多接入边缘计算环境下身份认证与授权技术研究

作     者：纪健全 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：常晓林

授予年度：2022年

学科分类：08[工学] 0804[工学-仪器科学与技术] 080402[工学-测试计量技术及仪器] 

主      题：MEC 身份认证 授权 安全性 隐私保护 单点登录 

摘      要：多接入边缘计算(Multi-Access Edge Computing,MEC)采用云计算与IT服务环境相结合的方式在网络边缘进行部署,增强了边缘网络计算与存储能力,降低了网络运行和服务交付时延,最终实现了应用服务质量的整体提升。因此该项技术在多领域内被广泛应用。然而,MEC技术的开放性特点在满足用户对超低延迟业务服务需求的同时,也将自身暴露在不安全的环境中,从而导致资源数据所面临的安全问题日益严重。出于对MEC系统资源与隐私数据的机密性和完整性考虑,本文针对该环境下的身份认证与授权技术进行研究。本文的主要研究内容及其贡献包括以下方面:(1)提出了面向MEC环境的基于OAuth2.0的身份认证与授权机制。随着MEC技术的不断发展,互联网中各类应用系统逐渐增多,通过建设一套统一身份认证机制,实现用户只需进行一次认证,即可访问所有应用已成为必要需求。因此,本研究针对MEC环境具体特点,为保证MEC提供资源服务时系统内隐私信息的安全性,同时提升用户体验,减轻服务提供商对账户信息的管理压力,提出了一种基于OAuth2.0的身份认证与授权机制。该机制具有下列优点:(1)它通过对OAuth2.0授权协议进行扩展,使其兼容MEC环境,并最终完成单点登录操作。当用户请求多个安放于MEC系统内的第三方应用服务时,其仅需要进行一次身份认证,即可实现其他授信应用的直接访问。(2)该机制完成了使用BAN逻辑与AVISPA工具的形式化分析,并阐述了非形式化分析,证明能抵御中间人攻击、重放攻击、跨站点请求伪造(Cross Site Request Forgery,CSRF)攻击等。(2)提出了跨MEC环境的单点登录机制。由于用户的移动性特点,用户设备(User Equipment,UE)在访问MEC平台内第三方应用时面临MEC服务器间切换问题,对于不同MEC环境下同一应用服务的访问需要避免重复身份认证,同时为实现应用服务的低延迟,解决设备隐私数据的安全性问题,本研究提出了一种跨MEC环境的单点登录机制。该机制具有下列优点:(1)为确保MEC服务器切换过程中应用服务的快速响应,它提供了一种基于令牌的用户状态传输机制,从而实现只需一次用户认证即可访问不同MEC系统内的同一应用。(2)该机制还设计了一个基于椭圆曲线加密(Ellipse Curve Cryptography,ECC)的双向身份认证方案,保障用户及不同MEC平台隐私信息的安全性。(3)该机制实现了用户匿名性要求,以及证明能够抵抗重放、伪造与中间人攻击。