(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111588972.3 (22)申请日 2021.12.23 (71)申请人 国网浙江省电力有限公司信息通信 分公司 地址 310063 浙江省杭州市西湖区黄龙路8 号641室 申请人 浙江大学 (72)发明人 饶涵宇　周勃阳　张辰　毛冬　 陆鑫　陈艳姣　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 代理人 郑海峰 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)H04L 67/12(2022.01) H04L 67/141(2022.01) (54)发明名称 基于节点地图与边缘认证的电力物联网终 端设备分层认证方法 (57)摘要 本发明公开了一种基于节点地图与边缘认 证的电力物联网终端设备分层认证方法， 属于信 息安全技术领域。 物联管理平台首先依据多维度 特征对终端设备进行群组聚类划分， 从中产生边 缘认证节 点； 之后利用各接入设备的信息构建节 点地图， 由各边缘认证节点对其余设备进行一对 一认证， 最终完成物联管理平台、 边缘认证节点 与其余终端设备之间的信任链传递。 当新设备请 求接入时， 根据新设备的所属群组指定物联管理 平台或边缘认证节点对新设备执行认证流程。 本 发明充分利用了电力物联系统中的边缘计算资 源、 网络资源与存储资源， 降低了物联管理平台 的资源压力， 同时节约认证流程， 提升了认证效 率， 且对意图非法接入访问的恶意设备具有良好 的过滤与拒止作用。 权利要求书2页 说明书6页 附图2页 CN 114172742 A 2022.03.11 CN 114172742 A 1.一种基于节点地图与边缘认证的电力物联网终端设备分层认证方法， 其特征在于， 物联管理平台首先依据多维度特征对请求接入电力物联网的所有终端设备进行群组聚类 划分， 在所有终端设备中产生边缘认证节点； 之后物联管理平台利用所有终端设备 的信息 构建节点地图， 各边缘认证节点依据节点地图对其余设备进行基于身份信息的一对一认 证， 完成物联管理平台、 边缘认证节 点与其余 终端设备之 间的信任链传递， 任何不处于信任 链中的设备将被拒绝接入网络 。 2.根据权利要求1所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方 法， 其特征在于， 所述的分层认证方法具体包括如下步骤： 步骤1： 电力物联网首次建立时， 物联管理平台对下辖所有终端设备依据计算资源、 存 储资源、 网络资源的多维度信息构造特征向量， 对所有终端设备进行二分K ‑Means聚类， 分 为“资源充足 ”、“资源适中 ”、“资源匮乏 ”三种类别； 步骤2： 将物联管理平台作为系统信任链传递起点， 利用物联管理平台对步骤1产生的 “资源充足 ”组别中的终端设备进行基于身份信息的一对一认证； 对认证成功的终端设备标 记为边缘认证节点， 并赋予认证位于 “资源适中 ”、“资源匮乏 ”组别中的终端设备的权限； 步骤3： 计算各个边缘认证节点设备与其余终端设备间的距离d， 构建初始节点地图； 所 述的节点地图中的每一个节点代表一台待接入电力物联网系统的终端设备， 将除标记为边 缘认证节点之外的所有节点标记为未响应节点； 由物联管理平台将初始节点地图广播至各 个边缘认证节点； 步骤4： 由边缘认证节点对未响应节点进行一对一认证， 建立边缘认证节点与其余节点 的信任关系； 步骤5： 待新的终端设备请求接入 网络时， 计算请求接入设备与各个边缘认证节点间的 距离， 并更新节点地图； 判断请求接入设备的所属类别， 若请求接入设备属于 “资源充足 ”类 别， 则由物联管理平台对请求接入设备进行认证， 并将认证成功的新设备标记为边缘认证 节点； 若请求接入设备不属于 “资源充足 ”类别， 则由物联管理平台将新设备 的认证请求广 播至节点地图上所有处于信任链中的边缘认证节 点， 由距离新设备最近的边缘认证节点对 请求接入设备进行认证。 3.根据权利要求2所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方 法， 其特征在于， 步骤1所述的计算资源包括CPU 型号、 CPU平均占用率； 存储资源包括平均剩 余可用内存、 磁 盘占用率； 网络资源 包括网络带宽、 数据最大 吞吐量。 4.根据权利要求2所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方 法， 其特征在于， 所述的节点地图包括邻接矩阵以及 对应的状态向量； 节点地图的构建方式 包括： 获取各个终端设备的地理位置、 设备归属权、 设备类型、 设备功能、 设备型号以及固件 版本信息数据， 通过哈希函数映射至一维数字域， 得到表征每一个终端设备 的多维特征向 量； 将除边缘认证节点之外的其余节点与所有边缘认证节点一一相连， 根据多维特征向量 计算相连节点之间的距离， 存 储到大小为 N×N的邻接矩阵中， N表示所有终端设备的数量； 各个终端设备的状态类型构成长度为N的状态向量， 所述的状态类型包括边缘认证节 点、 未响应节点和已响应节点； 在初始 化的节点地图中， 除边缘认证节点之外的其余节点均权　利　要　求　书 1/2 页 2 CN 114172742 A 2标记为未响应节点。 5.根据权利要求4所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方 法， 其特征在于， 所述的步骤4具体为： 步骤4.1： 各个边缘认证节点依据节点地图对与其相连的未响应节点基于距离进行冒 泡排序， 并以由近及远的方式确定访问顺序； 各个边缘认证节点向节点地图上 的节点依 次 发送一对一认证请求， 若收到请求的设备未 曾回应其他边缘认证节点的认证请求， 则响应 该请求， 若已回应过其 他边缘认证节点的认证请求， 则忽略该请求； 步骤4.2： 边缘认证节点收到来自其他节点的响应后， 更新自身存储的节点地图中的状 态向量， 将已经响应请求的节点在状态向量中的状态从未响应状态更改为已响应状态， 同 时将更新后的状态向量发送回物联 管理平台； 步骤4.3： 物联管理平台将以单位时间t为间隔更新节点地图， 具体为： 物联管理平台会 整合时间t内收到的来自各个边缘节点的更新后的状态向量， 重新建立整体更新后的状态 向量， 并将其重新广播至各边缘认证节点， 由各边缘认证节 点更新其自身存储的状态向量， 减少边缘认证节点对其 余节点的重复访问； 步骤4.4： 重 复步骤4.1至4.3， 直至物联管理平台整合获得的节点地图中的状态向量不 再更新后， 物联管理平台向各边缘认证节点发送停止认证请求指令， 边缘认证节点停止发 送认证请求， 边缘认证节点与其余节 点间的信任关系构建完成， 至此物联管理平台、 边缘认 证节点、 其 余节点之间的信任传递链建立， 首次电力物联网构建完成。 6.根据权利要求4所述的基于节点地图与边缘认证的电力物联网终端设备分层认证方 法， 其特征在于， 所述的步骤5具体为： 步骤5.1： 物联管理平台获取请求接入设备的计算资源、 网络资源、 存储资源的多维度 信息， 计算与步骤1中所述的 “资源充足 ”、“资源适中 ”、“资源匮乏 ”三种组别的聚类中心点 的相关系数， 将 请求接入设备归类至相关系数最大的组别中； 步骤5.2： 利用请求接入设备的地理位置、 设备归属权、 设备类型、 设备功能、 设备型号 以及固件版本信息数据， 计算请求接入设备与各个边缘认证节点间的距离， 并在节点地图 上扩充代 表请求接入设备的新节点； 步骤5.3： 若新节点为处于 “资源丰富 ”组别中， 物联管理平台对新节点发送一对一认证 请求， 认证成功后， 将新节点标记为 新的边缘认证节点； 若新节点处于 “资源适中 ”或“资源匮乏 ”组别中， 则物联管理平台将新节点的认证请求 广播至节点地图上所有处于信任链中的边缘认证节点， 由节点地图中距离新节点最近的边 缘认证节点向新节 点发送一对一认证请求， 新节 点对认证请求响应， 则认证成功， 新节点加 入信任链； 若新节 点未对认证请求响应， 则认证失败， 物联管理平台将所述的新节点从节 点 地图中删除， 电力物联网拒绝 新终端设备的加入请求。权　利　要　求　书 2/2 页 3 CN 114172742 A 3