[发明专利]雾计算环境中远程访问控制系统、控制方法、终端及介质

说明书

本发明属于访问控制技术领域，公开了一种雾计算环境中远程访问控制系统、控制方法、终端及介质，雾计算环境中远程访问控制系统包括：注册权威对物联网设备和远程用户进行注册；雾节点接收物联网设备采集的数据，并对所述数据进行计算、传输、临时存储和实时分析；物联网设备采集环境的数据，并传输至雾节点；远程用户利用移动设备通过雾节点访问物联网设备的相关数据并实施控制。雾节点部署在物联网设备周围；每个雾节点可连接一个或者多个物联网设备。本发明为雾计算环境设计了一种新的远程访问控制系统和方法，能够有效地认证远程用户身份，并实现远程用户和被访问设备之间的安全通信。

技术领域

本发明属于访问控制技术领域，尤其涉及一种雾计算环境中远程访问控制系统、控制方法、终端及介质。

背景技术

目前，雾计算将云计算的功能扩展到网络边缘，是各类物联网应用的最佳解决方案。但是雾计算独特的特性也带来了新的安全性问题，特别是雾计算环境中用户远程访问控制问题。雾计算应用环境中，远程用户常常通过雾节点访问某个物联网设备，例如，远程用户使用手机访问智能家居中的设备。在这样的应用场景中，需要对远程用户进行身份认证，并保证远程用户-雾节点-设备之间的安全访问通信。在雾计算环境中，对远程用户的访问控制是在雾节点的协作下完成，而雾节点不被认为是完全可信的，因为它们常部署在公共场所，易受到各种攻击。为了保证远程用户的安全访问，需要一种适合雾计算环境中的远程安全访问控制方案，以满足雾计算环境中预期的安全性和效率要求。

目前很少见到为雾计算环境中设计的远程用户访问控制方案。在雾计算远程访问控制系统中涉及到远程用户、雾节点和被访问的设备等三个实体，而现有的方案只涉及到雾节点和设备等两个实体，已有的方案只实现了雾节点和其覆盖下设备之间的安全认证，并且也存在许多问题。

根据雾计算的特征，雾计算中访问控制和认证方案应该满足三个条件：

(1)雾计算中的访问控制和认证过程只应该由雾节点协作完成。雾计算体系结构中虽然包含云层，但云服务器不应该参与，这是因为引入雾层的一个目的是为了减少平均网络延迟。

(2)雾节点中不能存储物联网设备的秘密信息。由于雾节点不是完全可信的，如果雾节点是恶意的或者被破坏后，攻击者能够实施多种攻击。

(3)由于雾设备具有受限的计算、存储和电池资源，因此为这些资源受限的设备设计访问控制和认证方案应该是轻量级的。

现有的为雾计算设计的认证方案虽然能够有效地认证物联网设备，但是这些方案不能满足上述条件。在这些为雾计算环境中设计的认证方案中，大部分认证协议是从基于云或者基于网关认证协议移植而来，不适合应用在雾计算环境中。例如，现有技术1的雾计算的认证方案，暗含雾服务器是可信的，在注册阶段，雾服务器存储了雾用户的密钥，因此该方案不能抵抗雾服务器被破坏攻击。现有技术2为雾计算场景设计了三种有效的轻量级匿名认证协议，其中第一个认证协议是在云协助下完成，这会存在认证延迟问题。另外物联网设备在注册时，存储了许多敏感信息。因此这些协议不能抵抗物联网设备被捕获攻击。现有技术3提出的认证方案也是在云服务器的帮助下完成。在现有技术4设计的雾计算认证方案中，雾服务器存储了注册用户的伪身份，注册用户存储了某个雾服务器的临时身份和秘密参数，所以当该雾服务器失效或者离开雾，用户必须重新注册。

通过上述分析，现有技术存在的问题及缺陷为：现有技术只实现了雾节点和其覆盖下设备之间的认证，且雾服务器、物联网设备容易被破坏与攻击、安全性低，存在认证延迟，平均网络延迟大，控制或认证方案达不到轻量级的要求。

解决以上问题及缺陷的难度为：首先，在没有可靠云参与下，远程用户只通过不完全可信的雾节点访问物联网设备是一个挑战性问题；其次，当部署在公共场所的雾节点被破坏情况下，不影响访问控制的安全性；最后，由于物联网设备是资源受限的，设计的远程访问控制方案应该是轻量级的，并且能够抵抗各种已知攻击。