[发明专利]一种面向5G边缘计算节点的用户可信接入系统及方法

说明书

本发明提供一种面向5G边缘计算节点的用户可信接入系统及方法，系统包括：用户终端UE、目标容器、UPF、UDM、宿主机及MEC控制器，UE为目标容器的资源请求方，向目标容器请求可信证据进行可信验证，目标容器的可信证据由其宿主机的TPM和目标容器中的vTPM提供；UPF为远程证明的通信代理，分别对UE和目标容器进行可信验证；UDM为UE的可信验证节点为UE颁发证书和验证可信证据；MEC控制器是容器的可信验证节点，为目标容器、宿主机的TPM颁发AIK证书和验证可信证据，基于该系统采用远程证明方法对UE和容器运行时环境双向可信认证，既保证了UE的接入容器的身份可信，又保证了访问双方运行环境可信。

技术领域

本发明涉及网络信息安全技术领域，具体涉及一种面向5G边缘计算节点的用户可信接入系统及方法。

背景技术

移动边缘计算(Mobile Edge Computing,MEC)是5G网络中的关键技术，其基本思想是将云计算服务能力从移动核心网内部迁移到移动接入网边缘，实现计算和存储资源的灵活利用。随着5G的发展，低时延的移动性应用需求越来越大，MEC技术使得业务可以实现本地化和近距离部署，大大降低了业务时延，从而有效改善用户的服务体验。

随着云计算技术的不断发展与广泛应用，虚拟化技术也变得愈加重要。容器技术凭借自身资源占用低、不易受环境因素影响等优点受到越来越多用户的青睐。因此在MEC中，容器也得到了广泛的应用。但是由于MEC部署在边缘侧，所以容器所处的环境并不安全，如何保障用户和容器在不可信的环境中双向的信任是一个亟待解决的问题。

TCG将可信计算定义为：一个实体的行为如果总是按照预期的方式进行，最终达到预期的目标，则这个实体就是可信的。对于证明TCG规范中的定义证明是一种报告机制，证明方将其平台的身份以及软硬件配置信息报告给挑战方。挑战方验证成功后，相信证明方提供的身份信息和报告是正确、可靠的。

目前，保证用户终端能够可信地接入边缘计算节点的方案主要有以下几种：

(1)利用5G用户终端UE(User Equipment,UE)内置sim卡接入5G网络时的主认证保证UE接入5G网络时的身份合法，但不能保证UE内部运行环境的安全性，即不能保证可信的UE接入；

(2)设置一个边缘物联代理，采用加密策略对接入设备和代理之间的信息交互进行加密；对接入设备进行故障研判。该方法只对接入设备是否故障进行了研判，只保证了设备的可靠性，不能证明其可信。

(3)设置一个接入边缘代理和一个物联管理平台，两者间采用共享目录的方式进行文件共享；利用接入边缘代理对接入设备进行可信验证；将边缘计算节点上APP的容器镜像实例化，通过管理平台对实例化的边缘计算APP进行身份验证。该方法只能验证容器的身份，不能保证其运行环境的可信。

发明内容

因此，本发明为了解决现有技术存在的缺陷，从而提供一种面向5G边缘计算节点的用户可信接入系统及方法，采用远程证明方法实现对UE和容器运行时环境的双向可信认证，既保证了UE的接入容器的身份可信，又保证了访问双方运行环境可信。

第一方面，本发明提供的面向5G边缘计算节点的用户可信接入系统，包括：用户终端UE、目标容器、用户面功能网元UPF、统一数据管理功能网元UDM、宿主机及MEC控制器，其中：

UE为目标容器的资源请求方，通过向目标容器请求可信证据，对其进行可信验证，目标容器的可信证据由目标容器所在的宿主机的可信平台模块可信计算模块TPM和目标容器中的虚拟可信计算模块vTPM提供；

UPF为远程证明的通信代理，在收到UE发送的远程证明请求后，联合UDM验证UE是否可信，其中UDM为UE的可信验证节点，用于为UE颁发认证密钥证书和验证可信证据；UE可信验证通过后，UPF联合MEC控制器验证目标容器是否可信，其中MEC控制器是目标容器的可信验证节点，用于为目标容器、宿主机的TPM颁发AIK证书和验证可信证据；