和周圍節點 互動。

本研究是以 Laurent Eschenauer, Virgil D,. Gligor, and John Baras 所提出的 On Trust Establishment in Mobile Ad Hoc Networks[6]為基礎，建構屬於行動無基礎 網路節點的信任證據識別，並將信任機制包含至此識別，接著發展一套信任證據 安全傳送及信任值衡量方式讓信任證據可以被網路節點存取。為了解決自私節點 及惡意節點的問題，本研究可驗證經過信任證據的衡量後，可以基於Vincent Buskens 的 Social Networks and Trust[3]證明不合作的節點會有一定的懲罰 (Penalty)，且網路節點會朝向合作的結果。

1.3 研究方法

首先會就行動無基礎網路的架構與特性做討論，並根據所學之領域思考可研 究之方向為何。在確定信任領域的研究方向後便針對研究之行動無基礎網路、信 任證據、信任值、以及賽局做資料的蒐集和文獻探討，瞭解以往所著墨之部分和 研究可改進的方向。根據文獻可確定研究之目的為發展一線上產生的信任證據識 別機制，讓行動節點可以藉由自我組成管理周圍節點的識別，且針對互動之結果 對節點產生評價，並經由可行性分析所有可能出現的問題及解決之方向。經由信 任證據方法提出和不斷的修正後，將節點的識別號碼、公鑰、信任成員和信任節 點之個別信任值、以及相關的雜湊函數包在整體的信任證據中，並在無行動基礎 網路中產生、散佈、衡量及作區塊驗證。接著討論節點在網路中運作之情形，並 利用賽局理論驗證節點必須藉由合作來得到最大之報酬，再加上以NS2 模擬節 點採用此信任機制和無採用時的比較，若驗證出現問題時亦可做修正，以得到結 果分析並驗證。在整套研究方法完成後便可將結果文件化，且經由不斷驗證改進 方法，讓本研究能帶出一定之貢獻。

圖1 論文研究步驟

1.4 研究架構

首先會就應用於軍事上的信任證據[6]衍生至行動無基礎網路中，並探討如 何將身分識別、公鑰、信任成員、信任節點合併於信任證據中，最後研究相關的 方法以抗衡自私節點和惡意節點的攻擊，亦即信任證據的衡量。節點在網路中的 互動結果可以由各別信任值來反應出信任的情況，本研究會探討如何將各別信任 值結合以及如何計算總信任值的方法。為了證明此信證據真正屬於該節點以及查 證信任值的計算是否正確，可利用區塊驗證的方式來查證。根據信任值可利用賽

局理論分析節點的互動情況，並將連續封包傳送和相互封包傳送問題結合，若有 節點採取背離策略時，也可探討尋找第三方節點的情況，和得到的報酬分析。 信任證據 個人識別 公鑰 信任成員 信任節點 總信任值 信任證據衡量 自私節點 惡意節點 個別信任值計算 與總信任值整合 相互驗證 賽局分析 連續封包傳送問題 相互封包傳送問題 尋找第三方節點傳送 圖2 研究架構

1.5 章節介紹

本研究分為六章節，第一章為本研究之簡介及研究方法之介紹，第二章會針 對行動無基礎網路、公鑰管理、信任證據、信任值和賽局作文獻探討，第三章則 會提出信任證據的方法和總信任值計算機制，第四會利用NS2 對整體方法做分 析及驗證。第五章利用賽局理論分析在信任證據的機制下，節點合作和不合作狀 態對封包傳送之影響和報酬，並表達節點合作之最大利益結果。最後第六章總結 本研究之結論及闡述未來可研究之方向。

第二章 文獻探討

2.1 行動無基礎網路

有線網路的發展已經趨於成熟的階段，雖然具有穩定及頻寬等一點存在，

但是其連接工作站之不可移動性為其最大的缺點。隨著IEEE 802.11 無線網路的 發展，讓行動工作站可藉由自我組成來建構無線網路環境，並可透過多點跳躍的 傳輸方式來達到通訊的目的。因為不需基礎設備的支援即可運作，故可用軍事或 緊急救援行動，近年來已經運用於商業用途中，以達成區域服務導向的服務 (Location Based Service)。

2.1.1 蜂巢式網路及行動無基礎網路

於行動通訊中最初的網路架構為蜂巢式網路(Cellular Networks)，其需要依靠 基礎設備如基地台的支援才能運作，節點之間的必需經過單點跳躍(Single-hop) 的方式接力完成。蜂巢式網路的優點在於基地台的存在可採集中的方式來做路由 與資源的管理，以提供較安全與穩定的通訊服務，其缺點在於環境的建置需耗費 成本且基地台若故障或節點移動到基地台通訊範圍以外則無法通訊。

因為 IEEE 802.11 的通訊協定制定，讓無基礎無線網路(Ad Hoc Wireless Network)的架構產生，其節點間透過多點跳躍(Multi-hop)的方式由多個節點的傳 遞來完成資料傳輸，由於無基礎行動網路缺乏基地台的存在，使得路由與資源的 管理必須採取分散的方式來處理。行動無基礎網路亦包含了無線網狀網路 (Wireless Mesh Networks)以及無線感測網路(Wireless Sensor Networks)，無線網狀 網路的節點之間都會有鏈路連結存在，而無線感測網路可以讓感測節點(Sensor) 在特定的領域應用且在網路環境存在。

圖3 的蜂巢和行動無基礎網路圖[13]可以闡述其中的關係，除了上述所提的 網路之外，若網路架構包含兩者或網路架構可連接兩不同的網路，則稱為混合無 線網路(Hybrid Wireless Networks)。

圖3 蜂巢和行動無基礎網路 表1 針對了蜂巢式網路以及行動無基礎網路做比較，由結果可知本研究適合 動態架構且建立時間短的行動無基礎網路，所以在往後的研究都是基於行動無基 礎網路之下發展不同的應用。 表1 蜂巢式網路與行動無基礎網路比較 蜂巢式網路 行動無基礎網路 架構 固定式架構 動態架構 主要目的 最大化通話接收率 最短路徑傳送 資源管理 集中式 分散式 頻寬管理 保證頻寬 共享無線電頻道 資料交換 線路交換 封包交換 無線鏈結 單點跳躍 多點跳躍 路由方式 簡單 複雜 環境建置成本 高 低 環境建置時間 長 短 應用領域 手機通訊及3G 軍事及救援

