一种物联网终端数字证书签发系统和方法与流程

本发明涉及信息安全技术、云计算和物联网技术领域，具体的说是一种物联网终端数字证书签发系统和方法。

背景技术：

近年来，物联网技术发展迅速，对农业、工业、服务业等人类社会基本业态都产生了深远影响，对整个人类社会的生产和生活方式带来深远变革。物联网技术通过实时采集来自传感设备的信息，实现对设备的识别、监控、定位、连接、跟踪以及管理，让设备、网络和交互变得更加智能。物联网技术已从单纯技术上升到一种新经济形态。

物联网中存在海量的智能终端设备，其产生的数据量也规模巨大，云计算技术的推广普及和云基础设施及平台的建设，使得这些海量终端的实时动态管理以及智能分析变得可能。随着各类接入智能终端设备的增多，出现了许多适合物联网领域的标准协议，例如mqtt、tr-069、jt-808协议等。这些协议大多通过数字证书来完成终端设备与云中心的身份认证，并基于数字证书来保证终端设备与云中心的信道安全。在这种情况下，如何将数字证书发放到海量的传感终端，一方面，如何能够保证物联网终端的数字证书在线签发的合法性；另一方面，如何保证物联网终端产生的密钥强度能够满足实际安全需求，这些都成为物联网技术发展过程中亟需解决的问题。

技术实现要素：

本发明针对目前技术发展的需求和不足之处，提供一种物联网终端数字证书签发系统和方法。

本发明所述一种物联网终端数字证书签发系统和方法，解决上述技术问题采用的技术方案如下：所述物联网终端数字证书签发系统和方法，该数字证书签发系统的架构主要包括：智能终端设备、第三方ca认证中心和物联网云中心，其中，

所述智能终端设备负责上传身份信息数据，生成临时非对称密钥并验证物联网云中心的身份，保存数字证书到本地硬件设备中；所述物联网云中心设置有智能终端设备的数据中心和服务中心，提供身份认证服务和密钥相关安全认证服务，同时与第三方ca认证中心交互；所述第三方ca认证中心提供数字证书签发服务；

所述智能终端设备生成非对称密钥，将其身份信息签名加密，并上传到物联网云中心，由物联网云中心进行身份信息认证，再交由第三方ca认证中心进行正式签发，并传回智能终端设备。

优选的，所述数字证书签发系统还包括硬件加密设备，用于生成密钥对。

优选的，所述物联网云中心还设置有注册库，通过注册库能够查询智能终端设备标识，确定智能终端设备标识是否合法。

本发明所述一种物联网终端数字证书签发系统和方法，与现有技术相比具有的有益效果是：本发明将物联网云中心与第三方ca认证中心结合，提供证书签发服务，根据物联网智能终端设备的加密方式进行个性化的服务，既保证了拥有硬件加密芯片的终端的私钥不被泄露，又解决了采用软加密方式的终端的密钥强度问题；整个签发过程都是在服务中心与智能终端设备之间的管理信道上完成，保证了物联网智能终端设备数字证书签发过程的安全性，也保证了其数据通道的安全性。

附图说明

附图1为所述物联网终端数字证书签发系统的示意图；

附图2为智能终端设备的数字证书签发的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，对本发明所述一种物联网终端数字证书签发系统和方法进一步详细说明。

为了解决物联网智能终端设备的数字证书签发问题，本发明提出了一种物联网终端数字证书签发系统和方法，将物联网云中心与第三方ca认证中心结合，提供证书签发服务，根据物联网智能终端设备的加密方式进行个性化的服务，既保证了拥有硬件加密芯片的终端的私钥不被泄露，保证物联网智能终端设备数字证书签发过程的安全性，又解决了采用软加密方式的终端的密钥强度问题。

实施例：

本实施例所述物联网终端数字证书签发系统，如附图1所示，该数字证书签发系统的架构主要包括：智能终端设备、第三方ca认证中心和物联网云中心，其中所述智能终端设备负责上传身份信息数据，生成临时非对称密钥并验证物联网云中心的身份，保存数字证书到本地硬件设备中；所述物联网云中心设置有智能终端设备的数据中心和服务中心，提供身份认证服务和密钥相关安全认证服务，同时与第三方ca认证中心交互；所述第三方ca认证中心提供数字证书签发服务；

所述智能终端设备生成非对称密钥，将其身份信息签名加密，并上传到物联网云中心，由物联网云中心进行身份信息认证，再交由第三方ca认证中心进行正式签发，并传回智能终端设备。

该数字证书签发系统还包括硬件加密设备，用于生成密钥对。所述物联网云中心还设置有注册库，通过注册库能够查询智能终端设备标识，确定智能终端设备标识是否合法。物联网云中心的服务中心与智能终端设备之间建立管理信道用于交互通信；并且获得证书后，数据中心与智能终端设备之间通过数据信道进行数据处理结果的传输。

采用上述物联网终端数字证书签发系统，在智能终端设备、第三方ca认证中心和物联网云中心构成的数字证书签发系统下，进行智能终端设备的数字证书签发，如附图2所示，其实现过程具体包括如下步骤：

步骤一，智能终端设备向物联网云中心提出数字证书申请请求；

步骤二，物联网云中心生成申请号、一次性认证码和申请号有效期，并对其进行数字签名，发送到智能终端设备；

步骤三，智能终端设备验证数字签名；

步骤四，若智能终端设备包含加密芯片，则由硬件加密设备生成密钥对—公钥pubkey、私钥prikey，标识其为硬加密设备终端，连同申请号、一次性认证码、申请号有效期、智能终端设备标识以及生产的公钥pubkey，使用其私钥prikey进行数字签名生成申请书；

若智能终端设备不包含加密芯片，则由智能终端设备利用软算法生成密钥对—公钥tmppubkey、私钥tmpprikey，标识其为软加密设备终端，并连同申请号、一次性认证码、申请号有效期、智能终端设备标识以及生成的公钥tmppubkey，使用其私钥tmpprikey进行数字签名生成申请书；

步骤五，智能终端设备将申请书发送到物联网云中心；

步骤六，物联网云中心验证申请书的数字签名，比对申请号和一次性认证码内容，确定申请合法性，并在物联网云中心注册库中查询智能终端设备标识，确定设备标识是否合法；

步骤七、若智能终端设备采用硬加密方式，则直接根据其标识信息和公钥向第三方ca认证中心提出数字证书单证书申请；

若智能终端设备采用软加密方式，则根据其标识信息和公钥向第三方ca认证中心提出数字证书双证书申请；

步骤八，第三方ca认证中心根据申请证书类型和智能终端设备产生的公钥签发相应的数字证书，其中，单证书类型返回一张数字证书cert；双证书类型返回两张数字证书（cert1、cert2）和加密后的私钥encprikey，密钥管理中心的硬件加密设备生成公钥kmcpubkey、私钥kmcprikey，使用智能终端设备提供的公钥tmppubkey对私钥kmcprikey进行加密得到私钥encprikey，并与另一张数字证书cert2的公钥kmcpubkey对应；

步骤九，物联网云中心收到第三方ca认证中心签发的数字证书，发送给智能终端设备；

步骤十，若智能终端设备采用硬加密方式，则将接收的证书cert导入到加密芯片中；若智能终端设备采用软加密方式，则接收到的结果为数字证书（cert1、cert2）和加密后的私钥encprikey，使用本地软生成的私钥tmpprikey将私钥encprikey解密，得到私钥kmcprikey，将kmcprikey和数字证书cert2保存到本地，丢弃数字证书cert1；

步骤十一，上述通信都是在管理信道中进行，获得证书后，进行数据处理则通过数据信道进行传输。

所述步骤八中，所述第三方ca认证中心签发的数字证书采用算法sm2和sm3，证书签名算法为sm3sm2。

可见，本实施例所述物联网终端数字证书签发方法，软加密终端的密钥由密钥管理中心的硬件加密设备生成，并通过终端生成的临时密钥对进行保护，报了其密钥强度。另外，物联网云中心通过一次性认证码、申请号有效期，并验证智能终端设备标识，来实现智能终端设备的认证，同时整个签发过程都是在管理信道上完成，保证了智能终端设备数字证书签发过程的安全性，也保证了其数据通道的安全性。

具体实施方式仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述具体实施方式，任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。