(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210291358.9 (22)申请日 2022.03.23 (71)申请人 国网上海能源互联网研究院有限公 司 地址 200131 上海市浦东 新区中国 （上海） 自由贸易试验区李冰路251号、 法拉第 路28号1幢4层、 5层 (72)发明人 李玉凌　李二霞　杨红磊　刘海涛　 吕广宪　亢超群　朱克琪　王利　 许保平　樊勇华　韩子龙　孙智涛　 刘芸杉　吴殿亮　杜金陵　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 专利代理师 贾银秋(51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01) H04W 12/03(2021.01) H04W 12/06(2021.01) H04W 12/069(2021.01) H04W 12/37(2021.01) (54)发明名称 一种用于工业物联化终端应用许可授权的 方法及系统 (57)摘要 本发明公开了用于工业物联化终端应用许 可授权的方法及系统， 其中方法包括： S11， 为待 授权的终端配置安全模块， 安全模块包括与终端 相关联的惟一的公钥和私钥； S12， 通过应用APP 管理机构 采集与待授权的终端相关联的公钥， 并 将公钥发送至证书数字证书签发机构； S13， 通过 证书数字证书签发机构基于公钥为待授权的终 端签发公钥数字证书CT， 公钥数字证书CT包括终 端相关联的公钥、 应用APP的特征信息以及公钥 数字证书CT有效期； S14， 基于对称密钥K1对CA证 书C1加密后得到加密CA证书C'1， 将加密CA证书 C'1固化在应用APP的程序代码中， 将经过对称密 钥K1加密后的应用APP的特征信息固化在应用 APP的程序代码中， 将对称密钥K1按位取反得到 取反对称密钥K'1固化在应用AP P的程序代码中。 权利要求书3页 说明书8页 附图2页 CN 114785514 A 2022.07.22 CN 114785514 A 1.一种用于 工业物联化终端应用许 可授权的方法， 所述方法包括： S11， 为待授权的终端配置安全模块， 所述安全模块包括与所述终端相关联的惟一的公 钥和私钥； S12， 通过应用APP管理机构采集与待授权的所述终端相 关联的公钥， 并将所述公钥发 送至证书数字证书签发机构； S13， 通过所述证书数字证书签发机构基于所述公钥为待授权的所述终端签发公钥数 字证书CT， 所述公钥数字证书CT包括所述终端相关联的公钥、 应用APP的特征信 息以及公钥 数字证书CT有效期； S14， 基于对称密钥K1对CA证书C1加密后得到加密CA证书C'1， 将加密CA证书C'1固化在应 用APP的程序代码中， 将经过所述对称密钥K1加密后的应用APP的特征信息固化在应用APP 的程序代码中， 将所述对称密钥K1按位取反得到的取反对称密钥K'1固化在应用APP的程序 代码中。 2.根据权利要求1所述的方法， 还 包括： S21， 启动所述应用AP P， 查找所述终端的公钥数字证书CT； S22， 当查找到 所述终端的公钥数字证书CT时， 读取所述应用APP的程序代码中的取反对 称密钥K'1， 通过对所述取反对称密钥K'1进行按位取反获取对称密钥K1， 通过所述对称密钥 K1对应用APP的程序代码中的加密后应用APP的特征信息进行解密， 获取应用APP的特征信 息； S23， 通过所述应用APP解析所述公钥数字证书CT中的应用APP的特征信息以及公钥数字 证书CT有效期； S24， 对比步骤S22与S23中获取的应用APP的特征信息， 当步骤S22与S23中 的应用APP的 特征信息对比结果 为一致时， 判断公钥数字证书CT有效期是否在有效期内； S25， 读取应用APP的程序代码 中的加密CA证书C'1， 基于所述对称密钥K1对所述加密CA 证书C'1进行解密， 获取CA证书C1； S26， 基于所述CA证书C1对公钥数字证书CT进行签名验证， 获取签名验证结果； S27， 当所述签名验证结果为成功时， 通过所述应用APP生成随机数R， 将所述随机数R发 送至所述 安全模块， 通过安全 模块签名获取签名随机数SR； S28， 基于所述公钥数字证书CT对所述签名随机数SR进行验证， 获取随机数验证结果； S29， 当所述验证结果 为通过时， 所述应用AP P正常运行。 3.根据权利要求1所述的方法， 所述终端的公钥包括： 国密SM2公钥、 RSA公钥、 E CC公钥。 4.根据权利要求1所述的方法， 所述通过应用APP管理机构采集与待授权的所述终端相 关联的公钥， 采集方式包括： 从终端证书请求文件中获取； 或 从已签发的用于终端与主站身份认证的终端的数字证书中获取。 5.根据权利要求1所述的方法， 所述终端签发公钥数字证书CT包括： 国密SM2、 RSA、 ECC公 钥证书。 6.根据权利要求1所述的方法， 所述应用APP的特征信息， 包括： 应用APP名称、 应用APP 厂家、 版本号、 唯一标识。 7.根据权利要求1所述的方法， 所述公钥数字证书CT有效期为应用APP许可授权该终端权　利　要　求　书 1/3 页 2 CN 114785514 A 2使用的期限。 8.一种用于 工业物联化终端应用许 可授权的系统， 所述系统包括： 初始单元， 用于为待授权的终端配置安全模块， 所述安全模块包括与所述终端相关联 的惟一的公钥和私钥； 采集单元， 用于通过应用APP管理机构采集与待授权的所述终端相关联的公钥， 并将所 述公钥发送至证书数字证书签发机构； 签发单元， 用于通过所述证书数字证书签发机构基于所述公钥为待授权的所述终端签 发公钥数字证书CT， 所述公钥数字证书CT包括所述终端相关联的公钥、 应用APP的特征信 息 以及公钥数字证书CT有效期； 处理单元， 用于基于对称密钥K1对CA证书C1加密后得到加密CA证书C'1， 将加密CA证书 C'1固化在应用APP的程序代码中， 将经过所述对称密钥K1加密后的应用APP的特征信息固化 在应用APP的程序代码中， 将所述对称密钥K1按位取反得到的取反对称密钥K'1固化在应用 APP的程序代码中。 9.根据权利要求8所述的系统， 还 包括： 查找单元， 用于启动所述应用AP P， 查找所述终端的公钥数字证书CT； 第一获取单元， 用于当查找到所述终端的公钥数字证书CT时， 读取所述应用APP的程序 代码中的取反对称密钥K'1， 通过对所述取反对称密钥K'1进行按位取反获取对称密钥K1， 通 过所述对称密钥K1对应用APP的程序代码中 的加密后应用APP的特征信息进行解密， 获取应 用APP的特征信息； 解析单元， 用于通过所述应用APP解析所述公钥数字证书CT中的应用APP的特征信息以 及公钥数字证书CT有效期； 对比单元， 用于对比获取单元与解析单元中获取的应用APP的特征信息， 当获取单元与 解析单元中获取的应用APP的特征信息对比结果为一致时， 判断公钥数字证书CT有效期是 否在有效期内； 解密单元， 用于读取应用APP的程序代码中的加密CA证书C'1， 基于所述对称密钥K1对所 述加密CA证书C'1进行解密， 获取CA证书C1； 第一验证单元， 用于基于所述CA证书C1对公钥数字证书CT进行签名验证， 获取签名验证 结果； 第二获取单元， 用于当所述签名验证结果为成功时， 通过所述应用APP生成随机数R， 将 所述随机数R 发送至所述 安全模块， 通过安全 模块签名获取签名随机数SR； 第二验证单元， 用于基于所述公钥数字证书CT对所述签名随机数SR进行验证， 获取随机 数验证结果； 结果单元， 用于当所述验证结果 为通过时， 所述应用AP P正常运行。 10.根据权利要求9所述的系统， 所述终端的公钥包括： 国密SM2公钥、 RSA公钥、 ECC公 钥。 11.根据权利要求9所述的系统， 所述通过应用APP管理机构采集与待授权的所述终端 相关联的公钥， 采集方式包括： 从终端证书请求文件中获取； 或 从已签发的用于终端与主站身份认证的终端的数字证书中获取。权　利　要　求　书 2/3 页 3 CN 114785514 A 3