CN117880800B - 边缘计算环境下基于设备距离的匿名认证方法及系统 - Google Patents
边缘计算环境下基于设备距离的匿名认证方法及系统 Download PDFInfo
- Publication number
- CN117880800B CN117880800B CN202410275787.6A CN202410275787A CN117880800B CN 117880800 B CN117880800 B CN 117880800B CN 202410275787 A CN202410275787 A CN 202410275787A CN 117880800 B CN117880800 B CN 117880800B
- Authority
- CN
- China
- Prior art keywords
- authentication
- vid
- server
- edge
- edge server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000008569 process Effects 0.000 claims abstract description 32
- 238000012795 verification Methods 0.000 claims description 49
- 239000000284 extract Substances 0.000 claims description 3
- 238000006467 substitution reaction Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000003860 storage Methods 0.000 abstract description 7
- 230000004044 response Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012271 agricultural production Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于物联网认证技术领域,涉及一种边缘计算环境下基于设备距离的匿名认证方法及系统,包括设备注册过程、边缘服务器注册过程和匿名认证过程;本发明使用哈希函数、异或运算、字符串联等轻量级操作,实现物联网设备、边缘服务器与注册服务器之间的相互认证;注册过程中设备会定位所在位置并计算伪身份来保证匿名性,边缘服务器也会捕获自己所在的位置;认证过程中注册服务器判定设备与边缘服务器的距离范围是否在规定范围内;边缘计算使数据处理和存储更接近终端、部署在物联网设备附近的边缘服务器可以为设备提供更快的网络服务响应。
Description
技术领域
本发明属于物联网认证技术领域,涉及一种边缘计算环境下基于设备距离的匿名认证方法及系统。
背景技术
农业物联网是利用无线射频识别技术,通过计算机联网实现物品的自动识别和信息的互联与共享。农业物联网通过各种传感器收集信息,帮助农民及时发现问题,准确确定问题的位置并实现一定的协议进行信息交换和通信。农业物联网的出现给农业生产带来了巨大的变化,不仅体现在农作物产量的提高上,还提高了农产品质量,在降低劳动力成本的同时显著增加农民收入,真正实现了增产、改善质量、调整生长周期、提高经济效益的目的。
物联网技术利用云进行外包存储和计算。然而,不断增长的物联网数据量给传统的基于云的设施带来了存储容量、带宽限制、响应延迟、数据隐私等管理上的挑战。与云计算相比,边缘计算带来了许多优势,如更近的通信距离带来的低延迟和更高带宽的服务,而且边缘计算的分布式结构可以均衡网络流量,防止网络拥塞。通过将计算密集型任务从资源有限的物联网节点卸载到边缘服务器,系统可以减少单个节点的损耗。
但是有些相距较远的设备和边缘服务器的通信质量低下、所收集的数据信息不准确,而农业物联网的设备对数据精度的要求又很高,因此,不得不考虑距离的因素,将设备限制在合适的范围内与边缘服务器通信并交换数据。此外,当设备需要使用边缘计算提供的服务时,伪造的边缘服务器可以冒充合法的边缘服务器,诱导设备连接到伪造的边缘服务器上。一旦设备连接到伪造的边缘服务器,攻击者可以操纵来自设备或云的传入和传出请求,秘密收集或篡改设备数据,并轻松发起进一步的攻击。另一方面,农业物联网的设备更容易受到各种攻击,从而破坏智慧农业系统。
专利申请号为CN202010683620 .5的中国发明专利提出了一种移动边缘计算网络中身份认证方法。此认证方法主要按照以下步骤进行认证:1).移动终端发起认证请求;2).移动边缘计算服务器收到请求后向注册中心发送加密信息确认用户身份标识;3).注册中心检查用户身份标识是否存在,若检查失败则终止通信,否则生成移动边缘服务器与该用户的共享密钥;4).注册中心使用移动边缘服务器的公钥对共享密钥加密,并用私钥将信息签名后发送给移动边缘服务器;5).移动边缘服务器用注册中心的公钥验证注册中心的签名,成功后用私钥解密密文,得到与用户的共享密钥;6).用户收到移动边缘服务器的信息后,计算共享密钥。但该方法存在以下缺陷:1).利用数字签名和对称密钥验证身份,且未进行相互认证,难以抵御中间人攻击等常见攻击;2).使用公私钥进行加解密,这会增加通信的开销和延迟,降低了通信效率和灵活性,而且,设备本身也需要具备一定的存储空间、计算能力、电源供应等条件,才能支持公钥密码体制;3).共享会话密钥计算暴露给注册服务器且未安全存储,无法保证后续通话安全;4).无法确保设备是与合理距离内的服务器交互通信,进而无法确保通话质量与数据质量;5).未对设备匿名化处理,可能造成设备的身份相关安全风险和隐私泄露。
发明内容
针对现有技术的不足,本发明提出了一种边缘计算环境下基于设备距离的匿名认证方法及系统,实现设备、边缘服务器与注册服务器之间的相互认证;注册过程中设备会定位所在位置并计算伪身份来保证匿名性,边缘服务器也会捕获自己所在的位置;认证过程中注册服务器判定设备与边缘服务器的距离范围是否在规定范围内;边缘计算使数据处理和存储更接近终端、部署在物联网设备附近的边缘服务器可以为设备提供更快的网络服务响应。
一种边缘计算环境下基于设备距离的匿名认证方法,包括设备注册过程、边缘服务器注册过程和匿名认证过程;所述匿名认证过程包括如下步骤:
步骤C1:设备计算设备登录校验值,判断设备登录校验值与存储的设备登录验证值是否相等,验证失败则终止会话,验证成功则生成第一认证消息,随后将第一认证消息通过公共信道发送给边缘服务器;
步骤C2:边缘服务器收到第一认证消息后,获取第二当前时间戳,验证是否超时,验证成功则生成第二边缘随机数n2,存储认证设备元组,将第二认证消息发送给注册服务器;
步骤C3:注册服务器收到第二认证消息后,获取第三当前时间戳,验证是否超时,验证成功则根据设备伪身份和边缘服务器伪身份检索出设备注册元组和边缘服务器注册请求消息,利用半正矢函数计算设备与边缘服务器的距离,验证是否超出范围,验证成功则利用椭圆曲线密码学计算第二边缘点乘,并验证第二认证校验值和传递过来的第二认证值是否相等,验证失败则终止会话,验证成功则说明是合法的边缘服务器,并计算第二设备点乘,并验证第一认证校验值和传递过来的第一认证值是否相等,验证失败则终止会话,验证成功则证明是合法的设备并计算注册服务器异或值、第三认证值、第三认证消息,最后将第三认证消息通过公共信道发送给边缘服务器;
步骤C4:边缘服务器收到第三认证消息后,获取第四当前时间戳,验证是否超时,验证成功则根据已通过注册服务器认证的设备伪身份标识提取认证设备元组,计算第二边缘点乘、第三认证校验值,验证第三认证校验值和传递过来的第三认证值是否相等,验证失败则终止会话,验证成功则证明是合法的注册服务器,验证完则计算第二置换值、第四认证值,生成第三边缘随机数并计算第二边缘异或值、第三边缘异或值、会话密钥、边缘服务器会话密钥中间值,边缘服务器只存储边缘服务器会话密钥中间值,最后将第四认证消息通过公共信道发送给物联网设备;
步骤C5:设备收到第四认证消息后,获取第五当前时间戳,验证是否超时,验证成功则计算第四认证校验值,并验证第四认证校验值和传递过来的第四认证值是否相等,验证失败则终止会话,验证成功则证明是合法的边缘服务器,计算第四置换值、第五置换值、会话密钥、设备会话密钥中间值,最终设备存储设备会话密钥中间值。
具体地,所述设备登录校验值= h(VIDj‖Cj‖Aj),其中Aj为设备注册秘密值,Aj =
h(VIDj‖Φj‖λj),Cj为设备秘密凭证,Cj= Bj⨁h(IDj‖VIDj),VIDj为设备伪身份,IDj为设备真
实身份标识,Φj为设备的经度,λj为设备的纬度,Bj为设备秘密凭证中间值。
具体地,第一认证消息M1={ VIDj,Rj,Ej,Auth1,TS1},其中第一设备点乘,
G是有限域上的一个基点,第二设备点乘,PKRS为注册服务器公钥,
(Xj,Yj)表示第二设备点乘的坐标结果,设备异或值Ej= h(q2)⨁h(Xj),第一认证值Auth1=h
(VIDj‖Cj‖Φj‖λj‖h(q2) ‖TS1),q2为第二设备随机数,TS1为第一当前时间戳。
具体地,认证设备元组为{VIDj, n2},n2为第二边缘随机数,第二认证消息M2={M1,
VIDi,Ri,,Auth2,TS2},其中第一边缘点乘,第二边缘点乘、第一边缘异或值、第二认证值Auth2=h(VIDi‖
Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2),为第二边缘点乘的坐标结果;Φi为边缘服务器的经度,
λi为边缘服务器的纬度,i为边缘服务器编号,VIDi为边缘服务器伪身份,TS2为第二当前时
间戳。
具体地,步骤C3中,设备注册元组为{ VIDj,Φj,λj },边缘服务器注册请求消息为
{VIDi,Φi,λi },利用半正矢函数计算设备与边缘服务器的距离,
其中R是地球半径,,并判断是否成
立,其中为规定最大距离范围,验证是否超出范围,验证成功则计算第二边缘点乘,,为注册服务器私钥;计
算第一置换值、边缘服务器秘密凭证Ci=h(VIDi‖KRS)、第二认证校验值=h(VIDi‖Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2);第二设备点乘、第二置换值、设备秘密
凭证Cj=h(VIDj‖KRS)、第一认证校验值= h(VIDj‖Cj‖Φj‖λj‖h(q2) ‖TS1);注册服务器
异或值ERS=h(q2) ⨁h(h(n2‖Yi)‖TS3)、第三认证值Auth3=h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3)、第三
认证消息M3={VIDi ,ERS, Auth3, TS3},TS3为第三当前时间戳。
具体地,步骤C4中,认证设备元组为{VIDj,n2},第二边缘点乘、第三认证校验值= h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3);第二置换值、第四认证值Auth4=h(VIDj‖h(q2) ‖TS4),第二边缘异或值、第三边缘异或值、会话密钥SKij=h(h(n2 ‖
TS4) ‖h(n3) ‖h(q2))、边缘服务器会话密钥中间值Si=SKij⨁h(IDi);第四认证消息M4={,, Auth4,TS4},TS4为第四当前时间戳。
具体地,步骤C5中,第四认证校验值= h(VIDj‖h(q2) ‖TS4),第四置换值h
(n3)=h(h(q2) ‖TS4) ⨁、第五置换值h(h(q2) ‖TS4)= h(q2) ⨁、会话密钥SKij=h(h(n2
‖TS4) ‖h(n3) ‖h(q2))、设备会话密钥中间值Sj=SKij⨁h(IDj)。
进一步优选,所述边缘服务器注册过程包括如下步骤:
步骤A1:边缘服务器生成一个第一边缘随机数n1,定位边缘服务器所在的经纬度(Φi,λi),Φi为边缘服务器的经度,λi为边缘服务器的纬度,i为边缘服务器编号,计算并存储边缘服务器伪身份VIDi=h(IDi‖n1),其中h表示哈希运算,‖为字符串联运算符,IDi为边缘服务器真实身份标识,然后将边缘服务器注册请求消息{VIDi,Φi,λi }通过安全信道发送给注册服务器;
步骤A2:注册服务器收到边缘服务器注册请求消息{VIDi,Φi,λi }后,计算边缘服务器秘密凭证Ci=h(VIDi‖KRS),其中KRS为注册服务器私有密钥,RS为注册服务器编号,并存储边缘服务器注册请求消息{VIDi,Φi,λi }到数据库中,然后将边缘服务器秘密凭证Ci发给边缘服务器;
步骤A3:边缘服务器收到边缘服务器秘密凭证Ci后,计算边缘服务器秘密凭证中间值Bi=Ci⨁h(IDi‖VIDi),⨁为字符串异或运算符,最后存储边缘服务器秘密凭证中间值Bi。
进一步优选,所述设备注册过程包括如下步骤:
步骤B1:设备生成一个第一设备随机数q1,定位设备所在的经纬度(Φj,λj),Φj为设备的经度,λj为设备的纬度,j为设备编号,计算并存储设备伪身份VIDj=h(IDj‖q1),IDj为设备真实身份标识,计算设备注册秘密值Aj=h(VIDj‖Φj‖λj),然后通过安全信道发送设备注册请求消息{ VIDj,Φj,λj , Aj}给注册服务器;
步骤B2:注册服务器收到设备注册请求消息{ VIDj,Φj,λj , Aj}后,计算设备秘密凭证Cj=h(VIDj‖KRS)、设备登录验证值Zj=h(VIDj‖Cj‖Aj),并存储设备注册元组{ VIDj,Φj,λj }到数据库中,然后将设备秘密凭证Cj和设备登录验证值Zj发给设备;
步骤B3:设备收到设备秘密凭证Cj和设备登录验证值Zj后,计算设备秘密凭证中间值Bj=Cj⨁h(IDj‖VIDj),存储设备秘密凭证中间值Bj和设备登录验证值Zj。
本发明提供一种边缘计算环境下基于设备距离的匿名认证系统,包括设备、边缘服务器和注册服务器;注册服务器在每个设备或边缘服务器注册的同时生成相应的秘密凭证,此外,注册服务器通过公共信道对边缘服务器和设备进行认证;每个新的边缘服务器在注册过程向注册服务器发送边缘服务器伪身份标识并接收来自注册服务器的边缘服务器秘密凭证,边缘服务器和设备之间必须协商会话密钥,以方便后续加密数据的交换;在注册过程中,每个新设备需要向注册服务器发送自己的伪身份,并从注册服务器处接收设备秘密凭证,设备的计算和存储能力是有限的,它通过无线接口连接到同一边缘上的边缘服务器并传输数据,边缘服务器会主动响应来自设备的请求并存储相应的数据。
本发明的有益效果如下:
一方面,因为云计算把握全局,边缘计算更偏重局部,与云计算相比,边缘计算具有更高的实时性和容错性,更低的延迟、带宽消耗和成本;具体来说,部署在设备附近的边缘服务器可以为设备提供更快的网络服务响应,这改善了通话服务质量。然而,如果农业物联网设备与距离过远的边缘服务器通信会造成通话质量受损,设备所提供的信息也会被影响,进而农作物的质量也难以得到保证。为此,考虑到距离因素,在注册服务器对设备和边缘服务器进行合法性认证之前先判定二者的距离是否在规定范围内,这样,可以在一定程度保证设备能够稳定地与边缘服务器通信。
另一方面,利用椭圆曲线密码学来满足资源受限的物联网设备对轻量级加密的需求,椭圆曲线密码学主要由一条椭圆曲线和在这条椭圆曲线上定义的运算规则组成;此外在认证过程中使用了时间戳,进一步提高了对于重放攻击和中间人攻击的抵抗能力。
最后,考虑到离边缘服务器更近的设备提供的信息准确性和可靠性更高,包括不同种类的实时农业预警(如温度、湿度、风力等),可以使用不同的耕作预警和建议,使作物保持在最优的环境中。在该相互认证方案中应用了多种技术,包括简单密码运算、哈希运算、异或运算、椭圆曲线密码等轻量级操作,降低了设备用于认证过程的资源开销,并生成了设备与边缘服务器之间的会话密钥,此外会话密钥在每次认证结束后都会进行动态更新,保证会话密钥新鲜度。
附图说明
图1为一种边缘计算环境下基于设备距离的匿名认证系统示意图。
图2为一种边缘计算环境下基于设备距离的匿名认证系统三层架构示意图。
具体实施方式
下面结合实施例进一步详细阐明本发明。如图1、图2所示,本实施例提供的一种面向农业物联网的近距离匿名认证方法及系统。
如图1所示,一种边缘计算环境下基于设备距离的匿名认证系统,包括设备、边缘服务器和注册服务器;注册服务器在每个设备或边缘服务器注册的同时生成相应的秘密凭证,此外,注册服务器通过公共信道对边缘服务器和设备进行认证;每个新的边缘服务器在注册过程向注册服务器发送边缘服务器伪身份标识并接收来自注册服务器的边缘服务器秘密凭证,边缘服务器和设备之间必须协商会话密钥,以方便后续加密数据的交换;在注册过程中,每个新设备需要向注册服务器发送自己的伪身份,并从注册服务器处接收设备秘密凭证,设备的计算和存储能力是有限的,它通过无线接口连接到同一边缘上的边缘服务器并传输数据,边缘服务器会主动响应来自设备的请求并存储相应的数据。
如图2所示,边缘计算环境下基于设备距离的匿名认证系统的三层架构。从上到下分别是云端、边缘服务器、设备。具体来说,有几个边缘服务器,并且有许多设备,在云端有一个注册服务器。边缘服务器充当设备与云端之间的桥梁,边缘服务器可以与云交互,设备是配备传感器的智能设备,不仅向边缘服务器传输数据,还处理来自边缘服务器的交互信息。这些终端设备生成源源不断的数据流,然后将其发送到边缘服务器进行处理。这也大大减轻了云服务器的压力。
本实施例的一种边缘计算环境下基于设备距离的匿名认证方法,包括设备注册过程、边缘服务器注册过程和匿名认证过程;
所述边缘服务器注册过程包括如下步骤:
步骤A1:边缘服务器生成一个第一边缘随机数n1,定位边缘服务器所在的经纬度(Φi,λi),Φi为边缘服务器的经度,λi为边缘服务器的纬度,i为边缘服务器编号,计算并存储边缘服务器伪身份VIDi=h(IDi‖n1),其中h表示哈希运算,‖为字符串联运算符,IDi为边缘服务器真实身份标识,然后将边缘服务器注册请求消息{VIDi,Φi,λi }通过安全信道发送给注册服务器;
步骤A2:注册服务器收到边缘服务器注册请求消息{VIDi,Φi,λi }后,计算边缘服务器秘密凭证Ci=h(VIDi‖KRS),其中KRS为注册服务器私有密钥,RS为注册服务器编号,并存储边缘服务器注册请求消息{VIDi,Φi,λi }到数据库中,然后将边缘服务器秘密凭证Ci发给边缘服务器;
步骤A3:边缘服务器收到边缘服务器秘密凭证Ci后,计算边缘服务器秘密凭证中间值Bi=Ci⨁h(IDi‖VIDi),⨁为字符串异或运算符,最后存储边缘服务器秘密凭证中间值Bi,因为边缘服务器真实身份标识IDi只有其自身知悉,可以将边缘服务器秘密凭证Ci安全地保存下来。
进一步优选,所述设备注册过程包括如下步骤:
步骤B1:设备生成一个第一设备随机数q1,定位设备所在的经纬度(Φj,λj),Φj为设备的经度,λj为设备的纬度,j为设备编号,计算并存储设备伪身份VIDj=h(IDj‖q1),IDj为设备真实身份标识,出于隐私保护的考虑,设备身份是匿名的,这样做是为了避免与身份相关的安全风险和设备的隐私泄露,使用设备伪伪身份VIDj来实现匿名认证,计算设备注册秘密值Aj=h(VIDj‖Φj‖λj),然后通过安全信道发送设备注册请求消息{ VIDj,Φj,λj , Aj}给注册服务器;
步骤B2:注册服务器收到设备注册请求消息{ VIDj,Φj,λj , Aj}后,计算设备秘密凭证Cj=h(VIDj‖KRS)、设备登录验证值Zj=h(VIDj‖Cj‖Aj),并存储设备注册元组{ VIDj,Φj,λj }到数据库中,然后将设备秘密凭证Cj和设备登录验证值Zj发给设备;
步骤B3:设备收到设备秘密凭证Cj和设备登录验证值Zj后,计算设备秘密凭证中间值Bj=Cj⨁h(IDj‖VIDj),存储设备秘密凭证中间值Bj和设备登录验证值Zj。
进一步优选,所述匿名认证过程包括如下步骤:
步骤C1:设备计算设备注册秘密值Aj =h(VIDj‖Φj‖λj),设备秘密凭证Cj= Bj⨁h
(IDj‖VIDj)、设备登录校验值= h(VIDj‖Cj‖Aj);判断设备登录校验值与存储的设备登
录验证值Zj是否相等,验证失败则终止会话,验证成功则生成第二设备随机数q2,计算第一
设备点乘,G是有限域上的一个基点,第二设备点乘,PKRS
为注册服务器公钥,(Xj,Yj)表示第二设备点乘的坐标结果,设备异或值Ej= h(q2)⨁h(Xj),
第一认证值Auth1=h(VIDj‖Cj‖Φj‖λj‖h(q2) ‖TS1),TS1为第一当前时间戳,随后将第一认证
消息M1={ VIDj,Rj,Ej,Auth1,TS1}通过公共信道发送给边缘服务器;
步骤C2:边缘服务器收到第一认证消息M1后,获取第二当前时间戳TS2,验证∣TS2-
TS1∣≤ΔT是否成立,其中ΔT为最大传输时延,验证是否超时,验证成功则生成第二边缘随
机数n2,存储认证设备元组{VIDj, n2},计算第一边缘点乘、第二边缘点乘、第一边缘异或值、边缘服务器秘密凭证Ci=Bi
⨁h(IDi‖VIDi)、第二认证值Auth2=h(VIDi‖Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2),随后将第二认证消
息M2={M1, VIDi,Ri,,Auth2,TS2}发送给注册服务器,为第二边缘点乘的坐标结
果;
步骤C3:注册服务器收到第二认证消息M2后,获取第三当前时间戳TS3,验证∣TS3-
TS2∣≤ΔT是否成立,验证是否超时,验证成功则根据设备伪身份VIDj和边缘服务器伪身份
VIDi检索出设备注册元组{ VIDj,Φj,λj }和边缘服务器注册请求消息{VIDi,Φi,λi },利
用半正矢函数计算设备与边缘服务器的距离,其中R是地球半径,,并判断是否成立,其中为规
定最大距离范围,验证是否超出范围,验证成功则计算第二边缘点乘(椭圆曲线密码学,,为注
册服务器私钥)、第一置换值、边缘服务器秘密凭证Ci=h(VIDi‖KRS)、第
二认证校验值=h(VIDi‖Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2),并验证第二认证校验值和
传递过来的第二认证值Auth2是否相等,验证失败则终止会话,验证成功则说明是合法的边
缘服务器并计算第二设备点乘、第二置换
值、设备秘密凭证Cj=h(VIDj‖KRS)、第一认证校验值= h(VIDj‖Cj‖
Φj‖λj‖h(q2) ‖TS1),并验证第一认证校验值和传递过来的第一认证值Auth1是否相
等,验证失败则终止会话,验证成功则证明是合法的设备并计算注册服务器异或值ERS=h
(q2) ⨁h(h(n2‖Yi)‖TS3)、第三认证值Auth3=h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3)、第三认证消息M3=
{VIDj ,ERS, Auth3, TS3},最后将第三认证消息M3通过公共信道发送给边缘服务器;
步骤C4:边缘服务器收到第三认证消息M3后,获取第四当前时间戳TS4,验证∣TS4-
TS3∣≤ΔT是否成立,验证是否超时,验证成功则根据已通过注册服务器认证的设备伪身份
标识提取认证设备元组{VIDj,n2},计算第二边缘点乘、第三认证校
验值= h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3),验证第三认证校验值和传递过来的第三认
证值Auth3是否相等,验证失败则终止会话,验证成功则证明是合法的注册服务器,验证完
则计算第二置换值、第四认证值Auth4=h(VIDj‖h(q2) ‖
TS4),生成第三边缘随机数n3并计算第二边缘异或值、第三边缘异
或值、会话密钥SKij=h(h(n2 ‖TS4) ‖h(n3) ‖h(q2))、边缘服务器会
话密钥中间值Si=SKij⨁h(IDi),边缘服务器只存储边缘服务器会话密钥中间值Si,因为边缘
服务器真实身份标识IDi只有其自身知悉,可以将会话密钥安全地保存下来,最后将第四认
证消息M4={,, Auth4,TS4}通过公共信道发送给物联网设备;
步骤C5:设备收到第四认证消息M4后,获取第五当前时间戳TS5,验证∣TS5- TS4∣≤
ΔT是否成立,验证成功则计算第四认证校验值= h(VIDj‖h(q2) ‖TS4),并验证第四认
证校验值和传递过来的第四认证值Auth4是否相等,验证失败则终止会话,验证成功
则证明是合法的边缘服务器,计算第四置换值h(n3)=h(h(q2) ‖TS4) ⨁、第五置换值h(n2
‖TS4)= h(q2) ⨁、会话密钥SKij=h(h(n2 ‖TS4) ‖h(n3) ‖h(q2))、设备会话密钥中间值Sj
=SKij⨁h(IDj),最终设备存储设备会话密钥中间值Sj,因为设备真实身份标识IDj只有设备
自身知悉,可以将会话密钥安全地保存下来。
为了验证本发明认证方法的安全性,使用BAN逻辑对协议进行了形式化的安全性分析,证明了该协议是安全的。
1.安全目标:
目标1:边缘服务器相信会话密钥SKij是边缘服务器和设备共享的秘密;
目标2:设备相信会话密钥SKij是设备和边缘服务器共享的秘密。
2.BAN逻辑推理规则:
消息含义规则;
临时值验证规则;
管辖规则;
消息新鲜度规则;
信念规则。
3.理想化协议模型方案:
第一认证消息M1={ VIDj,Rj,Ej,Auth1,TS1};
第二认证消息M2={M1, VIDi,Ri,,Auth2,TS2};
第三认证消息M3={VIDj ,ERS, Auth3, TS3};
第四认证消息M4={,, Auth4,TS4}。
4.主动权前提:
①设备相信第四当前时间戳TS4新鲜度;
②边缘服务器相信第二设备随机数q2的新鲜度;
③边缘服务器相信第三边缘随机数n3的哈希值h(n3) 是边缘服务器和设备共享的秘密;
④设备相信第三边缘随机数n3的哈希值h(n3)是边缘服务器和设备共享的秘密;
⑤边缘服务器相信h((n2 ‖Yi) ‖TS3)是边缘服务器和注册服务器共享的秘密;
⑥注册服务器相信h((n2 ‖Yi) ‖TS3)是注册服务器和边缘服务器共享的秘密;
⑦设备相信第二设备随机数q2的哈希值h(q2)是设备和边缘服务器共享的秘密;
⑧边缘服务器相信第二设备随机数q2的哈希值h(q2)是边缘服务器和设备共享的秘密。
5.形式化分析:
第一步:从第四认证消息中可以看出,设备接收了来自边缘服务器的消息。因此,
设备看到了第三边缘异或值,即被第二设备随机数q2的哈希值h(q2)
异或的第五置换值h(h(n2) ‖TS4);
第二步:根据第一步、主动权前提⑦和消息含义规则,可以看到第二设备随机数q2的哈希值h(q2)只有设备、边缘服务器及他们信任的人才知道。第五置换值h(h(n2) ‖TS4)是用它置换加密的。因此,设备相信边缘服务器曾经说过第五置换值h(h(n2) ‖TS4);
第三步:从主动权前提①和消息新鲜度规则可以得知设备相信第四当前时间戳TS4新鲜度。因此,设备相信第五置换值h(h(n2) ‖TS4)的新鲜度;
第四步: 根据第二步、第三步和临时值验证规则,我们可以发现,如果设备相信第五置换值h(h(n2) ‖TS4)的新鲜度,并相信边缘服务器曾经说过这个消息,那么设备就相信边缘服务器信任第五置换值h(h(n2) ‖TS4)。因此,设备相信边缘服务器信任第五置换值h(h(n2) ‖TS4);
第五步:根据第四步和管辖规则,如果设备相信边缘服务器信任第五置换值h(h(n2) ‖TS4),并且设备相信边缘服务器控制第五置换值h(h(n2) ‖TS4),因此,设备相信第五置换值h(h(n2) ‖TS4);
第六步:根据第五步、主动权前提④、主动权前提⑦和信念规则,可以看出设备相信会话密钥SKij= h(h(n2||TS4)||h(n3)||h(q2))。因此可以得出目标2,设备相信会话密钥SKij是设备和边缘服务器共享的秘密;
第七步:从第三认证消息中可以看出,边缘服务器接收了来自注册服务器的消息。因此,边缘服务器看到了注册服务器异或值ERS=h(q2) ⨁h(h(n2‖Yi)‖TS3),即被h(h(n2‖Yi)‖TS3)异或的第二设备随机数q2的哈希值h(q2);
第八步:根据第七步、主动权前提⑤和消息含义规则,可以看到h(h(n2||Yi)||TS3))的值只有边缘服务器和注册服务器知道,第二设备随机数q2的哈希值h(q2)是使用它进行加密的。因此,边缘服务器相信注册服务器信任第二设备随机数q2的哈希值h(q2);
第九步:根据主动权前提②和消息新鲜度规则,我们可以得知边缘服务器相信第二设备随机数q2的新鲜度。因此,边缘服务器相信第二设备随机数q2的哈希值h(q2)的新鲜度;
第十步:从第八步、第九步和临时值验证规则中我们可以得知,如果边缘服务器相信h(q2)的新鲜度,并相信注册服务器曾经说过这个消息,那么边缘服务器相信注册服务器信任第二设备随机数q2的哈希值h(q2)。因此,边缘服务器相信注册服务器信任第二设备随机数q2的哈希值h(q2);
第十一步:从第十步和管辖规则我们可以得知,如果边缘服务器相信注册服务器信任第二设备随机数q2的哈希值h(q2),并且边缘服务器相信注册服务器控制h(q2)。因此,边缘服务器相信第二设备随机数q2的哈希值h(q2);
第十二步: 从第十一步、主动权前提③和信念规则可以看出,边缘服务器相信会话密钥SKij= h(h(n2||TS4)||h(n3)||h(q2))。因此,可以得出目标1,边缘服务器相信会话密钥SKij是边缘服务器和设备共享的秘密。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该本发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (2)
1.一种边缘计算环境下基于设备距离的匿名认证方法,包括设备注册过程、边缘服务器注册过程和匿名认证过程;其特征在于:
所述边缘服务器注册过程包括如下步骤:
步骤A1:边缘服务器生成一个第一边缘随机数n1,定位边缘服务器所在的经纬度(Φi,λi),Φi为边缘服务器的经度,λi为边缘服务器的纬度,i为边缘服务器编号,计算并存储边缘服务器伪身份VIDi=h(IDi‖n1),其中h表示哈希运算,‖为字符串联运算符,IDi为边缘服务器真实身份标识,然后将边缘服务器注册请求消息{VIDi,Φi,λi }通过安全信道发送给注册服务器;
步骤A2:注册服务器收到边缘服务器注册请求消息{VIDi,Φi,λi }后,计算边缘服务器秘密凭证Ci=h(VIDi‖KRS),其中KRS为注册服务器私有密钥,RS为注册服务器编号,并存储边缘服务器注册请求消息{VIDi,Φi,λi }到数据库中,然后将边缘服务器秘密凭证Ci发给边缘服务器;
步骤A3:边缘服务器收到边缘服务器秘密凭证Ci后,计算边缘服务器秘密凭证中间值Bi=Ci h(IDi‖VIDi),/>为字符串异或运算符,最后存储边缘服务器秘密凭证中间值Bi;
所述设备注册过程包括如下步骤:
步骤B1:设备生成一个第一设备随机数q1,定位设备所在的经纬度(Φj,λj),Φj为设备的经度,λj为设备的纬度,j为设备编号,计算并存储设备伪身份VIDj=h(IDj‖q1),IDj为设备真实身份标识,计算设备注册秘密值Aj=h(VIDj‖Φj‖λj),然后通过安全信道发送设备注册请求消息{ VIDj,Φj,λj , Aj}给注册服务器;
步骤B2:注册服务器收到设备注册请求消息{ VIDj,Φj,λj , Aj}后,计算设备秘密凭证Cj=h(VIDj‖KRS)、设备登录验证值Zj=h(VIDj‖Cj‖Aj),并存储设备注册元组{ VIDj,Φj,λj }到数据库中,然后将设备秘密凭证Cj和设备登录验证值Zj发给设备;
步骤B3:设备收到设备秘密凭证Cj和设备登录验证值Zj后,计算设备秘密凭证中间值Bj=Cj h(IDj‖VIDj),存储设备秘密凭证中间值Bj和设备登录验证值Zj;
所述匿名认证过程包括如下步骤:
步骤C1:设备计算设备注册秘密值Aj =h(VIDj‖Φj‖λj),设备秘密凭证Cj= Bj h(IDj‖VIDj)、设备登录校验值/>= h(VIDj‖Cj‖Aj);判断设备登录校验值/>与存储的设备登录验证值Zj是否相等,验证失败则终止会话,验证成功则生成第二设备随机数q2,计算第一设备点乘/>,G是有限域上的一个基点,第二设备点乘/>,PKRS为注册服务器公钥,(Xj,Yj)表示第二设备点乘的坐标结果,设备异或值Ej= h(q2)/>h(Xj),第一认证值Auth1=h(VIDj‖Cj‖Φj‖λj‖h(q2) ‖TS1),TS1为第一当前时间戳,随后将第一认证消息M1={ VIDj,Rj,Ej,Auth1,TS1}通过公共信道发送给边缘服务器;
步骤C2:边缘服务器收到第一认证消息M1后,获取第二当前时间戳TS2,验证∣TS2- TS1∣≤ΔT是否成立,其中ΔT为最大传输时延,验证是否超时,验证成功则生成第二边缘随机数n2,存储认证设备元组{VIDj, n2},计算第一边缘点乘、第二边缘点乘、第一边缘异或值/>、边缘服务器秘密凭证Ci=Bi h(IDi‖VIDi)、第二认证值Auth2=h(VIDi‖Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2),随后将第二认证消息M2={M1, VIDi,Ri,/>,Auth2,TS2}发送给注册服务器,/>为第二边缘点乘的坐标结果;
步骤C3:注册服务器收到第二认证消息M2后,获取第三当前时间戳TS3,验证∣TS3- TS2∣≤ΔT是否成立,验证是否超时,验证成功则根据设备伪身份VIDj和边缘服务器伪身份VIDi检索出设备注册元组{ VIDj,Φj,λj }和边缘服务器注册请求消息{VIDi,Φi,λi },利用半正矢函数计算设备与边缘服务器的距离,其中R是地球半径,,并判断/>是否成立,其中/>为规定最大距离范围,验证是否超出范围,验证成功则计算第二边缘点乘,/>,/>为注册服务器私钥;并计算第一置换值/>、边缘服务器秘密凭证Ci=h(VIDi‖KRS)、第二认证校验值/>=h(VIDi‖Ci‖Φi‖λi‖h(n2 ‖Yi) ‖TS2),并验证第二认证校验值/>和传递过来的第二认证值Auth2是否相等,验证失败则终止会话,验证成功则说明是合法的边缘服务器并计算第二设备点乘/>、第二置换值、设备秘密凭证Cj=h(VIDj‖KRS)、第一认证校验值/>= h(VIDj‖Cj‖Φj‖λj‖h(q2) ‖TS1),并验证第一认证校验值/>和传递过来的第一认证值Auth1是否相等,验证失败则终止会话,验证成功则证明是合法的设备并计算注册服务器异或值ERS=h(q2)/>h(h(n2‖Yi)‖TS3)、第三认证值Auth3=h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3)、第三认证消息M3={VIDj ,ERS, Auth3, TS3},最后将第三认证消息M3通过公共信道发送给边缘服务器;
步骤C4:边缘服务器收到第三认证消息M3后,获取第四当前时间戳TS4,验证∣TS4- TS3∣≤ΔT是否成立,验证是否超时,验证成功则根据已通过注册服务器认证的设备伪身份标识提取认证设备元组{VIDj,n2},计算第二边缘点乘、第三认证校验值= h(VIDi‖Xi‖h(n2 ‖Yi) ‖TS3),验证第三认证校验值/>和传递过来的第三认证值Auth3是否相等,验证失败则终止会话,验证成功则证明是合法的注册服务器,验证完则计算第二置换值/>、第四认证值Auth4=h(VIDj‖h(q2) ‖TS4),生成第三边缘随机数n3并计算第二边缘异或值/>、第三边缘异或值、会话密钥SKij=h(h(n2 ‖TS4) ‖h(n3) ‖h(q2))、边缘服务器会话密钥中间值Si=SKij/>h(IDi),边缘服务器只存储边缘服务器会话密钥中间值Si,最后将第四认证消息M4={/>,/>, Auth4,TS4}通过公共信道发送给设备;
步骤C5:设备收到第四认证消息M4后,获取第五当前时间戳TS5,验证∣TS5- TS4∣≤ΔT是否成立,验证成功则计算第四认证校验值= h(VIDj‖h(q2) ‖TS4),并验证第四认证校验值/>和传递过来的第四认证值Auth4是否相等,验证失败则终止会话,验证成功则证明是合法的边缘服务器,计算第四置换值h(n3)=h(h(q2) ‖TS4)/> 、第五置换值h(n2 ‖TS4)= h(q2)/> 、会话密钥SKij=h(h(n2 ‖TS4) ‖h(n3) ‖h(q2))、设备会话密钥中间值Sj=SKij/>h(IDj),最终设备存储设备会话密钥中间值Sj。
2.一种边缘计算环境下基于设备距离的匿名认证系统,包括设备、边缘服务器和注册服务器;其特征在于,采用权利要求1所述的边缘计算环境下基于设备距离的匿名认证方法,注册服务器在每个设备或边缘服务器注册的同时生成相应的秘密凭证,注册服务器通过公共信道对边缘服务器和设备进行认证;每个新的边缘服务器在注册过程向注册服务器发送边缘服务器伪身份标识并接收来自注册服务器的边缘服务器秘密凭证,边缘服务器和设备之间必须协商会话密钥,以方便后续加密数据的交换;在注册过程中,每个新设备需要向注册服务器发送自己的伪身份,并从注册服务器处接收设备秘密凭证,设备通过无线接口连接到同一边缘上的边缘服务器并传输数据,边缘服务器主动响应来自设备的请求并存储相应的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410275787.6A CN117880800B (zh) | 2024-03-12 | 2024-03-12 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410275787.6A CN117880800B (zh) | 2024-03-12 | 2024-03-12 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117880800A CN117880800A (zh) | 2024-04-12 |
| CN117880800B true CN117880800B (zh) | 2024-05-28 |
Family
ID=90583411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410275787.6A Active CN117880800B (zh) | 2024-03-12 | 2024-03-12 | 边缘计算环境下基于设备距离的匿名认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117880800B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
| CN112637298A (zh) * | 2020-12-15 | 2021-04-09 | 中国联合网络通信集团有限公司 | 认证方法和成员节点 |
| CN112911549A (zh) * | 2021-02-25 | 2021-06-04 | 南通大学 | 一种基于区块链信任模型的gpsr安全路由协议实现方法 |
| CN113873508A (zh) * | 2021-09-23 | 2021-12-31 | 国网辽宁省电力有限公司电力科学研究院 | 基于用户双公私钥的边缘计算双向认证方法及系统 |
| CN115514474A (zh) * | 2022-08-30 | 2022-12-23 | 西北工业大学 | 一种基于云-边-端协同的工业设备可信接入方法 |
| CN115865508A (zh) * | 2022-12-09 | 2023-03-28 | 南方电网科学研究院有限责任公司 | 一种边缘计算双向认证方法 |
| CN116582554A (zh) * | 2022-04-07 | 2023-08-11 | 武汉联影医疗科技有限公司 | 边缘节点接入处理方法、装置、移动终端和边缘节点 |
| CN117097489A (zh) * | 2023-10-20 | 2023-11-21 | 华东交通大学 | 一种轻量级双因素农业物联网设备持续认证方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220086072A1 (en) * | 2018-12-19 | 2022-03-17 | Apple Inc. | Configuration management, performance management, and fault management to support edge computing |
| US20220159501A1 (en) * | 2019-02-12 | 2022-05-19 | Apple Inc. | Systems and methods to deploy user plane function (upf) and edge computing virtualized network functions (vnfs) in network functions virtualization (nfv) environment networks |
-
2024
- 2024-03-12 CN CN202410275787.6A patent/CN117880800B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935714A (zh) * | 2020-07-13 | 2020-11-13 | 兰州理工大学 | 一种移动边缘计算网络中身份认证方法 |
| CN112637298A (zh) * | 2020-12-15 | 2021-04-09 | 中国联合网络通信集团有限公司 | 认证方法和成员节点 |
| CN112911549A (zh) * | 2021-02-25 | 2021-06-04 | 南通大学 | 一种基于区块链信任模型的gpsr安全路由协议实现方法 |
| CN113873508A (zh) * | 2021-09-23 | 2021-12-31 | 国网辽宁省电力有限公司电力科学研究院 | 基于用户双公私钥的边缘计算双向认证方法及系统 |
| CN116582554A (zh) * | 2022-04-07 | 2023-08-11 | 武汉联影医疗科技有限公司 | 边缘节点接入处理方法、装置、移动终端和边缘节点 |
| CN115514474A (zh) * | 2022-08-30 | 2022-12-23 | 西北工业大学 | 一种基于云-边-端协同的工业设备可信接入方法 |
| CN115865508A (zh) * | 2022-12-09 | 2023-03-28 | 南方电网科学研究院有限责任公司 | 一种边缘计算双向认证方法 |
| CN117097489A (zh) * | 2023-10-20 | 2023-11-21 | 华东交通大学 | 一种轻量级双因素农业物联网设备持续认证方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Blockchain and Deep Learning for Secure Communication in Digital Twin Empowered Industrial IoT Network;Prabhat Kumar等;IEEE Transactions on Network Science and Engineering;20220718;全文 * |
| 边缘计算下面向位置隐私保护的中继分流模型;林文敏;张松;刘加邦;;应用科学学报;20200930(05);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117880800A (zh) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | Physical-layer authentication for wireless security enhancement: Current challenges and future developments | |
| WO2020133655A1 (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| Jan et al. | Design and analysis of lightweight authentication protocol for securing IoD | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| US8468347B2 (en) | Secure network communications | |
| EP2341724A2 (en) | System and method for secure transaction of data between wireless communication device and server | |
| Usman et al. | A mobile multimedia data collection scheme for secured wireless multimedia sensor networks | |
| US9544298B2 (en) | Method for certificate-based authentication | |
| US11722887B2 (en) | Privacy protection authentication method based on wireless body area network | |
| Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
| US20230032099A1 (en) | Physical unclonable function based mutual authentication and key exchange | |
| Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
| CN113873508A (zh) | 基于用户双公私钥的边缘计算双向认证方法及系统 | |
| Wazid et al. | TACAS-IoT: trust aggregation certificate-based authentication Scheme for edge-enabled IoT systems | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| CN113987460B (zh) | 基于联盟链的群智感知场景下分布式假名和匿名认证方法 | |
| Prakash et al. | Authentication protocols and techniques: a survey | |
| KR101308498B1 (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. | |
| Lai et al. | Group-based handover authentication for space-air-ground integrated vehicular networks | |
| Li et al. | A lightweight anonymous authentication protocol using k-pseudonym set in wireless networks | |
| Mäurer et al. | Pmake: Physical unclonable function-based mutual authentication key exchange scheme for digital aeronautical communications | |
| CN117880800B (zh) | 边缘计算环境下基于设备距离的匿名认证方法及系统 | |
| Paliwal et al. | Dynamic private Modulus based password conditional privacy preserving authentication and key-agreement protocol for VANET | |
| ZakeriKia et al. | Robust and anonymous handover authentication scheme without key escrow problem in vehicular sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |