基于信息熵的多源電力物聯(lián)終端設備信任度評價方法

翟峰，馮云，程凱，蔡紹堂，于麗瑩，楊挺

(1. 中國電力科學研究院有限公司，北京 100192；2. 國網(wǎng)河北省電力有限公司，河北 石家莊 050021；3. 天津大學 電氣自動化與信息工程學院，天津 300072)

0 引言

電力物聯(lián)網(wǎng)是通過大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動通信等先進的現(xiàn)代通信信息技術，實現(xiàn)電力系統(tǒng)“發(fā)、輸、變、配、用和調(diào)度”等各環(huán)節(jié)的互聯(lián)互通以及人機交互[1]，是能源互聯(lián)網(wǎng)建設過程中的重要驅(qū)動部分。在電力物聯(lián)網(wǎng)中存在大量的終端設備，終端具有數(shù)據(jù)采集、傳輸、處理、存儲等功能，且數(shù)量眾多、結(jié)構(gòu)互異。而隨著電力物聯(lián)網(wǎng)的不斷發(fā)展，終端設備面臨的安全威脅日益增加[2]，在某些情況下，偽造終端或受損終端會通過身份偽裝、捕獲密鑰，轉(zhuǎn)換為合法終端[3]侵入系統(tǒng)，破壞系統(tǒng)的可用性和完整性，給電力系統(tǒng)帶來巨大破壞[4-5]。

在物聯(lián)網(wǎng)網(wǎng)絡安全方面，物聯(lián)網(wǎng)的內(nèi)部攻擊比外部攻擊危害大得多[6]。內(nèi)部攻擊是由網(wǎng)絡中的惡意終端或拒絕服務終端發(fā)起的。近年來，信任管理被認為是保證網(wǎng)絡安全的有效防護機制之一，是抵御內(nèi)部攻擊的有效途徑[7]。信任管理基于終端的歷史行為，評估終端的信任值，從而估計終端執(zhí)行特定任務的可信度。目前雖然已經(jīng)開展了初步研究，但仍存在一些不足。例如，研究者們通過改進基于beta分布[8]與二項式分布[9]的信任管理，以提高信任評估的準確性，但兩者都因采用主觀分配信任因子導致信任評估不準確。

針對上述問題，面向電力無線專網(wǎng)通信終端設備[10]，本文提出一種基于信息熵的多源物聯(lián)終端信任度評價方法。采用指數(shù)分布構(gòu)建終端的信譽度，根據(jù)歷史行為計算直接信任值，引入滑動窗口概念進行直接信任的更新；根據(jù)信息熵理論判定直接信任的不確定性，并引入間接信任值彌補直接信任判定不準確問題，通過兩者綜合評價提升判定準確性，最后通過模擬電力無線專網(wǎng)網(wǎng)絡內(nèi)部攻擊中選擇性轉(zhuǎn)發(fā)攻擊、開關攻擊、共謀攻擊等攻擊場景對本文所提算法進行實用性與先進性驗證。

1 相關工作

電力物聯(lián)網(wǎng)終端信譽是指鄰居終端對目標終端執(zhí)行任務的評價，是抵御內(nèi)部攻擊、保證網(wǎng)絡安全的有效防護機制之一。而信任是由信譽產(chǎn)生的實體值[11-14]。信任管理分為信任模型和信任管理方案兩大類。目前，在信任模型研究方面，部分研究者提出了一些初步模型，比如模糊邏輯信任模型、D-S證據(jù)信任模型、博弈論信任模型等[15-16]。文獻[17]提出了一種基于信任的路由框架，利用貝葉斯推理計算直接信任，并利用Dempster-Shafer（D-S）理論結(jié)合可靠鄰居的證據(jù)計算間接信任。文獻[18]提出域滑動窗口和跨域滑動窗口來存儲最新的信任值。將節(jié)點劃分為域有助于減少信任管理在信任存儲和計算方面的開銷。文獻[19]提出了一種能量有效的信任評估（EETE）方案，該方案利用分層信任評估模型來減輕非法傳感器節(jié)點的惡意影響并限制信任請求在網(wǎng)絡范圍內(nèi)的傳播，以降低傳感器集群能耗。在信任管理方案方面，文獻[20]提出了一種經(jīng)驗聲譽（E-R）的信任模型，用于評估蒙特卡洛模擬平臺上任意兩個移動設備用戶之間的信任關系。文獻[21]提出一種基于移動邊緣計算的智能信任評估方案，利用概率圖模型對傳感器節(jié)點的可信度進行綜合評估，從數(shù)據(jù)采集和通信行為2方面評估傳感器節(jié)點的可信度。

基于以上對信任模型和信任管理系統(tǒng)的分析可知，目前已有的信任模型大多是基于beta分布且多針對某一特定惡意行為設計；在現(xiàn)有大多數(shù)信任管理方法中，很少有方案考慮多種混合攻擊模式下的信任評價驗證。本文設計一種基于信息熵[22]的多源物聯(lián)終端設備信任度評價方法，用指數(shù)分布表示信譽度并通過模型的改進增強評價方法的可靠性與適應性。

2 模型描述

本文針對如圖1所示的用電信息采集無線專網(wǎng)遠程通信系統(tǒng)，提出了一種基于信息熵原理的電力無線通信終端信任和信譽評價方法。通信終端上行與基站進行通信，下行與集中器通信，實現(xiàn)了控制指令下發(fā)、數(shù)據(jù)采集、數(shù)據(jù)傳輸?shù)裙δ?，當終端需要交互時，終端將根據(jù)信任值決定是否與另一終端進行交互。

圖1 用電信息采集系統(tǒng)無線專網(wǎng)遠程通信系統(tǒng)架構(gòu)Fig. 1 Architecture of wireless private network longdistance communication system for electricity information collection system

2.1 信任與信譽模型

為了簡化信任和信譽模型，本文將終端的交互行為分為成功交互與交互失敗?；谥笖?shù)分布與信任分布的擬合結(jié)果，設終端之間的交互作用保持（l+m）次，則終端間的合作概率函數(shù)為

式中：l為終端間成功交互的次數(shù)；m為交互失敗的次數(shù)；p為成功合作概率。

記終端i持有終端j的信譽為Rij，表示為

f（p）為p的概率分布函數(shù)，因此用函數(shù)的最大值表示成功合作的最大概率，此時將函數(shù)的最大值定義為終端的信任值，即

經(jīng)推導可知，當p取值為l/(l+m)時，概率函數(shù)取的最大值，即成功合作的最大概率為p，此時信任Tij由信譽分布的最大值p表示。為了驗證算法的有效性，本文證明了無論惡意終端數(shù)量如何增加，信任仍然會收斂。證明如下。

式（4）表明信任函數(shù)是有界的，式（5）則驗證了函數(shù)的單調(diào)性，表明函數(shù)是嚴格單調(diào)遞減，根據(jù)單調(diào)收斂的定理，無論惡意終端數(shù)量如何增加，信任函數(shù)仍然會收斂。

2.2 信任與信譽評價系統(tǒng)模型

通過上述信譽模型獲得基于指數(shù)分布的終端信譽度和信任度的表達式。進而建立信任和信譽系統(tǒng)實現(xiàn)信任評估，過程如圖2所示。

圖2 信任評估流程Fig. 2 Trust assessment process

2.2.1 熵的相關理論

熵反映系統(tǒng)的有序度，熵越高，有序度越低。隨機變量x的熵[14]為

式中：p（x）表示隨機變量x的概率密度函數(shù)。熵函數(shù)是在定義域[0,1]中的對稱函數(shù)。隨機事件xi的概率由p（xi）表示。當p（xi）＝0或1時，H（x）＝0，表示著隨機事件xi發(fā)生（或不發(fā)生）沒有不確定性；當p（xi）＝0.5時，H（x）取最大值，表示隨機事件在任何條件下都完全不確定。

2.2.2 直接信任計算

直接觀察是兩個實體之間的交互記錄通過觀察而獲得，沒有第三方。直接信任源于終端i和終端j之間的直接觀察，表示為Dij。指數(shù)分布表示兩個相鄰事件發(fā)生的時間間隔的概率，因此采用指數(shù)分布作為終端間交互作用的先驗分布。假設后者的相互作用方式與前者相同，則將直接信任表示為

2.2.3 直接信任更新

信任值的變化因終端交互歷史信息實時更新，歷史信息越新對信任的影響越大，考慮到電力物聯(lián)網(wǎng)終端設備信息交互量巨大，過多的歷史信息參與更新會造成系統(tǒng)開銷增大，導致信任值更新速度減緩，因此采用滑動窗口N內(nèi)的歷史記錄被用于信任更新。將該滑動窗口記錄的N次終端交互數(shù)據(jù)記錄劃分為n個時隙，并對每個時隙進行依次編號?；爸袝r隙存在惡意與成功的歷史交互數(shù)據(jù)，惡意數(shù)據(jù)會導致該時隙的信任受到嚴重的影響，造成時隙信任丟失，因而本文引入遺忘因子ut以衡量惡意行為的影響程度，即

2.2.4 直接信任判定

當終端確定性水平上升到一定水平時，則沒必要引入第三方評價，即直接觀察能夠執(zhí)行信任評價。反之，當終端不確定水平上升到一定程度時，則需引入第三方評價，因此，終端的信任確定性是否滿足需求是判斷是否引入第三方接評價的關鍵。良好的判定方法可以節(jié)省通信資源和計算資源，提升計算速度。

熵理論是熱力學、統(tǒng)計學和信息論領域的一個概念，是對隨機信號或事件中的不確定性或信息量的測量。因此，假設H（Dij）是直接觀測的熵，tthr是不確定性的閾值。閾值的設置與網(wǎng)絡系統(tǒng)的安全密切相關。熵閾值越大，系統(tǒng)安全性越低。如果tthr≤H（Dij）≤1，說明直接信任的不確定性高，需要更多的相關信息，則引入間接信任。如果不是，那么關于終端j的總信任就可以簡單地設置為直接信任值，即總信任Sij≡Dij。

2.2.5 間接信任

當終端被視為“不確定”時，需要第三方的建議。評估終端i通過與j共同的鄰居終端k（記為Nk）獲得終端j的推薦。終端i已經(jīng)具有公共鄰居終端k的先驗信譽分布。終端i向鄰居發(fā)送查詢消息，終端i和終端j的共同鄰居終端發(fā)送交互記錄（lkj,mkj）作為響應。因此，終端i和終端j的信譽可以表示為（lj，mj）。工作機制如圖3所示。圓圈分別表示終端和終端的交流范圍。注意，選擇鄰居終端的通信范圍是一跳。

圖3 終端間接信任建立路徑Fig. 3 Terminal indirect trust establishment path

假設公共鄰居終端k提供的推薦是給定（lkj,mkj）和（lik,mik），推薦信任值的計算如下。

根據(jù)式（14）中：終端i掌握的信息，并不是每一個推薦都是可靠的，虛假的反饋會導致錯誤的結(jié)果。估計推薦者的可信度對于保證間接信任計算的準確性具有重要意義。只有來自可靠終端的建議才是可接受的。終端i對推薦者k的信任度可表示為

假設存在r個中間終端，終端i信任值標記為Ti1， ···，Ti（r?1），Tir。如果Tik≥x，則使用終端k的建議；反之，它將被完全忽略，x（0≤x≤1）是一個自定義閾值，k=1,2 · ··，r。在本文模型中，根據(jù)推薦者的信任程度來分配權(quán)重。計算權(quán)重sk的方法[11]為

間接信任表示為

2.2.6 聚合信任

在不能通過直接信任直接評價時，引入間接信任，則此時終端的信任值應該由直接信任和間接信任組成，因此直接信任與間接信任的權(quán)重分配是亟須解決的問題。為了避免主觀地直接分配權(quán)重，本文基于信息熵對終端信任值進行了自適應分配，利用終端提供的交互信息的效用值實現(xiàn)權(quán)重分配值的修正。聚合信任的計算可表示為

式中：Sij為聚合信任值；Dij為直接信任值；Iij為間接信任值；λD為直接信任權(quán)重；λI為間接信任權(quán)重。

全局間接信任的計算過程就相當于根據(jù)多個評價指標對待評價事物的影響對其進行綜合評價的過程，中間節(jié)點提供信任值和懷疑值用2個評價指標Iij和1?Iij進行表示，Iij為第三方節(jié)點對待評價節(jié)點的信任程度，1?Iij為第三方節(jié)點對其懷疑程度，對于Dij則為評價方與被評價方兩者之間的參數(shù)計算，結(jié)合信息熵原理式（6）可得

由式（21）[23]，當x分別取值為Dij與Iij時，可計算直接信任權(quán)重λD和間接信任權(quán)重λI。

3 實驗仿真與分析

本文采用一個典型的電力無線專網(wǎng)算例進行通信終端信任認證驗證。該算例有可互交互通信終端100個，包括智能電表、充電樁計量裝置、柱上開關控制器等，分布在500×500 m2的供電區(qū)域。假設每個終端的通信能力相同，通信半徑為50 m，每個數(shù)據(jù)包大小為500 bits，其他仿真環(huán)境參數(shù)設置如表1所示。為保證網(wǎng)絡控制簡潔性，在邏輯連接中設定每個終端的鄰居數(shù)為2或者3。本文以4種不同的場景的（l,m）設定值仿真不同初始信任情況下的信任度評價，并與基于二項式信任管理BTMS[16]和beta信任管理RFSN算法對比。

表1 仿真環(huán)境參數(shù)設置Table 1 Simulation environment parameter setting

情景1：設定所有終端均為可信任終端，且終端間均可實現(xiàn)信息交互，選擇性轉(zhuǎn)發(fā)攻擊中節(jié)點被選擇攻擊的概率設定為[0.6，1.0]的隨機數(shù)，模擬惡意行為的產(chǎn)生，隨著采集周期的增加，惡意終端信息交互失敗的次數(shù)增加，從而信任值快速降低。為驗證本文方法可實現(xiàn)終端信任評價，將本文算法與BTMS和RFSN信任評估表現(xiàn)進行比較。仿真結(jié)果如圖4所示。

圖4中實線為可靠終端信任值隨采集周期變化而逐漸提升，虛線表示為惡意終端信任值隨采集周期變化逐漸降低。本文方法、RFSN、BTMS均能區(qū)分可靠終端和惡意終端，但是本文方法收斂性速度更快，在第50個周期時，本文方法可靠終端信任值為 0.9719，BTMS 可靠終端信任值為 0.9516，RFSN可靠終端信任值為0.9276；同時，本文方法評估惡意終端信任值為0.027，BTMS惡意終端信任值為0.037，RFSN可靠終端信任值為0.075。

圖4 終端聚合信任評價Fig. 4 Terminal aggregation trust evaluation

情景2：當電力無線專網(wǎng)敵手發(fā)動開關攻擊時，終端數(shù)據(jù)交互能力受到破壞，終端信譽隨攻擊的發(fā)起而快速降低，并且終端在產(chǎn)生危害的同時盡力保持不被發(fā)現(xiàn)。根據(jù)開關攻擊的定義，設定前20個終端交互周期表現(xiàn)均為良好，以建立良好的信譽，在第20周期引入少量惡意終端，模擬開關攻擊，在第40個周期后去除攻擊行為。將本文方法與RFSN和BTMS在信任評估方面進行了比較。仿真結(jié)果如圖5所示。

圖5 開關攻擊下終端信任評價Fig. 5 Terminal trust evaluation under switch attack

由圖5可知，3種方法在發(fā)生開關攻擊時信任值均顯著降低，在開關攻擊結(jié)束后信任值緩慢上升。但是本文方法的信任值下降速度比RFSN和BTMS快得多，這表明終端只需要少量的不良行為就可以在短時間內(nèi)迅速導致信任的喪失，表明本文算法能夠更加靈敏地檢測到惡意攻擊。在第40個周期時，本文方法終端信任值為0.1099，BTMS終端信任值為0.2698，RFSN終端信任值為0.3069。

情景3：設定終端j是不可靠的終端，并且終端i和終端j之間的鄰居終端之一是不可靠的終端，其余鄰居終端為可靠終端，此時通過部分可靠鄰居終端實現(xiàn)終端i與終端j的相互評價。以此驗證當存在不可靠鄰居終端時，對不可靠終端的評價能力。如圖6所示為場景3下本文方法、BTMS、RFSN 3種方法抵抗不可靠終端發(fā)起的攻擊信任值變化情況。

由圖6可知，在不可靠終端發(fā)起攻擊時，3種方法的終端信任值均逐漸降低。但是本文方法的信任值下降速度比RFSN和BTMS更快，這表明本文方法在抵抗不可靠終端發(fā)起的攻擊時具有更好的響應性能。在第50個周期時，本文方法惡意終端信任值為0.076 5，BTMS惡意終端信任值為0.088 0，RFSN 惡意終端信任值為 0.193 8。

圖6 惡意終端信任值Fig. 6 Malicious terminal trust value

情景4：在共謀攻擊下，惡意終端可以充當正常終端繼續(xù)工作，設定終端j不可靠且存在不可靠的鄰居終端，同時，多個惡意終端合并各自的交互次數(shù)。將本文算法與RFSN和BTMS在信任評估中進行比較。仿真結(jié)果如圖7所示。

由圖7可知，本文方法在發(fā)生共謀攻擊時的終端信任值逐漸降低，但是RFSN和BTMS的終端信任值隨著共謀攻擊的發(fā)生逐漸增大。這表明本文方法可以有效抵抗共謀攻擊，而RFSN和BTMS抵抗合謀攻擊的性能較差。在第30個周期時，本文方法惡意終端信任值為0.253 5，BTMS惡意終端信任值為0.848 4，RFSN惡意終端信任值為 0.826 7。

圖7 共謀攻擊下終端信任值變化Fig. 7 Terminal trust value change under collusion attack

4 結(jié)論

本文提出一種基于信息熵的信任評價方法，使用指數(shù)分布建立電力無線通信終端信任模型，并采用信息熵理論計算終端聚合信任值。該方法考慮到電力無線通信終端網(wǎng)絡中開關攻擊、誹謗攻擊、共謀攻擊等多種網(wǎng)絡內(nèi)部攻擊模式，在保證信任評價的精度的同時，可對電力無線通信終端進行信任評價。仿真結(jié)果表明，本文方法能夠合理地評估終端的不確定性，能抵抗多種內(nèi)部攻擊，可驗證本文方法具有可行性與先進性。后續(xù)工作將繼續(xù)開展輕量化信任模型研究以優(yōu)化計算開銷，以及組合攻擊抵抗性能研究，提高電力無線通信網(wǎng)絡安全性能。