CN103108327A - 验证终端设备和用户卡安全关联的方法、装置及系统 - Google Patents
验证终端设备和用户卡安全关联的方法、装置及系统 Download PDFInfo
- Publication number
- CN103108327A CN103108327A CN2011103622313A CN201110362231A CN103108327A CN 103108327 A CN103108327 A CN 103108327A CN 2011103622313 A CN2011103622313 A CN 2011103622313A CN 201110362231 A CN201110362231 A CN 201110362231A CN 103108327 A CN103108327 A CN 103108327A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- subscriber card
- terminal
- verified
- terminal iidentification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种验证终端设备和用户卡安全关联的方法、装置及系统,用以在不扩展用户卡功能的前提下,实现用户卡和终端设备的双向安全认证。其中,所述方法包括:在终端设备接入核心网时,接收所述终端设备发送的第一验证请求;根据验证请求中携带的用户卡标识,在预先存储的用户卡标识与第一鉴权密钥的对应关系中,查找所述用户卡标识对应的第一鉴权密钥;利用查找到的第一鉴权密钥对所述验证请求中携带的终端标识和用户卡标识进行加密后得到第二待验证终端标识;若第一待验证终端标识与所述第二待验证终端标识,确定所述终端设备和用户卡安全关联验证通过;否则,确定所述终端设备和用户卡安全关联验证未通过。
Description
技术领域
本发明涉及移动通信安全技术领域,尤其涉及一种验证终端设备和用户卡安全的方法、装置及系统。
背景技术
现有的移动通信网络中,终端设备与用户卡之间不采用安全机制,用户可以将任意一张用户卡置于任意的终端设备当中,用户卡包括用户识别模块(SIM,Subscriber Identity Module)卡或者全球用户识别卡(USIM,UniversalSubscriber Identity Module)卡等。这种使用方式在普通的应用场景下不存在安全问题,但是应用于物联网等无人值守的场景下可能存在安全问题,例如,攻击者可以通过物理接触方式破坏终端设备和用户卡之间的联系方式,使得特定的用户卡从相应的终端设备中被拔出,进而滥用用户卡或者终端设备。
为了在物联网等无人值守等场景下,保障特定的用户卡和相应的终端设备的安全使用,现有技术提出了以下两种解决方案:1、在终端设备和用户卡之间建立安全通道,使得终端设备和用户卡之间能够进行相互认证;2、在终端设备上预置用户卡的个人识别密码(PIN,Personal Identification Number)进行验证。上述第一种解决方案中,需要在用户卡上增加功能模块,用来建立安全通道,使得用户卡的功能变得更复杂;上述第二种解决方案中,由于PIN码密钥空间较短,攻击者可以尝试进行暴力破解,且只能进行终端设备对用户卡的单向认证,无法进行用户卡对终端设备的认证。从而,如何在不扩展用户卡功能的前提下,实现用户卡和终端设备的双向安全认证,成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种验证用户卡和终端设备安全关联的方法、装置及系统,用以在不扩展用户卡功能的前提下,实现用户卡和终端设备的双向安全认证。
本发明实施例提供的验证终端设备和用户卡安全关联的方法,当终端设备接入核心网时,将自身的终端标识和自身内置的用户卡的用户卡标识及其对应的第一待验证终端标识发送给网络侧,网络侧根据用户卡标识在预先存储的用户卡标识与鉴权密钥标识的对应关系中,查找其对应的鉴权密钥,并利用查找到的鉴权密钥对终端标识和用户卡标识加密得到第二待验证终端标识,若第一待验证终端标识与第二待验证终端标识相同,则确定终端设备和用户卡安全关联验证通过,否则,确定终端设备和用户卡安全关联验证未通过。这样,由网络侧对终端设备和用户卡是否为安全关联进行验证,实现了对终端设备和用户卡的双向认证,且无需扩展用户卡功能。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为本发明实施例中,验证终端设备和用户卡安全关联的系统的结构示意图;
图2为本发明实施例中,验证终端设备和用户卡安全关联的方法的实施流程示意图;
图3为本发明实施例中,终端设备和用户卡首次安全关联时的实施流程示意图;
图4为本发明实施例中,终端设备和用户卡非首次安全关联时的实施流程示意图;
图5为本发明实施例中,验证终端设备和用户卡安全关联的装置的结构示意图。
具体实施方式
现有技术中,验证用户卡和终端设备是否安全关联的方法要么需要扩展用户卡的功能,要么只能实现终端设备对用户卡的单向认证,而且现有技术的解决方案均为终端侧的解决方案,这些解决方案无法将用户卡和终端设备的验证结果告知网络侧,因此,在无人值守的物联网等应用场景下无法满足网络侧对终端设备进行异常检测的需求。
有鉴于此,本发明实施例提供一种验证用户卡和终端设备安全关联的方法、装置及系统,使得网络侧可以判断和获知用户卡和终端设备之间是否安全关联的验证结果,实现用户卡和终端设备的双向安全认证,并且在保证安全性的条件下无需对用户卡进行功能扩展。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1所示,为本发明实施例提供的验证终端设备和用户卡安全关联的系统的结构示意图,包括终端设备101和核心网设备102,以及验证服务器103,其中,终端设备101中内置有用户卡。
为了实现由网络侧对终端设备和用户卡是否安全关联进行判断,本发明实施例中,用户卡拥有用户卡标识和根密钥K;终端设备101拥有终端标识和基础密钥Ks,其中,终端标识与基础密钥Ks为一一对应的关系,即每个终端标识对应唯一的基础密钥Ks;验证服务器103拥有终端标识和该终端标识对应的基础密钥Ks,核心网设备102拥有用户卡标识及其对应的根密钥。其中,终端标识可以为国际移动设备身份码(IMEI,International Mobile EquipmentIdentity),用户卡标识可以为国际移动用户识别码(IMSI,International MobileSubscriberIdentification Number)。
对于任一终端设备来说,均可以采用发明实施例提供的方法验证终端设备与其内置的用户卡的用户卡标识是否安全关联,为了便于描述,本发明实施例中涉及的验证过程针对任一终端设备进行说明。
如图2所示,为本发明实施例提供的验证终端设备和用户卡安全关联的方法的实施流程示意图,包括如下步骤:
S201、在终端设备接入核心网时,接收终端设备发送的第一验证请求;
其中,第一验证请求中携带有接入终端设备的终端标识、终端设备内置的用户卡的用户卡标识和第一待验证终端标识;该第一待验证终端标识为该终端设备利用第二鉴权密钥加密得到,该第二鉴权密钥为所述终端设备利用预先存储的基础密钥对所述终端设备的终端标识进行加密得到。
S202、根据第一验证请求中携带的用户卡标识,在预先存储的用户卡标识与鉴权密钥的对应关系中,查找该用户卡标识对应的第一鉴权密钥;
S203、利用查找到的第一鉴权密钥对第一验证请求中携带的终端标识和用户卡标识进行加密后得到第二待验证终端标识;
S204、判断第一待验证终端标识与第二待验证终端标识是否相同,如果是,执行步骤S205,如果否,执行步骤S206;
S205、确定终端设备和用户卡安全关联验证通过;
S206、确定终端设备和用户卡安全关联验证未通过。
为了在终端设备接入接入网设备的过程中,实现由网络侧对终端设备和该终端设备内置的用户卡进行双向安全关联认证的目的,需要预先建立用户卡标识与鉴权密钥之间的对应关系。本发明实施例中,可以按照以下过程建立用户卡标识与第一鉴权密钥之间的对应关系:
获得第一鉴权密钥;
在终端设备首次接入核心网时,接收该终端设备发送的第二验证请求,该第二验证请求中携带有该终端设备的终端标识、该终端终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
利用获得的第一鉴权密钥,对该终端标识和该用户卡标识进行加密得到第二待验证终端标识;
确定第一待验证终端标识和第二待验证终端标识相同时,建立该用户卡标识与第一鉴权密钥之间的对应关系。
为了更好地理解本发明,以下通过具体的实施例对本发明实施例的实施过程进行说明。
如图3所示,为本发明实施例中,终端设备和用户卡首次安全关联时的实施流程示意图,包括以下步骤:
S301、验证服务器和终端设备分别生成第一鉴权密钥和第二鉴权密钥;
较佳地,第一鉴权密钥为验证服务器利用预设算法对自身存储的该终端设备的终端标识和该终端设备对应的基础密钥进行加密得到,具体的,验证服务器可以按照如下公式确定第一鉴权密钥KEY1:KEY1=KDF(i,m1,r1),其中:KDF表示预设的加密算法;i表示终端设备的终端标识;m1表示所述验证服务器存储的基础密钥;r1表示第一预设值;
第二鉴权密钥为终端设备利用预设算法对自身的终端标识和自身对应的基础密钥进行加密得到,具体的,终端设备按照如下公式确定第二鉴权密钥KEY2:KEY2=KDF(i,m2,r2),其中:KDF表示预设的加密算法;i表示终端设备的终端标识;m2表示终端设备存储的基础密钥;r2表示第二预设值。
对于同一终端设备设备来说,终端设备存储的基础密钥m2与验证服务器存储的基础密钥m1相同;第一预设值r1和第二预设值r2为相同随机数,该随机数可以在终端设备与用户卡首次进行安全关联时由验证服务器生成,通过业务通道或者其他途径发送给终端设备,也可以由终端设备生成并发送给验证服务器。
本发明实施例中,设计的加密算法可以使用高级加密标准(AES,AdvancedEncryption Standard)、三重数据加密标准(3DES,Triple Data EncryptionStandard)等进行加密,能够有效地保证安全性。
S302、验证服务器将自身确定出的第一鉴权密钥KEY1发送给核心网设备;
S303、终端设备首次向核心网设备发送接入请求;
S304、核心网设备向终端设备发送获取请求,请求获取终端设备的终端标识和该终端设备内置的用户卡的用户卡标识;
S305、终端设备利用自身确定出的第二鉴权密钥KEY2,生成第一临时鉴权密钥KEY3;
S306、终端设备获取其内置的用户卡的用户卡标识,并利用KEY3对终端标识和用户卡标识进行加密,得到第一待验证终端标识;
特别地,为了保证第一待验证终端标识的长度与终端设备的终端标识长度相同,可以对利用KEY3对终端标识和用户卡标识加密后得到的结果进行分段截取异或操作。
S307、终端设备将自身的终端标识、自身内置的用户卡的用户卡标识以及得到到第一待验证终端标识发送给接入网设备;
S308、接入网设备利用验证服务器发送的第一鉴权密钥KEY1,生成第二临时鉴权密钥KEY4;
S309、接入网设备利用第二临时鉴权密钥KEY4,对接收到的终端标识和用户卡标识加密得到第二待验证终端标识;
具体的,为了保证第二待验证终端标识的长度与终端设备的终端标识长度相同,可以对利用KEY4对终端标识和用户卡标识加密后得到的结果进行分段截取异或操作。
S310、核心网设备比较第一待验证终端标识与第二待验证终端标识是否相同,若二者相同,则建立用户卡标识与第一鉴权密钥之间的对应关系,若不相同,则拒绝终端设备的接入请求。
具体实施中,当该终端设备再次请求接入时,接入网设备可以根据已经建立的用户卡标识语第一鉴权密钥之间的对应关系,验证终端设备与用户卡之间是否为安全关联,如图4所示,为终端设备和用户卡非首次安全关联时的实施流程示意图,包括如下步骤:
S401、终端设备向核心网设备发送接入请求;
S402、核心网设备向终端设备发送获取请求,请求获取该终端设备的终端标识和该终端设备内置的用户卡的用户卡标识;
S403、终端设备利用自身确定出的第二鉴权密钥KEY2,生成第一临时鉴权密钥KEY3;
S404、终端设备获取其内置的用户卡的用户卡标识,并利用KEY3对终端标识和用户卡标识进行加密,得到第一待验证终端标识;
特别地,为了保证第一待验证终端标识的长度与终端设备的终端标识长度相同,可以对利用KEY3对终端标识和用户卡标识加密后得到的结果进行分段截取异或操作。
S405、终端设备将自身的终端标识、自身内置的用户卡的用户卡标识以及得到到第一待验证终端标识发送给接入网设备;
S406、接入网设备从预先存储的用户卡标识与鉴权密钥对应关系中,查找用户卡标识对应的第一鉴权密钥KEY1;
S407、接入网设备利用查找到的第一鉴权密钥KEY1生成第二临时鉴权密钥KEY4;
S408、接入网设备利用第二临时鉴权密钥KEY4,对接收到的终端标识和用户卡标识加密得到第二待验证终端标识;
S409、接入网设备比较接收到的第一待验证终端标识和自身确定出的第二待验证终端标识是否相同,如果相同,确定终端设备与用户卡安全关联验证通过,否则,确定终端设备与用户卡安全关联验证不通过。
通过上述过程可以看出,本发明实施例中,终端设备只需要从用户卡中获取用户卡标识,这已经成现有技术中用户卡能够实现的功能,从而,本发明实施例中无需对用户卡功能进行扩展。
基于同一发明构思,本发明实施例中还提供一种验证终端设备和用户卡安全关联的装置,由于该装置解决问题的原理与上述验证终端设备和用户卡安全关联的方法相似,因此该装置的实施可以参见上述验证终端设备和用户卡安全关联的方法的实施,重复之处不再赘述。
如图5所示,为本发明实施例中,验证终端设备和用户卡安全关联的装置,包括:
存储单元501,用于存储用户卡标识与第一鉴权密钥的对应关系;
接收单元502,用于在终端设备接入核心网时,接收该终端设备发送的第一验证请求,该第一验证请求中携带有所述终端设备的终端标识、该终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
查找单元503,用于根据该用户卡标识,在存储单元501存储的用户卡标识与第一鉴权密钥的对应关系中,查找该用户卡标识对应的第一鉴权密钥;
加密单元504,用于利用查找单元503查找到的第一鉴权密钥对第一验证请求中携带的终端标识和用户卡标识进行加密后得到第二待验证终端标识;
判断单元505,用于判断第一待验证终端标识与第二待验证终端标识是否相同;
确定单元506,用于在判断单元505的判断结果为是时,确定该终端设备和用户卡安全关联验证通过;用于在判断单元505的判断结果为否时,确定该终端设备和用户卡安全关联验证未通过。
具体实施中,验证终端设备和用户卡安全关联的装置,还可以包括获得单元和对应关系建立单元,其中:
获得单元,用于获得第一鉴权密钥;
接收单元502,还用于在该终端设备首次接入核心网时,接收该终端设备发送的第二验证请求,该第二验证请求中携带有该终端设备的终端标识、该终端终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
加密单元504,还用于利用获得单元获得的第一鉴权密钥,对该终端标识和所述用户卡标识进行加密得到第二待验证终端标识;
对应关系建立单元,用于确定第一待验证终端标识和第二待验证终端标识相同时,建立所述用户卡标识与第一鉴权密钥之间的对应关系。
具体的,获得单元,可以用于接收验证服务器发送的第一鉴权密钥,改第一鉴权密钥为验证服务器利用预设算法对自身存储的该终端设备的终端标识和该终端设备对应的基础密钥进行加密得到。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
本发明实施例提供的验证终端设备和用户卡安全关联的方法,当终端设备接入核心网时,将自身的终端标识和自身内置的用户卡的用户卡标识及其对应的第一待验证终端标识发送给网络侧,网络侧根据用户卡标识在预先存储的用户卡标识与鉴权密钥标识的对应关系中,查找对应其对应的鉴权密钥,并利用查找到的鉴权密钥对终端标识和用户卡标识加密得到第二待验证终端标识,若第一待验证终端标识与第二待验证终端标识相同,则确定终端设备和用户卡安全关联验证通过,否则,确定终端设备和用户卡安全关联验证未通过。这样,由网络侧对终端设备和用户卡是否为安全关联进行验证,实现了对终端设备和用户卡的双向认证,且无需扩展用户卡功能。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种验证终端设备和用户卡安全关联的方法,其特征在于,包括:
在终端设备接入核心网时,接收所述终端设备发送的第一验证请求,所述第一验证请求中携带有所述终端设备的终端标识、所述终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
根据所述用户卡标识,在预先存储的用户卡标识与第一鉴权密钥的对应关系中,查找所述用户卡标识对应的第一鉴权密钥;
利用查找到的第一鉴权密钥对所述第一验证请求中携带的终端标识和用户卡标识进行加密后得到第二待验证终端标识;
判断所述第一待验证终端标识与所述第二待验证终端标识是否相同;
在判断结果为是时,确定所述终端设备和用户卡安全关联验证通过;在判断结果为否时,确定所述终端设备和用户卡安全关联验证未通过。
2.如权利要求1所述的方法,其特征在于,按照如下过程建立用户卡标识与第一鉴权密钥的对应关系:
获得第一鉴权密钥;
在所述终端设备首次接入核心网时,接收所述终端设备发送的第二验证请求,所述第二验证请求中携带有所述终端设备的终端标识、所述终端终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
利用获得的第一鉴权密钥,对所述终端标识和所述用户卡标识进行加密得到第二待验证终端标识;
确定所述第一待验证终端标识和第二待验证终端标识相同时,建立所述用户卡标识与所述第一鉴权密钥之间的对应关系。
3.如权利要求2所述的方法,其特征在于,获得鉴权密钥,具体包括:
接收验证服务器发送的第一鉴权密钥,所述第一鉴权密钥为所述验证服务器利用预设算法对自身存储的所述终端设备的终端标识和所述终端设备对应的基础密钥进行加密得到。
4.如权利要求3所述的方法,其特征在于,所述验证服务器按照如下公式确定第一鉴权密钥:KEY1=KDF(i,m1,r1),其中:
KEY1表示第一鉴权密钥;
KDF表示预设的加密算法;
i表示所述终端设备的终端标识;
m1表示所述验证服务器存储的、所述终端设备对应的基础密钥;
r1表示第一预设值。
5.如权利要求1~4任一权利要求所述的方法,其特征在于,所述第一待验证终端标识为所述终端设备利用第二鉴权密钥对所述终端设备的终端标识和该终端设备内置的用户卡的用户卡标识进行加密得到,所述第二鉴权密钥为所述终端设备利用预设算法对自身的终端标识和自身对应的基础密钥进行加密得到。
6.如权利要求5所述的方法,其特征在于,所述终端设备按照如下公式确定第二鉴权密钥:KEY2=KDF(i,m2,r2),其中:
KEY2表示第二鉴权密钥;
KDF表示预设的加密算法;
i表示所述终端设备的终端标识;
m2表示所述终端设备存储的、自身对应的基础密钥;
r2表示第二预设值。
7.一种验证终端设备和用户卡安全关联的装置,其特征在于,包括:
存储单元,用于存储用户卡标识与第一鉴权密钥的对应关系;
接收单元,用于在终端设备接入核心网时,接收所述终端设备发送的第一验证请求,所述第一验证请求中携带有所述终端设备的终端标识、所述终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
查找单元,用于根据所述用户卡标识,在所述存储单元存储的用户卡标识与第一鉴权密钥的对应关系中,查找所述用户卡标识对应的第一鉴权密钥;
加密单元,用于利用所述查找单元查找到的第一鉴权密钥对所述第一验证请求中携带的终端标识和用户卡标识进行加密后得到第二待验证终端标识;
判断单元,用于判断所述第一待验证终端标识与所述第二待验证终端标识是否相同;
确定单元,用于在所述判断单元的判断结果为是时,确定所述终端设备和用户卡安全关联验证通过;用于在所述判断单元的判断结果为否时,确定所述终端设备和用户卡安全关联验证未通过。
8.如权利要求7所述的装置,其特征在于,还包括获得单元和对应关系建立单元,其中:
所述获得单元,用于获得第一鉴权密钥;
所述接收单元,还用于在所述终端设备首次接入核心网时,接收所述终端设备发送的第二验证请求,所述第二验证请求中携带有所述终端设备的终端标识、所述终端终端设备内置的用户卡的用户卡标识和第一待验证终端标识;
所述加密单元,还用于利用获得单元获得的第一鉴权密钥,对所述终端标识和所述用户卡标识进行加密得到第二待验证终端标识;
对应关系建立单元,用于确定所述第一待验证终端标识和第二待验证终端标识相同时,建立所述用户卡标识与所述第一鉴权密钥之间的对应关系。
9.如权利要求8所述的装置,其特征在于,
所述获得单元,具体用于接收验证服务器发送的第一鉴权密钥,所述第一鉴权密钥为所述验证服务器利用预设算法对自身存储的所述终端设备的终端标识和所述终端设备对应的基础密钥进行加密得到。
10.一种验证终端设备和用户卡安全关联的系统,其特征在于,包括终端设备和核心网设备,所述终端设备内置有用户卡,其中:
所述终端设备,用于在接入所述接入网设备时,利用预先存储的第一鉴权密钥对自身的终端标识进行加密得到第一待验证终端标识,并将所述第一待验证终端标识、自身的终端标识和自身内置的用户卡的用户卡标识发送给所述核心网设备;
所述核心网设备,用于根据接收到的所述用户卡标识,在预先存储的用户卡标识与第二鉴权密钥的对应关系中,查找所述用户卡标识对应的第二鉴权密钥,利用查找到的第二鉴权密钥对所述终端标识和用户卡标识进行加密后待到第二待验证终端标识;当判断出所述第一待验证终端标识和所述第二待验证终端标识相同时,确定所述终端设备和用户卡安全关联验证通过;当判断出所述第一待验证终端标识和所述第二待验证终端标识不相同时,确定所述终端设备和用户卡安全关联验证未通过。
11.如权利要求10所述的系统,其特征在于,所述第一鉴权密钥为所述终端设备利用预设算法对自身的终端标识和自身对应的基础密钥进行加密得到;以及
所述系统,还包括验证服务器,其中:
所述验证服务器,用于针对每一个终端设备,利用预设算法对自身存储的该终端设备的终端标识和该终端设备对应的基础密钥进行加密得到第二鉴权密钥,并将所述第二鉴权密钥发送给所述核心网设备。
12.如权利要求11所述的系统,其特征在于,
所述终端设备,还用于在首次接入所述接入网设备时,利用预先存储的第一鉴权密钥对自身的终端标识进行加密得到第一待验证终端标识,并将所述第一待验证终端标识、自身的终端标识和自身内置的用户卡的用户卡标识发送给所述核心网设备;
所述核心网设备,用于在所述终端设备首次接入时,利用所述验证服务器发送的第二鉴权密钥对该终端设备发送的终端标识和该终端设备内置的用户卡的用户卡标识进行加密得到第二待验证终端标识;当判断出所述第一待验证终端标识和所述第二待验证终端标识相同时,建立所述第二鉴权密钥与所述用户卡标识的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110362231.3A CN103108327B (zh) | 2011-11-15 | 2011-11-15 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110362231.3A CN103108327B (zh) | 2011-11-15 | 2011-11-15 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103108327A true CN103108327A (zh) | 2013-05-15 |
| CN103108327B CN103108327B (zh) | 2016-07-06 |
Family
ID=48315828
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110362231.3A Active CN103108327B (zh) | 2011-11-15 | 2011-11-15 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103108327B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN104660567A (zh) * | 2013-11-22 | 2015-05-27 | 中国联合网络通信集团有限公司 | D2d终端接入认证方法、d2d终端及服务器 |
| CN104883677A (zh) * | 2014-02-28 | 2015-09-02 | 阿里巴巴集团控股有限公司 | 一种设备间通讯的连接方法、装置和系统 |
| CN105120425A (zh) * | 2015-09-30 | 2015-12-02 | 中国联合网络通信集团有限公司 | M2m识别方法及装置、物联网终端、m2m识别系统 |
| CN106571974A (zh) * | 2016-10-09 | 2017-04-19 | 美的智慧家居科技有限公司 | 家用电器的配网方法、系统、家用电器和移动终端 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| CN108924164A (zh) * | 2013-12-12 | 2018-11-30 | 景祝强 | 一种基于物联同步的二次密码的方法 |
| CN111092820A (zh) * | 2018-10-23 | 2020-05-01 | 中国移动通信有限公司研究院 | 一种设备节点认证方法、装置和系统 |
| CN112532573A (zh) * | 2020-09-02 | 2021-03-19 | 中国银联股份有限公司 | 一种认证关联性的认证方法以及安全装置 |
| CN114223231A (zh) * | 2019-08-18 | 2022-03-22 | 华为技术有限公司 | 通信方法及装置 |
| CN116580489A (zh) * | 2023-07-13 | 2023-08-11 | 鼎铉商用密码测评技术(深圳)有限公司 | 门禁设备、门禁卡和发卡器的控制方法、设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243562A (ja) * | 2006-03-08 | 2007-09-20 | Fujitsu Ltd | 携帯端末を用いたデータ端末アクセス制御システム |
| US20100189258A1 (en) * | 2007-06-14 | 2010-07-29 | France Telecom | Method for distributing an authentication key, corresponding terminal, mobility server and computer programs |
| CN102137396A (zh) * | 2010-11-12 | 2011-07-27 | 华为终端有限公司 | 一种终端、卡片及机卡校验的方法和系统 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
-
2011
- 2011-11-15 CN CN201110362231.3A patent/CN103108327B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243562A (ja) * | 2006-03-08 | 2007-09-20 | Fujitsu Ltd | 携帯端末を用いたデータ端末アクセス制御システム |
| US20100189258A1 (en) * | 2007-06-14 | 2010-07-29 | France Telecom | Method for distributing an authentication key, corresponding terminal, mobility server and computer programs |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102137396A (zh) * | 2010-11-12 | 2011-07-27 | 华为终端有限公司 | 一种终端、卡片及机卡校验的方法和系统 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
| CN104660567A (zh) * | 2013-11-22 | 2015-05-27 | 中国联合网络通信集团有限公司 | D2d终端接入认证方法、d2d终端及服务器 |
| CN104660567B (zh) * | 2013-11-22 | 2017-12-15 | 中国联合网络通信集团有限公司 | D2d终端接入认证方法、d2d终端及服务器 |
| CN108924164A (zh) * | 2013-12-12 | 2018-11-30 | 景祝强 | 一种基于物联同步的二次密码的方法 |
| CN104883677B (zh) * | 2014-02-28 | 2018-09-18 | 阿里巴巴集团控股有限公司 | 一种近场通讯设备间通讯的连接方法、装置和系统 |
| CN104883677A (zh) * | 2014-02-28 | 2015-09-02 | 阿里巴巴集团控股有限公司 | 一种设备间通讯的连接方法、装置和系统 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN104580261B (zh) * | 2015-02-10 | 2018-01-05 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| CN105120425A (zh) * | 2015-09-30 | 2015-12-02 | 中国联合网络通信集团有限公司 | M2m识别方法及装置、物联网终端、m2m识别系统 |
| CN105120425B (zh) * | 2015-09-30 | 2019-05-21 | 中国联合网络通信集团有限公司 | M2m识别方法及装置、物联网终端、m2m识别系统 |
| CN106571974A (zh) * | 2016-10-09 | 2017-04-19 | 美的智慧家居科技有限公司 | 家用电器的配网方法、系统、家用电器和移动终端 |
| CN111092820A (zh) * | 2018-10-23 | 2020-05-01 | 中国移动通信有限公司研究院 | 一种设备节点认证方法、装置和系统 |
| CN114223231A (zh) * | 2019-08-18 | 2022-03-22 | 华为技术有限公司 | 通信方法及装置 |
| CN114223231B (zh) * | 2019-08-18 | 2023-11-10 | 华为技术有限公司 | 通信方法及装置 |
| CN112532573A (zh) * | 2020-09-02 | 2021-03-19 | 中国银联股份有限公司 | 一种认证关联性的认证方法以及安全装置 |
| CN116580489A (zh) * | 2023-07-13 | 2023-08-11 | 鼎铉商用密码测评技术(深圳)有限公司 | 门禁设备、门禁卡和发卡器的控制方法、设备和介质 |
| CN116580489B (zh) * | 2023-07-13 | 2023-09-29 | 鼎铉商用密码测评技术(深圳)有限公司 | 门禁设备、门禁卡和发卡器的控制方法、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103108327B (zh) | 2016-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103108327A (zh) | 验证终端设备和用户卡安全关联的方法、装置及系统 | |
| US10231123B2 (en) | Bluetooth low energy (BLE) communication between a mobile device and a vehicle | |
| US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
| CN103873454A (zh) | 一种认证方法及设备 | |
| CN106790156B (zh) | 一种智能设备绑定方法及装置 | |
| US20100062744A1 (en) | Retrieving data wirelessly from a mobile device | |
| CN103178966A (zh) | 车辆与智能钥匙的kpd认证方法、车辆基站及系统 | |
| EP2881863A1 (en) | Method for implementing encryption in storage card, and decryption method and device | |
| CN106412901B (zh) | 一种防蹭网无线路由方法及路由系统 | |
| EP2879421A1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| EP3511853B1 (en) | Security authentication method, integrated circuit and system | |
| WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN102546172A (zh) | 智能卡的访问控制方法、智能卡、终端和系统 | |
| CN108028755B (zh) | 用于认证的方法及装置 | |
| CN104660567A (zh) | D2d终端接入认证方法、d2d终端及服务器 | |
| CN109413648B (zh) | 访问控制方法、终端、智能卡、后台服务器及存储介质 | |
| CN103905400A (zh) | 一种业务认证方法、装置及系统 | |
| CN102984335A (zh) | 拨打固定电话的身份认证方法、设备和系统 | |
| CN103596175A (zh) | 一种基于近场通讯技术的移动智能终端认证系统及方法 | |
| CN102158863A (zh) | 基于java的移动终端鉴权系统和方法、服务器及终端 | |
| EP2993856B1 (en) | Establishment of communication connection between mobile device and secure element | |
| CN105430649A (zh) | Wifi接入方法及设备 | |
| KR101745482B1 (ko) | 스마트홈 시스템에서의 통신 방법 및 그 장치 | |
| CN103763697A (zh) | 一种无线接入点多密钥支持系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |