[发明专利]基于边缘计算的异构物联网认证方法、物联网安全平台

权利要求书

1.一种基于边缘计算的异构物联网认证方法，其特征在于，所述基于边缘计算的异构物联网认证方法通过在本地部署边缘服务器，由边缘设备管理海量物联网终端节点认证，为来自异构网络域的终端设备标识生成基于虚拟IPv6地址的共享标识，实现异构物联网终端和网关间的高效身份认证；

基于边缘计算的物联网认证架构，由边缘设备管理海量物联网终端的认证信息；使用随机数和哈希值的方式，实现物联网终端的身份认证，并通过为异构网络的节点生成统一的虚拟IPv6地址，实现异构物联网终端的跨网安全认证；

所述基于边缘计算的异构物联网认证方法具体包括：

第一步，选定有限域上椭圆曲线密码ECC的公共参数T＝(p，a，b，G，x，y，n)，并根据相应参数，基于ECC算法，为边缘设备ID_E和网关ID_G生成对应的公私钥对；所述ECC公共参数包括：(p，a，b)确定一条椭圆曲线，G为基点，(x,y)为基点G的坐标，n为基点G的阶；

第二步，网关向边缘设备发送自己的身份标识ID_G和自己的公钥并从边缘设备处获取由边缘设备的私钥签名的证书：网关使用该证书向边缘设备进行身份认证；

第三步，终端设备注册；具体包括：

(1)终端设备获取自己的身份标识ID_T，并随机产生两个数N₁和N₂，其中N₁作为自己的私钥，使用边缘设备的公钥进行加密，N₂是为了防止重放攻击，构建数据包发送给网关；

(2)在网关接收到终端设备的身份标识后，验证该标识是否与注册请求中的源地址匹配，若不匹配则返回注册失败信息，否则执行(3)；

(3)网关构建数据包将注册请求和自己的证书发送给边缘设备；

(4)边缘设备使用接受到的随机数N₁，利用ECC算法为终端设备生成公钥并为终端设备生成虚拟IPv6地址，计算虚拟IPv6地址哈希值H(IPv6)，将发送给网关；采用的哈希算法是国密SM3算法，过程如下：

填充：假设消息m的长度为L比特，首先将比特“1”添加到消息的末尾，再添加k个“0”，k是满足L+1+k≡448mod512的最小的非负整数；然后再添加一个64位比特串，该比特串是长度l的二进制表示；填充后的消息m′的比特长度为512的倍数；

迭代压缩：将填充后的消息m′按512比特进行分组：m'＝B^[0]B^[1]...B^[n-1]；

其中n＝(l+k+65)/512，并使用V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)对m′进行迭代；

其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，B⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾；

消息扩展：将消息分组B⁽ⁱ⁾按扩展生成132个字W₀,W₁...W₆₇,W₀',W₁',...W₆'₃用于压缩函数CF：

a)将消息分组B⁽ⁱ⁾划分为16个字W₀,W₁,...W₁₅；

b)FORj＝16 TO 67；

ENDFOR

c)FORj＝0 TO 63；

ENDFOR

压缩函数：令A,B,C,D,E,F,G,H为字寄存器，SS1,SS2,TT1,TT2为中间变量，使用压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0＜＝i＜＝n-1，计算杂凑值；

(5)网关解密并存储终端设备信息，然后将发送给终端设备，终端设备解密数据并存储网关公钥；

第四步，终端和网关间双向认证：

(1)终端设备产生随机数N₃，查询网关公钥并使用该公钥加密随机数，发送发送给网关；

(2)网关解密得到N₃，并产生随机数N₄，使用终端的公钥加密随机数，发送到终端设备；

(3)终端解密得到N₃和N₄，验证网关身份，并使用网关公钥加密N₄，发送给网关；

(4)网关解密得到N₄，验证终端身份，完成双向认证。