本發明提出了一種基于NB?IoT通信模組的空中發證方法和系統，本發明針對采用NB?IoT網絡通信的NB?IoT類終端，采用物聯網通用協議LWM2M+COAP，并結合物聯網云平臺bootstrap服務構建傳輸通道對接安全認證管理系統，進行NB?IoT終端的數字證書簽發，申請證書的NB?IoT終端與物聯網云平臺的安全認證管理系統相互進行身份認證，并基于非對稱密鑰的安全數據傳輸鏈路，實現對網絡傳輸的發證請求數據進行加密保護，對發證回執數據進行精簡以減少網絡開銷且進行了完整性保護。相比于傳統的離線證書簽發方式，本發明的空中發證方式可自動化完成證書申請簽發過程，從而有效節約生產環節人力成本和時間成本。

技術領域

本發明涉及物聯網技術領域，尤其涉及一種基于NB-IoT通信模組的空中發證方法和系統。

背景技術

近年來，隨著萬物互聯時代的到來，越來越多的物聯網終端接入物聯網云平臺，在低速率、廣域網絡的場景下廣泛使用NB-IoT的通信方式。為了保證通過NB-IoT通信模組通信接入物聯網云平臺的物聯網終端身份可信，則需要對NB-IoT終端簽發數字證書，并基于數字證書進行物聯網云平臺的接入認證、安全通信。傳統的證書簽發方式存在流程較長、操作復雜、執行效率低等問題。

發明內容

鑒于上述內容，有必要提供一種基于NB-IoT通信模組的空中發證方法和系統，能夠簡化對NB-IoT終端的數字證書簽發流程，提高執行效率。

本發明第一方面提出一種基于NB-IoT通信模組的空中發證方法，所述方法包括以下步驟：

步驟1，在NB-IoT終端上集成安全SDK并預置物聯網云平臺證書和CA證書；

步驟2，所述NB-IoT終端運行安全SDK與安全模塊進行交互，所述NB-IoT終端檢測安全模塊中是否已存在NB-IoT終端數字證書，如已存在NB-IoT終端數字證書則進行加密業務數據傳輸，如不存在NB-IoT終端數字證書，則轉步驟3進入在線發證流程；

步驟3，由安全模塊產生非對稱密鑰對，所述NB-IoT終端獲取安全模塊產生的非對稱密鑰對的公鑰，并生成發證請求，所述發證請求包括該非對稱密鑰對的公鑰；

讀取物聯網云平臺證書中的公鑰，采用物聯網云平臺證書中的公鑰對所述發證請求進行加密獲得發證請求密文，對所述發證請求密文進行協議封裝得到發證請求數據報文；

步驟4，所述NB-IoT終端向NB-IoT通信模組下發AT指令以連接物聯網云平臺的bootstrap服務，并在該AT指令中傳入所述發證請求數據報文；

步驟5，所述NB-IoT通信模組向物聯網云平臺的bootstrap服務發送bootstraprequest包并負載所述發證請求數據報文；

步驟6，物聯網云平臺的Bootstrap服務從接收到的bootstrap request包中解析出所述發證請求數據報文，并轉發給物聯網云平臺的安全認證管理系統；

步驟7，所述安全認證管理系統對所述發證請求數據報文進行協議解析以獲取所述發證請求密文，使用物聯網云平臺的私鑰對所述發證請求密文進行數據解密以獲取所述發證請求；

步驟8，所述安全認證管理系統基于所述發證請求進行NB-IoT終端數字證書的簽發，所述NB-IoT終端數字證書包括NB-IoT終端簽名證書和NB-IoT終端加密證書；

步驟9，所述安全認證管理系統對所述NB-IoT終端加密證書對應的私鑰進行運算處理，得到NB-IoT終端加密私鑰密文數據包；

步驟10，所述安全認證管理系統獲取NB-IoT終端簽名證書、NB-IoT終端加密證書和NB-IoT終端加密私鑰密文數據包以共同組成回執數據包，使用物聯網云平臺的私鑰對該回執數據包進行簽名后，對該回執數據包及簽名信息進行協議封裝得到發證回執數據報文；