魏琴芳，程利娜，付 俊，胡向東

(1.重慶郵電大學 通信與信息工程學院，重慶 400065；2.中國移動研究院，北京 100033；3.重慶郵電大學 自動化學院，重慶 400065)

Josang信任模型的物聯(lián)網感知層安全數(shù)據(jù)融合方法

魏琴芳1，程利娜1，付 俊2，胡向東3

(1.重慶郵電大學 通信與信息工程學院，重慶 400065；2.中國移動研究院，北京 100033；3.重慶郵電大學 自動化學院，重慶 400065)

物聯(lián)網感知層通常涉及大量傳感器節(jié)點的運用，具有節(jié)點資源有限、分布廣泛、無人值守、數(shù)據(jù)冗余、攻擊容易等特點，實施安全數(shù)據(jù)融合是其必然選擇。為了保障物聯(lián)網感知層數(shù)據(jù)融合結果的真實性與可靠性，建立了一種結合數(shù)據(jù)預處理與節(jié)點信譽度評價的安全數(shù)據(jù)融合模型，利用粗大誤差理論將明顯偏離正常數(shù)據(jù)(或真值)的異常數(shù)據(jù)予以識別和剔除，基于概率統(tǒng)計理論計算和更新節(jié)點信譽度，只允許來源于高信譽度的節(jié)點數(shù)據(jù)參與數(shù)據(jù)融合，以Josang信任模型形成對數(shù)據(jù)融合結果的評價。仿真實驗結果表明，該模型不僅有助于確保物聯(lián)網感知層數(shù)據(jù)融合結果真實性與可靠性，而且基于粗大誤差的數(shù)據(jù)預處理方法可減少數(shù)據(jù)融合的計算量，降低對傳感器節(jié)點資源的需求。

物聯(lián)網；傳感器節(jié)點；數(shù)據(jù)融合；粗大誤差理論；信譽度

0 引 言

無線傳感器網絡作為物聯(lián)網感知層的核心組成部分之一，主要由大量部署在監(jiān)測區(qū)域內的低成本微傳感器節(jié)點組成，通過無線通信方式形成一個多跳的自組織網絡，可廣泛應用于生態(tài)監(jiān)測、健康護理、智慧交通、智能物流等眾多領域，是當前研究的一個熱點。然而傳感器網絡中節(jié)點的資源是非常有限的，這主要體現(xiàn)在電池能量、存儲能力、處理能力以及通信帶寬等方面，所以減少節(jié)點和基站間的數(shù)據(jù)傳輸量和通信開銷、提高能效和帶寬利用率顯得十分必要；且物聯(lián)網感知層所采集的原始數(shù)據(jù)一般具有較大的冗余性，因此，數(shù)據(jù)融合的需求就被提出，通過數(shù)據(jù)融合技術的運用可以去除采集數(shù)據(jù)中的冗余信息以及減少網絡中數(shù)據(jù)傳輸量，進而節(jié)省節(jié)點能量，延長網絡生命周期。

物聯(lián)網感知層中的大量傳感器節(jié)點通常部署在無人監(jiān)管的惡劣環(huán)境或安全敏感區(qū)域，使得網絡中的數(shù)據(jù)融合面臨著多種信息安全風險，如數(shù)據(jù)被竊聽、偽造、篡改和重放等攻擊，因此，安全的數(shù)據(jù)融合十分必要，相關研究得以開展[1]。

近年來，一些研究者從不同角度提出了不同的安全解決方案，其中，基于節(jié)點信譽度評價的數(shù)據(jù)融合方法得到了重視。為了量化數(shù)據(jù)融合結果的不確定性以及抵抗數(shù)據(jù)融合過程中節(jié)點被捕獲等攻擊，本文建立了一個改進的基于節(jié)點信譽度的安全數(shù)據(jù)融合模型(improved creditability-based data aggregation，ICBDA)，用以解決數(shù)據(jù)融合過程中數(shù)據(jù)源的安全問題，保證數(shù)據(jù)融合結果的真實性。

1 相關工作

到目前為止，研究者對數(shù)據(jù)融合的安全實現(xiàn)方法進行了多種方案的探索。

SIA(secure information aggregation)協(xié)議[2]首先給出數(shù)據(jù)融合節(jié)點的數(shù)據(jù)融合結果，然后采用高效的抽樣和交互證明來確保融合值是真實值的近似。SIA協(xié)議還給出對多種計算函數(shù)的聚集方法，如果想要得到可靠性較高的數(shù)據(jù)值，交互次數(shù)就會相應增加，為完成數(shù)據(jù)融合所消耗的節(jié)點資源也會明顯增多。

SecureDAV(secure data aggregation and verification)協(xié)議[3]使用密鑰共享方案為簇內節(jié)點分配密鑰，同時簇內節(jié)點對計算得到的簇內數(shù)據(jù)平均值進行部分簽名。此方案可以驗證融合數(shù)據(jù)的完整性，但是方案中只給出了計算平均值的聚集函數(shù)，公鑰密碼體制的應用將引入較大的計算量。

文獻[4]提出的安全數(shù)據(jù)聚合(secure data aggregation protocol，SDAP)方法基于分而治之原理，節(jié)點的樹形拓撲結構首先被動態(tài)地劃分為多個類似大小的邏輯組(即子樹)，接下來的數(shù)據(jù)融合將在各個邏輯組逐跳進行，數(shù)據(jù)融合結果最終被傳送到基站?；靖鶕?jù)這些邏輯組的融合結果集合識別可疑的數(shù)據(jù)融合邏輯組。

文獻[5]提出了一種高效安全的基于模式碼的數(shù)據(jù)融合協(xié)議(efficient and secure pattern based data aggregation，ESPDA)，該協(xié)議所進行的安全數(shù)據(jù)融合操作采用的是無任何物理意義的模式碼，在數(shù)據(jù)傳輸過程中，中間節(jié)點不關心信息的具體內容，也就沒必要對密文進行解密和再加密，這樣可確保數(shù)據(jù)的機密性并避免中間節(jié)點處消息被竊聽問題；基站周期性廣播密鑰也有助于保障數(shù)據(jù)的新鮮性。隨后，羅蔚等[6]提出一種高效安全的數(shù)據(jù)融合協(xié)議(efficient and secure data aggregation，ESDA)，采用模糊算法和模式碼來消除傳感節(jié)點所感知原始數(shù)據(jù)的冗余信息并執(zhí)行相應的數(shù)據(jù)融合操作，這有助于提高數(shù)據(jù)的機密性和傳感器節(jié)點的能效性。

Ganeriwal和Srivastava 在研究數(shù)據(jù)融合技術時，針對無線傳感器網絡提出了第一個基于聲譽的傳感器網絡框架(reputation based framework sensor networks，RFSN)信任模型[7]。該模型采用統(tǒng)計和決策理論，構建了一個十分有應用前景的分布式、可擴展的框架。RFSN信任模型把計算得到的信任值作為節(jié)點參與數(shù)據(jù)融合時所提供數(shù)據(jù)的權重。

文獻[8]提出的基于分布式聲譽機制的信標節(jié)點信任系統(tǒng)(distributed reputation based beacon trust system，DRBTS)方案將網絡中的節(jié)點分為傳感節(jié)點和信標節(jié)點，信標節(jié)點的提出是本方案的一個亮點，信標節(jié)點被用于確定傳感節(jié)點的位置。在該方案中，每個信標節(jié)點的主要任務是監(jiān)測其鄰居信標節(jié)點的行為，傳感節(jié)點采用簡單的多數(shù)投票機制來確定是否使用給定的信標位置信息，這樣做是為了把惡意信標節(jié)點報告的虛假位置信息給過濾掉。

文獻[9]提出的加權信任評價(weighted trust evaluation，WTE)方案是利用節(jié)點權值作為節(jié)點信譽值來進行數(shù)據(jù)融合的操作，再將實際值與數(shù)據(jù)融合結果作比較，結果不同，則說明對應的節(jié)點可疑，并用懲罰系數(shù)來降低該節(jié)點的信譽值，通過將信譽值和融合結果不斷迭代，最后篩選確定是否存在惡意節(jié)點。文獻[10]提出的加權置信過濾(weighted confidence filter，WCF)算法，在WTE算法基礎上進行了一定程度的改進，該算法過濾掉信譽值在平均信譽值以下的節(jié)點，只允許剩余的節(jié)點參與之后的數(shù)據(jù)融合，此方案較WTE而言，其數(shù)據(jù)融合值更接近于實際值。

上述安全方案或者增加了節(jié)點間的交互次數(shù)，或者對節(jié)點的計算與存儲資源提出了過高的挑戰(zhàn)。本文建立的ICBDA模型首先根據(jù)粗大誤差判別準則識別并拒絕差值較大的節(jié)點感知數(shù)據(jù)，然后參考Josang信任模型，利用正態(tài)分布規(guī)律計算節(jié)點信譽值，信譽值高于預設閾值的節(jié)點參與數(shù)據(jù)融合，最后對數(shù)據(jù)融合結果進行評價，用評價的期望來表達對數(shù)據(jù)融合結果的可信賴程度。

2 網絡模型假設

本文假設網絡為層次型結構，由多個簇組成，每一個簇都由一個簇頭節(jié)點和若干普通節(jié)點構成，簇頭主要負責將來自普通節(jié)點的數(shù)據(jù)進行融合，并將數(shù)據(jù)融合結果通過多跳路由發(fā)送給基站。因為相比于平面型網絡，層次型結構網絡非常適合于大規(guī)模節(jié)點部署，具有更好的應用適應性，且引入數(shù)據(jù)融合有助于減少網絡數(shù)據(jù)傳輸量，降低節(jié)點的數(shù)據(jù)傳輸能耗。

層次型結構如圖1所示，SN代表普通節(jié)點，F(xiàn)N代表簇頭節(jié)點，BS代表基站。本文中還對網絡做如下假設：①基站位于網絡的頂層，是傳感器網絡和應用網絡的聯(lián)接點，有強大的計算能力、足夠的內存和豐富的能量，基站是完全可信的；②物聯(lián)網感知層因傳感器節(jié)點眾多、分布密集，其采集的數(shù)據(jù)具有冗余性；③網絡部署初期，所有節(jié)點都是安全可信的，且具有相同的能量、相同的儲存能力、相同的處理能力，每個節(jié)點都有獨立的ID標識[11]。

3 改進的安全數(shù)據(jù)融合模型

3.1 整體思路

文獻[12]建立了基于信譽度的安全數(shù)據(jù)融合模型(creditability based data aggregation，CBDA)，融合節(jié)點根據(jù)簇成員節(jié)點的采樣數(shù)據(jù)，得到每個成員節(jié)點的信譽度，只允許有高信譽度節(jié)點的采樣數(shù)據(jù)參與融合操作，計算融合結果并對其進行評價；將融合結果及其評價傳給匯聚節(jié)點(即基站)用于決策利用。即使部分節(jié)點被捕獲，該安全數(shù)據(jù)融合模型仍能保證融合結果的真實性，即具有較好的容錯性。

圖1 層次型結構圖Fig.1 Hierarchical structure

但該模型還存在一些明顯的問題。例如，融合節(jié)點要計算所有普通成員節(jié)點的信譽值，這是對本就匱乏的網絡資源的一種浪費。另外，該模型計算節(jié)點信譽值的方法，所用成員節(jié)點的歷史累積信譽可能會掩飾其當前的惡意行為。

本文重點針對CBDA模型存在的問題進行了改進，改進后的基于節(jié)點信譽度的安全數(shù)據(jù)融合模型流程如圖2所示。融合節(jié)點在接收成員節(jié)點發(fā)送來的感知信息之后，首先，通過誤差理論識別明顯偏離附近節(jié)點感知結果的數(shù)據(jù)，將其當作惡意數(shù)據(jù)或錯誤數(shù)據(jù)予以剔除；然后，計算和更新剩余成員節(jié)點的信譽值，確定信任節(jié)點；最后，融合節(jié)點只利用高信譽度節(jié)點的感知數(shù)據(jù)進行融合操作，對融合結果進行評價，并將融合結果和對結果的評價一起傳輸給匯聚節(jié)點，用來供基站完成最終的決策與數(shù)據(jù)利用。

由于物聯(lián)網感知層中傳感器節(jié)點具有分布密集的特點，地里位置上鄰近的節(jié)點采集的數(shù)據(jù)必定存在冗余信息，基于統(tǒng)計和信息理論，通過檢測節(jié)點所發(fā)送的感知數(shù)據(jù)來推定節(jié)點的信譽度，用來衡量每個節(jié)點可信賴的程度；根據(jù)節(jié)點信譽度的高低來決定是否采用其所采集數(shù)據(jù)進入數(shù)據(jù)融合操作，因此，每個融合結果和一個信譽度評價相關聯(lián)，實現(xiàn)對融合結果不確定性的度量。

該方法的主要改進在于：要求簇頭在計算成員節(jié)點信譽值之前，首先識別并剔除具有惡意傾向節(jié)點的數(shù)據(jù)(基于無線傳感器網絡的數(shù)據(jù)具有冗余性和該類節(jié)點采集的數(shù)據(jù)明顯偏離附近節(jié)點的數(shù)據(jù))，不再計算其信譽值，其發(fā)送的數(shù)據(jù)不參與融合操作，這樣既可以節(jié)約網絡中的能量資源，又可以避免因為成員節(jié)點的歷史累積信譽對其當前惡意行為的掩飾，還可以得到較高的融合結果的評價，即對融合結果的可信賴程度越高。

圖2 安全數(shù)據(jù)融合流程Fig.2 Flowchart of secure data aggregating

3.2 偏離正常感知數(shù)據(jù)的識別與剔除

物聯(lián)網感知層傳感器節(jié)點的主要功能是收集并返回節(jié)點所在監(jiān)測區(qū)域的環(huán)境信息或被監(jiān)測對象的狀態(tài)數(shù)據(jù)，如被監(jiān)測區(qū)域的溫度、濕度等。一方面，物聯(lián)網感知層中節(jié)點數(shù)量眾多、地理位置上鄰近節(jié)點所感知的數(shù)據(jù)具有冗余性；另一方面，這些節(jié)點通常無法得到普遍的有人值守和維護，容易受到捕獲、截聽、惡意控制等攻擊，出現(xiàn)惡意節(jié)點，從而發(fā)出偏離正常值的感知數(shù)據(jù)，即惡意節(jié)點要達到自己破壞、擾亂系統(tǒng)正常工作的目的，總是會發(fā)出與其鄰近正常節(jié)點相差較大的錯誤或虛假數(shù)據(jù)，基于該數(shù)據(jù)得出的測量結果不具有真實性或新鮮性等特征，也就不具有應用價值，嚴重時可能導致決策錯誤。因此，必須發(fā)現(xiàn)和剔除這類含有較大差值的感知數(shù)據(jù)，從而隔離惡意節(jié)點對測量結果的影響。

要識別出偏離正常的感知數(shù)據(jù)，本文基于誤差理論的知識采用粗大誤差判別準則來進行識別。粗大誤差判別準則主要包括3σ準則、羅曼諾夫斯基準則、格羅布斯準則和狄克松準則等，前3種粗大誤差判別準則均需先求出被檢驗數(shù)據(jù)(即參與融合的數(shù)據(jù))的標準差σ，計算過程相對復雜，對資源的需求較高，而狄克松準則用極差比的方法，得到簡化而嚴密的結果，避免了這一點[13]。鑒于傳感器節(jié)點資源受限的特點，這里選用對計算資源要求相對不高的狄克松準則。

對于測量值u1,u2,…,un的由小到大順序統(tǒng)計量u(i)的分布，當ui服從正態(tài)分布時，得到最大值u(n)的統(tǒng)計量表示為

(1)

同樣地，最小值u(1)的統(tǒng)計量可表示為

(2)

為了剔除粗大誤差，狄克松準則認為n≤7時，選用r10效果好；8≤n≤10時，選用r11效果好；11≤n≤13時，選用r21效果好；n≥14時，選用r22效果好。這里的n代表參與融合的數(shù)據(jù)個數(shù)，如以簇為單位進行融合時，n就是簇內節(jié)點數(shù)。

選定顯著度α(其取值為0.01或0.05 2種情形)，結合參與融合的數(shù)據(jù)個數(shù)n，根據(jù)狄克松準則查表可得到對應的統(tǒng)計量的臨界值r0(n,α)，如果測量的統(tǒng)計值rij大于臨界值，則認為u(n)或u(1)含有粗大誤差。

例如，物聯(lián)網感知層同一個簇內15個節(jié)點某一時刻感知到的環(huán)境溫度(單位：℃)分別為20.42，20.43，20.40，20.43，20.42，20.43，20.39，20.30，20.40，20.43，20.42，20.41，20.39，20.39，20.40。先將數(shù)據(jù)由小到大進行排序，得到最小值u(1)=20.30；最大值u(15)=20.43；如果選用顯著度α=0.05，查表可知統(tǒng)計量的臨界值r0(15,0.05)=0.525；然后分別對u(15)，u(1)根據(jù)(1)式或(2)式計算統(tǒng)計量r22的值，根據(jù)計算結果可知：對u(15)而言，r22=0，小于r0(15,0.05)，故其不含有粗大誤差，應保留；對u(1)而言，r22=0.692，大于r0(15,0.05)，故其含有粗大誤差，說明20.30 ℃這個溫度采集值明顯偏離正常的感知溫度，不被納入數(shù)據(jù)融合范圍，其對應的節(jié)點被認為是惡意節(jié)點，應從網絡中予以剔除。按照同樣的方法，對剩下的14個數(shù)據(jù)，重復上述步驟，直到所有數(shù)據(jù)中不再含有粗大誤差，所有可能的惡意節(jié)點被剔除。

3.3 節(jié)點信譽度的計算和更新

無線傳感器網絡中包含的傳感器節(jié)點成千上萬個，它們在各自的分布區(qū)域內獨立地感測外界環(huán)境；一般情況下，這些傳感器節(jié)點所感知的數(shù)據(jù)遵循正態(tài)分布規(guī)律，而被捕獲后的正常節(jié)點或惡意節(jié)點發(fā)出的數(shù)據(jù)將會明顯偏離正態(tài)分布(否則達不到破壞系統(tǒng)的目的)，因此，可參考Josang信任模型[14]，利用正態(tài)分布規(guī)律計算節(jié)點的信譽度值。理想情況下，正態(tài)隨機變量的取值在距離中心值[-σ,+σ]的概率為0.68(即伯努利分布)，當存在惡意節(jié)點經常報告?zhèn)卧鞌?shù)據(jù)時，實際概率分布就會與此概率不一致。以理想情況下的節(jié)點概率為標準，理想節(jié)點概率分布和實際節(jié)點概率分布的差異用距離來表征，這個距離能夠代表節(jié)點信譽值。距離越小，節(jié)點的信譽度越高，反之亦然。

令某節(jié)點輸出數(shù)據(jù)頻率在距離中心值一倍標準差范圍內的概率為pi，則在此范圍外的概率為1-pi，那么它的偏離程度可表示為

(3)

本文定義對應節(jié)點的信譽值為

(4)

(4)式中，k是懲罰因子。前半部分是一個指數(shù)運算，能夠使得接近理想概率的節(jié)點得到比遠離理想概率的節(jié)點高得多的信譽值，并能夠反映一個節(jié)點的歷史累積行為；后半部分是一個懲罰措施。懲罰因子的引入有助于對節(jié)點信譽值計算和更新時達到慢增快減的效果，便于快速發(fā)現(xiàn)和識別惡意節(jié)點，這對物聯(lián)網感知層的應用是十分有利的。隨著迭代次數(shù)的增加，節(jié)點的信譽值不斷累積更新，如果節(jié)點的當前信譽值低于系統(tǒng)預設的閾值T0時，系統(tǒng)自動將其判定為惡意節(jié)點，其提供的數(shù)據(jù)不再被采用。

ICBDA模型中節(jié)點的信譽值可以分為累積信譽值和當前信譽值，累積信譽值是對節(jié)點過去感知數(shù)據(jù)的信賴程度的評定，它可以反映一個節(jié)點的歷史累積行為，當前信譽值則是指節(jié)點當前時刻采樣數(shù)據(jù)的信譽度，它具有實時性。該模型在數(shù)據(jù)融合中采用的是節(jié)點的當前信譽值，在節(jié)點當前信譽值的計算和更新時參考了節(jié)點的累積信譽值。

3.4 數(shù)據(jù)融合

ICBDA模型利用高信譽值節(jié)點輸出值進行加權數(shù)據(jù)融合，加權融合方法如圖3所示，T和u分別代表節(jié)點的信譽值和感知數(shù)據(jù)。

圖3 加權融合示意圖Fig.3 Schematic of weighted aggregating

融合節(jié)點根據(jù)各個普通節(jié)點的信譽值和感知數(shù)據(jù)，按(5)式計算加權融合結果

(5)

(5)式中：U是融合結果；Th是高信譽度閾值；ui是第i個節(jié)點采集的數(shù)據(jù)；n是參與數(shù)據(jù)融合的節(jié)點個數(shù)。只有節(jié)點信譽值高于Th的節(jié)點數(shù)據(jù)才能參與加權數(shù)據(jù)融合，融合過程中使用的權值即為節(jié)點的信譽值Ti。這里只允許信譽值高于閾值的節(jié)點數(shù)據(jù)參與融合，既隔離了惡意節(jié)點數(shù)據(jù)對融合結果的影響，又減少了數(shù)據(jù)融合的計算量。

3.5 融合結果的評價

針對數(shù)據(jù)融合結果以及數(shù)據(jù)流中的不確定因素的處理問題，本文采用Josang信任模型，該模型通過一個被稱為評價的信任來度量對于某種聲明的可信賴程度[12]。

定義評價W=(b,d,u,a)，其中，a,b,d,u分別表示對融合結果U的相對系數(shù)、信任度、不信任度和不確定度，它們應滿足b+d+u=1，a∈[0,1]。

評價的期望概率可表述為

E(W)=b+u×a

(6)

即期望概率取決于信任度和不確定度的綜合結果，a的作用是決定不確定度對評價期望概率的貢獻程度。

針對物聯(lián)網感知層的安全數(shù)據(jù)融合結果的可信賴程度，我們基于Josang信任模型借助 “評價”來衡量，信任模型是基于節(jié)點數(shù)據(jù)的統(tǒng)計理解實現(xiàn)對節(jié)點的信任評價，即度量源于感知數(shù)據(jù)的統(tǒng)計特征，普通節(jié)點的累積信譽和實時行為數(shù)據(jù)被融合節(jié)點不斷地進行分析來更新其信譽度。在得出節(jié)點的信譽值和融合結果后，融合節(jié)點就能夠形成對融合結果的評價，對應著融合結果的可信任程度。

數(shù)據(jù)融合結果評價的期望與節(jié)點的當前信譽值和累積信譽值是密切相關的，通過(6)式可以知道評價的期望概率取決于節(jié)點的信任度和不確定度，即節(jié)點信譽值的大小，節(jié)點信譽值包括節(jié)點累積信譽值和當前信譽值。ICBDA模型在計算節(jié)點當前信譽值時加入了一個懲罰措施，這有助于節(jié)點信譽值計算和更新時達到慢增快減的效果，可避免成員節(jié)點的歷史累積信譽掩飾其當前的惡意行為，因此，可以得到較高的數(shù)據(jù)融合結果評價的期望。

4 實驗仿真與模型評估

假設物聯(lián)網感知層的傳感器節(jié)點網絡已通過分簇算法形成了若干個簇，每個簇有一個簇頭節(jié)點和若干個成員節(jié)點，每個節(jié)點的感知數(shù)據(jù)遵循正態(tài)分布規(guī)律。采用MATLAB仿真平臺對ICBDA模型進行評估。

仿真參數(shù)主要包括實驗迭代輪數(shù)R，網絡中惡意節(jié)點比率P，信譽懲罰因子k，數(shù)據(jù)融合信任閾值門限Th和簇內節(jié)點個數(shù)n，本文仿真實驗中它們的取值分別為30，0.02，0.06，0.5和30；30個簇內節(jié)點中，假設前3個節(jié)點為惡意節(jié)點。

4.1 節(jié)點信譽值比較

簇內節(jié)點信譽值是安全數(shù)據(jù)融合模型的一個重要指標，是影響數(shù)據(jù)融合結果可靠性、可信度和融合效率的一個主要因素。

ICBDA模型和CBDA模型的節(jié)點信譽值比較如圖4所示。由圖4可見，2種模型的前3個節(jié)點的信譽值都明顯低于其余節(jié)點的信譽值，這是因為仿真實驗設定前3個節(jié)點被假設為惡意節(jié)點。另外，ICBDA模型相比于CBDA模型，其惡意節(jié)點信譽值更低，而正常節(jié)點的信譽值明顯更高，這是因為ICBDA模型在計算成員節(jié)點信譽值之前，通過狄克松準則識別出包含粗大誤差感知數(shù)據(jù)的節(jié)點，其感知的數(shù)據(jù)并不參與數(shù)據(jù)融合，這可增加節(jié)點輸出數(shù)據(jù)落在距離一倍標準差范圍內的概率，從而有助于提高正常節(jié)點的信譽值；而CBDA模型并沒有這樣的機制，即使出現(xiàn)包含粗大誤差的感知數(shù)據(jù)仍要參與數(shù)據(jù)融合操作。

圖4 節(jié)點信譽值對比Fig.4 Comparison of node creditability

4.2 數(shù)據(jù)融合結果及其評價的比較

數(shù)據(jù)融合值是評判數(shù)據(jù)融合結果準確性的一個重要依據(jù)。

理想情況、ICBDA模型和CBDA模型的數(shù)據(jù)融合值對比如圖5所示。其中，理想情況數(shù)據(jù)融合值表示簇內沒有惡意節(jié)點存在的情況下得到的數(shù)據(jù)融合結果，即無干擾的真實結果。由圖5可見，ICBDA模型的數(shù)據(jù)融合值和真實值比較接近，而CBDA模型的數(shù)據(jù)融合值偏離真實值的程度更大，這是因為ICBDA模型對參與融合的數(shù)據(jù)進行了嚴格的篩選，提高了參與數(shù)據(jù)融合的真實感知數(shù)據(jù)的比例，從而改善了數(shù)據(jù)融合結果的準確性。

圖5 數(shù)據(jù)融合值對比Fig.5 Comparison of data aggregating value

融合結果的評價和評價的期望有助于進一步衡量數(shù)據(jù)融合結果的可信賴程度。

ICBDA模型和CBDA模型的數(shù)據(jù)融合結果評價期望值對比如圖6所示。由圖6可見，ICBDA模型的期望值普遍高于CBDA模型，這是因為ICBDA模型在計算節(jié)點信譽值時引入一個懲罰措施，這可避免成員節(jié)點的歷史累計信譽掩飾其當前的惡意行為，從而提高了對數(shù)據(jù)融合結果評價的期望。即ICBDA模型的數(shù)據(jù)融合結果更值得信賴。

圖6 數(shù)據(jù)融合結果評價期望值對比Fig.6 Comparison of estimate expectation for data aggregating results

4.3 模型的效率優(yōu)勢和適應性

改進的ICBDA模型摒棄了CBDA模型中融合節(jié)點需要計算所有普通成員節(jié)點信譽值的做法，而是首先基于誤差理論，選用對計算資源要求不高的狄克松判別準則來識別并剔除惡意節(jié)點，不再計算其信譽值，也不接受其數(shù)據(jù)參與融合操作，從而減少計算量，大大提高數(shù)據(jù)的處理效率；同時，這種方法對資源嚴格受限的物聯(lián)網感知層是友好的，具有良好的適應性。

5 結 論

作為“互聯(lián)網+”的典型代表，物聯(lián)網在互聯(lián)網基礎上進行了感知層的拓展，由此引出了感知層的數(shù)據(jù)融合及其安全問題。本文以提升物聯(lián)網感知層數(shù)據(jù)融合結果的安全性為目標，結合網絡中節(jié)點資源有限的突出特點，運用粗大誤差理論、概率統(tǒng)計理論和Josang信任模型建立了一個改進的結合數(shù)據(jù)預處理與節(jié)點信譽度評價的安全數(shù)據(jù)融合模型—ICBDA，該模型首先基于粗大誤差理論將明顯偏離正常數(shù)據(jù)(或真值)的異常數(shù)據(jù)予以識別和剔除；然后，基于概率統(tǒng)計理論計算和更新節(jié)點信譽度，只允許高信譽度的節(jié)點數(shù)據(jù)參與數(shù)據(jù)融合操作；最后，基于Josang信任模型得到對數(shù)據(jù)融合結果的評價。該模型本質上是將對節(jié)點的信譽度評價轉化成節(jié)點感知數(shù)據(jù)的統(tǒng)計處理，以物聯(lián)網感知層傳感器節(jié)點所感知信息的統(tǒng)計特征為度量標準，基于分析計算節(jié)點的累積信譽和實時行為特征得出其信譽度，并濾除低信譽值節(jié)點的數(shù)據(jù)，從而實現(xiàn)既降低惡意節(jié)點對融合結果的影響，又減少數(shù)據(jù)融合操作對系統(tǒng)資源的需求。仿真實驗結果驗證了所建立的ICBDA模型在節(jié)點信譽、融合結果和融合性能等方面的改進，有助于提升物聯(lián)網感知層數(shù)據(jù)融合的安全性。

[1] 胡向東,魏琴芳,向敏,等.物聯(lián)網安全[M].北京：科學出版社，2012:115-120. HU Xiangdong, WEI Qinfang, XIANG Min, et al.The Internet of things security[M].Beijing:Science Press, 2012:115-120.

[2] PRZYDATEK B,SONG D,PERR IG A. Sia: secure information aggregation in sensor networks[C]//ACM.Proceedings of the 1st ACM International Conference on Embedded Networked Sensor Systems.New York:ACM,2003: 255-265.

[3] MAHIMKAR A,RAPPAPORT T S. SecureDAV: a secure data aggregation and verification protocol for sensor networks[C]//IEEE.IEEE Global Telecom-munications Conference,2004.New York: IEEE,2004: 2175-2179.

[4] YANG YI, WANG Xinran, ZHU Sencun,et al. SDAP: a secure hop-by-Hop data aggregation protocol for sensor networks[C]//Proc of the Seventh ACM International Symposium on Mobile Ad Hoc Networking and Computing, Florence, Italy. New York:ACM,2006,356-367.

[5] CAM H,OZDEMIR S,SANLI H O.ESPDA: energy efficient and secure pattern based data aggregation for wireless sensor networks[C]// IEEE.Proceedings of the 2nd IEEE Conference on Sensors.New York: IEEE Society Press,2003: 732-736.

[6] 羅蔚,胡向東.無線傳感器網絡中一種高效的安全數(shù)據(jù)融合協(xié)議[J].重慶郵電大學學報:自然科學版,2009,21(1):110-114. LUO Wei, HU Xiangdong. An efficient security data fusion protocol in wireless sensor network[J]. Journal of Chongqing University of Posts and Telecommunications:Natural Science Edition, 2009,21(1):110-114.

[7] GANERIWAL S, BALZANO L K, SRIVASTAVA M. Reputation based framework for high integrity sensor networks[J].ACM Transactions on Sensor Networks,2008,4(3):1-37.

[8] SRINIVASAN A, TEITELBAUM J, WU J.DRBTS: distributed reputation based beacon trust system[C]//IEEE.Proceedings of the 2nd IEEE International Symposium on Dependable, Autonomic and Secure Computing, Indianapolis, USA. New York: IEEE，2006：277-283.

[9] ATAKLI I, HU H, CHEN Y. Malicious node detection in wireless sensor networks using weighted trust evaluation[C]//ACM.Hassan Rajaei. Spring Simulation Multiconference.Ottawa, Canada: ACM Press, 2008:836-843.

[10] HU Xiangdong, YU Pengqin, WEI Qinfang. Securing sensor networks based on optimization of weighted confidence[J].China Communications,2012(8): 122-128.

[11] 崔慧,潘巨龍,閆丹丹.無線傳感器網絡中基于安全數(shù)據(jù)融合的惡意節(jié)檢測[J].傳感技術學報,2014,27(5):664-669. CUI Hui, PAN Julong, YAN Dandan. Based on security data fusion of malicious node detection in wireless sensor network[J]. Journal of Sensing Technology, 2014,27(5):664-669.

[12] HU Xiangdong,WEI Qinfang,TANG Hui. Model and simulation of creditability-based data aggregation for the internet of tings[J].Chinese Journal of Scientific Instrument,2010,31(11): 2636-2640.

[13] 費業(yè)泰.誤差理論與數(shù)據(jù)處理[M].北京：機械工業(yè)出版社,2007:43-49. FEI Yetai. The error theory and data processing[M]. Beijing:China Machine Press, 2007:43-49.

[14] JOSANG A, ISMAIL R, BOYD C. A survey of trust and reputation systems for online service provision[J]. Decision Support Systems, 2007, 43(2): 618-644.

魏琴芳(1971-)，女，云南曲靖人，重慶郵電大學高級工程師，主要研究方向為無線通信與編碼等。E-mail:weiqf@cqupt.edu.cn。

程利娜(1988-)，女，河南濮陽人，重慶郵電大學碩士研究生，主要研究方向為無線通信與物聯(lián)網技術等。E-mail:641041551@ qq.com。

(編輯：王敏琦)

Secure data aggregating methods by means of Josang trust models for the sensing layer of the internet of things

WEI Qinfang1, CHENG Lina1, FU Jun2, HU Xiangdong3

(1.School of Communication and Information Engineering, Chongqing University of Posts and Telecommunications,Chongqing 400065, P. R. China；2．Research Institute of China Mobile, Beijing 100033,P.R.China； 3.College of Automation, Chongqing University of Posts and Telecommunications, Chongqing 400065, P. R. China)

The sensing layer of internet of things(IoT) usually involves a large number of sensor nodes, which is characterized by limited nodes resources, wide distribution, unmanned operation, data redundancy, easy attack, etc. Carrying out secure data aggregation is thus necessary for IoT sensing layer. In order to guarantee the authenticity and reliability of the results from data aggregation of IoT sensing layer, a secure data aggregating model combining with data preprocessing and node creditability evaluation is proposed. Firstly, the abnormal data obviously deviated from normal data (or true value) are identified and eliminated by means of gross error theory. Then nodes creditability are calculated and updated by means of probability and statistics theory, and nothing but the data of nodes with high creditability is allowed to involve in data aggregation. Finally, the model gains an evaluation of the results of data aggregation by means of Josang trust model. The simulation experiment results show that the model not only helps to guarantee authenticity and reliability of data aggregation results from IoT sensing layer, but also can reduce the calculating overload of data aggregation and the demand for sensor node resources by means of data preprocessing method based on gross error theory.

internet of things; sensor nodes; data aggregation; gross error theory; creditability

10.3979/j.issn.1673-825X.2016.06.021

2015-12-11

2016-06-02

魏琴芳 weiqf@cqupt.edu.cn

國家自然科學基金(61170219)；教育部-中國移動聯(lián)合研究基金(MCM20150202)

Foundation Items：The National Natural Science Foundation of China (61170219); The Joint Research Foundation of the Ministry of Education of the People’s Republic of China and China Mobile (MCM20150202).

TP393；TN915

A

1673-825X(2016)06-0876-07