切换认证方法、装置和存储介质

1.本发明涉及一种切换认证方法、装置和存储介质，属于移动通信技术领域。


背景技术：

2.移动边缘计算是一种将计算和存储资源放置在靠近终端用户的边缘网络设备上，以提供低延迟和高效的计算服务的技术。传统的计算和存储任务通常在远离用户的云服务器上完成，而移动边缘计算将这些任务移到更接近用户的边缘设备上，如基站、路由器、边缘服务器等。通过将计算和存储放置在靠近用户的边缘设备上，可以极大地减少数据在网络上的传输时间，从而降低了系统的延迟和网络的负载。在边缘设备上处理数据可以减少数据在网络中的传输，降低了数据被窃取或篡改的风险，提高了数据的隐私和安全性。另外，移动边缘计算可以提供即时的计算资源，支持实时应用和对用户输入的即时响应，如增强现实、虚拟现实、视频分析等，解决了一些传统云计算带来的限制和挑战。目前，移动边缘计算在多个领域都有广泛的应用，比如在城市中的基站、摄像头等边缘设备上进行实时数据处理和决策的智能交通场景，以及将医疗设备与边缘计算平台连接，实现实时监测、诊断和远程医疗等功能，提高医疗服务的效率和质量。
3.在移动边缘计算场景下，当一个移动终端节点要依次与多个边缘节点通信时，认证和密钥建立是实现通信安全的基础。切换认证是指当一个移动终端节点从一个边缘节点的覆盖范围移动到另一个边缘节点时，其与前一个边缘节点的认证移交给后一个边缘节点。目前已有的切换认证方案是云协助切换，然而目前涉及会话密钥建立的切换认证方案仅简单地将这两个步骤进行结合，即将密钥建立作为切换认证的附加步骤，这会增加协议的通信成本，因而不适用于对时间敏感的场景(如自动驾驶汽车)。


技术实现要素：

4.本发明的目的在于提供切换认证方法、装置和存储介质，用于解决现有技术中存在的问题。
5.为达到上述目的，本发明提供如下技术方案：
6.根据第一方面，本发明实施例提供了一种切换认证方法，所述方法包括：
7.移动终端节点发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名；
8.所述第一边缘节点从云服务器中获取第一响应以及所述第一响应所对应的第三签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；
9.所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；所述第二响应中包括所述第二临时公钥以及第一切换
认证密钥协商票据，所述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名；
10.所述移动终端节点对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；
11.所述移动终端节点发送第三请求至第二边缘节点，所述第三请求中包括所述第一切换认证密钥协商票据；
12.所述第二边缘节点对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥，发送第三响应以及所述第三响应所对应的第七签名；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；
13.所述移动终端节点在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。
14.可选地，所述第一边缘节点从云服务器中获取第一响应以及所述第一响应所对应的第三签名，包括：
15.所述第一边缘节点发送第二请求和所述第二请求所对应的第二签名至所述云服务器，所述第二请求中包括所述第一请求和所述第一签名；所述第二签名为通过所述第一边缘节点的私钥对所述第二请求的签名；
16.所述第一边缘节点接收所述云服务器返回的所述第一响应以及所述第三签名。
17.可选地，所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，包括：
18.所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点的第二临时私钥和第二临时公钥；
19.所述第一边缘节点根据所述第二临时私钥和所述第一临时公钥生成得到与所述移动终端节点之间的第一会话密钥。
20.可选地，所述第一边缘节点根据所述第二临时私钥和所述第一临时公钥生成得到与所述移动终端节点之间的第一会话密钥，包括：
21.根据所述第二临时私钥和所述第一临时公钥，计算第一共享密钥；
22.通过密钥提取函数从所述第一共享密钥中提取得到所述第一会话密钥。
23.可选地，所述方法还包括：
24.所述移动终端节点发送第一注册请求至所述云服务器，所述云服务服务器在接收到所述第一注册请求之后，生成并存储所述移动终端节点的公钥，反馈所述移动终端的公钥以及所述云服务器的公钥至所述移动终端节点；
25.所述移动终端节点接收并存储所述移动终端的公钥以及所述云服务器的公钥。
26.可选地，所述方法还包括：
27.目标边缘节点发送第二注册请求至所述云服务器，所述云服务服务器在接收到所述第二注册请求之后，生成并存储所述目标边缘节点的公钥，反馈所述目标边缘节点的公钥以及所述云服务器的公钥至所述目标边缘节点；所述目标边缘节点为所述第一边缘节点和/或所述第二边缘节点；
28.所述目标边缘节点接收并存储所述目标边缘节点的公钥以及所述云服务器的公钥。
29.第二方面，提供了一种切换认证方法，用于移动终端节点中，所述方法包括：
30.发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一边缘节点根据云服务器返回的第一响应和所述第一响应所对应的第三签名返回第二响应和所述第二响应所对应的第五签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；所述第二响应中包括所述第一边缘节点的第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端节点的第一临时公钥的签名；
31.接收所述第一边缘节点发送的第二响应以及所述第二响应所对应的第五签名；
32.对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；
33.发送第三请求至第二边缘节点，所述第三请求中包括所述第一切换认证密钥协商票据；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；
34.在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。
35.第三方面，提供了一种切换认证方法，用于第一边缘节点中，所述方法包括：
36.接收移动终端节点发送的第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名；
37.从云服务器中获取第一响应以及所述第一响应所对应的第三签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；
38.在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；所述第二响应中包括所述第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名；所述第二响应用于指示所述移动终端节点根据所述第二响应执行与相邻边缘节点的切换。
39.第四方面，提供了一种切换认证方法，用于第二边缘节点中，所述方法包括：
40.接收移动终端节点发送的第三请求，所述第三请求中包括相邻的第一边缘节点返回的第一切换认证密钥协商票据；所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端的第一临时公钥的签名；
41.对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥，发送第三响应以及所述第三响应所对应的第七签名；所
述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；所述第三响应用于指示所述移动终端节点根据所述第三响应执行与相邻边缘节点的切换。
42.第五方面，提供了一种切换认证装置，所述装置包括存储器和处理器，所述存储器中存储有至少一条程序指令，所述处理器通过加载并执行所述至少一条程序指令以实现如第二方面、第三方面或者第四方面所述的方法。
43.第六方面，提供了一种计算机存储介质，所述计算机存储介质中存储有至少一条程序指令，所述至少一条程序指令被处理器加载并执行以实现以上任一所述的方法。
44.通过在切换认证过程中加入密钥协商所需的计算和参数，并不仅仅将切换认证和密钥协商划分为两个独立的阶段，减少了通信次数降低了通信代价。同时，本技术中移动终端节点与各个边缘节点分别建立会话密钥，提高了会话密钥的安全性。
45.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
46.图1为本发明一个实施例提供的切换认证方法所涉及的一种可能的实施场景的示意图；
47.图2为本发明一个实施例提供的切换认证方法的方法流程图；
48.图3为本发明一个实施例提供的另一种可能的切换认证方法的方法流程图。
具体实施方式
49.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
50.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
51.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
52.此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
53.首先为了便于理解，先对本技术所涉及的一种可能的实施场景做简单介绍。如图1所示，该实施场景包括：云、n个边缘节点以及移动终端节点。n为大于等于2的整数。如图1所
示，移动终端节点与边缘节点通信连接，且通常情况下同一时刻移动终端节点仅与一个边缘节点建立通信连接。各边缘节点可以与云建立通信连接，且与云之间的连接可以为有线连接也可以为无线连接。
54.另外，边缘节点1、边缘节点2、
…
、边缘节点n依次为相邻的节点，移动终端节点在需要切换时，通常是切换至左右相邻的相邻边缘节点，本技术对此并不做限定。
55.请参考图2，其示出了本技术一个实施例提供的切换认证方法的方法流程图，本实施例以该切换认证方法用于图1所示的实施场景中来举例说明，如图2所示，所述方法包括：
56.步骤201，移动终端节点发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；
57.所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名。
58.实际实现时，本步骤包括：
59.第一，移动终端生成随机第一临时私钥，并计算得到第一临时公钥；
60.第二，生成第一密钥协商请求，第一密钥协商请求包括移动终端节点的移动终端标识、当前连接的第一边缘节点的第一身份标识以及第一临时公钥；
61.第三，通过移动终端节点的私钥对第一密钥协商请求进行签名，发送第一密钥协商请求及其对应的第一签名至第一边缘节点。
62.步骤202，所述第一边缘节点从云服务器中获取第一响应以及所述第一响应所对应的第三签名；
63.所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名。
64.可选地，本步骤包括：
65.第一，所述第一边缘节点发送第二请求和所述第二请求所对应的第二签名至所述云服务器；
66.所述第二请求中包括所述第一请求和所述第一签名；所述第二签名为通过所述第一边缘节点的私钥对所述第二请求的签名。
67.第二，所述第一边缘节点接收所述云服务器返回的所述第一响应以及所述第三签名。
68.可选地，云服务器在接收到第二请求之后，对第二签名进行认证，若第二签名有效则对第一签名进行认证，在认证通过之后，返回第一响应和第三签名。相应的，第一边缘节点接收第一响应和第三签名。
69.步骤203，所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥；
70.可选地，本步骤包括：
71.第一，所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点的第二临时私钥和第二临时公钥；
72.其中，可以随机生成得到第二临时私钥，并计算得到第二临时公钥，本技术对其具体获取方式并不做限定。
73.第二，所述第一边缘节点根据所述第二临时私钥和所述第一临时公钥生成得到与
所述移动终端节点之间的第一会话密钥。
74.(1)、根据所述第二临时私钥和所述第一临时公钥，计算第一共享密钥；
75.(2)、通过密钥提取函数从所述第一共享密钥中提取得到所述第一会话密钥。
76.第一会话密钥即为移动终端节点与第一边缘节点之间的会话密钥。
77.经过上述步骤，可以返回第二响应和第五签名至第一边缘节点。
78.步骤204，所述第一边缘节点反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；
79.所述第二响应中包括所述第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名。
80.可选地，第二响应包括第一响应、第三签名、第二临时公钥、第二边缘节点的公钥、移动终端节点的移动终端标识、第一身份标识以及第一切换认证密钥协商票据。第一切换认证密钥协商票据包括第一临时公钥、移动终端标识、第二边缘节点的第二身份标识以及第四签名。第四签名为第一边缘节点通过私钥对第一临时公钥、移动终端标识、第二身份标识的签名。第五签名为第一边缘节点的私钥对第二响应中除第一响应和第三签名外的其他信息的签名。
81.步骤205，所述移动终端节点对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；
82.可选地，可以先对第三签名进行认证，在认证通过时对第五签名进行认证，若认证通过则实现对第一边缘节点和第二响应中的信息的认证，此时，即可生成第一会话密钥。
83.可选地，生成第一会话密钥的步骤包括：
84.第一，根据第一临时私钥和第二临时公钥生成第一共享密钥；
85.第二，通过密钥提取函数从第一共享密钥中计算得到第一会话密钥。
86.当然，实际实现时，还可能会包其他实现方式，对此并不限定。
87.步骤206，所述移动终端节点发送第三请求至第二边缘节点；
88.所述第三请求中包括所述第一切换认证密钥协商票据；
89.步骤207，所述第二边缘节点对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥；
90.步骤208，所述第二边缘节点发送第三响应以及所述第三响应所对应的第七签名；
91.所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名。
92.可选地，第三响应包括第三临时公钥、第三边缘节点的公钥、移动终端标识、第二身份标识以及第二切换认证密钥协商票据。第二切换认证密钥协商票据包括第一临时公钥、移动终端标识、第三边缘节点的第三身份标识和第六签名。第六签名为第二边缘节点的私钥对第一临时公钥、移动终端标识和第三身份标识的签名。第七签名为第二边缘节点的私钥对第三响应的签名。
93.本步骤与步骤203类似，在此不再赘述。
94.步骤209，所述移动终端节点在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。
95.本步骤与步骤205类似，在此不再赘述。并且，在得到第二切换认证密钥协商票据之后，与得到第一切换认证密钥协商票据的处理方式类似，可以通过向第三边缘节点发送请求的方式实现第二边缘节点和第三边缘节点之间的切换认证。
96.需要补充说明的是，在上述各步骤之前，移动终端节点需要在云服务器中进行注册，也即上述方法还可以包括：
97.所述移动终端节点发送第一注册请求至所述云服务器，所述云服务服务器在接收到所述第一注册请求之后，生成并存储所述移动终端节点的公钥，反馈所述移动终端的公钥以及所述云服务器的公钥至所述移动终端节点；
98.所述移动终端节点接收并存储所述移动终端的公钥以及所述云服务器的公钥。
99.类似的，各个边缘节点也需要在云服务器中进行注册，其注册步骤包括：
100.目标边缘节点发送第二注册请求至所述云服务器，所述云服务服务器在接收到所述第二注册请求之后，生成并存储所述目标边缘节点的公钥，反馈所述目标边缘节点的公钥以及所述云服务器的公钥至所述目标边缘节点；所述目标边缘节点为所述第一边缘节点和/或所述第二边缘节点；
101.当然实际实现时，云服务器还返回相邻边缘节点的身份标识至目标边缘节点。
102.所述目标边缘节点接收并存储所述目标边缘节点的公钥以及所述云服务器的公钥。
103.请参考图3，其示出了本技术一个实施例的一种可能的方法流程图，如图3所示，移动终端节点发送注册请求至云，云存储移动终端节点的移动终端标识以及公钥，反馈注册响应至移动终端节点，相应的，移动终端节点接收并存储云的公钥。类似的，边缘节点1和边缘节点2均发送注册请求至云，云存储边缘节点1、边缘节点2的身份标识以及对应的公钥，反馈注册响应至对应的边缘节点，相应的，边缘节点接收到之后存储云的公钥以及各自的公钥，当然若包括更多的边缘节点，则其他边缘节点按照类似方式依次注册。其中，图3中仅以移动终端节点、边缘节点1和边缘节点2依次注册来举例说明，实际实现时，三者可以同步注册也可以按照任意顺序注册，本技术对此并不做限定。此后，移动终端节点发送第一请求和第一签名至边缘节点1，边缘节点2发送第二请求和第二签名至云，云验证第二签名、第一签名并返回第一响应和第三签名至边缘节点1；边缘节点2验证第三签名，并在通过时返回第二响应和第五签名至移动终端节点，移动终端节点验证第三签名和第五签名，并生成第一会话密钥，自此完成与边缘节点1之间的初始认证。此后，移动终端节点发送第三请求至边缘节点2，边缘节点2验证第四签名并返回第三响应和第七签名，移动终端节点验证第七签名，并生成第二会话密钥。至此完成边缘节点1和边缘节点2之间的切换认证。
104.在一种可能的实施例中，令移动终端节点mn的身份为idm、公私钥对为(skm，pkm)，边缘节点e1,
…
,en的身份为id
ei
、公私钥对为(sk
ei
，pk
ei
)(i＝1,
…
,n)，云c的公私钥对为(skc，pkc)；令g表示定义在有限素数域上的椭圆曲线群的素数阶子裙，p表示群的阶，p表示群的基点，z
p
表示整数集合[1,p]，[a]q表示椭圆曲线上的标量乘运算、即求点q的a倍点，||表示字符串连接运算，sign(m||ts,sk}输出私钥sk对消息m的签名，very(m,σ,pk)输出公钥
pk验证签名σ的结果，ts表示当前时间的时间戳。则上述切换认证方法包括：
[0105]
(1)、mn随机生成临时私钥tskm∈z
p
，计算临时公钥tpkm＝[tskm]p，生成认证密钥协商请求req1＝idm||id
e1
||tpkm，签名
[0106]
σ1＝sign(req1||ts,skm)，并发送{req1,σ1}给e1；
[0107]
(2)、e1检查ts是否有效，生成req2＝req1||σ1||id
e1
，计算σ2＝
[0108]
sign(req2||ts,sk
e1
)，并发送{req2,σ2}给c；
[0109]
(3)、c检查ts是否有效，计算very(req2,σ2,pk
e1
)，若输出1则σ2有效，再计算ver1＝very(req1,σ1,pkm)，若σ1有效，生成ack1＝pk
e1
,σ3＝
[0110]
sign(ack1||ts,skc)，并发送{ack1,σ3}给e1；
[0111]
(4)、e1检查ts是否有效，计算very(ack1,σ3,pkc)，若输出1则σ3有效，e1实现了对mn的认证，然后生成tsk
e1
，计算tpk
e1
＝[tsk
e1
]p，然后计算共享秘密secret1＝[tsk
e1
]tpkm，会话密钥sessionkey
m-e1
＝kdf(secret1)，其中kdf为密钥提取函数，再生成
[0112]
ack2＝ack1||σ3||tpk
e1
||pk
e2
||idm||id
e1
||ticket1和
[0113]
σ5＝sign(tpk
e1
||pk
e2
||idm||id
e1
||ticket1||ts,sk
e1
)，其中切换认证密钥协商票据ticket1＝tpkm||idm||id
e2
||σ4，σ4＝sign(tpkm||idm||id
e2
||ts,sk
e1
)，并发送{ack2,σ5}给mn；
[0114]
(5)、mn检查ts是否有效，计算very(ack1,σ3,pkc)，若输出1则σ3有效，计算very(tpk
e1
||pk
e2
||idm||id
e1
||ticket1,σ5,pk
e1
)，若输出1则σ5有效，mn实现了对e1的认证，然后计算secret1＝[tskm]tpk
e1
，mn和e1协商出会话密钥sessionkey
m-e1
＝kdf(secret1)；
[0115]
(6)、mn生成req3＝ticket1，发送给e2；
[0116]
(7)、e2检查ts是否有效，计算very(tpkm||idm||id
e2
,σ4,pk
e1
)，若输出1则σ4有效，e2实现了对mn的认证，然后生成tsk
e2
，计算tpk
e2
＝[tsk
e2
]p，然后计算secret2＝[tsk
e2
]tpkm，会话密钥sessionkey
m-e2
＝kdf(secret2)，然后生成ack3＝tpk
e2
||pk
e3
||idm||id
e2
||ticket2和σ7＝sign(ack3||ts,sk
e2
)，其中ticket2＝tpkm||idm||id
e3
||σ6，σ6＝sign(tpkm||idm||id
e3
||ts,sk
e2
)并发送{ack3,σ7}给mn；
[0117]
(8)、mn检查ts是否有效，计算very(ack3,σ7,pk
e2
)，若输出1则σ7有效，mn实现了对e2的认证；
[0118]
(9)、mn计算secret2＝[tskm]tpk
e2
，由此mn和e2协商出会话密钥sessionkey
m-e2
＝kdf(secret2)。
[0119]
综上所述，通过在切换认证过程中加入密钥协商所需的计算和参数，并不仅仅将切换认证和密钥协商划分为两个独立的阶段，减少了通信次数降低了通信代价。同时，本技术中移动终端节点与各个边缘节点分别建立会话密钥，提高了会话密钥的安全性。
[0120]
本技术另一实施例提供了一种切换认证方法，该方法用于图1中的移动终端节点中，该方法包括：
[0121]
第一，发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一边缘节点根据云服务器返回的第一响应和所述第一响应所对应的第三签名返回第二响应和所述第二响应所对应的第五签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；所述第二响应中包括所述第一边缘节点的第二临时公钥以及第一切换认证密钥协商票
据，所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端节点的第一临时公钥的签名；
[0122]
第二，接收所述第一边缘节点发送的第二响应以及所述第二响应所对应的第五签名；
[0123]
第三，对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；
[0124]
第四，发送第三请求至第二边缘节点，所述第三请求中包括所述第一切换认证密钥协商票据；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；
[0125]
第五，在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。
[0126]
本实施例为上述实施例中关于移动终端节点侧的步骤，各步骤的具体实现详见上述实施例，本实施例在此不再赘述。
[0127]
本技术另一实施例提供了一种切换认证方法，该方法用于图1中的第一边缘节点中，该方法包括：
[0128]
第一，接收移动终端节点发送的第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名；
[0129]
第二，从云服务器中获取第一响应以及所述第一响应所对应的第三签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；
[0130]
第三，在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；所述第二响应中包括所述第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名；所述第二响应用于指示所述移动终端节点根据所述第二响应执行与相邻边缘节点的切换。
[0131]
本实施例为上述实施例中关于第一边缘节点侧的步骤，各步骤的具体实现详见上述实施例，本实施例在此不再赘述。
[0132]
本技术另一实施例提供了一种切换认证方法，该方法用于图1中的第二边缘节点中，该方法包括：
[0133]
第一，接收移动终端节点发送的第三请求，所述第三请求中包括相邻的第一边缘节点返回的第一切换认证密钥协商票据；所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端的第一临时公钥的签名；
[0134]
第二，对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥，发送第三响应以及所述第三响应所对应的第七签
名；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；所述第三响应用于指示所述移动终端节点根据所述第三响应执行与相邻边缘节点的切换。
[0135]
本实施例为上述实施例中关于第二边缘侧的步骤，各步骤的具体实现详见上述实施例，本实施例在此不再赘述。
[0136]
本技术还提供了一种切换认证装置，所述装置包括存储器和处理器，所述存储器中存储有至少一条程序指令，所述处理器通过加载并执行所述至少一条程序指令以实现如上所述的方法。
[0137]
本技术还提供了一种计算机存储介质，所述计算机存储介质中存储有至少一条程序指令，所述至少一条程序指令被处理器加载并执行以实现以上所述的方法。
[0138]
以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0139]
以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

技术特征：
1.一种切换认证方法，其特征在于，所述方法包括：移动终端节点发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名；所述第一边缘节点从云服务器中获取第一响应以及所述第一响应所对应的第三签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；所述第二响应中包括所述第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名；所述移动终端节点对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；所述移动终端节点发送第三请求至第二边缘节点，所述第三请求中包括所述第一切换认证密钥协商票据；所述第二边缘节点对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥，发送第三响应以及所述第三响应所对应的第七签名；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；所述移动终端节点在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。2.根据权利要求1所述的方法，其特征在于，所述第一边缘节点从云服务器中获取第一响应以及所述第一响应所对应的第三签名，包括：所述第一边缘节点发送第二请求和所述第二请求所对应的第二签名至所述云服务器，所述第二请求中包括所述第一请求和所述第一签名；所述第二签名为通过所述第一边缘节点的私钥对所述第二请求的签名；所述第一边缘节点接收所述云服务器返回的所述第一响应以及所述第三签名。3.根据权利要求1所述的方法，其特征在于，所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，包括：所述第一边缘节点在对所述第三签名认证通过时，生成所述第一边缘节点的第二临时私钥和第二临时公钥；所述第一边缘节点根据所述第二临时私钥和所述第一临时公钥生成得到与所述移动终端节点之间的第一会话密钥。4.根据权利要求3所述的方法，其特征在于，所述第一边缘节点根据所述第二临时私钥和所述第一临时公钥生成得到与所述移动终端节点之间的第一会话密钥，包括：根据所述第二临时私钥和所述第一临时公钥，计算第一共享密钥；
通过密钥提取函数从所述第一共享密钥中提取得到所述第一会话密钥。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述移动终端节点发送第一注册请求至所述云服务器，所述云服务服务器在接收到所述第一注册请求之后，生成并存储所述移动终端节点的公钥，反馈所述移动终端的公钥以及所述云服务器的公钥至所述移动终端节点；所述移动终端节点接收并存储所述移动终端的公钥以及所述云服务器的公钥。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：目标边缘节点发送第二注册请求至所述云服务器，所述云服务服务器在接收到所述第二注册请求之后，生成并存储所述目标边缘节点的公钥，反馈所述目标边缘节点的公钥以及所述云服务器的公钥至所述目标边缘节点；所述目标边缘节点为所述第一边缘节点和/或所述第二边缘节点；所述目标边缘节点接收并存储所述目标边缘节点的公钥以及所述云服务器的公钥。7.一种切换认证方法，其特征在于，用于移动终端节点中，所述方法包括：发送第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一边缘节点根据云服务器返回的第一响应和所述第一响应所对应的第三签名返回第二响应和所述第二响应所对应的第五签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；所述第二响应中包括所述第一边缘节点的第二临时公钥以及第一切换认证密钥协商票据，所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端节点的第一临时公钥的签名；接收所述第一边缘节点发送的第二响应以及所述第二响应所对应的第五签名；对所述第三签名和所述第五签名认证通过时，通过所述第一临时私钥和所述第二临时公钥生成得到与所述第一边缘节点之间的所述第一会话密钥；发送第三请求至第二边缘节点，所述第三请求中包括所述第一切换认证密钥协商票据；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；在对所述第六签名和所述第七签名认证通过时，通过所述第一临时私钥和所述第三临时公钥生成得到与所述第二边缘节点之间的所述第二会话密钥。8.一种切换认证方法，其特征在于，用于第一边缘节点中，所述方法包括：接收移动终端节点发送的第一密钥协商请求以及所述第一密钥协商请求所对应的第一签名至第一边缘节点；所述第一请求包括：所述移动终端节点的第一临时公钥；所述第一签名为通过所述移动终端的私钥对所述第一请求的签名；从云服务器中获取第一响应以及所述第一响应所对应的第三签名；所述第一响应包括所述第一边缘节点的公钥；所述第三签名为所述云服务器通过所述云服务器的私钥对所述第一响应的签名；在对所述第三签名认证通过时，生成所述第一边缘节点第二临时公钥以及与所述移动终端节点之间的第一会话密钥，反馈第二响应和所述第二响应所对应的第五签名至所述移动终端节点；所述第二响应中包括所述第二临时公钥以及第一切换认证密钥协商票据，所
述第一切换认证密钥协商票据包括所述第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述第一临时公钥的签名；所述第二响应用于指示所述移动终端节点根据所述第二响应执行与相邻边缘节点的切换。9.一种切换认证方法，其特征在于，用于第二边缘节点中，所述方法包括：接收移动终端节点发送的第三请求，所述第三请求中包括相邻的第一边缘节点返回的第一切换认证密钥协商票据；所述第一切换认证密钥协商票据包括所述移动终端节点的第一临时公钥和第四签名，所述第四签名为通过所述第一边缘节点的私钥对所述移动终端的第一临时公钥的签名；对所述第四签名进行认证，生成所述第二边缘节点的第三临时公钥以及与所述移动终端节点之间的第二会话密钥，发送第三响应以及所述第三响应所对应的第七签名；所述第三响应中包括所述第三临时公钥以及第二切换认证密钥协商票据，所述第二切换认证密钥协商票据包括所述第一临时公钥和第六签名，所述第六签名为通过私钥对所述第一临时公钥的签名；所述第三响应用于指示所述移动终端节点根据所述第三响应执行与相邻边缘节点的切换。10.一种切换认证装置，其特征在于，所述装置包括存储器和处理器，所述存储器中存储有至少一条程序指令，所述处理器通过加载并执行所述至少一条程序指令以实现如权利要求7至9任一所述的方法。11.一种计算机存储介质，其特征在于，所述计算机存储介质中存储有至少一条程序指令，所述至少一条程序指令被处理器加载并执行以实现如权利要求1至9任一所述的方法。

技术总结
本申请公开了一种切换认证方法、装置和存储介质，属于移动通信技术领域，所述方法包括：移动终端节点在需要切换认证时，发送密钥协商请求至对应的边缘节点，进而与切换前的第一边缘节点和切换后的第二边缘节点分别独立生成会话间的会话密钥，减少了通信次数降低了通信代价。同时，本申请中移动终端节点与各个边缘节点分别建立会话密钥，提高了会话密钥的安全性。性。性。


技术研发人员：夏雨欣 张杰 文家乐 董彧佶
受保护的技术使用者：西交利物浦大学
技术研发日：2023.07.31
技术公布日：2023/10/15