CN112865974A - 一种基于边缘计算接入设备的安全防护系统 - Google Patents

一种基于边缘计算接入设备的安全防护系统 Download PDF

Info

Publication number
CN112865974A
CN112865974A CN202110072240.2A CN202110072240A CN112865974A CN 112865974 A CN112865974 A CN 112865974A CN 202110072240 A CN202110072240 A CN 202110072240A CN 112865974 A CN112865974 A CN 112865974A
Authority
CN
China
Prior art keywords
access
authentication system
adtec
terminal
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110072240.2A
Other languages
English (en)
Inventor
杨雯雯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110072240.2A priority Critical patent/CN112865974A/zh
Publication of CN112865974A publication Critical patent/CN112865974A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及边缘计算接入设备安全防护技术领域,且公开了一种基于边缘计算接入设备的安全防护系统,包括:运行有设备接入认证系统服务端软件的云计算服务器CCSec,运行有设备接入认证系统用户端软件的接入设备终端ADTec;所述接入设备终端ADTec与云计算服务器CCSec进行相互之间的通信连接;当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证;只有接入设备终端ADTec的身份通过了设备接入认证系统服务端的认证,才允许接入设备终端ADTec接入边缘计算架构系统内访问其中的隐私数据。本发明解决了如何阻止未经授权的非法攻击者假冒合法终端接入边缘计算架构系统内的技术问题。

Description

一种基于边缘计算接入设备的安全防护系统
技术领域
本发明涉及边缘计算接入设备安全防护技术领域,具体为一种基于边缘计算接入设备的安全防护系统。
背景技术
随着物联网和大数据技术的深入发展和广泛应用,越来越多的行业被驱动创新,出现了智慧交通、智慧医疗、智慧校园等一系列的惠民应用。然而,随着接人网络的设备数量激增,网络中传输的数据也在呈几何式增长,传统的云计算中心已无法满足低时延、密集化的网络接人和服务需求。因此,在网络边缘利用分散的计算、存储资源,执行数据分布式处理任务,缓解云计算中心的负载,将成为物联网发展的关键。边缘计算正是为满足这种计算需求而被提出,是在靠近物或数据源头的网络边缘侧,融合网络、计算、存储、应用核心能力的分布式开放平台,就近提供边缘智能服务,满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。边缘计算将云计算的服务资源扩展到了网络的边缘,解决了云计算中心计算负载过重、网络传输带宽压力过大、网络传输时延过高等问题,是连接物理世界和数字世界的媒介。
边缘计算作为一种新型的计算架构,已逐步渗透到各个领域,在我们生活中扮演越来越重要的角色,但是边缘计算的安全问题,尤其是物理对象的接入安全还未得到有效改善,一旦被黑客利用,就可能泄露我们的隐私信息。因此,边缘计算的安全问题亟待解决。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供一种基于边缘计算接入设备的安全防护系统,以解决如何阻止未经授权的非法攻击者假冒合法终端接入边缘计算架构系统内的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种基于边缘计算接入设备的安全防护系统,包括:运行有设备接入认证系统服务端软件的云计算服务器CCSec,运行有设备接入认证系统用户端软件的接入设备终端ADTec;
所述接入设备终端ADTec与云计算服务器CCSec进行相互之间的通信连接;
所述设备接入认证系统服务端对接入设备终端ADTec的身份认证方法如下:
步骤一,接入设备终端ADTec通过设备接入认证系统用户端在设备接入认证系统服务端上进行用户注册,具体如下:
Step1,设备接入认证系统进行下述初始化操作:
设E为二进制域F2 m上的椭圆曲线;
设备接入认证系统将二进制域F2 m上的椭圆曲线E向接入设备终端ADTec公开;
Step2,接入设备终端ADTec选择椭圆曲线E上的一个基点R,并且选择密钥k,计算公钥Q=kR,并且使Q∈E;
接入设备终端ADTec将基点R和公钥Q向设备接入认证系统公开;
步骤二,当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证,具体如下:
Step1,接入设备终端ADTec随机选取r∈F2 m,计算R1=rR,并且使R1∈E,之后将R1发送给设备接入认证系统;
Step2,设备接入认证系统随机选取b∈F2 m,并将b转化成16进制,之后将将b传送给接入设备终端ADTec;
Step3,接入设备终端ADTec计算S=r+bk,之后将S发送给设备接入认证系统;
Step4,设备接入认证系统验证等式SR=R1+bQ是否成立;
Step5,如果上述等式成立,证明接入设备终端ADTec知道密钥k,则设备接入认证系统通过接入设备终端ADTec的身份认证。
进一步的,所述云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证,只有接入设备终端ADTec的身份通过了设备接入认证系统服务端的认证,才允许接入设备终端ADTec接入边缘计算架构系统内访问其中的隐私数据。
进一步的,所述接入设备终端ADTec部署在边缘计算架构系统内。
进一步的,所述接入设备终端ADTec通过设备接入认证系统用户端与云计算服务器CCSec的设备接入认证系统服务端进行相互之间的通信连接。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明为了阻止未经授权的非法的攻击者假冒接入设备终端ADTec,接入边缘计算架构系统内访问其中的隐私数据,当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证;
由于设备接入认证系统服务端对接入设备终端ADTec的身份认证是零知识性的,即设备接入认证系统不知道任何有关于密钥k的信息,可以防止设备接入认证系统与其他恶意者串通起来仿冒接入设备终端ADTec。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于边缘计算接入设备的安全防护系统,包括:安装并运行有设备接入认证系统服务端软件且部署在远程云端的云计算服务器CCSec,安装并运行有设备接入认证系统用户端软件且部署在边缘计算架构系统内的接入设备终端ADTec;
所述接入设备终端ADTec通过设备接入认证系统用户端与云计算服务器CCSec的设备接入认证系统服务端进行相互之间的通信连接;
为了阻止未经授权的非法的攻击者假冒接入设备终端ADTec,接入边缘计算架构系统内访问其中的隐私数据,当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证;
如果接入设备终端ADTec的身份通过了设备接入认证系统服务端的认证,则允许接入设备终端ADTec接入边缘计算架构系统内访问其中的隐私数据;
如果接入设备终端ADTec的身份未通过设备接入认证系统服务端的认证,则拒绝接入设备终端ADTec接入边缘计算架构系统内访问其中的隐私数据;
所述设备接入认证系统服务端对接入设备终端ADTec的身份认证方法如下:
步骤一,接入设备终端ADTec通过设备接入认证系统用户端在设备接入认证系统服务端上进行用户注册,具体如下:
Step1,设备接入认证系统进行下述初始化操作:
设E为二进制域F2 m上的椭圆曲线;
设备接入认证系统将二进制域F2 m上的椭圆曲线E向接入设备终端ADTec公开;
Step2,接入设备终端ADTec选择椭圆曲线E上的一个基点R,并且选择密钥k,计算公钥Q=kR,并且使Q∈E;
接入设备终端ADTec将基点R和公钥Q向设备接入认证系统公开;
步骤二,当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证,具体如下:
Step1,接入设备终端ADTec随机选取r∈F2 m,计算R1=rR,并且使R1∈E,之后将R1发送给设备接入认证系统;
Step2,设备接入认证系统随机选取b∈F2 m,并将b转化成16进制,之后将将b传送给接入设备终端ADTec;
Step3,接入设备终端ADTec计算S=r+bk,之后将S发送给设备接入认证系统;
Step4,设备接入认证系统验证等式SR=R1+bQ是否成立;
Step5,如果上述等式成立,证明接入设备终端ADTec知道密钥k,则设备接入认证系统通过接入设备终端ADTec的身份认证;
在上述身份认证协议中,即使恶意者截获了步骤Step1中的R1,由于椭圆曲线群上离散对数难问题无法求出r,同样如果截获步骤Step3中的S,也无法求出其中的密钥k,验证完毕后,设备接入认证系统不知道任何有关于密钥k的信息,可以防止设备接入认证系统与其他恶意者串通起来仿冒接入设备终端ADTec。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种基于边缘计算接入设备的安全防护系统,其特征在于,包括:运行有设备接入认证系统服务端软件的云计算服务器CCSec,运行有设备接入认证系统用户端软件的接入设备终端ADTec;
所述接入设备终端ADTec与云计算服务器CCSec进行相互之间的通信连接;
所述设备接入认证系统服务端对接入设备终端ADTec的身份认证方法如下:
步骤一,接入设备终端ADTec通过设备接入认证系统用户端在设备接入认证系统服务端上进行用户注册,具体如下:
Step1,设备接入认证系统进行下述初始化操作:
设E为二进制域F2 m上的椭圆曲线;
设备接入认证系统将二进制域F2 m上的椭圆曲线E向接入设备终端ADTec公开;
Step2,接入设备终端ADTec选择椭圆曲线E上的一个基点R,并且选择密钥k,计算公钥Q=kR,并且使Q∈E;
接入设备终端ADTec将基点R和公钥Q向设备接入认证系统公开;
步骤二,当接入设备终端ADTec请求接入边缘计算架构系统内时,运行在云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证,具体如下:
Step1,接入设备终端ADTec随机选取r∈F2 m,计算R1=rR,并且使R1∈E,之后将R1发送给设备接入认证系统;
Step2,设备接入认证系统随机选取b∈F2 m,并将b转化成16进制,之后将将b传送给接入设备终端ADTec;
Step3,接入设备终端ADTec计算S=r+bk,之后将S发送给设备接入认证系统;
Step4,设备接入认证系统验证等式SR=R1+bQ是否成立;
Step5,如果上述等式成立,则设备接入认证系统通过接入设备终端ADTec的身份认证。
2.根据权利要求1所述的基于边缘计算接入设备的安全防护系统,其特征在于,所述云计算服务器CCSec上的设备接入认证系统服务端对接入设备终端ADTec的身份进行认证,只有接入设备终端ADTec的身份通过了设备接入认证系统服务端的认证,才允许接入设备终端ADTec接入边缘计算架构系统内访问其中的隐私数据。
3.根据权利要求2所述的基于边缘计算接入设备的安全防护系统,其特征在于,所述接入设备终端ADTec部署在边缘计算架构系统内。
4.根据权利要求3所述的基于边缘计算接入设备的安全防护系统,其特征在于,所述接入设备终端ADTec通过设备接入认证系统用户端与云计算服务器CCSec的设备接入认证系统服务端进行相互之间的通信连接。
CN202110072240.2A 2021-01-20 2021-01-20 一种基于边缘计算接入设备的安全防护系统 Pending CN112865974A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110072240.2A CN112865974A (zh) 2021-01-20 2021-01-20 一种基于边缘计算接入设备的安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110072240.2A CN112865974A (zh) 2021-01-20 2021-01-20 一种基于边缘计算接入设备的安全防护系统

Publications (1)

Publication Number Publication Date
CN112865974A true CN112865974A (zh) 2021-05-28

Family

ID=76007465

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110072240.2A Pending CN112865974A (zh) 2021-01-20 2021-01-20 一种基于边缘计算接入设备的安全防护系统

Country Status (1)

Country Link
CN (1) CN112865974A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113361967A (zh) * 2021-07-03 2021-09-07 深圳市泰壹格物信息技术有限公司 一种基于物联网卡的智能终端管理系统
CN113361694A (zh) * 2021-06-30 2021-09-07 哈尔滨工业大学 一种应用差分隐私保护的分层联邦学习方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111031537A (zh) * 2020-01-13 2020-04-17 熊亮 一种防止非法用户接入的无线局域网管理系统
CN111241562A (zh) * 2020-01-13 2020-06-05 汪洵 一种基于微服务架构的进销存管理系统
WO2020133655A1 (zh) * 2018-12-26 2020-07-02 中国科学院沈阳自动化研究所 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN111695147A (zh) * 2020-05-13 2020-09-22 刘中恕 一种基于云存储技术的数据安全管理系统
CN111898114A (zh) * 2020-07-15 2020-11-06 浙江甬恒科技有限公司 一种智能预警式知识产权监控管理平台

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020133655A1 (zh) * 2018-12-26 2020-07-02 中国科学院沈阳自动化研究所 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN111031537A (zh) * 2020-01-13 2020-04-17 熊亮 一种防止非法用户接入的无线局域网管理系统
CN111241562A (zh) * 2020-01-13 2020-06-05 汪洵 一种基于微服务架构的进销存管理系统
CN111695147A (zh) * 2020-05-13 2020-09-22 刘中恕 一种基于云存储技术的数据安全管理系统
CN111898114A (zh) * 2020-07-15 2020-11-06 浙江甬恒科技有限公司 一种智能预警式知识产权监控管理平台

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113361694A (zh) * 2021-06-30 2021-09-07 哈尔滨工业大学 一种应用差分隐私保护的分层联邦学习方法及系统
CN113361694B (zh) * 2021-06-30 2022-03-15 哈尔滨工业大学 一种应用差分隐私保护的分层联邦学习方法及系统
CN113361967A (zh) * 2021-07-03 2021-09-07 深圳市泰壹格物信息技术有限公司 一种基于物联网卡的智能终端管理系统

Similar Documents

Publication Publication Date Title
CN113783871B (zh) 一种采用零信任架构的微隔离防护系统及其防护方法
CN112865974A (zh) 一种基于边缘计算接入设备的安全防护系统
CN115065564B (zh) 一种基于零信任机制的访问控制方法
CN103945330A (zh) 虚拟私有云平台、虚拟私有云安全接入方法和系统
CN111641651B (zh) 一种基于哈希链的访问验证方法及装置
CN111935067A (zh) 一种基于云计算技术的企业用户身份认证系统
CN112887334A (zh) 受限环境下分布式认证方法及系统
CN112968910A (zh) 一种防重放攻击方法和装置
CN114978773A (zh) 一种单包认证方法及系统
CN109040225B (zh) 一种动态端口桌面接入管理方法和系统
CN117176659A (zh) 一种基于零信任环境的负载均衡方法及装置
CN116170806B (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
US7631344B2 (en) Distributed authentication framework stack
CN115665737A (zh) 一种基于零信任架构的物联网终端认证方法
CN115174264A (zh) 一种安全优化的单包认证方法及系统
CN111064731B (zh) 一种浏览器请求的访问权限的识别方法、识别装置及终端
CN116208334A (zh) 身份认证方法、系统和相关设备
CN111600838A (zh) 一种基于网络数据库的权限管理系统
KR20170084778A (ko) 인증된 릴레이 서버를 통한 서버 보호 시스템 및 방법
CN115913696B (zh) 一种虚拟网络零信任访问控制方法、装置、设备及介质
CN111031075B (zh) 网络服务安全访问方法、终端、系统和可读存储介质
CN112887292A (zh) 一种基于dcs的用户接入认证系统
CN117376015A (zh) 一种面向家庭机器人的安全认证方法
CN118523947A (zh) 基于标识公钥的单包认证方法
CN116781382A (zh) 云存储系统的访问方法、装置、电子设备及计算机介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210528

RJ01 Rejection of invention patent application after publication