CN111786799A - 基于物联网通信模组的数字证书签发方法及系统 - Google Patents

基于物联网通信模组的数字证书签发方法及系统 Download PDF

Info

Publication number
CN111786799A
CN111786799A CN202010721412.XA CN202010721412A CN111786799A CN 111786799 A CN111786799 A CN 111786799A CN 202010721412 A CN202010721412 A CN 202010721412A CN 111786799 A CN111786799 A CN 111786799A
Authority
CN
China
Prior art keywords
internet
things
communication module
digital certificate
platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010721412.XA
Other languages
English (en)
Other versions
CN111786799B (zh
Inventor
马骥
王平
刘熙胖
孙晓鹏
廖正赟
雷宇龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010721412.XA priority Critical patent/CN111786799B/zh
Publication of CN111786799A publication Critical patent/CN111786799A/zh
Application granted granted Critical
Publication of CN111786799B publication Critical patent/CN111786799B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种基于物联网通信模组的数字证书签发方法、系统,包括:物联网通信模组在线获取设备标识ID,并基于设备标识ID触发生成数字证书请求,建立物联网通信模组对物联网平台的安全网关单向认证的TLS安全通道,并将所述数字证书请求通过上述TLS安全通道发送给物联网平台的安全认证管理系统;安全认证管理系统从数字证书请求中提取出设备标识ID,并请求设备注册系统进行验证,并在验证正确时基于数字证书请求进行签发数字证书,并返回给所述物联网通信模组;物联网通信模组将数字证书写入内置的安全模块中。本发明解决了传统基于物联网通信模组数字证书签发流程繁琐,签发效率低的问题。

Description

基于物联网通信模组的数字证书签发方法及系统
技术领域
本发明涉及安全通信技术领域,尤其涉及一种基于物联网通信模组的数字证书签发方法及系统。
背景技术
近年来,随着万物互联时代的到来,越来越多的终端设备需要接入物联网平台。然而传统的终端设备在出厂时因没有配设通信模块而不具备通信能力,因此,我们通常需要在终端设备上外设一个无线物联网通信模组,以使终端设备借助无线物联网通信模组与平台侧进行通信。在很多领域,为了确保终端设备能够安全接入物联网平台,则需要对无线物联网通信模组签发数字证书,并基于数字证书进行平台登录、数据加密传输。传统的签发方式流程繁琐,且不够灵活。
发明内容
鉴于上述内容,有必要提供一种基于物联网通信模组的数字证书签发方法及系统,能够简化对无线物联网通信模组的数字证书签发流程,实现了物联网终端安全接入物联网平台。
本发明第一方面提出一种基于物联网通信模组的数字证书签发方法,包括:
步骤1,物联网通信模组在线获取设备标识ID,并基于设备标识ID触发生成数字证书请求,其中所述数字证书请求至少包括设备标识ID,所述设备标识ID由物联网平台的设备注册系统生成;
步骤2,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,并将所述数字证书请求通过上述TLS安全通道发送给所述物联网平台的安全认证管理系统;
步骤3,所述安全认证管理系统从所述数字证书请求中提取出设备标识ID,并请求所述设备注册系统验证所述设备标识ID;
步骤4,待验证所述设备标识ID正确时,所述安全认证管理系统基于所述数字证书请求签发数字证书,并返回给所述物联网通信模组;
步骤5,所述物联网通信模组将数字证书写入内置的安全模块中。
进一步的,物联网通信模组在线获取设备标识ID,具体包括:
步骤1.1,用户终端获取所述物联网通信模组的序列号,并基于序列号形成注册请求发送给所述物联网平台的设备注册系统;
步骤1.2,所述设备注册系统基于注册请求完成对所述物联网通信模组的设备注册,并返回所述设备标识ID给用户终端;
步骤1.3,所述物联网终端,获取所述用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式配置给所述物联网通信模组。
进一步的,上述步骤2中,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,具体包括:
所述物联网通信模组与所述安全网关进行握手,并向所述安全网关发送单向认证请求,所述安全网关将自身的数字证书返回给所述物联网通信模组;
所述物联网通信模组请求CA机构验证所述安全网关的数字证书的有效性,如果验证有效,则继续数字证书签发流程,如果验证无效,则直接结束数字证书签发流程。
进一步的,所述物联网通信模组包括NB-IoT物联网通信模组,还包括4G物联网通信模组、5G物联网通信模组中的任意一种,但不限于此。
本发明第二方面还提出一种基于物联网通信模组的通信方法,包括前述的数字证书签发方法,还包括:
步骤6,所述物联网终端基于所述物联网通信模组以及对应的数字证书安全登录所述物联网平台;
步骤7,所述物联网终端与所述物联网平台进行业务数据交互。
进一步的,上述步骤6具体包括:
步骤6-1,所述物联网终端形成平台登录请求,并通过AT命令或API方式发送给所述物联网通信模组;
步骤6-2,所述物联网通信模组调用内置的安全模块采用所述物联网平台的公钥对所述平台登录请求进行加密得到第一密文信息,采集当前时间形成第一时间戳并采用自身的数字证书的私钥对第一时间戳进行签名得到第一签名信息,然后将所述第一密文信息、所述第一签名信息以及所述设备标识ID打包形成登录信息;
步骤6-3,所述物联网通信模组将所述登录信息发送给所述物联网平台;
步骤6-4,所述物联网平台基于所述登录信息里的设备标识ID向所述安全认证管理系统请求查询获取所述物联网通信模组的数字证书;
步骤6-5,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述第一签名信息进行解密验签,并计算解密后获得的第一时间戳与当前时间之间的第一差值;
步骤6-6,判断该第一差值是否小于第一设定阈值,如果小于,则对所述物联网通信模组的身份认证成功并进入步骤6-7,如果大于等于,则对所述物联网通信模组的身份认证失败并直接结束平台登录流程;
步骤6-7,所述物联网平台采用自身的私钥对所述第一密文信息进行解密,得到平台登录请求并进行登录处理。
进一步的,上述步骤6具体包括:
步骤6-8,所述物联网平台形成登录结果;
步骤6-9,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述登录结果进行加密得到第二密文信息,采集当前时间形成第二时间戳并采用自身的数字证书的私钥对所述第二时间戳进行签名得到第二签名信息,然后将所述第二密文信息、所述第二签名信息打包形成登录反馈信息;
步骤6-10,所述物联网平台将所述登录反馈信息发送给所述物联网通信模组;
步骤6-11,所述物联网通信模组采用所述物联网平台的公钥对所述第二签名信息进行解密验签,并计算解密后获得的第二时间戳与当前时间之间的第二差值;
步骤6-12,判断该第二差值是否小于第二设定阈值,如果小于,则对所述物联网平台的身份认证成功并进入步骤6-13,如果大于等于,则对所述物联网平台身份认证失败并直接结束平台登录流程;
步骤6-13,所述物联网通信模组采用自身的数字证书的私钥对所述第二密文信息进行解密,得到登录结果,并在登录结果为登录成功时,完成所述物联网终端安全登录所述物联网平台。
进一步的,步骤5和步骤6之间还包括:
所述物联网通信模组返回数字证书的配置状态给所述物联网终端;
所述物联网终端形成安全通道打开指令,并通过AT命令或API方式发送给所述物联网通信模组;
所述物联网通信模组与所述物联网平台的安全网关之间建立双向认证的TLS安全通道,并将安全通道状态返回给所述物联网终端。
本发明第三方面提供一种基于物联网通信模组的数字证书签发系统,包括物联网通信模组以及物联网平台,所述物联网平台包括设备注册系统、安全网关和安全认证管理系统;
所述物联网通信模组,用于在线获取设备标识ID并触发形成数字证书请求,对所述安全网关单向认证,并通过单向认证的TLS安全通道将所述数字证书请求发送给所述安全认证管理系统,所述设备标识ID由物联网平台的设备注册系统生成;
所述安全认证管理系统从所述数字证书请求中提取出所述设备标识ID,并请求所述设备注册系统验证所述设备标识ID,并在验证结果为正确时,基于数字证书请求签发数字证书,并返回给所述物联网通信模组;
所述物联网通信模组将所述数字证书写入内置的安全模块中。
基于上述,还包括用户终端和物联网终端,所述用户终端与所述物联网平台进行通信连接,所述物联网终端借助所述物联网通信模组实现与物联网平台的通信连接;
所述用户终端,根据获取的物联网通信模组序列号生成注册请求,并发送给所述物联网平台;
所述物联网平台的设备注册系统,基于所述注册请求完成对所述物联网通信模组的设备注册,并返回设备标识ID给所述用户终端;
所述物联网终端,获取用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式将所述设备标识ID配置给所述物联网通信模组。
本发明实现对物联网通信模组数字证书的在线签发,不需要将物联网通信模组拆下来再进行物联网通信模组的数字证书签发和更换,简化了物联网通信模组的数字证书签发、更换机制,解决了传统的数字证书签发流程繁琐,签发效率低的问题,提升物联网通信模组的设备管理、证书管理的效率。同时,本发明能够实现无证书配置时的物联网通信模组与物联网平台之间双向身份认证的目的,进一步提升了物联网平台对物联网通信模组数字证书签发的安全性、可靠性。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明所述数字证书签发方法的流程图;
图2示出本发明所述设备标识ID的获取流程图;
图3示出本发明物联网终端安全登录物联网平台的方法流程图;
图4示出本发明所述数字证书签发系统的框图。
图5示出本发明所述数字证书签发系统的另一种结组成框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出本发明一种基于物联网通信模组的数字证书签发方法的流程图。
如图1所示,本发明第一方面提出一种基于物联网通信模组的数字证书签发方法,包括:
步骤1,物联网通信模组在线获取设备标识ID,并基于设备标识ID触发生成数字证书请求,其中所述数字证书请求至少包括设备标识ID,所述设备标识ID由物联网平台的设备注册系统生成;
步骤2,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,并将所述数字证书请求通过上述TLS安全通道发送给所述物联网平台的安全认证管理系统;
步骤3,所述安全认证管理系统从所述数字证书请求中提取出设备标识ID,并请求所述设备注册系统验证所述设备标识ID;
步骤4,待验证所述设备标识ID正确时,所述安全认证管理系统基于所述数字证书请求签发数字证书,并返回给所述物联网通信模组;
步骤5,所述物联网通信模组将数字证书写入内置的安全模块中。
可以理解,在步骤4中,如果所述设备标识ID验证不正确,则直接结束数字证书签发流程;在步骤5完成后,所述物联网通信模组返回数字证书的配置状态给所述物联网终端。
可以理解,所述安全认证管理系统基于设备标识ID签发数字证书,并建立设备标识ID与对应数字证书的映射表,以便于后续所述物联网平台查询获取各个物联网通信模组的数字证书状态。
进一步的,如图2所示,物联网通信模组在线获取设备标识ID,具体包括:
步骤1.1,用户终端获取所述物联网通信模组的序列号,并基于序列号形成注册请求发送给所述物联网平台的设备注册系统;
步骤1.2,所述设备注册系统基于注册请求完成对所述物联网通信模组的设备注册,并返回所述设备标识ID给用户终端;
步骤1.3,所述物联网终端,获取所述用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式配置给所述物联网通信模组。
进一步的,上述步骤2中,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,具体包括:
所述物联网通信模组与所述安全网关进行握手,并向所述安全网关发送单向认证请求,所述安全网关将自身的数字证书返回给所述物联网通信模组;
所述物联网通信模组请求CA机构验证所述安全网关的数字证书的有效性,如果验证有效,则继续数字证书签发流程,如果验证无效,则直接结束数字证书签发流程。
需要说明的是,由于物联网通信模组前期并未配置自身的数字证书,因此所述安全网关无法基于数字证书的方式对所述物联网通信模组认证,且只能形成所述物联网通信模组对安全网关的单向认证。然而单向认证具有一定风险,比如存在其它非法设备冒名申请数字证书的情况,本发明在所述物联网通信模组对安全网关单向认证之后,通过在数字证书请求中置入设备标识ID,当认证管理系统在接收到数字证书请求时,可以请求设备注册系统验证设备标识ID,实现物联网平台对物联网通信模组的身份认证,进而弥补前述单向认证的风险,可以使无证书配置时的物联网通信模组与物联网平台之间实现双向身份认证的目的,进一步提升了物联网平台对物联网通信模组数字证书签发的安全性、可靠性。
优选的,所述物联网通信模组包括NB-IoT物联网通信模组,还包括4G物联网通信模组、5G物联网通信模组中的任意一种,但不限于此。
可以理解,本发明针对不同的应用场景,可以提供两种证书签发机制。当4G物联网通信模组或5G物联网通信模组工作时,可以采用TLS安全通道完成证书请求、证书下载等,实现无人员参与的自动化证书签发机制,不需要将物联网通信模组拆下来再进行物联网通信模组的数字证书签发和更换,简化了物联网通信模组的数字证书签发、更换机制,解决了传统的数字证书签发流程繁琐,签发效率低的问题,提升物联网通信模组的设备管理、证书管理的效率;当4G物联网通信模组或5G物联网通信模组无法工作,只有NB-IoT物联网通信模组可以工作时,则可以通过串口总线对多个物联网通信模组进行批量离线灌装数字证书。
本发明第二方面还提出一种基于物联网通信模组的通信方法,包括前述的数字证书签发方法,还包括:
步骤6,所述物联网终端基于所述物联网通信模组以及对应的数字证书安全登录所述物联网平台;
步骤7,所述物联网终端与所述物联网平台进行业务数据交互。
进一步的,如图3所示,上述步骤6具体包括:
步骤6-1,所述物联网终端形成平台登录请求,并通过AT命令或API方式发送给所述物联网通信模组;
步骤6-2,所述物联网通信模组调用内置的安全模块采用所述物联网平台的公钥对所述平台登录请求进行加密得到第一密文信息,采集当前时间形成第一时间戳并采用自身的数字证书的私钥对所述第一时间戳进行签名得到第一签名信息,然后将所述第一密文信息、所述第一签名信息以及所述设备标识ID打包形成登录信息;
步骤6-3,所述物联网通信模组将所述登录信息发送给所述物联网平台;
步骤6-4,所述物联网平台基于所述登录信息里的设备标识ID向所述安全认证管理系统请求查询获取所述物联网通信模组的数字证书;
步骤6-5,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述第一签名信息进行解密验签,并计算解密后获得的第一时间戳与当前时间之间的第一差值;
步骤6-6,判断该第一差值是否小于第一设定阈值,如果小于,则对所述物联网通信模组的身份认证成功并进入步骤6-7,如果大于等于,则对所述物联网通信模组的身份认证失败并直接结束平台登录流程;
步骤6-7,所述物联网平台采用自身的私钥对所述第一密文信息进行解密,得到平台登录请求并进行登录处理。
进一步的,如图3所示,上述步骤6还包括:
步骤6-8,所述物联网平台形成登录结果;
步骤6-9,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述登录结果进行加密得到第二密文信息,采集当前时间形成第二时间戳并采用自身的数字证书的私钥对第二时间戳进行签名得到第二签名信息,然后将所述第二密文信息、所述第二签名信息打包形成登录反馈信息;
步骤6-10,所述物联网平台将所述登录反馈信息发送给所述物联网通信模组;
步骤6-11,所述物联网通信模组采用所述物联网平台的公钥对所述第二签名信息进行解密验签,并计算解密后获得的第二时间戳与当前时间之间的第二差值;
步骤6-12,判断该第二差值是否小于第二设定阈值,如果小于,则对所述物联网平台的身份认证成功并进入步骤6-13,如果大于等于,则对所述物联网平台身份认证失败并直接结束平台登录流程;
步骤6-13,所述物联网通信模组采用自身的数字证书的私钥对所述第二密文信息进行解密,得到登录结果,并在登录结果为登录成功时,完成所述物联网终端安全登录所述物联网平台。
进一步的,步骤5和步骤6之间还包括:
所述物联网通信模组返回数字证书的配置状态给所述物联网终端;
所述物联网终端形成安全通道打开指令,并通过AT命令或API方式发送给所述物联网通信模组;
所述物联网通信模组与所述物联网平台的安全网关之间建立双向认证的TLS安全通道,并将安全通道状态返回给所述物联网终端。
图4示出本发明一种基于物联网通信模组的数字证书签发系统的框图。
如图4所示,本发明第三方面提供一种基于物联网通信模组的数字证书签发系统,包括物联网通信模组以及物联网平台,所述物联网平台包括设备注册系统、安全网关和安全认证管理系统;
所述物联网通信模组,用于在线获取设备标识ID并触发形成数字证书请求,对所述安全网关单向认证,并通过单向认证的TLS安全通道将所述数字证书请求发送给所述安全认证管理系统,所述设备标识ID由物联网平台的设备注册系统生成;
所述安全认证管理系统从所述数字证书请求中提取出所述设备标识ID,并请求所述设备注册系统验证所述设备标识ID,并在验证结果为正确时,基于数字证书请求签发数字证书,并返回给所述物联网通信模组;
所述物联网通信模组将所述数字证书写入内置的安全模块中。
图5示出了本发明所述数字证书签发系统的另一种组成框图。
如图5所示,所述数字证书签发系统还包括用户终端和物联网终端,所述用户终端与所述物联网平台进行通信连接,所述物联网终端借助所述物联网通信模组实现与物联网平台的通信连接;
所述用户终端,根据获取的物联网通信模组序列号生成注册请求,并发送给所述物联网平台;
所述物联网平台的设备注册系统,基于所述注册请求完成对所述物联网通信模组的设备注册,并返回设备标识ID给所述用户终端;
所述物联网终端,获取用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式将所述设备标识ID配置给所述物联网通信模组。
进一步的,所述物联网通信模组内部集成证书请求客户端软件,当用户通过AT命令或API方式将设备标识ID配置给物联网通信模组时,触发证书请求客户端软件形成数字证书请求,并进行证书请求处理。
本发明实现对物联网通信模组数字证书的在线签发,简化了基于物联网通信模组的数字证书签发、更换机制,解决了传统的数字证书签发流程繁琐,签发效率低的问题,提升物联网通信模组的设备管理、证书管理的效率。同时,本发明能够实现无证书配置时的物联网通信模组与物联网平台之间双向身份认证的目的,进一步提升了物联网平台对物联网通信模组数字证书签发的安全性、可靠性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种物联网通信模组的数字证书签发方法,其特征在于,包括:
步骤1,物联网通信模组在线获取设备标识ID,并基于设备标识ID触发生成数字证书请求,其中所述数字证书请求至少包括设备标识ID,所述设备标识ID由物联网平台的设备注册系统生成;
步骤2,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,并将所述数字证书请求通过上述TLS安全通道发送给所述物联网平台的安全认证管理系统;
步骤3,所述安全认证管理系统从所述数字证书请求中提取出设备标识ID,并请求所述设备注册系统验证所述设备标识ID;
步骤4,待验证所述设备标识ID正确时,所述安全认证管理系统基于所述数字证书请求签发数字证书,并返回给所述物联网通信模组;
步骤5,所述物联网通信模组将数字证书写入内置的安全模块中。
2.根据权利要求1所述的一种基于物联网通信模组的数字证书签发方法,其特征在于:物联网通信模组在线获取设备标识ID,具体包括:
步骤1.1,用户终端获取所述物联网通信模组的序列号,并基于序列号形成注册请求发送给所述物联网平台的设备注册系统;
步骤1.2,所述设备注册系统基于所述注册请求完成对所述物联网通信模组的设备注册,并返回设备标识ID给所述用户终端;
步骤1.3,所述物联网终端,获取所述用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式配置给所述物联网通信模组。
3.根据权利要求1或2所述的一种基于物联网通信模组的数字证书签发方法,其特征在于,上述步骤2中,所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道,具体包括:
所述物联网通信模组与所述安全网关进行握手,并向所述安全网关发送单向认证请求,所述安全网关将自身的数字证书返回给所述物联网通信模组;
所述物联网通信模组请求CA机构验证所述安全网关的数字证书的有效性,如果验证有效,则继续数字证书签发流程,如果验证无效,则直接结束数字证书签发流程。
4.根据权利要求1或2所述的一种基于物联网通信模组的数字证书签发方法,其特征在于,所述物联网通信模组包括NB-IoT物联网通信模组,还包括4G物联网通信模组、5G物联网通信模组中的任意一种,但不限于此。
5.一种基于物联网通信模组的通信方法,其特征在于,包括权利要求1-4任一项所述的数字证书签发方法,还包括:
步骤6,所述物联网终端基于所述物联网通信模组以及对应的数字证书安全登录所述物联网平台;
步骤7,所述物联网终端与所述物联网平台进行业务数据交互。
6.根据权利要求5所述的通信方法,其特征在于,上述步骤6具体包括:
步骤6-1,所述物联网终端形成平台登录请求,并通过AT命令或API方式发送给所述物联网通信模组;
步骤6-2,所述物联网通信模组调用内置的安全模块,采用所述物联网平台的公钥对所述平台登录请求进行加密得到第一密文信息,采集当前时间形成第一时间戳并采用自身的数字证书的私钥对所述第一时间戳进行签名得到第一签名信息,然后将所述第一密文信息、所述第一签名信息以及所述设备标识ID打包形成登录信息;
步骤6-3,所述物联网通信模组将所述登录信息发送给所述物联网平台;
步骤6-4,所述物联网平台基于所述登录信息里的设备标识ID向所述安全认证管理系统请求查询获取所述物联网通信模组的数字证书;
步骤6-5,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述第一签名信息进行解密验签,并计算解密后获得的第一时间戳与当前时间之间的第一差值;
步骤6-6,判断该第一差值是否小于第一设定阈值,如果小于,则对所述物联网通信模组的身份认证成功并进入步骤6-7,如果大于等于,则对所述物联网通信模组的身份认证失败并直接结束平台登录流程;
步骤6-7,所述物联网平台采用自身的私钥对所述第一密文信息进行解密,得到平台登录请求并进行登录处理。
7.根据权利要求6所述的通信方法,其特征在于,上述步骤6具体包括:
步骤6-8,所述物联网平台形成登录结果;
步骤6-9,所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述登录结果进行加密得到第二密文信息,采集当前时间形成第二时间戳并采用自身的私钥对所述第二时间戳进行签名得到第二签名信息,然后将所述第二密文信息、所述第二签名信息打包形成登录反馈信息;
步骤6-10,所述物联网平台将所述登录反馈信息发送给所述物联网通信模组;
步骤6-11,所述物联网通信模组采用所述物联网平台的公钥对所述第二签名信息进行解密验签,并计算解密后获得的第二时间戳与当前时间之间的第二差值;
步骤6-12,判断该第二差值是否小于第二设定阈值,如果小于,则对所述物联网平台的身份认证成功并进入步骤6-13,如果大于等于,则对所述物联网平台身份认证失败并直接结束平台登录流程;
步骤6-13,所述物联网通信模组采用自身的数字证书的私钥对所述第二密文信息进行解密,得到登录结果,并在登录结果为登录成功时,完成所述物联网终端安全登录所述物联网平台。
8.根据权利要求5-7任一项所述的一种基于物联网通信模组的数字证书签发方法,其特征在于,步骤5和步骤6之间还包括:
所述物联网通信模组返回数字证书的配置状态给所述物联网终端;
所述物联网终端形成安全通道打开指令,并通过AT命令或API方式发送给所述物联网通信模组;
所述物联网通信模组与所述物联网平台的安全网关之间建立双向认证的TLS安全通道,并将安全通道状态返回给所述物联网终端。
9.一种基于物联网通信模组的数字证书签发系统,其特征在于,包括物联网通信模组以及物联网平台,所述物联网平台包括设备注册系统、安全网关和安全认证管理系统;
所述物联网通信模组,用于在线获取设备标识ID并触发形成数字证书请求,对所述安全网关单向认证,并通过单向认证的TLS安全通道将所述数字证书请求发送给所述安全认证管理系统,所述设备标识ID由物联网平台的设备注册系统生成;
所述安全认证管理系统从所述数字证书请求中提取出所述设备标识ID,并请求所述设备注册系统验证所述设备标识ID,并在验证结果为正确时,基于数字证书请求签发数字证书,并返回给所述物联网通信模组;
所述物联网通信模组将所述数字证书写入内置的安全模块中。
10.根据权利要求9所述的一种基于物联网通信模组的数字证书签发系统,其特征在于,还包括用户终端和物联网终端,所述用户终端与所述物联网平台进行通信连接,所述物联网终端借助所述物联网通信模组实现与物联网平台的通信连接;
所述用户终端,根据获取的物联网通信模组序列号生成注册请求,并发送给所述物联网平台;
所述物联网平台的设备注册系统,基于所述注册请求完成对所述物联网通信模组的设备注册,并返回设备标识ID给所述用户终端;
所述物联网终端,获取用户终端提供的关于物联网通信模组的设备标识ID,并以AT命令或API方式将所述设备标识ID配置给所述物联网通信模组。
CN202010721412.XA 2020-07-24 2020-07-24 基于物联网通信模组的数字证书签发方法及系统 Active CN111786799B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010721412.XA CN111786799B (zh) 2020-07-24 2020-07-24 基于物联网通信模组的数字证书签发方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010721412.XA CN111786799B (zh) 2020-07-24 2020-07-24 基于物联网通信模组的数字证书签发方法及系统

Publications (2)

Publication Number Publication Date
CN111786799A true CN111786799A (zh) 2020-10-16
CN111786799B CN111786799B (zh) 2022-02-11

Family

ID=72764872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010721412.XA Active CN111786799B (zh) 2020-07-24 2020-07-24 基于物联网通信模组的数字证书签发方法及系统

Country Status (1)

Country Link
CN (1) CN111786799B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887199A (zh) * 2021-01-28 2021-06-01 深圳云里物里科技股份有限公司 网关和云平台及其配置方法、装置、计算机可读存储介质
CN113163375A (zh) * 2021-03-31 2021-07-23 郑州信大捷安信息技术股份有限公司 一种基于NB-IoT通信模组的空中发证方法和系统
CN113691515A (zh) * 2021-08-16 2021-11-23 江苏紫清信息科技有限公司 一种物联网设备安全快速接入管理平台的方法
CN116405214A (zh) * 2023-01-18 2023-07-07 山东奥邦交通设施工程有限公司 一种交通信息发布情报板接入安全控制方法及系统
CN116566751A (zh) * 2023-07-11 2023-08-08 飞天诚信科技股份有限公司 一种物联网终端设备的注册和连接实现方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932149A (zh) * 2012-10-30 2013-02-13 武汉理工大学 一种集成ibe数据加密系统
US8392980B1 (en) * 2008-08-22 2013-03-05 Avaya Inc. Trusted host list for TLS sessions
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
CN107171805A (zh) * 2017-05-17 2017-09-15 济南浪潮高新科技投资发展有限公司 一种物联网终端数字证书签发系统和方法
CN108512862A (zh) * 2018-05-30 2018-09-07 博潮科技(北京)有限公司 基于无证书标识认证技术的物联网终端安全认证管控平台
CN110113359A (zh) * 2019-05-28 2019-08-09 济南浪潮高新科技投资发展有限公司 一种物联网平台协议适配方法
CN110463137A (zh) * 2017-04-13 2019-11-15 阿姆有限公司 减少带宽的握手通信

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
US8392980B1 (en) * 2008-08-22 2013-03-05 Avaya Inc. Trusted host list for TLS sessions
CN102932149A (zh) * 2012-10-30 2013-02-13 武汉理工大学 一种集成ibe数据加密系统
CN110463137A (zh) * 2017-04-13 2019-11-15 阿姆有限公司 减少带宽的握手通信
CN107171805A (zh) * 2017-05-17 2017-09-15 济南浪潮高新科技投资发展有限公司 一种物联网终端数字证书签发系统和方法
CN108512862A (zh) * 2018-05-30 2018-09-07 博潮科技(北京)有限公司 基于无证书标识认证技术的物联网终端安全认证管控平台
CN110113359A (zh) * 2019-05-28 2019-08-09 济南浪潮高新科技投资发展有限公司 一种物联网平台协议适配方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SUNG-MIN KIM等: "A method for service identification of SSL/TLS encrypted traffic with the relation of session ID and Server IP", 《2015 17TH ASIA-PACIFIC NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM (APNOMS)》 *
欧阳星明等: "对SSL握手协议密钥交换方式的改进与应用", 《计算机工程与科学》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887199A (zh) * 2021-01-28 2021-06-01 深圳云里物里科技股份有限公司 网关和云平台及其配置方法、装置、计算机可读存储介质
CN113163375A (zh) * 2021-03-31 2021-07-23 郑州信大捷安信息技术股份有限公司 一种基于NB-IoT通信模组的空中发证方法和系统
CN113163375B (zh) * 2021-03-31 2022-02-11 郑州信大捷安信息技术股份有限公司 一种基于NB-IoT通信模组的空中发证方法和系统
CN113691515A (zh) * 2021-08-16 2021-11-23 江苏紫清信息科技有限公司 一种物联网设备安全快速接入管理平台的方法
CN116405214A (zh) * 2023-01-18 2023-07-07 山东奥邦交通设施工程有限公司 一种交通信息发布情报板接入安全控制方法及系统
CN116405214B (zh) * 2023-01-18 2024-03-08 山东高速股份有限公司 一种交通信息发布情报板接入安全控制方法及系统
CN116566751A (zh) * 2023-07-11 2023-08-08 飞天诚信科技股份有限公司 一种物联网终端设备的注册和连接实现方法及装置
CN116566751B (zh) * 2023-07-11 2023-09-19 飞天诚信科技股份有限公司 一种物联网终端设备的注册和连接实现方法及装置

Also Published As

Publication number Publication date
CN111786799B (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
CN111786799B (zh) 基于物联网通信模组的数字证书签发方法及系统
ES2887258T3 (es) Procedimiento para realizar una autenticación de dos factores
CN114154135B (zh) 基于国密算法的车联网通信安全认证方法、系统及设备
KR101759193B1 (ko) 안전한 전자 거래를 위한 네트워크 인증 방법
US8112787B2 (en) System and method for securing a credential via user and server verification
KR101459802B1 (ko) 암호화 증명의 재검증에 기반을 둔 인증 위임
CN101027676B (zh) 用于可控认证的个人符记和方法
CN111435913B (zh) 一种物联网终端的身份认证方法、装置和存储介质
CN111783068B (zh) 设备认证方法、系统、电子设备及存储介质
US20110213959A1 (en) Methods, apparatuses, system and related computer program product for privacy-enhanced identity management
KR102065138B1 (ko) 모바일 장치와 장치의 최초 접촉 확립에 대해 보안을 제공하는 방법 및 시스템
EP1886204B1 (en) Transaction method and verification method
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
CN113163375B (zh) 一种基于NB-IoT通信模组的空中发证方法和系统
CN114158046B (zh) 一键登录业务的实现方法和装置
US11985118B2 (en) Computer-implemented system and authentication method
CN113660271B (zh) 一种车联网的安全认证方法及装置
EP1623551A1 (en) Network security method and system
US7890751B1 (en) Method and system for increasing data access in a secure socket layer network environment
CN111295653B (zh) 改进安全网络中设备的注册
CN114697137B (zh) 应用程序的登录方法、装置、设备及存储介质
KR20220153602A (ko) 애플리케이션별 키를 인증하고 이런 인증을 요청하는 방법 및 디바이스
KR101737925B1 (ko) 도전-응답 기반의 사용자 인증 방법 및 시스템
TW202139035A (zh) 經由應用程式之安全且文件化之金鑰存取
CN115884171A (zh) 基于实体密钥认证与会话密钥加密的安全数据采集方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Digital certificate issuance method and system based on IoT communication module

Granted publication date: 20220211

Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2024980007004

PE01 Entry into force of the registration of the contract for pledge of patent right