CN111294352A - 云端与边缘节点之间的数据安全认证方法 - Google Patents
云端与边缘节点之间的数据安全认证方法 Download PDFInfo
- Publication number
- CN111294352A CN111294352A CN202010078891.8A CN202010078891A CN111294352A CN 111294352 A CN111294352 A CN 111294352A CN 202010078891 A CN202010078891 A CN 202010078891A CN 111294352 A CN111294352 A CN 111294352A
- Authority
- CN
- China
- Prior art keywords
- cloud
- edge node
- authentication
- registration
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种云端与边缘节点之间的数据安全认证方法,该方法提供一套边缘节点和云端之间的双向身份认证协议,能够确保云端和边缘节点身份的真实有效,避免了恶意攻击渗透至核心网络,极大保障了工业互联网安全。该方法引入了椭圆曲线密码算法对认证过程的关键数据进行加密,算法密钥尺寸、系统参数和存储空间较小,运算速度快,具有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算节点的认证环境,避免了数据明文传输泄漏风险,通过时间戳避免了重放攻击,并简化了一次性口令认证协议的哈希迭代运算,较原认证协议具有更高的安全性,运算效率也有所提升,能够在边缘节点资源受限的环境下,满足其认证安全的要求。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种云端与边缘节点之间的数据 安全认证方法。
背景技术
当前,工业互联网逐渐成为一种新兴的工业应用模式,其中,工业互联网 平台是连接工业企业、用户企业的重要枢纽,极大促进了工业生产的智能化、 高效化,但是集中的云端处理加剧了云端负载,为减少工业互联网平台云端负 载,边缘计算应用而生。在边缘计算场景下,边缘云、边缘节点可以就近对数 据进行处理分析,云端负责进行数据集中处理和存储,边缘节点和云端之间协 同处理大大减少了云端负载及数据传输量,但同时由于边缘节点计算资源有限, 通信协议复杂,且安全功能不足,极易成为渗透至云端的攻击跳板。此外,现 有工业通信协议大多不提供认证功能,引发了身份仿冒等安全问题,本发明主要用于解决边缘节点与云端的双向身份认证问题,保障边缘节点和云端的安全 高效的通信。
发明内容
本发明要解决的技术问题是解决边缘节点与云端的双向身份认证的问题, 本发明提出了一种云端与边缘节点之间的数据安全认证方法。
根据本发明实施例的云端的数据安全认证方法,包括:
A10:生成第一随机数,并向云端发送采用云端公钥加密的第一认证消息;
A20:接收所述云端基于所述第一认证消息回应的第一回应消息,并基于所 述第一回应消息验证所述云端是否合法;
其中,所述第一回应消息为:所述云端解析所述第一认证消息以获取边缘 节点id和所述第一随机数,并基于所述边缘节点id对应的节点公钥和所述第一 随机数计算得到所述第一回应消息。
根据本发明实施例的云端的数据安全认证方法,针对工业互联网中的边缘 计算与云端的数据传输过程进行身份认证,对认证过程中的关键信息进行加密 保护,密钥尺寸和系统参数较小,耗费的存储空间也较小,运算速度快,同时 具有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算节点 的认证环境,具备可靠、轻量的加密功能。
根据本发明的一些实施例,所述基于所述第一回应消息验证所述云端是否 合法,包括:
基于所述节点公钥和所述第一随机数计算获得第一验证消息;
判断所述第一验证消息与所述第一回应消息是否相符,若相符,则所述云 端合法;否则,所述云端认证失败。
在本发明的一些实施例中,在向所述云端发送所述第一认证消息之前,还 包括所述边缘节点的注册,注册方法包括:
B10:向所述云端发送携带边缘节点id的注册请求信息;
B20:接收所述云端基于所述注册请求信息回应的注册回应信息,基于所述 注册回应信息生成所述边缘节点的节点公钥和节点私钥,并向所述云端发送基 于所述节点公钥生成的注册信息;
B30:所述云端解析所述注册信息,获取并存储所述节点公钥,以完成所述 边缘节点的注册。
根据本发明的一些实施例,所述注册方法还包括:
所述云端接收到所述注册请求消息后,针对所述边缘节点id查询注册表, 以判断所述边缘节点是否已注册;
当所述边缘节点未注册时,存储当前时间戳信息和所述边缘节点id,并生 成所述注册回应信息。
在本发明的一些实施例中,所述注册回应信息的生成方法包括:
C10:所述云端生成第二随机数作为所述云端的云端私钥,并生成安全椭圆 曲线;
C20:从所述安全椭圆曲线选取基点,并基于所述基点生成所述云端的云端 公钥;
C30:基于所述云端公钥、所述安全椭圆曲线和所述基点,生成所述注册回 应信息。
根据本发明实施例的边缘节点的数据安全认证方法,包括:
D10:生成第三随机数,并向边缘节点发送采用节点公钥加密的第二认证消 息;
