CN116599957A - 一种新型的物联网密码服务架构及密码组件节点选择方法 - Google Patents

一种新型的物联网密码服务架构及密码组件节点选择方法 Download PDF

Info

Publication number
CN116599957A
CN116599957A CN202310505069.9A CN202310505069A CN116599957A CN 116599957 A CN116599957 A CN 116599957A CN 202310505069 A CN202310505069 A CN 202310505069A CN 116599957 A CN116599957 A CN 116599957A
Authority
CN
China
Prior art keywords
internet
request
things
identifier
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310505069.9A
Other languages
English (en)
Inventor
赵越
杨栋瑀
张皓
孟金桃
过小宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202310505069.9A priority Critical patent/CN116599957A/zh
Publication of CN116599957A publication Critical patent/CN116599957A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种新型的物联网密码服务架构及密码组件节点选择方法,包括:通用管理组件GC,用于调度密码组件具体处理密码服务的密码请求;加密组件EC,读取密码服务的操作指令执行相应加密操作;在云层部署通用管理组件GC,在雾层部署加密组件EC,并在云层和雾层都部署密钥管理组件KC和解密组件DC。本发明面向物联网提出一种全云雾的密码服务架构,可以充分利用云层和雾层的计算资源和通信资源进而提升EaaS平台性能。

Description

一种新型的物联网密码服务架构及密码组件节点选择方法
技术领域
本发明涉及密码服务技术领域,具体涉及一种新型的物联网密码服务架构及密码组件节点选择方法。
背景技术
密码即服务(Encryption as a Service,EaaS)是面向于具体的应用和场景向网络设备提供精准、高效、差异化的密码服务,例如数据加解密、身份认证、密钥管理和访问控制等,从而不需要消耗网络设备本身的计算资源进行复杂的数据处理。对于物联网而言,物联网设备是典型资源受限型的,只有少量的内存空间和有限的计算能力,如果设计的密码服务架构不能充分利用各层面的密码资源,将会极大影响密码服务质量。当前,密码服务基础设施包括四种类型的密码组件,分别是通用管理组件(General management Component,GC)、密钥管理组件(Key management Component,KC)、加密组件(Encryption Component,EC)、解密组件(Decryption Component,DC)。不同的密码设备可能位于不同的层上,包括云层、雾层和设备层,公开研究成果所提出的密码服务架构不足以充分利用各层面节点资源提供高质量的密码服务。
密码即服务(EaaS)的主要目的是向资源有限的物联网设备提供计算复杂度高的数据加解密服务。由于物联网设备的数量多,且计算资源和通信资源受限,容易滋生高时延、高拒绝率等问题。通过对国内外专利文献调研,当前密码服务架构缺乏对云层、雾层节点资源的充分利用。
发明内容
针对现有技术中的上述不足,本发明提供的一种新型的物联网密码服务架构及密码组件节点选择方法解决了云节点资源过度分配的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种新型的物联网密码服务架构,包括:
通用管理组件GC,用于调度密码组件具体处理密码服务的密码请求;
加密组件EC,读取密码服务的操作指令执行相应加密操作;
在云层部署通用管理组件GC,在雾层部署加密组件EC,并在云层和雾层都部署密钥管理组件KC和解密组件DC。
进一步地:物联网中共享数据的具体加密流程为:
第一步:物联网设备连接到一个GC,并向其发送加密数据所需的信息,包括物联网设备标识符a、待加密的明文g、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;
第二步:当GC接收到物联网设备的加密请求,选取合适的KC、EC节点来处理当前密码服务请求,并向所选KC发送联网设备标识符a、GC标识符b、所选EC标识符c、待加密的明文g、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;GC和EC标识符帮助KC将请求转发到所选EC,并帮助该EC将响应转发到正确的GC;
第三步:当KC接收到转发的密码服务请求时,将请求标识符d添加到该密码服务请求里,基于请求的密码参数生成一个或多个密钥e,将请求的密码信息传输到要存储的数据库,包括物联网设备标识符a、请求标识符d、密钥e、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;
第四步:当前请求的密码信息存储在数据库中后,将其与待加密的明文g和GC标识符b一起转发到所选EC;
第五步:当EC收到密码服务指令时,基于接收到的秘钥e和密码参数i对明文g进行加密,生成密文f,EC将密文f与物联网设备标识符a和请求标识符d一起转发给GC;
第六步:GC接收到请求标识符d和密文f后,基于物联网设备标识符a将请求标识符d和密文f转发给物联网设备;
第七步:物联网设备上传密文f及请求标识符d,在公有云上共享加密数据。
进一步地:物联网设备可以上传密文及其相关标识符,在公有云上共享加密数据,公有云存储物联网中的所有共享数据,所有物联网设备都可以向公有云访问数据,但只有提供数据的物联网设备所列出的其它物联网设备才能解密和读取数据。
进一步地:物联网中其它物联网设备访问共享数据并解密数据的流程为:
第一步:物联网设备通过请求标识符d向公有云申请获取数据;
第二步:公有云对物联网设备的密文访问请求进行相应,并传输请求标识符d和密文f;
第三步:物联网设备连接到一个GC,并发送物联网设备标识符a、密文f和请求标识符d;
第四步:当GC接收到物联网设备标识符a、密文f和请求标识符d后,选择合适的KC和DC节点,将设备标识符a、GC标识符b、DC标识符c、请求标识符d和密文f一起发送到所选择的KC节点;
第五步:当KC接收到密文f的解密请求时,KC向数据库发送请求标识符d,提取数据库中与该解密请求对应的条目;
第六步:数据库找到具有请求标识符d的条目,将相关密钥e、物联网设备列表h、密码参数i转发给KC;
第七步:KC检查访问数据的物联网设备是否在物联网设备列表h中,如果不在h中,则KC向GC发送未允许访问的通知,GC向物联网设备发送拒绝服务的响应,并结束本流程;如果在h中,KC将密文f、密钥e和密码参数i以及物联网设备标识符a、GC标识符b、请求标识符d一起发送到DC;
第八步:DC基于接收到的密钥e和密码参数i来解密所请求的密文,解密后的明文g、物联网设备标识符a和请求标识符d备转发到GC;
第九步:当GC收到密码服务响应,根据设备标识符a将解密数据发送给请求访问数据的物联网设备。
一种密码组件节点选择方法,用于选择新型的物联网密码服务架构中的KC、EC和DC组件节点,包括以下步骤:
S1、列表Q用于存储每个节点的队列长度,列表Q以零开始,其长度等于雾节点和云节点的总和;
S2、GC收到密码服务请求;如果密码服务请求中有一个指定的KC,则将KC的队列减少一个单元;
S3、EC收到密码服务请求;如果密码服务请求中有一个指定的EC,则将EC的队列减少一个单元,并将密码服务请求转发给提供数据的物联网设备;
S4、DC收到密码服务请求;如果密码服务请求中有一个指定的DC,则将DC的队列减少一个单元,并将密码服务请求转发给访问数据的物联网设备;
S5、若KC、EC和DC组件均未被选择,令变量found从零开始,表示有资源处理当前请求的雾节点的数量,列表H记录哪些雾节点具有足够的资源来处理密码服务请求;
S6、列表H中充满了“False”标识,表示当前雾节点没有足够资源可以处理请求,标识H(f)和可用雾节点的数量found通过所有雾节点上的循环来更新,寻找到两个队列长度最短的可用雾节点,并将这些雾节点及其队列长度将分别存储在集合f1、f2、m1和m2中;
S7、在所有雾节点上的循环中,更新f1、f2、m1和m2,寻找到两个具有最短队列长度的云节点,该云节点被存储在c1和c2中;
S8、如果GC接收到加密请求,则始终从云节点中选择EC,如果至少有一个可用的雾节点,则从雾节点中选择KC,在所选节点的队列长度中添加一个单元作为EC;
S9、如果GC接收到解密请求,基于可用雾节点的数量found来选择KC和DC,在所选节点的队列长度中添加一个单元作为DC;
S10、将所选KC的队列长度添加一个单元,并将请求转发到请求到的KC节点request.kc。
进一步地:所述GC负责跟踪向每个节点发送的请求数量α,以及每个节点接收的请求数量β,α减β表示每个节点中等待完成的请求数,为了平衡物联网的流量负载,GC将请求发送到具有最低数量的α-β的密码组件节点。
进一步地:GC一旦接收到密码服务请求,就会检查所有节点的状态,以选择合适的KC和DC节点,如果有一个雾节点有足够的资源,并且其队列未满,则会将密码服务请求转发到该雾节点;否则,GC将转发该密码服务请求到队列长度最短的云节点。
本发明的有益效果为:本发明面向物联网提出一种全云雾的密码服务架构,可以充分利用云层和雾层的计算资源和通信资源进而提升EaaS平台性能。密码服务架构将访问频率最高的组件放置在雾层,然后尝试使用云节点解析资源。
本发明有益效果和贡献总结如下:
1.本发明提出一种新的密码服务体系架构,将访问频率最高的密码组件部署于雾层,而在资源短缺时交由云层的密码组件处理,这种架构可以充分利用每一层计算资源和通信资源,在保持低时延和低拒绝率的同时达到高吞吐量。
2.本发明所提出密码服务架构的安全性,可以在保障高密码服务质量的同时有效降低物联网的安全风险,新型密码服务架构在安全性方面具有优势。
附图说明
图1为本发明实施例中物联网密码服务架构中的共享数据加密流程图;
图2为本发明实施例中物联网密码服务架构中的访问共享数据解密流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
为了充分利用物联网中的云和雾节点,本发明提出了全云雾的密码服务架构,重点关注物联网设备连接到不同密码组件的频率。其中,通用管理组件(GC)是一个经常被物联网设备访问的组件,因为GC负责调度哪些密码组件具体来处理哪些密码服务的密码请求。相对而言,加密组件(EC)被访问的频次并不多。这是因为EC更多是读取密码服务的操作指令执行相应加密操作,相对而言,下载密码服务指令的频率较高。因此,在云层部署GC,在雾层部署EC,并在云层和雾层都部署密钥管理组件(KC)和解密组件(DC)。
如附图1所示,依据本发明提出的密码服务架构,物联网中共享数据的具体加密流程如下所述:
第一步:物联网设备-[a|g|h|i]→GC
物联网设备连接到其中一个GC,并向其发送加密该数据所需的信息,包括:物联网设备标识符(a)、待加密的明文(g)、与之共享数据的物联网设备列表(h),以及设备期望的密码参数(i),这些是物联网设备必须发送到GC的所需信息。设备标识符有助于GC将响应转发回正确的物联网设备。
第二步:GC-[a|b|c|g|h|i]→KC
GC一旦接收到物联网设备的加密请求,就选取合适的KC、EC节点来处理当前密码服务请求,所需的信息包括,a、GC标识符(b)、所选EC标识符(c)、g、h和i,被发送到所选的KC。GC和EC标识符帮助KC将请求转发到所选EC,并帮助该EC将响应转发到正确的GC。
第三步:KC-[a|d|e|h|i]→Database
当KC接收到转发的密码服务请求时,请求标识符(d)被添加到该请求里,这有助于KC在数据库中找到与该请求对应的条目。值得注意的是,数据库是在不同的KC之间共享的,基于请求的密码参数生成一个或多个密钥(e)。最后,a、d、e、h和i被传输到要存储的数据库。
第四步:KC-[a|b|d|g|e|i]→EC
当前请求的密码信息存储在数据库中后,将其与明文和GC的标识符一起转发到所选EC。由于c是由之前GC发送到KC的,因此在该步骤中EC的标识符是可用的。值得注意的是,EC没有必要知道h列表中的物联网设备。
第五步:EC-[a|d|f]→GC
当EC收到密码服务指令时,基于接收到的密钥和密码参数对明文进行加密。在该步骤中,生成密文(f),并且EC将其与物联网设备标识符(a)和请求标识符(d)一起转发给GC。
第六步:GC-[d|f]→物联网设备
GC一旦接收到请求标识符和密文,就基于物联网设备标识符将其转发给物联网设备。
第七步:物联网设备-[d|f]→公有云
至此,物联网设备可以上传密文及其相关标识符,在公共云上共享加密数据。公有云存储物联网中的所有共享数据,所有物联网设备都可以向公有云访问数据。然而,这些数据是加密的,只有提供数据的物联网设备所列出的其它物联网设备才能解密和读取数据。
如附图2所示,依据本发明提出的密码服务架构,物联网中其它物联网设备访问共享数据并解密数据的流程如下所述:
第一步:物联网设备-[d]→公有云
物联网设备通过请求标识符向公有云申请获取数据。
第二步:公有云-[d|f]→物联网设备
公有云对物联网设备的密文访问请求进行响应。
第三步:物联网设备-[a|d|f]→GC
物联网设备连接到其中一个GC,并发送其自身的设备标识符(a)、密文(f)和请求标识符(d)。
第四步:GC-[a|b|c|d|f]→KC
一旦GC接收到上述消息,就选择合适的KC和DC节点。然后,设备标识符(a)、GC标识符(b)、DC标识符(c)和请求标识符(d)与密文(f)一起被发送到所选择的KC。
第五步:KC-[d]→数据库
当KC接收到对密文(f)的解密请求时,必须提取数据库中与该请求对应的条目。相关条目需要提供数据的物联网设备发送的请求标识符(d)。因此,KC向数据库发送d。
第六步:数据库-[d|e|h|i]→KC
数据库找到具有所请求标识符(d)的条目,然后将相关密钥(e)、允许读取数据的物联网设备列表(h)和密码参数(i)转发给KC。
第七步:KC→[a|b|d|f|e|i]→DC
KC检查访问数据的物联网设备是否在物联网设备列表中(h)。如果不在h中,则KC向GC发送未允许访问的通知,GC向物联网设备发送拒绝服务的响应,并在此步结束该流程。如果在h中,KC将密文(f)、提取的密钥(e)和密码参数(i)以及a、b和d一起发送到DC。
第八步:DC-[a|d|g]→GC
DC可以基于接收到的密钥和密码参数来解密所请求的密文。解密后的明文(g)、a和d被转发到GC。值得注意的是,DC在第七步中根据其接收的GC标识符(b)可以获得正确的GC。
第九步:GC-[d|g]→物联网设备
一旦GC收到密码服务响应,就会根据设备标识符(a)将解密数据转发给请求访问数据的物联网设备。
本发明提出的密码服务架构使用对称密码算法和非对称加密算法相结合模式来保护密码组件(GC、KC、EC和DC)之间安全地共享数据。由于物联网设备典型资源受限,因此不需要物联网设备参与加密/解密过程。因此通常情况下,物联网设备和GC之间的连接不受保护。鉴于此,物联网设备可以使用计算开销小的安全传输技术,例如将数据分割成不同的分包,并在其中添加冗余,是否使用这样的技术仅取决于物联网设备本身的安全需求。
在本发明提出的上述加解密流程中,涉及到的关键方法是选择合适的KC、EC或DC。密码服务请求分布在不同的物联网设备和密码组件(GC、KC、EC和DC)之间,必须要减少端到端的延迟,同时保证密码服务请求被响应的成功率。本发明提出由GC选择合适的密码组件节点(KC、EC和DC),重点考虑每个节点的两个特征:等待完成的请求数量和可用资源。一方面,向队列拥挤的节点发送密码服务请求会导致额外的延迟。另一方面,向没有足够资源的节点发送密码服务请求也会增加拒绝请求的概率。因此,在密码组件节点(KC、EC和DC)选择算法中,GC负责跟踪向每个节点发送的请求数量(α),以及每个节点接收的请求数量(β)。“α减β”表示每个节点中等待完成的请求数。例如,向节点1发送和节点1接收的请求的总数分别为30和26,则等待该节点服务的请求的数量为4。为了平衡物联网的流量负载,GC将请求发送到具有最低数量的α-β的密码组件节点。
此外,对于选择合适的KC和DC节点,另一个因素也很重要,需要在成功响应的请求数量和端到端延迟之间找到一个折衷。全云雾架构中的KC和DC可以是云和雾层中的任何节点。如果向雾节点发送密码服务请求,将有效减少传输延迟,但由于雾节点的资源限制,该密码服务请求也可能失败。另一方面,如果向云节点发送密码服务请求,将有效降低拒绝请求的概率,但额外的传输延迟也是不可避免的。在本发明提出的密码组件节点选择算法中,GC一旦接收到密码服务请求,就会检查所有节点的状态,以选择合适的KC和DC节点。如果有一个雾节点有足够的资源,并且其队列未满,则会将密码服务请求转发到该雾节点;否则,GC将转发该密码服务请求到队列长度最短的云节点。
密码组件节点选择算法如算法1所示。首先,一个列表Q专门用于存储每个节点的队列长度。该列表以零开始,其长度等于雾节点和云节点的总数(第一行)。GC收到密码服务请求(第2行),如果请求有一个指定的KC(第3行),则从KC的队列中减少了一个单元(第4行)。对于EC(第5行到第8行)和DC(第9行到第12行)也是进行类似的处理,只是请求被转发给提供数据的物联网设备(第7行)或访问数据的物联网设备(第11行)。如果算法1运行达第13行,则意味着相关组件仍未被选择。一个变量(found)从零开始(第13行),它表示有资源处理当前请求的雾节点的数量。列表H记录哪些雾节点具有足够的资源来处理请求(第14行)。列表H中充满了“False”标识,是表示当前雾节点没有足够资源可以处理请求。这些标识H(f)和可用雾节点的数量(found)通过所有雾节点(第15行至第18行)上的循环来更新。至此,寻找到两个队列长度最短的可用雾节点。这些雾节点及其队列长度将分别存储在f1、f2、m1和m2中(第19行和第20行)。在所有雾节点上的循环中,我们可以更新上述变量(第21行)。值得注意的是,f1和f2是不同的(第25行)。于上述类似的过程是寻找到两个具有最短队列长度的云节点,这些云节点被存储在c1和c2中(第28行到第36行)。如果GC接收到加密请求(第37行),则始终从云节点中选择EC。如果至少有一个可用的雾节点(第38行),则从雾节点中选择KC。否则,将从云节点中选择KC(第40行)。在这种情况下,必须在所选节点的队列长度中添加一个单元作为EC(第42行)。如果GC接收到解密请求(第43行),则必须基于可用雾节点的数量(found)来选择KC和DC。在这种情况下,必须在所选节点的队列长度中添加一个单元作为DC(第50行)。最后,将所选KC的队列长度添加一个单元(第51行),并将请求转发到请求到的KC节点request.kc。值得注意的是,处理每个密码服务请求的算法复杂度为O(C+F)用于,其中C和F分别是云节点和雾节点的数量。
本发明提出的密码服务架构可以抵御多种主流网络攻击。嗅探攻击是敌手监听网络流量,如果信道不受保护,传输的数据可能会被窃听。假设KC和EC/DC之间的连接被嗅探,但由于本发明提出的密码服务结构中密码组件之间的链接得到额外的对称加密保护,因此对嗅探攻击具有鲁棒性。
中间人攻击是敌手位于通信两端的中间链路上,通过接收并更改转发数据以达到恶意攻击目的。本发明提出的密码服务架构对中间人攻击也是具有鲁棒性的。这是由于传输的消息是被加密的,敌手在没有相关密钥的情况下无法对传输数据进行篡改。
分布式拒绝服务攻击是敌手发起大量请求,导致密码组件节点忙于处理恶意请求,而合法请求无法得到有效服务。本发明提出的密码服务架构每个组件被分配到多个节点。因此,拒绝服务攻击的危害并不大。
上述网络攻击是物联网密码服务架构所面临的主要外部威胁,除了这些攻击之外,还有一些内部威胁。对手可能完全或部分控制其中一个密码组件,并试图执行恶意活动。即使敌手控制了任何GC/KC/EC/DC组件,本发明提出的密码服务结构依然对内部威胁具有鲁棒性。针对敌手控制密码服务组件导致明文泄露的问题,可以通过物联网设备向明文添加额外的加密层来避免。此外,受攻击的KC想要访问由其它KC服务的加密数据。然而,由于数据库中存储的共享数据是加密的,因此受攻击的KC无法获取明文数据。

Claims (7)

1.一种新型的物联网密码服务架构,其特征在于,包括:
通用管理组件GC,用于调度密码组件具体处理密码服务的密码请求;
加密组件EC,读取密码服务的操作指令执行相应加密操作;
在云层部署通用管理组件GC,在雾层部署加密组件EC,并在云层和雾层都部署密钥管理组件KC和解密组件DC。
2.根据权利要求1所述的新型的物联网密码服务架构,其特征在于,物联网中共享数据的具体加密流程为:
第一步:物联网设备连接到一个GC,并向其发送加密数据所需的信息,包括物联网设备标识符a、待加密的明文g、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;
第二步:当GC接收到物联网设备的加密请求,选取合适的KC、EC节点来处理当前密码服务请求,并向所选KC发送联网设备标识符a、GC标识符b、所选EC标识符c、待加密的明文g、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;GC和EC标识符帮助KC将请求转发到所选EC,并帮助该EC将响应转发到正确的GC;
第三步:当KC接收到转发的密码服务请求时,将请求标识符d添加到该密码服务请求里,基于请求的密码参数生成一个或多个密钥e,将请求的密码信息传输到要存储的数据库,包括物联网设备标识符a、请求标识符d、密钥e、与GC共享数据的物联网设备列表h,以及设备期望的密码参数i;
第四步:当前请求的密码信息存储在数据库中后,将其与待加密的明文g和GC标识符b一起转发到所选EC;
第五步:当EC收到密码服务指令时,基于接收到的秘钥e和密码参数i对明文g进行加密,生成密文f,EC将密文f与物联网设备标识符a和请求标识符d一起转发给GC;
第六步:GC接收到请求标识符d和密文f后,基于物联网设备标识符a将请求标识符d和密文f转发给物联网设备;
第七步:物联网设备上传密文f及请求标识符d,在公有云上共享加密数据。
3.根据权利要求1所述的新型的物联网密码服务架构,其特征在于,物联网设备可以上传密文及其相关标识符,在公有云上共享加密数据,公有云存储物联网中的所有共享数据,所有物联网设备都可以向公有云访问数据,但只有提供数据的物联网设备所列出的其它物联网设备才能解密和读取数据。
4.根据权利要求1所述的新型的物联网密码服务架构,其特征在于,物联网中其它物联网设备访问共享数据并解密数据的流程为:
第一步:物联网设备通过请求标识符d向公有云申请获取数据;
第二步:公有云对物联网设备的密文访问请求进行相应,并传输请求标识符d和密文f;
第三步:物联网设备连接到一个GC,并发送物联网设备标识符a、密文f和请求标识符d;
第四步:当GC接收到物联网设备标识符a、密文f和请求标识符d后,选择合适的KC和DC节点,将设备标识符a、GC标识符b、DC标识符c、请求标识符d和密文f一起发送到所选择的KC节点;
第五步:当KC接收到密文f的解密请求时,KC向数据库发送请求标识符d,提取数据库中与该解密请求对应的条目;
第六步:数据库找到具有请求标识符d的条目,将相关密钥e、物联网设备列表h、密码参数i转发给KC;
第七步:KC检查访问数据的物联网设备是否在物联网设备列表h中,如果不在h中,则KC向GC发送未允许访问的通知,GC向物联网设备发送拒绝服务的响应,并结束本流程;如果在h中,KC将密文f、密钥e和密码参数i以及物联网设备标识符a、GC标识符b、请求标识符d一起发送到DC;
第八步:DC基于接收到的密钥e和密码参数i来解密所请求的密文,解密后的明文g、物联网设备标识符a和请求标识符d备转发到GC;
第九步:当GC收到密码服务响应,根据设备标识符a将解密数据发送给请求访问数据的物联网设备。
5.一种密码组件节点选择方法,用于选择权利要求2或4所述的新型的物联网密码服务架构中的KC、EC和DC组件节点,其特征在于,包括以下步骤:
S1、列表Q用于存储每个节点的队列长度,列表Q以零开始,其长度等于雾节点和云节点的总和;
S2、GC收到密码服务请求;如果密码服务请求中有一个指定的KC,则将KC的队列减少一个单元;
S3、EC收到密码服务请求;如果密码服务请求中有一个指定的EC,则将EC的队列减少一个单元,并将密码服务请求转发给提供数据的物联网设备;
S4、DC收到密码服务请求;如果密码服务请求中有一个指定的DC,则将DC的队列减少一个单元,并将密码服务请求转发给访问数据的物联网设备;
S5、若KC、EC和DC组件均未被选择,令变量found从零开始,表示有资源处理当前请求的雾节点的数量,列表H记录哪些雾节点具有足够的资源来处理密码服务请求;
S6、列表H中充满了“False”标识,表示当前雾节点没有足够资源可以处理请求,标识H(f)和可用雾节点的数量found通过所有雾节点上的循环来更新,寻找到两个队列长度最短的可用雾节点,并将这些雾节点及其队列长度将分别存储在f1、f2、m1和m2中;
S7、在所有雾节点上的循环中,更新f1、f2、m1和m2,寻找到两个具有最短队列长度的云节点,该云节点被存储在c1和c2中;
S8、如果GC接收到加密请求,则始终从云节点中选择EC,如果至少有一个可用的雾节点,则从雾节点中选择KC,在所选节点的队列长度中添加一个单元作为EC;
S9、如果GC接收到解密请求,基于可用雾节点的数量found来选择KC和DC,在所选节点的队列长度中添加一个单元作为DC;
S10、将所选KC的队列长度添加一个单元,并将请求转发到请求到的KC节点request.kc。
6.根据权利要求5所述的密码组件节点选择方法,其特征在于,所述GC负责跟踪向每个节点发送的请求数量α,以及每个节点接收的请求数量β,α减β表示每个节点中等待完成的请求数,为了平衡物联网的流量负载,GC将请求发送到具有最低数量的α-β的密码组件节点。
7.根据权利要求5所述的密码组件节点选择方法,其特征在于,GC一旦接收到密码服务请求,就会检查所有节点的状态,以选择合适的KC和DC节点,如果有一个雾节点有足够的资源,并且其队列未满,则会将密码服务请求转发到该雾节点;否则,GC将转发该密码服务请求到队列长度最短的云节点。
CN202310505069.9A 2023-05-06 2023-05-06 一种新型的物联网密码服务架构及密码组件节点选择方法 Pending CN116599957A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310505069.9A CN116599957A (zh) 2023-05-06 2023-05-06 一种新型的物联网密码服务架构及密码组件节点选择方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310505069.9A CN116599957A (zh) 2023-05-06 2023-05-06 一种新型的物联网密码服务架构及密码组件节点选择方法

Publications (1)

Publication Number Publication Date
CN116599957A true CN116599957A (zh) 2023-08-15

Family

ID=87598405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310505069.9A Pending CN116599957A (zh) 2023-05-06 2023-05-06 一种新型的物联网密码服务架构及密码组件节点选择方法

Country Status (1)

Country Link
CN (1) CN116599957A (zh)

Similar Documents

Publication Publication Date Title
Li et al. Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks
US20180309570A1 (en) Secure communication in network access points
US11303431B2 (en) Method and system for performing SSL handshake
JP5775963B2 (ja) 無線センサネットワークにおいてデータ集約中にプライバシーを保全する方法及びシステム
CN102195957B (zh) 一种资源共享方法、装置及系统
WO2019128753A1 (zh) 一种低延迟的量子密钥移动服务方法
Zhang Key management scheme for secure channel establishment in fog computing
CN109981584B (zh) 一种基于区块链的分布式社交方法
US20120324090A1 (en) Resource control method, apparatus, and system in peer-to-peer network
CN115632779B (zh) 一种基于配电网的量子加密通信方法及系统
CN112769568B (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
CN112332986B (zh) 一种基于权限控制的私有加密通信方法及系统
Sarwar et al. Lightweight, divide-and-conquer privacy-preserving data aggregation in fog computing
Amadeo et al. Securing the mobile edge through named data networking
CN115277709A (zh) 一种服务器密码机的负载均衡方法
EP1417801B1 (en) Security in communications networks
US20090185685A1 (en) Trust session management in host-based authentication
Alagheband et al. Advanced encryption schemes in multi-tier heterogeneous internet of things: taxonomy, capabilities, and objectives
CN114448633B (zh) 基于量子密钥的文件加密方法、装置、电子设备及介质
KR20240002666A (ko) 메신저 서비스를 제공하기 위한 방법, 시스템 및 비일시성의 컴퓨터 판독 가능한 기록 매체
CN116599957A (zh) 一种新型的物联网密码服务架构及密码组件节点选择方法
Kang Efficient data origin authentication scheme for video streaming transmitted by multiple senders
CN110830421A (zh) 数据传输方法和设备
Saxena et al. A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology
Karati et al. Federated secure data sharing by edge-cloud computing model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination