【技术实现步骤摘要】
一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法
[0001]本专利技术涉及信息安全领域,具体为一种基于中心节点域间协同的工业终端设备逻辑域跨域接入认证技术。
技术介绍
[0002]安全域的构建大多都是基于地理位置,将区域按照地理位置根据需求划分为大小不同的基于地理位置的安全域;但是也存在另外的一种情况,不受地理位置的限制,按照企业业务需求逻辑关系来划分不同逻辑安全域,即不同位置区域的终端设备通过认证接入同一个逻辑安全域。位置型安全域的范围是所划定的地理区域,在设备的接入认证方面,主要依靠安全域内的边缘设备;然而,逻辑型安全域的范围则不受区域地理空间的限制,来自不同地理区域的设备按照需求关系形成逻辑上的联系,而这些设备就共同构成了一个逻辑型安全域。
[0003]在工业智能制造体系中,设备的生产分工各不相同,生产线的柔性重组时常发生。不同地理区域间的设备构建逻辑型安全域,域内设备接受安全域的调度安排共同协作完成生产任务,这大大避免了移动设备所造成的资源消耗同时也解决了部分设备不宜移动的问题。但同时也带来了新的问题...
【技术保护点】
【技术特征摘要】
1.一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法,其特征在于包括两个阶段:阶段一:工业终端逻辑域接入认证步骤1.1:工业终端向位置域中心服务器发送跨域接入请求在PKG1中,工业终端设备ID
T
完成了在边缘设备ID
E
的接入认证,某一时刻终端想要接入逻辑安全域Ⅰ时,首先向本位置域的中心服务器ID
G1
发送接入认证请求报文,开始跨域接入认证;其中,报文包括:终端ID标识、边缘设备ID
E
标识、逻辑域Ⅰ的中心节点ID
L
的标识;ID
T
→
ID
G1
:(ID
T
||ID
E
||ID
L
||t
T
||r
T
)sk
T
||ID
T
||Req
ꢀꢀꢀꢀꢀꢀꢀꢀ
公式(1.1)公式(1.1)含义:ID
T
向位置域中心服务器ID
G1
发送请求接入相关的消息;其中ID
T
表示工业终端设备标识,ID
L
表示终端请求接入的逻辑域的中心节点标识,ID
E
表示终端接入的边缘设备标识,t
T
是时间戳,r
T
是随机数,sk
T
是终端的标识私钥,Req表示跨域请求,(ID
T
||ID
E
||ID
L
||t
T
||r
T
)sk
T
表示用终端设备的私钥签名数据;步骤1.2:位置域中心服务器请求边缘节点核实终端身份PKG1的中心服务器ID
G1
收到接入请求的消息后,根据消息内容请求边缘设备ID
E
核实终端的身份;ID
G1
→
ID
E
:((ID
T
||ID
E
)SK
G1
)Pub
E
||Req
ꢀꢀꢀꢀꢀ
公式(1.2)公式(1.2)含义:PKG1域的中心服务器ID
G1
向边缘设备ID
E
请求核实终端的身份真实性;其中SK
G1
表示PKG1域的中心服务器ID
G1
的CA私钥,Pub
E
表示边缘设备ID
E
的CA公钥;步骤1.3:边缘节点返回终端身份验证结果边缘设备ID
E
收到来自中心服务器ID
G1
请求核实终端身份的信息,查询认证列表并返回终端身份真实性的结果;ID
E
→
ID
G1
:((ID
T
||ID
E
||True)SK
E
)Pub
G1
ꢀꢀꢀ
公式(1.3)公式(1.3)含义:边缘设备ID
E
发送给中心服务器ID
G1
终端的身份真实性结果;其中True表示工业终端身份真实;步骤1.4:IDG1查询逻辑域中心节点的所在域并发送终端跨域请求中心服务器ID
G1
得到工业终端身份真实性后,查询获得逻辑域Ⅰ中心节点ID
L
所在的安全域PKG1,并向其中心服务器ID
G2
发送终端的接入认证请求;ID
G1
→
ID
G2
:((ID
T
||True||ID
L
)SK
G1
)Pub
G2
||Req
ꢀꢀꢀ
公式(1.4)公式(1.4)含义:PKG1域中心服务器ID
G1
向PKG2域中心服务器ID
G2
发送终端身份认证结果以及终端跨域接入请求;其中,ID
L
表示逻辑域的中心节点;步骤1.5:IDG2向逻辑域中心节点IDL发送终端跨域接入请求中心认证服务器ID
G2
收到接入请求的消息后,根据消息内容转发终端的跨域接入请求给逻辑域的中心节点ID
L
;ID
G2
→
ID
L
:((ID
T
||True)SK
G2
)Pub
L
||Req
ꢀꢀꢀꢀ
公式(1.5)公式(1.5)含义:PKG2域中心服务器ID
G2
向逻辑域的中心节点ID
L
发送终端跨域接入请求;其中,SK
G2
表示PKG2域的中心服务器ID
G2
的CA私钥,Pub
L
表示逻辑域的中心节点ID
L
的CA公钥;
步骤1.6:逻辑域中心节点查验终端身份并返回认证结果逻辑域Ⅰ的中心节点ID
L
收到跨域接入请求,并得知工业终端的身份真实可靠,允许终端加入逻辑域,返回跨域接入成功的消息;ID
L
→
ID
G1
:(ID
T
||ID
L
||success||Key
T
‑
L
)Key
G1
‑
L
ꢀꢀꢀ
公式(1.6)公式(1.6)含义:逻辑域的中心节点ID
L
向位置域中心服务器ID
G2
发送认证结果;其中success表示认证通过,Key
T
‑
L
,表示终端ID
T
与逻辑域中心节点ID
L
的会话密钥,Key
G1
‑
E
,表示PKG1域中心服务器ID
G1
与逻辑域中心节点ID
L
的会话密钥步骤1.7:工业终端用会话密钥应答逻辑域中心节点IDL工业终端跨域接入通过的消息通过原路返回,直至终端收到确认消息,最后终端ID
T
发送确认信息给逻辑域Ⅰ的中心节点ID
L
;ID
T
→
ID
L
:(ID
T
||successed||ID
L
)Key
T
‑
L
ꢀꢀꢀꢀ
公式(1.7)公式(1.7)含义:工业终端ID
T
用收到的会话密钥发送确认结果给逻辑域中心节点ID
L
;步骤1.8:逻辑域Ⅰ的中心节点更新终端认证列表逻辑域Ⅰ的中心节点ID
L
收到终端的确认消信息,更新终端认证列表;综上,工业终端ID
T
接入逻辑域Ⅰ成功;阶段二:注册并已认证的工业终端跨逻辑域认证步骤2.1:工业终端向逻辑域Ⅰ的中心节点发送跨域请求某一时刻,位于逻辑域Ⅰ中的工业终端设备ID
T
想要跨域至逻辑域Ⅱ,首先向其所在逻辑域的中心节点ID
L1
发出跨域请求,请求信息包括:终端ID标识、逻辑域Ⅱ的中心节点I...
【专利技术属性】
技术研发人员:姚烨,朱怡安,李联,潘旭飞,段俊花,张黎翔,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。