CN109451504B - 物联网模组鉴权方法及系统 - Google Patents

Abstract

本公开提供了一种物联网模组鉴权方法，包括：通过获取模块获取待鉴权物联网模组的物理地址和eSIM卡号；通过短信网关以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心；以及，通过计算模块分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并生成原始数据组合；通过传输模块以加密传输的形式传输所述原始数据组合至数据中心；通过短信中心和数据中心判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同，若是，所述物联网模组鉴权通过。相应地，本公开还提供了一种物联网模组鉴权系统。

Description

物联网模组鉴权方法及系统

技术领域

本公开涉及通信技术领域，特别涉及一种物联网模组鉴权方法及系统。

背景技术

物联网通信模组被广泛地运用到车辆监控、遥控、遥测、小型无线网络、无线抄表、门禁系统、小区传呼、工业数据采集系统、无线标签、身份识别、非接触RF智能卡、小型无线数据终端、安全防火系统、无线遥控系统、生物信号采集、水文气象监控、机器人控制、无线数据通信、数字音频和数字图像传输等领域中。物联网通信模组作为物联网终端的最重要组成部分，存在被盗的风险，当其被盗取并安装到其他终端应用上时，特别是作为模组重要组成部分的eSIM(Embedded-SIM，嵌入式SIM)卡被盗用后会造成安全隐患，导致用户流量资费的浪费。

应该注意，上面对技术背景的介绍只是为了方便对本公开的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本公开的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

本公开旨在至少解决现有技术中存在的技术问题之一，提出了物联网模组鉴权方法及系统。

第一方面，本公开提供了一种物联网模组鉴权方法，包括：

通过获取模块获取待鉴权物联网模组的物理地址和eSIM卡号；

通过短信网关以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心；

以及，通过计算模块分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并生成原始数据组合；

通过传输模块以加密传输的形式传输所述原始数据组合至数据中心；

通过短信中心和数据中心判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同，若是，所述物联网模组鉴权通过。

在一些实施例中，在所述通过传输模块以加密传输的形式传输所述原始数据组合至数据中心之前还包括：

通过加密模块对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块。

在一些实施例中，所述通过传输模块以加密传输的形式传输所述原始数据组合至数据中心具体包括：

通过传输模块生成第一密钥并发送第一密钥至加密模块；

通过加密模块发送第二密钥至传输模块；

当通过传输模块判断出所述第二密钥与第一密钥匹配时，传输所述加密数据组合至解密模块；

通过解密模块对所述加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心。

在一些实施例中，通过AES加密算法对原始数据组合进行加密以生成加密数据组合、对加密数据组合进行解密以生成解密后的原始数据组合。

在一些实施例中，所述第一密钥和第二密钥通过MD5算法或DES算法生成。

在一些实施例中，在所述通过短信中心和数据中心判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同之前还包括：

分别通过短信中心和数据中心解析出所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号；

通过数据中心获取预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系；

当通过数据中心判断出所述原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系相符时，通过短信中心和数据中心判断所述密文短信及原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

相应地，第二方面，本公开提供了一种物联网模组鉴权系统，包括：

获取模块，用于获取待鉴权物联网模组的物理地址和eSIM卡号；

短信网关，用于以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心；

计算生成模块，用于分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并生成原始数据组合；

传输模块，用于以加密传输的形式传输所述原始数据组合至数据中心；

短信中心和数据中心，用于判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

在一些实施例中，还包括：

加密模块，用于对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块。

在一些实施例中，还包括解密模块；

所述传输模块还用于生成第一密钥并发送第一密钥至加密模块，当判断出第二密钥与第一密钥匹配时，传输所述加密数据组合至解密模块；

所述加密模块还用于发送第二密钥至传输模块；

所述解密模块，用于对所述加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心。

在一些实施例中，所述短信中心具体用于解析出所述密文短信中包括的待鉴权物联网模组的物理地址和eSIM卡号；

所述数据中心具体用于解析出所述原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号，获取预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系，判断所述原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系是否相符；

所述短信中心和数据中心还用于当判断出所述原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系相符时，判断所述密文短信及原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

本公开具有以下有益效果：

本公开提供的物联网模组鉴权方法，当通过短信中心和数据中心判断出密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号均相同时，物联网模组鉴权通过。其基于具有唯一性的MAC地址和ICCID号对物联网模组进行鉴权，同时采用网络和短信两种不同通道方式分别进行验证并汇合，由于短信通道的密文短信作为信息认证的其中一方面，并不经由网络，因此不容易被黑客获取，能避免信息被盗用或者窃取，能够实现物联网终端的双重认证，消除安全隐患，保证物联网终端的信息安全，进而避免用户资费浪费。

参照后文的说明和附图，详细公开了本公开的特定实施方式，指明了本公开的原理可以被采用的方式。应该理解，本公开的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本公开的实施方式包括许多改变、修改和等同。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在，但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。

附图说明

图1为本公开实施例提供的一种物联网模组鉴权方法的流程示意图；

图2为本公开实施例提供的另一种物联网模组鉴权方法的流程示意图；

图3为本公开实施例提供的一种物联网模组鉴权系统的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本公开的技术方案，下面结合附图对本公开中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

本领域技术技术人员知道，本公开的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

下面参考本公开的若干代表性实施方式，详细阐释本公开的原理和精神。

图1为本公开实施例提供的一种物联网模组鉴权方法的流程示意图，如图1所示，该方法包括：

步骤S1、通过获取模块获取待鉴权物联网模组的物理地址和eSIM卡号。

当物联网模组或其eSIM被盗用时，不可避免的会从一终端设备替换到另一终端设备的情况，由此导致在终端设备发生断网、断电的情况，因此，在物联网终端重启或请求加入物联网时可启动该物联网模组鉴权方法对物联网模组进行鉴权。

物理地址(MAC地址，Media Access Control或Medium Access Control地址)，用于表示物联网设备的位置。待鉴权物联网模组通过直接嵌入的方式安装有eSIM卡，eSIM卡无法作为独立的可移除零部件从待鉴权物联网模组中拆分出来。eSIM卡号为ICCID(Integrate circuit card identity，集成电路卡识别码)。ICCID和MAC地址均为物联网模组的唯一识别码，本公开基于ICCID和MAC地址的唯一性实现物联网模组的鉴权。

具体地，在eSIM卡操作系统中利用代码获取待鉴权物联网模组的物理地址和其所安装的eSIM卡的卡号。

步骤S2、通过短信网关以密文短信的形式发送待鉴权物联网模组的物理地址和eSIM卡号至短信中心。

短信网关用于提供上连短信中心和下连获取模块的接口。

对待鉴权物联网模组的物理地址和eSIM卡号通过MD5算法或DES算法加密后生成密文短信。

步骤S3、通过计算模块分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并生成原始数据组合。

通过哈希算法(HASH算法)计算出与待鉴权物联网模组的物理地址对应的第一哈希值及与eSIM卡号对应的第二哈希值，原始数据组合由第一哈希值和第二哈希值组成。哈希算法例如可以为直接取余法、乘法取整法或乘法取整法中的任一种。

可选地，还通过计算模块存储该原始数据组合。

步骤S4、通过传输模块以加密传输的形式传输原始数据组合至数据中心。

对原始数据组合进行加密处理后传输至数据中心。

步骤S5、通过短信中心和数据中心判断密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同，若是，该物联网模组鉴权通过；若否，流程结束。

对密文短信进行解密处理后即可获取密文短信中包括的待鉴权物联网模组的物理地址和eSIM卡号，对原始数据组合进行解密处理和/或哈希算法处理后即可获取原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号。

如：密文短信中包括的待鉴权物联网模组的物理地址为MAC1、eSIM卡号为ICCDI1，原始数据组合中包括的待鉴权物联网模组的物理地址为MAC2、eSIM卡号为ICCDI2，若判断出MAC1＝MAC2且ICCDI1＝ICCDI2时，物联网模组鉴权通过。

当通过短信中心和数据中心判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号均相同时，表示该待鉴权物联网模组未被盗用，该待鉴权物联网模组合法，鉴权通过。鉴权通过的物联网模组可接入物联网中。否则，该待鉴权物联网模组不合法，鉴权不通过。

图2为本公开实施例提供的另一种物联网模组鉴权方法的流程示意图，如图2所示，在本实施例的一种可选情况下，在步骤S3之后及在步骤S4之前还包括：

步骤S34、通过加密模块对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块。

通过AES加密算法对原始数据组合进行加密以生成加密数据组合。传输请求用于表示加密模块请求通过传输模块传输该加密数据组合。可选地，传输请求包括传输请求信息，如传输请求信息包括传输目的和传输要求。

进一步地，在该可选情况下，步骤S4具体包括：

步骤S401、通过传输模块生成第一密钥并发送第一密钥至加密模块。

传输模块负责加密模块传输来数据的安全路由及传输。当传输模块接收到加密模块发送的传输请求时，与加密模块建立安全数据通道，并生成第一密钥。

步骤S402、通过加密模块发送第二密钥至传输模块。

加密模块根据第一密钥生成第二密钥并发送该第二密钥至传输模块。

步骤S403、当通过传输模块判断出第二密钥与第一密钥匹配时，传输加密数据组合至解密模块。

第一密钥和第二密钥用于实现传输模块对加密模块传输来数据的安全路由及传输。

具体地，传输模块对接收到的第二密钥进行解密，若第二密钥解密成功，则判断出第二密钥与第一密钥匹配，对加密模块所发送的传输请求认证完成。

其中，第一密钥和第二密钥可通过MD5算法或DES算法生成。第一密钥和第二密钥为字符串，用于实现传输模块与加密模块的双向认证，密钥独立于加密数据组合之外，不对加密数据组合产生影响。通过第一密钥和第二密钥能够提升传输模块与加密模块间的传输过程安全性，防止黑客中间截取加密数据组合。

步骤S404、通过解密模块对加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心。

通过AES加密算法对加密数据组合进行解密以生成解密后的原始数据组合。

进一步地，在该可选情况下，在步骤S4之后及步骤S5之前还包括：

步骤S451、分别通过短信中心和数据中心解析出密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号。

短信中心通过MD5算法或DES算法(此时的算法应与步骤S2中生成密文短信的算法相同)解析出密文短信中包括的待鉴权物联网模组的物理地址和eSIM卡号。

数据中心通过对原始数据组合进行哈希算法处理后即可获取原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号。

步骤S452、通过数据中心获取预先存储的待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系。

数据中心中预先存储有曾入网登记或鉴权认证通过的物联网模组的物联网模组信息，物联网模组信息至少包括物联网模组的物理地址和eSIM卡号的合法对应关系。

数据中心往往部署在运营商的管理平台和/或终端厂商的管理平台中。

步骤S453、通过数据中心判断原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系是否相符，若是，执行步骤S5；若否，流程结束。

判断原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号是否与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系相符是指：判断原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号的对应关系是否与预先存储的该待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系完全相同。

如：原始数据组合中解析出的待鉴权物联网模组的物理地址为MAC2、eSIM卡号为ICCDI2，预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系为MAC0与ICCDI0对应，若判断出MAC0＝MAC2且ICCDI0＝ICCDI2时，物联网模组鉴权通过。

应当注意，尽管在附图中以特定顺序描述了本公开方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本实施例提供的物联网模组鉴权方法，当通过短信中心和数据中心判断出密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号均相同时，物联网模组鉴权通过。其基于具有唯一性的MAC地址和ICCID号对物联网模组进行鉴权，同时采用网络和短信两种不同通道方式分别进行验证并汇合，由于短信通道的密文短信作为信息认证的其中一方面，并不经由网络，因此不容易被黑客获取，能避免信息被盗用或者窃取，能够实现物联网终端的双重认证，消除安全隐患，保证物联网终端的信息安全，进而避免用户资费浪费。

相应地，图3为本公开实施例提供的一种物联网模组鉴权系统的结构示意图，该物联网模组鉴权系统可用于实现上述各实施例所提供的物联网模组鉴权方法，如图3所示，该物联网模组鉴权系统包括获取模块11、短信网关12、计算生成模块13、传输模块14、短信中心15和数据中心16。

获取模块11用于获取待鉴权物联网模组的物理地址和eSIM卡号。短信网关12用于以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心15。计算生成模块13用于分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并生成原始数据组合。传输模块14用于以加密传输的形式传输所述原始数据组合至数据中心16。短信中心15和数据中心16用于判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

具体地，获取模块11用于在eSIM卡操作系统中利用代码获取待鉴权物联网模组的物理地址和其所安装的eSIM卡的卡号。

进一步地，该系统还包括加密模块17。加密模块17用于对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块14。

进一步地，该系统还包括解密模块18。所述传输模块14还用于生成第一密钥并发送第一密钥至加密模块17，当判断出第二密钥与第一密钥匹配时，传输所述加密数据组合至解密模块18。所述加密模块17还用于发送第二密钥至传输模块14。所述解密模块18用于对所述加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心16。

进一步地，所述短信中心15具体用于解析出所述密文短信中包括的待鉴权物联网模组的物理地址和eSIM卡号。

所述数据中心16具体用于解析出所述原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号，获取预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系，判断所述原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系是否相符。

所述短信中心15和数据中心16还用于当判断出所述原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号与预先存储的所述待鉴权物联网模组的物理地址和eSIM卡号的合法对应关系相符时，判断所述密文短信及原始数据组合中解析出的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

需要说明的是，在本公开中，上述各实施例中所涉及的技术手段在不相违背的情况可以相互结合。

本实施例提供的物联网模组鉴权系统，其基于具有唯一性的MAC地址和ICCID号对物联网模组进行鉴权，同时采用网络和短信两种不同通道方式分别进行验证并汇合，由于短信通道的密文短信作为信息认证的其中一方面，并不经由网络，因此不容易被黑客获取，能避免信息被盗用或者窃取，能够实现物联网终端的双重认证，消除安全隐患，保证物联网终端的信息安全，进而避免用户资费浪费。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本公开中应用了具体实施例对本公开的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本公开的方法及其核心思想；同时，对于本领域的一般技术人员，依据本公开的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本公开的限制。

Claims (8)

1.一种物联网模组鉴权方法，其特征在于，包括：

通过获取模块获取待鉴权物联网模组的物理地址和eSIM卡号；

通过短信网关以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心；

以及，通过计算模块分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并根据所述哈希值生成原始数据组合；

通过传输模块以加密传输的形式传输所述原始数据组合至数据中心；

通过短信中心和数据中心判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同，若是，所述物联网模组鉴权通过。

2.根据权利要求1所述的物联网模组鉴权方法，其特征在于，在所述通过传输模块以加密传输的形式传输所述原始数据组合至数据中心之前还包括：

通过加密模块对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块。

3.根据权利要求2所述的物联网模组鉴权方法，其特征在于，所述通过传输模块以加密传输的形式传输所述原始数据组合至数据中心具体包括：

通过传输模块生成第一密钥并发送第一密钥至加密模块；

通过加密模块发送第二密钥至传输模块；

当通过传输模块判断出所述第二密钥与第一密钥匹配时，传输所述加密数据组合至解密模块；

通过解密模块对所述加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心。

4.根据权利要求3所述的物联网模组鉴权方法，其特征在于，通过AES加密算法对原始数据组合进行加密以生成加密数据组合、对加密数据组合进行解密以生成解密后的原始数据组合。

5.根据权利要求3所述的物联网模组鉴权方法，其特征在于，所述第一密钥和第二密钥通过MD5算法或DES算法生成。

6.一种物联网模组鉴权系统，其特征在于，包括：

获取模块，用于获取待鉴权物联网模组的物理地址和eSIM卡号；

短信网关，用于以密文短信的形式发送所述待鉴权物联网模组的物理地址和eSIM卡号至短信中心；

计算生成模块，用于分别计算出与待鉴权物联网模组的物理地址及eSIM卡号对应的哈希值，并根据所述哈希值生成原始数据组合；

传输模块，用于以加密传输的形式传输所述原始数据组合至数据中心；

短信中心和数据中心，用于判断所述密文短信及原始数据组合中包括的待鉴权物联网模组的物理地址和eSIM卡号是否均相同。

7.根据权利要求6所述的物联网模组鉴权系统，其特征在于，还包括：

加密模块，用于对原始数据组合进行加密以生成加密数据组合，并发送传输请求至传输模块。

8.根据权利要求7所述的物联网模组鉴权系统，其特征在于，还包括解密模块；

所述传输模块还用于生成第一密钥并发送第一密钥至加密模块，当判断出第二密钥与第一密钥匹配时，传输所述加密数据组合至解密模块；

所述加密模块还用于发送第二密钥至传输模块；

所述解密模块，用于对所述加密数据组合进行解密，并发送解密后生成的原始数据组合至数据中心。

Images