(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210927078.2 (22)申请日 2022.08.03 (71)申请人 国网浙江省电力有限公司桐乡市供 电公司 地址 314500 浙江省嘉兴 市桐乡市梧桐街 道环园路818号 (72)发明人 刘书涵　刘国良　徐宏　花志伟　 李鑫　张杰　胡遨洋　朱重希　 (74)专利代理 机构 杭州杭诚专利事务所有限公 司 33109 专利代理师 刘正君 (51)Int.Cl. H04L 9/40(2022.01) H04W 12/06(2021.01) H04W 12/40(2021.01)H04L 9/32(2006.01) (54)发明名称 一种面向边 缘设备的动态信任评估方法 (57)摘要 本发明公开了一种面向边缘设备的动态信 任评估方法， 首先利用SM9标识算法对边缘设备 进行单域和跨域的身份认证； 其次， 利用时间退 化因子、 引入满意度函数修正贝 叶斯方程， 结合 激励机制评估边缘设备直接信任度， 并利用改进 的灰关联分析法确定指标权重， 评估设备的间接 信任度， 进而融合直接信任度和间接信任度得出 设备的行为信任， 同时利用动态更新因子， 动态 更新行为信任值； 最后根据设备的身份认证结果 和行为信任度综合得出边缘设备的综合信任度。 本发明在降低恶意设备中误检率的同时一定程 度上提高了设备间交互成功率， 并且 该动态信任 评估方法在时间开销方面优于其他方法， 更加准 确高效。 权利要求书4页 说明书9页 附图1页 CN 115484054 A 2022.12.16 CN 115484054 A 1.一种面向边 缘设备的动态信任评估方法， 其特 征在于， 包括以下步骤： 步骤S1： 边 缘设备身份信任认证； 步骤S2： 边 缘设备行为信任评估； 步骤S3： 边 缘设备综合信任度计算。 2.根据权利要求1所述的一种面向边缘设备的动态信任评估方法， 其特征在于， 步骤S1 中， 利用国密S M9验证机制对边缘 终端设备进 行身份验证， 包括单域边缘 终端设备的身份认 证和跨域边缘终端设备的身份认证。 3.根据权利要求2所述的一种面向边缘设备的动态信任评估方法， 其特征在于， 所述单 域边缘终端设备的身份认证， 具体过程包括以下步骤： 步骤A1： 终端 设备edi加入网络中， 向边缘计算层节点es1发送身份认证请 求， 从PKG获得 对应的密钥， 应用于会话的密钥通信， 所述身份认证请求包含所述终端设备edi和所述边缘 计算层节点es1的身份标识， 利用SM9签名算法， 运用终端设备e di的私钥进行签名计算对应 的数字签名(h,s)： edi→es1:AccessRep||N1||edi||es1‖ h ‖S 其中， AccessRep为终端设备 edi接入时的身份认证请求， N1为随机数； 步骤A2： 边缘计算层节点es1在接收到终端设备edi的身份认证请求后， 利用SM9签名算 法对其进行签名验证， 经过验证后 边缘计算层节点es1将该终端设备edi的身份标识信息保 存到认证列表中， 并将加密的认证信息反馈给终端设备 edi： es1→edi:AccessRsp ‖ es1‖ Cipher ‖ h ‖S 其中， AccessRsp代表请求响应标识； 具体过程如下： 首先计算群G1中的QD值： QD＝[H1(edi‖ hid,N)]P1+Ppub‑e； 然后根据 产生的随机数r计算群G1中的Cipher值， Cipher为密文， 其中r∈[1,N ‑1]； 再利用KDF计算被封装的密钥Key， 其中Key值为边缘计算层节点es1和终端设备edi的共 享密钥： Key＝KDF(Cipher ‖(Ppub‑e,P2)r‖D,klen) 其中， klen为密钥长度； 步骤A3： 边缘终端设备edi在接收到边缘计算层节点es1的响应包后， 对接收到的Cip her 进行解析， 从而获取响应包的密钥key： edi→es1:AccessAck‖ key(edi‖ es1) 其中， AccessAck代表确认响应； 具体过程如下： 首先需要判断Cipher是否属于群G1中的元素， 不属于则输入0， 属于则计算GT中的w′值： 其中， 为终端密钥； 再利用SM9签名算法将数据转换为比特流从而计算出响应包的密钥key： key＝KDF(Cipher ‖ w ′‖ edi,klen)权　利　要　求　书 1/4 页 2 CN 115484054 A 2若密钥为0， 则身份认证失败； 反 之身份认证成功。 4.根据权利要求2所述的一种面向边缘设备的动态信任评估方法， 其特征在于， 所述跨 域边缘终端设备的身份认证， 具体过程包括以下步骤： 步骤B1： 当终端 设备edi移动到另一个领域时， 向边缘计算层节点es2发送跨域身份认证 请求， 并对身份标识进行加密， 计算出 数字签名发送给边 缘计算层节点es2： edi→es2:Reauth ‖ edi‖ es1‖ es2‖ C ‖ N1 其中， Reauth代 表跨域请求， N1为随机数； 其中， 对身份标识进行加密 如下： C＝Ekey_old(edi‖ es1‖ es2)； 步骤B2： 根据身份标识验证是否与原领域有信任关系， 若存在信任关系则直接执行步 骤S3， 否则， 新 领域向原边缘计 算层节点 es1发送请求获取认证信息， e s1接收到请求后， 首先 利用数字证书对es2进行身份认证， 获取es2的公钥 在es2接收到反馈信息时， 对es1进 行验证， 从而获取 es1的公钥 步骤B3： 跨域的终端设备的认证信息由e s1和es2共同得出， 首先根据e s2产生的 计算 出 将信息发送给 es1： 其中， KeyAgree代表协商的请求， N2为随机数； 步骤B4： es1在接收到请求后， 验证终端设备edi的身份和接收到的跨域信息， 根据 和rg2计算得到 进而获得最终的终端设备身份认证信息， 并将信 息反馈给IDg2； 5.根据权利要求1所述的一种面向边缘设备的动态信任评估方法， 其特征在于， 步骤S2 包括以下步骤： 步骤S21： 基于改进的贝叶斯方法的直接信任评估； 步骤S22： 基于改进的灰关联分析的间接信任评估； 步骤S23： 行为信任度计算及更新。 6.根据权利要求5所述的一种面向边缘设备的动态信任评估方法， 其特征在于， 步骤 S21包括以下步骤： 步骤S211： 引入满意度q(t)对beta密度分布函数进行修 正： 加入满意度修 正因子的直接信任评估方法： 其中， ek∈[0,1]为评估设备节点对交互参与的影响因素k评价， wk为评价权值， wk∈[0, 1]；权　利　要　求　书 2/4 页 3 CN 115484054 A 3