CN104185176B - 一种物联网虚拟用户识别模块卡远程初始化方法及系统 - Google Patents
一种物联网虚拟用户识别模块卡远程初始化方法及系统 Download PDFInfo
- Publication number
- CN104185176B CN104185176B CN201410432513.XA CN201410432513A CN104185176B CN 104185176 B CN104185176 B CN 104185176B CN 201410432513 A CN201410432513 A CN 201410432513A CN 104185176 B CN104185176 B CN 104185176B
- Authority
- CN
- China
- Prior art keywords
- terminal
- internet
- equipment
- virtual
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000007726 management method Methods 0.000 claims description 100
- 238000004891 communication Methods 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 12
- 238000013500 data storage Methods 0.000 claims description 8
- 239000011800 void material Substances 0.000 claims description 6
- 230000006855 networking Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 4
- 239000004576 sand Substances 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000002123 temporal effect Effects 0.000 description 4
- 238000002360 preparation method Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000032683 aging Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种物联网虚拟SIM卡的初始化方法及系统;方法包括:物联网终端开机并连接互联网后,根据预置的地址向终端认证设备发送连接请求;终端认证设备对物联网终端认证成功则生成会话密钥以及对应的第二认证编号,和终端标识一起发送给虚拟卡管理设备,并将虚拟卡管理设备的地址、会话密钥及其对应的第二认证编号加密后返回给物联网终端;物联网终端使用会话密钥对终端标识加密后和第二认证编号一起发送给虚拟卡管理设备;虚拟卡管理设备对物联网终端认证成功则生成虚拟SIM卡数据,利用会话密钥加密后返回给物联网终端。本发明为物联网虚拟SIM卡的初始化提供了一套完整的自动化的管理方案,并能够保证该过程的安全性。
Description
技术领域
本发明涉及物联网领域,尤其一种物联网虚拟用户识别模块卡远程初始化方法及系统。
背景技术
与常规的手持移动设备(如手机、平板电脑等)相比,物联网的终端设备在应用目的、使用场景和工作环境方面都存在着差异。物联网环境中的终端设备常具有以下特点:
工作环境恶劣:物联网终端设备经常需要在较恶劣的环境中工作,如车联网中的汽车经常在强震动、高温的环境中;
工作地点偏远:有些物联网终端设备,如智能电表等,经常部署在人烟稀少的偏远地区;
网络连通具有时效性:物联网终端的网络连通任务经常具备时效性,如为了防止串货而装配SIM(用户识别模块)卡的家用电器,在确认发货的目的地点与实际使用地点相同后即失去了网络连接的必要;
用户无法徒手对SIM卡进行插拔等操作:由于物联网终端设备的放置SIM卡位置往往不易触及,用户无法徒手对SIM卡进行插拔操作。
现有的SIM卡解决方案包括以下几种:
传统的可插拔SIM卡:可插拔SIM卡具有造价相对低廉、更换与回收比较方便、管理方案成熟等优势,但由于物理形态的缺陷,无法满足物联网在恶劣环境中的应用场景。
嵌入式SIM卡:为了满足车联网等特殊应用场景,业界也推出了嵌入式SIM卡。此类SIM卡可直接镶嵌在终端设备中,具有物理形态稳定的优势。但现阶段的嵌入式SIM卡工艺较为复杂,制造、装配成本十分昂贵(约为传统SIM卡价格的8-12倍),无法满足一些服役时间较短(如用于防止串货的家用电器内的SIM卡)的物联网场景需求。
新型虚拟SIM卡:为了降低成本、满足多种物联网场景需求,业界浮现了一种新形态的虚拟SIM卡。这种SIM卡不具备实体,可以以软件的形式下载到终端设备的操作系统中,通过用户操作完成该虚拟SIM卡的身份认证和虚拟SIM卡数据下载等初始化流程。但由于物联网终端应用场景的特殊性,很多情况下(比如偏远地区或恶劣环境中)的物联网终端只能通过远程方式管理,用户无法现场进行初始化操作,如果事先将虚拟SIM卡数据保存到物联网终端中,那么在物联网终端安装之前如果被不法分子接触的话,有可能盗取或篡改该虚拟SIM卡数据,因此存在不安全因素。如果考虑待物联网终端安装到位后再申请虚拟SIM卡数据,则需要物联网终端能够自动完成身份认证和下载虚拟SIM卡数据的全过程,并保证该过程中的安全性;目前业界对此还没有一种有效的解决手段。
发明内容
本发明要解决的技术问题是为物联网虚拟SIM卡的初始化提供一套完整的自动化的管理方案,并能够保证该过程的安全性,对拓展物联网的应用场景具有实际意义。
为了解决上述问题,本发明提供了一种物联网虚拟用户识别模块SIM卡的初始化方法,包括:
101、物联网终端开机并连接互联网后,根据预置的地址向运营商侧的终端认证设备发送连接请求,其中携带通过预置的根密钥加密后的终端标识以及预置的、唯一对应于所述根密钥的第一认证编号;
102、所述终端认证设备收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给运营商侧的虚拟卡管理设备,并将所述虚拟卡管理设备的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端;
103、所述物联网终端利用所述根密钥解密后,使用解密得到的所述会话密钥对所述终端标识进行加密后,和所述第二认证编号一起携带在卡数据请求中发送给所述虚拟卡管理设备;
104、所述虚拟卡管理设备收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端。
可选地,所述预置的地址和虚拟卡管理设备的地址均为虚拟专用网络VPN服务器地址;所述物联网与所述终端认证设备、所述虚拟卡管理设备之间的交互是通过VPN连接,以客户端-服务器方式进行的安全通信;
所述步骤102中,所述终端认证设备通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备。
可选地,所述步骤104后还包括:
105、所述物联网终端利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
可选地,所述步骤101中还包括:
所述物联网终端利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述步骤102中的认证成功包括:
解密得到的所述终端标识存在于所述终端认证设备中预存的终端信息库中;且所述终端认证设备利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
可选地,所述步骤103中还包括:
所述物联网终端利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述步骤102后还包括:所述虚拟卡管理设备将从所述终端认证设备收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述步骤104中的认证成功包括:
解密得到的所述终端标识存在于所述虚拟卡管理设备的终端信息库中,且所述虚拟卡管理设备利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
本发明还提供了一种物联网虚拟用户识别模块SIM卡的初始化系统,包括:物联网终端,运营商侧的终端认证设备和虚拟卡管理设备;
所述物联网终端用于在开机并连接互联网后,根据预置的地址向所述终端认证设备发送连接请求,其中携带通过预置的根密钥加密后的终端标识,以及预置的、唯一对应于所述根密钥的第一认证编号;当收到所述终端认证设备返回的信息后,利用根密钥解密,使用解密得到的所述会话密钥对所述终端标识进行加密后,携带在卡数据请求中发送给所述虚拟卡管理设备;
所述终端认证设备用于收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给所述虚拟卡管理设备,并将所述虚拟卡管理设备的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端;
所述虚拟卡管理设备用于收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端。
可选地,所述预置的地址和虚拟卡管理设备的地址均为虚拟专用网络VPN服务器地址;所述物联网与所述终端认证设备、所述虚拟卡管理设备之间的交互是通过VPN连接,以客户端-服务器方式进行的安全通信;所述终端认证设备通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备。
可选地,所述物联网终端还用于利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
可选地,所述物联网终端还用于利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述终端认证设备对所述物联网终端认证成功是指:
所述终端认证设备解密得到的所述终端标识存在于本终端认证设备中预存的终端信息库中;且利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
可选地,所述物联网终端还用于利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述虚拟卡管理设备还用于将从所述终端认证设备收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述虚拟卡管理设备对所述物联网终端认证成功是指:
所述虚拟卡管理设备解密得到的所述终端标识存在于本虚拟卡管理设备的终端信息库中,且利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
本发明的至少一个实施例为物联网环境下的虚拟SIM卡的初始化提供一套完整的自动化管理方案,物联网终端、终端认证设备和虚拟卡管理设备三者通过在互联网上的相互交互来完成对物联网终端的身份认证,继而再生成虚拟SIM卡数据下发,保证了安全性;本发明的又一个实施例采用时间戳加密方法,可以实现对重放攻击等针对物联网的常见恶意攻击的防范,以满足各类型的物联网场景。
附图说明
图1为实施例一的物联网虚拟SIM卡的初始化方法的流程示意图;
图2为实施例二的物联网虚拟SIM卡的初始化系统的示意框图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一、一种物联网虚拟SIM卡的初始化方法,如图1所示,包括:
101、物联网终端开机并连接互联网后,根据预置的地址向运营商侧的终端认证设备发送连接请求,其中携带通过预置的根密钥加密后的终端标识以及预置的、唯一对应于所述根密钥的第一认证编号;
102、所述终端认证设备收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给运营商侧的虚拟卡管理设备,并将所述虚拟卡管理设备的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端;
103、所述物联网终端利用所述根密钥解密后,使用解密得到的所述会话密钥对所述终端标识进行加密后,和所述第二认证编号一起携带在卡数据请求中发送给所述虚拟卡管理设备;
104、所述虚拟卡管理设备收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端。
本实施例中,物联网终端开机并连接互联网(可通过无线局域网络WLAN等方式连接互联网)后可以自动从运营商侧的设备中获取虚拟SIM卡数据,从而完成虚拟SIM卡的初始化工作,后续就可以由虚拟SIM卡通过运营商网络进行数据交互;整个获取过程通过密钥加密,且物联网终端中仅预置终端认证设备的地址,待第一次认证成功后才能获得虚拟卡管理设备的地址以进行第二次认证,虚拟卡管理设备中只存在已通过第一次认证的终端标识,因此本实施例可杜绝冒充合法物联网终端获取虚拟SIM卡数据的可能性。
本实施例中,所述终端认证设备和虚拟卡管理设备属于运营商侧,可以是独立的设备,也可以复用已有的运营商侧设备。
本实施例的一种实施方式中,所述预置的地址和虚拟卡管理设备的地址均为虚拟专用网络VPN服务器地址;所述物联网终端与所述终端认证设备、所述虚拟卡管理设备之间的交互是通过VPN连接,以客户端-服务器方式进行的安全通信;
所述步骤102中,所述终端认证设备通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备。
本实施例的一种实施方式中,所述步骤101中还可以包括:
所述物联网终端利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述步骤102中的认证成功具体可以包括:
解密得到的所述终端标识存在于所述终端认证设备中预存的终端信息库中;且所述终端认证设备利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
本实施方式中,所述步骤103中还可以包括:
所述物联网终端利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述步骤102后还包括:所述虚拟卡管理设备将从所述终端认证设备收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述步骤104中的认证成功具体可以包括:
解密得到的所述终端标识存在于所述虚拟卡管理设备的终端信息库中,且所述虚拟卡管理设备利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
本实施方式中通过加入时间戳来判断发送时间的长短是否合理,可以防范重放攻击;重放攻击是指攻击者截获报文后,伪造发送者再次向接受者发送认证请求而获得到接收者的回复报文,达到信息窃取等目标的一种中间人攻击形式。但是由于本实施方式中的每个时间戳均具有唯一性,而重放攻击只能重复发送截获到的过期报文,接收者通过判断时间跨度是否合理,就可以有效甄别该攻击者的恶意报文。
所述第一、第二阈值为可信时间误差,可以分别根据物联网终端将报文发送到终端认证设备/虚拟卡管理设备的合理时间长度来确定;所述第一、第二阈值可以相同也可以不同。
本实施例的一种实施方式中,所述步骤104后还可以包括:
105、所述物联网终端利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
本实施例的一个具体例子如下,包括步骤S1~S23。
S1、物联网终端开机。
S2、物联网终端搜索无线网络并尝试连接。
S3、物联网终端判断是否成功连接至无线网络,如果是则跳至步骤S5;如果无法连接至无线网络,则进行步骤S4。
S4、物联网终端通知用户无法找到无线网络,并返回步骤S2。
S5、物联网终端获取当前时刻t1,利用根密钥Kr进行加密形成时间戳ts1。
S6、物联网终端利用根密钥Kr将终端ID进行加密。
S7、物联网终端向内置的运营商侧的终端认证设备的VPN服务器地址发送连接请求,将时间戳ts1、加密后的终端ID及预置的、唯一对应于所述根密钥的第一认证编号发送至终端认证设备。
S8、终端认证设备接收到连接请求后,利用对应于所述连接请求中的第一认证编号的根密钥Kr进行解密,得到终端ID及时刻t1,并自动与终端认证库信息及当前时间信息进行对比。
S9、终端认证设备若在本设备预置的终端信息库内发现该终端ID,并且当前时刻≤t1+x(x为可信时间误差),即成功认证该终端,并跳至步骤S11;若无法在终端信息库内发现该终端ID或当前时刻>t1+x,则进行步骤S10。
S10、认证失败,终端认证设备拒绝请求,并跳至步骤S23。
S11、终端认证设备自动生成会话密钥Ks以及唯一对应于该会话密钥Ks的第二认证编号CID,并将终端ID、会话密钥Ks与所述第二认证编号CID通过2层VPN连接发送至运营商侧的虚拟卡管理设备。
S12、终端认证设备将虚拟卡管理设备的VPN服务器地址、会话密钥Ks与所述第二认证编号CID利用根密钥Kr加密后,返回给物联网终端。
S13、运营商侧的虚拟卡管理设备收到终端ID、会话密钥Ks与所述第二认证编号CID后存储至终端信息库。
S14、物联网终端接收到终端认证模块返回的信息后,利用根密钥Kr进行解密,得到虚拟卡管理设备的VPN服务器地址、会话密钥Ks与所述第二认证编号CID。
S15、物联网终端自动获取当前时刻t2,利用会话密钥Ks进行加密,形成时间戳ts2。
S16、物联网终端利用会话密钥Ks对终端ID进行加密。
S17、物联网终端向虚拟卡管理设备的VPN服务器地址发送卡数据请求,将时间戳ts2、加密后的终端ID以及所述第二认证编号CID发送至虚拟卡管理设备。
S18、虚拟卡管理设备接收到卡数据请求后,根据第二认证编号CID对应的会话密钥Ks解密报文,得到终端ID与时刻t2。
S19、虚拟卡管理设备若在本设备的终端信息库中发现终端ID,并且当前时刻≤t2+x,即成功认证该物联网终端,并跳至步骤S21;虚拟卡管理设备若无法在终端信息库中发现终端ID,并且当前时间>t2+x,则进行步骤S20。
S20、认证失败,虚拟卡管理设备拒绝请求,并跳至步骤S23。
S21、虚拟卡管理设备生成虚拟SIM卡数据,利用会话密钥Ks加密,向物联网终端返回虚拟SIM卡数据。
S22、终端接收并利用会话密钥Ks解密后,得到虚拟SIM卡数据,并将该虚拟SIM卡数据存储至终端上的安全存储区中。
S23、流程结束。
实施例二、一种物联网虚拟SIM卡的初始化系统,如图2所示,包括:
物联网终端21、运营商侧的终端认证设备22和虚拟卡管理设备23;
所述物联网终端21用于在开机并连接互联网后,根据预置的地址向所述终端认证设备22发送连接请求,其中携带通过预置的根密钥加密后的终端标识,以及预置的、唯一对应于所述根密钥的第一认证编号;当收到所述终端认证设备22返回的信息后,利用根密钥解密,使用解密得到的所述会话密钥对所述终端标识进行加密后,携带在卡数据请求中发送给所述虚拟卡管理设备23;
所述终端认证设备22用于收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端21认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给所述虚拟卡管理设备23,并将所述虚拟卡管理设备23的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端21;
所述虚拟卡管理设备23用于收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端21认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端21。
本实施例的一种实施方式中,所述预置的地址和虚拟卡管理设备23的地址可以均为虚拟专用网络VPN服务器地址;所述物联网终端21与所述终端认证设备22、所述虚拟卡管理设备23之间可以是通过本物联网终端中的VPN客户端采用VPN连接进行交互,以客户端-服务器方式进行的安全通信;所述终端认证设备22可以通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备23。
本实施例的一种实施方式中,所述物联网终端21还可以用于利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
本实施例的一种实施方式中,所述物联网终端21还可以用于利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述终端认证设备22对所述物联网终端21认证成功具体可以是指:
所述终端认证设备22解密得到的所述终端标识存在于本终端认证设备中预存的终端信息库中;且利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
本实施例的一种实施方式中,所述物联网终端21还可以用于利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述虚拟卡管理设备23还可以用于将从所述终端认证设备22收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述虚拟卡管理设备23对所述物联网终端21认证成功具体可以是指:
所述虚拟卡管理设备23解密得到的所述终端标识存在于本虚拟卡管理设备的终端信息库中,且利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
本实施例的一个具体例子中,所述物联网终端21中包括用于存储虚拟SIM卡数据的安全芯片模块,其中至少包括安全存储区(存储虚拟SIM卡数据、根密钥、时间戳等信息)以及负责与其他模块安全通信的VPN客户端子模块。
运营商侧建立的终端认证设备22具备接收物联网终端21的连接请求、认证物联网终端、向物联网终端21发送会话密钥、加解密等能力。
同时运营商侧应该建立虚拟卡管理设备23,具备接收物联网终端21的卡数据请求、认证物联网终端21、生成虚拟SIM卡数据、建立空中安全信道、传输卡数据、加解密等功能。
所述物联网终端21与终端认证设备22、虚拟卡管理设备23之间的通信都是基于VPN技术的安全通信,并且通过根密钥与时间戳方法加密,防范重放攻击等针对物联网场景的恶意攻击。
所述物联网终端21的安全芯片模块包括四个子模块:
根密钥存储子模块:用于存储终端根密钥Kr,以及唯一对应于该根密钥Kr的第一认证编号;根密钥Kr用于对向终端认证设备发送的认证信息进行加密。根密钥Kr在终端出厂时被赋予,具有唯一性,且在终端认证设备中同时存储着第一认证编号与对应根密钥Kr;
卡数据存储子模块:用于存储虚拟卡数据;
VPN客户端子模块:用于与其他两个模块建立安全通信信道;
时钟子模块:利用时间信息t,生成认证时间戳ts,此计时器模块在终端出厂时与认证设备进行同步校验,确保时间统一。
在物联网终端21出厂前,VPN客户端子模块内会内置所述终端认证设备22的VPN服务器地址、与终端标识对应的根密钥、及唯一对应于该根密钥的第一认证编号。在物联网终端21第一次开机、且附近有无线网络时,VPN客户端自动启动并寻找内置的VPN服务器地址,与终端认证设备22建立VPN连接。建立连接后,物联网终端21自动发起连接请求,并将的终端ID等信息利用根密钥Kr进行加密,同时截取时钟子模块当前时间信息t1,利用根密钥Kr进行加密,形成时间戳ts1。加密完毕后,物联网终端21会将所述第一认证编号、加密后的终端ID与时间戳ts1发送至终端认证设备22。在终端认证设备22成功认证该物联网终端21后,接收虚拟卡管理设备23的VPN服务器地址、会话密钥Ks、唯一对应于该会话密钥Ks的第二认证编号。
在获取虚拟卡管理设备23的VPN服务器地址、会话密钥Ks后,物联网终端21自动向虚拟卡管理设备23发送卡数据请求,并建立VPN连接,截取时钟子模块当前时间信息t2,利用会话密钥Ks进行加密后,生成新的时间戳ts2,并和利用所述会话密钥Ks加密后的终端标识、以及所述第二认证编号一起携带在所述卡数据请求中。待虚拟卡管理设备23利用卡数据请求中携带的第二认证编号对应的会话密钥Ks成功解密认证请求以及时间戳ts2并认证成功后返回虚拟SIM卡数据,物联网终端21在成功接收到虚拟SIM卡数据后,将虚拟SIM卡数据存储至安全存储区。
运营商侧的所述终端认证设备22包括两大部分:终端信息库与VPN服务器模块;
终端信息库用作储存终端信息、所述第一认证编号对应的根密钥Kr信息、终端ID对应的虚拟卡管理设备会话密钥及会话密钥对应的第二认证编号。
VPN服务器模块用于与物联网终端21、虚拟卡管理设备23建立安全通信,与物联网终端的通信方式为客户端-服务器方式,与虚拟卡管理设备23的通信方式为2层安全通道方式。
当收到物联网终端21的连接请求后,VPN服务器模块利用连接请求中第一认证编号对应的根密钥Kr将请求报文与时间戳ts1解密,得到终端ID与时间信息t1,再自动将接收到的终端ID与终端信息库内信息,时间信息t1与当前时间(允许有可信的时间误差x)进行比对。如果终端ID与时间信息t1均认证成功,则生成会话密钥Ks及该会话密钥Ks对应的第二认证编号,并将终端ID、会话密钥Ks及所述第二认证编号利用VPN安全信道发送至虚拟卡管理设备23,同时将虚拟卡管理设备的VPN服务器地址、会话密钥Ks及所述第二认证编号利用根密钥Kr加密后返回至物联网终端21,使认证后的物联网终端21可以与虚拟卡管理设备23进行VPN连接,进行后续卡下载流程。
运营商侧的虚拟卡管理设备23包括三大部分:终端信息库、写卡模块以及VPN服务器模块。
终端信息库用于存储终端认证设备22发送的终端ID、会话密钥Ks及会话密钥Ks对应的第二认证编号。
写卡模块用于生成虚拟SIM卡数据。
VPN服务器模块用于与物联网终端21和终端认证设备22建立安全通信,与物联网终端21的通信方式为客户端-服务器方式,与终端认证设备22的通信方式为2层安全通道方式。
当收到终端认证设备22发送的信息后,VPN服务器模块自动将终端ID、会话密钥Ks及该会话密钥Ks对应的第二认证编号存储至终端信息库。当接收到物联网终端21发送卡数据请求后,利用卡数据请求中携带的第二认证编号对应的会话密钥Ks解密终端ID与时间戳ts2,并且自动对比终端信息库内的终端ID,当前时间t2(允许有可信的时间误差x)是否正确。如对比信息正确,写卡模块会生成虚拟SIM卡数据,同时VPN服务器模块与物联网终端21建立安全连接,向物联网终端21发送虚拟SIM卡数据。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (10)
1.一种物联网虚拟用户识别模块SIM卡的初始化方法,包括:
101、物联网终端开机并连接互联网后,根据预置的地址向运营商侧的终端认证设备发送连接请求,其中携带通过预置的根密钥加密后的终端标识以及预置的、唯一对应于所述根密钥的第一认证编号;
102、所述终端认证设备收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给运营商侧的虚拟卡管理设备,并将所述虚拟卡管理设备的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端;
103、所述物联网终端利用所述根密钥解密后,使用解密得到的所述会话密钥对所述终端标识进行加密后,和所述第二认证编号一起携带在卡数据请求中发送给所述虚拟卡管理设备;
104、所述虚拟卡管理设备收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端。
2.如权利要求1所述的方法,其特征在于:
所述预置的地址和虚拟卡管理设备的地址均为虚拟专用网络VPN服务器地址;所述物联网与所述终端认证设备、所述虚拟卡管理设备之间的交互是通过VPN连接,以客户端-服务器方式进行的安全通信;
所述步骤102中,所述终端认证设备通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备。
3.如权利要求1所述的方法,其特征在于,所述步骤104后还包括:
105、所述物联网终端利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
4.如权利要求1到3中任一项所述的方法,其特征在于,所述步骤101中还包括:
所述物联网终端利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述步骤102中的认证成功包括:
解密得到的所述终端标识存在于所述终端认证设备中预存的终端信息库中;且所述终端认证设备利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
5.如权利要求4所述的方法,其特征在于,所述步骤103中还包括:
所述物联网终端利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述步骤102后还包括:所述虚拟卡管理设备将从所述终端认证设备收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述步骤104中的认证成功包括:
解密得到的所述终端标识存在于所述虚拟卡管理设备的终端信息库中,且所述虚拟卡管理设备利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
6.一种物联网虚拟用户识别模块SIM卡的初始化系统,其特征在于,包括:
物联网终端,运营商侧的终端认证设备和虚拟卡管理设备;
所述物联网终端用于在开机并连接互联网后,根据预置的地址向所述终端认证设备发送连接请求,其中携带通过预置的根密钥加密后的终端标识,以及预置的、唯一对应于所述根密钥的第一认证编号;当收到所述终端认证设备返回的信息后,利用根密钥解密,使用解密得到的会话密钥对所述终端标识进行加密后,携带在卡数据请求中发送给所述虚拟卡管理设备;
所述终端认证设备用于收到所述连接请求后,利用所述连接请求中携带的第一认证编号对应的根密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成会话密钥以及唯一对应于该会话密钥的第二认证编号,和所述终端标识一起发送给所述虚拟卡管理设备,并将所述虚拟卡管理设备的地址、所述会话密钥及其对应的第二认证编号利用所述根密钥加密后返回给所述物联网终端;
所述虚拟卡管理设备用于收到所述卡数据请求后,利用所述卡数据请求中携带的第二认证编号对应的会话密钥解密得到所述终端标识,如果对所述物联网终端认证成功则生成虚拟SIM卡数据,利用所述会话密钥加密后返回给所述物联网终端。
7.如权利要求6所述的系统,其特征在于:
所述预置的地址和虚拟卡管理设备的地址均为虚拟专用网络VPN服务器地址;所述物联网与所述终端认证设备、所述虚拟卡管理设备之间的交互是通过VPN连接,以客户端-服务器方式进行的安全通信;所述终端认证设备通过2层VPN连接发送所述终端标识、会话密钥及所述第二认证编号给所述虚拟卡管理设备。
8.如权利要求6所述的系统,其特征在于:
所述物联网终端还用于利用所述会话密钥解密得到所述虚拟SIM卡数据,并得到的虚拟SIM卡数据存储至本物联网终端上的安全存储区中。
9.如权利要求6到8中任一项所述的系统,其特征在于:
所述物联网终端还用于利用所述根密钥对当前时刻加密得到第一时间戳;将所述第一时间戳也携带在所述连接请求中;
所述终端认证设备对所述物联网终端认证成功是指:
所述终端认证设备解密得到的所述终端标识存在于本终端认证设备中预存的终端信息库中;且利用所述根密钥解密所述第一时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第一阈值。
10.如权利要求9所述的系统,其特征在于:
所述物联网终端还用于利用所述会话密钥对当前时刻加密得到第二时间戳;将所述第二时间戳也携带在所述卡数据请求中;
所述虚拟卡管理设备还用于将从所述终端认证设备收到的终端标识保存在本虚拟卡管理设备的终端信息库中;
所述虚拟卡管理设备对所述物联网终端认证成功是指:
所述虚拟卡管理设备解密得到的所述终端标识存在于本虚拟卡管理设备的终端信息库中,且利用所述会话密钥解密所述第二时间戳后得到的时刻,与当前时刻所间隔的时间长度小于或等于预定的第二阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410432513.XA CN104185176B (zh) | 2014-08-28 | 2014-08-28 | 一种物联网虚拟用户识别模块卡远程初始化方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410432513.XA CN104185176B (zh) | 2014-08-28 | 2014-08-28 | 一种物联网虚拟用户识别模块卡远程初始化方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104185176A CN104185176A (zh) | 2014-12-03 |
| CN104185176B true CN104185176B (zh) | 2017-10-20 |
Family
ID=51965848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410432513.XA Active CN104185176B (zh) | 2014-08-28 | 2014-08-28 | 一种物联网虚拟用户识别模块卡远程初始化方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104185176B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105007577B (zh) * | 2015-06-19 | 2019-01-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡参数管理方法、移动终端及服务器 |
| CN105188049B (zh) * | 2015-09-30 | 2017-12-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡服务授权方法、终端、服务器以及系统 |
| CN105554724B (zh) * | 2015-11-17 | 2019-06-18 | 杭州禾声科技有限公司 | 一种基于虚拟sim卡的漫游无缝认证的系统 |
| CN105933886B (zh) * | 2016-03-31 | 2020-04-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种esim号码的写入方法、安全系统、esim号码服务器及终端 |
| CN112399423B (zh) | 2016-07-14 | 2022-09-16 | 华为技术有限公司 | 一种通过虚拟客户识别模块进行通信的方法及设备 |
| CN106385664A (zh) * | 2016-09-14 | 2017-02-08 | Tcl通讯(宁波)有限公司 | 一种基于虚拟sim卡的物联网智能设备通信方法及系统 |
| WO2018120017A1 (en) * | 2016-12-30 | 2018-07-05 | Intel Corporation | Techniques for key exchange to establish secure connection in network function virtualization environment |
| CN107567012A (zh) * | 2017-09-26 | 2018-01-09 | 深圳普创天信科技发展有限公司 | 一种软sim卡的生产、使用、处理方法及装置 |
| CN107613487A (zh) * | 2017-11-07 | 2018-01-19 | 恒宝股份有限公司 | 一种eSIM卡及其工作方法 |
| CN109992949B (zh) * | 2017-12-29 | 2021-04-16 | 中移(杭州)信息技术有限公司 | 一种设备认证方法、空中写卡方法及设备认证装置 |
| CN110769383A (zh) * | 2018-07-27 | 2020-02-07 | 上海博泰悦臻电子设备制造有限公司 | 智能车载设备的msisdn的获取方法及系统 |
| CN110224834A (zh) * | 2019-05-24 | 2019-09-10 | 清华大学 | 基于动态令牌的身份认证方法、解密及加密终端 |
| CN111465003B (zh) * | 2020-04-01 | 2022-05-13 | 中国联合网络通信集团有限公司 | 一种无卡终端被寻址的方法和装置 |
| CN111465002B (zh) * | 2020-04-01 | 2022-07-12 | 中国联合网络通信集团有限公司 | 一种无卡终端的寻址方法及身份注册服务器 |
| CN115734211B (zh) * | 2021-08-30 | 2024-07-16 | 中移物联网有限公司 | 一种标识解析方法和系统,及存储介质 |
| CN114499847A (zh) * | 2022-01-20 | 2022-05-13 | 无锡众星微系统技术有限公司 | 芯片生产测试阶段的敏感信息写入方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599884A (zh) * | 2008-06-02 | 2009-12-09 | 华硕电脑股份有限公司 | 在网络架构中的通信连接系统以及方法 |
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别系统及准入鉴别技术方法 |
| CN102833066A (zh) * | 2011-06-15 | 2012-12-19 | 中兴通讯股份有限公司 | 一种三方认证方法、装置及支持双向认证的智能卡 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101198120B1 (ko) * | 2010-05-28 | 2012-11-12 | 남궁종 | 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법 |
-
2014
- 2014-08-28 CN CN201410432513.XA patent/CN104185176B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599884A (zh) * | 2008-06-02 | 2009-12-09 | 华硕电脑股份有限公司 | 在网络架构中的通信连接系统以及方法 |
| CN102833066A (zh) * | 2011-06-15 | 2012-12-19 | 中兴通讯股份有限公司 | 一种三方认证方法、装置及支持双向认证的智能卡 |
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别系统及准入鉴别技术方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104185176A (zh) | 2014-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104185176B (zh) | 一种物联网虚拟用户识别模块卡远程初始化方法及系统 | |
| EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
| CN105162772B (zh) | 一种物联网设备认证与密钥协商方法和装置 | |
| CN110232568B (zh) | 移动支付方法、装置、计算机设备及可读存储介质 | |
| CN106464498B (zh) | 由第二电子实体认证第一电子实体的方法以及电子实体 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| CN110062382B (zh) | 一种身份验证方法、客户端、中继设备及服务器 | |
| EP3537741A1 (en) | Machine-to-machine node erase procedure | |
| CN102572815B (zh) | 一种对终端应用请求的处理方法、系统及装置 | |
| CN103828414A (zh) | 安全网关通信 | |
| KR20220117211A (ko) | 비접촉식 카드 개인 식별 시스템 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN103532963A (zh) | 一种基于物联网设备认证方法、装置和系统 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN105722013A (zh) | 蓝牙配对方法及装置 | |
| CN110336788B (zh) | 一种物联网设备与移动终端的数据安全交互方法 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN103906052A (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及系统 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN105119716A (zh) | 一种基于sd卡的密钥协商方法 | |
| CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
| US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| CN107040928B (zh) | 非法wifi检测方法、终端、aaa服务器和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |