1、2023 年 8 月 Chinese Journal of Network and Information Security August 2023 第 9 卷第 4 期 网络与信息安全学报 Vol.9 No.4 边缘计算环境下轻量级终端跨域认证协议 朱宏颖,张新有,邢焕来,冯力(西南交通大学计算机与人工智能学院,四川 成都 610097)摘 要:边缘计算由于低时延、高带宽、低成本等众多优点,被广泛应用在各种智能应用场景中,但也因其分布式、实时性和数据多源异构性等特点,面临安全方面的诸多挑战。身份认证是终端接入网络的第一步,也是边缘计算的第一道防线,为了解决边缘计算环境下的安全问题,在“云边端
2、”三级网络认证架构基础上,提出了一种适用于边缘计算环境下的终端跨域认证协议。该协议首先基于 SM9 算法实现终端与本地边缘节点间的接入认证,并协商出会话密钥;然后利用该密钥结合对称加密技术和 Hash 算法实现终端的跨域认证;认证过程中采用假名机制,保护终端用户的隐私安全,终端只需一次注册,便可在不同安全域之间随机漫游。通过 BAN 逻辑证明了协议的正确性,并对协议的安全性进行分析。结果表明,该协议可以抵抗物联网场景下的常见攻击,同时具备单点登录、用户匿名等特点。最后从计算成本和通信成本两方面对跨域认证协议进行性能分析,并与现有方案进行对比。实验结果显示,该协议在计算成本和通信开销上优于其他方
3、案,满足资源受限的终端设备需求,是一种轻量级安全的身份认证协议。关键词:边缘计算;身份认证;多信任域;轻量级 中图分类号:TP309 文献标志码:A DOI:10.11959/j.issn.2096109x.2023055 Lightweight terminal cross-domain authentication protocol in edge computing environment ZHU Hongying,ZHANG Xinyou,XING Huanlai,FENG Li School of Computer and Artificial Intelligence,Southw
4、est Jiaotong University,Chengdu 610097,China Abstract:Edge computing has gained widespread usage in intelligent applications due to its benefits,including low la-tency,high bandwidth,and cost-effectiveness.However,it also faces many security challenges due to its distributed,real-time,multi-source a
5、nd heterogeneous data characteristics.Identity authentication serves as the initial step for terminal to access to the network and acts as the first line of defense for edge computing.To address the security is-sues in the edge computing environment,a terminal cross-domain authentication protocol su
6、itable for the edge computing environment was proposed based on the cloud-edge-end three-level network authentication architecture.Access authentication was implemented between terminals and local edge nodes based on the SM9 algorithm,and 收稿日期:20230215;修回日期:20230711 通信作者:张新有, 基金项目:国家自然科学基金(62172342)
7、Foundation Item:The National Natural Science Foundation of China(62172342)引用格式:朱宏颖,张新有,邢焕来,等.边缘计算环境下轻量级终端跨域认证协议J.网络与信息安全学报,2023,9(4):74-89.Citation Format:ZHU H Y,ZHANG X Y,XING H L,et al.Lightweight terminal cross-domain authentication protocol in edgecomputing environmentJ.Chinese Journal of Netwo
8、rk and Information Security,2023,9(4):74-89.第 4 期 朱宏颖等:边缘计算环境下轻量级终端跨域认证协议 75 session keys were negotiated.The secret key was combined with symmetric encryption technology and hash func-tion to achieve cross-domain authentication for the terminal.The pseudonym mechanism was used in the authentica-tio
9、n process to protect the privacy of end users.The terminal only needs to register once,and it can roam randomly between different security domains.BAN logic was used to prove the correctness of the protocol and analyze its se-curity.The results show that this protocol is capable of resisting common
10、attacks in IoT scenarios,and it features characteristics such as single sign-on and user anonymity.The performance of the cross-domain authentication pro-tocol was evaluated based on computational and communication costs,and compared with existing schemes.The experimental results show that this prot
11、ocol outperforms other schemes in terms of computational and communica-tion costs,making it suitable for resource-constrained terminal devices.Overall,the proposed protocol offers light-weight and secure identity authentication within edge computing environments.Keywords:edge computing,identity auth
12、entication,multiple trust domain,lightweight 0 引言 5G 与物联网技术的快速发展,加快了万物互联时代的到来1,以智慧医疗、智能交通、智慧农业为代表的典型智能应用场景与移动通信技术深度融合,使得机器人手术、无人驾驶、智能收割等应用得以实现2。这些应用需要大量的终端设备接入网络,并且对于数据的传输时延、处理速率、网络带宽等性能提出了新的要求。传统的数据处理主要通过云计算的方式实现,数据的传输需要耗费一定的时间,无法及时有效处理数据,且海量数据的集中式处理会导致核心网络负载较重3,进一步增加网络时延,对于机器人手术、无人驾驶这样的场景,微小的时延都会带
13、来很严重的后果;同时,在数据传输到云中心的过程中存在用户隐私泄露的风险。可见,传统的云计算已经无法满足上述智能应用场景对于数据高效处理的需求,为了解决这些问题,边缘计算应运而生。边缘计算就是将云中心的计算能力迁移至网络边缘4,不再将数据上传到核心管理平台而是在本地直接处理,这种计算下沉的方式,可以减轻云中心的计算压力,有效缓解网络带宽,减少通信时延,提供更快的数据处理能力。通常将网络边缘处具备一定计算能力的设备称为边缘计算节点,简称边缘节点。我国作为边缘计算的重要领跑者,在 2016 年就组织成立了“边缘计算产业联盟”,目的就是推动各方产业资源合作,促进国内边缘计算行业的建设5,让边缘计算融入
14、更多应用场景中,5G 商用的持续推进更是加快了对边缘计算的发展6。然而,边缘计算在带来众多便利的同时,面临着安全与隐私保护方面的诸多挑战7。在边缘计算环境下,数据被存储在不同的边缘网络中,多个安全域共存,导致终端在不同安全域之间的跨域认证面临挑战8;边缘节点设备的安全防护体系并不完善,容易遭受中间人攻击,一旦设备被盗,用户数据的完整性和机密性将遭到破坏;虽然终端数据不再需要远距离传输,但由于边缘节点设备可以主动获取用户数据,所以依旧存在用户隐私泄露的风险9;加上边缘计算的分布式、实时性和数据的多源异构性等特点,使得传统的身份认证和隐私保护体系不再适用,安全问题成为边缘计算能否可持续性发展的重要
15、因素。身份认证是终端接入网络的第一步,也是边缘计算的第一道防线10,有效的身份认证机制可以在双方通信时确定身份的合法性,保证数据的完整性和机密性。然而,业界对于边缘计算环境下身份认证技术的研究还处于探索阶段,相关成果较少,且大多数针对单一域内的身份认证问题进行研究,很少关注不同安全域下的跨域认证问题。因此,本文主要针对边缘计算环境下跨域认证技术进行研究,提出一种轻量级的跨域认证协议。相比传统方案,该协议跨域认证过程中没有复杂的操作,以较低的开销即可实现终端与不同安全域的边缘节点相互认证,并协商出会话密钥,可满足资源受限的终端设备需求。1 相关工作 在边缘计算环境下,终端设备数量多、移动性强,多
16、种安全域共存5,所以不仅要研究单一76 网络与信息安全学报 第 9 卷 域内的身份认证,更要考虑终端在不同安全域间的跨域认证,这里的安全域主要是由具备相同安全保护需求且相互信任的边缘节点组成的逻辑区域。对于边缘计算环境下的跨域认证问题,相关研究成果如下。Wang 等11设计了一种跨域认证置信矩阵,通过优化可靠性矩阵,相同级别的终端可以高效地进行跨域认证;Fan 等12使用基于属性加密的CP-ABE 算法设计了一种边缘计算模型,解决了不同安全域之间数据共享的问题;吴卫5基于ECDH 密钥协商算法,设计了一种边缘计算环境下的终端跨域认证协议,在实现认证的同时协商出会话密钥,为后续通信提供安全保障;为了解决佩戴监测设备的老人与不同区域的边缘服务器相互认证的问题,Chen 等13利用椭圆曲线设计了一种基于位置的身份认证方案,一旦这些设备检测到异常情况,可迅速与最近的边缘服务器进行切换认证,并发出报警信号请求治疗。区块链分布式、中心化的特点使其成为跨域认证领域的研究热点。Sun 等14针对复杂的“云边端”应用场景,基于离散对数难题,通过区块链技术在边缘服务器之间计算联盟密钥,借助联盟域签名实现终
