考虑终端安全和资源调度的垂直切换算法

马 彬 陈 鑫* 谢显中 钟世林

①(重庆邮电大学计算机科学与技术学院 重庆 400065)

②(重庆邮电大学重庆市计算机网络与通信技术重点实验室 重庆 400065)

1 引言

随着5G网络的商用，必将与现有的无线网络融合成超密集异构无线网络。在新的网络场景下，终端数量急剧上升，呈现出安全终端与恶意终端共存且难以辨别的现象。由于网络的接入认证协议仍有漏洞，因此存在被恶意终端攻击的风险。例如，终端在连接网络时发出拒绝服务(Denial of Service，DoS)攻击[1，2]或者通过重放信息对网络实施重放攻击[3]，将消耗大量资源，尤其在开放性极强的无线局域网(Wireless Local Area Network， WLAN)中，影响更严重。此外，高并发的接入请求将使得网络资源的竞争更加激烈。在此情况下，网络势必会出现拥塞和资源分配效率降低，严重时导致切换失败。因此，在存在恶意终端的超密集异构无线网络中，当系统处理高并发的切换请求时，如何在提高网络接入安全水平的同时，降低拥塞度、提高传输速率和优化资源分配成为该领域研究的热点问题。

目前，许多文献都在致力于研究垂直切换中的资源分配问题，且都取得了一定的成效。文献[4]提出了一种基于资源最优分配的垂直切换算法，利用动态规划理论对网络资源的分配进行优化，有效提高了系统吞吐量。文献[5]提出了一种基于粒子群优化的垂直切换算法，在保证最小化传输时延的同时，使系统达到最优传输速率。文献[6]提出了一种基于BP神经网络的垂直切换算法，将数据传输速率、拥塞度和误码率等参数作为BP神经网络的输入进行训练，最终提高了系统吞吐量和传输速率。文献[7]提出了一种基于多目标优化模型的垂直切换算法，通过马尔可夫链获得网络状态值，然后建立多目标优化函数，最后通过遗传算法进行求解，提高了系统吞吐量并降低了阻塞率。

在上述垂直切换算法中，主要通过考虑用户侧或网络侧的需求来优化资源分配，但都未考虑终端安全性给网络资源的分配以及切换算法的性能带来的影响。然而，网络中恶意终端的攻击行为将消耗大量系统资源，直接导致资源分配效率以及切换性能的下降。因此，从提高网络的接入安全水平和优化资源分配的角度出发，本文在网络侧设计了一个终端安全评估模型，提出了一种考虑终端安全和资源调度的垂直切换算法(Vertical Handover Algorithm Considering Terminal Security and Resource Scheduling， CTSRS-VHA)，以期缓解恶意终端带来的影响，改善资源分配效率和网络拥塞问题。本文的主要贡献概括如下：

(1) 设计了一个基于有限状态机(Finite State Machine， FSM)的攻击检测算法，进而提出了一个终端安全评估模型，评估终端的安全度。

(2) 基于本文提出的终端安全度，结合网络拥塞度和用户数据传输速率，设计了一个多目标优化函数，求解并证明其是一个帕累托最优解。

2 垂直切换算法流程

考虑终端安全和资源调度的垂直切换算法的执行过程，如图1所示，可以分为3个阶段：

(1) 切换触发模块：当接收信号强度(Received Signal Strength， RSS)低于设定阈值Rth与RSS迟滞余量[8](Hysteresis Margin， HM)之和时，触发切换。

(2) 终端安全评估模块：在触发切换后，终端安全评估模型首先获取网络流量，以及在建立网络连接过程中的发送帧类型，其次通过基于FSM的攻击检测算法统计连接状态转移的异常次数，然后计算终端的攻击概率，进而得到终端安全度，以作为系统对终端安全性评估的指标。

(3) 切换决策模块：首先获取网络参数，计算网络拥塞度和用户数据传输速率，然后结合终端安全度构建多目标优化函数并转换为一个单目标优化函数，通过求解单目标优化函数，计算网络与终端之间的综合效益值。最后，终端选择综合效益值最大的网络进行接入。

