자체 복구형 센서‑액터 네트워크: 안전·실시간·보안 계층화 설계

초록

본 논문은 센서 인프라를 활용해 액터 간 고장 링크를 자동 복구하는 알고리즘을 Event‑B로 형식화하고, RODIN 정리 증명기를 이용해 유한 단계 종료와 분산 실행을 증명한다. 직접 액터‑액터 링크와 센서 기반 간접 링크를 구분해 보안·실시간·안전 요구에 맞는 협조 계층을 정의한다.

상세 분석

이 연구는 무선 센서‑액터 네트워크(WSAN)에서 액터 노드가 고장나거나 통신 링크가 파괴될 경우, 주변에 배치된 저전력 센서 노드를 이용해 대체 경로를 동적으로 구성하는 메커니즘을 제시한다. 핵심은 알고리즘을 Event‑B의 정교한 정제(refinement) 단계로 모델링함으로써, 설계 단계에서부터 형식적 검증을 수행한다는 점이다. 최초 추상 모델은 “액터 집합 A와 센서 집합 S가 존재하고, 각 액터는 인접한 액터와 직접 링크, 혹은 센서 경유 간접 링크를 가질 수 있다”는 전제만을 갖는다. 이후 정제 단계에서 (1) 고장 감지 이벤트, (2) 대체 경로 탐색 및 선택, (3) 경로 설치와 검증, (4) 복구 완료 확인이라는 네 개의 구체적 이벤트가 추가된다. 각 이벤트는 가드와 액션으로 명시되며, 가드 조건은 네트워크 토폴로지와 링크 상태를 정확히 반영한다.

정리 증명에서는 두 가지 주요 속성을 입증한다. 첫째, 종료성(termination): 모든 고장 상황에서 알고리즘이 유한 단계 내에 복구를 마치고 정상 상태로 전이함을, 자연수 감소 함수(예: 남은 복구 대상 액터 수)를 이용해 보인다. 둘째, 분산성(distributability): 각 액터는 자신의 로컬 정보와 인접 센서의 상태만을 사용해 독립적으로 복구 절차를 수행하므로, 중앙 집중식 제어가 필요 없음을 증명한다. 이러한 증명은 RODIN 플랫폼의 자동 정리 증명기와 수동 증명 지원을 결합해 완전히 기계 검증된다.

또한 논문은 복구 경로의 계층화를 제안한다. 직접 액터‑액터 링크는 가장 높은 보안 수준과 최소 지연을 제공하므로, 기밀 데이터 교환이나 인증 절차에 사용한다. 센서 기반 간접 링크는 대역폭이 낮고 지연이 다소 크지만, 네트워크 전반에 걸친 가용성을 높이는 역할을 한다. 따라서 실시간 제약이 약한 데이터(예: 환경 모니터링)에는 간접 경로를 우선 사용한다. 마지막으로 안전‑중요한 제어 명령은 두 경로를 동시에 활용해 다중 경로 신뢰성을 확보한다(예: 이중 전송, 교차 검증). 이러한 협조 클래스는 형식 모델에 “링크 유형” 변수와 “우선순위 매트릭스”를 도입해 명시적으로 표현되며, 정제 과정에서 각 클래스별 정책이 일관되게 유지되는지 검증한다.

기술적 기여는 다음과 같다. (1) WSAN 복구를 위한 형식적 알고리즘을 최초로 Event‑B로 정제하고, RODIN을 통해 전 자동 증명 체계를 구축했다. (2) 종료성과 분산성을 수학적으로 보장함으로써, 실제 배치 시 무한 루프나 중앙 병목 현상을 방지한다. (3) 다중 레벨 협조 모델을 도입해 보안·실시간·안전 요구를 명확히 구분하고, 각 요구에 맞는 경로 선택 메커니즘을 제공한다. (4) 센서 인프라를 재활용함으로써 추가 하드웨어 비용 없이 복구 능력을 크게 향상시킨다.

이러한 접근은 기존의 단순 복구 프로토콜(예: 재전송, 라우팅 재계산)과 달리, 형식 검증을 통해 설계 오류를 사전에 차단하고, 다양한 서비스 수준을 동시에 만족시키는 다층 구조를 제공한다는 점에서 학술적·실용적 의의가 크다.