CN109861828B - 一种基于边缘计算的节点接入和节点认证方法 - Google Patents

一种基于边缘计算的节点接入和节点认证方法 Download PDF

Info

Publication number
CN109861828B
CN109861828B CN201910155324.5A CN201910155324A CN109861828B CN 109861828 B CN109861828 B CN 109861828B CN 201910155324 A CN201910155324 A CN 201910155324A CN 109861828 B CN109861828 B CN 109861828B
Authority
CN
China
Prior art keywords
edge computing
node
public
private key
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910155324.5A
Other languages
English (en)
Other versions
CN109861828A (zh
Inventor
陈璐
陈牧
马媛媛
邵志鹏
汪自翔
李尼格
戴造建
李勇
方文高
席泽生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Zhejiang Electric Power Co Ltd
Global Energy Interconnection Research Institute
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Zhejiang Electric Power Co Ltd
Global Energy Interconnection Research Institute
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Zhejiang Electric Power Co Ltd, Global Energy Interconnection Research Institute, Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Publication of CN109861828A publication Critical patent/CN109861828A/zh
Application granted granted Critical
Publication of CN109861828B publication Critical patent/CN109861828B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开一种基于边缘计算的节点接入和节点认证方法,该接入方法包括:接收密钥生成服务器发送的认证主密钥和公共参数;向主边缘计算节点和密钥生成服务器发送身份标识信息;接收密钥生成服务器根据认证主密钥、公共参数及身份标识信息生成的部分私钥信息;根据公共参数、身份标识信息及部分私钥信息计算第一公私钥,将第一公私钥发送至主边缘计算节点;接收主边缘计算节点根据所述第一公私钥签名的秘密份额,将秘密份额作为接入认证的凭证。该接入方法解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。

