万物互联下基于边缘计算和SDN的多因素身份认证方法

文档序号:30705395发布日期:2022-07-09 22:42阅读:199来源:国知局
万物互联下基于边缘计算和SDN的多因素身份认证方法
万物互联下基于边缘计算和sdn的多因素身份认证方法
技术领域
1.本发明属于网络通讯身份认证的技术领域,具体涉及一种万物互联下基于边缘计算和sdn的多因素身份认证方法。


背景技术:

2.随着信息技术的不断发展,人们越来越离不开网络,身份认证是保障一个通讯网络系统安全最根本的前提,通讯各方必须通过相应的身份验证机制才能明确自身的访问权限。系统在用户完成身份验证之后就会进行一致性检验,自动地判断用户的身份和用户访问资源的权限。此外,网络通讯的安全性依赖于身份认证和资源访问权限设置,黑客也通常将身份认证系统作为集中攻击目标,因为突破这一底线,他们进入网络通讯将会畅通无阻,而系统安全自然也就面临着严重的问题。构建强大和安全的身份认证体系对网络安全的重要性不言而喻。
3.在身份认证方面,现有技术一般通过基于区块链、云计算的方法或发明新的硬件来进行身份认证。
4.申请号:202110356081.9的发明专利提出一种基于认证器原件进行身份认证的系统,该系统的服务器端与用户终端之间的通信采用统一认证协议,用户终端连接有认证器元件。所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备。该系统和方法基于统一协议的数字证书安全应用机制,兼容pki体系,为业务提供统一的认证服务,降低集成部署难度。但该方案需要依赖固定的硬件装备,且效率低,存在需要等待的情况。
5.申请号:202110531146.9的发明专利提出一种基于区块链的身份认证方法,该方法针对传统基于区块链的身份认证方案严重依赖第三方身份验证服务的问题,加入了一种针对身份认证过程生物识别预言机网络,预言机网络的作用是对比生物识别采集的活体人脸信息和身份认证头像的小图信息,将对比将结果通过区块链智能合约调用的形式写入到区块链上,完成链下数据到链上数据的映射。但采用区块链使得方案计算时间开销大,效率较低,且存储空间有限。
6.申请号:202010043325.3的发明专利提出了一种移动云计算的监控系统身份认证方法,涉及空天地海一体化通信技术领域,包括摄像头、移动端app,云端选择椭圆加密曲线算法,该方案计算复杂度低但当数据量激增时无法处理。
7.申请号:202010085934.5的发明专利公开了一种基于区块链加密的sdn边缘计算网络系统、加密方法及介质,该方法通过应用层对配置更新的网络策略进行加密并发送至区块链层,区块链层接收网络策略并进行解密,通过多个共识节点对解密后的网络策略进行共识认证,并将认证通过的网络策略分布式存储于区块链网络中,由控制层从区块链层提取网络策略,将网络策略下发至数据转发层,使数据转发层根据网络策略进行数据转发。该方案重在提出基于区块链对网络策略的加密方法,我们的方案更注重身份认证,且采用的是多因素身份认证方法。
8.申请号:202110588548.2的发明专利提出一种基于sdn和边缘计算的物联网隐私保护服务发现系统,用于发现适合当前用户的物联网服务集群,以选择最佳的个性化服务推荐给用户。该方案注重在服务发现的准确性与保护隐私之间达到平衡,尽管我们也采用了结合sdn和边缘计算相结合的方案,但更关注万物互联下身份认证的安全性和网络的实时响应及低能耗。
9.综合而言,比较盛行的身份认证技术主要有以下四种:双因素身份认证、数字证书认证、口令认证、生物特性身份认证。当前人工智能时代,欧美一些大公司最常见的做法是把传统本地部署身份认证搬到云上,中国公司也越来越多的采用云计算服务进行身份认证。云计算大多采用集中式管理的方法,这使云服务创造出较高的经济效益,而在万物互联的背景下,应用服务需要低延时、高可靠性以及数据安全,传统的云计算模型(图1)已经无法高效处理万物互联下产生的海量数据。主要原因在于:
10.1)云计算无法处理爆炸式增长的海量数据。
11.2)网络传输带宽负载增加,导致网络延时。
12.3)边缘数据涉及个人隐私,需要提高安全保护。
13.4)数据的传输能耗过大。
14.当前,线性增长的集中式云计算能力已无法匹配爆炸式增长的海量边缘数据,基于云计算模型的单一计算资源已不能满足大数据处理的实时性、安全性和低能耗等需求,在现有的云计算模型基础之上,边缘计算模型(图2)应运而生,二者相辅相成,应用于云中心和边缘端大数据处理,可有效解决万物互联时代云计算服务不足的问题。边缘计算指的是一个融合网络、计算、存储和应用程序的核心功能的开放平台,在对象或数据源附近的网络边缘提供智能服务以满足工业数字化的快速连接、实时服务、数据优化、应用智能、安全性和隐私保护的关键需求技术。在边缘计算模型下,数据的主要处理者为边缘设备,云端服务器更多作为处理结果的获取者,因此有效的降低了隐私数据暴露的风险。
15.随着万物互联的广泛应用,全球网络和通信技术飞速发展,传统网络结构在应对智能家居、智慧城市、智能交通等方面暴露出许多不足,比如:业务流量划分不明确、横向扩展能力不足、广播域过于庞大、计算资源无法快速上线、网络延时过大。斯坦福大学clean slate研究小组于2008年提出软件定义网络(sdn)架构,改进了传统网络的不足。sdn体系结构有三层:应用层、控制层和基础结构层。sdn控制器收集网络拓扑,计算路由,创建和传输流表,管理和控制网络。基础设施设备只传输流量和执行策略。规范化的北向接口为上层应用程序提供了所需的资源和服务。
16.针对万物互联应用引发的安全挑战,大多数的解决方案都是采用的云计算模型,部分采用边缘计算模型,但这些方案在网络实时性、网络能耗以及隐私保护方面存在一定不足。


技术实现要素:

17.有鉴于此,本发明提供了一种万物互联下基于边缘计算和sdn的多因素身份认证方法,能够将边缘计算和sdn相结合,在确保网络结构具有更好的灵活性和动态性的基础上,并提供更高效的身份验证方案,有效解决万物互联背景下联网元素之间的安全认证问题。
18.实现本发明的技术方案如下:
19.万物互联下基于边缘计算和sdn的多因素身份认证方法,包括以下步骤:
20.步骤一、边缘终端用户请求访问边缘计算应用域中的应用,通过边缘计算协调器计算得到最佳边缘计算服务器来处理边缘终端用户请求;
21.步骤二、应用服务提供者请求边缘计算服务器验证边缘终端用户;
22.步骤三、边缘计算服务器和边缘终端用户之间进行双向多因素身份认证;
23.步骤四、在边缘计算模型下,数据的主要处理者为边缘设备,边缘计算服务器作为处理结果的获取者,回复应用服务提供者关于边缘终端用户的验证结果,有效地降低了隐私数据暴露的风险;
24.步骤五、根据边缘计算服务器的验证结果,应用服务提供者接受或者拒绝边缘终端用户的请求;如果接收用户请求,则将边缘计算应用域上的数据根据权限将结果返回给用户。
25.进一步地,所述边缘计算服务器和边缘终端用户之间进行双向多因素身份认证;具体为:首先,边缘计算服务器收到验证请求,将验证帐户名称abc和密码pwd;其次,将验证指纹数据以便生成边缘终端用户的正确私钥;最后,边缘终端用户的数字证书将用于边缘终端用户和边缘计算服务器之间的交互认证过程。
26.有益效果:
27.(1)本发明基于身份认证的安全性考虑,设计了包含密码、数字证书、生物特征(指纹或人脸识别)的多因素身份认证方案,可以支持对用户身份的隐私保护。
28.(2)本发明采用sdn技术实现了网络资源的优化,提高效率,简化管理,从而进行高效的身份验证。
29.(3)本发明采用边缘计算模型可满足大数据处理的实时性、安全性和低能耗等需求,可以支持数据使用者在进行身份认证时的快速连接、实时服务、数据优化和隐私保护等需求,同时降低了隐私数据暴露的风险。
30.(4)在万物互联场景下,本发明的基于边缘计算和sdn的多因素身份认证方法在确保网络结构具有更好的灵活性和动态性的基础上,实现了更高效的身份验证,并且能有效解决万物互联背景下联网元素之间的安全认证问题。
附图说明
31.图1为传统云计算模型示意图。
32.图2为边缘计算参考架构示意图。
33.图3为本发明的sdn和边缘计算的集成框架。
34.图4为本发明的基于边缘计算和sdn的身份认证架构。
具体实施方式
35.下面结合附图并举实施例,对本发明进行详细描述。
36.本发明提出了一种万物互联下基于边缘计算和sdn的多因素身份认证方法,整体思想是将边缘计算和软件定义网络应用到万物互联下的身份认证。其中,边缘计算协调器利用sdn的网络管理的性质来进行服务发现和边缘计算服务的编排需求,集中式sdn控制器
具有网络的全局视图,边缘计算协调器可以与sdn控制器集成,来从网络收集信息。身份验证模块由数据库服务器、身份认证服务器、边缘计算服务器、终端和应用服务提供者组成,数据库服务器对每一个网络实体的信息进行存储,最后通过多因素身份认证方法完成身份认证,采取身份认证的因素包括密码、指纹和数字证书。
37.如图3所示,边缘计算协调器与sdn控制器集成,将sdn添加进去可以使网络具有更大的灵活性和动态性,另外,sdn控制器可以管理边缘计算协调器北向应用程序,可以对其进行编程以处理各种情况。因此边缘计算协调器可以重用sdn架构,其中北向的应用定义了网络的行为,sdn控制器为这些应用程序提供北向api以触发命令,控制器还具有南向接口(通常是基于openflow),它与被管理设备通信。
38.如图4所示,是本发明基于边缘计算和sdn的身份认证架构,认证过程如下:
39.第一步:边缘终端用户请求访问边缘计算应用域中的应用,通过边缘计算协调器计算得到最佳边缘计算服务器来处理边缘终端用户请求;
40.第二步:应用服务提供者请求边缘计算服务器验证边缘终端用户;
41.第三步:边缘计算服务器和边缘终端用户之间进行双向多因素身份认证;
42.第四步:在边缘计算模型下,数据的主要处理者为边缘设备,边缘计算服务器作为处理结果的获取者,回复应用服务提供者关于边缘终端用户的验证结果,有效地降低了隐私数据暴露的风险;
43.第五步:根据边缘计算服务器的验证结果,应用服务提供者接受或者拒绝边缘终端用户的请求。如果接收用户请求,可将边缘计算应用域上的数据根据权限将结果返回给用户。
44.当前部署的技术在sdn下控制平面和数据平面分离,通过集中控制器控制网络流量,不需要访问物理设备,集中优化网络资源,提高效率,简化管理,加快网络创新,缩短新功能启动周期,从而进行高效的身份验证。
45.进一步地,在上述步骤的基础上,我们简单说明终端用户和边缘服务器之间的多因素认证方案。首先,边缘服务器收到验证请求,将验证帐户名称abc和密码pwd;其次,将验证指纹数据以便生成终端用户的正确私钥;最后,终端用户的数字证书将用于终端用户和边缘服务器之间的交互认证过程。因此,所提议的方案具有较高的安全级别,并且很难打破它。方案包括以下三个模块:
46.2.1注册
47.如果终端用户想要成为internet中安全应用程序的有效用户,则必须提前注册。在注册过程中,用户应将其身份信息呈现给边缘服务器进行注册,并从边缘服务器申请数字证书。主要流程如下:
48.(1)基于公钥产生算法,产生一对验证服务器的密钥(sks,pks),sks是验证服务器的私钥,相对应的公钥是pks,之后验证服务器选择一个抗碰撞性强的安全哈希函数h(
·
),最后,验证服务器对所有潜在用户公布它的公钥pks和哈希函数h(
·
)。
49.(2)获得公钥pks和哈希函数h(
·
)后,用户开始注册。因为指纹识别越来越普遍,所以我们在认证用户时添加了指纹识别。首先,在获得用户的指纹数据b之后,终端计算gen(b)

(u,v),并且让u成为用户的私钥skc,v是同时产生的公开串,相对应的公钥是pkc。之后用户设置abc和pwd作为登录的用户名和对应的密码,并且计算m1=e
pks
(abc||pwd||pkc||h
(skc))。最后,用户通过公共信道把m1发给验证服务器。
50.(3)在获得m1之后,验证服务器用它的私钥sks解密
51.d
sks
(m1)=(abc||pwd||pkc||h(skc)),之后服务器验证abc和pwd的合法性,如果验证失败,服务器会让用户发送一条新消息,否则服务器会给出数字证书cert=e
pkc
(pwd||pkc||pks||sig
sks
(pwd||pkc||pks))。最后,服务器将abc,h(pwd),pkc,h(skc)保存在边缘服务器中并发送cert给用户。
52.(4)用户在获取cert之后,通过它的私钥skc解密d
skc
(cert)=pwd||pkc||pks||sig
sks
(pwd||pkc||pks),之后验证证书的数字签名sig
sks
(pwd||pkc53.||pks),如果成功,用户将证书保存到终端,注册过程就结束了。
54.2.2验证
55.如果一个注册过的用户想要访问应用,步骤如下:
56.(1)用户在登录页面输入他的用户名abc和密码pwd。
57.(2)在获得用户名和密码之后,边缘服务器计算h(pwd)并将它和本地数据库中的信息进行比对,如果不相等,拒绝访问,否则转到步骤3.
58.(3)用户在客户端录入他的指纹,使用指纹数据b’和本地存储的帮助数据v,客户端计算rep(b’,v)

u,模糊提取器方法的正确性保证了字符串u是用户的私钥skc,客户端计算m2=e
pks
(e
skc
(r1)),其中r1是一个随机数,将消息m2发送给边缘服务器。
59.(4)在获得消息m2之后,边缘服务器首先通过它的私钥sks和用户的公钥pkc加密,然后服务器选择一个不同的随机数r2并计算m3=e
pkc
60.(h(skc)||r1||r2),最后边缘服务器将消息m3发送给客户端。
61.(5)在获得消息m3之后,客户端解密消息d
skc
(m3)=(h(skc))’||r1’||r2,对于接收(h(skc))’||r1’,需要检查等式(h(skc))’=h(skc)和r1’=r1,如果二者其一不成立,认证失败,否则客户端接受认证服务器是非法服务器。之后,边缘服务器计算消息m4=e
pks
(r2)并将它发送给远程身份认证服务器。
62.(6)在获得消息m4之后,认证服务器解密消息d
skc
(m4)=r2’并且判断等式r2’=r2是否成立,如果成立,认证服务器接受用户是合法用户并且允许他访问应用,否则访问会被拒绝。
63.2.3取消
64.如果一个用户不想再用他的数字证书,他可以要求取消证书,步骤如下:
65.(1)用户计算他的数字证书取消要求dele=e
pks
(abc||pwd||sig
sks
(abc||pwd))并把它发送给边缘服务器。
66.(2)在获取dele之后,边缘服务器解密消息d
skc
(dele)=abc||pwd||sig
skc
(abc||pwd)。签名abc||pwd和sig
skc
(abc||pwd)在之后会被验证,如果签名验证不能通过,取消请求会失败;否则认边缘服务器通过搜索关键词abc在数据库中的记录,修改用户证书的状态为“取消”。远程用户身份认证服务器接收到所述请求后把取消请求的结果发给用户。
67.(3)在获取成功取消的消息之后,客户端删除存储的数字证书,取消过程到此结束。
68.综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的
保护范围之内。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1