翟峰，冯云，程凯，蔡绍堂，于丽莹，杨挺

(1. 中国电力科学研究院有限公司，北京 100192；2. 国网河北省电力有限公司，河北 石家庄 050021；3. 天津大学 电气自动化与信息工程学院，天津 300072)

0 引言

电力物联网是通过大数据、云计算、物联网、移动通信等先进的现代通信信息技术，实现电力系统“发、输、变、配、用和调度”等各环节的互联互通以及人机交互[1]，是能源互联网建设过程中的重要驱动部分。在电力物联网中存在大量的终端设备，终端具有数据采集、传输、处理、存储等功能，且数量众多、结构互异。而随着电力物联网的不断发展，终端设备面临的安全威胁日益增加[2]，在某些情况下，伪造终端或受损终端会通过身份伪装、捕获密钥，转换为合法终端[3]侵入系统，破坏系统的可用性和完整性，给电力系统带来巨大破坏[4-5]。

在物联网网络安全方面，物联网的内部攻击比外部攻击危害大得多[6]。内部攻击是由网络中的恶意终端或拒绝服务终端发起的。近年来，信任管理被认为是保证网络安全的有效防护机制之一，是抵御内部攻击的有效途径[7]。信任管理基于终端的历史行为，评估终端的信任值，从而估计终端执行特定任务的可信度。目前虽然已经开展了初步研究，但仍存在一些不足。例如，研究者们通过改进基于beta分布[8]与二项式分布[9]的信任管理，以提高信任评估的准确性，但两者都因采用主观分配信任因子导致信任评估不准确。

针对上述问题，面向电力无线专网通信终端设备[10]，本文提出一种基于信息熵的多源物联终端信任度评价方法。采用指数分布构建终端的信誉度，根据历史行为计算直接信任值，引入滑动窗口概念进行直接信任的更新；根据信息熵理论判定直接信任的不确定性，并引入间接信任值弥补直接信任判定不准确问题，通过两者综合评价提升判定准确性，最后通过模拟电力无线专网网络内部攻击中选择性转发攻击、开关攻击、共谋攻击等攻击场景对本文所提算法进行实用性与先进性验证。

1 相关工作

电力物联网终端信誉是指邻居终端对目标终端执行任务的评价，是抵御内部攻击、保证网络安全的有效防护机制之一。而信任是由信誉产生的实体值[11-14]。信任管理分为信任模型和信任管理方案两大类。目前，在信任模型研究方面，部分研究者提出了一些初步模型，比如模糊逻辑信任模型、D-S证据信任模型、博弈论信任模型等[15-16]。文献[17]提出了一种基于信任的路由框架，利用贝叶斯推理计算直接信任，并利用Dempster-Shafer（D-S）理论结合可靠邻居的证据计算间接信任。文献[18]提出域滑动窗口和跨域滑动窗口来存储最新的信任值。将节点划分为域有助于减少信任管理在信任存储和计算方面的开销。文献[19]提出了一种能量有效的信任评估（EETE）方案，该方案利用分层信任评估模型来减轻非法传感器节点的恶意影响并限制信任请求在网络范围内的传播，以降低传感器集群能耗。在信任管理方案方面，文献[20]提出了一种经验声誉（E-R）的信任模型，用于评估蒙特卡洛模拟平台上任意两个移动设备用户之间的信任关系。文献[21]提出一种基于移动边缘计算的智能信任评估方案，利用概率图模型对传感器节点的可信度进行综合评估，从数据采集和通信行为2方面评估传感器节点的可信度。

基于以上对信任模型和信任管理系统的分析可知，目前已有的信任模型大多是基于beta分布且多针对某一特定恶意行为设计；在现有大多数信任管理方法中，很少有方案考虑多种混合攻击模式下的信任评价验证。本文设计一种基于信息熵[22]的多源物联终端设备信任度评价方法，用指数分布表示信誉度并通过模型的改进增强评价方法的可靠性与适应性。

2 模型描述

本文针对如图1所示的用电信息采集无线专网远程通信系统，提出了一种基于信息熵原理的电力无线通信终端信任和信誉评价方法。通信终端上行与基站进行通信，下行与集中器通信，实现了控制指令下发、数据采集、数据传输等功能，当终端需要交互时，终端将根据信任值决定是否与另一终端进行交互。

图1 用电信息采集系统无线专网远程通信系统架构Fig. 1 Architecture of wireless private network longdistance communication system for electricity information collection system

2.1 信任与信誉模型

为了简化信任和信誉模型，本文将终端的交互行为分为成功交互与交互失败。基于指数分布与信任分布的拟合结果，设终端之间的交互作用保持（l+m）次，则终端间的合作概率函数为

式中：l为终端间成功交互的次数；m为交互失败的次数；p为成功合作概率。

记终端i持有终端j的信誉为Rij，表示为

f（p）为p的概率分布函数，因此用函数的最大值表示成功合作的最大概率，此时将函数的最大值定义为终端的信任值，即

经推导可知，当p取值为l/(l+m)时，概率函数取的最大值，即成功合作的最大概率为p，此时信任Tij由信誉分布的最大值p表示。为了验证算法的有效性，本文证明了无论恶意终端数量如何增加，信任仍然会收敛。证明如下。

式（4）表明信任函数是有界的，式（5）则验证了函数的单调性，表明函数是严格单调递减，根据单调收敛的定理，无论恶意终端数量如何增加，信任函数仍然会收敛。

2.2 信任与信誉评价系统模型

通过上述信誉模型获得基于指数分布的终端信誉度和信任度的表达式。进而建立信任和信誉系统实现信任评估，过程如图2所示。

图2 信任评估流程Fig. 2 Trust assessment process

2.2.1 熵的相关理论

熵反映系统的有序度，熵越高，有序度越低。随机变量x的熵[14]为

式中：p（x）表示随机变量x的概率密度函数。熵函数是在定义域[0,1]中的对称函数。随机事件xi的概率由p（xi）表示。当p（xi）＝0或1时，H（x）＝0，表示着随机事件xi发生（或不发生）没有不确定性；当p（xi）＝0.5时，H（x）取最大值，表示随机事件在任何条件下都完全不确定。

2.2.2 直接信任计算

直接观察是两个实体之间的交互记录通过观察而获得，没有第三方。直接信任源于终端i和终端j之间的直接观察，表示为Dij。指数分布表示两个相邻事件发生的时间间隔的概率，因此采用指数分布作为终端间交互作用的先验分布。假设后者的相互作用方式与前者相同，则将直接信任表示为

2.2.3 直接信任更新

信任值的变化因终端交互历史信息实时更新，历史信息越新对信任的影响越大，考虑到电力物联网终端设备信息交互量巨大，过多的历史信息参与更新会造成系统开销增大，导致信任值更新速度减缓，因此采用滑动窗口N内的历史记录被用于信任更新。将该滑动窗口记录的N次终端交互数据记录划分为n个时隙，并对每个时隙进行依次编号。滑窗中时隙存在恶意与成功的历史交互数据，恶意数据会导致该时隙的信任受到严重的影响，造成时隙信任丢失，因而本文引入遗忘因子ut以衡量恶意行为的影响程度，即

2.2.4 直接信任判定

当终端确定性水平上升到一定水平时，则没必要引入第三方评价，即直接观察能够执行信任评价。反之，当终端不确定水平上升到一定程度时，则需引入第三方评价，因此，终端的信任确定性是否满足需求是判断是否引入第三方接评价的关键。良好的判定方法可以节省通信资源和计算资源，提升计算速度。

熵理论是热力学、统计学和信息论领域的一个概念，是对随机信号或事件中的不确定性或信息量的测量。因此，假设H（Dij）是直接观测的熵，tthr是不确定性的阈值。阈值的设置与网络系统的安全密切相关。熵阈值越大，系统安全性越低。如果tthr≤H（Dij）≤1，说明直接信任的不确定性高，需要更多的相关信息，则引入间接信任。如果不是，那么关于终端j的总信任就可以简单地设置为直接信任值，即总信任Sij≡Dij。

2.2.5 间接信任

当终端被视为“不确定”时，需要第三方的建议。评估终端i通过与j共同的邻居终端k（记为Nk）获得终端j的推荐。终端i已经具有公共邻居终端k的先验信誉分布。终端i向邻居发送查询消息，终端i和终端j的共同邻居终端发送交互记录（lkj,mkj）作为响应。因此，终端i和终端j的信誉可以表示为（lj，mj）。工作机制如图3所示。圆圈分别表示终端和终端的交流范围。注意，选择邻居终端的通信范围是一跳。

图3 终端间接信任建立路径Fig. 3 Terminal indirect trust establishment path

假设公共邻居终端k提供的推荐是给定（lkj,mkj）和（lik,mik），推荐信任值的计算如下。

根据式（14）中：终端i掌握的信息，并不是每一个推荐都是可靠的，虚假的反馈会导致错误的结果。估计推荐者的可信度对于保证间接信任计算的准确性具有重要意义。只有来自可靠终端的建议才是可接受的。终端i对推荐者k的信任度可表示为

假设存在r个中间终端，终端i信任值标记为Ti1， ···，Ti（r−1），Tir。如果Tik≥x，则使用终端k的建议；反之，它将被完全忽略，x（0≤x≤1）是一个自定义阈值，k=1,2 · ··，r。在本文模型中，根据推荐者的信任程度来分配权重。计算权重sk的方法[11]为

间接信任表示为

2.2.6 聚合信任

在不能通过直接信任直接评价时，引入间接信任，则此时终端的信任值应该由直接信任和间接信任组成，因此直接信任与间接信任的权重分配是亟须解决的问题。为了避免主观地直接分配权重，本文基于信息熵对终端信任值进行了自适应分配，利用终端提供的交互信息的效用值实现权重分配值的修正。聚合信任的计算可表示为

式中：Sij为聚合信任值；Dij为直接信任值；Iij为间接信任值；λD为直接信任权重；λI为间接信任权重。

全局间接信任的计算过程就相当于根据多个评价指标对待评价事物的影响对其进行综合评价的过程，中间节点提供信任值和怀疑值用2个评价指标Iij和1−Iij进行表示，Iij为第三方节点对待评价节点的信任程度，1−Iij为第三方节点对其怀疑程度，对于Dij则为评价方与被评价方两者之间的参数计算，结合信息熵原理式（6）可得

由式（21）[23]，当x分别取值为Dij与Iij时，可计算直接信任权重λD和间接信任权重λI。

3 实验仿真与分析

本文采用一个典型的电力无线专网算例进行通信终端信任认证验证。该算例有可互交互通信终端100个，包括智能电表、充电桩计量装置、柱上开关控制器等，分布在500×500 m2的供电区域。假设每个终端的通信能力相同，通信半径为50 m，每个数据包大小为500 bits，其他仿真环境参数设置如表1所示。为保证网络控制简洁性，在逻辑连接中设定每个终端的邻居数为2或者3。本文以4种不同的场景的（l,m）设定值仿真不同初始信任情况下的信任度评价，并与基于二项式信任管理BTMS[16]和beta信任管理RFSN算法对比。

表1 仿真环境参数设置Table 1 Simulation environment parameter setting

情景1：设定所有终端均为可信任终端，且终端间均可实现信息交互，选择性转发攻击中节点被选择攻击的概率设定为[0.6，1.0]的随机数，模拟恶意行为的产生，随着采集周期的增加，恶意终端信息交互失败的次数增加，从而信任值快速降低。为验证本文方法可实现终端信任评价，将本文算法与BTMS和RFSN信任评估表现进行比较。仿真结果如图4所示。

图4中实线为可靠终端信任值随采集周期变化而逐渐提升，虚线表示为恶意终端信任值随采集周期变化逐渐降低。本文方法、RFSN、BTMS均能区分可靠终端和恶意终端，但是本文方法收敛性速度更快，在第50个周期时，本文方法可靠终端信任值为 0.9719，BTMS 可靠终端信任值为 0.9516，RFSN可靠终端信任值为0.9276；同时，本文方法评估恶意终端信任值为0.027，BTMS恶意终端信任值为0.037，RFSN可靠终端信任值为0.075。

图4 终端聚合信任评价Fig. 4 Terminal aggregation trust evaluation

情景2：当电力无线专网敌手发动开关攻击时，终端数据交互能力受到破坏，终端信誉随攻击的发起而快速降低，并且终端在产生危害的同时尽力保持不被发现。根据开关攻击的定义，设定前20个终端交互周期表现均为良好，以建立良好的信誉，在第20周期引入少量恶意终端，模拟开关攻击，在第40个周期后去除攻击行为。将本文方法与RFSN和BTMS在信任评估方面进行了比较。仿真结果如图5所示。

图5 开关攻击下终端信任评价Fig. 5 Terminal trust evaluation under switch attack

由图5可知，3种方法在发生开关攻击时信任值均显著降低，在开关攻击结束后信任值缓慢上升。但是本文方法的信任值下降速度比RFSN和BTMS快得多，这表明终端只需要少量的不良行为就可以在短时间内迅速导致信任的丧失，表明本文算法能够更加灵敏地检测到恶意攻击。在第40个周期时，本文方法终端信任值为0.1099，BTMS终端信任值为0.2698，RFSN终端信任值为0.3069。

情景3：设定终端j是不可靠的终端，并且终端i和终端j之间的邻居终端之一是不可靠的终端，其余邻居终端为可靠终端，此时通过部分可靠邻居终端实现终端i与终端j的相互评价。以此验证当存在不可靠邻居终端时，对不可靠终端的评价能力。如图6所示为场景3下本文方法、BTMS、RFSN 3种方法抵抗不可靠终端发起的攻击信任值变化情况。

由图6可知，在不可靠终端发起攻击时，3种方法的终端信任值均逐渐降低。但是本文方法的信任值下降速度比RFSN和BTMS更快，这表明本文方法在抵抗不可靠终端发起的攻击时具有更好的响应性能。在第50个周期时，本文方法恶意终端信任值为0.076 5，BTMS恶意终端信任值为0.088 0，RFSN 恶意终端信任值为 0.193 8。

图6 恶意终端信任值Fig. 6 Malicious terminal trust value

情景4：在共谋攻击下，恶意终端可以充当正常终端继续工作，设定终端j不可靠且存在不可靠的邻居终端，同时，多个恶意终端合并各自的交互次数。将本文算法与RFSN和BTMS在信任评估中进行比较。仿真结果如图7所示。

由图7可知，本文方法在发生共谋攻击时的终端信任值逐渐降低，但是RFSN和BTMS的终端信任值随着共谋攻击的发生逐渐增大。这表明本文方法可以有效抵抗共谋攻击，而RFSN和BTMS抵抗合谋攻击的性能较差。在第30个周期时，本文方法恶意终端信任值为0.253 5，BTMS恶意终端信任值为0.848 4，RFSN恶意终端信任值为 0.826 7。

图7 共谋攻击下终端信任值变化Fig. 7 Terminal trust value change under collusion attack

4 结论

本文提出一种基于信息熵的信任评价方法，使用指数分布建立电力无线通信终端信任模型，并采用信息熵理论计算终端聚合信任值。该方法考虑到电力无线通信终端网络中开关攻击、诽谤攻击、共谋攻击等多种网络内部攻击模式，在保证信任评价的精度的同时，可对电力无线通信终端进行信任评价。仿真结果表明，本文方法能够合理地评估终端的不确定性，能抵抗多种内部攻击，可验证本文方法具有可行性与先进性。后续工作将继续开展轻量化信任模型研究以优化计算开销，以及组合攻击抵抗性能研究，提高电力无线通信网络安全性能。