恶劣的通信环境、终端频繁的移动以及节点的能量限制，给战术物联网环境下节点安全性评估带来了极大挑战。针对这一问题，提出了一种移动战术环境下使用信任指标对节点进行安全性评估的方案。该方案引入通信稳定性作为信任指标的影响因子，解决了机会服务攻击和开关攻击的安全问题。仿真结果表明，该方案能够进行入侵检测，有效地发现恶意节点，较好地抵抗多种已知攻击。此外，该方案在保证安全性的同时能够大大降低能耗，是一种既安全又轻量的方案。

近年来，物联网技术飞速发展，使得越来越多的物理节点被部署到物联网。大量具有计算、传感、执行能力的节点连接到网络中，在不需要人类干预的情况下，这些物联网节点可以完成各种任务，为人类提供极大的便利。但是，使用这些物联网节点的前提是这些节点能够安全接入服务器或网关，否则将会带来各种危险甚至灾难。而在通信间断、中断以及受限（Disconnected、Interrupted、Limited，DIL）的网络环境中，想要保证终端的安全接入更加困难。

在疏散、搜救以及军事行动等战术环境下，物联网节点经常处于不停歇的移动中。移动的方向和速度存在较大的随机性，且处于DIL的通信环境。终端移动后需要选择合适的网关接入，而即将接入的网关和路由的安全性如何是一个需要特别关注的问题。此外，加密认证是节点安全接入网关的常用方法，但是这种认证方法需要消耗较多能量，而资源受限是物联网普遍存在的问题，所以需要在保证终端安全接入的同时尽量减少资源的损耗。

基于信任的评估策略是一种有效且计算耗能非常少的辅助方案。终端通过对其他终端和网关的性能和安全进行评估，量化路由的安全性，在移动后将信任指标作为主要参数来选择合适的网关连接。在系统运行过程中，认定信任指标过低的节点直接丢弃。此外，信任指标还可以为终端是否相信其他节点发送的重要消息提供依据。

现有的评估策略主要是对服务质量和能力的评价，虽然是决定节点安全性的重要因素，但是显然不够，于是社交关系的评估被提出。社交关系包括诚实度、亲密度、连接性、相似性以及自私性等。但是，使用服务质量和社交关系进行信任评估的策略很少应用于军事环境，更缺少基于DIL环境下应对通信不稳定情况的分析，没有考虑到连接性在信任指标中的重要作用，也没有针对不同等级的节点提供的信任指标赋予不同的权重。此外，这些方案仍然存在一些安全隐患没有解决，如不能抵抗机会服务攻击、开关攻击等。

一、战术环境的网络拓扑

图1为本文具体的战术环境网络结构示意图。在战术环境中，通信不稳定的情况经常出现，所以本文是基于网络中节点与云端断开连接的模型展开讨论的。此时，网络中主要存在终端、网关和主控节点3种节点。

图1　战术环境下的网络拓扑

无人机、无人车以及士兵携带各种功能的节点以及一台Android节点，且所有功能节点会与Android节点连接。该Android作为终端与其他终端、网关以及主控节点连接，主要完成汇总、处理、传输以及接收数据的功能，并对其他节点进行安全评估。终端需要与网关连接，完成数据上传。如果终端不能直接与网关、主控节点连接，则与其他终端连接通过多跳的方式连接到网关、主控节点。一般而言，一个终端只能与一个网关连接，但是可以和多个终端连接。图1中箭头表示终端的移动方向。

具有更高性能、更多能量、更强计算能力的节点可以作为网关，如图1所示。网关可以是较大型的无人机、无人车，或者该节点直接由固定人员携带。每个网关都有各自的信号覆盖范围，在该范围之内的终端可以和该网关连接。网关也需要和其他可通信的网关、主控节点连接，并互相进行评估。网关也是可以移动的，但是网关的移动性相比终端较小，且也可以类比为终端的相对移动。所以，本文只考虑终端的移动。

主控节点是所有网关中移动性相对较小、处理数据能力相对较大的网关，可以是一个大型的战车、临时指挥所等。主控节点会对所有上传的数据进行汇总、分析，也只有主控节点可以决定是否丢弃某个终端或网关，具有最大的权力。但是，终端和网关也会对主控节点进行安全评估。如果最终判定主控节点遭到入侵，将会选取新的主控节点。

二、节点的安全性评估

在战术环境中，终端移动性较高，经常离开当前连接网关的信号覆盖范围，并进入其他网关的信号覆盖区域。所有节点之间需要互相评估安全性，以应对可能存在的安全问题。为了表述方便，A表示评估的终端，B表示被评估的终端，GA表示评估的网关，GB表示被评估的网关，R表示主控节点。

1.节点的信任指标

在战术环境中，主要存在终端、网关以及主控节点3种节点。所有终端会对可通信的终端、网关以及主控节点进行信任评估，而网关与主控节点同理。为方便叙述，本节主要介绍终端计算其他终端信任指标的方法。信任指标主要是基于节点的服务质量和社交关系两方面的能力计算获得。本文中，服务质量主要使用节点能量代替，即节点能量越大，服务质量越高；社交关系主要包括亲密度、诚实度、自私性和连接性4个因子。

（1）信任指标的计算

终端会周期性地评估另一个终端的安全性。设A对B的安全信任指标为，则计算公式如下：

式中，、、、、分别表示终端A在当前周期评估终端B的亲密度值、诚实度值、自私性值、连接性值以及能量值，分别表示对应的权重，且。

设在该周期内终端A评估终端B某种指标X（X可为其密度、诚实度、自私性、连接性和能量）的数值为，则有：

对于终端A和终端B之间是通过一跳还是非一跳的连接方式，本文采用等式（2）的两种方式计算指标X的评估数值。如果A和B是一跳连接，则评估数值由上一周期求得的评估数值和当前周期的直接评估数值决定。等式（2）中，Δt表示评估周期，表示当前周期的评估数值，用于权衡当前周期评估数值与上一周期评估数值的关系。如果A和B是非一跳的方式连接，即A和B可能多跳连接也可能不连接，则对应的评估数值由上一周期的信任指标和当前周期其他终端的间接信任指标决定，其中，C表示给A间接信任指标的任意终端，表示当前周期终端C发送给终端A的关于B的推荐信任指标，且如果已知C是受损或入侵终端，则C不带入上述计算公式。表示权衡上一周期信任指标与当前周期间接信任指标的参数。C与B的连接跳数越大，则C对B的评估就越可能不准确。所以，通过这个参数减少连接跳数对评估不确定性的影响。这里表示C到B的跳数。

当A计算B的信任指标小于某一阈值的时候，需要和A进行完整的加密认证，以判断B是否安全。

（2）信任指标的影响因子

亲密度

终端A与终端B交互的次数即为亲密度。交互包括A和B之间提出请求、传递消息和监听信息等。一般而言，在某一周期内A与B交互的次数越多，则两者的亲密度越高。A评估B的数值越高，A认为B越安全。本文基于A和B交互的具体次数，修改了亲密度值的求解公式。

如果A和B一跳连接，A和B当前周期交互次数与之前周期内的交互次数和当前周期A与其他终端交互次数相关。两者的亲密度值计算如下：

式中，是根据A和B之前每个周期内交互次数得出的等级值。例如：如果当前周期两者交互次数在所有周期交互次数中排在前50%，则等级值设置为1；排在前85%，等级值设置为0.75，其他排名设置为0.5。该等级值作为参数可以根据实际情况进行调节。此外，对于受损或入侵节点B，等级值统一设置为0。是根据当前周期A与其他终端交互次数得出的等级值。用于权衡这两个等级值之间的关系。

如果A和B多跳连接，则A与B的亲密度值主要通过其他终端的建议计算，通过式（4）的结果进行排序：

式中，C表示和A一跳或多跳连接的终端；是终端C和终端B的亲密度值，C将该数值发送给A；是C和B连接的跳数。A根据该数值进行排序，设置对应的等级值。

诚实度

通过A与B的信息传输判断B是否遵守某些规则，否则判定B有不诚实的行为，具体评判标准可以参考文献[18]。这些需要遵守的规则包括间隔规则、转发规则、路径规则、延迟规则、重复规则、干扰规则以及异常规则等。间隔规则指A接收到B的两条连续消息的时间不能大于或小于某个阈值；转发规则指A传输信息给B要求其转发，B需要完整转发；路径规则指B接收到A的消息并转发，需要保证转发路径与A设置的初始路径一致；延迟规则指B转发A的消息必须在规定时间内完成；重复规则指同一条消息只能被邻居终端转发有限次数；干扰规则指B在给A发送消息的过程中，噪声干扰必须小于指定次数；异常规则指B给A传输的数据经过融合处理后不能出现异常，如对某一区域的传感器读数不能出现异常值。

A统计B的不诚实行为的次数为n，设置为不诚实行为次数不可超过的阈值，则不诚实度的计算公式为：

自私性

自私是指B没有毫无保留地完成A发布的任务，判断标准是B是否按照管理要求严格执行，如忠实地发送、上传、报告、转发数据等，对自私性的要求可以具体参考文献[19]。B可能为了节省自身能量，并且在考虑到其他连接的无私终端的数量时，减少或停止向A传递数据信息，使自身变得自私；自私终端也可能因为周围自私终端较多，在平衡自身需求和整个系统需求后再次积极地传递数据消息，使自己变得无私。

与诚实度值的计算类似，需要设定阈值，并统计B没有按照协议忠实执行任务的次数。自私性值的具体计算公式如下：

式中，为B没有忠实执行任务次数；m为设定的阈值；为A与B按照协议执行所有任务的交互次数。此处与诚实度计算公式不同的原因是诚实度与安全性的相关性更为密切，而自私性可以根据B能量的多少适度变化，所以对于评估终端是否自私不像评估终端是否诚实一样要求较高。

连接性

连接性是指B与A是否在评估周期内保持通信稳定。比如，战术环境中，通信不稳定的情况时常发生，B可能与A发生短暂的通信断连，之后又重新连接。一般而言，B的通信越稳定，B处于安全状态的可能性越高。当B与A断开连接的次数、一次断开连接的时间或者总共断开连接的时间中有一项超过设定烦人阈值，则连接性的信任指标设为0。

连接性指标的计算公式如下：

式中，为B与A断开连接的次数；为B与A断开连接的最长时间；为B与A断开连接的总时长；分别为对应的阈值；是权衡上述3个变量的参数，且。

能量

B的剩余能量是用于评估B服务质量的主要因子。B在向A传输数据的过程中需要告知A自身的剩余能量，一般只要能量剩余没有超过一个阈值，都可以将B的能量信任指标设置为1。

式中，为设定的阈值。此外，为了防止B虚报能量，则A可以通过监听B传输数据的时延，判断该时延是否在正常范围内，即用正常传输时延的次数与传输总次数的比值来评估B能量值。

2.安全性评估策略

在战术环境中会经常遇到通信中断、间断以及受限等情况，虽然本文在信任指标中添加了连接性作为计算该指标的一个因子，但是DIL环境中出现通信不稳定的情况有很大的不确定性，而信任指标提供了一个判断节点安全性的依据。本小节将介绍在战术环境下利用信任指标进行安全性评估的方案。其中，终端、网关以及主控节点之间需要相互进行安全性评估，不同节点之间评估方法略有不同。此外，需要使用算法抵抗机会服务攻击和开关攻击，减少安全评估过程中这些攻击造成的干扰。

（1）终端、网关、主控节点之间的评估

式（2）中，既是C对B的直接评估值，也可以作为推荐评估值发送给A。但是，推荐评估值只在需要对多跳连接的节点进行安全性评估的时候使用，且需要A的周围存在能够一跳连接的节点C。如果A不存在可连接的邻居节点，则权重b值应该为0。此外，在式（2）中只建立指标值与跳数的关系。为了增加准确性，还需要考虑A和C的直接指标值对C给A的推荐指标值的影响，即建立权重b与之间的关系。关于b的具体公式为：

式中，c为权重参数。

基于网关与终端的连接关系，终端A只会对与自己相连接的网关进行评估，但是会转发其他网关的数据信息。网关相比终端有着更高的安全性与性能，所以网关给A的推荐信任指标比终端给A的推荐信任指标占有更大的权重。此外，b随着c的增加而增加，则对网关给A的推荐信任指标需要将设置较大一些。

网关GA会对终端、网关和主控节点进行评估，且网关需要对所有终端上传的评估数据进行汇总，并再转发给主控节点。GA计算B的汇总信任指标公式为：

式中，C为上传数据给GA的任意终端，表示GA计算C的信任指标，是设定的阈值。表示只有GA认为C是安全的，才能代入式（11）来汇总计算B的信任指标。表示C上传给GA的关于B的信任指标；表示上传给GA信任指标并符合安全要求的终端总数；GC表示发送数据给GA的任意网关；表示GC计算B的信任指标；表示所有发送数据给GA的网关总数；v是权重参数。式（11）中没有添加信任指标的阈值判断，主要是因为网关数量较少，且网关安全性相比终端较高。

网关GA对GB的评估类似于终端A对B的评估，且GA会将评估结果上传给主控节点，具体可以类比3.1节的信任指标计算方法。主控节点会对所有终端和网关进行评估，并且会汇总所有终端和网关上传的它们对其他终端和网关的评估结果。主控节点评估终端和网关的方法与3.1节介绍的方法相同，汇总终端与网关的信任指标与式（11）提供的方法相同。

（2）抵抗开关攻击的算法

通过计算信任指标，A可以对B的安全性进行评估。但是，假设B是恶意节点，B大多数时候表现良好，使自己被计算的信任指标维持在一个阈值以上，但随机或者某些重要时刻对A发布错误信息，使A遭受到开关攻击或机会服务攻击。为了应对这种攻击，提高安全性评估准确性，本文采用一种检测算法。算法的主要流程如图2所示。

图2　开关攻击检测流程

该算法的具体步骤为：A计算对B的信任指标，并设置初始周期参数pe=0。先判是于设定阈值，若不大于则认为B可能不安全，A对B进行完整的加密认证。如果大于阈值，再判断pe=0是否成立。pe=0不成立，则pe=pe-1，并认为B是可信任的，在下一个评估周期到来，A继续对B进行安全评估。如果pe=0成立，则计算pe=random%q，并对B进行一次额外的完整加密认证。其中，random为随机数；q是事先设定的数值，与正相关，即对B信任指标越大，则认为B越可能是安全的，所以对B进行额外加密认证的频率越小。节点A在评估节点B的过程中，会根据节点B的能量不定期地与B进行加密认证。如果加密认证没有通过，B就会被认为是不良节点。

通过上述检测算法，将有效抵抗机会服务攻击和开关攻击，因为实施这两种攻击的攻击者不知道攻击对象何时会进行加密认证。

三、安全分析和性能分析

1.安全性分析

本文利用MATLAB仿真节点移动的过程，采用随机漫步模型。由于本文战术环境中的节点有无人机，且在山区、高楼等地点节点也会经常高出水平面，所以本文使用二维和三维两种模型的仿真。

二维模型是在400 m×400 m的战术环境中有100个终端随机运动。在该移动模型中，终端会随机选择上下左右任意方向移动[0，2X]m的距离，其中X为可以设置的参数。每秒平均的移动距离为X，当X=1 m时，二维移动模型如图3所示。

图3　随机漫步模型二维仿真结果

图3中每个“*”标志表示总共的25个网关，每种颜色的曲线表示终端移动轨迹。

对于三维模型，在400 m×400 m×400 m的网络环境中有100个终端进行随机运动。总共24个网关，假设网关分布的水平坐标为（0，100）、（0，300）、（400，100）、（400，300）、（100，0）、（100，400）、（300，0）、（300，400），垂直方向坐标为100、200和300。当X=1 m时，三维移动模型如图4所示。

图4　随机漫步模型三维仿真结果

2.性能分析

相比于直接使用加密认证检验节点安全性的方案，本文方案采用计算量更轻便的信任指标检验其他节点的安全性。

虽然经常使用完整的加密认证方案可以更好地保证节点认证的安全性，但是对于能量的损耗也是巨大的，而本文在安全性和能耗之间进行了很好地权衡。

四、结　语

在战术环境中，节点需要面临各种通信不稳定的情况。本文基于所有节点与云端断开连接的场景进行安全分析。由于缺少功能强大的云端的支撑，网络中的节点需要依靠自己和其他节点的互相监测来保证安全性。本文改进的信任指标计算方式在保证网络安全性的同时，减少了加密认证的次数，大大降低了能耗，同时分析了在DIL环境下面对安全问题的解决方法。但是，本文仍然存在一些缺点，如由于篇幅限制，没有详细讨论方案中计算信任指标时各个参数的最佳设置。本文中应用的随机漫步模型也不能完全模拟现实战场环境的所有情况，所以以后的研究方向可以根据不同移动模型为信任指标的计算选取最佳的参数。此外，本文在分析各种安全问题的解决方案时有些讨论还不够详细，如主控节点的选取。不仅需要考虑候选网关的信任指标，还要考虑它们的位置、移动性、周围受损节点的数量等因素。因此，以后也可以在这些方面展开研究