邓春艳,杨雨程,华开峰
(南京邮电大学通达学院,江苏 扬州 225127)
目前,我国云边协同发展仍处于探索阶段,还有许多问题需要解决,如设备异构、计算框架和安全性。 近年来,智能化、便捷化服务普及的同时,数据量飞速增加,数据安全也上升到重中之重。 不同行业都出现过数据泄露事件,2019 年医疗行业数据泄漏导致全美4 000 多万群众(12.55%)的医疗记录遭到泄露、意外公开或盗窃[1]。
目前,我国智慧交通正处于高速发展阶段,智能路网、智慧停车、交通管制等正逐步提高我国的交通和管理水平。 随着车辆的普及,现有的智慧交通的存在一系列问题,ETC 电子不停车收费系统的引入得到了有效缓解,但仍存在问题和挑战。
本质上,云计算是一种从分布式计算中衍生出的计算范式,具有高效资源服务的优势、传输距离长的缺点,它可以为终端用户提供随时随地的无限计算资源,用户只为使用的服务付费[2]。 云计算通过网络“云”将庞大复杂的数据程序经过一系列的工作分解为许多更小的程序,再传输给用户来提高效率。 经过十几年的更新迭代,如今,云计算技术日趋成熟和先进,简单的云计算已成为互联网服务的主流服务。
边缘计算以云计算为基础,在云端的“边缘”处理、分析和存储数据,边缘计算具有低时延、高效率、分布式等特点,能提高云端处理数据的效率,并发挥边缘计算设备的能力。 近几年,边缘计算飞速发展并得到全面关注,作为云计算的辅助机制,其模型一直在更新迭代,未来边缘计算将带来更广阔的前景[3]。 目前,边缘计算使用的领域越来越多,但边缘计算更广泛深入的使用会遇到各方面的问题。
云边协同结合了云计算的高效资源服务的优势和边缘计算的低时延的优势,因此,云边协同成为新型计算机新的研究趋势。 如今云边协同的使用遍及各个行业,集中在数字能源、智慧交通、工业互联网等许多技术场景上。 云边协同具有更多节点来负载流量,因此数据传输更快,数据处理更安全和及时,提高了用户的使用体验感。 云边协同的使用需结合具体的使用场景,在不同场景中云边协同涉及的内涵也不尽相同。
云边协同的过程中,边缘计算主要负责处理需实时处理的数据,将高价值的数据上传至云端,云计算则负责处理那些不需要实时且周期长的数据,并负责管理边缘应用的整个生命周期。 云边协同涉及边云间SaaS、PaaS、IaaS 各层面的协同,SaaS 层实现服务协同,PaaS 层实现数据、智能、应用管理和业务编排协同,IaaS 层实现资源协同[2]。
边缘节点负责收集、分析与处理终端设备数据,并将处理后的数据发送到云端,由云端对海量的数据进行存储、分析以及价值挖掘[2]。
SM9 标识加密算法是基于椭圆曲线点群上的双线性对配对的一种IBC 算法,包括数字签名、公钥加密、密钥封装和密钥交换四大功能,作为信息安全中不可或缺的密码技术,数字签名可以满足除机密性之外的信息安全需求[4]。 SM9 标识密码算法将用户的标识作为公钥,无需交换数字证书和公钥,使安全系统更容易部署和管理,适用于保障互联网上各种新兴应用的安全。
会话建立的过程中,身份认证协议不仅可以帮助通信实体间进行身份鉴别,还帮助通信双方进行会话密钥协商。 身份认证协议的存在使得未授权人员不能访问受控资源、获得未授权服务或执行其他违法操作。
王煜婷[4]提出了一种SM9 双向身份认证协议,该协议将质问/应答式身份认证技术与SM9 标识密码算法相结合,涉及SM9 数字签名算法(身份认证信息产生和验证算法)和SM9 密钥封装机制(密钥封装和解封装算法)。 该协议不仅可以保证完整性、消息来源的真实性、新鲜性,还可以防止恶意验证者发起的选择文本攻击,并具有已知密钥安全的特性。
边缘节点上传数据至云端,双方需先通过对各自身份的认证,然后进行协商和共享会话密钥,并建立安全通信。 在边缘节点与云端的数据安全认证中应用SM9 双向身份认证协议后,能有更高的安全性、更低的通信开销和更少的理论计算量。 双向身份认证主要分3 步进行。
(1)初始化及私钥的提取:首先,系统建立一个双线性映射e:G1×G2→GT,密钥生成中心KGC 随机选择整数ks,ke∈[1,N-1]作为主私钥秘密保存,计算主密钥Ppub-s=[ks]P2和Ppub-e=[ke]P1,将(ks,Ppub-s)、(ke,Ppub-e)作为签名和加密算法的系统主公钥对;其次,KGC 选取一个用户标识的字节hid 生成用户的私钥dii= [(H1(IDi||hid,N)+ ki)-1·ki]P2。 系统公开参数:(G1,G2,GT,P1,P2,Ppub-s,Ppub-e,hid)。
(2)身份认证:边缘节点发起挑战和身份认证,云端对消息MB(RA,RB,IDA)通过身份认证信息产生算法进行签名产生身份认证信息σB,将σB作为应答、RB作为质询发送至边缘节点。 边缘节点收到云端的σB后,通过身份认证信息验证算法对云端进行身份认证。 若认证通过,边缘节点通过身份认证信息产生算法对消息MA(RA,RB,IDB)进行签名产生身份认证信息σA,并向云端发送σA和认证通过信息;否则,向云端返回错误信息且终止认证。 云端收到σA后,利用身份认证信息验证算法检验边缘节点身份的合法性。 若验证通过,云端向边缘节点返回认证通过信息并执行会话密钥协商;否则,向边缘节点返回错误信息且终止认证。身份认证阶段流程,如图1 所示。
图1 身份认证阶段流程
(3)密钥协商:云端通过密钥封装算法产生会话密钥K、封装密钥的密文C 和问候消息密文cb,并向边缘节点发送C 和cb。 边缘节点收到(C,cb)后,通过密钥解封装算法得到会话密钥K'、云端的问候消息明文mb 和边缘节点问候消息密文ca,然后向云端发送ca。双方完成对话密钥的协商,创建安全通信。 密钥协商阶段流程,如图2 所示。
图2 密钥协商阶段流程
随着大数据的普及,新兴科技不断发展,2009 年IBM 提出了智慧交通的概念。 智慧交通系统主要包括交通实时监控、公共车辆管理、出行信息服务、车辆辅助控制四大应用需求。 智慧交通系统是指利用物联网、大数据、云计算、人工智能等先进技术对交通信息进行全面的收集、筛检、融合和分析,使智慧交通系统实现自我感知、自动互联、智能和综合分析等,以充分发挥道路基础设施效率,提高交通管理系统的运行工作效率,缓解交通拥堵,最大限度地减少交通安全事故,全面保障交通道路安全。
ETC 不停车收费系统是当前世界上最先进的桥路收费方式,它的工作原理是通过安装在车辆上的ETC车载设备或IC 卡与ETC 车道内的微波设备进行通信,设备进行车辆识别,联网进行扣费,完成车辆不停车收费。
ETC 技术在国外已有较长的发展历史,逐渐形成了规模效益,而我国也受着这一潮流的影响。 ETC 刚起步时也是困难重重,经过交通运输部不断底改进,结合公众的需求增加了使用场景,ETC 的覆盖率正在走上坡路。 2021 年9 月底,全网ETC 平均使用率已超过了66%,基本上,ETC 服务实现全覆盖机场、火车站、客运站和港口等主要交通枢纽的停车场区域,重点在小区和景点的停车场推广使用。 虽然我国在ETC 的研究上有较大的进步并逐渐普及,但在安全、效率、收费透明性、标准化等方面还存在一些问题[5]。
ETC 不停车收费系统的IC 卡加密、射频通信加密和网络数据传输安全等安全和隐私问题一直都是用户关注的热点。 在网络数据传输安全方面,边缘节点向云端传输数据的过程可能会面临数据泄露、数据篡改、入侵者恶意攻击等风险[6]。 将文中提出的结合SM9 双向身份认证协议的数据协同技术应用在ETC 电子不停车收费系统中。
边缘节点读取用户信息后,与云端进行双向身份认证,通过认证后,边缘节点对数据进行封装和加密,并上传至云端。 云端进行解封装和解密得到数据,并对数据进行存储、分析和价值挖掘,对相关信息进行计算并做出对应操作。 由于边缘计算的低时延,使入侵者难以访问并篡改在传输过程中的数据;使用SM9 双向身份认证协议对通信双方进行身份认证,既提高了数据的安全性、新鲜性,也降低了通信开销。
身份认证在各种信息安全系统中都发挥着重要作用,它能真实鉴别网络中实体的身份。 SM9 双向身份认证协议在云边协同的应用能够实现更高的数据传输的安全性、新鲜性,并减少通信开销。 随着物联网、云计算、边缘计算等技术的发展,云边协同在各个领域广泛应用,随着研究与实践的不断深入,云边协同会逐步走向成熟,为各领域创造更多的价值。