CN114363884A - 变电站边缘网络环境下终端分布式跨域认证方法及系统 - Google Patents

变电站边缘网络环境下终端分布式跨域认证方法及系统 Download PDF

Info

Publication number
CN114363884A
CN114363884A CN202111442504.5A CN202111442504A CN114363884A CN 114363884 A CN114363884 A CN 114363884A CN 202111442504 A CN202111442504 A CN 202111442504A CN 114363884 A CN114363884 A CN 114363884A
Authority
CN
China
Prior art keywords
reference signal
probability density
terminal
function
received power
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111442504.5A
Other languages
English (en)
Inventor
金鑫
于浩
林航
吕玉祥
李振伟
苏涛
王韬
董亚文
孙彩红
胡丹
杨阳
汪玉成
吴昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Anhui Jiyuan Software Co Ltd, Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202111442504.5A priority Critical patent/CN114363884A/zh
Publication of CN114363884A publication Critical patent/CN114363884A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种变电站边缘网络环境下终端分布式跨域认证方法及系统,属于变电站的通信技术领域。所述认证方法包括:获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数;将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对,以确定当前是否存在非法干扰或非法盗用的恶意行为。该认证方法及系统能够提高变电站边缘网络通信的安全性。

Description

变电站边缘网络环境下终端分布式跨域认证方法及系统
技术领域
本发明涉及变电站的通信技术领域,具体地涉及一种变电站边缘网络环境下终端分布式跨域认证方法及系统。
背景技术
5G通信技术提出了面向垂直行业的切片化网络、服务化架构、边缘计算等新服务,将来基于5G通信技术的能源互联、企业数字化转型是一个重要课题。5G具有高带宽、低时延、广链接等特征,助力实现万物互联和海量实时数据获取,为电网安全生产、企业数字化和智能化转型提供灵活的通信手段。利用5G大带宽、高可靠、低时延、广连接等技术优势,利用5G技术可以极大提高电网运检大带宽数据回传的时效性,为设备智能运检提供可靠网络保障。
然而,由于无线通信信号传输具有开放性,基于无线通信技术的工业控制主要受到来自终端身份的仿冒、非法劫持,给工控系统安全带来巨大威胁。2016年,黑客恶意控制了大量物联网终端,向美国推特等服务系统进行攻击,导致互联网大量服务器拒绝服务。2019年,俄罗斯电网被美国植入恶意程序,可直接威胁电网生产控制。2000年,澳大利亚污水处理厂无线接入水泵控制终端受非法网络诱骗,错误地将污水排放到公共环境中,导致污染。
尽管5G技术标准在安全防护方面进行了增强,例如采用了加密的IMSI进行网络附着,允许行业用户进行二次认证的算法和协议定制,即可以采用用户自定义的算法/协议进行用户终端与AAA服务器之间的二次认证。5G通信系统仍面临多个安全风险。一方面,5G需要允许垂直行业的设备和网络使用其特有的接入技术,终端接入认证需要跨越底层异构多层无线接入网络认证结构,需要研究建立5G的统一密钥体系,为各种设备提供统一接入认证服务,实现多场景海量终端的灵活高效身份鉴权。另一方面,容易遭受针对以无线信号为载体对信息内容篡改、假冒、中间人转发和重放等形式的无线接入攻击,传统的认证与数据完整性保护方案如AKA、EPS AKA等,本质上是利用基于身份索引的密钥对信令和数据打上包含用户身份信息的标签,一旦根密钥泄露认证参数将失效,通过窃听AKA认证的过程即可推衍出后续保护密钥,威胁网络安全。
发明内容
本发明实施例的目的是提供一种变电站边缘网络环境下终端分布式跨域认证方法及系统,该认证方法及系统能够提高变电站边缘网络通信的安全性。
为了实现上述目的,本发明实施例提供一种变电站边缘网络环境下终端分布式跨域认证方法,包括:
获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数;
将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对,以确定当前是否存在非法干扰或非法盗用的恶意行为。
可选地,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
确定用于表示系统处于安全状态下的参考信号接收功率、业务流量以及位置信息的概率密度估计函数的合法终端历史运行状态;
采用滑动窗函数从所述合法终端历史运行状态中采样,以获取用于与获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的采样数据。
可选地,所述认证方法包括:
采用公式(1)表示所述参考信号接收功率的概率密度函数,
Figure BDA0003384038420000031
其中,fRSRP(x1)为所述参考信号接收功率的概率密度函数,
Figure BDA0003384038420000032
为参考信号接收功率的方差,x1为参考信号接收功率的滑动采样的采样值;
采用公式(2)表示所述参考信号接收功率的极大似然估计,
Figure BDA0003384038420000033
其中,
Figure BDA0003384038420000034
为概率密度函数fRSRP(x1)对应的极大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure BDA0003384038420000035
为所述参考信号接收功率的采样值。
可选地,所述认证方法包括:
采用公式(3)表示所述业务流量的概率密度函数,
Figure BDA0003384038420000036
其中,fdata(x2)为业务流量的概率密度函数,x2为业务流量的采样值,
Figure BDA0003384038420000037
为概率密度函数fdata(x2)对应的方差,μ2为概率密度函数fdata(x2)对应的均值;
采用公式(4)和公式(5)表示概率密度函数fdata(x2)对应的最大似然估计,
Figure BDA0003384038420000038
Figure BDA0003384038420000039
其中,
Figure BDA0003384038420000041
为概率密度函数fdata(x2)对应的最大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure BDA0003384038420000042
为业务流量的采样值。
可选地,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
根据公式(6)计算获取的所述当前参考信号接收功率以及业务流量概率密度估计函数与预设的参考信号接收功率以及业务流量的概率密度估计函数的密度估计散度,
Figure BDA0003384038420000043
其中,Diff为密度离散度,xn为参考信号接收功率或业务流量的采样值,H1为预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数,f为散度公式;
根据公式(7)计算终端信号强度参考信号接收功率以及业务流量信度,
Figure BDA0003384038420000044
其中,CLn为参考信号接收功率或业务流量的采样值。
可选地,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
根据公式(8)计算位置信息可信度,
Figure BDA0003384038420000045
其中,CL3为所述位置信息可信度,S2为以实时上报位置坐标信息为圆心,预定长度R为半径的圆的面积,S1为以终端安装位置的坐标信息为圆心,预定长度R为半径的圆的面积,∩为两个圆的交集运算。
可选地,所述认证方法还包括:
SMF从UE签约信息中获取二次认证请求信息,并向AAA服务器发起二次认证请求;
AAA服务器对网络标识NwkID的哈希值h、时间戳、应用层帧序号采用私钥加密,封装在EAP-Request消息中,并发送给终端;
终端接收到EAP-Request消息中的网络标识NwkID的哈希值h、时间戳、应用层帧序号的加密数据,利用安全芯片中的网络公钥解密,校验时间戳、应用层帧序号是否为当前值,并检查网络标识NwkID是否合法;
终端按照实现约定要求,将终端标识TID的哈希值h、位置信息、时间戳、业务请求类型、应用层帧序号用终端私钥加密后封装于EAP-response消息中并发送给AAA服务器;
AAA服务器通过接收EAP-response消息,并利用终端公钥解密获得终端位置信息,校验时间戳、应用层帧序号是否为当前值,并检查终端标识TID是否合法,结合当前对终端接收信号强度RSRP采样值计算终端位置与接收信号强度的可信度,当可信度超过一定预设值且TID合法时,则认为终端身份合法,建立PDU会话;
在SMF的协助下,终端建立到数据网络的数据链路,并开始传输业务,AAA服务器通过侦听业务流量分布,计算其可信度,当可信度超过一定预设值时,保持终端通信链路,否则通知SMF阻断终端会话链路,EAP-success/Failure消息中封装了阻断信号,分别发送至SMF和终端。
另一方面,本发明还提供一种变电站边缘网络环境下终端分布式跨域认证系统,所述认证系统包括处理器,所述处理器用于执行如上述任一所述的认证方法。
再一方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,所述指令用于被机器读取以使得所述机器执行如上述任一所述的认证方法。
通过上述技术方案,本发明提供的变电站边缘网络环境下终端分布式跨域认证方法及系统通过将5G网络中的参考信号接收功率、业务流量以及位置信息相结合,并通过与预设的参考信号接收功率、业务流量以及位置信息进行比对,从而确定当前是否存在非法干扰或非法盗用的恶意行为。相较于现有技术而言,本发明提供的认证方法及系统通过结合电力业务终端的硬件特点,分析其参考信号接收功率、业务流量以及位置信息的特点,实现了非法干扰和非法盗用的监测,克服了现有技术中无有效方法进行监测的技术缺陷。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1是根据本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的流程图;
图2是根据本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的二次认证的方法的流程图。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
如图1所示本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的流程图。在该图1中,该认证方法可以包括:
在步骤S10中,获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数;
在步骤S11中,将获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对,以确定当前是否存在非法干扰或非法盗用的恶意行为。
在该图1中,步骤S10用于获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度函数。其中对于参考信号接收功率、业务流量以及位置信息的概率密度函数的具体形式,则可以是本领域人员所知的多种。在本发明的一个优选示例中,参考信号接收功率的概率密度函数可以表示为公式(1),
Figure BDA0003384038420000071
其中,fRSRP(x1)为参考信号接收功率的概率密度函数,
Figure BDA0003384038420000072
为参考信号接收功率的方差,x1为参考信号接收功率的滑动采样的采样值。
该参考信号接收功率的概率密度函数的极大似然估计可以表示为公式(2),
Figure BDA0003384038420000073
其中,
Figure BDA0003384038420000074
为概率密度函数fRSRP(x1)对应的极大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure BDA0003384038420000075
为参考信号接收功率的采样值。
在本发明的一个示例中,业务流量的概率密度函数可以表示为公式(3),
Figure BDA0003384038420000081
其中,fdata(x2)为业务流量的概率密度函数,x2为业务流量的采样值,
Figure BDA0003384038420000082
为概率密度函数fdata(x2)对应的方差,μ2为概率密度函数fdata(x2)对应的均值;
采用公式(4)和公式(5)表示概率密度函数fdata(x2)对应的最大似然估计,
Figure BDA0003384038420000083
Figure BDA0003384038420000084
其中,
Figure BDA0003384038420000085
为概率密度函数fdata(x2)对应的最大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure BDA0003384038420000086
为业务流量的采样值。
在本发明的一个示例中,该位置信息的概率密度函数可以表示为公式(6),
Figure BDA0003384038420000087
其中,CL3为位置信息可信度,即概率密度函数,S2为以实时上报位置坐标信息为圆心,预定长度R为半径的圆的面积,S1为以终端安装位置的坐标信息为圆心,预定长度R为半径的圆的面积,∩为两个圆的交集运算。
步骤S11可以用于判断当前是否出现非法干扰、非法盗用等恶意行为。对于该步骤S11中的预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数,可以是先确定用于表示系统处于安全状态下的参考信号接收功率、业务流量以及位置信息的概率密度估计函数的合法终端历史运行状态,再采用滑动窗函数从合法终端历史运行状态中采样,以获取用于与获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的采样数据。至于如果将获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的具体方式,则可以是本领域人员所知的多种形式。在本发明的一个示例中,基于公式(1)至公式(6)所示出的概率密度函数,该比对过程可以是先根据公式(7)计算获取的当前参考信号接收功率以及业务流量概率密度估计函数与预设的参考信号接收功率以及业务流量的概率密度估计函数的密度估计散度,
Figure BDA0003384038420000091
其中,Diff为密度离散度,xn为参考信号接收功率或业务流量的采样值,H1为预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数,f为散度公式。再根据公式(8计算终端信号强度参考信号接收功率以及业务流量信度,
Figure BDA0003384038420000092
其中,CLn为参考信号接收功率或业务流量的采样值。
另外,为了提高本发明提供的认证方法的可信度,该认证方法可以包括二次认证的过程,该二次认证的过程可以是包括如图2所示出的步骤。在该图2中,该二次认证的过程可以包括:
在步骤S20中,SMF(Session Management Function,会话管理功能模块)从UE签约信息中获取二次认证请求信息,并向AAA(AuthenticationAuthorizationAccounting,验证、授权和记账)服务器发起二次认证请求;
在步骤S21中,AAA服务器对网络标识NwkID的哈希值h、时间戳、应用层帧序号采用私钥加密,封装在EAP-Request消息中,并发送给终端。
在步骤S22中,终端接收到EAP-Request消息中的网络标识NwkID的哈希值h、时间戳、应用层帧序号的加密数据,利用安全芯片中的网络公钥解密,校验时间戳、应用层帧序号是否为当前值,并检查网络标识NwkID是否合法;
在步骤S23中,终端按照实现约定要求,将终端标识TID的哈希值h、位置信息、时间戳、业务请求类型、应用层帧序号用终端私钥加密后封装于EAP-response消息中并发送给AAA服务器;
在步骤S24中,AAA服务器通过接收EAP-response消息,并利用终端公钥解密获得终端位置信息,校验时间戳、应用层帧序号是否为当前值,并检查终端标识TID是否合法,结合当前对终端接收信号强度RSRP采样值计算终端位置与接收信号强度的可信度,当可信度超过一定预设值且TID合法时,则认为终端身份合法,建立PDU会话;
在步骤S25中,在SMF的协助下,终端建立到数据网络的数据链路,并开始传输业务,AAA服务器通过侦听业务流量分布,计算其可信度,当可信度超过一定预设值时,保持终端通信链路,否则通知SMF阻断终端会话链路,EAP-success/Failure消息中封装了阻断信号,分别发送至SMF和终端。
另一方面,本发明还提供一种变电站边缘网络环境下终端分布式跨域认证系统,所述认证系统包括处理器,所述处理器用于执行如上述任一所述的认证方法。
再一方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,所述指令用于被机器读取以使得所述机器执行如上述任一所述的认证方法。
通过上述技术方案,本发明提供的变电站边缘网络环境下终端分布式跨域认证方法及系统通过将5G网络中的参考信号接收功率、业务流量以及位置信息相结合,并通过与预设的参考信号接收功率、业务流量以及位置信息进行比对,从而确定当前是否存在非法干扰或非法盗用的恶意行为。相较于现有技术而言,本发明提供的认证方法及系统通过结合电力业务终端的硬件特点,分析其参考信号接收功率、业务流量以及位置信息的特点,实现了非法干扰和非法盗用的监测,克服了现有技术中无有效方法进行监测的技术缺陷。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (9)

1.一种变电站边缘网络环境下终端分布式跨域认证方法,其特征在于,所述认证方法包括:
获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数;
将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对,以确定当前是否存在非法干扰或非法盗用的恶意行为。
2.根据权利要求1所述的认证方法,其特征在于,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
确定用于表示系统处于安全状态下的参考信号接收功率、业务流量以及位置信息的概率密度估计函数的合法终端历史运行状态;
采用滑动窗函数从所述合法终端历史运行状态中采样,以获取用于与获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的采样数据。
3.根据权利要求1所述的认证方法,其特征在于,所述认证方法包括:
采用公式(1)表示所述参考信号接收功率的概率密度函数,
Figure FDA0003384038410000011
其中,fRSRP(x1)为所述参考信号接收功率的概率密度函数,
Figure FDA0003384038410000012
为参考信号接收功率的方差,x1为参考信号接收功率的滑动采样的采样值;
采用公式(2)表示所述参考信号接收功率的极大似然估计,
Figure FDA0003384038410000013
其中,
Figure FDA0003384038410000021
为概率密度函数fRSRP(x1)对应的极大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure FDA0003384038410000022
为所述参考信号接收功率的采样值。
4.根据权利要求1所述的认证方法,其特征在于,所述认证方法包括:
采用公式(3)表示所述业务流量的概率密度函数,
Figure FDA0003384038410000023
其中,fdata(x2)为业务流量的概率密度函数,x2为业务流量的采样值,
Figure FDA0003384038410000024
为概率密度函数fdata(x2)对应的方差,μ2为概率密度函数fdata(x2)对应的均值;
采用公式(4)和公式(5)表示概率密度函数fdata(x2)对应的最大似然估计,
Figure FDA0003384038410000025
Figure FDA0003384038410000026
其中,
Figure FDA0003384038410000027
为概率密度函数fdata(x2)对应的最大似然估计,t为采样时刻,W为滑动窗函数的窗长,V为滑动窗函数的步长,
Figure FDA0003384038410000028
为业务流量的采样值。
5.根据权利要求1所述的认证方法,其特征在于,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
根据公式(6)计算获取的所述当前参考信号接收功率以及业务流量概率密度估计函数与预设的参考信号接收功率以及业务流量的概率密度估计函数的密度估计散度,
Figure FDA0003384038410000031
其中,Diff为密度离散度,xn为参考信号接收功率或业务流量的采样值,H1为预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数,f为散度公式;
根据公式(7)计算终端信号强度参考信号接收功率以及业务流量信度,
Figure FDA0003384038410000032
其中,CLn为参考信号接收功率或业务流量的采样值。
6.根据权利要求1所述的认证方法,其特征在于,将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括:
根据公式(8)计算位置信息可信度,
Figure FDA0003384038410000033
其中,CL3为所述位置信息可信度,S2为以实时上报位置坐标信息为圆心,预定长度R为半径的圆的面积,S1为以终端安装位置的坐标信息为圆心,预定长度R为半径的圆的面积,∩为两个圆的交集运算。
7.根据权利要求1所述的认证方法,其特征在于,所述认证方法还包括:
SMF从UE签约信息中获取二次认证请求信息,并向AAA服务器发起二次认证请求;
AAA服务器对网络标识NwkID的哈希值h、时间戳、应用层帧序号采用私钥加密,封装在EAP-Request消息中,并发送给终端;
终端接收到EAP-Request消息中的网络标识NwkID的哈希值h、时间戳、应用层帧序号的加密数据,利用安全芯片中的网络公钥解密,校验时间戳、应用层帧序号是否为当前值,并检查网络标识NwkID是否合法;
终端按照实现约定要求,将终端标识TID的哈希值h、位置信息、时间戳、业务请求类型、应用层帧序号用终端私钥加密后封装于EAP-response消息中并发送给AAA服务器;
AAA服务器通过接收EAP-response消息,并利用终端公钥解密获得终端位置信息,校验时间戳、应用层帧序号是否为当前值,并检查终端标识TID是否合法,结合当前对终端接收信号强度RSRP采样值计算终端位置与接收信号强度的可信度,当可信度超过一定预设值且TID合法时,则认为终端身份合法,建立PDU会话;
在SMF的协助下,终端建立到数据网络的数据链路,并开始传输业务,AAA服务器通过侦听业务流量分布,计算其可信度,当可信度超过一定预设值时,保持终端通信链路,否则通知SMF阻断终端会话链路,EAP-success/Failure消息中封装了阻断信号,分别发送至SMF和终端。
8.一种变电站边缘网络环境下终端分布式跨域认证系统,其特征在于,所述认证系统包括处理器,所述处理器用于执行如权利要求1至7任一所述的认证方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,所述指令用于被机器读取以使得所述机器执行如权利要求1至7任一所述的认证方法。
CN202111442504.5A 2021-11-30 2021-11-30 变电站边缘网络环境下终端分布式跨域认证方法及系统 Pending CN114363884A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111442504.5A CN114363884A (zh) 2021-11-30 2021-11-30 变电站边缘网络环境下终端分布式跨域认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111442504.5A CN114363884A (zh) 2021-11-30 2021-11-30 变电站边缘网络环境下终端分布式跨域认证方法及系统

Publications (1)

Publication Number Publication Date
CN114363884A true CN114363884A (zh) 2022-04-15

Family

ID=81097977

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111442504.5A Pending CN114363884A (zh) 2021-11-30 2021-11-30 变电站边缘网络环境下终端分布式跨域认证方法及系统

Country Status (1)

Country Link
CN (1) CN114363884A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116684870A (zh) * 2023-08-03 2023-09-01 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116684870A (zh) * 2023-08-03 2023-09-01 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统
CN116684870B (zh) * 2023-08-03 2023-10-20 中国电力科学研究院有限公司 电力5g终端的接入认证方法、装置及系统

Similar Documents

Publication Publication Date Title
US12010251B2 (en) Electric border gateway device and method for chaining and storage of sensing data based on the same
CN110324287B (zh) 接入认证方法、装置及服务器
Puthal et al. Threats to networking cloud and edge datacenters in the Internet of Things
Mahmoud et al. Internet of things (IoT) security: Current status, challenges and prospective measures
EP3906652B1 (en) Protecting a telecommunications network using network components as blockchain nodes
KR102177411B1 (ko) 물리적 단방향 암호화 원격 모니터링을 통해 산업 제어 시스템을 관리하는 방법
US9282084B2 (en) Method and apparatus for provisioning a temporary identity module using a key-sharing scheme
CN103517273A (zh) 认证方法、管理平台和物联网设备
CN114143068B (zh) 电力物联网网关设备容器安全防护系统及其方法
EP3713196A1 (en) Method and apparatuses for binding an edge computing device to a communication terminal for pre-processing data
US20230065676A1 (en) Url validation and redirection for scannable codes
Punia et al. A perspective on available security techniques in IoT
CN113507691A (zh) 一种基于配电网跨区服务的信息推送系统和方法
CN114363884A (zh) 变电站边缘网络环境下终端分布式跨域认证方法及系统
Poonia Internet of Things (IoT) security challenges
Kumar et al. Cybersecurity Threats, Detection Methods, and Prevention Strategies in Smart Grid
Ajiboye et al. Privacy and security of advanced metering infrastructure (AMI) data and network: a comprehensive review
CN105978879A (zh) 网络通道安全管理系统
WO2019104547A1 (en) Method and devices for data transmission in substation
CN107995616B (zh) 用户行为数据的处理方法以及装置
CN116170806B (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
CN116827680A (zh) 一种电力物联网数据安全保护方法
US11461478B2 (en) Mobile network core component for managing security keys
Hao et al. Research on distributed cross-domain authentication mechanism for 5G MEC edge network in substation
CN111147529A (zh) 一种网络攻击数据的处理方法、系统及预警平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination