本发明涉及涉及电力智能终端的协同领域,尤其涉及一种基于sram puf的无证书跨域安全认证方法及系统。
背景技术:
1、随着电网有序开放、协同操作需求剧增,电力智能终端的“端-端”协同能力不断构建,对终端身份认证的高效性、动态性、自适应性提出了更高的要求。与此同时,社会资本大量参与增量配电、分布式能源等领域的投资运营,电网资产的所有权和运营权出现分离,海量化、复杂化终端交互打破了原有电力终端分区分域的现状,单一身份认证模式已无法满足实际需求,亟需针对终端建立层次化的终端身份认证机制。
2、电力不同业务终端跨域协同场景,如配电自动化系统与用电信息采集系统所属终端的协同,交互双方安全等级不一、部分安全机制异构,需要根据双方等级差异,构建跨异构域的身份信任传递机制,并在交互过程中持续评估对方的可信度。
技术实现思路
1、为了解决上述问题,本发明的目的在于提供一种基于sram puf的无证书跨域安全认证方法及系统,有效提高电力智能终端同区跨域交互终端认证效率,并降低认证开销。
2、为实现上述目的,本发明采用以下技术方案:
3、一种基于sram puf的无证书跨域安全认证方法,在多个管理域组成的终端集中,每个域内随机选择一个终端节点作为域内注册终端,负责管理本域内终端的身份注册,各个域随机投票选举跨域认证终端,支撑跨域身份认证协同,包括注册阶段和认证阶段,具体如下:
4、注册阶段:
5、设每个终端di的srampuf功能生成设备唯一标识符idi和认证crpsi、公钥pki,每个终端加入所属管理域后,在域内注册终端incerj注册其身份标识idi和部分认证crpsi',域内注册终端incerj令终端di调用srampuf功能计算crpsi',验证终端di的物理真实性后,将idi和公钥pki进行绑定,生成注册令牌:
6、rtokeni=sm3(idi,pki,ti,crpsi',skj);
7、其中skj是域内注册终端incerj的私钥,ti为注册时间戳;
8、认证阶段:
9、当终端di需要访问另一个域domaink中的资源时,向跨域认证终端outceri发起跨域认证申请apply_do(idi,pki,crpsi',rtokeni,domaink),跨域认证终端outcer验证rtokeni,确认终端di在所属域内的合法身份;
10、然后,跨域认证终端outceri向目标域domaink的跨域认证终端outcerk发送跨域认证请求apply_do(idi,pki,crpsi',domaink);跨域认证终端outcerk收到请求后,对终端di发起crps认证,终端di调用srampuf功能计算crpsi”,跨域认证终端outcerk将收到的结果与域内注册终端incerj生成的注册令牌相同,则完成身份认证。
11、进一步的,当未纳入的终端具有跨域交互需求时,未直接建立认证的终端选择一组与认证目标终端具有直接交互历史的中间终端,即域内认证终端作为信任传播的桥梁。
12、进一步的,当未认证终端和具有直接交互历史的中间终端规模大于阈值时,未认证终端处理边缘分布式异构信任数据,融合多源异构数据、自动学习特征表示,基于卷积自编码器进行特征提取和信任评估,实现不同信任评估模型之间的知识共享和协同计算,基于密度的空间聚类应用程序噪声算法进行信任聚类,通过区别低密度区域和高密度区域,识别可信与不可信的终端群组。
13、进一步的,所述基于卷积自编码器进行特征提取,具体如下:
14、首先,构建自编码器的输入层,将终端评估数据编码为高维特征向量,输出层负责将特征向量解码以重构数据;
15、然后构建特征提取的隐藏层,通过计算重构误差,自编码器比较隐藏层编码前后的特征向量来衡量特征提取的效果;
16、在节点聚类中,使用kl散度来计算重构误差:
17、
18、其中,gi′和hi′分别表示第i′输入和输出的特征向量,n′为特征向量总数。
19、10.进一步的,在构建卷积自编码器时,引入卷积神经网络,将稀疏约束引入自编码器的隐藏层进行正则化;通过保持大多数神经元处于非活跃状态,减少边缘网络复杂性并防止过度拟合;计算每个隐藏神经元的平均激活度avgj,确定活跃神经元;损失函数中的稀疏惩罚项通过kl散度度量差异,基于少量激活神经元学习得到网络;
20、设是神经元j的激活值,n是节点数,那么神经元j的平均激活度avgj是:
21、
22、损失函数表示为
23、
24、其中,是稀疏惩罚系数,kli是基于kl散度的相似性度量,l为基础损失。
25、进一步的,所述基于卷积自编码器的信任评估,具体如下:
26、设在中间层有m个评估终端,并且终端集合为e={e1,e2,...,em};
27、对于评估终端ei,与所有终端进行互动,评估节点设置权重为:
28、
29、其中代表在一段时间t内节点i与节点j之间的通信次数,间接信任值表示为:
30、
31、其中,为直接信任值。
32、进一步的,所述基于密度的空间聚类应用程序噪声算法进行信任聚类,具体如下:
33、定义邻域的概念,通过邻域半径来定义每个数据点的邻域,即点到点的距离小于θ被视为邻域;将包含邻域中至少minpts个样本点的点定义为核心点,具体聚类过程如下:
34、(1)随机选择一个节点作为起始点,并计算其邻居节点的数量;
35、(2)如果邻居节点的数量大于minpts,那么该节点的邻居节点就会被添加到该节点的簇中;
36、(3)然后,继续对新添加的点进行邻域扩展,以确保所有可达的核心点都被添加到该簇中;
37、(3)如果一个核心点的邻域中包含其他核心点,那么它们将被连接到同一个簇中;
38、(4)所有没有分配到簇的数据点都会被标记为噪声点,它们不属于任何簇;
39、(5)重复上述过程,直到所有的数据点都被访问并分类完毕。
40、进一步的,在聚类过程中,边缘节点具有各种可信属性特征,根据每个属性在聚类过程中的相对重要性分配不同的属性权重,设边缘节点具有总共m′个属性,任意节点r和节点s的邻域距离nd计算如下所示:
41、
42、一种基于sram puf的无证书跨域安全认证系统,包括处理器、存储器以及存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时,具体执行如上所述的一种基于sram puf的无证书跨域安全认证方法中的步骤。
43、本发明具有如下有益效果:
44、本发明通过在域内随机选择域内注册终端,随机选取历史交互终端作为跨域认证终端,采用crps构建注册-认证两阶段身份认证机制,认证后的终端形成跨域终端交互群,并构建基于卷积自编码器的特征提取-信任评估和基于dbscan的信任聚类的间接评估机制,随机选择跨域交互群内的终端作为信任锚点,信任锚点间接信任评估通过后,可跳过信任锚点终端直接通信,从而减少认证开销。
1.一种基于srampuf的无证书跨域安全认证方法,其特征在于,在多个管理域组成的终端集中,每个域内随机选择一个终端节点作为域内注册终端,负责管理本域内终端的身份注册,各个域随机投票选举跨域认证终端,支撑跨域身份认证协同,包括注册阶段和认证阶段,具体如下:
2.根据权利要求1所述的一种基于srampuf的无证书跨域安全认证方法,其特征在于,当未纳入的终端具有跨域交互需求时,未直接建立认证的终端选择一组与认证目标终端具有直接交互历史的中间终端,即域内认证终端作为信任传播的桥梁。
3.根据权利要求2所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,当未认证终端和具有直接交互历史的中间终端规模大于阈值时,未认证终端处理边缘分布式异构信任数据,融合多源异构数据、自动学习特征表示,基于卷积自编码器进行特征提取和信任评估,实现不同信任评估模型之间的知识共享和协同计算,基于密度的空间聚类应用程序噪声算法进行信任聚类,通过区别低密度区域和高密度区域,识别可信与不可信的终端群组。
4.根据权利要求3所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,所述基于卷积自编码器进行特征提取,具体如下:
5.根据权利要求4所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,在构建卷积自编码器时,引入卷积神经网络,将稀疏约束引入自编码器的隐藏层进行正则化;通过保持大多数神经元处于非活跃状态,减少边缘网络复杂性并防止过度拟合;计算每个隐藏神经元的平均激活度avgj,确定活跃神经元;损失函数中的稀疏惩罚项通过kl散度度量差异,基于少量激活神经元学习得到网络;
6.根据权利要求3所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,所述基于卷积自编码器的信任评估,具体如下:
7.根据权利要求3所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,所述基于密度的空间聚类应用程序噪声算法进行信任聚类,具体如下:
8.根据权利要求7所述的一种基于sram puf的无证书跨域安全认证方法,其特征在于,在聚类过程中,边缘节点具有各种可信属性特征,根据每个属性在聚类过程中的相对重要性分配不同的属性权重,设边缘节点具有总共m′个属性,任意节点r和节点s的邻域距离nd计算如下所示:
9.一种基于sram puf的无证书跨域安全认证系统,其特征在于,包括处理器、存储器以及存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时,具体执行如权利要求1-8任一项所述的一种基于sram puf的无证书跨域安全认证方法中的步骤。