CN106658349B - 用于自动生成与更新共享密钥的方法和系统 - Google Patents
用于自动生成与更新共享密钥的方法和系统 Download PDFInfo
- Publication number
- CN106658349B CN106658349B CN201510726292.1A CN201510726292A CN106658349B CN 106658349 B CN106658349 B CN 106658349B CN 201510726292 A CN201510726292 A CN 201510726292A CN 106658349 B CN106658349 B CN 106658349B
- Authority
- CN
- China
- Prior art keywords
- key
- uim card
- terminal
- ssd
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种用于自动生成与更新共享密钥的方法和系统。该方法包括:在UIM卡和M2M平台内预先设置相同系统密钥N;UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括系统密钥N;M2M终端和M2M应用服务器分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器之间共享的应用层基础密钥。本发明基于SSD更新流程触发UIM卡和M2M平台生成和更新应用层基础密钥,从而实现了在M2M终端和M2M应用服务器之间自动生成和更新应用层基础密钥,同时保护了系统密钥的私密性。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种用于自动生成与更新共享密钥的方法和系统。
背景技术
资源受限的M2M(Machine-to-Machine/Man,机器对机器)终端和M2M应用与服务应用平台间常常需要构建安全通道。为实现应用平台和M2M终端间的报文加密传输,及对M2M终端的认证,需事先在应用平台和终端间设置相同的共享密钥(每个终端的密钥不同)。为每个M2M终端设置共享密钥的常见方法如下:
第一种是手工设置终端密钥,即在M2M应用侧和终端侧人工逐一配置基础密钥。
第二种是终端统一预置相同的公钥,应用平台设施对应的私钥,终端初次登陆应用平台时,使用公钥加密和应用平台间的报文,最终使得各个终端得到各自的共享密钥。
第三种是短信下发模式,即在终端和应用侧预置处理逻辑,在终端安装阶段,应用平台通过SMS下发共享密钥。
上述三种方法中,手工设置终端密钥方法借助人力完成,耗时耗力,管理复杂,且有密钥由人员泄露的隐患;终端预置统一公有证书方法可以实现系统自动化处理,但由于需要处理数字证书,对终端处理能力要求较高;短信下发最主要的问题是安全级别低,SMS报文为明文,易被窃听。
发明内容
鉴于以上技术问题,本发明提供了一种用于自动生成与更新共享密钥的方法和系统,实现了在M2M终端和M2M应用服务器之间自动生成和更新应用层基础密钥,同时保护了系统密钥的私密性。
根据本发明的一个方面,提供一种用于自动生成与更新共享密钥的方法,包括:
在UIM卡和M2M平台内预先设置相同系统密钥N;
UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括系统密钥N;
M2M终端和M2M应用服务器分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器之间的共享应用层基础密钥。
在本发明的一个实施例中,所述UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M的步骤包括:
鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数还包括随机数RAND_SSD和UIM卡用户标识;
SSD更新流程首次成功后,鉴权中心通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台。
在本发明的一个实施例中,所述M2M终端和M2M应用服务器分别获取密钥M的步骤包括:
M2M终端首次登录网络成功后,从UIM卡查询得到密钥M;
M2M终端向M2M应用服务器发送注册请求,其中注册请求中携带UIM卡用户标识;
M2M应用服务器收到注册请求后,根据UIM卡用户标识向M2M平台查询得到密钥M。
在本发明的一个实施例中,所述方法还包括:
对M2M终端和M2M应用服务器的共享密钥进行更新。
在本发明的一个实施例中,所述对M2M终端和M2M应用服务器的共享密钥进行更新的步骤包括:
M2M应用服务器向M2M平台提交密钥M的更新请求,其中密钥M的更新请求中包括UIM卡用户标识;
M2M平台向鉴权中心提交SSD更新请求,其中SSD更新请求中包括UIM卡用户标识;
鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括随机数RAND_SSD、系统密钥N和UIM卡用户标识;
鉴权中心向M2M平台返回RAND_SSD;
M2M平台基于预定参数执行预定算法X生成密钥M1,并将M1返回给M2M应用服务器;
M2M应用服务器通知M2M终端从UIM卡获取密钥M1。
根据本发明的另一方面,提供一种用于自动生成与更新共享密钥的系统,包括UIM卡、M2M平台、M2M终端和M2M应用服务器,其中:
UIM卡和M2M平台,用于基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括预先设置的相同系统密钥N;
M2M终端和M2M应用服务器,用于分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器之间的共享的应用层基础密钥。
在本发明的一个实施例中,所述系统还包括鉴权中心,其中:
鉴权中心,用于对UIM卡触发SSD更新流程,以便UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数还包括随机数RAND_SSD和UIM卡用户标识;并在SSD更新流程首次成功后,通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台。
在本发明的一个实施例中,M2M终端,用于首次登录网络成功后,从UIM卡查询得到密钥M;并向M2M应用服务器发送注册请求,其中注册请求中携带UIM卡用户标识;M2M应用服务器,用于在收到M2M终端的注册请求后,根据UIM卡用户标识向M2M平台查询得到密钥M。
在本发明的一个实施例中,所述系统还用于对M2M终端和M2M应用服务器之间共享的应用层基础密钥进行更新。
在本发明的一个实施例中,M2M应用服务器还用于向M2M平台提交密钥M的更新请求,以便M2M平台向鉴权中心提交SSD更新请求,其中密钥M的更新请求中包括UIM卡用户标识,SSD更新请求中包括UIM卡用户标识;鉴权中心还用于对UIM卡触发SSD更新流程,以便UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括随机数RAND_SSD、系统密钥N和UIM卡用户标识;并向M2M平台返回RAND_SSD;M2M平台还用于基于预定参数执行预定算法X生成密钥M1;并将M1返回给M2M应用服务器,以便M2M应用服务器通知M2M终端从UIM卡获取密钥M1;M2M终端还用于收到M2M应用服务器发出的密钥更新通知后,从UIM卡查询得到新密钥M1。
本发明基于SSD更新流程触发UIM卡和M2M平台生成和更新应用层基础密钥,从而实现了在M2M终端和M2M应用服务器之间自动生成和更新应用层基础密钥,同时保护了系统密钥的私密性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用于自动生成与更新共享密钥的方法一个实施例的示意图。
图2为本发明一个实施例中终端和应用服务器获取共享密钥的示意图。
图3为本发明用于自动生成与更新共享密钥的方法另一实施例的示意图。
图4为本发明一个实施例更新共享密钥的示意图。
图5为本发明用于自动生成与更新共享密钥的系统一个实施例的示意图。
图6为本发明一个实施例中应用层基础密钥生成过程的示意图。
图7为本发明一个实施例中应用层基础密钥更新过程的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明基于现有的CDMA网络认证鉴权机制。在CDMA的认证鉴权机制中,密钥有两个级别,其中:
顶层的A-Key(Authentication Key,鉴权码)是一个长期密钥,事先已经设置在HLR(Home Location Register,归属位置寄存器)和UIM(User Identify Module,用户识别模块)卡中。
第二级密钥称为SSD。SSD基于A-Key生成。SSD在运营商核心网元间传递,这样保证了了A-Key的机密性。
CDMA鉴权的前提是UIM卡和网络侧拥有相同的SSD。这是通过网络发起的“SSD产生/更新流程”实现的,SSD产生/更新流程的结果就是:网络和UIM卡拥有一致的SSD。基于SSD,双方经过相同的算法处理实现认证鉴权。其中,SSD产生/更新流程由网络侧(HLR/AC鉴权中心)发起,发起时机可以由运营商定义,一般在终端首次接入网络或终端鉴权失败时,HLR/AC会发起此流程。每次SSD更新流程中,HLR/AC鉴权中心将生成一个新的RAND_SSD参数,用于UIM卡和HLR/AC鉴权中心之间进行接入认证。
此外,一个较为完善的M2M终端密钥体系往往由三级密钥组成:系统密钥、应用层基础密钥和应用层会话密钥。
系统密钥不参与实际加密处理,而是生成其它密钥的基础。应用层基础密钥在终端登录应用时作为加密算法的密钥使用,可用来生成应用层会话密钥。应用层会话密钥是终端登录应用后的当次会话过程中用来作为加密算法的密钥。
系统密钥始终保持不变,为获得更高的安全性,系统密钥应无法被外界直接访问。应用层基础密钥在一段时间内保持不变;为保持更高的安全性,应用层基础密钥应基于系统密钥定期更新。而每次会话的应用层会话密钥都不同;当次会话结束后即失效。
图1为本发明用于自动生成与更新共享密钥的方法一个实施例的示意图。优选的,本实施例可由用于自动生成与更新共享密钥的系统执行。该方法包括以下步骤:
步骤101,运营商在UIM卡和M2M平台内预先设置相同系统密钥N,外界无法通过UIM卡接口和M2M平台读取密钥N,其中,在M2M平台内还预先建立了UIM卡用户标识和系统密钥N的对应关系。
在本发明的一个实施例中,所述UIM卡用户标识可以是IMSI(InternationalMobile Subscriber Identification Number,国际移动用户识别码)或ICCID(Integratecircuit card identity,集成电路卡识别码)等用户身份标识。
步骤102,基于SSD更新流程触发UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M。
在本发明的一个实施例中,所述相同的预定参数可以包括系统密钥N、UIM卡用户标识和随机数RAND_SSD。
在本发明的一个实施例中,步骤102可以包括:步骤1021、鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数还包括SSD更新流程中鉴权中心下发到UIM卡的随机数RAND_SSD和UIM卡用户标识;步骤1022、SSD更新流程首次成功后,鉴权中心通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在鉴权中心发送的通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台;步骤1023、M2M平台基于预定参数执行预定算法X生成密钥M,其中,预定参数包括RAND_SSD、系统密钥N和UIM卡用户标识。
在本发明的一个实施例中,预定算法X可以设定为任一不可逆算法。
步骤103,M2M终端和M2M应用服务器分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器的共享密钥。
在本发明的一个实施例中,如图2所示,步骤103可以包括:步骤201,M2M终端首次登录网络成功后,从UIM卡查询得到密钥M;步骤202,M2M终端向M2M应用服务器发送注册请求,其中注册请求中携带UIM卡用户标识;以及步骤203,M2M应用服务器收到注册请求后,根据UIM卡用户标识向M2M平台查询得到密钥M。
基于本发明上述实施例提供的用于自动生成与更新共享密钥的方法,在M2M平台和UIM卡内内置相同系统密钥N,基于SSD更新流程触发UIM卡和M2M平台生成应用层基础密钥,M2M应用查询M2M平台得到密钥M,M2M终端查询UIM卡得到相同的密钥M,从而实现了在M2M终端和M2M应用服务器之间自动生成应用层基础密钥,同时保护了系统密钥的私密性。
图3为本发明用于自动生成与更新共享密钥的方法另一实施例的示意图。优选的,本实施例可由用于自动生成与更新共享密钥的系统执行。本实施例中的步骤301-步骤302分别与图1实施例中的步骤101-步骤103相同或类似。与图1实施例相比,本实施例在步骤303之后,还包括:
步骤304,对M2M终端和M2M应用服务器的共享密钥进行更新。
在本发明的一个实施例中,步骤304可以包括以预定时间间隔周期性地对M2M终端和M2M应用服务器的共享密钥进行更新。
在本发明的另一实施例中,步骤304可以包括根据其它策略(例如管理人员的控制指令)对M2M终端和M2M应用服务器的共享密钥进行更新。
图4为本发明一个实施例更新共享密钥的示意图。如图4所示,图3中的步骤304可以包括:
步骤401,M2M应用服务器以预定时间间隔或其它策略向M2M平台提交密钥M的更新请求,其中密钥M的更新请求中包括UIM卡用户标识。
步骤402,M2M平台向鉴权中心提交SSD更新请求,其中SSD更新请求中包括UIM卡用户标识。
步骤403,鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括UIM卡用户标识、随机数RAND_SSD和初始系统级密钥N。
上述步骤403与步骤102中的随机数RAND_SSD随机生成,由此导致步骤403与步骤102中的随机数RAND_SSD不同。因此,步骤403与步骤102中生成的应用层基础密钥M和M1不相同,从而实现了应用层基础密钥的更新。
步骤404,鉴权中心向M2M平台返回RAND_SSD。
步骤405,M2M平台基于预定参数执行预定算法X生成密钥M1,并将M1返回给M2M应用服务器,其中,预定参数包括UIM卡用户标识,随机数RAND_SSD和初始系统级密钥N。
步骤406,M2M应用服务器使用旧密钥M加密报文通知M2M终端更新密钥,以便M2M终端在收到通知后,从通信模块/UIM卡查询获得密钥M1。
在本发明的一个实施例中,步骤406中M2M终端从通信模块/UIM卡查询获得密钥M1的步骤可以包括:M2M终端向通信模块发出AT指令;通信模块向UIM卡发出APDU指令,以获得密钥M1。
在本发明的一个实施例中,在步骤406之后,所述方法还可以包括:M2M终端告知M2M平台M2M终端更新密钥成功,其中,告知消息使用旧密钥M加密;并且告知消息中携带有新密钥M1加密的特征串,其中M2M终端向M2M平台发送新密钥M1加密的特征串,以便M2M应用服务器验证M2M终端生成的M1是否和M2M应用服务器生成的M1一致。
本发明上述实施例在M2M平台和UIM卡内内置相同系统密钥N,基于SSD更新流程触发UIM卡和M2M平台生成和更新应用层基础密钥,M2M应用查询M2M平台得到应用层基础密钥,M2M终端查询UIM卡得到相同的应用层基础密钥,从而实现了在M2M终端和M2M应用服务器之间自动生成和更新应用层基础密钥,同时保护了系统密钥的私密性。
图5为本发明用于自动生成与更新共享密钥的系统一个实施例的示意图。如图5所示,所述系统包括UIM卡501、M2M平台502、M2M终端503和M2M应用服务器504,其中:
UIM卡501和M2M平台502,用于基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括预先设置的相同系统密钥N、RAND_SSD和UIM卡用户标识。
M2M终端503和M2M应用服务器504,用于分别获取密钥M,以便将密钥M作为M2M终端503和M2M应用服务器504的共享密钥。
在本发明的一个实施例中,如图5所示,所述系统还可以包括鉴权中心505,其中:
鉴权中心505,用于对UIM卡501触发SSD更新流程,以便UIM卡501在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数包括预先设置的相同系统密钥N、随机数RAND_SSD和UIM卡用户标识;并在SSD更新流程首次成功后,通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台。
在本发明的一个实施例中,M2M终端503具体用于首次登录网络成功后,从UIM卡501查询得到密钥M;并向M2M应用服务器504发送注册请求,其中注册请求中携带UIM卡用户标识。M2M应用服务器504具体用于在收到M2M终端503的注册请求后,根据UIM卡用户标识向M2M平台502查询得到密钥M。
基于本发明上述实施例提供的用于自动生成与更新共享密钥的系统,在M2M平台和UIM卡内内置相同系统密钥N,基于SSD更新流程触发UIM卡和M2M平台生成应用层基础密钥,M2M应用查询M2M平台得到密钥M,M2M终端查询UIM卡得到相同的密钥M,从而实现了在M2M终端和M2M应用服务器之间自动生成应用层基础密钥,同时保护了系统密钥的私密性。
在本发明的一个实施例中,所述系统还用于以预定时间间隔或其它策略对M2M终端503和M2M应用服务器504的共享密钥进行更新。
在本发明的一个实施例中,M2M应用服务器504还用于以预定时间间隔或其它策略向M2M平台502提交密钥M的更新请求,以便M2M平台502向鉴权中心505提交SSD更新请求,其中密钥M的更新请求中包括UIM卡用户标识,其中SSD更新请求中包括UIM卡用户标识。鉴权中心505还用于对UIM卡501触发SSD更新流程,以便UIM卡501在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括随机数RAND_SSD、预先设置的相同系统密钥N和UIM卡用户标识;并向M2M平台502返回RAND_SSD。M2M平台502还用于基于预定参数执行预定算法X生成密钥M1,其中预定参数包括随机数RAND_SSD、预先设置的相同系统密钥N和UIM卡用户标识;M2M平台还用于将M1返回给M2M应用服务器504。M2M应用服务器504还用于使用旧密钥M加密报文通知M2M终端更新密钥,以便M2M终端从通信模块/UIM卡查询获得密钥M1。M2M终端503还用于收到M2M应用服务器发出的密钥更新通知后,从UIM卡查询得到新密钥M1。
本发明上述实施例的系统,在M2M平台和UIM卡内内置相同系统密钥N,基于SSD更新流程触发UIM卡和M2M平台生成和更新应用层基础密钥,M2M应用查询M2M平台得到应用层基础密钥,M2M终端查询UIM卡得到相同的应用层基础密钥,从而实现了在M2M终端和M2M应用服务器之间自动生成和更新应用层基础密钥,同时保护了系统密钥的私密性。
在本发明的一个实施例中,UIM卡501可以实现为通信模块/UIM卡,即通信模块和UIM卡的组合。
在本发明的一个实施例中,UIM卡501可以实现为软SIM。
在本发明的一个实施例中,鉴权中心505可以实现为HLR/AC,即HLR和AC的组合。
下面通过具体示例对本发明用于自动生成与更新共享密钥的方法进行说明:
本发明用于自动生成与更新共享密钥的方法可以由应用层基础密钥生成过程和应用层基础密钥更新过程组成。
图6为本发明一个实施例中应用层基础密钥生成过程的示意图。如图6所示,本发明应用层基础密钥(共享密钥)的生成过程可以包括:
步骤601,运营商提前在M2M平台和UIM卡内内置相同的系统密钥N。在M2M平台内事先建立UIM卡用户标识和系统密钥N的对应关系。
步骤602,HLR/AC对UIM卡触发SSD更新流程,以触发在UIM卡生成SSD_NEW的同时执行预定算法X生成应用层基础密钥M。
在本发明的一个实施例中,预定算法X可以设定为任一不可逆算法;预定算法X的参数输入为:UIM卡用户标识,随机数RAND_SSD和初始系统级密钥N。
步骤603,在SSD更新流程首次成功后,HLR/AC通知M2M平台,以触发M2M平台执行预定算法X生成应用层基础密钥M。在通知中,HLR/AC将RAND_SSD和用户卡标识告知M2M平台。预定算法X的参数输入为:UIM卡用户标识,随机数RAND_SSD和初始系统级密钥N。步骤603后,在M2M平台存储有M2M终端的UIM卡用户标识和相应应用层基础密钥的关系表。
步骤604,M2M终端在首次附着网络成功后,从通信模块/UIM卡查询获得密钥M。
在本发明的一个实施例中,步骤604可以包括:M2M终端在首次附着网络成功后,立即向通信模块发出AT指令;通信模块向UIM卡发出APDU指令,以获得密钥M。
步骤605,M2M终端执行应用层协议,向M2M应用服务器注册,注册请求中携带有明文的UIM卡用户标识,其它部分使用密钥M加密。
步骤606,M2M应用服务器在收到注册请求时,根据UIM卡用户标识向M2M平台查询得到密钥M。
步骤607,M2M应用服务器应答M2M终端的注册请求,注册成功。
至此,M2M终端和M2M应用服务器都获得了相同的密钥M,M即可作为M2M终端和M2M应用服务器间的应用层基础密钥,可以进一步用于后续的登录流程的加密。
图7为本发明一个实施例中应用层基础密钥更新过程的示意图。如图7所示,本发明应用层基础密钥(共享密钥)的更新过程可以包括:
步骤701,M2M应用服务器向M2M平台提交密钥M的更新请求,其中,密钥M的更新请求中UIM卡用户标识。
步骤702,M2M平台向HLR/AC提交SSD更新请求,其中SSD更新请求中UIM卡用户标识。
步骤703,HLR/AC向UIM卡发起SSD更新流程(即,发出SSD Update Order消息),触发UIM卡在生成SSD_NEW的同时,执行预定算法X生成密钥M1。
上述步骤703与图6所示实施例的步骤602中,通过预定算法X生成应用层基础密钥的步骤中,由于预定算法X的输入参数中的随机数RAND_SSD不同,因此,步骤703与步骤602中生成的应用层基础密钥M和M1不相同,从而实现了应用层基础密钥的更新。
步骤704,UIM卡向HLR/AC返回SSD更新成功消息。
步骤705,HLR/AC向M2M平台返回随机数RAND_SSD。
步骤706,M2M平台执行预定算法X生成密钥M1。
步骤707,M2M平台将密钥M1返回给M2M应用服务器。
步骤708,M2M应用服务器使用旧密钥M加密报文通知M2M终端更新密钥。
步骤709,M2M终端从通信模块/UIM卡查询获得密钥M1。
在本发明的一个实施例中,步骤709可以包括:M2M终端向通信模块发出AT指令;通信模块向UIM卡发出APDU指令,以获得密钥M1。
步骤710,M2M终端告知M2M平台M2M终端更新密钥成功,其中,告知消息使用旧密钥M加密;并且告知消息中携带有新密钥M1加密的特征串,其中M2M终端向M2M平台发送新密钥M1加密的特征串,以便M2M应用服务器验证M2M终端生成的M1是否和M2M应用服务器生成的M1一致。
至此,M2M终端和M2M应用服务器都获得了新的密钥M1,M1即可作为M2M终端和M2M应用服务器间的新的应用层基础密钥。
当完成上述流程后,M2M终端应退出当前连接,然后使用新的M1加密报文进行登录;M2M应用服务器使用M1进行报文解码成功,即可完成密钥更新流程。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (8)
1.一种用于自动生成与更新共享密钥的方法,其特征在于,M2M终端密钥体系包括三级密钥组,所述三级密钥组包括:系统密钥、应用层基础密钥和应用层会话密钥,包括:
在UIM卡和M2M平台内预先设置相同系统密钥N;
UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括系统密钥N;
M2M终端和M2M应用服务器分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器之间的共享应用层基础密钥,其中,应用层基础密钥在终端登录应用时作为加密算法的密钥使用,用来生成应用层会话密钥,应用层会话密钥是终端登录应用后的当次会话过程中用来作为加密算法的密钥;
其中,所述用于自动生成与更新共享密钥的方法还包括:
对M2M终端和M2M应用服务器之间共享的应用层基础密钥进行更新;
其中,所述对M2M终端和M2M应用服务器之间共享的应用层基础密钥进行更新的步骤包括:
M2M平台向鉴权中心提交SSD更新请求,其中SSD更新请求中包括UIM卡用户标识;
鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括RAND_SSD、系统密钥N和UIM卡用户标识;
鉴权中心向M2M平台返回RAND_SSD;
M2M平台基于预定参数执行预定算法X生成密钥M1,并将M1返回给M2M应用服务器;
M2M应用服务器通知M2M终端从UIM卡获取密钥M1。
2.根据权利要求1所述的方法,其特征在于,所述UIM卡和M2M平台基于相同预定参数生成相同的应用层基础密钥M的步骤包括:
鉴权中心对UIM卡触发SSD更新流程,触发UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数还包括随机数RAND_SSD和UIM卡用户标识;
SSD更新流程首次成功后,鉴权中心通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台。
3.根据权利要求1所述的方法,其特征在于,所述M2M终端和M2M应用服务器分别获取密钥M的步骤包括:
M2M终端首次登录网络成功后,从UIM卡查询得到密钥M;
M2M终端向M2M应用服务器发送注册请求,其中注册请求中携带UIM卡用户标识;
M2M应用服务器收到注册请求后,根据UIM卡用户标识向M2M平台查询得到密钥M。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述对M2M终端和M2M应用服务器的共享密钥进行更新的步骤还包括:
M2M应用服务器向M2M平台提交密钥M的更新请求,其中密钥M的更新请求中包括UIM卡用户标识。
5.一种用于自动生成与更新共享密钥的系统,其特征在于,M2M终端密钥体系包括三级密钥组,所述三级密钥组包括:系统密钥、应用层基础密钥和应用层会话密钥;
所述用于自动生成与更新共享密钥的系统包括UIM卡、M2M平台、M2M终端和M2M应用服务器,其中:
UIM卡和M2M平台,用于基于相同预定参数生成相同的应用层基础密钥M,其中预定参数包括预先设置的相同系统密钥N;
M2M终端和M2M应用服务器,用于分别获取密钥M,以便将密钥M作为M2M终端和M2M应用服务器之间的共享的应用层基础密钥,其中,应用层基础密钥在终端登录应用时作为加密算法的密钥使用,用来生成应用层会话密钥,应用层会话密钥是终端登录应用后的当次会话过程中用来作为加密算法的密钥;
其中,所述用于自动生成与更新共享密钥的系统,还用于对M2M终端和M2M应用服务器之间共享的应用层基础密钥进行更新;
其中,M2M平台还用于向鉴权中心提交SSD更新请求,其中SSD更新请求中包括UIM卡用户标识;
鉴权中心还用于对UIM卡触发SSD更新流程,以便UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M1,其中,预定参数包括随机数RAND_SSD、系统密钥N和UIM卡用户标识;并向M2M平台返回RAND_SSD;
M2M平台还用于基于预定参数执行预定算法X生成密钥M1;并将M1返回给M2M应用服务器,以便M2M应用服务器通知M2M终端从UIM卡获取密钥M1;
M2M终端还用于收到M2M应用服务器发出的密钥更新通知后,从UIM卡查询得到新密钥M1。
6.根据权利要求5所述的系统,其特征在于,还包括鉴权中心,其中:
鉴权中心,用于对UIM卡触发SSD更新流程,以便UIM卡在生成SSD_NEW的同时,基于预定参数执行预定算法X生成密钥M,其中,预定参数还包括随机数RAND_SSD和UIM卡用户标识;并在SSD更新流程首次成功后,通知M2M平台基于预定参数执行预定算法X生成密钥M,其中,在通知中,鉴权中心将RAND_SSD和UIM卡用户标识告知M2M平台。
7.根据权利要求5所述的系统,其特征在于,
M2M终端,用于首次登录网络成功后,从UIM卡查询得到密钥M;并向M2M应用服务器发送注册请求,其中注册请求中携带UIM卡用户标识;
M2M应用服务器,用于在收到M2M终端的注册请求后,根据UIM卡用户标识向M2M平台查询得到密钥M。
8.根据权利要求5-7中任一项所述的系统,其特征在于,
M2M应用服务器还用于向M2M平台提交密钥M的更新请求,其中密钥M的更新请求中包括UIM卡用户标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510726292.1A CN106658349B (zh) | 2015-10-30 | 2015-10-30 | 用于自动生成与更新共享密钥的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510726292.1A CN106658349B (zh) | 2015-10-30 | 2015-10-30 | 用于自动生成与更新共享密钥的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106658349A CN106658349A (zh) | 2017-05-10 |
| CN106658349B true CN106658349B (zh) | 2020-11-20 |
Family
ID=58830615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510726292.1A Active CN106658349B (zh) | 2015-10-30 | 2015-10-30 | 用于自动生成与更新共享密钥的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106658349B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571702A (zh) * | 2010-12-22 | 2012-07-11 | 中兴通讯股份有限公司 | 物联网中的密钥生成方法、系统和设备 |
| CN102932790A (zh) * | 2012-10-31 | 2013-02-13 | 江苏博智软件科技有限公司 | 一种基于移动通信网络的物联网安全认证方法 |
| WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
| CN103475624A (zh) * | 2012-06-06 | 2013-12-25 | 中兴通讯股份有限公司 | 一种物联网密钥管理中心系统、密钥分发系统和方法 |
| CN103532718A (zh) * | 2013-10-18 | 2014-01-22 | 中国科学院信息工程研究所 | 一种认证方法及系统 |
| CN103532963A (zh) * | 2013-10-22 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种基于物联网设备认证方法、装置和系统 |
| CN103686717A (zh) * | 2013-12-23 | 2014-03-26 | 江苏物联网研究发展中心 | 一种物联网传感系统的密钥管理方法 |
| WO2015101451A1 (en) * | 2013-12-31 | 2015-07-09 | Gemalto Sa | System and method for securing machine-to-machine communications |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056077B (zh) * | 2009-10-29 | 2013-11-06 | 中国移动通信集团公司 | 一种通过密钥进行智能卡应用的方法和装置 |
| CN103297224B (zh) * | 2012-02-23 | 2016-05-25 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
| CN103581153A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的加密方法和装置 |
-
2015
- 2015-10-30 CN CN201510726292.1A patent/CN106658349B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571702A (zh) * | 2010-12-22 | 2012-07-11 | 中兴通讯股份有限公司 | 物联网中的密钥生成方法、系统和设备 |
| WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
| CN103475624A (zh) * | 2012-06-06 | 2013-12-25 | 中兴通讯股份有限公司 | 一种物联网密钥管理中心系统、密钥分发系统和方法 |
| CN102932790A (zh) * | 2012-10-31 | 2013-02-13 | 江苏博智软件科技有限公司 | 一种基于移动通信网络的物联网安全认证方法 |
| CN103532718A (zh) * | 2013-10-18 | 2014-01-22 | 中国科学院信息工程研究所 | 一种认证方法及系统 |
| CN103532963A (zh) * | 2013-10-22 | 2014-01-22 | 中国联合网络通信集团有限公司 | 一种基于物联网设备认证方法、装置和系统 |
| CN103686717A (zh) * | 2013-12-23 | 2014-03-26 | 江苏物联网研究发展中心 | 一种物联网传感系统的密钥管理方法 |
| WO2015101451A1 (en) * | 2013-12-31 | 2015-07-09 | Gemalto Sa | System and method for securing machine-to-machine communications |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106658349A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| CN110855621B (zh) | 用于控制对车载无线网络的访问的方法 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| EP3340690B1 (en) | Access method, device and system for user equipment (ue) | |
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| AU2017405089A1 (en) | Enhanced registration procedure in a mobile system supporting network slicing | |
| KR102456280B1 (ko) | 원격 통신 네트워크의 단말 내에서 모바일 장비와 협력하는 보안 엘리먼트를 인증하기 위한 방법 | |
| US11445370B2 (en) | Method and device for verifying key requester | |
| CN106304264B (zh) | 一种无线网络接入方法及装置 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| US9992065B2 (en) | Selective wi-fi calling router updates | |
| CN109691058A (zh) | 使用秘密标识符的与用户设备有关的操作 | |
| EP3525503A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
| US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
| CN112235799B (zh) | 终端设备入网鉴权方法及系统 | |
| CN108243416A (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
| CN107592624B (zh) | 用于自动生成共享密钥的方法和系统 | |
| CN112866988A (zh) | 终端的隐私保护方法和装置、终端 | |
| CN106658349B (zh) | 用于自动生成与更新共享密钥的方法和系统 | |
| CN113660661A (zh) | 终端网络配置的修改方法及相关设备 | |
| CN1968096B (zh) | 一种同步流程优化方法和系统 | |
| US20220104012A1 (en) | Authentication processing method and device, storage medium and electronic device | |
| JP2023030369A (ja) | 認証装置、無線通信装置、無線通信システム、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |