一种云环境下雾节点安全认证方法与流程
本发明涉及物联网、云计算和雾计算技术领域,特别涉及一种云环境下雾节点安全认证方法。
背景技术:
近年来,物联网技术发展迅速,应用领域已经遍及交通、物流、公共安全、家居、医疗等多个行业。通过各类传感设备,可以实时采集来自传感设备的信息,以实现对设备的识别、监控、定位、连接、跟踪以及管理,让设备、网络和交互变得更加智能。
云计算和虚拟技术的推广普及,使得物联网中海量物品的实时动态管理以及智能分析变得可能。同时,随着5G技术的发展以及更适合物联网数据传输的NB-IoT标准的制定,雾计算渐渐变得流行,“云计算+雾计算”使物联网带来了新的可能性。
雾计算平台由大量的雾节点构成,这些雾节点具有计算能力,可以收集传感设备监测数据并进行加工处理;另外,雾节点还具备存储能力,能有效的缓存诸如声音、视频等媒体数据。雾节点的这些能力使其能够更加有效地利用边缘网络带宽,拥有更小的网络延迟,但其在安全性上也存在一些亟需解决的问题。一方面,如何能够保证雾节点暂存数据的安全性,另一方面,能够保证雾节点与云中心的安全认证传输,确保传输过程中无法被第三方监听获取数据或恶意篡改,并且阻止非法数据接入云端。
基于上述问题,本发明提出了一种云环境下雾节点安全认证方法。
技术实现要素:
本发明为了弥补现有技术的缺陷,提供了一种简单高效的云环境下雾节点安全认证方法。
本发明是通过如下技术方案实现的:
一种云环境下雾节点安全认证方法,其特征在于:基于数字证书来实现云中心与雾节点之间的身份认证,通过加密认证信道实现双方的通讯安全;对雾节点暂存数据进行分割加密存储,并根据网络带宽情况进行传输,将数据上传到云中心;其中,雾节点负责从传感器中采集数据,并对数据进行加工处理,完成临时数据加密存储以及与云中心间的数据安全认证传输;云中心负责雾节点数据的收集和云中心指令的下发,并提供高性能的数据通讯服务,同时完成雾节点与云中心交互数据的加解密操作及身份认证。
所述云中心包括高性能通信模块,安全认证模块,数据存储模块,指令下发模块和业务应用模块;其中,所述高性能通讯模块负责与雾节点进行数据交换,并向雾节点提供网络带宽使用情况;所述安全认证模块实现雾节点数字证书的发放以及数据的签名、验签、加解密功能;所述数据存储模块负责上传数据的高效存储;所述指令下发模块负责向雾节点发送指令;所述业务应用模块负责其他物联网业务应用逻辑的实现。
所述雾节点与云中心间的实时数据安全认证传输,包括以下步骤:
(1)雾节点提出接入所述的云中心物联网的申请;
(2)云中心为雾节点颁发数字证书;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书;
(4)雾节点与云中心建立连接,利用本地数字证书与云中心数字证书进行双向身份认证,并协商会话密钥,建立安全信道;
(5)雾节点将接收的传感器实时数据进行加工处理,并利用会话密钥加密传输经过处理后的数据;
(6)云中心解密接收到的数据包,将数据存储到云中心,并执行后续业务逻辑;
(7)反复执行步骤(4)到步骤(6),利用发放的数字证书建立安全通道实现多次数据传输。
所述雾节点暂存数据的加密和安全认证传输,包括以下步骤:
(1)雾节点提出接入云中心物联网的申请;
(2)云中心为雾节点颁发数字证书;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书;
(4)雾节点将暂存数据进行分割压缩处理;
(5)雾节点将处理后的暂存数据利用云中心的证书进行加密,并使用本地数字证书进行数字签名,完成数字信封的封装并保存到本地;
(6)雾节点签名并向云中心发送请求上传临时数据的协议包;
(7)云中心验证收到的请求包,根据当前的网络负载状况,给雾节点发送上传数据负载量响应包。
(8)雾节点根据收到的响应包的负载量,发送本地存储已经分割好的加密数字信封;
(9)云中心验证并解开收到的数字信封,将原文数据存储到云中心,并执行后续业务逻辑;
(10)反复执行步骤(4)到步骤(9),利用发放的数字证书实现多次数据传输。
所述云中心向雾节点安全指令下发,包括以下步骤:
(1)雾节点提出接入云中心物联网的申请;
(2)云中心为雾节点颁发数字证书;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书;
(4)雾节点与云中心建立连接,利用本地数字证书与云中心数字证书进行双向身份认证,并协商会话密钥,建立安全信道;
(5)云中心利用会话密钥对指令进行加密并发送给雾节点;
(6)雾节点解密接收到的数据包,执行指令;
(7)反复执行步骤(4)到步骤(6),利用发放的数字证书建立安全通道实现多次安全指令传输。
该云环境下雾节点安全认证方法,相对现有技术取得的有益效果如下:
(1)采用数字证书来进行云中心和雾节点间的身份认证,防止非法终端的接入,并通过密钥协商建立安全信道来进行数据传输,极大的提高了数据传输的安全性;
(2)雾节点对于下发指令的签名验证,保证了物联网传感终端资源访问控制的合法性和安全性;
(3)雾节点本地暂存数据进行了压缩分割存储并进行加密签名存储,保证了雾节点的数据安全性,即使第三方获取到物理磁盘设备,也无法获取其中数据;
(4)雾节点暂存数据的上传,会根据网络带宽的负载情况进行传输,这样更有效的利用了网络带宽;
(5)节点收到协议响应包后,不需要再进行加密签名处理,而直接将数字信封发送到云中心,既保证了安全性,又提高了处理效率。
附图说明
附图1为本发明雾节点与云中心结构示意图。
附图2为本发明雾节点颁发数字证书流程示意图。
附图3为本发明雾节点实时数据安全认证传输流程示意图。
附图4为本发明雾节点暂存数据的加密和安全认证传输流程示意图。
附图5为本发明云中心向雾节点安全指令下发流程示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该云环境下雾节点安全认证方法,基于数字证书来实现云中心与雾节点之间的身份认证,通过加密认证信道实现双方的通讯安全;对雾节点暂存数据进行分割加密存储,并根据网络带宽情况进行传输,将数据上传到云中心;其中,雾节点负责从传感器中采集数据,并对数据进行加工处理,完成临时数据加密存储以及与云中心间的数据安全认证传输;云中心负责雾节点数据的收集和云中心指令的下发,并提供高性能的数据通讯服务,同时完成雾节点与云中心交互数据的加解密操作及身份认证。
所述云中心包括高性能通信模块,安全认证模块,数据存储模块,指令下发模块和业务应用模块;其中,所述高性能通讯模块负责与雾节点进行数据交换,并向雾节点提供网络带宽使用情况;所述安全认证模块实现雾节点数字证书的发放以及数据的签名、验签、加解密功能;所述数据存储模块负责上传数据的高效存储;所述指令下发模块负责向雾节点发送指令;所述业务应用模块负责其他物联网业务应用逻辑的实现。
在本实施例中采用TCP协议。除了使用TCP协议之外,根据本发明的实施方式的构造也能够应用于其他协议之上。
下面分别对雾节点实时数据的安全认证传输,雾节点暂存数据的加密和安全认证传输、云中心向雾节点安全指令下发过程进行说明。
一、雾节点实时数据安全认证传输过程,包括以下步骤:
(1)雾节点提出接入云中心物联网的申请;
(2)云中心为雾节点颁发数字证书;这里数字证书的格式采用X.509标准格式,公钥算法可以使用RSA、ECC、SM2等,为了描述方便本例以下采用国密算法SM2,密钥强度为256位;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书;
(4)雾节点与云中心建立连接,利用本地数字证书与云中心数字证书进行双向身份认证,并协商会话密钥,建立安全信道;例如采用SM2 KeyAgreement来协商密钥,密钥算法可以是AES、SM4等,本例采用国密算法SM4;
(5)雾节点将接收的传感器实时数据进行加工处理,并利用步骤(4)生成的SM4会话密钥,对经过加工处理后的数据包进行加密认证,例如采用SM4-GCM模式;这里的数据加工处理可以针对图片、视频、传感器收集数据进行分析处理,例如如果采集视频中并未出现移动的物体,雾节点会进行压缩处理,减少传输数据;
(6)云中心利用步骤(4)生成的SM4会话密钥,验证并解密接收到的数据包,将数据存储到云中心,并执行后续业务逻辑;
(7)可以反复执行步骤(4)-步骤(6),利用发放的数字证书建立安全通道实现多次数据传输。数字证书发放一次即可,除非证书失效,需要重新签发。
二、雾节点暂存数据的加密和安全认证传输,包括以下步骤:
(1)雾节点提出接入云中心物联网的申请;
(2)云中心为雾节点颁发数字证书;这里数字证书的格式采用X.509标准格式,公钥算法可以使用RSA、ECC、SM2等,为了描述方便本例以下采用国密算法SM2,密钥强度为256位;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书;
(4)雾节点将暂存数据进行分割压缩处理;
(5)雾节点将处理后的暂存数据利用云中心的证书进行加密,并使用本地数字证书进行数字签名,完成数字信封的封装并保存到本地;例如采用数字信封SignedAndEnvelopedData格式来实现加密、签名以及完整性校验,国密对称加密算法SM4作为对称加密算法来加密数据,非对称加密算法使用本地存储的云中心公钥(SM2算法)来加密对称密钥,使用本地雾节点密钥进行SM3WithSM2算法签名,使用SM3作为摘要算法保证完整性。
(6)雾节点签名并向云中心发送请求上传临时数据的协议包;请求包的内容可以包含想要上传的负载量;
(7)云中心验证收到的请求包,根据当前的网络负载状况(可以允许上传的数据包大小),给雾节点发送上传数据负载量响应包;
(8)雾节点根据收到的响应包的负载量,直接将本地存储已经分割好的加密数字信封发送给云中心。
(9)云中心验证并解开收到的数字信封,将原文数据存储到云中心,并执行后续业务逻辑;例如SignedAndEnvelopedData格式数字信封,首先验证数字信封的签名,完成身份认证并保证其完整性,然后使用云中心的私钥进行解密得到对称密钥(SM4算法),最后使用对称密钥解开数据包得到原文;
(10)可以反复执行步骤(4)-步骤(9),利用发放的数字证书实现多次数据传输。
三、云中心向雾节点安全指令下发,包括以下步骤:
(1)雾节点提出接入云中心物联网的申请;
(2)云中心为雾节点颁发数字证书,这里数字证书的格式采用X.509标准格式,公钥算法可以使用RSA、ECC、SM2等,为了描述方便本例以下采用国密算法SM2,密钥强度为256位;
(3)雾节点通过安全信道将数字证书写入雾节点数据存储区中,并同时保存云中心的对外服务证书。
(4)雾节点与云中心建立连接,利用本地数字证书与云中心数字证书进行双向身份认证,并协商会话密钥,建立安全信道;例如采用SM2 KeyAgreement来协商密钥,密钥算法可以是AES、SM4等,本例采用国密算法SM4;
(5)云中心利用步骤(4)生成的SM4会话密钥,对指令进行加密并发送给所述的雾节点;例如采用SM4-GCM模式;
(6)雾节点利用步骤(4)生成的SM4会话密钥,解密接收到的数据包,验证合法性,执行指令;
(7)可以反复执行步骤4-步骤(6),利用发放的数字证书建立安全通道实现多次安全指令传输。
该云环境下雾节点安全认证方法,相对于现有技术取得的有益效果如下:
(1)采用数字证书来进行云中心和雾节点间的身份认证,防止非法终端的接入,并通过密钥协商建立安全信道来进行数据传输,极大的提高了数据传输的安全性;
(2)雾节点对于下发指令的签名验证,保证了物联网传感终端资源访问控制的合法性和安全性;
(3)雾节点本地暂存数据进行了压缩分割存储并进行加密签名存储,保证了雾节点的数据安全性,即使第三方获取到物理磁盘设备,也无法获取其中数据;
(4)雾节点暂存数据的上传,会根据网络带宽的负载情况进行传输,这样更有效的利用了网络带宽;
(5)节点收到协议响应包后,不需要再进行加密签名处理,而直接将数字信封发送到云中心,既保证了安全性,又提高了处理效率。
- 还没有人留言评论。精彩留言会获得点赞!