[发明专利]一种基于雾计算的增强通讯安全的认证方法及系统

摘要

本发明公布了一种基于雾计算框架的增强通讯安全的方法及系统，系统包括：端点以及节点间的身份认证安全模块、查找表模块、可疑MAC地址隔离账本模块、私钥存储模块；通过去中心化的认证机制,对端点以及节点间的身份进行安全认证，并采用机器学习的方法，增进节点与端点以及节点与节点之间的通讯安全，以防止恶意攻击和身份假冒。采用本发明技术方案，能够避免因第三方机构所产生额外的时间和带宽消耗,提升云终端和本地雾节点的处理效率；提高认证准确度,有助于建立更加及时的安全预防机制。

主权项

1.一种基于雾计算的增强通讯安全的方法，通过去中心化的认证机制,对端点及节点间的身份进行安全认证，并采用机器学习的方法，增进节点与端点、节点与节点之间的通讯安全，以防止恶意攻击和身份假冒；具体步骤如下:101.针对雾计算框架下的每个雾节点网络范围内的所有联机端点信息，通过运算得到每个节点的端点组态值S；102.本地雾节点中均存有查找表，所述查找表保存以下信息:与本地雾节点连接的其他雾节点的网络名称或网络IP地址、S值、本地雾节点网域中已建立安全通信的端点MAC地址、离开本地雾节点网域的端点MAC地址；103.当端点X离开本地雾节点时，将其MAC地址从本地雾节点中已建立安全通信的端点名单中移除,并加入离开本地雾节点的端点MAC地址名单中；重新计算S值；更新雾节点的查找表；104.本地雾节点用HASH函数生成第一信息摘要,并使用数字签名技术进行数字签名,将签名后的第一信息摘要与信息发送给端点X；端点X使用相同的HASH函数对接收的信息生成新的信息摘要，为第二信息摘要；并使用信息发送者的公钥解密得到第一信息摘要；再将第一信息摘要与第二信息摘要进行验证比对，以确定端点X能否加入新的雾节点；105.本地雾节点向相同子网内其他雾节点发送加密的端点X的MAC地址和S值；106.相同子网内其他雾节点收到信息后在其查找表中将S值更新,并且在查找表中找到端点X的MAC地址,标注端点X已经离开本地雾节点；107.本地雾节点将公钥发送给相同子网内其他雾节点，端点X才能以该公钥对相同子网中其他雾节点作身份认证；108.当端点X要进入相同子网内某雾节点服务范围时，必须提交自己的MAC地址及步骤104中已签名的第一信息摘要和信息；109.某雾节点对查找表进行遍历，由MAC地址的标注获得端点X已经离开本地雾节点的信息；110.某雾节点使用在步骤107中所接收到的公钥解密信息,计算新的摘要值为第二信息摘要,将第一信息摘要、第二信息摘要进行比对验证；若验证成功则允许建立安全通信,某雾节点重新计算其网域内的S值,并更新查找表中的S值；若验证失败则将端点X的MAC地址与特征加入之后产生的新版的MAC隔离账本，表示该端点X可能是伪装或恶意端点,拒绝通信请求并采集其特征；111将新的MAC隔离账本和S值透过安全且加密的信道,发送给相同子网内的其他雾节点、更上一阶的雾节点及云端服务器；112.其他雾节点及上一阶的雾节点收到信息后,视验证结果将查找表中的S值和MAC隔离账本更新,接着向其它同阶的雾节点传递，以阻止伪装或恶意的端点渗入网域；113.反复进行步骤110～112，阻绝伪装端点、恶意端点,使其无法进行内部渗透或是外部攻击；114.各地雾节点定期向云端服务器进行汇报；115.云端服务器透过各地雾节点的反馈达到更多功能,包括:通过S值确认当前正常且可用的端点总数、建立更加准确且及时的安全预防机制、在特定时段调用邻近的雾节点对繁忙的雾节点进行分流；通过上述步骤，实现基于雾计算的去中心化且可自证的客观身份认证，达到增进节点与端点及节点与节点之间通讯安全的目的。