本發明涉及一種基于安全邊緣計算的密鑰管理通信方法，包括建立一個基于ECC復合定理，用于生成和分發管理邊緣計算設備的私鑰系統，秘鑰矩陣運算存儲模塊生成私鑰矩陣和公鑰矩陣；設備將唯一標識碼發給秘鑰申請分發管理模塊；秘鑰矩陣運算存儲模塊以唯一標識為輸入通過hash散列算法得到n個小于n的整數值；通信設備通過秘鑰申請分發管理模塊下載公鑰矩陣或在設備中預置公鑰矩陣；所有配置操作和過程管理的數據均記錄的數據庫中，通過與web管理頁面模塊連接后進行管理及查看本發明能夠提供一種可快速獲取對方公鑰，實現達到節約公鑰交換時間和傳輸帶寬的基于安全邊緣計算的密鑰管理通信方法。

技術領域

本發明涉及物聯網安全技術領域，尤其涉及一種基于安全邊緣計算的密鑰管理通信方法。

背景技術

邊緣計算的場景中，在互聯互通時使用非對稱加密算法進行通信雙方的身份認證，在進行身份認證時需要使用對方的公鑰來驗證對方的簽名，而如何獲取和管理對方的公鑰則需要特定的公鑰獲取技術。現有傳統的非對稱加密算法具有兩個秘鑰：（1）公鑰，是指公開給外部的秘鑰，用于通信對方進行驗證簽名或數據加密；（2）私鑰，用戶自己持有的秘鑰，不公開，需保密存儲，用于通信時己方進行數字簽名或數據解密。

傳統的公鑰基礎設施PKI（Public Key Infrastructure）技術方案通過將公鑰與公鑰所有者等信息制作成數字證書形式的文件。在需要進行身份認證時，設備B通過從證書管理中心下載設備A的數字證書文件，或者設備A在通信時將設備A的數字證書文件發送給設備B，設備B在獲得設備A的數字證書后，解析數字證書文件獲取設備A的公鑰，然后通過公鑰進行驗證簽名或數據加密。

該管理方式存在如下缺點問題：（1）需要專門的證書管理機構來生產、管理證書，提供證書下載服務，且要求專門機構具備獨立第三方的法律地位，證書中心建設維護成本高；（2）數字證書在應用過程中需要有證書傳遞過程，證書傳遞需要一定的網絡帶寬做為基礎，在大范圍物聯網邊緣計算應用領域中證書傳遞過程會極大的占用網絡帶寬；（3）在使用證書的過程中，需要驗證證書的合法性和解析證書中公鑰的步驟，對終端設備的性能要求較高。

發明內容

本發明目的是為了克服現有技術的不足而提供一種可快速獲取對方公鑰，而不用通過采用傳統需對方發送證書或者從證書管理中心下載對方證書的繁瑣流程，可實現達到節約公鑰交換時間和傳輸帶寬的基于安全邊緣計算的密鑰管理通信方法。

為便于本技術方案后續的說明表述，對后文中出現的英文縮寫或專業術語作如下解釋：

非對稱加密算法ECC是指應用橢圓曲線密碼學（英文全稱Elliptic CurveCryptography）復合定理的加密算法。

ECC公私鑰對原理：有限域P上的橢圓曲線以(a，b，G，n，p)定義。其中a，b定義三次方程y2 ≡ ( x3 + ax + b) mod p，G為加法群的基點，n是以G為基點的群的階。假設任意小于n的整數r為私鑰，則r G=R為對應公鑰。

ECC復合定理如下：在同一個橢圓曲線中，ECC算法的公私鑰對中，任意多對公、私鑰，其私鑰之和與公鑰之和構成新的公、私鑰對。

如果，私鑰之和為：( r1 + r2 + … + rm ) mod n = r，則對應公鑰之和為： R1+ R2 + … + Rm = R；那么，r和R剛好形成新的公、私鑰對。因為，R = R1 + R2 + … + Rm= r1G + r2G +…+ rmG = (r1 + r2 +…+ rm) G = rG。

hash散列算法是把任意長度的輸入（又叫做預映射pre-image）通過散列算法變換成固定長度的輸出，該輸出就是散列值,簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。

為達到上述目的，本發明采用了如下技術方案。