2.1.2 行動無基礎網路的特性

根據上表所比較的特性可知，行動無基礎網路的兩大特性包含了動態拓璞

(Dynamic Topology)、多點跳躍(Multi-hop)、以及自我組成能力 (Self-Organization)，以下針對此三大特性詳述。 動態拓樸起因於無基礎行動網路的通訊節點具有移動性，這些通訊節點可隨 時進入或離開網路環境並在網路環境中任意的移動。為了滿足節點移動性的需 求，這些節點往往具備有限的運算能力或電源供應，並且使用無線網路作為傳輸 媒介。 多點跳躍可讓節點之間的通訊可藉由任何介於兩個節點之間的數個節點的 協助來完成，因此封包傳遞路徑的選擇較為彈性但也因此較為複雜。由於行動無 基礎網路缺乏基地台的存在，使得路由與資源的管理必須採取分散的方式來處 理。 最後一個重要的特性為自我組成，在同一網路中節點可動態組織與維護網 路 ， 其 中 可 透 過 鄰 近 節 點 發 現(Neighbor Discovery) 、 拓 樸 組 織 (Topology Organization)、以及拓樸重新組織(Topology Reorganization)來達成。鄰近節點發 現階段可讓節點藉由Beacon 獲取周圍節點資訊並維護和紀錄環境資訊。至於在 拓樸組織階段時，每個節點都會蒐集整個或部分網路的資訊以維護拓樸資訊。最 後在拓樸重新組織階段時節點可依據節點移動情況、節點毀損、惡意行為和自私 行為來更新拓樸資訊，其更新方式為定期更新或觸發更新。

2.1.3 行動無基礎網路的應用

由於行動無基礎網路不需任何基礎設備的支援，且具有網路環境建置需求成 本低與速度快的特性，因此可用於軍事或緊急救援行動等，並應用商業用途中以 提供便利的生活。 在軍事用途方面，無基礎行動網路特別適合用來作為軍隊作戰時通訊的媒 介，由於在敵軍領土建立基礎設備來協助通訊幾乎無法立即辦到的，此時無基礎 行動網路就可做為即時的通訊方式，此外對於大型的軍事單位，可藉由衛星所提 供的全球定位系統(Global Positioning System, GPS)來使無基礎行動網路的路由

與資源的管理運作更有效率。 又因為PDA 及筆記型電腦的普及使得無線網路和 GPS 的使用更趨頻繁，例 如定位服務和以區域為基礎的服務產品銷售近年來都處於上升的狀態。但是無線 網路的移動性以及訊號廣播的特性讓無線存取安全產生疑慮，故必須制定一套信 任機制以維護無線網路的封包傳送安全。

2.2 行動無基礎網路之公鑰管理

在有線網路中，公鑰及憑證的產生主要是由第三公正(Third Party)方的中央 控制伺服器所發給，並可做資料驗證之工作。然而在行動無基礎網路中，網路節 點是以分散式的分佈並具有動態的拓樸架構，使得線上的憑證中心(Certificate Authority)不可行，故需要建立以自我組成為基礎之公鑰管理機制，但是因為沒 有公正方做安全性之驗證，讓公鑰的正確性產生質疑。Srdjan Capkun, Levente Buttyan, and Jean-Pierre Hubaux 建立了完全公鑰自我組成管理系統[4]，藉由使用 者控制系統的安全設定以做憑證的驗證工作。 Step 0:使用者初始化個別的公鑰/私鑰配對。 Step 1:使用者發出公鑰憑證。 當使用者初始化公鑰憑證後，會附加有效時間(Valid Period, Tv)，憑證在有效 時間內才有效，等過了有效時間後使用者必須重新初始化公鑰憑證。接著節點會 建立更新(Updated)與非更新(Nonupdated)貯藏庫(Repository)，然後在行動無基礎 網路中運作，所以會產生憑證圖(Certificate Graph G)，如圖 4 所示。

圖4 公鑰憑證發佈圖 使用者u 可以藉由間接通道的資料傳輸相信使用者 v 的公鑰 Kv屬於使用者 v，使用者 v 可把他的憑證資訊和公鑰利用數位簽章的方式發給使用者 v。 Step 2:節點進行憑證交換。 節點會發送一定傳輸範圍要求來搜集周圍節點憑證並創造非更新的憑證貯 藏庫。 圖5 憑證交換圖 Step 3:節點建造更新憑證貯藏庫。 可利用兩種方式更新，第一種方式為和周圍鄰居驗證圖通訊以獲得新的憑 證。第二種方式則是利用貯藏庫建構演算法利用接力的方式將憑證貯藏庫的憑證 資料更新。所以在公鑰的傳遞當中亦包含了節點的憑證資訊，若有惡意節點假造 公鑰並宣稱此公鑰為特定節點所發給時，周圍節點可利用本身儲存的貯藏庫憑證 資訊或利用接力的方式向原節點求證，便可發現此公鑰非原節點所發出，故可確 保公鑰的來源真實性。

圖6 憑證更新 經由完全自我組成的公鑰管理，每個使用者可以為他的公鑰憑證負責並傳遞 屬於他本身的憑證給網路其他節點，並可藉由憑證圖的建構達成高效率的憑證傳 遞，讓認證功能再行動環境下能快速進行且可偵測出不一致和錯誤的憑證。

2.3 信任證據與信任值

在社會化的互動中，因為每個人皆為獨立的個體，為了在團體環境中生存， 人和人之間必須透過互動以得到利益，但是如何選擇較有信譽的人合作是個重要 的課題，故信任在此社會便產生了，人們藉由信任的關係獲取雙贏的結果，並排 除自私且具惡意的人。行動無基礎網路中節點也有其類似的信任關係，節點需要 有信任的周圍節點以代傳封包，並需要幫助其他節點傳送封包以建立互信的關 係。Vincent Buskens 定義了網路節點的信任特徵[3]。 (1) 信任是節點受其他節點信任的程度。

(2) 被信任的節點可以發揚信任(Honor Trust)或欺騙信任(Abuse Trust)。

(3) 當一節點信任另一節點，它可以請求被信任節點幫忙轉送封包，同時若此被 信任的節點請求原先節點幫忙轉送封包時，此原先節點會幫忙轉送封包。 (4) 在信任關係建立後，會有一段時間讓節點做互動，當節點背離時原先節點可 以不對此背離節點採取信任的態度;相反的若被信任節點合作時，原先節點會享 受到發揚節點所得到的利益。

2.3.1 信任證據

身分認證在無行動基礎網路中是網路使用者表達自己識別的基礎方式，以讓 周圍節點確認往後將要通訊的對象，又為了衡量通訊節點的信任程度，可以將節 點識別和信任程度相互結合，以達到資料轉送的安全。此外亦可將認證的概念用 於數位簽章，藉由簽章讓文件確認為該方所簽署，以達成不可否認性之要求。然 而在行動無基礎網路中的節點為互相獨立且為完全自我組成的架構，所以必須擬 定一套包含身分識別、憑證資訊、以及信任機制的整體信任證據方式，並在線上

(On-line)做個別節點信任證據產生、散佈、衡量、以及驗證。 信任證據最先用於軍事聯盟中[6]以表示友軍的識別標誌。在圖 7 的軍事應 用實例中，假設英國(UK)和美國(US)互為友邦並擁有互相信任關係(Peer Trust Relation)。當英國步兵團(UK1)戰爭失敗退守至山洞以請求支援時，可利用信任 證據識別(軍旗、軍服或其他識別証明)以證明 UK1 是友軍，並透過 GPS 告知其 所在位置。這時英國指揮總部便可透過互相信任關係告知美國的指揮部以尋求支 援，美國指揮部便可告知其步兵團(US1)前往指定地點救援。 圖7 信任證據軍事應用實例 基於以上的軍事運用，在行動無基礎網路中便更近一步的拓展信任證據，以 重新定義網路節點中的信任證據。 (1) 信任證據是一個憑證，可表示節點的獨一性(Uniqueness)及特性 (Characteristics)。 (2) 信任證據可以是一個識別、公鑰、所在位置和獨立的安全資產。 (3) 信任證據需要政策及衡量標準以建立其信任度。 (4) 信任證據在傳送時需要用節點的私鑰加密並有一段有效期限。 信任證據需被: (1) 在網路節點中被產生、儲存、保護。 (2) 當需要時要動態路由至目的。

(3) 經由信任關係而線上(On The Fly)衡量動態證明。

對點的方式衡量。

2.3.2 信任建立

倘若節點希望在行動無基礎網路中被其他節點所信任，且想要信任一中繼節 點，則可以藉由信任建立(Trust Establishment)來達成。信任的建立可由系統蒐集 客戶端(Client)的信任證據、定義信任政策，並基於以上兩者建立信任標準(Trust Level)。在信任建立時可針對信任政策(Trust Policy)、環境情況(Environment Context)、信任證據(Trust Evidence)、以及名譽(Reputation)來計算節點的信任值， 以作為資料傳輸的節點選擇參考[20]。在信任政策中，是由管理者定義系統的安 全判定方式以作為信任模式的衡量準則。而在環境情況中，包含了節點在環境的 互動結果，例如頻寬、資料延遲、資料抖動等參數。信任證據則是節點的憑證和 行為紀錄的真偽來改變信任值的大小。最後名譽是利用存取控制、加密、信任磋 商、信任名譽衡量、信任授權及其他的衡量紀錄，最後將此四種衡量方式综合評 估已決定節點的信任程度。由下圖可知，當客戶端要求存取資源時，伺服器可由 特定資源定義的信任政策和信任證據特性了解其需要驗證的信任模式為何。接下 來便可利用信任特性取得相對的信任衡量資格、環境情況、行為、及名譽，來衡 量是否信任此節點，若證據不足則可在蒐集其他的證據。

圖8 於信任模式中信任建立之邏輯流程 於遍佈式計算環境中，因為行動化以及節點的動態性、不確定性、以及彈性 讓信任建立的政策需要進行調整。當系統沒有客戶端資訊和第三方資訊時，需要 進行信任溝通(Trust Negotiation)，使得客戶端和系統逐漸地揭露它們的證件以達 成存取控制協定。而當系統信任客戶端時，它可以給予客戶特定的權利，這就是 信任授權(Trust Delegation)的機制。

Kui Ren, Tieyan Li, Zhiguo Wan, Fen Bao, Robert H. Deng, and Kwangjo Kim 提出一套信任建立的機制[15]，基於每個節點都有各自的公鑰/私鑰以及節點註 冊時其識別和公鑰都會由一私密的處理中心(Secret Dealer)儲存之假設，在信任建 立後節點會由私密中心得到私密短列表(Secret Short List)，其中記載註冊節點的 識別和公鑰集合(ID, Pk)。然而在行動無基礎網路中節點亦會散佈私密短列表以

建立信任鏈結(Trust Chain)，由圖 9 可知在鏈結圖 G(V, E)於節點 i 包含了公鑰集 合(ID, Pk)、認證期間以及以節點 i 之私密金鑰簽署的簽章。然而每個現存的成員 節點皆可發起k 個憑證。左圖為 k = 1 之情況，其組成的圖形為強健連結憑證圖， 以傳遞的方式將憑證送出。而右圖則是k = n - 1 的情況。這時組成的圖形為完全 連接圖，每個節點都擁有週為節點的憑證資訊。 圖9 於行動無基礎網路中不同 k 值之信任鏈 此方式雖然可以利用實體的私密中心做憑證的管理，但在行動無基礎網路中 節點的產生、移動和離開的頻繁程度不適合此方式，故本研究所提出的方式必須

去除實體憑證中心而動態的建立信任關係。

2.3.3 信任關係

為了衡量特定對象節點之信任程度，可以利用信任值來衡量節點的信賴程 度，並於固定時間更新，當信任證據被建立後，信任關係便產生於兩節點之間。 信任關係包含了信任證據以及信任證據的衡量，圖10 的信任關係運作中，當 B 決定是否信任X 時，會要求 X 送出信任證據識別(X 的公鑰)並衡量 X 的信任程 度，當B 決定信任 X 後便會將 X 的信任證據儲存在資料庫中。而 A 也會經由相 同的動作信任B，如此一來整體的信任關係變產生了。 圖10 信任關係運作 在信任關係中，越早建立的信任節點必須要有較強的信任值，並要有較持久 (long-term)的信任程度。如圖 11 中 A 要使用他的衡量標準(Evaluation Metric)去 決定B 的信任程度時，必須確定 B 和 Y 的信任值以及持久性要強於 A 和 B 的信 任關係，故才可進一步決定是否信任B。 圖11 信任關係特性 行動無基礎網路的信任關係建立時是以點對點的方式建立，並和信任架構獨 立，並在線上建立，且具有快速建立及短期之特性。在信任關係信任中亦具有彈 性並可支援不確定性及不完整的信任證據[6]。

2.3.4 信任散佈

惡意節點可能會產生或簽署錯誤的信任證據，故節點需透過信任關係去驗證 信任證據的真偽，評價空間(Option Space)可以對節點產生評價[19]，每個評價空

間包含了信任值與可信度，其中前者為對目標節點的信任程度，後者為此信任程 度的可信度，並使用semiring 理論。 圖12 semiring 路徑評價 其中 代表節點i 沿路徑 p1 對節點 j 的評價，可信度較高的信任值才 會被採信，若可信度相同時則採取信任值較高的節點。 ) , ( 1 p1 ij p ij c t 於 Peer-to-peer 網路的信任散佈可利用推薦機制加以整合[10]，定義衡量信任 或不信任的標的物稱之為Principals，並可被認證及以公鑰加以識別。信任(Trust) 可視為預測Principal 未來的行為標準，並可以建立在證據(Evidence)之上，然而 衡量的方式要觀察先前的互動情況以及推薦情況來決定節點是否可以被信任。下 圖的推薦架構資料流在剛開始可由節點蒐集推薦情況(Gather Recommendations)，並由基於證據(Evidence)將信任散佈給周圍節點，當資料傳 送時會依據信任值來決定傳送至某節點的概率(Likelihood)，這時要考慮本益比 (Costs / Benefits)及相關的風險(Risk)，接著便可作存取控制決定(Access Control Decision)，最後可將互動的結果及發現(Observation)以推薦的形式發出(Emit Recommendation)。

個人的行為可記錄於行為剖繪格式(Behavior Profile Format)中，表 2 的紀錄 包含了觀察者(Witness)、被觀察者(Subject)、被觀察者所採取的行動(Action)、行 動的成功率(Success Rate)。

表2 行為剖繪格式

螞蟻演算法亦可作為行動無基礎網路中信任證據散佈的基礎。在以螞蟻為基 礎隻信任散佈(Ant-based Evidence Distribution) [11]方法中，藉由放出代理者 (Agnet)去找尋網路中的路徑並包含信任證據，故可由代理者代為攜帶傳出。表 3 的節點憑證表顯示了周圍節點的憑證資訊，每一行為一個憑證資訊，記錄著傳往 周圍節點的機率，機率越大代表節點被信任的程度越高，其傳向它的可能性也越 高。 表3 節點憑證表 表 3 有 n 個憑證，以 Cert1為例，P11代表了搜尋憑證1 時傳往鄰近節點 N1 的機率，P12則是搜尋憑證1 時傳往 N2的機率，以此類推。其中 ，Nk 為節點k 的子集合。 1 =

∑

∈Nk i ni P 倒退的螞蟻會搜集環境資訊以更新節點憑證表，根據[6]可得到以下的機率

更新。 p n Pi i Δ + = 1 ) ( P(n− )1 +Δp。 p n P n P_j j Δ + − = 1 ) 1 ( ) ( ，其中 j∈N_K, j≠i。 i 是倒退螞蟻所傳回經過的鄰近節點，∆p = k / f(c)且 k 為大於 0 的常數值。 成本c 可以表示成節點傳送的任意代價，例如傳封包所經的節點數(Hop Count)、 獲取憑證所需的延遲、節點頻寬消耗、以及電力。f(c)是以成本 c 的非遞減函數， 以

∑

= × = _L i i Q L a c f 1 ) ( 表示，其中a 為常數，L 為總封包傳送所經節點數{N1, N2 ,…, NL} 且L 大於 0，並有相對的信任值{Q1, Q2 ,…, QL}。故可知當 L 越大，f(c)越大， 則往此節點傳的機率越低，故不傾向傳往此節點。然而當Q 越大，f(c)越小，則 往此節點傳的機率越高，故會傾向傳往此節點。 為了要確保信任證據以及包含的信任值不會被惡意節點所更改，本研究可用 數位簽章的方式來保證信任證據的私密性、完整性及不可否認性。當節點要離開 網路時，會產生並散佈撤銷證據(Revocation Evidence )以註銷產生的信任證據， 此為撤銷憑證(Revocation Certificate)之方式。節點亦可產生對立證據 (Contradictory Evidence)來對其他節點表達不同的意見，若對立證據存在其中， 則此節點的信賴程度也就降低許多。

2.3.5 信任值計算與衡量

信任值的計算方式可利用權重方式，藉由定義信任值參數並基於參數在社會 網路中的重要性給予不同的重要程度，最後經由加總計算出信任值的改變值 [14]。 Trust Value:

∑

= = n i x x i T i W TV 1 )] ( * ) ( [ 根據上述針對自私節點和惡意節點所衍生的信任值判定方式，可定義增減信 任值之計算方式:

TV = WFR * TFR + WBW * TBW + WD * TD + WRouting * TRouting - WBlacklist * TBlacklist

其中的參數表示為: ¾ FR : Forward Rate ¾ BW : Bandwidth ¾ D : Delay Time

¾ Routing : 包含了 route request、route reply(ACK)、route error 所算出的 routing rate。 當信任建立後，節點可經由多點跳躍(Multi-hop)的方式將封包傳送至目的 端，且可避免將封包轉送到惡意節點， 評價空間(Opinion Space)可作為信任值評估後的結果審核[19]，以回顧先前 做的信任值評估是否正確且真實的反應節點的行為。信任值(Trust Value)是節點 (Issuer)評估標的物(Target)的信任程度，當信任值越高代表標的物是合作節點且 可以信任。而確信值(Confidence Value)則是評估信任值的正確性，當確信值越高 代表節點和標的物互動的時間月久且和次數越多，最重要的是此信任值越能代表 真實情況，圖14 為信任值與確信值的組合表示，故可視為評價空間。 圖14 評價空間 有了評價空間了以後，信任衡量系統便可運作，下圖的運作情形中首先會搜 集地域性監視情況、互動情況、和公鑰交換情況，故可獲得實體鄰近節點的直接

信任證據。根據以上的評鑑，可做鄰近節點的信任衡量並得到信任值，再根據多 重來源及目的端的路徑評估得到目的端的間接信任值。最後可由直接與間接信任 值作信任決策以選擇節點傳送封包，並評價信任值的正確性以作為下次傳輸的參 考。 圖15 信任衡量系統運作

2.4 賽局理論

2.4.1 賽局理論

賽局理論是一個交互作用的決策理論，可以用來預測一群參與者之行為互相 影響之結果，即單一參與者之行為會影響其他參賽者最後報酬[17]。然而賽局包 含了標準式賽局(Normal Form Game)與擴展形式賽局(Extensive Game)，標準式賽 局中所有參與者都可以同時去選擇他們的行動，而擴展形式賽局可以讓參與者在 不同的期間選擇行動。

定義 1 標準式賽局(Normal Form Game):

(1) 參與者集合(Set of Players):存在 N 個參與者，並被排列在一組合集中 I, I ={1, 2,…, N}。在本研究中參與者包含了 n1, n2, r1, …,rn等節點。

def

=

表示參與者所有可能的行動集合。令ai ε Ai表示參與者i 採取之特定行動。故可 定義Ai ，其中 ki為參與者i 所能採取行動之數目，Ai即為某特定 參與者可以採取的行動集合和結果a。而在本研究中包含了傳送封包(Forward)與 丟棄封包(Drop)兩種行動。 } i k i i i def = {a1,a2,...,a (3) 結果(Outcome):令 a (a1, a2 ,…ai,…, aN)為每個參與者選擇行動之集合，故可 將此行動集合定義為賽局的結果(Outcome)。本研究中的傳送封包與丟棄封包的 組合即為賽局的結果。 def = (4) 報酬集合(Set of Payoffs):因為參與者會選擇不同的行動組合以得到相對的獎 賞(Reward)，並扣除相關的付出成本(Cost)，故定義報酬為獎賞和付出成本的差 值(Payoff = Reward - Cost)。而每一參與者 i 都會有其報酬函數πi，並可將每一 賽局所得到的結果對應至一個實際函數πi (a)。 賽局理論可以被分為兩大類，分別為非合作(Non-cooperate)及合作 (Cooperative)[9]。 定義2 非合作(Non-cooperate)賽局:賽局會模擬每參與者所可能採取的行動 對賽局的影響，且參與者不會去尋求互相合作的結果，故需要將每個參與者分離 並探討可能的行動。 定義3 合作(Cooperative)賽局:探討不同參與者的組合對賽局的影響。 此外賽局亦分為完全資訊(Perfect Information)與非完全資訊(Not Perfect Information)兩類[9]。 定義4 完全資訊(Perfect Information)賽局:每個參與者能夠理解賽局的不同 結果對他的影響。 (1) 參與者能夠獲取其他參與者之資訊。 (2) 參與者可能的行動。 (3) 在行動組合後所得的報酬。 在本研究中的賽局是完全資訊之非合作賽局，因為在無行動基礎網路信任機

制中，每個參與者的行動結果都已經被明確的定義，並有相對的報酬。又因為網 路中存在自私節點以及惡意節點，故節點有可能背離(Deviate)合作關係，故本研 究可針對可能背離的情況設計出相對的懲罰，讓節點趨向於合作的狀態。

2.4.2 納許均衡

賽局的形成可以擁有各種不同的結果，而藉由探討所有各種不同的結果是不 切實際且無法做任何的預測，故可發展分析方法並將結果所小至一範圍內，使得 均衡結果(Equilibrium Outcome)能夠被決策者所用。理想狀態中參與者做一個行 動只會得到一個結果，故此均衡狀況為唯一(Unique)。但是在均衡狀況中行動組 合常常不是唯一，且有可能發生均衡不存在之情況。 先前已經定義了賽局的結果集合為adef= (a1_,…ai_{,…, a}N_{)，若除了參與者 i 之}

外，其他參與者的行動集合為a-idef= (a1_{, …,a}i-1_{, a}i+1_{,…, a}N_{)。綜合以上的定義可知}

結果a 可被表達成 a= ( ai, a-1)。 首先定義優勢行動的均衡[17]，假設參與者在實際的情況下所會採取的行動 便稱為優勢行動。 定義5 優勢行動(Dominant Action):假設對於參與者 i 之特別行動 為優 勢行動。故實行 可使參與者i 獲取最大的報酬，而其他所有參與者所能採取的 行動為 。 i i A a∈ ~ i a ~ i a− ) , ( ) , (~i i i i i i a a a a − ≥π − π ，對於每一 i i。 A a ∈ ) , ( ) , (~i i i i i i a a a a − >π − π ，至少一個行動 i i。 A a ∈ 賽局理論中可以發展出一均衡概念，此均衡可以選擇一個合理的結果，假設 無參與者發現他背離此均衡是有利的，而此均衡為所有其他參與者在納許結果下 不背離採取之策略。 定義6 納許均衡(Nash Equilibrium)[16]:在賽局之結果組合中，定義結果

) â ... â â ( â _{= 、}1 2_、、 N _{，對於每個} i_{且i =1, 2, …, N，稱此結果為納許均衡。} A ∈ i â 為了要找尋納許均衡，可從檢查參與者是否單方面背離而獲利，故要認定行 動結果不為納許均衡的條件為證明有其中一位參與者可藉由背離到不同的行動 獲得更大的報酬。總之在檢查賽局時無發現沒有任何參與者可藉由背離獲得更大 報酬時，就可以斷言發現了納許均衡解。然而納許均衡不一定是唯一，賽局中也 有可能出現多數的納許均衡。此外賽局中也有納許均衡不存在之情形發生，即在 結果中至少有一個參與者發現背離均衡是有益的。 定義7 柏拉圖最佳化(Pareto-Optimal)[16]:對於參與者 i 之特別行動 為 柏拉圖最佳化。故實行 可使參與者i 獲取最大的報酬，而其他所有參與者所能 採取的行動為 。 i i A a∈ ~ i a ~ i a− ) , ( ) , (~i i i i i i a a a a − ≥π − π ，至少一個行動 i i。 A a ∈

2.4.3 標準型式賽局

在非合作賽局中，依照資訊完整的程度和參與者是否參考他人的選擇情況調 整可分為四種賽局形式，分別為完全資訊下之靜態賽局(Static Games of Complete Information)、完全資訊下之動態賽局(Dynamic Games of Complete Information)、 不完全資訊下之靜態賽局(Static Games of Incomplete Information)、以及不完全資 訊下之動態賽局(Dynamic Games of Incomplete Information)[9]。

定義8 標準型式賽局(Normal Form of Representation):參與者在賽局中同時 選擇行動組合的結果可以用表格的方式呈現，並把組合行動所會得到的報酬顯示 在相對應的欄位，讓參與者參考不同的決策所得到的結果。

定義9 完全資訊下之靜態賽局(Static Games of Complete Information):在靜 態賽局(Static Game)中，所有參與者可以同時決定策略的情況，而完全資訊 (Complete Information)則代表參與者的效用函數對於所有的參與者而言皆是公眾 的知識(Common Knowledge)。故參與者可以利用效用函數來分析其他參與者的

回應以決定依行動組合，而此行動組合可以最大化本身的報酬。

囚犯兩難(The Prisons’ Dilemma)是完全資訊下之靜態賽局中最具代表性之 賽局實例，表4 的標準形式賽局將囚犯兩難的組合呈現。 表4 囚犯兩難標準形式賽局 嫌犯二 嫌犯一 坦白 不坦白 坦白 -6, -6 0, -9 不坦白 -9, 0 -1, -1 此例子敘述有兩名嫌疑犯被警察逮捕，由於沒有足夠的證據證明他們有罪， 故兩名嫌疑犯被分開至不同偵訊室偵訊，在偵訊時告知各嫌疑犯其偵訊結果會影 響最終的判刑。在表格中，若兩名嫌犯均坦白罪行則會被各判6 年的徒刑，如果 有一方先坦承罪行而另一方卻否認涉案，則坦白的一方會被判0 年徒刑，而不坦 白的一方會被判九年徒刑。最後若雙方皆不坦承犯行，則兩人各被判一年徒刑。 藉由納許均衡可以預測參與者選擇行動之可能的結果，故只要有一參與者有 偏離之誘因則此策略組合就不是納許均衡，若嫌疑犯認為選擇坦白會得到較多的 效益，則可預測嫌犯會做出坦白的決策。以下便針對四種不同的情況討論行動組 合是否為納許均衡。 情況一:兩嫌犯均坦白。 在嫌犯二坦白的情況下，可知嫌犯一可選擇兩種策略，若坦白其報酬為-6， 而不坦白則為-9，所以嫌犯一的最佳反應為坦白，故無偏離之誘因。同理嫌犯二 亦會選擇坦白，所以雙方皆坦白為一納許均衡解。 情況二:嫌犯一坦白但嫌犯二不坦白。 在嫌犯一坦白的情況下，可知嫌犯二可選擇兩種策略，若不坦白則為-9，而 坦白其報酬為-6。又-9 < -6，故嫌犯二有偏離之誘因，所以此情況不為一納許均 衡解。

情況三:嫌犯一不坦白但嫌犯二坦白。 在嫌犯二坦白的情況下，可知嫌犯一可選擇兩種策略，若不坦白則為-9，而 坦白其報酬為-6。又-9 < -6，故嫌犯二有偏離之誘因，所以此情況不為一納許均 衡解。 情況四:兩嫌犯均不坦白。 在嫌犯二不坦白的情況下，可知嫌犯一可選擇兩種策略，若不坦白其報酬為 -1，而坦白則為 0。又-1 < 0，所以嫌犯一的最佳反應為坦白，故有偏離之誘因， 所以雙方皆不坦白不為一納許均衡解。

定義10 完全資訊下之動態賽局(Dynamic Games of Complete Information): 動態賽局代表了參與者可以觀察其他參與者決定的行動後才做出決策，故完全資 訊下之動態賽局可讓參與者觀察上一階段的結果做下一階段的參考。 以投資者問題為例，有兩名投資者各投資 D 並存入銀行中，銀行會將前納 入長期投資中，若有在投資進入成熟期之前有投資者將錢領出時，只有2r 的錢 可被領出，其中D > r > D/2。然而如果投資進入成熟期後，投資者可領回較多的 錢，即有2R 的錢可被領出，其中 R > D。假設第一階段投資是處於不成熟的情 況，而第二天為成熟之情況。 在第一天的投資情況中，若兩方投資者皆提款則兩者各分 r 元。若有一方提 款而另外一方不提款，則提款的一方可以得到D 元，不提款的一方可得到 2r - D 元。最後若雙方都不提款，則代表投資者希望能夠進行長期投資，故會進入下一 階段的投資中，其標準式賽局如表5 所示。 表5 第一天投資情況標準形式賽局 投資者二 投資者一 提款 不提款 提款 r, r D, 2r-D 不提款 2r-D, D 下一階段 由於在第二天的投資進入了成熟階段，所以兩位投資者總共可拿到 2R 的金

錢。若兩方投資者皆提款則兩者各分R 元。若有一方提款而另外一方不提款， 則提款的一方可以得到2R-D 元，不提款的一方可得到 D 元。最後若雙方都不提 款，則最終的投資終止後雙方各會拿到R 元，其標準式賽局如表 6 所示。 表6 第二天投資情況標準形式賽局 投資者二 投資者一 提款 不提款 提款 R, R 2R-D, D 不提款 D, 2R-D R, R

定義 11 不完全資訊下之靜態賽局(Static Games of Incomplete Information): 參與者可以同時選擇不同的策略但至少有一個參與者不知道他人的效用函數。例 如在密封式競價中，每個競標者雖然都知道自己的效用函數，但是卻無法知道他 人的效用函數，故可視為同時決定價格策略，而此行動不一定是對參與者最有利 的，有可能會導致高估的情況發生。

定義12 不完全資訊下之動態賽局(Dynamic Games of Incomplete

Information):參與者可以觀察其他人的策略後才做決策，但是參與者不一定會全 盤了解其他人的效用函數。最常見的例子為求職市場訊號(Job-Market Signaling)，公司起初在招募新人時會針對求職者的學歷來決定是否錄用此求職 者。 本研究會針對完全資訊下之靜態賽局做節點合作及違背做討論，並在任一節 點違背合作策略後，進入完全資訊下之動態賽局以找到第三方節點代傳資料。

2.4.4 擴展形式賽局

先前已對標準形式賽局做明確的定義並敘述其種類，其中的特性為參與者被 限制於相同時間內選擇行動，然而在某些情況中參與者可再不同期間行動且可超 過一次以上，這時賽局便將此互動稱為擴展形式賽局[17]。

(1) 有一組 N ≥ 1 的參與者，以 i 表示，其中 i = 1, 2, …, N。 (2) 擴展形式賽局包含了參與者、策略、報酬、以及移動的順序。 (3) 擴展式賽局為一樹狀圖，包含起始節點、其他決策節點、終止節點、和連接 每一決策節點到後繼節點的分支。其中起始節點(Root Node)是參與者最初做決策 的節點，其他決策節點則可讓參與者在特別的時間點以參與者為名選擇不同的行 動。當參與者採取了一系列的決策後，賽局就會終止，並以終止節點(Terminal Node)表示最終行動組合的結果，且對於每一參與者都會有一報酬。以上節點都 會被分支(Branches)所連接，並將行動組合聯繫至終止節點。 (4) 擴展式賽局包含了階段(Stage)的概念，其定義為參與者在一時間點所做的互 動(Interaction)組合，在每個階段中每一個參與者都會選擇各自的行動。故參與者 在t 階段的欲選擇的行動會參考至 t - 1 階段的賽局，所以先前做決策所得到的結 果及報酬皆會反應至參與者且被參與者作為下一次選擇行動的參考指標。 L R Payoff to Player 1 3 1 L＇ R＇ 0 0 2 1 1 Player 1 Player 2 L＇ R＇ 2 1 Payoff to Player 2 2 2 圖16 一階段擴展式賽局實例 圖 16 為一階段擴展式賽局的實例，由上圖可知參與者一(Player 1)可以在集 合A1= {L, R}選擇一個左或右的行動(a1)，參與者二(Player 2)可以先行觀察參與 者一所採取的行動後從集合A2= {L’, R’}，賽局結束後參與者一會得到報酬π1(a1, a2)，參與者二也會得到一報酬π2(a1, a2)。例如若參與者一和二都選擇左的行動， 則參與者一會得到3，參與二會得到 1; 若有一參與者選擇左而另一參與者選擇

右，則選擇左的參與者會得到1，右的會得到 2; 最後若雙方皆選擇右，則會各 得到0 的報酬。

2.4.5 賽局於無線網路中之應用

在無線區域網路中，因為節點傳送的電力及範圍有限，故無法保證來源節點 可直接將封包傳送至終端節點，所以必須請求周圍節點以接力的方式將封包傳至 終端節點，傳送封包需要消耗節點一定的電力及資源，所以節點會傾向不幫忙轉 傳封包。為了要在行動無基礎網路中讓轉送封包的機制能夠持續運作，所以需要 發展獎勵制度讓節點認為幫助轉送封包可以獲得一定的報酬，當此節點認同獎勵 制度後便合作，故在下一階段時若此節點需要請他人轉送封包時周為節點也會優 先幫忙轉送封包。在探討此信任機制之前先討論在行動無基礎網路可能遇到的封 包傳送問題[8]，分別為連續封包傳送問題(Sequential Packet Forward Problem)和 相互封包傳送問題(Mutual Packet Forward Problem)。

首先在最單純的情況中，封包會由依序的方式由傳送端(se)經由中繼節點(n1

和n2)將封包接力傳送至接收端(r)，而 n1和n2有可能因為各種因素將封包丟棄，

故以賽局理論探討此可能發生合作或背離的情況稱為連續封包傳送問題 (Sequential Packet Forward Problem)，如圖 17 所示。

圖17 連續封包傳送問題 假設封包傳遞成功後節點會得到值為 1 的報酬，而傳送封包需要耗費 C 的 成本，其中0 < C << 1。由圖 18 整理出的連續封包傳送問題標準式賽局可知又 四種情況發生，當n1及n2都採取幫忙轉送封包的策略時，兩個節點都會各得到 1-C 的報酬;又 n1決定轉送封包，而n2卻採取不合作的態度，故封包無法傳送至 接收端，則n1會因為沒達成任務而得不到報酬，且損失了傳送封包所需的成本

C，n2因為將封包丟棄所以得不到任何報酬; 若 n1採取不合作的態度即將封包丟 棄，則n2無法做是否轉送封包的決定，故n1會得到0，而因為 n2無法做決策所 以沒有參與到賽局中，n2也會得到0。 表7 連續封包傳送問題標準形式賽局 n2 n1 Forward Drop Forward 1-C, 1-C -C, 0 Drop 0, 0 0, 0 以下利用納許均衡判斷方法來分析不同情況分析節點的策略，並檢視周圍節 點是否有偏離的誘因，若沒有此情況發生則會得到納許均衡解且再實際網路運作 中節點也會朝向此一策略做轉送封包與否的決定。 情況一: n1及n2兩節點均轉送封包。 在 n2節點答應轉送封包的情況下，n1可以選擇兩種策略，若轉送封包則可 得到1-C，不轉送則為 0，所以可知 n1最佳反應為轉送封包，且無偏離之誘因。 同理n2及也會轉送封包，由此可知雙方皆轉送封包為一納許均衡解。 情況二: n1轉送封包但是n2丟棄封包。 在 n1轉送封包的情況下，可知n2可選擇兩種策略，轉送封包則可得到1-C， 不轉送則為0。又 0 < 1-C，故 n2有偏離之誘因，所以此情況不為一納許均衡解。 情況三: n1丟棄封包但是n2轉送封包。 在 n1丟棄封包的情況下，n2無法選擇兩種策略，亦即n2無法參與至賽局中， 所以此情況不為一納許均衡解。 情況四:兩節點皆丟棄封包。 在 n2節點採行封包的策略下，n1可以選擇兩種策略，若轉送封包則可得到 -C，不轉送則為 0，所以可知 n1最佳反應為丟棄封包，且無偏離之誘因。而在 n1決定丟棄封包時，n2不會有任何的決策產生，所以n2無偏離之誘因，經推論 可知雙方皆丟棄封包也是納許均衡解。

然而連續封包傳送標準式賽局中，n1及n2節點皆傳送封包為柏拉圖最佳化， 因為在行動組合中，沒有別的行動組合優於n1及n2節點皆傳送封包。 圖18 連續封包傳送擴展式賽局 根據標準式賽局分析，可將結果轉換成一階段的擴展式賽局，除了可把兩節 點的策略顯示出來之外，相關的報酬也可在終端節點表示，如圖18 所示。 上述例子為連續傳送封包問題，封包的傳送為單一方向轉送，所以 n2會有 丟棄封包的傾向。然而在行動無基礎網路中封包的傳送有可能是雙向傳輸，在某 一時間點時節點可能會要求周圍節點轉送封包，也有可能會收到周圍節點要求己 方轉送封包的訊息，所以要考慮相互封包傳送的情況，故稱此狀況稱為相互封包 傳送問題(Mutual Packet Forward Problem)。由圖 19 可以了解到 n1可能會要求n2

把封包轉送到r1，故此時n2就扮演著中繼節點的角色。同理可知n2亦可能會要

求n1把封包轉送到r2，故此時n1就扮演著中繼節點的角色。

圖19 相互封包傳送問題

同上述的方法，可以得知相互封包傳送問題的標準式賽局，在圖 19 中當 n1

定轉送封包，而n2卻採取不合作的態度，故封包無法傳送至接收端，則n1會因 為沒達成任務而得不到報酬，且損失了傳送封包所需的成本C，n2因為將封包丟 棄所以可以將資源節省起來做別的事，所以n2可以得到1 的報酬; 若 n1採取不 合作的態度即將封包丟棄，則n2也是會耗費成本C，故 n1會得到1-C，而 n2會 得到1; 最後若雙方皆決定丟棄封包，則雙方既沒有傳送封包也沒有得到好處， 所以雙方節點都沒得到任何報酬。 表8 相互封包傳送問題標準形式賽局 n2 n1 Forward Drop Forward 1-C, 1-C -C, 1 Drop 1, -C 0, 0 以下也利用納許均衡判斷方法來分析不同情況分析節點的策略，以找出最可 能的行動組合。 情況一: n1及n2兩節點均轉送封包。 在 n2節點答應轉送封包的情況下，n1可以選擇兩種策略，若轉送封包則可 得到1-C，不轉送則為 1，所以可知 n1最佳反應為丟棄封包，且具備了偏離之誘 因。同理n2及也會丟棄封包，由此可知雙方皆轉送封包不為一納許均衡解。 情況二: n1轉送封包但是n2丟棄封包。 在 n2丟棄封包封包的情況下，可知n1可選擇兩種策略，n1丟棄封包可以得 到-C 的報酬，轉送封包則可得到 1-C，。又-C < 1-C，故 n1有偏離之誘因，所以 此情況不為一納許均衡解。 情況三: n1丟棄封包但是n2轉送封包。 在 n1丟棄封包封包的情況下，可知n2可選擇兩種策略，n2丟棄封包可以得 到-C 的報酬，轉送封包則可得到 1-C，。又-C < 1-C，故 n2有偏離之誘因，所以 此情況不為一納許均衡解。 情況四:兩節點皆丟棄封包。

在 n2節點採行丟棄封包的策略下，n1可以選擇兩種策略，若轉送封包則可 得到-C，不轉送則為 0，所以可知 n1最佳反應為丟棄封包，且無偏離之誘因。而 在n1決定丟棄封包時，n2也可以選擇兩種策略，所若轉送封包則可得到-C，不 轉送則為0，所以可知 n2最佳反應為丟棄封包，且無偏離之誘因，經推論可知雙 方皆丟棄封包是納許均衡解。 然而在此相互封包傳送標準式賽局中，n1及n2節點皆傳送封包為柏拉圖最 佳化，但是雙方皆傳送封包不為納許均衡解。 圖20 相互封包傳送擴展式賽局 根據標準式賽局分析，可將結果轉換成一階段的擴展式賽局，除了可把兩節 點的策略顯示出來之外，相關的報酬也可在終端節點表示，如圖20 所示。 社會網路讓節點選擇是否採取信任周圍節點的策略，使得賽局理論可以用 在行動無基礎網路中並分析網路節點的行為，Vincent Buskens 定義了 Trustor 與 Trustee 兩者的關係[3]，圖 21 的一階段擴展式賽局詳述了節點間的信任關係。由 起始節點觀之，Trustor 可以選擇採取信任或不信任的方式，此種選擇類似於 Trustor 節點在選擇周圍節點 Trustee 時，是否信任此節點而要求它轉送封包。若 Trustor 採取信任(Play Trust)Trustee 的策略時，Trustee 有兩種策略可供選擇，第 一種為發揚信任(Honor Trust)關係，亦即幫助 Trustor 節點轉送封包，所以 Trustor 可以得到R1的報酬，Trustee 則得到 R2報酬。反之如果Trustee 採取欺騙信任(Abuse

Trust)的決策時，則 Trustor 可以得到 S1的報酬，Trustee 則得到 T2報酬。第三種

狀況為Trustor 不採取信任(No Trust)的措施，則雙方只會得到 P1及P2的報酬，

其中R1 > P1，R2 > P2。 圖21 信任擴展形式賽局 以上是針對資訊完整性的社會網路做信任賽局分析，但是在某些情況下資訊 是呈現不完整的狀態中，所以必須仰賴本身經驗或藉由先前的互動關係選擇是否 信任節點。在下圖的不完全資訊之信任擴展式賽局中， 0.6 的機會走向壞的方 向，所以在Trustee 背離的情況下，Trustor 得到的報酬 S 會比較少。反之有 的機率賽局會走向較為信任的模式，這時若Trustee 採取背離的策略，則 Trustor 得到的報酬S 會略大於壞方向的報酬 展形式賽局數狀圖，其中Ri > Pi，T2,1 > R2，T2,1 > R2。 有 1 0.4 2 S1。經過整理後可得到此一階段的信任擴

圖22 不完全資訊之信任擴展式賽局

第三章 信任證據產生、散佈與信任值計算機制

先前對於信任證據的研究中，是以個別信任值評比方式來判別目的方的屬 性，並有中央控制機制做資料的管理及傳送。而在行動無基礎網路(Mobile Ad Hoc Network, MANET)中，因為每個節點的電力傳輸範圍有限，無法藉由直接的資料 傳送獲得遠方節點的資訊，故需要利用接力傳送來傳送資料。為了確保中繼節點 是善意的節點且要避免自私節點和惡意節點作資料的轉送，故可以透過先前資料 傳送時所得到的環境資訊了解節點互動的情況並給予信任值，在下一次傳送時便 點 的運作且在封包傳送時可參考各別及總信任值 求轉送。 點傳送己方的憑證時接 可利用信任值挑選最受信任的節點作資料的轉送。 此研究中針對行動無基礎網路提出一個分散式的信任證據機制，讓網路節 可以各自產生代表己方的憑證並擁有相關的信任識別，而不用中央管理端(如 Certificate Authority)來控管，以在行動無基礎網路中作為節點的識別、傳送、衡 量，故可在平行的網路架構中動態 以選擇合適的節點要

3.1 問題定義

3.1.1 信任散佈問題

於信任的散佈中，雖然藉由資訊的傳送可以讓對方了解到傳播方的資訊，但 是卻沒有建立一套身分認證的方式，所以接收方無法得知對方的身分，故無法相 信對方的意圖及提供的資訊是否正確。本研究可針對信任證據的產生與散佈建立 線上的身分憑證，讓信任值高的網路節點共同管理，當節 收方可以透過區塊驗證已查證此節點的身份是否正確。 在以往的推荐機制中[10]，提及了如何將評鑑的信任值散佈，但是節點無法 確定周圍節點所評鑑的信任值真正是由它們所評價的，且在信任值的傳送中也可 能被攻擊者擷取並竄改相關的資訊。為了解決以上的缺點，本研究將身分憑證和

信任值包裝成信任證據，傳送前會將資訊透過雜湊函數(Hash Function)算出雜湊 值(Hash Value)，在傳送階段會利用數位簽章的方式確保私密性、完整性、以及 證據的散佈可以確保傳送資訊的安全。 此節點先前是否採取合作的狀態，再選擇是否和此節點合作並要 究可針 不可否認性，所以在信任

3.1.2 自私節點問題

因為在行動無基礎網路中，傳送封包資料會耗費節點一定的資源，例如電 力、運算力等，所以有些節點會為了達到自身利益最大化的情形，選擇性的將其 他節點要求轉送的封包丟棄，故此節點就成為了自私節點(Selfish Node)。自私節 點的存在會讓傳送端無法將封包傳送至目的地，進而在接收不到ACK 的情況下 選擇別的路徑傳送封包。又當節點移動的情況下，因為先前沒有和一些周圍節點 互動過，所以在選擇中繼節點傳送時會有一定的機率選擇到自私節點而耗費傳送 資源。本研究藉由總信任值的參考讓傳送節點可以參考周圍節點和中繼節點互動 的情況，以了解 求轉送封包。

3.1.3 惡意節點問題

行動無基礎網路具有無線網路傳輸、節點移動、分散式資源管理以及電源管 理的特性，所以會造成惡意節點(Malicious Node)假造路由資訊或使用大量請求路 由封包以癱瘓節點和其傳輸效能。惡意節點會使用不同的攻擊方式讓行動裝置的 傳輸效能降低，故可使用修改資訊、假造以及偽裝的方式做出攻擊，本研 對此攻擊因應出相對應的方式，並用信任值來表示攻擊所帶來的影響。 修改(Modification)是攻擊最常使用的方式，最簡單的方式為更改資料的內 容，以讓接收端取得錯誤的資料且破壞完整性，在本研究中可利用數位簽章的方 式達到資料的完整性。在Black Hole 的攻擊模式[5]中，惡意節點會更改最佳路 由路徑，並透過更改位址(Redirect)方式將封包導引至此惡意節點，故可搜集封包 的資訊來達成攻擊的目的。其中最常見的是Denial of Service(DoS)攻擊，在 DoS 攻擊中，攻擊者可利用跳板或發送路由請求以攻擊特定之節點，使得被攻擊方無