CN116249108A - 一种IoT用户感知数据可信上链的边缘计算密钥管理方法 - Google Patents
一种IoT用户感知数据可信上链的边缘计算密钥管理方法 Download PDFInfo
- Publication number
- CN116249108A CN116249108A CN202310181797.9A CN202310181797A CN116249108A CN 116249108 A CN116249108 A CN 116249108A CN 202310181797 A CN202310181797 A CN 202310181797A CN 116249108 A CN116249108 A CN 116249108A
- Authority
- CN
- China
- Prior art keywords
- key
- iot user
- iot
- node
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种IoT用户感知数据可信上链的边缘计算密钥管理方法,属于移动边缘计算数据安全传输领域。设计了IoT用户智能设备和边缘中心服务器的距离优先级,保存距离优先级更高的密钥,提高区块链外部边缘中心网络的连通率和IoT用户智能设备抵御捕获的性能。计算移动边缘网络的树状结构无环图的最优划定,将边缘网络划定为若干子边缘网络,子边缘网络中的IoT用户智能设备可以迅速验证移入子边缘网络的移动IoT用户的智能设备,能够抵御区块链网络中的双重消费攻击。与其他近三年的四种基于移动边缘计算的区块链密钥管理方法实验比较,本发明所提出的方法减少密钥管理方法中计算成本、通讯成本和存储成本。
Description
技术领域
本发明属于移动边缘计算数据安全传输领域,具体涉及一种物联网IoT用户感知数据可信上链的边缘计算密钥管理方法。
背景技术
移动群智感知网络中的感知数据上传至区块链系统采用交易方式,并通过节点共识机制将上链的感知数据永久存储于区块链中,在物理世界中没有被存储于区块链系统中的感知数据称为链下感知数据。区块链是统一存储感知数据的记账方法,需要多网络节点协同维护,通过密码学技术确保感知数据传输和访问的安全性。区块链的多节点共识和篡改困难的特性决定只要将感知数据上传至区块链系统中,则可实现资金在区块链中的固定,并且履行智能合约,对链上感知数据进行检验、存储和维护操作。所以,区块链系统对上链感知数据的真实性和安全性有很高要求,但是在真实场景中,区块链系统本身的密码学方法只能确保区块链上已交易感知数据的可靠性,不能验证上链前感知数据的可靠性和安全性。若不可信的感知数据上传至区块链,则表示在区块链中已上链交易的感知数据从根源上被篡改,产生的不良作用远超于传统的中心化模式,将会失去区块链系统的安全性和可信性。
区块链技术中特有的智能合约为运行在区块链中的可执行代码,并且能够促进不受信任节点之间传输感知数据的协议。智能合约的局限性为不可以对区块链外部的数据操作,这为预言机的可信实体提供机会,预言机能够通过链外数据源获取感知数据,并且上传至链上的智能合约,同时IoT用户智能设备也可以为可信感知数据上链提供支持。在区块链应用中,结合移动边缘计算,能够将智能合约的网络节点部署在距离IoT用户智能设备附近的网络节点,促进区块链交易行为的验证和执行。所以,急需钻研链外感知数据的可信上链安全机制,保障区块链系统中感知数据的可靠性。
为解决区块链系统中链外感知数据的安全传输和感知数据上链的时延问题,提出一种Io T用户感知数据可信上链的边缘计算密钥管理方法,提高链外感知数据传输的安全性,降低感知数据上链的时延。设计远程云端物联网中心为区块链的主链,边缘中心服务器为软件和硬件预言机的子链,物联网终端的移动设备为软件、硬件、人工预言机的孙链,提供云中心、边缘服务器和感知终端设备中预言机协同优化的安全高效感知数据传输,实现低时延区块体上链,保证千万级数据量的感知数据上链时延小于1秒。
发明内容
本发明的目的是为了解决现有技术存在的上述问题,提供一种IoT用户感知数据可信上链的边缘计算密钥管理方法。与其他近三年的四种基于移动边缘计算的区块链密钥管理方法实验比较,本发明所提出的方法减少密钥管理方法中计算成本、通讯成本和存储成本。
本发明提供的IoT用户感知数据可信上链的边缘计算密钥管理方法,参见附图15,主要包括如下关键步骤:
第1、模型建立:
第1.1、区块链预言机系统流程;
第1.2、基于预言机的IoT用户边缘计算密钥管理系统模型构建;
第2、基于IoT用户密钥优先级的密钥预分发方法:
第2.1、边缘中心网络模型;
第2.1.1、建立密钥容器;
第2.1.2、生成密钥环;
第2.1.3、生成共享密钥;
第2.2、基于密钥优先级的密钥预分发方法;
第2.2.1、预分发密钥;
第2.2.2、生成基于IoT用户节点密钥优先级高的密钥;
第2.2.3、IoT用户节点感知数据传输策略;
第2.2.4、IoT用户节点的连通性分析;
第2.2.5、IoT用户节点感知数据传输的安全性分析;
第2.2.6、IoT用户节点感知数据计算和传输的代价分析;
第2.2.7、IoT用户节点抵抗捕获的性能分析;
第3、基于预言机的IoT用户边缘计算密钥管理方法:
第3.1、问题定义;
第3.2、IoT用户的移动性分析;
第3.3、密钥管理方法的安全性分析;
第4、算法描述:
第4.1、IoT用户智能设备计算数字签名公开密钥和数字签名私有密钥。选择随机变量,并生成IoT用户智能设备的通信公开密钥和通信私有密钥,IoT用户智能设备的数字签名公开密钥和通信公开密钥通过无线电波传输至区块链预言机中,IoT用户智能设备的数字签名私有密钥和通信私有密钥存储在本地IoT用户智能设备中。计算IoT用户智能设备的连通率。根据公式(11),计算IoT用户智能设备的抵抗捕获的性能;
第4.2、IoT用户智能设备选取随机变量,并生成IoT用户智能设备的通信公开密钥的数字签名和IoT用户智能设备的通信公开密钥的数字签名集合。选择在本地IoT用户智能设备中储存的随机变量,计算IoT用户智能设备在区块链预言机中屏蔽身份信息传输感知数据的私有地址。IoT用户智能设备通过无线电波传送通信公开密钥的数字签名至新移入的子边缘网络中,然后子边缘网络中的全部IoT用户智能设备根据数字签名公开密钥验证通信公开密钥的数字签名;
第4.3、计算区块链中区块体头部信息的随机变量。子边缘网络中IoT用户智能设备根据数字签名公开密钥验证通信公开密钥,在时间戳值内,打包接收的通信公开密钥数据至一个区块体。IoT用户智能设备根据区块链中区块体头部信息的随机变量穷举得出符合难度系数的散列函数。当IoT用户智能设备完成工作量证明共识机制中数学难题求解时,产生包括全部新移入子边缘网络的IoT用户智能设备的密钥的区块体,IoT用户智能设备移入子边缘网络中;
第4.4、IoT用户智能设备移入子边缘网络数量中,通过无线电波传送根据数字签名私有密钥完成数字签名的通信公开密钥至新移入的子边缘网络中。IoT用户智能设备根据数字签名公开密钥验证通信公开密钥。新移入的子边缘网络中IoT用户智能设备数量追踪区块链中交易行为数据验证IoT用户智能设备身份信息。计算IoT用户智能设备移入和移出子边缘网络的概率。如果验证IoT用户智能设备身份信息通过,则IoT用户智能设备移入新的子边缘网络中,否则,IoT用户智能设备产生一组新的通信公开密钥和通信私有密钥,并且再次申请移入子边缘网络,当IoT用户智能设备移出子移动边缘网络时,保存通信公开密钥在区块链网络中。由于区块链网络不能够修改只能够增加,下一次IoT用户智能设备移入子边缘网络树状结构无环图时,能够通过保存的密钥数据迅速验证IoT用户智能设备的身份信息;
第5、实验分析:
第5.1、实验环境和参数设置;
第5.2、IoT用户节点的连通概率;
第5.3、IoT用户节点抵抗捕获的性能;
第5.4、密钥管理方法的计算成本;
第5.5、密钥管理方法的存储成本;
第5.6、密钥管理方法的通信成本;
第5.7、成本控制参数分析;
第5.8、抵御攻击的安全性能。
本发明的优点和积极效果:
为了解决区块链系统外部物联网边缘中心服务器中感知数据可信上链的问题,以及在感知数据可信上链过程中计算成本、通讯成本和存储成本较高的问题,本发明设计一种IoT用户感知数据可信上链的边缘计算密钥管理方法(OMECKM,edge computing keymanagement method based on oracle machine module)。本发明的优点和积极效果如下:
(1)设计移动边缘计算中基于位置优先级的密钥预分发方法,将密钥容器中的密钥和IoT用户智能设备节点的位置建立对应关系,计算IoT用户智能设备节点和密钥之间的距离,并且按照距离大小计算距离优先级,选择距离优先级高的密钥,使得该密钥管理方法能够实现较强的网络连通性能,并且提高IoT用户智能设备节点抵抗捕获的性能。
(2)将边缘网络划定为若干子边缘网络,按照子边缘网络中IoT用户智能设备的数量和子边缘网络中边缘中心服务器的计算能力和存储能力,子边缘网络作为密钥树结构中的密钥树节点。在子边缘网络中,全部的IoT用户协同维护其区块链的预言机。子边缘网络区块链预言机中保存的密钥数据将上传至密钥树结构中上一层密钥树节点,最后将密钥数据保存至密钥树结构的树根节点中,实现抵御区块链网络中的双重消费攻击,降低基于移动边缘计算的区块链密钥管理方法的计算成本、通讯成本和存储成本。
附图说明
图1是区块链预言机系统流程图;
图2是基于预言机的IoT用户边缘计算密钥管理系统模型图;
图3是OMECKM密钥预分发方法的部分连通概率图;
图4是单个密钥周期的密钥预分发方法的部分连通概率图;
图5是多个密钥周期的密钥预分发方法的部分连通概率图;
图6是IoT用户智能移动设备节点抵抗捕获的性能图;
图7是密钥管理方法的计算成本图;
图8是IoT用户智能移动设备节点的内存成本图;
图9是密钥管理方法的存储成本图;
图10是IoT用户智能移动设备节点的通信成本图;
图11是密钥管理方法的通讯成本图;
图12是不同占比控制参数对密钥管理成本的作用图;
图13是相同占比控制参数对密钥管理成本的作用图;
图14是抵御双重消费攻击的安全性能图;
图15是IoT数据可信上链的边缘计算密钥管理方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。所举实例只用于解释本发明,并不用于限定本发明。
为了更清晰地描述IoT用户感知数据可信上链的边缘计算密钥管理方法,本实例采用Wi ndows 10操作系统,开发工具为Eclipse,开发语言为Java,其软件开发工具包为JDK-8u221,来完成数据处理和分析。具体实施过程详述如下:
第1、模型建立。
第1.1、区块链预言机系统流程。
预言机通常为区块链中的第三方服务,是实现外部感知数据源和执行程序交互的接口。预言机仅承担感知数据的可靠收集,不干涉区块链的交易行为,预言机系统如图1所示。通过用户端应用软件,移动IoT用户采用智能合约调配使用的方式提出预言机的服务申请,通过调配使用内部智能合约的预言机服务接口,通知区块链的执行程序,移动IoT用户希望进行一次包括预言机服务的交易形为。执行程序中检测出移动IoT用户对预言机的服务申请,使用内部信息通信组件将其发送至预言机,该服务申请中封装申请外部感知数据源的信息。预言机接收到服务申请后,按照定时器设置的时间间隔向外部感知数据源申请感知数据,获取感知数据后上传至交易行为生成器生成一次新的内部回调交易行为,并对该交易行为执行数字签名,上传至可信执行环境中的验证节点,通过批准阈值的预言机共识机制为验证节点提供安全技术保障,保证交易行为的不可篡改性。可信执行环境发送这次回调交易行为至执行程序,实施对获取的感知数据安排、控制、存储操作,此时则完成一次包括预言机服务的区块链交易行为。
第1.2、基于预言机的IoT用户边缘计算密钥管理系统模型构建。
将边缘网络划定为若干子边缘网络和子雾网络,基于预言机的边缘计算密钥管理系统模型如图2所示。区块链预言机中保存全部移动IoT用户智能设备的加密通讯公开密钥。移动IoT用户依靠保存在子边缘网络中区块链预言机的通讯公开密钥和同一子边缘网络的其他IoT用户传输感知数据。子边缘网络中的区块链预言机共识能够上传至邻近云中心的子雾网络的预言机中。下层的子边缘网络的区块链交易行为数据会上传至上层区块链的网络节点,网络节点采用可验证随机方法选择若干网络节点检验区块链,上层区块链中网络节点会在子边缘网络中通过无线电波传输区块。当一个IoT用户智能设备移入另一个子边缘网络中,新的子边缘网络中IoT用户能够检验本地IoT用户和高层子边缘网络中区块链预言机的密钥数据,并且在其余子边缘网络中检验新移入的IoT用户智能设备是否完成过身份信息核验,从而迅速检验IoT用户智能设备的身份信息。因为区块链为具有可信时间戳的队列线性结构,以及其中的密钥数据能够通过线性映射追踪,从而有效地追踪到所需区块链中交易行为,减少密钥生成的成本。子边缘网络中的IoT用户能够在区块链预言机中按照可信时间戳验证密钥数据,追踪涉及新移入的IoT用户智能设备的第一项密钥数据就是最新的密钥数据,这是由于区块链存在动态数列特性,仅能够增加但是不能够改写区块链的数据库记录。当一个IoT用户智能设备移入到一个新的子边缘网络中,区块链预言机会生成一组新的通信公开密钥和通信私有密钥。区块链预言机中保存通信公开密钥,并且通过无线电波传输至边缘网络中。子边缘网络中本地的IoT用户智能设备保存通信私有密钥。IoT用户能够在区块链预言机中通过通信公开密钥加密感知数据,并且IoT用户智能设备之间能够相互传输感知数据。子边缘网络中本地IoT用户智能设备保存通信公开密钥对应的通信私有密钥,可以解密被通信公开密钥加密的感知数据。IoT用户智能设备不必进行任何操作就可以直接移出移动边缘网络的树状结构无环图。
第2、基于IoT用户密钥优先级的密钥预分发方法。
第2.1、边缘中心网络模型。
在移动物联网边缘中心网络覆盖范围内,IoT用户智能移动设备节点采集和传输感知数据,在每个规定的周期内需要传输感知数据至边缘中心服务器。
第2.1.1、建立密钥容器。
在边缘中心网络模型中每个规定的密钥周期结束后,需要更换密钥容器,最初密钥容器包含m枚随机产生的密钥。每个密钥周期结束时,两枚相邻的密钥执行异或逻辑运算,根据安全的哈希方法H生成下一次密钥容器中的一枚密钥。将密钥容器变量赋值为默认值,如公式(1)所示。
Z0={z0,1,z0,2,z0,3,...,z0,m-1,z0,m} (1)
其中,公式(1)中的0表示密钥容器初始化的第0个密钥周期,Z为密钥容器,Z0为第0个密钥周期的密钥容器,z为密钥,z0,1为第0个密钥周期的第1枚密钥,z0,m为第0个密钥周期的第m枚密钥,m为密钥容器中密钥的数量,所有的密钥均为随机产生的密钥。
第t个枚密钥周期中密钥容器的密钥如公式(2)所示。
Zt={zt,1,zt,2,zt,3,...,zt,m-1,zt,m} (2)
其中,t为第t个密钥周期,Zt为第t个密钥周期的密钥容器,zt,1为第t个密钥周期的第1枚密钥,zt,m为第t个密钥周期的第m枚密钥。第t个密钥周期的密钥容器Zt中第m枚密钥(最后一枚密钥)按照随机产生方式获得1枚新的密钥zt,m。
第t+1个密钥周期中密钥容器中的密钥如公式(3)所示。
Zt+1={zt+1,1,zt+1,2,zt+1,3,...,zt+1,m-1,zt+1,m} (3)
其中,第t+1个密钥周期的密钥容器Zt+1中第1枚密钥zt+1,1为第t个密钥周期(前一个密钥周期)的密钥容器Zt中的第1枚密钥zt,1和第2枚密钥zt,2执行异或逻辑运算和安全的哈希方法H得出第t+1个密钥周期的密钥容器Zt+1中的第1枚密钥。第t+1个密钥周期的密钥容器Zt+1中第2枚密钥zt+1,2为第t个密钥周期(前一个密钥周期)的密钥容器Zt中的第2枚密钥zt,2和第3枚密钥zt,3执行异或逻辑运算和安全的哈希方法H得出第t+1个密钥周期的密钥容器Zt+1中的第2枚密钥。
密钥的生成过程如公式(4)所示。
其中,s为第s个密钥。zt+1,s为第t+1个密钥周期的密钥容器Zt+1中第s枚密钥,zt+1,s为第t个密钥周期(前一个密钥周期)的密钥容器Zt中的第s枚密钥zt,s和第s+1枚密钥zt,s+1执行异或逻辑运算和安全的哈希方法H得出第t+1个密钥周期的密钥容器Zt+1中的第s枚密钥。第t+1个密钥周期的密钥容器Zt+1中第m枚密钥(最后一枚密钥)按照随机产生方式获得一枚新的密钥zt+1,m。
第2.1.2、生成密钥环。
在密钥预分发过程中,每个IoT用户智能移动设备节点在当前密钥周期的密钥容器中选择x枚连续的密钥保存为1组密钥环,需要保存y组密钥环。所以,IoT用户智能移动设备节点保存的密钥数量为w=x*y。IoT用户智能移动设备节点通过保存的密钥和其余IoT用户节点传输感知数据。按照IoT用户智能移动设备节点执行感知任务时间l的正态分布,设置x=(1/2)l。通过伪随机函数P选取密钥,同一个IoT用户智能移动设备节点不可以产生相邻的2组密钥环。
第2.1.3、生成共享密钥。
若IoT用户智能移动设备节点N1执行感知任务的时间在第t个密钥周期,则IoT用户节点N1需要在[t,t+l-1]密钥周期区间和其余IoT用户智能移动设备节点安全地传输感知数据。若IoT用户智能移动设备节点N1执行感知任务的时间在第t个密钥周期,IoT用户智能移动设备节点N2执行感知任务的时间在第r个密钥周期,并且t≤r,则IoT用户节点N1和IoT用户节点N2需要在[r,t+l]密钥周期区间相同密钥。对全部的相同密钥进行异或逻辑运算和安全的哈希方法H获得IoT用户智能移动设备节点N1和IoT用户智能移动设备节点N2传输感知数据的共享密钥
第2.2、基于密钥优先级的密钥预分发方法。
第2.2.1、预分发密钥。
将密钥容器中的每枚密钥元素和移动物联网边缘中心服务器覆盖范围中的IoT用户智能移动设备节点每个位置元素相互完全匹配。在密钥的预分发过程,IoT用户智能移动设备节点在密钥容器中选择y组密钥环,每组x枚连续的密钥,总共保存w=x*y种不相同的密钥,同时保存每组密钥环的第1个密钥的身份标识,保存的密钥环身份标识集合为I={i1,i2,i3,...,iy-1,iy},其中iy为第y组密钥环的身份标识。
第2.2.2、生成基于IoT用户节点密钥优先级高的密钥。
在移动物联网边缘中心覆盖范围内生成IoT用户智能移动设备节点位置坐标(u,v)和密钥容器中密钥的位置坐标(p,q),计算IoT用户智能移动设备节点位置和密钥容器中密钥位置的距离D,如公式(5)。
D=sqrt[(u-p)2-(v-q)2] (5)
按照IoT用户智能移动设备节点位置和密钥容器中密钥位置的距离由小到大计算IoT用户节点的距离优先级高低。感知节点的位置优先级从高到低排序为{1,2,3,...,o,...,n},其中,n为IoT用户智能移动设备节点密钥预分发的密钥数量,o为IoT用户智能移动设备节点保存的密钥数量。如果IoT用户智能移动设备节点保存o枚密钥,则删除IoT用户智能移动设备节点位置优先级低于o的密钥。
第2.2.3、IoT用户节点感知数据传输策略。
选定IoT用户智能移动设备节点的密钥后,通过无线电波传送密钥环身份标识,搜索出和自身IoT用户智能移动设备节点的密钥相同的相邻IoT用户智能移动设备节点。如果IoT用户智能移动设备节点N1和相邻的IoT用户智能移动设备节点N2有唯一相同的密钥,则选择该相同的密钥为共享密钥安全地传输感知数据。如果IoT用户智能移动设备节点N1和相邻的IoT用户智能移动设备节点N2具有多个相同的密钥,则对全部的相同密钥进行异或逻辑运算和安全的哈希方法H,获得共享密钥,并且进行安全的感知数据传输。
第2.2.4、IoT用户节点的连通性分析。
其中,密钥容器中的密钥数量为m,IoT用户智能移动设备节点保存的密钥数量为o。
计算两个IoT用户智能移动设备节点保存密钥相交的空间大小R(S)如公式(7)所示。
R(S)=2*[arccos(S/2o)]*o2-S*sqrt(o2-S2/4) (7)
其中,两个IoT用户智能移动设备节点的距离为S。
IoT用户智能移动设备节点在R(S)范围中保存的密钥数量Go,S如公式(8)所示。
Go,S=rounddown[o*R(S)/m] (8)
两个IoT用户智能移动设备节点保存密钥相交的空间大小R(S)范围内分布的密钥数量Gm,S如公式(9)所示。
Gm,S=rounddown[n*R(S)/k] (9)
因此,移动物联网边缘中心服务器覆盖范围为k,基于位置优先级的IoT用户节点密钥预分发方法中相邻的IoT用户智能移动设备节点的密钥相同概率,即IoT用户智能移动设备节点的连通率Q(S),如公式(10)所示。
第2.2.5、IoT用户节点感知数据传输的安全性分析。
基于位置优先级的IoT用户节点密钥预分发方法中计算密钥的位置优先级,保留密钥位置优先级较高的密钥,降低IoT用户智能移动设备节点保存的密钥数量,即降低IoT用户智能移动设备节点被攻击者捕获后可能会暴露的密钥数量。基于位置优先级的IoT用户节点密钥预分发方法能够确保密钥的前向保密性和后向保密性。IoT用户智能移动设备节点在执行感知任务时,每个密钥周期都具不同的密钥,新的密钥周期的密钥会更换上一个周期的密钥,同时删除上一个周期的密钥,确保密钥预分发方法的前向保密性。IoT用户智能移动设备节点在移动物联网边缘中心服务器的覆盖范围中的计算和存储性能是有限的,如果IoT用户节点被攻击者捕获,攻击者捕获的数量不多的密钥根据时间的消耗会失去利用的意义,确保密钥预分发方法的后向保密性。
第2.2.6、IoT用户节点感知数据计算和传输的代价分析。
基于位置优先级的IoT用户节点密钥预分发方法中计算和排序密钥距离优先级,通过比较方法选择最终保存的密钥,其计算代价较小,在整体算法性能的影响上是能够认可的。相邻的IoT用户智能移动设备节点具备相同密钥的比率提高,降低相邻的IoT用户智能设备节点间感知数据的传输代价和无线电波传送量。IoT用户智能移动设备节点传输感知数据损耗的能量远高于计算损耗的能量,基于位置优先级的IoT用户节点密钥预分发方法少量增加感知数据的计算代价实现减少感知数据的传输代价的目的,增强IoT用户节点密钥预分发方法的性能。
第2.2.7、IoT用户节点抵抗捕获的性能分析。
假设攻击者捕获的IoT用户智能移动设备节点数量为Icapture,IoT用户智能移动设备节点总数为a,IoT用户智能移动设备节点的抵抗捕获率为UResistCapture,如公式(11)所示。
UResistCapture=1-Icapture/a (11)
其中,Icapture/a为攻击者捕获IoT用户智能移动设备节点的比率。
第3、基于预言机的IoT用户边缘计算密钥管理方法。
第3.1、问题定义。
移动IoT用户智能设备的移动特性提高对其更换和分配一枚公开密钥和对应私有密钥的频率。在移动IoT用户智能设备移入或者移出子边缘网络时,子边缘网络的边缘中心密钥管理员实时更换和分配该子边缘网络中移动IoT用户智能设备的密钥,从而保证子边缘网络的安全性。密钥树结构的构建以及密钥变换和分配的成本取决于子边缘网络的划定情况。在移动边缘网络中移动IoT用户智能设备数量确定的情况下,若子边缘网络中的移动IoT用户智能设备数量较多,则移动IoT用户的移动特性会使得密钥变换成本较多,而密钥分配的成本较少。若子边缘网络中的移动IoT用户智能设备数量较少,因为子边缘网络数量提高,所以密钥变换的成本降低,以及密钥分配的成本提高。
将划定完成的移动边缘网络建模为树状结构无环图X=(Y,Z),其中,Y为子边缘网络集,Z为子边缘网络的关系集。子边缘网络中包含的移动IoT用户能够相互传输感知数据。移动边缘网络的树状结构无环图X中全部的划定情况为X={X1,X2,…,Xd},d为移动边缘网络划定情况的总数。第j种移动边缘网络的树状结构无环图划定情况为Xj=(Yj,Zj),其中Yj为第j个子边缘网络集,Zj为第j个子边缘网络的关系集。基于预言机的IoT用户边缘计算密钥管理方法需要实现移动边缘网络的树状结构无环图X的最优划定,以实现子边缘网络集Y中移动IoT用户移入或者移出子边缘网络的密钥变换成本最小化、密钥分配成本最小化和密钥保存成本最小化的目的。
基于预言机的IoT用户边缘计算密钥管理方法的目标函数如公式(12)所示。
其中,Mh为第j个子边缘网络集Yj中第h个子边缘网络,E为基于预言机的IoT用户边缘计算密钥管理方法中密钥管理的全部成本,E(Mh)为第j个子边缘网络集Yj中第h个子边缘网络中密钥管理的全部成本,包括密钥变换成本、密钥分配成本和密钥保存成本三个部分。J(Mh)为第j个子边缘网络集Yj中第h个子边缘网络的密钥变换成本,K(Mh)为第j个子边缘网络集Yj中第h个子边缘网络的密钥分配成本,L(Mh)为第j个子边缘网络集Yj中第h个子边缘网络的密钥保存成本。η为密钥变换成本的控制参数;θ为密钥分配成本的控制参数;λ为密钥保存成本的控制参数,满足η,θ,λ∈(0,1]。
基于预言机的IoT用户边缘计算密钥管理方法的目的是在移动边缘网络的树状结构无环图X的全部划定情况中获得最优划定结果Xbest相应的最优子边缘网络集Ybest中的密钥管理全部成本E最少。目标函数min∑E(Mh)需要满足如下约束。约束一:满足约束一能够保证第j种移动边缘网络的树状结构无环图划定情况Xj是移动边缘网络的树状结构无环图X中最优划定结果Xbest中的子树状结构无环图。约束二:/>满足约束二能够保证全部子边缘网络在第j种移动边缘网络的树状结构无环图划定情况Xj中。约束三:/>满足约束三能够保证全部子树状结构无环图不存在相交的情况,同一个移动IoT用户唯一存在于一个子边缘网络中。
第j个子边缘网络集Yj中第h个子边缘网络的密钥变换成本J(Mh)如公式(13)所示。
J(Mh)=Ah×T(Mh)+Bh (13)
其中,T(Mh)为第j个子边缘网络集Yj中第h个子边缘网络Mh在移动边缘网络的树状结构无环图Xj的入度和出度之和,Ah为以毫秒为单位的时间内第j个子边缘网络集Yj中第h个子边缘网络Mh中移动IoT用户的改变数量,Bh为第j个子边缘网络集Yj中第h个子边缘网络Mh中执行区块链预言机共识机制的计算成本。
第j个子边缘网络集Yj中第h个子边缘网络的密钥分配成本K(Mh)如公式(14)所示。
K(Mh)=Fh×Vh (14)
其中,Fh为第j个子边缘网络集Yj中第h个子边缘网络Mh中移动IoT用户的数量,Vh为第j个子边缘网络集Yj中第h个子边缘网络Mh中密钥分配的通信速度。
第j个子边缘网络集Yj中第h个子边缘网络的密钥保存成本L(Mh)如公式(15)所示。
L(Mh)=Fh×Wh (15)
其中,Wh为第j个子边缘网络集Yj中第h个子边缘网络Mh中传输密钥的长度。
第3.2、IoT用户的移动性分析。
IoT用户智能设备在子边缘网络中是随机移入和移出的,在最坏情况下,子边缘网络中全部的IoT用户智能设备随机和顺序地移入移动边缘网络的树状结构无环图X中,随后再随机地移出和移入到移动边缘网络的树状结构无环图X中的其余任意子边缘网络,最终移出子边缘网络。假定在移动边缘网络中存在IoT用户智能设备数量为i,子边缘网络的数量为δ。每个IoT用户智能设备选取一个子边缘网络加入的机率为1/δ,所以全部IoT用户智能设备均为随机和平均地选取要移入的子边缘网络。移动边缘网络的树状结构无环图X中IoT用户智能设备移入和移出子边缘网络的过程满足Poisson分布。IoT用户智能设备移入和移出子边缘网络的概率Λ如公式(16)所示。
Λ(ζ)=[Ψζ/(ζ!)]×(1/eΨ) (16)
其中,Λ为IoT用户智能设备移入和移出子边缘网络的概率,ζ为第ζ个IoT用户智能设备,并且ζ∈[1,i],Ψ为IoT用户智能设备移入和移出子边缘网络的期望,并且Ψ=i/δ,e为自然对数,并且e≈2.71828。基于预言机的IoT用户边缘计算密钥管理方法中时间戳值θ根据预言机的共识机制执行时间得出,在任意时间戳值θ中,全部移入子边缘网络的IoT用户智能设备均能够选取在下一个时间戳值(θ+1)中移出该子边缘网络。
第3.3、密钥管理方法的安全性分析。
采用分布式区块链预言机能够在移动边缘计算的密钥管理方法中支持可信和高效的密钥服务。每个IoT用户智能设备均具备一组通信密钥,包括通信公开密钥和通信私有密钥,以及一组数字签名密钥,包括数字签名公开密钥和数字签名私有密钥。公开密钥加密的感知数据只可以使用对应的私有密钥解密。IoT用户智能设备为子边缘网络中其余IoT用户智能设备通过无线电波传输公开密钥。IoT用户智能设备的数字签名密钥组可以验证传递感知数据时通信公开密钥的可信性。子边缘网络中IoT用户按照时间戳值验证IoT用户智能设备的公开密钥,经过相互博弈解决预言机共识机制中的数学难题,并生成下一个区块体。第一个完成预言机中共识机制操作的IoT用户需要将可信验证后的公开密钥传输至一个区块体,同时增加该区块体至区块链中。IoT用户智能设备能够采用预言机中的通信公开密钥和子边缘网络中的其余IoT用户智能设备传输感知数据。区块链为仅能够增加但是不能够改写的去中心化感知数据中心,区块链网络中全部IoT用户均具备该区块链上全部感知数据的复本,共同证明共识的完成,所有已经添加至区块链中的感知数据均不能被改写。
本发明中基于预言机的IoT用户边缘计算密钥管理方法可以确保感知数据的前向保密性和后向保密性。IoT用户智能设备使用保存在区块链中的公开密钥和其余IoT用户智能设备传输感知数据,而且私有密钥一直存储在本地IoT用户智能设备中,如果迅速验证身份信息不成功,IoT用户移入下一个子边缘网络才会产生新的一组公开密钥和私有密钥,否则不需要产生密钥。攻击者不能窃取IoT用户智能设备的感知数据明文,因为必须获得IoT用户智能设备的私钥或者笼络区块链网络中百分之五十一的网络节点才可行,但这在定理5.1中证明是不能实现的,所以本发明中基于预言机的IoT用户边缘计算密钥管理方法可以确保感知数据的后向保密性。另外,虽然IoT用户智能设备的物理位置始终在移动,但是私有密钥一直保存在本地IoT用户智能设备中,所以本发明中基于预言机的IoT用户边缘计算密钥管理方法不必在之前的子边缘网络中维持感知数据的前向保密性,即本发明方法可以确保感知数据的前向保密性。
第4、算法描述。
第4.1、在算法1基于预言机的IoT用户边缘计算密钥管理方法的算法中,根据公式(4)和公式(5),第ζ个IoT用户智能设备计算数字签名公开密钥χζ,sign_public和数字签名私有密钥χζ,sign_privacy。选择随机变量并运算/>可以生成第ζ个IoT用户智能设备的通信公开密钥χζ,public=(ω,χζ,sign_public)和通信私有密钥/>第ζ个IoT用户智能设备的数字签名公开密钥χζ,sign_public和通信公开密钥χζ,public通过无线电波传输至区块链预言机中,第ζ个IoT用户智能设备的数字签名私有密钥χζ,sign_privacy和通信私有密钥χζ,privacy存储在本地IoT用户智能设备中。根据公式(10),计算第ζ个IoT用户智能设备的连通率。根据公式(11),计算第ζ个IoT用户智能设备的抵抗捕获的性能。
第4.2、第ζ个IoT用户智能设备选取随机变量κ∈H,并生成第ζ个IoT用户智能设备的通信公开密钥χζ,public的数字签名IoT用户智能设备的通信公开密钥的数字签名集合为Ω={φ1,sign,φ2,sign,…,φζ,sign,…,,φi,sign}其中,/>为散列函数/> 并且/>选择在本地IoT用户智能设备中储存的随机变量σ∈Zl,计算第ζ个IoT用户智能设备在区块链预言机中屏蔽身份信息传输感知数据的私有地址/>第ζ个IoT用户智能设备通过无线电波传送通信公开密钥χζ,public的数字签名φζ,sign至新移入的子边缘网络中,然后子边缘网络中的全部IoT用户智能设备根据数字签名公开密钥χζ,sign_public验证通信公开密钥χζ,public的数字签名φζ,sign。
第4.3、l为区块链中区块体头部信息的随机变量。子边缘网络中第ζ个IoT用户智能设备根据数字签名公开密钥χζ,sign_public验证通信公开密钥χζ,public,在时间戳值内,打包接收的通信公开密钥χζ,public数据至一个区块体。IoT用户智能设备根据区块链中区块体头部信息的随机变量l穷举得出符合难度系数的散列函数其中,/>为区块体的头部信息,/>为长度为256位的安全散列函数。当IoT用户智能设备完成工作量证明共识机制中数学难题求解,即计算SHA-256散列算法中头部零的数量和之前散列函数中头部零的数量相同时,产生包括全部新移入子边缘网络的IoT用户智能设备的密钥的区块体,第ζ个IoT用户智能设备移入第j个子边缘网络中。
第4.4、第ζ个IoT用户智能设备移入第j+1个子边缘网络数量中,通过无线电波传送根据数字签名私有密钥χζ,sign_privacy完成数字签名的通信公开密钥χζ,public=(ω,χζ,sign_public)至新移入的第j+1个子边缘网络中。第ζ个IoT用户智能设备根据数字签名公开密钥χζ,sign_public验证通信公开密钥χζ,public。新移入的子边缘网络j+1中第μ个IoT用户智能设备数量追踪区块链中交易行为数据验证第ζ个IoT用户智能设备身份信息。根据公式(16),计算第ζ个IoT用户智能设备移入和移出子边缘网络的概率Λ。如果验证第ζ个IoT用户智能设备身份信息通过,则第ζ个IoT用户智能设备移入新的子边缘网络j+1中,否则,第ζ个IoT用户智能设备产生一组新的通信公开密钥χζ,public和通信私有密钥χζ,privacy,并且再次申请移入j+1子边缘网络,当第ζ个IoT用户智能设备移出第j+1个子移动边缘网络时,保存通信公开密钥χζ,public在区块链网络中。由于区块链网络不能够修改只能够增加,下一次IoT用户智能设备移入子边缘网络树状结构无环图时,能够通过保存的密钥数据迅速验证IoT用户智能设备的身份信息。根据公式(12),计算基于预言机的IoT用户边缘计算密钥管理方法中密钥管理的全部成本
算法1的步骤如下所示:
第5、实验分析。
第5.1、实验环境和参数设置。
实验采用Windows 10操作系统,开发工具为Eclipse,开发语言为Java,其软件开发工具包为JDK-8u221,来完成数据处理和分析。IoT用户智能移动设备节点的密钥预分发方法中实验参数设置如表1所示。设置密钥容器中密钥的数量m为8000枚,移动物联网边缘中心服务器覆盖范围k为500米*500米,IoT用户智能移动设备节点数量a为600台,IoT用户智能移动设备节点传输感知数据的区域b为50米,IoT用户智能移动设备节点执行感知任务的时间限制l为60分钟,密钥环中的密钥数量x为10枚。假设每个密钥周期包含20个子密钥周期c,实验选择密钥周期的范围为[0,210],每个新的密钥周期开始后,密钥容器中会更换密钥,实验执行50次,求平均值作为实验结果。
表1实验参数设置
对比实验的四种区块链密钥管理方法分别为:方法1:一种基于联盟链的密钥管理和认证方法。方法2:一种基于区块链的车联网去中心化密钥管理方法。方法3:一种基于移动边缘计算的区块链密钥管理方法。方法4:基于雾网络的移动物联网中区块链密钥管理方法。
第5.2、IoT用户节点的连通概率。
IoT用户智能移动设备节点的连通概率包含整体连通概率和部分连通概率。整体连通概率为2个IoT用户智能移动设备节点之间通过另1个IoT用户智能移动设备节点或者多个IoT用户智能设备节点执行安全地传输感知数据的概率。部分连通概率为任意2个相邻的IoT用户智能移动设备节点存在相同密钥的比率。2个相邻的IoT用户智能移动设备节点为两者距离不大于其感知数据的传输范围。
方法2、方法3和OMECKM密钥预分发方法的整体连通概率均为百分之百。本节主要分析IoT用户智能移动设备节点的部分连通概率。在移动物联网边缘中心网络中,部分连通概率达到百分之八十就可以实现IoT用户智能移动设备节点间安全地传输感知数据。IoT用户智能移动设备节点预分发的密钥数量分别为550,500,450,400和350。OMECKM密钥预分发方法的部分连通概率的实验如图3所示,通过基于IoT用户智能移动设备节点距离优先级生成密钥的优先级,保存不同密钥数量,获得相应的部分连通概率。选取不同的预分发密钥数量与IoT用户节点保留的密钥数量都可以改变IoT用户节点的部分连通概率。增加预分发密钥的数量会提高相邻的IoT用户智能移动设备节点具备相同密钥的比率,IoT用户智能移动设备节点保存的密钥数量和部分连通概率成正比。在OMECKM密钥预分发方法中,当预分发的密钥数量为350时,IoT用户智能移动设备节点的部分连通概率最小;当预分发的密钥数量为550时,IoT用户智能移动设备节点的部分连通概率最大。当预分发的密钥数量为350,并且保存的密钥数量为250时,以及当预分发的密钥数量为550,并且保存的密钥数量为175时,IoT用户智能移动设备节点的部分连通概率均实现百分之八十以上,能够满足IoT用户节点间安全地传输感知数据。
在单个密钥周期中,方法3和OMECKM密钥预分发方法的部分连通概率的实验如图4所示。IoT用户智能移动设备节点预分发的密钥数量分别为550,500,450,通过IoT用户智能移动设备节点的距离优先级计算密钥优先级,在预分发的密钥中保存不同的密钥数量,实验得出相应的部分连通概率。随着预分发密钥数量和保存的密钥数量的增加,方法3和OMECKM密钥预分发方法的部分连通概率均随之增加。在预分发的密钥数量相同,并且保存的密钥数量相同的情况下,OMECKM密钥预分发方法的部分连通概率均高于方法3。当预分发的密钥数量为350时,方法3中IoT用户智能移动设备节点的部分连通概率最小;当预分发的密钥数量为550时,OMECKM密钥预分发方法中IoT用户智能移动设备节点的部分连通概率最大。当预分发的密钥数量为450,并且保存的密钥数量为300时,以及当预分发的密钥数量为550,并且保存的密钥数量为200时,IoT用户智能移动设备节点的部分连通概率均实现百分之八十以上,能够满足IoT用户节点间安全地传输感知数据。
在多个密钥周期中,方法2、方法3和OMECKM密钥预分发方法的整体连通概率实验对比如图5所示,密钥周期的范围为[0,210]。方法2和方法3中IoT用户智能移动设备节点预分发的密钥数量分别为375、350和325,OMECKM密钥预分发方法中IoT用户智能移动设备节点预分发的密钥数量分别为550,500和450,通过IoT用户智能移动设备节点距离优先级计算出密钥的优先级后,均保存300枚密钥。实验对比获得方法2、方法3和OMECKM密钥预分发方法的整体连通概率。OMECKM密钥预分发方法能够采用更少的密钥数量实现比方法2和方法3更高的IoT用户智能移动设备节点的部分连通概率。
第5.3、IoT用户节点抵抗捕获的性能。
在移动物联网的边缘中心网络中,IoT用户智能移动设备节点抵抗捕获的性能为攻击者捕获若干IoT用户节点后,剩余并未被捕获的IoT用户节点安全通讯的比率。方法2、方法3和OMECKM密钥预分发方法中IoT用户智能移动设备节点抵抗捕获的性能如图6所示。在每个密钥周期内,攻击者均随机性地捕获2、4、6个IoT用户智能移动设备节点,并且窃取在当前时间点被捕获的IoT用户智能移动设备节点存储在主存储器中的全部密钥,之后开始攻击移动物联网中边缘中心网络。实验选取IoT用户智能移动设备节点的连通概率为百分之八十以上的方法2、方法3和OMECKM密钥预分发方法进行对比。OMECKM密钥预分发方法中预分发的密钥数量为450,通过IoT用户智能移动设备节点距离优先级计算密钥优先级后,保存275枚密钥,方法3选取325枚密钥,方法2选取350枚密钥。在IoT用户智能移动设备节点的部分连通概率相同的条件下,OMECKM密钥预分发方法比方法3和方法2采用更少的密钥数量,实现更强的IoT用户节点抵抗捕获的性能。
第5.4、密钥管理方法的计算成本。
如图7所示,设置IoT用户智能设备节点的数量分别为120、180、240、300、360、420、480、540和600。密钥管理方法的计算成本为密钥变换阶段全部IoT用户智能设备的中央处理器操作时长总和。按照公式(13),OMECKM方法中计算成本包含产生密钥的成本、划定移动边缘网络的树状结构无环图X的成本和预言机中完成工作量证明共识机制中数学难题的成本。OMECKM方法中密钥变换阶段的成本比方法1、方法2、方法3和方法4的密钥变换成本平均减少81.05%、30.13%、18.26%和4.88%。在IoT用户智能设备数量在[120,240]范围的情况下,OMECKM方法和方法4的密钥变换成本相似。在IoT用户智能设备数量在[240,600]范围的情况下,随着IoT用户智能设备数量的不断增多,OMECKM方法中的计算性能不断提高,从而能够采取更多的运算力完成预言机中工作量证明共识机制中的数学难题。
第5.5、密钥管理方法的存储成本。
在移动物联网的边缘中心网络中,IoT用户智能移动设备节点满足百分之八十以上的部分连通概率就可以在边缘中心网络中安全地传输感知数据。实验选取部分连通概率在百分之八十以上的密钥预分发方法进行对比。假设IoT用户智能移动设备节点中密钥环身份标识I的存储容量为16比特,IoT用户节点中每枚密钥的大小为256比特。在IoT用户智能移动设备节点中存储密钥容器,存储预分发的密钥,通过IoT用户智能移动设备节点的距离优先级计算密钥优先级,放弃密钥优先级较低的密钥,恢复主存储器容量,并未提高IoT用户智能移动设备节点的存储成本,OMECKM密钥预分发方法可以达到比方法3和方法2采用更少的密钥实现相同或者更高的部分连通概率。方法2、方法3和OMECKM密钥预分发方法的存储成本,即主存储器占用情况如图8所示。
其中,横坐标M2(325)表示方法2预分发和保存的密钥数量均为325枚;M3(300)表示方法3预分发和保存的密钥数量均为300枚;MP300(275)表示预分发的密钥数量为300枚,保存的密钥数量为275枚;MP(250)表示预分发的密钥数量为325枚,保存的密钥数量为250枚;MP350(225)表示预分发的密钥数量为350枚,保存的密钥数量为225枚。设置IoT用户智能设备节点的数量为35。尽管OMECKM密钥预分发方法要求开始存储的密钥数量较多,然而当IoT用户智能移动设备节点通过其距离优先级计算并执行密钥优先级后,会放弃密钥优先级较低的密钥,并且恢复主存储器中的容量,所以不存在提高主存储器占用量的情况。OMECKM密钥预分发方法提高IoT用户智能移动设备节点的部分连通概率,降低密钥预分发方法中的密钥数量,从而降低主存储器的占用量。
如图9所示,设置IoT用户智能设备节点的数量分别为120、180、240、300、360、420、480、540和600。根据公式(15),密钥管理方法的存储成本为IoT用户智能设备节点和子边缘网络的边缘中心密钥管理员在保存密钥阶段保存密钥数据的大小。OMECKM方法的存储成本比方法1、方法2、方法3和方法4的密钥保存成本平均减少30.96%、12.51%、9.02%和4.13%。OMECKM方法采用分布式密钥管理方法,区块链网络中全部IoT用户均具备该区块链上全部感知数据的复本,共同证明共识的完成。IoT用户智能设备节点根据密钥优先级放弃密钥优先级较低的密钥,减少主存储器容量。
第5.6、密钥管理方法的通信成本。
当IoT用户智能移动设备节点移动到移动物联网的边缘中心网络覆盖范围中,需要和相邻的IoT用户智能移动设备安全地传输感知数据。方法2、方法3和OMECKM密钥预分发方法的通信成本如图10所示。设置IoT用户智能设备节点的数量为20。将如下五种IoT用户智能移动设备节点的部分连通概率为百分之八十的密钥预分发策略进行通信成本的对比:1)方法2预分发和保存的密钥数量均为325枚;2)方法3预分发和保存的密钥数量均为300枚;3)OMECKM密钥预分发方法的预分发的密钥数量为300枚,保存的密钥数量为275枚;4)OMECKM密钥预分发方法的预分发的密钥数量为325枚,保存的密钥数量为250枚;5)OMECKM密钥预分发方法的预分发的密钥数量为350枚,保存的密钥数量为225枚。其中,OMECKM密钥预分发方法在执行密钥优先级的筛选后,放弃较多密钥优先级较低的密钥,对比方法2和方法3,IoT用户智能移动设备节点的通信成本明显降低。
如图11所示,设置IoT用户智能设备节点的数量分别为120、180、240、300、360、420、480、540和600。密钥管理方法的通信成本为密钥分配阶段传输感知数据的大小。根据公式(14),OMECKM方法的通信成本为IoT用户智能设备节点通过无线电波传输通讯公开密钥产生的。OMECKM方法中全部IoT用户智能设备节点均通过无线电波将其通信公开密钥传输至所在的子边缘网络中,同时IoT用户智能设备节点产生的区块体会通过无线电波传输至子边缘网络中的全部IoT用户智能设备节点。OMECKM方法的通讯成本比方法1、方法2、方法3和方法4的密钥分配成本平均减少27.41%、19.78%、16.03%和3.75%。
第5.7、成本控制参数分析。
基于预言机的IoT用户边缘计算密钥管理方法中密钥管理的全部成本由密钥变换成本的控制参数η、密钥分配成本的控制参数θ和密钥保存成本的控制参数λ调控。设置IoT用户智能设备的数量取值范围为[100,300]。图12和图13说明密钥管理的成本和三种控制参数的关联。图12为当三种控制参数为相同占比时对OMECKM方法全部成本的作用。设置密钥变换成本的控制参数η、密钥分配成本的控制参数θ和密钥保存成本的控制参数λ的取值分别为0.2;0.1;0.1、0.3;0.2;0.1、0.4;0.3;0.2、0.5;0.4;0.3和0.6;0.5;0.4。当增加三种控制参数时,OMECKM方法的全部成本线性增加。图13为当三种控制参数为不同占比时对OMECKM方法全部成本的作用。设置密钥变换成本的控制参数η、密钥分配成本的控制参数θ和密钥保存成本的控制参数λ的取值分别为0.1;0.1;0.1、0.3;0.3;0.3、0.5;0.5;0.5、0.7;0.7;0.7和0.9;0.9;0.9。当增加三种控制参数时,OMECKM方法的全部成本也线性增加。因此,密钥变换成本的控制参数η、密钥分配成本的控制参数θ和密钥保存成本的控制参数λ和密钥管理的成本呈正相关。
第5.8、抵御攻击的安全性能。
如图14所示,在区块链的预言机中,由于网络节点只将长度最长的区块链视为可行链,所以IoT用户智能设备节点的运算力体现在其产生新区块体的机率β。OMECKM方法可能遭遇的双重消费攻击是由预言机中的工作量证明共识机制导致,IoT用户智能设备节点根据区块链中区块体头部信息的随机变量l穷举得出符合难度系数的散列函数当IoT用户智能设备节点完成工作量证明共识机制中数学难题求解,即计算SHA-256散列算法中头部零的数量和之前散列函数中头部零的数量相同时,产生包括全部新移入子边缘网络的IoT用户智能设备的密钥的区块体。若区块链网络中的攻击者具备等于或者超过百分之五十一以上的网络节点的运算力,即IoT用户智能设备节点产生新区块体的机率β≥0.51,需要生成长度更长的区块链才能完成攻击。设置攻击者发动双重消费攻击时比可信网络节点落后的全部区块数量Γ为15,20,25,30和35,IoT用户智能设备节点产生新区块体的机率β为0.510,0.535,0.560,0.585和0.610。当攻击者发动双重消费攻击时比可信网络节点落后的全部区块数量Γ越多,攻击者完成攻击必须超过的区块体数量越多。在攻击者发动双重消费攻击时比可信网络节点落后的全部区块数量Γ=35的情况下,区块链网络中的攻击者需要追赶约900个区块体才能完成攻击,在具体实现过程中是非常困难的。因此,OMECKM方法采用预言机的工作量证明共识机制具备可信性和有效性。/>
Claims (7)
1.一种IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于该方法包括如下步骤:
第1、模型建立:
第1.1、区块链预言机系统流程;
第1.2、基于预言机的IoT用户边缘计算密钥管理系统模型构建;
第2、基于IoT用户密钥优先级的密钥预分发方法:
第2.1、边缘中心网络模型;
第2.1.1、建立密钥容器;
第2.1.2、生成密钥环;
第2.1.3、生成共享密钥;
第2.2、基于密钥优先级的密钥预分发方法;
第2.2.1、预分发密钥;
第2.2.2、生成基于IoT用户节点密钥优先级高的密钥;
第2.2.3、IoT用户节点感知数据传输策略;
第2.2.4、IoT用户节点的连通性分析;
第2.2.5、IoT用户节点感知数据传输的安全性分析;
第2.2.6、IoT用户节点感知数据计算和传输的代价分析;
第2.2.7、IoT用户节点抵抗捕获的性能分析;
第3、基于预言机的IoT用户边缘计算密钥管理方法:
第3.1、问题定义;
第3.2、IoT用户的移动性分析;
第3.3、密钥管理方法的安全性分析;
第4、算法描述:
第4.1、IoT用户智能设备计算数字签名公开密钥和数字签名私有密钥,选择随机变量,并生成IoT用户智能设备的通信公开密钥和通信私有密钥,IoT用户智能设备的数字签名公开密钥和通信公开密钥通过无线电波传输至区块链预言机中,IoT用户智能设备的数字签名私有密钥和通信私有密钥存储在本地IoT用户智能设备中;
第4.2、IoT用户智能设备选取随机变量,并生成IoT用户智能设备的通信公开密钥的数字签名和IoT用户智能设备的通信公开密钥的数字签名集合,选择在本地IoT用户智能设备中储存的随机变量,计算IoT用户智能设备在区块链预言机中屏蔽身份信息传输感知数据的私有地址;
第4.3、IoT用户智能设备根据区块链中区块体头部信息的随机变量穷举得出符合难度系数的散列函数,当IoT用户智能设备完成工作量证明共识机制中数学难题求解时,产生包括全部新移入子边缘网络的IoT用户智能设备的密钥的区块体,IoT用户智能设备移入子边缘网络中;
第4.4、计算IoT用户智能设备移入和移出子边缘网络的概率,如果验证IoT用户智能设备身份信息通过,则IoT用户智能设备移入新的子边缘网络中,否则,IoT用户智能设备产生一组新的通信公开密钥和通信私有密钥,并且再次申请移入子边缘网络,当IoT用户智能设备移出子移动边缘网络时,保存通信公开密钥在区块链网络中;
第5、实验分析:
第5.1、实验环境和参数设置;
第5.2、IoT用户节点的连通概率;
第5.3、IoT用户节点抵抗捕获的性能;
第5.4、密钥管理方法的计算成本;
第5.5、密钥管理方法的存储成本;
第5.6、密钥管理方法的通信成本;
第5.7、成本控制参数分析;
第5.8、抵御攻击的安全性能。
2.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第1.1、区块链预言机系统流程是:
通过用户端应用软件,移动IoT用户采用智能合约调配使用的方式提出预言机的服务申请,通过调配使用内部智能合约的预言机服务接口,通知区块链的执行程序,移动IoT用户希望进行一次包括预言机服务的交易形为,执行程序中检测出移动IoT用户对预言机的服务申请,使用内部信息通信组件将其发送至预言机,该服务申请中封装申请外部感知数据源的信息,预言机接收到服务申请后,按照定时器设置的时间间隔向外部感知数据源申请感知数据,获取感知数据后上传至交易行为生成器生成一次新的内部回调交易行为,并对该交易行为执行数字签名,上传至可信执行环境中的验证节点,通过批准阈值的预言机共识机制为验证节点提供安全技术保障,保证交易行为的不可篡改性,可信执行环境发送这次回调交易行为至执行程序,实施对获取的感知数据安排、控制、存储操作,完成一次包括预言机服务的区块链交易行为。
3.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第1.2、基于预言机的IoT用户边缘计算密钥管理系统模型构建是:
当一个IoT用户智能设备移入另一个子边缘网络中,新的子边缘网络中IoT用户能够检验本地IoT用户和高层子边缘网络中区块链预言机的密钥数据,并且在其余子边缘网络中检验新移入的IoT用户智能设备是否完成过身份信息核验,从而迅速检验IoT用户智能设备的身份信息,当一个IoT用户智能设备移入到一个新的子边缘网络中,区块链预言机会生成一组新的通信公开密钥和通信私有密钥,区块链预言机中保存通信公开密钥,并且通过无线电波传输至边缘网络中,子边缘网络中本地的IoT用户智能设备保存通信私有密钥,IoT用户能够在区块链预言机中通过通信公开密钥加密感知数据,并且IoT用户智能设备之间能够相互传输感知数据,子边缘网络中本地IoT用户智能设备保存通信公开密钥对应的通信私有密钥,解密被通信公开密钥加密的感知数据。
4.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第2.1、边缘中心网络模型,是在移动物联网边缘中心网络覆盖范围内,IoT用户智能移动设备节点采集和传输感知数据,在每个规定的周期内需要传输感知数据至边缘中心服务器;其中
第2.1.1、建立密钥容器,是在边缘中心网络模型中每个规定的密钥周期结束后,需要更换密钥容器,最初密钥容器包含m枚随机产生的密钥,每个密钥周期结束时,两枚相邻的密钥执行异或逻辑运算,根据安全的哈希方法生成下一次密钥容器中的一枚密钥;
第2.1.2、生成密钥环,是在密钥预分发过程中,每个IoT用户智能移动设备节点在当前密钥周期的密钥容器中选择x枚连续的密钥保存为1组密钥环,需要保存y组密钥环,IoT用户智能移动设备节点通过保存的密钥和其余IoT用户节点传输感知数据,按照IoT用户智能移动设备节点执行感知任务时间l的正态分布,通过伪随机函数选取密钥,同一个IoT用户智能移动设备节点不可以产生相邻的2组密钥环;
5.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第2.1、边缘中心网络模型,
是在移动物联网边缘中心网络覆盖范围内,IoT用户智能移动设备节点采集和传输感知数据,在每个规定的周期内需要传输感知数据至边缘中心服务器;
第2.1.1、建立密钥容器,
在边缘中心网络模型中每个规定的密钥周期结束后,需要更换密钥容器,最初密钥容器包含m枚随机产生的密钥,每个密钥周期结束时,两枚相邻的密钥执行异或逻辑运算,根据安全的哈希方法H生成下一次密钥容器中的一枚密钥;
第2.1.2、生成密钥环,
在密钥预分发过程中,每个IoT用户智能移动设备节点在当前密钥周期的密钥容器中选择x枚连续的密钥保存为1组密钥环,需要保存y组密钥环,IoT用户智能移动设备节点通过保存的密钥和其余IoT用户节点传输感知数据,按照IoT用户智能移动设备节点执行感知任务时间l的正态分布,通过伪随机函数选取密钥,同一个IoT用户智能移动设备节点不可以产生相邻的2组密钥环;
第2.1.3、生成共享密钥,
若IoT用户智能移动设备节点N1执行感知任务的时间在第t个密钥周期,则IoT用户节点N1需要在[t,t+l-1]密钥周期区间和其余IoT用户智能移动设备节点安全地传输感知数据,若IoT用户智能移动设备节点N1执行感知任务的时间在第t个密钥周期,IoT用户智能移动设备节点N2执行感知任务的时间在第r个密钥周期,并且t≤r,则IoT用户节点N1和IoT用户节点N2需要在[r,t+l]密钥周期区间相同密钥,对全部的相同密钥进行异或逻辑运算和安全的哈希方法H获得IoT用户智能移动设备节点N1和IoT用户智能移动设备节点N2传输感知数据的共享密钥。
6.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第2.2、基于密钥优先级的密钥预分发方法中,
第2.2.1、预分发密钥,是将密钥容器中的每枚密钥元素和移动物联网边缘中心服务器覆盖范围中的IoT用户智能移动设备节点每个位置元素相互完全匹配,在密钥的预分发过程,IoT用户智能移动设备节点在密钥容器中选择y组密钥环,每组x枚连续的密钥,总共保存w=x*y种不相同的密钥,同时保存每组密钥环的第1个密钥的身份标识;
第2.2.2、生成基于IoT用户节点密钥优先级高的密钥,
在移动物联网边缘中心覆盖范围内生成IoT用户智能移动设备节点位置坐标(u,v)和密钥容器中密钥的位置坐标(p,q),计算IoT用户智能移动设备节点位置和密钥容器中密钥位置的距离D,按照IoT用户智能移动设备节点位置和密钥容器中密钥位置的距离由小到大计算IoT用户节点的距离优先级高低,如果IoT用户智能移动设备节点保存o枚密钥,则删除IoT用户智能移动设备节点位置优先级低于o的密钥;
第2.2.3、IoT用户节点感知数据传输策略,
选定IoT用户智能移动设备节点的密钥后,通过无线电波传送密钥环身份标识,搜索出和自身IoT用户智能移动设备节点的密钥相同的相邻IoT用户智能移动设备节点,如果IoT用户智能移动设备节点N1和相邻的IoT用户智能移动设备节点N2有唯一相同的密钥,则选择该相同的密钥为共享密钥安全地传输感知数据,如果IoT用户智能移动设备节点N1和相邻的IoT用户智能移动设备节点N2具有多个相同的密钥,则对全部的相同密钥进行异或逻辑运算和安全的哈希方法,获得共享密钥,并且进行安全的感知数据传输;
第2.2.4、IoT用户节点的连通性分析,
其中,密钥容器中的密钥数量为m,IoT用户智能移动设备节点保存的密钥数量为o;
移动物联网边缘中心服务器覆盖范围为k,基于位置优先级的IoT用户节点密钥预分发方法中相邻的IoT用户智能移动设备节点的密钥相同概率,即IoT用户智能移动设备节点的连通率Q(S),如公式(10)所示
第2.2.5、IoT用户节点感知数据传输的安全性分析,
基于位置优先级的IoT用户节点密钥预分发方法中计算密钥的位置优先级,保留密钥位置优先级较高的密钥,降低IoT用户智能移动设备节点保存的密钥数量,即降低IoT用户智能移动设备节点被攻击者捕获后可能会暴露的密钥数量,基于位置优先级的IoT用户节点密钥预分发方法能够确保密钥的前向保密性和后向保密性,IoT用户智能移动设备节点在执行感知任务时,每个密钥周期都具不同的密钥,新的密钥周期的密钥会更换上一个周期的密钥,同时删除上一个周期的密钥,确保密钥预分发方法的前向保密性,IoT用户智能移动设备节点在移动物联网边缘中心服务器的覆盖范围中的计算和存储性能是有限的,如果IoT用户节点被攻击者捕获,攻击者捕获的数量不多的密钥根据时间的消耗会失去利用的意义,确保密钥预分发方法的后向保密性;
第2.2.6、IoT用户节点感知数据计算和传输的代价分析,
基于位置优先级的IoT用户节点密钥预分发方法中计算和排序密钥距离优先级,通过比较方法选择最终保存的密钥,其计算代价较小,在整体算法性能的影响上是能够认可的,相邻的IoT用户智能移动设备节点具备相同密钥的比率提高,降低相邻的IoT用户智能设备节点间感知数据的传输代价和无线电波传送量,IoT用户智能移动设备节点传输感知数据损耗的能量远高于计算损耗的能量,基于位置优先级的IoT用户节点密钥预分发方法少量增加感知数据的计算代价实现减少感知数据的传输代价的目的,增强IoT用户节点密钥预分发方法的性能;
第2.2.7、IoT用户节点抵抗捕获的性能分析,
根据攻击者捕获的IoT用户智能移动设备节点数量、IoT用户智能移动设备节点总数,计算IoT用户智能移动设备节点的抵抗捕获率。
7.根据权利要求1所述的IoT用户感知数据可信上链的边缘计算密钥管理方法,其特征在于:第3、基于预言机的IoT用户边缘计算密钥管理方法,其中
第3.1、问题定义,
移动IoT用户智能设备的移动特性提高对其更换和分配一枚公开密钥和对应私有密钥的频率,在移动IoT用户智能设备移入或者移出子边缘网络时,子边缘网络的边缘中心密钥管理员实时更换和分配该子边缘网络中移动IoT用户智能设备的密钥,从而保证子边缘网络的安全性,密钥树结构的构建以及密钥变换和分配的成本取决于子边缘网络的划定情况,在移动边缘网络中移动IoT用户智能设备数量确定的情况下,若子边缘网络中的移动IoT用户智能设备数量较多,则移动IoT用户的移动特性会使得密钥变换成本较多,而密钥分配的成本较少,若子边缘网络中的移动IoT用户智能设备数量较少,因为子边缘网络数量提高,所以密钥变换的成本降低,以及密钥分配的成本提高;
第3.2、IoT用户的移动性分析,IoT用户智能设备在子边缘网络中是随机移入和移出的,在最坏情况下,子边缘网络中全部的IoT用户智能设备随机和顺序地移入移动边缘网络的树状结构无环图中,随后再随机地移出和移入到移动边缘网络的树状结构无环图中的其余任意子边缘网络,最终移出子边缘网络;
第3.3、密钥管理方法的安全性分析,本步骤采用分布式区块链预言机能够在移动边缘计算的密钥管理方法中支持可信和高效的密钥服务,每个IoT用户智能设备均具备一组通信密钥,包括通信公开密钥和通信私有密钥,以及一组数字签名密钥,包括数字签名公开密钥和数字签名私有密钥,公开密钥加密的感知数据只使用对应的私有密钥解密,IoT用户智能设备为子边缘网络中其余IoT用户智能设备通过无线电波传输公开密钥,IoT用户智能设备的数字签名密钥组验证传递感知数据时通信公开密钥的可信性,子边缘网络中IoT用户按照时间戳值验证IoT用户智能设备的公开密钥,经过相互博弈解决预言机共识机制中的数学难题,并生成下一个区块体,第一个完成预言机中共识机制操作的IoT用户需要将可信验证后的公开密钥传输至一个区块体,同时增加该区块体至区块链中,IoT用户智能设备能够采用预言机中的通信公开密钥和子边缘网络中的其余IoT用户智能设备传输感知数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310181797.9A CN116249108A (zh) | 2023-03-01 | 2023-03-01 | 一种IoT用户感知数据可信上链的边缘计算密钥管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310181797.9A CN116249108A (zh) | 2023-03-01 | 2023-03-01 | 一种IoT用户感知数据可信上链的边缘计算密钥管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116249108A true CN116249108A (zh) | 2023-06-09 |
Family
ID=86623822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310181797.9A Pending CN116249108A (zh) | 2023-03-01 | 2023-03-01 | 一种IoT用户感知数据可信上链的边缘计算密钥管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116249108A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117459587A (zh) * | 2023-12-22 | 2024-01-26 | 常州尊尚信息科技有限公司 | 基于边缘计算的内容分发网络的调度方法 |
-
2023
- 2023-03-01 CN CN202310181797.9A patent/CN116249108A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117459587A (zh) * | 2023-12-22 | 2024-01-26 | 常州尊尚信息科技有限公司 | 基于边缘计算的内容分发网络的调度方法 |
CN117459587B (zh) * | 2023-12-22 | 2024-03-01 | 常州尊尚信息科技有限公司 | 基于边缘计算的内容分发网络的调度方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Survey on blockchain for Internet of Things | |
Popov et al. | The coordicide | |
Afanasyev et al. | Towards blockchain-based multi-agent robotic systems: Analysis, classification and applications | |
CN113065866A (zh) | 基于区块链的物联网边缘计算系统及方法 | |
Nguyen et al. | Trusted wireless monitoring based on distributed ledgers over NB-IoT connectivity | |
Liang et al. | Co-maintained database based on blockchain for idss: A lifetime learning framework | |
Wang et al. | Footstone of metaverse: A timely and secure crowdsensing | |
CN116249108A (zh) | 一种IoT用户感知数据可信上链的边缘计算密钥管理方法 | |
Kumar et al. | Blockchain-based authentication and explainable AI for securing consumer IoT applications | |
Mershad | PROACT: Parallel multi-miner proof of accumulated trust protocol for Internet of Drones | |
CN111200604A (zh) | 一种基于数据聚合的隐私保护方法及系统 | |
Alqarni et al. | Authenticated wireless links between a drone and sensors using a blockchain: Case of smart farming | |
Galletta et al. | Investigating the applicability of nested secret share for drone fleet photo storage | |
Trivedi et al. | A transformative shift toward blockchain‐based IoT environments: Consensus, smart contracts, and future directions | |
Jayabal et al. | Performance analysis on diversity mining‐based proof of work in bifolded consortium blockchain for Internet of Things consensus | |
Porkodi et al. | Integration of blockchain and internet of things | |
Dhanaraj et al. | Probit cryptographic blockchain for secure data transmission in intelligent transportation systems | |
Almuseelem | Energy-efficient and security-aware task offloading for multi-tier edge-cloud computing systems | |
Huang | A Data‐Driven WSN Security Threat Analysis Model Based on Cognitive Computing | |
CN108462946B (zh) | 一种基于无线传感器网络的多维数据查询方法和系统 | |
Guo et al. | B 2 sfl: A bi-level blockchained architecture for secure federated learning-based traffic prediction | |
Mededjel et al. | A blockchain application prototype for the internet of things | |
Janarthanan et al. | Cycle‐Consistent Generative Adversarial Network and Crypto Hash Signature Token‐based Block chain Technology for Data Aggregation with Secured Routing in Wireless Sensor Networks | |
Ilakkiya et al. | A novel DAG-blockchain structure for trusted routing in secure MANET-IoT environment | |
Shuvo et al. | A model for underwater security in communication using Secret Key Algorithm and Node Value |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |