每周文章分享-128

（1）提出的TMTC信任机制

 图1  本文提出的TMTC框架

如图1所示，提出的TMTC框架应用在整个的云—边网络中。图中设备从低到高分别是数据源头、边缘层和云层。数据源头是产生数据的数据报告者，边缘层为基站，云层为云服务器。所提出的方案包含两层的信任评估：对于底层的数据报告者（为方便说明，本分享后面都称其为节点），根据其上传的数据由基站评估节点是否正常；对于基站上传到云端的服务内容，需要云根据接受到的服务是否异常从而判断服务在传输过程中的路由是否正常。对于不正常的节点和路由，再采取信任检测方式，验证源头的可信程度。

A.第一层信任评估

第一层信任评估是由损坏的数据触发的，发生在数据收集层和边缘层之间。它是通过数据信任和交互信任来实现的。（对于损坏的数据，可以理解为不符合预先设定好的数据封装格式的数据。）第一层信任评估有两个角度：1）数据信任和2）交互信任。

第一层的数据信任考虑以下因素：

1）数据影响力：数据影响力是指数据报告者提交的数据占一个周期内产生的数据总量的比例。某个报告者提交的数据越多，其整体数据影响力越大。数据影响力的计算方式为：

分子部分为第i个数据报告者提交的数据，分母为该周期内所有报告者提交的数据。

2）数据威胁力

数据威胁力衡量的是某一个数据报告者所提交的数据中异常数据占据的比例，异常数据占得越多，其威胁程度越高，计算方式为：

结合以上两个角度，本文提出的数据信任计算方式为：

在计算数据信任的时候提出了两个阈值（上标分别为1和2），第一行指的是当数据报告者Si所提交的数据的威胁程度高于最大阈值（上标为1的阈值）时，其数据信任便会被认为是0，只有小于此阈值才值得讨论其可信程度；第二行指的是数据威胁程度在阈值2和阈值1之间时，尽管满足基本条件，但还是需要对Si的数据信任做一个削弱，乘上了惩罚因子α；第三行指的是，当Si提交的数据的威胁程度小于阈值2时，其所提交数据中正常数据的比例便会被作为其数据信任值。

第一层的交互信任基于改良版的Beta分布交互信任进行计算：

当基站评估报告者Si的交互信任时，需要收集所有与Si有过交互的其他报告者的数据，式中C_s指的是成功交互记录，C_f指的是失败交互记录。

结合数据信任和交互信任，基站对报告者Si的信任值按照如下方式计算：

B.第二层信任评估

第二层信任评估是由损坏的业务（基站接受到数据以后封装成业务上传至云服务器）触发的，发生在核心网络层和云之间。它从基于服务路径回溯的验证信任、基于路由器多路径分析的数据信任和基于一致路径匹配的一致信任三个方面来实现。基于服务路径回溯的验证信任。在服务被聚合和路由的过程中，每台路由器对该服务的操作记录都存储在service Computing Path表中，该表具有可追溯性，因此路由器不能拒绝对其进行的操作。在此基础上，通过回溯路径和逐跳验证来识别路由器。首先，云根据最终提交的服务生成验证哈希码。由于该验证码是基于哈希方式处理的，且哈希函数是单向不可逆的，因此可以根据业务数据计算出代码，但无法根据验证码推断出业务数据。

图2 验证码匹配实例

如图2所示，云根据𝑅8提交的业务数据生成蓝色的验证码，𝑅8根据自己上传的业务数据生成灰色的验证码。如果业务受通信链路影响，或者受到恶意攻击，云生成的验证码与𝑅8验证码不一致，表示𝑅8存在漏洞或存在通信问题。如果结果一致，则为:1。之后，云查询业务计算路径中𝑅8的操作，从最终提交的业务数据中删除𝑅8的操作，生成蓝色验证码。

第二层信任评估包含三个角度：1）基于服务路径回溯的验证信任2）基于路由器多径分析的数据信任和3）基于一致路径匹配的一致信任。

第二层的验证信任计算方式如下：

分母部分指的是由路由器Ri提交的所有服务的验证次数，分子部分指的是将路由器Ri与云服务器关于每一个服务的验证结果（对于每一个服务，当云服务器持有的蓝色验证码和路由器持有的灰色验证码相同的时候，匹配结果为1，否则为0）求和。

第二层的数据信任计算方式如下：

式中第一行表示，如果路由器Ri没有参与过传输任务，则其数据信任为1，第二行表示，如果Ri传输了服务（N_s,Tran^i为其参与传输的所有服务），则用其传输的正常服务（服务总数减去异常服务的数量）占服务总数的比例代表Ri的数据信任。

第二层的一致性信任考虑了共用路径。

图3 一致性信任实例

如图三所示，服务Ser3和服务Ser5的传输路径分别为R4,R6,R8和R3,R6,R8。由于两个路径中都有R6,68这一段，且重复比例占路径长的一半，则认为这两条为一致性路径。一致性信任计算方式如下：

设服务Ser3和Ser5为异常服务，则一致性路径R6,R8中的两个路由器均参与了两次异常服务的传输，此时R6和R8比R3、R4更可疑。

结合以上三个角度，第二层的信任值按如下方式计算：

C.信任检测

由于本文的信任评估只针对出现了异常数据的设备，所以可能导致信任值长期不更新不再有效的情况，为避免这个现象，云服务器会周期性地下发一些检测任务N_tD。根据设备完成这些检测任务的情况以更新设备的可信程度。检测信任的计算方式如下：

分子部分指的是被正确完成的检测任务数量，分母是下发给设备i的检测任务总数。

而本文信任更新的方式是判断最新的检测信任和记录中设备原有的信任值之间的差异程度，计算方式如下：

当检测信任和已有的信任值之间的差距小于所设定阈值（20%）的时候，更新信任值为检测信任；否则将原有信任值与检测信任加权求和作为新的信任值。

1. 针对不同攻击类型的TMTC性能分析

图4  针对不同攻击类型的TMTC性能分析

图4(a)和图4(b)分别为恶意数据报告者和路由器的识别率。TMTC可以更准确地识别数据篡改攻击者，识别率超过80%，其次是good-bad mouth攻击者。时断时续的攻击者很狡猾，他们的攻击总是不规律的，很难被抓住。总体而言，恶意节点识别率为75%。图4(c)为假阳性率。可以看出，假阳性率在6%-10%左右，恶意数据报告者的假阳性率最低。

2. TMTC、ER和MTC方案在分散和密集场景下不同节点的信任度

图5  TMTC、ER和MTC方案在分散和密集场景下不同节点的信任度

图5所示，正常节点的信任度在0.7-0.9之间，恶意节点的信任度在0.3-0.45之间。

这里恶意节点的信任是数据篡改攻击者、开-关攻击者、好坏口攻击者和选择性转发攻击者的平均信任。此外，每轮信任计算都是独立的，因此每轮的结果变化不大，这也证明了三种方法是稳定的。对比三种方法可以清楚地看到，TMTC和MTC方法对正常节点的信任度最高，而TMTC和ER方法对恶意节点的信任度最低。因此，TMTC的信任计算是准确的，既能识别正常节点，又能检测出恶意攻击者。对10轮结果进行加权，可以得出以下结论:与ER方法相比，TMTC将正常节点的信任评估准确率提高了20.08% ~ 20.28%;与MTC相比，TMTC将恶意节点的准确率提高了18.41% ~ 20.95%。

3. 不同轮次下TMTC、ER和MTC的恶意节点识别率和假阳性率

图6  各方案下不同百分比的恶意设备发起攻击的总数

如图6(a)和图6(b)所示，TMTC方法的恶意节点识别率为75%-90%，其次是MTC方法，识别率为60%-80%，ER方法的恶意节点识别率最低。这是因为TMTC提出了两层信任评估机制，不仅基于数据和交互信任对报告者进行评估，还基于结果验证、数据比较和重合路径对路由器进行评估，而且不同层的评估方法也不同。因此，信任评价结果更加准确。

此外，TMTC主动启动信任检测，这对于场景2等具有稀疏交互的应用程序非常有效。

本文提出了一种基于信任机制的多层计算系统TMTC。它从两个方面保证了安全性和准确性。首先，TMTC对异常数据报告器和路由器进行两层信任评估。然后，TMTC启动差异化信任检测。总的来说，TMTC是第一个创新地将被动信任评估和主动信任检测相结合的系统, 在密集分布和均匀分布场景下都表现出优越的性能。