(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111414608.5 (22)申请日 2021.11.25 (71)申请人 中南财经政法大 学 地址 430073 湖北省武汉市东湖新 技术开 发区南湖大道182号 (72)发明人 郭奕旻　 (74)专利代理 机构 北京金智普华知识产权代理 有限公司 1 1401 代理人 张晓博 (51)Int.Cl. H04L 67/12(2022.01) H04L 67/10(2022.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 雾计算环境中远程访问控制系统、 控制方 法、 终端及 介质 (57)摘要 本发明属于访问控制技术领域， 公开了一种 雾计算环境中远程访问控制系统、 控制方法、 终 端及介质， 雾计算环境中远程访问控制系统包 括： 注册权威对物联网设备和远程用户进行注 册； 雾节点接收物联网设备采集的数据， 并对所 述数据进行计算、 传输、 临时存储和实时分析； 物 联网设备采集环境的数据， 并传输至雾节点； 远 程用户利用移动设备通过雾节点访问物联网设 备的相关数据并实施控制。 雾节 点部署在物联网 设备周围； 每个雾节点可连接一个或者多个物联 网设备。 本发 明为雾计算环境设计了一种新的远 程访问控制系统和方法， 能够 有效地认证远程用 户身份， 并实现远程用户和被访问设备之间的安 全通信。 权利要求书3页 说明书11页 附图2页 CN 114143343 A 2022.03.04 CN 114143343 A 1.一种雾计算环境中远程访问控制系统， 其特征在于， 所述雾计算环境中远程访问控 制系统包括： 注册权威、 雾节点、 物联网设备以及远程用户； 注册权威， 用于对物联网设备和远程用户进行注 册； 雾节点， 用于接收物联网设备采集的数据， 并对所述数据进行计算、 传输、 临时存储和 实时分析； 物联网设备， 用于采集环境的数据， 并传输 至雾节点； 远程用户， 用于利用移动设备通过雾节点访问物联网设备的相关数据并实施控制。 2.如权利要求1所述雾计算环境中远程访问控制系统， 其特征在于， 所述雾节点部署在 物联网设备周围； 每 个雾节点可 连接一个或者多个物联网设备。 3.一种应用于如权利要求1 ‑2任意一项所述雾计算环境中远程访问控制系统的雾计算 环境中远程访问控制方法， 其特 征在于， 所述雾计算环境中远程访问控制方法包括： 注册阶段与访问控制阶段； 注册阶段： 注 册权威为物联网设备和远程用户进行注 册； 访问控制阶段： 对注册的远程用户进行身份认证， 控制远程用户对物联网设备的安全 访问。 4.如权利要求3所述雾计算环境中远程访问控制方法， 其特征在于， 所述雾计算环境中 远程访问控制方法包括以下步骤： 步骤一， 注 册权威对新的物联网设备进行注 册； 远程用户利用个人移动设备进行注 册； 步骤二， 远程用户利用注册 的用户名、 口令和指纹在移动设备上登陆， 登录成功后， 移 动设备向雾节点 发出访问物联网设备的请求； 并通过雾节点协助远程用户与 物联网设备执 行相互认证； 步骤三， 认证通过则远程用户 和被访问的物联网设备之间协商一个会话钥， 进行远程 用户和物联网设备之间的安全通信。 5.如权利要求4所述雾计算环境中远程访 问控制方法， 其特征在于， 步骤一中， 所述注 册权威对新的物联网设备进行注 册包括： (1)注册权威RA为物联网设备选择一个唯一身份IDd， 产生一个随机挑战Cd， 通过安全信 道将(IDd,Cd)传送给物联网设备； (2)物联网设备根据接收到 的Cd中嵌入的物理不可克隆函数PUF计算Cd对应的响应Rd， 即Rd＝PUF1(Cd)， 并计算的Rd通过安全信道传送给注 册权威； (3)注册权威为物联网设备选择一个临时身份TIDd， 并计算一个伪身份PIDd＝h(IDd|| K)； 其中， K表示注 册权威的一个秘密参数； (4)注册权威将物联网设备的参数(TIDd、 PIDd、 Cd、 h(Rd))通过安全信道传送给至所述物 联网设备对应的雾节点存 储； 并将临时身份通过安全信道传送给物联网设备； (5)物联网设备接收到消息后存 储(TIDold d＝null,TIDnew d＝TIDi)。 6.如权利要求4所述雾计算环境中远程访 问控制方法， 其特征在于， 步骤一中， 所述远 程用户利用个人移动设备进行注 册包括： 首先， 用户选择一个身份IDi， 移动设备向注册权威RA发送注册请 求消息{Re qi}； 注册权 威接收用户的注 册请求， 产生 一个随机挑战Ci， 并将Ci通过安全信道传送给用户；权　利　要　求　书 1/3 页 2 CN 114143343 A 2其次， 用户接收Ci， 利用移动设备中嵌入的物理不可克隆函数PUF计算Ri＝PUF2(Ci)， 并 将Ri通过安全信道传送给注册权威； 注册权威为用户选择一个 临时身份TIDi， 将{TIDi， Ci， h (Ri)}传送给雾节点进行存 储， 并将临时身份通过安全信道传送给用户； 然后， 移动设备接收消息， 令用户选择一个口令PWi， 并在移动设备上按下指纹αi， 计算 βi＝PUF2( αi)； 移动设备产生 一个随机数ri， 为用户计算 一个伪身份PIDi＝h(IDi||ri)； 最后， 移动设备计算HPWi＝h(PWi||βi||ri)、 Yi＝ri⊕h(IDi||PWi||βi)、 PIDi*＝PIDi⊕ HPWi和认证子Authi＝h(PIDi||ri||HPWi)， 并在移动设备中存储{TIDold  i＝null,TIDnew  i ＝TIDi,Yi,PIDi*， Authi}。 7.如权利要求4所述雾计算环境中远程访 问控制方法， 其特征在于， 步骤二中， 所述远 程用户利用注册的用户名、 口令和指纹在移动设备上登陆， 登录成功后， 移动设备向雾节 点 发出访问物联网设备的请求包括： 用户在移动设备中输入身份、 口令和指纹， 移动设备计算βi＝PUF2( αi)， ri＝Yi⊕h(IDi| |PWi||βi),HPWi＝h(PWi||βi||ri),PIDi＝PIDi*⊕HPWi和认证子Authi′＝h(PIDi||ri||HPWi)， 并与移动设备中存 储的Authi进行比较， 如果两者相等， 则用户登陆成功； 移动设备发起认证挑战， 移动设备产生一个n1和当前时间戳T1， 选择一个需访问的物联 网设备PIDd， 将(TIDi,PIDd,n1,T1)传送给雾节点。 8.如权利要求4所述雾计算环境中远程访问控制方法， 其特征在于， 所述通过雾节点协 助远程用户与物联网设备 执行相互认证包括： 1)雾节点验证用户真实性： 1.1)雾节点检验接收到消息的新鲜 性， 如果消息是新鲜的， 雾节点根据 PIDd知道用户要 访问的物联网设备Sd， 根据PIDd查找物联网设备存储在雾节点中的信息(TIDd， PIDd,Cd， h (hd))； 1.2)雾节点产生一个 随机数n2和当前时间戳T2， 并为物联网设备产生一个随机新的挑 战Cdnew、 一个新的临时身份TIDdnew以及为用户和物联网设备产生 一个共享的会话钥SK； 1.3)计算A1＝n2⊕h(TIDd||h(Rd)||n1||T1||T2)， A2＝Cdnew⊕h(Rd)⊕n1⊕n2⊕T2， A3＝ TIDdnew⊕h(TIDd||h(Rd)||Cdnew||n2||T2),M1＝h(TIDdnew||h(Rd)||n1||n2||T1||T2)， SK*＝SK ⊕h(TIDdnew||TIDi||h(Rd)||n2||T2)。 最后将{TIDi,A1,A2,A3,M1,Cd,T2,SK*}通过开放信道传 给物联网设备； 2)物联网设备验证雾节点真实性： 2.1)物联网设备检验接收到消息的新鲜性， 若消息新鲜， 则物联网设备利用Cd计算不可 克隆函数PUF的输出Rd＝PUF1(Cd)； 2.2)根据得到的Rd， 物联网设备计算n2＝A1⊕h(TIDd||h(Rd)||n1||T1||T2)， Cdnew＝A2⊕h (Rd)⊕n1⊕n2⊕T2， TIDdnew＝A3⊕h(TIDd||h(Rd)||Cdnew||n2||T2)； 2.3)计算M1*＝h(TIDdnew||h(Rd)||n1||n2||T1||T2)， 将M1*与接收到的M1进行比较， 如果 两者相等， 表示物联网设备成功 认证雾节点； 2.4)物联网设备根据新的挑战Cdnew计算新的响应Rdnew＝PUF1(Cdnew)， 并存储 新旧临时身 份TIDd和TIDdnew， 计算得到会话钥SK＝SK*⊕h(TIDdnew||TIDi||h(Rd)||n2||T2)； 2.5)物联网设备产生一个随机数n3和当前时间戳T3,计算A4＝n3⊕h(TIDdnew||Cdnew||h (Rd)||n2||T2||T3)， A5＝n3⊕Cdnew⊕Rdnew， M2＝h(TIDdnew||Rdnew||TIDi||n2||n3||T3)。 最后， 物权　利　要　求　书 2/3 页 3 CN 114143343 A 3