CN109873815A - 基于边缘计算的异构物联网认证方法、物联网安全平台 - Google Patents

Abstract

本发明属于计算机网络安全技术领域，公开了一种基于边缘计算的异构物联网认证方法、物联网安全平台；通过在边缘侧部署边缘服务器，由边缘服务器管理海量物联网终端认证信息，克服现有基于云‑端的认证机制的缺陷，降低核心网络负载，提高认证效率；边缘设备根据异构网络设备的地址信息为其生成统一的虚拟IPv6地址，实现了异构物联网设备的统一的安全认证；使用随机数和哈希值的方式，保证了认证协议的轻量级和高效性。本发明提出的基于边缘计算的物联网认证架构，由边缘设备管理海量物联网终端的认证信息，能有效降低核心网络负载，提高认证效率；使用随机数和哈希值的方式，简单高效的实现了物联网终端的身份认证，实现异构物联网终端的跨网安全认证。

Description

基于边缘计算的异构物联网认证方法、物联网安全平台

技术领域

本发明属于计算机网络安全技术领域，尤其涉及一种基于边缘计算的异构物联网认证方法、物联网安全平台。

背景技术

目前，业内常用的现有技术是这样的：物联网旨在利用射频识别技术、无线数据通信技术等构造一种全球物品信息实时共享的实物互联网。随着物联网的快速发展和4G/5G无线网络的普及，物联网设备数量及产生的数据量急剧增加，以云计算模型为核心的集中式大数据处理时代，其关键技术已经不能高效处理物联网设备所产生的数据，为此，以边缘计算模型为核心的面向物联网设备所产生海量数据计算的边缘式大数据处理应运而生。边缘计算是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供边缘智能服务。通过在本地部署边缘设备，可以将部分计算处理任务放在边缘侧进行处理，降低传输时延，提高核心网络利用率。

物联网在给人们的生活带来便利的同时，也带来了一定的安全威胁，例如非法接入、隐私泄露等，物联网安全问题越来越引起人们的重视。一方面由于物联网设备众多且分布广泛，难以进行中心化统一的管理，另一方面，物联网中多种通信技术并存，不同网络域安全机制不同，导致物联网中的安全问题相对于互联网中更加困难。身份认证作为物联网设备安全接入网络的第一步，对保证物联网安全起着至关重要的作用，因此需要设计异构物联网环境下高效的身份认证机制来保障物联网的安全。

现有技术一利用原型物联网网关框架的设计与实现，指出集成和整合边缘设备能够为物联网终端提供认证和隐私保护服务，该技术侧重于利用边缘设备的计算能力为终端提供隐私保护，但却没有提出具体的基于边缘计算的安全认证方案，故无法保证接入节点的可信性，使得网络可能存在安全隐患。

现有技术二异构无线传感器网络中的身份认证机制，该方法基于ECC椭圆曲线密码体制，实现传感器节点点对点通信，但是该方法未能解决海量物联网终端的认证问题，无法满足现有物联网环境的实际应用需求。

综上所述，现有技术存在的问题是：

(1)现有技术一利用原型物联网网关框架的设计与实现，指出集成和整合边缘设备能够为物联网终端提供认证和隐私保护服务，但却没有提出具体的基于边缘计算的安全认证方案。

(2)现有技术二异构无线传感器网络中的身份认证机制，该方法基于ECC椭圆曲线密码体制，实现传感器节点点对点通信，但是该方法未能解决海量物联网终端的认证问题。

解决上述技术问题的难度：

物联网终端计算存储资源受限，难以执行复杂的运算；终端类型种类繁多，各种通信技术并存，很难建立统一的认证方式；海量终端节点直接向云端认证，造成核心网络负载加大，认证时延明显增加。

解决上述技术问题的意义：

随着物联网和无线通信技术的快速发展，海量终端节点接入到网络中，多种通信网络并存，我们逐渐从物联网过渡到万物互联的时代，将计算由云端卸载到本地的边缘计算是大势所趋。因此利用边缘侧的处理能力保障物联网的安全是十分迫切的。安全认证是终端接入网络的第一步，对于保障物联网安全有着关键性的作用，通过研究基于边缘计算异构物联网认证方法，将认证放在本地处理，减少物联网终端认证消耗，由边缘侧管理终端认证信息，降低核心网络负载，提高认证时延对于确保物联网的快速发展具有十分重要的意义。

发明内容

针对现有技术存在的问题，本发明提供了一种基于边缘计算的异构物联网认证方法、物联网安全平台。

本发明是这样实现的，一种基于边缘计算的异构物联网认证方法，所述基于边缘计算的异构物联网认证方法包括：

第一步，选定有限域上椭圆曲线密码ECC的公共参数T＝(p，a，b，G，x，y，n)，并根据相应参数，基于ECC算法，为边缘设备ID_E和网关ID_G生成对应的公私钥对；

第二步，网关向边缘设备发送自己的身份标识ID_G和自己的公钥并从边缘设备处获取由边缘设备的私钥签名的证书：网关使用该证书向边缘设备进行身份认证；

第三步，终端设备注册；

第四步，终端和网关间双向认证：

(1)终端设备产生随机数N₃，查询网关公钥并使用该公钥加密随机数，发送发送给网关；

(2)网关解密得到N₃，并产生随机数N₄，使用终端的公钥加密随机数，发送到终端设备；

(3)终端解密得到N₃和N₄，验证网关身份，并使用网关公钥加密N₄，发送给网关；

(4)网关解密得到N₄，验证终端身份，完成双向认证。

进一步，所述第一步中ECC公共参数包括：(p，a，b)确定一条椭圆曲线，G为基点，(x,y)为基点G的坐标，n为基点G的阶。

进一步，所述第三步的终端设备注册具体包括：

(1)终端设备获取自己的身份标识ID_T，并随机产生两个数N₁和N₂，其中N₁作为自己的私钥，使用边缘设备的公钥进行加密，N₂是为了防止重放攻击，构建数据包发送给网关；

(2)在网关接收到终端设备的身份标识后，验证该标识是否与注册请求中的源地址匹配，若不匹配则返回注册失败信息，否则执行(3)；

(3)网关构建数据包将注册请求和自己的证书发送给边缘设备；

(4)边缘设备使用接受到的随机数N₁，利用ECC算法为终端设备生成公钥并为终端设备生成虚拟IPv6地址，利用哈希算法计算虚拟IPv6地址哈希值H(IPv6)，将发送给网关。

(5)网关解密并存储终端设备信息，然后将发送给终端设备，终端设备解密数据并存储网关公钥。

进一步，所述(4)中采用的哈希算法是国密SM3算法，过程如下：

填充：假设消息m的长度为L比特，首先将比特“1”添加到消息的末尾，再添加k个“0”，k是满足L+1+k≡448mod512的最小的非负整数；然后再添加一个64位比特串，该比特串是长度l的二进制表示；填充后的消息m′的比特长度为512的倍数；

迭代压缩：将填充后的消息m′按512比特进行分组：m'＝B^[0]B^[1]...B^[n-1]；

其中n＝(l+k+65)/512，并使用V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)对m′进行迭代；

其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，B⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾；

消息扩展：将消息分组B⁽ⁱ⁾按扩展生成132个字W₀,W₁...W₆₇,W₀',W₁',...W₆'₃用于压缩函数CF：

a)将消息分组B⁽ⁱ⁾划分为16个字W₀,W₁,...W₁₅；

b)FORj＝16TO 67；

ENDFOR

c)FORj＝0TO 63；

ENDFOR

压缩函数：令A,B,C,D,E,F,G,H为字寄存器，SS1,SS2,TT1,TT2为中间变量，使用压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0＜＝i＜＝n-1，计算杂凑值。

本发明的另一目的在于提供一种应用所述基于边缘计算的异构物联网认证方法的物联网安全平台。

综上所述，本发明的优点及积极效果为：本发明通过在本地部署边缘服务器，由边缘设备管理海量物联网终端节点认证，并为来自异构网络域的终端设备标识生成基于虚拟IPv6地址的共享标识，实现异构物联网终端和网关间的匿名身份认证。

本发明提出的基于边缘计算的物联网认证架构，由边缘设备管理海量物联网终端的认证信息，由边缘设备为终端生成匿名信息，能有效降低核心网络负载，并实现终端匿名身份认证。本发明使用随机数和哈希值的方式，简单高效的实现了物联网终端的身份认证，并通过为异构网络的节点生成统一的虚拟IPv6地址，实现异构物联网终端的跨网安全认证。

附图说明

图1是本发明实施例提供的基于边缘计算的异构物联网认证方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明针对现有方案的不足，提出一种基于边缘计算的异构物联网认证方法，通过在本地部署边缘计算设备，使用边缘设备管理海量物联网终端节点认证，并为异构物联网终端生成统一的虚拟IPv6地址，使用随机数和哈希值实现异构物联网终端和网关间的高效身份认证。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于边缘计算的异构物联网认证方法包括以下步骤：

S101：系统初始化；

S102：网关注册；

S103：终端设备注册；

S104：终端和网关间双向认证。

下面结合具体实施例对本发明的应用原理作进一步的描述。

本发明实施例提供的基于边缘计算的异构物联网认证方法具体包括以下步骤：

步骤一，系统初始化；

首先由系统密钥管理中心PKG选定有限域上椭圆曲线密码(ECC)的公共参数T＝(p，a，b，G，x，y，n)，并根据相应参数，基于ECC算法，为边缘设备ID_E和网关ID_G生成对应的公私钥对。其中(p，a，b)用来确定一条椭圆曲线，G为基点，(x,y)为基点G的坐标，n为基点G的阶。

步骤二，网关注册；

网关向边缘设备发送自己的身份标识ID_G和自己的公钥并从边缘设备处获取由边缘设备的私钥签名的证书：网关将证书保存在本地，在后续认证过程中，网关使用该证书向边缘设备进行身份认证。

步骤三，终端设备注册；

(a)终端设备获取自己的身份标识ID_T(不同的网络类型采用不同的标识，例如IP地址、MAC地址、Zigbee地址等)，并随机产生两个数N₁和N₂，其中N₁作为自己的私钥，使用边缘设备的公钥进行加密，N₂是为了防止重放攻击，构建数据包发送给网关；

(b)在网关接收到终端设备的身份标识后，根据不同制式网络的特点，验证该标识是否与注册请求中的源地址匹配，若不匹配则返回注册失败信息，否则执行步骤(c)；

(c)网关构建数据包将注册请求和自己的证书发送给边缘设备；

(d)边缘设备使用接受到的随机数N₁，利用ECC算法为终端设备生成公钥并为终端设备生成虚拟IPv6地址，计算虚拟IPv6地址哈希值H(IPv6)，将发送给网关；

采用的哈希算法是国密SM3算法，过程如下：

填充：假设消息m的长度为L比特。首先将比特“1”添加到消息的末尾，再添加k个“0”，k是满足L+1+k≡448mod512的最小的非负整数。然后再添加一个64位比特串，该比特串是长度l的二进制表示。填充后的消息m′的比特长度为512的倍数；

迭代压缩：将填充后的消息m′按512比特进行分组：m'＝B^[0]B^[1]...B^[n-1]；其中n＝(l+k+65)/512。并使用V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)对m′进行迭代；其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，B⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾；

消息扩展：将消息分组B⁽ⁱ⁾按扩展生成132个字W₀,W₁...W₆₇,W₀',W₁',...W₆'₃用于压缩函数CF：

a)将消息分组B⁽ⁱ⁾划分为16个字W₀,W₁,...W₁₅；

b)FORj＝16TO 67；

(正常的没问题)

ENDFOR；

c)FORj＝0TO 63；

ENDFOR；

压缩函数：令A,B,C,D,E,F,G,H为字寄存器，SS1,SS2,TT1,TT2为中间变量，使用压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0＜＝i＜＝n-1，计算杂凑值；

(e)网关解密并存储终端设备信息，然后将发送给终端设备，终端设备解密数据并存储网关公钥。

步骤四，终端和网关间双向认证；

(a)终端设备产生随机数N₃，查询网关公钥并使用该公钥加密随机数，发送发送给网关；

(b)网关解密得到N₃，并产生随机数N₄，使用终端的公钥加密随机数，发送到终端设备；

(c)终端解密得到N₃和N₄，验证网关身份，并使用网关公钥加密N₄，发送给网关；

(d)网关解密得到N₄，验证终端身份，完成双向认证。

证明部分(具体实施例/实验/仿真/药理学分析/能够证明本发明创造性的正面实验数据、证据材料、鉴定报告、商业数据、研发证据、商业合作证据等)

边缘设备和网关配置：Linux 4.10.0-28-generic#3～16.04.2-Ubuntu SMP；1G内存。物联网终端配置：RaspberryPi3B-64位1.2GHz四核，8G外置内存卡。

步骤一：初始化阶段PKG选定系统参数

a:787968B4FA32C3FD2417842E73BBFEFF2F3C848B6831D7E0EC65228B3937E498

b:63E4C6D3B23B0C849CF84241484BFE48F61D59A5B16BA06E6E12D1DA27C5249A

p:8542D69E4C044F18E8B92435BF6FF7DE457283915C45517D722EDB8B08F1DFC3

Gx:421DEBD61B62EAB6746434EBC3CC315E32220B3BADD50BDC4C4E6C147FEDD43D

Gy:0680512BCBB42C07D47349D2153B70C4E5D7FDFCBFA36EA1A85841B9E46E09A2

n:8542D69E4C044F18E8B92435BF6FF7DD297720630485628D5AE74EE7C32E79B7

步骤二：网关注册

网关信息：

gateway register request

receive response from edgeServer

cert:30440220373D1DE7B319B58D3AB34FE746053F351BFB8CE54F1C99D93F0055446E3E3F1402202649F7FE9D89E1D00114413FC6B6424B3F0F65D96DE2F31DA586CC893F22CAC2

time consume:145ms

边缘设备信息：

start server...

receive gateway registerrequest

generate certificates...

r:373d1de7b319b58d3ab34fe746058c351bfb8ce54f1c99d9c60055446e3ee514

s:2649f7fe9d89e1d00114413fc6b6424bdd0f65d96de2f31da586cc898f22cac2

cert:30440220373D1DE7B319B58D3AB34FE746058C351BFB8CE54F1C99D9C60055446E3EE51402202649F7FE9D89E1D00114413FC6B6424BDD0F65D96DE2F31DA586CC898F22CAC2

步骤三：终端设备注册终端信息：

register with ipv4 address

receive response from gateway

virtual address H(IPv6)：B524F552CD82B8B028476E005C377 FB19A87E6F

public key Kut:044AF9BD596C6B4CE5FABD785ACE55A98754DEB958DFBEF64B5C83B3509E2EAE8CC7B948E8D9F704B29E73107A5CD51B8B23570A1E287C9AE16F187C7EC6588FC

time consume:513ms

网关信息：

receive device registerrequest

add gateway cert...

send register request to edgeServer...

receive response from edgeServer

save device virtual id:B524F552CD82B8B028476E005C377 FB19A87E6FC682D48BB5D42E3D9B9EFFE76

save device public key:044AF9BD596C6B4CE5FABD785ACE55A98754DEB958DFBEF64B5C83B3509E2EAE8CC7B948E8D9F704B29E73107A5CD51B8B23570A1E287C9AE16F187C7EC6588FC

response to device

边缘设备信息：

receive package from gateway

device ipv4 address:192.168.1.3

generate virtual identity:B524F552CD82B8B028476E005C377FB19A87E6F

calculation public key for device:044AF9BD596C6B4CE5FABD785ACE55A98754DEB958DFBEF64B5C83B 3509E2EAE8CC7B948E8D9F704B29E73107A5CD51B8B23570A1E287C9AE16F187C7EC6588FC

sign with gateway publicKey:3045022100DAB84E11DEA96DF90DE39CF0208E100A7CC5DCFA7B142C69CD61E37EBABE6D602206F01BE7819B6E63F8259E8FFC57BF0414A491AD1715FD82D9F73CE2EBF5CC0BE

response to gateway

步骤四：终端和网关间双向认证

终端信息：

generate N3:55735

send signature to gateway...

receive from gateway

verify passed！

send response to gateway with N4:37047

网关信息：

receive auth request from device

N3 is 55735

send challenge to device with N3 and N4:55735||37047

receive auth response from device

auth success！

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于边缘计算的异构物联网认证方法，其特征在于，所述基于边缘计算的异构物联网认证方法通过在本地部署边缘服务器，由边缘设备管理海量物联网终端节点认证，为来自异构网络域的终端设备标识生成基于虚拟IPv6地址的共享标识，实现异构物联网终端和网关间的高效身份认证；

基于边缘计算的物联网认证架构，由边缘设备管理海量物联网终端的认证信息；使用随机数和哈希值的方式，实现物联网终端的身份认证，并通过为异构网络的节点生成统一的虚拟IPv6地址，实现异构物联网终端的跨网安全认证。

2.如权利要求1所述的基于边缘计算的异构物联网认证方法，其特征在于，所述基于边缘计算的异构物联网认证方法具体包括：

第一步，选定有限域上椭圆曲线密码ECC的公共参数T＝(p，a，b，G，x，y，n)，并根据相应参数，基于ECC算法，为边缘设备ID_E和网关ID_G生成对应的公私钥对；

第二步，网关向边缘设备发送自己的身份标识ID_G和自己的公钥并从边缘设备处获取由边缘设备的私钥签名的证书：网关使用该证书向边缘设备进行身份认证；

第三步，终端设备注册；

第四步，终端和网关间双向认证：

(1)终端设备产生随机数N₃，查询网关公钥并使用该公钥加密随机数，发送发送给网关；

(2)网关解密得到N₃，并产生随机数N₄，使用终端的公钥加密随机数，发送到终端设备；

(3)终端解密得到N₃和N₄，验证网关身份，并使用网关公钥加密N₄，发送给网关；

(4)网关解密得到N₄，验证终端身份，完成双向认证。

3.如权利要求2所述的基于边缘计算的异构物联网认证方法，其特征在于，所述第一步中ECC公共参数包括：(p，a，b)确定一条椭圆曲线，G为基点，(x,y)为基点G的坐标，n为基点G的阶。

4.如权利要求2所述的基于边缘计算的异构物联网认证方法，其特征在于，所述第三步的终端设备注册具体包括：

(1)终端设备获取自己的身份标识ID_T，并随机产生两个数N₁和N₂，其中N₁作为自己的私钥，使用边缘设备的公钥进行加密，N₂是为了防止重放攻击，构建数据包发送给网关；

(2)在网关接收到终端设备的身份标识后，验证该标识是否与注册请求中的源地址匹配，若不匹配则返回注册失败信息，否则执行(3)；

(3)网关构建数据包将注册请求和自己的证书发送给边缘设备；

(4)边缘设备使用接受到的随机数N₁，利用ECC算法为终端设备生成公钥并为终端设备生成虚拟IPv6地址，计算虚拟IPv6地址哈希值H(IPv6)，将发送给网关；

(5)网关解密并存储终端设备信息，然后将发送给终端设备，终端设备解密数据并存储网关公钥。

5.如权利要求4所述的基于边缘计算的异构物联网认证方法，其特征在于，所述(4)中采用的哈希算法是国密SM3算法，过程如下：

填充：假设消息m的长度为L比特，首先将比特“1”添加到消息的末尾，再添加k个“0”，k是满足L+1+k≡448mod512的最小的非负整数；然后再添加一个64位比特串，该比特串是长度l的二进制表示；填充后的消息m′的比特长度为512的倍数；

迭代压缩：将填充后的消息m′按512比特进行分组：m'＝B^[0]B^[1]...B^[n-1]；

其中n＝(l+k+65)/512，并使用V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)对m′进行迭代；

其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，B⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾；

消息扩展：将消息分组B⁽ⁱ⁾按扩展生成132个字W₀,W₁...W₆₇,W₀',W₁',...W'₆₃用于压缩函数CF：

a)将消息分组B⁽ⁱ⁾划分为16个字W₀,W₁,...W₁₅；

b)FOR j＝16 TO 67；

ENDFOR

c)FOR j＝0 TO 63；

ENDFOR

压缩函数：令A,B,C,D,E,F,G,H为字寄存器，SS1,SS2,TT1,TT2为中间变量，使用压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0＜＝i＜＝n-1，计算杂凑值。

6.一种应用权利要求1～5任意一项所述基于边缘计算的异构物联网认证方法的物联网安全平台。