本申请要求于 2010 年 04 月 16 日提交中国专利局， 申请号为 201010148632.4, 发明名称为 "M2M 中数据加密传输的方法、 设备及系统" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域， 尤其涉及一种 M2M中数据加密传输的方法、设备及 系统。

背景技术

M2M是机器对机器（Machine_to_Machine )通信的简称， 狭义上讲就是机 器与机器之间通过 GSM ( Global System for Mobile communications, 全球 移动通信系统） /GPRS (General Packet Radio Service, 分组无线业务）、 UMTS ( Universal Mobile Telecommunications System ， 通用移动通讯系统) /HSDPA ( High Speed Downlink Packet Access, 高速下行分组接入）和 CDMA (Code Division Multiple Access, 分多址） /EVD0模块实现数据的交换。 广义的 M2M还包含人对机器、 机器对人通信。

M2M的应用在垂直行业市场中快速增长， 这些垂直行业包括： 智能家居、 安防监控、 电子医疗、 零售业、 物流监控等等； 但由于缺乏统一的 M2M标准， 垂直行业的 M2M应用通常是由一个厂商提供端到端的解决方 案使终端和应用 强耦合， 造成部署成本偏高； 另外， 大量部署的垂直应用形成了一个个的信息 孤岛， 很难做到信息之间的共享， 容易造成重复建设。 这些都对垂直的 M2M 应用进一步广泛应用有限制作用， 因此， 构建一个 M2M的水平平台， 对应用屏 蔽到机器的通信方式， 利用标准的接口连接机器和应用， 可以形成信息共享， 减少 M2M的部署成本， 进一步推动 M2M的广泛应用。

通过 M2M平台， 终端的信息可以分发到多个应用， 由于 M2M应用中艮多 信息是属于敏感数据， 因此需要进行加密传输。 为保证数据加密传输过程中的 安全性，目前使用基于会话密钥的对称密钥加 密技术对需要传输的数据进行加 密。

在实现上述数据加密传输的过程中， 发明人发现现有技术中至少存在如下问 题： 当数据发送端上报数据的数据量比较大时， M2M平台需要对所述加密后的 大量上报数据进行解密以及加密处理，造成 M2M平台的运算消耗增加， 降低了 M2M平台的性能。

发明内容

本发明的实施例提供一种 M2M中数据加密传输的方法、设备及系统，解决 了当数据发送端上报数据的数据量比较大时， M2M平台需要对所述加密后的大 量上报数据进行解密以及加密处理， 造成 M2M平台的运算消耗增加， 降低了 M2M平台的性能的问题。

为达到上述目的， 本发明的实施例采用如下技术方案：

一种 M2M中数据加密传输的方法， 包括：

判断上报数据的数据量是否超过设定门限值；

若判定所述上报数据的数据量超过设定门限值 ，则通过 KEM-DEM方式对所 述上报数据进行加密并生成上报报文， 将所述上报报文发送到 M2M平台，所述 上报报文中包括数据加密方式指示信息，用于 向 M2M平台指示数据发送端采用 了 KEM-DEM方式对所述上报数据进行加密； 若判定所述上报数据的数据量没有超过设定门 限值，则通过数据发送端和 M2M平台协商的密钥， 对所述上报数据进行加密并生成上报报文， 将所述上报 报文发送到 M2M平台， 所述上报报文中包括数据加密方式指示信息， 用于向所 述 M2M平台指示数据发送端采用了对称密钥方式对 所述上报数据进行加密。

一种 M2M中数据加密传输的方法， 包括： 接收数据发送端发送的上报报文，所述上报报 文中包括数据加密方式指示 信息，用于向 M2M平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥 方式对所述数据发送端的上报数据进行加密；

若确定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数 据进行加密，则将加密后的数据密钥和加密后 的上报数据从所述上报报文中分 离出来， 并通过用所述数据发送端和 M2M平台协商的密钥，对所述加密后的数 据密钥进行解密， 得到所述数据密钥；

通过所述 M2M平台和数据接收端协商的密钥对所述数据密 钥进行加密，并 与所述加密后的上报数据一起生成下发报文， 将所述下发报文发送给所述数据 接收端， 所述下发报文中包括数据加密方式指示信息， 用于向所述数据接收端 指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行� � 密；

若确定所述数据发送端采用了对称密钥方式对 所述数据发送端的上报数 据进行加密， 则通过所述数据发送端和 M2M平台协商的密钥，对所述上报报文 中包含的加密后的上报数据进行解密得到所述 上报数据；

通过所述 M2M 平台和数据接收端协商的密钥对所述上报数据 进行加密并 生成下发报文，将所述下发报文发送给所述数 据接收端， 所述下发报文中包括 数据加密方式指示信息，用于向所述数据接收 端指示所述 M2M平台采用了对称 密钥方式对所述数据发送端的上报数据进行加 密。

一种数据加密传输的方法， 包括：

接收 M2M平台发送的下发报文，所述下发报文中包括 数据加密方式指示信 息，用于向数据接收端指示所述 M2M平台采用了 KEM-DEM方式还是对称密钥方 式对数据发送端的上报数据进行加密；

若确定所述 M2M平台采用了 KEM-DEM方式对数据发送端的上报数据进行加 密， 则通过所述 M2M平台和数据接收端协商的密钥，对所述下发 报文中包含的 加后密的数据密钥进行解密， 得到所述数据密钥； 通过所述数据密钥对所述下发报文中包含的采 用所述数据密钥加密后的 上报数据进行解密， 得到数据发送端发送的上报数据；

若确定所述 M2M平台采用了对称密钥方式对数据发送端的上 报数据进行 加密， 则通过所述 M2M平台和数据接收端协商的密钥，对所述下发 报文中包含 的加密后的上报数据进行解密， 得到数据发送端发送的上报数据。

一种数据发送端， 包括：

判断单元， 用于判断上报数据的数据量是否超过设定门限 值；

第一加密单元，用于在所述判断单元判定所述 上报数据的数据量超过设定 门限值时， 通过 KEM-DEM方式对所述上报数据进行加密；

第一生成单元，用于将所述第一加密单元加密 得到的加密后的上报数据生 成上报报文；

第一发送单元， 用于将所述第一生成单元生成的所述上报报文 发送到 M2M 平台， 所述上报报文中包括数据加密方式指示信息， 用于向 M2M平台指示数据 发送端采用了 KEM-DEM方式对所述上报数据进行加密；

第二加密单元，用于在所述判断单元判定所述 上报数据的数据量没有超过 设定门限值时，通过数据发送端和 M2M平台协商的密钥，对所述上报数据进行 加密；

第二生成单元，用于将所述第二加密单元得到 的加密后的上报数据生成上 报报文；

第二发送单元， 用于将所述第二生成单元生成的所述上报报文 发送到 M2M 平台， 所述上 4艮"¾文中包括数据加密方式指示信息，用于� �所述 M2M平台指示 数据发送端采用了对称密钥方式对所述上报数 据进行加密。

一种 M2M平台， 包括：

接收单元， 用于接收数据发送端发送的上报报文， 所述上报报文中包括数 据加密方式指示信息， 用于向 M2M 平台指示所述数据发送端采用了 KEM-DEM 方式还是对称密钥方式对所述数据发送端的上 报数据进行加密；

第一解密单元，用于在确定所述数据发送端采 用了 KEM-DEM方式对所述数 据发送端的上报数据进行加密时，将加密后的 数据密钥和加密后的上报数据从 所述接收单元接收到的所述上报报文中分离出 来， 并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥 进行解密，得到所述数据密钥； 第一加密单元，用于通过所述 M2M平台和数据接收端协商的密钥对所述第 一解密单元解密得到的所述数据密钥进行加密 ；

第一生成单元，用于将所述第一加密单元得到 的加密后的数据密钥和第一 解密单元分离出的加密后的上报数据一起生成 下发报文；

第一发送单元，用于将所述第一生成单元生成 的所述下发报文发送给所述 数据接收端， 所述下发报文中包括数据加密方式指示信息， 用于向所述数据接 收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行 加密；

第二解密单元，用于在确定所述数据发送端采 用了对称密钥方式对所述数 据发送端的上报数据进行加密时， 通过所述数据发送端和 M2M 平台协商的密 钥，对所述接收单元接收到的所述上报报文中 包含的加密后的上报数据进行解 密得到所述上报数据；

第二加密单元，用于通过所述 M2M平台和数据接收端协商的密钥对所述第 二解密单元解密得到的所述上报数据进行加密 ；

第二生成单元，用于将所述第二加密单元得到 的加密后的上报数据生成下 发报文；

第二发送单元，用于将所述第二生成单元生成 的所述下发报文发送给所述 数据接收端， 所述下发报文中包括数据加密方式指示信息， 用于向所述数据接 收端指示所述 M2M 平台采用了对称密钥方式对所述数据发送端的 上报数据进 行力口密。

一种数据接收端， 包括：

接收单元， 用于接收 M2M平台发送的下发报文， 所述下发报文中包括数据 加密方式指示信息，用于向数据接收端指示所 述 M2M平台采用了 KEM-DEM方式 还是对称密钥方式对数据发送端的上报数据进 行加密；

第一解密单元，用于在确定所述 M2M平台采用了 KEM-DEM方式对数据发送 端的上报数据进行加密时，通过所述 M2M平台和数据接收端协商的密钥，对所 述接收单元接收到的所述下发报文中包含的加 密后的数据密钥进行解密，得到 所述数据密钥；

第二解密单元， 用于用所述第一解密单元解密得到的所述数据 密钥，对所 述接收单元接收到的所述下发报文中包含的采 用所述数据密钥加密后的上报 数据进行解密， 得到数据发送端发送的上报数据；

第三解密单元，用于在确定所述 M2M平台采用了对称密钥方式对数据发送 端的上报数据进行加密时，通过所述 M2M平台和数据接收端协商的密钥，对所 述接收单元接收到的所述下发报文中包含的加 密后的上报数据进行解密，得到 数据发送端发送的上报数据。

一种 M2M中数据加密传输系统， 包括：

数据发送端， 用于判断上报数据的数据量是否超过设定门限 值； 若判定所 述上报数据的数据量超过设定门限值，则通过 KEM-DEM方式对所述上报数据进 行加密并生成上报报文， 将所述上报报文发送到 M2M平台， 所述上报报文中包 括数据加密方式指示信息， 用于向所述 M2M 平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行加密； 若判定所述上报数据的数据量没有超 过设定门限值， 则通过数据发送端和 M2M平台协商的密钥，对所述上报数据进 行加密并生成上报报文， 将所述上报报文发送到 M2M平台， 所述上报报文中包 括数据加密方式指示信息，用于向所述 M2M平台指示数据发送端采用了对称密 钥方式对所述上报数据进行加密。

M2M平台， 用于接收数据发送端发送的上报报文， 所述上报报文中包括数 据加密方式指示信息， 用于向所述 M2M 平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送� �的上报数据进行加密； 若确 定所述数据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加 密， 则将加密后的数据密钥和加密后的上报数据从 所述上报报文中分离出来， 并通过所述数据发送端和 M2M平台协商的密钥，对所述加密后的数据密钥 进行 解密，得到所述数据密钥； 通过所述 M2M平台和数据接收端协商的密钥对所述 数据密钥进行加密， 并与所述加密后的上报数据一起生成下发报文 ，将所述下 发报文发送给所述数据接收端， 所述下发报文中包括数据加密方式指示信息， 用于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送 端的上报数据进行加密；若确定所述数据发送 端采用了对称密钥方式对所述数 据发送端的上报数据进行加密， 则通过所述数据发送端和 M2M 平台协商的密 钥， 对所述上报报文中包含的加密后的上报数据进 行解密得到所述上报数据； 用所述 M2M平台和数据接收端协商的密钥对所述上报数 据进行加密并生成下 发报文，将所述下发报文发送给所述数据接收 端备， 所述下发报文中包括数据 加密方式指示信息，用于向所述数据接收端指 示所述 M2M平台采用了对称密钥 方式对所述数据发送端的上报数据进行加密。

数据接收端， 用于接收 M2M平台发送的下发报文， 所述下发报文中包括数 据加密方式指示信息， 用于向数据接收端指示所述 M2M平台采用了 KEM-DEM 方式还是对称密钥方式对数据发送端的上报数 据进行加密； 若确定所述 M2M 平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密� � 则通过所述 M2M 平台和数据接收端协商的密钥，对所述下发报 文中包含的加密后的数据密钥进 行解密，得到所述数据密钥； 通过所述数据密钥对所述下发报文中包含的采 用 所述数据密钥加密后的上报数据进行解密， 得到数据发送端发送的上报数据； 若确定所述 M2M平台采用了对称密钥方式对数据发送端的上 报数据进行加密， 则通过所述 M2M平台和数据接收端协商的密钥，对所述下发 报文中包含的加密 后的上报数据密钥进行解密， 得到数据发送端发送的上报数据。

采用本发明技术方案后，当数据发送端需要将 上报数据发送到数据接收端 时，数据发送端首先根据上报数据的数据量大 小， 确定所述数据发送端采用何 种加密方式对所述需要上报数据进行加密，当 数据发送端发送的上报数据量比 较大时， 采用 KEM-DEM方式对所述上报数据进行加密， 由于 KEM-DEM加密方式 具有对上报数据在数据发送端一次加密，在数 据接收端才对该加密后的上报数 据进行解密， M2M平台仅对上报数据加密的数据密钥进行加密 解密，避免了 M2M 平台对大量上报数据多次加密解密的过程，显 著减少 M2M平台转发数据发送端 上报数据的解密加密的运算开销，提高了 M2M平台的性能； 并且在数据发送端 上报的数据量较小时，采用运算简单的对称密 钥的加密方式对所述上报数据进 行加密解密， 使终端的运算消耗比较小， 增加电池的使用时间。

附图说明

为了更清楚地说明本发明实施例或现有技术中 的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单 地介绍，显而易见地， 下面描述 中的附图仅仅是本发明的一些实施例，对于本 领域普通技术人员来讲， 在不付 出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例 1中数据发送端数据加密传输的方法流程图； 图 2为本发明实施例 1中 M2M平台数据加密传输的方法流程图； 图 3为本发明实施例 1中数据接收端数据加密传输的方法流程图； 图 4为本发明实施例 2 中采用 KEM-DEM方式对数据加密传输的方法流程 图；

图 5 为本发明实施例 2 中采用对称加密方式对数据加密传输的方法流 程 图；

图 6为本发明实施例 3中一种数据发送端组成框图；

图 Ί为本发明实施例 3中另一种数据发送端组成框图；

图 8为本发明实施例 3中 M2M平台组成框图；

图 9为本发明实施例 3中数据接收端组成框图；

图 1 0为本发明实施例 3中 M2M数据加密传输的系统组成框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明 实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

实施例 1

本发明实施例提供一种 M2M中数据加密传输的方法，该方法为数据发送 端 对上报数据进行加密传输方法， 如图 1所示， 该方法包括：

1 01、 数据发送端判断上报数据的数据量是否超过设 定门限值； 若判定所 述上报数据的数据量超过设定门限值， 则执行步骤 1 02 ; 若判定所述上报数据 的数据量没有超过设定门限值， 则执行步骤 1 03。

其中， 所述设定门限值可以为根据密钥大小和终端实 际处理能力决定， 本 发明实施例对此不进行限制。

1 02、 所述数据发送端通过 KEM-DEM方式对所述上报数据进行加密并生成 上报报文， 将所述上报报文发送到 M2M平台， 所述上报报文中包括数据加密方 式指示信息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报 数据进行加密。

其中，将数据发送端上报数据和其他需要加密 的信息分开加密的方式称为 KEM-DEM方式。 所述通过 KEM-DEM方式对所述上报数据进行加密并生成上� �报 文， 将所述上报报文发送到 M2M平台， 可以包括：

获取用于对所述上报数据进行加密的数据密钥 ；利用所述数据密钥对所述 上报数据进行加密，并利用所述数据发送端和 M2M平台协商的密钥对所述数据 密钥进行加密； 将加密后的上报数据和加密后的数据密钥生成 上报报文， 并将 所述上报报文发送到 M2M平台。

其中，所述获取用于对所述数据发送端上报数 据进行加密的数据密钥可以 通过以下方法获取， 包括： 通过密码随机生成机制随机生成所述数据密钥 ； 或 者通过人为设定所述数据密钥； 本发明实施例对此不进行限制， 只要可以得到 用于对所述数据发送端需要上报的数据加密的 密钥， 都可以用于本发明实施 例。 并且所述数据发送端和 M2M平台协商的密钥为会话密钥。

103、 所述数据发送端通过数据发送端和 M2M平台协商的密钥， 对所述上 报数据进行加密并生成上报报文，将所述上报 报文发送到 M2M平台， 所述上报 报文中包括数据加密方式指示信息，用于向所 述 M2M平台指示数据发送端采用 了对称密钥方式对数据所述上报数据进行加密 。

其中， 所述数据发送端和 M2M平台协商的密钥为会话密钥。

本发明实施例还提供一种 M2M中数据加密传输的方法，该方法为 M2M平台 对数据发送端上报的数据进行加密传输的方法 ， 如图 2所示， 该方法包括：

201、 M2M 平台接收数据发送端发送的上报报文， 所述上报报文中包括数 据加密方式指示信息， 用于向 M2M 平台指示所述数据发送端采用了 KEM-DEM 方式还是对称密钥方式对所述数据发送端的上 报数据进行加密。 其中，将数据发送端的上报数据和其他需要加 密的信息分开加密的方式称 为 KEM-DEM方式。

202、 所述 M2M平台根据所述数据加密方式指示信息确定数 据发送端数据 采用的对上报数据加密方式；若确定所述数据 发送端采用了 KEM-DEM方式对所 述数据发送端的上报数据进行加密， 则执行步骤 203; 若确定所述数据发送端 采用了对称密钥方式对所述数据发送端的上报 数据进行加密， 则执行步骤 205。

203、 所述 M2M平台将加密后的数据密钥和加密后的上报数 据从所述上报 报文中分离出来， 并通过所述数据发送端和 M2M平台协商的密钥，对所述加密 后的数据密钥进行解密得到所述数据密钥。

其中， 所述数据发送端和 M2M平台协商的密钥可以为会话密钥。

204、 所述 M2M平台通过所述 M2M平台和数据接收端协商的密钥对所述数 据密钥进行加密， 并与所述加密后的上报数据一起生成下发报文 ，将所述下发 报文发送给所述数据接收端， 所述下发报文中包括数据加密方式指示信息， 用 于向所述数据接收端指示所述 M2M平台采用了 KEM-DEM方式对所述数据发送端 的上报数据进行加密。

其中， 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥。

205、 所述 M2M平台通过所述数据发送端和 M2M平台协商的密钥， 对所述 上报报文中包含的加密后的上报数据进行解密 得到所述上报数据。

其中， 所述数据发送端和 M2M平台协商的密钥可以为会话密钥

206、 所述 M2M平台通过所述 M2M平台和数据接收端协商的密钥对所述上 报数据进行加密并生成下发报文，将所述下发 报文发送给所述数据接收端， 所 述下发报文中包括数据加密方式指示信息， 用于向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端 的上报数据进行加密。 其中， 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥。 本发明实施例提供一种数据加密传输的方法， 该方法为数据接收端的数据 加密传输的方法， 如图 3所示， 该方法包括：

301、 数据接收端接收 M2M平台发送的下发报文， 所述下发报文中包括数 据加密方式指示信息， 用于向所述数据接收端指示所述 M2M 平台采用了

KEM-DEM方式还是对称密钥方式对数据发送端� �上报数据进行加密。

302、 所述数据接收端根据所述数据加密方式指示信 息确定 M2M平台采用 的对数据发送端的上报数据进行加密的方式； 若确定所述 M2M 平台采用了 KEM-DEM方式对数据发送端的上报数据进行加密� � 则执行步骤 303; 若确定所 述 M2M平台采用了对称密钥方式对数据发送端的上 报数据进行加密，则执行步 骤 305。

其中，将数据发送端上报数据和其他需要加密 的信息分开加密的方式称为 KEM-DEM方式。

303、 所述数据接收端通过所述 M2M平台和数据接收端协商的密钥， 对所 述下发报文中包含的加密后的数据密钥进行解 密， 得到所述数据密钥。

其中， 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥。

304、 所述数据接收端通过所述数据密钥对所述下发 报文中包含的采用所 述数据密钥加密后的上报数据进行解密， 得到数据发送端发送的上报数据。

305、 所述数据接收端通过所述 M2M平台和数据接收端协商的密钥， 对所 述下发报文中包含的加密后的上报数据进行解 密，得到数据发送端发送的上报 数据。

其中， 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥。

本发明实施例中， 当数据发送端需要将上报数据发送到数据接收 端时，数 据发送端首先根据上报数据的数据量大小，确 定所述数据发送端采用何种加密 方式对所述需要上报数据进行加密， 当数据发送端发送的上报数据量比较大 时， 采用 KEM-DEM方式对所述上报数据进行加密， 由于 KEM-DEM加密方式具有 对上报数据在数据发送端一次加密，在数据接 收端才对该加密后的上报数据进 行解密， M2M平台仅对上报数据加密的数据密钥进行加密 解密， 避免了 M2M平 台对大量上报数据多次加密解密的过程，显著 减少 M2M平台转发数据发送端上 报数据的解密加密的运算开销，提高了 M2M平台的性能； 并且在数据发送端上 报的数据量较小时，采用运算简单的对称密钥 的加密方式对所述上报数据进行 加密解密， 使终端的运算消耗比较小， 增加电池的使用时间。

实施例 2

本发明实施提供一种 M2M中数据加密传输的方法，本发明实施例以数 据发 送端采用 KEM-DEM 方式加密传输拍摄的照片为例， 并且以数据发送端和 M2M 平台协商的密钥， 以及 M2M平台和数据接收端协商的密钥为会话密钥为 例， 具 体阐述 M2M中数据加密传输的方法， 如图 4所示， 终端上报拍摄的照片， 经过 M2M平台的转发到交警处理系统的过程具体包括 ：

401终端和 M2M平台之间协商会话密钥 KTP。

其中， 终端和 M2M平台协商会话密钥 KTP的过程， 可以利用现有技术， 本 发明实施例对此不进行限制。

402、 交警的处理系统和 M2M平台之间协商会话密钥 KAP。

其中， 交警的处理系统和 M2M平台协商会话密钥 KAP的过程， 可以利用现 有技术， 本发明实施例对此不进行限制。

403、终端在某一时刻拍摄了照片， 例如交通违章现场， 需要将照片经 M2M 平台上传到交警的处理系统， 由于照片的数据量大小超过了预设的门限值， 因 此确定终端采用 KEM-DEM方式加密该照片并上报；该预设的门限� �为数据量门 限值， 所述设定门限值可以为根据密钥大小和终端实 际处理能力决定， 本发明 实施例对此不进行限制；终端采用 KEM-DEM方式加密该照片并上报为终端产生 用于加密数据的数据密钥 KD， 用 KD加密照片数据 D, 然后用 KTP加密 KD和其 他信息 I， 将用 KD加密后的照片数据和用 KTP加密后的 KD、 其他信息 I组成 上 报 报 文 （ E (KTP，KD+I) +E (KD，D) ) ， 并 将 组 成 的 上 报 报 文 ( E (KTP, KD+I) +E (KD, D) )发送给 M2M平台， 并在所述上报报文中包含数据加 密方式指示信息，用于向 M2M平台指示所述终端采用了 KEM-DEM方式对所述上 报数据进行加密。

404、 所述 M2M平台接收到终端发送的上报报文后， 根据所述上报报文中 的数据加密方式指示信息，确定终端采用了 KEM-DEM加密方式对上报数据进行 加密， 则所述 M2M平台将用 KD加密后的照片数据和用 KTP加密后的 KD、 其他 信息 I从所述报文中分离出来， 并用 KTP解密得到 KD和其他数据 I， 根据其 他数据确定需要将照片发到交警的处理系统， 因此所述 M2M平台用 KAP加密 KD和其他信息 I， 然后将用 KAP加密 KD和其他信息 Γ 和 KD加密的照片数据 D组合成下发报文（ E (KAP, KD+ Γ ) +E (KD, D) )， 并将所述下发报文（ E (KAP, KD+ Γ ) +E (KD, D) )发送给交警的处理系统， 并在所述下发报文中包含数据加密方 式指示信息，用于向交警的处理系统指示所述 M2M平台采用了 KEM-DEM方式对 终端的上报数据进行加密。

405、 交警的处理系统接收到 M2M平台发送的下发报文后， 根据所述报文 中的数据加密方式指示信息，确定所述 M2M平台采用了 KEM-DEM加密方式对终 端的上报数据进行加密，则所述交警的处理系 统用 KAP解密所述下发报文中加 密后的数据密钥，得到 KD，然后用 KD解密所述下发报文中加密后的照片数据， 得到最终的照片。

本发明实施还提供一种 M2M中数据加密传输的方法，本实施例以数据发 送 端采用对称密钥的加密方式加密传输环境湿度 为例， 并且以数据发送端和 M2M 平台协商的密钥， 以及 M2M平台和数据接收端协商的密钥为会话密钥为 例， 具 体阐述 M2M 中数据加密传输的方法， 如图 5所示， 终端上报湿度数据， 经过 M2M平台的转发到环境控制系统的过程具体包括 ：

501、 终端和 M2M平台之间协商会话密钥 KTP。

其中， 终端和 Μ2Μ平台协商会话密钥 ΚΤΡ的过程， 可以利用现有技术， 本 发明实施例对此不进行限制。

502、 环境控制系统和 Μ2Μ平台之间协商会话密钥 ΚΑΡ。

其中， 环境控制系统和 Μ2Μ平台协商会话密钥 ΚΑΡ的过程， 可以利用现有 技术， 本发明实施例对此不进行限制。

503、 终端在某一获取了湿度数据 D， 需要经 M2M平台上传到环境控制系 统， 由于湿度数据 D的数据量很小， 为 4字节的浮点数， 没有超过预设的门限 值， 因此确定终端采用对称密钥方式加密湿度数据 D并上报； 该预设的门限值 为数据量门限值，所述设定门限值可以为根据 密钥大小和终端实际处理能力决 定， 本发明实施例对此不进行限制； 终端采用对称密钥方式加密湿度数据 D 并上报包括终端用 KTP加密 D和其他信息 I， 将用 KTP加密 D和其他信息 I组 成上报报文 E (KTP， I+D )， 并将所述组成的上报报文 E (KTP， I+D )发送给 M2M 平台，并在所述上报报文中包含数据加密方式 指示信息， 用于向 M2M平台指示 所述终端采用了对称加密方式对所述上报数据 进行加密。

504、 所述 M2M平台接收到终端发送的上报报文后， 根据所述上报报文中 的数据加密方式指示信息， 确定终端采用了对称加密方式对上报数据进行 加 密，则所述 M2M平台将用 KTP加密 D和其他信息 I用 KTP解密得到 D和其他信 息 I， 根据所述其他信息 I确定需要将湿度数据 D发到环境控制系统， 因此所 述 M2M平台用 KAP加密湿度数据 D和其他信息 Γ 并组成下发报文 E (ΚΤΡ, Γ +D ), 然后将所述下发报文 Ε (ΚΤΡ， Γ +D )发给环境控制系统， 并在所述上报 报文中包含数据加密方式指示信息，用于向环 境控制系统指示所述 M2M平台采 用了对称加密方式对终端上报数据进行加密。

505、 所述环境控制系统接收到 M2M平台发送的下发报文后， 根据所述报 文中的数据加密方式指示信息，确定所述 M2M平台采用了对称加密方式对终端 上报数据进行加密， 则所述环境控制系统用 KTP解密得到的 D和其他信息 I 用 KAP解密， 得到湿度数据 D和其他信息 Γ， 然后进行后续的环境控制， 例 如控制加湿器的开关。

本发明实施例中， 当数据发送端需要将上报数据发送到数据接收 端时，数 据发送端首先根据上报数据的数据量大小，确 定所述数据发送端采用何种加密 方式对所述需要上报数据进行加密， 当数据发送端发送的上报数据量比较大 时， 采用 KEM-DEM方式对所述上报数据进行加密， 由于 KEM-DEM加密方式具有 对上报数据在数据发送端一次加密，在数据接 收端才对该加密后的上报数据进 行解密， M2M平台仅对上报数据加密的数据密钥进行加密 解密， 避免了 M2M平 台对大量上报数据多次加密解密的过程，显著 减少 M2M平台转发数据发送端上 报数据的解密加密的运算开销，提高了 M2M平台的性能； 并且在数据发送端上 报的数据量较小时，采用运算简单的对称密钥 的加密方式对所述上报数据进行 加密解密， 使终端的运算消耗比较小， 增加电池的使用时间。

并且， 本发明实施例中， 数据发送端和 M2M平台协商的密钥为会话密钥， 以及所述 M2M平台和数据接收端协商的密钥可以为会话密 钥，从而避免了传统 的 KEM-DEM 方法对数据密钥的加密采用非对称密钥加密技 术进行对终端运算 能力要求较高， 以及增加运算消耗的弊端， 从而减少终端的能耗， 增加电池的 使用时间。

实施例 3

本发明实施例提供一种数据发送端， 如图 6所示， 该数据发送端包括： 判 断单元 61、 第一加密单元 62、 第一生成单元 63、 第一发送单元 66、 第二加密 单元 65、 第二生成单元 66和第二发送单元 67。

判断单元 61， 用于判断上报数据的数据量是否超过设定门限 值， 其中， 所述设定门限值可以为根据密钥大小和终端实 际处理能力决定，本发明实施例 对此不进行限制； 在所述判断单元 61判定所述上报数据的数据量超过设定门 限值时， 第一加密单元 62， 用于通过 KEM-DEM方式对所述需要上报的数据进 行加密； 第一生成单元 63， 用于将所述第一加密单元 62加密得到的加密后的 上报数据生成上报报文； 第一发送单元 64， 用于将所述第一生成单元 63生成 的所述上报报文发送到 M2M平台， 所述上报报文中包括数据加密方式指示信 息，用于向 M2M平台指示数据发送端采用了 KEM-DEM方式对所述上报数据进行 加密。其中， 将数据发送端上报数据和其他需要加密的信息 分开加密的方式称 为 KEM-DEM方式。

在所述判断单元 61判定所述上报数据的数据量没有超过设定门� ��值时， 第二加密单元 65， 用于通过数据发送端和 M2M平台协商的密钥， 对所述上报 数据进行加密，其中所述数据发送端和 M2M平台协商的密钥对所述数据密钥可 以为会话密钥； 第二生成单元 66， 用于将所述第二加密单元 65得到的加密后 的上报数据生成上报报文； 第二发送单元 67， 用于将所述第二生成单元 66生 成的所述上报报文发送到 M2M平台，所述上报报文中包括数据加密方式指 示信 息，用于向所述 M2M平台指示数据发送端采用了对称密钥方式对 所述上报数据 进行加密。

如图 Ί所示， 所述第一加密单元 62包括： 获取模块 621和加密模块 622。 获取模块 621， 用于获取用于对所述上报数据进行加密的数据 密钥； 加密 模块 622， 用于利用所述数据密钥对所述上报数据进行加 密， 并用所述数据发 送端和 M2M平台协商的密钥对所述数据密钥进行加密， 其中所述数据发送端和 M2M平台协商的密钥对所述数据密钥可以为会话 密钥； 所述第一生成单元 63 还用于将所述加密模块 622 加密后的上报数据和加密后的数据密钥生成上 报 报文。

其中，所述获取模块 621获取用于对所述数据发送端的上报数据进行 加密 的数据密钥， 可以通过密码随机生成机制随机生成所述数据 密钥； 或者通过人 为设定所述数据密钥； 本发明实施例对此不进行限制， 只要可以得到用于对所 述数据发送端的上报数据进行加密的数据密钥 ，都可以用于本发明实施例。 并 且所述数据发送端和 M2M平台协商的密钥为会话密钥。

本发明实施例提供一种 M2M平台， 如图 8所示， 该平台包括： 第一接收单 元 71、 第一解密单元 72、 第一加密单元 73、 第一生成单元 74、 第一发送单元 75、 第二解密单元 76、 第二加密单元 77、 第二生成单元 78和第二发送单元 79。

第一接收单元 71， 用于接收数据发送端发送的上报报文， 所述上报报文 中包括数据加密方式指示信息， 用于向 M2M平台指示所述数据发送端采用了 KEM-DEM方式还是对称密钥方式对所述数据发送� �的上报数据进行加密。

在根据所述数据加密方式指示信息确定所述数 据发送端采用了 KEM-DEM 方式对所述数据发送端的上报数据进行加密时 ， 第一解密单元 72， 用于将加 密后的数据密钥和加密后的上报数据从所述接 收单元 71接收到的所述上报报 文中分离出， 并通过所述数据发送端和 M2M平台协商的密钥，对所述加密的数 据密钥进行解密得到所述数据密钥，其中所述 数据发送端和 M2M平台协商的密 钥可以为会话密钥； 第一加密单元 73， 用于通过所述 M2M平台和数据接收端 协商的密钥对所述第一解密单元 72解密得到的所述数据密钥进行加密， 其中 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥； 第一生成单元 74， 用于将所述第一加密单元 73得到的加密后的数据密钥与所述第一解密单� �� 71 分离出的所述加密后的上报数据一起生成下发 报文； 第一发送单元 75， 用于 将所述第一生成单元 74生成的所述下发报文发送给所述数据接收端� �� 所述下 发报文中包括数据加密方式指示信息， 用于向所述数据接收端指示所述 M2M 平台采用了 KEM-DEM方式对所述数据发送端的上报数据进行� �密。

在所述数据加密方式指示信息确定所述数据发 送端采用了对称密钥方式 对所述数据发送端的上报数据进行加密时， 第二解密单元 76， 用于通过所述 数据发送端和 M2M平台协商的密钥，对所述接收单元接收到的 所述上报报文中 包含的加密后的上报数据进行解密得到所述上 报数据，其中所述数据发送端和 M2M平台协商的密钥可以为会话密钥； 第二加密单元 77， 用于通过所述 M2M 平台和数据接收端协商的密钥， 对所述第二解密单元 76解密得到的所述上报 数据进行加密， 其中所述 M2M平台和数据接收端协商的密钥可以为会话密 钥； 第二生成单元 78， 用于将所述第二加密单元 ΊΊ得到的加密后的上报数据生成 下发报文； 第二发送单元 79， 用于将所述第二生成单元 78生成的所述下发报 文发送给所述数据接收端， 所述下发报文中包括数据加密方式指示信息， 用于 向所述数据接收端指示所述 M2M平台采用了对称密钥方式对所述数据发送端 的上报数据进行加密。

本发明实施例提供一种数据接收端， 如图 9所示， 所述数据接收端包括： 接收单元 81、 第一解密单元 82、 第二解密单元 83和第三解密单元 84。

接收单元 81， 用于接收 M2M平台发送的下发报文， 所述下发报文中包括 数据加密方式指示信息， 用于向数据接收端指示所述 M2M平台采用了 KEM-DEM 方式还是对称密钥方式对数据发送端的上报数 据进行加密。

在根据所述数据加密方式指示信息确定所述 M2M平台采用了 KEM-DEM方式 对数据发送端的上报数据进行加密时， 第一解密单元 82， 用于通过所述 M2M 平台和数据接收端协商的密钥， 对所述接收单元 81接收到的所述下发报文中 包含的加密后的数据密钥进行解密， 得到所述数据密钥； 第二解密单元 83， 用于通过用所述第一解密单元 82解密得到的所述数据密钥， 对所述接收单元 81 接收到的所述下发报文中包含的采用所述数据 密钥加密后的数据进行解 密， 得到数据发送端发送的上报数据。 其中， 所述 M2M平台和数据接收端协商 的密钥可以为会话密钥。

在根据所述数据加密方式指示信息确定所述 M2M 平台采用了对称密钥方 式对所述数据发送端的上报数据进行加密时， 第三解密单元 84， 用于通过所 述 M2M平台和数据接收端协商的密钥， 对所述接收单元 81接收到的所述下发 报文中包含的加密后的上报数据进行解密， 得到数据发送端发送的上报数据。 其中， 所述 M2M平台和数据接收端协商的密钥可以为会话密 钥。

本发明实施例提供一种 M2M中数据加密传输的系统， 如图 10所示， 还系 统包括： 数据发送端 91、 M2M平台 92和数据接收端 93。

数据发送端 91， 用于判断上报数据的数据量是否超过设定门限 值； 若判 定所述上报数据的数据量超过设定门限值，则 通过 KEM-DEM方式对所述上报数 据进行加密并生成上报报文， 并将所述上报报文发送到 M2M平台 92， 所述上 报报文中包括数据加密方式指示信息，用于向 所述 M2M平台指示数据发送端采 用了 KEM-DEM方式对所述上报数据进行加密；若判定� �述上报数据的数据量没 有超过设定门限值， 则通过数据发送端和 M2M平台协商的密钥，对所述上报数 据进行加密并生成上报报文， 并将所述上报报文发送到 M2M平台 92， 所述上 报报文中包括数据加密方式指示信息，用于向 所述 M2M平台指示数据发送端采 用了对称密钥方式对所述上报数据进行加密。

M2M平台 92， 用于接收数据发送端 91发送的上报报文， 所述上报报文中 包括数据加密方式指示信息， 用于向所述 M2M平台指示所述数据发送端 91采 用了 KEM-DEM方式还是对称密钥方式对所述数据发送� �的上报数据进行加密； 若确定所述数据发送端 91采用了 KEM-DEM方式对所述数据发送端的上报数据 进行加密，则将加密后的数据密钥和加密后的 上报数据从所述上报报文中分离 出来， 并通过所述数据发送端 91和 M2M平台 92协商的密钥，对所述加密的数 据密钥进行解密得到所述数据密钥； 通过所述 M2M平台 92 和数据接收端 93 协商的密钥对所述数据密钥进行加密，并与所 述加密后的上报数据一起生成下 发报文， 并将所述下发报文发送给所述数据接收端 93， 所述下发报文中包括 数据加密方式指示信息， 用于向所述数据接收端指示所述 M2M平台 92采用了 KEM-DEM方式对所述数据发送端的上报数据进行� �密； 若确定所述数据发送端 91采用了对称密钥方式对数据进行加密， 则通过所述数据发送端 91和 M2M平 台 92协商的密钥， 对所述上报报文中包含的加密后的上报数据进 行解密得到 所述上报数据；用所述 M2M平台 92和数据接收端 93协商的密钥对所述上报数 据进行加密并生成下发报文， 将所述下发本文发送给所述数据接收端 93， 所 述下发报文中包括数据加密方式指示信息， 用于向所述数据接收端指示所述 M2M平台 92采用了对称密钥方式对所述数据发送端的上� ��数据进行加密。

数据接收端 93， 用于接收 M2M平台 92发送的下发报文， 所述下发报文中 包括数据加密方式指示信息， 用于向数据接收端指示所述 M2M平台 92采用了 KEM-DEM方式还是对称密钥方式对数据发送端的� �报数据进行加密； 若确定所 述 M2M平台 92采用了 KEM-DEM方式对数据发送端的上报数据进行加密� � 则通 过所述 M2M平台 92和数据接收端 93协商的密钥，对所述下发报文中包含的加 密后的数据密钥进行解密，得到所述数据密钥 ； 通过所述数据密钥对所述下发 报文中包含的采用所述数据密钥加密后的数据 进行解密，得到数据发送端发送 的上报数据； 若确定所述 M2M平台 92采用了对称密钥方式对数据发送端的上 报数据进行加密， 则通过所述 M2M平台 92和数据接收端 93协商的密钥，对所 述下发报文中包含的加密后的上报数据进行解 密，得到数据发送端发送的上报 数据。

本发明实施例中， 当数据发送端需要将上报数据发送到数据接收 端时，数 据发送端首先根据上报数据的数据量大小，确 定所述数据发送端采用何种加密 方式对所述需要上报数据进行加密， 当数据发送端发送的上报数据量比较大 时， 采用 KEM-DEM方式对所述上报数据进行加密， 由于 KEM-DEM加密方式具有 对上报数据在数据发送端一次加密，在数据接 收端才对该加密后的上报数据进 行解密， M2M平台仅对上报数据加密的数据密钥进行加密 解密， 避免了 M2M平 台对大量上报数据多次加密解密的过程，显著 减少 M2M平台转发数据发送端上 报数据的解密加密的运算开销，提高了 M2M平台的性能； 并且在数据发送端上 报的数据量较小时，采用运算简单的对称密钥 的加密方式对所述上报数据进行 加密解密， 使终端的运算消耗比较小， 增加电池的使用时间。

并且， 本发明实施例中， 数据发送端和 M2M平台协商的密钥为会话密钥， 以及所述 M2M平台和数据接收端协商的密钥可以为会话密 钥，从而避免了传统 的 KEM-DEM 方法对数据密钥的加密采用非对称密钥加密技 术进行对终端运算 能力要求较高， 以及增加运算消耗的弊端， 从而减少终端的能耗。

通过以上的实施方式的描述，所属领域的技术 人员可以清楚地了解到本发 明可借助软件加必需的通用硬件的方式来实现 ， 当然也可以通过硬件，但艮多 情况下前者是更佳的实施方式。基于这样的理 解， 本发明的技术方案本质上或 者说对现有技术做出贡献的部分可以以软件产 品的形式体现出来，该计算机软 件产品存储在可读取的存储介质中， 如计算机的软盘， 硬盘或光盘等， 包括若 干指令用以使得一台计算机设备（可以是个人 计算机， 服务器， 或者网络设备 等）执行本发明各个实施例所述的方法。

以上所述，仅为本发明的具体实施方式，但本 发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明 揭露的技术范围内， 可轻易想到 变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应 以所述权利要求的保护范围为准。