本发明专利技术公布了一种基于雾计算框架的增强通讯安全的方法及系统,系统包括:端点以及节点间的身份认证安全模块、查找表模块、可疑MAC地址隔离账本模块、私钥存储模块;通过去中心化的认证机制,对端点以及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点以及节点与节点之间的通讯安全,以防止恶意攻击和身份假冒。采用本发明专利技术技术方案,能够避免因第三方机构所产生额外的时间和带宽消耗,提升云终端和本地雾节点的处理效率;提高认证准确度,有助于建立更加及时的安全预防机制。
【技术实现步骤摘要】
一种基于雾计算的增强通讯安全的认证方法及系统
本专利技术属于加密认证技术、物联网安全、雾计算
,涉及节点和端点之间的身份确认以及通信安全机制的增进方法,尤其涉及一种基于雾计算框架的增进节点与端点以及节点与节点之间通讯安全的方法及系统。
技术介绍
雾计算的概念在2011年被人所提出,随后OpenFog联盟(OpenFogConsortium)便对雾计算做了明确的定义:雾计算是一种系统级的水平架构,它能够分配从云到物这一连续区域内任何地方的计算、存储、控制和网络的资源和服务,支持多个垂直行业和应用领域,将智慧与服务传递给用户和商业,使服务和应用分布得更加接近物层面,雾计算的结构从物开始延伸,包含网络边缘层、云以及多个协议层,不仅是特定协议层或端对端系统的一部分,而是跨越物联网和云的全面系统。开放OpenFog联盟广泛地定义雾计算,使其涵盖从IoT(Internetofthings)终端节点到云端服务的一切,其目标在于定义缩减回程通讯的方法,同时提供可靠的通讯与确定延迟,最终将使该联盟的提议触及从终端节点SoC(Systemonachip)的设计到网关与应用等一切。着眼当前的基础架构,雾节点和雾层可以出现在FaaS(FogasaService)中,如此每层的位置和节点部署,不再需要遵从单一的数据中心,然而分布式的数据存储及网络拓扑,也让用户和雾服务提供者面临安全的威胁。在开放雾计算参考架构(OpenFogReferenceArchitecture)中,公布了八大
其中又以安全为首要,思科(CiscoSystems)总工程师ChuckByers表示“在整整30页的附录中详细的要求主要都与安全有关,每家芯片与安全堆栈供货商应当仔细检查”无疑地,安全性在这项指标的参考基准中备受关注。随着物联网的到来,今后各种家庭电器中的传感器,以及嵌入在可穿戴设备里的传感器都会连网,将使云计算本质上的缺点越来越明显,如不能支持高移动性、不支持地理位置信息及高时延等。而雾计算正好能够解决这些问题,同时又可带来大量新的应用和服务。比如,1.增强现实;增强现实是在实际看到的现实世界的影像上再叠加一层信息,在极低的时延情况下需要进行实时复杂的视频运算,有人使用谷歌眼镜再配上“小云”设备,达到良好的用户体验效果。2.车联网的应用和部署要求丰富的连接方式和相互作用,如车到车、车到接入点(无线网络、3G、LTE(LongTermEvolution)、智能交通灯、导航卫星网络等),以及接入点到接入点。云计算需要大量带宽,而无线网络的带宽有限;而雾计算能够有效降低带宽量,使数据处理与存储尽可能本地化。大部分的数据流量可以分流,其中最有价值的信息仍通过云来传输,因此不仅可以大大提升效率,同时也可节省大量成本,应用场景如智能交通系统、智能电网甚至健康医疗系统等。尽管雾计算有很多优点,但未来大规模部署设备时仍不可避免会遇到各种问题,比如网络堵塞、软件架构、安全和隐私问题等。现有在雾计算框架下的计算存在着潜在安全性威胁。试想在智能交通系统当中,若存在恶意用户伪装成节点传送大量虚假信息,势必将造成交通信号的混乱,甚至于人员的伤亡;或是在无人的全自动化厂房中,透过不当手法向生产线中其他的机器传递错误信息,将会导致生产流程延宕以及原物料的浪费,造成大量的时间和金钱损失。
技术实现思路
为了克服上述现有技术的不足,本专利技术提供一种基于雾计算框架下的增强通讯安全的方法及系统,通过分析雾计算的现有底层相关工作,得出其中的安全和隐私不足之处,进一步提出增进节点与端点以及节点与节点之间的认证安全机制和通讯安全的方法。本专利技术提供的技术方案是:一种基于雾计算框架的增强通讯安全的方法,具体通过去中心化的认证机制,对端点以及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点以及节点与节点之间的通讯安全,以防止恶意攻击和身份假冒的危害;具体步骤如下:101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息,通过运行特定运算得到一数值S;S为每个节点的端点组态值,其算法定义为:S=∑(MAC(n)⊕T(n)⊕R(n)⊕C(n)),n=1,2,…,N。其中,MAC(n)表示某雾节点下第n个端点的MAC地址,T(n)表示第n个端点与某雾节点建立通信的起始时间,R(n)表示第n个端点联机时某雾节点所分发的随机数值,C(n)表示第n个端点在某雾节点子域内的端点联网状态,n表示某雾节点子域内之各联机端点的编号。因为算法中的四个参数单位不尽相同,需要先将其皆转化为相同的单位(48位的二进制数)之后,参数之间才能进行异或运算;102.本地雾节点中均存有查找表,负责保存以下四项信息:1.与本地雾节点连结的其他雾节点的网络名称或网络IP地址2.S值3.本地雾节点网域中已建立安全通信的端点MAC地址4.离开本地雾节点网域的端点MAC地址。103.当端点X离开本地雾节点时,将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中,除此之外端点联网状态(n)会有所改变,故需重新计算S值,并将上述三项改动结果储存于查找表中;104.本地雾节点用HASH函数对信息做计算,生成第一信息摘要,并使用SM2-1椭圆曲线数字签名技术对其进行数字签名,将签名后的第一信息摘要与信息发送给端点X;SM2是国家密码管理局发布的椭圆曲线公钥密码算法,其中包括:SM2-1椭圆曲线数字签名算法、SM2-2椭圆曲线密钥交换协议、SM2-3椭圆曲线公钥加密算法,分别用于数字签名、密钥协商、数据加密。本专利技术即采用SM2-1椭圆曲线数字签名算法对其进行数字签名,数字签名过程如下,其中1)~3)为数字签名的过程,步骤4)~7)为数字签名的验证过程:1)发送者使用一单向散列函数(HASH函数)对信息生成第一信息摘要;2)发送者使用自己的私钥对第一信息摘要做签名;3)发送者把信息本身并同已签名的第一信息摘要发送出去;4)接收者使用与发送者使用相同的单向散列函数(HASH函数),对接收的信息本身生成新的信息摘要,其为第二信息摘要;5)接收者使用信息发送者的公钥解密得到第一信息摘要;6)接收者将第一信息摘要与第二信息摘要进行验证比对;7)接收者根据比对结果,决定能否与端点X建立通信,即端点X能否加入新的雾节点;105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值;106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址纪录,标注其已经离开本地雾节点;107.本地雾节点将公钥发送给相同子网内其他雾节点,端点X才能够以此公钥对相同子网中其他雾节点作身份认证;108.当端点X要进入相同子网内某雾节点服务范围时,必须提交自己的MAC地址以及步骤104中已签名的第一信息摘要和完整信息;109.某雾节点对查找表进行遍历,由于在步骤106已先做过标注,故能由MAC地址的纪录得知端点X已经离开本地雾节点;110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一、第二信息摘要进行比对验证;若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并在查找表中对S值做更新;若验证失败本文档来自技高网...
【技术保护点】
1.一种基于雾计算的增强通讯安全的方法,通过去中心化的认证机制,对端点及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点、节点与节点之间的通讯安全,以防止恶意攻击和身份假冒;具体步骤如下:101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息,通过运算得到每个节点的端点组态值S;102.本地雾节点中均存有查找表,所述查找表保存以下信息:与本地雾节点连接的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址;103.当端点X离开本地雾节点时,将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中;重新计算S值;更新雾节点的查找表;104.本地雾节点用HASH函数生成第一信息摘要,并使用数字签名技术进行数字签名,将签名后的第一信息摘要与信息发送给端点X;端点X使用相同的HASH函数对接收的信息生成新的信息摘要,为第二信息摘要;并使用信息发送者的公钥解密得到第一信息摘要;再将第一信息摘要与第二信息摘要进行验证比对,以确定端点X能否加入新的雾节点;105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值;106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址,标注端点X已经离开本地雾节点;107.本地雾节点将公钥发送给相同子网内其他雾节点,端点X才能以该公钥对相同子网中其他雾节点作身份认证;108.当端点X要进入相同子网内某雾节点服务范围时,必须提交自己的MAC地址及步骤104中已签名的第一信息摘要和信息;109.某雾节点对查找表进行遍历,由MAC地址的标注获得端点X已经离开本地雾节点的信息;110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一信息摘要、第二信息摘要进行比对验证;若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并更新查找表中的S值;若验证失败则将端点X的MAC地址与特征加入之后产生的新版的MAC隔离账本,表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征;111将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点及云端服务器;112.其他雾节点及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点传递,以阻止伪装或恶意的端点渗入网域;113.反复进行步骤110~112,阻绝伪装端点、恶意端点,使其无法进行内部渗透或是外部攻击;114.各地雾节点定期向云端服务器进行汇报;115.云端服务器透过各地雾节点的反馈达到更多功能,包括:通过S值确认当前正常且可用的端点总数、建立更加准确且及时的安全预防机制、在特定时段调用邻近的雾节点对繁忙的雾节点进行分流;通过上述步骤,实现基于雾计算的去中心化且可自证的客观身份认证,达到增进节点与端点及节点与节点之间通讯安全的目的。...
【技术特征摘要】
1.一种基于雾计算的增强通讯安全的方法,通过去中心化的认证机制,对端点及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点、节点与节点之间的通讯安全,以防止恶意攻击和身份假冒;具体步骤如下:101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息,通过运算得到每个节点的端点组态值S;102.本地雾节点中均存有查找表,所述查找表保存以下信息:与本地雾节点连接的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址;103.当端点X离开本地雾节点时,将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中;重新计算S值;更新雾节点的查找表;104.本地雾节点用HASH函数生成第一信息摘要,并使用数字签名技术进行数字签名,将签名后的第一信息摘要与信息发送给端点X;端点X使用相同的HASH函数对接收的信息生成新的信息摘要,为第二信息摘要;并使用信息发送者的公钥解密得到第一信息摘要;再将第一信息摘要与第二信息摘要进行验证比对,以确定端点X能否加入新的雾节点;105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值;106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址,标注端点X已经离开本地雾节点;107.本地雾节点将公钥发送给相同子网内其他雾节点,端点X才能以该公钥对相同子网中其他雾节点作身份认证;108.当端点X要进入相同子网内某雾节点服务范围时,必须提交自己的MAC地址及步骤104中已签名的第一信息摘要和信息;109.某雾节点对查找表进行遍历,由MAC地址的标注获得端点X已经离开本地雾节点的信息;110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一信息摘要、第二信息摘要进行比对验证;若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并更新查找表中的S值;若验证失败则将端点X的MAC地址与特征加入之后产生的新版的MAC隔离账本,表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征;111将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点及云端服务器;112.其他雾节点及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点传递,以阻止伪装或恶意的端点渗入网域;113.反复进行步骤110~112,阻绝伪装端点、恶意端点,使其无法进行内部渗透或是外部攻击;114.各地雾节点定期向云端服务器进行汇报;115.云端服务器透过各地雾节点的反馈达到更多功能,包括:通过S值确认当前正常且可用的端点总数、建立更加准确且及时...
【专利技术属性】
技术研发人员:文伟平,邓宇凡,
申请(专利权)人:北京大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。