[发明专利]一种物联网终端数字证书签发系统和方法

权利要求书

1.一种物联网终端数字证书签发系统，其特征在于,其系统架构主要包括：智能终端设备、第三方CA认证中心和物联网云中心，其中，

所述智能终端设备负责上传身份信息数据，生成临时非对称密钥并验证物联网云中心的身份，保存数字证书到本地硬件设备中；所述物联网云中心设置有智能终端设备的数据中心和服务中心，提供身份认证服务和密钥相关安全认证服务，同时与第三方CA认证中心交互；所述第三方CA认证中心提供数字证书签发服务；

所述智能终端设备生成非对称密钥，将其身份信息签名加密，并上传到物联网云中心，由物联网云中心进行身份信息认证，再交由第三方CA认证中心进行正式签发，并传回智能终端设备；

进行智能终端设备的数字证书签发，其实现过程具体包括如下步骤：

步骤一，智能终端设备向物联网云中心提出数字证书申请请求；

步骤二，物联网云中心生成申请号、一次性认证码和申请号有效期，并对其进行数字签名，发送到智能终端设备；

步骤三，智能终端设备验证数字签名；

步骤四，若智能终端设备包含加密芯片，则由硬件加密设备生成密钥对—公钥PubKey、私钥PriKey，标识其为硬加密设备终端，连同申请号、一次性认证码、申请号有效期、智能终端设备标识以及生产的公钥PubKey，使用其私钥PriKey进行数字签名生成申请书；

若智能终端设备不包含加密芯片，则由智能终端设备利用软算法生成密钥对—公钥TmpPubKey、私钥TmpPriKey，标识其为软加密设备终端，并连同申请号、一次性认证码、申请号有效期、智能终端设备标识以及生成的公钥TmpPubKey，使用其私钥TmpPriKey进行数字签名生成申请书；

步骤五，智能终端设备将申请书发送到物联网云中心；

步骤六，物联网云中心验证申请书的数字签名，比对申请号和一次性认证码内容，确定申请合法性，并在物联网云中心注册库中查询智能终端设备标识，确定设备标识是否合法；

步骤七、若智能终端设备采用硬加密方式，则直接根据其标识信息和公钥向第三方CA认证中心提出数字证书单证书申请；

若智能终端设备采用软加密方式，则根据其标识信息和公钥向第三方CA认证中心提出数字证书双证书申请；

步骤八，第三方CA认证中心根据申请证书类型和智能终端设备产生的公钥签发相应的数字证书，其中，单证书类型返回一张数字证书Cert；双证书类型返回两张数字证书Cert1、Cert2和加密后的私钥EncPriKey，由硬件加密设备生成公钥KmcPubKey、私钥KmcPriKey，使用智能终端设备提供的公钥TmpPubKey对私钥KmcPriKey进行加密得到私钥EncPriKey，并与另一张数字证书Cert2的公钥KmcPubKey对应；

步骤九，物联网云中心收到第三方CA认证中心签发的数字证书，发送给智能终端设备；

步骤十，若智能终端设备采用硬加密方式，则将接收的证书Cert导入到加密芯片中；若智能终端设备采用软加密方式，则接收到的结果为数字证书Cert1、Cert2和加密后的私钥EncPriKey，使用本地软生成的私钥TmpPriKey将私钥EncPriKey解密，得到私钥KmcPriKey，将KmcPriKey和数字证书Cert2保存到本地，丢弃数字证书Cert1；

步骤十一，上述通信都是在管理信道中进行，获得证书后，进行数据处理则通过数据信道进行传输。

2.根据权利要求1所述一种物联网终端数字证书签发系统，其特征在于,所述数字证书签发系统还包括硬件加密设备，用于生成密钥对。

3.根据权利要求2所述一种物联网终端数字证书签发系统，其特征在于,所述物联网云中心还设置有注册库，通过注册库能够查询智能终端设备标识，确定智能终端设备标识是否合法。