【技术实现步骤摘要】
基于边缘计算网络架构的跨域身份认证方法
本专利技术属于通信
,涉及信息安全技术,更进一步涉及一种基于边缘计算网络架构的跨域身份认证方法。可用于在资源受限、情况复杂的边缘网络中,对边缘设备用户进行安全认证,包括手机、蓝牙手表、智能家居以及智能车载设备。
技术介绍
边缘计算中的边缘是指从数据源到云计算中心数据路径之间的任意计算资源和网络资源。边缘计算的基本理念是将计算任务在接近数据源的计算资源上运行。对于目前物联网和4G/5G无线网络的快速发展,边缘计算于边缘位置的数据处理解决了爆炸式的数据增长处理负荷,减少了因网络传输带宽的急剧增加而造成的拥堵情况。边缘计算中通常包含多个功能实体(如数据参与终端用户、服务提供商和基础设施提供商)、服务(如虚拟机、数据容器)和基础设施(如终端基础设施、边缘数据中心和核心基础设施)。因此,边缘计算是一种多信任域共存的分布式交互计算系统。在这种复杂的多实体计算范式下,不仅需要为每个实体分配一个身份,而且还需要允许不同信任域之间的实体进行相互验证。传统的身份认证方案在高动态、高密集边缘网络中不具备良好的可扩展性。北京科技大学在其申请的专利文献“基于AES算法的边缘计算节点身份认证方法”(申请号:201810172441.8,申请公布号:CN108173882A)中提出一种AES双向认证方法。该方法利用改进的AES对称加密算法及hash等算法,通过改进AES算法避免密钥攻击者利用一轮子密钥推导出原种子密钥的方式来实现边缘计算节点双向身份认证,解决了边缘计算节点的双向身份认证 ...
【技术保护点】
1.一种基于边缘计算网络架构的跨域身份认证方法,其特征在于,包括如下步骤:/n(1)家乡认证服务器和边缘节点本地认证服务器分别生成各自的公钥PK
【技术特征摘要】
1.一种基于边缘计算网络架构的跨域身份认证方法,其特征在于,包括如下步骤:
(1)家乡认证服务器和边缘节点本地认证服务器分别生成各自的公钥PKHA、PKLA和私钥skHA、skLA,并对外公开系统参数:
(2)边缘设备用户U生成自己的伪身份信息:
(2a)用户使用伪随机生成器生成参数rID;
(2b)用户将参数rID和自身身份信息进行级联,利用轻量级Photon哈希函数对级联的结果进行哈希运算,得到伪身份VIDU,并将其发送给家乡认证服务器;
(3)家乡认证服务器建立用户账户:
(3a)家乡认证服务器使用伪随机生成器生成参数rU,利用参数rU生成用户相关参数RU,组合成用户私钥skU;
(3b)家乡认证服务器将用户私钥skU通过安全信道发给边缘设备用户U;
(3c)家乡认证服务器为用户建立账户,保存用户索引信息IndexU、伪身份VIDU和用户相关参数RU;
(3d)用户利用系统公开参数检验私钥是否正确;若正确,继续执行步骤(4),否则注册失败;
(4)用户向边缘节点本地认证服务器发送接入请求Reqres和认证消息mU:
(4a)用户使用伪随机数生成器生成随机数并获取当前时间戳tU;
(4b)用户利用生成的随机数构造第一密钥参数X和第二密钥参数Y:
X=xP,
Y=yP;
得到身份核验参数Y':
Y'=Y+XPKHA,
并将用户伪身份VIDU、当前时间戳tU、用户相关参数RU和第二密钥参数Y进行级联,得到级联信息J;
(4c)用户使用第二函数H2对级联信息J进行哈希运算,将计算结果作为哈希参数h;
(4d)用户根据下式计算索引值构造参数z:
z=y+skUh;
(4d)用户向边缘节点本地认证服务器发送接入请求Reqres,并将伪身份VIDU、家乡认证服务器身份IDHA、时间戳tU、第一密钥参数X、身份核验参数Y'、哈希参数h和索引值构造参数z作为认证消息mU一并发送;
(5)边缘节点本地认证服务器验证用户身份:
边缘节点本地认证服务器收到用户的接入请求Reqres和认证消息mU后,通过检索用户列表来核查该用户是否为通过验证的用户,即判断用户列表中是否存在该用户的临时身份;若是,则执行步骤(5b);反之,执行步骤(5a);
(5a)边缘节点本地认证服务器首次认证、登记用户身份,并协商会话密钥:
(5a1)边缘节点本地认证服务器向家乡认证服务器发送信息,核验用户身份合法性:
(5a1.1)边缘节点本地认证服务器收到信息,检验时间戳tU是否在时效内;若是,继续执行下一步,否则认证失败;
(5a1.2)边缘节点本地认证服务器获取当前时间戳tLA,将从用户那边得到的消息和时间戳tLA一并构造成消息mLA,并对该消息签名得到签名消息SignLA(mLA);
(5a1.3)边缘节点本地认证服务器向家乡认证服务器发送消息mLA和消息签名SignLA(mLA);
(5a2)家乡认证服务器检验信息正确性,并回复边缘节点本地认证服务器:
(5a2.1)家乡认证服务器收到消息mLA,检验时间戳tLA是否在时效内,若是则继续执行下一步,否则认证失败,返回认证失败消息给边缘节点本地认证服务器;
(5a2.2)家乡认证服务器验证消息签名SignLA(mLA)是否正确;若正确,则继续执行下一步,否则认证失败,返回认证失败消息给边缘节点本地认证服务器;
(5a2.3)家乡认证服务器通过收到的信息计算索引值IndexU,并在用户列表中检索;若检索到该索引值,则继续下一步,否则认证失败,返回认证失败消息给边缘节点本地认证服务器;
(5a2.4)家乡认证服务器找到索引账户,利用账户相关参数验证哈希参数h的值是否正确,若正确,继续执行下一步,否则,返回认证失败消息给边缘节点本地认证服务器;
(5a2.5)家乡认证服务器获取当前时间戳tHA,使用第三函数H3计算第二密钥参数Y的哈希函数值得到会话密钥k,构造包含会话密钥k的消息mHA和签名消息signHA(mHA)发送给边缘节点本地认证服务器;
(5a3)边缘节点本地认证服务器登记用户身份:
(5a3.1)边缘节点本地认证服务器收到家乡认证服务器信息mHA和签名消息signHA(mHA),检...
【专利技术属性】
技术研发人员:董庆宽,姚雪,陈原,丁文静,王蕾,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。