CN118041515A - 边缘设备的安全认证方法、装置、设备、存储介质及产品 - Google Patents

边缘设备的安全认证方法、装置、设备、存储介质及产品 Download PDF

Info

Publication number
CN118041515A
CN118041515A CN202410448727.XA CN202410448727A CN118041515A CN 118041515 A CN118041515 A CN 118041515A CN 202410448727 A CN202410448727 A CN 202410448727A CN 118041515 A CN118041515 A CN 118041515A
Authority
CN
China
Prior art keywords
security authentication
steganographic key
initial
steganographic
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410448727.XA
Other languages
English (en)
Other versions
CN118041515B (zh
Inventor
顾珺菲
吴晓
吕严
王瑞
赵玉婷
朱张琦
徐语菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Zijin Jiangsu Innovation Research Institute Co ltd
China Mobile Communications Group Co Ltd
China Mobile Group Jiangsu Co Ltd
Original Assignee
China Mobile Zijin Jiangsu Innovation Research Institute Co ltd
China Mobile Communications Group Co Ltd
China Mobile Group Jiangsu Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Zijin Jiangsu Innovation Research Institute Co ltd, China Mobile Communications Group Co Ltd, China Mobile Group Jiangsu Co Ltd filed Critical China Mobile Zijin Jiangsu Innovation Research Institute Co ltd
Priority to CN202410448727.XA priority Critical patent/CN118041515B/zh
Priority claimed from CN202410448727.XA external-priority patent/CN118041515B/zh
Publication of CN118041515A publication Critical patent/CN118041515A/zh
Application granted granted Critical
Publication of CN118041515B publication Critical patent/CN118041515B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请公开了一种边缘设备的安全认证方法、装置、设备、存储介质及产品,所述边缘设备的安全认证方法包括:接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;基于共享隐写密钥,将第一初始ID和第一隐写密钥进行加密,得到第一加密文件;将第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。本申请在云平台上使用容量高的隐写手段,提高了边缘设备的安全性。

Description

边缘设备的安全认证方法、装置、设备、存储介质及产品
技术领域
本申请涉及信息安全技术领域,尤其涉及一种边缘设备的安全认证方法、装置、设备、存储介质及计算机程序产品。
背景技术
目前,在工业环境下通常采用预设计的工业***对工厂生产进行管理。其中,工业***容易受到网络威胁,从而导致生产作业无法正常运行,因此在工业***中设置强有力的网络安全措施至关重要。
相关技术中,工业***的***架构通常采用安全通信协议、数据加密、访问控制和身份验证机制等网络安全措施,有助于保护工业基础设施、数据和操作免遭未经授权的访问和数据泄露。但是由于边缘设备本身容量较小,增加普通网络安全措施会导致网络收敛速度不高,从而影响工厂生产进程,因此在针对边缘设备的安全认证上,通常使用容量低的隐写手段,而容量低的隐写手段更容易受到其他设备的攻击,导致边缘设备的安全性低下。
发明内容
本申请的主要目的在于提供一种边缘设备的安全认证方法、装置、设备、存储介质及计算机程序产品,旨在解决现有技术中边缘设备的安全性低下的技术问题。
为实现以上目的,本申请提供一种边缘设备的安全认证方法,应用于边缘设备集合下任一待认证设备,所述边缘设备的安全认证方法包括:
接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
可选地,所述基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件的步骤,包括:
基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息;
基于所述共享隐写密钥,对所述第一特征信息进行加密,得到第一加密文件。
可选地,所述基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息的步骤,包括:
基于预设的VGG网络,提取所述第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息;
基于预设的AdaIN层,将所述第二特征信息和所述第三特征信息编码为第一特征信息,并对所述第一特征信息进行归一化映射,得到归一化后的第一特征信息。
本申请还提供一种边缘设备的安全认证方法,应用于边缘设备集合下待认证设备之外的任一边缘设备,所述边缘设备的安全认证方法包括:
接收待认证设备发送的第一加密文件;
基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥;
将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
可选地,所述基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥的步骤,包括:
基于预设的VGG网络下的卷积层,对所述第一加密文件进行特征提取,得到第四特征信息;
基于预设的归一化层,对所述第四特征信息进行归一化,得到归一化后的第四特征信息,其中,所述VGG网络中每个卷积层之后设置有一个归一化层;
基于预设的扩展插值,对所述归一化后的第四特征信息进行特征扩展,得到扩展后的第四特征信息;
基于云平台预分配的共享隐写密钥,对所述扩展后的第四特征信息进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥。
可选地,所述将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果的步骤之后,所述方法包括:
判断所述安全认证结果是否为认证成功结果;
若所述安全认证结果为认证成功结果,则保留所述第一初始ID,并将所述第一初始ID和所述第二隐写密钥进行加密,得到第二加密文件;
将所述第二加密文件发送至待认证设备,以供所述待认证设备基于所述共享隐写密钥,对所述第二加密文件进行解密,得到解密后的第一初始ID和第二隐写密钥,并将解密后的第一初始ID和第二隐写密钥,以及所述第一隐写密钥上传至云平台进行通信安全认证,得到通信安全认证结果。
本申请还提供一种边缘设备的安全认证装置,所述边缘设备的安全认证装置包括:
接收模块,用于接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
加密模块,用于基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
认证模块,用于将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
本申请还提供一种边缘设备的安全认证设备,所述边缘设备的安全认证设备包括:存储器、处理器以及存储在存储器上的用于实现所述边缘设备的安全认证方法的程序,
所述存储器用于存储实现边缘设备的安全认证方法的程序;
所述处理器用于执行实现所述边缘设备的安全认证方法的程序,以实现所述边缘设备的安全认证方法的步骤。
本申请还提供一种存储介质,所述存储介质上存储有实现边缘设备的安全认证方法的程序,所述实现边缘设备的安全认证方法的程序被处理器执行以实现所述边缘设备的安全认证方法的步骤。
本申请在待认证的边缘设备生成隐写后的加密文件时,向周围的各边缘设备发起安全认证请求,再通过各边缘设备对待认证边缘设备的加密文件进行解密后,最后在云平台上实现针对边缘设备的安全认证,使边缘计算设备具备云数据中心的认证功能,即在云平台上使用容量高的隐写手段,使得在减轻设备端侧算力压力的基础上,提高了边缘设备的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请边缘设备的安全认证方法第一实施例的流程示意图;
图2为本申请边缘设备的安全认证方法第二实施例的流程示意图;
图3为本申请边缘设备的安全认证装置的模块示意图;
图4是本申请实施例方案涉及的硬件运行环境的设备结构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,图1为本申请边缘设备的安全认证方法第一实施例的流程示意图。
在第一实施例中,所述边缘设备的安全认证方法应用于边缘设备集合下任一待认证设备,具体包括以下步骤:
步骤S100,接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
需要说明的是,所述边缘设备的安全认证方法的具体应用场景优选为工业互联网***,所述边缘设备的安全认证方法的执行主体为工业互联网***的边缘设备集合下任一待认证设备,该待认证设备包括新配置至工业互联网网络的边缘设备以及需求认证的边缘设备。
可理解的是,待认证设备的第一初始ID、第一隐写密钥以及共享隐写密钥是在待认证设备在部署时云平台所分配的,其中待认证设备的第一初始ID和第一隐写密钥存在唯一性,即云平台分配给每个边缘设备的初始ID和隐写密钥均不相同,但是各边缘设备之间的共享隐写密钥是相同的。需要说明的是,各边缘设备在首次接收到云平台分配的初始ID、隐写密钥以及共享隐写密钥后,后续多次进行设备认证即无需再次进行分配。
在具体实现中,在部署边缘设备时,管理员在云资源会为每个边缘设备分配一个初始ID(),该ID与用于传输业务安全认证的隐写密钥(/>)和用于身份认证的共享隐写密钥(/>)相关联。优选地,在边缘设备使用其嵌入式神经网络处理器(NPU)来存储它的/>,/>和/>
步骤S200,基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
需要说明的是,在待认证设备进行隐写加密之前,还需要基于云平台对待认证设备进行初始化,直到待认证设备初始化完成,才开始与周围的边缘设备进行身份认证。
在具体实现中,待认证设备首先将第一初始ID()与自身的隐写密钥(/>)连接起来,并使用云平台发起的共享隐写密钥(/>)进行加密,形成第一加密文件,可表示为。待认证设备通过发送到该区域中的所有NPU来生成请求包,其中,所述生成请求包包括待认证设备的第一加密文件和身份验证请求指令。
在具体实现中,待认证设备基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件的步骤,包括:
基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息;基于所述共享隐写密钥,对所述第一特征信息进行加密,得到第一加密文件。
需要说明的是,所述VGG网络是一种视觉几何组模型网络,该VGG网络结构的隐写方案通常包括生成器、提取器和隐写分析器。生成器接收文件和秘密信息并生成隐写文件。提取器从隐写文件中提取秘密消息。隐写分析器接收包含隐写信息的文件,并学习区分两者,最后经过粗略的对抗训练,产生了强大的生成器和隐写分析器。
在具体实现中,第一加密文件的加密过程由VGG网络实现,其中VGG网络包括卷积层、ReLU层和最大池化层。使用VGG网络从初始ID()和隐写密钥(/>)中提取高维特征,连接起来;待认证设备再通过共享隐写密钥(/>)进行加密,得到第一加密文件
在具体实现中,待认证设备基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息的步骤,包括:
基于预设的VGG网络,提取所述第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息;基于预设的AdaIN层,将所述第二特征信息和所述第三特征信息编码为第一特征信息,并对所述第一特征信息进行归一化映射,得到归一化后的第一特征信息。
需要说明的是,所述AdaIN层是一个自适应实例归一化层,AdaIN层能够将内容特征的均值和方差与样式特征的均值和方差对齐,与当前归一化方法的处理速度相当,却不受预定义样式集的限制。
在具体实现中,第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息将通过AdaIN层编码为一个特征,然后将特征映射回来形成完整加密文件传输。这样隐写密钥()和共享隐写密钥(/>)已经嵌入到原始数据中。AdaIN层的加密计算过程如下所示:
其中,μ(·)表示密钥矩阵的均值,(·)表示密钥矩阵的方差,/>表示初始ID,表示隐写密钥,/>表示共享隐写密钥。
可以理解的是,与卷积层相比,AdaIN具有更好的风格化效果,并且不需要训练参数,这使得网络的整体训练速度更快,花费的时间更少。
该方案扩展了隐写术能力。通过设计一个从隐写密钥和初始ID中提取特征,并将提取的特征映射回来形成加密文件。在原始数据迁移效果不变的情况下,隐写能力大大提高。
步骤S300,将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
需要说明的是,本申请使用NPU-A表示待认证设备,NPU-B表示边缘设备集合下的其他各边缘设备,NPU-A将所述第一加密文件发送至边缘设备集合下的其他各边缘设备NPU-B后,其他NPU将使用云共享隐写密钥()对其进行解密,其中云平台分配给每个NPU的共享隐写密钥都是相同的,因此该过程类似于AES对称加密方法,并且所有NPU都用这个共享隐写密钥建立互信。
在具体实现中,当其他NPU(NPU-B)解密后获得NPU-A的ID()及其隐写密钥(),NPU-B将NPU-A的ID(/>)、隐写密钥(/>)及自身隐写密钥(/>)发送到云平台,通过云平台一同检查以确认NPU-A的真实性。云平台确认ID与隐写密钥后,NPU-B将保存NPU-A的ID副本(/>),并将NPU-A认定为身份验证通过,若不通过,云端会自动启动工厂应急响应程序,通知管理员介入。
本申请在待认证的边缘设备生成隐写后的加密文件时,向周围的各边缘设备发起安全认证请求,再通过各边缘设备对待认证边缘设备的加密文件进行解密后,最后在云平台上实现针对边缘设备的安全认证,使边缘计算设备具备云数据中心的认证功能,即在云平台上使用容量高的隐写手段,使得在减轻设备端侧算力压力的基础上,提高了边缘设备的安全性。
基于上述的第一实施例,本申请还提供另一实施例,参照图2,所述边缘设备的安全认证方法应用于边缘设备集合下待认证设备之外的任一边缘设备,具体包括以下步骤:
步骤A100,接收待认证设备发送的第一加密文件;
在具体实现中,在待认证设备将所述第一加密文件发送至边缘设备集合下的其他各边缘设备后,边缘设备接收待认证设备发送的第一加密文件,并执行后续安全认证步骤。
步骤A200,基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥;
在具体实现中,边缘设备将使用云共享隐写密钥()对其进行解密,其中云平台分配给每个NPU的共享隐写密钥都是相同的,因此该过程类似于AES对称加密方法,并且所有NPU都用这个共享隐写密钥建立互信。
在具体实现中,当边缘设备(NPU-B)解密后获得NPU-A的ID()及其隐写密钥(),NPU-B将NPU-A的ID(/>)、隐写密钥(/>)及自身隐写密钥(/>)发送到云平台,通过云平台一同检查以确认NPU-A的真实性。云平台确认ID与隐写密钥后,NPU-B将保存NPU-A的ID副本(/>),并将NPU-A认定为身份验证通过,若不通过,云端会自动启动工厂应急响应程序,通知管理员介入。
在具体实现中,边缘设备基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥的方法还包括以下步骤:
基于预设的VGG网络下的卷积层,对所述第一加密文件进行特征提取,得到第四特征信息;基于预设的归一化层,对所述第四特征信息进行归一化,得到归一化后的第四特征信息,其中,所述VGG网络中每个卷积层之后设置有一个归一化层;基于预设的扩展插值,对所述归一化后的第四特征信息进行特征扩展,得到扩展后的第四特征信息;基于云平台预分配的共享隐写密钥,对所述扩展后的第四特征信息进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥。
需要说明的是,本申请提出的边缘设备的解密过程充分利用了隐写密钥矩阵的特征,以保证更高的提取精度。具体地,边缘设备的单次解密包含三个卷积层,每个卷积层添加一个ReLU层。虽然每个卷积过程都会将密钥的尺寸缩小一半,并且每个卷积层提取的特征在解码过程中会与相同尺寸的特征组合。这种通过插值扩展来扩展特征尺寸,每次插值扩展操作都会将特征尺寸扩大一倍的方案保证特征解码网络的卷积层不改变文件大小。
可理解的是,以上方案的设计是避免特征尺寸减小导致的隐写信息丢失。因此将通过两次解密,即六个卷积层和ReLU函数进行处理。每个卷积层之后都有一个归一化(BN)层,以提高网络收敛速度。每个卷积层的卷积核参数设置与隐写密钥矩阵保持一致,步长参数设置规定值1,因此在提取隐写信息的过程中,特征的大小没有变化,但通道数不断变化。
步骤A300,将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
在具体实现中,本申请还提出计算损失的方法,其中,损失的计算是为了评估解密后的信息与初始信息是否一致,具体地,损失主要包括两部分:一是隐写的损失函数,二是VGG解密网络的损失函数/>。因此***默认设置为取/>最小值。
在具体实现中,在隐写信息嵌入过程中,VGG加密网络不仅应尽量减少隐写信息嵌入对初始ID数据迁移的影响,而且还应使解密网络尽可能准确地从信息中提取隐写密钥。因此,在设计损失函数时,同时考虑了共享隐写损失/>和业务传输认证的隐写损失/>。具体地,隐写的损失函数/>为:
其中,和/>分别是隐写损失和提取加密数据损失的权重,用于平衡/>、/>和/>
进一步地,本申请提出使用欧氏距离来衡量共享隐写密钥的损失:
其中,表示AdaIN层的结果,/>表示VGG加密网络,/>表示VGG解密网络。通过这个损失函数,约束生成的结果特征尽可能与AdaIN处理后的特征/>一致,以提高解密结果和加密前数据之间的内容相似度。
VGG加密网络只需要从隐写密钥中准确地提取,本方案使用均方误差来评估业务传输认证的隐写损失。业务传输认证的隐写损失/>为:
其中表示神经网络中特定层的集合,/>表示隐写密钥,μ(·)表示均值,/>(·)表示方差。/>(·)表示VGG加密网络层的输出。
与此同时,解密数据损失为:
其中中,(·)表示VGG解密网络层的输出。
在具体实现中,边缘设备将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果的步骤之后,所述方法包括以下步骤:
判断所述安全认证结果是否为认证成功结果;若所述安全认证结果为认证成功结果,则保留所述第一初始ID,并将所述第一初始ID和所述第二隐写密钥进行加密,得到第二加密文件;将所述第二加密文件发送至待认证设备,以供所述待认证设备基于所述共享隐写密钥,对所述第二加密文件进行解密,得到解密后的第一初始ID和第二隐写密钥,并将解密后的第一初始ID和第二隐写密钥,以及所述第一隐写密钥上传至云平台进行通信安全认证,得到通信安全认证结果。
需要说明的是,本申请在边缘设备的身份认证后,还提出边缘设备的通信安全认证,其中该方法的执行主体是与待认证设备存在通信连接关系的边缘设备。
在具体实现中,边缘设备NPU-B需要将安全认证的边缘设备NPU-A的ID()与自身(/>)相结合,形成/>并发送给NPU-A,NPU-A接收到加密的包后将自身的隐写密钥(/>)和包转发给云,云收到以后使用/>解密/>。对比使用/>解密的和原始分配的/>,若一致则正确。一旦被验证,则确认NPU-A和NPU-B通信安全,一旦发现异常,即刻启动工厂应急响应程序。
验证结束后,NPU-B和NPU-A之间的信息传输在双方设备不断电的情况下无需再次进行验证,由于端侧之间通信较为罕见,并且病毒入侵对下沉串口通信的产线器械并无影响,因此可直接通信。而NPU-A、NPU-B与核心网通信仍需使用共享隐写密钥快速认证。若设备断电,则视为需重新初始化。
该传输信息安全认证的算法由云端执行,减轻了端侧算力压力。在云端执行过程中,采用常规自动化和扩展云资源的功能和工具缓解云资源占用过多的情况出现,例如自动扩展、负载平衡。
在具体实现中,由于很多互联网工厂使用的SIM卡和核心网并不隔离,病毒可以通过任意边缘设备的弱认证端口入侵设备并进入整个专网环境。根据这种实际情况,本方案中不设置风险等级,默认所有边缘设备同等重要,并提出该边缘设备的安全认证方法,该安全认证方法包括以下有益效果:
1、添加防止恶意设备参与负载平衡的技术方案,在边缘设备初始化完成后,需要与周围的边缘设备进行身份认证并在周边边缘设备生成信息副本;
2、扩展了隐写术能力并避免特征尺寸减小导致的隐写信息丢失。通过设计一个从隐写密钥和初始ID中提取特征,并将提取的特征映射回来形成加密文件。在原始数据迁移效果不变的情况下,隐写能力大大提高;
3、在解密时每个卷积层之后都有一个归一化(BN)层,以提高网络收敛速度。
该方法使边缘计算设备具备云数据中心集中认证功能,减轻了端侧算力压力。此外,即使攻击者侥幸攻击了***,却无法从隐写中发现修改的痕迹,难以进行密钥破解。这可以激励客户使用更便捷的数据传输方式,具有较广的应用前景。该方案优选应用在互联网工厂场景,打破目前工厂对端侧业务信息安全低的偏见。
本申请还提供一种边缘设备的安全认证装置,参照图3,所述边缘设备的安全认证装置包括:
接收模块10,用于接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
加密模块20,用于基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
认证模块30,用于将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
可选地,所述加密模块20,包括:
提取模块,用于基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息;
特征加密模块,用于基于所述共享隐写密钥,对所述第一特征信息进行加密,得到第一加密文件。
可选地,所述提取模块,包括:
特征提取模块,用于基于预设的VGG网络,提取所述第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息;
映射模块,用于基于预设的AdaIN层,将所述第二特征信息和所述第三特征信息编码为第一特征信息,并对所述第一特征信息进行归一化映射,得到归一化后的第一特征信息。
本申请边缘设备的安全认证装置的具体实施方式与上述边缘设备的安全认证方法各实施例基本相同,在此不再赘述。
参照图4,图4是本申请实施例方案涉及的硬件运行环境的终端结构示意图。
如图4所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,该边缘设备的安全认证设备还可以包括矩形用户接口、网络接口、摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。矩形用户接口可以包括显示屏(Display)、输入子模块比如键盘(Keyboard),可选矩形用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
本领域技术人员可以理解,图3中示出的边缘设备的安全认证设备结构并不构成对边缘设备的安全认证设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种存储介质的存储器1005中可以包括操作***、网络通信模块以及边缘设备的安全认证程序。操作***是管理和控制边缘设备的安全认证设备硬件和软件资源的程序,支持边缘设备的安全认证程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各组件之间的通信,以及与边缘设备的安全认证***中其它硬件和软件之间通信。
在图4所示的边缘设备的安全认证设备中,处理器1001用于执行存储器1005中存储的边缘设备的安全认证程序,实现上述任一项所述的边缘设备的安全认证方法的步骤。
本申请边缘设备的安全认证设备具体实施方式与上述边缘设备的安全认证方法各实施例基本相同,在此不再赘述。
本申请还提供一种存储介质,所述存储介质上存储有实现边缘设备的安全认证方法的程序,所述实现边缘设备的安全认证方法的程序被处理器执行以实现如下所述边缘设备的安全认证方法:
接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
可选地,所述基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件的步骤,包括:
基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息;
基于所述共享隐写密钥,对所述第一特征信息进行加密,得到第一加密文件。
可选地,所述基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息的步骤,包括:
基于预设的VGG网络,提取所述第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息;
基于预设的AdaIN层,将所述第二特征信息和所述第三特征信息编码为第一特征信息,并对所述第一特征信息进行归一化映射,得到归一化后的第一特征信息。
所述边缘设备的安全认证方法还包括:
接收待认证设备发送的第一加密文件;
基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥;
将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
可选地,所述基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥的步骤,包括:
基于预设的VGG网络下的卷积层,对所述第一加密文件进行特征提取,得到第四特征信息;
基于预设的归一化层,对所述第四特征信息进行归一化,得到归一化后的第四特征信息,其中,所述VGG网络中每个卷积层之后设置有一个归一化层;
基于预设的扩展插值,对所述归一化后的第四特征信息进行特征扩展,得到扩展后的第四特征信息;
基于云平台预分配的共享隐写密钥,对所述扩展后的第四特征信息进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥。
可选地,所述将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果的步骤之后,所述方法包括:
判断所述安全认证结果是否为认证成功结果;
若所述安全认证结果为认证成功结果,则保留所述第一初始ID,并将所述第一初始ID和所述第二隐写密钥进行加密,得到第二加密文件;
将所述第二加密文件发送至待认证设备,以供所述待认证设备基于所述共享隐写密钥,对所述第二加密文件进行解密,得到解密后的第一初始ID和第二隐写密钥,并将解密后的第一初始ID和第二隐写密钥,以及所述第一隐写密钥上传至云平台进行通信安全认证,得到通信安全认证结果。
本申请存储介质具体实施方式与上述边缘设备的安全认证方法各实施例基本相同,在此不再赘述。
本申请还提供一种计算机程序产品、包括计算机程序,该计算机程序被处理器执行时实现上述的边缘设备的安全认证方法的步骤。
本申请计算机程序产品的具体实施方式与上述边缘设备的安全认证方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种边缘设备的安全认证方法,其特征在于,应用于边缘设备集合下任一待认证设备,所述边缘设备的安全认证方法包括:
接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
2.如权利要求1所述的边缘设备的安全认证方法,其特征在于,所述基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件的步骤,包括:
基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息;
基于所述共享隐写密钥,对所述第一特征信息进行加密,得到第一加密文件。
3.如权利要求2所述的边缘设备的安全认证方法,其特征在于,所述基于预设的VGG网络,对所述第一初始ID和所述第一隐写密钥进行特征提取,得到第一特征信息的步骤,包括:
基于预设的VGG网络,提取所述第一初始ID的第二特征信息和所述第一隐写密钥的第三特征信息;
基于预设的AdaIN层,将所述第二特征信息和所述第三特征信息编码为第一特征信息,并对所述第一特征信息进行归一化映射,得到归一化后的第一特征信息。
4.一种边缘设备的安全认证方法,其特征在于,应用于边缘设备集合下待认证设备之外的任一边缘设备,所述边缘设备的安全认证方法包括:
接收待认证设备发送的第一加密文件;
基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥;
将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
5.如权利要求4所述的边缘设备的安全认证方法,其特征在于,所述基于云平台预分配的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥的步骤,包括:
基于预设的VGG网络下的卷积层,对所述第一加密文件进行特征提取,得到第四特征信息;
基于预设的归一化层,对所述第四特征信息进行归一化,得到归一化后的第四特征信息,其中,所述VGG网络中每个卷积层之后设置有一个归一化层;
基于预设的扩展插值,对所述归一化后的第四特征信息进行特征扩展,得到扩展后的第四特征信息;
基于云平台预分配的共享隐写密钥,对所述扩展后的第四特征信息进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥。
6.如权利要求4所述的边缘设备的安全认证方法,其特征在于,所述将解密后的待认证设备的第一初始ID和第一隐写密钥,以及云平台预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果的步骤之后,所述方法包括:
判断所述安全认证结果是否为认证成功结果;
若所述安全认证结果为认证成功结果,则保留所述第一初始ID,并将所述第一初始ID和所述第二隐写密钥进行加密,得到第二加密文件;
将所述第二加密文件发送至待认证设备,以供所述待认证设备基于所述共享隐写密钥,对所述第二加密文件进行解密,得到解密后的第一初始ID和第二隐写密钥,并将解密后的第一初始ID和第二隐写密钥,以及所述第一隐写密钥上传至云平台进行通信安全认证,得到通信安全认证结果。
7.一种边缘设备的安全认证装置,其特征在于,所述边缘设备的安全认证装置包括:
接收模块,用于接收云平台分配的第一初始ID、第一隐写密钥以及共享隐写密钥;
加密模块,用于基于所述共享隐写密钥,将所述第一初始ID和所述第一隐写密钥进行加密,得到第一加密文件;
认证模块,用于将所述第一加密文件发送至边缘设备集合下的其他各边缘设备,以供其他各边缘设备基于各自的共享隐写密钥,对所述第一加密文件进行解密,得到解密后的待认证设备的第一初始ID和第一隐写密钥,并将解密后的待认证设备的第一初始ID和第一隐写密钥,以及各自预分配的第二隐写密钥上传至云平台进行安全认证,得到安全认证结果。
8.一种边缘设备的安全认证设备,其特征在于,所述边缘设备的安全认证设备包括:存储器、处理器以及存储在存储器上的用于实现所述边缘设备的安全认证方法的程序,
所述存储器用于存储实现边缘设备的安全认证方法的程序;
所述处理器用于执行实现所述边缘设备的安全认证方法的程序,以实现如权利要求1至6中任一项所述边缘设备的安全认证方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有实现边缘设备的安全认证方法的程序,所述实现边缘设备的安全认证方法的程序被处理器执行以实现如权利要求1至6中任一项所述边缘设备的安全认证方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包括边缘设备的安全认证程序,所述边缘设备的安全认证程序被处理器执行时实现如权利要求1至6中任一项所述的边缘设备的安全认证方法的步骤。
CN202410448727.XA 2024-04-15 边缘设备的安全认证方法、装置、设备、存储介质及产品 Active CN118041515B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410448727.XA CN118041515B (zh) 2024-04-15 边缘设备的安全认证方法、装置、设备、存储介质及产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410448727.XA CN118041515B (zh) 2024-04-15 边缘设备的安全认证方法、装置、设备、存储介质及产品

Publications (2)

Publication Number Publication Date
CN118041515A true CN118041515A (zh) 2024-05-14
CN118041515B CN118041515B (zh) 2024-07-26

Family

ID=

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103166919A (zh) * 2011-12-13 2013-06-19 ***通信集团黑龙江有限公司 一种物联网信息传输的方法和***
CN106228076A (zh) * 2016-07-25 2016-12-14 武汉大学 一种基于sgx的图片验证码保护方法及***
CN111355587A (zh) * 2020-02-18 2020-06-30 华南农业大学 一种基于对抗网络的可认证加密安全通信***及方法
CN113434837A (zh) * 2021-06-11 2021-09-24 青岛海尔科技有限公司 用于设备身份认证的方法、装置及智慧家庭***
CN113468572A (zh) * 2021-07-16 2021-10-01 华控清交信息科技(北京)有限公司 密文特征提取方法、装置及电子设备
CN114443304A (zh) * 2022-01-28 2022-05-06 中国联合网络通信集团有限公司 云计算平台的安全认证方法、装置和计算机可读存储介质
CN115085943A (zh) * 2022-08-18 2022-09-20 南方电网数字电网研究院有限公司 用于电力物联网南北向安全加密的边缘计算方法及平台
WO2022251987A1 (zh) * 2021-05-29 2022-12-08 华为技术有限公司 一种数据加解密方法和装置
CN116560573A (zh) * 2023-05-12 2023-08-08 派欧云计算(上海)有限公司 一种数据存取方法、电子设备和存储介质
CN117082493A (zh) * 2023-07-31 2023-11-17 广东电网有限责任公司广州供电局 星形组网数据传输方法、装置、计算机设备和存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103166919A (zh) * 2011-12-13 2013-06-19 ***通信集团黑龙江有限公司 一种物联网信息传输的方法和***
CN106228076A (zh) * 2016-07-25 2016-12-14 武汉大学 一种基于sgx的图片验证码保护方法及***
CN111355587A (zh) * 2020-02-18 2020-06-30 华南农业大学 一种基于对抗网络的可认证加密安全通信***及方法
WO2022251987A1 (zh) * 2021-05-29 2022-12-08 华为技术有限公司 一种数据加解密方法和装置
CN113434837A (zh) * 2021-06-11 2021-09-24 青岛海尔科技有限公司 用于设备身份认证的方法、装置及智慧家庭***
CN113468572A (zh) * 2021-07-16 2021-10-01 华控清交信息科技(北京)有限公司 密文特征提取方法、装置及电子设备
CN114443304A (zh) * 2022-01-28 2022-05-06 中国联合网络通信集团有限公司 云计算平台的安全认证方法、装置和计算机可读存储介质
CN115085943A (zh) * 2022-08-18 2022-09-20 南方电网数字电网研究院有限公司 用于电力物联网南北向安全加密的边缘计算方法及平台
CN116560573A (zh) * 2023-05-12 2023-08-08 派欧云计算(上海)有限公司 一种数据存取方法、电子设备和存储介质
CN117082493A (zh) * 2023-07-31 2023-11-17 广东电网有限责任公司广州供电局 星形组网数据传输方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
US10341094B2 (en) Multiple encrypting method and system for encrypting a file and/or a protocol
US11432150B2 (en) Method and apparatus for authenticating network access of terminal
US20190116180A1 (en) Authentication system, authentication method, and program
CN106452770B (zh) 一种数据加密方法、解密方法、装置和***
CN110505055B (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和***
US20230076147A1 (en) Method and apparatus for authenticating terminal, computer device and storage medium
CN111131300B (zh) 通信方法、终端及服务器
CN113473458B (zh) 一种设备接入方法、数据传输方法和计算机可读存储介质
Kang et al. Efficient and robust user authentication scheme that achieve user anonymity with a Markov chain
KR20200104084A (ko) Puf 기반 사물인터넷 디바이스 인증 장치 및 방법
US10491570B2 (en) Method for transmitting data, method for receiving data, corresponding devices and programs
CN110958266A (zh) 数据处理方法、***、计算机设备和存储介质
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
CN118041515B (zh) 边缘设备的安全认证方法、装置、设备、存储介质及产品
CN116232700A (zh) 登录认证方法、装置、计算机设备、存储介质
CN118041515A (zh) 边缘设备的安全认证方法、装置、设备、存储介质及产品
CN113381855B (zh) 通信方法和***
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
CN114553557A (zh) 密钥调用方法、装置、计算机设备和存储介质
KR102094606B1 (ko) 인증 장치 및 방법
US11979501B2 (en) Optimized access in a service environment
US12052367B2 (en) Optimized access in a service environment
CN116708039B (zh) 基于零信任单包认证的访问方法、装置及***
US11621848B1 (en) Stateless system to protect data
CN117955735B (zh) 一种数据安全访问控制方法、***及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant