CN115001790A - 基于设备指纹的二级认证方法、装置及电子设备 - Google Patents
基于设备指纹的二级认证方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115001790A CN115001790A CN202210591970.8A CN202210591970A CN115001790A CN 115001790 A CN115001790 A CN 115001790A CN 202210591970 A CN202210591970 A CN 202210591970A CN 115001790 A CN115001790 A CN 115001790A
- Authority
- CN
- China
- Prior art keywords
- equipment
- accessed
- fingerprint
- type
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000004891 communication Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 3
- 239000000306 component Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明实施例涉及一种基于设备指纹的二级认证方法、装置及电子设备,方法包括:获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。该方法,不但避免了指纹的全库加载,提高了认证的效率,且需要两次认证,进一步提高了认证的安全性。
Description
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种基于设备指纹的二级认证方法、装置及电子设备。
背景技术
工业控制系统是电力、冶金、交通、能源等工业基础设施的核心组成部分,也是国民经济、社会运行和国家安全重要基础。随着工业控制系统与互联网技术深度融合,导致工控系统的安全问题更加突显。电力工控系统作为关乎国计民生的重要基础设施,一直以来都是网络安全攻击的重点目标,极易成为网络战的首要目标。对于工控系统中的电力设备的接入安全问题,传统的密码学的认证技术无法有效的防范和和监测到内部节点的攻击,导致电力终端认证的安全性较低,且加密算法较复杂,并不适用与资源和能源受限的电力终端。
目前的解决方案有以下两种:
(1)采用两种方法对用户的身份进行识别的双因素认证(2FA)思想,使用主动式设备指纹(设备自身特征)及被动式设备指纹(数据流量通信行为特征)两种方法对设备身份进行认证。当接入的物联网终端设备支持主动式设备指纹时,该方法会对终端设备采用双因素接入认证,当且仅当主动式和被动式设备指纹验证均通过时,才允许终端接入。
但该方法采用主动式与被动式相结合的指纹提取方法,容易对电力设备的网络环境造成一定程度的影响,且该认证方法仅考虑到结合两种指纹识别方法,没有考虑到在认证时指纹依然是全库加载的方式,其加载效率也有待考量。
(2)通过预先获取合法设备的标准环境指纹和标准信道指纹当待认证设备模拟任意一个合法设备的接入智能电网时,服务器根据未被模拟的合法设备的标准环境指纹及其当前新的环境指纹,对待认证设备和被模拟的合法设备进行第一认证;当第一认证不通过时,服务器根据被模拟的合法设备的标准信道指纹及其当前新的信道指纹、待认证设备当前新的信道指纹,对被模拟的合法设备、待认证设备进行第二认证。
该方法同样采用两次认证的方式,对待接入的待认证电力设备进行终端接入认证,但第二次认证是在第一次认证不通过时进行的,指纹的加载也是全库加载的方式,且该方法更适用与无线的电力设备。
发明内容
本发明提供了一种基于设备指纹的二级认证方法、装置及电子设备,以解决现有技术中存在的问题。
第一方面,本发明提供了一种基于设备指纹的二级认证方法,所述方法包括:
获取多个合法设备的设备指纹,并基于所述多个合法设备的设备指纹对所述多个合法设备进行分类,建立各个设备类型的指纹库;
获取待接入设备的设备指纹,当所述待接入设备接入目标网络时,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证;
若第一级认证通过,则输出所述待接入设备的设备类型,并基于所述各设备类型的指纹库建立各个设备类型的设备准入白名单,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证。
在一个可能的实现方式中,获取多个合法设备的设备指纹的步骤,包括:通过被动探测的方式获取所述多个合法设备的设备指纹。
在一个可能的实现方式中,基于所述多个合法设备的设备指纹对所述多个合法设备进行分类的步骤,包括:采用KNN算法,基于所述多个合法设备的设备指纹对所述多个合法设备进行分类。
在一个可能的实现方式中,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证的步骤,包括:
将所述各个设备类型的指纹库与所述待接入设备的设备指纹进行匹配,得到第一匹配结果;
当所述第一匹配结果表征所述待接入设备的设备指纹在任何一个所述各个设备类型的指纹库匹配时,则确认第一级认证通过。
在一个可能的实现方式中,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证的步骤,包括:
将所述待接入设备的设备类型与对应的设备类型的设备准入白名单进行匹配,得到第二匹配结果;
若所述第二匹配结果表征所述待接入设备的设备类型与对应的设备类型的设备准入白名单匹配时,则确认第二级认证通过。
在一个可能的实现方式中,在第二认证之前,所述方法还包括:
确认所述待接入设备是否合法,若合法,则对所述待接入设备进行第二级认证。
第二方面,本发明提供了一种基于设备指纹的二级认证装置,所述装置包括:
建立模块,用于获取多个合法设备的设备指纹,并基于所述多个合法设备的设备指纹对所述多个合法设备进行分类,建立各个设备类型的指纹库;
第一认证模块,用于获取待接入设备的设备指纹,当所述待接入设备接入目标网络时,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证;
第二认证模块,用于若第一级认证通过,则输出所述待接入设备的设备类型,并基于所述各设备类型的指纹库建立各个设备类型的设备准入白名单,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证。
在一个可能的实现方式中,所述装置还包括:确认模块,用于确认所述待接入设备是否合法,若合法,则对所述待接入设备进行第二级认证。
第三方面,本发明提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如第一方面任一项实施例所述的基于设备指纹的二级认证方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的基于设备指纹的二级认证方法的步骤。
本发明实施例提供的上述技术方案与现有技术相比具有如下优点:
本发明实施例提供的该方法,获取多个合法设备的设备指纹,并基于所述多个合法设备的设备指纹对所述多个合法设备进行分类,建立各个设备类型的指纹库。获取待接入设备的设备指纹,当所述待接入设备接入目标网络时,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证。若第一级认证通过,则输出所述待接入设备的设备类型,并基于所述各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证。通过该方式,进一步提供了认证的安全性,第二级认证时仅遍历当前设备类型的白名单,避免了指纹的全库加载,提高了认证的效率。
附图说明
图1为本发明实施例提供的一种基于设备指纹的二级认证方法流程示意图;
图2为本发明提供的设备信息采集方法流程示意图;
图3为本发明实施例提供的一种基于设备指纹的二级认证装置结构示意图;
图4为本发明实施例提供的另一种基于设备指纹的二级认证装置结构示意图;
图5为本发明实施例提供一种电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
如背景技术中所介绍,对于工控系统中的电力设备的接入安全问题,目前的解决方案有以下两种:
(1)采用两种方法对用户的身份进行识别的双因素认证(2FA)思想,使用主动式设备指纹(设备自身特征)及被动式设备指纹(数据流量通信行为特征)两种方法对设备身份进行认证。当接入的物联网终端设备支持主动式设备指纹时,该方法会对终端设备采用双因素接入认证,当且仅当主动式和被动式设备指纹验证均通过时,才允许终端接入。
但该方法采用主动式与被动式相结合的指纹提取方法,容易对电力设备的网络环境造成一定程度的影响,且该认证方法仅考虑到结合两种指纹识别方法,没有考虑到在认证时指纹依然是全库加载的方式,其加载效率也有待考量。
(2)通过预先获取合法设备的标准环境指纹和标准信道指纹当待认证设备模拟任意一个合法设备的接入智能电网时,服务器根据未被模拟的合法设备的标准环境指纹及其当前新的环境指纹,对待认证设备和被模拟的合法设备进行第一认证;当第一认证不通过时,服务器根据被模拟的合法设备的标准信道指纹及其当前新的信道指纹、待认证设备当前新的信道指纹,对被模拟的合法设备、待认证设备进行第二认证。
该方法同样采用两次认证的方式,对待接入的待认证电力设备进行终端接入认证,但第二次认证是在第一次认证不通过时进行的,指纹的加载也是全库加载的方式,且该方法更适用与无线的电力设备。
为了改善上述问题,本发明实施例提供了一种基于设备指纹的二级认证方法,为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
针对背景技术中所提及的技术问题,本发明实施例提供了一种基于设备指纹的二级认证方法,具体的执行过程,还需要参见图1所示的方法流程示意图。图1为本发明实施例提供的一种基于设备指纹的二级认证方法流程示意图,如图1所示,该方法包括以下步骤:
步骤110,获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。
具体的,获取多个合法设备的设备信息,并根据获得各个设备信息,生成相应的设备指纹。
在设备信息的获取阶段,需要获取合法设备的MAC、IP、通信协议、有效数据、数据格式等信息,为以后资产对象识别提供准确的数据信息,在一个示例中,为减少目标网络的侵扰,通过被动探测的方式获取多个合法设备的设备信息,并生成相应的设备指纹。其中,被动探测的设备信息包括设备端口信息、开发服务信息、操作系统信息和目标环境信息所形成的唯一可以代表该设备的指纹信息。
设备信息采集方法,参见图2所示的方法流程示意图,图2为设备信息采集方法流程示意图,如图2所示,设备信息采集方法流程为:
采集目标网络的流量,对流量中应用层等协议数据包中指纹特征进行分析,具体为应用层HTTP,FTP,SMTP等协议数据包中的特殊字段banner或IP、TCP三级握手、DHCP等协议数据包的指纹特征进行分析,从而实现对网络资产信息的被动探测。通过分析采集的目标网络流量得到资产信息,对目标网络运行的影响小,无额外网络流量插入,对安全设备保护的网络资产也具备探测能力,便于长期历史数据的积累,从而掌握网络资产发展变化。
设备信息采集结束后,采用机器学习的KNN算法,根据获取到的设备信息对合法设备进行设备分类,并建立各个设备类型的指纹库,从而完成针对各个设备的分类。
步骤120,获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。
当获取到待接入设备的设备指纹后,并对其进行分类,确定是否能得到分类结果,具体的,将各个设备类型的指纹库与所述待接入设备的设备指纹进行匹配,得到第一匹配结果,当第一匹配结果表征接入设备的设备指纹与任何一个各个设备类型的指纹库匹配时,则确认第一级认证通过,即将其与各个设备类型的指纹库进行对比,若待接入设备的设备指纹不在任何一个各个类型的指纹库中时,则比对失败,即认证不通过,若待接入设备的设备指纹在任何一个各个设备类型的指纹库中时,则比对成功,第一级认证通过,则输出待接入设备对应的设备类型。
步骤130,若第一级认证通过,则输出待接入设备的设备类型,并基于各设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。
将各个设备类型的指纹库传输到后台集中管理平台,形成各个设备类型的设备准入白名单,当待接入设备通过第一级认证时,输出设备类型信息后,通过集中管理平台遍历和对比相应设备类型的设备准入白名单,最终确认待接入设备的身份信息,将待接入设备的设备类型与对应的设备类型的设备准入白名单进行匹配,得到第二匹配结果,若第二匹配结果表征待接入设备的设备类型与对应的设备类型的设备准入白名单匹配时,则确认第二级认证通过,即若待接入设备的设备类型不在对应的设备类型的设备准入白名单中,则对比失败,第二级认证不通过,待接入设备不能接入目标网络,若待接入设备的设备类型在对应对的设备类型的设备准入白名单中,则对比成功,第二级认证通过,允许待接入设备接入目标网络。因为第二级认证时,只需要加载相应的设备类型的设备准入白名单,避免了其他无效的指纹加载,提供了认证的效率。
在一个示例中,待接入设备通过第一级认证时,终端接入测根据安全策略分析其合法性和有效性,若确定待接入设备合法,则对其进行第二级认证,若不确定待接入设备是合法的,则对其不进行第二级认证,直接拒绝待接入设备接入目标网络。
本发明实施例提供的基于设备指纹的二级认证方法,获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。本方法,在第一级认证中通过判别设备类型,形成各个设备类型的设备准入白名单,因此在第二级认证的遍历和比对中仅遍历当前设备类型的白名单,避免了指纹的全库加载,提高了认证的效率,且待接入设备必须同时通过第一次和第二次认证才能成功接入电力终端,进一步提高了认证的安全性。
以上,为本发明所提供的基于设备指纹的二级认证方法实施例,下文则介绍说明本发明所提供的基于设备指纹的二级认证装置实施例,具体参见如下:
图3为本发明实施例提供的一种基于设备指纹的二级认证装置结构示意图,该装置包括:建立模块301、第一认证模块302和第二认证模块303。
建立模块301,用于获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。
第一认证模块302,用于获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。
第二认证模块303,用于若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。
在一个示例中,建立模块301,具体用于通过被动探测的方式获取多个合法设备的设备指纹。
在一个示例中,建立模块301,具体用于采用KNN算法,基于所述多个合法设备的设备指纹对多个合法设备进行分类。
在一个示例,第一认证模块302,具体用于将各个设备类型的指纹库与待接入设备的设备指纹进行匹配,得到第一匹配结果;当第一匹配结果表征待接入设备的设备指纹与任何一个各个设备类型的指纹库匹配时,则确认第一级认证通过。
在一个示例中,第二认证模块303,具体用于将待接入设备的设备类型与对应的设备类型的设备准入白名单进行匹配,得到第二匹配结果;若第二匹配结果表征待接入设备的设备类型与对应的设备类型的设备准入白名单匹配时,则确认第二级认证通过。
在另一个示例中,图4为本发明实施例提供的另一个基于设备指纹的二级认证装置结构示意图,如图4所示,该装置还包括确认模块304,用于确认待接入设备是否合法,若合法,则对待接入设备进行第二级认证。
本发明实施例提供的基于设备指纹的二级认证装置中各部件所执行的功能均已在上述任一方法实施例中做了详细的描述,因此这里不再赘述。
本发明实施例提供的一种基于设备指纹的二级认证装置,获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。在本方案中,在第一级认证中通过判别设备类型,形成各个设备类型的设备准入白名单,因此在第二级认证的遍历和比对中仅遍历当前设备类型的白名单,避免了指纹的全库加载,提高了认证的效率,且待接入设备必须同时通过第一次和第二次认证才能成功接入电力终端,进一步提高了认证的安全性。
如图5所示,本发明实施例提供了一种电子设备,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信。
存储器113,用于存放计算机程序;
在本发明一个实施例中,处理器111,用于执行存储器113上所存放的程序时,实现前述任意一个方法实施例提供的基于设备指纹的二级认证方法方法,包括:
获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库;
获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证;
若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。
在一个示例中,通过被动探测的方式获取多个合法设备的设备指纹。
在一个示例中,采用KNN算法,基于所述多个合法设备的设备指纹对多个合法设备进行分类。
在一个示例中,将各个设备类型的指纹库与所述待接入设备的设备指纹进行匹配,得到第一匹配结果;当第一匹配结果表征待接入设备的设备指纹与任何一个各个设备类型的指纹库匹配时,则确认第一级认证通过。
在一个示例中,将待接入设备的设备类型与对应的设备类型的设备准入白名单进行匹配,得到第二匹配结果;若第二匹配结果表征待接入设备的设备类型与对应的设备类型的设备准入白名单匹配时,则确认第二级认证通过。
在一个示例中,在第二级认证之前,方法还包括:
确认待接入设备是否合法,若合法,则对待接入设备进行第二级认证。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如前述任意一个方法实施例提供的基于设备指纹的二级认证方法的步骤。
本发明提供了一种基于设备指纹的二级认证方法、装置及电子设备,获取多个合法设备的设备指纹,并基于多个合法设备的设备指纹对多个合法设备进行分类,建立各个设备类型的指纹库。获取待接入设备的设备指纹,当待接入设备接入目标网络时,根据各个设备类型的指纹库和待接入设备的设备指纹,对待接入设备进行第一级认证。若第一级认证通过,则输出待接入设备的设备类型,并基于各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据待接入设备的设备类型及其对应的设备类型的设备准入白名单,对待接入设备进行第二级认证。本发明基于电力设备指纹,通过实现设备应用场景识别,对待接入的未知设备进行两次认证,能有效的在资源和能源受限的电力设备中实现安全认证,提高认证的有效性和安全性。与现有技术相比,本发明具有以下三个优点:
专用性:基于设备指纹,有针对性的实现对待接入设备进行二次认证。
高效性:在第一级认证中通过判别设备类型,形成各个设备类型的设备准入白名单,因此在第二级认证的遍历和比对中仅遍历当前设备类型的白名单,避免了指纹的全库加载,提高了认证的效率。
轻量级:在进行设备信息采集阶段,采用了被动式采集的方法,减少了对目标网络的侵扰。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.基于设备指纹的二级认证方法,其特征在于,所述方法包括:
获取多个合法设备的设备指纹,并基于所述多个合法设备的设备指纹对所述多个合法设备进行分类,建立各个设备类型的指纹库;
获取待接入设备的设备指纹,当所述待接入设备接入目标网络时,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证;
若第一级认证通过,则输出所述待接入设备的设备类型,并基于所述各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证。
2.根据权利要求1所述的方法,其特征在于,获取多个合法设备的设备指纹的步骤,包括:
通过被动探测的方式获取所述多个合法设备的设备指纹。
3.根据权利要求1所述的方法,其特征在于,基于所述多个合法设备的设备指纹对所述多个合法设备进行分类的步骤,包括:
采用KNN算法,基于所述多个合法设备的设备指纹对所述多个合法设备进行分类。
4.根据权利要求1所述的方法,其特征在于,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证的步骤,包括:
将所述各个设备类型的指纹库与所述待接入设备的设备指纹进行匹配,得到第一匹配结果;
当所述第一匹配结果表征所述待接入设备的设备指纹与任何一个所述各个设备类型的指纹库匹配时,则确认第一级认证通过。
5.根据权利要求1所述的方法,其特征在于,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证的步骤,包括:
将所述待接入设备的设备类型与对应的设备类型的设备准入白名单进行匹配,得到第二匹配结果;
若所述第二匹配结果表征所述待接入设备的设备类型与对应的设备类型的设备准入白名单匹配,则确认第二级认证通过。
6.根据权利要求1所述的方法,其特征在于,在第二级认证之前,所述方法还包括:
确认所述待接入设备是否合法,若合法,则对所述待接入设备进行第二级认证。
7.基于设备指纹的二级认证装置,其特征在于,所述装置包括:
建立模块,用于获取多个合法设备的设备指纹,并基于所述多个合法设备的设备指纹对所述多个合法设备进行分类,建立各个设备类型的指纹库;
第一认证模块,用于获取待接入设备的设备指纹,当所述待接入设备接入目标网络时,根据所述各个设备类型的指纹库和所述待接入设备的设备指纹,对所述待接入设备进行第一级认证;
第二认证模块,用于若第一级认证通过,则输出所述待接入设备的设备类型,并基于所述各个设备类型的指纹库建立各个设备类型的设备准入白名单,根据所述待接入设备的设备类型及其对应的设备类型的设备准入白名单,对所述待接入设备进行第二级认证。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
确认模块,用于确认所述待接入设备是否合法,若合法,则对所述待接入设备进行第二级认证。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如权利要求1-6任一项所述的基于设备指纹的二级认证方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的基于设备指纹的二级认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210591970.8A CN115001790B (zh) | 2022-05-27 | 2022-05-27 | 基于设备指纹的二级认证方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210591970.8A CN115001790B (zh) | 2022-05-27 | 2022-05-27 | 基于设备指纹的二级认证方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001790A true CN115001790A (zh) | 2022-09-02 |
| CN115001790B CN115001790B (zh) | 2024-03-26 |
Family
ID=83030056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210591970.8A Active CN115001790B (zh) | 2022-05-27 | 2022-05-27 | 基于设备指纹的二级认证方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001790B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116471127A (zh) * | 2023-06-20 | 2023-07-21 | 中国电力科学研究院有限公司 | 一种基于被动式设备指纹的电力物联网终端接入认证方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020048390A1 (en) * | 2000-10-20 | 2002-04-25 | Jun Ikegami | Personal authentication system using fingerprint information, registration-and-authentication method for the system, determination method for the system, and computer-readable recording medium |
| CN108173871A (zh) * | 2018-01-19 | 2018-06-15 | 西安电子科技大学 | 基于射频指纹和生物指纹无线网接入认证系统及方法 |
| CN112512073A (zh) * | 2020-12-14 | 2021-03-16 | 南京理工大学 | 一种基于指纹识别技术的物联网设备异常检测方法 |
| CN112600793A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种基于机器学习的物联网设备分类识别方法及系统 |
| CN113420791A (zh) * | 2021-06-02 | 2021-09-21 | 国网河北省电力有限公司信息通信分公司 | 边缘网络设备接入控制方法、装置及终端设备 |
| CN113904795A (zh) * | 2021-08-27 | 2022-01-07 | 北京工业大学 | 一种基于网络安全探针的流量快速精确检测方法 |
| CN114363066A (zh) * | 2022-01-04 | 2022-04-15 | 中国建设银行股份有限公司 | 终端设备的安全接入方法、装置、电子设备和存储介质 |
-
2022
- 2022-05-27 CN CN202210591970.8A patent/CN115001790B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020048390A1 (en) * | 2000-10-20 | 2002-04-25 | Jun Ikegami | Personal authentication system using fingerprint information, registration-and-authentication method for the system, determination method for the system, and computer-readable recording medium |
| CN108173871A (zh) * | 2018-01-19 | 2018-06-15 | 西安电子科技大学 | 基于射频指纹和生物指纹无线网接入认证系统及方法 |
| CN112600793A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种基于机器学习的物联网设备分类识别方法及系统 |
| CN112512073A (zh) * | 2020-12-14 | 2021-03-16 | 南京理工大学 | 一种基于指纹识别技术的物联网设备异常检测方法 |
| CN113420791A (zh) * | 2021-06-02 | 2021-09-21 | 国网河北省电力有限公司信息通信分公司 | 边缘网络设备接入控制方法、装置及终端设备 |
| CN113904795A (zh) * | 2021-08-27 | 2022-01-07 | 北京工业大学 | 一种基于网络安全探针的流量快速精确检测方法 |
| CN114363066A (zh) * | 2022-01-04 | 2022-04-15 | 中国建设银行股份有限公司 | 终端设备的安全接入方法、装置、电子设备和存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116471127A (zh) * | 2023-06-20 | 2023-07-21 | 中国电力科学研究院有限公司 | 一种基于被动式设备指纹的电力物联网终端接入认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001790B (zh) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483419B (zh) | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN103313429A (zh) | 一种识别伪造wifi热点的处理方法 | |
| US11337067B2 (en) | Systems and methods for providing wireless access security by interrogation | |
| CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| CN108540979A (zh) | 基于指纹特征的伪ap检测方法及装置 | |
| Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
| CN113343196A (zh) | 一种物联网安全认证方法 | |
| CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
| Xu et al. | Multidimensional behavioral profiling of internet-of-things in edge networks | |
| CN115001790B (zh) | 基于设备指纹的二级认证方法、装置及电子设备 | |
| CN112950201A (zh) | 一种应用于区块链系统的节点管理方法及相关装置 | |
| CN114205816B (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| Fang et al. | Zero‐Trust‐Based Protection Scheme for Users in Internet of Vehicles | |
| BR102020003105A2 (pt) | Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina | |
| CN113872990A (zh) | 基于ssl协议的vpn网络证书认证方法、装置和计算机设备 | |
| CN111917760A (zh) | 一种基于标识解析的网络协同制造跨域融合信任管控方法 | |
| CN116248308A (zh) | 一种基于零信任和边缘智能的物联网持续认证方法 | |
| Gebauer et al. | Evil SteVe: An approach to simplify penetration testing of OCPP charge points | |
| CN115150143A (zh) | 工控设备入网认证方法、装置、设备和存储介质 | |
| Baja et al. | Security of internet of things using machine learning | |
| CN113542222A (zh) | 一种基于双域vae的零日多步威胁识别方法 | |
| CN112469034A (zh) | 能安全认证物理感知设备的物联网网关装置及其接入方法 | |
| CN111600901A (zh) | 一种应用鉴权方法、装置、设备及计算机可读存储介质 | |
| Gupta et al. | Radtec: Re-authentication of iot devices with machine learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |