惡劣的通信環(huán)境、終端頻繁的移動以及節(jié)點的能量限制，給戰(zhàn)術物聯(lián)網(wǎng)環(huán)境下節(jié)點安全性評估帶來了極大挑戰(zhàn)。針對這一問題，提出了一種移動戰(zhàn)術環(huán)境下使用信任指標對節(jié)點進行安全性評估的方案。該方案引入通信穩(wěn)定性作為信任指標的影響因子，解決了機會服務攻擊和開關攻擊的安全問題。仿真結果表明，該方案能夠進行入侵檢測，有效地發(fā)現(xiàn)惡意節(jié)點，較好地抵抗多種已知攻擊。此外，該方案在保證安全性的同時能夠大大降低能耗，是一種既安全又輕量的方案。

近年來，物聯(lián)網(wǎng)技術飛速發(fā)展，使得越來越多的物理節(jié)點被部署到物聯(lián)網(wǎng)。大量具有計算、傳感、執(zhí)行能力的節(jié)點連接到網(wǎng)絡中，在不需要人類干預的情況下，這些物聯(lián)網(wǎng)節(jié)點可以完成各種任務，為人類提供極大的便利。但是，使用這些物聯(lián)網(wǎng)節(jié)點的前提是這些節(jié)點能夠安全接入服務器或網(wǎng)關，否則將會帶來各種危險甚至災難。而在通信間斷、中斷以及受限（Disconnected、Interrupted、Limited，DIL）的網(wǎng)絡環(huán)境中，想要保證終端的安全接入更加困難。

在疏散、搜救以及軍事行動等戰(zhàn)術環(huán)境下，物聯(lián)網(wǎng)節(jié)點經(jīng)常處于不停歇的移動中。移動的方向和速度存在較大的隨機性，且處于DIL的通信環(huán)境。終端移動后需要選擇合適的網(wǎng)關接入，而即將接入的網(wǎng)關和路由的安全性如何是一個需要特別關注的問題。此外，加密認證是節(jié)點安全接入網(wǎng)關的常用方法，但是這種認證方法需要消耗較多能量，而資源受限是物聯(lián)網(wǎng)普遍存在的問題，所以需要在保證終端安全接入的同時盡量減少資源的損耗。

基于信任的評估策略是一種有效且計算耗能非常少的輔助方案。終端通過對其他終端和網(wǎng)關的性能和安全進行評估，量化路由的安全性，在移動后將信任指標作為主要參數(shù)來選擇合適的網(wǎng)關連接。在系統(tǒng)運行過程中，認定信任指標過低的節(jié)點直接丟棄。此外，信任指標還可以為終端是否相信其他節(jié)點發(fā)送的重要消息提供依據(jù)。

現(xiàn)有的評估策略主要是對服務質量和能力的評價，雖然是決定節(jié)點安全性的重要因素，但是顯然不夠，于是社交關系的評估被提出。社交關系包括誠實度、親密度、連接性、相似性以及自私性等。但是，使用服務質量和社交關系進行信任評估的策略很少應用于軍事環(huán)境，更缺少基于DIL環(huán)境下應對通信不穩(wěn)定情況的分析，沒有考慮到連接性在信任指標中的重要作用，也沒有針對不同等級的節(jié)點提供的信任指標賦予不同的權重。此外，這些方案仍然存在一些安全隱患沒有解決，如不能抵抗機會服務攻擊、開關攻擊等。

一、戰(zhàn)術環(huán)境的網(wǎng)絡拓撲

圖1為本文具體的戰(zhàn)術環(huán)境網(wǎng)絡結構示意圖。在戰(zhàn)術環(huán)境中，通信不穩(wěn)定的情況經(jīng)常出現(xiàn)，所以本文是基于網(wǎng)絡中節(jié)點與云端斷開連接的模型展開討論的。此時，網(wǎng)絡中主要存在終端、網(wǎng)關和主控節(jié)點3種節(jié)點。

圖1　戰(zhàn)術環(huán)境下的網(wǎng)絡拓撲

無人機、無人車以及士兵攜帶各種功能的節(jié)點以及一臺Android節(jié)點，且所有功能節(jié)點會與Android節(jié)點連接。該Android作為終端與其他終端、網(wǎng)關以及主控節(jié)點連接，主要完成匯總、處理、傳輸以及接收數(shù)據(jù)的功能，并對其他節(jié)點進行安全評估。終端需要與網(wǎng)關連接，完成數(shù)據(jù)上傳。如果終端不能直接與網(wǎng)關、主控節(jié)點連接，則與其他終端連接通過多跳的方式連接到網(wǎng)關、主控節(jié)點。一般而言，一個終端只能與一個網(wǎng)關連接，但是可以和多個終端連接。圖1中箭頭表示終端的移動方向。

具有更高性能、更多能量、更強計算能力的節(jié)點可以作為網(wǎng)關，如圖1所示。網(wǎng)關可以是較大型的無人機、無人車，或者該節(jié)點直接由固定人員攜帶。每個網(wǎng)關都有各自的信號覆蓋范圍，在該范圍之內(nèi)的終端可以和該網(wǎng)關連接。網(wǎng)關也需要和其他可通信的網(wǎng)關、主控節(jié)點連接，并互相進行評估。網(wǎng)關也是可以移動的，但是網(wǎng)關的移動性相比終端較小，且也可以類比為終端的相對移動。所以，本文只考慮終端的移動。

主控節(jié)點是所有網(wǎng)關中移動性相對較小、處理數(shù)據(jù)能力相對較大的網(wǎng)關，可以是一個大型的戰(zhàn)車、臨時指揮所等。主控節(jié)點會對所有上傳的數(shù)據(jù)進行匯總、分析，也只有主控節(jié)點可以決定是否丟棄某個終端或網(wǎng)關，具有最大的權力。但是，終端和網(wǎng)關也會對主控節(jié)點進行安全評估。如果最終判定主控節(jié)點遭到入侵，將會選取新的主控節(jié)點。

二、節(jié)點的安全性評估

在戰(zhàn)術環(huán)境中，終端移動性較高，經(jīng)常離開當前連接網(wǎng)關的信號覆蓋范圍，并進入其他網(wǎng)關的信號覆蓋區(qū)域。所有節(jié)點之間需要互相評估安全性，以應對可能存在的安全問題。為了表述方便，A表示評估的終端，B表示被評估的終端，GA表示評估的網(wǎng)關，GB表示被評估的網(wǎng)關，R表示主控節(jié)點。

1.節(jié)點的信任指標

在戰(zhàn)術環(huán)境中，主要存在終端、網(wǎng)關以及主控節(jié)點3種節(jié)點。所有終端會對可通信的終端、網(wǎng)關以及主控節(jié)點進行信任評估，而網(wǎng)關與主控節(jié)點同理。為方便敘述，本節(jié)主要介紹終端計算其他終端信任指標的方法。信任指標主要是基于節(jié)點的服務質量和社交關系兩方面的能力計算獲得。本文中，服務質量主要使用節(jié)點能量代替，即節(jié)點能量越大，服務質量越高；社交關系主要包括親密度、誠實度、自私性和連接性4個因子。

（1）信任指標的計算

終端會周期性地評估另一個終端的安全性。設A對B的安全信任指標為，則計算公式如下：

式中，、、、、分別表示終端A在當前周期評估終端B的親密度值、誠實度值、自私性值、連接性值以及能量值，分別表示對應的權重，且。

設在該周期內(nèi)終端A評估終端B某種指標X（X可為其密度、誠實度、自私性、連接性和能量）的數(shù)值為，則有：

對于終端A和終端B之間是通過一跳還是非一跳的連接方式，本文采用等式（2）的兩種方式計算指標X的評估數(shù)值。如果A和B是一跳連接，則評估數(shù)值由上一周期求得的評估數(shù)值和當前周期的直接評估數(shù)值決定。等式（2）中，Δt表示評估周期，表示當前周期的評估數(shù)值，用于權衡當前周期評估數(shù)值與上一周期評估數(shù)值的關系。如果A和B是非一跳的方式連接，即A和B可能多跳連接也可能不連接，則對應的評估數(shù)值由上一周期的信任指標和當前周期其他終端的間接信任指標決定，其中，C表示給A間接信任指標的任意終端，表示當前周期終端C發(fā)送給終端A的關于B的推薦信任指標，且如果已知C是受損或入侵終端，則C不帶入上述計算公式。表示權衡上一周期信任指標與當前周期間接信任指標的參數(shù)。C與B的連接跳數(shù)越大，則C對B的評估就越可能不準確。所以，通過這個參數(shù)減少連接跳數(shù)對評估不確定性的影響。這里表示C到B的跳數(shù)。

當A計算B的信任指標小于某一閾值的時候，需要和A進行完整的加密認證，以判斷B是否安全。

（2）信任指標的影響因子

親密度

終端A與終端B交互的次數(shù)即為親密度。交互包括A和B之間提出請求、傳遞消息和監(jiān)聽信息等。一般而言，在某一周期內(nèi)A與B交互的次數(shù)越多，則兩者的親密度越高。A評估B的數(shù)值越高，A認為B越安全。本文基于A和B交互的具體次數(shù)，修改了親密度值的求解公式。

如果A和B一跳連接，A和B當前周期交互次數(shù)與之前周期內(nèi)的交互次數(shù)和當前周期A與其他終端交互次數(shù)相關。兩者的親密度值計算如下：

式中，是根據(jù)A和B之前每個周期內(nèi)交互次數(shù)得出的等級值。例如：如果當前周期兩者交互次數(shù)在所有周期交互次數(shù)中排在前50%，則等級值設置為1；排在前85%，等級值設置為0.75，其他排名設置為0.5。該等級值作為參數(shù)可以根據(jù)實際情況進行調(diào)節(jié)。此外，對于受損或入侵節(jié)點B，等級值統(tǒng)一設置為0。是根據(jù)當前周期A與其他終端交互次數(shù)得出的等級值。用于權衡這兩個等級值之間的關系。

如果A和B多跳連接，則A與B的親密度值主要通過其他終端的建議計算，通過式（4）的結果進行排序：

式中，C表示和A一跳或多跳連接的終端；是終端C和終端B的親密度值，C將該數(shù)值發(fā)送給A；是C和B連接的跳數(shù)。A根據(jù)該數(shù)值進行排序，設置對應的等級值。

誠實度

通過A與B的信息傳輸判斷B是否遵守某些規(guī)則，否則判定B有不誠實的行為，具體評判標準可以參考文獻[18]。這些需要遵守的規(guī)則包括間隔規(guī)則、轉發(fā)規(guī)則、路徑規(guī)則、延遲規(guī)則、重復規(guī)則、干擾規(guī)則以及異常規(guī)則等。間隔規(guī)則指A接收到B的兩條連續(xù)消息的時間不能大于或小于某個閾值；轉發(fā)規(guī)則指A傳輸信息給B要求其轉發(fā)，B需要完整轉發(fā)；路徑規(guī)則指B接收到A的消息并轉發(fā)，需要保證轉發(fā)路徑與A設置的初始路徑一致；延遲規(guī)則指B轉發(fā)A的消息必須在規(guī)定時間內(nèi)完成；重復規(guī)則指同一條消息只能被鄰居終端轉發(fā)有限次數(shù)；干擾規(guī)則指B在給A發(fā)送消息的過程中，噪聲干擾必須小于指定次數(shù)；異常規(guī)則指B給A傳輸?shù)臄?shù)據(jù)經(jīng)過融合處理后不能出現(xiàn)異常，如對某一區(qū)域的傳感器讀數(shù)不能出現(xiàn)異常值。

A統(tǒng)計B的不誠實行為的次數(shù)為n，設置為不誠實行為次數(shù)不可超過的閾值，則不誠實度的計算公式為：

自私性

自私是指B沒有毫無保留地完成A發(fā)布的任務，判斷標準是B是否按照管理要求嚴格執(zhí)行，如忠實地發(fā)送、上傳、報告、轉發(fā)數(shù)據(jù)等，對自私性的要求可以具體參考文獻[19]。B可能為了節(jié)省自身能量，并且在考慮到其他連接的無私終端的數(shù)量時，減少或停止向A傳遞數(shù)據(jù)信息，使自身變得自私；自私終端也可能因為周圍自私終端較多，在平衡自身需求和整個系統(tǒng)需求后再次積極地傳遞數(shù)據(jù)消息，使自己變得無私。

與誠實度值的計算類似，需要設定閾值，并統(tǒng)計B沒有按照協(xié)議忠實執(zhí)行任務的次數(shù)。自私性值的具體計算公式如下：

式中，為B沒有忠實執(zhí)行任務次數(shù)；m為設定的閾值；為A與B按照協(xié)議執(zhí)行所有任務的交互次數(shù)。此處與誠實度計算公式不同的原因是誠實度與安全性的相關性更為密切，而自私性可以根據(jù)B能量的多少適度變化，所以對于評估終端是否自私不像評估終端是否誠實一樣要求較高。

連接性

連接性是指B與A是否在評估周期內(nèi)保持通信穩(wěn)定。比如，戰(zhàn)術環(huán)境中，通信不穩(wěn)定的情況時常發(fā)生，B可能與A發(fā)生短暫的通信斷連，之后又重新連接。一般而言，B的通信越穩(wěn)定，B處于安全狀態(tài)的可能性越高。當B與A斷開連接的次數(shù)、一次斷開連接的時間或者總共斷開連接的時間中有一項超過設定煩人閾值，則連接性的信任指標設為0。

連接性指標的計算公式如下：

式中，為B與A斷開連接的次數(shù)；為B與A斷開連接的最長時間；為B與A斷開連接的總時長；分別為對應的閾值；是權衡上述3個變量的參數(shù)，且。

能量

B的剩余能量是用于評估B服務質量的主要因子。B在向A傳輸數(shù)據(jù)的過程中需要告知A自身的剩余能量，一般只要能量剩余沒有超過一個閾值，都可以將B的能量信任指標設置為1。

式中，為設定的閾值。此外，為了防止B虛報能量，則A可以通過監(jiān)聽B傳輸數(shù)據(jù)的時延，判斷該時延是否在正常范圍內(nèi)，即用正常傳輸時延的次數(shù)與傳輸總次數(shù)的比值來評估B能量值。

2.安全性評估策略

在戰(zhàn)術環(huán)境中會經(jīng)常遇到通信中斷、間斷以及受限等情況，雖然本文在信任指標中添加了連接性作為計算該指標的一個因子，但是DIL環(huán)境中出現(xiàn)通信不穩(wěn)定的情況有很大的不確定性，而信任指標提供了一個判斷節(jié)點安全性的依據(jù)。本小節(jié)將介紹在戰(zhàn)術環(huán)境下利用信任指標進行安全性評估的方案。其中，終端、網(wǎng)關以及主控節(jié)點之間需要相互進行安全性評估，不同節(jié)點之間評估方法略有不同。此外，需要使用算法抵抗機會服務攻擊和開關攻擊，減少安全評估過程中這些攻擊造成的干擾。

（1）終端、網(wǎng)關、主控節(jié)點之間的評估

式（2）中，既是C對B的直接評估值，也可以作為推薦評估值發(fā)送給A。但是，推薦評估值只在需要對多跳連接的節(jié)點進行安全性評估的時候使用，且需要A的周圍存在能夠一跳連接的節(jié)點C。如果A不存在可連接的鄰居節(jié)點，則權重b值應該為0。此外，在式（2）中只建立指標值與跳數(shù)的關系。為了增加準確性，還需要考慮A和C的直接指標值對C給A的推薦指標值的影響，即建立權重b與之間的關系。關于b的具體公式為：

式中，c為權重參數(shù)。

基于網(wǎng)關與終端的連接關系，終端A只會對與自己相連接的網(wǎng)關進行評估，但是會轉發(fā)其他網(wǎng)關的數(shù)據(jù)信息。網(wǎng)關相比終端有著更高的安全性與性能，所以網(wǎng)關給A的推薦信任指標比終端給A的推薦信任指標占有更大的權重。此外，b隨著c的增加而增加，則對網(wǎng)關給A的推薦信任指標需要將設置較大一些。

網(wǎng)關GA會對終端、網(wǎng)關和主控節(jié)點進行評估，且網(wǎng)關需要對所有終端上傳的評估數(shù)據(jù)進行匯總，并再轉發(fā)給主控節(jié)點。GA計算B的匯總信任指標公式為：

式中，C為上傳數(shù)據(jù)給GA的任意終端，表示GA計算C的信任指標，是設定的閾值。表示只有GA認為C是安全的，才能代入式（11）來匯總計算B的信任指標。表示C上傳給GA的關于B的信任指標；表示上傳給GA信任指標并符合安全要求的終端總數(shù)；GC表示發(fā)送數(shù)據(jù)給GA的任意網(wǎng)關；表示GC計算B的信任指標；表示所有發(fā)送數(shù)據(jù)給GA的網(wǎng)關總數(shù)；v是權重參數(shù)。式（11）中沒有添加信任指標的閾值判斷，主要是因為網(wǎng)關數(shù)量較少，且網(wǎng)關安全性相比終端較高。

網(wǎng)關GA對GB的評估類似于終端A對B的評估，且GA會將評估結果上傳給主控節(jié)點，具體可以類比3.1節(jié)的信任指標計算方法。主控節(jié)點會對所有終端和網(wǎng)關進行評估，并且會匯總所有終端和網(wǎng)關上傳的它們對其他終端和網(wǎng)關的評估結果。主控節(jié)點評估終端和網(wǎng)關的方法與3.1節(jié)介紹的方法相同，匯總終端與網(wǎng)關的信任指標與式（11）提供的方法相同。

（2）抵抗開關攻擊的算法

通過計算信任指標，A可以對B的安全性進行評估。但是，假設B是惡意節(jié)點，B大多數(shù)時候表現(xiàn)良好，使自己被計算的信任指標維持在一個閾值以上，但隨機或者某些重要時刻對A發(fā)布錯誤信息，使A遭受到開關攻擊或機會服務攻擊。為了應對這種攻擊，提高安全性評估準確性，本文采用一種檢測算法。算法的主要流程如圖2所示。

圖2　開關攻擊檢測流程

該算法的具體步驟為：A計算對B的信任指標，并設置初始周期參數(shù)pe=0。先判是于設定閾值，若不大于則認為B可能不安全，A對B進行完整的加密認證。如果大于閾值，再判斷pe=0是否成立。pe=0不成立，則pe=pe-1，并認為B是可信任的，在下一個評估周期到來，A繼續(xù)對B進行安全評估。如果pe=0成立，則計算pe=random%q，并對B進行一次額外的完整加密認證。其中，random為隨機數(shù)；q是事先設定的數(shù)值，與正相關，即對B信任指標越大，則認為B越可能是安全的，所以對B進行額外加密認證的頻率越小。節(jié)點A在評估節(jié)點B的過程中，會根據(jù)節(jié)點B的能量不定期地與B進行加密認證。如果加密認證沒有通過，B就會被認為是不良節(jié)點。

通過上述檢測算法，將有效抵抗機會服務攻擊和開關攻擊，因為實施這兩種攻擊的攻擊者不知道攻擊對象何時會進行加密認證。

三、安全分析和性能分析

1.安全性分析

本文利用MATLAB仿真節(jié)點移動的過程，采用隨機漫步模型。由于本文戰(zhàn)術環(huán)境中的節(jié)點有無人機，且在山區(qū)、高樓等地點節(jié)點也會經(jīng)常高出水平面，所以本文使用二維和三維兩種模型的仿真。

二維模型是在400 m×400 m的戰(zhàn)術環(huán)境中有100個終端隨機運動。在該移動模型中，終端會隨機選擇上下左右任意方向移動[0，2X]m的距離，其中X為可以設置的參數(shù)。每秒平均的移動距離為X，當X=1 m時，二維移動模型如圖3所示。

圖3　隨機漫步模型二維仿真結果

圖3中每個“*”標志表示總共的25個網(wǎng)關，每種顏色的曲線表示終端移動軌跡。

對于三維模型，在400 m×400 m×400 m的網(wǎng)絡環(huán)境中有100個終端進行隨機運動。總共24個網(wǎng)關，假設網(wǎng)關分布的水平坐標為（0，100）、（0，300）、（400，100）、（400，300）、（100，0）、（100，400）、（300，0）、（300，400），垂直方向坐標為100、200和300。當X=1 m時，三維移動模型如圖4所示。

圖4　隨機漫步模型三維仿真結果

2.性能分析

相比于直接使用加密認證檢驗節(jié)點安全性的方案，本文方案采用計算量更輕便的信任指標檢驗其他節(jié)點的安全性。

雖然經(jīng)常使用完整的加密認證方案可以更好地保證節(jié)點認證的安全性，但是對于能量的損耗也是巨大的，而本文在安全性和能耗之間進行了很好地權衡。

四、結　語

在戰(zhàn)術環(huán)境中，節(jié)點需要面臨各種通信不穩(wěn)定的情況。本文基于所有節(jié)點與云端斷開連接的場景進行安全分析。由于缺少功能強大的云端的支撐，網(wǎng)絡中的節(jié)點需要依靠自己和其他節(jié)點的互相監(jiān)測來保證安全性。本文改進的信任指標計算方式在保證網(wǎng)絡安全性的同時，減少了加密認證的次數(shù)，大大降低了能耗，同時分析了在DIL環(huán)境下面對安全問題的解決方法。但是，本文仍然存在一些缺點，如由于篇幅限制，沒有詳細討論方案中計算信任指標時各個參數(shù)的最佳設置。本文中應用的隨機漫步模型也不能完全模擬現(xiàn)實戰(zhàn)場環(huán)境的所有情況，所以以后的研究方向可以根據(jù)不同移動模型為信任指標的計算選取最佳的參數(shù)。此外，本文在分析各種安全問題的解決方案時有些討論還不夠詳細，如主控節(jié)點的選取。不僅需要考慮候選網(wǎng)關的信任指標，還要考慮它們的位置、移動性、周圍受損節(jié)點的數(shù)量等因素。因此，以后也可以在這些方面展開研究