CN114024766B - 一种面向边缘计算节点的零信任身份认证方法 - Google Patents

Abstract

本发明涉及一种面向边缘计算节点的零信任身份认证方法，属于计算机领域。该方法包括以下步骤：S1：系统初始化；S2：身份注册；S3：行为分析；S4：身份认证；S5：身份更新。本发明提出了一种面向工业边缘计算节点的身份认证架构，包括现场设备层、边缘层及工业云平台层；同时，工业边缘服务器对边缘计算节点的行为特征进行采集，利用采集的行为特征数据和行为分析算法判别边缘计算节点的风险等级，在身份认证的过程中根据边缘计算节点的风险等级采取不同的身份认证方法，提出一种结合行为分析算法的身份认证方法解决了集中式实体带来的单点故障问题和身份认证效率较低的问题。

Description

一种面向边缘计算节点的零信任身份认证方法

技术领域

本发明属于计算机领域，涉及一种面向边缘计算节点的零信任身份认证方法。

背景技术

工业云服务器对工业现场的海量数据进行收集、存储和分析，并为工业应用提供计算密集型服务，但由于工业网络实时计算需求的不断增加，工业云云服务器无法满足实时计算的服务需求，因此在工业网络中引入了边缘计算。工业边缘服务器在云服务器和终端设备之间，对数据进行初步分析、存储和计算等，解决了云服务器网络带宽负担大、计算响应延迟改的问题。

但是，引入边缘计算后，工业网络在边缘侧更易遭受攻击。如果恶意的或被俘获的边缘节点接入工业网络，可能导致工业生产巨大的损失。因此，在满足工业网络中边缘侧计算能力和实时响应要求的同时，确保边缘节点的安全接入是一个边缘计算安全必须要解决的问题。

安全接入即是要解决设备身份认证问题。设备交互之前需验证设备的身份，且期望不泄露设备隐私身份信息。在基于边缘计算的大规模、异构的工业网络中，传统的公钥基础设施(PKI,public key infrastructure)通过权威机构CA(Certificate Authority)为每个边缘节点分配数字证书，但这种集中式实体CA容易引发单点故障问题，在工业网络中基于PKI的身份认证难以实现。目前，边缘计算环境中基于密码学的身份认证机制研究较多，一定程度上解决了边缘计算中的身份认证问题，但基于密码学的身份认证方法大多伴随着较大的通信和计算开销。

目前，传统的身份认证技术大多采用一次认证授权，攻击者通过俘获边缘节点，冒用边缘节点的合法身份入侵网络，而零信任的核心思想是认为工业网络中的一切实体是不可信的，需要对网络中的实体的状态进行持续的监测，安全策略随实体的状态动态调整。目前，结合零信任的身份认证机制已有一些相关的研究，这些研究主要是基于信任评估机制或零知识证明机制，这些研究为可信身份认证提供了安全保障，但都依赖于集中式实体进行信任评估或作为零知识证明的集中式实体，容易引发单点故障问题。

针对工业边缘计算的环境下分布式、可信的身份认证需求，本方案提出一种面向边缘计算节点的零信任身份认证方法，在方案中利用边缘层的工业边缘服务器提供分布式、高效、低成本的身份认证服务；工业边缘服务器对边缘节点进行行为分析，判别边缘节点是否存在行为异常，根据边缘节点的行为风险等级采用不同的身份认证方式，提高身份认证的安全性。解决了传统身份认证方案集中式实体带来的单点故障问题和身份认证效率较低的问题。

发明内容

有鉴于此，本发明的目的在于提供一种面向边缘计算节点的零信任身份认证方法。

为达到上述目的，本发明提供如下技术方案：

本发明提出的基于联盟链的身份认证架构。架构共分为3层，工业云平台层、边缘层和现场设备层。工业云平台层包含工业云服务器；边缘层是工业边缘计算系统的边缘侧，包含了由工业边缘服务器组成的联盟链网络，边缘节点包括工业边缘服务器、工业边缘网关和工业控制器等；现场设备层包含工业现场设备。

1.工业云服务器(ICS,Industrial Cloud Server)：为边缘节点和工业现场设备提供资源密集型服务。工业云服务器同时加入所有的群组，从群组内的工业边缘服务器获取身份认证信息，对身份数据进行存储。

2.工业边缘服务器(IES,Industrial Edge Server)：为工业边缘网关、边缘控制器和工业现场设备提供计算、存储等服务。在边缘层的联盟链网络中担任共识节点(Sealer)，共识节点在边缘层的联盟链网络中分为主节点(Leader)和副本节点(Replica)。

a)群组(Group)：邻近的工业边缘服务器组成一个群组。一个工业边缘服务器可以同时加入多个群组。

b)主节点(Leader)：负责将交易打包成区块和区块的共识。每轮共识过程中每个群组中拥有一个Leader。

c)副本节点(Replica)：负责区块的共识，每个群组中有多个副本节点。

d)共识节点(Sealer)：主节点(Leader)和副本节点(Replica)统称为共识节点。

e)机构(Agency)：按照工业边缘服务器提供的不同服务类型，可将工业边缘服务器划分为多个机构，也可以所有节点属于同一机构。

f)分布式存储系统：在工业边缘服务器间搭建的分布式存储系统，用于链下存储节点的详细身份信息。工业边缘服务器拥有分布式存储系统读取权限。

3.工业边缘网关(IEG,Industrial Edge Gateway)：负责工业通信协议和以太网的协议转换等。

4.边缘控制器(EC,Edge Controller)：负责I/O控制等。

5.工业现场设备(IFD,Industrial Field Device)：工业现场设备通过边缘网关接入边缘层。

一种面向边缘计算节点的零信任身份认证方法，该方法包括以下步骤：

S1：系统初始化；

S2：身份注册；

S3：行为分析；

S4：身份认证；

S5：身份更新。

进一步，所述S1具体为：

S11：工业边缘服务器初始化；

工业边缘服务器在边缘层的联盟链网络中担任共识节点，IES_i为边缘层的某个工业边缘服务器，IES_i初始化首先安装联盟链客户端，然后IES_i获得联盟链节点地址BCAddr_i以及联盟链证书BCCrt_i；IES_i采用非对称加密算法，获得唯一的会话密钥对，IES_i私钥为IESkey_i，IES_i公钥为IESPK_i；IES_i被配置所属机构Agency_i，根据其所配置的机构，IES_i被配置加入的一个群组GroupID；IES_i配置完成后作为共识节点加入边缘层的联盟链网络，加入后在共识节点列表SealerList中添加该节点的BCAddr_i；IES_i完成初始化后即加入了边缘层的联盟链网络，无需进行身份注册操作；

S12：群组初始化

联盟链采用PBFT共识算法，故障节点或恶意节点称为拜占庭节点，PBFT算法的共识模型为3f+1，即超过2/3的节点的执行结果一致才能完成共识，系统最多容忍f个拜占庭节点；根据容忍拜占庭节点数f设置工业边缘服务器加入联盟链网络的数量；

群组g是一个GroupID为g的群组，其初始化过程如下：

S121：在g中选择一个IES_i，并将该IES_i所在的Agency_i作为发起群组初始化的机构，群组内的所有机构集合为{Agency₁,Agency₂,...,Agency_i,...}；

S122：所选发起群组初始化的节点IES_i收集群组内所有节点的联盟链节点地址、联盟链证书、机构、群组和对等网络P2P连接信息；P2P连接信息包括IP地址、P2P端口号和远程过程调用RPC接口信息RPCInfo；

S123：IES_i将群组中所有联盟链节点信息收集完成后，IES_i根据GroupID创建群组，并将所有节点的信息打包成群组g的起始区块；起始区块创建后不可修改，群组建成后，已有联盟链节点信息变更和新的联盟链节点的加入都将不再修改起始区块；

S124：IES_i将群组g的初始区块分发至群组g中所有的联盟链节点，包括群组g下所有的机构集合{Agency₁,Agency₂,...,Agency_i,...}的联盟链节点；群组中所有机构在拥有了群组g内所有节点的P2P连接信息，各机构通过P2P连接信息生成节点部署程序，各机构调用节点部署程序启动各机构中的联盟链节点；

S13：边缘控制器和工业边缘网关初始化

在初始化阶段，由于边缘控制器EC和工业边缘网关IEG资源受限，无法安装联盟链客户端，边缘控制器和工业边缘网关初始化在初始化阶段获得节点标识NodeID；边缘控制器和工业边缘网关使用与IES相同的非对称加密算法获得唯一的会话密钥对，边缘节点私钥Nodekey和边缘节点公钥NodePK；边缘控制器和工业边缘网关需要配置其RPC接口信息RPCInfo和所属机构Agency。

进一步，所述S2具体为：

边缘控制器和工业边缘网关加入边缘网络前必须完成身份注册；边缘控制器和工业边缘网关将身份注册请求发送至目标群组内的工业边缘服务器，工业边缘服务器作为共识节点调用身份注册智能合约将身份注册交易放入交易池，主节点从交易池中取出交易打包成区块并发起共识，最终落成包含身份注册交易的区块；预编译的身份注册的智能合约RegSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份注册智能合约地址RegSCAddr；

边缘控制器和工业边缘网关身份注册具体步骤如下：

S21：边缘控制器或工业边缘网关Node_A在进行身份注册时需要其节点标识NodeID_A、设备类型DevType_A，设备型号DevModel_A、所属机构Agency_A，Node_A远程调用接口RPC信息RPCInfo_A作为身份注册信息；

S22：Node_A的身份注册信息表示为S_r，S_r＝(NodeID_A||DevType_A||DevModel_A||Agency_A||RPCInfo_A)，其中||为连接符；Signature(·)为数字签名函数，T_r为身份注册消息时间戳，对S_r和T_r生成身份注册消息签名Sig_r＝Signature(S_r||T_r)，Node_A向IES_i发送身份注册消息M_r＝{S_r||T_r||Exfield||Sig_r}，其中Exfield为边缘节点的其他扩展信息，包括接入工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}；

S23：IES_i接收到身份注册消息后，首先验证消息格式，如果身份注册消息格式错误则丢弃该消息，否则继续验证时间戳T_r，如果消息超时则丢弃该消息，否则验证身份注册消息签名VerifySig(Sig_r)，其中VerifySig(·)为验证数字签名函数，如果验证失败则丢弃该消息；IES_i通过智能合约将边缘控制器和工业边缘网关关键身份信息存储在链上，隐私身份信息存储在链下，并将链上与链下的身份信息关联，链上数据保证关键身份信息不可篡改，隐私身份信息存储在链下，防止隐私身份信息泄露；

S24：链下身份信息存储；IES_i会将在分布式存储系统中以Merkel树结构存储对Node_A的注册身份信息进行存储，存储的信息包括NodeID_A、DevType_A、DevModel_A、Agency_A和RPCInfo_A，其存储地址为StoreAddr_A，Merkel树中叶子节点存储边缘控制器或工业边缘网关的身份信息数据，非叶子节点则存储其子节点的Hash值，身份信息Merkel树根节点为MR；

S25：IES_i调用身份注册智能合约RegSC(RegSCAddr,M_r)发起Node_A身份注册交易

S251：边缘控制器的

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)和StoreAddr_A，其中Hash(·)为Hash函数；

S252：工业边缘网关

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)、StoreAddr_A和接入该工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}；

S26：身份信息交易

的落成；IES_i将/>

放入群组的交易池中；主节点从交易池中取出身份注册交易/>

发起共识，联盟链网络对身份注册交易完成共识后，系统将在账本中落成一个新的区块Block，在区块Block中记录身份注册交易/>

IES_i将区块信息返回给Node_A；

S27：Node_A注册完成后，在本地记录自身身份信息区块Block及该区块的哈希值BlockHash，并按照分布式存储系统中的Merkel树结构存储自身的身份信息；并在本地记录在边缘层的联盟链网络中身份注册交易时间T_tx，身份信息的有效期T_valid。

进一步，所述S3具体为：

S31：特征值提取；

群组内的所有工业边缘服务器收集边缘节点的行为特征数据，特征数据的收集周期为t；对边缘节点身份认证前，工业边缘服务器收集的边缘节点行为特征数据包括：

Feature1：边缘节点在t内的身份认证失败次数Num_af；

Feature2：边缘节点在t内的其他边缘节点对其进行身份认证成功率Rate_amf；

Feature3：边缘节点在t内的对其他边缘节点身份认证成功率Rate_auf；

Feature4：边缘节点在t内的重新接入边缘层的次数Num_ac；

Feature5：边缘节点在t内发起身份信息更新交易次数Num_update；

Feature6：边缘节点在t内的访问工业边缘服务器资源次数Num_sr；

Feature7：边缘节点在t内发送的身份信息报文数量Num_msgi；

Feature8：边缘节点在t内发送的业务报文数量Num_msgb；

特征数据的收集具体方法如下：

S311：Feature1、Feature2和Feature3：边缘节点的身份认证失败次数Feature1包括一个边缘节点对其他边缘节点身份认证失败次数Num_auf、其他节点对其进行身份认证失败的次数Num_amf，二者的和为Num_af；还包括总的认证次数Num_aus。边缘节点完成身份认证后，工业边缘服务器根据身份认证结果对该边缘节点的特征值进行更新；

Feature2其他节点对边缘节点进行身份认证成功率

Feature3对其他边缘节点身份认证成功率

S312：Feature4：边缘节点在t内的重新接入边缘层的次数Num_ac，当边缘节点反复接入边缘层的联盟链网络时，可能会带来安全风险；在t内每当边缘节点重新接入边缘层的联盟链网络，工业边缘服务器将特征值Num_ac+1；

S313：Feature5：边缘节点在t内发起身份信息更新交易次数Num_update，在t内每当边缘节点发起一次身份信息更新交易，Leader将特征值Num_update+1；

S314：Feature6：边缘节点在t内的访问工业边缘服务资源次数Num_sr，在t内每当边缘节点访问工业边缘服务器的资源和请求计算服务，工业边缘服务器在本地记录信息Num_sr；

S315：Feature7：边缘节点发送的身份信息报文数量Num_msgi，工业边缘服务器在本地记录与边缘节点间发送的身份信息相关的报文数量，包括身份认证、身份更新过程中的相关报文；

S316：Feature8：边缘节点发送的业务报文数量Num_msgb，工业边缘服务器在本地记录与边缘节点间发送的业务相关的报文数量，包括传感数据上传、请求计算服务和访问工业服务器资源过程中的报文；

S32：行为分析算法

行为分析算法采用分类器模型，对采集到的边缘节点特征值进行分类，分类器将边缘节点的行为划分为3类，即低风险、中风险和高风险；在边缘节点身份认证和身份更新过程中，根据边缘节点的风险等级，工业边缘服务器将会采取不同的措施；

算法初始化阶段，设群组内有y个工业边缘服务器节点，主节点将行为分析模型分发至群组内的工业边缘服务器j∈{1,2,...,y-1}，主节点随机生成模型参数

主节点配置固定参数m，表示主节点每轮收集的梯度数量；FL为模型的损失函数，t轮的模型参数为θ^t，梯度g^t是损失函数FL在θ^t的变化率；

行为分析的训练更新过程如下：

S321：主节点将在t轮的模型参数θ^t发送至群组内的工业边缘服务器j；

S322：工业边缘服务器j在周期t采集的行为数据进行标准化处理，将特征向量中的每个特征缩放至区间[0,1]，生成行为数据集为

S323：工业边缘服务器j通过

计算得到的局部梯度为/>

然后边缘服务器j将局部梯度/>

发送至主节点；

S324：主节点将收集的数据生成梯度集合G，若梯度集合G中梯度数量小于m，则继续等待其他边缘服务器的梯度值，若G中梯度数量大于等于m，主节点通过梯度过滤器RD对G进行处理，过滤异常的梯度数据，减少拜占庭节点对于行为分析模型训练的影响；梯度过滤器RD具体步骤如下：

S3241：计算集合G中梯度的欧氏范数，||·||表示梯度的欧式范数，其定义为

S3242：找到G中第f大的欧氏范数的梯度x，其中f表示群组可容忍拜占庭节点数；

S3243：丢弃欧式范数前f大的梯度；检查G中的每个梯度，如果

则丢弃梯度/>

否则将梯度/>

添加到G′中，G′；返回过滤后的梯度集合G′；

S325：主节点聚合梯度数据，根据过滤后的数据得到g^t←∑_g′∈G′g′；主节点使用SGD方法更新参数θ^t；θ^t+1＝θ^t-ηg^t，其中η为算法训练的步长。

进一步，所述S4具体为：

预编译的身份认证的智能合约AuthenSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份认证智能合约地址AuthenSCAddr；身份认证智能合约通过BlockHash读取账本上指定区块的交易数据，群组内的工业边缘服务器都有权限调用身份认证智能合约；

边缘节点之间相互认证：

边缘节点Node_A和Node_B，当Node_A需要对Node_B进行身份认证时，需要通过以下步骤完成认证：

S41：Node_B首先计算其自身身份信息Hash值Digest′_B＝Hash(S_r)，然后，Node_B计算其节点标识NodeID_B和其所属机构Agency_B的稀疏默克尔多值证明(Sparse Merklemultiproofs)proof_B，proof_B的计算需要Node_B的身份信息Merkel树的非叶子节点

以及Node_B的身份注册信息，Node_B的证明/>

Node_B生成认证消息签名Sig_au＝Signature(proof_B||T_au)，T_au为身份认证消息时间戳，发送身份认证消息M_au＝{proof_B||T_au||Sig_au}，BlockHash_B为Node_B的身份信息区块哈希；

S42：Node_A接收到Node_B的身份认证消息M_au后，首先验证认证消息格式，若身份认证消息格式错误则丢弃该消息，否则对M_au的时间戳T_au进行验证，若消息超时则丢弃该消息，否则验证M_au的消息签名VerifySig(Sig_au)，若验证失败则丢弃该认证消息，若验证成功Node_A向群组内的IES_i发起验证请求M_v＝{proof_B||T_v||Sig_v}，Node_A的验证请求消息签名Sig_v＝Signature(proof_B||T_v)；

S43：当群组内的IES_i收到验证请求M_v时，验证请求消息格式，若验证请求消息格式错误则丢弃该消息，否则继续验证时间戳T_v，若消息超时则丢弃该消息，否则验证M_v的消息签名VerifySig(Sig_v)，若验证失败，则丢弃该消息；

S44：调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_B)；AuthenSC读取Node_B在账本上的身份信息交易Tx_B，IES_i会获得Node_B在账本上的身份信息交易Tx_B，信息包括Node_B的T_tx、T_valid、Digest_B和StoreAddr_B；

S45：调用行为分析模型，对边缘节点Node_B进行行为分析，根据边缘节点行为分析算法，Node_B会分为高风险、中风险和低风险3个风险等级；根据Node_B的风险等级具体的处理方式如下：

S451：若Node_B为高风险边缘节点，则返回验证失败；

S452：若Node_B为低风险边缘节点，IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败；若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则认证成功；

S453：若Node_B为中风险边缘节点，首先IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败；若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则根据Node_B的身份注册交易信息中的StoreAddr_B，读取Node_B的身份信息Merkel树根值MR_B，并根据M_v中的proof_B计算证明结果MR′_B，MR′_B计算公式如式4-1所示，式中+表示合并两个字符串；对比MR_B与MR′_B，若二者一致，则认证成功；若二者不一致，则认证失败；

S46：IES_i返回验证响应消息

为IES_i的验证结果，/>

为验证响应消息签名；

S47：Node_A将收到的验证响应后，验证时间戳T_vr，若消息超时则丢弃该消息，否则验证响应消息签名VerifySig(Sig_vr)，若验证消息签名失败则丢弃该验证响应，若验证成功则将

加入验证响应消息列表；若Node_A的验证响应消息列表中接收到f+1个验证成功的result时，Node_B认证成功；若Node_A的验证响应消息列表中接收到f+1个验证失败的result时,Node_B认证失败。

进一步，所述S5具体为：

当边缘控制器、工业边缘网关满足以下任一条件时，边缘控制器和工业边缘网关对自身的身份信息进行更新；

1)当边缘控制器或工业边缘网关包含自身身份信息的交易将要过期时，包括身份注册交易、身份更新交易；

2)当边缘控制器或工业边缘网关远程调用接口信息RPCInfo重新配置；

3)当边缘控制器或工业边缘网关由于遭受网络攻击和电源耗尽原因需要重新接入边缘层的联盟链网络时；

预编译的身份更新的智能合约UpdateSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器获得身份更新智能合约地址UpdateSCAddr；调用身份更新智能合约将新的身份信息交易发起共识，将交易记录在账本中，并在分布式系统中删除原身份信息，存储新的身份信息；身份更新智能合约仅限工业边缘服务器调用；

边缘节点完成以下步骤进行身份信息更新；

S51：边缘节点Node_A，Node_A原身份证明proof_A，原身份注册交易所在区块Hash值BlockHash_A，原身份信息Hash值Digest_A，其新的身份信息为S_r′＝(NodeID′||DevType′||DevModel′||Agency′||RPCInfo′||Exfield′)；Node_A向IES_i发送身份更新消息M_up＝{proof_A||S′_r||T_up||Sig_up}，其中T_up为身份更新消息时间戳，Sig_up＝Signature(S_r′||T_up)为身份更新消息签名；

S52：IES_i收到Node_A的身份更新消息M_up后，IES_i验证消息格式，若验证失败则丢弃该消息，否则验证M_up的消息签名VerifySig(Sig_up)，若验证失败则丢弃该消息，否则IES_i调用身份分析算法，若Node_A为高风险节点，则身份更新失败；

S53：调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_A)对Node_A的身份进行认证，若认证失败，IES_i则丢弃该消息；若认证成功，IES_i则调用身份更新智能合约UpdateSC(UpdateSCAddr,S′_r)；

S54：通过身份更新智能合约UpdateSC，IES_i在分布式存储系统中以Merkel树结构存储Node_A新的身份信息，存储地址为StroeAddr′_A，删除StroeAddr_A的原身份信息；

S55：IES_i生成Node_A的身份信息更新交易Tx_up＝{TxNum||T_tx||T′_valid||Digest_new||StoreAddr′_A||Exfield′}，其中Digest_new＝Hash(S′_r)，IES_i将Tx_up放入群组的交易池，主节点取出交易并发起共识，在群组内完成共识后，群组内的工业边缘服务器在账本中落成一个新的区块Block_new，Block_new中包含Tx_up；

S56：Node_A从IES_i获取新的区块Block_new信息；Node_A更新BlockHash_A为Block_new的Hash值BlockHash′_A；更新本地身份信息Merkel树；更新身份信息交易时间

更新身份信息有效期/>

本发明的有益效果在于：本发明提出了一种面向工业边缘节点的身份认证架构，包括现场设备层、边缘层及工业云平台层；同时，工业边缘服务器对边缘计算节点的行为特征进行采集，利用采集的行为特征数据和行为分析算法判别边缘计算节点的风险等级，在身份认证的过程中根据边缘计算节点的风险等级采取不同的身份认证方法，提出一种结合行为分析算法的身份认证方法解决了集中式实体带来的单点故障问题和身份认证效率较低的问题。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为基于联盟链的身份认证架构图；

图2为边缘节点身份注册流程图；

图3为EC和IEG身份信息存储结构；

图4为边缘节点之间相互认证流程；

图5为边缘节点身份信息更新。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

本发明提出的基于联盟链的身份认证架构如图1所示。架构共分为3层，工业云平台层、边缘层和现场设备层。工业云平台层包含工业云服务器；边缘层是工业边缘计算系统的边缘侧，包含了由工业边缘服务器组成的联盟链网络，边缘节点包括工业边缘服务器、工业边缘网关和工业控制器等；现场设备层包含工业现场设备。

1.工业云服务器(ICS,Industrial Cloud Server)：为边缘节点和工业现场设备提供资源密集型服务。工业云服务器同时加入所有的群组，从群组内的工业边缘服务器获取身份认证信息，对身份数据进行存储。

2.工业边缘服务器(IES,Industrial Edge Server)：为工业边缘网关、边缘控制器和工业现场设备提供计算、存储等服务。在边缘层的联盟链网络中担任共识节点(Sealer)，共识节点在边缘层的联盟链网络中分为主节点(Leader)和副本节点(Replica)。

a)群组(Group)：邻近的工业边缘服务器组成一个群组。一个工业边缘服务器可以同时加入多个群组。

b)主节点(Leader)：负责将交易打包成区块和区块的共识。每轮共识过程中每个群组中拥有一个Leader。

c)副本节点(Replica)：负责区块的共识，每个群组中有多个副本节点。

d)共识节点(Sealer)：主节点(Leader)和副本节点(Replica)统称为共识节点。

e)机构(Agency)：按照工业边缘服务器提供的不同服务类型，可将工业边缘服务器划分为多个机构，也可以所有节点属于同一机构。

f)分布式存储系统：在工业边缘服务器间搭建的分布式存储系统，用于链下存储节点的详细身份信息。工业边缘服务器拥有分布式存储系统读取权限。

3.工业边缘网关(IEG,Industrial Edge Gateway)：负责工业通信协议和以太网的协议转换等。

4.边缘控制器(EC,Edge Controller)：负责I/O控制等。

5.工业现场设备(IFD,Industrial Field Device)：工业现场设备通过边缘网关接入边缘层。

身份认证方案分为系统初始化注册、行为分析算法、认证、更新。具体过程如下：

一、系统初始化

1.工业边缘服务器初始化

工业边缘服务器在边缘层的联盟链网络中担任共识节点(Sealer)，IES_i为边缘层的某个工业边缘服务器，IES_i初始化首先需要安装联盟链客户端，安装完成联盟链客户端后，IES_i将获得联盟链节点地址BCAddr_i，以及联盟链证书BCCrt_i。IES_i采用一种非对称加密算法，如ECC(Elliptic Curve Cryptography)算法，获得唯一的会话密钥对，IES_i私钥为IESkey_i，IES_i公钥为IESPK_i。然后，IES_i被配置了所属机构Agency_i,根据其所配置的机构，最后IES_i将被配置加入的一个群组GroupID。IES_i配置完成后作为共识节点(Sealer)加入边缘层的联盟链网络，加入后在共识节点列表SealerList中添加该节点的BCAddr_i。IES_i完成初始化后就加入了边缘层的联盟链网络，无需进行身份注册操作。

2.群组初始化

联盟链通常采用PBFT(Practical Byzantine Fault Tolerance)共识算法，故障节点或恶意节点称为拜占庭节点，PBFT算法的共识模型为3f+1，即超过2/3的节点的执行结果一致才能完成共识，系统最多可容忍f个拜占庭节点。因此通常根据容忍拜占庭节点数f设置工业边缘服务器加入联盟链网络的数量。

群组g是一个GroupID为g的群组，其初始化过程如下：

(1)在g中选择一个IES_i，并将该IES_i所在的Agency_i作为发起群组初始化的机构，群组内的所有机构集合为{Agency₁,Agency₂,...,Agency_i,...}。

(2)所选发起群组初始化的节点IES_i收集群组内所有节点的联盟链节点地址、联盟链证书、机构、群组和对等网络P2P(Peer to Peer)连接信息。P2P连接信息包括IP地址、P2P端口号和远程过程调用RPC(Remote Procedure Call)接口信息RPCInfo。具体收集的节点信息如表1所示。

表1IES_i收集的联盟链节点信息

(3)IES_i将群组中所有联盟链节点信息收集完成后，IES_i根据GroupID创建群组，并将所有节点的信息打包成群组g的起始区块。起始区块创建后不可修改，群组建成后，已有联盟链节点信息变更和新的联盟链节点的加入都将不再修改起始区块。

(4)IES_i将群组g的初始区块分发至群组g中所有的联盟链节点，包括群组g下所有的机构集合{Agency₁,Agency₂,...,Agency_i,...}的联盟链节点。群组中所有机构在拥有了群组g内所有节点的P2P连接信息，各机构通过P2P连接信息生成节点部署程序，各机构调用节点部署程序启动各机构中的联盟链节点。

3.边缘控制器和工业边缘网关初始化

在初始化阶段，由于边缘控制器(EC)和工业边缘网关(IEG)资源受限，无法安装联盟链客户端，边缘控制器和工业边缘网关初始化在初始化阶段获得节点标识NodeID。边缘控制器和工业边缘网关使用与IES相同的非对称加密算法获得唯一的会话密钥对，边缘节点私钥Nodekey和边缘节点公钥NodePK。边缘控制器和工业边缘网关需要配置其RPC接口信息RPCInfo和所属机构Agency。

二、身份注册

边缘控制器和工业边缘网关等加入边缘网络前必须完成身份注册。边缘控制器和工业边缘网关将身份注册请求发送至目标群组内的工业边缘服务器，工业边缘服务器作为共识节点调用身份注册智能合约将身份注册交易放入交易池，主节点从交易池中取出交易打包成区块并发起共识，最终落成包含身份注册交易的区块。预编译的身份注册的智能合约RegSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份注册智能合约地址RegSCAddr。

边缘控制器和工业边缘网关身份注册步骤如下。

1)边缘控制器或工业边缘网关Node_A在进行身份注册时需要其节点标识NodeID_A、设备类型DevType_A，设备型号DevModel_A、所属机构Agency_A，Node_A远程调用接口RPC信息RPCInfo_A作为身份注册信息。

2)上述Node_A的身份注册信息表示为S_r S_r＝(NodeID_A||DevType_A||DevModel_A||Agency_A||RPCInfo_A)，其中||为连接符。Signature(·)为数字签名函数，T_r为身份注册消息时间戳，对S_r和T_r生成身份注册消息签名Sig_r＝Signature(S_r||T_r),Node_A向IES_i发送身份注册消息M_r＝{S_r||T_r||Exfield||Sig_r}，其中Exfield为边缘节点的其他扩展信息，如接入工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}，如图2所示。

3)IES_i接收到身份注册消息后，首先验证消息格式，如果身份注册消息格式错误则丢弃该消息，否则继续验证时间戳T_r，如果消息超时则丢弃该消息，否则验证身份注册消息签名VerifySig(Sig_r)，其中VerifySig(·)为验证数字签名函数，如果验证失败则丢弃该消息。IES_i通过智能合约将边缘控制器和工业边缘网关关键身份信息存储在链上，隐私身份信息存储在链下，并将链上与链下的身份信息关联，链上数据保证关键身份信息不可篡改，隐私身份信息存储在链下，防止隐私身份信息泄露。

4)链下身份信息存储。IES_i会将在分布式存储系统中以Merkel树结构存储对Node_A的注册身份信息进行存储，存储的信息包括NodeID_A、DevType_A、DevModel_A、Agency_A和RPCInfo_A，其存储地址为StoreAddr_A，具体结构如图3所示，Merkel树中叶子节点存储边缘控制器或工业边缘网关的身份信息数据，非叶子节点则存储其子节点的Hash值，身份信息Merkel树根节点为MR。

5)IES_i调用身份注册智能合约RegSC(RegSCAddr,M_r)发起Node_A身份注册交易

交易内容如表2所示。其中“-”表示为空。

表2身份注册交易结构

I.边缘控制器的

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)和StoreAddr_A，其中Hash(·)为Hash函数。

ii.工业边缘网关

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)、StoreAddr_A和接入该工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}。

6)身份信息交易

的落成。IES_i将/>

放入群组的交易池中。主节点从交易池中取出身份注册交易/>

发起共识，联盟链网络对身份注册交易完成共识后，系统将在账本中落成一个新的区块Block，在区块Block中记录身份注册交易/>

IES_i将区块信息返回给Node_A。

7)Node_A注册完成后，在本地记录自身身份信息区块Block及该区块的哈希值BlockHash，并按照分布式存储系统中的Merkel树结构存储自身的身份信息。并在本地记录在边缘层的联盟链网络中身份注册交易时间T_tx，身份信息的有效期T_valid。

三、行为分析算法

1.特征值提取

群组内的所有工业边缘服务器收集边缘节点的行为特征数据，特征数据的收集周期为t。对边缘节点身份认证前，工业边缘服务器收集的边缘节点行为特征数据包括：

Feature1:边缘节点在t内的身份认证失败次数Num_af；

Feature2:边缘节点在t内的其他边缘节点对其进行身份认证成功率Rate_amf；

Feature3:边缘节点在t内的对其他边缘节点身份认证成功率Rate_auf；

Feature4:边缘节点在t内的重新接入边缘层的次数Num_ac；

Feature5:边缘节点在t内发起身份信息更新交易次数Num_update；

Feature6:边缘节点在t内的访问工业边缘服务器资源次数Num_sr；

Feature7:边缘节点在t内发送的身份信息报文数量Num_msgi；

Feature8边缘节点在t内发送的业务报文数量Num_msgb。

上述特征的收集具体方法如下：

1)Feature1、Feature2和Feature3

边缘节点的身份认证失败次数Feature1包括一个边缘节点对其他边缘节点身份认证失败次数Num_auf、其他节点对其进行身份认证失败的次数Num_amf，二者的和为Num_af；还包括总的认证次数Num_aus。

Feature2其他节点对边缘节点进行身份认证成功率

Feature3对其他边缘节点身份认证成功率

2)Feature4

边缘节点在t内的重新接入边缘层的次数Num_ac，当边缘节点反复接入边缘层的联盟链网络时，可能会带来安全风险。在t内每当边缘节点重新接入边缘层的联盟链网络，工业边缘服务器将特征值Num_ac+1。边缘节点完成身份认证后，工业边缘服务器根据身份认证结果对该边缘节点的特征值进行更新。

3)Feature5

边缘节点在t内发起身份信息更新交易次数Num_update，在t内每当边缘节点发起一次身份信息更新交易，Leader将特征值Num_update+1。

4)Feature6

边缘节点在t内的访问工业边缘服务资源次数Num_sr，在t内每当边缘节点访问工业边缘服务器的资源、请求计算服务等，工业边缘服务器在本地记录信息Num_sr。

5)Feature7

边缘节点发送的身份信息报文数量Num_msgi，工业边缘服务器在本地记录与边缘节点间发送的身份信息相关的报文数量，主要包括身份认证、身份更新过程中的相关报文。

6)Feature8

边缘节点发送的业务报文数量Num_msgb，工业边缘服务器在本地记录与边缘节点间发送的业务相关的报文数量，主要包括但不限于传感数据上传、请求计算服务、访问工业服务器资源等过程中的报文。

2.行为分析算法

行为分析算法主要采用分类器模型，对采集到的边缘节点特征值进行分类，分类器可将边缘节点的行为划分为3类，低风险，中风险和高风险。在边缘节点身份认证和身份更新过程中，根据边缘节点的风险等级，工业边缘服务器将会采取不同的措施。

算法初始化阶段，设群组内有y个工业边缘服务器节点，主节点将行为分析模型分发至群组内的工业边缘服务器j∈{1,2,...,y-1}，主节点随机生成模型参数

主节点配置固定参数m，表示主节点每轮收集的梯度数量。FL为模型的损失函数，t轮的模型参数为θ^t，梯度g^t是损失函数FL在θ^t的变化率。

行为分析的训练更新过程如下：

1.主节点将在t轮的模型参数θ^t发送至群组内的工业边缘服务器j。

2.工业边缘服务器j在周期t采集的行为数据进行标准化处理，将特征向量中的每个特征缩放至区间[0,1]，生成行为数据集为

3.工业边缘服务器j通过

计算得到的局部梯度为/>

然后边缘服务器j将局部梯度/>

发送至主节点。

4.主节点将收集的数据生成梯度集合G，若梯度集合G中梯度数量小于m，则继续等待其他边缘服务器的梯度值，若G中梯度数量大于等于m，主节点通过梯度过滤器RD对G进行处理，过滤异常的梯度数据，减少拜占庭节点对于行为分析模型训练的影响。梯度过滤器RD具体步骤如下：

(1)计算集合G中梯度的欧氏范数，||·||表示梯度的欧式范数，其定义为

(2)找到G中第f大的欧氏范数的梯度x，其中f表示群组可容忍拜占庭节点数。

(3)丢弃欧式范数前f大的梯度。检查G中的每个梯度，如果

则丢弃梯度

否则将梯度/>

添加到G′中，G′。返回过滤后的梯度集合G′。

5.主节点聚合梯度数据，根据过滤后的数据得到g^t←∑_g′∈G′g′。主节点使用SGD方法更新参数θ^t。θ^t+1＝θ^t-ηg^t，其中η为算法训练的步长。

四、身份认证

预编译的身份认证的智能合约AuthenSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份认证智能合约地址AuthenSCAddr。身份认证智能合约通过BlockHash读取账本上指定区块的交易数据，群组内的工业边缘服务器都有权限调用身份认证智能合约。

1.边缘节点之间相互认证

边缘节点Node_A和Node_B，当Node_A需要对Node_B进行身份认证时，需要通过以下步骤完成认证，认证的流程如图4所示。

1)Node_B首先计算其自身身份信息Hash值Digest′_B＝Hash(S_r)，然后，Node_B计算其节点标识NodeID_B和其所属机构Agency_B的稀疏默克尔多值证明(Sparse Merklemultiproofs)proof_B，proof_B的计算需要Node_B的身份信息Merkel树的非叶子节点

以及Node_B的身份注册信息，Node_B的证明/>

Node_B生成认证消息签名Sig_au＝Signature(proof_B||T_au)，T_au为身份认证消息时间戳，发送身份认证消息M_au＝{proof_B||T_au||Sig_au}，BlockHash_B为Node_B的身份信息区块哈希。

2)Node_A接收到Node_B的身份认证消息M_au后，首先验证认证消息格式，若身份认证消息格式错误则丢弃该消息，否则对M_au的时间戳T_au进行验证，若消息超时则丢弃该消息，否则验证M_au的消息签名VerifySig(Sig_au)，若验证失败则丢弃该认证消息，若验证成功Node_A向群组内的IES_i发起验证请求M_v＝{proof_B||T_v||Sig_v}，Node_A的验证请求消息签名Sig_v＝Signature(proof_B||T_v)。

3)当群组内的IES_i收到验证请求M_v时，验证请求消息格式，若验证请求消息格式错误则丢弃该消息，否则继续验证时间戳T_v，若消息超时则丢弃该消息，否则验证M_v的消息签名VerifySig(Sig_v)，若验证失败，则丢弃该消息。

4)调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_B)。AuthenSC读取Node_B在账本上的身份信息交易Tx_B，IES_i会获得Node_B在账本上的身份信息交易Tx_B,信息包括Node_B的T_tx、T_valid、Digest_B和StoreAddr_B。

5)调用行为分析模型，对边缘节点Node_B进行行为分析，根据边缘节点行为分析算法，Node_B会分为高风险、中风险和低风险3个风险等级。根据Node_B的风险等级具体的处理方式如下：

i.若Node_B为高风险边缘节点，则返回验证失败。

ii若Node_B为低风险边缘节点，IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败。若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则认证成功。

iii.若Node_B为中风险边缘节点，首先IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败。若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则根据Node_B的身份注册交易信息中的StoreAddr_B，读取Node_B的身份信息Merkel树根值MR_B，并根据M_v中的proof_B计算证明结果MR′_B,MR′_B计算公式如式(1)所示，式中+表示合并两个字符串。对比MR_B与MR′_B，若二者一致，则认证成功；若二者不一致，则认证失败。

6)IES_i返回验证响应消息

为IES_i的验证结果，/>

为验证响应消息签名。

7)Node_A将收到的验证响应后，验证时间戳T_vr，若消息超时则丢弃该消息，否则验证响应消息签名VerifySig(Sig_vr)，若验证消息签名失败则丢弃该验证响应，若验证成功则将result_IESi加入验证响应消息列表。具体如表3所示，若Node_A的验证响应消息列表中接收到f+1个验证成功的result时，Node_B认证成功；若Node_A的验证响应消息列表中接收到f+1个验证失败的result时,Node_B认证失败。

表3验证响应消息列表

五、身份更新

1.边缘控制器、工业边缘网关身份更新

当边缘控制器、工业边缘网关满足以下任一条件时，边缘控制器和工业边缘网关需要对自身的身份信息进行更新。

i.当边缘控制器或工业边缘网关包含自身身份信息的交易将要过期时，如身份注册交易、身份更新交易。

ii当边缘控制器或工业边缘网关远程调用接口信息RPCInfo重新配置。

iii.当边缘控制器或工业边缘网关由于遭受网络攻击、电源耗尽等原因需要重新接入边缘层的联盟链网络时。

预编译的身份更新的智能合约UpdateSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份更新智能合约地址UpdateSCAddr。调用身份更新智能合约将新的身份信息交易发起共识，将交易记录在账本中，并在分布式系统中删除原身份信息，存储新的身份信息。身份更新智能合约仅限工业边缘服务器调用。

边缘节点完成以下步骤进行身份信息更新。身份信息更新具体流程如图5所示。

1)边缘节点Node_A，Node_A原身份证明proof_A,原身份注册交易所在区块Hash值BlockHash_A，原身份信息Hash值Digest_A，其新的身份信息为S_r′＝(NodeID′||DevType′||DevModel′||Agency′||RPCInfo′||Exfield′)。Node_A向IES_i发送身份更新消息M_up＝{proof_A||S′_r||T_up||Sig_up}，其中T_up为身份更新消息时间戳，Sig_up＝Signature(S_r′||T_up)为身份更新消息签名。

2)IES_i收到Node_A的身份更新消息M_up后，IES_i验证消息格式，若验证失败则丢弃该消息，否则验证M_up的消息签名VerifySig(Sig_up)，若验证失败则丢弃该消息，否则IES_i调用身份分析算法，若Node_A为高风险节点，则身份更新失败。

3)调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_A)对Node_A的身份进行认证，若认证失败，IES_i则丢弃该消息；若认证成功，IES_i则调用身份更新智能合约UpdateSC(UpdateSCAddr,S′_r)。

4)通过身份更新智能合约UpdateSC，IES_i在分布式存储系统中以Merkel树结构存储Node_A新的身份信息，存储地址为StroeAddr′_A，删除StroeAddr_A的原身份信息。

5)IES_i生成Node_A的身份信息更新交易Tx_up＝{TxNum||T_tx||T′_valid||Digest_new||StoreAddr′_A||Exfield′}，其中Digest_new＝Hash(S′_r)，IES_i将Tx_up放入群组的交易池，主节点取出交易并发起共识，在群组内完成共识后，群组内的工业边缘服务器在账本中落成一个新的区块Block_new，Block_new中包含Tx_up。

6)Node_A从IES_i获取新的区块Block_new信息。Node_A更新BlockHash_A为Block_new的Hash值BlockHash′_A；更新本地身份信息Merkel树；更新身份信息交易时间

更新身份信息有效期/>

实施例：

一、系统初始化

群组1内有工业边缘服务器器节点IES₁、IES₂、IES₃和IES₄。群组1内的机构集合为{Agency₁，Agency₂}。IES₁所在的机构Agency₁作为群组初始化发起机构收集群组内所有节点的信息，如表4所示。

表4 IES₁收集的联盟链节点信息

IES₁将上表中的信息打包成群组1的起始区块。IES₁将起始区块发送至群组1下属机构{Agency₁，Agency₂}的联盟链节点，即IES₂、IES₃和IES₄。

(一)边缘控制器和工业边缘网关身份注册

身份注册智能合约RegSC通过IES₁的控制进行部署，完成部署后获得身份注册智能合约地址RegSCAddr＝9f7a148d62f4b0041a27c617fd752db74db31b7a498438c99c5479d0b4d09111。有边缘控制器EC₁和工业边缘网关IEG₁其身份信息如下表所示。EC₁和IEG₁的身份注册过程如下。

表5 EC₁和IEG₁身份注册信息

节点	节点标识	设备类型	设备型号	Agency	RPCInfo
						EC1	d862d3186b486086	DevTypeEC1	AMA-558	Agency1	RPCInfoEC1
IEG1	d4089e7e36fba8d7	DevTypeIEG1	G12A	Agency2	RPCInfoIEG1

1)表5中EC₁和IEG₁的身份注册信息表示为

和/>

EC₁发送身份注册消息

至联盟链节点IES₁；IEG₁发送身份注册消

联盟链节点IES₁。其中/>

包含接入IEG₁的工业现场设备{IFD₁,IFD₂,IFD₃}。

2)IES₁收到

和/>

后验证消息格式、时间戳和注册消息签名。验证通过后IES₁访问分布式存储系统，按Merkel树结构存入EC₁和IEG₁的身份注册信息，分布式存储返回EC₁和IEG₁的身份注册信息存储地址/>

和/>

3)IES₁调用智能合约

和/>

生成身份注册交易/>

和/>

将/>

和/>

放入交易池中,具体交易内容如下表所示。主节点对交易/>

和/>

发起共识，共识完成后落成包含交易/>

和/>

的区块Block₂。

表6 EC₁和IEG₁身份注册交易

4)EC₁和IEG₁在本地记录包含身份注册交易的区块Block₂及其区块Hash值BlockHash₂。并且EC₁和IEG₁在本地记录在边缘联盟网络中身份注册交易时间

和交易有效期/>

二、身份认证

如图2-4所示，身份认证智能合约AuthenSC通过IES₁的控制台进行部署，部署完成后获得身份认证智能合约地址AuthenSCAddr＝24b68a31759c4b4717837362abeb35366b8817e1792595488d9909614381dd0a。

1.EC₁与IEG₁相互认证

EC₁对IEG₁身份认证过程如下。

1)IEG₁首先计算身份信息Hash值

然后IEG₁构造自身身份信息的稀疏默克尔多值证明/>

IEG₁生成身份认证消息签名/>

IEG₁向发送EC₁发送认证消息/>

发送的/>

2)EC₁接收到IEG₁的身份认证消息

后，EC₁对消息/>

的格式、时间戳和消息签名进行验证；验证通过后，向群组内的IES₁、IES₂发起验证请求/>

EC₁发送的

其中消息签名/>

3)IES₁、IES₂发起收到验证请求

后，IES₁验证/>

的格式、时间戳和消息签名，验证通过后，调用行为分析算法，EC₁为中风险节点，调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash₂)。IES₁、IES₂通过调用合约获取到IEG₁的身份交易/>

4)IES₁、IES₂验证IEG₁的身份交易

是否在有效期内，IES₁、IES₂对比/>

中

与/>

中/>

的一致性，IES₁、IES₂通过/>

中的/>

在分布式存储系统中读取IEG₁的身份信息Merkel树根值/>

并根据/>

计算证明结果/>

IES₁、IES₂验证对比/>

与/>

一致性。

5)IES₁返回验证响应消息

IES₂返回验证响应消息

6)EC₁接收到IES₁、IES₂的验证响应消息

后，验证/>

的消息格式、时间戳和消息签名。群组1中共4个共识节点，收到IES₁、IES₂的认证成功结果，因此EC₁对IEG₁认证成功。

2.身份更新

如图5所示，身份更新的智能合约UpdateSC通过IES₁的控制台进行部署，部署完成后获得身份认证智能合约地址UpdateSCAddr＝8d8115830d5ea65145f202a132c885b5fd4cb5bf66e820254434c52f390bb603。

IEG₁身份更新过程如下。

1)IEG1新的身份信息

IEG₁向IES₁发送身份更新消息/>

/>

2)IES₁收到IEG₁的

后，IES₁对/>

的格式、时间戳和消息签名进行验证。验证通过后IES₁调用算法行为分析算法，IEG₁为中风险边缘节点，调用身份认证合约AuthenSC(AuthenSCAddr,BlockHash₂)读取IEG₁链上身份交易信息和链下身份信息，对IEG₁的身份进行验证。验证通过后，IES₁调用身份更新智能合约/>

3)通过智能合约，IES₁在分布式存储系统中存储IEG₁新的身份信息，存储地址为

删除/>

的原身份信息。群组1内的工业边缘服务器落成新的区块Block₃。Block₃中包含了IEG₁身份更新交易/>

4)IEG₁从获取IES₁新的区块Block₃。IEG₁更新BlockHash为Block₃的区块Hash值BlockHash₃；IEG₁更新身份信息Merkel树、身份信息交易时间为

身份信息有效性为

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (4)

1.一种面向边缘计算节点的零信任身份认证方法，其特征在于：该方法包括以下步骤：

S1：系统初始化；

S2：身份注册；

S3：行为分析；

S4：身份认证；

S5：身份更新；

所述S3具体为：

S31：特征值提取；

群组内的所有工业边缘服务器收集边缘节点的行为特征数据，特征数据的收集周期为t；对边缘节点身份认证前，工业边缘服务器收集的边缘节点行为特征数据包括：

Feature1：边缘节点在t内的身份认证失败次数Num_af；

Feature2：边缘节点在t内的其他边缘节点对其进行身份认证成功率Rate_amf；

Feature3：边缘节点在t内的对其他边缘节点身份认证成功率Rate_auf；

Feature4：边缘节点在t内的重新接入边缘层的次数Num_ac；

Feature5：边缘节点在t内发起身份信息更新交易次数Num_update；

Feature6：边缘节点在t内的访问工业边缘服务器资源次数Num_sr；

Feature7：边缘节点在t内发送的身份信息报文数量Num_msgi；

Feature8：边缘节点在t内发送的业务报文数量Num_msgb；

特征数据的收集具体方法如下：

S311：Feature1、Feature2和Feature3：边缘节点的身份认证失败次数Feature1包括一个边缘节点对其他边缘节点身份认证失败次数Num_auf、其他节点对其进行身份认证失败的次数Num_amf，二者的和为Num_af；还包括总的认证次数Num_aus；边缘节点完成身份认证后，工业边缘服务器根据身份认证结果对该边缘节点的特征值进行更新；

Feature2其他节点对边缘节点进行身份认证成功率

Feature3对其他边缘节点身份认证成功率

S312：Feature4：边缘节点在t内的重新接入边缘层的次数Num_ac，当边缘节点反复接入边缘层的联盟链网络时，可能会带来安全风险；在t内每当边缘节点重新接入边缘层的联盟链网络，工业边缘服务器将特征值Num_ac+1；

S313：Feature5：边缘节点在t内发起身份信息更新交易次数Num_update，在t内每当边缘节点发起一次身份信息更新交易，Leader将特征值Num_update+1；

S314：Feature6：边缘节点在t内的访问工业边缘服务资源次数Num_sr，在t内每当边缘节点访问工业边缘服务器的资源和请求计算服务，工业边缘服务器在本地记录信息Num_sr；

S315：Feature7：边缘节点发送的身份信息报文数量Num_msgi，工业边缘服务器在本地记录与边缘节点间发送的身份信息相关的报文数量，包括身份认证、身份更新过程中的相关报文；

S316：Feature8：边缘节点发送的业务报文数量Num_msgb，工业边缘服务器在本地记录与边缘节点间发送的业务相关的报文数量，包括传感数据上传、请求计算服务和访问工业服务器资源过程中的报文；

S32：行为分析算法

行为分析算法采用分类器模型，对采集到的边缘节点特征值进行分类，分类器将边缘节点的行为划分为3类，即低风险、中风险和高风险；在边缘节点身份认证和身份更新过程中，根据边缘节点的风险等级，工业边缘服务器将会采取不同的措施；

算法初始化阶段，设群组内有y个工业边缘服务器节点，主节点将行为分析模型分发至群组内的工业边缘服务器j∈{1,2,...,y-1}，主节点随机生成模型参数

主节点配置固定参数m，表示主节点每轮收集的梯度数量；FL为模型的损失函数，t轮的模型参数为θ^t，梯度g^t是损失函数FL在θ^t的变化率；

行为分析的训练更新过程如下：

S321：主节点将在t轮的模型参数θ^t发送至群组内的工业边缘服务器j；

S322：工业边缘服务器j在周期t采集的行为数据进行标准化处理，将特征向量中的每个特征缩放至区间[0,1]，生成行为数据集为

S323：工业边缘服务器j通过

计算得到的局部梯度为/>

然后边缘服务器j将局部梯度/>

发送至主节点；

S324：主节点将收集的数据生成梯度集合G，若梯度集合G中梯度数量小于m，则继续等待其他边缘服务器的梯度值，若G中梯度数量大于等于m，主节点通过梯度过滤器RD对G进行处理，过滤异常的梯度数据，减少拜占庭节点对于行为分析模型训练的影响；梯度过滤器RD具体步骤如下：

S3241：计算集合G中梯度的欧氏范数，||·||表示梯度的欧式范数，其定义为

S3242：找到G中第f大的欧氏范数的梯度x，其中f表示群组可容忍拜占庭节点数；

S3243：丢弃欧式范数前f大的梯度；检查G中的每个梯度，如果

则丢弃梯度/>

否则将梯度/>

添加到G′中，G′；返回过滤后的梯度集合G′；

S325：主节点聚合梯度数据，根据过滤后的数据得到g^t←∑_g′∈G′g′；主节点使用SGD方法更新参数θ^t；θ^t+1＝θ^t-ηg^t，其中η为算法训练的步长；

所述S4具体为：

预编译的身份认证的智能合约AuthenSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份认证智能合约地址AuthenSCAddr；身份认证智能合约通过BlockHash读取账本上指定区块的交易数据，群组内的工业边缘服务器都有权限调用身份认证智能合约；

边缘节点之间相互认证：

边缘节点Node_A和Node_B，当Node_A需要对Node_B进行身份认证时，需要通过以下步骤完成认证：

S41：Node_B首先计算其自身身份信息Hash值Digest′_B＝Hash(S_r)，然后，Node_B计算其节点标识NodeID_B和其所属机构Agency_B的稀疏默克尔多值证明(Sparse Merklemultiproofs)proof_B，proof_B的计算需要Node_B的身份信息Merkel树的非叶子节点

以及Node_B的身份注册信息，Node_B的证明/>

Node_B生成认证消息签名Sig_au＝Signature(proof_B||T_au)，T_au为身份认证消息时间戳，发送身份认证消息M_au＝{proof_B||T_au||Sig_au}，BlockHash_B为Node_B的身份信息区块哈希；

S42：Node_A接收到Node_B的身份认证消息M_au后，首先验证认证消息格式，若身份认证消息格式错误则丢弃该消息，否则对M_au的时间戳T_au进行验证，若消息超时则丢弃该消息，否则验证M_au的消息签名VerifySig(Sig_au)，若验证失败则丢弃该认证消息，若验证成功Node_A向群组内的IES_i发起验证请求M_v＝{proof_B||T_v||Sig_v}，Node_A的验证请求消息签名Sig_v＝Signature(proof_B||T_v)；

S43：当群组内的IES_i收到验证请求M_v时，验证请求消息格式，若验证请求消息格式错误则丢弃该消息，否则继续验证时间戳T_v，若消息超时则丢弃该消息，否则验证M_v的消息签名VerifySig(Sig_v)，若验证失败，则丢弃该消息；

S44：调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_B)；AuthenSC读取Node_B在账本上的身份信息交易Tx_B，IES_i会获得Node_B在账本上的身份信息交易Tx_B，信息包括Node_B的T_tx、T_valid、Digest_B和StoreAddr_B；

S45：调用行为分析模型，对边缘节点Node_B进行行为分析，根据边缘节点行为分析算法，Node_B会分为高风险、中风险和低风险3个风险等级；根据Node_B的风险等级具体的处理方式如下：

S451：若Node_B为高风险边缘节点，则返回验证失败；

S452：若Node_B为低风险边缘节点，IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败；若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则认证成功；

S453：若Node_B为中风险边缘节点，首先IES_i通过T_tx和T_valid计算身份信息是否在有效期内，若身份信息不在有效期内，则认证失败；若身份信息在有效期内，IES_i对比M_v中的Digest′_B与身份注册交易信息Digest_B进行对比，若二者不一致，则认证失败；若二者一致，则根据Node_B的身份注册交易信息中的StoreAddr_B，读取Node_B的身份信息Merkel树根值MR_B，并根据M_v中的proof_B计算证明结果MR′_B，MR′_B计算公式如式4-1所示，式中+表示合并两个字符串；对比MR_B与MR′_B，若二者一致，则认证成功；若二者不一致，则认证失败；

H′₁₂＝Hash(Hash(NodeID_B)+H₂ ^B)

H′₃₄＝Hash(Hash(Agency_B)+H₄ ^B)

MR′_B＝Hash(H′₁₂+H′₃₄) (4-1)

S46：IES_i返回验证响应消息

为IES_i的验证结果，

为验证响应消息签名；

S47：Node_A将收到的验证响应后，验证时间戳T_vr，若消息超时则丢弃该消息，否则验证响应消息签名VerifySig(Sig_vr)，若验证消息签名失败则丢弃该验证响应，若验证成功则将

加入验证响应消息列表；若Node_A的验证响应消息列表中接收到f+1个验证成功的result时，Node_B认证成功；若Node_A的验证响应消息列表中接收到f+1个验证失败的result时,Node_B认证失败。

2.根据权利要求1所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S1具体为：

S11：工业边缘服务器初始化；

工业边缘服务器在边缘层的联盟链网络中担任共识节点，IES_i为边缘层的某个工业边缘服务器，IES_i初始化首先安装联盟链客户端，然后IES_i获得联盟链节点地址BCAddr_i以及联盟链证书BCCrt_i；IES_i采用非对称加密算法，获得唯一的会话密钥对，IES_i私钥为IESkey_i，IES_i公钥为IESPK_i；IES_i被配置所属机构Agency_i，根据其所配置的机构，IES_i被配置加入的一个群组GroupID；IES_i配置完成后作为共识节点加入边缘层的联盟链网络，加入后在共识节点列表SealerList中添加该节点的BCAddr_i；IES_i完成初始化后即加入了边缘层的联盟链网络，无需进行身份注册操作；

S12：群组初始化

联盟链采用PBFT共识算法，故障节点或恶意节点称为拜占庭节点，PBFT算法的共识模型为3f+1，即超过2/3的节点的执行结果一致才能完成共识，系统最多容忍f个拜占庭节点；根据容忍拜占庭节点数f设置工业边缘服务器加入联盟链网络的数量；

群组g是一个GroupID为g的群组，其初始化过程如下：

S121：在g中选择一个IES_i，并将该IES_i所在的Agency_i作为发起群组初始化的机构，群组内的所有机构集合为{Agency₁,Agency₂,...,Agency_i,...}；

S122：所选发起群组初始化的节点IES_i收集群组内所有节点的联盟链节点地址、联盟链证书、机构、群组和对等网络P2P连接信息；P2P连接信息包括IP地址、P2P端口号和远程过程调用RPC接口信息RPCInfo；

S123：IES_i将群组中所有联盟链节点信息收集完成后，IES_i根据GroupID创建群组，并将所有节点的信息打包成群组g的起始区块；起始区块创建后不可修改，群组建成后，已有联盟链节点信息变更和新的联盟链节点的加入都将不再修改起始区块；

S124：IES_i将群组g的初始区块分发至群组g中所有的联盟链节点，包括群组g下所有的机构集合{Agency₁,Agency₂,...,Agency_i,...}的联盟链节点；群组中所有机构在拥有了群组g内所有节点的P2P连接信息，各机构通过P2P连接信息生成节点部署程序，各机构调用节点部署程序启动各机构中的联盟链节点；

S13：边缘控制器和工业边缘网关初始化

在初始化阶段，由于边缘控制器EC和工业边缘网关IEG资源受限，无法安装联盟链客户端，边缘控制器和工业边缘网关初始化在初始化阶段获得节点标识NodeID；边缘控制器和工业边缘网关使用与IES相同的非对称加密算法获得唯一的会话密钥对，边缘节点私钥Nodekey和边缘节点公钥NodePK；边缘控制器和工业边缘网关需要配置其RPC接口信息RPCInfo和所属机构Agency。

3.根据权利要求2所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S2具体为：

边缘控制器和工业边缘网关加入边缘网络前必须完成身份注册；边缘控制器和工业边缘网关将身份注册请求发送至目标群组内的工业边缘服务器，工业边缘服务器作为共识节点调用身份注册智能合约将身份注册交易放入交易池，主节点从交易池中取出交易打包成区块并发起共识，最终落成包含身份注册交易的区块；预编译的身份注册的智能合约RegSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份注册智能合约地址RegSCAddr；

边缘控制器和工业边缘网关身份注册具体步骤如下：

S21：边缘控制器或工业边缘网关Node_A在进行身份注册时需要其节点标识NodeID_A、设备类型DevType_A，设备型号DevModel_A、所属机构Agency_A，Node_A远程调用接口RPC信息RPCInfo_A作为身份注册信息；

S22：Node_A的身份注册信息表示为S_r，S_r＝(NodeID_A||DevType_A||DevModel_A||Agency_A||RPCInfo_A)，其中||为连接符；Signature(·)为数字签名函数，T_r为身份注册消息时间戳，对S_r和T_r生成身份注册消息签名Sig_r＝Signature(S_r||T_r)，Node_A向IES_i发送身份注册消息M_r＝{S_r||T_r||Exfield||Sig_r}，其中Exfield为边缘节点的其他扩展信息，包括接入工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}；

S23：IES_i接收到身份注册消息后，首先验证消息格式，如果身份注册消息格式错误则丢弃该消息，否则继续验证时间戳T_r，如果消息超时则丢弃该消息，否则验证身份注册消息签名VerifySig(Sig_r)，其中VerifySig(·)为验证数字签名函数，如果验证失败则丢弃该消息；IES_i通过智能合约将边缘控制器和工业边缘网关关键身份信息存储在链上，隐私身份信息存储在链下，并将链上与链下的身份信息关联，链上数据保证关键身份信息不可篡改，隐私身份信息存储在链下，防止隐私身份信息泄露；

S24：链下身份信息存储；IES_i会将在分布式存储系统中以Merkel树结构存储对Node_A的注册身份信息进行存储，存储的信息包括NodeID_A、DevType_A、DevModel_A、Agency_A和RPCInfo_A，其存储地址为StoreAddr_A，Merkel树中叶子节点存储边缘控制器或工业边缘网关的身份信息数据，非叶子节点则存储其子节点的Hash值，身份信息Merkel树根节点为MR；

S25：IES_i调用身份注册智能合约RegSC(RegSCAddr,M_r)发起Node_A身份注册交易

S251：边缘控制器的

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)和StoreAddr_A，其中Hash(·)为Hash函数；

S252：工业边缘网关

包含TxNum交易编号、交易时间戳T_tx、身份信息有效期T_valid、身份注册信息的Hash值Digest_A＝Hash(S_r)、StoreAddr_A和接入该工业边缘网关的工业现场设备集合{IFD₁,IFD₂,IFD₃,...}；

S26：身份信息交易

的落成；IES_i将/>

放入群组的交易池中；主节点从交易池中取出身份注册交易/>

发起共识，联盟链网络对身份注册交易完成共识后，系统将在账本中落成一个新的区块Block，在区块Block中记录身份注册交易/>

IES_i将区块信息返回给Node_A；

S27：Node_A注册完成后，在本地记录自身身份信息区块Block及该区块的哈希值BlockHash，并按照分布式存储系统中的Merkel树结构存储自身的身份信息；并在本地记录在边缘层的联盟链网络中身份注册交易时间T_tx，身份信息的有效期T_valid。

4.根据权利要求1所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S5具体为：

当边缘控制器、工业边缘网关满足以下任一条件时，边缘控制器和工业边缘网关对自身的身份信息进行更新；

1)当边缘控制器或工业边缘网关包含自身身份信息的交易将要过期时，包括身份注册交易、身份更新交易；

2)当边缘控制器或工业边缘网关远程调用接口信息RPCInfo重新配置；

3)当边缘控制器或工业边缘网关由于遭受网络攻击和电源耗尽原因需要重新接入边缘层的联盟链网络时；

预编译的身份更新的智能合约UpdateSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器获得身份更新智能合约地址UpdateSCAddr；调用身份更新智能合约将新的身份信息交易发起共识，将交易记录在账本中，并在分布式系统中删除原身份信息，存储新的身份信息；身份更新智能合约仅限工业边缘服务器调用；

边缘节点完成以下步骤进行身份信息更新；

S51：边缘节点Node_A，Node_A原身份证明proof_A，原身份注册交易所在区块Hash值BlockHash_A，原身份信息Hash值Digest_A，其新的身份信息为S_r′＝(NodeID′||DevType′||DevModel′||Agency′||RPCInfo′||Exfield′)；Node_A向IES_i发送身份更新消息M_up＝{proof_A||S′_r||T_up||Sig_up}，其中T_up为身份更新消息时间戳，Sig_up＝Signature(S_r′||T_up)为身份更新消息签名；

S52：IES_i收到Node_A的身份更新消息M_up后，IESi验证消息格式，若验证失败则丢弃该消息，否则验证M_up的消息签名VerifySig(Sig_up)，若验证失败则丢弃该消息，否则IESi调用身份分析算法，若Node_A为高风险节点，则身份更新失败；

S53：调用身份认证智能合约AuthenSC(AuthenSCAddr,BlockHash_A)对Node_A的身份进行认证，若认证失败，IES_i则丢弃该消息；若认证成功，IES_i则调用身份更新智能合约UpdateSC(UpdateSCAddr,S′_r)；

S54：通过身份更新智能合约UpdateSC，IES_i在分布式存储系统中以Merkel树结构存储Node_A新的身份信息，存储地址为StroeAddr′_A，删除StroeAddr_A的原身份信息；

S55：IES_i生成Node_A的身份信息更新交易Tx_up＝{TxNum||T_tx||T′_valid||Digest_new||StoreAddr′_A||Exfield′}，其中Digest_new＝Hash(S′_r)，IES_i将Tx_up放入群组的交易池，主节点取出交易并发起共识，在群组内完成共识后，群组内的工业边缘服务器在账本中落成一个新的区块Block_new，Block_new中包含Tx_up；

S56：Node_A从IES_i获取新的区块Block_new信息；Node_A更新BlockHash_A为Block_new的Hash值BlockHash′_A；更新本地身份信息Merkel树；更新身份信息交易时间

更新身份信息有效期/>

Images