戰術環境下節點安全性評估方案*

秦秋陽，江凌云

（南京郵電大學，江蘇 南京 210003）

0 引言

近年來，物聯網技術飛速發展，使得越來越多的物理節點被部署到物聯網。大量具有計算、傳感、執行能力的節點連接到網絡中，在不需要人類干預的情況下，這些物聯網節點可以完成各種任務，為人類提供極大的便利。但是，使用這些物聯網節點的前提是這些節點能夠安全接入服務器或網關，否則將會帶來各種危險甚至災難。而在通信間斷、中斷以及受限（Disconnected、Interrupted、Limited，DIL）的網絡環境中，想要保證終端的安全接入更加困難[1]。

在疏散、搜救以及軍事行動等戰術環境下，物聯網節點經常處于不停歇的移動中。移動的方向和速度存在較大的隨機性，且處于DIL的通信環境。終端移動后需要選擇合適的網關接入，而即將接入的網關和路由的安全性如何是一個需要特別關注的問題。此外，加密認證是節點安全接入網關的常用方法，但是這種認證方法需要消耗較多能量，而資源受限是物聯網普遍存在的問題，所以需要在保證終端安全接入的同時盡量減少資源的損耗。

基于信任的評估策略是一種有效且計算耗能非常少的輔助方案。終端通過對其他終端和網關的性能和安全進行評估，量化路由的安全性，在移動后將信任指標作為主要參數來選擇合適的網關連接。在系統運行過程中，認定信任指標過低的節點直接丟棄。此外，信任指標還可以為終端是否相信其他節點發送的重要消息提供依據。

現有的評估策略主要是對服務質量和能力的評價，雖然是決定節點安全性的重要因素，但是顯然不夠，于是社交關系的評估被提出。社交關系包括誠實度、親密度、連接性、相似性以及自私性等。但是，使用服務質量和社交關系進行信任評估的策略很少應用于軍事環境，更缺少基于DIL環境下應對通信不穩定情況的分析，沒有考慮到連接性在信任指標中的重要作用，也沒有針對不同等級的節點提供的信任指標賦予不同的權重。此外，這些方案仍然存在一些安全隱患沒有解決，如不能抵抗機會服務攻擊、開關攻擊等。

本文的組成結構如下：第1章簡要介紹現有的關于評估策略的相關工作；第2章主要介紹本文所研究的戰術環境的網絡拓撲結構；第3章詳細介紹信任指標的計算方法，并分析在戰術環境下信任指標的相關應用；第4章通過與其他文獻的方案對比分析該方案的安全性與能耗；第5章對本文進行總結。

1 相關工作

物聯網系統中保證節點的安全性一直是一個重要話題，但是目前對戰術環境中安全性的研究還有所欠缺。文獻[2]提出了戰術環境下終端安全接入網關的方案，但是不能解決信任托管和終端與網關之間相互認證等問題。文獻[3]首次提出基于無證書密鑰的加密認證方案，且之后的文獻[4-6]將該方案進一步完善，通過將其應用到戰術環境，解決了上述安全問題。但是，加密認證計算復雜，需要消耗更多的能量和時間。本文所提方案將減少加密認證的計算次數，節省能量損耗。

文獻[7]提出了基于信任指標的安全性評估方案，之后文獻[8]通過數據包轉發率、傳遞率、能量損耗等衡量服務質量（Quality of Service，QoS）來進行安全性評估，但僅僅評估了服務質量與能力，不夠全面。Chen等引入了社會關系的概念，與QoS結合來評估安全性[9-11]，使得對節點安全性的評估更加全面、準確，但是主要適用于民用物聯網。文獻[12]考慮到了軍事應用中的安全性評估，但是沒有考慮通信穩定性這一重要因素，而且沒有具體分析節點發現安全問題后的解決措施，同時存在不能抵抗機會服務攻擊、開關攻擊的問題。

文獻[13-15]基于信任指標完善了安全路由選擇的方案，文獻[16]基于信任指標解決了開關攻擊問題。本文改進Chen等提出的計算信任指標方案，引入通信穩定性作為計算信任指標的影響因子，并且考慮了連接跳數對信任指標計算的影響，解決了其中存在的安全性問題，有效降低了能量損耗。

2 戰術環境的網絡拓撲

圖1為本文具體的戰術環境網絡結構示意圖。在戰術環境中，通信不穩定的情況經常出現，所以本文是基于網絡中節點與云端斷開連接的模型展開討論的。此時，網絡中主要存在終端、網關和主控節點3種節點。

圖1 戰術環境下的網絡拓撲

無人機、無人車以及士兵攜帶各種功能的節點以及一臺Android節點，且所有功能節點會與Android節點連接。該Android作為終端與其他終端、網關以及主控節點連接，主要完成匯總、處理、傳輸以及接收數據的功能，并對其他節點進行安全評估。終端需要與網關連接，完成數據上傳。如果終端不能直接與網關、主控節點連接，則與其他終端連接通過多跳的方式連接到網關、主控節點。一般而言，一個終端只能與一個網關連接，但是可以和多個終端連接。圖1中箭頭表示終端的移動方向。

具有更高性能、更多能量、更強計算能力的節點可以作為網關，如圖1所示。網關可以是較大型的無人機、無人車，或者該節點直接由固定人員攜帶。每個網關都有各自的信號覆蓋范圍，在該范圍之內的終端可以和該網關連接。網關也需要和其他可通信的網關、主控節點連接，并互相進行評估。網關也是可以移動的，但是網關的移動性相比終端較小，且也可以類比為終端的相對移動。所以，本文只考慮終端的移動。

主控節點是所有網關中移動性相對較小、處理數據能力相對較大的網關，可以是一個大型的戰車、臨時指揮所等。主控節點會對所有上傳的數據進行匯總、分析，也只有主控節點可以決定是否丟棄某個終端或網關，具有最大的權力。但是，終端和網關也會對主控節點進行安全評估。如果最終判定主控節點遭到入侵，將會選取新的主控節點。

3 節點的安全性評估

在戰術環境中，終端移動性較高，經常離開當前連接網關的信號覆蓋范圍，并進入其他網關的信號覆蓋區域。所有節點之間需要互相評估安全性，以應對可能存在的安全問題。為了表述方便，A表示評估的終端，B表示被評估的終端，GA表示評估的網關，GB表示被評估的網關，R表示主控節點。

3.1 節點的信任指標

在戰術環境中，主要存在終端、網關以及主控節點3種節點。所有終端會對可通信的終端、網關以及主控節點進行信任評估，而網關與主控節點同理。為方便敘述，本節主要介紹終端計算其他終端信任指標的方法。信任指標主要是基于節點的服務質量和社交關系兩方面的能力計算獲得。本文中，服務質量主要使用節點能量代替，即節點能量越大，服務質量越高；社交關系主要包括親密度、誠實度、自私性和連接性4個因子。

3.1.1 信任指標的計算

終端會周期性地評估另一個終端的安全性。設A對B的安全信任指標為TAB(t)，則計算公式如下：

設在該周期內終端A評估終端B某種指標X（X可為其密度、誠實度、自私性、連接性和能量）的數值為則有：

對于終端A和終端B之間是通過一跳還是非一跳的連接方式，本文采用等式（2）的兩種方式計算指標X的評估數值。如果A和B是一跳連接，則評估數值由上一周期求得的評估數值和當前周期的直接評估數值決定。等式（2）中，Δt表示評估周期，表示當前周期的評估數值，α用于權衡當前周期評估數值與上一周期評估數值的關系。如果A和B是非一跳的方式連接，即A和B可能多跳連接也可能不連接，則對應的評估數值由上一周期的信任指標和當前周期其他終端的間接信任指標決定，其中，C表示給A間接信任指標的任意終端，表示當前周期終端C發送給終端A的關于B的推薦信任指標，且如果已知C是受損或入侵終端，則C不帶入上述計算公式。β表示權衡上一周期信任指標與當前周期間接信任指標的參數。C與B的連接跳數越大，則C對B的評估就越可能不準確。所以，通過hCB這個參數減少連接跳數對評估不確定性的影響。這里hCB表示C到B的跳數。當A計算B的信任指標小于某一閾值的時候，需要和A進行完整的加密認證，以判斷B是否安全[21-22]。

