边缘计算环境下基于设备距离的匿名认证方法及系统

文档序号:37686972发布日期:2024-04-18 21:00阅读:35来源:国知局
边缘计算环境下基于设备距离的匿名认证方法及系统

本发明属于物联网认证,涉及一种边缘计算环境下基于设备距离的匿名认证方法及系统。


背景技术:

1、农业物联网是利用无线射频识别技术,通过计算机联网实现物品的自动识别和信息的互联与共享。农业物联网通过各种传感器收集信息,帮助农民及时发现问题,准确确定问题的位置并实现一定的协议进行信息交换和通信。农业物联网的出现给农业生产带来了巨大的变化,不仅体现在农作物产量的提高上,还提高了农产品质量,在降低劳动力成本的同时显著增加农民收入,真正实现了增产、改善质量、调整生长周期、提高经济效益的目的。

2、物联网技术利用云进行外包存储和计算。然而,不断增长的物联网数据量给传统的基于云的设施带来了存储容量、带宽限制、响应延迟、数据隐私等管理上的挑战。与云计算相比,边缘计算带来了许多优势,如更近的通信距离带来的低延迟和更高带宽的服务,而且边缘计算的分布式结构可以均衡网络流量,防止网络拥塞。通过将计算密集型任务从资源有限的物联网节点卸载到边缘服务器,系统可以减少单个节点的损耗。

3、但是有些相距较远的设备和边缘服务器的通信质量低下、所收集的数据信息不准确,而农业物联网的设备对数据精度的要求又很高,因此,不得不考虑距离的因素,将设备限制在合适的范围内与边缘服务器通信并交换数据。此外,当设备需要使用边缘计算提供的服务时,伪造的边缘服务器可以冒充合法的边缘服务器,诱导设备连接到伪造的边缘服务器上。一旦设备连接到伪造的边缘服务器,攻击者可以操纵来自设备或云的传入和传出请求,秘密收集或篡改设备数据,并轻松发起进一步的攻击。另一方面,农业物联网的设备更容易受到各种攻击,从而破坏智慧农业系统。

4、专利申请号为cn202010683620 .5的中国发明专利提出了一种移动边缘计算网络中身份认证方法。此认证方法主要按照以下步骤进行认证:1).移动终端发起认证请求;2).移动边缘计算服务器收到请求后向注册中心发送加密信息确认用户身份标识;3).注册中心检查用户身份标识是否存在,若检查失败则终止通信,否则生成移动边缘服务器与该用户的共享密钥;4).注册中心使用移动边缘服务器的公钥对共享密钥加密,并用私钥将信息签名后发送给移动边缘服务器;5).移动边缘服务器用注册中心的公钥验证注册中心的签名,成功后用私钥解密密文,得到与用户的共享密钥;6).用户收到移动边缘服务器的信息后,计算共享密钥。但该方法存在以下缺陷:1).利用数字签名和对称密钥验证身份,且未进行相互认证,难以抵御中间人攻击等常见攻击;2).使用公私钥进行加解密,这会增加通信的开销和延迟,降低了通信效率和灵活性,而且,设备本身也需要具备一定的存储空间、计算能力、电源供应等条件,才能支持公钥密码体制;3).共享会话密钥计算暴露给注册服务器且未安全存储,无法保证后续通话安全;4).无法确保设备是与合理距离内的服务器交互通信,进而无法确保通话质量与数据质量;5).未对设备匿名化处理,可能造成设备的身份相关安全风险和隐私泄露。


技术实现思路

1、针对现有技术的不足,本发明提出了一种边缘计算环境下基于设备距离的匿名认证方法及系统,实现设备、边缘服务器与注册服务器之间的相互认证;注册过程中设备会定位所在位置并计算伪身份来保证匿名性,边缘服务器也会捕获自己所在的位置;认证过程中注册服务器判定设备与边缘服务器的距离范围是否在规定范围内;边缘计算使数据处理和存储更接近终端、部署在物联网设备附近的边缘服务器可以为设备提供更快的网络服务响应。

2、一种边缘计算环境下基于设备距离的匿名认证方法,包括设备注册过程、边缘服务器注册过程和匿名认证过程;所述匿名认证过程包括如下步骤:

3、步骤c1:设备计算设备登录校验值,判断设备登录校验值与存储的设备登录验证值是否相等,验证失败则终止会话,验证成功则生成第一认证消息,随后将第一认证消息通过公共信道发送给边缘服务器;

4、步骤c2:边缘服务器收到第一认证消息后,获取第二当前时间戳,验证是否超时,验证成功则生成第二边缘随机数n2,存储认证设备元组,将第二认证消息发送给注册服务器;

5、步骤c3:注册服务器收到第二认证消息后,获取第三当前时间戳,验证是否超时,验证成功则根据设备伪身份和边缘服务器伪身份检索出设备注册元组和边缘服务器注册请求消息,利用半正矢函数计算设备与边缘服务器的距离,验证是否超出范围,验证成功则利用椭圆曲线密码学计算第二边缘点乘,并验证第二认证校验值和传递过来的第二认证值是否相等,验证失败则终止会话,验证成功则说明是合法的边缘服务器,并计算第二设备点乘,并验证第一认证校验值和传递过来的第一认证值是否相等,验证失败则终止会话,验证成功则证明是合法的设备并计算注册服务器异或值、第三认证值、第三认证消息,最后将第三认证消息通过公共信道发送给边缘服务器;

6、步骤c4:边缘服务器收到第三认证消息后,获取第四当前时间戳,验证是否超时,验证成功则根据已通过注册服务器认证的设备伪身份标识提取认证设备元组,计算第二边缘点乘、第三认证校验值,验证第三认证校验值和传递过来的第三认证值是否相等,验证失败则终止会话,验证成功则证明是合法的注册服务器,验证完则计算第二置换值、第四认证值,生成第三边缘随机数并计算第二边缘异或值、第三边缘异或值、会话密钥、边缘服务器会话密钥中间值,边缘服务器只存储边缘服务器会话密钥中间值,最后将第四认证消息通过公共信道发送给物联网设备;

7、步骤c5:设备收到第四认证消息后,获取第五当前时间戳,验证是否超时,验证成功则计算第四认证校验值,并验证第四认证校验值和传递过来的第四认证值是否相等,验证失败则终止会话,验证成功则证明是合法的边缘服务器,计算第四置换值、第五置换值、会话密钥、设备会话密钥中间值,最终设备存储设备会话密钥中间值。

8、具体地,所述设备登录校验值= h(vidj‖cj‖aj),其中aj为设备注册秘密值,aj =h(vidj‖φj‖λj),cj为设备秘密凭证,cj= bj⨁h(idj‖vidj),vidj为设备伪身份,idj为设备真实身份标识,φj为设备的经度,λj为设备的纬度,bj为设备秘密凭证中间值。

9、具体地,第一认证消息m1={ vidj,rj,ej,auth1,ts1},其中第一设备点乘,g是有限域上的一个基点,第二设备点乘,pkrs为注册服务器公钥,(xj,yj)表示第二设备点乘的坐标结果,设备异或值ej= h(q2)⨁h(xj),第一认证值auth1=h(vidj‖cj‖φj‖λj‖h(q2) ‖ts1),q2为第二设备随机数,ts1为第一当前时间戳。

10、具体地,认证设备元组为{vidj, n2},n2为第二边缘随机数,第二认证消息m2={m1,vidi,ri,,auth2,ts2},其中第一边缘点乘,第二边缘点乘、第一边缘异或值、第二认证值auth2=h(vidi‖ci‖φi‖λi‖h(n2 ‖yi) ‖ts2),为第二边缘点乘的坐标结果;φi为边缘服务器的经度,λi为边缘服务器的纬度,i为边缘服务器编号,vidi为边缘服务器伪身份,ts2为第二当前时间戳。

11、具体地,步骤c3中,设备注册元组为{ vidj,φj,λj },边缘服务器注册请求消息为{vidi,φi,λi },利用半正矢函数计算设备与边缘服务器的距离,其中r是地球半径,,并判断是否成立,其中为规定最大距离范围,验证是否超出范围,验证成功则计算第二边缘点乘,,为注册服务器私钥;计算第一置换值、边缘服务器秘密凭证ci=h(vidi‖krs)、第二认证校验值=h(vidi‖ci‖φi‖λi‖h(n2 ‖yi) ‖ts2);第二设备点乘、第二置换值、设备秘密凭证cj=h(vidj‖krs)、第一认证校验值= h(vidj‖cj‖φj‖λj‖h(q2) ‖ts1);注册服务器异或值ers=h(q2) ⨁h(h(n2‖yi)‖ts3)、第三认证值auth3=h(vidi‖xi‖h(n2 ‖yi) ‖ts3)、第三认证消息m3={vidi ,ers, auth3, ts3},ts3为第三当前时间戳。

12、具体地,步骤c4中,认证设备元组为{vidj,n2},第二边缘点乘、第三认证校验值= h(vidi‖xi‖h(n2 ‖yi) ‖ts3);第二置换值、第四认证值auth4=h(vidj‖h(q2) ‖ts4),第二边缘异或值、第三边缘异或值、会话密钥skij=h(h(n2 ‖ts4) ‖h(n3) ‖h(q2))、边缘服务器会话密钥中间值si=skij⨁h(idi);第四认证消息m4={,, auth4,ts4},ts4为第四当前时间戳。

13、具体地,步骤c5中,第四认证校验值= h(vidj‖h(q2) ‖ts4),第四置换值h(n3)=h(h(q2) ‖ts4) ⨁、第五置换值h(h(q2) ‖ts4)= h(q2) ⨁、会话密钥skij=h(h(n2‖ts4) ‖h(n3) ‖h(q2))、设备会话密钥中间值sj=skij⨁h(idj)。

14、进一步优选,所述边缘服务器注册过程包括如下步骤:

15、步骤a1:边缘服务器生成一个第一边缘随机数n1,定位边缘服务器所在的经纬度(φi,λi),φi为边缘服务器的经度,λi为边缘服务器的纬度,i为边缘服务器编号,计算并存储边缘服务器伪身份vidi=h(idi‖n1),其中h表示哈希运算,‖为字符串联运算符,idi为边缘服务器真实身份标识,然后将边缘服务器注册请求消息{vidi,φi,λi }通过安全信道发送给注册服务器;

16、步骤a2:注册服务器收到边缘服务器注册请求消息{vidi,φi,λi }后,计算边缘服务器秘密凭证ci=h(vidi‖krs),其中krs为注册服务器私有密钥,rs为注册服务器编号,并存储边缘服务器注册请求消息{vidi,φi,λi }到数据库中,然后将边缘服务器秘密凭证ci发给边缘服务器;

17、步骤a3:边缘服务器收到边缘服务器秘密凭证ci后,计算边缘服务器秘密凭证中间值bi=ci⨁h(idi‖vidi),⨁为字符串异或运算符,最后存储边缘服务器秘密凭证中间值bi。

18、进一步优选,所述设备注册过程包括如下步骤:

19、步骤b1:设备生成一个第一设备随机数q1,定位设备所在的经纬度(φj,λj),φj为设备的经度,λj为设备的纬度,j为设备编号,计算并存储设备伪身份vidj=h(idj‖q1),idj为设备真实身份标识,计算设备注册秘密值aj=h(vidj‖φj‖λj),然后通过安全信道发送设备注册请求消息{ vidj,φj,λj , aj}给注册服务器;

20、步骤b2:注册服务器收到设备注册请求消息{ vidj,φj,λj , aj}后,计算设备秘密凭证cj=h(vidj‖krs)、设备登录验证值zj=h(vidj‖cj‖aj),并存储设备注册元组{ vidj,φj,λj }到数据库中,然后将设备秘密凭证cj和设备登录验证值zj发给设备;

21、步骤b3:设备收到设备秘密凭证cj和设备登录验证值zj后,计算设备秘密凭证中间值bj=cj⨁h(idj‖vidj),存储设备秘密凭证中间值bj和设备登录验证值zj。

22、本发明提供一种边缘计算环境下基于设备距离的匿名认证系统,包括设备、边缘服务器和注册服务器;注册服务器在每个设备或边缘服务器注册的同时生成相应的秘密凭证,此外,注册服务器通过公共信道对边缘服务器和设备进行认证;每个新的边缘服务器在注册过程向注册服务器发送边缘服务器伪身份标识并接收来自注册服务器的边缘服务器秘密凭证,边缘服务器和设备之间必须协商会话密钥,以方便后续加密数据的交换;在注册过程中,每个新设备需要向注册服务器发送自己的伪身份,并从注册服务器处接收设备秘密凭证,设备的计算和存储能力是有限的,它通过无线接口连接到同一边缘上的边缘服务器并传输数据,边缘服务器会主动响应来自设备的请求并存储相应的数据。

23、本发明的有益效果如下:

24、一方面,因为云计算把握全局,边缘计算更偏重局部,与云计算相比,边缘计算具有更高的实时性和容错性,更低的延迟、带宽消耗和成本;具体来说,部署在设备附近的边缘服务器可以为设备提供更快的网络服务响应,这改善了通话服务质量。然而,如果农业物联网设备与距离过远的边缘服务器通信会造成通话质量受损,设备所提供的信息也会被影响,进而农作物的质量也难以得到保证。为此,考虑到距离因素,在注册服务器对设备和边缘服务器进行合法性认证之前先判定二者的距离是否在规定范围内,这样,可以在一定程度保证设备能够稳定地与边缘服务器通信。

25、另一方面,利用椭圆曲线密码学来满足资源受限的物联网设备对轻量级加密的需求,椭圆曲线密码学主要由一条椭圆曲线和在这条椭圆曲线上定义的运算规则组成;此外在认证过程中使用了时间戳,进一步提高了对于重放攻击和中间人攻击的抵抗能力。

26、最后,考虑到离边缘服务器更近的设备提供的信息准确性和可靠性更高,包括不同种类的实时农业预警(如温度、湿度、风力等),可以使用不同的耕作预警和建议,使作物保持在最优的环境中。在该相互认证方案中应用了多种技术,包括简单密码运算、哈希运算、异或运算、椭圆曲线密码等轻量级操作,降低了设备用于认证过程的资源开销,并生成了设备与边缘服务器之间的会话密钥,此外会话密钥在每次认证结束后都会进行动态更新,保证会话密钥新鲜度。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1