[发明专利]一种基于NB-IoT的物联网安全通信控制方法

权利要求书

1.一种基于NB-IoT的物联网安全通信控制方法，其特征在于，包括：

服务器预生成数据；

模组根据所述预生成数据确定工装数据；

模组与服务器利用所述预生成数据及工装数据进行密钥协商；

所述模组与服务器首次连接时进行慢协商，包括：所述模组向所述服务器发起密钥协商请求；所述服务器对所述密钥协商请求进行处理，并向所述模组发送密钥协商应答；所述模组对所述密钥协商应答进行处理，并进行密钥协商确认；所述服务器进行密钥协商确认；所述模组与所述服务器进行安全通信；

所述模组向所述服务器发起密钥协商请求，包括：所述模组产生模组随机数deviceNone，使用共享密钥1对所述模组随机数deviceNone进行ECDH加密，并发送给所述服务器；

所述服务器对所述密钥协商请求进行处理，并向所述模组发送密钥协商应答，包括：所述服务器利用共享密钥1解密所述模组随机数deviceNone，利用工厂私钥对所述模组随机数deviceNone进行签名得到模组签名deviceSign；所述服务器产生服务器随机数cloudNone，使用共享密钥1对模组签名deviceSign、服务器随机数cloudNone、服务器公钥进行ECDH加密组成协商应答包发送给模组；

所述模组对所述密钥协商应答进行处理，并进行密钥协商确认，包括：所述模组使用共享密钥1对所述协商应答包进行ECDH解密得到模组签名deviceSign、服务器随机数cloudNone、服务器公钥，组装模组私钥与服务器公钥为共享密钥2，使用工厂公钥验证模组签名deviceSign的合法性，使用模组私钥签名服务器随机数cloudNone得到服务器签名cloudSign，使用共享密钥1对服务器签名cloudSign进行ECDH加密，并发送给服务器；

所述服务器进行密钥协商确认，包括：服务器使用共享密钥1对ECDH加密的服务器签名cloudSign进行ECDH解密，使用模组公钥验证服务器签名cloudSign的合法性，组装服务器私钥与模组公钥得到共享密钥2，产生会话密钥sessionKey，使用共享密钥2对会话密钥sessionKey进行ECDH加密；

其中，所述共享密钥1为模组私钥与工厂公钥的拼接，或者所述共享密钥1为模组公钥与工厂私钥的拼接；所述共享密钥2为模组私钥与服务器公钥的拼接，或者所述共享密钥2为模组公钥与服务器私钥的拼接；所述工厂私钥是利用MAC地址从服务器获取，所述服务器公钥和服务器私钥为服务器生成。

2.根据权利要求1所述的方法，其特征在于，所述预生成数据包括MAC地址、模组硬件编号、模组公钥、模组私钥、工厂公钥；所述工装数据包括模组公钥、模组私钥、工厂公钥。

3.根据权利要求1所述的方法，其特征在于，所述模组与服务器在首次连接之后的再次连接时进行快协商。

4.根据权利要求3所述的方法，其特征在于，所述模组与服务器在首次连接之后的再次连接时进行快协商，包括：

所述模组向所述服务器发送密钥协商请求；

所述服务器进行密钥协商应答和密钥协商确认；

所述模组与所述服务器进行安全通信。

5.根据权利要求4所述的方法，其特征在于，

所述模组向所述服务器发送密钥协商请求，包括：所述模组使用共享密钥1、共享密钥2先后对所述模组产生的模组随机数deviceNone进行ECDH加密，并送给所述服务器；

所述服务器进行密钥协商应答和密钥协商确认，包括：所述服务器使用共享密钥2、共享密钥1先后对所述ECDH加密的模组随机数deviceNone进行解密和验证，并使用共享密钥2加密所述服务器产生的会话密钥sessionKey发送给所述模组。

6.根据权利要求1或4所述的方法，其特征在于，所述模组与所述服务器进行安全通信，包括：对所述模组与所述服务器通信的业务数据进行安全封装。

7.根据权利要求6所述的方法，其特征在于，对所述模组与所述服务器通信的业务数据进行安全封装，包括：

所述模组使用会话密钥sessionKey对明文进行加密得到密文，将密文和哈希值发送给服务器；

所述服务器使用会话密钥sessionKey对接收到的所述密文进行解密，得到报文计数与业务数据，并计算哈希值，确认计算得到哈希值与接收到的哈希值是否一致。