CN113873508A - 基于用户双公私钥的边缘计算双向认证方法及系统 - Google Patents

基于用户双公私钥的边缘计算双向认证方法及系统 Download PDF

Info

Publication number
CN113873508A
CN113873508A CN202111114896.2A CN202111114896A CN113873508A CN 113873508 A CN113873508 A CN 113873508A CN 202111114896 A CN202111114896 A CN 202111114896A CN 113873508 A CN113873508 A CN 113873508A
Authority
CN
China
Prior art keywords
user
mobile
edge computing
mec
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111114896.2A
Other languages
English (en)
Other versions
CN113873508B (zh
Inventor
李桐
任帅
徐剑
王刚
宋进良
赵海
周小明
雷振江
王磊
李广翱
杨超
陈得丰
杨智斌
耿洪碧
李欢
张彬
范维
佟昊松
孙赫阳
孙茜
王琛
欧阳宇佳
姜力行
赵玲玲
李菁菁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Liaoning Electric Power Co Ltd
Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Liaoning Electric Power Co Ltd
Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Liaoning Electric Power Co Ltd, Electric Power Research Institute of State Grid Liaoning Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202111114896.2A priority Critical patent/CN113873508B/zh
Publication of CN113873508A publication Critical patent/CN113873508A/zh
Application granted granted Critical
Publication of CN113873508B publication Critical patent/CN113873508B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

基于用户双公私钥的边缘计算双向认证方法及系统,其方法包括:1,注册中心RC将公共参数和自己的公钥公开;2,移动边缘计算服务器MEC向RC进行注册;3,移动用户U向RC进行注册;4,U将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;5,MEC将服务器端时间戳和服务器端令牌发送给移U;6,U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;7,MEC验证U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。本发明提出的认证方法在认证过程中不需要引入额外的可信第三方实体,与同类协议相比,计算效率有非常明显的优势。

Description

基于用户双公私钥的边缘计算双向认证方法及系统
技术领域
本发明涉及移动通信技术中的边缘计算领域,具体涉及基于用户双公私钥的边缘计算双向认证方法及系统。
背景技术
随着边缘计算技术的不断发展,业界提出了多种满足不同应用场景的技术架构,包括移动边缘计算(MEC)、雾计算(FC)和微云(Cloudlet)等。其中,MEC主要应用于移动通信业务场景,通过在不同位置大量部署移动边缘计算服务器(例如5G基础设施),向移动用户提供无线接入、网关、路由等服务。在MEC架构下,移动用户可以使用智能手机、平板、笔记本电脑等边缘终端(Edge Device)接入与其物理位置最为接近的移动边缘计算服务器(MECServer),并请求实时数据处理和位置服务等计算任务。
然而,虽然MEC具有移动性强、低时延、位置感知等优势,其安全性面临着严峻的挑战普遍不具备完善的数据安全隐私保护能力,同时去中心化的服务架构和部署环境使系统的整体安全防护难度大幅增加;同时计算耗损非常高,无法直接应用于资源受限的移动终端。因此,边缘终端容易受到多种网络攻击威胁,包括中间人攻击、重放攻击、网络监听攻击、追溯攻击等。另外,MEC的通信过程中还面临着网络嗅探、流量分析、数据篡改等隐私泄漏风险。
近年来学术界针对移动边缘的身份认证问题已经展开了深入的研究,并形成了丰富的研究成果。然而目前大多数移动边缘计算场景下的身份认证协议都基于较为复杂的密码学工具构建,例如双线性配对,其计算复杂度较高,不适用于计算资源受限的移动智能设备。同时,一些协议为了减少计算代价和带宽需求,牺牲了部分安全性,导致协议无法抵抗多种攻击威胁。
发明内容
为解决现有技术中存在的不足,本发明的目的在于,提供一种基于用户双公私钥的边缘计算双向认证方法及系统。
本发明采用如下的技术方案:
一种基于用户双公私钥的边缘计算双向认证方法,包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给MEC;
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及移动用户的匿名身份SIDu,并发送给U;
步骤4,移动用户U生成当前移动用户U用户端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前移动边缘计算服务器MEC服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给移动用户U;
步骤6,移动用户U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。
在步骤1中,公共参数包括加法循环群G、阶为q的椭圆曲线E、生成元P和哈希函数H;
RC的私钥skrc为RC选择的随机数,
Figure BDA0003274921720000021
Figure BDA0003274921720000022
表示{1,2,…,q-1}的整数集合;
公钥的计算方法为:pkrc=skrcP。
步骤2包括以下内容:
步骤2.1,移动边缘计算服务器MEC将自己的唯一身份标识符IDmec发送给注册中心RC。
步骤2.2,注册中心RC选择随机数
Figure BDA0003274921720000023
作为MEC的私钥,并计算S=sP作为移动边缘计算服务器MEC的公钥。
步骤2.3,注册中心RC将(s,S)发送给MEC。
步骤2.4,移动边缘计算服务器MEC秘密保存自己的私钥s,并公开自己公钥S和唯一身份标识符IDmec
步骤3包括以下内容:
步骤3.1,移动用户U将自己的唯一身份标识符IDu发送给RC;
步骤3.2,注册中心RC选择两个随机数
Figure BDA0003274921720000031
作为移动用户U的私钥,并计算U1=u1P和U2=u2P作为移动用户U的公钥;
步骤3.3,注册中心RC选择随机数
Figure BDA0003274921720000032
并计算SIDu=(IDu+rupkrc)mod q作为U的匿名身份;
步骤3.4,注册中心RC将(u1,u2,U1,U2,SIDu)发送给U;
步骤3.5,移动用户U秘密保存私钥u1和u2,并公开公钥U1和U2以及匿名身份SIDu
步骤4包括以下内容:
步骤4.1,移动用户U选择距离其最近的MEC,并获取该移动边缘计算服务器MEC的唯一身份标识符IDmec和公钥S;
步骤4.2,移动用户U选择随机数
Figure BDA0003274921720000033
并计算第一中间变量R=rP;
步骤4.3,移动用户U使用移动边缘计算服务器MEC的公钥S计算第二中间变量R'=rS;
步骤4.4,移动用户U生成时间戳T1,并使用自己的匿名身份SIDu计算用户端第一令牌τ;
步骤4.5,移动用户U将(τ,T1,R)发送给移动边缘计算服务器MEC。
用户端第一令牌的计算方法为
Figure BDA0003274921720000034
Figure BDA0003274921720000035
表示异或。
步骤5包括以下内容:
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法;
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR;
步骤5.3,移动边缘计算服务器MEC通过计算
Figure BDA0003274921720000036
得到移动用户U的匿名身份SIDu
步骤5.4,移动边缘计算服务器MEC根据移动用户U的匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算M=sU1
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α;
步骤5.7,移动边缘计算服务器MEC将(T2,α)发送给U。
步骤6包括以下内容:
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法;
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S;
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4;
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S;
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N);
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
步骤7包括以下内容:
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法。
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
本发明还公开了一种基于用户双公私钥的边缘计算双向认证方法的系统,所述系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块;
注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
本发明的有益效果在于,与现有技术相比,
1、本发明提出的认证方法无需使用双线性配对等复杂的密码学运算,并且在认证过程中不需要引入额外的可信第三方实体,与同类协议相比,计算效率有非常明显的优势,能够实现终端和服务器之间的高效双向认证,适用于计算资源受限的移动终端设备;
2、在安全性方面,本发明提出的认证流程在能够抵抗中间人攻击、重放攻击等攻击方法的同时满足不可追溯性,与计算效率相同或相似的认证方式相比,本发明的安全性更强。
附图说明
图1为本发明移动边缘计算双向认证系统的架构图;
图2为本发明服务器MEC注册的流程图;
图3为本发明用户U注册的流程图;
图4为本发明服务器MEC和用户U的双向认证流程图。
具体实施方式
下面结合附图对本申请作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本申请的保护范围。
图2至图4为本发明服务器注册、用户注册以及服务器与用户的双向认证流程图,具体包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
公共参数包括加法循环群G、阶为q的椭圆曲线E、生成元P和哈希函数H;
其中,生成元P是椭圆曲线E中的一个点,通过椭圆曲线E获得;加法循环群G则是计算跟P相关的加法和乘法时所使用的参数;
所选哈希函数H可为SM3或SHA-256;
注册中心RC的私钥skrc为注册中心RC选择的随机数,
Figure BDA0003274921720000061
Figure BDA0003274921720000062
表示{1,2,…,q-1}的整数集合。
公钥的计算方法为:pkrc=skrcP。
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给移动边缘计算服务器MEC;
步骤2.1,移动边缘计算服务器MEC将自己的唯一身份标识符IDmec发送给RC。
步骤2.2,注册中心RC选择随机数
Figure BDA0003274921720000063
作为移动边缘计算服务器MEC的私钥,并计算S=sP作为移动边缘计算服务器MEC的公钥。
步骤2.3,注册中心RC将(s,S)发送给移动边缘计算服务器MEC。
步骤2.4,移动边缘计算服务器MEC秘密保存自己的私钥s,并公开自己公钥S和唯一身份标识符IDmec
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及用户的匿名身份SIDu,并发送给U;
步骤3.1,移动用户U将自己的唯一身份标识符IDu发送给注册中心RC。
步骤3.2,注册中心RC选择两个随机数
Figure BDA0003274921720000071
作为移动用户U的私钥,并计算U1=u1P和U2=u2P作为移动用户U的公钥。
步骤3.3,注册中心RC选择随机数
Figure BDA0003274921720000072
并计算SIDu=(IDu+rupkrc)mod q作为U的匿名身份。
步骤3.4,注册中心RC将(u1,u2,U1,U2,SIDu)发送给移动用户U。
步骤3.5,移动用户U秘密保存私钥u1和u2,并公开公钥U1和U2以及匿名身份SIDu
步骤4,移动用户U生成当前移动用户U用户端端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤4.1,U选择距离其最近的移动边缘计算服务器MEC,并获取该移动边缘计算服务器MEC的唯一身份标识符IDmec和公钥S。
步骤4.2,移动用户U选择随机数
Figure BDA0003274921720000073
并计算第一中间变量R=rP。
步骤4.3,移动用户U使用移动边缘计算服务器MEC的公钥S计算第二中间变量R'=rS。
步骤4.4,移动用户U生成时间戳T1,并使用自己的匿名身份SIDu计算用户端第一令牌
Figure BDA0003274921720000074
Figure BDA0003274921720000075
表示异或。
步骤4.5,U将(τ,T1,R)发送给移动边缘计算服务器MEC。
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给U;
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法。
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR。
步骤5.3,移动边缘计算服务器MEC通过计算
Figure BDA0003274921720000081
得到移动用户U的匿名身份SIDu
步骤5.4,移动边缘计算服务器MEC根据匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2
因为每个用户在注册后,都会公开其匿名身份SIDu和公钥U1和U2,而SIDu本身具有唯一性,因此只要MEC获得了SIDu,那么就能在公共信息中找到SIDu对应的U1和U2
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算第四中间变量M=sU1
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α=H(T2||M),||表示比特串连接。
步骤5.7,移动边缘计算服务器MEC将服务器端时间戳T2和服务器端令牌α发送给移动用户U。
步骤6,移动用户U验证移动边缘计算服务器MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给移动边缘计算服务器MEC;
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法。
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S。
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4。
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S。
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N)。
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败;
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法。
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
表1为本发明所公开移动边缘计算双向认证方法所涉及的参数;
表1
Figure BDA0003274921720000091
本发明还公开了基于移动边缘计算双向认证方法的双向认证系统,如图1所示,该双向认证系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块;
注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。

Claims (10)

1.基于用户双公私钥的边缘计算双向认证方法,其特征在于,所述边缘计算双向认证方法包括以下步骤:
步骤1,系统初始化,注册中心RC生成系统的公共参数,以及自己的公钥pkrc和私钥skrc,并将公共参数和自己的公钥公开;
步骤2,移动边缘计算服务器MEC向注册中心RC进行注册,注册中心RC生成移动边缘计算服务器MEC的公钥S和私钥s,并发送给MEC;
步骤3,移动用户U向注册中心RC进行注册,注册中心RC生成移动用户U的第一公钥U1与第二公钥U2以及第一私钥u1与第二私钥u2,以及移动用户的匿名身份SIDu,并发送给U;
步骤4,移动用户U生成当前移动用户U用户端第一时间戳T1,计算第一中间变量,并根据自己的匿名身份SIDu、时间戳T1以及移动边缘计算服务器MEC的公钥S生成用户端第一令牌τ,并将用户端第一令牌、第一中间变量以及用户端第一时间戳发送给移动边缘计算服务器MEC;
步骤5,移动边缘计算服务器MEC生成服务器端令牌α和当前移动边缘计算服务器MEC服务器端时间戳T2,并将服务器端时间戳和服务器端令牌发送给移动用户U;
步骤6,移动用户U验证MEC的身份,如果验证通过,生成用户端第二令牌β和用户端第二时间戳T3,并发送给MEC;
步骤7,移动边缘计算服务器MEC验证移动用户U的身份,如果验证通过,则表示移动边缘计算双向认证通过,否则表示认证失败。
2.根据权利要求1所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
在所述步骤1中,公共参数包括加法循环群G、阶为q的椭圆曲线E、生成元P和哈希函数H;
RC的私钥skrc为RC选择的随机数,
Figure FDA0003274921710000011
Figure FDA0003274921710000012
表示{1,2,…,q-1}的整数集合;
公钥的计算方法为:pkrc=skrcP。
3.根据权利要求2所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤2包括以下内容:
步骤2.1,移动边缘计算服务器MEC将自己的唯一身份标识符IDmec发送给注册中心RC;
步骤2.2,注册中心RC选择随机数
Figure FDA0003274921710000021
作为MEC的私钥,并计算S=sP作为移动边缘计算服务器MEC的公钥;
步骤2.3,注册中心RC将(s,S)发送给MEC;
步骤2.4,移动边缘计算服务器MEC秘密保存自己的私钥s,并公开自己公钥S和唯一身份标识符IDmec
4.根据权利要求3所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤3包括以下内容:
步骤3.1,移动用户U将自己的唯一身份标识符IDu发送给RC;
步骤3.2,注册中心RC选择两个随机数
Figure FDA0003274921710000022
作为移动用户U的私钥,并计算U1=u1P和U2=u2P作为移动用户U的公钥;
步骤3.3,注册中心RC选择随机数
Figure FDA0003274921710000023
并计算SIDu=(IDu+rupkrc)mod q作为U的匿名身份;
步骤3.4,注册中心RC将(u1,u2,U1,U2,SIDu)发送给U;
步骤3.5,移动用户U秘密保存私钥u1和u2,并公开公钥U1和U2以及匿名身份SIDu
5.根据权利要求4所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤4包括以下内容:
步骤4.1,移动用户U选择距离其最近的MEC,并获取该移动边缘计算服务器MEC的唯一身份标识符IDmec和公钥S;
步骤4.2,移动用户U选择随机数
Figure FDA0003274921710000024
并计算第一中间变量R=rP;
步骤4.3,移动用户U使用移动边缘计算服务器MEC的公钥S计算第二中间变量R'=rS;
步骤4.4,移动用户U生成时间戳T1,并使用自己的匿名身份SIDu计算用户端第一令牌τ;
步骤4.5,移动用户U将(τ,T1,R)发送给移动边缘计算服务器MEC。
6.根据权利要求5所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述用户端第一令牌的计算方法为
Figure FDA0003274921710000031
Figure FDA0003274921710000032
表示异或。
7.根据权利要求5所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤5包括以下内容:
步骤5.1,移动边缘计算服务器MEC验证用户端第一时间戳T1的有效性,当用户端第一时间戳T1小于所设定用户端第一时间戳阈值时,判定其为有效,进入步骤5.2;否则认证失败,终止该认证方法;
步骤5.2,移动边缘计算服务器MEC计算第三中间变量R*=sR;
步骤5.3,移动边缘计算服务器MEC通过计算
Figure FDA0003274921710000033
得到移动用户U的匿名身份SIDu
步骤5.4,移动边缘计算服务器MEC根据移动用户U的匿名身份SIDu找到移动用户U的第一公钥U1和第二公钥U2
步骤5.5,移动边缘计算服务器MEC使用自己的私钥s和U的第一公钥U1计算M=sU1
步骤5.6,移动边缘计算服务器MEC生成当前服务器端时间戳T2,并计算服务器端令牌α;
步骤5.7,移动边缘计算服务器MEC将(T2,α)发送给U。
8.根据权利要求7所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤6包括以下内容:
步骤6.1,移动用户U验证服务器端时间戳T2的有效性,当服务器端时间戳T2小于所设定服务器端时间戳阈值时,判定其为有效,进入步骤6.2;否则认证失败,终止该认证方法;
步骤6.2,移动用户U使用自己的第一私钥u1和移动边缘计算服务器MEC的公钥S计算第五中间变量M*=u1S;
步骤6.3,移动用户U计算服务器端令牌验证值α*=H(T2||M*),并判断是否α*=α,若不相等,则移动边缘计算服务器MEC身份验证失败,系统终止;若相等,则移动边缘计算服务器MEC身份验证成功,进入步骤6.4;
步骤6.4,移动用户U使用自己的第二私钥u2和移动边缘计算服务器MEC的公钥S计算第六中间变量N=u2S;
步骤6.5,移动用户U生成当前用户端第二时间戳T3,并计算用户端第二令牌β=H(T3||N);
步骤6.6,移动用户U将(T3,β)发送给移动边缘计算服务器MEC。
9.根据权利要求8所述的基于用户双公私钥的边缘计算双向认证方法,其特征在于:
所述步骤7包括以下内容:
步骤7.1,移动边缘计算服务器MEC验证用户端第二时间戳T3的有效性,当用户端第二时间戳T3小于所设定用户端第二时间戳阈值时,判定其为有效,进入步骤7.2;否则认证失败,终止该认证方法;
步骤7.2,移动边缘计算服务器MEC使用自己的密钥s和移动用户U的用户第二公钥U2计算第七中间变量N*=sU2
步骤7.3,移动边缘计算服务器MEC计算β*=H(T3||N*),并判断是否β=β*,若相等表示身份认证成功,双向认证通过;若不相等则表示身份验证失败,双向认证失败。
10.根据权利要求1-9任意一项权利要求所述的基于用户双公私钥的边缘计算双向认证方法的系统,所述系统包括注册中心RC模块、移动边缘计算服务器MEC模块和移动用户U模块,其特征在于:
所述注册中心生模块成所需公共参数以及自己的公钥和私钥,并公开公共参数和自己的公钥;注册中心模块根据移动边缘计算服务器模块的唯一身份标识符生成移动边缘计算服务器模块的公钥和私钥,并将生成的公钥和私钥发送给移动边缘计算服务器模块;注册中心模块根据移动用户模块的唯一身份标识符生成移动用户模块的第一公钥、第二公钥、第一私钥、第二私钥以及移动用户模块的匿名身份,并将这些公钥和私钥和匿名身份发送给移动用户模块;
所述移动边缘计算服务器模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的公钥与私钥,以及移动用户模块生成的用户端第一时间戳以及用户端第一令牌;如果该模块判定用户端第一时间戳有效,则会根据用户端第一令牌生成服务器端令牌和服务器端时间戳并将两者发送至移动用户模块;如果移动用户模块根据服务器端令牌和服务器端时间戳成功验证移动边缘计算服务器的身份,移动边缘计算服务器模块则会接收移动用户模块生成的用户端第二时间戳和用户端第二令牌,以验证移动用户模块的身份,如果验证成功则表明双向认证成功;
所述移动用户模块向注册中心生模块发送自己的唯一身份标识符,并接收自己的第一公钥、第二公钥、第一私钥、第二私钥以及匿名身份,根据自己的匿名身份生成用户端第一令牌并将其与用户端第一时间戳发送给移动边缘计算服务器模块;移动用户模块还会接收移动边缘计算服务器模块生成的服务器端时间戳以及服务器端令牌,并根据这两者验证移动边缘计算服务器模块的身份;如果身份验证成功,则生成用户端第二令牌和用户端第二时间戳并将它们发送给移动边缘计算服务器模块。
CN202111114896.2A 2021-09-23 2021-09-23 基于用户双公私钥的边缘计算双向认证方法及系统 Active CN113873508B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111114896.2A CN113873508B (zh) 2021-09-23 2021-09-23 基于用户双公私钥的边缘计算双向认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111114896.2A CN113873508B (zh) 2021-09-23 2021-09-23 基于用户双公私钥的边缘计算双向认证方法及系统

Publications (2)

Publication Number Publication Date
CN113873508A true CN113873508A (zh) 2021-12-31
CN113873508B CN113873508B (zh) 2024-02-23

Family

ID=78993546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111114896.2A Active CN113873508B (zh) 2021-09-23 2021-09-23 基于用户双公私钥的边缘计算双向认证方法及系统

Country Status (1)

Country Link
CN (1) CN113873508B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640997A (zh) * 2022-03-30 2022-06-17 国网智能电网研究院有限公司 一种电力5g边缘云身份认证系统及方法
CN114900288A (zh) * 2022-05-23 2022-08-12 科大天工智能装备技术(天津)有限公司 一种基于边缘服务的工业环境认证方法
CN116614807A (zh) * 2023-07-20 2023-08-18 山东科技大学 无线局域网与多接入边缘计算的轻量级认证密钥交换方法
CN117880800A (zh) * 2024-03-12 2024-04-12 华东交通大学 边缘计算环境下基于设备距离的匿名认证方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111147472A (zh) * 2019-12-23 2020-05-12 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统
WO2020133655A1 (zh) * 2018-12-26 2020-07-02 中国科学院沈阳自动化研究所 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN111565169A (zh) * 2020-03-19 2020-08-21 北京邮电大学 一种移动边缘计算架构下云边端认证方法
CN111935714A (zh) * 2020-07-13 2020-11-13 兰州理工大学 一种移动边缘计算网络中身份认证方法
WO2021167417A1 (en) * 2020-02-20 2021-08-26 Samsung Electronics Co., Ltd. Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020133655A1 (zh) * 2018-12-26 2020-07-02 中国科学院沈阳自动化研究所 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN111147472A (zh) * 2019-12-23 2020-05-12 全球能源互联网研究院有限公司 一种边缘计算场景下的智能电表轻量级认证方法及系统
WO2021167417A1 (en) * 2020-02-20 2021-08-26 Samsung Electronics Co., Ltd. Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services
CN111565169A (zh) * 2020-03-19 2020-08-21 北京邮电大学 一种移动边缘计算架构下云边端认证方法
CN111935714A (zh) * 2020-07-13 2020-11-13 兰州理工大学 一种移动边缘计算网络中身份认证方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640997A (zh) * 2022-03-30 2022-06-17 国网智能电网研究院有限公司 一种电力5g边缘云身份认证系统及方法
CN114900288A (zh) * 2022-05-23 2022-08-12 科大天工智能装备技术(天津)有限公司 一种基于边缘服务的工业环境认证方法
CN114900288B (zh) * 2022-05-23 2023-08-25 北京科技大学 一种基于边缘服务的工业环境认证方法
CN116614807A (zh) * 2023-07-20 2023-08-18 山东科技大学 无线局域网与多接入边缘计算的轻量级认证密钥交换方法
CN116614807B (zh) * 2023-07-20 2023-10-13 山东科技大学 无线局域网与多接入边缘计算的轻量级认证密钥交换方法
CN117880800A (zh) * 2024-03-12 2024-04-12 华东交通大学 边缘计算环境下基于设备距离的匿名认证方法及系统
CN117880800B (zh) * 2024-03-12 2024-05-28 华东交通大学 边缘计算环境下基于设备距离的匿名认证方法及系统

Also Published As

Publication number Publication date
CN113873508B (zh) 2024-02-23

Similar Documents

Publication Publication Date Title
CN113873508B (zh) 基于用户双公私钥的边缘计算双向认证方法及系统
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
KR101486782B1 (ko) 무한 중첩된 해시 체인들에 의한 1회용 패스워드 인증
Yu et al. SLAP-IoD: Secure and lightweight authentication protocol using physical unclonable functions for internet of drones in smart city environments
CN112039872A (zh) 基于区块链的跨域匿名认证方法及系统
Xu et al. An anonymous handover authentication scheme based on LTE-A for vehicular networks
CN112039660B (zh) 一种物联网节点群组身份安全认证方法
Khan et al. Authentication and secure communication in GSM, GPRS, and UMTS using asymmetric cryptography
CN113572765B (zh) 一种面向资源受限终端的轻量级身份认证密钥协商方法
Mishra et al. A pairing-free identity based authentication framework for cloud computing
Liu et al. A new authentication and key agreement protocol for 5G wireless networks
Zhang et al. A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment
Nikooghadam et al. A provably secure ECC-based roaming authentication scheme for global mobility networks
Hussain et al. Simple and secure device authentication mechanism for smart environments using Internet of things devices
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN113411801B (zh) 一种基于身份签密的移动终端认证方法
CN112333705B (zh) 一种用于5g通信网络的身份认证方法及系统
Weimerskirch et al. Identity certified authentication for ad-hoc networks
CN111541668A (zh) 一种基于区块链的能源物联网信息安全传输与存储方法
Atheeq et al. Mutually authenticated key agreement protocol based on chaos theory in integration of internet and MANET
Yan et al. A certificateless efficient and secure group handover authentication protocol in 5G enabled vehicular networks
Wu et al. Efficient authentication for Internet of Things devices in information management systems
Nyangaresi et al. Anonymity preserving lightweight authentication protocol for resource-limited wireless sensor networks
Xu et al. GAKAV: Group authentication and key agreement for LTE/LTE-A vehicular networks
CN113438650B (zh) 基于区块链的网络设备认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant