本发明专利技术提供一种用于泛在电力物联网的身份保护策略,涉及信息安全技术领域。该用于泛在电力物联网的身份保护策略,包括以下步骤:a.物联网现场设备指纹的收集:1)IP可靠性扫描:为了能够扫描目标网络的网络质量,影响扫描结果的因素包括:网络时延、网络丢包,首先需要先在每个扫描周期内通过随机选取目标区域IP数量的10%来扫描目标区域,通过连续扫描三次随机样本数据。通过利用物联网现场设备指纹感知和身份保护相结合的技术,为泛在电力物联网设立高适用性、低能耗的身份保护机制,更好地应对网络攻击风险。地应对网络攻击风险。地应对网络攻击风险。
【技术实现步骤摘要】
一种用于泛在电力物联网的身份保护策略
[0001]本专利技术涉及信息安全
,具体为一种用于泛在电力物联网的身份保护策略。
技术介绍
[0002]众所周知,由于黑客的供给可以直接或间接的导致多家知名网站无法访问,由此可见,物联网环境若不能提供有效身份保护机制,一旦发生恶意入侵、受到破坏性攻击、信息泄露等安全事故,造成的损失是不可估量的,因此,为物联网设备设立足够健壮且高效的身份保护机制,是一个亟待解决的问题。
[0003]对于身份保护而言,目前已经有大量关于物联网身份认证管理的方案,国外某大学等人提出了面向全IP网络的多层移动网络切换认证的方案,其中将局部移动和整体移动分开处理,在此基础上,他们通过一个叫做增强移动网关的实体实现了局部移动和管理移动之间灵活的互连,该方案中的认证需要超过200ms的时延,这在实际应用中效率并不高,某公司等人提出了一种主动密钥分发的方法,利用临近图知识将新的成对主密钥(PMK)分配给相邻的接入点(AP),他们可以将认证时间降低到21ms的平均值,继而另一国外大学等人提出一种基于变色龙哈希生成的证书的认证方案,在这个方案中,不需要任何预先安排,能再新的路由器之间生成认证过的成对瞬时密钥(PTK),提出的这个方案具有通信成本高、存储需求大的缺点,继而另一国外大学等人提出了基于身份的切换身份验证方案,它在路由之间建立信任关系,该方案时间了在三个信息交换之后路由之间的相互验证,但该方案又以下几个缺点:首先,它不满足前向安全性和后向安全性;其次,未来的会话密钥是由目标AP完全生成的;最后,执行一个相互的认证需要四个双线性对运算,成本花费过高,国内等人基于神经网络提出了一个适用于多服务器环境的认证机制,该认证机制无需存储口令验证表,并且用户只需进行以此注册便能获得所有应用服务器提供的服务,但协议需要用户持有大容量的存储设备,继而有人基于欧式空间的几何性质提出了多服务器环境的认证机制,但认证机制中用户却需要重复进行注册,并不符合认证机制的设计初衷,同时易收到假冒攻击和口令猜测攻击,并且有人基于中国剩余定理提出一种新型的认证机制,但也被指出通信和计算效率太低,同时有人将双线性对应用于多服务器环境下的认证机制,但同样存在安全隐患,进一步的有人首次提出了基于动态身份的多服务器认证机制,有效放反了用户的可追踪性,但其认证机制无法抵抗内部人员攻击、假冒攻击、服务器欺骗攻击,由此可见,不同的认证方案总对应着不同的优势和劣势,而真正找到与某特定场景相适应的认证方案,是困难的。
[0004]在上述方案所适用的场景之下,这些方案能够起到很好的认证和身份保护作用,但在泛在电力物联网这一特定场景下,上述现有技术并不能够很好的解决针对于海量设备,需支持异构跨链,支持节点进出的特殊场景。
技术实现思路
[0005](一)解决的技术问题
[0006]针对现有技术的不足,本专利技术提供了一种用于泛在电力物联网的身份保护策略,解决了上述存在的问题。
[0007](二)技术方案
[0008]为实现以上目的,本专利技术通过以下技术方案予以实现:一种用于泛在电力物联网的身份保护策略,包括以下步骤:
[0009]a.物联网现场设备指纹的收集
[0010]1)IP可靠性扫描:为了能够扫描目标网络的网络质量,影响扫描结果的因素包括:网络时延、网络丢包,首先需要先在每个扫描周期内通过随机选取目标区域IP数量的10%来扫描目标区域,通过连续扫描三次随机样本数据,取平均值确定该区域的网络时延、网络丢包,也就是该区域的网络状态,建立扫描结果数据的评估公式,如下所示:A=log(a1*2
v1
+a2*2
v2
),式中,a1,a2表示网络时延、网络丢包所占权重,v1,v2表示测试之后的等级;
[0011]2)基于多因素的IP任务分片模型:为了能够评定扫描中心的计算能力,需要从CPU的核数、CPU的处理速度、磁盘IO速度、内存总容量、网络吞吐量,具体衡量服务器的计算能力方法如下式所示:
[0012]C
i
=R1*Ncore+R2*COREspd+R3*IOspd+R4*MEMcap+R5*NETspd,其中,R
1-R5表示5个属性的权值,其中具体每个权值的按照情况设置,Ncore表示CPU核数,COREspd表示每个CPU的处理速度,IOspd表示磁盘IO速度,MEMcap表示内存容量,NETspd表示网络吞吐量;
[0013]服务器的负载状况,通过考虑服务器CPU使用率、内存使用率、硬盘IO率、网络丢包率、进程数量这些常规因素的状态,查看各个服务器集群此时的负载状态,具体如下式所示:
[0014]Load
i
=R1*Lcpu+R2*Lmem+R3*Lio+R4*Lpack+R5*Lproc,其中,R
1-R5表示5个属性的权值,其中具体每个权值的按照情况设置,Lcpu表示CPU的使用率,Lmem表示内存使用率,Lio表示磁盘IO使用率,Lpack表示网络丢包率,Lproc表示机器中当前运行的进程数;
[0015]b.设备指纹库自动化构建
[0016]1)数据预处理:在获得物联网设备的指纹数据后,存在很多畸形数据和无法响应的数据,通过编写脚本来剔除这部分无效数据,得到有效数据后,首先需要过滤掉非物联网设备,为了过滤此类非物联网设备的协议标语信息,需要建立了一个非物联网设备关键词库,如Nginx或者Apache等,这种词汇标识了该设备有很大概率为WEB服务器,判读特定协议标语在特定字段上的词是否在非物联网设备关键词库内,若在则标记此设备为非物联网设备,排除掉此设备,接着需要把冗余部分信息剔除,如Telnet协议标语信息,其中存在不少冗余信息,如\r\n等,需要将特殊符号、标点符号以及不可打印字符剔除,对于单个词语中的词语长度小于3的,直接删除该词语;然后根据过滤规则库中的规则,进一步过滤掉混淆字符,比如日期、无用数字等,为了进一步减少不相关字符串的干扰,对剩余的协议标语信
息使用自然语言处理的方式,将NLTK(NaturalLanguageToolkit)库中收集的英文停用词在协议标语中删除,接着使用NLTK库中的Tokenize分词工具对剩余协议标语进行分词,得到分词后的标语词汇列表;
[0017]2)缓存审查法:将处理后的结构化数据反序列化为缓冲数据,同时审查是否与之前导入的数据相同,如果检测出数据更新,则将新的设备信息存入设备指纹库,如果数据没有变化,则只需将该条数据标记为在最近一次扫描中已审查并删除,这种缓存审查法可以有效缓解大量数据同时导入数据库时可能发生的堵塞,对于持续更新的数据,也可以通过审查机制避免将重复数据导入数据库中;
[0018]c.身份保护
[0019]1)身份认证方案异构跨域性质的实现:深入分析3GPP、IEEE等制定的异构无线网络融合组网方案,并分析其在兼容性、可扩展性等方面的不足,设计出一种通用异构无线网络融合组网体系和协议层次参考本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于泛在电力物联网的身份保护策略,其特征在于:包括以下步骤:a.物联网现场设备指纹的收集1)IP可靠性扫描:为了能够扫描目标网络的网络质量,影响扫描结果的因素包括:网络时延、网络丢包,首先需要先在每个扫描周期内通过随机选取目标区域IP数量的10%来扫描目标区域,通过连续扫描三次随机样本数据,取平均值确定该区域的网络时延、网络丢包,也就是该区域的网络状态,建立扫描结果数据的评估公式,如下所示:A=log(a1*2
v1
+a2*2
v2
),式中,a1,a2表示网络时延、网络丢包所占权重,v1,v2表示测试之后的等级;2)基于多因素的IP任务分片模型:为了能够评定扫描中心的计算能力,需要从CPU的核数、CPU的处理速度、磁盘IO速度、内存总容量、网络吞吐量,具体衡量服务器的计算能力方法如下式所示:C
i
=R1*Ncore+R2*COREspd+R3*IOspd+R4*MEMcap+R5*NETspd,其中,R
1-R5表示5个属性的权值,其中具体每个权值的按照情况设置,Ncore表示CPU核数,COREspd表示每个CPU的处理速度,IOspd表示磁盘IO速度,MEMcap表示内存容量,NETspd表示网络吞吐量;服务器的负载状况,通过考虑服务器CPU使用率、内存使用率、硬盘IO率、网络丢包率、进程数量这些常规因素的状态,查看各个服务器集群此时的负载状态,具体如下式所示:Load
i
=R1*Lcpu+R2*Lmem+R3*Lio+R4*Lpack+R5*Lproc,其中,R
1-R5表示5个属性的权值,其中具体每个权值的按照情况设置,Lcpu表示CPU的使用率,Lmem表示内存使用率,Lio表示磁盘IO使用率,Lpack表示网络丢包率,Lproc表示机器中当前运行的进程数;b.设备指纹库自动化构建1)数据预处理:在获得物联网设备的指纹数据后,存在很多畸形数据和无法响应的数据,通过编写脚本来剔除这部分无效数据,得到有效数据后,首先需要过滤掉非物联网设备,为了过滤此类非物联网设备的协议标语信息,需要建立了一个非物联网设备关键词库,如Nginx或者Apache等,这种词汇标识了该设备有很大概率为WEB服务器,判读特定协议标语在特定字段上的词是否在非物联网设备关键词库内,若在则标记此设备为非物联网设备,排除掉此设备,接着需要把冗余部分信息剔除,如Telnet协议标语信息...
【专利技术属性】
技术研发人员:白撰彦,史闻博,鲁宁,潘润邦,刘明曦,李子实,
申请(专利权)人:东北大学秦皇岛分校,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。