物联网设备可信入网方法、装置、服务器及存储介质

技术领域

本发明实施例涉及物联网通信技术领域，尤其涉及一种物联网设备可信入网方法、装置、服务器及存储介质。

背景技术

随着5G技术的快速发展，边缘计算、人工智能、区块链等技术也蓬勃发展。近些年，每个连接设备的传感器数量呈指数级增长，预计到2027年，全球传感器总数将达到近100万亿个。在物联网背景下，网中无论是配电侧、变电站侧还是输电侧，设备、线路以及网络均通过物联网中的传感器、摄像头等进行实时的监控与管理。然而，海量物联网设备的出现带来了巨大的挑战，物联网设备如何安全的互联是一个值得思考的问题，例如传感器与摄像头本身计算能力弱，已有的安全机制并不适用。现有可信接入方案并未考虑大规模终端场景，此外所设计方案受到传统WIFI接入点限制，无法进行在线决策，效率低。

发明内容

鉴于此，为解决上述技术问题或部分技术问题，本发明实施例提供一种物联网设备可信入网方法、装置、服务器及存储介质。

第一方面，本发明实施例提供一种物联网设备可信入网方法，包括：

获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态；

基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略；

基于所述入网策略控制每个待入网的物联网设备进行可信入网。

在一个可能的实施方式中，所述方法还包括：

基于所述服务质量需求和所述网络状态，通过预训练的终端接入模型，确定所述网络状态下每个入网动作对应的收益值；

将收益值最大的入网动作作为所述网络状态下的每个待入网的物联网设备对应的入网策略。

在一个可能的实施方式中，所述方法还包括：

基于所述服务质量需求和所述网络状态，确定多个入网动作；

基于预训练的终端接入模型，通过动作状态价值函数计算每个入网动作对应的收益值。

在一个可能的实施方式中，所述方法还包括：

执行所述入网策略对应的入网动作，对每个待入网的物联网设备进行鉴权；

在鉴权通过时，控制每个待入网的物联网设备进行入网。

在一个可能的实施方式中，所述方法还包括：

接收无线接入节点获取到的每个待入网的物联网设备发送的入网请求信息；

对所述入网请求信息进行完整性检测，在完整性检测通过后向所述无线接入节点发送设备加入接受信息，以使所述无线接入节点基于所述设备加入接受信息控制每个待入网的物联网设备进行入网。

在一个可能的实施方式中，所述方法还包括：

检测每个待入网的物联网设备的信号参数是否正常；

若所述信号参数异常，则拒绝异常信号参数对应的待入网的物联网设备的入网请求。

在一个可能的实施方式中，所述方法还包括：

当某一无线接入节点的网络状态不能满足其他物联网设备的入网需求时，将其他物联网设备的入网需求切换至与该某一无线接入节点存在可信关系的其他无线接入节点。

第二方面，本发明实施例提供一种物联网设备可信入网装置，包括：

获取模块，用于获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态；

确定模块，用于基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略；

控制模块，用于基于所述入网策略控制每个待入网的物联网设备进行可信入网。

在一个可能的实施方式中，所述确定模块，还用于基于所述服务质量需求和所述网络状态，通过预训练的终端接入模型，确定所述网络状态下每个入网动作对应的收益值；将收益值最大的入网动作作为所述网络状态下的每个待入网的物联网设备对应的入网策略。

在一个可能的实施方式中，所述确定模块，还用于基于所述服务质量需求和所述网络状态，确定多个入网动作；基于预训练的终端接入模型，通过动作状态价值函数计算每个入网动作对应的收益值。

在一个可能的实施方式中，所述控制模块，还用于执行所述入网策略对应的入网动作，对每个待入网的物联网设备进行鉴权；在鉴权通过时，控制每个待入网的物联网设备进行入网。

在一个可能的实施方式中，所述控制模块，还用于接收无线接入节点获取到的每个待入网的物联网设备发送的入网请求信息；对所述入网请求信息进行完整性检测，在完整性检测通过后向所述无线接入节点发送设备加入接受信息，以使所述无线接入节点基于所述设备加入接受信息控制每个待入网的物联网设备进行入网。

在一个可能的实施方式中，所述控制模块，还用于检测每个待入网的物联网设备的信号参数是否正常；若所述信号参数异常，则拒绝异常信号参数对应的待入网的物联网设备的入网请求。

在一个可能的实施方式中，所述控制模块，还用于当某一无线接入节点的网络状态不能满足其他物联网设备的入网需求时，将其他物联网设备的入网需求切换至与该某一无线接入节点存在可信关系的其他无线接入节点。

第三方面，本发明实施例提供一种服务器，包括：处理器和存储器，所述处理器用于执行所述存储器中存储的物联网设备可信入网程序，以实现上述第一方面中所述的物联网设备可信入网方法。

第四方面，本发明实施例提供一种存储介质，包括：所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述第一方面中所述的物联网设备可信入网方法。

本发明实施例提供的物联网设备可信入网方案，通过获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态；基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略；基于所述入网策略控制每个待入网的物联网设备进行可信入网。相比于现有可信接入方案并未考虑大规模终端场景，并且方案受到传统WIFI接入点限制，无法进行在线决策，效率低的问题，由本方案，在线综合无线接入节点的信道状态、算力资源信息等多维参数进行入网决策，可以应对海量的物联网设备、提高物联网设备入网效率。

附图说明

图1为本发明实施例提供的一种电力物联网场景图；

图2为本发明实施例提供的一种物联网设备可信入网方法的流程示意图；

图3为本发明实施例提供的一种无线接入节点与物联网设备通信示意图；

图4为本发明实施例提供的一种无线接入节点的可信机制建立示意图；

图5为本发明实施例提供的一种物联网设备可信入网装置的结构示意图；

图6为本发明实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

图1为本发明实施例提供的一种电力物联网场景图，如图1所示，主要包括多个无线接入节点(WIFI接入节点)、多个智能终端(物联网设备)、WAPI服务器、网关服务器和边缘节点。考虑图1所示的电力物联网场景，针对物联网中海量物联网设备的动态管理问题，本发明实施例设计了基于强化学习的海量设备可信接入方法，针对物联网设备需要传输的数据进行加密，来达到数据保护的目的。首先基于强化学习理论对接入物联网设备进行分类，基于网络带宽、信道条件等确认哪些物联网设备适合接入哪些网络；其次，物联网设备可以通过共享密钥的方式进行安全认证接入；第三，在无线接入节点间建立信任关系，处于不同网关下的设备可以与其他设备互相通信，无需再次进行密钥的认证。

具体的，如图2为本发明实施例提供的一种物联网设备可信入网方法的流程示意图，包括：

S21、获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态。

本发明实施例中，引入强化学习机制，通过无线接入节点收集待入网的物联网设备的服务质量(Quality of Service，QoS)需求以及无线接入节点的网络状态，网络状态，最终决定物联网设备接入哪些无线接入节点进行数据传输。在本机制中，包括输入端、决策端以及输出端三个部分；输入端主要输入无线接入节点的信道状态、算力资源信息和物联网设备的服务质量需求信息；决策端主要由无线接入节点担任的智能体完成，在输入参数的驱动下，智能体进行策略选择，为物联网设备选择合适的无线接入节点进行鉴权；决策之后，输出端记录本次策略选择，同时生成一个奖励值，记录在智能体中。接下来对完成本机制的核心，即智能体进行详细介绍。

S22、基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略。

基于服务质量需求和网络状态，确定多个入网动作；基于预训练的终端接入模型，通过动作状态价值函数计算每个入网动作对应的收益值；将收益值最大的入网动作作为所述网络状态下的每个待入网的物联网设备对应的入网策略。

具体的，物联网中的每个无线接入节点均被看作一个智能体，每个智能体包含一个执行中心以及三种关键要素，即网络状态、动作序列、更新Q表，如图3所示。

网络状态s∈S指的是无线接入节点当前可用算力情况、信道状态信息，可通过智能体与周围设备通信获得；考虑到多终端的接入策略情况，定义Q(t)＝[q

在任意时刻t网络的状态模型可表示为S(t)＝{Q(t),H(t)},即在任意时刻的网络状态都可以由无线接入节点的算力、终端的信道状态信息来描述。

动作序列a∈A指的是动作序列集合，也即分配多少算力资源以及无线资源为用户的鉴权提供服务；假设x

在每一时刻，同一个无线接入节点智能体可能需要处理多个终端的数据，假设无线接入节点对不同终端的任务不加以区分，仅仅在不同的时刻分配计算能力来集中处理所有终端的数据，定义f

Q表指的是网络状态与可用资源之间的对应关系。

执行中心主要用于策略的执行，无线接入节点所处的网络状态是存在时变特性的，每个智能体可以根据获取的某一网络状态，从动作序列中选择合适的动作，以一定的概率转移到状态s'，最终选择该状态下最佳策略。入网动作结束后，智能体接受奖励

需要说明的是，一个合适的入网动作应该能带来较大的长期收益，根据这个原则，在训练阶段算法可以通过Bellman优化方程学习到一个动作-状态价值函数，表示某个状态下每个入网动作对应的长期收益。训练完成后，给定一个网络状态，利用动作-状态价值函数得到的收益值选择出长期收益最大的入网动作。

为了评估入网动作的有效性，

式中的w

注意，每一时刻终端只能接入相同的无线接入节点，但是为了适应终端的移动性，在不同的时刻终端可以接入不同的无线接入节点，因此，

S23、基于所述入网策略控制每个待入网的物联网设备进行可信入网。

检测每个待入网的物联网设备的信号参数是否正常；若信号参数异常，则拒绝异常信号参数对应的待入网的物联网设备的入网请求；接收正常信号参数的待入网的物联网设备发送的入网请求信息；对入网请求信息进行完整性检测，在完整性检测通过后向所述无线接入节点发送设备加入接受信息，以使所述无线接入节点基于所述设备加入接受信息控制每个待入网的物联网设备进行入网。

具体包括：

WAPI服务器接入鉴权：当物联网设备第一次接入网络时，通过WAPI服务器进行鉴权。采用共享密钥认证的方式，首先由物联网传感设备基于ECC生成密钥，其次对物联网设备进行鉴权，假设物联网终端设备中存储的信息包括：网络密钥NwkKey、服务密钥AppKey、设备ID、入网ID、设备地址信息DevAddr以及随机数Nonce，鉴定安全的设备以及密钥被存入接入节点的白名单中。具体鉴权流程如下：

第一步：物联网终端设备向无线接入点发送加入请求信息，这些信息包括入网ID、设备ID以及随机数，采用根密钥NwkKey计算数据完整性。

第二步：无线接入点将请求转发至WAPI服务器，加入服务器校验完整性信息，其中完整性信息指入网ID、设备ID以及随机数均包含。

第三步：WAPI服务器使用NwkKey和AppKey生成对应的会话密钥，并向终端设备返回生成会话密钥所需的随机数Nonce。WAPI服务器产生DevAddr等信息，并通过无线接入点向终端设备发送包含DevAddr、JoinNonce等信息的加入接受信息。

第五步：鉴权发现物联网终端设备合法，则完成接入。

无线接入节点可信机制建立：无线接入节点自身设置内生安全保障模块、白名单以及可信WIFI列表，安全保障模块中包含了信号处理和日志分析两个子模块，如图4所示。

在安全保障模块中，信号处理模块主要用于检测来自于物联网设备的信号，如果信号参数异常，那么则直接抛弃该信号，而不进行上层处理；信号参数异常指某个物联网设备被攻击或者被劫持后出现的异常情况，包括但不限于频繁发送信息、信号强度突然变强等情况。日志分析模块实时收集无线接入节点本地日志状态信息以及周围无线接入节点中的日志状态信息，通过配置匹配分析、SVM、HMM模型等对大量日志数据进行分析，当发现异常则进行提示或拒绝与周围无线接入节点进行物联网设备名单信息交换，同时在可信无线接入节点列表中删除该无线接入节点；白名单维护着各个无线接入节点认证安全的物联网设备；可信无线接入节点列表维护着无线接入节点认为安全的邻居无线接入节点，无线接入节点之间周期性的交互日志信息以及白名单(已进行认证的物联网设备)信息，如果无线接入节点通过日志分析以及信号检测，分析邻居无线接入节点是安全的，那么该无线接入节点仍保存在可信无线接入节点列表中，否则，该无线接入节点被删除，无线接入节点对应的白名单也将被删除。

物联网终端可信切换：考虑当前无线接入节点资源往往有限，那么当本地无线接入节点由于物联网设备量过大而无法满足某一物联网设备接入需求时，该物联网设备可切换至其他可信无线接入节点，无需进行鉴权，即可完成数据的传输，从而降低了无线接入节点鉴权的资源消耗以及物联网设备的数据传输时延。

本发明实施例提供的物联网设备可信入网方法，通过获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态；基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略；基于所述入网策略控制每个待入网的物联网设备进行可信入网。相比于现有可信接入方案并未考虑大规模终端场景，并且方案受到传统WIFI接入点限制，无法进行在线决策，效率低的问题，由本方法，在线综合无线接入节点的信道状态、算力资源信息等多维参数进行入网决策，可以应对海量的物联网设备、提高物联网设备入网效率。

图5示出了本发明实施例的一种物联网设备可信入网装置的结构示意图。如图5所示，该装置包括：

获取模块501，用于获取待入网的物联网设备的服务质量需求以及无线接入节点的网络状态。详细说明参见上述方法实施例对应的相关描述，此处不再赘述。

确定模块502，用于基于所述服务质量需求和所述网络状态，确定每个待入网的物联网设备对应的入网策略。详细说明参见上述方法实施例对应的相关描述，此处不再赘述。

控制模块503，用于基于所述入网策略控制每个待入网的物联网设备进行可信入网。详细说明参见上述方法实施例对应的相关描述，此处不再赘述。

本发明实施例提供的物联网设备可信入网装置，用于执行上述实施例提供的物联网设备可信入网方法，其实现方式与原理相同，详细内容参见上述方法实施例的相关描述，不再赘述。

图6示出了本发明实施例的一种服务器，如图6所示，该服务器可以包括处理器901和存储器902，其中处理器901和存储器902可以通过总线或者其他方式连接，图6中以通过总线连接为例。

处理器901可以为中央处理器(Central Processing Unit，CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器902作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中所提供方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的方法。

存储器902可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器901所创建的数据等。此外，存储器902可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器902可选包括相对于处理器901远程设置的存储器，这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

一个或者多个模块存储在存储器902中，当被处理器901执行时，执行上述方法实施例中的方法。

上述服务器具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解，此处不再赘述。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-StateDrive，SSD)等；存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。