【技术实现步骤摘要】
一种基于身份标识的工业复杂产品终端跨域接入认证方法
[0001]本专利技术涉及信息安全领域,具体为一种基于IBC身份标识的工业复杂产品终端跨域接入认证技术。
技术介绍
[0002]随着科技的发展,全球工业迎来了以数字化、网络化、智能化为发展方向的深刻变革,以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为这次新工业革命的核心驱动力。工业互联网云平台作为连接企业、用户、产品、原材料等的重要枢纽,随着数量巨大的终端设备接入网络系统,要想系统安全高效的运行,首先需要面临的是恶意终端设备入侵的风险。
[0003]工业复杂产品终端具有数量规模大、分布广的特点,随着柔性生产概念引入,新、旧生产线不断组合,复杂产品接入认证存在移动性问题,这在离散行业表现尤为突出。复杂产品种类繁多、结构差异大,网络接入/撤销具有随机性,以上这些特点均增加了复杂产品可信接入的难度。要想降低系统的安全风险,那么一个合理的身份认证机制就成为了保证工业复杂产品终端设备安全接入的技术基础。但是,工业终端的数量大、移动性强的特点及其工业设备认证...
【技术保护点】
【技术特征摘要】
1.一种基于身份标识的工业复杂产品终端跨域接入认证方法,其特征在于包括两个阶段:阶段一:工业复杂产品终端在一个安全域注册后首次跨域接入认证步骤一:终端移动后发送跨域接入请求工业复杂产品终端在PKG1安全域中进行注册,获得标识ID、私钥以及安全域的公共参数;终端ID
T
在PKG1安全域未完成接入认证,快速移动到PKG1安全域中的边缘节点ID
E2
,并向ID
E2
发送接入认证请求报文,开始跨域接入认证;请求报文包括终端自己的身份标识、本域中心认证服务器标识、随机数和时间戳的签名结果m
T
及s其哈希运算结果c
T
;ID
T
→
ID
E2
:Req||(ID
T
||ID
E2
||c
T
||m
T
)
ꢀꢀꢀꢀ
公式(1.1)c
T
=h2(r
T
||t
T
)
ꢀꢀꢀ
公式(1.2)m
T
=(r
T
||t
T
)sk
T
ꢀꢀꢀꢀ
公式(1.3)公式(1.1)含义:ID
T
向ID
E2
发送请求接入相关的消息;其中Req||(ID
T
||ID
E2
||c
T
||m
T
)表示由接入请求、终端设备标识、请求接入的边缘设备标识、哈希计算值和私钥签名结果组成的数据包;其中ID
T
表示终端设备标识,ID
E2
表示请求接入的边缘设备标识;公式(1.2)含义:通过哈希函数h2得到随机数r
T
和的哈希计算结果c
T
;其中h2表示哈希函数,r
T
表示随机数,t
T
表示时间戳;公式(1.3)含义:通过终端的私钥生成随机数和时间戳的签名;其中m
T
表示随机数r
T
和时间戳t
T
的签名结果,sk
T
表示终端的私钥;步骤二:边缘节点ID
E2
请求终端注册域核实终端身份边缘设备ID
E2
收到工业复杂产品终端设备发来的跨域接入认证请求后,查看不是属于本域的终端设备,由于不属于同一个安全域,故无法解密得到m
T
、c
T
;边缘节点ID
E2
查询认证列表中是否边有中心认证服务器ID
G1
,没有,则先进行ID
E2
和ID
G1
间的CA双向认证并协商会话密钥Key
G1
‑
E1
,认证通过则将认证请求转发给中心认证服务器ID
G1
处理,否则认证失败;ID
E2
→
ID
G1
:(ID
T
||ID
E2
||c
T
||m
T
)Pub
G1
ꢀꢀꢀ
公式(1.4)公式(1.4)含义:边缘设备ID
E2
向中心认证服务器ID
G1
发送由ID
G1
公钥加密的数据包;其中ID
T
表示工业复杂产品终端设备标识,ID
G1
表示终端PKG1域的中心认证服务器,Pub
G1
表示中心认证服务器ID
G1
的CA公钥;步骤三:注册域中心认证服务器ID
G1
验证终端身份PKG1域的中心认证服务器ID
G1
收到ID
E2
转发的终端跨域请求,由于ID
E
通过认证确认是可信的,则只进行ID
G1
对终端ID
T
的单向认证;即:计算终端ID
T
的公钥解密得到随机数和时间戳,首先验证时间戳t
T
的有效性,当检测结果为有效时间戳后,用h2哈希函数计算的结果和c
T
比较,如果不相等,则丢弃报文;如果相等,则利用双线性对性质验证等式是否成立:Q
T
=h1(ID
T
)
ꢀꢀꢀꢀꢀ
公式(1.5)e(m
T
,
‑
(r
T
+t
T
)P)=e(Q
T
,P
pub
)
ꢀꢀꢀ
公式(1.7)公式(1.5)含义:通过函数h1计算得到终端的公钥Q
T
;公式(1.6)含义:利用ID
T
的身份公钥解密m
T
得到随机数和时间戳;
其中m
T
表示随机数r
T
和时间戳t
T
的签名结果,Q
T
表示终端的公钥;公式(1.7)含义:中心认证服务器ID
G1
利用双线性对等式验证终端的公私钥合法性,即终端的身份合法性;其中P是加法循环群任选一个的生成元,P
pub
是安全域的系统公钥;步骤四:ID
G1
与ID
E2
协商终端会话密钥如果等式不成立,表明ID
G1
对ID
T
认证失败,则认为工业复杂产品终端设备身份不合法,返回Failure帧给外域的ID
E1
,拒绝ID
T
接入并断开连接;否则表明ID
G2
对ID
T
认证成功;在ID
G1
与ID
E2
共同协商出终端会话密钥K
key
,将K
key
和Success消息一起发送给ID
E2
;ID
G1
→
ID
E2
:(Success||ID
T
||ID
E2
||K
key
||Q
T
(ID
E2
||K
key
||Success))Key
E
‑
G1
ꢀꢀ
公式(1.8)公式(1.8)含义:ID
G1
向ID
E2
发送终端身份认证结果以及终端会话密钥;其中Success表示认证成功,K
key
表示终端ID
T
与边缘设备ID
E2
的会话密钥,Key
E
‑
G1
表示边缘设备ID
E2
和中心认证服务器ID
G1
的临时会话密钥;步骤五:ID
E2
发送认证通过的消息及其终端会话密钥给终端边缘节点ID
E2
收到认证成功的消息后,解密得到与工业复杂产品终端的会话密钥,发送跨域认证成功的消息给终端ID
T
;ID
E2
→
ID
T
:(Success||ID
T
)K
key
||(ID
E2
||K
key
||Success)Q
T 公式(1.9)公式(1.9)含义:ID
E2
向ID
T
发送认证通过的消息及其终端会话密钥;其中Success表示认证成功,K
key
表示终端ID
T
与边缘设备ID
E2
的会话密钥;步骤六:终端用新的会话密钥应答边缘节点工业复杂产品终端ID
T
收到来在ID
E2
的消息,用私钥解密得到会话密钥K
key
和与之会话通信的终端标识ID
E2
,利用K
key
解密得到来自边缘设备的消息,间接证明了边缘设备的身真实性;最后,终端ID
T
用新的会话密钥加密消息应答边缘节点ID
E2
,跨域接入认证成功;跨域接入认证成功;公式(1.10)含义:利用私钥解密消息得到认证成功消息和会话密钥;公式(1.11)含义:利用会话密钥解密消息验证消息的一致性;综上,ID
T
完成了在不同安全域的边缘设备跨域接入认证,成功接入外域边设备IDE2并与其建立了新的会话密钥;阶段二:工业复杂产品终端在安全域注册并通过认证后跨域认证情况1:终端跨域时携带注册域边缘设备的认证通过的信息签名,外域边缘设备先验证信息的真实性,然后转发给注册域边缘设备再次验证以防重放攻击,具体实施步骤如下:步骤一:终端注册并进行边缘节点的接入认证终端ID
T
在PKG1安全域中进行注册,并完成了在注册域边缘节点ID
E1
的接入认证,同时获得由ID
E1
进行CA签名的通过认证信息Mes,里面包含终端的标识、已通过认证的边缘设备的标识、完成接入的信息;步骤二:终端跨域移动后发送跨域接入请求当发现移动到新的边缘设备ID
E2
和自己不处于同一个安全域内,则向该边缘设备发送跨域认证请求,包括自己的身份标识ID
T
、原属边缘设备的身份标识ID
E1
以及原属边缘设备
的接入认证完成的签名信息Mes;将请求信息通过原会话密钥加密发送给边缘设备ID
E2
;C
T
=K
old
(ID
T
||ID
E1
||Mes||t
T
||r
T
)
ꢀꢀ
公式(2.1)ID
T
→
ID
E2
:Req||ID
T
||C
T
||ID
E1
||Mes||r
T
||t
T
ꢀꢀꢀꢀꢀꢀꢀꢀ
公式(2.2)公式(2.1)含义:利用旧的会话密钥加密相关数据;其中ID
T
表示终端设备标识,ID
E1
表示已通过认证的边缘设备标识,Mes表示通过原属边缘设备认证的签名信息,r
T
表示随机数,t
T
表示时间戳;公式(2.2)含义:ID
T
向ID
E2
发送跨域接入请求的数据包;其中C
T
表示终端已经通过ID
E1
认证的证明信息,Req表示接入请求;步骤三:边缘设备初次验证终端身份边缘设备ID
E2
收到终端设备发来的跨域接入认证请求后,首先查询CA中心获得ID
E1
的证书,解密得到ID
T
、ID
E1
以及终端通过认证的消息。比较解密得到ID
T
和请求中的ID
T
是否一致,不一致则认证失败;一致则发送信息给边缘节点ID
E2
请求核实终端身份;公式(2.3)含义:解密Mes得到终端和通过认证的边缘设备信息;其中Succeed表示终端通过了边缘设备ID
E1
的认证;步骤四:边缘节点IDE2请求终端注册域边缘节点IDE1核实终端身份边缘节点ID
E2
判断认证列表中是否边有边缘节点ID
E1
,没有,则先进行边缘节点间CA双向认证并协商会话密钥Key
E1
‑
E2
;通过认证,则将终端的跨域请求中的C
T
发送给ID
E1
请求核实终端的身份;ID
E2
→
ID
E1
:(C
T
||ID
T
)Key
E1
‑
E2
ꢀꢀꢀ
公式(2.4)公式(2.4)含义:ID
E2
向ID
E1
发送终端请求信息请求核实真伪;其中C
T
表示终端已经通过ID
E1
认证的证明信息;步骤五:IDE1核实终端身份并返回给IDE2结果ID
E1
收到来自ID
E2
的请...
【专利技术属性】
技术研发人员:姚烨,朱怡安,李联,潘旭飞,史先琛,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。