(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111629263.5 (22)申请日 2021.12.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 李佳聪　吕航　王镇宇　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　阚梓瑄 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 秘钥协商方法、 装置、 电子设备及存 储介质 (57)摘要 本申请提供一种秘钥协商方法、 装置、 电子 设备及存储介质， 该方法包括： 生成全局公钥和 属性权威公钥， 并向第一边缘服务器发送全局公 钥和属性权威公钥， 以使第一边缘服务器根据全 局公钥和属性权威公钥以及第一公钥将待传输 数据生成密文； 根据预先生 成的初始私钥进行私 钥更新得到属性权威私钥； 将属性权威私钥发送 至第二边缘服务器， 以使第二边缘服务器根据属 性权威私钥和第二私钥对密文进行解密得到半 解密密文， 并使目标终端根据第一私钥对半解密 密文进行解密得到待传输数据。 本申请实施例的 技术方案通过边缘服务器提高加解密速率的同 时， 还通过多方进行私钥更新保证私钥的安全 性。 权利要求书2页 说明书12页 附图5页 CN 114301677 A 2022.04.08 CN 114301677 A 1.一种秘钥协商方法， 其特 征在于， 应用于管理服 务器， 所述方法包括： 生成全局公钥和属性权威公钥， 并向第 一边缘服务器发送所述全局公钥和属性权威公 钥， 以使所述第一边缘服务器根据所述全局公钥和属性权威 公钥以及第一公钥将待传输数 据生成密文， 所述第一公钥为所述第一 边缘服务器所生成的一个公钥； 根据预先生成的初始私钥进行私钥更新得到属性权威私钥； 将所述属性权威私钥发送至第 二边缘服务器， 以使所述第 二边缘服务器根据 所述属性 权威私钥和第二私钥对所述密文进行解密得到 半解密密 文， 并使目标终端根据第一私钥对 所述半解密密文进行解密得到所述待传输数据， 所述第二私钥为所述第二边缘服务器根据 所述初始私钥进 行私钥更新所得到的， 所述第一私钥为所述目标终端根据所述初始私钥进 行私钥更新所 得到的。 2.根据权利要求1所述的方法， 其特征在于， 所述生成全局公钥和属性权威公钥， 并向 第一边缘服务器发送所述全局公钥和 属性权威公钥， 包括： 随机生成安全参数， 将所述 安全参数进行双线性映射处 理得到目标参数； 向所述第一边缘服务器发送所述目标参数， 以使所述第 一边缘服务器根据所述目标参 数生成所述第一公钥； 根据所述目标参数生成所述全局公钥和所述属性权威公钥。 3.根据权利要求1所述的方法， 其特征在于， 在所述根据 预先生成的初始私钥进行私钥 更新得到属性权威私钥之前， 所述方法还 包括： 获取所述第一 边缘服务器的属性数据； 根据所述全局公钥和所述第一 边缘服务器的属性数据生成所述初始私钥。 4.根据权利要求1所述的方法， 其特征在于， 所述根据预先生成的初始私钥进行私钥更 新得到属性权威私钥， 包括： 根据所述初始私钥生成初始私钥组件， 并随机生成第一 参数； 将所述第一参数和所述初始私钥组件发送至所述目标终端和所述第 二边缘服务器， 以 使所述第二边缘服务器根据随机生成的第二参数、 所述第一参数以及所述初始私钥组件生 成第二私钥， 并使所述 目标终端根据所述第一参数、 第二参数以及所述初始私钥组件生成 第一私钥； 接收所述第二参数， 根据所述第一参数、 第二参数以及所述初始私钥组件生成属性权 威私钥。 5.根据权利要求4所述的方法， 其特征在于， 所述根据所述初始私钥生成初始私钥组 件， 包括： 接收所述第一 边缘服务器发送的第三 参数； 根据随机生成的第四参数、 所述第三 参数和所述初始私钥生成所述初始私钥组件。 6.一种秘钥协商方法， 其特 征在于， 应用于第二 边缘服务器， 所述方法包括： 接收密文， 所述密文为第 一边缘计算节点根据全局公钥和属性权威公钥以及第 一公钥 将待传输数据进行加密所得到的， 所述全局公钥和属 性权威公钥为管理服务器所生成的， 所述第一公钥为所述第一 边缘服务器所生成的一个公钥； 接收初始私钥， 根据所述初始私钥进行私钥更新得到第二私钥， 所述初始私钥为所述 管理服务器预先生成的；权　利　要　求　书 1/2 页 2 CN 114301677 A 2接收属性权威私钥， 根据所述第 二私钥和所述属性权威私钥对所述密文进行解密得到 半解密密 文， 所述属性权威私钥为所述管理服务器根据所述初始私钥进 行私钥更新所得到 的； 将所述半解密密文发送至目标终端， 以使所述目标终端根据第 一私钥对所述半解密密 文进行解密得到所述待传输数据， 所述第一私钥为所述目标终端根据所述初始私钥进 行私 钥更新所 得到的。 7.一种秘钥协商装置， 其特 征在于， 应用于管理服 务器， 所述装置包括： 公钥生成模块， 配置为生成全局公钥和属性权威公钥， 并向第一边缘服务器发送所述 全局公钥和属性权威 公钥， 以使 所述第一边缘服务器根据所述全局公钥和属性权威 公钥以 及第一公钥将待传输数据生成密 文， 所述第一公钥为所述第一边缘服务器所生成的一个公 钥； 属性权威私钥生成模块， 配置为根据 预先生成的初始私钥进行私钥更新得到属性权威 私钥； 第一解密模块， 配置为将所述属性权威私钥发送至第二边缘服务器， 以使所述第二边 缘服务器根据所述属性权威私钥和 第二私钥对所述密 文进行解密得到 半解密密文， 并使目 标终端根据第一私钥对所述半解密密 文进行解密得到所述待传输数据， 所述第二私钥为所 述第二边缘服务器根据所述初始私钥进行私钥更新所得到的， 所述第一私钥为所述目标终 端根据所述初始私钥进行私钥更新所 得到的。 8.一种秘钥协商装置， 其特 征在于， 应用于第二 边缘服务器， 所述装置包括： 密文接收模块， 配置为接收密文， 所述密文为第一边缘计算节点根据全局公钥和属性 权威公钥以及第一公钥将待传输数据进行加密所得到的， 所述全局公钥和属性权威 公钥为 管理服务器所生成的， 所述第一公钥为所述第一 边缘服务器所生成的一个公钥； 私钥获取模块， 配置为接收初始私钥， 根据 所述初始私钥进行私钥更新得到第 二私钥， 所述初始私钥为所述管理服 务器预先生成的； 半解密模块， 配置为接收属性权威私钥， 根据所述第二私钥和所述属性权威私钥对所 述密文进行解密得到半解密密文， 所述属性权威私钥为所述管理服务器根据所述初始私钥 进行私钥更新所 得到的； 第二解密模块， 配置为将所述半解密密文发送至目标终端， 以使所述目标终端根据第 一私钥对所述半解密密 文进行解密得到所述待传输数据， 所述第一私钥为所述目标终端根 据所述初始私钥进行私钥更新所 得到的。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 用于存储一个或多个计算机程序， 当所述一个或多个计算机程序被所述一 个或多个处 理器执行时， 使得 所述电子设备实现如权利要求1 ‑6中的任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机可读指令， 当所述计算 机可读指令被 计算机的处 理器执行时， 使计算机执 行权利要求1 ‑6中的任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114301677 A 3