CN112787806A - 一种基于ibe的工业互联网终端通用安全服务系统 - Google Patents

一种基于ibe的工业互联网终端通用安全服务系统 Download PDF

Info

Publication number
CN112787806A
CN112787806A CN202011494125.6A CN202011494125A CN112787806A CN 112787806 A CN112787806 A CN 112787806A CN 202011494125 A CN202011494125 A CN 202011494125A CN 112787806 A CN112787806 A CN 112787806A
Authority
CN
China
Prior art keywords
equipment
gateway
data
layer
ibe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011494125.6A
Other languages
English (en)
Inventor
戴波
虞思城
吴柯桢
章振海
江樱
姚一杨
王东升
王玉娟
杨旭
赖旬阳
顾国民
陈铁明
陈园
刘媛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yinshan Technology Co ltd
Zhejiang University of Technology ZJUT
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Deqing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Beijing Yinshan Technology Co ltd
Zhejiang University of Technology ZJUT
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Deqing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yinshan Technology Co ltd, Zhejiang University of Technology ZJUT, Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd, Deqing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Beijing Yinshan Technology Co ltd
Priority to CN202011494125.6A priority Critical patent/CN112787806A/zh
Publication of CN112787806A publication Critical patent/CN112787806A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

一种基于IBE的工业互联网终端通用安全服务系统,包括工业互联网终端设备层、接入网关层和管控服务层;工业互联网终端设备层用于将采集到工业数据透传至接入网关层的TCP端口;接入网关层是工业互联网网关,根据终端设备层的通讯协议等配置信息与设备管理模块建立映射,发起IBE‑XKMS服务请求实现身份认证接入;管控服务层,用于通过IBE‑XKMS模块响应网关设备请求,完成网关层设备认证服务,通过密钥管理完成用户权限控制模块,响应用户数据请求,将通过HTTP API完成对接入网关的终端设备实时数据采集与设备管控。本发明将复杂的加解密运算交给网关代理和IBE‑XKMS服务,大大减轻了资源受限终端设备的计算压力。

Description

一种基于IBE的工业互联网终端通用安全服务系统
技术领域
本发明涉及一种面向工业互联网终端的通用安全服务系统,在工 业互联领域海量异构终端设备解决身份认证、安全接入、跨域通信、 隐私保护等安全问题。
背景技术
新一代工业革命浪潮下,实现工业领域智能化、互联网化,首要 解决的就是传统工业终端设备的异构安全接入与数据安全问题。当海 量的终端异构设备连接到工业互联网,进行信息交换和数据通信时, 由于应用场景复杂,设备种类繁杂,安全防护变得更加复杂,传统的 安全防护方法无法直接应用于工业互联网环境。
无线传输是工业互联网实现快速便捷访问终端设备的一项重要 技术。随着4G的普及和5G的发展,设备加载无线无线通信模块后, 接入能力已经明显提高,但是传统的接入认证依然存在严重的安全隐 患。目前,对设备安全访问中心认证的研究热点集中在公钥认证体系。 公钥基础结构(PKI)是当前普遍采用安全应用程序体系结构。但是, PKI庞大的CA认证中心引入、公钥证书管理、复杂的处理逻辑,极 大地阻碍了PKI系统在工业Internet中的应用。因此,无证书的公 钥加密技术已经成为目前主流,基于身份的公钥加密(IBE)系统引 起了人们的很大关注。
IBE公钥密码系统使用唯一标识用户身份的信息作为用户的公钥, 并且不需要数字证书。在IBE系统中,用户的公共密钥是从用户的身 份信息中获取的,而相应的私有密钥是由受信任的第三方密钥服务器 生成的。
PKI体系采用已经授权信任的第三方CA认证中心发布公共密钥 证书,管理公钥和身份信息。但是,PKI体系中需要构建复杂的CA 认证中心,并且证书的生成,分发,吊销,验证和存储需要消耗资源。 相比于IBE体系,不依赖于数字证书,占用较少的资源,取得较高的 验证效率,所以采用IBE的方案解决工业互联网中的设备安全问题是 更好的一种方式。基于IBE-XKMS,可以处理IBE体系中的原有的PKG 集中式密钥托管问题,并扩展了跨域设备通信模块,并没有解决设备 隐私泄露所带来的安全问题和风险。通过为工业互联网终端构建通用 安全服务框架,可以有效解决上述问题。
发明内容
为了克服现有技术不足,本发明结合工业互联网中终端设备计算 能力有限、设备不兼容或难以实现公钥计算的特性,针对设备数据安 全传输、数据共享等问题,本发明提供一种基于IBE的工业互联网终 端通用安全服务系统,框架中网关对本地设备进行代理,向IBE-XKMS 请求公钥加密运算,减轻终端设备的计算压力。
为解决上述技术问题本发明提供如下技术方案:
一种基于IBE的工业互联网终端通用安全服务系统,包括工业互 联网终端设备层、接入网关层和管控服务层;
所述工业互联网终端设备层,用于为各领域的海量异构工业互联 网终端设备,通过扩展或改造传统工业采集设备,采用4G、5G或Wifi 无线通信方式,通过DTU、集中器设置接入网关层的网关端口,将采 集到工业数据透传至接入网关层的TCP端口;
所述接入网关层是工业互联网网关,根据终端设备层的通讯协议 等配置信息与设备管理模块建立映射,发起IBE-XKMS服务请求实现 身份认证接入,通过支持的数据协议类型,暴露HTTP操作接口给管 控服务层,并发起IBE-XKMS数据管理服务和密钥管理服务,通过 MQTT订阅地址返回终端设备采集数据;
所述管控服务层,用于通过IBE-XKMS模块响应网关设备请求, 完成网关层设备认证服务,通过密钥管理完成用户权限控制模块,响 应用户数据请求,将通过HTTP API完成对接入网关的终端设备实时 数据采集与设备管控,并通过订阅MQTT消息队列,接受接入网关的 设备数据,通过Redis完成数据缓存,针对设备TOKEN值作为键,从 MQTT获取消息队列作为值,分析数据字段封装成对应设备协议数据 结构,存储到MySQL数据库。
进一步,所述工业互联网终端设备层中,用户配置选择设备通信 方式、连接协议、设备标识、心跳数据、请求时间、网关IP地址和 端口。
再进一步,所述接入网关层中,用户通过网关异构接入模块,根 据终端设备层所配置的设备参数,接入网关;在设备管理模块中,建 立映射设备档案,管理该设备连接状态、连接方式、连接协议、设备 应用类型、数据传输地址和消息订阅队列;身份认证模块,管理网关 和设备的身份隐私,包括设备名称、设备ID好、设备类型、数据传 输类型、设备公私钥对、token令牌、接口类型、接口参数设置和API JSON数据格式。
更进一步,所述管控服务层中,用户和网关设备通过IBE-XKMS 模块,发起数据信封请求、解封请求、验证完成设备身份认证和用户 身份认证,配置信息包括设备身份信息、网关公私钥、设备私钥、密 钥有效期、时间戳、PKG公开参数和设备域参数信息;通过云管理模 块,进行用户管理,管理用户名、密码、权限和身份信息;通过异常 检测,管理设备和网关运行状态、负载情况和网络状态信息;通过数 据管理模块,用户下发数据采集请求,配置请求设备名称和设备指令 信息。
优选的,经过验证,选择的网络协议包括:3G/4G、Wifi、WAN、 NB-IOT、LoRa、TCP/UDP、HTTP、MQTT或WebSocket。
本发明的技术构思为:该服务系统以IBE-XKMS技术为基础,在 IBEXSec框架中,设备层终端首次接入网关后,需要进行身份注册, 网关收集终端设备的身份信息后,需要请求IBE-XKMS服务,生成设 备的私钥。跨域设备通信。设备A向设备B发送数据,设备B一侧的网关在接收到信息之后,也可以选择用存储在网关的设备B私钥解密 使用设备B公钥加密的对称加密密钥K,再向IBE-XKMS请求签名验 证服务。数据传输与共享。设备请求数据存储服务,上传数据,网关 向IBE-XKMS请求数字信封服务,生成使用设备公钥加密的对称加密密钥和使用对称加密密钥加密的数据。隐私保护通过构建网关别名和 设备别名机制,别名表存储在设备的安全数据和程序存储区,当设备 需要匿名时,可用别名发送数据。同时将复杂的加解密运算交给网关 代理和IBE-XKMS服务,大大减轻了资源受限终端设备的计算压力。
本发明的有益效果表现在:
(1)框架通过引入网关对终端设备进行访问代理,向IBE-XKMS 发起请求公钥加密运算的方案,将复杂的加密运算迁移到IBE-XKMS, 减轻终端设备的计算压力,同时也确保从网关到云端的设备数据安全 传输。
(2)通过密钥管理和身份认证等步骤,可以抵抗重放攻击、抵 抗中间人攻击。
(3)拥有前向保密性,即使发生密钥泄露事件,不会因单个密 钥泄露而造成相关密钥破解的风险,不会因此影响数据传输服务的安 全性。
(4)匿名机制的使用能有效隐藏真实设备身份信息,防范物理 攻击,而且由于匿名机制的引入无需替换传统工业设备,有效降低了 设备防护成本。
(5)支持设备之间的跨域通信。网关从IBE-XKMS请求数字信封 服务和解封数字信封服务,以完成复杂的数据加密和解密,这不仅大 大降低了设备的计算压力,而且减少了安全级别低的设备的数量。
附图说明
图1是基于IBE的工业互联网终端通用安全服务系统的框架图;
图2是设备身份注册流程图;
图3是跨域设备通信流程图;
图4是数据传输和共享流程图。
具体实施方式
下面结合实施例对本发明做进一步描述。下述实施例的说明只是 用于帮助理解本发明。应当指出,对于本技术领域的普通技术人员来 说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和 修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
参照图1~图4,一种基于IBE的工业互联网终端安全服务框架 系统,分为下面3个层面:工业互联网终端设备层,用于实现工业设 备接入能力与通信配置;接入网关层,向下实现终端设备接入认证, 向上响应管控服务层请求;管控服务层,用于响应用户服务请求,向 指定设备发起命令。
所述工业互联网终端设备层,用于为各领域的海量异构工业互联 网终端设备,通过扩展或改造传统工业采集设备,采用4G、5G或Wifi 无线通信方式,通过DTU、集中器设置接入网关层的网关端口,将采 集到工业数据透传至接入网关层的TCP端口;
所述接入网关层是工业互联网网关,根据终端设备层的通讯协议 等配置信息与设备管理模块建立映射,发起IBE-XKMS服务请求实现 身份认证接入,通过支持的数据协议类型,暴露HTTP操作接口给管 控服务层,并发起IBE-XKMS数据管理服务和密钥管理服务,通过 MQTT订阅地址返回终端设备采集数据;
所述管控服务层,用于通过IBE-XKMS模块响应网关设备请求, 完成网关层设备认证服务,通过密钥管理完成用户权限控制模块,响 应用户数据请求,将通过HTTP API完成对接入网关的终端设备实时 数据采集与设备管控,并通过订阅MQTT消息队列,接受接入网关的 设备数据,通过Redis完成数据缓存,针对设备TOKEN值作为键,从 MQTT获取消息队列作为值,分析数据字段封装成对应设备协议数据 结构,存储到MySQL数据库。
如图1所示,各领域的海量异构工业互联网终端设备采用LoRa、 4G、5G、Wifi等无线通信方式,通过DTU、集中器设置接入网关层的 网关端口,将采集到工业数据透传至接入网关层的TCP端口;网关, 根据终端设备层的通讯协议等配置信息与设备管理模块建立映射,发 起IBE-XKMS服务请求实现身份认证接入,通过支持的数据协议类型, 暴露HTTP操作接口给管控服务层,并发起IBE-XKMS数据管理服务, 通过MQTT订阅地址返回终端设备采集数据;管控服务平台通过 IBE-XKMS模块响应网关设备请求,完成网关层设备认证服务,通过 密钥管理完成用户权限控制模块,响应用户数据请求,将通过HTTP API完成对接入网关的终端设备,完成实时数据采集与设备管控,并 通过订阅MQTT消息队列,接受接入网关的设备数据,通过Redis完 成数据缓存,针对设备TOKEN值作为键,从MQTT获取消息队列作为值,分析数据字段封装成对应设备协议数据结构,存储到MySQL数据 库。
如图2所示,设备层终端首次接入网关后,需要进行身份注册, 步骤如下:
步骤一,网关收集终端设备的身份信息ID_Device、网关公钥PKG、 域名DN、时间戳T,发起请求IBE-XKMS register服务,然后执行步 骤二;
步骤二,IBE-XKMS验证设备是否已经注册,若为N,执行步骤三; 若为Y,任务结束;
步骤三,IBE-XKMS根据请求身份信息ID_Device,生成设备私钥 SKD
步骤四,利用网关公钥PKG加密ID_Device,设备私钥SKD,PKG公 开参数PP,时间戳T加密设备私钥信息,然后执行步骤五;
步骤五,将加密后的设备私钥信息存储在网关中,完成设备注册 过程。
如图3所示,跨域设备通信步骤如下:
步骤一,设备A向设备发起数据请求,执行步骤二;
步骤二,设备A一侧的网关在接收到信息之后,向IBE-XKMS请 求调用Locate服务,利用网关公钥PKG、设备B公钥ID_B、域名DN_N、 时间戳T,查询设备B域所在的公开参数PP,执行步骤三;
步骤三获取设备B域所在的公开参数PP,执行步骤四;
步骤四,再向IBE-XKMS请求调用Envelope和Sign签名验证服 务,使用设备B的公钥ID_B加密数据,生成数字签名执行步骤五;
步骤五,网关B公钥PKG加密数字信封,执行步骤六;
步骤六,设备B网关请求Unenvelope服务和Verify服务,使用 网关B公钥PKG解封数字信封,验证数字签名有消息性,若为N,丢弃 数据;若为Y,执行步骤七;
步骤七,利用设备B私钥ID_B解密数字信封内数据,验证数字 签名,若为N,丢弃数据;若为Y,执行步骤八;
步骤八,将解密后的数据发送给设备B,跨域设备通信流程完成。
如图4,设备和网关建立身份认证连接后,需要将数据上传至云 平台层,进行持久化存储。数据传输和共享流程,步骤如下:
步骤一,设备向云平台发起数据存储服务配置网关地址和端口, 选择通信方式,将数据上传至云网关的指定端口,执行步骤二;
步骤二,云网关接受数据,请求调用Envelope服务和Sign服务, 获取网关和设备的公共参数PP、ID_B,执行步骤三;
步骤三,利用设备B公钥ID_B加密数据,生成数字信封,将数 字信封,配置网关MQTT消息订阅地址,将数据发送至管控服务层, 执行步骤四;
步骤四,管控服务平台,订阅指定MQTT地址,接受数字信封, 调用数据存储服务,存储数据,执行步骤五;
步骤五,调用数据管理存储服务,设置数据查看权限和有效期, 执行步骤六;
步骤六,验证当前设备是否有用户请求数据,若为N,无用户请 求,数据共享服务完成;若为Y,执行步骤七;
步骤七,当有用户请求数据共享,调用用户管理服务和数据管理 服务,执行步骤八;
步骤八,验证当前请求用户是否具有数据共享权限,若为N,则 数据共享请求失败;若为Y,则执行步骤九;
步骤九,调用数据存储服务,调用IBE-XKMS Unenvelope服务和 Sign服务,解封数字信封,获取请求设备数据,生成数字签名,执 行步骤十;
步骤十,调用数据管理服务,安全发送数据给用户,执行步骤十 一;
步骤十一,用户验证数字签名,获取请求设备数据,数据传输和 共享服务完成。
本说明书的实施例所述的内容仅仅是对发明构思的实现形式的 列举,仅作说明用途。本发明的保护范围不应当被视为仅限于本实施 例所陈述的具体形式,本发明的保护范围也及于本领域的普通技术人 员根据本发明构思所能想到的等同技术手段。

Claims (5)

1.一种基于IBE的工业互联网终端通用安全服务系统,其特征在于,所述系统包括工业互联网终端设备层、接入网关层和管控服务层;
所述工业互联网终端设备层,用于为各领域的海量异构工业互联网终端设备,通过扩展或改造传统工业采集设备,采用4G、5G或Wifi无线通信方式,通过DTU、集中器设置接入网关层的网关端口,将采集到工业数据透传至接入网关层的TCP端口;
所述接入网关层是工业互联网网关,根据终端设备层的通讯协议等配置信息与设备管理模块建立映射,发起IBE-XKMS服务请求实现身份认证接入,通过支持的数据协议类型,暴露HTTP操作接口给管控服务层,并发起IBE-XKMS数据管理服务和密钥管理服务,通过MQTT订阅地址返回终端设备采集数据;
所述管控服务层,用于通过IBE-XKMS模块响应网关设备请求,完成网关层设备认证服务,通过密钥管理完成用户权限控制模块,响应用户数据请求,将通过HTTP API完成对接入网关的终端设备,完成实时数据采集与设备管控,并通过订阅MQTT消息队列,接受接入网关的设备数据,通过Redis完成数据缓存,针对设备TOKEN值作为键,从MQTT获取消息队列作为值,分析数据字段封装成对应设备协议数据结构,存储到MySQL数据库。
2.如权利要求1所述的基于IBE的工业互联网终端通用安全服务系统,其特征在于,所述工业互联网终端设备层中,用户配置选择设备通信方式、连接协议、设备标识、心跳数据、请求时间、网关IP地址和端口。
3.如权利要求1或2所述的基于IBE的工业互联网终端通用安全服务系统,其特征在于,所述接入网关层中,用户通过网关异构接入模块,根据终端设备层所配置的设备参数,接入网关;在设备管理模块中,建立映射设备档案,管理该设备连接状态、连接方式、连接协议、设备应用类型、数据传输地址和消息订阅队列;身份认证模块,管理网关和设备的身份隐私,包括设备名称、设备ID好、设备类型、数据传输类型、设备公私钥对、token令牌、接口类型、接口参数设置和API JSON数据格式。
4.如权利要求1或2所述的基于IBE的工业互联网终端通用安全服务系统,其特征在于,所述管控服务层中,用户和网关设备通过IBE-XKMS模块,发起数据信封请求、解封请求、验证完成设备身份认证和用户身份认证,配置信息包括设备身份信息、网关公私钥、设备私钥、密钥有效期、时间戳、PKG公开参数和设备域参数信息;通过云管理模块,进行用户管理,管理用户名、密码、权限和身份信息;通过异常检测,管理设备和网关运行状态、负载情况和网络状态信息;通过数据管理模块,用户下发数据采集请求,配置请求设备名称和设备指令信息。
5.如权利要求1或2所述的基于IBE的工业互联网终端通用安全服务系统,其特征在于,所述系统选择的网络协议包括:3G/4G、Wifi、WAN、NB-IOT、LoRa、TCP/UDP、HTTP、MQTT或WebSocket。
CN202011494125.6A 2020-12-17 2020-12-17 一种基于ibe的工业互联网终端通用安全服务系统 Pending CN112787806A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011494125.6A CN112787806A (zh) 2020-12-17 2020-12-17 一种基于ibe的工业互联网终端通用安全服务系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011494125.6A CN112787806A (zh) 2020-12-17 2020-12-17 一种基于ibe的工业互联网终端通用安全服务系统

Publications (1)

Publication Number Publication Date
CN112787806A true CN112787806A (zh) 2021-05-11

Family

ID=75751070

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011494125.6A Pending CN112787806A (zh) 2020-12-17 2020-12-17 一种基于ibe的工业互联网终端通用安全服务系统

Country Status (1)

Country Link
CN (1) CN112787806A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259481A (zh) * 2021-06-21 2021-08-13 湖南视觉伟业智能科技有限公司 分布式数据存储方法、系统及可读存储介质
CN113992644A (zh) * 2021-11-05 2022-01-28 天津市普迅电力信息技术有限公司 一种基于无服务技术的物联网关系统及其数据处理方法
CN114095314A (zh) * 2021-11-25 2022-02-25 成都中科微信息技术研究院有限公司 一种基于5g/tsn技术的工业互联网网关
CN115208914A (zh) * 2022-06-23 2022-10-18 深圳市宇航智能信息技术有限公司 一种工业数据采集分析系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170180340A1 (en) * 2015-12-22 2017-06-22 Intel Corporation System, Apparatus And Method For Safety State Management Of Internet Things (IoT) Devices
CN109802829A (zh) * 2019-02-15 2019-05-24 重庆邮电大学 信息中心网络内容请求用户的身份认证方法
CN110583036A (zh) * 2017-05-29 2019-12-17 华为国际有限公司 网络认证方法、网络设备及核心网设备
CN111464491A (zh) * 2020-02-24 2020-07-28 浙江工业大学 一种物联网终端设备统一接入与管控的三层框架系统
CN111464490A (zh) * 2020-02-24 2020-07-28 浙江工业大学 一种面向物联网终端管控的轻量级区块链网关及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170180340A1 (en) * 2015-12-22 2017-06-22 Intel Corporation System, Apparatus And Method For Safety State Management Of Internet Things (IoT) Devices
CN110583036A (zh) * 2017-05-29 2019-12-17 华为国际有限公司 网络认证方法、网络设备及核心网设备
CN109802829A (zh) * 2019-02-15 2019-05-24 重庆邮电大学 信息中心网络内容请求用户的身份认证方法
CN111464491A (zh) * 2020-02-24 2020-07-28 浙江工业大学 一种物联网终端设备统一接入与管控的三层框架系统
CN111464490A (zh) * 2020-02-24 2020-07-28 浙江工业大学 一种面向物联网终端管控的轻量级区块链网关及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈园、陈铁明、宋琪杰、马栋捷: "IBEXSec:一种面向工业互联网终端的通用安全服务框架", 《电信科学》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259481A (zh) * 2021-06-21 2021-08-13 湖南视觉伟业智能科技有限公司 分布式数据存储方法、系统及可读存储介质
CN113992644A (zh) * 2021-11-05 2022-01-28 天津市普迅电力信息技术有限公司 一种基于无服务技术的物联网关系统及其数据处理方法
CN113992644B (zh) * 2021-11-05 2024-03-26 天津市普迅电力信息技术有限公司 一种基于无服务技术的物联网关系统及其数据处理方法
CN114095314A (zh) * 2021-11-25 2022-02-25 成都中科微信息技术研究院有限公司 一种基于5g/tsn技术的工业互联网网关
CN115208914A (zh) * 2022-06-23 2022-10-18 深圳市宇航智能信息技术有限公司 一种工业数据采集分析系统及方法

Similar Documents

Publication Publication Date Title
WO2019184924A1 (zh) 身份管理方法、设备、通信网络及存储介质
WO2020133655A1 (zh) 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
Cao et al. GBAAM: group‐based access authentication for MTC in LTE networks
CN112787806A (zh) 一种基于ibe的工业互联网终端通用安全服务系统
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
EP3633949B1 (en) Method and system for performing ssl handshake
JP7324765B2 (ja) 認証された装置から装置への通信のための動的ドメイン鍵交換
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
Mektoubi et al. New approach for securing communication over MQTT protocol A comparaison between RSA and Elliptic Curve
US20040161110A1 (en) Server apparatus, key management apparatus, and encrypted communication method
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
US9998287B2 (en) Secure authentication of remote equipment
WO2022111102A1 (zh) 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质
WO2020020007A1 (zh) 网络接入方法、装置、终端、基站和可读存储介质
CN114221765B (zh) 一种qkd网络与经典密码算法融合的量子密钥分发方法
CN116614599B (zh) 一种安全加密的视频监控方法、装置及存储介质
CN115514474A (zh) 一种基于云-边-端协同的工业设备可信接入方法
CN114398602A (zh) 一种基于边缘计算的物联网终端身份认证方法
CN112769568B (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
CN105471896A (zh) 基于ssl的代理方法、装置及系统
US20090136043A1 (en) Method and apparatus for performing key management and key distribution in wireless networks
US10044682B2 (en) Technique for distributing a piece of content in a content distribution network
WO2007135963A1 (ja) 認証方法及びこれを用いた認証システム
CN115766119A (zh) 通信方法、装置、通信系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210511

RJ01 Rejection of invention patent application after publication