CN108123917A - 一种物联网终端的认证凭证更新的方法及设备 - Google Patents
一种物联网终端的认证凭证更新的方法及设备 Download PDFInfo
- Publication number
- CN108123917A CN108123917A CN201611072829.8A CN201611072829A CN108123917A CN 108123917 A CN108123917 A CN 108123917A CN 201611072829 A CN201611072829 A CN 201611072829A CN 108123917 A CN108123917 A CN 108123917A
- Authority
- CN
- China
- Prior art keywords
- service ticket
- visited network
- scrip
- card
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种物联网终端的认证凭证更新的方法及设备,方法包括:向拜访网络发送认证凭证更新请求,认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;接收拜访网络发送的认证凭证更新响应,认证凭证更新响应至少包括:经过公钥加密的新的认证凭证、新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;通过可插拔卡或者不可插拔卡的与公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;如果通过临时凭证对拜访网络验证的验证结果为验证通过,将新的认证凭证和新的认证凭证的标识绑定存储。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种物联网终端的认证凭证(Credential)更新的方法及设备。
背景技术
随着物联网和移动互联网的发展,更多的物联网业务(远程抄表、智能家居等)被引入人们的生活,从而使得更多的物联网终端类型(如电表、水表、可穿戴设备等)不断出现,并被作为终端接入到运营商网络中,接受运营商网络的控制。物联网终端(或者称为物联网UE)接入运营商的网络时,跟普通终端(如手机)一样需要物联网终端和运营商网络的HSS(用户归属地服务器)之间提前共享认证凭证(即根密钥ki、身份标识IMSI),并基于该认证凭证执行物联网终端和网络之间的相互认证以及会话密钥的生成。与普通终端不同的是,在某些场景下,物联网终端中的认证凭证是需要更新的。比如:
场景一:一个汽车租赁公司的汽车装载了记录汽车位置、监控汽车运行情况的物联网终端。该终端通过运营商的网络,实时向汽车租赁公司的服务器上传汽车的相关信息。由于该汽车的租户有可能从一个运营商(如运营商A)网络覆盖的区域跑到另一个运营商(如运营商B)网络覆盖的区域,并且有可能会在另一个运营商网络覆盖区域滞留一段时间。此时,如果租赁公司的汽车上的物联网终端与运营商A网络共享认证凭证,即将运营商A网络作为归属网络,那么当该租赁公司的车长时间在运营商B网络覆盖区域停留并向租赁公司服务器实时传送车辆信息时,会导致大量的漫游费用的产生。当租赁公司汽车有大量的车在其他运营商网络长期滞留时,将会导致高额的漫游费。此时,租赁公司希望他的物联网终端能够灵活的更新认证凭证,实现在哪个运营商覆盖网络下长期附着就使用该运营商网络作为归属网络。这将大大减少租赁公司由于漫游带来的通信费用。
场景二:汽车租赁公司也可能发现某一运营商的资费更低,所以想停止使用当前的运营商网络,转而使用资费更优惠的运营商网络。
对于普通终端(如手机),认证凭证都是由与运营商有合同关系的卡商提前写入UICC卡中,用户从运营商或者分销商处购买携带认证凭证的UICC插入到终端上,实现终端接入运营商网络。如果一个普通终端需要更新认证凭证,只需要重新购买写有运营商认证凭证的UICC卡即可。对于物联网终端,有可能用户无法亲自跑到现场去更换可插拔的UICC卡,比如:1)租赁公司的汽车已经被开到外地了,租赁公司不可能跑到外地去更换卡;2)物联网终端在森林广泛部署,挨个手动更换卡的工作量巨大;3)物联网终端有可能工作在震动的环境,普通的UICC卡不能满足震动环境,需要使用eUICC来存储认证凭证,此场景下eUICC焊接在物联网终端的主板上不可插拔,现有的通过更换可插拔的UICC来更换认证凭证的方式不适用。
为了解决上述可插拔卡(UICC卡)或不可插拔卡(eUICC卡)上的认证凭证更新的问题,如图1所示,提出了一种跨运营商的认证凭证更新方法。参见图1的步骤9,物联网UE并没有认证拜访网络。虽然物联网UE与归属网络之间的数据传输有机密性和完整保护,不会发生数据被篡改或假冒的风险。但是如果归属网络不可信,那么归属网络可以替换拜访网络发送的认证凭证,即归属网络随便选择一个自己的认证凭证,使用收到的物联网终端(e)UICC的公钥加密后发送给物联网终端,(e)UICC使用私钥解出认证凭证。由于没有对该认证凭证的来源认证,所以(e)UICC不能识别认证凭证是否来自拜访网络。
特别的,一个恶意的归属网络甚至可以实现跟踪更换到拜访网络的用户。即,归属网络使用自己控制的物联网终端向拜访网络申请认证凭证,并获得认证凭证A。当收到物联网终端的认证凭证更新请求后,把之前获得的认证凭证A使用收到的认证凭证更新请求中的(e)UICC公钥加密后,代替拜访网络给物联网终端返回认证凭证更新请求。这样该物联网终端使用了恶意归属网络知道的认证凭证附着拜访网络。恶意归属网络可以跟踪该物联网终端的用户的所有通话、位置等信息。
因此,亟需一种能够解决在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的认证凭证更新方案。
发明内容
鉴于上述技术问题,本发明实施例提供一种物联网终端的认证凭证更新的方法及设备,解决在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。
依据本发明实施例的一个方面,提供了一种物联网终端的认证凭证更新的方法,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述方法包括:
向拜访网络发送认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
接收拜访网络发送的认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;
通过所述可插拔卡或者不可插拔卡的与所述公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