D20:接收所述边缘节点基于所述第二认证消息回应的第二回应消息,并基 于所述第二回应消息验证所述边缘节点是否合法;
其中,所述第二回应消息为:所述边缘节点解析所述第二认证消息以获取 所述第三随机数,并基于所述第三随机数计算得到所述第二回应消息。
根据本发明实施例的边缘节点的数据安全认证方法,针对工业互联网中 的边缘计算与云端的数据传输过程进行身份认证,对认证过程中的关键信息进 行加密保护,密钥尺寸和系统参数较小,耗费的存储空间也较小,运算速度快, 同时具有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算 节点的认证环境,具备可靠、轻量的加密功能。
根据本发明的一些实施例,所述基于所述第二回应消息验证所述边缘节点 是否合法,包括:
基于所述第三随机数计算获得第二验证消息;
判断所述第二验证消息与所述第二回应消息是否相符,若相符,则所述边 缘节点合法;否则,所述边缘节点认证失败。
在本发明的一些实施例中,在向所述边缘节点发送所述第二认证消息之前, 还包括所述边缘节点的注册,注册方法包括:
B10:向云端发送携带边缘节点id的注册请求信息;
B20:接收所述云端基于所述注册请求信息回应的注册回应信息,基于所述 注册回应信息生成所述边缘节点的节点公钥和节点私钥,并向所述云端发送基 于所述节点公钥生成的注册信息;
B30:所述云端解析所述注册信息,获取并存储所述节点公钥,以完成所述 边缘节点的注册。
根据本发明的一些实施例,所述注册方法还包括:
所述云端接收到所述注册请求消息后,针对所述边缘节点id查询注册表, 以判断所述边缘节点是否已注册;
当所述边缘节点未注册时,存储当前时间戳信息和所述边缘节点id,并生 成所述注册回应信息。
在本发明的一些实施例中,所述注册回应信息的生成方法包括:
C10:所述云端生成第二随机数作为所述云端的云端私钥,并生成安全椭圆 曲线;
C20:从所述安全椭圆曲线选取基点,并基于所述基点生成所述云端的云端 公钥;
C30:基于所述云端公钥、所述安全椭圆曲线和所述基点,生成所述注册回 应信息。
附图说明
图1为根据本发明实施例的云端的数据安全认证方法流程图;
图2为根据本发明实施例的边缘节点在云端注册的方法流程图;
图3为根据本发明实施例的注册信息生成方法流程图;
图4为根据本发明实施例的边缘节点的数据安全认证方法流程图;
图5为根据本发明实施例的边缘节点与云端的之间数据传输过程示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结 合附图及较佳实施例,对本发明进行详细说明如后。
随着工业互联网平台的发展,工业数据上云成为工业领域实现智能化生产 运营的必经之路。但是工业互联网数据体量巨大,实时性要求高,数据上云形 式多样。从数据来源和典型应用需求来看,工业互联网数据上传和下行存在六 种形式,分别是:云与协同层办公网数据之间的传输,目的是促进企业办公业 务系统的协同化、智能化;云与企业层生产管理系统,如ERP系统之间的数据 传输,主要目的是促进企业智能决策;云与车间层,如MES系统之间的数据传 输,主要是促进智能排产;云与控制层,如SCADA之间的数据传输,主要是促 进数据的智能化控制及监测分析;云与现场设备层,如工业传感器等终端采集 点的直接数据交互;云与边缘节点之间的数据双向传输,这种形式主要适用于 有边缘计算的场景中,相对于前五种形式,该形式为了减轻中心云端负载,对 边缘终端采集的数据进行了一定的计算后再上传云端,其数据交互包括两种形 式:云端对边缘节点发起请求、边缘节点将采集到的数据进行一定的计算和处 理后上传至云端。现有工业通信协议大多不提供认证功能,且当前的常用数据 安全认证协议很难满足该复杂场景下实时性和安全性的认证需求。
身份认证是实现网络安全的重要机制之一,传统的身份认证技术已经应用 于多个信息技术领域。较为经典的有以下三种认证机制:一是基于DCE/Kerberos 的认证方式,该方式是一种非常安全的双向认证技术,主要强调客户机对服务 器的认证;二是基于公共密钥的认证机制,该方式通过第三方证明授权(CA) 为用户签发身份证明实现身份认证;三是基于挑战/应答方式的身份认证机制, 在该方式中,每次认证时,认证服务器端都给客户端发送一个不同的“挑战” 字串,客户端程序收到“挑战”后作出相应的“应答”,如Radius认证机制就是 采用该方式进行认证。一次性口令认证协议(OTP)因整体运算量较少而广泛应用于受限节点的认证中,但是其每次认证时,要进行多轮迭代散列运算,严重 影响认证运行效率,且安全性不足。
当前常用认证协议中,OTP协议因其简单便捷成为身份认证的常用认证协 议。但是该协议存在如下缺点:
一是每次认证时,要进行多轮迭代散列运算,严重影响认证运行效率;
二是该协议因为缺少数据加密过程,种子值Seed和迭代次数N均是明文传 输,而且只提供单向认证,因此该协议可能面临服务器端假冒攻击、口令泄漏、 小数攻击的威胁。
三是由于用户端的秘密通行语均是由用户端自行产生,因此口令的复杂程 度无法得到保证,口令产生习惯被跟踪或者泄露,很容易遭受字典攻击或者猜 测攻击。
本发明提出一种基于ECC加密算法和一次性口令认证的边缘计算节点与云 端身份认证方法,改进了一次性口令认证协议的易遭受小数攻击等安全问题, 以满足边缘计算与云端认证的高安全、高动态、低时延要求。
本发明提出的云端与边缘节点之间的数据安全认证方法包括:云端的数据 安全认证方法、边缘节点的数据认证方法以及边缘节点的注册方法。
其中,如图1所示,根据本发明实施例的云端的数据安全认证方法,包括:
A10:生成第一随机数,并向云端发送采用云端公钥加密的第一认证消息;
在进行云端的安全数据认证时,边缘节点可以产生一个第一随机数R1,并 将边缘节点的id通过云端公钥加密之后生成第一认证消息M1,即M1=Ekcp(id, R1),随后将M1发送给云端。
A20:接收云端基于第一认证消息M1回应的第一回应消息M2,并基于第一 回应消息M2验证云端是否合法;
其中,第一回应消息M2为:云端解析第一认证消息M1以获取边缘节点id 和第一随机数R1,并基于边缘节点id对应的节点公钥和第一随机数R1计算得到 第一回应消息M2。
需要说明的是,云端接收到第一认证消息M1后,解析第一认证消息M1, 提取边缘节点id和第一随机数R1,并存储时间戳Ti,而后查询该边缘节点id绑 定的节点公钥pw以及H(Ti-1)。随后,云端将pw、R连接起来,进行一次哈希 运算,得到第一回应消息M2,即M2=H(pw||R1)。边缘节点接收到第一回应消 息M2后,可以基于第一回应消息M2验证云端的合法性。
根据本发明实施例的云端的数据安全认证方法,针对工业互联网中的边缘 计算与云端的数据传输过程进行身份认证,对认证过程中的关键信息进行加密 保护,密钥尺寸和系统参数较小,耗费的存储空间也较小,运算速度快,同时 具有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算节点 的认证环境,具备可靠、轻量的加密功能。
根据本发明的一些实施例,基于第一回应消息M2验证云端是否合法,包括:
基于节点公钥pw和第一随机数R1计算获得第一验证消息M3;由此,得到 第一验证消息M3,M3=H(pw||R)。
判断第一验证消息M3与第一回应消息M2是否相符,若相符,则云端合法; 否则,云端认证失败。
如图4所示,根据本发明实施例的边缘节点的数据安全认证方法,包括:
D10:生成第三随机数,并向边缘节点发送采用节点公钥加密的第二认证消 息;
在进行边缘节点的数据安全认证时,云端可以生成一个第三随机数R3,并 用边缘节点的节点公钥进行加密,得到第二认证消息 M4=Epw(R3||H(Ti-1)),随后将第二认证消息M4发送至边缘节点。
D20:接收边缘节点基于第二认证消息M4回应的第二回应消息M5,并基于 第二回应消息M5验证边缘节点是否合法;
其中,第二回应消息M5为:边缘节点解析第二认证消息M4以获取第三随 机数R3,并基于第三随机数R3计算得到第二回应消息M5。
需要说明的是,边缘节点接收到第二认证消息后M4,解析第二认证消息 M4,获取第三随机数R3,将第三随机数R3和存储时间戳Ti进行哈希运算,得到 第二回应消息M5,M5=H(R3||H(Ti-1)),并发送至云端。云端接收到第二 回应消息M5后,可以基于第二回应消息M5验证云端的合法性。
根据本发明实施例的边缘节点的数据安全认证方法,针对工业互联网中 的边缘计算与云端的数据传输过程进行身份认证,对认证过程中的关键信息进 行加密保护,密钥尺寸和系统参数较小,耗费的存储空间也较小,运算速度快, 同时具有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算 节点的认证环境,具备可靠、轻量的加密功能。
根据本发明的一些实施例,基于第二回应消息M5验证边缘节点是否合法, 包括:
基于第三随机数R3计算获得第二验证消息M6;由此,得到第二验证消息 M6,M6=H(R3||Ti-1)。
判断第二验证消息M6与第二回应消息M5是否相符,若相符,则边缘节点 合法;否则,边缘节点认证失败。
需要说明的是,在云端与边缘节点之间进行数据安全认证之前,还包括边 缘节点的注册,如图2所示,注册方法包括:
B10:向云端发送携带边缘节点id的注册请求信息;也就是说,边缘节点 可以将自己的id作为注册请求信息,发送给云端。
B20:接收云端基于注册请求信息回应的注册回应信息,基于注册回应信息 生成边缘节点的节点公钥和节点私钥,并向云端发送基于节点公钥生成的注册 信息;
B30:云端解析注册信息,获取并存储节点公钥,以完成边缘节点的注册。
根据本发明的一些实施例,注册方法还包括:
云端接收到注册请求消息后,针对边缘节点id查询注册表,以判断边缘节 点是否已注册;当边缘节点未注册时,存储当前时间戳信息和边缘节点id,并 生成注册回应信息。
也就是说,云端接收到边缘节点发送的注册请求信息后,首先查看已有注 册表,判断边缘节点id是否已经注册,如果发现有相同的id,则停止注册,若 没有相同id,则主动获取并存储当前时间戳Ti-1,并保存该id,而后向边缘节点 回应注册回应信息。
在本发明的一些实施例中,如图3所示,注册回应信息的生成方法包括:
C10:云端生成第二随机数作为云端的云端私钥,并生成安全椭圆曲线;
C20:从安全椭圆曲线选取基点,并基于基点生成云端的云端公钥;
也就是说,云端生成安全椭圆曲线E(GF(2m))后,可以在上面选取一个 基点P(xp,yp),并计算kcp=kcsP作为云端公钥。
C30:基于云端公钥、安全椭圆曲线和基点,生成注册回应信息。
也就是说,云端将自己的公钥kcp以及安全椭圆曲线E(GF(2m))和基点 P(xp,yp)作为注册回应信息发送给边缘节点。边缘节点对当前时间戳Ti-1做 一次哈希运算,并存储H(Ti-1)以及云端公钥kcp,而后根据椭圆曲线相关参数 及边缘节点id生成自己的节点公钥pw和节点私钥sw,而后连同节点公钥pw 和ECC组成N,即N=(kcp||ECC||H(Ti-1))发送给云端。云端接收并拆解 该信息后存储节点公钥pw和H(Ti-1)完成边缘节点的注册。
下面以一个具体的实施例详细描述根据本发明的云端与边缘节点之间的数 据安全认证方法。值得理解的是,下述描述仅是示例性描述,而不是对本发明 的具体限制。
本发明基于一次性口令认证思想及ECC算法提出一种工业互联网边缘节点 与云端的身份认证协议。本发明利用改进的一次性口令认证协议及ECC算法实 现边缘计算节点和云端的双向身份认证。本方案充分利用ECC加密算法高性能 和灵活性的优势,通过从安全性上改进一次性口令认证协议,提出一种轻量级 的双向身份认证方案,安全快速地完成边缘节点与云端的身份认证。
本发明为实现上述发明目的采用如下技术方案:
边缘节点与云端的身份认证方案包括两个部分。分别为注册阶段和认证阶 段。所述方案如下:
注册阶段:
注册阶段由边缘节点和云端的相互身份信息存储组成。首先,边缘节点 将自己的id作为注册请求信息,发送给云端。云端接收到注册请求后, 首先查看已有注册表,判断此标签是否已经注册,如果发现有相同的id, 则停止注册,若没有该id,主动获取存储当前时间戳Ti-1,并保存该id, 而后生成一条安全椭圆曲线E(GF(2m)),在上面选取一个基点P(xP,yP), 随后产生一个第二随机数作为自己的云端私钥kcs,同时计算 kcp=kcsP作为自己的云端公钥,随后将kcp以及E(GF(2m))、P点发送给边缘 节点;边缘节点收到来自云端的消息后,对Ti-1做一次哈希运算,并存储 H(Ti-1)以及云端公钥kcp,而后根据椭圆曲线相关参数及id生成自己的节 点公钥pw和节点私钥sw,而后连同pw和ECC组成N,即N= (kcp‖ECC‖H(Ti-1))发送给云端;云端收到N之后,拆解消息并存储pw 和H(Ti-1)。
认证阶段:
首先,边缘节点产生一个第一随机数R1,并将其id通过云端公钥加密 之后生成第一认证消息M1,即M1=Ekcp(id,R1),随后将M1发送给云端; 当云端收到该消息后,拆解消息,提取id和第一随机数R1,存储Ti,而 后查询该id绑定的pw以及H(Ti-1)。随后,云端将pw、R1连接起来, 进行一次哈希运算,第一回应消息M2,即M2=H(pw||R),而后将其发送给 边缘节点;边缘节点获取第一回应消息M2后,将自己的节点公钥pw和第 一随机数R1进行哈希运算,得到第一验证消息M3=H(pw||R),验证M2和 M3是否相等,如果相等,则云端为合法,否则,终止通信,认证失败。
随后,云端生成一个第三随机数R3,并用边缘节点的节点公钥对第 三随机数R3进行加密,得到第二认证消息M4=Epw(R3||H(Ti-1)), 随后将第二认证消息M4发送给边缘节点;边缘节点收到M4后,用自己 的节点私钥进行解密,获取R3,并将R3与存储的时间戳进行哈希运算, 得到第二回应消息M5=H(R3||H(Ti-1),并将M5发送至云端;云端收 到消息后,做同样的哈希运算,得到第二验证消息第二验证消息M6,如 果M5和M6相等,则认证通过,否则,认证失败。
综上所述,本发明针对工业互联网平台云端与边缘节点之间认证协议的安 全性及快速性不足的问题,提供一套边缘节点和云端之间的双向身份认证协议。 该协议将单向的OTP协议改为双向的身份认证协议,能够同时确保云端和边缘 节点身份的真实有效,避免了恶意攻击渗透至核心网络,极大保障了工业互联 网安全。
该协议引入了椭圆曲线密码算法对认证过程的关键数据进行加密,该密码 算法密钥尺寸和系统参数较小,耗费的存储空间也较小,运算速度快,同时具 有每比特最高的安全强度,适用于计算资源、存储资源有限的边缘计算节点的 认证环境,具备可靠、轻量的加密功能,避免了数据明文传输泄漏的风险,且 通过时间戳避免了重放攻击,同时简化了一次性口令认证协议的哈希迭代运算, 相对于原认证协议具有更高的安全性,同时运算效率也有所提升,能够在边缘 节点资源受限的环境下,满足其认证安全的要求。
此外,该方案是基于OTP认证进行的改进,继承了OTP方案的便捷要求, 同时从便捷性和安全性方面对OTP进行了以下改进:
一是对认证过程中的信息进行加密,保护了认证信息的保密性;
二是本协议中未采用哈希迭代的方法,在认证过程中采用了简单的哈希计 算,简化了认证中的计算量,避免了小数攻击;
三是计算节点采用其身份标识作为公钥pw,简化了口令产生过程。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术 手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之 用,并非用来对本发明加以限制。
Claims (10)
1.一种云端的数据安全认证方法,其特征在于,包括:
生成第一随机数,并向云端发送采用云端公钥加密的第一认证消息;
接收所述云端基于所述第一认证消息回应的第一回应消息,并基于所述第一回应消息验证所述云端是否合法;
其中,所述第一回应消息为:所述云端解析所述第一认证消息以获取边缘节点id和所述第一随机数,并基于所述边缘节点id对应的节点公钥和所述第一随机数计算得到所述第一回应消息。
2.根据权利要求1所述的云端的数据安全认证方法,其特征在于,所述基于所述第一回应消息验证所述云端是否合法,包括:
基于所述节点公钥和所述第一随机数计算获得第一验证消息;
判断所述第一验证消息与所述第一回应消息是否相符,若相符,则所述云端合法;否则,所述云端认证失败。
3.根据权利要求1所述的云端的数据安全认证方法,其特征在于,在向所述云端发送所述第一认证消息之前,还包括所述边缘节点的注册,注册方法包括:
向所述云端发送携带边缘节点id的注册请求信息;
接收所述云端基于所述注册请求信息回应的注册回应信息,基于所述注册回应信息生成所述边缘节点的节点公钥和节点私钥,并向所述云端发送基于所述节点公钥生成的注册信息;
所述云端解析所述注册信息,获取并存储所述节点公钥,以完成所述边缘节点的注册。
4.根据权利要求3所述的云端的数据安全认证方法,其特征在于,所述注册方法还包括:
所述云端接收到所述注册请求消息后,针对所述边缘节点id查询注册表,以判断所述边缘节点是否已注册;
当所述边缘节点未注册时,存储当前时间戳信息和所述边缘节点id,并生成所述注册回应信息。
5.根据权利要求4所述的云端的数据安全认证方法,其特征在于,所述注册回应信息的生成方法包括:
所述云端生成第二随机数作为所述云端的云端私钥,并生成安全椭圆曲线;
从所述安全椭圆曲线选取基点,并基于所述基点生成所述云端的云端公钥;
基于所述云端公钥、所述安全椭圆曲线和所述基点,生成所述注册回应信息。
6.一种边缘节点的数据安全认证方法,其特征在于,包括:
生成第三随机数,并向边缘节点发送采用节点公钥加密的第二认证消息;
接收所述边缘节点基于所述第二认证消息回应的第二回应消息,并基于所述第二回应消息验证所述边缘节点是否合法;
其中,所述第二回应消息为:所述边缘节点解析所述第二认证消息以获取所述第三随机数,并基于所述第三随机数计算得到所述第二回应消息。
7.根据权利要求6所述的边缘节点的数据安全认证方法,其特征在于,所述基于所述第二回应消息验证所述边缘节点是否合法,包括:
基于所述第三随机数计算获得第二验证消息;
判断所述第二验证消息与所述第二回应消息是否相符,若相符,则所述边缘节点合法;否则,所述边缘节点认证失败。
8.根据权利要求6所述的边缘节点的数据安全认证方法,其特征在于,在向所述边缘节点发送所述第二认证消息之前,还包括所述边缘节点的注册,注册方法包括:
向云端发送携带边缘节点id的注册请求信息;
接收所述云端基于所述注册请求信息回应的注册回应信息,基于所述注册回应信息生成所述边缘节点的节点公钥和节点私钥,并向所述云端发送基于所述节点公钥生成的注册信息;
所述云端解析所述注册信息,获取并存储所述节点公钥,以完成所述边缘节点的注册。
9.根据权利要求8所述的边缘节点的数据安全认证方法,其特征在于,所述注册方法还包括:
所述云端接收到所述注册请求消息后,针对所述边缘节点id查询注册表,以判断所述边缘节点是否已注册;
当所述边缘节点未注册时,存储当前时间戳信息和所述边缘节点id,并生成所述注册回应信息。
10.根据权利要求9所述的边缘节点的数据安全认证方法,其特征在于,所述注册回应信息的生成方法包括:
所述云端生成第二随机数作为所述云端的云端私钥,并生成安全椭圆曲线;
从所述安全椭圆曲线选取基点,并基于所述基点生成所述云端的云端公钥;
基于所述云端公钥、所述安全椭圆曲线和所述基点,生成所述注册回应信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010078891.8A CN111294352B (zh) | 2020-02-03 | 2020-02-03 | 云端与边缘节点之间的数据安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010078891.8A CN111294352B (zh) | 2020-02-03 | 2020-02-03 | 云端与边缘节点之间的数据安全认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111294352A true CN111294352A (zh) | 2020-06-16 |
CN111294352B CN111294352B (zh) | 2022-06-14 |
Family
ID=71022366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010078891.8A Active CN111294352B (zh) | 2020-02-03 | 2020-02-03 | 云端与边缘节点之间的数据安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111294352B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111935087A (zh) * | 2020-07-02 | 2020-11-13 | 上海微亿智造科技有限公司 | 工业互联网接收大数据量网关鉴权验证方法及系统 |
CN112203280A (zh) * | 2020-10-10 | 2021-01-08 | 北京航空航天大学 | 一种面向边缘网关的数据可信传输机制 |
CN112565241A (zh) * | 2020-12-01 | 2021-03-26 | 杭州思源信息技术股份有限公司 | 一种基于智慧天网的社区物联感知系统及构建方法 |
CN112866197A (zh) * | 2020-12-31 | 2021-05-28 | 北京安御道合科技有限公司 | 实现物联网终端安全的密码边缘计算方法、系统及终端 |
CN112910977A (zh) * | 2021-01-26 | 2021-06-04 | 梁新祥 | 一种楼宇电力安全报警系统 |
CN112995171A (zh) * | 2021-02-24 | 2021-06-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于区域位置的云计算容器管理方法 |
CN113422683A (zh) * | 2021-03-04 | 2021-09-21 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
CN113783953A (zh) * | 2021-08-31 | 2021-12-10 | 上海慧程智能系统有限公司 | 基于云边协同的工业物联网管控方法及系统 |
CN114338166A (zh) * | 2021-12-29 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 一种边缘设备风险处理方法、装置、设备及云端服务器 |
CN114900288A (zh) * | 2022-05-23 | 2022-08-12 | 科大天工智能装备技术(天津)有限公司 | 一种基于边缘服务的工业环境认证方法 |
CN115208922A (zh) * | 2022-07-15 | 2022-10-18 | 鹿马智能科技(上海)有限公司 | 基于边缘计算的酒店管理系统 |
CN116032666A (zh) * | 2023-03-29 | 2023-04-28 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及系统 |
CN117729056A (zh) * | 2024-02-09 | 2024-03-19 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种设备身份认证方法和系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789476A (zh) * | 2016-12-29 | 2017-05-31 | Tcl集团股份有限公司 | 一种网关通讯方法及系统 |
CN108173882A (zh) * | 2018-03-01 | 2018-06-15 | 北京科技大学 | 基于aes算法的边缘计算节点身份认证方法 |
CN108366063A (zh) * | 2018-02-11 | 2018-08-03 | 广东美的厨房电器制造有限公司 | 智能设备的数据通信方法、装置及其设备 |
CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
CN109873815A (zh) * | 2019-01-28 | 2019-06-11 | 西安电子科技大学 | 基于边缘计算的异构物联网认证方法、物联网安全平台 |
CN110099367A (zh) * | 2019-04-26 | 2019-08-06 | 河南工学院 | 基于边缘计算的车联网安全数据分享方法 |
US20190312877A1 (en) * | 2016-12-23 | 2019-10-10 | Cloudminds (Shenzhen) Robotics Systems Co., Ltd. | Block chain mining method, device, and node apparatus |
CN110636062A (zh) * | 2019-09-20 | 2019-12-31 | 百度在线网络技术(北京)有限公司 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
-
2020
- 2020-02-03 CN CN202010078891.8A patent/CN111294352B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190312877A1 (en) * | 2016-12-23 | 2019-10-10 | Cloudminds (Shenzhen) Robotics Systems Co., Ltd. | Block chain mining method, device, and node apparatus |
CN106789476A (zh) * | 2016-12-29 | 2017-05-31 | Tcl集团股份有限公司 | 一种网关通讯方法及系统 |
CN108366063A (zh) * | 2018-02-11 | 2018-08-03 | 广东美的厨房电器制造有限公司 | 智能设备的数据通信方法、装置及其设备 |
CN108173882A (zh) * | 2018-03-01 | 2018-06-15 | 北京科技大学 | 基于aes算法的边缘计算节点身份认证方法 |
CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
CN109873815A (zh) * | 2019-01-28 | 2019-06-11 | 西安电子科技大学 | 基于边缘计算的异构物联网认证方法、物联网安全平台 |
CN110099367A (zh) * | 2019-04-26 | 2019-08-06 | 河南工学院 | 基于边缘计算的车联网安全数据分享方法 |
CN110636062A (zh) * | 2019-09-20 | 2019-12-31 | 百度在线网络技术(北京)有限公司 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
Non-Patent Citations (6)
Title |
---|
孙岩等: "边缘计算在工业互联网中应用的安全问题研究", 《保密科学技术》 * |
孙岩等: "边缘计算在工业互联网中应用的安全问题研究", 《保密科学技术》, 30 November 2019 (2019-11-30) * |
杨小宝等: "基于智能卡的云终端设备安全接入", 《西安邮电大学学报》 * |
杨小宝等: "基于智能卡的云终端设备安全接入", 《西安邮电大学学报》, vol. 20, no. 2, 10 March 2015 (2015-03-10) * |
马媛媛等: "边缘计算场景下的异构终端安全接入技术研究", 《计算机工程与应用》 * |
马媛媛等: "边缘计算场景下的异构终端安全接入技术研究", 《计算机工程与应用》, 31 October 2019 (2019-10-31) * |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111935087B (zh) * | 2020-07-02 | 2021-04-06 | 上海微亿智造科技有限公司 | 工业互联网接收大数据量网关鉴权验证方法及系统 |
CN111935087A (zh) * | 2020-07-02 | 2020-11-13 | 上海微亿智造科技有限公司 | 工业互联网接收大数据量网关鉴权验证方法及系统 |
CN112203280A (zh) * | 2020-10-10 | 2021-01-08 | 北京航空航天大学 | 一种面向边缘网关的数据可信传输机制 |
CN112203280B (zh) * | 2020-10-10 | 2024-02-09 | 北京航空航天大学 | 一种面向边缘网关的数据可信传输机制 |
CN112565241A (zh) * | 2020-12-01 | 2021-03-26 | 杭州思源信息技术股份有限公司 | 一种基于智慧天网的社区物联感知系统及构建方法 |
CN112866197A (zh) * | 2020-12-31 | 2021-05-28 | 北京安御道合科技有限公司 | 实现物联网终端安全的密码边缘计算方法、系统及终端 |
CN112910977A (zh) * | 2021-01-26 | 2021-06-04 | 梁新祥 | 一种楼宇电力安全报警系统 |
CN112995171A (zh) * | 2021-02-24 | 2021-06-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于区域位置的云计算容器管理方法 |
CN113422683B (zh) * | 2021-03-04 | 2023-05-26 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
CN113422683A (zh) * | 2021-03-04 | 2021-09-21 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
CN113783953A (zh) * | 2021-08-31 | 2021-12-10 | 上海慧程智能系统有限公司 | 基于云边协同的工业物联网管控方法及系统 |
CN114338166A (zh) * | 2021-12-29 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 一种边缘设备风险处理方法、装置、设备及云端服务器 |
CN114900288A (zh) * | 2022-05-23 | 2022-08-12 | 科大天工智能装备技术(天津)有限公司 | 一种基于边缘服务的工业环境认证方法 |
CN114900288B (zh) * | 2022-05-23 | 2023-08-25 | 北京科技大学 | 一种基于边缘服务的工业环境认证方法 |
CN115208922B (zh) * | 2022-07-15 | 2023-11-03 | 鹿马智能科技(上海)有限公司 | 基于边缘计算的酒店管理系统 |
CN115208922A (zh) * | 2022-07-15 | 2022-10-18 | 鹿马智能科技(上海)有限公司 | 基于边缘计算的酒店管理系统 |
CN116032666A (zh) * | 2023-03-29 | 2023-04-28 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及系统 |
CN116032666B (zh) * | 2023-03-29 | 2023-09-22 | 广东致盛技术有限公司 | 一种基于学习模型的边云协同设备伪装识别方法及系统 |
CN117729056A (zh) * | 2024-02-09 | 2024-03-19 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种设备身份认证方法和系统 |
CN117729056B (zh) * | 2024-02-09 | 2024-05-03 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种设备身份认证方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111294352B (zh) | 2022-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111294352B (zh) | 云端与边缘节点之间的数据安全认证方法 | |
CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
KR102580509B1 (ko) | 복수의 스토리지 노드를 통해 대규모 블록체인의 안전한 저장을 가능하게 하는 컴퓨터 구현 시스템 및 방법 | |
CN101902476B (zh) | 移动p2p用户身份认证方法 | |
CN112583596B (zh) | 一种基于区块链技术的完全跨域身份认证方法 | |
US10050789B2 (en) | Kerberos preauthentication with J-PAKE | |
Chom Thungon et al. | A lightweight authentication and key exchange mechanism for IPv6 over low‐power wireless personal area networks‐based Internet of things | |
Huang et al. | A token-based user authentication mechanism for data exchange in RESTful API | |
Chen et al. | Efficient certificateless online/offline signcryption scheme for edge IoT devices | |
CN114124371A (zh) | 一种基于无证书的满足mtp安全的公钥可搜索加密方法 | |
WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
He et al. | A lightweight authentication and key exchange protocol with anonymity for IoT | |
CN111106928A (zh) | 一种基于国密算法的ntp协议增强信息处理系统及方法 | |
CN111065097A (zh) | 移动互联网中基于共享密钥的通道保护方法及系统 | |
US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
CN111711607B (zh) | 一种基于区块链的流式微服务可信加载与验证方法 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
CN112926983A (zh) | 一种基于区块链的存证交易加密系统及方法 | |
Xu et al. | A decentralized lightweight authentication protocol under blockchain | |
CN115955320B (zh) | 一种视频会议身份认证方法 | |
Zahednejad et al. | A lightweight, secure big data-based authentication and key-agreement scheme for iot with revocability | |
CN112311545A (zh) | 一种基于云mes系统用户登录信息多重加密的传输方法 | |
CN117155615A (zh) | 数据加密传输方法、系统、电子设备及存储介质 | |
CN112039837A (zh) | 一种基于区块链和秘密共享的电子证据保全方法 | |
Liu et al. | A hash-based secure interface on plain connection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |