CN112637298A - 认证方法和成员节点 - Google Patents
认证方法和成员节点 Download PDFInfo
- Publication number
- CN112637298A CN112637298A CN202011480109.1A CN202011480109A CN112637298A CN 112637298 A CN112637298 A CN 112637298A CN 202011480109 A CN202011480109 A CN 202011480109A CN 112637298 A CN112637298 A CN 112637298A
- Authority
- CN
- China
- Prior art keywords
- member node
- authentication
- sub
- verified
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种认证方法,方法包括:从区块链网络中,获取第一成员节点的接入请求;依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种认证方法和成员节点。
背景技术
随着第五代移动通信技术(5th Generation Mobile Networks,5G)和移动边缘计算(Mobile Edge Computing,MEC)的发展,边缘计算在5G中的应用也越来越多,通过在接入网侧部署计算能力,使得在接入网侧也可以使用云计算技术来实现通信和计算的统一与融合。移动边缘计算技术得到了业界的广泛关注,也促使移动边缘计算平台从概念到框架,再到具体的标准和可实施性不断得到完善。
现有的移动边缘计算池,是由一个中心节点负责完成用户的接入和认证,由于移动边缘计算池中会有新用户的加入,以及老用户的退出,无法保证移动边缘计算池在对用户的认证过程中的前向安全性和后向安全性。
发明内容
为此,本申请提供一种认证方法和成员节点,以解决移动边缘计算池在新成员的认证过程中无法保证新成员的信息安全性的问题。
为了实现上述目的,本申请第一方面提供一种认证方法,方法包括:从区块链网络中,获取第一成员节点的接入请求;依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。
在一些具体实现中,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功,包括:对待验证签名证书解析,获得第一成员节点接收到的第二子秘钥的数量;依据第二子秘钥的数量和预设密钥份额,确定是否对第一成员节点认证成功。
在一些具体实现中,依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中,包括:对接入请求进行解析,获得第一成员节点的位置信息、第一成员节点的身份信息和第一时间戳;对位置信息、身份信息和第一时间戳进行验证,获得初步验证结果;依据初步验证结果,判断第一成员节点是否为合法成员;在确定第一成员节点为合法成员的情况下,依据身份信息和第二子秘钥,生成并发送第一认证广播消息至区块链网络中。
在一些具体实现中,对位置信息、身份信息和第一时间戳进行验证,获得初步验证结果,包括:验证身份信息的合法性,获得第一验证结果;依据位置信息,判断第一成员节点是否处于预设位置范围内,获得第二验证结果;计算第一时间戳与当前时间点的差值,并判断差值是否在预设时段内,获得第三验证结果;依据第一验证结果、第二验证结果和第三验证结果,确定初步验证结果。
在一些具体实现中,依据初步验证结果,判断第一成员节点是否为合法成员,包括:在确定初步验证结果为第一成员节点身份合法、第一成员节点处于预设位置范围内,且,差值在预设时段内的情况下,确定第一成员节点为合法成员;否则,确定第一成员节点为非法成员。
在一些具体实现中,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功的步骤之后,还包括:在确定对第一成员节点认证失败的情况下,将第一成员节点加入黑名单。
在一些具体实现中,将第一成员节点加入黑名单,包括:对第一成员节点的身份信息进行哈希运算,生成第一成员节点哈希值;将第一成员节点哈希值和第一时间戳,加入黑名单中。
在一些具体实现中,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功的步骤之后,还包括:在确定对第一成员节点认证成功的情况下,更新移动边缘计算池中的成员数量;依据更新后的移动边缘计算池中的成员数量,生成认证密钥,认证密钥包括第一子秘钥;发送认证密钥至区块链网络中,以使第一成员节点和移动边缘计算池中的其他成员节点获得各个节点对应的第一子秘钥。
为了实现上述目的,本申请第二方面提供一种认证方法,方法包括:从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥;依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书;依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中,以使各个第二成员节点对当前节点进行验证,以确定当前节点是否认证成功。
在一些具体实现中,从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥,包括:从区块链网络中,获取各个第二成员节点发送的第一认证广播消息;对各个第一认证广播消息进行解析,获得各个第二子秘钥。
为了实现上述目的,本申请第三方面提供一种第二成员节点服务器,其包括:第一获取模块,用于从区块链网络中,获取第一成员节点的接入请求;第一处理模块,用于依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;第二获取模块,用于从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;认证模块,用于依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。
为了实现上述目的,本申请第四方面提供一种第一成员节点服务器,其包括:第三获取模块,用于从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥;待验证签名证书生成模块,用于依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书;第二处理模块,用于依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中,以使各个第二成员节点对当前节点进行验证,以确定当前节点是否认证成功。
本申请中的认证方法和成员节点,通过依据第一成员节点的接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;使第一成员节点能够接收到各个第二成员节点发送的第二子秘钥。从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;该待验证签名证书可表征第一成员节点接收到的第二子秘钥的数量,依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功,不仅实现了对第一成员节点的认证,也保护了第一成员节点的隐私。通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其它特征和优点对本领域技术人员将变得更加显而易见,在附图中:
图1示出本申请一实施例中的认证方法的流程示意图。
图2示出本申请又一实施例中的认证方法的流程示意图。
图3示出本申请再一实施例中的认证方法的流程示意图。
图4示出本申请实施例中的第二成员节点服务器的组成方框图。
图5示出本申请实施例中的第一成员节点服务器的组成方框图。
图6示出本申请实施例中的认证系统中的第二成员节点服务器对新加入的第一成员节点服务器进行认证的方法的流程示意图。
在附图中:
401:第一获取模块 402:第一处理模块
403:第二获取模块 404:认证模块
501:第三获取模块 502:待验证签名证书生成模块
503:第二处理模块 610:第一成员节点服务器
620:第二成员节点服务器
具体实施方式
以下结合附图对本申请的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1示出本申请一实施例中的认证方法的流程示意图。该认证方法可应用于第二成员节点。如图1所示,该认证方法包括:
步骤S110,从区块链网络中,获取第一成员节点的接入请求。
其中,接入请求包括:第一成员节点的位置信息、第一成员节点的身份信息和第一时间戳。例如,第一成员节点所处的经纬度信息,第一成员节点的身份信息可以是国家权威机构(例如,工业和信息化部)为每一台设备颁发的可以证明其身份的身份证书。该身份证书可以包括设备的识别码和身份证书的有效期。以保证第一成员节点的身份是合法的。第一时间戳信息可以是第一成员节点发送接入请求时的时间信息(例如,第一成员节点在11月6日15:26发送的接入请求,则第一时间戳信息即为11月6日15:26),保证信息的实时性。
步骤S120,依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中。
其中,第二子秘钥是依据移动边缘计算池中的成员节点的数量,采用预设算法对移动边缘计算池的认证密钥进行计算获得的子秘钥。保证移动边缘计算池中的每个成员节点都获知第二子秘钥,保证认证密钥的安全性。
例如,设定移动边缘计算池中有N个第二成员节点,采用预设算法,对认证密钥进行计算,可获知N份第二子秘钥,且每份第二子秘钥均不相同,并且,每份第二子秘钥在认证密钥中所占的份额也不同。避免第三方设备依据规律,通过第二子秘钥推算出认证密钥,保证认证密钥的安全性。
在一些具体实现中,依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中,包括:对接入请求进行解析,获得第一成员节点的位置信息、第一成员节点的身份信息和第一时间戳;对位置信息、身份信息和第一时间戳进行验证,获得初步验证结果;依据初步验证结果,判断第一成员节点是否为合法成员;在确定第一成员节点为合法成员的情况下,依据身份信息和第二子秘钥,生成并发送第一认证广播消息至区块链网络中。
通过对位置信息、身份信息和第一时间戳进行验证,获得初步验证结果,若初步验证结果包括以下验证信息中的任意一种或几种:身份信息合法,第一成员节点的位置信息在允许加入移动边缘计算池的范围(例如,第一成员节点距离移动边缘计算池中的第二成员节点为20米)之内,第一时间戳与当前时间的差值在预设时间间隔(例如,5秒)之内,则确定第一成员节点为合法成员;否则,确定第一成员节点为非法成员,以保证第一成员节点是合法的安全节点,保证移动边缘计算池的安全性。
在一些具体实现中,对位置信息、身份信息和第一时间戳进行验证,获得初步验证结果,包括:验证身份信息的合法性,获得第一验证结果;依据第一成员节点的位置信息,判断第一成员节点是否处于预设位置范围内,获得第二验证结果;计算第一时间戳与当前时间点的差值,并判断差值是否在预设时段内,获得第三验证结果;依据第一验证结果、第二验证结果和第三验证结果,确定初步验证结果。
其中,第一验证结果包括:第一成员节点的身份信息是合法的,或,第一成员节点的身份信息是非法的。第二验证结果包括:第一成员节点的位置信息在允许加入移动边缘计算池的范围,或,第一成员节点的位置信息不在允许加入移动边缘计算池的范围。第三验证结果包括:第一时间戳与当前时间点的差值在预设时段内,或,第一时间戳与当前时间点的差值不在预设时段内。
通过三种不同维度的验证结果,确定对第一成员节点的初步验证结果,保证第一成员节点是合法的成员,避免信息泄露而导致移动边缘计算池中的计算资源的不安全性。
在一些具体实现中,依据初步验证结果,判断第一成员节点是否为合法成员,包括:在确定初步验证结果为第一成员节点身份合法、第一成员节点处于预设位置范围内,且,第一时间戳与当前时间点的差值在预设时段内的情况下,确定第一成员节点为合法成员;否则,确定第一成员节点为非法成员。
在三种验证结果均是验证通过的情况下,确定第一成员节点是合法成员,全面的对第一成员节点进行考核,保证第一成员节点是安全的合法成员。
在确定以下情况中的任意一种或几种成立的情况下,确定第一成员节点为非法成员:1)第一成员节点身份是伪造的;2)第一成员节点处于预设位置范围之外;3)第一时间戳与当前时间点的差值在预设时段之外。此时不允许该第一成员节点加入移动边缘计算池中,以保证移动边缘计算池的安全性。
步骤S130,从区块链网络中,获取第一成员节点反馈的第二认证广播消息。
其中,第二认证广播消息包括待验证签名证书。具体实现时,可先采用签名公钥对第二认证广播消息进行验证,在验证通过时,通过消息解析,获得对待验证签名证书。使用签名的方式对第二认证广播消息进行处理,可保证第二认证广播消息在区块链网络中传输时的安全性,避免消息内容的泄露。
步骤S140,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。
其中,预设密钥份额是预先设定的能够成功还原移动计算资源池的认证密钥的份额。
例如,预设密钥份额为K,K为大于或等于1的整数,并且K小于移动计算资源池中的成员节点的数量。当待验证签名证书中包括的第二子秘钥的数量大于或等于K时,可依据该待验证签名证书,成功还原移动计算资源池的认证密钥,使用该认证密钥,可使成员节点成功接入至移动计算资源池中,以共享移动计算资源池的计算资源。
对待验证签名证书的有效性进行验证,即是使用该待验证签名证书是否能够成功还原移动计算资源池的认证密钥,若能够成功还原移动计算资源池的认证密钥,则表征对第一成员节点认证成功;否则,对第一成员节点认证失败。
在一些具体实现中,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功,包括:对待验证签名证书解析,获得第一成员节点接收到的第二子秘钥的数量;依据第二子秘钥的数量和预设密钥份额,确定是否对第一成员节点认证成功。
例如,预设密钥份额为K,K为大于或等于1的整数,并且K小于移动计算资源池中的成员节点的数量。当确定第一成员节点接收到的第二子秘钥的数量大于或等于K时,确定对第一成员节点认证成功;否则,当确定第一成员节点接收到的第二子秘钥的数量小于K时,确定对第一成员节点认证失败。
在本实施例中,通过依据第一成员节点的接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;使第一成员节点能够接收到各个第二成员节点发送的第二子秘钥。从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;该待验证签名证书可表征第一成员节点接收到的第二子秘钥的数量,依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功,不仅实现了对第一成员节点的认证,也保护了第一成员节点的隐私。通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
在一些具体实现中,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功的步骤之后,还包括:
步骤S150,在确定对第一成员节点认证成功的情况下,更新移动边缘计算池中的成员数量。
例如,移动边缘计算池中原有成员节点的数量为N,当确定对第一成员节点认证成功时,第一成员节点可正常接入到移动边缘计算池中,此时,移动边缘计算池中的成员数量为N+1,N为大于或等于1的整数。
步骤S160,依据更新后的移动边缘计算池中的成员数量,生成认证密钥,认证密钥包括第一子秘钥。
其中,认证密钥是能够是成员节点成功接入移动边缘计算池的密钥,第一子秘钥是根据预设算法对认证密钥进行划分所获得的子秘钥,移动边缘计算池中的每个成员节点都会拥有一份第一子秘钥。
步骤S170,发送认证密钥至区块链网络中。
例如,将认证密钥拆分成N份,使第一成员节点和移动边缘计算池中的其他成员节点都获得一份第一子秘钥,避免单一节点保存认证密钥而导致密钥的不安全的问题。
在本实施例中,通过更新移动边缘计算池中的成员数量,依据更新后的移动边缘计算池中的成员数量,生成认证密钥,并发送认证密钥至区块链网络中,保证移动边缘计算池中的每个成员都能够获得更新后的第一子秘钥,保证移动边缘计算池的安全性。
图2示出本申请又一实施例中的认证方法的流程示意图。该认证方法可应用于第二成员节点。如图2所示,该认证方法包括:
步骤S210,从区块链网络中,获取第一成员节点的接入请求。
步骤S220,依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中。
步骤S230,从区块链网络中,获取第一成员节点反馈的第二认证广播消息。
步骤S240,依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。
需要说明的是,本实施例中的步骤S210~步骤S240,与上一实施例中的步骤S110~步骤S140相同,在此不再赘述。
步骤S250,在确定对第一成员节点认证失败的情况下,将第一成员节点加入黑名单。
其中,黑名单中保存有认证失败的成员节点的身份证书,以使这些认证失败的成员节点无法再接入到移动边缘计算池中,保证移动边缘计算池的安全性。
在一些具体实现中,将第一成员节点加入黑名单,包括:对第一成员节点的身份信息进行哈希运算,生成第一成员节点哈希值;将第一成员节点哈希值和第一时间戳,加入黑名单中。
例如,把任意长度的第一成员节点的身份信息通过散列算法变换成固定长度的输出信息,该输出信息即为第一成员节点哈希值。然后将第一成员节点哈希值和第一时间戳,加入黑名单中,在保证第一成员节点的身份信息的安全性的同时,避免第一成员节点再次请求接入到移动边缘计算池中,保证移动边缘计算池的安全性。
在本实施例中,通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性。将第一成员节点加入黑名单,避免第一成员节点再次请求接入到移动边缘计算池中,保证移动边缘计算池的安全性。
图3示出本申请再一实施例中的认证方法的流程示意图。该认证方法可应用于第一成员节点。如图3所示,该认证方法包括:
步骤310,从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥。
其中,第二子秘钥是移动边缘计算池中的各个第二成员节点依据移动边缘计算池中现有成员节点的数量,对移动边缘计算池的认证密钥进行计算,获得的子秘钥。例如,移动边缘计算池中现有成员节点的数量为N,N为大于或等于1,则将移动边缘计算池的认证密钥平均划分为N等份,则每一等份即为第二子秘钥。
在一些具体实现中,从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥,包括:从区块链网络中,获取各个第二成员节点发送的第一认证广播消息;对各个第一认证广播消息进行解析,获得各个第二子秘钥。
通过接收各个第二成员节点发送的第二子秘钥,可依次获得移动边缘计算池的认证密钥的多份第二子秘钥。获得的第二子秘钥的数量越多,能够被成功验证的概率越大。
步骤320,依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书。
其中,待验证签名证书是对多份第二子秘钥进行合成处理,生成的证书。例如,预设子秘钥份额门限值为K,接收到的各个第二成员节点发送的第二子秘钥的数量为M,当M大于或等于K时,可将这M个第二子秘钥进行组合,生成待验证签名证书。
步骤330,依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中。
当区块链网络中的各个第二成员节点获取到第二认证广播消息时,可分别对当前节点进行验证,以确定当前节点是否认证成功。通过多个第二成员节点对当前节点进行同步验证,加快对当前节点的验证速度,保证当前节点能够快速的接入到区块链网络中。
在本实施例中,通过依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书,使第一成员节点在获得预设数量的第二子秘钥时,能够恢复出完整的移动边缘计算池的签名证书(即待验证签名证书),并依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
图4示出本申请实施例中的第二成员节点服务器的组成方框图。如图4所示,该第二成员节点服务器包括:第一获取模块401,用于从区块链网络中,获取第一成员节点的接入请求;第一处理模块402,用于依据接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;第二获取模块403,用于从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;认证模块404,用于依据预设密钥份额对待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功。
在本实施方式中,通过第一处理模块依据第一成员节点的接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至区块链网络中;使第一成员节点能够接收到各个第二成员节点发送的第二子秘钥。使用第二获取模块从区块链网络中,获取第一成员节点反馈的第二认证广播消息,第二认证广播消息包括待验证签名证书;该待验证签名证书可表征第一成员节点接收到的第二子秘钥的数量,使用认证模块依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对第一成员节点认证成功,不仅实现了对第一成员节点的认证,也保护了第一成员节点的隐私。通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
图5示出本申请实施例中的第一成员节点服务器的组成方框图。如图5所示,该第一成员节点服务器包括:第三获取模块501,用于从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥;待验证签名证书生成模块502,用于依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书;第二处理模块503,用于依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中,以使各个第二成员节点对当前节点进行验证,以确定当前节点是否认证成功。
在本实施方式中,通过待验证签名证书生成模块依据预设算法对各个第二子秘钥进行处理,生成待验证签名证书,使第一成员节点在获得预设数量的第二子秘钥时,能够恢复出完整的移动边缘计算池的签名证书(即待验证签名证书),并通过第二处理模块依据待验证签名证书,生成并发送第二认证广播消息至区块链网络中,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本申请的创新部分,本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
图6示出本申请实施例中的认证系统中的第二成员节点服务器对新加入的第一成员节点服务器进行认证的方法的流程示意图。
其中,该认证系统可应用于基于区块链网络的移动边缘计算池。认证系统包括第一成员节点服务器610和N个第二成员节点服务器620,其中,N为大于或等于1的整数。该认证系统中的各个成员节点服务器之间通过区块链网络进行交互通信。每个第二成员节点服务器620在对新加入的第一成员节点服务器610进行认证的方法相同。如图6所示,第二成员节点服务器620对新加入的第一成员节点服务器610进行认证方法包括如下步骤:
步骤S601,第一成员节点依据第一成员节点服务器610的位置信息、第一成员节点服务器610的身份信息和第一时间戳,生成接入请求,并采用自己的私钥对该接入请求进行加密,生成并发送加密后的接入请求至区块链网络中,以使移动边缘计算池中的各个成员节点(例如,第二成员节点服务器620)获取到该接入请求。
例如,第一成员节点服务器610的身份信息是国家权威机构为每一台设备颁发的可以证明其身份的身份证书Cerf。该身份证书Cerf可以包括设备的国际移动设备识别码(International Mobile Equipment Identity,IMEI)和身份证书Cerf的有效期。具体地,可将该身份证书Cerf进行加密后存放在设备(例如,第一成员节点服务器610)中。
步骤S602,当第二成员节点服务器620从区块链网络中,获取到第一成员节点服务器610发送的接入请求后,先对该接入请求的私钥进行验证,待验证通过后,获得第一成员节点服务器610的位置信息、第一成员节点服务器610的身份信息和第一时间戳。验证第一成员节点服务器610的身份信息是否合法,并判断其位置信息是否在允许加入移动边缘计算池的范围之内,同时,验证第一时间戳与当前时间的差值是否在预设时间间隔之内。当以上验证均通过时,第二成员节点服务器620利用通过门限密码共享方法生成第二子秘钥。
其中,门限密码共享方法是多台第二成员节点服务器620共享移动边缘池的认证密钥的方法,避免单一成员节点保证认证密钥所带来的密钥的不安全性。
其中,每个第二成员节点服务器620都可知当前移动边缘计算池中具体有多少个成员节点,例如,当前移动边缘计算池中有N个成员节点(不包括新接入的第一成员节点服务器610),即密钥份额为N,N为大于或等于1的整数。通过N个第二子秘钥可还原成有效证书,使用该有效证书可成功接入到移动边缘计算池中。
由于随时会有新的成员节点要求加入移动边缘计算池,或移动边缘计算池中的成员节点要求退出,为了确保在对各个成员节点的认证过程中的前向安全性和后向安全性,移动边缘计算池的认证密钥会动态更新。
步骤S603,第二成员节点服务器620采用签名公钥对第一成员节点服务器610的身份证书Cerf进行签名,依据签名公钥、签名后的身份证书Cerf和第二子秘钥,生成并发送第一认证广播消息至区块链网络中。
步骤S604,第一成员节点服务器610从区块链网络中接收到第一认证广播消息,通过消息解析,获得签名公钥、签名后的身份证书Cerf和第二子秘钥,使用签名公钥对签名后的身份证书Cerf和第二子秘钥进行验证,以判断身份证书Cerf和第二子秘钥的有效性。如果身份证书Cerf无效,则请求对应的第二成员节点服务器620重新发送身份证书Cerf和第二子秘钥。
步骤S605,当第一成员节点服务器610从区块链网络中,获取到多个第二成员节点服务器620发送的第二子秘钥时,在验证这些第二子秘钥的有效性之后,第一成员节点服务器610按照预设算法将多个第二子秘钥进行合成,生成待验证签名证书。依据待验证签名证书和第二时间戳,生成并发送第二认证广播消息至区块链网络中。
需要说明的是,第一成员节点服务器610在不知道移动边缘计算池中的原有成员的数量的情况下,通过接收到的各个第二成员节点服务器620发送的第二子秘钥,计算并生成待验证签名证书。
步骤S606,移动边缘计算池中的各个成员节点(例如,第二成员节点服务器620)接收到第一成员节点服务器610发送的第二认证广播消息,会先对第二认证广播消息进行解析,获得待验证签名证书和第二时间戳,并对第二时间戳进行校验,在验证通过时,使用移动边缘计算池的认证公钥对待验证签名证书的有效性进行验证。
预设门限值为K,当接收到的各个第二成员节点服务器620发送的第二子秘钥的数量小于K时,确定对待验证签名证书验证失败;当接收到的各个第二成员节点服务器620发送的第二子秘钥的数量大于或等于K时,确定对待验证签名证书验证成功。
需要说明的是,在对待验证签名证书验证通过(即确定对第一成员节点服务器610认证成功)的情况下,执行步骤S607;否则,执行步骤S608。
步骤S607,允许第一成员节点服务器610加入移动边缘计算池。同时,第二成员节点服务器620根据门限动态选取算法,计算获得新的门限值,利用认证密钥动态更新算法更新第二成员节点服务器620的子密钥份额为N+1,并依据子密钥份额(N+1)生成新的认证密钥。
其中,新的认证密钥包括第一子秘钥,每个成员节点都会保存有对应的第一子秘钥。
需要说明的是,因第一成员节点服务器610已成功加入至移动边缘计算池,此时的移动边缘计算池中的成员节点的数量为N+1。
步骤S608,将第一成员节点服务器610的身份证书Cerf加入黑名单中。
其中,黑名单包括:第一成员节点服务器610的身份证书Cerf的哈希值和第一时间戳。
例如,可对第一成员节点服务器610的身份证书Cerf进行哈希运算,获得身份证书Cerf的哈希值,并将该哈希值保存至黑名单中。
在本实施例中,通过移动计算资源池中的每一个成员都具备部分用于用户接入认证的认证密钥,只有获得一定数量的部分签名证书的用户才能得出完整的移动边缘计算池的签名证书,从而实现对申请接入移动边缘计算池的用户的分布式认证。通过多个成员节点进行联合认证,可以在中心认证节点出现故障的情况下,仍能够对新接入的成员节点的认证,提高系统的安全性,有利于移动边缘计算的发展。
可以理解的是,以上实施方式仅仅是为了说明本申请的原理而采用的示例性实施方式,然而本申请并不局限于此。对于本领域内的普通技术人员而言,在不脱离本申请的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本申请的保护范围。
Claims (12)
1.一种认证方法,其特征在于,所述方法包括:
从区块链网络中,获取第一成员节点的接入请求;
依据所述接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至所述区块链网络中;
从所述区块链网络中,获取第一成员节点反馈的第二认证广播消息,所述第二认证广播消息包括待验证签名证书;
依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对所述第一成员节点认证成功。
2.根据权利要求1所述的方法,其特征在于,所述依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对所述第一成员节点认证成功,包括:
对所述待验证签名证书解析,获得所述第一成员节点接收到的第二子秘钥的数量;
依据所述第二子秘钥的数量和所述预设密钥份额,确定是否对所述第一成员节点认证成功。
3.根据权利要求1所述的方法,其特征在于,所述依据所述接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至所述区块链网络中,包括:
对所述接入请求进行解析,获得所述第一成员节点的位置信息、所述第一成员节点的身份信息和第一时间戳;
对所述位置信息、所述身份信息和所述第一时间戳进行验证,获得初步验证结果;
依据所述初步验证结果,判断所述第一成员节点是否为合法成员;
在确定所述第一成员节点为合法成员的情况下,依据所述身份信息和所述第二子秘钥,生成并发送所述第一认证广播消息至所述区块链网络中。
4.根据权利要求3所述的方法,其特征在于,所述对所述位置信息、所述身份信息和所述第一时间戳进行验证,获得初步验证结果,包括:
验证所述身份信息的合法性,获得第一验证结果;
依据所述位置信息,判断所述第一成员节点是否处于预设位置范围内,获得第二验证结果;
计算所述第一时间戳与当前时间点的差值,并判断所述差值是否在预设时段内,获得第三验证结果;
依据所述第一验证结果、所述第二验证结果和所述第三验证结果,确定所述初步验证结果。
5.根据权利要求4所述的方法,其特征在于,所述依据所述初步验证结果,判断所述第一成员节点是否为合法成员,包括:
在确定所述初步验证结果为所述第一成员节点身份合法、所述第一成员节点处于所述预设位置范围内,且,所述差值在预设时段内的情况下,确定所述第一成员节点为所述合法成员;
否则,确定所述第一成员节点为非法成员。
6.根据权利要求3所述的方法,其特征在于,所述依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对所述第一成员节点认证成功的步骤之后,还包括:
在确定对所述第一成员节点认证失败的情况下,将所述第一成员节点加入黑名单。
7.根据权利要求6所述的方法,其特征在于,所述将所述第一成员节点加入黑名单,包括:
对所述第一成员节点的身份信息进行哈希运算,生成第一成员节点哈希值;
将所述第一成员节点哈希值和所述第一时间戳,加入所述黑名单中。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对所述第一成员节点认证成功的步骤之后,还包括:
在确定对所述第一成员节点认证成功的情况下,更新移动边缘计算池中的成员数量;
依据更新后的所述移动边缘计算池中的成员数量,生成认证密钥,所述认证密钥包括第一子秘钥;
发送所述认证密钥至所述区块链网络中,以使所述第一成员节点和所述移动边缘计算池中的其他成员节点获得各个节点对应的所述第一子秘钥。
9.一种认证方法,其特征在于,所述方法包括:
从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥;
依据预设算法对各个所述第二子秘钥进行处理,生成待验证签名证书;
依据所述待验证签名证书,生成并发送第二认证广播消息至所述区块链网络中,以使各个所述第二成员节点对当前节点进行验证,以确定当前节点是否认证成功。
10.根据权利要求9所述的方法,其特征在于,所述从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥,包括:
从所述区块链网络中,获取各个所述第二成员节点发送的第一认证广播消息;
对各个所述第一认证广播消息进行解析,获得各个所述第二子秘钥。
11.一种第二成员节点服务器,其特征在于,其包括:
第一获取模块,用于从区块链网络中,获取第一成员节点的接入请求;
第一处理模块,用于依据所述接入请求和当前成员节点的第二子秘钥,生成并发送第一认证广播消息至所述区块链网络中;
第二获取模块,用于从所述区块链网络中,获取第一成员节点反馈的第二认证广播消息,所述第二认证广播消息包括待验证签名证书;
认证模块,用于依据预设密钥份额对所述待验证签名证书的有效性进行验证,确定是否对所述第一成员节点认证成功。
12.一种第一成员节点服务器,其特征在于,其包括:
第三获取模块,用于从区块链网络中,获取移动边缘计算池中的各个第二成员节点发送的第二子秘钥;
待验证签名证书生成模块,用于依据预设算法对各个所述第二子秘钥进行处理,生成待验证签名证书;
第二处理模块,用于依据所述待验证签名证书,生成并发送第二认证广播消息至所述区块链网络中,以使各个所述第二成员节点对当前节点进行验证,以确定当前节点是否认证成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011480109.1A CN112637298B (zh) | 2020-12-15 | 2020-12-15 | 认证方法和成员节点 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011480109.1A CN112637298B (zh) | 2020-12-15 | 2020-12-15 | 认证方法和成员节点 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637298A true CN112637298A (zh) | 2021-04-09 |
CN112637298B CN112637298B (zh) | 2022-03-04 |
Family
ID=75313197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011480109.1A Active CN112637298B (zh) | 2020-12-15 | 2020-12-15 | 认证方法和成员节点 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637298B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113316144A (zh) * | 2021-05-21 | 2021-08-27 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入设备及终端设备 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180103013A1 (en) * | 2016-10-11 | 2018-04-12 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
CN108173882A (zh) * | 2018-03-01 | 2018-06-15 | 北京科技大学 | 基于aes算法的边缘计算节点身份认证方法 |
CN108881253A (zh) * | 2018-06-29 | 2018-11-23 | 全链通有限公司 | 区块链实名参与方法和系统 |
CN108876374A (zh) * | 2018-06-29 | 2018-11-23 | 全链通有限公司 | 区块链的网络身份证件认证方法和系统 |
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
US20190158594A1 (en) * | 2017-11-20 | 2019-05-23 | Moshe Shadmon | System and apparatus to manage data using a peer-to-peer network and the blockchain |
CN111464311A (zh) * | 2020-03-30 | 2020-07-28 | 中科边缘智慧信息科技(苏州)有限公司 | 一种机固多节点一体授权管理的方法 |
CN111541724A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及其节点自动加入方法、装置 |
CN111565169A (zh) * | 2020-03-19 | 2020-08-21 | 北京邮电大学 | 一种移动边缘计算架构下云边端认证方法 |
CN111600719A (zh) * | 2020-05-18 | 2020-08-28 | 计雄昆 | 基于三方认证的电子数据可证可信系统与展示平台 |
CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
CN111970299A (zh) * | 2020-08-26 | 2020-11-20 | 上海和数软件有限公司 | 基于区块链的分布式物联网设备身份认证装置和方法 |
CN112039872A (zh) * | 2020-08-28 | 2020-12-04 | 武汉见邦融智科技有限公司 | 基于区块链的跨域匿名认证方法及系统 |
-
2020
- 2020-12-15 CN CN202011480109.1A patent/CN112637298B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180103013A1 (en) * | 2016-10-11 | 2018-04-12 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
US20190158594A1 (en) * | 2017-11-20 | 2019-05-23 | Moshe Shadmon | System and apparatus to manage data using a peer-to-peer network and the blockchain |
CN108173882A (zh) * | 2018-03-01 | 2018-06-15 | 北京科技大学 | 基于aes算法的边缘计算节点身份认证方法 |
CN108881253A (zh) * | 2018-06-29 | 2018-11-23 | 全链通有限公司 | 区块链实名参与方法和系统 |
CN108876374A (zh) * | 2018-06-29 | 2018-11-23 | 全链通有限公司 | 区块链的网络身份证件认证方法和系统 |
CN109495516A (zh) * | 2019-01-07 | 2019-03-19 | 国网江苏省电力有限公司无锡供电分公司 | 基于区块链的电力物联网终端接入方法 |
CN111565169A (zh) * | 2020-03-19 | 2020-08-21 | 北京邮电大学 | 一种移动边缘计算架构下云边端认证方法 |
CN111464311A (zh) * | 2020-03-30 | 2020-07-28 | 中科边缘智慧信息科技(苏州)有限公司 | 一种机固多节点一体授权管理的方法 |
CN111600719A (zh) * | 2020-05-18 | 2020-08-28 | 计雄昆 | 基于三方认证的电子数据可证可信系统与展示平台 |
CN111541724A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及其节点自动加入方法、装置 |
CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
CN111970299A (zh) * | 2020-08-26 | 2020-11-20 | 上海和数软件有限公司 | 基于区块链的分布式物联网设备身份认证装置和方法 |
CN112039872A (zh) * | 2020-08-28 | 2020-12-04 | 武汉见邦融智科技有限公司 | 基于区块链的跨域匿名认证方法及系统 |
Non-Patent Citations (2)
Title |
---|
SHEHZAD ASHRAF CHAUDHRY; HOSAM ALHAKAMI; ABDULLAH BAZ; FADI AL-T: "Securing Demand Response Management: A Certificate-Based Access Control in Smart Grid Edge Computing Infrastructure", 《IEEE ACCESS》 * |
郭仲勇; 刘扬; 张宏元; 刘帅洲: "基于零信任架构的IoT设备身份认证机制研究", 《信息技术与网络安全》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113316144A (zh) * | 2021-05-21 | 2021-08-27 | 中国联合网络通信集团有限公司 | 无线网络接入方法、无线接入设备及终端设备 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
CN117880800B (zh) * | 2024-03-12 | 2024-05-28 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112637298B (zh) | 2022-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wazid et al. | AKM-IoV: Authenticated key management protocol in fog computing-based Internet of vehicles deployment | |
CN111355745B (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
JP4709815B2 (ja) | 認証方法および装置 | |
CN111355726B (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
CN111246481B (zh) | 微基站认证方法、终端 | |
CN111182545B (zh) | 微基站认证方法、终端 | |
CN112637298B (zh) | 认证方法和成员节点 | |
CN110662091B (zh) | 第三方直播视频接入方法、存储介质、电子设备及系统 | |
CN111246474B (zh) | 一种基站认证方法及装置 | |
CN111683090A (zh) | 一种基于分布式存储的区块链数字签名方法及装置 | |
US20110093705A1 (en) | Method, device, and system for registering user generated content | |
CN114338242A (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
CN110719167B (zh) | 一种基于区块链的带时效性的签密方法 | |
CN116318739B (zh) | 一种电子数据交换方法及系统 | |
CN114584975B (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 | |
US11658955B1 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
US11743035B2 (en) | Methods, mediums, and systems for verifying devices in an encrypted messaging system | |
KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
CN111800791A (zh) | 认证方法及核心网设备、终端 | |
Bojanova et al. | Cryptography classes in bugs framework (BF): Encryption bugs (ENC), verification bugs (VRF), and key management bugs (KMN) | |
Tan et al. | A secure cloud-assisted certificateless group authentication scheme for VANETs in big data environment | |
CN117421782B (zh) | 一种档案签名、完整性检测、追踪方法和装置 | |
CN116506104B (zh) | 基于跨链区块链的不同部门信息安全交互的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |