一种应用于工业互联网云服务平台的设备认证处理方法技术

本发明专利技术公开了一种应用于工业互联网云服务平台的设备认证处理方法，认证单元根据算力认证方法，并结合平台的认证网所述推荐的适配所述待接入的工业设备的最优安全认证方案，对待接入的工业设备进行认证，在处理过程中，引入辅助计算设备群，以此高效完成工业设备认证处理，有效克服现有的基于“云端融合”的工业互联网架构所构建的工业互联网云服务平台内在面对各类工业设备接入平台时所存在的：无法灵活以及智能地根据接入设备的型号来选择与之适配的认证方案；无法认证接入设备的计算能力，进而无法很好地筛选出诚实设备，限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价等问题。提高恶意设备加入所述平台的代价等问题。提高恶意设备加入所述平台的代价等问题。

【技术实现步骤摘要】
一种应用于工业互联网云服务平台的设备认证处理方法


[0001]本专利技术涉及工业互联网
，具体的说，涉及一种应用于工业互联网云服务平台的设备认证处理方法。

技术介绍

[0002]工业互联网是面向基于互联网的工业生产活动。相较于传统互联网，工业互联网在网络连通性、实时性和安全性等方面提出了更高要求，目的是使工业生产实体能够进行高效地协同工作；其次，为了实现智能制造，工业互联网借助于物联网技术感知生产环境，利用大数据技术控制生产过程。相较于传统的物联网和大数据技术，工业互联网侧重于感知、分析与工业生产相关的人、机、物，并强调实体之间自组织自适应的智能化柔性生产。目前，学术界和工业界提出了基于“工业云+终端”的工业互联网解决方案，将弹性的、可共享的资源和业务能力，通过泛在网络，以按需自服务方式，为工业企业提供各种服务，从而实现资源的共享与能力的协同；这种“云端分离”的模式由工业云负责完成所有计算任务，获得决策结果反馈给控制器，再由控制器反馈给终端，最终完成工业控制；然而，这种“云端分离”的工业互联网模式，在面对千级用户万级终端、复杂工业场景感知、TB级数据秒级处理以及毫秒级工控时延等需求情况下，无法保证工业生产决策控制的实时、准确与安全。因此，基于“云端融合”的工业互联网解决方案被提出。“云端融合”的工业互联网是一种通过全面深度感知工业制造过程中生产实体的特性和状态，动态/在线地在工业云(云)和生产实体(端)间进行数据交换和计算分发，进而高效、无缝、透明地协同使用工业互联网平台和终端的计算、存储及网络、平台、数据及用户等资源，以实现网络化、智能化、柔性化工业生产的工业互联网新模式。因此，相比于传统的工业互联网模式，基于“云端融合”的工业互联网模式可以达到工业云与生产实体之间高度协同、功能深度融合、智能开放共享，从而保证工业生产实时、准确与安全的决策与控制，为上层应用提供支撑服务。
[0003]工业互联网云平台是传统工业云的延伸发展，是工业互联网应用的重要载体，也是工业全要素链接的枢纽，因此，工业互联网云平台的建设质量决定了工业互联网是否能发挥其本身的效能效用。综上可以看出，相比于基于传统“云端分离”的工业互联网模式下所构建工业互联网云服务平台(下文统一称为“旧工业云服务平台”)，基于“云端融合”的工业互联网模型下所构建的工业互联网云服务平台(下文统一称为“新工业云服务平台”)可以实现更为实时和精准地处理数据，以及实现数据的处理分析决策与反馈控制的智能化和柔性化。然而，目前新工业云服务平台的研究仅仅处于初级阶段，不仅缺乏契合工业互联网相关特征的体系结构以及关键技术，而且无法应对未来生产中“感知对象更加复杂、联网实体更加多元、数据处理更加多维度、反馈控制更加智能”等需求。进一步地，为了提高工业生产活动质量，新工业云服务平台会向许多的工业设备开放并欢迎其接入平台，进而为平台内的各类实体提供实时且不同类型的工业生产数据来达到协同生产的目的；但随之而来的问题就是，当新工业云服务平台面对不同型号的工业设备接入时，如何解决它们的认证问题是需要考虑的，因为旧工业云服务平台在接入工业设备时，往往是通过专线互联的形式
接入，即在接入前已经明确了该工业设备的具体信息；但新工业云服务平台采用的模式为云端融合，即具备网络通信的设备只要满足接入条件，就可以通过泛在网络加入平台中并与平台进行通信交互，而无需采用专线互联的形式来与平台进行通信。因此，新工业云服务平台相比于旧工业云服务平台来说，就需要考虑如何在泛在网络中通过灵活选择合适的认证方案的方式来更为兼容、安全以及便捷地筛选出符合接入条件且对平台有利的工业设备；因为合适的认证方案不仅可以保证平台的安全性，同时可以解决因单一认证方案所带来的不同型号的工业设备在进行认证时所出现的协议不兼容等情况，进而确保符合条件的工业设备都可以安全合法地通过认证而加入平台；因此，如何保证新工业云服务平台可以在泛在网络中通过灵活选择合适的认证方案的方式来更为兼容、安全以及便捷地筛选出符合接入条件且对平台有利的工业设备的问题是亟需被解决的。进一步地，当各类已入驻工业云服务平台的工业设备想要上传自己生成的工业生产数据至平台，或访问平台内的数据时，往往需要借助工业云服务平台对这类数据进行处理；而在处理这类数据时，不仅需要工业云服务平台具备强大的运算能力，同时还需要工业云服务平台具备“按需处理”的能力；因此，如果一个工业云服务平台只具备单一的数据运算处理能力，或者运算处理数据的手段单一，则不仅无法很好地保证这类数据可以被安全以及便捷的处理，同时也无法很好地满足数据拥有者“按需处理”的需求。因此，如果不仅可以做到当各类工业设备加入新工业云服务平台时，新工业云服务平台可以通过灵活选择合适的认证方案的方式来对工业设备进行认证操作，同时还可以做到当各类工业设备想要上传或访问数据时，新工业云服务平台可以根据实际的数据处理需求，以及当时平台的实际运行情况来选择最为合适的数据处理方案，以及调控最为合适且丰富的各类资源对需要上传或者访问的数据进行加工处理，那么这不仅会大幅度减少新工业云服务平台的资源消耗，同时还可以充分利用各类资源来实现最优化的任务处理，进而使新工业云服务平台具备设备认证更为兼容灵活，以及数据加工处理更加智能、安全且便捷等特性。
[0004]目前新工业云服务平台在认证待接入平台的各类工业设备时存在以下问题：
[0005]因使用单一的认证方案，进而导致部分工业在接受平台的认证时出现了认证协议不兼容以及通信协议不兼容等情况；
[0006]无法灵活以及智能地根据接入设备的型号来选择与之适配的认证方案；
[0007]无法认证接入设备的计算能力，进而无法很好地筛选出诚实设备，限制非诚实设备的加入、筛选出满足算力要求的设备以及提高恶意设备加入所述平台的代价。

技术实现思路

[0008]本专利技术提供一种应用于工业互联网云服务平台的设备认证处理方法，以解决
技术介绍
中所提出的问题。
[0009]本专利技术的具体技术方案如下：
[0010]一种应用于工业互联网云服务平台的设备认证处理方法，所述平台包括认证单元，所述方法包括：
[0011]步骤1.所述认证单元全局初始化算力认证方法，并开始全局监听待接入的工业设备所发起的认证请求；
[0012]步骤2.所述待接入的工业设备向所述认证单元发起所述认证请求，并同时发出能
标识所述待接入的工业设备的设备标识；
[0013]步骤3.所述认证单元在接收到所述认证请求和所述设备标识后，所述平台的认证网根据所述设备标识以及所述平台当前的实际运行情况，向所述认证单元推荐适配所述待接入的工业设备的最优安全认证方案；
[0014]步骤4.所述认证单元在获取到所述最优安全认证方案后，判断监督执行本次认证操作的监执对象；如果所述监执对象为所述认证单元，则跳转至步骤5；否则，跳转至步骤9；
[0015]步骤5.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数，并从所述算力认证难题建立指导参数的难度系数推本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用于工业互联网云服务平台的设备认证处理方法，所述平台包括认证单元，其特征在于，所述方法包括：步骤1.所述认证单元全局初始化算力认证方法，并开始全局监听待接入的工业设备所发起的认证请求；步骤2.所述待接入的工业设备向所述认证单元发起所述认证请求，并同时发出能标识所述待接入的工业设备的设备标识；步骤3.所述认证单元在接收到所述认证请求和所述设备标识后，所述平台的认证网根据所述设备标识，向所述认证单元推荐适配所述待接入的工业设备的最优安全认证方案；步骤4.所述认证单元在获取到所述最优安全认证方案后，判断监督执行本次认证操作的监执对象；如果所述监执对象为所述认证单元，则跳转至步骤5；否则，跳转至步骤9；步骤5.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数，并从所述算力认证难题建立指导参数的难度系数推荐集合中，选出难度系数值最低的值d1同所述平台所设定的难度阈值d
p
进行对比；如果d1＜d
p
，则所述认证单元将拒绝所述待接入的工业设备本次的认证请求，本次设备认证处理完成；否则，跳转至步骤6；步骤6.所述认证单元根据所述算力认证方法的初始化情况和所述算力认证难题建立指导参数生成难题puzzle，然后将所述难题puzzle发送给所述待接入的工业设备进行解答；如果所述待接入的工业设备在规定时间内成功解答所述难题puzzle，则跳转至步骤7；否则，所述认证单元将拒绝所述待接入的工业设备本次的认证请求，本次设备认证处理完成；步骤7.所述认证单元根据最优安全认证方案，安装并运行适配所述待接入的工业设备，并基于用于安全接入认证的配套安全算法对所述待接入的工业设备进行接入认证；步骤8.如果所述待接入的工业设备成功完成接入认证，且符合所述最优安全认证方案中的接入条件，则所述认证单元将准许所述待接入的工业设备接入所述平台；否则，所述认证单元拒绝所述待接入的工业设备本次的接入请求，本次设备认证处理完成；步骤9.所述认证单元根据所述最优安全认证方案，调控符合条件的设备组建辅助计算设备群，进而协助所述认证单元对所述待接入的工业设备进行接入认证操作；步骤10.所述认证单元从所述最优安全认证方案中获取针对所述认证请求的算力认证难题建立指导参数，并从所述算力认证难题建立指导参数的所述难度系数推荐集合中，选出难度系数值最低的值d1同所述平台设定的难度阈值d
p
进行对比；如果d1＜d
p
，则所述认证单元拒绝所述待接入的工业设备本次的认证请求，本次设备认证处理完成；否则，跳转至步骤11；步骤11.所述认证单元协助所述辅助计算设备群根据所述算力认证难题建立指导参数生成所述难题puzzle，随后所述辅助计算设备群将所述难题puzzle发送给所述待接入的工业设备进行解答；如果所述待接入的工业设备在所述规定时间内成功解答所述难题puzzle，则跳转至步骤12；否则，所述认证单元将拒绝所述待接入的工业设备本次的接入请求，并解散所述辅助计算设备群，本次设备认证处理完成；步骤12.所述认证单元根据所述最优安全认证方案，协助所述辅助计算设备群安装并运行适配所述待接入的工业设备，并基于用于安全接入认证的配套安全算法对所述待接入
的工业设备进行接入认证；步骤13.如果所述待接入的工业设备成功完成接入认证，且符合所述最优安全认证方案中的接入条件，则所述认证单元将准许所述待接入的工业设备接入所述平台；否则，所述认证单元将拒绝所述待接入的工业设备本次的接入请求，并解散所述辅助计算设备群，本次设备认证处理结束。2.根据权利要求1所述的方法，其特征在于，所述认证单元包括接入认证模块、算力认证模块以及信誉值评估模块；所述接入认证模块负责对所述待接入的工业设备进行接入认证；所述算力认证模块负责对所述待接入的工业设备进行算力认证；所述信誉值评估模块负责对设备终端候选池中的工业设备进行信誉评估。3.根据权利要求2所述的方法，其特征在于，所述算力认证方法分为四个阶段，分别是初始化阶段、Puzzle生成阶段、Puzzle解答阶段以及Puzzle验证阶段；其中，所述初始化阶段由所述认证单元的算力认证模块执行；所述Puzzle生成阶段由所述最优安全认证方案中所推荐的监执对象来执行，所述监执对象为所述认证单元的算力认证模块或所述辅助计算设备群；所述Puzzle解答阶段由所述待接入的工业设备执行；如果由所述认证单元的算力认证模块单独监执所述Puzzle生成阶段，则由所述认证单元的算力认证模块单独监执所述Puzzle验证阶段；如果由所述辅助计算设备群协助所述平台监执所述Puzzle生成阶段，则由所述辅助计算设备群中当前信誉值最高的工业设备来监执所述Puzzle验证阶段。4.根据权利要求3所述的方法，其特征在于，所述初始化阶段包括：根据安全指数k初始化所述算力认证方法的保密通信算法集合CP
pkc
、难题puzzle生成算法GenPuzz(
·
)和难题puzzle解答验证算法VerAP(
·
)；当所述待接入的工业设备向所述认证单元发起所述认证请求后，从所述最优安全认证方案中，获取匹配安全指数为k的算力认证方法的难题制定指导参数，所述难题制定指导参数包括难度系数推荐集合{d1,d2,d3}(d1＜d2＜d3)和难题解答预估时间time
cp
；从所述保密通信算法集合CP
pkc
中分别选取两组非对称加解密算法配套组＜prk,pbk,Enc,Dec＞和＜prk1,pbk1,Enc1,Dec1＞；从所述最优安全认证方案中获取监督执行所述Puzzle解答阶段的监执对象；如果所述监执对象为所述认证单元的算力认证模块，则初始化阶段的功能执行完毕；如果所述监执对象为所述辅助计算设备群，使用所述保密通信算法集合CP
pkc
、所述难题puzzle生成算法GenPuzz(
·
)、所述难题puzzle解答验证算法VerAP(
·
)以及用于描述所述算力认证方法的描述信息CP
di
生成一个集合APC；将参数{{d1,d2,d3},＜prk,pbk,Enc,Dec＞,＜prk1,pbk1,Enc1,Dec1＞,time
cp
,APC}通过安全信道发送至所述辅助计算设备群，并协助所述辅助计算设备群共同完成后续的算力认证任务，所述初始化阶段的功能执行完毕；所述非对称加解密算法配套组＜prk,pbk,Enc,Dec＞中的Enc为非对称加密算法；Dec为非对称解密算法；prk为适配所述Enc和所述Dec的私钥；pbk为适配所述Enc和所述Dec的公钥；所述非对称加解密算法配套组＜prk1,pbk1,Enc1,Dec1＞中的Enc1为非对称加密算法；Dec1为非对称解密算法；prk1为适配所述Enc1和所述Dec1的私钥；pbk1为适配所述Enc1和所述Dec1的公钥。5.根据权利要求4所述的方法，其特征在于，所述Puzzle生成阶段包括：在接收到参数{{d1,d2,d3},＜prk,pbk,Enc,Dec＞,＜prk1,pbk1,Enc1,Dec1＞,time
cp
,
APC}后，通过所述非对称加解密算法配套组＜prk,pbk,Enc,Dec＞建立起与所述待接入的工业设备的安全信道，并通过所述安全信道接收来自所述待接入的工业设备随机生成的一个随机数n
c
；在获取到所述随机数n
c
后，从所述设备标识中获取所述待接入的工业设备的设备序列号serial
i
；随机生成一个随机数n
s
；根据所述难题puzzle生成算法GenPuzz(
·
)；基于所述算法GenPuzz(
·
)、所述随机数n
c
、所述随机数n
s
、所述设备序列号serial
i
以及监执对象的ID号id
si
生成难题puzzle；所述难题puzzle生成成功后，根据消息认证函数MAC1(
·
)计算参数(d1||d2||d3||puzzle)并得到中间变量使用私钥prk1对中间变量进行签名并得到值Si；生成参数集合{S
i
,puzzle,{d1,d2,d3},＜pbk1,Enc1,Dec1＞}，通过所述安全信道向所述待接入的工业设备发送所述参数集合{S
i
,puzzle,{d1,d2,d3},＜pbk1,Enc1,Dec1＞}，并在所述难题解答预估时间time
g
所规定的时间范围内监听所述待接入的工业设备是否会发送验证错误标识Error；如果在所述难题解答预估时间time
g
所规定的时间范围内监听到所述验证错误标识Error，则重新生成所述参数集合{S
i
,puzzle,{d1,d2,d3},＜pbk1,Enc1,Dec1＞}；如果所述监执对象在难题解答预估时间time
g
所规定的时间范围内未监听到所述验证错误标识Error，则继续监听至所述Puzzle阶段功能执行完毕。6.根据权利要求5所述的方法，其特征在于，所述Puzzle解答阶段包括以下步骤：(1)所述待接入的工业设备在成功接收到参数{S
i
′
,puzzle
′
,{d1′
,d2′
,d3′
},＜pbk1′
,Enc1′
,Dec1′
＞}后，首先使用参数pbk1′
和算法Dec1′
解密所述参数中的值Si
′
并得到值随后通过消息认证函数MAC1(
·
)计算参数(d1′
||d2′
||d3′
||puzzle
′
)得到值Φ”；最后判断与Φ”是否相等；如果则跳转至步骤(2)；否则，所述待接入的工业设备将向所述监执对象响应验证错误标识Error；(2)所述待接入的工业设备在所规定的时间范围内寻找出至少两个长度不大于2
k
的比特串，分别记为p1和p2，用于解答所述难题puzzle
′
；如果所述待接入的工业设备所找寻出的任意两个所述比特串p1和比特串p2中的某一个比特串p
t
(t∈{1,2})满足必要条件且未收到难题解答终止标识UTA，则跳转至步骤(3)；否则，跳转至步骤(4)；所述必要条件为：使用单向散列函数MAC2(
·
)计算参数(p
t
||puzzle
′
)所得出的比特串puzz1，满足前d3′
个比特均为0；以及所述比特串p1和比特串p2中的另一个比特串p
l
满足以下可选条件之一：1...

【专利技术属性】
技术研发人员：邓显辉，李斌勇，张小辉，宋学江，杨帆，
申请(专利权)人：成都探码科技有限公司，
类型：发明
国别省市：