CN110636495A - 一种雾计算系统中的终端用户安全漫游认证的方法 - Google Patents
一种雾计算系统中的终端用户安全漫游认证的方法 Download PDFInfo
- Publication number
- CN110636495A CN110636495A CN201910861089.3A CN201910861089A CN110636495A CN 110636495 A CN110636495 A CN 110636495A CN 201910861089 A CN201910861089 A CN 201910861089A CN 110636495 A CN110636495 A CN 110636495A
- Authority
- CN
- China
- Prior art keywords
- authentication
- session key
- sessionkey
- roaming
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 125000004122 cyclic group Chemical group 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 19
- 238000012795 verification Methods 0.000 abstract description 5
- 230000002457 bidirectional effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 230000003993 interaction Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000003595 mist Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/16—Performing reselection for specific purposes
- H04W36/18—Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种雾计算系统中的终端用户安全漫游认证的方法。在雾计算环境下用户设备进入网络时会首先进行初始认证,通过认证中心和家乡节点的认证后获得漫游证书并注册家乡节点。接着,用户离开家乡节点进入远端节点时向远端节点提出漫游申请并出示漫游证书,若验证信息合法则用户设备可以顺利漫游。本发明提出的方法支持移动性,并通过与物联网通信协议MQTT和DDS结合的两个实施例保证了雾计算系统的安全性和高可用性。通过双向认证保证了终端的安全性;通过将管理功能下放至雾节点,使漫游认证不必经过云平台,避免了云平台网络端口的拥堵;通过在雾节点之间建立通信链路可有效避免重复认证,解决了移动终端设备轻量级、移动性的需求。
Description
技术领域
本发明涉及物联网系统的安全领域,具体的,涉及一种雾计算系统中终端用户漫游时,对其身份进行认证的方法。
背景技术
自2005年国际电信联盟正式提出物联网(Internet of Things,IoT)概念以来,传感器网络、云计算、微型芯片等技术不断发展成熟,物联网产业也迅速壮大。但是目前物联网还在成长阶段,对于物联网安全的研究尚不成熟,甚至在国际上还没有针对物联网的研究机构或组织来定义统一的物联网的安全架构和安全关键技术,更没有成型的商用物联网安全架构。因此,物联网的安全问题比传统通信网络更为严峻。
随着物联网的快速发展,穿戴式设备、智能汽车等移动化物联网设备的数量与日俱增。物联网安全问题日益显现,并已成为阻碍其广泛应用的主要瓶颈。目前物联网存在的问题有两点:一是网络数据的集中式处理,大量数据汇集到云计算平台以及数据中心,这会给数据中心的网络I/O端口带来不小的负担,严重的可能导致丢包甚至瘫痪;二是时延过长,在集中式的处理环境下数据包在到达数据中心之前会经过多个交换设备的等待和转发时延,这在对时延敏感的车联网和工业生产行业中是不能容忍的。
雾计算作为一种新型的计算模式,是对云计算的扩展,能够在本地为终端用户提供部分云计算平台的服务功能。可以减轻云平台的计算、存储和传输负担,也可以减少终端用户的等待时延,是物联网的有效承载。因此,研究基于雾计算的物联网安全接入控制技术具有一定的理论意义和实际应用价值。
在物联网环境中为防止非法设备的访问需要建立相应的认证机制,对于大规模部署的雾计算网络来说采用传统的认证机制有一定的困难。
