一种面向边缘计算节点的零信任身份认证方法技术

本发明专利技术涉及一种面向边缘计算节点的零信任身份认证方法，属于计算机领域。该方法包括以下步骤：S1：系统初始化；S2：身份注册；S3：行为分析；S4：身份认证；S5：身份更新。本发明专利技术提出了一种面向工业边缘计算节点的身份认证架构，包括现场设备层、边缘层及工业云平台层；同时，工业边缘服务器对边缘计算节点的行为特征进行采集，利用采集的行为特征数据和行为分析算法判别边缘计算节点的风险等级，在身份认证的过程中根据边缘计算节点的风险等级采取不同的身份认证方法，提出一种结合行为分析算法的身份认证方法解决了集中式实体带来的单点故障问题和身份认证效率较低的问题。障问题和身份认证效率较低的问题。障问题和身份认证效率较低的问题。

【技术实现步骤摘要】
一种面向边缘计算节点的零信任身份认证方法


[0001]本专利技术属于计算机领域，涉及一种面向边缘计算节点的零信任身份认证方法。

技术介绍

[0002]工业云服务器对工业现场的海量数据进行收集、存储和分析，并为工业应用提供计算密集型服务，但由于工业网络实时计算需求的不断增加，工业云云服务器无法满足实时计算的服务需求，因此在工业网络中引入了边缘计算。工业边缘服务器在云服务器和终端设备之间，对数据进行初步分析、存储和计算等，解决了云服务器网络带宽负担大、计算响应延迟改的问题。
[0003]但是，引入边缘计算后，工业网络在边缘侧更易遭受攻击。如果恶意的或被俘获的边缘节点接入工业网络，可能导致工业生产巨大的损失。因此，在满足工业网络中边缘侧计算能力和实时响应要求的同时，确保边缘节点的安全接入是一个边缘计算安全必须要解决的问题。
[0004]安全接入即是要解决设备身份认证问题。设备交互之前需验证设备的身份，且期望不泄露设备隐私身份信息。在基于边缘计算的大规模、异构的工业网络中，传统的公钥基础设施(PKI,public key infrast本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向边缘计算节点的零信任身份认证方法，其特征在于：该方法包括以下步骤：S1：系统初始化；S2：身份注册；S3：行为分析；S4：身份认证；S5：身份更新。2.根据权利要求1所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S1具体为：S11：工业边缘服务器初始化；工业边缘服务器在边缘层的联盟链网络中担任共识节点，IES
i
为边缘层的某个工业边缘服务器，IES
i
初始化首先安装联盟链客户端，然后IES
i
获得联盟链节点地址BCAddr
i
以及联盟链证书BCCrt
i
；IES
i
采用非对称加密算法，获得唯一的会话密钥对，IES
i
私钥为IESkey
i
，IES
i
公钥为IESPK
i
；IES
i
被配置所属机构Agency
i
，根据其所配置的机构，IES
i
被配置加入的一个群组GroupID；IES
i
配置完成后作为共识节点加入边缘层的联盟链网络，加入后在共识节点列表SealerList中添加该节点的BCAddr
i
；IES
i
完成初始化后即加入了边缘层的联盟链网络，无需进行身份注册操作；S12：群组初始化联盟链采用PBFT共识算法，故障节点或恶意节点称为拜占庭节点，PBFT算法的共识模型为3f+1，即超过2/3的节点的执行结果一致才能完成共识，系统最多容忍f个拜占庭节点；根据容忍拜占庭节点数f设置工业边缘服务器加入联盟链网络的数量；群组g是一个GroupID为g的群组，其初始化过程如下：S121：在g中选择一个IES
i
，并将该IES
i
所在的Agency
i
作为发起群组初始化的机构，群组内的所有机构集合为{Agency1,Agency2,...,Agency
i
,...}；S122：所选发起群组初始化的节点IES
i
收集群组内所有节点的联盟链节点地址、联盟链证书、机构、群组和对等网络P2P连接信息；P2P连接信息包括IP地址、P2P端口号和远程过程调用RPC接口信息RPCInfo；S123：IES
i
将群组中所有联盟链节点信息收集完成后，IES
i
根据GroupID创建群组，并将所有节点的信息打包成群组g的起始区块；起始区块创建后不可修改，群组建成后，已有联盟链节点信息变更和新的联盟链节点的加入都将不再修改起始区块；S124：IES
i
将群组g的初始区块分发至群组g中所有的联盟链节点，包括群组g下所有的机构集合{Agency1,Agency2,...,Agency
i
,...}的联盟链节点；群组中所有机构在拥有了群组g内所有节点的P2P连接信息，各机构通过P2P连接信息生成节点部署程序，各机构调用节点部署程序启动各机构中的联盟链节点；S13：边缘控制器和工业边缘网关初始化在初始化阶段，由于边缘控制器EC和工业边缘网关IEG资源受限，无法安装联盟链客户端，边缘控制器和工业边缘网关初始化在初始化阶段获得节点标识NodeID；边缘控制器和工业边缘网关使用与IES相同的非对称加密算法获得唯一的会话密钥对，边缘节点私钥Nodekey和边缘节点公钥NodePK；边缘控制器和工业边缘网关需要配置其RPC接口信息RPCInfo和所属机构Agency。
3.根据权利要求2所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S2具体为：边缘控制器和工业边缘网关加入边缘网络前必须完成身份注册；边缘控制器和工业边缘网关将身份注册请求发送至目标群组内的工业边缘服务器，工业边缘服务器作为共识节点调用身份注册智能合约将身份注册交易放入交易池，主节点从交易池中取出交易打包成区块并发起共识，最终落成包含身份注册交易的区块；预编译的身份注册的智能合约RegSC由部署在工业边缘服务器的控制台进行部署；部署完成后，工业边缘服务器会获得身份注册智能合约地址RegSCAddr；边缘控制器和工业边缘网关身份注册具体步骤如下：S21：边缘控制器或工业边缘网关Node
A
在进行身份注册时需要其节点标识NodeID
A
、设备类型DevType
A
，设备型号DevModel
A
、所属机构Agency
A
，Node
A
远程调用接口RPC信息RPCInfo
A
作为身份注册信息；S22：Node
A
的身份注册信息表示为S
r
，S
r
＝(NodeID
A
||DevType
A
||DevModel
A
||Agency
A
||RPCInfo
A
)，其中||为连接符；Signature(
·
)为数字签名函数，T
r
为身份注册消息时间戳，对S
r
和T
r
生成身份注册消息签名Sig
r
＝Signature(S
r
||T
r
)，Node
A
向IES
i
发送身份注册消息M
r
＝{S
r
||T
r
||Exfield||Sig
r
}，其中Exfield为边缘节点的其他扩展信息，包括接入工业边缘网关的工业现场设备集合{IFD1,IFD2,IFD3,...}；S23：IES
i
接收到身份注册消息后，首先验证消息格式，如果身份注册消息格式错误则丢弃该消息，否则继续验证时间戳T
r
，如果消息超时则丢弃该消息，否则验证身份注册消息签名VerifySig(Sig
r
)，其中VerifySig(
·
)为验证数字签名函数，如果验证失败则丢弃该消息；IES
i
通过智能合约将边缘控制器和工业边缘网关关键身份信息存储在链上，隐私身份信息存储在链下，并将链上与链下的身份信息关联，链上数据保证关键身份信息不可篡改，隐私身份信息存储在链下，防止隐私身份信息泄露；S24：链下身份信息存储；IES
i
会将在分布式存储系统中以Merkel树结构存储对Node
A
的注册身份信息进行存储，存储的信息包括NodeID
A
、DevType
A
、DevModel
A
、Agency
A
和RPCInfo
A
，其存储地址为StoreAddr
A
，Merkel树中叶子节点存储边缘控制器或工业边缘网关的身份信息数据，非叶子节点则存储其子节点的Hash值，身份信息Merkel树根节点为MR；S25：IES
i
调用身份注册智能合约RegSC(RegSCAddr,M
r
)发起Node
A
身份注册交易S251：边缘控制器的包含TxNum交易编号、交易时间戳T
tx
、身份信息有效期T
valid
、身份注册信息的Hash值Digest
A
＝Hash(S
r
)和StoreAddr
A
，其中Hash(
·
)为Hash函数；S252：工业边缘网关包含TxNum交易编号、交易时间戳T
tx
、身份信息有效期T
valid
、身份注册信息的Hash值Digest
A
＝Hash(S
r
)、StoreAddr
A
和接入该工业边缘网关的工业现场设备集合{IFD1,IFD2,IFD3,...}；S26：身份信息交易的落成；IES
i
将放入群组的交易池中；主节点从交易池中取出身份注册交易发起共识，联盟链网络对身份注册交易完成共识后，系统将在账本中落成一个新的区块Block，在区块Block中记录身份注册交易IES
i
将区块信息返回给
Node
A
；S27：Node
A
注册完成后，在本地记录自身身份信息区块Block及该区块的哈希值BlockHash，并按照分布式存储系统中的Merkel树结构存储自身的身份信息；并在本地记录在边缘层的联盟链网络中身份注册交易时间T
tx
，身份信息的有效期T
valid
。4.根据权利要求3所述的一种面向边缘计算节点的零信任身份认证方法，其特征在于：所述S3具体为：S31：特征值提取；群组内的所有工业边缘服务器收集边缘节点的行为特征数据，特征数据的收集周期为t；对边缘节点身份认证前，工业边缘服务器收集的边缘节点行为特征数据包括：Feature1：边缘节点在t内的身份认证失败次数Num
af
；Feature2：边缘节点在t内的其他边缘节点对其进行身份认证成功率Rate
amf
；Feature3：边缘节点在t内的对其他边缘节点身份认证成功率Rate
auf
；Feature4：边缘节点在t内的重新接入边缘层的次数Num
ac
；Feature5：边缘节点在t内发起身份信息更新交易次数Num
update
；Feature6：边缘节点在t内的访问工业边缘服务器资源次数Num
sr
；Feature7：边缘节点在t内发送的身份信息报文数量Num
msgi
；Feature8：边缘节点在t内发送的业务报文数量Num
msgb
；特征数据的收集具体方法如下：S311：Feature1、Feature2和Feature3：边缘节点的身份认证失败次数Feature1包括一个边缘节点对其他边缘节点身份认证失败次数Num
auf
、其他节点对其进行身份认证失败的次数Num
amf
，二者的和为Num
af
；还包括总的认证次数Num
aus
。边缘节点完成身份认证后，工业边缘服务器根据身份认证结果对该边缘节点的特征值进行更新；Feature2其他节点对边缘节点进行身份认证成功率Feature3对其他边缘节点身份认证成功率S312：Feature4：边缘节点在t内的重新接入边缘层的次数Num
ac
，当边缘节点反复接入边缘层的联盟链网络时，可能会带来安全风险；在t内每当边缘节点重新接入边缘层的联盟链网络，工业边缘服务器将特征值Num
ac
+1；S313：Feature5：边缘节点在t内发起身份信息更新交易次数Num
update
，在t内每当边缘节点发起一次身份信息更新交易，Leader将特征值Num
update
+1；S314：Feature6：边缘节点在t内的访问工业边缘服务资源次数Num
sr
，在t内每当边缘节点访问工业边缘服务器的资源和请求计算服务，工业边缘服务器在本地记录信息Num
sr
；S315：Feature7：边缘节点发送的身份信息报...

【专利技术属性】
技术研发人员：魏旻，荣春萌，肖峰，黄庆卿，向雪琴，王平，洪承镐，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：