本發(fā)明涉及分布式系統(tǒng)、物聯(lián)網(wǎng)設(shè)備認證和信息安全通信，尤其涉及一種基于聚合mac的集群安全認證方法、裝置及設(shè)備。

背景技術(shù)：

1、在物聯(lián)網(wǎng)時代，設(shè)備的集群認證變得日益重要。隨著設(shè)備數(shù)量的激增，傳統(tǒng)一對一的認證方式不僅耗時耗力，而且在網(wǎng)絡(luò)帶寬和處理能力上造成巨大壓力。尤其是在大規(guī)模的物聯(lián)網(wǎng)場景下，設(shè)備的頻繁加入和退出、網(wǎng)絡(luò)的動態(tài)變化，對集群認證的效率和安全性提出了更高要求。

2、傳統(tǒng)的集群認證技術(shù)，尤其是那些將認證密鑰與設(shè)備配置分離的，往往需要在可信計算基礎(chǔ)（tcb）中存儲大量認證代碼和參考值，這不僅加重了tcb的負擔，還可能導致安全漏洞。例如，一旦tcb遭到攻擊，整個系統(tǒng)的安全性和可信度將受到嚴重影響。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)中存在的技術(shù)問題，本發(fā)明提出了一種基于聚合mac的集群安全認證方法、裝置及設(shè)備。

2、本發(fā)明采用的技術(shù)方案如下：

3、第一方面提供了一種基于聚合mac的集群安全認證方法，包括：

4、設(shè)備網(wǎng)絡(luò)中的種子設(shè)備節(jié)點接收遠程驗證者發(fā)送的認證請求，并將認證請求轉(zhuǎn)發(fā)給其他非種子設(shè)備節(jié)點，其中，種子設(shè)備節(jié)點創(chuàng)建集群，非種子設(shè)備節(jié)點通過gossip協(xié)議加入集群，構(gòu)建一個邏輯樹結(jié)構(gòu)；

5、設(shè)備節(jié)點基于認證請求生成對應(yīng)的mac認證報告，并通過種子設(shè)備節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后得到目標聚合mac認證報告，其中，設(shè)備節(jié)點中的葉子節(jié)點將生成的mac認證報告發(fā)送父節(jié)點，非葉子節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給父節(jié)點，設(shè)備節(jié)點包括種子設(shè)備節(jié)點和非種子設(shè)備節(jié)點；

6、種子設(shè)備節(jié)點將目標聚合mac認證報告發(fā)送給遠程驗證者，以使遠程驗證者根據(jù)設(shè)備供應(yīng)商提供的標準值重新計算mac標簽，與收到的聚合mac認證報告中的聚合mac標簽進行比對，判斷設(shè)備是否可信。

7、在一種實施方式中，每個設(shè)備節(jié)點在啟動前與遠程驗證者共享對應(yīng)的設(shè)備秘密值，根據(jù)對應(yīng)的設(shè)備秘密值依據(jù)dice機制生成對應(yīng)的第一對稱密鑰，認證請求包括設(shè)備節(jié)點的共享身份，設(shè)備節(jié)點基于認證請求生成對應(yīng)的mac認證報告，包括：

8、設(shè)備節(jié)點采用哈希函數(shù)結(jié)合隨機數(shù)n和自身的第一對稱密鑰生成mac標簽；

9、根據(jù)生成的mac標簽、設(shè)備節(jié)點的共享身份和隨機數(shù)n，生成對應(yīng)的mac認證報告。

10、在一種實施方式中，非葉子節(jié)點對將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給父節(jié)點，包括：

11、如果非葉子節(jié)點為非種子設(shè)備節(jié)點，則非葉子節(jié)點通過異或操作將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給父節(jié)點；

12、如果非葉子節(jié)點為種子設(shè)備節(jié)點，則非葉子節(jié)點通過異或操作將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給遠程驗證者。

13、在一種實施方式中，遠程驗證者根據(jù)設(shè)備供應(yīng)商提供的標準值重新計算mac標簽，與收到的聚合mac認證報告中的聚合mac標簽進行比對，判斷設(shè)備是否可信，包括：

14、遠程驗證者基于設(shè)備的共享身份和設(shè)備供應(yīng)商提供的標準值，重新計算第二對稱密鑰，并根據(jù)第二對稱密鑰重構(gòu)mac標簽；

15、將重構(gòu)得到的mac標簽與接收到的聚合mac認證報告中的聚合mac標簽對比，如果二者匹配，則表明設(shè)備節(jié)點創(chuàng)建的集群可信，如果不匹配，則表明存在不可信設(shè)備。

16、在一種實施方式中，當重構(gòu)得到的mac標簽與接收到的聚合mac認證報告中的聚合mac標簽不匹配時，所述方法還包括遠程驗證者在設(shè)備節(jié)點構(gòu)成的邏輯樹中通過逐層劃分分組并驗證的方式查找不可信的設(shè)備節(jié)點，具體為：

17、遠程驗證者將整個設(shè)備網(wǎng)絡(luò)按照邏輯樹結(jié)構(gòu)劃分為若干個頂層分組，并對每個頂層分組的聚合報告進行驗證，如果某個頂層分組的驗證結(jié)果為失敗，則將該頂層分組進一步劃分為子分組，然后對這些子分組的聚合報告進行驗證，直至查找到不可信設(shè)備節(jié)點為止。

18、基于同樣的發(fā)明構(gòu)思，本發(fā)明第二方面提供了一種基于聚合mac的集群安全認證裝置，包括：

19、認證請求接收模塊，用于通過設(shè)備網(wǎng)絡(luò)中的種子設(shè)備節(jié)點接收遠程驗證者發(fā)送的認證請求，并將認證請求轉(zhuǎn)發(fā)給其他非種子設(shè)備節(jié)點，其中，種子設(shè)備節(jié)點創(chuàng)建集群，非種子設(shè)備節(jié)點通過gossip協(xié)議加入集群，構(gòu)建一個邏輯樹結(jié)構(gòu)；

20、認證報告生成與聚合模塊，用于設(shè)備節(jié)點基于認證請求生成對應(yīng)的mac認證報告，并通過種子設(shè)備節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后得到目標聚合mac認證報告，其中，設(shè)備節(jié)點中的葉子節(jié)點將生成的mac認證報告發(fā)送父節(jié)點，非葉子節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給父節(jié)點；

21、報告發(fā)送模塊，用于通過種子設(shè)備節(jié)點將聚合mac認證報告發(fā)送給遠程驗證者，以使遠程驗證者根據(jù)設(shè)備供應(yīng)商提供的標準值重新計算mac標簽，與收到的聚合mac中聚合mac標簽進行比對，判斷設(shè)備是否可信。

22、在一種實施方式中，每個設(shè)備節(jié)點在啟動前與遠程驗證者共享對應(yīng)的設(shè)備秘密值，根據(jù)對應(yīng)的設(shè)備秘密值依據(jù)dice機制生成對應(yīng)的第一對稱密鑰，認證請求包括設(shè)備節(jié)點的共享身份，設(shè)備節(jié)點基于認證請求生成對應(yīng)的mac認證報告包括：

23、設(shè)備節(jié)點采用哈希函數(shù)結(jié)合隨機數(shù)n和自身的第一對稱密鑰生成mac標簽；

24、根據(jù)生成的mac標簽、設(shè)備節(jié)點的共享身份和隨機數(shù)n，生成對應(yīng)的mac認證報告。

25、基于同樣的發(fā)明構(gòu)思，本發(fā)明第三方面提供了一種基于聚合mac的集群安全認證系統(tǒng)，包括第二方面所述的裝置、遠程驗證者以及設(shè)備供應(yīng)商，其中，設(shè)備供應(yīng)商用以提供用于計算mac標簽的標準值，遠程驗證者用于向設(shè)備網(wǎng)絡(luò)發(fā)送認證請求，以及在接收到聚合mac認證報告后根據(jù)設(shè)備供應(yīng)商提供的標準值重新計算mac標簽，與收到的聚合mac認證報告中的聚合mac標簽進行比對，判斷設(shè)備是否可信。

26、基于同樣的發(fā)明構(gòu)思，本發(fā)明第四方面提供了一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，該程序被處理器執(zhí)行時實現(xiàn)第一方面所述的基于聚合mac的集群安全認證方法。

27、基于同樣的發(fā)明構(gòu)思，本發(fā)明第五方面提供了一種計算機設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執(zhí)行所述程序時實現(xiàn)第一方面所述的基于聚合mac的集群安全認證方法。

28、相對于現(xiàn)有技術(shù)，本發(fā)明的優(yōu)點和有益的技術(shù)效果如下：

29、本發(fā)明提供了一種基于聚合mac的集群安全認證方法，相對于傳統(tǒng)的在可信計算基礎(chǔ)（tcb）中需要存儲大量認證代碼和參考值的方式而言，種子設(shè)備節(jié)點在接收遠程驗證者發(fā)送的認證請求，并將認證請求轉(zhuǎn)發(fā)給其他非種子設(shè)備節(jié)點，各設(shè)備節(jié)點在基于認證請求生成對應(yīng)的mac認證報告后，不直接發(fā)送mac認證報告，而是通過其中的葉子節(jié)點將生成的mac認證報告發(fā)送父節(jié)點，非葉子節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合后發(fā)送給父節(jié)點；最終通過種子設(shè)備節(jié)點將自身生成的mac認證報告與子節(jié)點的mac認證報告進行聚合，得到目標聚合mac認證報告，然后再發(fā)送給驗證者，驗證者對目標聚合mac認證報告進行驗證，這種方式驗證者僅需要對目標聚合mac認證報告進行驗證即可，不需要對每個設(shè)備節(jié)點的mac認證報告分別進行驗證，通過對稱聚合消息認證碼的分布式聚合，可以實現(xiàn)設(shè)備認證的高效性。此外，通過降低通信量和認證報告大小，認證系統(tǒng)能更好地應(yīng)對大規(guī)模物聯(lián)網(wǎng)環(huán)境下的設(shè)備認證需求。