WO2011127804A1

WO2011127804A1 - M2m中数据加密传输的方法、设备及系统

Info

Publication number: WO2011127804A1
Application number: PCT/CN2011/072616
Authority: WO
Inventors: 卞永刚; 牟伦建; 王珏; 张永靖; 黄成�; 丁传锁
Original assignee: 华为技术有限公司
Priority date: 2010-04-16
Filing date: 2011-04-11
Publication date: 2011-10-20
Also published as: CN102223631B; EP2560319A4; EP2560319A1; CN102223631A; EP2560319B1

Description

M2M中数据加密传输的方法、设备及系统

本申请要求于 2010 年 04 月 16 日提交中国专利局，申请号为 201010148632.4, 发明名称为 "M2M 中数据加密传输的方法、设备及系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，尤其涉及一种 M2M中数据加密传输的方法、设备及系统。

背景技术

M2M是机器对机器（Machine_to_Machine )通信的简称，狭义上讲就是机器与机器之间通过 GSM ( Global System for Mobile communications, 全球移动通信系统） /GPRS (General Packet Radio Service, 分组无线业务）、 UMTS ( Universal Mobile Telecommunications System ，通用移动通讯系统) /HSDPA ( High Speed Downlink Packet Access, 高速下行分组接入）和 CDMA (Code Division Multiple Access, 分多址） /EVD0模块实现数据的交换。广义的 M2M还包含人对机器、机器对人通信。

M2M的应用在垂直行业市场中快速增长，这些垂直行业包括：智能家居、安防监控、电子医疗、零售业、物流监控等等；但由于缺乏统一的 M2M标准，垂直行业的 M2M应用通常是由一个厂商提供端到端的解决方案使终端和应用强耦合，造成部署成本偏高；另外，大量部署的垂直应用形成了一个个的信息孤岛，很难做到信息之间的共享，容易造成重复建设。这些都对垂直的 M2M 应用进一步广泛应用有限制作用，因此，构建一个 M2M的水平平台，对应用屏蔽到机器的通信方式，利用标准的接口连接机器和应用，可以形成信息共享，减少 M2M的部署成本，进一步推动 M2M的广泛应用。

通过 M2M平台，终端的信息可以分发到多个应用，由于 M2M应用中艮多信息是属于敏感数据，因此需要进行加密传输。为保证数据加密传输过程中的安全性，目前使用基于会话密钥的对称密钥加密技术对需要传输的数据进行加密。

在实现上述数据加密传输的过程中，发明人发现现有技术中至少存在如下问题：当数据发送端上报数据的数据量比较大时， M2M平台需要对所述加密后的大量上报数据进行解密以及加密处理，造成 M2M平台的运算消耗增加，降低了 M2M平台的性能。

发明内容

本发明的实施例提供一种 M2M中数据加密传输的方法、设备及系统，解决了当数据发送端上报数据的数据量比较大时， M2M平台需要对所述加密后的大量上报数据进行解密以及加密处理，造成 M2M平台的运算消耗增加，降低了 M2M平台的性能的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

一种 M2M中数据加密传输的方法，包括：

判断上报数据的数据量是否超过设定门限值；

若判定所述上报数据的数据量超过设定门限值，则通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密；若判定所述上报数据的数据量没有超过设定门限值，则通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

一种 M2M中数据加密传输的方法，包括：接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密；

若确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密，则将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过用所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密，得到所述数据密钥；

通过所述 M2M平台和数据接收端协商的密钥对所述数据密钥进行加密，并与所述加密后的上报数据一起生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密；

若确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密，则通过所述数据发送端和 M2M平台协商的密钥，对所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据；

通过所述 M2M 平台和数据接收端协商的密钥对所述上报数据进行加密并生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端的上报数据进行加密。

一种数据加密传输的方法，包括：

接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM方式还是对称密钥方式对数据发送端的上报数据进行加密；

若确定所述 M2M平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加后密的数据密钥进行解密，得到所述数据密钥；通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；

若确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密，则通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。

一种数据发送端，包括：

判断单元，用于判断上报数据的数据量是否超过设定门限值；

第一加密单元，用于在所述判断单元判定所述上报数据的数据量超过设定门限值时，通过 KEM-DEM方式对所述上报数据进行加密；

第一生成单元，用于将所述第一加密单元加密得到的加密后的上报数据生成上报报文；

第一发送单元，用于将所述第一生成单元生成的所述上报报文发送到 M2M 平台，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密；

第二加密单元，用于在所述判断单元判定所述上报数据的数据量没有超过设定门限值时，通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密；

第二生成单元，用于将所述第二加密单元得到的加密后的上报数据生成上报报文；

第二发送单元，用于将所述第二生成单元生成的所述上报报文发送到 M2M 平台，所述上 4艮"¾文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

一种 M2M平台，包括：

接收单元，用于接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向 M2M 平台指示所述数据发送端采用了 KEM-DEM 方式还是对称密钥方式对所述数据发送端的上报数据进行加密；

第一解密单元，用于在确定所述数据发送端采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密时，将加密后的数据密钥和加密后的上报数据从所述接收单元接收到的所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密，得到所述数据密钥；第一加密单元，用于通过所述 M2M平台和数据接收端协商的密钥对所述第一解密单元解密得到的所述数据密钥进行加密；

第一生成单元，用于将所述第一加密单元得到的加密后的数据密钥和第一解密单元分离出的加密后的上报数据一起生成下发报文；

第一发送单元，用于将所述第一生成单元生成的所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密；

第二解密单元，用于在确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密时，通过所述数据发送端和 M2M 平台协商的密钥，对所述接收单元接收到的所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据；

第二加密单元，用于通过所述 M2M平台和数据接收端协商的密钥对所述第二解密单元解密得到的所述上报数据进行加密；

第二生成单元，用于将所述第二加密单元得到的加密后的上报数据生成下发报文；

第二发送单元，用于将所述第二生成单元生成的所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M 平台采用了对称密钥方式对所述数据发送端的上报数据进行力口密。

一种数据接收端，包括：

接收单元，用于接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM方式还是对称密钥方式对数据发送端的上报数据进行加密；

第一解密单元，用于在确定所述 M2M平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密时，通过所述 M2M平台和数据接收端协商的密钥，对所述接收单元接收到的所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；

第二解密单元，用于用所述第一解密单元解密得到的所述数据密钥，对所述接收单元接收到的所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；

第三解密单元，用于在确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密时，通过所述 M2M平台和数据接收端协商的密钥，对所述接收单元接收到的所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。

一种 M2M中数据加密传输系统，包括：

数据发送端，用于判断上报数据的数据量是否超过设定门限值；若判定所述上报数据的数据量超过设定门限值，则通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M 平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密；若判定所述上报数据的数据量没有超过设定门限值，则通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

M2M平台，用于接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M 平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密，则将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密，得到所述数据密钥；通过所述 M2M平台和数据接收端协商的密钥对所述数据密钥进行加密，并与所述加密后的上报数据一起生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密，则通过所述数据发送端和 M2M 平台协商的密钥，对所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据；用所述 M2M平台和数据接收端协商的密钥对所述上报数据进行加密并生成下发报文，将所述下发报文发送给所述数据接收端备，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端的上报数据进行加密。

数据接收端，用于接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM 方式还是对称密钥方式对数据发送端的上报数据进行加密；若确定所述 M2M 平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则通过所述 M2M 平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；若确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密，则通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的上报数据密钥进行解密，得到数据发送端发送的上报数据。

采用本发明技术方案后，当数据发送端需要将上报数据发送到数据接收端时，数据发送端首先根据上报数据的数据量大小，确定所述数据发送端采用何种加密方式对所述需要上报数据进行加密，当数据发送端发送的上报数据量比较大时，采用 KEM-DEM方式对所述上报数据进行加密，由于 KEM-DEM加密方式具有对上报数据在数据发送端一次加密，在数据接收端才对该加密后的上报数据进行解密， M2M平台仅对上报数据加密的数据密钥进行加密解密，避免了 M2M 平台对大量上报数据多次加密解密的过程，显著减少 M2M平台转发数据发送端上报数据的解密加密的运算开销，提高了 M2M平台的性能；并且在数据发送端上报的数据量较小时，采用运算简单的对称密钥的加密方式对所述上报数据进行加密解密，使终端的运算消耗比较小，增加电池的使用时间。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例 1中数据发送端数据加密传输的方法流程图；图 2为本发明实施例 1中 M2M平台数据加密传输的方法流程图；图 3为本发明实施例 1中数据接收端数据加密传输的方法流程图；图 4为本发明实施例 2 中采用 KEM-DEM方式对数据加密传输的方法流程图；

图 5 为本发明实施例 2 中采用对称加密方式对数据加密传输的方法流程图；

图 6为本发明实施例 3中一种数据发送端组成框图；

图 Ί为本发明实施例 3中另一种数据发送端组成框图；

图 8为本发明实施例 3中 M2M平台组成框图；

图 9为本发明实施例 3中数据接收端组成框图；

图 1 0为本发明实施例 3中 M2M数据加密传输的系统组成框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例 1

本发明实施例提供一种 M2M中数据加密传输的方法，该方法为数据发送端对上报数据进行加密传输方法，如图 1所示，该方法包括：

1 01、数据发送端判断上报数据的数据量是否超过设定门限值；若判定所述上报数据的数据量超过设定门限值，则执行步骤 1 02 ; 若判定所述上报数据的数据量没有超过设定门限值，则执行步骤 1 03。

其中，所述设定门限值可以为根据密钥大小和终端实际处理能力决定，本发明实施例对此不进行限制。

1 02、所述数据发送端通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密。

其中，将数据发送端上报数据和其他需要加密的信息分开加密的方式称为 KEM-DEM方式。所述通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，可以包括：

获取用于对所述上报数据进行加密的数据密钥；利用所述数据密钥对所述上报数据进行加密，并利用所述数据发送端和 M2M平台协商的密钥对所述数据密钥进行加密；将加密后的上报数据和加密后的数据密钥生成上报报文，并将所述上报报文发送到 M2M平台。

其中，所述获取用于对所述数据发送端上报数据进行加密的数据密钥可以通过以下方法获取，包括：通过密码随机生成机制随机生成所述数据密钥；或者通过人为设定所述数据密钥；本发明实施例对此不进行限制，只要可以得到用于对所述数据发送端需要上报的数据加密的密钥，都可以用于本发明实施例。并且所述数据发送端和 M2M平台协商的密钥为会话密钥。

103、所述数据发送端通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对数据所述上报数据进行加密。

其中，所述数据发送端和 M2M平台协商的密钥为会话密钥。

本发明实施例还提供一种 M2M中数据加密传输的方法，该方法为 M2M平台对数据发送端上报的数据进行加密传输的方法，如图 2所示，该方法包括：

201、 M2M 平台接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向 M2M 平台指示所述数据发送端采用了 KEM-DEM 方式还是对称密钥方式对所述数据发送端的上报数据进行加密。其中，将数据发送端的上报数据和其他需要加密的信息分开加密的方式称为 KEM-DEM方式。

202、所述 M2M平台根据所述数据加密方式指示信息确定数据发送端数据采用的对上报数据加密方式；若确定所述数据发送端采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密，则执行步骤 203; 若确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密，则执行步骤 205。

203、所述 M2M平台将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密得到所述数据密钥。

其中，所述数据发送端和 M2M平台协商的密钥可以为会话密钥。

204、所述 M2M平台通过所述 M2M平台和数据接收端协商的密钥对所述数据密钥进行加密，并与所述加密后的上报数据一起生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密。

其中，所述 M2M平台和数据接收端协商的密钥可以为会话密钥。

205、所述 M2M平台通过所述数据发送端和 M2M平台协商的密钥，对所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据。

其中，所述数据发送端和 M2M平台协商的密钥可以为会话密钥

206、所述 M2M平台通过所述 M2M平台和数据接收端协商的密钥对所述上报数据进行加密并生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端的上报数据进行加密。其中，所述 M2M平台和数据接收端协商的密钥可以为会话密钥。本发明实施例提供一种数据加密传输的方法，该方法为数据接收端的数据加密传输的方法，如图 3所示，该方法包括：

301、数据接收端接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M 平台采用了

KEM-DEM方式还是对称密钥方式对数据发送端的上报数据进行加密。

302、所述数据接收端根据所述数据加密方式指示信息确定 M2M平台采用的对数据发送端的上报数据进行加密的方式；若确定所述 M2M 平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则执行步骤 303; 若确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密，则执行步骤 305。

其中，将数据发送端上报数据和其他需要加密的信息分开加密的方式称为 KEM-DEM方式。

303、所述数据接收端通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥。

304、所述数据接收端通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据。

305、所述数据接收端通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。

本发明实施例中，当数据发送端需要将上报数据发送到数据接收端时，数据发送端首先根据上报数据的数据量大小，确定所述数据发送端采用何种加密方式对所述需要上报数据进行加密，当数据发送端发送的上报数据量比较大时，采用 KEM-DEM方式对所述上报数据进行加密，由于 KEM-DEM加密方式具有对上报数据在数据发送端一次加密，在数据接收端才对该加密后的上报数据进行解密， M2M平台仅对上报数据加密的数据密钥进行加密解密，避免了 M2M平台对大量上报数据多次加密解密的过程，显著减少 M2M平台转发数据发送端上报数据的解密加密的运算开销，提高了 M2M平台的性能；并且在数据发送端上报的数据量较小时，采用运算简单的对称密钥的加密方式对所述上报数据进行加密解密，使终端的运算消耗比较小，增加电池的使用时间。

实施例 2

本发明实施提供一种 M2M中数据加密传输的方法，本发明实施例以数据发送端采用 KEM-DEM 方式加密传输拍摄的照片为例，并且以数据发送端和 M2M 平台协商的密钥，以及 M2M平台和数据接收端协商的密钥为会话密钥为例，具体阐述 M2M中数据加密传输的方法，如图 4所示，终端上报拍摄的照片，经过 M2M平台的转发到交警处理系统的过程具体包括：

401终端和 M2M平台之间协商会话密钥 KTP。

其中，终端和 M2M平台协商会话密钥 KTP的过程，可以利用现有技术，本发明实施例对此不进行限制。

402、交警的处理系统和 M2M平台之间协商会话密钥 KAP。

其中，交警的处理系统和 M2M平台协商会话密钥 KAP的过程，可以利用现有技术，本发明实施例对此不进行限制。

403、终端在某一时刻拍摄了照片，例如交通违章现场，需要将照片经 M2M 平台上传到交警的处理系统，由于照片的数据量大小超过了预设的门限值，因此确定终端采用 KEM-DEM方式加密该照片并上报；该预设的门限值为数据量门限值，所述设定门限值可以为根据密钥大小和终端实际处理能力决定，本发明实施例对此不进行限制；终端采用 KEM-DEM方式加密该照片并上报为终端产生用于加密数据的数据密钥 KD，用 KD加密照片数据 D, 然后用 KTP加密 KD和其他信息 I，将用 KD加密后的照片数据和用 KTP加密后的 KD、其他信息 I组成上报报文（ E (KTP，KD+I) +E (KD，D) ) ，并将组成的上报报文 ( E (KTP, KD+I) +E (KD, D) )发送给 M2M平台，并在所述上报报文中包含数据加密方式指示信息，用于向 M2M平台指示所述终端采用了 KEM-DEM方式对所述上报数据进行加密。

404、所述 M2M平台接收到终端发送的上报报文后，根据所述上报报文中的数据加密方式指示信息，确定终端采用了 KEM-DEM加密方式对上报数据进行加密，则所述 M2M平台将用 KD加密后的照片数据和用 KTP加密后的 KD、其他信息 I从所述报文中分离出来，并用 KTP解密得到 KD和其他数据 I，根据其他数据确定需要将照片发到交警的处理系统，因此所述 M2M平台用 KAP加密 KD和其他信息 I，然后将用 KAP加密 KD和其他信息 Γ 和 KD加密的照片数据 D组合成下发报文（ E (KAP, KD+ Γ ) +E (KD, D) )，并将所述下发报文（ E (KAP, KD+ Γ ) +E (KD, D) )发送给交警的处理系统，并在所述下发报文中包含数据加密方式指示信息，用于向交警的处理系统指示所述 M2M平台采用了 KEM-DEM方式对终端的上报数据进行加密。

405、交警的处理系统接收到 M2M平台发送的下发报文后，根据所述报文中的数据加密方式指示信息，确定所述 M2M平台采用了 KEM-DEM加密方式对终端的上报数据进行加密，则所述交警的处理系统用 KAP解密所述下发报文中加密后的数据密钥，得到 KD，然后用 KD解密所述下发报文中加密后的照片数据，得到最终的照片。

本发明实施还提供一种 M2M中数据加密传输的方法，本实施例以数据发送端采用对称密钥的加密方式加密传输环境湿度为例，并且以数据发送端和 M2M 平台协商的密钥，以及 M2M平台和数据接收端协商的密钥为会话密钥为例，具体阐述 M2M 中数据加密传输的方法，如图 5所示，终端上报湿度数据，经过 M2M平台的转发到环境控制系统的过程具体包括：

501、终端和 M2M平台之间协商会话密钥 KTP。

其中，终端和 Μ2Μ平台协商会话密钥 ΚΤΡ的过程，可以利用现有技术，本发明实施例对此不进行限制。

502、环境控制系统和 Μ2Μ平台之间协商会话密钥 ΚΑΡ。

其中，环境控制系统和 Μ2Μ平台协商会话密钥 ΚΑΡ的过程，可以利用现有技术，本发明实施例对此不进行限制。

503、终端在某一获取了湿度数据 D，需要经 M2M平台上传到环境控制系统，由于湿度数据 D的数据量很小，为 4字节的浮点数，没有超过预设的门限值，因此确定终端采用对称密钥方式加密湿度数据 D并上报；该预设的门限值为数据量门限值，所述设定门限值可以为根据密钥大小和终端实际处理能力决定，本发明实施例对此不进行限制；终端采用对称密钥方式加密湿度数据 D 并上报包括终端用 KTP加密 D和其他信息 I，将用 KTP加密 D和其他信息 I组成上报报文 E (KTP， I+D )，并将所述组成的上报报文 E (KTP， I+D )发送给 M2M 平台，并在所述上报报文中包含数据加密方式指示信息，用于向 M2M平台指示所述终端采用了对称加密方式对所述上报数据进行加密。

504、所述 M2M平台接收到终端发送的上报报文后，根据所述上报报文中的数据加密方式指示信息，确定终端采用了对称加密方式对上报数据进行加密，则所述 M2M平台将用 KTP加密 D和其他信息 I用 KTP解密得到 D和其他信息 I，根据所述其他信息 I确定需要将湿度数据 D发到环境控制系统，因此所述 M2M平台用 KAP加密湿度数据 D和其他信息 Γ 并组成下发报文 E (ΚΤΡ, Γ +D ), 然后将所述下发报文 Ε (ΚΤΡ， Γ +D )发给环境控制系统，并在所述上报报文中包含数据加密方式指示信息，用于向环境控制系统指示所述 M2M平台采用了对称加密方式对终端上报数据进行加密。

505、所述环境控制系统接收到 M2M平台发送的下发报文后，根据所述报文中的数据加密方式指示信息，确定所述 M2M平台采用了对称加密方式对终端上报数据进行加密，则所述环境控制系统用 KTP解密得到的 D和其他信息 I 用 KAP解密，得到湿度数据 D和其他信息 Γ，然后进行后续的环境控制，例如控制加湿器的开关。

并且，本发明实施例中，数据发送端和 M2M平台协商的密钥为会话密钥，以及所述 M2M平台和数据接收端协商的密钥可以为会话密钥，从而避免了传统的 KEM-DEM 方法对数据密钥的加密采用非对称密钥加密技术进行对终端运算能力要求较高，以及增加运算消耗的弊端，从而减少终端的能耗，增加电池的使用时间。

实施例 3

本发明实施例提供一种数据发送端，如图 6所示，该数据发送端包括：判断单元 61、第一加密单元 62、第一生成单元 63、第一发送单元 66、第二加密单元 65、第二生成单元 66和第二发送单元 67。

判断单元 61，用于判断上报数据的数据量是否超过设定门限值，其中，所述设定门限值可以为根据密钥大小和终端实际处理能力决定，本发明实施例对此不进行限制；在所述判断单元 61判定所述上报数据的数据量超过设定门限值时，第一加密单元 62，用于通过 KEM-DEM方式对所述需要上报的数据进行加密；第一生成单元 63，用于将所述第一加密单元 62加密得到的加密后的上报数据生成上报报文；第一发送单元 64，用于将所述第一生成单元 63生成的所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密。其中，将数据发送端上报数据和其他需要加密的信息分开加密的方式称为 KEM-DEM方式。

在所述判断单元 61判定所述上报数据的数据量没有超过设定门限值时，第二加密单元 65，用于通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密，其中所述数据发送端和 M2M平台协商的密钥对所述数据密钥可以为会话密钥；第二生成单元 66，用于将所述第二加密单元 65得到的加密后的上报数据生成上报报文；第二发送单元 67，用于将所述第二生成单元 66生成的所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

如图 Ί所示，所述第一加密单元 62包括：获取模块 621和加密模块 622。获取模块 621，用于获取用于对所述上报数据进行加密的数据密钥；加密模块 622，用于利用所述数据密钥对所述上报数据进行加密，并用所述数据发送端和 M2M平台协商的密钥对所述数据密钥进行加密，其中所述数据发送端和 M2M平台协商的密钥对所述数据密钥可以为会话密钥；所述第一生成单元 63 还用于将所述加密模块 622 加密后的上报数据和加密后的数据密钥生成上报报文。

其中，所述获取模块 621获取用于对所述数据发送端的上报数据进行加密的数据密钥，可以通过密码随机生成机制随机生成所述数据密钥；或者通过人为设定所述数据密钥；本发明实施例对此不进行限制，只要可以得到用于对所述数据发送端的上报数据进行加密的数据密钥，都可以用于本发明实施例。并且所述数据发送端和 M2M平台协商的密钥为会话密钥。

本发明实施例提供一种 M2M平台，如图 8所示，该平台包括：第一接收单元 71、第一解密单元 72、第一加密单元 73、第一生成单元 74、第一发送单元 75、第二解密单元 76、第二加密单元 77、第二生成单元 78和第二发送单元 79。

第一接收单元 71，用于接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密。

在根据所述数据加密方式指示信息确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密时，第一解密单元 72，用于将加密后的数据密钥和加密后的上报数据从所述接收单元 71接收到的所述上报报文中分离出，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密的数据密钥进行解密得到所述数据密钥，其中所述数据发送端和 M2M平台协商的密钥可以为会话密钥；第一加密单元 73，用于通过所述 M2M平台和数据接收端协商的密钥对所述第一解密单元 72解密得到的所述数据密钥进行加密，其中所述 M2M平台和数据接收端协商的密钥可以为会话密钥；第一生成单元 74，用于将所述第一加密单元 73得到的加密后的数据密钥与所述第一解密单元 71 分离出的所述加密后的上报数据一起生成下发报文；第一发送单元 75，用于将所述第一生成单元 74生成的所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M 平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密。

在所述数据加密方式指示信息确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密时，第二解密单元 76，用于通过所述数据发送端和 M2M平台协商的密钥，对所述接收单元接收到的所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据，其中所述数据发送端和 M2M平台协商的密钥可以为会话密钥；第二加密单元 77，用于通过所述 M2M 平台和数据接收端协商的密钥，对所述第二解密单元 76解密得到的所述上报数据进行加密，其中所述 M2M平台和数据接收端协商的密钥可以为会话密钥；第二生成单元 78，用于将所述第二加密单元 ΊΊ得到的加密后的上报数据生成下发报文；第二发送单元 79，用于将所述第二生成单元 78生成的所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端的上报数据进行加密。

本发明实施例提供一种数据接收端，如图 9所示，所述数据接收端包括：接收单元 81、第一解密单元 82、第二解密单元 83和第三解密单元 84。

接收单元 81，用于接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM 方式还是对称密钥方式对数据发送端的上报数据进行加密。

在根据所述数据加密方式指示信息确定所述 M2M平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密时，第一解密单元 82，用于通过所述 M2M 平台和数据接收端协商的密钥，对所述接收单元 81接收到的所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；第二解密单元 83，用于通过用所述第一解密单元 82解密得到的所述数据密钥，对所述接收单元 81 接收到的所述下发报文中包含的采用所述数据密钥加密后的数据进行解密，得到数据发送端发送的上报数据。其中，所述 M2M平台和数据接收端协商的密钥可以为会话密钥。

在根据所述数据加密方式指示信息确定所述 M2M 平台采用了对称密钥方式对所述数据发送端的上报数据进行加密时，第三解密单元 84，用于通过所述 M2M平台和数据接收端协商的密钥，对所述接收单元 81接收到的所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。其中，所述 M2M平台和数据接收端协商的密钥可以为会话密钥。

本发明实施例提供一种 M2M中数据加密传输的系统，如图 10所示，还系统包括：数据发送端 91、 M2M平台 92和数据接收端 93。

数据发送端 91，用于判断上报数据的数据量是否超过设定门限值；若判定所述上报数据的数据量超过设定门限值，则通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，并将所述上报报文发送到 M2M平台 92，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密；若判定所述上报数据的数据量没有超过设定门限值，则通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密并生成上报报文，并将所述上报报文发送到 M2M平台 92，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

M2M平台 92，用于接收数据发送端 91发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示所述数据发送端 91采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端 91采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密，则将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过所述数据发送端 91和 M2M平台 92协商的密钥，对所述加密的数据密钥进行解密得到所述数据密钥；通过所述 M2M平台 92 和数据接收端 93 协商的密钥对所述数据密钥进行加密，并与所述加密后的上报数据一起生成下发报文，并将所述下发报文发送给所述数据接收端 93，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台 92采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端 91采用了对称密钥方式对数据进行加密，则通过所述数据发送端 91和 M2M平台 92协商的密钥，对所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据；用所述 M2M平台 92和数据接收端 93协商的密钥对所述上报数据进行加密并生成下发报文，将所述下发本文发送给所述数据接收端 93，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台 92采用了对称密钥方式对所述数据发送端的上报数据进行加密。

数据接收端 93，用于接收 M2M平台 92发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台 92采用了 KEM-DEM方式还是对称密钥方式对数据发送端的上报数据进行加密；若确定所述 M2M平台 92采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则通过所述 M2M平台 92和数据接收端 93协商的密钥，对所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的数据进行解密，得到数据发送端发送的上报数据；若确定所述 M2M平台 92采用了对称密钥方式对数据发送端的上报数据进行加密，则通过所述 M2M平台 92和数据接收端 93协商的密钥，对所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。

并且，本发明实施例中，数据发送端和 M2M平台协商的密钥为会话密钥，以及所述 M2M平台和数据接收端协商的密钥可以为会话密钥，从而避免了传统的 KEM-DEM 方法对数据密钥的加密采用非对称密钥加密技术进行对终端运算能力要求较高，以及增加运算消耗的弊端，从而减少终端的能耗。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但艮多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求

1、一种 M2M中数据加密传输的方法，其特征在于，包括：

判断上报数据的数据量是否超过设定门限值；

若判定所述上报数据的数据量超过设定门限值，则通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密；

若判定所述上报数据的数据量没有超过设定门限值，则通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

2、根据权利要求 1所述的方法，其特征在于，所述通过 KEM-DEM方式对所述上报数据进行加密并生成上报报文，将所述上报报文发送到 M2M平台包括：

获取用于对所述上报数据进行加密的数据密钥；

利用所述数据密钥对所述上报数据进行加密，并利用所述数据发送端和 M2M平台协商的密钥对所述数据密钥进行加密；

将加密后的上报数据和加密后的数据密钥生成上报报文，并将所述上报报文发送到 M2M平台。

3、根据权利要求 1或 2所述的方法，其特征在于，所述数据发送端和 M2M 平台协商的密钥为会话密钥。

4、一种 M2M中数据加密传输的方法，其特征在于，包括：

接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向 M2M平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密；

若确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密，则将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密得到所述数据密钥；

5、根据权利要求 4所述的方法，其特征在于，

所述数据发送端和 M2M平台协商的密钥为会话密钥；

所述 M2M平台和数据接收端协商的密钥为会话密钥。

6、一种数据加密传输的方法，其特征在于，包括：

接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM方式还是对称密钥方式对数据发送端的上报数据进行加密；若确定所述 M2M平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；

通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；

7、根据权利要求 6所述的方法，其特征在于，所述 M2M平台和数据接收端协商的密钥为会话密钥。

8、一种数据发送端，其特征在于，包括：

第二生成单元，用于将所述第二加密单元得到的加密后的上报数据生成上报报文；第二发送单元，用于将所述第二生成单元生成的所述上报报文发送到 M2M 平台，所述上 4艮"¾文中包括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对所述上报数据进行加密。

9、根据权利要求 8所述的数据发送端，其特征在于，所述第一加密单元包括：

获取模块，用于获取用于对所述上报数据进行加密的数据密钥；加密模块，用于利用所述获取模块获取的所述数据密钥对所述上报数据进行加密，并利用所述数据发送端和 M2M平台协商的密钥对所述数据密钥进行加密。

10、一种 M2M平台，其特征在于，包括：

第一解密单元，用于在确定所述数据发送端采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密时，将加密后的数据密钥和加密后的上报数据从所述接收单元接收到的所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密，得到所述数据密钥；第一加密单元，用于通过用所述 M2M平台和数据接收端协商的密钥对所述第一解密单元解密得到的所述数据密钥进行加密；

11、一种数据接收端，其特征在于，包括：

第二解密单元，用于通过所述第一解密单元解密得到的所述数据密钥，对所述接收单元接收到的所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；第三解密单元，用于在确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密时，通过所述 M2M平台和数据接收端协商的密钥，对所述接收单元接收到的所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。

12、一种 M2M中数据加密传输系统，其特征在于，包括：

M2M平台，用于接收数据发送端发送的上报报文，所述上报报文中包括数据加密方式指示信息，用于向所述 M2M 平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密，则将加密后的数据密钥和加密后的上报数据从所述上报报文中分离出来，并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥进行解密，得到所述数据密钥；通过所述 M2M平台和数据接收端协商的密钥对所述数据密钥进行加密，并与所述加密后的上报数据一起生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行加密；若确定所述数据发送端采用了对称密钥方式对所述数据发送端的上报数据进行加密，则通过所述数据发送端和 M2M 平台协商的密钥，对所述上报报文中包含的加密后的上报数据进行解密得到所述上报数据；用所述 M2M平台和数据接收端协商的密钥对所述上报数据进行加密并生成下发报文，将所述下发报文发送给所述数据接收端，所述下发报文中包括数据加密方式指示信息，用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端的上报数据进行加密。

数据接收端，用于接收 M2M平台发送的下发报文，所述下发报文中包括数据加密方式指示信息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM 方式还是对称密钥方式对数据发送端的上报数据进行加密；若确定所述 M2M 平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密，则通过所述 M2M 平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的数据密钥进行解密，得到所述数据密钥；通过所述数据密钥对所述下发报文中包含的采用所述数据密钥加密后的上报数据进行解密，得到数据发送端发送的上报数据；若确定所述 M2M平台采用了对称密钥方式对数据发送端的上报数据进行加密，则通过所述 M2M平台和数据接收端协商的密钥，对所述下发报文中包含的加密后的上报数据进行解密，得到数据发送端发送的上报数据。