Description

一种基于边缘计算的节点接入和节点认证方法
技术领域
本发明涉及边缘计算信息安全技术领域,具体涉及一种基于边缘计算的节点接入和节点认证方法。
背景技术
随着物联网、5G等技术的快速发展,万物互联的趋势不断加深,物联网技术和智能设备越来越多地渗透到人们的日常生活,智能电网、智慧城市、自动驾驶等新型业务模式不断涌现,网络边缘设备数量将呈爆炸式增长,随之而来的是网络边缘设备产生的“海量级”数据处理带来的高实时性等需求。
边缘计算作为以网络边缘设备为核心的新型计算模式,为解决时延和网络带宽负载问题带来极大的便利,支持将云中心任务向网络边缘侧迁移,将服务带到离边缘更近、范围更广的地方。通过部署边缘服务设备(如边缘计算节点、私有云等),服务可以驻留在边缘设备上,在处理海量数据的同时还可以确保高效的网络运营和服务交付。在这种开放式互联背景下,身份认证和管理功能遍布边缘计算参考架构的所有功能层级,而用户的身份认证是边缘计算的第一道防线,身份识别对确保应用和数据的安全保密至关重要。
当边缘设备需要使用边缘计算提供的服务时,如果缺乏身份验证服务,一个流动的边缘计算节点/服务器可以假装成一个合法的边缘计算设备或边缘计算实例,并诱使边缘侧终端设备连接到它。一旦终端设备与虚假的边缘计算节点建立连接,敌手就可以操纵来自终端用户或云的传入和传出请求,秘密地收集或篡改终端设备数据,并很容易发起进一步的攻击,虚假边缘计算节点或服务器的存在是对用户数据安全和隐私的严重威胁。
发明内容
有鉴于此,本发明实施例提供了一种基于边缘计算的节点接入和节点认证方法,以解决现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种基于边缘计算的节点接入方法,该接入方法包括:接收密钥生成服务器发送的认证主密钥和公共参数;向主边缘计算节点和所述密钥生成服务器发送身份标识信息;接收所述密钥生成服务器根据所述认证主密钥、公共参数及身份标识信息生成的部分私钥信息;根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点;接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额,将所述秘密份额作为接入认证的凭证。
在本发明的一些实施例中,根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点之前,包括:判断所述部分私钥信息是否正确;当判断所述部分私钥信息正确后,根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点。
在本发明的一些实施例中,接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额,将所述秘密份额作为接入认证的凭证,包括:接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额;判断签名的秘密份额是否可信;如果判断签名的秘密份额不可信,则丢弃接收的签名的秘密份额;如果判断签名的秘密份额可信,则将所述秘密份额作为接入认证的凭证。
本发明实施例第二方面提供一种基于边缘计算的节点接入方法,该接入方法包括:接收其他边缘计算节点发送的身份标识信息和第一公私钥;根据所述其他边缘计算节点的数量生成秘密份额;根据所述第一公私钥对所述秘密份额进行签名,将签名的秘密份额发送至所述其他边缘计算节点。
在本发明的一些实施例中,接收其他边缘计算节点发送的身份标识信息和第一公私钥之前,所述节点接入方法还包括:接收密钥生成服务器发送的认证主密钥和公共参数;向所述密钥生成服务器发送身份标识信息;接收所述密钥生成服务器根据所述认证主密钥、公共参数及身份标识信息生成的部分私钥信息;根据所述公共参数、身份标识信息及部分私钥信息计算第二公私钥。
本发明实施例第三方面提供一种基于边缘计算的节点接入方法,该节点接入方法包括:根据安全参数生成认证主密钥和公共参数,将所述认证主密钥和公共参数发送至边缘计算节点;接收所述边缘计算节点发送的身份标识信息;根据所述认证主密钥、公共参数和身份标识信息生成部分私钥信息,将所述部分私钥信息发送至所述边缘计算节点。
本发明实施例第四方面提供一种基于边缘计算的节点认证方法,该节点认证方法包括:根据本发明实施例第一方面任一项所述的基于边缘计算的节点接入方法生成的秘密份额生成随机分量;将所述随机分量发送至所述主边缘计算节点进行认证。
本发明实施例第五方面提供一种基于边缘计算的节点认证方法,该节点认证方法包括:接收其他边缘计算节点发送的随机分量;所述随机分量为所述其他边缘计算节点根据如本发明实施例第一方面任一项所述的基于边缘计算的节点接入方法生成的秘密份额生成的;对所述随机分量进行批量计算,判断所述其他边缘计算节点是否合法;当判断所述其他边缘计算节点合法时,与合法的其它边缘计算节点建立连接。
本发明实施例第六方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面、第二方面及第三方面任一项所述的基于边缘计算的节点接入方法,或者,执行如本发明实施例第四方面或第五方面任一项所述的基于边缘计算的节点认证方法。
本发明实施例第七方面提供一种基于边缘计算的节点接入和节点认证设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面、第二方面及第三方面任一项所述的基于边缘计算的节点接入方法,或者,执行如本发明实施例第四方面或第五方面任一项所述的基于边缘计算的节点认证方法。
本发明提出的技术方案,具有如下优点:
本发明实施例提供的基于边缘计算的节点接入和节点认证方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,并根据该公私钥生成签名的秘密份额,作为边缘计算节点接入的身份凭证,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点接入和节点认证过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题。同时主边缘计算节点通过对接收的随机分量进行批量计算,提高了海量异构终端并发接入的验证效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的基于边缘计算的节点接入和节点认证方法的应用场景示意图;
图2是根据本发明另一实施例的基于边缘计算的节点接入和节点认证方法的应用场景示意图;
图3是根据本发明另一实施例的基于边缘计算的节点接入和节点认证方法的应用场景示意图;
图4是根据本发明实施例的基于边缘计算的节点接入方法的流程图;
图5是根据本发明另一实施例的基于边缘计算的节点接入方法的流程图;
图6是根据本发明另一实施例的基于边缘计算的节点接入方法的流程图;
图7是根据本发明另一实施例的基于边缘计算的节点接入方法的流程图;
图8是根据本发明另一实施例的基于边缘计算的节点接入方法的流程图;
图9是根据本发明另一实施例的基于边缘计算的节点接入方法的流程图;
图10是根据本发明实施例的基于边缘计算的节点认证方法的流程图;
图11是根据本发明另一实施例的基于边缘计算的节点认证方法的流程图;
图12是本发明实施例提供的基于边缘计算的节点接入和节点认证电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于边缘计算的节点接入和节点认证方法,如图1所示,是本发明实施例的应用场景示意图。密钥生成服务器根据安全参数生成认证主密钥和公共参数,将认证主密钥和公共参数发送至边缘计算节点;边缘计算节点接收密钥生成服务器发送的认证主密钥和公共参数,并将自己的身份标识信息发送至密钥生成服务器;密钥生成服务器接收边缘计算节点发送的身份标识信息,根据认证主密钥、公共参数和身份标识信息生成部分私钥信息,将部分私钥信息发送至边缘计算节点;边缘计算节点接收部分私钥信息并判断正确后,根据公共参数、身份标识信息及部分私钥信息计算公私钥。
如图2所示,当边缘计算节点中的某个边缘计算节点需要与其他节点互联协作时,将该节点作为主边缘计算节点。主边缘计算节点接收其他边缘计算节点发送的身份标识信息和第一公私钥,并根据其他边缘计算节点的数量为其他边缘计算节点生成秘密份额,然后对秘密份额进行签名,将签名的秘密份额发送至其他边缘计算节点,其他边缘计算节点接收签名的秘密份额,将秘密份额作为接入认证的凭证。
如图3所示,当多个边缘计算节点需要进行群组认证时,其他边缘计算节点根据接收的签名的秘密份额和自己的身份信息生成随机分量,将生成的随机分量发送至主边缘计算节点进行认证;主边缘计算节点计算随机分量后,对随机分量进行批量计算,判断其他边缘计算节点是否合法,当判断其他边缘计算节点合法时,与合法的其它边缘计算节点建立连接。
本发明实施例提供的基于边缘计算的节点接入和节点认证方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,并根据该公私钥生成签名的秘密份额,作为边缘计算节点接入的身份凭证,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点接入和节点认证过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题。同时主边缘计算节点通过对接收的随机分量进行批量计算,提高了海量异构终端并发接入的验证效率。
本发明实施例还提供一种基于边缘计算的节点接入方法,该节点接入方法可具体应用于上述应用场景中的其他边缘计算节点,如图4所示,该节点接入方法包括如下步骤:
步骤S101:接收密钥生成服务器发送的认证主密钥和公共参数;具体地,密钥生成服务器利用安全参数k生成双线性配对函数e,双线性配对函数e可以表示为G1×G2→GT,其中(G1,G2,GT)是阶为p(其中p>2k)的循环群,(G1,G2,GT)群的生成元分别表示为Q,P,g;认证主密钥从整数群
Figure BDA0001982187700000071
中随机选取,可以用s*表示;接着选取三个不同的加密哈希函数H1、H2及H3,其中H1表示为
Figure BDA0001982187700000072
H2表示为
Figure BDA0001982187700000073
n为边缘计算节点的个数,H3表示为G2×GT→{0,1}n,通过上述双线性配对函数和哈希函数可以生成公共参数,公共参数表示为pp=<G1,G2,GT,e,p,P,Q,g,Ppub,H1,H2,H3>,其中Ppub可以表示为Ppub=s*Q。密钥生成服务器生成认证主密钥s*和公共参数pp后,将其发送至其他边缘计算节点。
步骤S102:向主边缘计算节点和密钥生成服务器发送身份标识信息;具体地,每个边缘计算节点拥有自己的身份标识信息,该身份标识信息可以用xi表示,其中i=1,2,...,n,n表示所有边缘计算节点的个数,其他边缘计算节点接收到认证主密钥和公共参数后,将自己的身份标识信息发送至主边缘计算节点和密钥生成服务器。
步骤S103:接收密钥生成服务器根据认证主密钥、公共参数及身份标识信息生成的部分私钥信息;具体地,密钥生成服务器根据边缘计算节点的身份信息xi,公共参数pp和认证主秘钥s*计算出每个边缘计算节点的部分私钥信息,部分私钥信息由Qxi和dxi共同组成,其具体计算公式用公式(1)和公式(2)表示,
Figure BDA0001982187700000081
Figure BDA0001982187700000082
步骤S104:根据公共参数、身份标识信息及部分私钥信息计算第一公私钥,将第一公私钥发送至主边缘计算节点;具体地,其他边缘计算节点首先从整数群
Figure BDA0001982187700000083
中随机选取整数xxi作为秘密值,然后将(dxi,xxi)作为该节点的私钥信息skxi;边缘计算节点利用公共参数pp和自己的身份信息xi,通过公式(3)计算该节点的公钥信息pkxi,私钥信息skxi和公钥信息pkxi共同构成第一公私钥。
pkxi=xxi(Ppub+H1(xi)Q) 公式(3)
步骤S105:接收主边缘计算节点根据第一公私钥签名的秘密份额,将秘密份额作为接入认证的凭证。具体地,主边缘计算节点首先在整数群
Figure BDA0001982187700000084
上随机选择t个整数值ai(i=0,1,2,...,t-1),生成一个t-1次随机多项式,该多项式用公式(4)表示,其中t是随机选取的整数值,
f(x)=a0+a1x+…+at-1xt-1mod p 公式(4)
然后,主边缘计算节点根据其他边缘计算节点的身份标识信息xi计算f(xi),并将其记为各其他边缘计算节点对应的秘密份额si;接着,主边缘计算节点为每个秘密份额设置签名,可以用公式(5)至公式(9)表示,
Figure BDA0001982187700000091
u=r1(PPub+H1(xiR)Q) 公式(6)
h2=H2(si,u,gr1,r1pkxiR,pkxiR) 公式(7)
Figure BDA0001982187700000092
w=xxish2+r1 公式(9)
其中,r1是从整数群
Figure BDA0001982187700000093
中随机选取的整数值,pkxiR为主边缘计算节点接收的公钥信息,xiR表示主边缘计算节点接收的其他边缘计算节点的身份信息,dxiS其他边缘计算节点发送的部分私钥信息,xxis表示其他边缘计算节点随机选取的秘密值,根据上述公式(5)至公式(9)得到c、u、v、w后,可以设置秘密份额的签名σ=(c,u,v,w)。主边缘计算节点对秘密份额签名后,将签名的秘密份额发送至其他边缘计算节点,其他边缘计算节点接收签名的秘密份额后,将签名的秘密份额作为接入主边缘计算节点的凭证。
本发明实施例提供的基于边缘计算的节点接入方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,并根据该公私钥生成签名的秘密份额,作为边缘计算节点接入的身份凭证,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点接入过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题。
作为本发明实施例的一种可选的实施方式,如图5所示,在步骤S104根据公共参数、身份标识信息及部分私钥信息计算第一公私钥,将第一公私钥发送至主边缘计算节点之前,该节点接入方法还包括如下步骤:
步骤S141:判断部分私钥信息是否正确;具体地,当其他边缘计算节点接收到密钥生成服务器根据认证主密钥、公共参数及身份标识信息生成的部分私钥信息后,通过判断等式e(dxi,Ppub+QxiQ)=g是否成立来确认所获取的部分私钥信息是否真实有效。
步骤S142:当判断部分私钥信息正确后,执行步骤S104,根据公共参数、身份标识信息及部分私钥信息计算第一公私钥,将第一公私钥发送至主边缘计算节点。具体地,当判断S141中的等式成立后,则说明其他边缘计算节点获取的部分私钥信息正确。
作为本发明实施例的一种可选的实施方式,如图6所示,步骤S105接收主边缘计算节点根据第一公私钥签名的秘密份额,将秘密份额作为接入认证的凭证,具体包括如下步骤:
步骤S151:接收主边缘计算节点根据第一公私钥签名的秘密份额。具体地,主边缘计算节点对秘密份额签名的过程参见上述方法实施例中步骤S105的相关描述,主边缘计算节点计算得到签名的秘密份额后,将签名的秘密份额发送至其他边缘计算节点。
步骤S152:判断签名的秘密份额是否可信。具体地,当其他边缘计算节点接收到主边缘计算节点根据第一公私钥签名的秘密份额后,进行解签名操作,具体解签名的过程可以采用下列公式进行,首先通过公式(10)和公式(11)计算得到gr1′和si的值,
gr1′=e(dxiR,u) 公式(10)
Figure BDA0001982187700000111
其中,r1′是从整数群
Figure BDA0001982187700000112
中随机选取的整数值,dxiR表示其他边缘计算节点接收的部分私钥信息。xxiR表示其他边缘计算节点随机选取的秘密值。
然后通过公式(12)和公式(13)计算得到h2和r’1Txis的值,
h2=H2(si,u,xxiRu,pkxis,pkxiR) 公式(12)
r′1Txis=wTxis-h2pkxiS 公式(13)
其中,pkxiS表示主边缘计算节点发送的公钥信息,pkxiR表示其他边缘计算节点接收的公钥信息。最后通过等式
Figure BDA0001982187700000113
是否成立判断签名的秘密份额是否可信。
步骤S153:如果判断签名的秘密份额不可信,则丢弃接收的签名的秘密份额。具体地,若等式
Figure BDA0001982187700000114
不成立,则其他边缘计算节点判断签名的秘密份额不可信,说明解签名失败,其他边缘计算节点会丢弃接收的签名的秘密份额。
步骤S154:如果判断签名的秘密份额可信,则将秘密份额作为接入认证的凭证。具体地,若等式
Figure BDA0001982187700000115
成立,则其他边缘计算节点判断签名的秘密份额可信,其他边缘计算节点会接收签名的秘密份额,将其作为接入认证的凭证。
本发明实施例还提供一种基于边缘计算的节点接入方法,该节点接入方法可具体应用于上述应用场景中的主边缘计算节点,如图7所示,该节点接入方法包括如下步骤:
步骤S201:接收其他边缘计算节点发送的身份标识信息和第一公私钥;具体地,主边缘计算节点接收其他边缘计算节点发送的其他边缘计算节点自己的身份标识信息,该身份标识信息可以用xi表示,其中i=1,2,...,n,n表示所有边缘计算节点的个数,第一公私钥可以由上述实施例中公式(1)、公式(2)及公式(3)计算得到,其他边缘计算节点计算得到第一公私钥后将其发送至主边缘计算节点。
步骤S202:根据其他边缘计算节点的数量生成秘密份额;具体地,主边缘计算节点根据接收的其他边缘计算节点的身份标识信息判断其他边缘计算节点的数量,根据其他边缘计算节点的数量生成相应个数的秘密份额,秘密份额的计算公式可以由上述实施例中公式(4)计算得到。
步骤S203:根据第一公私钥对秘密份额进行签名,将签名的秘密份额发送至其他边缘计算节点。具体地,主边缘计算节点生成秘密份额后,根据上述实施例中公式(5)至公式(9)对生成的秘密份额进行签名,并将签名后的秘密份额发送至其他边缘计算节点。
作为本发明实施例的一种可选的实施方式,如图8所示,在步骤S201接收其他边缘计算节点发送的身份标识信息和第一公私钥之前,该节点接入方法还包括:
步骤S211:接收密钥生成服务器发送的认证主密钥和公共参数;具体地,密钥生成服务器利用安全参数k生成双线性配对函数e,双线性配对函数e可以表示为G1×G2→GT,其中(G1,G2,GT)是阶为p(其中p>2k)的循环群,(G1,G2,GT)群的生成元分别表示为Q,P,g;认证主密钥从整数群
Figure BDA0001982187700000121
中随机选取,可以用s*表示;接着选取三个不同的加密哈希函数H1、H2及H3,其中H1表示为
Figure BDA0001982187700000122
H2表示为
Figure BDA0001982187700000123
n为边缘计算节点的个数,H3表示为G2×GT→{0,1}n,通过上述双线性配对函数和哈希函数可以生成公共参数,公共参数表示为pp=<G1,G2,GT,e,p,P,Q,g,Ppub,H1,H2,H3>,其中Ppub可以表示为Ppub=s*Q。密钥生成服务器生成认证主密钥和s*和公共参数pp后,将其发送至主边缘计算节点。
步骤S212:向密钥生成服务器发送身份标识信息;具体地,主边缘计算节点拥有自己的身份标识信息,该身份标识信息可以用xi表示,主边缘计算节点将自己的身份标识信息发送至密钥生成服务器。
步骤S213:接收密钥生成服务器根据认证主密钥、公共参数及身份标识信息生成的部分私钥信息;具体地,密钥生成服务器根据边缘计算节点的身份信息xi,公共参数pp和认证主秘钥s*计算出每个边缘计算节点的部分私钥信息,部分私钥信息由Qxi和dxi共同组成,其具体计算公式如公式(1)和公式(2)所示,
Figure BDA0001982187700000131
Figure BDA0001982187700000132
步骤S214:根据公共参数、身份标识信息及部分私钥信息计算第二公私钥。具体地,主边缘计算节点首先从整数群
Figure BDA0001982187700000133
中随机选取整数xxi作为秘密值,然后将(dxi,xxi)作为该节点的私钥信息skxi;边缘计算节点利用公共参数pp和自己的身份信息xi,通过公式(3)计算该节点的公钥信息pkxi,私钥信息skxi和公钥信息pkxi共同构成第二公私钥。
pkxi=xxi(Ppub+H1(xi)Q) 公式(3)
本发明实施例提供的基于边缘计算的节点接入方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,并根据该公私钥生成签名的秘密份额,作为边缘计算节点接入的身份凭证,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点接入过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题。
本发明实施例还提供一种基于边缘计算的节点接入方法,该节点接入方法可具体应用于上述应用场景中的密钥生成服务器,如图9所示,该节点接入方法包括如下步骤:
步骤S301:根据安全参数生成认证主密钥和公共参数,将所认证主密钥和公共参数发送至边缘计算节点;具体地,密钥生成服务器利用安全参数k生成双线性配对函数e,双线性配对函数e可以表示为G1×G2→GT,其中(G1,G2,GT)是阶为p(其中p>2k)的循环群,(G1,G2,GT)群的生成元分别表示为Q,P,g;认证主密钥从整数群
Figure BDA0001982187700000141
中随机选取,可以用s*表示;接着选取三个不同的加密哈希函数H1、H2及H3,其中H1表示为
Figure BDA0001982187700000142
H2表示为
Figure BDA0001982187700000143
Figure BDA0001982187700000144
n为边缘计算节点的个数,H3表示为G2×GT→{0,1}n,通过上述双线性配对函数和哈希函数可以生成公共参数,公共参数表示为pp=<G1,G2,GT,e,p,P,Q,g,Ppub,H1,H2,H3>,其中Ppub可以表示为Ppub=s*Q。密钥生成服务器生成认证主密钥和s*和公共参数pp后,将其发送至边缘计算节点,边缘计算节点包括主边缘计算节点和其他边缘计算节点。
步骤S302:接收边缘计算节点发送的身份标识信息;具体地,密钥生成服务器接收边缘计算节点发送的身份标识信息,每个边缘计算节点拥有自己的身份标识信息,该身份标识信息可以用xi表示,其中i=1,2,...,n,n表示所有边缘计算节点的个数。
步骤S303:根据认证主密钥、公共参数和身份标识信息生成部分私钥信息,将部分私钥信息发送至边缘计算节点。具体地,密钥生成服务器根据边缘计算节点的身份信息xi,公共参数pp和认证主秘钥s*计算出每个边缘计算节点的部分私钥信息,部分私钥信息由Qxi和dxi共同组成,其具体计算公式如公式(1)和公式(2)所示,
Figure BDA0001982187700000151
Figure BDA0001982187700000152
密钥生成服务器生成部分私钥信息后,将部分私钥信息发送至其他边缘计算节点和主边缘计算节点。
本发明实施例提供的基于边缘计算的节点接入方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,并将部分私钥信息发送至边缘计算节点,为后续边缘计算节点的接入提供了身份凭证,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题。此外本发明实施例提出的方法,在节点接入过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题。
本发明实施例还提供一种基于边缘计算的节点认证方法,该节点认证方法可具体应用于上述应用场景中的其他边缘计算节点,如图10所示,该节点认证方法包括如下步骤:
步骤S401:根据上述实施例的基于边缘计算的节点接入方法生成的秘密份额生成随机分量;具体地,当有m个边缘计算节点需要接入认证时,m个边缘计算节点根据上述实施例中公式(4)计算得到秘密份额,根据公式(14)计算得到随机分量Ci
Figure BDA0001982187700000153
其中,ri表示在整数群
Figure BDA0001982187700000154
上选取的随机数,q表示群的阶。
步骤S402:将随机分量发送至主边缘计算节点进行认证。具体地,m个边缘计算节点生成随机分量后,将生成的随机分量发送至主边缘计算节点进行认证。
本发明实施例提供的基于边缘计算的节点认证方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点认证过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题,同时主边缘计算节点通过对接收的随机分量进行批量计算,提高了海量异构终端并发接入的验证效率。
本发明实施例还提供一种基于边缘计算的节点认证方法,该节点认证方法可具体应用于上述应用场景中的主边缘计算节点,如图11所示,该节点认证方法包括如下步骤:
步骤S501:接收其他边缘计算节点发送的随机分量;随机分量为其他边缘计算节点根据上述实施例所述的基于边缘计算的节点接入方法生成的秘密份额生成的;具体地,当有m个边缘计算节点需要接入认证时,m个边缘计算节点生成随机分量,并将随机分量发送至主边缘计算节点。
步骤S502:对随机分量进行批量计算,判断其他边缘计算节点是否合法;具体地,当主边缘计算节点接收到m个其他边缘计算节点发送的随机分量Ci后,通过公式(15)计算得到恢复出的秘密值s′。
Figure BDA0001982187700000161
主边缘计算节点计算得到恢复出的秘密值s′后,计算其哈希值H(s′),并通过判断等式H(s′)=H(s)是否成立来判断其他边缘计算节点是否合法。
步骤S503:当判断其他边缘计算节点合法时,与合法的其它边缘计算节点建立连接。具体地,当判断等式H(s′)=H(s)成立,则说明认证的其他边缘计算节点合法,将合法的其它边缘计算节点建立连接,若等式不成立,则说明参与认证的边缘计算节点是非法的。
本发明实施例提供的基于边缘计算的节点认证方法,密钥生成服务器根据边缘计算节点的唯一身份标识信息生成部分私钥信息,边缘计算节点根据部分私钥信息计算得到公私钥,解决了现有技术中边缘设备缺乏身份验证服务导致用户数据和隐私受到威胁的技术问题,同时生成的签名的秘密份额,保障了秘密份额在传输过程中的可靠性,增强整个边缘计算系统的安全性与可靠性。此外本发明实施例提出的方法,在节点认证过程中,边缘计算节点的身份信息不再存储在功能实体中,有效避免了身份信息泄露问题,同时主边缘计算节点通过对接收的随机分量进行批量计算,提高了海量异构终端并发接入的验证效率。
本发明实施例还提供了一种基于边缘计算的节点接入和节点认证终端,如图12所示,该基于边缘计算的节点接入和节点认证终端可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图12中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的基于边缘计算的节点接入和节点认证方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图4-9所示的基于边缘计算的节点接入方法,或者,执行如图10或11所示的基于边缘计算的节点认证方法。
上述基于边缘计算的节点接入和节点认证终端具体细节可以对应参阅图4至图11所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (8)

1.一种基于边缘计算的节点接入方法,其特征在于,包括:
接收密钥生成服务器发送的认证主密钥和公共参数;
向主边缘计算节点和所述密钥生成服务器发送身份标识信息;
接收所述密钥生成服务器根据所述认证主密钥、公共参数及身份标识信息生成的部分私钥信息;
根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点;
接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额,将所述秘密份额作为接入认证的凭证。
2.根据权利要求1所述的基于边缘计算的节点接入方法,其特征在于,根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点之前,所述节点接入方法还包括:
判断所述部分私钥信息是否正确;
当判断所述部分私钥信息正确后,根据所述公共参数、身份标识信息及部分私钥信息计算第一公私钥,将所述第一公私钥发送至所述主边缘计算节点。
3.根据权利要求1所述的基于边缘计算的节点接入方法,其特征在于,接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额,将所述秘密份额作为接入认证的凭证,包括:
接收所述主边缘计算节点根据所述第一公私钥签名的秘密份额;
判断签名的秘密份额是否可信;
如果判断签名的秘密份额不可信,则丢弃接收的签名的秘密份额;
如果判断签名的秘密份额可信,则将所述秘密份额作为接入认证的凭证。
4.一种基于边缘计算的节点接入方法,其特征在于,包括:
接收其他边缘计算节点发送的身份标识信息和第一公私钥;
根据所述其他边缘计算节点的数量生成秘密份额;
根据所述第一公私钥对所述秘密份额进行签名,将签名的秘密份额发送至所述其他边缘计算节点;
接收其他边缘计算节点发送的身份标识信息和第一公私钥之前,所述节点接入方法还包括:
接收密钥生成服务器发送的认证主密钥和公共参数;
向所述密钥生成服务器发送身份标识信息;
接收所述密钥生成服务器根据所述认证主密钥、公共参数及身份标识信息生成的部分私钥信息;
根据所述公共参数、身份标识信息及部分私钥信息计算第二公私钥。
5.一种基于边缘计算的节点认证方法,其特征在于,包括:
根据如权利要求1-3任一项所述的基于边缘计算的节点接入方法生成的秘密份额生成随机分量;
将所述随机分量发送至所述主边缘计算节点进行认证。
6.一种基于边缘计算的节点认证方法,其特征在于,包括:
接收其他边缘计算节点发送的随机分量;所述随机分量为所述其他边缘计算节点根据如权利要求1-3任一项所述的基于边缘计算的节点接入方法生成的秘密份额生成的;
对所述随机分量进行批量计算,判断所述其他边缘计算节点是否合法;
当判断所述其他边缘计算节点合法时,与合法的其它边缘计算节点建立连接。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-4任一项所述的基于边缘计算的节点接入方法,或者,执行如权利要求5或6所述的基于边缘计算的节点认证方法。
8.一种基于边缘计算的节点接入和节点认证设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-4任一项所述的基于边缘计算的节点接入方法,或者,执行如权利要求5或6所述的基于边缘计算的节点认证方法。
CN201910155324.5A 2018-12-11 2019-02-28 一种基于边缘计算的节点接入和节点认证方法 Active CN109861828B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811507684 2018-12-11
CN2018115076849 2018-12-11

Publications (2)

Publication Number Publication Date
CN109861828A CN109861828A (zh) 2019-06-07
CN109861828B true CN109861828B (zh) 2021-10-08

Family

ID=66899523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910155324.5A Active CN109861828B (zh) 2018-12-11 2019-02-28 一种基于边缘计算的节点接入和节点认证方法

Country Status (1)

Country Link
CN (1) CN109861828B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719292B (zh) * 2019-10-17 2021-11-19 中国联合网络通信集团有限公司 边缘计算设备与中心云平台的连接认证方法及系统
CN112953986B (zh) * 2019-12-10 2024-03-12 华为云计算技术有限公司 一种边缘应用的管理方法及装置
CN111147472B (zh) * 2019-12-23 2023-02-28 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统
CN111355745B (zh) * 2020-03-12 2021-07-06 西安电子科技大学 基于边缘计算网络架构的跨域身份认证方法
US11968530B2 (en) * 2020-08-06 2024-04-23 Apple Inc. Network authentication for user equipment access to an edge data network
CN112565241A (zh) * 2020-12-01 2021-03-26 杭州思源信息技术股份有限公司 一种基于智慧天网的社区物联感知系统及构建方法
CN113055886B (zh) * 2021-03-15 2023-02-24 中国联合网络通信集团有限公司 边缘计算网络中的终端认证方法、系统、服务器及介质
CN114024749B (zh) * 2021-11-05 2022-11-29 西北工业大学 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682145A (zh) * 2017-09-12 2018-02-09 西安电子科技大学 真实匿名的无证书多消息多接收者签密方法
CN107707514A (zh) * 2017-02-08 2018-02-16 贵州白山云科技有限公司 一种用于cdn节点间加密的方法及系统及装置
CN108494558A (zh) * 2018-02-13 2018-09-04 克洛斯比尔有限公司 用于实现公平交换的方法和系统
CN108737391A (zh) * 2018-05-03 2018-11-02 西安电子科技大学 信息服务实体身份标识管理系统和标识快速撤销方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10839096B2 (en) * 2016-03-28 2020-11-17 International Business Machines Corporation Cryptographically provable zero-knowledge content distribution network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107707514A (zh) * 2017-02-08 2018-02-16 贵州白山云科技有限公司 一种用于cdn节点间加密的方法及系统及装置
CN107682145A (zh) * 2017-09-12 2018-02-09 西安电子科技大学 真实匿名的无证书多消息多接收者签密方法
CN108494558A (zh) * 2018-02-13 2018-09-04 克洛斯比尔有限公司 用于实现公平交换的方法和系统
CN108737391A (zh) * 2018-05-03 2018-11-02 西安电子科技大学 信息服务实体身份标识管理系统和标识快速撤销方法

Also Published As

Publication number Publication date
CN109861828A (zh) 2019-06-07

Similar Documents

Publication Publication Date Title
CN109861828B (zh) 一种基于边缘计算的节点接入和节点认证方法
US20150358167A1 (en) Certificateless Multi-Proxy Signature Method and Apparatus
CN111064579A (zh) 基于区块链的安全多方计算方法、系统、及存储介质
CN112600678B (zh) 一种数据处理方法、装置、设备及存储介质
CN112929181B (zh) 抗Sybil攻击身份的生成
Chow et al. Server-aided signatures verification secure against collusion attack
CN111371564B (zh) 一种数字签名及区块链交易方法、装置及电子设备
CN112600671B (zh) 一种数据处理方法、装置、设备及存储介质
CN111046411B (zh) 电网数据安全存储方法及系统
CN108650085B (zh) 一种基于区块链的组成员扩展方法、装置、设备及介质
CN112436938B (zh) 数字签名的生成方法、装置和服务器
CN112417489B (zh) 数字签名的生成方法、装置和服务器
WO2022116176A1 (zh) 数字签名的生成方法、装置和服务器
EP3707853B1 (en) Conducting secure interactions utilizing reliability information
CN108494558B (zh) 用于实现公平交换的方法和系统
CN108390866B (zh) 基于双代理双向匿名认证的可信远程证明方法及系统
CN112597542A (zh) 目标资产数据的聚合方法及装置、存储介质、电子装置
CN118195031A (zh) 可信联邦学习方法、装置及系统
WO2022116175A1 (zh) 数字签名的生成方法、装置和服务器
CN115242412A (zh) 无证书聚合签名方法及电子设备
CN113746623B (zh) 一种门限密钥验证方法及相关设备
CN111600704B (zh) 基于sm2的秘钥交换方法、系统、电子设备及存储介质
CN114362962A (zh) 区块链工作量证明生成方法
CN117811722B (zh) 全局参数模型构建方法、秘钥生成方法、装置及服务器
CN117675168B (zh) 基于区块链的代理重签名方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant