一种移动边缘计算网络中身份认证方法
技术领域
本发明涉及移动边缘计算(Mobile Edge Computing,MEC)网络安全数据通信技术领域。
背景技术
欧洲电信标准协会ETSI于2014年提出移动边缘计算的概念,就是在靠近数据源头的一侧提供网络、计算、存储和应用服务。在现有以集中式云计算为核心的大数据处理的服务模式基础上,亟需面向海量边缘数据的分布式大数据处理技术。云计算与移动边缘计算二者相辅相成,产生更快的网络响应速度,解决数据量爆炸式增长下云计算服务能力不足的问题,以满足实时性、降低能耗和智能应用等方面的需求。
数据安全和隐私保护是移动边缘计算平台涉及安全的两个重要方面。一方面,要保证数据的安全存储与传输,即数据安全;另一方面,还要保证数据仅能被授权的用户访问和使用,这就是隐私保护。用户个人数据只能被认证的节点或用户进行操作,这在移动边缘计算平台非常关键。边缘计算网络中面临许多安全问题,如:用户将任务卸载至边缘服务器时的数据安全如何保证,分布式环境下统一的身份管理等。因此,研究基于安全机制的边缘计算网络中的计算卸载方案成为解决当前移动设备资源受限、任务卸载时被窃听、恶意节点冒充合法节点等安全问题的新途径。同时,还需要在智能终端设备和边缘服务器之间实现有效的身份认证。
在边缘计算中,边缘数据中心部署在数据源附近,一方面限制了传统的网络攻击,如端口扫描;另一方面,边缘数据中心的异构性以及计算、存储资源的有限性,使得部分适用于云计算中心的防御措施无法直接部署在边缘服务器上。因此,在移动边缘计算中设计高效的身份认证协议具有重要意义。尽管学术界和产业界对MEC环境中的安全问题做了大量的研究工作,但在MEC网络架构下的身份认证仍处于初期探索阶段。攻击者伪造边缘数据中心,欺骗终端用户会给系统带来严重的后果。
发明内容
本发明的目的是提供一种基于移动边缘计算网络的移动终端与边缘设备之间的双向认证方法。
本发明是一种移动终端与边缘设备双向认证方法,其步骤为:
(1)移动终端发起认证请求,向周围的MEC服务器广播(Request||IDC);
(2)MEC服务器收到Request后,用注册中心的公钥加密IDMS和IDC,并向注册中心发送加密信息E(PkRA,IDMS||IDC)确认用户身份标识IDC是否存在;
(3)注册中心使用私钥SkRA解密收到的信息,检查IDC是否存在,若检查失败则终止通信,否则生成MEC服务器与该用户C的共享密钥 kC,MS=H(IDMS,kC);
(4)注册中心使用MEC服务器的公钥PkMS对kC,MS加密,并用私钥SkRA将信息<IDMS||E(PkMS,kC,MS)>签名后发送给MEC服务器;
(5)MEC服务器用注册中心的公钥PkRA验证注册中心的签名,成功后用私钥SkMS解密密文,得到与用户C的共享密钥kC,MS;通过测量无线网卡上接收的信号强度将其量化生成随机密钥ki;;
(6)MEC服务器使用kC,MS加密ki与当前的日期和时间T1,并向用户C发送信息<IDMS,IDC,E(kC,MS,ki||T1)>;
(7)用户C收到MEC服务器的信息后,通过IDMS和存储在智能卡中的主密钥kC计算与MEC服务器的共享密钥kC,MS=H(IDMS,kC),用共享密钥kC,MS解密信息得到ki和T1;若当前时间T2减去T1小于等于ΔT(ΔT是网络延时的时间区间),用户C可以认证MS的合法身份,并通过测量无线模块上接收的信号强度将其量化生成随机密钥kS;
(8)用户C使用MEC服务器发的密钥ki加密kS与当前的日期和时间T2,并向MEC服务器发送加密信息E(ki,kS||T2);
(9)MEC服务器收到信息后使用ki解密信息,得到kS和T2,如果当前时间T3减去T2小于等于ΔT,说明发信者必是合法用户C,接受kS作为会话密钥。
本发明的有益效果是:本发明在移动终端、边缘设备和注册中心之间进行数据通信时,设计了一个高效的、轻量级身份认证协议,该协议方法具有以下优点:
(1)交互次数少
本发明的移动终端与边缘设备认证方法涉及了较少的交互次数,协议交互次数仅为3次。因此,在移动边缘计算网络中移动终端如需边缘服务,则其只需要和边缘设备之间用3次交互便可相互认证。
(2)计算量与存储量小
本发明中,移动终端只需要进行简单的对称加解密运算与哈希运算,总计算时间为Th+Tae+Tad。在移动终端处只需要存储一个主密钥kC,表明本发明是切实可行的并且是高效的。
(3)协议是安全的
本发明的移动终端与边缘设备之间双向认证协议是安全的,采用BAN逻辑证明了本发明的安全性。
附图说明
图1是存在攻击者的MEC网络模型图,图2是移动终端与边缘设备双向认证图。
具体实施方式
下面结合附图以具体实施例来详细说明本发明。本实施例仅表示对本发明的原理性说明,不代表对本发明的任何限制。
本发明是一种移动边缘计算网络中的身份认证方法,是一种基于移动边缘计算网络的移动终端与边缘设备双向认证方法,如图1所示,MEC网络体系是一个三级层次结构,包含智能终端设备、MEC服务器(MEC server,MS)、注册中心(Registration Authority,RA)等不同的功能实体。智能终端设备可以是具有通信和感应功能的移动设备,由于智能终端设备受到计算资源和电池的限制,无法在短时间内完成巨大的计算任务,需要将部分计算任务卸载到MEC服务器。与智能终端设备相比,MEC服务器上有更多的计算、存储和通信资源。MEC 服务器可以部署于基站、小基站甚至汇聚站点,在云计算网络的边缘,物理上接近智能终端设备。RA在云服务中,负责对边缘计算用户和MEC服务器进行注册授权,并给所有边缘计算用户发送长期密钥。
图2为基于移动边缘计算网络的移动终端与边缘设备之间双向认证过程图,具体实施方式为:
(1)移动终端发起认证请求,向周围的MEC服务器广播(Request,IDC)。
(2)MEC服务器收到Request后,用注册中心的公钥加密IDMS和IDC,并向注册中心发送加秘密信息E(PkRA,IDMS||IDC)确认用户身份标识IDC是否存在。
(3)注册中心使用私钥SkRA解密收到的信息,检查IDC是否存在,若检查失败则终止通信,否则生成MEC服务器与该用户C的共享密钥 kC,MS=H(IDMS,kC)。
(4)注册中心使用MEC服务器的公钥PkMS对kC,MS加密,并用私钥SkRA将信息<IDMS||E(PkMS,kC,MS)>签名后发送给MEC服务器。
(5)MEC服务器用注册中心的公钥PkRA验证注册中心的签名,成功后用私钥SkMS解密密文,得到与用户C的共享密钥kC,MS。通过测量无线网卡上接收的信号强度将其量化生成随机密钥ki。
(6)MEC服务器使用kC,MS加密ki与当前的日期和时间T1,并向用户C发送信息<IDMS,IDC,E(kC,MS,ki||T1)>。
(7)用户C收到MEC服务器的信息后,通过IDMS和存储在智能卡中的主密钥kC计算与MEC服务器的共享密钥kC,MS=H(IDMS,kC),用共享密钥kC,MS解密信息得到ki和T1。若当前时间T2减去T1小于等于ΔT(ΔT是网络延时的时间区间),用户C可以认证MS的合法身份,并通过测量无线模块上接收的信号强度将其量化生成随机密钥kS。
(8)用户C使用MEC服务器发的密钥ki加密kS与当前的日期和时间T2,并向MEC服务器发送加密信息E(ki,kS||T2)。
(9)MEC服务器收到信息后使用ki解密信息,得到kS和T2,如果当前时间T3减去T2小于等于ΔT,说明发信者必是合法用户C,接受kS作为会话密钥。
