一種物聯網終端數字證書簽發系統和方法與流程

本發明涉及信息安全技術、云計算和物聯網技術領域，具體的說是一種物聯網終端數字證書簽發系統和方法。

背景技術：

近年來，物聯網技術發展迅速，對農業、工業、服務業等人類社會基本業態都產生了深遠影響，對整個人類社會的生產和生活方式帶來深遠變革。物聯網技術通過實時采集來自傳感設備的信息，實現對設備的識別、監控、定位、連接、跟蹤以及管理，讓設備、網絡和交互變得更加智能。物聯網技術已從單純技術上升到一種新經濟形態。

物聯網中存在海量的智能終端設備，其產生的數據量也規模巨大，云計算技術的推廣普及和云基礎設施及平臺的建設，使得這些海量終端的實時動態管理以及智能分析變得可能。隨著各類接入智能終端設備的增多，出現了許多適合物聯網領域的標準協議，例如mqtt、tr-069、jt-808協議等。這些協議大多通過數字證書來完成終端設備與云中心的身份認證，并基于數字證書來保證終端設備與云中心的信道安全。在這種情況下，如何將數字證書發放到海量的傳感終端，一方面，如何能夠保證物聯網終端的數字證書在線簽發的合法性；另一方面，如何保證物聯網終端產生的密鑰強度能夠滿足實際安全需求，這些都成為物聯網技術發展過程中亟需解決的問題。

技術實現要素：

本發明針對目前技術發展的需求和不足之處，提供一種物聯網終端數字證書簽發系統和方法。

本發明所述一種物聯網終端數字證書簽發系統和方法，解決上述技術問題采用的技術方案如下：所述物聯網終端數字證書簽發系統和方法，該數字證書簽發系統的架構主要包括：智能終端設備、第三方ca認證中心和物聯網云中心，其中，

所述智能終端設備負責上傳身份信息數據，生成臨時非對稱密鑰并驗證物聯網云中心的身份，保存數字證書到本地硬件設備中；所述物聯網云中心設置有智能終端設備的數據中心和服務中心，提供身份認證服務和密鑰相關安全認證服務，同時與第三方ca認證中心交互；所述第三方ca認證中心提供數字證書簽發服務；

所述智能終端設備生成非對稱密鑰，將其身份信息簽名加密，并上傳到物聯網云中心，由物聯網云中心進行身份信息認證，再交由第三方ca認證中心進行正式簽發，并傳回智能終端設備。

優選的，所述數字證書簽發系統還包括硬件加密設備，用于生成密鑰對。

優選的，所述物聯網云中心還設置有注冊庫，通過注冊庫能夠查詢智能終端設備標識，確定智能終端設備標識是否合法。

本發明所述一種物聯網終端數字證書簽發系統和方法，與現有技術相比具有的有益效果是：本發明將物聯網云中心與第三方ca認證中心結合，提供證書簽發服務，根據物聯網智能終端設備的加密方式進行個性化的服務，既保證了擁有硬件加密芯片的終端的私鑰不被泄露，又解決了采用軟加密方式的終端的密鑰強度問題；整個簽發過程都是在服務中心與智能終端設備之間的管理信道上完成，保證了物聯網智能終端設備數字證書簽發過程的安全性，也保證了其數據通道的安全性。

附圖說明

附圖1為所述物聯網終端數字證書簽發系統的示意圖；

附圖2為智能終端設備的數字證書簽發的流程圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚明白，以下結合具體實施例，對本發明所述一種物聯網終端數字證書簽發系統和方法進一步詳細說明。

為了解決物聯網智能終端設備的數字證書簽發問題，本發明提出了一種物聯網終端數字證書簽發系統和方法，將物聯網云中心與第三方ca認證中心結合，提供證書簽發服務，根據物聯網智能終端設備的加密方式進行個性化的服務，既保證了擁有硬件加密芯片的終端的私鑰不被泄露，保證物聯網智能終端設備數字證書簽發過程的安全性，又解決了采用軟加密方式的終端的密鑰強度問題。

實施例：

本實施例所述物聯網終端數字證書簽發系統，如附圖1所示，該數字證書簽發系統的架構主要包括：智能終端設備、第三方ca認證中心和物聯網云中心，其中所述智能終端設備負責上傳身份信息數據，生成臨時非對稱密鑰并驗證物聯網云中心的身份，保存數字證書到本地硬件設備中；所述物聯網云中心設置有智能終端設備的數據中心和服務中心，提供身份認證服務和密鑰相關安全認證服務，同時與第三方ca認證中心交互；所述第三方ca認證中心提供數字證書簽發服務；

所述智能終端設備生成非對稱密鑰，將其身份信息簽名加密，并上傳到物聯網云中心，由物聯網云中心進行身份信息認證，再交由第三方ca認證中心進行正式簽發，并傳回智能終端設備。

該數字證書簽發系統還包括硬件加密設備，用于生成密鑰對。所述物聯網云中心還設置有注冊庫，通過注冊庫能夠查詢智能終端設備標識，確定智能終端設備標識是否合法。物聯網云中心的服務中心與智能終端設備之間建立管理信道用于交互通信；并且獲得證書后，數據中心與智能終端設備之間通過數據信道進行數據處理結果的傳輸。

采用上述物聯網終端數字證書簽發系統，在智能終端設備、第三方ca認證中心和物聯網云中心構成的數字證書簽發系統下，進行智能終端設備的數字證書簽發，如附圖2所示，其實現過程具體包括如下步驟：

步驟一，智能終端設備向物聯網云中心提出數字證書申請請求；

步驟二，物聯網云中心生成申請號、一次性認證碼和申請號有效期，并對其進行數字簽名，發送到智能終端設備；

步驟三，智能終端設備驗證數字簽名；

步驟四，若智能終端設備包含加密芯片，則由硬件加密設備生成密鑰對—公鑰pubkey、私鑰prikey，標識其為硬加密設備終端，連同申請號、一次性認證碼、申請號有效期、智能終端設備標識以及生產的公鑰pubkey，使用其私鑰prikey進行數字簽名生成申請書；

若智能終端設備不包含加密芯片，則由智能終端設備利用軟算法生成密鑰對—公鑰tmppubkey、私鑰tmpprikey，標識其為軟加密設備終端，并連同申請號、一次性認證碼、申請號有效期、智能終端設備標識以及生成的公鑰tmppubkey，使用其私鑰tmpprikey進行數字簽名生成申請書；

步驟五，智能終端設備將申請書發送到物聯網云中心；

步驟六，物聯網云中心驗證申請書的數字簽名，比對申請號和一次性認證碼內容，確定申請合法性，并在物聯網云中心注冊庫中查詢智能終端設備標識，確定設備標識是否合法；

步驟七、若智能終端設備采用硬加密方式，則直接根據其標識信息和公鑰向第三方ca認證中心提出數字證書單證書申請；

若智能終端設備采用軟加密方式，則根據其標識信息和公鑰向第三方ca認證中心提出數字證書雙證書申請；

步驟八，第三方ca認證中心根據申請證書類型和智能終端設備產生的公鑰簽發相應的數字證書，其中，單證書類型返回一張數字證書cert；雙證書類型返回兩張數字證書（cert1、cert2）和加密后的私鑰encprikey，密鑰管理中心的硬件加密設備生成公鑰kmcpubkey、私鑰kmcprikey，使用智能終端設備提供的公鑰tmppubkey對私鑰kmcprikey進行加密得到私鑰encprikey，并與另一張數字證書cert2的公鑰kmcpubkey對應；

步驟九，物聯網云中心收到第三方ca認證中心簽發的數字證書，發送給智能終端設備；

步驟十，若智能終端設備采用硬加密方式，則將接收的證書cert導入到加密芯片中；若智能終端設備采用軟加密方式，則接收到的結果為數字證書（cert1、cert2）和加密后的私鑰encprikey，使用本地軟生成的私鑰tmpprikey將私鑰encprikey解密，得到私鑰kmcprikey，將kmcprikey和數字證書cert2保存到本地，丟棄數字證書cert1；

步驟十一，上述通信都是在管理信道中進行，獲得證書后，進行數據處理則通過數據信道進行傳輸。

所述步驟八中，所述第三方ca認證中心簽發的數字證書采用算法sm2和sm3，證書簽名算法為sm3sm2。

可見，本實施例所述物聯網終端數字證書簽發方法，軟加密終端的密鑰由密鑰管理中心的硬件加密設備生成，并通過終端生成的臨時密鑰對進行保護，報了其密鑰強度。另外，物聯網云中心通過一次性認證碼、申請號有效期，并驗證智能終端設備標識，來實現智能終端設備的認證，同時整個簽發過程都是在管理信道上完成，保證了智能終端設備數字證書簽發過程的安全性，也保證了其數據通道的安全性。

具體實施方式僅是本發明的具體個案，本發明的專利保護范圍包括但不限于上述具體實施方式，任何符合本發明的權利要求書的且任何所屬技術領域的普通技術人員對其所做的適當變化或替換，皆應落入本發明的專利保護范圍。