CN109150807B - 凭证分发方法、用户终端、用户签约认证管理单元及介质 - Google Patents
凭证分发方法、用户终端、用户签约认证管理单元及介质 Download PDFInfo
- Publication number
- CN109150807B CN109150807B CN201710465007.4A CN201710465007A CN109150807B CN 109150807 B CN109150807 B CN 109150807B CN 201710465007 A CN201710465007 A CN 201710465007A CN 109150807 B CN109150807 B CN 109150807B
- Authority
- CN
- China
- Prior art keywords
- iot
- iot device
- user
- key
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质,用以解决现有IOT设备凭证分发复杂的问题。用于用户终端方法包括:向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;生成所述IOT设备的设备侧IOT设备凭证;将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
Description
技术领域
本发明涉及通讯领域,特别是涉及一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质。
背景技术
大规模机器连接是5G系统的典型应用场景之一,在大规模机器连接应用场景中,物联网(IOT,Internet Of Things)终端设备在部署前很难预配置用于网络接入和物联网服务的凭证信息。
现有的凭证分发方案中分发流程复杂。例如现有分发方案必须使用公钥密码体制以保证凭证分发的安全性,同时凭证所使用的却是对称密钥体制。这使得网络侧和终端都必须同时支持两套密码体制,从而增加了凭证分发的复杂性。
发明内容
为了克服上述缺陷,本发明要解决的技术问题是提供一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质,用以解决现有IOT设备凭证分发复杂的问题。
为解决上述技术问题,本发明中的一种物联网IOT设备凭证分发方法,用于用户终端,包括:
向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
生成所述IOT设备的设备侧IOT设备凭证;
将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
为解决上述技术问题,本发明中的一种物联网IOT设备凭证分发方法,用于用户签约认证管理单元,包括:
接收用户终端发送的IOT设备凭证请求信息;
根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证。
为解决上述技术问题,本发明中的一种用户终端,包括第一存储器和第一处理器;所述第一存储器存储有用于终端的IOT设备凭证分发计算机程序,所述第一处理器执行所述计算机程序以实现以下步骤:
向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
生成所述IOT设备的设备侧IOT设备凭证;
将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
为解决上述技术问题,本发明中的一种用户签约认证管理单元,包括第二存储器和第二处理器;所述第二存储器存储有用于所述单元的IOT设备凭证分发计算机程序,所述第二处理器执行所述计算机程序以实现以下步骤:
接收用户终端发送的IOT设备凭证请求信息;
根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证。
为解决上述技术问题,本发明中的一种计算机可读存储介质,存储有用于用户终端的IOT设备凭证分发计算机程序或者用于用户签约认证管理单元的IOT设备凭证分发计算机程序;
当所述用于用户终端的IOT设备凭证分发计算机程序被至少一个用户终端侧的处理器执行时,以实现如上任意一项所述用于用户终端的IOT设备凭证分发方法的步骤;
当所述用于用户签约认证管理单元的IOT设备凭证分发计算机程序被至少一个用户签约认证管理单元的处理器执行时,以实现如上所述用于用户签约认证管理单元的IOT设备凭证分发方法的步骤。
本发明有益效果如下:
本发明有效的降低了现有IOT设备凭证分发复杂性,在不增加认证复杂性的条件下,可以实现了基于AKA机制对IOT设备凭证的分发。
附图说明
图1是本发明实施例中一种用于用户终端的物联网IOT设备凭证分发方法的流程图;
图2是本发明实施例中一种用于用户签约认证管理单元的物联网IOT设备凭证分发方法的流程图;
图3是本发明实施例中分别使用本发明中一可选方法的用户终端、用户签约认证管理单元和IOT设备的交互流程示意图;
图4是本发明实施例中IOT设备凭证删除的流程图;
图5是本发明实施例中一种用户终端的结构示意图;
图6是本发明实施例中一种用户签约认证管理单元的结构示意图。
具体实施方式
为了解决现有IOT设备凭证分发复杂的问题,本发明提供了一种物联网IOT设备凭证分发方法、用户终端、用户签约认证管理单元及介质,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
如图1所示,本发明实施例提供一种物联网IOT设备凭证分发方法,所述方法用于用户终端,包括:
S101,向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
S102,生成所述IOT设备的设备侧IOT设备凭证;
S103,将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收并启用所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
其中用户签约认证管理单元属于一种硬件实体,具体为运营商用户签约认证管理实体。
其中设备侧IOT设备凭证和网络侧IOT设备凭证中的认证信息相同。
本发明实施例中,用户终端通过向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;并且在本地生成所述IOT设备的设备侧IOT设备凭证;并将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备启用所述设备侧IOT设备凭证,从而有效的降低了现有IOT设备凭证分发复杂性,进而可以使IOT设备收到凭证后保存并启用凭证,附着到网络系统(例如5G系统),在附着过程中基于设备侧IOT设备凭证与网络系统进行认证;例如进行AKA双向认证,因此本发明实施例在不增加认证复杂性的条件下,可以实现了基于AKA机制对IOT设备凭证的分发。
可选地,所述生成所述IOT设备的设备侧IOT设备凭证,包括:
从所述用户签约认证管理单元获取凭证生成参数;
根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证。
其中,所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。所述标识信息可以为国际移动用户识别码IMSI。
进一步地,所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证,包括:
根据所述密钥参数和所述用户终端的用户鉴权密钥,生成设备侧IOT设备鉴权密钥;所述标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。
进一步地,所述网络侧IOT设备凭证包括所述标识信息和网络侧IOT设备鉴权密钥;所述方法还包括:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
其中,所述密钥参数为IOT设备密钥分散参数;所述算法为密钥分散算法。
可选地,所述向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证,包括:
向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息,以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述标识信息和所述密钥参数,以及根据所述用户身份信息获得用户鉴权密钥。
可选地,所述方法还包括:
向所述用户签约认证管理单元发送IOT设备凭证删除请求信息,以使所述用户签约认证管理单元删除所述网络侧IOT设备凭证;
向所述IOT设备发送删除指令,以使所述IOT设备删除所述设备侧IOT设备凭证。
简述本发明实施例原理。
本发明实施例中方法在具体实现时,可以采用模块的形式实现,例如在用户终端(UE)中设置如下模块:
第一发送模块,用于向网络侧(用户签约认证管理单元)发送IOT设备凭证请求信息。所述IOT设备凭证请求信息中包括用户身份信息,IOT设备身份信息。在IOT设备凭证请求信息中,可以包含一个或多个IOT设备身份信息(例如设备号)。
第一接收模块,用于接收网络侧发送的网络侧IIOT设备凭证。凭证信息包括IMSI和IOT设备密钥分散参数。
第一生成模块,用于使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备鉴权密钥。
第二发送模块,用于向IOT设备发送设备侧IOT设备凭证信息,IOT设备凭证信息包括IOT设备IMSI和设备侧IOT设备鉴权密钥。
实施例二
如图2所示,本发明实施例提供一种物联网IOT设备凭证分发方法,所述方法用于用户签约认证管理单元,包括:
S201,接收用户终端发送的IOT设备凭证请求信息;
S202,根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证。
可选地,所述方法还包括:
向所述用户终端发送凭证生成参数,以使所述用户终端根据所述凭证生成参数生成IOT设备的设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
其中,所述凭证生成参数包括密钥参数和IOT设备的标识信息。所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息;
进一步地,所述根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证,包括:
根据所述IOT设备身份信息生成所述标识信息和所述密钥参数;
根据所述用户身份信息获得所述用户终端的户鉴权密钥,根据所述密钥参数和所述户鉴权密钥生成网络侧IOT设备鉴权密钥;所述标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。
其中,所述设备侧IOT设备凭证包括所述标识信息和设备侧IOT设备鉴权密钥;
具体地,所述方法还包括:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
其中,所述标识信息为国际移动用户识别码。
可选地,所述方法还包括:
接收所述用户终端发送的IOT设备凭证删除请求信息;
根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。
简述本发明实施例原理。
本发明实施例中方法在具体实现时,可以采用模块的形式实现,例如在用户签约认证管理单元中设置如下模块:
第二接收模块,用于接收UE发送的IOT设备凭证请求信息。所述IOT设备凭证请求信息中包括用户身份信息,IOT设备身份信息。在IOT设备凭证请求信息中,可以包含一个或多个IOT设备身份信息。
第二生成模块,用于基于IOT设备凭证分发请求信息生成IOT设备IMSI;
第三生成模块,用于生成IOT设备密钥分散参数;
第四生成模块,用于生成IOT设备鉴权密钥;
第一存储管理模块,用于存储维护用户身份信息、IOT设备身份信息及其对应凭证信息,包括IOT设备IMSI和网络侧IOT设备鉴权密钥;
第三发送模块,用于向UE发送IOT设备身份信息、IOT设备IMSI和IOT设备密钥分散参数。
实施例三
本发明实施例中UE使用实施例一中一可选方法,用户签约认证管理单元使用实施例二中一可选方法进行交互的流程如图3所示:
步骤101、UE附着5G网络后,向运营商用户签约认证管理实体发送IOT设备凭证请求信息。IOT设备凭证请求信息中包括用户身份信息、IOT设备身份信息。在IOT凭证请求信息中,可以包含一个或多个IOT设备身份信息;
步骤102、用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的IMSI和IOT设备密钥分散参数;
步骤103,用户签约认证管理实体根据收到的用户身份信息,获取用户身份信息对应的用户鉴权密钥。用户签约认证管理实体使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备IMSI对应的网络侧IOT设备鉴权密钥。用户签约认证管理实体保存用户身份信息、IOT设备身份信息、其对应的IMSI及网络侧IOT设备鉴权密钥;
步骤104、用户签约认证管理实体将IOT设备身份信息及其对应的IOT设备IMSI信息和IOT设备密钥分散参数信息发送给UE。
步骤105、UE收到IOT设备IMSI和IOT设备鉴权密钥息后,使用收到的IOT设备IMSI对应的IOT设备密钥分散参数和UE鉴权密钥,生成IOT设备IMSI对应的设备侧IOT设备鉴权密钥。并根据IOT设备信息,通过UE与IOT设备之间的通信连接将IOT设备IMSI和IOT设备鉴权密钥构成的凭证信息发送给IOT设备;
步骤106、IOT设备收到凭证后保存并启用凭证附着到5G系统,在附着过程中给予凭证与5G系统进行AKA认证。
实施例四
如图4所示,本发明实施例提供一种IOT设备凭证删除方法,所述方法包括:
步骤401、用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,凭证删除请求信息包括用户身份信息和IOT设备的身份信息;
步骤402、用户签约管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的IOT设备IMSI和网络侧IOT设备鉴权密钥;
步骤403、用户签约管理实体向用户设备反馈删除完成确认信息;
步骤404、用户可以根据需要,删除IOT设备上凭证信息。
实施例五
如图5所示,本发明实施例提供一种用户终端,所述终端包括第一存储器和第一处理器;所述第一存储器存储有用于终端的IOT设备凭证分发计算机程序,所述第一处理器执行所述计算机程序以实现以下步骤:
向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
生成所述IOT设备的设备侧IOT设备凭证;
将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
本发明实施例中,用户终端通过向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;并且在本地生成所述IOT设备的设备侧IOT设备凭证;并将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备启用所述设备侧IOT设备凭证,从而有效的降低了现有IOT设备凭证分发复杂性,进而可以使IOT设备收到凭证后保存并启用凭证,附着到网络系统(例如5G系统),在附着过程中基于设备侧IOT设备凭证与网络系统进行认证;例如进行AKA双向认证,因此本发明实施例在不增加认证复杂性的条件下,可以实现了基于AKA机制对IOT设备凭证的分发。
可选地,所述生成所述IOT设备的设备侧IOT设备凭证,包括:
从所述用户签约认证管理单元获取凭证生成参数;
根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证。
进一步地,所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。
进一步地,所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证,包括:
根据所述密钥参数和所述用户终端的用户鉴权密钥,生成设备侧IOT设备鉴权密钥;所述标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。
其中,所述网络侧IOT设备凭证包括所述标识信息和网络侧IOT设备鉴权密钥;进一步地,所述第一处理器执行所述计算机程序还实现以下步骤:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
其中,所述密钥参数为IOT设备密钥分散参数;所述算法为密钥分散算法。
具体地,所述向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证,包括:
向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息,以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述标识信息和所述密钥参数,以及根据所述用户身份信息获得用户鉴权密钥。
其中,所述标识信息为国际移动用户识别码。
可选地,所述第一处理器执行所述计算机程序还实现以下步骤:
向所述用户签约认证管理单元发送IOT设备凭证删除请求信息,以使所述用户签约认证管理单元删除所述网络侧IOT设备凭证;
向所述IOT设备发送删除指令,以使所述IOT设备删除所述设备侧IOT设备凭证。
实施例六
如图6所示,本发明实施例提供一种用户签约认证管理单元,所述单元包括第二存储器和第二处理器;所述第二存储器存储有用于所述单元的IOT设备凭证分发计算机程序,所述第二处理器执行所述计算机程序以实现以下步骤:
接收用户终端发送的IOT设备凭证请求信息;
根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证。
可选地,所述第二处理器执行所述计算机程序还实现以下步骤:
向所述用户终端发送凭证生成参数,以使所述用户终端根据所述凭证生成参数生成IOT设备的设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
其中,所述凭证生成参数包括密钥参数和IOT设备的标识信息。所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息;
进一步地,所述根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证,包括:
根据所述IOT设备身份信息生成所述标识信息和所述密钥参数;
根据所述用户身份信息获得所述用户终端的户鉴权密钥,根据所述密钥参数和所述户鉴权密钥生成网络侧IOT设备鉴权密钥;所述标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。
其中,所述设备侧IOT设备凭证包括所述标识信息和设备侧IOT设备鉴权密钥;进一步地,所述第二处理器执行所述计算机程序还实现以下步骤:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
可选地,所述标识信息为国际移动用户识别码。
可选地,所述第二处理器执行所述计算机程序还实现以下步骤:
接收所述用户终端发送的IOT设备凭证删除请求信息;
根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。
简述实施例五和实施例六的实现原理。
1,用户通过UE与IOT设备之间的通信连接对IOT设备进行管理。UE与IOT设备之间的通信连接包括各种短距离无线通信连接和其他方式的有线连接。当用户需要启用IOT设备时,用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证请求信息。IOT设备凭证请求信息中包括用户身份信息和IOT设备身份信息。在IOT凭证请求信息中,可以包含一个或多个IOT设备身份信息;
2,用户签约认证管理实体根据收到的凭证请求信息中的IOT设备身份信息,生成对应的IMSI和IOT设备密钥分散参数。
在本发明实施例中,用户签约认证管理实体和UE预配置相同的用于生成IOT设备鉴权密钥的密钥分散算法。
3,用户签约认证管理实体根据收到的用户身份信息,获取用户身份信息对应的用户鉴权密钥。用户签约认证管理实体使用IOT设备密钥分散参数和用户鉴权密钥生成IOT设备IMSI对应的网络侧IOT设备鉴权密钥。用户签约认证管理实体保存用户身份信息、IOT设备身份信息和其对应的IMSI及网络侧IOT设备鉴权密钥。
4,用户签约认证管理实体将IOT设备身份信息及其对应的IOT设备IMSI信息和IOT设备密钥分散参数信息发送给UE;
5,UE收到IOT设备IMSI和IOT设备密钥分散参数后,使用收到的IOT设备IMSI对应的IOT设备密钥分散参数和UE鉴权密钥生成IOT设备IMSI对应的设备侧IOT设备鉴权密钥。并根据IOT设备信息,通过UE与IOT设备之间的通信连接,将IOT设备IMSI和设备侧IOT设备鉴权密钥构成的凭证信息发送给IOT设备;
6,IOT设备收到凭证后保存并启用凭证,附着到5G系统,在附着过程中基于凭证与5G系统进行AKA认证;
7,当用户不再使用IOT设备时,用户通过UE向运营商用户签约认证管理实体发送IOT设备凭证删除请求信息,凭证删除请求信息包括用户身份信息和IOT设备的身份信息。
8,用户签约管理实体根据收到的凭证删除请求信息,删除用户身份信息和IOT设备身份信息对应的IOT设备IMSI和IOT设备鉴权密钥K。
9,用户签约管理实体向用户设备反馈删除完成确认信息。
实施例七
本发明实施例提供了一种IOT设备,所述IOT设备包括:
第三接收模块,用于接收用户终端发送的IOT设备凭证信息。
第二存储管理模块,用于存储、维护和启用IOT设备凭证信息。
实施例八
本实施例提供一种IOT设备凭证分发的系统,所述系统包括:上述实施例中的UE设备、用户签约管理单元和IOT设备。
实施例九
本发明实施例提供一种计算机可读存储介质,所述介质存储有用于用户终端的IOT设备凭证分发计算机程序或者用于用户签约认证管理单元的IOT设备凭证分发计算机程序;
当所述用于用户终端的IOT设备凭证分发计算机程序被至少一个用户终端侧的处理器执行时,以实现如实施例一中任意一项所述方法的步骤;
当所述用于用户签约认证管理单元的IOT设备凭证分发计算机程序被至少一个用户签约认证管理单元的处理器执行时,以实现如实施例二中任意一项所述方法的步骤。
本发明实施例中计算机可读存储介质可以是RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域已知的任何其他形式的存储介质。可以将一种存储介质藕接至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息;或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路中。
虽然本申请描述了本发明的特定示例,但本领域技术人员可以在不脱离本发明概念的基础上设计出来本发明的变型。本领域技术人员在本发明技术构思的启发下,在不脱离本发明内容的基础上,还可以对本发明做出各种改进,这仍落在本发明的保护范围之内。
Claims (29)
1.一种物联网IOT设备凭证分发方法,其特征在于,所述方法用于用户终端,包括:
向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
生成所述IOT设备的设备侧IOT设备凭证,包括:从所述用户签约认证管理单元获取凭证生成参数;根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证;
将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
2.如权利要求1所述的方法,其特征在于,所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。
3.如权利要求2所述的方法,其特征在于,所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证,包括:
根据所述密钥参数和所述用户终端的用户鉴权密钥,生成设备侧IOT设备鉴权密钥;所述标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。
4.如权利要求2所述的方法,其特征在于,所述网络侧IOT设备凭证包括所述标识信息和网络侧IOT设备鉴权密钥;所述方法还包括:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
5.如权利要求4所述的方法,其特征在于,所述密钥参数为IOT设备密钥分散参数;所述算法为密钥分散算法。
6.如权利要求2所述的方法,其特征在于,所述向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证,包括:
向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息,以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述标识信息和所述密钥参数,以及根据所述用户身份信息获得用户鉴权密钥。
7.如权利要求2-6中任意一项所述的方法,其特征在于,所述标识信息为国际移动用户识别码。
8.如权利要求1-6中任意一项所述的方法,其特征在于,所述方法还包括:
向所述用户签约认证管理单元发送IOT设备凭证删除请求信息,以使所述用户签约认证管理单元删除所述网络侧IOT设备凭证;
向所述IOT设备发送删除指令,以使所述IOT设备删除所述设备侧IOT设备凭证。
9.一种物联网IOT设备凭证分发方法,其特征在于,所述方法用于用户签约认证管理单元,包括:
接收用户终端发送的IOT设备凭证请求信息;
根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证;
向所述用户终端发送凭证生成参数,以使所述用户终端根据所述凭证生成参数生成IOT设备的设备侧IOT设备凭证;
所述IOT设备与所述用户终端通信连接。
10.如权利要求9所述的方法,其特征在于,所述凭证生成参数包括密钥参数和IOT设备的标识信息。
11.如权利要求10所述的方法,其特征在于,所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息;
所述根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证,包括:
根据所述IOT设备身份信息生成所述标识信息和所述密钥参数;
根据所述用户身份信息获得所述用户终端的户鉴权密钥,根据所述密钥参数和所述户鉴权密钥生成网络侧IOT设备鉴权密钥;所述标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。
12.如权利要求11所述的方法,其特征在于,所述设备侧IOT设备凭证包括所述标识信息和设备侧IOT设备鉴权密钥;所述方法还包括:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
13.如权利要求10-12中任一项所述的方法,其特征在于,所述标识信息为国际移动用户识别码。
14.如权利要求9-12中任一项所述的方法,其特征在于,所述方法还包括:
接收所述用户终端发送的IOT设备凭证删除请求信息;
根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。
15.一种用户终端,其特征在于,所述终端包括第一存储器和第一处理器;所述第一存储器存储有用于终端的IOT设备凭证分发计算机程序,所述第一处理器执行所述计算机程序以实现以下步骤:
向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证;
生成所述IOT设备的设备侧IOT设备凭证,包括:从所述用户签约认证管理单元获取凭证生成参数;根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证;
将所述设备侧IOT设备凭证发送给所述IOT设备,以使所述IOT设备接收所述设备侧IOT设备凭证;所述IOT设备与所述用户终端通信连接。
16.如权利要求15所述的终端,其特征在于,所述凭证生成参数包括密钥参数和所述IOT设备的标识信息。
17.如权利要求16所述的终端,其特征在于,所述根据所述凭证生成参数生成所述IOT设备的设备侧IOT设备凭证,包括:
根据所述密钥参数和所述用户终端的用户鉴权密钥,生成设备侧IOT设备鉴权密钥;所述标识信息和所述设备侧IOT设备鉴权密钥构成所述设备侧IOT设备凭证。
18.如权利要求16所述的终端,其特征在于,所述网络侧IOT设备凭证包括所述标识信息和网络侧IOT设备鉴权密钥;所述第一处理器执行所述计算机程序还实现以下步骤:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
19.如权利要求18所述的终端,其特征在于,所述密钥参数为IOT设备密钥分散参数;所述算法为密钥分散算法。
20.如权利要求16所述的终端,其特征在于,所述向用户签约认证管理单元发送IOT设备凭证请求信息,以使所述用户签约认证管理单元生成IOT设备的网络侧IOT设备凭证,包括:
向用户签约认证管理单元发送携带用户身份信息和IOT设备身份信息的IOT设备凭证请求信息,以使所述用户签约认证管理单元根据所述IOT设备身份信息生成所述标识信息和所述密钥参数,以及根据所述用户身份信息获得用户鉴权密钥。
21.如权利要求16-20中任意一项所述的终端,其特征在于,所述标识信息为国际移动用户识别码。
22.如权利要求15-20中任意一项所述的终端,其特征在于,所述第一处理器执行所述计算机程序还实现以下步骤:
向所述用户签约认证管理单元发送IOT设备凭证删除请求信息,以使所述用户签约认证管理单元删除所述网络侧IOT设备凭证;
向所述IOT设备发送删除指令,以使所述IOT设备删除所述设备侧IOT设备凭证。
23.一种用户签约认证管理单元,其特征在于,所述单元包括第二存储器和第二处理器;所述第二存储器存储有用于所述单元的IOT设备凭证分发计算机程序,所述第二处理器执行所述计算机程序以实现以下步骤:
接收用户终端发送的IOT设备凭证请求信息;
根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证;
向所述用户终端发送凭证生成参数,以使所述用户终端根据所述凭证生成参数生成IOT设备的设备侧IOT设备凭证;
所述IOT设备与所述用户终端通信连接。
24.如权利要求23所述的单元,其特征在于,所述凭证生成参数包括密钥参数和IOT设备的标识信息。
25.如权利要求24所述的单元,其特征在于,所述IOT设备凭证请求信息携带用户身份信息和IOT设备身份信息;
所述根据所述IOT设备凭证请求信息,生成网络侧IOT设备凭证,包括:
根据所述IOT设备身份信息生成所述标识信息和所述密钥参数;
根据所述用户身份信息获得所述用户终端的户鉴权密钥,根据所述密钥参数和所述户鉴权密钥生成网络侧IOT设备鉴权密钥;所述标识信息和所述网络侧IOT设备鉴权密钥构成所述网络侧IOT设备凭证。
26.如权利要求25所述的单元,其特征在于,所述设备侧IOT设备凭证包括所述标识信息和设备侧IOT设备鉴权密钥;所述第二处理器执行所述计算机程序还实现以下步骤:
第一密钥算法和第二密钥算法相同;所述第一密钥算法为所述用户终端生成设备侧IOT设备鉴权密钥时采用的算法,所述第二密钥算法为所述用户签约认证管理单元生成所述网络侧IOT设备鉴权密钥时采用的算法。
27.如权利要求24-26中任一项所述的单元,其特征在于,所述标识信息为国际移动用户识别码。
28.如权利要求23-26中任一项所述的单元,其特征在于,所述第二处理器执行所述计算机程序还实现以下步骤:
接收所述用户终端发送的IOT设备凭证删除请求信息;
根据所述IOT设备凭证删除请求信息删除所述网络侧IOT设备凭证。
29.一种计算机可读存储介质,其特征在于,所述介质存储有用于用户终端的IOT设备凭证分发计算机程序或者用于用户签约认证管理单元的IOT设备凭证分发计算机程序;
当所述用于用户终端的IOT设备凭证分发计算机程序被至少一个用户终端侧的处理器执行时,以实现如权利要求1-8任意一项所述方法的步骤;
当所述用于用户签约认证管理单元的IOT设备凭证分发计算机程序被至少一个用户签约认证管理单元的处理器执行时,以实现如权利要求9-14任意一项所述方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710465007.4A CN109150807B (zh) | 2017-06-19 | 2017-06-19 | 凭证分发方法、用户终端、用户签约认证管理单元及介质 |
PCT/CN2018/101280 WO2018233725A1 (zh) | 2017-06-19 | 2018-08-20 | 凭证分发方法、用户终端、用户签约认证管理单元及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710465007.4A CN109150807B (zh) | 2017-06-19 | 2017-06-19 | 凭证分发方法、用户终端、用户签约认证管理单元及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109150807A CN109150807A (zh) | 2019-01-04 |
CN109150807B true CN109150807B (zh) | 2022-06-17 |
Family
ID=64736860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710465007.4A Active CN109150807B (zh) | 2017-06-19 | 2017-06-19 | 凭证分发方法、用户终端、用户签约认证管理单元及介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109150807B (zh) |
WO (1) | WO2018233725A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10938826B2 (en) | 2019-05-24 | 2021-03-02 | International Business Machines Corporation | Intelligent device security |
CN115460586A (zh) * | 2021-06-09 | 2022-12-09 | 维沃移动通信有限公司 | 信息处理方法、密钥材料的获取方法及设备 |
CN116980876A (zh) * | 2022-04-22 | 2023-10-31 | 维沃移动通信有限公司 | 签约方法、装置、通信设备、物联网设备及网元 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104967595A (zh) * | 2014-10-31 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 将设备在物联网平台进行注册的方法和装置 |
WO2016148773A1 (en) * | 2015-03-18 | 2016-09-22 | Intel IP Corporation | Procedures to provision and attach a cellular internet of things device to a cloud service provider |
WO2017082344A1 (ja) * | 2015-11-10 | 2017-05-18 | シャープ株式会社 | Ue、mme、ueの通信制御方法及びmmeの通信制御方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931955B (zh) * | 2010-09-03 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
CN102595373B (zh) * | 2011-01-14 | 2017-11-28 | 中兴通讯股份有限公司 | 一种对mtc终端进行移动性管理的方法和系统 |
-
2017
- 2017-06-19 CN CN201710465007.4A patent/CN109150807B/zh active Active
-
2018
- 2018-08-20 WO PCT/CN2018/101280 patent/WO2018233725A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104967595A (zh) * | 2014-10-31 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 将设备在物联网平台进行注册的方法和装置 |
WO2016148773A1 (en) * | 2015-03-18 | 2016-09-22 | Intel IP Corporation | Procedures to provision and attach a cellular internet of things device to a cloud service provider |
WO2017082344A1 (ja) * | 2015-11-10 | 2017-05-18 | シャープ株式会社 | Ue、mme、ueの通信制御方法及びmmeの通信制御方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2018233725A1 (zh) | 2018-12-27 |
CN109150807A (zh) | 2019-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111669276B (zh) | 一种网络验证方法、装置及系统 | |
US10841784B2 (en) | Authentication and key agreement in communication network | |
EP3627794B1 (en) | Discovery method and apparatus based on service-oriented architecture | |
CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
EP3742696A1 (en) | Identity management method, equipment, communication network, and storage medium | |
EP3657894A1 (en) | Network security management method and apparatus | |
WO2018137713A1 (zh) | 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体 | |
CN102916869B (zh) | 即时通信方法和系统 | |
KR102657876B1 (ko) | Ssp 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 | |
CN109150507B (zh) | 一种设备凭证分发方法和系统、用户设备及管理实体 | |
US9756036B2 (en) | Mechanisms for certificate revocation status verification on constrained devices | |
CN103037366B (zh) | 基于非对称密码技术的移动终端用户认证方法及移动终端 | |
CN109150807B (zh) | 凭证分发方法、用户终端、用户签约认证管理单元及介质 | |
WO2006097041A1 (fr) | Forme d'authentification generale et procede pour mettre en place l'authentification | |
CN105142134B (zh) | 参数获取以及参数传输方法和装置 | |
CN111050324B (zh) | 5g终端设备接入方法、设备及存储介质 | |
CN104205898A (zh) | 用于m2m环境中基于群组的服务引导的方法和系统 | |
CN107104932A (zh) | 密钥更新方法、装置及系统 | |
CN102421097A (zh) | 一种用户认证方法、装置及系统 | |
CN103778528A (zh) | 付费的处理方法和系统以及装置 | |
CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
CN106535089A (zh) | 机器对机器虚拟私有网络 | |
CN103095721B (zh) | 一种建立安全连接的方法、终端和系统 | |
WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
WO2018023733A1 (en) | Privacy preserving authentication and key agreement protocol for apparatus-to-apparatus communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20191210 Address after: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant after: ZTE Communications Co., Ltd. Address before: 201203 No. 889 Bibo Road, Shanghai Pudong New Area Free Trade Pilot Area Applicant before: Shanghai Zhongxing Software Co., Ltd. |
|
TA01 | Transfer of patent application right | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |