買專利賣專利找龍圖騰，真高效！ 查專利查商標用IPTOP,全免費！專利年費監控用IP管家,真方便！

龍圖騰網恭喜西北工業大學申請的專利一種基于身份標識的工業復雜產品終端跨域接入認證方法獲國家發明授權專利權，本發明授權專利權由國家知識產權局授予，授權公告號為：CN114037457B 。

龍圖騰網通過國家知識產權局官網在2025-04-29發布的發明授權授權公告中獲悉：該發明授權的專利申請號/專利號為：202111302664.X，技術領域涉及：G06Q30/018；該發明授權一種基于身份標識的工業復雜產品終端跨域接入認證方法是由姚燁;朱怡安;李聯;潘旭飛;史先琛設計研發完成，并于2021-11-05向國家知識產權局提交的專利申請。

本一種基于身份標識的工業復雜產品終端跨域接入認證方法在說明書摘要公布了：本發明涉及一種基于身份標識的工業復雜產品終端跨域接入認證方法，屬于涉及信息安全領域。分為兩個階段，階段一、工業復雜產品終端在安全域注冊，但是未接入認證，然后移動到外域進行跨域請求接入認證；階段二、工業復雜產品終端在安全域注冊并通過接入認證，然后移動到外域進行跨域請求接入認證。本方法避免了工業復雜產品終端在不同安全域接入認證時需要重新注冊，大大節省了工業復雜產品終端的域間接入認證時資源消耗和時間，提高了接入認證效率，使工業復雜產品接入認證更加方便、高效、快捷；相較于其它跨域認證方案，在工業互聯網平臺體系下本發明所提出的工業復雜產品終端跨域接入認證更加安全性和高效性。

本發明授權一種基于身份標識的工業復雜產品終端跨域接入認證方法在權利要求書中公布了：1.一種基于身份標識的工業復雜產品終端跨域接入認證方法，其特征在于包括兩個階段：階段一：工業復雜產品終端在一個安全域注冊后首次跨域接入認證步驟一：終端移動后發送跨域接入請求工業復雜產品終端在PKG1安全域中進行注冊，獲得標識IDT、私鑰以及安全域的公共參數；終端IDT在PKG1安全域未完成接入認證，快速移動到PKG1安全域中的邊緣設備IDE2，并向IDE2發送接入認證請求報文，開始跨域接入認證；請求報文包括終端自己的身份標識、本域中心認證服務器標識、隨機數和時間戳的簽名結果mT及其哈希運算結果cT；IDT→IDE2：Req||IDT||IDE2||cT||mT公式1.1cT＝h2rT||tT公式1.2mT＝rT||tTskT公式1.3公式1.1含義：IDT向IDE2發送請求接入相關的消息；其中Req||IDT||IDE2||cT||mT表示由接入請求、終端設備標識、請求接入的邊緣設備標識、哈希計算值和私鑰簽名結果組成的數據包；其中IDT表示終端設備標識，IDE2表示請求接入的邊緣設備標識；公式1.2含義：通過哈希函數h2得到隨機數rT和的哈希計算結果cT；其中h2表示哈希函數，rT表示隨機數，tT表示時間戳；公式1.3含義：通過終端的私鑰生成隨機數和時間戳的簽名；其中mT表示隨機數rT和時間戳tT的簽名結果，skT表示終端的私鑰；步驟二：邊緣設備IDE2請求終端注冊域核實終端身份邊緣設備IDE2收到工業復雜產品終端設備發來的跨域接入認證請求后，查看不是屬于本域的終端設備，由于不屬于同一個安全域，故無法解密得到mT、cT；邊緣設備IDE2查詢認證列表中是否邊有中心認證服務器IDG1，沒有，則先進行IDE2和IDG1間的CA雙向認證并協商會話密鑰KeyG1-E2，認證通過則將認證請求轉發給中心認證服務器IDG1處理，否則認證失敗；IDE2→IDG1：IDT||IDE2||cT||mTPubG1公式1.4公式1.4含義：邊緣設備IDE2向中心認證服務器IDG1發送由IDG1公鑰加密的數據包；其中IDT表示工業復雜產品終端設備標識，IDG1表示終端PKG1安全域的中心認證服務器，PubG1表示中心認證服務器IDG1的CA公鑰；步驟三：注冊域中心認證服務器IDG1驗證終端身份PKG1安全域的中心認證服務器IDG1收到IDE2轉發的終端跨域請求，由于IDE2通過認證確認是可信的，則只進行IDG1對終端IDT的單向認證；即：計算終端IDT的公鑰解密得到隨機數和時間戳，首先驗證時間戳tT的有效性，當檢測結果為有效時間戳后，用h2哈希函數計算的結果和cT比較，如果不相等，則丟棄報文；如果相等，則利用雙線性對性質驗證等式是否成立：QT＝h1IDT公式1.5 emT,-rT+tTP＝eQT,Ppub公式1.7公式1.5含義：通過函數h1計算得到終端的公鑰QT；公式1.6含義：利用IDT的身份公鑰解密mT得到隨機數和時間戳；其中mT表示隨機數rT和時間戳tT的簽名結果，QT表示終端的公鑰；公式1.7含義：中心認證服務器IDG1利用雙線性對等式驗證終端的公私鑰合法性，即終端的身份合法性；其中P是加法循環群任選一個的生成元，Ppub是安全域的系統公鑰；步驟四：IDG1與IDE2協商終端會話密鑰如果等式不成立，表明IDG1對IDT認證失敗，則認為工業復雜產品終端設備身份不合法，返回Failure幀給外域的IDE1，拒絕IDT接入并斷開連接；否則表明IDG1對IDT認證成功；在IDG1與IDE2共同協商出終端會話密鑰Kkey，將Kkey和Success消息一起發送給IDE2；IDG1→IDE2：Success||IDT||IDE2||Kkey||QTIDE2||Kkey||SuccessKeyE-G1公式1.8公式1.8含義：IDG1向IDE2發送終端身份認證結果以及終端會話密鑰；其中Success表示認證成功，Kkey表示終端IDT與邊緣設備IDE2的會話密鑰，KeyE-G1表示邊緣設備IDE2和中心認證服務器IDG1的臨時會話密鑰；步驟五：IDE2發送認證通過的消息及其終端會話密鑰給終端邊緣設備IDE2收到認證成功的消息后，解密得到與工業復雜產品終端的會話密鑰，發送跨域認證成功的消息給終端IDT；IDE2→IDT：Success||IDTKkey||IDE2||Kkey||SuccessQT公式1.9公式1.9含義：IDE2向IDT發送認證通過的消息及其終端會話密鑰；其中Success表示認證成功，Kkey表示終端IDT與邊緣設備IDE2的會話密鑰；步驟六：終端用新的會話密鑰應答邊緣節點工業復雜產品終端IDT收到來在IDE2的消息，用私鑰解密得到會話密鑰Kkey和與之會話通信的終端標識IDE2，利用Kkey解密得到來自邊緣設備的消息，間接證明了邊緣設備的真實性；最后，終端IDT用新的會話密鑰加密消息應答邊緣設備IDE2，跨域接入認證成功； 公式1.10含義：利用私鑰解密消息得到認證成功消息和會話密鑰；公式1.11含義：利用會話密鑰解密消息驗證消息的一致性；綜上，IDT完成了在不同安全域的邊緣設備跨域接入認證，成功接入外域邊設備IDE2并與其建立了新的會話密鑰；階段二：工業復雜產品終端在安全域注冊并通過認證后跨域認證情況1：終端跨域時攜帶注冊域邊緣設備的認證通過的信息簽名，外域邊緣設備先驗證信息的真實性，然后轉發給注冊域邊緣設備再次驗證以防重放攻擊，具體實施步驟如下：步驟一：終端注冊并進行邊緣節點的接入認證終端IDT在PKG1安全域中進行注冊，并完成了在注冊域邊緣設備IDE1的接入認證，同時獲得由IDE1進行CA簽名的通過認證信息Mes，里面包含終端的標識、已通過認證的邊緣設備的標識、完成接入的信息；步驟二：終端跨域移動后發送跨域接入請求當IDE1發現移動到新的邊緣設備IDE2和自己不處于同一個安全域內，則向該邊緣設備發送跨域認證請求，包括自己的身份標識IDT、原屬邊緣設備的身份標識IDE1以及原屬邊緣設備的接入認證完成的簽名信息Mes；將請求信息通過原會話密鑰加密發送給邊緣設備IDE2；CT＝KoldIDT||IDE1||Mes||tT||rT公式2.1IDT→IDE2：Req||IDT||CT||IDE1||Mes||rT||tT公式2.2公式2.1含義：利用舊的會話密鑰加密相關數據；其中IDT表示終端設備標識，IDE1表示已通過認證的邊緣設備標識，Mes表示通過原屬邊緣設備認證的簽名信息，rT表示隨機數，tT表示時間戳；公式2.2含義：IDT向IDE2發送跨域接入請求的數據包；其中CT表示終端已經通過IDE1認證的證明信息，Req表示接入請求；步驟三：邊緣設備初次驗證終端身份邊緣設備IDE2收到終端設備發來的跨域接入認證請求后，首先查詢CA中心獲得IDE1的證書，解密得到IDT、IDE1以及終端通過認證的消息；比較解密得到IDT和請求中的IDT是否一致，不一致則認證失敗；一致則發送信息給邊緣設備IDE2請求核實終端身份； 公式2.3含義：解密Mes得到終端和通過認證的邊緣設備信息；其中Succeed表示終端通過了邊緣設備IDE1的認證；步驟四：邊緣設備IDE2請求終端注冊域邊緣設備IDE1核實終端身份邊緣設備IDE2判斷認證列表中是否邊有邊緣設備IDE1，沒有，則先進行邊緣節點間CA雙向認證并協商會話密鑰KeyE1-E2；通過認證，則將終端的跨域請求中的CT發送給IDE1請求核實終端的身份；IDE2→IDE1：CT||IDTKeyE1-E2公式2.4公式2.4含義：IDE2向IDE1發送終端請求信息請求核實真偽；其中CT表示終端已經通過IDE1認證的證明信息；步驟五：IDE1核實終端身份并返回給IDE2結果IDE1收到來自IDE2的請求信息，進行核實，并將結果發送給IDE2； IDE1→IDE2：true||IDTKeyE1-E2公式2.6公式2.5含義：IDE1解密CT得到通過邊緣設備的認證信息；公式2.6含義：IDE1向IDE2發送終端通過認證的真實性結果；其中true表示終端的信息真實，KeyE1-E2表示IDE1和IDE2的會話密鑰；步驟六：IDE1和IDE2協商新的終端會話密鑰邊緣設備IDE2收到解密信息，核實了終端的跨域認證情況，并和IDE1協商得出終端新的會話密鑰Kkey；使用終端原來的會話密鑰對新的會話密鑰進行加密，構建響應數據包，使用臨時會話密鑰進行加密發送給IDE2；IDE1→IDE2：IDT||KoldKkey1||success||IDE2KeyE1-E2公式2.7公式2.7含義：IDE1向IDE2發送認證成功的信息以及新的終端會話密鑰；其中Kold表示舊的終端會話密鑰，Kkey1表示新的終端會話密鑰，KoldKkey||success||IDE2表示用終端舊的會話密鑰對新的會話密鑰進行加密；步驟七：IDE2發送認證通過的消息及其新的終端會話密鑰給終端邊緣設備IDE2收到終端身份認證通過的消息，核實了終端的接入認證情況后，將通過認證的結果及其新的會話密鑰發送給跨域請求的終端；IDE2→IDT：KoldKkey||success||IDE2||KkeySuccess公式2.8公式2.8含義：IDE2向IDT發送認證成功的信息以及新的終端會話密鑰；步驟八：終端用新的會話密鑰應答邊緣節點終端IDT收到來在IDE2的消息，用私鑰解密得到會話密鑰Kkey和跨域接入的邊緣設備的標識IDE2，利用Kkey解密得到來自邊緣設備的消息；最后，終端IDT用新的會話密鑰加密消息應答邊緣設備IDE2，跨域接入認證成功； 公式2.9含義：終端解密來自IDE2的信息得到成功接入的結果和新的會話密鑰；綜上，IDT完成了在不同安全域的邊緣設備跨域接入認證，成功接入外域邊設備IDE2并與其建立了新的會話密鑰；在該過程中，物聯網終端設備無需復雜的計算和通信，將認證和密鑰協商工作由邊緣設備間完成，有效降低了終端設備的計算和通信開銷；情況2：工業復雜產品終端跨域時攜帶邊緣設備頒發的域可信令牌，外域邊緣設備收到終端的跨域請求信息，先發送給本域的中心認證服務器，然后由中心認證服務器發送給終端注冊域的中心認證服務器來驗證域可信令牌；具體實施步驟如下：步驟一：終端注冊并進行邊緣節點的接入認證終端在PKG1安全域中進行注冊，獲得標識ID、私鑰以及安全域的公共參數，并通過了邊緣設備IDE1的接入認證，同時獲得由邊緣節點頒發的域可信令牌；步驟二：終端移動至IDE2后發送跨域接入請求終端快速移動到PKG2安全域中的邊緣設備IDE2附近，終端設備連入IDE2，并發送接入認證請求報文，報文包括終端ID標識、IDE1認證成功后邊緣節點頒發的可信令牌，開始跨域接入認證；mT＝IDE2||IDT||tT||rTskT公式3.1IDT→IDE2：Req||IDT||Token||tT||rT||mT公式3.2公式3.1含義：對終端和邊緣設備的標識以及時間戳和隨機數進行簽名；其中IDT表示終端設備標識，IDE2表示請求跨域接入的邊緣設備標識，rT表示隨機數，tT表示時間戳；公式3.2含義：IDT向IDE2發送跨域接入請求的數據；其中Req表示跨域接入請求，Token表示由已通過認證的邊緣節點頒發的域可信令牌；步驟三：IDE2將終端請求認證轉發給本域的中心認證服務器邊緣設備IDE2收到終端設備發來的跨域接入認證請求后，查詢得知不是本域的終端設備，將其終端跨域信息和可信令牌轉發給本域的中心認證服務器IDG2；IDE2→IDG2：IDT||Token||tE2||rE2||mTPubG2公式3.3公式3.3含義：IDE2向IDG2發送終端跨域信息和域可信令牌請求核實；其中tE2表示IDE2的時間戳，rE2表示IDE2的隨機數，PubG2表示中心認證服務器IDG2的CA公鑰；步驟四：中心認證服務器向終端注冊域發送身份核實請求本域的中心認證服務器收到來自外域邊緣設備IDE2的消息，解密得到終端的標識、可信令牌以及終端標識的簽名，按照可信令牌上帶有的安全域信息獲得終端所在域的中心認證服務器IDG1，IDG1查詢認證列表中是否邊有中心認證服務器IDG2，有的話直接進行下一步，列表中沒有，則IDG1和IDG2先進行CA雙向身份認證；IDG1和IDG2互為可信設備后，IDG2將認證請求用IDG2的CA公鑰加密，然后轉發給PKG1安全域的中心認證服務器IDG1請求核實終端的可信令牌的真實性；IDG2→IDG1：IDT||Token||IDE2||tG2||rG2||mTSKG1PubG1公式3.4公式3.4含義：IDG2向IDG1發送終端跨域信息和域可信令牌請求核實；其中tG2表示IDG2的時間戳，rG2表示IDG2的隨機數，SKG1表示IDG1的CA私鑰，PubG1表示中心認證服務器IDG1的CA公鑰；步驟五：PKG1安全域的中心認證服務器驗證TokenPKG1安全域的中心認證服務器收到請求，解密得到終端的標識IDT，通過終端的標識IDT計算其公鑰并解密標識簽名信息mT，核實終端的身份以及終端持有的令牌真偽情況，若終端的可信令牌真實，則IDG1與IDG2共同協商出終端會話密鑰Kkey2，然后將Kkey2和驗證結果一并發送給PKG2域的中心認證服務器IDG2；sT＝Success||Kkey2||IDE2QT公式3.5IDG1→IDG2：Success||Kkey2||sTSKG1PubG2公式3.6公式3.5含義：由終端的公鑰加密新的會話密鑰相關數據；其中Success表示終端身份審核通過，IDE2表示跨域接入的邊緣設備其身份可信，QT表示終端的公鑰；公式3.6含義：IDG1向IDG2發送終端身份核實的結果信息；其中Kkey2表示新的終端會話密鑰；步驟六：PKG2域的中心認證服務器返回給IDE1驗證結果PKG2域的中心認證服務器收到驗證結果解密后，將結果轉發給邊緣設備IDE2；IDG2→IDE1：Success||Kkey||sTSKG2PubE1公式3.7公式3.7含義：IDG1向IDE1發送終端身份核實可信的結果以及新的終端會話密鑰；其中SKG2表示IDG2的CA私鑰，PubE1表示邊緣設備IDE1的CA公鑰；步驟七：IDE2發送認證通過的消息及其新的終端會話密鑰給終端IDE2收到消息解密后得知終端跨域請求信息真實，則通過終端的跨域認證請求，并告知終端通過認證；IDE2→IDT：IDE2||SuccessKkey||sT公式3.8公式3.8含義：IDE2向終端IDT發送認證通過的消息及其新的終端會話密鑰給終端；其中sT表示由終端的公鑰加密新的會話密鑰相關數據；步驟八：終端用新的會話密鑰應答邊緣設備IDE2終端IDT收到來自IDE2的消息，用私鑰解密得到會話密鑰Kkey，利用Kkey解密得到來自邊緣設備的消息，即通過認證以及會話密鑰的對象標識IDE2；終端IDT給邊緣設備發送確認消息，邊緣設備IDE2收到消息后通過終端的跨域認證； 公式3.9含義：終端利用私鑰解密sT得到新的會話密鑰Kkey以及與之會話的邊緣設備；公式3.10含義：終端利用會話密鑰解密得到跨域接入的邊緣設備通過的結果；其中Kkey表示終端IDT和邊緣設備IDE2的會話密鑰；綜上，IDT完成了在不同安全域的邊緣設備跨域接入認證，成功接入外域邊設備IDE2并與其建立了新的會話密鑰。

如需購買、轉讓、實施、許可或投資類似專利技術，可聯系本專利的申請人或專利權人西北工業大學，其通訊地址為：710072 陜西省西安市友誼西路127號；或者聯系龍圖騰網官方客服，聯系龍圖騰網可撥打電話0551-65771310或微信搜索“龍圖騰網”。