CN112911588A - 一种轻量级的窄带物联网安全传输方法和系统 - Google Patents

一种轻量级的窄带物联网安全传输方法和系统 Download PDF

Info

Publication number
CN112911588A
CN112911588A CN202110155918.3A CN202110155918A CN112911588A CN 112911588 A CN112911588 A CN 112911588A CN 202110155918 A CN202110155918 A CN 202110155918A CN 112911588 A CN112911588 A CN 112911588A
Authority
CN
China
Prior art keywords
iot
digital certificate
signature information
platform
adopting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110155918.3A
Other languages
English (en)
Inventor
李汶昊
王广辉
李鑫
孙晓鹏
廖正赟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202110155918.3A priority Critical patent/CN112911588A/zh
Publication of CN112911588A publication Critical patent/CN112911588A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种轻量级的窄带物联网安全传输方法和系统。该方法包括:步骤1:预置NB‑IoT平台的数字证书公钥;步骤2:基于业务需求产生第一明文数据,并采用NB‑IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;步骤3:采用NB‑IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;步骤4:将所述第一签名信息与NB‑IoT终端的数字证书SN号发送至NB‑IoT平台,以供所述NB‑IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。本发明能够实现全链路通信的双向身份可信和安全通信,保障NB‑IoT设备通信的保密性、完整性和不可篡改性。

Description

一种轻量级的窄带物联网安全传输方法和系统
技术领域
本发明涉及窄带物联网技术领域,尤其涉及一种轻量级的窄带物联网安全传输方法和系统。
背景技术
在万物互联时代,人们期待借助物联网实现人与物和物与物之间的信息交互和通信,进而获得更为便捷的生活体验。基于蜂窝的窄带物联网(Narrow Band Internet ofThings, NB-IoT)是万物互联网络的一个重要分支,具有连接海量化、业务碎片化、服务开放化的特点。
目前,NB-IoT应用场景有:智慧门锁、智慧城市、智慧表计、智慧路灯等等,物联网云平台对NB模块上报的数据进行整合,并进行有效数据的分析和使用。
在海量NB-IoT终端设备连接统一的物联网云平台的场景下,各类采集数据通过NB-IoT网络传输的过程中有数据泄露的风险,这就需要设备端与平台侧之间的双向身份认证和安全通道,以实现设备端至平台侧的无线通信保密性、完整性和不可篡改性。尤其针对功耗敏感型NB-IoT终端设备,如何保证在轻量运载情况下实现NB-IoT终端设备和云平台服务数据通信的安全可靠性是当前亟待解决的问题。
发明内容
为了解决NB-IoT终端设备与物联网云平台之间在进行数据传输时存在的数据泄露的问题,本发明提供一种轻量级的窄带物联网安全传输方法和系统,能够实现全链路通信的双向身份可信和安全通信,保障 NB-IoT设备通信的保密性、完整性和不可篡改性。
第一方面,本发明提供一种轻量级的窄带物联网安全传输方法,应用于NB-IoT终端,所述方法包括:
步骤1:预置NB-IoT平台的数字证书公钥;
步骤2:基于业务需求产生第一明文数据,并采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;
步骤3:采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;
步骤4:将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
进一步地,该方法还包括:
步骤5:接收NB-IoT平台发送的第二签名信息,所述第二签名信息是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的;
步骤6:采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。
第二方面,本发明还提供一种轻量级的窄带物联网安全传输方法,应用于NB-IoT平台,所述方法包括:
步骤1:接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;其中,所述第一签名信息是NB-IoT终端采用NB-IoT平台的数字证书公钥对自身基于业务需求产生的第一明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第一密文数据进行签名后得到的;
步骤2:基于所述数字证书SN号向CA系统查询获取所述NB-IoT终端的数字证书,并采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
进一步地,该方法还包括:
步骤3:基于业务需求产生第二明文数据,并基于对端NB-IoT终端的数字证书SN号查询获取对应的数字证书,采用所述数字证书公钥对所述第二明文数据进行加密得到第二密文数据;
步骤4:采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;
步骤5:将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
第三方面,本发明提供一种轻量级的窄带物联网安全传输系统,包括:NB-IoT终端、NB-IoT平台以及CA系统;其中,所述NB-IoT终端包括MCU、密码模块和NB-IoT通信模组;
所述NB-IoT终端,用于预置NB-IoT平台的数字证书公钥;
所述MCU,用于基于业务需求产生第一明文数据;
所述密码模块,用于采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;
所述NB-IoT通信模组,用于将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
进一步地,所述NB-IoT通信模组,还用于接收NB-IoT平台发送的第二签名信息,所述第二签名信是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的;
对应地,所述密码模块,还用于采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。
进一步地,所述MCU,还用于基于所述第二明文数据进行相关业务处理。
进一步地,所述NB-IoT平台包括安全服务模块和密码机;其中:
所述NB-IoT平台,用于接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;
所述安全服务模块,用于基于数字证书SN号向CA系统查询获取NB-IoT终端的数字证书;
所述密码机,用于采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
进一步地,所述NB-IoT平台还包括NB-IoT应用系统;所述NB-IoT应用系统,用于基于所述第一明文数据进行平台测的相关业务处理。
进一步地,所述NB-IoT应用系统,还用于基于业务需求产生第二明文数据;
对应地,所述密码机,还用于基于对端NB-IoT终端的数字证书公钥对所述第二明文数据进行加密得到第二密文数据;采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;
所述NB-IoT平台,还用于将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
本发明的有益效果:
(1)采用一套轻量级的非对称加解密机制,从传递数字证书改为传递数字证书SN号,大大简化了NB-IoT终端和平台侧服务端交互的数据量,减少了网络带宽资源消耗。
(2)通过采用NB-IoT终端和NB-IoT平台的数字证书密钥对传输的明文数据进行加解密、签名和验签,实现了全链路通信的双向身份可信和安全通信,保障 NB-IoT设备通信的保密性、完整性和不可篡改性。
(3)通过利用国密SM2加解密运算时每次均引入临时公私钥参与的特性,对业务报文内容中NB-IoT终端唯一标识和密文采样进行关联,进而实现防重放攻击。
附图说明
图1为本发明实施例提供的一种轻量级的窄带物联网安全传输方法的流程图之一;
图2为本发明实施例提供的一种轻量级的窄带物联网安全传输方法的流程图之一;
图3为本发明实施例提供的一种轻量级的窄带物联网安全传输系统的框图之一;
图4为本发明实施例提供的一种轻量级的窄带物联网安全传输系统的框图之二一;
图5为本发明实施例提供的一种轻量级的窄带物联网安全传输方法的流程图之三;
图6为本发明实施例提供的一种轻量级的窄带物联网安全传输方法的流程图之四。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明实施例提供一种轻量级的窄带物联网安全传输方法,应用于NB-IoT终端,所述方法包括:
S101:预置NB-IoT平台的数字证书公钥;
S102:基于业务需求产生第一明文数据,并采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;
S103:采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;
S104:将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
本发明实施例的一种轻量级的窄带物联网安全传输方法,采用一套轻量级的非对称加解密机制,从传递数字证书改为传递数字证书SN号,大大简化了NB-IoT终端和平台侧服务端交互的数据量,减少了网络带宽资源消耗。并且,通过采用NB-IoT终端和NB-IoT平台的数字证书密钥对传输的明文数据进行加解密、签名和验签,实现了全链路通信的双向身份可信和安全通信,保障 NB-IoT设备通信的保密性、完整性和不可篡改性。
在上述实施例的基础上,作为一种可实施方式,上述实施例1中,采用国密SM2算法进行加解密。
具体地,本实施例主要利用国密SM2加解密运算时每次均引入临时公私钥参与的特性,对业务报文内容中NB-IoT终端唯一标识和密文采样进行关联,进而实现防重放攻击。
在上述各实施例的基础上,该方法还包括以下步骤:
S105:接收NB-IoT平台发送的第二签名信息,所述第二签名信息是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的;
S106:采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。
可以理解,在实际应用中,NB-IoT终端解密得到第二明文数据后,基于第二明文数据进行相关业务处理,处理好的业务数据若需要传输至NB-IoT平台,可参照实施例1中第一明文数据的传输过程进行数据传输。
实施例2
本发明实施例提供一种轻量级的窄带物联网安全传输方法,应用于NB-IoT平台,所述方法包括:
S201:接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;其中,所述第一签名信息是NB-IoT终端采用NB-IoT平台的数字证书公钥对自身基于业务需求产生的第一明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第一密文数据进行签名后得到的;
S202:基于所述数字证书SN号向CA系统查询获取所述NB-IoT终端的数字证书,并采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
本发明实施例的一种轻量级的窄带物联网安全传输方法,采用一套轻量级的非对称加解密机制,从传递数字证书改为传递数字证书SN号,大大简化了NB-IoT终端和平台侧服务端交互的数据量,减少了网络带宽资源消耗。并且,通过采用NB-IoT终端和NB-IoT平台的数字证书密钥对传输的明文数据进行加解密、签名和验签,实现了全链路通信的双向身份可信和安全通信,保障 NB-IoT设备通信的保密性、完整性和不可篡改性。
在上述实施例的基础上,作为一种可实施方式,上述实施例2中,采用国密SM2算法进行加解密。
具体地,本实施例主要利用国密SM2加解密运算时每次均引入临时公私钥参与的特性,对业务报文内容中NB-IoT终端唯一标识和密文采样进行关联,进而实现防重放攻击。
在上述各实施例的基础上,如图2所示,该方法还包括以下步骤:
S203:基于业务需求产生第二明文数据,并基于对端NB-IoT终端的数字证书SN号查询获取对应的数字证书,采用所述数字证书公钥对所述第二明文数据进行加密得到第二密文数据;
S204:采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;
S205:将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
可以理解,在实际应用中,NB-IoT平台解密得到第一明文数据后,基于第一明文数据进行平台侧的相关业务处理,处理好的业务数据若需要传输至NB-IoT终端,可参照本实施例中第二明文数据的传输过程进行数据传输。
实施例3
为了实现上述的轻量级的窄带物联网安全传输方法,本发明实施例还提供一种轻量级的窄带物联网安全传输系统,如图3所示,包括:NB-IoT终端、NB-IoT平台以及CA系统;其中,所述NB-IoT终端包括MCU、密码模块和NB-IoT通信模组;
所述NB-IoT终端用于预置NB-IoT平台的数字证书公钥;所述MCU用于基于业务需求产生第一明文数据;所述密码模块用于采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;所述NB-IoT通信模组用于将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
具体地,NB-IoT终端的工作流程如下:NB-IoT终端的MCU产生第一明文数据,并调用密码模块请求对第一明文数据进行加密;所述密码模块接收MCU的调用请求对所述第一明文数据进行加密,然后将加密后得到的第一密文数据返回给所述MCU;NB-IoT终端的MCU再次调用所述密码模块采用本端私钥对第一密文数据进行签名;所述密码模块将签名后得到的第一签名信息返回给所述MCU;NB-IoT终端的MCU调用NB-IoT通信模组通过NB-IoT网络发送第一签名信息和NB-IoT终端的数字证书SN号到所述NB-IoT平台。
在上述实施例的基础上,所述NB-IoT通信模组还用于接收NB-IoT平台发送的第二签名信息,所述第二签名信是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的。
对应地,所述密码模块还用于采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。所述MCU还用于基于所述第二明文数据进行相关业务处理。
具体地,NB-IoT终端的工作流程如下:NB-IoT终端的NB-IoT通信模组收到第二签名信息并传给MCU;所述MCU调用密码模块使用NB-IoT平台的数字证书公钥对第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对第二密文数据进行解密得到第二明文数据;所述MCU根据第二明文数据进行相关业务处理。
实施例4
为了实现上述的轻量级的窄带物联网安全传输方法,本发明实施例还提供一种轻量级的窄带物联网安全传输系统,如图4所示,包括:NB-IoT终端、NB-IoT平台以及CA系统;所述NB-IoT平台包括安全服务模块和密码机;其中:
所述NB-IoT平台用于接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;所述安全服务模块用于基于数字证书SN号向CA系统查询获取NB-IoT终端的数字证书;所述密码机用于采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
具体地,NB-IoT平台的工作流程如下:所述NB-IoT平台收到第一签名信息和NB-IoT终端的数字证书SN号后,调用安全服务模块请求验签、解密;所述安全服务模块根据所述数字证书SN号查询CA系统,得到所述NB-IoT终端的数字证书;所述安全服务模块从所述数字证书获得NB-IoT终端的数字证书公钥,所述密码机使用NB-IoT终端的数字证书公钥对所述第一签名信息验签;待验签通过后,所述密码机使用本端的数字证书私钥对第一密文数据解密,获得第一明文数据。
在上述各实施例的基础上,所述NB-IoT平台还包括NB-IoT应用系统;所述NB-IoT应用系统用于基于所述第一明文数据进行平台测的相关业务处理。
在上述各实施例的基础上,所述NB-IoT应用系统还用于基于业务需求产生第二明文数据;
对应地,所述密码机还用于基于对端NB-IoT终端的数字证书公钥对所述第二明文数据进行加密得到第二密文数据;采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;所述NB-IoT平台还用于将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
具体地,NB-IoT平台的工作流程如下:NB-IoT平台的NB-IoT应用系统基于业务需求下发第二明文数据至安全服务模块以请求其调用密码机对所述第二明文数据加密;所述安全服务模块基于对端NB-IoT终端的数字证书SN号,查询CA系统,得到NB-IoT终端的数字证书;所述安全服务模块调用密码机使用NB-IoT终端的数字证书公钥加密第二明文数据得到第二密文数据,然后继续调用密码机使用本端的数字证书私钥对第二密文数据进行签名得到第二签名信息,并组回应报文给NB-IoT应用系统;所述NB-IoT应用系统通过NB-IoT网络下发第二签名信息至NB-IoT终端。
NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据的过程可参考上述实施例,此处不再赘述。
实施例5
在上述各实施例的基础上,本发明实施例还提供一种轻量级的窄带物联网安全传输系统,包括:NB-IoT终端、NB-IoT平台以及CA系统;所述NB-IoT终端基于NB-IoT网络与所述NB-IoT平台进行连接,所述NB-IoT平台与所述CA系统进行网络连接;其中,所述NB-IoT终端包括MCU、密码模块和NB-IoT通信模组;所述NB-IoT平台包括NB-IoT应用系统、安全服务模块和密码机。
具体地,MCU基于终端侧的业务需求产生第一明文数据,并基于接收的第二明文数据进行终端侧的相关业务处理;密码模块用于接收MCU的调用请求,实现对第一明文数据的加密、签名处理,并实现对第二签名信息以及第二密文数据进行验签、解密处理;NB-IoT通信模组,用于实现NB-IoT终端到NB-IoT平台的NB-IoT网络通信,并进行收发相关业务报文。NB-IoT应用系统基于平台侧的业务需求产生第二明文数据,并基于接收的第一明文数据进行平台侧的相关业务处理;安全服务模块,基于对端NB-IoT终端的数字证书SN号,查询CA系统,得到NB-IoT终端的数字证书;密码机用于接收安全服务模块的调用请求,实现对第二明文数据的加密、签名处理,并实现对第一签名信息以及第一密文数据进行验签、解密处理。
作为一种可实施方式,如图5所示,NB-IoT终端向NB-IoT平台上报数据的工作流程为:
步骤A1:NB-IoT终端的MCU产生第一明文数据,并调用密码模块请求其对第一明文数据进行加密;
步骤A2:所述密码模块将加密后得到第一密文数据返回给所述MCU;
步骤A3:NB-IoT终端的MCU再次调用所述密码模块采用本端私钥对第一密文数据进行签名;
步骤A4:所述密码模块将签名后得到的第一签名信息返回给所述MCU;
步骤A5:NB-IoT终端的MCU调用NB-IoT通信模组通过NB-IoT网络发送第一签名信息和NB-IoT终端的数字证书SN号到所述NB-IoT平台的NB-IoT应用系统;
步骤A6:所述NB-IoT应用系统收到第一签名信息和NB-IoT终端的数字证书SN号后,调用安全服务模块请求验签、解密;
步骤A7:所述安全服务模块根据所述SN号查询CA系统,得到所述NB-IoT终端的数字证书;
步骤A8:所述安全服务模块从所述数字证书获得NB-IoT终端的公钥,使用NB-IoT终端的公钥对所述第一签名信息验签;
步骤A9:待验签通过后,所述安全服务模块使用本端的私钥对第一密文数据解密,获得第一明文数据并组回应报文内容返回至NB-IoT应用系统;
步骤A10:所述NB-IoT应用系统根据明文报文内容进行相关业务处理。
作为一种可实施方式,如图6所示,NB-IoT平台向NB-IoT终端下发数据的工作流程为:
步骤B1:NB-IoT平台的NB-IoT应用系统基于业务需求下发第二明文数据至安全服务模块以请求其所述第二明文数据加密;
步骤B2:所述安全服务模块基于对端NB-IoT终端的数字证书SN号,查询CA系统,得到NB-IoT终端的数字证书;
步骤B3:所述安全服务模块调用密码机使用NB-IoT终端的数字证书公钥加密第二明文数据得到第二密文数据,然后继续调用密码机使用本端的私钥对第二密文数据进行签名得到第二签名信息,并组回应报文给NB-IoT应用系统;
步骤B4:所述NB-IoT应用系统通过NB-IoT网络下发报文内容至NB-IoT终端;
步骤B5:NB-IoT终端的NB-IoT通信模组收到报文内容并传给MCU;
步骤B6:所述MCU调用密码模块使用NB-IoT平台的数字证书公钥对第二签名信息进行验签,待验签通过后,采用自身的私钥对第二密文数据进行解密得到第二明文数据;
步骤B7:所述MCU根据第二明文数据进行相关业务处理。
需要说明的是,所述密码模块和所述密码机均分别采用国密SM2算法进行加解密运算处理。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种轻量级的窄带物联网安全传输方法,其特征在于,应用于NB-IoT终端,所述方法包括:
步骤1:预置NB-IoT平台的数字证书公钥;
步骤2:基于业务需求产生第一明文数据,并采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;
步骤3:采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;
步骤4:将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
2.根据权利要求1所述的方法,其特征在于,还包括:
步骤5:接收NB-IoT平台发送的第二签名信息,所述第二签名信息是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的;
步骤6:采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。
3.一种轻量级的窄带物联网安全传输方法,其特征在于,应用于NB-IoT平台,所述方法包括:
步骤1:接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;其中,所述第一签名信息是NB-IoT终端采用NB-IoT平台的数字证书公钥对自身基于业务需求产生的第一明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第一密文数据进行签名后得到的;
步骤2:基于所述数字证书SN号向CA系统查询获取所述NB-IoT终端的数字证书,并采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
4.根据权利要求3所述的方法,其特征在于,还包括:
步骤3:基于业务需求产生第二明文数据,并基于对端NB-IoT终端的数字证书SN号查询获取对应的数字证书,采用所述数字证书公钥对所述第二明文数据进行加密得到第二密文数据;
步骤4:采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;
步骤5:将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
5.一种轻量级的窄带物联网安全传输系统,其特征在于,包括:NB-IoT终端、NB-IoT平台以及CA系统;其中,所述NB-IoT终端包括MCU、密码模块和NB-IoT通信模组;
所述NB-IoT终端,用于预置NB-IoT平台的数字证书公钥;
所述MCU,用于基于业务需求产生第一明文数据;
所述密码模块,用于采用NB-IoT平台的数字证书公钥对所述第一明文数据进行加密得到第一密文数据;采用NB-IoT终端的数字证书私钥对所述第一密文数据进行签名得到第一签名信息;
所述NB-IoT通信模组,用于将所述第一签名信息与NB-IoT终端的数字证书SN号发送至NB-IoT平台,以供所述NB-IoT平台基于所述数字证书SN号对所述第一签名信息进行验签和解密得到所述第一明文数据。
6.根据权利要求5的系统,其特征在于,所述NB-IoT通信模组,还用于接收NB-IoT平台发送的第二签名信息,所述第二签名信是NB-IoT平台采用其对端NB-IoT终端的数字证书公钥对自身基于业务需求产生的第二明文数据先进行加密得到第二密文数据,再采用自身的数字证书私钥对所述第二密文数据进行签名后得到的;
对应地,所述密码模块,还用于采用NB-IoT平台的数字证书公钥对所述第二签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第二密文数据进行解密得到所述第二明文数据。
7.根据权利要求6所述的系统,其特征在于,所述MCU,还用于基于所述第二明文数据进行相关业务处理。
8.根据权利要求5至7任一所述的系统,其特征在于,所述NB-IoT平台包括安全服务模块和密码机;其中:
所述NB-IoT平台,用于接收NB-IoT终端发送的第一签名信息和NB-IoT终端的数字证书SN号;
所述安全服务模块,用于基于数字证书SN号向CA系统查询获取NB-IoT终端的数字证书;
所述密码机,用于采用NB-IoT终端的数字证书公钥对所述第一签名信息进行验签,待验签通过后,采用自身的数字证书私钥对所述第一密文数据进行解密得到所述第一明文数据。
9.根据权利要求8所述的系统,其特征在于,所述NB-IoT平台还包括NB-IoT应用系统;
所述NB-IoT应用系统,用于基于所述第一明文数据进行平台测的相关业务处理。
10.根据权利要求9所述的系统,其特征在于,所述NB-IoT应用系统,还用于基于业务需求产生第二明文数据;
对应地,所述密码机,还用于基于对端NB-IoT终端的数字证书公钥对所述第二明文数据进行加密得到第二密文数据;采用NB-IoT平台的数字证书私钥对第二密文数据进行签名得到第二签名信息;
所述NB-IoT平台,还用于将第二签名信息发送至NB-IoT终端,以供所述NB-IoT终端对所述第二签名信息进行验签和解密得到所述第二明文数据。
CN202110155918.3A 2021-02-04 2021-02-04 一种轻量级的窄带物联网安全传输方法和系统 Withdrawn CN112911588A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110155918.3A CN112911588A (zh) 2021-02-04 2021-02-04 一种轻量级的窄带物联网安全传输方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110155918.3A CN112911588A (zh) 2021-02-04 2021-02-04 一种轻量级的窄带物联网安全传输方法和系统

Publications (1)

Publication Number Publication Date
CN112911588A true CN112911588A (zh) 2021-06-04

Family

ID=76122393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110155918.3A Withdrawn CN112911588A (zh) 2021-02-04 2021-02-04 一种轻量级的窄带物联网安全传输方法和系统

Country Status (1)

Country Link
CN (1) CN112911588A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242548A (zh) * 2021-07-09 2021-08-10 四川大学 5g网络环境下的无线物联网设备通信密钥交换方法
CN115767522A (zh) * 2023-01-09 2023-03-07 中国电子科技集团公司第三十研究所 通信安全一体化设计的物联网应用安全增强系统和方法
WO2023103316A1 (zh) * 2021-12-07 2023-06-15 西安广和通无线通信有限公司 应用管理方法及相关产品

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113242548A (zh) * 2021-07-09 2021-08-10 四川大学 5g网络环境下的无线物联网设备通信密钥交换方法
CN113242548B (zh) * 2021-07-09 2021-09-17 四川大学 5g网络环境下的无线物联网设备通信密钥交换方法
WO2023103316A1 (zh) * 2021-12-07 2023-06-15 西安广和通无线通信有限公司 应用管理方法及相关产品
CN115767522A (zh) * 2023-01-09 2023-03-07 中国电子科技集团公司第三十研究所 通信安全一体化设计的物联网应用安全增强系统和方法

Similar Documents

Publication Publication Date Title
JP3816337B2 (ja) テレコミュニケーションネットワークの送信に対するセキュリティ方法
US8499156B2 (en) Method for implementing encryption and transmission of information and system thereof
EP1394982B1 (en) Methods and apparatus for secure data communication links
CN112911588A (zh) 一种轻量级的窄带物联网安全传输方法和系统
CN101971559A (zh) 能够合法截取加密的业务的方法和装置
CN116614599B (zh) 一种安全加密的视频监控方法、装置及存储介质
CN102547688A (zh) 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN112491550B (zh) 一种基于车联网的移动终端设备可信认证方法及系统
CN105610773A (zh) 一种电能表远程抄表的通讯加密方法
CN114422205B (zh) 一种电力专用cpu芯片网络层数据隧道建立方法
CN107094156A (zh) 一种基于p2p模式的安全通信方法及系统
CN114650173A (zh) 一种加密通讯方法及系统
CN114826659B (zh) 一种加密通讯方法及系统
CN107104888B (zh) 一种安全的即时通信方法
CN115174277B (zh) 基于区块链的数据通信和档案交换方法
CN109492359B (zh) 一种用于身份认证的安全网络中间件及其实现方法和装置
CN101437228B (zh) 基于智能卡的无线业务的实现方法、装置和系统
CN112019553B (zh) 一种基于ibe/ibbe数据共享方法
CN112054905B (zh) 一种移动终端的安全通信方法及系统
CN210839642U (zh) 一种物联网终端数据安全接收、发送的装置
Khan et al. An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA
CN113676330A (zh) 一种基于二级密钥的数字证书申请系统及方法
CN112422563A (zh) 一种基于混合密码技术的气象数据加解密服务系统
CN114301612A (zh) 信息处理方法、通信设备和加密设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20210604