网络物理系统中的边缘辅助智能设备身份验证方法技术方案

本发明专利技术提出一种网络物理系统中的边缘辅助智能设备身份验证方法，建立基于信息中心网络ICN的CPS系统；所述CPS系统上层为CPS控制器，提供系统基础设施；所述CPS系统中间层为ICN通信支柱，包括中间路由器和两个边缘路由器，所述两个边缘路由器分别为连接消费者的入口路由器和连接提供者的出口路由器；所述CPS系统下层为IIoT设备；通过所述ICN通信支柱，基于代理签名和会话连接，提供双向身份认证；所述代理签名用于验证提供者和出口路由器，所述会话连接用于检查消费者和入口路由器。本发明专利技术基于ICN系统模型提出CPS中的边缘辅助认证方案，保护系统免受未经授权的访问，并减少资源有限设备的工作负载。有限设备的工作负载。有限设备的工作负载。

【技术实现步骤摘要】
网络物理系统中的边缘辅助智能设备身份验证方法


[0001]本专利技术涉及网络领域，特别是涉及网络物理系统中的边缘辅助智能设备身份验证方法。

技术介绍

[0002]工业4.0通过利用人工智能(AI)，使智能制造过程更灵活、更先进、更智能。人工智能使工业系统能够以可接受的用户体验质量，更多地自动专注于数据分析。基于这些优势，工业物联网(IIoT)和网络物理系统(CPS)作为工业4.0的核心技术，为制造运营、工业流程和协作通信完善高质量的服务，并显著降低框架开销，极大地提高了工业系统的效率，但IIoT和CPS的结合仍然存在负担重、设备不兼容、安全性和隐私等问题。
[0003]最近的一项研究预测，到2030年，连接到互联网的设备数量将是全球人口的三倍以上。如此巨大的数据流量对现有互联网架构内资源有限的设备提出了严峻的挑战。随着对带宽需求的激增，以信息为中心的网络(ICN)架构产生了一种数据与数据源分离的通信模式。这种通信模式通过数据位置解耦在支持高灵活性方面有广泛的应用，例如设备到设备的数据访问。作为一个典型的工业物联网(IIoT)例子，工业智能电网与ICN相结合，可以增强信息交付对电源故障的弹性，并进一步减少配电中断。从这个角度来看，ICN被认为是IIoT的最佳通信堆栈之一，在消除网络内缓存传输延迟方面具有显著优势。
[0004]尽管ICN具有上述优点，但在基于CPS的系统上部署ICN带来了一些新的挑战，其中身份认证是最具挑战性的。具体而言，CPS
‑
over
‑
IP网络的现有身份验证策略采用双方方案，在新加入的设备和授权服务器之间实现端到端信任。但是，由于ICN中的网络内缓存，数据提供者(例如存储库)的不可预测性增加了阻止虚假数据注入攻击的难度，当攻击者声称是诚实的个人，以并行访问和控制系统时，路由器可以实现其请求。此外，内容节点可能很容易识别当前用户，并试图进一步窥探他们的隐私。在这种情景下，IIoT设备和路由器在获取或存储数据之前有义务检查数据的真实性，而设备的标识则需要被屏蔽。因此，必须通过现有的安全机制，寻求以单一的解决办法来应对这些挑战。
[0005]ICN路由器的可访问性允许在框架的入口和出口路由器处支持边缘辅助方法。此外，工业物联网(IIoT)应用程序允许小型、低成本的智能设备在边缘收集数据。基于这些思路，现有技术中考虑将可信模型委托给IIoT，可以提供一定的访问安全性，但目前的方案要么提供单向身份验证，要么需要在端点设备之间互连，牺牲了网内缓存的可用性。此外，每个资源受限的物联网设备都需要使用非对称加密生成大量的工作负载，这不可避免地增加了两端之间的交互延迟。另外，当物联网设备可以访问互联网服务时，隐私立即成为一个首要问题，因为ICN路由器可以收集易受攻击的消息，并利用消息通信中相关贡献者的身份。

技术实现思路

[0006]本专利技术提出一种网络物理系统中的边缘辅助智能设备身份验证方法，基于ICN系统模型提出CPS中的边缘辅助认证方案，保护系统免受未经授权的访问，并减少资源有限设
备的工作负载。
[0007]为达到上述目的，本专利技术的技术方案是这样实现的：
[0008]一种网络物理系统中的边缘辅助智能设备身份验证方法，包括：
[0009]建立基于信息中心网络ICN的CPS系统；所述CPS系统上层为CPS控制器，提供系统基础设施；所述CPS系统中间层为ICN通信支柱，包括中间路由器和两个边缘路由器，所述两个边缘路由器分别为连接消费者的入口路由器和连接提供者的出口路由器；所述CPS系统下层为IIoT设备；
[0010]通过所述ICN通信支柱，基于代理签名和会话连接，提供双向身份认证；所述代理签名用于验证提供者和出口路由器，所述会话连接用于检查消费者和入口路由器。
[0011]进一步的，步骤S2所述双向身份认证的方法包括：
[0012]S1、注册：CPS控制器启动所述CPS系统，并且广播系统参数；两个贡献者向CPS控制器识别自己，并获得分别用于消费者、入口路由器、出口路由器和提供者的密钥；
[0013]S2、撤销检查：CPS控制器定期向所有路由器发布撤销列表以检查消费者是否被撤销；
[0014]S3、兴趣包：消费者启动一个主体来传输其兴趣包；
[0015]S4、委托签名：当接收到兴趣包时，提供者将其签名权限委托给出口路由器；
[0016]S5、委托验证和代理签名生成：在接收到委托签名后，如果验证结果正确，出口路由器将获得代理签名密钥对，出口路由器从消息创建数字签名，生成签名包；
[0017]S6、会话连接：入口路由器从出口路由器接收到签名包后，入口路由器通过签名包寻址呼叫链路发出会话请求，随机创建身份ID向消费者识别自己；消费者与相邻的入口路由器连接，通过认证并使用兴趣包进行应答；入口路由器从其响应的消费者获取兴趣包并验证，成功后生成一个数据包响应给消费者；消费者消通过签名验证入口路由器的合法性，验证结果为真，则表示会话连接成功。
[0018]更进一步的，步骤S1中所述密钥的获得过程包括：
[0019]S101、CPS控制器选择主密钥和设置公共参数；
[0020]S102、CPS控制器输入所述公共参数、所述主密钥、某实体选择的秘密值、和所述某实体的标识符，生成对应于所述某实体的部分密钥；
[0021]S103、CPS控制器输入所述公共参数、所述部分密钥和所述秘密值，分别生成私钥和公钥。
[0022]更进一步的，步骤S2中，撤销检查的详细过程包括：在入口路由器端运行，并在会话连接建立之前检查消费者是否附加到撤销列表；入口路由器通过探索撤销列表中的撤销参数的有效性，确认消费者的撤销证据。
[0023]更进一步的，步骤S3中，所述兴趣包具有/domain/energy/Access/Query的名称；Domain指的是提供者提供相应服务的详细区域；Energy指的是与提供者相关联的主要服务；Access指的是子类别的服务，该服务提供与提供者相关联的细节以构建进一步的回复，该回复包含在数据中；Query指的是使用者请求。
[0024]更进一步的，步骤S4包括：
[0025]在提供者端运行，并获得输入的公共参数、提供者秘密值和包括授权期间的一个许可证、消息、出口路由器的身份信息、提供者的公钥和出口路由器的公钥。
[0026]更进一步的，步骤S5在出口路由器端运行，包括：
[0027]S501、委托验证和签名，生成签名包；
[0028]S502、签名包经过一系列路由器，每个路由器分别验证嵌入的签名是否携带了提供者和出口路由器的公钥；
[0029]S503、接收方验证签名的有效性。
[0030]与现有技术相比，本专利技术中采用代理签名和会话连接来对工业物联网设备进行认证，代理签名用于验证提供者和出口路由器，会话连接用于检查请求消费者和入口路由器；提供了以下有益效果：
[0031]1、允许提供本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络物理系统中的边缘辅助智能设备身份验证方法，其特征在于，包括：建立基于信息中心网络ICN的CPS系统；所述CPS系统上层为CPS控制器，提供系统基础设施；所述CPS系统中间层为ICN通信支柱，包括中间路由器和两个边缘路由器，所述两个边缘路由器分别为连接消费者的入口路由器和连接提供者的出口路由器；所述CPS系统下层为IIoT设备；通过所述ICN通信支柱，基于代理签名和会话连接，提供双向身份认证；所述代理签名用于验证提供者和出口路由器，所述会话连接用于检查消费者和入口路由器。2.根据权利要求1所述的网络物理系统中的边缘辅助智能设备身份验证方法，其特征在于，步骤S2所述双向身份认证的方法包括：S1、注册：CPS控制器启动所述CPS系统，并且广播系统参数；两个贡献者向CPS控制器识别自己，并获得分别用于消费者、入口路由器、出口路由器和提供者的密钥；S2、撤销检查：CPS控制器定期向所有路由器发布撤销列表以检查消费者是否被撤销；S3、兴趣包：消费者启动一个主体来传输其兴趣包；S4、委托签名：当接收到兴趣包时，提供者将其签名权限委托给出口路由器；S5、委托验证和代理签名生成：在接收到委托签名后，如果验证结果正确，出口路由器将获得代理签名密钥对，出口路由器从消息创建数字签名，生成签名包；S6、会话连接：入口路由器从出口路由器接收到签名包后，入口路由器通过签名包寻址呼叫链路发出会话请求，随机创建身份ID向消费者识别自己；消费者与相邻的入口路由器连接，通过认证并使用兴趣包进行应答；入口路由器从其响应的消费者获取兴趣包并验证，成功后生成一个数据包响应给消费者；消费者消通过签名验证入口路由器的合法性，验证结果为真，则表示会话连接成功。3.根据权利要求2所述的网络物理系统中的边缘辅助智能设备身份验证...

【专利技术属性】
技术研发人员：鲁艳蓉，刘心语，
申请(专利权)人：中国民航大学，
类型：发明
国别省市：