一种边缘节点授权方法、设备及介质

技术领域

本申请涉及计算机技术领域，尤其涉及一种边缘节点授权方法、设备及介质。

背景技术

在物联网领域，云边协同技术已经大规模应用。其主要特点是在云端部署一套云平台和在靠近设备的边缘端部署多套边缘节点。云平台主要对边缘节点进行资源管理、消息管理、数据管理。实际应用场景中需要对边缘节点的部署实例进行授权管理，防止非授权实例的使用及注册到云平台。

目前，通过边缘节点获取部署服务器的硬件唯一标识，将硬件唯一标识发送给云平台，云平台基于硬件唯一标识，生成边缘节点使用的边缘授权文件。边缘节点获取到边缘授权文件后，加载边缘授权文件，并在启动时校验边缘授权文件中包含的唯一标识与硬件信息是否匹配，只有二者匹配时方可正常工作。

但是，硬件标识由边缘节点获取并验证，云平台无法获取到，因此对边缘证书的验证、使用无法有效管理。当边缘节点部署在容器平台(如Kubernetes、k3s等)中时，获取硬件信息的服务会在多个硬件资源上飘移，同时考虑到边缘节点的服务器资源可能会动态伸缩，无法枚举所有硬件资源。因此，边缘平台采用获取硬件唯一标识的方式生成硬件标识，将导致无法高效准确地对边缘节点进行授权。

发明内容

本申请实施例提供一种边缘节点授权方法、设备及介质，用于解决无法高效准确地对边缘节点进行授权的问题。

本申请实施例采用下述技术方案：

一方面，本申请实施例提供了一种边缘节点授权方法，该方法包括：云平台接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点；接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识；将所述唯一标识与所述待校验唯一标识进行对比；若对比一致，则确定所述待校验唯一标识校验通过；通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件；将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

一个示例中，所述通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件，具体包括：所述云平台获取所述边缘节点的边缘授权文件；

通过非对称加密算法的私钥对所述边缘授权文件进行加密，生成边缘授权加密字符串；在所述边缘授权加密字符串中，插入所述边缘授权文件的生成时间戳、失效时间戳、所述唯一标识，生成所述边缘授权加密文件。

一个示例中，所述将所述边缘授权加密文件发送至所述边缘节点之后，所述方法还包括：所述边缘节点通过所述非对称加密算法的公钥对所述边缘授权加密文件进行解密，得到所述生成时间戳、所述失效时间戳、所述唯一标识；将所述唯一标识与云平台分发的唯一标识进行对比；若对比一致，则判断所述失效时间戳是否晚于当前校验时间；若是，则将所述边缘授权加密文件确定为有效边缘授权加密文件，将所述生成时间戳、所述失效时间戳、所述唯一标识输出至数据库，确定所述边缘节点启动成功。

一个示例中，所述确定所述边缘节点启动成功之后，所述方法还包括：所述边缘节点在预设周期内，计算当前校验时间与所述数据库中的所述失效时间戳之间的时间差值；若所述时间差值小于预设时间阈值，则确定所述边缘节点的授权有效期不足；重新向所述云平台上传新的授权请求，以获取更新的边缘授权加密文件。

一个示例中，所述确定所述边缘节点启动成功之后，所述方法还包括：所述边缘节点接收查询操作请求；从所述数据库中，获取所述失效时间戳、所述唯一标识；将所述唯一标识与云平台分发的唯一标识进行对比；若对比一致，则判断所述失效时间戳是否晚于当前查询时间；若是，则确定所述查询操作请求验证通过，允许执行所述查询操作请求。

一个示例中，所述为边缘节点生成唯一标识，具体包括：所述云平台从标识注册记录信息中，检索是否具有所述边缘节点的注册记录信息；若是，则根据所述注册记录信息判断所述边缘节点是否已经注册完成；若否，则从编码数据库中随机选择一个标识编码，将所述标识编码确定为所述边缘节点的唯一标识。

一个示例中，所述方法还包括：若所述边缘节点已经注册完成，则所述云平台获取所述边缘节点的注册时间；根据所述注册时间，生成边缘节点的重复注册通知信息，将所述重复注册通知信息发送至所述边缘节点的管理用户终端。

一个示例中，所述方法还包括：若所述唯一标识与所述待校验标识对比不一致，所述云平台生成所述待校验唯一标识的确认信息，将所述确认信息发送至所述边缘节点，以向所述边缘节点确认所述待校验标识是否处于所述边缘节点上传的授权请求；若是，则确定所述边缘节点为非法授权节点，将所述边缘节点输出至黑名单；若否，则确定所述边缘节点的授权请求被非法篡改，生成所述授权请求的非法篡改信息，将所述非法篡改信息发送至所述边缘节点。

另一方面，本申请实施例提供了一种边缘节点授权设备，应用于云平台，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点；接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识；将所述唯一标识与所述待校验唯一标识进行对比；若对比一致，则确定所述待校验唯一标识校验通过；通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件；将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

另一方面，本申请实施例提供了一种边缘节点授权非易失性计算机存储介质，存储有计算机可执行指令，应用于云平台，所述计算机可执行指令设置为：接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点；接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识；将所述唯一标识与所述待校验唯一标识进行对比；若对比一致，则确定所述待校验唯一标识校验通过；通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件；将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

边缘节点的唯一标识由云平台生成，边缘节点无需通过获取硬件标识的方式获取唯一标识，边缘节点自动向云平台发送授权请求，云平台对边缘节点的唯一标识校验通过后，能够确保边缘节点为合法边缘节点，从而继续为该边缘节点发送边缘授权加密文件，对边缘节点完成自动授权，最终能够有效且高效地对边缘节点进行授权。

附图说明

为了更清楚地说明本申请的技术方案，下面将结合附图来对本申请的部分实施例进行详细说明，附图中：

图1为本申请实施例提供的一种边缘节点授权方法的流程示意图；

图2为本申请实施例提供的一种边缘节点授权设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面参照附图来对本申请的一些实施例进行详细说明。

图1为本申请实施例提供的一种边缘节点授权方法的流程示意图。该方法可以应用于不同的业务领域，比如，互联网金融业务领域、电商业务领域、即时通讯业务领域、游戏业务领域、公务业务领域等。该流程中的某些输入参数或者中间结果允许人工干预调节，以帮助提高准确性。

图1中的流程包括以下步骤：

S101：云平台接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点。

在本申请的一些实施例中，云平台按照边缘平台部署需求，提前为边缘节点生成多个唯一标识，每个唯一标识只能一个边缘节点使用，且只能注册一次。

基于此，云平台从标识注册记录信息中，检索是否具有边缘节点的注册记录信息。

若是，则根据注册记录信息判断边缘节点是否已经注册完成。若否，则从编码数据库中随机选择一个标识编码，将标识编码确定为边缘节点的唯一标识。

此外，若边缘节点已经注册完成，则云平台获取边缘节点的注册时间，根据注册时间，生成边缘节点的重复注册通知信息，将重复注册通知信息发送至边缘节点的管理用户终端。

此外，若不具有边缘节点的注册信息，则云平台直接确定边缘节点为首次注册，从编码数据库中随机选择一个标识编码，将标识编码确定为边缘节点的唯一标识。

S102：接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识。

其中，在部署边缘节点时，边缘节点使用云平台分发的唯一标识向云平台请求授权。

S103：将所述唯一标识与所述待校验唯一标识进行对比。

需要说明的是，边缘节点向云平台发送的唯一标识，不一定是云平台分发的唯一标识。比如，边缘节点在发送时，不是分发的唯一标识，或者在发送时，是分发的唯一标识，但在传输过程中，分发的唯一标识被篡改，从而导致云平台接收的不是分发的唯一标识。

S104：若对比一致，则确定所述待校验唯一标识校验通过。

若唯一标识与待校验标识对比不一致，云平台生成待校验唯一标识的确认信息，将确认信息发送至边缘节点，以向边缘节点确认待校验标识是否处于边缘节点上传的授权请求；

若是，则确定边缘节点为非法授权节点，将边缘节点输出至黑名单；

若否，则确定边缘节点的授权请求被非法篡改，生成授权请求的非法篡改信息，将非法篡改信息发送至边缘节点。

需要说明的是，唯一标识与待校验标识对比不一致，但是，边缘节点却确认待校验标识为自身上传，则说明此时的边缘节点被非法用户进行操作。相反，边缘节点没有确认待校验标识为自身上传时，则说明授权请求在传输过程中被篡改。

S105：通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件。

在本申请的一些实施例中，云平台使用非对称加密算法生成边缘授权文件，需要在边缘授权加密字符串中增加边缘平台的唯一标识、生成时间戳、失效时间戳等信息。从而由于边缘授权加密文件携带了生成时间戳，所以每次生成的边缘授权加密文件都是不相同的。

基于此，云平台获取边缘节点的边缘授权文件。然后，通过非对称加密算法的私钥对边缘授权文件进行加密，生成边缘授权加密字符串。最后，在边缘授权加密字符串中，插入边缘授权文件的生成时间戳、失效时间戳、唯一标识，生成边缘授权加密文件。

比如，生成时间戳为A年B月C日，失效时间戳为D年E月F日。

S106：将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

在本申请的一些实施例中，边缘节点通过非对称加密算法的公钥对边缘授权加密文件进行解密，得到生成时间戳、失效时间戳、唯一标识。

然后，将唯一标识与边缘节点存储的唯一标识进行对比。

若对比一致，则判断失效时间戳是否晚于当前校验时间。比如，失效时间戳D年E月F日，当前时间为A年G月H日。此时当前校验时间就为A年G月H日。

若是，则将边缘授权加密文件确定为有效边缘授权加密文件，将生成时间戳、失效时间戳、唯一标识输出至数据库，确定边缘节点启动成功。

需要说明的是，若唯一标识与边缘节点存储的唯一标识对比不一致时，则说明云平台将边缘授权加密文件发送至边缘节点的传输的过程中，唯一标识被篡改，或者边缘节点存储的唯一标识被篡改，因此，边缘节点生成边缘节点的授权失败通知信息，将授权失败通知信息发送至管理用户终端。

此外，若失效时间戳早于或者等于当前校验时间，则将边缘授权加密文件确定为失效边缘授权加密文件，生成边缘节点的授权失败通知信息，将授权失败通知信息发送至管理用户终端。

在本申请的一些实施例中，在边缘节点启动成功之后，将定期自动检查边缘授权加密文件的有效期。

具体地，边缘节点在预设周期内，计算当前校验时间与数据库中的失效时间戳之间的时间差值。若时间差值小于预设时间阈值，则确定边缘节点的授权有效期不足。重新向云平台上传新的授权请求，以获取更新的边缘授权加密文件。

在本申请的一些实施例中，在边缘节点启动成功之后，用户对边缘节点上执行查询请求时，边缘节点需要校验唯一标识、以及边缘授权加密文件是否超期失效。

基于此，边缘节点接收查询操作请求，从数据库中，获取失效时间戳、唯一标识。然后，将唯一标识与云平台分发的唯一标识进行对比；若对比一致，则判断失效时间戳是否晚于当前查询时间；若是，则确定查询操作请求验证通过，允许执行查询操作请求。

需要说明的是，若对比不一致，则不允许执行查询操作请求，若失效时间戳早于或等于当前查询时间，则不允许执行查询操作请求。

综上所述，边缘节点的唯一标识由云平台生成，边缘节点无需通过获取硬件标识的方式获取唯一标识。此外，对授权文件进行加密，保证了授权文件的安全性，并且边缘授权加密文件具有有效期，不用担心因边缘授权加密文件泄漏导致授权加密文件被长期非法使用，较好的保护了边缘平台程序的运行要求。此外，边缘授权加密文件的续期由边缘平台自动发起，无需人工干预。此外，边缘平台部署后必须具备与云平台定期通信，更新授权加密文件，不能长期脱离云平台使用，加强了云平台对边缘平台的管理。

需要说明的是，虽然本申请实施例是参照图1来对步骤S101至步骤S106依次进行介绍说明的，但这并不代表步骤S101至步骤S106必须按照严格的先后顺序执行。本申请实施例之所以按照图1中所示的顺序对步骤S101至步骤S106依次进行介绍说明，是为了方便本领域技术人员理解本申请实施例的技术方案。换句话说，在本申请实施例中，步骤S101至步骤S106之间的先后顺序可以根据实际需要进行适当调整。

通过图1的方法，边缘节点的唯一标识由云平台生成，边缘节点无需通过获取硬件标识的方式获取唯一标识，边缘节点自动向云平台发送授权请求，云平台对边缘节点的唯一标识校验通过后，能够确保边缘节点为合法边缘节点，从而继续为该边缘节点发送边缘授权加密文件，对边缘节点完成自动授权，最终能够有效且高效地对边缘节点进行授权。

基于同样的思路，本申请的一些实施例还提供了上述方法对应的设备和非易失性计算机存储介质。

图2为本申请实施例提供的一种边缘节点授权设备的结构示意图，应用于云平台，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点；

接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识；

将所述唯一标识与所述待校验唯一标识进行对比；

若对比一致，则确定所述待校验唯一标识校验通过；

通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件；

将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

本申请的一些实施例提供的一种边缘节点授权非易失性计算机存储介质，存储有计算机可执行指令，应用于云平台，所述计算机可执行指令设置为：

接收边缘节点上传的标识注册请求，为边缘节点生成唯一标识，将所述唯一标识发送至所述边缘节点；

接收所述边缘节点上传的授权请求，对所述授权请求进行解析，得到待校验唯一标识；

将所述唯一标识与所述待校验唯一标识进行对比；

若对比一致，则确定所述待校验唯一标识校验通过；

通过非对称加密算法与所述唯一标识，生成所述边缘节点的边缘授权加密文件；

将所述边缘授权加密文件发送至所述边缘节点，以对所述边缘节点进行授权。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请技术原理之内所作的任何修改、等同替换、改进等，均应落入本申请的保护范围之内。