如果通过所述临时凭证对拜访网络验证的验证结果为验证通过,将所述新的认证凭证和新的认证凭证的标识绑定存储。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述向拜访网络发送认证凭证更新请求,包括:
主动向拜访网络发送认证凭证更新请求;或者
在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求。
可选地,所述方法还包括:
根据可插拔卡或者不可插拔卡的公钥对应的签约关系确定所述临时凭证的生成方式;
根据所述临时凭证的生成方式确定通过所述临时凭证对拜访网络验证的验证方式;
根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
可选地,若所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名;
相应地,所述根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据所述临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络。
可选地,所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,所述根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据所述临时凭证的生成方式确定由用户验证所述临时凭证的方式来验证拜访网络。
依据本发明实施例的第二个方面,还提供了一种物联网终端的认证凭证更新的方法,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述方法包括:
接收所述物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定用于物联网终端验证拜访网络的临时凭证;
向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
可选地,根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端的新的认证凭证所生成的一数字签名;或者
所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
依据本发明实施例的第三个方面,还提供了一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述设备包括:
第一发送模块,用于向拜访网络发送认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第一接收模块,用于接收拜访网络发送的认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;
解密模块,用于通过所述可插拔卡或者不可插拔卡的与所述公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
存储模块,用于如果通过所述临时凭证对拜访网络验证的验证结果为验证通过,将所述新的认证凭证和新的认证凭证的标识绑定存储。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述第一发送模块进一步用于:
主动向拜访网络发送认证凭证更新请求;或者
在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求。
可选地,所述设备还包括:
第一确定模块,用于根据可插拔卡或者不可插拔卡的公钥对应的签约关系确定所述临时凭证的生成方式;
第二确定模块,用于根据所述临时凭证的生成方式确定通过所述临时凭证对拜访网络验证的验证方式;
验证模块,用于根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
可选地,若所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端的新的认证凭证所生成的一数字签名;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络。
可选地,所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由用户验证所述临时凭证的方式来验证拜访网络。
依据本发明实施例的第四个方面,还提供了一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述设备包括:
第二接收模块,用于接收所述物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第三确定模块,用于确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥确定用于物联网终端验证拜访网络的临时凭证;
第二发送模块,用于向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
可选地,所述第三确定模块进一步用于根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对分配给所述物联网终端的新的认证凭证所生成的一数字签名;或者
所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
上述技术方案中的一个技术方案具有如下优点或有益效果:物联网UE可以根据拜访网络反馈的临时凭证对该拜访网络进行验证,且仅在验证通过后才更新认证凭证,从而解决了在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。与现有技术相比,本实施例的方案能够实现物联网UE自动更新认证凭证,保证物联网UE在用户因业务需求导致需要将另一个运营商网络作为归属网络时,能快速、方便、安全的将该物联网UE上的(e)UICC上的认证凭证更换为该运营商网络的认证凭证。
附图说明
图1为现有技术中的更改运营商认证凭证流程图;
图2为本发明实施例一中物联网终端的认证凭证更新的方法流程图;
图3为本发明实施例二中物联网终端的认证凭证更新的方法流程图;
图4为本发明实施例三中跨运营商网络侧主动方式更新认证凭证的流程;
图5为本发明实施例四中跨运营商终端侧主动方式更新认证凭证的流程;
图6为本发明实施例五中物联网终端的认证凭证更新的设备框图;
图7为本发明实施例六中物联网终端的认证凭证更新的设备框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本发明的实施例可以具体实现为以下形式:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
实施例一
参见图2,图中示出了一种物联网终端的认证凭证更新的方法,其中,物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,具体步骤如下:
步骤201、物联网终端向拜访网络发送认证凭证更新请求,认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
上述可插拔卡或不可插拔卡的公钥可以是可插拔卡或不可插拔卡产生的,也可以是生产可插拔卡或不可插拔卡的卡商写入的。
可选方式一:物联网终端主动向拜访网络发送认证凭证更新请求,具体流程可参见图5;
可选方式二:物联网终端在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求,具体流程可参见图4。
上述物联网终端(或者称为物联网UE)可以是物联网中连接传感网络层和传输网络层,实现采集数据及向网络层发送数据的设备。具有数据采集、初步处理、加密、传输等多种功能。
需要说明的是,在本实施例中,上述可插拔卡或者不可插拔卡可以具有产生公私钥对以及解密的能力,并且能够将认证凭证、认证凭证的标识和临时凭证进行绑定存储,且该可插拔卡或者不可插拔卡还具有认证临时凭证的能力。
步骤202、物联网终端接收拜访网络发送的认证凭证更新响应,认证凭证更新响应至少包括:经过公钥加密的新的认证凭证、新的认证凭证的标识(或者称为KID)和用于物联网终端验证拜访网络的临时凭证;
其中,新的认证凭证(根密钥Ki和IMSI)和新的认证凭证的标识是拜访网络根据认证凭证更新请求为物联网终端分配的,临时凭证是拜访网络可以根据可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
例如:临时凭证是拜访网络根据可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
步骤203、物联网终端通过可插拔卡或者不可插拔卡的与公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
具体地,物联网终端的可插拔卡或者不可插拔卡通过与公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证。
步骤204、如果通过临时凭证对拜访网络验证的验证结果为验证通过,物联网终端将新的认证凭证和新的认证凭证的标识绑定存储。
具体地,物联网终端的可插拔卡或者不可插拔卡将新的认证凭证和新的认证凭证的标识绑定存储。
需要说明的是,在本实施例中,可以根据临时凭证的生成方式确定对应的验证方式来验证拜访网络,具体地,在步骤204之前,该方法还包括:首先根据可插拔卡或者不可插拔卡的公钥的签约关系确定临时凭证的生成方式,例如在签约数据库中记录公钥与临时凭证的生成方式的绑定关系;然后根据临时凭证的生成方式确定通过临时凭证对拜访网络验证的验证方式;最后根据确定的通过临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
可选地,若临时凭证的生成方式为拜访网络使用拜访网络的私钥对给物联网终端分配的新的认证凭证所生成的一数字签名;
相应的,根据确定的通过临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络,其中,上述拜访网络的公钥和上述拜访网络的私钥属于公私钥对。
可选地,临时凭证的生成方式还可以为以下任意一种:
(1)拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;
(2)当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;
(3)用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,根据确定的通过临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据临时凭证的生成方式确定由用户验证临时凭证的方式来验证拜访网络。例如:物联网终端显示临时凭证,然后提示用户验证根据显示的临时凭证验证拜访网络,验证成功,则将新的认证凭证、新的认证凭证的标识绑定存储;否则,向网络返回错误提示。
在本实施例中,物联网UE可以根据拜访网络反馈的临时凭证对该拜访网络进行验证,且仅在验证通过后才更新认证凭证,从而解决了在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。与现有技术相比,本实施例的方案能够实现物联网UE自动更新认证凭证,保证物联网UE在用户因业务需求导致需要将另一个运营商网络作为归属网络时,能快速、方便、安全的将该物联网UE上的可插拔卡或者不可插拔卡上的认证凭证更换为该运营商网络的认证凭证。
实施例二
参见图3,图中示出了一种物联网终端的认证凭证更新的方法,其中,物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,具体步骤如下:
步骤301、接收物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
步骤302、确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定用于物联网终端验证拜访网络的临时凭证;
可选地,在本实施例中可以根据可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,在本实施例中临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名;或者
临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
步骤303、向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
需要说明的是,如果临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名,则认证凭证更新响应中还包括拜访网络的公钥,物联网终端可以根据该拜访网络的公钥来验证认证凭证。
在本实施例中,拜访网络能够生成用于物联网终端验证拜访网络的临时凭证,从而解决了在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。与现有技术相比,本实施例的方案能够实现物联网UE自动更新认证凭证,保证物联网UE在用户因业务需求导致需要将另一个运营商网络作为归属网络时,能快速、方便、安全的将该物联网UE上的可插拔卡或者不可插拔卡上的认证凭证更换为该运营商网络的认证凭证。
实施例三
参见图4,图中示出了跨运营商的网络侧主动更新认证凭证,具体步骤如下:
步骤400、用户向拜访HSS/HLR和归属HSS/HLR申请更新认证凭证;
用户可以向当前所在网络的运营商申请更新认证凭证,该网络的运营商也可称为归属网络或者归属运营商(如图4中的归属HSS/HLR),并且是更新为另一个运营商网络的认证凭证,该另一个运营商网络也可称为拜访网络或者拜访运营商(如图4中的拜访HSS/HLR)。
比如,用户可以打电话申请或者进入归属运营商网站(例如web门户网站)申请。申请时需要说明更换到哪个运营商。获得归属运营商同意后,该更换运营商认证凭证申请可以作为用户签约信息的一部分存储在签约数据库中;
另外,用户还需要向拜访运营商去申请更新认证凭证,指明要将当前归属运营商的认证凭证更新为拜访运营商的认证凭证。比如,用户可以进入拜访运营商的网站(例如web门户网站)申请,填写上该物联网终端(也可称为物联网UE)使用的(e)UICC的公钥以及当前归属运营商的网络标识。拜访运营商同意用户从其归属运营商认证凭证更新为拜访运营商的认证凭证后,需生成一个用于验证拜访运营商的临时凭证。拜访运营商将该临时凭证和该用户的(e)UICC的公钥一起绑定存储,比如将临时凭证和用户的(e)UICC的公钥绑定关系作为该用户的签约信息的一部分存储在签约数据库中。可选地,该临时凭证的产生方式可以有以下几种:
方式a、拜访运营商用自己的私钥对认证凭证做的一个数字签名,由于认证凭证需在拜访运营商收到来自用户的物联网终端的认证凭证更新请求后才会被分配,所以在用户在此申请过程中只需要选择生成临时凭证的方式是拜访运营商用自己的私钥对认证凭证做数字签名,将数字签名作为临时凭证。
方式b、临时凭证可以是拜访运营商生成的一个随机验证码,并通过短信的方式通知给用户;或者临时凭证是一个随机数,当用户在拜访运营商申请更新运营商认证凭证成功后,拜访运营商web服务器生成一个随机数并显示给用户,用户进行记录。拜访运营商将该随机数和(e)UICC公钥绑定存储作为该用户的签约信息的一部分;
方式c、临时凭证也可以是用户在拜访运营商申请更新运营商认证凭证时自己填充的数字或字符等(如6位数字等)作为临时凭证,用户自己记录,拜访运营商将该随机数和(e)UICC公钥绑定存储,作为该用户的签约关系的一部分存放到签约数据库中。
上述方式a)需要拜访HSS/HLR收到物联网UE的认证凭证更新请求,进行认证凭证分配后,需生成临时凭证,此临时凭证生成方式无需用户参与;上述b)和c)中的临时凭证需要用户将临时凭证输入到设备或用户自己检查临时凭证,需要用户参与。
步骤401、运营商收到并允许用户更新认证凭证请求后,运营商网络侧(如HSS或者专门管理认证凭证更新的网元)通过MME/SGSN/MSC向用户的物联网UE发送认证凭证更新命令。
可选地,该认证凭证更新命令可以是新增的单独的一条信令,也可以通过MME/SGSN/MSC向UE发paging消息,将该认证凭证更新命令包含在该paging消息中。比如,在paging消息中增加一个IE(Information Element)来标识认证凭证更新命令。
步骤402、物联网UE收到认证凭证更新命令后,向MME/SGSN/MSC发送认证凭证更新请求。
在该认证凭证更新请求中携带该物联网UE的(e)UICC卡的公钥。该认证凭证更新请求可以是在该物联网UE跟网络进行AKA(Authentication and Key Agreement)认证,并通过安全模式开启信令的完整性和机密性保护之后的独立的一条信令,也可以包含在TAU/RAU/LAU消息中,比如,在TAU/RAU/LAU消息中增加一个IE(Information Element)来标识认证凭证更新命令。
步骤403、MME/SGSN/MSC向归属运营商的HSS/HLR转发认证凭证更新请求。
步骤404、归属运营商的HSS/HLR在接收到物联网UE的认证凭证更新请求后,需检查该用户的物联网UE是否有权限进行跨运营商的认证凭证更新。如果有权限,执行步骤405。
步骤405、归属运营商的HSS/HLR向拜访运营商的HSS/HLR发送认证凭证更新请求,该认证凭证更新请求中包含物联网UE中(e)UICC的公钥及当前归属运营商网络的标识。
步骤406、拜访运营商收到更新认证凭证请求后,检查该请求是否合法(即用户是否已经对该公钥对应的物联网UE做了更新认证凭证申请)。如果合法,检查该用户的(e)UICC公钥对应的绑定关系(或者称为签约关系)。如果临时凭证生成方式是上述a),那么拜访运营商使用自己的私钥对给该设备分配的认证凭证所生成临时凭证;如果临时凭证生成方式是b)和c),则直接使用用户在步骤400申请时生成的临时凭证。拜访运营商使用收到的公钥加密更新的认证凭证以及给该认证凭证分配的密钥标识KID。将加密的认证凭证(即根密钥Ki和IMSI)、KID以及临时凭证包含在认证凭证更新响应中发送给归属HSS/HLR。如果临时凭证生成方式是上述a),在该认证凭证更新响应中还需要包含拜访运营商的公钥。
步骤407、归属HSS/HLR收到认证凭证更新响应后,通过MME/SGSN/MSC转发给物联网UE。该响应消息可以是单独的一条信令承载(如NAS消息),也可以是包含在TAU/RAU/LAUresponse消息中。
步骤408、物联网UE收到该响应后,(e)UICC使用私钥解密,获得认证凭证以及临时凭证。如果临时凭证是方式a,那么(e)UICC使用拜访运营商的公钥验证临时凭证(即验证认证凭证的数字签名);如果临时凭证采用的是方式b和c,(e)UICC将解密的认证凭证反馈给物联网UE,由物联网UE提示用户来进行比对,即是否与在步骤400中获得的验证码、随机数等一致。验证成功后,则将收到的新认证凭证、新KID绑定存储。否则,向网络返回错误信息。
步骤409、物联网UE发起detach流程后离开归属运营商的网络。后续该UE可以使用更新的认证凭证接入到该认证凭证对应的运营商网络。
实施例四
参见图5,图中示出了跨运营商的终端侧主动更新认证凭证,在本实施例中,认证凭证更新由用户通过物联网UE主动触发。该触发方式可以是用户申请后,直接在物联网终端上手动操作启动更新认证凭证的功能,使得物联网UE发起认证凭证更新请求。具体步骤如下:
步骤500、用户向拜访HSS/HLR和归属HSS/HLR申请更新认证凭证;
用户可以向当前所在网络的运营商申请更新认证凭证,该网络的运营商也可称为归属网络或者归属运营商(如图5中的归属HSS/HLR),并且是更新为另一个运营商网络的认证凭证,该另一个运营商网络也可称为拜访网络或者拜访运营商(如图5中的拜访HSS/HLR)。
比如,用户可以打电话申请或者进入归属运营商网站(例如web门户网站)申请。申请时需要说明更换到哪个运营商。获得归属运营商同意后,该更换运营商认证凭证申请可以作为用户签约信息的一部分存储在签约数据库中;
另外,用户还需要向拜访运营商去申请更新认证凭证,指明要将当前归属运营商的认证凭证更新为拜访运营商的认证凭证。比如,用户可以进入拜访运营商的网站(例如web门户网站)申请,填写上该物联网终端(也可称为物联网UE)使用的(e)UICC的公钥以及当前归属运营商的网络标识。拜访运营商同意用户从其归属运营商认证凭证更新为拜访运营商的认证凭证后,需生成一个用于验证拜访运营商的临时凭证。拜访运营商将该临时凭证和该用户的(e)UICC的公钥一起绑定存储,比如将临时凭证和用户的(e)UICC的公钥绑定关系作为该用户的签约信息的一部分存储在签约数据库中。
在本实施例中,该临时凭证的生成以及存储方式与上述实施例三相同,在此不再敷述。
步骤501、物联网UE向MME/SGSN/MSC发送认证凭证更新请求。
在该认证凭证更新请求中携带该物联网UE的IMSI以及(e)UICC卡的公钥。可选地,该认证凭证更新请求可以是独立的一条信令,也可以包含在TAU/RAU/LAU消息中。
需要说明的是,步骤501中物联网UE向MME/SGSN/MSC发送认证凭证更新请求,可以有以下两种方式:
方式a、物联网UE上支持定时器,计算每个认证凭证的使用时间,当认证凭证使用周期到达时间时,定时器触发物联网UE发起认证凭证更新流程。此过程需要HSS/HLR也针对每个认证凭证的使用周期进行监控,并在收到认证凭证更新请求时检查是否已经满足需要更新的时间区间。
方式b、用户申请后,直接在物联网UE上手动操作启动更新认证凭证的功能,使得物联网UE发起认证凭证更新请求。此方法不需要物联网UE和HSS/HLR来监控认证凭证的使用时间,但是需要用户手动操控物联网UE。
步骤502、MME/SGSN/MSC向归属HSS/HLR转发认证凭证更新请求。
步骤503、归属HSS/HLR收到认证凭证更新请求后,检查该UE是否有权限进行认证凭证更新比如是否签约了认证凭证更新的服务,认证凭证使用期限是否已满等。如果有权限,执行步骤504。
步骤504、归属运营商的HSS/HLR向拜访运营商的HSS/HLR发送认证凭证更新请求,该认证凭证请求中包含物联网UE中(e)UICC的公钥及当前归属运营商网络的标识。
步骤505、拜访运营商收到更新认证凭证请求后,检查该请求是否合法(即用户是否已经对该公钥对应的物联网UE做了更新认证凭证申请)。如果合法,检查该用户的(e)UICC公钥对应的绑定关系(或者称为签约关系)。如果临时凭证生成方式是上述方式a,那么拜访归属运营商使用自己的公钥签名分配给该设备的认证凭证生成临时凭证;如果临时凭证生成方式是方式b和c,则直接使用用户在步骤500申请时生成的临时凭证。拜访运营商使用收到的公钥加密更新的认证凭证以及给该认证凭证分配的密钥标识KID。将加密的认证凭证(即根密钥Ki和IMSI)、KID以及临时凭证(即用户申请认证凭证更新时与(e)UICC公钥绑定的临时凭证)包含在认证凭证更新响应中发送给归属HSS/HLR。如果临时凭证生成方式是上述方式a,在该认证凭证更新响应中还需要包含拜访运营商的公钥。
步骤506、归属HSS/HLR收到认证凭证更新响应后,通过MME/SGSN/MSC转发给物联网UE。该响应消息可以是单独的一条信令承载(如NAS消息),也可以是包含在TAU/RAU/LAUresponse消息中。
步骤507、(e)UICC使用私钥解密后,需首先验证收到的临时凭证,验证方式同实施例三中的步骤408。如果临时凭证验证通过,则将收到的新认证凭证、新KID绑定存储。否则,向网络返回错误信息。
步骤508、物联网UE发起detach流程后离开归属运营商的网络。后续该UE可以使用更新的认证凭证接入到该认证凭证对应的运营商网络。
物联网UE向网络发起附着流程,在attach request中需要携带认证凭证的标识KID,以便HSS/HLR能够识别该物联网UE使用是哪个的认证凭证。物联网UE和网络之间完成附着流程后,物联网UE就使用更新的认证凭证接入了运营商的网络。
上述实施例三和实施例四中,归属HSS/HLR和拜访HSS/HLR之间的通信可以通过两个运营商网内的3GPP AAA proxy和PGW/GGSN来进行转发,当然也并不限于此。
上述实施例三和实施例四解决了跨运营商的认证凭证更新,适用于物联网终端需要在不同运营商之间更新认证凭证的场景(比如用户为了选择费用更少的运营商要求更新根密钥)。并且,上述方法能够避免归属运营商获知拜访运营商的认证凭证,保护了运营商的隐私。
上述实施例三和实施例四中的两种方案中为了实现物联网UE自动使用更新的认证凭证附着网络,可以让(e)UICC上的USIM应用能够对认证凭证做一个优先级排序,总是将最近更新的认证凭证排在最高优先级,并且总是选择优先级最高的认证凭证作为网络接入的认证根密钥。
网络侧主动认证凭证更新方案和终端侧主动认证凭证更新方案相比,由网络触发更新可以避免物联网UE遭受攻击后不停地向网络发送更新认证凭证请求,占用网络资源的风险。
实施例五
参见图6,图中示出了一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述设备600包括:
第一发送模块601,用于向拜访网络发送认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第一接收模块602,用于接收拜访网络发送的认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;
解密模块603,用于通过所述可插拔卡或者不可插拔卡的与所述公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
存储模块604,用于如果通过所述临时凭证对拜访网络验证的验证结果为验证通过,将所述新的认证凭证和新的认证凭证的标识绑定存储。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
可选地,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述第一发送模块进一步用于:
主动向拜访网络发送认证凭证更新请求;或者
在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求。
可选地,所述设备还包括:
第一确定模块,用于根据可插拔卡或者不可插拔卡的公钥确定所述临时凭证的生成方式;
第二确定模块,用于根据所述临时凭证的生成方式确定通过所述临时凭证对拜访网络验证的验证方式;
验证模块,用于根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
可选地,若所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络。
可选地,所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由用户验证所述临时凭证的方式来验证拜访网络。
在本实施例中,拜访网络能够生成用于物联网终端验证拜访网络的临时凭证,从而解决了在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。与现有技术相比,本实施例的方案能够实现物联网UE自动更新认证凭证,保证物联网UE在用户因业务需求导致需要将另一个运营商网络作为归属网络时,能快速、方便、安全的将该物联网UE上的可插拔卡或者不可插拔卡上的认证凭证更换为该运营商网络的认证凭证。
实施例六
参见图7,图中示出了一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,所述设备包括:
第二接收模块701,用于接收所述物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第三确定模块702,用于确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定用于物联网终端验证拜访网络的临时凭证;
第二发送模块703,用于向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
可选地,所述第三确定模块进一步用于根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
可选地,所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名;或者
所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
在本实施例中,拜访网络能够生成用于物联网终端验证拜访网络的临时凭证,从而解决了在跨运营商更新认证凭证方案中的认证凭证被恶意归属网络替换或泄漏的问题。与现有技术相比,本实施例的方案能够实现物联网UE自动更新认证凭证,保证物联网UE在用户因业务需求导致需要将另一个运营商网络作为归属网络时,能快速、方便、安全的将该物联网UE上的可插拔卡或者不可插拔卡上的认证凭证更换为该运营商网络的认证凭证。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一项或多项实施例中。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以做出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (20)
1.一种物联网终端的认证凭证更新的方法,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,其特征在于,所述方法包括:
向拜访网络发送认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
接收拜访网络发送的认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;
通过所述可插拔卡或者不可插拔卡的与所述公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
如果通过所述临时凭证对拜访网络验证的验证结果为验证通过,将所述新的认证凭证和新的认证凭证的标识绑定存储。
2.根据权利要求1所述的方法,其特征在于,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
3.根据权利要求2所述的方法,其特征在于,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
4.根据权利要求1所述的方法,其特征在于,所述向拜访网络发送认证凭证更新请求,包括:
主动向拜访网络发送认证凭证更新请求;或者
在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据可插拔卡或者不可插拔卡的公钥对应的签约关系确定所述临时凭证的生成方式;
根据所述临时凭证的生成方式确定通过所述临时凭证对拜访网络验证的验证方式;
根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
6.根据权利要求5所述的方法,其特征在于,若所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端分配的新的认证凭证所生成的一数字签名;
相应地,所述根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据所述临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络。
7.根据权利要求5所述的方法,其特征在于,所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,所述根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证,包括:
根据所述临时凭证的生成方式确定由用户验证所述临时凭证的方式来验证拜访网络。
8.一种物联网终端的认证凭证更新的方法,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,其特征在于,所述方法包括:
接收所述物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定用于物联网终端验证拜访网络的临时凭证;
向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
9.根据权利要求8所述的方法,其特征在于,根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
10.根据权利要求9所述的方法,其特征在于,所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端的新的认证凭证所生成的一数字签名;或者
所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
11.一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,其特征在于,所述设备包括:
第一发送模块,用于向拜访网络发送认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第一接收模块,用于接收拜访网络发送的认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证;
解密模块,用于通过所述可插拔卡或者不可插拔卡的与所述公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证;
存储模块,用于如果通过所述临时凭证对拜访网络验证的验证结果为验证通过,将所述新的认证凭证和新的认证凭证的标识绑定存储。
12.根据权利要求11所述的设备,其特征在于,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥对应的签约关系确定的。
13.根据权利要求12所述的设备,其特征在于,所述临时凭证是拜访网络根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定的,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
14.根据权利要求11所述的设备,其特征在于,所述第一发送模块进一步用于:
主动向拜访网络发送认证凭证更新请求;或者
在接收认证凭证更新命令后向拜访网络发送认证凭证更新请求。
15.根据权利要求11所述的设备,其特征在于,所述设备还包括:
第一确定模块,用于根据可插拔卡或者不可插拔卡的公钥对应的签约关系确定所述临时凭证的生成方式;
第二确定模块,用于根据所述临时凭证的生成方式确定通过所述临时凭证对拜访网络验证的验证方式;
验证模块,用于根据确定的通过所述临时凭证对拜访网络验证的验证方式对拜访网络进行验证。
16.根据权利要求15所述的设备,其特征在于,若所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对给所述物联网终端的新的认证凭证所生成的一数字签名;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由可插拔卡或者不可插拔卡使用拜访网络的公钥验证所述临时凭证的方式来验证拜访网络。
17.根据权利要求15所述的设备,其特征在于,所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串;
相应地,所述验证模块进一步用于:
根据所述临时凭证的生成方式确定由用户验证所述临时凭证的方式来验证拜访网络。
18.一种物联网终端的认证凭证更新的设备,所述物联网终端包括:存储有认证凭证的可插拔卡或者不可插拔卡,其特征在于,所述设备包括:
第二接收模块,用于接收所述物联网终端发送的认证凭证更新请求,所述认证凭证更新请求至少包括:可插拔卡或者不可插拔卡的公钥;
第三确定模块,用于确定分配给所述物联网终端的新的认证凭证和新的认证凭证的标识;以及根据所述可插拔卡或者不可插拔卡的公钥确定用于物联网终端验证拜访网络的临时凭证;
第二发送模块,用于向所述物联网终端发送认证凭证更新响应,所述认证凭证更新响应至少包括:经过所述公钥加密的新的认证凭证、所述新的认证凭证的标识和临时凭证。
19.根据权利要求18所述的设备,其特征在于,所述第三确定模块进一步用于根据所述可插拔卡或者不可插拔卡的公钥和用户签约数据库中的签约信息确定临时凭证,其中,所述签约信息中记录有公钥和临时凭证的绑定关系,或者记录有公钥和临时凭证的生成方式的绑定关系。
20.根据权利要求19所述的设备,其特征在于,所述临时凭证的生成方式为拜访网络使用拜访网络的私钥对分配给所述物联网终端的新的认证凭证所生成的一数字签名;或者
所述临时凭证的生成方式为拜访网络生成一个随机字符串,并且该随机字符串在生成之后由拜访网络通知用户;或者
所述临时凭证的生成方式为当用户在拜访网络申请更新运营商的认证凭证成功后,由拜访网络生成一个随机字符串并通知用户;或者
所述临时凭证的生成方式为用户在拜访网络申请更新运营商的认证凭证时,由用户填写的一个字符串。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611072829.8A CN108123917B (zh) | 2016-11-29 | 2016-11-29 | 一种物联网终端的认证凭证更新的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611072829.8A CN108123917B (zh) | 2016-11-29 | 2016-11-29 | 一种物联网终端的认证凭证更新的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108123917A true CN108123917A (zh) | 2018-06-05 |
| CN108123917B CN108123917B (zh) | 2021-07-23 |
Family
ID=62225631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611072829.8A Active CN108123917B (zh) | 2016-11-29 | 2016-11-29 | 一种物联网终端的认证凭证更新的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108123917B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110708225A (zh) * | 2019-11-25 | 2020-01-17 | 南京菲尔德物联网有限公司 | 一种无线智能家居系统 |
| CN111030964A (zh) * | 2018-10-09 | 2020-04-17 | 中国移动通信有限公司研究院 | 一种响应Detach指令的方法和设备 |
| CN111405552A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种车联网传输处理方法及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5231666A (en) * | 1992-04-20 | 1993-07-27 | International Business Machines Corporation | Cryptographic method for updating financial records |
| US20020131602A1 (en) * | 2001-03-19 | 2002-09-19 | Nec Corporation | Key distribution system for protection of route-update notification in micromobility networks |
| CN1883176A (zh) * | 2003-12-01 | 2006-12-20 | 思科技术公司 | 用于经由网络进行供给和认证的系统和方法 |
| CN101867530A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于虚拟机的物联网网关系统及数据交互方法 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| CN103686717A (zh) * | 2013-12-23 | 2014-03-26 | 江苏物联网研究发展中心 | 一种物联网传感系统的密钥管理方法 |
| CN103782568A (zh) * | 2013-08-30 | 2014-05-07 | 华为终端有限公司 | 远程变更签约方法及其装置 |
| CN104168249A (zh) * | 2013-05-16 | 2014-11-26 | 中国电信股份有限公司 | 对数据进行签名的方法、装置和系统 |
| CN108011715A (zh) * | 2016-10-31 | 2018-05-08 | 华为技术有限公司 | 一种密钥的分发方法、相关设备和系统 |
-
2016
- 2016-11-29 CN CN201611072829.8A patent/CN108123917B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5231666A (en) * | 1992-04-20 | 1993-07-27 | International Business Machines Corporation | Cryptographic method for updating financial records |
| US20020131602A1 (en) * | 2001-03-19 | 2002-09-19 | Nec Corporation | Key distribution system for protection of route-update notification in micromobility networks |
| CN1883176A (zh) * | 2003-12-01 | 2006-12-20 | 思科技术公司 | 用于经由网络进行供给和认证的系统和方法 |
| CN101867530A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于虚拟机的物联网网关系统及数据交互方法 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| CN104168249A (zh) * | 2013-05-16 | 2014-11-26 | 中国电信股份有限公司 | 对数据进行签名的方法、装置和系统 |
| CN103782568A (zh) * | 2013-08-30 | 2014-05-07 | 华为终端有限公司 | 远程变更签约方法及其装置 |
| CN103686717A (zh) * | 2013-12-23 | 2014-03-26 | 江苏物联网研究发展中心 | 一种物联网传感系统的密钥管理方法 |
| CN108011715A (zh) * | 2016-10-31 | 2018-05-08 | 华为技术有限公司 | 一种密钥的分发方法、相关设备和系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030964A (zh) * | 2018-10-09 | 2020-04-17 | 中国移动通信有限公司研究院 | 一种响应Detach指令的方法和设备 |
| CN111405552A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种车联网传输处理方法及设备 |
| CN110708225A (zh) * | 2019-11-25 | 2020-01-17 | 南京菲尔德物联网有限公司 | 一种无线智能家居系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108123917B (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN103201998B (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| CN102378170B (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| CN102204299B (zh) | 将移动装置从旧拥有者安全变更到新拥有者的方法 | |
| KR102219756B1 (ko) | 연결된 디바이스의 상태를 관리하기 위한 방법 | |
| CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN107124433A (zh) | 物联网系统、物联网设备访问方法、访问授权方法及设备 | |
| CN111723060B (zh) | 基于区块链的黑名单数据共享方法及系统 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN105025005A (zh) | 提供网络证书 | |
| CN106506161A (zh) | 车辆通信中的隐私保护方法及隐私保护装置 | |
| CN104243452B (zh) | 一种云计算访问控制方法及系统 | |
| CN105187369A (zh) | 一种数据访问方法及装置 | |
| CN105075182A (zh) | 用于通过提供安全性信息来允许合法拦截的方法 | |
| CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| CN108123917A (zh) | 一种物联网终端的认证凭证更新的方法及设备 | |
| CN110337100B (zh) | 基于区块链的一号多卡业务副卡添加方法、终端以及系统 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN105814540B (zh) | 用于策略控制功能管理机制的系统和方法 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| Vahidian | Evolution of the SIM to eSIM | |
| CN106487776B (zh) | 一种保护机器类通信设备的方法、网络实体及系统 | |
| CN105392112A (zh) | Mtc设备信息的保护方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |