一种基于NB-IoT通信模组的空中发证方法和系统技术方案

本发明专利技术提出了一种基于NB‑IoT通信模组的空中发证方法和系统，本发明专利技术针对采用NB‑IoT网络通信的NB‑IoT类终端，采用物联网通用协议LWM2M+COAP，并结合物联网云平台bootstrap服务构建传输通道对接安全认证管理系统，进行NB‑IoT终端的数字证书签发，申请证书的NB‑IoT终端与物联网云平台的安全认证管理系统相互进行身份认证，并基于非对称密钥的安全数据传输链路，实现对网络传输的发证请求数据进行加密保护，对发证回执数据进行精简以减少网络开销且进行了完整性保护。相比于传统的离线证书签发方式，本发明专利技术的空中发证方式可自动化完成证书申请签发过程，从而有效节约生产环节人力成本和时间成本。

【技术实现步骤摘要】
一种基于NB-IoT通信模组的空中发证方法和系统
本专利技术涉及物联网
，尤其涉及一种基于NB-IoT通信模组的空中发证方法和系统。
技术介绍
近年来，随着万物互联时代的到来，越来越多的物联网终端接入物联网云平台，在低速率、广域网络的场景下广泛使用NB-IoT的通信方式。为了保证通过NB-IoT通信模组通信接入物联网云平台的物联网终端身份可信，则需要对NB-IoT终端签发数字证书，并基于数字证书进行物联网云平台的接入认证、安全通信。传统的证书签发方式存在流程较长、操作复杂、执行效率低等问题。
技术实现思路
鉴于上述内容，有必要提供一种基于NB-IoT通信模组的空中发证方法和系统，能够简化对NB-IoT终端的数字证书签发流程，提高执行效率。本专利技术第一方面提出一种基于NB-IoT通信模组的空中发证方法，所述方法包括以下步骤：步骤1，在NB-IoT终端上集成安全SDK并预置物联网云平台证书和CA证书；步骤2，所述NB-IoT终端运行安全SDK与安全模块进行交互，所述NB-IoT终端检测安全模块中是否已存在NB-IoT终端数字证书，如已存在NB-IoT终端数字证书则进行加密业务数据传输，如不存在NB-IoT终端数字证书，则转步骤3进入在线发证流程；步骤3，由安全模块产生非对称密钥对，所述NB-IoT终端获取安全模块产生的非对称密钥对的公钥，并生成发证请求，所述发证请求包括该非对称密钥对的公钥；读取物联网云平台证书中的公钥，采用物联网云平台证书中的公钥对所述发证请求进行加密获得发证请求密文，对所述发证请求密文进行协议封装得到发证请求数据报文；步骤4，所述NB-IoT终端向NB-IoT通信模组下发AT指令以连接物联网云平台的bootstrap服务，并在该AT指令中传入所述发证请求数据报文；步骤5，所述NB-IoT通信模组向物联网云平台的bootstrap服务发送bootstraprequest包并负载所述发证请求数据报文；步骤6，物联网云平台的Bootstrap服务从接收到的bootstraprequest包中解析出所述发证请求数据报文，并转发给物联网云平台的安全认证管理系统；步骤7，所述安全认证管理系统对所述发证请求数据报文进行协议解析以获取所述发证请求密文，使用物联网云平台的私钥对所述发证请求密文进行数据解密以获取所述发证请求；步骤8，所述安全认证管理系统基于所述发证请求进行NB-IoT终端数字证书的签发，所述NB-IoT终端数字证书包括NB-IoT终端签名证书和NB-IoT终端加密证书；步骤9，所述安全认证管理系统对所述NB-IoT终端加密证书对应的私钥进行运算处理，得到NB-IoT终端加密私钥密文数据包；步骤10，所述安全认证管理系统获取NB-IoT终端签名证书、NB-IoT终端加密证书和NB-IoT终端加密私钥密文数据包以共同组成回执数据包，使用物联网云平台的私钥对该回执数据包进行签名后，对该回执数据包及签名信息进行协议封装得到发证回执数据报文；步骤11，所述安全认证管理系统将所述发证回执数据报文沿调用接口回复给bootstrap服务，bootstrap服务通过bootstrapwrite包将所述发证回执数据报文下发给对应的NB-IoT通信模组；步骤12，所述NB-IoT通信模组接收到bootstrapwrite包后，从bootstrapwrite包中解析出发证回执数据报文，并将所述发证回执数据报文回传给对应的NB-IoT终端；步骤13，所述NB-IoT终端接收到所述发证回执数据报文后进行协议解析获得该回执数据包及签名信息，并采用物联网云平台证书中的公钥来验证物联网云平台签名以确认所述发证回执数据报文的完整性以及身份合法性；步骤14，NB-IoT终端调用预置的CA证书验证回执的NB-IoT终端数字证书的合法性，在验证通过后将NB-IoT终端加密证书和NB-IoT终端签名证书存储到对应的安全模块；步骤15，NB-IoT终端调用安全模块私钥对所述NB-IoT终端加密私钥密文数据包进行解密，获取NB-IoT终端加密证书对应的私钥并存储到安全模块，完成NB-IoT终端数字证书签发过程。本专利技术第二方面提出一种基于NB-IoT通信模组的空中发证系统，用于实现上述的基于NB-IoT通信模组的空中发证方法，所述空中发证系统系统包括：物联网终端和物联网云平台，所述物联网终端与物联网云平台进行通信连接，其中，所述物联网终端包括NB-IoT终端、安全模块和NB-IoT通信模组，所述物联网云平台包括bootstrap服务与安全认证管理系统。本专利技术基于非对称密钥的安全数据传输，保证了发证请求数据和发证回执数据的私密性和完整性。本专利技术针对采用NB-IoT网络通信的NB-IoT类终端，采用物联网通用协议LWM2M+COAP，并结合物联网云平台的bootstrap服务构建传输通道对接安全认证管理系统，进行NB-IoT终端的数字证书签发，申请数字证书的NB-IoT终端与物联网云平台的安全认证管理系统相互进行身份认证，并对网络传输的发证请求数据进行加密保护，对发证回执数据进行精简以减少网络开销且进行了完整性保护。相比于传统的离线证书签发方式，本专利技术的空中发证方式可自动化完成证书申请签发过程，进而有效节约生产环节人力成本和时间成本。本专利技术的附加方面和优点将在下面的描述部分中变得明显，或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1示出本专利技术一种基于NB-IoT通信模组的空中发证方法的流程图。具体实施方式为了能够更清楚地理解本专利技术的上述目的、特征和优点，下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本专利技术，但是，本专利技术还可以采用其他不同于在此描述的其他方式来实施，因此，本专利技术的保护范围并不受下面公开的具体实施例的限制。NB-IoT（NarrowBandInternetofThings）窄带物联网，NB-IoT终端指的是基于窄带物联网进行通信的终端设备，安全SDK指的是SDK一般指软件开发工具包，这里安全SDK为安全模块的接口，可以通过该接口实现NB-IoT终端与安全模块的通信；bootstrap服务指的是引导服务，bootstraprequest包指的是引导请求包，bootstrapwrite包指的是引导写入包。图1示出本专利技术一种基于NB-IoT通信模组的空中发证方法的流程图。如图1所示，本专利技术第一方面提出一种基于NB-IoT通信模组的空中发证方法，所述方法包括：步骤1，在NB-IoT终端上集成安全SDK并预置物联网云平台证书和CA证书；其中，物联网云平台证书包括物联网云平台对应的公钥等，C本文档来自技高网...

【技术保护点】
1.一种基于NB-IoT通信模组的空中发证方法，其特征在于，包括以下步骤：/n步骤1，在NB-IoT终端上集成安全SDK并预置物联网云平台证书和CA证书；/n步骤2，所述NB-IoT终端运行安全SDK与安全模块进行交互，所述NB-IoT终端检测安全模块中是否已存在NB-IoT终端数字证书，如已存在NB-IoT终端数字证书则进行加密业务数据传输，如不存在NB-IoT终端数字证书，则转步骤3进入在线发证流程；/n步骤3，由安全模块产生非对称密钥对，所述NB-IoT终端获取安全模块产生的非对称密钥对的公钥，并生成发证请求，所述发证请求包括该非对称密钥对的公钥；/n读取物联网云平台证书中的公钥，采用物联网云平台证书中的公钥对所述发证请求进行加密获得发证请求密文，对所述发证请求密文进行协议封装得到发证请求数据报文；/n步骤4，所述NB-IoT终端向NB-IoT通信模组下发AT指令以连接物联网云平台的bootstrap服务，并在该AT指令中传入所述发证请求数据报文；/n步骤5，所述NB-IoT通信模组向物联网云平台的bootstrap服务发送bootstraprequest包并负载所述发证请求数据报文；/n步骤6，物联网云平台的Bootstrap服务从接收到的bootstrap request包中解析出所述发证请求数据报文，并转发给物联网云平台的安全认证管理系统；/n步骤7，所述安全认证管理系统对所述发证请求数据报文进行协议解析以获取所述发证请求密文，使用物联网云平台的私钥对所述发证请求密文进行数据解密以获取所述发证请求；/n步骤8，所述安全认证管理系统基于所述发证请求进行NB-IoT终端数字证书的签发，所述NB-IoT终端数字证书包括NB-IoT终端签名证书和NB-IoT终端加密证书；/n步骤9，所述安全认证管理系统对所述NB-IoT终端加密证书对应的私钥进行运算处理，得到NB-IoT终端加密私钥密文数据包；/n步骤10，所述安全认证管理系统获取NB-IoT终端签名证书、NB-IoT终端加密证书和NB-IoT终端加密私钥密文数据包以共同组成回执数据包，使用物联网云平台的私钥对该回执数据包进行签名后，对该回执数据包及签名信息进行协议封装得到发证回执数据报文；/n步骤11，所述安全认证管理系统将所述发证回执数据报文沿调用接口回复给bootstrap服务，bootstrap服务通过bootstrap write包将所述发证回执数据报文下发给对应的NB-IoT通信模组；/n步骤12，所述NB-IoT通信模组接收到bootstrap write包后，从bootstrap write包中解析出发证回执数据报文，并将所述发证回执数据报文回传给对应的NB-IoT终端；/n步骤13，所述NB-IoT终端接收到所述发证回执数据报文后进行协议解析获得该回执数据包及签名信息，并采用物联网云平台证书中的公钥来验证物联网云平台签名以确认所述发证回执数据报文的完整性以及身份合法性；/n步骤14，NB-IoT终端调用预置的CA证书验证回执的NB-IoT终端数字证书的合法性，在验证通过后将NB-IoT终端加密证书和NB-IoT终端签名证书存储到对应的安全模块；/n步骤15，NB-IoT终端调用安全模块私钥对所述NB-IoT终端加密私钥密文数据包进行解密，获取NB-IoT终端加密证书对应的私钥并存储到安全模块，完成NB-IoT终端数字证书签发过程。/n...

【技术特征摘要】
1.一种基于NB-IoT通信模组的空中发证方法，其特征在于，包括以下步骤：
步骤1，在NB-IoT终端上集成安全SDK并预置物联网云平台证书和CA证书；
步骤2，所述NB-IoT终端运行安全SDK与安全模块进行交互，所述NB-IoT终端检测安全模块中是否已存在NB-IoT终端数字证书，如已存在NB-IoT终端数字证书则进行加密业务数据传输，如不存在NB-IoT终端数字证书，则转步骤3进入在线发证流程；
步骤3，由安全模块产生非对称密钥对，所述NB-IoT终端获取安全模块产生的非对称密钥对的公钥，并生成发证请求，所述发证请求包括该非对称密钥对的公钥；
读取物联网云平台证书中的公钥，采用物联网云平台证书中的公钥对所述发证请求进行加密获得发证请求密文，对所述发证请求密文进行协议封装得到发证请求数据报文；
步骤4，所述NB-IoT终端向NB-IoT通信模组下发AT指令以连接物联网云平台的bootstrap服务，并在该AT指令中传入所述发证请求数据报文；
步骤5，所述NB-IoT通信模组向物联网云平台的bootstrap服务发送bootstraprequest包并负载所述发证请求数据报文；
步骤6，物联网云平台的Bootstrap服务从接收到的bootstraprequest包中解析出所述发证请求数据报文，并转发给物联网云平台的安全认证管理系统；
步骤7，所述安全认证管理系统对所述发证请求数据报文进行协议解析以获取所述发证请求密文，使用物联网云平台的私钥对所述发证请求密文进行数据解密以获取所述发证请求；
步骤8，所述安全认证管理系统基于所述发证请求进行NB-IoT终端数字证书的签发，所述NB-IoT终端数字证书包括NB-IoT终端签名证书和NB-IoT终端加密证书；
步骤9，所述安全认证管理系统对所述NB-IoT终端加密证书对应的私钥进行运算处理，得到NB-IoT终端加密私钥密文数据包；
步骤10，所述安全认证管理系统获取NB-IoT终端签名证书、NB-IoT终端加密证书和NB-IoT终端加密私钥密文数据包以共同组成回执数据包，使用物联网云平台的私钥对该回执数据包进行签名后，对该回执数据包及签名信息进行协议封装得到发证回执数据报文；
步骤11，所述安全认证管理系统将所述发证回执数据报文沿调用接口回复给bootstrap服务，bootstrap服务通过bootstrapwrite包将所述发证回执数据报文下发给对应的NB-IoT通信模组；
步骤12，所述NB-IoT通信模组接收到bootstrapwrite包后...

【专利技术属性】
技术研发人员：李汶昊，徐尉，孙晓鹏，马骥，廖正赟，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南;41