CN115208655B - 一种应用于工业互联网云服务平台的设备认证处理方法 - Google Patents

一种应用于工业互联网云服务平台的设备认证处理方法 Download PDF

Info

Publication number
CN115208655B
CN115208655B CN202210810779.8A CN202210810779A CN115208655B CN 115208655 B CN115208655 B CN 115208655B CN 202210810779 A CN202210810779 A CN 202210810779A CN 115208655 B CN115208655 B CN 115208655B
Authority
CN
China
Prior art keywords
authentication
equipment
accessed
industrial
puzzle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210810779.8A
Other languages
English (en)
Other versions
CN115208655A (zh
Inventor
邓显辉
李斌勇
张小辉
宋学江
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Tianma Technology Co ltd
Chengdu University of Information Technology
Original Assignee
Chengdu Tianma Technology Co ltd
Chengdu University of Information Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Tianma Technology Co ltd, Chengdu University of Information Technology filed Critical Chengdu Tianma Technology Co ltd
Priority to CN202210810779.8A priority Critical patent/CN115208655B/zh
Publication of CN115208655A publication Critical patent/CN115208655A/zh
Application granted granted Critical
Publication of CN115208655B publication Critical patent/CN115208655B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种应用于工业互联网云服务平台的设备认证处理方法,认证单元根据算力认证方法,并结合平台的认证网所述推荐的适配所述待接入的工业设备的最优安全认证方案,对待接入的工业设备进行认证,在处理过程中,引入辅助计算设备群,以此高效完成工业设备认证处理,有效克服现有的基于“云端融合”的工业互联网架构所构建的工业互联网云服务平台内在面对各类工业设备接入平台时所存在的:无法灵活以及智能地根据接入设备的型号来选择与之适配的认证方案;无法认证接入设备的计算能力,进而无法很好地筛选出诚实设备,限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价等问题。

