CN115314217A - 跨多接入边缘计算系统登录方法及装置 - Google Patents

跨多接入边缘计算系统登录方法及装置 Download PDF

Info

Publication number
CN115314217A
CN115314217A CN202210864663.2A CN202210864663A CN115314217A CN 115314217 A CN115314217 A CN 115314217A CN 202210864663 A CN202210864663 A CN 202210864663A CN 115314217 A CN115314217 A CN 115314217A
Authority
CN
China
Prior art keywords
access
computing system
edge computing
token
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210864663.2A
Other languages
English (en)
Inventor
杨扬
朱韦桥
郝伟俊
王伟萌
曲左阳
纪健全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Computing Technologies of CARS
Beijing Jingwei Information Technology Co Ltd
Original Assignee
Institute of Computing Technologies of CARS
Beijing Jingwei Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technologies of CARS, Beijing Jingwei Information Technology Co Ltd filed Critical Institute of Computing Technologies of CARS
Priority to CN202210864663.2A priority Critical patent/CN115314217A/zh
Publication of CN115314217A publication Critical patent/CN115314217A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种跨多接入边缘计算系统登录方法及装置,涉及通信技术领域,包括:在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,第二多接入边缘计算系统接收用户终端发送的访问请求;第二多接入边缘计算系统向第一多接入边缘计算系统发送访问请求中的访问令牌,以供第一多接入边缘计算系统根据访问令牌向第二多接入边缘计算系统反馈用户终端对应的中止令牌;第二多接入边缘计算系统根据中止令牌生成新的访问令牌,并将新的访问令牌发送到用户终端,以供用户终端根据新的访问令牌进行后续的资源服务访问。

Description

跨多接入边缘计算系统登录方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种跨多接入边缘计算系统登录方法及装置。
背景技术
和传统云计算一样,在多接入边缘网络执行部分缓存与计算的多接入边缘计算(Multi-Access Edge Computing,MEC)技术也面临有巨大的安全风险,特别是其通常位于基站或相对易于遭受到物理攻击的区域。所以,MEC技术的应用一般要求更严密的安全策略。也因为在MEC系统中的应用程序可由第三方部署,因此第三方应用提供商可以轻易访问该环境,并收集用户的敏感数据,从而带来更大的安全压力。同时用户存在移动性问题,如果用户终端在不同MEC系统间发生频繁切换,通常需要重新进行身份认证才可建立连接。由此,上述移动性问题将大大增加服务延迟,同时降低用户体验。
因此,如何更好的实现多接入边缘计算系统登录已经成为业界亟待解决的问题。
发明内容
本发明提供一种跨多接入边缘计算系统登录方法及装置,用以解决现有技术中用户终端在不同MEC系统间发生频繁切换,通常需要重新进行身份认证才可建立连接,上述移动性问题将大大增加服务延迟,同时降低用户体验。
本发明提供一种跨多接入边缘计算系统登录方法,包括:
在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
根据本发明提供的一种跨多接入边缘计算系统登录方法,所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,包括:
所述第二多接入边缘计算系统收到所述中止令牌,对所述中止令牌和所述第一多接入边缘计算系统的身份信息进行验证;
在所述中止令牌和所述第一多接入边缘计算系统的身份信息验证通过后,所述第二多接入边缘计算系统会根据所述中止令牌中的所述第三方应用状态进行会话还原操作;
所述根据还原操作后的所述第三方应用状态生成新的访问令牌。
根据本发明提供的一种跨多接入边缘计算系统登录方法,在所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,包括:
所述第二多接入边缘计算系统根据所述访问请求提取访问令牌,并对所述访问请求进行完整性验证;
在所述完整性验证通过后,所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问令牌和所述第二多接入边缘计算系统的身份信息,以供所述第一多接入边缘计算系统对所述访问令牌和所述第二多接入边缘计算系统的身份信息进行有效性验证;
在所述有效性验证通过后,所述第二多接入边缘计算系统接收所述第一多接入边缘计算系统反馈的中止令牌。
根据本发明提供的一种跨多接入边缘计算系统登录方法,所述访问令牌是所述用户终端与所述第一多接入边缘计算系统双向身份认证成功后获取的。
本发明还提供一种跨多接入边缘计算系统登录方法,包括:
用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
根据本发明提供的一种跨多接入边缘计算系统登录方法,在所述用户终端通过访问令牌从第一MEC进行资源服务访问之前,还包括:
在所述用户终端处于所述第一多接入边缘计算系统的服务范围时,用户终端向第一多接入边缘计算系统发送申请访问请求,以供所述第一多接入边缘计算系统根据所述申请访问请求与所述用户终端进行身份验证;
在所述第一多接入边缘计算系统完成对所述用户终端身份验证的情况下,所述用户终端接收包含所述第一多接入边缘计算系统身份信息的验证反馈信息,对所述验证反馈信息进行验证;
在所述用户终端对所述验证反馈信息完成验证后,生成访问令牌,所述用户终端通过访问令牌在第一多接入边缘计算系统进行资源服务访问。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述跨多接入边缘计算系统登录方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述跨多接入边缘计算系统登录方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述跨多接入边缘计算系统登录方法。
本发明提供的一种跨多接入边缘计算系统登录方法及装置,在用户终端从第一多接入边缘计算系统的服务范围进入第二多接入边缘计算系统的服务范围的情况下,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,能够有效减少服务延迟,有效提升了用户体验。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的跨多接入边缘计算系统登录方法流程示意图之一;
图2为本申请实施例提供的跨多接入边缘计算系统登录方法流程示意图之二;
图3为本申请实施例提供的注册过程示意图;
图4为本申请实施例提供的用户终端与MEC服务器之间的双向身份认证流程图;
图5为本申请实施例提供的跨多接入边缘计算系统登录流程图;
图6为本申请实施例提供的跨多接入边缘计算系统登录装置结构示意图之一;
图7为本申请实施例提供的跨多接入边缘计算系统登录装置结构示意图之二;
图8示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
跨多接入边缘计算系统登录机制,包含实体信息如下:
其中主要包含六类实体,分别是注册中心RC(Registration Center)、多接入边缘平台管理器MEPM(Multi-Access Edge Platform Manager)、MEC主机、MEC服务器、第三方应用、用户设备UE(User Equipment);
注册中心RC:是一个可信的第三方权威机构,负责完成整个MEC系统环境的初始化、并完成MEC服务器及用户的注册;
多接入边缘平台管理器MEPM:MEPM包含MEC应用的创建、中止、认证管理等功能;
MEC主机:MEC主机是一个包含有多接入边缘平台、MEC应用和虚拟化基础设施三部分的物理实体,它主要负责提供计算、存储和网络资源;
MEC服务器:MEC服务器包含有MEPM与MEC主机,是MEC系统中核心实体的整体概括,本发明涉及有两个MEC服务器,分别为第一多接入边缘计算系统与第二多接入边缘计算系统;
第三方应用:第三方服务提供商根据业务需求而设计应用程序,第三方应用通过向MEC系统请求获取受保护资源,进而为合法用户提供应用服务;
用户终端UE:UE是用户端移动设备,用户终端为满足自身不同的服务需求,通过UE向MEC系统发送访问请求。
表1记载了本申请实施例提供的跨多接入边缘计算系统登录方法中参数与符号表示。
表1
Figure BDA0003758101730000061
图1为本申请实施例提供的跨多接入边缘计算系统登录方法流程示意图之一,如图1所示,包括:
步骤110,在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
具体地,在本申请实施例中所描述的用户终端具体可以是具备通信功能的终端设备,例如智能手机或者笔记本电脑。
本申请实施例中所描述的第一多接入边缘计算系统和第二多接入边缘计算系统均是通过在网络边缘提供云计算功能和IT服务环境的多接入边缘计算系统,且每个多接入边缘计算系统均存在其对应的服务范围。
在本申请实施例中,在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下则说明此时用户终端已经不能继续通过第一多接入边缘计算系统来进行资源服务访问,此时用户终端需要通过入第二多接入边缘计算系统来进行资源访问,此时为了避免多次验证,当UE离开原网络,请求与新的第二多接入边缘计算系统建立连接时,只需在两个MEC服务器间完成令牌检验,从而避免用户的重新认证,以此实现对第二多接入边缘计算系统中同一第三方应用的单点登录。
所以此时用户终端会将其访问第一多边接入边缘计算服务器的访问令牌,继续用于访问第二多接入边缘计算系统。
在本申请实施例中,用户终端通过原有的访问令牌向第二多接入边缘计算系统发送访问请求,此时第二多接入边缘计算系统接收所述用户终端发送的访问请求。
在一些实施例中,本申请实施例中所描述的用户终端、第一多接入边缘计算系统和第二多接入边缘计算系统,均需要在RC系统进预先注册
RC分别为用户终端与MEC服务器生成公私钥对,并对身份信息进行去标识化处理;
用户终端注册过程主要执行下列操作:
用户终端向RC发出注册请求;
RC将包括匿名身份标识,时间戳和公/私钥对的消息<AIDu,Tu,(pku,sku)}>通过加密信道发送给用户;
该过程主要执行下列操作:
首先用户终端生成时间戳Tu和密钥对,即用户私钥sku∈Z*,用户公钥pku=sku·P;
选择一个随机数ru∈Z*,连接真实身份标识IDu、私钥sku与随机数ru,并计算哈希值hu=Hash1(IDu||sku||ru);
将用户终端身份信息去标识化,生成新的匿名身份标识AIDu=hu·P;
用户终端接收来自加密信道的消息并成功校验时间戳后,保存匿名标识AIDu与密钥对(pku,sku);
MEC服务器的注册过程与用户端操作一致。RC将生成的<AIDm,Tm,(pkm,skm)>通过加密信道发送给MEC服务器,同样MEC服务器接收到消息后,校验时间戳,保存自己的匿名标识AIDm和密钥对(pkm,skm)。
步骤120,所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
具体地,在本申请实施例中,用户终端在脱离第一多接入边缘计算系统负责的范围时,MEC服务器生成中止令牌来记录会话中止时刻用户与第三方应用的状态信息,因此在用户终端脱离第一多接入边缘计算系统的服务范围时,第一多接入边缘计算系统会生成中止令牌,用来记录用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态。
在本申请实施例中,用户终端UE移动到第二多接入边缘计算系统服务范围下,想要与第一多接入边缘计算系统内相同的第三方应用服务建立连接,依然使用先前的访问令牌进行资源请求;
为确保用户终端的身份真实性与消息完整性,第二多接入边缘计算系统内的服务器(即第二多接入边缘计算系统)中MEPM模块需要对用户终端发送的访问令牌进行验证。验证过程中,第二多接入边缘计算系统首先向第一多接入边缘计算系统发送收到的访问令牌,以此请求换取中止令牌。
第一多接入边缘计算系统根据本地数据库存储的信息对来自第二多接入边缘计算系统的访问令牌进行有效性检验,同时完成对第二多接入边缘计算系统的身份验证,确认有效后,第一多接入边缘计算系统将自身信息及中止令牌发送给第二多接入边缘计算系统;
步骤130,所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
具体地,第二多接入边缘计算系统接收到信息后,验证第一多接入边缘计算系统的身份与令牌的有效性,验证成功后,会使目前部署于第二多接入边缘计算系统上的应用依据中止令牌的状态信息进行会话还原操作;
第二多接入边缘计算系统对用户信息进行更新,生成新的访问令牌,并将新的访问令牌发送访问令牌至用户;
用户终端接收到来自第二多接入边缘计算系统的新的访问令牌后,验证其有效性,验证成功后,用户使用新的访问令牌进行后续资源请求,从而实现不同MEC系统间的单点登录操作,同时之前的访问令牌将被删除作废。
在本申请实施例中,在用户终端从第一多接入边缘计算系统的服务范围进入第二多接入边缘计算系统的服务范围的情况下,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,能够有效减少服务延迟,有效提升了用户体验,并且实现了用户终端与MEC系统间的双向身份认证,保障了用户身份隐私,并保护了MEC系统内资源服务的安全。
可选地,在所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,包括:
所述第二多接入边缘计算系统根据所述访问请求提取访问令牌,并对所述访问请求进行完整性验证;
在所述完整性验证通过后,所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问令牌和所述第二多接入边缘计算系统的身份信息,以供所述第一多接入边缘计算系统对所述访问令牌和所述第二多接入边缘计算系统的身份信息进行有效性验证;
在所述有效性验证通过后,所述第二多接入边缘计算系统接收所述第一多接入边缘计算系统反馈的中止令牌。
具体地,本申请实施例中当用户发生移动后,UE脱离第一多接入边缘计算系统的服务范围,若用户想要访问部署于第二多接入边缘计算系统上的相同应用服务,用户依然使用先前的访问令牌进行资源请求,请求信息为mga
第二多接入边缘计算系统从用户的访问请求mga中提取访问令牌信息,并进行消息完整性检验;
第二多接入边缘计算系统的MEPM完成检验后,依据提取到的信息向第一多接入边缘计算系统发出请求,即申请使用来自用户的访问令牌换取中止令牌,第二多接入边缘计算系统生成请求信息<mga,hmt2,Mauthmt,PIDmt,Tmtmt>的过程如下:
完成注册过程,计算hmt1=Hash1(IDmt||skmt||rmt)和AIDmt=hmt1·P生成匿名身份AIDmt
对资源请求信息mga、时间戳Tmt和匿名身份标识AIDmt进行运算得到请求信息的验证哈希值hmt2=Hash2(mga||Tmt||AIDmt);
经过Rmt1=Hash3(pkmt||(hmt1·pkms))和
Figure BDA0003758101730000111
的运算得到身份验证信息Mauthmt
之后计算得到假名身份
Figure BDA0003758101730000112
最终计算第二多接入边缘计算系统端的签名δmt=Mauthmt+skmt·AIDmt
第一多接入边缘计算系统对接收自第二多接入边缘计算系统的消息进行验证,即完成针对第二多接入边缘计算系统的身份验证和访问令牌的有效性检验,主要涉及下列操作:
首先验证时间戳Tmt的有效性,然后通过时间戳Tmt和假名PIDmt通过XOR运算解析出匿名身份
Figure BDA0003758101730000113
根据匿名身份
Figure BDA0003758101730000114
从数据库调取对应的访问令牌进行运算得到哈希值
Figure BDA0003758101730000115
与接收到来自第二多接入边缘计算系统的hmt2比较,若
Figure BDA0003758101730000116
则确认该令牌的有效性;
经过
Figure BDA0003758101730000121
Figure BDA0003758101730000122
的计算后,得到第二多接入边缘计算系统的伪签名
Figure BDA0003758101730000123
Figure BDA0003758101730000124
则第一多接入边缘计算系统完成对第二多接入边缘计算系统的身份认证;
