一种基于NB-IoT通信模组的空中发证方法和系统与流程

本发明涉及物联网技术领域，尤其涉及一种基于nb-iot通信模组的空中发证方法和系统。

背景技术：

近年来，随着万物互联时代的到来，越来越多的物联网终端接入物联网云平台，在低速率、广域网络的场景下广泛使用nb-iot的通信方式。为了保证通过nb-iot通信模组通信接入物联网云平台的物联网终端身份可信，则需要对nb-iot终端签发数字证书，并基于数字证书进行物联网云平台的接入认证、安全通信。传统的证书签发方式存在流程较长、操作复杂、执行效率低等问题。

技术实现要素：

鉴于上述内容，有必要提供一种基于nb-iot通信模组的空中发证方法和系统，能够简化对nb-iot终端的数字证书签发流程，提高执行效率。

本发明第一方面提出一种基于nb-iot通信模组的空中发证方法，所述方法包括以下步骤：

步骤1，在nb-iot终端上集成安全sdk并预置物联网云平台证书和ca证书；

步骤2，所述nb-iot终端运行安全sdk与安全模块进行交互，所述nb-iot终端检测安全模块中是否已存在nb-iot终端数字证书，如已存在nb-iot终端数字证书则进行加密业务数据传输，如不存在nb-iot终端数字证书，则转步骤3进入在线发证流程；

步骤3，由安全模块产生非对称密钥对，所述nb-iot终端获取安全模块产生的非对称密钥对的公钥，并生成发证请求，所述发证请求包括该非对称密钥对的公钥；

读取物联网云平台证书中的公钥，采用物联网云平台证书中的公钥对所述发证请求进行加密获得发证请求密文，对所述发证请求密文进行协议封装得到发证请求数据报文；

步骤4，所述nb-iot终端向nb-iot通信模组下发at指令以连接物联网云平台的bootstrap服务，并在该at指令中传入所述发证请求数据报文；

步骤5，所述nb-iot通信模组向物联网云平台的bootstrap服务发送bootstraprequest包并负载所述发证请求数据报文；

步骤6，物联网云平台的bootstrap服务从接收到的bootstraprequest包中解析出所述发证请求数据报文，并转发给物联网云平台的安全认证管理系统；

步骤7，所述安全认证管理系统对所述发证请求数据报文进行协议解析以获取所述发证请求密文，使用物联网云平台的私钥对所述发证请求密文进行数据解密以获取所述发证请求；

步骤8，所述安全认证管理系统基于所述发证请求进行nb-iot终端数字证书的签发，所述nb-iot终端数字证书包括nb-iot终端签名证书和nb-iot终端加密证书；

步骤9，所述安全认证管理系统对所述nb-iot终端加密证书对应的私钥进行运算处理，得到nb-iot终端加密私钥密文数据包；

步骤10，所述安全认证管理系统获取nb-iot终端签名证书、nb-iot终端加密证书和nb-iot终端加密私钥密文数据包以共同组成回执数据包，使用物联网云平台的私钥对该回执数据包进行签名后，对该回执数据包及签名信息进行协议封装得到发证回执数据报文；

步骤11，所述安全认证管理系统将所述发证回执数据报文沿调用接口回复给bootstrap服务，bootstrap服务通过bootstrapwrite包将所述发证回执数据报文下发给对应的nb-iot通信模组；

步骤12，所述nb-iot通信模组接收到bootstrapwrite包后，从bootstrapwrite包中解析出发证回执数据报文，并将所述发证回执数据报文回传给对应的nb-iot终端；

步骤13，所述nb-iot终端接收到所述发证回执数据报文后进行协议解析获得该回执数据包及签名信息，并采用物联网云平台证书中的公钥来验证物联网云平台签名以确认所述发证回执数据报文的完整性以及身份合法性；

步骤14，nb-iot终端调用预置的ca证书验证回执的nb-iot终端数字证书的合法性，在验证通过后将nb-iot终端加密证书和nb-iot终端签名证书存储到对应的安全模块；

步骤15，nb-iot终端调用安全模块私钥对所述nb-iot终端加密私钥密文数据包进行解密，获取nb-iot终端加密证书对应的私钥并存储到安全模块，完成nb-iot终端数字证书签发过程。

本发明第二方面提出一种基于nb-iot通信模组的空中发证系统，用于实现上述的基于nb-iot通信模组的空中发证方法，所述空中发证系统系统包括：物联网终端和物联网云平台，所述物联网终端与物联网云平台进行通信连接，其中，所述物联网终端包括nb-iot终端、安全模块和nb-iot通信模组，所述物联网云平台包括bootstrap服务与安全认证管理系统。

本发明基于非对称密钥的安全数据传输，保证了发证请求数据和发证回执数据的私密性和完整性。

本发明针对采用nb-iot网络通信的nb-iot类终端，采用物联网通用协议lwm2m+coap，并结合物联网云平台的bootstrap服务构建传输通道对接安全认证管理系统，进行nb-iot终端的数字证书签发，申请数字证书的nb-iot终端与物联网云平台的安全认证管理系统相互进行身份认证，并对网络传输的发证请求数据进行加密保护，对发证回执数据进行精简以减少网络开销且进行了完整性保护。

相比于传统的离线证书签发方式，本发明的空中发证方式可自动化完成证书申请签发过程，进而有效节约生产环节人力成本和时间成本。

本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1示出本发明一种基于nb-iot通信模组的空中发证方法的流程图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

nb-iot（narrowbandinternetofthings）窄带物联网，nb-iot终端指的是基于窄带物联网进行通信的终端设备，安全sdk指的是sdk一般指软件开发工具包，这里安全sdk为安全模块的接口，可以通过该接口实现nb-iot终端与安全模块的通信；bootstrap服务指的是引导服务，bootstraprequest包指的是引导请求包，bootstrapwrite包指的是引导写入包。

图1示出本发明一种基于nb-iot通信模组的空中发证方法的流程图。

如图1所示，本发明第一方面提出一种基于nb-iot通信模组的空中发证方法，所述方法包括：

步骤1，在nb-iot终端上集成安全sdk并预置物联网云平台证书和ca证书；其中，物联网云平台证书包括物联网云平台对应的公钥等，ca证书包括安全认证管理系统对应的公钥等；

需要说明的是，预置物联网云平台证书和ca证书的nb-iot终端为合法的nb-iot终端，存储有该物联网云平台证书中的公钥对应的物联网云平台证书中的私钥以及与该ca证书中的公钥对应的私钥的物联网云平台为合法的物联网云平台；

步骤2，nb-iot终端在进行加密业务数据传输之前，所述nb-iot终端运行安全sdk与安全模块进行交互，检测安全模块中是否已存在nb-iot终端数字证书，如安全模块中已存在nb-iot终端数字证书，则可进行加密业务数据传输，如安全模块中不存在nb-iot终端数字证书，则转步骤3进入在线发证流程；

可以理解，nb-iot终端数字证书一般有证书名称等，比如nb-iot终端数字证书，通过轮询搜索文件（例如证书名称）来检测安全模块中是否已存在nb-iot终端数字证书，如果安全模块中已存在nb-iot终端数字证书，说明已签发有nb-iot终端数字证书，则无需再签发，后续通信使用该证书进行通信即可，安全模块中没有nb-iot终端数字证书，才会执行本发明的在线发证流程；

步骤3，在所述nb-iot终端生成发证请求之前，由安全模块产生非对称密钥对，所述nb-iot终端调用安全sdk接口获取安全模块产生的非对称密钥对的公钥；所述nb-iot终端生成发证请求，所述发证请求包括安全模块产生的非对称密钥对的公钥；

读取物联网云平台证书中的公钥，采用物联网云平台证书中的公钥对nb-iot终端生成的发证请求进行加密获得发证请求密文，再对所述发证请求密文进行协议封装得到发证请求数据报文；

需要说明的是，nb-iot终端对网络传输的发证请求进行加密以密文形式传输，防止发证请求被篡改，在证书请求侧进行加密保护，确保发证请求能够安全可靠地传输至物联网云平台；

步骤4，所述nb-iot终端向nb-iot通信模组下发at指令以连接物联网云平台的bootstrap服务，建立在线发证安全传输通道对接物联网云平台的安全认证管理系统，并在该at指令中传入所述发证请求数据报文；

可以理解，所述nb-iot终端与所述nb-iot通信模组之间以at指令方式传输数据，该at指令包含所述发证请求数据报文；在构建申请证书的nb-iot终端与物联网云平台的安全认证管理系统之间的在线发证安全传输通道同时，实现发证请求数据的传输，缩短了在线发证流程；

步骤5，所述nb-iot通信模组向物联网云平台的bootstrap服务发送bootstraprequest包并负载所述发证请求数据报文；

可以理解，所述nb-iot通信模组从接收到的at指令中获取所述发证请求数据报文，并通过物联网通用协议lwm2m+coap封装成为bootstraprequest包，其中，bootstraprequest为物联网通用协议lwm2m+coap封装的发证请求数据报文的结构体。

步骤6，物联网云平台的bootstrap服务从接收到的bootstraprequest包中解析出所述发证请求数据报文，并转发给物联网云平台的安全认证管理系统；

步骤7，所述安全认证管理系统对所述发证请求数据报文进行协议解析以获取所述发证请求密文，使用物联网云平台的私钥对所述发证请求密文进行数据解密以获取所述发证请求；

需要说明的是，物联网云平台的私钥与步骤2用到的物联网云平台证书中的公钥是一组非对称密钥对，由物联网云平台生成；所述发证请求密文只有合法的物联网云平台的私钥才能解密，在基于在线发证安全传输通道进行发证请求数据传输的同时，进一步确保了发证请求数据的完整性和安全性，同时便于物联网云平台对申请证书的nb-iot终端进行身份认证；

如果所述安全认证管理系统采用物联网云平台的私钥发证请求密文进行解密能够解密成功，即可确认申请证书的nb-iot终端以及物联网平台的身份合法性，不合法的物联网平台无法成功解密发证请求密文，不合法的nb-iot终端发送的发证请求密文也无法被成功解密。

步骤8，所述安全认证管理系统基于所述发证请求nb-iot终端数字证书的签发，其中，所述nb-iot终端数字证书包括nb-iot终端签名证书和nb-iot终端加密证书；

需要说明的是，nb-iot终端签名证书对应的公私钥对即安全模块产生的非对称密钥对。

步骤9，所述安全认证管理系统对所述nb-iot终端加密证书对应的私钥进行运算处理，得到nb-iot终端加密私钥密文数据包；

需要说明的是，nb-iot终端加密证书对应的私钥是物联网云平台的安全认证管理系统在接收到发证请求后生成的，所以需要将nb-iot终端加密证书对应的私钥安全传送给nb-iot终端。

步骤10，所述安全认证管理系统获取nb-iot终端签名证书、nb-iot终端加密证书和nb-iot终端加密私钥密文数据包以共同组成回执数据包，使用物联网云平台的私钥对该回执数据包进行签名后，对该回执数据包及签名信息进行协议封装得到发证回执数据报文；

步骤11，所述安全认证管理系统将所述发证回执数据报文沿调用接口回复给bootstrap服务，bootstrap服务通过bootstrapwrite包将所述发证回执数据报文下发给对应的nb-iot通信模组；

可以理解，bootstrap服务向对应的nb-iot通信模组发送bootstrapwrite包并负载所述发证回执数据报文，所述安全认证管理系统通过预先建立的在线发证安全传输通道来下发所述发证回执数据报文，以确保回执数据安全传输；

步骤12，所述nb-iot通信模组接收到bootstrapwrite包后，从bootstrapwrite包中解析出发证回执数据报文，并将所述发证回执数据报文回传给对应的nb-iot终端；

步骤13，所述nb-iot终端收到所述发证回执数据报文后进行协议解析获得该回执数据包及签名信息，采用物联网云平台证书中的公钥来验证物联网云平台签名以确认回执报文的完整性以及身份合法性；

需要说明的是，所述安全认证管理系统使用物联网云平台的私钥对该回执数据包进行签名，因此，所述nb-iot终端可以通过物联网云平台证书中的公钥对该回执数据包的签名信息进行验签，以确认该回执数据包的发送端身份的合法性；

由于步骤10中，所述安全认证管理系统使用物联网云平台的私钥对该回执数据包进行签名，是物联网云平台的私钥对该回执数据包进行加密获得回执数据包密文，并将该回执数据包密文作为该回执数据包的签名信息；所述nb-iot终端通过物联网云平台证书中的公钥对该回执数据包的签名信息进行验签时，通过物联网云平台证书中的公钥对该回执数据包密文进行解密，并将解密结果与获得的回执数据包进行比对，根据比对结果的一致性进行回执报文完整性的判断。

步骤14，提取所述回执数据包中的nb-iot终端加密证书和nb-iot终端签名证书，组成回执的nb-iot终端证书；nb-iot终端调用安全sdk预置的ca证书验证回执的nb-iot终端证书的合法性，在验证通过后将nb-iot终端加密证书和nb-iot终端签名证书存储到对应的安全模块；

需要说明的是，物联网云平台的安全认证管理系统作为ca机构，所谓的ca证书即是安全认证管理系统的证书。在上述步骤8中，安全认证管理系统采用ca证书对应的私钥对生成的nb-iot终端加密证书、nb-iot终端签名证书进行签名，并将签名信息附加到证书中。因此，在步骤14中，当nb-iot终端接收到nb-iot终端加密证书和nb-iot终端签名证书后，即可采用预置的ca证书对应的公钥来验证对应证书的合法性。

步骤15，nb-iot终端调用安全模块私钥解密所述回执数据包中的nb-iot终端加密私钥密文数据包，获取nb-iot终端加密证书对应的私钥并存储到安全模块，完成证书签发过程。

需要说明的是，安全模块私钥为步骤3中安全模块产生的非对称密钥对的私钥，该非对称密钥对的公钥随发证请求的内容等发送至所述安全认证管理系统，并在所述安全认证管理系统生成nb-iot终端加密证书时发挥作用；

步骤9中对所述nb-iot终端加密证书对应的私钥进行运算处理生成nb-iot终端加密私钥密文数据包时，需要使用安全模块产生的非对称密钥对的公钥，因此，nb-iot终端可以使用安全模块私钥（该非对称密钥对的私钥）来解密nb-iot终端加密私钥密文数据包，以获取nb-iot终端加密证书对应的私钥。

进一步的，上述步骤8，具体包括：所述安全认证管理系统采用ca证书对应的私钥对获取的所述发证请求的内容与nb-iot终端标识进行签名得到第一ca签名信息，并基于发证请求的内容、nb-iot终端标识与第一ca签名信息签发得到nb-iot终端签名证书；其中，发证请求的内容包括安全模块产生的非对称密钥对的公钥和发证请求信息等；

所述安全认证管理系统自身还生成一组用于nb-iot终端加密证书签发的公私钥对，并采用ca证书对应的私钥对该公私钥对（安全认证管理系统生成的）的公钥与nb-iot终端标识进行签名得到第二ca签名信息，并根据该公私钥对（安全认证管理系统生成的）的公钥、nb-iot终端标识以及第二ca签名信息签发得到nb-iot终端加密证书。

需要说明的是，nb-iot终端标识可以为设备序列号等，为了提升证书签发效率，在发证请求中增加nb-iot终端标识。

其中，安全认证管理系统存储的ca证书的私钥与nb-iot终端上预置的ca证书中的公钥是一组非对称密钥对，只有预置有ca证书的nb-iot终端才能对nb-iot终端加密证书和nb-iot终端签名证书的签名信息进行解签。

这里的解签对应步骤14中nb-iot终端调用预置的ca证书验证回执的nb-iot终端数字证书的合法性的步骤，具体指的是对nb-iot终端签名证书中的第一ca签名信息以及nb-iot终端加密证书中的第二ca签名信息进行验签，验签正确，则表示回执的nb-iot终端证书是合法的。

进一步的，上述步骤9，具体包括：所述安全认证管理系统随机生成一个随机数作为密钥key，并采用所述密钥key通过国密sm4算法对nb-iot终端加密证书对应的私钥进行运算处理，得到私钥密文；其中，nb-iot终端加密证书对应的私钥为所述安全认证管理系统自身生成的用于nb-iot终端加密证书签发的公私钥对中的私钥；

从所述发证请求中获取由nb-iot终端对应的安全模块事先生成的公钥，并基于该公钥对密钥key进行加密得到密钥key的密文，将所述私钥密文和所述密钥key的密文组成nb-iot终端加密私钥密文数据包。

可以理解，步骤15中nb-iot终端调用安全模块私钥对所述nb-iot终端加密私钥密文数据包中密钥key的密文进行解密，获得密钥key，然后通过解密得到的密钥key和国密sm4算法对私钥密文进行运算，得到nb-iot终端加密证书对应的私钥。

需要说明的是，本发明采用物联网云平台的公钥加密发证请求，并在建立在线发证安全传输通道的同时通过at指令的方式将发证请求数据报文发送至物联网平台，物联网平台的安全认证管理系统对所述发证请求密文进行解密，从而达到在申请证书的nb-iot终端与物联网云平台的安全认证管理系统进行身份认证的同时，将发证请求一并发送至物联网云平台的效果；且物联网云平台的安全认证管理系统对所述发证请求密文解密成功后，安全认证管理系统即可签发nb-iot终端数字证书并返回给nb-iot终端。综上，整个在线证书签证过程只需要一次往返链路即可实现，能够有效缩短nb-iot终端数字证书的签发流程，使得nb-iot终端数字证书的签发过程更简便，同时，在保证数据交互安全可靠的前提下，有效提升nb-iot终端数字证书的在线发证效率。

实施例2

本发明还提出一种基于nb-iot通信模组的空中发证系统，用于实现上述的基于nb-iot通信模组的空中发证方法，所述空中发证系统系统包括：物联网终端和物联网云平台，所述物联网终端与物联网云平台进行通信连接，其中，所述物联网终端包括nb-iot终端、安全模块和nb-iot通信模组，所述物联网云平台包括bootstrap服务与安全认证管理系统。

本发明基于非对称密钥的安全数据传输，保证了发证请求数据和发证回执数据的私密性和完整性。

本发明针对采用nb-iot网络通信的nb-iot类终端，采用物联网通用协议lwm2m+coap，并结合物联网云平台的bootstrap服务构建专用安全传输通道对接安全认证管理系统，进行nb-iot终端的数字证书签发，申请证书的nb-iot终端与物联网云平台的安全认证管理系统相互进行身份认证，并对网络传输的发证请求数据进行加密保护；整个在线证书签证过程只需要一次往返链路即可同时签发nb-iot终端签名证书和nb-iot终端加密证书，同时还返回nb-iot终端加密私钥密文数据包，一次性返回nb-iot终端进行加密业务数据传输所需数据，对发证回执数据进行精简以减少网络开销且进行了完整性保护。

进一步的，由于nb-iot模组基于功耗、成本的考虑，普遍不支持tls安全通信协议以及http协议，但均支持更加轻量的lwm2m+coap协议，因此在lwm2m+coap协议上进行数字证书的申请和签发，具有更好的适用性，也更便于推广应用。

相比于传统的离线证书签发方式，本发明的空中发证方式可自动化完成证书申请签发过程，进而有效节约生产环节人力成本和时间成本。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。