1.   引言

随着物联网和云计算技术的飞速发展，原有的把终端产生的数据全部交由云中心来存储和处理的方式，不仅会造成云中心数据的堆积、无效数据占用大量存储空间，还存在服务时延过长的问题。雾计算不同于云计算的集中式，它是一种分布式计算模式^[1]。雾计算层位于云层和终端层之间^[2]。雾计算层由多个雾计算节点(Fog Node, FN)组成，雾计算节点可以是路由器、基站、机顶盒，甚至智能终端等拥有一定计算和存储能力的设备^[3]。当终端节点(Terminal Node, TN)首次向雾节点申请服务时，需要完成初始化认证以确保只有合法节点接入雾节点，从而获得服务。随着物联网的进一步发展，人们对终端移动性的要求也越来越高^[4]。终端节点移动到新雾节点时，需要新雾节点对终端节点重新认证，即切换重认证。如果切换重认证效率低，认证过程复杂，则必然造成较大的计算开销、时延开销^[5,6]。

又由于雾节点和终端节点都是能量和计算能力有限的功能单元，传统的数字签名安全认证方法往往要求高计算能力和高能量消耗，所以传统的数字签名方法已经不再适用于雾计算中的安全节点认证^[7]。文献[8,9]提出了一种“认证Ticket”的概念，文章采用对称密码体制，安全性不够强，初始化认证需要基站(Base Station, BS)的参与。文献[10]采用代理节点的认证模型，同样需要基站的参与。文献[11]无需基站的参与，提出了一种认证服务中心思想，但分布式的认证结构需要多个雾节点同时参与才能完成终端节点的认证。文献[12]提出了一种基于组合公钥(Combined Public Key, CPK)和切换预认证的认证方案。然而，在此方案中终端节点每次都需要预测移动位置，切换重认证过程没有为下次认证做准备，再次认证都需要进行切换预认证。

基于以上不足，本文提出了一种轻量且高效的适用于雾计算环境的终端节点切换认证协议，分别讨论了终端节点首次接入雾节点的初始化认证和终端节点移动后的切换重认证。协议通过基于双因子组合公钥(Two Factor Combined Public Key, TF-CPK)的机制，利用极小的存储空间即可实现大规模密钥的分发与管理，实现大量终端节点的初始化认证，与其他同类方法相比节省了存储空间；与采用第1代CPK技术相比，设置更新密钥和2阶复合机制为密钥更换提供了便利，同时在数字签名中保护了用户隐私。初始化认证结束后，雾节点向终端节点发放认证Ticket，在切换重认证时只需利用认证Ticket即可快速完成认证，这大大减少了认证所需时间。同现有物联网和雾计算中的终端节点认证协议相比，该协议具有更小的存储空间和更低的认证时延。

2.   预备知识

2.1   TF-CPK基本原理

CPK是组合公钥的简称，是在椭圆曲线密码(Elliptic Curve Cryptosystems, ECC)上构建的基于标识的密码体制。它依据离散对数难题构建公钥矩阵和私钥矩阵，采用散列函数与密码变换将实体的身份标识映射为相应矩阵的行坐标和列坐标，并根据该坐标选取矩阵中的元素进行组合以生成大量的公私钥对，从而实现大规模密钥的分发与管理^[13]。组合公钥2.0版本采用标识密钥和随机密钥相复合的公钥体制，因此也称为双因子组合公钥体制。标识密钥由实体的标识通过组合矩阵生成，标记为(IPK, isk)。其中随机密钥又分为系统密钥和更新密钥。系统密钥是系统定义的随机序列，标记为(SPK, ssk)。更新密钥由个人定义，标记为(UPK, usk)。

以实体A为例，其标识密钥(IPK_A, isk_A)的产生过程如下：在有限域F_p上，椭圆曲线$E:{y^2} \equiv \left( {{x^3} + ax + b} \right)od p$由参数$\left( {a,b,G,n,p} \right)$定义，其中$a,b$是系数，$a,b,x,y \in {F_p}$, $G$为加法群的基点，$n$是以$G$为基点的群的阶。令任意小于$n$的整数$r$为私钥，则$rG = R$为对应的公钥。在给定椭圆曲线参数$\left( {a,b,G,n,p} \right)$的基础上，可以构建出相应的私钥矩阵${\bf{skm}}$和公钥矩阵${\bf{PKM}}$。令${\bf{skm}}$为$m \times h$大小的矩阵，矩阵的元素记为${r_{i,j}}\left( {1 \le i \le m,1 \le j \le h} \right)$。公钥矩阵${\bf{PKM}}$的元素记为${R_{i,j}}$，由$rG = R$得到公钥矩阵${\bf{PKM}}$。任意多对公私钥之间，其私钥之和与公钥之和构成新的公私钥对。标识到组合矩阵坐标的映射是通过对标识的HASH变换实现的。以$m = h = 32$为例，将HASH输出调整成长度为165 bit的映射序列YS，构成${w_0},{w_1}, ··· ,{w_{32}}$的字符串，决定列坐标和行坐标。${w_0}$的内容$u$指示列的起始坐标，以后的列坐标在前列坐标基础上加1实现。${w_1} \sim {w_{32}}$依次指示行坐标。标识私钥isk的计算在密钥管理中心(Key Manage Center, KMC)进行。设第$i$次行坐标用${w_i}$表示，列坐标用$\left( {u + i} \right)od 32$表示，那么标识私钥的计算以有限域${F_p}$上的倍数加法实现，实体A的标识私钥为${\rm{is}}{{\rm{k}}_A} = \displaystyle\sum\nolimits_{i = 1}^{32} {r\left[ {{w_i},{{\left( {u + i} \right)}_{32}}} \right]} od n$。标识公钥的计算以椭圆曲线$E:{y^2} \equiv \left( {{x^3} + ax + b} \right)od p$上的倍点加法实现，即${\rm{IP}}{{\rm{K}}_A} = \displaystyle\sum\nolimits_{i = 1}^{32} {R\left[ {{w_i},{{\left( {u + i} \right)}_{32}}} \right]}$。至此，实体A的标识密钥(${\rm{IP}}{{\rm{K}}_A}$, ${\rm{is}}{{\rm{k}}_A}$)产生完成。TF-CPK除设置标识密钥、随机密钥和更新密钥外，还采用1阶复合、2阶复合的密钥机制。

密钥的1阶复合过程如下：由KMC为实体A生成一对系统密钥(${\rm{SP}}{{\rm{K}}_A}$, ${\rm{ss}}{{\rm{k}}_A}$)。1阶组合私钥${\rm{csk}}_A'$是标识私钥${\rm{is}}{{\rm{k}}_A}$和系统私钥${\rm{ss}}{{\rm{k}}_A}$的复合，由KMC计算得到。KMC将1阶组合私钥${\rm{csk}}_A'$和系统公钥${\rm{SP}}{{\rm{K}}_A}$分发给实体A，同时删除系统私钥${\rm{ss}}{{\rm{k}}_A}$。

密钥的2阶复合过程如下：设置更新密钥为密钥更换提供了便利，同时在数字签名中保护了用户隐私。实体A随机定义一对更新密钥(${\rm{UP}}{{\rm{K}}_A}$, ${\rm{us}}{{\rm{k}}_A}$)。更新密钥由实体A保管，保留到下次变更为止。2阶组合私钥${\rm{csk}}_A''$为1阶组合私钥${\rm{csk}}_A'$和更新私钥${\rm{us}}{{\rm{k}}_A}$的复合，由签名方实体A计算得到。伴随公钥${\rm{AP}}{{\rm{K}}_A}$是系统公钥${\rm{SP}}{{\rm{K}}_A}$和更新公钥${\rm{UP}}{{\rm{K}}_A}$的复合，由签名方实体A计算得到。2阶组合公钥${\rm{CPK}}_A''$是标识公钥${\rm{IP}}{{\rm{K}}_A}$和伴随公钥${\rm{AP}}{{\rm{K}}_A}$的复合，由验证方计算得到。至此，实体A的2阶组合密钥(${\rm{CPK}}_A''$, ${\rm{csk}}_A''$)产生完成。

2.2   认证Ticket

认证Ticket是一种认证凭证，用于终端节点的切换重认证。终端节点初始化认证阶段，初始雾节点对终端节点认证后，向其颁发认证Ticket，内容包括终端节点${\rm{ID}}$，随机数$R$，重认证会话密钥${K_{T,F}}$和有效期限时间戳${\rm{TS}}$，并用自身认证密钥${\rm{AK}}$加密。认证密钥${\rm{AK}}$在雾节点相互认证阶段共享给自身的邻居雾节点。终端节点重认证阶段，终端节点向新雾节点发送认证Ticket，新雾节点通过认证密钥${\rm{AK}}$解密得到认证Ticket，通过验证认证Ticket的有效性即可完成终端节点的重认证。图1为${\rm{F}}{{\rm{N}}_1}$共享认证密钥示意图。

图 1  ${\rm{F}}{{\rm{N}}_1}$共享认证密钥${\rm{A}}{{\rm{K}}_{{F_1}}}$

下载: 全尺寸图片 幻灯片

3.   协议框架模型

如图2所示，雾计算终端节点认证模型主要由可信中心(Trust Center, TC)、雾节点(FN)和终端节点(TN)组成。协议分为4个阶段：(1)系统初始化；(2)雾节点邻居节点发现及认证密钥交换；(3)终端节点初始化认证；(4)终端节点切换重认证。为简化协议，本文给出以下假设：(1) TC是可信实体，诚实地响应每一个注册请求；(2) 同传统网络一样，FN与TC, TN与TC之间存在安全信道。

图 2  雾计算终端节点认证模型

下载: 全尺寸图片 幻灯片

4.   协议设计

本文使用的相关符号定义如下：$R$代表选取的随机数，${\rm{I}}{{\rm{D}}_A}$代表$A$的身份标识，$\left\langle {{\rm{P}}{{\rm{K}}_A},{\rm{S}}{{\rm{K}}_A}} \right\rangle$代表$A$的一对公私钥，TS为时间戳。本文使用的相关运算定义如下：${\rm{E}}\left( {K,m} \right)$和${\rm{D}}\left( {K,c} \right)$分别代表使用对称密钥进行加密/解密；${\rm{ENC}}\left( {{\rm{SK}},m} \right)$和${\rm{DNC}}\left( {{\rm{PK}},c} \right)$分别代表使用非对称密钥进行加密/解密；${\rm{SI}}{{\rm{G}}_A}\left( m \right)$代表$A$对消息$M$进行数字签名；${\rm{H}}\left( \cdot \right)$代表标准散列算法^[14]。

4.1   系统初始化

雾节点FN和终端节点TN向可信中心TC提出注册申请，TC验证完节点合法性后，通过安全信道将ID, 公钥矩阵PKM, 1阶组合私钥${\rm{cs}}{{\rm{k}}'}$, 系统公钥${\rm{SPK}}$, 标准散列函数${\rm{H}}\left( \cdot \right)$, 网络共享密钥${K_N}$和椭圆曲线参数$\left( {a,b,G,n,p} \right)$发送给雾节点和终端节点。

4.2   雾节点邻居节点发现及认证密钥交换

雾节点通过周期性的发送广播包发起与相邻雾节点间的相互认证，并在认证过程中建立邻居雾节点列表NFL。以${\rm{F}}{{\rm{N}}_1}$和${\rm{F}}{{\rm{N}}_2}$为例，参见步骤(1)到步骤(5)。

(1) 雾节点${\rm{F}}{{\rm{N}}_1}$发送广播数据包，如图3所示。

图 3  ${\rm{F}}{{\rm{N}}_1}$发送广播数据包

下载: 全尺寸图片 幻灯片

${\rm{F}}{{\rm{N}}_1} \to {\rm{Broadcast}}$: ${\rm{E}}\left( {{K_N},\;{u_1}\left\| {{v_1}} \right.} \right)$, 其中${u_1} = {\rm{I}}{{\rm{D}}_{{F_1}}}\left\| {{\rm{AP}}{{\rm{K}}_{{F_1}}}} \right.\left\| {{\rm{T}}{{\rm{S}}_1}} \right.$, ${v_1} = {\rm{H}}\left( {{u_1}} \right)$.

(2) 雾节点${\rm{F}}{{\rm{N}}_2}$收到${\rm{F}}{{\rm{N}}_1}$的广播数据包后，用${K_N}$解密数据包，获得${\rm{I}}{{\rm{D}}_{{F_1}}}$，检查自己的邻居雾节点列表${\rm{NF}}{{\rm{L}}_{{F_2}}}$，如果已经包含${\rm{F}}{{\rm{N}}_1}$，则忽略该广播。否则，利用${\rm{I}}{{\rm{D}}_{{F_1}}}$和${\rm{AP}}{{\rm{K}}_{{F_1}}}$计算${\rm{F}}{{\rm{N}}_1}$的2阶组合公钥${\rm{CPK}}_{{F_1}}''$，生成会话密钥${K_{{F_1},{F_2}}}$, 认证密钥${\rm{A}}{{\rm{K}}_{{F_2}}}$和时间戳${\rm{T}}{{\rm{S}}_2}$。${\rm{F}}{{\rm{N}}_2}$向${\rm{F}}{{\rm{N}}_1}$发送消息。

${\rm{F}}{{\rm{N}}_2} \to {\rm{F}}{{\rm{N}}_1}$: ${\rm{E}}\left({K_N},\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{\rm{AP}}{{\rm{K}}_{{T_1}}}} \right.\left\| {{u_7}} \right. \left\| {{v_7}} \right. \right)$，其中${u_6} = {\rm{SIG}}\left( {{\rm{csk}}_{{T_1}}'',\;{K_{{T_1},{F_1}}}\left\| {{\rm{T}}{{\rm{S}}_4}} \right.} \right)$, ${u_7} = {\rm{ENC}}\left( {{\rm{CPK}}_{{F_1}}'',{u_6}\left\| {{\rm{T}}{{\rm{S}}_1}} \right.} \right)$, ${v_3} = {\rm{H}}\left( {\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right. \left\| {\rm{AP}}{{\rm{K}}_{{F_2}}} \left\| {{u_3}} \right. \left\| {{v_3}} \right. \right. \right)$。

(3) ${\rm{F}}{{\rm{N}}_1}$收到${\rm{F}}{{\rm{N}}_2}$发送的消息后，用${K_N}$解密数据包，利用${\rm{csk}}_{{F_1}}''$解密得到${u_2}$，验证${\rm{F}}{{\rm{N}}_2}$的签名得到${K_{{F_1},{F_2}}}$, ${\rm{A}}{{\rm{K}}_{{F_2}}}$和${\rm{T}}{{\rm{S}}_2}$。${\rm{F}}{{\rm{N}}_1}$认证了${\rm{F}}{{\rm{N}}_2}$且有了${\rm{F}}{{\rm{N}}_2}$的认证密钥${\rm{A}}{{\rm{K}}_{{F_2}}}$, ${\rm{F}}{{\rm{N}}_1}$更新${\rm{NF}}{{\rm{L}}_{{F_1}}}$，生成认证密钥${\rm{A}}{{\rm{K}}_{{F_1}}}$和时间戳${\rm{T}}{{\rm{S}}_3}$。${\rm{F}}{{\rm{N}}_1}$向${\rm{F}}{{\rm{N}}_2}$发送消息。

${\rm{F}}{{\rm{N}}_1} \to {\rm{F}}{{\rm{N}}_2}$：${\rm{E}}\left( {{K_N},\;{\rm{I}}{{\rm{D}}_{{F_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{u_4}} \right.\left\| {{v_4}} \right.} \right)$，其中${u_4} = {\rm{E}}\left( {{K_{{F_1},{F_2}}},\;{\rm{A}}{{\rm{K}}_{{F_1}}}\left\| {{\rm{T}}{{\rm{S}}_2}\left\| {{\rm{T}}{{\rm{S}}_3}} \right.} \right.} \right)$, ${v_4} = {\rm{H}} \left( {{\rm{I}}{{\rm{D}}_{{F_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{u_4}} \right.} \right)$。

(4) ${\rm{F}}{{\rm{N}}_2}$解密得到${\rm{A}}{{\rm{K}}_{{F_1}}}$和时间戳${\rm{T}}{{\rm{S}}_3}$。${\rm{F}}{{\rm{N}}_2}$认证了${\rm{F}}{{\rm{N}}_1}$且有了${\rm{F}}{{\rm{N}}_1}$的认证密钥${\rm{A}}{{\rm{K}}_{{F_1}}}$, ${\rm{F}}{{\rm{N}}_2}$更新${\rm{NF}}{{\rm{L}}_{{F_2}}}$。${\rm{F}}{{\rm{N}}_2}$向${\rm{F}}{{\rm{N}}_1}$发送确认消息。

${\rm{F}}{{\rm{N}}_2} \to {\rm{F}}{{\rm{N}}_1}$: ${\rm{E}}\left( {{K_N}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{u_5}} \right.\left\| {{v_5}} \right.} \right)$, 其中${u_5} = {\rm{E}}\left( {{K_{{F_1},{F_2}}}{\rm{,}}\;{\rm{T}}{{\rm{S}}_3}} \right)$, ${v_5} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{u_5}} \right.} \right)$。

(5) ${\rm{F}}{{\rm{N}}_1}$解密得到${\rm{T}}{{\rm{S}}_3}$，即可确认${\rm{F}}{{\rm{N}}_2}$已经收到${\rm{A}}{{\rm{K}}_{{F_1}}}$。至此，${\rm{F}}{{\rm{N}}_1}$和${\rm{F}}{{\rm{N}}_2}$完成相互认证。

其他雾节点周期性的进行上述操作，因此每个雾节点都能很快地建立起邻居雾节点列表NFL，并与邻居雾节点完成认证密钥交换，如图4所示。

图 4  邻居雾节点密钥交换

下载: 全尺寸图片 幻灯片

4.3   终端节点初始化认证

终端节点初始化认证过程如图5所示。

图 5  终端节点初始化认证

下载: 全尺寸图片 幻灯片

(1) 终端节点${\rm{T}}{{\rm{N}}_1}$收到来自雾节点${\rm{F}}{{\rm{N}}_1}$的广播数据包后，计算${\rm{F}}{{\rm{N}}_1}$的2阶组合公钥${\rm{CPK}}_{{F_1}}''$，生成会话密钥${K_{{T_1},{F_1}}}$和时间戳${\rm{T}}{{\rm{S}}_4}$。${\rm{T}}{{\rm{N}}_1}$向${\rm{F}}{{\rm{N}}_1}$发送消息。

${\rm{T}}{{\rm{N}}_1} \to {\rm{F}}{{\rm{N}}_1}$：${\rm{E}}\left( {K_N},\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{\rm{AP}}{{\rm{K}}_{{T_1}}}} \right.\left\| {{u_7}} \right. \left\| {{v_7}} \right. \right)$，其中${u_6} = {\rm{SIG}}\left( {{\rm{csk}}_{{T_1}}'',\;{K_{{T_1},{F_1}}}\left\| {{\rm{T}}{{\rm{S}}_4}} \right.} \right)$, ${u_7} = {\rm{ENC}}\left( {{\rm{CPK}}_{{F_1}}'',{u_6}\left\| {{\rm{T}}{{\rm{S}}_1}} \right.} \right)$, ${v_7} = {\rm{H}}\left( {\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{\rm{AP}}{{\rm{K}}_{{T_1}}}} \right.\right.$$\left.\left\| {{u_7}} \right. \right)$。

(2) ${\rm{F}}{{\rm{N}}_1}$利用${\rm{I}}{{\rm{D}}_{{T_1}}}$和${\rm{AP}}{{\rm{K}}_{{T_1}}}$计算${\rm{T}}{{\rm{N}}_1}$的2阶组合公钥，解密得到会话密钥${K_{{T_1},{F_1}}}$。${\rm{F}}{{\rm{N}}_1}$认证了${\rm{T}}{{\rm{N}}_1}$。${\rm{F}}{{\rm{N}}_1}$为${\rm{T}}{{\rm{N}}_1}$生成重认证会话密钥${K_{{T_1},{F_n}}}$, ${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$, 随机数${R_1}$和时间戳${\rm{T}}{{\rm{S}}_5}$。${R_1}$用于${\rm{T}}{{\rm{N}}_1}$, ${\rm{F}}{{\rm{N}}_1}$以及重认证时的消息确认。${\rm{T}}{{\rm{S}}_5}$用于指示${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$的有效期限。${\rm{F}}{{\rm{N}}_1}$向${\rm{T}}{{\rm{N}}_1}$发送消息。

${\rm{F}}{{\rm{N}}_1} \to {\rm{T}}{{\rm{N}}_1}$：${\rm{E}}\left( {{K_N},\;{\rm{I}}{{\rm{D}}_{{F_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{T_1}}}} \right.\left\| {{u_8}} \right.\left\| {{v_8}} \right.} \right)$，其中${u_8} = {\rm{E}}\left( {K_{{T_1},{F_1}}},\;{\rm{NF}}{{\rm{L}}_{{F_1}}}\left\| {{K_{{T_1},{F_n}}}} \right.\left\| {{\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}} \right.\left\| {{R_1}} \right. \left\| {{\rm{T}}{{\rm{S}}_4}} \right. \right)$, ${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}} = {\rm{E}}\left( {\rm{A}}{{\rm{K}}_{{F_1}}},\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{K_{{T_1},{F_n}}}} \right. \left\| {R_1} \left\| {{\rm{T}}{{\rm{S}}_5}} \right.\right. \right)$, ${v_8} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{T_1}}}} \right.\left\| {{u_8}} \right.} \right)$。

(3) ${\rm{T}}{{\rm{N}}_1}$认证了${\rm{F}}{{\rm{N}}_1}$，并且获得了${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$。${\rm{T}}{{\rm{N}}_1}$用${K_{{T_1},{F_1}}}$加密${R_1}$，向${\rm{F}}{{\rm{N}}_1}$发送确认消息。

${\rm{T}}{{\rm{N}}_1} \to {\rm{F}}{{\rm{N}}_1}$：${\rm{E}}\left( {{K_N},\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{u_9}} \right.\left\| {{v_9}} \right.} \right)$, 其中${u_8} = {\rm{E}}\left( {{K_{{T_1},{F_1}}},\;{R_1}} \right)$, ${v_9} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{u_9}} \right.} \right)$。

(4) ${\rm{F}}{{\rm{N}}_1}$解密得到${R_1}$，即可确认${\rm{T}}{{\rm{N}}_1}$已经收到相应信息。

至此，终端节点${\rm{T}}{{\rm{N}}_1}$的初始化认证完成。

4.4   终端节点切换重认证

(1) 当${\rm{T}}{{\rm{N}}_1}$移动到${\rm{F}}{{\rm{N}}_2}$附近时，收到${\rm{F}}{{\rm{N}}_2}$发送的广播数据包，则向${\rm{F}}{{\rm{N}}_2}$发送消息。

${\rm{T}}{{\rm{N}}_1} \to {\rm{F}}{{\rm{N}}_2}$：${\rm{E}}\left( {{K_N},{u_{10}}\left\| {{v_{10}}} \right.} \right)$，其中${u_{10}} = {\rm{I}}{{\rm{D}}_{{T_1}}} \left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{\rm{I}}{{\rm{D}}_{{F_1}}}} \right.\left\| {{\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}} \right.\left\| {{\rm{NF}}{{\rm{L}}_{{F_1}}}} \right.$, ${v_{10}} = {\rm{H}}\left( {{u_{10}}} \right)$。

情况1：${\rm{F}}{{\rm{N}}_2}$是${\rm{F}}{{\rm{N}}_1}$的邻居雾节点，如图6所示。

图 6  ${\rm{F}}{{\rm{N}}_2}$是${\rm{F}}{{\rm{N}}_1}$的邻居雾节点

下载: 全尺寸图片 幻灯片

(2) ${\rm{F}}{{\rm{N}}_2}$用${\rm{A}}{{\rm{K}}_{{F_1}}}$解密${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$，得到终端节点${\rm{I}}{{\rm{D}}_{{T_1}}}$，会话密钥${K_{{T_1},{F_n}}}$，随机数${R_1}$，有效期限时间戳${\rm{T}}{{\rm{S}}_5}$。${\rm{F}}{{\rm{N}}_2}$认证了${\rm{T}}{{\rm{N}}_1}$。${\rm{F}}{{\rm{N}}_2}$根据${\rm{T}}{{\rm{S}}_5}$验证该${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$是否在有效期限内，如果不在，回复${\rm{T}}{{\rm{N}}_1}$进行初始化认证；如果在有效期限内，${\rm{F}}{{\rm{N}}_2}$为${\rm{T}}{{\rm{N}}_1}$生成下次重认证会话密钥${K_{{T_1},{F_n}'}}$，随机数${R_2}$，有效时间戳${\rm{T}}{{\rm{S}}_6}$和${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_2}}}$。${\rm{F}}{{\rm{N}}_2}$向${\rm{T}}{{\rm{N}}_1}$发送消息。

${\rm{F}}{{\rm{N}}_2} \to {\rm{T}}{{\rm{N}}_1}$：${\rm{E}}\left( {{K_N},\;{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{T_1}}}} \right.\left\| {{u_{11}}} \right.\left\| {{v_{11}}} \right.} \right)$，其中${u_{11}} = {\rm{E}}\left( {K_{{T_1},{F_n}}},\;{\rm{NF}}{{\rm{L}}_{{F_2}}}\left\| {{K_{{T_1},F_n'}}} \right.\left\| {{\rm{Ticke}}{{\rm{t}}_{{T_1},{F_2}}}} \right. \left\| {{R_1}} \right.\left\| {{R_2}} \right. \right)$, ${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_2}}} = {\rm{E}}\left( {\rm{A}}{{\rm{K}}_{{F_2}}},\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{K_{{T_1},F_n'}}} \right. \left\| {R_2} \left\| {{\rm{T}}{{\rm{S}}_6}} \right. \right. \right)$, ${v_{11}} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{T_1}}}} \right.\left\| {{u_{11}}} \right.} \right)$。

(3) ${\rm{T}}{{\rm{N}}_1}$解密得到随机数${R_1}$，与之前存储的随机数比较，如果不同，则不信任${\rm{F}}{{\rm{N}}_2}$；如果相同，${\rm{T}}{{\rm{N}}_1}$可以相信${\rm{F}}{{\rm{N}}_2}$是已经和${\rm{F}}{{\rm{N}}_1}$完成相互认证的合法雾节点，并且得到下次重认证会话密钥${K_{{T_1},{F_n}'}}$和${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_2}}}$。${\rm{T}}{{\rm{N}}_1}$向${\rm{F}}{{\rm{N}}_2}$发送确认消息。

${\rm{T}}{{\rm{N}}_1} \to {\rm{F}}{{\rm{N}}_2}$：${\rm{E}}\left( {{K_N}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{u_{12}}} \right.\left\| {{v_{12}}} \right.} \right)$，其中${u_{12}} = {\rm{E}}\left( {{K_{{T_1},{F_n}}},\;{R_2}} \right)$, ${v_{12}} = {\rm{H}}\left( {\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right. \left\| {{u_{12}}} \right. \right)$。

(4) ${\rm{F}}{{\rm{N}}_2}$解密得到${R_2}$，即可确认${\rm{T}}{{\rm{N}}_1}$已经收到${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_2}}}$和${\rm{NF}}{{\rm{L}}_{{F_2}}}$等信息，${\rm{T}}{{\rm{N}}_1}$切换重认证完成。

情况2：${\rm{F}}{{\rm{N}}_2}$不是${\rm{F}}{{\rm{N}}_1}$的邻居雾节点，如图7所示。

图 7  ${\rm{F}}{{\rm{N}}_2}$不是${\rm{F}}{{\rm{N}}_1}$的邻居雾节点

下载: 全尺寸图片 幻灯片

${\rm{F}}{{\rm{N}}_2}$将${\rm{NF}}{{\rm{L}}_{{F_2}}}$与${\rm{NF}}{{\rm{L}}_{{F_1}}}$对照，如果没有相同的雾节点，则向${\rm{T}}{{\rm{N}}_1}$返回其应进行初始化认证响应；如果有相同的雾节点，例如${\rm{F}}{{\rm{N}}_3}$，则执行以下步骤。

(5) ${\rm{F}}{{\rm{N}}_2}$向${\rm{F}}{{\rm{N}}_3}$发送辅助认证请求。

${\rm{F}}{{\rm{N}}_2} \to {\rm{F}}{{\rm{N}}_3}$：${\rm{E}}\left( {{K_N}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_3}}}} \right.\left\| {{u_{13}}} \right.\left\| {{v_{13}}} \right.} \right)$，其中${u_{13}} = {\rm{E}}\left( {{K_{{F_2},{F_3}}}{\rm{,}}\;{\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}\left\| {{\rm{T}}{{\rm{S}}_7}} \right.} \right)$, ${v_{13}} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_3}}}} \right.\left\| {{u_{13}}} \right.} \right)$。

(6) ${\rm{F}}{{\rm{N}}_3}$解密${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$，验证${\rm{T}}{{\rm{S}}_5}$是否在有效期限内，如果不在，向${\rm{F}}{{\rm{N}}_2}$返回${\rm{Ticke}}{{\rm{t}}_{{T_1},{F_1}}}$为无效信息；如果在有效期限内，${\rm{F}}{{\rm{N}}_3}$生成时间戳${\rm{T}}{{\rm{S}}_8}$，将解密得到的${\rm{I}}{{\rm{D}}_{{T_1}}}$和${R_1}$返回给${\rm{F}}{{\rm{N}}_2}$。${\rm{F}}{{\rm{N}}_3}$向${\rm{F}}{{\rm{N}}_2}$发送辅助认证响应。

${\rm{F}}{{\rm{N}}_3} \to {\rm{F}}{{\rm{N}}_2}$: ${\rm{E}}\left( {{K_N}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{F_3}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{u_{14}}} \right.\left\| {{v_{14}}} \right.} \right)$，其中${u_{14}} = {\rm{E}}\left( {{K_{{F_2},{F_3}}}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{T_1}}}\left\| {{R_1}} \right.\left\| {{\rm{T}}{{\rm{S}}_5}} \right.\left\| {{\rm{T}}{{\rm{S}}_7}\left\| {{\rm{T}}{{\rm{S}}_8}} \right.} \right.} \right)$, ${v_{14}} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_3}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_2}}}} \right.\left\| {{u_{14}}} \right.} \right)$。

(7) ${\rm{F}}{{\rm{N}}_2}$向${\rm{F}}{{\rm{N}}_3}$发送确认响应。

${\rm{F}}{{\rm{N}}_2} \!\!\to\!\! {\rm{F}}{{\rm{N}}_3}$: ${\rm{E}}\left( {{K_N}{\rm{,}}\;{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_3}}}} \!\!\right.\left\| {{u_{15}}} \right.\left\| {{v_{15}}} \right.} \right)$，其中，${u_{15}} = {\rm{E}}\left( {{K_{{F_2},{F_3}}}{\rm{,}}\;{\rm{T}}{{\rm{S}}_8}} \right)$, ${v_{15}} = {\rm{H}}\left( {{\rm{I}}{{\rm{D}}_{{F_2}}}\left\| {{\rm{I}}{{\rm{D}}_{{F_3}}}} \right.\left\| {{u_{15}}} \right.} \right)$。

(8) ${\rm{F}}{{\rm{N}}_3}$解密得到${\rm{T}}{{\rm{S}}_8}$，即可确认${\rm{F}}{{\rm{N}}_2}$已经收到辅助认证响应，${\rm{F}}{{\rm{N}}_3}$的辅助认证工作完成。

接下来继续执行情况1中的(2)(3)(4)，即可完成${{\rm{TN}}_1}$的切换重认证。

5.   协议分析

5.1   安全性分析

5.1.1   切换重认证

初始雾节点对终端节点完成初始化认证后，向其发送认证${\rm{Ticket}}$，内容包括重认证会话密钥、终端节点${\rm{ID}}$、随机数$R$和标识认证${\rm{Ticket}}$有效期限的时间戳${\rm{TS}}$，并用初始雾节点的认证密钥加密；之后，当终端节点移动到新的雾节点附近时，发送认证${\rm{Ticket}}$给新雾节点，新雾节点只需验证该认证${\rm{Ticket}}$即可完成对终端节点的切换重认证。整个切换重认证过程没有初始雾节点的参与，且为下次认证做好了准备，生成了新的认证${\rm{Ticket}}$。

5.1.2   不可跟踪性

雾节点与终端节点完成初始化认证后，采用自身的认证密钥${\rm{AK}}$加密认证${\rm{Ticket}}$，然后发送给终端节点。终端节点发生切换重认证时，只需将认证${\rm{Ticket}}$发送给新雾节点，由新雾节点利用与原雾节点共享的认证密钥${\rm{AK}}$解密${\rm{Ticket}}$，从而实现对终端节点的重认证。假设重认证发生时终端节点已经超出了初始雾节点的认证范围，此种方式下新雾节点只知道终端节点是从哪里切换来的，却并不知道终端节点将向哪个雾节点进行切换，因此基本满足终端节点的不可跟踪性。

5.1.3   抵抗单点失效

雾节点失效可以分为两种情况：第1种是雾节点自身原因；第2种是雾节点被攻破。当雾节点自身失效时，终端节点可以连接其他雾节点或者重新进行初始化认证。因此，我们只讨论雾节点被攻破的情况。假设当某个雾节点被攻破时，该雾节点的所有密钥信息被泄露。然而，每个雾节点仅保存自身和邻居雾节点的认证密钥，即使某个雾节点被攻破，影响的也仅是自身及其邻居雾节点，这有效预防了单点失效问题。

终端节点被攻破时，由于其只拥有雾节点发送的对应于自身的认证${\rm{Ticket}}$，所以也不会影响其他节点。即使攻击者拥有终端节点的认证${\rm{Ticket}}$，但是当新雾节点发现解密认证${\rm{Ticket}}$得到的终端节点${\rm{ID}}$与攻击者身份不符，就会拒绝向其提供服务。

5.2   性能分析

5.2.1   通信跳数

令t表示雾节点个数，假设终端节点只需通过一跳即可与雾节点进行通信。在终端节点初始化认证时，认证过程的通信跳数同传统方案相比如表1所示。

表 1  初始化认证通信跳数比较表

	Han 方案[8,9]	Ibriq 方案[10]	Fantacci 方案[11]	房帅磊 方案[12]	本文 协议
TN	2	2	2	2	2
FN	2t	2t	2t+1	1	1
BS	1	2	–	–	–
系统总跳数	2t+3	2t+4	2t+3	3	3

下载: 导出CSV 

| 显示表格

如表1所示，终端节点初始化认证阶段，Han方案^[8,9]、Ibriq方案^[10]和Fantacci方案^[11]耗费的开销都较大。房帅磊论文^[12]和本文协议在初始化认证过程中，终端节点通信跳数为2，雾节点通信跳数为1，BS节点不参与，总通信跳数为3，大大减少了初始化认证过程的系统开销，因此较传统认证方案有更好的性能。

在终端节点切换重认证阶段，认证过程的通信跳数同传统方案相比如表2所示。

表 2  切换重认证通信跳数比较表

	Han 方案[8,9]	Ibriq 方案[10]	Fantacci 方案[11]	房帅磊 论文[12]	本文协议
TN	2	2	2	1	2
FN	1(3)	2t	2t+1	1	1(4)
BS	–	2	–	–	–
系统总跳数	3(5)	2t+4	2t+3	2	3(6)

下载: 导出CSV 

| 显示表格

如表2所示，在终端节点切换重认证阶段，Ibriq方案^[10]、Fantacci方案^[11]与终端节点初始化认证一样，需要较大的系统开销。Han方案^[8,9]和房帅磊论文^[12]的切换重认证过程无需BS参与，系统开销小，但Fang硕士论文^[12]的方案增加了切换预认证过程，而且终端节点每次切换前需要预测移动位置，这大大增加了系统开销。本文协议通过增加认证Ticket，使得终端节点无需预测移动位置，减小了系统开销。

5.2.2   计算开销

本文协议采用非对称密码体制与对称密码体制相结合的方式，其中非对称密码采用基于ECC的TF-CPK密码技术。理论上讲，单次非对称密码加解密方式所消耗的能量必然大于对称加解密方式。然而，本文协议仅仅用非对称密码进行邻居雾节点发现和终端节点初始化认证的部分过程，切换重认证均采用认证Ticket的对称密码技术，同时终端节点无需预测移动位置，因此只需很小的计算开销。文中不再测量依赖于加密和哈希运算的计算时间，而是采用TinySEC^[15]和TinyHash^[16]的方法来实现本方案，本文初始化认证和切换重认证的计算开销比较表如表3所示。

表 3  初始化认证和切换重认证计算开销比较表

运算种类	初始化认证	切换重认证
对称加密/解密	3	2
非对称加密/解密	1	0
签名或验证	1	0
哈希运算	3	2

下载: 导出CSV 

| 显示表格

5.2.3   存储开销

下面比较本文与文中所提方案节点所需存储空间。基于文献[8]，我们假设随机数占8 Byte，密钥占16 Byte，源ID和目的ID各占1 Byte。相比于其他方案，本文方案中雾节点所需存储空间变化不大；然而，终端节点所需存储空间大大减小，仅为Han方案^[8,9]和Ibriq方案^[10]的1/3左右；同时，由于没有基站节点的参与，所以基站存储空间为零。与房帅磊论文^[12]相比，本文方案所有节点所需存储空间变化不大，但由于房帅磊论文^[12]有切换预认证过程，在通信开销、计算开销和节点移动性方面均有所限制。本文与各方案节点所需存储空间比较表如表4所示。

表 4  本文与各方案节点所需存储空间比较表(Byte)

	Han 方案[8,9]	Ibriq 方案[10]	Fantacci 方案[11]	房帅磊 论文[12]	本文协议
TN	56	68	18	19	17
FN	62	76	103	64	64
BS	92	180	0	0	0
总数	210	324	121	83	81

下载: 导出CSV 

| 显示表格

6.   结束语

本文针对当前雾计算环境下雾节点和终端节点的资源受限特性以及终端节点移动引起的切换重认证效率低等问题，提出了一种适用于雾计算环境的终端节点切换认证协议。该协议采用TF-CPK和认证Ticket相结合的方式，邻居雾节点发现以及终端节点初始化认证阶段采用TF-CPK的方式，减少了节点的信息存储量；终端节点切换重认证采用认证Ticket的对称密码体制，这提高了认证效率。通过安全性和性能分析表明，该协议相较传统的认证方案有明显的改善，能够很好地适用于资源受限的雾计算环境。