本發明公開了一種基于邊緣計算網絡架構的跨域身份認證方法，主要解決現有技術中密鑰管理與分發困難，用戶隱私難以保護的技術問題。包括：1)邊緣節點本地認證服務器和家鄉認證服務器計算各自的公鑰私鑰；2)家鄉認證服務器生成用戶利用偽身份構造的私鑰；3)用戶向邊緣節點本地認證服務器申請跨域訪問；4)邊緣節點本地認證服務器向用戶的家鄉認證服務器發送信息驗證其身份；5)家鄉認證服務器認證用戶信息返回會話密鑰；6)邊緣節點本地認證服務器計算會話密鑰返回認證信息；7)用戶確認信息生成會話密鑰。本發明能夠有效提高邊緣節點設備與用戶的雙向驗證安全性，并解決用戶身份隱私暴露、會話被跟蹤的問題，可用于現代化物聯網設備。

技術領域

本發明屬于通信技術領域，涉及信息安全技術，更進一步涉及一種基于邊緣計算網絡架構的跨域身份認證方法。可用于在資源受限、情況復雜的邊緣網絡中，對邊緣設備用戶進行安全認證，包括手機、藍牙手表、智能家居以及智能車載設備。

背景技術

邊緣計算中的邊緣是指從數據源到云計算中心數據路徑之間的任意計算資源和網絡資源。邊緣計算的基本理念是將計算任務在接近數據源的計算資源上運行。對于目前物聯網和4G/5G無線網絡的快速發展，邊緣計算于邊緣位置的數據處理解決了爆炸式的數據增長處理負荷，減少了因網絡傳輸帶寬的急劇增加而造成的擁堵情況。

邊緣計算中通常包含多個功能實體(如數據參與終端用戶、服務提供商和基礎設施提供商)、服務(如虛擬機、數據容器)和基礎設施(如終端基礎設施、邊緣數據中心和核心基礎設施)。因此，邊緣計算是一種多信任域共存的分布式交互計算系統。在這種復雜的多實體計算范式下，不僅需要為每個實體分配一個身份，而且還需要允許不同信任域之間的實體進行相互驗證。傳統的身份認證方案在高動態、高密集邊緣網絡中不具備良好的可擴展性。

北京科技大學在其申請的專利文獻“基于AES算法的邊緣計算節點身份認證方法”(申請號：201810172441.8，申請公布號：CN 108173882A)中提出一種AES雙向認證方法。該方法利用改進的AES對稱加密算法及hash等算法，通過改進AES算法避免密鑰攻擊者利用一輪子密鑰推導出原種子密鑰的方式來實現邊緣計算節點雙向身份認證，解決了邊緣計算節點的雙向身份認證問題。該方法存在的不足之處是，由于使用AES對稱密鑰加密方式，密鑰的管理和分發非常困難。同時由于邊緣計算多信任域共存的網絡結構，AES加密認證無法提供跨域身份認證。

YANG Y,ZHENG X H,LIU X M等人在其發表的論文“Cross-domain dynamicanonymous authenticated group key management with symptom-matching for e-health social system”(Future Generation Computer Systems,2017,PP(99):1-7.)中提出了一種基于提出一種跨域的動態匿名組密鑰管理認證系統CD-AGKMS，該系統通過建立以密鑰生成中心KGC為最頂層的樹型層次結構，實現跨域組密鑰協商。在組密鑰管理方面，該方案提供由時間控制的密鑰撤銷機制，用戶的密鑰在有效時間段到期時被撤銷。CD-AGKMS不需要雙線性對的計算，提高了系統的可行性和高效性。該方法存在的不足之處是，設備在利用跨域認證訪問時不能以匿名的形式訪問以保證用戶隱私。

發明內容

本發明的目的是針對上述現有技術存在的不足，提出一種基于邊緣計算網絡架構的跨域身份認證方法，解決現有技術中密鑰管理和分發困難，邊緣計算認證資源受限導致網絡安全性和效率低的問題，本發明方法以匿名身份認證的方式解決了用戶身份隱私暴露、會話易被跟蹤，用戶隱私難以保護的技術問題。

實現本發明的思路是：邊緣節點本地認證服務器聯合用戶家鄉認證服務器對非本地用戶進行認證，通過對通信消息進行橢圓曲線算法簽名，防止通信消息被非法分子截取篡改，同時保存非本地用戶臨時信息，在確定時間內，快速簡潔的對用戶身份進行認證。

本發明實現上述目的具體步驟如下：