之后,第一多接入边缘计算系统将包含中止令牌的信息进行签名并发送至第二多接入边缘计算系统,发送的信息为<mgs,hms2,Mauthms,PIDms,Tmsms>,第一多接入边缘计算系统的MEPM模块生成该信息的过程如下:
通过注册过程生成hms1=Hash1(IDms||skms||rms)、AIDms=hms1·P和时间戳Tms,并计算假名身份
Figure BDA0003758101730000125
对包含中止令牌的消息mgs、时间戳Tms、匿名身份标识AIDms和hms1进行哈希运算得到hms2=Hash2(mgs||Tms||AIDms||hms1);
通过Rms1=Hash3(pkms||(hms1·pkmt))、
Figure BDA0003758101730000126
和δms=Mauthms+skms·AIDms的计算得到第二多接入边缘计算系统的身份签名δms
在本申请实施例中,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,提升了用户体验。
可选地,所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,包括:
所述第二多接入边缘计算系统收到所述中止令牌,对所述中止令牌和所述第一多接入边缘计算系统的身份信息进行验证;
在所述中止令牌和所述第一多接入边缘计算系统的身份信息验证通过后,所述第二多接入边缘计算系统会根据所述中止令牌中的所述第三方应用状态进行会话还原操作;
所述根据还原操作后的所述第三方应用状态生成新的访问令牌。
具体地,第二多接入边缘计算系统接收到消息后,验证第一多接入边缘计算系统的身份信息与包含中止令牌的消息mgs,主要操作过程如下:
首先验证时间戳Tms的有效性,然后通过时间戳Tms和假名PIDms解析出匿名身份
Figure BDA0003758101730000131
计算
Figure BDA0003758101730000132
Figure BDA0003758101730000133
第二多接入边缘计算系统根据第一多接入边缘计算系统发送的包含中止令牌的消息mgs进行运算得到哈希值
Figure BDA0003758101730000134
与接收到的hms2比较,若
Figure BDA0003758101730000135
则确认该令牌的有效性;
经过计算得到第一多接入边缘计算系统身份信息的伪签名
Figure BDA0003758101730000136
Figure BDA0003758101730000137
则第二多接入边缘计算系统完成对第一多接入边缘计算系统的身份认证,至此第二多接入边缘计算系统确认收到的信息是来自可信的第一多接入边缘计算系统系统;
第二多接入边缘计算系统验证信息mgs成功后,会使目前部署于自身平台上的应用依据中止令牌的状态信息进行会话还原操作;
第二多接入边缘计算系统会对用户终端信息进行更新,其MEPM从而生成新的访问令牌;
第二多接入边缘计算系统将包含新的访问令牌信息mga'发送至用户终端,发送的消息为<mga',hmt2',Mauthmt,PIDmt',Tmt',δmt′>,该消息生成过程如下:
首先生成时间戳Tmt′,之后对包含新访问令牌的消息mga'、时间戳Tmt′、匿名身份标识AIDmt和哈希值hmt1进行运算得到hmt2'=Hash2(mga'||Tmt'||AIDmt||hmt1);
计算假名身份
Figure BDA0003758101730000141
通过Rmt3=Hash3(pkmt||(hmt1·pku))、
Figure BDA0003758101730000142
和δmt'=Mauthmt+skmt·AIDmt的计算,得到第二多接入边缘计算系统的身份签名δmt';
用户终端接收到消息后,会对令牌与第二多接入边缘计算系统身份信息的签名进行真实性检验,验证过程如下:
首先验证时间戳Tmt′的有效性;
然后通过时间戳Tmt′和假名PIDmt′通过XOR运算解析出匿名身份
Figure BDA0003758101730000143
计算
Figure BDA0003758101730000144
Figure BDA0003758101730000145
之后哈希计算得到
Figure BDA0003758101730000146
将其与接收到来自第二多接入边缘计算系统的hmt2′对比,若
Figure BDA0003758101730000147
则确认该令牌的有效性;
在经过
Figure BDA0003758101730000148
的计算得到第二多接入边缘计算系统的伪签名
Figure BDA0003758101730000149
Figure BDA00037581017300001410
则用户终端完成对第二多接入边缘计算系统的身份认证,至此,用户终端成功接收到可信第二多接入边缘计算系统发送的经过验证的访问令牌;
验证成功后,用户终端会使用新生成的访问令牌进行后续资源请求,之前的访问令牌会被删除作废,因此,在后续的服务访问中,用户终端无需重复注册与登录,从而实现跨MEC系统间的单点登录操作。
在本申请实施例中,通过用户终端与MEC服务器间的双向身份认证,保障了用户身份隐私,并保护了MEC系统内资源服务的安全。
图2为本申请实施例提供的跨多接入边缘计算系统登录方法流程示意图之二,如图2所示,包括:
步骤210,用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
具体地,在本申请实施例中,用户到达第一多接入边缘计算系统所属范围内,为获取应用服务,向第一多接入边缘计算系统发出申请访问请求,请求信息通过安全信道发送至MEC服务器;
第一多接入边缘计算系统接收到用户的申请访问信息后,交由MEPM模块进一步处理,进而完成对用户的身份信息验证;
MEPM确认用户的身份后,同样将包含自身信息的消息发送至用户终端,供用户端验证身份,至此用户终端与第一多接入边缘计算系统之间的双向认证完成;
与第一多接入边缘计算系统完成双向认证的用户,为避免重复的登录操作,后续使用访问令牌进行资源服务访问,同时,第一多接入边缘计算系统持续检测用户访问第三方应用的情况,确保会话在线状态。
当其检测到用户终端会话状态为离线后,会对所述用户终端的第三方应用状态进行保存,生成中止令牌。
步骤220,在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
在本申请实施例中,在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下则说明此时用户终端已经不能继续通过第一多接入边缘计算系统来进行资源服务访问,此时用户终端需要通过入第二多接入边缘计算系统来进行资源访问,此时为了避免多次验证,当UE离开原网络,请求与新的第二多接入边缘计算系统建立连接时,只需在两个MEC服务器间完成令牌检验,从而避免用户的重新认证,以此实现对第二多接入边缘计算系统中同一第三方应用的单点登录。
所以此时用户终端会将其访问第一多边接入边缘计算服务器的访问令牌,继续用于访问第二多接入边缘计算系统。
在本申请实施例中,用户终端通过原有的访问令牌向第二多接入边缘计算系统发送访问请求,此时第二多接入边缘计算系统接收所述用户终端发送的访问请求。
在本申请实施例中,用户终端UE移动到第二多接入边缘计算系统服务范围下,想要与第一多接入边缘计算系统内相同的第三方应用服务建立连接,依然使用先前的访问令牌进行资源请求;
为确保用户终端的身份真实性与消息完整性,第二多接入边缘计算系统内的服务器(即第二多接入边缘计算系统)中MEPM模块需要对用户终端发送的访问令牌进行验证。验证过程中,第二多接入边缘计算系统首先向第一多接入边缘计算系统发送收到的访问令牌,以此请求换取中止令牌。
第一多接入边缘计算系统根据本地数据库存储的信息对来自第二多接入边缘计算系统的访问令牌进行有效性检验,同时完成对第二多接入边缘计算系统的身份验证,确认有效后,第一多接入边缘计算系统将自身信息及中止令牌发送给第二多接入边缘计算系统;
具体地,第二多接入边缘计算系统接收到信息后,验证第一多接入边缘计算系统的身份与令牌的有效性,验证成功后,会使目前部署于第二多接入边缘计算系统上的应用依据中止令牌的状态信息进行会话还原操作;
第二多接入边缘计算系统对用户信息进行更新,生成新的访问令牌,并将新的访问令牌发送访问令牌至用户。
步骤230,所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
用户终端接收到来自第二多接入边缘计算系统的新的访问令牌后,验证其有效性,验证成功后,用户使用新的访问令牌进行后续资源请求,从而实现不同MEC系统间的单点登录操作,同时之前的访问令牌将被删除作废。
在本申请实施例中,在用户终端从第一多接入边缘计算系统的服务范围进入第二多接入边缘计算系统的服务范围的情况下,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,能够有效减少服务延迟,有效提升了用户体验,并且实现了用户终端与MEC系统间的双向身份认证,保障了用户身份隐私,并保护了MEC系统内资源服务的安全。
可选地,所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,包括:
所述第二多接入边缘计算系统收到所述中止令牌,对所述中止令牌和所述第一多接入边缘计算系统的身份信息进行验证;
在所述中止令牌和所述第一多接入边缘计算系统的身份信息验证通过后,所述第二多接入边缘计算系统会根据所述中止令牌中的所述第三方应用状态进行会话还原操作;
所述根据还原操作后的所述第三方应用状态生成新的访问令牌。
可选地,在所述用户终端通过访问令牌从第一MEC进行资源服务访问之前,还包括:
在所述用户终端处于所述第一多接入边缘计算系统的服务范围时,用户终端向第一多接入边缘计算系统发送申请访问请求,以供所述第一多接入边缘计算系统根据所述申请访问请求与所述用户终端进行身份验证;
在所述第一多接入边缘计算系统完成对所述用户终端身份验证的情况下,所述用户终端接收包含所述第一多接入边缘计算系统身份信息的验证反馈信息,对所述验证反馈信息进行验证;
在所述用户终端对所述验证反馈信息完成验证后,生成访问令牌,所述用户终端通过访问令牌在第一多接入边缘计算系统进行资源服务访问。
具体地,在本申请实施例中,用户终端与多接入边缘计算系统进行双向身份认证后
该阶段完成用户终端与MEC服务器端的双向认证过程,主要执行以下操作:
UE通过计算生成身份认证信息、用户假名、时间戳、与签名<Mauthu,PIDu,Tuu>,之后通过安全信道一起发送至MEC服务器;计算过程如下:
UE将注册阶段去标识化过程中生成的匿名身份标识AIDu、哈希值hu与时间戳Tu连接,并使用Hash2()计算最终得到新的哈希值h1=Hash2(Tu||hu||AIDu);
利用hu、自身公钥pku、MEC服务器公钥pkm,通过哈希计算得到中间随机值Ru=Hash3(pku||(hu·pkm));
对注册阶段生成的hu、中间值Ru以及时间戳Tu进行XOR运算,生成身份验证信息
Figure BDA0003758101730000191
对匿名身份AIDu与时间戳Tu进行XOR操作生成动态假名
Figure BDA0003758101730000192
对身份验证信息Mauthu与哈希值h1进行XOR运算,得到共享密钥
Figure BDA0003758101730000193
利用AIDu、自身私钥sku和共享密钥Ku计算,得到UE签名δu=Ku+sku·AIDu
MEC服务器端收到消息后交由MEPM进行后续处理,对用户的身份进行验证。MEPM验证用户身份信息过程如下:
首先检验时间戳Tu,若不满足阈值要求,则直接拒绝;
验证通过后,利用XOR运算解析出匿名身份
Figure BDA0003758101730000194
通过计算
Figure BDA0003758101730000195
并与用户公钥pku连接进行哈希运算,得到伪随机值
Figure BDA0003758101730000196
利用生成的伪随机值Ru和收到的时间戳Tu、身份信息参数Mauthu,通过XOR计算推出
Figure BDA0003758101730000197
计算
Figure BDA0003758101730000198
之后与Mauthu进行XOR运算得到共享密钥
Figure BDA0003758101730000199
之后,通过计算得到新的用户签名
Figure BDA00037581017300001910
将其与收到的签名进行对比,若
Figure BDA00037581017300001911
则确认用户的身份可靠性。至此,MEC服务器完成对用户的身份认证;
之后,MEPM使用同样方法生成身份验证信息、假名身份、自身签名和时间戳,即<Mauthm,PIDmm,Tm>,通过加密信道传递给用户;MEPM计算<Mauthm,PIDmm,Tm>信息过程如下:
利用注册阶段保存的信息先后经过h2=Hash2(hm||Tm||AIDm)、Rm=Hash3(pkm||(hm·pku))和
Figure BDA00037581017300001912
运算得到身份验证信息Mauthm
计算假名身份
Figure BDA00037581017300001913
经过
Figure BDA0003758101730000201
和δm=Km+skm·AIDm运算得到签名δm
用户接收到来自MEC服务器的消息后,验证MEC的身份信息;
验证步骤如下:
首先验证时间戳Tm的有效性,利用自身私钥sku与之前解析出的
Figure BDA0003758101730000202
通过哈希计算得到伪随机值
Figure BDA0003758101730000203
使用身份验证信息Mauthm计算
Figure BDA0003758101730000204
得到共享密钥
Figure BDA0003758101730000205
最后利用
Figure BDA0003758101730000206
得到MEPM端伪签名
Figure BDA0003758101730000207
若与之前收到的δm一致,用户则确认MEC服务器的身份,至此,用户终端与MEC服务器间的双向身份认证完成。
在本申请实施例中,通过用户终端与MEC服务器间的双向身份认证,保障了用户终端的身份隐私,并保护了MEC系统内资源服务的安全。
图3为本申请实施例提供的注册过程示意图,如图3所示,包括:
步骤1,用户终端向RC(注册中心)发出注册请求;
步骤2,RC为用户终端生成时间戳和用户终端的密钥对,将用户终端身份信息去标识化,生成新的匿名身份标识;
步骤3,RC将包括匿名身份标识,时间戳和公/私钥对的消息通过加密信道发送给用户终端;
步骤4,用户终端接收来自加密信道的消息并成功校验时间戳后,保存匿名标识与密钥对。
图4为本申请实施例提供的用户终端与MEC服务器之间的双向身份认证流程图,如图4所示,包括:
步骤1,用户终端将生成的身份认证信息、用户终端假名、时间戳、与签名通过安全信道一起发送至MEC服务器;
步骤2,MEC端收到消息后交由MEPM进行后续处理,首先检验时间戳,解析出匿名身份等信息,将计算出的签名与与收到的签名进行对比,若一致,则确认用户终端的身份可靠性,即完成对用户终端的身份认证;
步骤3,MEPM使用与用户终端同样方法生成身份验证信息、假名身份、自身签名和时间戳,通过加密信道传递给用户终端;
步骤4,用户终端接收到来自MEC服务器的消息后,解析出MEC服务器的匿名身份,计算出共享密钥,最后将得到MEPM端的伪签名与收到的签名比较,若一致,则确认MEC的身份信息。至此,用户终端与MEC服务器间的双向身份认证完成。
图5为本申请实施例提供的跨多接入边缘计算系统登录流程图,如图5所示,包括:
步骤1,与源MEC完成双向认证的用户,为避免重复的登录操作,后续使用访问令牌进行资源访问。同时,MEC系统持续检测用户访问应用的情况,确保会话在线状态;
步骤2,当用户脱离当前MEC系统负责的范围,源MEC生成中止令牌来记录会话中止时刻应用的状态;
步骤3,UE移动到目标MEC的服务范围内,若想要访问源MEC上的同一应用服务,此时依然使用先前的访问令牌进行资源请求;
步骤4,为确保用户身份真实性与消息完整性,目标MEC需要对用户发送的访问请求进行验证;
步骤5,MEPM完成验证后,目标MEC向源MEC发送访问令牌,以此来换取中止令牌;
步骤6,源MEC根据本地数据库存储的信息对来自目标MEC的访问令牌进行有效性检验,之后对目标MEC的身份信息进行验证;
步骤7,源MEC将自身信息及中止令牌发送给目标MEC;
步骤8,目标MEC接收到信息后,验证源MEC的身份与令牌的有效性;
步骤9,验证成功后,会使目前部署于目标MEC上的应用依据中止令牌的状态信息进行会话还原操作;
步骤10,目标MEC对用户信息进行更新,MEPM生成新的访问令牌;
步骤11,MEPM将新的访问令牌进行签名,之后发送令牌至用户端;
步骤12,用户接收到来自目标MEC的访问令牌后,验证其有效性;
步骤13,验证成功后,用户使用新的访问令牌进行后续资源请求,从而实现跨MEC系统间的单点登录操作,并将之前的访问令牌被删除作废。
下面对本发明提供的跨多接入边缘计算系统登录装置进行描述,下文描述的跨多接入边缘计算系统登录装置与上文描述的跨多接入边缘计算系统登录方法可相互对应参照。
图6为本申请实施例提供的跨多接入边缘计算系统登录装置结构示意图之一,如图6所示,包括:第一接收模块610、第一发送模块620和第二发送模块630;其中,第一接收模块610用于在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;其中,第一发送模块620用于所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于对所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,用户终端的第三方应用状态进行保存;其中,第二发送模块630用于所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
在本申请实施例中,通过在用户终端从第一多接入边缘计算系统的服务范围进入第二多接入边缘计算系统的服务范围的情况下,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,能够有效减少服务延迟,有效提升了用户体验。
图7为本申请实施例提供的跨多接入边缘计算系统登录装置结构示意图之二,如图7所示,包括:
其中,第一访问模块710用于用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
其中,请求模块720用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
其中,第二访问模块730用于所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
在本申请实施例中,通过在用户终端从第一多接入边缘计算系统的服务范围进入第二多接入边缘计算系统的服务范围的情况下,通过基于令牌的用户状态传输机制,实现了跨MEC系统间的单点登录,避免了用户重复的注册过程,能够有效减少服务延迟,有效提升了用户体验。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行跨多接入边缘计算系统登录方法,该方法包括:在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
或者包括:
用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的跨多接入边缘计算系统登录方法,该方法包括:在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
或者包括:
用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的跨多接入边缘计算系统登录方法,该方法包括:在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
或者包括:
用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种跨多接入边缘计算系统登录方法,其特征在于,包括:
在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,对所述用户终端的第三方应用状态进行保存;
所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
2.根据权利要求1所述的跨多接入边缘计算系统登录方法,其特征在于,所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,包括:
所述第二多接入边缘计算系统收到所述中止令牌,对所述中止令牌和所述第一多接入边缘计算系统的身份信息进行验证;
在所述中止令牌和所述第一多接入边缘计算系统的身份信息验证通过后,所述第二多接入边缘计算系统会根据所述中止令牌中的所述第三方应用状态进行会话还原操作;
所述根据还原操作后的所述第三方应用状态生成新的访问令牌。
3.根据权利要求1所述的跨多接入边缘计算系统登录方法,其特征在于,在所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,包括:
所述第二多接入边缘计算系统根据所述访问请求提取访问令牌,并对所述访问请求进行完整性验证;
在所述完整性验证通过后,所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问令牌和所述第二多接入边缘计算系统的身份信息,以供所述第一多接入边缘计算系统对所述访问令牌和所述第二多接入边缘计算系统的身份信息进行有效性验证;
在所述有效性验证通过后,所述第二多接入边缘计算系统接收所述第一多接入边缘计算系统反馈的中止令牌。
4.根据权利要求1所述的跨多接入边缘计算系统登录方法,其特征在于,所述访问令牌是所述用户终端与所述第一多接入边缘计算系统双向身份认证成功后获取的。
5.一种跨多接入边缘计算系统登录方法,其特征在于,包括:
用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
6.根据权利要求5所述的跨多接入边缘计算系统登录方法,其特征在于,在所述用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问之前,还包括:
在所述用户终端处于所述第一多接入边缘计算系统的服务范围时,用户终端向第一多接入边缘计算系统发送申请访问请求,以供所述第一多接入边缘计算系统根据所述申请访问请求与所述用户终端进行身份验证;
在所述第一多接入边缘计算系统完成对所述用户终端身份验证的情况下,所述用户终端接收包含所述第一多接入边缘计算系统身份信息的验证反馈信息,对所述验证反馈信息进行验证;
在所述用户终端对所述验证反馈信息完成验证后,生成访问令牌,所述用户终端通过访问令牌在第一多接入边缘计算系统进行资源服务访问。
7.一种跨多接入边缘计算系统登录装置,其特征在于,包括:
第一接收模块,用于在用户终端脱离第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述第二多接入边缘计算系统接收所述用户终端发送的访问请求;
第一发送模块,用于所述第二多接入边缘计算系统向所述第一多接入边缘计算系统发送所述访问请求中的访问令牌,以供所述第一多接入边缘计算系统根据所述访问令牌向所述第二多接入边缘计算系统反馈所述用户终端对应的中止令牌,其中,所述中止令牌用于对所述用户终端脱离所述第一多接入边缘计算系统的服务范围时,用户终端的第三方应用状态进行保存;
第二发送模块,用于所述第二多接入边缘计算系统根据所述中止令牌生成新的访问令牌,并将所述新的访问令牌发送到所述用户终端,以供所述用户终端根据所述新的访问令牌进行后续的资源服务访问。
8.一种跨多接入边缘计算系统登录装置,其特征在于,包括:
第一访问模块,用于用户终端通过访问令牌从第一多接入边缘计算系统进行资源服务访问;
请求模块,用于在所述用户终端脱离所述第一多接入边缘计算系统的服务范围,进入第二多接入边缘计算系统的服务范围的情况下,所述用户终端根据所述访问令牌向所述第二多接入边缘计算系统进行资源请求,以供所述第二多接入边缘计算系统根据所述访问令牌从所述第一多接入边缘计算系统获取所述用户终端对应的中止令牌,并根据所述中止令牌生成新的访问令牌;
第二访问模块,用于所述用户终端获取所述新的访问令牌,并根据所述新的访问令牌进行后续的资源服务访问。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述跨多接入边缘计算系统登录方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述跨多接入边缘计算系统登录方法。
CN202210864663.2A 2022-07-21 2022-07-21 跨多接入边缘计算系统登录方法及装置 Pending CN115314217A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210864663.2A CN115314217A (zh) 2022-07-21 2022-07-21 跨多接入边缘计算系统登录方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210864663.2A CN115314217A (zh) 2022-07-21 2022-07-21 跨多接入边缘计算系统登录方法及装置

Publications (1)

Publication Number Publication Date
CN115314217A true CN115314217A (zh) 2022-11-08

Family

ID=83857469

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210864663.2A Pending CN115314217A (zh) 2022-07-21 2022-07-21 跨多接入边缘计算系统登录方法及装置

Country Status (1)

Country Link
CN (1) CN115314217A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7325872B1 (ja) 2022-12-21 2023-08-15 株式会社ZenmuTech 秘匿計算システム、情報処理装置、コンピュータープログラムおよびアクセス権管理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7325872B1 (ja) 2022-12-21 2023-08-15 株式会社ZenmuTech 秘匿計算システム、情報処理装置、コンピュータープログラムおよびアクセス権管理方法

Similar Documents

Publication Publication Date Title
CN110337797B (zh) 用于执行双因素认证的方法
US10387639B2 (en) Apparatus and method for API authentication using two API tokens
CN106209749B (zh) 单点登录方法及装置、相关设备和应用的处理方法及装置
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
WO2019085531A1 (zh) 一种终端联网认证的方法和装置
CN106921663B (zh) 基于智能终端软件/智能终端的身份持续认证系统及方法
CN108282779B (zh) 天地一体化空间信息网络低时延匿名接入认证方法
CN105657474B (zh) 在视频应用中使用基于身份签名体制的防盗链方法及系统
CN108322416B (zh) 一种安全认证实现方法、装置及系统
WO2018021708A1 (ko) 공개키 기반의 서비스 인증 방법 및 시스템
US11356442B2 (en) Wearable device-based identity authentication method and system
WO2014014793A1 (en) Anti-cloning system and method
US8504824B1 (en) One-time rotating key for third-party authentication
CN109672675A (zh) 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN107612949B (zh) 一种基于射频指纹的无线智能终端接入认证方法及系统
KR20110083886A (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN110278084B (zh) eID建立方法、相关设备及系统
JP2011070513A (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
CN109561431B (zh) 基于多口令身份鉴别的wlan接入访问控制系统及方法
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN115314217A (zh) 跨多接入边缘计算系统登录方法及装置
CN117336092A (zh) 一种客户端登录方法、装置、电子设备和存储介质
CN104901967A (zh) 信任设备的注册方法
CN116647345A (zh) 权限令牌的生成方法以及装置、存储介质、计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination