(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111462142.6 (22)申请日 2021.12.02 (71)申请人 北京交通大 学 地址 100044 北京市海淀区西直门外上园 村3号 申请人 北京方正数码有限公司 　 北京市天元网络技 术股份有限公司 (72)发明人 张振江　赵耀　张阳　刘赛　 贾朝心　韩野　林巍　武帅　熊菲　 (74)专利代理 机构 北京市商 泰律师事务所 11255 代理人 黄晓军 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)H04L 9/08(2006.01) H04L 9/06(2006.01) G16Y 10/75(2020.01) G16Y 40/50(2020.01) (54)发明名称 一种基于边缘云系统的网络安全保护方法 (57)摘要 本发明提供了一种基于边缘云系统的网络 安全保护方法。 该方法包括： 通过加密算法对云 计算平台下发到边缘计算服务器的命令进行对 称加密， 通过哈希算法对云计算平台下发到边缘 计算服务器的命令和云计算平台的身份标识符 进行数字签名； 通过加密算法对边缘计算服务器 上传至云计算平台的回复进行对称加密， 通过哈 希算法对边缘计算服务器上传至云计算平台的 回复和边缘计算服务器的身份标识符进行数字 签名； 对于边缘计算服务器和物联网设备之间的 通信设立安全服务器， 安全服务器为不同的物联 网设备与边缘计算服务器之间的通信分配不同 的密钥。 本发 明实现了边缘计算服务器 之间和边 缘计算服务器和物联网设备之间的安全通信， 保 障了系统的网络安全。 权利要求书2页 说明书7页 附图1页 CN 114362998 A 2022.04.15 CN 114362998 A 1.一种基于边 缘云系统的网络安全保护方法， 其特 征在于， 包括： 通过加密算法对云计算平台下发到边缘计算服务器的命令进行对称加密， 通过哈希算 法对云计算平台下发到边缘计算服务器的命令和云计算平台的身份标识符进 行数字签名； 通过所述加密算法对边缘计算服务器上传至云计算平台的回复进 行对称加密， 通过所述哈 希算法对边缘计算服务器上传至云计算平台的回复和 边缘计算服务器的身份标识符进行 数字签名； 对于边缘计算服务器和物联网设备之间的通信设立安全服务器， 所述安全服务器为不 同的物联网设备与边 缘计算服务器之间的通信分配不同的密钥。 2.根据权利要求1所述的方法， 其特征在于， 所述安全服务器包括鉴别服务器AS和票据 授予服务器TGS， 所述 安全服务器在密钥分配的过程中使用高级加密标准AES进行加密。 3.根据权利要求1或者2所述的方法， 其特征在于， 所述的云计算平台与边缘计算服务 器之间的网络通信过程包括： 云计算平台向边缘计算服务器1发送身份标识符IDCLOUD， 用明文表明自己的身份； 发送 使用对称密钥 进行加密的命令COMMAND； 发送使用 进行数字签名的身 份标识符IDCLOUD和命令COMMAND， 云计算平台不可否认其下发的命令 COMMAND； 边缘计算服务器1 向云计算平台发送身份标识符IDSEVER1， 用明文表明自己的身份； 发送 使用对称密钥 进行加密的回复RESPONSE； 发送使用 进行数字签名的 身份标识符IDSEVER1和回复RES PONSE， 边 缘计算服务器不可否认其上传的回复RES PONSE。 4.根据权利要求2所述的方法， 其特征在于， 所述的边缘计算服务器与物联网设备之间 的网络通信过程包括： 边缘计算服务器1向鉴别服务器AS发送身份标识符IDSEVER1， 用明文表明自己的身份， AS 对边缘计算服务器1的身份进行验证， 在验证结果为正确后， 允许边缘计算服务器1和票据 授予服务器TGS进行 联系； AS基于边缘计算服务器1的身份标识符IDSEVER1使用高级加密标准AES为边缘计算服务 器1生成会话密钥 AS还存储边缘计算服务器1的对称密钥 AS向边缘计 算服务器1发送使用对称密钥 进行加密的报文， 该报文中包括边缘计算服务器1和 TGS通信时要使用的会话密钥 以及边缘计算服务器1要发送给TGS的票据， 该票 据使用TGS的对称密钥 进行加密； 边缘计算服务器1使用对称密钥 对AS发送过来的所述报文进行解密， 提取出会 话密钥 以及使用 进行加密的票据； 边缘计算服务器1向TGS转发AS发来的票据； 向TGS发送物联网设备1的身份标识符 IDDEV1， 表示要与物联网设备1通信， 发送使用会话密钥 进行加密的时间戳T； TGS基于物联网设备1 的身份标识符IDDEV1使用高级加密标准AES为物联网设备1生成会 话密钥 TGS向边缘计算服务器1发送两个票据， 每个票据中都包含边缘计算服 务器1和物联网设备1通信的会话密钥 其中一个需要转发给物联网设备1的票权　利　要　求　书 1/2 页 2 CN 114362998 A 2据使用会话密钥 加密， 另一个不需要转发的票据使用物联网设备1的密钥 加密； 边缘计算服务器1向物联网设备1转发TGS发来的使用会话密钥 加密的票据； 向物联网设备1 发送使用会话密钥 加密的时间戳T； 物联网设备1向边缘计算服务器1发送使用会话密钥 加密的时间戳T加1， 证 实收到了票据； 在密钥分配完成后， 边缘计算服务器1和物联网设备1使用分配的会 话密钥 进行通信。权　利　要　求　书 2/2 页 3 CN 114362998 A 3