CN114666788A - 基于终端设备特性的群组认证方法 - Google Patents
基于终端设备特性的群组认证方法 Download PDFInfo
- Publication number
- CN114666788A CN114666788A CN202210265609.6A CN202210265609A CN114666788A CN 114666788 A CN114666788 A CN 114666788A CN 202210265609 A CN202210265609 A CN 202210265609A CN 114666788 A CN114666788 A CN 114666788A
- Authority
- CN
- China
- Prior art keywords
- equipment
- authentication
- internet
- things
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012546 transfer Methods 0.000 claims abstract description 19
- 230000008569 process Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 5
- 238000003064 k means clustering Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 3
- 241000287196 Asthenes Species 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
- H04W12/55—Secure pairing of devices involving three or more devices, e.g. group pairing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公布了一种基于终端设备特性的群组认证方法,属于信息安全技术领域。对于请求接入电力物联网的设备,首先依据多维度的设备特性对终端设备进行动态群组划分,在各群组内部产生领头设备,之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证,最终终端设备、领头设备、边缘物联代理和物联管理平台建立信任传递链,具有完整信任传递链的设备准许接入,任何一环未通过认证的设备则不被允许接入。该方法可以节约认证流程,提升认证效率,释放大量网络资源和降低计算量,且对于意图非法访问、接入电力物联网的假冒设备和恶意设备具有很好的拒止作用。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种基于终端设备特性的群组认证方法。
背景技术
电力物联网系统指由电力系统相关硬件、软件、网络和通讯设备、业务(应用)和用户等组成的人机一体化物联系统。电力物联网系统的建设依托于物联管理平台(云)、边缘物联代理(边)、电力终端设备(端)的系统架构,促进了电力系统的智能化、现代化,同时,电力物联网系统的安全性也愈加重要,成为关系国计民生的重要一环,非法设备、恶意设备的接入可能导致用户隐私数据、商业机密的泄露,威胁系统的正常运转。当前主流的认证机制对于每个设备接入网络或做位置更新时都要执行一次认证过程,认证过程中同时包括推衍用户与网络建立安全连接所需的密钥信息的过程。然而,随着泛在电力物联网的发展和建设落实,电力终端数量达到前所未有的量级,传统的一对一认证方式给边缘物联代理和物联管理平台带来巨大的压力,增加网络信令,导致网络拥塞,而且会占用大量宝贵的网络资源、增加终端设备的计算负担和电池消耗。
本发明针对电力物联网中终端设备的安全接入认证,提出了一种基于终端设备特性的群组认证方法,能有效优化认证过程,提高认证效率,确保认证稳定。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于终端设备特性的群组认证方法,通过多维度的群组特性对终端设备进行分群,并建立信任传递链,仅有具有完整信任传递脸的设备才能通过认证,本发明方法可以在“云”、“边”及大量终端设备的应用场景下实现高效认证。
本发明采用的技术方案是:
一种基于终端设备特性的群组认证方法,该方法是:对于请求接入电力物联网的终端设备,首先依据多维度的群组特性对终端设备进行动态群组划分,在各群组内部产生领头设备,之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证,最终在终端设备、领头设备、边缘物联代理和物联管理平台之间建立信任传递链,具有完整信任传递链的终端设备准许接入,任何一环未通过认证的终端设备则不被允许接入。
具体的,该方法包括如下步骤:
步骤1:以物联管理平台作为信任传递链的起点,对物联管理平台与边缘物联代理进行基于身份信息的一对一认证,将通过接入认证的边缘物联代理作为可信“边”,建立物联管理平台与可信“边”的信任关系;
步骤2:在电力物联网的各种场景下,针对每个场景中的电力物联网终端设备,采集地理位置、设备归属权、设备类型、设备功能、设备型号及固件版本信息共6维数据,进行K-Means聚类,对终端设备进行动态群组划分;
步骤3:每个群组内,依据下述方法产生领头设备,并建立可信“边”与领头设备的信任关系;
步骤3.1:首先对群组内的终端设备依据资源充足程度,优先选择资源更为充足的设备作为候选设备,所述资源为计算资源、网络资源、存储资源的综合情况;
具体的,加密认证过程需要占用较多的网络、内存和CPU计算资源,一个资源不足的领头设备会成为认证流程的瓶颈,据此,群组内每个终端设备都保存包含自身在内的所有群组设备设备的资源信息,计算各设备的资源信息值作为每个设备设备的优先级记录于所述终端设备内;当需要推选领头设备时,每个设备查询自己记录的群组设备设备优先级,如果当前设备为最高优先级,则向其他设备发送消息,收到该消息的设备如果还未响应过其他设备的消息则响应该消息,若已经响应过其他设备消息的设备则忽略该消息;收到半数以上设备设备响应的设备成为领头候选设备;若所有设备收到的响应均未超出半数,则重新进行上述推选过程;
步骤3.2:领头候选设备与可信“边”进行基于身份信息的一对一认证,如果认证失败,返回步骤3.1按照排序重新选择其他设备作为领头候选设备;
如果认证成功,将该领头候选设备作为领头设备,建立可信“边”与领头设备的信任关系;
步骤4:对每个群组内所有待认证设备与领头设备进行基于身份信息的一对一认证,认证成功的设备与领头设备间建立信任关系;从而最终获得终端设备、领头设备、边缘物联代理和物联管理平台之间的信任传递链。
进一步的,所述的基于身份信息的一对一认证,具体为包括离线注册和在线认证两部分:离线注册部分用于为每个设备分配私钥,首先采集设备版本、序列号、发行者名、主体名、签名多维数字信息构成设备身份信息,密钥生成中心KGC将设备身份信息和随机生成的密钥算法基础参数作为输入,生成对应设备的私钥;在线认证部分是将电力物联终端设备安装到工作现场后,在待认证设备之间建立通信,并校验通信是否可信。
进一步的,所述的在线认证,具体如下:认证双方表示为设备A和设备B,其公钥分别表示为QA和QB,私钥分别表示为dA和dB,则:
首先:设备A和B分别通过自身私钥与对方公钥,经过双线性映射计算出会话密钥,表示为Ka和KB,则有:A、B间的会话密钥为KAB=KA=KB;
其次:设备A将消息M以及会话密钥KAB作为输入,经过哈希函数映射产生散列消息认证码,利用会话密钥KAB将消息M加密,将密文信息和散列消息认证码同时发送给设备B;
最后:设备B利用会话密钥对密文消息进行解密,获得明文消息M,并生成用于校验的散列消息校验码,并与从设备A处接收到的散列消息认证码进行校验,校验成功则证明消息发送方为合法终端A且消息未经篡改,A与B之间建立可信通信。
本发明的有益效果是:
首先,本发明基于电力物联网云边端的分布架构,提出了基于设备终端特性的群组认证和分段鉴权的认证方法,该方法相对于现有的一对一认证机制具有极大的改进,可以节约认证流程,提升认证效率,释放大量网络资源和降低计算量。其次,本发明中的一对一认证机制是基于电力物联网设备身份信息的,该方法对于意图非法访问、接入电力物联网的假冒设备和恶意设备具有很好的拒止作用。
附图说明
图1是本发明实施例示出的一种基于终端设备特性的群组认证方法的流程示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
本实施例示出的一种基于终端设备特性的群组认证方法,其流程如图1所示:
对于请求接入电力物联网的终端设备,首先依据多维度的群组特性对终端设备进行动态群组划分,在各群组内部产生领头设备,之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行一对一认证,最终终端设备、领头设备、边缘物联代理和物联管理平台建立信任传递链,具有完整信任传递链的设备准许接入,任何一环未通过认证的设备则不被允许接入。该过程具体为:
首先,信任传递链是指电力物联网系统中设备间的认证准入关系可以呈链式传递。如设备A、B、C为物联网中三个一般性设备,A与B认证成功后表示为B与C认证成功后表示为则A与C可以通过链式传递产生信任传递链,表示为此时视为A与C通过了对方的双向认证。
本发明的方法包括如下步骤:
步骤1:电力物联网中设备间的一对一认证通过如步骤1.1~步骤1.2所述的基于身份信息的认证机制进行,认证过程参与者除了需要认证的设备之外,还有密钥生成中心(KeyGeneratorCenter,KGC),认证过程主要分为离线注册阶段和在线认证阶段。
步骤1.1:离线注册阶段指的是KGC以离线方式通过设备注册算法为每个电力设备分配私钥。首先采集设备版本、序列号、发行者名、主体名、签名等多维数字信息构成设备身份信息,KGC将设备身份信息和随机生成的密钥算法基础参数作为输入,依据椭圆曲线密码学原理计算出各个设备的私钥。
步骤1.2:在线认证阶段指的是电力物联设备安装到工作现场后,终端之间以及终端与边缘物联代理或物联管理平台的通信阶段。以终端A和终端B进行认证为例进行说明,其公钥分别表示为QA和QB,私钥分别表示为dA和dB,认证过程具体如步骤1.2.1~1.2.2所述。
步骤1.2.1:终端设备A和B分别通过自身私钥与对方公钥,经过双线性映射计算出会话密钥,表示为KA和KB。依据单向陷门函数的数学原理,KA与KB是一致的,将A、B间的会话密钥表示为KAB=KA=KB。
步骤1.2.2:终端A将消息M以及会话密钥KAB作为输入,经过哈希函数映射产生散列消息认证码,利用会话密钥KAB将消息M加密,将密文信息和散列消息认证码同时发送给终端B。
步骤1.2.3:终端B利用会话密钥对密文消息进行解密,获得明文消息M,并生成用于校验的散列消息校验码,并与从终端A处接收到的散列消息认证码进行校验,校验成功则证明消息发送方为合法终端A且消息未经篡改,A与B之间建立可信通信。
步骤2:物联管理平台通常有人值守,防护等级高,安全性好,可默认为可信设备,本发明将之作为信任传递链的起点。物联管理平台与边缘物联代理进行如步骤1所述的基于身份信息的认证,通过接入认证的边缘物联代理为可信“边”,建立信任关系 。
步骤3:在电力物联网的多种场景下,电力物联终端设备彼此之间并非独立,而是按照一定的原则(同属一个单位/或分布在同一个区域/或有相同的行为特征)呈现一定的群组特征,针对每个场景中的智能终端设备,采集其地理位置、设备归属权、设备类型、设备功能、设备型号及固件版本信息共6维数据,进行K-Means聚类,对设备进行动态群组划分。
步骤4.1:对群组内的终端设备依据资源充足程度优先选择资源更为充足的设备作为候选设备,所述资源为计算资源、网络资源、存储资源的综合情况;具体为:
群组内每个终端设备都保存包含自身在内的所有群组设备设备的资源信息,具体有网络带宽、吞吐量、平均剩余可用内存、当前剩余可用内存、CPU平均占用率、当前CPU占用率、磁盘占用率等,计算资源信息值(可以根据经验或需要对不同类型的资源预先赋予不同的比例系数或权重,目的在于用资源信息值体现设备所拥有资源的充足程度)作为每个设备设备的优先级;当需要推选领头设备时,每个设备查询自己记录的群组设备设备优先级,如果自身设备为最高优先级,则向其他设备发送消息,收到该消息的设备如果还未响应过其他设备的消息则响应该消息,若已经响应过其他设备消息的设备则忽略该消息;收到半数以上设备设备响应的设备成为领头设备候选设备;若所有设备收到的响应均未超出半数,则重新进行上述推选过程;
步骤4.2:候选设备与可信“边”进行基于身份信息的认证,如果认证失败,返回步骤4.1重新选择其他设备作为候选设备;
步骤5:设备群组内所有待认证设备与领头设备进行基于身份信息的安全接入认证,认证成功的设备与领头设备间建立信任关系。根据定义1,产生信任传递链。对于任意一个分布于电力物联网中的终端设备,其与物联管理平台间的信任传递链是完整的,则认证成功,认证链传递过程中的任意一次认证失败,则该设备不能通过电力物联网系统的接入认证。
本领域普通技术人员可以理解实现上述各实施例中的全部或部分流程,可以通过计算机程序来通过相关的硬件完成。
以上各实施例的技术特征可以进行组合,为使描述简洁,未对上述实施例的技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (6)
1.一种基于终端设备特性的群组认证方法,其特征在于,对于请求接入电力物联网的终端设备,首先依据多维度的群组特性对终端设备进行动态群组划分,在各群组内部产生领头设备,之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证,最终在终端设备、领头设备、边缘物联代理和物联管理平台之间建立信任传递链,具有完整信任传递链的终端设备准许接入,任何一环未通过认证的终端设备则不被允许接入。
2.根据权利要求1所述的基于终端设备特性的群组认证方法,其特征在于,包括如下步骤:
步骤1:以物联管理平台作为信任传递链的起点,对物联管理平台与边缘物联代理进行基于身份信息的一对一认证,将通过接入认证的边缘物联代理作为可信“边”,建立物联管理平台与可信“边”的信任关系;
步骤2:在电力物联网的各种场景下,针对每个场景中的电力物联网终端设备,采集地理位置、设备归属权、设备类型、设备功能、设备型号及固件版本信息共6维数据,进行K-Means聚类,对终端设备进行动态群组划分;
步骤3:在每个群组内产生领头设备,并建立可信“边”与领头设备的信任关系;具体为:
步骤3.1:对群组内的终端设备依据资源充足程度进行排序,选择资源更为充足的设备作为领头候选设备;所述资源包括计算资源、网络资源和存储资源;
步骤3.2:领头候选设备与可信“边”进行基于身份信息的一对一认证,如果认证失败,返回步骤3.1按照排序重新选择其他设备作为领头候选设备;
如果认证成功,将该领头候选设备作为领头设备,建立可信“边”与领头设备的信任关系;
步骤4:对每个群组内所有待认证设备与领头设备进行基于身份信息的一对一认证,认证成功的设备与领头设备间建立信任关系;从而最终获得终端设备、领头设备、边缘物联代理和物联管理平台之间的信任传递链。
3.根据权利要求2所述的基于终端设备特性的群组认证方法,其特征在于,所述的步骤3.1具体为:群组内每个终端设备都保存包含自身在内的所有群组设备的资源信息,计算资源信息值以体现各设备所拥有资源的充足程度,并作为每个设备的优先级;当需要推选领头设备时,每个设备查询自己记录的群组设备优先级,如果当前设备为最高优先级,则向其他设备发送消息,收到该消息的设备如果还未响应过其他设备的消息则响应该消息,若已经响应过其他设备消息的设备则忽略该消息;收到半数以上设备响应的设备成为领头候选设备;若所有设备收到的响应均未超出半数,则重新进行上述推选过程。
4.根据权利要求3所述的基于终端设备特性的群组认证方法,其特征在于,所述的资源信息包括有网络带宽、吞吐量、平均剩余可用内存、当前剩余可用内存、CPU平均占用率、当前CPU占用率、磁盘占用率。
5.根据权利要求1所述的基于终端设备特性的群组认证方法,其特征在于,所述的基于身份信息的一对一认证包括离线注册和在线认证两部分:
离线注册部分用于为每个设备分配私钥,首先采集设备版本、序列号、发行者名、主体名、签名多维数字信息构成设备身份信息,密钥生成中心KGC将设备身份信息和随机生成的密钥算法基础参数作为输入,生成对应设备的私钥;
在线认证部分是将电力物联终端设备安装到工作现场后,在待认证设备之间建立通信,并校验通信是否可信。
6.根据权利要求5所述的基于终端设备特性的群组认证方法,其特征在于,所述的在线认证部分,具体如下:认证双方表示为设备A和设备B,其公钥分别表示为QA和QB,私钥分别表示为dA和dB,则:
首先:设备A和B分别通过自身私钥与对方公钥,经过密钥交换算法得到会话密钥,表示为KA和KB,则有:A、B间的会话密钥为KAB=KA=KB;
其次:设备A将消息M以及会话密钥KAB作为输入,经过哈希函数映射产生散列消息认证码,利用会话密钥KAB将消息M加密,将密文信息和散列消息认证码同时发送给设备B;
最后:设备B利用会话密钥对密文消息进行解密,获得明文消息M,并生成用于校验的散列消息校验码,并与从设备A处接收到的散列消息认证码进行校验,校验成功则证明消息发送方为合法终端A且消息未经篡改,A与B之间建立可信通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265609.6A CN114666788A (zh) | 2022-03-17 | 2022-03-17 | 基于终端设备特性的群组认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265609.6A CN114666788A (zh) | 2022-03-17 | 2022-03-17 | 基于终端设备特性的群组认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114666788A true CN114666788A (zh) | 2022-06-24 |
Family
ID=82028873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210265609.6A Pending CN114666788A (zh) | 2022-03-17 | 2022-03-17 | 基于终端设备特性的群组认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114666788A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910861A (zh) * | 2021-01-19 | 2021-06-04 | 浙江大学 | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 |
CN114172742A (zh) * | 2021-12-23 | 2022-03-11 | 国网浙江省电力有限公司信息通信分公司 | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 |
-
2022
- 2022-03-17 CN CN202210265609.6A patent/CN114666788A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910861A (zh) * | 2021-01-19 | 2021-06-04 | 浙江大学 | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 |
CN114172742A (zh) * | 2021-12-23 | 2022-03-11 | 国网浙江省电力有限公司信息通信分公司 | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112039872B (zh) | 基于区块链的跨域匿名认证方法及系统 | |
Irshad et al. | A provably secure and efficient authenticated key agreement scheme for energy internet-based vehicle-to-grid technology framework | |
Guo et al. | Blockchain meets edge computing: A distributed and trusted authentication system | |
CN112910861A (zh) | 基于群组认证和分段鉴权的电力物联网终端设备认证方法 | |
Shahidinejad et al. | Light-edge: A lightweight authentication protocol for IoT devices in an edge-cloud environment | |
Ni et al. | Security and privacy for mobile edge caching: Challenges and solutions | |
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
Wang et al. | SDN-based handover authentication scheme for mobile edge computing in cyber-physical systems | |
CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
CN112104619B (zh) | 基于外包密文属性加密的数据访问控制系统和方法 | |
CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
CN102970135B (zh) | 用于发现共享秘密而不泄漏非共享秘密的方法和设备 | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
CN113922957B (zh) | 一种基于隐私保护计算的虚拟云钱包系统 | |
Yang et al. | Selective blockchain system for secure and efficient D2D communication | |
Hosen et al. | SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT | |
CN107767281A (zh) | 一种基于移动社交网络二度人脉的交友匹配隐私保护方法及系统 | |
CN113873508A (zh) | 基于用户双公私钥的边缘计算双向认证方法及系统 | |
CN107347073B (zh) | 一种资源信息处理方法 | |
CN113014379A (zh) | 支持跨云域数据分享的三方认证和密钥协商方法、系统和计算机存储介质 | |
CN110708337B (zh) | 一种基于身份认证的大数据安全框架系统 | |
Mu et al. | An identity privacy scheme for blockchain‐based on edge computing | |
CN106856605B (zh) | 一种基于假身份无线网络匿名切换认证方法 | |
CN114172742B (zh) | 基于节点地图与边缘认证的电力物联网终端设备分层认证方法 | |
CN110784318B (zh) | 群密钥更新方法、装置、电子设备、存储介质及通信系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |