标题: An Intelligent Trust Cloud Management Method for Secure Clustering in 5G Enabled Internet of Medical Things

期刊: IEEE TRANSACTIONS ON INDUSTRIAL INFORMA TICS, VOL. 16, NO. 7, JUL Y 2020.

作者: Liu Yang, Keping Yu, Simon X. Yang,Chinmay Chakraborty, Yin zhi Lu, and Tan Guo.

分享人: 河海大学——杨梵

基于5G边缘计算和D2D通信的IoMT框架的网络模型包括三层，如图1所示。底层是一个典型的WBAN，它由几个传感器和一个智能手机组成。穿戴者的健康信息由传感器采集，由于距离较近，可以直接传输到手机上。在中间层，大量的WBAN实体被分组成簇，进行信息的协同传输。每个簇包含一个头和一些成员。成员实体通过D2D通信将信息传输到网络的顶层，顶层通过5G或WiFi通信将信息传输到基站或接入点。最后，将医疗保健信息传输到顶层附近的边缘服务器。如有必要，医疗结果将被发送到云数据中心。

尽管数学概念里的云是一种描述语言概念不确定性的认知模型。特别是通过将语言概念转化为定量值来处理模糊性和随机性。一朵典型的云由大量的云滴(drop)组成。一个单独的云滴是没有意义的，而有很多滴的云表达了一个定性概念的特征。云模型根据以下三个数值特征来描述这种转换。

1)期望Ex表示对云滴的数学期望，它属于普遍的定性概念。2)熵度量概念的不确定性。3)超熵He表示熵En的不确定性等级。

通常情况下云模型是基于正态分布定义的典型云模型。假设d为正态分布云的随机云滴距离，其数值特征为Ex、En、He，则满足d ~ N(Ex, En’^2)和En^2~ N(En, He^2)。

图1.基于5G边缘计算和D2D的IoMT框架

（1）提出的ITCM云信任管理模型

图2  本文提出的ITCM框架

如图2所示，提出的ITCM框架有四个部分：首先是通过监听获得初步的信任证据并预处理；然后将预处理后的数据经标准云信任训练或者个体云信任构建得到信任值；然后由所得的信任值作出信任决策；最后进行信任更新。

为了探究开放无线介质的动态特性，在系统部署初期，将IoMT设备协同标记为恶意设备或正常设备。根据标记IoMT设备的信任估计值，分别建立正常群体和恶意群体的标准信任云。在系统运行过程中，通过模糊信任推断和信任推荐构建任意单个IoMT设备的信任云，简称单个信任云。通过信任决策，根据信任分类结果将IoMT设备识别为恶意设备或正常设备。随着IoMT设备之间的相互作用，标准和个体信任云不断更新，以适应开放无线介质的动态特性。

本文关于通信介质和IoMT设备的几个假设如下：

1） 由于意外的故障或来自外部环境的不可预测的干扰，无线通信介质的质量不稳定。2） 被捕获或操纵的IoMT设备会成为具有异构攻击能力的受损设备。3） 用于医疗保健监测的任何IoMT设备的能量都是有限的，因为大部分能量必须用于其他方面。

通常，在确定IoMT设备的信任值时，可以使用模糊逻辑系统来解决信任不确定性问题。然而，单个信任值不能总是以高精度指示设备的可靠性。然后，引入云模型对设备的多个信任值进行聚类，可以提高信任估计的准确性。为了使信任管理智能化和适应性，采用了协作标记和训练机制来构建标准的信任云框架。通过执行信任分类，可以确定IoMT设备是否是恶意的。

A. 信任证据收集

为了估计IoMT设备的信任值，首先需要收集有关该设备行为的信任证据。由于目的是保证IoMT设备之间安全可靠的数据传输，因此需要收集反映攻击发生时数据平面信息变化的可信证据。通常，篡改、丢包和延迟事件将被当作信任证据，可以通过监听传输来收集。（由于报文认证失败，被篡改的报文将被直接丢弃，从而可以将篡改事件视为丢弃事件。）

收集信任证据后，可以计算出及时转发率(Timely Forwarding Rate,TFR)和成功转发率(Successfully Forwarding Rate,SFR)等信任属性。然后利用模糊逻辑系统对相关IoMT设备的信任值进行估计。对于任意由IoMT设备而言，当前信任属性组成的输入向量，根据输入信任属性与输出信任值之间的模糊集映射规则，通过模糊推理得到该IoMT设备的信任值。首先，为每条模糊规则获取信任属性对应的模糊集;其次，根据规则推导出与输出信任值相对应的2型模糊集;通过类型约简，得到与信任值相对应的1型模糊集。最后，通过去模糊化估计输出信任值。

图3.信任证据收集及初步信任值获取

B. 标准云信任训练

一般情况下，系统刚部署完不存在恶意或受损的IoMT设备。每个设备都探索了开放无线介质的特征，包括在这一阶段的数据包丢失和延迟率。通过与邻居的活动事务，可以训练标准的信任云框架。训练过程由每个IoMT设备单独启动，然后基于轮操作。

对于任何IoMT设备i，一旦它开始了自己的标准信任云的训练过程，在每一轮训练中，它都会在相应的邻域半径Rn内随机选择一个中继设备j和目的地k。j首先接受恶意标签，然后接受正常标签，分别转发N_f次的数据包。

图4.标准云信任网络拓扑

如果将j被标记为恶意设备，其以P_dp的概率丢弃报文，以P_dy的概率延迟发包。这些攻击概率应该明显小于丢包或重传概率，以突出信任的不确定性。恶意时延为随机时延，最大时延为MAX_DUR。一旦i向j发送一个数据包，它就会继续监听后面的转发（由于i和j处在彼此的通信范围内，所以对方的法包行为可以被监听到），直到数据包被监听到或最大持续时间结束。由于开放式无线介质的动态特性，可能会发生数据包丢失或漏听。

如果将j被标记为正常IoMT设备并且在转发数据包后没有从目的地k得到回复，它在延迟后重新发送数据包。如果i在特定时隙内没有偷听到转发的数据包，则丢弃事件由i记录。此外，如果捕获到恶意延迟或正常重传事件，则会记录延迟事件。基于无意听到的传输行为，设备i通过区间类型2模糊逻辑系统评估j的信任值。

在每一轮主动训练之后，发起方设备i可以获取标记的恶意设备和正常设备的信任值的数量Nf。这些信任值形成了一个标记的训练数据集，可用于建立恶意和正常的标准信任云框架。为了构建标准的信任云，训练数据集中的数据可以被视为云滴。如果经过一轮训练，恶意丢弃和正常丢弃的数量都达到了最大数量MAX_DRP，则这两种丢弃可以分别用于建立初始恶意和正常标准信任云。设STC_m_(i) = stc_i_(Ex_m, En_m, He_m)表示i构建的恶意标准信任云，STC_n_(i) = stc_i_(Ex_n, En_n, He_n)为正常信任云。设D为信任云滴数，n为云滴数总数，则信任云的三个数值特征可由下式计算:

在建立了初始标准信任云之后，训练过程将继续，直到两个标准信任云之间出现明显的分类边界。则满足条件Ex_m < Ex_n。否则，当训练轮数达到最大值MAX_TR时，训练过程将被迫终止。如果一个IoMT设备完成了它的主动训练，它会将训练好的标准信任云推荐给它的邻居。IoMT设备接收到邻居的所有推荐后，将其平均值作为自己的最终标准信任云，恶意的信任云用STC’_m表示，正常的信任云用STC’_n表示。

C. 个体信任云构建

要判断IoMT设备是否可信，首先需要构建该设备的单个信任云。在集群IoMT系统中，正常的IoMT设备将数据传输到自己的集群头设备，然后监听集群头的传输行为。一旦收集到信任证据，通过模糊推理可以估计出该簇头设备的信任值，并将其作为单个信任云构建的云滴。但是，IoMT设备只有在将两个设备被分组到同一个集群中，且一个是成员，另一个是头时，才会估计另一个设备的信任值。

为了有效地获取IoMT设备的信任信息，在信任管理方法中引入了信任推荐机制。如果IoMT设备选择了一个受信任的设备作为自己的head，那么它可以向它的head发送信任推荐请求。（为了节省能源，设备不向其他设备发送请求。）设T^-_i,j为设备i对j的平均信任值，T^-_j,k为推荐设备j对k的平均信任值，则可将i对k的信任值Ti,k更新如下:

i如果对k由信任基础，则在此基础上由中继设备j对k的信任推进进行信任值的更新；若没有则完全通过j的信任推荐构造信任值。

图5.源设备i对目标设备k的信任构成

对于任何IoMT设备i，一旦通过模糊推断或推荐将对j的信任更新后，则将其存储到信任云滴集S_TCD_(i,j)中。如果集合大小达到阈值THR_DRP，则可以根据云滴和B中的三条统计指标构造i对j的个体信任云ITC(i,j).

D. 信任决策

为了将恶意IoMT设备从簇中隔离从而构建安全集群，正常的IoMT设备通常需要选择一个可信的头部加入它的集群。对于任意一台IoMT设备i，根据对应的单个信任云和最终的标准信任云进行信任分类，可以识别集群头设备j是否恶意。如果个体信任云ITC(i,j)的期望明显小于最终标准的STC’_m_(i)，则簇头设备j被归为恶意组。如果ITC(i,j)的期望明显大于STC’_n_(i)的期望，则簇首设备j可归为正常组。否则，必须计算个人信任云与最终标准信任云之间的相似度，以确定设备j所属的组。如果云ITC(i,j)与STC'_m_(i)更相似，则簇头设备j被认为是恶意簇头。

为了估计个体信任云与最终标准云之间的相似性，在个体信任云的基础上随机生成一定数量N_DRP的云滴。这些属于标准信任云的水滴的平均程度被视为两个信任云之间的相似度。

为了生成一个随机的个人信任云滴并计算其成员度，执行以下四个步骤：

1)根据正态分布生成个体信任云的随机标准差σ_n，均值为个体信任云的模糊熵，标准差为该模糊熵的不确定程度。2)个体信任云掉落D_I可以按照正态分布产生，其中均值为个体信任云的期望，标准差为σ_n。3)根据正态分布生成标准信任云的随机标准差σ_s，其中以标准信任云的模糊熵为均值，模糊熵的不确定性为标准差。4)用下式计算个体信任云滴D_I的隶属度M_ITD：

E. 云信任更新

随着系统的运行，无线介质的质量可能会因外部环境干扰的加重或减轻而发生变化。那么，最初训练的标准信任云可能并不总是适用的。无线介质的动态特性也可能导致单个信任云失效。因此，无论是标准信任云还是单个信任云都需要及时更新，以适应开放的无线介质。

一旦IoMT设备i更新了其邻居的信任值，它将根据集合S_TCD_(i,j)中的云滴为每个邻居j重建单独的信任云，这将保留最新信任值的数字THR_DRP。根据重构的个体邻居信任云和最终的标准邻居信任云，可以判断这些邻居是否恶意。被归入恶意组的邻居的更新后的信任值被添加到恶意云丢弃集。与此同时，其他邻居的更新信任值被添加到正常的云掉落集中。如果任意一个云滴集的大小都达到最大MAX_DRP，则可以根据云滴建立一个新的标准信任云STC * (i)。然后IoMT设备i可以更新其最终标准信任云STC ' (i)如下:

其中α和β分别为之前最终标准信任云和当前标准信任云所对应的权重因子。

由于目前的标准信任云是使用短时间内构建的数据集进行训练的，因此应该赋予它比之前的最终标准信任云更小的权重，以保证更新的顺利进行。更新完成后，将清除相应的恶意或正常云掉落集中的所有云滴。

（2）提出的安全集群构建协议的细节

本文的安全聚类方法的过程如图6所示.最初，IoMT设备单独启动标准的信任云训练过程。然后，安全集群过程基于轮次，包括安全集群的形成、数据传输、传输监听、个体信任云的构建、信任决策和标准信任云的更新。

图6.所提出的安全集群协议的过程

为了构建安全集群，IoMT设备首先自行决定是否作为头部。在簇头被选择了之后，每个正常的IoMT设备选择一哥它所受信任的簇头加入该簇。如果IoMT设备具有在当前轮r中成为头部的资格，则其基于阈值Thr自行决定是否成为簇头，阈值Thr用下式计算：

其中p_CH是作为头部的概率。如果IoMT设备在最近的1/p_CH回合中不是头部，那么它有资格在当前回合中成为头部。

如果某个IoMT设备决定成为一个簇头，它会将选举通知给它的邻居。为了构建安全集群，IoMT设备应该避免加入检测到相应头部是恶意的集群。如果一个普通的IoMT设备接收到一个主选举消息，它会将消息广播添加为它自己的主候选人。在进行信任决策后，它选择最近的可信候选者加入集群。如果由于信任云下降不足而没有构建关于候选者的所有个体信任云，则选择尚未与之交互的更接近的候选者或被估计为最可靠的候选者。如果一个普通的IoMT设备最终没有找到合适的集群来加入，那么如果它在本轮中有资格，它就必须决定成为一个负责人。

在所有集群分组后，每个成员IoMT设备开始收集患者的医疗保健信息，然后在专门分配的时隙期间将其传输到头部。通过监听传输行为，每个成员IoMT设备根据2型模糊逻辑计算头部的信任值。通过模糊信任推断或信任推荐，如果相关的云降足够，IoMT设备在构建或重建单个信任云的同时更新他人的信任值。在信任决策之后，可以检测到IoMT设备是否是恶意的。此设备的最新信任值用于更新标准信任云。

1. 每个周期中恶意集群平均数量的比较

图7  恶意群集的平均数量

每个循环中恶意集群的平均数量比较如图7所示。一个周期总共是50轮数据传输，恶意设备的百分比是20。该图显示了三种方法的给定循环数不相同，TECC最少，而本文的方法ITCM最多。这是因为由于能量耗尽，循环次数直接取决于最后一个失效IoMT器件的寿命。该图还显示，ITCM中的恶意集群数量比TECC和TEUC中的减少速度快得多。这表明，ITCM在防止恶意设备被选为簇头方面具有最佳性能，其次是TEUC。对于所提出的方法ITCM，恶意IoMT设备在数据传输的一些周期之后不再有机会成为簇头。因此，ITCM非常适合具有高安全要求的工业应用。

2. 不同恶意节点数量的比较

A. 不同恶意节点比例的信任决策的准确性比较

图8  针对不同百分比的恶意软件的信任决策准确性

图8表明，本文的方法ITCM具有最高的信任决策准确性，而TECC表现出最低的准确性。这是因为在ITCM中使用了模糊逻辑系统和云模型来解决信任不确定性问题。此外，还探索了开放无线介质的动态特性，以自适应地训练标准信任云。因此，即使恶意的百分比为50，所提出的方法的信任决策准确率也为87.9%（95%置信区间：83.1–92.7）。TECC中也采用了云模型来构建信任云。然而，标准的信任云是根据经验预先建立的。尽管在TEUC中使用机器学习算法来训练信任决策树，但它没有及时更新以适应动态无线介质。该图还表明，随着恶意设备百分比的增加，IoMT系统中的恶意设备增多，信任决策准确性下降。

B. 不同方案下不同数量恶意节点可发起攻击的比较

图9  各方案下不同百分比的恶意设备发起攻击的总数

TECC、TEUC和ITCM之间攻击总数的比较如图10所示。从这个图中，我们可以看到，当恶意的百分比增加时，攻击的数目同时增加。如图所示，由于本文的方法ITCM具有最高的信任决策准确性，因此它对恶意设备的所有百分比实例的攻击最少。即使恶意设备的百分比为50，所提出的方法的攻击总数也为647（95%置信区间：561–733）。因为TEUC比TECC具有更高的决策准确性，所以在这种信任管理机制下恶意节点可以发起的攻击更少。

C. 不同百分比的恶意软件的网络生存期

图10  不同恶意设备比例下的网络寿命

本文将网络寿命定义为：耗尽能量的第一个正常IoMT设备的总活跃轮次。如图11所示，当恶意设备的百分比增加时，这三种方法的网络寿命会减少。这是因为当百分比增加时，更多的恶意设备被隔离为头，那么正常设备就有更多的机会被选择为头，然后为其他设备提供数据转发服务.

ITCM比TECC和TEUC的网络寿命更短，因为它具有更高的决策准确性，并将更多的恶意设备从簇中隔离出去。因为一方面，每个IoMT设备在TECC中的整个网络内选择其自己的头，这可能导致更长的平均传输距离。另一方面，防止了更多的恶意设备成为TEUC中的簇头，这增加了正常设备的转发负担。

3. 不同网络规模的比较

A. 不同网络大小的网络寿命

图11  不同网络大小的网络寿命

图9给出了不同网络大小和IoMT设备数量的网络寿命比较。这表明，对于具有相同大小的网络，具有更多IoMT设备的网络具有更短的寿命。这是因为在拥有更多设备的网络中，一个正常的IoMT设备有更多的邻居，那么它就有更多的机会被选为数据传输的可信簇头。该图还显示，对于具有相同数量IoMT设备的网络，由于平均通信距离较长，具有较大尺寸的网络具有较短的寿命。

B. 不同网络大小的信任决策的准确性

图12  针对不同网络大小和IoMT设备数量的攻击总数

图10给出了不同网络规模和IoMT设备数量对信任决策准确性的比较。对于网络大小和IoMT设备数量，从图中可以看出，方法TECC的信任决策准确性明显低于TEUC和ITCM。该案例验证了机器学习技术可以有效提高信任评估的可靠性。本文的方法ITCM比TEUC具有更高的决策精度，这也可以从图中看出。这表明初始训练的信任模型应该在系统的稳定运行阶段自适应更新。

C. 不同网络大小的恶意攻击总数

图11给出了不同网络规模和IoMT设备数量的总攻击次数的比较。在所有网络大小和设备数量的情况下，本文的方法ITCM的攻击最少。这是因为ITCM在三种方法中具有最高的信任决策准确性。对于具有相同数量设备的网络，结果还表明，由于网络寿命较长，规模较小的网络对方法TECC的攻击更多。然而，对于方法TEUC和ITCM，情况正好相反。因为一方面，TEUC和ITCM在信任决策方面的准确性远高于TECC。另一方面，网络中规模较小的IoMT设备具有更多的邻居，因此它可以选择更大概率的可信邻居簇头进行数据传输。