CN109729515B - 用于实现机卡绑定的方法、用户识别卡和物联网终端 - Google Patents
用于实现机卡绑定的方法、用户识别卡和物联网终端 Download PDFInfo
- Publication number
- CN109729515B CN109729515B CN201711018842.XA CN201711018842A CN109729515B CN 109729515 B CN109729515 B CN 109729515B CN 201711018842 A CN201711018842 A CN 201711018842A CN 109729515 B CN109729515 B CN 109729515B
- Authority
- CN
- China
- Prior art keywords
- internet
- terminal
- things
- things terminal
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本公开提供一种用于实现机卡绑定的方法、用户识别卡和物联网终端,涉及通信领域。其中用户识别卡向物联网终端发送证书签名查询请求,在接收到物联网终端发送的物联网终端证书签名后,将证书签名与预置签名进行比较,在证书签名与预置签名一致的情况下,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。本公开通过利用用户识别卡自身的计算能力,对接收到的证书签名进行验证以确定物联网终端的合法性,并在验证成功后进行后续鉴权处理。从而在无需网络侧设备参与的情况下实现机卡绑定,减轻了网络侧的负担。
Description
技术领域
本公开涉及通信领域,特别涉及一种用于实现机卡绑定的方法、用户识别卡和物联网终端。
背景技术
使用通信运营商蜂窝移动网络联网的物联网终端因其海量部署、无人看管、且享受运营商低廉资费标准的属性,其内置的用户卡容易被不法分子获得并挪至其他移动终端,用做下载等大数量业务,使运营商蒙受损失。
在实际运营过程中,运营商可沿用手机终端机卡绑定的技术思路,通过网络侧校验终端和卡绑定关系,从而限定用户卡和物联网终端之间一对一或一对多的绑定关系,但该方案在物联网的应用场景下存在以下问题:
1、降低空口资源效率:物联网终端因其部署数量巨大,每次校验会占用同基站下大量空口资源,存在引发信令风暴的风险。对于信号衰减较大的部署位置,物联网终端因鉴权数据频繁重传等行为,会进一步增大网络侧基站的负荷。
2、放号效率低:通信运营商和物联网终端的应用方在向市场投放一批新的终端与卡的时候,均需在网络侧导入新的绑定关系列表,随着终端数量增大,维护、更新的成本升高,而且这一工作往往由于职责分工的原因造成不能够同步进行,进而影响物联网业务的如期开展。
发明内容
本公开的实施例解决的一个技术问题是:由于物联网终端在进行机卡绑定时需要网络侧设备的参与,因此增大了网络侧设备的负担。
根据本公开的一个或多个实施例的一个方面,提供一种用于实现机卡绑定的方法,包括:
向物联网终端发送证书签名查询请求;
在接收到物联网终端发送的物联网终端证书签名后,将物联网终端证书签名与预置签名进行比较;
在物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。
可选地,在物联网终端证书签名与预置签名不一致的情况下,关闭与物联网终端的安全通道。
可选地,预设识别信息为国际移动用户识别码IMSI。
可选地,在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求。
可选地,在物联网终端开机启动后,与物联网终端建立安全通道。
根据本公开的一个或多个实施例的另一个方面,提供一种用于实现机卡绑定的用户识别卡,包括:
信息查询模块,被配置为向物联网终端发送证书签名查询请求;
验证模块,被配置为在接收到物联网终端发送的物联网终端证书签名后,将物联网终端证书签名与预置签名进行比较;
控制管理模块,被配置为在物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。
可选地,控制管理模块还被配置为在物联网终端证书签名与预置签名不一致的情况下,关闭与物联网终端的安全通道。
可选地,预设识别信息为国际移动用户识别码IMSI。
可选地,信息查询模块被配置为在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求。
可选地,控制管理模块被配置为在物联网终端开机启动后,与物联网终端建立安全通道。
根据本公开的一个或多个实施例的另一个方面,提供一种用于实现机卡绑定的用户识别卡,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现上述任一实施例涉及的方法。
根据本公开的一个或多个实施例的一个方面,提供一种物联网终端,包括:
如上述任一实施例涉及的用户识别卡。
根据本公开的一个或多个实施例的一个方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的用于实现机卡绑定的方法的示例性流程图。
图2为本公开另一实施例的用于实现机卡绑定的方法的示例性流程图。
图3为本公开一个实施例的用于实现机卡绑定的用户识别卡的示例性框图。
图4为本公开另一实施例的用于实现机卡绑定的用户识别卡的示例性框图。
图5为本公开一个实施例的物联网终端的示例性框图。
图6为本公开一个实施例的机卡绑定流程示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
目前通过网络侧校验终端和卡绑定关系的方案为:在LTE(Long Term Evolution,长期演进)系统EPC(Evolved Packet Core,核心网)中的HSS(Home Subscriber Server,归属签约用户服务器)中设定绑定规则,将IMSI(International Mobile SubscriberIdentification Number,国际移动用户识别码)-IMEI(International Mobile EquipmentIdentity,国际移动设备身份码)关系,即用户卡-终端关系进行一对一或一对多的绑定。当终端开机并进行网络附着鉴权时,终端会通过鉴权消息向网络提交IMSI和IMEI信息,HSS收到终端报送的系统消息后对IMSI和IMEI关系进行匹配,对已经授权的绑定关系则核准终端的附着并可以开展后续数据业务,反之则拒绝终端附着网络。在这一过程中,鉴权消息上报、绑定关系核对等过程均会带来网络信令的开销以及核心网HSS的资源开销。
图1为本公开一个实施例的用于实现机卡绑定的方法的示例性流程图。可选地,本实施例涉及的用于实现机卡绑定的方法可由用户识别卡执行。其中:
步骤101,向物联网终端发送证书签名查询请求。
其中,可在物联网终端开机启动后,与物联网终端建立安全通道。
可选地,在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求,以便物联网终端提供物联网终端证书签名。
步骤102,在接收到物联网终端发送的物联网终端证书签名后,将物联网终端证书签名与预置签名进行比较。
步骤103,在物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。
可选地,预设识别信息为国际移动用户识别码IMSI,或者其它能够唯一标识终端的信息。
基于本公开上述实施例提供的用于实现机卡绑定的方法,通过从物联网终端获取证书签名,并利用用户识别卡自身的计算能力,对接收到的证书签名进行验证以确定物联网终端的合法性,若验证成功则进行后续的鉴权处理。从而在无需网络侧设备参与的情况下实现机卡绑定,减轻了网络侧的负担。
图2为本公开另一实施例的用于实现机卡绑定的方法的示例性流程图。可选地,本实施例涉及的用于实现机卡绑定的方法可由用户识别卡执行。其中:
步骤201,向物联网终端发送证书签名查询请求。
步骤202,在接收到物联网终端发送的物联网终端证书签名后,将物联网终端证书签名与预置签名进行比较。
步骤203,判断物联网终端证书签名与预置签名一致。
若物联网终端证书签名与预置签名一致,则执行步骤204;若物联网终端证书签名与预置签名不一致,则执行步骤205。
步骤204,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。
步骤205,关闭与物联网终端的安全通道。
由此,可有效避免用户识别卡的非法使用。
图3为本公开一个实施例的用于实现机卡绑定的用户识别卡的示例性框图。如图3所示,该用户识别卡可包括信息查询模块31、验证模块32和控制管理模块33。其中:
信息查询模块31被配置为向物联网终端发送证书签名查询请求。
验证模块32被配置为在接收到物联网终端发送的物联网终端证书签名后,将物联网终端证书签名与预置签名进行比较。
控制管理模块33被配置为在物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给物联网终端,以便物联网终端利用预设识别信息进行网络附着。
例如,预设识别信息可为国际移动用户识别码IMSI。
可选地,控制管理模块33还被配置为在物联网终端证书签名与预置签名不一致的情况下,关闭与物联网终端的安全通道。
可选地,控制管理模块33被配置为在物联网终端开机启动后,与物联网终端建立安全通道。信息查询模块31被配置为在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求。
可选地,用户识别卡可为UICC(Universal Integrated Circuit Card,也就是通用集成电路卡),当然本公开中涉及的用户识别卡并不局限于此。
图4为本公开另一实施例的用于实现机卡绑定的用户识别卡的示例性框图。如图4所示,该服务器包括存储器41和处理器42。其中:
存储器41用于存储指令,处理器42耦合到存储器41,处理器42被配置为基于存储器存储的指令执行实现如图1或图2中任一实施例涉及的方法。
如图4所示,该装置还包括通信接口43,用于与其它设备进行信息交互。同时,该装置还包括总线44,处理器42、通信接口43、以及存储器41通过总线44完成相互间的通信。
存储器41可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器42可以是一个中央处理器CPU,或者可以是专用集成电路ASIC,或者是被配置成实施本公开实施例的一个或多个集成电路。
本公开同时还涉及一种计算机可读存储介质,其中计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1或图2中任一实施例涉及的方法。
图5为本公开一个实施例的物联网终端的示例性框图。如图5所示,物联网终端51中设有用户识别卡52。其中,用户识别卡52可为图3或图4中任一实施例涉及的用户识别卡。
可选地,在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称:ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
图6为本公开一个实施例的机卡绑定流程示意图。如图6所示:
步骤601,物联网终端在开机启动操作系统OS后,通过标准流程建立机卡安全通道。
例如,该流程可遵循ETSI TS 102 484。
步骤602,UICC卡在安全通道密钥协商过程中,向物联网终端发送索取终端证书签名值的信息。
步骤603,物联网终端将终端证书签名返回给UICC。
步骤604,UICC依靠自身能力,比对终端提供的证书签名与卡内预置签名的一致性。
步骤605,若验证通过,则UICC将IMSI信息发送给物联网终端。
步骤606,物联网终端利用IMSI等鉴权信息向网络侧发起鉴权请求,以进行网络附着。
通过实施本公开,可以得到以下有益效果:
1、考虑到物联网终端通信模组的低成本要求和较弱的处理能力,应当尽量减少物联网终端侧的计算资源开销,本公开将签名核对等计算工作过程挪至UICC用户卡进行,充分利用了用户卡的处理能力,同时降低了网络开销。
2、由于UICC卡支持通过OTA(Over The Air,空中下载)消息进行签名信息更新,同时终端也支持远程证书更新,因此绑定关系可以依据运营策略进行灵活定制,增强了系统的安全性和业务灵活性。
3、本公开提供的方案支持目前UICC用户卡的架构,且用于存储签名所占用的卡空间很小(如采用SHA256算法存储的签名值只占用256bit卡存储空间)。
所部署的物联网终端可通过本公开提供的方案进行终端-卡绑定,充分利用卡+终端的能力保证物联网系统安全。同时可根据业务开展需要,灵活变更卡绑定关系,从而为物联网业务灵活开展提供可能。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (9)
1.一种用于实现机卡绑定的方法,由用户识别卡执行,包括:
在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求;
在接收到所述物联网终端发送的物联网终端证书签名后,将所述物联网终端证书签名与预置签名进行比较;
在所述物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给所述物联网终端,以便所述物联网终端利用所述预设识别信息进行网络附着;
在所述物联网终端证书签名与预置签名不一致的情况下,关闭与所述物联网终端的安全通道。
2.根据权利要求1所述的方法,其中:
所述预设识别信息为国际移动用户识别码IMSI。
3.根据权利要求1或2所述的方法,其中:
在所述物联网终端开机启动后,与所述物联网终端建立所述安全通道。
4.一种用于实现机卡绑定的用户识别卡,包括:
信息查询模块,被配置为在与物联网终端进行安全通道密钥协商的过程中,向物联网终端发送证书签名查询请求;
验证模块,被配置为在接收到所述物联网终端发送的物联网终端证书签名后,将所述物联网终端证书签名与预置签名进行比较;
控制管理模块,被配置为在所述物联网终端证书签名与预置签名一致的情况下,将预设识别信息发送给所述物联网终端,以便所述物联网终端利用所述预设识别信息进行网络附着;还被配置为在所述物联网终端证书签名与预置签名不一致的情况下,关闭与所述物联网终端的安全通道。
5.根据权利要求4所述的用户识别卡,其中:
所述预设识别信息为国际移动用户识别码IMSI。
6.根据权利要求4或5所述的用户识别卡,其中:
控制管理模块被配置为在所述物联网终端开机启动后,与所述物联网终端建立所述安全通道。
7.一种用于实现机卡绑定的用户识别卡,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-3中任一项的方法。
8.一种物联网终端,包括:
如权利要求4-7中任一项所述的用户识别卡。
9.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-3中任一项的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711018842.XA CN109729515B (zh) | 2017-10-27 | 2017-10-27 | 用于实现机卡绑定的方法、用户识别卡和物联网终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711018842.XA CN109729515B (zh) | 2017-10-27 | 2017-10-27 | 用于实现机卡绑定的方法、用户识别卡和物联网终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729515A CN109729515A (zh) | 2019-05-07 |
| CN109729515B true CN109729515B (zh) | 2021-12-21 |
Family
ID=66290764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711018842.XA Active CN109729515B (zh) | 2017-10-27 | 2017-10-27 | 用于实现机卡绑定的方法、用户识别卡和物联网终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109729515B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112492572B (zh) * | 2020-12-10 | 2023-02-21 | 中盈优创资讯科技有限公司 | 一种物联网终端历史库的构建方法及装置 |
| CN114157510B (zh) * | 2021-12-14 | 2023-07-04 | 中国联合网络通信集团有限公司 | 物网业务处理方法、平台和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105188050A (zh) * | 2014-05-27 | 2015-12-23 | 中兴通讯股份有限公司 | 一种机卡动态绑定方法、设备和系统 |
| CN105228125A (zh) * | 2014-05-27 | 2016-01-06 | 中兴通讯股份有限公司 | 一种智能卡动态绑定方法、设备和系统 |
| CN106375982A (zh) * | 2016-08-29 | 2017-02-01 | 广东欧珀移动通信有限公司 | 终端的锁定方法、装置及移动终端 |
| CN107113609A (zh) * | 2014-12-17 | 2017-08-29 | 英特尔Ip公司 | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 |
-
2017
- 2017-10-27 CN CN201711018842.XA patent/CN109729515B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105188050A (zh) * | 2014-05-27 | 2015-12-23 | 中兴通讯股份有限公司 | 一种机卡动态绑定方法、设备和系统 |
| CN105228125A (zh) * | 2014-05-27 | 2016-01-06 | 中兴通讯股份有限公司 | 一种智能卡动态绑定方法、设备和系统 |
| CN107113609A (zh) * | 2014-12-17 | 2017-08-29 | 英特尔Ip公司 | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 |
| CN106375982A (zh) * | 2016-08-29 | 2017-02-01 | 广东欧珀移动通信有限公司 | 终端的锁定方法、装置及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109729515A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3281436B1 (en) | Method and apparatus for downloading a profile in a wireless communication system | |
| US9198026B2 (en) | SIM lock for multi-SIM environment | |
| CN104244227A (zh) | 一种物联网系统中终端接入认证的方法及装置 | |
| CN108476399A (zh) | 用于在通信系统中发送和接收简档的方法和装置 | |
| US20190387396A1 (en) | ESIM Card Activation Method, Wireless Router, and User Terminal | |
| EP3824594B1 (en) | Apparatus and method for ssp device and server to negotiate digital certificates | |
| CN111372249B (zh) | 物联网eSIM终端码号下载流程一致性测试系统及方法 | |
| US11356841B2 (en) | Method and apparatus for handling remote profile management exception | |
| US20220398080A1 (en) | METHOD FOR INTEROPERATING BETWEEN BUNDLE DOWNLOAD PROCESS AND eSIM PROFILE DOWNLOAD PROCESS BY SSP TERMINAL | |
| CN113785532B (zh) | 用于管理和验证证书的方法和装置 | |
| CN107835204A (zh) | 配置文件策略规则的安全控制 | |
| CN111406397B (zh) | 用于在通信系统中管理事件的方法和装置 | |
| KR102237840B1 (ko) | eSIM 프로파일을 설치, 관리하는 방법 및 장치 | |
| DE102013112406A1 (de) | Teilnehmer-Identitätssysteme, Server, Verfahren für ein Steuern eines Teilnehmer-Identitätssystems und Verfahren für ein Steuern eines Servers | |
| CN112913263A (zh) | 用于处理远程简档管理异常的方法和装置 | |
| CN109729515B (zh) | 用于实现机卡绑定的方法、用户识别卡和物联网终端 | |
| CN107508784B (zh) | 一种应用登录方法及终端设备 | |
| CN107852603A (zh) | 终端认证的方法及设备 | |
| AU2010288520B2 (en) | A chip card, an electronic system, a method being implemented by a chip card and a computer program product | |
| CN104918244A (zh) | 一种终端及终端通信方法 | |
| CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
| JP2022525370A (ja) | Sm‐srプラットフォームを介してセキュアエレメントのオペレーティングシステムに透過的にパッチを適用する方法 | |
| CN111586673B (zh) | 配置文件中imsi的重复利用方法、装置、系统和存储介质 | |
| CN114338132B (zh) | 免密登录方法、客户端应用、运营商服务器及电子设备 | |
| CN112004228A (zh) | 实人认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |