CN115514474A - 一种基于云-边-端协同的工业设备可信接入方法 - Google Patents
一种基于云-边-端协同的工业设备可信接入方法 Download PDFInfo
- Publication number
- CN115514474A CN115514474A CN202211059138.XA CN202211059138A CN115514474A CN 115514474 A CN115514474 A CN 115514474A CN 202211059138 A CN202211059138 A CN 202211059138A CN 115514474 A CN115514474 A CN 115514474A
- Authority
- CN
- China
- Prior art keywords
- authentication
- edge
- industrial equipment
- access
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于云‑边‑端协同的工业设备可信接入方法,针对工业设备数量巨大以及异构性等特点,构建分层的树形可信认证链模型,以解决工业设备可信接入的分布式认证问题,为云‑边‑端协同认证提供技术服务支撑;为确保边缘认证服务器的可信性,采用基于切比雪夫多项式的工业边缘设备云‑边接入认证;考虑到工业设备的移动性和随机性,采用基于椭圆曲线的IBC标识密码边‑端双向接入认证和基于域间节点协同的工业设备边‑端跨域接入认证,以满足工业设备接入认证的高效性、实时性和移动性要求。本发明方法避免了不同安全域内的设备由于***参数不同造成的认证困难问题,缩短了认证的时延,提高了工业设备跨域认证的效率。
Description
技术领域
本发明属于信息安全处理技术领域,具体涉及一种工业设备可信接入方法。
背景技术
工业智能制造网络信息***作为智能制造企业关键基础设施的“神经中枢”,***的安全稳定的运行是企业生产业务正常开展的前提,而对***最大的威胁就是接入***的数以千万计的工业设备。工业设备作为智能制造***的终端之一,具有数量规模大、分布广的特点,并且随着柔性生产技术引入,新、旧生产线不断组合,工业设备接入认证还存在移动性问题,这在离散行业表现尤为突出。工业设备种类繁多、结构差异大,网络接入/撤销具有随机性,以上这些特点均增加了工业设备可信接入的技术难度。要想降低***的安全风险,安全可信认证机制就成为了设备可信接入的基础。在边缘计算场景下,边缘节点可以就近对数据进行处理分析,边缘节点和云端之间协同处理可大大减少云认证中心的负载及数据传输量,但同时由于边缘节点通信协议复杂,且安全功能不足,极易成为渗透至云平台的攻击跳板。边缘计算作为云计算的重要扩展,传统的云-端网络架构演变为云-边-端一体化架构。
由于工业智能制造***中存在种类繁多的设备和应用***,传统的安全认证模式很难适应工业设备数量大、移动性以及随机接入/撤销网络等特性。另一方面,传统的认证模式采用的是集中式认证架构,随着工业智能制造***规模的扩大会使***的复杂性快速增长,使管理维护的开销增加,并且该模式下的***的开发、维护、功能添加较为复杂。另一方面,该模式下的***健壮性较弱,认证服务器故障时会造成整个***的认证服务瘫痪。此外,同一时段大量工业设备发起认证申请会造成网络延迟以及服务器工作效率降低等问题。
发明内容
为了克服现有技术的不足,本发明提供了一种基于云-边-端协同的工业设备可信接入方法,针对工业设备数量巨大以及异构性等特点,构建分层的树形可信认证链模型,以解决工业设备可信接入的分布式认证问题,为云-边-端协同认证提供技术服务支撑;为确保边缘认证服务器的可信性,采用基于切比雪夫多项式的工业边缘设备云-边接入认证;考虑到工业设备的移动性和随机性,采用基于椭圆曲线的IBC标识密码边-端双向接入认证和基于域间节点协同的工业设备边-端跨域接入认证,以满足工业设备接入认证的高效性、实时性和移动性要求。本发明方法避免了不同安全域内的设备由于***参数不同造成的认证困难问题,缩短了认证的时延,提高了工业设备跨域认证的效率。
本发明解决其技术问题所采用的技术方案包括如下步骤:
步骤1:云-边-端协同工业设备认证环境构建;
采用三层树形分布式可信认证链模型,解耦出云端服务器的部分认证与管理功能,部署到边缘节点上,用于实现云-边、边-边、以及边-端协同接入认证;具体如下:
云-边-端协同工业设备认证环境包含3个实体:云认证中心、边缘节点和工业设备,其中云认证中心用于提供设备联网服务,负责全局策略数据分发、边缘节点管理、接收工业设备上传的数据进行分析处理并为边缘节点提供认证接入服务;云-边-端协同工业设备认证环境是以云端服务器为认证中心,逐层分散延伸的认证模式,包括云-边协同、边-边协同和边-端协同认证三部分;
步骤2:基于切比雪夫多项式的工业边缘设备云-边接入认证;
(1)边缘节点E将自己的ID与云端服务器S的ID发送给服务器S发起连接请求;
(2)当云端服务器S收到连接请求后给边缘节点E返回云端服务器S的公钥和由云端服务器S与第三方密钥分发中心KDC共享的密钥KSK的加密信息;
(3)边缘节点E将收到的信息通过时钟认证发送给可信任的第三方密钥分发中心KDC来验证云端服务器S的身份;
(4)第三方密钥分发中心KDC将收到的信息解密返回边缘节点E;
(5)边缘节点E根据收到解密得到的数值,基于Chebyshev多项式的半群特性计算出边缘节点E与云端服务器S的共享密钥KSE;加密发送认证信息到云端服务器S;
(6)云端服务器S收到加密信息后,计算共享密钥并核实边缘节点E的身份,返回认证成功的信息;
(7)边缘节点E收来自云端的认证通过的信息后,返回接入成功的应答,边缘节点在云-边接入认证阶段完成接入;
步骤3:基于椭圆曲线的IBC标识密码边-端双向接入认证;
工业设备在边-端接入认证,基于挑战应答的认证机制,采取双向接入认证方法,通过工业设备和边缘节点的两次挑战应答来实现通信双方对彼此身份真实性的验证;其中,T是认证发起方,即工业设备;U是认证服务器,即边缘节点;具体如下:
(1)工业设备T选择随机数、时间戳,然后将其与边缘节点U的ID号连接发送给边缘节点U请求接入;
(2)边缘节点U接收到工业设备T的接入请求后,计算工业设备T的公钥并解密密文,验证时间戳的有效性核实消息的真实性,如果不相符则丢弃接入请求;否则边缘节点U选取随机数向工业设备T发送身份认证挑战信息;
(3)工业设备T收到来自边缘节点U的挑战后,计算边边缘节点U的公钥并解密得到的信息,验证时间戳,通过椭圆曲线双线性对性质检验边缘节点U是否是安全域内的注册设备,若验证失败表示边缘节点U为非法设备,认证失败,否则证明工业设备T对边缘节点U认证成功;
(4)工业设备T生成新的时间戳和随机数,向边缘节点U返回挑战的应答信息;边缘节点U收到工业设备T验证信息后,验证时间戳有效性,通过椭圆曲线双线性对性质检验工业设备T是否是安全域内的注册设备,若验证失败表明T为非法设备,边缘节点U对工业设备T认证失败,验证成功则表明边缘节点U对工业设备T认证成功;工业设备和边缘节点双向接入认证完成;
步骤4:基于域间节点协同的工业设备边-端跨域接入认证;
利用边缘节点认证服务器将整个工作区域划分为不同接入认证安全域,通过中心节点的协同认证来提升跨域认证的效率;当工业设备进入某一安全域时,发送接入认证的消息给边缘节点,若工业设备在另一安全域已经通过认证,则该边缘节点通过域间的中心节点协同认证来核实工业设备身份的真实性,实现工业设备不受时间和地域限制的接入认证;具体如下:
(1)设M为待接入的工业设备,A和B分别表示两个边缘节点,P和Q分别表示归属域和漫游域的中心节点服务器,中心节点服务器属于边缘节点;
(2)M发送一个消息给中心节点服务器Q表明它想接入B;
(3)中心节点服务器Q通过信息连接到M的归属域的中心节点服务器P,并请求核实M的认证信息;
(4)P验证通过后回应一个加密消息,包括M的合法性及Q和M间的会话密钥的封装信息;
(5)Q收到信息,确认M的合法性,获取会话密钥,发送一条消息给M;
(6)M收到消息,获取M和Q以及M和B的会话密钥,核实Q的身份,发送消息给B;
(7)B接收到消息,B首先解密该封装信息并检查时间截和生命周期,如果封装信息产生的时间在设定的时间范围内,就用封装的密钥来解密,然后用会话密钥kbm加密后返回时间戳,以供M确认B的身份;
(8)B、M相互确认身份合法性后,B将会通过M的接入请求,并将用此会话密钥进行通信。
本发明的有益效果如下:
本发明针对工业智能制造环境中设备跨域难,实时性不高,接入认证效率低等技术问题,提出一种基于云-边-端协同的可信接入认证方法,实现了工业设备云-边、边-边、以及边-端的协同接入认证。云-边接入认证阶段采用基于切比雪夫多项式的工业边缘设备接入认证方法,利用基于切比雪夫多项式的半群特性减少了通信双方的资源消耗,在身份认证过程中自动生成边缘节点E和S会话密钥,不需要依靠KDC来分发会话密钥。这样既解决了当边缘节点很多时KDC分发密钥可能会遇到的瓶颈的问题,也解决了边缘节点与云端之间会话的安全性问题。工业设备边-端接入认证阶段,采用基于椭圆曲线的IBC标识密码的双向接入认证方法,相较于其它方法,该方法无需预先协商密码或者交换证书,可以大大减少传统证书认证方式的申请和验证环节,易于使用,接入效率更高。工业设备边-端跨域接入认证阶段,采用基于域间节点协同的工业设备跨域接入认证方法,在安全域内构建中心认证服务器作为域间协同节点,将工业设备跨域接入过程中的身份核实问题交给不同域的中心服务器来协商完成,避免了不同安全域内的设备由于***参数不同造成的认证困难问题,相比其他跨域认证方法缩短了认证的时延,提高了工业设备跨域认证的效率。
附图说明
图1为本发明云-边-端分布式工业设备认证环境。
图2为本发明工业设备可信接入场景拓扑图。
图3为本发明云-边接入认证流程图。
图4为本发明工业设备边-端接入认证方法示意图。
图5为本发明工业设备跨域接入认证示意图。
具体实施方式
下面结合附图和实施例对本发明进一步说明。
本发明提出了一种基于云-边-端协同的工业设备可信接入技术。针对工业设备数量巨大以及异构性等特点,构建分层的树形可信认证链模型,以解决工业设备可信接入的分布式认证问题,为云-边-端协同认证提供技术服务支撑。为确保边缘认证服务器的可信性,采用一种基于云-边协同可信认证方法;考虑到工业设备的移动性和随机性,采用一种基于不同安全域的边-端协同和跨域安全接入认证技术,以满足工业设备接入认证的高效性、实时性和移动性要求。具体方法描述如下:
1、云-边-端协同工业设备认证环境构建
该方法主要针对的问题是工业设备的接入认证,为了解决工业设备数量多、移动性强、资源受限等问题,同时还要保证认证高效性和实时性,提出了一种基于云-边-端协同的接入认证技术。该方法采用一种分层的树形可信认证链模型,采用分布式认证方式,实现云-边、边-边、以及边-端协同接入认证。云-边-端协同接入认证技术,可以有效的解决云认证中心负载、认证距离远而产生的时延以及数据传输量大的问题,云-边-端三层认证模式采取解耦出云端服务器的部分认证与管理功能,部署到工业边缘节点上的办法,设计以边缘网关为基础的分布式终端认证机制,实现工业设备的边缘认证与管理。云-边-端分布式工业设备认证环境如图1所示。
云-边-端分布式工业设备认证环境主要包含3个实体:云认证中心、边缘节点和工业设备,其中云认证中心主要用来提供设备联网服务,负责全局的一些策略数据分发、边缘节点管理,接收工业设备上传的数据进行分析处理,并为边缘设备提供认证接入服务,其主要包括数据存储模块、信息展示模块。云-边、边-边、边-端形成了整体的云-边-端协同网络。云-边-端协同认证***是以云认证服务器为中心,逐层分散延伸的认证模式,其中主要涉及到云-边协同、边-边协同和边-端协同认证三部分。
基于云-边-端协同的可信接入***的一个基本应用模式是分布式认证模式,工业设备在身份认证***注册后,即可在所有支持身份认证***的不同安全域内请求接入。工业设备可信接入***拓扑图如图2所示。
2、基于切比雪夫多项式的工业边缘设备云-边接入认证方法
针对基于证书交换的集中式认证方式实时性差、效率低的问题,本发明采用一种基于Chebyshev多项式的无证书接入认证方法。该方法降低了公钥证书在管理和维护上的复杂性,同时减少了公钥认证过程中的计算量、通信开销以及节点的存储容量;其次,基于分层树型结构建立了云端与边缘设备在内的树形认证链模型。同时基于混沌非对称加密算法采用挑战应答的认证方式来解决云环境中边缘节点和云端之间的身份认证问题。
在图3中,边缘设备在云-边接入认证阶段,首先,边缘设备E将自己的ID与想要登录的服务器S的ID发送给服务器S发起连接请求;当服务器S收到后返回S的公钥和由服务器S和KDC的共享密钥加密的信息;边缘设备E收到后将收到的信息发送给可信任的第三方KDC来验证S的身份;然后,边缘节点E根据收到解密得到的数值,基于Chebyshev多项式的半群特性计算出其与服务器S的共享密钥KSE;云端服务器S收到加密信息后,计算共享密钥并核实E的身份,返回认证成功的信息;边缘节点E收来自云端的认证通过的信息后,返回接入成功的应答。至此,边缘节点在云-边接入认证阶段完成接入。
在整个认证过程中,首先引入可信任第三方KDC,同时使用了时钟,而不是随机数。通过时钟T的传送加密的,使攻击者无法得到这一值;其次,认证使用的算法利用有限域上Chebyshev良好的半群特性,认证过程中双方没有公开素数,而只是各自公开了大数,因此攻击者即使得到了传输过程中边缘节点E与服务器S的信息也无法从中找到有效的公钥信息。有效抵挡了中间人攻击。最后,本专利方法中边缘节点E和S会话密钥的生成是基于Chebyshev多项式的半群特性,在身份认证过程中自动生成的,不需要依靠KDC来分发会话密钥。
3、基于椭圆曲线的IBC标识密码边-端双向接入认证方法
在IBC标识的密码***中,每个实体具有一个有意义的、唯一的标识,这个标识本身就是实体的公钥。无需预先协商密码或者交换证书,可以大大减少传统证书认证方式的申请和验证环节,易于使用。但是现有的基于IBC标识密码认证协议只实现了认证服务器对于工业设备的认证,属于单向认证,仍然存在安全隐患,本方法对现有基于身份标识的认证协议进行改进,提出了相较CA认证运算复杂度更低、效率更高,相较IBC单向认证更安全的认证方法,即边缘节点与工业设备的双向接入认证方法。
工业设备在边-端接入认证,基于挑战应答的认证机制,采取双向接入认证方法,通过工业设备和边缘节点的两次挑战应答来实现通信双方对彼此身份真实性的验证。其中,T是认证发起方(即工业设备),U是认证服务器(边缘节点)。工业设备接入认证原理如图4所示。
在图4中,工业设备边-端接入认证阶段,首先,工业设备T选择随机数、时间戳,然后将其与U的ID号连接发送给U请求接入;U接收接T的入请求后,计算工业设备T的公钥并解密密文,验证时间戳的有效性核实消息的真实性,如果不相等则丢弃报文。U选取随机数等相关数值,然后向T发送身份认证挑战信息;工业设备T收到来自U的挑战后,计算U的公钥并解密得到信息,验证时间戳,通过椭圆曲线双线性对性质检验U是否是安全域内的注册设备,若验证失败表示U为非法设备,认证失败,否则证明T对U认证成功。生成新的时间戳和随机数,向U返回挑战的应答信息;U收到T验证信息后,验证时间戳有效性,通过椭圆曲线双线性对性质检验T是否是安全域内的注册设备,若验证失败T表明T为非法设备,U对T认证失败,验证成功则表明U对T认证成功。至此,工业设备和边缘节点双向接入认证完成。
在工业设备边-端接入认证阶段,该认证方法将随机数和时间戳组合使用,这样就只需保存某个很短时间段内的所有随机数,而且时间戳的同步也不需要太精确,从而实现了防重放攻击。其次,在工业设备接入认证方法中,认证双方的信息必须通过对方的公钥加密后进行发送,因此,只有接受方对应的私钥才能解密。在基于身份标识密码的通信过程中,窃听一方很容易获取双方的公钥,但是私钥的分发由密钥生成中心通过安全信道私发给设备,在可信第三方密钥生成中心PKG被攻破的情况下,中间人无法获得通信双方的私钥,实现了防窃听;同时,因为第三方有可能进行截留发送方的信息,自己伪造一个然后用接收方的公钥加密发送,所以通信双方先用自己的私钥进行签名然后用对方的公钥加密,最后发送数据信息给接收方,实现了防窃听、防篡改信息的功能。
4、基于域间节点协同的工业设备边-端跨域接入认证方法
在工业智能制造***中,工业设备具有规模大、移动性和接入随机性等特点,其中工业设备的移动性造成了不同边缘节点对其重复认证的问题,这大大增加了边缘节点的认证资源消耗以及认证效率的降低。本发明提出基于边缘节点认证托管机制的跨域认证方法,即利用边缘认证服务器将整个区域划分为不同接入认证安全域,通过中心节点的协同认证来提升跨域认证的效率。当工业设备进入某一安全域时,发送接入认证的消息给边缘节点,若其在另一安全域已经通过认证,则该边缘节点通过域间的中心节点协同认证来核实工业设备身份的真实性,实现工业设备不受时间和地域限制的接入认证,解决了工业设备跨域接入难、效率低的问题。工业设备跨域接入认证示意图如图5所示。
在图5中,M为待接入的工业设备主体,A和B分别表示两个边缘节点,P和Q分别表示归属域和漫游域的中心节点服务器。首先M发送一个消息给Q表明它想接入B;中心节点Q通过信息连接到M的归属域的中心节点Q,并请求核实M的认证信息;P验证通过后回应一个加密消息,包括M的合法性、Q和M间的会话密钥,以及证明Q合法性标记和Q、M会话密钥的封装信息;Q收到信息,确认M的合法性,获取会话密钥,发送一条消息给M;M收到消息,获取和Q以及和B的会话密钥,核实Q的身份,发送消息给B;B接收到消息,B首先解密该封装信息并检查时间截和生命周期,如果封装信息产生的时间足够近,他就用封装的密钥来解密。然后用会话密钥kbm加密后返回时间戳,以供M确认B的身份。B、M相互确认身份合法性后,B将会通过M的接入请求,并将用此会话密钥进行通信。
Claims (1)
1.一种基于云-边-端协同的工业设备可信接入方法,其特征在于,包括如下步骤:
步骤1:云-边-端协同工业设备认证环境构建;
采用三层树形分布式可信认证链模型,解耦出云端服务器的部分认证与管理功能,部署到边缘节点上,用于实现云-边、边-边、以及边-端协同接入认证;具体如下:
云-边-端协同工业设备认证环境包含3个实体:云认证中心、边缘节点和工业设备,其中云认证中心用于提供设备联网服务,负责全局策略数据分发、边缘节点管理、接收工业设备上传的数据进行分析处理并为边缘节点提供认证接入服务;云-边-端协同工业设备认证环境是以云端服务器为认证中心,逐层分散延伸的认证模式,包括云-边协同、边-边协同和边-端协同认证三部分;
步骤2:基于切比雪夫多项式的工业边缘设备云-边接入认证;
(1)边缘节点E将自己的ID与云端服务器S的ID发送给服务器S发起连接请求;
(2)当云端服务器S收到连接请求后给边缘节点E返回云端服务器S的公钥和由云端服务器S与第三方密钥分发中心KDC共享的密钥KSK的加密信息;
(3)边缘节点E将收到的信息通过时钟认证发送给可信任的第三方密钥分发中心KDC来验证云端服务器S的身份;
(4)第三方密钥分发中心KDC将收到的信息解密返回边缘节点E;
(5)边缘节点E根据收到解密得到的数值,基于Chebyshev多项式的半群特性计算出边缘节点E与云端服务器S的共享密钥KSE;加密发送认证信息到云端服务器S;
(6)云端服务器S收到加密信息后,计算共享密钥并核实边缘节点E的身份,返回认证成功的信息;
(7)边缘节点E收来自云端的认证通过的信息后,返回接入成功的应答,边缘节点在云-边接入认证阶段完成接入;
步骤3:基于椭圆曲线的IBC标识密码边-端双向接入认证;
工业设备在边-端接入认证,基于挑战应答的认证机制,采取双向接入认证方法,通过工业设备和边缘节点的两次挑战应答来实现通信双方对彼此身份真实性的验证;其中,T是认证发起方,即工业设备;U是认证服务器,即边缘节点;具体如下:
(1)工业设备T选择随机数、时间戳,然后将其与边缘节点U的ID号连接发送给边缘节点U请求接入;
(2)边缘节点U接收到工业设备T的接入请求后,计算工业设备T的公钥并解密密文,验证时间戳的有效性核实消息的真实性,如果不相符则丢弃接入请求;否则边缘节点U选取随机数向工业设备T发送身份认证挑战信息;
(3)工业设备T收到来自边缘节点U的挑战后,计算边边缘节点U的公钥并解密得到的信息,验证时间戳,通过椭圆曲线双线性对性质检验边缘节点U是否是安全域内的注册设备,若验证失败表示边缘节点U为非法设备,认证失败,否则证明工业设备T对边缘节点U认证成功;
(4)工业设备T生成新的时间戳和随机数,向边缘节点U返回挑战的应答信息;边缘节点U收到工业设备T验证信息后,验证时间戳有效性,通过椭圆曲线双线性对性质检验工业设备T是否是安全域内的注册设备,若验证失败表明T为非法设备,边缘节点U对工业设备T认证失败,验证成功则表明边缘节点U对工业设备T认证成功;工业设备和边缘节点双向接入认证完成;
步骤4:基于域间节点协同的工业设备边-端跨域接入认证;
利用边缘节点认证服务器将整个工作区域划分为不同接入认证安全域,通过中心节点的协同认证来提升跨域认证的效率;当工业设备进入某一安全域时,发送接入认证的消息给边缘节点,若工业设备在另一安全域已经通过认证,则该边缘节点通过域间的中心节点协同认证来核实工业设备身份的真实性,实现工业设备不受时间和地域限制的接入认证;具体如下:
(1)设M为待接入的工业设备,A和B分别表示两个边缘节点,P和Q分别表示归属域和漫游域的中心节点服务器,中心节点服务器属于边缘节点;
(2)M发送一个消息给中心节点服务器Q表明它想接入B;
(3)中心节点服务器Q通过信息连接到M的归属域的中心节点服务器P,并请求核实M的认证信息;
(4)P验证通过后回应一个加密消息,包括M的合法性及Q和M间的会话密钥的封装信息;
(5)Q收到信息,确认M的合法性,获取会话密钥,发送一条消息给M;
(6)M收到消息,获取M和Q以及M和B的会话密钥,核实Q的身份,发送消息给B;
(7)B接收到消息,B首先解密该封装信息并检查时间截和生命周期,如果封装信息产生的时间在设定的时间范围内,就用封装的密钥来解密,然后用会话密钥kbm加密后返回时间戳,以供M确认B的身份;
(8)B、M相互确认身份合法性后,B将会通过M的接入请求,并将用此会话密钥进行通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211059138.XA CN115514474A (zh) | 2022-08-30 | 2022-08-30 | 一种基于云-边-端协同的工业设备可信接入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211059138.XA CN115514474A (zh) | 2022-08-30 | 2022-08-30 | 一种基于云-边-端协同的工业设备可信接入方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115514474A true CN115514474A (zh) | 2022-12-23 |
Family
ID=84501619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211059138.XA Pending CN115514474A (zh) | 2022-08-30 | 2022-08-30 | 一种基于云-边-端协同的工业设备可信接入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115514474A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115665749A (zh) * | 2022-12-29 | 2023-01-31 | 国家工业信息安全发展研究中心 | 一种海量工业设备安全可信接入方法及*** |
CN116032666A (zh) * | 2023-03-29 | 2023-04-28 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及*** |
CN116321156A (zh) * | 2023-05-18 | 2023-06-23 | 合肥工业大学 | 一种轻量化车云身份认证方法和通信方法 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及*** |
-
2022
- 2022-08-30 CN CN202211059138.XA patent/CN115514474A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115665749A (zh) * | 2022-12-29 | 2023-01-31 | 国家工业信息安全发展研究中心 | 一种海量工业设备安全可信接入方法及*** |
CN115665749B (zh) * | 2022-12-29 | 2023-03-17 | 国家工业信息安全发展研究中心 | 一种海量工业设备安全可信接入方法及*** |
CN116032666A (zh) * | 2023-03-29 | 2023-04-28 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及*** |
CN116032666B (zh) * | 2023-03-29 | 2023-09-22 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及*** |
CN116321156A (zh) * | 2023-05-18 | 2023-06-23 | 合肥工业大学 | 一种轻量化车云身份认证方法和通信方法 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及*** |
CN117880800B (zh) * | 2024-03-12 | 2024-05-28 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN107919956B (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
Cao et al. | Fast authentication and data transfer scheme for massive NB-IoT devices in 3GPP 5G network | |
Li et al. | Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks | |
WO2020133655A1 (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
CN110958229A (zh) | 一种基于区块链的可信身份认证方法 | |
CN113783836A (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及*** | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
Saied et al. | A distributed approach for secure M2M communications | |
CN109756877B (zh) | 一种海量NB-IoT设备的抗量子快速认证与数据传输方法 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及*** | |
CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
Nguyen et al. | Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks | |
WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及*** | |
Zhang et al. | A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment | |
CN113872760A (zh) | 一种sm9秘钥基础设施及安全*** | |
CN114884698A (zh) | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 | |
CN114398602A (zh) | 一种基于边缘计算的物联网终端身份认证方法 | |
CN116599659B (zh) | 无证书身份认证与密钥协商方法以及*** | |
CN106953727B (zh) | D2d通信中基于无证书的组安全认证方法 | |
GB2543359A (en) | Methods and apparatus for secure communication | |
CN115459975A (zh) | 一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法 | |
KR20080056055A (ko) | 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |