一种雾计算平台用户安全管理系统及方法与流程

1.本发明涉及雾计算技术领域，具体涉及一种雾计算平台用户安全管理系统及方法。


背景技术：

2.雾计算是一种对云计算概念的延伸，它主要使用的是边缘网络中的设备，数据传递具有极低时延。雾计算具有辽阔的地理分布，带有大量网络节点的大规模传感器网络。雾计算移动性好，手机和其他移动设备可以互相之间直接通信，信号不必到云端甚至基站去绕一圈，支持很高的移动性。
3.雾计算将云计算的功能扩展到网络边缘，是各类物联网应用的最佳解决方案。但是雾计算独特的特性也带来了新的安全性问题，特别是雾计算平台用户远程访问管理问题。雾计算应用环境中，远程用户常常通过雾节点访问某个物联网设备，例如，远程用户使用手机访问智能家居中的设备。在这样的应用场景中，需要对远程用户进行身份认证，并保证远程用户、雾节点和设备之间的安全访问通信。
4.在雾计算平台，对远程用户的访问管理是在雾节点的协作下完成，而雾节点不被认为是完全可信的，因为它们常部署在公共场所，易受到各种攻击，存在安全隐患，因此，为了保证用户、雾节点和设备之间的安全访问，需要一种适合雾计算平台的用户访问安全管理系统。


技术实现要素：

5.本发明的目的在于提供一种雾计算平台用户安全管理系统及方法，用以解决以下技术问题：
6.如何提供一种能够保证远程用户、雾节点和设备之间安全访问通信的用户访问安全管理系统。
7.本发明的目的可以通过以下技术方案实现：
8.一种雾计算平台用户安全管理系统，包括：
9.注册模块，用于对远程用户的移动设备进行注册；
10.物联网设备，用于采集环境的数据，并传输至雾节点；
11.远程用户，用于利用所述移动设备通过所述雾节点访问所述物联网设备的相关数据并实施控制；
12.雾节点，用于接收所述物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析，以及管理所述远程用户访问所述物联网设备；
13.其中，所述雾节点部署在所述物联网设备周围，每个所述雾节点可连接一个或者多个所述物联网设备。
14.优选地，所述注册模块对所述远程用户的移动设备进行注册的过程为：
15.所述注册模块获取请求进行注册的移动设备的硬件信息，并检测获取的所述硬件
信息是否有效：
16.若有效，则生成所述移动设备对应的网络标识和随机产生的加密序号，发送给所述移动设备和所述雾节点进行存储；
17.若无效，则拒绝注册。
18.优选地，所述远程用户利用所述移动设备通过所述雾节点访问所述物联网设备的过程为：
19.所述远程用户通过所述移动设备向所述雾节点发出访问所述物联网设备的请求信息；
20.所述雾节点接收所述请求信息，并读取所述移动设备的硬件信息用以判断所述移动设备是否已注册：
21.若已注册，对已注册的所述移动设备进行双向认证，允许双向认证成功后的所述移动设备进行访问请求，拒绝双向认证失败的所述移动设备进行访问请求；
22.若未注册，拒绝没有注册的所述移动设备进行访问请求。
23.优选地，对已注册的所述移动设备进行双向认证的过程为：
24.所述雾节点读取所述移动设备的硬件信息，并向所述移动设备发送存储的与所读取的所述移动设备的硬件信息关联的网络标识；
25.所述移动设备接收所述网络标识后，比对所述网络标识与注册时所存储的网络标识是否相同：
26.若相同，向所述雾节点发送注册时所存储的加密序号，所述雾节点接收所述加密序号并对比所接收到的加密序号是否与所述移动设备注册时所存储的加密序号相同：
27.若相同，则双向认证成功；
28.否则，双向认证失败；
29.否则，不发送加密序号，双向认证失败。
30.优选地，所述雾节点允许双向认证成功后的所述移动设备进行访问请求之后还包括：
31.所述雾节点根据所述移动设备的请求信息获取所述移动设备访问的物联网设备的设备信息；
32.根据所述设备信息查询所述移动设备的历史访问信息，并根据所述历史访问信息判断所述移动设备的状态是否正常；
33.其中，所述历史访问信息包括所述移动设备的历史ip数据、日访问量和历史控制数据量。
34.优选地，根据所述历史访问信息判断所述移动设备的状态是否正常的过程为：
35.根据历史ip数据和当前访问数据获取所述移动设备在特定时段内访问所述物联网设备的ip种类数量a、访问ip与上次访问不同的数量b以及访问的总次数c；
36.通过公式计算出访问稳定参考阈值x0；
37.在当前访问稳定值x≥x0时，判断访问状态异常并发出验证信息；
38.否则，判断访问状态正常；
39.其中，α1为预设系数。
40.优选地，所述根据所述历史访问信息判断所述移动设备的状态是否正常的过程还包括：
41.根据所述历史控制数据量计算出每次数据控制量平均值及极差
42.通过公式计算出控制量上限值c
up
；
43.在当前控制数据量c≥c
up
时，判断控制状态异常并发出验证信息；
44.否则，判断控制状态正常；
45.其中，α2为预设系数。
46.一种雾计算平台用户安全管理方法，包括：
47.通过注册模块对远程用户的移动设备进行注册；
48.远程用户利用所述移动设备通过雾节点访问物联网设备的相关数据并实施控制；
49.物联网设备采集环境的数据，并传输至雾节点，雾节点接收所述物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析，以及管理所述远程用户访问所述物联网设备。
50.本发明的有益效果：
51.该雾计算平台用户安全管理系统及方法，通过注册模块对远程用户的移动设备进行注册，远程用户利用注册后的移动设备通过雾节点访问物联网设备的相关数据并实施控制，接收请求信息前，雾节点控制该移动设备的访问，并与该远程用户的移动设备进行相互认证，以提高了远程用户与雾节点之间的安全通信；接收请求信息后，对该移动设备的访问状态和控制状态进行分析，从而对远程用户与设备之间的通信进行安全分析和控制，进而能够有效地认证远程用户身份，并实现远程用户和被访问设备之间的安全通信。
附图说明
52.下面结合附图对本发明作进一步的说明。
53.图1为本发明的模块连接示意图。
具体实施方式
54.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
55.请参阅图1所示，本发明为一种雾计算平台用户安全管理系统，包括：
56.注册模块，用于对远程用户的移动设备进行注册；
57.物联网设备，用于采集环境的数据，并传输至雾节点；
58.远程用户，用于利用移动设备通过雾节点访问物联网设备的相关数据并实施控制；
59.雾节点，用于接收物联网设备采集的数据，并对数据进行计算、传输、临时存储和实时分析，以及管理远程用户访问物联网设备；
60.其中，雾节点部署在物联网设备周围，每个雾节点可连接一个或者多个物联网设备。
61.通过上述技术方案，本实施例通过注册模块对远程用户的移动设备进行注册，远程用户利用注册后的移动设备通过雾节点访问物联网设备的相关数据并实施控制，接收请求信息前，雾节点控制该移动设备的访问，并与该远程用户的移动设备进行相互认证，以提高了远程用户与雾节点之间的安全通信；接收请求信息后，对该移动设备的访问状态和控制状态进行分析，从而对远程用户与设备之间的通信进行安全分析和控制，进而能够有效地认证远程用户身份，并实现远程用户和被访问设备之间的安全通信。
62.注册模块对远程用户的移动设备进行注册的过程为：
63.注册模块获取请求进行注册的移动设备的硬件信息，并检测获取的硬件信息是否有效：
64.若有效，则生成移动设备对应的网络标识和随机产生的加密序号，发送给移动设备和雾节点进行存储；
65.若无效，则拒绝注册。
66.通过上述技术方案，注册模块获取请求进行注册的移动设备的硬件信息，如设备序列号、型号和生产商等，检测该获取的硬件信息是否有效，如无效则拒绝注册，如有效则生成该移动设备对应的网络标识和随机产生的加密序号，发送给移动设备和雾节点进行存储，该网络标识是作为双向认证的私钥固化在移动设备中，加密序号存储在移动设备的加密区。
67.远程用户利用移动设备通过雾节点访问物联网设备的过程为：
68.远程用户通过移动设备向雾节点发出访问物联网设备的请求信息；
69.雾节点接收请求信息，并读取移动设备的硬件信息用以判断移动设备是否已注册：
70.若已注册，对已注册的移动设备进行双向认证，允许双向认证成功后的移动设备进行访问请求，拒绝双向认证失败的移动设备进行访问请求；
71.若未注册，拒绝没有注册的移动设备进行访问请求。
72.通过上述技术方案，雾节点通过读取发出请求信息的移动设备的硬件信息，用以判断移动设备是否已注册，若已注册，对已注册的移动设备进行双向认证，允许双向认证成功后的移动设备进行访问请求，拒绝双向认证失败的移动设备进行访问请求；若未注册，拒绝没有注册的移动设备进行访问请求，从而对没有注册的设备进行阻隔，拒绝未知用户访问，防止未知用户存在不可控的安全隐患。
73.对已注册的移动设备进行双向认证的过程为：
74.雾节点读取移动设备的硬件信息，并向移动设备发送存储的与所读取的移动设备的硬件信息关联的网络标识；
75.移动设备接收网络标识后，比对网络标识与注册时所存储的网络标识是否相同：
76.若相同，向雾节点发送注册时所存储的加密序号，雾节点接收加密序号并对比所接收到的加密序号是否与移动设备注册时所存储的加密序号相同：
77.若相同，则双向认证成功；
78.否则，双向认证失败；
79.否则，不发送加密序号，双向认证失败。
80.通过上述技术方案，提供了一种远程用户通过移动设备与雾节点进行双向认证的
方法，具体的，雾节点读取移动设备的硬件信息，并向移动设备发送存储的与所读取的移动设备的硬件信息关联的网络标识，移动设备接收网络标识后，比对网络标识与注册时所存储的网络标识是否相同，若相同，向雾节点发送注册时所存储的加密序号，雾节点接收加密序号并对比所接收到的加密序号是否与移动设备注册时所存储的加密序号相同，若相同，则双向认证成功，通过上述技术方案，雾节点通过发送网络标识给移动设备以实现移动设备对雾节点的认证，移动设备再发送加密序号给雾节点以实现雾节点对移动设备的认证，从而提高了远程用户与雾节点之间的安全通信，具有较高的安全性，且不需要依赖于第三方认证中心，具有较高的认证效率。
81.雾节点允许双向认证成功后的移动设备进行访问请求之后还包括：
82.雾节点根据移动设备的请求信息获取移动设备访问的物联网设备的设备信息；
83.根据设备信息查询移动设备的历史访问信息，并根据历史访问信息判断移动设备的状态是否正常；
84.其中，历史访问信息包括移动设备的历史ip数据、日访问量和历史控制数据量。
85.通过上述技术方案，在允许双向认证成功后的移动设备进行访问请求之后，根据设备信息查询移动设备的历史访问信息，从而通过历史访问信息对该移动设备的访问状态和控制状态进行分析，进而对远程用户与设备之间的通信进行安全分析和控制。
86.根据历史访问信息判断移动设备的状态是否正常的过程为：
87.根据历史ip数据和当前访问数据获取移动设备在特定时段内访问物联网设备的ip种类数量a、访问ip与上次访问不同的数量b以及访问的总次数c；
88.通过公式计算出访问稳定参考阈值x0；
89.在当前访问稳定值x≥x0时，判断访问状态异常并发出验证信息；
90.否则，判断访问状态正常；
91.其中，α1为预设系数。
92.通过上述技术方案，提供了一种访问状态异常分析方法，具体的，根据历史ip数据和当前访问数据获取移动设备在特定时段内访问物联网设备的ip种类数量a、访问ip与上次访问不同的数量b以及访问的总次数c，通过公式计算出访问稳定参考阈值x0，显然，在当前访问稳定值x≥x0时，说明移动设备访问变的ip数量越大时，每次访问ip相对上次访问变化的次数b相对访问的总次数c占比越大时，即越大，说明该移动设备的ip变动频率越大，即存在异常，因此判断访问状态异常，并发出验证信息对远程用户的身份重新进行安全确认，当验证合格后重新发出请求信息进行访问，通过此种方式，提高了远程用户与设备之间的安全通信，加强了雾计算平台中的远程用户访问设备的安全管理。
93.需要说明的是，上述技术方案中，对远程用户的身份重新进行安全确认的方式可通过多种现有的验证方式实现，在此不作详述，α1为预设系数根据实验数据拟合计算获得。
94.根据历史访问信息判断移动设备的状态是否正常的过程还包括：
95.根据历史控制数据量计算出每次数据控制量平均值及极差
96.通过公式计算出控制量上限值c
up
；
97.在当前控制数据量c≥c
up
时，判断控制状态异常并发出验证信息；
98.否则，判断控制状态正常；
99.其中，α2为预设系数。
100.通过上述技术方案，提供了一种控制状态异常分析方法，具体的，根据历史控制数据量计算出每次数据控制量平均值及极差通过公式计算出控制量上限值c
up
，因此通过控制量上限值c
up
与当前控制数据量c的比对，进而能够确定当前控制数据量是否异常，显然，在当前控制数据量c≥c
up
时，说明当前控制的数据量相对于历史数据偏大，即存在异常，因此判断控制状态异常，并发出验证信息对远程用户的身份重新进行安全确认，当验证合格后重新发出请求信息进行访问，通过此种方式，提高了远程用户与设备之间的安全通信，进一步加强了雾计算平台中的远程用户访问设备的安全管理。
101.需要说明的是，上述技术方案中，对远程用户的身份重新进行安全确认的方式可通过多种现有的验证方式实现，在此不作详述，α2为预设系数根据实验数据拟合计算获得。
102.一种雾计算平台用户安全管理方法，包括：
103.通过注册模块对远程用户的移动设备进行注册；
104.远程用户利用移动设备通过雾节点访问物联网设备的相关数据并实施控制；
105.物联网设备采集环境的数据，并传输至雾节点，雾节点接收物联网设备采集的数据，并对数据进行计算、传输、临时存储和实时分析，以及管理远程用户访问物联网设备。
106.以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

技术特征：
1.一种雾计算平台用户安全管理系统，其特征在于，包括：注册模块，用于对远程用户的移动设备进行注册；物联网设备，用于采集环境的数据，并传输至雾节点；远程用户，用于利用所述移动设备通过所述雾节点访问所述物联网设备的相关数据并实施控制；雾节点，用于接收所述物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析，以及管理所述远程用户访问所述物联网设备；其中，所述雾节点部署在所述物联网设备周围，每个所述雾节点可连接一个或者多个所述物联网设备。2.根据权利要求1所述的雾计算平台用户安全管理系统，其特征在于，所述注册模块对所述远程用户的移动设备进行注册的过程为：所述注册模块获取请求进行注册的移动设备的硬件信息，并检测获取的所述硬件信息是否有效：若有效，则生成所述移动设备对应的网络标识和随机产生的加密序号，发送给所述移动设备和所述雾节点进行存储；若无效，则拒绝注册。3.根据权利要求2所述的雾计算平台用户安全管理系统，其特征在于，所述远程用户利用所述移动设备通过所述雾节点访问所述物联网设备的过程为：所述远程用户通过所述移动设备向所述雾节点发出访问所述物联网设备的请求信息；所述雾节点接收所述请求信息，并读取所述移动设备的硬件信息用以判断所述移动设备是否已注册：若已注册，对已注册的所述移动设备进行双向认证，允许双向认证成功后的所述移动设备进行访问请求，拒绝双向认证失败的所述移动设备进行访问请求；若未注册，拒绝没有注册的所述移动设备进行访问请求。4.根据权利要求3所述的雾计算平台用户安全管理系统，其特征在于，对已注册的所述移动设备进行双向认证的过程为：所述雾节点读取所述移动设备的硬件信息，并向所述移动设备发送存储的与所读取的所述移动设备的硬件信息关联的网络标识；所述移动设备接收所述网络标识后，比对所述网络标识与注册时所存储的网络标识是否相同：若相同，向所述雾节点发送注册时所存储的加密序号，所述雾节点接收所述加密序号并对比所接收到的加密序号是否与所述移动设备注册时所存储的加密序号相同：若相同，则双向认证成功；否则，双向认证失败；否则，不发送加密序号，双向认证失败。5.根据权利要求4所述的雾计算平台用户安全管理系统，其特征在于，所述雾节点允许双向认证成功后的所述移动设备进行访问请求之后还包括：所述雾节点根据所述移动设备的请求信息获取所述移动设备访问的物联网设备的设备信息；
根据所述设备信息查询所述移动设备的历史访问信息，并根据所述历史访问信息判断所述移动设备的状态是否正常；其中，所述历史访问信息包括所述移动设备的历史ip数据、日访问量和历史控制数据量。6.根据权利要求5所述的雾计算平台用户安全管理系统，其特征在于，根据所述历史访问信息判断所述移动设备的状态是否正常的过程为：根据历史ip数据和当前访问数据获取所述移动设备在特定时段内访问所述物联网设备的ip种类数量a、访问ip与上次访问不同的数量b以及访问的总次数c；通过公式计算出访问稳定参考阈值x0；在当前访问稳定值x≥x0时，判断访问状态异常并发出验证信息；否则，判断访问状态正常；其中，α1为预设系数。7.根据权利要求6所述的雾计算平台用户安全管理系统，其特征在于，所述根据所述历史访问信息判断所述移动设备的状态是否正常的过程还包括：根据所述历史控制数据量计算出每次数据控制量平均值及极差通过公式计算出控制量上限值c
up
；在当前控制数据量c≥c
up
时，判断控制状态异常并发出验证信息；否则，判断控制状态正常；其中，α2为预设系数。8.一种雾计算平台用户安全管理方法，其特征在于，包括：通过注册模块对远程用户的移动设备进行注册；远程用户利用所述移动设备通过雾节点访问物联网设备的相关数据并实施控制；物联网设备采集环境的数据，并传输至雾节点，雾节点接收所述物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析，以及管理所述远程用户访问所述物联网设备。

技术总结
本发明涉及雾计算技术领域，公开了一种雾计算平台用户安全管理系统及方法，包括注册模块，用于对远程用户的移动设备进行注册；物联网设备，用于采集环境的数据，并传输至雾节点；远程用户，用于利用所述移动设备通过所述雾节点访问所述物联网设备的相关数据并实施控制；雾节点，用于接收所述物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析，以及管理所述远程用户访问所述物联网设备。该雾计算平台用户安全管理系统及方法，能够有效地认证远程用户身份，并实现远程用户和被访问设备之间的安全通信。被访问设备之间的安全通信。被访问设备之间的安全通信。


技术研发人员：方维平 郭庆
受保护的技术使用者：安徽微云信息技术有限公司
技术研发日：2023.08.04
技术公布日：2023/10/15