一种基于边缘计算的轻量级物联网安全密钥协商方法技术

一种基于边缘计算的轻量级物联网安全密钥协商方法，包括以下步骤：步骤1，由云端服务器对边缘网关进行双向的认证，对该边缘网关进行授权，边缘网关获得对终端设备的认证密钥协商权限；步骤2，边缘网关负责边缘网关局域网内物联网设备的安全认证和管理；步骤3，终端设备与边缘网关进行双向认证和密钥协商，终端设备与边缘网关构建起安全信道对后续传输数据进行加密保护，并统一向边缘网关进行传输；步骤4，边缘网关会对终端设备传输过来的数据进行初步的处理；步骤5，在之后的流程中，云端服务器会与边缘网关服务器一起对设备数据进行传输和处理。本发明专利技术实现了轻量、安全的物联网认证密钥协商，保证物联网网络数据传输安全性。

【技术实现步骤摘要】
一种基于边缘计算的轻量级物联网安全密钥协商方法
本专利技术属于互联网安全
，更具体地，涉及一种基于边缘计算的轻量级物联网安全密钥协商方法。
技术介绍
物联网(IoT-InternetofThings)技术随着信息技术的快速发展已经融入到了生活中的方方面面。物联网所形成的人、物与物互通互联的智能网络极大地促进了各领域的智能化发展。但同时大量设备的接入和大量的信息交换，也带来了新的安全挑战。由于物联网环境下设备数量巨大以及设备资源受限的情况，传统的安全协议过于复杂并且计算、存储、通信等资源开销较大难以满足需求。而且目前以云为中心的集中式认证密钥协商机制给服务器带来了巨大的负担，甚至造成网络阻塞影响设备的认证和密钥协商过程。因此如何设计更加安全轻量的认证密钥协商技术来保障物联网环境下信息交换的机密性和完整性成为了迫切的需求。为了解现有技术的发展状况，对已有的论文和专利进行了检索、比较和分析，筛选出如下与本专利技术相关度比较高的技术信息：技术方案1：专利号为CN108881304A的《一种对物联网设备进行安全管理的方法及系统》专利，提供一种对物联网设备进行安全管理的方法及系统，该方法包括：物联网安全管理平台在公认的第三方安全机构平台进行注册，第三方安全机构平台对物联网安全管理平台认证通过后签发物联网安全管理平台证书；物联网设备在物联网安全管理平台进行注册，物联网安全管理平台对物联网设备用户身份识别卡认证通过后，向所述用户身份识别卡签发物联网设备用户身份识别卡证书；物联网业务平台与物联网设备间传输业务数据时，物联网安全管理平台与用户身份识别卡进行身份认证，认证通过后协商出业务数据传输加密工作密钥，用于保证双方数据传输的安全。本专利技术能够有效地保护物联网设备不受非法管控，提高物联网系统整体防攻击能力。技术方案1采用一种基于身份识别卡的物联网平台管理认证方式，其特征在于：物联网管理平台需要在第三方安全机构进行注册登记，之后物联网设备在物联网管理平台进行注册，当身份识别卡认证通过后，签发相应的身份证书。这样的方式能很好的保护物联网设备传输数据，使得物联网设备不受非法管控。但这样的管理方式过于集中，无法满足海量的设备管理。同时注册、签发、认证过于繁琐，设备开销较大，无法满足部分资源有效的设备安全需求。技术方案2：专利号为CN110995432A的《基于边缘网关的物联网感知节点认证方法》专利，涉及一种基于边缘网关的物联网感知节点认证方法。该方法主要步骤为：感知节点首先读取自身设备存储的NodeID以及认证密钥Key，随机产生随机数Nonce1；如果是首次认证则同时随机产生Counter值，否则读取本地存储的Counter值；感知节点计算节点认证凭据，之后向边缘网关发送接入请求报文。本专利技术的优点在于，本专利技术提出了一种符合边缘计算“去中心化、分布式”思想的认证实现方式，物联网系统计算能力由云端下沉到边缘网关，首次认证接入后，边缘网关可以独立完成感知节点的接入认证，从而增强了物联网的边缘计算能力，使IoT云平台接入认证的计算压力大大降低，即便边缘网关与云端失去网络连接时仍然可保证其下属的边缘网络正常运转。技术方案2采用一种基于边缘计算网关的节点认证方法，其特征在于：所提出的基于边缘计算网关的节点认证方法中，通过边缘网关来负责感知节点的接入认证，整个认证方法基于Counter值递增序列融合随机数来等效实习挑战/应答思想的双向认证，认证简单、轻量。同时将物联网系统计算能力由云端下沉到边缘网关，增强了物联网的边缘计算能力，云平台压力有所减少。但是，在认证过程中，边缘网关需要向IoT云平台进行设备节点NodeID对于的H(key)进行查询。因此当节点数量庞大，节点认证请求多时，云平台负担仍然较大，并未实现有效的去中心化。此外，认证协议虽然轻量，但最重要的安全性较低，非常容易受到攻击。
技术实现思路
为解决现有技术中存在的不足，本专利技术的目的在于，提供一种基于身份标识的动态口令认证密钥协商方法，提出了一种基于边缘计算的“云-边-端”协同的认证密钥协商机制，将认证和密钥协商任务下放到边缘网关级设备上，这样的机制能大大降低时延，同时缓解海量设备对云中心带来的巨大负担，能更加安全高效的完成身份认证和密钥协商。本专利技术采用如下的技术方案。一种基于边缘计算的轻量级物联网安全密钥协商方法，包括以下步骤：步骤1，由云端服务器对边缘网关进行双向认证，认证通过后，对该边缘网关进行授权，边缘网关获得对终端设备的认证密钥协商权限，同时将该边缘网关的身份信息保存到云端数据库，由云端服务器下放认证密钥协商任务；步骤2，边缘网关通过云端服务器认证获得权限后，接受相应的云端服务器下放的认证密钥协商任务，并开始负责边缘网关局域网内终端设备的安全认证和管理；步骤3，终端设备接入物联网，终端设备与边缘网关进行双向认证和密钥协商，认证密钥协商通过后，终端设备与边缘网关构建起安全信道对后续传输数据进行加密保护，并向边缘网关进行数据传输；步骤4，边缘网关对终端设备传输过来的数据进行初步处理，部分数据与云端协同，传输给云端服务器；步骤5，云端服务器与边缘网关一起对数据进行处理，终端设备的认证密钥协商都由边缘网关统一管理。优选地，步骤2包括新入网终端设备注册，注册过程包括：步骤2.1，在终端设备处，输入相关的设备信息和预设口令PW，注册系统设备端会通过设备信息生成唯一的设备身份标识ID，产生随机数Ni，并计算口令步骤2.2，终端设备保存ID、PW和Ci，Ci和ID通过安全信道传输到注册服务器进行检查和存储；步骤2.3，在边缘网关，注册服务器通过该设备身份标识ID进行查询，如果已经注册，返回已注册信息；如果该设备身份标识ID未注册，服务端则保存Ci和设备身份标识ID并返回注册成功信息。优选地，设备信息包括：设备区域号、设备类型号和设备编号。优选地，步骤3中终端设备与边缘网关进行双向认证和密钥协商具体包括：步骤3.1，终端设备与边缘网关进行双向认证；步骤3.2，终端设备与边缘网关进行密钥协商交换；步骤3.3，终端设备与边缘网关进行密钥协商验证。优选地，步骤3.1终端设备与边缘网关进行双向认证具体包括：步骤3.1.1，设备端向边缘网关发起身份认证请求，产生随机挑战数CNi以及时间戳Ti，将设备身份标识ID和随机挑战数CNi发送至边缘网关；步骤3.1.2，边缘网关收到信息后，判断时间戳Ti是否有效，若有效，根据设备身份标识ID验证该设备是否已注册，若未注册，发送失败信息；若已注册，根据设备身份标识ID，查找对应的Ci，并计算响应值产生随机数CNi+1，将R和CNi+1发送至终端设备；步骤3.1.3，终端设备收到信息后，计算比较与R是否相同，若不同返回步骤3.1.1重新发送认证请求，若相同，对边缘网关认证成功；对边缘网关认证成功后，终端设备产生随机数Ni+1，并计算产生新口令计算Di+1＝H(ID,Ci+1)，计算计算计算并向边缘网关发送本文档来自技高网...

【技术保护点】
1.一种基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于，包括以下步骤：/n步骤1，由云端服务器对边缘网关进行双向认证，认证通过后，对该边缘网关进行授权，边缘网关获得对终端设备的认证密钥协商权限，同时将该边缘网关的身份信息保存到云端数据库，由云端服务器下放认证密钥协商任务；/n步骤2，边缘网关通过云端服务器认证获得权限后，接受相应的云端服务器下放的认证密钥协商任务，并开始负责边缘网关局域网内终端设备的安全认证和管理；/n步骤3，终端设备接入物联网，终端设备与边缘网关进行双向认证和密钥协商，认证密钥协商通过后，终端设备与边缘网关构建起安全信道对后续传输数据进行加密保护，并向边缘网关进行数据传输；/n步骤4，边缘网关对终端设备传输过来的数据进行初步处理，部分数据与云端协同，传输给云端服务器；/n步骤5，云端服务器与边缘网关一起对数据进行处理，终端设备的认证密钥协商都由边缘网关统一管理。/n

【技术特征摘要】
1.一种基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于，包括以下步骤：
步骤1，由云端服务器对边缘网关进行双向认证，认证通过后，对该边缘网关进行授权，边缘网关获得对终端设备的认证密钥协商权限，同时将该边缘网关的身份信息保存到云端数据库，由云端服务器下放认证密钥协商任务；
步骤2，边缘网关通过云端服务器认证获得权限后，接受相应的云端服务器下放的认证密钥协商任务，并开始负责边缘网关局域网内终端设备的安全认证和管理；
步骤3，终端设备接入物联网，终端设备与边缘网关进行双向认证和密钥协商，认证密钥协商通过后，终端设备与边缘网关构建起安全信道对后续传输数据进行加密保护，并向边缘网关进行数据传输；
步骤4，边缘网关对终端设备传输过来的数据进行初步处理，部分数据与云端协同，传输给云端服务器；
步骤5，云端服务器与边缘网关一起对数据进行处理，终端设备的认证密钥协商都由边缘网关统一管理。


2.根据权利要求1所述的基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于：
步骤2包括新入网终端设备注册，注册过程包括：
步骤2.1，在终端设备处，输入相关的设备信息和预设口令PW，注册系统设备端会通过设备信息生成唯一的设备身份标识ID，产生随机数Ni，并计算口令
步骤2.2，终端设备保存ID、PW和Ci，Ci和ID通过安全信道传输到注册服务器进行检查和存储；
步骤2.3，在边缘网关，注册服务器通过该设备身份标识ID进行查询，如果已经注册，返回已注册信息；如果该设备身份标识ID未注册，服务端则保存Ci和设备身份标识ID并返回注册成功信息。


3.根据权利要求2所述的基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于：
设备信息包括：设备区域号、设备类型号和设备编号。


4.根据权利要求1至3中任一项所述的基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于：
步骤3中终端设备与边缘网关进行双向认证和密钥协商具体包括：
步骤3.1，终端设备与边缘网关进行双向认证；
步骤3.2，终端设备与边缘网关进行密钥协商交换；
步骤3.3，终端设备与边缘网关进行密钥协商验证。


5.根据权利要求4所述的基于边缘计算的轻量级物联网安全密钥协商方法，其特征在于：
步骤3.1终端设备与边缘网关进行双向认证具体包括：
步骤3.1.1，设备端向边缘网关发起身份认证请求，产生随机挑战数CNi以及时间戳Ti，将设备身份标识ID和随机挑战数CNi发送至边缘网关；
步骤3.1.2，边缘网关收到信息后，判断时间...

【专利技术属性】
技术研发人员：陈冰冰，刘强，周俊，夏伟栋，邹明翰，邵苏杰，辛辰，许洪华，李易，王徐延，吴冠儒，沙莉，张庆航，
申请(专利权)人：国网江苏省电力有限公司南京供电分公司，国网江苏省电力有限公司南京市高淳区供电分公司，北京邮电大学，
类型：发明
国别省市：江苏;32