龐巖 王娜 夏浩

信息物理融合系統(tǒng)[1](Cyber-physical system,CPS)是在環(huán)境感知的基礎(chǔ)上綜合計(jì)算、網(wǎng)絡(luò)和物理實(shí)體的高效能網(wǎng)絡(luò)化智能信息系統(tǒng),通過3C(Computation、communication、control)技術(shù)的有機(jī)融合與深度協(xié)作,實(shí)現(xiàn)大型工程系統(tǒng)的實(shí)時(shí)感知、動(dòng)態(tài)控制和信息服務(wù).其本質(zhì)是將計(jì)算過程和物理過程有效地融合在一起,通過嵌入式計(jì)算機(jī)和網(wǎng)絡(luò)對(duì)物理過程進(jìn)行監(jiān)控.我國(guó)在2009年將CPS列入重點(diǎn)研究方向[2],但對(duì)CPS的研究無論從軟件還是硬件以及理論基礎(chǔ)上都存在著諸多難點(diǎn).物聯(lián)網(wǎng)、人工智能、云計(jì)算等技術(shù)的成熟和發(fā)展,將會(huì)為CPS的研究和應(yīng)用帶來巨大的轉(zhuǎn)機(jī).

信息物理融合系統(tǒng)由深度集成、緊密耦合的計(jì)算和物理組件組成,并具備通信能力.然而依賴于通信網(wǎng)絡(luò)和標(biāo)準(zhǔn)通信協(xié)議來傳輸測(cè)量和控制數(shù)據(jù)包增加了對(duì)物理系統(tǒng)的攻擊的可能性.因此,對(duì)于可靠性差的通信網(wǎng)絡(luò)下的網(wǎng)絡(luò)控制系統(tǒng)研究也成為一個(gè)熱門的研究領(lǐng)域[3].通信網(wǎng)絡(luò)是CPS的核心,系統(tǒng)的各部分元件在這里進(jìn)行信息交換和傳遞,而CPS中的信息系統(tǒng)結(jié)構(gòu)復(fù)雜異構(gòu),系統(tǒng)也隨著發(fā)展變得更加復(fù)雜、開放,因此極易受到外界干擾甚至惡意攻擊.在存在惡意攻擊威脅情況下,如何設(shè)計(jì)防御控制策略,對(duì)故障進(jìn)行控制和及時(shí)恢復(fù),使系統(tǒng)在短時(shí)間內(nèi)更正錯(cuò)誤,防止錯(cuò)誤擴(kuò)散,不影響系統(tǒng)正常的工作狀態(tài),是CPS安全性研究[4-5]的重點(diǎn).CPS的安全性也可分為故障安全和主動(dòng)安全.故障安全是對(duì)偶發(fā)故障的避免,通過故障檢測(cè)技術(shù)[6]實(shí)現(xiàn)對(duì)故障的及時(shí)發(fā)現(xiàn)以及將故障對(duì)系統(tǒng)帶來的危害降至最低.而主動(dòng)安全則側(cè)重于對(duì)惡意攻擊的主動(dòng)防范.對(duì)于CPS系統(tǒng)的安全設(shè)計(jì)來說,主要關(guān)心怎么預(yù)防事故的發(fā)生,因此故障安全和主動(dòng)安全都需要保證.而對(duì)于本文考慮的存在惡意攻擊的情況下,則主要研究主動(dòng)安全,從而對(duì)系統(tǒng)進(jìn)行彈性與魯棒控制.

目前國(guó)內(nèi)相關(guān)的研究文獻(xiàn)甚少,國(guó)外的研究也處于起步階段,對(duì)于CPS的安全性研究大多集中于網(wǎng)絡(luò)數(shù)據(jù)加密[7]、模型驗(yàn)證[8]或借助網(wǎng)絡(luò)安全[9]的研究方法等,而很少考慮物理系統(tǒng)的控制安全.與上述研究方向不同,本文將著重考慮通信對(duì)于控制的影響,給予系統(tǒng)一定的容錯(cuò)能力,從受控系統(tǒng)上保證物理設(shè)備的安全.

在現(xiàn)有文獻(xiàn)研究中,下列文獻(xiàn)研究了控制系統(tǒng)中數(shù)據(jù)通信受到攻擊時(shí)的影響及控制方法設(shè)計(jì).文獻(xiàn)[10-11]致力于最小化控制目標(biāo)函數(shù)的反饋控制器的設(shè)計(jì),在這兩篇文獻(xiàn)中,僅考慮了數(shù)據(jù)包丟失,未考慮延遲.在文獻(xiàn)[12]中提出了延遲和數(shù)據(jù)包丟失下的預(yù)測(cè)控制器設(shè)計(jì),但是沒有明確考慮亂序.Sinopoli等[13]利用伯努利過程研究了測(cè)量損失下卡爾曼濾波的應(yīng)用,提出了數(shù)據(jù)包丟失概率對(duì)于最優(yōu)估計(jì)的一個(gè)閾值條件,并給出了閾值函數(shù).研究控制或者數(shù)據(jù)包丟包概率的條件是控制系統(tǒng)能夠容忍并且仍然能夠保持系統(tǒng)的可靠性.控制系統(tǒng)中數(shù)據(jù)丟包模型常用伯努利模型,伯努利模型由于其通用性強(qiáng)及易處理，因此在最近幾年被廣泛地研究[14].然而伯努利過程僅給出了一個(gè)數(shù)據(jù)包丟失的離散概率分布模型,對(duì)時(shí)延及觀測(cè)噪聲并沒有考慮.伊利諾伊大學(xué)的Tamer Basar教授對(duì)博弈論在控制中的應(yīng)用做出了很多工作,包括對(duì)采用博弈論的方法進(jìn)行H∞控制器設(shè)計(jì)的專著,并且在文獻(xiàn)[15]中提出用動(dòng)態(tài)博弈的方法對(duì)有損網(wǎng)絡(luò)進(jìn)行H∞優(yōu)化控制.文獻(xiàn)[16]從數(shù)學(xué)范數(shù)概念出發(fā),提出把H2/H∞混合控制問題抽象為兩個(gè)對(duì)局者在信息不完全情況下的非零和博弈模型,通過納什均衡設(shè)計(jì)輸出反饋控制器,使系統(tǒng)在保持魯棒穩(wěn)定性的前提下最大程度地降低干擾對(duì)輸出的影響,使系統(tǒng)獲得最優(yōu)動(dòng)態(tài)性能指標(biāo).因此,博弈論在針對(duì)沖突模式下的動(dòng)態(tài)控制有良好的應(yīng)用前景.

本文將研究信息物理融合系統(tǒng)受到攻擊下的控制策略,借助最優(yōu)控制的理論和方法,將其抽象為二人零和動(dòng)態(tài)博弈問題,設(shè)計(jì)了在網(wǎng)絡(luò)控制系統(tǒng)中對(duì)數(shù)據(jù)包的時(shí)序攻擊具有彈性的魯棒輸出反饋控制器.對(duì)網(wǎng)絡(luò)時(shí)間序列算法的攻擊將導(dǎo)致產(chǎn)生時(shí)變延遲,造成數(shù)據(jù)包接收順序的改變.對(duì)于無線傳感器網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中由于對(duì)數(shù)據(jù)包時(shí)序攻擊造成的可變延遲,本文通過運(yùn)用極大極小值原理并將其和黎卡提微分方程的解[17-18]相結(jié)合給出了最優(yōu)控制策略的控制律.最后用雙水箱模型進(jìn)行仿真驗(yàn)證,并與LQG(Linear quadratic Gaussian)控制進(jìn)行了對(duì)比發(fā)現(xiàn),本文所用方法最終實(shí)現(xiàn)了系統(tǒng)的穩(wěn)定控制,而LQG控制在受到攻擊后則出現(xiàn)劇烈震蕩.

1 問題描述

1.1 數(shù)據(jù)包時(shí)序攻擊

在典型的信息物理網(wǎng)絡(luò)系統(tǒng)中,通常有多傳感器通過一個(gè)共享的通信頻道發(fā)送信息給控制器,控制器傳輸控制數(shù)據(jù)給連接在物理系統(tǒng)上的執(zhí)行器.數(shù)據(jù)包必須按照一定的順序傳輸,并在規(guī)定的時(shí)間內(nèi)到達(dá).本文主要考慮攻擊者在傳感器和控制器之間的路徑上進(jìn)行干擾,導(dǎo)致數(shù)據(jù)包丟失,或者產(chǎn)生時(shí)變延遲和亂序等,但不能改變數(shù)據(jù)包的內(nèi)容[19].

我們稱這種對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臅r(shí)間特性進(jìn)行干預(yù)造成系統(tǒng)數(shù)據(jù)丟失或產(chǎn)生時(shí)變延遲,從而導(dǎo)致數(shù)據(jù)包亂序的攻擊行為稱為數(shù)據(jù)包時(shí)序攻擊(Pactket scheduling attacks).通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包在進(jìn)行加密前都是被做上時(shí)間標(biāo)記的,時(shí)間戳能夠被用來檢測(cè)已過時(shí)的信息.

數(shù)據(jù)包時(shí)序攻擊是很容易做到的,最直接的方式就是對(duì)手把惡意軟件放在發(fā)送方和接收方之間數(shù)據(jù)傳送的路由上,或者在數(shù)據(jù)傳輸?shù)穆窂缴霞尤霅阂夤?jié)點(diǎn)(Malicious node),由于各節(jié)點(diǎn)間形成一個(gè)多跳的網(wǎng)絡(luò),惡意節(jié)點(diǎn)的加入可造成數(shù)據(jù)延遲.另一個(gè)不正當(dāng)?shù)墓舴绞绞蔷芙^服務(wù)攻擊(Denial of service,DoS),在無線通信頻道,對(duì)手可以通過重復(fù)地發(fā)送數(shù)據(jù)包導(dǎo)致數(shù)據(jù)包沖突和自動(dòng)重傳,使得數(shù)據(jù)包錯(cuò)過它的截止時(shí)限,從而耗盡共享的通信頻道或造成網(wǎng)絡(luò)擁堵[19].因此數(shù)據(jù)包時(shí)序攻擊可造成以下影響:1)產(chǎn)生時(shí)變延遲:2)改變控制器接收到的數(shù)據(jù)包順序,即亂序.

1.2 系統(tǒng)模型

由于網(wǎng)絡(luò)和物理世界之間的緊密耦合和協(xié)調(diào),CPS是在多個(gè)空間和時(shí)間維度上動(dòng)態(tài)地重組和重新配置具有高度自動(dòng)化的控制系統(tǒng).為了使無縫集成,CPS的實(shí)現(xiàn)依賴于整個(gè)系統(tǒng)的閉環(huán)設(shè)計(jì)的思考.如圖1所示,在物理過程中感測(cè)到的事件需要反映在網(wǎng)絡(luò)世界中,而網(wǎng)絡(luò)世界所采取的控制策略需要作用到物理受控系統(tǒng)上.從這個(gè)過程中可以發(fā)現(xiàn),傳感器和執(zhí)行器充當(dāng)物理和網(wǎng)絡(luò)世界之間的接口,并且通過網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施閉合了物理世界和網(wǎng)絡(luò)空間之間的間隙,實(shí)現(xiàn)物理世界和計(jì)算進(jìn)程的融合.若在網(wǎng)絡(luò)上有惡意節(jié)點(diǎn)的加入,則可造成控制器接收數(shù)據(jù)時(shí)間及順序的變化,因此安全問題在整個(gè)系統(tǒng)中也就出現(xiàn)了.

圖1 無線傳感器網(wǎng)絡(luò)控制系統(tǒng)模型(虛線表示無線網(wǎng)絡(luò),實(shí)線表示有線網(wǎng)絡(luò))Fig.1 Model of wireless sensor network control system(The dashed line shows the wireless network,and the solid line shows the wired network.)

本文采用離散時(shí)間的線性時(shí)不變系統(tǒng)進(jìn)行極大極小控制器設(shè)計(jì),狀態(tài)和輸出都受到干擾影響,離散的狀態(tài)空間方程如下:

1.3 控制算法研究

在過去幾十年里,控制理論主要發(fā)展了“H∞最優(yōu)控制理論”,針對(duì)線性受控系統(tǒng)在受到未知的添加干擾和系統(tǒng)不確定性時(shí)最差情況的控制器設(shè)計(jì)問題,包括干擾衰減、模型匹配、和跟蹤問題等[20].常用的最優(yōu)控制還有線性二次型最優(yōu)控制,即性能指標(biāo)是狀態(tài)變量和控制變量的二次函數(shù)積分.其中線性二次型最優(yōu)控制包括確定性系統(tǒng)的線性二次型最優(yōu)控制問題(Linear quadratic,LQ)和隨機(jī)系統(tǒng)的線性二次型高斯控制(Linear quadratic Gaussian,LQG).

對(duì)于隨機(jī)系統(tǒng)的最優(yōu)控制,常用的是LQG控制,但是該控制算法的干擾模型是一個(gè)已知統(tǒng)計(jì)特性的隨機(jī)模型,即高斯分布.由于本文采用的干擾為隨機(jī)的且不知其統(tǒng)計(jì)特性的.因此,在研究CPS面臨攻擊行為情況下的安全性控制問題時(shí),采用了博弈論方法.

博弈論是近年來最優(yōu)控制領(lǐng)域的研究重點(diǎn)之一,隨著最優(yōu)控制研究方法的深入,推動(dòng)了博弈論研究的新高潮.博弈論主要研究沖突模式,尋求沖突局勢(shì)下的最優(yōu)策略,通過對(duì)個(gè)體行為的預(yù)測(cè)并對(duì)實(shí)際行為進(jìn)行分析把產(chǎn)生利益沖突現(xiàn)象的個(gè)體抽象為博弈模型,利用博弈理論分析問題建立優(yōu)化策略模型,得到具有次優(yōu)或最優(yōu)效用值的博弈策略.博弈的類型分為:合作/非合作博弈、零和/非零和博弈、對(duì)稱/非對(duì)稱博弈、完全信息/不完全信息博弈[21]等.對(duì)于有利益沖突的雙方,一方試圖對(duì)系統(tǒng)進(jìn)行干擾,另一方則盡力使干擾對(duì)系統(tǒng)的影響降到最小,則博弈論無疑是對(duì)其進(jìn)行優(yōu)化控制中最合適的工具.因此,博弈論在網(wǎng)絡(luò)安全控制方面將會(huì)有更加廣泛的應(yīng)用.

本文將攻擊者和防御系統(tǒng)看成是一個(gè)博弈過程,攻擊者通過各種手段試圖獲取自己所需的信息資源或?qū)ο到y(tǒng)造成直接的破壞,而防御系統(tǒng)則采取相應(yīng)的防御策略試圖最大程度地減小攻擊行為帶來的損害.在外部攻擊者惡意干擾的情況中,系統(tǒng)輸入與外部干擾可看成是兩人的零和動(dòng)態(tài)博弈,由于攻擊者和防御系統(tǒng)的博弈是一個(gè)非合作博弈過程,本文假設(shè)攻擊者的行為是隨機(jī)的,且互相不知道對(duì)方的信息,因此為了設(shè)計(jì)魯棒性強(qiáng)的輸出反饋控制器,采用零和動(dòng)態(tài)博弈的方法,該控制器設(shè)計(jì)被視為兩個(gè)玩家間的動(dòng)態(tài)博弈過程.控制器盡量使一個(gè)被給的有限域二次型函數(shù)最小,而干擾盡量使這個(gè)函數(shù)最大[22].

對(duì)于不完全信息狀態(tài),干擾是不可預(yù)測(cè)的,如何模型化誤差信號(hào)將會(huì)是一個(gè)難點(diǎn).因此在這里我們需要假設(shè)干擾ω是平方可積的,即ω是有限能量的[20].函數(shù)J是干擾的二次型函數(shù),如何阻止隨著干擾的增加,性能函數(shù)不斷的增大,一個(gè)可行的控制方法就是控制它的增長(zhǎng)率.給定一個(gè)正數(shù)γ,使得控制器滿足下面不等式:

z是控制輸出,將干擾和不確定的初始狀態(tài)x0共同作為未知的外界干擾因子w.這個(gè)設(shè)計(jì)問題就轉(zhuǎn)化為找到一個(gè)最小化下面性能函數(shù)的控制器.

用符號(hào)‖·‖表示歐幾里得范數(shù),可將該問題的解決轉(zhuǎn)化為零和博弈的軟約束博弈方法,則對(duì)于參數(shù)化有限域情況下性能函數(shù)如下:

其中,γ＞0是干擾抑制水平,Q0是適當(dāng)維度的正定權(quán)重矩陣,x0是未知的系統(tǒng)初始狀態(tài)值.需要找到一個(gè)γ值來滿足零和博弈有解,即使得:

有解.該問題就變成相當(dāng)于尋找“γ≥0”的最小值問題,目標(biāo)函數(shù)所定義的零和動(dòng)態(tài)博弈有相等的上界值和下界值,使得線性二次型動(dòng)態(tài)博弈的鞍點(diǎn)解能直接應(yīng)用于最差情況的設(shè)計(jì)問題上.動(dòng)態(tài)博弈的性能指標(biāo)由給出,也稱為帶干擾抑制的軟約束博弈,“軟約束”常被用來獲取在博弈中對(duì)于沒有硬性邊界的這一特征[20].動(dòng)態(tài)優(yōu)化類型的問題就類似一個(gè)兩人零和動(dòng)態(tài)博弈,控制器U是最小化玩家(可稱為玩家1)使目標(biāo)函數(shù)最小,干擾W是最大化玩家(稱作玩家2),使目標(biāo)函數(shù)最大.

用M表示玩家1的策略空間,N表示玩家2的策略空間,以規(guī)范形式給定一個(gè)零和動(dòng)態(tài)博弈{J:M,N},則策略對(duì)構(gòu)成一個(gè)鞍點(diǎn)解,對(duì)于所有的(μ,ν)∈M×N,

J?的值就是動(dòng)態(tài)博弈的值.J?的定義如下:

其中,和分別是上界值和下界值,滿足不等式,當(dāng)它們相等時(shí)的值就是博弈值J?.

二次型目標(biāo)函數(shù)要取得最小值,需滿足嚴(yán)格凸的.因此,對(duì)于γ的求解,有如下定理:

定理1.由式(4)給出的二次型目標(biāo)函數(shù)在狀態(tài)方程(1)條件下,對(duì)于玩家1的每一個(gè)開環(huán)策略u(píng)滿足嚴(yán)格凸的,當(dāng)且僅當(dāng)

其中,序列SK+1,k∈[1,K]由下列黎卡提方程求解:

因此,在有干擾衰減情況下,滿足性能指標(biāo)極值存在的所有γ值的下界表示為γ?,此時(shí)相應(yīng)的控制器為H∞控制器.當(dāng)沒有干擾衰減情況時(shí),極小極大控制器相當(dāng)于線性二次型高斯(LQG)控制器.

2 控制器設(shè)計(jì)

2.1 LQG跟蹤系統(tǒng)控制器設(shè)計(jì)

對(duì)于隨機(jī)系統(tǒng)的LQG控制器的設(shè)計(jì),可以采用確定性系統(tǒng)LQ控制律的設(shè)計(jì)和Kalman狀態(tài)最優(yōu)估計(jì)的結(jié)合,組成LQG控制器,其控制模型[23]為

其中,Q0和Q1是非負(fù)定矩陣,Q2是正定矩陣.考慮控制器中加入積分作用,引進(jìn)積分后的跟蹤系統(tǒng)的結(jié)構(gòu)如圖2所示,其中

圖2 LQG控制器結(jié)構(gòu)圖Fig.2 LQG controller structure diagram

最優(yōu)反饋控制律L=[L1Li]的求取方法與LQ跟蹤系統(tǒng)相同:

令系統(tǒng)增廣狀態(tài)為

則增廣的系統(tǒng)狀態(tài)方程為

可求得

估計(jì)器為Kalman濾波器.濾波器的反饋增益K為

2.2 有限域的極大極小控制器設(shè)計(jì)

對(duì)于有限域離散時(shí)間零和博弈,需要引入一個(gè)鞍點(diǎn)解存在的有效條件,考慮零和動(dòng)態(tài)博弈有下列狀態(tài)方程描述:

有限域的性能指標(biāo):

引入信息結(jié)構(gòu)模型,將控制器收到的信息集合表示為:

在控制器中收到的測(cè)量值集合為

在控制器中可利用的信息集合為

在單個(gè)玩家的優(yōu)化問題中,動(dòng)態(tài)規(guī)劃的方法提供了一個(gè)有效的方式來獲取最優(yōu)的鞍點(diǎn)解,通過以倒推的方式來解一個(gè)靜態(tài)優(yōu)化問題.對(duì)于動(dòng)態(tài)博弈,由魯弗斯·艾薩克斯在19世紀(jì)50年代早期通過連續(xù)時(shí)間域推廣獲得的離散時(shí)間版的類似方程—艾薩克斯方程,這樣一個(gè)方程提供了鞍點(diǎn)解存在的有效條件.

控制器不能獲取完全的狀態(tài)信息,因此,采用最壞情況下的極大極小估計(jì),根據(jù)確定性等價(jià)原則,將控制器設(shè)計(jì)分成兩個(gè)部分:1)第一部分是設(shè)計(jì)一個(gè)觀測(cè)器,能夠估計(jì)最壞的狀態(tài),并與可利用的輸入輸出序列相匹配:2)第二部分是設(shè)計(jì)一個(gè)控制器,利用估計(jì)的狀態(tài)產(chǎn)生新的控制輸入.

基于文獻(xiàn)[20]中的一些結(jié)論,來設(shè)計(jì)本文的極大極小控制器.設(shè)置時(shí)間延遲為τ,因此在時(shí)間k≥τ,只有k-τ之前的信息是可用的,也就是說測(cè)量信息集合.極大極小控制器的設(shè)計(jì)按照從初始時(shí)間到時(shí)間k-τ是沒有延遲的,剩下的時(shí)間利用最差干擾狀態(tài)下的估計(jì),因此這時(shí)候是沒有觀測(cè)值可利用的.另外,我們引入?yún)?shù)αk,這里αk=1說明數(shù)據(jù)包在時(shí)間k被接收,αk=0說明沒有收到數(shù)據(jù)包.用時(shí)刻k的值做時(shí)刻k+1的狀態(tài)估計(jì),表示為,為了描述更清晰,用狀態(tài)估計(jì)方程為:

對(duì)于以上的狀態(tài)估計(jì)方程有以下控制律:

其中

M(k)和Σ(k)是博弈代數(shù)黎卡提方程的解,M(k)=QK,.

另外,當(dāng)αk=0時(shí),

按照Tamer Basar在極大極小控制器設(shè)計(jì)的理論中,極小極大控制器存在的條件[20]為

1)方程(25)在[0,K]上有解;

2)方程(26)有解;

3)式(25)和(26)的解滿足下列條件:

對(duì)于上面的條件,有任何一個(gè)不成立,則不存在這樣的控制器,使得γ≥γ?.

帶積分狀態(tài)控制的極大極小控制器結(jié)構(gòu)如圖3所示:

圖3 極大極小控制器結(jié)構(gòu)圖Fig.3 Minimax controller structure diagram

2.3 時(shí)序攻擊下的極大極小控制器設(shè)計(jì)

圖4為幾種數(shù)據(jù)傳輸故障及解決方法,取時(shí)間步為k=6,圖中三種分別為有固定延遲、測(cè)量損失、和可變延遲的情況[20].固定延遲的值取τ=4,對(duì)于固定延遲的情況,只能收到前兩步的數(shù)據(jù),因此利用第二步的數(shù)據(jù)值,執(zhí)行估計(jì).在測(cè)量損失情況下,損失的數(shù)據(jù)由已經(jīng)收到的數(shù)據(jù)包進(jìn)行估計(jì).在時(shí)變延遲下,數(shù)據(jù)包傳遞出現(xiàn)亂序,亂序出現(xiàn)在k=5時(shí)刻,此時(shí)收到的數(shù)據(jù)包是k=3時(shí)刻的值.對(duì)此需要設(shè)計(jì)一個(gè)補(bǔ)償器來處理此類情況.

圖4 數(shù)據(jù)傳輸示意圖Fig.4 Schematic diagram of data transmission

對(duì)于時(shí)變延遲和亂序情況下的信息結(jié)構(gòu)既包括固定延遲下的信息結(jié)構(gòu)又包含損失情況下的信息結(jié)構(gòu),因此該類情況的控制策略如圖5所示.

圖5 可變延遲下的數(shù)據(jù)傳輸示意圖Fig.5 A schematic diagram of data transmission under variable delay

在時(shí)間步k=3時(shí),由于數(shù)據(jù)缺失(α3=0),估計(jì)器采用第二步的數(shù)據(jù)值進(jìn)行估計(jì);在k=5時(shí),時(shí)間步k=3的數(shù)據(jù)收到,然后返回重新計(jì)算第三步的估計(jì)值.因此對(duì)于時(shí)變引起的數(shù)據(jù)包亂序,無論什么時(shí)候當(dāng)延時(shí)數(shù)據(jù)包收到時(shí),估計(jì)器就返回重新計(jì)算,直到所有的數(shù)據(jù)包都按照正確時(shí)序接收.

下面通過一個(gè)算法來描述極大極小控制器.首先引入變量κk,該變量表示在時(shí)間k所獲得的所有數(shù)據(jù)包按照正確時(shí)序被接收的時(shí)間值.比如上述例子,在k={3,4},κk=2,變?yōu)棣蔾=5對(duì)于k≥5.在每個(gè)時(shí)間間隔內(nèi)收到的數(shù)據(jù)包數(shù)目表示為Npkts.設(shè)置緩沖區(qū)Θy,Θu和ΘΠ用來保存信息結(jié)構(gòu).

另外,用緩沖區(qū)Θx和ΘΣ來分別儲(chǔ)存狀態(tài)估計(jì)值.如果測(cè)量值在特定時(shí)間k沒有被控制器收到,它就不會(huì)被包含在信息結(jié)構(gòu)中,它的緩沖區(qū)的值就是空的.此外,我們用臨時(shí)變量和作為在線值.該控制器的算法如下:

算法1.亂序數(shù)據(jù)包和時(shí)變延遲下的極大極小控制器

定義Npkts,Θy是基于區(qū)間[k-1,k]收到的數(shù)據(jù)包,初始κ=0.

3 基于雙水箱模型的系統(tǒng)仿真

3.1 雙水箱模型

基于無線網(wǎng)絡(luò)傳輸?shù)碾p水箱系統(tǒng),包括水箱本體、供電設(shè)備,還有三個(gè)無線傳感器節(jié)點(diǎn),這三個(gè)傳感器節(jié)點(diǎn)通過無線通信通道分別負(fù)責(zé)系統(tǒng)的傳感,控制和執(zhí)行.對(duì)于雙水箱CPS的安全目標(biāo)是保護(hù)物理實(shí)體的正常操作不受由于惡意攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成網(wǎng)絡(luò)空間入侵帶來的干擾.對(duì)于如圖6所示的雙水箱物理模型,雙水箱液位的動(dòng)力學(xué)方程[24]如下:

其中,g是重力加速度,L1、L2分別為水箱1、2的液位,A1、A2分別為水箱1、水箱2的橫截面積.a1、a2分別為出水孔1、2的橫截面面積.KP為泵的流量常數(shù),VP為作用在泵上的電壓.

接下來,定義一組變量集合:

可將動(dòng)力學(xué)方程(30)重新寫為：

圖6 雙水箱物理模型Fig.6 Physical model of double water tanks

最后,在△L1=0,△L2=0,u=0處,對(duì)式(31)進(jìn)行線性化,可以得到雙水箱系統(tǒng)的狀態(tài)空間的形式,如下:

水箱設(shè)備參數(shù)如表1所示:

表1 水箱參數(shù)Table 1 Water tank equipment parameters

取L10=10cm,L20=10cm,d1=d2=0.48cm,D1=D2=4.45cm,g=980cm/s2,KP=3.3cm3/(V·s),則系統(tǒng)的狀態(tài)空間方程為

采樣時(shí)間T=2s,將系統(tǒng)離散化得:

對(duì)線性模型和非線性模型對(duì)比如圖7所示.

圖7 線性模型和非線性模型仿真對(duì)比圖Fig.7 Comparison of linear and nonlinear models

由圖7可看出非線性模型和線性模型的響應(yīng)速度幾乎一致,而線性模型響應(yīng)相對(duì)較平緩.線性化后的模型在設(shè)定的平衡水位附近達(dá)到穩(wěn)定,其他與非線性模型差別不大.因此線性化對(duì)系統(tǒng)的影響不大,可忽略不計(jì),另線性化后模型可便于控制器設(shè)計(jì).

考慮到外部干擾因素,比如對(duì)水箱數(shù)據(jù)傳輸網(wǎng)絡(luò)的干擾,或由于外部震動(dòng)原因?qū)е聣毫鞲衅鞯臄?shù)值失真等因素,在這里我們采用如式(1)所示的干擾模型.對(duì)于雙水箱系統(tǒng),主要設(shè)計(jì)目標(biāo)是跟蹤低位水箱的一個(gè)分段的常數(shù)參考輸入值,系統(tǒng)模型由上文所述的雙水箱連續(xù)系統(tǒng)模型獲取,采樣時(shí)間為2s.

參考輸入值設(shè)置為8cm和10cm.另外在控制器中引入積分狀態(tài),為了實(shí)現(xiàn)參考輸入的跟蹤.積分狀態(tài)控制器如下:

xc是控制器積分狀態(tài),Cc=[0 1],極小極大控制器用在新的增廣系統(tǒng)上,狀態(tài)為ξ(k)=,控制輸入如下:

其中,Kξ和由式(22)和式(21)給出.下面設(shè)D=0.1[BBB000],E=0.1[0 0 0III]:另外,選擇矩陣Q=QK=Q0=0.1I.

3.2 LQG控制仿真結(jié)果

對(duì)系統(tǒng)加入數(shù)據(jù)包時(shí)序攻擊和未受攻擊的系統(tǒng)進(jìn)行仿真對(duì)比,如圖8和圖9所示,其中虛線為受攻擊后的系統(tǒng)響應(yīng),實(shí)線為未受攻擊的系統(tǒng)響應(yīng).

3.3 基于博弈論的極大極小控制器仿真結(jié)果

首先需先求得滿足約束條件的衰減因子γ,對(duì)于可變延遲,設(shè)置最大延遲時(shí)長(zhǎng)τ=4,本文采用粒子群搜索算法,求得γ?=2.317,然后代入求得其他各參數(shù).Kξ=[KuKc],由增廣的狀態(tài)估計(jì)方程求得.另外,K1=AΛ(k)CTN-1,K2=AΛ(k)γ-2Q.則沒有受到攻擊時(shí)的仿真結(jié)果如圖10和圖11所示.受到數(shù)據(jù)包時(shí)序攻擊下的仿真結(jié)果如圖12和圖13所示.

通過仿真結(jié)果可看出,LQG控制在遭到攻擊時(shí),控制器已失去穩(wěn)定控制,而本文所設(shè)計(jì)的極大極小控制器在遭到數(shù)據(jù)包時(shí)序攻擊時(shí),雖然有小幅度的波動(dòng),但最終仍實(shí)現(xiàn)了穩(wěn)定,可明顯說明所設(shè)計(jì)的控制器是可行的,并具有很好的控制性能.并且在系統(tǒng)穩(wěn)定時(shí),水箱的水位跟蹤參考輸入變化而變化,并在較短時(shí)間內(nèi)達(dá)到穩(wěn)定,對(duì)干擾也有較大程度的抑制.

圖8 LQG控制輸出圖Fig.8 LQG control output diagram

圖9 LQG控制的輸入值Fig.9 Input value of LQG control

圖10 極大極小控制器的輸出圖Fig.10 The output diagram of the min-max controller

圖11 極大極小控制器的輸入值Fig.11 The input value of the minimax controller

圖12 受攻擊下的極大極小控制器輸出響應(yīng)Fig.12 Output response of minimax controller under attack

圖13 受攻擊下的極大極小控制器輸入值Fig.13 Input value of the min-max controller under attack

4 結(jié)論

隨著傳感、通信技術(shù)和控制理論的進(jìn)一步綜合發(fā)展,以及物聯(lián)網(wǎng)研究和開發(fā)的成熟化,CPS將成為各國(guó)未來科技發(fā)展的一個(gè)研究熱點(diǎn)[25].本文根據(jù)最優(yōu)控制的理論,將信息物理系統(tǒng)的攻擊防御模型作為二人零和動(dòng)態(tài)博弈問題,設(shè)計(jì)了在網(wǎng)絡(luò)控制系統(tǒng)中對(duì)數(shù)據(jù)包的時(shí)序攻擊具有彈性的魯棒輸出反饋控制器.運(yùn)用極大極小值原理并將其和黎卡提微分方程的解相結(jié)合給出了最優(yōu)控制策略的控制律.并與隨機(jī)系統(tǒng)的線性二次型最優(yōu)控制即LQG控制器進(jìn)行對(duì)比,結(jié)果顯示本文所設(shè)計(jì)的極大極小控制器具有更好的控制效果.

受攻擊下的信息物理融合系統(tǒng)的安全性問題,是系統(tǒng)決策者與網(wǎng)絡(luò)攻擊者之間的博弈與對(duì)抗,隨著無線網(wǎng)絡(luò)的普及及智能系統(tǒng)的發(fā)展,無線通訊網(wǎng)絡(luò)與物理實(shí)體之間信息交互的安全性將顯得尤為重要.如果在完全信息狀態(tài)下,也就是攻擊者能夠獲取受控系統(tǒng)信息的狀態(tài)下,攻擊將會(huì)有策略性.因此對(duì)于具有策略性的外部干擾和攻擊,如何使受控系統(tǒng)不受影響或降低其帶來的影響,也就是如何使系統(tǒng)具有更好的彈性控制或魯棒控制性能將會(huì)是今后重點(diǎn)研究的方向和解決的問題.