3 终端安全评估模型及系统建模

3.1 网络连接过程安全分析

由于5G是在长期演进(Long Term Evolution，LTE)的协议基础上提出的新型网络框架，因此仍然可能会受到由LTE协议漏洞带来的接入安全问题[9，10]。比如，终端通过伪造大量IP地址，向服务器实施IP欺骗类DoS攻击[11]，使服务器无法正常工作。换言之，由于终端和基站会交换大量的预认证信息，且基站对终端合法性的判断主要是通过终端的国际移动设备识别码进行认证。因此，攻击者可以通过骗取用户的身份信息，伪装成合法用户，然后对网络发出基于预认证信息的DoS攻击[12]，消耗大量资源，严重时将导致系统瘫痪。其中最常见的几种攻击方式有无线资源控制(Radio Resource Control， RRC)连接请求帧攻击[13]和鉴权请求帧攻击。此外，虽然IEEE 802.11i安全协议能较好地保护WLAN的数据安全，但由于802.11i协议缺乏对管理帧的认证，因此WLAN中可能会遭到基于管理帧的DoS攻击[14]，其中最典型的就是鉴权请求帧攻击[15]，攻击者在认证阶段通过发送大量的鉴权请求帧，导致服务器一直处于繁忙状态，严重时还会出现宕机或者直接崩溃。

因此，在存在恶意终端的超密集异构无线网络环境下，终端与网络建立连接时，很可能出现以上几种形式的DoS攻击。基于此，本文提出了一个终端安全评估模型。

3.2 FSM模型的建立

在分析了网络的非接入层(Non-Access Stratum，NAS)中常见DoS攻击的原理[16]后，本节在终端与基站的连接过程中建立了如图2所示的FSM模型。

图2显示了终端与基站建立连接时需要交换的帧，在1次连接过程中，终端与网络之间的关键连接状态有11种，主要可以分为3个阶段：RRC连接配置、鉴权与加密以及上下文建立。FSM模型表示1次连接过程的正常转移顺序，即从起始状态0到结束状态10依次转移。因此，可根据终端与基站之间交换的帧类型，建立不同连接状态下，输入不同帧类型时的对应目标状态，如表1所示。

图2 网络注册过程中的FSM模型

表1给出了在不同连接状态下，输入不同类型帧时的目标状态转移情况。其状态转移规则为：当连接处于状态0时，若输入帧类型为RRC连接请求，则连接状态将从0转移到1，符合FSM模型中规定的顺序，属于正常转移。但是，若此时终端发出了基于预认证信息的DoS攻击，如鉴权请求帧攻击，则将导致连接状态从0转移到4，不符合FSM中规定的顺序，因此属于非顺序转移。

表1 状态转移表

3.3 终端安全性评估

(1) 基于FSM的攻击检测算法。当终端发生上述DoS攻击时，将导致连接状态发生非顺序转移，系统将其定义为异常，并规定终端在接入网络的过程中，其连接状态的变化必须严格按照对应FSM模型制定的顺序进行转移，否则将被记录为异常。因此，本节在网络侧设计了一个基于FSM的攻击检测算法。该算法将会记录终端在网络连接过程中，连接状态转移异常的次数，以计算终端的安全度，算法描述如表2。

表2给出了攻击检测原理：首先根据连接中的输入帧类型，查询状态转移表，得到对应的状态转移情况。然后与已建好的FSM模型进行状态转移一致性比较，若转移不一致则记录为异常，并继续监督，直到异常次数超过自适应检测阈值时关闭FSM；若没有出现异常转移，则记录当前状态转移次数，当达到系统规定的最大状态数时关闭FSM，最后输出终端在此次连接中状态转移异常的总次数。

表2 基于FSM的攻击检测算法

(2) 自适应检测阈值。在实际情况中，系统在检测终端状态转移异常时，由无线网络信号不稳定而导致的帧丢失等正常现象，同样也会引起终端状态转移异常。此类情况属于系统误判，这将会影响切换算法执行结果的准确性，导致安全终端的接入效率降低。因此，本文采用了一种基于指数加权滑动平均(Exponentially Weighted Moving Average，EWMA)的自适应阈值调整方法，根据网络环境的变化来动态调整检测阈值，提高评估终端安全度的准确性，以减少系统误判对切换算法的影响。

根据EWMA的计算原理[17]，假设网络在第q个时间段内的帧数量表示为xq，滑动窗口的大小为H，随着时间的推移，滑动窗口将向前移动以获取到最新的观测数据。然后通过简单滑动平均计算得到t时刻的观测数据Y(t)，t=H， H+1， H+2， ···，则Y(t)表示为

3.4 网络拥塞度和用户数据传输速率建模

(1) 网络拥塞度。假设网络场景中有m个终端和n个网络，对应集合分别表示为M，N。每一个网络的资源被分为若干个资源块，可将网络j在t时刻的拥塞程度定义为网络的平均资源块利用率，网络的平均资源利用率越大代表该网络的拥塞程度越高。

4 考虑终端安全和资源调度的垂直切换算法

对于切换用户而言，其目标是接入一个能够提供最大数据传输速率，同时拥塞程度也最低的网络。网络的目标则是希望其接入终端具有较高的安全度，以降低被恶意攻击的风险，从而保证资源分配的效率。因此，本文将用户的垂直切换问题定义为一个多目标优化问题，并通过求解该问题，找到一个满足用户切换需求的最佳网络。

4.1 构建多目标优化函数

4.2 单目标优化函数的求解

5 实验结果与分析

5.1 仿真模型和参数设置

为评估本文所提算法的性能，本节通过Matlab仿真平台对5G环境下的网络部署情况进行了模拟，本文的超密集异构无线网络环境主要包含5G和WiFi两种无线接入技术。5G宏蜂窝(Macrocell)覆盖范围内设有20个微蜂窝(Microcell)、20个微微蜂窝(Picocell)，其地理位置服从泊松分布，以及15个均匀分布的WLAN。此外，仿真场景中还加入了1000个终端，以5km/h的恒定速度移动，其中安全终端(Security Terminal， ST)和恶意终端(Malicious Terminal， MT)的数量比为8:2，均匀分布在宏蜂窝的覆盖范围内，本文将安全度低于0.6的终端定义为恶意终端。为便于观察，本节只展示了实际仿真场景中的一部分基站和终端的部署情况，如图3所示。

仿真实验中，将本文提出的考虑终端安全和资源调度的垂直切换算法(CTSRS-VHA)与基于最优资源分配的垂直切换算法[4](Vertical Handoff Algorithm based on Optimal Resource Allocation，ORA-VHA)、基于粒子群优化的垂直切换算法[5](Vertical Handoff Algorithm based on Particle Swarm Optimization， PSO-VHA)和基于BP神经网络的垂直切换算法(Vertical Handoff Algorithm based on BP Neural Network， BPNN-VHA)[6]进行了对比。

首先，通过两组实验分析了本文所提算法在网络接入安全水平方面的性能表现。然后，通过3组实验对比分析了算法在切换失败率、网络拥塞度和吞吐量方面的性能。图3的网络相关参数设置如表3所示。除表3设置外，其他参数设置为RSS阈值Rth= –110 dBm，RSS迟滞余量HM = 4 dB，滑动窗口大小H = 2最大异常次数Ej，max= 5，ω= 0.7。

图3 超密集异构无线网络仿真场景

表3 网络参数设置

5.2 网络资源消耗分析

本次实验统计了不同安全度下的终端，分别在5G宏蜂窝、微蜂窝、微微蜂窝以及WLAN中的资源块消耗情况，并分析了终端安全性对网络资源消耗的影响。

图4反映了在不同的网络环境中，资源块消耗与终端安全度的关系。从图中可以看出，当终端安全度介于0.6～1.0时，其资源消耗情况基本维持在一个较低的水平。然而，当终端安全度低于0.6以后，各个网络中的资源块消耗情况均呈现出快速上升的趋势，且远远超过了安全终端的资源消耗水平。这是因为安全性越低的终端攻击网络的可能性越大，因此消耗了更多的资源。此外，WLAN中的资源消耗水平受终端安全性的影响最大，而其他3个网络中的消耗水平相当，这是因为公共区域的WiFi热点通常缺乏对其接入终端的安全认证。因此，WLAN受到攻击的可能性最大，资源消耗也更严重，而蜂窝网络对接入终端的认证更为严格，所以受到攻击的影响程度相对较小。

图4 网络资源消耗与终端安全度的关系

5.3 网络接入安全水平分析

在执行CTSRS-NSA算法后，通过计算接入安全水平(切换的安全终端数/切换终端总数)，分析算法对网络接入安全水平的影响。图5展示了网络的接入安全水平与终端数量的关系，本节所有实验规定每次按照安全终端与恶意终端8:2的比例来增加终端数量。从图中可见，随着终端数量的增加，各个网络的接入安全水平都呈现上升趋势，这是因为本算法在网络选择时着重考虑了终端安全性，使安全性高的终端优先接入，从而增加了切换过程中接入的安全终端数量，因此提高了网络的接入安全水平。当终端数量超过600时，由于恶意终端数量越来越多且网络资源有限，因此接入安全水平的上升速度逐渐缓慢。此外，CTSRS-NSA对WLAN的接入安全水平提升最明显，因为WLAN缺少对终端的安全认证，而CTSRS-NSA相当于为其增加了一个认证过程。

图5 网络接入安全水平与终端数量的关系

综合以上两组实验分析，可以明确在实际切换过程中，终端安全性给网络的资源消耗带来了较大影响。但在采用本文所提算法后，各个网络的接入安全水平都得到了明显的提升，尤其是当恶意终端较多时，本算法的性能表现更为明显。

5.4 切换失败率分析

图6显示了4种切换算法关于网络切换失败率的对比情况。从图中可以看出，在5次实验中，PSONSA的切换失败率最高，其次是ORA-NSA和BPNN-NSA，二者的切换失败率相当，而本文提出的CTSRS-NSA的切换失败率最低。造成该现象的主要原因是：CTSRS-NSA考虑了终端在接入网络过程中的安全性，降低了网络资源被恶意消耗的风险，从而减少了切换失败的次数。此外，CTSRSNSA还对网络资源的分配方案进行了优化，这种方式更有利于满足用户的切换需求，因此可以保持较低的切换失败率。

图6 网络切换失败率对比

实验结果表明，当网络处理高并发的接入用户请求时，本算法仍然可以维持较低水平的切换失败率，进而保证了网络服务的稳定性。

5.5 网络拥塞度与系统吞吐量分析

图7反映了网络拥塞度与终端数量的关系，随着终端数量的增加(安全终端与恶意终端按比例增加)，资源块的消耗逐渐增大。因此，4种算法的网络拥塞度均为上升趋势，但CTSRS-NSA的网络拥塞度要明显低于其他3种算法。这是因为CTSRS-NSA综合考虑了终端安全性和网络拥塞度，减少了大量终端同时接入同一网络的概率，所以降低了拥塞度。

图7 网络拥塞度与终端数量的关系

图8展示了系统吞吐量与终端数量的关系，从图中可见，系统的吞吐量随终端数量的增加整体表现为上升的趋势，其中CTSRS-NSA在4种垂直切换算法中的吞吐量最高，因为CTSRS-NSA在分配网络资源时进行了优化，保证每个网络的接入用户总能获得最大的数据传输速率，从而提高了系统吞吐量。

图8 系统吞吐量与终端数量的关系

5.6 时间开销

图9展示了时间开销与终端数量的关系，从图中可见，随着终端数量增加，4种算法的时间开销均呈现上升趋势。

图9 时间开销与终端数量的关系

在终端数量超过500后，可以明显看到4种算法的时间开销均开始迅速上升，其中CTSRS-NSA的时间开销最低。这主要是因为CTSRS-NSA通过考虑终端安全性减小了资源被恶意消耗的概率，同时通过优化资源调度，将大量的接入请求分散到多个网络，减小了网络拥塞的概率，两者共同保证了CTSRS-NSA的切换性能。

6 结束语

本文提出了一种考虑终端安全和资源调度的垂直切换算法，在切换决策阶段，通过设计的终端安全评估模型，计算了终端安全度。同时，通过构建与求解多目标优化函数，解决了超密集异构无线网络中，由终端安全性和高并发用户接入请求带来的资源分配效率降低和网络拥塞问题。实验结果表明，本文算法可以在提高网络接入安全水平和吞吐量的同时，有效降低网络拥塞度和切换失败率。下一步的研究工作希望能够在保证网络性能的同时，进一步解决终端在接入网络后仍可能出现的安全问题，从而减少其对切换性能的影响。