(1)认证开销大。对于某些传感器以及大规模部署的低成本设备,这类设备的计算存储能力有限,现有的认证机制消耗较大,传统的证书验证等方案通常计算量大,交互次数多而不能部署在这些低成本设备上,所以在认证过程中首先需要降低计算和存储开销以便方案的部署。
(2)雾计算环境移动性支持差。现有的雾计算环境缺少对于移动性的研究,雾计算节点的复用度较低,容易造成资源的浪费。而将所有的移动设备管理工作都放在云平台上会使网络的管理成本攀升,大量的认证请求会堵塞云平台的网络I/O接口。这种情况下可以将一部分的管理功能下放到雾计算节点中以减轻云平台的负担。
在移动设备组成的通信网络中,不再只是人与设备之间的交互,设备与设备之间也存在着自动化交互。同时,移动设备会频繁地从一个网络移动到另一个网络。因此,如何对移动设备跨域时进行有效的安全认证和权限授予是当前物联网安全设计中的一大难点。当终端设备移动到当前雾节点的管理域之外到达另一雾节点的管理域时,需要先退出网络再进行一次认证,这对于以轻量级为目标的终端而言是一个巨大的计算负担。而且大量的移动终端进行重复的认证工作对于认证中心的计算能力来讲也是一种资源浪费。
因此目前亟待提出一种支持移动性的认证方案,来保证雾节点的无缝切换;降低对接入设备的要求;减少终端设备接入网络的时间延迟,减轻认证中心的计算负担,减少资源的浪费。当终端设备接入雾节点时,可以有效减少不同区域的雾节点对于同一终端设备接入网络进行重复的安全认证,进而节省终端设备的计算开销。
发明内容
本发明在研究了现有物联网安全接入控制方案的基础上,利用雾计算架构提出了一种支持终端移动性的快速安全漫游认证协议。避免了终端多次访问云平台所带来的重复认证问题。利用在雾节点之间建立的通信链路来增强节点之间的互通性,使漫游认证不必经过云平台,避免大量管理操作数据造成的云平台网络端口的拥堵,避免网络恶化。减少公钥的使用和初始认证的交互次数,减少了漫游认证时间,提高了网络对终端的高效管理。一定程度上解决了物联网对终端设备的接入认证问题,提高了系统的安全性。
本发明基于雾计算的三层架构的基础上来实施安全漫游认证方案。云计算的三层架构包含云平台、认证中心、家乡节点、远端节点和终端用户。各部分定义如下:
认证中心(CA)。认证中心存储用户与节点的注册信息,同时完成对用户与各节点的身份验证。
家乡节点(HA)。用户初始接入网络的节点被登记为家乡节点。
远端节点(FA)。当用户移动离开当前节点并获取服务的节点都为远端节点。
终端用户(MU)。终端设备包含多种种类,如智能手机、pad、笔记本电脑以及车载智能设备等。这些终端用户对移动性有较高要求,因此安全漫游认证协议的时间消耗要足够短,以保证随终端用户移动时可以及时更新漫游认证。
本发明流程如下:在雾计算环境下用户设备进入网络时会首先进行初始认证,通过认证中心和家乡节点的认证后获得漫游证书并注册家乡节点。接着,用户离开家乡节点进入远端节点时向远端节点提出漫游申请并出示漫游证书,远端节点返回家乡节点确认设备的注册信息并检查漫游证书的合法性,如果以上信息合法则用户设备可以顺利漫游。
本发明所描述的安全漫游认证方案的交互示意图如图1所示。
本发明旨在实现终端用户在雾节点之间切换时的安全漫游认证,安全漫游认证模型示意图如图2所示。本发明所述的安全漫游认证包括三个部分:系统初始化、初始认证和漫游认证。
本发明所述方法包括以下步骤:
系统初始化。
(1)认证中心CA生成系统参数,选定大素数q,和阶为q的乘法循环群G0。从G0中选取生成元g认证中心选取大随机数SK_CA作为自己的私钥。
(2)计算PK_CA=SK_CA*g,得到公钥PK_CA。
2、终端用户MU向雾节点HA提出接入认证申请。MU选取随机数R_MU_1,计算S=R_MU_1*g。
3、MU将用于认证的身份信息发送给HA。MU选取随机数R_MU_2,用主密钥mk_MU加密S||R_MU_2得到E(mk_MU,S||R_MU_2||T1)并和MU_ID一起发送给HA。,其中“||”表示级联,T1表示时间戳。
4、HA转发接收到的MU的认证信息,同时发送HA的身份信息Cert_HA给CA。HA将自己的证书Cert_HA和MU_ID||E(mk_MU,S||R_MU_2||T1)一起发送到CA。
5、CA接收到信息后,先验证证书Cert_HA的合法性。
6、CA通过MU_ID查找用户的主密钥mk_MU并借助mk_MU解密E(mk_MU,S||R_MU_2||T1)。CA选取随机数R_CA,计算R=(SK_CA+R_CA)*R_MU_2和T=S+R_CA*R_MU_2*g。
7、CA首先生成MU和HA的会话密钥SessionKey,之后MU漫游到其它FA都用这个会话密钥,接着,CA利用mk_MU加密R||T||SessionKey得到E(mk_MU,R||T||SessionKey)。CA用HA的公钥PK_HA加密单独的SessionKey得到E_PK_HA(SessionKey),同时生成漫游证书Cert(MU_ID||HA_ID||TS||TE)将HA注册成MU的家乡节点,其中TS和TE是时间戳标定了证书的有效时间。
8、CA将E(mk_MU,R||T||SessionKey)和E_PK_HA(SessionKey)以及漫游证书发送给HA。
9、HA首先解密E_PK_HA(SessionKey||S)得到会话密钥和S,接着计算E(SessionKey,S)
10、HA将E(mk_MU,R||T||SessionKey)||Cert(MU_ID||FA_ID||TS||TE)||E(SessionKey,S)传递给用户MU。
11、MU解密E(mk_MU,R||T||SessionKey)后得到R和T,计算S+R*g和R_MU_2*PK_CA+T。比较两者是否相等,如果相等则表示会话密钥确实是由CA生成的,之后解密E(mk_MU,R||T||SessionKey)得到会话密钥,利用会话密钥解密E(SessionKey,S)得到S,如果与之前发送的S相等则表示HA是安全的。
12、MU向远端节点FA发送漫游证书和E(SessionKey,S||FA_ID||T),其中T为时间戳。
13、FA向证书中指示的HA发送自己的证书和漫游证书以及E(SessionKey,S||FA_ID||T)。
14、HA检查漫游证书检索出相应的SessionKey后解密E(SessionKey,S||FA_ID||T)
(1)确认漫游证书的有效性。
(2)确认MU要与FA建立连接。
15、HA用FA的公钥PK_FA加密会话秘钥SessionKey,将E(PK_FA,SessionKey)发送给FA。
16、FA解密E(PK_FA,SessionKey)后得到SessionKey,FA用SessionKey加密FA_ID||T,其中T为时间戳。
17、MU检查加密内容是否正确,如果正确则认证通过。
所述的方法,其中,主要步骤流程描述的是移动终端用户初始接入雾计算网络环境,当移动终端用户处于雾计算网络环境中,需要移动到下一个雾节点,此安全漫游认证方法同样适用。
所述的方法,其中,对称加解密算法和公私钥体制加解密算法可以利用现有移动通信系统中的加解密算法,也可以新提出一种算法。
所述的方法,其中,主要步骤流程描述基于手动搭建的OpenStack云平台,在实际应用中,在其他可提供计算功能、存储功能、网络功能的云平台上,此安全漫游认证方法同样适用。
在将来的雾计算以及移动边缘计算环境中,大量移动设备将会接入网络获取服务。但是现阶段雾计算还不能提供移动性支持,在现有的雾计算三层模型中用户的迁移灵活性不够,导致用户设备在移动方面存在困难。用户设备仅能在进入网络时进行认证,而不能像移动通信可以利用归属地服务器更新自己的位置信息。当用户需要移动漫游时只能先退出现有的节点然后接入另一个节点进行认证,这样就无形中增加了认证中心的负担,同时反复进入地网络也会大大缩减用户设备的使用寿命。本发明很好地解决了上述问题。
本发明实现了在终端设备首次通过某个雾节点接入网络时,相邻的雾节点可以与此雾节点通过安全漫游认证协议实现终端认证信息的传递,抵御中间人攻击;从而保证终端漫游时,在雾节点之间能够提供无缝切换的服务,实现数据传输的实时性。保证终端的安全性和可移动性;防范恶意攻击,实现数据的传输的保密性和完整性。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述:
图1为安全漫游认证方案交互示意图;
图2为安全漫游认证模型示意图;
图3为MQTT通信协议的工作模式;
图4为MQTT的Qos2服务质量等级流程图;
图5为本发明实施例一种雾计算系统中安全漫游认证的方法在MQTT通信协议中的基于Qos2服务质量等级发布实时位置信息的系统流程图;
图6为初始认证交互示意图;
图7为执行初始认证协议成功的结果图;
图8为漫游认证交互示意图;
图9为执行漫游认证协议成功的结果图;
图10为DDS的自动发现机制模型结构图;
图11为DDS的工作模式;
图12为为本发明实施例一种雾计算系统中安全漫游认证的方法基于DDS通信协议发布实时位置信息的系统流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下将结合附图及实施例,来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,依据本发明所形成的所有技术方案均在本发明的保护范围之内。
本发明可以应用的场景十分广泛,在此仅考虑应用于路况信息的监测和实时发布的应用实例。为了清楚地展示本发明的技术方案,以下举应用实例进行说明:
第一实施例:
在第一实施例中,本发明分析基于MQTT(消息队列遥测传输)物联网通信协议中的一对多的消息发布模式。如图3所示,为MQTT通信协议的工作模式。MQTT协议通过消息代理(在本例中特指云平台)采用轻量级发布和订阅消息传输模式。在本应用实例中,所有的物联网用户终端MU经过接入认证成功接入雾节点HA,由HA提供服务;终端用户MU经过安全漫游认证后成功接入雾节点FA,由FA提供服务。雾节点FA和HA都通过TCP连接到云平台,云平台通过主题的方式管理各个终端的位置信息,负责将终端MU的位置信息发布给其他终端用户,同时将其他终端用户的位置信息处理发布给终端MU。如图4所示,为MQTT的Qos2服务质量等级(准确一次交付消息模式)的流程图,在Qos2下,可以保证各终端用户的位置信息实时上传至云平台,由云平台发布给其余全部终端用户;同时保证MU的手机APP可及时更新全部终端用户的位置信息。
如图5所示,为本发明实施例一种雾计算系统中安全漫游认证的方法基于MQTT通信协议的Qos2服务质量等级发布实时位置信息的系统流程图,可以作为本发明的第一实施例。
步骤1.移动终端用户MU通过手机APP请求连接服务器,将终端用户的GPS和时间采集后发送到服务器端显示,同时存储在Mysql数据库中。
步骤2.终端安全漫游认证方案编写的协议通过Visual Studio编写C语言实现。
本发明是一种雾计算系统中移动终端安全漫游认证的方法,是基于安全漫游认证方案所提出的,分为三个部分,分别是:系统初始化、初始认证和漫游认证。安全漫游认证方案的编程实现基于上述三个部分。
步骤2a.系统初始化。
(1)认证中心CA生成系统参数,选定大素数q,和阶为q的乘法循环群G0。从G0中选取生成元g认证中心选取大随机数SK_CA作为自己的私钥。
(2)计算PK_CA=SK_CA*g,得到公钥PK_CA。
步骤2b.初始认证。交互示意图如图6所示。
在协议当中,每个用户都拥有一个唯一的身份标识idi,i∈[1,N],N表示总用户数。用户存储自己的MU_ID以及与认证中心共享的主密钥mk_MU,而认证中心存储所有用户的身份标识以及主密钥。初始认证的方法如下:
(1)用户MU首次进入网络,向雾节点HA提出接入雾节点的申请。MU选取随机数R_MU_1,计算S=R_MU_1*g。
(2)MU并将用于认证的身份信息发送给HA。MU选取随机数R_MU_2,用主密钥mk_MU加密S||R_MU_2得到E(mk_MU,S||R_MU_2||T1)并和MU_ID一起发送给HA。,其中“||”表示级联,T1表示时间戳。
(3)HA将来自MU的申请信息转发给CA,同时发送HA的身份信息Cert_HA给CA。HA将自己的证书Cert_HA和MU_ID||E(mk_MU,S||R_MU_2||T1)一起发送到CA。
(4)CA接收到信息后,先验证证书Cert_HA的合法性。
(5)CA通过MU_ID查找用户的主密钥mk_MU并借助mk_MU解密E(mk_MU,S||R_MU_2||T1)。
(6)CA选取随机数R_CA,计算R=(SK_CA+R_CA)*R_MU_2和T=S+R_CA*R_MU_2*g。
(7)CA首先生成MU和HA的会话密钥SessionKey,之后MU漫游到其它FA都用这个会话密钥,接着,CA利用mk_MU加密R||T||SessionKey得到E(mk_MU,R||T||SessionKey)。CA用HA的公钥PK_HA加密单独的SessionKey得到E_PK_HA(SessionKey),同时生成漫游证书Cert(MU_ID||HA_ID||TS||TE)将HA注册成MU的家乡节点,其中TS和TE是时间戳标定了证书的有效时间。最后CA将E(mk_MU,R||T||SessionKey)和E_PK_HA(SessionKey)以及漫游证书发送给HA。
(8)HA首先解密E_PK_HA(SessionKey||S)得到会话密钥和S,接着计算E(SessionKey,S),最后将E(mk_MU,R||T||SessionKey)||Cert(MU_ID||FA_ID||TS||TE)||
E(SessionKey,S)传递给用户MU。
(9)MU解密E(mk_MU,R||T||SessionKey)后得到R和T,计算S+R*g和R_MU_2*PK_CA+T。比较两者是否相等,如果相等则表示会话密钥确实是由CA生成的,之后解密E(mk_MU,R||T||SessionKey)得到会话密钥,利用会话密钥解密E(SessionKey,S)得到S,如果与之前发送的S相等则表示HA是安全的。在VisualStudio中编程执行执行初始认证协议,认证成功的结果图如图7所示。比较验证后得出结论:HA是安全的。MU与HA建立可信连接即初始认证成功。
步骤2c.当MU漫游到远端节点FA的范围内时,执行漫游认证协议。漫游认证交互示意图如图8所示。
(1)MU向远端节点FA发送漫游证书和E(SessionKey,S||FA_ID||T),发起漫游认证申请,其中T为时间戳。
(2)FA向证书中指示的HA发送自己的证书和漫游证书以及E(SessionKey,S||FA_ID||T)。
(3)HA检查漫游证书检索出相应的SessionKey后解密E(SessionKey,S||FA_ID||T),首先检查时间戳是否过期,再查看S与之前用户发送的S是否相等,如果相等则表示MU确实要与FA建立连接,用FA的公钥PK_FA加密SessionKey并发送给FA。
(4)FA解密E(PK_FA,SessionKey)后得到SessionKey,FA用SessionKey加密FA_ID||T,其中T为时间戳。
(5)FA将E(SessionKey,FA_ID||T)发送给用户MU,MU检查加密内容是否正确,如果正确则认证通过。在VisualStudio中编程执行漫游认证协议,认证成功的结果图如图7所示。
步骤3.对MU的位置进行判断,确定执行初始认证协议(对应本发明方法中的1-11步)或执行漫游认证协议(对应本发明方法中的12-17步)。进而确定提供服务的雾节点是HA或者FA。
步骤4.MU终端基于MQTT通信协议通过雾节点HA或FA将MU的GPS信息实时上传到云平台。本实例借助OpenStack云平台完成上传和发布的功能。
步骤5.云平台将MU的GPS信息发布给其余全部终端用户的手机APP,通过Qos2服务质量等级保证实时更新。
步骤6.完成路况信息的实时发布。
第二实施例:
在第二实施例中,本发明分析物联网通信协议DDS(基于数据分发服务)中的发布/订阅的数据分发服务规范。DDS的核心技术是自动发现机制,模型结构如图10所示,它是物联网中各节点交互通信的前提条件。当结点加入或者离开系统时,自动发现机制都会自动地以某种方式通知各结点,系统中结点信息的变化情况。自动发现机制主要工作于各结点传递数据消息之前,提供高保障的数据通信服务。
如图11所示,为DDS的工作模式。DDS协议是实时网络基础架构的核心,与MQTT协议相比,最显著的优势是支持高实时性,更适合路况信息实时性的根本需求。DDS能够有效地控制和管理网络带宽、内存空间等资源的使用,同时也能控制数据的可靠性、实时性和数据的生存时间,通过灵活使用这些服务质量策略,DDS不仅能在窄带的无线环境上,也能在宽带的有线通信环境上开发出满足实时性需求的数据分发系统。
如图12所示,为本发明实施例一种雾计算系统中安全漫游认证的方法基于DDS通信协议发布实时位置信息的系统流程图,可以作为本发明的第二实施例。其中,步骤1至步骤3与本发明的第一实施例相同,在此不再赘述。经过本发明所述的安全漫游认证方法,确定通过雾节点HA或者FA提供服务。
步骤4.MU终端基于DDS通信协议通过雾节点HA或FA将MU的GPS信息实时上传到云平台。本实例借助OpenStack云平台完成上传和发布的功能。
步骤5.云平台将各个终端用户发送的GPS信息进行计算和处理,再将全部的GPS信息发送给每个终端用户的手机APP,通过一系列服务质量保证数据传输的可靠性和实时更新。如通过Deadline QoS保证数据传输的实时性,通过Reliablity QoS来保证数据传输的可靠性。
步骤6.完成路况信息的实时发布。
需要说明的是,实例主要用以证明,雾计算系统中的终端用户安全漫游认证的方法的可行性。实例中的云平台仅发挥了数据存储和计算功能。因而发送给其他用户的是特定的移动终端用户MU的实时位置信息。所述方法基于资源丰富、功能强大的云平台,如阿里云、庆科云、OneNet等,可将各移动终端用户上传的位置信息进行汇总和计算,借助大数据的分析对比的方法,精确得知此时的路况信息。再将路况交通信息实时下发给各个终端用户,则MU可知晓某路段的通行或堵车情况。
以上所述仅为本发明的优选实施例,并不用于限制本发明,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。如果本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
在物联网和雾计算的应用场景中,由于移动设备存储能力和计算能力等资源受限、网络的带宽和稳定性受限的因素,使得高安全性和高可用性难以权衡。本发明的两个优选实施例将在雾计算系统中的一种安全漫游认证的方法与MQTT、DDS物联网通信协议相结合,在协议权限校验和访问权限过滤授权的基础上,进一步确认了请求加入网络的终端设备用户的唯一性和合法性;终端设备与雾节点之间的双向认证、可信的认证中心对雾节点和终端设备的身份认证相结合保证了加入系统的终端的安全性,增强了系统的稳定性。同时,本发明的创新之处在于,传统的雾计算环境支持设备的移动性差,认证开销较大,不能很好的满足移动终端设备轻量级、移动性的内在要求。而本发明的两个优选实施例将管理功能下放至雾节点,减轻了云平台的负担,防止大量的认证请求堵塞云平台网络的I/O接口。减少了移动终端与不同雾节点之间重复认证的次数,减少了终端设备计算和存储的需求,在增强终端移动性的同时保证了终端用户订阅/发布位置信息及位置信息实时更新功能的实现,保证了雾计算系统的高可用性。
Claims (1)
1.一种雾计算系统中的终端用户安全漫游认证的方法,其特征是在于,包括以下步骤:
步骤1、系统初始化:
(1)认证中心CA生成系统参数,选定大素数q,和阶为q的乘法循环群G0,从G0中选取生成元g,认证中心选取大随机数SK_CA作为自己的私钥;
(2)计算PK_CA=SK_CA*g,得到公钥PK_CA;
步骤2、终端用户MU向雾节点HA提出接入认证申请:MU选取随机数R_MU_1,计算S=R_MU_1*g;
步骤3、MU将用于认证的身份信息发送给HA:MU选取随机数R_MU_2,用主密钥mk_MU加密S||R_MU_2得到E(mk_MU,S||R_MU_2||T1)并和MU_ID一起发送给HA,其中“||”表示级联,T1表示时间戳;
步骤4、HA转发接收到的MU的认证信息,同时发送HA的身份信息Cert_HA给CA,HA将自己的证书Cert_HA和MU_ID||E(mk_MU,S||R_MU_2||T1)一起发送到CA;
步骤5、CA接收到信息后,先验证证书Cert_HA的合法性;
步骤6、CA通过MU_ID查找用户的主密钥mk_MU并借助mk_MU解密E(mk_MU,S||R_MU_2||T1),CA选取随机数R_CA,计算R=(SK_CA+R_CA)*R_MU_2和T=S+R_CA*R_MU_2*g;
步骤7、CA首先生成MU和HA的会话密钥SessionKey,之后MU漫游到其它FA都用这个会话密钥,接着,CA利用mk_MU加密R||T||SessionKey得到E(mk_MU,R||T||SessionKey);CA用HA的公钥PK_HA加密单独的SessionKey得到E_PK_HA(SessionKey),同时生成漫游证书Cert(MU_ID||HA_ID||TS||TE)将HA注册成MU的家乡节点,其中TS和TE是时间戳标定了证书的有效时间;
步骤8、CA将E(mk_MU,R||T||SessionKey)和E_PK_HA(SessionKey)以及漫游证书发送给HA;
步骤9、HA首先解密E_PK_HA(SessionKey||S)得到会话密钥和S,接着计算E(SessionKey,S);
步骤10、HA将E(mk_MU,R||T||SessionKey)||Cert(MU_ID||FA_ID||TS||TE)||E(SessionKey,S)传递给用户MU;
步骤11、MU解密E(mk_MU,R||T||SessionKey)后得到R和T,计算S+R*g和R_MU_2*PK_CA+T,比较两者是否相等,如果相等则表示会话密钥确实是由CA生成的,之后解密E(mk_MU,R||T||SessionKey)得到会话密钥,利用会话密钥解密E(SessionKey,S)得到S,如果与之前发送的S相等则表示HA是安全的;
步骤12、MU向远端节点FA发送漫游证书和E(SessionKey,S||FA_ID||T),其中T为时间戳;
步骤13、FA向证书中指示的HA发送自己的证书和漫游证书以及E(SessionKey,S||FA_ID||T);
步骤14、HA检查漫游证书检索出相应的SessionKey后解密E(SessionKey,S||FA_ID||T):
(1)确认漫游证书的有效性;
(2)确认MU要与FA建立连接;
步骤15、HA用FA的公钥PK_FA加密会话秘钥SessionKey,将E(PK_FA,SessionKey)发送给FA;
步骤16、FA解密E(PK_FA,SessionKey)后得到SessionKey,FA用SessionKey加密FA_ID||T,其中T为时间戳;
步骤17、MU检查加密内容是否正确,如果正确则认证通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910861089.3A CN110636495B (zh) | 2019-09-12 | 2019-09-12 | 一种雾计算系统中的终端用户安全漫游认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910861089.3A CN110636495B (zh) | 2019-09-12 | 2019-09-12 | 一种雾计算系统中的终端用户安全漫游认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636495A true CN110636495A (zh) | 2019-12-31 |
| CN110636495B CN110636495B (zh) | 2023-02-10 |
Family
ID=68972162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910861089.3A Active CN110636495B (zh) | 2019-09-12 | 2019-09-12 | 一种雾计算系统中的终端用户安全漫游认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636495B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314348A (zh) * | 2020-02-19 | 2020-06-19 | 中国联合网络通信集团有限公司 | 信任度模型建立、信任评价、设备认证的方法及装置 |
| CN112769568A (zh) * | 2021-01-29 | 2021-05-07 | 华中师范大学 | 雾计算环境中的安全认证通信系统、方法、物联网设备 |
| CN113364849A (zh) * | 2021-06-01 | 2021-09-07 | 南京臻融软件科技有限公司 | 一种基于dds的跨广域网双漫游数据传输方法、系统及存储介质 |
| CN114124548A (zh) * | 2021-11-26 | 2022-03-01 | 中通服咨询设计研究院有限公司 | 一种基于边缘计算的数据跨域流动安全的方法 |
| CN115694979A (zh) * | 2022-10-28 | 2023-02-03 | 重庆长安汽车股份有限公司 | 一种车载终端接入mqtt的方法、装置、设备、介质及程序 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360567A (zh) * | 2017-08-17 | 2017-11-17 | 西南交通大学 | 基于身份无对的无线网跨域切换认证的密钥协商方法 |
-
2019
- 2019-09-12 CN CN201910861089.3A patent/CN110636495B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360567A (zh) * | 2017-08-17 | 2017-11-17 | 西南交通大学 | 基于身份无对的无线网跨域切换认证的密钥协商方法 |
Non-Patent Citations (2)
| Title |
|---|
| 曾萍等: "一种轻量级的雾计算属性基外包加密算法", 《计算机应用研究》 * |
| 钱进: "基于雾计算的物联网安全接入控制研究", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314348A (zh) * | 2020-02-19 | 2020-06-19 | 中国联合网络通信集团有限公司 | 信任度模型建立、信任评价、设备认证的方法及装置 |
| CN111314348B (zh) * | 2020-02-19 | 2022-07-12 | 中国联合网络通信集团有限公司 | 信任度模型建立、信任评价、设备认证的方法及装置 |
| CN112769568A (zh) * | 2021-01-29 | 2021-05-07 | 华中师范大学 | 雾计算环境中的安全认证通信系统、方法、物联网设备 |
| CN113364849A (zh) * | 2021-06-01 | 2021-09-07 | 南京臻融软件科技有限公司 | 一种基于dds的跨广域网双漫游数据传输方法、系统及存储介质 |
| CN114124548A (zh) * | 2021-11-26 | 2022-03-01 | 中通服咨询设计研究院有限公司 | 一种基于边缘计算的数据跨域流动安全的方法 |
| CN114124548B (zh) * | 2021-11-26 | 2024-01-26 | 中通服咨询设计研究院有限公司 | 一种基于边缘计算的数据跨域流动安全的方法 |
| CN115694979A (zh) * | 2022-10-28 | 2023-02-03 | 重庆长安汽车股份有限公司 | 一种车载终端接入mqtt的方法、装置、设备、介质及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636495B (zh) | 2023-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636495B (zh) | 一种雾计算系统中的终端用户安全漫游认证的方法 | |
| US11509644B2 (en) | Establishing connections between IOT devices using authentication tokens | |
| CN112243235B (zh) | 适用于天地一体化的群组接入认证和切换认证方法及应用 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN110035037B (zh) | 安全认证方法、相关设备及系统 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| CN102783218B (zh) | 用于重定向数据业务的方法和装置 | |
| CN113965925B (zh) | 一种动态认证方法、装置、设备及可读存储介质 | |
| US20210377053A1 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| US20230396602A1 (en) | Service authorization method and system, and communication apparatus | |
| CN114946153A (zh) | 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 | |
| WO2021002180A1 (ja) | 中継方法、中継システム、及び中継用プログラム | |
| CN116321147A (zh) | 基于零信任的多属性终端身份认证方法及系统 | |
| CN114070597A (zh) | 一种专网跨网认证方法及装置 | |
| CN115226103A (zh) | 一种通信方法及装置 | |
| TW202245442A (zh) | 一種通訊方法及裝置 | |
| CN108599968B (zh) | 用于城市物联网的信息广播方法 | |
| JP6153622B2 (ja) | インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置 | |
| Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
| JP2023552486A (ja) | 目標情報の取得方法、送信方法、装置、デバイス及び記憶媒体 | |
| EP4356636A1 (en) | Methods and means for providing access to external networks | |
| CN101325804B (zh) | 获取密钥的方法、设备及系统 | |
| KR101878713B1 (ko) | 네트워크망에 사용자 단말기를 접속하기 위한 방법 및 시스템 | |
| WO2023142102A1 (en) | Security configuration update in communication networks | |
| CN116847350A (zh) | 一种d2d通信方法、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240124 Address after: Room 12002-05, Building B, Lugu Information Port, No. 658 Lugu Avenue, High tech Development Zone, Changsha City, Hunan Province, 410221 Patentee after: Hunan Ruiyun Information Technology Co.,Ltd. Country or region after: China Address before: 100070 Beijing city Fengtai District Fung Fu Road No. 7 Patentee before: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE Country or region before: China |