[发明专利]基于AES算法的边缘计算节点身份认证方法

权利要求书

1.一种基于AES算法的边缘计算节点身份认证方法，其特征在于，所述方法包括：

初始化步骤，利用注册机构为网络中每个边缘服务设备分配ID，并完成所述边缘服务设备与所述注册机构的公私钥对生成；

注册步骤，完成请求服务的边缘用户的注册以及主密钥的生成；

认证步骤，利用改进的所述AES算法实现所述边缘用户和所述边缘服务设备的双向身份认证；

所述改进的所述AES算法包括列混合矩阵的改进，其中，改进后的列混合矩阵A为：

其中，所述改进后的列混合矩阵A在有限域GF(2⁸)上的逆矩阵与所述改进后的列混合矩阵A相同；

所述改进的所述AES算法还包括秘钥扩展的改进，其中，所述秘钥扩展的改进方法包括：

由W_i-4、W_i-3、W_i-2、W_i-1计算出W_i、W_i+1、W_i+2、W_i+3，其中，W_i由W_i-4与W_i-1计算得出，W_i+1由W_i与W_i-2异或得出，W_i+2、W_i+3不与上一轮密钥相关而是直接由本轮密钥求出，W_i+2由W_i与W_i+1异或得出，W_i+3由W_i+1与W_i+2异或得出；

将每轮密钥的第三个字与上一轮密钥的第三个字交换，交换后的密钥作为新一轮子密钥；

其中，所述初始化步骤具体包括：

所述注册机构为网络中每个边缘服务设备分配唯一的ID_ES，并用私钥s_RA签名发送给所述边缘服务设备；

所述边缘服务设备在接收到所述注册机构的私钥s_RA签名后，用所述注册机构的公钥p_RA验证消息；

其中，所述注册机构和所述边缘服务设备分别拥有各自的公私钥对，且私钥各自保管，所述边缘服务设备还拥有所述注册机构的公钥，所述注册机构还拥有所述边缘服务设备的公钥；

所述注册步骤具体包括：

请求服务的边缘用户向所述注册机构发送所述边缘用户的ID_EU；

所述注册机构检查接收到的所述边缘用户的ID_EU是否已经注册；

若已经注册，则中止本次注册步骤；

所述注册步骤具体还包括：

若没有注册，则所述注册机构为所述边缘用户随机挑选主密钥k_EU并发送给所述边缘用户；

所述注册机构计算在当前的所述边缘用户条件下的所述边缘服务设备的秘钥k_ES＝H(ID_E,ID_ES,k_EU)，并用所述边缘服务设备的公钥p_ES进行加密，再用所述注册机构的私钥s_RA进行签名后发送给所述边缘服务设备；其中，H为哈希算法；ID_E为边缘计算网络ID；

所述边缘服务设备在接收后用所述注册机构的公钥p_RA进行验证是否被恶意篡改，并用所述边缘服务设备的私钥s_ES进行解密以得到所述秘钥k_ES，并存储所述秘钥k_ES与对应的所述边缘用户的ID_EU；

所述认证步骤具体还包括：

所述边缘用户挑选随机数r_EU，并向网络中广播数据helloEdge,ID_EU,r_EU；其中，helloEdge为边缘用户向边缘服务设备请求服务发送的预设广播信息；

所述边缘服务设备在接收到所述广播数据后，检查所述边缘用户的ID_EU是否注册，若没有注册则中止进程，若有注册则将与所述边缘用户的ID_EU对应的所述秘钥k_ES取出；

所述边缘服务设备挑选随机数r_ES，并用改进后的所述AES算法加密(r_EU,r_ES)，然后向所述边缘用户回复ID_E,ID_EU,ID_ES,E_kES(r_EU,r_ES)；其中，E_kES表示密钥为k_ES的AES加密算法；

所述认证步骤具体还包括：

所述边缘用户利用接收到的所述边缘服务设备ID_ES以及自身拥有的ID_E、k_EU计算k_ES，其中，k_ES＝H(ID_E,ID_ES,k_EU)；

所述边缘用户用计算出的k_ES对加密数据进行解密以得到解密后的随机数，将所述解密后的随机数与发送的随机数r_EU进行比较，如果相等则中止继续执行，否则中止进程；

所述边缘用户挑选随机数据作为会话秘钥k_s，用改进后的所述AES算法进行加密，其中加密秘钥为r_ES；

所述边缘用户向所述边缘服务设备发送数据ID_E,ID_EU,ID_ES,E_rES(k_s，r_ES)；其中，E_rES表示密钥为r_ES的AES加密算法；

所述认证步骤具体还包括：

所述边缘服务设备使用r_ES对接收到的数据ID_E,ID_EU,ID_ES,E_rES(k_s，r_ES)进行解密以得到所述会话秘钥k_s；

若成功解密且接收到的加密秘钥r_ES与所述秘钥k_ES相等，则认证完成，否则中止进程。

2.如权利要求1所述的基于AES算法的边缘计算节点身份认证方法，其特征在于，所述注册机构位于云端并负责网络中每个边缘服务设备的注册和秘钥分发。