一种面向边缘设备的动态信任评估方法技术

本发明专利技术公开了一种面向边缘设备的动态信任评估方法，首先利用SM9标识算法对边缘设备进行单域和跨域的身份认证；其次，利用时间退化因子、引入满意度函数修正贝叶斯方程，结合激励机制评估边缘设备直接信任度，并利用改进的灰关联分析法确定指标权重，评估设备的间接信任度，进而融合直接信任度和间接信任度得出设备的行为信任，同时利用动态更新因子，动态更新行为信任值；最后根据设备的身份认证结果和行为信任度综合得出边缘设备的综合信任度。本发明专利技术在降低恶意设备中误检率的同时一定程度上提高了设备间交互成功率，并且该动态信任评估方法在时间开销方面优于其他方法，更加准确高效。确高效。确高效。

【技术实现步骤摘要】
一种面向边缘设备的动态信任评估方法


[0001]本专利技术涉及零信任
，具体涉及一种面向边缘设备的动态信任评估方法。

技术介绍

[0002]随着5G网络的普及和物联网技术的飞速发展，加速了万物互联时代的进程，同时也转变了位于网络边缘的终端设备的持有角色，从单一的数据使用者转为既产生数据又使用数据的双重角色，传统的云计算模式已无法支撑众多终端设备产生的海量数据，因此，边缘计算应时而生。边云结合的集中式处理模型，可以高速有效地处理海量数据。边缘计算是开放式的环境且具有实时性、动态性、复杂性、资源受限性等特性，也会引发环境中设备安全和数据隐私泄露的问题。在边缘计算环境中，对于边缘设备的可信度是否可以有效地被评估成为一个重要的研究课题。
[0003]身份信任认证是验证边缘设备在环境中身份是否得到认证，而身份认证也是设备接入环境进行信息交互的一个评判标准。随着边缘计算的发展，传统的基于云计算“云—端”的身份认证框架也逐渐向基于边缘计算的身份验证架构转变。在边缘计算环境下的设备交互中，传统的身份验证架构存在一定的局限性，由于边缘设备可能存在资源受限的特点，而传统的PKI体制过度消耗设备的资源，进而无法适用于边缘计算环境中设备的身份认证。由于边缘计算环境中设备移动性较强，如何实现不同边缘设备切换时的高效认证具有很大挑战。显然，低耗高效的身份认证技术是保证边缘计算安全的前提。因此，设计适用于边缘计算环境的身份认证方案是必要的。

技术实现思路

[0004]针对上述问题，本专利技术提出了一种面向边缘设备的动态信任评估方法，首先利用SM9标识算法对边缘设备进行单域和跨域的身份认证；其次，利用时间退化因子、引入满意度函数修正贝叶斯方程，结合激励机制评估边缘设备直接信任度，并利用改进的灰关联分析法确定指标权重，评估设备的间接信任度，进而融合直接信任度和间接信任度得出设备的行为信任，同时利用动态更新因子，动态更新行为信任值；最后根据设备的身份认证结果和行为信任度综合得出边缘设备的综合信任度。本专利技术在降低恶意设备中误检率的同时一定程度上提高了设备间交互成功率，并且该动态信任评估方法在时间开销方面优于其他方法，更加准确高效。
[0005]为了实现上述目的，本专利技术采用以下技术方案：
[0006]一种面向边缘设备的动态信任评估方法，包括以下步骤：步骤S1：边缘设备身份信任认证；步骤S2：边缘设备行为信任评估；步骤S3：边缘设备综合信任度计算。本专利技术提出了一种面向边缘设备的动态信任评估方法，基于边缘计算中的身份信任和行为信任两个方面，面向边缘计算环境中的终端设备构建动态信任评估方法。其中边
缘计算层中心节点作为可信固定的设施，而终端设备随着用户的行为呈现动态变化的可能性，所以本专利技术先对边缘终端设备进行身份认证，再对边缘终端设备进行行为信任度评估，最终获得边缘终端设备的综合信任度。具体过程：首先利用国密SM9验证机制对终端设备进行身份认证，其中包括单域和跨域的两种情况对设备进行认证，减小认证过程的时间开销；然后利用满意度函数和时间退化因子改进贝叶斯方程计算行为信任中的直接信任度，并基于改进灰关联方法计算各设备的间接信任的权重，提高间接信任的准确度；最后结合身份认证结果和行为信任共同得出边缘设备的综合信任度。本专利技术在降低恶意设备中误检率的同时一定程度上提高了设备间交互成功率，并且该动态信任评估方法在时间开销方面优于其他方法，更加准确高效。
[0007]作为优选，步骤S1中，利用国密SM9验证机制对边缘终端设备进行身份验证，包括单域边缘终端设备的身份认证和跨域边缘终端设备的身份认证。SM9验证机制摒弃了PKI复杂的验证证书撤销和管理的相关操作，利用双线性对实现并具有安全高效性，更适用于存在海量且资源受限的边缘计算环境。在边缘计算环境中，边缘计算层设备加入环境时需要在云端进行身份认证，终端设备只需要向边缘计算层的设备进行认证身份，无需再向云端发送认证请求，进而实现适用于边缘计算环境的身份认证架构。
[0008]作为优选，所述单域边缘终端设备的身份认证，具体过程包括以下步骤：步骤A1：终端设备ed
i
加入网络中，向边缘计算层节点es1发送身份认证请求，从PKG获得对应的密钥，应用于会话的密钥通信，所述身份认证请求包含所述终端设备ed
i
和所述边缘计算层节点es1的身份标识，利用SM9签名算法，运用终端设备ed
i
的私钥进行签名计算对应的数字签名(h，s)：ed
i
→
es1：AccessRe
p
||N1||ed
i
||es1||h||S其中，AccessRep为终端设备ed
i
接入时的身份认证请求，N1为随机数；步骤A2：边缘计算层节点es1在接收到终端设备ed
i
的身份认证请求后，利用SM9签名算法对其进行签名验证，经过验证后边缘计算层节点es1将该终端设备ed
i
的身份标识信息保存到认证列表中，并将加密的认证信息反馈给终端设备ed
i
：es1→
ed
i
：AccessRsp||es1||Cipher||h||S其中，AccessRsp代表请求响应标识；具体过程如下：首先计算群G1中的Q
D
值：Q
D
＝[H1(ed
i
||hid，N)]P1+P
pub
‑
e
；然后根据产生的随机数r计算群G1中的Cipher值，Cipher为密文，其中r∈[1，N
‑
1]；再利用KDF计算被封装的密钥Key，其中Key值为边缘计算层节点es1和终端设备ed
i
的共享密钥：Key＝KDF(Cipher||(P
pub
‑
e
，P2)
r
||D，klen)其中，klen为密钥长度；步骤A3：边缘终端设备ed
i
在接收到边缘计算层节点es1的响应包后，对接收到的Cipher进行解析，从而获取响应包的密钥key：ed
i
→
es1：AccessAck||key(ed
i
||es1)
其中，AccessAck代表确认响应；具体过程如下：首先需要判断Cipher是否属于群G1中的元素，不属于则输入0，属于则计算G
T
中的w
′
值：其中，为终端密钥；再利用SM9签名算法将数据转换为比特流从而计算出响应包的密钥key：key＝KDF(Cipher||w
′
||ed
i
，klen)若密钥为0，则身份认证失败；反之身份认证成功，并且将设备的身份标识保存至边缘计算层节点中。
[0009]作为优选，所述跨域边缘终端设备的身份认证，具体过程包括以下步骤：步骤B1：当终端设备ed
i
移动到另一个领域时，向边缘计算层节点es2发送本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向边缘设备的动态信任评估方法，其特征在于，包括以下步骤：步骤S1：边缘设备身份信任认证；步骤S2：边缘设备行为信任评估；步骤S3：边缘设备综合信任度计算。2.根据权利要求1所述的一种面向边缘设备的动态信任评估方法，其特征在于，步骤S1中，利用国密SM9验证机制对边缘终端设备进行身份验证，包括单域边缘终端设备的身份认证和跨域边缘终端设备的身份认证。3.根据权利要求2所述的一种面向边缘设备的动态信任评估方法，其特征在于，所述单域边缘终端设备的身份认证，具体过程包括以下步骤：步骤A1：终端设备ed
i
加入网络中，向边缘计算层节点es1发送身份认证请求，从PKG获得对应的密钥，应用于会话的密钥通信，所述身份认证请求包含所述终端设备ed
i
和所述边缘计算层节点es1的身份标识，利用SM9签名算法，运用终端设备ed
i
的私钥进行签名计算对应的数字签名(h,s)：ed
i
→
es1:AccessRep||N1||ed
i
||es1‖h‖S其中，AccessRep为终端设备ed
i
接入时的身份认证请求，N1为随机数；步骤A2：边缘计算层节点es1在接收到终端设备ed
i
的身份认证请求后，利用SM9签名算法对其进行签名验证，经过验证后边缘计算层节点es1将该终端设备ed
i
的身份标识信息保存到认证列表中，并将加密的认证信息反馈给终端设备ed
i
：es1→
ed
i
:AccessRsp‖es1‖Cipher‖h‖S其中，AccessRsp代表请求响应标识；具体过程如下：首先计算群G1中的Q
D
值：Q
D
＝[H1(ed
i
‖hid,N)]P1+P
pub
‑
e
；然后根据产生的随机数r计算群G1中的Cipher值，Cipher为密文，其中r∈[1,N
‑
1]；再利用KDF计算被封装的密钥Key，其中Key值为边缘计算层节点es1和终端设备ed
i
的共享密钥：Key＝KDF(Cipher‖(P
pub
‑
e
,P2)
r
‖D,klen)其中，klen为密钥长度；步骤A3：边缘终端设备ed
i
在接收到边缘计算层节点es1的响应包后，对接收到的Cipher进行解析，从而获取响应包的密钥key：ed
i
→
es1:AccessAck‖key(ed
i
‖es1)其中，AccessAck代表确认响应；具体过程如下：首先需要判断Cipher是否属于群G1中的元素，不属于则输入0，属于则计算G
T
中的w
′
值：其中，为终端密钥；再利用SM9签名算法将数据转换为比特流从而计算出响应包的密钥key：key＝KDF(Cipher‖w
′
‖ed
i
,klen)
若密钥为0，则身份认证失败；反之身份认证成功。4.根据权利要求2所述的一种面向边缘设备的动态信任评估方法，其特征在于，所述跨域边缘终端设备的身份认证，具体过程包括以下步骤：步骤B1：当终端设备ed
i
移动到另一个领域时，向边缘计算层节点es2发送跨域身份认证请求，并对身份标识进行加密，计算出数字签名发送给边缘计算层节点es2：ed
i
→
es2:Reauth‖ed
i
‖es1‖es2‖C‖N1其中，Reauth代表跨域请求，N1为随机数；其中，对身份标...

【专利技术属性】
技术研发人员：刘书涵，刘国良，徐宏，花志伟，李鑫，张杰，胡遨洋，朱重希，
申请(专利权)人：国网浙江省电力有限公司桐乡市供电公司，
类型：发明
国别省市：