[发明专利]一种基于身份标识的工业复杂产品终端跨域接入认证方法

说明书

本发明涉及一种基于身份标识的工业复杂产品终端跨域接入认证方法，属于涉及信息安全领域。分为两个阶段，阶段一、工业复杂产品终端在安全域注册，但是未接入认证，然后移动到外域进行跨域请求接入认证；阶段二、工业复杂产品终端在安全域注册并通过接入认证，然后移动到外域进行跨域请求接入认证。本方法避免了工业复杂产品终端在不同安全域接入认证时需要重新注册，大大节省了工业复杂产品终端的域间接入认证时资源消耗和时间，提高了接入认证效率，使工业复杂产品接入认证更加方便、高效、快捷；相较于其它跨域认证方案，在工业互联网平台体系下本发明所提出的工业复杂产品终端跨域接入认证更加安全性和高效性。

技术领域

本发明涉及信息安全领域，具体为一种基于IBC身份标识的工业复杂产品终端跨域接入认证技术。

背景技术

随着科技的发展，全球工业迎来了以数字化、网络化、智能化为发展方向的深刻变革，以新一代信息技术与先进制造技术深度融合为基本特征的智能制造，已成为这次新工业革命的核心驱动力。工业互联网云平台作为连接企业、用户、产品、原材料等的重要枢纽，随着数量巨大的终端设备接入网络系统，要想系统安全高效的运行，首先需要面临的是恶意终端设备入侵的风险。

工业复杂产品终端具有数量规模大、分布广的特点，随着柔性生产概念引入，新、旧生产线不断组合，复杂产品接入认证存在移动性问题，这在离散行业表现尤为突出。复杂产品种类繁多、结构差异大，网络接入/撤销具有随机性，以上这些特点均增加了复杂产品可信接入的难度。要想降低系统的安全风险，那么一个合理的身份认证机制就成为了保证工业复杂产品终端设备安全接入的技术基础。但是，工业终端的数量大、移动性强的特点及其工业设备认证要求的高效性、灵活性，传统的认证方案并不适用。为此，提出一种高效安全的接入认证方案，以实现工业复杂产品终端可信接入，同时解决终端快速移动带来的跨域接入认证问题。

发明内容

要解决的技术问题

工业复杂产品终端设备接入认证采用标识密码技术，当终端从一个边缘设备移动到另一个边缘设备时，由于两个边缘设备所属的安全域PKG不同，在基于标识的身份认证体系中，由于PKG主密钥及其某些参数的不同将导致域内终端与外域的边缘设备间无法进行认证信息的安全交互；其次，两个分属不同安全域的边缘设备也无法通过标识密码技术进行相互认证。当工业复杂产品终端由于应用需求，发生位置移动时，为保证服务的连续性和稳定性，需要考虑相应的跨域认证。

为了解决工业复杂产品终端设备在不同安全域间移动造成的跨域认证问题，本发明提出一种基于身份标识的工业复杂产品终端跨域接入认证方法。

技术方案

一种基于身份标识的工业复杂产品终端跨域接入认证方法，其特征在于包括两个阶段：

阶段一：工业复杂产品终端在一个安全域注册后首次跨域接入认证

步骤一：终端移动后发送跨域接入请求

工业复杂产品终端在PKG₁安全域中进行注册，获得标识ID、私钥以及安全域的公共参数；终端ID_T在PKG₁安全域未完成接入认证，快速移动到PKG₁安全域中的边缘节点ID_E2，并向ID_E2发送接入认证请求报文，开始跨域接入认证；请求报文包括终端自己的身份标识、本域中心认证服务器标识、随机数和时间戳的签名结果m_T及s其哈希运算结果c_T；

ID_T→ID_E2：Req||(ID_T||ID_E2||c_T||m_T) 公式(1.1)