面向城軌云平臺邊界安全防護的動態信任管理方法

張 雷， 徐 倩， 何積豐， 曾小清， 寧 正

（1. 同濟大學 交通運輸工程學院， 上海 201804；2. 同濟大學 上海自主智能無人系統科學中心， 上海 201810）

云平臺從數據流、控制流和大數據交互三方面來滿足交通信息物理融合系統中多應用支持、擁塞控制、資源配置、快速移動、無縫覆蓋等需求［1］。城軌云是智慧城市軌道交通建設的支撐平臺，城軌云將在便利大數據分析、打破信息孤島、承載智慧城軌業務等方面帶來變革。然而，引入城軌云后，外部服務網的業務會頻繁與安全生產網、內部管理網進行交互，容易導致攻擊的蔓延［2］。在傳統靜態邊界安全防護措施下，城軌云平臺面臨著邊界數量多、可擴展性弱、邊界整體利用率低、邊界安全性較弱等邊界安全問題［3-4］。信任管理是計算及維護信任的一組步驟，包括定義信任、識別信任相關元素、信任計算、信任傳播、信任聚合等環節［5］。研究城軌云平臺的信任管理方法是實現細粒度、動態邊界安全防護的有效措施之一［6-7］。

在對等網絡（peer to peer， P2P）［8］、無線傳感器網絡（wireless sensor network， WSN）［9］、推薦系統［10］、車載移動自組織網絡（vehicular Ad Hoc network，VANET）［11］等領域，已提出了一些信任管理方法，這些方法建立在概率論、貝葉斯推理、模糊理論、Dempster-Shafer證據理論、半環代數理論等理論基礎上［12］。隨著云計算的發展，許多研究工作圍繞云服務提供商、云用戶、身份提供者等各個參與方的信任進行評估和管理。為了適應云計算環境中多域的特點，文獻［13］提出了一種基于動態用戶信任值的訪問控制模型。考慮不同用戶和服務提供者的行為參數，例如錯誤請求、虛假請求、未經授權的請求和總請求數，文獻［14］將模糊c-means聚類、Mamdani模糊方法分別應用于云用戶及云服務提供商的信任評估上。為了解決傳統靜態聯合身份管理在應用于云計算技術時可擴展性不足的問題，文獻［15］提出了一種模糊認知圖的動態信任管理模型，該模型能夠使云服務提供商實時預測目標身份提供者的信任級別。

本文作者在前期研究中提出了一種基于誘導有序加權平均算子的軌道交通數據平臺的信任管理方法［16］。通過對比文獻，現有的信任管理在理論和方法已取得一定研究成果，如表1所示，現有的云計算信任管理方法集中在云計算層多個參與方之間的信任，但是對于將信任管理應用于城軌云與工控系統綜合系統的研究還缺乏深入研究。

表1 與現有研究工作的比較Tab. 1 Comparison with other current studies

為了解決上述問題，提出一種用于城軌云平臺異常控制指令分析的信任管理方法。該方法以時間窗內的交互記錄作為數據源，提出一種直接信任值、間接信任值和綜合信任值的信任計算方法。同時，考慮獎勵因子和懲罰因子的信任更新方法，最終實施基于信任決策的動態訪問控制，以實現細粒度的邊界安全防護目標。選擇城軌云下的綜合監控系統作為分析示例系統，這是率先進行單專業云改造的工控系統。

1 城軌云平臺兩級三網結構及邊界防護需求

城軌云平臺按服務范圍劃分為中心云平臺、站段云兩級結構，按網絡類型劃分為外部服務網、內部管理網、安全生產網三類網絡，如圖1所示。中心云平臺與軌道交通運營商、設備供應商企業及相關科研單位合作，利用支撐平臺提供的實時數據和從終端傳遞的列車運行信息，提供宏觀的數據分析與決策。而站段云平臺實現列車調度、運行控制、監控運維等功能，為用戶提供統計、可靠性分析等非實時要求的服務［17］。城軌云網絡安全防護的總體策略遵循“系統自保、平臺統保、等保達標、邊界安全防護”［2］。其中，邊界安全防護的目標分為接入層安全及區域邊界安全兩部分。接入層安全主要關注外部網絡或終端設備接入的數據和用戶的安全，而區域邊界安全主要關注不同功能區域之間的安全。邊界安全防護方法包括邊界訪問控制、邊界完整性檢查、邊界入侵防御、邊界安全審計、邊界惡意代碼防范，本文提出的信任管理方法是一種創新的邊界訪問控制方法，有效應對邊界安全威脅。

圖1 城軌云平臺的兩級結構及三網隔離示意圖Fig. 1 Two-tier structure and three-network isolation diagram of metro cloud platform

2 城軌云平臺動態信任管理方法的實施過程

將城軌云平臺的信任管理組件分為三個部分：信任管理核心組件、信任管理調整組件、數據庫，如圖2所示。對于計算能力、存儲能力充足的設備，可選擇運行在可信平臺模塊（trusted platform module， TPM）上。TPM是一種內置于主板上的硬件安全模塊，能夠存儲密鑰、數字證書和其他機密信息，實現安全啟動、數據加密和數字簽名等功能［18］。對于計算能力、存儲能力較小的設備，只需配置信任管理核心組件。

圖2 面向城軌云平臺的動態信任管理方法的結構圖Fig. 2 Structural diagram of dynamic trust management method for metro cloud platform

2.1 信任評估

在時間窗T，實施一個控制指令，在節點i部署的信任收集組件收集與目標節點j的記錄，包括節點i與節點j的直接歷史交互序列及相鄰節點與節點j的歷史交互序列，分別用于直接信任的計算、間接信任的計算。為了緩解“冷啟動”問題，一些關鍵節點的歷史信任值存儲在數據庫中，以歷史信任值作為起點，從而加快信任評估。

（1）直接信任評估：主觀邏輯是一種處理不確定性的邏輯框架，被廣泛應用于信任管理［19-20］。該框架包含了三個核心概念，即belief（信任）、disbelief（不信任）和uncertainty（不確定性），表示為{b，d，u}。直接信任值的計算式如下：

式中：b，u分別指信任、不確定性，計算公式分別為；Ns，Nf分別是指一段時間內成功交互的次數、失敗交互的次數。

（2）間接信任評估：當節點i和節點j之間沒有直接交互時，執行下述迭代計算。獲取節點j在同一時間窗T與其他節點的歷史交互序列，通過加權平均，得到間接信任值RTij，如式（2）所示：

式中：tik為節點i和k之間的信任值；tkj為節點k和j之間的信任值。

在計算間接信任時，需要考慮節點之間的通信跳數。由于交互概率低，考慮距離i或j過遠的節點給出的間接信任值可能不具有實際意義；相反，會增加計算量。因此，本文僅考慮2跳以內的節點。

2.2 信任更新

基于獎勵因子、懲罰因子、交互次數因素，根據直接信任和間接信任的加權值計算綜合信任值。節點i在當前時間t對節點j的綜合信任值，如式（3）所示。

式中：w1和w2分別表示當前節點在時間點t的直接信任值和推薦信任值的權重；Nd(t)表示直接交互次數。當Nd(t) 在一個時間窗T內達到θn時，即Nd(t)≥θn，即雙方完全建立了信任關系，此時只考慮直接信任。

（1）同一個時間窗內，w1和w2不變；不同時間窗內，w1和w2可以動態調整。權重設置考慮兩類情況：① 空閑階段：當節點之間的連接較少或處于空閑時間時，信任收集組件將收集更多的間接信任信息，從而需要增加w2。② 頻繁交互階段：信任收集組件會接受更直接的交互信息，從而需要增加w1。具體地，將w1和w2分別定義為w1=1-αNd(t)，w2=αNd(t)。通過這種動態調整，提出的方法能夠適應不同時間段的交互特征和信任需求。

（2）獎勵因子RW(t)用于調節獎勵程度。本文根據節點的穩定性指標確定RW(t)，即在一段時間內持續提供良好服務的能力。持續提供良好服務的節點應當具有較高的信任值，未能持續提供良好服務的節點的信任值則應降低。此外，信任值的增幅過大可能導致“On-Off（開-關）攻擊”，即攻擊者通過反復增加和降低信任值而干擾系統的正常運行。因此在設計RW(t)時，需要限制信任值的增幅。綜上需求，RW(t)計算如下：

式中：Nsuc(t)指連續成功交互的次數；N(t)是總交互次數；常數0.1用于縮放結果，限制信任值的增幅。

2.3 基于信任決策的動態訪問控制

在每個時間窗結束后，對獲取的信任值進行分級，再設置訪問實體的權限。每個信任級別對應不同的閾值，較高信任值的節點可以執行更重要的操作。如果訪問實體的信任指標值小于當前信任級別的閾值，則該訪問實體將降級，同時云平臺將執行控制措施以約束其權限。相反，如果訪問實體的信任值超過較高信任級別的閾值，則需要增加其訪問權限。

基于訪問權限粒度及實際需求，劃分了四級訪問級別。將節點默認信任值設置為0.5，因此低于0.5時權限為“拒絕訪問”。此外，為了提供更細粒度的訪問控制，將信任值范圍在［0.5，1］劃分了三個級別，由低級別到高級別分別是“暫時拒絕訪問”、“受監控的訪問”、“完全訪問”。在實際場景中，可信設備的信任值通常分布在［0.8，1］范圍內。因此，將“完全訪問”權限所對應的信任值范圍劃分為［0.8，1］，以確保在較高的信任度下獲得訪問權限。當前劃分為四級訪問級別，如表2所示。然而，在更加嚴苛的安全需求下，需要設置更細粒度的訪問級別，需要進一步劃分。

表2 訪問權限分級表Tab. 2 Hierarchy of access permissions

3 城軌云邊界安全防護實驗及結果

3.1 實驗場景及仿真參數設置

3.1.1 城軌云綜合監控系統的真實網絡拓撲

在傳統的城軌綜合監控系統中，每個車站、車輛段均各自設置服務器來處理和存儲本站數據；最終，所有站段級綜合監控系統的數據會傳輸到中央級綜合監控系統。然而，這種架構存在一些問題，如高成本和資源利用效率低下，無法進行靈活的資源調配。為了解決這些問題，引入城軌云的概念可以改善綜合監控系統的結構。在城軌云中，中央級和站段級的服務器被虛擬化為位于中央服務器群組中的虛擬服務器。通過全線的主干網絡，各個站段監控網的監控信息直接傳輸到控制中心的服務器群組，從而實現本線內多個系統的綜合監控管理。本文提出的方法以基于溫州市域鐵路S1線應用的城軌云綜合監控系統［21］作為案例分析，其網絡拓撲如圖3所示。除了圖2中設備英文縮寫解釋外，其他設備解釋如下：FEP（front end processor， 前端處理器）、BAS（building automation system， 環境與設備監控系統）、SCADA（supervisory control and data acquisition， 數據采集與監視控制系統）、FG（fieldbus gateway， 現場總線）；ACS（access control system， 門禁系統）；CCTV（closed-circuit television， 閉路電視監控系統）、SIG（signal， 信號機）。

圖3 基于城軌云的綜合監控系統的網絡拓撲圖（部分）［21］Fig. 3 Network topology diagram of integrated supervisory control system based on metro cloud(partial)

3.1.2 城軌云綜合監控系統的實驗拓撲圖與仿真參數設置

基于網絡拓撲圖，提出了一個實施異常控制指令的實驗拓撲圖，如圖4 所示。該圖在網絡拓撲圖的基礎上補充了人機界面（human machine interface， HMI）、控制服務器和控制器，用于模擬控制指令在城軌中心云平臺、站段云平臺的組件之間的傳輸過程。為便于說明，為節點從上往下編號。

圖4 用于實施異常控制指令的實驗拓撲圖Fig. 4 Experimental topology diagram for implementing abnormal control commands

結合圖3 及相關工程經驗，制定了以下假設以進行拓撲圖的設計：① 中心控制服務器、總調工作站、行調輔助工作站和HMI1 通常通過以太網或其他協議連接在同一局域網上。② 云資源池是硬件設施、虛擬化軟件和管理軟件的分布式計算資源集合，可被視為云計算的基礎設施。云資源池是基于互聯網的，通常通過網絡管理系統連接到工業現場的局域網或廣域網，并與其他設備通信。③ 在邏輯連接關系方面，前端處理器和線網指揮接口設備通常是通過現場總線或者其他工業網絡協議來實現的。④ 中央路由交換機連接到中央綜合監控系統的局域網上。不同的站段綜合監控系統可以直接連接到中央路由交換機的不同端口上，通過交換機的路由功能可以實現跨網段通信；或者通過虛擬專用網絡來連接不同的綜合監控系統，使它們能夠通過中央路由交換機進行通信。基于以上假設，對設備及設備間的連接關系進行抽取，獲得了用于實施信任管理方法的節點鏈接關系圖，如圖5所示。

圖5 城軌云綜合監控系統下節點鏈接關系圖Fig. 5 Node linkage diagram of tintegrated supervisory control system based on metro cloud

異常行為識別分為三類，按重要性由高到低，依次為干擾正常控制指令的操作、節點違規的控制指令、未授權的控制指令。此外，仿真參數的設置如表3所示。可部署完整信任管理功能的節點是中央監控所屬節點和站段綜合監控所屬節點，其余節點只部署信任管理核心組件。本文仿真工具為Matlab 2022b。

表3 仿真參數的設置Tab. 3 Setting of simulation parameters

3.2 仿真結果

3.2.1 正常控制指令操作下信任值的變化

選取了三個關鍵節點，如云資源池（節點6）、HMI1（節點4）和行調輔助工作站（節點3），觀察了隨時間變化這些節點的信任值變化情況。結果如圖6所示，橫坐標是以時間窗次數表示時間，每個時間間隔即1次時間窗，縱坐標表示節點的信任值。隨著時間推移和交互次數增加，在正常控制指令的運行下，成功交互次數逐漸增加，從而導致信任值逐漸增加，并最終趨于一個較高的信任值范圍。根據表2中規定的訪問權限分級，當信任值處于［0.8，1］范圍，節點的信任值可達到信任I級，管理員可獲得完全訪問的權限。綜上，這些信任變化符合預期的目標。

圖6 正常控制指令運行下信任值的變化圖Fig. 6 Trust value variation diagram under normal control instruction operation

3.2.2 異常控制指令操作下信任值的變化

（1）節點在未經授權控制指令操作下的信任值變化攻擊的最終目標是修改城軌云平臺發出的控制指令。針對未經授權的控制指令發起攻擊，惡意攻擊者可能通過對城軌云的設備和網絡鏈路進行以下方式的攻擊：越權訪問、篡改控制指令和泄露控制指令。①越權訪問：指某個用戶或設備在未經授權的情況下，對數據或資源越權訪問。② 篡改控制指令：攻擊者通過篡改控制指令，改變系統的控制參數或控制邏輯。③泄露控制指令：指攻擊者獲取控制指令，使其能夠獲取系統的控制參數、運行狀態和控制策略等敏感信息。在仿真過程，假設云資源池（節點6）和HMI1（節點4）為非授權節點，并模擬了這些節點對執行請求、讀取、寫入控制指令的服務。同時，部署在節點中的信任管理核心組件能夠檢測到這些異常行為，并追蹤具有異常行為的鄰居節點的上一跳或下一跳。周期性地將這些記錄反饋給信任管理數據庫。

在第5次交互時發起異常行為，并在第10次交互時恢復正常運行。如圖7所示，在異常行為發生期間，兩個節點的信任值均迅速下降，且下降至低于0.8的水平。異常行為結束后，信任值緩慢增加。在云資源池的未授權寫操作中，從第5次交互到第8次交互，信任值下降率為5.3 %；而第10次交互到第15次交互，信任值增長率為2.2 %，如圖7 a 所示。這種信任值變化的趨勢表現為“緩升快降”，避免了節點表現時好時壞的“開-關攻擊”。此外，根據預先假設，未授權寫操作的懲罰要大于未授權讀操作，因而寫操作的信任值下降速度高于讀操作，如圖7 a 所示。實驗結果與預期目標一致。在相同未授權讀控制指令下，從第5次交互到第9次交互，云資源池的信任值降低率為2.0 %，高于HMI的信任值降低率0.67 %，如圖7 b 所示。該結果也符合預先假設，即云資源池的重要性高于HMI1。

圖7 未經授權控制指令下不同節點及不同操作的信任值變化圖Fig. 7 Trust value variation diagram of different nodes and operations under unauthorized control commands

（2） 節點在違規控制指令操作下的信任值變化

在考慮由內部異常或攻擊引發的行為時，合法節點可能進行違規操作，具體如下：① 已授權的合法節點進行違規交互、修改、攔截、欺騙、丟棄控制指令：②合法操作者的誤操作：合法操作者由于操作失誤或者其他原因導致控制系統產生錯誤或者失效。針對上述情況，模擬了云資源池（節點6）和HMI1（節點4）為已授權但發起了違規操作的節點。信任管理核心組件能夠檢測所部署的節點或其鄰居節點這些異常行為，并定期將記錄反饋給信任管理數據庫。

在第5次交互時發起異常行為，并在第10次交互時恢復正常運行。如圖8所示，在異常行為發生期間，兩個節點的信任值迅速下降，降至低于完全訪問權限的水平，而某些交互次數下的信任值低于拒絕訪問權限線。具體地，在預先設定的情況下，實施違規控制指令的懲罰力度大于未經授權控制指令。因而，從第5次交互到第7次交互，云資源池違規寫操作的信任值下降率30.13 %，高于未授權寫操作的5.3 %，如圖8 a所示。此外，預先假定了寫操作的懲罰大于讀操作，因而寫操作的信任值比讀操作下降得更快且更低。在云資源池比HMI1更重要的預先假設下，云資源池的信任值比HMI1下降得更快，如圖8 b 所示。HMI1節點的信任變化遵循了“緩升快降”規則。但在某些交互次數下，其信任值低于拒絕訪問權限線時，該節點將被屏蔽，不再響應任何交互。例如在云資源池恢復正常運行后，其信任值不再增加，需要管理員檢查后恢復。

圖8 違規控制指令下不同節點及不同操作的信任值變化圖Fig. 8 Trust value variation diagram of different nodes and operations under non-conforming control commands

（3） 節點在干擾正常控制指令操作的異常行為下的信任變化

一些惡意節點可能實施干擾正常控制指令，例如實施拒絕服務攻擊（denial of service， DoS）。DoS攻擊指的是某些設備可能會阻塞信息傳輸或惡意節點向同一地址發送大量數據包，擾亂正常業務運營并導致無法可靠地提供服務。將城軌云中央綜合監控系統中的中心控制服務器（節點1）和前端處理器（節點7）設定為已授權但受到了DoS攻擊的節點。信任管理核心組件能夠監測到這種控制指令被攔截且數據包持續發往特定節點的行為。

在第5次交互時設置異常行為，并在第10次交互結束。觀察到如下行為，兩個節點的信任值均迅速下降，低于完全訪問的訪問權限線，如圖9所示。中心控制服務器的信任值低于拒絕訪問的訪問權限線，導致節點被屏蔽且不再響應任何交互。當異常行為結束后，其信任值未增加，需要管理員進行檢查和恢復。而前端處理器的信任值在恢復正常后緩慢增加。

圖9 干擾正常控制指令運行的異常行為下的信任變化圖Fig. 9 Trust value variation diagram of abnormal behavior interfering with normal control command operation

本文以溫州S1 線城軌云綜合監控系統作為案例，計算結果能夠指導實際應用。在實際應用時，偏差的影響因素有以下三點：① 將網絡設備抽象為節點并簡化了節點間連接關系，而實際節點連接關系更加復雜，可能會對授權結果造成影響；② 當前動態信任管理方法是基于主觀邏輯方法，只考慮了成功與失敗的交互次數，未考慮具體消息內容及網絡設備可能會面臨不同的負載和流量情況。

4 結語

（1） 提出了一種面向城軌云邊界安全防護的動態信任管理方法。在異常行為識別上，信任管理組件能夠監測多種異常控制指令行為，及時發現并應對潛在的安全威脅。在信任評估上，提出了基于主觀邏輯的直接信任評估和基于第三方推薦的間接信任評估的綜合信任值評估方法，且考慮了獎勵及懲罰的影響。在動態訪問控制的基礎上，基于節點的信任值，將訪問權限劃分為四級，實現了細粒度的訪問控制，以確保保證系統的安全性。

（2） 以城軌云綜合監控系統為案例，根據真實的網絡拓撲圖，獲得了節點間的鏈接關系圖。在正常控制指令運行實驗中，結果表明隨著交互次數增加，信任值能夠逐漸達到［0.8，1］范圍，管理員能夠獲得完全訪問權限。在異常控制指令運行實驗中，結果表明在異常行為發生期間，節點的信任值能夠迅速下降，降至低于［0.8，1］的范圍，并且一旦節點的信任值降為［0，0.5）范圍，節點將被屏蔽。

（3） 實驗結果符合信任變化規律。首先，信任值的變化過程符合“緩升快降”的規則。例如在未授權寫操作下，云資源池信任降低率為5.3 %，而信任增長率為2.2 %。其次，在執行不同控制指令時，信任值變化存在顯著差異。例如在違規寫操作下，云資源池和HMI的信任值降低率分別為30.13 %和5.3 %。最后，在不同節點下，信任值變化存在差異。例如在未授權讀控制指令下，云資源池和HMI的信任值降低率分別為2.0 %和0.67 %。這些結果表明本文提出的動態信任管理方法能夠根據節點的重要性，對信任值進行差異化的評估和管理，實現了動態、細粒度的邊界安全防護。

（4） 為進一步研究提供了基礎，未來的工作可以考慮處理多維度信任指標數據的信任管理，并探索采用機器學習方法來進一步提升系統的性能。此外，未來的工作需要利用真實的訪問次數、流量等數據，并與實際訪問控制情況進行比較。

作者貢獻聲明：

張 雷：提供研究思路、技術指導以及論文完善工作。

徐 倩：提供研究思路，實施仿真實驗，撰寫論文。

何積豐：提供研究思路、技術指導以及論文完善工作。

曾小清：論文校對。

寧 正：協助文獻整理及校對。