CN106453405A

CN106453405A - 一种云环境下雾节点安全认证方法

Info

Publication number: CN106453405A
Application number: CN201611044713.3A
Authority: CN
Inventors: 孙善宝; 于治楼; 金长新
Original assignee: Jinan Inspur Hi Tech Investment and Development Co Ltd
Current assignee: Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date: 2016-11-24
Filing date: 2016-11-24
Publication date: 2017-02-22

Abstract

本发明特别涉及一种云环境下雾节点安全认证方法。该云环境下雾节点安全认证方法，基于数字证书来实现云中心与雾节点之间的身份认证，通过加密认证信道实现双方的通讯安全；对雾节点暂存数据进行分割加密存储，并根据网络带宽情况进行传输，将数据上传到云中心；其中，雾节点负责从传感器中采集数据，并对数据进行加工处理，完成临时数据加密存储以及与云中心间的数据安全认证传输；云中心负责雾节点数据的收集和云中心指令的下发，并提供高性能的数据通讯服务，同时完成雾节点与云中心交互数据的加解密操作及身份认证。该云环境下雾节点安全认证方法，既能保证数据传输的安全性，又提高了处理效率。

Description

一种云环境下雾节点安全认证方法

技术领域

本发明涉及物联网、云计算和雾计算技术领域，特别涉及一种云环境下雾节点安全认证方法。

背景技术

近年来，物联网技术发展迅速，应用领域已经遍及交通、物流、公共安全、家居、医疗等多个行业。通过各类传感设备，可以实时采集来自传感设备的信息，以实现对设备的识别、监控、定位、连接、跟踪以及管理，让设备、网络和交互变得更加智能。

云计算和虚拟技术的推广普及，使得物联网中海量物品的实时动态管理以及智能分析变得可能。同时，随着5G技术的发展以及更适合物联网数据传输的NB-IoT标准的制定，雾计算渐渐变得流行，“云计算+雾计算”使物联网带来了新的可能性。

雾计算平台由大量的雾节点构成，这些雾节点具有计算能力，可以收集传感设备监测数据并进行加工处理；另外，雾节点还具备存储能力，能有效的缓存诸如声音、视频等媒体数据。雾节点的这些能力使其能够更加有效地利用边缘网络带宽，拥有更小的网络延迟，但其在安全性上也存在一些亟需解决的问题。一方面，如何能够保证雾节点暂存数据的安全性，另一方面，能够保证雾节点与云中心的安全认证传输，确保传输过程中无法被第三方监听获取数据或恶意篡改，并且阻止非法数据接入云端。

基于上述问题，本发明提出了一种云环境下雾节点安全认证方法。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的云环境下雾节点安全认证方法。

本发明是通过如下技术方案实现的：

一种云环境下雾节点安全认证方法，其特征在于：基于数字证书来实现云中心与雾节点之间的身份认证，通过加密认证信道实现双方的通讯安全；对雾节点暂存数据进行分割加密存储，并根据网络带宽情况进行传输，将数据上传到云中心；其中，雾节点负责从传感器中采集数据，并对数据进行加工处理，完成临时数据加密存储以及与云中心间的数据安全认证传输；云中心负责雾节点数据的收集和云中心指令的下发，并提供高性能的数据通讯服务，同时完成雾节点与云中心交互数据的加解密操作及身份认证。

所述云中心包括高性能通信模块，安全认证模块，数据存储模块，指令下发模块和业务应用模块；其中，所述高性能通讯模块负责与雾节点进行数据交换，并向雾节点提供网络带宽使用情况；所述安全认证模块实现雾节点数字证书的发放以及数据的签名、验签、加解密功能；所述数据存储模块负责上传数据的高效存储；所述指令下发模块负责向雾节点发送指令；所述业务应用模块负责其他物联网业务应用逻辑的实现。

所述雾节点与云中心间的实时数据安全认证传输，包括以下步骤：

（1）雾节点提出接入所述的云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

（3）雾节点通过安全信道将数字证书写入雾节点数据存储区中，并同时保存云中心的对外服务证书；

（4）雾节点与云中心建立连接，利用本地数字证书与云中心数字证书进行双向身份认证，并协商会话密钥，建立安全信道；

（5）雾节点将接收的传感器实时数据进行加工处理，并利用会话密钥加密传输经过处理后的数据；

（6）云中心解密接收到的数据包，将数据存储到云中心，并执行后续业务逻辑；

（7）反复执行步骤（4）到步骤（6），利用发放的数字证书建立安全通道实现多次数据传输。

所述雾节点暂存数据的加密和安全认证传输，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

（4）雾节点将暂存数据进行分割压缩处理；

（5）雾节点将处理后的暂存数据利用云中心的证书进行加密，并使用本地数字证书进行数字签名，完成数字信封的封装并保存到本地；

（6）雾节点签名并向云中心发送请求上传临时数据的协议包；

（7）云中心验证收到的请求包，根据当前的网络负载状况，给雾节点发送上传数据负载量响应包。

（8）雾节点根据收到的响应包的负载量，发送本地存储已经分割好的加密数字信封；

（9）云中心验证并解开收到的数字信封，将原文数据存储到云中心，并执行后续业务逻辑；

（10）反复执行步骤（4）到步骤（9），利用发放的数字证书实现多次数据传输。

所述云中心向雾节点安全指令下发，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

（5）云中心利用会话密钥对指令进行加密并发送给雾节点；

（6）雾节点解密接收到的数据包，执行指令；

（7）反复执行步骤（4）到步骤（6），利用发放的数字证书建立安全通道实现多次安全指令传输。

该云环境下雾节点安全认证方法，相对现有技术取得的有益效果如下：

（1）采用数字证书来进行云中心和雾节点间的身份认证，防止非法终端的接入，并通过密钥协商建立安全信道来进行数据传输，极大的提高了数据传输的安全性；

（2）雾节点对于下发指令的签名验证，保证了物联网传感终端资源访问控制的合法性和安全性；

（3）雾节点本地暂存数据进行了压缩分割存储并进行加密签名存储，保证了雾节点的数据安全性，即使第三方获取到物理磁盘设备，也无法获取其中数据；

（4）雾节点暂存数据的上传，会根据网络带宽的负载情况进行传输，这样更有效的利用了网络带宽；

（5）节点收到协议响应包后，不需要再进行加密签名处理，而直接将数字信封发送到云中心，既保证了安全性，又提高了处理效率。

附图说明

附图1为本发明雾节点与云中心结构示意图。

附图2为本发明雾节点颁发数字证书流程示意图。

附图3为本发明雾节点实时数据安全认证传输流程示意图。

附图4为本发明雾节点暂存数据的加密和安全认证传输流程示意图。

附图5为本发明云中心向雾节点安全指令下发流程示意图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图和实施例，对本发明进行详细的说明。应当说明的是，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

该云环境下雾节点安全认证方法，基于数字证书来实现云中心与雾节点之间的身份认证，通过加密认证信道实现双方的通讯安全；对雾节点暂存数据进行分割加密存储，并根据网络带宽情况进行传输，将数据上传到云中心；其中，雾节点负责从传感器中采集数据，并对数据进行加工处理，完成临时数据加密存储以及与云中心间的数据安全认证传输；云中心负责雾节点数据的收集和云中心指令的下发，并提供高性能的数据通讯服务，同时完成雾节点与云中心交互数据的加解密操作及身份认证。

在本实施例中采用TCP协议。除了使用TCP协议之外，根据本发明的实施方式的构造也能够应用于其他协议之上。

下面分别对雾节点实时数据的安全认证传输，雾节点暂存数据的加密和安全认证传输、云中心向雾节点安全指令下发过程进行说明。

一、雾节点实时数据安全认证传输过程，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；这里数字证书的格式采用X.509标准格式，公钥算法可以使用RSA、ECC、SM2等，为了描述方便本例以下采用国密算法SM2，密钥强度为256位；

（4）雾节点与云中心建立连接，利用本地数字证书与云中心数字证书进行双向身份认证，并协商会话密钥，建立安全信道；例如采用SM2 KeyAgreement来协商密钥，密钥算法可以是AES、SM4等，本例采用国密算法SM4；

（5）雾节点将接收的传感器实时数据进行加工处理，并利用步骤（4）生成的SM4会话密钥，对经过加工处理后的数据包进行加密认证，例如采用SM4-GCM模式；这里的数据加工处理可以针对图片、视频、传感器收集数据进行分析处理，例如如果采集视频中并未出现移动的物体，雾节点会进行压缩处理，减少传输数据；

（6）云中心利用步骤（4）生成的SM4会话密钥，验证并解密接收到的数据包，将数据存储到云中心，并执行后续业务逻辑；

（7）可以反复执行步骤（4）-步骤（6），利用发放的数字证书建立安全通道实现多次数据传输。数字证书发放一次即可，除非证书失效，需要重新签发。

二、雾节点暂存数据的加密和安全认证传输，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（4）雾节点将暂存数据进行分割压缩处理；

（5）雾节点将处理后的暂存数据利用云中心的证书进行加密，并使用本地数字证书进行数字签名，完成数字信封的封装并保存到本地；例如采用数字信封SignedAndEnvelopedData格式来实现加密、签名以及完整性校验，国密对称加密算法SM4作为对称加密算法来加密数据，非对称加密算法使用本地存储的云中心公钥（SM2算法）来加密对称密钥，使用本地雾节点密钥进行SM3WithSM2算法签名，使用SM3作为摘要算法保证完整性。

（6）雾节点签名并向云中心发送请求上传临时数据的协议包；请求包的内容可以包含想要上传的负载量；

（7）云中心验证收到的请求包，根据当前的网络负载状况（可以允许上传的数据包大小），给雾节点发送上传数据负载量响应包；

（8）雾节点根据收到的响应包的负载量，直接将本地存储已经分割好的加密数字信封发送给云中心。

（9）云中心验证并解开收到的数字信封，将原文数据存储到云中心，并执行后续业务逻辑；例如SignedAndEnvelopedData格式数字信封，首先验证数字信封的签名，完成身份认证并保证其完整性，然后使用云中心的私钥进行解密得到对称密钥（SM4算法），最后使用对称密钥解开数据包得到原文；

（10）可以反复执行步骤（4）-步骤（9），利用发放的数字证书实现多次数据传输。

三、云中心向雾节点安全指令下发，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书，这里数字证书的格式采用X.509标准格式，公钥算法可以使用RSA、ECC、SM2等，为了描述方便本例以下采用国密算法SM2，密钥强度为256位；

（3）雾节点通过安全信道将数字证书写入雾节点数据存储区中，并同时保存云中心的对外服务证书。

（5）云中心利用步骤（4）生成的SM4会话密钥，对指令进行加密并发送给所述的雾节点；例如采用SM4-GCM模式；

（6）雾节点利用步骤（4）生成的SM4会话密钥，解密接收到的数据包，验证合法性，执行指令；

（7）可以反复执行步骤4-步骤（6），利用发放的数字证书建立安全通道实现多次安全指令传输。

该云环境下雾节点安全认证方法，相对于现有技术取得的有益效果如下：

Claims

1.一种云环境下雾节点安全认证方法，其特征在于：基于数字证书来实现云中心与雾节点之间的身份认证，通过加密认证信道实现双方的通讯安全；对雾节点暂存数据进行分割加密存储，并根据网络带宽情况进行传输，将数据上传到云中心；其中，雾节点负责从传感器中采集数据，并对数据进行加工处理，完成临时数据加密存储以及与云中心间的数据安全认证传输；云中心负责雾节点数据的收集和云中心指令的下发，并提供高性能的数据通讯服务，同时完成雾节点与云中心交互数据的加解密操作及身份认证。

2.根据权利要求1所述的云环境下雾节点安全认证方法，其特征在于：所述云中心包括高性能通信模块，安全认证模块，数据存储模块，指令下发模块和业务应用模块；其中，所述高性能通讯模块负责与雾节点进行数据交换，并向雾节点提供网络带宽使用情况；所述安全认证模块实现雾节点数字证书的发放以及数据的签名、验签、加解密功能；所述数据存储模块负责上传数据的高效存储；所述指令下发模块负责向雾节点发送指令；所述业务应用模块负责其他物联网业务应用逻辑的实现。

3.根据权利要求1所述的云环境下雾节点安全认证方法，其特征在于，所述雾节点与云中心间的实时数据安全认证传输，包括以下步骤：

（1）雾节点提出接入所述的云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

4.根据权利要求1所述的云环境下雾节点安全认证方法，其特征在于，所述雾节点暂存数据的加密和安全认证传输，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

（4）雾节点将暂存数据进行分割压缩处理；

（7）云中心验证收到的请求包，根据当前的网络负载状况，给雾节点发送上传数据负载量响应包；

5.根据权利要求1所述的云环境下雾节点安全认证方法，其特征在于，所述云中心向雾节点安全指令下发，包括以下步骤：

（1）雾节点提出接入云中心物联网的申请；

（2）云中心为雾节点颁发数字证书；

（5）云中心利用会话密钥对指令进行加密并发送给雾节点；

（6）雾节点解密接收到的数据包，执行指令；