魏琴芳，程利娜，付 俊，胡向東

(1.重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065；2.中國移動(dòng)研究院，北京 100033；3.重慶郵電大學(xué) 自動(dòng)化學(xué)院，重慶 400065)

Josang信任模型的物聯(lián)網(wǎng)感知層安全數(shù)據(jù)融合方法

魏琴芳1，程利娜1，付 俊2，胡向東3

(1.重慶郵電大學(xué) 通信與信息工程學(xué)院，重慶 400065；2.中國移動(dòng)研究院，北京 100033；3.重慶郵電大學(xué) 自動(dòng)化學(xué)院，重慶 400065)

物聯(lián)網(wǎng)感知層通常涉及大量傳感器節(jié)點(diǎn)的運(yùn)用，具有節(jié)點(diǎn)資源有限、分布廣泛、無人值守、數(shù)據(jù)冗余、攻擊容易等特點(diǎn)，實(shí)施安全數(shù)據(jù)融合是其必然選擇。為了保障物聯(lián)網(wǎng)感知層數(shù)據(jù)融合結(jié)果的真實(shí)性與可靠性，建立了一種結(jié)合數(shù)據(jù)預(yù)處理與節(jié)點(diǎn)信譽(yù)度評(píng)價(jià)的安全數(shù)據(jù)融合模型，利用粗大誤差理論將明顯偏離正常數(shù)據(jù)(或真值)的異常數(shù)據(jù)予以識(shí)別和剔除，基于概率統(tǒng)計(jì)理論計(jì)算和更新節(jié)點(diǎn)信譽(yù)度，只允許來源于高信譽(yù)度的節(jié)點(diǎn)數(shù)據(jù)參與數(shù)據(jù)融合，以Josang信任模型形成對(duì)數(shù)據(jù)融合結(jié)果的評(píng)價(jià)。仿真實(shí)驗(yàn)結(jié)果表明，該模型不僅有助于確保物聯(lián)網(wǎng)感知層數(shù)據(jù)融合結(jié)果真實(shí)性與可靠性，而且基于粗大誤差的數(shù)據(jù)預(yù)處理方法可減少數(shù)據(jù)融合的計(jì)算量，降低對(duì)傳感器節(jié)點(diǎn)資源的需求。

物聯(lián)網(wǎng)；傳感器節(jié)點(diǎn)；數(shù)據(jù)融合；粗大誤差理論；信譽(yù)度

0 引 言

無線傳感器網(wǎng)絡(luò)作為物聯(lián)網(wǎng)感知層的核心組成部分之一，主要由大量部署在監(jiān)測區(qū)域內(nèi)的低成本微傳感器節(jié)點(diǎn)組成，通過無線通信方式形成一個(gè)多跳的自組織網(wǎng)絡(luò)，可廣泛應(yīng)用于生態(tài)監(jiān)測、健康護(hù)理、智慧交通、智能物流等眾多領(lǐng)域，是當(dāng)前研究的一個(gè)熱點(diǎn)。然而傳感器網(wǎng)絡(luò)中節(jié)點(diǎn)的資源是非常有限的，這主要體現(xiàn)在電池能量、存儲(chǔ)能力、處理能力以及通信帶寬等方面，所以減少節(jié)點(diǎn)和基站間的數(shù)據(jù)傳輸量和通信開銷、提高能效和帶寬利用率顯得十分必要；且物聯(lián)網(wǎng)感知層所采集的原始數(shù)據(jù)一般具有較大的冗余性，因此，數(shù)據(jù)融合的需求就被提出，通過數(shù)據(jù)融合技術(shù)的運(yùn)用可以去除采集數(shù)據(jù)中的冗余信息以及減少網(wǎng)絡(luò)中數(shù)據(jù)傳輸量，進(jìn)而節(jié)省節(jié)點(diǎn)能量，延長網(wǎng)絡(luò)生命周期。

物聯(lián)網(wǎng)感知層中的大量傳感器節(jié)點(diǎn)通常部署在無人監(jiān)管的惡劣環(huán)境或安全敏感區(qū)域，使得網(wǎng)絡(luò)中的數(shù)據(jù)融合面臨著多種信息安全風(fēng)險(xiǎn)，如數(shù)據(jù)被竊聽、偽造、篡改和重放等攻擊，因此，安全的數(shù)據(jù)融合十分必要，相關(guān)研究得以開展[1]。

近年來，一些研究者從不同角度提出了不同的安全解決方案，其中，基于節(jié)點(diǎn)信譽(yù)度評(píng)價(jià)的數(shù)據(jù)融合方法得到了重視。為了量化數(shù)據(jù)融合結(jié)果的不確定性以及抵抗數(shù)據(jù)融合過程中節(jié)點(diǎn)被捕獲等攻擊，本文建立了一個(gè)改進(jìn)的基于節(jié)點(diǎn)信譽(yù)度的安全數(shù)據(jù)融合模型(improved creditability-based data aggregation，ICBDA)，用以解決數(shù)據(jù)融合過程中數(shù)據(jù)源的安全問題，保證數(shù)據(jù)融合結(jié)果的真實(shí)性。

1 相關(guān)工作

到目前為止，研究者對(duì)數(shù)據(jù)融合的安全實(shí)現(xiàn)方法進(jìn)行了多種方案的探索。

SIA(secure information aggregation)協(xié)議[2]首先給出數(shù)據(jù)融合節(jié)點(diǎn)的數(shù)據(jù)融合結(jié)果，然后采用高效的抽樣和交互證明來確保融合值是真實(shí)值的近似。SIA協(xié)議還給出對(duì)多種計(jì)算函數(shù)的聚集方法，如果想要得到可靠性較高的數(shù)據(jù)值，交互次數(shù)就會(huì)相應(yīng)增加，為完成數(shù)據(jù)融合所消耗的節(jié)點(diǎn)資源也會(huì)明顯增多。

SecureDAV(secure data aggregation and verification)協(xié)議[3]使用密鑰共享方案為簇內(nèi)節(jié)點(diǎn)分配密鑰，同時(shí)簇內(nèi)節(jié)點(diǎn)對(duì)計(jì)算得到的簇內(nèi)數(shù)據(jù)平均值進(jìn)行部分簽名。此方案可以驗(yàn)證融合數(shù)據(jù)的完整性，但是方案中只給出了計(jì)算平均值的聚集函數(shù)，公鑰密碼體制的應(yīng)用將引入較大的計(jì)算量。

文獻(xiàn)[4]提出的安全數(shù)據(jù)聚合(secure data aggregation protocol，SDAP)方法基于分而治之原理，節(jié)點(diǎn)的樹形拓?fù)浣Y(jié)構(gòu)首先被動(dòng)態(tài)地劃分為多個(gè)類似大小的邏輯組(即子樹)，接下來的數(shù)據(jù)融合將在各個(gè)邏輯組逐跳進(jìn)行，數(shù)據(jù)融合結(jié)果最終被傳送到基站?；靖鶕?jù)這些邏輯組的融合結(jié)果集合識(shí)別可疑的數(shù)據(jù)融合邏輯組。

文獻(xiàn)[5]提出了一種高效安全的基于模式碼的數(shù)據(jù)融合協(xié)議(efficient and secure pattern based data aggregation，ESPDA)，該協(xié)議所進(jìn)行的安全數(shù)據(jù)融合操作采用的是無任何物理意義的模式碼，在數(shù)據(jù)傳輸過程中，中間節(jié)點(diǎn)不關(guān)心信息的具體內(nèi)容，也就沒必要對(duì)密文進(jìn)行解密和再加密，這樣可確保數(shù)據(jù)的機(jī)密性并避免中間節(jié)點(diǎn)處消息被竊聽問題；基站周期性廣播密鑰也有助于保障數(shù)據(jù)的新鮮性。隨后，羅蔚等[6]提出一種高效安全的數(shù)據(jù)融合協(xié)議(efficient and secure data aggregation，ESDA)，采用模糊算法和模式碼來消除傳感節(jié)點(diǎn)所感知原始數(shù)據(jù)的冗余信息并執(zhí)行相應(yīng)的數(shù)據(jù)融合操作，這有助于提高數(shù)據(jù)的機(jī)密性和傳感器節(jié)點(diǎn)的能效性。

Ganeriwal和Srivastava 在研究數(shù)據(jù)融合技術(shù)時(shí)，針對(duì)無線傳感器網(wǎng)絡(luò)提出了第一個(gè)基于聲譽(yù)的傳感器網(wǎng)絡(luò)框架(reputation based framework sensor networks，RFSN)信任模型[7]。該模型采用統(tǒng)計(jì)和決策理論，構(gòu)建了一個(gè)十分有應(yīng)用前景的分布式、可擴(kuò)展的框架。RFSN信任模型把計(jì)算得到的信任值作為節(jié)點(diǎn)參與數(shù)據(jù)融合時(shí)所提供數(shù)據(jù)的權(quán)重。

文獻(xiàn)[8]提出的基于分布式聲譽(yù)機(jī)制的信標(biāo)節(jié)點(diǎn)信任系統(tǒng)(distributed reputation based beacon trust system，DRBTS)方案將網(wǎng)絡(luò)中的節(jié)點(diǎn)分為傳感節(jié)點(diǎn)和信標(biāo)節(jié)點(diǎn)，信標(biāo)節(jié)點(diǎn)的提出是本方案的一個(gè)亮點(diǎn)，信標(biāo)節(jié)點(diǎn)被用于確定傳感節(jié)點(diǎn)的位置。在該方案中，每個(gè)信標(biāo)節(jié)點(diǎn)的主要任務(wù)是監(jiān)測其鄰居信標(biāo)節(jié)點(diǎn)的行為，傳感節(jié)點(diǎn)采用簡單的多數(shù)投票機(jī)制來確定是否使用給定的信標(biāo)位置信息，這樣做是為了把惡意信標(biāo)節(jié)點(diǎn)報(bào)告的虛假位置信息給過濾掉。

文獻(xiàn)[9]提出的加權(quán)信任評(píng)價(jià)(weighted trust evaluation，WTE)方案是利用節(jié)點(diǎn)權(quán)值作為節(jié)點(diǎn)信譽(yù)值來進(jìn)行數(shù)據(jù)融合的操作，再將實(shí)際值與數(shù)據(jù)融合結(jié)果作比較，結(jié)果不同，則說明對(duì)應(yīng)的節(jié)點(diǎn)可疑，并用懲罰系數(shù)來降低該節(jié)點(diǎn)的信譽(yù)值，通過將信譽(yù)值和融合結(jié)果不斷迭代，最后篩選確定是否存在惡意節(jié)點(diǎn)。文獻(xiàn)[10]提出的加權(quán)置信過濾(weighted confidence filter，WCF)算法，在WTE算法基礎(chǔ)上進(jìn)行了一定程度的改進(jìn)，該算法過濾掉信譽(yù)值在平均信譽(yù)值以下的節(jié)點(diǎn)，只允許剩余的節(jié)點(diǎn)參與之后的數(shù)據(jù)融合，此方案較WTE而言，其數(shù)據(jù)融合值更接近于實(shí)際值。

上述安全方案或者增加了節(jié)點(diǎn)間的交互次數(shù)，或者對(duì)節(jié)點(diǎn)的計(jì)算與存儲(chǔ)資源提出了過高的挑戰(zhàn)。本文建立的ICBDA模型首先根據(jù)粗大誤差判別準(zhǔn)則識(shí)別并拒絕差值較大的節(jié)點(diǎn)感知數(shù)據(jù)，然后參考Josang信任模型，利用正態(tài)分布規(guī)律計(jì)算節(jié)點(diǎn)信譽(yù)值，信譽(yù)值高于預(yù)設(shè)閾值的節(jié)點(diǎn)參與數(shù)據(jù)融合，最后對(duì)數(shù)據(jù)融合結(jié)果進(jìn)行評(píng)價(jià)，用評(píng)價(jià)的期望來表達(dá)對(duì)數(shù)據(jù)融合結(jié)果的可信賴程度。

2 網(wǎng)絡(luò)模型假設(shè)

本文假設(shè)網(wǎng)絡(luò)為層次型結(jié)構(gòu)，由多個(gè)簇組成，每一個(gè)簇都由一個(gè)簇頭節(jié)點(diǎn)和若干普通節(jié)點(diǎn)構(gòu)成，簇頭主要負(fù)責(zé)將來自普通節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行融合，并將數(shù)據(jù)融合結(jié)果通過多跳路由發(fā)送給基站。因?yàn)橄啾扔谄矫嫘途W(wǎng)絡(luò)，層次型結(jié)構(gòu)網(wǎng)絡(luò)非常適合于大規(guī)模節(jié)點(diǎn)部署，具有更好的應(yīng)用適應(yīng)性，且引入數(shù)據(jù)融合有助于減少網(wǎng)絡(luò)數(shù)據(jù)傳輸量，降低節(jié)點(diǎn)的數(shù)據(jù)傳輸能耗。

層次型結(jié)構(gòu)如圖1所示，SN代表普通節(jié)點(diǎn)，F(xiàn)N代表簇頭節(jié)點(diǎn)，BS代表基站。本文中還對(duì)網(wǎng)絡(luò)做如下假設(shè)：①基站位于網(wǎng)絡(luò)的頂層，是傳感器網(wǎng)絡(luò)和應(yīng)用網(wǎng)絡(luò)的聯(lián)接點(diǎn)，有強(qiáng)大的計(jì)算能力、足夠的內(nèi)存和豐富的能量，基站是完全可信的；②物聯(lián)網(wǎng)感知層因傳感器節(jié)點(diǎn)眾多、分布密集，其采集的數(shù)據(jù)具有冗余性；③網(wǎng)絡(luò)部署初期，所有節(jié)點(diǎn)都是安全可信的，且具有相同的能量、相同的儲(chǔ)存能力、相同的處理能力，每個(gè)節(jié)點(diǎn)都有獨(dú)立的ID標(biāo)識(shí)[11]。

3 改進(jìn)的安全數(shù)據(jù)融合模型

3.1 整體思路

文獻(xiàn)[12]建立了基于信譽(yù)度的安全數(shù)據(jù)融合模型(creditability based data aggregation，CBDA)，融合節(jié)點(diǎn)根據(jù)簇成員節(jié)點(diǎn)的采樣數(shù)據(jù)，得到每個(gè)成員節(jié)點(diǎn)的信譽(yù)度，只允許有高信譽(yù)度節(jié)點(diǎn)的采樣數(shù)據(jù)參與融合操作，計(jì)算融合結(jié)果并對(duì)其進(jìn)行評(píng)價(jià)；將融合結(jié)果及其評(píng)價(jià)傳給匯聚節(jié)點(diǎn)(即基站)用于決策利用。即使部分節(jié)點(diǎn)被捕獲，該安全數(shù)據(jù)融合模型仍能保證融合結(jié)果的真實(shí)性，即具有較好的容錯(cuò)性。

圖1 層次型結(jié)構(gòu)圖Fig.1 Hierarchical structure

但該模型還存在一些明顯的問題。例如，融合節(jié)點(diǎn)要計(jì)算所有普通成員節(jié)點(diǎn)的信譽(yù)值，這是對(duì)本就匱乏的網(wǎng)絡(luò)資源的一種浪費(fèi)。另外，該模型計(jì)算節(jié)點(diǎn)信譽(yù)值的方法，所用成員節(jié)點(diǎn)的歷史累積信譽(yù)可能會(huì)掩飾其當(dāng)前的惡意行為。

本文重點(diǎn)針對(duì)CBDA模型存在的問題進(jìn)行了改進(jìn)，改進(jìn)后的基于節(jié)點(diǎn)信譽(yù)度的安全數(shù)據(jù)融合模型流程如圖2所示。融合節(jié)點(diǎn)在接收成員節(jié)點(diǎn)發(fā)送來的感知信息之后，首先，通過誤差理論識(shí)別明顯偏離附近節(jié)點(diǎn)感知結(jié)果的數(shù)據(jù)，將其當(dāng)作惡意數(shù)據(jù)或錯(cuò)誤數(shù)據(jù)予以剔除；然后，計(jì)算和更新剩余成員節(jié)點(diǎn)的信譽(yù)值，確定信任節(jié)點(diǎn)；最后，融合節(jié)點(diǎn)只利用高信譽(yù)度節(jié)點(diǎn)的感知數(shù)據(jù)進(jìn)行融合操作，對(duì)融合結(jié)果進(jìn)行評(píng)價(jià)，并將融合結(jié)果和對(duì)結(jié)果的評(píng)價(jià)一起傳輸給匯聚節(jié)點(diǎn)，用來供基站完成最終的決策與數(shù)據(jù)利用。

由于物聯(lián)網(wǎng)感知層中傳感器節(jié)點(diǎn)具有分布密集的特點(diǎn)，地里位置上鄰近的節(jié)點(diǎn)采集的數(shù)據(jù)必定存在冗余信息，基于統(tǒng)計(jì)和信息理論，通過檢測節(jié)點(diǎn)所發(fā)送的感知數(shù)據(jù)來推定節(jié)點(diǎn)的信譽(yù)度，用來衡量每個(gè)節(jié)點(diǎn)可信賴的程度；根據(jù)節(jié)點(diǎn)信譽(yù)度的高低來決定是否采用其所采集數(shù)據(jù)進(jìn)入數(shù)據(jù)融合操作，因此，每個(gè)融合結(jié)果和一個(gè)信譽(yù)度評(píng)價(jià)相關(guān)聯(lián)，實(shí)現(xiàn)對(duì)融合結(jié)果不確定性的度量。

該方法的主要改進(jìn)在于：要求簇頭在計(jì)算成員節(jié)點(diǎn)信譽(yù)值之前，首先識(shí)別并剔除具有惡意傾向節(jié)點(diǎn)的數(shù)據(jù)(基于無線傳感器網(wǎng)絡(luò)的數(shù)據(jù)具有冗余性和該類節(jié)點(diǎn)采集的數(shù)據(jù)明顯偏離附近節(jié)點(diǎn)的數(shù)據(jù))，不再計(jì)算其信譽(yù)值，其發(fā)送的數(shù)據(jù)不參與融合操作，這樣既可以節(jié)約網(wǎng)絡(luò)中的能量資源，又可以避免因?yàn)槌蓡T節(jié)點(diǎn)的歷史累積信譽(yù)對(duì)其當(dāng)前惡意行為的掩飾，還可以得到較高的融合結(jié)果的評(píng)價(jià)，即對(duì)融合結(jié)果的可信賴程度越高。

圖2 安全數(shù)據(jù)融合流程Fig.2 Flowchart of secure data aggregating

3.2 偏離正常感知數(shù)據(jù)的識(shí)別與剔除

物聯(lián)網(wǎng)感知層傳感器節(jié)點(diǎn)的主要功能是收集并返回節(jié)點(diǎn)所在監(jiān)測區(qū)域的環(huán)境信息或被監(jiān)測對(duì)象的狀態(tài)數(shù)據(jù)，如被監(jiān)測區(qū)域的溫度、濕度等。一方面，物聯(lián)網(wǎng)感知層中節(jié)點(diǎn)數(shù)量眾多、地理位置上鄰近節(jié)點(diǎn)所感知的數(shù)據(jù)具有冗余性；另一方面，這些節(jié)點(diǎn)通常無法得到普遍的有人值守和維護(hù)，容易受到捕獲、截聽、惡意控制等攻擊，出現(xiàn)惡意節(jié)點(diǎn)，從而發(fā)出偏離正常值的感知數(shù)據(jù)，即惡意節(jié)點(diǎn)要達(dá)到自己破壞、擾亂系統(tǒng)正常工作的目的，總是會(huì)發(fā)出與其鄰近正常節(jié)點(diǎn)相差較大的錯(cuò)誤或虛假數(shù)據(jù)，基于該數(shù)據(jù)得出的測量結(jié)果不具有真實(shí)性或新鮮性等特征，也就不具有應(yīng)用價(jià)值，嚴(yán)重時(shí)可能導(dǎo)致決策錯(cuò)誤。因此，必須發(fā)現(xiàn)和剔除這類含有較大差值的感知數(shù)據(jù)，從而隔離惡意節(jié)點(diǎn)對(duì)測量結(jié)果的影響。

要識(shí)別出偏離正常的感知數(shù)據(jù)，本文基于誤差理論的知識(shí)采用粗大誤差判別準(zhǔn)則來進(jìn)行識(shí)別。粗大誤差判別準(zhǔn)則主要包括3σ準(zhǔn)則、羅曼諾夫斯基準(zhǔn)則、格羅布斯準(zhǔn)則和狄克松準(zhǔn)則等，前3種粗大誤差判別準(zhǔn)則均需先求出被檢驗(yàn)數(shù)據(jù)(即參與融合的數(shù)據(jù))的標(biāo)準(zhǔn)差σ，計(jì)算過程相對(duì)復(fù)雜，對(duì)資源的需求較高，而狄克松準(zhǔn)則用極差比的方法，得到簡化而嚴(yán)密的結(jié)果，避免了這一點(diǎn)[13]。鑒于傳感器節(jié)點(diǎn)資源受限的特點(diǎn)，這里選用對(duì)計(jì)算資源要求相對(duì)不高的狄克松準(zhǔn)則。

對(duì)于測量值u1,u2,…,un的由小到大順序統(tǒng)計(jì)量u(i)的分布，當(dāng)ui服從正態(tài)分布時(shí)，得到最大值u(n)的統(tǒng)計(jì)量表示為

(1)

同樣地，最小值u(1)的統(tǒng)計(jì)量可表示為

(2)

為了剔除粗大誤差，狄克松準(zhǔn)則認(rèn)為n≤7時(shí)，選用r10效果好；8≤n≤10時(shí)，選用r11效果好；11≤n≤13時(shí)，選用r21效果好；n≥14時(shí)，選用r22效果好。這里的n代表參與融合的數(shù)據(jù)個(gè)數(shù)，如以簇為單位進(jìn)行融合時(shí)，n就是簇內(nèi)節(jié)點(diǎn)數(shù)。

選定顯著度α(其取值為0.01或0.05 2種情形)，結(jié)合參與融合的數(shù)據(jù)個(gè)數(shù)n，根據(jù)狄克松準(zhǔn)則查表可得到對(duì)應(yīng)的統(tǒng)計(jì)量的臨界值r0(n,α)，如果測量的統(tǒng)計(jì)值rij大于臨界值，則認(rèn)為u(n)或u(1)含有粗大誤差。

例如，物聯(lián)網(wǎng)感知層同一個(gè)簇內(nèi)15個(gè)節(jié)點(diǎn)某一時(shí)刻感知到的環(huán)境溫度(單位：℃)分別為20.42，20.43，20.40，20.43，20.42，20.43，20.39，20.30，20.40，20.43，20.42，20.41，20.39，20.39，20.40。先將數(shù)據(jù)由小到大進(jìn)行排序，得到最小值u(1)=20.30；最大值u(15)=20.43；如果選用顯著度α=0.05，查表可知統(tǒng)計(jì)量的臨界值r0(15,0.05)=0.525；然后分別對(duì)u(15)，u(1)根據(jù)(1)式或(2)式計(jì)算統(tǒng)計(jì)量r22的值，根據(jù)計(jì)算結(jié)果可知：對(duì)u(15)而言，r22=0，小于r0(15,0.05)，故其不含有粗大誤差，應(yīng)保留；對(duì)u(1)而言，r22=0.692，大于r0(15,0.05)，故其含有粗大誤差，說明20.30 ℃這個(gè)溫度采集值明顯偏離正常的感知溫度，不被納入數(shù)據(jù)融合范圍，其對(duì)應(yīng)的節(jié)點(diǎn)被認(rèn)為是惡意節(jié)點(diǎn)，應(yīng)從網(wǎng)絡(luò)中予以剔除。按照同樣的方法，對(duì)剩下的14個(gè)數(shù)據(jù)，重復(fù)上述步驟，直到所有數(shù)據(jù)中不再含有粗大誤差，所有可能的惡意節(jié)點(diǎn)被剔除。

3.3 節(jié)點(diǎn)信譽(yù)度的計(jì)算和更新

無線傳感器網(wǎng)絡(luò)中包含的傳感器節(jié)點(diǎn)成千上萬個(gè)，它們?cè)诟髯缘姆植紖^(qū)域內(nèi)獨(dú)立地感測外界環(huán)境；一般情況下，這些傳感器節(jié)點(diǎn)所感知的數(shù)據(jù)遵循正態(tài)分布規(guī)律，而被捕獲后的正常節(jié)點(diǎn)或惡意節(jié)點(diǎn)發(fā)出的數(shù)據(jù)將會(huì)明顯偏離正態(tài)分布(否則達(dá)不到破壞系統(tǒng)的目的)，因此，可參考Josang信任模型[14]，利用正態(tài)分布規(guī)律計(jì)算節(jié)點(diǎn)的信譽(yù)度值。理想情況下，正態(tài)隨機(jī)變量的取值在距離中心值[-σ,+σ]的概率為0.68(即伯努利分布)，當(dāng)存在惡意節(jié)點(diǎn)經(jīng)常報(bào)告?zhèn)卧鞌?shù)據(jù)時(shí)，實(shí)際概率分布就會(huì)與此概率不一致。以理想情況下的節(jié)點(diǎn)概率為標(biāo)準(zhǔn)，理想節(jié)點(diǎn)概率分布和實(shí)際節(jié)點(diǎn)概率分布的差異用距離來表征，這個(gè)距離能夠代表節(jié)點(diǎn)信譽(yù)值。距離越小，節(jié)點(diǎn)的信譽(yù)度越高，反之亦然。

令某節(jié)點(diǎn)輸出數(shù)據(jù)頻率在距離中心值一倍標(biāo)準(zhǔn)差范圍內(nèi)的概率為pi，則在此范圍外的概率為1-pi，那么它的偏離程度可表示為

(3)

本文定義對(duì)應(yīng)節(jié)點(diǎn)的信譽(yù)值為

(4)

(4)式中，k是懲罰因子。前半部分是一個(gè)指數(shù)運(yùn)算，能夠使得接近理想概率的節(jié)點(diǎn)得到比遠(yuǎn)離理想概率的節(jié)點(diǎn)高得多的信譽(yù)值，并能夠反映一個(gè)節(jié)點(diǎn)的歷史累積行為；后半部分是一個(gè)懲罰措施。懲罰因子的引入有助于對(duì)節(jié)點(diǎn)信譽(yù)值計(jì)算和更新時(shí)達(dá)到慢增快減的效果，便于快速發(fā)現(xiàn)和識(shí)別惡意節(jié)點(diǎn)，這對(duì)物聯(lián)網(wǎng)感知層的應(yīng)用是十分有利的。隨著迭代次數(shù)的增加，節(jié)點(diǎn)的信譽(yù)值不斷累積更新，如果節(jié)點(diǎn)的當(dāng)前信譽(yù)值低于系統(tǒng)預(yù)設(shè)的閾值T0時(shí)，系統(tǒng)自動(dòng)將其判定為惡意節(jié)點(diǎn)，其提供的數(shù)據(jù)不再被采用。

ICBDA模型中節(jié)點(diǎn)的信譽(yù)值可以分為累積信譽(yù)值和當(dāng)前信譽(yù)值，累積信譽(yù)值是對(duì)節(jié)點(diǎn)過去感知數(shù)據(jù)的信賴程度的評(píng)定，它可以反映一個(gè)節(jié)點(diǎn)的歷史累積行為，當(dāng)前信譽(yù)值則是指節(jié)點(diǎn)當(dāng)前時(shí)刻采樣數(shù)據(jù)的信譽(yù)度，它具有實(shí)時(shí)性。該模型在數(shù)據(jù)融合中采用的是節(jié)點(diǎn)的當(dāng)前信譽(yù)值，在節(jié)點(diǎn)當(dāng)前信譽(yù)值的計(jì)算和更新時(shí)參考了節(jié)點(diǎn)的累積信譽(yù)值。

3.4 數(shù)據(jù)融合

ICBDA模型利用高信譽(yù)值節(jié)點(diǎn)輸出值進(jìn)行加權(quán)數(shù)據(jù)融合，加權(quán)融合方法如圖3所示，T和u分別代表節(jié)點(diǎn)的信譽(yù)值和感知數(shù)據(jù)。

圖3 加權(quán)融合示意圖Fig.3 Schematic of weighted aggregating

融合節(jié)點(diǎn)根據(jù)各個(gè)普通節(jié)點(diǎn)的信譽(yù)值和感知數(shù)據(jù)，按(5)式計(jì)算加權(quán)融合結(jié)果

(5)

(5)式中：U是融合結(jié)果；Th是高信譽(yù)度閾值；ui是第i個(gè)節(jié)點(diǎn)采集的數(shù)據(jù)；n是參與數(shù)據(jù)融合的節(jié)點(diǎn)個(gè)數(shù)。只有節(jié)點(diǎn)信譽(yù)值高于Th的節(jié)點(diǎn)數(shù)據(jù)才能參與加權(quán)數(shù)據(jù)融合，融合過程中使用的權(quán)值即為節(jié)點(diǎn)的信譽(yù)值Ti。這里只允許信譽(yù)值高于閾值的節(jié)點(diǎn)數(shù)據(jù)參與融合，既隔離了惡意節(jié)點(diǎn)數(shù)據(jù)對(duì)融合結(jié)果的影響，又減少了數(shù)據(jù)融合的計(jì)算量。

3.5 融合結(jié)果的評(píng)價(jià)

針對(duì)數(shù)據(jù)融合結(jié)果以及數(shù)據(jù)流中的不確定因素的處理問題，本文采用Josang信任模型，該模型通過一個(gè)被稱為評(píng)價(jià)的信任來度量對(duì)于某種聲明的可信賴程度[12]。

定義評(píng)價(jià)W=(b,d,u,a)，其中，a,b,d,u分別表示對(duì)融合結(jié)果U的相對(duì)系數(shù)、信任度、不信任度和不確定度，它們應(yīng)滿足b+d+u=1，a∈[0,1]。

評(píng)價(jià)的期望概率可表述為

E(W)=b+u×a

(6)

即期望概率取決于信任度和不確定度的綜合結(jié)果，a的作用是決定不確定度對(duì)評(píng)價(jià)期望概率的貢獻(xiàn)程度。

針對(duì)物聯(lián)網(wǎng)感知層的安全數(shù)據(jù)融合結(jié)果的可信賴程度，我們基于Josang信任模型借助 “評(píng)價(jià)”來衡量，信任模型是基于節(jié)點(diǎn)數(shù)據(jù)的統(tǒng)計(jì)理解實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的信任評(píng)價(jià)，即度量源于感知數(shù)據(jù)的統(tǒng)計(jì)特征，普通節(jié)點(diǎn)的累積信譽(yù)和實(shí)時(shí)行為數(shù)據(jù)被融合節(jié)點(diǎn)不斷地進(jìn)行分析來更新其信譽(yù)度。在得出節(jié)點(diǎn)的信譽(yù)值和融合結(jié)果后，融合節(jié)點(diǎn)就能夠形成對(duì)融合結(jié)果的評(píng)價(jià)，對(duì)應(yīng)著融合結(jié)果的可信任程度。

數(shù)據(jù)融合結(jié)果評(píng)價(jià)的期望與節(jié)點(diǎn)的當(dāng)前信譽(yù)值和累積信譽(yù)值是密切相關(guān)的，通過(6)式可以知道評(píng)價(jià)的期望概率取決于節(jié)點(diǎn)的信任度和不確定度，即節(jié)點(diǎn)信譽(yù)值的大小，節(jié)點(diǎn)信譽(yù)值包括節(jié)點(diǎn)累積信譽(yù)值和當(dāng)前信譽(yù)值。ICBDA模型在計(jì)算節(jié)點(diǎn)當(dāng)前信譽(yù)值時(shí)加入了一個(gè)懲罰措施，這有助于節(jié)點(diǎn)信譽(yù)值計(jì)算和更新時(shí)達(dá)到慢增快減的效果，可避免成員節(jié)點(diǎn)的歷史累積信譽(yù)掩飾其當(dāng)前的惡意行為，因此，可以得到較高的數(shù)據(jù)融合結(jié)果評(píng)價(jià)的期望。

4 實(shí)驗(yàn)仿真與模型評(píng)估

假設(shè)物聯(lián)網(wǎng)感知層的傳感器節(jié)點(diǎn)網(wǎng)絡(luò)已通過分簇算法形成了若干個(gè)簇，每個(gè)簇有一個(gè)簇頭節(jié)點(diǎn)和若干個(gè)成員節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)的感知數(shù)據(jù)遵循正態(tài)分布規(guī)律。采用MATLAB仿真平臺(tái)對(duì)ICBDA模型進(jìn)行評(píng)估。

仿真參數(shù)主要包括實(shí)驗(yàn)迭代輪數(shù)R，網(wǎng)絡(luò)中惡意節(jié)點(diǎn)比率P，信譽(yù)懲罰因子k，數(shù)據(jù)融合信任閾值門限Th和簇內(nèi)節(jié)點(diǎn)個(gè)數(shù)n，本文仿真實(shí)驗(yàn)中它們的取值分別為30，0.02，0.06，0.5和30；30個(gè)簇內(nèi)節(jié)點(diǎn)中，假設(shè)前3個(gè)節(jié)點(diǎn)為惡意節(jié)點(diǎn)。

4.1 節(jié)點(diǎn)信譽(yù)值比較

簇內(nèi)節(jié)點(diǎn)信譽(yù)值是安全數(shù)據(jù)融合模型的一個(gè)重要指標(biāo)，是影響數(shù)據(jù)融合結(jié)果可靠性、可信度和融合效率的一個(gè)主要因素。

ICBDA模型和CBDA模型的節(jié)點(diǎn)信譽(yù)值比較如圖4所示。由圖4可見，2種模型的前3個(gè)節(jié)點(diǎn)的信譽(yù)值都明顯低于其余節(jié)點(diǎn)的信譽(yù)值，這是因?yàn)榉抡鎸?shí)驗(yàn)設(shè)定前3個(gè)節(jié)點(diǎn)被假設(shè)為惡意節(jié)點(diǎn)。另外，ICBDA模型相比于CBDA模型，其惡意節(jié)點(diǎn)信譽(yù)值更低，而正常節(jié)點(diǎn)的信譽(yù)值明顯更高，這是因?yàn)镮CBDA模型在計(jì)算成員節(jié)點(diǎn)信譽(yù)值之前，通過狄克松準(zhǔn)則識(shí)別出包含粗大誤差感知數(shù)據(jù)的節(jié)點(diǎn)，其感知的數(shù)據(jù)并不參與數(shù)據(jù)融合，這可增加節(jié)點(diǎn)輸出數(shù)據(jù)落在距離一倍標(biāo)準(zhǔn)差范圍內(nèi)的概率，從而有助于提高正常節(jié)點(diǎn)的信譽(yù)值；而CBDA模型并沒有這樣的機(jī)制，即使出現(xiàn)包含粗大誤差的感知數(shù)據(jù)仍要參與數(shù)據(jù)融合操作。

圖4 節(jié)點(diǎn)信譽(yù)值對(duì)比Fig.4 Comparison of node creditability

4.2 數(shù)據(jù)融合結(jié)果及其評(píng)價(jià)的比較

數(shù)據(jù)融合值是評(píng)判數(shù)據(jù)融合結(jié)果準(zhǔn)確性的一個(gè)重要依據(jù)。

理想情況、ICBDA模型和CBDA模型的數(shù)據(jù)融合值對(duì)比如圖5所示。其中，理想情況數(shù)據(jù)融合值表示簇內(nèi)沒有惡意節(jié)點(diǎn)存在的情況下得到的數(shù)據(jù)融合結(jié)果，即無干擾的真實(shí)結(jié)果。由圖5可見，ICBDA模型的數(shù)據(jù)融合值和真實(shí)值比較接近，而CBDA模型的數(shù)據(jù)融合值偏離真實(shí)值的程度更大，這是因?yàn)镮CBDA模型對(duì)參與融合的數(shù)據(jù)進(jìn)行了嚴(yán)格的篩選，提高了參與數(shù)據(jù)融合的真實(shí)感知數(shù)據(jù)的比例，從而改善了數(shù)據(jù)融合結(jié)果的準(zhǔn)確性。

圖5 數(shù)據(jù)融合值對(duì)比Fig.5 Comparison of data aggregating value

融合結(jié)果的評(píng)價(jià)和評(píng)價(jià)的期望有助于進(jìn)一步衡量數(shù)據(jù)融合結(jié)果的可信賴程度。

ICBDA模型和CBDA模型的數(shù)據(jù)融合結(jié)果評(píng)價(jià)期望值對(duì)比如圖6所示。由圖6可見，ICBDA模型的期望值普遍高于CBDA模型，這是因?yàn)镮CBDA模型在計(jì)算節(jié)點(diǎn)信譽(yù)值時(shí)引入一個(gè)懲罰措施，這可避免成員節(jié)點(diǎn)的歷史累計(jì)信譽(yù)掩飾其當(dāng)前的惡意行為，從而提高了對(duì)數(shù)據(jù)融合結(jié)果評(píng)價(jià)的期望。即ICBDA模型的數(shù)據(jù)融合結(jié)果更值得信賴。

圖6 數(shù)據(jù)融合結(jié)果評(píng)價(jià)期望值對(duì)比Fig.6 Comparison of estimate expectation for data aggregating results

4.3 模型的效率優(yōu)勢和適應(yīng)性

改進(jìn)的ICBDA模型摒棄了CBDA模型中融合節(jié)點(diǎn)需要計(jì)算所有普通成員節(jié)點(diǎn)信譽(yù)值的做法，而是首先基于誤差理論，選用對(duì)計(jì)算資源要求不高的狄克松判別準(zhǔn)則來識(shí)別并剔除惡意節(jié)點(diǎn)，不再計(jì)算其信譽(yù)值，也不接受其數(shù)據(jù)參與融合操作，從而減少計(jì)算量，大大提高數(shù)據(jù)的處理效率；同時(shí)，這種方法對(duì)資源嚴(yán)格受限的物聯(lián)網(wǎng)感知層是友好的，具有良好的適應(yīng)性。

5 結(jié) 論

作為“互聯(lián)網(wǎng)+”的典型代表，物聯(lián)網(wǎng)在互聯(lián)網(wǎng)基礎(chǔ)上進(jìn)行了感知層的拓展，由此引出了感知層的數(shù)據(jù)融合及其安全問題。本文以提升物聯(lián)網(wǎng)感知層數(shù)據(jù)融合結(jié)果的安全性為目標(biāo)，結(jié)合網(wǎng)絡(luò)中節(jié)點(diǎn)資源有限的突出特點(diǎn)，運(yùn)用粗大誤差理論、概率統(tǒng)計(jì)理論和Josang信任模型建立了一個(gè)改進(jìn)的結(jié)合數(shù)據(jù)預(yù)處理與節(jié)點(diǎn)信譽(yù)度評(píng)價(jià)的安全數(shù)據(jù)融合模型—ICBDA，該模型首先基于粗大誤差理論將明顯偏離正常數(shù)據(jù)(或真值)的異常數(shù)據(jù)予以識(shí)別和剔除；然后，基于概率統(tǒng)計(jì)理論計(jì)算和更新節(jié)點(diǎn)信譽(yù)度，只允許高信譽(yù)度的節(jié)點(diǎn)數(shù)據(jù)參與數(shù)據(jù)融合操作；最后，基于Josang信任模型得到對(duì)數(shù)據(jù)融合結(jié)果的評(píng)價(jià)。該模型本質(zhì)上是將對(duì)節(jié)點(diǎn)的信譽(yù)度評(píng)價(jià)轉(zhuǎn)化成節(jié)點(diǎn)感知數(shù)據(jù)的統(tǒng)計(jì)處理，以物聯(lián)網(wǎng)感知層傳感器節(jié)點(diǎn)所感知信息的統(tǒng)計(jì)特征為度量標(biāo)準(zhǔn)，基于分析計(jì)算節(jié)點(diǎn)的累積信譽(yù)和實(shí)時(shí)行為特征得出其信譽(yù)度，并濾除低信譽(yù)值節(jié)點(diǎn)的數(shù)據(jù)，從而實(shí)現(xiàn)既降低惡意節(jié)點(diǎn)對(duì)融合結(jié)果的影響，又減少數(shù)據(jù)融合操作對(duì)系統(tǒng)資源的需求。仿真實(shí)驗(yàn)結(jié)果驗(yàn)證了所建立的ICBDA模型在節(jié)點(diǎn)信譽(yù)、融合結(jié)果和融合性能等方面的改進(jìn)，有助于提升物聯(lián)網(wǎng)感知層數(shù)據(jù)融合的安全性。

[1] 胡向東,魏琴芳,向敏,等.物聯(lián)網(wǎng)安全[M].北京：科學(xué)出版社，2012:115-120. HU Xiangdong, WEI Qinfang, XIANG Min, et al.The Internet of things security[M].Beijing:Science Press, 2012:115-120.

[2] PRZYDATEK B,SONG D,PERR IG A. Sia: secure information aggregation in sensor networks[C]//ACM.Proceedings of the 1st ACM International Conference on Embedded Networked Sensor Systems.New York:ACM,2003: 255-265.

[3] MAHIMKAR A,RAPPAPORT T S. SecureDAV: a secure data aggregation and verification protocol for sensor networks[C]//IEEE.IEEE Global Telecom-munications Conference,2004.New York: IEEE,2004: 2175-2179.

[4] YANG YI, WANG Xinran, ZHU Sencun,et al. SDAP: a secure hop-by-Hop data aggregation protocol for sensor networks[C]//Proc of the Seventh ACM International Symposium on Mobile Ad Hoc Networking and Computing, Florence, Italy. New York:ACM,2006,356-367.

[5] CAM H,OZDEMIR S,SANLI H O.ESPDA: energy efficient and secure pattern based data aggregation for wireless sensor networks[C]// IEEE.Proceedings of the 2nd IEEE Conference on Sensors.New York: IEEE Society Press,2003: 732-736.

[6] 羅蔚,胡向東.無線傳感器網(wǎng)絡(luò)中一種高效的安全數(shù)據(jù)融合協(xié)議[J].重慶郵電大學(xué)學(xué)報(bào):自然科學(xué)版,2009,21(1):110-114. LUO Wei, HU Xiangdong. An efficient security data fusion protocol in wireless sensor network[J]. Journal of Chongqing University of Posts and Telecommunications:Natural Science Edition, 2009,21(1):110-114.

[7] GANERIWAL S, BALZANO L K, SRIVASTAVA M. Reputation based framework for high integrity sensor networks[J].ACM Transactions on Sensor Networks,2008,4(3):1-37.

[8] SRINIVASAN A, TEITELBAUM J, WU J.DRBTS: distributed reputation based beacon trust system[C]//IEEE.Proceedings of the 2nd IEEE International Symposium on Dependable, Autonomic and Secure Computing, Indianapolis, USA. New York: IEEE，2006：277-283.

[9] ATAKLI I, HU H, CHEN Y. Malicious node detection in wireless sensor networks using weighted trust evaluation[C]//ACM.Hassan Rajaei. Spring Simulation Multiconference.Ottawa, Canada: ACM Press, 2008:836-843.

[10] HU Xiangdong, YU Pengqin, WEI Qinfang. Securing sensor networks based on optimization of weighted confidence[J].China Communications,2012(8): 122-128.

[11] 崔慧,潘巨龍,閆丹丹.無線傳感器網(wǎng)絡(luò)中基于安全數(shù)據(jù)融合的惡意節(jié)檢測[J].傳感技術(shù)學(xué)報(bào),2014,27(5):664-669. CUI Hui, PAN Julong, YAN Dandan. Based on security data fusion of malicious node detection in wireless sensor network[J]. Journal of Sensing Technology, 2014,27(5):664-669.

[12] HU Xiangdong,WEI Qinfang,TANG Hui. Model and simulation of creditability-based data aggregation for the internet of tings[J].Chinese Journal of Scientific Instrument,2010,31(11): 2636-2640.

[13] 費(fèi)業(yè)泰.誤差理論與數(shù)據(jù)處理[M].北京：機(jī)械工業(yè)出版社,2007:43-49. FEI Yetai. The error theory and data processing[M]. Beijing:China Machine Press, 2007:43-49.

[14] JOSANG A, ISMAIL R, BOYD C. A survey of trust and reputation systems for online service provision[J]. Decision Support Systems, 2007, 43(2): 618-644.

魏琴芳(1971-)，女，云南曲靖人，重慶郵電大學(xué)高級(jí)工程師，主要研究方向?yàn)闊o線通信與編碼等。E-mail:weiqf@cqupt.edu.cn。

程利娜(1988-)，女，河南濮陽人，重慶郵電大學(xué)碩士研究生，主要研究方向?yàn)闊o線通信與物聯(lián)網(wǎng)技術(shù)等。E-mail:641041551@ qq.com。

(編輯：王敏琦)

Secure data aggregating methods by means of Josang trust models for the sensing layer of the internet of things

WEI Qinfang1, CHENG Lina1, FU Jun2, HU Xiangdong3

(1.School of Communication and Information Engineering, Chongqing University of Posts and Telecommunications,Chongqing 400065, P. R. China；2．Research Institute of China Mobile, Beijing 100033,P.R.China； 3.College of Automation, Chongqing University of Posts and Telecommunications, Chongqing 400065, P. R. China)

The sensing layer of internet of things(IoT) usually involves a large number of sensor nodes, which is characterized by limited nodes resources, wide distribution, unmanned operation, data redundancy, easy attack, etc. Carrying out secure data aggregation is thus necessary for IoT sensing layer. In order to guarantee the authenticity and reliability of the results from data aggregation of IoT sensing layer, a secure data aggregating model combining with data preprocessing and node creditability evaluation is proposed. Firstly, the abnormal data obviously deviated from normal data (or true value) are identified and eliminated by means of gross error theory. Then nodes creditability are calculated and updated by means of probability and statistics theory, and nothing but the data of nodes with high creditability is allowed to involve in data aggregation. Finally, the model gains an evaluation of the results of data aggregation by means of Josang trust model. The simulation experiment results show that the model not only helps to guarantee authenticity and reliability of data aggregation results from IoT sensing layer, but also can reduce the calculating overload of data aggregation and the demand for sensor node resources by means of data preprocessing method based on gross error theory.

internet of things; sensor nodes; data aggregation; gross error theory; creditability

10.3979/j.issn.1673-825X.2016.06.021

2015-12-11

2016-06-02

魏琴芳 weiqf@cqupt.edu.cn

國家自然科學(xué)基金(61170219)；教育部-中國移動(dòng)聯(lián)合研究基金(MCM20150202)

Foundation Items：The National Natural Science Foundation of China (61170219); The Joint Research Foundation of the Ministry of Education of the People’s Republic of China and China Mobile (MCM20150202).

TP393；TN915

A

1673-825X(2016)06-0876-07