一种信息交互方法、装置和系统

技术领域

本发明涉及工业互联网技术领域，特别是涉及一种信息交互方法、装置和系统。

背景技术

工业互联网作为新一代信息技术与制造业深度融合的产物，通过对人、机、物的全面互联，构建起全要素、全产业链、全价值链全面连接的新型生产制造和服务体系，是数字化转型的实现途径，是实现新旧动能转换的关键力量。

工业互联网是工业数字化转型的承载与外在表现。工业互联网的核心原理是：数据驱动物理系统与数字空间互联协同。数据是工业互联网的灵魂，呈现出自下而上从设备层、边缘层到企业层、产业层的南北向流动以及与每个层次内部的东西向流动的特点。其中，网络互联、系统互通过程中，数据加速流动的同时，也产生了若干安全风险。

在工业互联网产业中，上下游企业通过业务系统、移动应用程序(APP)与工业互联网平台进行数据交互，工业互联网平台对这些业务系统和移动APP的身份认证问题，成为确保工业互联网安全的必要条件。

目前工业互联网场景中，接入设备(包括待接入工业互联网平台的业务系统、设备、移动APP)接入工业互联网平台认证方式采用基于用户名、口令的认证方式。如图1所示，基于用户名、口令的认证方式具体如下所述的步骤101至106：

步骤101、接入设备从安全认证系统(即内网负责安全认证的系统)处获取用户名和口令；

步骤102：接入设备持用户名和口令向安全认证系统发送API请求，以访问内网设备；

步骤103、安全认证系统验证用户名和口令；

步骤104、用户名和口令验证通过后，安全认证系统向内网设备发送API请求；

步骤105、内网设备执行API；

步骤106、内网设备向接入设备返回数据，即将结果返回接入设备，并关闭连接。

其中，在前述步骤101至103的过程中，攻击者可以通过多次尝试的方式，试探可能的用户名与口令，从而通过大量尝试获取合法用户的用户名与口令，冒用非法获取的用户名、口令连接工业互联网平台，非法使用数据；攻击者还可以通过网络攻击拦截、窃取等方式获取合法用户的用户名、口令，冒用合法用户身份，连接工业互联网平台，非法使用数据。由此可见，基于用户名、口令的认证方式存在易于尝试、冒用等安全风险。

为了解决传统用户名、口令产生的安全问题，业务普遍采用公钥密码体系(PKI)为接入设备签发身份证书，接入设备连接工业互联网平台时，使用身份证书进行身份验证，保障外部接入系统的身份合法性。如图2所示，基于证书的公钥密码认证方式具体如下所述的步骤201至206：

步骤201、接入设备从工业互联网云平台的证书的签发机构(CA)处获取登录身份证书；

步骤202、安全认证系统从CA同步接入设备的登陆身份证书；

步骤203、接入设备持登录身份证书向安全认证系统发送API请求，以访问内部设备；

步骤204、安全认证系统验证登录身份证书的有效性；

步骤205、安全认证系统对登录身份证书验证通过后，向内网设备发送API请求；

步骤206、内网设备执行API；

步骤207、内网设备向接入设备返回数据，即将结果返回接入设备，并关闭连接。

其中，在基于证书的公钥密码认证方式中，PKI会不定期地更新登录身份证书，减少登录身份证书被盗用产生的安全风险。并且，持有登录身份证书的用户怀疑登录身份证书被盗用窃取时，可以通知PKI中的CA，申请作废原登录身份证书，签发新的登录身份证书，从而可以在一定程度上减少的证书泄露产生的安全风险。

由上述可知，基于证书的公钥密码认证方式可以在一定程度上解决基于用户名和口令的认证方式带来的尝试、冒用等安全风险。

然而，在现有技术中，CA给接入设备下发证书时是逐级下发，例如按照集团-工厂-车间-生产线-设备的流程下发，这样一个证书下发到接入设备会耗费较多时间，从而导致接入设备的身份认证效率较低。

发明内容

本发明提供了一种信息交互方法、装置和系统，以解决现有技术中接入设备的身份认证效率较低的问题。

第一方面，本发明的实施例提供了一种信息交互方法，应用于云平台，所述方法包括：

获取云平台的接入设备的身份标识；

根据所述身份标识，生成第一私钥；

根据所述第一私钥，生成第一公钥；

将所述第一私钥和所述第一公钥作为所述接入设备的密钥对发送给所述接入设备。

第二方面，本申请实施例提供了一种信息交互方法，应用于云平台的接入设备，所述方法包括：

接收云平台发送的第一私钥和第一公钥，以作为所述接入设备的密钥对进行存储。

第三方面，本发明的实施例提供了一种信息交互装置，应用于云平台，所述装置包括：

标识获取模块，用于获取云平台的接入设备的身份标识；

第一密钥生成模块，用于根据所述身份标识，生成第一私钥；

第二密钥生成模块，用于根据所述第一私钥，生成第一公钥；

第一发送模块，用于将所述第一私钥和所述第一公钥作为所述接入设备的密钥对发送给所述接入设备。

第四方面，本发明的实施例提供了一种信息交互装置，应用于云平台的接入设备，所述装置包括：

第一接收模块，用于接收云平台发送的第一私钥和第一公钥，以作为所述接入设备的密钥对进行存储。

第五方面，本申请实施例提供了一种云平台，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述第一方面所述的信息交互方法的步骤。

第六方面，本申请实施例提供了一种接入设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述第二方面所述的信息交互方法的步骤。

第七方面，本申请实施例提供了一种信息交互系统，包括上述应用于云平台的信息交互装置和上述应用于接入设备的信息交互装置。

第八方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的信息交互方法的步骤。

与现有技术相比，本发明包括以下优点：

本发明的实施例，通过云平台获取接入设备的身份标识，从而根据身份标识生成第一私钥，根据第一私钥生成第一公钥，进而将第一私钥和第一公钥作为接入设备的密钥对发送给接入设备。由此可见，本发明的实施例中，由云平台生成接入设备的密钥对，并直接下发给对应的接入设备，而不是逐级转发，从而使得接入设备能够快速接收到自身的密钥对，进而可以提升对该接收设备的身份认证速度，即提升接入设备的身份认证效率。

附图说明

图1为现有技术中的基于用户名和口令的认证方式的流程示意图；

图2为现有技术中的基于证书的公钥密码认证方式的流程示意图；

图3表示本发明实施例提供的应用于云平台的信息交互方法的流程图；

图4表示本发明实施例中共享密钥的生成过程示意图；

图5表示本发明实施例提供的应用于云平台的接入设备的信息交互方法的流程图；

图6表示本发明实施例提供的应用于云平台的信息交互装置的框图；

图7表示本发明实施例提供的应用于云平台的接入设备的信息交互装置的框图；

图8表示本发明实施例中工业互联网体系中的交互模式示意图；

图9表示本发明实施例提供的信息交互系统的具体实施方式的框图；

图10表示本发明实施例中卷烟厂的工作系统的框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

第一方面，本申请的实施例提供了一种信息交互方法，应用于云平台。参见图3，所述方法可以包括以下步骤：

步骤301：获取云平台的接入设备的身份标识。

其中，所述接入设备可以包括接入云平台的终端、移动应用程序(APP)、业务系统。

步骤302：根据所述身份标识，生成第一私钥。

可选的，所述身份标识为数字；所述根据所述身份标识，生成第一私钥，包括：

根据第一预设公式y＝a

将所述目标参数与第二私钥的和作为所述第一私钥；

其中，所述第二私钥为预先确定的所述云平台的密钥对中的私钥。

即云平台获取到接入设备的身份标识ID_A之后，在有限域F(N)上计算$t_1＝H_1(ID_A，N)+ks，N为域集合，计算得到的$t_1即为第一私钥。其中，“H_1(ID_A，N)”表示在有限域F(N)上，H_1＝a

其中，目标参数H_1为以a为生成元的第一循环群中的其中一个元素，且H_1＝a

步骤303：根据所述第一私钥，生成第一公钥。

可选的，所述根据所述第一私钥，生成第一公钥，包括：

根据第二预设公式P

即第一公钥P

步骤304：将所述第一私钥和所述第一公钥作为所述接入设备的密钥对发送给所述接入设备。

可选的，在接入设备首次接入云平台时，会触发云平台执行前述步骤301至304的过程，即为该接入设备生成密钥对，并下发给该接入设备。

其中，密钥对是用来对数据进行加密并进行身份认证的，因此，为了保证密钥对的传输安全，可以对第一私钥和第一公钥进行加密。

因此，可选的，所述将所述第一私钥和所述第一公钥作为所述接入设备的密钥对发送给所述接入设备，包括：

通过共享密钥，并采用对称密码算法对所述第一私钥和所述第一公钥进行加密，得到第五密文；

将所述第五密文发送给所述接入设备；

其中，所述共享密钥是所述云平台和所述接入设备通过密钥交换协议生成的。

即云平台和接入设备通过密钥交换协议生成共享密钥，从而使得云平台可以利用共享密钥对第一私钥和第一公钥进行加密，使得接入设备可以利用共享密钥对加密后的第一私钥和第一公钥进行解密。

其中，云平台和接入设备通过密钥交换协议生成共享密钥的过程如图4所示，即包括如下所述的步骤1.1至1.4：

步骤1.1、云平台发起密钥交换请求；

步骤1.2、云平台生成用于密钥协商的质数P与整数G，发送至对方(即接入设备)；

步骤2.1、云平台运行密码生成器，生成种子密钥ka＝K

步骤2.2、接入设备运行种子密钥生成器，生成种子密钥kb＝K

步骤3.1、云平台运行子密钥生成函数：f(a)＝G

步骤3.2：接入设备运行子密钥生成函数：f(b)＝G

步骤4.1、云平台运行共享密钥生成函数：f(a)＝(f(b))

步骤4.2、接入设备运行共享密钥生成函数：f(b)＝(f(a))

由上述可知，本发明的实施例，通过云平台获取接入设备的身份标识，从而根据身份标识生成第一私钥，根据第一私钥生成第一公钥，进而将第一私钥和第一公钥作为接入设备的密钥对发送给接入设备。由此可见，本发明的实施例中，由云平台生成接入设备的密钥对，并直接下发给对应的接入设备，而不是逐级转发，从而使得接入设备能够快速接收到自身的密钥对，进而可以提升对该接收设备的身份认证速度，即提升接入设备的身份认证效率。

此外，在现有技术中，由于工业互联网平台需要对接的业务系统与移动APP，已经从几十个发展到了千余个，并且还会持续增长，而且未来工业互联网平台对接的外部实体，除业务系统、移动APP外，还要增加数以万计的传感器。由此可见，基于证书的公钥密码认证方式，身份认证中心需要存储、更新、吊销、生成万级、十万、百万级身份认证，这样PKI身份认证中心会不堪重负。即当接入设备数量庞大时，CA认证中心负担过大，存在公钥更新不及时的问题。

而本发明的实施例，云平台可以自主生成接入设备的密钥对，并直接下发给接入设备，从而可以及时的更新接入设备的密钥对，解决了公钥更新的实时性问题。即在本发明的实施例中，无需从第三方认证机构同步身份证书，由云平台自主生成接入设备的密钥对即可，从而可以解决由于身份证书更新不及时导致的黑客攻击问题，大幅提升工业场景外部系统接入安全保障能力。

可选的，所述方法还包括：

生成第二私钥和第二公钥，以作为所述云平台的密钥对，并将所述第二公钥发送给所述接入设备。

即本发明的实施例中，云平台还可以生成自身的密钥对，并将该密钥对中的公钥发送给接入设备。

可选的，所述生成第二私钥和第二公钥，包括：

生成第二随机数，以作为所述第二私钥；

根据第三预设公式P

其中，第二公钥P

另外，所述第二随机数为从1至n中随机选取的一个数。

可选的，所述方法还包括：

接收所述接入设备发送的身份认证请求，所述身份认证请求中携带有第一密文，其中，所述第一密文是通过所述第一私钥对第一随机数和所述接入设备的身份标识加密后得到的；

通过所述第一公钥对所述第一密文进行解密，得到所述第一随机数和所述接入设备的身份标识；

在所述接入设备的身份标识存在于预先确定的身份标识库中的情况下，确定所述接入设备的身份合格，并通过所述第二私钥对所述第一随机数进行加密，得到第二密文；

将所述第二密文发送给所述接入设备，以使得所述接入设备通过所述第二公钥对所述第二密文进行解密，并根据解密获得的随机数对所述云平台的身份进行认证。

其中，可以将第一随机数与接入设备的身份标识进行拼接，然后通过第一私钥对拼接后得到的数据进行加密，从而得到第一密码。

可选的，所述第一随机数的长度为128比特。

另外，在接入设备首次接入云平台，或者需要向云平台发送数据时，可以向云平台发送上述身份认证请求。

由上述可知，接入设备可以生成第一随机数m，然后将m与接收设备的身份标识ID_A进行拼接，从而通过第一私钥对拼接后的数据进行加密，得到第一密文，进而将第一密文发送给云平台。云平台接收到第一密文后，通过第一公钥对第一密文进行解密，获得m和ID_A。

其中，若ID_A存在于预先确定的身份标识库中，则确定ID_A所标识的接入设备的身份合格；若ID_A未存在于预先确定的身份标识库中，则确定ID_A所标识的接入设备的身份不合格，从而结束通信。

另外，在确定ID_A所标识的接入设备的身份合格之后，云平台还可以通过第二私钥将获得的m进行加密，得到第二密文，从而将第二密文发送给接入设备。接入设备接收到第二密文之后，通过第二公钥对第二密文进行解密，获得第二密文中包括的随机数m’，然后对比m与m’，若二者相等，则表示云平台身份合格，否则云平台身份不合格，结束通信。

由上述可知，本发明的实施例，不仅可以对接入设备进行身份认证，还可以对云平台进行认证，即本发明的实施例可以实现接入设备与云平台之间的双向认证，从而进一步提高了通信安全。

可选的，所述方法还包括：

接收所述接入设备在所述云平台的身份验证合格时发送的第一数据和第三密文，其中，所述第三密文是通过所述第一私钥对第一摘要数据进行加密后得到的，所述第一摘要数据是采用密码杂凑SM3算法对所述第一数据进行处理后得到的；

采用所述第一公钥对所述第三密文进行解密，得到所述第一摘要数据；

采用密码杂凑SM3算法对接收到的第一数据进行处理，得到第二摘要数据；

在所述第一摘要数据与所述第二摘要数据相同的情况下，确定接收到的第一数据未被篡改。

由上述可知，在云平台以及接入设备的身份均通过认证之后，接入设备可以向云平台发送数据。其中，接入设备可以采用SM3算法对需要发送的第一数据进行处理，得到第一摘要数据，然后通过第一私钥对第一摘要数据进行加密，得到第三密文(即数据签名)，从而将第三密文和第一数据(即明文数据)同时发送给云平台。

其中，云平台接收到第三密文和第一数据之后，首先采用第一公钥对第三密文进行解密，得到第一摘要数据；然后，采用SM3算法对接收到的第一数据进行处理，得到第二摘要数据；进而对比第一摘要数据与第二摘要数据，以确定第一数据是否被篡改。即第一摘要数据与第二摘要数据相同，则第一数据未被篡改；第一摘要数据与第二摘要数据不相同，则第一数据被篡改。

可选的，所述方法还包括：

接收所述接入设备在所述云平台的身份验证合格时发送的第四密文，其中，所述第四密文是采用标识密码SM9算法，并通过所述第一私钥对第二数据进行加密后得到的；

通过所述第一公钥对所述第四密文进行解密，得到所述第二数据。

由上述可知，在云平台以及接入设备的身份均通过认证之后，接入设备可以向云平台发送数据。其中，接入设备可以采用SM9算法对需要发送的第二数据进行处理，得到第四密文，从而将第四密文发送给云平台。

其中，云平台接收到第四密文之后，则可以通过第一公钥对第四密文进行解密，以获得第二数据。

可选的，所述第一数据的安全等级低于预设等级，所述第二数据的安全等级高于或等于所述预设等级。

即在接入设备需要发送给云平台的数据的安全等级低于预设等级的情况下，接入设备可以先采用SM3算法对待发送的数据进行处理，得到摘要数据，然后通过第一公钥对摘要数据进行加密，得到数据签名，从而将数据签名和明文数据(即待发送的数据)一起发送给云平台。其中，低安全等级的数据并不需要很高的加密等级，因此，此种加密方式在保证所需的安全等级的情况下，可以提升数据传输速度。

而在接入设备需要发送给云平台的数据的安全等级高于或等于预设等级的情况下，接入设备可以采用SM9算法并通过第一私钥对待发送数据进行加密。其中，高安全等级的数据需要很高的加密等级，因此，此种加密方式可以保证所需的安全等级。

由上述可知，本发明的实施例可以预先设置不同类型的数据的安全等级，从而在接入设备给云平台发送不同类型的数据时，可以采用不同的加密等级，以在满足安全等级的情况下，提升数据传输速度。

第二方面，本申请的实施例提供了一种信息交互方法，应用于云平台的接入设备。参见图5，所述方法可以包括以下步骤：

步骤501：接收云平台发送的第一私钥和第一公钥，以作为所述接入设备的密钥对进行存储。

其中，所述接入设备可以包括接入云平台的终端、移动应用程序(APP)、业务系统。

可选的，在接入设备首次接入云平台时，会触发云平台为该接入设备生成密钥对，并下发给该接入设备。

另外，对于第一私钥和第一公钥的生成过程，请参加前文所述，此处不再赘述。

可选的，所述接收云平台发送的第一私钥和第一公钥，包括：

接收所述云平台发送的第五密文，其中，所述第五密文是通过共享密钥，并采用非对称加密算法对所述第一私钥和所述第一公钥加密后得到的；

通过所述共享密钥，并采用非对称密码算法对所述第五密文进行解密，得到所述第一私钥和所述第一公钥；

其中，所述共享密钥是所述云平台和所述接入设备通过密钥交换协议生成的。

密钥对是用来对数据进行加密并进行身份认证的，因此，为了保证密钥对的传输安全，云平台可以对第一私钥和第一公钥进行加密，接入设备接收到之后再进行解密。

即云平台和接入设备通过密钥交换协议生成共享密钥，从而使得云平台可以利用共享密钥对第一私钥和第一公钥进行加密，使得接入设备可以利用共享密钥对加密后的第一私钥和第一公钥进行解密。

其中，云平台和接入设备通过密钥交换协议生成共享密钥的过程，请参见前文所述，此处不再赘述。

可选的，所述方法还包括：

接收所述云平台发送的第二公钥，并存储所述第二公钥，其中，所述第二公钥为所述云平台的密钥对中的公钥。

即本发明的实施例中，云平台还可以生成自身的密钥对，并将该密钥对中的公钥发送给接入设备。

可选的，所述方法还包括：

生成第一随机数；

通过所述第一私钥对所述第一随机数和所述接入设备的身份标识进行加密，得到第一密文；

向所述云平台发送身份认证请求，其中，所述身份认证请求中携带有所述第一密文；

在目标身份标识存在于预先确定的身份标识库中的情况下，接收所述云平台发送的第二密文，其中，所述目标身份标识为所述云平台通过所述第一公钥对所述第一密文解密后获得的所述接入设备的身份标识，所述第二密文是通过第二私钥对所述第一随机数加密后得到的；

通过所述第二公钥对所述第二密文进行解密，得到所述第二密文中包括的随机数；

在所述第二密文中包括的随机数与所述第一随机数相等的情况下，确定所述云平台的身份合格。

由上述可知，接入设备可以生成第一随机数m，然后将m与接收设备的身份标识ID_A进行拼接，从而通过第一私钥对拼接后的数据进行加密，得到第一密文，进而将第一密文发送给云平台。云平台接收到第一密文后，通过第一公钥对第一密文进行解密，获得m和ID_A。

其中，若ID_A存在于预先确定的身份标识库中，则确定ID_A所标识的接入设备的身份合格；若ID_A未存在于预先确定的身份标识库中，则确定ID_A所标识的接入设备的身份不合格，从而结束通信。

另外，在确定ID_A所标识的接入设备的身份合格之后，云平台还可以通过第二私钥将获得的m进行加密，得到第二密文，从而将第二密文发送给接入设备。接入设备接收到第二密文之后，通过第二公钥对第二密文进行解密，获得第二密文中包括的随机数m’，然后对比m与m’，若二者相等，则表示云平台身份合格，否则云平台身份不合格，结束通信。

由上述可知，本发明的实施例，不仅可以对接入设备进行身份认证，还可以对云平台进行认证，即本发明的实施例可以实现接入设备与云平台之间的双向认证，从而进一步提高了通信安全。

可选的，确定所述云平台的身份合格之后，所述方法还包括：

采用密码杂凑SM3算法对第一数据进行处理，得到第一摘要数据；

通过所述第一私钥对所述第一摘要数据进行加密，得到第三密文；

将所述第一数据和所述第三密文发送给所述云平台。

由上述可知，在云平台以及接入设备的身份均通过认证之后，接入设备可以向云平台发送数据。其中，接入设备可以采用SM3算法对需要发送的第一数据进行处理，得到第一摘要数据，然后通过第一私钥对第一摘要数据进行加密，得到第三密文(即数据签名)，从而将第三密文和第一数据(即明文数据)同时发送给云平台。

其中，云平台接收到第三密文和第一数据之后，首先采用第一公钥对第三密文进行解密，得到第一摘要数据；然后，采用SM3算法对接收到的第一数据进行处理，得到第二摘要数据；进而对比第一摘要数据与第二摘要数据，以确定第一数据是否被篡改。即第一摘要数据与第二摘要数据相同，则第一数据未被篡改；第一摘要数据与第二摘要数据不相同，则第一数据被篡改。

可选的，确定所述云平台的身份合格之后，所述方法还包括：

通过所述第一公钥，并采用标识密码SM9算法对第二数据进行加密，得到第四密文；

将所述第四密文发送给所述云平台。

由上述可知，在云平台以及接入设备的身份均通过认证之后，接入设备可以向云平台发送数据。其中，接入设备可以采用SM9算法对需要发送的第二数据进行处理，得到第四密文，从而将第四密文发送给云平台。

其中，云平台接收到第四密文之后，则可以通过第一公钥对第四密文进行解密，以获得第二数据。

可选的，所述第一数据的安全等级低于预设等级，所述第二数据的安全等级高于或等于所述预设等级。

即在接入设备需要发送给云平台的数据的安全等级低于预设等级的情况下，接入设备可以先采用SM3算法对待发送的数据进行处理，得到摘要数据，然后通过第一公钥对摘要数据进行加密，得到数据签名，从而将数据签名和明文数据(即待发送的数据)一起发送给云平台。其中，低安全等级的数据并不需要很高的加密等级，因此，此种加密方式在保证所需的安全等级的情况下，可以提升数据传输速度。

而在接入设备需要发送给云平台的数据的安全等级高于或等于预设等级的情况下，接入设备可以采用SM9算法并通过第一私钥对待发送数据进行加密。其中，高安全等级的数据需要很高的加密等级，因此，此种加密方式可以保证所需的安全等级。

由上述可知，本发明的实施例可以预先设置不同类型的数据的安全等级，从而在接入设备给云平台发送不同类型的数据时，可以采用不同的加密等级，以在满足安全等级的情况下，提升数据传输速度。

第三方面，本申请的实施例提供了一种信息交互装置，应用于云平台，如图6所示，该信息交互装置可以包括如下模块：

标识获取模块601，用于获取云平台的接入设备的身份标识；

第一密钥生成模块602，用于根据所述身份标识，生成第一私钥；

第二密钥生成模块603，用于根据所述第一私钥，生成第一公钥；

第一发送模块604，用于将所述第一私钥和所述第一公钥作为所述接入设备的密钥对发送给所述接入设备。

可选的，所述装置还包括：

第三密钥生成模块，用于生成第二私钥和第二公钥，以作为所述云平台的密钥对，并将所述第二公钥发送给所述接入设备。

可选的，所述装置还包括：

请求接收模块，用于接收所述接入设备发送的身份认证请求，所述身份认证请求中携带有第一密文，其中，所述第一密文是通过所述第一私钥对第一随机数和所述接入设备的身份标识加密后得到的；

第一解密模块，用于通过所述第一公钥对所述第一密文进行解密，得到所述第一随机数和所述接入设备的身份标识；

第一认证模块，用于用于在所述接入设备的身份标识存在于预先确定的身份标识库中的情况下，确定所述接入设备的身份合格；

第一加密模块，用于通过所述第二私钥对所述第一随机数进行加密，得到第二密文；

第二发送模块，用于将所述第二密文发送给所述接入设备，以使得所述接入设备通过所述第二公钥对所述第二密文进行解密，并根据解密获得的随机数对所述云平台的身份进行认证。

可选的，所述装置还包括：

第二接收模块，用于接收所述接入设备在所述云平台的身份验证合格时发送的第一数据和第三密文，其中，所述第三密文是通过所述第一私钥对第一摘要数据进行加密后得到的，所述第一摘要数据是采用密码杂凑SM3算法对所述第一数据进行处理后得到的；

第二解密模块，用于采用所述第一公钥对所述第三密文进行解密，得到所述第一摘要数据；

第二加密模块，用于采用密码杂凑SM3算法对接收到的第一数据进行处理，得到第二摘要数据；

结果确定模块，用于在所述第一摘要数据与所述第二摘要数据相同的情况下，确定接收到的第一数据未被篡改。

可选的，所述装置还包括：

第三接收模块，用于接收所述接入设备在所述云平台的身份验证合格时发送的第四密文，其中，所述第四密文是采用标识密码SM9算法，并通过所述第一私钥对第二数据进行加密后得到的；

第三解密模块，用于通过所述第一公钥对所述第四密文进行解密，得到所述第二数据。

可选的，所述身份标识为数字；所述第一密钥生成模块602具体用于：

根据第一预设公式H_1＝a

将所述目标参数与第二私钥的和作为所述第一私钥；

其中，所述第二私钥为预先确定的所述云平台的密钥对中的私钥。

可选的，所述第二密钥生成模块603具体用于：

根据第二预设公式P

可选的，所述第三密钥生成模块具体用于：

生成第二随机数，以作为所述第二私钥；

根据第三预设公式P

可选的，所述第一发送模块604具体用于：

通过共享密钥，并采用对称密码算法对所述第一私钥和所述第一公钥进行加密，得到第五密文；

将所述第五密文发送给所述接入设备；

其中，所述共享密钥是所述云平台和所述接入设备通过密钥交换协议生成的。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

第四方面，本申请的实施例提供了一种信息交互装置，应用于云平台的接入设备，如图7所示，该信息交互装置可以包括如下模块：

第一接收模块701，用于接收云平台发送的第一私钥和第一公钥，以作为所述接入设备的密钥对进行存储。

可选的，所述装置还包括：

第四接收模块，用于接收所述云平台发送的第二公钥，并存储所述第二公钥，其中，所述第二公钥为所述云平台的密钥对中的公钥。

可选的，所述装置还包括：

随机数生成模块，用于生成第一随机数；

第三加密模块，用于通过所述第一私钥对所述第一随机数和所述接入设备的身份标识进行加密，得到第一密文；

请求发送模块，用于向所述云平台发送身份认证请求，其中，所述身份认证请求中携带有所述第一密文；

第五接收模块，用于在目标身份标识存在于预先确定的身份标识库中的情况下，接收所述云平台发送的第二密文，其中，所述目标身份标识为所述云平台通过所述第一公钥对所述第一密文解密后获得的所述接入设备的身份标识，所述第二密文是通过第二私钥对所述第一随机数加密后得到的；

第四解密模块，用于通过所述第二公钥对所述第二密文进行解密，得到所述第二密文中包括的随机数；

第二认证模块，用于在所述第二密文中包括的随机数与所述第一随机数相等的情况下，确定所述云平台的身份合格。

可选的，所述装置还包括：

第四加密模块，用于采用密码杂凑SM3算法对第一数据进行处理，得到第一摘要数据；

第五加密模块，用于通过所述第一私钥对所述第一摘要数据进行加密，得到第三密文；

第三发送模块，用于将所述第一数据和所述第三密文发送给所述云平台。

可选的，所述装置还包括：

第六加密模块，用于通过所述第一公钥，并采用标识密码SM9算法对第二数据进行加密，得到第四密文；

第四发送模块，用于将所述第四密文发送给所述云平台。

可选的，所述第一接收模块701具体用于：

接收所述云平台发送的第五密文，其中，所述第五密文是通过共享密钥，并采用非对称加密算法对所述第一私钥和所述第一公钥加密后得到的；

通过所述共享密钥，并采用非对称密码算法对所述第五密文进行解密，得到所述第一私钥和所述第一公钥；

其中，所述共享密钥是所述云平台和所述接入设备通过密钥交换协议生成的。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

第五方面，本申请实施例还提供了一种信息交互系统，上述应用于云平台的信息交互装置和应用于云平台的接入设备的信息交互装置。

第六方面，本申请实施例还提供了一种云平台，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述应用于云平台的信息交互方法的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

第七方面，本申请实施例还提供了一种接入设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述应用于云平台的接入设备的信息交互方法的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

第八方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时上述任一项所述的信息交互方法的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

第九方面，本发明实施例的信息交互系统的具体实施方式可如下所述。

在工业领域中，生产企业的互联网技术(IT)架构一般由设备层、边缘层、企业层三个层次构成，保障设备稳定运行，支持企业持续运营。但是随着工业互联网产业的快速发展，生产企业设备层大量传感器与工业设备、企业层大量业务系统、移动APP需要接入到工业互联网平台，使用工业互联网平台提供的数据和功能，如果非法设备、不明身份设备接入工业互联网平台使用平台提供的数据与功能，将造成数据泄露、非法篡改数据等信息安全问题，严重影响企业正常运行运营。

如图8所示，在工业互联网体系中，交互模式包括两类：一是工业互联网平台与终端、移动APP、业务系统之间交互。二是终端、移动APP、业务系统三者之间两两交互。

其中，本发明实施例提供的信息交互系统包括云平台和接入设备，所述云平台为上述所述的互联网平台，所述接入设备为终端、移动APP、业务系统中的其中任意一种。因此，本发明实施例的信息交互系统所涉及的信息交互属于上述第一类交互模式。

本发明实施例的信息交互系统的架构图如图9所示。

工业互联网平台包括：第一随机数发生器、密钥对生成模块、第一公钥管理模块、第二私钥管理模块、第一共享密钥生成模块、身份标识库模块、数据验签模块、第一数据加密模块、第一数据解密模块。

接入设备包括：第二共享密钥生成模块、身份标识模块、第二随机数发生器、第二公钥管理模块、第二私钥管理模块、数据签名模块、第二数据加密模块、第二数据解密模块。

其中，工业互联网平台和接入设备包括的各个模块的功能如下第一点至第五点所述。

第一点，在生成工业互联网平台的密钥对的过程中，第一随机数发生器生成第二随机数，以作为第二私钥，并发送给密钥对生成模块，以使得密钥对生成模块根据第二私钥生成第二公钥，从而将第二私钥发送给第一私钥管理模块进行存储，将第二公钥发送给第一公钥管理模块进行存储，并将第二公钥发送给接入设备，由接入设备的第二公钥管理模块进行存储。其中，根据第二私钥生成第二公钥的具体过程请参见前文，此处不再赘述。

第二点，在生成接入设备的密钥对的过程中，密钥对生成模块获取接入设备的身份标识，并根据身份标识确定第一私钥，从而根据第一私钥确定第一公钥，进而将第一私钥发送给第一私钥管理模块进行存储，将第一公钥发送给第一公钥管理模块进行存储。其中，根据第一私钥生成第一公钥的具体过程请参见前文，此处不再赘述。

其中，第一共享密钥生成模块和第二共享密钥生成模块可以采用Diffie-Hellman密码交换算法，生成共享密钥并进行存储。其中，具体生成共享密钥的过程请参见前文，此处不再赘述。

另外，密钥对生成模块生成接入设备的密钥对之后，可以采用共享密码对该密钥对进行加密，然后将加密后的该密钥对发送给接入设备，由接入设备中的第二私钥管理模块存储第一私钥，由第二公钥管理模块存储第一公钥。

第三点，在双向认证(即对工业互联网平台和接入设备的认证)过程中，各个模块的功能如下所述：

外接设备接入工业互联网平台时，会触发第二随机数发生器生成第一随机数，并将第一随机数发送给身份标识模块。身份标识模块则会将第一随机数与接入设备的身份标识进行拼接，然后将拼接得到的数据发送给第二数据加密模块。第二数据加密模块则采用第一私钥对接收到的拼接数据进行加密，得到第一密文，从而将第一密文发送给工业互联网平台。

工业互联网平台接收到第一密文之后，由第一数据解密模块通过第一公钥进行解密，得到拼接数据，然后从拼接数据中截取身份标识和第一随机数，进而将第一随机数发送给第一数据加密模块，将身份标识发送给身份标识库模块。

其中，身份识别库模块接收到身份标识之后，判断该身份标识是否存在于预先建立的身份识别库中，并在存在时，确定该身份标识所表示的接入设备的身份合格，从而向第一数据加密模块发送第一指示，以指示第一数据加密模块对第一随机数进行加密；而在身份识别库中未存在该身份标识时，确定该身份标识所表示的接入设备的身份不合格。

另外，第一数据加密模块通过第二私钥对第一随机数进行加密，得到第二密文，从而将第二密文发送给接入设备。接入设备接收到第二密文之后，由第二数据解密模块通过第二公钥对第二密文进行解密，从而将解密获得的随机数与其之前生成的第一随机数进行对比，在二者相同时，确定工业互联网平台身份合格，否则，确定工业互联网平台身份不合格。

第四点，关于低安全等级数据(即安全等级低于预设等级的数据)的传输：接入设备和工业互联网平台的身份均认证合格之后，当接入设备需要向工业互联网平台发送低安全等级数据时，通过数据签名模块采用SM3算法对所需发送的低安全等级数据进行处理，生成第一摘要数据，然后将第一摘要数据发送给第二数据加密模块，由第二数据加密模块通过第一私钥进行加密，得到第三密文，进而将第三密文和未加密的低安全等级数据(即明文数据)发送给工业互联网平台。

其中，工业互联网平台接收到第三密文之后，由第一数据解密模块通过第一公钥对第三密文进行解密，得到第一摘要数据，然后将第一摘要数据发送给数据验签模块，由数据验签模块采用SM3算法对未加密的低安全等级数据进行处理，得到第二摘要数据，从而对比第一摘要数据与第二摘要数据，在二者相同时，确定未加密的低安全等级数据未被篡改，否则，确定未加密的低安全等级数据被篡改。

第五点，关于高安全等级数据(即安全等级高于或等于预设等级的数据)的传输：接入设备和工业互联网平台的身份均认证合格之后，当接入设备需要向工业互联网平台发送高安全等级数据时，由第二数据加密模块通过第一私钥，并采用SM9算法，对待发送的高安全等级数据进行加密，得到第四密文，进而将第四密文发送给工业互联网平台。

工业互联网平台接收到第四密文之后，通过第一数据解密模块采用第一公钥对第四密文进行解密，以得到高安全等级数据。

由上述可知，由工业互联网平台生成接入设备的密钥对以及其自身的密钥对，并可以使用这些密钥对对完成双向认证、数据签名与验签、数据加密与解密。

具体的，如图10所示，卷烟厂的工作系统，包括设备层、接入层、平台层、应用层。设备层主要包括制丝设备、卷包设备、动力能源设备。其中，制丝设备负责将烟叶切成烟丝，卷包设备负责将烟丝卷到烟支中，并包装到盒、包装到条、包装到箱。动力能源设备负责为制丝线、卷包线提供水电气汽生产过程所需能源。制丝设备、卷包设备、动力能源设备稳定运转是保障生产的必要前提，因此需要大量监测系统与设备，监测制丝、卷包和动力能源设备，及时发现问题，辅助进行运维保障工作。

接入层包括安全接入网关等设备，负责将设备层的制丝、卷包、动力能源等设备接入平台层；平台层包括微服务组件和在线数据分析平台(DASS)；应用层包括制造企业生产过程执行管理系统(MES)、企业资源计划(ERP)系统、仓储管理(WM)、物料管理(MM)等生产业务执行管控系统。

其中，上述接入层、平台层、应用层可以统称为卷烟厂的工业互联网平台，设备层即为该工业互联网的接入设备所处的层。

另外，设备层的各种生产设备，通过接入层安全接入网关，接入工业互联网平台，上传设备运行信息、接收工业互联网平台下达的指令。供应链企业的税务系统、物料在途APP、设备远程运维APP，也通过接入层安全接入网关，接入工业互联网平台，与平台交互数据。其中，物料在途APP即为管理在运输途中的物料的APP。

此外，在卷烟厂的工业系统中，其工业互联网平台可作为前述第一方面和第二方面中所述的云平台，其设备层中的任意一个设备可以作为前述第一方面和第二方面所述的接入设备，来实施前述第一方面和第二方面所述的信息交互方法。即本发明实施例的信息交互方法，可以应用于卷烟厂的工作系统的工业互联网平台和设备层中的设备。

同理，在卷烟厂的工业系统中，其工业互联网平台可以包括前面第九方面中所述的工业互联网平台包括的各个模块(即图9中的工业互联网平台包括的各个模块)，其设备层中的任意一个设备可以包括前面第九方面中所述的接入设备包括的各个模块(即图9中的接入设备包括的各个模块)，从而实现各个模块之间的交互过程。

此外，经验证，在卷烟厂的工业系统中实施本发明实施例所述的信息交互方法可以达到如下技术指标如下：

新建连接速度(次/秒)>3000；

吞吐率(MB/秒)>800Mbps；

每秒认证数(TPS)>5000；

由此可知，本申请实施例提供的信息交互方法可以提升新建连接速度、吞吐率以及认证效率。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。