变电站边缘网络环境下终端分布式跨域认证方法及系统与流程

1.本发明涉及变电站的通信技术领域，具体地涉及一种变电站边缘网络环境下终端分布式跨域认证方法及系统。


背景技术：

2.5g通信技术提出了面向垂直行业的切片化网络、服务化架构、边缘计算等新服务，将来基于5g通信技术的能源互联、企业数字化转型是一个重要课题。5g具有高带宽、低时延、广链接等特征，助力实现万物互联和海量实时数据获取，为电网安全生产、企业数字化和智能化转型提供灵活的通信手段。利用5g大带宽、高可靠、低时延、广连接等技术优势，利用5g技术可以极大提高电网运检大带宽数据回传的时效性，为设备智能运检提供可靠网络保障。
3.然而，由于无线通信信号传输具有开放性，基于无线通信技术的工业控制主要受到来自终端身份的仿冒、非法劫持，给工控系统安全带来巨大威胁。2016年，黑客恶意控制了大量物联网终端，向美国推特等服务系统进行攻击，导致互联网大量服务器拒绝服务。2019年，俄罗斯电网被美国植入恶意程序，可直接威胁电网生产控制。2000年，澳大利亚污水处理厂无线接入水泵控制终端受非法网络诱骗，错误地将污水排放到公共环境中，导致污染。
4.尽管5g技术标准在安全防护方面进行了增强，例如采用了加密的imsi进行网络附着，允许行业用户进行二次认证的算法和协议定制，即可以采用用户自定义的算法/协议进行用户终端与aaa服务器之间的二次认证。5g通信系统仍面临多个安全风险。一方面，5g需要允许垂直行业的设备和网络使用其特有的接入技术，终端接入认证需要跨越底层异构多层无线接入网络认证结构，需要研究建立5g的统一密钥体系，为各种设备提供统一接入认证服务，实现多场景海量终端的灵活高效身份鉴权。另一方面，容易遭受针对以无线信号为载体对信息内容篡改、假冒、中间人转发和重放等形式的无线接入攻击，传统的认证与数据完整性保护方案如aka、eps aka等，本质上是利用基于身份索引的密钥对信令和数据打上包含用户身份信息的标签，一旦根密钥泄露认证参数将失效，通过窃听aka认证的过程即可推衍出后续保护密钥，威胁网络安全。


技术实现要素：

5.本发明实施例的目的是提供一种变电站边缘网络环境下终端分布式跨域认证方法及系统，该认证方法及系统能够提高变电站边缘网络通信的安全性。
6.为了实现上述目的，本发明实施例提供一种变电站边缘网络环境下终端分布式跨域认证方法，包括：
7.获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数；
8.将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函
数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对，以确定当前是否存在非法干扰或非法盗用的恶意行为。
9.可选地，将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括：
10.确定用于表示系统处于安全状态下的参考信号接收功率、业务流量以及位置信息的概率密度估计函数的合法终端历史运行状态；
11.采用滑动窗函数从所述合法终端历史运行状态中采样，以获取用于与获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的采样数据。
12.可选地，所述认证方法包括：
13.采用公式(1)表示所述参考信号接收功率的概率密度函数，
[0014][0015]
其中，f
rsrp
(x1)为所述参考信号接收功率的概率密度函数，为参考信号接收功率的方差，x1为参考信号接收功率的滑动采样的采样值；
[0016]
采用公式(2)表示所述参考信号接收功率的极大似然估计，
[0017][0018]
其中，为概率密度函数f
rsrp
(x1)对应的极大似然估计，t为采样时刻，w为滑动窗函数的窗长，v为滑动窗函数的步长，为所述参考信号接收功率的采样值。
[0019]
可选地，所述认证方法包括：
[0020]
采用公式(3)表示所述业务流量的概率密度函数，
[0021][0022]
其中，f
data
(x2)为业务流量的概率密度函数，x2为业务流量的采样值，为概率密度函数f
data
(x2)对应的方差，
μ2
为概率密度函数f
data
(x2)对应的均值；
[0023]
采用公式(4)和公式(5)表示概率密度函数f
data
(x2)对应的最大似然估计，
[0024][0025][0026]
其中，为概率密度函数f
data
(x2)对应的最大似然估计，t为采样时刻，w为滑动窗函数的窗长，v为滑动窗函数的步长，为业务流量的采样值。
[0027]
可选地，将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行
比对包括：
[0028]
根据公式(6)计算获取的所述当前参考信号接收功率以及业务流量概率密度估计函数与预设的参考信号接收功率以及业务流量的概率密度估计函数的密度估计散度，
[0029][0030]
其中，diff为密度离散度，xn为参考信号接收功率或业务流量的采样值，h1为预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数，f为散度公式；
[0031]
根据公式(7)计算终端信号强度参考信号接收功率以及业务流量信度，
[0032][0033]
其中，cln为参考信号接收功率或业务流量的采样值。
[0034]
可选地，将获取的所述当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对包括：
[0035]
根据公式(8)计算位置信息可信度，
[0036][0037]
其中，cl3为所述位置信息可信度，s2为以实时上报位置坐标信息为圆心，预定长度r为半径的圆的面积，s1为以终端安装位置的坐标信息为圆心，预定长度r为半径的圆的面积，∩为两个圆的交集运算。
[0038]
可选地，所述认证方法还包括：
[0039]
smf从ue签约信息中获取二次认证请求信息，并向aaa服务器发起二次认证请求；
[0040]
aaa服务器对网络标识nwkid的哈希值h、时间戳、应用层帧序号采用私钥加密，封装在eap-request消息中，并发送给终端；
[0041]
终端接收到eap-request消息中的网络标识nwkid的哈希值h、时间戳、应用层帧序号的加密数据，利用安全芯片中的网络公钥解密，校验时间戳、应用层帧序号是否为当前值，并检查网络标识nwkid是否合法；
[0042]
终端按照实现约定要求，将终端标识tid的哈希值h、位置信息、时间戳、业务请求类型、应用层帧序号用终端私钥加密后封装于eap-response消息中并发送给aaa服务器；
[0043]
aaa服务器通过接收eap-response消息，并利用终端公钥解密获得终端位置信息，校验时间戳、应用层帧序号是否为当前值，并检查终端标识tid是否合法，结合当前对终端接收信号强度rsrp采样值计算终端位置与接收信号强度的可信度，当可信度超过一定预设值且tid合法时，则认为终端身份合法，建立pdu会话；
[0044]
在smf的协助下，终端建立到数据网络的数据链路，并开始传输业务，aaa服务器通过侦听业务流量分布，计算其可信度，当可信度超过一定预设值时，保持终端通信链路，否则通知smf阻断终端会话链路，eap-success/failure消息中封装了阻断信号，分别发送至smf和终端。
[0045]
另一方面，本发明还提供一种变电站边缘网络环境下终端分布式跨域认证系统，
所述认证系统包括处理器，所述处理器用于执行如上述任一所述的认证方法。
[0046]
再一方面，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有指令，所述指令用于被机器读取以使得所述机器执行如上述任一所述的认证方法。
[0047]
通过上述技术方案，本发明提供的变电站边缘网络环境下终端分布式跨域认证方法及系统通过将5g网络中的参考信号接收功率、业务流量以及位置信息相结合，并通过与预设的参考信号接收功率、业务流量以及位置信息进行比对，从而确定当前是否存在非法干扰或非法盗用的恶意行为。相较于现有技术而言，本发明提供的认证方法及系统通过结合电力业务终端的硬件特点，分析其参考信号接收功率、业务流量以及位置信息的特点，实现了非法干扰和非法盗用的监测，克服了现有技术中无有效方法进行监测的技术缺陷。
[0048]
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
[0049]
附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：
[0050]
图1是根据本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的流程图；
[0051]
图2是根据本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的二次认证的方法的流程图。
具体实施方式
[0052]
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。
[0053]
如图1所示本发明的一个实施方式的变电站边缘网络环境下终端分布式跨域认证方法的流程图。在该图1中，该认证方法可以包括：
[0054]
在步骤s10中，获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数；
[0055]
在步骤s11中，将获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对，以确定当前是否存在非法干扰或非法盗用的恶意行为。
[0056]
在该图1中，步骤s10用于获取一段时间窗的当前参考信号接收功率、业务流量以及位置信息的概率密度函数。其中对于参考信号接收功率、业务流量以及位置信息的概率密度函数的具体形式，则可以是本领域人员所知的多种。在本发明的一个优选示例中，参考信号接收功率的概率密度函数可以表示为公式(1)，
[0057][0058]
其中，f
rsrp
(x1)为参考信号接收功率的概率密度函数，为参考信号接收功率的方差，x1为参考信号接收功率的滑动采样的采样值。
[0059]
该参考信号接收功率的概率密度函数的极大似然估计可以表示为公式(2)，
[0060][0061]
其中，为概率密度函数f
rsrp
(x1)对应的极大似然估计，t为采样时刻，w为滑动窗函数的窗长，v为滑动窗函数的步长，为参考信号接收功率的采样值。
[0062]
在本发明的一个示例中，业务流量的概率密度函数可以表示为公式(3)，
[0063][0064]
其中，f
data
(x2)为业务流量的概率密度函数，x2为业务流量的采样值，为概率密度函数f
data
(x2)对应的方差，
μ2
为概率密度函数f
data
(x2)对应的均值；
[0065]
采用公式(4)和公式(5)表示概率密度函数f
data
(x2)对应的最大似然估计，
[0066][0067][0068]
其中，为概率密度函数f
data
(x2)对应的最大似然估计，t为采样时刻，w为滑动窗函数的窗长，v为滑动窗函数的步长，为业务流量的采样值。
[0069]
在本发明的一个示例中，该位置信息的概率密度函数可以表示为公式(6)，
[0070][0071]
其中，cl3为位置信息可信度，即概率密度函数，s2为以实时上报位置坐标信息为圆心，预定长度r为半径的圆的面积，s1为以终端安装位置的坐标信息为圆心，预定长度r为半径的圆的面积，∩为两个圆的交集运算。
[0072]
步骤s11可以用于判断当前是否出现非法干扰、非法盗用等恶意行为。对于该步骤s11中的预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数，可以是先确定用于表示系统处于安全状态下的参考信号接收功率、业务流量以及位置信息的概率密度估计函数的合法终端历史运行状态，再采用滑动窗函数从合法终端历史运行状态中采样，以获取用于与获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的采样数据。至于如果将获取的当前参考信号接收功率、业务流量以及位置信息的概率密度估计函数与预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数进行比对的具体方式，则可以是本领域人员所知的多种形式。在本发明的一个示例中，基于公式(1)至公式(6)所示出的概率密度函数，该比对过程可以是先根据公式(7)计算获取的当前参考信号接收功率以及业务流量概率密度估计函数与预设的参考信号接收功率以及业务流量的概率密度估计函数的密度估计散度，
[0073]
[0074]
其中，diff为密度离散度，xn为参考信号接收功率或业务流量的采样值，h1为预设的参考信号接收功率、业务流量以及位置信息的概率密度估计函数，f为散度公式。再根据公式(8计算终端信号强度参考信号接收功率以及业务流量信度，
[0075][0076]
其中，cln为参考信号接收功率或业务流量的采样值。
[0077]
另外，为了提高本发明提供的认证方法的可信度，该认证方法可以包括二次认证的过程，该二次认证的过程可以是包括如图2所示出的步骤。在该图2中，该二次认证的过程可以包括：
[0078]
在步骤s20中，smf(session management function，会话管理功能模块)从ue签约信息中获取二次认证请求信息，并向aaa(authenticationauthorizationaccounting，验证、授权和记账)服务器发起二次认证请求；
[0079]
在步骤s21中，aaa服务器对网络标识nwkid的哈希值h、时间戳、应用层帧序号采用私钥加密，封装在eap-request消息中，并发送给终端。
[0080]
在步骤s22中，终端接收到eap-request消息中的网络标识nwkid的哈希值h、时间戳、应用层帧序号的加密数据，利用安全芯片中的网络公钥解密，校验时间戳、应用层帧序号是否为当前值，并检查网络标识nwkid是否合法；
[0081]
在步骤s23中，终端按照实现约定要求，将终端标识tid的哈希值h、位置信息、时间戳、业务请求类型、应用层帧序号用终端私钥加密后封装于eap-response消息中并发送给aaa服务器；
[0082]
在步骤s24中，aaa服务器通过接收eap-response消息，并利用终端公钥解密获得终端位置信息，校验时间戳、应用层帧序号是否为当前值，并检查终端标识tid是否合法，结合当前对终端接收信号强度rsrp采样值计算终端位置与接收信号强度的可信度，当可信度超过一定预设值且tid合法时，则认为终端身份合法，建立pdu会话；
[0083]
在步骤s25中，在smf的协助下，终端建立到数据网络的数据链路，并开始传输业务，aaa服务器通过侦听业务流量分布，计算其可信度，当可信度超过一定预设值时，保持终端通信链路，否则通知smf阻断终端会话链路，eap-success/failure消息中封装了阻断信号，分别发送至smf和终端。
[0084]
另一方面，本发明还提供一种变电站边缘网络环境下终端分布式跨域认证系统，所述认证系统包括处理器，所述处理器用于执行如上述任一所述的认证方法。
[0085]
再一方面，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有指令，所述指令用于被机器读取以使得所述机器执行如上述任一所述的认证方法。
[0086]
通过上述技术方案，本发明提供的变电站边缘网络环境下终端分布式跨域认证方法及系统通过将5g网络中的参考信号接收功率、业务流量以及位置信息相结合，并通过与预设的参考信号接收功率、业务流量以及位置信息进行比对，从而确定当前是否存在非法干扰或非法盗用的恶意行为。相较于现有技术而言，本发明提供的认证方法及系统通过结合电力业务终端的硬件特点，分析其参考信号接收功率、业务流量以及位置信息的特点，实现了非法干扰和非法盗用的监测，克服了现有技术中无有效方法进行监测的技术缺陷。
[0087]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序
产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0088]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0089]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0090]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0091]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0092]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
[0093]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0094]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0095]
以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。