物联网跨域环境下的信任迁移模型

董晗菲，吴旭，陈栋

(广西大学 计算机与电子信息学院, 广西 南宁 530004)

0 引言

近年来，物联网成为最引人注目的技术之一。它的主要优点包括实现物与物、人与物之间的互通互信互联、提高资源利用率。每个公司、组织都有自己的共享资源供内部实体访问和使用，这样就形成了大规模、异构化、动态化的物联网自治域。随着各种智能终端的不断发展，实体的移动性增强，可以在自治域之间移动，即从一个自治域离开加入另一个新的自治域。这种跨域移动为物联网的发展带来一些挑战，包括安全、技术标准和隐私等问题。现有的密码机制如认证和加密，为交换的信息提供数据保密性、数据完整性和节点认证，保护系统免受外部攻击，但无法处理内部攻击，基于信任的方法可以抵抗网络内部的攻击。信任为解决物联网安全性、可靠性提供了一个新的思路，使得系统中各个实体可以建立和维护信任关系，并以此实现他们的协同工作。

然而现有的研究主要集中在计算同一信任域内实体的信任值，却忽略了对跨域信任迁移模型的研究。每个自治域根据其安全目标使用不同的信任管理模型，用于计算和管理域内实体的信任信息。当一个实体从一个自治域离开加入一个新的自治域时，可以基于新移入域内使用的信任模型缺省初始化他的信任值。但是这将导致资源浪费，因为对同一信任实体而言，实体在移动前后两个信任域内交互行为表现大概率是一致的，即在原域内表现良好的实体很大程度在移入域也会表现良好，反之在原域内表现不良的实体很大程度在移入域依旧会表现不良。实体在交易时需要通过对方的信任值来衡量其可靠性，而新加入域内的实体只有缺省信任值没有其他的信任证据，难以确保其可靠性。故其他实体尽量避免与之交互，则新移入域内的实体必须等待很长的时间才能在新的域内累积信任。与此类似，对恶意实体来说，缺省初始化信任值会使域内实体无法分辨恶意实体和可信实体，恶意实体可能会进行伪装攻击，即恶意实体先进行可信交互累积信任值后骗取其他实体的信任再进行恶意攻击，故移入域需要很长时间才能检测、识别出恶意实体。将信任值进行迁移能够提高诚实实体的效用，同时遏制恶意实体的破坏行为。但是各个信任域之间使用的信任评估方法大相径庭，为实体在不同信任域之间的信任迁移带来困难。因此在自治域之间建立一种简单、有效的信任迁移方法是有必要且紧迫的。

为此，本文提出了一个新的模型，称为基于模糊理论和层次分析法的跨域移动实体的信任迁移模型(trust migration model based on fuzzy theory and analytic hierarchy process for moving entities across domains, TMM)，它为跨域实体的信任迁移提供了一种系统的方法。TMM的实现考虑了重要的基本原则：①基于模糊理论评估跨域实体各信任指标上的信任度②使用层次分析法计算自治域对各个信任因素的偏好权重。我们的贡献是提供了一种信任迁移模型，它考虑了不同自治域对不同信任因素的偏好，帮助跨域实体将原域内的信任证据迁移至一个新的域中。该模型解决了跨域实体的信任初始化问题，同时通过使用多方面的标准和移入域的信任视角，克服了缺省初始化信任值带来的资源和时间浪费问题。

1 相关工作

物联网环境下的信任研究按照作用范围可分为域内信任和跨域信任。域内信任即在同一信任域内为实体计算信任值。WANG等[1]提出了一种上下文感知的信任管理模型CATrust，利用逻辑回归的方法，根据服务提供者的服务行为模式，动态地评估其可信度，以回应情境环境的变化。ALHANAHNAH等[2]提出了一种上下文感知多方面信任框架(CAMFT)，以帮助评估物联网云服务提供商的信任值。ANWAR等[3]提出了一种有效的基于贝叶斯方法的信任评估机制(BTEM)，该机制将恶意节点与可信节点隔离开来，抵御恶意攻击、开-关攻击和拒绝服务(DoS)攻击。该评估机制收集传感器节点的直接信任值和间接信任值，进一步考虑收集到的数据在时间上的相关性，然后在决策时估计不精确的知识，从而避免恶意节点的攻击。WANG等[4]提出了一种新的基于计算和预测的物联网信任管理模型，以及时获得准确的信任值。该模型基于直接信任计算和间接信任计算的动态信任并依靠指数平滑和马尔可夫链的结合进行信任预测。ZHANG等[5]考虑了传感器节点和簇头的层次信任评估, 提出了在固定跳点范围内，结合直接评估和基于反馈的评估，在传感器节点和簇头级别上考虑交互信任、诚实信任和内容信任的多维二层层次信任机制。除了信任评估，有些人从不同的角度考虑信任问题，如对信任数据可靠性的评估[6]，信任预测[7]，不信任的评估[8]。

已有的许多研究集中于域内信任管理机制，然而跨域信任迁移模型却被忽视了。跨域信任即通过分析跨域实体的历史行为生成实体的声誉(服务信任值)对来自其他信任域的实体实现跨域信任迁移。AWAN等[9]提出了一个基于多级中央机构的整体跨域信任管理模型(HoliTrust)。HoliTrust模型每个域内有域服务器用于域之间的通信和信任，每个域内还根据相似性和喜好分为不同的社区，每个社区又有自己的社区服务器来协调和执行信任计算。当一个节点跨域交互时，社区服务器通过获取特定域的信息来计算信任。但该文只是提出了一个信任框架，并没有具体给出信任迁移的方法。DIN等[10]提出一个稳定可靠的跨域信任系统RobustTrust，让设备能够在本地评估不同设备的信用。在这个系统中，信任被分成了3个安全组件，来帮助节点有效地防御已感染的节点和恶意的节点。但是此系统能源消耗大，并且只是提出了一种跨域信任管理方法，并没有具体的计算公式。LI等[11]提出了一种混合CDNi-P2P体系结构、NRIT搜索算法和两种信任模型：局部信任模型和跨域信任模型。基于所提模型，实体可以更有效、更准确地计算自己的本地信任，移动实体可以将自己的本地信任转化为移动信任，并将其应用到新的领域。但是该模型只考虑了跨域实体的声誉，不能适应不同的上下文环境。目前的物联网研究还没有全面研究如何基于实体的历史行为对物联网中的跨自治域移动实体进行信任迁移。

本文旨在研究一种跨域实体信任迁移方法，合理计算移入域对每个信任因素的偏好权重，满足实体的跨域信任迁移的需求。

2 TMM信任迁移方法

物联网中存在各式各样的实体，他们依据一定的上下文(如地理位置、兴趣爱好、作用领域等)分为一个个的自治域。每个域内都有一个域服务器，用来①管理域内的每个节点的移入和移出②计算和管理域内每一个实体的信任值③域间管理信息的交互④为跨域移出实体提供信任证据。此外域内还有若干实体，他们可以调用其他实体提供的服务，也可以为其他实体提供服务。物联网自治域结构如图1所示，实体ui已在自治域A内维持特定的信任关系累计了信任值，此时若实体ui移入自治域B，就需要一个合理的信任迁移模型将其在域A内的信任值迁移至域B中。

图1 物联网自治域结构

本节详细描述了对跨域移动节点进行信任迁移的方法。在自治域内有实体提供的各式各样的服务，实体使用了其他实体提供的服务即为一次交易，交易完成后双方需要根据服务情况和使用情况进行评价，正是由这些评价组成实体在域内的服务信任值。本文使用跨域实体在原域内收到的历史评价评估实体的服务信任。当跨域用户来自上下文属性类似的域时，他能为域内其他用户提供有效服务的可能性就大大增加了。这就意味着在进行跨域用户的信任初始化时，跨域节点在信任迁移时不仅有服务信任需求还有上下文信任需求，这就要求移入域不仅要考虑跨域用户在原域的服务信任值，同时还要考虑用户的上下文信任情况。

本模型利用上下文信任值反映跨域用户的上下文可靠性,使用的主要符号见表1。在物联网自治域环境下，由于用户的动态性，用户可以动态地加入或退出某个自治域，并在不同的上下文环境进行服务交互。若跨域用户的原域与移入域的上下文属性相似，那么跨域用户在移入域能提供有效服务的可能较高，上下文可靠性较高。

表1 主要符号表

表2 访问控制策略对应表

若某用户在域A和域B间跨域移动，现有域A和域B两个上下文向量，CA={CAspeed,CAscale,CAconnectivity,CAac}和CB={CBspeed,CBscale,CBconnectivity,CBac}，由于上下文向量的前3个元素的维度不同，在计算域上下文相似性之前先将其进行归一化，过程如下：

(1)

利用欧氏距离计算域A和域B之间的上下文差异，具体表示如公式(2)：

(2)

利用公式(2)计算出来的数值通常较大，且数字越大表示两个域之间的上下文差异越大，上下文相似性越小。实际应用中，域上下文相似性应在[0,1]范围内，故对公式(2)进行归一化：

(3)

其中，simA,B为域A和域B上下文之间的相似性，即为跨A、B域移动用户i的上下文信任值Tci。

以物联网为研究背景，将论域U定为实体集，实体间的服务反馈表述为U上的多个模糊子集，例如本文使用5种语言变量来描述服务提供者的服务反馈，语言变量集V={v1,v2,v3,v4,v5}，其中v1表示 “极不满意”，v2表示“较不满意”，v3表示“一般”，v4表示“较满意”，v5表示“非常满意”。广义的左右梯形模糊数是实数R上的一个模糊集，L=(a,b,c,d)其中a,b,c,d∈R且a≤b≤c≤d，其隶属函数定义为

(4)

隶属函数将给定的输入x映射为区间[0,1]内的实数。常数b和c表示评估数据的最可能值的范围。常数a和d分别表示评估数据的上下界，反映了数据的模糊性。本文从语言变量到模糊值的映射见表3。

表3 语言变量和模糊值之间的映射表

一般而言，实体会对服务提供者所提供服务的若干个评估指标进行如下评价，例如，服务使用者q与服务提供者i进行第p次交互后，以公式表示实体q对被实体i第n个评估指标的语言变量经映射后的反馈模糊值为公式(5)：

(5)

(6)

下一步，我们定义对梯形模糊数执行的操作。设A=(a，b，c，d)和B=(e，f，g，h)为两个梯形数，k为实数。我们有以下基本操作：

(7)

现在，综合所有m个评价者对被评价者i的信任评价。根据表3所示的转换比例，将评论(语言评分)转换为模糊数。模糊综合评分定义如下：

(8)

上面考虑了对实体各个信任评估指标的服务反馈，与此同时还需要考虑移入域对各个评估指标的偏好。由于移入域可能并不能准确表达出对多个评估指标的偏好，但比较容易比较出两个评估指标的相对重要性，故使用层次分析法可以计算各评估指标的权重。为了确定每个评估指标的权重，首先将每个评估指标值与其他所有评估指标间的重要性进行两两比较，并将其汇总到一个比较矩阵中。为了得到一个合理的结果，还对矩阵值进行了规范化。之后，得到每个评估指标的权重。上述比较是两两比较，比较时取1～9等级，每个等级对应的含义见表4。

表4 尺度及对应的含义

计算各信任因素的权重的步骤如下：

① 定义比较矩阵C，它使用表4尺度将每个信任因子值与其他所有信任因子的重要性进行两两比较。下面我们将展示比较矩阵C的简化表示。矩阵中的每一列表示一个特定的信任因子。

(9)

② 计算比较矩阵M中每一列中的各项之和。

(10)

③ 列向量归一化

(11)

④ 计算C′中每一行的平均值。

(12)

⑤ 生成权重向量。

(13)

(14)

在模糊推理的最后，为了得到一个清晰的数字用于我们的推理输出，我们需要执行所谓的去模糊化，即给定一个模糊集，返回一个清晰的值。最有效的去模糊化方法之一是重心法，取隶属度函数曲线与横坐标围成面积的重心，作为模糊推理的最终输出值Tfi，即跨域用户i的服务信任值为

(15)

结合域之间的上下文相似度，由域A移动至域B的实体i经迁移后的初始信任值为

Ti=Tci·Tfi+(1-Tci)·Tdefault,

(16)

其中，Tci为跨域用户i的上下文信任值，即迁移前后域的上下文相似度。Tdefault为新域内的缺省初始化信任值，即为没有历史信任信息的新加入域内的实体分配的信任值，一般设置为0.5。

算法1说明了为跨域实体进行信任迁移的算法。首先利用公式(3)计算跨域用户i的上下文信任值(第1行)，然后将跨域实体i在各种指标上的历史交互语言变量反馈映射为模糊值(第2行)，其次对实体i历史收到的每一条服务反馈计算时间衰减权重，并汇总每个评估指标的综合反馈(第3-8行)，然后通过式(9)至式(13)，利用层次分析法计算出移入域对各评价指标的偏好权重(第9行)，将各信任指标的反馈值按权重整合成一个模糊数并用重心法求去模糊化得出实体i的服务信任值(第10行)，结合公式(3)和(15)得出实体i经迁移后的信任值(第11行)，最后将实体i的迁移信任值返给实体i(第12行)。

Algorithm 1.Cross Domain Trust Migration Algorithm

Input: Evaluation of cross domain user in the original domain

Output: Trust value after migrationTi

1 Use formula(3)to calculate the context trust value of cross domain user i

2 Map the historical interactive language variable feedback of entity i on various indicators to fuzzy values

3 for q=1:m do

6 end for

7 end for

8 summarize the feedback of each evaluation index of entity i by Equation(5)

9 Through Equation(9)to(13), AHP is used to calculate the preference weights of each trust index in the cross-in domain

10 Using formula(14)(15), summed up the feedback of each trust index into a fuzzy number and exact value according to the weight

11 Through formula(3)(15),The migrated trust value of the cross-domain entity iTiis calculated

12 return

3 性能评估

3.1 实验设置

实验在一台CPU主频为2.50 GHz、RAM为4 GB、操作系统为64位的电脑中的MATLAB R2018a软件中进行。在本工作中，仿真采用标准评估指标[12-13](即信任值变化、抗价值失衡攻击、恶意节点检测率等)。考虑了3个信任因素，即性能、安全性和可靠性。由于目前还没有公开的数据集可供使用，本工作首先部署以下场景以便于仿真：构建2个各有100个实体的信任域，在仿真之前，实体之间自由交互并依据真实交互表现为每个实体的每个信任因素按正态分布随机生成了30个评价，从而建立一个初始域内的信任评价。考虑到现实环境中，实体愿意与信任值大(即交互表现好)的实体交互，所以交互表现越好的实体收集30条信任评价的时间越短，反之，表现越差的实体收集信任评价的时间越长。实验参数见表5。

表5 实验参数

3.2 收敛性

我们假定对同一实体而言，实体在移动前后2个信任域内交互行为表现是一致的，即在原域内表现良好的实体在移入域也会表现良好，在原域内表现不良的实体在移入域依旧会表现不良。与实体语言评价相对照，我们把实体分为9个不同等级：恶意实体、介于恶意和不可信之间实体、不可信实体、介于不可信和一般之间实体、一般实体、介于一般和可信之间实体、可信实体、介于可信和专家之间实体、专家实体。

图2(a)至(i)分别对比了9种跨域实体和缺省初始化实体的信任累积过程。图中红色的线为经TMM信任迁移的跨域实体，蓝色的线为缺省初始化实体，缺省信任值为0.5，因为信任值在范围[0,1]内，使用中值0.5表示对其表现的不确定性。移入域内每小时都有新的交互产生，实体的信任值越大被交互请求者选择的概率越大。对九种不同的实体，经TMM信任迁移的实体信任收敛时间均小于缺省初始化实体。图2(a)至(d)为在原域内表现不良的实体，经信任迁移后在移入域的初始信任值小于0.5，随时间和交易的累积信任值不断衰减并收敛于真实值。图2(e)为在原域内表现的一般实体，其信任值从入域开始就趋于真值，但缺省初始化实体因新入域没有信任评价，其他实体不愿意与之交互信任值先衰减，有评价之后信任值才开始累积回升并趋于真实值。图2(f)至(i)为在原域内表现良好的实体，经信任迁移都在移入域的初始信任值大于0.5，随时间和交易的累积信任值不断增加并收敛于真实值。缺省初始化实体因为要从0.5逐步累积信任值，其收敛速度明显慢于信任迁移实体。

(a)恶意用户

3.3 恶意实体检测

考虑到针对信任迁移存在一种这样的恶意攻击情况：一个实体借助在原域内的良好表现，将信任迁移至一个新域以获取一个较高的初始信任值，然后利用新域内的较高初始信任值骗取其他实体的信任并与之交互，提供与承诺不符的服务质量。图3验证了TMM模型能有效识别这种恶意攻击。图3中红线为在原域内表现介于可信和专家之间的实体在迁移至新域后成为恶意实体时的信任衰减过程，实体从加入新域后信任值开始快速衰减，并当信任值衰减至在新域内的真实表现情况仍会持续衰减；蓝线为没有经过信任迁移缺省初始化的恶意实体直接在新域内表现较差时的信任衰减过程，最终收敛于在新域内的真实表现情况。实验结果表示，TMM模型能识别出跨域恶意实体，经TMM模型信任迁移的恶意跨域实体在新域内的信任衰减速度明显快于缺省初始化，所以TMM模型可以避免恶意实体利用信任迁移对新域进行恶意攻击。

图3 TMM迁移和缺省初始化恶意攻击实体的信任累积对比

3.4 对比

在这一部分中，我们将4.2和4.3节讨论的性能指标与其他模型进行对比。

图4、图5显示了TMM与文献[14-16]在实体信任值收敛速度上优势。实验设置中，考虑模拟同一个可信实体加入一个新域，TMM将实体原有的信任信息进行迁移，文献[14-16]直接缺省初始化为0.5。图4显示在前50 h，实体为可信实体，与域内其他实体正常交互，信任值逐渐累积，并分别在第8 h、第20 h、第40 h、第25 h收敛于真实值0.9附近。随后我们模拟该实体在入域第50 h后成为恶意实体，如图4所示，在第50 h后实体在三种模型内信任值均快速衰减并分别在第56 h、第80 h、第95 h、第75 h收敛于真实值0.1附近。图5展示在跨域用户移动前后域间不同的上下文相似度时TMM的信任收敛速度总是最快的。

图4 实体信任值收敛速度对比

图5 不同上下文相似度时信任收敛收到对比

图6显示了TMM与文献[14-16]在恶意实体检测率上的优势。在我们的实验设置中，我们考虑将100个跨域实体迁移至一个新的自治域中，每个实体经信任迁移后都有一个初始信任值。恶意节点的百分比由参数Pm∈[0,30 %]指定，以测试恶意填充对性能的影响。从所有跨域实体中随机选择恶意实体，这些恶意实体无论在原域内是否是恶意节点在移入域中自始至终都表现恶意行为。计算每个时间戳内自治域中所有实体的信任度得分，总模拟时间为20 h，以便观察恶意实体的检测过程。

图6 在Pm∈[0,30 %]范围内检测到的恶意实体的百分比与时间的关系

图6展示了我们的策略在识别和驱逐恶意实体方面的有效性。在图6中显示了在不同的初始恶意实体种群下，随着时间的推移检测到的恶意实体的百分比。随时间的推移，模型可以根据实体的信任值来区分恶意实体和可信实体。一旦实体的信任值低于阈值0.3时，模型认为该实体为恶意实体。我们发现，在所有情况下(Pm∈[0,30 %])，几乎100 %的恶意实体将被检测为恶意实体，Pm越高，模型识别所有恶意实体所需的时间越长。并且TMM对跨域实体进行了信任迁移，故移入域在跨域实体迁入时就检测出在部分原域内已经产生恶意行为的恶意实体，提高了恶意实体检测速度。

4 总结

本文提出了一种基于模糊理论和层次分析法的跨域信任迁移模型(TMM)。基于所提出的TMM信任迁移模型，跨域实体可以更有效、更准确地将原有的信任证据迁移至一个新的自治域中，并将其应用到新的自治域。该模型可以避免实体加入新域时缺省初始化信任值后需要很长时间累积信任证据造成的时间和效能的浪费，提高跨域实体在不同域间移动时所拥有信任证据的可用性。从性能结果可以看出，信任迁移实体在移入域内信任收敛时间减少，信任收敛速度加快，并且可以有效监测恶意实体。未来，我们将针对不同的网络架构，研究更多可用的跨域信任模型。