鄧春艷,楊雨程,華開峰

(南京郵電大學通達學院,江蘇 揚州 225127)

0 引言

目前,我國云邊協(xié)同發(fā)展仍處于探索階段,還有許多問題需要解決,如設備異構、計算框架和安全性。 近年來,智能化、便捷化服務普及的同時,數(shù)據量飛速增加,數(shù)據安全也上升到重中之重。 不同行業(yè)都出現(xiàn)過數(shù)據泄露事件,2019 年醫(yī)療行業(yè)數(shù)據泄漏導致全美4 000 多萬群眾(12.55%)的醫(yī)療記錄遭到泄露、意外公開或盜竊[1]。

目前,我國智慧交通正處于高速發(fā)展階段,智能路網、智慧停車、交通管制等正逐步提高我國的交通和管理水平。 隨著車輛的普及,現(xiàn)有的智慧交通的存在一系列問題,ETC 電子不停車收費系統(tǒng)的引入得到了有效緩解,但仍存在問題和挑戰(zhàn)。

1 云邊協(xié)同研究現(xiàn)狀

1.1 云計算和邊緣計算

本質上,云計算是一種從分布式計算中衍生出的計算范式,具有高效資源服務的優(yōu)勢、傳輸距離長的缺點,它可以為終端用戶提供隨時隨地的無限計算資源,用戶只為使用的服務付費[2]。 云計算通過網絡“云”將龐大復雜的數(shù)據程序經過一系列的工作分解為許多更小的程序,再傳輸給用戶來提高效率。 經過十幾年的更新迭代,如今,云計算技術日趨成熟和先進,簡單的云計算已成為互聯(lián)網服務的主流服務。

邊緣計算以云計算為基礎,在云端的“邊緣”處理、分析和存儲數(shù)據,邊緣計算具有低時延、高效率、分布式等特點,能提高云端處理數(shù)據的效率,并發(fā)揮邊緣計算設備的能力。 近幾年,邊緣計算飛速發(fā)展并得到全面關注,作為云計算的輔助機制,其模型一直在更新迭代,未來邊緣計算將帶來更廣闊的前景[3]。 目前,邊緣計算使用的領域越來越多,但邊緣計算更廣泛深入的使用會遇到各方面的問題。

1.2 云邊協(xié)同

云邊協(xié)同結合了云計算的高效資源服務的優(yōu)勢和邊緣計算的低時延的優(yōu)勢,因此,云邊協(xié)同成為新型計算機新的研究趨勢。 如今云邊協(xié)同的使用遍及各個行業(yè),集中在數(shù)字能源、智慧交通、工業(yè)互聯(lián)網等許多技術場景上。 云邊協(xié)同具有更多節(jié)點來負載流量,因此數(shù)據傳輸更快,數(shù)據處理更安全和及時,提高了用戶的使用體驗感。 云邊協(xié)同的使用需結合具體的使用場景,在不同場景中云邊協(xié)同涉及的內涵也不盡相同。

云邊協(xié)同的過程中,邊緣計算主要負責處理需實時處理的數(shù)據,將高價值的數(shù)據上傳至云端,云計算則負責處理那些不需要實時且周期長的數(shù)據,并負責管理邊緣應用的整個生命周期。 云邊協(xié)同涉及邊云間SaaS、PaaS、IaaS 各層面的協(xié)同,SaaS 層實現(xiàn)服務協(xié)同,PaaS 層實現(xiàn)數(shù)據、智能、應用管理和業(yè)務編排協(xié)同,IaaS 層實現(xiàn)資源協(xié)同[2]。

2 在云邊協(xié)同的應用

2.1 數(shù)據協(xié)同

邊緣節(jié)點負責收集、分析與處理終端設備數(shù)據,并將處理后的數(shù)據發(fā)送到云端,由云端對海量的數(shù)據進行存儲、分析以及價值挖掘[2]。

2.2 SM9 標識密碼算法

SM9 標識加密算法是基于橢圓曲線點群上的雙線性對配對的一種IBC 算法,包括數(shù)字簽名、公鑰加密、密鑰封裝和密鑰交換四大功能,作為信息安全中不可或缺的密碼技術,數(shù)字簽名可以滿足除機密性之外的信息安全需求[4]。 SM9 標識密碼算法將用戶的標識作為公鑰,無需交換數(shù)字證書和公鑰,使安全系統(tǒng)更容易部署和管理,適用于保障互聯(lián)網上各種新興應用的安全。

2.3 SM9 雙向身份認證協(xié)議

會話建立的過程中,身份認證協(xié)議不僅可以幫助通信實體間進行身份鑒別,還幫助通信雙方進行會話密鑰協(xié)商。 身份認證協(xié)議的存在使得未授權人員不能訪問受控資源、獲得未授權服務或執(zhí)行其他違法操作。

王煜婷[4]提出了一種SM9 雙向身份認證協(xié)議,該協(xié)議將質問/應答式身份認證技術與SM9 標識密碼算法相結合,涉及SM9 數(shù)字簽名算法(身份認證信息產生和驗證算法)和SM9 密鑰封裝機制(密鑰封裝和解封裝算法)。 該協(xié)議不僅可以保證完整性、消息來源的真實性、新鮮性,還可以防止惡意驗證者發(fā)起的選擇文本攻擊,并具有已知密鑰安全的特性。

2.4 SM9 雙向身份認證協(xié)議在數(shù)據協(xié)同的應用

邊緣節(jié)點上傳數(shù)據至云端,雙方需先通過對各自身份的認證,然后進行協(xié)商和共享會話密鑰,并建立安全通信。 在邊緣節(jié)點與云端的數(shù)據安全認證中應用SM9 雙向身份認證協(xié)議后,能有更高的安全性、更低的通信開銷和更少的理論計算量。 雙向身份認證主要分3 步進行。

(1)初始化及私鑰的提取:首先,系統(tǒng)建立一個雙線性映射e:G1×G2→GT,密鑰生成中心KGC 隨機選擇整數(shù)ks,ke∈[1,N-1]作為主私鑰秘密保存,計算主密鑰Ppub-s=[ks]P2和Ppub-e=[ke]P1,將(ks,Ppub-s)、(ke,Ppub-e)作為簽名和加密算法的系統(tǒng)主公鑰對;其次,KGC 選取一個用戶標識的字節(jié)hid 生成用戶的私鑰dii= [(H1(IDi||hid,N)+ ki)-1·ki]P2。 系統(tǒng)公開參數(shù):(G1,G2,GT,P1,P2,Ppub-s,Ppub-e,hid)。

(2)身份認證:邊緣節(jié)點發(fā)起挑戰(zhàn)和身份認證,云端對消息MB(RA,RB,IDA)通過身份認證信息產生算法進行簽名產生身份認證信息σB,將σB作為應答、RB作為質詢發(fā)送至邊緣節(jié)點。 邊緣節(jié)點收到云端的σB后,通過身份認證信息驗證算法對云端進行身份認證。 若認證通過,邊緣節(jié)點通過身份認證信息產生算法對消息MA(RA,RB,IDB)進行簽名產生身份認證信息σA,并向云端發(fā)送σA和認證通過信息;否則,向云端返回錯誤信息且終止認證。 云端收到σA后,利用身份認證信息驗證算法檢驗邊緣節(jié)點身份的合法性。 若驗證通過,云端向邊緣節(jié)點返回認證通過信息并執(zhí)行會話密鑰協(xié)商;否則,向邊緣節(jié)點返回錯誤信息且終止認證。身份認證階段流程,如圖1 所示。

圖1 身份認證階段流程

(3)密鑰協(xié)商:云端通過密鑰封裝算法產生會話密鑰K、封裝密鑰的密文C 和問候消息密文cb,并向邊緣節(jié)點發(fā)送C 和cb。 邊緣節(jié)點收到(C,cb)后,通過密鑰解封裝算法得到會話密鑰K＇、云端的問候消息明文mb 和邊緣節(jié)點問候消息密文ca,然后向云端發(fā)送ca。雙方完成對話密鑰的協(xié)商,創(chuàng)建安全通信。 密鑰協(xié)商階段流程,如圖2 所示。

圖2 密鑰協(xié)商階段流程

3 在ETC 的應用

3.1 智慧交通

隨著大數(shù)據的普及,新興科技不斷發(fā)展,2009 年IBM 提出了智慧交通的概念。 智慧交通系統(tǒng)主要包括交通實時監(jiān)控、公共車輛管理、出行信息服務、車輛輔助控制四大應用需求。 智慧交通系統(tǒng)是指利用物聯(lián)網、大數(shù)據、云計算、人工智能等先進技術對交通信息進行全面的收集、篩檢、融合和分析,使智慧交通系統(tǒng)實現(xiàn)自我感知、自動互聯(lián)、智能和綜合分析等,以充分發(fā)揮道路基礎設施效率,提高交通管理系統(tǒng)的運行工作效率,緩解交通擁堵,最大限度地減少交通安全事故,全面保障交通道路安全。

3.2 ETC 電子不停車收費

ETC 不停車收費系統(tǒng)是當前世界上最先進的橋路收費方式,它的工作原理是通過安裝在車輛上的ETC車載設備或IC 卡與ETC 車道內的微波設備進行通信,設備進行車輛識別,聯(lián)網進行扣費,完成車輛不停車收費。

ETC 技術在國外已有較長的發(fā)展歷史,逐漸形成了規(guī)模效益,而我國也受著這一潮流的影響。 ETC 剛起步時也是困難重重,經過交通運輸部不斷底改進,結合公眾的需求增加了使用場景,ETC 的覆蓋率正在走上坡路。 2021 年9 月底,全網ETC 平均使用率已超過了66%,基本上,ETC 服務實現(xiàn)全覆蓋機場、火車站、客運站和港口等主要交通樞紐的停車場區(qū)域,重點在小區(qū)和景點的停車場推廣使用。 雖然我國在ETC 的研究上有較大的進步并逐漸普及,但在安全、效率、收費透明性、標準化等方面還存在一些問題[5]。

3.3 ETC 不停車收費的數(shù)據安全

ETC 不停車收費系統(tǒng)的IC 卡加密、射頻通信加密和網絡數(shù)據傳輸安全等安全和隱私問題一直都是用戶關注的熱點。 在網絡數(shù)據傳輸安全方面,邊緣節(jié)點向云端傳輸數(shù)據的過程可能會面臨數(shù)據泄露、數(shù)據篡改、入侵者惡意攻擊等風險[6]。 將文中提出的結合SM9 雙向身份認證協(xié)議的數(shù)據協(xié)同技術應用在ETC 電子不停車收費系統(tǒng)中。

邊緣節(jié)點讀取用戶信息后,與云端進行雙向身份認證,通過認證后,邊緣節(jié)點對數(shù)據進行封裝和加密,并上傳至云端。 云端進行解封裝和解密得到數(shù)據,并對數(shù)據進行存儲、分析和價值挖掘,對相關信息進行計算并做出對應操作。 由于邊緣計算的低時延,使入侵者難以訪問并篡改在傳輸過程中的數(shù)據;使用SM9 雙向身份認證協(xié)議對通信雙方進行身份認證,既提高了數(shù)據的安全性、新鮮性,也降低了通信開銷。

4 結語

身份認證在各種信息安全系統(tǒng)中都發(fā)揮著重要作用,它能真實鑒別網絡中實體的身份。 SM9 雙向身份認證協(xié)議在云邊協(xié)同的應用能夠實現(xiàn)更高的數(shù)據傳輸?shù)陌踩浴⑿迈r性,并減少通信開銷。 隨著物聯(lián)網、云計算、邊緣計算等技術的發(fā)展,云邊協(xié)同在各個領域廣泛應用,隨著研究與實踐的不斷深入,云邊協(xié)同會逐步走向成熟,為各領域創(chuàng)造更多的價值。