基于信誉的信任确定方法和通信系统与流程

本披露内容总体上涉及网络中的信任水平确定方法，并且特别地涉及一种基于信誉的用于确定自组织网络中移动实体的信任水平的方法。

背景技术：

1、自治系统(as)的最新进展引发了移动自组织网络(manet)和相关解决方案的进一步飞跃。一个这种普遍的案例是飞行自组织网络(fanet)，预计其将重塑今天的空中移动模型，并成为新型民用和军事应用(例如，“拯救和救援”(sar)任务或军事侦察)的推动者。

2、以信息为中心的网络以及特别是命名数据网络(ndn)是满足这种应用要求的理想选择，因为其通过设计提供了以数据为中心的通信和安全性。以数据为中心的通信模型使得ndn适合于支持移动网络的运行，因为它允许进行数据的异步创建和消费，而ndn安全系统确保数据的不变性和来源。

3、通常，在ndn中，信任关系是基于公钥密码学和受信任的第三方(即，以公钥基础设施和由中央机构(ca)提供的证书为前提)而建立的。然而，这种方法通常涉及繁重的操作，并且需要与固定的基础设施持续连接。特别地，ndn规定，每个内容对象都要使用内容发布者的证书进行签名。在内容消费之前，内容消费者需要检索相关的“信任方案”，以便消费者可以发现和获取相关联的证书链，该证书链从签名者的证书开始并于受信任的锚点结束。随后，消费者必须验证包括在证书链中的签名，以最终验证内容。这种基于凭证的安全方案保证了数据的完整性和真实性，但代价是计算成本和延迟增加。此外，它还需要与位于地面网络基础设施中的证书颁发机构持续连接。因此，在高动态网络(比如fanet)——需要间歇性连接以及自组织和短期通信——的情况下，当前基于ndn凭证的方法可能不适合于确保信任或者甚至可能导致操作问题(例如，在没有到证书颁发机构的联网路径的情况下)。

技术实现思路

1、目的在于在动态网络中提供信任建立方法，以低计算开销提供快速安全保证。

2、该目的通过独立权利要求的主题来解决。进一步的实施例在从属权利要求以及以下描述中进行了描述。

3、根据第一方面，提供了一种用于在第一移动实体上确定与第一移动实体通信的第二移动实体的信任水平的方法。该方法包括由第一移动实体基于第二移动实体与第一移动实体之间的正面交互和负面交互的次数来确定直接信任数据。该方法进一步包括由第一移动实体基于直接信任数据来计算初始信誉指标。信誉指标包括可信值、不可信值、不确定性值和基本信任率。该方法进一步包括：由第一移动实体基于可信值、基本信任率和不确定性值来计算置信水平，以及基于初始信誉指标和置信水平来确定更新的信誉指标。基本信任率指示从过去未与第一移动实体接触的未知移动实体传输的数据的信任水平。正面交互是从第二移动实体接收的数据符合定义的质量标准的交互。负面交互是从第二移动实体接收的数据不符合质量标准的交互。更新的信誉指标指示第一移动实体对第二移动实体的信任水平。

4、第一移动实体和第二移动实体各自可以是与另一移动实体通信的任何移动实体。特别地，移动实体可以例如是无人驾驶飞行器(uav)或其他无人机或航空器。例如，uav通常基于不同的模式移动，并且只会在相对较短的时间段内偶然彼此相遇。进一步地，通常，uav或其他航空器可能需要互连和协作来执行特定的任务。然而，由于时间段相对较短，所以必须非常快速地做出与两个或更多个移动实体之间的通信链路和数据交换相关的信任决策。因此，获取密钥和验证包括在相关联证书链中的签名可能会引入过多的延迟和/或开销，或者甚至在对基础设施的访问没有得到保证时变得不可行。

5、为了克服这些问题，所披露的方法是基于第一移动实体的特定协作伙伴(第二移动实体)的过去行为的比较，以便估计对特定的第二移动实体的信任水平。该方法对于不需要建立强信任的“较轻”安全场景特别有用。预计过去表现为可信赖的第二移动实体在未来的交互中也会如此表现。

6、直接信任数据对应于关于过去已经与第一移动实体交互的第二移动实体的可信度的数据。例如，直接信任数据可以是包括特定的第二移动实体与第一移动实体之间的正面交互的次数ip和负面交互的次数in的元组，其中，下标i表示第一移动实体，并且下标j表示第二移动实体：

7、td，ij＝(ip，ij，in，ij)  (1)

8、然而，直接信任数据可以以任何合适的形式保存，并且也可以是指示过去交互质量的任何其他合适的数据。第一移动实体可以将过去与该第一移动实体交互的每个第二移动实体的对应直接信任数据保存在对应的存储器中。特别地，正面交互和负面交互可以是对第一移动实体与第二移动实体之间的交互的计数器，以获得已被推断为令人满意的交互次数。

9、交互是否被推断为令人满意可以通过检查任何合适的质量标准来决定。这种质量标准可以例如是第一移动实体在交互中已经从第二移动实体接收到的数据类型。例如，第一移动实体可以检查它接收到的数据是否受到损坏或者第一移动实体是否接收到它所请求的数据。例如，如果数据的数量级不切实际或者对所提出的请求来说是错误的类型，则第一移动实体可能认为交互是负面的。然而，该列表仅是示例性的，并且可以采用任何合适的质量标准来确定交互是正面的还是负面的。

10、每次在与特定的第二移动实体发生交互之后，第一移动实体都会更新直接信任数据。在第二移动实体已被识别之后，确定与第二移动实体的新交互的信任水平然后开始于从存储器中读取当前的直接信任数据。

11、另外，如下面关于实施例进一步描述的，该方法可以考虑间接信任数据ti，j。仅基于直接信任数据，或者(如果适用的话)基于直接信任数据和间接信任数据，可以定义参数正面经历ep，ij和负面经历en，ij。如果仅使用直接信任数据，则参数正面经历和负面经历分别与参数正面交互和负面交互相同。另外，如果使用间接信任数据，则参数正面经历和负面经历可以分别是与正面推荐(下面进一步描述)的正面交互的总和以及与负面推荐(下面进一步描述)的负面交互的总和。

12、对于初始信誉指标的计算，计算第二移动实体可信赖(由可信值指示)、第二移动实体不可信赖(由不可信值指示)的统计概率，以及这些概率的对应不确定性。可信值bij、不可信值dij和不确定性值σij可以例如计算如下：

13、

14、

15、

16、因此，参数c是可以例如通过校准过程来估计或者根据要求来设置的恒定值。例如，参数c可以是整数，比如c＝2。在这种情况下，在至少三次正面交互(如果存在零次负面交互和三次正面交互，则bij＝0.6＞0.5)之后，第一移动实体开始信赖第二移动实体。然而，这只是一个示例，并且其他数字也是可能的。

17、基于这些参数，初始信誉指标r初始，ij可以定义如下：

18、r初始，ij＝(bij，dij，σij，tb)  (5)

19、其中，tb是基本信任率。该基本信任率定义了在不存在关于该特定的第二移动实体的可信度的过去数据的情况下该第二移动实体是可信赖的先验置信度(以及因此信任水平)。例如，基本信任率可以是在0到1范围内的随机数，即tb∈[0，1]。如果基本信任率例如是0.5，则它表示以下事实：最初第一移动实体对第二移动实体既不持怀疑态度也不表示友善(完全没有偏见)。如果基本信任率在0.5到1之间，则第一移动实体倾向于对第二移动实体是表示友善的。如果基本信任率在0到0.5之间，则第一移动实体倾向于对第二移动实体是持怀疑态度的。可选地，可以采用随机数的密度函数，即，随机数的分布，该密度函数可以例如是表示随机第二移动实体可信赖的统计概率分布的统计概率窗口函数。通过由这种窗口函数来调制随机数，基本上可以实施任何概率分布。

20、为了考虑初始信誉指标的不确定性，在该方法的下一步骤中，基于可信值(即，第二移动实体可信赖的概率)、基本信任率和计算出的不确定性来计算置信水平。尽管置信水平可以以任何合适的方式来计算，但是举例来说，它可以计算如下：

21、cij＝bij+tb·σij  (6)

22、然后，可以使用置信水平来更新初始信誉指标，以便得到准确描述第二移动实体可信赖的概率(即，第二移动实体按照期望进行协作的概率)的更精确的信誉指标。初始信誉指标可以以任何合适的方式来更新，比如借助于指数加权移动平均函数(如下面进一步描述)或任何其他合适的平均函数或其他函数来更新。

23、基于更新的信誉指标，第一移动实体得到关于第二移动实体的可信度的准确估计，而不必采用具有高计算开销的签名方法。进一步地，由于信任水平可以仅基于由第一移动实体收集的数据来确定，并且例如不依赖于来自地面站的数据，比如基于公钥密码学和受信任的第三方的信任关系就是如此，因此可以在不依赖于来自其他实体的数据的情况下在任何时间实例确定另一移动实体的信任水平。基于所确定的信任水平，第一移动实体可以决定是否与第二移动实体合作。

24、上述方法可以在每次与特定的第二移动实体相遇或交互时重复进行。进一步地，由于基本信任率是预定义的，因此即使在第一移动实体的存储器中不存在关于第二移动实体的先前信任数据，该方法仍然可以起作用。在这种情况下，可信值和不可信值变为零，而不确定性值变为1。因此，只有基本信任率对置信水平和更新的信誉指标有贡献，这从上面的等式中很容易看出。

25、根据实施例，计算初始信誉指标的步骤进一步包括基于间接信任数据与直接信任数据的总和来计算初始信誉指标。间接信任数据对应于与第二移动实体相关并从至少一个第三移动实体接收的正面推荐和负面推荐的次数。

26、至少一个第三移动实体是不同于第二移动实体的另一移动实体，其可能在过去已经与第二移动实体交互过，并且因此可能保存了关于第二移动实体本身的信任数据的记录。因此，这些间接信任数据对应于第三移动实体的直接信任数据，即，第三移动实体与第二移动实体的正面交互和负面交互的计数，如上文关于第一移动实体所描述的。第三移动实体可以是处于与第一移动实体的通信范围内但不直接与第一移动实体合作执行任务的任何移动实体，比如无人机。然而，由于第三移动实体处于与第一移动实体的通信范围内，所以它可以以正面推荐和/或负面推荐的形式与第一移动实体共享其关于第二移动实体的经历。

27、与直接信任数据类似，间接信任数据可以以元组或其他合适的数据格式排列，包括对特定的第二移动实体与第一移动实体之间的交互的正面推荐rp，ij的次数和负面推荐rn，ij的次数(对应于第二移动实体与第三移动实体(由下标k指示)之间的正面交互和负面交互的次数)，其中，下标i再次表示第一移动实体，并且下标j再次表示第二移动实体：

28、

29、下标k(对应于不同的第三移动实体)的总和指示来自不同的第三移动实体的推荐的总和，以得到来自任何可用的第三移动实体的总体推荐。

30、如上文进一步简要指示的，如果这种间接信任数据可用，则在参数正面经历ep，ij和负面经历en，ij中考虑这些数据。特别地，正面经历和负面经历则可以定义如下：

31、

32、其中，例如，

33、

34、因为对来自第三移动实体的第一移动实体(下标i)与第二移动实体(下标j)之间的交互的推荐可以对应于第二移动实体与第三移动实体(下标k)之一之间的交互的直接信任数据。然而，来自第三移动实体的推荐也可以以任何其他合适的方式来确定。换句话说，当已经与第一移动实体想要与之交互的特定的第二移动实体交互的其他(第三)移动实体处于第一移动实体附近(通信范围内)时，这些第三移动实体可以与第一移动实体共享它们关于第二移动实体的直接信任数据。来自所有这种可用的第三移动实体的这些直接信任数据被添加到第一移动实体本身已经获取的直接信任数据，以得到关于特定的第二移动实体的正面经历和负面经历的总数。进一步地，正面推荐和负面推荐也可以根据对第三移动实体的信任来加权。例如，如果一个第三移动实体比另一个第三移动实体更加可信赖，则来自具有更高信誉的第三移动实体的推荐会被分配更大的权重。

35、以这种方式，数据点的数量以及因此确定第二移动实体的信任水平的统计和可靠性得到了提高。该方法的剩余部分与上文进一步描述的保持一致。

36、根据另一实施例，正面推荐和负面推荐分别对应于已经由过去已经与第二移动实体交互的至少一个第三移动实体确定的正面交互和负面交互。

37、根据另一实施例，该方法进一步包括由第一移动实体周期性地广播兴趣包，以从至少一个第三移动实体获取间接信任数据。

38、这种兴趣包可以是周期性地发送到第一移动实体周围并指示对关于第二移动实体的信任数据感兴趣的数据包。处于与第一移动实体的通信范围内的第三移动实体可以接收兴趣包，并且作为响应可以如上所述得那样与第一移动实体共享它们关于第二移动实体的可用信任数据。

39、根据另一实施例，确定更新的信誉指标的步骤进一步包括对初始信誉指标和置信水平应用指数加权移动平均函数(ewma)。

40、这种指数加权移动平均函数的应用可以由以下等式来定义

41、r更新，ij＝w·r初始，ij+(1-w)·cij  (10)

42、其中，w是加权因子。很容易看出，将这种指数加权移动平均函数用于更新的信誉指标(其对应于所确定的对第二移动实体的信任水平)，可以给予最新的数据比过去更久的数据更大的权重。即使第二移动实体在过去一直是可信赖的，现在也不一定是这种情况。给予最新的数据最高的权重考虑了这种变化，因为当前的可信度是最重要的。

43、根据另一实施例，移动实体之间的通信是基于命名数据网络ndn。

44、以信息为中心的网络以及特别是命名数据网络(ndn)是满足fanet应用和其他移动自组织网络要求的理想选择，因为其通过设计提供了以数据为中心的通信和安全性。特别地，对参与设备进行安全识别已经在ndn中实现，使得当移动实体彼此通信时无需对其进行额外的识别。以数据为中心的通信模型使得ndn适合于支持移动网络的运行，因为它允许进行数据的异步创建和消费，而ndn安全系统确保数据的不变性和来源。然而，在ndn中，信任关系通常是基于公钥密码学和受信任的第三方建立的，这涉及繁重的计算操作并且因此计算开销很高。所披露的方法允许利用ndn相对于其他网络架构的优势，同时保持低计算开销。特别地，通过基于通信伙伴的信誉(而不是公共密码学)来建立信任关系，不是每个提交的数据包都必须被验证。特别地，这在即使第一移动实体与第二移动实体之间的接触持续时间非常短时也能够实现安全通信，例如，在由协作无人机执行的操作中通常就是这种情况。

45、根据另一实施例，确定更新的信誉指标的步骤进一步包括包括从地面站接收的全局信誉得分grs。

46、如下所述，固定地面站可以确定自己对移动实体的信任水平(全局信誉得分grs)，该信任水平可以与地面站的通信范围内的移动实体共享。进而，第一移动实体可以使用从地面站接收的grs，并且在确定第二移动实体的信任水平并因此进行决策时对该grs加以考虑。

47、根据另一实施例，grs是由地面站基于从地面站的通信范围内的移动实体接收的信任数据而确定的信誉得分。

48、如果任何移动实体进入地面站的通信范围内，则地面站可以执行与第一移动实体相同的方法，并且可以确定和存储每个这样的移动实体的信任水平。在这种情况下，地面站执行上文关于第一移动实体所描述的动作。特别地，地面站可以从任何移动实体接收任何可用的正面推荐和负面推荐，并且还可以确定关于可达范围内的这种移动实体的直接信任数据。

49、然而，还可以设想，地面站仅将可用的信任数据中继到可达范围内的移动实体，而其本身不执行该方法/对信任水平的确定。然后，第一移动实体可以使用中继的信任数据来确定信任水平(例如，如上所述，作为推荐)，从而改进其统计。

50、根据另一实施例，如果grs与在没有grs的情况下在第一移动实体上确定的更新的信誉指标不匹配，则grs在信誉指标中占主导地位。

51、因为地面站处于地面上的固定位置，所以预期它与移动实体的相遇次数比移动实体彼此的相遇次数多得多。因此，地面站将具有更多的数据点可用于确定移动实体的信任水平。如果第一移动实体检测到在第一移动实体上计算出的第二移动实体的信任水平与从地面站接收到的信任水平(grs)之间存在相当大的不匹配，则地面站的数据是优选的，因为地面站的数据很可能由于数据集更大而更准确。换句话说，来自地面站的grs充当关于第二移动实体的信任水平的确认证据。

52、根据另一实施例，该方法进一步包括周期性地检查处于与第一移动实体的通信范围内的地面站，并且如果通信范围内存在地面站，则广播兴趣包以从所述地面站获取全局信誉得分。

53、类似于由第一移动实体向第三移动实体广播兴趣包，第一移动实体可以周期性地向可达范围内的地面站发送这种兴趣包。为了检查可用的地面站，第一移动实体可以例如将可用地面站的位置存储在存储器中。通过将所存储的位置与第一移动实体的实际位置进行比较，第一移动实体可以决定所存储的地面站中的至少一个是否在可达范围内，并且可以开始广播兴趣包。然而，第一移动实体也可以仅广播兴趣包，而不用先检查可用地面站，并且如果该第一移动实体从已知的地面站接收到grs，则可以考虑该grs。

54、根据另一实施例，每个移动实体是飞行器。

55、这种飞行器可以例如是飞机、uav或其他民用或军用无人机、直升机或任何其他飞行器。

56、根据第二方面，提供了一种在第一移动实体上的通信系统。该通信系统包括收发器和控制器，该收发器被配置为无线地发送和接收数据消息，该控制器被配置为确定与第一移动实体通信的第二移动实体的信任水平。确定信任水平通过以下操作来执行：确定直接信任数据，该直接信任数据对应于第二移动实体与第一移动实体之间的正面交互和负面交互的次数；基于直接信任数据来计算初始信誉指标，其中，该信誉指标包括可信值、不可信值、不确定性值和基本信任率。该确定进一步通过以下操作来执行：基于可信值、基本信任值和不确定性值来计算置信水平；以及基于初始信誉指标和置信水平来确定更新的信誉指标。基本信任率指示从过去未与第一移动实体接触的未知移动实体传输的数据的信任水平。每个正面交互对应于从第二移动实体接收的数据符合定义的质量标准的交互。每个负面交互对应于从第二移动实体接收的数据不符合该质量标准的交互。更新的信誉指标指示第一移动实体对第二移动实体的信任水平。

57、通信系统的控制器可以例如是具有cpu和存储器组件的通用计算机、asic、fpga或任何其他合适的计算设备，并且被配置为执行上述方法。因此，可以根据上述实施例中的任何一个实施例来实施该方法。收发器用于接收和发送数据，比如有效载荷数据以及兴趣包、信任数据和任何其他数据。

58、总之，本披露内容为比如无人机或具有低计算开销的其他飞行器的移动实体之间的通信提供了安全或信任层。所披露的基于信誉的信任建立机制提供了一种快速且轻量的方法来确保受信任的通信，特别是在基于ndn的fanet的上下文中。关于信任决策，基于另一移动实体(比如uav)的信誉指标来确定是否信任该另一移动实体所需的时间大大低于执行签名验证所需的相应时间。进一步地，所提出的基于信誉的方法仍然可以被用来在uav之间建立信任，即使没有与基于地面的基础设施的连接，或者即使移动实体以前从未相遇或协作过。可选地，来自基于地面的基础设施或其他移动实体的信任数据仍然可以用来提高所确定的信任水平的准确性。