CN111917760B - 一种基于标识解析的网络协同制造跨域融合信任管控方法 - Google Patents
一种基于标识解析的网络协同制造跨域融合信任管控方法 Download PDFInfo
- Publication number
- CN111917760B CN111917760B CN202010735041.0A CN202010735041A CN111917760B CN 111917760 B CN111917760 B CN 111917760B CN 202010735041 A CN202010735041 A CN 202010735041A CN 111917760 B CN111917760 B CN 111917760B
- Authority
- CN
- China
- Prior art keywords
- requester
- identity
- party
- interaction
- identification analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 84
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000004927 fusion Effects 0.000 title claims abstract description 19
- 238000005259 measurement Methods 0.000 claims description 62
- 230000003993 interaction Effects 0.000 claims description 57
- 230000002452 interceptive effect Effects 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 6
- 238000011144 upstream manufacturing Methods 0.000 claims description 4
- 230000011218 segmentation Effects 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims 1
- 230000007547 defect Effects 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 9
- 238000011156 evaluation Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000010276 construction Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 230000007474 system interaction Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/04—Manufacturing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Biomedical Technology (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Manufacturing & Machinery (AREA)
- Data Mining & Analysis (AREA)
- Primary Health Care (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于标识解析的网络协同制造跨域融合信任管控方法,基于现有技术身份标识方面存在篡改、仿冒风险,信任链割裂,较难进行可信关系度量等不足,提供一种基于标识解析的网络协同制造跨域融合信任管控方法,首先建立基于内生特征的跨域实体可信身份标识,然后基于实体关联图谱结合标识属性进行信任链构建,最终基于可信身份标识及信任链,实现网络协同制造场景下设备/***可信关系度量与异常处置,保护网络协同制造场景下跨域设备/***安全性。
Description
技术领域
本发明涉及网络协同制造技术领域,特别是涉及一种基于标识解析的网络协同制造跨域融合信任管控方法及计算机可读存储介质。
背景技术
网络协同制造作为新一代信息技术与制造业深度融合形成的新产业和应用生态,广泛应用于制造、能源、交通等关系国计民生的重要行业和领域,推动当前以“物与物”连接为核心的控制网络走向“人-机-物”全面互联,IT/OT边界区域逐渐模糊,极大扩展了网络空间的边界和功能,也打破了工业控制***传统的封闭和强调高可靠性的格局,现场控制层、生产线监控层、企业管理层之间,直接通过以太网甚至是互联网承载数据通信,越来越多的生产组件和服务直接或间接与互联网连接,攻击者从研发端、管理端、消费端、生产端都有可能实现对网络协同制造的攻击或病毒传播,使得IT/OT跨域安全风险交织叠加放大,安全形势更为复杂。
网络协同制造场景下,海量跨域设备/***因种类繁多、连接关系复杂。传统模式下,工业控制网络未与外部互联网直接联通,安全认证机制,访问控制手段需求并不迫切,复杂的域间异构网络环境中主要采用部署防火墙、安全网闸等网络设备实现安全域的隔离,缺乏面向网络协同制造多平台、多设备、多资源协作的安全认证技术,使得IT/OT互信协作困难,难以实现跨域信任融合管理导致它们无法可信互联、缺乏有效管控。
发明内容
本发明提供了一种基于标识解析的网络协同制造跨域融合信任管控方法及计算机可读存储介质,以解决现有技术中不能很好地对网络协同制造跨域融合进行管控的问题。
第一方面,本发明提供了一种基于标识解析的网络协同制造跨域融合信任管控方法,该方法包括:当接受到请求方发出的请求后,获取所述请求方的可信身份标识,并基于所述可信身份标识对所述请求方的身份进行可信性度量,得到第一可信性度量结果;在所述请求方与被访问方进行交互过程中,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果;根据所述第一可信性度量结果和/或所述第二可信性度量结果对所述请求方发出的请求进行可信性判断,如果判定为可信,则允许所述请求方访问所述被访问方,否则,则拒绝所述请求方的访问。
可选地,建立所述可信身份标识的步骤包括:
获取所述请求方的内生特征指纹,以及所述请求方的外部关联属性,并基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识;
其中,所述可信身份标识用于对所述请求方进行唯一标识。
可选地,所述基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识,包括:
对所述内生特征指纹进行哈希运算,并通过预设分割符将所述外部关联属性与哈希运算后的内生特征指纹隔开,得到所述请求方的可信身份标识。
可选地,所述内生特征指纹是唯一标识出所述请求方的设备/***的特征或者标识,所述内生特征指纹包括以下中的一种或多种:所述请求方的设备/***类型、硬件型号/版本号、软件/固件版本号生产批次和序列号;
所述外部关联属性是所述请求方的设备/***的外部归属关系,所述外部关联属性包括以下中的一种或多种:所述请求方的生产商、产地、应用行业和上下游企业关系。
可选地,建立可信身份标识属性列表,通过所述可信身份标识属性列表存储可信且安全的设备所对应的可信身份标识,以便于查找并获取到设备所对应的可信身份标识。
可选地,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果,包括:
获取被访问方的解析密钥和数字签名,通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链,以通过标识解析的方式将不同设备/***之间的访问交互的目标身份标识转换为网络可以识别的网络地址。
可选地,所述被访问方包括标识解析二级节点和标识解析根节点,所述获取被访问方的解析密钥和数字签名,通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链,包括:
所述请求方、所述标识解析二级节点、所述标识解析根节点均包含一个公私密钥对;
所述标识解析根节点、所述标识解析二级节点使用该区域的私钥对其内的标识解析数据进行签名,为所述标识解析数据生成数字签名;
所述请求方在进行标识解析数据请求时,先检索与之交互的所述被访问方的公钥,并使用该公钥验证所述被访问方所返回的标识解析数据的真实性;
同时所述请求方使用公钥验证接收到的标识解析数据的数字签名是否有效,并向标识解析上级节点,即所述标识解析根节点验证公钥是否有效,如果有效,则确定与之交互的标识解析节点身份可信,标识解析数据有效;如果签名未通过验证,则丢弃标识解析数据并返回错误。
可选地,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果,包括:
提取所述请求方与所述被访问方之间的交互行为,并根据所述标识解析交互信任链交互成功次数和交互失败次数,将该交互成功次数与预设的交互成功次数阈值进行比较,以及将所述交互失败次数与预设交互失败次数阈值进行比较,得到第二可信性度量结果。
可选地,根据所述第一可信性度量结果和/或所述第二可信性度量结果对所述请求方发出的请求进行可信性判断,包括:
当所述第一可信性度量结果或所述第二可信性度量结果为不可信,则判定所述请求方不可信,则所述被访问方拒绝所述请求方的访问请求
第二方面,本发明提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现权利要求1-9中任意一项所述的基于标识解析的网络协同制造跨域融合信任管控方法。
本发明有益效果如下:
本发明针对网络协同制造场景下信息技术IT和操作技术OT域各个设备/***,结合设备/***本身内部特征指纹及外部关联属性进行信息轻量化联合抽取,为网络协同制造场景下IT/OT域各个设备/***赋予一个可信、安全和永久的可信身份标识;并通过构建网络协同制造跨域多级节点之间的协作关系知识库,将可信身份标识进行网络映射并实现标识的关联递归解析,基于设备/***可信身份标识及标识属性列表,在设备/***互相访问阶段进行信任关系可信关系度量。
附图说明
图1是本发明实施例提供的基于标识解析的网络协同制造跨域融合信任管控方法的总体架构;
图2是本发明实施例提供的可信身份标识构建的架构图;
图3是本发明实施例提供的设备/***交互访问时信任链构建流程;
图4是本发明实施例提供的实体信任关系度量及异常处置的架构图;
图5是本发明实施例提供的设备/***信任关系度量及异常处置流程。
具体实施方式
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
由于IT/OT融合后,传统网络协同制造业务域、处理域、模态域实体的身份标识属性不统一、身份信任构建及身份识别技术不能有效适用,跨域的实体访问互信程度难以度量与管理,所以如何全面高效的构建IT/OT跨域融合信任管控,是当前迫切需要解决的应用挑战。
当前网络信任管控技术主要基于数学原理对管控对象进行身份认证,例如基于数字证书的认证体系、基于标识密码的身份认证体系、基于账号***的认证体系、基于区块链技术的信任体系等多种体系,然而以上技术赋予管控对象的身份标识均为基于密码技术的密钥,存在篡改、仿冒等风险。此外,在信任链构建方面,现有信任体系相互独立,不能相互认证,体系间不能进行融合,在分别建立与认证多个体系时,必然带来资源的浪费、成本的复杂化等问题,导致跨行业、跨企业的资源集聚能力低下,无法实现高效的协同设计、协同制造、协同服务,对行业的发展形成瓶颈。
基于上述问题,本发明提出一种基于标识解析的网络协同制造跨域融合信任管控方法,基于标识解析构建可信身份标识及设备/***访问交互过程信任链,在设备/***进行访问交互时进行可信关系度量及异常处置,克服现有技术身份标识方面存在篡改、仿冒风险,信任链割裂,较难进行可信关系度量等不足,提供一种基于标识解析的网络协同制造跨域融合信任管控方法,保护网络协同制造场景下跨域设备/***安全性。下面将通过一个具体的实施例对本发明所述的方法进行详细的解释和说明:
本发明第一实施例提供了一种基于标识解析的网络协同制造跨域融合信任管控方法,包括:
S101、当接受到请求方发出的请求后,获取所述请求方的可信身份标识,并基于所述可信身份标识对所述请求方的身份进行可信性度量,得到第一可信性度量结果;
其中,建立所述可信身份标识的步骤包括:获取所述请求方的内生特征指纹,以及所述请求方的外部关联属性,并基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识;
需要说明的是,本发明实施例中所述可信身份标识用于对所述请求方进行唯一标识。
所述基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识,包括:对所述内生特征指纹进行哈希运算,并通过预设分割符将所述外部关联属性与哈希运算后的内生特征指纹隔开,得到所述请求方的可信身份标识。
S102、在所述请求方与被访问方进行交互过程中,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果;
本发明实施例中所述内生特征指纹是唯一标识出所述请求方的设备/***的特征或者标识,所述内生特征指纹包括以下中的一种或多种:所述请求方的设备/***类型、硬件型号/版本号、软件/固件版本号生产批次和序列号;所述外部关联属性是所述请求方的设备/***的外部归属关系,所述外部关联属性包括以下中的一种或多种:所述请求方的生产商、产地、应用行业和上下游企业关系。
具体实施时,本发明实施例是建立可信身份标识属性列表,通过所述可信身份标识属性列表存储可信且安全的设备所对应的可信身份标识,以便于查找并获取到设备所对应的可信身份标识。
进一步地,本发明实施例中,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果,包括:
获取被访问方的解析密钥和数字签名,通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链,以通过标识解析的方式将不同设备/***之间的访问交互的目标身份标识转换为网络可以识别的网络地址。
具体来说,本发明实施例是请求方、所述标识解析二级节点、所述标识解析根节点均包含一个公私密钥对;
所述标识解析根节点、所述标识解析二级节点使用该区域的私钥对其内的标识解析数据进行签名,为所述标识解析数据生成数字签名;
所述请求方在进行标识解析数据请求时,先检索与之交互的所述被访问方的公钥,并使用该公钥验证所述被访问方所返回的标识解析数据的真实性;
同时所述请求方使用公钥验证接收到的标识解析数据的数字签名是否有效,并向标识解析上级节点,即所述被访问方验证公钥是否有效,如果有效,则确定与之交互的标识解析节点身份可信,标识解析数据有效;如果签名未通过验证,则丢弃标识解析数据并返回错误。
具体地,本发明实施例是通过提取所述请求方与所述被访问方之间的交互行为,并根据所述标识解析交互信任链交互成功次数和交互失败次数,并将该交互成功次数与预设的交互成功次数阈值进行比较,以及将所述交互失败次数与预设交互失败次数阈值进行比较,得到第二可信性度量结果。
S103、根据所述第一可信性度量结果和/或所述第二可信性度量结果对所述请求方发出的请求进行可信性判断,如果判定为可信,则允许所述请求方访问所述被访问方,否则,则拒绝所述请求方的访问。
具体来说,本发明实施例可以通过设置,例如,当所述第一可信性度量结果或所述第二可信性度量结果为不可信,则判定所述请求方不可信,则所述被访问方拒绝所述请求方的访问请求。
本发明实施例所针对的问题是现有技术身份标识方面存在篡改、仿冒风险,信任链割裂,较难进行可信关系度量等不足,提供一种基于标识解析的网络协同制造跨域融合信任管控方法,首先建立基于内生特征的跨域实体可信身份标识,然后基于实体关联图谱结合标识属性进行信任链构建,最终基于可信身份标识及信任链,实现网络协同制造场景下设备/***可信关系度量与异常处置,保护网络协同制造场景下跨域设备/***安全性。
实测表明,本发明实施例所述的方法至少具有以下的有益效果:
首先,本发明实施例是通过对设备/***内生特征指纹及外部关联属性进行信息轻量化联合抽取,根据外部关联属性在前,内生特征指纹在后的规则,为网络协同制造场景下各类设备/***赋予一个可信、安全和永久的可信身份标识;
其次,本发明实施例采用基于公共密钥加密的数字签名方式,在设备/***通过标识解析进行交互访问过程中,基于标识解析构建设备/***交互信任链,解决网络协同制造场景下不同设备/***间数据交互时的身份信任问题;
再者,本发明实施例在设备/***进行交互访问过程中,通过基于内生特征的可信度及基于交互行为的可信度量得出设备/***的可信度量评价指数并记录,建立被访问方与请求方之间的信任关系,以对该请求方被允许执行该操作的可信度得出准确的结论。在物体改变内部特征导致设备/***可信状态发生改变时,终止访问请求并进行异常警告。
下面将结合图1和图5,通过一个具体的例子对本发明实施例所述的方法进行详细的解释和说明:
本发明实施例中的身份标识主要用于识别不同物品、实体、网络资源对象的名称标记,可以是由数字、字母、符号、文字等拟定的规则组成的字符串,面向物品、实体、网络资源对象等进行唯一标记以及提供信息查询的功能,通过赋予每个产品、部件和机器一个独特的身份标识,可以实现整个网络资源的灵活区分和信息管理。现有身份标识主要由生产商根据可猜测的顺序规则进行标记,存在篡改、伪造、易失等安全风险。根据网络协同制造场景下各个设备/***的内生特征指纹(如:设备/***的类型、生产商、生产批次、序列号),分析设备/***身份类型及其结构,结合实体本身内生特征指纹及外部关联属性(如:设备/***的产地、应用行业、上下游企业关系)进行信息轻量化联合抽取,根据外部关联属性在前,内生特征指纹在后的规则,为网络协同制造场景下各类设备/***赋予一个可信、安全和永久的可信身份标识。其中,可信身份标识由两部分组成:代表设备/***外部属性特征的全球统一管理前缀编码,以及跟随其后基于内部特征指纹的唯一后缀编码。前缀和后缀编码间通过“/”分开。例如:86.1000.300/ea6782a995717d17。其中86.1000代表设备/***归属于中国山东省青岛市,300代表海尔公司,ea6782a995717d17是由设备的类型、处理器型号、固件版本号等信息通过散列变换变换生成的唯一后缀编码。同时,在唯一可信身份标识的基础上,通过读取或录入设备/***内、外部属性信息,构建并维护可信安全的可信身份标识属性列表,并将其作为设备/***的可信安全身份指纹,为设备/***赋予全球唯一且可解析的可信身份标识特征。
本发明实施例中的网络协同制造场景下不同设备/***之间的访问交互需要通过标识解析的方式将目标身份标识转换为网络可以识别的网络地址。因此,本发明采用基于公共密钥加密的数字签名方式,在标识解析终端、标识解析二级节点、标识解析根节点之间构建标识解析交互信任链,解决网络协同制造场景下不同设备/***间数据交互时的身份信任问题。具体的,各级标识解析节点中均包含一个公私密钥对,标识解析节点所有者使用该区域的私钥对节点内的标识解析数据进行签名,为这些数据生成数字签名。其中,所述私钥是指只有该标识解析节点所有者才可以知晓的密钥;所述公钥则是在一定区域内公开发布,供全体用户知晓、检索、使用的密钥。标识解析终端在进行标识解析数据请求时,还需检索与之交互的标识解析节点的公钥,从而使用公钥验证标识解析节点所返回的标识解析数据的真实性。标识解析终端使用公钥验证接收到的标识解析数据的数字签名是否有效,并向标识解析上级节点验证公钥是否有效,如果有效,证明与之交互的标识解析节点身份可信,标识解析数据有效;如果签名未通过验证,标识解析终端会假设标识解析节点受到了攻击,身份不可信,丢弃标识解析数据并返回错误。通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链。
本发明实施例中对设备/***进行可信关系的度量,通过可信交互接口获取其业务功能、可信关系保障等信息形式化描述,通过分析、验证这些信息提取设备/***内生特征及运行时的执行某类操作的交互成功次数和失败次数等交互行为,基于生成的标识属性列表及历史交互行为知识库,依据可信度量算法得出设备/***的可信度量评价指数并记录。同时,在设备/***互相访问阶段,向被访问方提供请求方的可信度评价指数,表明被访问方允许请求方执行下次操作的概率,建立被访问方与请求方之间的信任关系,以对该请求方被允许执行该操作的可信度得出准确的结论。最后,在物体改变内部特征导致设备/***可信状态发生改变时,可以根据预先定义的可信策略触发异常事件,在发现异常事件后可以将设备/***访问请求进行中止并进行异常警告。
如图1所示,本发明实施例所述的基于标识解析的网络协同制造跨域融合信任管控方法包括是通过构建可信身份标识来为网络协同制造场景下各类设备/***赋予一个基于内生特征指纹及外部关联属性的可信身份标识。并采用逐级传递、逐级验证的方式,自底向上构建设备/***之间互相访问过程中的信任链,其中设备/***在进行互相访问时,需要通过标识解析的方式将各自的可信身份标识解析为所想要访问的资源内容。同时针对设备状态数据、设备产生的数据、数据传输路径等进行可信关系动态度量,对设备/***及数据信任度给出信任度推荐值。
如图2所示,本发明实施例的可信身份标识中包含设备/***内部特征指纹、设备/***外部关联属性、可信身份标识属性列表三个部分。其中,可信身份标识由两部分组成:代表设备/***外部属性特征的全球统一管理前缀编码,以及跟随其后基于内部特征指纹的唯一后缀编码。前缀和后缀编码间通过“/”分开。例如:86.1000.300/ea6782a995717d17。其中86.1000代表设备/***归属于中国山东省青岛市,300代表海尔公司,ea6782a995717d17是由设备的类型、处理器型号、固件版本号等信息通过散列计算生成的唯一后缀编码。最后通过读取或录入设备/***内生特征及外部属性信息,构建并维护可信安全的属性列表。
本发明实施例的多实体信任链构建过程如图3所示,具体地,本发明实施例是基于标识解析体系中的标识解析客户端、标识解析二级节点、标识解析根节点实现网络协同制造过程中不同设备/***间标识解析交互时的信任链的构建,其中标识解析客户端通常为设备/***中内置的软件模块。以某设备A需访问86.1000.300/ea6782a995717d17所标识的设备/***为例,其具体解析信任链构建步骤如下:
(1)设备A中的标识解析客户端向标识解析根节点请求86.1000.300/ea6782a995717d17信息;
(2)标识解析根节点返回86.1000.300的标识信息及签名S1;
(3)标识解析客户端向标识解析二级节点请求86.1000.300/ea6782a995717d17信息;
(4)标识解析二级节点返回86.1000.300/ea6782a995717d17的标识信息及签名S2;
(5)标识解析客户端向标识解析二级节点请求86.1000.300签名的签名验证信息K1;
(6)标识解析二级节点返回86.1000.300的S2的验证信息K1及验证信息签名S3;
(7)标识解析客户端用86.1000.300签名的签名验证信息K1验证86.1000.300的标识信息及签名S2的真实性;
(8)标识解析客户端向标识解析根节点请求S3的验证信息K2;
(9)标识解析根节点返回S3的验证信息K2;
(10)用K2验证流程(7)中S3的真实性;
(11)标识解析客户端向标识解析根节点请求S1的验证信息K3;
(12)标识解析根节点返回S1的验证信息K3及签名S4;
(13)标识解析客户端利用K3验证流程(2)中的S1的真实性;
(14)标识解析客户端利用存储在可信区域的信任锚点K4验证流程(12)中的S4的真实性,以此构建网络协同过程中不同设备/***间标识解析交互时的信任链。
本发明实施例的实体可信关系度量及异常处置架构如图4所示,其中可信关系度量算法以可信标识属性列表及历史交互行为知识库为依据,对设备/***的内生特征指纹及交互行为可信关系度量验证,得出可信度量评价指数。同时对设备/***可信度评价指数进行监测,当可信度评价指数低于指定阈值时即进行拦截并实施控制。
本发明实施例的实体可信关系度量及异常处置流程具体如图5所示,其具体步骤如下:
(1)***启动时,获取设备/***内生特征指纹;
(2)将获取到的设备/***内生特征指纹与可信标识属性列表进行特征匹配;
(3)进行基于内生特征的可信关系度量,得出设备/***内生特征可信关系度量结果并记录;
(4)***正常运行;
(5)获取设备/***交互行为;
(6)将获取到的设备/***交互行为与历史交互行为知识库进行特征匹配;
(7)进行基于交互行为的可信关系度量,得出设备/***交互行为可信关系度量结果并记录;
(8)***正常运行,并定期提取设备/***交互行为并进行基于交互行为的可信关系度量,实现设备/***可信动态度量;
(9)将设备/***内生特征可信关系度量结果与设备/***交互行为可信关系度量结果进行融合计算,得出设备/***可信度评价指数;
(10)根据设备/***可信度评价指数进行可信度判断,若可信度正常,则允许设备/***进行正常交互访问;若可信度异常,则拒绝设备/***进行交互访问并进行异常处置;
总体来说,本发明实施例是基于现有技术身份标识方面存在篡改、仿冒风险,信任链割裂,较难进行可信关系度量等不足,提供一种基于标识解析的网络协同制造跨域融合信任管控方法,首先建立基于内生特征的跨域实体可信身份标识,然后基于实体关联图谱结合标识属性进行信任链构建,最终基于可信身份标识及信任链,实现网络协同制造场景下设备/***可信关系度量与异常处置,保护网络协同制造场景下跨域设备/***安全性。
本发明第二实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现上述所述的基于标识解析的网络协同制造跨域融合信任管控方法。具体可参考方法实施例部分进行理解,本发明对此不作具体限定。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (5)
1.一种基于标识解析的网络协同制造跨域融合信任管控方法,其特征在于,包括:
当接受到请求方发出的请求后,获取所述请求方的可信身份标识,并基于所述可信身份标识对所述请求方的身份进行可信性度量,得到第一可信性度量结果;
在所述请求方与被访问方进行交互过程中,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果;
根据所述第一可信性度量结果和/或所述第二可信性度量结果对所述请求方发出的请求进行可信性判断,如果判定为可信,则允许所述请求方访问所述被访问方,否则,则拒绝所述请求方的访问;
建立所述可信身份标识的步骤包括:
获取所述请求方的内生特征指纹,以及所述请求方的外部关联属性,并基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识;
其中,所述可信身份标识用于对所述请求方进行唯一标识;
所述基于所述内生特征指纹和所述外部关联属性生成所述请求方的可信身份标识,包括:
对所述内生特征指纹进行哈希运算,并通过预设分割符将所述外部关联属性与哈希运算后的内生特征指纹隔开,得到所述请求方的可信身份标识;
所述内生特征指纹是唯一标识出所述请求方的设备/***的特征或者标识,所述内生特征指纹包括以下中的一种或多种:所述请求方的设备/***类型、硬件型号/版本号、软件/固件版本号、生产批次和序列号;
所述外部关联属性是所述请求方的设备/***的外部归属关系,所述外部关联属性包括以下中的一种或多种:所述请求方的生产商、产地、应用行业和上下游企业关系;
建立可信身份标识属性列表,通过所述可信身份标识属性列表存储可信且安全的设备所对应的可信身份标识,以便于查找并获取到设备所对应的可信身份标识;
提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果,包括:
获取被访问方的解析密钥和数字签名,通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链,以标识解析的方式将不同设备/***之间的访问交互的目标身份标识转换为网络可以识别的网络地址。
2.根据权利要求1所述的方法,其特征在于,所述被访问方包括标识解析二级节点和标识解析根节点,所述获取被访问方的解析密钥和数字签名,通过采用逐级传递、逐级验证的方式,自底向上构建不同设备/***之间的访问交互时的信任链,包括:
所述请求方、所述标识解析二级节点、所述标识解析根节点均包含一个公私密钥对;
所述标识解析根节点、所述标识解析二级节点使用该区域的私钥对其内的标识解析数据进行签名,为所述标识解析数据生成数字签名;
所述请求方在进行标识解析数据请求时,先检索与之交互的所述被访问方的公钥,并使用该公钥验证所述被访问方所返回的标识解析数据的真实性;
同时所述请求方使用公钥验证接收到的标识解析数据的数字签名是否有效,并向标识解析上级节点,即所述标识解析根节点验证公钥是否有效,如果有效,则确定与之交互的标识解析节点身份可信,标识解析数据有效;如果签名未通过验证,则丢弃标识解析数据并返回错误。
3.根据权利要求2所述的方法,其特征在于,提取所述请求方与所述被访问方之间的交互行为,并根据所述交互行为进行可信性度量,得到第二可信性度量结果,包括:
提取所述请求方与所述被访问方之间的交互行为,并根据所述标识解析交互信任链交互成功次数和交互失败次数,将该交互成功次数与预设的交互成功次数阈值进行比较,以及将所述交互失败次数与预设交互失败次数阈值进行比较,得到第二可信性度量结果。
4.根据权利要求1所述的方法,其特征在于,根据所述第一可信性度量结果和/或所述第二可信性度量结果对所述请求方发出的请求进行可信性判断,包括:
当所述第一可信性度量结果或所述第二可信性度量结果为不可信,则判定所述请求方不可信,则所述被访问方拒绝所述请求方的访问请求。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现权利要求1-4中任意一项所述的基于标识解析的网络协同制造跨域融合信任管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010735041.0A CN111917760B (zh) | 2020-07-28 | 2020-07-28 | 一种基于标识解析的网络协同制造跨域融合信任管控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010735041.0A CN111917760B (zh) | 2020-07-28 | 2020-07-28 | 一种基于标识解析的网络协同制造跨域融合信任管控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111917760A CN111917760A (zh) | 2020-11-10 |
| CN111917760B true CN111917760B (zh) | 2022-08-30 |
Family
ID=73281821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010735041.0A Active CN111917760B (zh) | 2020-07-28 | 2020-07-28 | 一种基于标识解析的网络协同制造跨域融合信任管控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917760B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124402B (zh) * | 2021-11-03 | 2024-05-14 | 国家工业信息安全发展研究中心 | 一种资源受限环境下的分布式数据安全交换共享方法 |
| CN115665226B (zh) * | 2022-12-05 | 2023-04-11 | 东南大学 | 一种物联网多编码标识跨域统一映射方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274694A (zh) * | 2018-11-14 | 2019-01-25 | 天津市国瑞数码安全***股份有限公司 | 一种基于标识的通用跨域认证方法 |
| CN111241549A (zh) * | 2020-01-08 | 2020-06-05 | 广州中国科学院计算机网络信息中心 | 一种异构标识体系下的可信解析方法 |
| CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110093503A1 (en) * | 2009-10-19 | 2011-04-21 | Etchegoyen Craig S | Computer Hardware Identity Tracking Using Characteristic Parameter-Derived Data |
| US10587586B2 (en) * | 2017-01-10 | 2020-03-10 | Mocana Corporation | System and method for a multi system trust chain |
| CN109413107A (zh) * | 2018-12-18 | 2019-03-01 | 北京可信华泰信息技术有限公司 | 一种可信平台连接方法 |
-
2020
- 2020-07-28 CN CN202010735041.0A patent/CN111917760B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274694A (zh) * | 2018-11-14 | 2019-01-25 | 天津市国瑞数码安全***股份有限公司 | 一种基于标识的通用跨域认证方法 |
| CN111241549A (zh) * | 2020-01-08 | 2020-06-05 | 广州中国科学院计算机网络信息中心 | 一种异构标识体系下的可信解析方法 |
| CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 异构身份联盟统一身份标识模型研究;杨淳等;《信息安全与通信保密》;20190630;27-35 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111917760A (zh) | 2020-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rahmani et al. | [Retracted] Blockchain‐Based Trust Management Framework for Cloud Computing‐Based Internet of Medical Things (IoMT): A Systematic Review | |
| CN107682331B (zh) | 基于区块链的物联网身份认证方法 | |
| US10826683B2 (en) | Consensus-based voting for network member identification employing blockchain-based identity signature mechanisms | |
| CN111010376B (zh) | 基于主从链的物联网认证***及方法 | |
| CN111209596A (zh) | 一种基于区块链的工业互联网标识解析访问控制方法 | |
| CN104184713B (zh) | 终端识别方法、机器识别码注册方法及相应***、设备 | |
| CN105207780B (zh) | 一种认证用户方法及装置 | |
| US9490986B2 (en) | Authenticating a node in a communication network | |
| CN111917714A (zh) | 一种零信任架构***及其使用方法 | |
| CN111917760B (zh) | 一种基于标识解析的网络协同制造跨域融合信任管控方法 | |
| CN110084600B (zh) | 决议事务请求的处理、验证方法、装置、设备及介质 | |
| CN108604990A (zh) | 终端中本地授权凭证的使用方法及装置 | |
| Ghasemisharif et al. | Towards automated auditing for account and session management flaws in single sign-on deployments | |
| CN110943840B (zh) | 一种签名验证方法 | |
| Ahmed et al. | Turning trust around: smart contract-assisted public key infrastructure | |
| CN113342892A (zh) | 基于区块链节点集群的云安全数据处理方法及区块链*** | |
| Chuat et al. | F-PKI: enabling innovation and trust flexibility in the HTTPS public-key infrastructure | |
| US12010124B2 (en) | Methods and systems for prevention of vendor data abuse | |
| Ram et al. | Security and privacy concerns in connected cars: A systematic mapping study | |
| CN112132576B (zh) | 基于区块链通信的支付信息处理方法及区块链信息平台 | |
| Kyriakidou et al. | Decentralized identity with applications to security and privacy for the internet of things | |
| CN111769956A (zh) | 业务处理方法、装置、设备及介质 | |
| CN112765588B (zh) | 一种身份识别方法、装置、电子设备及存储介质 | |
| Bodi et al. | Towards blockchain-enabled intrusion detection for vehicular navigation map system | |
| WO2011118237A1 (ja) | 認証装置および認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |