CN111935714A

CN111935714A - 一种移动边缘计算网络中身份认证方法

Info

Publication number: CN111935714A
Application number: CN202010683620.5A
Authority: CN
Inventors: 薛建彬; 王璐; 白子梅; 王泽森; 安悦
Original assignee: Lanzhou University of Technology
Current assignee: Lanzhou University of Technology
Priority date: 2020-07-13
Filing date: 2020-07-13
Publication date: 2020-11-13
Anticipated expiration: 2040-07-13
Also published as: CN111935714B

Abstract

一种移动边缘计算中的身份认证方法，初始阶段：注册中心生成自己的公钥和私钥(Pk_RA,Sk_RA)，并且公开自己的公钥；用户注册阶段：用户在接入边缘服务器提供的服务之前必须在注册中心注册成为合法的用户；服务器注册阶段：边缘服务器生成自己的公私钥对(Pk_MS,Sk_MS)，并将公钥Pk_MS注册到注册中心，注册中心为边缘服务器分配身份标识ID_MS，并使用注册中心的私钥Sk_RA签名后发送给边缘服务器；认证阶段：当用户向边缘服务器提出服务请求时，距离最近的边缘服务器接收到用户的请求后向注册中心求证用户的身份标识ID_C是否存在。用户与边缘服务器经过身份认证后确定会话密钥，最终实现移动终端与边缘服务器双向认证的目的。

Description

一种移动边缘计算网络中身份认证方法

技术领域

本发明涉及移动边缘计算(Mobile Edge Computing，MEC)网络安全数据通信技术领域。

背景技术

欧洲电信标准协会ETSI于2014年提出移动边缘计算的概念，就是在靠近数据源头的一侧提供网络、计算、存储和应用服务。在现有以集中式云计算为核心的大数据处理的服务模式基础上，亟需面向海量边缘数据的分布式大数据处理技术。云计算与移动边缘计算二者相辅相成，产生更快的网络响应速度，解决数据量爆炸式增长下云计算服务能力不足的问题，以满足实时性、降低能耗和智能应用等方面的需求。

数据安全和隐私保护是移动边缘计算平台涉及安全的两个重要方面。一方面，要保证数据的安全存储与传输，即数据安全；另一方面，还要保证数据仅能被授权的用户访问和使用，这就是隐私保护。用户个人数据只能被认证的节点或用户进行操作，这在移动边缘计算平台非常关键。边缘计算网络中面临许多安全问题，如：用户将任务卸载至边缘服务器时的数据安全如何保证，分布式环境下统一的身份管理等。因此，研究基于安全机制的边缘计算网络中的计算卸载方案成为解决当前移动设备资源受限、任务卸载时被窃听、恶意节点冒充合法节点等安全问题的新途径。同时，还需要在智能终端设备和边缘服务器之间实现有效的身份认证。

在边缘计算中，边缘数据中心部署在数据源附近，一方面限制了传统的网络攻击，如端口扫描；另一方面，边缘数据中心的异构性以及计算、存储资源的有限性，使得部分适用于云计算中心的防御措施无法直接部署在边缘服务器上。因此，在移动边缘计算中设计高效的身份认证协议具有重要意义。尽管学术界和产业界对MEC环境中的安全问题做了大量的研究工作，但在MEC网络架构下的身份认证仍处于初期探索阶段。攻击者伪造边缘数据中心，欺骗终端用户会给系统带来严重的后果。

发明内容

本发明的目的是提供一种基于移动边缘计算网络的移动终端与边缘设备之间的双向认证方法。

本发明是一种移动终端与边缘设备双向认证方法，其步骤为：

(1)移动终端发起认证请求，向周围的MEC服务器广播(Request||ID_C)；

(2)MEC服务器收到Request后，用注册中心的公钥加密ID_MS和ID_C，并向注册中心发送加密信息E(Pk_RA，ID_MS||ID_C)确认用户身份标识ID_C是否存在；

(3)注册中心使用私钥Sk_RA解密收到的信息，检查ID_C是否存在，若检查失败则终止通信，否则生成MEC服务器与该用户C的共享密钥 k_C,MS＝H(ID_MS,k_C)；

(4)注册中心使用MEC服务器的公钥Pk_MS对k_C,MS加密，并用私钥Sk_RA将信息<ID_MS||E(Pk_MS，k_C,MS)>签名后发送给MEC服务器；

(5)MEC服务器用注册中心的公钥Pk_RA验证注册中心的签名，成功后用私钥Sk_MS解密密文，得到与用户C的共享密钥k_C,MS；通过测量无线网卡上接收的信号强度将其量化生成随机密钥k_i；；

(6)MEC服务器使用k_C,MS加密k_i与当前的日期和时间T₁，并向用户C发送信息<ID_MS，ID_C，E(k_C,MS,k_i||T₁)>；

(7)用户C收到MEC服务器的信息后，通过ID_MS和存储在智能卡中的主密钥k_C计算与MEC服务器的共享密钥k_C,MS＝H(ID_MS,k_C)，用共享密钥k_C,MS解密信息得到k_i和T₁；若当前时间T₂减去T₁小于等于ΔT(ΔT是网络延时的时间区间)，用户C可以认证MS的合法身份，并通过测量无线模块上接收的信号强度将其量化生成随机密钥k_S；

(8)用户C使用MEC服务器发的密钥k_i加密k_S与当前的日期和时间T₂，并向MEC服务器发送加密信息E(k_i，k_S||T₂)；

(9)MEC服务器收到信息后使用k_i解密信息，得到k_S和T₂，如果当前时间T₃减去T₂小于等于ΔT，说明发信者必是合法用户C，接受k_S作为会话密钥。

本发明的有益效果是：本发明在移动终端、边缘设备和注册中心之间进行数据通信时，设计了一个高效的、轻量级身份认证协议，该协议方法具有以下优点：

(1)交互次数少

本发明的移动终端与边缘设备认证方法涉及了较少的交互次数，协议交互次数仅为3次。因此，在移动边缘计算网络中移动终端如需边缘服务，则其只需要和边缘设备之间用3次交互便可相互认证。

(2)计算量与存储量小

本发明中，移动终端只需要进行简单的对称加解密运算与哈希运算，总计算时间为T_h+T_ae+T_ad。在移动终端处只需要存储一个主密钥k_C，表明本发明是切实可行的并且是高效的。

(3)协议是安全的

本发明的移动终端与边缘设备之间双向认证协议是安全的，采用BAN逻辑证明了本发明的安全性。

附图说明

图1是存在攻击者的MEC网络模型图，图2是移动终端与边缘设备双向认证图。

具体实施方式

下面结合附图以具体实施例来详细说明本发明。本实施例仅表示对本发明的原理性说明，不代表对本发明的任何限制。

本发明是一种移动边缘计算网络中的身份认证方法，是一种基于移动边缘计算网络的移动终端与边缘设备双向认证方法，如图1所示，MEC网络体系是一个三级层次结构，包含智能终端设备、MEC服务器(MEC server，MS)、注册中心(Registration Authority，RA)等不同的功能实体。智能终端设备可以是具有通信和感应功能的移动设备，由于智能终端设备受到计算资源和电池的限制，无法在短时间内完成巨大的计算任务，需要将部分计算任务卸载到MEC服务器。与智能终端设备相比，MEC服务器上有更多的计算、存储和通信资源。MEC 服务器可以部署于基站、小基站甚至汇聚站点，在云计算网络的边缘，物理上接近智能终端设备。RA在云服务中，负责对边缘计算用户和MEC服务器进行注册授权，并给所有边缘计算用户发送长期密钥。

图2为基于移动边缘计算网络的移动终端与边缘设备之间双向认证过程图，具体实施方式为：

(1)移动终端发起认证请求，向周围的MEC服务器广播(Request,IDC)。

(2)MEC服务器收到Request后，用注册中心的公钥加密ID_MS和ID_C，并向注册中心发送加秘密信息E(Pk_RA，ID_MS||ID_C)确认用户身份标识ID_C是否存在。

(3)注册中心使用私钥Sk_RA解密收到的信息，检查ID_C是否存在，若检查失败则终止通信，否则生成MEC服务器与该用户C的共享密钥 k_C,MS＝H(ID_MS,k_C)。

(4)注册中心使用MEC服务器的公钥Pk_MS对k_C,MS加密，并用私钥Sk_RA将信息<ID_MS||E(Pk_MS，k_C,MS)>签名后发送给MEC服务器。

(5)MEC服务器用注册中心的公钥Pk_RA验证注册中心的签名，成功后用私钥Sk_MS解密密文，得到与用户C的共享密钥k_C,MS。通过测量无线网卡上接收的信号强度将其量化生成随机密钥k_i。

(6)MEC服务器使用k_C,MS加密k_i与当前的日期和时间T₁，并向用户C发送信息<ID_MS，ID_C，E(k_C,MS,k_i||T₁)>。

(7)用户C收到MEC服务器的信息后，通过ID_MS和存储在智能卡中的主密钥k_C计算与MEC服务器的共享密钥k_C,MS＝H(ID_MS,k_C)，用共享密钥k_C,MS解密信息得到k_i和T₁。若当前时间T₂减去T₁小于等于ΔT(ΔT是网络延时的时间区间)，用户C可以认证MS的合法身份，并通过测量无线模块上接收的信号强度将其量化生成随机密钥k_S。

(8)用户C使用MEC服务器发的密钥k_i加密k_S与当前的日期和时间T₂，并向MEC服务器发送加密信息E(k_i，k_S||T₂)。

Claims

1.一种移动终端与边缘设备双向认证方法，其特征在于，其步骤为：

(1)初始阶段：注册中心生成自己的公钥和私钥(Pk_RA,Sk_RA)，并且公开自己的公钥；

(2)用户注册阶段：用户在接入边缘服务器服务器提供的服务之前必须在注册中心注册成为合法的用户，用户向注册中心提出注册请求，注册中心为用户生成一个主密钥，用户和注册中心通过安全信道通信；

(3)服务器注册阶段：边缘服务器生成自己的公私钥对(Pk_MS,Sk_MS)，并将公钥Pk_MS注册到注册中心，注册中心为边缘服务器分配身份标识ID_MS，并使用注册中心的私钥Sk_RA签名后发送给边缘服务器；

(4)认证阶段：

1)移动终端发起认证请求，向周围的MEC服务器广播(Request,ID_C)；

2)MEC服务器收到Request后，用注册中心的公钥加密ID_MS和ID_C，并向注册中心发送加秘密信息E(Pk_RA，ID_MS||ID_C)确认用户身份标识ID_C是否存在；

3)注册中心使用私钥Sk_RA解密收到的信息，检查ID_C是否存在，若检查失败则终止通信，否则生成MEC服务器与该用户C的共享密钥k_C,MS＝H(ID_MS,k_C)；

4)注册中心使用MEC服务器的公钥Pk_MS对k_C,MS加密，并用私钥Sk_RA将信息<ID_MS||E(Pk_MS，k_C,MS)>签名后发送给MEC服务器；

5)MEC服务器用注册中心的公钥Pk_RA验证注册中心的签名，成功后用私钥Sk_MS解密密文，得到与用户C的共享密钥k_C,MS；通过测量无线网卡上接收的信号强度将其量化生成随机密钥k_i；

6)MEC服务器使用k_C,MS加密k_i与当前的日期和时间T₁，并向用户C发送信息<ID_MS，ID_C，E(k_C,MS,k_i||T₁)>；

7)用户C收到MEC服务器的信息后，通过ID_MS和存储在智能卡中的主密钥k_C计算与MEC服务器的共享密钥k_C,MS＝H(ID_MS,k_C)，用共享密钥k_C,MS解密信息得到k_i和T₁；若当前时间T₂减去T₁小于等于ΔT，ΔT是网络延时的时间区间，用户C可以认证MS的合法身份，并通过测量无线模块上接收的信号强度将其量化生成随机密钥k_S；

8)用户C使用MEC服务器发的密钥k_i加密k_S与当前的日期和时间T₂，并向MEC服务器发送加密信息E(k_i，k_S||T₂)；

9)MEC服务器收到信息后使用k_i解密信息，得到k_S和T₂，如果当前时间T₃减去T₂小于等于ΔT，说明发信者必是合法用户C，接受k_S作为会话密钥。