一种基于标识算法的安全通信方法及系统技术方案

本发明专利技术提供了一种基于标识算法的安全通信方法及系统，其中方法包括：将安全芯片与NB‑IoT通信模组封装成一个安全模组并设置在终端中；首次入网时，终端将请求激活报文发送至后台，后台接收请求激活报文，验证标识签名数据的真实性，若验证通过，则根据燃气标号生成更新发行信息，并将APDU指令包发送至终端；终端验证更新签名数据的真实性，若验证通过，则解密二次发行报文密文，得到更新发行信息，并将首次发行信息替换为更新发行信息进行保存；终端根据上报数据的等级，将普通数据的明文以及对普通数据进行计算得到的MAC值发送至后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对关键数据密文进行签名得到的关键数据签名发送至后台。

【技术实现步骤摘要】
一种基于标识算法的安全通信方法及系统
本专利技术涉及通信领域，尤其涉及一种基于标识算法的安全通信方法及系统。
技术介绍
窄带物联网(NarrowBandInternetofThings,NB-IoT)构建于蜂窝网络，只消耗大约180KHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，已经成为物联网的一个重要分支。NB-IoT网络具有大连接、低功耗、低成本、广覆盖的特点，符合智能燃气终端的需求。NB-IoT物联网技术的应用，将推进新型燃气经营管理的“互联网+”信息化建设，推动燃气行业技术标准化、产业规模化，共同打造智慧燃气的行业标杆。NB-IoT模组是基于NB-IoT基带芯片经过封装后的通信模块，符合3GPP标准中的频段要求。其具有体积小、功耗低、传输距离远、抗干扰能力强等特点。用户只需通过标准的AT指令，即可对NB-IoT模组进行操作，实现终端管理的功能。然而现有的NB-IoT模组并不能保证足够的安全，在使用过程中可能存在被劫持的风险，从而智能燃气终端存在安全隐患，导致用户的损失。
技术实现思路
本专利技术旨在提供一种克服上述问题或者至少部分地解决上述问题的一种基于标识算法的安全通信方法及系统，能够实现NB-IoT网络端到端的数据安全传输。为达到上述目的，本专利技术的技术方案具体是这样实现的：本专利技术的一个方面提供了一种基于标识算法的安全通信方法，包括：将安全芯片与NB-IoT通信模组封装成一个安全模组，并将安全模组设置在终端中；首次入网时，终端将请求激活报文发送至后台，其中，请求激活报文至少包括首次发行信息中的首次发行终端身份标识以及终端利用安全芯片中预存的首次发行信息中的首次发行终端用户私钥至少对首次发行终端身份标识进行签名得到的标识签名数据，首次发行终端身份标识至少包括：安全芯片标识、燃气表号、安全模组中NB-SIM卡IMEI号码以及安全模组中NB-SIM卡IMSI号码；后台接收请求激活报文，验证标识签名数据的真实性，若验证通过，则根据燃气标号生成更新发行信息，其中，更新发行信息包括：更新发行系统标识、更新发行系统公钥、更新终端身份标识以及更新终端用户私钥；后台对更新发行信息和首次发行终端身份标识进行加密得到二次发行报文密文，并利用首次发行后台签名私钥对二次发行报文密文进行签名得到更新签名数据；后台对二次发行报文密文和更新签名数据进行封装，得到APDU指令包，并将APDU指令包发送至终端；终端接收APDU指令包，验证更新签名数据的真实性，若验证通过，则解密二次发行报文密文，得到更新发行信息，并将首次发行信息替换为更新发行信息进行保存；终端根据上报数据的等级，将普通数据的明文以及对普通数据进行计算得到的MAC值发送至后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对关键数据密文进行签名得到的关键数据签名发送至后台；后台根据接收到的上报数据的等级，对MAC值进行验证，或者对关键数据签名进行验证。另外，方法还包括：后台将对待下发数据进行加密得到的待下发数据密文以及对待下发数据进行签名得到的待下发数据签名发送至终端；终端对待下发数据密文进行解密得到待下发数据明文，并利用待下发数据明文对待下发数据签名的真实性进行验证。另外，方法还包括：后台对待更新密钥进行加密得到待更新密钥密文，并对待更新密钥密文进行签名得到待更新密钥签名，将待更新密钥密文和待更新密钥签名发送至终端；终端对待更新密钥密文进行解密得到待更新密钥，并对待更新密钥签名进行验证。另外，安全芯片采用IBC算法进行签名。另外，方法还包括：终端与后台确定燃气行业业务数据，并建立燃气行业业务数据的数据格式。本专利技术另一方面提供了一种基于标识算法的安全通信系统，包括：终端，其中，终端中设置安全模组，安全模组将安全芯片与NB-IoT通信模组进行封装；首次入网时，终端，还用于将请求激活报文发送至后台，其中，请求激活报文至少包括首次发行信息中的首次发行终端身份标识以及终端利用安全芯片中预存的首次发行信息中的首次发行终端用户私钥至少对首次发行终端身份标识进行签名得到的标识签名数据，首次发行终端身份标识至少包括：安全芯片标识、燃气表号、安全模组中NB-SIM卡IMEI号码以及安全模组中NB-SIM卡IMSI号码；后台，用于接收请求激活报文，验证标识签名数据的真实性，若验证通过，则根据燃气标号生成更新发行信息，其中，更新发行信息包括：更新发行系统标识、更新发行系统公钥、更新终端身份标识以及更新终端用户私钥；后台，还用于对更新发行信息和首次发行终端身份标识进行加密得到二次发行报文密文，并利用首次发行后台签名私钥对二次发行报文密文进行签名得到更新签名数据；后台，还用于对二次发行报文密文和更新签名数据进行封装，得到APDU指令包，并将APDU指令包发送至终端；终端，还用于接收APDU指令包，验证更新签名数据的真实性，若验证通过，则解密二次发行报文密文，得到更新发行信息，并将首次发行信息替换为更新发行信息进行保存；终端，还用于根据上报数据的等级，将普通数据的明文以及对普通数据进行计算得到的MAC值发送至后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对关键数据密文进行签名得到的关键数据签名发送至后台；后台，还用于根据接收到的上报数据的等级，对MAC值进行验证，或者对关键数据签名进行验证。另外，后台，还用于将对待下发数据进行加密得到的待下发数据密文以及对待下发数据进行签名得到的待下发数据签名发送至终端；终端，还用于对待下发数据密文进行解密得到待下发数据明文，并利用待下发数据明文对待下发数据签名的真实性进行验证。另外，后台，还用于对待更新密钥进行加密得到待更新密钥密文，并对待更新密钥密文进行签名得到待更新密钥签名，将待更新密钥密文和待更新密钥签名发送至终端；终端，还用于对待更新密钥密文进行解密得到待更新密钥，并对待更新密钥签名进行验证。另外，安全芯片采用IBC算法进行签名。另外，终端与后台，还用于确定燃气行业业务数据，并建立燃气行业业务数据的数据格式。由此可见，通过本专利技术提供的一种基于标识算法的安全通信方法及系统，可实现端到端的安全传输。安全模组采用安全芯片存储和通信模组存储分离式存储方式，将关键的密钥信息存储在安全芯片中，只能由安全芯片获取使用，外部不可直接读取，避免了密钥泄露的风险。安全芯片内置对称加密算法(例如SM4算法)及IBC算法(例如SM9算法为例)功能。安全模组发送的数据通过安全芯片进行签名和(或)加密再进行传输，而安全模组从后台接收到的数据由安全芯片进行解密和(或)验签之后再进行后续处理。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。图1为本专利技术实施例提供的基于标识算法的安全通信系统的结构示意图；图2为本专利技术实施例提供的基于标识算法的安全通信系统的终端结构示意图；图3为本专利技术实施例提供的基于标识算法的安全通信系统的终端另一种结构示意图；图4为本专利技术实施例提供的基于标识算法的安全通信系统中终端的安全模组的结构示意图；图5为本专利技术实施例提供的基于标识本文档来自技高网...

【技术保护点】
1.一种基于标识算法的安全通信方法，其特征在于，包括：将安全芯片与NB‑IoT通信模组封装成一个安全模组，并将所述安全模组设置在终端中；首次入网时，所述终端将请求激活报文发送至后台，其中，所述请求激活报文至少包括首次发行信息中的首次发行终端身份标识以及所述终端利用所述安全芯片中预存的首次发行信息中的首次发行终端用户私钥至少对所述首次发行终端身份标识进行签名得到的标识签名数据，所述首次发行终端身份标识至少包括：安全芯片标识、燃气表号、安全模组中NB‑SIM卡IMEI号码以及安全模组中NB‑SIM卡IMSI号码；所述后台接收所述请求激活报文，验证所述标识签名数据的真实性，若验证通过，则根据所述燃气标号生成更新发行信息，其中，所述更新发行信息包括：更新发行系统标识、更新发行系统公钥、更新终端身份标识以及更新终端用户私钥；所述后台对所述更新发行信息和所述首次发行终端身份标识进行加密得到二次发行报文密文，并利用首次发行后台签名私钥对所述二次发行报文密文进行签名得到更新签名数据；所述后台对所述二次发行报文密文和所述更新签名数据进行封装，得到APDU指令包，并将所述APDU指令包发送至所述终端；所述终端接收所述APDU指令包，验证所述更新签名数据的真实性，若验证通过，则解密所述二次发行报文密文，得到所述更新发行信息，并将所述首次发行信息替换为所述更新发行信息进行保存；所述终端根据上报数据的等级，将普通数据的明文以及对所述普通数据进行计算得到的MAC值发送至所述后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对所述关键数据密文进行签名得到的关键数据签名发送至所述后台；所述后台根据接收到的上报数据的等级，对MAC值进行验证，或者对所述关键数据签名进行验证。...

【技术特征摘要】
1.一种基于标识算法的安全通信方法，其特征在于，包括：将安全芯片与NB-IoT通信模组封装成一个安全模组，并将所述安全模组设置在终端中；首次入网时，所述终端将请求激活报文发送至后台，其中，所述请求激活报文至少包括首次发行信息中的首次发行终端身份标识以及所述终端利用所述安全芯片中预存的首次发行信息中的首次发行终端用户私钥至少对所述首次发行终端身份标识进行签名得到的标识签名数据，所述首次发行终端身份标识至少包括：安全芯片标识、燃气表号、安全模组中NB-SIM卡IMEI号码以及安全模组中NB-SIM卡IMSI号码；所述后台接收所述请求激活报文，验证所述标识签名数据的真实性，若验证通过，则根据所述燃气标号生成更新发行信息，其中，所述更新发行信息包括：更新发行系统标识、更新发行系统公钥、更新终端身份标识以及更新终端用户私钥；所述后台对所述更新发行信息和所述首次发行终端身份标识进行加密得到二次发行报文密文，并利用首次发行后台签名私钥对所述二次发行报文密文进行签名得到更新签名数据；所述后台对所述二次发行报文密文和所述更新签名数据进行封装，得到APDU指令包，并将所述APDU指令包发送至所述终端；所述终端接收所述APDU指令包，验证所述更新签名数据的真实性，若验证通过，则解密所述二次发行报文密文，得到所述更新发行信息，并将所述首次发行信息替换为所述更新发行信息进行保存；所述终端根据上报数据的等级，将普通数据的明文以及对所述普通数据进行计算得到的MAC值发送至所述后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对所述关键数据密文进行签名得到的关键数据签名发送至所述后台；所述后台根据接收到的上报数据的等级，对MAC值进行验证，或者对所述关键数据签名进行验证。2.根据权利要求1所述的方法，其特征在于，还包括：所述后台将对待下发数据进行加密得到的待下发数据密文以及对所述待下发数据进行签名得到的待下发数据签名发送至所述终端；所述终端对所述待下发数据密文进行解密得到所述待下发数据明文，并利用所述待下发数据明文对所述待下发数据签名的真实性进行验证。3.根据权利要求1所述的方法，其特征在于，还包括：所述后台对待更新密钥进行加密得到待更新密钥密文，并对所述待更新密钥密文进行签名得到待更新密钥签名，将所述待更新密钥密文和所述待更新密钥签名发送至所述终端；所述终端对所述待更新密钥密文进行解密得到所述待更新密钥，并对所述待更新密钥签名进行验证。4.根据权利要求1所述的方法，其特征在于，所述安全芯片采用IBC算法进行签名。5.根据权利要求1所述的方法，其特征在于，还包括：所述终端与所述后台确定燃气行业业务数据，并建立所述燃气行业业务数据的数据格式。6.一种基于标识算法的安全通信系统，其特...

【专利技术属性】
技术研发人员：高顺利，王嵩梅，黄冬虹，籍瑞春，张耀辉，柴家凤，王林，董新利，金沙，涂航，
申请(专利权)人：北京市燃气集团有限责任公司，
类型：发明
国别省市：北京,11