CN111835772B - 一种基于边缘计算的用户身份认证方法、装置 - Google Patents

一种基于边缘计算的用户身份认证方法、装置 Download PDF

Info

Publication number
CN111835772B
CN111835772B CN202010679386.9A CN202010679386A CN111835772B CN 111835772 B CN111835772 B CN 111835772B CN 202010679386 A CN202010679386 A CN 202010679386A CN 111835772 B CN111835772 B CN 111835772B
Authority
CN
China
Prior art keywords
authentication
identity authentication
user
value
edge server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010679386.9A
Other languages
English (en)
Other versions
CN111835772A (zh
Inventor
张弛
李孟良
韩丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING SAIXI TECHNOLOGY DEVELOPMENT CO LTD
China Electronics Standardization Institute
Original Assignee
BEIJING SAIXI TECHNOLOGY DEVELOPMENT CO LTD
China Electronics Standardization Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING SAIXI TECHNOLOGY DEVELOPMENT CO LTD, China Electronics Standardization Institute filed Critical BEIJING SAIXI TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202010679386.9A priority Critical patent/CN111835772B/zh
Publication of CN111835772A publication Critical patent/CN111835772A/zh
Application granted granted Critical
Publication of CN111835772B publication Critical patent/CN111835772B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于边缘计算的用户身份认证方法,包括:用户设备发出身份认证请求和认证信息;边缘服务器收到认证请求后,如果查询所述边缘服务器保存有所述用户名,则根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备;所述用户设备接收到所述认证值和认证码后,计算第一校验值并与所述认证值进行比较,如果相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器;所述边缘服务器校验所述第二校验值,如果校验通过,则执行用户身份认证,否则将认证信息发送到所述远程用户身份认证服务器进行认证。本发明能够利用边缘计算的优势,有效提高用户身份认证的效能。

Description

一种基于边缘计算的用户身份认证方法、装置
技术领域
本发明涉及用户认证领域,特别涉及一种基于边缘计算的用户身份认证方法、装置及系统。
背景技术
边缘计算是为应用开发者和服务提供商在网络的边缘侧提供云服务和IT环境服务,目标是在靠近数据输入或用户的地方提供计算、存储和网络带宽。如图1所示,其通常是将部分计算任务从远端的数据中心或者数据云迁移到以蜂窝基站和WI-FI接入点为代表的边缘网络的边缘服务器(如图1的“区域性网络连接点”和“本地网络连接点”)中,终端上(如图1的“终端用户”)运行的服务的部分运算任务可以放到边缘服务器上执行,以避免放到远端数据中心或者数据云导致的高时延。与传统的集中式计算模式相比,边缘计算中处理用户任务的计算资源在地理位置和逻辑位置上都更加接近用户,改善了传输时延高、网络拥塞等问题,提升了用户在网络服务中的体验。
在网络应用服务中,用户的身份认证是最为常见的一种安全服务,其一般过程是由用户将认证请求和认证信息发送给远端的认证服务器或者认证云,认证服务器完成认证后,将认证结果反馈给用户,然后基于认证结果提供相应的网络服务。出于安全考虑,认证服务器通常由远程数据中心或者远程云来承担,随着用户不断增加,从而使得认证数据交互以及认证数据量快速增长,由于带宽资源不足导致认证过程的传输时延越来越大,甚至因时延过大导致认证失败。而边缘计算虽然传输时延小,但存在着一定的安全风险。中国专利CN107135228A提出的一种基于中心节点的认证系统,通过将中心节点分为本地校验认证单元以及远程校验认证单元的方式,目的在于提供多点认证,实现多个设备的接入,但仍然属于中心节点控制的方式,不能够解决认证时延的问题,此外,也没有利用边缘计算资源的优势以确保安全性。因此,如何基于边缘计算进行身份认证,是一个值得关注的技术问题。
发明内容
为了解决上述传统的基于远端服务器进行身份认证存在的时延大以及边缘计算的安全性不足的技术问题,本发明提出基于边缘计算的特点,在边缘计算设备和用户设备之间通过建立身份认证流程,不仅提升边缘计算的安全性,还利用边缘计算的优势,提升了用户身份认证的效能,有效改善了认证的时延问题。
为实现上述目的,本发明提供了一种基于边缘计算的用户身份认证方法、装置和系统。
第一方面,本发明提供了一种基于边缘计算的用户身份认证方法,包括:
步骤1、用户设备发出包括认证信息的身份认证请求,所述认证信息包括用户名、密码和发出认证请求的时刻;
步骤2、边缘服务器收到身份认证请求后,查询所述边缘服务器是否保存有所述身份认证请求的认证信息中的用户名,如是,则转步骤3;如否,则将所述身份认证请求发送给远程用户身份认证服务器,转步骤6;
步骤3、所述边缘服务器根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备;
步骤4、所述用户设备接收到所述认证值和认证码后,计算第一校验值,如果第一校验值与所述认证值相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器;
步骤5、所述边缘服务器收到所述第二校验值后进行校验,如果校验成功,则比较所述身份认证请求的认证信息中的密码与所述边缘服务器保存的所述用户名对应的密码,如果两者一致,则通知所述用户设备的身份认证通过,并将用户身份认证成功的结果反馈给所述远程用户身份认证服务器,并转步骤7;否则,即所述校验不成功或者两者不一致,将所述身份认证信息发送给所述远程用户身份认证服务器;
步骤6、所述远程用户身份认证服务器接收到所述身份认证请求,如果身份认证通过,则向所述边缘服务器发送所述身份认证通过的用户名、密码和认证值计算方法,向所述用户设备发送所述计算认证值计算方法,并通知所述用户设备的身份认证通过;
步骤7、用户身份认证流程结束。
进一步的,在上述技术方案的基础上,所述步骤3中的确定所述用户名的认证值进一步包括:
根据所述认证信息中的用户名查找对应的认证值计算方法,如果存在,基于所述认证值计算方法计算认证值;如果不存在,则将所述身份认证请求发送给所述远程用户身份认证服务器进行认证,转步骤6。
进一步的,在上述技术方案的基础上,所述步骤6中的认证值计算方法包括:
计算认证值的函数H1(x,y,L),其定义如下:
Figure GDA0003341846280000031
其中,x为被数值化的密码,y为接收到的所述认证请求的发出时刻,L为用户身份认证的成功次数。其中,arctan和arccot分别为反正切函数和反余切函数,利用反正切函数和反余切函数的单调性和有界性,能够有效减少计算结果数值的重合率和对数值存储空间的需求,降低误判断的概率,另外,H1(x,y,L)采取条件式函数的形式,使得计算的结果不为恒定值。并且,这种不恒定值的创新手段还有利于合法用户及时察觉到非法用户,因为当非法用户通过伪装方式进行用户认证身份,一旦登录成功,会改变L的值,而合法用户可以通过检查L值的异常变化,容易发现潜在的非法用户,而当合法用户察觉身份认证可能存在风险时,可通过强制重新发起用户身份认证流程,使得前次用户身份认证过程的交互数据全部失效,提升了传输数据的安全性。
进一步的,在上述技术方案的基础上,所述步骤3中的确定所述用户名的认证值及对应的认证码包括:
获取所述用户身份认证成功的次数L,作为所述认证码;
当L为偶数时,计算认证值的函数为:
ID=arctan(x)+y,
当L为奇数时,计算认证值的函数为:
ID=arccot(x)+y,
其中,ID为所述认证值,x为被数值化的密码,y为所述身份认证请求的发出时刻。
进一步的,在上述技术方案的基础上,所述用户设备计算第一校验值包括:
当所述认证码L为偶数时,则第一校验值V1按照如下公式计算:
V1=arctan(x)+y,
当所述认证码L为奇数时,则第一校验值V1按照如下公式计算:
V1=arccot(x)+y,
其中,x为用于用户身份认证的被数值化的密码,y为所述所述用户身份认证请求的发出时刻。
进一步的,在上述技术方案的基础上,所述用户设备计算第二校验值包括:
当所述认证码为偶数时,则第二校验值V2按照如下公式计算:
V2=V1+arccot(y),
当所述认证码为奇数时,则第二校验值V2按照如下公式计算:
V2=V1+arctan(y),
其中,V1为所述第一校验值,y为所述用户身份认证请求的发出时刻。
进一步的,在上述技术方案的基础上,所述步骤5中的所述边缘服务器校验第二校验值包括:
(1)当所述认证码为奇数时,计算:
R=V2-V1-arccot(y),
当所述认证码为偶数时,则计算:
R=V2-V1-arctan(y),
其中,y为所述用户身份认证请求的发出时刻,V2为第二校验值,V1为所述第一校验值;
(2)当R=0时,则校验成功,否则,校验失败。
进一步的,在上述技术方案的基础上,还包括下述步骤:
步骤8、每间隔一指定的时间,所述边缘服务器请求所述用户设备重新进行用户身份认证流程。
进一步的,在上述技术方案的基础上,所述用户设备监测所收到的所述认证码L,当出现L不连续时,则向用户提示所述用户身份认证中存在风险。
第二方面,本发明还提供了一种基于边缘计算的用户身份认证装置,包括:
用户设备请求模块,用于用户设备发出身份认证请求和认证信息,所述认证信息包括用户名、密码和发出认证请求的时刻;
边缘服务器接收模块,用于边缘服务器收到身份认证请求后,查询所述边缘服务器是否保存有所述用户名,如是,则转边缘服务器确认模块;如否,则将所述身份认证请求发送给远程用户身份认证服务器,转远程用户身份认证服务器认证模块;
边缘服务器确认模块,用于所述边缘服务器根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备;
用户设备计算模块,用于所述用户设备接收到所述认证值和认证码后,计算第一校验值,如果第一校验值与所述认证值相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器;
边缘服务器认证模块,用于所述边缘服务器收到所述第二校验值后进行校验,如果校验成功,则比较所述认证信息中的密码与所述边缘服务器保存的所述用户名对应的密码,如果两者一致,则通知所述用户设备的身份认证通过,并将用户身份认证成功的结果反馈给远程用户身份认证服务器,并转用户身份认证结束模块;否则,即所述校验不成功或者两者不一致,将所述身份认证信息发送给所述远程用户身份认证服务器;
远程用户身份认证服务器认证模块,用于所述远程用户身份认证服务器接收到所述身份认证请求进行用户身份认证,如果身份认证通过,则向所述边缘服务器发送所述身份认证通过的用户名、密码和认证值计算方法,向所述用户设备发送所述认证值计算方法,并通知所述用户设备的身份认证通过;
用户身份认证结束模块,用于用户身份认证流程结束。
第三方面,本发明还提供一种基于边缘计算的用户身份认证系统,包括:用户设备、边缘服务器、远程用户身份认证服务器,其中,所述边缘服务器还包括处理器和存储器,所述存储器具有存储有程序代码的介质,当所处理器读取所述介质存储的程序代码时,所述系统能够执行上述方法。
与现有技术方案相比,本发明提供的技术方案至少具有以下有益的技术效果:
(1)充分利用边缘计算中的边缘服务器和用户设备的计算能力,减少了远程用户认证服务器的计算负荷,有效提升了用户身份认证的效能。
(2)利用条件式函数和三角函数的特点,提升了基于边缘计算的用户身份认证过程中的数据安全性。
(3)利用边缘服务器和用户设备之间认证数据值的不恒定和可辨识(如认证码)的特点,利于用户设备察觉非法用户,提高了合法用户主动发现潜在危险的能力。
附图说明
图1是边缘计算的网络示意图;
图2是本发明提出基于边缘计算的一种用户身份认证具体实施方式的流程示意图。
下面对本发明进一步详细说明。但下述的实例仅仅是本发明的简易或者最佳例子,并不代表或限制本发明的权利保护范围,本发明的保护范围以权利要求书为准。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
为更好地说明本发明,以及便于理解本发明的技术方案,本发明的典型但非限制性的实施例如下,但这里需要特别说明的是本发明所列的实施方式仅是为了说明问题方便而给出的示例性实施方法,其不得理解为是本发明唯一正确的实施方式,更不得理解为是对本发明保护范围的限制性说明。
用户身份认证是网络应用中一个非常重要的应用,通过用户身份认证来确保用户的真实身份,并提供所述用户被授权的网络应用服务。由于用户身份认证过程中,通常涉及到一些如用户名和密码等敏感信息,因而对认证过程中的安全性要求较高。为了提升安全性,用户身份认证一般由特定的安全性高的远程用户身份认证服务器或者远程云中心来集中处理。但是,远程用户身份认证服务器或远程中心容易受到数据带宽、计算能力等不足等影响,导致更高的传输时延,甚至会导致认证失败,因而会降低用户身份认证的体验。虽然边缘计算是充分利用距离用户设备更近的网络边缘侧的设备提供云服务和IT环境服务,能够有效解决传统的集中处理方式传输时延高的问题。但是,执行边缘计算服务的设备的安全性和稳定性不如远程用户身份认证服务器。因此,传统的身份认证服务流程较难以边缘计算的形式实施。
为了克服现有技术中的不足,本发明提出了一种新的用户身份认证方法和装置,并适用于边缘计算。本发明所提出的基于边缘计算的用户身份认证方法,通过有效利用边缘计算和用户设备的计算资源来实施身份认证的流程,以确保用于用户身份认证的边缘服务器的安全性,同时,利用边缘计算的低时延,从而提高了用户身份认证的体验。
为达到上述技术效果,参见图2示出的本发明一实施例提供的网络延迟控制方法的流程图。为了便于理解和突出本发明的发明构思和核心点,对计算机网络方面的公知技术进行了简化,其具体内容可进一步参考相关的技术资料。
S01、用户设备发出身份认证请求和认证信息,所述认证信息包括用户名、密码和发出认证请求的时刻。所述认证请求和认证信息首先被靠近所述用户设备的边缘服务器所接收,本实施例的边缘服务器由于能提供用户身份认证服务,因而不像传统边缘服务器将接收到的认证请求和认证信息转发给远程用户身份认证服务器,而是利用边缘计算进行用户身份认证。
S02、边缘服务器收到认证请求后,查询所述边缘服务器是否保存有所述用户名,如是,则转S03;如否,则将所述认证信息发送给远程用户身份认证服务器,转S06;
由于边缘服务器的数据库系统通常容量较小,因而不能像远程用户认证服务器存储所有用户的认证信息。并且,边缘服务器的安全性和稳定性通常没有远程用户认证服务器高,因此,本实施例提出通过边缘服务器认证的流程来确保边缘服务器的安全性,即下述S03-S04。
S03、所述边缘服务器根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备。
S04、所述用户设备接收到所述认证值和认证码后,计算第一校验值,如果第一校验值与所述认证值相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器。
由于只有用户设备通过校验值的比对,来确定边缘服务器的安全性,同时,为了避免非法用户设备盗窃合法用户设备的数据,边缘服务器还需要继续对用户设备进行验证,即下述S05。
S05、所述边缘服务器收到所述第二校验值后进行校验,如果校验成功,则比较所述认证信息中的密码与所述边缘服务器保存的所述用户名对应的密码,如果两者一致,则通知所述用户设备的身份认证通过,并将用户身份认证成功的结果反馈给远程用户身份认证服务器,并转S07;否则,即校验不成功或者两者不一致时,将所述身份认证信息发送给所述远程用户身份认证服务器。
当校验成功时,确保用户设备是合法的用户设备后,才进行用户的身份认证,从而保证了整个认证流程的安全性,防范非法设备的惯用的冒充方式的欺骗手段。此外,边缘服务器由于存储容量较小,其存储的数据信息不足以对所有的用户提供身份认证时,则交由远程用户身份认证服务器执行认证流程。通过边缘服务器提供的边缘计算和中心服务器提供的集中计算相结合的方式,有机融合了边缘计算的优势,从而有效提升了现有的用户身份认证服务的性能。
S06、所述远程用户身份认证服务器接收到所述认证请求,如果身份认证通过,则向所述边缘服务器发送所述身份认证通过的用户名和认证值计算方法,同时将所述计算认证值的计算方法也发送给所述用户设备,并通知所述用户设备的身份认证通过;
在S06中,远程用户身份认证服务器如果认证成功,同时也将相关的用于认证的信息发送给用户设备和边缘服务器,以利于边缘服务器利用边缘计算的优势进行用户身份认证。
S07、用户身份认证流程结束。
作为更优的实施方式,在S03中的确定所述用户名的认证值进一步包括:
根据所述认证信息中的用户名查找对应的认证值计算方法,如果存在,基于所述认证值计算方法计算认证值;如果不存在,则将所述用户名和密码发送给所述远程用户身份认证服务器进行认证,转S06。
本实施例中,认证值的计算方法是由远程用户认证服务器进行用户设备的用户身份认证时,认证成功后,发送给边缘服务器和用户设备的特殊信息。利用这种特殊信息,边缘服务器可以评估自身是否能够替代远程用户身份服务器提供认证服务。
作为更优的实施方式,S06中的认证值计算方法包括下述流程:
统计用户身份认证的次数L,
用于计算认证值的函数H1(x,y,L)定义如下:
Figure GDA0003341846280000111
其中,x为被数值化的密码,y为所述认证请求的发出时刻的数值化形式。
作为更优的实施方式,S03中的确定所述用户名的认证值及对应的认证码包括:
统计所述用户身份认证成功的次数L,并作为所述对应的认证码;
当L为偶数时,计算认证值ID的函数为:
ID=arctan(x)+y,
当L为奇数时,计算认证值ID的函数为:
ID=arccot(x)+y,
其中,x为被数值化的密码,y为所述认证请求的发出时刻的数值化形式。
作为更优的实施方式,所述用户设备计算第一校验值包括:
当所述认证码为偶数时,则第一校验值V1按照如下公式计算:
V1=arctan(x)+y,
当所述认证码为奇数时,则第一校验值V1按照如下公式计算:
V1=arccot(x)+y,
其中,x为用于用户身份认证的被数值化的密码,y为所述用户身份认证请求的发出时刻的数值化形式。
作为更优的实施方式,所述用户设备计算第二校验值包括:
当所述认证码为偶数时,则第二校验值V2按照如下公式计算:
V2=V1+arccot(y),(公式2)
当所述认证码为奇数时,则校验值V2按照如下公式计算:
V2=V1+arctan(y),(公式3)
其中,x为用于用户身份认证的被数值化的密码,y为所述用户身份认证请求的发出时刻。
作为更优的实施方式,S05中的所述边缘服务器校验第二校验值包括:
(1)当所述认证码为偶数时,计算:
R=V2-V1-arccot(y),(公式4)
当所述认证码为奇数时,则计算:
R=V2-V1-arctan(y),(公式5)
其中,y为所述用户身份认证请求的发出时刻,V2为第二校验值,V1为所述第一校验值;
(2)当R=0时,则校验成功,否则,校验失败。
作为更优的实施方式,步骤S07之后还包括:
S08、每间隔一指定的时间,所述边缘服务器请求所述用户设备重新进行用户身份认证流程。
为了便于理解,下面用一简单的例子予以说明:
用户设备A于2020年5月1日12点30分52秒发起用户身份认证的请求,当最靠近用户设备A的边缘服务器(通常为本地网络连接点或者区域性网络连接点)收到请求后,首先在其数据库检索用户A的请求中检索用户A的用户名,
如果用户名在边缘服务器中没有相关记录,则说明边缘服务器缺乏所述用户设备A的身份认证的相关数据,则直接将所述请求转发给远程用户身份认证服务器(即S06),当远程用户身份认证服务器对用户设备A认证成功,除了响应用户设备A,告知用户设备A身份认证成功外,还同时将所述用户名和认证值计算方法(如公式(1))发送给所述边缘服务器。
如果用户名在边缘服务器中有相关记录,即所述边缘服务器曾经接收并存储了所述远程用户身份认证服务器发送的与用户身份认证有关的数据,则可以在所述边缘服务器中查找到对应的认证值计算函数,首先将请求信息中与用户名对应的密码数值化,最常用的一种数值化方法是用该密码中每个字符对应的ASCII(American Standard Code forInformation Interchange,美国信息互换标准代码,ASCⅡ)码替换,作为函数的x参数,将请求身份认证的发出时刻2020年5月1日11时23分52秒数值化为20200501123052作为函数y参数,边缘服务器获取用户设备A身份认证的成功的次数L,所述次数L可通过与远程用户身份认证服务器中存放统计用户设备A成功认证的计数器值同步,或者边缘服务器通过与远程用户身份认证服务器交互,获取用户设备A成功认证的值。根据L的奇偶性,确定公式1中的具体计算函数,计算得到认证值,然后将所述认证值和作为认证码的L发送给用户设备A。
用户设备A得到认证码L,与自身用于身份认证的密码和请求身份认证的时刻,作为公式1的输入参数,确定第一校验值V1,当计算的第一校验值V1与接收到的认证值相等时,用户设备A基于第一校验值和请求身份认证的时刻利用公式2或者公式3计算第二校验值V2。如果是仿冒的边缘服务器,由于无法提供L值或者第一校验值,用户设备A由此可判别出非法的提供认证服务的边缘服务器。因此,通过第一校验值的计算和比较,能有效地确保提供认证服务的边缘服务器的安全性。
边缘服务器基于公式(4)或公式(5)校验接收到的所述第二校验值,通过校验来确保用户设备的真实性。然后,边缘服务器在基于用户名和密码来进行用户的身份认证。最后将认证的结果告知远程用户认证服务器(用于统计用户认证成功的次数)和用户设备。
对于方法实施,本发明提出的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施,本发明提出的各种实施方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、处理器、微处理器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施。对于软件实施,本发明提出的各种实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施。
申请人声明,本发明通过上述实施例来说明本发明的详细结构特征,但本发明并不局限于上述详细结构特征,即不意味着本发明必须依赖上述详细结构特征才能实施。所属技术领域的技术人员应该明了,对本发明的任何改进,对本发明所选用部件的等效替换以及辅助部件的增加、具体方式的选择等,均落在本发明的保护范围和公开范围之内。
以上详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (10)

1.一种基于边缘计算的用户身份认证方法,其特征在于包括下述步骤:
步骤1、用户设备发出包括认证信息的身份认证请求,所述认证信息包括用户名、密码和发出身份认证请求的时刻;
步骤2、边缘服务器收到身份认证请求后,查询所述边缘服务器是否保存有所述身份认证请求的认证信息中的用户名,如是,则转步骤3;如否,则将所述身份认证请求发送给远程用户身份认证服务器,转步骤6;
步骤3、所述边缘服务器根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备;
步骤4、所述用户设备接收到所述认证值和认证码后,计算第一校验值,如果第一校验值与所述认证值相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器;
步骤5、所述边缘服务器收到所述第二校验值后进行校验,如果校验成功,则比较所述身份认证请求的认证信息中的密码与所述边缘服务器保存的所述用户名对应的密码,如果两者一致,则通知所述用户设备的身份认证通过,并将用户身份认证成功的结果反馈给所述远程用户身份认证服务器,并转步骤7;否则,将所述身份认证请求发送给所述远程用户身份认证服务器;
步骤6、所述远程用户身份认证服务器接收到所述身份认证请求并进行认证,如果身份认证通过,则向所述边缘服务器发送所述身份认证通过的用户名、密码和认证值计算方法,向所述用户设备发送所述认证值计算方法,并通知所述用户设备的身份认证通过;
步骤7、用户身份认证流程结束。
2.如权利要求1所述的方法,其特征在于所述步骤3中的确定所述用户名的认证值进一步包括:
根据所述认证信息中的用户名查找对应的认证值计算方法,如果存在,基于所述认证值计算方法计算认证值;如果不存在,则将所述身份认证请求发送给所述远程用户身份认证服务器进行认证,转步骤6。
3.如权利要求2所述的方法,其特征在于所述步骤6中的认证值计算方法包括:
计算认证值的函数
Figure DEST_PATH_IMAGE001
,其定义如下:
Figure 584675DEST_PATH_IMAGE002
,其中, x为被数值化的密码,y为接收到的所述身份认证请求的发出时刻,L为用户身份认证的成功次数。
4.如权利要求3所述的方法,其特征在于所述步骤3中的确定所述用户名的认证值及对应的认证码包括:
获取所述用户身份认证的成功次数L,作为所述认证码;
当L为偶数时,计算认证值的函数为:
Figure DEST_PATH_IMAGE003
,当L为奇数时,计算认证值的函数为:
Figure 102113DEST_PATH_IMAGE004
其中,ID为所述认证值,x为被数值化的密码,y为接收到的所述身份认证请求的发出时刻。
5.如权利要求4所述的方法,其特征在于所述用户设备计算第一校验值包括:
当所述认证码L为偶数时,则第一校验值V1按照如下公式计算:
Figure DEST_PATH_IMAGE005
,当所述认证码L为奇数时,则第一校验值V1按照如下公式计算:
Figure 80957DEST_PATH_IMAGE006
其中,x为用于用户身份认证的被数值化的密码,y为所述身份认证请求的发出时刻。
6.如权利要求5所述的方法,其特征在于所述用户设备计算第二校验值包括:
当所述认证码为偶数时,则第二校验值V2按照如下公式计算:
Figure DEST_PATH_IMAGE007
,当所述认证码为奇数时,则第二校验值V2按照如下公式计算:
Figure 838698DEST_PATH_IMAGE008
其中,V1为所述第一校验值,y为所述身份认证请求的发出时刻。
7.如权利要求6所述的方法,其特征在于所述步骤5中的所述边缘服务器校验第二校验值包括:
(1)当所述认证码为偶数时,计算:
Figure DEST_PATH_IMAGE009
,当所述认证码为奇数时,则计算:
Figure 64012DEST_PATH_IMAGE010
其中,y为所述身份认证请求的发出时刻,V2为第二校验值,V1为所述第一校验值;
(2)当R=0时,则校验成功,否则,校验失败。
8.如权利要求7所述的方法,其特征在于还包括下述步骤:
步骤8、每间隔一指定的时间,所述边缘服务器请求所述用户设备重新进行用户身份认证流程。
9.如权利要求8所述的方法,其特征在于:
所述用户设备监测所收到的所述认证码L,当出现L不连续时,则向用户提示所述用户身份认证过程中存在风险。
10.一种基于边缘计算的用户身份认证装置,其特征在于包括:
用户设备请求模块,用于用户设备发出包括认证信息的身份认证请求,所述认证信息包括用户名、密码和发出身份认证请求的时刻;
边缘服务器接收模块,用于边缘服务器收到身份认证请求后,查询所述边缘服务器是否保存有所述用户名,如是,则转边缘服务器确认模块;如否,则将所述身份认证请求发送给远程用户身份认证服务器,转远程用户身份认证服务器认证模块;
边缘服务器确认模块,用于所述边缘服务器根据所述用户名,确定所述用户名的认证值及对应的认证码,然后将所述认证值和认证码发送给所述用户设备;
用户设备计算模块,用于所述用户设备接收到所述认证值和认证码后,计算第一校验值,如果第一校验值与所述认证值相等,则计算第二校验值,并将所述第二校验值发送给所述边缘服务器;
边缘服务器认证模块,用于所述边缘服务器收到所述第二校验值后进行校验,如果校验成功,则比较所述认证信息中的密码与所述边缘服务器保存的所述用户名对应的密码,如果两者一致,则通知所述用户设备的身份认证通过,并将用户身份认证成功的结果反馈给远程用户身份认证服务器,并转用户身份认证结束模块;否则,即所述校验不成功或者两者不一致,将所述身份认证请求发送给所述远程用户身份认证服务器;
远程用户身份认证服务器认证模块,用于所述远程用户身份认证服务器接收到所述身份认证请求,如果身份认证通过,则向所述边缘服务器发送所述身份认证通过的用户名、密码和认证值计算方法,向所述用户设备发送所述认证值计算方法,并通知所述用户设备的身份认证通过;
用户身份认证结束模块,用于用户身份认证流程结束。
CN202010679386.9A 2020-07-15 2020-07-15 一种基于边缘计算的用户身份认证方法、装置 Active CN111835772B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010679386.9A CN111835772B (zh) 2020-07-15 2020-07-15 一种基于边缘计算的用户身份认证方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010679386.9A CN111835772B (zh) 2020-07-15 2020-07-15 一种基于边缘计算的用户身份认证方法、装置

Publications (2)

Publication Number Publication Date
CN111835772A CN111835772A (zh) 2020-10-27
CN111835772B true CN111835772B (zh) 2022-02-18

Family

ID=72924141

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010679386.9A Active CN111835772B (zh) 2020-07-15 2020-07-15 一种基于边缘计算的用户身份认证方法、装置

Country Status (1)

Country Link
CN (1) CN111835772B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116868609A (zh) * 2021-02-19 2023-10-10 苹果公司 用于边缘数据网络的用户装备认证和授权规程
CN113407361B (zh) * 2021-05-27 2023-07-11 中国联合网络通信集团有限公司 桌面访问控制方法和系统
CN114499972B (zh) * 2021-12-28 2023-09-05 重庆医药高等专科学校 一种采购管理登录数据工作系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108810026A (zh) * 2018-07-20 2018-11-13 电子科技大学 一种基于边缘计算的终端设备接入认证方法及系统
CN109873815A (zh) * 2019-01-28 2019-06-11 西安电子科技大学 基于边缘计算的异构物联网认证方法、物联网安全平台
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
CN110995432A (zh) * 2020-03-05 2020-04-10 杭州字节物联安全技术有限公司 基于边缘网关的物联网感知节点认证方法
CN111147472A (zh) * 2019-12-23 2020-05-12 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW202021384A (zh) * 2018-11-23 2020-06-01 財團法人工業技術研究院 網路服務系統及網路服務方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108810026A (zh) * 2018-07-20 2018-11-13 电子科技大学 一种基于边缘计算的终端设备接入认证方法及系统
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
CN109873815A (zh) * 2019-01-28 2019-06-11 西安电子科技大学 基于边缘计算的异构物联网认证方法、物联网安全平台
CN111147472A (zh) * 2019-12-23 2020-05-12 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统
CN110995432A (zh) * 2020-03-05 2020-04-10 杭州字节物联安全技术有限公司 基于边缘网关的物联网感知节点认证方法

Also Published As

Publication number Publication date
CN111835772A (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
CN111835772B (zh) 一种基于边缘计算的用户身份认证方法、装置
US10743180B2 (en) Method, apparatus, and system for authenticating WIFI network
CN110365483B (zh) 云平台认证方法、客户端、中间件及系统
US10681546B2 (en) Processing method for sim card equipped terminal access to 3GPP network and apparatus
EP2207301A1 (en) An authentication method for request message and the apparatus thereof
US9787678B2 (en) Multifactor authentication for mail server access
EP3179695B1 (en) Network authentication
US11165768B2 (en) Technique for connecting to a service
CN113472724B (zh) 一种网络认证方法、设备及系统
US11765153B2 (en) Wireless LAN (WLAN) public identity federation trust architecture
CN114339760A (zh) 通信网络中的授权
CN111835773B (zh) 一种基于边缘计算的用户身份认证系统
CN112491776A (zh) 安全认证方法及相关设备
US11997489B2 (en) Network access control method, apparatus, and device
CN113726774A (zh) 客户端登录认证方法、系统和计算机设备
WO2020025056A1 (zh) 安全认证方法、装置和系统,移动终端
US20080183714A1 (en) Location-based brokerage service for heterogeneous access roaming
CN113676985B (zh) 终端接入控制方法、装置、系统、终端和电子设备
CN109803260B (zh) 拒绝接入方法、装置及系统
CN113992420B (zh) 一种权限管理方法、系统,电子设备和存储介质
CN113297629B (zh) 一种鉴权方法、装置、系统、电子设备和存储介质
US11270173B2 (en) Establish access to a service using machine-readable code
US11979396B2 (en) Information security system and method for machine-to-machine (M2M) security and validation
US20220377078A1 (en) Information security system and method for identifying trusted machines for machine-to-machine (m2m) security and validation
US20240073212A1 (en) Communication method and apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant