[发明专利]实现物联网终端安全的密码边缘计算方法、系统及终端

权利要求书

1.一种实现物联网终端安全的密码边缘计算方法，其特征在于，所述实现物联网终端安全的密码边缘计算方法包括：

终端设备或应用在云端申请注册，根据提供的指纹和申请的服务类别，云端生成保护密钥、各种工作密钥和半密钥，同时生成相应设备或应用的工作密钥文件，并使用保护密钥和SM4算法对工作密钥文件进行加密；

从云端下载相应设备或应用的密钥文件，进行相关信息的配置、自检以及初始化；

向云端发出共同对提供服务的终端设备或应用进行身份鉴别的请求，并进行身份鉴别，同时返回鉴别结果，基于鉴别结果提供密码服务。

2.如权利要求1所述实现物联网终端安全的密码边缘计算方法，其特征在于，所述工作密钥包括：认证密钥、数据加密密钥、指令加密密钥、数据MAC密钥、指令MAC密钥、文件加密密钥及其他密钥。

3.如权利要求1所述实现物联网终端安全的密码边缘计算方法，其特征在于，所述自检包括：

密码模块自身真实性检查和所有密码算法自检；

所述自检包括：使用SM3计算版本信息中给出的密码模块的hash值，使用SM2验证版本信息中的签名值的真实性，签名验证通过后，启动密码算法自检，根据密码模块中保存的算法验证数据，验证每个算法是否处于正确状态。

4.如权利要求1所述实现物联网终端安全的密码边缘计算方法，其特征在于，所述进行身份鉴别包括：

先获取认证参数和随机数R1；将认证参数和R1发送到云端安全系统，安全系统根据认证参数生成与保护密钥相关的半密钥和随机数R2，使用SM4，以认证密钥为密钥加密R1得到C1，同时以R1为密钥加密R2和半密钥得到C2，将C1、C2发送至密码边缘计算；

使用R1解密C2得到半密钥和R2，由设备指纹生成本地半密钥，半云端密钥与本地半密钥模2加组成保护密钥，以保护密钥解密该设备或应用的密钥文件，使用密钥文件中的认证密钥解密C1并与R1比较，如果相等，认证通过；同时，以认证密钥加密R2得到C3，将C3发送到云端安全系统，云端安全系统解密C3，并与R2比较，相等确认设备身份认证通过。

5.如权利要求4所述实现物联网终端安全的密码边缘计算方法，其特征在于，所述认证参数包括设备或应用ID、指纹。

6.一种实现物联网终端安全的密码边缘计算系统，其特征在于，所述实现物联网终端安全的密码边缘计算系统包括：

初始化模块，包括自检模块，用于对密码模块自身真实性检查和所有密码算法自检以及初始化；

配置管理模块，用于进行相关信息的配置；同时用于对加密密钥文件进行管理；

接口处理模块，包括：HTTP模块和API接口模块；用于接收命令并返回处理结果；

指令处理模块，密钥运算模块、密钥存储模块、密码服务模块、状态监控模块；用于通过接口方式向外提供服务完成边缘计算的身份鉴别、密钥管理、数据或指令加解密、签名的产生和验证、密钥协商及其他国密算法的密码服务。

7.如权利要求6所述实现物联网终端安全的密码边缘计算系统，其特征在于，所述接口处理模块包括：

HTTP模块，用于与云端通信；并接收命令、返回处理结果；

API接口模块，用于接收调用命令，执行并返回接口。

8.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行权利要求1～5任意一项所述实现物联网终端安全的密码边缘计算方法。

9.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行权利要求1～5任意一项所述实现物联网终端安全的密码边缘计算方法。

10.一种通信终端，其特征在于，所述通信终端用于实现权利要求1～5任意一项所述实现物联网终端安全的密码边缘计算方法。