一种简化的数据加解密方法及传输系统与流程

1.本发明涉及物联网安全应用技术领域，特别是涉及一种简化的数据加解密方法及传输系统。


背景技术：

2.近年来iot技术发展迅猛，硬件智能化已是不可阻挡的未来趋势，万物互联的物联网时代正在到来。人们在享受网络便利的同时，网络安全问题也日益突显。现实中，服务端存储有客户端需求的数据资源，客户端需要向服务端发起数据请求获取服务端的数据资源。服务端存储的数据资源中包括不同安全等级的数据信息，如果对安全级别高的数据信息使用明文进行传输，将会引起一些安全风险。因此，目前常采用基于ssl/tls协议实现信息加密传输的技术，以保证数据传输的安全。ssl/tls是一种密码通信框架，它是世界上使用最广泛的密码通信方法。ssl/tls综合运用了密码学中的对称密码、消息认证码、公钥密码、数字签名、伪随机数生成器等，是密码学中的集大成者。ssl/tls协议包括ssl/tls握手层协议和ssl/tls记录层协议，ssl/tls握手层协议建立在ssl/tls记录层协议之上，用于在实际的数据传输开始前通信双方进行身份认证、协商密钥和加密算法等安全参数、交换密钥；ssl/tls记录层协议建立在可靠的传输协议(如tcp(transmission control protocol，传输控制协议))之上，用于为高层协议提供数据的分段、封装、压缩及解压缩、加密及解密等基本功能的支持。
3.但是随着物联网应用场景的不断增加，该技术存在以下几个问题亟待解决：
4.(1)该技术在运行时需要的运算和传输资源较多、功耗大且协议复杂：
5.使用该技术进行数据加密传输时需要先创建sslvpn连接。连接后，客户端利用高层协议向服务端请求数据，客户端和服务端需要先通过ssl/tls握手层协议协商对称密钥和加密算法，再通过ssl/tls记录层协议对请求的数据加密后进行传输。所以该技术需要的运算和传输资源较多、功耗大且协议复杂。
6.(2)物联网接入设备自身资源有限，不足以部署ssl/tls协议：
7.随着物联网的不断发展，其接入设备资源呈现出碎片化的特点，一些小型设备自身的存储空间较小，达不到部署ssl/tls协议所需的设备资源要求，造成了一定程度的安全隐患。
8.为解决以上问题，亟需一种功耗低、协议简单以及占用设备资源小的技术。


技术实现要素：

9.本发明的目的是提供一种简化的数据加解密方法及传输系统，解决技术功耗大、协议复杂以及设备资源不足的问题。
10.为实现上述目的，本发明提供了如下方案：
11.一种简化的数据加密方法，所述加密方法包括加密认证步骤和加密步骤；
12.所述加密认证步骤包括：
13.根据执行解密步骤的第一模块的第一简化数字证书序列号，从证书管理系统模块获得所述第一模块的第一公钥；所述证书管理系统模块预置有所述第一模块的第一简化数字证书；所述第一简化数字证书包括所述第一简化数字证书序列号和所述第一公钥；
14.所述加密步骤包括：
15.利用所述第一公钥对明文数据进行加密，得到密文数据；对所述密文数据进行摘要运算，得到摘要值；利用执行所述加密步骤的第二模块的第二私钥对所述摘要值进行签名，得到签名数据；所述密文数据和所述签名数据组成加密后数据。
16.一种简化的数据解密方法，所述解密方法包括解密认证步骤和解密步骤；
17.所述解密认证步骤包括：
18.根据执行加密步骤的第二模块的第二简化数字证书序列号，从证书管理系统模块获得所述第二模块的第二公钥；所述证书管理系统模块预置有所述第二模块的第二简化数字证书；所述第二简化数字证书包括所述第二简化数字证书序列号和所述第二公钥；
19.所述解密步骤包括：
20.利用所述第二公钥对签名数据进行解密，得到第一摘要值；对密文数据进行摘要运算，得到第二摘要值；若所述第一摘要值与所述第二摘要值一致，则利用执行所述解密步骤的第一模块的第一私钥对所述密文数据进行解密，得到明文数据。
21.一种简化的数据加解密传输系统，所述加解密传输系统包括设备端模块、网关模块、服务端模块和证书管理系统模块；所述设备端模块通过所述网关模块与所述服务端模块通信连接；所述设备端模块、所述网关模块和所述服务端模块均与所述证书管理系统模块通信连接，所述证书管理系统模块预置有所述设备端模块、所述网关模块和所述服务端模块的简化数字证书；
22.当所述设备端模块向所述服务端模块上报数据时：
23.所述设备端模块用于执行上述的加密认证步骤和加密步骤，得到加密后数据，并将所述加密后数据传输至所述网关模块；所述网关模块用于执行上述的解密认证步骤和解密步骤，得到明文数据，并将所述明文数据传输至所述服务端模块；
24.所述设备端模块用于执行上述的加密认证步骤和加密步骤，得到加密后数据，并将所述加密后数据经所述网关模块转发至所述服务端模块；所述服务端模块用于执行上述的解密认证步骤和解密步骤，得到明文数据；
25.或者，所述设备端模块用于执行上述的加密认证步骤和加密步骤，得到加密后数据，并将所述加密后数据传输至所述网关模块；所述服务端模块用于执行上述的解密认证步骤；所述网关模块用于执行上述的解密步骤，得到明文数据，并将所述明文数据传输至所述服务端模块；
26.当所述服务端模块向所述设备端模块下发数据时：
27.所述服务端模块用于将明文数据传输至所述网关模块；所述网关模块用于执行上述的加密认证步骤和加密步骤，得到加密后数据，并将所述加密后数据传输至所述设备端模块；所述设备端模块用于执行上述的解密认证步骤和解密步骤，得到所述明文数据；
28.所述服务端模块用于执行上述的加密认证步骤和加密步骤，得到加密后数据，并将所述加密后数据经所述网关模块转发至所述设备端模块；所述设备端模块用于执行上述的解密认证步骤和解密步骤，得到明文数据；
29.或者，所述服务端模块用于将明文数据传输至所述网关模块，并执行上述的加密认证步骤；所述网关模块用于执行上述的加密步骤，得到加密后数据，并将所述加密后数据传输至所述设备端模块；所述设备端模块用于执行上述的解密认证步骤和解密步骤，得到明文数据。
30.根据本发明提供的具体实施例，本发明公开了以下技术效果：
31.本发明用于提供一种简化的数据加解密方法及传输系统，根据执行解密步骤的第一模块的第一简化数字证书序列号，从证书管理系统模块获得第一模块的第一公钥，并利用第一公钥对明文数据进行加密，得到密文数据，对密文数据进行摘要运算，得到摘要值，利用执行加密步骤的第二模块的第二私钥对摘要值进行签名，得到签名数据，并对应设计了相应的解密方法，通过上述方式，本发明采用简化数字证书技术以及简化数字信封技术进行数据加密传输，其协议简单、证书解析简单、数据短，使用非对称密钥直接加密数据，运算功耗及传输功耗相对较小，降低了对设备资源的要求，并且为小型设备数据传输过程中的双向认证、加密传输、抗抵赖、防篡改等安全需求提供了保障，解决技术功耗大、协议复杂以及设备资源不足的问题。
附图说明
32.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1为本发明的简化数字信封技术的原理框图；
34.图2为本发明实施例1所提供的加密方法的方法流程图；
35.图3为本发明实施例2所提供的解密方法的方法流程图；
36.图4为本发明实施例3所提供的加解密传输系统的整体结构图；
37.图5为本发明实施例3所提供的服务端模块不具备认证和加解密功能时的加解密传输系统的整体结构图；
38.图6为本发明实施例3所提供的服务端模块不具备认证和加解密功能时的数据上报流程图；
39.图7为本发明实施例3所提供的服务端模块不具备认证和加解密功能时的数据下发流程图；
40.图8为本发明实施例3所提供的服务端模块具备认证和加解密功能时的加解密传输系统的整体结构图；
41.图9为本发明实施例3所提供的服务端模块具备认证和加解密功能时的数据上报流程图；
42.图10为本发明实施例3所提供的服务端模块具备认证功能，不具备加解密功能时的加解密传输系统的整体结构图；
43.图11为本发明实施例3所提供的服务端模块具备认证功能，不具备加解密功能时的数据上报流程图。
具体实施方式
44.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
45.本发明的目的是提供一种简化的数据加解密方法及传输系统，解决技术功耗大、协议复杂以及设备资源不足的问题。
46.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
47.针对背景技术所提出的现有技术功耗大、协议复杂以及设备资源不足的问题，本发明能够通过简化数字证书技术、简化数字信封技术以及公钥基础设施pki证书体系的结合，为解决上述问题提供方法，能够适用于物联网设备加密传输的情景，实现物联网设备双向认证、加密传输、抗抵赖、防篡改等安全需求。
48.在此，先对本发明所用的简化数字证书技术和简化数字信封技术进行介绍：
49.简化数字证书技术：简化数字证书的简化结构包括简化数字证书序列号、公钥、模组信息(包括设备端信息)、应用行业和ca签名数据，只需预置简化数字证书序列号，当需要使用简化数字证书时，向证书管理系统模块发送请求，然后证书管理系统模块通过查询简化数字证书序列号的方式找到相应的简化数字证书，获得简化数字证书的信息(包含简化数字证书序列号、公钥、模组信息、应用行业和ca签名数据)，并将需要的信息发回请求端。采用简化数字证书技术在设备灌装时，能够减少设备资源的消耗。
50.简化数字信封技术：如图1所示，其描述了使用简化数字信封技术进行数据加解密传输的基本流程。当本端设备和对端设备使用简化数字信封技术进行数据加密传输时，由本端设备发往对端设备的数据加解密流程为：(1)本端设备的加密过程：先使用对端公钥对数据进行加密，得到密文数据；然后使用国密sm3算法对密文数据进行摘要运算；最后使用本端私钥对摘要值进行签名，得到签名数据；签名结束后，将密文数据、签名数据和本端简化数字证书序列号打包发送至对端设备。由于传输的是简化数字证书序列号，可以减小传输资源消耗，并且后续还可以使用简化数字证书序列号到证书管理系统模块查询到相应的简化数字证书，得到本端公钥。(2)对端设备的解密过程包括：先对本端简化数字证书序列号进行认证得出本端公钥；然后使用本端公钥对签名数据进行解密，得出第一摘要值；使用国密sm3算法对密文数据进行摘要运算，得到第二摘要值；将第一摘要值和第二摘要值进行对比，若对比结果一致，则使用对端私钥对密文数据进行解密，得到明文数据。由对端设备发回本端设备的数据加解密流程与上述由本端设备发往对端设备的数据加解密流程一致，在此不再赘述。简化数字信封技术采用非对称密钥对数据进行加密传输，资源损耗小、数据短、协议简单，并且其采用加密与签名的方式保证了数据加密、身份认证、抗抵赖、防篡改的安全需求。
51.由于本发明采用的是简化数字证书，该简化数字证书的简化结构仅包括简化数字证书序列号、公钥、模组信息、应用行业和签名数据，故证书管理系统模块内部的ca模块需要定制改造以便进行非标准简化证书签发，将ca模块改造为根据简化数字证书序列号可以签发简化数字证书，并且签发的简化数字证书的简化结构仅包括简化数字证书序列号、公
钥、模组信息、应用行业和签名数据这些内容，只需要在ca模块生成数字证书时定制修改数字证书结构。
52.基于上述内容，本发明提供三个实施例，使用对运算和传输资源需求较低的简化数字证书技术、简化数字信封技术对物联网设备的数据传输进行加密保护，解决现有技术功耗大、协议复杂以及设备资源不足的问题。
53.实施例1：
54.本实施例用于提供一种简化的数据加密方法，如图2所示，所述加密方法包括加密认证步骤和加密步骤；
55.所述加密认证步骤包括：
56.s1：根据执行解密步骤的第一模块的第一简化数字证书序列号，从证书管理系统模块获得所述第一模块的第一公钥；所述证书管理系统模块预置有所述第一模块的第一简化数字证书；所述第一简化数字证书包括所述第一简化数字证书序列号和所述第一公钥；
57.本实施例可以利用简化数字证书技术去获得第一公钥，即可以通过第一简化数字证书序列号去证书管理系统模块查询得到相应的第一简化数字证书，并提取第一简化数字证书里面的第一公钥。本实施例的第一简化数字证书还包括模组信息、应用行业和ca签名数据。当然，本实施例还可以提前在第二模块中预置第一公钥，此时便不再需要利用第一简化数字证书序列号去查询得到第一公钥。
58.所述加密步骤包括：
59.s2：利用所述第一公钥对明文数据进行加密，得到密文数据；对所述密文数据进行摘要运算，得到摘要值；利用执行所述加密步骤的第二模块的第二私钥对所述摘要值进行签名，得到签名数据；所述密文数据和所述签名数据组成加密后数据。
60.本实施例利用简化数字信封技术进行加密。对密文数据进行摘要运算可以包括：利用国密sm3算法对密文数据进行摘要运算。本实施例的加密后数据还可以包括第二模块的第二简化数字证书序列号，并且本实施例还可将签名数据、密文数据、第二简化数字证书序列号打包传输，从而实现加密传输。
61.本实施例采用简化数字证书技术以及简化数字信封技术，协议简单、证书解析简单、数据短，使用非对称密钥直接加密数据，运算功耗及传输功耗相对较小，降低了对设备资源的要求，并且为小型设备数据传输过程中的双向认证、加密传输、抗抵赖、防篡改等安全需求提供了保障。
62.本实施例的第一模块可为设备端模块、网关模块或服务端模块，第二模块可为设备端模块、网关模块或服务端模块，从而可以使用简化数字证书技术、简化数字信封技术对物联网设备的数据传输进行加密保护，解决现有技术功耗大、协议复杂以及设备资源不足的问题。
63.实施例2：
64.本实施例用于提供一种简化的数据解密方法，如图3所示，所述解密方法包括解密认证步骤和解密步骤；
65.所述解密认证步骤包括：
66.t1：根据执行加密步骤的第二模块的第二简化数字证书序列号，从证书管理系统模块获得所述第二模块的第二公钥；所述证书管理系统模块预置有所述第二模块的第二简
化数字证书；所述第二简化数字证书包括所述第二简化数字证书序列号和所述第二公钥；
67.本实施例可以利用简化数字证书技术去获得第二公钥，即可以通过第二简化数字证书序列号去证书管理系统模块查询得到相应的第二简化数字证书，并提取第二简化数字证书里面的第二公钥。本实施例的第二简化数字证书还包括模组信息、应用行业和ca签名数据。当然，本实施例还可以提前在第一模块中预置第二公钥，此时便不再需要利用第二简化数字证书序列号去查询得到第二公钥。
68.所述解密步骤包括：
69.t2：利用所述第二公钥对签名数据进行解密，得到第一摘要值；对密文数据进行摘要运算，得到第二摘要值；若所述第一摘要值与所述第二摘要值一致，则利用执行所述解密步骤的第一模块的第一私钥对所述密文数据进行解密，得到明文数据。
70.本实施例利用简化数字信封技术进行解密。对密文数据进行摘要运算可以包括：利用国密sm3算法对密文数据进行摘要运算。本实施例利用第二公钥进行验签，若第一摘要值和第二摘要值一致，则验签成功，则利用第一私钥对密文数据进行解密，得到明文数据；若第一摘要值和第二摘要值不一致，则验签失败，说明传输的密文数据已被更改，就丢弃该密文数据，不再进行解密过程。
71.本实施例采用简化数字证书技术以及简化数字信封技术，协议简单、证书解析简单、数据短，使用非对称密钥直接解密数据，运算功耗及传输功耗相对较小，降低了对设备资源的要求，并且为小型设备数据传输过程中的双向认证、加密传输、抗抵赖、防篡改等安全需求提供了保障。
72.本实施例的第一模块可为设备端模块、网关模块或服务端模块，第二模块可为设备端模块、网关模块或服务端模块，从而可以使用简化数字证书技术、简化数字信封技术对物联网设备的数据进行解密保护，解决现有技术功耗大、协议复杂以及设备资源不足的问题。
73.实施例3：
74.本实施例用于提供一种简化的数据加解密传输系统，如图4所示，所述加解密传输系统包括设备端模块、网关模块、服务端模块和证书管理系统模块，设备端模块通过网关模块与服务端模块通信连接，即设备端模块和服务端模块之间的通信要通过位于二者之间的网关模块来实现，且设备端模块、网关模块和服务端模块均与证书管理系统模块通信连接，证书管理系统模块预置有设备端模块、网关模块和服务端模块的简化数字证书序列号和简化数字证书。
75.证书管理系统模块是一个独立的模块，配合简化数字证书序列号和简化数字证书使用，在设备端模块、网关模块、服务端模块的传输过程中始终传输的是简化数字证书序列号，若想要根据简化数字证书序列号得到对应的简化数字证书，则需要通过证书管理系统模块来实现。
76.设备端模块预置有设备端模块的公私钥对和简化数字证书序列号，网关模块预置有网关模块的公私钥对和简化数字证书序列号，服务端模块预置有服务端模块的公私钥对和简化数字证书序列号。证书管理系统模块还可以预置证书管理系统模块的公私钥对和改造的ca模块，利用改造的ca模块实现简化数字证书的签发。
77.当设备端模块向服务端模块上报数据时，有如下三种加解密数据传输方式：
78.(1)设备端模块用于执行实施例1所述的加密认证步骤和加密步骤，得到加密后数据，并将加密后数据传输至网关模块；网关模块用于执行实施例2所述的解密认证步骤和解密步骤，得到明文数据，并将明文数据传输至服务端模块。
79.(2)设备端模块用于执行实施例1所述的加密认证步骤和加密步骤，得到加密后数据，并将加密后数据经网关模块转发至服务端模块；服务端模块用于执行实施例2所述的解密认证步骤和解密步骤，得到明文数据。
80.(3)设备端模块用于执行实施例1所述的加密认证步骤和加密步骤，得到加密后数据，并将加密后数据传输至网关模块；服务端模块用于执行实施例2所述的解密认证步骤，得到设备端模块的公钥，并将设备端模块的公钥传输至网关模块；网关模块用于执行实施例2所述的解密步骤，得到明文数据，并将明文数据传输至服务端模块。
81.当服务端模块向设备端模块下发数据时，有如下三种加解密数据传输方式：
82.(1)服务端模块用于将明文数据传输至网关模块；网关模块用于执行实施例1所述的加密认证步骤和加密步骤，得到加密后数据，并将加密后数据传输至设备端模块；设备端模块用于执行实施例2所述的解密认证步骤和解密步骤，得到明文数据。
83.(2)服务端模块用于执行实施例1所述的加密认证步骤和加密步骤，得到加密后数据，并将加密后数据经网关模块转发至设备端模块；设备端模块用于执行实施例2所述的解密认证步骤和解密步骤，得到明文数据。
84.(3)服务端模块用于执行实施例1所述的加密认证步骤，得到第一公钥，并将明文数据和第一公钥传输至网关模块；网关模块用于执行实施例1所述的加密步骤，得到加密后数据，并将加密后数据传输至设备端模块；设备端模块用于执行实施例2所述的解密认证步骤和解密步骤，得到明文数据。
85.在此，本实施例对上述3种情况进行进一步的说明：
86.(1)当服务端模块不具备认证和加解密功能时，由网关模块进行认证和加解密操作。如图5所示，各部分的结构为：设备端模块需要预置设备端公私钥对、设备端简化数字证书序列号、网关模块公钥；网关模块需要预置网关模块公私钥对、网关模块简化数字证书序列号(如果设备端模块没有预制网关模块公钥，就可以将网关模块简化数字证书序列号发送至设备端模块，以获得网关模块公钥)；证书管理系统模块需要预置证书管理系统模块公私钥对、设备端模块和网关模块的简化数字证书序列号、设备端模块和网关模块的简化数字证书、改造的ca模块。
87.当设备端模块向服务端模块上报数据时，如图6所示，主要包括以下五步操作：
88.1)设备端模块将明文数据发送给密码模块(见图6的
①
)，密码模块使用网关模块公钥对明文数据进行加密，然后将得到的密文数据返回给设备端模块(见图6的
②
)。
89.2)设备端模块将密文数据发送至密码模块(见图6的
③
)，密码模块使用国密sm3算法对密文数据进行摘要运算，得出摘要值，并使用设备端私钥对摘要值进行签名，最后将签名数据返回至设备端模块(见图6的
④
)。
90.3)设备端模块收到签名数据后，便将密文数据、签名数据、设备端简化数字证书序列号打包组成上报数据，通过通信模组将其发送至网关模块(见图6的
⑤
和
⑥
)。
91.4)网关模块接收到数据后，向密码模块发送解密请求(见图6的
⑦
)，密码模块将设备端简化数字证书序列号发送至证书管理系统模块(见图6的
⑧
)。证书管理系统模块利用
改造的ca模块，得到该设备端简化数字证书序列号对应简化数字证书内的设备端公钥，并将其发送回密码模块(见图6的
⑨
)。
92.5)密码模块使用设备端公钥对上报数据进行验签操作，使用设备端公钥对签名数据进行解密，得到第一摘要值，然后使用国密sm3算法对密文数据进行摘要运算，得到第二摘要值，将第二摘要值与第一摘要值进行对比，若一致，则验签成功，若不一致，则验签失败，丢弃该上报数据。验签成功后，利用网关模块私钥对密文数据进行解密得出明文数据，将明文数据发送回网关模块(见图6的
⑩
)，然后网关模块将明文数据发送给服务端模块(见图6的)。
93.当服务端模块向设备端模块下发数据时，如图7所示，主要包括以下四步操作：
94.1)服务端模块将明文数据发送至网关模块(见图7的
①
)，然后网关模块将明文数据和设备端简化数字证书序列号发送至密码模块(见图7的
②
)。密码模块向证书管理系统模块发送设备端简化数字证书序列号(见图7的
③
)。证书管理系统模块通过改造的ca模块查询得出设备端公钥，并将设备端公钥返回至密码模块(见图7的
④
)。密码模块使用设备端公钥对明文数据进行加密，并将密文数据返回至网关模块(见图7的
⑤
)。
95.2)网关模块将密文数据发送至密码模块(见图7的
⑥
)，密码模块使用国密sm3算法对密文数据进行摘要运算，得到摘要值，并使用网关模块私钥对摘要值进行签名，最后将签名数据返回至网关模块(见图7的
⑦
)。
96.3)网关模块收到签名数据后，将签名数据、密文数据打包组成下发数据，通过通信模组将其发至设备端模块(见图7的
⑧
和
⑨
)。
97.4)设备端模块接收到下发数据后，向密码模块发送解密请求(见图7的
⑩
)，密码模块使用网关模块公钥对下发数据进行验签操作，将对密文数据使用国密sm3算法进行摘要运算得到的第二摘要值与利用网关模块公钥对签名数据进行解密得到的第一摘要值进行对比，若一致，则验签成功。验签成功后，利用设备端私钥对密文数据进行解密得出明文数据，并将明文数据发送给设备端模块(见图7的)。
98.(2)当服务端模块具备认证和加解密功能时，网关模块不再进行认证、加解密操作，网关模块收到数据包后转发给服务端模块，由服务端模块进行认证和加解密操作。如图8所示，各部分的结构为：设备端模块需要预置设备端公私钥对、设备端简化数字证书序列号、服务端公钥；服务端模块需要预置服务端公私钥对、服务端简化数字证书序列号；证书管理系统模块需要预置证书管理系统公私钥对、简化数字证书序列号(包括设备端模块、服务端模块)、简化数字证书(包括设备端模块、服务端模块)、改造的ca模块。
99.设备端模块向服务端模块上报数据时，如图9所示，主要包括以下六步操作：
100.1)设备端模块将明文数据发送给密码模块(见图9的
①
)，密码模块使用设备端模块预置好的服务端公钥对明文数据进行加密，然后将密文数据返回给设备端模块(见图9的
②
)。
101.2)设备端模块将密文数据发送至密码模块(见图9的
③
)，密码模块使用国密sm3算法对密文数据进行摘要运算，得出摘要值，并使用设备端私钥对摘要值进行签名加密，最后将签名数据返回至设备端模块(见图9的
④
)。
102.3)设备端模块收到签名数据后，便将密文数据、签名数据、设备端简化数字证书序
列号打包组成上报数据，通过通信模组将其发送至网关模块(见图9的
⑤
和
⑥
)。
103.4)网关模块接收到上报数据后，将上报数据发送给服务端模块(见图9的
⑦
)。
104.5)服务端模块收到上报数据后，向密码模块发送解密请求(见图9的
⑧
)，密码模块将设备端简化数字证书序列号发送至证书管理系统模块(见图9的
⑨
)。证书管理系统模块利用改造的ca模块，得到该序列号对应简化数字证书内的设备端公钥，并将其发送回密码模块(见图9的
⑩
)。
105.6)密码模块使用设备端公钥对上报数据进行验签操作，使用设备端公钥对签名数据进行解密，得到第一摘要值，然后使用国密sm3算法对密文数据进行摘要运算，得到第二摘要值，将第二摘要值与第一摘要值进行对比，若一致，则验签成功。验签成功后，利用服务端私钥对密文数据进行解密得出明文数据，然后将明文数据通报给服务端模块(见图9的)。
106.当服务端模块向设备端模块下发数据时，主要包括以下四步操作：
107.1)服务端模块将明文数据发送给密码模块，密码模块使用设备端公钥对明文数据进行加密，并将密文数据返回至服务端模块。
108.2)服务端模块将密文数据发送至密码模块，密码模块使用国密sm3算法对密文数据进行摘要运算，得到摘要值，并使用服务端模块私钥对摘要值进行签名，最后将签名数据返回至服务端模块。
109.3)服务端模块收到签名数据后，将签名数据、密文数据打包组成下发数据，通过通信模组和网关模块将其发至设备端模块。
110.4)设备端模块接收到下发数据后，向密码模块发送解密请求，密码模块使用服务端模块公钥对下发数据进行验签操作，将对密文数据使用国密sm3算法进行摘要运算得到的第二摘要值与利用服务端模块公钥对签名数据进行解密得到的第一摘要值进行对比，若一致，则验签成功。验签成功后，利用设备端私钥对密文数据进行解密得出明文数据，并将明文数据发送给设备端模块。
111.(3)当服务端模块具备认证功能，不具备加解密功能时，由服务端模块进行认证，由网关模块进行数据加解密操作。如图10所示，各部分的结构为：设备端模块需要预置设备端公私钥对、设备端简化数字证书序列号、网关模块公钥；网关模块需要预置网关模块公私钥对；服务端模块需要预置服务端简化数字证书序列号；证书管理系统模块需要预置证书管理系统模块公私钥对、简化数字证书序列号(包括设备端模块、服务端模块)、简化数字证书(包括设备端模块、服务端模块)、改造的ca模块。
112.设备端模块向服务端模块上报数据时，如图11所示，主要包括以下五步操作：
113.1)设备端模块将明文数据发送给密码模块(见图11的
①
)，密码模块使用预置好的网关模块公钥对明文数据进行加密，然后将密文数据返回给设备端模块(见图11的
②
)。
114.2)设备端模块将密文数据发送至密码模块(见图11的
③
)，密码模块使用国密sm3算法对密文数据进行摘要运算，得出摘要值，并使用设备端私钥对摘要值进行加密，最后将签名数据返回至设备端模块(见图11的
④
)。
115.3)设备端模块收到签名数据后，便将密文数据、签名数据、设备端简化数字证书序列号打包组成上报数据，通过通信模组将其发送至网关模块(见图11的
⑤
和
⑥
)。
116.4)网关模块接收到数据后，首先将设备端简化数字证书序列号发送给服务端模块
(见图11的
⑦
)，服务端模块再将设备端简化数字证书序列号发送至证书管理系统模块(见图11的
⑧
)。证书管理系统模块利用改造的ca模块，得到该序列号对应简化数字证书内的设备端公钥，并将其发送回服务端模块(见图11的
⑨
)，服务端模块将得到的设备端公钥发送给网关模块(见图11的
⑩
)。
117.5)网关模块收到设备端公钥后，向密码模块发出解密请求(见图11的)。密码模块使用设备端公钥对上报数据进行验签操作，使用设备端公钥对签名数据进行解密，得到第一摘要值，然后使用国密sm3算法对密文数据进行摘要运算，得到第二摘要值，将第二摘要值与第一摘要值进行对比，若一致，则验签成功。验签成功后，利用网关模块私钥对密文数据进行解密得出明文数据，将明文数据发送回网关模块(见图11的)，然后网关模块将明文数据通告给服务端模块(见图11的)。
118.当服务端模块向设备端模块下发数据时，主要包括以下四步操作：
119.1)服务端模块向证书管理系统模块发送设备端简化数字证书序列号，得到设备端公钥，并将明文数据和设备端公钥发送至网关模块。网关模块将明文数据和设备端公钥发送给密码模块，密码模块使用设备端公钥对明文数据进行加密，并将密文数据返回至网关模块。
120.2)网关模块将密文数据发送至密码模块，密码模块使用国密sm3算法对密文数据进行摘要运算，得到摘要值，并使用网关模块私钥对摘要值进行签名，最后将签名数据返回至网关模块。
121.3)网关模块收到签名数据后，将签名数据、密文数据打包组成下发数据，通过通信模组将其发至设备端模块。
122.4)设备端模块接收到下发数据后，向密码模块发送解密请求，密码模块使用网关模块公钥对下发数据进行验签操作，将对密文数据使用国密sm3算法进行摘要运算得到的第二摘要值与利用网关模块公钥对签名数据进行解密得到的第一摘要值进行对比，若一致，则验签成功。验签成功后，利用设备端私钥对密文数据进行解密得出明文数据，并将明文数据发送给设备端模块。
123.本实施例使用对运算和传输资源需求较低的简化数字证书技术、简化数字信封技术对物联网设备的数据传输进行加密保护，使资源受限设备的数据安全传输得到保障。
124.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
125.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。