梁盈威,楊秋勇,謝瀚陽
(廣東電網(wǎng)有限責任公司, 廣東, 廣州 510000)
IOT是在互聯(lián)網(wǎng)、通信技術與計算機快速發(fā)展的基礎上形成的人物聯(lián)合網(wǎng)絡,涉及大量的數(shù)據(jù)信息。IOT網(wǎng)絡屬于開放系統(tǒng),網(wǎng)絡中各傳輸設備的安全標準不同,容易受到外部黑客攻擊,或者數(shù)據(jù)丟失。調查結果顯示[1],物聯(lián)網(wǎng)用戶由2015年的102 223萬戶,上升到2020年的1 202 223萬戶,用戶增長了9.3倍[2]。另外,物聯(lián)網(wǎng)中的設備智能化水平日益提高,且呈現(xiàn)大數(shù)據(jù)的特征。有學者提出數(shù)據(jù)共享,或者替代性傳輸,以減少IOT中的數(shù)據(jù)傳輸壓力,提高網(wǎng)絡中傳輸數(shù)據(jù)的價值。也有學者提出推測性共享安全判斷,或者綜合性共享安全判斷的方法,諸如遺傳算法、蟻群算法和貝葉斯算法等[3-4]?;谏鲜龇治?,本文提出k-means聯(lián)合GA的算法對數(shù)據(jù)共享的安全性進行多角度分析,并構建“互動-加密-預測” 三位一體的保障體系,旨在推動IOT下的數(shù)據(jù)共享安全問題的解決[4]。
有研究結果顯示,互動系數(shù)、關聯(lián)系數(shù)是IOT數(shù)據(jù)共享安全的影響因素之一。有學者認為,泄密的前瞻性預測、傳輸通路的預測性選擇能增加數(shù)據(jù)傳輸?shù)陌踩?,降低木馬的植入幾率。因此,數(shù)據(jù)一致性處理、信息加密系數(shù)和安全推斷系數(shù)是影響共享安全的另一影響因素,結果如表1所示。
表1 IOT環(huán)境下數(shù)據(jù)共享安全的影響因素
假設IOT網(wǎng)絡中的數(shù)據(jù)傳輸設備獨立,數(shù)據(jù)共享信道為公共信道,且設備并不集中,那么可以對IOT中的設備進行共享安全監(jiān)測。共享安全監(jiān)測范圍包括互動系數(shù)、加密系數(shù)、關聯(lián)系數(shù)和推斷系數(shù)等,相應指標的數(shù)學描述如下。
(1) 假設數(shù)據(jù)共享安全指標集合為M, IOT中RFID、GPS等設備發(fā)送的數(shù)據(jù)來源I,且發(fā)送數(shù)據(jù)I的設備ID不同。
(2) 如果N為共享數(shù)據(jù)信息集合,i為設備發(fā)送的數(shù)據(jù)編號,j為設備的ID號,k為共享判斷信息(共享=1,不共享=0),l為數(shù)據(jù)安全檢測序列(安全=1,危險=0),那么設備的信息集合可以描述為Ni,j,k,l,,且i,j,k,l=(1,2,…,n),n為自然數(shù)。為了避免共享數(shù)據(jù)信息集合字節(jié)過大,Ni,j,k,l,m中的k默認為共享、l默認為安全。
圖1 安全指標、數(shù)據(jù)與設備間的關系
(3) 數(shù)據(jù)類型的標準化處理
IOT數(shù)據(jù)采集數(shù)據(jù)較多,需要對共享數(shù)據(jù)進行k-means計算。由于不同設備發(fā)送數(shù)據(jù)的屬性不同,可以用A(m·I)表示數(shù)據(jù)的復雜性。m為數(shù)據(jù)的屬性集合,I發(fā)送數(shù)據(jù)。為了保證k-means處理結果的準確性,需要對其聚類進行約束處理,如式(1):
(1)
其中,S為信息聚類的核心聚類。那么式(1)可以轉化為式(2):
(2)
不同設備發(fā)送的數(shù)據(jù)種類不同,需要進行歐式距離的相似度計算,以提高S的準確性[9],如式(3):
J(A,B)=|A∩B|/|A∪B|
(3)
其中,J為S的相似度,B為計算結果。IOT數(shù)據(jù)共享過程中,同一數(shù)據(jù)類型會出現(xiàn)不同的頻率。為了提高共享數(shù)據(jù)的處理效率,需要計算數(shù)據(jù)類型的出現(xiàn)次數(shù)G,并賦予相應的權重H,那么共享數(shù)據(jù)出現(xiàn)的頻率R的計算如式(4):
(4)
其中,Gij為j設備發(fā)送i數(shù)據(jù)的次數(shù),Gi為i數(shù)據(jù)發(fā)送的次數(shù),Gj為j設備發(fā)送的次數(shù)。
(4) 以數(shù)據(jù)共享的安全性l為單位,將同一設備發(fā)送數(shù)據(jù)的加密系數(shù)、互動系數(shù)、關聯(lián)系數(shù)、推斷系數(shù),劃入到該設備的安全性內。
(5) IOT獲取的任何共享數(shù)據(jù),均由共享中心編排,設備并受權重H、次數(shù)G約束,并進項相應的排列。
(6) 任何共享數(shù)據(jù)均有加密系數(shù)x、互動系數(shù)y、關聯(lián)系數(shù)z、推斷系數(shù)o要求。其中,依據(jù)《物聯(lián)網(wǎng)環(huán)境實施規(guī)范》,以及IOT實施統(tǒng)計經(jīng)驗,確定x、y、z、o的初始系數(shù)為0.032,0.282、0.392和0.317。同時,假設相關性為R,依據(jù)傅里葉級數(shù)進行對上述4個參數(shù)的相關性進行判斷,如下公式:
R=∑∮xyzo+∑∮xy+∑∮xz+∑∮xo+∑∮yz+∑∮yo+∑∮zo
(5)
其中,∑∮xyzo為4個參數(shù)的整體相關性,∑∮xz為xz相關性,相關=1,不相關=0,∑∮xy為xy相關性關=1,不相關=0,其他略。R為最后輸出結果,如果整體不相關=0,相關=1。
相關系數(shù)必須要符合預期設定閥值。
(7) 將數(shù)據(jù)的干擾程度納入到安全分析中,計算公式如下:
P=xyzo+ξ
(6)
其中,P為抗干擾能力,ξ為干擾調整系數(shù)。
(8) 假設所有IOT公式數(shù)據(jù)N在共享前均被設置。
火模擬算法的Metropolis接受準則可以對信道的抗干擾程度P進行判斷,提高共享數(shù)據(jù)傳輸?shù)耐暾裕p少信道頻繁切換產(chǎn)生的冗余信息[10-11]。
假設共享數(shù)據(jù)的現(xiàn)有安全等級為lk,安全性由原始狀態(tài)lk向lk+1轉變,那么數(shù)據(jù)泄密的概率為Plk=exp[f(lk+1)-f(lk)/lk]。如果0
(7)
2.2.1 共享數(shù)據(jù)信息編碼
準確度設計一般用適度函數(shù)表示,可以引導GA迭代計算方向。設定初始閾值可以減低理論與實際的誤差,一般設定為0.01。本文是在數(shù)據(jù)共享的基礎上提高共享的安全性,最大程度地實現(xiàn)理論值與實際值的一致,所以將初始閥值設定為0.001。具體的適度函數(shù)計算如式(8):
(8)
其中,F(xiàn)k為在k等級下的實際值與理論值差,ξ為干擾程度調節(jié)系數(shù),t1為初始共享數(shù)據(jù)的傳輸時間,ti為第i個數(shù)據(jù)傳輸時間[12-13]。
2.2.3 安全項設計
安全項設計包括加密系數(shù)x、互動系數(shù)y、關聯(lián)系數(shù)z、推斷系數(shù)o,上述4項指標之間容易混淆,需要利用Metropolis接受準則進行約束,并最終得到準確的安全指標。上述4項安全指標的計算如式(9):
(9)
其中,Ni,j,0,0為安全等級為0,共享判斷結果=1時的數(shù)據(jù)安全程度,fmin是各個設備發(fā)送共享數(shù)據(jù)精度,fmg整個IOT網(wǎng)發(fā)送共享數(shù)據(jù)的精度,fm為共享數(shù)據(jù)的被黑客等外部手段攻擊的程度。
綜合上述分析,得到IOT環(huán)境下數(shù)據(jù)開放共享安全保障體系的建立步驟:
(1) 設置初始IOT共享數(shù)據(jù)集合N,以及加密系數(shù)x、互動系數(shù)y、關聯(lián)系數(shù)z、推斷系數(shù)o,并將所有的共享判斷信息k設置為1,以及IOT共享數(shù)據(jù)的傳輸方案(專屬信道、混合信道和變動信道),以及傳輸精準度的初始閾值0.001;
此類non-convex QCQP問題是NP-Hard的,本文將利用正交變換的方法,將此問題轉化為松弛的二次約束二次規(guī)劃問題(Relaxation Quadratically Constrained Quadratic Program,RQCQP).
(2) 所有的共享數(shù)據(jù)遍歷完成,則終止GA計算,轉入步驟(3),否則執(zhí)行數(shù)據(jù)遍歷[14-15];
(3) 依據(jù)Metropolis接受準則,計算泄密等級、黑客入侵程度,并提高安全等級,如果計算結果超過對應參數(shù)的閾值,則降低安全等級;
(4) 分別將準確度符合要求,安全性最高的共享方案存入安全保障體系集合Total中;
(5) 轉到步驟(3),進行反復計算。
以物流運輸公司2020年12月~13日18小時內的IOT數(shù)據(jù)共享為實例進行分析,數(shù)據(jù)共享點為203個,準確度為0.001,共傳輸數(shù)據(jù)109 321次,通信設備為光纖、GSP、同軸電纜,信道類型為有線、無線混合信道。IOT中RFID設備13臺,掃描設備6臺,攝像頭65個,聲音收集裝置72個,采用DNP3.0協(xié)議、BACnet協(xié)議進行傳輸,并采用阿里云平臺,測試的服務器配置如表2所示。
表2 系統(tǒng)測試環(huán)境服務器硬件配置
為了保證測試IOT運行的穩(wěn)定,需要對上述設備進行封閉,模擬相應的實驗環(huán)境。系統(tǒng)采用的操作系統(tǒng)為Cent OS、Windows 10,數(shù)據(jù)庫為MySQL 5.7.9,Hadoop版本為2.6.0-5.7.1-1335。為了防止出現(xiàn)單個設備故障造成整個IOT癱瘓,或者影響IOT測試,對所有的服務器、終端PC進行節(jié)點配置如表3所示。
表3 測試環(huán)境服務器界定設定結果
通過設定各個PC、服務器的IP為后期數(shù)據(jù)傳輸?shù)墓残詳?shù)據(jù)泄露率,理論與實際數(shù)據(jù)傳輸?shù)臏蚀_性,以及共性安全等級,使其符合該物流公司對信息共享的要求。
3.2.1k-means數(shù)據(jù)處理結果
對采集的Ni,j,k,l,m數(shù)據(jù)進行k-means數(shù)據(jù)處理,進行1 500次的迭代處理,得到加密系數(shù)、互動系數(shù)、關聯(lián)系數(shù)、推斷系數(shù)的聚類程度結果。結果顯示,聚類程度在500次迭代后,達到90%以上的聚類程度,說明IOT數(shù)據(jù)的k-means數(shù)據(jù)處理效果比較理想。但是,在500次的迭代以后才出現(xiàn)高聚類,也充分說明IOT獲得的數(shù)據(jù)量較大,需要進行多次的迭代處理,才能獲得滿意的數(shù)據(jù)處理效果。
圖2 k-means數(shù)據(jù)處理結果
3.2.2 數(shù)據(jù)的安全性
在對加密系數(shù)、互動系數(shù)、關聯(lián)系數(shù)、推斷系數(shù)的安全性進行150次數(shù)模擬攻擊時發(fā)現(xiàn),加密系數(shù)的安全性保持在98%以上,互動系數(shù)安全性在92%以上,關聯(lián)系數(shù)保持在90%以上,推動系數(shù)保持在93%以上。密碼、密鑰的安全性關系到整個IOT網(wǎng)絡的重要指標。數(shù)據(jù)共享中的互動和關聯(lián)是黑客入侵的間接手段,但該指標的安全性保持在92%以上,說明整個IOT安全保障體系比較安全。相對來說,推斷系數(shù)的安全性較低,是由于IOT海量數(shù)據(jù)中無法有效進行威脅預測,但90%以上的安全性,仍然說明該體系比較安全。
圖3 加密系數(shù)、互動系數(shù)、關聯(lián)系數(shù)、推斷系數(shù)的安全性
針對IOT下開放性共享程度進行計算,發(fā)現(xiàn)數(shù)據(jù)的整體安全程度處于90%以上,并隨開放程度安全性有所降低。數(shù)據(jù)的硬件資源有限,必然影響安全性的降低。相對來說,理論傳輸與實際接收數(shù)之間的準確性較高,保持在98%以上。但是,IOT共享數(shù)據(jù)100%開放以后,安全性仍然保持在90%以上,滿足安全的要求。
圖4 開放性共享程度與安全性、準確性的關系
本研究對IOT中的數(shù)據(jù)共享安全問題進行分析,構建了基于k-means數(shù)據(jù)處理、Metropolis接受準則和GA算法的安全保障體系。在1 500次迭代過程中,數(shù)據(jù)的聚類程度逐漸集中,在150次黑客攻擊中,安全保障系統(tǒng)能滿足現(xiàn)階段的共享安全需要,同時安全性隨共享程度的增加而降低,但安全性均大于90%。相對來說,數(shù)據(jù)準確性并未發(fā)生大幅改變,均高于95%。