一种基于NC-Link的接入认证访问装置及方法与流程

本发明属于工业互联网，具体涉及一种基于nc-link的接入认证访问装置及方法。

背景技术：

1、在工业互联网领域，最新的同类技术主要集中在工业协议、设备间通信、数据安全与访问控制等方面。以nc-link协议为例，该技术作为国产数控装备工业互联通讯协议，旨在实现设备间高效的数据交换与统一规范化管理，支持多源异构数据的互联互通。硬件方面，该协议应用涉及数控机床、传感器、工业控制器等设备，通过以太网tcp/ip协议或mqtt等轻量级传输协议实现设备间的连接，工作原理基于标准的网络通信模型，确保数据在认证器、代理服务和应用系统间可靠传输。软件方面，nc-link协议相关的系统通常包含数据采集模块、协议转换模块、数据处理与分析模块以及安全管理模块，这些模块协同工作，实现数据的实时监控、分析决策与安全防护。

2、尽管nc-link协议在设计时考虑了一定的安全要求，但其安全防护机制较为基础，尤其在身份认证和访问控制方面存在漏洞，容易受到网络攻击，如中间人攻击、重放攻击等。计算资源限制：在低算力环境下，现有的身份认证和访问控制方案往往计算密集，影响了设备的运行效率和响应速度。动态适应性差：面对工业互联网中设备数量庞大、网络环境多变的情况，现有技术在动态调整访问权限和适应新安全威胁方面灵活性不足。隐私保护缺失：固定设备标识和不足的随机化处理导致隐私泄露风险高，缺乏有效的隐私保护机制。扩展性与兼容性问题：随着工业设备种类和应用场景的增加，现有技术在兼容旧设备和新标准、支持大规模部署方面存在局限。成本与效率问题：复杂的安全解决方案可能导致实施成本增加，影响了企业的经济负担和部署意愿，同时可能影响数据传输效率和系统整体性能。

技术实现思路

1、为解决背景技术提到的问题，提高工业互联网的安全性、适应性、扩展性和兼容性，在本发明的第一方面提供了一种基于nc-link的接入认证访问装置，包括：注册模块，用于获取接入设备的注册信息和接入用户的生物特征密钥，并基于所述注册信息和生物特征密钥，通过加密密钥、时间信息和对称二元多项式对接入设备和用户分别进行注册；登录模块，用于通过已注册的合法用户的生物特征密钥、注册时间凭据构建动态登录请求信息；认证模块，被配置在nc-link系统的核心控制层、系统应用层和人机交互层，用于基于所述动态登录请求信息和已注册用户的校验值，通过对称二元多项式计算共享密钥在预设时间差内对用户进行验证；访问控制模块，被配置在nc-link系统的应用层和人机交互层，用于对接入设备的安全级别进行划分，并通过管理员账户和多级可递推密钥对接入设备进行多层次分级授权和按级别的访问控制。

2、在本发明的一些实施例中，所述认证模块包括：第一计算单元，用于确定校验消息的时效性；基于所述动态登录请求信息，计算用户的伪身份信息，并将计算结果与预设数据库进行匹配；根据匹配结果判断用户是否存在，并还原用户的私钥；第二计算单元，用于根据当前时间戳和第一随机数，计算公钥信息；以及根据用户的私钥和所述随机数，通过椭圆曲线生成公钥；判断单元，用于根据动态登录请求信息计算第一认证请求信息，并根据认证请求信息和伪身份信息，判断接入设备接收的消息是否被篡改；分发单元，用于预设凭据信息计算第一会话密钥；根据第一认证请求信息和当前时间戳、第二随机数计算第二认证请求信息；将第二认证请求信息返回用户；认证单元，用于通过对称二元多项式计算第二会话密钥，通过比较第一会话密钥和第二会话密钥，在预设时间差内对用户进行验证。

3、进一步的，还包括：加密模块，用于采集用户的生物信息，并将所述生物信息转换为生物特征密钥，以及向nc-link系统发起注册请求。

4、在本发明的一些实施例中，所述访问控制模块包括：生成单元，用于生成一个安全有效的随机数，并根据随机数生成非对称密钥对，以及公开随机序列和公钥信息；根据用户的访问等级和路径，构建的有向无环图；根据所述有向无环图、非对称密钥对、公开随机序列和公钥信息，计算每个安全等级的授权信息和加密密钥；分发单元，用于根据用户的权限，分发不同安全等级的授权信息和加密密钥；发布单元，用于根据用户的订阅请求，匹配用户对应的安全等级和访问控制列表，将缓存的设备数据转发给用户；更新单元，用于根据接入用户或接入设备的变动，更新每个安全等级的加密密钥、授权数据和公共信息。

5、进一步的，所述生成单元包括：随机模块，用于生成一个安全有效的随机数，并根据随机数生成非对称密钥对，以及公开随机序列和公钥信息；构建模块，用于根据用户的访问等级和路径，构建的有向无环图g(p,e)；其中节点p代表不同的安全等级，e表示不同安全等级的节点之间的访问路径；计算模块，根据所述有向无环图、非对称密钥对、公开随机序列和公钥信息，计算每个安全等级的授权信息和加密密钥。

6、在上述的实施例中，所述注册模块还用于，通过加密密钥、时间信息和对称二元多项式分别对代理服务器和云服务器进行注册。

7、本发明的第二方面，提供了一种基于nc-link的接入认证访问方法，包括：获取接入设备的注册信息和接入用户的生物特征密钥，并基于所述注册信息和生物特征密钥，通过加密密钥、时间信息和对称二元多项式对接入设备和用户分别进行注册；通过已注册的合法用户的生物特征密钥、注册时间凭据构建动态登录请求信息；基于所述动态登录请求信息和已注册用户的校验值，通过对称二元多项式计算共享密钥在预设时间差内对用户进行验证；对接入设备的安全级别进行划分，并通过管理员账户和多级可递推密钥对接入设备进行多层次分级授权和按级别的访问控制。

8、本发明的第三方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明在第一方面提供的基于nc-link的接入认证访问方法。

9、本发明的第四方面，提供了一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现本发明在第一方面提供的基于nc-link的接入认证访问方法。

10、本发明的有益效果是：

11、发明通过创新的轻量级身份认证与灵活的多级访问控制机制，显著增强了nc-link协议在工业互联网环境下的安全性与效率。它不仅减轻了低算力设备的认证负担，确保了数据传输的高速与低延迟，还通过动态权限管理实现了更精细的访问控制，有效应对了多样化安全威胁。本发明强化了隐私保护措施，提升了系统的兼容性与扩展性，为工业4.0时代的数字化转型提供了强大而灵活的安全基石，解决了现有技术在安全性、计算效率和动态适应性方面的不足，引领了工业互联网安全防护技术的新方向。

技术特征：

1.一种基于nc-link的接入认证访问装置，其特征在于，包括：

2.根据权利要求1所述的基于nc-link的接入认证访问装置，其特征在于，所述认证模块包括：

3.根据权利要求2所述的基于nc-link的接入认证访问装置，其特征在于，还包括：

4.根据权利要求1所述的基于nc-link的接入认证访问装置，其特征在于，所述访问控制模块包括：

5.根据权利要求4所述的基于nc-link的接入认证访问装置，其特征在于，所述生成单元包括：

6.根据权利要求1所述的基于nc-link的接入认证访问装置，其特征在于，还包括：所述注册模块还用于，通过加密密钥、时间信息和对称二元多项式分别对代理服务器和云服务器进行注册。

7.一种基于nc-link的接入认证访问方法，其特征在于，包括：

8.根据权利要求7所述的基于nc-link的接入认证访问方法，所述基于所述动态登录请求信息和已注册用户的校验值，通过对称二元多项式计算共享密钥在预设时间差内对用户进行验证包括：

9.一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1至6任一项所述的基于nc-link的接入认证访问方法。

10.一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的基于nc-link的接入认证访问方法。

技术总结
本发明涉及一种基于NC‑Link的接入认证访问装置及方法，其装置包括：注册模块，用于获取接入设备的注册信息和接入用户的生物特征密钥，并基于所述注册信息和生物特征密钥，通过加密密钥、时间信息和对称二元多项式对接入设备和用户分别进行注册；登录模块，用于通过已注册的合法用户的生物特征密钥构建动态登录请求信息；认证模块，用于基于所述动态登录请求信息和，通过对称二元多项式计算共享密钥在预设时间差内对用户进行验证；访问控制模块，用于对接入设备的安全级别进行划分，并通过多级可递推密钥对接入设备进行多层次分级授权和按级别的访问控制。本发明通过轻量级身份认证与灵活的多级访问控制机制，提高安全性，降低了算力负担。

技术研发人员：余鹏飞,路松峰,陈德庆
受保护的技术使用者：武汉辰亚科技有限公司
技术研发日：
技术公布日：2024/9/23