CN114024749B - 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 - Google Patents
一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 Download PDFInfo
- Publication number
- CN114024749B CN114024749B CN202111302670.5A CN202111302670A CN114024749B CN 114024749 B CN114024749 B CN 114024749B CN 202111302670 A CN202111302670 A CN 202111302670A CN 114024749 B CN114024749 B CN 114024749B
- Authority
- CN
- China
- Prior art keywords
- domain
- terminal
- cross
- central
- logical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,属于信息安全领域。包括两个阶段:阶段一、工业终端首次接入逻辑域,即终端就近接入边缘设备后请求接入逻辑安全域;阶段二、位于逻辑域中的工业终端请求跨域接入另外一个逻辑域,即工业终端目前在一个逻辑型安全域中,下一时间请求加入另外一个逻辑安全域。本方法减少了不同安全域间的边缘设备的相互认证信息传递,请求接入的边缘节点不需要反向确认终端身份的真实性,因为这项工作在终端所在域由该域的中心认证服务器完成,通过域间协同将结果与跨域请求一起发送给申请接入端工业设备,大大提升了认证的效率和安全性,降低了不同逻辑安全域设备接入认证交互带来的资源消耗。
Description
技术领域
本发明涉及信息安全领域,具体为一种基于中心节点域间协同的工业终端设备逻辑域跨域接入认证技术。
背景技术
安全域的构建大多都是基于地理位置,将区域按照地理位置根据需求划分为大小不同的基于地理位置的安全域;但是也存在另外的一种情况,不受地理位置的限制,按照企业业务需求逻辑关系来划分不同逻辑安全域,即不同位置区域的终端设备通过认证接入同一个逻辑安全域。位置型安全域的范围是所划定的地理区域,在设备的接入认证方面,主要依靠安全域内的边缘设备;然而,逻辑型安全域的范围则不受区域地理空间的限制,来自不同地理区域的设备按照需求关系形成逻辑上的联系,而这些设备就共同构成了一个逻辑型安全域。
在工业智能制造体系中,设备的生产分工各不相同,生产线的柔性重组时常发生。不同地理区域间的设备构建逻辑型安全域,域内设备接受安全域的调度安排共同协作完成生产任务,这大大避免了移动设备所造成的资源消耗同时也解决了部分设备不宜移动的问题。但同时也带来了新的问题,即生产需求变动需要新的设备加入就必须对其进行身份认证,以防对安全域内的其它设备及整个生产环节造成危害,由此产生了工业终端设备逻辑跨域认证的应用需求。
发明内容
要解决的技术问题
为了解决不同位置的工业终端设备逻辑关系上的跨域接入认证问题,本发明提出一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法。
技术方案
一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,其特征在于包括两个阶段:
阶段一:工业终端逻辑域接入认证
步骤1.1:工业终端向位置域中心服务器发送跨域接入请求
在PKG1中,工业终端设备IDT完成了在边缘设备IDE的接入认证,某一时刻终端想要接入逻辑安全域Ⅰ时,首先向本位置域的中心服务器IDG1发送接入认证请求报文,开始跨域接入认证;其中,报文包括:终端ID标识、边缘设备IDE标识、逻辑域Ⅰ的中心节点IDL的标识;
IDT→IDG1:(IDT||IDE||IDL||tT||rT)skT||IDT||Req 公式(1.1)
公式(1.1)含义:IDT向位置域中心服务器IDG1发送请求接入相关的消息;
其中IDT表示工业终端设备标识,IDL表示终端请求接入的逻辑域的中心节点标识,IDE表示终端接入的边缘设备标识,tT是时间戳,rT是随机数,skT是终端的标识私钥,Req表示跨域请求,(IDT||IDE||IDL||tT||rT)skT表示用终端设备的私钥签名数据;
步骤1.2:位置域中心服务器请求边缘节点核实终端身份
PKG1的中心服务器IDG1收到接入请求的消息后,根据消息内容请求边缘设备IDE核实终端的身份;
IDG1→IDE:((IDT||IDE)SKG1)PubE||Req 公式(1.2)
公式(1.2)含义:PKG1域的中心服务器IDG1向边缘设备IDE请求核实终端的身份真实性;
其中SKG1表示PKG1域的中心服务器IDG1的CA私钥,PubE表示边缘设备IDE的CA公钥;
步骤1.3:边缘节点返回终端身份验证结果
边缘设备IDE收到来自中心服务器IDG1请求核实终端身份的信息,查询认证列表并返回终端身份真实性的结果;
IDE→IDG1:((IDT||IDE||True)SKE)PubG1 公式(1.3)
公式(1.3)含义:边缘设备IDE发送给中心服务器IDG1终端的身份真实性结果;
其中True表示工业终端身份真实;
步骤1.4:IDG1查询逻辑域中心节点的所在域并发送终端跨域请求
中心服务器IDG1得到工业终端身份真实性后,查询获得逻辑域Ⅰ中心节点IDL所在的安全域PKG1,并向其中心服务器IDG2发送终端的接入认证请求;
IDG1→IDG2:((IDT||True||IDL)SKG1)PubG2||Req 公式(1.4)
公式(1.4)含义:PKG1域中心服务器IDG1向PKG2域中心服务器IDG2发送终端身份认证结果以及终端跨域接入请求;
其中,IDL表示逻辑域的中心节点;
步骤1.5:IDG2向逻辑域中心节点IDL发送终端跨域接入请求
中心认证服务器IDG2收到接入请求的消息后,根据消息内容转发终端的跨域接入请求给逻辑域的中心节点IDL;
IDG2→IDL:((IDT||True)SKG2)PubL||Req 公式(1.5)
公式(1.5)含义:PKG2域中心服务器IDG2向逻辑域的中心节点IDL发送终端跨域接入请求;
其中,SKG2表示PKG2域的中心服务器IDG2的CA私钥,PubL表示逻辑域的中心节点IDL的CA公钥;
步骤1.6:逻辑域中心节点查验终端身份并返回认证结果
逻辑域Ⅰ的中心节点IDL收到跨域接入请求,并得知工业终端的身份真实可靠,允许终端加入逻辑域,返回跨域接入成功的消息;
IDL→IDG1:(IDT||IDL||success||KeyT-L)KeyG1-L 公式(1.6)
公式(1.6)含义:逻辑域的中心节点IDL向位置域中心服务器IDG2发送认证结果;
其中success表示认证通过,KeyT-L,表示终端IDT与逻辑域中心节点IDL的会话密钥,KeyG1-E,表示PKG1域中心服务器IDG1与逻辑域中心节点IDL的会话密钥
步骤1.7:工业终端用会话密钥应答逻辑域中心节点IDL
工业终端跨域接入通过的消息通过原路返回,直至终端收到确认消息,最后终端IDT发送确认信息给逻辑域Ⅰ的中心节点IDL;
IDT→IDL:(IDT||successed||IDL)KeyT-L 公式(1.7)
公式(1.7)含义:工业终端IDT用收到的会话密钥发送确认结果给逻辑域中心节点IDL;
步骤1.8:逻辑域Ⅰ的中心节点更新终端认证列表
逻辑域Ⅰ的中心节点IDL收到终端的确认消信息,更新终端认证列表;
综上,工业终端IDT接入逻辑域Ⅰ成功;
阶段二:注册并已认证的工业终端跨逻辑域认证
步骤2.1:工业终端向逻辑域Ⅰ的中心节点发送跨域请求
某一时刻,位于逻辑域Ⅰ中的工业终端设备IDT想要跨域至逻辑域Ⅱ,首先向其所在逻辑域的中心节点IDL1发出跨域请求,请求信息包括:终端ID标识、逻辑域Ⅱ的中心节点IDL2的标识;
IDT→IDL1:(IDT||IDL2)KeyT-L1||Req 公式(2.1)
公式(2.1)含义:工业终端IDT向逻辑域Ⅰ的中心节点IDL1发送跨域请求
其中IDT表示终端设备标识,IDL2表示终端请求接入的逻辑域Ⅱ的中心节点标识,tT是时间戳,rT是随机数,KeyT-L1表示终端IDT与逻辑域Ⅰ的中心节点IDL1间的会话密钥,Req表示跨域请求,(IDT||IDL2)KeyT-L1表示用会话密钥加密数据;
步骤2.2:逻辑域Ⅰ的中心节点向位置域中心服务器发送跨域请求
逻辑域Ⅰ的中心节点收到工业终端IDT的跨域请求后,发送跨域请求以及终端的身份真实性标识给本域的中心认证服务器IDG1;
IDL1→IDG1:((IDT||IDL2||True)SKL1)PubG1 公式(2.2)
公式(2.2)含义:逻辑域Ⅰ的中心节点IDL1向本域的中心服务器IDG1发送终端跨域请求;
其中True表示工业终端的身份真实,PubG1表示PKG1域的中心服务器IDG1的CA公钥,SKL1表示逻辑域的中心节点IDL的CA私钥;
步骤2.3:IDG1查询逻辑域Ⅱ中心节点所在域并发送终端跨域请求
PKG1中心认证服务器IDG1收到信息,查询得到逻辑域Ⅱ的中心节点所在的安全域PKG3,将工业终端跨域信息及其终身份的真实性结果发送给PKG3的中心认证服务器IDG3,请求终端的跨域接入认证;
IDG1→IDG3:((IDT||True||IDL2)SKG1)PubG3||Req 公式(2.3)
公式(2.3)含义:PKG1中心认证服务器IDG1向PKG3中心认证服务器IDG3发送工业终端跨域请求;
其中,(IDT||True||IDL2)SKG1表示IDG1用私钥签名数据,((IDT||True||IDL2)SKG1)PubG3表示IDG3用公钥加密括号内的数据;
步骤2.4:IDG3向逻辑域中心节点IDL2发送工业终端跨域接入请求
PKG3的中心认证服务器IDG3收到消息,获得终端请求接入的逻辑域的中心节点IDL2的标识,将跨域消息转发给边缘设备IDL2;
IDG3→IDL2:((IDT||True)SKG2)PubL2||Req 公式(2.4)
公式(2.4)含义:PKG3的中心认证服务器IDG3向逻辑域中心节点IDL2发送工业终端跨域接入请求数据;
步骤2.5:逻辑域中心节点IDL2查验工业终端身份并返回认证结果
IDL2收到跨域信息,了解工业终端的身份真实可靠,则通过终端的跨域接入请求,并返回给终端认证通过的信息;
IDL2→IDG3:(IDT||IDL2||success||KeyT-L2)KeyG3-L2 公式(2.5)
公式(2.5)含义:逻辑域Ⅱ的中心节点IDL2查验终端身份并返回认证结果;
其中success表示终端的信息真实,KeyT-L2表示终端IDT与逻辑域Ⅱ的中心节点IDL2间的会话密钥;
步骤2.6:逻辑域中心节点IDL1向工业终端返回跨域认证结果
IDL2返回给工业终端认证通过的信息经由IDG3传给IDG1,再由IDG1返回给IDL2,最后IDL1将消息通知给终端IDT并更新其终端列表;
IDL1→IDT:(IDT||IDL2||success)KeyL1-T 公式(2.6)
公式(2.6)含义:逻辑域Ⅰ中心节点IDL1向终端IDT返回跨域认证结果;
步骤2.7:工业终端用会话密钥应答逻辑域中心节点IDL2
工业终端IDT收到跨域接入通过的信息,得到与IDL2的会话密钥,发送确认信息给逻辑域Ⅱ的中心节点IDL2;
IDT→IDL2:(IDT||Resuccess||IDL2)KeyL2-T 公式(2.7)
公式(2.7)含义:终端IDT用收到的会话密钥发送确认结果给逻辑域Ⅱ的中心节点IDL2;
其中,Resuccess表示收到认证结构的确认应答;
步骤2.8:逻辑域Ⅱ的中心节点更新终端认证列表
逻辑域Ⅱ的中心节点IDL2收到工业终端IDT的确认消信息,更新终端认证列表;
综上,位于逻辑域Ⅰ的工业终端IDT成功跨域接入至逻辑域Ⅱ。
一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的方法。
一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现上述的方法。
一种计算机程序,其特征在于包括计算机可执行指令,所述指令在被执行时用于实现上述的方法。
有益效果
本发明提出的一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,基于位置域接入认证通过的前提下,在实施逻辑跨域认证时,不同逻辑安全域的工业终端和边缘设备无法直接通信,因此每个逻辑安全域中建立中心认证服务器,将工业终端逻辑跨域认证的跨域阶段交给域中心服务器负责,完成逻辑域间跨域协同接入认证;这样,一方面减少了不同安全域间的边缘设备的相互认证信息传递,另一方面请求接入的边缘节点不需要反向确认终端身份的真实性,因为这项工作在终端所在域由该域的中心认证服务器完成,通过域间协同将结果与跨域请求一起发送给申请接入端工业设备,大大提升了认证的效率和安全性,降低了不同逻辑安全域设备接入认证交互带来的资源消耗。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1工业终端逻辑域构建示意图;
图2逻辑域工业设备接入认证模型;
图3工业设备逻辑域跨域接入模型。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
工业终端设备进行逻辑跨域接入认证的前提是已经在位置安全域中的边缘设备上完成了就近的接入认证,位于不同位置安全域的终端设备根据设备间逻辑上的关联构建逻辑安全域。由于组成逻辑域的终端分布分散,故逻辑安全域的数据信息存放于某一边缘节点上,该边缘节点就是该逻辑域的中心节点,负责维护更新逻辑域的终端认证列表。为实现逻辑域的终端跨域认证,同时减少边缘节点间的相互认证,在安全域内设计中心认证服务器作为桥梁,将跨域交互过程交给两域的中心服务器来完成。
本发明提出的一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,分为两种阶段:
阶段一:工业终端首次接入逻辑域,即终端就近接入边缘设备后请求接入逻辑安全域;
阶段二:位于逻辑域中的工业终端请求跨域接入另外一个逻辑域,即工业终端目前在一个逻辑型安全域中,下一时间请求加入另外一个逻辑安全域。其中涉及到:终端加入新的逻辑域时是否退出原逻辑域,两个逻辑中心节点认证列表的更新。
表1逻辑跨域认证方法中符号含义表
阶段一:工业终端逻辑域接入认证
基于逻辑域工业设备接入认证模型如图2所示,阶段一工业终端逻辑域接入认证具体方法步骤如下。
步骤1.1:工业终端向位置域中心服务器发送跨域接入请求
在PKG1中,工业终端设备IDT完成了在边缘设备IDE的接入认证,某一时刻终端想要接入逻辑安全域Ⅰ时,首先向本位置域的中心服务器IDG1发送接入认证请求报文,开始跨域接入认证。其中,报文包括:终端ID标识、边缘设备IDE标识、逻辑域Ⅰ的中心节点IDL的标识;
IDT→IDG1:(IDT||IDE||IDL||tT||rT)skT||IDT||Req 公式(1.1)
公式(1.1)含义:IDT向位置域中心服务器IDG1发送请求接入相关的消息。
其中IDT表示工业终端设备标识,IDL表示终端请求接入的逻辑域的中心节点标识,IDE表示终端接入的边缘设备标识,tT是时间戳,rT是随机数,skT是终端的标识私钥,Req表示跨域请求,(IDT||IDE||IDL||tT||rT)skT表示用终端设备的私钥签名数据。
步骤1.2:位置域中心服务器请求边缘节点核实终端身份
PKG1的中心服务器IDG1收到接入请求的消息后,根据消息内容请求边缘设备IDE核实终端的身份;
IDG1→IDE:((IDT||IDE)SKG1)PubE||Req 公式(1.2)
公式(1.2)含义:PKG1域的中心服务器IDG1向边缘设备IDE请求核实终端的身份真实性。
其中SKG1表示PKG1域的中心服务器IDG1的CA私钥,PubE表示边缘设备IDE的CA公钥。
步骤1.3:边缘节点返回终端身份验证结果
边缘设备IDE收到来自中心服务器IDG1请求核实终端身份的信息,查询认证列表并返回终端身份真实性的结果;
IDE→IDG1:((IDT||IDE||True)SKE)PubG1 公式(1.3)
公式(1.3)含义:边缘设备IDE发送给中心服务器IDG1终端的身份真实性结果。
其中True表示工业终端身份真实。
步骤1.4:IDG1查询逻辑域中心节点的所在域并发送终端跨域请求
中心服务器IDG1得到工业终端身份真实性后,查询获得逻辑域Ⅰ中心节点IDL所在的安全域PKG1,并向其中心服务器IDG2发送终端的接入认证请求;
IDG1→IDG2:((IDT||True||IDL)SKG1)PubG2||Req 公式(1.4)
公式(1.4)含义:PKG1域中心服务器IDG1向PKG2域中心服务器IDG2发送终端身份认证结果以及终端跨域接入请求。
其中,IDL表示逻辑域的中心节点。
步骤1.5:IDG2向逻辑域中心节点IDL发送终端跨域接入请求
中心认证服务器IDG2收到接入请求的消息后,根据消息内容转发终端的跨域接入请求给逻辑域的中心节点IDL;
IDG2→IDL:((IDT||True)SKG2)PubL||Req 公式(1.5)
公式(1.5)含义:PKG2域中心服务器IDG2向逻辑域的中心节点IDL发送终端跨域接入请求。
其中,SKG2表示PKG2域的中心服务器IDG2的CA私钥,PubL表示逻辑域的中心节点IDL的CA公钥。
步骤1.6:逻辑域中心节点查验终端身份并返回认证结果
逻辑域Ⅰ的中心节点IDL收到跨域接入请求,并得知工业终端的身份真实可靠,允许终端加入逻辑域,返回跨域接入成功的消息;
IDL→IDG1:(IDT||IDL||success||KeyT-L)KeyG1-L 公式(1.6)
公式(1.6)含义:逻辑域的中心节点IDL向位置域中心服务器IDG2发送认证结果。
其中success表示认证通过,KeyT-L,表示终端IDT与逻辑域中心节点IDL的会话密钥,KeyG1-E,表示PKG1域中心服务器IDG1与逻辑域中心节点IDL的会话密钥
步骤1.7:工业终端用会话密钥应答逻辑域中心节点IDL
工业终端跨域接入通过的消息通过原路返回,直至终端收到确认消息,最后终端IDT发送确认信息给逻辑域Ⅰ的中心节点IDL;
IDT→IDL:(IDT||successed||IDL)KeyT-L 公式(1.7)
公式(1.7)含义:工业终端IDT用收到的会话密钥发送确认结果给逻辑域中心节点IDL。
步骤1.8:逻辑域Ⅰ的中心节点更新终端认证列表
逻辑域Ⅰ的中心节点IDL收到终端的确认消信息,更新终端认证列表。
综上,工业终端IDT接入逻辑域Ⅰ成功。
阶段二:注册并已认证的工业终端跨逻辑域认证
工业设备逻辑域跨域接入模型如图3所示,阶段二注册并已认证的工业终端跨逻辑域认证具体方法步骤如下。
步骤2.1:工业终端向逻辑域Ⅰ的中心节点发送跨域请求
某一时刻,位于逻辑域Ⅰ中的工业终端设备IDT想要跨域至逻辑域Ⅱ,首先向其所在逻辑域的中心节点IDL1发出跨域请求,请求信息包括:终端ID标识、逻辑域Ⅱ的中心节点IDL2的标识;
IDT→IDL1:(IDT||IDL2)KeyT-L1||Req 公式(2.1)
公式(2.1)含义:工业终端IDT向逻辑域Ⅰ的中心节点IDL1发送跨域请求
其中IDT表示终端设备标识,IDL2表示终端请求接入的逻辑域Ⅱ的中心节点标识,tT是时间戳,rT是随机数,KeyT-L1表示终端IDT与逻辑域Ⅰ的中心节点IDL1间的会话密钥,Req表示跨域请求,(IDT||IDL2)KeyT-L1表示用会话密钥加密数据。
步骤2.2:逻辑域Ⅰ的中心节点向位置域中心服务器发送跨域请求
逻辑域Ⅰ的中心节点收到工业终端IDT的跨域请求后,发送跨域请求以及终端的身份真实性标识给本域的中心认证服务器IDG1;
IDL1→IDG1:((IDT||IDL2||True)SKL1)PubG1 公式(2.2)
公式(2.2)含义:逻辑域Ⅰ的中心节点IDL1向本域的中心服务器IDG1发送终端跨域请求。
其中True表示工业终端的身份真实,PubG1表示PKG1域的中心服务器IDG1的CA公钥,SKL1表示逻辑域的中心节点IDL的CA私钥。
步骤2.3:IDG1查询逻辑域Ⅱ中心节点所在域并发送终端跨域请求
PKG1中心认证服务器IDG1收到信息,查询得到逻辑域Ⅱ的中心节点所在的安全域PKG3,将工业终端跨域信息及其终身份的真实性结果发送给PKG3的中心认证服务器IDG3,请求终端的跨域接入认证;
IDG1→IDG3:((IDT||True||IDL2)SKG1)PubG3||Req 公式(2.3)
公式(2.3)含义:PKG1中心认证服务器IDG1向PKG3中心认证服务器IDG3发送工业终端跨域请求。
其中,(IDT||True||IDL2)SKG1表示IDG1用私钥签名数据,((IDT||True||IDL2)SKG1)PubG3表示IDG3用公钥加密括号内的数据。
步骤2.4:IDG3向逻辑域中心节点IDL2发送工业终端跨域接入请求
PKG3的中心认证服务器IDG3收到消息,获得终端请求接入的逻辑域的中心节点IDL2的标识,将跨域消息转发给边缘设备IDL2;
IDG3→IDL2:((IDT||True)SKG2)PubL2||Req 公式(2.4)
公式(2.4)含义:PKG3的中心认证服务器IDG3向逻辑域中心节点IDL2发送工业终端跨域接入请求数据。
步骤2.5:逻辑域中心节点IDL2查验工业终端身份并返回认证结果
IDL2收到跨域信息,了解工业终端的身份真实可靠,则通过终端的跨域接入请求,并返回给终端认证通过的信息;
IDL2→IDG3:(IDT||IDL2||success||KeyT-L2)KeyG3-L2 公式(2.5)
公式(2.5)含义:逻辑域Ⅱ的中心节点IDL2查验终端身份并返回认证结果。
其中success表示终端的信息真实,KeyT-L2表示终端IDT与逻辑域Ⅱ的中心节点IDL2间的会话密钥。
步骤2.6:逻辑域中心节点IDL1向工业终端返回跨域认证结果
IDL2返回给工业终端认证通过的信息经由IDG3传给IDG1,再由IDG1返回给IDL2,最后IDL1将消息通知给终端IDT并更新其终端列表;
IDL1→IDT:(IDT||IDL2||success)KeyL1-T 公式(2.6)
公式(2.6)含义:逻辑域Ⅰ中心节点IDL1向终端IDT返回跨域认证结果。
步骤2.7:工业终端用会话密钥应答逻辑域中心节点IDL2
工业终端IDT收到跨域接入通过的信息,得到与IDL2的会话密钥,发送确认信息给逻辑域Ⅱ的中心节点IDL2;
IDT→IDL2:(IDT||Resuccess||IDL2)KeyL2-T 公式(2.7)
公式(2.7)含义:终端IDT用收到的会话密钥发送确认结果给逻辑域Ⅱ的中心节点IDL2。
其中,Resuccess表示收到认证结构的确认应答。
步骤2.8:逻辑域Ⅱ的中心节点更新终端认证列表
逻辑域Ⅱ的中心节点IDL2收到工业终端IDT的确认消信息,更新终端认证列表。
综上,位于逻辑域Ⅰ的工业终端IDT成功跨域接入至逻辑域Ⅱ。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (3)
1.一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,其特征在于包括两个阶段:
阶段一:工业终端逻辑域接入认证
步骤1.1:工业终端向位置域中心服务器发送跨域接入请求
在PKG1中,工业终端设备IDT完成了在边缘设备IDE的接入认证,某一时刻终端想要接入逻辑域Ⅰ时,首先向本位置域的中心服务器IDG1发送接入认证请求报文,开始跨域接入认证;其中,报文包括:终端IDT标识、边缘设备IDE标识、逻辑域Ⅰ的中心节点IDL1的标识;
IDT→IDG1:(IDT||IDE||IDL1||tT||rT)skT||IDT||Req 公式(1.1)
公式(1.1)含义:IDT向位置域中心服务器IDG1发送请求接入相关的消息;
其中IDT表示工业终端设备标识,IDL1表示终端请求接入的逻辑域Ⅰ的中心节点标识,IDE表示终端接入的边缘设备标识,tT是时间戳,rT是随机数,skT是终端的标识私钥,Req表示跨域请求,(IDT||IDE||IDL1||tT||rT)skT表示用终端设备的私钥签名数据;
步骤1.2:位置域中心服务器IDG1请求边缘节点核实终端身份
PKG1的中心服务器IDG1收到接入请求的消息后,根据消息内容请求边缘设备IDE核实终端的身份;
IDG1→IDE:((IDT||IDE)SKG1)PubE||Req 公式(1.2)
公式(1.2)含义:PKG1域的中心服务器IDG1向边缘设备IDE请求核实终端的身份真实性;
其中SKG1表示PKG1域的中心服务器IDG1的CA私钥,PubE表示边缘设备IDE的CA公钥;
步骤1.3:边缘节点返回终端身份验证结果
边缘设备IDE收到来自中心服务器IDG1请求核实终端身份的信息,查询认证列表并返回终端身份真实性的结果;
IDE→IDG1:((IDT||IDE||True)SKE)PubG1 公式(1.3)
公式(1.3)含义:边缘设备IDE发送给中心服务器IDG1终端的身份真实性结果;
其中True表示工业终端身份真实;
步骤1.4:IDG1查询逻辑域Ⅰ中心节点的所在域并发送终端跨域请求
中心服务器IDG1得到工业终端身份真实性后,查询获得逻辑域Ⅰ中心节点IDL1所在的安全域PKG2,并向其中心服务器IDG2发送终端的接入认证请求;
IDG1→IDG2:((IDT||True||IDL1)SKG1)PubG2||Req 公式(1.4)
公式(1.4)含义:PKG1域中心服务器IDG1向PKG2域中心服务器IDG2发送终端身份认证结果以及终端跨域接入请求;
其中,IDL1表示逻辑域的中心节点;
步骤1.5:IDG2向逻辑域Ⅰ中心节点IDL1发送终端跨域接入请求
中心服务器IDG2收到接入请求的消息后,根据消息内容转发终端的跨域接入请求给逻辑域的中心节点IDL1;
IDG2→IDL1:((IDT||True)SKG2)PubL1||Req 公式(1.5)
公式(1.5)含义:PKG2域中心服务器IDG2向逻辑域Ⅰ的中心节点IDL1发送终端跨域接入请求;
其中,SKG2表示PKG2域的中心服务器IDG2的CA私钥,PubL1表示逻辑域Ⅰ的中心节点IDL1的CA公钥;
步骤1.6:逻辑域Ⅰ中心节点查验终端身份并返回认证结果
逻辑域Ⅰ的中心节点IDL1收到跨域接入请求,并得知工业终端的身份真实可靠,允许终端加入逻辑域,返回跨域接入成功的消息;
IDL1→IDG2:(IDT||IDL1||success||KeyT-L1)KeyG2-L1公式(1.6)
公式(1.6)含义:逻辑域Ⅰ的中心节点IDL1向位置域中心服务器IDG2发送认证结果;
其中success表示认证通过,KeyT-L1,表示终端IDT与逻辑域中心节点IDL1的会话密钥,KeyG2-L1 ,表示PKG2域中心服务器IDG2与逻辑域中心节点IDL1的会话密钥;
步骤1.7:工业终端用会话密钥应答逻辑域Ⅰ中心节点IDL1
工业终端跨域接入通过的消息通过原路返回,直至终端收到确认消息,最后终端IDT发送确认信息给逻辑域Ⅰ的中心节点IDL1;
IDT→IDL1:(IDT||successed||IDL1)KeyT-L1 公式(1.7)公式(1.7)含义:工业终端IDT用收到的会话密钥发送确认结果给逻辑域Ⅰ中心节点IDL1;
步骤1.8:逻辑域Ⅰ的中心节点更新终端认证列表
逻辑域Ⅰ的中心节点IDL1收到终端的确认消息,更新终端认证列表;
综上,工业终端IDT接入逻辑域Ⅰ成功;
阶段二:注册并已认证的工业终端跨逻辑域认证
步骤2.1:工业终端向逻辑域Ⅰ的中心节点发送跨域请求
某一时刻,位于逻辑域Ⅰ中的工业终端设备IDT想要跨域至逻辑域Ⅱ,首先向其所在逻辑域的中心节点IDL1发出跨域请求,请求信息包括:终端IDT标识、逻辑域Ⅱ的中心节点IDL2的标识;
IDT→IDL1:(IDT||IDL2)KeyT-L1||Req 公式(2.1)
公式(2.1)含义:工业终端IDT向逻辑域Ⅰ的中心节点IDL1发送跨域请求
其中IDT表示终端设备标识,IDL2表示终端请求接入的逻辑域Ⅱ的中心节点标识,KeyT-L1表示终端IDT与逻辑域Ⅰ的中心节点IDL1间的会话密钥,Req表示跨域请求,(IDT||IDL2)KeyT-L1表示用会话密钥加密数据;
步骤2.2:逻辑域Ⅰ的中心节点向位置域中心服务器发送跨域请求
逻辑域Ⅰ的中心节点收到工业终端IDT的跨域请求后,发送跨域请求以及终端的身份真实性标识给本域的中心服务器IDG2;
IDL1→IDG2:((IDT||IDL2||True)SKL1)PubG2 公式(2.2)
公式(2.2)含义:逻辑域Ⅰ的中心节点IDL1向本域的中心服务器IDG2发送终端跨域请求;
其中True表示工业终端的身份真实,PubG2表示PKG2域的中心服务器IDG2的CA公钥,SKL1表示逻辑域Ⅰ的中心节点IDL1的CA私钥;
步骤2.3:IDG2查询逻辑域Ⅱ中心节点所在域并发送终端跨域请求
PKG2中心服务器IDG2收到信息,查询得到逻辑域Ⅱ的中心节点所在的安全域PKG3,将工业终端跨域信息及其身份的真实性结果发送给PKG3的中心认证服务器IDG3,请求终端的跨域接入认证;
IDG2→IDG3:((IDT||True||IDL2)SKG2)PubG3||Req 公式(2.3)
公式(2.3)含义:PKG2中心服务器IDG2向PKG3中心认证服务器IDG3发送工业终端跨域请求;
其中,(IDT||True||IDL2)SKG2表示IDG2用私钥签名数据,((IDT||True||IDL2)SKG2)PubG3表示IDG3用公钥加密括号内的数据;
步骤2.4:IDG3向逻辑域Ⅱ中心节点IDL2发送工业终端跨域接入请求
PKG3的中心认证服务器IDG3收到消息,获得终端请求接入的逻辑域Ⅱ的中心节点IDL2的标识,将跨域消息转发给中心节点IDL2;
IDG3→IDL2:((IDT||True)SKG3)PubL2||Req 公式(2.4)
公式(2.4)含义:PKG3的中心认证服务器IDG3向逻辑域Ⅱ中心节点IDL2发送工业终端跨域接入请求数据;
步骤2.5:逻辑域Ⅱ中心节点IDL2查验工业终端身份并返回认证结果
IDL2收到跨域信息,了解工业终端的身份真实可靠,则通过终端的跨域接入请求,并返回给终端认证通过的信息;
IDL2→IDG3:(IDT||IDL2||success||KeyT-L2)KeyG3-L2 公式(2.5)
公式(2.5)含义:逻辑域Ⅱ的中心节点IDL2查验终端身份并返回认证结果;
其中success表示终端的信息真实,KeyT-L2表示终端IDT与逻辑域Ⅱ的中心节点IDL2间的会话密钥;
步骤2.6:逻辑域Ⅰ中心节点IDL1向工业终端返回跨域认证结果
IDL2返回给工业终端认证通过的信息经由IDG3传给IDG2,再由IDG2返回给IDL1,最后IDL1将消息通知给终端IDT并更新其终端列表;
IDL1→IDT:(IDT||IDL2 ||success)KeyT-L1 公式(2.6)
公式(2.6)含义:逻辑域Ⅰ中心节点IDL1向终端IDT返回跨域认证结果;
步骤2.7:工业终端用会话密钥应答逻辑域Ⅱ中心节点IDL2
工业终端IDT收到跨域接入通过的信息,得到与IDL2的会话密钥,发送确认信息给逻辑域Ⅱ的中心节点IDL2;
IDT→IDL2:(IDT||Resuccess||IDL2)KeyT-L2 公式(2.7)
公式(2.7)含义:终端IDT用收到的会话密钥发送确认结果给逻辑域Ⅱ的中心节点IDL2;
其中,Resuccess表示收到认证消息的确认应答;
步骤2.8:逻辑域Ⅱ的中心节点更新终端认证列表
逻辑域Ⅱ的中心节点IDL2收到工业终端IDT的确认消信息,更新终端认证列表;综上,位于逻辑域Ⅰ的工业终端IDT成功跨域接入至逻辑域Ⅱ。
2.一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1所述的方法。
3.一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111302670.5A CN114024749B (zh) | 2021-11-05 | 2021-11-05 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111302670.5A CN114024749B (zh) | 2021-11-05 | 2021-11-05 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114024749A CN114024749A (zh) | 2022-02-08 |
CN114024749B true CN114024749B (zh) | 2022-11-29 |
Family
ID=80061403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111302670.5A Active CN114024749B (zh) | 2021-11-05 | 2021-11-05 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114024749B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
CN109861828A (zh) * | 2018-12-11 | 2019-06-07 | 全球能源互联网研究院有限公司 | 一种基于边缘计算的节点接入和节点认证方法 |
CN111835528A (zh) * | 2020-07-16 | 2020-10-27 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
WO2020220627A1 (zh) * | 2019-04-29 | 2020-11-05 | 清华大学 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789042B (zh) * | 2017-02-15 | 2019-12-31 | 西南交通大学 | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 |
CN112583596B (zh) * | 2020-06-08 | 2021-09-28 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
-
2021
- 2021-11-05 CN CN202111302670.5A patent/CN114024749B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
CN109861828A (zh) * | 2018-12-11 | 2019-06-07 | 全球能源互联网研究院有限公司 | 一种基于边缘计算的节点接入和节点认证方法 |
WO2020220627A1 (zh) * | 2019-04-29 | 2020-11-05 | 清华大学 | 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置 |
WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
CN111835528A (zh) * | 2020-07-16 | 2020-10-27 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
Non-Patent Citations (1)
Title |
---|
基于区块链技术的跨域认证方案;马晓婷等;《电子学报》;20181115(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114024749A (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107993149B (zh) | 账户信息管理方法、系统以及可读存储介质 | |
US10616243B2 (en) | Route updating method, communication system, and relevant devices | |
KR101260188B1 (ko) | 피어투피어 네트워크에 대한 분산 해시 테이블에서의 보안 노드 식별자 할당 | |
CN112953821B (zh) | 消息传输方法及装置 | |
CN107425981A (zh) | 一种基于区块链的数字证书管理方法及系统 | |
CN111275555B (zh) | 区块链交易处理方法、交易节点以及区块链系统 | |
CN112583596B (zh) | 一种基于区块链技术的完全跨域身份认证方法 | |
CN101193103B (zh) | 一种分配和验证身份标识的方法及系统 | |
CN105009509A (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
CN111262860A (zh) | 跨链模式下的身份认证方法及装置 | |
CN110958111A (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
CN107908979B (zh) | 用于在区块链中进行配置和背书的方法和电子设备 | |
CN114629720A (zh) | 一种基于区块链和Handle标识的工业互联网跨域认证方法 | |
CN116684103A (zh) | 一种基于区块链的跨域身份认证方法 | |
CN114125773A (zh) | 基于区块链和标识密码的车联网身份管理系统及管理方法 | |
CN116991936A (zh) | 基于区块链的权益凭证管理方法、装置、电子设备和介质 | |
Mu et al. | An identity privacy scheme for blockchain‐based on edge computing | |
Sadrishojaei et al. | Development of an enhanced blockchain mechanism for internet of things authentication | |
CN114024749B (zh) | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 | |
Zheng et al. | [Retracted] An Anonymous Authentication Scheme in VANETs of Smart City Based on Certificateless Group Signature | |
CN117478683A (zh) | 一种多联盟链网络的跨链数据可信迁移方法及系统 | |
CN107026853B (zh) | 安全认证方法、系统和服务器 | |
JP2024531301A (ja) | ブロックチェーンを使用したピアツーピアデータ伝送の調整 | |
CN112333172B (zh) | 签名验签方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |