本發(fā)明提供一種NB?IoT終端設備的數(shù)字證書離線安全分發(fā)方法及系統(tǒng)。該方法包括：通過IoT平臺用戶客戶端登錄IoT云平臺，在IoT云平臺上執(zhí)行創(chuàng)建產(chǎn)品操作，并獲取IoT云平臺授權(quán)的用戶標識碼；通過IoT平臺用戶客戶端在創(chuàng)建的產(chǎn)品上添加NB?IoT終端設備和其對應的設備標識ID；IoT云平臺將用戶標識碼和設備標識ID同步至安全服務平臺，以供安全服務平臺根據(jù)用戶標識碼和設備標識ID生成NB?IoT終端設備的數(shù)字證書文件密文；通過IoT平臺用戶客戶端在IoT云平臺上操作，選擇下載相關(guān)NB?IoT終端設備的數(shù)字證書文件密文，將下載的NB?IoT終端設備的數(shù)字證書文件密文通過離線方式傳輸至產(chǎn)線PC機，以供在產(chǎn)線PC機上對數(shù)字證書文件密文進行解密，將解密后的數(shù)字證書文件灌裝至對應的NB?IoT終端設備中。

技術(shù)領域

本發(fā)明涉及安全通信技術(shù)領域，尤其涉及一種NB-IoT終端設備的數(shù)字證書離線安全分發(fā)方法和系統(tǒng)。

背景技術(shù)

在萬物互聯(lián)時代，通過物聯(lián)網(wǎng)實現(xiàn)人與物和物與物之間的信息交互和通信，進而獲得更為便捷的生活體驗。隨著NB-IoT正式納入5G標準，成為mMTC(海量機器類型通信)場景的核心技術(shù)，NB-IoT技術(shù)的應用會更快地發(fā)展，而網(wǎng)絡信息安全問題也給其發(fā)展提出了新的挑戰(zhàn)。在海量NB-IoT終端設備連接統(tǒng)一的物聯(lián)網(wǎng)云平臺的場景下，各類采集數(shù)據(jù)通過NB-IoT網(wǎng)絡傳輸，過程有數(shù)據(jù)泄露風險，這就需要設備端與平臺側(cè)之間的雙向身份認證和安全通道，以實現(xiàn)設備端至平臺側(cè)的無線通信保密性、完整性和不可篡改性，引入PKI體系無疑是解決身份認證問題最佳的方式。為物聯(lián)網(wǎng)云平臺以及每一個NB-IoT終端設備簽發(fā)各自唯一的身份證書，用于設備端與平臺側(cè)進行雙向身份認證，并建立安全通道。因此需要一種方法，能夠從物聯(lián)網(wǎng)云平臺以安全的方式，給NB-IoT終端設備簽發(fā)并灌裝設備的數(shù)字證書。

目前傳統(tǒng)的證書申請方式，多是基于RA+CA構(gòu)建的證書在線簽發(fā)系統(tǒng)，其具體方法為：用戶申請→RA審核→CA發(fā)行證書→RA轉(zhuǎn)發(fā)證書→用戶證書獲取。其中，用戶申請過程：用戶獲取CA的數(shù)字證書(根證書)，與安全服務器建立連接；生成自己的公鑰和私鑰，將公鑰和自己的身份信息提交給安全服務器，安全服務器將用戶的申請信息傳送給RA服務器。RA審核過程：RA收到用戶的申請，用戶向RA證明自己的身份，RA進行核對。如果RA同意用戶申請證書的請求，則對證書申請信息做數(shù)字簽名，并將用戶申請和RA簽名傳輸給CA；否則拒絕用戶的申請。CA發(fā)行證書過程：CA對RA數(shù)字簽名做認證，如果驗證通過，則同意用戶請求，頒發(fā)證書，然后將證書輸出。如果驗證不通過，則拒絕證書申請。RA轉(zhuǎn)發(fā)證書過程：RA從CA得到新的證書，首先將證書輸出到LDAP服務器以提供目錄瀏覽，再通知用戶證書發(fā)行成功，告知證書序列號，到指定的網(wǎng)址去下載證書。用戶證書獲取過程：用戶使用證書序列號去指定網(wǎng)址下載自己的數(shù)字證書，只有持有與申請時提交的公鑰配對的私鑰才能下載成功。

從上述現(xiàn)有的基于RA+CA構(gòu)建的證書在線簽發(fā)系統(tǒng)的簽發(fā)流程可以看出，該證書簽發(fā)方式的申請主體身份明確，且申請獲取的證書只能為申請主體所用，此外，申請過程需要在線進行。如果采用上述CA+RA的方式為物聯(lián)網(wǎng)設備分發(fā)數(shù)字證書，由于物聯(lián)網(wǎng)設備的具有海量的特性，如果海量的物聯(lián)網(wǎng)設備同時在線申請數(shù)字證書，則簽發(fā)系統(tǒng)無法支撐海量的物聯(lián)網(wǎng)設備的接入。另外，物聯(lián)網(wǎng)設備的身份并不確定，在申請證書過程，無法實現(xiàn)對申請主體進行認證，安全性不高。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中缺乏一種對NB-IoT終端設備進行數(shù)字證書安全分發(fā)方法的問題，本發(fā)明提供一種NB-IoT終端設備的數(shù)字證書離線安全分發(fā)方法和系統(tǒng)，可以從物聯(lián)網(wǎng)云平臺上安全地分發(fā)NB-IoT終端設備證書，并灌裝至NB-IoT終端設備的安全密碼模塊內(nèi)。

本發(fā)明提供一種NB-IoT終端設備的數(shù)字證書離線安全分發(fā)方法，包括：

步驟1：通過IoT平臺用戶客戶端登錄IoT云平臺，在IoT云平臺上執(zhí)行創(chuàng)建產(chǎn)品操作，并獲取IoT云平臺授權(quán)的用戶標識碼；

步驟2：通過IoT平臺用戶客戶端在創(chuàng)建的產(chǎn)品上添加NB-IoT終端設備和其對應的設備標識ID；