[发明专利]安全通信装置、安全认证方法和安全通信方法

说明书

本发明公开了安全通信装置、安全认证方法和安全通信方法，该装置包括：专用通信模组，所述专用通信模组包括标准通信模组和AT命令处理模块，所述AT命令处理模块提供增强AT指令，所述标准通信模组提供通用AT指令；密码模块，所述密码模块由所述AT命令处理模块进行功能调用。本发明既能够解决物联网终端的安全增强问题，又能够降低对物联网终端厂商、通信模组厂商等产业链的定制和集成难度，利用安全通信装置与物联网管理平台后端的密码服务形成端到端的安全防护能力。

技术领域

本发明属于通信安全技术领域，尤其涉及安全通信装置、安全认证方法和安全通信方法。

背景技术

以NB-IoT物联网系统为例，物联网应用安全解决方案的模型包括，物联网终端-移动通信网络-物联网管理平台-物联网应用。其中，物联网终端需要嵌入密码模块，物联网管理平台需要通过密码服务SDK调用外部的服务器密码机；由终端侧密码模块与网络侧服务器密码机配合，提供端到端安全防护能力，包括轻量级接入鉴权和轻量级数据机密性和完整性保护。

由此可见，物联网终端安全的传统解决方案是以物联网终端为主体，在物联网终端中嵌入密码模块。

由物联网终端集成传感器、物联网通信模组、天线、电源芯片、电池以及微处理器。在微处理器上部署终端应用APP和密码服务SDK。当物联网终端开机后，微处理器通过密码服务SDK调用密码模块中的密码应用，发起与物联网管理平台的接入认证；当需要发送感知数据时，微处理器上的终端应用APP从传感器采集感知数据，然后通过密码服务SDK调用密码模块中的密码应用完成对感知数据的加密处理，再通过通信模组发送感知数据。这种解决方案是目前大多数解决方案采用的技术途径，存在以下几个弊端：

（1）标准化程度不高，在设计上属于“一事一议”性质，多种物联网终端需要设计多次；

（2）物联网终端厂家需要具有定制开发能力，能够集成密码服务SDK，实现密码模块的嵌入和调用；

（3）不同的厂家有不同的实现方式，软件实现上若存在漏洞，将导致密码服务SDK的调用被旁路，从而导致物联感知数据无法得到保护。因此，将密码模块的集成工作部署在靠近应用侧，放在物联网终端厂家，存在较大安全隐患。

发明内容

本发明的目的在于，为克服现有技术缺陷，提供了安全通信装置、安全认证方法和安全通信方法, 由终端微处理器MCU通过标准AT指令集控制通信模组调用密码模块中认证、机密性保护、完整性保护等安全功能，既能够解决物联网终端的安全增强问题，又能够降低对物联网终端厂商、通信模组厂商等产业链的定制和集成难度，利用安全通信装置与物联网管理平台后端的密码服务形成端到端的安全防护能力，以满足关键行业对物联网应用安全的需求。

本发明目的通过下述技术方案来实现：

一种安全通信装置，所述装置包括：

专用通信模组，所述专用通信模组包括标准通信模组和AT命令处理模块，所述AT命令处理模块提供增强AT指令，所述标准通信模组提供通用AT指令；

密码模块，所述密码模块由所述AT命令处理模块进行功能调用。

进一步的，所述AT命令处理模块通过将增强AT指令转化为API函数实现对所述密码模块的功能调用。

进一步的，所述密码模块的功能包括身份鉴别功能、机密性保护功能和完整性保护处理功能。

进一步的，所述密码模块包括软件形态或硬件形态中的任意一种。

另一方面，本发明还提供了一种终端安全认证方法，所述方法通过前述任一种安全通信装置实现，所述方法包括：

终端发送AT指令，通知所述安全通信装置准备向后端管理平台发起接入认证；

所述AT命令处理模块向管理平台完成身份校验；