CN112822675A - 面向MEC环境的基于OAuth2.0的单点登录机制 - Google Patents

Abstract

随着5G网络的飞速发展，传统云计算已无法满足边缘设备在计算分析、资源处理等方面的需求。因此，多接入边缘计算MEC(Multi‑Access Edge Computing)被提出。MEC技术具有开放性特点，其方便了各类服务运营商基于用户业务需求进行第三方应用的开发与部署。然而，这也使得存储在该环境下的资源数据不可避免地受到一些安全与隐私威胁。因此为确保MEC内隐私数据的安全性，本发明提出了面向MEC环境的基于OAuth2.0的单点登录机制。该机制(1)实现了面向MEC环境的用户身份认证与授权，通过对用户身份信息的真实性验证以及对该身份访问权限的授权，确保MEC内资源数据的安全性；(2)实现了统一认证，有效减少用户重复的注册流程，提升用户体验，同时降低服务运营商对账户信息的管理成本。

Description

面向MEC环境的基于OAuth2.0的单点登录机制

技术领域

本发明属于网络空间安全领域，尤其涉及一种统一认证与授权机制。

背景技术

目前，5G的快速发展带来了数据传输带宽、时延，应用和服务性能等方面的新需求，不同于传统云计算把计算能力、存储能力和网络管理集中化处理，MEC为移动网络边缘提供IT服务环境和云计算能力，通过在移动网络边缘执行部分缓存与计算来降低传输时延，最终可以实现毫秒级应用。但随着MEC技术的不断引入，云数据中心的计算能力下沉到网络边缘的同时，也意味着部署于MEC环境下的应用服务被暴露在不安全的环境中，存在于MEC中的用户敏感数据面临极大的安全性和隐私性挑战。此外，由于用户对多种应用的需求，重复的注册过程不仅不利于用户使用体验，降低服务提供效率，同时也增加了MEC系统对用户认证信息的管理成本。因此，MEC的安全性以及针对用户的统一认证技术越来越受到人们的重视。

MEC在提供各类应用服务时，首先应确保服务提供的安全性，其中用户身份与第三方应用的认证管理、用户敏感信息的隐私保护是非常重要的安全需求。

首先，每个通过MEC系统访问应用服务的用户都应进行认证，从而保证用户其声明信息的正确性，同时确定访问权限。此外，为确保用户隐私数据的安全性，利用授权方式实现第三方应用获取MEC系统内的资源数据，在不暴露用户隐私信息的前提下实现受保护资源的安全共享。

其次，MEC系统中，不同的MEC主机可以由多个供应商进行部署，存在于MEC应用上的第三方应用服务多种多样，因此需要认证应用的合法性。并且，用户为访问资源服务而分别进行不同应用的注册，其过程重复繁琐。所以，为简化账户信息管理，提升用户体验，MEC系统需要对用户进行统一认证，实现单点登录。

基于上述需求，实现单点登录的身份认证技术可以分为以下几种。它们分别是：Kerberos协议，其利用授权服务器验证用户身份并发放票据完成用户认证，但目前不适用于海量用户的密钥管理；SAML2.0协议，适用于多信任域中用户身份认证与授权，其功能强大，但协议本身较为复杂；OpenID协议，通过请求令牌和访问令牌来实现单点登录，目前应用范围较小，且身份提供者跟踪用户访问容易实现；OAuth2.0协议，允许应用可以使用访问令牌向用户资源所有者申请获取资源，应用广泛，尽管该协议在客户端密钥、访问令牌的存储等方面存在有安全漏洞，但其具有可扩展性和模块化等突出优势。因此，我们选择使用OAuth2.0协议进行扩展，在确保其应用的安全性前提下，实现面向MEC环境的单点登录。

我们的目标是在用户访问MEC系统内的资源服务时，验证其身份的真实性，确保用户敏感信息的机密性与完整性，并实现MEC环境下的用户统一身份认证与授权。

发明内容

本发明的目的是，为MEC系统提供一种基于OAuth2.0的统一身份认证与授权机制，在验证用户身份真实有效的前提下，实现应用通过用户授权方式获取MEC主机内的资源数据，避免账户信息的泄露，对用户数据进行隐私保护。

本发明的又一目的是，为MEC系统提供一种基于OAuth2.0的统一身份认证与授权机制，实现单点登录，避免用户通过第三方应用访问MEC资源服务时，进行重复注册与验证过程，降低服务提供商对应用系统的维护成本。

为达到上述目的，本发明采用如下的技术手段：

面向MEC环境的基于OAuth2.0的单点登录机制，系统模型包含实体信息如下：

其中主要包含五类实体，分别是移动边缘编排器MEO(Mobile EdgeOrchestrator)、移动边缘平台管理器MEPM(Mobile Edge Platform Manager)、MEC主机(MEC Host)、第三方应用客户端、LDAP服务器。

移动边缘编排器MEO(Mobile Edge Orchestrator)：MEO处理来自于用户的认证与授权请求，触发MEC应用的实例化与终止。

移动边缘平台管理器MEPM(Mobile Edge Platform Manager)：MEPM包含有MEC应用的创建、终止、认证管理等功能。

MEC主机(MEC Host)：MEC主机包含有移动边缘平台MEP(Mobile Edge Platform)、MEC应用(MEC Application)、虚拟化基础设施三部分。MEP为MEC应用提供运行环境；MEC应用是虚拟化应用程序，通过开放式应用程序编程接口与第三方应用实现对接，从而为用户提供各类服务；虚拟化基础设施提供底层的硬件计算与存储，从而运行多个MEC应用。

第三方应用客户端：第三方根据业务需求设计应用程序，实现与用户的直接交互；接收用户访问MEC应用的请求，检查请求的完整性和授权信息；

LDAP服务器：用于发送轻量级目录访问协议请求，处理查询和更新访问控制列表，并返回用户信息。

面向MEC环境基于OAuth2.0的单点登录实现机制，包括以下步骤：

·应用注册

在注册阶段，应用客户端与MEC主机协商会话密钥，为之后对用户进行统一认证与授权过程提供SSL加密信道，保证数据传输的安全性，它主要执行下列操作：

-证书颁发机构利用自身私钥对客户端/服务器的加密算法、公钥、证书到期时间等信息进行加密，从而生成数字证书分别发送给客户端和MEC主机；

-客户端将选择自身支持的SSL版本、加密算法、MAC算法等，同时附加一个客户端随机数发送给MEC主机；

-服务器确认支持的加密算法，并将包含自身公钥、颁发机构等信息的数字证书与MEC主机随机数一同发送给客户端；

-客户端在完成针对数字证书可靠性的检验后，生成一串随机数密码，通过使用解密出服务器公钥加密新生成的随机数密码并发送给MEC主机；

-MEC主机利用私钥解密出密码，客户端与MEC主机利用协商的加密算法对之前各自生成的随机数与新得到的密码进行计算，从而生成会话密钥，以此来加密之后的通信内容。

·认证与授权

认证与授权阶段包含两部分，分别为用户首次通过第三方应用1访问MEC系统内的资源服务，以及用户第二次通过受信任应用2访问MEC系统服务。

认证部分，即用户首次登录过程执行下列操作：

-用户首次登录应用1向MEC系统提出资源访问请求时，应用发现其未登录状态，之后发送携带有用户名/密码的认证请求到MEO；

-MEO会部署一个LDAP服务器用于集中式的用户管理，认证，MEO根据用户信息从LDAP服务器中查询访问控制列表ACL(Access Control List)；

-MEO通过获取用户名口令查验用户身份，验证成功后保存登录状态；

-MEO发送授权信息给用户，用户同意授权后，MEO将携带有应用身份标识App_id、重定向地址、响应类型、访问权限、状态随机数state、时间戳等参数发送给MEPM；

-MEPM确认应用为受信任实体，之后发送授权码给应用，并携带有随机数、时间戳参数；

-应用将授权码、App_id、应用密钥App_secret、随机数、时间戳一并发送到MEPM，申请换取访问令牌；

-MEPM利用App_secret对访问令牌进行加密并返回给应用，同时还将携带有刷新令牌用于后续更新过程；

-应用本地存储令牌，之后针对MEC系统的每一次资源请求都会携带访问令牌，MEPM查验令牌的有效性，有效即返回用户资源数据。

授权部分，即用户第二次登录过程执行下列操作：

-与首次登录应用1的用户不同，用户在访问应用2时，应用将携带访问令牌发送到MEO；

-MEO通过查验数据库中用户登录状态，以确定是否需要重新身份验证。如果用户的登录状态确认为有效，跳转至MEPM检验访问令牌的有效性；

-MEPM确认访问令牌有效后，直接返回MEC内用户信息数据；

-若MEPM判断访问令牌失效，则会返回授权页面给用户，用户需要重新确认授权但无需再次登录认证；

-用户确认授权后，应用2发送App_id、由App_secret加密后的刷新令牌、随机数、时间戳等参数到MEPM；

-MEPM根据刷新令牌更新访问令牌并返回；

-应用2利用新的访问令牌请求获取MEC主机中的资源数据。

本发明的有益效果在于：

(1)本发明为MEC环境提供了一种基于OAuth2.0的统一认证与授权机制，确保存储于MEC系统内资源数据的安全性；

(2)实施了本发明的方法，可以实现单点登录，当用户访问多个部署于MEC应用上的第三方服务时，只需认证一次，即可访问其他受信任应用，减少不必要的重复注册与认证过程；

(3)实施了本发明的方法，可以保护用户隐私信息，实现应用通过授权方式获取MEC系统内的资源数据，减少账户等敏感信息的传输，避免数据泄露；

(4)本发明的方法通过采用统一认证机制来简化所有供应商对用户账户信息的管理，降低应用系统维护成本。

附图说明

图1是系统架构的示意图；

图2是系统认证与授权阶段用户首次登录的示意图；

图3是系统认证与授权阶段用户第二次登录的示意图。

具体实施方式

以下结合附图对本发明进行详细说明。

如图1所示，本发明实施例的单点登录系统包含有以下实体：

用户终端，用户通过终端设备访问第三方应用，从而满足相应业务需求；

第三方应用，服务提供商通过开放式接口，将其部署于MEC平台中，为用户提供业务服务，接收用户的账户名、密码等身份信息，并帮助其完成登录、授权操作；

移动边缘编排器MEO，处理来自于用户的认证与授权请求，验证通过后向MEPM发送申请令牌请求；

LDAP服务器，用于用户信息的快速查询，获取访问控制权限，帮助完成用户身份认证；

MEC主机，用于提供底层受保护资源数据，其又包含移动边缘平台MEP、MEC应用与虚拟化基础设施三部分，MEP为MEC应用提供运行环境，MEC应用是虚拟化应用程序，通过开放式应用程序编程接口与第三方应用实现对接，从而为用户提供各类服务，虚拟化基础设施提供底层的硬件计算与存储，从而运行多个MEC应用；

移动边缘平台管理器MEPM，管理MEC应用的创建、终止与认证过程，验证应用的合法性，完成令牌的创建、更新等操作。

本发明实施例的单点登录机制包括：

A、为利用MEC平台资源，与MEC应用进行对接的第三方客户端进行应用注册过程，客户端与MEC主机协商会话密钥，建立SSL加密信道；

B、用户通过账户名、密码信息完成登录操作，MEPM根据用户访问权限生成并返回令牌，允许第三方应用1访问MEC系统内的资源服务；

C、用户在访问受信任的应用2时，应用将携带访问令牌，MEPM通过验证令牌有效性，授权应用2获取MEC内的资源数据。

步骤A中，构建SSL通信信道的具体过程如下：

步骤1，证书颁发机构利用自身私钥对客户端/服务器的加密算法、公钥、证书到期时间等信息进行加密，从而生成数字证书分别发送给应用客户端和MEC主机；

步骤2，应用客户端选择自身支持的SSL版本、加密算法、MAC算法等，同时附加一个应用自身的随机数发送给MEC主机；

步骤3，MEC主机确认支持的加密算法，并将包含自身公钥、颁发机构等信息的数字证书与MEC主机随机数一同发送给客户端；

步骤4，客户端验证数字证书的可靠性，验证成功后，生成一串随机数密码，通过使用解密出服务器公钥加密新生成的随机数密码并发送给MEC主机；

步骤5，MEC主机利用私钥解密出密码，客户端与MEC主机利用协商的加密算法对之前各自生成的随机数与新得到的密码进行计算，从而生成会话密钥，至此加密信道构建完成。

步骤B如图2所示，本发明实施例以一个用户首先访问应用1的登录为例，对单点登录机制进行具体说明。某一个用户对应的用户信息包含用户名User、密码Password，某一个应用对应的应用信息包含应用标识符App_id、应用密钥App_secret、重定向地址redirect_uri、响应类型response_type、授权范围scope、应用状态随机数state、时间戳timestamp、授权码code、凭证类型grant_type、访问令牌access_token、更新令牌refresh_token、令牌到期时间expires_in。具体步骤如下：

步骤1，用户以用户名User、密码Password登录到应用1，认证请求通过应用发送至MEO；

步骤2，MEO侧部署有LDAP服务器，MEO通过查询访问控制列表获取用户名密码查验用户身份，当认证成功后保存登录状态，执行步骤3，否则登录失败；

步骤3，MEO发送授权信息给用户，用户同意授权后，MEO将携带应用1的信息参数发送至MEPM；

步骤4，MEPM验证应用1为受信任实体，根据用户与应用信息生成授权码并返回，同时携带随机数、时间戳参数保证授权码的机密性与完整性；

步骤5，应用将授权码与自身参数一并发送到MEPM，申请换取访问令牌；

步骤6，MEPM利用应用密钥对访问令牌与刷新令牌进行加密并返回；

步骤7，应用本地存储令牌，之后针对MEC系统的每一次资源请求都会携带访问令牌，MEPM认证令牌有效后，返回受保护数据。

步骤C如图3所示，用户通过受信任应用2访问MEC系统服务，具体步骤如下：

步骤1，用户请求应用2服务时，应用将携带访问令牌发送到MEO；

步骤2，MEO通过查验数据库验证用户登录状态，若用户的登录状态确认为有效，执行步骤3，否则重新登录；

步骤3，MEO将访问令牌发送至MEPM，MEPM确认令牌有效后，直接返回MEC内用户信息数据，否则执行步骤4；

步骤4，MEPM返回授权页面给用户，用户查看后，需要重新确认授权但无需再次登录认证，若同意授权，则执行步骤5，否则授权失败；

步骤5，应用2发送由App_secret加密后的刷新令牌、自身信息、随机数、时间戳等参数到MEPM；

步骤6，MEPM根据刷新令牌更新访问令牌并返回；

步骤7，应用2利用新的访问令牌请求获取MEC主机中的资源数据，至此授权过程完成。

需要说明的是，本发明不仅限于上述实施例，本发明的保护范围由所附的权利要求来确定，基于本发明的精神和范围的技术方案及其改进，均应涵盖在本发明的权利要求范围中。

Claims (2)

1.面向MEC环境的基于OAuth2.0的单点登录机制的系统框架如图1所示，其中包含五类实体，分别是移动边缘编排器MEO(Mobile Edge Orchestrator)、移动边缘平台管理器MEPM(Mobile Edge Platform Manager)、MEC主机(MEC Host)、第三方应用客户端、LDAP服务器；

移动边缘编排器MEO(Mobile Edge Orchestrator)：MEO处理来自于用户的认证与授权请求，触发MEC应用的实例化与终止；

移动边缘平台管理器MEPM(Mobile Edge Platform Manager)：MEPM包含MEC应用的创建、终止、认证管理等功能；

MEC主机(MEC Host)：MEC主机包含有移动边缘平台MEP(Mobile Edge Platform)、MEC应用(MEC Application)、虚拟化基础设施三部分；MEP为MEC应用提供运行环境，MEC应用是虚拟化应用程序，通过开放式应用程序编程接口与第三方应用实现对接，从而为用户提供各类服务，虚拟化基础设施提供底层的硬件计算与存储，从而运行多个MEC应用；

第三方应用客户端：第三方根据业务需求设计应用程序，实现与用户的直接交互，并且接收用户访问MEC应用的请求，检查请求的完整性和授权信息；

LDAP服务器：用于发送轻量级目录访问协议请求，处理查询和更新访问控制列表，并返回用户信息。

2.如权利要求1所述的模型，其特征在于，在MEC环境下实现一种基于OAuth2.0的单点登录机制，包括以下步骤：

·应用注册

在注册阶段，应用客户端与MEC主机协商会话密钥，为之后对用户进行统一认证与授权过程提供SSL加密信道，保证数据传输的安全性，它主要执行下列操作：

-证书颁发机构利用自身私钥对客户端/服务器的加密算法、公钥、证书到期时间等信息进行加密，从而生成数字证书分别发送给客户端和MEC主机；

-客户端将选择自身支持的SSL版本、加密算法、MAC算法等，同时附加一个客户端随机数发送给MEC主机；

-服务器确认支持的加密算法，并将包含自身公钥、颁发机构等信息的数字证书与MEC主机随机数一同发送给客户端；

-客户端在完成针对数字证书可靠性的检验后，生成一串随机数密码，通过使用解密出服务器公钥加密新生成的随机数密码并发送给MEC主机；

-MEC主机利用私钥解密出密码，客户端与MEC主机利用协商的加密算法对之前各自生成的随机数与新得到的密码进行计算，从而生成会话密钥，以此来加密之后的通信内容；

·认证与授权

认证与授权阶段包含两部分，分别为用户首次通过第三方应用1访问MEC系统内的资源服务，以及用户第二次通过受信任应用2访问MEC系统服务；

认证部分，即用户首次登录过程执行下列操作：

-用户首次登录应用1向MEC系统提出资源访问请求时，应用发现其未登录状态，之后发送携带有用户名/密码的认证请求到MEO；

-MEO会部署一个LDAP服务器用于集中式的用户管理，认证，MEO根据用户信息从LDAP服务器中查询访问控制列表ACL(Access Control List),通过获取用户名口令查验用户身份，验证成功后保存登录状态；

-MEO发送授权信息给用户，用户同意授权后，MEO将携带有应用身份标识App_id、重定向地址、响应类型、访问权限、状态随机数state、时间戳等参数发送给MEPM；

-MEPM确认应用为受信任实体，之后发送授权码给应用，并携带有随机数、时间戳参数；

-应用将授权码、App_id、应用密钥App_secret、随机数、时间戳一并发送到MEPM，申请换取访问令牌；

-MEPM利用App_secret对访问令牌进行加密并返回给应用，同时还将携带有刷新令牌用于后续更新过程；

-应用本地存储令牌，之后针对MEC系统的每一次资源请求都会携带访问令牌，MEPM查验令牌的有效性，有效即返回用户资源数据；

授权部分，即用户第二次登录过程执行下列操作：

-与首次登录应用1的用户不同，用户在访问应用2时，应用将携带访问令牌发送到MEO；

-MEO通过查验数据库中用户登录状态，以确定是否需要重新身份验证。如果用户的登录状态确认为有效，跳转至MEPM检验访问令牌的有效性；

-MEPM确认访问令牌有效后，直接返回MEC内用户信息数据；

-若MEPM判断访问令牌失效，则会返回授权页面给用户，用户需要重新确认授权但无需再次登录认证；

-用户确认授权后，应用2发送App_id、由App_secret加密后的刷新令牌、随机数、时间戳等参数到MEPM；

-MEPM根据刷新令牌更新访问令牌并返回；

-应用2利用新的访问令牌请求获取MEC主机中的资源数据。

Images