基于边缘计算网络架构的跨域身份认证方法技术

本发明专利技术公开了一种基于边缘计算网络架构的跨域身份认证方法，主要解决现有技术中密钥管理与分发困难，用户隐私难以保护的技术问题。包括：1)边缘节点本地认证服务器和家乡认证服务器计算各自的公钥私钥；2)家乡认证服务器生成用户利用伪身份构造的私钥；3)用户向边缘节点本地认证服务器申请跨域访问；4)边缘节点本地认证服务器向用户的家乡认证服务器发送信息验证其身份；5)家乡认证服务器认证用户信息返回会话密钥；6)边缘节点本地认证服务器计算会话密钥返回认证信息；7)用户确认信息生成会话密钥。本发明专利技术能够有效提高边缘节点设备与用户的双向验证安全性，并解决用户身份隐私暴露、会话被跟踪的问题，可用于现代化物联网设备。

【技术实现步骤摘要】
基于边缘计算网络架构的跨域身份认证方法
本专利技术属于通信
，涉及信息安全技术，更进一步涉及一种基于边缘计算网络架构的跨域身份认证方法。可用于在资源受限、情况复杂的边缘网络中，对边缘设备用户进行安全认证，包括手机、蓝牙手表、智能家居以及智能车载设备。
技术介绍
边缘计算中的边缘是指从数据源到云计算中心数据路径之间的任意计算资源和网络资源。边缘计算的基本理念是将计算任务在接近数据源的计算资源上运行。对于目前物联网和4G/5G无线网络的快速发展，边缘计算于边缘位置的数据处理解决了爆炸式的数据增长处理负荷，减少了因网络传输带宽的急剧增加而造成的拥堵情况。边缘计算中通常包含多个功能实体(如数据参与终端用户、服务提供商和基础设施提供商)、服务(如虚拟机、数据容器)和基础设施(如终端基础设施、边缘数据中心和核心基础设施)。因此，边缘计算是一种多信任域共存的分布式交互计算系统。在这种复杂的多实体计算范式下，不仅需要为每个实体分配一个身份，而且还需要允许不同信任域之间的实体进行相互验证。传统的身份认证方案在高动态、高密集边缘网络中不具备良好的可扩展性。北京科技大学在其申请的专利文献“基于AES算法的边缘计算节点身份认证方法”(申请号：201810172441.8，申请公布号：CN108173882A)中提出一种AES双向认证方法。该方法利用改进的AES对称加密算法及hash等算法，通过改进AES算法避免密钥攻击者利用一轮子密钥推导出原种子密钥的方式来实现边缘计算节点双向身份认证，解决了边缘计算节点的双向身份认证问题。该方法存在的不足之处是，由于使用AES对称密钥加密方式，密钥的管理和分发非常困难。同时由于边缘计算多信任域共存的网络结构，AES加密认证无法提供跨域身份认证。YANGY,ZHENGXH,LIUXM等人在其发表的论文“Cross-domaindynamicanonymousauthenticatedgroupkeymanagementwithsymptom-matchingfore-healthsocialsystem”(FutureGenerationComputerSystems,2017,PP(99):1-7.)中提出了一种基于提出一种跨域的动态匿名组密钥管理认证系统CD-AGKMS，该系统通过建立以密钥生成中心KGC为最顶层的树型层次结构，实现跨域组密钥协商。在组密钥管理方面，该方案提供由时间控制的密钥撤销机制，用户的密钥在有效时间段到期时被撤销。CD-AGKMS不需要双线性对的计算，提高了系统的可行性和高效性。该方法存在的不足之处是，设备在利用跨域认证访问时不能以匿名的形式访问以保证用户隐私。
技术实现思路
本专利技术的目的是针对上述现有技术存在的不足，提出一种基于边缘计算网络架构的跨域身份认证方法，解决现有技术中密钥管理和分发困难，边缘计算认证资源受限导致网络安全性和效率低的问题，本专利技术方法以匿名身份认证的方式解决了用户身份隐私暴露、会话易被跟踪，用户隐私难以保护的技术问题。实现本专利技术的思路是：边缘节点本地认证服务器联合用户家乡认证服务器对非本地用户进行认证，通过对通信消息进行椭圆曲线算法签名，防止通信消息被非法分子截取篡改，同时保存非本地用户临时信息，在确定时间内，快速简洁的对用户身份进行认证。本专利技术实现上述目的具体步骤如下：(1)家乡认证服务器和边缘节点本地认证服务器分别生成各自的公钥PKHA、PKLA和私钥skHA、skLA，并对外公开系统参数：(2)边缘设备用户U生成自己的伪身份信息：(2a)用户使用伪随机生成器生成参数rID；(2b)用户将参数rID和自身身份信息进行级联，利用轻量级Photon哈希函数对级联的结果进行哈希运算，得到伪身份VIDU，并将其发送给家乡认证服务器；(3)家乡认证服务器建立用户账户：(3a)家乡认证服务器使用伪随机生成器生成参数rU，利用参数rU生成用户相关参数RU，组合成用户私钥skU；(3b)家乡认证服务器将用户私钥skU通过安全信道发给边缘设备用户U；(3c)家乡认证服务器为用户建立账户，保存用户索引信息IndexU、伪身份VIDU和用户相关参数RU；(3d)用户利用系统公开参数检验私钥是否正确；若正确，继续执行步骤(4)，否则注册失败；(4)用户向边缘节点本地认证服务器发送接入请求Reqres和认证消息mU：(4a)用户使用伪随机数生成器生成随机数并获取当前时间戳tU；(4b)用户利用生成的随机数构造第一密钥参数X和第二密钥参数Y：X＝xP，Y＝yP；得到身份核验参数Y'：Y'＝Y+xPKHA，并将用户伪身份VIDU、当前时间戳tU、用户相关参数RU和第二密钥参数Y进行级联，得到级联信息J；(4c)用户使用第二函数H2对级联信息J进行哈希运算，将计算结果作为哈希参数h；(4d)用户根据下式计算索引值构造参数z：z＝y+skUh；(4d)用户向边缘节点本地认证服务器发送接入请求Reqres，并将伪身份VIDU、家乡认证服务器身份IDHA、时间戳tU、第一密钥参数X、身份核验参数Y'、哈希参数h和索引值构造参数z作为认证消息mU一并发送；(5)边缘节点本地认证服务器验证用户身份：边缘节点本地认证服务器收到用户的接入请求Reqres和认证消息mU后，通过检索用户列表来核查该用户是否为通过验证的用户，即判断用户列表中是否存在该用户的临时身份；若是，则执行步骤(5b)；反之，执行步骤(5a)；(5a)边缘节点本地认证服务器首次认证、登记用户身份，并协商会话密钥：(5a1)边缘节点本地认证服务器向家乡认证服务器发送信息，核验用户身份合法性：(5a1.1)边缘节点本地认证服务器收到信息，检验时间戳tU是否在时效内；若是，继续执行下一步，否则认证失败；(5a1.2)边缘节点本地认证服务器获取当前时间戳tLA，将从用户那边得到的消息和时间戳tLA一并构造成消息mLA，并对该消息签名得到签名消息SignLA(mLA)；(5a1.3)边缘节点本地认证服务器向家乡认证服务器发送消息mLA和消息签名SignLA(mLA)；(5a2)家乡认证服务器检验信息正确性，并回复边缘节点本地认证服务器：(5a2.1)家乡认证服务器收到消息mLA，检验时间戳tLA是否在时效内，若是则继续执行下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；(5a2.2)家乡认证服务器验证消息签名SignLA(mLA)是否正确；若正确，则继续执行下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；(5a2.3)家乡认证服务器通过收到的信息计算索引值IndexU，并在用户列表中检索；若检索到该索引值，则继续下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；(5a2.4)家乡认证服务器找到索引账户，利用账本文档来自技高网...

【技术保护点】
1.一种基于边缘计算网络架构的跨域身份认证方法，其特征在于，包括如下步骤：/n(1)家乡认证服务器和边缘节点本地认证服务器分别生成各自的公钥PK

【技术特征摘要】
1.一种基于边缘计算网络架构的跨域身份认证方法，其特征在于，包括如下步骤：
(1)家乡认证服务器和边缘节点本地认证服务器分别生成各自的公钥PKHA、PKLA和私钥skHA、skLA，并对外公开系统参数：
(2)边缘设备用户U生成自己的伪身份信息：
(2a)用户使用伪随机生成器生成参数rID；
(2b)用户将参数rID和自身身份信息进行级联，利用轻量级Photon哈希函数对级联的结果进行哈希运算，得到伪身份VIDU，并将其发送给家乡认证服务器；
(3)家乡认证服务器建立用户账户：
(3a)家乡认证服务器使用伪随机生成器生成参数rU，利用参数rU生成用户相关参数RU，组合成用户私钥skU；
(3b)家乡认证服务器将用户私钥skU通过安全信道发给边缘设备用户U；
(3c)家乡认证服务器为用户建立账户，保存用户索引信息IndexU、伪身份VIDU和用户相关参数RU；
(3d)用户利用系统公开参数检验私钥是否正确；若正确，继续执行步骤(4)，否则注册失败；
(4)用户向边缘节点本地认证服务器发送接入请求Reqres和认证消息mU：
(4a)用户使用伪随机数生成器生成随机数并获取当前时间戳tU；
(4b)用户利用生成的随机数构造第一密钥参数X和第二密钥参数Y：
X＝xP，
Y＝yP；
得到身份核验参数Y'：
Y'＝Y+XPKHA，
并将用户伪身份VIDU、当前时间戳tU、用户相关参数RU和第二密钥参数Y进行级联，得到级联信息J；
(4c)用户使用第二函数H2对级联信息J进行哈希运算，将计算结果作为哈希参数h；
(4d)用户根据下式计算索引值构造参数z：
z＝y+skUh；
(4d)用户向边缘节点本地认证服务器发送接入请求Reqres，并将伪身份VIDU、家乡认证服务器身份IDHA、时间戳tU、第一密钥参数X、身份核验参数Y'、哈希参数h和索引值构造参数z作为认证消息mU一并发送；
(5)边缘节点本地认证服务器验证用户身份：
边缘节点本地认证服务器收到用户的接入请求Reqres和认证消息mU后，通过检索用户列表来核查该用户是否为通过验证的用户，即判断用户列表中是否存在该用户的临时身份；若是，则执行步骤(5b)；反之，执行步骤(5a)；
(5a)边缘节点本地认证服务器首次认证、登记用户身份，并协商会话密钥：
(5a1)边缘节点本地认证服务器向家乡认证服务器发送信息，核验用户身份合法性：
(5a1.1)边缘节点本地认证服务器收到信息，检验时间戳tU是否在时效内；若是，继续执行下一步，否则认证失败；
(5a1.2)边缘节点本地认证服务器获取当前时间戳tLA，将从用户那边得到的消息和时间戳tLA一并构造成消息mLA，并对该消息签名得到签名消息SignLA(mLA)；
(5a1.3)边缘节点本地认证服务器向家乡认证服务器发送消息mLA和消息签名SignLA(mLA)；
(5a2)家乡认证服务器检验信息正确性，并回复边缘节点本地认证服务器：
(5a2.1)家乡认证服务器收到消息mLA，检验时间戳tLA是否在时效内，若是则继续执行下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；
(5a2.2)家乡认证服务器验证消息签名SignLA(mLA)是否正确；若正确，则继续执行下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；
(5a2.3)家乡认证服务器通过收到的信息计算索引值IndexU，并在用户列表中检索；若检索到该索引值，则继续下一步，否则认证失败，返回认证失败消息给边缘节点本地认证服务器；
(5a2.4)家乡认证服务器找到索引账户，利用账户相关参数验证哈希参数h的值是否正确，若正确，继续执行下一步，否则，返回认证失败消息给边缘节点本地认证服务器；
(5a2.5)家乡认证服务器获取当前时间戳tHA，使用第三函数H3计算第二密钥参数Y的哈希函数值得到会话密钥k，构造包含会话密钥k的消息mHA和签名消息signHA(mHA)发送给边缘节点本地认证服务器；
(5a3)边缘节点本地认证服务器登记用户身份：
(5a3.1)边缘节点本地认证服务器收到家乡认证服务器信息mHA和签名消息signHA(mHA)，检...

【专利技术属性】
技术研发人员：董庆宽，姚雪，陈原，丁文静，王蕾，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61