CN114172742A - 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 - Google Patents
基于节点地图与边缘认证的电力物联网终端设备分层认证方法 Download PDFInfo
- Publication number
- CN114172742A CN114172742A CN202111588972.3A CN202111588972A CN114172742A CN 114172742 A CN114172742 A CN 114172742A CN 202111588972 A CN202111588972 A CN 202111588972A CN 114172742 A CN114172742 A CN 114172742A
- Authority
- CN
- China
- Prior art keywords
- authentication
- node
- edge
- equipment
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000005540 biological transmission Effects 0.000 claims abstract description 5
- 239000013598 vector Substances 0.000 claims description 32
- 230000006870 function Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 230000002950 deficient Effects 0.000 claims description 8
- 239000011159 matrix material Substances 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 7
- 238000003064 k means clustering Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 13
- 230000000694 effects Effects 0.000 abstract description 3
- 238000001914 filtration Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 36
- 230000007246 mechanism Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法,属于信息安全技术领域。物联管理平台首先依据多维度特征对终端设备进行群组聚类划分,从中产生边缘认证节点;之后利用各接入设备的信息构建节点地图,由各边缘认证节点对其余设备进行一对一认证,最终完成物联管理平台、边缘认证节点与其余终端设备之间的信任链传递。当新设备请求接入时,根据新设备的所属群组指定物联管理平台或边缘认证节点对新设备执行认证流程。本发明充分利用了电力物联系统中的边缘计算资源、网络资源与存储资源,降低了物联管理平台的资源压力,同时节约认证流程,提升了认证效率,且对意图非法接入访问的恶意设备具有良好的过滤与拒止作用。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法。
背景技术
电力物联网系统是物联网技术在智能电网中的应用,是电力系统相关软硬件、网络、通讯设备、应用业务和用户等共同构成的人机一体化电力物联系统,物联管理平台和物联终端设备组成了电力物联网的基础架构。电力物联网的发展推进了电力系统的智能化、现代化,与此同时电力物联网的安全性也变得愈发重要。电力物联网中的终端设备数量巨大且增长迅速,终端的差异性和多样性明显,这为非法设备、恶意设备的接入提供了可乘之机,可能导致系统敏感数据的泄露,威胁系统的正常运转。当前主流认证机制在每个物联终端设备接入系统时都需要执行一次包括了验证用户与网络建立安全链接的密钥信息的认证过程。鉴于目前终端设备数量已达到了前所未有的数量级,传统的一对一认证方式给物联管理平台带来巨大的网络通信、数据计算压力。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法,通过终端设备资源的多维度特性对终端设备进行分组,从中选出担任边缘认证节点的终端设备并构造设备节点地图,边缘认证设备利用节点地图对其余终端设备进行高效认证,建立信任传递链,具有完整信任传递链的设备才可通过认证;当新设备请求接入时,根据新设备的所属群组指定物联管理平台或边缘认证节点对新设备执行认证流程。本发明充分利用了电力物联系统中的边缘计算资源、网络资源与存储资源,降低了物联管理平台的资源压力,同时节约了认证流程,加快了网络对请求认证的终端设备的相应速度,提升了认证效率,并且基于该分层认证方法建立的电力物联网系统对意图非法接入访问的恶意设备具有良好的过滤与拒止作用,可以在大量终端设备的应用场景下实现安全高效认证。
本发明采用的技术方案是:
一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法,物联管理平台首先依据多维度特征对请求接入电力物联网的所有终端设备进行群组聚类划分,在所有终端设备中产生边缘认证节点;之后物联管理平台利用所有终端设备的信息构建节点地图,各边缘认证节点依据节点地图对其余设备进行基于身份信息的一对一认证,完成物联管理平台、边缘认证节点与其余终端设备之间的信任链传递,任何不处于信任链中的设备将被拒绝接入网络。
进一步的,所述的分层认证方法具体包括如下步骤:
步骤1:电力物联网首次建立时,物联管理平台对下辖所有终端设备依据计算资源、存储资源、网络资源的多维度信息构造特征向量,对所有终端设备进行二分K-Means聚类,分为“资源充足”、“资源适中”、“资源匮乏”三种类别;
步骤2:将物联管理平台作为系统信任链传递起点,利用物联管理平台对步骤1产生的“资源充足”组别中的终端设备进行基于身份信息的一对一认证;对认证成功的终端设备标记为边缘认证节点,并赋予认证位于“资源适中”、“资源匮乏”组别中的终端设备的权限;
步骤3:计算各个边缘认证节点设备与其余终端设备间的距离d,构建初始节点地图;所述的节点地图中的每一个节点代表一台待接入电力物联网系统的终端设备,将除标记为边缘认证节点之外的所有节点标记为未响应节点;由物联管理平台将初始节点地图广播至各个边缘认证节点;
步骤4:由边缘认证节点对未响应节点进行一对一认证,建立边缘认证节点与其余节点的信任关系;
步骤5:待新的终端设备请求接入网络时,计算请求接入设备与各个边缘认证节点间的距离,并更新节点地图;判断请求接入设备的所属类别,若请求接入设备属于“资源充足”类别,则由物联管理平台对请求接入设备进行认证,并将认证成功的新设备标记为边缘认证节点;若请求接入设备不属于“资源充足”类别,则由物联管理平台将新设备的认证请求广播至节点地图上所有处于信任链中的边缘认证节点,由距离新设备最近的边缘认证节点对请求接入设备进行认证。
进一步的,所述的节点地图包括邻接矩阵以及对应的状态向量;节点地图的构建方式包括:
获取各个终端设备的地理位置、设备归属权、设备类型、设备功能、设备型号以及固件版本信息数据,通过哈希函数映射至一维数字域,得到表征每一个终端设备的多维特征向量;
将除边缘认证节点之外的其余节点与所有边缘认证节点一一相连,根据多维特征向量计算相连节点之间的距离,存储到大小为N×N的邻接矩阵中,N表示所有终端设备的数量;
各个终端设备的状态类型构成长度为N的状态向量,所述的状态类型包括边缘认证节点、未响应节点和已响应节点;在初始化的节点地图中,除边缘认证节点之外的其余节点均标记为未响应节点。
本发明的有益效果是:
首先,本发明基于电力物联网物联管理平台与物联终端设备的分布架构,提出了基于节点地图与边缘认证的电力物联网终端设备分层认证方法,相较于目前的物联网认证机制具有较大的改进。该方法通过构建边缘认证节点,充分利用了电力物联系统中的边缘计算资源、网络资源与存储资源,降低了物联管理平台的资源压力,同时基于节点地图的认证方式节约了认证流程,加快了网络对请求认证的终端设备的响应速度,提升了认证效率,并且得益于网络基于一对一身份认证的多层信任传递链的架构,基于该方法建立的电力物联网系统对意图非法接入访问的恶意设备具有良好的过滤与拒止作用。
附图说明
图1为本发明实施例示出的初次物联系统构建的流程图;
图2为本发明实施例示出的后续终端设备接入过程的流程图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
附图中所示的流程图仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本发明提出一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法,物联管理平台首先依据多维度特征对请求接入电力物联网的终端设备进行群组聚类划分,在所有设备中产生边缘认证节点,之后物联管理平台利用各接入设备的信息构建节点地图,各边缘认证节点依据节点地图对其余设备进行基于身份信息的一对一认证,最终完成物联管理平台、边缘认证节点与其余终端设备之间的信任链传递,任何不处于信任链中的设备将被拒绝接入网络。该过程具体为:
首先,信任链表示的是电力物联网系统中设备的安全准入认证可以通过链式法则传播。在本发明中以如下形式呈现:设备C,E,O分别代表物联网中的物联管理平台,边缘认证节点设备以及其他终端设备,C与E认证成功建立互相信任关系后表示为E与O认证成功并建立互相信任关系后表示为则C与O之间可以通过链式法则构建起信任关系,表示为此时可以等效为物联管理平台C与其他终端设备O依赖边缘认证节点设备E通过了对方的一对一身份认证。
如图1所示,本发明的方法包括如下步骤:
步骤1:在电力物联网多样化场景中,性能各异的物联终端设备为适配不同的任务目标而被部署。电力物联网首次建立时,物联管理平台将对下辖所有终端设备依据计算资源、存储资源、网络资源的多维度信息构造特征进行二分 K-Means聚类,将下辖设备分为“资源充足”、“资源适中”、“资源匮乏”三种类别;具体的,分类终端设备所需的计算资源为CPU型号、CPU平均占用率,存储资源为平均剩余可用内存、磁盘占用率、网络资源为网络带宽、数据最大吞吐量。
步骤2:物联管理平台通常具有专业团队进行运营、防护,等级较高,安全性好,默认作为可信设备,故将之作为信任传递链的起点。加密认证过程需要占用大量的网络、内存和CPU计算资源,资源不充足的设备担任边缘认证节点会成为系统认证流程的瓶颈,据此,系统筛选资源充足的设备担任边缘认证节点。物联管理平台与处于步骤1产生的“资源充足”组别中的终端设备进行基于身份信息的一对一认证,尝试传递信任链,建立的信任关系,成功获得信任链链接的终端设备将被赋予认证其余位于“资源适中”、“资源匮乏”组别中的终端设备的权限,成为边缘认证节点;
步骤3:物联管理平台对所有待接入的终端设备利用采集得到的地理位置、设备归属权、设备类型、设备功能、设备型号以及固件版本信息数据计算各个边缘认证节点设备与其余终端设备间的距离d,并依据计算得到的距离d构建节点地图MAP。
本实施例中,利用上述六维信息计算距离d时,各维度数据首先通过哈希函数映射至一维数字域,再利用各维度的一维数字域数据计算出各个边缘认证节点与其余终端设备间的欧氏距离作为计算结果d。在计算过程中,本领域的技术人员可以根据经验对各个维度的数字域数据预先赋予不同的权重,目的在于合理地用各维度信息差异体现终端设备节点之间的距离。
利用计算得到的距离d构建节点地图MAP,节点地图中的每一个节点代表一台待接入电力物联网系统的终端设备,节点将被表示为边缘认证节点、未响应节点以及已响应节点中的一种。节点地图的具体表现与存储方式为邻接矩阵以及对应的状态向量,其中,邻接矩阵用于表示节点之间的连接关系以及相对应的距离 d,状态向量用于表示各节点的状态。假设所有待接入的终端设备数量为N,计算得到的N个节点间的距离将被存储在大小为N×N的邻接矩阵中,同时创建一个长度为N的状态向量,用于存储各节点的状态。
在所述的状态向量中,各节点将以下述三种状态中的一种进行表示:
a.边缘认证节点(E);b.未响应节点(UN);c.已响应节点(RE)。
在所述的节点地图中,边缘认证节点之间互不相连,而除边缘认证节点之外的其余节点均与所有边缘认证节点一一相连,相连节点间的距离d将被存储在邻接矩阵中。在初始化节点地图时,边缘认证节点在状态向量中标为E,其余所有节点标为UN。初始节点地图构建完成后,由物联管理平台向各个边缘节点广播。
步骤4:边缘认证节点与其余节点间一对一认证,建立边缘认证节点与其余节点的信任关系,具体为:
步骤4.1:各个边缘认证节点依据节点地图对与其相连的未响应节点(待认证终端设备)基于距离进行冒泡排序,并以由近及远的方式确定访问顺序;各个边缘认证节点向节点地图上的节点依次发送一对一认证请求,若收到请求的设备未曾回应其他边缘认证节点的认证请求,则响应该请求,若已回应过其他边缘认证节点的认证请求,则忽略该请求;
步骤4.2:边缘认证节点收到来自其他节点的响应后,更新自身存储的节点地图中的状态向量,将已经响应请求的节点在状态向量中的状态从未响应状态更改为已响应状态,同时将更新后的状态向量发送回物联管理平台;
步骤4.3:物联管理平台将以单位时间t为间隔更新节点地图,具体为:物联管理平台会整合时间t内收到的来自各个边缘节点的更新后的状态向量,由于各个边缘节点更新的状态向量仅包含其自身发送请求的待认证终端设备的状态变化,经物联管理平台整合更新后,重新建立整体更新后的状态向量,并将其重新广播至各边缘认证节点,由各边缘认证节点更新其自身存储的节点地图,减少了边缘认证节点对其余节点的重复访问;
步骤4.4:重复步骤4.1至4.3,直至经过阈值k个单位时间t后(阈值k与单位时间t,可由系统管理人员进行调试,以在网络验证完整性与网络验证效率间找到最佳平衡点),物联管理平台整合获得的节点地图中的状态向量不再更新,说明所有的待认证终端设备已全部认证完毕,此时物联管理平台向各边缘认证节点发送停止认证请求指令,边缘认证节点停止发送认证请求,边缘认证节点与其余节点间的可信通信构建完成,存在信任关系 并产生信任传递链首次电力物联网构建完成。
步骤5:在首次构建电力物联网完成后,若后续有新的终端设备需要接入网络,需依据如图2所示的方法完成认证,具体为:
步骤5.1:物联管理平台获取请求接入设备的计算资源、网络资源、存储资源的多维度信息,计算与步骤1中所述的“资源充足”、“资源适中”、“资源匮乏”三种组别的聚类中心点的Pearson相关系数,请求接入设备将被归类至相关系数最大的组别中。
步骤5.2:物联管理平台利用请求接入设备的地理位置、设备归属权、设备类型、设备功能、设备型号以及固件版本信息数据,计算请求接入设备与各个边缘认证节点间的距离,并在节点地图上扩充代表该新设备的节点,以下简称为新节点。
步骤5.3:若新节点为处于“资源丰富”组别中,物联管理平台将对新节点发送一对一认证请求,成功后新节点成为新的边缘认证节点;若新节点处于其余组别中,则物联管理平台将新节点的认证请求广播给节点地图上所有处于信任链中的边缘认证节点,在节点地图中距离新节点最近的边缘认证节点向新节点发送一对一认证请求,新节点对认证请求响应,则认证成功,新节点加入信任链;若新节点未对认证请求响应,则认证失败,物联管理平台将该新节点从节点地图中删除,该请求接入的终端设备将被拒绝加入网络。
在本发明的一项具体实施中,设备间的一对一认证采用基于身份信息的一对一认证机制进行,待认证终端设备、可信任终端设备(物联管理平台或边缘认证节点对应的终端设备)以及密钥生成中心共同组成认证机制的参与者,认证流程具体包括离线注册与在线认证两部分,具体为:
离线注册:用于生成终端设备私钥。密钥生成中心将利用包括设备序列号、发行者名、主体名、签名、设备固件版本的多维数字身份信息以及随机生成的密钥算法基础参数,依靠椭圆曲线密码学原理生成对应设备的私钥;
在线认证:在终端物联设备完成安装后,待认证设备与可信设备间的通信阶段,用于待认证终端设备与处于信任链中的设备的信任关系建立。具体在线认证过程如步骤a~步骤c所示,认证双方表示为信任设备T与待认证设备P,其公钥分别表示为QT和QP,私钥分别表示为dT和dP,则:
a:设备T与设备P分别通过自身私钥与对方公钥,通过双线性计算获得会话密钥KTP=KT=KP;其中,KT和KP分别是设备T与设备P计算得到的会话密钥,当KT=KP时才可以实现对话,KT是根据设备T私钥与设备P公钥计算得到的,KP是根据设备P私钥与设备T计算得到的。
b:待认证设备P以响应验证消息M以及会话密钥KTP作为哈希函数输入,生成散列消息认证码,同时利用会话密钥KTP将消息M加密,将密文信息和散列消息认证码发送给信任设备T。
c:信任设备T利用会话密钥对密文信息进行解密,获得明文响应验证消息M,同时生成用于校验的散列消息校验码,并与从待认证设备处获得的散列消息认证码进行校验,若认证码与校验码匹配则证明待认证设备为合法终端且消息为原始信息,待认证设备与信任设备间建立可信通信。
步骤a至步骤c示出了本实施例采用的一种一对一认证机制,本领域技术人员可以对该认证机制进行等价替换,只要符合常规的认证要求即可。
以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (6)
1.一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,物联管理平台首先依据多维度特征对请求接入电力物联网的所有终端设备进行群组聚类划分,在所有终端设备中产生边缘认证节点;之后物联管理平台利用所有终端设备的信息构建节点地图,各边缘认证节点依据节点地图对其余设备进行基于身份信息的一对一认证,完成物联管理平台、边缘认证节点与其余终端设备之间的信任链传递,任何不处于信任链中的设备将被拒绝接入网络。
2.根据权利要求1所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,所述的分层认证方法具体包括如下步骤:
步骤1:电力物联网首次建立时,物联管理平台对下辖所有终端设备依据计算资源、存储资源、网络资源的多维度信息构造特征向量,对所有终端设备进行二分K-Means聚类,分为“资源充足”、“资源适中”、“资源匮乏”三种类别;
步骤2:将物联管理平台作为系统信任链传递起点,利用物联管理平台对步骤1产生的“资源充足”组别中的终端设备进行基于身份信息的一对一认证;对认证成功的终端设备标记为边缘认证节点,并赋予认证位于“资源适中”、“资源匮乏”组别中的终端设备的权限;
步骤3:计算各个边缘认证节点设备与其余终端设备间的距离d,构建初始节点地图;所述的节点地图中的每一个节点代表一台待接入电力物联网系统的终端设备,将除标记为边缘认证节点之外的所有节点标记为未响应节点;由物联管理平台将初始节点地图广播至各个边缘认证节点;
步骤4:由边缘认证节点对未响应节点进行一对一认证,建立边缘认证节点与其余节点的信任关系;
步骤5:待新的终端设备请求接入网络时,计算请求接入设备与各个边缘认证节点间的距离,并更新节点地图;判断请求接入设备的所属类别,若请求接入设备属于“资源充足”类别,则由物联管理平台对请求接入设备进行认证,并将认证成功的新设备标记为边缘认证节点;若请求接入设备不属于“资源充足”类别,则由物联管理平台将新设备的认证请求广播至节点地图上所有处于信任链中的边缘认证节点,由距离新设备最近的边缘认证节点对请求接入设备进行认证。
3.根据权利要求2所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,步骤1所述的计算资源包括CPU型号、CPU平均占用率;存储资源包括平均剩余可用内存、磁盘占用率;网络资源包括网络带宽、数据最大吞吐量。
4.根据权利要求2所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,所述的节点地图包括邻接矩阵以及对应的状态向量;节点地图的构建方式包括:
获取各个终端设备的地理位置、设备归属权、设备类型、设备功能、设备型号以及固件版本信息数据,通过哈希函数映射至一维数字域,得到表征每一个终端设备的多维特征向量;
将除边缘认证节点之外的其余节点与所有边缘认证节点一一相连,根据多维特征向量计算相连节点之间的距离,存储到大小为N×N的邻接矩阵中,N表示所有终端设备的数量;
各个终端设备的状态类型构成长度为N的状态向量,所述的状态类型包括边缘认证节点、未响应节点和已响应节点;在初始化的节点地图中,除边缘认证节点之外的其余节点均标记为未响应节点。
5.根据权利要求4所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,所述的步骤4具体为:
步骤4.1:各个边缘认证节点依据节点地图对与其相连的未响应节点基于距离进行冒泡排序,并以由近及远的方式确定访问顺序;各个边缘认证节点向节点地图上的节点依次发送一对一认证请求,若收到请求的设备未曾回应其他边缘认证节点的认证请求,则响应该请求,若已回应过其他边缘认证节点的认证请求,则忽略该请求;
步骤4.2:边缘认证节点收到来自其他节点的响应后,更新自身存储的节点地图中的状态向量,将已经响应请求的节点在状态向量中的状态从未响应状态更改为已响应状态,同时将更新后的状态向量发送回物联管理平台;
步骤4.3:物联管理平台将以单位时间t为间隔更新节点地图,具体为:物联管理平台会整合时间t内收到的来自各个边缘节点的更新后的状态向量,重新建立整体更新后的状态向量,并将其重新广播至各边缘认证节点,由各边缘认证节点更新其自身存储的状态向量,减少边缘认证节点对其余节点的重复访问;
步骤4.4:重复步骤4.1至4.3,直至物联管理平台整合获得的节点地图中的状态向量不再更新后,物联管理平台向各边缘认证节点发送停止认证请求指令,边缘认证节点停止发送认证请求,边缘认证节点与其余节点间的信任关系构建完成,至此物联管理平台、边缘认证节点、其余节点之间的信任传递链建立,首次电力物联网构建完成。
6.根据权利要求4所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方法,其特征在于,所述的步骤5具体为:
步骤5.1:物联管理平台获取请求接入设备的计算资源、网络资源、存储资源的多维度信息,计算与步骤1中所述的“资源充足”、“资源适中”、“资源匮乏”三种组别的聚类中心点的相关系数,将请求接入设备归类至相关系数最大的组别中;
步骤5.2:利用请求接入设备的地理位置、设备归属权、设备类型、设备功能、设备型号以及固件版本信息数据,计算请求接入设备与各个边缘认证节点间的距离,并在节点地图上扩充代表请求接入设备的新节点;
步骤5.3:若新节点为处于“资源丰富”组别中,物联管理平台对新节点发送一对一认证请求,认证成功后,将新节点标记为新的边缘认证节点;
若新节点处于“资源适中”或“资源匮乏”组别中,则物联管理平台将新节点的认证请求广播至节点地图上所有处于信任链中的边缘认证节点,由节点地图中距离新节点最近的边缘认证节点向新节点发送一对一认证请求,新节点对认证请求响应,则认证成功,新节点加入信任链;若新节点未对认证请求响应,则认证失败,物联管理平台将所述的新节点从节点地图中删除,电力物联网拒绝新终端设备的加入请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111588972.3A CN114172742B (zh) | 2021-12-23 | 2021-12-23 | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111588972.3A CN114172742B (zh) | 2021-12-23 | 2021-12-23 | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114172742A true CN114172742A (zh) | 2022-03-11 |
CN114172742B CN114172742B (zh) | 2024-02-20 |
Family
ID=80487938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111588972.3A Active CN114172742B (zh) | 2021-12-23 | 2021-12-23 | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172742B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114666788A (zh) * | 2022-03-17 | 2022-06-24 | 国网浙江省电力有限公司信息通信分公司 | 基于终端设备特性的群组认证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
CN111221649A (zh) * | 2019-12-31 | 2020-06-02 | 布比(北京)网络技术有限公司 | 边缘资源存储方法、访问方法及装置 |
CN111683136A (zh) * | 2020-06-05 | 2020-09-18 | 国网冀北电力有限公司电力科学研究院 | 配电物联网的节点安全监控方法、装置和配电物联网系统 |
CN112714164A (zh) * | 2020-12-22 | 2021-04-27 | 北京国电通网络技术有限公司 | 一种物联网系统及其任务调度方法 |
CN112910861A (zh) * | 2021-01-19 | 2021-06-04 | 浙江大学 | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 |
CN113434837A (zh) * | 2021-06-11 | 2021-09-24 | 青岛海尔科技有限公司 | 用于设备身份认证的方法、装置及智慧家庭系统 |
CN113591103A (zh) * | 2021-06-29 | 2021-11-02 | 中国电力科学研究院有限公司 | 一种电力物联网智能终端间的身份认证方法和系统 |
-
2021
- 2021-12-23 CN CN202111588972.3A patent/CN114172742B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180212970A1 (en) * | 2017-01-20 | 2018-07-26 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
CN111221649A (zh) * | 2019-12-31 | 2020-06-02 | 布比(北京)网络技术有限公司 | 边缘资源存储方法、访问方法及装置 |
CN111683136A (zh) * | 2020-06-05 | 2020-09-18 | 国网冀北电力有限公司电力科学研究院 | 配电物联网的节点安全监控方法、装置和配电物联网系统 |
CN112714164A (zh) * | 2020-12-22 | 2021-04-27 | 北京国电通网络技术有限公司 | 一种物联网系统及其任务调度方法 |
CN112910861A (zh) * | 2021-01-19 | 2021-06-04 | 浙江大学 | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 |
CN113434837A (zh) * | 2021-06-11 | 2021-09-24 | 青岛海尔科技有限公司 | 用于设备身份认证的方法、装置及智慧家庭系统 |
CN113591103A (zh) * | 2021-06-29 | 2021-11-02 | 中国电力科学研究院有限公司 | 一种电力物联网智能终端间的身份认证方法和系统 |
Non-Patent Citations (1)
Title |
---|
SLIMMING PANDA;: "边缘计算――物联网网络安全新前线", 网信军民融合, no. 11, pages 1 - 5 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114666788A (zh) * | 2022-03-17 | 2022-06-24 | 国网浙江省电力有限公司信息通信分公司 | 基于终端设备特性的群组认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114172742B (zh) | 2024-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112039872B (zh) | 基于区块链的跨域匿名认证方法及系统 | |
CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
CN109768988B (zh) | 去中心化物联网安全认证系统、设备注册和身份认证方法 | |
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
CN110958110B (zh) | 一种基于零知识证明的区块链隐私数据管理方法和系统 | |
CN109922077A (zh) | 一种基于区块链的身份认证方法及其系统 | |
CN112583596B (zh) | 一种基于区块链技术的完全跨域身份认证方法 | |
CN112910861A (zh) | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 | |
CN105164971A (zh) | 具有额外安全性的用于低熵输入记录的核验系统和方法 | |
KR20170057549A (ko) | 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 | |
CN110930153B (zh) | 基于隐藏第三方账号的区块链隐私数据管理方法和系统 | |
CN111815321A (zh) | 交易提案的处理方法、装置、系统、存储介质和电子装置 | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
CN111833062B (zh) | 数字资产数据包的可信性验证系统 | |
CN113301022A (zh) | 基于区块链和雾计算的物联网设备身份安全认证方法 | |
CN113378148A (zh) | 一种基于区块链的物联网设备身份认证系统及方法 | |
CN113873508A (zh) | 基于用户双公私钥的边缘计算双向认证方法及系统 | |
CN115396115B (zh) | 区块链数据隐私保护方法、装置、设备及可读存储介质 | |
Zhu et al. | An Efficient Identity‐Based Proxy Blind Signature for Semioffline Services | |
CN114422106B (zh) | 一种多服务器环境下的物联网系统安全认证方法及系统 | |
Hosen et al. | SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT | |
CN107347073B (zh) | 一种资源信息处理方法 | |
Chen et al. | Privacy‐Preserving Data Aggregation Protocol for Fog Computing‐Assisted Vehicle‐to‐Infrastructure Scenario | |
CN114172742B (zh) | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 | |
CN109005187A (zh) | 一种通信信息保护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |