CN114465732A - 一种匿名消息认证方法及系统 - Google Patents

一种匿名消息认证方法及系统 Download PDF

Info

Publication number
CN114465732A
CN114465732A CN202210227049.5A CN202210227049A CN114465732A CN 114465732 A CN114465732 A CN 114465732A CN 202210227049 A CN202210227049 A CN 202210227049A CN 114465732 A CN114465732 A CN 114465732A
Authority
CN
China
Prior art keywords
internet
data
network node
edge computing
computing server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210227049.5A
Other languages
English (en)
Other versions
CN114465732B (zh
Inventor
蒋枫
肖君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202210227049.5A priority Critical patent/CN114465732B/zh
Publication of CN114465732A publication Critical patent/CN114465732A/zh
Application granted granted Critical
Publication of CN114465732B publication Critical patent/CN114465732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供的一种匿名消息认证方法及系统,该匿名消息认证方法应用于匿名消息认证系统,匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,网络节点路由器与边缘计算服务器通信连接,边缘计算服务器与物联网终端设备通信连接,该方法通过引入边缘计算对数据包进行签名,使得数据认证方无法知晓签名方的信息,提高了签名及相关数据验证的安全性和高效性。

Description

一种匿名消息认证方法及系统
技术领域
本公开涉及计算机技术领域,尤其涉及一种匿名消息认证方法及系统。
背景技术
如今互联网的发展速度已经远远超过了最初的预测,人们之间通过网络共享信息的数量也飞速上升,以TCP/IP协议为核心技术的网络架构正面临着巨大的挑战。命名数据网络(Named Data Networking,NDN)作为一种典型的以内容为中心的未来互联网发展模式,被业界视为以“信息为中心”的未来互联网架构的主流。
由于命名数据网络中数据包的显式签名涉及签名隐私,因此,如何提高签名及相关数据验证的安全性和高效性,成为本领域技术人员急需解决的技术问题。
发明内容
鉴于上述问题,本公开提供一种克服上述问题或者至少部分地解决上述问题的一种匿名消息认证方法及系统,技术方案如下:
一种匿名消息认证方法,应用于匿名消息认证系统,所述匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,所述网络节点路由器与所述边缘计算服务器通信连接,所述边缘计算服务器与所述物联网终端设备通信连接,所述方法包括:
所述网络节点路由器接收用户发送的兴趣包;
在所述命名数据网络中的各所述网络节点路由器的缓存中均不存在与所述兴趣包对应的数据包的情况下,所述网络节点路由器将所述兴趣包发送至所述边缘计算服务器;
所述边缘计算服务器根据所述兴趣包,分配数据任务至一个或多个所述物联网终端设备,获得所述物联网终端设备基于所述数据任务生成的与所述兴趣包对应的所述数据包,并协助所述物联网终端设备对所述数据包进行签名,将已签名的所述数据包返回至所述网络节点路由器;
所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果。
可选的,所述匿名消息认证系统还包括密钥生成中心和区域管理服务器,所述密钥生成中心与所述区域管理服务器、所述物联网终端设备以及所述边缘计算服务器通信连接,所述区域管理服务器与所述物联网终端设备和所述边缘计算服务器通信连接。
可选的,所述协助所述物联网终端设备对所述数据包进行签名,包括:
所述物联网终端设备发送自身的终端身份标识和终端公钥至所述边缘计算服务器;
所述边缘计算服务器对所述终端身份标识进行检查,在检查通过后,生成第一区域管理值并将所述第一区域管理值发送至所述物联网终端设备,其中,所述终端公钥与所述密钥生成中心确定的公共系统参数有关;
所述物联网终端设备利用自身的群签名密钥以及所述第一区域管理值,计算出签名参数集合,并将所述签名参数集合发送至所述边缘计算服务器,其中,所述群签名密钥与所述区域管理服务器基于所述公共系统参数确定的随机元素有关;
所述边缘计算服务器利用所述签名参数集合,生成签名并将所述签名封装至所述数据包中。
可选的,所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果,包括:
所述网络节点路由器利用所述签名对所述数据包进行数据认证,获得数据认证结果。
可选的,所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果,包括:
所述网络节点路由器在获得多个已签名的所述数据包的情况下,采用批处理技术同时验证多个已签名的所述数据包,获得数据认证结果。
可选的,所述方法还包括:
所述网络节点路由器在所述数据认证结果为通过的情况下,将所述数据包反馈给所述用户。
可选的,所述方法还包括:
所述网络节点路由器在所述数据认证结果为不通过的情况下,重新将所述兴趣包发送至所述边缘计算服务器并生成错误记录,将所述错误记录上传至区域管理服务器;
所述区域管理服务器根据所述错误记录排除故障。
一种匿名消息认证系统,所述匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,所述网络节点路由器与所述边缘计算服务器通信连接,所述边缘计算服务器与所述物联网终端设备通信连接,
所述网络节点路由器,用于接收用户发送的兴趣包;
在所述命名数据网络中的各所述网络节点路由器的缓存中均不存在与所述兴趣包对应的数据包的情况下,所述网络节点路由器还用于将所述兴趣包发送至所述边缘计算服务器;
所述边缘计算服务器,用于根据所述兴趣包,分配数据任务至一个或多个所述物联网终端设备,获得所述物联网终端设备基于所述数据任务生成的与所述兴趣包对应的所述数据包,并协助所述物联网终端设备对所述数据包进行签名,将已签名的所述数据包返回至所述网络节点路由器;
所述网络节点路由器,还用于对已签名的所述数据包进行数据认证,获得数据认证结果。
可选的,所述匿名消息认证系统还包括密钥生成中心和区域管理服务器,所述密钥生成中心与所述区域管理服务器、所述物联网终端设备以及所述边缘计算服务器通信连接,所述区域管理服务器与所述物联网终端设备和所述边缘计算服务器通信连接。
可选的,所述物联网终端设备,还用于发送自身的终端身份标识和终端公钥至所述边缘计算服务器;
所述边缘计算服务器,还用于对所述终端身份标识进行检查,在检查通过后,生成第一区域管理值并将所述第一区域管理值发送至所述物联网终端设备,其中,所述终端公钥与所述密钥生成中心确定的公共系统参数有关;
所述物联网终端设备,还用于利用自身的群签名密钥以及所述第一区域管理值,计算出签名参数集合,并将所述签名参数集合发送至所述边缘计算服务器,其中,所述群签名密钥与所述区域管理服务器基于所述公共系统参数确定的随机元素有关;
所述边缘计算服务器,还用于利用所述签名参数集合,生成签名并将所述签名封装至所述数据包中。
借由上述技术方案,本公开提供的一种匿名消息认证方法及系统,该匿名消息认证方法应用于匿名消息认证系统,匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,网络节点路由器与边缘计算服务器通信连接,边缘计算服务器与物联网终端设备通信连接,该方法包括:网络节点路由器接收用户发送的兴趣包;在命名数据网络中的各网络节点路由器的缓存中均不存在与兴趣包对应的数据包的情况下,网络节点路由器将兴趣包发送至边缘计算服务器;边缘计算服务器根据兴趣包,分配数据任务至一个或多个物联网终端设备,获得物联网终端设备基于数据任务生成的与兴趣包对应的数据包,并协助物联网终端设备对数据包进行签名,将已签名的数据包返回至网络节点路由器;网络节点路由器对已签名的数据包进行数据认证,获得数据认证结果。本公开通过引入边缘计算对数据包进行签名,使得数据认证方无法知晓签名方的信息,提高了签名及相关数据验证的安全性和高效性。
上述说明仅是本公开技术方案的概述,为了能够更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂,以下特举本公开的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本公开的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本公开实施例提供的一种匿名消息认证方法的一种实施方式的流程示意图;
图2示出了本公开实施例提供的边缘计算服务器协助物联网终端设备对数据包进行签名的一种实施方式的流程示意图;
图3示出了本公开实施例提供的一种匿名消息认证系统的一种结构示意图;
图4示出了本公开实施例提供的一种匿名消息认证系统的另一种结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本公开实施例提供的一种匿名消息认证方法,应用于匿名消息认证系统,匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,网络节点路由器与边缘计算服务器通信连接,边缘计算服务器与物联网终端设备通信连接。
其中,命名数据网络(Named Data Networking,NDN)属于信息中心网络(Information Centric Networking,ICN),保留了IP网络的沙漏结构,采用七层协议,核心是内容块协议。命名数据网络设计采用层次结构的名称,在命名数据网络模型中,每个数据块都有一个唯一的名称,类似于统一的资源标识符。与每个名称关联的内容通常是不可变的。
命名数据网络通信基于两种类型的传输包:兴趣包(Interest)和数据包(Data)。命名数据网络通信使用兴趣包来请求匹配其名称的数据包。这两种类型的传输包都有一个名称,代表传输包中传输的一段数据。通信策略完全由请求方驱动:消费者广播网络中的兴趣,并通过基于全名或部分名称的接收者驱动的即拉(Pull)机制获得数据。当中间节点接收到该信息时,如果本地没有目标数据,该信息将根据路由策略有选择地转发给其邻居。遍历路径上的任何相应的缓存数据副本都可以满足兴趣请求。消费者在收到数据包后,在数据包上验证签名,以确保信息的真实性和完整性。数据包的传输只是对兴趣包的响应,不需要进行路由和转发。数据包的传输沿着和兴趣包被传输相反的路径返回。命名数据网络的特点主要体现在灵活的路由数据选择和安全机制上。
其中,网络节点路由器(NDN Routing Node,ND)在传输过程中概率性地验证通过它的数据包。当同时接收到多个数据包时,ND可以进行批量认证,提高认证效率。
其中,物联网终端设备(End Devices,ED)收集原始数据并生成原始数据包。在加入网络之前,物联网终端设备应该向密钥生成中心(Key Generation Center,KGC)注册并预加载公共系统参数。
其中,边缘计算服务器(Mobile Edge Computing Server,MECS)执行签名操作时,边缘计算服务器与物联网终端设备进行三次交互,协助物联网终端设备生成完整签名。并负责签名的打开,即当签名遇到争议时,边缘计算服务器可以验证和跟踪可疑物联网终端设备的身份。
如图1所示,本公开实施例提供的一种匿名消息认证方法的一种实施方式的流程示意图,该匿名消息认证方法可以包括:
S100、网络节点路由器接收用户发送的兴趣包。
其中,用户可以将兴趣包发送至命名数据网络中的任一网络节点路由器。由该网络节点路由器首先在其自身的缓存中检查是否与该兴趣包对应的数据包,如果有,则将该数据包返回给该用户,如果没有,则该网络节点路由器根据路由协议广播该兴趣包至相邻的其他网络节点路由器,各其他网络节点路由器在自身的缓存中检查是否与该兴趣包对应的数据包,以此类推,直至找到该兴趣包对应的数据包。若在命名数据网络中的各网络节点路由器的缓存中都检查不到该兴趣包对应的数据包,则确定在命名数据网络中的各网络节点路由器的缓存中均不存在与兴趣包对应的数据包。
S200、在命名数据网络中的各网络节点路由器的缓存中均不存在与兴趣包对应的数据包的情况下,网络节点路由器将兴趣包发送至边缘计算服务器。
S300、边缘计算服务器根据兴趣包,分配数据任务至一个或多个物联网终端设备,获得物联网终端设备基于数据任务生成的与兴趣包对应的数据包,并协助物联网终端设备对数据包进行签名,将已签名的数据包返回至网络节点路由器。
其中,边缘计算服务器可以预先设置有任务分配策略,边缘计算服务器可以根据任务分配策略将兴趣包对应的数据任务分配给相应的物联网终端设备。
可选的,匿名消息认证系统还可以包括密钥生成中心和区域管理服务器,密钥生成中心与区域管理服务器、物联网终端设备以及边缘计算服务器通信连接,区域管理服务器与物联网终端设备和边缘计算服务器通信连接。
其中,区域管理服务器(Region Management Server,RMS)负责两项任务:1、群初始化以及群管理,包括群成员加入和退出;2、协助物联网终端设备生成群签名密钥。
其中,密钥生成中心(Key Generation Center,KGC)负责生成系统密钥,包括主公钥和主私钥,以及生成公共系统参数。密钥生成中心能够帮助物联网终端设备、区域管理服务器以及边缘计算服务器生成部分私钥。
在命名数据网络的环境下,物联网终端设备作为数据包生产者和内容发布者,即负责数据感知,也需要确保感知信息的完整性、真实性和保密性。物联网终端设备在发布数据包之前必须在信息上签名,对于私有内容,发布者可以使用加密保护它。物联网终端设备在发布数据之前,需要根在区域管理服务器中注册。当物联网终端设备的身份被验证时,区域管理服务器发出物联网终端设备的初始密钥。在发布时,物联网终端设备与区域内的边缘计算服务器交互,并在其协助下生成完整的群签名。
在匿名消息认证系统的初始化阶段,密钥生成中心生成公共系统参数以及初始密钥的分发。
具体的,密钥生成中心选择素数阶为q的两个乘法循环群G1和G2,P是G1的生成元,选择双线性对e:G1×G1→G2,选择两个hash函数H1:
Figure BDA0003536292730000071
和H2:
Figure BDA0003536292730000072
Figure BDA0003536292730000073
中选择随机元素s作为主私钥msk,并且计算Ppub=sP作为自身的主公钥mpk。其中,s作为公共系统参数的私密值,由密钥生成中心秘密保存,params=(G1,G2,P,q,e,H1,H2)作为公共系统参数公布给匿名消息认证系统中的各方。
物联网终端设备可以将其身份标识
Figure BDA0003536292730000081
发送至密钥生成中心,有密钥中心确认该物联网终端设备的身份后,计算:
Figure BDA0003536292730000082
Figure BDA0003536292730000083
其中,
Figure BDA0003536292730000084
是物联网终端设备的部分私钥psk。
密钥生成中心从安全通道将
Figure BDA0003536292730000085
发送给该物联网终端设备。该物联网终端设备在接收到psk时可以检查:
Figure BDA0003536292730000086
是否成立来验证psk的有效性。
物联网终端设备选择一个随机元素
Figure BDA0003536292730000087
作为秘密值,并且计算
Figure BDA0003536292730000088
作为公钥,并生成自身的私钥
Figure BDA0003536292730000089
同理,区域管理服务器自身的公钥是pkR=xRP,私钥是skR=(xR,DR)。边缘计算服务器自身的公钥是pkM=xMP,私钥是skM=(xM,DM)。
密钥生成中心作为一种无证书密码系统,只用于生成用户的部分私钥,因此密钥生成中心不知道各方的完整私钥。各方的私钥有两部分组成,分别是密钥生成中心生成的部分私钥和自身的秘密值。而各方的公钥是公开的,可以唯一确定各自的身份信息,由于公钥的有效性不再需要证书认证,降低了所消耗的计算资源。
群签名涉及三种实体:群管理者,开启者和群成员。群签名可以为签名者提供匿名性。任何群成员都可以对消息进行签名,但是最终的签名可以保护签名者的身份隐私。一般来说,有一个可信的第三方可以跟踪签名者的真实身份,也有一些机制支持撤销群成员,即在不影响未撤销者的签名能力情况下,把某些群成员从群内移除。
在群签名设计方案中,首先,群管理员向每个用户发放成员证书。其次,拥有成员证书的群成员可以生成群签名。验证者无法识别签名者的个人身份,但是可以判断出签名是否是由某一个群中的成员做出来的。当某个成员出现违法情况时,群管理员或者开启者有权使用开启密钥来识别相应签名的签名者的个人身份。
在群初始化阶段,物联网终端设备将其自身的身份标识
Figure BDA0003536292730000091
发送至区域管理服务器,由区域管理服务器选择一个随机元素
Figure BDA0003536292730000092
并计算:
Figure BDA0003536292730000093
然后区域管理服务器发送
Figure BDA0003536292730000094
至该物联网终端设备,发送
Figure BDA0003536292730000095
至边缘计算服务器。边缘计算服务器接收到
Figure BDA0003536292730000096
后,将
Figure BDA0003536292730000097
存入列表L1。此时,物联网终端设备完成群加入。
该物联网终端设备计算
Figure BDA0003536292730000098
作为其群签名密钥。
可选的,如图2所示,边缘计算服务器协助物联网终端设备对数据包进行签名的过程可以包括:
A100、物联网终端设备发送自身的终端身份标识和终端公钥至边缘计算服务器。
A200、边缘计算服务器对终端身份标识进行检查,在检查通过后,生成第一区域管理值并将第一区域管理值发送至物联网终端设备,其中,终端公钥与密钥生成中心确定的公共系统参数有关。
具体的,物联网终端设备首先发送身份标识
Figure BDA0003536292730000099
Figure BDA00035362927300000910
至边缘计算服务器,由边缘计算服务器检查身份标识
Figure BDA00035362927300000911
是否在列表L1中,如果
Figure BDA00035362927300000912
不在L1中,则拒绝提供签名帮助,否则,边缘计算服务器选择一个随机元素
Figure BDA00035362927300000913
计算
Figure BDA00035362927300000914
并将
Figure BDA00035362927300000915
发送至该物联网终端设备。
A300、物联网终端设备利用自身的群签名密钥以及第一区域管理值,计算出签名参数集合,并将签名参数集合发送至边缘计算服务器,其中,群签名密钥与区域管理服务器基于公共系统参数确定的随机元素有关。
具体的,物联网终端设备选择一个随机元素
Figure BDA00035362927300000916
计算:
Figure BDA00035362927300000917
Figure BDA00035362927300000918
hi=H2(M||T,Ri)
其中,T是签名时间戳。
Figure BDA00035362927300000919
然后物联网终端设备将
Figure BDA00035362927300000920
发送至边缘计算服务器。
A400、边缘计算服务器利用签名参数集合,生成签名并将签名封装至数据包中。
具体的,边缘计算服务器计算:
Figure BDA0003536292730000101
Figure BDA0003536292730000102
Figure BDA0003536292730000103
Si=wii
Figure BDA0003536292730000104
生成签名σi=(Ri,Si,Yi),然后将
Figure BDA0003536292730000105
存储在列表L2中以便进行跟踪。
然后,边缘计算服务器封装数据包,其中,该数据包所含信息包括
Figure BDA0003536292730000106
其中,Mi为数据包中的消息内容,σi为消息内容的签名、物联网终端设备的身份标识
Figure BDA0003536292730000107
和公钥
Figure BDA0003536292730000108
和签名时间戳T。接着边缘计算服务器将封装后的数据包上传至命名数据网络。
可以理解的是,在需要打开签名σi=(Ri,Si,Yi)时,边缘计算服务器可以从列表L2中识别原始签名者。
本公开实施例通过在签名阶段引入边缘计算服务器来辅助物联网终端设备完成数据包的签名,以解决签名开销和安全性问题,边缘计算服务器和物联网终端设备能够合作安全的执行签名操作。在实际情况中,边缘计算服务器还承担了认证、计算、数据处理、任务分配以及数据传输等多个任务。
S400、网络节点路由器对已签名的数据包进行数据认证,获得数据认证结果。
由于区域内命名数据网络由区域管理服务器管理。数据包验证、缓存和转发在命名数据网络中执行。由于网络规模大,命名数据网络的节点数量庞大,在实际中,很难保证每个节点都验证通过它的数据包。因此,概率检查和命中检查等多种验证方法都是提高检查效率的方法。认证成功的数据包将根据路由转发机制在命名数据网络中进行转发。与IP网络相比,命名数据网络大规模使用缓存技术。为了防止缓存污染攻击,网络节点路由器需要对数据包的签名进行数据认证。
可选的,网络节点路由器利用签名对数据包进行数据认证,获得数据认证结果。
具体的,网络节点路由器在接收到数据包后,计算:
Figure BDA0003536292730000111
是否成立来验证数据包的真实性和完整性,若等式成立,则确定该数据包的数据认证结果为通过,如果等式不成立,则确定该数据包的数据认证结果为不通过,丢弃该数据包。
可选的,网络节点路由器在获得多个已签名的数据包的情况下,采用批处理技术同时验证多个已签名的数据包,获得数据认证结果。
具体的,网络节点路由器可以通过计算:
Figure BDA0003536292730000112
是否成立来判断这些数据包的数据认证结果是否通过。
可选的,网络节点路由器在数据认证结果为通过的情况下,还可以将数据包反馈给用户。
可选的,网络节点路由器还可以在数据认证结果为不通过的情况下,重新将兴趣包发送至边缘计算服务器并生成错误记录,将错误记录上传至区域管理服务器;区域管理服务器根据错误记录排除故障。
本公开实施例针对命名数据网络中发布者的身份隐私可能被数据包泄露的问题,以及攻击者轻易就能分析出请求者行为习惯的问题,提供了一种匿名消息认证方法,通过采用基于椭圆曲线上的双线性对的无证书群签名技术,使发布者在发布内容之初可以对数据包执行群签名操作,实现匿名认证,并在签名阶段引入了边缘计算服务器来协助物联网终端设备进行签名,提高了签名及验证的安全性和高效性。同时,在验证阶段,网络节点路由器在同一时间收到多个数据包时采用批处理验证技术,提高数据包的认证效率,且验证者无法知晓签名者的个人信息,只知道是由一个群体中的成员签署的,当出现违法行为时边缘计算服务器可以打开群签名,追踪和验证可疑物联网终端设备的身份。这样既保障了发布者的隐私也保障了安全性,同时由于是无证书认证方案,所以不会出现恶意KGC攻击的问题。
本公开提供的一种匿名消息认证方法,该匿名消息认证方法应用于匿名消息认证系统,匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,网络节点路由器与边缘计算服务器通信连接,边缘计算服务器与物联网终端设备通信连接,该方法包括:网络节点路由器接收用户发送的兴趣包;在命名数据网络中的各网络节点路由器的缓存中均不存在与兴趣包对应的数据包的情况下,网络节点路由器将兴趣包发送至边缘计算服务器;边缘计算服务器根据兴趣包,分配数据任务至一个或多个物联网终端设备,获得物联网终端设备基于数据任务生成的与兴趣包对应的数据包,并协助物联网终端设备对数据包进行签名,将已签名的数据包返回至网络节点路由器;网络节点路由器对已签名的数据包进行数据认证,获得数据认证结果。本公开通过引入边缘计算对数据包进行签名,使得数据认证方无法知晓签名方的信息,提高了签名及相关数据验证的安全性和高效性。
虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
与上述方法实施例相对应,本公开实施例提供一种匿名消息认证系统,其结构如图3所示,匿名消息认证系统包括命名数据网络中的网络节点路由器100、边缘计算服务器200以及物联网终端设备300,网络节点路由器100与边缘计算服务器200通信连接,边缘计算服务器200与物联网终端设备300通信连接。
网络节点路由器100,用于接收用户发送的兴趣包。
在命名数据网络中的各网络节点路由器100的缓存中均不存在与兴趣包对应的数据包的情况下,网络节点路由器100还用于将兴趣包发送至边缘计算服务器200。
边缘计算服务器200,用于根据兴趣包,分配数据任务至一个或多个物联网终端设备300,获得物联网终端设备300基于数据任务生成的与兴趣包对应的数据包,并协助物联网终端设备300对数据包进行签名,将已签名的数据包返回至网络节点路由器100。
网络节点路由器100,还用于对已签名的数据包进行数据认证,获得数据认证结果。
可选的。基于图3所示系统,如图4所示,本公开实施例提供一种匿名消息认证系统的另一种结构示意图,匿名消息认证系统还包括密钥生成中心400和区域管理服务器500,密钥生成中心400与区域管理服务器500、物联网终端设备300以及边缘计算服务器200通信连接,区域管理服务器500与物联网终端设备300和边缘计算服务器200通信连接。
可选的,物联网终端设备300,还用于发送自身的终端身份标识和终端公钥至边缘计算服务器200。
边缘计算服务器200,还用于对终端身份标识进行检查,在检查通过后,生成第一区域管理值并将第一区域管理值发送至物联网终端设备300,其中,终端公钥与密钥生成中心400确定的公共系统参数有关。
物联网终端设备300,还用于利用自身的群签名密钥以及第一区域管理值,计算出签名参数集合,并将签名参数集合发送至边缘计算服务器200,其中,群签名密钥与区域管理服务器500基于公共系统参数确定的随机元素有关。
边缘计算服务器200,还用于利用签名参数集合,生成签名并将签名封装至数据包中。
可选的,网络节点路由器100,还用于利用签名对数据包进行数据认证,获得数据认证结果。
可选的,网络节点路由器100,还用于在获得多个已签名的数据包的情况下,采用批处理技术同时验证多个已签名的数据包,获得数据认证结果。
可选的,网络节点路由器100,还用于在数据认证结果为通过的情况下,将数据包反馈给用户。
可选的,网络节点路由器100,还用于在数据认证结果为不通过的情况下,重新将兴趣包发送至边缘计算服务器200并生成错误记录,将错误记录上传至区域管理服务器500。
可选的,区域管理服务器500,还用于根据错误记录排除故障。
本公开提供的一种匿名消息认证系统,匿名消息认证系统包括命名数据网络中的网络节点路由器100、边缘计算服务器200以及物联网终端设备300,网络节点路由器100与边缘计算服务器200通信连接,边缘计算服务器200与物联网终端设备300通信连接,该方法包括:网络节点路由器100接收用户发送的兴趣包;在命名数据网络中的各网络节点路由器100的缓存中均不存在与兴趣包对应的数据包的情况下,网络节点路由器100将兴趣包发送至边缘计算服务器200;边缘计算服务器200根据兴趣包,分配数据任务至一个或多个物联网终端设备300,获得物联网终端设备300基于数据任务生成的与兴趣包对应的数据包,并协助物联网终端设备300对数据包进行签名,将已签名的数据包返回至网络节点路由器100;网络节点路由器100对已签名的数据包进行数据认证,获得数据认证结果。本公开通过引入边缘计算对数据包进行签名,使得数据认证方无法知晓签名方的信息,提高了签名及相关数据验证的安全性和高效性。
关于上述实施例中的系统,其中各个设备执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本公开。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅为本公开的较佳实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。

Claims (10)

1.一种匿名消息认证方法,其特征在于,应用于匿名消息认证系统,所述匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,所述网络节点路由器与所述边缘计算服务器通信连接,所述边缘计算服务器与所述物联网终端设备通信连接,所述方法包括:
所述网络节点路由器接收用户发送的兴趣包;
在所述命名数据网络中的各所述网络节点路由器的缓存中均不存在与所述兴趣包对应的数据包的情况下,所述网络节点路由器将所述兴趣包发送至所述边缘计算服务器;
所述边缘计算服务器根据所述兴趣包,分配数据任务至一个或多个所述物联网终端设备,获得所述物联网终端设备基于所述数据任务生成的与所述兴趣包对应的所述数据包,并协助所述物联网终端设备对所述数据包进行签名,将已签名的所述数据包返回至所述网络节点路由器;
所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果。
2.根据权利要求1所述的方法,其特征在于,所述匿名消息认证系统还包括密钥生成中心和区域管理服务器,所述密钥生成中心与所述区域管理服务器、所述物联网终端设备以及所述边缘计算服务器通信连接,所述区域管理服务器与所述物联网终端设备和所述边缘计算服务器通信连接。
3.根据权利要求2所述的方法,其特征在于,所述协助所述物联网终端设备对所述数据包进行签名,包括:
所述物联网终端设备发送自身的终端身份标识和终端公钥至所述边缘计算服务器;
所述边缘计算服务器对所述终端身份标识进行检查,在检查通过后,生成第一区域管理值并将所述第一区域管理值发送至所述物联网终端设备,其中,所述终端公钥与所述密钥生成中心确定的公共系统参数有关;
所述物联网终端设备利用自身的群签名密钥以及所述第一区域管理值,计算出签名参数集合,并将所述签名参数集合发送至所述边缘计算服务器,其中,所述群签名密钥与所述区域管理服务器基于所述公共系统参数确定的随机元素有关;
所述边缘计算服务器利用所述签名参数集合,生成签名并将所述签名封装至所述数据包中。
4.根据权利要求3所述的方法,其特征在于,所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果,包括:
所述网络节点路由器利用所述签名对所述数据包进行数据认证,获得数据认证结果。
5.根据权利要求3所述的方法,其特征在于,所述网络节点路由器对已签名的所述数据包进行数据认证,获得数据认证结果,包括:
所述网络节点路由器在获得多个已签名的所述数据包的情况下,采用批处理技术同时验证多个已签名的所述数据包,获得数据认证结果。
6.根据权利要求1所述的方法,其特征在于,还包括:
所述网络节点路由器在所述数据认证结果为通过的情况下,将所述数据包反馈给所述用户。
7.根据权利要求2所述的方法,其特征在于,还包括:
所述网络节点路由器在所述数据认证结果为不通过的情况下,重新将所述兴趣包发送至所述边缘计算服务器并生成错误记录,将所述错误记录上传至区域管理服务器;
所述区域管理服务器根据所述错误记录排除故障。
8.一种匿名消息认证系统,其特征在于,所述匿名消息认证系统包括命名数据网络中的网络节点路由器、边缘计算服务器以及物联网终端设备,所述网络节点路由器与所述边缘计算服务器通信连接,所述边缘计算服务器与所述物联网终端设备通信连接,
所述网络节点路由器,用于接收用户发送的兴趣包;
在所述命名数据网络中的各所述网络节点路由器的缓存中均不存在与所述兴趣包对应的数据包的情况下,所述网络节点路由器还用于将所述兴趣包发送至所述边缘计算服务器;
所述边缘计算服务器,用于根据所述兴趣包,分配数据任务至一个或多个所述物联网终端设备,获得所述物联网终端设备基于所述数据任务生成的与所述兴趣包对应的所述数据包,并协助所述物联网终端设备对所述数据包进行签名,将已签名的所述数据包返回至所述网络节点路由器;
所述网络节点路由器,还用于对已签名的所述数据包进行数据认证,获得数据认证结果。
9.根据权利要求8所述的系统,其特征在于,所述匿名消息认证系统还包括密钥生成中心和区域管理服务器,所述密钥生成中心与所述区域管理服务器、所述物联网终端设备以及所述边缘计算服务器通信连接,所述区域管理服务器与所述物联网终端设备和所述边缘计算服务器通信连接。
10.根据权利要求9所述的系统,其特征在于,所述物联网终端设备,还用于发送自身的终端身份标识和终端公钥至所述边缘计算服务器;
所述边缘计算服务器,还用于对所述终端身份标识进行检查,在检查通过后,生成第一区域管理值并将所述第一区域管理值发送至所述物联网终端设备,其中,所述终端公钥与所述密钥生成中心确定的公共系统参数有关;
所述物联网终端设备,还用于利用自身的群签名密钥以及所述第一区域管理值,计算出签名参数集合,并将所述签名参数集合发送至所述边缘计算服务器,其中,所述群签名密钥与所述区域管理服务器基于所述公共系统参数确定的随机元素有关;
所述边缘计算服务器,还用于利用所述签名参数集合,生成签名并将所述签名封装至所述数据包中。
CN202210227049.5A 2022-03-08 2022-03-08 一种匿名消息认证方法及系统 Active CN114465732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210227049.5A CN114465732B (zh) 2022-03-08 2022-03-08 一种匿名消息认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210227049.5A CN114465732B (zh) 2022-03-08 2022-03-08 一种匿名消息认证方法及系统

Publications (2)

Publication Number Publication Date
CN114465732A true CN114465732A (zh) 2022-05-10
CN114465732B CN114465732B (zh) 2023-10-13

Family

ID=81417008

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210227049.5A Active CN114465732B (zh) 2022-03-08 2022-03-08 一种匿名消息认证方法及系统

Country Status (1)

Country Link
CN (1) CN114465732B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110401637A (zh) * 2019-06-28 2019-11-01 中南民族大学 一种命名数据网络中基于名字的信任方法
CN110572274A (zh) * 2019-07-29 2019-12-13 杭州电子科技大学 一种优化边缘计算节点部署和管理的命名数据网络方法
CN111556020A (zh) * 2020-03-27 2020-08-18 江苏大学 一种基于兴趣包签名边缘校验的ndn访问控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110401637A (zh) * 2019-06-28 2019-11-01 中南民族大学 一种命名数据网络中基于名字的信任方法
CN110572274A (zh) * 2019-07-29 2019-12-13 杭州电子科技大学 一种优化边缘计算节点部署和管理的命名数据网络方法
CN111556020A (zh) * 2020-03-27 2020-08-18 江苏大学 一种基于兴趣包签名边缘校验的ndn访问控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
谢英英;石涧;黄硕康;雷凯;: "面向5G的命名数据网络物联网研究综述", 计算机科学, no. 04 *

Also Published As

Publication number Publication date
CN114465732B (zh) 2023-10-13

Similar Documents

Publication Publication Date Title
Feng et al. Blockchain-based cross-domain authentication for intelligent 5G-enabled internet of drones
Wazid et al. Design of secure key management and user authentication scheme for fog computing services
Guan et al. APPA: An anonymous and privacy preserving data aggregation scheme for fog-enhanced IoT
Chai et al. CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles
Xue et al. A secure, efficient, and accountable edge-based access control framework for information centric networks
Tsang et al. Nymble: Blocking misbehaving users in anonymizing networks
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
Pallickara et al. A framework for secure end-to-end delivery of messages in publish/subscribe systems
CN108259461A (zh) 一种在分布式网络中实现可信匿名访问的方法和系统
Butler et al. Leveraging identity-based cryptography for node ID assignment in structured P2P systems
CN114125773A (zh) 基于区块链和标识密码的车联网身份管理系统及管理方法
Li et al. Privacy-aware secure anonymous communication protocol in CPSS cloud computing
Yang et al. Securing content-centric networks with content-based encryption
Aiash et al. A formally verified access control mechanism for information centric networks
Aiash et al. An integrated authentication and authorization approach for the network of information architecture
Cahyadi et al. A lightweight BT-based authentication scheme for illegal signatures identification in VANETs
CN114465732B (zh) 一种匿名消息认证方法及系统
Quercia et al. Tata: Towards anonymous trusted authentication
Cheng et al. Research on vehicle-to-cloud communication based on lightweight authentication and extended quantum key distribution
Hussain et al. Boost Secure Sockets Layer against Man-in-the-Middle Sniffing Attack via SCPK
Malina et al. Light‐weight group signatures with time‐bound membership
Lee et al. A public‐key based authentication and key establishment protocol coupled with a client puzzle
Ivanov Autonomous collision attack on OCSP services
Caubet et al. Riappa: a robust identity assignment protocol for p2p overlays
Kuznetsov et al. Cryptographic Transformations in a Decentralized Blockchain Environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant