劉 和，王維英，張本利

(黑龍江省電力有限公司信息通信公司 信息通信工程中心，黑龍江 哈爾濱 150090)

基于信任和風險評估的異構無線網絡安全模型

劉 和，王維英，張本利

(黑龍江省電力有限公司信息通信公司 信息通信工程中心，黑龍江 哈爾濱 150090)

由于現(xiàn)有的信任模型僅針對應用，并沒有引入風險評估，不能適應新的網絡環(huán)境特點，而異構無線網絡環(huán)境由于具有異構性、開放性、動態(tài)性和適應性的特點，適合新環(huán)境下的系統(tǒng)網絡安全需要。提出一種主動安全模型，從分析安全的保護機制出發(fā)，基于服務提供者和請求者的不同角度，引入網絡風險評估和用戶歷史交互行為的信任評估，動態(tài)地為系統(tǒng)資源提供主動保護能力，以提升安全性。通過仿真實驗得出，模型能夠在惡意攻擊增加情況下，及時識別風險，并正確有效地預測實體行為，保持良好運行狀況，為下一步系統(tǒng)決策提供保障。

異構無線網絡；信任；風險評估

在異構融合的網絡中，移動蜂窩網、廣播網、無線局域網甚至無線傳感網等網絡協(xié)同共存，宏蜂窩、微蜂窩、微微蜂窩以及毫微微蜂窩等組網形式相互融合，發(fā)揮各種網絡自身優(yōu)勢，為用戶提供更好的服務。隨著通信技術的發(fā)展，下一代網絡(Next Generation Network,NGN)的發(fā)展將為用戶提供永遠在線、高速的傳輸速率以及動態(tài)的網絡接入。下一代網絡技術將實現(xiàn)多種異構接入網絡的集成與融合。在滿足用戶高速率、低時延、廣范圍通信需求和靈活多變的個性化服務的同時，對其網絡安全提出了更高的要求。

融合多種網絡通信技術或組網方式，滿足用戶需要的同時，也將各種網絡的安全缺陷帶進融合網絡中。在NGN環(huán)境下，用戶的分布方式不再是集中的、封閉的和可控的，而是開放的、動態(tài)的和分布式的，為了有效保證下一代網絡(NGN)的安全和正常運行，即保障其可靠性、可用性和完整性，就必須在威脅源對NGN安全形成威脅之前消除安全隱患。系統(tǒng)的主動保護安全能力對于異構融合網絡，是發(fā)現(xiàn)系統(tǒng)脆弱性和薄弱環(huán)節(jié)的有效手段，是保障系統(tǒng)安全的有效方法。

目前，大多數網絡安全模型研究集中在信任關系上面，信任模型只針對相應的應用背景。普適計算環(huán)境的信任模型定義了基于普適環(huán)境的域間動態(tài)信任模型，主要采用改進的證據理論方法進行建模，信任度的評估采用概率加權平均的方法。不足之處是不能處理由于部分信息和新未知實體所引起的不確定性問題，沒有詳細的風險分析以及建模風險和信任之間的關系。Song 等人提出了網格計算環(huán)境下的實體之間基于模糊算法的動態(tài)信任模型，包括描述、評估和更新。模型沒有考慮間接信任值，不能反映全局信任度。George等人提出了一種適用于Ad-hoc網絡的基于半環(huán)代數理論的信任模型，模型沒有風險評估機制。He等人提出了基于云模型的普適環(huán)境下的信任模型，用云的形式來描述實體之間的信任關系，考慮了信任的不確定性，理論上更合理，但沒有風險評估，也沒有考慮協(xié)同欺騙和惡意節(jié)點等問題。

1 異構無線網絡安全機制

異構無線網絡(Heterogeneous Wireless Network,HWN)作為NGN的先驅和代表，與傳統(tǒng)的網絡系統(tǒng)相比具有一些新的特點：(1)異構性。宏觀方面體現(xiàn)在HWN中包含多種資源，例如組網方式、切換方式等，這些資源有可能分布在不同區(qū)域；微觀方面體現(xiàn)在構成系統(tǒng)的計算機有多種類型，包括操作系統(tǒng)、體系結構等多個層次上具有不同的結構。(2)動態(tài)性。在HWN系統(tǒng)中，由于資源的開放性和共享性，使其具有動態(tài)和不可預測的系統(tǒng)行為。(3)開放性。隨著系統(tǒng)的不斷加入，系統(tǒng)的規(guī)模不斷擴大。(4)適應性。HWN系統(tǒng)的管理必須能動態(tài)適應各種情況的發(fā)生，例如資源發(fā)生故障，系統(tǒng)加入或退出等。

對于大規(guī)模、分布式、動態(tài)的HWN系統(tǒng)在集合各種網絡的同時，面臨著各個系統(tǒng)引入的種種安全問題，主要分為兩大類：一類來自系統(tǒng)內部，如數據被竊取、假冒合法用戶、節(jié)點間信息傳遞的內容遭毀壞；另一類來自系統(tǒng)外部，如提供虛假服務、實體可信賴程度低等。

安全機制作為整個網絡系統(tǒng)設計的薄弱環(huán)節(jié)，對于HWN來說，系統(tǒng)設計之初就融入安全機制在這種動態(tài)開放的環(huán)境下具有重大意義。目前流行的安全機制包括主動安全(active-security)和被動安全(reactive-security)，無線網絡系統(tǒng)目前采用比較多的是被動安全模式，即一般采用基于身份的安全管理模式，并且作為用戶訪問控制權限的依據，然而這種模式是被動而且靜態(tài)的，不能適用于HWN的網絡環(huán)境，在這種安全現(xiàn)狀下，需要建立一種主動安全的模式，從信任角度出發(fā)，為網絡實體建立信任關系，使得資源在被監(jiān)測和分析歷史交互作用信息的基礎上，動態(tài)控制訪問，主動協(xié)商，可預判系統(tǒng)的潛在安全風險，將信任關系轉化成信任鏈，形成一個安全網絡空間。

2 基于風險和信任評估的安全模型

針對HWN網絡特點，安全模型研究內容主要是動態(tài)收集相關信息，將影響系統(tǒng)間安全關系的多種因素進行分析和量化表示，根據因素的變化及時調整信任關系的評估結果，做出可信決策和重新評估的可預測的、可控制的、可信賴的動態(tài)循環(huán)過程。研究內容涉及到兩個實體：一個是服務提供者-網絡實體，即在HWN環(huán)境下對網絡實體屬性進行預判，進行風險評估，防止服務請求者接入惡意的或不誠信的網絡實體；另一個是服務請求者-用戶，對用戶行為的動態(tài)信任評估，使得網絡實體可以預測請求用戶信任值，阻止惡意用戶偽裝接入網絡進行破壞?；陲L險和信任評估的安全模型如圖1所示。

風險評估是指從風險管理角度，運用定性、定量的科學分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產所面臨的人為和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害，有針對性地提出了抵御威脅的安全等級防護對策和整改措施。網絡實體的風險評估通過識別并量化資產重要性、威脅和脆弱性、嚴重程度，更加全面地保護系統(tǒng)安全。

信任是提供網絡安全的重要手段，通過預先引入信任評估，可以極大地保護系統(tǒng)安全，提高通信效率。基于用戶行為的動態(tài)信任評估使得服務網絡可以預判請求服務的用戶信任等級，來判斷是否允許其接入網絡。

2.1 模型定義

根據HWN開放性和動態(tài)性特點，模型參數主要考慮可信任度參數Cn、風險參數Rn和時間參數tn。時間參數反映了系統(tǒng)動態(tài)性和及時性，一個周期包括服務請求、服務選擇、服務提供和更新，計算公式為

Tn=f(Cn,Rn,tn).

(1)

2.2 信任評估類型與量化表示

基于知識獲取，信任定義了兩種類型：一種是直接信任，另一種是間接信任。

圖1 基于信任和風險評估的安全模型

直接信任評估是根據用戶歷史交互記錄而得出對其信任度的預測值。設Pi與Pj共發(fā)生n次交互，每次交互完成后，進行交互評價，將其表示為

DTD={〈t1,d1〉,〈t2,d2〉…〈tn,dn〉}．

(2)

對直接信任度的評估公式為

(3)

其屬性主要有：1)直接信任是隨時間而動態(tài)衰減的，計算依賴于時間窗，新的信任記錄更加重要；2)信任值增加緩慢，但減少的速度較快。

間接(反饋)信任評估是在交互信息缺乏情況下，由第三方提供的間接信任值。

設反饋者的集合為{F1，F(xiàn)2,…,FW}，聚合函數定義為

(4)

式中：L為反饋者個數，Wk為反饋因子。

反饋信息的有效聚合主要是對每一個反饋信息加權,涉及可信因子、時間因子和距離因子

(5)

屬性：1)間接信任評估的收斂性是通過可信因子的生存周期來控制；2)聚合速度主要通過調節(jié)距離參數來控制其計算規(guī)模。

2.3 風險評估與參數定義

根據HWN開放性和動態(tài)性特點，安全模型主要考慮可信任度評估和風險評估。信任評估參數是用戶行為參數，主要表征用戶實體歷史交互行為，也可以稱為行為參數，通過對歷史數據(記錄)進行分類或聚合，若為直接知識則可直接進行分類，若為反饋知識則要進行聚合，獲得相關知識，利用數學方法來確定指標的權重，使其具有客觀性。風險評估對于安全度要求較高的網絡實體來說極為重要，風險評估可影響決策，即是否與相關實體進行交互。

風險參數通過計算服務的重要程度和量化分層結構來計算，ω為風險因子，R為風險值，將資產重要性、威脅嚴重性和脆弱嚴重性均劃分為5個等級，賦值范圍[0～10]，其中TS為威脅嚴重性等級值，AV為脆弱性嚴重程度等級值，V為資產重要性等級值。

(6)

2.4 全局可信度

通過對待選網絡進行風險評估，得到風險值的預判，根據待接入實體的直接交互得到直接信任關系，根據反饋得到間接信任關系，綜合計算得到實體信任度，再將信任度和風險值進行分析得到全局可信度。

3 仿真分析

本文通過NetLOGO5.0.1平臺實現(xiàn)了一個模擬的HWN計算環(huán)境來對模型進行性能分析，NetLOGO5.0.1平臺是美國西北大學網絡學習和計算機建模中心推出的可編程建模環(huán)境，是基于多主體的復雜開放系統(tǒng)仿真建模。使用仿真平臺可以評估模型的有效性，并對其在HWN環(huán)境下的性能進行測量。

假設每個網絡實體是服務提供者(service provider，SP)，分為三種類型：GSP，總能提供可靠和穩(wěn)定的服務，其風險值較低; BSP,總拒絕提供任何服務，風險值隨時間而增加;LSP,提供服務動態(tài)變化，風險值隨其服務質量而變化。另外一種是請求服務的用戶實體，同時作為服務評價者(rater)，也分為兩種類型：一種為HR，總能提供真實的反饋；另一種為MR，可以提供錯誤的反饋。

3.1 網絡狀態(tài)

模型的主要功能之一就是檢測用戶實體的惡意行為。這種能力通過交互成功率反映出來，通過TSR(transaction Success Rate)來評估模型方法的有效性，計算方法為

(7)

由圖2分析可以看出模型的有效性，在誠實網絡環(huán)境下，模型的TSR表現(xiàn)比較高，平均值在90%以上，隨著交互時間的增加，系統(tǒng)越來越穩(wěn)定，意味著模型的有效性和準確性。在惡意網絡環(huán)境下，TSR相較于誠實網絡環(huán)境，下降了4個百分點，但仍維持在較高的TSR，意味著模型可以及時發(fā)現(xiàn)環(huán)境變化帶來的威脅。

圖2 正常環(huán)境和惡意環(huán)境下TSR比較

3.2 實體行為

基于HWN動態(tài)性的特點，每個參與實體可以隨時隨地加入或離開HWN環(huán)境。必須測試模型實體行為的動態(tài)性，如圖3所示。圖3顯示出實體行為的表現(xiàn)，隨著實體的惡意行為不斷被檢測處理，實體的風險值急劇下降，信任度緩慢上升，表明模型在有限時間內運行良好。

圖3 系統(tǒng)動態(tài)性檢測

4 結束語

本文在分析異構無線網絡環(huán)境特點的基礎上，針對現(xiàn)有安全模式存在的問題，提出一個基于網絡風險評估和實體行為信任評估主動安全模式的模型，在風險評估的基礎上來實現(xiàn)惡意服務檢測，通過請求服務實體交互歷史行為進行預測。仿真試驗結果表明，該模型能夠正確地分析網絡風險，預測實體行為的風險及信任度，其有效性和動態(tài)特征得到實驗平臺的驗證。下一步工作將以本文工作為基礎，進行信任決策等方面的繼續(xù)研究。

[1]ALMENAREZ F,MARIN A,DIAZ D,et al.Developing a model for trust management in pervasive devices[C].Pisa,ITALY,2006:267-271.

[2]SONG S,HWANG K,MACWAN M.Fuzzy trust integration for security enforcement in grid computing[C].Wuhan,PEOPLES R CHINA,2004:9-21.

[3]LIANG Z,SHI W.Analysis of recommendations on trust inference in open environment[J].Journal of Performance Evaluation,2008,65 (2) :99-128.

[4]THEODORAKOPOULOS G,BARAS J S.On trust models and trust evaluation metrics for ad hoc networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-329.

[5]LI X,GUI X,MAO Q,et al.Adaptive dynamic trust measurement and prediction model based on behavior monitoring [J].Chinee Journal Computers ,2009,32 (4):664-674.

[6]HUANG H S,WANG R C.Subjective trust evaluation based on membership cloud theory[J].Journal on Communications,2008,29(4):13-19.

[7]HE R,NIU J W,ZHANG G W.CBTM: A trust model with uncertainty quantification and reasoning for pervasive computing[C].Nanjing,PEOPLES R CHINA,2005: 541-552.

[8]SELVARAJ C,ANAND S.A survey on Security Issues of Reputation Management Systems for Peer-to-Peer Networks[J],2012,4(7):1-16.

[9]TCHEPNDA C,RIGUIDEL M.Distributed Trust Infrastructure and Trust-Security Articulation: Application to Heterogeneous Networks[C].Proceedings of the 20th International Conference on Advanced Information Networking and Applications,50-56.

[10]MARMOL F,PEREZ G.Towards pre-standardization of trust and reputation models for distributed and heterogeneous systems[J].Computer Standards & Interfaces,2010,4(32):185-197.

[11]WEN L.Trust Model of Users’ behavior in Trustworthy Internet[C].WASE International Conference on Information Engineering,2009:403-407.

[12]ZHU Q,GUI X.Study on the method of active deployment of soft-sensors in grid monitoring system[J].Journal of Chinese Computer Systems ,2007,28 (9):1630-1636.

[13]SATSIOU A,TASSIULAS L.Reputation-based resource allocation in P2P systems of rational users[J].IEEE Trans.Parallel Distrib.Syst,2010,21 (4):466-479.

[14]Information on http:// ccl.northwestern.edu./netlogo/.

[15]林闖，彭雪海.可信網絡研究[J].計算機學報,2005,28(5):751-758.

[16]李小勇,桂小林.大規(guī)模分布式環(huán)境下動態(tài)信任模型研究[J].軟件學報,2007,18(6):1510-1512.

[17]張潤蓮.一種基于實體行為評估的信任模型[J].計算機學報,2009,4(32):688-698.

[18]姜東興,葉震.一種基于風險評估的信任模型[J].微計算機信息,2012,28(4):122-125.

[19]朱重,吳國新.分布式信任域信任管理技術研究綜述[J].計算機科學,2011,38(4):38-45.

[20]馬力,鄭國寧，孫朋.節(jié)點信任度模型的算法研究與設計[J].計算機科學,2012,39(6):81-89.

Heterogeneous wireless network security model based on trust and risk assessment

LIU He,WANG Wei-ying,ZHANG Ben-li

(Heilongjiang Electric Power Co.Telematics Telematics Engineering Center,Harbin 150090,China)

The existing trust models only for applications,because of the lack of risk assessment,can not adapt to the new network environment characteristics.The heterogeneous wireless network environment due to the heterogeneous,open,dynamic and adaptive characteristics,can suit the system network security needed for the new environment.A proactive security model is proposed to analyze the security protection mechanism based on different perspectives of service providers and requestors.The trust evaluation network risk assessment and user interaction behavior history are given to dynamically provide an active protection for the system resources.Through simulation results,the model can be effective in the case of malicious attacks,to identify risks promptly,correctly predict physical behavior effectively and maintain good health,and to provide the protection for the next system decision.

heterogeneous wireless networks; trust; risk assessment

2014-08-06

劉 和(1983-),男,工程師,研究方向：通信信息網絡工程規(guī)劃；信息安全.

TN915.08

A

1671-4679(2014)06-0040-05

郝麗英]