[发明专利]一种面向边缘网关的分布式身份认证方法

说明书

本发明公开了一种面向边缘网关的分布式身份认证方法，应用于网络认证技术领域，包括：第一轮静态验证和第二轮动态验证；第二轮动态验证为设备与系统交互信息时进行，包括信息上传、调度式信息交互和桥接对话，同时该认证方法为双向认证。本方法认证算法轻量，计算快；分布式认证，根据总通过率判定身份结果；各认证端所持有的密码各不相同，且均为动态密码；双向认证，避免连入伪装网关。

技术领域

本发明涉及网络认证技术领域，更具体的说是涉及一种面向边缘网关的分布式身份认证方法。

背景技术

目前已有较多身份认证机制，比较常见的是集中式认证，如用一套中央服务器负责全系统的密码生成与认证。大多数静态身份加密借鉴了密码学原理，计算较为复杂，而多数动态加密方式需要外置设备来保障动态密码的一致性，如使用磁卡、u盾或手机动态密码等。在设备接入频繁的边缘网关环境下的身份认证则需要一套扩展性强、算法轻量、动态分布式机制。

因此，提供一种扩展性强、算法轻量和动态分布式机制是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种面向边缘网关的分布式身份认证方法。

为了实现上述目的，本发明采用如下技术方案：

一种面向边缘网关的分布式身份认证方法，包括：第一轮静态验证和第二轮动态验证；所述第二轮动态验证为设备与系统交互信息时进行，包括信息上传、调度式信息交互和桥接对话；

其中，所述第一轮静态验证将设备固定编码的hash值与本地表单进行对比，完成接入身份验证；

所述第二轮动态验证，在第一轮静态验证后，计算动态值并形成hash表，将所述hash表与本地动态值对进行比较，实现设备的信息交互验证。

优选的，所述第一轮静态验证包括以下步骤：

S101：设备接入网关时，将设备固定编码的hash值发送给直连的网关B1，假设在线的B级网关有k台；

S102：所述网关B1认证次数加1，同时将接收到的hash值与本地表单进行比对，若有对应hash值，则所述网关B1将所述hash值发送给其他k/2台同级网关，进入步骤S103，若无对应hash值，则驳回所述设备连接请求；

S103：所述k/2台同级网关认证次数加1，同时将接收到的hash值与本地表单进行比对，若有对应hash值，则以50％的概率向直连的上级网关发送所述hash值，进入步骤S104，若无对应hash值，则进入步骤S105；

S104：所述步骤S103中所述的上级网关认证次数加1，同时将接收到的hash值与本地表单进行比对，若有对应hash值，则以50％的概率向直连的上级网关发送所述hash值，若无对应hash值，则进入步骤S105；

S105：判断全部网关是否验证完成，若完成并且网关验证总通过率大于95％，则所述设备通过连接请求，否则，驳回所述设备连接请求。

优选的，所述步骤S105中总通过率95％中的网关，不包括其直连网关B1。

优选的，所述设备完成第一轮静态验证，实现接入身份认证后，在第二轮动态验证中，设备与系统进行信息上传或调度式信息交互的具体步骤如下：

S201：所述设备根据本地认证记录，计算所有动态值，形成hash表，并将所述hash表发送给直连的网关B1，假设在线的B级网关有k台；

S202：所述网关B1接收所述动态值对，计算本地动态值对，所述网关对接收到的所述动态值对与所述本地动态值对进行比较，若相同，则动态值认证通过，进入步骤S203，若不相同，则驳回所述设备与系统的交互请求；