CN103297224A - 密钥信息分发方法及相关设备 - Google Patents
密钥信息分发方法及相关设备 Download PDFInfo
- Publication number
- CN103297224A CN103297224A CN201210043852XA CN201210043852A CN103297224A CN 103297224 A CN103297224 A CN 103297224A CN 201210043852X A CN201210043852X A CN 201210043852XA CN 201210043852 A CN201210043852 A CN 201210043852A CN 103297224 A CN103297224 A CN 103297224A
- Authority
- CN
- China
- Prior art keywords
- key
- safeguard protection
- key information
- terminal
- generating parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种密钥信息分发方法及相关设备,M2M平台接收到注册请求后向身份管理服务器发送密钥请求;身份管理服务器根据密钥生成参数生成安全保护密钥,将安全保护密钥和密钥生成参数发送给M2M平台;M2M平台使用安全保护密钥对密钥信息进行安全处理后将密钥信息和密钥生成参数发送给M2M终端;M2M终端获取使用与安全保护密钥对应的安全保护验证密钥对密钥信息进行安全验证处理后得到的密钥信息,安全保护验证密钥由M2M终端内的用户身份模块根据密钥生成参数生成。采用本发明技术方案,能够解决现有技术中传输密钥信息的安全性较低,且M2M系统应用的灵活性较低的问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种密钥信息分发方法及相关设备。
背景技术
机器对机器(M2M,Machine-to-Machine)是一种以机器终端智能交互为核心的、网络化的应用与服务。M2M终端与M2M平台建立通信时需要通过接入密码完成M2M终端在M2M平台的登录过程,并需要基于基础密钥对数据进行加密,因此M2M终端接入M2M系统前必须从M2M平台上获取其上、下行接入密码和基础密钥,M2M终端的接入密码和基础密钥是M2M安全机制的基础,接入密码和基础密钥也可以统称为密钥信息。
目前,M2M终端获取接入密码和基础密钥的方法一般包含下述两种,下面分别进行介绍。
第一种获取方法,通过预配置的方法将M2M终端的终端序列号、接入密码和基础密钥预先存储在M2M终端中,同时将预配置的终端序列号、接入密码和基础密钥保存在M2M平台上。M2M终端向M2M平台注册时,将接入密码和基础密钥进行摘要处理后,和终端序列号一起上报给M2M平台,M2M平台根据M2M终端上报的终端序列号及经过摘要处理后的接入密码和基础密钥的相关信息进行核对,若核对结果为无效,则M2M平台将禁止该M2M终端注册。
第二种获取方法,M2M终端首次向M2M平台注册时,M2M平台通过短消息将接入密码和基础密钥下发给M2M终端,如图1所示,其具体处理流程如下:
步骤11,M2M终端通过注册(REGISTER)报文向M2M平台发起注册请求;
步骤12,M2M平台通过M2M终端的注册请求之后,向该M2M终端发送注册确认(REGISTER_ACK;ACK,Acknowledge)报文回复注册成功,并要求该M2M终端进入短消息通信模式,准备接收M2M平台下发的接入密码和基础密钥;
步骤13,M2M终端接收到REGISTER_ACK报文之后,立即进入短消息通信模式;
步骤14,M2M平台经过一定的时延之后,生成接入密码和基础密钥,通过短消息向M2M终端发送安全设置(SECURITY_CONFIG)报文,SECURITY_CONFIG报文中携带有该M2M终端的上行接入密码、上行接入密码的有效期、下行接入密码、下行接入密码的有效期,若M2M终端支持并启用了数据加密功能,则M2M平台还会在SECURITY_CONFIG报文中携带该M2M终端的基础密钥和基础密钥的有效期,由于接入密码和基础密钥是首次分发,因此M2M平台必须采用短消息明文发送的方式进行下发,在M2M系统支持短消息加密传输的情况下,携带接入密码和基础密钥的报文的传输安全性可以由短消息的安全传输机制来保证;
步骤15,M2M终端成功接收到M2M平台下发的接入密码和基础密钥之后,立即将其存储,并向M2M平台返回安全设置确认(SECURITY_CONFIG_ACK)报文;
步骤16,M2M终端使用接收到的接入密码向M2M平台发送登录(LOGIN)报文,即发起登录请求,若M2M终端支持并启用了数据加密功能,则还需要携带基础密钥的相关信息摘要;
步骤17,M2M平台接收到M2M终端的LOGIN报文之后,对其进行鉴权,并在鉴权通过后回复登录确认(LOGIN_ACK)报文,并在M2M平台生成首次下发密码成功日志,同时保存接入密码以及基础密钥。
由上可见,现有技术中第一种获取接入密码和基础密钥的方法需要人为地将密钥信息配置到每个M2M终端,增加了用户使用终端设备时操作的复杂性,此外,由于不确定M2M终端初始接入M2M系统的确切时间,为了确保M2M终端接入时密钥信息不过期,预置的接入密码和基础密钥的有效期都必须设置为最长时间,这就给网络攻击者留下了获取并使用密码信息的网络安全隐患,使得传输密钥信息的安全性较低;而现有技术第二种获取接入密码和基础密钥的方法虽然能够实现密钥信息自动配置和分发,但是由于缺乏对密钥信息的保护机制,M2M终端的密钥信息只能以明文的形式下发,这就使密钥信息很容易地被网络攻击者获取,使得传输密钥信息的安全性较低,此外在M2M系统支持短消息加密传输的情况下,采用短消息传输的方法虽然能够对密钥信息进行传输安全保护,但是必须要通过短消息的方式进行发送,这就使原本可支持多种数据通信方式的M2M系统在密钥信息分发环节只能采取短消息的方式传输,在很大程度上限制了M2M系统应用的灵活性。
发明内容
本发明实施例提供一种密钥信息分发方法及相关设备,用以解决现有技术中传输密钥信息的安全性较低,且M2M系统应用的灵活性较低的问题。
本发明实施例技术方案如下:
一种密钥信息分发方法,该方法包括步骤:机器对机器M2M平台接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求;所述身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台;所述M2M平台使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理,以及将处理后的密钥信息和所述密钥生成参数发送给所述M2M终端;所述M2M终端获取使用安全保护验证密钥对所述M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成。
一种机器对机器平台,包括:注册请求接收单元,用于接收M2M终端发送的注册请求;密钥请求发送单元,用于在注册请求接收单元接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求;密钥响应消息接收单元,用于接收所述身份管理服务器发送的携带有安全保护密钥和随机的密钥生成参数的密钥响应消息,所述安全保护密钥是所述身份管理服务器根据所述密钥生成参数生成的;安全处理单元,用于使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理;密钥信息发送单元,用于将安全处理单元处理后的密钥信息和所述密钥生成参数发送给所述M2M终端。
一种身份管理服务器,包括:密钥请求接收单元,用于接收机器对机器M2M平台发送的密钥请求;安全保护密钥生成单元,用于在密钥请求接收单元接收到密钥请求后,根据随机的密钥生成参数生成安全保护密钥;密钥响应消息发送单元,用于将安全保护密钥生成单元生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台。
一种机器对机器终端,包括:密钥信息接收单元,用于接收机器对机器M2M平台发送的、使用安全保护密钥对待发送给所述M2M终端的密钥信息进行安全处理后的密钥信息和密钥生成参数;密钥信息获取单元,用于获取使用安全保护验证密钥对密钥信息接收单元接收到的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成;密钥信息确认单元,用于将密钥信息获取单元获取到的密钥信息确认为M2M平台分发的密钥信息。
一种用户身份模块,置于机器对机器M2M终端内,包括:密钥生成参数获取单元,用于获取生成安全保护密钥的随机的安全生成参数,安全保护密钥用于M2M平台对待发送给所述M2M终端的密钥信息进行安全处理;安全保护验证密钥生成单元,用于根据密钥生成参数获取单元获取到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,所述安全保护验证密钥用于对安全处理后的密钥信息进行安全验证处理。
本发明实施例技术方案中,M2M平台接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求,身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给M2M平台,M2M平台使用所述安全保护密钥对待分发给M2M终端的密钥信息进行安全处理,以及将处理后的密钥信息和密钥生成参数发送给M2M终端,M2M终端内的用户身份模块根据密钥生成参数生成与安全保护密钥对应的安全保护验证密钥,M2M终端获取使用安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,获取到的密钥信息即为M2M平台分发的密钥信息。由上可见,本发明实施例技术方案与现有技术第一种获取密钥信息的方法相比,能够在M2M终端注册至M2M系统时自动实现M2M终端的密钥信息的分发,免除了用户对M2M终端进行密钥配置操作的复杂性,提高了用户体验,同时在M2M终端发起注册时将密钥信息分发给M2M终端,因此M2M平台可以在接收到M2M终端的注册请求时动态生成密钥信息,有效地提高了传输密钥信息的安全性;本发明实施例技术方案与现有技术第二种获取密钥信息的方法相比,通过网络侧的身份管理服务器生成安全保护密钥,M2M平台使用安全保护密钥对密钥信息进行安全处理后以密文的形式发送给M2M终端,从而有效地提高了传输密钥信息的安全性,此外,密钥信息以密文的形式发送给M2M终端时不依赖于底层通信网络,也就不限于短消息的形式,从而使可支持多种数据通信方式的M2M系统能够采取各种数据通信方式进行传输,因此有效地提高了M2M系统应用的灵活性。
附图说明
图1为现有技术中,M2M终端获取接入密码和基础密钥的方法流程示意图;
图2为本发明实施例一中,密钥信息分发方法网络架构示意图;
图3为本发明实施例二中,密钥信息分发方法流程示意图;
图4为本发明实施例三中,当安全验证处理的执行主体为用户身份模块时的密钥信息分发方法具体实现流程示意图;
图5为本发明实施例四中,当安全验证处理的执行主体为M2M终端时的密钥信息分发方法具体实现流程示意图;
图6为本发明实施例五中,M2M平台结构示意图;
图7为本发明实施例六中,身份管理服务器结构示意图;
图8为本发明实施例七中,M2M终端结构示意图;
图9为本发明实施例八中,用户身份模块结构示意图。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
实施例一
本发明实施例一提出一种密钥信息分发方法网络架构示意图,其结构如图2所示,主要包括M2M平台、网络侧的身份管理服务器、M2M终端和M2M终端内的用户身份模块。
其中,M2M平台主要用于在接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求,以及接收身份管理服务器发送的密钥响应消息,密钥响应消息中携带有安全保护密钥和随机的密钥生成参数,使用安全保护密钥对待分发给M2M终端的密钥信息进行安全处理,并将处理后的密钥信息和上述密钥生成参数发送给M2M终端;
网络侧的身份管理服务器主要用于在接收到密钥请求后,根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和上述密钥生成参数携带在密钥响应消息中发送给M2M平台;
M2M终端内的用户身份模块主要用于根据上述密钥生成参数生成与上述安全保护密钥对应的安全保护验证密钥;
M2M终端主要用于获取使用用户身份模块生成的安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,获取到的密钥信息即为M2M平台分发的密钥信息。
本发明实施例中,M2M终端内的用户身份模块可以为用户身份模块(SIM,Subscriber Identity Module)卡,也可以为用户识别模块(UIM,User IdentityModel)卡,还可以为全球用户识别(USIM,Universal Subscriber Identity Module)卡;上述身份管理服务器可以但不限于为归属位置寄存器(HLR,Home LocationRegister)或归属用户服务器(HSS,Home Subscriber Server)。
实施例二
基于本发明实施例一提出的网络架构,本发明实施例二提出一种密钥信息分发方法,如图3所示,其具体处理过程如下:
步骤31,M2M平台接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求。
当M2M平台接收到M2M终端发送的注册请求后,需要将接入密码下发给该M2M终端,如果该M2M终端支持并启用了数据加密功能,则M2M平台还需要将基础密钥下发给该M2M终端。
本发明实施例二提出,运营商在M2M系统中增加一种用于产生安全保护密钥和安全保护验证密钥的密钥生成机制以及用于在分发密钥信息时对密钥信息进行安全保护的安全处理算法和对密钥信息进行安全保护验证的安全验证处理算法。在网络侧,新增加的密钥生成机制在身份管理服务器上实现,新增加的安全处理算法在M2M平台实现;在终端侧,新增加的密钥生成机制在用户身份模块中实现,新增加的安全验证处理算法即可在M2M终端上实现,也可以在M2M终端内的用户身份模块上实现。
M2M接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求,请求身份管理服务器为其生成用于保护密钥信息的安全保护密钥。
步骤32,身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台。
身份管理服务器接收到M2M平台发送的密钥请求后,确认需要生成安全保护密钥,此时身份管理服务器可以按照下述两种方式生成安全保护密钥:
第一种生成方式:身份管理服务器根据随机的密钥生成参数生成安全保护密钥,身份管理服务器先生成随机的密钥生成参数,然后基于新增的密钥生成机制,根据随机生成的密钥生成参数生成安全保护密钥;
第二种生成方式,身份管理服务器根据用户身份模块的根密钥和随机的密钥生成参数生成安全保护密钥,此时M2M平台向身份管理服务器发送的密钥请求中携带有该M2M终端内的用户身份模块的标识,身份管理服务器接收到密钥请求后,根据密钥请求中携带的用户身份模块的标识,查找该用户身份模块对应的根密钥,身份管理服务器还需要生成随机的密钥生成参数,然后身份管理服务器基于新增的密钥生成机制,根据查找到的根密钥和随机生成的密钥生成参数生成安全保护密钥。
其中,身份管理服务器查找用户身份模块对应的根密钥的过程可以但不限于为:身份管理服务器根据密钥请求中携带的用户身份模块的标识,检索该用户身份模块的签约信息,签约信息中包含该用户身份模块在签约时运营商为其分配的根密钥,身份管理服务器可以从检索到的签约信息中获取该用户身份模块对应的根密钥,因此身份管理服务器可以为保存用户身份模块的签约信息的HLR或HSS。
身份管理服务器生成安全保护密钥后,将生成的安全保护密钥和上述随机的密钥生成参数携带在密钥响应消息中发送给M2M平台,其中上述随机的密钥生成参数为密钥生成机制在产生安全保护密钥时使用的一些参数,例如随机数因子等。
本发明实施例二提出,身份管理服务器可以根据随机的密钥生成参数生成一个安全保护密钥,此时身份管理服务器可以将生成的该安全保护密钥和密钥生成参数携带在密钥响应消息中发送给M2M平台;此外,身份管理服务器也可以根据随机的密钥生成参数生成至少两个安全保护密钥,其中,生成的安全保护密钥的个数可以预先设置,身份管理服务器将生成的各安全保护密钥和密钥生成参数携带在密钥响应消息中发送给M2M平台,其中,密钥生成参数中需要携带有身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识,用于指示M2M平台使用各安全保护密钥中的第几个安全保护密钥来对密钥信息进行安全处理,本发明实施例二中,处理服务器可以在生成的安全保护密钥中随机选取此次对密钥信息进行安全处理的安全保护密钥,也可以按照预先设定的选取规则,在生成的安全保护密钥中选取此次对密钥信息进行安全处理的安全保护密钥,例如第一次选取第一个安全保护密钥,第二次选择第二个安全保护密钥。
本发明实施例二中,安全保护密钥中可以包含加密密钥和/或完整性保护密钥,即安全保护密钥中可以包含加密密钥或完整性保护密钥,还可以既包含加密密钥,也包含完整性保护密钥。安全保护密钥中的加密密钥用于对密钥信息进行加密处理,完整性保护密钥用于对密钥信息进行完整性保护处理,不管是加密处理还是完整性保护处理,均可以理解为对密钥信息进行安全处理。
步骤33,所述M2M平台使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理,以及将处理后的密钥信息和所述密钥生成参数发送给所述M2M终端。
M2M平台接收到身份管理服务器发送的密钥响应消息后,从密钥响应消息中提取出安全保护密钥和密钥生成参数,根据提取出的安全保护密钥对待分发给上述M2M终端的密钥信息进行安全处理,然后将处理后的密钥信息和接收到的密钥生成参数发送给该M2M终端,例如M2M平台可以将处理后的密钥信息和接收到的密钥生成参数携带在注册响应消息中发送给该M2M终端。其中,密钥信息可以为接入密码,还可以为接入密码和基础密钥。
若身份管理服务器生成一个安全保护密钥,则M2M平台可以直接根据该安全保护密钥对待分发给M2M终端的密钥信息进行安全处理;若身份管理服务器生成至少两个安全保护密钥,则M2M平台根据安全保护密钥对密钥信息进行安全处理时,先根据接收到的密钥生成参数中的安全保护密钥的标识,在身份管理服务器发送的各安全保护密钥中,选择出此次对密钥信息进行安全处理的安全保护密钥,身份管理服务器根据选择出的该安全保护密钥,对待分发给M2M终端的密钥信息进行安全处理。
若安全保护密钥中包含加密密钥,则M2M平台根据安全保护密钥对密钥信息进行安全处理时,直接根据加密密钥对密钥信息进行加密处理;若安全保护密钥中包含完整性保护密钥,则M2M平台根据安全保护密钥对密钥信息进行安全处理时,直接根据完整性保护密钥对密钥信息进行完整性保护处理;若安全保护密钥中包含加密密钥和完整性保护密钥,则M2M平台根据安全保护密钥对密钥信息进行安全处理时,可以先根据加密密钥对密钥信息进行加密处理,然后根据完整性保护密钥对加密后的密钥信息进行完整性保护处理,也可以先根据完整性保护密钥对密钥信息进行完整性保护处理,然后再根据加密密钥对完整性保护后的密钥信息进行加密处理。
步骤34,所述M2M终端获取使用安全保护验证密钥对所述M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成。
所述M2M终端获取到的密钥信息即为M2M平台分发的密钥信息。
若M2M平台将处理后的密钥信息和接收到的密钥生成参数携带在注册响应消息中发送给M2M终端,则该M2M终端在接收到注册响应消息后,以注册完成消息进行应答。
本发明实施例二中,M2M终端获取安全验证处理后的密钥信息的方式可以但不限于包含下述两种:
第一种获取方式:M2M终端将接收到的密钥信息和密钥生成参数携带在密钥传输消息中发送给该M2M终端内的用户身份模块,用户身份模块接收到密钥传输消息后,向M2M终端发送密钥确认消息进行应答,用户身份模块根据接收到的密钥生成参数生成安全保护验证密钥,安全保护验证密钥用于对安全处理后的密钥信息进行安全验证处理,用户身份模块使用生成的安全保护验证密钥对M2M终端发送的密钥信息进行安全验证处理,并将通过安全验证处理的密钥信息发送给M2M终端,例如将通过安全验证处理的密钥信息携带在密钥传输消息中发送给M2M终端,M2M终端返回密钥确认消息进行应答。
若身份管理服务器生成一个安全保护密钥,则用户身份模块根据M2M终端发送的密钥生成参数生成一个与安全保护密钥对应的安全保护验证密钥,此时,用户身份模块可以直接使用生成的该安全保护验证密钥对M2M终端发送的密钥信息进行安全验证处理;此外,若身份管理服务器生成至少两个安全保护密钥,则用户身份模块根据M2M终端发送的密钥生成参数生成至少两个安全保护验证密钥,生成的安全保护验证密钥的数量和身份管理服务器生成的安全保护密钥的数量一致,且生成的各安全保护验证密钥和身份管理服务器生成的各安全保护密钥分别对应,用户身份模块生成至少两个安全保护验证密钥之后,根据M2M终端发送的密钥生成参数中的安全保护密钥的标识,在生成的各安全保护验证密钥中,选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,用户身份模块根据选择的该安全保护验证密钥,对M2M终端发送的密钥信息进行安全验证处理。
第二种获取方式:M2M终端将接收到的密钥生成参数携带在密钥传输消息中发送给该M2M终端内的用户身份模块,用户身份模块接收到密钥传输消息后,向M2M终端发送密钥确认消息进行应答,用户身份模块根据接收到的密钥生成参数生成安全保护验证密钥,并将生成的安全保护验证密钥发送给该M2M终端,例如将生成的安全保护验证密钥携带在密钥传输消息中发送给该M2M终端,该M2M终端接收到密钥传输消息后返回密钥确认消息进行应答,M2M终端使用接收到的安全保护验证密钥,对M2M平台发送的密钥信息进行安全验证处理,得到通过安全验证处理的密钥信息。
若身份管理服务器生成一个安全保护密钥,则用户身份模块根据M2M终端发送的密钥生成参数生成一个与该安全保护密钥对应的安全保护验证密钥,此时,用户身份模块将该安全保护验证密钥发送给M2M终端,M2M终端可以直接使用该安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理;此外,若身份管理服务器生成至少两个安全保护密钥,则用户身份模块根据M2M终端发送的密钥生成参数生成至少两个安全保护验证密钥,生成的安全保护验证密钥的数量和身份管理服务器生成的安全保护密钥的数量一致,且生成的各安全保护验证密钥和身份管理服务器生成的各安全保护密钥分别对应,用户身份模块生成至少两个安全保护验证密钥之后,根据M2M终端发送的密钥生成参数中的安全保护密钥的标识,在生成的各安全保护验证密钥中,选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,用户身份模块将选择出的该安全保护验证密钥发送给M2M终端,M2M终端直接使用该安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理。
其中,用户身份模块可以按照下述两种方式生成安全保护验证密钥:
与身份管理服务器生成安全保护密钥的第一种生成方式对应:用户身份模块基于新增的密钥生成机制,根据M2M终端发送的密钥生成参数生成安全保护验证密钥;
与身份管理服务器生成安全保护密钥的第二种生成方式对应:用户身份模块根据自身的根密钥和密钥生成参数生成安全保护验证密钥,用户身份模块中存储有自身的根密钥,用户身份模块接收到密钥生成参数后,基于新增的密钥生成机制,根据自身存储的根密钥和M2M终端发送的密钥生成参数生成安全保护验证密钥。
本发明实施例二中,安全保护验证密钥中可以包含解密密钥和/或完整性保护验证密钥,即安全保护验证密钥中可以包含解密密钥或完整性保护验证密钥,还可以既包含解密密钥,也包含完整性保护验证密钥。安全保护验证密钥中的解密密钥用于对加密后的密钥信息进行解密处理,完整性保护验证密钥用于对完整性保护后的密钥信息进行完整性保护验证处理,不管是解密处理还是完整性保护验证处理,均可以理解为对密钥信息进行安全验证处理。
若安全保护验证密钥中包含解密密钥,则用户身份模块或M2M终端根据安全保护验证密钥对密钥信息进行安全验证处理时,直接根据该解密密钥对加密后的密钥信息进行解密处理,解密后的密钥信息即为通过安全验证处理的密钥信息;若安全保护验证密钥中包含完整性保护验证密钥,则用户身份模块或M2M终端根据安全保护验证密钥对密钥信息进行安全验证处理时,直接根据该完整性保护验证密钥对完整性保护后的密钥信息进行完整性保护验证处理,若验证通过,则完整性保护验证后的密钥信息即为通过安全验证处理的密钥信息;若安全保护验证密钥中包含解密密钥和完整性保护验证密钥,且M2M平台对密钥信息进行安全处理时先进行加密处理再进行完整性保护处理,则用户身份模块或M2M终端先根据安全保护验证密钥对密钥信息进行安全验证处理时,先根据完整性保护验证密钥,对密钥信息进行完整性保护验证处理,若验证通过,再根据解密密钥对密钥信息进行解密处理,解密后的密钥信息即为通过安全验证处理的密钥信息;若安全保护验证密钥中包含解密密钥和完整性保护验证密钥,且M2M平台对密钥信息进行安全处理时先进行安全保护处理再进行加密处理,则用户身份模块或M2M终端先根据安全保护验证密钥对密钥信息进行安全验证处理时,先根据解密密钥,对密钥信息进行解密处理,然后根据完整性保护验证密钥对密钥信息进行完整性保护验证处理,若验证通过,则完整性保护验证后的密钥信息即为通过安全验证处理的密钥信息。
其中,安全保护密钥中的加密密钥和安全保护验证密钥中的解密密钥可以但不限于相同,安全保护密钥中的完整性保护密钥和安全保护验证密钥中的完整性保护验证密钥可以但不限于相同。
本发明实施例二中,若身份管理服务器生成至少两个安全保护密钥,则身份管理服务器无需在后续每次接收到M2M平台发送的密钥请求后均生成安全保护密钥,只要在密钥生成参数中携带指示此次对密钥信息进行安全处理的安全保护密钥即可,因此有效地节省了身份管理服务器的处理资源。
M2M终端获取到M2M平台分发的密钥信息后,使用获取到的密钥信息中的接入密码登录至M2M平台,并在登录成功后,使用获取到的密钥信息中的基础密钥实现数据加密并与M2M平台进行数据交互。
此外,本发明实施例二提出的密钥信息分发方法可以但不限于应用于无线机器通信协议(WMMP,Wireless M2M Protocol)场景。
由上述处理过程可知,本发明实施例技术方案中,M2M平台接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求,身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给M2M平台,M2M平台使用所述安全保护密钥对待分发给M2M终端的密钥信息进行安全处理,以及将处理后的密钥信息和密钥生成参数发送给M2M终端,M2M终端内的用户身份模块根据密钥生成参数生成与安全保护密钥对应的安全保护验证密钥,M2M终端获取使用安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,获取到的密钥信息即为M2M平台分发的密钥信息。由上可见,本发明实施例技术方案与现有技术第一种获取密钥信息的方法相比,能够在M2M终端注册至M2M系统时自动实现M2M终端的密钥信息的分发,免除了用户对M2M终端进行密钥配置操作的复杂性,提高了用户体验,同时在M2M终端发起注册时将密钥信息分发给M2M终端,因此M2M平台可以在接收到M2M终端的注册请求时动态生成密钥信息,有效地提高了传输密钥信息的安全性;本发明实施例技术方案与现有技术第二种获取密钥信息的方法相比,通过网络侧的身份管理服务器生成安全保护密钥,M2M平台使用安全保护密钥对密钥信息进行安全处理后以密文的形式发送给M2M终端,从而有效地提高了传输密钥信息的安全性,此外,密钥信息以密文的形式发送给M2M终端时不依赖于底层通信网络,也就不限于短消息的形式,从而使可支持多种数据通信方式的M2M系统能够采取各种数据通信方式进行传输,因此有效地提高了M2M系统应用的灵活性。
下面给出更为详细的实施方式。
根据安全验证处理的执行主体不同,下面分别以实施例三和实施例四分别详细介绍本发明实施例中的密钥信息分发方法。
实施例三
如图4所示,为本发明实施例三提出的当安全验证处理的执行主体为用户身份模块时的密钥信息分发方法具体实现流程示意图,其具体处理流程如下:
步骤41,M2M终端向M2M平台发起注册请求;
步骤42,M2M平台向HLR/HSS发送密钥请求,请求HLR/HSS为其生成用于保护密钥信息(接入密码和基础密钥)的安全保护密钥(加密密钥和完整性保护密钥),密钥请求中携带有M2M终端内的(U)SIM卡的标识,SIM卡或USIM卡可以称为(U)SIM卡;
步骤43,HLR/HSS根据(U)SIM卡的标识检索M2M终端的签约信息,以获取(U)SIM卡在签约时运营商为其分配的根密钥,基于此根密钥和随机的密钥生成参数,HLR/HSS依照新增加的密钥生成机制生成一套或多套安全保护密钥;
步骤44,HLR/HSS向M2M平台发送密钥响应消息,其中携带有步骤43生成的加密密钥、完整性保护密钥以及密钥生成参数,在身份管理服务器生成多套密钥信息的情况下,密钥生成参数中还将包含此次使用的安全保护密钥的标识;
步骤45,M2M平台使用从HLR/HSS接收到的安全保护密钥对密钥信息进行安全处理(先使用加密密钥对密钥信息进行加密,然后使用完整性保护密钥进行完整性保护处理),之后通过注册响应消息将安全处理后的密钥信息以及从HLR/HSS接收到的密钥生成参数发送给M2M终端,在身份管理服务器生成多套密钥信息的情况下,M2M平台先根据密钥生成参数中携带的安全保护密钥的标识,在接收到的各安全保护密钥中选择进行安全处理的安全保护密钥,然后使用选择出的安全保护密钥对密钥信息进行安全处理;
步骤46,M2M终端以注册完成消息对M2M平台进行响应;
步骤47,M2M终端通过密钥传输消息将接收到的密钥信息以及密钥生成参数传递给(U)SIM卡;
步骤48,(U)SIM卡向M2M终端发送密钥确认消息进行应答;
步骤49,(U)SIM卡根据卡内存储的根密钥以及接收到的密钥生成参数,依照新增加的密钥生成机制生成一套或多套安全保护验证密钥,安全保护验证密钥包含解密钥和完整性保护验证密钥,且安全保护验证密钥和安全保护密钥对应;
步骤410,(U)SIM卡根据生成的安全保护验证密钥对接收到的密钥信息进行安全验证处理(先使用完整性保护验证密钥进行完整性保护验证处理,在完整性保护验证正确通过的情况下,使用解密密钥进行解密),若(U)SIM卡生成多套安全保护验证密钥,则根据密钥生成参数提供的安全保护密钥的标识选择出此次进行安全验证处理的安全保护验证密钥;
步骤411,(U)SIM卡通过密钥传输消息将密钥信息发送给M2M终端;
步骤412,M2M终端返回密钥确认消息进行应答;
步骤413,M2M终端使用接入密码登录至M2M平台;
步骤414,登录成功后,M2M终端使用基础密钥实现数据加密并与M2M平台进行数据交互。
实施例四
如图5所示,为本发明实施例四提出的当安全验证处理的执行主体为M2M终端时的密钥信息分发方法具体实现流程示意图,其具体处理流程如下:
步骤51,M2M终端向M2M平台发起注册请求;
步骤52,M2M平台向HLR/HSS发送密钥请求,请求HLR/HSS为其生成用于保护密钥信息(接入密码和基础密钥)的安全保护密钥(加密密钥和完整性保护密钥),密钥请求中携带有M2M终端内的(U)SIM卡的标识,SIM卡或USIM卡可以称为(U)SIM卡;
步骤53,HLR/HSS根据(U)SIM卡的标识检索M2M终端的签约信息,以获取(U)SIM卡在签约时运营商为其分配的根密钥,基于此根密钥和随机的密钥生成参数,HLR/HSS依照新增加的密钥生成机制生成一套或多套安全保护密钥;
步骤54,HLR/HSS向M2M平台发送密钥响应消息,其中携带有步骤43生成的加密密钥、完整性保护密钥以及密钥生成参数,在身份管理服务器生成多套密钥信息的情况下,密钥生成参数中还将包含此次使用的安全保护密钥的标识;
步骤55,M2M平台使用从HLR/HSS接收到的安全保护密钥对密钥信息进行安全处理(先使用加密密钥对密钥信息进行加密,然后使用完整性保护密钥进行完整性保护处理),之后通过注册响应消息将安全处理后的密钥信息以及从HLR/HSS接收到的密钥生成参数发送给M2M终端,在身份管理服务器生成多套密钥信息的情况下,M2M平台先根据密钥生成参数中携带的安全保护密钥的标识,在接收到的各安全保护密钥中选择进行安全处理的安全保护密钥,然后使用选择出的安全保护密钥对密钥信息进行安全处理;
步骤56,M2M终端以注册完成消息对M2M平台进行响应;
步骤57,M2M终端通过密钥传输消息将接收到的密钥生成参数传递给(U)SIM卡;
步骤58,(U)SIM卡向M2M终端发送密钥确认消息进行应答;
步骤59,(U)SIM卡根据卡内存储的根密钥以及接收到的密钥生成参数,依照新增加的密钥生成机制生成一套或多套安全保护验证密钥,安全保护验证密钥包含解密钥和完整性保护验证密钥,且安全保护验证密钥和安全保护密钥对应;
步骤510,(U)SIM卡通过密钥传输消息将生成的安全保护验证密钥发送给M2M终端,若(U)SIM卡生成多套安全保护验证密钥,则根据密钥生成参数提供的安全保护密钥的标识选择出此次进行安全验证处理的安全保护验证密钥;
步骤511,M2M终端返回密钥确认消息进行应答;
步骤512,M2M终端使用(U)SIM卡提供的安全保护验证密钥,对接收到的密钥信息进行安全验证处理(先使用完整性保护验证密钥进行完整性保护验证处理,在完整性保护验证正确通过的情况下,使用解密密钥进行解密);
步骤513,M2M终端使用接入密码登录至M2M平台;
步骤514,登录成功后,M2M终端使用基础密钥实现数据加密并与M2M平台进行数据交互。
实施例五
基于本发明实施例二提出的密钥信息分发方法,本发明实施例五提出一种M2M平台,其结构如图6所示,包括:
注册请求接收单元61,用于接收M2M终端发送的注册请求;
密钥请求发送单元62,用于在注册请求接收单元61接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求;
密钥响应消息接收单元63,用于接收所述身份管理服务器发送的携带有安全保护密钥和随机的密钥生成参数的密钥响应消息,所述安全保护密钥是所述身份管理服务器根据所述密钥生成参数生成的;
安全处理单元64,用于使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理;
密钥信息发送单元65,用于将安全处理单元64处理后的密钥信息和所述密钥生成参数发送给所述M2M终端。
较佳地,所述身份管理服务器根据所述密钥生成参数生成至少两个安全保护密钥,所述密钥响应消息接收单元63接收到的密钥生成参数中携带有身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识;
所述安全处理单元64具体包括:
安全保护密钥选择子单元,用于根据密钥响应消息接收单元63接收到的密钥生成参数中携带的安全保护密钥的标识,在密钥响应消息接收单元63接收到的各安全保护密钥中选择出此次对密钥信息进行安全处理的安全保护密钥;
安全处理子单元,用于使用安全保护密钥选择子单元选择出的安全保护密钥,对待分发给所述M2M终端的密钥信息进行安全处理。
实施例六
基于本发明实施例二提出的密钥信息分发方法,本发明实施例六提出一种身份管理服务器,其结构如图7所示,包括:
密钥请求接收单元71,用于接收M2M平台发送的密钥请求;
安全保护密钥生成单元72,用于在密钥请求接收单元71接收到密钥请求后,根据随机的密钥生成参数生成安全保护密钥;
密钥响应消息发送单元73,用于将安全保护密钥生成单元72生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台。
较佳地,安全保护密钥生成单元72,具体用于在密钥请求接收单元71接收到密钥请求后,根据随机的密钥生成参数,生成至少两个安全保护密钥;
密钥响应消息发送单元73,具体用于将安全保护密钥生成单元72生成的各安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,所述密钥生成参数中携带有所述身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识。
较佳地,密钥请求接收单元71接收到的所述密钥请求中携带有用户身份模块的标识;
安全保护密钥生成单元72具体包括:
根密钥查找子单元,用于根据密钥请求接收单元71接收到的密钥请求中携带的用户身份模块的标识,查找所述用户身份模块对应的根密钥;
安全保护密钥生成子单元,用于根据根密钥查找子单元查找到的根密钥和随机的密钥生成参数,生成安全保护密钥。
实施例七
基于本发明实施例二提出的密钥信息分发方法,本发明实施例七提出一种M2M终端,其结构如图8所示,包括:
密钥信息接收单元81,用于接收M2M平台发送的、使用安全保护密钥对待发送给所述M2M终端的密钥信息进行安全处理后的密钥信息和密钥生成参数;
密钥信息获取单元82,用于获取使用安全保护验证密钥对密钥信息接收单元81接收到的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成;
密钥信息确认单元83,用于将密钥信息获取单元82获取到的密钥信息确认为M2M平台分发的密钥信息。
较佳地,密钥信息获取单元82具体包括:
第一密钥传输消息发送子单元,用于将密钥信息接收单元81接收到的密钥信息和密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
密钥信息接收子单元,用于接收通过安全验证处理的密钥信息,通过安全验证处理的密钥信息是所述用户身份模块根据接收到的密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,以及使用生成的安全保护验证密钥对第一密钥传输消息发送子单元发送的密钥信息进行安全验证处理后发送的。
更佳地,密钥信息获取单元82具体包括:
第二密钥传输消息发送子单元,用于将密钥信息接收单元81接收到的密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
安全保护验证密钥接收子单元,用于接收所述用户身份模块发送的与所述安全保护密钥对应的安全保护验证密钥,所述安全保护验证密钥是所述用户身份模块根据接收到的所述密钥生成参数生成的;
安全验证处理子单元,用于使用安全保护验证密钥接收子单元接收到的安全保护验证密钥,对密钥信息接收单元81接收到的密钥信息进行安全验证处理,得到通过安全验证处理的密钥信息。
实施例八
基于本发明实施例二提出的密钥信息分发方法,本发明实施例八提出一种用户身份模块,置于M2M终端内,其结构如图9所示,包括:
密钥生成参数获取单元91,用于获取生成安全保护密钥的随机的安全生成参数,安全保护密钥用于M2M平台对待发送给所述M2M终端的密钥信息进行安全处理;
安全保护验证密钥生成单元92,用于根据密钥生成参数获取单元91获取到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,所述安全保护验证密钥用于对安全处理后的密钥信息进行安全验证处理。
较佳地,密钥生成参数获取单元91,具体用于接收所述M2M终端发送的密钥传输消息,所述密钥传输消息中携带有生成安全保护密钥的随机的安全生成参数、以及M2M平台使用安全保护密钥对待发送给所述M2M终端的密钥信息进行安全处理后得到的密钥信息;
安全保护验证密钥生成单元92,具体用于根据密钥生成参数获取单元91接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥;
所述用户身份模块还包括:
安全验证处理单元,用于使用安全保护验证密钥生成单元92生成的安全保护验证密钥,对密钥生成参数获取单元91接收到的密钥信息进行安全验证处理;
密钥信息发送单元,用于将通过安全验证处理单元进行安全验证处理后的密钥信息发送给所述M2M终端。
更佳地,密钥生成参数获取单元91接收到的密钥生成参数中携带有此次对密钥信息进行安全处理的安全保护密钥的标识;
安全保护验证密钥生成单元92,具体用于根据密钥生成参数获取单元91接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥;
安全验证处理单元,具体用于根据密钥生成参数获取单元91接收到的密钥生成参数中携带的安全保护密钥的标识,在安全保护验证密钥生成单元92生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并使用选择出的安全保护验证密钥对接收到的密钥信息进行安全验证处理。
较佳地,密钥生成参数获取单元91,具体用于接收所述M2M终端发送的密钥传输消息,所述密钥传输消息中携带有生成安全保护密钥的随机的安全生成参数;
安全保护验证密钥生成单元92,具体用于根据密钥生成参数获取单元91接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥;
所述用户身份模块还包括:
安全保护验证密钥发送单元,用于将安全保护验证密钥生成单元92生成的安全保护验证密钥发送给所述M2M终端,所述安全保护验证密钥用于所述M2M终端对使用安全保护密钥对密钥信息进行安全处理后的密钥信息进行安全验证处理。
更佳地,密钥生成参数获取单元91接收到的密钥生成参数中携带有此次对密钥信息进行安全处理的安全保护密钥的标识;
安全保护验证密钥生成单元92,具体用于根据密钥生成参数获取单元91接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥;
安全保护验证密钥发送单元,具体用于根据密钥生成参数获取单元91接收到的密钥生成参数中携带的安全保护密钥的标识,在安全保护验证密钥生成单元92生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并将选择出的安全保护验证密钥发送给所述M2M终端。
较佳地,安全保护验证密钥生成单元92,具体用于根据自身的根密钥以及密钥生成参数获取单元91获取到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (22)
1.一种密钥信息分发方法,其特征在于,包括:
机器对机器M2M平台接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求;
所述身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台;
所述M2M平台使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理,以及将处理后的密钥信息和所述密钥生成参数发送给所述M2M终端;
所述M2M终端获取使用安全保护验证密钥对所述M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成。
2.如权利要求1所述的方法,其特征在于,所述M2M终端获取使用安全保护验证密钥对所述M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,具体包括:
所述M2M终端将接收到的密钥信息和所述密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
所述用户身份模块根据接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,以及使用生成的安全保护验证密钥对M2M终端发送的密钥信息进行安全验证处理,并将通过安全验证处理的密钥信息发送给所述M2M终端。
3.如权利要求2所述的方法,其特征在于,所述身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,具体包括:
所述处理服务器根据随机的密钥生成参数,生成至少两个安全保护密钥,并将生成的各安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,所述密钥生成参数中携带有处理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识;
所述M2M平台使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理,具体包括:
所述M2M平台根据密钥生成参数中携带的安全保护密钥的标识,在接收到的各安全保护密钥中选择出此次对密钥信息进行安全处理的安全保护密钥,并使用选择出的安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理;
所述用户身份模块根据接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,以及使用生成的安全保护验证密钥对M2M终端发送的密钥信息进行安全验证处理,具体包括:
所述用户身份模块根据接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥,以及根据所述密钥生成参数中携带的安全保护密钥的标识,在生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并使用选择出的安全保护验证密钥对接收到的密钥信息进行安全验证处理。
4.如权利要求1所述的方法,其特征在于,所述M2M终端获取使用安全保护验证密钥对所述M2M平台发送的密钥信息进行安全验证处理后得到的密钥信息,具体包括:
所述M2M终端将接收到的密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
所述用户身份模块根据接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,并将生成的安全保护验证密钥发送给所述M2M终端;
所述M2M终端使用接收到的安全保护验证密钥对M2M平台发送的密钥信息进行安全验证处理,得到通过安全验证处理的密钥信息。
5.如权利要求4所述的方法,其特征在于,所述身份管理服务器根据随机的密钥生成参数生成安全保护密钥,并将生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,具体包括:
所述身份管理服务器根据随机的密钥生成参数,生成至少两个安全保护密钥,并将生成的各安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,所述密钥生成参数中携带有身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识;
所述M2M平台使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理,具体包括:
所述M2M平台根据密钥生成参数中携带的安全保护密钥的标识,在接收到的各安全保护密钥中选择出此次对密钥信息进行安全处理的安全保护密钥,并使用选择出的安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理;
所述用户身份模块根据接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,并将生成的安全保护验证密钥发送给所述M2M终端,具体包括:
所述用户身份模块根据接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥,以及根据所述密钥生成参数中携带的安全保护密钥的标识,在生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并将选择出的安全保护验证密钥发送给所述M2M终端。
6.如权利要求1所述的方法,其特征在于,所述密钥请求中携带有所述用户身份模块的标识;
所述身份管理服务器根据随机的密钥生成参数生成安全保护密钥,具体包括:
所述身份管理服务器根据接收到的密钥请求中携带的所述用户身份模块的标识,查找所述用户身份模块对应的根密钥;并
根据查找到的根密钥和随机的密钥生成参数,生成安全保护密钥;
所述M2M终端内的用户身份模块根据所述密钥生成参数生成安全保护验证密钥,具体包括:
所述M2M终端内的用户身份模块根据自身的根密钥以及所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥。
7.如权利要求1所述的方法,其特征在于,所述安全保护密钥中包含加密密钥和/或完整性保护密钥;
所述安全保护验证密钥中包含解密密钥和/或完整性保护验证密钥。
8.如权利要求1所述的方法,其特征在于,所述身份管理服务器为归属位置寄存器HLR或归属用户服务器HSS。
9.一种机器对机器平台,其特征在于,包括:
注册请求接收单元,用于接收机器对机器M2M终端发送的注册请求;
密钥请求发送单元,用于在注册请求接收单元接收到M2M终端发送的注册请求后,向网络侧的身份管理服务器发送密钥请求;
密钥响应消息接收单元,用于接收所述身份管理服务器发送的携带有安全保护密钥和随机的密钥生成参数的密钥响应消息,所述安全保护密钥是所述身份管理服务器根据所述密钥生成参数生成的;
安全处理单元,用于使用所述安全保护密钥对待分发给所述M2M终端的密钥信息进行安全处理;
密钥信息发送单元,用于将安全处理单元处理后的密钥信息和所述密钥生成参数发送给所述M2M终端。
10.如权利要求9所述的机器对机器平台,其特征在于,所述身份管理服务器根据所述密钥生成参数生成至少两个安全保护密钥,所述密钥响应消息接收单元接收到的密钥生成参数中携带有身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识;
所述安全处理单元具体包括:
安全保护密钥选择子单元,用于根据密钥响应消息接收单元接收到的密钥生成参数中携带的安全保护密钥的标识,在密钥响应消息接收单元接收到的各安全保护密钥中选择出此次对密钥信息进行安全处理的安全保护密钥;
安全处理子单元,用于使用安全保护密钥选择子单元选择出的安全保护密钥,对待分发给所述M2M终端的密钥信息进行安全处理。
11.一种身份管理服务器,其特征在于,包括:
密钥请求接收单元,用于接收机器对机器M2M平台发送的密钥请求;
安全保护密钥生成单元,用于在密钥请求接收单元接收到密钥请求后,根据随机的密钥生成参数生成安全保护密钥;
密钥响应消息发送单元,用于将安全保护密钥生成单元生成的安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台。
12.如权利要求11所述的身份管理服务器,其特征在于,安全保护密钥生成单元,具体用于在密钥请求接收单元接收到密钥请求后,根据随机的密钥生成参数,生成至少两个安全保护密钥;
密钥响应消息发送单元,具体用于将安全保护密钥生成单元生成的各安全保护密钥和所述密钥生成参数携带在密钥响应消息中发送给所述M2M平台,所述密钥生成参数中携带有所述身份管理服务器指示的、此次对密钥信息进行安全处理的安全保护密钥的标识。
13.如权利要求11所述的身份管理服务器,其特征在于,密钥请求接收单元接收到的所述密钥请求中携带有用户身份模块的标识;
安全保护密钥生成单元具体包括:
根密钥查找子单元,用于根据密钥请求接收单元接收到的密钥请求中携带的用户身份模块的标识,查找所述用户身份模块对应的根密钥;
安全保护密钥生成子单元,用于根据根密钥查找子单元查找到的根密钥和随机的密钥生成参数,生成安全保护密钥。
14.一种机器对机器终端,其特征在于,包括:
密钥信息接收单元,用于接收机器对机器M2M平台发送的、使用安全保护密钥对待发送给所述M2M终端的密钥信息进行安全处理后的密钥信息和密钥生成参数;
密钥信息获取单元,用于获取使用安全保护验证密钥对密钥信息接收单元接收到的密钥信息进行安全验证处理后得到的密钥信息,其中,所述安全保护验证密钥由所述M2M终端内的用户身份模块根据所述密钥生成参数生成;
密钥信息确认单元,用于将密钥信息获取单元获取到的密钥信息确认为M2M平台分发的密钥信息。
15.如权利要求14所述的机器对机器终端,其特征在于,密钥信息获取单元具体包括:
第一密钥传输消息发送子单元,用于将密钥信息接收单元接收到的密钥信息和密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
密钥信息接收子单元,用于接收通过安全验证处理的密钥信息,通过安全验证处理的密钥信息是所述用户身份模块根据接收到的密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,以及使用生成的安全保护验证密钥对第一密钥传输消息发送子单元发送的密钥信息进行安全验证处理后发送的。
16.如权利要求15所述的机器对机器终端,密钥信息获取单元具体包括:
第二密钥传输消息发送子单元,用于将密钥信息接收单元接收到的密钥生成参数携带在密钥传输消息中发送给所述M2M终端内的用户身份模块;
安全保护验证密钥接收子单元,用于接收所述用户身份模块发送的与所述安全保护密钥对应的安全保护验证密钥,所述安全保护验证密钥是所述用户身份模块根据接收到的所述密钥生成参数生成的;
安全验证处理子单元,用于使用安全保护验证密钥接收子单元接收到的安全保护验证密钥,对密钥信息接收单元接收到的密钥信息进行安全验证处理,得到通过安全验证处理的密钥信息。
17.一种用户身份模块,置于机器对机器M2M终端内,其特征在于,包括:
密钥生成参数获取单元,用于获取生成安全保护密钥的随机的安全生成参数,安全保护密钥用于M2M平台对待发送给所述M2M终端的密钥信息进行安全处理;
安全保护验证密钥生成单元,用于根据密钥生成参数获取单元获取到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥,所述安全保护验证密钥用于对安全处理后的密钥信息进行安全验证处理。
18.如权利要求17所述的用户身份模块,其特征在于,密钥生成参数获取单元,具体用于接收所述M2M终端发送的密钥传输消息,所述密钥传输消息中携带有生成安全保护密钥的随机的安全生成参数、以及M2M平台使用安全保护密钥对待发送给所述M2M终端的密钥信息进行安全处理后得到的密钥信息;
安全保护验证密钥生成单元,具体用于根据密钥生成参数获取单元接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥;
所述用户身份模块还包括:
安全验证处理单元,用于使用安全保护验证密钥生成单元生成的安全保护验证密钥,对密钥生成参数获取单元接收到的密钥信息进行安全验证处理;
密钥信息发送单元,用于将通过安全验证处理单元进行安全验证处理后的密钥信息发送给所述M2M终端。
19.如权利要求18所述的用户身份模块,其特征在于,密钥生成参数获取单元接收到的密钥生成参数中携带有此次对密钥信息进行安全处理的安全保护密钥的标识;
安全保护验证密钥生成单元,具体用于根据密钥生成参数获取单元接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥;
安全验证处理单元,具体用于根据密钥生成参数获取单元接收到的密钥生成参数中携带的安全保护密钥的标识,在安全保护验证密钥生成单元生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并使用选择出的安全保护验证密钥对接收到的密钥信息进行安全验证处理。
20.如权利要求17所述的用户身份模块,其特征在于,密钥生成参数获取单元,具体用于接收所述M2M终端发送的密钥传输消息,所述密钥传输消息中携带有生成安全保护密钥的随机的安全生成参数;
安全保护验证密钥生成单元,具体用于根据密钥生成参数获取单元接收到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥;
所述用户身份模块还包括:
安全保护验证密钥发送单元,用于将安全保护验证密钥生成单元生成的安全保护验证密钥发送给所述M2M终端,所述安全保护验证密钥用于所述M2M终端对使用安全保护密钥对密钥信息进行安全处理后的密钥信息进行安全验证处理。
21.如权利要求20所述的用户身份模块,其特征在于,密钥生成参数获取单元接收到的密钥生成参数中携带有此次对密钥信息进行安全处理的安全保护密钥的标识;
安全保护验证密钥生成单元,具体用于根据密钥生成参数获取单元接收到的所述密钥生成参数,生成与各安全保护密钥分别对应的至少两个安全保护验证密钥;
安全保护验证密钥发送单元,具体用于根据密钥生成参数获取单元接收到的密钥生成参数中携带的安全保护密钥的标识,在安全保护验证密钥生成单元生成的各安全保护验证密钥中选择出此次对密钥信息进行安全验证处理的安全保护验证密钥,并将选择出的安全保护验证密钥发送给所述M2M终端。
22.如权利要求17所述的用户身份模块,其特征在于,安全保护验证密钥生成单元,具体用于根据自身的根密钥以及密钥生成参数获取单元获取到的所述密钥生成参数,生成与所述安全保护密钥对应的安全保护验证密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210043852.XA CN103297224B (zh) | 2012-02-23 | 2012-02-23 | 密钥信息分发方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210043852.XA CN103297224B (zh) | 2012-02-23 | 2012-02-23 | 密钥信息分发方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297224A true CN103297224A (zh) | 2013-09-11 |
| CN103297224B CN103297224B (zh) | 2016-05-25 |
Family
ID=49097582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210043852.XA Active CN103297224B (zh) | 2012-02-23 | 2012-02-23 | 密钥信息分发方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297224B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106658349A (zh) * | 2015-10-30 | 2017-05-10 | 中国电信股份有限公司 | 用于自动生成与更新共享密钥的方法和系统 |
| CN106936835A (zh) * | 2017-03-21 | 2017-07-07 | 厦门中控生物识别信息技术有限公司 | 设备接入的方法及系统 |
| WO2017185999A1 (zh) * | 2016-04-27 | 2017-11-02 | 华为技术有限公司 | 密钥分发、认证方法,装置及系统 |
| CN107592624A (zh) * | 2016-07-07 | 2018-01-16 | 中国电信股份有限公司 | 用于自动生成共享密钥的方法和系统 |
| CN107733639A (zh) * | 2017-08-24 | 2018-02-23 | 上海壹账通金融科技有限公司 | 密钥管理方法、装置及可读存储介质 |
| WO2018137202A1 (zh) * | 2017-01-25 | 2018-08-02 | 华为技术有限公司 | 一种传输数据的方法、装置和系统 |
| CN108513704A (zh) * | 2018-04-17 | 2018-09-07 | 福建联迪商用设备有限公司 | 终端主密钥的远程分发方法及其系统 |
| CN112073115A (zh) * | 2020-09-02 | 2020-12-11 | 东方红卫星移动通信有限公司 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
| CN113556332A (zh) * | 2021-07-09 | 2021-10-26 | 深圳市高德信通信股份有限公司 | 一种数据加密传输方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100057485A1 (en) * | 2008-08-29 | 2010-03-04 | Achim Luft | Methods and apparatus for machine-to-machine based communication service classes |
| CN102238484A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 机器对机器的通信系统中基于组的认证方法及系统 |
| CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
| CN102316450A (zh) * | 2010-06-29 | 2012-01-11 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
-
2012
- 2012-02-23 CN CN201210043852.XA patent/CN103297224B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100057485A1 (en) * | 2008-08-29 | 2010-03-04 | Achim Luft | Methods and apparatus for machine-to-machine based communication service classes |
| CN102238484A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 机器对机器的通信系统中基于组的认证方法及系统 |
| CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
| CN102316450A (zh) * | 2010-06-29 | 2012-01-11 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106658349A (zh) * | 2015-10-30 | 2017-05-10 | 中国电信股份有限公司 | 用于自动生成与更新共享密钥的方法和系统 |
| WO2017185999A1 (zh) * | 2016-04-27 | 2017-11-02 | 华为技术有限公司 | 密钥分发、认证方法,装置及系统 |
| US11240218B2 (en) | 2016-04-27 | 2022-02-01 | Huawei Technologies Co., Ltd. | Key distribution and authentication method and system, and apparatus |
| CN107592624B (zh) * | 2016-07-07 | 2021-04-20 | 中国电信股份有限公司 | 用于自动生成共享密钥的方法和系统 |
| CN107592624A (zh) * | 2016-07-07 | 2018-01-16 | 中国电信股份有限公司 | 用于自动生成共享密钥的方法和系统 |
| WO2018137202A1 (zh) * | 2017-01-25 | 2018-08-02 | 华为技术有限公司 | 一种传输数据的方法、装置和系统 |
| CN106936835A (zh) * | 2017-03-21 | 2017-07-07 | 厦门中控生物识别信息技术有限公司 | 设备接入的方法及系统 |
| CN106936835B (zh) * | 2017-03-21 | 2020-04-14 | 厦门中控智慧信息技术有限公司 | 设备接入的方法及系统 |
| CN107733639A (zh) * | 2017-08-24 | 2018-02-23 | 上海壹账通金融科技有限公司 | 密钥管理方法、装置及可读存储介质 |
| CN108513704A (zh) * | 2018-04-17 | 2018-09-07 | 福建联迪商用设备有限公司 | 终端主密钥的远程分发方法及其系统 |
| CN108513704B (zh) * | 2018-04-17 | 2021-01-19 | 福建联迪商用设备有限公司 | 终端主密钥的远程分发方法及其系统 |
| CN112073115A (zh) * | 2020-09-02 | 2020-12-11 | 东方红卫星移动通信有限公司 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
| CN112073115B (zh) * | 2020-09-02 | 2022-04-19 | 东方红卫星移动通信有限公司 | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 |
| CN113556332A (zh) * | 2021-07-09 | 2021-10-26 | 深圳市高德信通信股份有限公司 | 一种数据加密传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297224B (zh) | 2016-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297224A (zh) | 密钥信息分发方法及相关设备 | |
| EP2667326B1 (en) | Method for dynamic authentication between reader and tag, and device therefor | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| CN106921963A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
| US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
| CN109462850A (zh) | 一种智能设备的网络配置方法及智能设备 | |
| US11368841B2 (en) | Network access authentication method and device | |
| CN106851632A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN102934470A (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
| CN109716724A (zh) | 与服务器通信的通信设备的双网认证的方法和系统 | |
| CN107005927A (zh) | 用户设备ue的接入方法、设备及系统 | |
| CN104661171B (zh) | 一种用于mtc设备组的小数据安全传输方法和系统 | |
| US20160227412A1 (en) | Wireless Terminal Configuration Method, Apparatus, and Wireless Terminal | |
| CN101296138B (zh) | 一种无线终端配置生成方法、系统及其装置 | |
| EP3675541B1 (en) | Authentication method and device | |
| CN103841547A (zh) | 一种下行数据传输方法、装置及系统 | |
| CN105577365A (zh) | 一种用户接入wlan的密钥协商方法及装置 | |
| CN102833066A (zh) | 一种三方认证方法、装置及支持双向认证的智能卡 | |
| CN106304043A (zh) | 一种配网方法、装置、系统、无线终端及无线路由器 | |
| CN109151823B (zh) | eSIM卡鉴权认证的方法及系统 | |
| CN104660567A (zh) | D2d终端接入认证方法、d2d终端及服务器 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |