一种基于区块链的边缘计算终端安全接入认证方法

1.本发明涉及一种基于区块链的终端接入身份认证方法，特别涉及一种考虑边缘计算节点信任度的终端接入身份认证方法。


背景技术：

2.物联网技术已经成为当今最热门的技术框架之一。它深入到许多行业，从各个方面影响着人们的生活。物联网技术的飞速发展加速了“万物互联”时代的进程，同时也改变了终端设备在网络中的角色。终端设备已经从一个单一的数据用户转变为生成和使用数据的双重角色。为了满足更加高效快速的业务要求，边缘计算技术将终端设备安置在靠近数据源头的位置，使网络的应用程序在边缘侧发起，从而产生更快的网络服务响应，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。
3.然而边缘计算网络的实现必须依赖于各种先进的软硬件技术，例如智能传感技术、无线通信技术、控制技术、互联网技术和系统集成技术等。并且随着用户和信息量的增大，边缘计算网络具有通信网络拓扑结构频繁变化、通信场景多样化以及通信环境开放性等特点。这使得边缘节点比传统的网络节点面临更多、更复杂的网络攻击，给物联网系统的安全防护和主动防御带来了新的挑战。
4.边缘设备的安全对物联网系统的正常运行具有重大意义。当成千上万的物联网设备接入网络进行通信时，确保通信数据的隐私性和完整性十分具有挑战性。因此如何设计高效且安全的认证协议为网络提供安全可靠的接入保障成为了主要的研究目标。对于边缘计算网络接入节点的安全认证是保证信息与数据安全的重要步骤。只有解决设备接入安全问题，才能保证安全和用户信息安全，从而促进网络更加健壮的发展。接入认证机制作为信息安全的基石，在设备进行数据交互时，能够确保交互设备身份的真实性。单中心化或多中心化的认证手段往往作为传统物联网和边缘计算系统的设备接入认证方案。这种认证手段由一个或几个可信第三方机构、平台作用于物联网中，实现对多个跨网域之间的终端设备进行身份识别，以确认其设备身份的真实性。但伴随海量边缘设备通信需求，这种单中心化或多中心化的身份验证方案在多个跨网域之间终端设备的身份识别方面遭遇瓶颈。更重要的是，这种身份认证方式对中心化机构过于依赖，一旦中心化机构遭遇故障或恶意攻击，极可能会导致系统的局部瘫痪或整体无法运行，进而可能引起数据窃取、篡改或泄露的信息安全隐患。综上所述，传统中心化的边缘计算系统管理方式存在安全等级低、不够高效、设备间互信困难的问题。随着数据量的增多和用户需求的提升，各种安全问题的频发。因此急需一种既能满足数据量和用户需求增多的可扩展需求，又能保障数据和用户隐私安全的新机制。
5.综上所述，传统的边缘计算系统管理方式存在以下问题：
6.(1)单中心化或多中心化的身份验证方案难以在多个跨网域之间解决终端设备的身份识别问题。
7.(2)传统认证管理方式对中心化机构过于依赖，使得系统受到安全威胁的可能性
增加，系统很难完全适应开放性和多元性的通信场景。
8.(3)在物联网的分布式协作环境中，传统高度并行的网络设备和频繁的数据交换增加了认证的难度，各种安全问题频发。


技术实现要素：

9.本发明结合已有的物联网安全架构研究以及边缘终端安全策略，针对传统的中心化的边缘计算架构存在安全保护不足、网络延迟或中断、数据处理瓶颈等问题，讨论数据隐私安全防护问题的研究思路与方向。针对边缘计算设备信息传输过程中常见的隐私泄漏问题，本发明提出了一种基于区块链的边缘计算终端安全接入认证方法，实现去中心化的物联网系统管理方式的同时，提出一种既能满足数据量和用户需求增多的可扩展需求，又能保障数据和用户隐私安全的新机制。
10.本发明所采用的技术方案如下：
11.一种基于区块链的边缘计算终端安全接入认证方法，包括以下部分：
12.a、建立基于区块链的分布式边缘计算系统分层模型；
13.b、建立多维度边缘节点信任度评估机制；
14.c、建立基于节点信任度的终端安全接入认证方法。
15.部分a中，所述的分布式边缘计算系统分层模型由三个子层组成，分别是物联网实体层、虚拟节点层和区块链层。其中，物联网实体层由两个子层组成，即物联网传感层和网络通信层。物联网传感层通过身份识别、定位设备、安全感知设备和基础设施进行与环境、设备和人员的信息收集。网络通信层通过网络，通常包括公共网络和专用网络，将各个孤立的设备进行连接并实现设备之间的信息交换和数据传输。基于区块链的分布式边缘计算系统分层模型的第二层是虚拟节点层。在该层中，物理节点根据其类型被划分为不同的虚拟节点。整个交通网络被抽象为一个由多个节点组成的虚拟网络。每个节点都携带其重要数据，包括标识、物理标识、身份验证密钥以及密码等。分层模型的最高层是区块链层，区块链层由区块链边缘节点和网络节点组成，保存所有节点的信息。区块链边缘节点根据设备活动更新和同步设备信息。也就是说，他们充当客户，在区块链中注册设备，并在获得授权后创建智能合同。区块链网络节点有权搜索和验证存储在整个分布式区块链账本中的信息。区块链层节点进行合作，以确保边缘节点之间的有效验证。
16.部分b中，多维度节点信任度评估机制用于评估对于终端节点的信任度。将物联网设备节点的信任计算与其通信行为关联起来，通过信任值的变化趋势预判节点未来的行为走势。从社会学原理的角度对信任概念进行分析，节点信任度综合考虑平台给出的长期信任值和由节点间历史交互行为计算得出的短期信任向量。节点的短期信任取决于节点之间的交互行为。一旦节点之间存在交互行为，节点之间就会存在短期信任。短期信任向量st
ij
是通过系统检查节点在此期间的累积信任值获得的。若节点a与b交互过，即在信任关系有向图中存在a 到b的有向边，需考虑a到b的可达路径计算间接信任度。当节点a的第i次通信出现不可信行为或对其他节点b产生恶意破环行为。则此节点的累计信任值fi＝0，进而影响其短期信任度。具体来说，节点短期信任度的计算方式如下：
[0017][0018]
长期信任向量ltij由节点历史相互作用行为和时间衰减因子γ
n-k
导出其计算。长期信任向量是基于这样的假设，即节点之间的交互越早，节点之间的信任贡献就越小。因此，时间衰减因子γ
n-k
根据牛顿冷却定律计算，其中n为冷却系数，k代表交互时间间隔。
[0019][0020]
多维度节点信任度评估机制将节点的短期信任度与长期信任向量相结合，同时考虑节点的提供的自身属性、感知信息、交互信息以及上下文环境，综合评估物联网边缘设备节点面向服务时的行为安全等级，设置安全等级在[0,1]之间均匀分布。最终，依据以下公式计算节点多维度综合信任值
[0021][0022]
部分c中，区块链系统和物联网无线访问点之间共同参与基于节点信任度的终端安全接入认证方案，实现可靠的设备安全接入。物联网接入设备发送其接入请求与公钥给无线访问点，无线访问点向上上报区块链系统进行查询核验，区块链系统将根据已有的身份验证机制对身份信息进行核验，验证用户的公钥验证设备是否有对应的私钥对其进行签名。由此可以确认设备身份，也能确保设备信息其未被篡改和伪造。在节点加入区块链网络之前，身份验证采用椭圆曲线数字签名算法(ecdsa)，是一种基于椭圆曲线密码体制的数字签名算法。该算法具有速度快、强度高、签名短的特点，适用于实时性要求高的移动终端。在选取好曲线方程的三要素(a,b,p)后，系统将生成相应的密钥对，其中私钥是一个随机整数或伪随机整数 da，公钥按照qa＝da*g计算得出，其中g是曲线方程上的任意点。将私钥加入签名的计算过程并产生数字签名(r,s)后，区块链系统可根据边缘设备提供的公钥qa和数字签名以及椭圆曲线方程的参数，即可验证签名的有效性。对于安全性方面只要确保随机数k与私钥da 不被泄露，就可以确保签名算法始终是可靠的。
附图说明
[0023]
为了更清楚地说明本发明的技术方案，下面将对发明内容中所需要使用的附图作简要地介绍。
[0024]
图1是本发明提出的基于区块链的分布式边缘计算系统分层模型架构图。
[0025]
图2是一个边缘设备申请加入系统并进行身份接入认证过程的示意图。
具体实施方式
[0026]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
[0027]
本发明实施例提供了一种考虑边缘计算节点信任度的终端接入身份认证方法，该方法具体包括如下步骤：
[0028]
步骤一：初始化虚拟节点系统和区块链系统。首先根据系统节点数量分配和初始化虚拟节点，同时初始化区块链系统头区块。如图1所示，为边缘计算系统中每个边缘设备建立对应虚拟节点。所述物理网络和对应虚拟节点自动生成方法，通过java程序生成json数据并存入mysql数据库中保存节点信息，其中节点信息包含节点编号、自身属性、节点坐标、与节点相连节点的编号及坐标键值对、节点的网络属性、节点的数字签名等。
[0029]
步骤二：区块链系统进行节点身份认证和消息核验。边缘设备在区块链系统中进行注册，并在获得授权后创建智能合同。区块链网络节点有权搜索和验证存储在整个分布式区块链账本中的信息，以确保边缘节点之间的有效验证。具体认证模式如图2所示。
[0030]
(1)验证消息内容的真实性。获取节点公钥qa，数字签名(r,s),信息摘要τ和椭圆曲线方程的参数(a,b,p,g)。计算p＝s-1
*τ*g+s-1
*r*qa，若点p的x坐标与数字签名中的r相等，则签名有效，即消息内容认为真实，否则签名无效。
[0031]
(2)验证消息发起节点的真实性。根据多维度节点信任度评估机制计算节点多维度综合信任值，以验证发起节点的真实性。
[0032]
(3)验证消息的时效性。时间戳审核是检查消息申请时间的有效性，防止重放攻击。
[0033]
步骤三：维护区块链账本。主要包含发布模块、审核交易请求以及对区块链上所有节点进行状态转移。分布式边缘计算系统分层模型的物联网实体层将获取的元数据、设备标识、消息等信息传递给区块链系统，区块链系统调用部署在以太坊上智能合约实现注册。最后，区块链通过核验后将生成的信任凭证并返回给虚拟节点层并存储至账本数据库中完成边缘设备状态的转移和数据更新。