0 引　言

利用物联网技术构建可覆盖全船的感知与互联网络^[1]，是实现舰船智能化运营的核心基石。然而，大量物联网终端的接入，极大扩张了舰船网络的攻击面，任何一个终端的漏洞都可能成为攻击者用以破坏舰船关键系统、窃取敏感数据甚至夺取部分控制权的战略支点，使舰船物联网面临严峻安全挑战^[2]。建立有效防御机制，降低舰船物联网终端失陷风险成为当下亟待解决的问题^[3]。

蒋屹新等^[4]利用零信任模型输出设备信任评估结果，结合RBF神经网络输出的网络安全风险预测结果，动态生成并优化网络设备访问控制策略，实现网络数据的安全防护。该方法虽能调整设备的访问权限，但缺乏从源头消除威胁的主动防御能力。顾智敏等^[5]通过在终端边缘节点处分布式布置零信任引擎，并结合突发性信任评估模型自动隔离失陷终端，以阻断网络攻击带来的威胁。该方法能够对出现异常行为的终端进行隔离，但忽略了其自身漏洞才是导致其行为异常的根本原因。刘思尧等^[6]通过在硬件中嵌入可信根，在设备启动时逐级度量软件完整性，构建信任链，并利用远程证明向网络报告自身可信状态，确保设备从启动到接入的全过程安全可信。然而，该方法不仅无法实现设备的持续动态验证，而且对漏洞、攻击的防御能力较弱。零信任安全架构通过对终端设备进行持续的身份验证和权限管理，能够有效应对复杂网络环境下的安全风险。为此，本文研究舰船物联网终端的零信任安全架构设计与漏洞检测方法，保障舰船在复杂环境下的安全稳定运行。

1 舰船物联网终端零信任安全架构

舰船物联网结构复杂，终端设备分布广泛且类型多样，为了抵御终端漏洞和外部各类攻击威胁，依据零信任原则对接入舰船物联网的全部终端进行持续身份验证、最小权限授权，确保舰船物联网安全平稳运行。本文引入边缘计算思想，依据舰船的物理结构与功能分区特性对舰船物联网进行划分，将零信任组件分布式部署于舰船物联网的各个边缘区域中，以提高舰船物联网终端的认证效率、降低终端失陷威胁响应延迟。本文设计的舰船物联网终端零信任安全架构如图1所示，其核心为端、边、云协同的三层式零信任安全模型，各层具体功能如下：

1）终端层。该层由舰船上种类繁多的物联网终端构建而成，包含多类型传感器、智能仪表、各类执行器等。利用集成于各舰船物联网终端上的ZTC进行实时环境感知，捕获其网络行为数据、数据访问申请信息以及终端自身存在的漏洞数据等，并及时上传给边缘层。

2）边缘层。该层由信任存储引擎群（TSE）、零信任引擎群（ZTE）构成，二者均部署在各个边缘区域的物联网终端附近，前者用于将ZTC上传的所有信息保存于区块链上；后者采用“一主多备”模式运行，通过对ZTE进行虚拟化处理，生成3个虚拟机，分别承载PEP、PE、PA的角色。ZTE由漏洞检测模块和信任评估模块构成，PE调取区块链上存储的终端漏洞数据，实现终端漏洞检测，并将检测结果反馈给信任评估模块；后者对每个舰船物联网终端进行信任评估，生成基础信任值，结合漏洞检测结果，生成动态信任值，认证舰船物联网终端是否存在失陷风险，并向PA、PEP通报认证结果。PA为通过认证的舰船物联网终端出具授权凭证，并提供给PEP进行查验。PEP对可信终端予以放行，并向云层上传认证结果。

舰船环境中终端分布分散，区块链的去中心化特性可避免单一存储节点故障导致的信任数据丢失，提升数据可用性。舰船多分区协同场景下，区块链的分布式共识机制可实现跨边缘区域的信任数据共享，无需依赖中心节点转发，适配舰船分布式网络架构。

3）云层。该层的职责是为通过认证的舰船物联网终端提供与之访问请求相符的服务与资源。

2 基于零信任的舰船物联网终端漏洞检测方案

零信任架构假定所有接入舰船物联网的终端均不可信，收集物联网终端漏洞数据进行漏洞检测，将其作为反馈信息，对终端进行动态信任评估，仅允许满足安全要求的终端进入舰船物联网内部，可有效阻断从最薄弱环节发起的攻击路径，提高舰船运行数据以及关键作战系统数据的安全性与完整性。因此，本文设计基于零信任的舰船物联网终端漏洞检测方案，该方案由零信任引擎分布式部署、终端漏洞检测以及动态信任评估3部分构成。

2.1 零信任引擎分布式部署

在每个终端附近逐一配置零信任引擎，是零信任安全架构实现的关键环节，不仅确保对每一个终端设备访问请求的实时、就近验证与动态授权，而且能够有效降低响应延迟，从而避免终端失陷威胁在舰船物联网中横向移动。对作为零信任引擎的边缘服务器进行虚拟化，并抽象为3个功能独立的虚拟机，分别承载PEP、PE、PA角色。三者之间的协同运作为零信任安全架构提供了持续验证、动态授权的能力，具体过程如下：

1）舰船物联网终端发起数据访问申请后，经由ZTC实时感知并构建出认证请求转发给PEP。

2）PEP截获舰船物联网终端的数据访问申请后，将其中的认证请求发送给PE。

3）PE从区块链中提取ZTC捕获的终端漏洞数据进行漏洞检测，并根据漏洞检测结果生成动态信任值，判断该终端是否存在失陷威胁，完成终端认证，向PA、PEP通报认证结果。

4）PA为无失陷威胁的舰船物联网终端出具授权凭证，并发送给PEP。

5）PEP对收到的授权凭证进行核验后，提交给云层的数据中心。

6）数据中心向PEP下达终端准许接入指令，并提供满足终端权限的访问资源。

2.2 舰船物联网终端漏洞检测

漏洞检测是实现舰船物联网终端零信任动态评估的关键前置环节，它通过主动识别终端安全缺陷，为后续信任评估和访问控制决策提供直接的数据支撑。设定监测到的舰船物联网终端漏洞数据表示为$ X=\left\{{x}_{1},{x}_{2},\ldots ,{x}_{n}\right\} $，经过清洗、归一化处理后，可得到新的漏洞数据$ {y}_{i} $：

$ Q=\left\{{Q}_{1},{Q}_{2},\ldots ,{Q}_{j},\ldots ,{Q}_{n}\right\}。$

(1)

式中：$ \zeta \left[\cdot \right] $、$ {\eta }^{0} $分别为数据清洗函数以及归一化系数；$ {\varepsilon }_{i} $为调节常数，其值分布于(0,1)区间，$ g\left({W}^{*}\right) $为实现漏洞数据处理的转换函数。

参照现有漏洞类别，生成舰船物联网终端漏洞数据特征提取规则，具体公式描述为：

$\left\{ \begin{aligned} &\chi \left({y}_{i},{q}_{j}\right)=\frac{\mathrm{cov}\left({y}_{i},{q}_{j}\right)}{\kappa \times \sigma \left({y}_{i}\right)\sigma \left({q}_{j}\right)}，\\& \chi \left({y}_{i},{q}_{j}\right)\geqslant \delta ,{y}_{i}\in \chi，\\ &\chi \left({y}_{i},{q}_{j}\right) < \delta ,{y}_{i}\notin \chi 。\\ \end{aligned}\right. $

(2)

式中：$ {y}_{i} $为待提取的样本；$ {q}_{j} $为待提取的特征类型；$ \chi $为与$ {q}_{j} $有关的漏洞特征数据；$ \mathrm{cov}\left(\cdot \right) $为协方差计算函数；$ \sigma \left(\cdot \right) $为方差计算函数；$ \kappa $为实现舰船物联网终端漏洞数据特征提取的决策参数；$ \delta $为设定的相关性阈值。

基于式（2）提取的舰船物联网终端漏洞数据特征表示为$ Q=\left\{{Q}_{1},{Q}_{2},\ldots ,{Q}_{j},\ldots ,{Q}_{n}\right\} $。将其与漏洞特征库中存储的特征信息进行比较，可实现舰船物联网终端漏洞检测。通过计算其与$ Q $的相似度，可获得舰船物联网终端漏洞检测结果，计算公式为：

$ {v}_{i}={y}_{i}\frac{Q\cap {u}_{p}}{Q\cup {u}_{p}}。$

(3)

式中：$ {u}_{p} $为存储于漏洞特征库中的特征信息；$ p $为漏洞特征类别数量；$ Q\cap {u}_{p} $为提取的漏洞特征集合$ Q $与已知漏洞特征集合$ {u}_{p} $的交集，即同属于这2个集合的漏洞特征；$ Q\cup {u}_{p} $为属于其中一个集合中的漏洞特征，二者的比值用来衡量$ Q $与$ {u}_{p} $的相似度。

2.3 舰船物联网终端动态信任评估

为了防止攻击者将漏洞终端作为跳板向舰船物联网发起攻击，窃取关键敏感数据，本文利用长短期记忆网络（LSTM）处理ZTC感知的终端网络行为数据，提取反映终端行为的规则化信任因素，通过Beta分布对信任因素进行量化，计算反映终端行为的基础信任值，通过与终端漏洞检测结果融合，生成一个综合性的动态信任值，以此验证舰船物联网终端是否可信，为终端持续认证与动态授权提供决策依据。

$ z\left(t\right) $为ZTC感知的终端网络行为数据序列，将其作为LSTM网络输入，捕捉终端行为模式特征，输出反映终端行为异常的规则化信任因素 $ \Phi = $ $\left\{NT{R}_{i}, AT{F}_{i}\right\} $，其中$ NT{R}_{i} $、$ AT{F}_{i} $分别为正常、异常信任因素。LSTM网络的处理公式描述为：

$\left\{ \begin{aligned} &{f}_{t}=\mu \left({W}_{f}{z}_{t}+{U}_{f}{h}_{t-1}+{b}_{f}\right)，\\ &{i}_{t}=\mu \left({W}_{i}{z}_{t}+{U}_{i}{h}_{t-1}+{b}_{i}\right)，\\& {o}_{t}=\mu \left({W}_{o}{z}_{t}+{U}_{o}{h}_{t-1}+{b}_{o}\right)，\\& {C}_{t}={f}_{t}*{C}_{t-1}+{i}_{t}*\tanh \left({W}_{c}{z}_{t}+{U}_{c}{h}_{t-1}+{b}_{c}\right)，\\& {h}_{t}={o}_{t}*\tanh \left({C}_{t}\right)。\\ \end{aligned} \right.$

(4)

式中：$ {f}_{t} $、$ {i}_{t} $、$ {o}_{t} $分别为在$ t $时刻，遗忘门、输入门以及输出门的处理结果；$ {h}_{t} $、$ {C}_{t} $分别为该时刻的隐藏状态、记忆状态；$ {\boldsymbol{W}} $、$ {\boldsymbol{U}} $分别为作用于当前状态、历史状态的权重矩阵；$ b $为偏置参数；激活函数为$ \mu $。

Beta分布具有计算便捷、灵活性强等优势，因其能与信任分布实现良好匹配，具有极强在信任评估领域备受青睐。因此，本文选用Beta分布作为构建舰船物联网终端基本信任值的概率统计基础。通过下式定义Beta分布的概率密度函数：

$ Beta\left(\alpha ,\beta \right)=\frac{\varphi \left(\alpha ,\beta \right)}{\varphi \left(\alpha \right)\varphi \left(\beta \right)}{p}^{\alpha -1}{\left(1-p\right)}^{\beta -1}。$

(5)

式中：$ p $为舰船物联网终端行为发生概率，$ p\in \left[0,1\right] $，$ \alpha > 0 $，$ \beta > 0 $。

Beta分布的概率期望值通过下式计算得出：

$ E\left(Beta\left(\alpha ,\beta \right)\right)=\frac{\alpha }{\alpha +\beta }。$

(6)

将$ \Phi =\left\{NT{R}_{i},AT{F}_{i}\right\} $作为求解舰船物联网终端基础信任值的依据。对于第$ i $个舰船物联网终端，首先统计$ NT{R}_{i} $中正常行为次数和$ AT{F}_{i} $中异常行为次数，分别为$ {n}_{i} $、$ {a}_{i} $。然后，对Beta分布参数进行赋值，即$ \alpha ={n}_{i}+1 $，$ \beta ={a}_{i}+1 $。再通过下式求得该终端的基本信任值。在考虑信任时效性的同时，将舰船物联网终端漏洞检测结果作为反馈信息，根据反馈信息的计算结果判断申请数据访问的舰船物联网终端是否可信，可信终端具备接入舰船物联网的资格，能够访问满足其权限的数据资源。否则，PEP会拒绝其数据访问请求。

3 结果与分析

本文在舰船物联网环境下开展实验研究，依据某型驱逐舰的网络拓扑结构，将其物联网环境划分为作战指挥、机电控制、航行保障以及生活服务4个分区，并通过端-边-云协同架构进行互联，通过ZTC对各分区终端设备进行实时监测，构建实验数据集，该数据集由正常、不同类型攻击流量数据、多种终端漏洞数据以及行为数据构成。其中正常行为数据包含100台终端连续72 h的网络流量、数据访问日志、设备运行状态参数，共120万条样本。攻击流量数据包含端口扫描、伪造认证请求、后门植入3类典型攻击场景，攻击样本共35万条。漏洞数据包含终端固件漏洞、通信协议漏洞等12类舰船物联网终端常见漏洞的特征数据，共18万条样本。抽取85%数据作为训练样本，将剩余15%数据作为测试样本。实验环境参数如表1所示。将研究方法应用到舰船物联网终端的零信任安全架构设计和漏洞检测中，分析其在舰船物联网安全防护上的性能优势。

决策参数$ \kappa $是决定舰船物联网终端漏洞检测性能的重要参数。模拟低负载（网络流量小）、中负载（网络正常流量突增）、高负载（含有大量攻击流量）3种不同网络状况，通过F1 score指标评价终端漏洞检测效果，分析上述3种工况下$ \kappa $与F1 score指标的对应关系，验证研究方法面对不同网络环境的稳定性与适应性，实验结果如图2所示。分析图2得出，随着$ \kappa $参数的不断增大，3种实验工况下的F1 score指标值总体均呈现先增后减的变化规律。低负载状态下，$ \kappa $参数取值为0.5时，可使F1 score指标值上升至最大，达到0.90左右；中负载状态下，正常网络流量突然激增，对舰船物联网终端漏洞检测影响甚微，依然在$ \kappa $参数为0.5时，使F1 score达到峰值0.89。高负载状态下，舰船物联网因遭受复杂网络攻击，使得网络极度拥塞，此时F1 score峰值下滑至0.85，$ \kappa $参数向左偏移至0.45。实验结果表明，舰船物联网负载状况能够对$ \kappa $参数取值产生一定影响，但依然能找到与F1 score的平衡点，将终端漏洞检测效果维持在较好水平。

舰船物联网终端信任值是判别其是否可信的依据。将基础信任值方案作为基准方案，将其与引入时间衰减因子的方案、研究方法所用的动态信任评估方案进行对比，不同方案下，终端信任值在50轮实验下的变化情况如图3所示。分析得出，在前20轮实验中，3种信任评估方案下物联网终端信任值高于阈值，为可信终端，可成功接入舰船物联网。20轮以后，终端设备面临失陷威胁，基准方案计算出的信任值维持在0.9左右，终端设备始终能通过安全认证。引入时间衰减因子的信任评估方案终端信任值衰减较慢，且高于阈值，增加了失陷风险，给舰船物联网带来极大安全威胁；研究方法计算的动态信任值小于阈值，能够更快地对终端失陷威胁作出响应，实现不可信终端的成功拦截，有效提高舰船物联网的安全水平。

为验证研究方法在复杂舰船物联网场景下的有效性，对网络攻击情况进行如下模拟：攻击者通过钓鱼邮件在船员智能终端、网络打印机上植入后门程序，将其作为攻击代理对包括舵机控制器在内的8个终端设备进行端口扫描，并发送伪造认证请求，终端设备信任值、认证情况、平均响应时间指标统计结果如表2所示。分析得出，研究方法可确定船员各物联网终端动态信任值，船员智能终端、网络打印机因被攻击者攻陷，导致其信任值低于阈值0.5，是不可信终端，其认证请求均被拒绝；其余终端均未受到攻击代理的影响，动态信任值均高于0.81，为可信终端，均成功通过认证。平均响应时间达到85 ms，符合舰船物联网环境对响应时间的要求。实验结果表明，研究方法可有效维护舰船物联网数据安全，阻止不可信终端接入舰船物联网。

4 结　语

本文研究舰船物联网终端的零信任安全架构设计与漏洞检测方法，其核心性能优势在于通过零信任引擎的分布式部署、对终端失陷风险的主动防御，显著提升了认证效率与威胁响应速度，有效降低了失陷终端横向移动的风险。展望未来，研究可进一步探索利用联邦学习技术在保护数据隐私的前提下提升漏洞检测模型的泛化能力，并结合强化学习实现访问策略的自适应优化，从而构建更加智能、主动和鲁棒的舰船纵深防御体系。