(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111395731.7 (22)申请日 2021.11.23 (71)申请人 重庆邮电大 学 地址 400065 重庆市南岸区黄桷垭崇文路2 号 (72)发明人 魏旻　荣春萌　肖峰　黄庆卿　 向雪琴　王平　洪承镐　 (74)专利代理 机构 北京同恒源知识产权代理有 限公司 1 1275 代理人 廖曦 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G06K 9/62(2022.01) (54)发明名称 一种面向边缘计算节点的零信任身份认证 方法 (57)摘要 本发明涉及一种面向边缘计算节点的零信 任身份认证方法， 属于计算机领域。 该方法包括 以下步骤： S1： 系统初始化； S2： 身份注册； S3： 行 为分析； S4： 身份认 证； S5： 身份 更新。 本发明提出 了一种面向工业边缘计算节点的身份认证架构， 包括现场设备层、 边缘层及工业云平台层； 同时， 工业边缘服务器对边缘计算节点的行为特征进 行采集， 利用采集的行为特征数据和行为分析算 法判别边缘计算节点的风险等级， 在身份认证的 过程中根据边缘计算节点的风险等级采取不同 的身份认证方法， 提出一种结合行为分析算法的 身份认证方法解决了集中式实体带来的单点故 障问题和身份认证效率较低的问题。 权利要求书6页 说明书19页 附图3页 CN 114024766 A 2022.02.08 CN 114024766 A 1.一种面向边 缘计算节点的零信任身份认证方法， 其特 征在于： 该 方法包括以下步骤： S1： 系统初始化； S2： 身份注 册； S3： 行为分析； S4： 身份认证； S5： 身份更新。 2.根据权利要求1所述的一种面向边缘计算节点的零信任身份认证方法， 其特征在于： 所述S1具体为： S11： 工业边缘服务器初始化； 工业边缘服务器在边缘层的联盟链网络中担任共识节点， IESi为边缘层的某个工业边 缘服务器， IESi初始化首先安装联盟链客户端， 然后IESi获得联盟链节点地址BCAddri以及 联盟链证书BCCrti； IESi采用非对称加密算法， 获得唯一的会话密钥对， IESi私钥为 IESkeyi， IESi公钥为IESPKi； IESi被配置所属机构Agencyi， 根据其所配置的机构， IESi被配 置加入的一个群 组GroupID； IESi配置完成后作为共识节点加入边缘层的联盟链网络， 加入 后在共识节点列表SealerList中添加该节点的BCAddri； IESi完成初始化后即加入 了边缘层 的联盟链网络， 无需进行身份注 册操作； S12： 群组初始化 联盟链采用PBFT共识算法， 故障节点或恶意节点称为拜占庭节点， PBFT算法的共识模 型为3f+1， 即超过2/3的节 点的执行结果一致才能完成共识， 系统最多容忍f个拜占庭节 点； 根据容忍拜占庭 节点数f设置 工业边缘服务器加入联盟链网络的数量； 群组g是一个GroupID为g的群组， 其初始化过程如下： S121： 在g中选择一个IESi， 并将该IESi所在的Agencyi作为发起群组初始化的机构， 群 组内的所有机构集 合为{Agency1,Agency2,...,Agencyi,...}； S122： 所选发起群组初始化的节点IESi收集群组 内所有节点的联盟链节点地址、 联盟链 证书、 机构、 群组和对等网络P2P连接信息； P2P连接信息包括IP地址、 P2P端口号和远程过程 调用RPC接口信息RPCI nfo； S123： IESi将群组中所有联盟链节点信息收集完成后， IESi根据GroupID创建群组， 并将 所有节点的信息打包成群组g的起始区块； 起始区块创建后不可修改， 群组建成后， 已有联 盟链节点信息变更和新的联盟链 节点的加入都将不再修改起始区块； S124： IESi将群组g的初始区块分发至群组g中所有的联盟链节点， 包括群组g下所有的 机构集合{Agency1,Agency2,...,Agencyi,...}的联盟链节点； 群组 中所有机构在拥有了群 组g内所有节 点的P2P连接信息， 各机构通过P2P连接信息生成节 点部署程序， 各机构调用节 点部署程序启动各机构中的联盟链 节点； S13： 边缘控制器和工业 边缘网关初始化 在初始化阶段， 由于边缘控制器EC和工业边缘网关IEG资源受限， 无法安装联盟链客户 端， 边缘控制器和 工业边缘网关初始化在初始化阶段获得节点标识NodeID； 边缘控制器和 工业边缘网关使用与IES相同的非对称加密算法获得唯一的会话密钥对， 边缘节点私钥 Nodekey和边缘节点公钥NodePK； 边缘控制器和工业边缘网关需要配置其RPC接口信息 RPCInfo和所属机构Agency。权　利　要　求　书 1/6 页 2 CN 114024766 A 23.根据权利要求2所述的一种面向边缘计算节点的零信任身份认证方法， 其特征在于： 所述S2具体为： 边缘控制器和工业边缘网关加入边缘网络前必须完成身份注册； 边缘控制器和工业边 缘网关将身份注册请求发送至目标群组内的工业边缘服务器， 工业边缘服务器作为共识节 点调用身份注册智能合约将身份注册交易放入交易池， 主节点从交易池中取出 交易打包成 区块并发起共识， 最 终落成包含身份注册交易的区块； 预编译的身份注册的智能合约RegS C 由部署在工业边缘服务器的控制台进行部署； 部署完成后， 工业边缘服务器会获得身份注 册智能合约地址RegSCAd dr； 边缘控制器和工业 边缘网关身份注 册具体步骤如下： S21： 边缘控制器或工业边缘网关NodeA在进行身份注册 时需要其节点标识NodeIDA、 设 备类型DevTypeA， 设备型号DevModelA、 所属机构AgencyA， NodeA远程调用接口RPC信息 RPCInfoA作为身份注 册信息； S22： NodeA的身份注 册信息表示 为Sr， Sr＝(NodeIDA||DevTypeA||DevModelA||AgencyA||RPCInfoA)， 其中||为连接符； Signature( ·)为数字签名函数， Tr为身份注册消息 时间戳， 对Sr和Tr生成身份注册消息签 名Sigr＝Signature(Sr||Tr)， NodeA向IESi发送身份注册消息Mr＝{Sr||Tr||Exfield|| Sigr}， 其中Exfield为边缘节点的其他扩展信息， 包括接入工业边缘网关的工业现场设备 集合{IFD1,IFD2,IFD3,...}； S23： IESi接收到身份注册消息后， 首先验证消息格式， 如果身份注册消息格式错误则丢 弃该消息， 否则继续验证时间戳Tr， 如果消息超时则丢弃该消息， 否则验证身份注册消息签 名VerifySig(Sigr)， 其中VerifySig( ·)为验证数字签名函数， 如果验证失败则丢弃该消 息； IESi通过智能合约将边缘控制器和工业边缘网关关键身份信息存储在链上， 隐私身份 信息存储在链下， 并将链上与 链下的身份信息 关联， 链上数据保证关键身份信息不可篡改， 隐私身份信息存 储在链下， 防止隐私身份信息泄 露； S24： 链下身份信息存储； IESi会将在分布式存储系统中以Merkel树结构存储对NodeA的 注册身份信息进行存储， 存储的信息包括NodeIDA、 DevTypeA、 DevModelA、 AgencyA和 RPCInfoA， 其存储地址为StoreAddrA， Merkel树中叶子节点存储边缘控制器或工业边缘网关 的身份信息数据， 非叶子节点则存 储其子节点的Hash值， 身份信息 Merkel树根节点为MR； S25： IESi调用身份注 册智能合约RegSC(RegSCAd dr,Mr)发起NodeA身份注册交易 S251： 边缘控制器的 包含TxNum交易编号、 交易时间戳Ttx、 身份信息有效期Tvalid、 身 份注册信息的Hash值DigestA＝Hash(Sr)和StoreAd drA， 其中Hash( ·)为Hash函数； S252： 工业边缘网关 包含TxNum交易编号、 交易时间戳Ttx、 身份信息有效期Tvalid、 身 份注册信息的Hash值DigestA＝Hash(Sr)、 StoreAddrA和接入该工业边缘网关的工业现场设 备集合{IFD1,IFD2,IFD3,...}； S26： 身份信息交易 的落成； IESi将 放入群组的交易池中； 主节点 从交易池中取 出身份注册交易 发起共识， 联盟链网络对身份注册交易完成共识后， 系统将在账本中 落成一个新的区块Block， 在 区块Block中记录身份注册交易 IESi将区块信息返回给权　利　要　求　书 2/6 页 3 CN 114024766 A 3