CN114143343A - 雾计算环境中远程访问控制系统、控制方法、终端及介质 - Google Patents

雾计算环境中远程访问控制系统、控制方法、终端及介质 Download PDF

Info

Publication number
CN114143343A
CN114143343A CN202111414608.5A CN202111414608A CN114143343A CN 114143343 A CN114143343 A CN 114143343A CN 202111414608 A CN202111414608 A CN 202111414608A CN 114143343 A CN114143343 A CN 114143343A
Authority
CN
China
Prior art keywords
new
internet
tid
user
things equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111414608.5A
Other languages
English (en)
Other versions
CN114143343B (zh
Inventor
郭奕旻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongnan University Of Economics And Law
Original Assignee
Zhongnan University Of Economics And Law
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongnan University Of Economics And Law filed Critical Zhongnan University Of Economics And Law
Priority to CN202111414608.5A priority Critical patent/CN114143343B/zh
Publication of CN114143343A publication Critical patent/CN114143343A/zh
Application granted granted Critical
Publication of CN114143343B publication Critical patent/CN114143343B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于访问控制技术领域,公开了一种雾计算环境中远程访问控制系统、控制方法、终端及介质,雾计算环境中远程访问控制系统包括:注册权威对物联网设备和远程用户进行注册;雾节点接收物联网设备采集的数据,并对所述数据进行计算、传输、临时存储和实时分析;物联网设备采集环境的数据,并传输至雾节点;远程用户利用移动设备通过雾节点访问物联网设备的相关数据并实施控制。雾节点部署在物联网设备周围;每个雾节点可连接一个或者多个物联网设备。本发明为雾计算环境设计了一种新的远程访问控制系统和方法,能够有效地认证远程用户身份,并实现远程用户和被访问设备之间的安全通信。

Description

雾计算环境中远程访问控制系统、控制方法、终端及介质
技术领域
本发明属于访问控制技术领域,尤其涉及一种雾计算环境中远程访问控制系统、控制方法、终端及介质。
背景技术
目前,雾计算将云计算的功能扩展到网络边缘,是各类物联网应用的最佳解决方案。但是雾计算独特的特性也带来了新的安全性问题,特别是雾计算环境中用户远程访问控制问题。雾计算应用环境中,远程用户常常通过雾节点访问某个物联网设备,例如,远程用户使用手机访问智能家居中的设备。在这样的应用场景中,需要对远程用户进行身份认证,并保证远程用户-雾节点-设备之间的安全访问通信。在雾计算环境中,对远程用户的访问控制是在雾节点的协作下完成,而雾节点不被认为是完全可信的,因为它们常部署在公共场所,易受到各种攻击。为了保证远程用户的安全访问,需要一种适合雾计算环境中的远程安全访问控制方案,以满足雾计算环境中预期的安全性和效率要求。
目前很少见到为雾计算环境中设计的远程用户访问控制方案。在雾计算远程访问控制系统中涉及到远程用户、雾节点和被访问的设备等三个实体,而现有的方案只涉及到雾节点和设备等两个实体,已有的方案只实现了雾节点和其覆盖下设备之间的安全认证,并且也存在许多问题。
根据雾计算的特征,雾计算中访问控制和认证方案应该满足三个条件:
(1)雾计算中的访问控制和认证过程只应该由雾节点协作完成。雾计算体系结构中虽然包含云层,但云服务器不应该参与,这是因为引入雾层的一个目的是为了减少平均网络延迟。
(2)雾节点中不能存储物联网设备的秘密信息。由于雾节点不是完全可信的,如果雾节点是恶意的或者被破坏后,攻击者能够实施多种攻击。
(3)由于雾设备具有受限的计算、存储和电池资源,因此为这些资源受限的设备设计访问控制和认证方案应该是轻量级的。
现有的为雾计算设计的认证方案虽然能够有效地认证物联网设备,但是这些方案不能满足上述条件。在这些为雾计算环境中设计的认证方案中,大部分认证协议是从基于云或者基于网关认证协议移植而来,不适合应用在雾计算环境中。例如,现有技术1的雾计算的认证方案,暗含雾服务器是可信的,在注册阶段,雾服务器存储了雾用户的密钥,因此该方案不能抵抗雾服务器被破坏攻击。现有技术2为雾计算场景设计了三种有效的轻量级匿名认证协议,其中第一个认证协议是在云协助下完成,这会存在认证延迟问题。另外物联网设备在注册时,存储了许多敏感信息。因此这些协议不能抵抗物联网设备被捕获攻击。现有技术3提出的认证方案也是在云服务器的帮助下完成。在现有技术4设计的雾计算认证方案中,雾服务器存储了注册用户的伪身份,注册用户存储了某个雾服务器的临时身份和秘密参数,所以当该雾服务器失效或者离开雾,用户必须重新注册。
通过上述分析,现有技术存在的问题及缺陷为:现有技术只实现了雾节点和其覆盖下设备之间的认证,且雾服务器、物联网设备容易被破坏与攻击、安全性低,存在认证延迟,平均网络延迟大,控制或认证方案达不到轻量级的要求。
解决以上问题及缺陷的难度为:首先,在没有可靠云参与下,远程用户只通过不完全可信的雾节点访问物联网设备是一个挑战性问题;其次,当部署在公共场所的雾节点被破坏情况下,不影响访问控制的安全性;最后,由于物联网设备是资源受限的,设计的远程访问控制方案应该是轻量级的,并且能够抵抗各种已知攻击。
解决以上问题及缺陷的意义为:远程访问控制是雾计算环境中一个非常重要的应用场景,当解决了上述的问题,就能够在雾计算环境中有效实现对远程用户的身份认证,并为用户访问远程物联网设备提供安全通道。
发明内容
针对现有技术存在的问题,本发明提供了一种雾计算环境中远程访问控制系统、控制方法、终端及介质。
本发明是这样实现的,一种雾计算环境中远程访问控制系统,所述雾计算环境中远程访问控制系统包括:
注册权威、雾节点、物联网设备以及远程用户;
注册权威,用于对物联网设备和远程用户进行注册;
雾节点,用于接收物联网设备采集的数据,并对所述数据进行计算、传输、临时存储和实时分析;
物联网设备,用于采集环境的数据,并传输至雾节点;
远程用户,用于利用移动设备通过雾节点访问物联网设备的相关数据并实施控制。
进一步,所述雾节点部署在物联网设备周围;每个雾节点可连接一个或者多个物联网设备。
本发明的另一目的在于提供一种应用于所述雾计算环境中远程访问控制系统的雾计算环境中远程访问控制方法,所述雾计算环境中远程访问控制方法包括:
注册阶段与访问控制阶段;
注册阶段:注册权威为物联网设备和远程用户进行离线注册;
访问控制阶段:对注册的远程用户进行身份认证,控制远程用户进行物联网设备的安全访问。
进一步,所述雾计算环境中远程访问控制方法包括以下步骤:
步骤一,注册权威对新的物联网设备进行离线注册;同时远程用户利用个人移动设备进行注册;
步骤二,远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求;并通过雾节点协助远程用户与物联网设备执行相互认证;
步骤三,认证通过则远程用户和被访问的物联网设备之间协商一个会话钥,进行远程用户和物联网设备之间的安全通信。
进一步,步骤一中,所述注册权威对新的物联网设备进行注册包括:
(1)注册权威RA为物联网设备选择一个唯一身份IDd,产生一个随机挑战Cd,通过安全信道将(IDd,Cd)传送给物联网设备;
(2)物联网设备根据接收到的Cd中嵌入的物理不可克隆函数PUF计算Cd对应的响应Rd,即Rd=PUF1(Cd),并计算的Rd通过安全信道传送给注册权威;
(3)注册权威为物联网设备选择一个临时身份TIDd,并计算一个伪身份PIDd=h(IDd||K);其中,K表示注册权威的一个秘密参数;
(4)注册权威将物联网设备的参数(TIDd、PIDd、Cd、h(Rd))通过安全信道传送给至所述物联网设备对应的雾节点存储;并将临时身份通过安全信道传送给物联网设备;
(5)物联网设备接收到消息后存储(TIDold d=null,TIDnew d=TIDi)。
进一步,步骤一中,所述远程用户利用个人移动设备进行注册包括:
首先,用户选择一个身份IDi,移动设备向注册权威RA发送注册请求消息{Reqi};注册权威接收用户的注册请求,产生一个随机挑战Ci,并将Ci通过安全信道传送给用户;
其次,用户接收Ci,利用移动设备中嵌入的物理不可克隆函数PUF计算Ri=PUF2(Ci),并将Ri通过安全信道传送给注册权威;注册权威为用户选择一个临时身份TIDi,将{TIDi,Ci,h(Ri)}传送给雾节点进行存储,并将临时身份通过安全信道传送给用户;
然后,移动设备接收消息,令用户选择一个口令PWi,并在移动设备上按下指纹αi,计算βi=PUF2i);移动设备产生一个随机数ri,为用户计算一个伪身份PIDi=h(IDi||ri);
最后,移动设备计算HPWi=h(PWi||βi||ri)、Yi=ri⊕h(IDi||PWi||βi)、PIDi *=PIDi⊕HPWi和认证子Authi=h(PIDi||ri||HPWi),并在移动设备中存储{TIDold i=null,TIDnewi=TIDi,Yi,PIDi *,Authi}。
进一步,步骤二中,所述远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求包括:
用户在移动设备中输入身份、口令和指纹,移动设备计算βi=PUF2i),ri=Yi⊕h(IDi||PWi||βi),HPWi=h(PWi||βi||ri),PIDi=PIDi *⊕HPWi和认证子Authi′=h(PIDi||ri||HPWi),并与移动设备中存储的Authi进行比较,如果两者相等,则用户登陆成功;
移动设备发起认证挑战,移动设备产生一个n1和当前时间戳T1,选择一个需访问的物联网设备PIDd,将(TIDi,PIDd,n1,T1)传送给雾节点。
进一步,所述通过雾节点协助远程用户与物联网设备执行相互认证包括:
1)雾节点验证用户真实性:
1.1)雾节点检验接收到消息的新鲜性,如果消息是新鲜的,雾节点根据PIDd知道用户要访问的物联网设备Sd,根据PIDd查找物联网设备存储在雾节点中的信息(TIDd,PIDd,Cd,h(hd));
1.2)雾节点产生一个随机数n2和当前时间戳T2,并为物联网设备产生一个随机新的挑战Cd new、一个新的临时身份TIDd new以及为用户和物联网设备产生一个共享的会话钥SK;
1.3)计算A1=n2⊕h(TIDd||h(Rd)||n1||T1||T2),A2=Cd new⊕h(Rd)⊕n1⊕n2⊕T2,A3=TIDd new⊕h(TIDd||h(Rd)||Cd new||n2||T2),M1=h(TIDd new||h(Rd)||n1||n2||T1||T2),SK*=SK⊕h(TIDd new||TIDi||h(Rd)||n2||T2)。最后将{TIDi,A1,A2,A3,M1,Cd,T2,SK*}通过开放信道传给物联网设备;
2)物联网设备验证雾节点真实性:
2.1)物联网设备检验接收到消息的新鲜性,若消息新鲜,则物联网设备利用Cd计算不可克隆函数PUF的输出Rd=PUF1(Cd);
2.2)根据得到的Rd,物联网设备计算n2=A1⊕h(TIDd||h(Rd)||n1||T1||T2),Cd new=A2⊕h(Rd)⊕n1⊕n2⊕T2,TIDd new=A3⊕h(TIDd||h(Rd)||Cd new||n2||T2);
2.3)计算M1 *=h(TIDd new||h(Rd)||n1||n2||T1||T2),将M1 *与接收到的M1进行比较,如果两者相等,表示物联网设备成功认证雾节点;
2.4)物联网设备根据新的挑战Cd new计算新的响应Rd new=PUF1(Cd new),并存储新旧临时身份TIDd和TIDd new,计算得到会话钥SK=SK*⊕h(TIDd new||TIDi||h(Rd)||n2||T2);
2.5)物联网设备产生一个随机数n3和当前时间戳T3,计算A4=n3⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),A5=n3⊕Cd new⊕Rd new,M2=h(TIDd new||Rd new||TIDi||n2||n3||T3)。最后,物联网设备将{A4,A5,M2,T3}传给雾节点;
3)雾节点验证物联网设备真实性:
3.1)雾节点检验接收消息的新鲜性,若消息新鲜,则雾节点计算n3=A4⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),Rd new=n3⊕A5⊕Cd new,M2 *=h(TIDd new||Rd new||TIDi||n2||n3||T3),并与接收到的M2进行比较,如果相等,则物联网设备为真;
3.2)雾节点临时存储物联网设备的新旧值(TIDd,PIDd,Cd,h(Rd))和(TIDd new,PIDd,Cd new,h(Rd new));雾节点产生一个随机数n4和当前时间戳T4,并为用户产生一个新的临时身份TIDi new和一个新的挑战Ci new
3.3)计算A6=n4⊕h(TIDi||h(Ri)||n1||T1||T4),A7=Ci new⊕h(Ri)⊕n1⊕n4⊕T4,A8=TIDi new⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),SK’=SK⊕h(TIDi new||PIDd||h(Ri)||n4||T4);
3.4)将{A6,A7,A8,M3,Ci,T4,SK’}通过开放信道传给用户;
4)用户验证雾节点真实性:
4.1)用户接收消息并检验接收的消息的新鲜性;若新鲜,则用户根据Ci计算不可克隆函数PUF的输出Ri=PUF2(Ci),n4=A6⊕h(TIDi||h(Ri)||n1||T1||T4),Ci new=A7⊕h(Ri)⊕n1⊕n4⊕T4,TIDi new=A8⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3 *=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),并与接收到的M3进行对比,如果两者相等,则表示雾节点是真实的;
4.2)用户计算会话钥SK=SK’⊕h(TIDi new||PIDd||h(Ri)||n4||T4),并更新临时身份为TIDi new,计算Ri new=PUF2(Ci new)。
本发明的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行所述雾计算环境中远程访问控制方法,包括下列步骤:
步骤一,注册权威对新的物联网设备进行注册;同时远程用户利用个人移动设备进行注册;
步骤二,远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求;并通过雾节点协助远程用户与物联网设备执行相互认证;
步骤三,认证通过则远程用户和被访问的物联网设备之间协商一个会话钥,进行远程用户和物联网设备之间的安全通信。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述雾计算环境中远程访问控制方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明为雾计算环境设计了一种新的远程访问控制系统和方法,能够有效地认证远程用户身份,并实现远程用户和被访问设备之间的安全通信。
附图说明
图1是本发明实施例提供的雾计算环境中远程访问控制系统结构图;
图2是本发明实施例提供的雾计算环境中远程访问控制系统注册结构图;
图中:1、注册权威;2、雾节点;3、物联网设备;4、远程用户。
图3是本发明实施例提供的雾计算环境中远程访问控制方法流程图。
图4是本发明实施例提供的远程用户访问控制流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种雾计算环境中远程访问控制系统、控制方法,下面结合附图对本发明作详细的描述。
如图1-图2所示,本发明实施例提供的雾计算环境中远程访问控制系统包括:
注册权威1、雾节点2、物联网设备3以及远程用户4;
注册权威1,用于对物联网设备和远程用户进行离线注册;
雾节点2,用于接收物联网设备采集的数据,并对所述数据进行计算、传输、临时存储和实时分析;
物联网设备3,用于采集环境的数据,并传输至雾节点;
远程用户4,用于利用移动设备通过雾节点查看物联网设备的相关数据、信息。
本发明实施例提供的雾节点部署在物联网设备周围;每个雾节点可连接一个或者多个物联网设备。
本发明实施例提供的雾计算环境中远程访问控制方法包括:
注册阶段与访问控制阶段;
注册阶段:注册权威为物联网设备和远程用户进行离线注册;
访问控制阶段:对注册的远程用户进行身份认证,控制远程用户进行物联网设备的安全访问。
如图3所示,本发明实施例提供的雾计算环境中远程访问控制方法包括以下步骤:
S101,注册权威对新的物联网设备进行注册;同时远程用户利用个人移动设备进行注册;
S102,远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求;并通过雾节点协助远程用户与物联网设备执行相互认证;
S103,认证通过则远程用户和被访问的物联网设备之间协商一个会话钥,进行远程用户和物联网设备之间的安全通信。
本发明实施例提供的注册权威对新的物联网设备进行注册包括:
(1)注册权威RA为物联网设备选择一个唯一身份IDd,产生一个随机挑战Cd,通过安全信道将(IDd,Cd)传送给物联网设备;
(2)物联网设备根据接收到的Cd中嵌入的物理不可克隆函数PUF计算Cd对应的响应Rd,即Rd=PUF1(Cd),并计算的Rd通过安全信道传送给注册权威;
(3)注册权威为物联网设备选择一个临时身份TIDd,并计算一个伪身份PIDd=h(IDd||K);其中,K表示注册权威的一个秘密参数;
(4)注册权威将物联网设备的参数(TIDd、PIDd、Cd、h(Rd))通过安全信道传送给至所述物联网设备对应的雾节点存储;并将临时身份通过安全信道传送给物联网设备;
(5)物联网设备接收到消息后存储(TIDold d=null,TIDnew d=TIDi)。
本发明实施例提供的远程用户利用个人移动设备进行注册包括:
首先,用户选择一个身份IDi,移动设备向注册权威RA发送注册请求消息{Reqi};注册权威接收用户的注册请求,产生一个随机挑战Ci,并将Ci通过安全信道传送给用户;
其次,用户接收Ci,利用移动设备中嵌入的物理不可克隆函数PUF计算Ri=PUF2(Ci),并将Ri通过安全信道传送给注册权威;注册权威为用户选择一个临时身份TIDi,将{TIDi,Ci,h(Ri)}传送给雾节点进行存储,并将临时身份通过安全信道传送给用户;
然后,移动设备接收消息,令用户选择一个口令PWi,并在移动设备上按下指纹αi,计算βi=PUF2i);移动设备产生一个随机数ri,为用户计算一个伪身份PIDi=h(IDi||ri);
最后,移动设备计算HPWi=h(PWi||βi||ri)、Yi=ri⊕h(IDi||PWi||βi)、PIDi *=PIDi⊕HPWi和认证子Authi=h(PIDi||ri||HPWi),并在移动设备中存储{TIDold i=null,TIDnewi=TIDi,Yi,PIDi *,Authi}。
本发明实施例提供的远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求包括:
用户在移动设备中输入身份、口令和指纹,移动设备计算βi=PUF2i),ri=Yi⊕h(IDi||PWi||βi),HPWi=h(PWi||βi||ri),PIDi=PIDi *⊕HPWi和认证子Authi′=h(PIDi||ri||HPWi),并与移动设备中存储的Authi进行比较,如果两者相等,则用户登陆成功;
移动设备发起认证挑战,移动设备产生一个n1和当前时间戳T1,选择一个需访问的物联网设备PIDd,将(TIDi,PIDd,n1,T1)传送给雾节点。
本发明实施例提供的通过雾节点协助远程用户与物联网设备执行相互认证包括:
1)雾节点验证用户真实性:
1.1)雾节点检验接收到消息的新鲜性,如果消息是新鲜的,雾节点根据PIDd知道用户要访问的物联网设备Sd,根据PIDd查找物联网设备存储在雾节点中的信息(TIDd,PIDd,Cd,h(hd));
1.2)雾节点产生一个随机数n2和当前时间戳T2,并为物联网设备产生一个随机新的挑战Cd new、一个新的临时身份TIDd new以及为用户和物联网设备产生一个共享的会话钥SK;
1.3)计算A1=n2⊕h(TIDd||h(Rd)||n1||T1||T2),A2=Cd new⊕h(Rd)⊕n1⊕n2⊕T2,A3=TIDd new⊕h(TIDd||h(Rd)||Cd new||n2||T2),M1=h(TIDd new||h(Rd)||n1||n2||T1||T2),SK*=SK⊕h(TIDd new||TIDi||h(Rd)||n2||T2)。最后将{TIDi,A1,A2,A3,M1,Cd,T2,SK*}通过开放信道传给物联网设备;
2)物联网设备验证雾节点真实性:
2.1)物联网设备检验接收到消息的新鲜性,若消息新鲜,则物联网设备利用Cd计算不可克隆函数PUF的输出Rd=PUF1(Cd);
2.2)根据得到的Rd,物联网设备计算n2=A1⊕h(TIDd||h(Rd)||n1||T1||T2),Cd new=A2⊕h(Rd)⊕n1⊕n2⊕T2,TIDd new=A3⊕h(TIDd||h(Rd)||Cd new||n2||T2);
2.3)计算M1 *=h(TIDd new||h(Rd)||n1||n2||T1||T2),将M1 *与接收到的M1进行比较,如果两者相等,表示物联网设备成功认证雾节点;
2.4)物联网设备根据新的挑战Cd new计算新的响应Rd new=PUF1(Cd new),并存储新旧临时身份TIDd和TIDd new,计算得到会话钥SK=SK*⊕h(TIDd new||TIDi||h(Rd)||n2||T2);
2.5)物联网设备产生一个随机数n3和当前时间戳T3,计算A4=n3⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),A5=n3⊕Cd new⊕Rd new,M2=h(TIDd new||Rd new||TIDi||n2||n3||T3)。最后,物联网设备将{A4,A5,M2,T3}传给雾节点;
3)雾节点验证物联网设备真实性:
3.1)雾节点检验接收消息的新鲜性,若消息新鲜,则雾节点计算n3=A4⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),Rd new=n3⊕A5⊕Cd new,M2 *=h(TIDd new||Rd new||TIDi||n2||n3||T3),并与接收到的M2进行比较,如果相等,则物联网设备为真;
3.2)雾节点临时存储物联网设备的新旧值(TIDd,PIDd,Cd,h(Rd))和(TIDd new,PIDd,Cd new,h(Rd new));雾节点产生一个随机数n4和当前时间戳T4,并为用户产生一个新的临时身份TIDi new和一个新的挑战Ci new
3.3)计算A6=n4⊕h(TIDi||h(Ri)||n1||T1||T4),A7=Ci new⊕h(Ri)⊕n1⊕n4⊕T4,A8=TIDi new⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),SK’=SK⊕h(TIDi new||PIDd||h(Ri)||n4||T4);
3.4)将{A6,A7,A8,M3,Ci,T4,SK’}通过开放信道传给用户;
4)用户验证雾节点真实性:
4.1)用户接收消息并检验接收的消息的新鲜性;若新鲜,则用户根据Ci计算不可克隆函数PUF的输出Ri=PUF2(Ci),n4=A6⊕h(TIDi||h(Ri)||n1||T1||T4),Ci new=A7⊕h(Ri)⊕n1⊕n4⊕T4,TIDi new=A8⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3 *=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),并与接收到的M3进行对比,如果两者相等,则表示雾节点是真实的;
4.2)用户计算会话钥SK=SK’⊕h(TIDi new||PIDd||h(Ri)||n4||T4),并更新临时身份为TIDi new,计算Ri new=PUF2(Ci new)。
下面结合具体实施例对本发明的技术方案做进一步说明。
实施例1:
本发明的系统包括4个实体模块:
注册权威(Registration Authority,RA):负责为物联网设备和用户进行离线注册,它是一个可信的服务器。
雾节点:雾节点部署在物联网设备附近,负责接对物联网设备采集的数据进行计算、传输、临时存储和实时分析。每个雾节点连接一个或者多个物联网设备。
物联网设备:物联网设备用于采集环境中的数据,并传输到雾节点,物联网设备可以是固定设备,也可以是移动设备。
远程用户:远程用户使用自己的移动设备通过雾节点可以访问某个物联网设备。
本发明的工作原理:
本发明主要实现远程用户安全访问某个物联网设备,其工作原理是这样:第一阶段是注册阶段,接入到系统中的物联网设备和远程用户向注册权威注册。第二阶段是访问控制阶段,该阶段需要验证各个实体的真实身份,实现远程用户安全访问某个物联网设备。这个阶段是这样实施的:
(1)登陆:远程用户首先在自己的移动设备上登陆,登陆过程要求用户输入正确的用户名、口令和指纹。登陆成功后,用户的移动设备向雾节点发生访问某个物联网设备的请求。
(2)雾节点验证用户真实性:雾节点验证用户的真实性,如果验证不成功,立即终止用户的访问控制请求,如果验证成功,雾节点将向物联网设备发生认证请求。
(3)物联网设备验证雾节点真实性:物联网设备验证雾节点的请求,验证雾节点的真实性,如果验证成立,将向雾节点发生确认消息。
(4)雾节点验证物联网设备真实性:雾节点验证物联网设备的真实性,如果验证成功,将向远程用户发生确认信息。
(5)用户验证雾节点真实性:远程用户验证雾节点的真实性,如果是真实的,远程用户和被访问的物联网设备之间协商一个会话钥,实现远程用户和物联网设备之间的安全通信。
本发明的远程控制流程如下:
本发明的技术方案包括注册阶段和访问控制阶段。注册阶段是由注册权威为物联网设备和远程用户进行离线注册;访问控制阶段是对远程用户进行身份认证,并保证远程用户对物联网设备的安全访问。
注册阶段:
物联网设备注册:当部署一个新的物联网设备时,它需要由注册权威RA进行注册,注册过程如下:
(1)注册权威RA为物联网设备选择一个唯一身份IDd,产生一个随机挑战Cd,通过安全信道将(IDd,Cd)传送给物联网设备。
(2)物联网设备根据接收到Cd后,利用其嵌入的物理不可克隆函数PUF计算Cd对应的响应Rd,即Rd=PUF1(Cd),并将通过安全信道传送给注册权威。
(3)注册权威为物联网设备选择一个临时身份TIDd,并计算一个伪身份PIDd=h(IDd||K),其中K是注册权威的一个秘密参数。注册权威将物联网设备的参数(TIDd,PIDd,Cd,h(Rd))通过安全信道传送给其对应的雾节点存储。将临时身份安全地传送给物联网设备。
(4)物联网设备接收到消息后存储(TIDold d=null,TIDnew d=TIDi)。
远程用户注册:远程用户通过自己的移动设备MDi进行注册,注册过程如下:
(1)用户选择一个身份IDi,移动设备向注册权威RA发送注册请求消息{Reqi}。
(2)注册权威在接收到用户的注册请求后,产生一个随机挑战Ci,并将Ci通过安全信道传送给用户。
(3)用户接收到Ci后,利用移动设备中嵌入的物理不可克隆函数PUF计算Ri=PUF2(Ci),并将Ri通过安全信道传送给注册权威。
(4)注册权威为用户选择一个临时身份TIDi,将{TIDi,Ci,h(Ri)}传送给雾节点进行存储,并将临时身份通过安全信道传送给用户。
(5)移动设备接收到消息后,要求用户选择一个口令PWi,并在移动设备上按下指纹αi,计算βi=PUF2i)。移动设备产生一个随机数ri,为用户计算一个伪身份PIDi=h(IDi||ri)。移动设备计算HPWi=h(PWi||βi||ri),Yi=ri⊕h(IDi||PWi||βi),PIDi *=PIDi⊕HPWi,和认证子Authi=h(PIDi||ri||HPWi)。最后在移动设备中存储{TIDold i=null,TIDnew i=TIDi,Yi,PIDi *,Authi}。
访问控制阶段:
远程用户首先在移动设备上登陆,登陆成功后,远程用户使用移动设备访问某个物联网设备。在这个过程中,雾节点协助远程用户与物联网设备执行相互认证过程,并生成一个用于访问的会话钥。
(1)登陆:用户在移动设备中输入身份、口令和指纹。移动设备计算βi=PUF2i),ri=Yi⊕h(IDi||PWi||βi),HPWi=h(PWi||βi||ri),PIDi=PIDi *⊕HPWi,和认证子Authi′=h(PIDi||ri||HPWi),与移动设备中存储的Authi进行比较,如果两者相等,则用户登陆成功。接着移动设备发起认证挑战。移动设备产生一个n1和当前时间戳T1,选择一个需要访问的物联网设备PIDd,将(TIDi,PIDd,n1,T1)传给雾节点。
(2)雾节点验证用户真实性:雾节点首先检验接收到消息的新鲜性,如果消息是新鲜的,雾节点根据PIDd知道用户要访问的物联网设备Sd,根据PIDd查找物联网设备存储在雾节点中的信息(TIDd,PIDd,Cd,h(hd))。随后雾节点产生一个随机数n2和当前时间戳T2,并为物联网设备产生一个随机新的挑战Cd new,一个新的临时身份TIDd new以及为用户和物联网设备产生一个共享的会话钥SK。计算A1=n2⊕h(TIDd||h(Rd)||n1||T1||T2),A2=Cd new⊕h(Rd)⊕n1⊕n2⊕T2,A3=TIDd new⊕h(TIDd||h(Rd)||Cd new||n2||T2),M1=h(TIDd new||h(Rd)||n1||n2||T1||T2),SK*=SK⊕h(TIDd new||TIDi||h(Rd)||n2||T2)。最后将{TIDi,A1,A2,A3,M1,Cd,T2,SK*}通过开放信道传给物联网设备。
(3)物联网设备验证雾节点真实性:物联网设备检验接收到消息的新鲜性,如果该条件成立,物联网设备利用Cd计算不可克隆函数PUF的输出Rd=PUF1(Cd),根据得到的Rd,物联网设备进一步计算n2=A1⊕h(TIDd||h(Rd)||n1||T1||T2),Cd new=A2⊕h(Rd)⊕n1⊕n2⊕T2,TIDd new=A3⊕h(TIDd||h(Rd)||Cd new||n2||T2),最后计算M1 *=h(TIDd new||h(Rd)||n1||n2||T1||T2),将M1 *与接收到的M1进行比较,如果两者相等,表示物联网设备成功认证雾节点。物联网设备根据新的挑战Cd new计算新的响应Rd new=PUF1(Cd new),并存储新旧临时身份TIDd和TIDd new,计算出会话钥SK=SK*⊕h(TIDd new||TIDi||h(Rd)||n2||T2)。
物联网设备产生一个随机数n3和当前时间戳T3,计算A4=n3⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),A5=n3⊕Cd new⊕Rd new,M2=h(TIDd new||Rd new||TIDi||n2||n3||T3)。最后,物联网设备将{A4,A5,M2,T3}传给雾节点。
(4)雾节点验证物联网设备真实性:雾节点检验接收消息的新鲜性。如果消息是新鲜的,雾节点计算n3=A4⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),Rd new=n3⊕A5⊕Cd new,M2 *=h(TIDd new||Rd new||TIDi||n2||n3||T3),并与接收到的M2进行比较,如果相等,表示物联网设备是真实的。雾节点随后临时存储物联网设备的新旧值(TIDd,PIDd,Cd,h(Rd))和(TIDd new,PIDd,Cd new,h(Rd new))。
雾节点产生一个随机数n4和当前时间戳T4,并为用户产生一个新的临时身份TIDi new和一个新的挑战Ci new。随后计算A6=n4⊕h(TIDi||h(Ri)||n1||T1||T4),A7=Ci new⊕h(Ri)⊕n1⊕n4⊕T4,A8=TIDi new⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),SK’=SK⊕h(TIDi new||PIDd||h(Ri)||n4||T4)。最后将{A6,A7,A8,M3,Ci,T4,SK’}通过开放信道传给用户。
(5)用户验证雾节点真实性:用户接收到消息后,首先检验消息的新鲜性。如果该条件成立,用户根据Ci计算不可克隆函数PUF的输出Ri=PUF2(Ci),n4=A6⊕h(TIDi||h(Ri)||n1||T1||T4),Ci new=A7⊕h(Ri)⊕n1⊕n4⊕T4,TIDi new=A8⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3 *=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),并与接收到的M3进行对比,如果两者相等,则表示雾节点是真实的。用户计算会话钥SK=SK’⊕h(TIDi new||PIDd||h(Ri)||n4||T4),并更新临时身份为TIDi new,计算Ri new=PUF2(Ci new)。
上述步骤执行后,远程用户可以安全访问物联网设备。
远程用户访问控制流程如下:
①用户在移动设备上登陆,向雾节点发起认证挑战。
②雾节点检验消息新鲜性,认证远程用户,认证成功后,向物联网设备发起认证挑战。
③物联网设备检验消息新鲜性,认证雾节点,认证成功后,向雾节点发起认证挑战。
④雾节点检验消息新鲜性,认证物联网设备,认证成功后,向远程用户发起认证挑战。
⑤用户检验消息新鲜性,认证雾节点,认证成功后,远程用户与物联网设备之间建立了一个安全访问通道。
下面结合实验数据对本发明的积极效果作进一步描述。
在安全性方面,本发明能够抵抗各种已知攻击,实现了更多的安全属性,主要包括:
抗离线口令猜测攻击;抗移动设备被盗攻击;抗物联网设备被捕攻击;抗雾节点被破坏攻击;抗特权内幕攻击;抗重放攻击;抗用户假冒攻击;抗物联网设备假冒攻击;抗雾节点假冒攻击;具有匿名性;具有不可跟踪性;抗中间人攻击;抗去同步攻击;具有密钥前向/后向保密功能;抗物理克隆攻击;抗拒绝服务攻击。
在通信代价方面,本发明具有较小的通信代价,按照通信传输的位数来衡量通信代价。假设身份、伪身份、临时身份、临时交互号、会话钥、PUF的挑战和响应的长度都是128bits,时间戳是32bits,哈希摘要(使用SHA-256哈希算法)长度是256bits,对称加密/解密块大小为128bits,群上的点长为1024bits。本发明需要传输4个消息共需传输(416+1440+800+1312)=3968bits.而实现比较接近功能的方案的代价要小,例如Jiang等人的方案需要代价为(1568+1056+672+1376)=4672bits。Fan等人的方案需要代价为(2208+2336)=4544bits。
在计算代价方面,本发明只需很小的计算代价。访问控制的计算代价按照在执行中所有密码原语的计算总和来评估。考虑到不同的设备执行同样的密码原语的代价不同,根据已有的实验数据来评估,令Th,Te,Tp,Tepm和Tpuf分别表示哈希函数、对称密码加密或者解密、对称多项式、ECC点乘、和PUF的运算时间。在不同设备上运行密码原语的时间大约如下表。
密码原语近似运行时间(ms)
Figure BDA0003374775780000171
根据这些密码原语的计算时间,本发明的方案中,移动设备的执行时间大约为0.515ms,物联网设备的执行时间大约为8.566ms,雾节点的执行时间大约为0.481ms,总计算代价为9.562ms。而Jiang等人的方案中,移动设备、物联网设备和数据中心的执行时间分别是28.099ms、38.883ms和9.473ms,总计算代价为76.455ms。在Fan等人的方案中,只实现了物联网设备和雾节点之间的访问控制,其物联网设备和雾节点的执行时间分别约为175.76ms、24.306ms,总计算代价约为200.066ms。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种雾计算环境中远程访问控制系统,其特征在于,所述雾计算环境中远程访问控制系统包括:
注册权威、雾节点、物联网设备以及远程用户;
注册权威,用于对物联网设备和远程用户进行注册;
雾节点,用于接收物联网设备采集的数据,并对所述数据进行计算、传输、临时存储和实时分析;
物联网设备,用于采集环境的数据,并传输至雾节点;
远程用户,用于利用移动设备通过雾节点访问物联网设备的相关数据并实施控制。
2.如权利要求1所述雾计算环境中远程访问控制系统,其特征在于,所述雾节点部署在物联网设备周围;每个雾节点可连接一个或者多个物联网设备。
3.一种应用于如权利要求1-2任意一项所述雾计算环境中远程访问控制系统的雾计算环境中远程访问控制方法,其特征在于,所述雾计算环境中远程访问控制方法包括:
注册阶段与访问控制阶段;
注册阶段:注册权威为物联网设备和远程用户进行注册;
访问控制阶段:对注册的远程用户进行身份认证,控制远程用户对物联网设备的安全访问。
4.如权利要求3所述雾计算环境中远程访问控制方法,其特征在于,所述雾计算环境中远程访问控制方法包括以下步骤:
步骤一,注册权威对新的物联网设备进行注册;远程用户利用个人移动设备进行注册;
步骤二,远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求;并通过雾节点协助远程用户与物联网设备执行相互认证;
步骤三,认证通过则远程用户和被访问的物联网设备之间协商一个会话钥,进行远程用户和物联网设备之间的安全通信。
5.如权利要求4所述雾计算环境中远程访问控制方法,其特征在于,步骤一中,所述注册权威对新的物联网设备进行注册包括:
(1)注册权威RA为物联网设备选择一个唯一身份IDd,产生一个随机挑战Cd,通过安全信道将(IDd,Cd)传送给物联网设备;
(2)物联网设备根据接收到的Cd中嵌入的物理不可克隆函数PUF计算Cd对应的响应Rd,即Rd=PUF1(Cd),并计算的Rd通过安全信道传送给注册权威;
(3)注册权威为物联网设备选择一个临时身份TIDd,并计算一个伪身份PIDd=h(IDd||K);其中,K表示注册权威的一个秘密参数;
(4)注册权威将物联网设备的参数(TIDd、PIDd、Cd、h(Rd))通过安全信道传送给至所述物联网设备对应的雾节点存储;并将临时身份通过安全信道传送给物联网设备;
(5)物联网设备接收到消息后存储(TIDold d=null,TIDnew d=TIDi)。
6.如权利要求4所述雾计算环境中远程访问控制方法,其特征在于,步骤一中,所述远程用户利用个人移动设备进行注册包括:
首先,用户选择一个身份IDi,移动设备向注册权威RA发送注册请求消息{Reqi};注册权威接收用户的注册请求,产生一个随机挑战Ci,并将Ci通过安全信道传送给用户;
其次,用户接收Ci,利用移动设备中嵌入的物理不可克隆函数PUF计算Ri=PUF2(Ci),并将Ri通过安全信道传送给注册权威;注册权威为用户选择一个临时身份TIDi,将{TIDi,Ci,h(Ri)}传送给雾节点进行存储,并将临时身份通过安全信道传送给用户;
然后,移动设备接收消息,令用户选择一个口令PWi,并在移动设备上按下指纹αi,计算βi=PUF2i);移动设备产生一个随机数ri,为用户计算一个伪身份PIDi=h(IDi||ri);
最后,移动设备计算HPWi=h(PWi||βi||ri)、Yi=ri⊕h(IDi||PWi||βi)、PIDi *=PIDi⊕HPWi和认证子Authi=h(PIDi||ri||HPWi),并在移动设备中存储{TIDold i=null,TIDnew i=TIDi,Yi,PIDi *,Authi}。
7.如权利要求4所述雾计算环境中远程访问控制方法,其特征在于,步骤二中,所述远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求包括:
用户在移动设备中输入身份、口令和指纹,移动设备计算βi=PUF2i),ri=Yi⊕h(IDi||PWi||βi),HPWi=h(PWi||βi||ri),PIDi=PIDi *⊕HPWi和认证子Authi′=h(PIDi||ri||HPWi),并与移动设备中存储的Authi进行比较,如果两者相等,则用户登陆成功;
移动设备发起认证挑战,移动设备产生一个n1和当前时间戳T1,选择一个需访问的物联网设备PIDd,将(TIDi,PIDd,n1,T1)传送给雾节点。
8.如权利要求4所述雾计算环境中远程访问控制方法,其特征在于,所述通过雾节点协助远程用户与物联网设备执行相互认证包括:
1)雾节点验证用户真实性:
1.1)雾节点检验接收到消息的新鲜性,如果消息是新鲜的,雾节点根据PIDd知道用户要访问的物联网设备Sd,根据PIDd查找物联网设备存储在雾节点中的信息(TIDd,PIDd,Cd,h(hd));
1.2)雾节点产生一个随机数n2和当前时间戳T2,并为物联网设备产生一个随机新的挑战Cd new、一个新的临时身份TIDd new以及为用户和物联网设备产生一个共享的会话钥SK;
1.3)计算A1=n2⊕h(TIDd||h(Rd)||n1||T1||T2),A2=Cd new⊕h(Rd)⊕n1⊕n2⊕T2,A3=TIDd new⊕h(TIDd||h(Rd)||Cd new||n2||T2),M1=h(TIDd new||h(Rd)||n1||n2||T1||T2),SK*=SK⊕h(TIDd new||TIDi||h(Rd)||n2||T2)。最后将{TIDi,A1,A2,A3,M1,Cd,T2,SK*}通过开放信道传给物联网设备;
2)物联网设备验证雾节点真实性:
2.1)物联网设备检验接收到消息的新鲜性,若消息新鲜,则物联网设备利用Cd计算不可克隆函数PUF的输出Rd=PUF1(Cd);
2.2)根据得到的Rd,物联网设备计算n2=A1⊕h(TIDd||h(Rd)||n1||T1||T2),Cd new=A2⊕h(Rd)⊕n1⊕n2⊕T2,TIDd new=A3⊕h(TIDd||h(Rd)||Cd new||n2||T2);
2.3)计算M1 *=h(TIDd new||h(Rd)||n1||n2||T1||T2),将M1 *与接收到的M1进行比较,如果两者相等,表示物联网设备成功认证雾节点;
2.4)物联网设备根据新的挑战Cd new计算新的响应Rd new=PUF1(Cd new),并存储新旧临时身份TIDd和TIDd new,计算得到会话钥SK=SK*⊕h(TIDd new||TIDi||h(Rd)||n2||T2);
2.5)物联网设备产生一个随机数n3和当前时间戳T3,计算A4=n3⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),A5=n3⊕Cd new⊕Rd new,M2=h(TIDd new||Rd new||TIDi||n2||n3||T3)。最后,物联网设备将{A4,A5,M2,T3}传给雾节点;
3)雾节点验证物联网设备真实性:
3.1)雾节点检验接收消息的新鲜性,若消息新鲜,则雾节点计算n3=A4⊕h(TIDd new||Cd new||h(Rd)||n2||T2||T3),Rd new=n3⊕A5⊕Cd new,M2 *=h(TIDd new||Rd new||TIDi||n2||n3||T3),并与接收到的M2进行比较,如果相等,则物联网设备为真;
3.2)雾节点临时存储物联网设备的新旧值(TIDd,PIDd,Cd,h(Rd))和(TIDd new,PIDd,Cd new,h(Rd new));雾节点产生一个随机数n4和当前时间戳T4,并为用户产生一个新的临时身份TIDi new和一个新的挑战Ci new
3.3)计算A6=n4⊕h(TIDi||h(Ri)||n1||T1||T4),A7=Ci new⊕h(Ri)⊕n1⊕n4⊕T4,A8=TIDi new⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),SK’=SK⊕h(TIDi new||PIDd||h(Ri)||n4||T4);
3.4)将{A6,A7,A8,M3,Ci,T4,SK’}通过开放信道传给用户;
4)用户验证雾节点真实性:
4.1)用户接收消息并检验接收的消息的新鲜性;若新鲜,则用户根据Ci计算不可克隆函数PUF的输出Ri=PUF2(Ci),n4=A6⊕h(TIDi||h(Ri)||n1||T1||T4),Ci new=A7⊕h(Ri)⊕n1⊕n4⊕T4,TIDi new=A8⊕h(TIDi||h(Ri)||Ci new||n4||T4),M3 *=h(TIDi new||PIDd||h(Ri)||n1||n4||T1||T4),并与接收到的M3进行对比,如果两者相等,则表示雾节点是真实的;
4.2)用户计算会话钥SK=SK’⊕h(TIDi new||PIDd||h(Ri)||n4||T4),并更新临时身份为TIDi new,计算Ri new=PUF2(Ci new)。
9.一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求1-8任意一项所述雾计算环境中远程访问控制方法,包括下列步骤:
步骤一,注册权威对新的物联网设备进行注册;同时远程用户利用个人移动设备进行注册;
步骤二,远程用户利用注册的用户名、口令和指纹在移动设备上登陆,登录成功后,移动设备向雾节点发出访问物联网设备的请求;并通过雾节点协助远程用户与物联网设备执行相互认证;
步骤三,认证通过则远程用户和被访问的物联网设备之间协商一个会话钥,进行远程用户和物联网设备之间的安全通信。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1-8任意一项所述雾计算环境中远程访问控制方法。
CN202111414608.5A 2021-11-25 2021-11-25 雾计算环境中远程访问控制系统、控制方法、终端及介质 Active CN114143343B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111414608.5A CN114143343B (zh) 2021-11-25 2021-11-25 雾计算环境中远程访问控制系统、控制方法、终端及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111414608.5A CN114143343B (zh) 2021-11-25 2021-11-25 雾计算环境中远程访问控制系统、控制方法、终端及介质

Publications (2)

Publication Number Publication Date
CN114143343A true CN114143343A (zh) 2022-03-04
CN114143343B CN114143343B (zh) 2024-04-19

Family

ID=80391849

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111414608.5A Active CN114143343B (zh) 2021-11-25 2021-11-25 雾计算环境中远程访问控制系统、控制方法、终端及介质

Country Status (1)

Country Link
CN (1) CN114143343B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679330A (zh) * 2022-03-31 2022-06-28 广西玉林链向千禧大数据有限公司 一种基于区块链的万物互联数据访问控制方法
CN114978712A (zh) * 2022-05-25 2022-08-30 中南财经政法大学 一种触觉物联网的远程安全通信方法、系统、设备及终端
CN115834070A (zh) * 2022-09-26 2023-03-21 华中师范大学 一种轻量级雾辅助v2g网络匿名身份认证系统、方法及设备
CN116074091A (zh) * 2023-02-06 2023-05-05 华中师范大学 一种雾辅助智能家居三方认证系统、方法、设备及终端

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107071027A (zh) * 2017-04-19 2017-08-18 济南浪潮高新科技投资发展有限公司 一种可重构雾节点及基于该雾节点的物联网系统
CN108768660A (zh) * 2018-05-28 2018-11-06 北京航空航天大学 基于物理不可克隆函数的物联网设备身份认证方法
CN110536259A (zh) * 2019-08-27 2019-12-03 南京邮电大学 一种基于雾计算的轻量级隐私保护数据多级聚合方法
CN112364317A (zh) * 2020-11-17 2021-02-12 中国传媒大学 一种基于区块链技术的物联网雾环境管理架构及方法
CN112671543A (zh) * 2020-12-25 2021-04-16 浙江工商大学 一种基于区块链的公开可验证外包属性基加密方法
US20210117758A1 (en) * 2018-04-26 2021-04-22 Barcelona Supercomputing Center - Centro Nacional De Supercomputación Fog computing systems and methods
CN112769568A (zh) * 2021-01-29 2021-05-07 华中师范大学 雾计算环境中的安全认证通信系统、方法、物联网设备
CN113114689A (zh) * 2021-04-15 2021-07-13 南京邮电大学 一种在智能医疗中基于双线性映射和点积协议的认证方法
CN113364584A (zh) * 2021-06-04 2021-09-07 华中师范大学 一种物联网设备与雾节点认证系统和方法
KR20210126319A (ko) * 2020-04-10 2021-10-20 한국전자통신연구원 키 관리 장치 및 방법

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107071027A (zh) * 2017-04-19 2017-08-18 济南浪潮高新科技投资发展有限公司 一种可重构雾节点及基于该雾节点的物联网系统
US20210117758A1 (en) * 2018-04-26 2021-04-22 Barcelona Supercomputing Center - Centro Nacional De Supercomputación Fog computing systems and methods
CN108768660A (zh) * 2018-05-28 2018-11-06 北京航空航天大学 基于物理不可克隆函数的物联网设备身份认证方法
CN110536259A (zh) * 2019-08-27 2019-12-03 南京邮电大学 一种基于雾计算的轻量级隐私保护数据多级聚合方法
KR20210126319A (ko) * 2020-04-10 2021-10-20 한국전자통신연구원 키 관리 장치 및 방법
CN112364317A (zh) * 2020-11-17 2021-02-12 中国传媒大学 一种基于区块链技术的物联网雾环境管理架构及方法
CN112671543A (zh) * 2020-12-25 2021-04-16 浙江工商大学 一种基于区块链的公开可验证外包属性基加密方法
CN112769568A (zh) * 2021-01-29 2021-05-07 华中师范大学 雾计算环境中的安全认证通信系统、方法、物联网设备
CN113114689A (zh) * 2021-04-15 2021-07-13 南京邮电大学 一种在智能医疗中基于双线性映射和点积协议的认证方法
CN113364584A (zh) * 2021-06-04 2021-09-07 华中师范大学 一种物联网设备与雾节点认证系统和方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
O. MOUNNAN: "Privacy-Aware and Authentication based on Blockchain with Fault Tolerance for IoT enabled Fog Computing", 《2020 FIFTH INTERNATIONAL CONFERENCE ON FOG AND MOBILE EDGE COMPUTING (FMEC)》, 21 July 2020 (2020-07-21) *
YIMIN GUO: "An efficient handover authentication for mobile devices in fog computing", 《COMPUTERS & SECURITY》, 5 June 2021 (2021-06-05) *
董江涛: "雾计算中基于无配对CP-ABE可验证的访问控制方案", 《通信学报》, 11 August 2021 (2021-08-11) *
钱进: "基于雾计算的物联网安全接入控制研究", 《万方数据知识服务平台》, 7 May 2020 (2020-05-07) *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679330A (zh) * 2022-03-31 2022-06-28 广西玉林链向千禧大数据有限公司 一种基于区块链的万物互联数据访问控制方法
CN114679330B (zh) * 2022-03-31 2024-05-17 四川链向科技集团有限公司 一种基于区块链的万物互联数据访问控制方法
CN114978712A (zh) * 2022-05-25 2022-08-30 中南财经政法大学 一种触觉物联网的远程安全通信方法、系统、设备及终端
CN114978712B (zh) * 2022-05-25 2023-08-22 中南财经政法大学 一种触觉物联网的远程安全通信方法、系统、设备及终端
CN115834070A (zh) * 2022-09-26 2023-03-21 华中师范大学 一种轻量级雾辅助v2g网络匿名身份认证系统、方法及设备
CN116074091A (zh) * 2023-02-06 2023-05-05 华中师范大学 一种雾辅助智能家居三方认证系统、方法、设备及终端
CN116074091B (zh) * 2023-02-06 2024-05-14 华中师范大学 一种雾辅助智能家居三方认证系统、方法、设备及终端

Also Published As

Publication number Publication date
CN114143343B (zh) 2024-04-19

Similar Documents

Publication Publication Date Title
Wazid et al. LAM-CIoT: Lightweight authentication mechanism in cloud-based IoT environment
Wazid et al. Design of secure key management and user authentication scheme for fog computing services
CN114143343B (zh) 雾计算环境中远程访问控制系统、控制方法、终端及介质
Ali et al. An efficient three factor–based authentication scheme in multiserver environment using ECC
Wazid et al. Provably secure biometric‐based user authentication and key agreement scheme in cloud computing
US10116693B1 (en) Server using proof-of-work technique for hardening against denial of service attacks
Wu et al. A provably secure authentication and key exchange protocol in vehicular ad hoc networks
CN113079132B (zh) 海量物联网设备认证方法、存储介质、信息数据处理终端
Wazid et al. BUAKA-CS: Blockchain-enabled user authentication and key agreement scheme for crowdsourcing system
CN113364584B (zh) 一种物联网设备与雾节点认证系统和方法
CN115021958B (zh) 一种雾计算与区块链融合的智能家居身份认证方法与系统
CN112769568B (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
Zargar et al. A lightweight authentication protocol for IoT‐based cloud environment
Limbasiya et al. Privacy-preserving mutual authentication and key agreement scheme for multi-server healthcare system
CN113395166A (zh) 一种基于边缘计算的电力终端云边端协同安全接入认证方法
Nimmy et al. A novel multi-factor authentication protocol for smart home environments
CN113572765B (zh) 一种面向资源受限终端的轻量级身份认证密钥协商方法
Andola et al. An enhanced smart card and dynamic ID based remote multi-server user authentication scheme
Kara et al. A Password-Based Mutual Authentication Protocol via Zero-Knowledge Proof Solution
Cui et al. Multi-factor based session secret key agreement for the Industrial Internet of Things
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
Ma et al. A robust authentication scheme for remote diagnosis and maintenance in 5G V2N
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN113849815A (zh) 一种基于零信任和机密计算的统一身份认证平台
Chaudhary et al. Secure Authentication and Reliable Cloud Storage Scheme for IoT-Edge-Cloud Integration

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant