TW202222090A - 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器 - Google Patents

基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器 Download PDF

Info

Publication number
TW202222090A
TW202222090A TW109140967A TW109140967A TW202222090A TW 202222090 A TW202222090 A TW 202222090A TW 109140967 A TW109140967 A TW 109140967A TW 109140967 A TW109140967 A TW 109140967A TW 202222090 A TW202222090 A TW 202222090A
Authority
TW
Taiwan
Prior art keywords
authentication
edge
token
authentication server
iot device
Prior art date
Application number
TW109140967A
Other languages
English (en)
Other versions
TWI754464B (zh
Inventor
黃雅喻
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW109140967A priority Critical patent/TWI754464B/zh
Priority to CN202110962952.1A priority patent/CN114756361A/zh
Application granted granted Critical
Publication of TWI754464B publication Critical patent/TWI754464B/zh
Publication of TW202222090A publication Critical patent/TW202222090A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明提出一種基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器,係將快速認證分流到邊緣節點的邊緣認證伺服器,並且各個邊緣認證伺服器能智能的計算出適合之令牌時效性,以有效降低認證延遲以及核心認證伺服器之負擔,並能提高快速認證安全性,如此,本發明能解決傳統集中式認證大量負載、認證延遲以及快速認證採用之固定式令牌時效性所延伸的安全性問題。

Description

基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器
本揭露係關於裝置認證技術,詳而言之,係關於一種基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器。
目前物聯網裝置認證與授權機制係為集中式認證與授權,舉例來說,物聯網裝置認證與授權系統為集中式的核心認證系統,該系統能提供一般認證(AAA認證)以及快速認證機制,如圖1所示,物聯網裝置11向核心認證系統12發送認證請求,核心認證系統12接收用戶資訊後會先進行資料驗證,亦即一般認證,待一般認證通過後核心認證系統12會給予物聯網裝置11一組令牌(Token),之後,物聯網裝置11會利用該令牌向核心認證系統12再次發送認證請求時,核心認證系統12會先驗證該令牌是否有效,如有效,則不需要進行一般認證,此稱為快速認證,若無效,則需要進行一般認證並且重新取得令牌。
現有的核心認證系統採用單一系統認證機制,雖然簡單,但仍有其他問題,例如單一的核心認證系統能提供集中式快速認證,但集中在單一系統 進行認證和授權,仍容易造成系統之負擔或是有認證延遲的情形,況且,固定之令牌時效並非是最適合的,例如時效過長時,會導致令牌容易被竊取或盜用,因而有安全疑慮,但若時效過短時,令牌易失效,將導致一般認證之負擔。
有鑑於此,如何找出一種裝置認證機制,在無需複雜程序與系統組構下,能進行物聯網裝置之認證,特別是能減輕系統負擔以及避免認證延遲,此將成為本技術領域人員極欲解決的課題。
為解決上述現有技術之問題,本發明提出一種基於邊緣計算之物聯網裝置認證系統,係包括:邊緣認證伺服器,係用於接收物聯網裝置發出之包含用戶資料及令牌之認證請求並判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置;以及核心認證伺服器,係用於在該邊緣認證伺服器判斷該令牌的效期為失效時,接收該邊緣認證伺服器所傳送之該用戶資料,進行一般認證。
於一實施例中,該核心認證伺服器向該邊緣認證伺服器回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服器儲存該新的令牌至一邊緣認證資料庫,以及回傳該新的令牌至該物聯網裝置以供後續快速認證使用。
於一實施例中,該邊緣認證伺服器係依據該邊緣認證伺服器之認證結果,週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫。
上述之認證因子資料包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
於一實施例中,該邊緣認證伺服器復包括動態調整令牌時效單元,係依據該認證因子資料以及利用令牌時效調整演算分析法取得該令牌的時效,透過評價該令牌的效期之判斷結果以及評價的落點分析,以據之調整該令牌的效期。
於一實施例中,該邊緣認證伺服器復包括:流程控制單元,係用於接收該認證請求及認證結果之回應、檢查該令牌的效期及判斷是否進行核心認證;評價演算分析單元,係用於認證因子之權重設定、數據統計及評價計算;以及時效性決策演算分析單元,係用於該評價之落點分析,以決定該令牌的時效。
於一實施例中,該基於邊緣計算之物聯網裝置認證系統復包括連接該核心認證伺服器之認證中心,係用於執行用戶認證及密鑰協商。
本發明復提出一種基於邊緣計算之物聯網裝置認證方法,係包含:令物聯網裝置發出包含用戶資料及令牌之認證請求;令邊緣認證伺服器接收來自該物聯網裝置之該認證請求並執行該令牌的效期之判斷;以及於該邊緣認證伺服器判斷該令牌的效期為有效時,由該邊緣認證伺服器向該物聯網裝置回應認證成功訊息,而於該邊緣認證伺服器判斷該令牌的效期為失效時,令該邊緣認證伺服器將該用戶資料傳送至核心認證伺服器,進行一般認證。
於上述方法中,該核心認證伺服器向該邊緣認證伺服器回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服 器儲存該新的令牌至一邊緣認證資料庫,以及回傳該新的令牌至該物聯網裝置以供後續快速認證使用。
於上述方法中,該邊緣認證伺服器係週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫。另外,該認證因子資料包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
於一實施例中,該邊緣認證伺服器復包括對該令牌的效期之判斷結果進行評價以及依據該評價的結果作落點分析,以據之調整該令牌的效期。
本發明另提出一種邊緣認證伺服器,係包含:接收單元,用於接收物聯網裝置發出之包含用戶資料及令牌之認證請求;以及判斷單元,用於判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置,而於該令牌的效期為失效時,傳送該用戶資料以進行一般認證。
綜上可知,本發明為一種基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器,係關於一種有效率且能保有令牌安全性之認證方法,物聯網裝置會先使用令牌於邊緣認證伺服器進行快速認證,邊緣認證伺服器進而判斷令牌是否有效並記錄快速認證結果,如令牌有效則可在邊緣進行低延遲之快速認證,另外,邊緣認證伺服器會根據已存在的認證結果週期性的調整令牌時效,達到自我優化,例如快速認證成功率低、進線流量大,大量用戶必須進行一般認證,使得核心認證伺服器繁忙,將致使使用者體驗變糟糕,此時,邊緣認證伺服器可自動延長令牌時效,使得物聯網裝置在邊緣進行認證的機會大增,快速認證成功率大大提高,此將能降低核心認證伺服器的負擔且有效改善使用者體驗。
11、20:物聯網裝置
12:核心認證系統
2:基於邊緣計算之物聯網裝置認證系統
21:邊緣認證伺服器
211:流程控制單元
212:評價演算分析單元
213:時效性決策演算分析單元
214:動態調整令牌時效單元
215:接收單元
216:判斷單元
22:核心認證伺服器
23:邊緣認證資料庫
24:認證中心
A1-A6:步驟
B1-B3:步驟
S51-S53:步驟
圖1為現有物聯網裝置之認證與授權機制的系統架構圖。
圖2為本發明基於邊緣計算之物聯網裝置認證系統的系統架構圖。
圖3為本發明邊緣認證伺服器的細部架構圖。
圖4為本發明基於邊緣計算之物聯網裝置認證系統一具體實施例的系統架構圖。
圖5為本發明基於邊緣計算之物聯網裝置認證方法的步驟圖。
圖6為本發明基於邊緣計算之物聯網裝置認證方法的時序圖。
圖7為本發明執行評價落點分析的示意圖。
圖8為本發明關於令牌時效調整的示意圖。
圖9為本發明之多個邊緣認證系統的情境示意圖。
圖10為本發明之快速認證失敗的流程示意圖。
圖11為本發明之快速認證成功的流程示意圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
圖2為本發明基於邊緣計算之物聯網裝置認證系統的系統架構圖。如圖所示,基於邊緣計算之物聯網裝置認證系統2至少包括邊緣認證伺服器21以及核心認證伺服器22。
邊緣認證伺服器21用於接收物聯網裝置20發出之包含用戶資料及令牌之認證請求並判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置20。
核心認證伺服器22用於在該邊緣認證伺服器21判斷該令牌的效期為失效時,接收該邊緣認證伺服器21所傳送之該用戶資料,進行一般認證。具體來說,該核心認證伺服器22向該邊緣認證伺服器21回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服器21儲存該新的令牌至一邊緣認證資料庫23,以及回傳該新的令牌至該物聯網裝置20以供後續快速認證使用。
於一實施例中,該核心認證伺服器22連接一認證中心24,該認證中心24用於執行用戶認證及密鑰協商,亦即在邊緣認證伺服器21無法快速認證下,由核心認證伺服器22進行一般認證,而核心認證伺服器22會將相關資料傳送至認證中心24以對用戶對進行認證和協商通信密鑰。
為了能達到快速認證,本發明於邊緣認證伺服器21內對物聯網裝置20所提供之令牌進行驗證,確認其是否有效,但仍須考量到效率問題,亦即邊緣認證伺服器21要負擔大量認證工作時,但因令牌關係導致認證時間延宕,恐非較佳情況,故本發明之邊緣認證伺服器21具備調整機制,即邊緣認證伺服器21能依據邊緣認證伺服器21之認證結果,週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫23,而該認證因子資料可包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
由上可知,邊緣認證伺服器21用於進行快速認證、收集認證結果並進行評價以及動態調整令牌時效,利用令牌進行快速認證,並依據令牌是否有 效以決定快速認證是否成功,再者,能週期性地根據認證因子資料計算出評價後,動態分析並調整該邊緣認證系統之令牌效期,而核心認證伺服器22則是進行用戶身分認證亦即一般認證、提供可信的令牌資料。
圖3為本發明邊緣認證伺服器的細部架構圖。如圖所示,邊緣認證伺服器21係包括流程控制單元211、評價演算分析單元212、時效性決策演算分析單元213、動態調整令牌時效單元214、接收單元215以及判斷單元216,其中,各單元係彼此電性連接。
邊緣認證伺服器21之接收單元215用於接收物聯網裝置發出之包含用戶資料及令牌之認證請求;邊緣認證伺服器21之判斷單元216用於判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置,而於該令牌的效期為失效時,傳送該用戶資料以進行一般認證。
邊緣認證伺服器21之流程控制單元211用於接收該認證請求及認證結果之回應、檢查該令牌的效期以及判斷是否進行核心認證,亦即涉及資訊傳遞和檢查令牌的效期,並且依據令牌檢查結果,決定是否進行核心認證;邊緣認證伺服器21之評價演算分析單元212用於認證因子之權重設定、數據統計以及評價計算,簡言之,評價演算分析單元212執行有關數據統計,藉以進行評價計算以及認證因子的權重設定;邊緣認證伺服器21之時效性決策演算分析單元213用於該評價之落點分析,以決定該令牌的時效,亦即時效性決策演算分析單元213可對評價進行落點分析,進而依據落點分析結果來決定是否調整令牌的時效。
動態調整令牌時效單元214依據該認證因子資料以及利用令牌時效調整演算分析法取得該令牌的時效,透過評價該令牌的效期之判斷結果以及評價的落點分析,以據之調整該令牌的效期。如前所述,邊緣認證伺服器21會依 據認證情況來調整令牌的效期,其依據就是評價令牌的效期之判斷結果,並進行評價的落點分析,藉此得到是否調整令牌的效期之依據。
圖4為本發明基於邊緣計算之物聯網裝置認證系統一具體實施例的系統架構圖,請一併參考圖2和圖3。具體來說,基於邊緣計算之物聯網裝置認證系統可包含物聯網裝置、邊緣認證系統以及核心認證系統等架構。
邊緣認證系統係透過網際網路傳輸協定,以接受來自物聯網裝置20之認證請求,該認證請求包含用戶資訊和令牌以作為認證之憑據,當該令牌失效時,邊緣認證系統會透過網際網路傳輸協定將用戶資訊發送至核心認證系統(Entitlement System,ES)進行一般認證。
邊緣認證系統各自獨立並且各自包含邊緣認證伺服器21以及邊緣認證資料庫23,用於儲存令牌資料以及物聯網裝置20認證因子資料,其中,邊緣認證伺服器21若接受物聯網裝置20之認證請求,即表示其為該物聯網裝置20之最接近的邊緣認證系統。於邊緣認證伺服器21中,包括流程控制單元211、評價演算分析單元212以及時效性決策演算分析單元213,其中,流程控制單元211係負責連接提供服務的軟體與資料庫以完成服務邏輯的執行,主要功能包含接收物聯網裝置認證請求與回應、檢查令牌時效是否到期、判斷是否進行核心認證,評價演算分析單元212係負責權重設定、數據統計、評價計算,關於設定因子之權重值以及評價演算分析,後面會再詳述,而時效性決策演算分析單元213係負責評價落點分析,決定令牌時效,關於時效性決策演算分析,後面會再詳述。
核心認證系統可包括核心認證伺服器22以及連接核心認證伺服器22之認證中心24,其中,認證伺服器22又稱授權伺服器(Entitlement Server),負責當通過認證中心認證後取得令牌,並將其回傳給邊緣認證系統,而認證中心24 為AAA(Authentication、Authorization、Accounting)認證,負責核心認證,進行用戶認證和密鑰協商。
圖5為本發明基於邊緣計算之物聯網裝置認證方法的步驟圖。
如圖所示,於步驟S51,令物聯網裝置發出包含戶資料及令牌之認證請求。本步驟係物聯網裝置發出認證請求,該認證請求包含戶資料及令牌。
於步驟S52,令邊緣認證伺服器接收來自該物聯網裝置之該認證請求並執行該令牌的效期之判斷。本步驟係邊緣認證伺服器接收認證請求後,判斷該令牌的效期是否有效。
於步驟S53,於該邊緣認證伺服器判斷該令牌的效期為有效時,由該邊緣認證伺服器向該物聯網裝置回應認證成功訊息,而於該邊緣認證伺服器判斷該令牌的效期為失效時,令該邊緣認證伺服器將該用戶資料傳送至核心認證伺服器,進行一般認證。本步驟係在令牌的效期為有效時,由邊緣認證伺服器回應認證成功訊息至物聯網裝置,而在令牌的效期為失效時,由邊緣認證伺服器將用戶資料傳送至核心認證伺服器,進行一般認證。
於上述步驟S53中,復包括該核心認證伺服器向該邊緣認證伺服器回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服器儲存該新的令牌至一邊緣認證資料庫,以及回傳該新的令牌至該物聯網裝置以供後續快速認證使用。簡言之,由核心認證伺服器執行一般驗證,若成功時,一併產生新的令牌並更新邊緣認證伺服器那一端的令牌,以利後續快速認證使用。
於一實施例中,上述方法復包括邊緣認證伺服器係週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫,其中,該認證因子資料包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
於一實施例中,上述方法復包括邊緣認證伺服器對該令牌的效期之判斷結果進行評價以及依據該評價的結果作落點分析,以據之調整該令牌的效期。簡言之,邊緣認證伺服器根據認證因子資料並且使用評價演算分析單元進行認證結果之評價,接著,再使用時效性決策演算分析單元進行該評價之落點分析,如評價之落點落在嚴重,則延長令牌時效,可提升快速認證成功率,改善使用者體驗,如評價之落點落在良好,則縮短令牌時效,可提升令牌安全性,改善令牌被竊取或盜用之風險,如評價之落點落在中等,則不進行調整,表示快速認證有效率且保有令牌安全性。本發明藉由以上動態調整令牌時效之方法,達到自我優化之效果。
圖6為本發明基於邊緣計算之物聯網裝置認證方法的時序圖。如圖所示,分為認證階段以及動態調整令牌時效階段。認證階段之執行步驟包含:步驟A1,物聯網裝置使用令牌向邊緣認證伺服器進行快速認證;步驟A2,邊緣認證伺服器判斷令牌時效並且儲存快速認證結果;步驟A3,如令牌有效,則表示於邊緣認證伺服器快速認證成功,則回傳認證成功訊息給物聯網裝置。
以下步驟為令牌失效,快速認證失敗才執行。步驟A4,如於邊緣認證伺服器快速認證失敗,則轉導至核心認證伺服器進行一般認證;步驟A5,核心認證伺服器回傳一般認證成功或失敗結果給邊緣認證伺服器,並於一般認證成功時則同時更新物聯網裝置的令牌;步驟A6,邊緣認證伺服器回傳一般認證成功或失敗結果給物聯網裝置,一般認證成功時則同時更新物聯網裝置的令牌。
動態調整令牌時效階段為週期性執行且皆在邊緣認證伺服器執行,執行步驟包含:步驟B1,根據步驟A2所記錄之快速認證結果建立認證因子資料;步驟B2,運用令牌時效調整演算分析法取得令牌時效;步驟B3,邊緣認證伺服器自動調整令牌之效期,此步驟會影響步驟A2判斷令牌是否有效之結果。
認證因子資料探討的是容易造成核心認證伺服器擁擠或導致使用者體驗不佳之因子,可包括進線流量、快速認證成功率以及核心認證伺服器回應時間。具體來說,進線流量係指一時間內,由此邊緣認證伺服器進入核心認證伺服器之流量數,流量越大越容易造成核心認證伺服器擁擠;快速認證成功率係指計算一時間內此邊緣認證伺服器總流量中快速認證成功率,倘如成功率越高,則表示此邊緣認證伺服器大部分用戶可進行快速認證,不易造成核心認證伺服器壅擠,反之,容易造成核心認證伺服器壅擠;核心認證伺服器回應時間係指核心認證伺服器目前回應時間,假如回應時間長,則表示使用者需要等待長時間,導致使用者體驗不佳。
上述令牌時效調整演算分析法係包括設定認證因子資料之權重值、評價演算分析以及時效性決策演算分析等步驟。設定認證因子資料之權重值係指系統專家可依據觀測數據設定不同因子之權重值,例如專家認為快速認證成功率較為重要,可以將其設定較大之權重;評價演算分析係指採用理想解類似度偏好順序評估法(Technique for Order Preference by Similarity to an Ideal Solution,TOPSIS)方法計算該時間內認證結果之評價,評價會落在0~1之間;時效性決策演算分析係指進行評價落點分析,如圖7所示,認證情況越靠近0,表示越差,反之則越好。
於此可將評價分成嚴重、中等以及良好3個部分。嚴重表示進線流量大、快速認證成功率低或者核心認證伺服器忙碌,容易造成核心認證伺服器負載過大,需增加令牌時效性,時效性變長表示物聯網裝置在邊緣認證伺服器認證 的機會越大,核心認證伺服器負載會降低,但同時安全性也會降低。良好表示沒有造成核心認證伺服器負載過大,可減少令牌時效性,時效性變短表示安全性提高,但是時效性太短容易到期就必須回到核心認證伺服器進行認證,這樣也會導致核心認證伺服器負載變大。因此,折衷方法為落在中等評價時屬於收斂範圍,表示此時認證既有效率,令牌時效又保有安全性,故不用調整令牌時效性。
令牌時效調整公式可如下所示,其中, T′ 為目前系統令牌時效性,t為調整單位時間。
Figure 109140967-A0101-12-0012-1
前述TOPSIS方法如下所述。首先,建立特徵矩陣,其中,通常有m個評價目標D 1,D 2,…,D m ,每個目標有n評價指標X 1,X 2,…,X n
Figure 109140967-A0101-12-0012-2
接著,計算正規化矩陣。對特徵矩陣進行正規化處理得到向量rij,建立關於向量rij的正規化矩陣。
Figure 109140967-A0101-12-0012-3
i=1,2,...,m,j=1,2,...,n
接著,權重正規化矩陣。通過計算權重正規化值vij,建立關於權重正規化值vij的權重正規化矩陣,Wj是第j個指標的權重。
v ij =ω j r ij ,i=1,2,…,m,j=1,2,…,n
接著,確定正理想解和負理想解。根據權重正規化值vij來確定正理想解A*和負理想解A-,其中,J1是收益性指標集,表示在第i個指標上的最優值,J2是損耗性指標集,表示在第i個指標上的最劣值。收益性指標越大、損耗性指標越小,對評估結果越有利。反之,則對評估結果不利。
Figure 109140967-A0101-12-0013-6
接著,計算距離尺度。
Figure 109140967-A0101-12-0013-4
i=1,2,…,m
最後,計算正理想解的貼近度。下面式中,0
Figure 109140967-A0101-12-0013-34
1。當
Figure 109140967-A0101-12-0013-35
=0時,Ai=A-,表示該目標為最劣目標,當
Figure 109140967-A0101-12-0013-33
=1時,Ai=A*,表示該目標為最優目標。在實際的多目標決策中,最優目標和最劣目標存在的可能性很小。
Figure 109140967-A0101-12-0013-9
i=1,2,…,m
圖9為本發明之多個邊緣認證系統的情境示意圖、圖10為本發明之快速認證失敗的流程示意圖以及圖11為本發明之快速認證成功的流程示意圖。下面透過實際範例來說明本發明,有三個邊緣認證伺服器A、B和C,涵蓋範圍例如北、中、南。一用戶Tom位於南部屬於邊緣認證伺服器C的服務範圍,因此, Tom的智慧型手錶會與最接近之邊緣認證伺服器C進行快速認證。簡言之,邊緣認證伺服器C判斷令牌是否有效並且儲存快速認證結果,令牌有效則表示於邊緣認證伺服器C快速認證成功,有效期間內進行多次認證時,認證僅在邊緣節點執行即可。上述過程亦對應圖6的步驟A1-A3。
另外,圖6的步驟A4-A6為令牌失效,快速認證失敗才執行,範例情境如下。如圖10所示,如邊緣認證伺服器C為人潮聚集地、核心認證伺服器現階段回應時間為30秒、目前令牌時效性為1分鐘,用戶Tom的智慧型手錶再次認證時已超過1分鐘,此時令牌失效,必須至核心認證中心重新進行用戶身分認證並且取得新的令牌亦即一般認證,且需要等待至少30秒才能完成認證,造成使用者體驗不佳。
邊緣認證伺服器C利用圖6步驟A2之快速認證結果以及動態調整令牌時效模組判斷核心認證伺服器很壅擠,故將邊緣認證伺服器C的令牌時效調整為11分鐘。用戶Tom的智慧型手錶再次認證時,圖6步驟A2判斷令牌有效,表示用戶Tom的智慧型手錶可以持續在邊緣認證伺服器C進行低延遲之快速認證,使用者體驗佳,如圖11所示。
關於動態調整令牌時效的範例如下,請一併參考圖6。步驟B1,認證因子資料結構範例如下表所示,即每10分鐘收集認證資料。
Figure 109140967-A0101-12-0014-10
步驟B2,目前時間為00:20,這10分鐘內有30%用戶快速認證失敗,須至核心認證伺服器進行一般認證且等待時間至少需要30秒。以下進一步說明 為令牌時效調整演算分析法步驟,界以進行該時間之認證結果評價,證明認證情況為嚴重,導致使用者體驗不佳。
令牌時效調整演算分析法之步驟(1),系統專家針對各因子重要性設定之權重,範例如下。
Figure 109140967-A0101-12-0015-11
令牌時效調整演算分析法步驟之步驟(2),採用評價演算分析法計算出正理想距與負理想距後,進而得到評價分數。TOPSIS方法計算範例如下。
TOPSIS方法步驟(T1),將步驟B1之認證資料轉換成績效表現值之特徵矩陣,依據專家決定評分標準,此範例評分為1-10分。
Figure 109140967-A0101-12-0015-12
TOPSIS方法步驟(T2),認證資料之正規化績效表現值。
Figure 109140967-A0101-12-0015-13
TOPSIS方法步驟(T3),加權後正規化績效表現值。
Figure 109140967-A0101-12-0015-14
TOPSIS方法步驟(T4),確定正負理想解,其中,正理想解表示進線流量越少越好、快速認證成功率越高越好、ES回應時間越少越好,反之為負理想解。
Figure 109140967-A0101-12-0016-15
TOPSIS方法步驟(T5),取得各認證資料之理想距,並計算正理想解的貼近度即為評價。
Figure 109140967-A0101-12-0016-16
令牌時效調整演算分析法步驟之步驟(3),採用本發明所提出之時效性決策演算分析法,實施範例如下:評價落點分析收斂範圍在0.4~0.6,其中, T′ 為目前令牌時效性(1分鐘), t 為每次調整10分鐘,如圖8所示,評價分數0.33落點分析為嚴重,使用令牌時效調整公式計算出新的效期為11分鐘。
最後,回到步驟B3,邊緣認證伺服器將令牌效期自動調整為11分鐘。
後續用戶進行快速認證時,邊緣認證伺服器皆會以新的效期進行令牌是否有效之判斷,因令牌時效延長使得用戶在邊緣完成快速認證的機會增加,因此,在下個週期時間00:30進行認證因子資料收集,其範例如下表所示。
Figure 109140967-A0101-12-0016-17
Figure 109140967-A0101-12-0017-18
快速認證成功率來到90%,而進線流量與核心認證伺服器回應時間沒有改變的情況下,進行評價演算分析,評價結果如下表所示。
Figure 109140967-A0101-12-0017-19
得到評價分數為0.49,利用時效性決策演算分析法判斷評價落在中等,無需調整令牌效期,表示令牌效期11分鐘在該邊緣有90%用戶可進行低延遲之快速認證,提高了認證效率,改善了使用者體驗,而且令牌亦保有安全性。而如果評價分數改善落到良好範圍,則可縮短令牌效期,進而提高令牌安全性。
綜上所述,本發明為一種基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器,其中,物聯網裝置可向邊緣節點進行快速認證,各個邊緣節點會收集每個時間之認證因子資料,包含快速認證成功率、進線流量以及核心認證伺服器回應時間,各個邊緣節點依據認證資料並透過動態調整令牌時效單元判斷邊緣認證伺服器之認證情況,如認證情況屬於嚴重,則延長令牌時效,使得物聯網裝置可在邊緣認證的機會大增,以減輕核心認證伺服器之負擔,如認證情況屬於良好,則縮短令牌時效,使得快速認證安全性提高。
上述實施例僅為例示性說明,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與改變。因此,本發明之權利保護範圍係由本發明所附之申請專利範圍所定義,只要不影響本發明之效果及實施目的,應涵蓋於此公開技術內容中。
2:基於邊緣計算之物聯網裝置認證系統
20:物聯網裝置
21:邊緣認證伺服器
22:核心認證伺服器
23:邊緣認證資料庫
24:認證中心

Claims (13)

  1. 一種基於邊緣計算之物聯網裝置認證系統,係包括:
    邊緣認證伺服器,係用於接收物聯網裝置發出之包含用戶資料及令牌之認證請求並判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置;以及
    核心認證伺服器,係用於在該邊緣認證伺服器判斷該令牌的效期為失效時,接收該邊緣認證伺服器所傳送之該用戶資料,進行一般認證。
  2. 如請求項1所述之基於邊緣計算之物聯網裝置認證系統,其中,該核心認證伺服器向該邊緣認證伺服器回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服器儲存該新的令牌至一邊緣認證資料庫,以及回傳該新的令牌至該物聯網裝置以供後續快速認證使用。
  3. 如請求項2所述之基於邊緣計算之物聯網裝置認證系統,其中,該邊緣認證伺服器係依據該邊緣認證伺服器之認證結果,週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫。
  4. 如請求項3所述之基於邊緣計算之物聯網裝置認證系統,其中,該認證因子資料包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
  5. 如請求項4所述之基於邊緣計算之物聯網裝置認證系統,其中,該邊緣認證伺服器復包括動態調整令牌時效單元,係依據該認證因子資料以及利用令牌時效調整演算分析法取得該令牌的時效,透過評價該令牌的效期之判斷結果以及評價的落點分析,以據之調整該令牌的效期。
  6. 如請求項1所述之基於邊緣計算之物聯網裝置認證系統,其中,該邊緣認證伺服器復包括:
    流程控制單元,係用於接收該認證請求及認證結果之回應、檢查該令牌的效期及判斷是否進行核心認證;
    評價演算分析單元,係用於認證因子之權重設定、數據統計及評價計算;以及
    時效性決策演算分析單元,係用於該評價之落點分析,以決定該令牌的時效。
  7. 如請求項1所述之基於邊緣計算之物聯網裝置認證系統,復包括連接該核心認證伺服器之認證中心,係用於執行用戶認證及密鑰協商。
  8. 一種基於邊緣計算之物聯網裝置認證方法,係包含:
    令物聯網裝置發出包含用戶資料及令牌之認證請求;
    令邊緣認證伺服器接收來自該物聯網裝置之該認證請求並執行該令牌的效期之判斷;以及
    於該邊緣認證伺服器判斷該令牌的效期為有效時,由該邊緣認證伺服器向該物聯網裝置回應認證成功訊息,而於該邊緣認證伺服器判斷該令牌的效期為失效時,令該邊緣認證伺服器將該用戶資料傳送至核心認證伺服器,進行一般認證。
  9. 如請求項8所述之基於邊緣計算之物聯網裝置認證方法,其中,該核心認證伺服器向該邊緣認證伺服器回應該一般認證為成功或失敗,以於認證成功時同時回應新的令牌,並由該邊緣認證伺服器儲存該新的令牌至一 邊緣認證資料庫,以及回傳該新的令牌至該物聯網裝置以供後續快速認證使用。
  10. 如請求項8所述之基於邊緣計算之物聯網裝置認證方法,其中,該邊緣認證伺服器係週期性建立認證因子資料,以儲存該認證因子資料於該邊緣認證資料庫。
  11. 如請求項10所述之基於邊緣計算之物聯網裝置認證方法,其中,該認證因子資料包括進線流量、快速認證成功率以及該核心認證伺服器之回應時間。
  12. 如請求項8所述之基於邊緣計算之物聯網裝置認證方法,其中,該邊緣認證伺服器復包括對該令牌的效期之判斷結果進行評價以及依據該評價的結果作落點分析,以據之調整該令牌的效期。
  13. 一種邊緣認證伺服器,係包含:
    接收單元,用於接收物聯網裝置發出之包含用戶資料及令牌之認證請求;以及
    判斷單元,用於判斷該令牌的效期,以於該令牌的效期為有效時,發送認證成功訊息至該物聯網裝置,而於該令牌的效期為失效時,傳送該用戶資料以進行一般認證。
TW109140967A 2020-11-23 2020-11-23 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器 TWI754464B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW109140967A TWI754464B (zh) 2020-11-23 2020-11-23 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器
CN202110962952.1A CN114756361A (zh) 2020-11-23 2021-08-20 基于边缘计算的物联网装置认证系统、方法及其服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109140967A TWI754464B (zh) 2020-11-23 2020-11-23 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器

Publications (2)

Publication Number Publication Date
TWI754464B TWI754464B (zh) 2022-02-01
TW202222090A true TW202222090A (zh) 2022-06-01

Family

ID=81329308

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109140967A TWI754464B (zh) 2020-11-23 2020-11-23 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器

Country Status (2)

Country Link
CN (1) CN114756361A (zh)
TW (1) TWI754464B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9210213B2 (en) * 2011-03-03 2015-12-08 Citrix Systems, Inc. Reverse seamless integration between local and remote computing environments
CN102801722B (zh) * 2012-08-09 2016-08-03 福建物联天下信息科技股份有限公司 物联网认证方法及系统
US9736126B2 (en) * 2014-12-04 2017-08-15 International Business Machines Corporation Authenticating mobile applications using policy files
US9820146B2 (en) * 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices

Also Published As

Publication number Publication date
TWI754464B (zh) 2022-02-01
CN114756361A (zh) 2022-07-15

Similar Documents

Publication Publication Date Title
CN112202928B (zh) 传感边缘云区块链网络可信卸载协作节点选择系统及方法
US10375119B2 (en) Dynamic multi-factor authentication challenge generation
US20180341758A1 (en) Risk analysis apparatus and method for risk based authentication
US20100132019A1 (en) Redundant multifactor authentication in an identity management system
US9230066B1 (en) Assessing risk for third-party data collectors
CN106682825A (zh) 一种基于区块链的社会物联网信用评估系统和评估方法
US20030126441A1 (en) Method and system for single authentication for a plurality of services
CN102265255A (zh) 通过凭证的逐步到期来提供联合认证服务的系统和方法
CA2724739A1 (en) Methods and systems for single sign on with dynamic authentication levels
CA2402382A1 (en) Centralized identity authentication for electronic communication networks
CN105141580B (zh) 一种基于ad域的资源访问控制方法
WO2020155761A1 (zh) 登录多个服务集群的方法、装置、计算机设备及存储介质
CN111556089A (zh) 基于使能区块链移动边缘计算系统的资源联合优化方法
Yuan et al. Efficient Byzantine consensus mechanism based on reputation in IoT blockchain
US11765153B2 (en) Wireless LAN (WLAN) public identity federation trust architecture
WO2020233318A1 (zh) 一种基于数据分析的数据调整方法及相关设备
CN110381509A (zh) 一种适用于动态连接场景的联合认证方法和服务器
TWI754464B (zh) 基於邊緣計算之物聯網裝置認證系統、方法及其邊緣認證伺服器
CN109905863B (zh) 基于区块链存储的分布式协作通信的中继接入方法
CN103780395B (zh) 网络接入证明双向度量的方法和系统
WO2020233366A1 (zh) 无效用户操作路径识别方法、装置、设备及存储介质
CN111866181A (zh) 一种基于区块链的雾网络中任务卸载优化方法
CN115617860B (zh) 一种基于大数据的智能查询方法及系统
US20220067683A1 (en) System for facilitating real-time transactions
TW202201251A (zh) 管理使用者認證之通訊伺服裝置、方法及通訊系統