CN114037457A - 一种基于身份标识的工业复杂产品终端跨域接入认证方法 - Google Patents

一种基于身份标识的工业复杂产品终端跨域接入认证方法 Download PDF

Info

Publication number
CN114037457A
CN114037457A CN202111302664.XA CN202111302664A CN114037457A CN 114037457 A CN114037457 A CN 114037457A CN 202111302664 A CN202111302664 A CN 202111302664A CN 114037457 A CN114037457 A CN 114037457A
Authority
CN
China
Prior art keywords
terminal
domain
authentication
key
formula
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111302664.XA
Other languages
English (en)
Inventor
姚烨
朱怡安
李联
潘旭飞
史先琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northwestern Polytechnical University
Original Assignee
Northwestern Polytechnical University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northwestern Polytechnical University filed Critical Northwestern Polytechnical University
Priority to CN202111302664.XA priority Critical patent/CN114037457A/zh
Publication of CN114037457A publication Critical patent/CN114037457A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Abstract

本发明涉及一种基于身份标识的工业复杂产品终端跨域接入认证方法,属于涉及信息安全领域。分为两个阶段,阶段一、工业复杂产品终端在安全域注册,但是未接入认证,然后移动到外域进行跨域请求接入认证;阶段二、工业复杂产品终端在安全域注册并通过接入认证,然后移动到外域进行跨域请求接入认证。本方法避免了工业复杂产品终端在不同安全域接入认证时需要重新注册,大大节省了工业复杂产品终端的域间接入认证时资源消耗和时间,提高了接入认证效率,使工业复杂产品接入认证更加方便、高效、快捷;相较于其它跨域认证方案,在工业互联网平台体系下本发明所提出的工业复杂产品终端跨域接入认证更加安全性和高效性。

Description

一种基于身份标识的工业复杂产品终端跨域接入认证方法
技术领域
本发明涉及信息安全领域,具体为一种基于IBC身份标识的工业复杂产品终端跨域接入认证技术。
背景技术
随着科技的发展,全球工业迎来了以数字化、网络化、智能化为发展方向的深刻变革,以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为这次新工业革命的核心驱动力。工业互联网云平台作为连接企业、用户、产品、原材料等的重要枢纽,随着数量巨大的终端设备接入网络系统,要想系统安全高效的运行,首先需要面临的是恶意终端设备入侵的风险。
工业复杂产品终端具有数量规模大、分布广的特点,随着柔性生产概念引入,新、旧生产线不断组合,复杂产品接入认证存在移动性问题,这在离散行业表现尤为突出。复杂产品种类繁多、结构差异大,网络接入/撤销具有随机性,以上这些特点均增加了复杂产品可信接入的难度。要想降低系统的安全风险,那么一个合理的身份认证机制就成为了保证工业复杂产品终端设备安全接入的技术基础。但是,工业终端的数量大、移动性强的特点及其工业设备认证要求的高效性、灵活性,传统的认证方案并不适用。为此,提出一种高效安全的接入认证方案,以实现工业复杂产品终端可信接入,同时解决终端快速移动带来的跨域接入认证问题。
发明内容
要解决的技术问题
工业复杂产品终端设备接入认证采用标识密码技术,当终端从一个边缘设备移动到另一个边缘设备时,由于两个边缘设备所属的安全域PKG不同,在基于标识的身份认证体系中,由于PKG主密钥及其某些参数的不同将导致域内终端与外域的边缘设备间无法进行认证信息的安全交互;其次,两个分属不同安全域的边缘设备也无法通过标识密码技术进行相互认证。当工业复杂产品终端由于应用需求,发生位置移动时,为保证服务的连续性和稳定性,需要考虑相应的跨域认证。
为了解决工业复杂产品终端设备在不同安全域间移动造成的跨域认证问题,本发明提出一种基于身份标识的工业复杂产品终端跨域接入认证方法。
技术方案
一种基于身份标识的工业复杂产品终端跨域接入认证方法,其特征在于包括两个阶段:
阶段一:工业复杂产品终端在一个安全域注册后首次跨域接入认证
步骤一:终端移动后发送跨域接入请求
工业复杂产品终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数;终端IDT在PKG1安全域未完成接入认证,快速移动到PKG1安全域中的边缘节点IDE2,并向IDE2发送接入认证请求报文,开始跨域接入认证;请求报文包括终端自己的身份标识、本域中心认证服务器标识、随机数和时间戳的签名结果mT及s其哈希运算结果cT
IDT→IDE2:Req||(IDT||IDE2||cT||mT) 公式(1.1)
cT=h2(rT||tT) 公式(1.2)
mT=(rT||tT)skT 公式(1.3)
公式(1.1)含义:IDT向IDE2发送请求接入相关的消息;
其中Req||(IDT||IDE2||cT||mT)表示由接入请求、终端设备标识、请求接入的边缘设备标识、哈希计算值和私钥签名结果组成的数据包;
其中IDT表示终端设备标识,IDE2表示请求接入的边缘设备标识;
公式(1.2)含义:通过哈希函数h2得到随机数rT和的哈希计算结果cT
其中h2表示哈希函数,rT表示随机数,tT表示时间戳;
公式(1.3)含义:通过终端的私钥生成随机数和时间戳的签名;
其中mT表示随机数rT和时间戳tT的签名结果,skT表示终端的私钥;
步骤二:边缘节点IDE2请求终端注册域核实终端身份
边缘设备IDE2收到工业复杂产品终端设备发来的跨域接入认证请求后,查看不是属于本域的终端设备,由于不属于同一个安全域,故无法解密得到mT、cT;边缘节点IDE2查询认证列表中是否边有中心认证服务器IDG1,没有,则先进行IDE2和IDG1间的CA双向认证并协商会话密钥KeyG1-E1,认证通过则将认证请求转发给中心认证服务器IDG1处理,否则认证失败;
IDE2→IDG1:(IDT||IDE2||cT||mT)PubG1 公式(1.4)
公式(1.4)含义:边缘设备IDE2向中心认证服务器IDG1发送由IDG1公钥加密的数据包;
其中IDT表示工业复杂产品终端设备标识,IDG1表示终端PKG1域的中心认证服务器,PubG1表示中心认证服务器IDG1的CA公钥;
步骤三:注册域中心认证服务器IDG1验证终端身份
PKG1域的中心认证服务器IDG1收到IDE2转发的终端跨域请求,由于IDE通过认证确认是可信的,则只进行IDG1对终端IDT的单向认证;即:计算终端IDT的公钥解密得到随机数和时间戳,首先验证时间戳tT的有效性,当检测结果为有效时间戳后,用h2哈希函数计算的结果和cT比较,如果不相等,则丢弃报文;如果相等,则利用双线性对性质验证等式是否成立:
QT=h1(IDT) 公式(1.5)
Figure BDA0003338945550000031
e(mT,-(rT+tT)P)=e(QT,Ppub)公式(1.7)
公式(1.5)含义:通过函数h1计算得到终端的公钥QT
公式(1.6)含义:利用IDT的身份公钥解密mT得到随机数和时间戳;
其中mT表示随机数rT和时间戳tT的签名结果,QT表示终端的公钥;
公式(1.7)含义:中心认证服务器IDG1利用双线性对等式验证终端的公私钥合法性,即终端的身份合法性;
其中P是加法循环群任选一个的生成元,Ppub是安全域的系统公钥;
步骤四:IDG1与IDE2协商终端会话密钥
如果等式不成立,表明IDG1对IDT认证失败,则认为工业复杂产品终端设备身份不合法,返回Failure帧给外域的IDE1,拒绝IDT接入并断开连接;否则表明IDG2对IDT认证成功;在IDG1与IDE2共同协商出终端会话密钥Kkey,将Kkey和Success消息一起发送给IDE2
IDG1→IDE2:(Success||IDT||IDE2||Kkey||QT(IDE2||Kkey||Success))KeyE-G1公式(1.8)
公式(1.8)含义:IDG1向IDE2发送终端身份认证结果以及终端会话密钥;
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥,KeyE-G1表示边缘设备IDE2和中心认证服务器IDG1的临时会话密钥;
步骤五:IDE2发送认证通过的消息及其终端会话密钥给终端
边缘节点IDE2收到认证成功的消息后,解密得到与工业复杂产品终端的会话密钥,发送跨域认证成功的消息给终端IDT
IDE2→IDT:(Success||IDT)Kkey||(IDE2||Kkey||Success)QT 公式(1.9)
公式(1.9)含义:IDE2向IDT发送认证通过的消息及其终端会话密钥;
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥;
步骤六:终端用新的会话密钥应答边缘节点
工业复杂产品终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和与之会话通信的终端标识IDE2,利用Kkey解密得到来自边缘设备的消息,间接证明了边缘设备的身真实性;最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功;
Figure BDA0003338945550000051
Figure BDA0003338945550000052
公式(1.10)含义:利用私钥解密消息得到认证成功消息和会话密钥;
公式(1.11)含义:利用会话密钥解密消息验证消息的一致性;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥;
阶段二:工业复杂产品终端在安全域注册并通过认证后跨域认证
情况1:终端跨域时携带注册域边缘设备的认证通过的信息签名,外域边缘设备先验证信息的真实性,然后转发给注册域边缘设备再次验证以防重放攻击,具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端IDT在PKG1安全域中进行注册,并完成了在注册域边缘节点IDE1的接入认证,同时获得由IDE1进行CA签名的通过认证信息Mes,里面包含终端的标识、已通过认证的边缘设备的标识、完成接入的信息;
步骤二:终端跨域移动后发送跨域接入请求
当发现移动到新的边缘设备IDE2和自己不处于同一个安全域内,则向该边缘设备发送跨域认证请求,包括自己的身份标识IDT、原属边缘设备的身份标识IDE1以及原属边缘设备的接入认证完成的签名信息Mes;将请求信息通过原会话密钥加密发送给边缘设备IDE2
CT=Kold(IDT||IDE1||Mes||tT||rT) 公式(2.1)
IDT→IDE2:Req||IDT||CT||IDE1||Mes||rT||tT 公式(2.2)
公式(2.1)含义:利用旧的会话密钥加密相关数据;
其中IDT表示终端设备标识,IDE1表示已通过认证的边缘设备标识,Mes表示通过原属边缘设备认证的签名信息,rT表示随机数,tT表示时间戳;
公式(2.2)含义:IDT向IDE2发送跨域接入请求的数据包;
其中CT表示终端已经通过IDE1认证的证明信息,Req表示接入请求;
步骤三:边缘设备初次验证终端身份
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,首先查询CA中心获得IDE1的证书,解密得到IDT、IDE1以及终端通过认证的消息。比较解密得到IDT和请求中的IDT是否一致,不一致则认证失败;一致则发送信息给边缘节点IDE2请求核实终端身份;
Figure BDA0003338945550000061
公式(2.3)含义:解密Mes得到终端和通过认证的边缘设备信息;
其中Succeed表示终端通过了边缘设备IDE1的认证;
步骤四:边缘节点IDE2请求终端注册域边缘节点IDE1核实终端身份
边缘节点IDE2判断认证列表中是否边有边缘节点IDE1,没有,则先进行边缘节点间CA双向认证并协商会话密钥KeyE1-E2;通过认证,则将终端的跨域请求中的CT发送给IDE1请求核实终端的身份;
IDE2→IDE1:(CT||IDT)KeyE1-E2 公式(2.4)
公式(2.4)含义:IDE2向IDE1发送终端请求信息请求核实真伪;
其中CT表示终端已经通过IDE1认证的证明信息;
步骤五:IDE1核实终端身份并返回给IDE2结果
IDE1收到来自IDE2的请求信息,进行核实,并将结果发送给IDE2
Figure BDA0003338945550000071
IDE1→IDE2:(true||IDT)KeyE1-E2 公式(2.6)
公式(2.5)含义:IDE1解密CT得到通过边缘设备的认证信息;
公式(2.6)含义:IDE1向IDE2发送终端通过认证的真实性结果;
其中true表示终端的信息真实,KeyE1-E2表示IDE1和IDE2的会话密钥;
步骤六:IDE1和IDE2协商新的终端会话密钥
边缘节点IDE2收到解密信息,核实了终端的跨域认证情况,并和IDE1协商得出终端新的会话密钥Kkey;使用终端原来的会话密钥对新的会话密钥进行加密,构建响应数据包,使用临时会话密钥进行加密发送给IDE2
IDE1→IDE2:(IDT||Kold(Kkey||success||IDE2))KeyE1-E2 公式(2.7)
公式(2.7)含义:IDE1向IDE2发送认证成功的信息以及新的终端会话密钥;
其中Kold表示旧的终端会话密钥,Kkey表示新的终端会话密钥,Kold(Kkey||success||IDE2)表示用终端旧的会话密钥对新的会话密钥进行加密;
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
边缘节点IDE2收到终端身份认证通过的消息,核实了终端的接入认证情况后,将通过认证的结果及其新的会话密钥发送给跨域请求的终端;
IDE2→IDT:Kold(Kkey||success||IDE2)||Kkey(Success) 公式(2.8)
公式(2.8)含义:IDE2向IDT发送认证成功的信息以及新的终端会话密钥;
步骤八:终端用新的会话密钥应答边缘节点
终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和跨域接入的边缘设备的标识IDE2,利用Kkey解密得到来自边缘设备的消息;最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功;
Figure BDA0003338945550000081
公式(2.9)含义:终端解密来自IDE2的信息得到成功接入的结果和新的会话密钥;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥;
在该过程中,物联网终端设备无需复杂的计算和通信,将认证和密钥协商工作由边缘设备间完成,有效降低了终端设备的计算和通信开销;
情况2:工业复杂产品终端跨域时携带边缘设备颁发的域可信令牌,外域边缘设备收到终端的跨域请求信息,先发送给本域的中心认证服务器,然后由中心认证服务器发送给终端注册域的中心认证服务器来验证域可信令牌;具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数,并通过了边缘节点IDE1的接入认证,同时获得由边缘节点颁发的域可信令牌;
步骤二:终端移动至IDE2后发送跨域接入请求
终端快速移动到PKG2安全域中的边缘节点IDE2附近,终端设备连入IDE2,并发送接入认证请求报文,报文包括终端ID标识、IDE1认证成功后边缘节点颁发的可信令牌,开始跨域接入认证;
mT=(IDE2||IDT||tT||rT)skT 公式(3.1)
IDT→IDE2:Req||(IDT||Token||tT||rT)||mT 公式(3.2)
公式(3.1)含义:对终端和边缘设备的标识以及时间戳和随机数进行签名;
其中IDT表示终端设备标识,IDE2表示请求跨域接入的边缘设备标识,rT表示随机数,tT表示时间戳;
公式(3.2)含义:IDT向IDE2发送跨域接入请求的数据;
其中Req表示跨域接入请求,Token表示由已通过认证的边缘节点颁发的域可信令牌;
步骤三:IDE2将终端请求认证转发给本域的中心认证服务器
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,查询得知不是本域的终端设备,将其终端跨域信息和可信令牌转发给本域的中心认证服务器IDG2
IDE2→IDG2:((IDT||Token||tE2||rE2)||mT)PubG2 公式(3.3)
公式(3.3)含义:IDE2向IDG2发送终端跨域信息和域可信令牌请求核实;
其中tE2表示IDE2的时间戳,rE2表示IDE2的随机数,PubG2表示中心认证服务器IDG2的CA公钥;
步骤四:中心认证服务器向终端注册域发送身份核实请求
本域的中心认证服务器收到来自外域边缘设备IDE2的消息,解密得到终端的标识、可信令牌以及终端标识的签名,按照可信令牌上带有的安全域信息获得终端所在域的中心认证服务器IDG1,IDG1查询认证列表中是否边有中心认证服务器IDG2,有的话直接进行下一步,列表中没有,则IDG1和IDG2先进行CA双向身份认证;IDG1和IDG2互为可信设备后,IDG2将认证请求用IDG2的CA公钥加密,然后转发给PKG1的中心认证服务器IDG1请求核实终端的可信令牌的真实性;
IDG2→IDG1:((IDT||Token||IDE2||tG2||rG2||mT)SKG1)PubG1 公式(3.4)
公式(3.4)含义:IDG2向IDG1发送终端跨域信息和域可信令牌请求核实;
其中tG2表示IDG2的时间戳,rG2表示IDG2的随机数,SKG2表示IDG2的CA私钥,PubG1表示中心认证服务器IDG1的CA公钥;
步骤五:PKG1的中心认证服务器验证域可信令牌Token
域PKG1的中心认证服务器收到请求,解密得到终端的标识IDT、,通过终端的标识IDT计算其公钥并解密标识签名信息mT,核实终端的身份以及终端持有的令牌真伪情况,若终端的可信令牌真实,则IDG1与IDG2共同协商出终端会话密钥Kkey,然后将Kkey和验证结果一并发送给PKG2域的中心认证服务器IDG2
sT=(Success||Kkey||IDE2)QT 公式(3.5)
IDG1→IDG2:((Success||Kkey||sT)SKG1)PubG2 公式(3.6)
公式(3.5)含义:由终端的公钥加密新的会话密钥相关数据;
其中Success表示终端身份审核通过,IDE2表示跨域接入的边缘设备其身份可信,QT表示终端的公钥;
公式(3.6)含义:IDG1向IDG2发送终端身份核实的结果信息;
其中Kkey表示新的终端会话密钥;
步骤六:PKG2域的中心认证服务器返回给IDE1验证结果
PKG2域的中心认证服务器收到验证结果解密后,将结果转发给边缘节点IDE2
IDG2→IDE1:((Success||Kkey||sT)SKG2)PubE1 公式(3.7)
公式(3.7)含义:IDG1向IDE1发送终端身份核实可信的结果以及新的终端会话密钥;
其中SKG2表示IDG2的CA私钥,PubE2表示边缘节点IDE2的CA公钥;
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
IDE2收到消息解密后得知终端跨域请求信息真实。则通过终端的跨域认证请求,并告知终端通过认证。
IDE2→IDT:(IDE2||Success)Kkey||sT 公式(3.8)
公式(3.8)含义:IDE2向终端IDT发送认证通过的消息及其新的终端会话密钥给终端。
其中sT表示由终端的公钥加密新的会话密钥相关数据;
步骤八:终端用新的会话密钥应答边缘节点IDE2
终端IDT收到来自IDE2的消息,用私钥解密得到会话密钥Kkey,利用Kkey解密得到来自边缘设备的消息,即通过认证以及会话密钥的对象标识IDE2;终端IDT给边缘设备发送确认消息,边缘节点IDE2收到消息后通过终端的跨域认证;
Figure BDA0003338945550000111
Figure BDA0003338945550000112
公式(3.9)含义:终端利用私钥解密sT得到新的会话密钥Kkey以及与之会话的边缘设备;
公式(3.10)含义:终端利用会话密钥解密得到跨域接入的边缘设备通过的结果;
其中Kkey表示终端IDT和边缘设备IDE2的会话密钥;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥。
一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的方法。
一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现上述的方法。
一种计算机程序,其特征在于包括计算机可执行指令,所述指令在被执行时用于实现上述的方法。
有益效果
本发明提出的一种基于身份标识的工业复杂产品终端跨域接入认证方法,避免了工业复杂产品终端在不同安全域接入认证时需要重新注册,大大节省了工业复杂产品终端的域间接入认证时资源消耗和时间,提高了接入认证效率,使工业复杂产品接入认证更加方便、高效、快捷;相较于其它跨域认证方案,在工业互联网平台体系下本发明所提出的工业复杂产品终端跨域接入认证更加安全性和高效性。具体表现在:
(1)每个边缘设备针对同域的工业复杂产品终端,采用具有标识密码体系下安全通信技术,保证了接入认证信息通信的安全;
(2)针对工业复杂产品终端设备的数量大、移动性等特点,部署安全域中心认证服务器来处理不同域间的终端信息核实请求,省略了跨域认证中边缘设备间的双向认证步骤,减少了认证的时间,提升了跨域认证的效率和安全性;
(3)工业复杂产品终端在安全域注册并通过认证后跨域认证技术中,针对在不同的应用场景情况提高不同的方案,更具有针对性,使得复杂产品终端设备的跨域接入认证效率更加高效。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1工业复杂产品终端跨域接入认证示意图;
图2第一终端跨域模型;
图3第二终端跨域模型;
图4第三终端跨域模型。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明根据终端移动跨域前后的注册和认证具体情况,分两个阶段来描述和实现:
阶段一:工业复杂产品终端在安全域注册,但是未接入认证,然后移动到外域进行跨域请求接入认证;
阶段二:工业复杂产品终端在安全域注册并通过接入认证,然后移动到外域进行跨域请求接入认证。
在阶段一中,工业复杂产品终端在安全域中注册未接入,故终端未与注册域中边缘设备取得可行连接,当移动到外域中后发送跨域请求,外域边缘节点将其请求信息转发给终端注册域的中心认证服务器请求核实终端身份,中心认证服务器计算其公钥后,对终端私钥签名的信息解密并通过双线性对映射关系验证终端在安全域的注册身份,而后将核实的结果告知外域边缘节点,其中边缘节点本身不进行终端身份的核实工作。
在阶段二中,工业复杂产品终端在安全域中注册并在通过该域边缘设备的认证,当移动到外域中后发送跨域请求,外域边缘节点收到终端的跨域请求后进行终端身份的核实,在此本发明分两种情况进行描述。情况1:终端跨域时携带注册域边缘设备的认证通过的信息签名,外域边缘设备先验证信息的真实性,然后转发给注册域边缘设备再次验证以防重放攻击。即该方案主要是两个安全域中边缘设备间的信息交互。情况2:工业复杂产品终端跨域时携带边缘设备颁发的域可信令牌,外域边缘设备收到终端的跨域请求信息,先发送给本域的中心认证服务器,然后由中心认证服务器发送给终端注册域的中心认证服务器来验证域可信令牌,这样避免了不同于安全域的边缘设备间的相互认证,终端跨域时域-域间的信息交互交给各自安全域的中心认证服务器,边缘设备只需要等待来自中心认证服务器的核实结果。
基于身份标识的工业复杂产品终端跨域接入认证技术中所用到符号及其含义如表1所示。
表1工业复杂产品终端接入认证中符号含义
Figure BDA0003338945550000131
Figure BDA0003338945550000141
阶段一:工业复杂产品终端在一个安全域注册后首次跨域接入认证
工业复杂产品终端IDT在一个安全域(PKG1)完成注册后,由于生产或者业务需要,移动到另一个安全域(PKG2),实现首次跨域接入认证时,工作原理示意图如图2所示。
工业复杂产品终端安全域注册后首次跨域接入认证具体步骤如下。
步骤一:终端移动后发送跨域接入请求
工业复杂产品终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数。终端IDT在PKG1安全域未完成接入认证,快速移动到PKG1安全域中的边缘节点IDE2,并向IDE2发送接入认证请求报文,开始跨域接入认证;请求报文包括终端自己的身份标识、本域中心认证服务器标识、随机数和时间戳的签名结果mT及s其哈希运算结果cT
IDT→IDE2:Req||(IDT||IDE2||cT||mT) 公式(1.1)
cT=h2(rT||tT) 公式(1.2)
mT=(rT||tT)skT 公式(1.3)
公式(1.1)含义:IDT向IDE2发送请求接入相关的消息。
其中Req||(IDT||IDE2||cT||mT)表示由接入请求、终端设备标识、请求接入的边缘设备标识、哈希计算值和私钥签名结果组成的数据包。
其中IDT表示终端设备标识,IDE2表示请求接入的边缘设备标识。
公式(1.2)含义:通过哈希函数h2得到随机数rT和的哈希计算结果cT
其中h2表示哈希函数,rT表示随机数,tT表示时间戳。
公式(1.3)含义:通过终端的私钥生成随机数和时间戳的签名。
其中mT表示随机数rT和时间戳tT的签名结果,skT表示终端的私钥。
步骤二:边缘节点IDE2请求终端注册域核实终端身份
边缘设备IDE2收到工业复杂产品终端设备发来的跨域接入认证请求后,查看不是属于本域的终端设备,由于不属于同一个安全域,故无法解密得到mT、cT。边缘节点IDE2查询认证列表中是否边有中心认证服务器IDG1,没有,则先进行IDE2和IDG1间的CA双向认证并协商会话密钥KeyG1-E1,认证通过则将认证请求转发给中心认证服务器IDG1处理,否则认证失败;
IDE2→IDG1:(IDT||IDE2||cT||mT)PubG1 公式(1.4)
公式(1.4)含义:边缘设备IDE2向中心认证服务器IDG1发送由IDG1公钥加密的数据包。
其中IDT表示工业复杂产品终端设备标识,IDG1表示终端PKG1域的中心认证服务器,PubG1表示中心认证服务器IDG1的CA公钥。
步骤三:注册域中心认证服务器IDG1验证终端身份
PKG1域的中心认证服务器IDG1收到IDE2转发的终端跨域请求,由于IDE通过认证确认是可信的,则只进行IDG1对终端IDT的单向认证。即:计算终端IDT的公钥解密得到随机数和时间戳,首先验证时间戳tT的有效性,当检测结果为有效时间戳后,用h2哈希函数计算的结果和cT比较,如果不相等,则丢弃报文;如果相等,则利用双线性对性质验证等式是否成立:
QT=h1(IDT) 公式(1.5)
Figure BDA0003338945550000161
e(mT,-(rT+tT)P)=e(QT,Ppub) 公式(1.7)
公式(1.5)含义:通过函数h1计算得到终端的公钥QT
公式(1.6)含义:利用IDT的身份公钥解密mT得到随机数和时间戳。
其中mT表示随机数rT和时间戳tT的签名结果,QT表示终端的公钥。
公式(1.7)含义:中心认证服务器IDG1利用双线性对等式验证终端的公私钥合法性,即终端的身份合法性。
其中P是加法循环群任选一个的生成元,Ppub是安全域的系统公钥。
步骤四:IDG1与IDE2协商终端会话密钥
如果等式不成立,表明IDG1对IDT认证失败,则认为工业复杂产品终端设备身份不合法,返回Failure帧给外域的IDE1,拒绝IDT接入并断开连接;否则表明IDG2对IDT认证成功。在IDG1与IDE2共同协商出终端会话密钥Kkey,将Kkey和Success消息一起发送给IDE2
IDG1→IDE2:(Success||IDT||IDE2||Kkey||QT(IDE2||Kkey||Success))KeyE-G1公式(1.8)
公式(1.8)含义:IDG1向IDE2发送终端身份认证结果以及终端会话密钥。
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥,KeyE-G1表示边缘设备IDE2和中心认证服务器IDG1的临时会话密钥。
步骤五:IDE2发送认证通过的消息及其终端会话密钥给终端
边缘节点IDE2收到认证成功的消息后,解密得到与工业复杂产品终端的会话密钥,发送跨域认证成功的消息给终端IDT
IDE2→IDT:(Success||IDT)Kkey||(IDE2||Kkey||Success)QT 公式(1.9)
公式(1.9)含义:IDE2向IDT发送认证通过的消息及其终端会话密钥。
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥。
步骤六:终端用新的会话密钥应答边缘节点
工业复杂产品终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和与之会话通信的终端标识IDE2,利用Kkey解密得到来自边缘设备的消息,间接证明了边缘设备的身真实性。最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功。
Figure BDA0003338945550000171
Figure BDA0003338945550000172
公式(1.10)含义:利用私钥解密消息得到认证成功消息和会话密钥。
公式(1.11)含义:利用会话密钥解密消息验证消息的一致性。
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥。
阶段二:工业复杂产品终端在安全域注册并通过认证后跨域认证
情况1:终端跨域时携带注册域边缘设备的认证通过的信息签名,外域边缘设备先验证信息的真实性,然后转发给注册域边缘设备再次验证以防重放攻击,工作原理如图3所示。
具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端IDT在PKG1安全域中进行注册,并完成了在注册域边缘节点IDE1的接入认证,同时获得由IDE1进行CA签名的通过认证信息Mes,里面包含终端的标识、已通过认证的边缘设备的标识、完成接入的信息;
步骤二:终端跨域移动后发送跨域接入请求
当发现移动到新的边缘设备IDE2和自己不处于同一个安全域内,则向该边缘设备发送跨域认证请求,主要包括自己的身份标识IDT、原属边缘设备的身份标识IDE1以及原属边缘设备的接入认证完成的签名信息Mes;将请求信息通过原会话密钥加密发送给边缘设备IDE2
CT=Kold(IDT||IDE1||Mes||tT||rT) 公式(2.1)
IDT→IDE2:Req||IDT||CT||IDE1||Mes||rT||tT 公式(2.2)
公式(2.1)含义:利用旧的会话密钥加密相关数据。
其中IDT表示终端设备标识,IDE1表示已通过认证的边缘设备标识,Mes表示通过原属边缘设备认证的签名信息,rT表示随机数,tT表示时间戳。
公式(2.2)含义:IDT向IDE2发送跨域接入请求的数据包。
其中CT表示终端已经通过IDE1认证的证明信息,Req表示接入请求。
步骤三:边缘设备初次验证终端身份
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,首先查询CA中心获得IDE1的证书,解密得到IDT、IDE1以及终端通过认证的消息。比较解密得到IDT和请求中的IDT是否一致,不一致则认证失败。一致则发送信息给边缘节点IDE2请求核实终端身份;
Figure BDA0003338945550000181
公式(2.3)含义:解密Mes得到终端和通过认证的边缘设备信息。
其中Succeed表示终端通过了边缘设备IDE1的认证。
步骤四:边缘节点IDE2请求终端注册域边缘节点IDE1核实终端身份
边缘节点IDE2判断认证列表中是否边有边缘节点IDE1,没有,则先进行边缘节点间CA双向认证并协商会话密钥KeyE1-E2。通过认证,则将终端的跨域请求中的CT发送给IDE1请求核实终端的身份。
IDE2→IDE1:(CT||IDT)KeyE1-E2 公式(2.4)
公式(2.4)含义:IDE2向IDE1发送终端请求信息请求核实真伪。
其中CT表示终端已经通过IDE1认证的证明信息。
步骤五:IDE1核实终端身份并返回给IDE2结果
IDE1收到来自IDE2的请求信息,进行核实,并将结果发送给IDE2
Figure BDA0003338945550000191
IDE1→IDE2:(true||IDT)KeyE1-E2 公式(2.6)
公式(2.5)含义:IDE1解密CT得到通过边缘设备的认证信息。
公式(2.6)含义:IDE1向IDE2发送终端通过认证的真实性结果。
其中true表示终端的信息真实,KeyE1-E2表示IDE1和IDE2的会话密钥。
步骤六:IDE1和IDE2协商新的终端会话密钥
边缘节点IDE2收到解密信息,核实了终端的跨域认证情况,并和IDE1协商得出终端新的会话密钥Kkey。使用终端原来的会话密钥对新的会话密钥进行加密,构建响应数据包,使用临时会话密钥进行加密发送给IDE2
IDE1→IDE2:(IDT||Kold(Kkey||success||IDE2))KeyE1-E2 公式(2.7)
公式(2.7)含义:IDE1向IDE2发送认证成功的信息以及新的终端会话密钥。
其中Kold表示旧的终端会话密钥,Kkey表示新的终端会话密钥,Kold(Kkey||success||IDE2)表示用终端旧的会话密钥对新的会话密钥进行加密。
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
边缘节点IDE2收到终端身份认证通过的消息,核实了终端的接入认证情况后,将通过认证的结果及其新的会话密钥发送给跨域请求的终端。
IDE2→IDT:Kold(Kkey||success||IDE2)||Kkey(Success) 公式(2.8)
公式(2.8)含义:IDE2向IDT发送认证成功的信息以及新的终端会话密钥。
步骤八:终端用新的会话密钥应答边缘节点
终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和跨域接入的边缘设备的标识IDE2,利用Kkey解密得到来自边缘设备的消息。最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功。
Figure BDA0003338945550000201
公式(2.9)含义:终端解密来自IDE2的信息得到成功接入的结果和新的会话密钥。
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥。
在该过程中,物联网终端设备无需复杂的计算和通信,将认证和密钥协商工作由边缘设备间完成,有效降低了终端设备的计算和通信开销。
情况2:工业复杂产品终端跨域时携带边缘设备颁发的域可信令牌,外域边缘设备收到终端的跨域请求信息,先发送给本域的中心认证服务器,然后由中心认证服务器发送给终端注册域的中心认证服务器来验证域可信令牌,这样避免了不同于安全域的边缘设备间的相互认证,终端跨域时域-域间的信息交互交给各自安全域的中心认证服务器,边缘设备只需要等待来自中心认证服务器的核实结果,工作原理图4所示。
具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数,并通过了边缘节点IDE1的接入认证,同时获得由边缘节点颁发的域可信令牌;
步骤二:终端移动至IDE2后发送跨域接入请求
终端快速移动到PKG2安全域中的边缘节点IDE2附近,终端设备连入IDE2,并发送接入认证请求报文,报文包括终端ID标识、IDE1认证成功后边缘节点颁发的可信令牌,开始跨域接入认证;
mT=(IDE2||IDT||tT||rT)skT 公式(3.1)
IDT→IDE2:Req||(IDT||Token||tT||rT)||mT 公式(3.2)
公式(3.1)含义:对终端和边缘设备的标识以及时间戳和随机数进行签名。
其中IDT表示终端设备标识,IDE2表示请求跨域接入的边缘设备标识,rT表示随机数,tT表示时间戳。
公式(3.2)含义:IDT向IDE2发送跨域接入请求的数据。
其中Req表示跨域接入请求,Token表示由已通过认证的边缘节点颁发的域可信令牌。
步骤三:IDE2将终端请求认证转发给本域的中心认证服务器
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,查询得知不是本域的终端设备,将其终端跨域信息和可信令牌转发给本域的中心认证服务器IDG2
IDE2→IDG2:((IDT||Token||tE2||rE2)||mT)PubG2 公式(3.3)
公式(3.3)含义:IDE2向IDG2发送终端跨域信息和域可信令牌请求核实。
其中tE2表示IDE2的时间戳,rE2表示IDE2的随机数,PubG2表示中心认证服务器IDG2的CA公钥。
步骤四:中心认证服务器向终端注册域发送身份核实请求
本域的中心认证服务器收到来自外域边缘设备IDE2的消息,解密得到终端的标识、可信令牌以及终端标识的签名,按照可信令牌上带有的安全域信息获得终端所在域的中心认证服务器IDG1,IDG1查询认证列表中是否边有中心认证服务器IDG2,有的话直接进行下一步,列表中没有,则IDG1和IDG2先进行CA双向身份认证。IDG1和IDG2互为可信设备后,IDG2将认证请求用IDG2的CA公钥加密,然后转发给PKG1的中心认证服务器IDG1请求核实终端的可信令牌的真实性;
IDG2→IDG1:((IDT||Token||IDE2||tG2||rG2||mT)SKG1)PubG1 公式(3.4)
公式(3.4)含义:IDG2向IDG1发送终端跨域信息和域可信令牌请求核实。
其中tG2表示IDG2的时间戳,rG2表示IDG2的随机数,SKG2表示IDG2的CA私钥,PubG1表示中心认证服务器IDG1的CA公钥。
步骤五:PKG1的中心认证服务器验证域可信令牌Token
域PKG1的中心认证服务器收到请求,解密得到终端的标识IDT、,通过终端的标识IDT计算其公钥并解密标识签名信息mT,核实终端的身份以及终端持有的令牌真伪情况,若终端的可信令牌真实,则IDG1与IDG2共同协商出终端会话密钥Kkey,然后将Kkey和验证结果一并发送给PKG2域的中心认证服务器IDG2
sT=(Success||Kkey||IDE2)QT 公式(3.5)
IDG1→IDG2:((Success||Kkey||sT)SKG1)PubG2 公式(3.6)
公式(3.5)含义:由终端的公钥加密新的会话密钥相关数据。
其中Success表示终端身份审核通过,IDE2表示跨域接入的边缘设备其身份可信,QT表示终端的公钥。
公式(3.6)含义:IDG1向IDG2发送终端身份核实的结果信息。
其中Kkey表示新的终端会话密钥。
步骤六:PKG2域的中心认证服务器返回给IDE1验证结果
PKG2域的中心认证服务器收到验证结果解密后,将结果转发给边缘节点IDE2
IDG2→IDE1:((Success||Kkey||sT)SKG2)PubE1 公式(3.7)
公式(3.7)含义:IDG1向IDE1发送终端身份核实可信的结果以及新的终端会话密钥。
其中SKG2表示IDG2的CA私钥,PubE2表示边缘节点IDE2的CA公钥。
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
IDE2收到消息解密后得知终端跨域请求信息真实。则通过终端的跨域认证请求,并告知终端通过认证。
IDE2→IDT:(IDE2||Success)Kkey||sT 公式(3.8)
公式(3.8)含义:IDE2向终端IDT发送认证通过的消息及其新的终端会话密钥给终端。
其中sT表示由终端的公钥加密新的会话密钥相关数据。
步骤八:终端用新的会话密钥应答边缘节点IDE2
终端IDT收到来自IDE2的消息,用私钥解密得到会话密钥Kkey,利用Kkey解密得到来自边缘设备的消息,即通过认证以及会话密钥的对象标识IDE2。终端IDT给边缘设备发送确认消息,边缘节点IDE2收到消息后通过终端的跨域认证。
Figure BDA0003338945550000231
Figure BDA0003338945550000232
公式(3.9)含义:终端利用私钥解密sT得到新的会话密钥Kkey以及与之会话的边缘设备。
公式(3.10)含义:终端利用会话密钥解密得到跨域接入的边缘设备通过的结果。
其中Kkey表示终端IDT和边缘设备IDE2的会话密钥。
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (4)

1.一种基于身份标识的工业复杂产品终端跨域接入认证方法,其特征在于包括两个阶段:
阶段一:工业复杂产品终端在一个安全域注册后首次跨域接入认证
步骤一:终端移动后发送跨域接入请求
工业复杂产品终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数;终端IDT在PKG1安全域未完成接入认证,快速移动到PKG1安全域中的边缘节点IDE2,并向IDE2发送接入认证请求报文,开始跨域接入认证;请求报文包括终端自己的身份标识、本域中心认证服务器标识、随机数和时间戳的签名结果mT及s其哈希运算结果cT
IDT→IDE2:Req||(IDT||IDE2||cT||mT) 公式(1.1)
cT=h2(rT||tT) 公式(1.2)
mT=(rT||tT)skT 公式(1.3)
公式(1.1)含义:IDT向IDE2发送请求接入相关的消息;
其中Req||(IDT||IDE2||cT||mT)表示由接入请求、终端设备标识、请求接入的边缘设备标识、哈希计算值和私钥签名结果组成的数据包;
其中IDT表示终端设备标识,IDE2表示请求接入的边缘设备标识;
公式(1.2)含义:通过哈希函数h2得到随机数rT和的哈希计算结果cT
其中h2表示哈希函数,rT表示随机数,tT表示时间戳;
公式(1.3)含义:通过终端的私钥生成随机数和时间戳的签名;
其中mT表示随机数rT和时间戳tT的签名结果,skT表示终端的私钥;
步骤二:边缘节点IDE2请求终端注册域核实终端身份
边缘设备IDE2收到工业复杂产品终端设备发来的跨域接入认证请求后,查看不是属于本域的终端设备,由于不属于同一个安全域,故无法解密得到mT、cT;边缘节点IDE2查询认证列表中是否边有中心认证服务器IDG1,没有,则先进行IDE2和IDG1间的CA双向认证并协商会话密钥KeyG1-E1,认证通过则将认证请求转发给中心认证服务器IDG1处理,否则认证失败;
IDE2→IDG1:(IDT||IDE2||cT||mT)PubG1 公式(1.4)
公式(1.4)含义:边缘设备IDE2向中心认证服务器IDG1发送由IDG1公钥加密的数据包;
其中IDT表示工业复杂产品终端设备标识,IDG1表示终端PKG1域的中心认证服务器,PubG1表示中心认证服务器IDG1的CA公钥;
步骤三:注册域中心认证服务器IDG1验证终端身份
PKG1域的中心认证服务器IDG1收到IDE2转发的终端跨域请求,由于IDE通过认证确认是可信的,则只进行IDG1对终端IDT的单向认证;即:计算终端IDT的公钥解密得到随机数和时间戳,首先验证时间戳tT的有效性,当检测结果为有效时间戳后,用h2哈希函数计算的结果和cT比较,如果不相等,则丢弃报文;如果相等,则利用双线性对性质验证等式是否成立:
QT=h1(IDT) 公式(1.5)
Figure FDA0003338945540000021
e(mT,-(rT+tT)P)=e(QT,Ppub) 公式(1.7)
公式(1.5)含义:通过函数h1计算得到终端的公钥QT
公式(1.6)含义:利用IDT的身份公钥解密mT得到随机数和时间戳;
其中mT表示随机数rT和时间戳tT的签名结果,QT表示终端的公钥;
公式(1.7)含义:中心认证服务器IDG1利用双线性对等式验证终端的公私钥合法性,即终端的身份合法性;
其中P是加法循环群任选一个的生成元,Ppub是安全域的系统公钥;
步骤四:IDG1与IDE2协商终端会话密钥
如果等式不成立,表明IDG1对IDT认证失败,则认为工业复杂产品终端设备身份不合法,返回Failure帧给外域的IDE1,拒绝IDT接入并断开连接;否则表明IDG2对IDT认证成功;在IDG1与IDE2共同协商出终端会话密钥Kkey,将Kkey和Success消息一起发送给IDE2
IDG1→IDE2:(Success||IDT||IDE2||Kkey||QT(IDE2||Kkey||Success))KeyE-G1 公式(1.8)
公式(1.8)含义:IDG1向IDE2发送终端身份认证结果以及终端会话密钥;
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥,KeyE-G1表示边缘设备IDE2和中心认证服务器IDG1的临时会话密钥;
步骤五:IDE2发送认证通过的消息及其终端会话密钥给终端
边缘节点IDE2收到认证成功的消息后,解密得到与工业复杂产品终端的会话密钥,发送跨域认证成功的消息给终端IDT
IDE2→IDT:(Success||IDT)Kkey||(IDE2||Kkey||Success)QT 公式(1.9)
公式(1.9)含义:IDE2向IDT发送认证通过的消息及其终端会话密钥;
其中Success表示认证成功,Kkey表示终端IDT与边缘设备IDE2的会话密钥;
步骤六:终端用新的会话密钥应答边缘节点
工业复杂产品终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和与之会话通信的终端标识IDE2,利用Kkey解密得到来自边缘设备的消息,间接证明了边缘设备的身真实性;最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功;
Figure FDA0003338945540000031
Figure FDA0003338945540000032
公式(1.10)含义:利用私钥解密消息得到认证成功消息和会话密钥;
公式(1.11)含义:利用会话密钥解密消息验证消息的一致性;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥;
阶段二:工业复杂产品终端在安全域注册并通过认证后跨域认证
情况1:终端跨域时携带注册域边缘设备的认证通过的信息签名,外域边缘设备先验证信息的真实性,然后转发给注册域边缘设备再次验证以防重放攻击,具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端IDT在PKG1安全域中进行注册,并完成了在注册域边缘节点IDE1的接入认证,同时获得由IDE1进行CA签名的通过认证信息Mes,里面包含终端的标识、已通过认证的边缘设备的标识、完成接入的信息;
步骤二:终端跨域移动后发送跨域接入请求
当发现移动到新的边缘设备IDE2和自己不处于同一个安全域内,则向该边缘设备发送跨域认证请求,包括自己的身份标识IDT、原属边缘设备的身份标识IDE1以及原属边缘设备的接入认证完成的签名信息Mes;将请求信息通过原会话密钥加密发送给边缘设备IDE2
CT=Kold(IDT||IDE1||Mes||tT||rT) 公式(2.1)
IDT→IDE2:Req||IDT||CT||IDE1||Mes||rT||tT 公式(2.2)
公式(2.1)含义:利用旧的会话密钥加密相关数据;
其中IDT表示终端设备标识,IDE1表示已通过认证的边缘设备标识,Mes表示通过原属边缘设备认证的签名信息,rT表示随机数,tT表示时间戳;
公式(2.2)含义:IDT向IDE2发送跨域接入请求的数据包;
其中CT表示终端已经通过IDE1认证的证明信息,Req表示接入请求;
步骤三:边缘设备初次验证终端身份
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,首先查询CA中心获得IDE1的证书,解密得到IDT、IDE1以及终端通过认证的消息。比较解密得到IDT和请求中的IDT是否一致,不一致则认证失败;一致则发送信息给边缘节点IDE2请求核实终端身份;
Figure FDA0003338945540000051
公式(2.3)含义:解密Mes得到终端和通过认证的边缘设备信息;
其中Succeed表示终端通过了边缘设备IDE1的认证;
步骤四:边缘节点IDE2请求终端注册域边缘节点IDE1核实终端身份
边缘节点IDE2判断认证列表中是否边有边缘节点IDE1,没有,则先进行边缘节点间CA双向认证并协商会话密钥KeyE1-E2;通过认证,则将终端的跨域请求中的CT发送给IDE1请求核实终端的身份;
IDE2→IDE1:(CT||IDT)KeyE1-E2 公式(2.4)
公式(2.4)含义:IDE2向IDE1发送终端请求信息请求核实真伪;
其中CT表示终端已经通过IDE1认证的证明信息;
步骤五:IDE1核实终端身份并返回给IDE2结果
IDE1收到来自IDE2的请求信息,进行核实,并将结果发送给IDE2
Figure FDA0003338945540000052
IDE1→IDE2:(true||IDT)KeyE1-E2 公式(2.6)
公式(2.5)含义:IDE1解密CT得到通过边缘设备的认证信息;
公式(2.6)含义:IDE1向IDE2发送终端通过认证的真实性结果;
其中true表示终端的信息真实,KeyE1-E2表示IDE1和IDE2的会话密钥;
步骤六:IDE1和IDE2协商新的终端会话密钥
边缘节点IDE2收到解密信息,核实了终端的跨域认证情况,并和IDE1协商得出终端新的会话密钥Kkey;使用终端原来的会话密钥对新的会话密钥进行加密,构建响应数据包,使用临时会话密钥进行加密发送给IDE2
IDE1→IDE2:(IDT||Kold(Kkey||success||IDE2))KeyE1-E2 公式(2.7)
公式(2.7)含义:IDE1向IDE2发送认证成功的信息以及新的终端会话密钥;
其中Kold表示旧的终端会话密钥,Kkey表示新的终端会话密钥,Kold(Kkey||success||IDE2)表示用终端旧的会话密钥对新的会话密钥进行加密;
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
边缘节点IDE2收到终端身份认证通过的消息,核实了终端的接入认证情况后,将通过认证的结果及其新的会话密钥发送给跨域请求的终端;
IDE2→IDT:Kold(Kkey||success||IDE2)||Kkey(Success) 公式(2.8)
公式(2.8)含义:IDE2向IDT发送认证成功的信息以及新的终端会话密钥;
步骤八:终端用新的会话密钥应答边缘节点
终端IDT收到来在IDE2的消息,用私钥解密得到会话密钥Kkey和跨域接入的边缘设备的标识IDE2,利用Kkey解密得到来自边缘设备的消息;最后,终端IDT用新的会话密钥加密消息应答边缘节点IDE2,跨域接入认证成功;
Figure FDA0003338945540000061
公式(2.9)含义:终端解密来自IDE2的信息得到成功接入的结果和新的会话密钥;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥;
在该过程中,物联网终端设备无需复杂的计算和通信,将认证和密钥协商工作由边缘设备间完成,有效降低了终端设备的计算和通信开销;
情况2:工业复杂产品终端跨域时携带边缘设备颁发的域可信令牌,外域边缘设备收到终端的跨域请求信息,先发送给本域的中心认证服务器,然后由中心认证服务器发送给终端注册域的中心认证服务器来验证域可信令牌;具体实施步骤如下:
步骤一:终端注册并进行边缘节点的接入认证
终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数,并通过了边缘节点IDE1的接入认证,同时获得由边缘节点颁发的域可信令牌;
步骤二:终端移动至IDE2后发送跨域接入请求
终端快速移动到PKG2安全域中的边缘节点IDE2附近,终端设备连入IDE2,并发送接入认证请求报文,报文包括终端ID标识、IDE1认证成功后边缘节点颁发的可信令牌,开始跨域接入认证;
mT=(IDE2||IDT||tT||rT)skT 公式(3.1)
IDT→IDE2:Req||(IDT||Token||tT||rT)||mT 公式(3.2)
公式(3.1)含义:对终端和边缘设备的标识以及时间戳和随机数进行签名;
其中IDT表示终端设备标识,IDE2表示请求跨域接入的边缘设备标识,rT表示随机数,tT表示时间戳;
公式(3.2)含义:IDT向IDE2发送跨域接入请求的数据;
其中Req表示跨域接入请求,Token表示由已通过认证的边缘节点颁发的域可信令牌;
步骤三:IDE2将终端请求认证转发给本域的中心认证服务器
边缘设备IDE2收到终端设备发来的跨域接入认证请求后,查询得知不是本域的终端设备,将其终端跨域信息和可信令牌转发给本域的中心认证服务器IDG2
IDE2→IDG2:((IDT||Token||tE2||rE2)||mT)PubG2 公式(3.3)
公式(3.3)含义:IDE2向IDG2发送终端跨域信息和域可信令牌请求核实;
其中tE2表示IDE2的时间戳,rE2表示IDE2的随机数,PubG2表示中心认证服务器IDG2的CA公钥;
步骤四:中心认证服务器向终端注册域发送身份核实请求
本域的中心认证服务器收到来自外域边缘设备IDE2的消息,解密得到终端的标识、可信令牌以及终端标识的签名,按照可信令牌上带有的安全域信息获得终端所在域的中心认证服务器IDG1,IDG1查询认证列表中是否边有中心认证服务器IDG2,有的话直接进行下一步,列表中没有,则IDG1和IDG2先进行CA双向身份认证;IDG1和IDG2互为可信设备后,IDG2将认证请求用IDG2的CA公钥加密,然后转发给PKG1的中心认证服务器IDG1请求核实终端的可信令牌的真实性;
IDG2→IDG1:((IDT||Token||IDE2||tG2||rG2||mT)SKG1)PubG1 公式(3.4)
公式(3.4)含义:IDG2向IDG1发送终端跨域信息和域可信令牌请求核实;
其中tG2表示IDG2的时间戳,rG2表示IDG2的随机数,SKG2表示IDG2的CA私钥,PubG1表示中心认证服务器IDG1的CA公钥;
步骤五:PKG1的中心认证服务器验证域可信令牌Token
域PKG1的中心认证服务器收到请求,解密得到终端的标识IDT、,通过终端的标识IDT计算其公钥并解密标识签名信息mT,核实终端的身份以及终端持有的令牌真伪情况,若终端的可信令牌真实,则IDG1与IDG2共同协商出终端会话密钥Kkey,然后将Kkey和验证结果一并发送给PKG2域的中心认证服务器IDG2
sT=(Success||Kkey||IDE2)QT 公式(3.5)
IDG1→IDG2:((Success||Kkey||sT)SKG1)PubG2 公式(3.6)
公式(3.5)含义:由终端的公钥加密新的会话密钥相关数据;
其中Success表示终端身份审核通过,IDE2表示跨域接入的边缘设备其身份可信,QT表示终端的公钥;
公式(3.6)含义:IDG1向IDG2发送终端身份核实的结果信息;
其中Kkey表示新的终端会话密钥;
步骤六:PKG2域的中心认证服务器返回给IDE1验证结果
PKG2域的中心认证服务器收到验证结果解密后,将结果转发给边缘节点IDE2
IDG2→IDE1:((Success||Kkey||sT)SKG2)PubE1 公式(3.7)
公式(3.7)含义:IDG1向IDE1发送终端身份核实可信的结果以及新的终端会话密钥;
其中SKG2表示IDG2的CA私钥,PubE2表示边缘节点IDE2的CA公钥;
步骤七:IDE2发送认证通过的消息及其新的终端会话密钥给终端
IDE2收到消息解密后得知终端跨域请求信息真实。则通过终端的跨域认证请求,并告知终端通过认证。
IDE2→IDT:(IDE2||Success)Kkey||sT 公式(3.8)
公式(3.8)含义:IDE2向终端IDT发送认证通过的消息及其新的终端会话密钥给终端。
其中sT表示由终端的公钥加密新的会话密钥相关数据;
步骤八:终端用新的会话密钥应答边缘节点IDE2
终端IDT收到来自IDE2的消息,用私钥解密得到会话密钥Kkey,利用Kkey解密得到来自边缘设备的消息,即通过认证以及会话密钥的对象标识IDE2;终端IDT给边缘设备发送确认消息,边缘节点IDE2收到消息后通过终端的跨域认证;
Figure FDA0003338945540000091
Figure FDA0003338945540000092
公式(3.9)含义:终端利用私钥解密sT得到新的会话密钥Kkey以及与之会话的边缘设备;
公式(3.10)含义:终端利用会话密钥解密得到跨域接入的边缘设备通过的结果;
其中Kkey表示终端IDT和边缘设备IDE2的会话密钥;
综上,IDT完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥。
2.一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1所述的方法。
3.一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1所述的方法。
4.一种计算机程序,其特征在于包括计算机可执行指令,所述指令在被执行时用于实现权利要求1所述的方法。
CN202111302664.XA 2021-11-05 2021-11-05 一种基于身份标识的工业复杂产品终端跨域接入认证方法 Pending CN114037457A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111302664.XA CN114037457A (zh) 2021-11-05 2021-11-05 一种基于身份标识的工业复杂产品终端跨域接入认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111302664.XA CN114037457A (zh) 2021-11-05 2021-11-05 一种基于身份标识的工业复杂产品终端跨域接入认证方法

Publications (1)

Publication Number Publication Date
CN114037457A true CN114037457A (zh) 2022-02-11

Family

ID=80136378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111302664.XA Pending CN114037457A (zh) 2021-11-05 2021-11-05 一种基于身份标识的工业复杂产品终端跨域接入认证方法

Country Status (1)

Country Link
CN (1) CN114037457A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900288A (zh) * 2022-05-23 2022-08-12 科大天工智能装备技术(天津)有限公司 一种基于边缘服务的工业环境认证方法
CN116506221A (zh) * 2023-06-25 2023-07-28 金锐同创(北京)科技股份有限公司 工业交换机准入的控制方法、装置、计算机设备及介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900288A (zh) * 2022-05-23 2022-08-12 科大天工智能装备技术(天津)有限公司 一种基于边缘服务的工业环境认证方法
CN114900288B (zh) * 2022-05-23 2023-08-25 北京科技大学 一种基于边缘服务的工业环境认证方法
CN116506221A (zh) * 2023-06-25 2023-07-28 金锐同创(北京)科技股份有限公司 工业交换机准入的控制方法、装置、计算机设备及介质
CN116506221B (zh) * 2023-06-25 2023-09-19 金锐同创(北京)科技股份有限公司 工业交换机准入的控制方法、装置、计算机设备及介质

Similar Documents

Publication Publication Date Title
Wang et al. Blockchain-based anonymous authentication with key management for smart grid edge computing infrastructure
Garg et al. An efficient blockchain-based hierarchical authentication mechanism for energy trading in V2G environment
CN101902476B (zh) 移动p2p用户身份认证方法
Saied et al. A distributed approach for secure M2M communications
CN114499898B (zh) 一种区块链跨链安全接入方法及装置
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
CN114037457A (zh) 一种基于身份标识的工业复杂产品终端跨域接入认证方法
CN112039660B (zh) 一种物联网节点群组身份安全认证方法
CN114884698B (zh) 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN105049434A (zh) 一种对等网络环境下的身份认证方法与加密通信方法
Cui et al. Efficient and anonymous cross-domain authentication for IIoT based on blockchain
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
CN110752934B (zh) 拓扑结构下网络身份交互认证的方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN116760530A (zh) 一种电力物联终端轻量级认证密钥协商方法
CN112468983B (zh) 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置
Shahidinejad et al. Decentralized lattice-based device-to-device authentication for the edge-enabled IoT
Bala et al. A lightweight remote user authentication protocol for smart e-health networking environment
CN115459975A (zh) 一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法
Liu et al. Privacy‐preserving registration protocol for mobile network
Songshen et al. Hash-Based Signature for Flexibility Authentication of IoT Devices
Babu et al. Fog‐Sec: Secure end‐to‐end communication in fog‐enabled IoT network using permissioned blockchain system
Wei et al. Secure and Efficient Certificateless Authentication Key Agreement Protocol in VANET
CN113315762B (zh) 身份密码学实现安全通信的分散式网络认证方法
Liu et al. A Novel Certificateless Authentication and Key Agreement Protocol for Smart Grid

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination