买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：西北工业大学

摘要：本发明公开了一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法，通过分布式协同认证方法，实现了工业设备认证体系中云‑边、边‑边协同可信接入认证。云‑边认证阶段：采用基于切比雪夫多项式的半群特性，在第三方可信任的设备KDC的协同下实现了无证书条件下通信双方相互认证，大大提高了通信双方会话的安全性；边‑边认证阶段：主要通过树状分层认证链实现边缘设备间的互联互信，边缘设备的两两互联，采用云‑边阶段的认证相同方法。本发明在技术上避免了通信双方认证过程中证书的交换，节省了边缘节点的资源消耗并缩短了接入认证的时间，使认证更加方便、高效、快捷。

主权项：1.一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法，其特征在于，包括如下步骤：步骤1：构建云-边协同认证和边-边协同认证环境；所述云-边协同认证，即位于不同安全域内的边缘节点先要向云认证中心的服务器取得认证授权，才能为终端工业设备提供接入认证服务；所述边-边协同认证是基于众多边缘节点构建的，通过不同边缘节点之间的双向认证实现不同安全域边缘认证服务器间的可信互联；工业设备只需要发送给边缘设备已接入认证的信息，通过不同安全域边缘节点间的认证托管来完成跨域接入认证；针对边缘节点和云认证中心接入认证阶段，采取云-边、边-边逐层分布的认证模式；使用的符号含义如表1所示；表1符号含义对照表 步骤2：云-边协同的双向接入认证；在云-边协同的双向接入认证过程中，默认KDC是第三方可信任的设备，第三方KDC分别与边缘节点E和云端服务器S拥有各自独立的共享密钥；将边缘节点E与第三方KDC的共享密钥记作KEK，服务器S与第三方KDC的共享密钥记为KSK，工业设备云-边接入认证方法具体描述如下：步骤2-1：边缘节点E将设备的ID标识号与想要登录的服务器S的ID号发送给服务器S：E→S:{|IDE||IDS|}1式中：IDS——云端服务器S的ID号；步骤2-2：S收到E的数据后，系统随机生成大数x和r，以及大素数p和q，然后计算N＝Trxmodp，M＝p·q，并用S与KDC的共享密钥KSK加密{|p,TS|}，与IDS、x、M和N封装后，发送给边缘节点E：S→E:{|IDS||x||M||N||{|p,TS|}KSK|}2式中：Trxmodp——以x、p为参数的Chebyshev多项式的第r项的值；TS——服务器S产生的时钟认证信息；步骤2-3：E收到信息后，将{|p,TS|}KSK发送给KDC，并系统随机生成一个大数h，并根据h和收到的M值根据相关公式计算得L＝ThxmodM，根据切比雪夫多项式的半群特性得W＝ThNmodM＝ThTrxmodpmodM：E→KDC:{|{|p,TS|}KSK||IDS|}3式中：L——以x、M为参数的Chebyshev多项式的第h项的值；W——以N、M为参数的Chebyshev多项式的第h项的值；步骤2-4：KDC首先收到来自E的消息p,TSKSK，利用与服务器S的共享密钥解密阶段收到的封装信息，然后根据与边缘节点E的共享密钥KEK加密信息发送给E，信息包括服务器S的ID号以及收到的数据信息：KDC→E:{|p,TS,IDS|}KEK4步骤2-5：边缘节点E根据收到的信息，通过私钥解密得到p值以及步骤2-3计算的W值，计算得到边缘节点E与服务器S的共享密钥KSE，然后用共享密钥KSE加密通信时钟TS，最后，封装步骤2-3计算得出的L、边缘节点E的ID号发送给S：E→S:{|L||IDE||{|TS|}KSE|}5步骤2-6：云端服务器S根据p·q的结果M和ThxmodM的结果L，推算L＝Thxmodp，然后依据L计算出S和边缘节点E的共享密钥记作K′SE；S用K′SE解密若TS＝TS，S即能验证E的身份；S再用K′SE加密L发送给E；若不正确，则认证结束；S→E:{|L|}K′SE6式中：L——以x、p为参数的Chebyshev多项式的第h项的值；K′SE——S通过收到的来自E的信息计算得到的与E的共享密钥；步骤2-7：边缘节点E收到封装数据K′SEL后，通过共享密钥KSE解密得到L，若L＝L，则表示通信双方认证成功；同时边缘节点E与云端认证中心S也建立了会话密钥KSE；如果L不等于L，说明双方没有相互认证通过；步骤2-8：完成边缘节点和云端双向认证完成；步骤3：边-边协同的双向接入认证；所述边-边协同的双向接入认证分为两种情况：一是边缘设备域内相互认证；二是边缘设备域间相互认证；定义IDG1和IDG2是分别属于两个不同安全域PKG1和PKG2的中心节点服务器，IDE1～IDEn为n个不同的边缘节点；当一个安全域中的边缘节点IDEi向另一个安全域中的边缘节点IDEj发送相互认证请求时，具体步骤如下：步骤3-1：边缘节点IDEi首先根据边缘节点IDEj的标识号判断双方是否处于同一安全域内；如果双方属于不同安全域，则边缘节点IDEi将其请求信息发送给本安全域域的中心节点服务器IDG2，并请求IDG2与IDEj所在的安全域中心节点服务器IDG1进行协同认证；i,j∈[1,n]；如果双方属于同一安全域，则IDEi向本安全域域内的中心节点服务器IDG1请求核实IDEj的身份并获取由中心节点服务器IDG1和IDEj的会话密钥加密的证明IDEi身份真实的信息；步骤3-2：中心节点服务器IDG1收到来自域内边缘设备IDEi的请求信息，首先核实其身份的真实性，然后根据边缘设备IDEi提供的信息定位到IDEj属于安全域PKG1，通过中心节点服务器IDG1和中心节点服务器IDG1的会话密钥KG1-G2进行加密后发送请求信息给中心节点IDG1；步骤3-3：中心节点服务器IDG1收到边缘设备IDEi的请求信息，首先核实其身份的真实性，然后根据域内树形认证链向下寻找边缘节点IDEj，然后发送请求信息，并通过中心节点服务器IDG1和边缘节点IDEj的会话密钥KG1-Ej进行加密；步骤3-4：边缘节点IDEj收到请求信息，解密信息后得到边缘设备IDEi的相互认证请求，然后将IDEi的标识号用私钥进行签名，返回给中心节点服务器IDG1；步骤3-5：中心节点服务器IDG1收到来自边缘节点IDEj返回信息；如果认证发起方属于域外设备，则返回信息给域外中心节点服务器IDG2，进行步骤3-6；如果认证发起方属于域内设备IDEk，则将边缘节点IDEj返回信息通过会话密钥KG1-Ek进行加密发送给IDEk，包括经过IDEj私钥签名的认证发起方的标识号，并转至步骤3-7；k∈[1,n]；步骤3-6：中心节点服务器IDG2收到来自中心节点服务器IDG1的信息，其中包括核实IDEi的身份正确性的信息和经过IDEj私钥签名的认证发起方的标识号，然后将信息通过会话密钥KG2-Ei进行加密发送给IDEi；步骤3-7：认证发起方IDEi或IDEk收到返回信息后，确认了IDEj的身份真实性，并得到了经过IDEj私钥签名的信息，然后向IDEj发起相互认证请求；步骤3-8：IDEj收到来自边缘设备IDEi或IDEk的接入认证请求信息，其中包括经过自身私钥签名的信息，解密信息和请求接入的认证方一致后，通过接入请求并返回认证成功的信息；步骤3-8：边缘节点间的双向认证完成。

全文数据：

权利要求：

百度查询： 西北工业大学 一种基于Chebyshev多项式的工业边缘设备无证书接入认证方法