胡 佳 許 蓉 陶新娟 蔣 恒

(岳陽市人民醫(yī)院信息科 岳陽 414000)

1 引言

1.1 物聯(lián)網(wǎng)系統(tǒng)可信度評(píng)估常見方法

近年來物聯(lián)網(wǎng)(Internet of Things，IoT)逐漸廣泛應(yīng)用于不同領(lǐng)域，催生了智能基礎(chǔ)設(shè)施概念，如智能計(jì)量系統(tǒng)、智慧城市、智能電網(wǎng)等。在智慧醫(yī)院物聯(lián)網(wǎng)系統(tǒng)中傳感器收集患者及環(huán)境數(shù)據(jù)并發(fā)送到Sink匯聚節(jié)點(diǎn)上，Sink節(jié)點(diǎn)使用路由協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā)到邊界路由器或云服務(wù)器。由于具有安全特性或任務(wù)特性，物聯(lián)網(wǎng)系統(tǒng)必須在整個(gè)預(yù)期任務(wù)時(shí)間內(nèi)可信運(yùn)行?？尚哦仁俏锫?lián)網(wǎng)應(yīng)用的關(guān)鍵要求之一[1]。推薦信任模型一般從鄰居節(jié)點(diǎn)收到推薦，惡意節(jié)點(diǎn)可能會(huì)發(fā)送錯(cuò)誤推薦，從而導(dǎo)致合法節(jié)點(diǎn)獲得較低的信任值[2]。有研究者使用直接信任作為可信度[3]，這種方法的主要問題是節(jié)點(diǎn)看似正常工作，但可能發(fā)送錯(cuò)誤建議。CORE方法[4]使用看門狗機(jī)制計(jì)算可信度，該方法僅交換積極參數(shù)，以限制移動(dòng)節(jié)點(diǎn)惡意性質(zhì)傳播行為。CONFIDENT方法[5]使用直接和間接建議計(jì)算可信度，并使用報(bào)警消息識(shí)別惡意節(jié)點(diǎn)或系統(tǒng)。SORI方法[6]使用直接觀察和基于推薦的機(jī)制計(jì)算可信度，根據(jù)節(jié)點(diǎn)可信度值以概率方式丟棄數(shù)據(jù)包。上述3種方法存在隱患，即對(duì)象可能表現(xiàn)良好但是會(huì)發(fā)送錯(cuò)誤建議。TWSN[7]方法使用相似性機(jī)制計(jì)算推薦人的可信度，使用基于均方根的模型將建議與個(gè)人經(jīng)驗(yàn)相關(guān)聯(lián)。有學(xué)者[8]提出物聯(lián)網(wǎng)邊緣設(shè)備信任機(jī)制，該方法的總體信任基于設(shè)備到設(shè)備之間的直接信任和來自代理的反饋信任進(jìn)行計(jì)算，其最大問題在于反饋信任的正確性取決于信息流后端節(jié)點(diǎn)的可信度，而有時(shí)無法評(píng)估其可信度。

1.2 研究?jī)?nèi)容

本文通過分析物聯(lián)網(wǎng)內(nèi)外部的可信度因素，設(shè)計(jì)一種度量方法量化系統(tǒng)中不當(dāng)行為的數(shù)量，作為衡量可信度的手段，從而動(dòng)態(tài)調(diào)整設(shè)備信任度，保護(hù)數(shù)據(jù)的安全性和準(zhǔn)確性；引入寬恕概念的群信任計(jì)算規(guī)范，來計(jì)算監(jiān)測(cè)患者健康的一組傳感器的可信度和對(duì)患者的總體風(fēng)險(xiǎn)，更準(zhǔn)確地評(píng)估數(shù)據(jù)中心收到的數(shù)據(jù)。

2 物聯(lián)網(wǎng)內(nèi)外部可信度分析

2.1 物聯(lián)網(wǎng)外部電磁環(huán)境的可信度分析

2.1.1 電磁噪聲源 醫(yī)療環(huán)境中的電磁噪聲源包括常見的電力裝置、電子醫(yī)療設(shè)備、進(jìn)入建筑物的物體發(fā)出信號(hào)以及建筑物外產(chǎn)生的侵入建筑物的無線電波或電磁場(chǎng)。微波治療設(shè)備、安裝在病房里的微波爐和加熱器發(fā)出的電磁噪聲與ISM頻段相同。還有被帶進(jìn)醫(yī)院的問題物品,包括手機(jī)、Wi-Fi路由器和帶有通信設(shè)備的游戲機(jī)。此外LED燈電路板電磁場(chǎng)泄露會(huì)導(dǎo)致放置在天花板附近的醫(yī)學(xué)監(jiān)測(cè)系統(tǒng)被無線電干擾[9]。當(dāng)使用物聯(lián)網(wǎng)系統(tǒng)時(shí)必須仔細(xì)考慮消除電磁噪聲源的方法。

2.1.2 影響信號(hào)傳播的因素 包括建筑結(jié)構(gòu)組成部分，如墻壁、地板、門、窗戶以及金屬柜等固定裝置。對(duì)墻壁和天花板表面進(jìn)行檢查是不夠的，因?yàn)閮?nèi)壁組成可能與表面有很大不同?？照{(diào)系統(tǒng)的金屬管道經(jīng)常被放置在病房的天花板上，可能影響信號(hào)傳播。在實(shí)施過程中應(yīng)該在與醫(yī)院?jiǎn)T工廣泛討論的基礎(chǔ)上小心處理上述問題。

2.1.3 優(yōu)化電磁場(chǎng)環(huán)境 如果物聯(lián)網(wǎng)系統(tǒng)使用無線通信則必須對(duì)系統(tǒng)運(yùn)行區(qū)域的電磁環(huán)境進(jìn)行良好維護(hù)，不僅需要了解建筑材料，還需要利用屏蔽吸收技術(shù)控制醫(yī)院電磁場(chǎng)?？梢酝ㄟ^放置反射器和吸收器阻止信號(hào)侵入。但是醫(yī)院大樓被完全屏蔽，移動(dòng)電話和公共Wi-Fi等公共通信信號(hào)將無法到達(dá)大樓內(nèi)部終端。有文獻(xiàn)[10]提出非金屬周期結(jié)構(gòu)在特定頻率的選擇性屏蔽方面具有廣闊應(yīng)用前景，并提出帶阻屏蔽技術(shù)解決方案，即將光子晶體的帶隙特性應(yīng)用于改變結(jié)構(gòu)尺度的微波區(qū)域。圖1顯示了一個(gè)二維周期結(jié)構(gòu)，其由平行交叉的電介質(zhì)板組成。根據(jù)文獻(xiàn)[10]，本文的一些參數(shù)設(shè)置如下：?jiǎn)卧翊笮?.25毫米(對(duì)角線長(zhǎng))，時(shí)間槽取值為2.5皮秒，通道管徑為2.5毫米，相鄰?fù)ǖ拦芫嚯x為10毫米，相對(duì)介電系數(shù)為8.9，電磁波特性為橫向正弦電磁波。圖2給出時(shí)域有限差分(Finite Difference Time Domain，F(xiàn)DTD)仿真得到的電磁波屏蔽效應(yīng)的頻率特性。其中縱軸表示非周期結(jié)構(gòu)時(shí)的電場(chǎng)變化率，隨著層數(shù)的增加無線局域網(wǎng)5GHz頻段的電磁波可以得到有效衰減。

圖1 二維非周期結(jié)構(gòu)示例(平行交叉的電介質(zhì)板)

圖2 非周期結(jié)構(gòu)的橫向電磁波頻率特性[10]

2.2 物聯(lián)網(wǎng)系統(tǒng)內(nèi)部高效的異常檢測(cè)體系架構(gòu)(圖3)

圖3 異常檢測(cè)模塊的體系結(jié)構(gòu)及主要組成部分

2.2.1 分派器組件 分派器組件充當(dāng)包過濾器，從不同傳感器節(jié)點(diǎn)接收到的數(shù)據(jù)包都在分派器組件上進(jìn)行處理，主要包括提取、標(biāo)準(zhǔn)化和發(fā)布收集到的兩類數(shù)據(jù)，即網(wǎng)絡(luò)數(shù)據(jù)和傳感器采集數(shù)據(jù)。

2.2.2 入侵檢測(cè)組件 該組件檢測(cè)網(wǎng)絡(luò)狀態(tài)異常，訂閱與網(wǎng)絡(luò)數(shù)據(jù)相關(guān)的主題，包括分派器組件過濾和消息隊(duì)列遙測(cè)傳輸(Message Queueing Telemetry Transport，MQTT)發(fā)布的網(wǎng)絡(luò)數(shù)據(jù)。采用支持向量機(jī)(Support Vector Machine，SVM)算法對(duì)接收到的數(shù)據(jù)進(jìn)行分類。一旦建立識(shí)別模型,機(jī)器學(xué)習(xí)算法有能力檢測(cè)出未知的新形式攻擊。在物聯(lián)網(wǎng)中常見的有Rank攻擊、泛洪攻擊、版本號(hào)修改攻擊。

2.2.3 事件檢測(cè)組件 此組件檢測(cè)與環(huán)境和患者健康狀態(tài)相關(guān)的異常。分散在醫(yī)院內(nèi)的不同傳感器將數(shù)據(jù)發(fā)送到邊界路由器。該組件訂閱傳感器數(shù)據(jù)主題以接收由分派器組件過濾的除與網(wǎng)絡(luò)相關(guān)外的所有數(shù)據(jù)。與入侵檢測(cè)組件一樣SVM用于檢測(cè)感興趣事件，這些事件由相關(guān)人員實(shí)時(shí)接收。

2.2.4 異常決策管理 與患者生命健康有關(guān)的數(shù)據(jù)非常重要，入侵可能修改數(shù)據(jù)，導(dǎo)致應(yīng)急人員做出不恰當(dāng)決定。因此當(dāng)異常決策管理器收到來自入侵檢測(cè)組件或事件檢測(cè)組件的通知時(shí)，會(huì)按照相關(guān)評(píng)估規(guī)則計(jì)算信任度而做出相應(yīng)反應(yīng)。當(dāng)信任度低于閾值時(shí)異常決策管理將在事件數(shù)據(jù)上添加標(biāo)簽(不受信任)，提醒醫(yī)務(wù)人員接收的數(shù)據(jù)可能是偽造的。當(dāng)網(wǎng)絡(luò)管理員修復(fù)問題后系統(tǒng)恢復(fù)正常狀態(tài)，事件數(shù)據(jù)被標(biāo)記為可信。

2.2.5 MQTT代理 MQTT是一種使用發(fā)布/訂閱原則、用于物聯(lián)網(wǎng)應(yīng)用的輕量級(jí)消息傳輸協(xié)議。組件連接到MQTT代理服務(wù)器并以松耦合方式交換信息。因此分派器組件在收到來自節(jié)點(diǎn)的消息后發(fā)布網(wǎng)絡(luò)參數(shù)(n_p)和數(shù)據(jù)參數(shù)(d_p)。入侵檢測(cè)組件和事件檢測(cè)組件訂閱這些參數(shù)并通過發(fā)布入侵參數(shù)(i_p)和事件參數(shù)(e_p)檢測(cè)異常，根據(jù)可信任度評(píng)估規(guī)范計(jì)算設(shè)備可信度。

3 物聯(lián)網(wǎng)系統(tǒng)可信度評(píng)估

3.1 概述

假設(shè)在醫(yī)院物聯(lián)網(wǎng)場(chǎng)景中患者安裝了無線傳感器,所有傳感器生成數(shù)據(jù)都由節(jié)點(diǎn)發(fā)送到分派器組件，該組件將數(shù)據(jù)上報(bào)至MQTT代理，分發(fā)至相應(yīng)節(jié)點(diǎn)。這些設(shè)備可能周期性地受到設(shè)備功能方面(不會(huì)導(dǎo)致數(shù)據(jù)異常)或惡意活動(dòng)(會(huì)導(dǎo)致數(shù)據(jù)偏離正常值和期望值)影響。其中功能方面影響包括設(shè)備硬件故障、低電量問題、通信信道干擾等；惡意活動(dòng)影響包括可改變數(shù)據(jù)或中斷數(shù)據(jù)傳輸?shù)娜魏晤愋偷闹鲃?dòng)攻擊。

3.2 評(píng)估方法

3.2.1 典型的信任評(píng)估方法 公式(1)表示設(shè)備異常行為的聚合方法，W用于分配功能方面的異?；顒?dòng)權(quán)重，(1-W)用于分配一段時(shí)間內(nèi)設(shè)備惡意活動(dòng)的權(quán)重。

(1)

對(duì)于影響設(shè)備運(yùn)行可忽略不計(jì)的情況，如患者移動(dòng)引起的通信信道干擾，整合安全的兩個(gè)基本屬性：寬恕和基于實(shí)體的可信度評(píng)估。寬恕是指如果一個(gè)實(shí)體在一段時(shí)間內(nèi)沒有行為不端，那么會(huì)提高這個(gè)實(shí)體的信任度，停止惡意行為的設(shè)備會(huì)得到獎(jiǎng)勵(lì)。考慮這兩種安全性屬性，公式(2)通過引入寬恕的概念和獎(jiǎng)勵(lì)在一段時(shí)間內(nèi)沒有惡意的實(shí)體來增加信任。r為控制寬恕率的經(jīng)驗(yàn)因子，b_r是信任值下降到極點(diǎn)再到提高至閾值所需時(shí)間，t_p是自異常活動(dòng)的前一條記錄以來所經(jīng)過的時(shí)間。公式(3)是信任度懲罰偏差計(jì)算規(guī)范，一般以2為底數(shù)代表該系統(tǒng)更保守。公式(4)將信任以公式(3)中計(jì)算的偏差遞減。值得注意的是，信任是以負(fù)值計(jì)算的，因?yàn)楫惓；顒?dòng)降低了實(shí)體可信度。

(2)

ΔT=log2TD(t)×AA(t)

(3)

T(t)=T(t-1)-ΔT

(4)

3.2.2 引入群信任概念進(jìn)行評(píng)估 典型的信任評(píng)估方法集中在單個(gè)設(shè)備上并對(duì)其行為進(jìn)行分級(jí)。由于可以在患者身上安裝許多設(shè)備，引入群信任概念，作為評(píng)估特定患者的一組設(shè)備可信度的方法。間接地，群信任反映了存在不當(dāng)行為時(shí)恰當(dāng)評(píng)估患者健康的相關(guān)風(fēng)險(xiǎn)。為了正確計(jì)算群信任，引入基于患者所治療疾病的設(shè)備加權(quán)信任思想。如發(fā)熱患者體溫傳感器所收集數(shù)據(jù)比氧飽和傳感器所收集數(shù)據(jù)更為關(guān)鍵。因此使用加權(quán)信任概念，將每個(gè)設(shè)備的信任值乘以一個(gè)特定權(quán)重，所有權(quán)重之和等于1。通過考慮設(shè)備在其行為不端的實(shí)例上加權(quán)信任值來描述群信任，得到公式(5)和(6)：

GT=(a×TAn)+(b×TAn-1)+(c×TAn-2)

(5)

TAn=(Wcx×T(t)x)n

(6)

4 實(shí)驗(yàn)結(jié)果及分析

4.1 異常檢測(cè)系統(tǒng)有效性

4.1.1 有效性驗(yàn)證方法 為驗(yàn)證本文提出的異常檢測(cè)方法的有效性，采用入侵檢測(cè)數(shù)據(jù)集和事件檢測(cè)數(shù)據(jù)集并使用Contiki-Cooja模擬器實(shí)現(xiàn)一個(gè)異常場(chǎng)景。其中入侵檢測(cè)數(shù)據(jù)集與網(wǎng)絡(luò)的正常行為相關(guān)，事件檢測(cè)數(shù)據(jù)集分為兩類：環(huán)境數(shù)據(jù)集和人體數(shù)據(jù)集。使用溫度、光和濕度數(shù)據(jù)值模擬火災(zāi)場(chǎng)景，使用心率、血壓和體溫模擬人體數(shù)據(jù)采集。為了驗(yàn)證算法，通過減少心率數(shù)據(jù)模擬心臟病發(fā)作場(chǎng)景。

4.1.2 異常檢出率(Abnormal Detection Rates，ADR) 評(píng)估所提方法的性能，ADR用于識(shí)別在某時(shí)間段內(nèi)的異常事件的檢出率。ADR定義如下：

(7)

入侵檢測(cè)模塊檢測(cè)到兩種ADR較高的路由攻擊(ADR均高于90%的Rank攻擊和版本號(hào)修改攻擊)。以較低的ADR檢測(cè)泛洪攻擊。這可以從模擬器在泛洪攻擊后恢復(fù)正常狀態(tài)的對(duì)策中得到解釋。通過對(duì)溫度、心率的異常檢測(cè)，正確檢測(cè)出火災(zāi)和心臟病發(fā)作的異常情況，見表2。

表2 入侵檢測(cè)和事件檢測(cè)的異常檢出率

4.2 系統(tǒng)信任度評(píng)估

4.2.1 設(shè)備信任評(píng)估 為了便于驗(yàn)證，活動(dòng)是根據(jù)事件之間上限和下限隨機(jī)生成，每個(gè)活動(dòng)的數(shù)量根據(jù)預(yù)先分配的權(quán)重控制。血壓傳感器和體溫傳感器異?；顒?dòng)數(shù)量較少，是更值得信賴的設(shè)備。心電圖和血氧飽和度顯示出更多異常活動(dòng)并向下移動(dòng)到一個(gè)更小的信任值。對(duì)于群信任圖，取的信任值進(jìn)行加權(quán)，心電取0.5權(quán)重，血氧取0.3權(quán)重，其余取0.1權(quán)重，群信任的方向更接近心電傳感器的行為。

4.2.2 引入寬恕的信任評(píng)估 當(dāng)設(shè)備出現(xiàn)故障時(shí)，更重要的信任設(shè)備可信度突然發(fā)生變化，導(dǎo)致整體信任度發(fā)生劇烈變化，這時(shí)數(shù)據(jù)不應(yīng)該再被信任。沒有引入寬恕策略時(shí)，隨著時(shí)間的推移，即使設(shè)備恢復(fù)正常，但已被打上不可信的標(biāo)簽導(dǎo)致整體信任度依舊不能升高，這與實(shí)際情況不符。引入寬恕策略后，群信任改善，接近實(shí)際結(jié)果。采用寬恕策略，隨著時(shí)間的推移只要沒有任何不當(dāng)行為對(duì)設(shè)備的信任度就可以提高，設(shè)備可以值得信任。

5 結(jié)語

本文從內(nèi)外部因素研究已用于醫(yī)院物聯(lián)網(wǎng)部署場(chǎng)景的信任評(píng)估，以監(jiān)測(cè)和協(xié)助住院患者護(hù)理。通過實(shí)驗(yàn)仿真得知關(guān)注引入寬恕策略的群信任會(huì)對(duì)物聯(lián)網(wǎng)系統(tǒng)提供更準(zhǔn)確的可信評(píng)估。本研究根據(jù)故障和異常活動(dòng)的類型分配權(quán)重來區(qū)分設(shè)備不同類型的異常行為，更好地提示設(shè)備故障影響患者健康相關(guān)的風(fēng)險(xiǎn)。更重要的是，將測(cè)量患者健康的關(guān)鍵因素設(shè)備適當(dāng)?shù)丶傻叫湃文Ｐ椭校员愀玫卦u(píng)估信任并減輕患者相關(guān)風(fēng)險(xiǎn)。