面对通信传感网的端到端安全保障方法及边缘服务器与流程

技术特征：
1.一种面对通信传感网的端到端安全保障方法，其特征在于，应用于第一边缘服务器，包括：获取第一传感节点发送的密钥协商指令；所述密钥协商指令包括第二传感节点的基础身份信息；根据基础身份信息判断第二传感节点是否为本端信任域内的传感节点；若是，则根据密钥协商指令生成第一会话密钥，并将第一会话密钥分别发送至第一传感节点和第二传感节点；若否，则根据密钥协商指令生成第二会话密钥，并将第二会话密钥发送至第一传感节点，以及生成并发送跨域安全验证信息至第二边缘服务器；所述跨域安全验证信息用于指示第二边缘服务器生成第二会话密钥，并向第二传感节点发送第二会话密钥；所述第二边缘服务器为第二传感节点所在信任域的边缘服务器；第一会话密钥或第二会话密钥用于实现第一传感节点和第二传感节点的安全加密通信。2.如权利要求1所述的面对通信传感网的端到端安全保障方法，其特征在于，所述密钥协商指令还包括所述第一传感节点的基础身份信息；所述根据密钥协商指令生成第一会话密钥，包括：随机生成第一验证数；基于所述第一传感节点的基础身份信息、所述第二传感节点的基础身份信息、所述第一验证数和所述第一边缘服务器的私钥，生成所述第一会话密钥。3.如权利要求1所述的面对通信传感网的端到端安全保障方法，其特征在于，所述密钥协商指令还包括第一传感节点的基础身份信息；所述根据密钥协商指令生成第二会话密钥，包括：获取所述第一边缘服务器和所述第二边缘服务器之间的第一共享密钥；随机生成第二验证数；基于所述第二验证数、所述第一传感节点的基础身份信息、所述第二传感节点的基础身份信息和所述第一共享密钥，生成第二会话密钥。4.如权利要求3所述的面对通信传感网的端到端安全保障方法，其特征在于，所述跨域安全验证信息包括所述第二验证数、第二时间戳、所述第一共享密钥、所述第一传感节点的基础身份信息和所述第二传感节点的基础身份信息，所述第二时间戳为所述第一边缘服务器生成跨域安全验证信息时生成的时间戳；所述生成并发送跨域安全验证信息至第二边缘服务器；所述跨域安全验证信息用于指示第二边缘服务器生成第二会话密钥，包括：生成并发送跨域安全验证信息至所述第二边缘服务器，以使所述第二边缘服务器解析所述跨域安全验证信息，生成当前时间对应的第三时间戳，并判断所述第二时间戳和所述第三时间戳的差值是否在允许时间范围内，若所述第二时间戳和所述第三时间戳的差值在允许时间范围内，则判定所述第一边缘服务器的身份认证成功，并在身份认证成功时基于所述第二验证数、所述第一传感节点的基础身份信息、所述第二传感节点的基础身份信息和所述第一共享密钥，生成所述第二会话密钥。5.如权利要求1至4任一项所述的面对通信传感网的端到端安全保障方法，其特征在于，在所述获取第一传感节点发送的密钥协商指令之前，所述方法还包括：获取所述第一传感节点发送的第一数字签名，并对所述第一数字签名进行解密，得到所述第一传感节点的身份验证信息；根据所述身份验证信息与所述第一传感节点进行双向安全身份验证；
若与所述第一传感节点的双向安全身份验证通过，则执行所述获取第一传感节点发送的密钥协商指令的步骤。6.如权利要求5所述的面对通信传感网的端到端安全保障方法，其特征在于，所述根据所述身份验证信息与所述第一传感节点进行双向安全身份验证，包括：判断所述第一传感节点的身份验证信息中的时间戳与第一时间戳的差值是否在允许时间范围内；所述第一时间戳为所述第一边缘服务器获取到所述身份验证信息时生成的时间戳；若所述第一传感节点的身份验证信息中的时间戳与所述第一时间戳的差值在允许时间范围内，则查找第一预设存储信息中是否存在所述第一传感节点的身份验证信息；若所述第一预设存储信息中存在所述第一传感节点的身份验证信息，则判定所述第一传感节点的前向认证通过；若所述第一传感节点的前向认证通过，则对所述第一边缘服务器的身份验证信息进行加密生成第二数字签名；向所述第一传感节点发送所述第二数字签名，以使所述第一传感节点根据所述第二数字签名对所述第一边缘服务器进行后向认证。7.如权利要求5所述的面对通信传感网的端到端安全保障方法，其特征在于，在所述获取所述第一传感节点发送的第一数字签名之前，所述方法还包括：获取所述第一传感节点发送的注册请求，所述注册请求包括基础身份信息；采用生成随机数的方法生成所述第一传感节点的临时私钥；采用非对称加密算法生成所述第一传感节点的交互式临时公钥，并保存所述第一传感节点的交互式临时公钥和临时私钥；向所述第一传感节点发送注册信息，所述注册信息包括所述第一传感节点的临时私钥和交互式临时公钥、以及所述第一边缘服务器的数字签名和公钥，以使所述第一传感节点根据所述第一边缘服务器的公钥对所述第一边缘服务器的数字签名进行验证，并在验证通过后保存所述注册信息。8.一种边缘服务器，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。10.一种面对通信传感网的端到端安全通信系统，其特征在于，包括：第二边缘服务器、第一传感节点、第二传感节点和如权利要求8所述的第一边缘服务器。

技术总结
本发明适用于电力通信技术领域，尤其涉及一种面对通信传感网的端到端安全保障方法及边缘服务器。该方法包括：获取第一传感节点发送的密钥协商指令；根据密钥协商指令判断第二传感节点是否为本端信任域内的传感节点；若是，则生成第一会话密钥，并将第一会话密钥分别发送至第一传感节点和第二传感节点；若否，则生成第二会话密钥，并将第二会话密钥发送至第一传感节点，以及生成并发送跨域安全验证信息至第二边缘服务器；跨域安全验证信息用于指示第二边缘服务器生成第二会话密钥，并向第二传感节点发送第二会话密钥。本申请通过上述方法能够在边缘服务器端实现域内和跨域的端到端的安全通信，以克服云计算数据更易被截取、攻击的弊端。攻击的弊端。攻击的弊端。


技术研发人员：杨会峰 魏勇 黄镜宇 李建岐 尚立 张磊 李毅超 刘玮 崔俊彬 王俊卿
受保护的技术使用者：国家电网有限公司
技术研发日：2021.07.14
技术公布日：2021/11/9