云存储认证方法及系统、边缘计算服务器、用户路由器与流程

本发明涉及通信技术领域，特别涉及一种云存储认证方法及系统、边缘计算服务器、用户路由器。

背景技术：

云存储是基于云计算和互联网相互融合而出现的数据存储服务，其作为一种新型、方便快捷、易于扩展的存储服务模式，正在影响并改变着传统数据存储的提供与使用方式，是云计算应用发展普及的重要领域。云存储服务为用户提供了一种简便、高效的数据管理方式，用户可根据自身需求将海量数据存储到云服务器中，并随时提取或进行其他操作。

但目前的云存储的技术方案在解决本地存储容量受限的问题的同时，也面临着安全风险，主要表现在以下两个方面：1.外部的安全风险，尽管云存储服务器通过提供更加可靠的存储设备及安全高效的存储技术可以极大地提高数据的安全性，但是仍然会存在不法分子采用非常规手段窃取用户云存储的数据，侵犯存储用户的个人隐私，并以此获益；2.内部的安全风险，云服务提供商可能因为自己的过失造成用户信息泄露，从而导致存储于云上的数据面临着严重的安全威胁。

因此，如何提高云存储服务的安全性，成为目前云计算领域亟待解决的技术问题。

技术实现要素：

本发明旨在至少解决现有技术中存在的技术问题之一，提供一种云存储认证方法及系统、边缘计算服务器、用户路由器。

为实现上述目的，本发明提供了一种云存储认证方法，应用于边缘计算服务器，该云存储认证方法包括：

获取用户路由器发送的路由器信息，所述路由器信息包括路由器数字证书，所述路由器数字证书为所述用户路由器预先根据所述用户路由器的路由器身份信息和用户终端的终端数字证书生成，所述终端数字证书为所述用户终端预先根据终端身份信息和用户终端请求的云存储服务内容生成；

根据所述路由器数字证书，获取所述路由器身份信息和所述终端数字证书；

根据所述终端数字证书，获取所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容；

在验证所述终端身份信息和所述路由器身份信息通过后，根据所述云存储服务内容和预先设置的智能合约，查询所述用户终端是否具有与所述云存储服务内容相对应的权限；

当查询出所述用户终端具有与所述云存储服务内容相对应的权限时，向所述用户终端发送云存储认证通过消息，以供所述用户终端基于所述云存储认证通过消息，与对应的云存储服务器进行与所述云存储服务内容相对应的交互。

可选地，所述路由器信息还包括所述用户路由器对应的第一时间戳，所述根据所述路由器数字证书，获取所述路由器身份信息和所述终端数字证书之前，还包括：

判断当前系统时间与所述第一时间戳的差值是否小于或等于第一预设有效时长；

若判断出当前系统时间与所述第一时间戳的差值小于或等于第一预设有效时长时，执行所述根据所述路由器数字证书，获取所述路由器身份信息和所述终端数字证书的步骤。

可选地，所述路由器信息还包括所述用户终端对应的第二时间戳，所述根据所述终端数字证书，获取所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容之前，还包括：

判断当前系统时间与所述第二时间戳的差值是否小于或等于第二预设有效时长；

若判断出当前系统时间与所述第二时间戳的差值小于或等于第二预设有效时长时，执行所述根据所述终端数字证书，获取所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容的步骤。

可选地，所述路由器数字证书为所述用户路由器预先利用预先获取的第一私钥对预先获取的第一公钥、所述终端数字证书和所述路由器身份信息进行加密而生成；

所述根据所述路由器数字证书，获取所述路由器身份信息和所述终端数字证书，包括：

通过预先生成的第一公钥对所述路由器数字证书进行解密，得到所述终端数字证书和所述路由器身份信息。

可选地，所述终端数字证书为所述用户终端预先利用预先获取的第二私钥对预先获取的第二公钥、所述终端身份信息、请求的所述云存储服务内容进行加密而生成；

所述根据所述终端数字证书，获取所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容，包括：

通过预先生成的所述第二公钥对所述终端数字证书进行解密，得到所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容。

可选地，所述获取用户路由器发送的路由器信息之前，还包括：

响应于所述用户终端发送的终端身份注册请求，生成第一请求响应信息，所述终端身份注册请求包括所述用户终端的终端身份信息，所述第一请求响应信息包括第一随机数和所述第二时间戳；

向所述用户终端返回终端身份验证请求，所述终端身份验证请求包括所述第一随机数和所述第二时间戳；

获取所述用户终端基于所述终端身份验证请求返回的终端身份密文；

根据预先生成的所述第一随机数对所述终端身份密文进行解密，得到所述终端身份信息；

判断解密得到的终端身份信息和所述终端身份注册请求中的终端身份信息是否一致，若一致，则向所述用户终端返回终端身份注册成功信息，所述终端身份注册成功信息包括所述第二公钥和与所述第二公钥对应的所述第二私钥。

可选地，所述第一请求响应信息还包括第三公钥和与所述第三公钥对应的第三私钥，所述终端身份验证请求还包括所述第三公钥；

所述获取所述用户终端基于所述终端身份验证请求返回的终端身份密文之前，还包括：获取所述用户终端基于所述终端身份验证请求返回的第一加密信息，所述第一加密信息为所述用户终端利用所述第三公钥对所述终端身份密文进行加密得到，所述终端身份密文为所述用户终端预先根据所述第一随机数和终端身份信息生成；

所述获取所述用户终端基于所述终端身份验证请求返回的终端身份密文，包括：利用所述第三私钥对所述第一加密信息进行解密，得到所述终端身份密文。

可选地，所述获取用户路由器发送的路由器信息之前，还包括：

响应于所述用户路由器发送的路由器身份注册请求，生成第二请求响应信息，所述路由器身份注册请求包括所述用户路由器的路由器身份信息，所述第二请求响应信息包括第二随机数和所述第一时间戳；

向所述用户路由器返回路由器身份验证请求，所述路由器身份验证请求包括所述第二随机数和所述第一时间戳；

获取所述用户路由器基于所述路由器身份验证请求返回的路由器身份密文；

根据预先生成的所述第二随机数对所述路由器身份密文进行解密，得到所述路由器身份信息；

判断解密得到的路由器身份信息和所述路由器身份注册请求中的路由器身份信息是否一致；

若判断为一致时，向所述用户路由器返回路由器身份注册成功信息，所述路由器身份注册成功信息包括所述第一公钥和与所述第一公钥对应的所述第一私钥。

可选地，所述第二请求响应信息还包括第四公钥和与所述第四公钥对应的第四私钥，所述路由器身份验证请求还包括所述第四公钥；

所述获取所述用户路由器基于所述路由器身份验证请求返回的路由器身份密文之前，还包括：获取所述用户路由器基于所述路由器身份验证请求返回的第二加密信息，所述第二加密信息为所述用户路由器利用所述第四公钥对所述路由器身份密文进行加密得到，所述路由器身份密文为所述用户路由器预先根据所述第二随机数和路由器身份信息生成；

所述获取所述用户路由器基于所述路由器身份验证请求返回的路由器身份密文，包括：利用所述第四私钥对所述第二加密信息进行解密，得到所述路由器身份密文。

可选地，向所述用户路由器返回路由器身份注册成功信息之后，还包括：

接收所述用户路由器发送的所述用户路由器与所述用户终端之间的通信密钥获取请求，所述通信密钥获取请求包括第三加密信息，所述第三加密信息为所述用户路由器预先利用所述第一私钥对身份对密文进行加密而生成，所述身份对密文为所述用户路由器预先根据所述路由器身份信息、预先获取的所述终端身份信息和所述第二随机数而生成；

利用预先生成的第一公钥对所述第三加密信息进行解密，得到所述身份对密文；

利用预先生成的所述第二随机数对所述身份对密文进行解密，得到的所述路由器身份信息和所述终端身份信息；

对解密得到的所述路由器身份信息和所述终端身份信息进行验证通过后，向所述用户路由器返回用于所述用户路由器与所述用户终端进行通信的第五公钥，以及与第五公钥对应的第五私钥。

为实现上述目的，本发明提供了一种云存储认证方法，应用于用户路由器，该云存储认证方法包括：

获取用户终端发送的终端信息，所述终端信息包括所述用户终端预先生成的终端数字证书；

根据预先设置的路由器身份信息和所述终端数字证书，生成路由器数字证书；

向边缘计算服务器发送路由器信息，所述路由器信息包括所述路由器数字证书，以触发所述边缘计算服务器进行云存储认证。

可选地，所述根据预先设置的路由器身份信息和所述用户终端预先生成的终端数字证书，生成路由器数字证书，包括：利用预先获取的第一私钥对预先获取的第一公钥、所述终端数字证书和所述路由器身份信息进行加密，生成所述路由器数字证书。

可选地，所述终端信息还包括所述用户终端对应的第二时间戳，所述利用预先获取的第一私钥对预先获取的第一公钥、所述终端数字证书和所述路由器身份信息进行加密，生成所述路由器数字证书之前，还包括：

判断当前系统时间与所述第二时间戳的差值是否小于或等于第三预设有效时长；

若判断出当前系统时间与所述第二时间戳的差值小于或等于第三预设有效时长时，执行利用预先获取的第一私钥对预先获取的第一公钥、所述终端数字证书和所述路由器身份信息进行加密，生成所述路由器数字证书的步骤。

可选地，所述获取用户终端发送的终端信息之前，还包括：

接收所述用户终端发送的第四加密信息，所述第四加密信息为所述用户终端预先利用预先获取的第五公钥对预先生成的所述终端数字证书、所述第二时间戳进行加密而得到；

所述获取用户终端发送的终端信息包括：利用预先获取的所述第五公钥对应的第五私钥，对所述第四加密信息进行解密，得到所述终端信息。

为实现上述目的，本发明提供了一种边缘计算服务器，该服务器包括：身份认证管理模块和智能合约管理模块；

所述身份认证管理模块用于获取用户路由器发送的路由器信息，所述路由器信息包括路由器数字证书，所述路由器数字证书为所述用户路由器预先根据所述用户路由器的路由器身份信息和用户终端预先生成的终端数字证书生成；根据所述路由器数字证书，获取所述路由器身份信息和所述终端数字证书；根据所述终端数字证书，获取所述用户终端的终端身份信息和所述用户终端请求的云存储服务内容；在验证所述终端身份信息和所述路由器身份信息通过后，向所述智能合约管理模块发送权限查询请求；

所述智能合约管理模块用于响应于所述权限查询请求，根据所述云存储服务内容和预先设置的智能合约，查询所述用户终端是否具有与所述云存储服务内容相对应的权限；向所述身份认证管理模块返回查询结果；

当所述查询结果为所述用户终端具有与所述云存储服务内容相对应的权限时，所述身份认证管理模块还用于向所述用户终端发送云存储认证通过消息，以供所述用户终端基于所述云存储认证通过消息，与所述边缘计算节点对应的云存储服务器进行与所述云存储服务内容相对应的交互。

为实现上述目的，本发明提供了一种用户路由器，该路由器包括：

获取模块，用于获取用户终端发送的终端信息，所述终端信息包括所述用户终端预先生成的终端数字证书；

生成模块，用于根据预先设置的路由器身份信息和所述用户终端预先生成的终端数字证书，生成路由器数字证书；

触发模块，用于向边缘计算服务器发送路由器信息，所述路由器信息包括所述路由器数字证书，以触发所述边缘计算服务器进行云存储认证。

为实现上述目的，本发明提供了一种云存储认证系统，该系统包括用户终端、用户路由器和边缘计算服务器，所述用户路由器采用上述任一实施例所提供的用户路由器，所述边缘计算服务器采用上述上述任一实施例所提供的边缘计算服务器。

本发明所提供的云存储认证方法及系统、边缘计算服务器、用户路由器，通过多级加密、智能合约的认证方式，对用户终端进行云存储认证，能够有效防止云存储服务器被恶意访问、造假身份访问，造成用户个人隐私被泄露和被非法篡改的问题，从而能够在一定程度上提高用户信息和云存储服务的安全性和稳定性。

附图说明

图1为本发明实施例一提供的一种云存储认证方法的流程图；

图2为本发明实施例一中用户终端与边缘计算服务器交互进行身份注册的流程图；

图3为本发明实施例一中用户路由器与边缘计算服务器交互进行身份注册的流程图；

图4为本发明实施例二提供的一种云存储认证方法的流程图；

图5为本发明实施例三提供的一种云存储认证方法的流程图；

图6为本发明实施例三中用户终端与边缘计算服务器交互进行身份注册的流程图；

图7为本发明实施例三中用户路由器与边缘计算服务器交互进行身份注册的流程图；

图8为本发明实施例四提供的一种边缘计算服务器的结构框图；

图9为本发明实施例五提供的一种用户路由器的结构框图；

图10为本发明实施例六提供的一种云存储认证系统的结构框图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的云存储认证方法及系统、边缘计算服务器、用户路由器进行详细描述。

图1为本发明实施例一提供的一种云存储认证方法的流程图，该云存储认证方法应用于边缘计算服务器，如图1所示，该云存储认证方法包括：

步骤11、边缘计算服务器获取用户路由器发送的路由器信息，路由器信息包括路由器数字证书。

其中，路由器数字证书为用户路由器预先根据用户路由器的路由器身份信息和用户终端的终端数字证书生成，终端数字证书为用户终端预先根据终端身份信息和用户终端请求的云存储服务内容生成。具体地，当用户终端需要请求与云存储服务器进行云存储服务内容相应的交互时，用户终端首先向用户路由器发送预先生成的终端数字证书，用户路由器在获取到用户终端的终端数字证书后，再生成路由器数字证书，而后用户路由器通过网络向边缘计算服务器发送路由器信息，以请求边缘计算服务器进行云存储认证。

步骤12、边缘计算服务器根据路由器数字证书，获取路由器身份信息和终端数字证书。

步骤13、边缘计算服务器根据终端数字证书，获取用户终端的终端身份信息和用户终端请求的云存储服务内容。

步骤14、在验证终端身份信息和路由器身份信息通过后，边缘计算服务器根据云存储服务内容和预先设置的智能合约，查询用户终端是否具有与云存储服务内容相对应的权限。

步骤15、当查询出用户终端具有与云存储服务内容相对应的权限时，边缘计算服务器向用户终端发送云存储认证通过消息，以供用户终端基于云存储认证通过消息，与对应的云存储服务器进行与云存储服务内容相对应的交互。

可选地，路由器信息还包括用户路由器对应的第一时间戳，在步骤12之前，还包括：步骤120、边缘计算服务器判断当前系统时间与第一时间戳的差值是否小于或等于第一预设有效时长，若是，执行步骤12，否则，向用户路由器返回时间戳过期消息并结束流程。

在步骤120中，边缘计算服务器接收到用户路由器发送来的路由器信息后，首先验证其中的第一时间戳，若判断出当前系统时间与第一时间戳的差值小于或等于第一预设有效时长时，则表明路由器数字证书有效，验证通过，反之则不通过。其中，第一预设有效时长可以根据实际需要设置，例如第一预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤120中，当前系统时间为边缘计算服务器的当前系统时间。

可选地，路由器信息还包括用户终端对应的第二时间戳，在步骤13之前，还包括：步骤130、边缘计算服务器判断当前系统时间与第二时间戳的差值是否小于或等于第二预设有效时长，若是，执行步骤13，否则，通过用户路由器向用户终端返回时间戳过期消息并结束流程。

在步骤130中，边缘计算服务器在对终端数字证书解密获取用户终端的终端身份信息和用户终端请求的云存储服务内容之前，首先要验证路由器信息中用户终端对应的第二时间戳，若判断出当前系统时间与第二时间戳的差值小于或等于第二预设有效时长时，则表明终端数字证书有效，验证通过，反之则不通过。其中，第二预设有效时长可以根据实际需要设置，例如第二预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤130中，当前系统时间为边缘计算服务器的当前系统时间。

可选地，路由器数字证书为用户路由器预先利用预先获取的第一私钥对预先获取的第一公钥、终端数字证书和路由器身份信息进行加密而生成。步骤12包括：边缘计算服务器通过预先生成的第一公钥对路由器数字证书进行解密，得到终端数字证书和路由器身份信息。

可选地，终端数字证书为用户终端预先利用预先获取的第二私钥对预先获取的第二公钥、终端身份信息、请求的云存储服务内容进行加密而生成。步骤13包括：边缘计算服务器通过预先生成的第二公钥对终端数字证书进行解密，得到用户终端的终端身份信息和用户终端请求的云存储服务内容。

图2为本发明实施例一中用户终端与边缘计算服务器交互进行身份注册的流程图，可选地，如图2所示，在步骤11之前，还包括用户终端与边缘计算服务器交互进行身份注册的流程，具体为：

步骤101a、边缘计算服务器响应于用户终端发送的终端身份注册请求，生成第一请求响应信息，终端身份注册请求包括用户终端的终端身份信息，第一请求响应信息包括第一随机数和第二时间戳。

步骤102a、边缘计算服务器向用户终端返回终端身份验证请求，终端身份验证请求包括第一随机数和第二时间戳。

步骤103a、边缘计算服务器获取用户终端基于终端身份验证请求返回的终端身份密文。

可选地，第一请求响应信息还包括第三公钥和与第三公钥对应的第三私钥，终端身份验证请求还包括第三公钥。步骤103a之前，还包括：步骤1030a、边缘计算服务器获取用户终端基于终端身份验证请求返回的第一加密信息，第一加密信息为用户终端利用第三公钥对终端身份密文进行加密得到，终端身份密文为用户终端预先根据第一随机数和终端身份信息生成。

具体地，步骤103a包括：边缘计算服务器利用所述第三私钥对第一加密信息进行解密，得到终端身份密文。

步骤104a、边缘计算服务器根据预先生成的第一随机数对终端身份密文进行解密，得到终端身份信息。

步骤105a、边缘计算服务器判断解密得到的终端身份信息和终端身份注册请求中的终端身份信息是否一致，若一致，则执行步骤106a，否则向用户终端返回注册失败消息。

步骤106a、边缘计算服务器向用户终端返回终端身份注册成功信息，终端身份注册成功信息包括第二公钥和与第二公钥对应的第二私钥。

图3为本发明实施例一中用户路由器与边缘计算服务器交互进行身份注册的流程图，可选地，如图3所示，在步骤11之前，还包括用户路由器与边缘计算服务器交互进行身份注册的流程，具体为：

步骤101b、边缘计算服务器响应于用户路由器发送的路由器身份注册请求，生成第二请求响应信息，路由器身份注册请求包括用户路由器的路由器身份信息，第二请求响应信息包括第二随机数和第一时间戳。

步骤102b、边缘计算服务器向用户路由器返回路由器身份验证请求，路由器身份验证请求包括第二随机数和第一时间戳。

步骤103b、边缘计算服务器获取用户路由器基于路由器身份验证请求返回的路由器身份密文。

可选地，第二请求响应信息还包括第四公钥和与第四公钥对应的第四私钥，路由器身份验证请求还包括第四公钥。步骤103b之前，还包括：步骤1030b、边缘计算服务器获取用户路由器基于路由器身份验证请求返回的第二加密信息，第二加密信息为用户路由器利用第四公钥对路由器身份密文进行加密得到，路由器身份密文为用户路由器预先根据第二随机数和路由器身份信息生成。

具体地，步骤103b包括：边缘计算服务器利用第四私钥对第二加密信息进行解密，得到路由器身份密文。

步骤104b、边缘计算服务器根据预先生成的第二随机数对路由器身份密文进行解密，得到路由器身份信息。

步骤105b、边缘计算服务器判断解密得到的路由器身份信息和路由器身份注册请求中的路由器身份信息是否一致，若一致，则执行步骤106b，否则向用户路由器返回注册失败消息。

步骤106b、边缘计算服务器向用户路由器返回路由器身份注册成功信息，路由器身份注册成功信息包括第一公钥和与第一公钥对应的第一私钥。

步骤107b、边缘计算服务器接收用户路由器发送的用户路由器与用户终端之间的通信密钥获取请求。

其中，通信密钥获取请求包括第三加密信息，第三加密信息为用户路由器预先利用第一私钥对身份对密文进行加密而生成，身份对密文为用户路由器预先根据路由器身份信息、预先获取的终端身份信息和第二随机数而生成。

步骤108b、边缘计算服务器利用预先生成的第一公钥对第三加密信息进行解密，得到身份对密文。

步骤109b、边缘计算服务器利用预先生成的第二随机数对身份对密文进行解密，得到的路由器身份信息和终端身份信息。

步骤110b、边缘计算服务器对解密得到的路由器身份信息和终端身份信息进行验证通过后，向用户路由器返回用于用户路由器与用户终端进行通信的第五公钥，以及与第五公钥对应的第五私钥。

本实施例所提供的云存储认证方法，当用户终端需要请求与云存储服务器进行云存储服务内容相应的交互时，用户终端首先需要通过终端数字证书加密其身份信息和请求的内容，然后路由器作进一步加密，边缘计算服务器在获取路由器的路由器数字证书后，根据路由器数字证书得到终端数字证书和路由器身份信息，再根据终端数字证书得到终端身份信息和终端请求的内容，进而对路由器和终端的身份进行验证，当身份验证通过时，进一步通过智能合约验证终端的相应权限，权限允许时，才开放终端与对应的云存储服务器进行与云存储服务内容相对应的交互的功能。本实施例通过多级加密、智能合约的认证方式，对用户终端进行云存储认证，能够有效防止云存储服务器被恶意访问、造假身份访问，造成用户个人隐私被泄露和被非法篡改的问题，从而能够在一定程度上提高用户信息和云存储服务的安全性和稳定性。

图4为本发明实施例二提供的一种云存储认证方法的流程图，该云存储认证方法应用于用户路由器，如图4所示，该云存储认证方法包括：

步骤21、用户路由器获取用户终端发送的终端信息，终端信息包括用户终端预先生成的终端数字证书。

步骤22、用户路由器根据预先设置的路由器身份信息和终端数字证书，生成路由器数字证书。

具体地，步骤22包括：用户路由器利用预先获取的第一私钥对预先获取的第一公钥、终端数字证书和路由器身份信息进行加密，生成路由器数字证书。

步骤23、用户路由器向边缘计算服务器发送路由器信息，路由器信息包括路由器数字证书，以触发边缘计算服务器进行云存储认证。

可选地，终端信息还包括用户终端对应的第二时间戳，步骤22之前，还包括：步骤221、用户路由器判断当前系统时间与第二时间戳的差值是否小于或等于第三预设有效时长，若是，执行步骤22，否则，向用户终端返回时间戳过期消息并结束流程。

在步骤221中，用户路由器获取到用户终端发送来的终端信息后，首先验证其中的第二时间戳，若判断出当前系统时间与第二时间戳的差值小于或等于第三预设有效时长时，则表明终端数字证书有效，验证通过，反之则不通过。其中，第三预设有效时长可以根据实际需要设置，例如第三预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤221中，当前系统时间为用户路由器的当前系统时间。

可选地，上述实施例一中的第一预设有效时长、第二预设有效时长和第三预设有效时长相同。

可选地，步骤21之前，还包括：步骤211、用户路由器接收用户终端发送的第四加密信息，第四加密信息为用户终端预先利用预先获取的第五公钥对预先生成的终端数字证书、第二时间戳进行加密而得到。

步骤21包括：用户路由器利用预先获取的第五公钥对应的第五私钥，对第四加密信息进行解密，得到终端信息。

本实施例所提供的云存储认证方法，当用户终端需要请求与云存储服务器进行云存储服务内容相应的交互时，用户终端首先需要通过终端数字证书加密其身份信息和请求的内容，然后路由器作进一步加密生成路由器数字证书，而后路由器向边缘计算服务器发送路由器信息，以请求边缘计算服务器进行云存储认证。本实施例通过多级加密身份的认证方式，对用户终端进行云存储认证，能够有效防止云存储服务器被恶意访问、造假身份访问，造成用户个人隐私被泄露和被非法篡改的问题，从而能够在一定程度上提高用户信息和云存储服务的安全性和稳定性。

图5为本发明实施例三提供的一种云存储认证方法的流程图，如图3所示，该云存储认证方法包括：

步骤31、用户终端利用预先获取的第二私钥ks’对预先获取的第二公钥ks、终端身份信息id1、请求的云存储服务内容m进行加密，生成终端数字证书es。

具体地，当用户终端需要请求与云存储服务器进行云存储服务内容m(如上传数据请求内容、下载数据请求内容或浏览数据请求内容等)相应的交互时，首先利用预先获取的第二私钥ks’对预先获取的第二公钥ks、终端身份信息id1、请求的云存储服务内容m进行加密，生成终端数字证书es。

其中，第二私钥ks’为用户终端预先获取的用于终端进行加密生成终端数字证书es的私钥，第二公钥ks为用于对终端数字证书es进行解密的公钥。

步骤32、用户终端利用预先获取的第五公钥ksm对终端数字证书es、预先获取的第二时间戳t2进行加密，得到第四加密信息e4。

其中，第五公钥ksm为用户终端预先获取的用于终端在与用户路由器进行通信时对通信消息进行加密的公钥。

步骤33、用户终端向用户路由器发送第四加密信息e4。

在本实施例中，用户终端可以为用户智能家居终端，如视频监控系统，用户终端与用户路由器之间可以通过有线方式和/或无线方式连接。

步骤34、用户路由器利用预先获取的第五公钥ksm对应的第五私钥ksm’，对第四加密信息e4进行解密，得到终端信息，终端信息包括终端数字证书es和第二时间戳t2。

其中，第五私钥ksm’为用户路由器预先获取的用于用户路由器在与用户终端进行通信时对用户终端的通信消息进行解密的私钥。

步骤35、用户路由器判断当前系统时间t与第二时间戳t2的差值是否小于或等于第三预设有效时长，若是，执行步骤36，否则，向用户终端返回时间戳过期消息并结束流程。

在步骤35中，用户路由器接收用户终端发送来的第四加密信息e4后，利用第五私钥ksm’进行解密，验证其中的第二时间戳t2，若判断出当前系统时间t与第二时间戳t2的差值小于或等于第三预设有效时长时，则表明终端数字证书有效，验证通过，反之则不通过。其中，第三预设有效时长可以根据实际需要设置，例如第三预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤35中，当前系统时间为用户路由器的当前系统时间。

步骤36、用户路由器利用预先获取的第一私钥km’对预先获取的第一公钥km、终端数字证书es和路由器身份信息id2进行加密，生成路由器数字证书em。

其中，第一私钥km’为用户路由器预先获取的用于用户路由器进行加密生成路由器数字证书em的私钥，第一公钥km为用于对路由器数字证书em进行解密的公钥。

在通过验证第二时间戳t2以验证终端数字证书es的有效期通过后，用户路由器生成路由器数字证书em。

步骤37、用户路由器向边缘计算服务器发送路由器信息，路由器信息包括路由器数字证书em、预先获取的第一时间戳t1和第二时间戳t2。

在步骤37中，用户路由器通过向边缘计算服务器发送路由器信息，以触发边缘计算服务器进行云存储认证。

步骤38、边缘计算服务器判断当前系统时间t与第一时间戳t1的差值是否小于或等于第一预设有效时长，若是，执行步骤39，否则，向用户路由器返回时间戳过期消息并结束流程。

在步骤38中，边缘计算服务器接收到用户路由器发送来的路由器信息后，首先验证其中的第一时间戳t1，若判断出当前系统时间t与第一时间戳t1的差值小于或等于第一预设有效时长时，则表明路由器数字证书em有效，验证通过，反之则不通过。其中，第一预设有效时长可以根据实际需要设置，例如第一预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤38中，当前系统时间t为边缘计算服务器的当前系统时间。

步骤39、边缘计算服务器通过预先生成的第一公钥km对路由器数字证书em进行解密，得到终端数字证书es和路由器身份信息id2。

在验证当前系统时间t与第一时间戳t1小于或等于第一预设有效时长时，表明路由器数字证书em有效，因此可以进一步对路由器数字证书em进行解密，得到终端数字证书es和路由器身份信息id2，以进一步进行验证。

步骤40、边缘计算服务器判断当前系统时间t与第二时间戳t2的差值是否小于或等于第二预设有效时长，若是，执行步骤41，否则通过用户路由器向用户终端返回时间戳过期消息并结束流程。

在步骤40中，边缘计算服务器在得到终端数字证书es之后，首先要验证用户终端对应的第二时间戳t2，若判断出当前系统时间t与第二时间戳t2的差值小于或等于第二预设有效时长时，则表明终端数字证书es有效，验证通过，反之则不通过。其中，第二预设有效时长可以根据实际需要设置，例如第二预设有效时长可以设置为24小时、48小时、5天、10天或其他时长等。在步骤40中，当前系统时间t为边缘计算服务器的当前系统时间。

步骤41、边缘计算服务器通过预先生成的第二公钥ks对终端数字证书es进行解密，得到用户终端的终端身份信息id1和用户终端请求的云存储服务内容m。

在验证当前系统时间t与第二时间戳t2小于或等于第二预设有效时长时，表明终端数字证书es有效，因此可以进一步对终端数字证书es进行解密，得到终端身份信息id1，以进一步进行验证。

在获取路由器身份信息id2和终端身份信息id1后，边缘计算服务器可以依次判断终端身份信息id1与本地预先存储的用户终端在进行身份注册时发送的终端身份信息是否一致，以及路由器身份信息id2与本地预先存储的用户路由器在进行身份注册时发送的路由器身份信息是否一致，若均判断为一致时，则验证终端身份信息id1和路由器身份信息id2通过，并执行步骤42；若判断结果中存在至少一者为不一致时，则验证终端身份信息id1和路由器身份信息id2不通过，此时可以向用户路由器和用户终端返回云存储认证失败消息，以拒绝用户终端与相应的云存储服务器进行与云存储服务内容m对应的交互。

步骤42、在验证终端身份信息和路由器身份信息通过后，边缘计算服务器根据云存储服务内容m和预先设置的智能合约，查询用户终端是否具有与云存储服务内容m相对应的权限，若是，执行步骤43，否则向用户终端返回云存储认证失败消息。

在步骤42中，当从预设的智能合约中查询出用户终端具有与云存储服务内容m相对应的权限时，则允许用户终端与边缘计算服务器对应的云存储服务器进行与云存储服务内容对应的交互，对用户终端的云存储认证通过并执行步骤43，反之则认证不通过。

步骤43、边缘计算节点向用户终端发送云存储认证通过消息。

步骤44、用户终端基于云存储认证通过消息，与边缘计算服务器对应的云存储服务器进行与云存储服务内容相对应的交互。

具体地，用户终端在接收到边缘计算服务器发送的云存储认证通过消息后，可以通过边缘计算服务器与边缘计算服务器对应的云存储服务器进行与云存储服务内容相对应的交互操作。例如，云存储服务内容可以为上传数据请求内容、下载数据请求内容或者浏览数据请求内容等，交互可以为与上传数据请求内容对应的交互操作、与下载数据请求内容对应的交互操作或者与浏览数据请求内容对应的交互操作等，例如，数据可以为视频、图片等数据。

在一种应用场景中，例如，云存储服务内容为上传视频请求内容，当用户终端采集完需上传云存储服务器的视频数据后，通过上述步骤进行云存储认证通过后，可以将采集的视频数据，通过用户路由器发送给边缘计算服务器，再由边缘计算服务器将用户终端采集的视频数据上传至相应的云存储服务器进行存储。

图6为本发明实施例三中用户终端与边缘计算服务器交互进行身份注册的流程图，在本实施例中，如图6所示，在步骤31之前，还包括用户终端与边缘计算服务器交互进行身份注册的流程，具体为：

步骤310a、用户终端向边缘计算服务器发送终端身份注册请求，终端身份注册请求包括用户终端的终端身份信息id1。

步骤311a、边缘计算服务器响应于终端身份注册请求，生成第一请求响应信息，第一请求响应信息包括第三公钥k1、与第三公钥k1对应的第三私钥k1’、第一随机数r1和第二时间戳t2。

其中，第三公钥k1可以为用于用户终端在终端身份注册流程中，对发送给边缘计算服务器的信息进行加密的公钥；第三私钥k1’可以为用于边缘计算服务器在终端身份注册流程中，对用户终端发送的信息进行解密的私钥；第一随机数r1由边缘计算服务器响应终端身份注册请求而随机生成；第二时间戳t2可以由边缘计算服务器响应终端身份注册请求，根据当前系统时间生成，例如，第二时间戳t2可以是边缘计算服务器响应终端身份注册请求时的当前系统时间。

步骤312a、边缘计算服务器向用户终端返回终端身份验证请求，终端身份验证请求包括第三公钥k1、第一随机数r1和第二时间戳t2。

步骤313a、用户终端根据第一随机数r1和终端身份信息id1，生成终端身份密文p1。

具体地，用户终端将第一随机数r1和终端身份信息id1进行异或运算，生成终端身份密文p1。

步骤314a、用户终端利用第三公钥k1对终端身份密文p1进行加密，得到第一加密信息e1。

步骤315a、边缘计算服务器获取用户终端基于终端身份验证请求返回的第一加密信息e1。

步骤316a、边缘计算服务器利用预先生成的第三私钥k1’对第一加密信息e1进行解密，得到终端身份密文p1。

步骤317a、边缘计算服务器根据预先生成的第一随机数r1对终端身份密文p1进行解密，得到终端身份信息id1。

具体地，边缘计算服务器根据第一随机数r1和终端身份密文p1进行异或运算，解密得到终端身份信息id1。

步骤318a、边缘计算服务器判断解密得到的终端身份信息id1和终端身份注册请求中的终端身份信息id1是否一致，若一致，则执行步骤319a，否则向用户终端返回注册失败消息。

步骤319a、边缘计算服务器向用户终端返回终端身份注册成功信息，终端身份注册成功信息包括第二公钥ks和与第二公钥ks对应的第二私钥ks’。

至此，完成用户终端与边缘计算服务器交互进行终端身份注册流程。

图7为本发明实施例三中用户路由器与边缘计算服务器交互进行身份注册的流程图，在本实施例中，如图7所示，在步骤31之前，用户路由器与边缘计算服务器交互进行身份注册的流程，具体为：

步骤310b、用户路由器向边缘计算服务器发送用户路由器身份注册请求，路由器身份注册请求包括用户路由器的路由器身份信息id2。

步骤311b、边缘计算服务器响应于路由器身份注册请求，生成第二请求响应信息，第二请求响应信息包括第四公钥k2、与第四公钥k2对应的第四私钥k2’、第二随机数r2和第一时间戳t1。

其中，第四公钥k2可以为用于用户路由器在路由器身份注册流程中，对发送给边缘计算服务器的信息进行加密的公钥；第四私钥k2’可以为用于边缘计算服务器在路由器身份注册流程中，对用户路由器发送的信息进行解密的私钥；第二随机数r2由边缘计算服务器响应路由器身份注册请求而随机生成；第一时间戳t1可以由边缘计算服务器响应路由器身份注册请求，根据当前系统时间生成，例如，第一时间戳t1可以是边缘计算服务器响应路由器身份注册请求时的当前系统时间。

步骤312b、边缘计算服务器向用户路由器返回路由器身份验证请求，路由器身份验证请求包括第四公钥k2、第二随机数r2和第一时间戳t1。

步骤313b、用户路由器根据第二随机数r2和路由器身份信息id2，生成路由器身份密文p2。

具体地，用户路由器将第二随机数r2和路由器身份信息id2进行异或运算，生成路由器身份密文p2。

步骤314b、用户路由器利用第四公钥k2对路由器身份密文p2进行加密，得到第二加密信息e2。

步骤315b、边缘计算服务器获取用户路由器基于路由器身份验证请求返回的第二加密信息e2。

步骤316a、边缘计算服务器利用预先生成的第四私钥k2’对第二加密信息e2进行解密，得到路由器身份密文p2。

步骤317b、边缘计算服务器根据预先生成的第二随机数r2对路由器身份密文进行解密，得到路由器身份信息id2。

具体地，边缘计算服务器根据第二随机数r2和路由器身份密文p2进行异或运算，解密得到路由器身份信息id2。

步骤318b、边缘计算服务器判断解密得到的路由器身份信息id2和路由器身份注册请求中的路由器身份信息id2是否一致，若一致，则执行步骤319b，否则向用户路由器返回注册失败消息。

步骤319b、边缘计算服务器向用户路由器返回路由器身份注册成功信息，路由器身份注册成功信息包括第一公钥km和与第一公钥km对应的第一私钥km’。

至此，已完成用户路由器与边缘计算服务器交互进行终端身份注册流程。但为了仅以提高云存储认证的安全性，需要进一步获取用于用户路由器与用户终端之间进行通信的通信密钥，以对用户终端与用户路由器之间进行通信的通信信息进行加密，因此继续执行如下步骤。

步骤320b、用户路由器根据路由器身份信息id2、预先获取的终端身份信息id1和第二随机数r2，生成身份对密文p3。

具体地，在路由器身份注册成功后，用户路由器将路由器身份信息id2、预先获取的终端身份信息id1组成身份序列对，并将该身份序列对与第二随机数r2进行异或运算，生成身份对密文p3。

步骤321b、用户路由器利用第一私钥km’对身份对密文p3进行加密，得到第三加密信息e3。

步骤322b、用户路由器向边缘计算服务器发送用户路由器与用户终端之间的通信密钥获取请求，其中，通信密钥获取请求包括第三加密信息e3。

步骤323b、边缘计算服务器利用预先生成的第一公钥km对第三加密信息e3进行解密，得到身份对密文p3。

步骤324b、边缘计算服务器利用预先生成的第二随机数r2对身份对密文p3进行解密，得到的路由器身份信息id2和终端身份信息id1。

具体地，边缘计算服务器根据第二随机数r2和身份对密文p3进行异或运算，解密得到身份序列对，继而获得路由器身份信息id2和终端身份信息id1。

步骤325b、边缘计算服务器对解密得到的路由器身份信息id2和终端身份信息id1进行验证通过后，向用户路由器返回用于用户路由器与用户终端进行通信的第五公钥ksm，以及与第五公钥ksm对应的第五私钥ksm’。

在本实施例中，边缘计算服务器可以基于区块链技术实现，基于区块链的去中心化、不可篡改、共识信任机制、开放性及匿名性等功能特点，边缘计算服务器作为区块链系统的一个节点，能够对用户终端、用户路由器进行身份注册、认证管理，管控用户终端的合法接入，同时利用区块链系统的智能合约对用户终端的权限进行管理。

本实施例所提供的云存储认证方法，通过链式多级加密身份信息的认证方式，可以有效验证用户身份信息的合法性，保证用户身份信息的安全性；同时，利用区块链为用户制定合适的智能合约授权用户进行云存储服务操作，依托区块链的公式信任机制，可以有效防御第三方伪造用户身份恶意窃取用户在云存储服务器上存储的数据的行为，提升了整个云计算网络的安全性和稳定性，同时增强了边缘计算服务器对用户身份信息的管理操作的灵活性。

图8为本发明实施例四提供的一种边缘计算服务器的结构框图，如图8所示，该边缘计算服务器包括身份认证管理模块41和智能合约管理模块42。

其中，身份认证管理模块41用于获取用户路由器发送的路由器信息，路由器信息包括路由器数字证书，路由器数字证书为用户路由器预先根据用户路由器的路由器身份信息和用户终端预先生成的终端数字证书生成；根据路由器数字证书，获取路由器身份信息和终端数字证书；根据终端数字证书，获取用户终端的终端身份信息和用户终端请求的云存储服务内容；在验证终端身份信息和所述路由器身份信息通过后，向智能合约管理模块42发送权限查询请求。

智能合约管理模块42用于响应于权限查询请求，根据云存储服务内容和预先设置的智能合约，查询用户终端是否具有与云存储服务内容相对应的权限；向身份认证管理模块41返回查询结果。

当查询结果为用户终端具有与云存储服务内容相对应的权限时，身份认证管理模块41还用于向用户终端发送云存储认证通过消息，以供用户终端基于云存储认证通过消息，与边缘计算节点对应的云存储服务器进行与云存储服务内容相对应的交互。

此外，本实施例所提供的边缘计算服务器，用于实现上述实施例一、实施例三所提供的云存储认证方法，具体描述可参见上述实施例一、实施例三中相关的描述，此处不再赘述。

图9为本发明实施例五提供的一种用户路由器的结构框图，如图9所示，该用户路由器包括获取模块51、生成模块52和触发模块53。

其中，获取模块51用于获取用户终端发送的终端信息，终端信息包括用户终端预先生成的终端数字证书。

生成模块52用于根据预先设置的路由器身份信息和用户终端预先生成的终端数字证书，生成路由器数字证书。

触发模块53用于向边缘计算服务器发送路由器信息，路由器信息包括路由器数字证书，以触发边缘计算服务器进行云存储认证。

此外，本实施例所提供的用户路由器，用于实现上述实施例二、实施例三所提供的云存储认证方法，具体描述可参见上述实施例二、实施例三中相关的描述，此处不再赘述。

图10为本发明实施例六提供的一种云存储认证系统的结构框图，如图10所示，该云存储认证系统包括用户终端61、用户路由器62、边缘计算服务器63和云存储服务器64。

其中，用户路由器62采用上述实施例五所提供的用户路由器，边缘计算服务器63采用上述实施例四提供的边缘计算服务器，关于用户路由器、边缘计算服务器的具体描述可参见上述实施例四和实施例五，此处不再赘述。

在本实施例中，用户终端61与用户路由器62可以通过有线和/或无线的方式连接，用户路由器62通过网络连接边缘计算服务器63，边缘计算服务器63与云存储服务器64连接。

在一种应用场景中，移动终端(如手机等)也可以通过网络连接边缘计算服务器63，若用户需要通过移动终端访问云存储服务器，以浏览云存储服务器64上的数据(如视频数据等)时，可以通过相应的安装于移动终端上的客户端连接边缘计算服务器63进行身份验证，当边缘计算服务器63验证身份通过且该移动终端具有相应权限时，则用户可以通过客户端访问云存储服务器64，且能够进行相应的浏览数据操作。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。