3.1.2 信任指標的影響因子

（1）親密度

終端A與終端B交互的次數即為親密度。交互包括A和B之間提出請求、傳遞消息和監聽信息等。一般而言，在某一周期內A與B交互的次數越多，則兩者的親密度越高。A評估B的數值越高，A認為B越安全。文獻[17]關于親密度的計算比較主觀。本文基于A和B交互的具體次數，修改了親密度值的求解公式。

如果A和B一跳連接，A和B當前周期交互次數與之前周期內的交互次數和當前周期A與其他終端交互次數相關。兩者的親密度值計算如下：

式中，QAB是根據A和B之前每個周期內交互次數得出的等級值。例如：如果當前周期兩者交互次數在所有周期交互次數中排在前50%，則等級值設置為1；排在前85%，等級值設置為0.75，其他排名設置為0.5。該等級值作為參數可以根據實際情況進行調節。此外，對于受損或入侵節點B，等級值統一設置為0。RAB是根據當前周期A與其他終端交互次數得出的等級值。αint用于權衡這兩個等級值之間的關系。

如果A和B多跳連接，則A與B的親密度值主要通過其他終端的建議計算，通過式（4）的結果進行排序：

（2）誠實度

通過A與B的信息傳輸判斷B是否遵守某些規則，否則判定B有不誠實的行為，具體評判標準可以參考文獻[18]。這些需要遵守的規則包括間隔規則、轉發規則、路徑規則、延遲規則、重復規則、干擾規則以及異常規則等。間隔規則指A接收到B的兩條連續消息的時間不能大于或小于某個閾值；轉發規則指A傳輸信息給B要求其轉發，B需要完整轉發；路徑規則指B接收到A的消息并轉發，需要保證轉發路徑與A設置的初始路徑一致；延遲規則指B轉發A的消息必須在規定時間內完成；重復規則指同一條消息只能被鄰居終端轉發有限次數；干擾規則指B在給A發送消息的過程中，噪聲干擾必須小于指定次數；異常規則指B給A傳輸的數據經過融合處理后不能出現異常，如對某一區域的傳感器讀數不能出現異常值。

A統計B的不誠實行為的次數為n，設置ζhon為不誠實行為次數不可超過的閾值，則不誠實度的計算公式為：

（3）自私性

自私是指B沒有毫無保留地完成A發布的任務，判斷標準是B是否按照管理要求嚴格執行，如忠實地發送、上傳、報告、轉發數據等，對自私性的要求可以具體參考文獻[19]。B可能為了節省自身能量，并且在考慮到其他連接的無私終端的數量時，減少或停止向A傳遞數據信息，使自身變得自私；自私終端也可能因為周圍自私終端較多，在平衡自身需求和整個系統需求后再次積極地傳遞數據消息，使自己變得無私。

與誠實度值的計算類似，需要設定閾值，并統計B沒有按照協議忠實執行任務的次數。自私性值的具體計算公式如下：

式中，m為B沒有忠實執行任務的次數；ξsel為設定的閾值；M為A與B按照協議執行所有任務的交互次數。此處與誠實度計算公式不同的原因是誠實度與安全性的相關性更為密切，而自私性可以根據B能量的多少適度變化，所以對于評估終端是否自私不像評估終端是否誠實一樣要求較高。相應的，閾值ξsel的設定也要隨著B的能量變化，具體設定公式如下：

式中，E為當前B剩余的能量，Einitial為B的初始能量，ξinitial為初始設置的閾值，e為設定的閾值參數。此外，當已知B為受損或入侵終端，則誠實度值設為0。

（4）連接性

連接性是指B與A是否在評估周期內保持通信穩定。比如，戰術環境中，通信不穩定的情況時常發生，B可能與A發生短暫的通信斷連，之后又重新連接。一般而言，B的通信越穩定，B處于安全狀態的可能性越高。當B與A斷開連接的次數、一次斷開連接的時間或者總共斷開連接的時間中有一項超過設定煩人閾值，則連接性的信任指標設為0。

連接性指標的計算公式如下：

式中，nc為B與A斷開連接的次數；tc為B與A斷開連接的最長時間；tn為B與A斷開連接的總時長；分別為對應的閾值；u1、u2、u3是權衡上述3個變量的參數，且u1+u2+u3=1。

（5）能量

B的剩余能量是用于評估B服務質量的主要因子。B在向A傳輸數據的過程中需要告知A自身的剩余能量，一般只要能量剩余沒有超過一個閾值，都可以將B的能量信任指標設置為1。

式中，ξE為設定的閾值。此外，為了防止B虛報能量，則A可以通過監聽B傳輸數據的時延，判斷該時延是否在正常范圍內，即用正常傳輸時延的次數與傳輸總次數的比值來評估B能量值，具體方案可以參考文獻[20]。

3.2 安全性評估策略

在戰術環境中會經常遇到通信中斷、間斷以及受限等情況，雖然本文在信任指標中添加了連接性作為計算該指標的一個因子，但是DIL環境中出現通信不穩定的情況有很大的不確定性，而信任指標提供了一個判斷節點安全性的依據。本小節將介紹在戰術環境下利用信任指標進行安全性評估的方案。其中，終端、網關以及主控節點之間需要相互進行安全性評估，不同節點之間評估方法略有不同。此外，需要使用算法抵抗機會服務攻擊和開關攻擊，減少安全評估過程中這些攻擊造成的干擾。

3.2.1 終端、網關、主控節點之間的評估

式中，χ為權重參數。

基于網關與終端的連接關系，終端A只會對與自己相連接的網關進行評估，但是會轉發其他網關的數據信息。網關相比終端有著更高的安全性與性能，所以網關給A的推薦信任指標比終端給A的推薦信任指標占有更大的權重。此外，β隨著χ的增加而增加，則對網關給A的推薦信任指標需要將χ設置較大一些。

網關GA會對終端、網關和主控節點進行評估，且網關需要對所有終端上傳的評估數據進行匯總，并再轉發給主控節點。GA計算B的匯總信任指標SGAB(t)公式為：

式中，C為上傳數據給GA的任意終端，TGAC(t)表示GA計算C的信任指標，ξT是設定的閾值。TCB(t)≥ξT表示只有GA認為C是安全的，才能代入式（11）來匯總計算B的信任指標。TCB(t)表示C上傳給GA的關于B的信任指標；NC表示上傳給GA信任指標并符合安全要求的終端總數；GC表示發送數據給GA的任意網關；TGCB(t)表示GC計算B的信任指標；NGC表示所有發送數據給GA的網關總數；v是權重參數。式（11）中沒有添加信任指標的閾值判斷，主要是因為網關數量較少，且網關安全性相比終端較高。

網關GA對GB的評估類似于終端A對B的評估，且GA會將評估結果上傳給主控節點，具體可以類比3.1節的信任指標計算方法。主控節點會對所有終端和網關進行評估，并且會匯總所有終端和網關上傳的它們對其他終端和網關的評估結果。主控節點評估終端和網關的方法與3.1節介紹的方法相同，匯總終端與網關的信任指標與式（11）提供的方法相同。

3.2.2 抵抗開關攻擊的算法

通過計算信任指標，A可以對B的安全性進行評估。但是，假設B是惡意節點，B大多數時候表現良好，使自己被計算的信任指標維持在一個閾值以上，但隨機或者某些重要時刻對A發布錯誤信息，使A遭受到開關攻擊或機會服務攻擊。為了應對這種攻擊，提高安全性評估準確性，本文采用一種檢測算法。算法的主要流程如圖2所示。

圖2 開關攻擊檢測流程

該算法的具體步驟為：A計算對B的信任指標T(t)，并設置初始周期參數pe=0。先判斷T(t)是否大于設定閾值，若不大于則認為B可能不安全，A對B進行完整的加密認證。如果T(t)大于閾值，再判斷pe=0是否成立。pe=0不成立，則pe=pe-1，并認為B是可信任的，在下一個評估周期到來，A繼續對B進行安全評估。如果pe=0成立，則計算pe=random%q，并對B進行一次額外的完整加密認證。其中，random為隨機數；q是事先設定的數值，與T(t)正相關，即對B信任指標越大，則認為B越可能是安全的，所以對B進行額外加密認證的頻率越小。節點A在評估節點B的過程中，會根據節點B的能量不定期地與B進行加密認證。如果加密認證沒有通過，B就會被認為是不良節點。

通過上述檢測算法，將有效抵抗機會服務攻擊和開關攻擊，因為實施這兩種攻擊的攻擊者不知道攻擊對象何時會進行加密認證。該算法的具體仿真驗證過程可以參考文獻[16]。

4 安全分析和性能分析

本節主要從安全性和性能角度分析方案的優勢。從安全性出發，本節分析了該方案與文獻[12，15]的方案比較檢測惡意節點的能力。此外，在4.2節與直接使用加密認證的方案進行對比，比較性能上的優勢。

4.1 安全性分析

本文利用MATLAB仿真節點移動的過程，采用隨機漫步模型。由于本文戰術環境中的節點有無人機，且在山區、高樓等地點節點也會經常高出水平面，所以本文使用二維和三維兩種模型的仿真。

二維模型是在400 m×400 m的戰術環境中有100個終端隨機運動。在該移動模型中，終端會隨機選擇上下左右任意方向移動[0，2X]的距離，其中X為可以設置的參數。每秒平均的移動距離為X，當X=1 m時，二維移動模型如圖3所示。

圖3中每個“*”標志表示總共的25個網關，每種顏色的曲線表示終端移動軌跡。

對于三維模型，在400 m×400 m×400 m的網絡環境中有100個終端進行隨機運動。總共24個網關，假設網關分布的水平坐標為（0，100）、（0，300）、（400，100）、（400，300）、（100，0）、（100，400）、（300，0）、（300，400），垂直方向坐標為100、200和300。當X=1 m時，三維移動模型如圖4所示。

圖3 隨機漫步模型二維仿真結果

圖4 隨機漫步模型三維仿真結果

基于以上環境和模型，將本文方案與文獻[12，15]進行對比。為了更直觀地對比3種方案的安全性，根據文獻[11]簡化環境模型，使用MATLAB建立簡單模型，對比3種方案在圖5的三維移動模型下檢測出惡意節點的能力。假設網關的信號傳輸范圍是150 m，終端信號傳輸范圍是50 m，其他的參數設置如表1所示。

代入上述參數，比較三維移動模型下3種方案檢測惡意終端能力對比的示意圖，如圖5所示。

由圖5曲線可以看出，本文方案和文獻[12]方案發現惡意節點的能力明顯強于文獻[15]，且本文方案比文獻[12]方案稍有優勢，同時本文方案解決了文獻[15]沒有解決的機會服務攻擊問題和開關攻擊問題。所以，相比于文獻[15]，本文方案可以抵抗更多已知攻擊，安全性更高。

表1 參數設置

4.2 性能分析

相比于直接使用加密認證檢驗節點安全性的方案，本文方案采用計算量更輕便的信任指標檢驗其他節點的安全性。文獻[21]分析了不需要及與信任指標的安全評估的性能，即在該文獻中統計終端在不同速度下需要完成完整加密認證的次數。由文獻[4]可知，由于ECC算法的負責性，加密認證是主要的耗能過程，且生成主配對密鑰大約是生成加密密鑰耗能的2 000倍。本文和該文獻對比，系統部署完成后二維移動模型下一天之內終端在不同移動速度下進行完整加密認證的次數，仿真結果如圖6所示。

圖5 3種方案檢測惡意終端能力對比

圖6 加密認證次數比較

從圖6可以看出，本文的方案有效減少了加密認證的次數。雖然經常使用完整的加密認證方案可以更好地保證節點認證的安全性，但是對于能量的損耗也是巨大的，而本文在安全性和能耗之間進行了很好地權衡。

5 結語

在戰術環境中，節點需要面臨各種通信不穩定的情況。本文基于所有節點與云端斷開連接的場景進行安全分析。由于缺少功能強大的云端的支撐，網絡中的節點需要依靠自己和其他節點的互相監測來保證安全性。本文改進的信任指標計算方式在保證網絡安全性的同時，減少了加密認證的次數，大大降低了能耗，同時分析了在DIL環境下面對安全問題的解決方法。但是，本文仍然存在一些缺點，如由于篇幅限制，沒有詳細討論方案中計算信任指標時各個參數的最佳設置。本文中應用的隨機漫步模型也不能完全模擬現實戰場環境的所有情況，所以以后的研究方向可以根據不同移動模型為信任指標的計算選取最佳的參數。此外，本文在分析各種安全問題的解決方案時有些討論還不夠詳細，如主控節點的選取。不僅需要考慮候選網關的信任指標，還要考慮它們的位置、移動性、周圍受損節點的數量等因素。因此，以后也可以在這些方面展開研究。