一种边缘计算环境中分布式可信的身份认证方法及系统

1.本发明属于身份认证领域，具体涉及一种边缘计算环境中分布式可信的身份认证方法及系统。


背景技术：

2.随着物联网和5g技术的快速发展，终端设备数量的剧增以及轻量级设备的大量使用，导致传统的云计算平台已经无法满足实时性、高响应的需求，边缘计算环境提供了解决方案，然而边缘计算环境呈复杂多样化的特点，特别是在众多数据通信认证过程中，传统的pki数字证书的认证方式已经无法满足轻量级和分布式的要求，边缘计算环境中的身份认证对边缘计算服务于人们的生活造成一定的阻碍。


技术实现要素：

3.本发明的目的在于提供一种边缘计算环境中分布式可信的身份认证方法及系统，以克服现有技术的不足。
4.一种边缘计算环境中分布式可信的身份认证方法，包括以下步骤：
5.s1，对待认证的终端设备和边缘服务器的系统参数进行初始化，同时采用初始化后的参数构建变色龙哈希函数；
6.s2，利用kgc为终端设备和边缘服务器生成密钥和陷门公钥信息，然后将终端设备和边缘服务器需要认证的信息要素注册到区块链上；
7.s3，将待认证的终端设备和边缘服务器通过访问区块链中用于认证的信息要素进行认证，完成身份认证和会话密钥的计算。
8.进一步的，采用密钥生成服务器生成椭圆曲线e，其阶数为q，生成元为p，循环加法群g，阶数为r的大整数群
9.利用kgc从大整数群中随机产生一个随机数sk
kgc
作为私钥，计算pk
kgc
＝sk
kgc
·
p,构成自己的公私钥信息(pk
kgc
,sk
kgc
)，其中
10.进一步的，采用变色龙哈希函数为终端设备每次的认证进行匿名处理，基于每次认证请求的时间构建相同的哈希值。
11.进一步的，变色龙哈希函数采用离散对数问题进行构建。
12.进一步的，终端设备eu将唯一的身份标识idu进行哈希p
id
＝h1(idu)，生成伪身份标识p
id
，并将伪身份标识p
id
通过安全信道发送给kgc；
13.kgc接收终端设备的密钥请求信息p
id
之后，产生随机数作为临时私钥，并计算ri＝ri·
p得到临时公钥ri，通过计算sku＝ri+sk
kgc
·
p
id
作为设备的私钥，通过计算pku＝sku·
p，得到终设备的公钥pku，生成终端设备的公私钥信息；
14.终端设备接收到信息之后，对时间戳和陷门公钥信息进行验证。
15.进一步的，kgc生成随机数g∈g1作为变色龙哈希函数的生成公钥，通过计算
作为终端设备的陷门公钥，并产生当前的时间戳t
kgc
。
16.进一步的，首先验证接收到的时间戳与当前的时间戳t
u-t
kgc
是否在设定的时间范围内，如果不在设定的范围之内，则拒绝接受响应信息。
17.进一步的，边缘服务器es将唯一的身份标识ids进行哈希之后通过安全信道发送给kgc；
18.kgc收到请求后，产生随机值通过计算sks＝xi+sk
kgc
·
p
ids
得到边缘服务器的私钥，计算pks＝sks·
p得到公钥，并产生当前的时间戳t
kgc
，并将信息《sks,pks,t
kgc
》发送给边缘服务器；
19.边缘服务器收到响应信息后，首先判断当前的时间戳t
es
和接收到的时间戳t
kgc
的差是否在有效范围内，如果不在有效范围则拒绝接受响应；如果在有效范围内则接受响应。
20.进一步的，终端设备请求访问边缘服务器，通过调用智能合约获取es的公钥信息pks，从区块链中获取公钥信息；es通过计算得到终端设备的变色龙哈希函数值，调用智能合约查询该值是否存在，并得到对应的伪身份标识p
id
，通过计算pku′
＝pidi-(p1·
p
id
)得到u的公钥信息。
21.一种边缘计算环境中分布式可信的身份认证系统，包括终端设备、边缘服务器、密钥生成服务器和区块链：
22.密钥生成服务器用于为终端设备和边缘服务器生成密钥和陷门公钥信息；
23.终端设备和边缘服务器将需要认证的信息要素注册到区块链上；
24.需要认证时，对终端设备和边缘服务器的系统参数进行初始化，同时采用初始化后的参数构建变色龙哈希函数，终端设备和边缘服务器通过访问区块链中用于认证的信息要素进行认证，完成身份认证和会话密钥的计算。
25.与现有技术相比，本发明具有以下有益的技术效果：
26.本发明一种边缘计算环境中分布式可信的身份认证方法，通过对待认证的终端设备和边缘服务器的系统参数进行初始化，同时采用初始化后的参数构建变色龙哈希函数，利用kgc为终端设备和边缘服务器生成密钥和陷门公钥信息，然后将终端设备和边缘服务器需要认证的信息要素注册到区块链上，将待认证的终端设备和边缘服务器通过访问区块链中用于认证的信息要素进行认证，完成身份认证和会话密钥的计算；终端设备根据申请与边缘服务器进行认证，通过访问区块链获取必要的信息要素对认证信息和会话密钥进行构建，完成认证和会话密钥的计算；本发明能够用于边缘计算环境中，实现分布式的可信数据认证，降低认证开销。
27.进一步的，变色龙哈希函数为终端设备每次的认证进行匿名处理，在不改变公私钥等密钥信息的情况下，基于每次认证请求的时间构建相同的哈希值，避免向区块链中注册多次；
28.进一步的，变色龙哈希函数采用离散对数问题进行构建，保证设备匿名的安全性和有效性。
29.进一步的，本发明采用区块链不易明文保存设备的信息，仅保存共享的认证数据部分，减轻对可信第三方的依赖。
附图说明
30.图1是本发明实施例中身份认证的架构图。
具体实施方式
31.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
32.一种边缘计算环境中分布式可信的身份认证方法，包括以下步骤：
33.步骤1)、对待认证的终端设备和边缘服务器的系统参数进行初始化，同时采用初始化后的参数构建变色龙哈希函数；
34.具体的，首先采用密钥生成服务器(kgc)生成椭圆曲线e，其阶数为q，生成元为p，循环加法群g，阶数为r的大整数群
35.利用kgc从大整数群中随机产生一个随机数sk
kgc
作为私钥，计算pk
kgc
＝sk
kgc
·
p,构成自己的公私钥信息(pk
kgc
,sk
kgc
)，其中
36.选择两个安全单向的哈希函数h3:g
×
{0,1}
*
×g×
0,1*
→
zq*，h4:0,1*
×g→
zq*，一个变色龙哈希函数h2:chg,h,r,t。
37.公开参数《e,g,p,q,h1,h2,h3,h4,pk
kgc
》，sk
kgc
秘密保存，不进行公开。
38.使用椭圆曲线离散对数难题构建变色龙哈希函数：
39.具体的，根据变色龙哈希函数的定义，整数群中随机产生作为陷门私钥，加法群g1产生生成公钥g，陷门公钥通过计算
40.变色龙哈希函数值ch(value)通过公式计算：
41.改变value的值为value
′
，为使变色哈希函数值不发生变化，伪造随机值r2，r2计算公式为：
42.r2＝(value-value
′
)/sku+r1。
43.步骤2)、利用kgc为终端设备和边缘服务器生成密钥和陷门公钥信息，然后将终端设备和边缘服务器需要认证的信息要素注册到区块链上；
44.具体包括以下步骤：
45.终端设备的注册：
46.a、终端设备eu将唯一的身份标识idu进行哈希p
id
＝h1(idu)，生成伪身份标识p
id
，并将伪身份标识p
id
通过安全信道发送给kgc；
47.b、kgc接收终端设备的密钥请求信息p
id
之后，产生随机数作为临时私钥，并计算ri＝ri·
p得到临时公钥ri，通过计算sku＝ri+sk
kgc
·
p
id
作为设备的私钥，通过计算pku＝sku·
p，得到终端设备的公钥pku，生成了设备的公私钥信息。
48.kgc从g1中产生随机数g作为变色龙哈希函数的生成公钥，通过计算作为终端设备的陷门公钥，并产生当前的时间戳t
kgc
。
49.kgc将信息《sku,pku,h,t
kgc
,ri》发送给终端设备。
50.c、终端设备接收到信息之后，对时间戳和陷门公钥信息进行验证。
51.首先验证接收到的时间戳与当前的时间戳t
u-t
kgc
是否在设定的时间范围内，如果不在设定的范围之内，则拒绝接受响应信息；
52.通过计算ri+pk
kgc
·
p
id
并与pku进行比较，如果不相等则拒绝接受响应信息。
53.终端设备产生随机数通过ch(g,h,r,t)生成变色龙哈希值，根据生成的变色龙哈希值调用智能合约将信息注册到区块链中。
54.边缘服务器的注册
55.a、边缘服务器es将唯一的身份标识ids进行哈希之后通过安全信道发送给kgc；
56.b、kgc收到请求后，产生随机值通过计算sks＝xi+sk
kgc
·
p
ids
得到边缘服务器的私钥，计算pks＝sks·
p得到公钥。并产生当前的时间戳t
kgc
，并将信息《sks,pks,t
kgc
》发送给边缘服务器；
57.c、边缘服务器收到响应信息后，首先判断当前的时间戳t
es
和接收到的时间戳t
kgc
的差是否在有效范围内，如果不在有效范围则拒绝接受响应；如果在有效范围内则接受响应；
58.调用智能合约registers(p
ids
,pks,)，将边缘服务器的公钥信息注册到区块链中。
59.步骤3)、将待认证的终端设备和边缘服务器通过访问区块链中用于认证的信息要素进行认证，完成身份认证和会话密钥的计算。
60.a、终端设备请求访问边缘服务器，通过调用智能合约获取es的公钥信息pk
′s，从区块链中获取公钥信息，避免公钥替换，终端设备通过陷门私钥sku和之前的随机数r、时间戳tu和现在的时间戳tn生成构成相同哈希值的随机数r
′
，并计算得到h
′
＝(h
′
)r′
。生成临时私钥计算p1＝n1·
p得到临时公钥，通过pku+(p1·
p
id
)得到pidi，将《h
′
,p1,pidi,tn》通过公共信道发送给边缘服务器es。
61.b、es通过计算得到终端设备的变色龙哈希函数值，调用智能合约查询该值是否存在，并得到对应的伪身份标识p
id
，通过计算pku′
＝pidi-(p1·
p
id
)得到u的公钥信息。es产生随机数作为临时私钥，计算得临时公钥p2＝n2·
p，计算m＝n2·
p1，k＝h4(m‖pks)，sessionkey
s_u
＝h3(pks‖m‖pku′
‖tn)，将《p2,k》发送给u。
62.c、u收到es发来信息之后，计算得到m
′
＝p2·
n1，生成k
‘
＝h4(m
′
‖pks)，并判断k与k
′
是否相等，如果不相等，则终止认证。认证成功后，计算得到终端设备和边缘服务器之间的会话密钥sessionkey
u_s
＝h3(pks′
‖m
′
‖pku‖tn)。
63.实施例
64.如图1所示为身份认证的架构图，包括终端设备u(user)、密钥生成服务器kgc(key generation center)和边缘服务器es(edge server)；
65.其中kgc部署在云服务中，云是相对与边缘是安全、可信的存在，又因为设备数量
的庞大，采用安全可靠的kgc密钥生成服务器可以生成大量的、随机的、安全的密钥信息，负责为终端设备和边缘服务器进行密钥信息的分发，并且kgc对终端设备和边缘服务器的注册信息不进行保存，避免了集中式存储不安全导致设备信息泄露的风险。
66.终端设备采用任何需要请求边缘端服务的设备，例如智能摄像头、智能电表等终端设备，用户通过向区块链网络发送注册、认证请求信息，通过调用接口发送数据到区块链网络，区块链执行引擎调用智能合约功能，区块链网络对产生的注册等交易数据进行共识，并保存到区块链中，每个终端设备以及边缘服务器都需要在区块链上进行注册，才能够享受或提供服务。
67.es负责为u提供高效的数据处理和分析，服务于u的使用，每一个es加入到区块链网络中，既可以保证区块链分布式账本正常运行，又与云端进行通讯，借助云端更丰富的计算、存储等资源，保证应用服务的高效率和低成本。
68.本发明采用区块链作为一个分布式、可信、共享的账本，能够安全地对认证信息要素进行分布式可信的存储，实现认证数据分布式可信的共享，对身份认证提供信任帮助。es和u通过调用智能合约完成在区块链上的注册，通过调用智能合约查询设备的认证信息要素。u的信息不以明文的形式保存在区块链中，仅保存相关的信息要素，避免终端设备身份信息的泄露，es为了更好的发挥靠近数据源的优势，从而提供更快速便捷的服务，无需为es提供身份的匿名性，信息以明文的方式进行保存。
69.在整个注册认证过程中，设备通过安全信道请求获取密钥信息，终端设备和边缘服务器通过公共信道完成相互认证过程，并计算出安全的会话密钥，在一定程度上实现对应用服务的传输数据进行保护。身份认证架构
70.实施例：
71.采用阿里巴巴云服务器模拟为边缘服务器，配置：intel(r)xeon(r)cpu e5-2630 0@2.30ghz,1gb的内存和ubuntu 14.04，另一方面，谷歌nexus one智能手机作为终端设备，配置2ghz arm cpu armeabi-v7a、300mib ram和android 4.4。
72.通过多次重复计算得到两种设备下不同的加密操作所需要的计算开销，统计数据如表1所示。
73.表1 不同加密运算所需的时间消耗(ms)
[0074][0075]
统计认证方案的计算开销和通讯开销，分别如表2，表3所示。
[0076]
表2 开销计算
[0077][0078]
通过计算并对比几种方案的计开销，本发明的认证方案的整体开销是最小的为75.966ms，并且在终端的计算开销也是最小的为66.827ms。
[0079]
表3 通讯开销计算
[0080][0081]
参与方之间传输的消息数量被认为是一个度量，这些传输的消息由不同的符号表示，其代表的大小也不同，例如大整数群标识id、哈希值h、时间戳t和循环加法群g，在所提出的认证方案中，这些长度的设定如下：|t|＝32b、|g|＝1024b、|id|＝256b。根据这些值，计算并总结了协议的通讯成本，本发明的认证方案的通讯开销为4288bits，低于基于身份的匿名认证方案，表3列出了本技术的方案和对比方案的通讯字段。
[0082]
本发明通过离散对数构建变色龙哈希函数保证认证的匿名性和安全性，使用区块链保存认证数据的信息要素，实现分布式的数据可信性，通过对比另外三种基于椭圆加密曲线体制的身份认证方案的认证开销，由此证明，采用变色龙哈希函数对设备身份进行匿名，并且借助区块链实现分布式的身份认证，能够有效的降低认证计算开销，可以弥补轻量级设备的资源受限，并且能够弥补集中式身份认证带来的单点故障以及pki数字证书认证方式由于设备量庞大而带来复杂证书的管理，此身份认证方式更适用与边缘计算环境的身份认证。