Description

一种应用于工业互联网云服务平台的设备认证处理方法
技术领域
本发明涉及工业互联网技术领域,具体的说,涉及一种应用于工业互联网云服务平台的设备认证处理方法。
背景技术
工业互联网是面向基于互联网的工业生产活动。相较于传统互联网,工业互联网在网络连通性、实时性和安全性等方面提出了更高要求,目的是使工业生产实体能够进行高效地协同工作;其次,为了实现智能制造,工业互联网借助于物联网技术感知生产环境,利用大数据技术控制生产过程。相较于传统的物联网和大数据技术,工业互联网侧重于感知、分析与工业生产相关的人、机、物,并强调实体之间自组织自适应的智能化柔性生产。目前,学术界和工业界提出了基于“工业云+终端”的工业互联网解决方案,将弹性的、可共享的资源和业务能力,通过泛在网络,以按需自服务方式,为工业企业提供各种服务,从而实现资源的共享与能力的协同;这种“云端分离”的模式由工业云负责完成所有计算任务,获得决策结果反馈给控制器,再由控制器反馈给终端,最终完成工业控制;然而,这种“云端分离”的工业互联网模式,在面对千级用户万级终端、复杂工业场景感知、TB级数据秒级处理以及毫秒级工控时延等需求情况下,无法保证工业生产决策控制的实时、准确与安全。因此,基于“云端融合”的工业互联网解决方案被提出。“云端融合”的工业互联网是一种通过全面深度感知工业制造过程中生产实体的特性和状态,动态/在线地在工业云(云)和生产实体(端)间进行数据交换和计算分发,进而高效、无缝、透明地协同使用工业互联网平台和终端的计算、存储及网络、平台、数据及用户等资源,以实现网络化、智能化、柔性化工业生产的工业互联网新模式。因此,相比于传统的工业互联网模式,基于“云端融合”的工业互联网模式可以达到工业云与生产实体之间高度协同、功能深度融合、智能开放共享,从而保证工业生产实时、准确与安全的决策与控制,为上层应用提供支撑服务。
工业互联网云平台是传统工业云的延伸发展,是工业互联网应用的重要载体,也是工业全要素链接的枢纽,因此,工业互联网云平台的建设质量决定了工业互联网是否能发挥其本身的效能效用。综上可以看出,相比于基于传统“云端分离”的工业互联网模式下所构建工业互联网云服务平台(下文统一称为“旧工业云服务平台”),基于“云端融合”的工业互联网模型下所构建的工业互联网云服务平台(下文统一称为“新工业云服务平台”)可以实现更为实时和精准地处理数据,以及实现数据的处理分析决策与反馈控制的智能化和柔性化。然而,目前新工业云服务平台的研究仅仅处于初级阶段,不仅缺乏契合工业互联网相关特征的体系结构以及关键技术,而且无法应对未来生产中“感知对象更加复杂、联网实体更加多元、数据处理更加多维度、反馈控制更加智能”等需求。进一步地,为了提高工业生产活动质量,新工业云服务平台会向许多的工业设备开放并欢迎其接入平台,进而为平台内的各类实体提供实时且不同类型的工业生产数据来达到协同生产的目的;但随之而来的问题就是,当新工业云服务平台面对不同型号的工业设备接入时,如何解决它们的认证问题是需要考虑的,因为旧工业云服务平台在接入工业设备时,往往是通过专线互联的形式接入,即在接入前已经明确了该工业设备的具体信息;但新工业云服务平台采用的模式为云端融合,即具备网络通信的设备只要满足接入条件,就可以通过泛在网络加入平台中并与平台进行通信交互,而无需采用专线互联的形式来与平台进行通信。因此,新工业云服务平台相比于旧工业云服务平台来说,就需要考虑如何在泛在网络中通过灵活选择合适的认证方案的方式来更为兼容、安全以及便捷地筛选出符合接入条件且对平台有利的工业设备;因为合适的认证方案不仅可以保证平台的安全性,同时可以解决因单一认证方案所带来的不同型号的工业设备在进行认证时所出现的协议不兼容等情况,进而确保符合条件的工业设备都可以安全合法地通过认证而加入平台;因此,如何保证新工业云服务平台可以在泛在网络中通过灵活选择合适的认证方案的方式来更为兼容、安全以及便捷地筛选出符合接入条件且对平台有利的工业设备的问题是亟需被解决的。进一步地,当各类已入驻工业云服务平台的工业设备想要上传自己生成的工业生产数据至平台,或访问平台内的数据时,往往需要借助工业云服务平台对这类数据进行处理;而在处理这类数据时,不仅需要工业云服务平台具备强大的运算能力,同时还需要工业云服务平台具备“按需处理”的能力;因此,如果一个工业云服务平台只具备单一的数据运算处理能力,或者运算处理数据的手段单一,则不仅无法很好地保证这类数据可以被安全以及便捷的处理,同时也无法很好地满足数据拥有者“按需处理”的需求。因此,如果不仅可以做到当各类工业设备加入新工业云服务平台时,新工业云服务平台可以通过灵活选择合适的认证方案的方式来对工业设备进行认证操作,同时还可以做到当各类工业设备想要上传或访问数据时,新工业云服务平台可以根据实际的数据处理需求,以及当时平台的实际运行情况来选择最为合适的数据处理方案,以及调控最为合适且丰富的各类资源对需要上传或者访问的数据进行加工处理,那么这不仅会大幅度减少新工业云服务平台的资源消耗,同时还可以充分利用各类资源来实现最优化的任务处理,进而使新工业云服务平台具备设备认证更为兼容灵活,以及数据加工处理更加智能、安全且便捷等特性。
目前新工业云服务平台在认证待接入平台的各类工业设备时存在以下问题:
因使用单一的认证方案,进而导致部分工业在接受平台的认证时出现了认证协议不兼容以及通信协议不兼容等情况;
无法灵活以及智能地根据接入设备的型号来选择与之适配的认证方案;
无法认证接入设备的计算能力,进而无法很好地筛选出诚实设备,限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价。
发明内容
本发明提供一种应用于工业互联网云服务平台的设备认证处理方法,以解决背景技术中所提出的问题。
本发明的具体技术方案如下:
一种应用于工业互联网云服务平台的设备认证处理方法,所述平台包括认证单元,所述方法包括:
步骤1.所述认证单元全局初始化算力认证方法,并开始全局监听待接入的工业设备所发起的认证请求;
步骤2.所述待接入的工业设备向所述认证单元发起所述认证请求,并同时发出能标识所述待接入的工业设备的设备标识;
步骤3.所述认证单元在接收到所述认证请求和所述设备标识后,所述平台的认证网根据所述设备标识以及所述平台当前的实际运行情况,向所述认证单元推荐适配所述待接入的工业设备的最优安全认证方案;
步骤4.所述认证单元在获取到所述最优安全认证方案后,判断监督执行本次认证操作的监执对象;如果所述监执对象为所述认证单元,则跳转至步骤5;否则,跳转至步骤9;
步骤5.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的难度系数推荐集合中,选出难度系数值最低的值d1同所述平台所设定的难度阈值dp进行对比;如果d1<dp,则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤6;
步骤6.所述认证单元根据所述算力认证方法的初始化情况和所述算力认证难题建立指导参数生成难题puzzle,然后将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在规定时间内成功解答所述难题puzzle,则跳转至步骤7;否则,所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;
步骤7.所述认证单元根据最优安全认证方案,安装并运行适配所述待接入的工业设备,并基于用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证;
步骤8.如果所述待接入的工业设备成功完成接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元拒绝所述待接入的工业设备本次的接入请求,本次设备认证处理完成;
步骤9.所述认证单元根据所述最优安全认证方案,调控符合条件的设备组建辅助计算设备群,进而协助所述认证单元对所述待接入的工业设备进行接入认证操作;
步骤10.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的所述难度系数推荐集合中,选出难度系数值最低的值d1同所述平台设定的难度阈值dp进行对比;如果d1<dp,则所述认证单元拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤11;
步骤11.所述认证单元协助所述辅助计算设备群根据所述算力认证难题建立指导参数生成所述难题puzzle,随后所述辅助计算设备群将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在所述规定时间内成功解答所述难题puzzle,则跳转至步骤12;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理完成;
步骤12.所述认证单元根据所述最优安全认证方案,协助所述辅助计算设备群安装并运行适配所述待接入的工业设备,并基于用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证;
步骤13.如果所述待接入的工业设备成功完成所述认证单元和所述辅助计算设备群根据所述最优安全认证方案所安排的接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理结束。
本申请至少克服了现有的基于“云端融合”的工业互联网架构所构建的工业互联网云服务平台内在面对各类工业设备接入平台时所存在的以下三个问题:
1、因使用单一的认证方案,进而导致部分工业在接受平台的认证时出现了认证协议不兼容以及通信协议不兼容等情况;
2、无法灵活以及智能地根据接入设备的型号来选择与之适配的认证方案;
3、无法认证接入设备的计算能力,进而无法很好地筛选出诚实设备,限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1示出了根据本发明实施例的一种应用于工业互联网云服务平台的设备认证处理方法中的步骤1-6的流程示意图。
图2示出了根据发明实施例的一种应用于工业互联网云服务平台的设备认证处理方法中的步骤7-13的流程示意图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定发明。
现在结合说明书附图对本发明做进一步的说明。
如图1和图2所示,本申请实施例提供了一种应用于工业互联网云服务平台的设备认证处理方法,所述方法包括:
步骤1.平台的认证单元全局初始化算力认证方法,并开始全局监听待接入的工业设备所发起的认证请求;
步骤2.所述待接入的工业设备向所述认证单元发起所述认证请求,并同时提供能标识所述待接入的工业设备的设备标识;
步骤3.所述认证单元在接收到所述认证请求和所述设备标识后,所述平台的认证网会立即根据所述设备标识,向所述认证单元推荐适配所述待接入的工业设备的最优安全认证方案;
步骤4.所述认证单元在获取到所述最优安全认证方案后,首先判断监督执行本次认证操作的监执对象;如果所述监执对象为所述认证单元,则跳转至步骤5;否则,跳转至步骤9;
步骤5.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的难度系数推荐集合中,选出难度系数值最低的值d1同所述平台所设定的难度阈值dp进行对比;如果d1<dp,则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤6;
步骤6.所述认证单元根据所述算力认证方法的初始化情况和所述算力认证难题建立指导参数生成难题puzzle,然后将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在规定时间内成功解答所述难题puzzle,则跳转至步骤7;否则,所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;
步骤7.所述认证单元根据最优安全认证方案,安装并运行适配所述待接入的工业设备,且用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证;
步骤8.如果所述待接入的工业设备成功完成接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,本次设备认证处理完成;
步骤9.所述认证单元根据所述最优安全认证方案,调控符合条件的设备组建辅助计算设备群,进而协助所述认证单元对所述待接入的工业设备进行接入认证操作;
步骤10.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的所述难度系数推荐集合中,选出所述难度系数值最低的值d1同所述平台所设定的所述难度阈值dp进行对比;如果d1<dp,则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤11;
步骤11.所述认证单元协助所述辅助计算设备群根据所述算力认证难题建立指导参数生成所述难题puzzle,随后所述辅助计算设备群将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在所述规定时间内成功解答所述难题puzzle,则跳转至步骤12;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理完成;
步骤12.所述认证单元根据所述最优安全认证方案,协助所述辅助计算设备群安装并运行适配所述待接入的工业设备,且用于安全接入认证的所述配套安全算法对所述待接入的工业设备进行接入认证;
步骤13.如果所述待接入的工业设备成功完成所述认证单元和所述辅助计算设备群根据所述最优安全认证方案所安排的接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理结束。
进一步地,所述平台为本申请所提的基于“云端融合”的工业互联网模式所构建的工业互联网云服务平台。
进一步地,所述认证单元为专门负责调控所述平台中的各类计算资源和方案资源对所述待接入的工业设备进行接入认证、算力认证以及信誉评估的控制中枢;其中,所述认证单元又包括了接入认证模块、算力认证模块以及信誉值评估模块;而所述接入认证模块负责对所述待接入的工业设备进行接入认证;所述算力认证模块负责对所述待接入的工业设备进行算力认证;所述信誉值评估模块负责对所述设备终端候选池中的工业设备进行信誉评估。
进一步地,所述设备标识为一种可以向所述平台提供,且难以伪造的可靠工业设备标识;其中,所述设备标识的合法参数包括设备名称、设备型号、设备序列号、设备的生产厂商、出厂日期、设备的理论计算能力、设备拥有者id、设备拥有者名称、设备实际运营的具体地理位置等信息。
进一步地,所述认证网是一种基于知识图谱嵌入的个性化推荐技术,且可以智能化地为所述平台的认证单元推荐适配所述待接入的工业设备的所述最优安全认证方案的认证方案推荐单元;其中,所述认证网在构建前期已经大量融入了人工基于知识图谱技术所构建的设备认证方案知识图谱,并在进一步结合所述认证方案推荐单元的情况下,可以根据所述待接入设备的标识精准推荐符合平台当前的实际运行情况,且兼顾所述待接入的工业设备的设备类型和算力等条件的最优安全认证方案;与此同时,在所述认证单元根据所述最优安全认证方案对所述待接入的工业设备进行认证操作这个过程中,所述平台所产生的可以用于更新所述设备认证方案知识图谱的数据也将在认证操作完成后实时更新至所述认证网中,进而保证未来所述认证网所推荐的所述最优安全认证方案更符合实际工业设备认证场景。
进一步地,所述最优安全认证方案为所述认证网根据所述设备标识和所述平台当前的实际运行情况,向所述认证单元所推荐的针对所述待接入的工业设备的更为适配、便捷、安全且符合实际工业设备接入认证场景的设备认证方案。需要注意的是,首先,所述最优安全认证方案主要作用之一是用于指导所述认证单元的接入认证模块构建适配所述待接入的工业设备的接入认证方案;因为所述待接入的工业设备的设备类型繁多,不同型号的工业设备所使用的通信协议等可能有所不同,如果不同型号的工业设备使用同一种在线认证协议、保密通信以及访问控制等用于安全接入认证的配套安全算法时,可能会出现因不兼容所述用于安全接入认证的配套安全算法所导致的符合接入条件的所述待接入的工业设备无法正常接入所述平台的情况发生。因此,为了能兼容更多的工业设备,进而让更多所述符合接入条件的工业设备可以顺利地入驻所述平台,所述平台在前期大量融入了与各类主流工业设备相适配,且用于安全接入认证的所述配套安全算法;当所述待接入的工业设备准备接入所述平台时,所述认证网会根据所述待接入的工业设备的设备标识,选择与所述待接入的工业设备相适配的在线认证协议、保密通信以及访问控制等用于安全接入认证的所述配套安全算法加入所述最优安全认证方案中,进而保证在后续的认证操作过程中,所述认证单元的接入认证模块会严格按照所述最优安全认证方案安装执行所述配套安全算法来实现对所述待接入的工业设备进行接入认证;其次,为了筛选出诚实设备、限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价,本申请引入了算力认证方法;所述算力认证方法主要是通过在接入认证之前向所述待接入的工业设备发送难题puzzle用于解答,进而根据难题puzzle的解答情况来筛选出符合条件的工业设备;故所述最优安全认证方案的另一个作用就是指导所述认证单元的算力认证模块构建适配所述待接入的工业设备的难题puzzle,以及核验所述待接入的工业设备解答所述难题puzzle的情况;最重要的是,当所述设备接入认证方案的监执对象是所述认证单元时,则由所述认证单元根据所述最优安全认证方案安装运行所述用于安全接入认证的配套安全算法,以及执行所述算法认证方法中的难题Puzzle生成阶段和难题Puzzle验证阶段的相关功能,进而实现对所述待接入的工业设备进行算力认证和接入认证;但当所述设备接入认证方案的监执对象是所述辅助计算设备群时,则需要所述认证单元根据所述最优安全认证方案安排所述辅助计算设备群安装运行所述用于安全接入认证的配套安全算法,以及在所述认证单元的协助下执行所述算法认证方法中难题Puzzle生成阶段和难题Puzzle验证阶段的相关功能,进而实现协助所述认证单元对所述待接入的工业设备进行算力认证和接入认证。
进一步地,所述辅助计算设备群是一个在符合当前平台运行情况的基础之上,协助所述认证单元完成所述最优安全认证方案内容的工业设备集合;而所述工业设备即为所述认证网根据平台当前的实际运行情况、所述待接入的工业设备的设备情况以及认证任务的内容和难度,从所述平台的设备终端候选池中所筛选出的具备一定计算能力、信誉值达到所述平台所设定的阈值、当前计算负载压力相对均衡、工业设备所处的网络环境在一定时间段内相对安全且稳定,以及得到工业设备拥有者许可等众多条件下的强工业设备;而所述设备终端候选池是一个存储可以被遴选加入辅助计算设备群,进而为所述平台提供服务的强工业设备集合。
进一步地,所述辅助计算设备群内的工业设备数量可以是一台,也有可能是多台,而实际的设备数量也将根据所述最优安全认证方案来决定;与此同时,当所述辅助计算设备群中的某个工业设备出现宕机或者持续下线等故障情况时,所述认证网将根据所述最优安全认证方案,以及当前所述辅助计算设备群设备的实时运行情况,重新安排与故障设备条件相当的救援设备加入所述辅助计算设备群内,进而代替所述故障设备进行接下来的认证工作,并将原先安排给所述故障设备的那部分任务重新分配给所述救援设备执行,进而确保所述最优安全认证方案能被正确无误的执行完成。与此同时,如果所述辅助计算设备群内的工业设备有退出所述平台的需求时,则需要将目前未执行完成的任务执行完成后才可以退出,且提交退出申请后,所述平台将即刻把待退出平台的工业设备从设备终端候选池中踢出,并不再分配任务。
进一步地,所述算力认证方法是一种基于Client Puzzle方法,且用于测试所述待接入的工业设备的计算能力和并行处理能力的工作量证明方法;同时也是一种用于筛选出诚实设备、限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价的安全认证方法。所述算力认证方法是实现所述认证单元中算力认证模块功能的核心算法,同时弥补了传统Client Puzzle方法无法测试设备的并行处理能力的弱点;
具体地,所述算力认证方法一共分为四个阶段,分别是初始化阶段、Puzzle生成阶段、Puzzle解答阶段以及Puzzle验证阶段;其中,所述初始化阶段的相关功能由所述认证单元的算力认证模块执行;所述Puzzle生成阶段的相关功能由所述最优安全认证方案中所推荐的监执对象来执行,其中,所述监执对象可能为所述认证单元的算力认证模块,也可能为所述辅助计算设备群;所述Puzzle解答阶段的相关功能由所述待接入的工业设备执行;而所述Puzzle验证阶段中相关功能的监执对象则与所述Puzzle生成阶段类似,即如果由所述认证单元的算力认证模块单独监执所述Puzzle生成阶段的相关功能,则由所述认证单元的算力认证模块单独监执所述Puzzle验证阶段的相关功能;而如果由所述辅助计算设备群协助所述平台监执所述Puzzle生成阶段的相关功能,则由所述辅助计算设备群中当前信誉值最高的工业设备来监执所述Puzzle验证阶段的相关功能;
具体地,所述初始化阶段分为以下几个步骤:
(1)所述认证单元的算力认证模块根据安全指数k初始化所述算力认证方法的保密通信算法集合CPpkc、难题puzzle生成算法GenPuzz(·)和难题puzzle解答验证算法VerAP(·)。
(2)当所述待接入的工业设备向所述认证单元发起所述认证请求后,所述认证单元首先从所述最优安全认证方案中,获取匹配安全指数为k的算力认证方法的难题制定指导参数,其中包括难度系数推荐集合{d1,d2,d3}(d1<d2<d3)和难题解答预估时间timecp
(3)所述认证单元的算力认证模块从所述保密通信算法集合CPpkc中分别选取两组非对称加解密算法配套组<prk,pbk,Enc,Dec>和<prk1,pbk1,Enc1,Dec1>,分别记为<prk,pbk,Enc,Dec>←CPpkc和<prk1,pbk1,Enc1,Dec1>←CPpkc
(4)所述认证单元的算力认证模块从所述最优安全认证方案中获取监督执行所述Puzzle解答阶段的监执对象;如果所述监执对象为所述认证单元的算力认证模块,则初始化阶段的功能执行完毕;否则,跳转至步骤(5)。
(5)所述认证单元的算力认证模块使用所述保密通信算法集合CPpkc、所述难题puzzle生成算法GenPuzz(·)、所述难题puzzle解答验证算法VerAP(·)以及用于描述所述算力认证方法的描述信息CPdi(即难题puzzle的描述以及适用范围等信息)生成一个集合APC,记为APC←{GenPuzz(·),VerAP(·),CPdi,CPpkc};随后所述认证单元的算力认证模块将参数{{d1,d2,d3},<prk,pbk,Enc,Dec>,<prk1,pbk1,Enc1,Dec1>,timecp,APC}通过安全信道发送至所述辅助计算设备群,并协助所述辅助计算设备群共同完成接下来算力认证任务,所述初始化阶段功能执行完毕。
需要注意的是,首先,所述非对称加解密算法配套组<prk,pbk,Enc,Dec>中的Enc为非对称加密算法;Dec为非对称解密算法;prk为适配所述Enc和所述Dec的私钥;而pbk为适配所述Enc和所述Dec的公钥;其次,所述非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>中的Enc1为非对称加密算法;Dec1为非对称解密算法;prk1为适配所述Eec1和所述Dec1的私钥;而pbk1为适配所述Enc1和所述Dec1的公钥;最重要的是,所述非对称加解密算法配套组<prk,pbk,Enc,Dec>的作用是用于建立安全信道,而所述非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>的作用是用于签名验证。
具体地,所述Puzzle生成阶段分为以下几个步骤:
(1)所述监执对象在接收到参数{{d1,d2,d3},<prk,pbk,Enc,Dec>,<prk1,pbk1,Enc1,Dec1>,timecp,APC}后,首先通过所述非对称加解密算法配套组<prk,pbk,Enc,Dec>建立起与所述待接入的工业设备的安全信道;然后所述待接入的工业设备随机生成一个随机数nc,并通过所述安全信道将所述随机数nc传输给所述监执对象;
(2)所述监制对象在获取到所述随机数nc后,首先从所述设备标识中获取所述待接入的工业设备的设备序列号seriali;然后所述监制对象随机生成一个随机数ns;接下来,所述监执对象借助所述难题puzzle生成算法GenPuzz(·)、所述随机数nc、所述随机数ns、所述设备序列号seriali以及所述监制对象的ID号idsi生成难题puzzle,记为puzzle←GenPuzz(idsi,seriali,ns,nc);
(3)所述难题puzzle生成成功后,所述监执对象借助消息认证函数MAC1(·)计算参数(d1||d2||d3||puzzle)并得到中间变量记为/>随后所述监执对象使用所述私钥prk1对所述中间变量/>进行签名并得到值Si,记为
(4)生成参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>},然后所述监执对象通过所述安全信道向所述待接入的工业设备发送所述参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>},并在所述timeg所规定的时间范围内监听所述待接入的工业设备是否会发送验证错误标识Error;
(5)如果所述监执对象在所述timeg所规定的时间范围内监听到所述验证错误标识Error,则重新生成所述参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>},并跳转至步骤(3);如果所述监执对象在timeg所规定的时间范围内未监听到所述验证错误标识Error,则继续监听;否则所述Puzzle阶段功能执行完毕;
需要注意的是,首先,所述MAC1(·)为消息认证函数,且MAC1(·):{0,1}*×{0,1}k→{0,1}k;所述ns为所述监执对象的时间段随机数,且所述ns会随着时间段的变化而变化;其次,所述非对称加解密算法配套组<prk,pbk,Enc,Dec>中的所述Enc为非对称加密算法;所述Dec为非对称解密算法;所述prk为适配所述Enc和所述Dec的私钥;而所述pbk为适配所述Enc和所述Dec的公钥;所述非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>中的所述Enc1为非对称加密算法;所述Dec1为非对称解密算法;所述prk1为适配所述Enc1和所述Dec1的私钥;而所述pbk1为适配所述Enc1和所述Dec1的公钥;最重要的是,所述非对称加解密算法配套组<prk,pbk,Enc,Dec>的作用是用于建立安全信道,而所述非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>的作用是用于签名验证。
具体地,所述Puzzle解答阶段分为以下几个步骤:
(1)所述待接入的工业设备在成功接收到参数{Si′,puzzle′,{d1′,d2′,d3′},<pbk1′,Enc1′,Dec1′>}后,首先使用参数pbk1′和算法Dec1′解密所述参数中的值Si′并得到值记为/>随后通过消息认证函数MAC1(·)计算参数(d1′||d2′||d3′||puzzle′)并得到值Φ″;最后判断/>与Φ″是否相等;如果/>则跳转至步骤(2);否则,所述待接入的工业设备将向所述监执对象响应验证错误标识Error;
(2)所述待接入的工业设备需要在所述timecp所规定的时间范围内寻找出至少两个长度不大于2k的比特串,分别记为p1和p2,进而用于解答所述难题puzzle′;如果所述待接入的工业设备所找寻出的任意两个所述比特串p1和比特串p2中的某一个比特串pt(t∈{1,2})满足必要条件:使用单向散列函数MAC2(·)计算参数(pt||puzzle′)所得出的比特串puzz1,满足前d3′个比特均为0;以及所述比特串p1和比特串p2中的另一个比特串pl(l∈{1,2}且t≠l)满足以下可选条件之一:
1)使用单向散列函数MAC2(·)计算参数(pl||puzzle′)所得出的比特串puzz2,满足前d2′个比特均为0;
2)使用单向散列函数MAC2(·)计算参数(pl||puzzle′)所得出的比特串puzz3,满足前d1′个比特均为0;
且未收到难题解答终止标识UTA,则跳转至步骤(3);否则,跳转至步骤(4);
(3)所述待接入的工业设备首先生成一个随机数ng,随后使用消息认证函数MAC1(·)计算参数{seriali,ng,p1,p2}并得到值ω,记为ω←MAC1({seriali,ng,p1,p2});接下来,使用所述参数pbk1′和算法Enc1′加密所述值ω并得到值ωE,记为ωE←Enc1′(pbk1′,ωE);最后将答案{ωE,ng,p1,p2}通过所述安全信道响应至所述Puzzle生成阶段的监执对象,所述Puzzle解答阶段的功能执行完毕;
(4)如果收到所述难题解答终止标识UTA,则所述待接入的工业设备将立刻停止难题puzzle′的解答任务,所述Puzzle解答阶段的功能执行完毕;如果所述待接入的工业设备未收到针对所述难题puzzle′的解答终止标识UTA,且未找寻出满足相应条件的所述比特串,则继续寻出满足相应条件的所述比特串,并跳转至步骤(2);
需要注意的是,所述MAC1(·)为消息认证函数,且MAC1(·):{0,1}*×{0,1}k→{0,1}k;所述MAC2(·)为单向散列函数,且MAC2(·):{0,1}*→{0,1}k;seriali为所述待接入的工业设备的设备序列号;所述<pbk1′,Enc1′,Dec1′>对应的是所述用于签名验证的非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>,且Enc1′为非对称加密算法,Dec1′为非对称解密算法,pbk1′为适配所述Enc′和所述Dec′的公钥;{d1′,d2′,d3′}对应的是所述难度系数推荐集合{d1,d2,d3},且满足d1′=d1<d2′=d2<d3′=d3
具体地,所述Puzzle验证阶段分为以下几个步骤:
步骤S1,所述监执对象在接收到所述待接入的工业设备所响应的答案前,将持续监控所述待接入的工业设备执行难题解答时所花费的时间t;如果t>timecp,且未收到所述待接入的工业设备所响应的答案,则所述监执对象将立刻终止本次的难题puzzle解答,并向所述待接入的工业设备发送难题解答终止标识UTA,同时所述认证单元将拒绝所述待接入的工业设备本次的接入请求,所述Puzzle验证阶段功能执行完毕;如果t≤timecp,且未收到所述待接入的工业设备所响应的答案,则持续监控,并跳转至步骤S1;而如果t≤timecp,且收到所述待接入的工业设备所响应的答案{ωE′,ng′,p1′,p2′},则跳转至步骤S2。
步骤S2,所述监执对象首先使用消息认证函数MAC1(·)计算参数{seriali,ng′,p1′,p2′}并得到值γ,记为γ←MAC1({seriali,ng′,p1′,p2′});随后所述监执对象使用所述私钥prk1和解密算法Dec1解密所述值ωE′并得到值γE,记为γE←Dec1(prk1,ωE′)。接下来,所述监执对象将判断所述值γE与所述值γ是否相等;如果γE==γ,则跳转至步骤S3;否则,所述监执对象将拒绝所述待接入的工业设备本次的认证请求,所述Puzzle验证阶段功能执行完毕。
步骤S3,所述监执对象使用所述难题puzzle解答验证算法VerAP(·)检验所述比特串p1′和p2′是否满足解答需求,即如果所述待接入的工业设备所找寻出的两个所述比特串组p1′和p2′的某一个比特串pt′(t∈{1,2})满足条件:使用所述难题puzzle解答验证算法VerAP(·)计算参数(d3,pt′||puzzle)所得出结果为true,记为true←VerAP(d3,pt′||puzzle);而另一个比特串pl′(l∈{1,2}且t≠l)满足以下条件之一:
1)使用所述难题puzzle解答验证算法VerAP(·)计算参数(d2,pl′||puzzle)所得出结果为true,记为true←VerAP(d2,pl′||puzzle);
2)使用所述难题puzzle解答验证算法VerAP(·)计算参数(d1,pl′||puzzle)所得出结果为true,记为true←VerAP(d1,pl′||puzzle);
则所述认证单元将依据所述最优安全认证方案安排所述待接入的工业设备进行接入认证;否则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,所述Puzzle验证阶段功能执行完毕。
需要注意的是,所述MAC1(·)为消息认证函数,且MAC1(·):{0,1}*×{0,1}k→{0,1}k;所述MAC2(·)为单向散列函数,且MAC2(·):{0,1}*→{0,1}k;n′g为所述待接入的工业设备在所述Puzzle解答阶段所生成的一个随机数;seriali为所述待接入的工业设备的设备序列;所述Dec1为非对称解密算法,所述prk1为适配所述Dec1的私钥,且都为所述用于签名的非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>中的元素;{d1,d2,d3}对应的是所述难度系数推荐集合{d1,d2,d3}。
进一步地,所述信誉值是一种衡量所述设备终端候选池中的工业设备在入驻所述平台期间是否具备可靠性的度量值,且主要是对所述已入驻的工业设备在入驻期间对所述平台的贡献值、设备稳定值以及被评价指数这三类指标进行综合评估所得出的。现假设某个所述设备终端候选池中的工业设备的设备序列号为i,则所述设备i的信誉值Credibility_valuei的计算公式为:
其中,以及/>为权重因子,且/>contributei表示所述设备i在入驻期间对所述平台的贡献值;Stability_indexi表示所述设备i在入驻期间的设备稳定值;而DEIi则表示所述设备i在入驻期间的被评价指数;
具体地,所述贡献值contributei主要是对所述设备i在入驻期间所上传的工业生产数据被所述平台内的其它工业设备或者用户所采纳使用的情况,以及入驻期间作为辅助计算设备群或协同计算设备群中的设备之一,协助所述平台执行相应任务的情况进行评估所得出的。因此,所述设备i的贡献值contributei的计算公式为:
其中,所述contributei∈(0,1);所述contributei中的usei表示所述设备i所上传的工业生产数据被所述平台内的其它工业设备或者用户采纳并使用的情况;而cooperatei表示所述设备i在入驻期间作为辅助计算设备群或协同计算设备群中的设备之一,协助所述平台执行相应任务的情况;和/>为权重因子,且/>
具体地,所述contributei中usei的计算公式为:
其中,所述usei∈(0,1);所述usei中的e表示所述设备i在入驻所述平台期间上传的工业生产数据的总量;E为数量阈值,其作用主要是防止低信任和无信任的工业设备恶意刷高信誉值;socrej∈[0,1]表示在所述总量为e的工业生产数据中的第j个工业生产数据被其它工业设备或者用户采纳且反馈应用成功的比例;α∈(0,1)为权重因子。
具体地,所述contributei中cooperatei的计算公式为:
其中,其中,所述cooperatei∈(0,1|;所述cooperatei中的totali表示所述设备i作为辅助计算设备群或协同计算设备群中的设备之一去协助所述平台执行相应任务的任务总数量;successtotali表示所述设备i成功完成所述协助任务的任务数量,ST和ST1为成功任务数量阈值。
具体地,所述设备稳定指标Stability_indexi是一种用于衡量所述设备i在处理所述平台所安排的各类业务时是否可以稳健地执行的标识值;其中,所述设备稳定指标主要是根据所述设备i当前所处的网络环境在当前信誉值评估大周期内的稳定程度,以及所述设备i在当前信誉值评估大周期内的设备健康程度来进行评估而得到的。因此,所述设备i的设备稳定指标Stability_indexi的计算公式为:
Stability_indexi=β1×NSi2×EHi
其中,Stability_indexi∈(0,1);β1∈(0,1),β2∈(0,1)为权重因子,且β12=1;NSi表示所述设备i当前所处的网络环境在当前信誉值评估大周期内的稳定程度;EHi表示所述设备i在当前信誉值评估大周期内的设备健康程度;
具体地,所述NSi的计算公式为:
其中,“++”表示所述设备i当前所处网络在当前信誉值评估大周期内处于网络延时小、丢包率低、网络抖动小且未遭受任何网络攻击的环境下,此时所述NSi=1;“+”表示所述设备i当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但出现了一定程度的网络抖动和丢包的情况,但不影响所述设备i在所述平台内进行正常的工业生产活动,此时所述NSi=0.8;“±”表示所述设备i当前所处网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但在多个时间点出现了严重的网络抖动和丢包情况,进而一定程度上影响到了所述设备i在所述平台内进行正常的工业生产活动,此时所述NSi=0.5;“-”表示所述设备i当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但在多个时间段内出现了持续且严重的网络抖动和丢包情况,进而导致所述设备i无法在所述平台内进行正常的工业生产活动,此时所述NSi=0.3;“down”表示所述设备i在当前信誉值评估大周期内遭受了网络攻击,进而导致设备出现了持续的宕机下线或者向所述平台发送了危害平台安全的恶意信息等危害所述平台安全的情况,此时NSi=0;需要注意的是,当所述NSi=0时,所述设备i将即刻被踢出所述设备终端候选池,且在入驻期间,所述设备i将不再被入选所述设备终端候选池中。
具体地,所述EHi∈(0,1)的值由所述设备i的拥有者对所述设备i的实际运行以及保障情况进行综合评价而得出的,且在入驻期间,所述设备i的拥有者需要在所述平台所规定的上传周期内定时上传所述值EHi,以及时更新旧的所述值EHi;如果没有及时上传,那么在这一阶段的信誉值评估大周期中,所述EHi=0,并只能在下一个信誉值评估大周期中才能更新所述EHi
具体地,所述被评价指数DEIi是一种根据所述设备i在入驻所述平台期间所受到的其它工业设备或者用户的直接评价来进行计算并得出的评价指标,其计算公式为:
其中,DEIi∈(0,1);m表示所述设备i在入驻所述平台期间所受到的其它工业设备或用户评价的总数;m’表示计算阈值,其作用在于防止恶意、低诚信以及无诚信的工业设备勾结其它工业设备或者用户通过零星的高评价值来提高所述被评价指数DEIi∈(0,1)表示工业设备(用户)j给予所述设备i的评价;δ为增长限制因子;γk代表交易时间退化因子,其计算公式为:
具体地,当所述信誉值Credibility_valuei≥0.5时,表示所述设备i处于正常信誉水平;当所述信誉值0.3≤Credibility_valuei<0.5时,表示所述设备i处于低信誉水平,此时所述平台也将根据信誉水平的不同降低所述设备i入选辅助计算设备群或协同计算设备群的概率,只有当所述设备i的信誉水平提高时,所述入选辅助计算设备群或协同计算设备群的概率才会被提高,进而到达被入选的正常概率水平;而当所述信誉值Credibility_valuei<0.3时,则表示所述设备i处于无信誉水平,此时所述平台将即刻把所述设备i踢出所述设备终端候选池,且在入驻期间,所述设备i将不再被入选所述设备终端候选池中。
需要注意的是,首先,所述信誉值评估大周期即为所述入驻所述平台的工业设备的实际设备维保期,且由所述设备的所有者在所述设备入驻所述平台时一并上报所述平台,并同时上报所述设备当前的实际运行及设备维保情况,即所述EHi;此时,所述平台将根据所述设备的所有者所上传的所述实际设备维保期,计算所述设备的信誉值评估大周期;因此,所述设备在所述信誉值评估大周期内可能会被所述平台进行多次的信誉评估,但所述设备的值EHi则在这一个信誉值评估大周期内不会变,只有这一阶段的信誉值评估大周期结束并进入下一阶段的所述信誉值评估大周期时,所述设备的值EHi才会根据所述设备的所有者所上报的所述设备当前的实际运行及设备维保情况来进行更新。与此同时,不同设备之间,其所述信誉值评估大周期可能也有所不同,长短不一;其次,所述被评价指数DEIi的评价对象必须是与被评估对象建立过协作关系的工业设备或用户。
以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种应用于工业互联网云服务平台的设备认证处理方法,所述平台包括认证单元,其特征在于,所述方法包括:
步骤1.所述认证单元全局初始化算力认证方法,并开始全局监听待接入的工业设备所发起的认证请求;
步骤2.所述待接入的工业设备向所述认证单元发起所述认证请求,并同时发出能标识所述待接入的工业设备的设备标识;
步骤3.所述认证单元在接收到所述认证请求和所述设备标识后,所述平台的认证网通过预先构建设备认证方案的知识图谱并根据所述设备标识,结合工业设备的设备类型和算力向所述认证单元精准地推荐符合平台当前实际运行情况的最优安全认证方案,且将待接入的工业设备的操作过程实时更新至所述知识图谱中;
步骤4.所述认证单元在获取到所述最优安全认证方案后,判断监督执行本次认证操作的监执对象;如果所述监执对象为所述认证单元,则跳转至步骤5;否则,跳转至步骤9;
步骤5.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的难度系数推荐集合中,选出难度系数值最低的值d1同所述平台所设定的难度阈值dp进行对比;如果d1<dp,则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤6;
步骤6.所述认证单元根据所述算力认证方法的初始化情况和所述算力认证难题建立指导参数生成难题puzzle,然后将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在规定时间内成功解答所述难题puzzle,则跳转至步骤7;否则,所述认证单元将拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;
步骤7.所述认证单元根据最优安全认证方案,安装并运行适配所述待接入的工业设备,并基于用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证;
步骤8.如果所述待接入的工业设备成功完成接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元拒绝所述待接入的工业设备本次的接入请求,本次设备认证处理完成;
步骤9.所述认证单元根据所述最优安全认证方案,调控符合条件的设备组建辅助计算设备群,进而协助所述认证单元对所述待接入的工业设备进行接入认证操作;
步骤10.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数,并从所述算力认证难题建立指导参数的所述难度系数推荐集合中,选出难度系数值最低的值d1同所述平台设定的难度阈值dp进行对比;如果d1<dp,则所述认证单元拒绝所述待接入的工业设备本次的认证请求,本次设备认证处理完成;否则,跳转至步骤11;
步骤11.所述认证单元协助所述辅助计算设备群根据所述算力认证难题建立指导参数生成所述难题puzzle,随后所述辅助计算设备群将所述难题puzzle发送给所述待接入的工业设备进行解答;如果所述待接入的工业设备在所述规定时间内成功解答所述难题puzzle,则跳转至步骤12;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理完成;
步骤12.所述认证单元根据所述最优安全认证方案,协助所述辅助计算设备群安装并运行适配所述待接入的工业设备,并基于用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证;
步骤13.如果所述待接入的工业设备成功完成接入认证,且符合所述最优安全认证方案中的接入条件,则所述认证单元将准许所述待接入的工业设备接入所述平台;否则,所述认证单元将拒绝所述待接入的工业设备本次的接入请求,并解散所述辅助计算设备群,本次设备认证处理结束。
2.根据权利要求1所述的方法,其特征在于,所述认证单元包括接入认证模块、算力认证模块以及信誉值评估模块;所述接入认证模块负责对所述待接入的工业设备进行接入认证;所述算力认证模块负责对所述待接入的工业设备进行算力认证;所述信誉值评估模块负责对设备终端候选池中的工业设备进行信誉评估。
3.根据权利要求2所述的方法,其特征在于,所述算力认证方法分为四个阶段,分别是初始化阶段、Puzzle生成阶段、Puzzle解答阶段以及Puzzle验证阶段;其中,所述初始化阶段由所述认证单元的算力认证模块执行;所述Puzzle生成阶段由所述最优安全认证方案中所推荐的监执对象来执行,所述监执对象为所述认证单元的算力认证模块或所述辅助计算设备群;所述Puzzle解答阶段由所述待接入的工业设备执行;如果由所述认证单元的算力认证模块单独监执所述Puzzle生成阶段,则由所述认证单元的算力认证模块单独监执所述Puzzle验证阶段;如果由所述辅助计算设备群协助所述平台监执所述Puzzle生成阶段,则由所述辅助计算设备群中当前信誉值最高的工业设备来监执所述Puzzle验证阶段。
4.根据权利要求3所述的方法,其特征在于,所述初始化阶段包括:
根据安全指数k初始化所述算力认证方法的保密通信算法集合CPpkc、难题puzzle生成算法GenPuzz(·)和难题puzzle解答验证算法VerAP(·);
当所述待接入的工业设备向所述认证单元发起所述认证请求后,从所述最优安全认证方案中,获取匹配安全指数为k的算力认证方法的难题制定指导参数,所述难题制定指导参数包括难度系数推荐集合{d1,d2,d3}(d1<d2<d3)和难题解答预估时间timecp
从所述保密通信算法集合CPpkc中分别选取两组非对称加解密算法配套组<prk,pbk,Enc,Dec>和<prk1,pbk1,Enc1,Dec1>;
从所述最优安全认证方案中获取监督执行所述Puzzle解答阶段的监执对象;如果所述监执对象为所述认证单元的算力认证模块,则初始化阶段的功能执行完毕;
如果所述监执对象为所述辅助计算设备群,使用所述保密通信算法集合CPpkc、所述难题puzzle生成算法GenPuzz(·)、所述难题puzzle解答验证算法VerAP(·)以及用于描述所述算力认证方法的描述信息CPdi生成一个集合APC;将参数{{d1,d2,d3},<prk,pbk,Enc,Dec>,<prk1,pbk1,Enc1,Dec1>,timecp,APC}通过安全信道发送至所述辅助计算设备群,并协助所述辅助计算设备群共同完成后续的算力认证任务,所述初始化阶段的功能执行完毕;
所述非对称加解密算法配套组<prk,pbk,Enc,Dec>中的Enc为非对称加密算法;Dec为非对称解密算法;prk为适配所述Enc和所述Dec的私钥;pbk为适配所述Enc和所述Dec的公钥;所述非对称加解密算法配套组<prk1,pbk1,Enc1,Dec1>中的Enc1为非对称加密算法;Dec1为非对称解密算法;prk1为适配所述Enc1和所述Dec1的私钥;pbk1为适配所述Enc1和所述Dec1的公钥。
5.根据权利要求4所述的方法,其特征在于,所述Puzzle生成阶段包括:
在接收到参数{{d1,d2,d3},<prk,pbk,Enc,Dec>,<prk1,pbk1,Enc1,Dec1>,timecp,APC}后,通过所述非对称加解密算法配套组<prk,pbk,Enc,Dec>建立起与所述待接入的工业设备的安全信道,并通过所述安全信道接收来自所述待接入的工业设备随机生成的一个随机数nc
在获取到所述随机数nc后,从所述设备标识中获取所述待接入的工业设备的设备序列号seriali;随机生成一个随机数ns;根据所述难题puzzle生成算法GenPuzz(·);
基于所述算法GenPuzz(·)、所述随机数nc、所述随机数ns、所述设备序列号seriali以及监执对象的ID号idsi生成难题puzzle;
所述难题puzzle生成成功后,根据消息认证函数MAC1(·)计算参数(d1||d2||d3||puzzle)并得到中间变量使用私钥prk1对中间变量/>进行签名并得到值Si;
生成参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>},通过所述安全信道向所述待接入的工业设备发送所述参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>},并在所述难题解答预估时间timeg所规定的时间范围内监听所述待接入的工业设备是否会发送验证错误标识Error;
如果在所述难题解答预估时间timeg所规定的时间范围内监听到所述验证错误标识Error,则重新生成所述参数集合{Si,puzzle,{d1,d2,d3},<pbk1,Enc1,Dec1>};如果所述监执对象在难题解答预估时间timeg所规定的时间范围内未监听到所述验证错误标识Error,则继续监听至所述Puzzle阶段功能执行完毕。
6.根据权利要求5所述的方法,其特征在于,所述Puzzle解答阶段包括以下步骤:
(1)所述待接入的工业设备在成功接收到参数{Si′,puzzle′,{d1′,d2′,d3′},<pbk1′,Enc1′,Dec1′>}后,首先使用参数pbk1′和算法Dec1′解密所述参数中的值Si′并得到值随后通过消息认证函数MAC1(·)计算参数(d1′||d2′||d3′||puzzle′)得到值Φ”;最后判断/>与Φ”是否相等;如果/>则跳转至步骤(2);否则,所述待接入的工业设备将向所述监执对象响应验证错误标识Error;
(2)所述待接入的工业设备在所规定的时间范围内寻找出至少两个长度不大于2k的比特串,分别记为p1和p2,用于解答所述难题puzzle′;如果所述待接入的工业设备所找寻出的任意两个所述比特串p1和比特串p2中的某一个比特串pt(t∈{1,2})满足必要条件且未收到难题解答终止标识UTA,则跳转至步骤(3);否则,跳转至步骤(4);所述必要条件为:使用单向散列函数MAC2(·)计算参数(pt||puzzle′)所得出的比特串puzz1,满足前d3′个比特均为0;以及所述比特串p1和比特串p2中的另一个比特串pl满足以下可选条件之一:
1)使用单向散列函数MAC2(·)计算参数(pl||puzzle′)所得出的比特串puzz2,满足前d2′个比特均为0;
2)使用单向散列函数MAC2(·)计算参数(pl||puzzle′)所得出的比特串puzz3,满足前d1′个比特均为0;
(3)所述待接入的工业设备首先生成一个随机数ng,随后使用消息认证函数MAC1(·)计算参数{seriali,ng,p1,p2}并得到值ω;接下来,使用参数pbk1′和算法Enc1′加密值ω并得到值ωE,记为ωE←Enc1′(pbk1′,ωE);最后将答案{ωE,ng,p1,p2}通过所述安全信道响应至所述Puzzle生成阶段的监执对象,所述Puzzle解答阶段的功能执行完毕;
(4)如果收到所述难题解答终止标识UTA,则所述待接入的工业设备将立刻停止难题puzzle′的解答任务,所述Puzzle解答阶段的功能执行完毕;如果所述待接入的工业设备未收到针对所述难题puzzle′的解答终止标识UTA,且未找寻出满足相应条件的所述比特串,跳转至步骤(2)。
7.根据权利要求6所述的方法,其特征在于,所述Puzzle验证阶段包括:
步骤S1:监执对象在接收到待接入的工业设备所响应的答案前,持续监控所述待接入的工业设备执行难题解答时所花费的时间t;如果t>timecp,且未收到待接入的工业设备所响应的答案,则所述监执对象将立刻终止本次的难题puzzle解答,并向所述待接入的工业设备发送难题解答终止标识UTA,同时所述认证单元将拒绝所述待接入的工业设备本次的接入请求,所述Puzzle验证阶段功能执行完毕;如果t≤timecp,且未收到所述待接入的工业设备所响应的答案,则持续监控,并再次执行步骤S1;如果t≤timecp,且收到所述待接入的工业设备所响应的答案{ωE′,ng′,p1′,p2′},则跳转至步骤S2;
步骤S2:所述监执对象首先使用消息认证函数MAC1(·)计算参数{seriali,ng′,p1′,p2′}并得到值γ;随后所述监执对象使用私钥prk1和解密算法Dec1解密值ωE′并得到值γE,所述监执对象将判断所述值γE与所述值γ是否相等;如果γE==γ,则跳转至步骤S3;否则,所述监执对象将拒绝所述待接入的工业设备本次的认证请求,所述Puzzle验证阶段功能执行完毕;
步骤S3:所述监执对象使用所述难题puzzle解答验证算法VerAP(·)检验比特串p1′和p2′是否满足解答需求,如果所述待接入的工业设备所找寻出的两个所述比特串组p1′和p2′的某一个比特串pt′(t∈{1,2})满足条件:使用所述难题puzzle解答验证算法VerAP(·)计算参数(d3,pt′||puzzle)所得出结果为true且另一个比特串pl′满足以下条件之一:
1)使用所述难题puzzle解答验证算法VerAP(·)计算参数(d2,pl′||puzzle)所得出结果为true;
2)使用所述难题puzzle解答验证算法VerAP(·)计算参数(d1,pl′||puzzle)所得出结果为true;
则所述认证单元将依据所述最优安全认证方案安排所述待接入的工业设备进行接入认证;否则所述认证单元将拒绝所述待接入的工业设备本次的认证请求,所述Puzzle验证阶段功能执行完毕。
8.根据权利要求3所述的方法,其特征在于,所述信誉值是一种衡量所述设备终端候选池中的工业设备在入驻所述平台期间是否具备可靠性的度量值,设备i的信誉值Credibili_ty vai的计算公式为:
其中, 以及/>为权重因子,且contributei表示所述设备i在入驻期间对所述平台的贡献值;Stability_indexi表示所述设备i在入驻期间的设备稳定值;而DEIi则表示所述设备i在入驻期间的被评价指数;
所述设备i的贡献值contributei的计算公式为:
其中,所述contributei∈(0,1);所述contributei中的usei表示所述设备i所上传的工业生产数据被所述平台内的其它工业设备或者用户采纳并使用的情况;cooperatei表示所述设备i在入驻期间作为辅助计算设备群或协同计算设备群中的设备之一,协助所述平台执行相应任务的情况;和/>为权重因子,且/>
所述contributei中usei的计算公式为:
其中,所述usei∈(0,1);所述usei中的e表示所述设备i在入驻所述平台期间上传的工业生产数据的总量;E为数量阈值;socrej∈[0,1]表示在总量为e的工业生产数据中的第j个工业生产数据被其它工业设备或者用户采纳且反馈应用成功的比例;α∈(0,1)为权重因子;
所述contributei中cooperatei的计算公式为:
其中,所述cooperatei∈(0,1];所述cooperatei中的totali表示所述设备i作为辅助计算设备群或协同计算设备群中的设备之一去协助所述平台执行相应任务的任务总数量;表示所述设备i成功完成所述协助任务的任务数量,ST和ST1为成功任务数量阈值;
根据所述设备i当前所处的网络环境在当前信誉值评估大周期内的稳定程度,以及所述设备i在当前信誉值评估大周期内的设备健康程度来进行评估得到设备i的设备稳定指标Stability_indexi,所述设备i的设备稳定指标Stability_indexi的计算公式为:
Stability_indexi=β1×NSi2×EHi
其中,Stability_indexi∈(0,1);β1∈(0,1),β2∈(0,1)为权重因子,且β12=1;NSi表示所述设备i当前所处的网络环境在当前信誉值评估大周期内的稳定程度;EHi表示所述设备i在当前信誉值评估大周期内的设备健康程度;
所述NSi的计算公式为:
其中,++表示所述设备i当前所处网络在当前信誉值评估大周期内处于网络延时小、丢包率低、网络抖动小且未遭受任何网络攻击的环境下,此时所述NSi=1;+表示所述设备i当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,且出现网络抖动和丢包的情况,但不影响所述设备i在所述平台内进行正常的工业生产活动,此时所述NSi=0.8;±表示所述设备i当前所处网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但在多个时间点出现网络抖动和丢包情况,并影响到了所述设备i在所述平台内进行正常的工业生产活动,此时所述NSi=0.5;-表示所述设备i当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但在多个时间段内出现了持续的网络抖动和丢包情况,进而导致所述设备i无法在所述平台内进行正常的工业生产活动,此时所述NSi=0.3;down表示所述设备i在当前信誉值评估大周期内遭受了网络攻击,进而导致设备出现了持续的宕机下线或者向所述平台发送恶意信息的情况,此时NSi=0;当所述NSi=0时,所述设备i将即刻被踢出所述设备终端候选池,且在入驻期间,所述设备i将不再被入选所述设备终端候选池中;
EHi∈(0,1),EHi的值由所述设备i的拥有者对所述设备i的实际运行以及保障情况进行综合评价而得出,且在入驻期间,所述设备i的拥有者需要在所述平台所规定的上传周期内定时上传EHi,以及时更新旧的EHi;在所述平台规定的上传周期内未接收到EHi的更新数据的情况下,在对应阶段的信誉值评估大周期中,所述EHi=0,并只能在下一个信誉值评估大周期中才能更新所述EHi
9.根据权利要求8所述的方法,其特征在于,根据所述设备i在入驻所述平台期间所受到的其它工业设备或者用户的直接评价来进行计算得出被评价指数DEIi,其计算公式为:
其中,DEIi∈(0,1);m表示所述设备i在入驻所述平台期间所受到的其它工业设备或用户评价的总数;m'表示计算阈值,k为安全指数;表示工业设备或用户j给予所述设备i的评价;δ为增长限制因子;γk代表交易时间退化因子,其计算公式为:
10.根据权利要求9所述的方法,其特征在于,当所述信誉值Credibility_valuei≥0.5时,表示所述设备i处于正常信誉水平;当所述信誉值0.3≤Credibility_valuei<0.5时,表示所述设备i处于低信誉水平,所述平台根据信誉水平的不同降低所述设备i入选辅助计算设备群或协同计算设备群的概率;当所述信誉值Credibility_valuei<0.3时,则表示所述设备i处于无信誉水平,此时所述平台将即刻把所述设备i踢出所述设备终端候选池,且在入驻期间,所述设备i将不再被入选所述设备终端候选池中。
CN202210810779.8A 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的设备认证处理方法 Active CN115208655B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210810779.8A CN115208655B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的设备认证处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210810779.8A CN115208655B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的设备认证处理方法

Publications (2)

Publication Number Publication Date
CN115208655A CN115208655A (zh) 2022-10-18
CN115208655B true CN115208655B (zh) 2023-09-26

Family

ID=83580287

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210810779.8A Active CN115208655B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的设备认证处理方法

Country Status (1)

Country Link
CN (1) CN115208655B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117221878B (zh) * 2023-09-22 2024-05-28 深圳市神州共赢信息技术有限公司 一种基于无线网络设备的信息安全管控方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970682A (zh) * 2012-12-10 2013-03-13 北京航空航天大学 一种应用于可信移动终端平台的直接匿名证明方法
CN107707660A (zh) * 2017-10-13 2018-02-16 广州市驱创信息科技有限公司 算法可选择的基于身份验证技术的云存储方法及系统
CN109743304A (zh) * 2018-12-26 2019-05-10 重庆工程职业技术学院 一种面向云计算的网络安全预警方法及系统
CN110636500A (zh) * 2019-08-27 2019-12-31 西安电子科技大学 支持跨域数据共享的访问控制系统及方法、无线通信系统
CN111163055A (zh) * 2019-12-05 2020-05-15 北京邮电大学 一种非地面网络接入弱认证方法及装置
WO2020139190A1 (en) * 2018-12-28 2020-07-02 The Flowchain Foundation Limited Hybrid blockchain architecture with computing pool
CN112218294A (zh) * 2020-09-08 2021-01-12 深圳市燃气集团股份有限公司 基于5g的物联网设备的接入方法、系统及存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN113157444A (zh) * 2021-03-29 2021-07-23 中国联合网络通信集团有限公司 一种算力服务认证方法、设备以及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010064128A2 (en) * 2008-12-03 2010-06-10 Entersect Mobile Cc Secure transaction authentication
US20160173529A1 (en) * 2014-12-15 2016-06-16 King Fahd University Of Petroleum And Minerals Controlled resource access to mitigate economic denial of sustainability attacks against cloud infrastructures

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970682A (zh) * 2012-12-10 2013-03-13 北京航空航天大学 一种应用于可信移动终端平台的直接匿名证明方法
CN107707660A (zh) * 2017-10-13 2018-02-16 广州市驱创信息科技有限公司 算法可选择的基于身份验证技术的云存储方法及系统
CN109743304A (zh) * 2018-12-26 2019-05-10 重庆工程职业技术学院 一种面向云计算的网络安全预警方法及系统
WO2020139190A1 (en) * 2018-12-28 2020-07-02 The Flowchain Foundation Limited Hybrid blockchain architecture with computing pool
CN110636500A (zh) * 2019-08-27 2019-12-31 西安电子科技大学 支持跨域数据共享的访问控制系统及方法、无线通信系统
CN111163055A (zh) * 2019-12-05 2020-05-15 北京邮电大学 一种非地面网络接入弱认证方法及装置
CN112218294A (zh) * 2020-09-08 2021-01-12 深圳市燃气集团股份有限公司 基于5g的物联网设备的接入方法、系统及存储介质
CN112491788A (zh) * 2020-10-20 2021-03-12 北京泰豪智能工程有限公司 一种安全云代理服务平台、实现方法及物联网系统
CN113157444A (zh) * 2021-03-29 2021-07-23 中国联合网络通信集团有限公司 一种算力服务认证方法、设备以及可读存储介质

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
Shaoyong Guo ; Xing Hu ; Song Guo ; Xuesong Qiu ; Feng Qi.Blockchain Meets Edge Computing: A Distributed and Trsuted Authentication System.IEEE Transactions on Industrial Informatics.2019,第16卷(第3期),全文. *
Valer BOCAN.Threshold Puzzles: The Evolution of DOS-resistant Authentication.Transactions on AUTOMATIC CONTROL and COMPUTER SCIENCE.2004,第49卷(第63期),全文. *
基于可信计算平台的接入认证模型和OIAP授权协议的研究与应用;肖政;韩英;刘小杰;华东明;侯紫峰;;《小型微型计算机系统》;第28卷(第08期);全文 *
巫岱玥 ; 李强 ; 余祥 ; 黄海军.基于Client Puzzle的公有链接入控制模型.计算机科学.2019,第46卷(第4期),全文. *
李斌勇 ; 韩敏 ; 孙林夫 ; 田冉.面向汽车产业链的云服务平台数据交换研究.计算机应用.2014,第32卷(第5期),全文. *
林兆鹏 ; 邹起辰 ; .可信设备接入网络认证协议设计及安全分析.计算机仿真.2018,第35卷(第11期),全文. *

Also Published As

Publication number Publication date
CN115208655A (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
Xu et al. BeCome: Blockchain-enabled computation offloading for IoT in mobile edge computing
CN112132447B (zh) 一种基于区块链的算力网络信任评估与保障算法
Apostolopoulos et al. Risk-aware data offloading in multi-server multi-access edge computing environment
CN112202928B (zh) 传感边缘云区块链网络可信卸载协作节点选择系统及方法
Yun et al. DQN-based optimization framework for secure sharded blockchain systems
Alzubi et al. Hashed Needham Schroeder industrial IoT based cost optimized deep secured data transmission in cloud
Wang et al. A novel reputation-aware client selection scheme for federated learning within mobile environments
JP2022177032A (ja) 改良されたボットタスク処理のための動的応答予測
Qiao et al. Trustworthy edge storage orchestration in intelligent transportation systems using reinforcement learning
JP7279205B2 (ja) 外部システム統合のためのシステムおよび方法
Wang et al. InFEDge: A blockchain-based incentive mechanism in hierarchical federated learning for end-edge-cloud communications
CN115208655B (zh) 一种应用于工业互联网云服务平台的设备认证处理方法
Huang et al. Learning tailored adaptive bitrate algorithms to heterogeneous network conditions: A domain-specific priors and meta-reinforcement learning approach
CN114448660B (zh) 一种物联网数据接入方法
CN107347064B (zh) 基于神经网络算法的云计算平台态势预测方法
Soleymani et al. Fuzzy Rule‐Based Trust Management Model for the Security of Cloud Computing
Benkerrou et al. Credit and honesty-based trust assessment for hierarchical collaborative IoT systems
CN114884753B (zh) 一种应用于工业互联网云服务平台的数据访问处理方法
CN106936642A (zh) 一种用于复杂云环境下进行信任协商的方法及系统
CN114979281B (zh) 一种应用于工业互联网云服务平台的数据交互方法
Feng et al. A novel trust evaluation mechanism for edge device access of the Internet of things
CN114423007A (zh) 终端接入点的确定方法、确定装置、电子设备和存储介质
Gokulnath et al. Game theory based trust model for cloud environment
Zhang et al. Research on resource allocation technology in highly trusted environment of edge computing
Benjula Anbu Malar et al. A distributed collaborative trust service recommender system for secure cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant