[发明专利]一种基于标识算法的安全通信方法及系统

说明书

本发明提供了一种基于标识算法的安全通信方法及系统，其中方法包括：将安全芯片与NB‑IoT通信模组封装成一个安全模组并设置在终端中；首次入网时，终端将请求激活报文发送至后台，后台接收请求激活报文，验证标识签名数据的真实性，若验证通过，则根据燃气表号生成更新发行信息，并将APDU指令包发送至终端；终端验证更新签名数据的真实性，若验证通过，则解密二次发行报文密文，得到更新发行信息，并将首次发行信息替换为更新发行信息进行保存；终端根据上报数据的等级，将普通数据的明文以及对普通数据进行计算得到的MAC值发送至后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对关键数据密文进行签名得到的关键数据签名发送至后台。

技术领域

本发明涉及通信领域，尤其涉及一种基于标识算法的安全通信方法及系统。

背景技术

窄带物联网(Narrow Band Internet of Things,NB-IoT)构建于蜂窝网络，只消耗大约180KHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，已经成为物联网的一个重要分支。NB-IoT网络具有大连接、低功耗、低成本、广覆盖的特点，符合智能燃气终端的需求。NB-IoT物联网技术的应用，将推进新型燃气经营管理的“互联网+”信息化建设，推动燃气行业技术标准化、产业规模化，共同打造智慧燃气的行业标杆。

NB-IoT模组是基于NB-IoT基带芯片经过封装后的通信模块，符合3GPP标准中的频段要求。其具有体积小、功耗低、传输距离远、抗干扰能力强等特点。用户只需通过标准的AT指令，即可对NB-IoT模组进行操作，实现终端管理的功能。

然而现有的NB-IoT模组并不能保证足够的安全，在使用过程中可能存在被劫持的风险，从而智能燃气终端存在安全隐患，导致用户的损失。

发明内容

本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的一种基于标识算法的安全通信方法及系统，能够实现NB-IoT网络端到端的数据安全传输。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种基于标识算法的安全通信方法，包括：将安全芯片与NB-IoT通信模组封装成一个安全模组，并将安全模组设置在终端中；首次入网时，终端将请求激活报文发送至后台，其中，请求激活报文至少包括首次发行信息中的首次发行终端身份标识以及终端利用安全芯片中预存的首次发行信息中的首次发行终端用户私钥至少对首次发行终端身份标识进行签名得到的标识签名数据，首次发行终端身份标识至少包括：安全芯片标识、燃气表号、安全模组中NB-SIM卡IMEI号码以及安全模组中NB-SIM卡IMSI号码；后台接收请求激活报文，验证标识签名数据的真实性，若验证通过，则根据燃气表号生成更新发行信息，其中，更新发行信息包括：更新发行系统标识、更新发行系统公钥、更新终端身份标识以及更新终端用户私钥；后台对更新发行信息和首次发行终端身份标识进行加密得到二次发行报文密文，并利用首次发行后台签名私钥对二次发行报文密文进行签名得到更新签名数据；后台对二次发行报文密文和更新签名数据进行封装，得到APDU指令包，并将APDU指令包发送至终端；终端接收APDU指令包，验证更新签名数据的真实性，若验证通过，则解密二次发行报文密文，得到更新发行信息，并将首次发行信息替换为更新发行信息进行保存；终端根据上报数据的等级，将普通数据的明文以及对普通数据进行计算得到的MAC值发送至后台，或者将对关键数据的明文进行加密得到的关键数据密文以及对关键数据密文进行签名得到的关键数据签名发送至后台；后台根据接收到的上报数据的等级，对MAC值进行验证，或者对关键数据签名进行验证。

另外，方法还包括：后台将对待下发数据进行加密得到的待下发数据密文以及对待下发数据进行签名得到的待下发数据签名发送至终端；终端对待下发数据密文进行解密得到待下发数据明文，并利用待下发数据明文对待下发数据签名的真实性进行验证。