[发明专利]一种基于雾计算的增强通讯安全的认证方法及系统

权利要求书

1.一种基于雾计算的增强通讯安全的方法，通过去中心化的认证机制,对端点及节点间的身份进行安全认证，并采用机器学习的方法，增进节点与端点、节点与节点之间的通讯安全，以防止恶意攻击和身份假冒；具体步骤如下:

101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息，通过运算得到每个节点的端点组态值S；

102.本地雾节点中均存有查找表，所述查找表保存以下信息:与本地雾节点连接的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址；

103.当端点X离开本地雾节点时，将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中；重新计算S值；更新雾节点的查找表；

104.本地雾节点用HASH函数生成第一信息摘要,并使用数字签名技术进行数字签名,将签名后的第一信息摘要与信息发送给端点X；端点X使用相同的HASH函数对接收的信息生成新的信息摘要，为第二信息摘要；并使用信息发送者的公钥解密得到第一信息摘要；再将第一信息摘要与第二信息摘要进行验证比对，以确定端点X能否加入新的雾节点；

105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值；

106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址,标注端点X已经离开本地雾节点；

107.本地雾节点将公钥发送给相同子网内其他雾节点，端点X才能以该公钥对相同子网中其他雾节点作身份认证；

108.当端点X要进入相同子网内某雾节点服务范围时，必须提交自己的MAC地址及步骤104中已签名的第一信息摘要和信息；

109.某雾节点对查找表进行遍历，由MAC地址的标注获得端点X已经离开本地雾节点的信息；

110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一信息摘要、第二信息摘要进行比对验证；若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并更新查找表中的S值；若验证失败则将端点X的MAC地址与特征加入之后产生的新版的MAC隔离账本，表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征；

111将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点及云端服务器；

112.其他雾节点及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点传递，以阻止伪装或恶意的端点渗入网域；

113.反复进行步骤110～112，阻绝伪装端点、恶意端点,使其无法进行内部渗透或是外部攻击；

114.各地雾节点定期向云端服务器进行汇报；

115.云端服务器透过各地雾节点的反馈达到更多功能,包括:通过S值确认当前正常且可用的端点总数、建立更加准确且及时的安全预防机制、在特定时段调用邻近的雾节点对繁忙的雾节点进行分流；

通过上述步骤，实现基于雾计算的去中心化且可自证的客观身份认证，达到增进节点与端点及节点与节点之间通讯安全的目的。

2.如权利要求1所述基于雾计算的增强通讯安全的方法，其特征是，步骤104具体使用SM2-1椭圆曲线数字签名技术进行数字签名；具体地，执行操作1)～3)进行数字签名，执行操作4)～7)进行数字签名的验证：

1)发送者使用一单向散列函数(HASH函数)对信息生成第一信息摘要；

2)发送者使用自己的私钥对第一信息摘要做签名；

3)发送者把信息本身并同已签名的第一信息摘要发送出去；

4)接收者使用与发送者使用相同的单向散列函数(HASH函数),对接收的信息本身生成新的信息摘要，其为第二信息摘要；

5)接收者使用信息发送者的公钥解密得到第一信息摘要；

6)接收者将第一信息摘要与第二信息摘要进行验证比对；

7)接收者根据比对结果,决定能否与端点X建立通信，即端点X能否加入新的雾节点。