[发明专利]基于物联网通信模组的数字证书签发方法及系统

权利要求书

1.一种基于物联网通信模组的数字证书签发方法，其特征在于，包括：

步骤1，物联网通信模组在线获取设备标识ID，并基于设备标识ID触发生成数字证书请求，其中所述数字证书请求至少包括设备标识ID，所述设备标识ID由物联网平台的设备注册系统生成；

步骤2，所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道，并将所述数字证书请求通过上述TLS安全通道发送给所述物联网平台的安全认证管理系统；

步骤3，所述安全认证管理系统从所述数字证书请求中提取出设备标识ID，并请求所述设备注册系统验证所述设备标识ID；

步骤4，待验证所述设备标识ID正确时，所述安全认证管理系统基于所述数字证书请求签发数字证书，并返回给所述物联网通信模组；

步骤5，所述物联网通信模组将数字证书写入内置的安全模块中。

2.根据权利要求1所述的一种基于物联网通信模组的数字证书签发方法，其特征在于：物联网通信模组在线获取设备标识ID，具体包括：

步骤1.1，用户终端获取所述物联网通信模组的序列号，并基于序列号形成注册请求发送给所述物联网平台的设备注册系统；

步骤1.2，所述设备注册系统基于所述注册请求完成对所述物联网通信模组的设备注册，并返回设备标识ID给所述用户终端；

步骤1.3，所述物联网终端，获取所述用户终端提供的关于物联网通信模组的设备标识ID，并以AT命令或API方式配置给所述物联网通信模组。

3.根据权利要求1或2所述的一种基于物联网通信模组的数字证书签发方法，其特征在于，上述步骤2中，所述物联网通信模组建立对所述物联网平台的安全网关单向认证的TLS安全通道，具体包括：

所述物联网通信模组与所述安全网关进行握手，并向所述安全网关发送单向认证请求，所述安全网关将自身的数字证书返回给所述物联网通信模组；

所述物联网通信模组请求CA机构验证所述安全网关的数字证书的有效性，如果验证有效，则继续数字证书签发流程，如果验证无效，则直接结束数字证书签发流程。

4.根据权利要求1或2所述的一种基于物联网通信模组的数字证书签发方法，其特征在于，所述物联网通信模组包括NB-IoT物联网通信模组，还包括4G物联网通信模组、5G物联网通信模组中的任意一种。

5.一种基于物联网通信模组的通信方法，其特征在于，包括权利要求1-4任一项所述的数字证书签发方法，还包括：

步骤6，所述物联网终端基于所述物联网通信模组以及对应的数字证书安全登录所述物联网平台；

步骤7，所述物联网终端与所述物联网平台进行业务数据交互。

6.根据权利要求5所述的通信方法，其特征在于，上述步骤6具体包括：

步骤6-1，所述物联网终端形成平台登录请求，并通过AT命令或API方式发送给所述物联网通信模组；

步骤6-2，所述物联网通信模组调用内置的安全模块，采用所述物联网平台的公钥对所述平台登录请求进行加密得到第一密文信息，采集当前时间形成第一时间戳并采用自身的数字证书的私钥对所述第一时间戳进行签名得到第一签名信息，然后将所述第一密文信息、所述第一签名信息以及所述设备标识ID打包形成登录信息；

步骤6-3，所述物联网通信模组将所述登录信息发送给所述物联网平台；

步骤6-4，所述物联网平台基于所述登录信息里的设备标识ID向所述安全认证管理系统请求查询获取所述物联网通信模组的数字证书；

步骤6-5，所述物联网平台采用所述物联网通信模组的数字证书的公钥对所述第一签名信息进行解密验签，并计算解密后获得的第一时间戳与当前时间之间的第一差值；

步骤6-6，判断该第一差值是否小于第一设定阈值，如果小于，则对所述物联网通信模组的身份认证成功并进入步骤6-7，如果大于等于，则对所述物联网通信模组的身份认证失败并直接结束平台登录流程；

步骤6-7，所述物联网平台采用自身的私钥对所述第一密文信息进行解密，得到平台登录请求并进行登录处理。