基于边缘计算的终端认证方法、系统、设备及存储介质与流程

1.本发明涉及信息安全技术领域，更具体地说，它涉及一种基于边缘计算的终端认证方法、系统、设备及存储介质。


背景技术：

2.随着水上交通的日益繁忙，在水上航行的船舶越来越多，其中，不乏有船舶存在违规运输、超速航行的问题，对水上安全航行造成影响，因此，急需对水上航行的船舶进行安全监管。


技术实现要素：

3.针对现有技术存在的不足，本发明的目的在于提供一种基于边缘计算的终端认证方法、系统、设备及存储介质，具有实现了轻量、安全的智能终端设备认证密钥协商，保证智能终端设备之间数据传输安全性的功能优点。
4.本发明的上述技术目的是通过以下技术方案得以实现的：
5.一种基于边缘计算的终端认证方法，包括：
6.接收第一终端发送的接入请求，所述接入请求中携带所述第一终端的设备信息；
7.根据所述第一终端的设备信息判断是否与第一终端建立连接，若是则与所述第一终端进行双向身份认证；
8.在与所述第一终端进行双向身份认证成功后，与所述第一终端进行密钥协商交换；
9.在所述与所述第一终端进行密钥协商交换后，与所述第一终端进行密钥协商认证。
10.可选的，所述与所述第一终端进行双向身份认证，包括：
11.接收所述第一终端发送的设备指纹id，并根据所述设备指纹id验证所述第一终端的合法性；
12.在验证所述第一终端合法后，根据所述设备指纹id生成第二响应值；
13.将所述第二响应值发送给第一终端，以使所述第一终端根据设备指纹id生成第一响应值，并将第一响应值和第二响应值进行比较得到比较结果，若比较结果相同则与第一终端双向身份认证成功。
14.可选的，所述与所述第一终端进行密钥协商交换，包括：
15.接收所述第一终端发送的随机数和基数；其中，所述随机数是第一终端生成的，所述随机数用于使所述第一终端根据所述随机数查找相对应的加密算法对预设的基数进行加密得到第一密文；
16.根据所述随机数查找相对应的加密算法对所述基数进行加密得到第二密文，并将所述第二密文发送给第一终端。
17.可选的，所述与所述第一终端进行密钥协商认证，包括：
18.将所述第二密文发送给第一终端，以使所述第一终端将第二密文和第一密文进行比较得到第一比较结果，若第一比较结果不同，则重新进行密钥协商交换，若第一比较结果相同，则所述第一终端进入安全通信阶段；
19.接收所述第一终端发送的第一密文，将所述第一密文与第二密文进行比较得到第二比较结果，若第二比较结果不同，则重新进行密钥协商交换，若第二比较结果相同，则进入安全通信阶段。
20.可选的，所述设备信息包括：设备id和mac地址。
21.可选的，所述根据所述第一终端的设备信息判断是否与第一终端建立连接，包括：
22.接收所述第一终端发送的设备id和mac地址，然后根据所述设备id和mac地址在本地数据库中查找是否有相对应的设备id和mac地址，若有则与所述第一终端建立连接，若没有则将所述第一终端注册到本地数据库中。
23.一种基于边缘计算的终端认证方法，包括：
24.向第二终端发送接入请求，所述接入请求中携带设备信息；所述设备信息用于使所述第二终端根据所述设备信息判断是否建立连接；
25.在与所述第二终端建立连接后，与所述第二终端进行双向身份认证；
26.在与所述第二终端进行双向身份认证成功后，与所述第二终端进行密钥协商交换；
27.在所述与所述第二终端进行密钥协商交换后，与所述第二终端进行密钥协商认证。
28.一种基于边缘计算的终端认证系统，包括：
29.接收模块，用于接收第一终端发送的接入请求，所述接入请求中携带所述第一终端的设备信息；
30.判断认证模块，用于根据所述第一终端的设备信息判断是否与第一终端建立连接，若是则与所述第一终端进行双向身份认证；
31.密钥协商交换模块，用于在与所述第一终端进行双向身份认证成功后，与所述第一终端进行密钥协商交换；
32.密钥协商认证模块，用于在所述与所述第一终端进行密钥协商交换后，与所述第一终端进行密钥协商认证。
33.一种计算机设备,包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法的步骤。
34.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法的步骤。
35.综上所述，本发明具有以下有益效果：提出了一种“端-端”协同的认证密钥协商机制，将安全认证和密钥协商的任务从云端下放到智能终端设备上进行边缘认证的策略。这样的认证机制实现智能终端设备之间端到端的安全认证和密钥协商从而大大降低了认证时延，也避免了海量数据的传输给服务器带来的巨大负担。本发明实现了轻量、安全的智能终端设备认证密钥协商，保证智能终端设备之间数据传输安全性。
附图说明
36.图1是本发明提供的方法的流程示意图；
37.图2是本发明提供的基于边缘计算的终端认证系统的结构框图；
38.图3是本发明实施例中计算机设备的内部结构图。
具体实施方式
39.为使本发明的目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。附图中给出了本发明的若干实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。
40.在本发明中，除非另有明确的规定和限定，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。
41.下面结合附图和实施例，对本发明进行详细描述。
42.本发明提供了一种基于边缘计算的终端认证方法,如图1所示，包括：
43.步骤100、接收第一终端发送的接入请求，所述接入请求中携带所述第一终端的设备信息；
44.步骤200、根据所述第一终端的设备信息判断是否与第一终端建立连接，若是则与所述第一终端进行双向身份认证；
45.步骤300、在所述与所述第一终端进行双向身份认证后，与所述第一终端进行密钥协商交换；
46.步骤400、在所述与所述第一终端进行密钥协商交换后，与所述第一终端进行密钥协商认证。
47.在实际应用中，是第二终端接收第一终端发送的接入请求，第二终端通过接入请求中携带的设备信息来判断第一终端是否注册到第二终端内，若有则第二终端和第一终端建立连接，然后第一终端向第二终端发出身份认证请求，第一终端和第二终端进行双向身份认证，在第一终端和第二终端双向身份认证成功后，第一终端和第二终端进行密钥协商交换和密钥协商认证，使得第一终端和第二终端之间进行安全认证和管理，在第一终端和第二终端通过密钥协商认证后，第一终端和第二终端之间构建起安全信道对后续传输数据进行加密保护，从而实现端-端协同的安全认证密钥协商机制，第一终端和第二终端均可为智能手机、ipad等智能终端设备，通过这样的方法，任意的智能终端设备之间都可以独立地进行安全认证，仅存在于彼此的协同，通过轻量级的边缘计算就能实现任意智能终端设备之间建立安全的通信。
48.进一步地，所述与所述第一终端进行双向身份认证，包括：
49.接收所述第一终端发送的设备指纹id，并根据所述设备指纹id验证所述第一终端的合法性；
50.在验证所述第一终端合法后，根据所述设备指纹id生成第二响应值；
51.将所述第二响应值发送给第一终端，以使所述第一终端根据设备指纹id生成第一响应值，并将第一响应值和第二响应值进行比较得到比较结果，若比较结果相同则与第一终端双向身份认证成功。
52.具体地，设备指纹id为预设在第一终端内的数据，第一终端向第二终端发出双向身份认证请求，也就是第一终端将其设备指纹id发送给第二终端，第二终端接收到第一终端发送过来的设备指纹id后，第二终端通过设备指纹id验证第一设备是否为第二终端可识别的设备类型，若验证成功，第二终端则在本地数据库中查找相对应的设备类型并据其生成第二响应值，第一终端接收第二响应值，并根据其设备类型生成第一响应值，然后将第一响应值和第二响应值进行比较得到比较结果，若比较结果不同，则第一终端重新向第二终端发出双向身份认证请求，若比较结果相同则第一终端和第二终端认证成功。
53.进一步地，所述与所述第一终端进行密钥协商交换，包括：
54.第二终端接收所述第一终端发送的随机数和基数；其中，所述随机数是第一终端生成的，所述随机数用于使所述第一终端根据所述随机数在其本地库函数中查找相对应的加密算法对预设的基数进行加密得到第一密文；
55.第二终端根据所述随机数其本地库函数中查找相对应的加密算法对所述基数进行加密得到第二密文，并将所述第二密文发送给第一终端。
56.具体地，所述加密算法是对aes加密算法、des加密算法、rsa加密算法、eigamal加密算法、rabin加密算法、椭圆曲线加密算法和/背包密码或等加密算法进行改进后形成自有的一个库函数加密算接口，从而进行双向的密钥协商。在实际应用中，每个智能终端设备的本地服务器中搭载库函数，库函数中有若干自定义的密钥协商算法。
57.进一步地，所述与所述第一终端进行密钥协商认证，包括：
58.通过将所述第二密文发送给第一终端，以使所述第一终端将第二密文和第一密文进行比较得到第一比较结果，若第一比较结果不同，则第一终端和第二终端重新进行密钥协商交换，若第一比较结果相同，则所述第一终端进入安全通信阶段；
59.第二终端接收所述第一终端发送的第一密文，将所述第一密文与第二密文进行比较得到第二比较结果，若第二比较结果不同，则第一终端和第二终端重新进行密钥协商交换，若第二比较结果相同，则第二终端进入安全通信阶段。
60.具体地，在第一比较结果不同或第二比较结果不同的情况下，第一终端和第二终端的密钥协商认证失败，第一终端和第二终端重新进行密钥协商交换；在第一终端和第二终端完成密钥协商认证之后，实现了第一终端和第二终端之间基于边缘计算的密钥协商，总的来说就是智能终端设备之间首先通过随机数在库函数中选择相对应的算法进行密钥材料的交换，然后进行密钥协商的认证，然后第一终端和第二终端均进入安全通信阶段，以完成整个密钥协商的过程。
61.在本技术中密钥协商认证过程中使用cryptonets,cryptonets可以应用于加密数据，通过非线性的同态加密加密所述库函数中的加密算法的多项式，第一终端能够以加密形式将数据发送到托管网络的云服务，由于云服务无法访问解密所需的密钥，因此云服务不会获得有关原始数据的任何信息，也不会获得有关其所作预测的任何信息，加密后的数据可以发送回可以解密的所有者，从而确保双方数据认证的安全性。
62.进一步地，所述设备信息包括：设备id和mac地址。具体地，设备id可为设备号或设备编号等。
63.进一步地，所述根据所述第一终端的设备信息判断是否与第一终端建立连接，包括：
64.第二终端接收所述第一终端发送的设备id和mac地址，然后根据所述设备id和mac地址在本地数据库中查找是否有相对应的设备id和mac地址，若有则与第一终端建立连接，若没有则将所述第一终端注册到第二终端的本地数据库中。
65.在本技术中，第一终端向第二终端发送其设备id和mac地址，第二终端根据第一终端发送的设备id在本地数据库中查看是否有相对应的设备id,接着确认mac地址，如果有查找到相对应的设备id和mac地址，则第二终端和第一终端建立连接，如果没有则通过第三方服务软件将第一终端注册到第二终端的本地数据库中。
66.本发明的基于边缘计算的终端认证方法，提出了一种“端-端”协同的认证密钥协商机制，将安全认证和密钥协商的任务从云端下放到智能终端设备上进行边缘认证的策略。这样的认证机制实现智能终端设备之间端到端的安全认证和密钥协商从而大大降低了认证时延，也避免了海量数据的传输给服务器带来的巨大负担。本发明实现了轻量、安全的智能终端设备认证密钥协商，保证智能终端设备之间数据传输安全性。
67.本发明还提供了一种基于边缘计算的终端认证方法，包括：
68.步骤一、向第二终端发送接入请求，所述接入请求中携带设备信息；所述设备信息用于使所述第二终端根据所述设备信息判断是否建立连接；
69.步骤二、在与所述第二终端建立连接后，与所述第二终端进行双向身份认证；
70.步骤三、在与所述第二终端进行双向身份认证成功后，与所述第二终端进行密钥协商交换；
71.步骤四、在所述与所述第二终端进行密钥协商交换后，与所述第二终端进行密钥协商认证。
72.在实际应用中，是第一终端向第一终端发送接入请求，接入请求中携带有第一终端的设备信息，第二终端通过第一终端的设备信息来判断第一终端是否注册到第二终端内，若有则第一终端和第二终端建立连接，然后第一终端向第二终端发出身份认证请求，第一终端和第二终端进行双向身份认证，在第一终端和第二终端双向身份认证成功后，第一终端和第二终端进行密钥协商交换和密钥协商认证，使得第一终端和第二终端之间进行安全认证和管理，在第一终端和第二终端通过密钥协商认证后，第一终端和第二终端之间构建起安全信道对后续传输数据进行加密保护，从而实现端-端协同的安全认证密钥协商机制，通过这样的方法，任意的智能终端设备之间都可以独立地进行安全认证，仅存在于彼此的协同，通过轻量级的边缘计算就能实现任意智能终端设备之间建立安全的通信。
73.如图2所示，本发明还提供了一种基于边缘计算的终端认证系统，包括：
74.接收模块10，用于接收第一终端发送的接入请求，所述接入请求中携带所述第一终端的设备信息；
75.判断认证模块20，用于根据所述第一终端的设备信息判断是否与第一终端建立连接，若是则与所述第一终端进行双向身份认证；
76.密钥协商交换模块30，用于在与所述第一终端进行双向身份认证成功后，与所述第一终端进行密钥协商交换；
77.密钥协商认证模块40，用于在所述与所述第一终端进行密钥协商交换后，与所述第一终端进行密钥协商认证。
78.关于基于边缘计算的终端认证系统的具体限定可以参见上文中对于基于边缘计
算的终端认证方法的限定，在此不再赘述。上述基于边缘计算的终端认证系统的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
79.进一步地，所述判断认证模块20包括：
80.验证单元，接收所述第一终端发送的设备指纹id，并根据所述设备指纹id验证所述第一终端的合法性；
81.比较单元，在验证所述第一终端合法后，根据所述设备指纹id生成第二响应值，然后将第二响应值发送给第一终端，所述第一终端根据设备指纹id生成第一响应值，并将第一响应值和第二响应值进行比较得到比较结果，若比较结果相同则与第一终端双向身份认证成功。
82.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种边缘计算的终端认证方法。
83.本领域技术人员可以理解，图3中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
84.在一个实施例中，提供了一种计算机设备,包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行计算机程序时实现以下步骤：
85.接收第一终端发送的接入请求，所述接入请求中携带所述第一终端的设备信息；
86.根据所述第一终端的设备信息判断是否与第一终端建立连接，若是则与所述第一终端进行双向身份认证；
87.在与所述第一终端进行双向身份认证成功后，与所述第一终端进行密钥协商交换；
88.在所述与所述第一终端进行密钥协商交换后，与所述第一终端进行密钥协商认证。
89.在一个实施例中，所述与所述第一终端进行双向身份认证，包括：
90.接收所述第一终端发送的设备指纹id，并根据所述设备指纹id验证所述第一终端的合法性；
91.在验证所述第一终端合法后，根据所述设备指纹id生成第二响应值，然后将第二响应值发送给第一终端，所述第一终端根据设备指纹id生成第一响应值，并将第一响应值和第二响应值进行比较得到比较结果，若比较结果相同则与第一终端双向身份认证成功。
92.在一个实施例中，所述与所述第一终端进行密钥协商交换，包括：
93.所述第一终端生成随机数，第一终端从其库函数中根据所述随机数查找相对应的加密算法对预设的基数进行加密得到第一密文；
94.接收所述随机数和基数并从第二终端的库函数中根据所述随机数查找相对应的加密算法对基数进行加密得到第二密文，并将所述第二密文发送给第一终端。
95.在一个实施例中，所述与所述第一终端进行密钥协商认证，包括：
96.所述第一终端将第二密文和第一密文进行比较得到比较第一结果，若第一比较结果不同，则重新进行密钥协商交换，若第一比较结果相同，则所述第一终端进入安全通信阶段，然后所述第一终端将第一密文发送给第二终端；
97.所述第二终端将所述第一密文与第二密文进行比较得到第二比较结果，若第二比较结果不同，则第一终端和第二终端重新进行密钥协商交换，若第二比较结果相同，则所述第二终端进入安全通信阶段。
98.在一个实施例中，所述设备信息包括：设备id和mac地址。
99.在一个实施例中，所述根据所述第一终端的设备信息判断是否与第一终端建立连接，包括：
100.接收所述第一终端发送的设备id和mac地址，然后根据所述设备id和mac地址在本地数据库中查找是否有相对应的设备id和mac地址，若有则与第一终端建立连接，若没有则将所述第一终端注册到第二终端的本地数据库中。
101.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
102.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。