基于组合赋权−云模型的LTE-R系统的安全评估研究

陈永刚，周净毓，戴乾军，李响

(兰州交通大学 自动化与电气工程学院，甘肃 兰州730070)

LTE-R 作为铁路下一代移动通信系统的研究发展方向，LTE-R 通信系统在列车运行控制中处于核心位置，可承担高铁通信网络的各类核心业务，且对铁路出行的安全性具有重要作用。2015年，中国铁路总公司联合各大高校及研究院成立LTE-R 研究工作组，为相关标准的制定及建立安全评估体系提供基础[1]。2018年，京沈高铁开始对LTE-R 系统进行动态试验。在普遍应用并建设LTE-R 系统前，建立良好的安全风险评估体系对运营效率及行车安全有着重要的作用，因此对LTE-R 系统进行安全风险分析的研究有着重要意义。目前，国内外针对LTE-R 系统安全性的研究主要有：邹引等[2-5]通过对LTE-R 系统各项服务指标的服务质量进行测试验证，并指出在列控系统中的RAM(可靠性、可用性、可维护性)及在通信安全方面的CIA(机密性、完整性、可用性)十分重要。Lee 等[6]通过分析LTE-R 通信环境的攻击风险，进而检查系统的安全性。QU等[7]通过多种大数据技术对我国朔黄铁路公司LTE-R 网络运维数据进行分析优化，在实际应用中，提出一种在实际应用中针对LTE-R 网络的安全优化措施。高志远[8]应用马尔可夫模型及可靠性框图法等对LTE-R 通信系统的可靠性进行综合分析。腾辉[9]采用预先危险分析法及灰色多层次综合评价法对LTE-R 网络进行安全评估并提出改进方案。见当前LTE-R 通信系统安全性评估存在单一性的缺陷。较与其他铁路系统安全性评估，如CBTC 系统、应答器系统和CTCS-3 级列控系统等的安全评估研究，故障树分析法、层次分析法及灰色综合评价方法等应用广泛。在安全性评价方面，故障树分析法存在着故障分析单一的缺点。层次分析法一致性检验存在弊端，本文采用的方法对上述缺点进行改进，并将不确定信息的模糊性用云模型的方式更好的处理表达。针对以上特点，综合定性与定量分析，提出基于主、客观组合赋权及云模型的安全评价方法，应用模糊层次分析法(FAHP)和CRITIC 方法进行组合赋权，最后通过云模型进行定性和定量转换，并选择某平台测试数据，结合专家评分计算，验证该方法的可行性。

1 LTE-R 通信系统简介

LTE-R 通信网络由接入网E-UTRAN 和核心网EPC 2 部分构成。其硬件设备主要由基站设备、核心设备及相关服务器构成。具体LTE-R 网络架构如图1所示，接入网由基站eNodeB 及移动终端组成，核心网则由各类网关、服务器及移动管理实体MME 等组成。在整个系统中起到了信令交换、数据过滤、资源管理及流量收费等多种功能。在LTE-R通信系统安全风险分析中，除去设备实体的故障风险外，仍存有网络安全被攻击、隐私泄露或被超额计费的风险，主要体现在核心网接口安全和协议安全2 个方面。网络安全对于保障系统承载业务的安全具有根本的作用，所以要从多角度对该系统进行安全风险分析。

图1 LTE-R 通信系统架构Fig.1 Architecture of LTE-R communication system

2 组合赋权法

2.1 FAHP

FAHP是由A.L.Saaty提出的基于层次分析法基础上并对其进行改进的一种系统分析方法。主要包括模糊一致判断矩阵的构造、通过矩阵计算权重的方法不同。改进了AHP 多次调整才具备一致性的弊端。综上，本文选用FAHP 作为主观权重计算方法。

2.1.1 建立模糊判断矩阵

将总目标层设为G，1 级指标层的集合为{A1,A2,…,An}，2 级指标层的集合为{B1,B2,…,Bn}，依次类推，专家依照指标体系进行打分并结合表1建立模糊判断矩阵C，在有n个元素的前提下，数值cnn为自身比较，其结果皆为0.5，cij为同一指标层下元素i与元素j的相对重要度的比较结果，如c21为第2 个元素与第1 个元素相比较的结果，同理得到矩阵C。

表1 模糊数量标度及其意义Table 1 Scales and meanings of blur amounts

2.1.2 模糊互补判断矩阵的权重计算

当矩阵C满足cii=0.5，cij+cji=1(i,j=1,2,3,…)时，则称C为模糊互补判断矩阵。若存在k(k=1,2,…,n)使得：

则称C=(cij)n×n为模糊一致判断矩阵，当该模糊判断矩阵为不一致矩阵时，可根据文献[10-11]提出的方法进行调整。

最后通过最小二乘法得到权重计算的通用公式：

2.1.3 一致性检验

一致性检验的目的主要是判断所得权重值是否合理，当决策者判断思维保持一致时，才能得到有效的排序向量。本文采用相容性来检验其一致性，从而确定计算的权重向量作为决策依据是否可靠。

对2 个n n× 阶模糊判断矩阵C和B，有：

其中：I(C,B)为矩阵C和B的相容性指标。

设w＝ (w1,w2,… ,wn)T为模糊判断矩阵A的排序向量，则有W＝(wij)为A的权重矩阵，且排序向量w满足：

当I(C,w*)≤s时，说明该判断矩阵符合一致性检验，其中s为决策者态度，s取值0.1。

2.2 CRITIC 法

CRITIC 法作为一种客观赋权方法，相较于传统的熵权法和标准离差化法等客观赋权方法，该方法不仅考虑到指标变异大小，还考虑到了指标间冲突性对客观权重的影响，所以，本文选用CRITIC法作为LTE-R 通信系统客观赋权方法。

2.2.1 指标预处理

鉴于各指标具有不同量纲，为解决这一不可横向比较指标的矛盾，要对各指标进行无量纲化处理，主要有以下2 种情况。

1)若第i指标层，第j项指标值越高越好时，则：

2)若第i指标层，第j项指标值越低越好时，则：

2.2.2 指标权重的确定

该方法的权重值大小主要由对比强度及指标间冲突性来衡量，设Cj为同一指标层下的第j个指标所含信息量，当信息量的数值越大时，证明该指标的重要性越强。设rij为第i个评价指标和第j个评价指标的关联度表示，δj为各指标量化后的标准差，则：

由此，第j个指标的权重Zj为：

2.2.3 综合权重值的确定

在解决多属性决策系统的问题中，合理确定权重分配是一项重要问题，既要兼顾决策者的主观经验权重，又要合理调节客观状态的权重占比。在此分别采用线性加权组合、乘法合成法组合对主观权重和客观权重加以综合，并进行对比分析，计算公式为：

其中：Yi代表指标的综合权重值；η代表主观权重影响系数，且0＜η＜1；Wi代表主观权重值；Zi代表客观权重值。

3 云模型

3.1 云定义

设U是一个定量论域，T是U上的一个定性概念，在U中有一元素x(x∈U)是对T的隶属度yi∈[0,1]有一稳定倾向的随机数，则定性概念T从论域U到区间[0,1]的映射在数域空间分布称做云，每一个x的随机实现称做云滴。

3.2 云的数字特征

云模型中，用期望Ex(Expected Value)，熵En(Entropy)和超熵He(Hyper Entropy)来反应定性概念的定量特征。如图2，以某正态云模型为例，期望Ex代表定性概念，在标准云模型中表示云的重心位置，熵En作为定性概念的模糊性的度量，超熵He则作为熵的不确定性度量，反映了云滴分布的离散程度。若将云模型的评语集分为n个子区间，其中为第i(1＜i＜n)个子区间的双边约束条件，则有：

其中：k为常数。

图2 云模型数字特征Fig.2 Digital characteristics of the cloud model

3.3 云模型发生器

云模型发生器包括正向云发生器和逆向云发生器，用于实现数值和不确定性的转换。正向云发生器是从定性到定量的映射，输入量有Ex，En，He和N，输出量为N个云滴的定量值。反之则为逆向云发生器，如图3所示。

图3 云模型发生器Fig.3 Cloud model generator

其中正向云发生器计算步骤如下：

1)产生以期望值为Ex，方差为En的随机数xi；

2)生成以期望值为En，方差为He的随机数Eni；

3)具有确定度yi的xi为其中的一个云滴，

4 LTE-R 通信系统安全风险评估

4.1 综合评价模型原理及流程

首先，利用组合赋权-云模型方法对评价体系进行赋权并计算，然后对结果进行分析比对，最终确定安全性评价等级，具体分析流程如图4所示。

详细步骤如下所述。

Step 1：构建通信系统的安全性评价指标体系，依据现有LTE-R 检测项目数据及环境管理等各个方面分层建立评价指标。

Step 2：确立安全性评价等级，确立各个等级的云数字特征并绘制综合标准评价云模型。

Step 3：分别利用主、客观权重法对指标体系的各层指标进行指标权重值的计算，并利用2 种不同的组合赋权方式求得最终综合权重值。

Step 4：将获取的权重数据进行计算，求取样本综合确定度，而后对安全性能评估定级。求取综合确定度的方法将在下文中详细描述[12]。

图4 LTE-R 通信系统安全性分析流程Fig.4 Safety analysis flow of LTE-R

4.2 评价模型的构建

4.2.1 评价指标体系的构建

对LTE-R 通信系统进行安全性评估，首先要建立该系统的指标评价体系，以该系统的承载业务及各设备或业务节点的故障因果关系为出发点，同时结合LTE-R 应用技术及QoS 评价标准[13-14]，综合系统管理部门和物理环境，将指标评价体系从宏观角度分为业务安全、物理安全、网络安全、管理安全共4 个方面，具体详细指标建立如图5所示。

其中，业务安全是通信系统安全的核心，良好完成系统所承载业务的传输是通信系统的基本要求。物理安全是系统安全的前提。而网络安全不仅要具备完好的网络安全防护体系，还要有良好的网络覆盖设计。管理安全则是对整个LTE-R 系统的管理，不仅关系到软、硬件设备的管理，还涉及到对人员、相关制度及系统风险的管理[15]。

为使得评价指标体系构建符合系统性、科学性、全面性和可比性的要求，在系统安全性评价中，加入了对系统业务、物理环境、网络及管理安全的评价。

4.2.2 综合评价集云模型的构建

根据上述LTE-R 通信系统安全评估指标集以及综合确定度取值范围，同时参考文献[7]建立5 个评分等级，分别为“优秀”、“良好”、“一般”、“较差”、“差”，具体各等级评分特征值如表2所示。同时依据表2建立对应的安全性评价云模型，如图6所示。

4.3 权重的确定

4.3.1 基于模糊层次分析法的主观权重计算

根据表1及专家意见对底层指标进行两两比较判断，直接构造(C-A1)模糊判断矩阵。当k=1 时，该矩阵为模糊一致判断矩阵，继而通过式(3)可计算得到B1，B2 和B3 下属共9 个指标的权重值，最终结果如表3所示。

图5 LTE-R 通信系统安全评价指标体系Fig.5 Safety evaluation index system of LTE-R

表2 安全性等级评分云模型Table 2 Safety class criterion based on the cloud model

图6 安全性评价云模型Fig.6 Cloud model of safety evaluation

表3 指标C的权重值Table 3 Weight value of indicators C

根据表3可得权重矩阵W，并计算其相容性指标I(A1,W)=0.0495，小于s=0.1，则确定该权重矩阵通过一致性检验。

4.3.2 基于CRITIC 法的客观权重计算

将LTE-R 检测系统的部分测试结果作为本文的计算数据，如表4所示。其中移动接入性指标用越区切换成功率表示。再应用上文提出的CRITIC法来计算客观权重值，在指标内，响应时间指标的数值按安全数据传输的方式收集。

表4 评价指标参考数据Table 4 Reference datum of evaluating indicators

确定各指标是正向指标还是反向指标后，利用式(6)和式(7)，将表4内各指标进行无量纲化处理,并计算出业务安全A1 层指标权重为Z1=0.077 9，Z2=0.072 4，Z3=0.067 2，Z4=0.066 4，Z5=0.132 2，Z6=0.189 7，Z7=0.101 7，Z8=0.102 4，Z9=0.189 7。

4.3.3 综合权重值的计算

类比4.3.2，利用模糊层次分析法计算主观权重，分别构建A2，A3 和A4 判断矩阵及指标层A的两两比较矩阵，可得(A-G)矩阵权重为(0.3,0.233 3,0.266 7,0.2)。

计算客观权重时，将不可用数值表示的指标进行等级划分，建立客观评语集P={“好”，“较好”，“中”，“较差”，“差”}，同时将评语集用0-1 之间的数字表示，将0-1 区间进行5 等分，数字越高，则表示指标性能越强。请3 位专家对指标评分并计算可得指标层A 的客观权重为(0.216 0,0.236 4,0.299 7,0.247 7)。

利用线性加权组合时，咨询专家意见后选取η=0.625 为计算综合权重时的主观权重系数值，将η代入式(10)中计算得到第1 层指标A 综合权重值为(0.268 5,0.234 5,0.279 1,0.217 9)。利用乘法合成法组合时，计算第一层指标A 综合权重值为(0.259 8,0.221 1,0.320 5,0.198 6)。

4.4 综合隶属度计算及评价云表示

根据样本数据及云数字特征公式计算出yi值，并依照云计算规则(式(13))将指标的组合权重代入其中，计算评价系统的安全性综合隶属云的确定度：

将2 种组合赋权结果依次代入式(13)，确定度结果如表5所示。另外根据专家评分及权重计算并生成出来的评价云与标准评价云模型进行对比，如图7和图8所示，图中黑色雪花线条表示LTE-R 通信系统的安全性评价的综合评价云。

表5 通信系统安全性的等级评价Table 5 Safety class criterion of communication systems

图7 赋权方式(1)的评价云Fig.7 Evaluation cloud of weight assignment mode(1)

图8 赋权方式(2)的评价云Fig.8 Evaluation cloud of weight assignment mode(2)

在2 种不同赋权情况下，LTE-R 通信系统安全性的评价云结果都与“优秀”等级相交，综合确定度可确定该系统的安全性等级为优秀，因此，LTE-R通信系统安全性的综合评价结果是“优秀”，且结合其他研究文献及现场测试情况结果进行比对，验证模型的可行性及有效性。

5 结论

1)针对目前没有一套相对完整的LTE-R 通信系统安全评估流程的情况，利用组合赋权及云模型方法且将指标数据及专家意见纳入其中，评估结果证明了该方法的有效性。

2)建立LTE-R 通信系统的指标评价体系，分别计算主、客观权重，并通过2 种不同赋权组合的方式进行对比分析，得到共同等级评价结果，不仅解决了主客观随意性的缺点，还从综合赋权结果方面双重确定了评估结果的可靠性。

3)采用云模型的评估方式实现定性和定量的转化，解决评估过程中模糊性和随机性难以表达的问题，为LTE-R 通信系统建立安全评价方法及流程提供新思路。