CN109819446B - 移动物联网的空间访问认证方法和软件定义边缘计算系统 - Google Patents

移动物联网的空间访问认证方法和软件定义边缘计算系统 Download PDF

Info

Publication number
CN109819446B
CN109819446B CN201910193261.2A CN201910193261A CN109819446B CN 109819446 B CN109819446 B CN 109819446B CN 201910193261 A CN201910193261 A CN 201910193261A CN 109819446 B CN109819446 B CN 109819446B
Authority
CN
China
Prior art keywords
mobile terminal
access
key
access point
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910193261.2A
Other languages
English (en)
Other versions
CN109819446A (zh
Inventor
吴迪
聂祥
谢小峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN201910193261.2A priority Critical patent/CN109819446B/zh
Publication of CN109819446A publication Critical patent/CN109819446A/zh
Application granted granted Critical
Publication of CN109819446B publication Critical patent/CN109819446B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种移动物联网的空间访问认证方法和软件定义边缘计算系统,通过基于位置分组给接入点分发位置公钥,并且由移动终端接收各个接入点广播的位置公钥,移动终端根据接收到的位置公钥对自身的ID进行加密并发送至控制器,控制器基于位置公钥对应的位置私钥对移动终端的ID重新进行加密,并将加密后的ID与移动终端加密的ID进行比对,在比对结果一致时,允许移动终端接入。本发明中通过认证移动终端是否在准许接入区域范围的方式判断其移动接入信息是否安全可靠,进而实现基于移动终端的空间访问进行接入认证,让软件定义边缘计算系统具有城市移动场景下接入认证、异常检测等关键功能,能有效提高在移动场景下软件定义物联网的性能。

Description

移动物联网的空间访问认证方法和软件定义边缘计算系统
技术领域
本发明涉及物联网技术领域,更具体地说,涉及一种移动物联网的空间访问认证方法和软件定义边缘计算系统。
背景技术
随着物联网迅速地发展,城市范围内大量的物联网终端设备被广泛使用。这些物联网设备的无线接口所支持的各种多样的异构无线接入技术(比如WiFi、蓝牙、蜂窝等)为用户带来多网的接入方式。由于物联网多网的异构性,边缘计算成为支持物联网多网环境下移动接入的新型网络范式。可以利用边缘计算的优势来协调和保护这些异构资源,并对物联网边缘上的移动终端进行访问控制。此外,管理大量物联网移动终端对网络管理员来说是一个巨大的挑战。软件定义网络(Software Defined Network,SDN)作为一种新型的网络技术,它将控制平面与数据平面分开,并使用控制器以可编程、集中式的方式管理整个网络。因此,SDN为物联网多网访问控制和移动性管理提供了有效的方法。
但是,目前边缘计算和SDN技术还不能解决物联网应用的异构性和动态需求,尤其缺少安全移动接入认证方法。
发明内容
针对上述缺陷,本发明提供了一种移动物联网的空间访问认证方法和软件定义边缘计算系统,用于城市物联网移动终端的安全认证。
第一方面,本发明提供的一种移动物联网的空间访问认证方法,包括:
根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
可选地,所述第一位置声明密钥由所述移动终端对获取到的所有位置公钥的乘积通过第一公式进行模运算得到,所述第一公式具体为:
Figure BDA0001994999050000021
其中,k1为第一位置声明密钥,Y1、Y2、Y3...Yi为位置公钥,XMD为移动终端私钥;
所述第二位置声明密钥根据第二公式进行模运算得到,所述第二公式具体为:
Figure BDA0001994999050000031
其中,k2为第二位置声明密钥,X1、X2、X3...Xi为位置私钥,YMD为移动终端公钥。
可选地,在允许所述移动终端接入所述接入点后,还包括:
根据所述移动终端当前所接入的接入点的位置私钥以及移动终端公钥为移动终端及其所接入的接入点之间的通信链路产生共享密钥。
可选地,在允许所述移动终端接入所述接入点后,还包括:
监测所述移动终端的接收信号强度指示值,在所述接收信号强度指示值小于预设阈值时,将所述移动终端切换到新的接入点,并将所述移动终端对应的上下文信息从旧的接入点传输至新的接入点。
可选地,在允许所述移动终端接入所述接入点后,还包括:
监测所述移动终端的运动情况,若所述移动终端运动至另一个位置分组时,从新的位置分组中选择新的接入点并分配给所述移动终端,并将所述移动终端对应的上下文信息传输至新的接入点。
可选地,在允许所述移动终端接入所述接入点后,还包括:
记录所述移动终端生成的时间序列数据,并将所述时间序列数据输入至堆叠式长短期记忆网络模型中进行预测,得到预测数据;
根据所述时间序列数据和预测数据计算误差数据集,并根据最大似然估计法对所述误差数据集进行训练拟合,得到所述误差数据集的概率分布;
根据贝叶斯公式和所述误差数据集的概率分布,求取所述误差数据集对应的异常概率,并根据所述异常概率判断所述误差数据集对应的时间序列数据是否为异常数据。
可选地,还包括:
采用最小二乘损失函数作为所述堆叠式长短期记忆网络模型的代价函数,并采用反向传播算法时间算法来训练所述堆叠式长短期记忆网络模型。
可选地,所述将所述时间序列数据输入至堆叠式长短期记忆网络模型中进行预测包括:
采用下采样方法对所述时间序列数据进行采样,获得所述时间序列数据的特征子序列;
将所述特征子序列输入至堆叠式长短期记忆网络模型中进行预测。
第二方面,本发明提供的一种控制器,包括:
发送模块,用于根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
接收模块,用于接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
加密模块,用于根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
比对模块,用于比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
第三方面,本发明提供的一种软件定义边缘计算系统,包括:
如第二方面所述的控制器和多个接入点,所述控制器与所述多个接入点连接,所述多个接入点与移动终端无线连接。
本发明具有以下有益效果:
本发明中通过基于位置分组给接入点分发位置公钥,并且由移动终端接收各个接入点广播的位置公钥,移动终端根据接收到的位置公钥对自身的ID进行加密并发送至控制器,控制器基于位置公钥对应的位置私钥对移动终端的ID重新进行加密,并将加密后的ID与移动终端加密的ID进行比对,在比对结果一致时,判定移动终端位于多个接入点共同覆盖的准许接入范围内并允许移动终端接入。本发明中提供了基于位置分组的接入认证方法,通过认证移动终端是否在准许接入区域范围的方式判断其移动接入信息是否安全可靠,进而实现基于移动终端的空间访问进行接入认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明实施例提供的一种移动物联网的空间访问认证方法的流程示意图;
图2为本发明所述提供的准许接入范围的定义示意图;
图3为本发明实施例提供的一种移动物联网的空间访问认证方法的示例图;
图4为本发明实施例提供的一种软件定义边缘计算架构图;
图5为本发明实施例提供的移动终端接入控制示意图;
图6为本发明实施例提供的一种堆叠式长短期记忆网络模型检测异常的过程示意图;
图7为本发明实施例提供的一种堆叠式长短期记忆网络模型的扩展示意图;
图8为本发明实施例提供的一种堆叠式长短期记忆网络模型的内部结构示意图;
图9为本发明实施例提供的一种控制器的结构示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
近年来,SDN技术已经应用于管理移动网络的访问控制,SDN与边缘计算结合管理物联网已成为趋势。FreeSurf系统介绍了一种采用SDN和可扩展认证协议进行本地无线接入控制的认证方法。此外,也有研究人员提出了采用设备指纹来保护物联网架构,并且使用流量签名或物理层签名设计了相应的空间访问认证。但是这些方案都是基于设备的物理信息提出的,缺乏通用性和灵活性。在软件定义系统中,人们更期望使用软件化的空间接入认证方式,以避免预先建立的用户协议、密钥分发、通信产生的额外开销。因此,本发明拟提出一种基于位置分组的移动接入认证方法,通过认证移动终端是否在准许接入区域范围的方式来判断其移动接入信息是否安全可靠,让软件定义边缘计算系统具有城市移动场景下接入认证的关键功能,与现有软件定义边缘计算系统相比,能有效提高移动场景下软件定义物联网的性能。
如图1所示,图1为本发明实施例提供的一种移动物联网的空间访问认证方法的流程示意图。
本发明提供的一种移动物联网的空间访问认证方法,包括:
S101、根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
考虑到移动终端周围各种接入点(Access Point,AP)的通信范围不同,本发明实施例中将多个接入点归于一个位置分组中,在同一个位置分组内的这些接入点共同覆盖的无线通信区域则定义为准许接入范围。例如,如图2所示,图2为本发明所述提供的准许接入范围的定义示意图;两个位置分组G1={AP1,AP2}和G2={AP3,AP4}中的阴影部分(平行四边形)定义了准许接入范围。其中,准许接入范围可以由位置分组中的接入点的天线角度、方向和信号的覆盖范围而自定义成不同的形状。
其中,一个位置分组中的多个接入点均连接至一个控制器,由控制器实现对多个接入点的控制。控制器通过运行密钥交换算法,例如Diffie-Hellman密钥交换算法,可以分别多个接入点均产生对应的位置私钥和位置公钥,即为每个接入点均产生一对位置私钥和位置公钥。然后,控制器将位置私钥进行保存,并将每个位置公钥分发给对应的接入点,由接入点将各自对应的位置公钥进行广播。当移动终端位于准许接入范围内时,移动终端可以通过监听信道,接收到该位置分组内所有的接入点所广播的位置公钥,即接收到该位置分组对应的完整的一组位置公钥。
S102、接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
同样的,移动终端在接收到位置公钥之后,可以通过运行相同的密钥交换算法,产生自身的移动终端私钥和移动终端公钥。然后,移动终端可以根据移动终端私钥和获取到的所有位置公钥求取得到第一位置声明密钥,并且进一步地用第一位置声明密钥加密自身的ID,得到第一加密ID。最后,移动终端生成相应的位置声明信息,并且通过接入点将位置声明信息传输至控制器,以使得控制器可以接收到包括有移动终端ID、第一加密ID、移动终端公钥和位置分组描述符的位置声明信息。其中,位置分组描述符即为移动终端当前位于的空间所属于的位置分组。
具体地,所述第一位置声明密钥由所述移动终端对获取到的所有位置公钥的乘积通过第一公式进行模运算得到,所述第一公式具体为:
Figure BDA0001994999050000081
其中,k1为第一位置声明密钥,Y1、Y2、Y3...Yi为位置公钥,XMD为移动终端私钥。
S103、根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
控制器在接收到位置声明信息后,可以根据位置声明信息中的移动终端公钥以及预先保存的位置私钥进行第二位置声明密钥的求取。
具体地,所述第二位置声明密钥根据第二公式进行模运算得到,所述第二公式具体为:
Figure BDA0001994999050000091
其中,k2为第二位置声明密钥,X1、X2、X3...Xi为位置私钥,YMD为移动终端公钥。
S104、比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
由于第一加密ID是通过第一位置声明密钥对移动终端ID进行加密得到,而第二加密ID是通过第二位置声明密钥对移动终端ID进行加密得到,因此,当第一位置声明密钥和第二位置声明密钥相同时,第一加密ID和第二加密ID相同。其中,第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到,第二位置声明密钥由控制器根据位置私钥和所述位置声明信息中的移动终端公钥求取得到,因此,当移动终端所获取到的位置公钥与控制器所保存的位置私钥匹配时,两者求取得到的第一位置声明密钥和第二位置声明密钥相同;即当移动终端位于准许接入范围内,移动终端可以接收到正确的位置公钥,移动终端产生的第一加密ID与控制器产生的第二加密ID相同,移动终端可以接入到接入点。
本发明实施例中基于位置分组进行移动接入认证,只有在移动终端位于准许接入范围时才允许移动终端接入,保证了移动接入信息的可靠性,实现了移动终端在移动场景下的接入认证。
为了便于理解,以下将结合具体的应用场景对移动物联网的空间访问认证方法进行描述。如图3所示,图3为本发明实施例提供的一种移动物联网的空间访问认证方法的示例图。
(1)控制器的接入认证程序运行Diffie-Hellman密钥交换算法,为位置分组GL={AP1,AP2,…,APi,APn}里的接入点产生对应的n个私钥{X1,X2,…,Xi,Xn}和位置公钥{Y1,Y2,…,Yi,Yn}。公钥Yi被称为对应APi的位置公钥,位置公钥的私钥由本地的控制器进行秘密保存,控制器周期性地生成并向所有接入点分发位置公钥。同样的,移动终端MD通过类似的方法生成自己的私钥XMD和公钥YMD。
(2)当接入点接受到自己的位置公钥后,位置分组GL中的接入点广播自己的位置公钥。位于准许接入区域范围内的移动终端MD则监听信道,然后收集所有的位置公钥。
(3)移动终端MD对来自分组GL的所有位置公钥的乘积进行模运算,得到一个第一位置声明密钥
Figure BDA0001994999050000101
第一位置声明密钥由移动终端保存。
(4)当生成位置声明密钥后,移动终端产生位置声明四元组(MD,Ek(MD),YMD,GL)。这个位置声明四元组包括有移动终端ID(MD)、用k1对移动终端ID加密后的ID(Ek(MD))、移动终端的公钥(YMD)、位置分组描述符(GL)。这个位置声明四元组通过移动终端当前接入的接入点传到控制器进行处理。
(5)控制器收到位置声明四元组后,根据位置私钥和位置声明信息中的移动终端公钥求取得到第二位置声明密钥
Figure BDA0001994999050000102
并加密移动终端ID。如果结果与Ek(MD)相同,移动终端通过认证,允许接入到接入点。如果结果与Ek(MD)不相同,则该移动终端未通过身份验证,其发送的位置声明无效,并且后面会阻止来自移动终端的数据包。
可选地,在允许所述移动终端接入所述接入点后,还可以包括:根据所述移动终端当前所接入的接入点的位置私钥以及移动终端公钥为移动终端及其所接入的接入点之间的通信链路产生共享密钥。其中控制器为移动终端和接入点之间通信链路产生的共享密钥为
Figure BDA0001994999050000111
移动终端可以通过其所接入的接入点对应的位置公钥求取相应的共享密钥
Figure BDA0001994999050000112
此后,移动终端与接入点即可以采用对称的共享密钥进行通信。
另外,处于城市移动场景下,移动终端可能会随着时间变化而不断运动,使得其位置也不断地变化。因此,同时需要一种轻量级、无缝的切换方法以应对移动场景下无线接入链路切换,从而达到可扩展的访问控制和移动管理的目的。
在网络边缘部分布了很多具有丰富计算、存储、网络资源边缘服务器,服务器上部署SDN控制器将整个网络划分为多个分区,每一个分区表示一个独立的地理区域,该分区具有各种各样的移动终端并由本地控制器管理,控制器之间通过相互连接的SDN交换机进行通信,如图4所示。在允许所述移动终端接入所述接入点后,还包括:SDN控制器通过接入点监测所述移动终端的接收信号强度指示值,在所述接收信号强度指示值小于预设阈值时,将所述移动终端切换到新的接入点,并将所述移动终端对应的上下文信息从旧的接入点传输至新的接入点。具体地,边缘控制器复制原移动终端-接入点的完整连接参数,然后在移动终端将连接的目标接入点上恢复连接参数。连接参数包括移动终端MAC地址、接入点MAC地址、数据帧序列号、移动终端连接ID、业务流状态等网络状态信息。完成了移动上下文信息的传输后,新的接入点广播具有移动终端MAC地址作为源地址的伪数据帧来更新控制器的切换表中的二层路由信息。这样,移动终端仍将新连接的接入点视为其原接入点。
根据上述方法,可以实现移动物联网设备的移动管理,一种情况是,当移动终端在同一个位置分组的接入点覆盖范围内移动时,接入点首先测量移动终端的接收信号强度指示值,并将接收信号强度指示值报告给控制器来反应移动终端和接入点之间的无线链路质量。如果移动终端和接入点连接的信号强度下降到一定水平以下时(即接收信号强度指示值小于预设阈值),控制器将上下文信息从旧的接入点传输到在同一位置分组中通信质量更好的接入点,从而达到切换的目的。
此外,在一些具有多个位置分组的地理分区,移动终端还有可能会移动至新的位置分组中。因此,在允许所述移动终端接入所述接入点后,还可以包括:监测所述移动终端的运动情况,若所述移动终端运动至另一个位置分组时,从新的位置分组中选择新的接入点并分配给所述移动终端,并将所述移动终端对应的上下文信息传输至新的接入点。
对于具有多个位置分组的地理分区,上下文传输也由控制器调度,控制器存储了本地的位置分组信息,因此移动终端-接入点连接的恢复可以跨相邻位置分组执行。当移动终端运动到另一个位置分组时,控制器将从相应的交换机检测到网络拓扑的变化从而判断出其运动,然后控制器会从新的位置分组中选择最优的接入点分配给该移动终端。同时,移动终端的持续移动上下文将由控制器传输到新的接入点。在具有多个分区的更大规模的边缘网络,每个分区由一个控制器管理。分布式控制器可以通过其连接的交换机协同工作,因此,移动终端在其相应的分区之间漫游,它的移动性上下文信息也可以从一个控制器迁移到另一个控制器。在移动终端进入新分区后,分区内的控制器将根据当前位置分组为移动终端分配新的接入点,但仍然使用先前移动终端-接入点连接状态的镜像传输数据流。
例如,如图5所示,控制器1和控制器2分别管理分区1和分区2。分区1中有两个位置分组,分区2中只有一个位置分组,并且每个分组有不同数量的异构AP。一个移动终端MD最初位于位置分组GL1={AP1,AP2,AP3}的访问许可区域且与AP1相连。当MD移动到新的位置分组GL2={AP4,AP5}并连接到AP5,控制器1通过分区1的交换机将MD-AP1连接的上下文信息传送到AP5。当MD进入分区2时,控制器1通过分区1和分区2之间的交换机将MD-AP1连接上下文信息迁移到控制器2。相应地,控制器2从位置分组GL3={AP6,AP7}选择AP6连接MD。在MD的移动过程中,AP5、AP6依次取代AP1连接到MD,这些AP轮流转发MD的数据流。通过这些操作,保证AP之间的移动上下文切换对移动终端是不可见的,整个过程保持MAC层管理信息的完整性,避免重新建立MD与网络后端之间的协同状态,从而满足移动物联网的移动管理。
此外,考虑到部署在网络边缘的所有网络组件(例如控制器、接入点、物联网设备)都容易受到恶意攻击。因此,移动物联网需要可靠的安全机制来进一步监控和增强物联网多网的性能。利用边缘服务器充分的计算、存储、网络资源,对边缘网络组件进行时间序列异常检测。
进一步地,在允许所述移动终端接入所述接入点后,还包括:
记录所述移动终端生成的时间序列数据,并将所述时间序列数据输入至堆叠式长短期记忆(Long Short-Term Memory,LSTM)网络模型中进行预测,得到预测数据;
其中,通过分布式控制器的协调工作,可以将空间-时间上下文和业务流信息传送到控制器的数据库以记录移动终端收集到的数据。如果移动终端移动到新的分区,相应的控制器则可以从先前的控制器获取存储的数据作为训练集,并预测移动终端的演变。如果移动终端已经在控制器的分区停留一段时间并且已经生成了时间序列数据(例如流量大小、连接状态、网络行为等),则控制器还可以使用本地历史记录来进行预测。
根据所述时间序列数据和预测数据计算误差数据集,并根据最大似然估计法对所述误差数据集进行训练拟合,得到所述误差数据集的概率分布;
根据贝叶斯公式和所述误差数据集的概率分布,求取所述误差数据集对应的异常概率,并根据所述异常概率判断所述误差数据集对应的时间序列数据是否为异常数据。
具体地,可以使用堆叠式LSTM-Gauss-NBayes模型来进行检测异常。实现过程如下:
如图6所示,给出了LSTM-Gauss-NBayes模型检测异常的过程,在LSTM神经网络结构中,输入层对应于时间序列,并且每个隐藏层的LSTM单元的数量对应于时间序列的时间步长。可以通过使用两个隐藏层来形成用于异常检测的堆叠式LSTM网络,因为与单个LSTM网络相比,堆叠式LSTM网络可以增强模型在学习更复杂特征方面的性能。对于输出层,则使用最高LSTM层之上的完全连接层,然后使用S形激活函数。如图7所示,显示了堆叠式LSTM预测模型的扩展,其中隐藏层中的LSTM单元通过循环连接进行全连接。堆叠式的LSTM网络低层的LSTM隐藏层中的每个单元通过前馈连接连到上层的LSTM隐藏层中的每个单元。此外,如图8所示,显示了LSTM层的内部结构,其中σ和tanh代表激活函数。Xt是模型的输入。ht是第t个时间步长中LSTM单位的输出,ht-1由前一个时间步长得出。St是第t个时间步长中LSTM存储单元的值。
Figure BDA0001994999050000141
Figure BDA0001994999050000142
分别代表矩阵相乘和矩阵相加。
在将所述时间序列数据输入至堆叠式LSTM网络模型中进行预测前,首先使用下采样方法来获得原始时间序列的特征子序列。因为向下采样减少了原始时间序列中的维数,让学习模式变得更容易。同时,为了加快模型的收敛速度,本方法使用时间序列数据的最小-最大归一化来标准化数据,时间序列数据是原始数据的线性变换,变换后的值映射在区间[0,1]内。
在LSTM模型的框架中,给定m个样本,其中每个样本是一系列观察(x1...,xt,...,xT),学习预测模型以生成真实标签y的假设y^。t表示序列步长,T表示时间序列的长度,并且使用最小二乘损失函数作为这个模型的代价函数:
Figure BDA0001994999050000151
其中,y(j)表示第j个样本的真值,
Figure BDA0001994999050000152
表示第j个样本的期望值。随后,再使用反向传播时间算法来训练该模型。
对于数据集,可以将数据集划分为包含正常数据的训练集、包含正常数据的验证集、包含正常数据的第一测试集和包含异常数据的第二测试集。同时,由于实际物联网时间序列中异常样本相对较小,可以让堆叠式LSTM预测模型仅使用正常数据集进行训练,其超参数由验证集确定。此外,再将包含正常数据的测试集和包含异常数据的测试集分别放入训练模型中,并分别得到预测结果。然后可以计算实际数据和预测数据之间的差异,并构造误差数据集,包括正常数据和异常数据的误差。
接下来,将测试集中每个时间点的误差作为误差数据集中相应样本的数值属性,将误差数据集分为误差训练集和误差测试集,其中每个数据样本的标签值y为0或1,其中1表示异常。可以为标签值y建立了伯努利模型:
p(y)=φy(1-φ)1-y
其中,φ是误差训练集中标签y=1的概率。同时,假设误差训练集中的每个数值属性遵从高斯分布。再为每个属性的条件概率建立相应的高斯概率密度函数:
Figure BDA0001994999050000161
Figure BDA0001994999050000162
其中,xi是错误数据集中一个样本的第i个属性。
Figure BDA0001994999050000163
Figure BDA0001994999050000164
分别表示标签值为1的样本的第i个属性的均值和方差。除此之外,当样本的标签值是0时,它们分别表示为
Figure BDA0001994999050000165
Figure BDA0001994999050000166
再使用误差训练集中的最大似然估计来计算高斯密度概率函数的参数:
Figure BDA0001994999050000167
这些参数的最大似然感知估计如下:
Figure BDA0001994999050000168
Figure BDA0001994999050000169
Figure BDA00019949990500001610
Figure BDA00019949990500001611
Figure BDA00019949990500001612
其中,I{·}是一个指标功能。当括号内的条件为真时,其值为1,否则为0。
Figure BDA00019949990500001613
表示误差数据集第j个样本的第i个属性。y(j)表示误差数据集第j个样本的标签值。
由于朴素贝叶斯的独立性原理,可以直接将以上条件概率相乘,并导出一个样本在某个类存在时出现的条件概率为
Figure BDA0001994999050000171
Figure BDA0001994999050000172
此后,根据贝叶斯公式,可以计算出测试集中每个样本的异常概率为:
Figure BDA0001994999050000173
最终,根据样本异常概率的大小判断样本是否为异常数据,实现对移动终端的异常检测。
可以参阅图9,图9为本发明实施例提供的一种控制器的结构示意图。本发明实施例提供的一种控制器,包括:
发送模块901,用于根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
接收模块902,用于接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
加密模块903,用于根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
比对模块904,用于比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
可选地,所述第一位置声明密钥由所述移动终端对获取到的所有位置公钥的乘积通过第一公式进行模运算得到,所述第一公式具体为:
Figure BDA0001994999050000181
其中,k1为第一位置声明密钥,Y1、Y2、Y3...Yi为位置公钥,XMD为移动终端私钥;
所述第二位置声明密钥根据第二公式进行模运算得到,所述第二公式具体为:
Figure BDA0001994999050000182
其中,k2为第二位置声明密钥,X1、X2、X3...Xi为位置私钥,YMD为移动终端公钥。
可选地,所述控制器还包括:
共享密钥产生模块,用于根据所述移动终端当前所接入的接入点的位置私钥以及移动终端公钥为移动终端及其所接入的接入点之间的通信链路产生共享密钥。
可选地,所述控制器还包括:
第一监测模块,用于监测所述移动终端的接收信号强度指示值,在所述接收信号强度指示值小于预设阈值时,将所述移动终端切换到新的接入点,并将所述移动终端对应的上下文信息从旧的接入点传输至新的接入点。
可选地,所述控制器还包括:
第二监测模块,用于监测所述移动终端的运动情况,若所述移动终端运动至另一个位置分组时,从新的位置分组中选择新的接入点并分配给所述移动终端,并将所述移动终端对应的上下文信息传输至新的接入点。
可选地,所述控制器还包括:
预测模块,用于记录所述移动终端生成的时间序列数据,并将所述时间序列数据输入至堆叠式长短期记忆网络模型中进行预测,得到预测数据;
拟合模块,用于根据所述时间序列数据和预测数据计算误差数据集,并根据最大似然估计法对所述误差数据集进行训练拟合,得到所述误差数据集的概率分布;
判断模块,用于根据贝叶斯公式和所述误差数据集的概率分布,求取所述误差数据集对应的异常概率,并根据所述异常概率判断所述误差数据集对应的时间序列数据是否为异常数据。
可选地,所述控制器还包括:
训练模块,用于采用最小二乘损失函数作为所述堆叠式长短期记忆网络模型的代价函数,并采用反向传播算法时间算法来训练所述堆叠式长短期记忆网络模型。
可选地,所述预测模块具体用于:
采用下采样方法对所述时间序列数据进行采样,获得所述时间序列数据的特征子序列;
将所述特征子序列输入至堆叠式长短期记忆网络模型中进行预测。
本发明实施例提供的一种物联网系统,包括:
如上述的控制器和多个接入点,所述控制器与所述多个接入点连接,所述多个接入点与移动终端无线连接。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (9)

1.一种移动物联网的空间访问认证方法,其特征在于,包括:
根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
2.根据权利要求1所述的移动物联网的空间访问认证方法,其特征在于,在允许所述移动终端接入所述接入点后,还包括:
根据所述移动终端当前所接入的接入点的位置私钥以及移动终端公钥为移动终端及其所接入的接入点之间的通信链路产生共享密钥。
3.根据权利要求1所述的移动物联网的空间访问认证方法,其特征在于,在允许所述移动终端接入所述接入点后,还包括:
监测所述移动终端的接收信号强度指示值,在所述接收信号强度指示值小于预设阈值时,将所述移动终端切换到新的接入点,并将所述移动终端对应的上下文信息从旧的接入点传输至新的接入点。
4.根据权利要求1所述的移动物联网的空间访问认证方法,其特征在于,在允许所述移动终端接入所述接入点后,还包括:
监测所述移动终端的运动情况,若所述移动终端运动至另一个位置分组时,从新的位置分组中选择新的接入点并分配给所述移动终端,并将所述移动终端对应的上下文信息传输至新的接入点。
5.根据权利要求1所述的移动物联网的空间访问认证方法,其特征在于,在允许所述移动终端接入所述接入点后,还包括:
记录所述移动终端生成的时间序列数据,并将所述时间序列数据输入至堆叠式长短期记忆网络模型中进行预测,得到预测数据;
根据所述时间序列数据和预测数据计算误差数据集,并根据最大似然估计法对所述误差数据集进行训练拟合,得到所述误差数据集的概率分布;
根据贝叶斯公式和所述误差数据集的概率分布,求取所述误差数据集对应的异常概率,并根据所述异常概率判断所述误差数据集对应的时间序列数据是否为异常数据。
6.根据权利要求5所述的移动物联网的空间访问认证方法,其特征在于,还包括:
采用最小二乘损失函数作为所述堆叠式长短期记忆网络模型的代价函数,并采用反向传播算法时间算法来训练所述堆叠式长短期记忆网络模型。
7.根据权利要求5所述的移动物联网的空间访问认证方法,其特征在于,所述将所述时间序列数据输入至堆叠式长短期记忆网络模型中进行预测包括:
采用下采样方法对所述时间序列数据进行采样,获得所述时间序列数据的特征子序列;
将所述特征子序列输入至堆叠式长短期记忆网络模型中进行预测。
8.一种控制器,其特征在于,包括:
发送模块,用于根据密钥交换算法,分别为多个接入点产生相对应的位置私钥和位置公钥,并分别给所述多个接入点发送对应的位置公钥,以使得所述多个接入点在接收到对应的位置公钥后将所述对应的位置公钥进行广播,所述多个接入点均属于一个相同的位置分组且有共同覆盖的无线通信区域;
接收模块,用于接收由移动终端发送至接入点的位置声明信息,所述位置声明信息包括移动终端ID、对所述移动终端ID进行加密后的第一加密ID、移动终端公钥和位置分组描述符,其中,所述第一加密ID由第一位置声明密钥加密得到,所述第一位置声明密钥由所述移动终端根据移动终端私钥和获取到的所有位置公钥求取得到;
加密模块,用于根据位置私钥和所述位置声明信息中的移动终端公钥求取得到第二位置声明密钥,并根据所述第二位置声明密钥对所述移动终端ID进行加密,得到第二加密ID;
比对模块,用于比对所述第一加密ID和所述第二加密ID,若所述第一加密ID和所述第二加密ID相同,则允许所述移动终端接入所述接入点,否则,阻止移动终端接入所述接入点。
9.一种软件定义边缘计算系统,其特征在于,包括:
如权利要求8所述的控制器和多个接入点,所述控制器与所述多个接入点连接,所述多个接入点与移动终端无线连接。
CN201910193261.2A 2019-03-14 2019-03-14 移动物联网的空间访问认证方法和软件定义边缘计算系统 Active CN109819446B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910193261.2A CN109819446B (zh) 2019-03-14 2019-03-14 移动物联网的空间访问认证方法和软件定义边缘计算系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910193261.2A CN109819446B (zh) 2019-03-14 2019-03-14 移动物联网的空间访问认证方法和软件定义边缘计算系统

Publications (2)

Publication Number Publication Date
CN109819446A CN109819446A (zh) 2019-05-28
CN109819446B true CN109819446B (zh) 2021-07-06

Family

ID=66608893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910193261.2A Active CN109819446B (zh) 2019-03-14 2019-03-14 移动物联网的空间访问认证方法和软件定义边缘计算系统

Country Status (1)

Country Link
CN (1) CN109819446B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112752254B (zh) * 2019-10-31 2022-05-06 大唐移动通信设备有限公司 一种信息处理方法、装置、设备及计算机可读存储介质
CN111738335A (zh) * 2020-06-23 2020-10-02 鲁东大学 一种基于神经网络的时间序列数据异常检测方法
CN112804061B (zh) * 2021-01-04 2022-11-01 武汉虹信科技发展有限责任公司 电调天线控制器的数据传输方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102487504A (zh) * 2010-12-01 2012-06-06 丛林网络公司 用于无线网络内高可扩展性连续漫游的系统、装置和方法
CN102694819A (zh) * 2012-06-13 2012-09-26 苏州大学 一种基于广播加密的流媒体传输方法
CN104580261A (zh) * 2015-02-10 2015-04-29 成都英力拓信息技术有限公司 一种适用于物联网的安全方法
US9038151B1 (en) * 2012-09-20 2015-05-19 Wiretap Ventures, LLC Authentication for software defined networks
CN105491093A (zh) * 2014-09-19 2016-04-13 中国移动通信集团公司 终端认证、网络访问的方法、服务器、无线接入点及终端
CN105531598A (zh) * 2013-09-17 2016-04-27 高通股份有限公司 用于压缩和对准接入点的射频(rf)热图的技术
CN108881131A (zh) * 2017-06-23 2018-11-23 中国人民解放军理工大学 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102487504A (zh) * 2010-12-01 2012-06-06 丛林网络公司 用于无线网络内高可扩展性连续漫游的系统、装置和方法
CN102694819A (zh) * 2012-06-13 2012-09-26 苏州大学 一种基于广播加密的流媒体传输方法
US9038151B1 (en) * 2012-09-20 2015-05-19 Wiretap Ventures, LLC Authentication for software defined networks
CN105531598A (zh) * 2013-09-17 2016-04-27 高通股份有限公司 用于压缩和对准接入点的射频(rf)热图的技术
CN105491093A (zh) * 2014-09-19 2016-04-13 中国移动通信集团公司 终端认证、网络访问的方法、服务器、无线接入点及终端
CN104580261A (zh) * 2015-02-10 2015-04-29 成都英力拓信息技术有限公司 一种适用于物联网的安全方法
CN108881131A (zh) * 2017-06-23 2018-11-23 中国人民解放军理工大学 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于多路密钥协商的物联网安全通信方法;谢婉娟;《计算机与现代化》;20150215;第2015卷(第2期);第86-89页 *

Also Published As

Publication number Publication date
CN109819446A (zh) 2019-05-28

Similar Documents

Publication Publication Date Title
Polese et al. Machine learning at the edge: A data-driven architecture with applications to 5G cellular networks
CN109819446B (zh) 移动物联网的空间访问认证方法和软件定义边缘计算系统
Waqas et al. Mobility-aware fog computing in dynamic environments: Understandings and implementation
US20100332831A1 (en) Method and apparatus for authenticating a sensor node in a sensor network
Zhao et al. Prediction-based spectrum management in cognitive radio networks
US20230143554A1 (en) Methods, systems, and devices for federated blockchain-enabled handover authentication
Yu et al. Dynamic witness selection for trustworthy distributed cooperative sensing in cognitive radio networks
KR20230155607A (ko) 에지 컴퓨팅 환경에서 타겟 에지 애플리케이션 서버를 선택하기 위한 방법 및 장치
Jiang et al. Analysis and optimization of cache-enabled fog radio access networks: Successful transmission probability, fractional offloaded traffic and delay
EP4154150B1 (en) Threat detection and mitigation for remote wireless communication network control systems
CN101568108A (zh) 异构系统间切换的方法和设备
Sun et al. A novel nodes deployment assignment scheme with data association attributed in wireless sensor networks
Bárcena et al. Enabling federated learning of explainable AI models within beyond-5G/6G networks
Qu et al. On the convergence of multi-server federated learning with overlapping area
Asuquo et al. Optimized channel allocation in emerging mobile cellular networks
Gupta et al. Adaptive fuzzy convolutional neural network for medical image classification
Deepanramkumar et al. BlockCRN-IoCV: Secure spectrum access and beamforming for defense against attacks in mmWave massive MIMO CRN in 6G Internet of connected vehicles
Fitzek et al. On the need of computing in future communication networks
CN116848828A (zh) 机器学习模型分布
Fang et al. Decentralized Edge Collaboration for Seamless Handover Authentication in Zero-Trust IoV
US20220182968A1 (en) Methods and systems to intelligently and dynamically transform an end user device to operate as a server and/or an access point for one or more services
US11290928B1 (en) Methods, systems, and devices for enhancing automatic neighbor relations over a network supporting dual connectivity
WO2022141516A1 (zh) 模型验证方法及设备
AU2015100323A4 (en) Location Management Utilizing Initial Position for Mobile Networks
Pushpalakshmi et al. A Secure Dominating set based routing and key management scheme in Mobile Ad hoc Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant