设备安全接入

接入前的准备

1.       终端侧SDK集成

需要根据使用的产品功能场景和具体的终端操作系统类型，下载并集成相应的终端安全SDK，具体请参考终端安全SDK（此处需要连接到在线文档的14.1.1.3章节）。

2.       终端侧安全芯片集成

目前功能场景2、3、4的使用，终端侧需要集成配套的国密安全芯片，客户需自行购买所需的安全芯片。如需购买请联系本地物联网客户经理。

3.       终端侧通信模组适配

当设备使用功能场景1时，设备的通信模组需要进行一定的适配，目前已适配过的模组清单如下，后续还将进行扩展。

如您所使用的的模组不在清单内，请与我们联系，发送邮件到（luyl_dys.sh@chinatelecom.cn），邮件请提供模组厂家名称、型号名称，我们将协助客户配合模组厂商进行适配。

4.       应用侧安全API集成

如果用户终端产品需使用SM9的数据加密功能，则其对应的应用平台可使用SM9安全服务API接口进行数据的加解密，可下载相关的接口文档，并进行相应的开发准备。具体请参考安全服务API。

平台入驻

已入驻平台用户均可使用密安联产品，平台入驻流程参见平台入驻（链接到原有平台入驻文档页面）

创建产品

使用设备接入安全产品的用户在创建产品时，需要设置产品的认证方式和加密方式，具体设置方式如下：

功能场景1：NB设备采用LWM2M协议时，支持使用SM9算法，数据加密方式选择“明文”（即平台不参与加解密，如需加解密由用户终端和应用侧进行），认证方式选择“SM9认证”。

功能场景2：NB设备采用LWM2M协议时，支持使用SM2算法，数据加密方式选择“SM2”（即终端采用SM2加密的数据发送到平台后，由平台解密后推送给应用），认证方式选择“SM2认证”。

功能场景3：4G设备采用MQTT或TCP协议时，支持使用SM1算法，数据加密方式选择“SM1”（即终端采用SM1加密的数据发送到平台后，由平台解密后推送给应用），认证方式选择“SM2认证”，安全类型选择“一机一密”。

功能场景4：4G设备采用MQTT或TCP协议时，支持使用SM4算法，数据加密方式选择“SM4”（即终端采用SM4加密的数据发送到平台后，由平台解密后推送给应用），认证方式选择“SM2认证”，安全类型选择“一机一密”。

添加设备

在已创建的产品下添加设备，添加成功后，设备显示已注册状态。

点击设备右侧“认证信息”的图标，可获取分配给该设备的密钥或证书，下载后可离线灌装到对应的设备上。

设备证书/密钥灌装

1. 设备证书/密钥离线灌装

i.  NB设备SM9密钥离线灌装

通过调用SM9终端安全SDK的密钥导入API实现密钥的灌装，具体请参考《密安联（国密安全能力产品）终端安全SDK使用说明》

ii.  NB设备SM2证书离线灌装

NB设备SM2证书灌装需使用专用的灌装工具。具体请参考密安联（国密安全能力产品）SM2证书灌装工具

2.       设备证书/密钥在线获取

i.  NB设备SM9密钥在线获取

NB设备通过与平台的Bootstrap服务器交互实现SM9密钥的在线下载，具体请参考《密安联（国密安全能力产品）终端安全SDK使用说明》

Bootstrap服务器地址和端口：

180.106.148.146,5683

ii.  4G设备SM2证书在线获取

4G设备通过终端安全SDK的初始化接口与平台交互实现SM2证书的在线下载，具体请参考《密安联（国密安全能力产品）终端安全SDK使用说明》

设备登录平台进行数据安全交互

1.       NB设备使用SM9算法

i． 平台登录：NB设备通过终端安全SDK进行基于SM9算法的设备身份签名，并在平台登录消息中携带签名的身份信息登录平台进行设备身份认证，如下图所示

ii. 设备数据上报：设备通过终端SDK实现业务数据加密后发送到平台，平台推送给应用后由应用侧通过调用平台的安全服务API进行解密

iii． 命令数据下发：应用通过平台的安全服务API实现业务数据加密后发送到平台，平台推送给终端后由终端侧通过调用安全SDK的API进行解密

2.       NB设备使用SM2算法

NB设备通过终端安全SDK对业务数据包进行身份签名和数据加密，数据上报到平台后，由平台完成身份签名信息的认证和数据的解密，如下图所示

3.       4G设备使用SM2+SM1/SM4算法

4G设备通过终端安全SDK与平台建立安全通道（其中采用SM2算法进行身份认证，采用SM1/SM4算法进行数据加密），终端在安全通道内与平台进行数据交互，如下图所示：