CN113873508A - 基于用户双公私钥的边缘计算双向认证方法及系统 - Google Patents
基于用户双公私钥的边缘计算双向认证方法及系统 Download PDFInfo
- Publication number
- CN113873508A CN113873508A CN202111114896.2A CN202111114896A CN113873508A CN 113873508 A CN113873508 A CN 113873508A CN 202111114896 A CN202111114896 A CN 202111114896A CN 113873508 A CN113873508 A CN 113873508A
- Authority
- CN
- China
- Prior art keywords
- user
- mobile
- edge computing
- mec
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000002457 bidirectional effect Effects 0.000 title claims abstract description 26
- 238000004364 calculation method Methods 0.000 claims abstract description 34
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000005516 engineering process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006854 communication Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
基于用户双公私钥的边缘计算双向认证方法及系统,其方法包括:1,注册中心RC将公共参数和自己的公钥公开;2,移动边缘计算服务器MEC向RC进行注册;3,移动用户U向RC进行注册;4,U将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;5,MEC将服务器端时间戳和服务器端令牌发送给移U;6,U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;7,MEC验证U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。本发明提出的认证方法在认证过程中不需要引入额外的可信第三方实体,与同类协议相比,计算效率有非常明显的优势。
Description
技术领域
本发明涉及移动通信技术中的边缘计算领域,具体涉及基于用户双公私钥的边缘计算双向认证方法及系统。
背景技术
随着边缘计算技术的不断发展,业界提出了多种满足不同应用场景的技术架构,包括移动边缘计算(MEC)、雾计算(FC)和微云(Cloudlet)等。其中,MEC主要应用于移动通信业务场景,通过在不同位置大量部署移动边缘计算服务器(例如5G基础设施),向移动用户提供无线接入、网关、路由等服务。在MEC架构下,移动用户可以使用智能手机、平板、笔记本电脑等边缘终端(Edge Device)接入与其物理位置最为接近的移动边缘计算服务器(MECServer),并请求实时数据处理和位置服务等计算任务。
然而,虽然MEC具有移动性强、低时延、位置感知等优势,其安全性面临着严峻的挑战普遍不具备完善的数据安全隐私保护能力,同时去中心化的服务架构和部署环境使系统的整体安全防护难度大幅增加;同时计算耗损非常高,无法直接应用于资源受限的移动终端。因此,边缘终端容易受到多种网络攻击威胁,包括中间人攻击、重放攻击、网络监听攻击、追溯攻击等。另外,MEC的通信过程中还面临着网络嗅探、流量分析、数据篡改等隐私泄漏风险。
近年来学术界针对移动边缘的身份认证问题已经展开了深入的研究,并形成了丰富的研究成果。然而目前大多数移动边缘计算场景下的身份认证协议都基于较为复杂的密码学工具构建,例如双线性配对,其计算复杂度较高,不适用于计算资源受限的移动智能设备。同时,一些协议为了减少计算代价和带宽需求,牺牲了部分安全性,导致协议无法抵抗多种攻击威胁。
发明内容
为解决现有技术中存在的不足,本发明的目的在于,提供一种基于用户双公私钥的边缘计算双向认证方法及系统。
本发明采用如下的技术方案:
一种基于用户双公私钥的边缘计算双向认证方法,包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给MEC;
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及移动用户的匿名身份SIDu,并发送给U;
步骤4,移动用户U生成当前移动用户U用户端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前移动边缘计算服务器MEC服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给移动用户U;
步骤6,移动用户U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。
在步骤1中,公共参数包括加法循环群G、阶为q的椭圆曲线E、生成元P和哈希函数H;
公钥的计算方法为:pkrc=skrcP。
步骤2包括以下内容:
步骤2.1,移动边缘计算服务器MEC将自己的唯一身份标识符IDmec发送给注册中心RC。
步骤2.3,注册中心RC将(s,S)发送给MEC。
步骤2.4,移动边缘计算服务器MEC秘密保存自己的私钥s,并公开自己公钥S和唯一身份标识符IDmec。
步骤3包括以下内容:
步骤3.1,移动用户U将自己的唯一身份标识符IDu发送给RC;
步骤3.4,注册中心RC将(u1,u2,U1,U2,SIDu)发送给U;
步骤3.5,移动用户U秘密保存私钥u1和u2,并公开公钥U1和U2以及匿名身份SIDu。
步骤4包括以下内容:
步骤4.1,移动用户U选择距离其最近的MEC,并获取该移动边缘计算服务器MEC的唯一身份标识符IDmec和公钥S;
步骤4.3,移动用户U使用移动边缘计算服务器MEC的公钥S计算第二中间变量R'=rS;
步骤4.4,移动用户U生成时间戳T1,并使用自己的匿名身份SIDu计算用户端第一令牌τ;
步骤4.5,移动用户U将(τ,T1,R)发送给移动边缘计算服务器MEC。
步骤5包括以下内容:
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法;
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR;
步骤5.4,移动边缘计算服务器MEC根据移动用户U的匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2;
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算M=sU1;
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α;
步骤5.7,移动边缘计算服务器MEC将(T2,α)发送给U。
步骤6包括以下内容:
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法;
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S;
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4;
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S;
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N);
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
步骤7包括以下内容:
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法。
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2。
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
本发明还公开了一种基于用户双公私钥的边缘计算双向认证方法的系统,所述系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块;
注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
本发明的有益效果在于,与现有技术相比,
1、本发明提出的认证方法无需使用双线性配对等复杂的密码学运算,并且在认证过程中不需要引入额外的可信第三方实体,与同类协议相比,计算效率有非常明显的优势,能够实现终端和服务器之间的高效双向认证,适用于计算资源受限的移动终端设备;
2、在安全性方面,本发明提出的认证流程在能够抵抗中间人攻击、重放攻击等攻击方法的同时满足不可追溯性,与计算效率相同或相似的认证方式相比,本发明的安全性更强。
附图说明
图1为本发明移动边缘计算双向认证系统的架构图;
图2为本发明服务器MEC注册的流程图;
图3为本发明用户U注册的流程图;
图4为本发明服务器MEC和用户U的双向认证流程图。
具体实施方式
下面结合附图对本申请作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本申请的保护范围。
图2至图4为本发明服务器注册、用户注册以及服务器与用户的双向认证流程图,具体包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
公共参数包括加法循环群G、阶为q的椭圆曲线E、生成元P和哈希函数H;
其中,生成元P是椭圆曲线E中的一个点,通过椭圆曲线E获得;加法循环群G则是计算跟P相关的加法和乘法时所使用的参数;
所选哈希函数H可为SM3或SHA-256;
公钥的计算方法为:pkrc=skrcP。
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给移动边缘计算服务器MEC;
步骤2.1,移动边缘计算服务器MEC将自己的唯一身份标识符IDmec发送给RC。
步骤2.3,注册中心RC将(s,S)发送给移动边缘计算服务器MEC。
步骤2.4,移动边缘计算服务器MEC秘密保存自己的私钥s,并公开自己公钥S和唯一身份标识符IDmec。
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及用户的匿名身份SIDu,并发送给U;
步骤3.1,移动用户U将自己的唯一身份标识符IDu发送给注册中心RC。
步骤3.4,注册中心RC将(u1,u2,U1,U2,SIDu)发送给移动用户U。
步骤3.5,移动用户U秘密保存私钥u1和u2,并公开公钥U1和U2以及匿名身份SIDu。
步骤4,移动用户U生成当前移动用户U用户端端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤4.1,U选择距离其最近的移动边缘计算服务器MEC,并获取该移动边缘计算服务器MEC的唯一身份标识符IDmec和公钥S。
步骤4.3,移动用户U使用移动边缘计算服务器MEC的公钥S计算第二中间变量R'=rS。
步骤4.5,U将(τ,T1,R)发送给移动边缘计算服务器MEC。
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给U;
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法。
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR。
步骤5.4,移动边缘计算服务器MEC根据匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2。
因为每个用户在注册后,都会公开其匿名身份SIDu和公钥U1和U2,而SIDu本身具有唯一性,因此只要MEC获得了SIDu,那么就能在公共信息中找到SIDu对应的U1和U2。
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算第四中间变量M=sU1。
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α=H(T2||M),||表示比特串连接。
步骤5.7,移动边缘计算服务器MEC将服务器端时间戳T2和服务器端令牌α发送给移动用户U。
步骤6,移动用户U验证移动边缘计算服务器MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给移动边缘计算服务器MEC;
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法。
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S。
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4。
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S。
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N)。
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败;
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法。
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2。
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
表1为本发明所公开移动边缘计算双向认证方法所涉及的参数;
表1
本发明还公开了基于移动边缘计算双向认证方法的双向认证系统,如图1所示,该双向认证系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块;
注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。
Claims (10)
1.基于用户双公私钥的边缘计算双向认证方法,其特征在于,所述边缘计算双向认证方法包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给MEC;
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及移动用户的匿名身份SIDu,并发送给U;
步骤4,移动用户U生成当前移动用户U用户端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前移动边缘计算服务器MEC服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给移动用户U;
步骤6,移动用户U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。
7.根据权利要求5所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤5包括以下内容:
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法;
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR;
步骤5.4,移动边缘计算服务器MEC根据移动用户U的匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2;
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算M=sU1;
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α;
步骤5.7,移动边缘计算服务器MEC将(T2,α)发送给U。
8.根据权利要求7所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤6包括以下内容:
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法;
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S;
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4;
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S;
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N);
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
9.根据权利要求8所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤7包括以下内容:
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法;
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2;
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
10.根据权利要求1-9任意一项权利要求所述的基于用户双公私钥的边缘计算双向认证方法的系统,所述系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块,其特征在于:
所述注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
所述移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
所述移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111114896.2A CN113873508B (zh) | 2021-09-23 | 2021-09-23 | 基于用户双公私钥的边缘计算双向认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111114896.2A CN113873508B (zh) | 2021-09-23 | 2021-09-23 | 基于用户双公私钥的边缘计算双向认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113873508A true CN113873508A (zh) | 2021-12-31 |
CN113873508B CN113873508B (zh) | 2024-02-23 |
Family
ID=78993546
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111114896.2A Active CN113873508B (zh) | 2021-09-23 | 2021-09-23 | 基于用户双公私钥的边缘计算双向认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113873508B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640997A (zh) * | 2022-03-30 | 2022-06-17 | 国网智能电网研究院有限公司 | 一种电力5g边缘云身份认证系统及方法 |
CN114900288A (zh) * | 2022-05-23 | 2022-08-12 | 科大天工智能装备技术(天津)有限公司 | 一种基于边缘服务的工业环境认证方法 |
CN116614807A (zh) * | 2023-07-20 | 2023-08-18 | 山东科技大学 | 无线局域网与多接入边缘计算的轻量级认证密钥交换方法 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147472A (zh) * | 2019-12-23 | 2020-05-12 | 全球能源互联网研究院有限公司 | 一种边缘计算场景下的智能电表轻量级认证方法及系统 |
WO2020133655A1 (zh) * | 2018-12-26 | 2020-07-02 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
CN111565169A (zh) * | 2020-03-19 | 2020-08-21 | 北京邮电大学 | 一种移动边缘计算架构下云边端认证方法 |
CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
WO2021167417A1 (en) * | 2020-02-20 | 2021-08-26 | Samsung Electronics Co., Ltd. | Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services |
-
2021
- 2021-09-23 CN CN202111114896.2A patent/CN113873508B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020133655A1 (zh) * | 2018-12-26 | 2020-07-02 | 中国科学院沈阳自动化研究所 | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 |
CN111147472A (zh) * | 2019-12-23 | 2020-05-12 | 全球能源互联网研究院有限公司 | 一种边缘计算场景下的智能电表轻量级认证方法及系统 |
WO2021167417A1 (en) * | 2020-02-20 | 2021-08-26 | Samsung Electronics Co., Ltd. | Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services |
CN111565169A (zh) * | 2020-03-19 | 2020-08-21 | 北京邮电大学 | 一种移动边缘计算架构下云边端认证方法 |
CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640997A (zh) * | 2022-03-30 | 2022-06-17 | 国网智能电网研究院有限公司 | 一种电力5g边缘云身份认证系统及方法 |
CN114900288A (zh) * | 2022-05-23 | 2022-08-12 | 科大天工智能装备技术(天津)有限公司 | 一种基于边缘服务的工业环境认证方法 |
CN114900288B (zh) * | 2022-05-23 | 2023-08-25 | 北京科技大学 | 一种基于边缘服务的工业环境认证方法 |
CN116614807A (zh) * | 2023-07-20 | 2023-08-18 | 山东科技大学 | 无线局域网与多接入边缘计算的轻量级认证密钥交换方法 |
CN116614807B (zh) * | 2023-07-20 | 2023-10-13 | 山东科技大学 | 无线局域网与多接入边缘计算的轻量级认证密钥交换方法 |
CN117880800A (zh) * | 2024-03-12 | 2024-04-12 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
CN117880800B (zh) * | 2024-03-12 | 2024-05-28 | 华东交通大学 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113873508B (zh) | 2024-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113873508B (zh) | 基于用户双公私钥的边缘计算双向认证方法及系统 | |
CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
KR101486782B1 (ko) | 무한 중첩된 해시 체인들에 의한 1회용 패스워드 인증 | |
Yu et al. | SLAP-IoD: Secure and lightweight authentication protocol using physical unclonable functions for internet of drones in smart city environments | |
CN112039872A (zh) | 基于区块链的跨域匿名认证方法及系统 | |
Xu et al. | An anonymous handover authentication scheme based on LTE-A for vehicular networks | |
CN112039660B (zh) | 一种物联网节点群组身份安全认证方法 | |
Khan et al. | Authentication and secure communication in GSM, GPRS, and UMTS using asymmetric cryptography | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
Mishra et al. | A pairing-free identity based authentication framework for cloud computing | |
Liu et al. | A new authentication and key agreement protocol for 5G wireless networks | |
Zhang et al. | A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment | |
Nikooghadam et al. | A provably secure ECC-based roaming authentication scheme for global mobility networks | |
Hussain et al. | Simple and secure device authentication mechanism for smart environments using Internet of things devices | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN113411801B (zh) | 一种基于身份签密的移动终端认证方法 | |
CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及系统 | |
Weimerskirch et al. | Identity certified authentication for ad-hoc networks | |
CN111541668A (zh) | 一种基于区块链的能源物联网信息安全传输与存储方法 | |
Atheeq et al. | Mutually authenticated key agreement protocol based on chaos theory in integration of internet and MANET | |
Yan et al. | A certificateless efficient and secure group handover authentication protocol in 5G enabled vehicular networks | |
Wu et al. | Efficient authentication for Internet of Things devices in information management systems | |
Nyangaresi et al. | Anonymity preserving lightweight authentication protocol for resource-limited wireless sensor networks | |
Xu et al. | GAKAV: Group authentication and key agreement for LTE/LTE-A vehicular networks | |
CN113438650B (zh) | 基于区块链的网络设备认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |