【技术实现步骤摘要】
一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法
[0001]本专利技术属于网络信息安全
,具体涉及一种工业边缘设备无证书接入认证方法。
技术介绍
[0002]随着全球工业向着数字化、网络化、智能化方向的发展,网络系统作为智能制造基础设施的“神经中枢”,当不合法的工业终端设备接入到系统时会产生较大的安全风险,如设备的数据信息泄露、会话非法劫持、运行恶意代码,甚至产生不可逆转的重大灾难。为此,研究工业终端设备的可信接入、确保接入工业设备身份的合法性极其重要。当前主流的工业设备可信接入方法主要面临的问题是:基于证书交换的集中认证方式无法满足海量工业设备实时认证的性能要求,且存在时延高、实时性差等技术问题。
[0003]边缘认证节点的作为承上启下的设备,一方面要取得云端认证中心的信任和认证授权,另一方面要为工业设备终端提供接入认证服务。然而,传统的服务器间认证大多是基于证书交换的方式,无法满足工业智能制造体系中接入认证的实时性和高效性等技术需求,不仅认证双方证书交换带来了巨大的资源消耗的问题,而且云端的集中式认证方式也给云认证中心带来了一定的认证压力,以及工业设备接入认证的所产生较高的认证时延。
技术实现思路
[0004]为了克服现有技术的不足,本专利技术提供了一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法,通过分布式协同认证方法,实现了工业设备认证体系中云
‑
边、边
‑
边协同可信接入认证。云
‑
边认证阶段...
【技术保护点】
【技术特征摘要】
1.一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法,其特征在于,包括如下步骤:步骤1:构建云
‑
边协同认证和边
‑
边协同认证环境;所述云
‑
边协同认证,即位于不同安全域内的边缘节点先要向云认证中心的服务器取得认证授权,才能为终端工业设备提供接入认证服务;所述边
‑
边协同认证是基于众多边缘节点构建的,通过不同边缘节点之间的双向认证实现不同安全域边缘认证服务器间的可信互联;工业设备只需要发送给边缘设备已接入认证的信息,通过不同安全域边缘节点间的认证托管来完成跨域接入认证;针对边缘节点和云认证中心接入认证阶段,采取云
‑
边、边
‑
边逐层分布的认证模式;使用的符号含义如表1所示;表1符号含义对照表步骤2:云
‑
边协同的双向接入认证;在云
‑
边协同的双向接入认证过程中,默认KDC是第三方可信任的设备,第三方KDC分别与边缘节点E和云端服务器S拥有各自独立的共享密钥;将边缘节点E与第三方KDC的共享密钥记作K
EK
,服务器S与第三方KDC的共享密钥记为K
SK
,工业设备云
‑
边接入认证方法具体描述如下:步骤2
‑
1:边缘节点E将设备的ID标识号与想要登录的服务器S的ID号发送给服务器S:E
→
S:{|ID
E
||ID
S
|}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)式中:ID
S
——云端服务器S的ID号;步骤2
‑
2:S收到E的数据后,系统随机生成大数x和r,以及大素数p和q,然后计算N=T
r
(x)(mod p),M=p
·
q,并用S与KDC的共享密钥K
SK
加密{|p,T
S
|},与ID
S
、x、M和N封装后,发送给边缘节点E:S
→
E:{|ID
S
||x||M||N||{|p,T
S
|}K
SK
|}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)式中:T
r
(x)(mod p)——以x、p为参数的Chebyshev多项式的第r项的值;
T
S
——服务器S产生的时钟认证信息;步骤2
‑
3:E收到信息后,将{|p,T
S
|}K
SK
发送给KDC,并系统随机生成一个大数h,并根据h和收到的M值根据相关公式计算得L=T
h
(x)(mod M),根据切比雪夫多项式的半群特性得W=T
h
(N)(mod M)=T
h
(Tr(x)(mod p)(mod M):E
→
KDC:{|{|p,T
S
|}K
SK
||ID
S
|}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)式中:L——以x、M为参数的Chebyshev多项式的第h项的值;W——以N、M为参数的Chebyshev多项式的第h项的值;步骤2
‑
4:KDC首先收到来自E的消息(p,T
S
)K
SK
,利用与服务器S的共享密钥解密阶段收到的封装信息,然后根据与边缘节点E的共享密钥K
EK
加密信息发送给E,信息包括服务器S的ID号以及收到的数据信息:KDC
→
E:{|p,T
S
,ID
S
|}K
EK
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)步骤2
‑
5:边缘节点E根据收到的信息,通过私钥解密得到p值以及步骤2
‑
3计算的W值,计算得到边缘节点E与服务器S的共享密钥K
SE
,然后用共享密钥K
SE
加密通信时钟T
S
,最后,封装步骤2
‑
3计算得出的L、边缘节点E的ID号发送给S:E
→
S:{|L||ID
E
||{|T
S
|}K
SE
|}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)步骤2
‑
6:云端服务器S根据p
·
q的结果M和T
h
(x)(mod M)的结果L,推算L=T
h
(x)(mod p),然后依据L计算出S和边缘节点E的共享密钥记作K
′
SE
;S用K
′
SE
解密若T
S
=T
S
,S即能验证E的身份;S再用K
′
SE
加密L发送给E;若不正确,则认证结束;S
→
E:{|L|}K
′
SE
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(6)式中:L——以x、p为参数的Chebyshev多项式的第h项的值;K
′
SE
——S通过收到的来自E的信息计算得到的与E的共享密钥;步骤2
‑
7:边缘节点E收到封装数据K
′
SE
(L)后,通过共享密钥K
SE
解密得到L,若L=L,则表示通信双方认证成功;同时边缘节点E与云端认证中心S也建立了会话密钥K
SE
;如果L不等于L,说明双方没有相互认证通过;步骤2
‑
8:完成边缘节点和云端双向认证完成;步骤3:边
‑
边协同的双向接入认证;所述边
‑
边协同的双向接入认证分为两种情况:一是边缘设备域内相互认证;二是边缘设备域间相互认证;定义ID
G1
和ID
G2
是分别属于两个不同安全域PKG1和PKG2的中心节点服务器,ID
E1
~ID
En
为n个不同的边缘节点;当一个安全域中的边缘节点ID
Ei
向另一个安全域中的边缘节点ID
Ej
发送相互认证请求时,具体步骤如下:步骤3...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。