鄧春艷,楊雨程,華開峰

(南京郵電大學(xué)通達(dá)學(xué)院,江蘇 揚(yáng)州 225127)

0 引言

目前,我國云邊協(xié)同發(fā)展仍處于探索階段,還有許多問題需要解決,如設(shè)備異構(gòu)、計算框架和安全性。 近年來,智能化、便捷化服務(wù)普及的同時,數(shù)據(jù)量飛速增加,數(shù)據(jù)安全也上升到重中之重。 不同行業(yè)都出現(xiàn)過數(shù)據(jù)泄露事件,2019 年醫(yī)療行業(yè)數(shù)據(jù)泄漏導(dǎo)致全美4 000 多萬群眾(12.55%)的醫(yī)療記錄遭到泄露、意外公開或盜竊[1]。

目前,我國智慧交通正處于高速發(fā)展階段,智能路網(wǎng)、智慧停車、交通管制等正逐步提高我國的交通和管理水平。 隨著車輛的普及,現(xiàn)有的智慧交通的存在一系列問題,ETC 電子不停車收費(fèi)系統(tǒng)的引入得到了有效緩解,但仍存在問題和挑戰(zhàn)。

1 云邊協(xié)同研究現(xiàn)狀

1.1 云計算和邊緣計算

本質(zhì)上,云計算是一種從分布式計算中衍生出的計算范式,具有高效資源服務(wù)的優(yōu)勢、傳輸距離長的缺點(diǎn),它可以為終端用戶提供隨時隨地的無限計算資源,用戶只為使用的服務(wù)付費(fèi)[2]。 云計算通過網(wǎng)絡(luò)“云”將龐大復(fù)雜的數(shù)據(jù)程序經(jīng)過一系列的工作分解為許多更小的程序,再傳輸給用戶來提高效率。 經(jīng)過十幾年的更新迭代,如今,云計算技術(shù)日趨成熟和先進(jìn),簡單的云計算已成為互聯(lián)網(wǎng)服務(wù)的主流服務(wù)。

邊緣計算以云計算為基礎(chǔ),在云端的“邊緣”處理、分析和存儲數(shù)據(jù),邊緣計算具有低時延、高效率、分布式等特點(diǎn),能提高云端處理數(shù)據(jù)的效率,并發(fā)揮邊緣計算設(shè)備的能力。 近幾年,邊緣計算飛速發(fā)展并得到全面關(guān)注,作為云計算的輔助機(jī)制,其模型一直在更新迭代,未來邊緣計算將帶來更廣闊的前景[3]。 目前,邊緣計算使用的領(lǐng)域越來越多,但邊緣計算更廣泛深入的使用會遇到各方面的問題。

1.2 云邊協(xié)同

云邊協(xié)同結(jié)合了云計算的高效資源服務(wù)的優(yōu)勢和邊緣計算的低時延的優(yōu)勢,因此,云邊協(xié)同成為新型計算機(jī)新的研究趨勢。 如今云邊協(xié)同的使用遍及各個行業(yè),集中在數(shù)字能源、智慧交通、工業(yè)互聯(lián)網(wǎng)等許多技術(shù)場景上。 云邊協(xié)同具有更多節(jié)點(diǎn)來負(fù)載流量,因此數(shù)據(jù)傳輸更快,數(shù)據(jù)處理更安全和及時,提高了用戶的使用體驗感。 云邊協(xié)同的使用需結(jié)合具體的使用場景,在不同場景中云邊協(xié)同涉及的內(nèi)涵也不盡相同。

云邊協(xié)同的過程中,邊緣計算主要負(fù)責(zé)處理需實時處理的數(shù)據(jù),將高價值的數(shù)據(jù)上傳至云端,云計算則負(fù)責(zé)處理那些不需要實時且周期長的數(shù)據(jù),并負(fù)責(zé)管理邊緣應(yīng)用的整個生命周期。 云邊協(xié)同涉及邊云間SaaS、PaaS、IaaS 各層面的協(xié)同,SaaS 層實現(xiàn)服務(wù)協(xié)同,PaaS 層實現(xiàn)數(shù)據(jù)、智能、應(yīng)用管理和業(yè)務(wù)編排協(xié)同,IaaS 層實現(xiàn)資源協(xié)同[2]。

2 在云邊協(xié)同的應(yīng)用

2.1 數(shù)據(jù)協(xié)同

邊緣節(jié)點(diǎn)負(fù)責(zé)收集、分析與處理終端設(shè)備數(shù)據(jù),并將處理后的數(shù)據(jù)發(fā)送到云端,由云端對海量的數(shù)據(jù)進(jìn)行存儲、分析以及價值挖掘[2]。

2.2 SM9 標(biāo)識密碼算法

SM9 標(biāo)識加密算法是基于橢圓曲線點(diǎn)群上的雙線性對配對的一種IBC 算法,包括數(shù)字簽名、公鑰加密、密鑰封裝和密鑰交換四大功能,作為信息安全中不可或缺的密碼技術(shù),數(shù)字簽名可以滿足除機(jī)密性之外的信息安全需求[4]。 SM9 標(biāo)識密碼算法將用戶的標(biāo)識作為公鑰,無需交換數(shù)字證書和公鑰,使安全系統(tǒng)更容易部署和管理,適用于保障互聯(lián)網(wǎng)上各種新興應(yīng)用的安全。

2.3 SM9 雙向身份認(rèn)證協(xié)議

會話建立的過程中,身份認(rèn)證協(xié)議不僅可以幫助通信實體間進(jìn)行身份鑒別,還幫助通信雙方進(jìn)行會話密鑰協(xié)商。 身份認(rèn)證協(xié)議的存在使得未授權(quán)人員不能訪問受控資源、獲得未授權(quán)服務(wù)或執(zhí)行其他違法操作。

王煜婷[4]提出了一種SM9 雙向身份認(rèn)證協(xié)議,該協(xié)議將質(zhì)問/應(yīng)答式身份認(rèn)證技術(shù)與SM9 標(biāo)識密碼算法相結(jié)合,涉及SM9 數(shù)字簽名算法(身份認(rèn)證信息產(chǎn)生和驗證算法)和SM9 密鑰封裝機(jī)制(密鑰封裝和解封裝算法)。 該協(xié)議不僅可以保證完整性、消息來源的真實性、新鮮性,還可以防止惡意驗證者發(fā)起的選擇文本攻擊,并具有已知密鑰安全的特性。

2.4 SM9 雙向身份認(rèn)證協(xié)議在數(shù)據(jù)協(xié)同的應(yīng)用

邊緣節(jié)點(diǎn)上傳數(shù)據(jù)至云端,雙方需先通過對各自身份的認(rèn)證,然后進(jìn)行協(xié)商和共享會話密鑰,并建立安全通信。 在邊緣節(jié)點(diǎn)與云端的數(shù)據(jù)安全認(rèn)證中應(yīng)用SM9 雙向身份認(rèn)證協(xié)議后,能有更高的安全性、更低的通信開銷和更少的理論計算量。 雙向身份認(rèn)證主要分3 步進(jìn)行。

(1)初始化及私鑰的提取:首先,系統(tǒng)建立一個雙線性映射e:G1×G2→GT,密鑰生成中心KGC 隨機(jī)選擇整數(shù)ks,ke∈[1,N-1]作為主私鑰秘密保存,計算主密鑰Ppub-s=[ks]P2和Ppub-e=[ke]P1,將(ks,Ppub-s)、(ke,Ppub-e)作為簽名和加密算法的系統(tǒng)主公鑰對;其次,KGC 選取一個用戶標(biāo)識的字節(jié)hid 生成用戶的私鑰dii= [(H1(IDi||hid,N)+ ki)-1·ki]P2。 系統(tǒng)公開參數(shù):(G1,G2,GT,P1,P2,Ppub-s,Ppub-e,hid)。

(2)身份認(rèn)證:邊緣節(jié)點(diǎn)發(fā)起挑戰(zhàn)和身份認(rèn)證,云端對消息MB(RA,RB,IDA)通過身份認(rèn)證信息產(chǎn)生算法進(jìn)行簽名產(chǎn)生身份認(rèn)證信息σB,將σB作為應(yīng)答、RB作為質(zhì)詢發(fā)送至邊緣節(jié)點(diǎn)。 邊緣節(jié)點(diǎn)收到云端的σB后,通過身份認(rèn)證信息驗證算法對云端進(jìn)行身份認(rèn)證。 若認(rèn)證通過,邊緣節(jié)點(diǎn)通過身份認(rèn)證信息產(chǎn)生算法對消息MA(RA,RB,IDB)進(jìn)行簽名產(chǎn)生身份認(rèn)證信息σA,并向云端發(fā)送σA和認(rèn)證通過信息;否則,向云端返回錯誤信息且終止認(rèn)證。 云端收到σA后,利用身份認(rèn)證信息驗證算法檢驗邊緣節(jié)點(diǎn)身份的合法性。 若驗證通過,云端向邊緣節(jié)點(diǎn)返回認(rèn)證通過信息并執(zhí)行會話密鑰協(xié)商;否則,向邊緣節(jié)點(diǎn)返回錯誤信息且終止認(rèn)證。身份認(rèn)證階段流程,如圖1 所示。

圖1 身份認(rèn)證階段流程

(3)密鑰協(xié)商:云端通過密鑰封裝算法產(chǎn)生會話密鑰K、封裝密鑰的密文C 和問候消息密文cb,并向邊緣節(jié)點(diǎn)發(fā)送C 和cb。 邊緣節(jié)點(diǎn)收到(C,cb)后,通過密鑰解封裝算法得到會話密鑰K＇、云端的問候消息明文mb 和邊緣節(jié)點(diǎn)問候消息密文ca,然后向云端發(fā)送ca。雙方完成對話密鑰的協(xié)商,創(chuàng)建安全通信。 密鑰協(xié)商階段流程,如圖2 所示。

圖2 密鑰協(xié)商階段流程

3 在ETC 的應(yīng)用

3.1 智慧交通

隨著大數(shù)據(jù)的普及,新興科技不斷發(fā)展,2009 年IBM 提出了智慧交通的概念。 智慧交通系統(tǒng)主要包括交通實時監(jiān)控、公共車輛管理、出行信息服務(wù)、車輛輔助控制四大應(yīng)用需求。 智慧交通系統(tǒng)是指利用物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等先進(jìn)技術(shù)對交通信息進(jìn)行全面的收集、篩檢、融合和分析,使智慧交通系統(tǒng)實現(xiàn)自我感知、自動互聯(lián)、智能和綜合分析等,以充分發(fā)揮道路基礎(chǔ)設(shè)施效率,提高交通管理系統(tǒng)的運(yùn)行工作效率,緩解交通擁堵,最大限度地減少交通安全事故,全面保障交通道路安全。

3.2 ETC 電子不停車收費(fèi)

ETC 不停車收費(fèi)系統(tǒng)是當(dāng)前世界上最先進(jìn)的橋路收費(fèi)方式,它的工作原理是通過安裝在車輛上的ETC車載設(shè)備或IC 卡與ETC 車道內(nèi)的微波設(shè)備進(jìn)行通信,設(shè)備進(jìn)行車輛識別,聯(lián)網(wǎng)進(jìn)行扣費(fèi),完成車輛不停車收費(fèi)。

ETC 技術(shù)在國外已有較長的發(fā)展歷史,逐漸形成了規(guī)模效益,而我國也受著這一潮流的影響。 ETC 剛起步時也是困難重重,經(jīng)過交通運(yùn)輸部不斷底改進(jìn),結(jié)合公眾的需求增加了使用場景,ETC 的覆蓋率正在走上坡路。 2021 年9 月底,全網(wǎng)ETC 平均使用率已超過了66%,基本上,ETC 服務(wù)實現(xiàn)全覆蓋機(jī)場、火車站、客運(yùn)站和港口等主要交通樞紐的停車場區(qū)域,重點(diǎn)在小區(qū)和景點(diǎn)的停車場推廣使用。 雖然我國在ETC 的研究上有較大的進(jìn)步并逐漸普及,但在安全、效率、收費(fèi)透明性、標(biāo)準(zhǔn)化等方面還存在一些問題[5]。

3.3 ETC 不停車收費(fèi)的數(shù)據(jù)安全

ETC 不停車收費(fèi)系統(tǒng)的IC 卡加密、射頻通信加密和網(wǎng)絡(luò)數(shù)據(jù)傳輸安全等安全和隱私問題一直都是用戶關(guān)注的熱點(diǎn)。 在網(wǎng)絡(luò)數(shù)據(jù)傳輸安全方面,邊緣節(jié)點(diǎn)向云端傳輸數(shù)據(jù)的過程可能會面臨數(shù)據(jù)泄露、數(shù)據(jù)篡改、入侵者惡意攻擊等風(fēng)險[6]。 將文中提出的結(jié)合SM9 雙向身份認(rèn)證協(xié)議的數(shù)據(jù)協(xié)同技術(shù)應(yīng)用在ETC 電子不停車收費(fèi)系統(tǒng)中。

邊緣節(jié)點(diǎn)讀取用戶信息后,與云端進(jìn)行雙向身份認(rèn)證,通過認(rèn)證后,邊緣節(jié)點(diǎn)對數(shù)據(jù)進(jìn)行封裝和加密,并上傳至云端。 云端進(jìn)行解封裝和解密得到數(shù)據(jù),并對數(shù)據(jù)進(jìn)行存儲、分析和價值挖掘,對相關(guān)信息進(jìn)行計算并做出對應(yīng)操作。 由于邊緣計算的低時延,使入侵者難以訪問并篡改在傳輸過程中的數(shù)據(jù);使用SM9 雙向身份認(rèn)證協(xié)議對通信雙方進(jìn)行身份認(rèn)證,既提高了數(shù)據(jù)的安全性、新鮮性,也降低了通信開銷。

4 結(jié)語

身份認(rèn)證在各種信息安全系統(tǒng)中都發(fā)揮著重要作用,它能真實鑒別網(wǎng)絡(luò)中實體的身份。 SM9 雙向身份認(rèn)證協(xié)議在云邊協(xié)同的應(yīng)用能夠?qū)崿F(xiàn)更高的數(shù)據(jù)傳輸?shù)陌踩?、新鮮性,并減少通信開銷。 隨著物聯(lián)網(wǎng)、云計算、邊緣計算等技術(shù)的發(fā)展,云邊協(xié)同在各個領(lǐng)域廣泛應(yīng)用,隨著研究與實踐的不斷深入,云邊協(xié)同會逐步走向成熟,為各領(lǐng)域創(chuàng)造更多的價值。