密钥传输与获取方法和装置与流程

1.本技术涉及数据处理技术领域，尤其涉及一种密钥传输与获取方法和装置。

背景技术：

2.边缘计算设备一般通过有线或者无线方式连接有传感器和可编程逻辑控制器等用于数据采集或者控制的下挂设备。边缘计算设备存储着较为重要的敏感数据，这些敏感数据除了包括与服务端通信的证书、账号和密码之外，还可以包括下挂设备上报的数据。
3.边缘计算设备中存储的敏感信息一旦被泄露，将会给用户带来难以估计的损失。但是，在风能、太阳能以及采油等行业中，边缘计算设备一般部署在野外生产环境中，由于环境恶劣无人看守，导致边缘计算设备很容易丢失。为了提高边缘计算设备中敏感数据的安全性，通常会利用密钥对敏感数据进行加密存储，在需要使用这些敏感数据时，再利用密钥对敏感数据进行解密。由此可知，如何保证对敏感数据加密的密钥的安全性是保证敏感数据安全性的关键。

技术实现要素：

4.本技术提供了一种密钥传输与获取方法和装置。
5.其中，一种密钥传输方法，应用于服务器，包括：
6.获得边缘计算设备发送的第一设备特征信息，所述第一设备特征信息包括：所述边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
7.确定所述边缘计算设备已注册的第二设备特征信息，所述第二设备特征信息包括：所述边缘计算设备接入的无线网络的第二小区标识以及所述边缘计算设备连接的至少一个第二被控设备的位置信息；
8.如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，向所述边缘计算设备发送密钥信息。
9.在一种可能的实现方式中，在所述获得边缘计算设备发送的第一设备特征信息之前，还包括：
10.检测到所述边缘计算设备与服务器建立通信连接，向所述边缘计算设备发送信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备，所述至少一个目标被控设备属于所述至少一个第二被控设备；
11.所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，包括：
12.至少一个第一被控设备的位置信息与所述至少一个目标被控设备的位置信息匹配。
13.在又一种可能的实现方式中，所述至少一个第一被控设备的位置信息与所述至少
一个第二被控设备的位置信息匹配，包括：
14.所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息的匹配程度超过设定阈值；
15.在向所述边缘计算设备发送密钥信息的同时或者之前，还包括：
16.利用所述至少一个第一被控设备的位置信息，更新所述已注册的第二设备特征信息中至少一个第二被控设备的位置信息。
17.在又一种可能的实现方式中，所述获得边缘计算设备发送的第一设备特征信息，包括：
18.获得边缘计算设备发送的登录请求，所述登录请求携带有第一设备特征信息；
19.在向所述边缘计算设备发送密钥信息之前，还包括：
20.向所述边缘计算设备发送登录成功指示；
21.所述向所述边缘计算设备发送密钥信息，包括：
22.在获得所述边缘计算设备发送的密钥请求后，向所述边缘计算设备发送密钥信息。
23.在又一种可能的实现方式中，在获得边缘计算设备发送的设备特征信息之前，还包括：
24.获得所述边缘计算设备发送的注册请求，所述注册请求携带有所述边缘计算设备待注册的第二设备特征信息；
25.如果所述边缘计算设备属于已配置的具备注册权限的边缘计算设备，将所述第二设备特征信息存储为所述边缘计算设备注册的第二设备特征信息。
26.在又一种可能的实现方式中，还包括：
27.如果所述第一小区标识与所述第二小区标识不匹配或者所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息不匹配，向指定的管理人员的终端设备发送提醒消息，所述提醒消息用于提示所述边缘计算设备不具备访问权限；
28.如果接收到所述管理人员的终端设备针对所述提醒消息发送的批准访问指示，利用所述第一设备特征信息更新所述边缘计算设备已注册的第二设备特征信息，向所述边缘计算设备发送所述密钥信息。
29.其中，一种密钥获取方法，应用于边缘计算设备，包括：
30.获得所述边缘计算设备当前的第一设备特征信息，所述第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
31.向服务器发送所述第一设备特征信息；
32.获得所述服务器返回的密钥信息。
33.在一种可能的实现方式中，在获得所述边缘计算设备当前的第一设备特征信息之前，还包括：
34.建立所述边缘计算设备与所述密钥服务器的通信连接；
35.获得所述密钥服务器发送的信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备的设备标识；
36.所述获得所述边缘计算设备当前的第一设备特征信息，包括：
37.基于所述至少一个目标被控设备的设备标识，获得所述边缘计算设备连接的各所述目标被控设备的位置信息；
38.确定所述边缘计算设备接入的无线网络的第一小区标识；
39.将所述至少一个目标被控设备的位置信息确定为待发送的至少一个第一被控设备的位置信息，生成包含所述第一小区标识和所述至少一个第一被控设备的位置信息的第一设备特征信息。
40.其中，一种密钥传输装置，应用于服务器，包括：
41.特征信息获得单元，用于获得边缘计算设备发送的第一设备特征信息，所述第一设备特征信息包括：所述边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
42.注册信息确定单元，用于确定所述边缘计算设备已注册的第二设备特征信息，所述第二设备特征信息包括：所述边缘计算设备接入的无线网络的第二小区标识以及所述边缘计算设备连接的至少一个第二被控设备的位置信息；
43.密钥传输单元，用于如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，向所述边缘计算设备发送密钥信息。
44.其中，一种密钥获取装置，应用于边缘计算设备，包括：
45.特征获取单元，用于获得所述边缘计算设备当前的第一设备特征信息，所述第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
46.特征发送单元，用于向服务器发送所述第一设备特征信息；
47.密钥获得单元，用于获得所述服务器返回的密钥信息。
48.由以上可知，在本技术实施例中，边缘计算设备需要从服务器获取密钥信息，需要将边缘计算设备接入的无线网络的小区标识以及边缘计算设备连接的至少一个被控设备的位置信息发送给服务器。由于边缘计算设备接入的无线网络的小区标识以及边缘计算设备连接的被控设备的位置信息均可以表征边缘计算设备所处的位置及部署环境状态，因此，服务器在确认边缘计算设备发送的小区标识以及被控设备的位置信息分别与该边缘计算设备已注册的小区标识和被控设备的位置信息匹配的情况下，才会向边缘计算设备发送密钥信息，可以减少在边缘计算设备被盗或者其他原因后向边缘计算设备提供密钥信息的情况，提高了密钥的安全性，自然也就减少了边缘计算设备中被加密的敏感数据被泄露的风险。
附图说明
49.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
50.图1示出了本技术实施例提供的密钥传输方法一种流程示意图；
51.图2示出了本技术实施例提供的密钥获取方法的一种流程示意图；
52.图3示出了本技术实施例提供的密钥获取与传输方法的一种流程交互示意图；
53.图4示出了本技术实施例提供的一种密钥获取与传输系统的一种组成架构示意图；
54.图5示出了本技术实施例提供的边缘计算设备向服务器注册的一种流程交互示意图
55.图6示出了本技术实施例提供的密钥获取与传输方法的又一种流程示意图；
56.图7示出了本技术实施例提供的密钥传输装置的一种组成结构示意图；
57.图8示出了本技术实施例提供的密钥获取装置的一种组成结构示意图；
58.图9示出了本技术实施例提供的电子设备的一种组成结构示意图。
具体实施方式
59.本技术实施例的方案可以应用于提升边缘计算设备解密数据所需的密钥信息的安全性，以提高边缘计算设备中敏感数据的安全性，降低由于边缘计算设备由于野外环境被偷盗或者其他原因丢失而导致边缘计算设备中敏感数据被泄露的风险。
60.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
61.在本技术中，边缘计算设备中解密数据所需的密钥信息存储在服务器侧，在本技术中该服务器可以是云服务器，也可以是边缘计算设备通过无线网络能够建立通信连接的其他服务器，对此不加限制。
62.为了便于理解，下面先从服务器侧进行介绍。
63.如图1所示，其示出了本技术实施例提供的密钥传输方法的一种流程示意图，本实施例应用于服务器。本实施例的方法可以包括：
64.s101，获得边缘计算设备发送的第一设备特征信息。
65.其中，该第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及边缘计算设备连接的至少一个第一被控设备的位置信息。
66.边缘计算设备接入的无线网络的小区标识，小区标识也称为小区唯一标识，是用于唯一标识无线网络中的小区。如，无线网络的小区标识也可以称为服务标识(服务id)。又如，在长期演进(long term evolution，lte)网络(即俗称的4g网络)中，因为演进关系，我们将接入网部分称为演进的umts陆地无线接入网(evolved umts terrestrial radio access network，e-utran)，在lte中的移动通信无线网络中小区唯一标识也称为e-utran小区唯一标识(e-utran cell identifier,eci)。
67.通过边缘计算设备接入的无线网络的小区标识可以表征出边缘计算设备所处的位置区域和无线网络状态。
68.边缘计算设备连接的被控设备也可以称为边缘计算设备的下挂设备，是指与边缘计算设备通过有线或者无线方式相连，且在边缘计算设备的控制下进行数据采集或者其他操作的设备。如，边缘计算设备连接的被控设备可以包括：边缘计算设备连接的各种类型的传感器、监管设备以及基于边缘计算设备的控制执行操作的控制设备等中的一种或者多
种。
69.其中，边缘计算设备连接的被控设备的位置信息可以是边缘计算设备从被控设备侧获取的，如，被控设备向边缘计算设备上报的被控设备的位置信息，或者是，边缘计算设备向被控设备请求的被控设备的位置信息，对此不加限制。
70.在本技术中，为了便于区分，将边缘计算设备为了获取密钥信息而向服务器发送设备特征信息称为第一设备特征信息，而将第一设备特征信息中包括的小区标识称为第一小区标识，类似的，将第一设备特征信息中涉及到位置信息的被控设备称为第一被控设备。
71.s102，确定边缘计算设备已注册的第二设备特征信息。
72.其中，第二设备特征信息包括：边缘计算设备接入的无线网络的第二小区标识以及边缘计算设备连接的至少一个第二被控设备的位置信息。
73.该第二设备特征信息为边缘计算设备在向服务器申请注册时，发送并存储到服务器中的设备特征信息。为了便于区分，将边缘计算设备已注册并存储到服务器中的设备特征信息称为第二特征信息，相应的，第二设备特征信息中的第二小区标识为边缘计算设备向服务器申请注册时，该边缘计算设备接入的无线网络的小区标识。类似的，将边缘计算设备向服务器申请注册时，该边缘计算设备连接的被控设备称为第二被控设备。
74.可以理解的是，在实际应用中，在部署边缘计算设备之后，为了后续能够从服务器获得边缘计算设备解密数据所需的密钥信息，边缘计算设备需要先向服务器进行注册。基于此，在步骤s101之前，服务器可以获得该边缘计算设备发送的注册请求，该注册请求携带有边缘计算设备待注册的第二设备特征信息。在此基础上，如果边缘计算设备属于已配置的具备注册权限的边缘计算设备，将该第二设备特征信息存储为该边缘计算设备注册的第二设备特征信息。
75.其中，服务器中具备注册权限的边缘计算设备可以预先由用户配置。
76.如，在服务器中可以预先存储具备注册权限的边缘计算设备的设备标识，在此基础上，边缘计算设备发送的注册请求可以携带该边缘计算设备的设备标识以及第二设备特征信息，如果服务器中检测到该边缘计算设备的设备标识属于具备注册权项的边缘计算设备的设备标识，服务器会将该边缘计算设备的第二设备特征信息存储为该边缘计算设备的设备标识对应的已注册的设备特征信息。
77.s102，如果第一小区标识与第二小区标识匹配且至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配，向边缘计算设备发送密钥信息。
78.可以理解的是，在边缘计算设备被部署后，正常情况下，边缘计算设备所处的位置信息是基本保持不变的，因此，边缘计算设备所接入的网络的网络信息也是固定的，因此，边缘计算设备接入的无线网络的小区标识也相对较为固定。基于此，结合边缘计算设备注册后接入的无线网络的小区标识是否发生变化，可以判断边缘计算设备是否被转移，自然也就可以辅助判断边缘计算设备是否存在丢失等风险。
79.基于此，第一小区标识与第二小区标识匹配可以是第一小区标识与第二小区标识相同。
80.特别的，在一些情况中，在边缘计算设备被部署后，边缘计算设备的位置基本不变，但是也可能会由于无线网络不稳定等特殊原因，使得边缘计算设备接入的无线网络发生变化或者接入的无线网络的小区发生变化。例如，边缘计算设备处于无线网络的两个小
区的交界处，那么可能会出现边缘计算设备在不同时刻接入无线网络的不同小区的情况。
81.考虑基于无线网络的小区标识可以确定出该小区标识代表的小区的位置，因此，结合边缘计算设备接入的无线网络的小区标识可以反映出边缘计算设备所处的位置。基于此，第一小区标识与第二小区标识匹配还可以是：第一小区标识表征的第一小区对应的第一位置信息与第二小区标识表征的第二小区对应的第二位置信息之间的差距小于设定阈值。
82.其中，小区标识表征的小区对应的位置信息可以为基于小区标识查询出该小区标识代表的小区的小区位置范围。相应的，第一位置信息与第二位置信息的差距小于设定阈值可以是位置范围差距小于设定范围阈值。
83.小区标识表征的小区对应的位置信息也可以是小区的中心位置。在此基础上，第一位置信息与第二位置信息之间的差距小于设定阈值可以是第一位置信息与第二位置信息之间的距离小于设定距离阈值。
84.本技术中，至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配可以表征至少一个第一被控设备属于边缘计算设备已注册的被控设备，且所述至少一个第一被控设备的位置信息与边缘计算设备已注册的该至少一个第一被控设备的位置信息匹配。
85.其中，至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配可以是至少一个第一被控设备的位置信息与至少一个被控设备的位置信息完全相同。如，至少一个第一被控设备与至少一个第二被控设备相同，且至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息相同。
86.可以理解的是，考虑到边缘计算设备连接的被控设备可能会存在部分变动，基于此，至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配也可以是：至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息的匹配程度超过预设阈值。
87.如，至少一个第一被控设备的位置信息已注册的至少一个第二被控设备的位置信息的相似程度超过设定阈值。例如，至少一个第一被控设备的位置信息中百分之八十与已注册的至少一个第二被控设备的位置信息相同。
88.特别的，考虑到边缘计算设备连接的被控设备的数量可能会较多，如果每次获取密钥信息都需要边缘计算设备采集并上报所有被控设备的位置信息，必然会导致边缘计算设备采集的数据量较大，耗时较长，而且还会浪费过多的带宽资源。基于此，在边缘计算设备与服务器建立通信连接后，服务器还可以向边缘计算设备发送信息获取指示，信息获取指示用于指示出待验证的至少一个目标被控设备，该至少一个目标被控设备属于该边缘计算设备已注册的该至少一个第二被控设备。
89.相应的，边缘计算设备可以仅仅获取至少一个目标被控设备的位置信息，并将获得的至少一个目标被控设备的位置信息与边缘计算设备接入的无线网络的第一小区标识作为第一设备特征信息，发送给服务器。在此基础上，服务器如果确定该第一小区标识与第二小区标识匹配且至少一个第一被控设备的位置信息与该至少一个目标被控设备的位置信息匹配，则可以将该密钥信息发送给边缘计算设备。
90.其中，至少一个第一被控设备的位置信息与至少一个目标被控设备的位置信息匹
配同样可以是信息完全匹配，也可以是匹配程度超过设定阈值即可，对此不加限制。
91.在本技术中，密钥信息用于边缘计算设备解密其存储的加密数据。
92.在一种可能的实现方式中，边缘计算设备本身具有一个用于实现数据加密的密钥，其利用该密钥对敏感数据等数据加密。而为了保证该密钥的安全，该密钥需要利用服务器中提供的密钥信息进行加密，并将加密的密钥存储到边缘计算设备中，在此基础上，边缘计算设备每次需要解密其存储的加密数据之前，都需要先从服务器获取密钥信息，对其加密的密钥进行解密。
93.基于此，本技术中服务器发送给边缘计算设备的密钥信息可以包括第一密钥，该第一密钥用于对边缘计算设备中加密的第二密钥进行解密，而第二密钥为用于对边缘计算设备中的数据进行加密的密钥信息。
94.特别的，如果第一小区标识与所述第二小区标识不匹配或者该至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息不匹配，服务器还可以向指定的管理人员的终端设备发送提醒消息，该提醒消息用于提示边缘计算设备不具备访问权限，以便管理人员核实该边缘计算设备是否存在异常。
95.相应的，管理人员在获得提醒消息后，可以核实该边缘计算设备是否存在丢失等。如果管理人员确认该边缘计算设备没有异常，认为该边缘计算设备具备访问服务器的权限后，管理人员还可以通过其终端设备针对该提醒消息发送批准访问指示。在此基础上，服务器收到管理人员的终端设备发送的该批准访问指示后，可以利用该第一设备特征信息更新该边缘计算设备已注册的第二设备特征信息，以使得服务器可以向该边缘计算设备发送密钥信息。
96.由以上可知，在本技术实施例中，边缘计算设备需要从服务器获取密钥信息，需要将边缘计算设备接入的无线网络的小区标识以及边缘计算设备连接的至少一个被控设备的位置信息发送给服务器。由于边缘计算设备接入的无线网络的小区标识以及边缘计算设备连接的被控设备的位置信息均可以表征边缘计算设备所处的位置及部署环境状态，因此，服务器在确认边缘计算设备发送的小区标识以及被控设备的位置信息分别与该边缘计算设备已注册的小区标识和被控设备的位置信息匹配的情况下，才会向边缘计算设备发送密钥信息，可以减少在边缘计算设备被盗或者其他原因后向边缘计算设备提供密钥信息的情况，提高了密钥的安全性，自然也就减少了边缘计算设备中被加密的敏感数据被泄露的风险。
97.在本技术中，服务器与边缘计算设备之间可以通过常规的无线网络相连，无需边缘计算设备与服务器之间建立专用网络，自然也就无需边缘计算设备侧进行接入专用网络所需的相关部署，自然可以降低对边缘计算设备的部署要求，避免了由于边缘计算设备所处环境不满足专用网络的部署条件，而导致边缘计算设备无法获得密钥信息。
98.可以理解的是，如果在至少一个第一被控设备的位置信息与第二被控设备的位置信息的匹配程度超过设定阈值的情况下，认为至少一个第二被控设备的位置信息与至少一个第二被控设备的位置信息匹配，那么为了保持服务器侧存储的边缘计算设备已注册的第二设备特征信息为最新设备特征信息，并保证第二设备特征信息的完整性，还可以利用至少一个第一被控设备的位置信息，更新该已注册的第二设备特征信息中至少一个第二被控设备的位置信息。
99.下面从边缘计算设备侧对本技术的方案进行介绍。如图2所示，其示出了本技术提供的密钥获取方法的一种流程示意图。本实施例的应用于边缘计算设备。本实施例的方法可以包括：
100.s201，获得边缘计算设备当前的第一设备特征信息。
101.该第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及该边缘计算设备连接的至少一个第一被控设备的位置信息。
102.s202，向服务器发送该第一设备特征信息。
103.其中，该第一设备特征信息包括：该边缘计算设备接入的无线网络的第一小区标识以及该至少一个第一被控设备的位置信息。
104.s203，获得该服务器返回的密钥信息。
105.可以理解的是，该密钥信息为服务器在确认该第一设备特征信息与服务器中存储的该边缘计算设备已注册的第二设备特征信息匹配后，发送给边缘计算设备的。
106.其中，第二设备特征信息包括：边缘计算设备已注册的该边缘计算设备接入的第二小区标识以及至少一个第二被控设备的位置信息。相应的，第一设备特征信息与第二设备特征信息匹配具体为：第一小区标识与第二小区标识匹配且至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配，具体可以参见本技术其他实施例的相关介绍，在此不再赘述。
107.如前面所述，该密钥信息可以是边缘计算设备解密其加密的加密数据所需的密钥。如，该密钥信息可以用于解密边缘计算设备的加密数据的密钥；或者是，密钥信息为用于解密边缘计算设备中加密的第二密钥的第一密钥，边缘计算设备利用第二密钥对边缘计算设备中的数据进行加密后存储。
108.进一步的，如果第一小区标识与所述第二小区标识不匹配或者该至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息不匹配，服务器还可以向指定的管理人员的终端设备发送提醒消息。
109.在该种情况下，如果管理人员在获知该提醒消息后，如果确认该边缘计算设备丢失，那么管理人员还可以通过其终端设备向边缘计算设备发送加密数据处理指示，该加密数据处理指示可以指示边缘计算设备将存储的加密数据传输给服务器或者删除其存储的加密数据。相应的，边缘计算设备响应于该数据处理指示可以将存储的加密数据传输给服务器或者删除存储的加密数据。
110.可以理解的是，为了保证边缘计算设备所需的密钥信息的安全性，边缘计算设备上并不会存储该密钥信息，因此，边缘计算设备可以在每次开机后从服务器获取该密钥信息。在一种可能的情况中，边缘计算设备可以在每次开机后，向服务器发送登录请求，而服务器可以采用本技术的方案的实现方式确认边缘计算设备具有登录权限之后，才会允许边缘计算设备登录服务器。而边缘计算设备在登录服务器之后，才可以向服务器请求密钥信息。
111.下面结合一种具体实现对该种情况进行介绍。如图3所示，其示出了本技术实施例提供的密钥获取与传输方法的一种交互流程示意图，本实施例的方法可以包括：
112.s301，边缘计算设备获得边缘计算设备接入的无线网络的第一小区标识以及边缘计算设备连接的至少一个第一被控设备的位置信息。
113.如，边缘计算设备在启动后，为了能够获得密钥信息，则需要先执行该步骤s301。
114.特别的，为了区分边缘计算设备连接的各第一被控设备，边缘计算设备还会获得各第一被控设备的设备标识。
115.s302，边缘计算设备向服务器发送登录请求，该登录请求携带有第一设备特征信息。
116.其中，该第一设备特征信息包括：边缘计算设备对应的第一小区标识以及该至少一个第一被控设备的位置信息。
117.特别的，为了使得服务器能够区分出该边缘计算设备以及该边缘计算设备连接的各第一被控设备，该第一设备特征信息还携带有边缘计算设备的设备标识以及第一控制设备的设备标识。
118.如，第一设备特征信息可以包括：边缘计算设备的设备标识、边缘计算设备对应的第一小区标识，边缘计算设备接入的各第一被控设备的设备标识对应的第一被控设备的位置信息。
119.与前面实施例相似，为了减少边缘计算设备需要采集及上报的第一设备特征信息的数据量，在边缘计算设备与服务器建立通信连接后，服务器还可以向边缘计算设备发送信息获取指示，该信息获取指示用于指示出待验证的至少一个目标被控设备。如，信息获取指示中可以指示有待验证的至少一个目标被控设备的设备标识。
120.其中，目标被控设备属于边缘计算设备已注册的至少一个第二被控设备。
121.相应的，边缘计算设备可以基于该至少一个目标被控设备的设备标识，获得边缘计算设备连接的各目标被控设备的位置信息。在该种情况下，边缘计算设备可以将至少一个目标被控设备的位置信息确定为待发送的至少一个第一被控设备的位置信息，生成包含该第一小区标识和至少一个第一被控设备的设备标识的位置信息的第一设备特征信息。
122.为了与边缘计算设备已注册的其他第二被控设备进行区分，本技术还可以将信息获取指示中指示出的待验证的被控设备称为目标被控设备。
123.其中，该信息获取指示的具体形式可以有多种，如信息获取指示可以为登录指示，登录指示用于指示边缘计算设备登录服务器。
124.s303，服务器响应于边缘计算设备发送的登录请求，确定该边缘计算设备已注册的第二设备特征信息。
125.其中，已注册的第二设备特征信息包括：边缘计算设备已注册的该边缘计算设备接入的无线网络的第二小区标识，以及该边缘计算设备连接的至少一个第二被控设备的位置信息。
126.特别的，考虑到服务器中可能维护有多个边缘计算设备已注册的第二设备特征信息，因此，服务器可以将边缘计算设备的设备标识与边缘计算设备以注册的第二设备特征信息关联存储。
127.进一步的，为了区分边缘计算设备已注册的各第二被控设备的位置信息，边缘计算设备注册时会将第二被控设备的设备标识与第二被控设备的位置信息一并发送给服务器。相应的，服务器存储的已注册的第二设备特征信息中包括：边缘计算设备已注册的各第二被控设备的设备标识对应的第二被控设备的位置信息。
128.s304，如果服务器确认该第一小区标识与第二小区标识匹配且至少一个第一被控
设备的位置信息与至少一个第二被控设备的位置信息匹配，向边缘计算设备发送登录成功指示。
129.此处的匹配过程可以参见前面实施例的相关介绍，在此不再赘述。
130.特别的，在边缘计算设备发送登录请求之前，如果服务器通过信息获取指示向边缘计算设备指示了待验证的第二被控设备，那么此处服务器比对被控设备的位置信息时，只需要比对至少一个第一被控设备的位置信息与待验证的至少一个第二被控设备的位置信息是否匹配。
131.如，检测至少一个第一被控设备的设备标识对应的位置信息与待验证的至少一个第二被控设备的设备标识对应的位置信息是否完全匹配或者匹配程度超过设定阈值等。
132.可以理解的是，如果服务器确认该第一小区标识与第二小区标识匹配且至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配，则说明边缘计算设备处于正常状态，而未出现由于被盗窃或者丢失而导致状态异常，基于此，可以确认边缘计算设备具备登录权限，相应的，服务器向边缘计算设备发送登录成功指示。由此可见，登录成功指示表征边缘计算设备具有登录服务器的权限。
133.s305，边缘计算设备接收到登录成功指示后，向服务器发送密钥请求。
134.边缘计算设备接收到登录成功指示后，则可以确认自身未处于异常状态，具备访问服务器的权限，自然也就具备从服务器获取密钥信息的权，从而可以向服务器发送密钥请求。
135.该密钥请求用于请求该边缘计算设备的密钥信息。
136.s306，服务器响应于该密钥请求，向该边缘计算设备发送密钥信息。
137.在边缘计算机设备获得该密钥信息之后，可以基于该密钥信息进行数据解密的相关操作。
138.如，密钥信息为解密边缘计算机中存储的加密数据的密钥，边缘计算设备利用该密钥信息对加密数据进行解密。
139.又如，密钥信息为边缘计算设备中用于解密第二密钥的第一密钥，可以利用该第一密钥解密加密后的第二密钥，得到解密出的第二密钥，利用第二密钥解密边缘计算设备中经过加密的加密数据。
140.可以理解的是，在本技术以上任意一个实施例中，边缘计算设备在启动后，还可以检测自身状态是否为已注册状态，如果边缘计算设备尚未完成注册，则需要先执行向服务器的注册操作。
141.如，边缘计算设备启动后，确定边缘计算设备的注册状况为未注册状态，边缘计算设备获得接入的无线网络的小区标识，即第二小区标识；同时还会得到边缘计算设备接入的各第二被控设备的位置信息。在此基础上，边缘计算设备会向服务器发送注册请求，该注册请求携带有边缘计算设备待注册的第二设备特征信息，该第二设备特征信息包括边缘计算设备对应的第二小区标识和各第二被控设备的位置信息。
142.在服务器确认边缘计算设备属于已配置的具备注册权限的边缘计算设备，会将第二设备特征信息存储为边缘计算设备注册的第二设备特征信息。另外，该服务器还会向边缘计算设备发送注册成功指示。在边缘计算设备接收到注册成功指示后，会将其注册状况记录为已注册状态。
143.如果边缘计算设备启动后发现自身处于已注册状态，则可以按照前面操作获得第一设备特征信息并发送给服务器，以请求密钥信息。
144.可以理解的是，边缘计算设备在出厂前可以在边缘计算设备上部署有用于存储加密数据的磁盘分区。同时，为了使得边缘计算设备启动后能够从服务器获取密钥信息，在边缘计算设备出厂之前，还可以在边缘计算设备中部署所需本案所需的相关程序软件。
145.其中，边缘计算设备中可以配置有磁盘加密标准、加解密机制以及加解密框架工具。本技术对于边缘计算设备中配置的磁盘加密标准、加解密机制以及相关的加解密框架工具等不加限制。
146.如，边缘计算设备中可以配置有linux统一密钥设置(linux unified key setup，luks)，其是linux磁盘加密的通用标准。在该种标准中，加密相关的设置信息存储在分区头部中，以使得数据迁移变得简单。要使用luks配置加密磁盘或分区，在边缘计算设备中可以使用cryptsetup工具来实现。在该种加密标准下，加密磁盘的特定就是，每次边缘计算设备重启或磁盘重新挂载时，都需要获取用于解密分区头部的经过加密的加密密钥的密钥信息。
147.为了使得边缘计算设备能够在无需用户干预的情况下，能够自动获得用于解密该加密密钥的密钥信息，该边缘计算设备上还可以采用网络绑定磁盘加密(networkbound disk encryption，nbde)技术，基于此，边缘计算设备上还可以采用clevis自动解密框架工具来实现自动解密磁盘分区的逻辑卷。
148.为了便于理解本技术的方案，对本技术的密钥获取与传输方法所适用的场景进行介绍。如图4所示，其示出了本技术的方案所适用的密钥获取与传输系统的一种组成架构示意图。
149.由图4可以看出，该系统可以包括：至少一个边缘计算设备401，边缘计算设备401中可以通过有线或者无线方式与至少一个被控设备402相连。
150.如，边缘计算设备401可以通过rs-485总线等有线方式连接被控设备，或者是，通过紫蜂(zigbee)等无线网络连接被控设备等，对此不加限制。
151.边缘计算设备401可以通过公共无线网络连接服务器403。该服务器可以为云端的服务器等，对此不加限制。
152.为了便于理解，结合一种应用场景进行说明。
153.以光伏电站中边缘计算单元(edge computing unit，ncu)控制光伏板阵列的倾角这一应用场景为例说明。
154.当前先进的光伏电站会部署可根据最大光强方向，并结合风向、风速和雨雪情况，调整光伏板阵列的倾角的边缘计算设备以提高发电效率并保护光伏板免受风、雨、雪破坏。一个光伏电站的边缘计算系统由多个ncu及其下挂的传感器和跟踪控制单元(tracking control unit，tcu)组成。基于此，在该场景中，图4中边缘计算设备就是ncu，而边缘计算设备连接的被控设备可以是ncu连接的传感器和tcu。
155.ncu安装在一组光伏板阵列附近的设备箱内，通过公共无线网络(如，3g/4g/5g网络等)接入云端维护控制后台。每个ncu通过有线(如rs485总线)或无线(如zigbee网络)下挂一些传感器以及100～200个tcu。每个tcu安装在一个光伏板阵列上，并向ncu上报tcu的地理位置。同时，tcu还可以基于ncu的指令，控制电机转动改变其所在光伏板阵列的倾角，
并会采集光伏板阵列的倾角状态上报给ncu。ncu根据每个tcu上报的地理位置和光伏板阵列的倾角，结合ncu从网络获取的精准时间，从下挂的风向风速仪等传感器采集的风向、风速，以及下挂的摄像头采集的天空照片，计算出每个tcu所连光伏板阵列的最佳倾角，将其转换成控制指令下发给tcu。
156.ncu作为边缘控制中枢，保存着关键的算法程序和所连大量tcu在数天内采集的数据，以及与云端管理后台等服务器交互的证书、账号、密码。云端管理后台等服务器在用户终端上的应用的请求下，会从ncu上获取相应的历史数据，并将历史数据处理后以图形化的方式展现给用户终端上的应用等。
157.在此基础上，ncu上的关键算法程序、历史数据及证书、账号、密码等对设备厂家和用户来说是敏感数据，需要加密存储在ncu上，并保证即便ncu丢失后，也不能被解密提取。
158.在图4的基础上，下面结合边缘计算设备中所需获取的密钥信息的一种情况为例对本技术的方案进行说明。
159.以边缘计算设备采用设定的磁盘加密标准和加密解机制(例如，luks磁盘加密标准和dm-crypt加解密机制等)对存储有敏感数据的磁盘分区进行加密为例说明。在该种情况下，边缘计算设备的磁盘分区用于存储本地加密的加密数据，如加密的敏感数据。加密敏感数据的密钥(即第二密钥)会被加密后存储在磁盘分区头部，而用于对加密敏感数据的密钥(即第二密钥)进行加密的密钥(即第一密钥)需要从服务器侧获得，基于此，边缘计算设备每次开机启动后，都需要从服务器获取密钥信息，以利用获取的密钥信息(即第一密钥)对边缘计算设备的磁盘分区头部存储的经过加密的加密密钥(加密的第二密钥)进行解密。
160.在此场景下，边缘计算设备在出厂之前可以预先配置上面提到的磁盘加密标准和加密解机制以及相关的加解密工具等相关软件程序。同时，还需要为边缘计算设备挂在磁盘分区，建立文件系统，并将初始的敏感文件加密存储到磁盘分区。
161.在边缘计算设备出厂之前，还需要启动边缘计算设备，该边缘计算设备会从工厂内部署的密钥服务器请求密钥信息，其中，工厂里部署的密钥服务器中配置的该边缘计算设备的密钥信息与前面云端等服务器中存储的该边缘计算设备的密钥信息一致。
162.在此基础上，边缘计算设备会利用获取到的密钥信息以及边缘计算设备中配置的初始密钥口令，生成一个新的被加密的密钥并存储在边缘计算设备的磁盘分区的头部，同时会删除该初始密钥口令。其中，存储到磁盘分区头部的被加密的密钥就是用于对边缘计算设备中敏感数据等数据进行加密的密钥，而为了解密出该磁盘分区头部中被加密的密钥，就需要利用从服务器获取到的密钥信息，并利用获取到的密钥信息对被加密的密钥进行解密。
163.为了使得边缘计算设备能够主动去服务器进行注册，在出厂之前还需要将边缘计算设备的注册状态设置为未注册。
164.在此基础上，下面对本技术中边缘计算设备向服务器申请注册的过程进行介绍。
165.如图5所示，其示出了本技术实施例提供的边缘计算设备向服务器注册设备特征信息的一种流程交互示意图。
166.该流程可以包括：
167.s501，边缘计算设备启动后，如果检测到注册状况为未注册，获得边缘计算设备当前接入的无线网络的小区标识以及边缘计算设备当前连接的至少一个被控设备各自的设
备标识和位置信息。
168.在注册阶段，边缘计算设备需要将其连接的每一台被控设备的设备标识和位置信息仅采集并上报服务器，以便后续服务器基于边缘计算设备接入的无线网络的网络状态以及连接的被控设备的位置情况等，分析被控设备是否处于异常状态。
169.s502，边缘计算设备向服务器发送注册请求。
170.该注册请求携带有边缘计算设备的设备标识、边缘计算设备接入的无线网络的小区标识、边缘计算设备连接的各被控设备的设备标识和位置信息。
171.s503，服务器检测该边缘计算设备的设备标识是否属于已配置的具备注册权限的至少一个边缘设备标识。
172.其中，服务器中已配置的具备注册权限的边缘设备标识为服务器中配置的具备注册权限的边缘计算设备的设备标识。
173.s504，如果该边缘计算设备的设备标识属于已配置的具备注册权限的边缘设备标识，服务器将该边缘计算设备的设备标识对应的小区标识、各被控设备的设备标识和各被控设备的位置信息存储为该边缘计算设备已注册的设备特征信息。
174.可以理解的是，此处已注册的设备特征信息就是本技术其他实施例中提到的第二设备特征信息。
175.如，在该边缘计算设备的设备标识属于已配置的边缘设备标识，说明该边缘计算设备具有注册权限，在该种情况下，服务器可以边缘计算设备上报的小区标识、各被控设备的设备标识和位置信息确定为该边缘计算设备的已注册的设备特征信息，并与边缘计算设备的设备标识关联存储。
176.s505，服务器向边缘计算设备发送注册成功指示。
177.该步骤s505可以与步骤s504中存储边缘计算设备已注册的设备特征信息的操作的执行顺序并不限于图5，这两个步骤的操作可以互换，也可以同步执行。
178.在一种可能的实现方式中，为了避免同一边缘计算设备反复多次注册，服务器中还可以是存储具备注册权限且尚未注册的边缘设备标识。在此基础上，服务器确认该边缘计算设备具备注册权限向其发送注册成功指示的同时或者之后，该服务器还可以将该边缘计算设备的设备标识从尚未注册的边缘设备标识中删除。
179.s506，边缘计算设备接收到注册成功指示，将边缘计算设备的注册状况更新为已注册状态。
180.s507，如果该边缘计算设备的设备标识不属于已配置的具备注册权限的设备标识，边缘计算设备向指定的管理人员的终端设备发送注册异常提醒。
181.其中，该注册异常提醒可以携带有该边缘计算设备的设备标识，且该注册异常提醒用于提示该边缘计算设备不具备注册权限。
182.在此基础上，管理人员基于该注册异常提醒，可以结合实现情况进行相关处理。
183.如，如果管理人员确认该边缘计算设备具备注册权限或者希望该边缘计算设备注册到服务器，那么管理人员可以通过终端设备向服务器发送针对该注册异常提醒的确认注册指示，该确认注册指示用于指示同意该边缘计算设备注册到服务器。相应的，服务器接收到确认注册指示后，可以将边缘计算设备上报的小区标识以及被控设备的位置信息等存储为该边缘计算设备已注册的设备特征信息，同时还会向边缘计算设备发送注册成功指示。
184.如果管理人员确认该边缘计算设备不具备注册权限，管理人员还可以通过终端设备向服务器发送针对该注册异常提醒的拒绝指示，该拒绝指示用于表示不允许该边缘计算设备注册到服务器。相应的，服务器响应于该拒绝指示，会拒绝该边缘计算设备的注册。
185.当然，该服务器还可以向边缘计算设备发不同意注册指示。边缘计算设备接收到不同意注册指示后，仍会维持其注册状况为未注册状态。
186.一般情况下，在边缘计算设备注册成功后，边缘计算设备还可以重启，以便从服务器获取密钥信息。
187.在图4和图5的基础上，下面结合一种实现方式对本技术的密钥获取与传输方法进行介绍。
188.如图6所示，其示出了本技术实施例提供的密钥获取与传输方法的又一种流程交互示意图，本实施例的方法可以包括：
189.s601，边缘计算设备启动后，检测到边缘计算设备处于已注册状态，边缘计算设备与服务器建立通信连接。
190.此处建立通信连接的过程可以为建立通信连接通道，以为后续边缘计算设备向服务器发送登录请求以及传输数据提供必要支持。
191.s602，服务器确认该边缘计算设备为已注册的边缘计算设备，向边缘计算设备发送信息获取指示。
192.如，边缘计算设备发起连接请求时携带边缘计算设备的设备标识，服务器基于该边缘计算设备的设备标识，查询该边缘计算设备的设备标识是否为已注册的设备标识或者是是否存在该边缘计算设备的设备对应的已注册的设备特征信息。如果是，则确认该边缘计算设备为已注册的边缘计算设备。
193.其中，信息获取指示用于指示出待验证的至少一个目标被控设备的设备标识。该至少一个目标被控设备的设备标识属于边缘计算设备已注册的设备特征信息中至少一个被控设备(即第二被控设备)的设备标识。
194.其中，信息获取指示中指示出待验证的目标被控设备的设备标识可以为目标被控设备的端口号，也可以是目标被控设备的设备序列号等，对此不加限制。
195.可以理解的是，边缘计算设备连接的被控设备的数量会较多，因此，边缘计算设备中已注册的被控设备的设备标识的数据也会较多，为了减少边缘计算设备在登录介绍需要上报的被控设备的数据信息的数量，至少一个目标被控设备可以为边缘计算设备已注册的至少一个被控设备中的部分。
196.如，服务器可以从边缘计算设备已注册的至少一个被控设备中选择设定比例或者设定数量的被控设备作为目标被控设备。其中，该设定比例可以根据需要设定，例如设定比例可以为10％。类似的设定数量也可以根据需要设定，该设定数量一般远小于该边缘计算设备注册时实际连接的边缘计算设备的总数量。
197.举例说明，服务器每次可以从边缘计算设备已注册的被控设备的设备标识中选取10个被控设备的设备标识作为待验证的目标被控设备的设备标识。
198.s603，边缘计算设备基于各目标被控设备的设备标识，获取边缘计算设备连接的各目标被控设备的位置信息。
199.在本实施例中，边缘计算设备只需要获得服务器指示的待验证的目标被控设备的
位置信息，而对于边缘计算设备连接的不属于待验证的目标被控设备的其他被控设备，而无需获取其位置信息。
200.s604，边缘计算设备获得边缘计算设备当前接入的无线网络的小区标识。
201.此处该步骤获得的小区标识也就是本技术前面实施例提到的第一小区标识。
202.s605，边缘计算设备向服务器发送登录请求。
203.该登录请求携带有边缘计算设备的设备标识、当前接入的无线网络的小区标识，边缘计算设备连接的各目标被控设备的设备标识和位置信息。
204.s606，服务器基于该边缘计算设备的设备标识，获得该边缘计算设备已注册的设备特征信息。
205.服务器中可以存储已注册的各边缘计算设备的设备标识对应的已注册的设备特征信息，因此，基于该边缘计算设备的标识信息，可以确定该边缘计算设备已注册的设备特征信息。
206.如前面所述，边缘计算设备已注册的设备特征信息包括：该边缘计算设备注册时，该边缘计算设备接入的无线网络的小区标识，以及该边缘计算设备连接的所有被控设备的设备标识和位置信息。
207.s607，服务器确定边缘计算设备上报的小区标识以及各目标被控设备的设备标识和位置信息与已注册的设备特征信息的小区标识以及各目标被控设备的设备标识和位置信息之间的信息匹配程度。
208.在一种可能的实现方式中，服务器可以基于该边缘计算设备上报的小区标识查询该小区标识对应的地理位置，同时确定边缘计算设备已注册的小区标识对应的地理位置，如果边缘计算设备上报的小区标识对应的地理位置与已注册的小区标识对应的地理位置信息的位置差距小于预设距离阈值，则确定上报的小区标识与已注册的小区标识匹配。
209.对于边缘计算设备上报的各目标被控设备的设备标识和位置信息，可以针对每个目标被控设备的设备标识，确定上报的目标被控设备的位置信息与已注册的目标被控设备的位置信息是否匹配，然后确定出位置信息匹配的目标被控设备的匹配比例。基于当前上报的目标被控制设备与已注册的目标被控设备的位置信息的匹配比例，确定各目标被控设备的位置信息与已注册的目标被控设备的位置信息的匹配程度。
210.其中，该信息匹配程度可以由当前上报的小区标识与已注册的小区标识的匹配程度，以及当前上报的目标被控制设备与已注册的目标被控设备的位置信息的匹配程度来综合确定。如，可以设定小区标识的匹配程度以及位置信息的匹配程度各自对应的权重，并结合这两个维度的匹配程度综合确定信息匹配程度。
211.s608，如果信息匹配程度超过设定阈值，服务器向边缘计算设备发送登录成功指示。
212.在一种可选方式中，如果信息匹配程序超过设定阈值，服务器还可以利用边缘计算设备上报的各目标被控设备的位置信息更新该边缘计算设备已注册的设备特征信息中各目标被控设备的位置信息。
213.s609，边缘计算设备向服务器发送密钥请求。
214.在一种可能的实现方式中，边缘计算设备中可以运行有登录应用的登录客户端以及加解密应用。如，加解密应用可以为clevis程序。在以上步骤s601到s608中边缘计算设备
所执行的操作可以由登录客户端执行。在登录客户端获得登录成功指示后，登录客户端可以调用加解密应用，如clevis程序。在此基础上，clevis程序或者其他加解密应用可以登录客户端发送获取密钥信息的密钥请求，该密钥请求可以为基于http的post消息。边缘计算设备的登录客户端可以将密钥请求封装后，通过公有无线网络发送给服务器。
215.s610，服务器向边缘计算设备发送第一密钥。
216.s611，边缘计算设备基于该第一密钥对磁盘分区头部加密的第二密钥进行解密，得到解密出的第二密钥。
217.如，服务器可以将第一密钥封装后发送给边缘计算设备的登录客户端，登录客户端提取出该第一密钥之后，可以将第一密钥发送给clevis程序等加解密应用。通过clevis程序等加解密应用可以利用第一密钥对边缘计算设备的磁盘分区头部的已加密的第二密钥进行解密，得到第二密钥。
218.可以理解的是，在得到第二密钥之后，边缘计算设备可以利用第二密钥对磁盘分区中加密的敏感数据等加密数据进行解密，具体在此不再赘述。
219.可以理解的是，与前面实施例相似，如果服务器确认出边缘计算设备上报的小区标识与目标被控设备的位置信息与已注册的小区标识和目标被控设备的位置信息的匹配程度低于设定阈值，服务器同样可以向指定的管理人员的终端设备发送提醒消息，该提醒消息用于提示边缘计算设备不具备访问权限。在该种情况，管理人员还可以对提醒消息进行相关处理，具体参见前面的相关介绍，在此不再赘述。
220.在又一种可能的实现方式中，边缘计算设备在向服务器注册的同时，边缘计算设备还可以基于已注册的各被控设备的设备标识和位置信息，生成一个校验值(例如md5值)。在一种具体实现中，边缘计算设备还可以是将其连接的被控设备划分为多个被控设备组，每个被控设备组包括至少一个被控设备。在此基础上，针对每个被控设备组，边缘计算设备可以基于该被控设备组中各被控设备对应的已上报的位置信息计算第一校验值。
221.进一步的，边缘计算设备在获得登录成功指示后，该边缘计算设备还可以继续获取该边缘计算设备连接的且不属于目标被控设备的其他第一被控设备的设备标识和位置信息。在边缘计算设备获得该边缘计算设备连接的所有第一被控设备的设备标识和位置信息之后，针对每个被控设备组，边缘计算设备基于该被控设备组中各被控设备当前的位置信息，计算该被控设备组对应的第二校验值。
222.如果边缘计算设备检测到被控设备组的第二校验值与第一校验值不同，边缘计算设备可以向服务器发送注册信息更新请求，该注册信息更新请求用于请求更新已注册的被控设备的位置信息。同时，该注册更新请求可以携带有校验值发生变化的被控设备组中各被控设备的位置信息。
223.相应的，服务器如果检测到被控设备组中各被控设备的位置信息与已注册的设备特征信息中该被控设备组中各被控设备的位置信息之间的匹配程度超过设定阈值，服务器可以利用边缘计算设备上报的该被控设备组中各被控设备的位置信息，更新已注册的被控设备组中各被控设备的位置信息。
224.进一步的，服务器更新已注册的被控设备组中各被控设备的位置信息之后，该服务器还可以向边缘计算设备发送更新成功指示。相应的，边缘计算设备响应于该更新成功指示，可以将该被控设备组的第一校验值更新为该被控设备组的第二校验值。
225.对应本技术提供的一种密钥传输方法，本技术还提供了一种密钥传输装置。如图7所示，其示出了本技术实施例提供的密钥传输装置的一种组成结构示意图，该装置应用于服务器，该装置可以包括：
226.特征信息获得单元701，用于获得边缘计算设备发送的第一设备特征信息，所述第一设备特征信息包括：所述边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
227.注册信息确定单元702，用于确定所述边缘计算设备已注册的第二设备特征信息，所述第二设备特征信息包括：所述边缘计算设备接入的无线网络的第二小区标识以及所述边缘计算设备连接的至少一个第二被控设备的位置信息；
228.密钥传输单元703，用于如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，向所述边缘计算设备发送密钥信息。
229.在一种可能的实现方式中，该装置还包括：
230.指示发送单元，用于在特征信息获得单元获得边缘计算设备发送的第一设备特征信息之前，检测到所述边缘计算设备与服务器建立通信连接，向所述边缘计算设备发送信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备，所述至少一个目标被控设备属于所述至少一个第二被控设备；
231.该密钥传输单元在确定至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配时，具体为，确定该至少一个第一被控设备的位置信息与所述至少一个目标被控设备的位置信息匹配。
232.在又一种可能的实现方式中，该密钥传输单元在确认至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配时，具体为，确定至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息的匹配程度超过设定阈值；
233.该装置还还包括：信息更新单元，用于在密钥传输单元向所述边缘计算设备发送密钥信息的同时或者之前，利用所述至少一个第一被控设备的位置信息，更新所述已注册的第二设备特征信息中至少一个第二被控设备的位置信息。
234.在又一种可能的实现方式中，该信息获得单元，包括：
235.登录请求获得单元，用于获得边缘计算设备发送的登录请求，所述登录请求携带有第一设备特征信息；
236.该装置还包括：
237.成功指示单元，用于如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，在密钥传输单元向所述边缘计算设备发送密钥信息之前，向所述边缘计算设备发送登录成功指示；
238.密钥传输单元，包括：
239.密钥传输子单元，用于在获得所述边缘计算设备发送的密钥请求后，向所述边缘计算设备发送密钥信息。
240.在又一种可能的实现方式中，该装置还包括：
241.注册请求获得单元，用于在特征信息获得单元获得边缘计算设备发送的设备特征信息之前，获得所述边缘计算设备发送的注册请求，所述注册请求携带有所述边缘计算设
备待注册的第二设备特征信息；
242.注册信息存储单元，用于如果所述边缘计算设备属于已配置的具备注册权限的边缘计算设备，将所述第二设备特征信息存储为所述边缘计算设备注册的第二设备特征信息。
243.在又一种可能的实现方式中，该装置还包括：
244.提醒单元，用于如果所述第一小区标识与所述第二小区标识不匹配或者所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息不匹配，向指定的管理人员的终端设备发送提醒消息，所述提醒消息用于提示所述边缘计算设备不具备访问权限；
245.批准处理单元，用于如果接收到所述管理人员的终端设备针对所述提醒消息发送的批准访问指示，利用所述第一设备特征信息更新所述边缘计算设备已注册的第二设备特征信息，向所述边缘计算设备发送所述密钥信息。
246.对应本技术实施例提供的一种密钥获取方法，本技术还提供了一种密钥获取装置。
247.如图8所示，其示出了本技术实施例提供的密钥获取装置的一种组成结构示意图。该装置应用于边缘计算设备，该装置可以包括：
248.特征获取单元801，用于获得所述边缘计算设备当前的第一设备特征信息，所述第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；
249.特征发送单元802，用于向服务器发送所述第一设备特征信息；
250.密钥获得单元803，用于获得所述服务器返回的密钥信息。
251.在一种可能的实现方式中，该装置还包括：
252.连接建立单元，用于在特征获取单元获得所述边缘计算设备当前的第一设备特征信息之前，建立所述边缘计算设备与所述密钥服务器的通信连接；
253.指示获得单元，用于获得所述密钥服务器发送的信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备的设备标识；
254.特征获取单元，包括：
255.位置获取子单元，用于基于所述至少一个目标被控设备的设备标识，获得所述边缘计算设备连接的各所述目标被控设备的位置信息；
256.标识获取子单元，用于确定所述边缘计算设备接入的无线网络的第一小区标识；
257.特征生成子单元，用于将所述至少一个目标被控设备的位置信息确定为待发送的至少一个第一被控设备的位置信息，生成包含所述第一小区标识和所述至少一个第一被控设备的位置信息的第一设备特征信息。
258.又一方面，本技术还提供了一种电子设备，如图9所示，其示出了该电子设备的一种组成结构示意图，该电子设备可以为任意类型的电子设备，该电子设备至少包括处理器901和存储器902；
259.其中，处理器901用于执行如上任意一个实施例中的密钥获取方法、密钥传输方法或者密钥获取与传输方法。
260.该存储器902用于存储处理器执行操作所需的程序。
261.可以理解的是，该电子设备还可以包括显示单元903以及输入单元904。
262.当然，该电子设备还可以具有比图9更多或者更少的部件，对此不加限制。
263.另一方面，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上任意一个实施例所述的密钥获取方法、密钥传输方法或者密钥获取与传输方法。
264.本技术还提出了一种计算机程序，该计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机程序在电子设备上运行时，用于执行如上任意一个实施例中的密钥获取方法、密钥传输方法或者密钥获取与传输方法。
265.需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。同时，本说明书中各实施例中记载的特征可以相互替换或者组合，使本领域专业技术人员能够实现或使用本技术。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
266.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
267.对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
268.以上仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。

技术特征：

1.一种密钥传输方法，应用于服务器，包括：获得边缘计算设备发送的第一设备特征信息，所述第一设备特征信息包括：所述边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；确定所述边缘计算设备已注册的第二设备特征信息，所述第二设备特征信息包括：所述边缘计算设备接入的无线网络的第二小区标识以及所述边缘计算设备连接的至少一个第二被控设备的位置信息；如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，向所述边缘计算设备发送密钥信息。2.根据权利要求1所述的方法，在所述获得边缘计算设备发送的第一设备特征信息之前，还包括：检测到所述边缘计算设备与服务器建立通信连接，向所述边缘计算设备发送信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备，所述至少一个目标被控设备属于所述至少一个第二被控设备；所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，包括：至少一个第一被控设备的位置信息与所述至少一个目标被控设备的位置信息匹配。3.根据权利要求1所述的方法，所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，包括：所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息的匹配程度超过设定阈值；在向所述边缘计算设备发送密钥信息的同时或者之前，还包括：利用所述至少一个第一被控设备的位置信息，更新所述已注册的第二设备特征信息中至少一个第二被控设备的位置信息。4.根据权利要求1所述的方法，所述获得边缘计算设备发送的第一设备特征信息，包括：获得边缘计算设备发送的登录请求，所述登录请求携带有第一设备特征信息；在向所述边缘计算设备发送密钥信息之前，还包括：向所述边缘计算设备发送登录成功指示；所述向所述边缘计算设备发送密钥信息，包括：在获得所述边缘计算设备发送的密钥请求后，向所述边缘计算设备发送密钥信息。5.根据权利要求1所述的方法，在获得边缘计算设备发送的设备特征信息之前，还包括：获得所述边缘计算设备发送的注册请求，所述注册请求携带有所述边缘计算设备待注册的第二设备特征信息；如果所述边缘计算设备属于已配置的具备注册权限的边缘计算设备，将所述第二设备特征信息存储为所述边缘计算设备注册的第二设备特征信息。6.根据权利要求1所述的方法，还包括：
如果所述第一小区标识与所述第二小区标识不匹配或者所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息不匹配，向指定的管理人员的终端设备发送提醒消息，所述提醒消息用于提示所述边缘计算设备不具备访问权限；如果接收到所述管理人员的终端设备针对所述提醒消息发送的批准访问指示，利用所述第一设备特征信息更新所述边缘计算设备已注册的第二设备特征信息，向所述边缘计算设备发送所述密钥信息。7.一种密钥获取方法，应用于边缘计算设备，包括：获得所述边缘计算设备当前的第一设备特征信息，所述第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；向服务器发送所述第一设备特征信息；获得所述服务器返回的密钥信息。8.根据权利要求7所述的方法，在获得所述边缘计算设备当前的第一设备特征信息之前，还包括：建立所述边缘计算设备与所述密钥服务器的通信连接；获得所述密钥服务器发送的信息获取指示，所述信息获取指示用于指示出待验证的至少一个目标被控设备的设备标识；所述获得所述边缘计算设备当前的第一设备特征信息，包括：基于所述至少一个目标被控设备的设备标识，获得所述边缘计算设备连接的各所述目标被控设备的位置信息；确定所述边缘计算设备接入的无线网络的第一小区标识；将所述至少一个目标被控设备的位置信息确定为待发送的至少一个第一被控设备的位置信息，生成包含所述第一小区标识和所述至少一个第一被控设备的位置信息的第一设备特征信息。9.一种密钥传输装置，应用于服务器，包括：特征信息获得单元，用于获得边缘计算设备发送的第一设备特征信息，所述第一设备特征信息包括：所述边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；注册信息确定单元，用于确定所述边缘计算设备已注册的第二设备特征信息，所述第二设备特征信息包括：所述边缘计算设备接入的无线网络的第二小区标识以及所述边缘计算设备连接的至少一个第二被控设备的位置信息；密钥传输单元，用于如果所述第一小区标识与所述第二小区标识匹配且所述至少一个第一被控设备的位置信息与所述至少一个第二被控设备的位置信息匹配，向所述边缘计算设备发送密钥信息。10.一种密钥获取装置，应用于边缘计算设备，包括：特征获取单元，用于获得所述边缘计算设备当前的第一设备特征信息，所述第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及所述边缘计算设备连接的至少一个第一被控设备的位置信息；特征发送单元，用于向服务器发送所述第一设备特征信息；密钥获得单元，用于获得所
述服务器返回的密钥信息。

技术总结

本申请提供了一种密钥传输与获取方法和装置，其中，服务器获得边缘计算设备发送的第一设备特征信息，第一设备特征信息包括：边缘计算设备接入的无线网络的第一小区标识以及边缘计算设备连接的至少一个第一被控设备的位置信息；服务器确定边缘计算设备已注册的第二设备特征信息，第二设备特征信息包括：边缘计算设备接入的无线网络的第二小区标识以及边缘计算设备连接的至少一个第二被控设备的位置信息；如果第一小区标识与第二小区标识匹配且至少一个第一被控设备的位置信息与至少一个第二被控设备的位置信息匹配，服务器向边缘计算设备发送密钥信息。本申请的方案可提高边缘计算设备所需的密钥的安全性。边缘计算设备所需的密钥的安全性。边缘计算设备所需的密钥的安全性。