(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211152379.9 (22)申请日 2022.09.21 (71)申请人 中凯智慧物联科技 （广东） 有限公司 地址 528000 广东省佛山市禅城区莱翔路 10号华艺装饰材料物流城南区第7座 三层23号之一 (72)发明人 韩辉　韩智铭　 (74)专利代理 机构 广东省中源正拓专利代理事 务所(普通 合伙) 44748 专利代理师 朱靖华 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/06(2006.01) (54)发明名称 基于边缘计算的物联网终端 身份认证系统 (57)摘要 本发明公开了基于边缘计算的物联网终端 身份认证系统， 涉及网络安全技术领域， 包括边 缘申请模块、 请求上传模块和身份验证模块； 边 缘申请模块用于物联终端或边缘物联代理申请 边缘身份； 当物联终端或边缘物联代理申请加入 边缘网络时， 由密钥生成中心为物联终端或边缘 物联代理分配边缘身份并生 成私钥； 当物联终端 以边缘身份接入边缘网络时， 边缘物联代理用于 对物联终端进行触发验证； 当物联 终端触发验证 通过后， 身份验证模块用于对物联 终端进行接入 身份认证， 首先边缘物联代理向物联终端发送密 文数据和签名值； 物联 终端解开密文数据并验证 签名值， 若两者皆正确， 则允许物联终端接入边 缘网络； 有效避免仿冒终端非法接入， 提高网络 安全。 权利要求书2页 说明书6页 附图1页 CN 115514560 A 2022.12.23 CN 115514560 A 1.基于边缘计算的物联网终端身份认证系统， 其特征在于， 包括边缘申请模块、 攻击监 测模块、 安全评估 模块、 请求上传模块和身份验证模块； 所述边缘申请模块用于物联终端或边缘物联代理申请边缘身份； 当物联终端或边缘物 联代理申请加入边缘网络时， 由密钥生成 中心为物联终端或边缘物联代理分配边缘身份并 生成私钥； 当物联终端以边缘身份接入边缘网络时， 所述请求上传模块用于物联终端发送身份认 证请求至边缘物联代理， 所述身份认证请求携带有唯一标识ID； 所述边缘物联代理用于对 所述物联终端 进行触发验证， 具体验证步骤为： 根据所述唯一标识ID自动从云平台中调取该物联终端离当前时刻最近的安全偏离系 数并标记为WAt； 若WAt＜ 预设偏离阈值， 则触发验证通过， 将 被允许进行身份认证； 若WAt≥ 预设偏离阈值， 则表明此时该物联终端存在安全风险， 将被拒绝接入边 缘网络； 当所述物联终端触发验证通过后， 所述身份验证模块用于对所述物联终端进行接入身 份认证， 具体验证步骤如下： S1： 边缘物联代 理产生随机数， 对该随机数采用物联终端的公钥进行加密， 并对随机数 的哈希值采用边 缘物联代理的私钥进行签名， 然后向物联终端发送密文数据和签名值； S2： 物联终端采用物联终端的私钥对边缘物联代理的密文数据进行解密， 并采用边缘 物联代理的公钥对边缘物联代理的签名值进 行验签； 然后 将解密后的密 文数据和验签后的 签名值返回至边 缘物联代理； S3： 边缘物联代理判断物联终端解开密文数据是否正确， 以及判断物联终端验证签名 值是否正确； 若两者皆正确， 则验证成功， 允许 所述物联终端接入边 缘网络。 2.根据权利要求1所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 所述 攻击监测模块与物联终端相连接， 用于对物联终端进行网络攻击监测； 当监测到物联终端 遭到网络攻击时， 开始计时； 当再次未监测到网络攻击时， 停止计时。 3.根据权利要求2所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 所述 攻击监测模块的具体监测步骤为： 统计开始计时与停止计时之间的时间段为攻击持续 时间段； 将攻击持续 时间段的时长 标记为攻击持续时长Tc； 统计攻击持续时间段内网络攻击的次数为C1， 网络攻击包括病毒 攻击、 电子邮件攻击、 IP攻击以及冗余数据攻击； 统计网络攻击的种类数为Z1； 利用公式GM＝Tc ×g1+C1×g2+Z1×g3计算得到攻击值 GM， 其中g1、 g2、 g3均为预设系数因子； 所述攻击监测模块用于将攻击持续时间段和对应的 攻击值GM进行融合得到网络攻击记录并将网络攻击记录打上时间戳存 储至数据库。 4.根据权利要求3所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 所述 安全评估模块与数据库相连接， 用于根据数据库内存储的带有时间戳的网络攻击记录对物 联终端进行安全偏离系数评估， 具体为： 根据时间戳， 统计预设时间段内同一物联终端的网络攻击记录； 统计对应物联终端的 网络攻击次数为攻击频次P1， 将每条网络攻击记录中的攻击值标记为Gi； 将Gi与攻击阈值 相比较； 统计Gi大于攻击阈值的次数为C2； 当Gi大于攻击阈值时， 获取Gi与攻击阈值的差值并进行求和得到超攻总值CZ， 利用公 式Cg＝C2 ×a1+CZ×a2计算得到超攻系数Cg， 其中a1、 a2均为预设比例因子； 利用公式WA＝权　利　要　求　书 1/2 页 2 CN 115514560 A 2P1×a3+Cg×a4计算得到对应物联终端的安全偏离系数WX， 其中a3、 a4均为预设比例因子； 所述安全评估 模块用于将物联终端的安全偏离系数WX打上时间戳并存 储至云平台。 5.根据权利要求1所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 所述 边缘申请模块的具体工作步骤为： 物联终端或边缘物联代理向密钥生成中心发送加入请求信 息， 所述加入请求信 息包括 随机数、 密钥申请时间和密钥有效期； 其中， 随机数、 密钥申请时间和密钥有效期用密钥生 成中心的公钥进行加密后发送； 响应于接收到边缘申请模块上传的加入请求信 息， 密钥生成中心管理员为对应用户分 配边缘身份， 即唯一标识ID； 所述唯一标识ID即公钥； 所述密钥生成中心收到注册信 息后用密钥生成中心的私钥解开密文数据， 密钥生成中 心获取注 册信息并向物联终端或边 缘物联代理反馈注 册结果， 进入私钥申请与分发步骤。 6.根据权利要求5所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 其 中， 私钥申请与分发步骤具体包括： 物联终端或边缘物联代理各自通过随机数生成函数随机生成一个随机数， 物联终端或 边缘物联代理计算随机数的哈希值， 向密钥生成中心申请私钥； 密钥生成中心用主私钥对物联终端或边缘物联代 理随机数的哈希值进行计算， 将计算 结果发送给物联终端或边 缘物联代理； 物联终端或边缘物联代理收到计算结果后计算出签名私钥和加密私钥， 并更新自己的 数字身份标识； 所述边缘申请模块用于将物 联终端或边缘物 联代理更新后的数字身份标识 存储至云平台。 7.根据权利要求1所述的基于边缘计算的物联网终端身份认证系统， 其特征在于， 所述 身份验证模块还 包括： 若物联终端解开密文数据不正确或物联终端验证签名值不正确； 则边缘物联代理向物 联终端发出告警； 判断告警次数是否达到M次， 若未达到M次， 则转入步骤S1， 重新进行验证； 否则， 阻断物 联终端接入边 缘网络； 其中M为预设值。权　利　要　求　书 2/2 页 3 CN 115514560 A 3