劉 和，王維英，張本利

(黑龍江省電力有限公司信息通信公司 信息通信工程中心，黑龍江 哈爾濱 150090)

基于信任和風險評估的異構(gòu)無線網(wǎng)絡(luò)安全模型

劉 和，王維英，張本利

(黑龍江省電力有限公司信息通信公司 信息通信工程中心，黑龍江 哈爾濱 150090)

由于現(xiàn)有的信任模型僅針對應(yīng)用，并沒有引入風險評估，不能適應(yīng)新的網(wǎng)絡(luò)環(huán)境特點，而異構(gòu)無線網(wǎng)絡(luò)環(huán)境由于具有異構(gòu)性、開放性、動態(tài)性和適應(yīng)性的特點，適合新環(huán)境下的系統(tǒng)網(wǎng)絡(luò)安全需要。提出一種主動安全模型，從分析安全的保護機制出發(fā)，基于服務(wù)提供者和請求者的不同角度，引入網(wǎng)絡(luò)風險評估和用戶歷史交互行為的信任評估，動態(tài)地為系統(tǒng)資源提供主動保護能力，以提升安全性。通過仿真實驗得出，模型能夠在惡意攻擊增加情況下，及時識別風險，并正確有效地預(yù)測實體行為，保持良好運行狀況，為下一步系統(tǒng)決策提供保障。

異構(gòu)無線網(wǎng)絡(luò)；信任；風險評估

在異構(gòu)融合的網(wǎng)絡(luò)中，移動蜂窩網(wǎng)、廣播網(wǎng)、無線局域網(wǎng)甚至無線傳感網(wǎng)等網(wǎng)絡(luò)協(xié)同共存，宏蜂窩、微蜂窩、微微蜂窩以及毫微微蜂窩等組網(wǎng)形式相互融合，發(fā)揮各種網(wǎng)絡(luò)自身優(yōu)勢，為用戶提供更好的服務(wù)。隨著通信技術(shù)的發(fā)展，下一代網(wǎng)絡(luò)(Next Generation Network,NGN)的發(fā)展將為用戶提供永遠在線、高速的傳輸速率以及動態(tài)的網(wǎng)絡(luò)接入。下一代網(wǎng)絡(luò)技術(shù)將實現(xiàn)多種異構(gòu)接入網(wǎng)絡(luò)的集成與融合。在滿足用戶高速率、低時延、廣范圍通信需求和靈活多變的個性化服務(wù)的同時，對其網(wǎng)絡(luò)安全提出了更高的要求。

融合多種網(wǎng)絡(luò)通信技術(shù)或組網(wǎng)方式，滿足用戶需要的同時，也將各種網(wǎng)絡(luò)的安全缺陷帶進融合網(wǎng)絡(luò)中。在NGN環(huán)境下，用戶的分布方式不再是集中的、封閉的和可控的，而是開放的、動態(tài)的和分布式的，為了有效保證下一代網(wǎng)絡(luò)(NGN)的安全和正常運行，即保障其可靠性、可用性和完整性，就必須在威脅源對NGN安全形成威脅之前消除安全隱患。系統(tǒng)的主動保護安全能力對于異構(gòu)融合網(wǎng)絡(luò)，是發(fā)現(xiàn)系統(tǒng)脆弱性和薄弱環(huán)節(jié)的有效手段，是保障系統(tǒng)安全的有效方法。

目前，大多數(shù)網(wǎng)絡(luò)安全模型研究集中在信任關(guān)系上面，信任模型只針對相應(yīng)的應(yīng)用背景。普適計算環(huán)境的信任模型定義了基于普適環(huán)境的域間動態(tài)信任模型，主要采用改進的證據(jù)理論方法進行建模，信任度的評估采用概率加權(quán)平均的方法。不足之處是不能處理由于部分信息和新未知實體所引起的不確定性問題，沒有詳細的風險分析以及建模風險和信任之間的關(guān)系。Song 等人提出了網(wǎng)格計算環(huán)境下的實體之間基于模糊算法的動態(tài)信任模型，包括描述、評估和更新。模型沒有考慮間接信任值，不能反映全局信任度。George等人提出了一種適用于Ad-hoc網(wǎng)絡(luò)的基于半環(huán)代數(shù)理論的信任模型，模型沒有風險評估機制。He等人提出了基于云模型的普適環(huán)境下的信任模型，用云的形式來描述實體之間的信任關(guān)系，考慮了信任的不確定性，理論上更合理，但沒有風險評估，也沒有考慮協(xié)同欺騙和惡意節(jié)點等問題。

1 異構(gòu)無線網(wǎng)絡(luò)安全機制

異構(gòu)無線網(wǎng)絡(luò)(Heterogeneous Wireless Network,HWN)作為NGN的先驅(qū)和代表，與傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)相比具有一些新的特點：(1)異構(gòu)性。宏觀方面體現(xiàn)在HWN中包含多種資源，例如組網(wǎng)方式、切換方式等，這些資源有可能分布在不同區(qū)域；微觀方面體現(xiàn)在構(gòu)成系統(tǒng)的計算機有多種類型，包括操作系統(tǒng)、體系結(jié)構(gòu)等多個層次上具有不同的結(jié)構(gòu)。(2)動態(tài)性。在HWN系統(tǒng)中，由于資源的開放性和共享性，使其具有動態(tài)和不可預(yù)測的系統(tǒng)行為。(3)開放性。隨著系統(tǒng)的不斷加入，系統(tǒng)的規(guī)模不斷擴大。(4)適應(yīng)性。HWN系統(tǒng)的管理必須能動態(tài)適應(yīng)各種情況的發(fā)生，例如資源發(fā)生故障，系統(tǒng)加入或退出等。

對于大規(guī)模、分布式、動態(tài)的HWN系統(tǒng)在集合各種網(wǎng)絡(luò)的同時，面臨著各個系統(tǒng)引入的種種安全問題，主要分為兩大類：一類來自系統(tǒng)內(nèi)部，如數(shù)據(jù)被竊取、假冒合法用戶、節(jié)點間信息傳遞的內(nèi)容遭毀壞；另一類來自系統(tǒng)外部，如提供虛假服務(wù)、實體可信賴程度低等。

安全機制作為整個網(wǎng)絡(luò)系統(tǒng)設(shè)計的薄弱環(huán)節(jié)，對于HWN來說，系統(tǒng)設(shè)計之初就融入安全機制在這種動態(tài)開放的環(huán)境下具有重大意義。目前流行的安全機制包括主動安全(active-security)和被動安全(reactive-security)，無線網(wǎng)絡(luò)系統(tǒng)目前采用比較多的是被動安全模式，即一般采用基于身份的安全管理模式，并且作為用戶訪問控制權(quán)限的依據(jù)，然而這種模式是被動而且靜態(tài)的，不能適用于HWN的網(wǎng)絡(luò)環(huán)境，在這種安全現(xiàn)狀下，需要建立一種主動安全的模式，從信任角度出發(fā)，為網(wǎng)絡(luò)實體建立信任關(guān)系，使得資源在被監(jiān)測和分析歷史交互作用信息的基礎(chǔ)上，動態(tài)控制訪問，主動協(xié)商，可預(yù)判系統(tǒng)的潛在安全風險，將信任關(guān)系轉(zhuǎn)化成信任鏈，形成一個安全網(wǎng)絡(luò)空間。

2 基于風險和信任評估的安全模型

針對HWN網(wǎng)絡(luò)特點，安全模型研究內(nèi)容主要是動態(tài)收集相關(guān)信息，將影響系統(tǒng)間安全關(guān)系的多種因素進行分析和量化表示，根據(jù)因素的變化及時調(diào)整信任關(guān)系的評估結(jié)果，做出可信決策和重新評估的可預(yù)測的、可控制的、可信賴的動態(tài)循環(huán)過程。研究內(nèi)容涉及到兩個實體：一個是服務(wù)提供者-網(wǎng)絡(luò)實體，即在HWN環(huán)境下對網(wǎng)絡(luò)實體屬性進行預(yù)判，進行風險評估，防止服務(wù)請求者接入惡意的或不誠信的網(wǎng)絡(luò)實體；另一個是服務(wù)請求者-用戶，對用戶行為的動態(tài)信任評估，使得網(wǎng)絡(luò)實體可以預(yù)測請求用戶信任值，阻止惡意用戶偽裝接入網(wǎng)絡(luò)進行破壞?；陲L險和信任評估的安全模型如圖1所示。

風險評估是指從風險管理角度，運用定性、定量的科學(xué)分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的人為和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害，有針對性地提出了抵御威脅的安全等級防護對策和整改措施。網(wǎng)絡(luò)實體的風險評估通過識別并量化資產(chǎn)重要性、威脅和脆弱性、嚴重程度，更加全面地保護系統(tǒng)安全。

信任是提供網(wǎng)絡(luò)安全的重要手段，通過預(yù)先引入信任評估，可以極大地保護系統(tǒng)安全，提高通信效率。基于用戶行為的動態(tài)信任評估使得服務(wù)網(wǎng)絡(luò)可以預(yù)判請求服務(wù)的用戶信任等級，來判斷是否允許其接入網(wǎng)絡(luò)。

2.1 模型定義

根據(jù)HWN開放性和動態(tài)性特點，模型參數(shù)主要考慮可信任度參數(shù)Cn、風險參數(shù)Rn和時間參數(shù)tn。時間參數(shù)反映了系統(tǒng)動態(tài)性和及時性，一個周期包括服務(wù)請求、服務(wù)選擇、服務(wù)提供和更新，計算公式為

Tn=f(Cn,Rn,tn).

(1)

2.2 信任評估類型與量化表示

基于知識獲取，信任定義了兩種類型：一種是直接信任，另一種是間接信任。

圖1 基于信任和風險評估的安全模型

直接信任評估是根據(jù)用戶歷史交互記錄而得出對其信任度的預(yù)測值。設(shè)Pi與Pj共發(fā)生n次交互，每次交互完成后，進行交互評價，將其表示為

DTD={〈t1,d1〉,〈t2,d2〉…〈tn,dn〉}．

(2)

對直接信任度的評估公式為

(3)

其屬性主要有：1)直接信任是隨時間而動態(tài)衰減的，計算依賴于時間窗，新的信任記錄更加重要；2)信任值增加緩慢，但減少的速度較快。

間接(反饋)信任評估是在交互信息缺乏情況下，由第三方提供的間接信任值。

設(shè)反饋者的集合為{F1，F(xiàn)2,…,FW}，聚合函數(shù)定義為

(4)

式中：L為反饋者個數(shù)，Wk為反饋因子。

反饋信息的有效聚合主要是對每一個反饋信息加權(quán),涉及可信因子、時間因子和距離因子

(5)

屬性：1)間接信任評估的收斂性是通過可信因子的生存周期來控制；2)聚合速度主要通過調(diào)節(jié)距離參數(shù)來控制其計算規(guī)模。

2.3 風險評估與參數(shù)定義

根據(jù)HWN開放性和動態(tài)性特點，安全模型主要考慮可信任度評估和風險評估。信任評估參數(shù)是用戶行為參數(shù)，主要表征用戶實體歷史交互行為，也可以稱為行為參數(shù)，通過對歷史數(shù)據(jù)(記錄)進行分類或聚合，若為直接知識則可直接進行分類，若為反饋知識則要進行聚合，獲得相關(guān)知識，利用數(shù)學(xué)方法來確定指標的權(quán)重，使其具有客觀性。風險評估對于安全度要求較高的網(wǎng)絡(luò)實體來說極為重要，風險評估可影響決策，即是否與相關(guān)實體進行交互。

風險參數(shù)通過計算服務(wù)的重要程度和量化分層結(jié)構(gòu)來計算，ω為風險因子，R為風險值，將資產(chǎn)重要性、威脅嚴重性和脆弱嚴重性均劃分為5個等級，賦值范圍[0～10]，其中TS為威脅嚴重性等級值，AV為脆弱性嚴重程度等級值，V為資產(chǎn)重要性等級值。

(6)

2.4 全局可信度

通過對待選網(wǎng)絡(luò)進行風險評估，得到風險值的預(yù)判，根據(jù)待接入實體的直接交互得到直接信任關(guān)系，根據(jù)反饋得到間接信任關(guān)系，綜合計算得到實體信任度，再將信任度和風險值進行分析得到全局可信度。

3 仿真分析

本文通過NetLOGO5.0.1平臺實現(xiàn)了一個模擬的HWN計算環(huán)境來對模型進行性能分析，NetLOGO5.0.1平臺是美國西北大學(xué)網(wǎng)絡(luò)學(xué)習(xí)和計算機建模中心推出的可編程建模環(huán)境，是基于多主體的復(fù)雜開放系統(tǒng)仿真建模。使用仿真平臺可以評估模型的有效性，并對其在HWN環(huán)境下的性能進行測量。

假設(shè)每個網(wǎng)絡(luò)實體是服務(wù)提供者(service provider，SP)，分為三種類型：GSP，總能提供可靠和穩(wěn)定的服務(wù)，其風險值較低; BSP,總拒絕提供任何服務(wù)，風險值隨時間而增加;LSP,提供服務(wù)動態(tài)變化，風險值隨其服務(wù)質(zhì)量而變化。另外一種是請求服務(wù)的用戶實體，同時作為服務(wù)評價者(rater)，也分為兩種類型：一種為HR，總能提供真實的反饋；另一種為MR，可以提供錯誤的反饋。

3.1 網(wǎng)絡(luò)狀態(tài)

模型的主要功能之一就是檢測用戶實體的惡意行為。這種能力通過交互成功率反映出來，通過TSR(transaction Success Rate)來評估模型方法的有效性，計算方法為

(7)

由圖2分析可以看出模型的有效性，在誠實網(wǎng)絡(luò)環(huán)境下，模型的TSR表現(xiàn)比較高，平均值在90%以上，隨著交互時間的增加，系統(tǒng)越來越穩(wěn)定，意味著模型的有效性和準確性。在惡意網(wǎng)絡(luò)環(huán)境下，TSR相較于誠實網(wǎng)絡(luò)環(huán)境，下降了4個百分點，但仍維持在較高的TSR，意味著模型可以及時發(fā)現(xiàn)環(huán)境變化帶來的威脅。

圖2 正常環(huán)境和惡意環(huán)境下TSR比較

3.2 實體行為

基于HWN動態(tài)性的特點，每個參與實體可以隨時隨地加入或離開HWN環(huán)境。必須測試模型實體行為的動態(tài)性，如圖3所示。圖3顯示出實體行為的表現(xiàn)，隨著實體的惡意行為不斷被檢測處理，實體的風險值急劇下降，信任度緩慢上升，表明模型在有限時間內(nèi)運行良好。

圖3 系統(tǒng)動態(tài)性檢測

4 結(jié)束語

本文在分析異構(gòu)無線網(wǎng)絡(luò)環(huán)境特點的基礎(chǔ)上，針對現(xiàn)有安全模式存在的問題，提出一個基于網(wǎng)絡(luò)風險評估和實體行為信任評估主動安全模式的模型，在風險評估的基礎(chǔ)上來實現(xiàn)惡意服務(wù)檢測，通過請求服務(wù)實體交互歷史行為進行預(yù)測。仿真試驗結(jié)果表明，該模型能夠正確地分析網(wǎng)絡(luò)風險，預(yù)測實體行為的風險及信任度，其有效性和動態(tài)特征得到實驗平臺的驗證。下一步工作將以本文工作為基礎(chǔ)，進行信任決策等方面的繼續(xù)研究。

[1]ALMENAREZ F,MARIN A,DIAZ D,et al.Developing a model for trust management in pervasive devices[C].Pisa,ITALY,2006:267-271.

[2]SONG S,HWANG K,MACWAN M.Fuzzy trust integration for security enforcement in grid computing[C].Wuhan,PEOPLES R CHINA,2004:9-21.

[3]LIANG Z,SHI W.Analysis of recommendations on trust inference in open environment[J].Journal of Performance Evaluation,2008,65 (2) :99-128.

[4]THEODORAKOPOULOS G,BARAS J S.On trust models and trust evaluation metrics for ad hoc networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-329.

[5]LI X,GUI X,MAO Q,et al.Adaptive dynamic trust measurement and prediction model based on behavior monitoring [J].Chinee Journal Computers ,2009,32 (4):664-674.

[6]HUANG H S,WANG R C.Subjective trust evaluation based on membership cloud theory[J].Journal on Communications,2008,29(4):13-19.

[7]HE R,NIU J W,ZHANG G W.CBTM: A trust model with uncertainty quantification and reasoning for pervasive computing[C].Nanjing,PEOPLES R CHINA,2005: 541-552.

[8]SELVARAJ C,ANAND S.A survey on Security Issues of Reputation Management Systems for Peer-to-Peer Networks[J],2012,4(7):1-16.

[9]TCHEPNDA C,RIGUIDEL M.Distributed Trust Infrastructure and Trust-Security Articulation: Application to Heterogeneous Networks[C].Proceedings of the 20th International Conference on Advanced Information Networking and Applications,50-56.

[10]MARMOL F,PEREZ G.Towards pre-standardization of trust and reputation models for distributed and heterogeneous systems[J].Computer Standards & Interfaces,2010,4(32):185-197.

[11]WEN L.Trust Model of Users’ behavior in Trustworthy Internet[C].WASE International Conference on Information Engineering,2009:403-407.

[12]ZHU Q,GUI X.Study on the method of active deployment of soft-sensors in grid monitoring system[J].Journal of Chinese Computer Systems ,2007,28 (9):1630-1636.

[13]SATSIOU A,TASSIULAS L.Reputation-based resource allocation in P2P systems of rational users[J].IEEE Trans.Parallel Distrib.Syst,2010,21 (4):466-479.

[14]Information on http:// ccl.northwestern.edu./netlogo/.

[15]林闖，彭雪海.可信網(wǎng)絡(luò)研究[J].計算機學(xué)報,2005,28(5):751-758.

[16]李小勇,桂小林.大規(guī)模分布式環(huán)境下動態(tài)信任模型研究[J].軟件學(xué)報,2007,18(6):1510-1512.

[17]張潤蓮.一種基于實體行為評估的信任模型[J].計算機學(xué)報,2009,4(32):688-698.

[18]姜東興,葉震.一種基于風險評估的信任模型[J].微計算機信息,2012,28(4):122-125.

[19]朱重,吳國新.分布式信任域信任管理技術(shù)研究綜述[J].計算機科學(xué),2011,38(4):38-45.

[20]馬力,鄭國寧，孫朋.節(jié)點信任度模型的算法研究與設(shè)計[J].計算機科學(xué),2012,39(6):81-89.

Heterogeneous wireless network security model based on trust and risk assessment

LIU He,WANG Wei-ying,ZHANG Ben-li

(Heilongjiang Electric Power Co.Telematics Telematics Engineering Center,Harbin 150090,China)

The existing trust models only for applications,because of the lack of risk assessment,can not adapt to the new network environment characteristics.The heterogeneous wireless network environment due to the heterogeneous,open,dynamic and adaptive characteristics,can suit the system network security needed for the new environment.A proactive security model is proposed to analyze the security protection mechanism based on different perspectives of service providers and requestors.The trust evaluation network risk assessment and user interaction behavior history are given to dynamically provide an active protection for the system resources.Through simulation results,the model can be effective in the case of malicious attacks,to identify risks promptly,correctly predict physical behavior effectively and maintain good health,and to provide the protection for the next system decision.

heterogeneous wireless networks; trust; risk assessment

2014-08-06

劉 和(1983-),男,工程師,研究方向：通信信息網(wǎng)絡(luò)工程規(guī)劃；信息安全.

TN915.08

A

1671-4679(2014)06-0040-05

郝麗英]