CN112134892B - 一种移动边缘计算环境下的服务迁移方法 - Google Patents

一种移动边缘计算环境下的服务迁移方法 Download PDF

Info

Publication number
CN112134892B
CN112134892B CN202011017890.9A CN202011017890A CN112134892B CN 112134892 B CN112134892 B CN 112134892B CN 202011017890 A CN202011017890 A CN 202011017890A CN 112134892 B CN112134892 B CN 112134892B
Authority
CN
China
Prior art keywords
service
migration
server
group
mid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011017890.9A
Other languages
English (en)
Other versions
CN112134892A (zh
Inventor
黄海平
景天一
朱洁
吴敏
成爽
陈龙
汪文明
韦凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202011017890.9A priority Critical patent/CN112134892B/zh
Publication of CN112134892A publication Critical patent/CN112134892A/zh
Application granted granted Critical
Publication of CN112134892B publication Critical patent/CN112134892B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

一种移动边缘计算环境下的服务迁移方法,通过应用区块链技术,用户进入由多个边缘服务器组成的服务区域,即迁移组,然后仅需进行一次身份认证操作,便能在移动中实时地将服务迁移至该组中的任意邻近服务器中,降低了服务迁移的延迟,保证了边缘服务的连续性。同时,用户进入迁移组时的服务迁移请求,如迁出服务器、迁入服务器、迁入时间等也会被永久记录在区块链中,任何非法服务迁入操作都可追溯,提高了服务器节点和用户数据的安全性。

Description

一种移动边缘计算环境下的服务迁移方法
技术领域
本发明属于边缘计算领域,具体涉及一种移动边缘计算环境下的服务迁移方法。
背景技术
边缘计算是云计算的延伸,相较于云计算,边缘计算更靠近数据源或用户端,能够在网络边缘为终端用户提供实时、动态的计算处理与数据存储能力。边缘计算在诸多场景中均有广泛的应用,如物联网、车联网和智慧城市等。
移动性是移动边缘计算的一个重要特征,移动性管理更是边缘计算中不可或缺的重要功能,所谓移动性管理是指终端设备在不同的边缘服务器之间移动时,服务器仍能为其提供连续且高质量的移动边缘服务,而服务迁移是移动性管理中至关重要的步骤,如果从一个边缘服务器覆盖的区域移动到另一个服务器覆盖的区域时,相关的应用程序和用户数据没有及时迁移到新的边缘服务器中(在边缘计算中,应用程序运行在服务器划分的虚拟机中,因此服务迁移主要是虚拟机的封装和迁移),那么可能会造成服务中断。为保证服务质量,终端设备移动时必须伴随着相应服务的迁移。
如今,针对虚拟机迁移的攻击层出不穷。一方面攻击者可以冒充合法的服务器节点,将目标虚拟机从合法的服务器迁移至自己的节点中,从而实现对虚拟机的完全控制;另一方面攻击者通过拒绝服务攻击,可以将大量虚拟机迁移到一个合法的服务器上,造成该服务器资源耗尽,无法正常提供服务;此外,若迁入服务器的虚拟机或应用程序是恶意的,它将对服务器造成严重的破坏,甚至使攻击者获得该服务器的控制权。为了抵御来自恶意用户或服务器的攻击,身份认证机制必不可少,而传统的身份认证方案要求终端设备每移动到新的服务器节点时都需要进行认证,这种重复的认证操作一定程度上增加了服务迁移的时延。
近年来,区块链越来越多的被用来辅助构建边缘计算的安全体系。区块链作为一种全新的分布式基础架构,具有不可篡改、去中心化、公开透明等特点。在区块链系统中,交易记账由分布在不同地点的多个节点共同完成,各节点间通过共识机制实现记录的一致性。将已认证的身份标识和服务迁移记录记录在区块链上,不仅可以避免重复认证带来的时延,还能有效提高系统的安全性。
发明内容
本发明针对上述背景技术中存在的问题,提出一种移动边缘计算环境下的服务迁移方法,使用了密码学、边缘计算和区块链等多种技术手段。
一种移动边缘计算环境下的服务迁移方法,其特征在于:所述方法包括如下步骤:
步骤1,采用移动终端设备、移动边缘服务器MES以及云服务中心CS三类实体,其中多个移动边缘服务器构成一个迁移组,而一个云服务中心同时管理多个迁移组,并与这些迁移组共同构成一个安全域;
步骤2,各迁移组内的移动边缘服务器发送其所在迁移组标识GROUP给负责本组的云服务中心,云服务中心收到该服务器的注册请求后,首先检查其所在迁移组是否在服务范围之内,若该服务器地址合法,云服务中心将为服务器分配唯一的身份标识MIDi,同时以GROUP为分组将该服务器的注册信息存储在数据库中;
步骤3,移动终端设备首次进入某个迁移组覆盖的区域时,将唯一身份标识UIDi发送至负责该组的云服务中心,注册成功后云服务中心将该移动设备的注册信息存储在数据库中;该过程在同一安全域内仅执行一次,设备移动到其他安全域时将需要再次注册;
步骤4,若需要将服务迁移至当前迁移组中,移动终端设备与距离最近的移动边缘服务器进行相互认证,认证通过后发送服务迁入请求Req=(GROUPsrc,MIDsrc,TYPE)给当前移动边缘服务器,将服务迁移至当前移动边缘服务器中;其中GROUPsrc与MIDsrc分别为移动终端设备此前所处的迁移组和该迁移组最近为用户提供服务的移动边缘服务器身份标识,TYPE为所要迁移的服务类型;
步骤5,除上一步中接受服务迁移的当前移动边缘服务器外,迁移组中的其他服务器通过Raft算法选举产生领导者节点,当前移动边缘服务器将(UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME)发送给领导者节点,各服务器达成共识,并最终由领导者节点将数据写入区块链,其中MIDtgt与TIME分别为服务迁移目标服务器身份标识及服务迁入时间。
进一步地,步骤1中,每个迁移组利用组中边缘服务器的计算和存储资源各自维护一条私链;云服务中心作为一个可信机构负责边缘服务器与移动终端设备的注册;相邻的安全域通过密钥协商协议建立域间密钥,并定期交换区域边界上相邻迁移组的边缘服务器列表,这些迁移组内的边缘服务器定期通过安全信道从云服务中心获取最新的域间密钥。
进一步地,步骤4中,服务类型TYPE分为公共服务与专用服务两大类,若所需迁移的服务为公共服务,则迁移时通知源服务器打包相应的用户配置信息发送给当前移动边缘服务器;若所需迁移的服务为专用服务,则在迁移时,源服务器分别将虚拟机和用户配置信息封装并发送给当前移动边缘服务器。
进一步地,步骤4中,当前服务器收到终端设备的服务迁移请求后,首先向云服务中心验证GROUPsrc与MIDsrc的真实性,确定最后一次为用户提供服务的边缘服务器位置信息;源服务器所在的迁移组与当前服务器所在迁移组处于同一安全域,当前服务器使用源服务器的公钥加密服务迁出请求Req1=(MIDtgt,UIDi,TYPE,GROUPtgt)并发送给源服务器;若源服务器所在迁移组与当前迁移组不在同一安全域,则当前服务器使用域间密钥加密服务迁移请求并发送给源服务器,后者使用域间密钥检查其合法性。
进一步地,步骤4中,源服务器收到服务迁出请求Req1后,首先验证MIDtgt,UIDi的真实性,并查看服务类型TYPE是否匹配,若验证通过,源服务器根据服务类型将UIDi对应的虚拟机或用户配置信息封装发送给当前服务器。
进一步地,步骤4中,当前服务器接收数据后,分配资源给虚拟机,并开始为用户提供服务,同时,若服务类型TYPE为专用服务,当前服务器还会通知源服务器关闭相应的服务并删除用户配置信息;若为公共服务,当前服务器会通知源服务器删除相关的用户配置信息。
进一步地,步骤5中,迁移组内的各服务器通过Raft算法达成共识后,领导者节点将(UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME)打包写入区块中。一旦数据写入区块链,意味着此终端设备进入本迁移组时的认证和服务迁移操作具有不可抵赖性,本次服务迁入的发起者、源服务器都可被追溯,恶意用户或服务器通过已经迁移的服务程序对网络设施或虚拟化设施进行的任何非法操作都将被追责,同时服务器还会通知云服务中心吊销该设备或服务器的注册许可。
进一步地,步骤5中,当终端设备移动到本组其他节点的服务范围时,若其服务所需的应用程序配置不变,则设备无需再向新的服务器节点进行认证,而是发送(UIDi,MIDlast)给服务器节点,MIDlast代表本组中最近为终端设备提供服务的服务器。服务器在其本地日志中检索用户的身份和服务迁移信息并对比区块链上的记录以防本地存储被篡改,确认无误后服务器根据MIDlast将设备所需的服务程序或用户配置信息从上一个边缘服务器迁移至本服务器中,并通知源边缘服务器在其主机上关闭服务或删除用户数据。
进一步地,步骤5中,若终端设备在移动过程中,其计算任务所需要的服务程序发生变化,则设备需要重复步骤4的操作,再次向邻近服务器节点进行认证并重新发送服务迁移请求。
本发明达到的有益效果为:1.采用区块链技术,解决了终端设备在各节点间移动时需要重复进行认证的问题,减少了服务迁移的时延,保障了服务的高效与连续性。2.将终端设备的已认证的身份和服务迁移请求作为交易写入区块中,不可篡改且可追溯,防止恶意用户通过服务迁移对服务器节点的网络设施或虚拟化设施造成破坏。3.采用密码学方法,加强了终端设备与节点之间通信的安全性。
附图说明
图1为本发明实施例中域内系统模型图。
图2为本发明实施例中域间系统模型图。
图3为本发明实施例中本发明具体流程图。
具体实施方式
下面结合说明书附图对本发明的技术方案做进一步的详细说明。
本发明中实体的注册和相互认证可采用基于双线性对的无证书密码体制来实现,下面首先介绍双线性对的定义及基本性质。
设G1为阶为素数q的加法循环群,G2为具有相同阶的乘法循环群,定义一个映射e:G1×G1→G2,若该映射满足以下三条性质,则称该映射为双线性对:
(1)双线性:对于任意P,Q∈G1
Figure BDA0002699690390000061
有e(aP,bQ)=e(P,Q)ab
(2)非退化性:
Figure BDA0002699690390000062
其中
Figure BDA0002699690390000063
为群G2的单位元。
(3)可计算性:对于任意P,Q∈G1,存在有效的算法计算e(P,Q)。
其中
Figure BDA0002699690390000064
Zq为整数模q的剩余类,也即Zq={0,1,2,…,q-1}。
本发明具体内容和实施方法如下:
步骤1、本方法主要包括三类主体:移动终端设备、移动边缘服务器(MES)以及云服务中心(CS)。其中:如图1所示,多个移动边缘服务器构成一个迁移组,每个迁移组利用组中边缘服务器的计算和存储资源各自维护一条私链。
一个云服务中心可以同时管理多个迁移组,并与这些迁移组共同构成一个安全域。如图2所示,相邻的安全域通过适当的密钥协商协议建立域间密钥,并定期交换区域边界上相邻迁移组的边缘服务器列表,而这些处于边界上的边缘服务器也将定期通过安全信道从云服务中心获取最新的域间密钥。
云服务中心作为一个可信机构在系统初始化阶段生成一系列系统公共参数:
S11、云服务中心选择足够大的素数q,并选取阶为q的加法循环群G1和乘法循环群G2,其中P为群G1的生成元,定义双线性映射e:G1×G1→G2并计算g=e(P,P)。
S12、云服务中心定义下列安全哈希函数:
H1
Figure BDA0002699690390000071
H2
Figure BDA0002699690390000072
H3:{0,1}*×{0,1}*×G1 2×{0,1}*→{0,1}*
S13、云服务中心随机选取
Figure BDA0002699690390000073
作为系统主密钥,并计算PKcs=s·P。
S14、云服务中心发布系统的公共参数{G1,G2,q,P,g,H1,H2,H3,PKcs}。
步骤2、移动边缘服务器向云服务中心注册,获取唯一的身份标识MIDi,生成完整的密钥对:
S21、边缘服务器随机选取
Figure BDA0002699690390000081
作为其部分私钥,计算Pm=Xm·P。
S22、边缘服务器用云服务中心的公钥PKcs加密消息{GROUP,Pm},将密文
Figure BDA0002699690390000082
发送至云服务中心,其中GROUP为终端设备所在迁移组的标识。
S23、云服务中心解密密文,首先检查服务器所在迁移组是否在服务范围之内,若该服务器地址合法,云服务中心将为其分配唯一的身份标识MIDi
云服务中心随机选取
Figure BDA0002699690390000083
计算Qm=ri·P和Sm=(sh1+ri)-1P,其中h1=H1(MIDi,Pm,Qm,GROUP)。云服务中心将{MIDi,Qm,Sm}安全送至边缘服务器,并以GROUP为分组将{MIDi,Pm,Qm}存储在数据库中。
S24、边缘服务器收到来自云端的消息后,验证等式e((PKcsh1+Qm),Sm)=g是否成立,判断收到的消息是否来自真实的云服务器,若验证通过,边缘服务器提取Qm和Sm,生成完整的密钥对:PKm={Qm,Pm},SKm={Sm,Xm}。
步骤3、移动终端设备首次进入某迁移组覆盖的区域时,向负责本区域的云服务中心注册,并生成完整的密钥对:
S31、当终端设备首次进入某个迁移组时,随机选择
Figure BDA0002699690390000084
作为其私钥的一部分,并计算Pu=Xu·P。
S32、终端设备使用云服务中心的公钥PKcs加密消息{MIDi,Pu},将密文
Figure BDA0002699690390000091
发送至云服务器,其中MIDi为终端设备的唯一身份标识。
S33、云服务中心解密密文,随机选取
Figure BDA0002699690390000092
计算Qu=di·P和Su=sh2+di,其中h2=H2(UIDi,Pu,Qu)。云服务中心将{Qu,Su,right}安全送至终端设备,并将元组{Pu,Qu,right}存储在其数据库中,right表示注册成功。
S34、终端设备通过验证等式SuP=PKcsh2+Qu是否成立,判断收到的消息是否来自真实的云服务中心,若验证通过,终端设备提取Qu和Su,生成完整的密钥对:PKu={Qu,Pu},SKu={Su,Xu}。
S35、终端设备的注册操作在同一安全域仅执行一次,即设备移动至该云服务中心负责的其他迁移组区域时将不需要再次注册。
步骤4、若需要将服务迁移至当前迁移组中,终端设备与最近的服务器节点进行相互认证,确定会话密钥,并发送服务迁移请求给当前边缘服务器,将服务迁移至当前服务器中:
S41、终端设备在本区域注册完成后,随机选取
Figure BDA0002699690390000093
计算T=tP,T′=tPm,V=Xuh3+Su,其中h3=H1(UIDi,PKcs,Qu,tc);K=H2(tc,T,T′),I=EK(UIDi,V),之后终端设备将{I,T,tc}发送至最近的边缘计算节点,其中tc为时间戳。
S42、边缘服务器节点收到{I,T,tc}后,首先检查时间戳tc是否正确,若时间戳正确,服务器计算T′=T·Xm,K=H2(T,T′,tc),从而从I中提取出(UIDi,V)。
S43、边缘服务器计算h3=H1(UIDi,PKcs,Qu,tc),并验证等式VP=Puh3+PKcsh2+Qu是否成立,如果等式不成立,则拒绝本次请求;若等式成立,边缘服务器选取
Figure BDA0002699690390000101
计算Y=yP,Y′=yT,Key=H3(UIDi,MIDi,T′,Y′,tc),并发送{Y,auth,tc}给移动设备,auth表示认证通过。
S44、终端设备收到{Y,auth,tc}后检查时间戳tc的正确性,并计算Y′=tY和会话密钥Key=H3(UIDi,MIDi,T′,Y′,tc),此后终端设备将通过该会话密钥与边缘服务器通信。
S45、终端设备发送服务迁入请求Req=EKey(GROUPsrc,MIDsrc,TYPE)给当前边缘服务器。其中GROUPsrc与MIDsrc分别为终端设备此前所处的迁移组和该迁移组最近为用户提供服务的边缘服务器身份标识,TYPE为所要迁移的服务类型。
S46、在本方法中,TYPE分为公共服务与专用服务两大类。若所需迁移的服务为公共服务,则迁移时只需通知源服务器打包用户配置信息发送给当前服务器;若所需迁移的服务为专用服务,则在迁移时源服务器需分别将虚拟机(专用应用程序)和用户配置信息封装并发送给当前服务器。
S47、当前服务器收到终端设备的服务迁入请求后,首先向云服务中心验证GROUPsrc与MIDsrc的真实性,确定最后一次为用户提供服务的边缘服务器位置信息。
若源服务器所在的迁移组与当前服务器所在迁移组处于同一云服务中心的管理域,当前服务器使用源服务器的公钥加密服务迁出请求Req1=(MIDtgt,UIDi,TYPE,GROUPtgt)并发送给源服务器,通知源服务器迁移服务;若源服务器所在迁移组与当前迁移组不在同一云服务中心的管理区域,则当前服务器使用域间密钥加密服务迁出请求并发送给源服务器,后者使用域间密钥检查其合法性。
S48、源服务器解密消息获取服务迁出请求Req1后,首先验证MIDtgt,UIDi的真实性,并查看服务类型TYPE是否匹配,若验证通过,源服务器根据服务类型将UIDi对应的虚拟机或用户配置信息封装发送给当前服务器。
S49、当前服务器接收数据后,分配资源给虚拟机,并开始为用户提供服务。同时,若服务类型TYPE为专用服务,当前服务器还会通知源服务器关闭相应的服务并删除用户配置信息;若为公共服务,当前服务器会通知源服务器删除相关的用户配置信息。
步骤5、除当前服务器外,迁移组中的其他服务器节点通过Raft算法达成共识,其中选举产生的领导者节点将终端设备的认证结果及服务迁入的记录广播给所有服务器节点,并将数据写入区块链:
在共识阶段,边缘服务器共有3种状态:追随者,候选者,领导者。所有的节点在共识的初始都处在追随者阶段。
S51、每个追随者随机设置150毫秒到300毫秒的倒计时器,该时间也即追随者成为候选者的等待时间。
S52、当某个追随者率先完成倒计时后,该追随者将成为候选者,并进入选举投票阶段,向其他追随者发送投票请求。追随者收到请求后投票给候选者,并重置其倒计时器。
S53、候选者收到超过节点数一半的投票后,将视为选举成功,成为领导者。当前边缘服务器将条目{UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME},发送给领导者节点,领导者将其存入本地日志中,并将日志状态设为“未提交”。
S54、领导者将{UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME}广播给所有的追随者,追随者存储该条目,将其状态置为“未提交”,并返回结果给领导者。
S55、领导者收到超过半数追随者的确认消息后将日志中本条目的状态设为“已提交”,向追随者及当前服务器发送空的追加条目请求,追随者与当前服务器收到请求后,将{UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME}条目的状态设为“已提交”。至此,整个迁移组中的数据实现一致。
S56、最终,领导者节点将{UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME}打包写入区块链中。一旦数据写入区块链,意味着此终端设备进入本迁移组时的认证和服务迁移操作具有不可抵赖性,本次服务迁入的发起者、源服务器都可被追溯,恶意用户或服务器通过已经迁移的服务程序对网络设施或虚拟化设施进行的任何非法操作都将被追责,同时服务器还会通知CS吊销该设备或服务器的注册许可。
S57、当终端设备移动到本组其他节点的服务范围时,若其服务所需的应用程序配置不变,则设备无需再向新的服务器节点进行认证,而是发送(UIDi,MIDlast)给服务器节点,MIDlast代表本组中最近为终端设备提供服务的服务器。服务器在其本地日志中检索相关的认证和服务迁移信息,并对比区块链上的记录以防本地存储被篡改,确认无误后服务器根据MIDlast将设备所需的服务程序或用户配置信息从上一个边缘服务器迁移至本服务器中,并通知原边缘计服务器在其主机上关闭服务或删除用户数据。
S58、若终端设备在移动过程中,其计算任务所需要的服务程序发生变化,则设备需要重复步骤4的操作,再次向服务器节点进行认证并重新发送服务迁移请求。
本方法采用区块链技术,解决了终端设备在各节点间移动时需要重复进行认证的问题,减少了服务迁移的时延,保障了服务的高效与连续性;将终端设备的已认证的身份和服务迁移请求作为交易写入区块中,不可篡改且可追溯,防止恶意用户通过服务迁移对服务器节点的网络设施或虚拟化设施造成破坏;采用密码学方法,加强了终端设备与节点之间通信的安全性。
以上所述仅为本发明的较佳实施方式,本发明的保护范围并不以上述实施方式为限,但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化,皆应纳入权利要求书中记载的保护范围内。

Claims (4)

1.一种移动边缘计算环境下的服务迁移方法,其特征在于:所述方法包括如下步骤:
步骤1,采用移动终端设备、移动边缘服务器MES以及云服务中心CS三类实体,其中多个移动边缘服务器构成一个迁移组,而一个云服务中心同时管理多个迁移组,并与这些迁移组共同构成一个安全域;
步骤1中,每个迁移组利用组中边缘服务器的计算和存储资源各自维护一条私链;云服务中心作为一个可信机构负责边缘服务器与移动终端设备的注册;相邻的安全域通过密钥协商协议建立域间密钥,并定期交换区域边界上相邻迁移组的边缘服务器列表,这些迁移组内的边缘服务器定期通过安全信道从云服务中心获取最新的域间密钥;
步骤2,各迁移组内的移动边缘服务器发送其所在迁移组标识GROUP给负责本组的云服务中心,云服务中心收到该服务器的注册请求后,首先检查其所在迁移组是否在服务范围之内,若该服务器地址合法,云服务中心将为服务器分配唯一的身份标识MIDi,同时以GROUP为分组将该服务器的注册信息存储在数据库中;
步骤3,移动终端设备首次进入某个迁移组覆盖的区域时,将唯一身份标识UIDi发送至负责该组的云服务中心,注册成功后云服务中心将移动终端设备的注册信息存储在数据库中;该过程在同一安全域内仅执行一次,设备移动到其他安全域时将需要再次注册;
步骤4,若需要将服务迁移至当前迁移组中,移动终端设备与距离最近的移动边缘服务器进行相互认证,认证通过后发送服务迁入请求Req=(GROUPsrc,MIDsrc,TYPE)给当前移动边缘服务器,将服务迁移至当前移动边缘服务器中;其中GROUPsrc与MIDsrc分别为移动终端设备此前所处的迁移组和该迁移组最近为用户提供服务的移动边缘服务器身份标识,TYPE为所要迁移的服务类型;
步骤4中,源服务器收到服务迁出请求Req1
(MIDtgt,UIDi,TYPE,GROUPtgt)后,首先验证MIDtgt,UIDi的真实性,并查看服务类型TYPE是否匹配,若验证通过,源服务器根据服务类型将UIDi对应的虚拟机或用户配置信息封装发送给当前移动边缘服务器,GROUPtgt为移动终端设备目标的迁移组;
步骤4中,当前移动边缘服务器接收数据后,分配资源给虚拟机,并开始为用户提供服务,同时,若服务类型TYPE为专用服务,当前移动边缘服务器会通知源服务器关闭相应的服务并删除用户配置信息;若为公共服务,当前移动边缘服务器会通知源服务器删除相关的用户配置信息;
步骤5,除上一步中接受服务迁移的当前移动边缘服务器外,迁移组中的其他服务器通过Raft算法选举产生领导者节点,当前移动边缘服务器将(UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME)发送给领导者节点,各服务器达成共识,并最终由领导者节点将数据写入区块链,其中MIDtgt与TIME分别为服务迁移目标服务器身份标识及服务迁入时间;
步骤5中,当终端设备移动到本组其他节点的服务范围时,若其服务所需的应用程序配置不变,则设备无需再向新的服务器节点进行认证,而是发送(UIDi,MIDlast)给服务器节点,MIDlast代表本组中最近为终端设备提供服务的服务器;服务器在其本地日志中检索用户的身份和服务迁移信息并对比区块链上的记录以防本地存储被篡改,确认无误后服务器根据MIDlast将设备所需的服务程序或用户配置信息从上一个边缘服务器迁移至本服务器中,并通知源边缘服务器在其主机上关闭服务或删除用户数据;
步骤5中,若终端设备在移动过程中,其计算任务所需要的服务程序发生变化,则设备需要重复步骤4的操作,再次向邻近服务器节点进行认证并重新发送服务迁移请求。
2.根据权利要求1所述的一种移动边缘计算环境下的服务迁移方法,其特征在于:步骤4中,服务类型TYPE分为公共服务与专用服务两大类,若所需迁移的服务为公共服务,则迁移时通知源服务器打包相应的用户配置信息发送给当前移动边缘服务器;若所需迁移的服务为专用服务,则在迁移时,源服务器分别将虚拟机和用户配置信息封装并发送给当前移动边缘服务器。
3.根据权利要求1所述的一种移动边缘计算环境下的服务迁移方法,其特征在于:步骤4中,当前移动边缘服务器收到终端设备的服务迁移请求后,首先向云服务中心验证GROUPsrc与MIDsrc的真实性,确定最后一次为用户提供服务的边缘服务器位置信息;若源服务器所在的迁移组与当前移动边缘服务器所在迁移组处于同一安全域,当前移动边缘服务器使用源服务器的公钥加密迁出请求Req1=(MIDtgt,UIDi,TYPE,GROUPtgt)并发送给源服务器;若源服务器所在迁移组与当前迁移组不在同一安全域,则当前移动边缘服务器使用域间密钥加密服务迁移请求并发送给源服务器,后者使用域间密钥检查其合法性。
4.根据权利要求1所述的一种移动边缘计算环境下的服务迁移方法,其特征在于:步骤5中,迁移组内的各服务器通过Raft算法达成共识后,领导者节点将(UIDi,GROUPsrc,MIDsrc,MIDtgt,TYPE,TIME)打包写入区块中;一旦数据写入区块链,意味着此终端设备进入本迁移组时的认证和服务迁移操作具有不可抵赖性,本次服务迁入的发起者、源服务器都可被追溯,恶意用户或服务器通过已经迁移的服务程序对网络设施或虚拟化设施进行的任何非法操作都将被追责,同时服务器还会通知云服务中心吊销该终端设备或服务器的注册许可。
CN202011017890.9A 2020-09-24 2020-09-24 一种移动边缘计算环境下的服务迁移方法 Active CN112134892B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011017890.9A CN112134892B (zh) 2020-09-24 2020-09-24 一种移动边缘计算环境下的服务迁移方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011017890.9A CN112134892B (zh) 2020-09-24 2020-09-24 一种移动边缘计算环境下的服务迁移方法

Publications (2)

Publication Number Publication Date
CN112134892A CN112134892A (zh) 2020-12-25
CN112134892B true CN112134892B (zh) 2023-04-18

Family

ID=73841061

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011017890.9A Active CN112134892B (zh) 2020-09-24 2020-09-24 一种移动边缘计算环境下的服务迁移方法

Country Status (1)

Country Link
CN (1) CN112134892B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297133B (zh) * 2021-06-01 2023-05-23 中国地质大学(北京) 一种服务迁移质量保障方法及系统
CN113660696B (zh) * 2021-07-05 2024-03-19 山东师范大学 基于区域池组网的多接入边缘计算节点选择方法及系统
CN113612854B (zh) * 2021-08-16 2023-07-25 中国联合网络通信集团有限公司 基于区块链的通信方法、服务器和终端
CN113852693B (zh) * 2021-09-26 2023-05-02 北京邮电大学 一种边缘计算服务的迁移方法
CN114089919A (zh) * 2021-11-25 2022-02-25 中国联合网络通信集团有限公司 异构mec数据协同方法、协同服务中心及系统
CN115002057B (zh) * 2022-05-26 2024-04-12 威艾特科技(深圳)有限公司 一种分布式多服务端即时通信方法
CN116471023B (zh) * 2023-04-19 2024-02-20 三未信安科技股份有限公司 一种基于区块链技术的无证书身份认证与密钥协商方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109962890A (zh) * 2017-12-25 2019-07-02 中国科学院信息工程研究所 一种区块链的认证服务装置及节点准入、用户认证方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110958229A (zh) * 2019-11-20 2020-04-03 南京理工大学 一种基于区块链的可信身份认证方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109962890A (zh) * 2017-12-25 2019-07-02 中国科学院信息工程研究所 一种区块链的认证服务装置及节点准入、用户认证方法

Also Published As

Publication number Publication date
CN112134892A (zh) 2020-12-25

Similar Documents

Publication Publication Date Title
CN112134892B (zh) 一种移动边缘计算环境下的服务迁移方法
Wazid et al. Design of secure key management and user authentication scheme for fog computing services
US20230023857A1 (en) Data processing method and apparatus, intelligent device, and storage medium
CN109687976B (zh) 基于区块链与pki认证机制的车队组建及管理方法及系统
CN109922077B (zh) 一种基于区块链的身份认证方法及其系统
CN111372243B (zh) 基于雾联盟链的安全分布式聚合与访问系统及方法
CN112491846A (zh) 一种跨链的区块链通信方法及装置
CN110958229A (zh) 一种基于区块链的可信身份认证方法
CN113055363B (zh) 一种基于区块链信任机制的标识解析系统实现方法
CN109905877B (zh) 通信网络系统的消息验证方法、通信方法和通信网络系统
CN113079132B (zh) 海量物联网设备认证方法、存储介质、信息数据处理终端
CN114362993B (zh) 一种区块链辅助的车联网安全认证方法
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
Xue et al. A distributed authentication scheme based on smart contract for roaming service in mobile vehicular networks
CN113395166B (zh) 一种基于边缘计算的电力终端云边端协同安全接入认证方法
CN112311537A (zh) 基于区块链的设备接入认证系统及方法
CN112039660B (zh) 一种物联网节点群组身份安全认证方法
WO2023184858A1 (zh) 一种时间戳生成方法、装置、电子设备及存储介质
CN112508576A (zh) 基于区块链的密钥管理方法、系统及存储介质
CN114125773A (zh) 基于区块链和标识密码的车联网身份管理系统及管理方法
CN113343201A (zh) 注册请求处理方法、用户身份信息管理方法及设备
CN114938280A (zh) 一种基于非交互零知识证明与智能合约的认证方法及系统
WO2021093811A1 (zh) 一种网络接入方法及相关设备
CN114697038A (zh) 一种抗量子攻击的电子签章方法和系统
Feng et al. One-stop efficient PKI authentication service model based on blockchain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant