CN111641637A - 一种基于信任评估的边缘节点计算结果可信判别方法 - Google Patents

Abstract

本发明涉及一种基于信任评估的边缘节点计算结果可信判别方法，属于数据处理技术领域。本发明确保工业边缘节点输出的计算结果可信的安全机制，防止工业边缘节点输出错误数据和抵御恶意边缘节点的虚假数据攻击，保证工业云输入未被篡改的可信计算结果，以及使得现场设备接收到正确的计算结果，而不是恶意或无意义的消息，从而提高工业生产的效率和安全性。

Description

一种基于信任评估的边缘节点计算结果可信判别方法

技术领域

本发明属于数据处理技术领域，涉及一种基于信任评估的边缘节点计算结果可信判别方法。

背景技术

工业网络中引入边缘计算，在网络边缘中执行数据处理和存储，能够解决节点请求延时，云服务器存储和计算负担过重、网络传输带宽压力过大等问题。边缘计算将云计算的服务资源扩展到了网络边缘，解决了云计算移动性差、地理信息感知弱、时延高等问题。然而，边缘计算在应用于数据分析的同时也给工业边缘计算网络中的边缘节点带来了新的安全和隐私挑战。在满足工业网络中高实时性要求的同时，确保工业云和边缘节点之间的数据完整性、以及现场设备收到正确计算结果是一项挑战。由于边缘节点向外直接接入了互联 网络，进而将工业现场设备直接暴露于互联网络中，存在非常大的安全隐患，特别是数据的安全问题。

目前，国内外关于确保工业边缘节点与工业云之间通信信息可信的研究较少，大部分都研究的是信息在传输过程中未被篡改，但无法确保边缘节点计算结果可信，即边缘节点输出的计算结果正确。为了解决这一问题，本发明设计了一种基于信任评估的确保边缘节点输出可信计算结果的方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于信任评估的边缘节点计算结果可信判别方法。

为达到上述目的，本发明提供如下技术方案：

一种基于信任评估的边缘节点计算结果可信判别方法，该方法包括以下步骤：

S1网络运行前

待加入的边缘节点将身份信息ID_Ai发送至边缘代理进行注册，安全管理员设定各边缘节点在工业生产环境中允许计算出错的错误率ER_Ai；边缘代理用ε标记证据是第几次收集的证据(ε＝1，2，...，CN_τ)，用τ标记信任相关信息是第几轮计算的信任值(τ∈N)，评估初始信任值时τ＝0，更新信任值时τ≥1；CN_τ表示边缘代理第τ轮计算信任值时需要证据收集的总次数，t_τ表示边缘代理开始第τ轮计算信任值的时间。边缘代理验证边缘节点的身份后，开始评估边缘节点的初始信任值；

S11证据收集

t₀时边缘代理开始评估边缘节点的初始信任值，边缘代理随机生成待算数据集合

并生成相邻数据两两计算后的结果集合

作为参考集合，本方案规定初始信任值评估所需证据收集次数CN₀为3；

边缘代理将待算集合发送给边缘节点，边缘节点计算后将计算结果集合

及计算结果哈希值集合

发送给边缘代理；

边缘代理根据边缘节点计算结果集合

计算其对应的哈希值

边缘代理记录其第ε次发送待算集合的时间

计算完成时间

接收边缘节点Ai 计算结果的时间

i为节点个数i＝1,2,...,n。

S12证据处理

边缘代理对收集到的数据处理如下：

(1)准确性为正确计算结果个数占总数据个数的比重；第ε次证据收集的准确性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算结果集合

和边缘节点Ai计算结果集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(2)完整性为完整数据个数占总数据个数的比重；第ε次证据收集的完整性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算的结果哈希值集合

和边缘节点Ai 计算的结果哈希值集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(3)及时性为边缘节点Ai与边缘代理的计算效率之差；第ε次证据收集的及时性计算公式如下：

式中

为第ε次证据收集时，边缘节点的计算效率；

为第ε次证据收集时，边缘代理的计算效率，τ表示第τ轮信任计算。

边缘代理评估初始信任值时，边缘代理根据其发送第ε次待算集合的时间

计算完待算集合的时间

接收边缘节点Ai计算结果的时间

计算CN₀次边缘节点的计算效率

和边缘代理的计算效率

代入(3)式，计算得到CN₀个边缘节点Ai的及时性。

边缘代理评估初始信任值时，利用(1)式、(2)式和(3)式处理3次收集的证据，得到待加入的边缘节点Ai准确性、完整性和及时性的值各3个；

S13初始信任评估

1)计算初始信任值

直接信任值是边缘节点完成请求任务能力的量化值，它基于边缘代理与边缘节点之间的交互记录历史；边缘代理计算边缘节点初始信任值时，边缘节点处于待运行状态；边缘代理分别对待运行的边缘节点的直接信任因素进行模糊评价，计算直接信任值步骤如下：

(a)确定因素集

评价集

V₁为不可信、 V₂为不确定、V₃为可信；规定V₁、V₂、V₃对应的隶属度的大小分别为：当0≤μ^un＜β_u时，为不可信；当β_u≤μⁱⁿ＜β_c时，为不确定；当β_c≤μ^cr≤1时，为可信；β_u，β_c为不可信和可信的阈值；边缘代理计算准确性、完整性和及时性的隶属度，计算公式如下：

①第ε次证据收集的准确性的隶属度计算公式为：

②第ε次证据收集的完整性的隶属度计算公式为：

③第ε次证据收集的及时性的隶属度计算公式为

其中

(b)计算第τ轮信任计算时准确性、完整性和及时性对应的隶属度属于V₁，V₂，V₃的比重，分别为{r_11-τ，r_12-τ，r_13-τ}，{r_21-τ，r_22-τ，r_23-τ}，{r_31-τ，r_32-τ，r_33-τ}，例如

为CN_τ个准确性隶属度中在不可信隶属度范围内的个数；边缘代理得到评判矩阵

(c)利用熵权法计算准确性、完整性和及时性对应的权重，计算步骤如下：

①准确性、完整性和及时性对应的CN_τ次隶属度

组成矩阵

②计算准确性、完整性和及时性对应的信息熵：

其中

③计算准确性、完整性和及时性对应的权重：

为避免某因素离散程度过小可能出现权重为零的情况，准确性、完整性和及时性对应的权重范围分别为α₁∈[0.5，0.8]、α₂∈[0.01，0.2]、α₃∈[0.2，0.4]，满足α₁＞α₃＞α₂；当熵权法得到的权重不在规定范围内时，取其对应范围的最大值或最小值，实际权重为

A_τ＝{α′_1-τ，α′_2-τ，α′_3-τ}；

(d)计算评判结果Z_Ai-τ＝A_τ*R_τ＝{z_1-τ，z_2-τ，z_3-τ}，存在以下三种情况；

①当z_1-τ最大时，边缘节点Ai不可信，边缘代理不计算准确性、完整性和及时性的平均隶属度；

②当z_2-τ最大时，边缘节点Ai信任不确定，边缘代理计算准确性、完整性和及时性对应的在区间[β_u，β_c)内的隶属度的均值为

其中分母为各因素隶属度在区间[β_u，β_c)内的个数，分子为各因素隶属度在区间[β_u，β_c)内的隶属度之和；

③当z_3-τ最大时，边缘节点Ai可信，边缘代理计算准确性、完整性和及时性对应的在区间[β_c，1]内的隶属度的均值为

其中分母为各因素隶属度在区间[β_c，1]内的个数，分子为各因素隶属度在区间[β_c，1]内的隶属度之和；

(e)边缘代理根据准确性、完整性和及时性的平均隶属度及其权重计算边缘节点Ai直接信任值

计算公式如下：

由于待运行的边缘节点没有历史信任值和反馈评分，此时的初始直接信任值就是最终信任值，边缘节点Ai运行前的最终信任值

2)计算信任标识

边缘节点信任分为三级，分别为不可信、不确定、可信；

不可信的阈值为β_u，可信的阈值为β_c，满足0＜β_u＜β_c≤1，且β_c＝[1+10(ER_Ai)²]^-1，β_u＝β_c-0.2，其中ER_Ai为工业生产环境允许边缘节点Ai偶尔因失误造成计算出错的错误率，0≤ER_Ai＜30％；β_u、β_c越大，表示系统对错误计算结果越敏感。安全管理者设定工业生产环境允许边缘节点的错误率，边缘代理根据错误率计算对应的β_u、β_c；

边缘代理根据评判结果计算待运行的边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，为了避免恶意节点骗取信任，边缘代理将可信边缘节点的信任值替换为

即将可信边缘节点降为信任不确定的边缘节点。

(b)对于信任值等级为不确定的边缘节点，边缘代理给其分配初始信任值的信任标识 TI_Ai-0＝1，根据(5)式计算初始信任标识的有效时间

将初始信任相关信息存储在本地；

初始信任值信任标识的有效时间

计算公式如下：

式中,i为在线边缘节点个数，CN₀为初始信任评估时证据收集次数，

为边缘节点Ai的平均计算效率

l为每次证据收集的数据量，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单；

(c)对于信任等级为不可信，即z_1-τ最大的边缘节点，为避免评估错误，边缘代理重复上述证据收集、证据处理和信任评估步骤评估其初始信任值2次，若2次仍为不可信，则报告安全管理员将其更换，并计算更换后的待加入的边缘节点的初始信任值。

边缘节点Ai初始信任相关数据包括初始信任值评估开始时间t₀、节点身份标识ID_Ai、准确性隶属度均值

完整性隶属度均值

及时性隶属度均值

初始信任值

信任标识TI_Ai-0和有效时间

边缘代理将信任标识发送给现场设备，现场设备检查待运行的边缘节点的信任标识后，给信任标识大于0的边缘节点发送数据，之后边缘节点处于运行状态。

S2网络运行后

S21证据收集

网络运行ΔT时间后，边缘代理向现场设备发起更新信任请求，边缘代理开始收集现场设备的采集数据、边缘节点的计算结果及其哈希值和现场设备的反馈评分，记录边缘节点响应时间和历史直接信任值。边缘代理发起信任更新请求后，边缘代理每次证据收集有以下两种情况：

情况一：边缘节点直接返回计算结果给现场设备，现场设备将边缘节点的计算结果及其哈希值发送给边缘代理；

情况二：边缘节点初步计算后，将计算结果及其哈希值发送给边缘代理，边缘代理收集证据并将边缘节点计算结果、信任标识及其签名后上传工业云，工业云检查边缘节点信任标识和验证签名后进一步处理边缘节点的初步计算结果，然后工业云将计算结果及签名发送给边缘代理，边缘代理验证签名后将计算结果发送给现场设备；

边缘代理收集以上这两种情况下的证据数据，收集l个证据数据为一次证据收集；每轮信任更新需要证据收集CN_τ次，此时边缘节点处于运行状态；边缘代理用ε记录证据收集次数 {ε＝1，2，...，CN_τ)；第τ轮信任更新时，边缘代理需要收集完CN_τ次证据后，进行证据处理和信任更新操作；每轮信任更新间隔时间为ΔT；规定第τ轮信任更新所需证据的收集次数CN_τ的计算公式如下：

边缘代理根据第τ-1次的信任标识计算第τ轮信任更新所需证据的收集次数CN_τ；当信任标识较小时，证据收集次数较少，边缘代理可快速更新边缘节点的信任值；网络运行初期，证据收集次数随可信次数的增加而增多，为能及时更新信任值和减少信任计算量，证据收集次数不能无限增大，证据收集次数CN_τ的最大值为

1)直接信任因素收集

现场设备将采集的数据

同时发送给边缘代理和边缘节点Ai，现场设备每隔Δt发送一个数据,边缘代理和边缘节点Ai接收到第2个采集数据后开始处理；边缘代理处理相邻两次采集数据的计算结果为

边缘节点Ai处理相邻两次采集数据的计算结果为

θ为每次证据收集的第几个证据(θ＝1，2，…，l)；每次证据收集，现场设备需要发送(l+1)个数据，现场设备发送的数据组成集合

t_τ时，边缘代理开始第τ轮信任更新，边缘代理累计收集CN_τ次证据，第ε次收集l个数据的证据包括边缘代理的计算结果

边缘节点Ai的计算结果

及其哈希值

边缘代理根据边缘节点Ai计算结果集合

计算其对应的哈希值

边缘代理记录第ε次收集证据时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

2)历史直接信任值收集

由于信任随时间动态变化，为避免出现恶意行为，边缘代理需要用历史直接信任值对直接信任值进行修正，边缘代理使用滑动窗口来存储历史直接信任值，以减少老旧直接信任值对新的直接信任值的影响。每个边缘节点分别有一个滑动存储窗口。窗口越大，则存储和计算开销就越多，短小的滑动存储窗口能够限制信任计算量，提高信任评估效率。

滑动存储窗口有u个窗格，每个窗格保留一个历史直接信任值，即将第τ轮信任更新之前的直接信任值存储在滑动存储窗口中；第k个窗格存储的直接信任值为

当每个窗格都有一个直接信任值时，窗口才开始移动，每次移动一个窗格；新的直接信任值在信任更新后加入到窗口中，而过期的直接信任值被挤出窗口；第τ轮信任更新时，窗口内存储着第τ-u轮到第τ-1轮信任更新时的直接信任值，第τ轮信任更新完之后再把第τ轮直接信任值存入滑动存储窗口中；当边缘节点Ai的信任标识为0时，边缘节点被视为恶意节点，边缘代理将其滑动存储窗口删除。

3)反馈评分收集

边缘代理更新运行状态的边缘节点的最终信任值还需要考虑现场设备对边缘节点计算结果的反馈评分；现场设备对边缘节点的评分规则：若发生安全事故则不管是否在信任更新，现场设备都反馈

并且边缘代理会将反馈评分对应的边缘节点列入黑名单；否则，现场设备反馈对计算结果的评分，差评

好评

现场设备向边缘代理反馈对计算结果的评分,第τ轮信任更新时边缘代理收集CN_τ次，每次收集l个反馈评分，边缘代理第ε次收集的反馈评分为

其中包括现场设备对v个边缘节点直接向现场设备返回的计算结果的评分和现场设备对(l-v)个由边缘节点发给工业云处理后再返回给现场设备的计算结果的评分；采用椭圆曲线代理签名，使得边缘节点与工业云的通信可信，无论现场设备收到的计算结果来自边缘节点还是工业云，现场设备反馈评分的对象都是边缘节点。

S22证据处理

1)直接信任因素处理

边缘代理收集CN_τ次证据后，分别计算第τ轮信任更新时每次证据收集的边缘节点Ai的准确性、完整性、及时性；

(a)边缘代理根据(1)式计算边缘节点Ai的准确性；

(b)边缘代理根据(2)式计算边缘节点Ai的完整性；

(c)边缘代理根据第ε次证据收集时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

计算边缘节点的计算效率

和边缘代理的计算效率

将

代入(3)式计算边缘节点Ai的及时性；

边缘代理进行第τ轮信任更新时，利用(1)式、(2)式和(3)式处理收集的直接信任因素，得到待审核的边缘节点Ai准确性、完整性和及时性的值各CN_τ个；

2)历史信任值处理

不同时间的历史直接信任值的权重因子需要考虑到时间的因素，即时间越久的信任值，所占的比重越低；在滑动存储窗口中的第k个窗格的权重:

式中ρ为衰减系数，衰减系数为0.3；当滑动存储窗口未存满时，u取实际历史直接信任值的个数；

边缘代理根据滑动存储窗口中的历史直接信任值及其权重，计算第τ轮信任更新时边缘节点Ai的加权平均历史信任值

3)反馈评分处理

对于反馈评分为-1的边缘节点，安全管理员将其更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤，评估待加入边缘节点的初始信任值；

边缘代理根据反馈评分，计算第τ轮信任更新时边缘节点Ai的奖励和惩罚因子；边缘代理根据第ε次证据收集的好评总次数

与正确计算结果的最低要求个数的差值

计算第ε次证据收集对应奖励因子

和惩罚因子

其中

若

则第ε次证据收集对应的奖励因子为

惩罚因子为

否则，第ε次证据收集对应的奖励因子为

惩罚因子为

奖励程度小惩罚程度大，体现信任值慢增快降的特点；

边缘代理根据第τ轮信任更新时的奖励和惩罚因子，计算出最终的奖励或惩罚因子

现场设备好的反馈会增加边缘节点Ai的信任值，而不好的反馈会快速降低边缘节点Ai的信任值；当存在来自现场设备的安全事故反馈时，

表现为惩罚因子，

没有安全事故反馈时，

表示奖励,

表示惩罚，

表示既不奖励也不惩罚。

S23信任更新

边缘代理根据直接信任值、历史信任值和反馈评分对边缘节点的信任值进行更新，此时边缘节点处于待审核状态；每轮信任更新间隔时间为ΔT。

1)计算直接信任值

边缘代理重复评估初始信任时计算直接信任值的步骤，利用(4)式计算第τ轮信任更新时评判结果为可信和不确定的待审核边缘节点Ai的直接信任值

对于评判结果为不可信的待审核边缘节点，则边缘代理直接将其列入黑名单。

2)修正直接信任值

边缘代理在计算最终信任值之前，需要利用加权平均后的历史直接信任值对直接信任值进行修正；边缘代理将边缘节点Ai的

和

加权汇总后得到第τ轮信任更新时边缘节点Ai修正后的直接信任值

式中，δ用来权衡当前信任和历史信任所占比重，δ定义如下：

式中：0<δ₁<δ₂<1，规定δ₁＝0.3，δ₂＝0.7，δ₁取值较小，防止边缘节点较快积累自身信任，δ₂取值较大，体现对边缘节点恶意行为的惩罚。

3)更新最终信任值

边缘代理依据(9)式计算得到的奖励或惩罚因子，计算待审核边缘节点的最终信任值；

第τ轮信任更新时边缘节点Ai的最终信任值

计算公式如下：

当存在某反馈评分为-1时，第τ轮信任更新时边缘节点Ai的最终信任值为0；否则第τ轮信任更新时边缘节点Ai的最终信任值为边缘节点Ai修正后的直接信任值加上奖励或惩罚因子。

4)计算信任标识

信任更新后边缘代理将待审核边缘节点的最终信任值与表2信任等级表中的信任阈值(信任临界值)比较,然后根据评判结果和最终信任值计算边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，边缘代理根据(13)式计算其信任标识TI_Ai-τ，根据(14)式计算信任标识的有效时间

然后将其信任相关信息根据表6中的数据结构存储在本地；

第τ轮信任更新时边缘节点Ai的信任标识的具体计算公式如下：

信任值信任标识的有效时间

计算公式如下：

式中CN_τ为第τ轮信任更新所需证据的收集次数，l为每次证据收集的数据量，

为边缘节点Ai的平均计算效率

Δt为现场设备发送数据的时间间隔，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单；

(b)对于信任等级为不确定的边缘节点，其信任标识不变；边缘代理检查其信任标识，若信任标识连续相等次数少于三次，边缘代理允许该边缘节点运行；否则，边缘代理将其列入黑名单，之后边缘节点处于隔离状态；

(c)对于信任等级为不可信的边缘节点，则边缘代理直接将其列入黑名单，之后边缘节点处于隔离状态；边缘代理广播黑名单中边缘节点的身份信息及其信任标识0，并报告安全管理员将其更换；安全管理员将隔离边缘节点更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤评估待加入边缘节点的初始信任值。

边缘节点Ai的信任相关数据包括第τ轮信任更新开始时间t_τ、节点身份标识ID_Ai、准确性隶属度均值

完整性隶属度均值

及时性隶属度均值

修正后的直接信任值

奖励或惩罚因子

最终信任值

信任标识TI_Ai-τ和有效时间

边缘代理将信任标识发送给现场设备，现场设备根据边缘节点的信任标识决定是否发送数据，给信任标识大于的边缘节点发送数据，而不给信任标识为0的边缘节点发送数据；

经过ΔT时间后，边缘代理重复执行证据收集、证据处理和信任更新步骤，如此循环。

本发明的有益效果在于：本发明确保工业边缘节点输出的计算结果可信的安全机制，防止工业边缘节点输出错误数据和抵御恶意边缘节点的虚假数据攻击，保证工业云输入未被篡改的可信计算结果，以及使得现场设备接收到正确的计算结果，而不是恶意或无意义的消息，从而提高工业生产的效率和安全性。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为具有信任机制的工业边缘计算框架；

图2为信任评估流程图；

图3为信任评估过程时序图；

图4为信任评估框架和流程图；

图5为初始信任评估时证据收集的过程时序图；

图6为信任更新时证据收集的第一种情况的流程图；

图7为信任更新时证据收集的第二种情况的流程图；

图8为第τ轮信任更新时证据收集的过程时序图；

图9为滑动存储窗口。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

在工业边缘计算环境中，现场设备将采集到的数据传输到边缘侧的边缘节点，边缘节点处理来自现场设备的数据，然后边缘节点将计算结果返回给现场设备，或者将初步计算结果发送到工业云平台进一步计算后再返回给现场设备。为了确保边缘节点的计算结果正确以及传输过程中结果未被伪造或篡改，可以识别故障边缘节点以及抵御恶意节点的篡改、冒充、重放等攻击，即保证现场设备收到可信计算结果，本文提出了具有信任评估功能的边缘计算框架，边缘节点的信任评估由网络边缘的边缘代理完成，在网络边缘处理信任计算的响应时间更短，执行效率更高，网络压力更小，如图1所示。

假设现场设备采集的数据是可信的，现场设备与边缘节点之间通信是可信的，现场设备与边缘代理之间通信是可信的，现场设备反馈诚实。在具有信任评估功能的工业边缘计算框架中，提出确保边缘节点计算结果可信的信任评估方法，该方法由边缘代理根据对边缘节点的计算结果的客观分析，并结合模糊评价法及熵权法完成对边缘节点的信任评估。边缘代理通过比较边缘节点的信任值与信任阈值，决定哪些边缘节点可以接收计算任务和发送消息，由此可以减少边缘侧输出不可信数据。该信任评估方法中的信任阈值由安全管理员设定的边缘节点允许的错误率确定。

网络运行后，若边缘节点的计算结果需要进一步计算，为了确保边缘节点、边缘代理和工业云平台之间交互的信息未被篡改，使得现场设备收到可信计算结果，本方案采用椭圆曲线代理签名方案，将可信边缘节点的初步计算结果签名后发送到工业云进一步处理后再返回给现场设备。

本方案具体的信任评估流程如图2、图3所示。

本方案将信任定义为边缘代理对边缘节点计算结果可信的评估，边缘节点的信任值是边缘节点长期行为表现的一种定量形式。信任评估包括四个单元：证据收集、证据处理、初始信任评估、信任更新。信任评估的总体框架和流程如图4所示。

证据包括三个维度的信息，一是直接评估边缘节点计算结果的三个有效因素，分别为边缘节点计算结果的准确性、完整性和及时性，用于计算边缘节点的直接信任值；二是历史信任值，边缘代理将在滑动窗口内的历史信任值加权平均后，修正直接信任值；三是现场设备对边缘节点计算结果的反馈评分，边缘代理根据反馈评分得到惩罚或奖励因子，用于计算边缘节点的最终信任值。信任评估过程分为网络运行前初始信任值的计算和网络运行后信任值的更新。信任评估过程中边缘节点有以下五种状态：

(1)待加入：待加入的边缘节点没有信任值，此时边缘节点计算来自边缘代理的待算数据；

(2)待运行：边缘代理计算边缘节点的初始信任值，此时边缘节点处于待运行状态，等待现场设备发送数据的边缘节点；

(3)运行：边缘代理将待运行的边缘节点的信任标识发送给现场设备，可信边缘节点计算来自现场设备的数据，此时边缘处于运行状态；

(4)待审核：网络运行一段时间后，边缘代理向现场设备发起信任更新。边缘代理收集并处理证据数据后进行信任更新时，边缘节点处于待审核状态，现场设备停止向待审核边缘节点发送数据，直到现场设备收到信任标识；

(5)运行/隔离：边缘代理更新完信任值后，给待审核的边缘节点分配信任标识，并将信任标识发送给现场设备。现场设备给信任标识大于零的边缘节点发送数据，此时边缘节点处于运行状态；现场设备不给信任标识为零的边缘节点发送数据，此时边缘节点被边缘代理列入黑名单，处于隔离状态。

1.1信任评估流程

1.1.1网络运行前

待加入的边缘节点将身份信息ID_Ai发送至边缘代理进行注册，安全管理员设定各边缘节点在工业生产环境中允许计算出错的错误率ER_Ai；边缘代理用ε标记证据是第几次收集的证据(ε＝1，2，...，CN_τ),用τ标记信任相关信息是第几轮计算的信任值(τ∈N)，评估初始信任值时τ＝0，更新信任值时τ≥1；CN_τ表示边缘代理第τ轮计算信任值时需要证据收集的总次数，t_τ表示边缘代理开始第τ轮计算信任值的时间。边缘代理验证边缘节点的身份后，开始评估边缘节点的初始信任值。

1证据收集

t₀时边缘代理开始评估边缘节点的初始信任值，边缘代理随机生成待算数据集合

并生成相邻数据两两计算后的结果集合

作为参考集合，本方案规定初始信任值评估所需证据收集次数CN₀为3；

边缘代理将待算集合发送给边缘节点，边缘节点计算后将计算结果集合

及计算结果哈希值集合

发送给边缘代理；

边缘代理根据边缘节点计算结果集合

计算其对应的哈希值

边缘代理记录其第ε次发送待算集合的时间

计算完成时间

接收边缘节点Ai 计算结果的时间

i为节点个数i＝1,2,...,n。边缘代理评估初始信任值时，证据收集过程如图5所示。

2证据处理

边缘代理根据边缘节点计算结果的准确性、完整性、及时性来评估计算结果是否可信，这三个参数为评估边缘节点计算结果的有效因素，可以把这些因素看作是边缘节点值得信任的证据，用这些证据对边缘节点计算结果做出客观评价。这三个数据信任证据是查找数据项与信任者之间信任关系的核心维度。

在网络运行前边缘代理根据待加入的边缘节点Ai的返回结果计算出边缘节点Ai的准确性、完整性、及时性。边缘代理对收集到的数据处理如下：

(1)准确性为正确计算结果个数占总数据个数的比重；第ε次证据收集的准确性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算结果集合

和边缘节点Ai计算结果集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(2)完整性为完整数据个数占总数据个数的比重；第ε次证据收集的完整性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算的结果哈希值集合

和边缘节点Ai 计算的结果哈希值集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(3)及时性为边缘节点Ai与边缘代理的计算效率之差；第ε次证据收集的及时性计算公式如下：

式中

为第ε次证据收集时，边缘节点的计算效率；

为第ε次证据收集时，边缘代理的计算效率，τ表示第τ轮信任计算。

边缘代理评估初始信任值时，边缘代理根据其发送第ε次待算集合的时间

计算完待算集合的时间

接收边缘节点Ai计算结果的时间

计算CN₀次边缘节点的计算效率

和边缘代理的计算效率

代入(3)式，计算得到CN₀个边缘节点Ai的及时性。

边缘代理评估初始信任值时，利用(1)式、(2)式和(3)式处理3次收集的证据，得到待加入的边缘节点Ai准确性、完整性和及时性的值各3个，如表1所示。

表1边缘节点Ai的直接信任因素

3初始信任评估

1)计算初始信任值

直接信任值是边缘节点完成请求任务能力的量化值，它基于边缘代理与边缘节点之间的交互记录历史。边缘代理计算边缘节点初始信任值时，边缘节点处于待运行状态。边缘代理分别对待运行的边缘节点的直接信任因素进行模糊评价，计算直接信任值步骤如下：

(a)确定因素集

评价集V＝{V₁，V₂，V₃},V₁为不可信、 V₂为不确定、V₃为可信；规定V₁、V₂、V₃对应的隶属度的大小分别为：当0≤μ^un＜β_u时，为不可信；当β_u≤μⁱⁿ＜β_c时，为不确定；当β_c≤μ^cr≤1时，为可信；β_u，β_c为不可信和可信的阈值；边缘代理计算准确性、完整性和及时性的隶属度，计算公式如下：

①第ε次证据收集的准确性的隶属度计算公式为：

②第ε次证据收集的完整性的隶属度计算公式为：

③第ε次证据收集的及时性的隶属度计算公式为

其中

(b)计算第τ轮信任计算时准确性、完整性和及时性对应的隶属度属于V₁，V₂，V₃的比重，分别为{r_11-τ，r_12-τ，r_13-τ}，{r_21-τ，r_22-τ，r_23-τ}，{r_31-τ，r_32-τ，r_33-τ}，例如

为CN_τ个准确性隶属度中在不可信隶属度范围内的个数；边缘代理得到评判矩阵

(c)利用熵权法计算准确性、完整性和及时性对应的权重，计算步骤如下：

①准确性、完整性和及时性对应的CN_τ次隶属度

组成矩阵

②计算准确性、完整性和及时性对应的信息熵：

其中

③计算准确性、完整性和及时性对应的权重：

为避免某因素离散程度过小可能出现权重为零的情况，准确性、完整性和及时性对应的权重范围分别为α₁∈[0.5，0.8]、α₂∈[0.01，0.2]、α₃∈[0.2，0.4]，满足α₁＞α₃＞α₂；当熵权法得到的权重不在规定范围内时，取其对应范围的最大值或最小值，实际权重为

A_τ＝{α′_1-τ，α′_2-τ，α′_3-τ}；

(d)计算评判结果Z_Ai-τ＝A_τ*R_τ＝{z_1-τ，z_2-τ，z_3-τ}，存在以下三种情况；

①当z_1-τ最大时，边缘节点Ai不可信，边缘代理不计算准确性、完整性和及时性的平均隶属度；

②当z_2-τ最大时，边缘节点Ai信任不确定，边缘代理计算准确性、完整性和及时性对应的在区间[β_u，β_c)内的隶属度的均值为

其中分母为各因素隶属度在区间[β_u，β_c)内的个数，分子为各因素隶属度在区间[β_u，β_c)内的隶属度之和；

③当z_3-τ最大时，边缘节点Ai可信，边缘代理计算准确性、完整性和及时性对应的在区间[β_c，1]内的隶属度的均值为

其中分母为各因素隶属度在区间[β_c，1]内的个数，分子为各因素隶属度在区间[β_c，1]内的隶属度之和；

(e)边缘代理根据准确性、完整性和及时性的平均隶属度及其权重计算边缘节点Ai直接信任值

计算公式如下：

由于待运行的边缘节点没有历史信任值和反馈评分，此时的初始直接信任值就是最终信任值，边缘节点Ai运行前的最终信任值

2)计算信任标识

表2为边缘节点信任等级表，信任分为三级，分别为不可信、不确定、可信。

表2信任等级表

信任等级	信任描述	信任值范围
			1	不可信	[0,β<sub>u</sub>)
2	不确定	[β<sub>u</sub>，β<sub>c</sub>)
			3	可信	[β<sub>c</sub>，1]

不可信的阈值为β_u，可信的阈值为β_c，满足0＜β_u＜β_c≤1，且β_c＝[1+10(ER_Ai)²]^-1，β_u＝β_c-0.2，其中ER_Ai为工业生产环境允许边缘节点Ai偶尔因失误造成计算出错的错误率，0≤ER_Ai＜30％；β_u、β_c越大，表示系统对错误计算结果越敏感。安全管理者设定工业生产环境允许边缘节点的错误率，边缘代理根据错误率计算对应的β_u、β_c，例如表3所示。

表3 β_u、β_c取值表(举例)

错误率ER<sub>Ai</sub>	β<sub>u</sub>	β<sub>c</sub>
			0	0.80	1.00
10％	0.70	0.90
			20％	0.51	0.71

边缘代理根据评判结果计算待运行的边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，为了避免恶意节点骗取信任，边缘代理将可信边缘节点的信任值替换为

即将可信边缘节点降为信任不确定的边缘节点。

(b)对于信任值等级为不确定的边缘节点，边缘代理给其分配初始信任值的信任标识 TI_Ai-0＝1，根据(5)式计算初始信任标识的有效时间

将初始信任相关信息根据表4中的数据结构存储在本地；

初始信任值信任标识的有效时间

计算公式如下：

式中,i为在线边缘节点个数，CN₀为初始信任评估时证据收集次数，

为边缘节点Ai的平均计算效率

l为每次证据收集的数据量，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单；

表4边缘节点Ai初始信任相关数据

(c)对于信任等级为不可信，即z_1-τ最大的边缘节点，为了避免评估错误，边缘代理重复上述证据收集、证据处理和信任评估步骤评估其初始信任值2次，若2次仍为不可信，则报告安全管理员将其更换，并计算更换后的待加入的边缘节点的初始信任值。

边缘代理将信任标识发送给现场设备，现场设备检查待运行的边缘节点的信任标识后，给信任标识大于0的边缘节点发送数据，之后边缘节点处于运行状态。

1.1.2网络运行后

1证据收集

网络运行ΔT时间后，边缘代理向现场设备发起更新信任请求，边缘代理开始收集现场设备的采集数据、边缘节点的计算结果及其哈希值和现场设备的反馈评分，记录边缘节点响应时间和历史直接信任值。边缘代理发起信任更新请求后，边缘代理每次证据收集有以下两种情况：

情况一：边缘节点直接返回计算结果给现场设备，现场设备将边缘节点的计算结果及其哈希值发送给边缘代理，如图6所示；

情况二：边缘节点初步计算后，将计算结果及其哈希值发送给边缘代理，边缘代理收集证据并将边缘节点计算结果、信任标识及其签名后上传工业云，工业云检查边缘节点信任标识和验证签名后进一步处理边缘节点的初步计算结果，然后工业云将计算结果及签名发送给边缘代理，边缘代理验证签名后将计算结果发送给现场设备，如图7所示。

边缘代理收集以上这两种情况下的证据数据，收集l个证据数据为一次证据收集；每轮信任更新需要证据收集CN_τ次，此时边缘节点处于运行状态；边缘代理用ε记录证据收集次数(ε＝1，2，...，CN_τ)；第τ轮信任更新时，边缘代理需要收集完CN_τ次证据后，进行证据处理和信任更新操作；每轮信任更新间隔时间为ΔT；规定第τ轮信任更新所需证据的收集次数CN_τ的计算公式如下：

边缘代理根据第τ-1次的信任标识计算第τ轮信任更新所需证据的收集次数CN_τ；当信任标识较小时，证据收集次数较少，边缘代理可快速更新边缘节点的信任值；网络运行初期，证据收集次数随可信次数的增加而增多，为能及时更新信任值和减少信任计算量，证据收集次数不能无限增大，证据收集次数CN_τ的最大值为

1)直接信任因素收集

现场设备将采集的数据

同时发送给边缘代理和边缘节点Ai，现场设备每隔Δt发送一个数据,边缘代理和边缘节点Ai接收到第2个采集数据后开始处理；边缘代理处理相邻两次采集数据的计算结果为

边缘节点Ai处理相邻两次采集数据的计算结果为

θ为每次证据收集的第几个证据(θ＝1，2，...，l)；每次证据收集，现场设备需要发送(l+1)个数据，现场设备发送的数据组成集合

t_τ时，边缘代理开始第τ轮信任更新，边缘代理累计收集CN_τ次证据，第ε次收集l个数据的证据包括边缘代理的计算结果

边缘节点Ai的计算结果

及其哈希值

边缘代理根据边缘节点Ai计算结果集合

计算其对应的哈希值

边缘代理记录第ε次收集证据时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

第τ轮信任更新时证据收集过程如图8所示。

2)历史直接信任值收集

由于信任随时间动态变化，为了避免出现恶意行为，边缘代理需要用历史直接信任值对直接信任值进行修正，可使得直接信任值更加精确。因此边缘代理使用滑动窗口来存储历史直接信任值，以减少老旧直接信任值对新的直接信任值的影响。每个边缘节点分别有一个滑动存储窗口。窗口越大，则存储和计算开销就越多，因此短小的滑动存储窗口可以有效地限制信任计算量，提高信任评估效率。

如图9所示，滑动存储窗口有u个窗格，每个窗格保留一个历史直接信任值，即将第τ轮信任更新之前的直接信任值存储在滑动存储窗口中；第k个窗格存储的直接信任值为

当每个窗格都有一个直接信任值时，窗口才开始移动，每次移动一个窗格；新的直接信任值在信任更新后加入到窗口中，而过期的直接信任值被挤出窗口；第τ轮信任更新时，窗口内存储着第τ-u轮到第τ-1轮信任更新时的直接信任值，第τ轮信任更新完之后再把第τ轮直接信任值存入滑动存储窗口中；当边缘节点Ai的信任标识为0时，边缘节点被视为恶意节点，边缘代理将其滑动存储窗口删除。

3)反馈评分收集

边缘代理更新运行状态的边缘节点的最终信任值还需要考虑现场设备对边缘节点计算结果的反馈评分；现场设备对边缘节点的评分规则：若发生安全事故则不管是否在信任更新，现场设备都反馈

并且边缘代理会将反馈评分对应的边缘节点列入黑名单；否则，现场设备反馈对计算结果的评分，差评

好评

现场设备向边缘代理反馈对计算结果的评分,第τ轮信任更新时边缘代理收集CN_τ次，每次收集l个反馈评分，边缘代理第ε次收集的反馈评分为

其中包括现场设备对v个边缘节点直接向现场设备返回的计算结果的评分和现场设备对(l-v)个由边缘节点发给工业云处理后再返回给现场设备的计算结果的评分；采用椭圆曲线代理签名，使得边缘节点与工业云的通信可信，无论现场设备收到的计算结果来自边缘节点还是工业云，现场设备反馈评分的对象都是边缘节点。

2证据处理

1)直接信任因素处理

边缘代理收集CN_τ次证据后，分别计算第τ轮信任更新时每次证据收集的边缘节点Ai的准确性、完整性、及时性；

(a)边缘代理根据(1)式计算边缘节点Ai的准确性；

(b)边缘代理根据(2)式计算边缘节点Ai的完整性；

(c)边缘代理根据第ε次证据收集时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

计算边缘节点的计算效率

和边缘代理的计算效率

将

代入(3)式计算边缘节点Ai的及时性；

边缘代理进行第τ轮信任更新时，利用(1)式、(2)式和(3)式处理收集的直接信任因素，得到待审核的边缘节点Ai准确性、完整性和及时性的值各CN_τ个，如表5所示。

表5边缘节点Ai的CN_τ次直接信任因素

2)历史信任值处理

因为最新的信任值的影响比之前的信任值大，所以，不同时间的历史直接信任值的权重因子需要考虑到时间的因素，即时间越久的信任值，所占的比重越低。在滑动存储窗口中的第k个窗格的权重:

式中ρ为衰减系数，衰减系数为0.3；当滑动存储窗口未存满时，u取实际历史直接信任值的个数；

边缘代理根据滑动存储窗口中的历史直接信任值及其权重，计算第τ轮信任更新时边缘节点Ai的加权平均历史信任值

3)反馈评分处理

对于反馈评分为-1的边缘节点，安全管理员将其更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤，评估待加入边缘节点的初始信任值；

边缘代理根据反馈评分，计算第τ轮信任更新时边缘节点Ai的奖励和惩罚因子；边缘代理根据第ε次证据收集的好评总次数

与正确计算结果的最低要求个数的差值

计算第ε次证据收集对应奖励因子

和惩罚因子

其中

若

则第ε次证据收集对应的奖励因子为

惩罚因子为

否则，第ε次证据收集对应的奖励因子为

惩罚因子为

奖励程度小惩罚程度大，体现信任值慢增快降的特点；

边缘代理根据第τ轮信任更新时的奖励和惩罚因子，计算出最终的奖励或惩罚因子

现场设备好的反馈会增加边缘节点Ai的信任值，而不好的反馈会快速降低边缘节点Ai 的信任值；当存在来自现场设备的安全事故反馈时，

表现为惩罚因子，

没有安全事故反馈时，

表示奖励,

表示惩罚，

表示既不奖励也不惩罚。

3信任更新

边缘代理根据直接信任值、历史信任值和反馈评分对边缘节点的信任值进行更新，此时边缘节点处于待审核状态。因为内部攻击发生在特定时间，所以信任评价机制并不需要太频繁的信任更新，而且频繁的信任更新会占用更多的传输和计算资源。每轮信任更新间隔时间为ΔT。

1)计算直接信任值

边缘代理重复评估初始信任时计算直接信任值的步骤，利用(4)式计算第τ轮信任更新时评判结果为可信和不确定的待审核边缘节点Ai的直接信任值

对于评判结果为不可信的待审核边缘节点，则边缘代理直接将其列入黑名单。

2)修正直接信任值

边缘代理在计算最终信任值之前，需要利用加权平均后的历史直接信任值对直接信任值进行修正；边缘代理将边缘节点Ai的

和

加权汇总后得到第τ轮信任更新时边缘节点Ai修正后的直接信任值

式中，δ用来权衡当前信任和历史信任所占比重，δ定义如下：

式中：0<δ₁<δ₂<1，规定δ₁＝0.3，δ₂＝0.7，δ₁取值较小，防止边缘节点较快积累自身信任，δ₂取值较大，体现对边缘节点恶意行为的惩罚。

3)更新最终信任值

边缘代理依据(9)式计算得到的奖励或惩罚因子，计算待审核边缘节点的最终信任值；

第τ轮信任更新时边缘节点Ai的最终信任值

计算公式如下：

当存在某反馈评分为-1时，第τ轮信任更新时边缘节点Ai的最终信任值为0；否则第τ轮信任更新时边缘节点Ai的最终信任值为边缘节点Ai修正后的直接信任值加上奖励或惩罚因子。

4)计算信任标识

信任更新后边缘代理将待审核边缘节点的最终信任值与表2信任等级表中的信任阈值(信任临界值)比较,然后根据评判结果和最终信任值计算边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，边缘代理根据(13)式计算其信任标识TI_Ai-τ，根据(14)式计算信任标识的有效时间

然后将其信任相关信息根据表6中的数据结构存储在本地；

第τ轮信任更新时边缘节点Ai的信任标识的具体计算公式如下：

信任值信任标识的有效时间

计算公式如下：

式中CN_τ为第τ轮信任更新所需证据的收集次数，l为每次证据收集的数据量，

为边缘节点Ai的平均计算效率

Δt为现场设备发送数据的时间间隔，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单。

表6边缘节点Ai的信任相关数据

(b)对于信任等级为不确定的边缘节点，其信任标识不变；边缘代理检查其信任标识，若信任标识连续相等次数少于三次，边缘代理允许该边缘节点运行；否则，边缘代理将其列入黑名单，之后边缘节点处于隔离状态；

(c)对于信任等级为不可信的边缘节点，则边缘代理直接将其列入黑名单，之后边缘节点处于隔离状态；边缘代理广播黑名单中边缘节点的身份信息及其信任标识0，并报告安全管理员将其更换；安全管理员将隔离边缘节点更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤评估待加入边缘节点的初始信任值。

边缘代理将信任标识发送给现场设备，现场设备根据边缘节点的信任标识决定是否发送数据，给信任标识大于的边缘节点发送数据，而不给信任标识为0的边缘节点发送数据；

经过ΔT时间后，边缘代理重复执行证据收集、证据处理和信任更新步骤，如此循环，如图3所示。

1.2实例

网络运行前，本方案设定参数如表7所示。

表7参数取值表

如图1中，工业网络中3个待加入的边缘节点A1、A2、A3，3个边缘节点分别向边缘代理发送自己的身份信息进行注册。安全管理员设定3个边缘节点允许的错误率分别为10％、15％、20％，边缘节点A1、A2、A3的信任阈值如表8所示。

表8边缘节点A1、A2、A3的信任阈值表

网络运行前，t₀时边缘代理分别向边缘节点A1、A2、A3发送3次数据量为10的待算数据集合。边缘代理证据处理后，对边缘节点A1、A2、A3的评判结果如表9所示。边缘节点A1、A2、A3的初始信任值、信任标识及其有效时间，如表10所示。

表9边缘节点A1、A2、A3的3次证据处理及评判结果

表10边缘节点A1、A2、A3的初始信任相关信息

注：边缘代理将A1信任降为不确定。

A1的初始信任值大于0.9，为避免恶意节点骗取信任，边缘代理将A1的信任值替换为 0.8，并将信任标识TI_A1-0＝1发送给现场设备；A2的信任等级为不确定，边缘代理给其分配信任标识TI_A2-0＝1，并将信任标识发送给现场设备；A3的评判结果为不可信，随后，边缘代理重复证据收集、证据处理和初始信任评估步骤2次，评判结果均为不可信，因此A3 为恶意或故障边缘节点，广播A3的身份信息及其信任标识TI_A3-0＝0，并报告安全管理员更换。

边缘代理评估更换后的待加入边缘节点A3′的初始信任值，边缘节点A3′的初始信任值为0.65，大于0.51，信任等级为不确定，边缘代理给其分配信任标识TI_A3′-0＝1，并将信任标识发送给现场设备，现场设备收到信任标识后，向边缘节点发送数据。

网络运行10s后，边缘代理向现场设备发起信任更新请求，现场设备将采集到的数据同时发送给边缘节点和边缘代理。边缘代理开始第一轮信任更新，边缘节点A1、A2、A3′的证据需要收集的次数都为3次，每次收集的数据量为10。第一轮信任更新10s后，进行第二轮信任更新。信任更新2轮后，边缘节点A1、A2、A3′每轮信任更新的最终信任值如表11 所示。

表11 A1、A2、A3′更新后的最终信任相关信息

由于A1的连续三次信任标识相等，因此边缘代理将A1视为恶意节点；边缘代理广播A1 身份信息及其信任标识0，并报告安全管理员更换。安全管理员将A1更换为A1′后，边缘代理评估其初始信任值，边缘代理评估A1′的初始信任值后，更新A2、A3′的最终信任值，更新到第4轮时评估结果如表12所示。

表12 A1、A2、A3′更新后的最终信任相关信息

注：A2的计算结果使工业生产出现安全事故。

第四轮信任更新期间，现场设备对A2的评分为-1，因此边缘代理将A2视为恶意节点；边缘代理广播A2身份信息及其信任标识0，并报告安全管理员更换。安全管理员将A2更换为A2′后，边缘代理先评估其初始信任值。边缘代理评估A2′的初始信任值后，更新A1′、A3′的最终信任值，第五轮信任更新结果如表13所示。

表13第五轮信任更新后边缘节点A1′、A2′、A3′的最终信任相关信息

当信任更新进行到第10轮时，边缘代理中存储在滑动窗口的A1′的历史直接信任值如表14所示。第五轮信任更新后，A1′的直接信任值未更新。

表14边缘节点A1′的滑动存储窗口

1	2	3	4	5	6	7	8	9	10
										0.96	0.99	0.96

此时，边缘代理中存储在滑动窗口的A2′的历史直接信任值如表15所示。第1个到第5 个窗格对应的权重分别为0.30、0.40、0.54、0.74、1.00，权重之和为2.98。边缘代理加权平均历史直接信任值得到

表15边缘节点A2′的滑动存储窗口

1	2	3	4	5	6	7	8	9	10
										0.91	0.87	0.83	0.89	0.93

此时，边缘代理中存储在滑动窗口的A3′的历史直接信任值如表16所示。每个窗格对应的权重分别为0.06、0.09、0.12、0.16、0.22、0.30、0.40、0.54、0.74、1.00，权重之和为3.63。边缘代理加权平均历史直接信任值得到

表16边缘节点A3′的滑动存储窗口

1	2	3	4	5	6	7	8	9	10
										0.65	0.85	0.88	0.81	0.91	0.87	0.83	0.89	0.93	0.85

第10轮信任更新的结果如表17所示。

表17边缘节点A1′、A2′、A3′的最终信任相关信息

第5轮信任更新后，边缘节点A1′的信任标识的有效期已过，但其信任值仍未更新，边缘代理视A1′为恶意节点或故障节点，将其列入黑名单，广播其身份和信任标识0，报告安全管理员更换。

综上所述，边缘节点为恶意或故障节点，有以下四种情况：

(1)边缘节点的评判结果为不信任；

(2)边缘节点的连续三次信任标识相等；

(3)现场设备反馈安全事故；

(4)边缘节点的信任标识过期。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (1)

1.一种基于信任评估的边缘节点计算结果可信判别方法，其特征在于：该方法包括以下步骤：

S1网络运行前

待加入的边缘节点将身份信息ID_Ai发送至边缘代理进行注册，安全管理员设定各边缘节点在工业生产环境中允许计算出错的错误率ER_Ai；边缘代理用ε标记证据是第几次收集的证据(ε＝1，2，...，CN_τ),用τ标记信任相关信息是第几轮计算的信任值(τ∈N)，评估初始信任值时τ＝0，更新信任值时τ≥1；CN_τ表示边缘代理第τ轮计算信任值时需要证据收集的总次数，t_τ表示边缘代理开始第τ轮计算信任值的时间；边缘代理验证边缘节点的身份后，开始评估边缘节点的初始信任值；

S11证据收集

t₀时边缘代理开始评估边缘节点的初始信任值，边缘代理随机生成待算数据集合

并生成相邻数据两两计算后的结果集合

作为参考集合，本方案规定初始信任值评估所需证据收集次数CN₀为3；

边缘代理将待算集合发送给边缘节点，边缘节点计算后将计算结果集合

及计算结果哈希值集合

发送给边缘代理；

边缘代理根据边缘节点计算结果集合

计算其对应的哈希值

边缘代理记录其第ε次发送待算集合的时间

计算完成时间

接收边缘节点Ai计算结果的时间

为节点个数i＝1,2,...,n；

S12证据处理

边缘代理对收集到的数据处理如下：

(1)准确性为正确计算结果个数占总数据个数的比重；第ε次证据收集的准确性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算结果集合

和边缘节点Ai计算结果集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(2)完整性为完整数据个数占总数据个数的比重；第ε次证据收集的完整性计算公式如下：

式中

表示第ε次证据收集的边缘代理计算的结果哈希值集合

和边缘节点Ai计算的结果哈希值集合

中相同的个数，ε表示第ε次收集的证据，τ表示第τ轮信任计算，l为每次证据收集的数据量；

(3)及时性为边缘节点Ai与边缘代理的计算效率之差；第ε次证据收集的及时性计算公式如下：

式中

为第ε次证据收集时，边缘节点的计算效率；

为第ε次证据收集时，边缘代理的计算效率，τ表示第τ轮信任计算；

边缘代理评估初始信任值时，边缘代理根据其发送第ε次待算集合的时间

计算完待算集合的时间

接收边缘节点Ai计算结果的时间

计算CN₀次边缘节点的计算效率

和边缘代理的计算效率

代入(3)式，计算得到CN₀个边缘节点Ai的及时性；

边缘代理评估初始信任值时，利用(1)式、(2)式和(3)式处理3次收集的证据，得到待加入的边缘节点Ai准确性、完整性和及时性的值各3个；

S13初始信任评估

1)计算初始信任值

直接信任值是边缘节点完成请求任务能力的量化值，它基于边缘代理与边缘节点之间的交互记录历史；边缘代理计算边缘节点初始信任值时，边缘节点处于待运行状态；边缘代理分别对待运行的边缘节点的直接信任因素进行模糊评价，计算直接信任值步骤如下：

(a)确定因素集

评价集V＝{V₁，V₂，V₃},V₁为不可信、V₂为不确定、V₃为可信；规定V₁、V₂、V₃对应的隶属度的大小分别为：当0≤μ^un＜β_u时，为不可信；当β_u≤μⁱⁿ＜β_c时，为不确定；当β_c≤μ^cr≤1时，为可信；β_u，β_c为不可信和可信的阈值；边缘代理计算准确性、完整性和及时性的隶属度，计算公式如下：

①第ε次证据收集的准确性的隶属度计算公式为：

②第ε次证据收集的完整性的隶属度计算公式为：

③第ε次证据收集的及时性的隶属度计算公式为

其中

(b)计算第τ轮信任计算时准确性、完整性和及时性对应的隶属度属于V₁，V₂，V₃的比重，分别为{r_11-τ，r_12-τ，r_13-τ}，{r_21-τ，r_22-τ，r_23-τ}，{r_31-τ，r_32-τ，r_33-τ}，例如

为CN_τ个准确性隶属度中在不可信隶属度范围内的个数；边缘代理得到评判矩阵

(c)利用熵权法计算准确性、完整性和及时性对应的权重，计算步骤如下：

①准确性、完整性和及时性对应的CN_τ次隶属度

组成矩阵

②计算准确性、完整性和及时性对应的信息熵：

其中

③计算准确性、完整性和及时性对应的权重：

为避免某因素离散程度过小可能出现权重为零的情况，准确性、完整性和及时性对应的权重范围分别为α₁∈[0.5，0.8]、α₂∈[0.01，0.2]、α₃∈[0.2，0.4]，满足α₁＞α₃＞α₂；当熵权法得到的权重不在规定范围内时，取其对应范围的最大值或最小值，实际权重为

A_τ＝{α′_1-τ，α′_2-τ，α′_3-τ}；

(d)计算评判结果Z_Ai-τ＝A_τ*R_τ＝{z_1-τ，z_2-τ，z_3-τ}，存在以下三种情况；

①当z_1-τ最大时，边缘节点Ai不可信，边缘代理不计算准确性、完整性和及时性的平均隶属度；

②当z_2-τ最大时，边缘节点Ai信任不确定，边缘代理计算准确性、完整性和及时性对应的在区间[β_u，β_c)内的隶属度的均值为

其中分母为各因素隶属度在区间[β_u，β_c)内的个数，分子为各因素隶属度在区间[β_u，β_c)内的隶属度之和；

③当z_3-τ最大时，边缘节点Ai可信，边缘代理计算准确性、完整性和及时性对应的在区间[β_c，1]内的隶属度的均值为

其中分母为各因素隶属度在区间[β_c，1]内的个数，分子为各因素隶属度在区间[β_c，1]内的隶属度之和；

(e)边缘代理根据准确性、完整性和及时性的平均隶属度及其权重计算边缘节点Ai直接信任值

计算公式如下：

由于待运行的边缘节点没有历史信任值和反馈评分，此时的初始直接信任值就是最终信任值，边缘节点Ai运行前的最终信任值为

2)计算信任标识

边缘节点信任分为三级，分别为不可信、不确定、可信；

不可信的阈值为β_u，可信的阈值为β_c，满足0＜β_u＜β_c≤1，且β_c＝[1+10(ER_Ai)²]^-1，β_u＝β_c-0.2，其中ER_Ai为工业生产环境允许边缘节点Ai偶尔因失误造成计算出错的错误率，0≤ER_Ai＜30％；β_u、β_c越大，表示系统对错误计算结果越敏感；安全管理者设定工业生产环境允许边缘节点的错误率，边缘代理根据错误率计算对应的β_u、β_c；

边缘代理根据评判结果计算待运行的边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，为避免恶意节点骗取信任，边缘代理将可信边缘节点的信任值替换为

即将可信边缘节点降为信任不确定的边缘节点；

(b)对于信任值等级为不确定的边缘节点，边缘代理给其分配初始信任值的信任标识TI_Ai-0＝1，根据(5)式计算初始信任标识的有效时间

将初始信任相关信息存储在本地；

初始信任值信任标识的有效时间

计算公式如下：

式中,i为在线边缘节点个数，CN₀为初始信任评估时证据收集次数，

为边缘节点Ai的平均计算效率

l为每次证据收集的数据量，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单；

(c)对于信任等级为不可信，即z_1-τ最大的边缘节点，为避免评估错误，边缘代理重复上述证据收集、证据处理和信任评估步骤评估其初始信任值2次，若2次仍为不可信，则报告安全管理员将其更换，并计算更换后的待加入的边缘节点的初始信任值；

边缘节点Ai初始信任相关数据包括初始信任值评估开始时间t₀、节点身份标识ID_Ai、准确性隶属度均值

完整性隶属度均值

及时性隶属度均值

初始信任值

信任标识TI_Ai-0和有效时间

边缘代理将信任标识发送给现场设备，现场设备检查待运行的边缘节点的信任标识后，给信任标识大于0的边缘节点发送数据，之后边缘节点处于运行状态；

S2网络运行后

S21证据收集

网络运行ΔT时间后，边缘代理向现场设备发起更新信任请求，边缘代理开始收集现场设备的采集数据、边缘节点的计算结果及其哈希值和现场设备的反馈评分，记录边缘节点响应时间和历史直接信任值；边缘代理发起信任更新请求后，边缘代理每次证据收集有以下两种情况：

情况一：边缘节点直接返回计算结果给现场设备，现场设备将边缘节点的计算结果及其哈希值发送给边缘代理；

情况二：边缘节点初步计算后，将计算结果及其哈希值发送给边缘代理，边缘代理收集证据并将边缘节点计算结果、信任标识及其签名后上传工业云，工业云检查边缘节点信任标识和验证签名后进一步处理边缘节点的初步计算结果，然后工业云将计算结果及签名发送给边缘代理，边缘代理验证签名后将计算结果发送给现场设备；

边缘代理收集以上这两种情况下的证据数据，收集l个证据数据为一次证据收集；每轮信任更新需要证据收集CN_τ次，此时边缘节点处于运行状态；边缘代理用ε记录证据收集次数(ε＝1，2，…，CN_τ)；第τ轮信任更新时，边缘代理需要收集完CN_τ次证据后，进行证据处理和信任更新操作；每轮信任更新间隔时间为ΔT；规定第τ轮信任更新所需证据的收集次数CN_τ的计算公式如下：

边缘代理根据第τ-1次的信任标识计算第τ轮信任更新所需证据的收集次数CN_τ；当信任标识较小时，证据收集次数较少，边缘代理可快速更新边缘节点的信任值；网络运行初期，证据收集次数随可信次数的增加而增多，为能及时更新信任值和减少信任计算量，证据收集次数不能无限增大，证据收集次数CN_τ的最大值为

1)直接信任因素收集

现场设备将采集的数据

同时发送给边缘代理和边缘节点Ai，现场设备每隔Δt发送一个数据,边缘代理和边缘节点Ai接收到第2个采集数据后开始处理；边缘代理处理相邻两次采集数据的计算结果为

边缘节点Ai处理相邻两次采集数据的计算结果为

θ为每次证据收集的第几个证据(θ＝1，2，...，l)；每次证据收集，现场设备需要发送(l+1)个数据，现场设备发送的数据组成集合

t_τ时，边缘代理开始第τ轮信任更新，边缘代理累计收集CN_τ次证据，第ε次收集l个数据的证据包括边缘代理的计算结果

边缘节点Ai的计算结果

及其哈希值

边缘代理根据边缘节点Ai计算结果集合

计算其对应的哈希值

边缘代理记录第ε次收集证据时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

2)历史直接信任值收集

由于信任随时间动态变化，为避免出现恶意行为，边缘代理需要用历史直接信任值对直接信任值进行修正，边缘代理使用滑动窗口来存储历史直接信任值，以减少老旧直接信任值对新的直接信任值的影响；每个边缘节点分别有一个滑动存储窗口；窗口越大，则存储和计算开销就越多，短小的滑动存储窗口能够限制信任计算量，提高信任评估效率；

滑动存储窗口有u个窗格，每个窗格保留一个历史直接信任值，即将第τ轮信任更新之前的直接信任值存储在滑动存储窗口中；第k个窗格存储的直接信任值为

当每个窗格都有一个直接信任值时，窗口才开始移动，每次移动一个窗格；新的直接信任值在信任更新后加入到窗口中，而过期的直接信任值被挤出窗口；第τ轮信任更新时，窗口内存储着第τ-u轮到第τ-1轮信任更新时的直接信任值，第τ轮信任更新完之后再把第τ轮直接信任值存入滑动存储窗口中；当边缘节点Ai的信任标识为0时，边缘节点被视为恶意节点，边缘代理将其滑动存储窗口删除；

3)反馈评分收集

边缘代理更新运行状态的边缘节点的最终信任值还需要考虑现场设备对边缘节点计算结果的反馈评分；现场设备对边缘节点的评分规则：若发生安全事故则不管是否在信任更新，现场设备都反馈

并且边缘代理会将反馈评分对应的边缘节点列入黑名单；否则，现场设备反馈对计算结果的评分，差评

好评

现场设备向边缘代理反馈对计算结果的评分,第τ轮信任更新时边缘代理收集CN_τ次，每次收集l个反馈评分，边缘代理第ε次收集的反馈评分为

其中包括现场设备对v个边缘节点直接向现场设备返回的计算结果的评分和现场设备对(l-v)个由边缘节点发给工业云处理后再返回给现场设备的计算结果的评分；采用椭圆曲线代理签名，使得边缘节点与工业云的通信可信，无论现场设备收到的计算结果来自边缘节点还是工业云，现场设备反馈评分的对象都是边缘节点；

S22证据处理

1)直接信任因素处理

边缘代理收集CN_τ次证据后，分别计算第τ轮信任更新时每次证据收集的边缘节点Ai的准确性、完整性、及时性；

(a)边缘代理根据(1)式计算边缘节点Ai的准确性；

(b)边缘代理根据(2)式计算边缘节点Ai的完整性；

(c)边缘代理根据第ε次证据收集时现场设备发送第一个数据的时间

边缘代理计算完成第l个结果的时间

边缘节点Ai计算完成第l个结果的时间

计算边缘节点的计算效率

和边缘代理的计算效率

将

代入(3)式计算边缘节点Ai的及时性；

边缘代理进行第τ轮信任更新时，利用(1)式、(2)式和(3)式处理收集的直接信任因素，得到待审核的边缘节点Ai准确性、完整性和及时性的值各CN_τ个；

2)历史信任值处理

不同时间的历史直接信任值的权重因子需要考虑到时间的因素，即时间越久的信任值，所占的比重越低；在滑动存储窗口中的第k个窗格的权重:

式中ρ为衰减系数，衰减系数为0.3；当滑动存储窗口未存满时，u取实际历史直接信任值的个数；

边缘代理根据滑动存储窗口中的历史直接信任值及其权重，计算第τ轮信任更新时边缘节点Ai的加权平均历史信任值

3)反馈评分处理

对于反馈评分为-1的边缘节点，安全管理员将其更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤，评估待加入边缘节点的初始信任值；

边缘代理根据反馈评分，计算第τ轮信任更新时边缘节点Ai的奖励和惩罚因子；边缘代理根据第ε次证据收集的好评总次数

与正确计算结果的最低要求个数的差值

计算第ε次证据收集对应奖励因子

和惩罚因子

其中

若

则第ε次证据收集对应的奖励因子为

惩罚因子为

否则，第ε次证据收集对应的奖励因子为

惩罚因子为

奖励程度小惩罚程度大，体现信任值慢增快降的特点；

边缘代理根据第τ轮信任更新时的奖励和惩罚因子，计算出最终的奖励或惩罚因子

现场设备好的反馈会增加边缘节点Ai的信任值，而不好的反馈会快速降低边缘节点Ai的信任值；当存在来自现场设备的安全事故反馈时，

表现为惩罚因子，

没有安全事故反馈时，

表示奖励,

表示惩罚，

表示既不奖励也不惩罚；

S23信任更新

边缘代理根据直接信任值、历史信任值和反馈评分对边缘节点的信任值进行更新，此时边缘节点处于待审核状态；每轮信任更新间隔时间为ΔT；

1)计算直接信任值

边缘代理重复评估初始信任时计算直接信任值的步骤，利用(4)式计算第τ轮信任更新时评判结果为可信和不确定的待审核边缘节点Ai的直接信任值

对于评判结果为不可信的待审核边缘节点，则边缘代理直接将其列入黑名单；

2)修正直接信任值

边缘代理在计算最终信任值之前，需要利用加权平均后的历史直接信任值对直接信任值进行修正；边缘代理将边缘节点Ai的

和

加权汇总后得到第τ轮信任更新时边缘节点Ai修正后的直接信任值

式中，δ用来权衡当前信任和历史信任所占比重，δ定义如下：

式中：0<δ₁<δ₂<1，规定δ₁＝0.3，δ₂＝0.7，δ₁取值较小，防止边缘节点较快积累自身信任，δ₂取值较大，体现对边缘节点恶意行为的惩罚；

3)更新最终信任值

边缘代理依据(9)式计算得到的奖励或惩罚因子，计算待审核边缘节点的最终信任值；

第τ轮信任更新时边缘节点Ai的最终信任值

计算公式如下：

当存在某反馈评分为-1时，第τ轮信任更新时边缘节点Ai的最终信任值为0；否则第τ轮信任更新时边缘节点Ai的最终信任值为边缘节点Ai修正后的直接信任值加上奖励或惩罚因子；

4)计算信任标识

信任更新后边缘代理将待审核边缘节点的最终信任值与表2信任等级表中的信任阈值(信任临界值)比较,然后根据评判结果和最终信任值计算边缘节点Ai的信任标识，规则如下：

(a)对于信任值等级为可信的边缘节点，边缘代理根据(13)式计算其信任标识TI_Ai-τ，根据(14)式计算信任标识的有效时间

然后将其信任相关信息根据表6中的数据结构存储在本地；

第τ轮信任更新时边缘节点Ai的信任标识的具体计算公式如下：

信任值信任标识的有效时间

计算公式如下：

式中CN_τ为第τ轮信任更新所需证据的收集次数，l为每次证据收集的数据量，

为边缘节点Ai的平均计算效率

Δt为现场设备发送数据的时间间隔，ΔT为信任更新的时间间隔，有效时间的单位为秒；若边缘节点的信任标识过期，边缘代理将该边缘节点列入黑名单；

(b)对于信任等级为不确定的边缘节点，其信任标识不变；边缘代理检查其信任标识，若信任标识连续相等次数少于三次，边缘代理允许该边缘节点运行；否则，边缘代理将其列入黑名单，之后边缘节点处于隔离状态；

(c)对于信任等级为不可信的边缘节点，则边缘代理直接将其列入黑名单，之后边缘节点处于隔离状态；边缘代理广播黑名单中边缘节点的身份信息及其信任标识0，并报告安全管理员将其更换；安全管理员将隔离边缘节点更换为待加入边缘节点后，边缘代理重复初始信任值计算步骤单独评估待加入边缘节点的初始信任值；

边缘节点Ai的信任相关数据包括第τ轮信任更新开始时间t_τ、节点身份标识ID_Ai、准确性隶属度均值

完整性隶属度均值

及时性隶属度均值

修正后的直接信任值

奖励或惩罚因子

最终信任值

信任标识TI_Ai-τ和有效时间

边缘代理将信任标识发送给现场设备，现场设备根据边缘节点的信任标识决定是否发送数据，给信任标识大于的边缘节点发送数据，而不给信任标识为0的边缘节点发送数据；

经过ΔT时间后，边缘代理重复执行证据收集、证据处理和信任更新步骤，如此循环。

Images