CN108833113A - 一种基于雾计算的增强通讯安全的认证方法及系统 - Google Patents
一种基于雾计算的增强通讯安全的认证方法及系统 Download PDFInfo
- Publication number
- CN108833113A CN108833113A CN201810588865.2A CN201810588865A CN108833113A CN 108833113 A CN108833113 A CN 108833113A CN 201810588865 A CN201810588865 A CN 201810588865A CN 108833113 A CN108833113 A CN 108833113A
- Authority
- CN
- China
- Prior art keywords
- node
- mist
- endpoint
- information
- mist node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公布了一种基于雾计算框架的增强通讯安全的方法及系统,系统包括:端点以及节点间的身份认证安全模块、查找表模块、可疑MAC地址隔离账本模块、私钥存储模块;通过去中心化的认证机制,对端点以及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点以及节点与节点之间的通讯安全,以防止恶意攻击和身份假冒。采用本发明技术方案,能够避免因第三方机构所产生额外的时间和带宽消耗,提升云终端和本地雾节点的处理效率;提高认证准确度,有助于建立更加及时的安全预防机制。
Description
技术领域
本发明属于加密认证技术、物联网安全、雾计算技术领域,涉及节点和端点之间的身份确认以及通信安全机制的增进方法,尤其涉及一种基于雾计算框架的增进节点与端点以及节点与节点之间通讯安全的方法及系统。
背景技术
雾计算的概念在2011年被人所提出,随后OpenFog联盟(OpenFog Consortium)便对雾计算做了明确的定义:雾计算是一种系统级的水平架构,它能够分配从云到物这一连续区域内任何地方的计算、存储、控制和网络的资源和服务,支持多个垂直行业和应用领域,将智慧与服务传递给用户和商业,使服务和应用分布得更加接近物层面,雾计算的结构从物开始延伸,包含网络边缘层、云以及多个协议层,不仅是特定协议层或端对端系统的一部分,而是跨越物联网和云的全面系统。
开放OpenFog联盟广泛地定义雾计算,使其涵盖从IoT(Internet of things)终端节点到云端服务的一切,其目标在于定义缩减回程通讯的方法,同时提供可靠的通讯与确定延迟,最终将使该联盟的提议触及从终端节点SoC(System on a chip)的设计到网关与应用等一切。着眼当前的基础架构,雾节点和雾层可以出现在FaaS(Fog as a Service)中,如此每层的位置和节点部署,不再需要遵从单一的数据中心,然而分布式的数据存储及网络拓扑,也让用户和雾服务提供者面临安全的威胁。在开放雾计算参考架构(OpenFogReference Architecture)中,公布了八大技术领域其中又以安全为首要,思科(CiscoSystems)总工程师Chuck Byers表示“在整整30页的附录中详细的要求主要都与安全有关,每家芯片与安全堆栈供货商应当仔细检查”无疑地,安全性在这项指标的参考基准中备受关注。
随着物联网的到来,今后各种家庭电器中的传感器,以及嵌入在可穿戴设备里的传感器都会连网,将使云计算本质上的缺点越来越明显,如不能支持高移动性、不支持地理位置信息及高时延等。而雾计算正好能够解决这些问题,同时又可带来大量新的应用和服务。比如,1.增强现实;增强现实是在实际看到的现实世界的影像上再叠加一层信息,在极低的时延情况下需要进行实时复杂的视频运算,有人使用谷歌眼镜再配上“小云”设备,达到良好的用户体验效果。2.车联网的应用和部署要求丰富的连接方式和相互作用,如车到车、车到接入点(无线网络、3G、LTE(Long Term Evolution)、智能交通灯、导航卫星网络等),以及接入点到接入点。
云计算需要大量带宽,而无线网络的带宽有限;而雾计算能够有效降低带宽量,使数据处理与存储尽可能本地化。大部分的数据流量可以分流,其中最有价值的信息仍通过云来传输,因此不仅可以大大提升效率,同时也可节省大量成本,应用场景如智能交通系统、智能电网甚至健康医疗系统等。尽管雾计算有很多优点,但未来大规模部署设备时仍不可避免会遇到各种问题,比如网络堵塞、软件架构、安全和隐私问题等。
现有在雾计算框架下的计算存在着潜在安全性威胁。试想在智能交通系统当中,若存在恶意用户伪装成节点传送大量虚假信息,势必将造成交通信号的混乱,甚至于人员的伤亡;或是在无人的全自动化厂房中,透过不当手法向生产线中其他的机器传递错误信息,将会导致生产流程延宕以及原物料的浪费,造成大量的时间和金钱损失。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于雾计算框架下的增强通讯安全的方法及系统,通过分析雾计算的现有底层相关工作,得出其中的安全和隐私不足之处,进一步提出增进节点与端点以及节点与节点之间的认证安全机制和通讯安全的方法。
本发明提供的技术方案是:
一种基于雾计算框架的增强通讯安全的方法,具体通过去中心化的认证机制,对端点以及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点以及节点与节点之间的通讯安全,以防止恶意攻击和身份假冒的危害;具体步骤如下:
101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息,通过运行特定运算得到一数值S;
S为每个节点的端点组态值,其算法定义为:S=∑(MAC(n)⊕T(n)⊕R(n)⊕C(n)),n=1,2,…,N。其中,MAC(n)表示某雾节点下第n个端点的MAC地址,T(n)表示第n个端点与某雾节点建立通信的起始时间,R(n)表示第n个端点联机时某雾节点所分发的随机数值,C(n)表示第n个端点在某雾节点子域内的端点联网状态,n表示某雾节点子域内之各联机端点的编号。因为算法中的四个参数单位不尽相同,需要先将其皆转化为相同的单位(48位的二进制数)之后,参数之间才能进行异或运算;102.本地雾节点中均存有查找表,负责保存以下四项信息:1.与本地雾节点连结的其他雾节点的网络名称或网络IP地址2.S值3.本地雾节点网域中已建立安全通信的端点MAC地址4.离开本地雾节点网域的端点MAC地址。
103.当端点X离开本地雾节点时,将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中,除此之外端点联网状态(n)会有所改变,故需重新计算S值,并将上述三项改动结果储存于查找表中;
104.本地雾节点用HASH函数对信息做计算,生成第一信息摘要,并使用SM2-1椭圆曲线数字签名技术对其进行数字签名,将签名后的第一信息摘要与信息发送给端点X;
SM2是国家密码管理局发布的椭圆曲线公钥密码算法,其中包括:SM2-1椭圆曲线数字签名算法、SM2-2椭圆曲线密钥交换协议、SM2-3椭圆曲线公钥加密算法,分别用于数字签名、密钥协商、数据加密。本发明即采用SM2-1椭圆曲线数字签名算法对其进行数字签名,数字签名过程如下,其中1)~3)为数字签名的过程,步骤4)~7)为数字签名的验证过程:
1)发送者使用一单向散列函数(HASH函数)对信息生成第一信息摘要;
2)发送者使用自己的私钥对第一信息摘要做签名;
3)发送者把信息本身并同已签名的第一信息摘要发送出去;
4)接收者使用与发送者使用相同的单向散列函数(HASH函数),对接收的信息本身生成新的信息摘要,其为第二信息摘要;
5)接收者使用信息发送者的公钥解密得到第一信息摘要;
6)接收者将第一信息摘要与第二信息摘要进行验证比对;
7)接收者根据比对结果,决定能否与端点X建立通信,即端点X能否加入新的雾节点;
105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值;
106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址纪录,标注其已经离开本地雾节点;
107.本地雾节点将公钥发送给相同子网内其他雾节点,端点X才能够以此公钥对相同子网中其他雾节点作身份认证;
108.当端点X要进入相同子网内某雾节点服务范围时,必须提交自己的MAC地址以及步骤104中已签名的第一信息摘要和完整信息;
109.某雾节点对查找表进行遍历,由于在步骤106已先做过标注,故能由MAC地址的纪录得知端点X已经离开本地雾节点;
110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一、第二信息摘要进行比对验证;若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并在查找表中对S值做更新;若验证失败则S值不变,将端点X的MAC地址与特征加入之后产生新版的MAC隔离账本,表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征;
111.S值因只在验证成功时改变,MAC隔离账本则只在验证失败时改变;将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点以及云端服务器;
112.其他雾节点以及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点递延传送,以阻止伪装或恶意的端点渗入相关网域;
113.反复进行步骤110~112,便能够阻绝伪装、恶意端点,使其无法进行内部渗透或是外部攻击;
114.各地雾节点定期向云端服务器进行汇报;
115.云端服务器透过各地雾节点的反馈达到更多方面的功能,例如:透过S值确认当前正常且可用的端点总数、建立更加准确且及时的安全预防机制、在特定时段调用邻近的雾节点对繁忙的雾节点进行分流等;
当网络中加入的雾节点和端点数量足够大,且大多进行记录的节点、端点为可信,便形成一套去中心化且可自证的客观身份认证系统;从而实现基于雾计算框架下的可增进节点与端点以及节点与节点之间通讯安全的认证安全机制和通讯安全的方法。
本发明还提供一种基于雾计算框架下的增进节点与端点以及节点与节点之间的认证安全机制和通讯安全的系统,主要包括四大模块:
(一)端点以及节点间的身份认证安全模块:当今云相关的产品和服务中,大多以数字证书做为用户身份认证的凭借,此种方法必须以一个权威可信的认证中心CA(Certificate Authority)为前提,CA负责海量的证书颁发、存储、备份和销毁等工作,如此不仅会造成额外的时间开销,也会降低云终端和本地雾节点的处理效率。
本发明模块具体涉及摘要算法(HASH函数)、数字签名以及分布式存储技术,结合机器学习的方法采取恶意以及可疑用户的特征,训练并建立可靠的模型,并且加上端、节点间信息的定期更新,达到雾环境下一去中心化的身份认证机制,以防止恶意攻击和身份假冒的危害。
(二)查找表模块:负责保存以下四项信息:1.与本地雾节点连结的其他雾节点的网络名称或网络IP地址2.S值3.本地雾节点网域中已建立安全通信的端点MAC地址4.离开本地雾节点网域的端点MAC地址。本发明包含的查找表模块所记录的相关雾节点数据,不限于与该节点在同一网域或同一阶层的其他节点的数据;这些数据可包含但不限定仅有网络名称、网络IP地址、通讯装置的MAC地址。
(三)可疑MAC地址隔离账本模块:负责记录被定义为须隔离的有线或无线通信装置的MAC地址。本发明包含的MAC地址隔离账本模块,可被一个或一个以上的雾节点,同一阶层或不同阶层雾节点,直接或间接连结的云端服务器,其他网域的云端服务器或节点进行修改,并透过使用者定义的方式发布。
(四)私钥存储模块:负责对私钥进行加密,并且将之存储于各节点中,确保其仅能作签名用途,除此之外任何与私钥相关的请求都将被拒并且封锁。
针对上述基于雾计算框架下的认证安全机制和通讯安全系统,查找表所记录的相关雾节点数据,不限于与该节点在同一网域或同一阶层的其他节点的数据;这些数据可包含但不限定仅有网络名称、网络IP地址、通讯装置的MAC地址。
针对上述基于雾计算框架下的认证安全机制和通讯安全系统,其中,可疑MAC地址隔离账本负责记录被定义为须隔离的有线或无线通信装置的MAC地址。本发明包含的MAC地址隔离账本模块,可被一个或一个以上的雾节点,同一阶层或不同阶层雾节点,直接或间接连结的云端服务器,其他网域的云端服务器或节点进行修改,并透过使用者定义的方式发布。
与现有技术相比,本发明的有益效果是:
本发明通过一去中心化的身份认证机制,优点是任何人都能够以终端的身份随时加入,且所有信息皆采用分布式存储而且有源可查,能够避免因第三方机构所产生额外的时间和带宽消耗,进而提升云终端和本地雾节点的处理效率;与现有的云计算架构相比,能够利用雾计算的特点,将数据处理与存储尽可能本地化,并且善用各设备的运算能力,进而减轻云中心的负担;对MAC隔离账本中大量的特征样本进行机器学习,用可疑和恶意用户的特征训练模型以提高准确度,防止恶意攻击和身份假冒的危害,并建立更加及时的安全预防机制;系统定期更新网络中的S值和MAC隔离账本,使得云中心能够确认当前正常且可用的端点总数,还可就各雾节点的状态进行优化,例如:对繁忙雾节点进行分流。
附图说明
图1为本发明提供的雾计算框架下的模块系统结构示意图。
图2为本发明提供的雾节点对于移动端点进行验证的示意图。
图3为本发明提供的基于雾计算的身份认证方法的流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于雾计算框架下的增进节点与端点以及节点与节点之间通讯安全的方法及系统,通过分析雾计算的现有底层相关工作,得出其中的安全和隐私不足之处,进一步提出增进节点与端点以及节点与节点之间的认证安全机制和通讯安全的方法。
图1为本发明提供的雾计算框架下的模块系统结构示意图。图1中,每个雾节点的网域下都有四大模块:(一)端点以及节点间的身份认证安全模块、(二)查找表模块:负责保存以下四项信息、(三)可疑MAC地址隔离账本模块、(四)私钥存储模块,在此以雾节点A的网域为例说明。第一模块当中所列举是实现该模块所需要的技术点;第二模块分为四部分,分别是:1.与雾节点A连结的其他雾节点的网络名称或网络IP地址2.雾节点A网域中的端点组态值(S值)3.雾节点A网域中已建立安全通信的端点MAC地址4.离开雾节点A网域的端点MAC地址。备注:举例MAC R表示雾节点R的MAC地址,MAC A1表示在雾节点A的网域中,编号1的端点MAC地址;第三模块当中为系统中可疑的MAC地址纪录;第四模块中所保存为雾节点A的私钥。
当产生新的S值或是MAC隔离账本时,雾节点A将其透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点,更高阶的雾节点再向其它同阶的雾节点递延传送,并且持续向上对云端服务器汇报;相反的,当云端服务器接收到来自其他网域的新版S值或是MAC隔离账本时,在各阶层的雾节点中依次向下递延传送。
具体包括如下模块:
(一)端点以及节点间的身份认证安全模块:
因着将机器学习的概念引入系统,所以若节点和端点间数据传输足够大量且频繁,便能够强化整体的系统安全性,大幅度提升决策机制的反馈速度,而且不需要借助第三方即可达成信用共识,优点是任何人都能够以终端的身份随时加入,所有信息皆采用分布式存储而且有源可查。图2为本发明提供的雾节点对于移动端点进行验证的示意图。图2中,用五个步骤详细说明:端点11从离开雾节点1到加入雾节点2所需经历的认证过程。
图3为本发明提供的基于雾计算框架中的身份认证方法的流程框图。具体实施步骤:
1.雾计算框下的每个雾节点皆以特定的算法,针对该节点网络范围之内的所有联机端点的MAC地址(Media Access Control Address)、联机起始时间、联机时节点配发的随机数值等,经过演算得到一数值S;
2.对步骤(1)中S值作详述,S为每个节点的端点组态值,因为其中包含每个端点的特定性质所以不易伪造,其算法定义为:S=∑(MAC(n)⊕T(n)⊕R(n)⊕C(n)),n=1,2,…,N。其中,MAC(n)表示某雾节点下第n个端点的MAC地址,T(n)表示第n个端点与某雾节点建立通信的起始时间,R(n)表示第n个端点联机时某雾节点所分发的随机数值,C(n)表示第n个端点在某雾节点子域内的端点联网状态,n表示某雾节点子域内之各联机端点的编号;
由于算法中的四个参数单位不尽相同,需要先将其皆转化为相同的单位(48位的二进制数)之后,参数之间才能进行异或运算,说明如下:1.MAC地址本身格式为12位十六进制数,例如:00-01-6C-06-A6-29,需将其转换为48位的二进制数2.若端点与某雾节点建立通信之时间点为2018年6月7日下午4时26分,则该时间点表示为2018-0607-1626,需将其转换为48位的二进制数3.R(n)的格式为求计算方便,预设为48位的二进制随机数4.C(n)的格式预设为48位的二进制数,前47位为0,第48位根据端点之连网状态而有所不同,在联机状态下为0,反之则为1;
3.每个雾节点中都存有一个查找表(Lookup Table),该表负责保存以下四项信息:1.与本地雾节点连结的其他雾节点的网络名称或网络IP地址2.S值3.各雾节点网域中已建立安全通信的端点MAC地址4.离开各雾节点的端点MAC地址;
4.例如以下一种实施例,当端点11要离开雾节点1时,将其MAC地址MAC 11从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中,此时端点联网状态(n)会有所改变,故雾节点1会透过算法重新计算S值,使之从S0变成S1,每经过一次新的运算S值的下标递增,S0,S1,…,Sn,将上述三项改动结果储存于查找表中;
5.雾节点1使用一单向散列函数(HASH函数)对信息生成第一信息摘要,并使用自己的私钥对第一信息摘要做签名,之后把信息本身和已签名的第一信息摘要发送给端点11,其中数字签名技术能保证发送信息的完整性、身份认证和不可否认性,具体步骤如下:
1)设G是椭圆曲线上的参考点,dA是私钥,PA是公钥,PA=dA*G;
2)首先选取随机数k,这个数的选择是有约束条件的,在此暂不作讨论;
3)计算r=e+X1,其中(X1,Y1)=k*G;
4)计算s=(1+dA)-1*(k-r*dA);
5)对信息e进行数字签名得到签名结果(r,s);
步骤6)~8)为验证签名的过程,接收方运用所得的发送方的公钥、椭圆曲线参数等对签名的摘要值进行验证,步骤如下:
6)首先计算t=r+s,若t=0则验证失败;
7)通过t与s计算曲线上的点(X1,Y1)=s*G+t*PA;
8)计算R=X1+e,验证R与r是否相等,若两者相则验证通过;
6.雾节点1加密S1和端点11的MAC地址MAC 11,发送给相同子网内的其他雾节点,作为其正式离开雾节点1的消息声明:对相同子网内的其他雾节点而言,根据新的S值S1才能表示端点11正式脱离雾节点1的网络之中;
7.相同子网内其他雾节点收到信息后在其查找表中将S值更新为S1,并且在查找表中找到端点X的MAC地址纪录,标注其已经离开本地雾节点;
8.雾节点1将公钥发送给相同子网内其他雾节点,因此端点11才能够以步骤(5)中雾节点1所签名的第一摘要值,作为对相同子网中其他雾节点的身份认证凭据;
9.当端点11要进入相同子网内其他雾节点服务范围时,例如雾节点2,端点11必须向雾节点2提交自己的MAC地址MAC 11以及步骤(5)中已签名的第一信息摘要;
10.因为端点11必须先离开本地雾节点,才能够加入当前新节点,所以雾节点2对查找表进行遍历,由于在步骤(7)已先对MAC 11做过标注,故能够在纪录中发现其已经离开雾节点1;
11.雾节点2使用步骤(6)中雾节点1所发送的公钥解密,得到雾节点1所计算的第一信息摘要值,接着用相同的单向散列函数(HASH函数)对信息做计算得到第二信息摘要值,将两个摘要值进行验证比对;
12.若验证成功则说明该端点11确实是来自雾节点1,因此允许端点11与雾节点2建立安全通信进行数据交换,因为有新的端点加入,所以雾节点2透过算法重新计算S值,将其记录为S2,并在查找表中对S值做更新;
13.若验证失败则S值保持不变仍为S1,表示该请求加入的端点可能是伪装或恶意端点,如此雾节点2将拒绝端点11所发起的通信请求并采集其特征,将MAC 11与其特征加入之后产生新版的MAC隔离账本;
14.S值因只在验证成功时改变,MAC隔离账本则只在验证失败时改变;故步骤(12)产生新的S值,步骤(13)则产生新的MAC隔离本账本,将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点以及云端服务器;
15.相同子网内的其他雾节点以及上一阶的雾节点收到信息之后,视验证结果将MAC隔离账本以及查找表中的S值做更新,并且同时向其它同阶的雾节点递延传送,以阻止伪装或恶意的端点渗入相关网域;
16.藉由步骤(12)~(15)便能够成功阻绝伪装、恶意端点,使其无法进行内部攻击,或是从外部尝试入侵其他更高阶层的雾节点或是云端服务器所管辖的网域;
17.建立类似MapReduce心跳机制,雾节点定期向云端服务器进行汇报,减少反复传送造成的带宽浪费以及资源消耗,同时完善运用雾计算邻近终端的雾节点的决策和运算能力;
18.云端服务器透过各地雾节点的反馈可以达到以下功能:
1)透过S值确认当前正常且可用的端点总数、端点联网状态以及连机起始时间;
2)建立更加完整、可信的MAC隔离账本;
3)根据账本中大量的特征样本进行机器学习,建立更加准确且及时的安全机制;
4)就各雾节点的状态作出决策,例如:在特定时段调用邻近的雾节点对繁忙的雾节点进行分流等;
系统反复进行步骤(1)~(18),当网络中加入的雾节点和端点数量足够大,加上大多记录的节点、端点为可信,从而形成一套去中心化且客观可靠的身份认证机制。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (6)
1.一种基于雾计算的增强通讯安全的方法,通过去中心化的认证机制,对端点及节点间的身份进行安全认证,并采用机器学习的方法,增进节点与端点、节点与节点之间的通讯安全,以防止恶意攻击和身份假冒;具体步骤如下:
101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息,通过运算得到每个节点的端点组态值S;
102.本地雾节点中均存有查找表,所述查找表保存以下信息:与本地雾节点连接的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址;
103.当端点X离开本地雾节点时,将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中;重新计算S值;更新雾节点的查找表;
104.本地雾节点用HASH函数生成第一信息摘要,并使用数字签名技术进行数字签名,将签名后的第一信息摘要与信息发送给端点X;端点X使用相同的HASH函数对接收的信息生成新的信息摘要,为第二信息摘要;并使用信息发送者的公钥解密得到第一信息摘要;再将第一信息摘要与第二信息摘要进行验证比对,以确定端点X能否加入新的雾节点;
105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值;
106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址,标注端点X已经离开本地雾节点;
107.本地雾节点将公钥发送给相同子网内其他雾节点,端点X才能以该公钥对相同子网中其他雾节点作身份认证;
108.当端点X要进入相同子网内某雾节点服务范围时,必须提交自己的MAC地址及步骤104中已签名的第一信息摘要和信息;
109.某雾节点对查找表进行遍历,由MAC地址的标注获得端点X已经离开本地雾节点的信息;
110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一信息摘要、第二信息摘要进行比对验证;若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并更新查找表中的S值;若验证失败则将端点X的MAC地址与特征加入之后产生的新版的MAC隔离账本,表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征;
111将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点及云端服务器;
112.其他雾节点及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点传递,以阻止伪装或恶意的端点渗入网域;
113.反复进行步骤110~112,阻绝伪装端点、恶意端点,使其无法进行内部渗透或是外部攻击;
114.各地雾节点定期向云端服务器进行汇报;
115.云端服务器透过各地雾节点的反馈达到更多功能,包括:通过S值确认当前正常且可用的端点总数、建立更加准确且及时的安全预防机制、在特定时段调用邻近的雾节点对繁忙的雾节点进行分流;
通过上述步骤,实现基于雾计算的去中心化且可自证的客观身份认证,达到增进节点与端点及节点与节点之间通讯安全的目的。
2.如权利要求1所述基于雾计算的增强通讯安全的方法,其特征是,步骤104具体使用SM2-1椭圆曲线数字签名技术进行数字签名;具体地,执行操作1)~3)进行数字签名,执行操作4)~7)进行数字签名的验证:
1)发送者使用一单向散列函数(HASH函数)对信息生成第一信息摘要;
2)发送者使用自己的私钥对第一信息摘要做签名;
3)发送者把信息本身并同已签名的第一信息摘要发送出去;
4)接收者使用与发送者使用相同的单向散列函数(HASH函数),对接收的信息本身生成新的信息摘要,其为第二信息摘要;
5)接收者使用信息发送者的公钥解密得到第一信息摘要;
6)接收者将第一信息摘要与第二信息摘要进行验证比对;
7)接收者根据比对结果,决定能否与端点X建立通信,即端点X能否加入新的雾节点。
3.如权利要求1所述基于雾计算的增强通讯安全的方法,其特征是,步骤101具体通过式1计算得到每个节点的端点组态值S:
S=∑(MAC(n)⊕T(n)⊕R(n)⊕C(n)),n=1,2,…,N(式1)其中,MAC(n)表示某雾节点下第n个端点的MAC地址,T(n)表示第n个端点与某雾节点建立通信的起始时间,R(n)表示第n个端点联机时某雾节点所分发的随机数值,C(n)表示第n个端点在某雾节点子域内的端点联网状态,n表示某雾节点子域内之各联机端点的编号。
4.一种基于雾计算的增强通讯安全的认证系统,包括:端点以及节点间的身份认证安全模块、查找表模块、可疑MAC地址隔离账本模块、私钥存储模块;其中:
(一)端点以及节点间的身份认证安全模块:用于通过HASH函数、数字签名、机器学习的方法,采集恶意及可疑用户的特征,建立并训练得到认证模型,实现去中心化的身份认证;
(二)查找表模块用于保存信息:与本地雾节点连结的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址;
(三)可疑MAC地址隔离账本模块用于记录须隔离的有线或无线通信装置的MAC地址;
(四)私钥存储模块用于对私钥进行加密,并存储于各节点中,使得仅作签名用途。
5.如权利要求4所述基于雾计算的增强通讯安全的认证系统,其特征是,所述查找表模块所记录的雾节点数据包括在同一网域或同一阶层的多个节点的数据;且所记录的雾节点数据包括但不限于网络名称、网络IP地址、通讯装置的MAC地址。
6.如权利要求4所述基于雾计算的增强通讯安全的认证系统,其特征是,所述可疑MAC地址隔离账本可被一个或一个以上的、同一阶层或不同阶层雾节点,直接或间接连结的云端服务器,其他网域的云端服务器或节点进行修改,并通过使用者定义的方式发布。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810588865.2A CN108833113B (zh) | 2018-06-08 | 2018-06-08 | 一种基于雾计算的增强通讯安全的认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810588865.2A CN108833113B (zh) | 2018-06-08 | 2018-06-08 | 一种基于雾计算的增强通讯安全的认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108833113A true CN108833113A (zh) | 2018-11-16 |
CN108833113B CN108833113B (zh) | 2020-06-26 |
Family
ID=64144407
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810588865.2A Active CN108833113B (zh) | 2018-06-08 | 2018-06-08 | 一种基于雾计算的增强通讯安全的认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108833113B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688597A (zh) * | 2018-12-18 | 2019-04-26 | 北京邮电大学 | 一种基于人工智能的雾无线接入网络组网方法及装置 |
CN111148069A (zh) * | 2019-12-30 | 2020-05-12 | 西北工业大学 | 基于雾计算空地一体化车联网信息传输方法、智慧交通 |
CN111541760A (zh) * | 2020-04-20 | 2020-08-14 | 中南大学 | 基于无服务器雾计算系统架构的复杂任务分配方法 |
CN113011042A (zh) * | 2021-04-13 | 2021-06-22 | 中国大唐集团科学技术研究院有限公司 | 一种基于雾计算的电厂工控系统态势感知建模方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714996A (zh) * | 2009-12-31 | 2010-05-26 | 中兴通讯股份有限公司 | 基于对等计算网络的认证系统及方法 |
CN102916811A (zh) * | 2012-10-18 | 2013-02-06 | 中国科学院信息工程研究所 | 一种多元实体身份凭证信息存储方法 |
US20150181460A1 (en) * | 2013-12-20 | 2015-06-25 | Cisco Technology, Inc. | Dynamic coding for network traffic by fog computing node |
CN106453405A (zh) * | 2016-11-24 | 2017-02-22 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下雾节点安全认证方法 |
-
2018
- 2018-06-08 CN CN201810588865.2A patent/CN108833113B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714996A (zh) * | 2009-12-31 | 2010-05-26 | 中兴通讯股份有限公司 | 基于对等计算网络的认证系统及方法 |
CN102916811A (zh) * | 2012-10-18 | 2013-02-06 | 中国科学院信息工程研究所 | 一种多元实体身份凭证信息存储方法 |
US20150181460A1 (en) * | 2013-12-20 | 2015-06-25 | Cisco Technology, Inc. | Dynamic coding for network traffic by fog computing node |
CN106453405A (zh) * | 2016-11-24 | 2017-02-22 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下雾节点安全认证方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688597A (zh) * | 2018-12-18 | 2019-04-26 | 北京邮电大学 | 一种基于人工智能的雾无线接入网络组网方法及装置 |
CN111148069A (zh) * | 2019-12-30 | 2020-05-12 | 西北工业大学 | 基于雾计算空地一体化车联网信息传输方法、智慧交通 |
CN111541760A (zh) * | 2020-04-20 | 2020-08-14 | 中南大学 | 基于无服务器雾计算系统架构的复杂任务分配方法 |
CN111541760B (zh) * | 2020-04-20 | 2022-05-13 | 中南大学 | 基于无服务器雾计算系统架构的复杂任务分配方法 |
CN113011042A (zh) * | 2021-04-13 | 2021-06-22 | 中国大唐集团科学技术研究院有限公司 | 一种基于雾计算的电厂工控系统态势感知建模方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108833113B (zh) | 2020-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Saxena et al. | Authentication and authorization scheme for various user roles and devices in smart grid | |
CN107071774B (zh) | 一种基于身份短群签名的vanet接入认证方法 | |
CN106134152B (zh) | 用于加入社交wi-fi网状网络的方法、设备及装置 | |
Chaudhry et al. | A lightweight authentication scheme for 6G-IoT enabled maritime transport system | |
CN103354498B (zh) | 一种基于身份的文件加密传输方法 | |
CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
Li et al. | Smart applications in edge computing: Overview on authentication and data security | |
Liu et al. | Bua: A blockchain-based unlinkable authentication in vanets | |
CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
CN102647394B (zh) | 路由设备身份认证方法及装置 | |
CN103929745B (zh) | 一种基于隐私保护的无线mesh网络接入认证系统及方法 | |
CN102546184B (zh) | 传感网内消息安全传输或密钥分发的方法和系统 | |
CN110267270A (zh) | 一种变电站内传感器终端接入边缘网关身份认证智能合约 | |
CN107204847A (zh) | 空天车地轨道专用网络接入认证与密钥协商协议和方法 | |
Lai et al. | A secure blockchain-based group mobility management scheme in VANETs | |
WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
CN113746632A (zh) | 一种物联网系统多级身份认证方法 | |
He et al. | An accountable, privacy-preserving, and efficient authentication framework for wireless access networks | |
CN105978883A (zh) | 大规模车联网下安全的数据采集方法 | |
CN105262591A (zh) | 一种基于数据的网络通信实现方法 | |
CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |