CN111565169B - 移动边缘计算架构下云边端认证方法、电子设备及存储介质 - Google Patents

移动边缘计算架构下云边端认证方法、电子设备及存储介质 Download PDF

Info

Publication number
CN111565169B
CN111565169B CN202010197272.0A CN202010197272A CN111565169B CN 111565169 B CN111565169 B CN 111565169B CN 202010197272 A CN202010197272 A CN 202010197272A CN 111565169 B CN111565169 B CN 111565169B
Authority
CN
China
Prior art keywords
mec server
server
core network
identity
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010197272.0A
Other languages
English (en)
Other versions
CN111565169A (zh
Inventor
崔琪楣
朱增宝
赵博睿
陶小峰
张平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202010197272.0A priority Critical patent/CN111565169B/zh
Publication of CN111565169A publication Critical patent/CN111565169A/zh
Application granted granted Critical
Publication of CN111565169B publication Critical patent/CN111565169B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种移动边缘计算架构下云边端认证方法,将MEC服务器匿名身份发送给终端认证装置,以供终端认证装置生成终端认证向量;根据终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将MEC服务器认证向量发送给核心网服务器,以供核心网服务器验证另外两者身份;根据核心网服务器发送的核心网服务器认证向量和MEC服务器期望响应消息验证核心网服务器身份,若其身份验证成功,则将核心网服务器认证向量的预设部分转发给终端认证装置,以供终端认证装置验证核心网服务器身份。本发明实施例保证了认证安全性和低时延性。

Description

移动边缘计算架构下云边端认证方法、电子设备及存储介质
技术领域
本发明涉及移动通信领域,具体涉及一种移动边缘计算架构下云边端认证方法。
背景技术
近年来,随着万物互联以及大数据时代的到来,人和物等大量终端产生庞大的用户数据,由于终端设备资源有限,通常将数据上传至云端进行处理,但是传统的集中式数据处理方法难以满足用户对时延和高带宽的需求。在网络边缘部署小型数据中心,将一部分核心网功能下沉到边缘进行,并在边缘增加缓存功能,能够有效降低端到端时延,提升网络吞吐量,因此,移动边缘计算(Mobile Edge Computing,以下简称MEC)已经成为5G的重要特征之一。在如今,安全性和隐私性至关重要,接入认证是保证网络安全的第一步,能够起到终端和网络相互验证身份并建立安全信道的作用。
现有的云计算认证方法不适用于移动边缘计算。由于现有的云计算认证方法一般不具备轻量化特点,并且大部分依赖于公钥基础设施(Public Key Infrastructure,以下简称PKI)机制,需要可信第三方参与,这一点在移动边缘计算场景下通常不能满足,比如终端首次接入网络时不存在任何可信第三方。其次,5G标准化认证方案5G认证与密钥协商协议(Authentication and Key Agreement,以下简称5G AKA)、可扩展认证与密钥协商协议(Extensible Authentication Protocol-Authentication and Key Agreement,以下简称EAP-AKA)、可扩展认证安全传输层协议(Extensible Authentication Protocol-Transport Layer Security,以下简称EAP-TLS)不适用于移动边缘计算。5G已标准化的认证方案未在认证架构中考虑MEC,因此难以直接应用 5G认证机制用于MEC认证。此外,5G认证方案只提供终端认证装置和核心网之间的实体认证,终端认证装置与其他网元如基站之间的信任通过隐式密钥认证完成,而MEC通常部署在基站侧,隐式密钥认证的安全性相比实体认证低,并需要额外的密钥确认流程,增加额外的时延,从而不适用于MEC认证。现有的MEC认证方案可分为三类:物理层认证、基于密码学的认证、区块链辅助认证,但现有方案均未考虑核心网、MEC、终端认证装置三方之间相互认证,并且各种认证方案均不能同时保证安全性和低时延性。
因此,如何提供一种移动边缘计算架构下云边端认证方法,保证认证的安全性,同时还能有效降低认证时延,成为亟待解决的问题。
发明内容
针对现有技术中的缺陷,本发明实施例提供一种移动边缘计算架构下云边端认证方法。
第一方面,本发明实施例提供一种移动边缘计算架构下云边端认证方法,包括:
将移动边缘计算MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量;
根据所述终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC 服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC 服务器认证向量验证MEC服务器身份和终端认证装置身份;
根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份。
可选地,所述MEC服务器匿名身份根据第二MEC服务器随机数、核心网服务器公钥和MEC服务器永久身份计算得到。
可选地,所述MEC服务器认证向量中MEC服务器匿名时间戳根据MEC 服务器时间戳和MEC服务器匿名密钥计算得到;
所述MEC服务器认证向量中MEC服务器消息认证码根据初始化参数、第一MEC服务器随机数、MEC服务器永久密钥和所述MEC服务器时间戳计算得到。
第二方面,本发明实施例提供又一种移动边缘计算架构下云边端认证方法,包括:
根据MEC服务器发送的MEC服务器匿名身份和第一终端认证装置随机数,生成终端认证向量和终端认证装置期望响应消息,并将所述终端认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述终端认证向量生成MEC服务器认证向量;
根据所述MEC服务器转发的核心网服务器认证向量的预设部分和所述终端认证装置期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则完成认证核心网服务器和所述MEC服务器。
可选地,所述终端认证向量中所述终端认证装置匿名身份根据所述第一终端认证装置随机数、核心网服务器公钥和终端认证装置永久身份计算得到;
所述终端认证向量中终端认证装置消息认证码根据初始化参数、所述第一终端认证装置随机数、终端认证装置永久密钥和终端认证装置时间戳计算得到。
第三方面,本发明实施例提供另一种移动边缘计算架构下云边端认证方法,包括:
根据MEC服务器发送的MEC服务器认证向量验证终端认证装置身份,若所述终端认证装置身份验证成功,则再根据所述MEC服务器认证向量验证 MEC服务器身份,若所述MEC服务器身份验证成功,则根据所述MEC服务器认证向量生成核心网服务器认证向量,并将所述核心网服务器认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述核心网服务器认证向量验证核心网服务器身份。
可选地,所述根据所述MEC服务器认证向量生成核心网服务器认证向量包括:
根据所述MEC服务器认证向量和根据所述MEC服务器认证向量推导的终端认证装置与所述核心网服务器通信密钥、MEC服务器与所述核心网服务器通信密钥和终端认证装置与所述MEC服务器通信密钥生成所述核心网服务器认证向量。
可选地,所述终端认证装置与所述核心网服务器通信密钥根据初始化参数、第一终端认证装置随机数、核心网服务器永久身份和终端认证装置时间戳计算得到;
所述MEC服务器与所述核心网服务器通信密钥根据所述初始化参数、第一MEC服务器随机数、所述核心网服务器永久身份和MEC服务器时间戳计算得到;
所述边端认证装置与所述MEC服务器通信密钥根据所述初始化参数、所述MEC服务器与所述核心网服务器通信密钥和所述终端认证装置与所述核心网服务器通信密钥计算得到。
第四方面本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一项所述的移动边缘计算架构下云边端认证方法的步骤。
第五方面本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以上任一项所述的移动边缘计算架构下云边端认证方法的步骤。
本发明实施例提供的移动边缘计算架构下云边端认证方法,通过终端认证装置和MEC服务器分别与核心网服务器相互认证,只要有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性,同时通过终端认证装置和MEC服务器只需完成一次非对称加密能够有效降低认证时延。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种移动边缘计算架构下云边端认证方法的流程示意图;
图2为本发明实施例提供的一种移动边缘计算架构下云边端认证方法的应用场景图;
图3为本发明实施例提供的一种移动边缘计算架构下云边端认证方法的完整流程图。
图4为本发明实施例提供的又一移动边缘计算架构下云边端认证方法的流程示意图;
图5为本发明实施例提供的另一移动边缘计算架构下云边端认证方法的流程示意图;
图6为本发明实施例提供的一种MEC服务器的结构示意图;
图7为本发明实施例提供的一种终端认证装置的结构示意图;
图8为本发明实施例提供的一种核心网服务器的结构示意图;
图9为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种移动边缘计算架构下云边端认证方法的流程示意图,图2是本发明实施例提供的一种移动边缘计算架构下云边端认证方法的应用场景图,图3是本发明实施例提供的一种移动边缘计算架构下云边端认证方法的完整流程图,如图1-3所示,该方法包括:
S101:将MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量。
其中,所述MEC服务器匿名身份为MEC服务器隐匿了其身份信息的数字信息。
所述终端认证装置为可移动终端设备。
所述第一终端认证装置随机数为终端认证装置用以计算终端认证向量而随机生成的数字。
所述终端认证向量为包含终端认证装置匿名身份、MEC服务器匿名身份、核心网服务器永久身份,终端认证装置消息认证码的认证信息。其中,终端认证装置匿名身份为终端认证装置隐匿了其身份信息的数字信息,核心网服务器永久身份为表示核心网服务器身份的固定数字信息,终端认证装置消息认证码为核心网服务器验证终端认证装置身份合法的标准信息。
S102:根据所述终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份。
其中,所述第一MEC服务器随机数为MEC服务器用以计算MEC服务器认证向量和MEC服务器期望响应消息而随机生成的数字。
所述MEC服务器期望响应消息为MEC服务器确认核心网身份的标准信息。
所述MEC服务器认证向量为包含终端认证装置匿名身份、终端认证装置消息认证码、核心网服务器永久身份、第一MEC服务器随机数、MEC服务器匿名身份、MEC服务器匿名时间戳、MEC服务器消息认证码。其中,终端认证装置匿名身份为终端认证装置隐匿了其身份信息的数字信息,MEC服务器匿名时间戳为MEC服务器隐匿了其时间戳信息的数字信息,MEC服务器消息认证码为核心网服务器验证MEC服务器身份合法的标准信息,时间戳是指格林威治时间1970年01月01日00时00分00秒(北京时间1970年01 月01日08时00分00秒)起至当前时间的总秒数。S103:根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份。
其中,所述核心网服务器认证向量包含MEC服务器身份验证参数、第二加密参数、终端认证装置身份验证参数和第一加密参数的认证信息。其中, MEC服务器身份验证参数为MEC服务器确认核心网服务器身份的对比信息,第二加密参数为MEC服务器与终端认证装置通信密钥的加密信息,终端认证装置身份验证参数为终端认证装置确认核心网服务器身份的对比信息,第一加密参数为终端认证装置与MEC服务器通信密钥的另外一种加密信息。
预设部分为核心网服务器认证向量的后半部分。
具体地,MEC服务器、终端认证装置和核心网服务器会初始化公开参数,选定有限域
Figure BDA0002418068700000071
上的椭圆曲线
Figure BDA0002418068700000072
椭圆曲线
Figure BDA0002418068700000073
的循环子群G,设G 的生成元为P,G的阶数为q,记正整数集合
Figure BDA0002418068700000074
选定映射
Figure BDA0002418068700000075
将输入的明文str映射为椭圆曲线
Figure BDA0002418068700000076
上的一个点,选定三个独立的哈希函数H1、H2、H3,选定两个独立的密钥推导函数KDF1和KDF2,则
Figure BDA0002418068700000077
G、P、q、
Figure BDA0002418068700000078
σ(·)、H1、H2、H3、KDF1和KDF2均为公开参数。另外,MEC服务器、终端认证装置和核心网服务器默认都处于时间同步状态,时间同步状态表示的是MEC服务器时间戳、终端认证装置时间戳和核心网服务器时间戳差别控制在误差范围内,如误差范围设置在7ms内。
MEC服务器会将预先选定的核心网服务器公钥PKC、核心网服务器永久身份IDC、MEC服务器永久身份IDE、MEC服务器永久密钥KE存储起来,核心网服务器公钥PKC根据公式PKC=SKC·P计算得到,其中,SKC为预先选定的核心网服务器私钥,·运算代表椭圆曲线上的乘法。
MEC服务器生成MEC服务器匿名身份SIDE,然后MEC服务器将生成的 MEC服务器匿名身份SIDE发送给终端认证装置,以供终端认证装置根据MEC 服务器匿名身份SIDE和第一终端认证装置随机数RU1生成终端认证向量AVU
MEC服务器接收终端认证装置发送的终端认证向量 AVU=(SIDU,SIDE,IDC,MACU),其中,SIDU表示终端认证装置匿名身份,SIDE表示MEC服务器匿名身份,IDC表示核心网服务器永久身份IDC,MACU表示终端认证装置消息认证码,然后MEC服务器选择第一MEC服务器随机数RE1, MEC服务器根据终端认证向量AVU和第一MEC服务器RE1生成MEC服务器认证向量AVE=(SIDU,SIDE,IDC,MACU,RE1,STE,MACE)和MEC服务器期望响应消息xRESE=H3(KE||RE1||IDC),其中STE表示MEC服务器匿名时间戳,MACE表示MEC服务器消息认证码。接下来,MEC服务器将MEC服务器认证向量AVE发送给核心网服务器,以供核心网服务器根据MEC服务器认证向量AVE验证 MEC服务器身份和终端认证装置身份。
MEC服务器接收核心网服务器发送的核心网服务器认证向量
Figure BDA0002418068700000081
其中,xRESE *为MEC服务器身份验证参数, SK2U-E为第二加密参数、xRESU *为终端认证装置身份验证参数,SK1U-E为第一加密参数。然后MEC服务器判断MEC服务器期望响应消息xRESE是否与 MEC服务器身份验证参数xRESE *相等,若不相等,则终止本次认证,MEC 服务器取消与终端认证装置、核心网服务器的连接;若相等,则MEC服务器确认核心网服务器身份合法,再根据公式KE-C=KDF1(KE,RE1,IDC,TE)推导 MEC服务器与核心网服务器通信密钥KE-C,其中TE为MEC服务器时间戳,再根据MEC服务器与核心网服务器通信密钥KE-C解密第二加密参数SK2U-E得到KU-E,记作公式
Figure BDA0002418068700000082
MEC服务器再将核心网服务器认证向量AVC的预设部分转发给终端认证装置,以供终端认证装置根据核心网服务器认证向量AVC的预设部分验证核心网服务器身份,其中核心网服务器认证向量AVC的预设部分表示核心网服务器认证向量AVC的后半部分,即
Figure BDA0002418068700000083
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过终端认证装置和MEC服务器分别与核心网服务器相互认证,只要有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性,同时通过终端认证装置和MEC服务器只需完成一次非对称加密能够有效降低认证时延。
更进一步地,在上述发明实施例的基础上,所述MEC服务器匿名身份根据第二MEC服务器随机数、核心网服务器公钥和MEC服务器永久身份计算得到。
所述第二MEC服务器随机数为MEC服务器用以计算MEC服务器匿名身份而随机生成的数字。
所述核心网服务器公钥为核心网服务器加密信息的,且可以用相应的私钥解密的数据。
具体地,选择第二MEC服务器随机数RE2,MEC服务器匿名身份SIDE采用核心网服务器公钥PKC加密IDE||RE2而成,可记作SIDE=EPKC(IDE||RE2),其中
Figure BDA0002418068700000091
IDE||RE2表示级联第二MEC服务器随机数RE2和MEC服务器永久身份IDE
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过用核心网服务器公钥PKC加密级联操作的第二MEC服务器随机数RE2和 MEC服务器永久身份IDE,能够简便的计算得到MEC服务器匿名身份,同时还能保证计算时延小。
更进一步地,在上述发明实施例的基础上,所述MEC服务器认证向量中MEC服务器匿名时间戳根据MEC服务器时间戳和MEC服务器匿名密钥计算得到;
所述MEC服务器认证向量中MEC服务器消息认证码根据初始化参数、第一MEC服务器随机数、MEC服务器永久密钥和所述MEC服务器时间戳计算得到。
所述MEC服务器匿名密钥为用于生成MEC服务器匿名时间戳的数字信息。
所述MEC服务器永久密钥用于生成MEC服务器消息认证码的数字信息。具体地,MEC服务器乘法操作公开参数H1和KE||RE1,得到MEC服务器匿名密钥AKE,记作AKE=H1(KE||RE1),其中KE||RE1表示级联MEC服务器永久密钥KE和第一MEC服务器随机数RE1,再异或运算MEC服务器匿名密钥AKE和MEC服务器时间戳TE得到MEC服务器匿名时间戳STE,记作
Figure BDA0002418068700000101
MEC服务器乘法操作公开参数H2和KE||RE1||TE,得到MEC服务器消息认证码MACE,记作MACE=H2(KE||RE1||TE),其中KE||RE1||TE表示级联MEC服务器永久密钥KE、第一MEC服务器随机数RE1和MEC服务器时间戳TE
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过乘法操作、级联操作和异或运算,能够简便的计算得到MEC服务器匿名时间戳和MEC服务器消息认证码MACE,同时还能保证计算时延小。
图4是本发明实施例提供的又一移动边缘计算架构下云边端认证方法的流程示意图,如图4所示,该方法包括:
S401:根据MEC服务器发送的MEC服务器匿名身份和第一终端认证装置随机数,生成终端认证向量和终端认证装置期望响应消息,并将所述终端认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述终端认证向量生成MEC服务器认证向量;
S402:根据所述MEC服务器转发的核心网服务器认证向量的预设部分和所述终端认证装置期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则完成认证核心网服务器和所述MEC服务器。
具体地,终端认证装置会将预先选定的核心网服务器公钥PKC、核心网服务器永久身份IDC、终端认证装置永久身份IDU、终端认证装置永久密钥KU存储起来,核心网服务器公钥PKC根据公式PKC=SKC·P计算得到,其中,SKC为预先选定的核心网服务器私钥,·运算代表椭圆曲线上的乘法。
终端认证装置接收MEC服务器发送的MEC服务器匿名身份SIDE,终端认证装置再根据MEC服务器匿名身份SIDE和第一终端认证装置随机数RU1,生成终端认证向量AVU=(SIDU,SIDE,IDC,MACU)和终端认证装置期望响应消息 xRESU=H3(KU||RU1||IDC),其中,SIDU表示终端认证装置匿名身份,SIDE表示 MEC服务器匿名身份,IDC表示核心网服务器永久身份IDC,MACU表示终端认证装置消息认证码,H3为公开参数。然后将终端认证向量AVU发送给MEC 服务器以供MEC服务器根据终端认证向量AVU生成MEC服务器认证向量AVE
终端认证装置接收MEC服务器转发的核心网服务器认证向量AVC的预设部分,其中核心网服务器认证向量AVC的预设部分表示核心网服务器认证向量AVC的后半部分,即
Figure BDA0002418068700000111
然后判断终端认证装置期望响应消息 xRESU是否与RESU *是否相等,若不相等,终止本次认证,取消与MEC服务器和核心网服务器的连接,若相等,则终端认证装置确认核心网身份合法。再根据公式KU-C=KDF1(KU,RU1,IDC,TU)推导终端认证装置与核心网服务器通信密钥KU-C,其中TU为终端认证装置时间戳,再根据终端认证装置与核心网服务器通信密钥KU-C解密第一加密参数SK1U-E得到KU-E,记作公式
Figure BDA0002418068700000112
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过终端认证装置验证核心网服务器身份,完成三方认证,只要其中有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性,同时通过终端认证装置和MEC服务器只需完成一次非对称加密能够有效降低认证时延。
更进一步地,在上述发明实施例的基础上,所述终端认证向量中所述终端认证装置匿名身份根据所述第一终端认证装置随机数、核心网服务器公钥和终端认证装置永久身份计算得到;
所述终端认证向量中终端认证装置消息认证码根据初始化参数、所述第一终端认证装置随机数、终端认证装置永久密钥和终端认证装置时间戳计算得到。
具体地,选择第一终端认证装置随机数RU1,终端认证向量AVU中的终端认证装置匿名身份SIDU采用核心网服务器公钥PKC加密IDU||RU1||TU而得到,可记作
Figure BDA0002418068700000113
其中
Figure BDA0002418068700000114
IDU||RU1||TU表示级联终端认证装置永久身份IDU、第一终端认证装置随机数RU1和终端认证装置时间戳 TU
终端认证装置乘法操作公开参数H2和KU||RU1||TU,得到终端认证装置消息认证码MACU,记作MACU=H2(KU||RU1||TU),其中KU||RU1||TU表示级联终端认证装置永久密钥KU、第一终端认证装置随机数RE1和终端认证装置时间戳 TU
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过乘法操作、加法操作、级联操作,能够简便的计算得到终端认证装置匿名身份和终端认证装置消息认证码,同时还能保证计算时延小。
图5为本发明实施例提供的另一移动边缘计算架构下云边端认证方法的流程示意图,如图5所示,该方法包括:
S501:根据MEC服务器发送的MEC服务器认证向量验证终端认证装置身份,若所述终端认证装置身份验证成功,则再根据所述MEC服务器认证向量验证MEC服务器身份,若所述MEC服务器身份验证成功,则根据所述 MEC服务器认证向量生成核心网服务器认证向量,并将所述核心网服务器认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述核心网服务器认证向量验证核心网服务器身份。
具体地,核心网服务器会预先选定并存储核心网服务器私钥SKC,其中
Figure BDA0002418068700000121
且预先存储终端认证装置永久身份IDU、终端认证装置永久密钥KU、 MEC服务器永久身份IDE、MEC服务器永久密钥KE
核心网服务器接收MEC服务器发送的MEC服务器认证向量 AVE=(SIDU,SIDE,IDC,MACU,RE2,STE,MACE),通过核心网服务器私钥SKC解密终端认证装置匿名身份SIDU得到
Figure BDA0002418068700000122
其中
Figure BDA0002418068700000123
判断终端认证装置时间戳TU是否合法,该判断规则可以是判断终端认证装置时间戳TU为最新的时间戳,本发明实施例对此不作具体限定,若不合法,则终止本次认证,取消与终端认证装置和MEC服务器的连接,若合法,则查找终端认证装置永久身份IDU对应的终端认证装置永久密钥KU,根据公式xMACU=H2(KU||RU1||TU)计算终端认证装置验证参数xMACU,判断MEC服务器认证向量AVE中终端认证装置消息认证码MACU是否等于终端认证装置验证参数xMACU,若不相等,则取消与终端认证装置和MEC服务器的连接,若相等,则终端认证装置身份合法。
再通过核心网服务器私钥SKC解密MEC服务器匿名身份SIDE得到
Figure BDA0002418068700000131
其中
Figure BDA0002418068700000132
查找MEC服务器永久身份IDE对应的MEC服务器永久密钥KE,通过公式 AKE=H1(KE||RE1)和
Figure BDA0002418068700000133
恢复MEC服务器时间戳TE,判断MEC服务器时间戳TE是否合法,该判断规则可以是判断MEC服务器时间戳TE为最新的时间戳,本发明实施例对此不作具体限定,若不合法,则终止本次认证,取消与终端认证装置和MEC服务器的连接,若合法,根据公式 xMACE=H2(KE||RE1||TE)计算MEC服务器验证参数xMACE,判断MEC服务器认证向量AVE中MEC服务器消息认证码MACE是否等于MEC服务器验证参数xMACE,若不相等,则取消与终端认证装置和MEC服务器的连接,若相等,则MEC服务器身份合法。
再根据MEC服务器认证向量生成核心网服务器认证向量
Figure BDA0002418068700000134
并将核心网服务器认证向量AVC发送给MEC 服务器,以供MEC服务器根据核心网服务器认证向量AVC验证核心网服务器身份。
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过核心网服务器验证终端认证装置身份和MEC服务器身份,完成三方认证,只要其中有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性。
更进一步地,在上述发明实施例的基础上,所述根据所述MEC服务器认证向量生成核心网服务器认证向量包括:
根据所述MEC服务器认证向量和根据所述MEC服务器认证向量推导的终端认证装置与所述核心网服务器通信密钥、MEC服务器与所述核心网服务器通信密钥和终端认证装置与所述MEC服务器通信密钥生成所述核心网服务器认证向量。
具体地,在MEC服务器认证向量AVE=(SIDU,SIDE,IDC,MACU,RE1,STE,MACE) 基础上,推导终端认证装置与核心网通信密钥KU-C、MEC服务器与核心网服务器通信密钥KE-C和推导终端认证装置与MEC通信密钥KU-E,计算 xRESU *=H3(KU||RU1||IDC),xRESE *=H3(KE||RE1||IDC),其中||代表级联操作,再分别用KU-C、KE-C对KU-E进行加密生成SK1U-E和SK2U-E,记作
Figure BDA0002418068700000141
其中
Figure BDA0002418068700000142
均为对称加密操作,然后生成核心网服务器认证向量
Figure BDA0002418068700000143
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过乘法操作、对称加密操作、级联操作,能够简便的计算得到核心网服务器认证向量,同时还能保证计算时延小。
更进一步地,在上述发明实施例的基础上,所述终端认证装置与所述核心网服务器通信密钥根据初始化参数、第一终端认证装置随机数、核心网服务器永久身份和终端认证装置时间戳计算得到;
所述MEC服务器与所述核心网服务器通信密钥根据所述初始化参数、第一MEC服务器随机数、所述核心网服务器永久身份和MEC服务器时间戳计算得到;
所述边端认证装置与所述MEC服务器通信密钥根据所述初始化参数、所述MEC服务器与所述核心网服务器通信密钥和所述终端认证装置与所述核心网服务器通信密钥计算得到。
具体地,在MEC服务器认证向量AVE=(SIDU,SIDE,IDC,MACU,RE1,STE,MACE) 基础上,根据公式KU-C=KDF1(KU,RU1,IDC,TU)推导核心网推导终端认证装置与核心网通信密钥KU-C,根据公式KE-C=KDF1(KE,RE1,IDC,TE)推导MEC服务器与核心网服务器通信密钥KE-C,根据公式KU-E=KDF2(KU-C,KE-C)推导终端认证装置与MEC通信密钥KU-E
本发明实施例提供了移动边缘计算架构下云边端认证方法,该方法中,通过简单的常规运算能够计算得到核心网推导终端认证装置与核心网通信密钥、MEC服务器与核心网服务器通信密钥和推导终端认证装置与MEC通信密钥,还能保证计算时延小。
本发明实施例基于椭圆曲线密码提出了一种移动边缘计算架构下云边端认证方法。终端认证装置和MEC服务器分别与核心网服务器相互认证,从而终端认证装置与MEC服务器之间可以建立相互信任。用户身份管理均由核心网服务器完成,终端认证装置和MEC服务器只需完成一次非对称加密,其余操作均为哈希运算、级联、异或、密钥推导以及对称加密操作,并且认证只需要终端认证装置到核心网服务器端到端2次通信过程,所以认证协议的计算开销和通信开销较小。此外,本发明实施例提出的方法对终端认证装置和MEC服务器均匿名。
本发明实施例通过如下十五个步骤具体阐述终端认证装置、MEC服务器和核心网服务器之间完整的认证过程:
第一步,初始化系统参数。选定有限域
Figure BDA0002418068700000151
上的椭圆曲线
Figure BDA0002418068700000152
椭圆曲线
Figure BDA0002418068700000153
的循环子群G,设G的生成元为P,G的阶数为q,记
Figure BDA0002418068700000154
选定映射
Figure BDA0002418068700000155
将输入的明文映射为椭圆曲线
Figure BDA0002418068700000156
上的一个点;选定三个独立的哈希函数H1、H2、H3;选定两个独立的密钥推导函数KDF1和KDF2;则
Figure BDA0002418068700000157
G、P、q、
Figure BDA0002418068700000158
σ(·)、H1、H2、H3、 KDF1和KDF2均为公开参数。
第二步,选定身份信息和公钥信息。选定
Figure BDA0002418068700000159
是核心网服务器的私钥,PKC=SKC·P是核心网服务器公钥,并将PKC预先存储在终端认证装置和 MEC服务器存储器中,其中运算代表椭圆曲线上的乘法。选定核心网服务器永久身份IDC,并将其预先存储在终端认证装置和MEC服务器存储器中。选定终端认证装置永久身份IDU、永久密钥KU,并存储在终端认证装置的安全硬件电路以及核心网服务器的安全数据库中。选定MEC服务器永久身份IDE、永久密钥KE,并存储在MEC服务器的安全硬件电路以及核心网服务器的安全数据库中。
第三步,在认证开始之前,终端认证装置、MEC服务器、核心网服务器完成时间同步,即终端认证装置时间戳、MEC服务器时间戳、核心网服务器时间戳的差别控制在误差范围以内。
第四步,MEC服务器生成MEC服务器匿名身份SIDE并广播。MEC服务器选择MEC服务器永久密钥
Figure BDA0002418068700000161
的随机数,选择第二MEC服务器随机数 RE2,采用核心网服务器公钥PKC加密IDE||RE2生成MEC服务器匿名身份 SIDE,即
Figure BDA0002418068700000162
其中||代表级联操作,
Figure BDA0002418068700000163
第五步,终端认证装置接收MEC服务器广播的MEC服务器匿名身份 SIDE
第六步,终端认证装置生成终端认证向量AVU=(SIDU,SIDE,IDC,MACU)。终端认证装置选择随机数
Figure BDA0002418068700000164
选择第一终端认证装置随机数RU1,生成终端认证装置时间戳TU,生成终端认证装置匿名身份
Figure BDA0002418068700000165
生成终端认证装置消息认证码MACU=H2(KU||RU1||TU),生成终端认证装置期望响应消息xRESU=H3(KU||RU1||IDC)。其中||代表级联操作,
Figure BDA0002418068700000166
第七步,终端认证装置向MEC服务器发送终端认证向量AVU。
第八步,MEC服务器接收终端认证向量并生成MEC服务器认证向量 AVE=(SIDU,SIDE,IDC,MACU,RE1,STE,MACE)。MEC服务器选择第一MEC服务器随机数RE1,生成MEC服务器时间戳TE,计算MEC服务器匿名密钥 AKE=H1(KE||RE1),生成MEC服务器匿名时间戳
Figure BDA0002418068700000167
生成MEC服务器消息认证码MACE=H2(KE||RE1||TE),生成MEC服务器期望响应消息 xRESE=H3(KE||RE1||IDC)。
第九步,核心网服务器接收MEC服务器认证向量,验证终端认证装置身份,如果终端认证装置身份验证成功,则继续下一步,否则,终止本次认证,取消与终端认证装置、MEC服务器的连接。核心网服务器用自己的私钥SKC解密终端认证装置匿名身份得到
Figure BDA0002418068700000168
验证终端认证装置时间戳TU是否新鲜,如果终端认证装置时间戳TU合法,则继续下一步,否则终止本次认证,取消与终端认证装置、MEC服务器的连接;核心网服务器查找IDU对应的KU,计算xMACU=H2(KU||RU1||TU),验证MACU是否等于xMACU,如果相等,则终端认证装置身份合法,继续下一步,否则终止本次认证,取消与终端认证装置、MEC服务器的连接;其中
Figure BDA0002418068700000171
第十步,核心网服务器验证MEC服务器身份,如果MEC服务器身份验证成功,则继续下一步,否则,终止本次认证,取消与终端认证装置、MEC 服务器的连接。核心网服务器用自己的核心网服务器私钥SKC解密MEC服务器匿名身份得到
Figure BDA0002418068700000172
查找IDE对应的KE,计算 AKE=H1(KE||RE1),恢复MEC服务器时间戳
Figure BDA0002418068700000173
验证MEC服务器时间戳TE是否新鲜,如果TE合法,则继续,否则终止本次认证,取消与终端认证装置、MEC服务器的连接;计算xMACE=H2(KE||RE1||TE),验证MACE是否等于xMACE,如果相等,则MEC服务器合法,则继续下一步,否则终止本次认证,取消与终端认证装置、MEC服务器的连接;其中
Figure BDA0002418068700000174
第十一步,核心网服务器进行密钥推导并生成核心网服务器认证向量
Figure BDA0002418068700000175
核心网服务器推导终端认证装置与核心网服务器通信密钥KU-C=KDF1(KU,RU1,IDC,TU),推导MEC服务器与核心网服务器通信密钥KE-C=KDF1(KE,RE1,IDC,TE),推导终端认证装置与MEC服务器通信密钥KU-E=KDF2(KU-C,KE-C),计算xRESU*=H3(KU||RU1||IDC), xRESE*=H3(KE||RE1||IDC),分别用KU-C、KE-C对KU-E进行加密生成
Figure BDA0002418068700000176
其中
Figure BDA0002418068700000177
均为对称加密操作。
第十二步,核心网服务器向MEC服务器发送核心网服务器认证向量。
第十三步,MEC服务器接收核心网服务器认证向量,验证核心网服务器身份,进行密钥推导并提取与终端认证装置通信的密钥,如果核心网服务器身份验证成功,则继续下一步,否则,终止本次认证,MEC服务器取消与终端认证装置、核心网服务器的连接。MEC服务器验证xRESE*是否与 xRESE相等,如果是,则MEC服务器确认核心网服务器身份合法,继续下一步,否则,终止本次认证,MEC服务器取消与终端认证装置、核心网服务器的连接;MEC服务器推导与核心网服务器通信密钥 KE-C=KDF1(KE,RE2,IDC,TE),解密SK2U-E得到
Figure BDA0002418068700000178
第十四步,MEC服务器向终端认证装置转发核心网服务器认证向量的后半部分
Figure BDA0002418068700000181
第十五步,终端认证装置验证核心网服务器身份,进行密钥推导并提取与MEC服务器通信的密钥如果核心网服务器身份验证成功,则终端认证装置完成认证核心网服务器和MEC服务器,可以用推导出的密钥进行安全通信,否则,终止本次认证,取消与MEC服务器、核心网服务器的连接。终端认证装置验证RESU*是否与xRESU相等,如果是,则终端认证装置确认核心网服务器身份合法,继续推导密钥,否则,终止本次认证,取消与MEC 服务器、核心网服务器的连接;终端认证装置推导与核心网服务器通信密钥 KU-C=KDF1(KU,RU1,IDC,TU),解密SK1U-E得到
Figure BDA0002418068700000182
图6为本发明实施例提供的一种MEC服务器的结构示意图,如图6所示,该MEC服务器包括:第一发送模块601、第一处理模块602和第二处理模块 603,其中:
第一发送模块601用于将移动边缘计算MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量;
第一处理模块602用于根据所述终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份;
第二处理模块603用于根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份。
本发明实施例提供了MEC服务器,通过终端认证装置和MEC服务器分别与核心网服务器相互认证,只要有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性,同时通过终端认证装置和MEC服务器只需完成一次非对称加密能够有效降低认证时延。
进一步地,在上述实施例基础上,所述MEC服务器匿名身份根据第二 MEC服务器随机数、核心网服务器公钥和MEC服务器永久身份计算得到。
进一步地,在上述实施例基础上,所述MEC服务器认证向量中MEC服务器匿名时间戳根据MEC服务器时间戳和MEC服务器匿名密钥计算得到;
所述MEC服务器认证向量中MEC服务器消息认证码根据初始化参数、第一MEC服务器随机数、MEC服务器永久密钥和所述MEC服务器时间戳计算得到。
本实施例所述的MEC服务器可以用于执行上述对应的方法实施例,其原理和技术效果类似,此处不再赘述。
图7为本发明实施例提供的一种终端认证装置的结构示意图,如图7所示,该装置包括:第三处理模块701和第一验证模块702,其中:
第三处理模块701用于根据MEC服务器发送的MEC服务器匿名身份和第一终端认证装置随机数,生成终端认证向量和终端认证装置期望响应消息,并将所述终端认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述终端认证向量生成MEC服务器认证向量;
第一验证模块702用于根据所述MEC服务器转发的核心网服务器认证向量的预设部分和所述终端认证装置期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则完成认证核心网服务器和所述MEC服务器。
本发明实施例提供了终端认证装置,通过终端认证装置验证核心网服务器身份,完成三方认证,只要其中有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性,同时通过终端认证装置和MEC服务器只需完成一次非对称加密能够有效降低认证时延。
进一步地,在上述实施例基础上,所述终端认证向量中所述终端认证装置匿名身份根据所述第一终端认证装置随机数、核心网服务器公钥和终端认证装置永久身份计算得到;
所述终端认证向量中终端认证装置消息认证码根据初始化参数、所述第一终端认证装置随机数、终端认证装置永久密钥和终端认证装置时间戳计算得到。
本实施例所述的终端认证装置可以用于执行上述对应的方法实施例,其原理和技术效果类似,此处不再赘述。
图8为本发明实施例提供的一种核心网服务器的结构示意图,如图8所示,该核心网服务器包括:第四处理模块801,其中:
第四处理模块801用于根据MEC服务器发送的MEC服务器认证向量验证终端认证装置身份,若所述终端认证装置身份验证成功,则再根据所述 MEC服务器认证向量验证MEC服务器身份,若所述MEC服务器身份验证成功,则根据所述MEC服务器认证向量生成核心网服务器认证向量,并将所述核心网服务器认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述核心网服务器认证向量验证核心网服务器身份。
本发明实施例提供了核心网服务器,通过核心网服务器验证终端认证装置身份和MEC服务器身份,完成三方认证,只要其中有一方认证不通过,协议立刻终止,从而当协议完成时,终端认证装置、MEC服务器和核心网服务器建立相互信任,保证了三方认证的安全性。
进一步地,在上述发明实施例的基础上,所述根据所述MEC服务器认证向量生成核心网服务器认证向量包括:
根据所述MEC服务器认证向量和根据所述MEC服务器认证向量推导的终端认证装置与所述核心网服务器通信密钥、MEC服务器与所述核心网服务器通信密钥和终端认证装置与所述MEC服务器通信密钥生成所述核心网服务器认证向量。
进一步地,在上述发明实施例的基础上,所述终端认证装置与所述核心网服务器通信密钥根据初始化参数、第一终端认证装置随机数、核心网服务器永久身份和终端认证装置时间戳计算得到;
所述MEC服务器与所述核心网服务器通信密钥根据所述初始化参数、第一MEC服务器随机数、所述核心网服务器永久身份和MEC服务器时间戳计算得到;
所述边端认证装置与所述MEC服务器通信密钥根据所述初始化参数、所述MEC服务器与所述核心网服务器通信密钥和所述终端认证装置与所述核心网服务器通信密钥计算得到。
本实施例所述的核心网服务器可以用于执行上述对应的方法实施例,其原理和技术效果类似,此处不再赘述。
图9示例了电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(Processor)901、存储器(Memory)902、通信接口 (Communications Interface)903和通信总线904,其中,处理器901,存储器 902,通信接口903通过通信总线904完成相互间的通信。处理器901可以调用存储器902中的逻辑指令,以执行上述各方法实施例所提供的方法,例如包括:将移动边缘计算MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量;根据所述终端认证装置发送的所述终端认证向量和第一 MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份;根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份。
此外,上述的存储器902中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法实施例所提供的方法,例如包括:将移动边缘计算MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量;根据所述终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份;根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种移动边缘计算架构下云边端认证方法,其特征在于,包括:
将移动边缘计算MEC服务器匿名身份发送给终端认证装置,以供所述终端认证装置根据所述MEC服务器匿名身份和第一终端认证装置随机数生成终端认证向量和终端认证装置期望响应消息;
根据所述终端认证装置发送的所述终端认证向量和第一MEC服务器随机数生成MEC服务器认证向量和MEC服务器期望响应消息,并将所述MEC服务器认证向量发送给核心网服务器,以供所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份;
根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则将所述核心网服务器认证向量的预设部分转发给所述终端认证装置,以供所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份;
其中,所述终端认证向量为包含终端认证装置匿名身份、MEC服务器匿名身份、核心网服务器永久身份和终端认证装置消息认证码的认证信息;所述MEC服务器认证向量为包含终端认证装置匿名身份、终端认证装置消息认证码、核心网服务器永久身份、第一MEC服务器随机数、MEC服务器匿名身份、MEC服务器匿名时间戳和MEC服务器消息认证码的认证信息;所述MEC服务器期望响应消息为MEC服务器确认核心网身份的标准信息;所述核心网服务器认证向量为包含MEC服务器身份验证参数、第二加密参数、终端认证装置身份验证参数和第一加密参数的认证信息;所述核心网服务器认证向量的预设部分为终端认证装置身份验证参数和第一加密参数的认证信息;
所述核心网服务器根据所述MEC服务器认证向量验证MEC服务器身份和终端认证装置身份,具体包括:
所述核心网服务器根据所述MEC服务器认证向量中的终端认证装置消息认证码是否等于终端认证装置验证参数,验证终端认证装置身份,并根据所述MEC服务器认证向量中的MEC服务器消息认证码是否等于MEC服务器验证参数,验证MEC服务器身份;
所述根据所述核心网服务器发送的核心网服务器认证向量和所述MEC服务器期望响应消息验证核心网服务器身份,具体包括:
通过判断所述MEC服务器期望响应消息是否与所述核心网服务器认证向量中的MEC服务器身份验证参数相等,验证核心网服务器身份;
所述终端认证装置根据所述核心网服务器认证向量的预设部分验证所述核心网服务器身份,具体包括:
所述终端认证装置通过判断终端认证装置期望响应消息是否与所述预设部分中的终端认证装置身份验证参数相等,验证所述核心网服务器身份;
所述MEC服务器验证参数,是根据所述MEC服务器永久密钥、所述第一MEC服务器随机数和MEC服务器时间戳生成的;
所述终端认证装置身份验证参数,是根据所述终端认证装置永久密钥、第一终端认证装置随机数和终端认证装置时间戳生成的。
2.根据权利要求1所述的移动边缘计算架构下云边端认证方法,其特征在于,所述MEC服务器匿名身份根据第二MEC服务器随机数、核心网服务器公钥和MEC服务器永久身份计算得到;
其中,所述MEC服务器永久身份为表示MEC服务器身份的固定数字信息。
3.根据权利要求1所述的移动边缘计算架构下云边端认证方法,其特征在于,所述MEC服务器认证向量中MEC服务器匿名时间戳根据MEC服务器时间戳和MEC服务器匿名密钥计算得到;
所述MEC服务器认证向量中MEC服务器消息认证码根据初始化参数、第一MEC服务器随机数、MEC服务器永久密钥和所述MEC服务器时间戳计算得到;
其中,所述MEC服务器匿名密钥为用于生成MEC服务器匿名时间戳的数字信息;所述MEC服务器永久密钥为用于生成MEC服务器消息认证码的数字信息。
4.一种移动边缘计算架构下云边端认证方法,其特征在于,包括:
根据MEC服务器发送的MEC服务器匿名身份和第一终端认证装置随机数,生成终端认证向量和终端认证装置期望响应消息,并将所述终端认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述终端认证向量生成MEC服务器认证向量;
根据所述MEC服务器转发的核心网服务器认证向量的预设部分和所述终端认证装置期望响应消息验证核心网服务器身份,若所述核心网服务器身份验证成功,则完成认证核心网服务器和所述MEC服务器;
其中,所述终端认证向量为包含终端认证装置匿名身份、MEC服务器匿名身份、核心网服务器永久身份和终端认证装置消息认证码的认证信息;所述MEC服务器认证向量为包含终端认证装置匿名身份、终端认证装置消息认证码、核心网服务器永久身份、第一MEC服务器随机数、MEC服务器匿名身份、MEC服务器匿名时间戳和MEC服务器消息认证码的认证信息;所述核心网服务器认证向量为包含MEC服务器身份验证参数、第二加密参数、终端认证装置身份验证参数和第一加密参数的认证信息;所述核心网服务器认证向量的预设部分为所述终端认证装置身份验证参数和第一加密参数的认证信息;
根据所述MEC服务器转发的核心网服务器认证向量的预设部分和所述终端认证装置期望响应消息验证核心网服务器身份,具体包括:
通过判断终端认证装置期望响应消息是否与所述预设部分中的终端认证装置身份验证参数相等,验证所述核心网服务器身份;
所述MEC服务器根据所述终端认证向量生成MEC服务器认证向量,具体包括:
根据所述终端认证向量和所述第一MEC服务器随机数,生成所述MEC服务器认证向量。
5.根据权利要求4所述的移动边缘计算架构下云边端认证方法,其特征在于,所述终端认证向量中所述终端认证装置匿名身份根据所述第一终端认证装置随机数、核心网服务器公钥和终端认证装置永久身份计算得到;
所述终端认证向量中终端认证装置消息认证码根据初始化参数、所述第一终端认证装置随机数、终端认证装置永久密钥和终端认证装置时间戳计算得到;
其中,所述终端认证装置永久身份为表示终端认证装置身份的固定数字信息;所述终端认证装置永久密钥为用于生成终端认证装置消息认证码的数字信息。
6.一种移动边缘计算架构下云边端认证方法,其特征在于,包括:
根据MEC服务器发送的MEC服务器认证向量验证终端认证装置身份,若所述终端认证装置身份验证成功,则再根据所述MEC服务器认证向量验证MEC服务器身份,若所述MEC服务器身份验证成功,则根据所述MEC服务器认证向量生成核心网服务器认证向量,并将所述核心网服务器认证向量发送给所述MEC服务器,以供所述MEC服务器根据所述核心网服务器认证向量验证核心网服务器身份;
其中,所述MEC服务器认证向量为包含终端认证装置匿名身份、终端认证装置消息认证码、核心网服务器永久身份、第一MEC服务器随机数、MEC服务器匿名身份、MEC服务器匿名时间戳和MEC服务器消息认证码的认证信息;所述核心网服务器认证向量为包含MEC服务器身份验证参数、第二加密参数、终端认证装置身份验证参数和第一加密参数的认证信息;
所述根据MEC服务器发送的MEC服务器认证向量验证终端认证装置身份,具体包括:
根据所述MEC服务器认证向量中的终端认证装置消息认证码是否等于终端认证装置验证参数,验证终端认证装置身份;
所述根据所述MEC服务器认证向量验证MEC服务器身份,具体包括:
根据所述MEC服务器认证向量中的MEC服务器消息认证码是否等于MEC服务器验证参数,验证MEC服务器身份;
所述MEC服务器根据所述核心网服务器认证向量验证核心网服务器身份,具体包括:
所述MEC服务器通过判断所述MEC服务器期望响应消息是否与所述核心网服务器认证向量中的MEC服务器身份验证参数相等,验证核心网服务器身份;
所述根据所述MEC服务器认证向量生成核心网服务器认证向量包括:
根据所述MEC服务器认证向量和根据所述MEC服务器认证向量推导的终端认证装置与所述核心网服务器通信密钥、MEC服务器与所述核心网服务器通信密钥和终端认证装置与所述MEC服务器通信密钥生成所述核心网服务器认证向量;
所述MEC服务器期望响应消息为MEC服务器确认核心网身份的标准信息。
7.根据权利要求6所述的移动边缘计算架构下云边端认证方法,其特征在于,所述终端认证装置与所述核心网服务器通信密钥根据初始化参数、第一终端认证装置随机数、核心网服务器永久身份和终端认证装置时间戳计算得到;
所述MEC服务器与所述核心网服务器通信密钥根据所述初始化参数、第一MEC服务器随机数、所述核心网服务器永久身份和MEC服务器时间戳计算得到;
所述边端认证装置与所述MEC服务器通信密钥根据所述初始化参数、所述MEC服务器与所述核心网服务器通信密钥和所述终端认证装置与所述核心网服务器通信密钥计算得到;
其中,所述核心网服务器永久身份为表示核心网服务器身份的固定数字信息。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的移动边缘计算架构下云边端认证方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述的移动边缘计算架构下云边端认证方法的步骤。
CN202010197272.0A 2020-03-19 2020-03-19 移动边缘计算架构下云边端认证方法、电子设备及存储介质 Active CN111565169B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010197272.0A CN111565169B (zh) 2020-03-19 2020-03-19 移动边缘计算架构下云边端认证方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010197272.0A CN111565169B (zh) 2020-03-19 2020-03-19 移动边缘计算架构下云边端认证方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111565169A CN111565169A (zh) 2020-08-21
CN111565169B true CN111565169B (zh) 2021-06-15

Family

ID=72073092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010197272.0A Active CN111565169B (zh) 2020-03-19 2020-03-19 移动边缘计算架构下云边端认证方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111565169B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112437080B (zh) * 2020-11-20 2023-04-18 中国联合网络通信集团有限公司 一种业务鉴权方法及装置
CN112637298B (zh) * 2020-12-15 2022-03-04 中国联合网络通信集团有限公司 认证方法和成员节点
CN112866197A (zh) * 2020-12-31 2021-05-28 北京安御道合科技有限公司 实现物联网终端安全的密码边缘计算方法、系统及终端
CN113285932B (zh) * 2021-05-13 2022-04-26 中国联合网络通信集团有限公司 边缘服务的获取方法和服务器、边缘设备
CN113873508B (zh) * 2021-09-23 2024-02-23 国网辽宁省电力有限公司电力科学研究院 基于用户双公私钥的边缘计算双向认证方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014013595A (ja) * 2013-08-30 2014-01-23 Yutaka Tsukamoto 個人情報管理装置
CN109040312A (zh) * 2018-09-17 2018-12-18 云迅智能科技南京有限公司 一种多接入边缘计算网络系统及方法
CN109361688A (zh) * 2018-11-16 2019-02-19 大唐高鸿信息通信研究院(义乌)有限公司 一种基于5g架构和区块链的存证方法及系统
CN110177101A (zh) * 2019-05-28 2019-08-27 四川城市职业学院 基于5g通信的信息处理方法和装置及相关设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190034917A1 (en) * 2017-12-29 2019-01-31 Intel Corporation Tracking an Electronic Wallet Using Radio Frequency Identification (RFID)
CN109120583A (zh) * 2018-06-13 2019-01-01 深圳市海派通讯科技有限公司 一种基于行动边缘运算的缓存加密数据的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014013595A (ja) * 2013-08-30 2014-01-23 Yutaka Tsukamoto 個人情報管理装置
CN109040312A (zh) * 2018-09-17 2018-12-18 云迅智能科技南京有限公司 一种多接入边缘计算网络系统及方法
CN109361688A (zh) * 2018-11-16 2019-02-19 大唐高鸿信息通信研究院(义乌)有限公司 一种基于5g架构和区块链的存证方法及系统
CN110177101A (zh) * 2019-05-28 2019-08-27 四川城市职业学院 基于5g通信的信息处理方法和装置及相关设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
《A Provably Secure and Efficient Identity-Based Anonymous Authentication Scheme for Mobile Edge Computing》;Xiaoying Jia等;《IEEE Systems Journal》;20190222;第14卷(第1期);全文 *
《Stochastic Online Learning for Mobile Edge Computing: Learning from Changes》;崔琪楣等;《IEEE Communications Magazine》;20190311;第57卷(第3期);全文 *
B.D.Deebak等.《 Seamless secure anonymous authentication for cloud-based mobile edge computing》.《Computers and Electrical Engineering》.2020, *

Also Published As

Publication number Publication date
CN111565169A (zh) 2020-08-21

Similar Documents

Publication Publication Date Title
CN111565169B (zh) 移动边缘计算架构下云边端认证方法、电子设备及存储介质
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US11075752B2 (en) Network authentication method, and related device and system
CN107800539B (zh) 认证方法、认证装置和认证系统
US20230155816A1 (en) Internet of things security with multi-party computation (mpc)
WO2020221252A1 (zh) 发送终端序列号的方法和装置以及认证方法和装置
US20080046732A1 (en) Ad-hoc network key management
US11044084B2 (en) Method for unified network and service authentication based on ID-based cryptography
US11159940B2 (en) Method for mutual authentication between user equipment and a communication network
CN112312393A (zh) 5g应用接入认证方法及5g应用接入认证网络架构
CN111641498A (zh) 密钥的确定方法及装置
CN117546441A (zh) 一种安全通信方法及装置、终端设备、网络设备
CN116056080B (zh) 一种面向低轨卫星网络的卫星切换认证方法
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
Shashidhara et al. On the design of lightweight and secure mutual authentication system for global roaming in resource-limited mobility networks
Castiglione et al. An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update
CN112399407B (zh) 一种基于dh棘轮算法的5g网络认证方法及系统
CN213938340U (zh) 5g应用接入认证网络架构
CN112333705B (zh) 一种用于5g通信网络的身份认证方法及系统
WO2021093811A1 (zh) 一种网络接入方法及相关设备
US9307406B2 (en) Apparatus and method for authenticating access of a mobile station in a wireless communication system
WO2022135394A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
CN114386020A (zh) 基于量子安全的快速二次身份认证方法及系统
KR20080056055A (ko) 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체
Karati et al. QuDPas-FHA: Quantum-Defended Privacy-Preserved Fast Handover Authentication in Space Information Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant