面向無(wú)人系統(tǒng)安全組網(wǎng)的信任管理研究*

羅 敏，趙 文

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

近年來(lái)，無(wú)人機(jī)（Unmanned Aerial Vehicle，UAV）在戰(zhàn)爭(zhēng)中起著越來(lái)越重要的作用。在美軍攻打阿富汗、利比亞戰(zhàn)爭(zhēng)中，美國(guó)的“捕食者”號(hào)無(wú)人機(jī)和法國(guó)的“雪鸮”號(hào)無(wú)人機(jī)都分別參加了戰(zhàn)爭(zhēng)。在2020 年初，美軍擊殺伊朗將軍任務(wù)中，無(wú)人機(jī)在任務(wù)計(jì)劃系統(tǒng)的遙控指揮下發(fā)揮了巨大作用。無(wú)人機(jī)從過(guò)去一直執(zhí)行空中偵察、戰(zhàn)場(chǎng)監(jiān)視和戰(zhàn)斗毀傷評(píng)估任務(wù)的作戰(zhàn)支援裝備上升為執(zhí)行壓制敵方甚至執(zhí)行作戰(zhàn)任務(wù)的戰(zhàn)斗裝備。

隨著無(wú)人機(jī)的進(jìn)一步發(fā)展，它在戰(zhàn)爭(zhēng)中的地位越來(lái)越重要，擔(dān)負(fù)著情報(bào)偵察、火力打擊等重要作用，是打贏新時(shí)期戰(zhàn)爭(zhēng)的重要支撐。當(dāng)前，通過(guò)網(wǎng)絡(luò)欺騙實(shí)施靈巧誘捕是無(wú)人系統(tǒng)面臨的主要安全威脅或核心問(wèn)題。一旦遭受網(wǎng)絡(luò)欺騙等攻擊，無(wú)人系統(tǒng)將無(wú)法正常工作，不能有效偵察戰(zhàn)場(chǎng)情報(bào)和掌握戰(zhàn)場(chǎng)態(tài)勢(shì)，相當(dāng)于失去部署在戰(zhàn)場(chǎng)前沿或深入敵區(qū)的一只眼，其作戰(zhàn)任務(wù)目標(biāo)對(duì)象、打擊時(shí)機(jī)、打擊范圍等將不受控或打擊效果難掌控。解決好無(wú)人系統(tǒng)信任問(wèn)題，是無(wú)人系統(tǒng)基于自組織網(wǎng)絡(luò)遂行任務(wù)的關(guān)鍵。

近年來(lái)，傳統(tǒng)面向基礎(chǔ)設(shè)施網(wǎng)絡(luò)的信任體系研究日益深入，但是其集中式、中心化技術(shù)保障模式難以適應(yīng)自組織網(wǎng)絡(luò)環(huán)境下的無(wú)人系統(tǒng)安全需求。研究基于多因子信任度量的無(wú)人系統(tǒng)信任管理技術(shù)，動(dòng)態(tài)維護(hù)無(wú)人系統(tǒng)之間信任鏈條，實(shí)現(xiàn)無(wú)人系統(tǒng)網(wǎng)絡(luò)安全可信路由，保障無(wú)人系統(tǒng)之間“看得見(jiàn)、看得清、通得上”的基礎(chǔ)。

1 無(wú)人系統(tǒng)安全組網(wǎng)信任模型

隨著任務(wù)持續(xù)推進(jìn)，具有高機(jī)動(dòng)性特點(diǎn)的無(wú)人系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和成員處于動(dòng)態(tài)變化中。建立無(wú)人系統(tǒng)信任體系，實(shí)時(shí)維護(hù)安全可信網(wǎng)絡(luò)路由，對(duì)無(wú)人系統(tǒng)穩(wěn)定運(yùn)行、遂行多樣化作戰(zhàn)任務(wù)至關(guān)重要。

由于無(wú)人系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)快速變化，節(jié)點(diǎn)之間難以全面建立直接信任關(guān)系。節(jié)點(diǎn)之間的信任關(guān)系隨著時(shí)間動(dòng)態(tài)變化，具有主觀(guān)性、不確定性和模糊性，需要通過(guò)以節(jié)點(diǎn)間相互認(rèn)證為基礎(chǔ)，綜合運(yùn)用節(jié)點(diǎn)行為度量和信任傳遞方式生成信任鏈條，如圖1 所示，動(dòng)態(tài)維護(hù)、更新信任網(wǎng)表，保障無(wú)人系統(tǒng)安全可靠通信。

圖1 無(wú)人系統(tǒng)安全組網(wǎng)信任基礎(chǔ)模型

一是節(jié)點(diǎn)之間按需或定期相互身份認(rèn)證，是網(wǎng)絡(luò)安全路由的信任基底，在無(wú)人系統(tǒng)信任體系中占據(jù)主要權(quán)重值。二是通信能力、信道質(zhì)量等指標(biāo)是無(wú)人系統(tǒng)通信業(yè)務(wù)的QoS 保障，因此基于節(jié)點(diǎn)業(yè)務(wù)行為的信任度量，也是無(wú)人系統(tǒng)安全可靠組網(wǎng)通信的重要因子。三是節(jié)點(diǎn)之間建立的信任關(guān)系，通過(guò)基于一定權(quán)值向其他節(jié)點(diǎn)傳遞，拓展信任群體規(guī)模，特別是跨域跨級(jí)節(jié)點(diǎn)之間的信任關(guān)系、信任傳遞或繼承，支撐實(shí)現(xiàn)柵格化網(wǎng)狀信任關(guān)系的建立，提升無(wú)人系統(tǒng)的魯棒性和健壯性。

2 基于身份認(rèn)證的信任技術(shù)

具有高機(jī)動(dòng)性特點(diǎn)的無(wú)人系統(tǒng)，在有限的信道資源條件下快速高效地完成安全認(rèn)證，有助于提升無(wú)人系統(tǒng)信任關(guān)系的全面建立。

基于標(biāo)識(shí)認(rèn)證（Identity-Based Authentication，IBA）是實(shí)現(xiàn)無(wú)人系統(tǒng)節(jié)點(diǎn)之間身份認(rèn)證的更好方案。與傳統(tǒng)基于PKI 的數(shù)字身份認(rèn)證機(jī)制[1]相比，基于標(biāo)識(shí)認(rèn)證機(jī)制對(duì)信任基礎(chǔ)設(shè)施依賴(lài)性更低，認(rèn)證雙方無(wú)需證書(shū)的交付，輕量級(jí)的認(rèn)證協(xié)議對(duì)系統(tǒng)信道資源的占用率相對(duì)少，更加適合分布式、去中心化的無(wú)線(xiàn)自組織網(wǎng)絡(luò)通信特點(diǎn)。

與傳統(tǒng)公鑰密碼一致，每個(gè)節(jié)點(diǎn)擁有成對(duì)的公鑰和私鑰。系統(tǒng)以節(jié)點(diǎn)身份標(biāo)識(shí)（如節(jié)點(diǎn)身份ID、地址、角色等用戶(hù)屬性信息）作為公鑰，通過(guò)特定的密鑰生成算法產(chǎn)生對(duì)應(yīng)的用戶(hù)私鑰。私鑰由節(jié)點(diǎn)秘密保存，身份標(biāo)識(shí)可隨通信路由建立更新、業(yè)務(wù)傳輸?shù)冗^(guò)程中同步發(fā)布，不單獨(dú)占用業(yè)務(wù)信道資源傳輸。

基于標(biāo)識(shí)認(rèn)證的身份認(rèn)證協(xié)議，支持無(wú)人系統(tǒng)中無(wú)人系統(tǒng)兩兩之間直接快速認(rèn)證，如圖2 所示，以A、B 之間的相互認(rèn)證為例。

（1）B 通過(guò)簽名認(rèn)證處理單元生成一個(gè)隨機(jī)數(shù)RB，通過(guò)時(shí)鐘單元產(chǎn)生一個(gè)當(dāng)前時(shí)間戳T，基于HASH 算法對(duì)IDB、RB、T等信息進(jìn)行摘要計(jì)算產(chǎn)生HB，再利用B 的私鑰SKB生成簽名消息SB，將IDB、RB、T、SB等信息打包為簽名認(rèn)證請(qǐng)求報(bào)文，并發(fā)送給A；

（2）A 首先基于本地時(shí)間信息比較來(lái)自B 的簽名認(rèn)證請(qǐng)求報(bào)文中的時(shí)間戳信息，確保信息的新鮮性，再對(duì)來(lái)自B 的簽名認(rèn)證請(qǐng)求報(bào)文進(jìn)行驗(yàn)簽；

（3）驗(yàn)證成功后，A 通過(guò)簽名認(rèn)證處理單元生成一個(gè)隨機(jī)數(shù)RA，并計(jì)算摘要HA=H(IDA,RA,RB,T)，再利用A 的私鑰SKA生成簽名消息SA，將IDA、RA、SAB等信息打包為簽名驗(yàn)證報(bào)文，并發(fā)送給B；

（4）B 通過(guò)簽名認(rèn)證處理單元驗(yàn)證A 反饋的簽名驗(yàn)證報(bào)文的正確性；如果成立，則B 認(rèn)證通過(guò)，否則B 認(rèn)證未通過(guò)。

對(duì)基于標(biāo)識(shí)認(rèn)證的結(jié)果，采用離散數(shù)據(jù)[-1，0，1]表示信任度量值，無(wú)人系統(tǒng)節(jié)點(diǎn)之間通過(guò)連接認(rèn)證，信任度量取值f(Iab)=1；無(wú)人系統(tǒng)之間未通過(guò)連接認(rèn)證，信任度量取值f(Iab)=-1；無(wú)人系統(tǒng)之間未連接，身份尚不確定，信任度量取值f(Iab)=0。

圖2 基于IBA 的相互認(rèn)證

由于無(wú)線(xiàn)傳輸?shù)牟豢煽啃?，連接認(rèn)證結(jié)果不一定是完全對(duì)等的，即A 通過(guò)B 的認(rèn)證，B 未必通過(guò)A 的認(rèn)證。一方面，通過(guò)與通信信號(hào)處理緊密結(jié)合，采取自適應(yīng)的糾錯(cuò)編碼機(jī)制，改善認(rèn)證鑒別信息傳輸?shù)目煽啃?。另一方面，通過(guò)實(shí)時(shí)感知信噪比SNR，對(duì)認(rèn)證結(jié)果加入基于信噪比的權(quán)重值處理，增強(qiáng)無(wú)線(xiàn)自組織網(wǎng)絡(luò)認(rèn)證結(jié)果的準(zhǔn)確性，以提升基于身份認(rèn)證的信任度量有效性。

3 基于節(jié)點(diǎn)行為的信任度量技術(shù)

基于節(jié)點(diǎn)身份認(rèn)證的信任度量和基于節(jié)點(diǎn)行為的信任度量，是無(wú)人系統(tǒng)自組織網(wǎng)絡(luò)安全可靠路由建立和維護(hù)的主要基礎(chǔ)支撐，是惡劣電磁環(huán)境下的無(wú)人系統(tǒng)信息暢通傳輸?shù)闹匾Ｕ希兄诖龠M(jìn)無(wú)人系統(tǒng)作業(yè)任務(wù)順利達(dá)成。

首先，通過(guò)創(chuàng)建無(wú)人系統(tǒng)信任評(píng)估指標(biāo)體系，依據(jù)層次分析法的基本原理構(gòu)建以目標(biāo)層、準(zhǔn)則層和指標(biāo)層的3 層無(wú)人系統(tǒng)行為屬性隸屬模型[2]，如圖3 所示，以便對(duì)節(jié)點(diǎn)的行為進(jìn)行有效信任評(píng)價(jià)。

圖3 節(jié)點(diǎn)行為屬性隸屬模型

為了減少評(píng)價(jià)過(guò)程中存在較大的主觀(guān)誤差，首先結(jié)合模糊層次分析法對(duì)節(jié)點(diǎn)行為進(jìn)行綜合評(píng)價(jià)。根據(jù)建立的節(jié)點(diǎn)指標(biāo)體系，建立評(píng)價(jià)對(duì)象屬性集，其中目標(biāo)層O 共有3 個(gè)一級(jí)屬性，即O={R1，R2，R3}={節(jié)點(diǎn)活性屬性，節(jié)點(diǎn)性能屬性，節(jié)點(diǎn)可靠性屬性}。準(zhǔn)則層R1包括節(jié)點(diǎn)業(yè)務(wù)次數(shù)、節(jié)點(diǎn)業(yè)務(wù)數(shù)據(jù)量等二級(jí)屬性，準(zhǔn)則層R2包括數(shù)據(jù)傳輸時(shí)延、業(yè)務(wù)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速率等二級(jí)屬性，準(zhǔn)則層R3包括連接成功率、數(shù)據(jù)丟包率、業(yè)務(wù)成功率等二級(jí)屬性。

其次，建立多指標(biāo)模糊綜合評(píng)價(jià)模型[3]，基于節(jié)點(diǎn)行為度量信任值：

A為面向行為屬性[4]的模糊權(quán)重矢量，R是面向行為屬性的模糊信任評(píng)價(jià)矩陣，B為各行為屬性的模糊綜合信任評(píng)價(jià)結(jié)果矢量。

其中，合成算子選用加權(quán)平均型，以確保評(píng)價(jià)結(jié)果具有更強(qiáng)綜合性。

通過(guò)從低層向高層依次運(yùn)算，最終根據(jù)最大隸屬度原則，確定節(jié)點(diǎn)行為的信任度量結(jié)果。

以工程實(shí)踐為基礎(chǔ)，基于節(jié)點(diǎn)行為屬性隸屬模型，根據(jù)屬性隸屬優(yōu)先關(guān)系，通過(guò)專(zhuān)家分析方法，為行為屬性分配權(quán)重系數(shù)，如表1 所示。

表1 行為屬性權(quán)重系數(shù)

基于行為的信任評(píng)價(jià)集V={非常信任，比較信任，一般，不太信任，不信任}，專(zhuān)家為某節(jié)點(diǎn)評(píng)價(jià)如表2 所示。

表2 行為屬性評(píng)價(jià)

模糊綜合評(píng)價(jià)為：

該節(jié)點(diǎn)行為信任度量結(jié)果為一般信任。為便于信任傳遞計(jì)算，將該結(jié)果數(shù)字化處理。

4 基于信任傳遞的信任度量技術(shù)

通過(guò)信任傳遞[5]，自組織網(wǎng)絡(luò)中兩兩節(jié)點(diǎn)之間能夠快速建立信任關(guān)系，為無(wú)人系統(tǒng)快速生成信任網(wǎng)表，優(yōu)化網(wǎng)絡(luò)路由提供支撐保障。

（1）節(jié)點(diǎn)發(fā)起業(yè)務(wù)通信時(shí)，先查找路由表，搜索源、目的節(jié)點(diǎn)之間的多條路由，通過(guò)對(duì)各路由線(xiàn)路上的傳輸節(jié)點(diǎn)信任度量關(guān)系進(jìn)行計(jì)算，綜合比較傳輸路徑距離和信任值優(yōu)劣，選擇最佳傳輸路徑，以保障業(yè)務(wù)傳輸QoS。

（2）如果源、目的節(jié)點(diǎn)之間沒(méi)有安全可信路由，源節(jié)點(diǎn)通過(guò)信任路由推薦請(qǐng)求信息，鄰居節(jié)點(diǎn)根據(jù)請(qǐng)求反饋相關(guān)信任節(jié)點(diǎn)信息，如圖4 所示。收到鄰居節(jié)點(diǎn)的推薦信任響應(yīng)消息后，源節(jié)點(diǎn)信任傳遞模型，計(jì)算/更新路由節(jié)點(diǎn)的信任關(guān)系。

將自組織網(wǎng)絡(luò)節(jié)點(diǎn)的信任傳遞鏈設(shè)計(jì)為一個(gè)4 元組CL=(Ns,No,R,C)。其中，Ns為信 任傳 遞源節(jié)點(diǎn)；No為信任對(duì)象節(jié)點(diǎn)；R為推薦路由，R={N1,N2,…,NO}；C為推薦路由信任向量矩陣；C={C1(N1,N2),C2(N2,N3),…,CX(NX,No)}，Ci為節(jié)點(diǎn)Ni對(duì)下一跳節(jié)點(diǎn)Ni+1的信任值。

3類(lèi)生態(tài)系統(tǒng)間露石覆蓋面積具有顯著差異(F=3.68，P=0.028)(表2)，草地、人工林和次生林占比分別是19.10%±1.35%、13.68%±1.31%和17.14%±1.61%，其中草地露石覆蓋面積顯著高于人工林。

假設(shè)基于身份認(rèn)證的信任度量值為f(I)，基于行為的信任度量值為f(A)。

節(jié)點(diǎn)a對(duì)節(jié)點(diǎn)b的信任度量值為Cab={f(Iab),f(Aab)}；

節(jié)點(diǎn)b對(duì)節(jié)點(diǎn)c的信任度量值為Cbc={f(Ibc),f(Abc)}；

節(jié)點(diǎn)c 通過(guò)節(jié)點(diǎn)b 傳遞給節(jié)點(diǎn)a 信任度量值為f(Iac)={f(Iab),f(Ibc)}。

假設(shè)節(jié)點(diǎn)a 對(duì)節(jié)點(diǎn)b 的信任度量值分布為{1，0.5}，節(jié)點(diǎn)b 對(duì)節(jié)點(diǎn)c 的信任度量值分布為{0，0.2}，則節(jié)點(diǎn)a 對(duì)節(jié)點(diǎn)c 的信任度量值分布為{0，0.3}。依次類(lèi)推，計(jì)算出信任鏈條信任關(guān)系，基于優(yōu)化策略選擇安全可信路由。

圖4 安全可信路由建立

5 結(jié)語(yǔ)

本文針對(duì)無(wú)人系統(tǒng)應(yīng)用模式和特點(diǎn)，基于標(biāo)識(shí)認(rèn)證、節(jié)點(diǎn)行為、信任傳遞的信任度量等技術(shù)，構(gòu)建了一個(gè)面向自組織網(wǎng)絡(luò)的高效信任體系。無(wú)人系統(tǒng)實(shí)際應(yīng)用環(huán)境復(fù)雜和應(yīng)用模式多樣，面臨著針對(duì)信任問(wèn)題的系列攻擊，如流言攻擊（Bad Mouthing）、沖突攻擊和女巫攻擊（Sybil）等，需要深入研究信任體系的健壯性、專(zhuān)家評(píng)價(jià)算法等，綜合評(píng)估信任體系對(duì)系統(tǒng)計(jì)算資源、傳輸帶寬資源、能耗等影響，擇取最優(yōu)的信任管理技術(shù)，以期在使用過(guò)程中切實(shí)發(fā)揮作用，為無(wú)人系統(tǒng)安全作業(yè)提供支撐保障。