CN114050914B - 面向边缘控制器的可撤销轻量级群认证方法、系统和介质 - Google Patents

面向边缘控制器的可撤销轻量级群认证方法、系统和介质 Download PDF

Info

Publication number
CN114050914B
CN114050914B CN202111225104.9A CN202111225104A CN114050914B CN 114050914 B CN114050914 B CN 114050914B CN 202111225104 A CN202111225104 A CN 202111225104A CN 114050914 B CN114050914 B CN 114050914B
Authority
CN
China
Prior art keywords
edge
controller
edge controller
edge server
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111225104.9A
Other languages
English (en)
Other versions
CN114050914A (zh
Inventor
曹忠
陈卓
尚文利
揭海
浣沙
张曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202111225104.9A priority Critical patent/CN114050914B/zh
Publication of CN114050914A publication Critical patent/CN114050914A/zh
Application granted granted Critical
Publication of CN114050914B publication Critical patent/CN114050914B/zh
Priority to US18/048,104 priority patent/US11799843B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种面向边缘控制器的可撤销轻量级群认证方法、系统和介质,可应用于工业互联网信息安全领域。本发明通过在边缘控制器需要注册时,边缘服务器生成该边缘控制器的私钥,并将该私钥发送到边缘控制器,同时将边缘控制器添加到边缘服务器的群列表且边缘服务器更新边缘控制器的证书,并将证书添加到边缘服务器的证书列表以及将证书发送到边缘控制器,使边缘控制器根据更新后的证书更新私钥,接着边缘控制器根据更新后的私钥生成签名,并将签名发送到边缘服务器,使边缘服务器确定签名符合预设要求后,对边缘控制器进行授权,从而提高边缘控制器加入边缘服务器和在边缘服务器进行工作时的安全性和可信度。

Description

面向边缘控制器的可撤销轻量级群认证方法、系统和介质
技术领域
本发明涉及工业互联网信息安全领域,尤其是一种面向边缘控制器的可撤销轻量级群认证方法、系统和介质。
背景技术
相关技术中,工业互联网为工业的数字化、网络化以及智能化的发展与进步提供了实现途径,是第四次工业革命的重要基石。目前工业领域普遍采用的是云计算为核心的传统模式,通过有效地整合各类系统资源,以集中式方式对数据进行存储、管理、分析和挖掘。然而,面对网络边缘侧数据的爆发式增长,传统的云计算模式呈现出明显的不足,具体体现在带宽需求高、能耗需求大、实时性不足、数据传输和存储过程中安全和隐私难以保障。
为了弥补云计算模式的不足,边缘计算应运而生,边缘计算是在网络边缘进行计算的技术,具有高可靠性和低延时的计算优势,能满足未来工业互联网的建设需要。在工业控制领域,随着越来越多的具有计算能力的智能传感器和执行器被应用在工业控制系统中,产生了海量的数据,这些数据用来改进控制工艺,优化生产流程,进而提高生产效率。边缘计算对数据的本地处理能力提出了很高的要求,目前的工业可编程逻辑控制器(Programmable Logic Controller,PLC)无法完成这样的任务。因此,基于边缘计算的智能控制器(简称边缘控制器)应边缘计算的需求而生。边缘控制器可以将PLC控制器、网关、运动控制、I/O数据采集、现场总线协议、机器视觉、设备联网等多领域功能集成于一体,同时实现设备运动控制、数据采集、运算、与边缘服务器连接实现智能产线控制等。显然,边缘控制器已成为边缘计算中的核心组件,其安全和可信运行对边缘计算的推广和发展有着重要的意义和影响。然而,目前的针对性的安全和可信运行机制,在边缘控制器技术中并不适用,从而无法提高边缘控制器的安全性和可信度。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出一种面向边缘控制器的可撤销轻量级群认证方法、系统和介质,能够有效提高边缘控制器的安全性和可信度。
第一方面,本发明实施例提供了一种面向边缘控制器的可撤销轻量级群认证方法,包括以下步骤:
构建边缘服务器的预设系统,并根据所述预设系统的系统参数生成群公钥和所述边缘服务器的第一私钥;
确定接收到边缘控制器向所述边缘服务器发送的注册请求后,所述边缘服务器生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表;
确定所述边缘控制器添加到所述边缘服务器的群列表后,所述边缘服务器更新所述边缘控制器的证书,并将更新后的所述证书添加到所述边缘服务器的证书列表以及将所述证书发送到所述边缘控制器;所述边缘控制器根据更新后的所述证书更新所述第二私钥;
确定所述边缘控制器更新所述第二私钥后,所述边缘控制器根据更新后的所述第二私钥生成签名,并将所述签名发送到所述边缘服务器;所述边缘服务器确定所述签名符合预设要求,对所述边缘控制器进行授权。
在一些实施例中,所述方法还包括:
当确定所述边缘服务器需要查看所述边缘控制器的真实身份,所述边缘服务器通过所述签名追溯所述边缘控制器并查看所述边缘控制器的真实身份;
当确定所述边缘服务器需要撤销所述边缘控制器,所述边缘服务器不向所述边缘控制器发送更新后的证书。
在一些实施例中,所述构建边缘服务器的预设系统,包括:
确定所述边缘服务器选择阶为大素数的第一乘法循环群、第二乘法循环群和第三乘法循环群,以及确定所述第一乘法循环群的第一生成元和所述第二乘法循环群的第二生成元;
确定所述第一乘法循环群和所述第二乘法循环群的同构映射,并根据所述同构映射确定所述第一生成元和所述第二生成元的第一函数;
确定所述第一乘法循环群、所述第二乘法循环群和所述第三乘法循环群的双线性对;
获取第一哈希函数和第二哈希函数,所述第二哈希函数与所述第一乘法循环群相关;
提取第一集合的第一元素和所述第一乘法循环群的第二元素,所述第一集合与所述第一哈希函数相关,所述第二元素关于所述第一元素的第一指数等于预设值;
提取所述第一集合的第三元素,并确定所述第二生成元关于所述第三元素的第二指数;
获取第一时间段,并计算所述第一时间段的第二哈希函数值,以及计算所述第二哈希函数值与所述第一生成元的乘积;
根据所述乘积、所述第二生成元、所述第二元素、所述预设值和所述第二指数生成群公钥;以及根据所述第一元素生成所述边缘服务器的私钥。
在一些实施例中,所述边缘服务器生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表,包括:
提取所述第一集合的第四元素,并计算所述第一生成元关于所述第三元素和所述第四元素的第三指数;
根据所述第四元素和所述第三指数生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表。
在一些实施例中,所述边缘服务器更新所述边缘控制器的证书,并将更新后的所述证书添加到所述边缘服务器的证书列表,包括:
计算所述第二哈希函数值关于所述第三元素和所述第四元素的第四指数,根据所述第四指数更新所述边缘控制器的证书;
将更新后的所述证书添加到所述边缘服务器的证书列表。
在一些实施例中,所述边缘控制器根据更新后的所述第二私钥生成签名,并将所述签名发送到所述边缘服务器;所述边缘服务器确定所述签名符合预设要求,对所述边缘控制器进行授权,包括:
所述边缘控制器根据更新后的所述第二私钥确定第一消息,并根据所述第一消息计算第一挑战值,并输出所述第一消息的签名,将所述签名发送到所述边缘服务器;
所述边缘服务器计算第二挑战值,确定所述第一挑战值和所述第二挑战值相等,接收所述签名,并对所述边缘控制器进行授权。
在一些实施例中,所述边缘服务器通过所述签名追溯所述边缘控制器并查看所述边缘控制器的真实身份,包括:
所述边缘服务器确定所述签名为所述第一消息的有效签名,计算所述签名对应所述边缘控制器的第二私钥;根据所述第二私钥在所述证书列表和所述群列表内查看所述边缘控制器的信息。
在一些实施例中,所述方法还包括:
当确定所述边缘服务器需要撤销所述边缘控制器,在所述证书列表和群列表内删除所述边缘控制器的所有信息。
第二方面,本发明实施例提供了一种面向边缘控制器的可撤销轻量级群认证系统,包括:
至少一个存储器,用于存储程序;
至少一个处理器,用于加载所述程序以执行所述的面向边缘控制器的可撤销轻量级群认证方法。
第三方面,本发明实施例提供了一种存储介质,其中存储有计算机可执行的程序,所述计算机可执行的程序被处理器执行时用于实现所述的面向边缘控制器的可撤销轻量级群认证方法。
本发明实施例提供的一种面向边缘控制器的可撤销轻量级群认证方法,具有如下有益效果:
本实施例通过先生成边缘服务器的预设系统的群公钥和边缘服务器的私钥,接着在边缘控制器需要注册时,边缘服务器生成该边缘控制器的私钥,并将该边缘控制器的私钥发送到边缘控制器,同时将边缘控制器添加到边缘服务器的群列表,同时边缘服务器更新边缘控制器的证书,并将更新后的证书添加到边缘服务器的证书列表以及将证书发送到边缘控制器,使边缘控制器根据更新后的证书更新自己的私钥,接着边缘控制器根据更新后的私钥生成签名,并将签名发送到边缘服务器,使边缘服务器确定签名符合预设要求后,对边缘控制器进行授权。本实施例能在边缘控制器与边缘服务器进行绑定时,通过私钥和证书的生成和更新方式,提高边缘控制器加入边缘服务器和在边缘服务器进行工作时的安全性和可信度。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
下面结合附图和实施例对本发明做进一步的说明,其中:
图1为本发明实施例的一种面向边缘控制器的可撤销轻量级群认证方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,若干的含义是一个以上,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,除非另有明确的限定,设置等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
本发明的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
由于边缘控制器数量众多、种类繁杂,且多数设备的软、硬件资源有限,而目前的安全和可信度运行机制并不是适用于边缘控制器与边缘服务器的运行过程。因此,本实施例提出了一种面向边缘控制器的可撤销轻量级群认证方法、系统和介质,其支持边缘服务器可追溯边缘控制器真实身份,同时保证除了边缘服务器之外的第三方无法得知边缘控制器的身份隐私。本实施例基于私钥与证书更新机制,实现边缘控制器的高效可撤销,被撤销的边缘控制器无法继续访问或上传数据到边缘服务器,保护工业互联网场景中的重要数据与敏感信息。
具体地,参照图1,本发明实施例提供了一种面向边缘控制器的可撤销轻量级群认证方法,包括以下步骤:
S11、构建边缘服务器的预设系统,并根据预设系统的系统参数生成群公钥和边缘服务器的第一私钥。
在本实施例中,通过边缘服务器生成预设系统的系统参数,并根据该系统参数生成群公钥和边缘服务器的私钥,其中,将边缘服务器的私钥作为第一私钥。具体地,预设系统的构建过程可通过以下步骤实现:
确定边缘服务器选择阶为大素数p的第一乘法循环群G1、第二乘法循环群G2和第三乘法循环群GT,以及确定第一乘法循环群G1的第一生成元g1和第二乘法循环群G2的第二生成元g2。然后确定第一乘法循环群G1和第二乘法循环群G2的同构映射ψ:G2→G1,并根据同构映射ψ:G2→G1确定第一生成元g1和第二生成元g2的第一函数g1=ψ(g2),同时确定第一乘法循环群G1、第二乘法循环群G2和第三乘法循环群GT的双线性对e:G1×G2→GT。接着获取两个不同的安全且耐碰撞的哈希函数,其中,第一哈希函数为
Figure BDA0003313929190000061
第二哈希函数为H2:{0,1}*→G1
紧接着提取第一集合
Figure BDA0003313929190000062
的第一元素ξ1和ξ2和第一乘法循环群G1的第二元素u和v,其中,第一集合
Figure BDA0003313929190000063
与第一哈希函数相关,第二元素关于第一元素的第一指数等于预设值h。例如,随机选择
Figure BDA0003313929190000064
选择
Figure BDA0003313929190000065
和u,v∈G1,使得
Figure BDA0003313929190000066
同时提取第一集合
Figure BDA0003313929190000067
的第三元素γ,并确定第二生成元关于第三元素γ的第二指数w。例如,随机选择
Figure BDA0003313929190000068
并且令w=g2 γ。本实施例中需要注意的是γ只允许边缘服务器知道。
获取第一时间段,并计算第一时间段的第二哈希函数值,以及计算第二哈希函数值与第一生成元的乘积。例如,选择时间段Tj(j=1,2,3...)作为第一时间段,并计算Rj=H2(Tj)作为第二哈希函数值,同时计算g1′=g1·Rj作为第二哈希函数值与第一生成元的乘积。再根据乘积g1′、第二生成元g2、第二元素u和v、预设值h和第二指数w生成群公钥;以及根据第一元素ξ1和ξ2生成边缘服务器的私钥。例如,通过gpk=(g1′,g2,u,v,h,w)计算得到群公钥,通过gmsk=(ξ12)计算得到边缘服务器的私钥。
S12、确定接收到边缘控制器向边缘服务器发送的注册请求后,边缘服务器生成边缘控制器的第二私钥,并将第二私钥通过安全信道发送到边缘控制器,同时将边缘控制器添加到边缘服务器的群列表。
在本实施例中,当身份标识符为IDi(i=1,2,3…)的边缘控制器想要加入边缘服务器的群成员时,边缘控制器向边缘服务器发送的注册请求,边缘服务器在接收到注册请求后,生成边缘控制器的私钥,并将该私钥返回到边缘控制器,同时将边缘控制器添加到边缘服务器的群列表。在本步骤中,将边缘控制器的私钥作为第二私钥。具体地,边缘服务器生成边缘控制器的第二私钥,以及将边缘控制器添加到边缘服务器的群列表的步骤,可以通过以下方式实现:
先提取第一集合
Figure BDA0003313929190000069
的第四元素xi,其中,
Figure BDA00033139291900000610
并计算第一生成元g1关于第三元素γ和第四元素xi的第三指数Ai,其中,
Figure BDA00033139291900000611
然后根据第四元素xi和第三指数Ai生成边缘控制器的私钥gsk[i]=(Ai,xi)作为第二私钥,并将第二私钥通过安全信道发送到身份标识符为IDi的边缘控制器,同时将身份标识符为IDi边缘控制器添加到边缘服务器的群列表。
S13、确定边缘控制器添加到边缘服务器的群列表后,边缘服务器更新边缘控制器的证书,并将更新后的证书添加到边缘服务器的证书列表以及将证书发送到边缘控制器;边缘控制器根据更新后的证书更新第二私钥。
在本实施例中,边缘控制器的证书更新和添加到证书列表可通过以下步骤实现:
先计算第二哈希函数值Rj关于第三元素γ和第四元素xi的第四指数rcertj,其中
Figure BDA0003313929190000071
根据第四指数rcertj更新边缘控制器的证书,然后将更新后的证书(Ai′,Tj,rcertj)添加到边缘服务器的证书列表。其中Ai′=Ai·rcertj
例如,在时间段Tj内,边缘控制器i获得其私钥的更新,则边缘服务器计算更新证书
Figure BDA0003313929190000072
并将(Ai′,Tj,rcertj)加入到证书列表C-list中。然后,边缘服务器将更新证书rcertj发送给边缘控制器i,边缘控制器i计算Rj=H2(Tj),并验证等式
Figure BDA0003313929190000073
是否成立,如果该等式成立,那么边缘控制器i更新其私钥为gsk[i]′=(Ai′,xi),其中Ai′=Ai·rcerti;如果等式不成立,边缘控制器i不能更新其私钥。
S14、确定边缘控制器更新第二私钥后,边缘控制器根据更新后的第二私钥生成签名,并将签名发送到边缘服务器;边缘服务器确定签名符合预设要求,对边缘控制器进行授权。
在本实施例中,边缘控制器根据更新后的第二私钥确定第一消息M∈{0,1}*,并根据第一消息M∈{0,1}*计算第一挑战值c=H1(M,T1,T2,T3,R1,R2,R3),并输出第一消息的签名
Figure BDA0003313929190000074
将签名
Figure BDA0003313929190000075
发送到边缘服务器;然后边缘服务器计算第二挑战值c′=H1(M,T1,T2,T3,R1′,R2′,R3′),确定第一挑战值c=H1(M,T1,T2,T3,R1,R2,R3)和第二挑战值c′=H1(M,T1,T2,T3,R1′,R2′,R3′)相等,接收签名,并对边缘控制器进行授权。
具体地,在时间段Tj内,对于群成员私钥为gsk[i]′=(Ai′,xi)的边缘控制器,该签名算法执行以下步骤:
选择消息M∈{0,1}*
随机选择
Figure BDA0003313929190000081
计算δ1=xiα,δ2=xiβ,T1=uα,T2=vβ,T3=Ai′hα+β
随机选择盲化因子
Figure BDA0003313929190000082
计算
Figure BDA0003313929190000083
Figure BDA0003313929190000084
Figure BDA0003313929190000085
然后计算挑战值c=H1(M,T1,T2,T3,R1,R2,R3);
计算:sαβ=rα+rβ+c(α+β),
Figure BDA0003313929190000086
最终输出对消息M的签名为:
Figure BDA0003313929190000087
并把签名σ发送给边缘服务器。
在时间段Tj内,边缘服务器对消息M的签名
Figure BDA0003313929190000088
验证过程如下:
计算R1′、R2′、R3′:其中,
Figure BDA0003313929190000089
Figure BDA00033139291900000810
Figure BDA00033139291900000811
判断c′=H1(M,T1,T2,T3,R1′,R2′,R3′)是否与c相等,若相等,则接收签名,通过认证;否则,拒绝签名,拒绝接入。
在一些实施例中,边缘服务器在对边缘控制器完成认证和接入后,还可以对边缘控制器进行信息查看和撤销。
具体地,当确定边缘服务器需要查看边缘控制器的真实身份,边缘服务器通过签名追溯边缘控制器并查看边缘控制器的真实身份。可以理解的是,边缘服务器确定签名为第一消息的有效签名,计算签名对应边缘控制器的第二私钥;根据第二私钥在证书列表和群列表内查看边缘控制器的信息。
当确定边缘服务器需要撤销边缘控制器,边缘服务器不向边缘控制器发送更新后的证书,同时在证书列表和群列表内删除边缘控制器的所有信息,进而实现群成员的高效可撤销。
例如,假设某个边缘控制器发送的消息M频繁出现错误,或者检测出某个边缘控制器被恶意入侵,边缘服务器就可以利用打开签名来追溯它,进而撤销该边缘控制器。
具体地,边缘服务器利用私钥gmsk=(ξ12)打开消息M的签名
Figure BDA00033139291900000812
的过程如下:
首先验证签名σ是不是消息M的有效签名,若是,则执行下一步;否则,终止。
计算
Figure BDA0003313929190000091
对于在时间段Tj内有效的边缘控制器i,在证书列表C-list中查找其rcertj,然后计算
Figure BDA0003313929190000092
在成员列表M-list中查找Ai,查看边缘控制器的身份标识符IDi,从而就知道了边缘控制器的真实身份。
为了撤销身份标识符为IDi的边缘控制器i,边缘服务器不再为其提供更新证书rcertj,并在证书列表C-list与成员列表M-list中删除此边缘控制器的所有信息,进而实现群成员的高效可撤销。
综上,本实施例具有高效的认证效率,支持边缘服务器追溯边缘控制器真实身份,同时保证除边缘服务器之外的第三方无法得知边缘控制器的身份隐私。同时结合私钥与证书更新机制,在这个机制下可实现边缘控制器的高效可撤销,被撤销的边缘控制器无法继续访问或上传数据到边缘服务器,保护工业控制场景中的重要数据与敏感信息。
本发明实施例提供了一种面向边缘控制器的可撤销轻量级群认证系统,包括:
至少一个存储器,用于存储程序;
至少一个处理器,用于加载所述程序以执行图1所示的面向边缘控制器的可撤销轻量级群认证方法。
本发明方法实施例的内容均适用于本系统实施例,本系统实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
本发明实施例提供了一种存储介质,其中存储有计算机可执行的程序,所述计算机可执行的程序被处理器执行时用于实现图1所示的面向边缘控制器的可撤销轻量级群认证方法。
此外,本发明实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图1所示的面向边缘控制器的可撤销轻量级群认证方法。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在所属技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。此外,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。

Claims (8)

1.一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,包括以下步骤:
根据预设系统的系统参数生成群公钥和所述边缘服务器的第一私钥;
确定接收到边缘控制器向所述边缘服务器发送的注册请求后,所述边缘服务器生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表;
确定所述边缘控制器添加到所述边缘服务器的群列表后,所述边缘服务器更新所述边缘控制器的证书,并将更新后的所述证书添加到所述边缘服务器的证书列表以及将所述证书发送到所述边缘控制器;所述边缘控制器根据更新后的所述证书更新所述第二私钥;
确定所述边缘控制器更新所述第二私钥后,所述边缘控制器根据更新后的所述第二私钥确定第一消息,并根据所述第一消息计算第一挑战值,并输出所述第一消息的签名,将所述签名发送到所述边缘服务器;所述边缘服务器计算第二挑战值,确定所述第一挑战值和所述第二挑战值相等,接收所述签名,并对所述边缘控制器进行授权。
2.根据权利要求1所述的一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,所述方法还包括:
当确定所述边缘服务器需要查看所述边缘控制器的真实身份,所述边缘服务器确定所述签名为所述第一消息的有效签名,计算所述签名对应所述边缘控制器的第二私钥;根据所述第二私钥在所述证书列表和所述群列表内查看所述边缘控制器的信息;
当确定所述边缘服务器需要撤销所述边缘控制器,所述边缘服务器不向所述边缘控制器发送更新后的证书。
3.根据权利要求2所述的一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,所述根据预设系统的系统参数生成群公钥和所述边缘服务器的第一私钥,包括:
确定所述边缘服务器选择阶为大素数的第一乘法循环群、第二乘法循环群和第三乘法循环群,以及确定所述第一乘法循环群的第一生成元和所述第二乘法循环群的第二生成元;
确定所述第一乘法循环群和所述第二乘法循环群的同构映射,并根据所述同构映射确定所述第一生成元和所述第二生成元的第一函数;
确定所述第一乘法循环群、所述第二乘法循环群和所述第三乘法循环群的双线性对;
获取第一哈希函数和第二哈希函数,所述第二哈希函数与所述第一乘法循环群相关;
提取第一集合的第一元素和所述第一乘法循环群的第二元素,所述第一集合与所述第一哈希函数相关,所述第二元素关于所述第一元素的第一指数等于预设值;
提取所述第一集合的第三元素,并确定所述第二生成元关于所述第三元素的第二指数;
获取第一时间段,并计算所述第一时间段的第二哈希函数值,以及计算所述第二哈希函数值与所述第一生成元的乘积;
根据所述乘积、所述第二生成元、所述第二元素、所述预设值和所述第二指数生成群公钥;以及根据所述第一元素生成所述边缘服务器的第一私钥。
4.根据权利要求3所述的一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,所述边缘服务器生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表,包括:
提取所述第一集合的第四元素,并计算所述第一生成元关于所述第三元素和所述第四元素的第三指数;
根据所述第四元素和所述第三指数生成所述边缘控制器的第二私钥,并将所述第二私钥通过安全信道发送到所述边缘控制器,同时将所述边缘控制器添加到所述边缘服务器的群列表。
5.根据权利要求4所述的一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,所述边缘服务器更新所述边缘控制器的证书,并将更新后的所述证书添加到所述边缘服务器的证书列表,包括:
计算所述第二哈希函数值关于所述第三元素和所述第四元素的第四指数,根据所述第四指数更新所述边缘控制器的证书;
将更新后的所述证书添加到所述边缘服务器的证书列表。
6.根据权利要求2所述的一种面向边缘控制器的可撤销轻量级群认证方法,其特征在于,所述方法还包括:
当确定所述边缘服务器需要撤销所述边缘控制器,在所述证书列表和群列表内删除所述边缘控制器的所有信息。
7.一种面向边缘控制器的可撤销轻量级群认证系统,其特征在于,包括:
至少一个存储器,用于存储程序;
至少一个处理器,用于加载所述程序以执行如权利要求1-6任一项所述的面向边缘控制器的可撤销轻量级群认证方法。
8.一种存储介质,其特征在于,其中存储有计算机可执行的程序,所述计算机可执行的程序被处理器执行时用于实现如权利要求1-6任一项所述的面向边缘控制器的可撤销轻量级群认证方法。
CN202111225104.9A 2021-10-21 2021-10-21 面向边缘控制器的可撤销轻量级群认证方法、系统和介质 Active CN114050914B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111225104.9A CN114050914B (zh) 2021-10-21 2021-10-21 面向边缘控制器的可撤销轻量级群认证方法、系统和介质
US18/048,104 US11799843B2 (en) 2021-10-21 2022-10-20 Revocable lightweight group authentication method and system for edge controller, and medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111225104.9A CN114050914B (zh) 2021-10-21 2021-10-21 面向边缘控制器的可撤销轻量级群认证方法、系统和介质

Publications (2)

Publication Number Publication Date
CN114050914A CN114050914A (zh) 2022-02-15
CN114050914B true CN114050914B (zh) 2022-08-02

Family

ID=80205766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111225104.9A Active CN114050914B (zh) 2021-10-21 2021-10-21 面向边缘控制器的可撤销轻量级群认证方法、系统和介质

Country Status (2)

Country Link
US (1) US11799843B2 (zh)
CN (1) CN114050914B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108924081A (zh) * 2018-05-03 2018-11-30 深圳中泰智丰物联网科技有限公司 基于边缘计算的物联网中保护用户隐私抵抗恶意用户方法
CN109831296A (zh) * 2019-04-04 2019-05-31 郑州师范学院 一种基于群签名的车联网隐私保护认证方法
CN113132427A (zh) * 2019-12-30 2021-07-16 中移智行网络科技有限公司 边云协同方法和边云协同系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030008183A (ko) * 2002-12-24 2003-01-24 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법
US9531691B2 (en) * 2011-12-16 2016-12-27 Akamai Technologies, Inc. Providing forward secrecy in a terminating TLS connection proxy
US11165565B2 (en) * 2016-12-09 2021-11-02 Microsoft Technology Licensing, Llc Secure distribution private keys for use by untrusted code
US11218324B2 (en) * 2018-04-05 2022-01-04 Ares Technologies, Inc. Systems and methods authenticating a digitally signed assertion using verified evaluators
KR20210134649A (ko) * 2019-04-01 2021-11-10 인텔 코포레이션 프라이버시 보호 자율 증명
US11533316B2 (en) * 2019-06-27 2022-12-20 Intel Corporation Information-centric network namespace policy-based content delivery

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108924081A (zh) * 2018-05-03 2018-11-30 深圳中泰智丰物联网科技有限公司 基于边缘计算的物联网中保护用户隐私抵抗恶意用户方法
CN109831296A (zh) * 2019-04-04 2019-05-31 郑州师范学院 一种基于群签名的车联网隐私保护认证方法
CN113132427A (zh) * 2019-12-30 2021-07-16 中移智行网络科技有限公司 边云协同方法和边云协同系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LENV: A new light-weighted edge network virtualization framework in software-defined wireless networks;Tingting Hu; Kaiping Xue; Wenjia Wei; Wei Jiang;《 2015 International Conference on Wireless Communications & Signal Processing (WCSP)》;20151203;全文 *
边缘计算身份认证和隐私保护技术;陈春雨; 尚文利; 赵剑明; 刘周斌; 汪自翔;《自动化博览》;20181015;全文 *

Also Published As

Publication number Publication date
US11799843B2 (en) 2023-10-24
US20230130302A1 (en) 2023-04-27
CN114050914A (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
Cui et al. An efficient message-authentication scheme based on edge computing for vehicular ad hoc networks
CN109981689B (zh) 物联网场景下跨域逻辑强隔离与安全访问控制方法及装置
US20230231711A1 (en) Blockchain-implemented method and system
Mei et al. Blockchain-enabled privacy-preserving authentication mechanism for transportation CPS with cloud-edge computing
Chai et al. CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles
CN109005538B (zh) 面向无人驾驶车辆与多移动边缘计算服务器间的消息认证方法
CN110268679B (zh) 基于区块链的认证方法和系统
Li et al. Synchronized provable data possession based on blockchain for digital twin
CN113395166B (zh) 一种基于边缘计算的电力终端云边端协同安全接入认证方法
US11108560B2 (en) Authentication protocol using a one-time password
CN108337092B (zh) 用于在通信网络中执行集体认证的方法和系统
CN111597590A (zh) 一种基于区块链的数据完整性快速检验方法
CN114679332A (zh) 一种分布式系统的apt检测方法
CN113676333A (zh) 一种两方协作生成sm2盲签名方法
CN109120409B (zh) 一种用于物联网中安全通信的数字签名方法
CN111786776A (zh) 一种基于车联网技术的安全通信管理系统
CN116707956A (zh) 一种基于零知识证明的物联网设备认证方法和装置
Sun et al. An Edge‐Cloud Collaborative Cross‐Domain Identity‐Based Authentication Protocol with Privacy Protection
CN108664814B (zh) 一种基于代理的群组数据完整性验证方法
CN114050914B (zh) 面向边缘控制器的可撤销轻量级群认证方法、系统和介质
CN108833445B (zh) 一种适用于物联网系统的认证方法及装置
US10972912B1 (en) Dynamic establishment of trust between locally connected devices
CN115765983A (zh) 一种群签名方法和签名中心群管理员节点
Halgamuge Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment
CN112468983B (zh) 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant