CN109995701A - 一种设备引导的方法、终端以及服务器 - Google Patents
一种设备引导的方法、终端以及服务器 Download PDFInfo
- Publication number
- CN109995701A CN109995701A CN201711477985.7A CN201711477985A CN109995701A CN 109995701 A CN109995701 A CN 109995701A CN 201711477985 A CN201711477985 A CN 201711477985A CN 109995701 A CN109995701 A CN 109995701A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- transmission channel
- message
- temporary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000005540 biological transmission Effects 0.000 claims abstract description 287
- 238000012790 confirmation Methods 0.000 claims abstract description 57
- 230000006870 function Effects 0.000 claims description 56
- 238000007726 management method Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 17
- 230000002618 waking effect Effects 0.000 claims description 5
- 230000006854 communication Effects 0.000 description 37
- 238000004891 communication Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 26
- 238000010586 diagram Methods 0.000 description 22
- 101100321409 Rattus norvegicus Zdhhc23 gene Proteins 0.000 description 19
- 238000012546 transfer Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 12
- 241000208340 Araliaceae Species 0.000 description 10
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 10
- 235000003140 Panax quinquefolius Nutrition 0.000 description 10
- 235000008434 ginseng Nutrition 0.000 description 10
- 238000009826 distribution Methods 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 235000014510 cooky Nutrition 0.000 description 6
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000005611 electricity Effects 0.000 description 3
- 230000033001 locomotion Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012905 input function Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/75—Information technology; Communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例公开了一种设备引导的方法,用于提高传输引导相关数据的安全性。本申请实施例方法包括:终端向服务器发送第二引导请求,第二引导请求包括终端的节点标识和传输通道参数,传输通道参数用于指示终端支持的传输通道;终端接收服务器根据第二引导请求发送的第二确认消息,第二确认消息中携带服务器选定的传输通道,服务器选定的传输通道由服务器根据传输通道参数确定;终端接收转发装置发送的临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,转发装置为服务器选定的传输通道中用于向终端发送消息的网元;终端根据临时身份标识和临时密钥向服务器发送连接请求,连接请求用于请求与服务器建立安全通道。
Description
技术领域
本申请涉及通信领域,尤其涉及一种设备引导的方法、终端以及服务器。
背景技术
随着物联网技术的广泛应用和蓬勃发展,越来越多的终端会接入到物联网中,对这些终端的发放和管理日益重要,引导服务器(bootstrap server,BS Server)有助于简化这一过程。其中,对这些终端的发放包括的信息为身份信息、业务签约信息、目标平台地址等信息。
在现有的空中传输(over the air,OTA)方式中,可以包括客户端初始引导(client initial bootstrap)方式和服务器初始引导(server initial bootstrap)方式。以客户端初始引导方式为例进行说明。BS Server一般部署在公网上,物联网(internet ofthings,IoT)平台是终端要连接的目的平台。公网就是普通电路交换网,即现在的网通、电信、铁通等架设的骨干及分支网络。
BS Server校验终端的唯一标识就是节点标识(end point name),而这个endpoint name一般是终端物理硬件标识信息,如媒体接入控制(medium access control,MAC)地址、国际移动终端识别码(international mobile equipment identifier,IMEI)、个人识别号码(personal identification number,PIN)码等,强度不高,可以被恶意用户海量推测,同时BS Server给终端传递的密钥等信息属于敏感信息,在公网上明文传输存在泄漏的风险。
发明内容
本申请实施例提供了一种设备引导的方法,用于提高终端与服务器之间传输引导相关数据的安全性。
有鉴于此,本申请实施例第一方面提供了一种设备引导的方法,可以包括:终端可以向服务器发送第二引导请求,该第二引导请求包括该终端的节点标识和传输通道参数,该传输通道参数用于指示该终端支持的传输通道;该终端接收该服务器根据该第二引导请求发送的第二确认消息,该第二确认消息中携带该服务器根据该传输通道参数选定的传输通道;可以理解的是,这里服务器选定的传输通道可以是个标识,或者指示信息,或者其他参数等,用于指示终端可以在服务器选定的传输通道上接收服务器发送的消息。该终端接收转发装置发送的临时身份指示消息,该临时身份指示消息包括临时身份标识和临时密钥,该转发装置为该服务器选定的传输通道中用于向该终端发送消息的网元;需要说明的是,转发装置与终端之间建立有可信的通信通道。该终端可以根据该临时身份标识和临时密钥向该服务器发送连接请求,该连接请求用于请求与该服务器建立安全通道。
在本申请实施例中,终端接收转发装置发送的临时身份标识和临时密钥,可以通过临时身份标识和临时密钥,向服务器发起连接请求,该连接请求用于与服务器建立安全通道。那么,之后终端和服务器之间的传输就是在安全通道内进行了,可以提高传输引导相关数据的安全性。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括设备唤醒传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该终端接收转发装置发送的临时身份指示消息,可以包括:该终端通过该设备唤醒传输通道接收机器互通功能网元发送的唤醒请求,该唤醒请求包括该预共享密钥标识和该预共享密钥。即终端接收转发装置发送唤醒请求的通道为设备唤醒传输通道,这里的转发装置为机器互通功能(MTC-IWF)网元。终端与MTC-IWF网元之间一般属于3GPP网络内部通信,所以可靠性比较高。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括短消息服务传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该终端接收转发装置发送的临时身份指示消息,可以包括:该终端通过该短消息服务传输通道接收短消息服务中心网元发送的移动终结短消息服务消息,该移动终结短消息服务消息包括该预共享密钥标识和该预共享密钥。即终端接收转发装置发送唤醒请求的通道为短消息服务传输通道,这里的转发装置为短消息服务中心(SMSC)网元。终端与SMSC网元之间一般属于3GPP网络内部通信,所以可靠性比较高。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括数据传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该终端接收转发装置发送的临时身份指示消息,可以包括:该终端通过该数据传输通道接收业务生成环境功能网元发送的无互联网协议IP包头数据投递消息,该无IP包头数据投递消息包括该预共享密钥标识和该预共享密钥。即终端接收转发装置发送唤醒请求的通道为数据传输通道,这里的转发装置为业务生成环境功能(SCEF)网元。终端与SCEF网元之间一般属于3GPP网络内部通信,所以可靠性比较高。
可选的,在本申请的一些实施例中,该第二引导请求中还可以包括安全参数,该安全参数是由该终端通过第一引导请求获得的;该终端向服务器发送第二引导请求之前,该方法还可以包括:该终端向该服务器发送该第一引导请求,该第一引导请求包括该终端的节点标识和传输通道参数;该终端接收该服务器根据该第一引导请求发送的第一确认消息,该第一确认消息中携带该安全参数。终端向服务器发送第一引导请求,可以告诉服务器终端的节点标识和传输通道参数,然后,服务器可以确认终端的身份信息,进行安全认证。为以后终端与服务器之间进行通信提供一个安全保障。
可选的,在本申请的一些实施例中,该终端根据该临时身份标识和临时密钥向该服务器发送连接请求,该连接请求用于请求与该服务器建立安全通道之后,该方法还可以包括:该终端通过该安全通道向该服务器发送第三引导请求,该第三引导请求包括该终端的节点标识;该终端通过该安全通道接收该服务器根据该第三引导请求发送的设备管理信息。即终端与服务器建立安全通道之后,终端可以向服务器发送第三引导请求,第三引导请求用于请求服务器下发设备安全管理消息。
可选的,在本申请的一些实施例中,该终端通过该安全通道接收该服务器根据该第三引导请求发送的设备管理信息之后,该方法还包括:该终端根据该设备管理信息向物联网IoT平台发送注册请求和业务数据。
可选的,在本申请的一些实施例中,所述第二确认消息还携带等待时间参数,所述终端接收转发装置发送的临时身份指示消息,可以包括:所述终端根据所述等待时间参数,在预置时间内接收所述转发装置发送的所述临时身份指示消息。即终端可以根据等待时间参数,及时的接收服务器发送的临时身份消息。
本申请实施例第二方面提供一种设备引导的方法,可以包括:服务器接收终端发送的第二引导请求,该第二引导请求包括该终端的节点标识和传输通道参数,该传输通道参数用于指示该终端支持的传输通道;该服务器根据该节点标识和传输通道参数,确定转发装置,并向该终端发送第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道用于告知所述终端在所述服务器选定的传输通道上接收所述服务器发送的消息;可以理解的是,这里的传输通道其实可以是个标识,或者指示信息,或者其他参数等,用于指示终端可以在服务器选定的传输通道上接收服务器发送的消息。需要说明的是,转发装置与终端之间建立有可信的通信通道。该服务器向该转发装置发送临时身份指示消息,该临时身份指示消息包括临时身份标识和临时密钥,该临时身份标识和该临时密钥用于该终端发起连接请求;该服务器接收该终端发送的连接请求;该服务器根据该连接请求与该终端建立安全通道。
在本申请实施例中,服务器通过转发装置向终端发送临时身份标识和临时密钥,终端接收后,可以通过临时身份标识和临时密钥,向服务器发起连接请求,该连接请求用于与服务器建立安全通道。那么,之后终端和服务器之间的传输就是在安全通道内进行了,可以提高传输引导相关数据的安全性。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括设备唤醒传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该服务器向转发装置发送临时身份指示消息,可以包括:该服务器通过该设备唤醒传输通道向机器互通功能网元发送唤醒请求,该唤醒请求包括该预共享密钥标识和该预共享密钥。即服务器向转发装置发送唤醒请求的通道为设备唤醒传输通道,这里的转发装置为机器互通功能(MTC-IWF)网元。MTC-IWF网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertext transfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护,保证了终端与服务器之间数据传输的可靠性。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括短消息服务传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该服务器向转发装置发送临时身份指示消息,可以包括:该服务器通过该短消息服务传输通道向短消息服务中心网元发送移动终结短消息服务消息,该移动终结短消息服务消息包括该预共享密钥标识和该预共享密钥。即服务器向转发装置发送唤醒请求的通道为设备唤醒传输通道,这里的转发装置为短消息服务中心(SMSC)网元。SMSC网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertext transfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护,保证了终端与服务器之间数据传输的可靠性。
可选的,在本申请的一些实施例中,该服务器选定的传输通道包括数据传输通道,该临时身份标识包括预共享密钥标识,该临时密钥包括预共享密钥;该服务器向转发装置发送临时身份指示消息,可以包括:该服务器通过该数据传输通道向业务生成环境功能网元发送无互联网协议IP包头数据投递消息,该无IP包头数据投递消息包括该预共享密钥标识和该预共享密钥。即服务器向转发装置发送唤醒请求的通道为数据传输通道,这里的转发装置为业务生成环境功能(SCEF)网元。SCEF网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertext transfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护,保证了终端与服务器之间数据传输的可靠性。
可选的,在本申请的一些实施例中,该第二引导请求中还包括安全参数,该安全参数由该终端通过第一引导请求获得;服务器接收终端发送的第二引导请求之前,该方法还可以包括:该服务器接收该终端发送的第一引导请求,该第一引导请求包括该终端的节点标识和传输通道参数;该服务器根据该终端的节点标识和该传输通道参数向该终端发送第一确认消息,该第一确认消息中携带安全参数,该安全参数用于该终端防止拒绝服务攻击。服务器接收终端发送的第一引导请求,服务器可以得知终端的节点标识和传输通道参数,然后,服务器可以确认终端的身份信息,进行安全认证。为以后终端与服务器之间进行通信提供一个安全保障。
可选的,在本申请的一些实施例中,该服务器根据该连接请求与该终端建立安全通道之后,该方法还可以包括:该服务器接收该终端发送的第三引导请求,该第三引导请求包括该终端的节点标识;该服务器根据该终端的节点标识向该终端发送设备管理信息。即终端与服务器建立安全通道之后,终端可以向服务器发送第三引导请求,第三引导请求用于请求服务器下发设备安全管理消息。
可选的,在本申请的一些实施例中,所述第二确认消息还携带等待时间参数,所述等待时间参数用于指示所述终端在预置时间内不能休眠。便于终端及时的在预置时间内接收服务器下发的临时身份指示消息。
本申请实施例第三方面提供一种终端,具有提高传输引导相关数据的安全性的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第四方面提供一种服务器,具有提高传输引导相关数据的安全性的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请实施例第五方面提供一种终端,可以包括:一个或多个处理器;存储器;多个应用程序;以及一个或多个计算机程序,其中,所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述终端执行时,使得所述终端执行如本申请实施例第一方面或第一方面任一可选方式所述的方法。
本申请实施例第六方面提供一种服务器,可以包括:一个或多个处理器;存储器;多个应用程序;以及一个或多个计算机程序,其中,所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述终端执行时,使得所述终端执行如本申请实施例第二方面或第二方面任一可选方式所述的方法。
本申请实施例第七方面提供一种无线通信装置,可以包括:
至少一个处理器,存储器,收发电路和总线系统,所述处理器,所述存储器,所述收发电路通过所述总线系统耦合,所述无线通信装置通过所述收发电路与服务器相通信,所述存储器用于存储程序指令,所述至少一个处理器用于执行所述存储器中存储的所述程序指令,使得所述无线通信装置执行如本申请实施例第一方面任一所述的方法中所述终端操作的部分。所述无线通信装置既可以是终端,也可以是应用在终端中执行相应功能的系统芯片。
本申请实施例第八方面提供一种无线通信装置,可以包括:
至少一个处理器,存储器,收发电路和总线系统,所述处理器,所述存储器,所述收发电路通过所述总线系统耦合,所述无线通信装置通过所述收发电路与服务器相通信,所述存储器用于存储程序指令,所述至少一个处理器用于执行所述存储器中存储的所述程序指令,使得所述无线通信装置执行如本申请实施例第二方面任一所述的方法中所述服务器操作的部分。所述无线通信装置既可以是服务器,也可以是应用在服务器中执行相应功能的系统芯片。
本申请实施例第九方面提供一种存储介质,需要说明的是,本发的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产口的形式体现出来,该计算机软件产品存储在一个存储介质中,用于储存为上述终端所用的计算机软件指令,其包含用于执行上述第一方面为终端所设计的程序,或者,用于储存为上述服务器所用的计算机软件指令,其包含用于执行上述第二方面为服务器所设计的程序。
该存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例第十方面提供一种包含指令的计算机程序产品,当其在终端上运行时,使得终端执行如本申请第一方面或第一方面任一可选实现方式中所述的方法。
本申请实施例第十一方面提供一种包含指令的计算机程序产品,当其在服务器上运行时,使得服务器执行如本申请第二方面或第二方面任一可选实现方式中所述的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
在本申请实施例中,终端向服务器发送第二引导请求,所述第二引导请求包括所述终端的节点标识和传输通道参数,所述传输通道参数用于指示所述终端支持的传输通道;所述终端接收所述服务器根据所述第二引导请求发送的第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道由所述服务器根据所述传输通道参数确定;所述终端接收转发装置发送的临时身份指示消息,所述临时身份指示消息包括临时身份标识和临时密钥,所述转发装置为所述服务器选定的传输通道中用于向所述终端发送消息的网元;所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求,所述连接请求用于请求与所述服务器建立安全通道。即终端接收转发装置发送的临时身份标识和临时密钥,可以通过临时身份标识和临时密钥,发起连接请求,该连接请求用于与服务器建立安全通道。那么,之后终端和服务器之间的传输就是在安全通道内进行了,可以提高传输引导相关数据的安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,还可以根据这些附图获得其它的附图。
图1为现有的物联网网络中引导方式的流程示意图;
图2为本申请实施例所应用的一个系统架构图;
图3为本申请实施例中设备引导的方法的一个实施例示意图;
图4为本申请实施例中设备引导的方法的另一个实施例示意图;
图5为本申请实施例中设备引导的方法的另一个实施例示意图;
图6为本申请实施例中设备引导的方法的另一个实施例示意图;
图7为本申请实施例中终端的一个实施例示意图;
图8为本申请实施例中服务器的一个实施例示意图;
图9为本申请实施例中终端的另一个实施例示意图;
图10为本申请实施例中服务器的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种设备引导的方法,用于提高终端与服务器之间传输引导相关数据的安全性。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,都应当属于本申请保护的范围。
在现有的终端管理(device management,DM)协议中,引导(Bootstrap)流程一般有如下几种方式:
(1)出厂引导(factory bootstrap)方式:
在这种方式下,由终端厂商在终端出厂时直接预置好终端的相关DM信息,DM信息可以包含终端标识(identity,ID)、密钥、连接的目的业务平台地址、签约的业务信息和配置信息等参数,其中终端密钥、业务签约信息属于敏感数据。
但是,这种引导方式不够灵活;而且会增加终端厂商的生产工作量,以及按照订单生产发货的能力需求;终端厂商和应用厂商存在信任关系,应用厂商可能需要在终端上线后重新修改初始密钥等敏感信息。
(2)智能卡引导(bootstrap from smartcard)方式:
在这种方式下,智能卡(smartcard)中提供存储DM信息,并与终端之间通过安全通道提供终端读取和使用,DM信息可以由卡商预置。终端从智能卡中读取DM信息,然后连接目的业务平台,进行业务,这种方式下,需要卡商根据订单提前将DM信息发放到智能卡中,这种方式安全程度也较高。智能卡又可以包括用户识别(subscriber identify module,SIM)卡等。
但是,这种引导方式对卡商有要求,而应用厂商一般不直接面对卡商,存在耦合;对卡和终端有要求。
(3)客户端初始引导(client initial bootstrap)方式:
由终端主动向BS Server发起Bootstrap请求,BS Server根据终端的硬件信息返回终端的DM信息。其中,终端的硬件信息可以包括MAC地址,IMEI,PIN码等;终端的DM信息可以包括终端ID,密钥,连接的目的业务平台地址,签约的业务信息和配置信息等参数。
(4)服务器初始引导(server initial bootstrap)方式:
由BS Server自动向终端下发DM信息,终端根据下发的DM信息向目的业务平台发起连接和业务请求。DM信息可以包含终端ID、密钥、连接的目的业务平台地址、签约的业务信息和配置信息等参数。
其中,client initial bootstrap方式和server initial bootstrap方式都属于空中传输(over the air,OTA)方式。但是,空中传输方式不够安全;敏感信息在网络上用明文传输,存在泄密风险;终端在初始请求BS信息时,只有终端的end point name参数,存在恶意终端伪冒风险。
图1为现有在IoT网络中引导方式的流程示意图。如图1所示,具体流程步骤如下所示:
P0:UE在出厂的时候预置公网的BS Server地址,这个地址是公网的,可以全球唯一,或区域内唯一,对终端厂商而言属于非差异化数据。
P1:终端开机上电,然后在网络中发起跟踪区更新(tracking area update,TAU)和分组数据协议(packet data protocol,PDP)激活。
P2:终端向BS Server发起Bootstrap请求,Bootstrap请求消息中携带终端的节点名称(end point name)。
P3:BS Server根据End point name返回终端的BS信息,P3可能返回多条终端管理(device management,DM)信息,DM信息中包含终端标识(identifier,ID)、密钥、签约业务信息等等。
P4:终端收到后,存储DM信息,并返回2.04Changed消息给BS server。
P5:当所有DM信息都发给终端后,BS Server发送完成(FINISHED)消息给终端。
P6:终端返回2.04Changed消息给BS server。
P7:终端向目的IoT平台发起注册和数据上报等业务流程(根据指示决定是否要提前建立数据报传输层安全(datagram transport layer security,DTLS)链路)。
Note:上述流程和消息基于轻量级设备(light weight M2M,LWM2M)1.0版本协议。
在上述的流程中,涉及到了如下角色:
智能卡商:制卡,写入DM信息,卖智能卡给设备制造商;
设备制造商:制造设备,即提前购买智能卡等生产资料,写入DM信息,卖智能卡给应用服务商;
应用服务提供商:设备的真正所有者,可能变更DM信息。
综上所述:从端到端(end to end,E2E)流程来看,OTA方式是一种灵活的Bootstrap方式,但其安全性有待提高,本申请提供一种安全的OTA Bootstrap方案,满足灵活的业务发放和设备管理需求。
如图2所示,图2为本申请实施例所应用的一个系统架构图。终端通过接入网、核心网向BS Server请求BS信息,BS Server还会通过核心网、接入网向终端返回BS信息。BSServer可以调用核心网中的机器互通功能(machine type communications-interworking function,MTC-IWF)网元、短消息服务中心(short message service center,SMSC)网元或者业务生成环境功能(service creation environment function,SCEF)网元的能力,向终端发送临时身份指示消息,该临时身份指示消息用于终端进行临时接入。终端再根据临时身份指示消息通过接入网和核心网,向LWM2M发起注册流程。
如图3所示,图3为本申请实施例中设备引导的方法的一个实施例示意图。
301、终端向服务器发送第二引导请求,该第二引导请求包括终端的节点标识和传输通道参数。
服务器接收终端发送的第二引导请求,其中,该第二引导请求中携带节点标识(NodeID)和传输通道参数,传输通道参数可以包括终端移动终结(user equipment mobileterminated,UE MT)信道能力(channel capability)参数等信息。该传输通道参数用于指示所述终端支持的传输通道。
可以理解的是,UE MT channel capability参数代表终端在第三代移动通信伙伴项目(third generation partnership project,3GPP)网络中支持的能力,比如支持设备唤醒(device trigger)能力,支持移动终结短消息服务(mobile terminated shortmessage service,MT SMS)能力,支持无互联网协议(internet protocol,IP)包头数据投递(mobile terminated Non-IP data delivery,MT NIDD)能力等,以便BS Server选择使用哪种通道来寻址终端。
需要说明的是,在BS Server上预设有终端的节点标识(NodeID,也可称为EndPointName),以及终端的NodeID在第三代移动通信伙伴项目(third generationpartnership project,3GPP)网络中身份标识的映射关系。例如:在3GPP网络中身份标识可以包括移动台综合业务数字网号码(mobile station integrated services digitalnetwork number,MSISDN),3GPP网络外部的身份标识(ExternalID)等参数,用于寻址终端用。
终端的节点标识具体可以包括媒体接入控制(medium access control,MAC)地址、国际移动设备识别码(international mobile equipment identifier,IMEI)、个人识别号码(personal identification number,PIN)码、序列号(serial number,SN)等。
302、服务器根据节点标识和传输通道参数,确定转发装置。
服务器根据节点标识和传输通道参数,确定出转发装置。如果传输通道参数为设备唤醒能力参数,则服务器确定的转发装置为机器互通功能(machine typecommunications-inter working function,MTC-IWF)网元,传输通道参数为设备唤醒通道参数;如果传输通道参数为移动终结短消息服务能力参数,则服务器确定的转发装置为短消息服务中心(short message service center,SMSC)网元,传输通道参数为移动终结短消息服务通道参数;如果传输通道参数为无互联网协议包头数据投递能力参数,则服务器确定的转发装置为业务生成环境功能(service creation environment function,SCEF)网元,传输通道参数为无互联网协议包头数据投递通道参数。
可选的,服务器可以根据节点标识、传输通道参数、以及服务器支持的通道信息、信道服务质量等,确定出服务器选定的传输通道,并将服务器选定的传输通道告知终端,使得终端知道在服务器选定的传输通道上接收服务器发送的消息。服务选定的传输通道可以包括:设备唤醒(device trigger)通道、移动终结短消息服务(MT SMS)通道,无互联网协议包头数据投递(MT NIDD)通道等。即传输通道与服务器确定出的转发装置相对应。
303、服务器向终端发送第二确认消息,该第二确认消息中携带服务器选定的传输通道。
如果BS Server检查NodeID无误,向终端回复第二ACK消息,第二ACK消息中携带服务器选定的传输通道。服务器选定的传输通道可以包括选择移动终结信道(selectedmobile terminated channel,selected MT channel)参数。终端接收服务器根据第二引导请求发送的第二确认消息,第二确认消息中携带服务器选定的传输通道,
可选的,第二确认消息中还可以携带终端等待时间(client hold on timer)参数,终端等待时间参数用于指示终端在规定的时间内不能休眠,超过预置时间,则向服务器发起注册流程等。
304、服务器向转发装置发送临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,临时身份标识和临时密钥用于终端发起连接请求。
转发装置接收服务器发送的临时身份指示消息,示例性的,临时身份标识可以包括预共享密钥标识(pre-shared key identifier,PSKID),临时密钥可以包括预共享密钥(pre-shared key,PSK)参数等。
需要说明的是,终端与转发装置之间一般属于3GPP网络内部通信,所以可靠性比较高。转发装置与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertexttransfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护,所以可靠性也比较高。
305、转发装置向终端发送临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥。
终端接收转发装置发送的临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,转发装置为服务器根据终端的节点标识和传输通道参数确定出的网元,转发装置与终端之间建立有可信的通信通道。可选的,所述终端接收转发装置发送的临时身份指示消息,可以包括:所述终端根据所述等待时间参数,在预置时间内接收所述转发装置发送的所述临时身份指示消息。
306、终端根据临时身份标识和临时密钥向服务器发送连接请求,连接请求用于请求与服务器建立安全通道。
示例性的,终端使用临时PSKID和PSK参数向BS Server发起数据包传输层安全(datagram transport layer security,DTLS)连接流程。
307、服务器根据传输层连接请求与终端建立安全通道。
服务器根据传输层连接请求与终端建立安全通道,此时服务器完成对终端的认证和安全链路建立。因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终devicetrigger消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路。安全通道用于终端和服务器之间传输引导相关数据。
在本申请实施例中,终端可以根据转发装置发送的临时身份指示消息,向服务器发起连接请求,该连接请求用于请求与服务器建立安全通道,那么,终端与服务器之间就可以在安全通道上传输引导相关数据了,提高了传输引导相关数据的安全性。
如图4所示,图4为本申请实施例中设备引导的方法的一个实施例示意图。
401、终端向服务器发送第一引导请求,所述第一引导请求包括该终端的节点标识和传输通道参数。
在本申请实施例中,这里的服务器可以以BS Server为例进行说明。终端可以向公网上的BS Server发起第一引导请求(bootstrap request),其中,第一引导请求中携带节点标识(NodeID)和传输通道参数。传输通道参数可以包括终端移动终结(user equipmentmobile terminated,UE MT)信道能力(channel capability)参数等信息。
可以理解的是,UE MT channel capability参数代表终端在第三代移动通信伙伴项目(third generation partnership project,3GPP)网络中支持的能力,比如支持设备唤醒(device trigger)能力,支持移动终结短消息服务(mobile terminated shortmessage service,MT SMS)能力,支持无互联网协议(internet protocol,IP)包头数据投递(mobile terminated Non-IP data delivery,MT NIDD)能力等,以便BS Server选择使用哪种通道来寻址终端。
需要说明的是,在BS Server上预设有终端的节点标识(NodeID,也可称为EndPointName),以及终端的NodeID在第三代移动通信伙伴项目(third generationpartnership project,3GPP)网络中身份标识的映射关系。例如:在3GPP网络中身份标识可以包括移动台综合业务数字网号码(mobile station integrated services digitalnetwork number,MSISDN),3GPP网络外部的身份标识(ExternalID)等参数,用于寻址终端用。
终端的节点标识具体可以包括媒体接入控制(medium access control,MAC)地址、国际移动设备识别码(international mobile equipment identifier,IMEI)、个人识别号码(personal identification number,PIN)码、序列号(serial number,SN)等。
402、服务器向终端发送第一ACK消息,所述第一ACK消息中携带安全参数。
BS Server根据NodeID可以确定该终端对应在3GPP网络中的身份标识;还根据UEMT channel capability参数,确定使用哪种通道来寻址UE。即BS Server可以根据第一引导请求,向终端回复第一确认(acknowledgement,ACK)消息,该第一ACK消息中携带安全参数。示例性的,安全参数可以包括cookie参数等。可以理解的是,该安全参数是由BS Server分配的,用于防拒绝服务(denial of service,DOS)攻击。
403、终端向服务器发送第二引导请求,所述第二引导请求包括节点标识、终端传输通道参数和安全参数。
终端重新向BS Server发起第二引导请求(bootstrap request),该第二引导请求中可以携带NodeID、UE MT channel capability参数和刚刚收到BS Server下发的安全参数。其中,该步骤中的NodeID、UE MT channel capability参数与上述步骤301中的相同;安全参数用于服务器进行信息验证,判断是否为服务器之前向UE下发的安全参数,如果是,则服务器不会拒绝UE发送的第二引导请求,如果不是,则服务器可能会拒绝UE发送的第二引导请求。示例性的,安全参数可以包括cookie参数等。
404、服务器向终端发送第二ACK消息,所述第二ACK消息携带终端等待时间参数和服务器选定的传输通道。
如果BS Server检查安全参数和NodeID无误,向终端回复第二ACK消息,第二ACK消息中携带终端等待时间(client hold on timer)参数(指示终端在规定的时间内不能休眠)和服务器选定的传输通道。服务器选定的传输通道可以包括选择移动终结信道(selected mobile terminated channel,selected MT channel)参数等信息。传输通道参数指示的通道可以包括:设备唤醒(device trigger)通道、移动终结短消息服务(MT SMS)通道,无互联网协议包头数据投递(MT NIDD)通道等。本实施例中服务器选择的通道为设备唤醒通道。其中,客户端等待时间是服务器确定的一个经验值。
405、服务器向机器互通功能网元发送唤醒请求,唤醒请求中包括临时身份标识和临时密钥。
BS Server根据终端关联的3GPP网络身份标识调用机器互通功能(machine typecommunications-inter working function,MTC-IWF)网元的设备唤醒(device trigger)能力,向终端发起唤醒请求,该唤醒请求中包括临时身份标识和临时密钥。示例性的,临时身份标识可以包括预共享密钥标识(pre-shared key identifier,PSKID),临时密钥可以包括预共享密钥(pre-shared key,PSK)参数等。
其中,唤醒请求中携带的PSKID和PSK参数是服务器根据终端上报的NodeID来确定的。需要说明的是,终端与MTC-IWF网元之间一般属于3GPP网络内部通信,所以可靠性比较高。MTC-IWF网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertext transfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护。
406、MTC-IWF网元向终端发送唤醒请求。
机器互通功能(MTC-IWF)网元调用3GPP网络内部的能力,完成设备唤醒流程,将临时PSK ID、PSK参数发给终端。
407、MTC-IWF网元向服务器发送设备唤醒响应。
MTC-IWF网元向终端发送唤醒请求之后,MTC-IWF网元发送设备唤醒响应(devicetrigger response)给BS Server,向BS Server指示该终端唤醒成功。
408、终端向服务器发起DTLS连接请求。
所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求;所述服务器接收所述终端发送的连接请求;所述服务器根据所述连接请求与所述终端建立安全通道。
示例性的,终端使用临时PSKID和PSK参数向BS Server发起数据包传输层安全(datagram transport layer security,DTLS)连接流程,此时BS Server完成对终端的认证(因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终device trigger消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路)和安全链路建立。
409、终端向服务器发送第三引导请求,第三引导请求包括节点标识。
终端重新向BS Server发起第三引导请求(bootstrap request),第三引导请求中携带NodeID,此时第三BootStrap请求已经在安全通道内传输。
410、服务器向终端发送DM信息。
BS Server向终端下发DM信息,DM信息包含在该终端访问的当前平台下对应的身份ID、PSK等参数。该步骤可能执行多次,如果当前终端当前访问的有多个平台,那么,BSServer就对应的向终端发送多个DM信息,每个DM信息中包括该终端访问的每个平台上对应的身份标识、PSK等参数。
411、服务器向终端发送完成消息。
服务器将全部的DM信息向终端下发完成后,BS Server下发完成(finished)消息给终端,结束本次BootStrap流程。
412、终端向物联网平台发起注册和业务上报流程。
终端根据DM信息向物联网(internet of things,IoT)平台发起注册和业务数据上报等流程。
在本申请实施例中,因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终device trigger消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路。所以,提供了一种安全的Bootstrap过程,对芯片、模组、设备厂商透明,应用厂商持有真正的安全凭证;不需要增加额外的生产环节,设备厂商不要支持按订单发货能力,简化设备厂商供应链设计要求。
在终端请求服务器要求发放DM信息时,为鉴别终端是否为合法设备,服务器可以根据终端在BS Server开户时关联的3GPP网络身份(此身份是应用服务器设置过来的,可以认为是安全的),通过3GPP网络通道向终端发送临时身份ID和临时密钥,终端利用这个临时ID和临时密钥与服务器建立安全连接,基于此安全连接,服务器返回真正的身份ID、密钥、业务签约信息等敏感数据,完成数据发放过程,临时ID和临时密钥本次使用完成后就释放。
如图5所示,图5为本申请实施例中设备引导的方法的一个实施例示意图。
501、终端向服务器发送第一引导请求,所述第一引导请求包括该终端的节点标识和传输通道参数。
在本申请实施例中,这里的服务器可以以BS Server为例进行说明。终端可以向公网上的BS Server发起第一引导请求(bootstrap request),其中,第一引导请求中携带NodeID和传输通道参数。传输通道参数可以包括UE MT channel capability参数等信息。
可以理解的是,UE MT channel capability参数代表终端在3GPP网络中支持的能力,比如支持device trigger能力,支持MT SMS能力,支持MT NIDD能力等,以便BS Server选择使用哪种通道来寻址在终端。
需要说明的是,在BS Server上预设有设备NodeID(也可称为EndPointName),以及终端的NodeID在3GPP网络中身份标识的对应关系。例如MSISDN,ExternalID等参数,用于寻址终端用。
终端的节点标识具体可以包括媒体接入控制(medium access control,MAC)地址、国际移动设备识别码(international mobile equipment identifier,IMEI)、个人识别号码(personal identification number,PIN)码、序列号(serial number,SN)等。
502、服务器向终端发送第一ACK消息,所述第一ACK消息中携带安全参数。
BS Server根据NodeID可以确定该终端对应在3GPP网络中的身份标识;还根据UEMT channel capability参数,确定使用哪种通道来寻址UE。即BS Server可以根据第一引导请求,向终端回复第一确认(acknowledgement,ACK)消息,该第一ACK消息中携带安全参数。示例性的,安全参数可以包括cookie参数等。可以理解的是,该安全参数是由BS Server分配的,用于防拒绝服务(denial of service,DOS)攻击。
503、终端向服务器发送第二引导请求,所述第二引导请求包括节点标识、终端传输通道参数和安全参数。
终端重新向BS Server发起第二引导请求(bootstrap request),第二引导请求中可以携带NodeID、UE MT channel capability和刚刚收到BS Server下发的安全参数。其中,该步骤中的NodeID、UE MT channel capability参数与上述步骤401中的相同;安全参数用于服务器进行信息验证,判断是否为服务器之前向UE下发的安全参数,如果是,则服务器不会拒绝UE发送的第二引导请求,如果不是,则服务器可能会拒绝UE发送的第二引导请求。示例性的,安全参数可以包括cookie参数等。
504、服务器向终端发送第二ACK消息,所述第二ACK消息携带终端等待时间参数和服务器选定的传输通道。
如果BS Server检查安全参数和NodeID无误,向终端回复第二ACK消息,第二ACK消息中携带客户端等待时间(client hold on timer)参数(指示终端在规定的时间内不能休眠)和服务器选定的传输通道。服务器选定的传输通道可以包括选择移动终结信道(selected mobile terminated channel,selected MT channel)参数等信息。传输通道参数指示的通道可以包括:设备唤醒(device trigger)通道、移动终结短消息服务(MT SMS)通道,无互联网协议包头数据投递(MT NIDD)通道等。本实施例中服务器选择的通道为移动终结短消息服务通道。其中,客户端等待时间是服务器确定的一个经验值。
505、服务器向SMSC网元发送移动终结短消息服务消息,移动终结短消息服务消息包括临时身份标识和临时密钥。
BS Server根据终端关联的3GPP网络身份标识调用短消息服务中心(shortmessage service center,SMSC)网元的移动终结短消息服务(mobile terminated shortmessage service,MT SMS)能力,向终端发送MT SMS消息,MT SMS消息中包括临时身份标识和临时密钥。示例性的,临时身份标识可以包括预共享密钥标识(pre-shared keyidentifier,PSKID),临时密钥可以包括预共享密钥(pre-shared key,PSK)参数等。
其中,MT SMS消息中携带的PSKID和PSK参数是服务器根据终端上报的NodeID来确定的。需要说明的是,终端与SMSC网元之间一般属于3GPP网络内部通信,所以可靠性比较高。SMSC网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertexttransfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护。
506、短消息服务中心网元向终端发送移动终结短消息服务消息。
短消息服务中心(SMSC)网元调用3GPP网络内部的能力,完成MT SMS流程,将临时PSK ID、PSK参数发给终端。
507、SMSC网元向服务器发送移动终结短消息服务响应消息。
SMSC网元向终端发送MT SMS消息之后,SMSC网元发送移动终结短消息服务响应(MT SMS response)消息给BS Server,指示发送成功。
508、终端向服务器发起DTLS连接请求。
所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求;所述服务器接收所述终端发送的连接请求;所述服务器根据所述连接请求与所述终端建立安全通道。
示例性的,终端使用临时PSKID和PSK参数向BS Server发起数据包传输层安全(datagram transport layer security,DTLS)连接流程,此时BS Server完成对终端的认证(因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终SMS消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路)和安全链路建立。
509、终端向服务器发送第三引导请求,第三引导请求包括NodeID。
终端重新向BS Server发起第三引导请求(bootstrap request),第三引导请求中携带NodeID,此时第三BootStrap请求已经在安全通道内传输。
510、服务器向终端发送DM信息。
BS Server向终端下发DM信息,DM信息包含在该终端访问的当前平台下对应的身份ID、PSK等参数。该步骤可能执行多次,如果当前终端当前访问的有多个平台,那么,BSServer就对应的向终端发送多个DM信息,每个DM信息中包括该终端访问的每个平台上对应的身份标识、PSK等参数。
511、服务器向终端发送完成消息。
服务器将全部的DM信息向终端下发完成后,BS Server下发完成(finished)消息给终端,结束本次BootStrap流程。
512、终端向物联网平台发起注册和业务上报流程。
终端根据DM信息向物联网(internet of things,IoT)平台发起注册和业务数据上报等流程。
在本申请实施例中,因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终SMS消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路。所以,提供了一种安全的Bootstrap过程,对芯片、模组、设备厂商透明,应用厂商持有真正的安全凭证;不需要增加额外的生产环节,设备厂商不要支持按订单发货能力,简化设备厂商供应链设计要求。
在终端请求服务器要求发放DM信息时,为鉴别终端是否为合法设备,服务器可以根据终端在BS Server开户时关联的3GPP网络身份(此身份是应用服务器设置过来的,可以认为是安全的),通过3GPP网络通道向终端发送临时身份ID和临时密钥,终端利用这个临时ID和临时密钥与服务器建立安全连接,基于此安全连接,服务器返回真正的身份ID、密钥、业务签约信息等敏感数据,完成数据发放过程,临时ID和临时密钥本次使用完成后就释放。
如图6所示,图6为本申请实施例中设备引导的方法的一个实施例示意图。
601、终端向服务器发送第一引导请求,所述第一引导请求包括该终端的节点标识和传输通道参数。
在本申请实施例中,这里的服务器可以以BS Server为例进行说明。终端可以向公网上的BS Server发起第一引导请求(bootstrap request),其中,第一引导请求中携带NodeID和传输通道参数。传输通道参数可以包括UE MT channel capability参数等信息。
可以理解的是,UE MT channel capability参数代表终端在3GPP网络中支持的能力,比如支持device trigger能力,支持MT SMS能力,支持MT NIDD能力等,以便BS Server选择使用哪种通道来寻址在终端。
需要说明的是,在BS Server上预设有设备NodeID(也可称为EndPointName),以及终端的NodeID在3GPP网络中身份标识的对应关系。例如MSISDN,ExternalID等参数,用于寻址终端用。
终端的节点标识具体可以包括媒体接入控制(medium access control,MAC)地址、国际移动设备识别码(international mobile equipment identifier,IMEI)、个人识别号码(personal identification number,PIN)码、序列号(serial number,SN)等。
602、服务器向终端发送第一ACK消息,所述第一ACK消息中携带安全参数。
BS Server根据NodeID可以确定该终端对应在3GPP网络中的身份标识;还根据UEMT channel capability参数,确定使用哪种通道来寻址UE。即BS Server可以根据第一引导请求,向终端回复第一确认(acknowledgement,ACK)消息,该第一ACK消息中携带安全参数。示例性的,安全参数可以包括cookie参数等。可以理解的是,该安全参数是由BS Server分配的,用于防拒绝服务(denial of service,DOS)攻击。
603、终端向服务器发送第二引导请求,所述第二引导请求包括节点标识、终端传输通道参数和安全参数。
终端重新向BS Server发起第二引导请求(bootstrap request),该第二引导请求中可以携带NodeID、UE MT channel capability和刚刚收到BS Server下发的安全参数。其中,该步骤中的NodeID、UE MT channel capability参数与上述步骤501中的相同;安全参数用于服务器进行信息验证,判断是否为服务器之前向UE下发的安全参数,如果是,则服务器不会拒绝UE发送的第二引导请求,如果不是,则服务器可能会拒绝UE发送的第二引导请求。示例性的,安全参数可以包括cookie参数等。
604、服务器向终端发送第二ACK消息,所述第二ACK消息携带终端等待时间参数和服务器选定的传输通道。
如果BS Server检查安全参数和NodeID无误,向终端回复第二ACK消息,第二ACK消息中携带客户端等待时间(client hold on timer)参数(指示终端在规定的时间内不能休眠)和服务器选定的传输通道。服务器选定的传输通道可以包括选择移动终结信道(selected mobile terminated channel,selected MT channel)参数等信息。传输通道参数指示的通道可以包括:设备唤醒(device trigger)通道、移动终结短消息服务(MT SMS)通道,无互联网协议包头数据投递(MT NIDD)通道等。本实施例中服务器选择的通道为无互联网协议包头数据投递通道。其中,客户端等待时间是服务器确定的一个经验值。
605、服务器向业务生成环境功能网元发送MT NIDD消息,MT NIDD消息中包括临时身份标识和临时密钥。
BS Server根据终端关联的3GPP网络身份标识调用业务生成环境功能(servicecreation environment function,SCEF)网元的无IP包头数据投递(mobile terminatedNon-IP data delivery,MT NIDD)能力,向终端发送MT NIDD消息,MT NIDD消息中包括预共享密钥标识(pre-shared key identifier,PSKID),临时密钥可以包括预共享密钥(pre-shared key,PSK)参数等。
其中,MT SMS中携带的PSKID和PSK参数是服务器根据终端上报的NodeID来确定的。需要说明的是,终端与SCEF网元之间一般属于3GPP网络内部通信,所以可靠性比较高。SCEF网元与服务器之间一般基于Restful接口,基于安全超文本传输协议(hypertexttransfer protocol secure,HTTPS)通信,通信传输时有加密和完整性的保护。
606、SCEF网元向终端发送MT NIDD消息。
业务生成环境功能(SCEF)网元调用3GPP网络内部的能力,完成MT SMS流程,将临时PSK ID、PSK参数发给终端。
607、SCEF网元向服务器发送MT NIDD响应。
SCEF网元向终端发送MT NIDD之后,SCEF网元发送MT NIDD response消息给BSServer,指示发送成功。
608、终端向服务器发起DTLS连接请求。
所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求;所述服务器接收所述终端发送的连接请求;所述服务器根据所述连接请求与所述终端建立安全通道。
示例性的,终端使用临时PSKID和PSK参数向BS Server发起数据报传输层安全(Datagram Transport Layer Security,DTLS)连接请求,此时BS Server完成对终端的认证(因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终MT NIDD消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路)和安全链路建立。
609、终端向服务器发送第三引导请求,第三引导请求包括NodeID。
终端重新向BS Server发起第三引导请求(bootstrap request),第三引导请求中携带NodeID,此时第三BootStrap请求已经在安全通道内传输。
610、服务器向终端发送DM信息。
BS Server向终端下发DM信息,DM信息包含在该终端访问的当前平台下对应的身份ID、PSK等参数。该步骤可能执行多次,如果当前终端当前访问的有多个平台,那么,BSServer就对应的向终端发送多个DM信息,每个DM信息中包括该终端访问的每个平台上对应的身份标识、PSK等参数。
611、服务器向终端发送完成消息。
服务器将全部的DM信息向终端下发完成后,BS Server下发完成(finished)消息给终端,结束本次BootStrap流程。
612、终端向物联网平台发起注册和业务上报流程。
终端根据DM信息向物联网(internet of things,IoT)平台发起注册和业务数据上报等流程。
在本申请实施例中,因为恶意终端即便仿冒了NodeID,但由于3GPP身份无法仿冒,最终MT NIDD消息发给了真实NodeID关联的终端上,恶意终端无法拿到临时PSKID和PSK参数,也无法建立DTLS链路。所以,提供了一种安全的Bootstrap过程,对芯片、模组、设备厂商透明,应用厂商持有真正的安全凭证;不需要增加额外的生产环节,设备厂商不要支持按订单发货能力,简化设备厂商供应链设计要求。
在终端请求服务器要求发放DM信息时,为鉴别终端是否为合法设备,服务器可以根据终端在BS Server开户时关联的3GPP网络身份(此身份是应用服务器设置过来的,可以认为是安全的),通过3GPP网络通道向终端发送临时身份ID和临时密钥,终端利用这个临时ID和临时密钥与服务器建立安全连接,基于此安全连接,服务器返回真正的身份ID、密钥、业务签约信息等敏感数据,完成数据发放过程,临时ID和临时密钥本次使用完成后就释放。
需要说明的是,本申请中的“第一”、“第二”、“第三”等措辞,不是实际的名称。例如:前述实施例中的第一引导请求,不是说这个引导请求叫第一引导请求,只是为了区分终端向服务器发送的多个引导请求,用“第一”、“第二”等表达区分开而已,并不构成对本申请实际保护范围的限定。
如图7所示,图7为本申请实施例中终端的一个实施例示意图,包括:
发送模块701,用于向服务器发送第二引导请求,第二引导请求包括终端的节点标识和传输通道参数,传输通道参数用于指示终端支持的传输通道;
接收模块702,用于接收服务器根据第二引导请求发送的第二确认消息,第二确认消息中携带服务器选定的传输通道,服务器选定的传输通道由服务器根据传输通道参数确定;
接收模块702,还用于接收转发装置发送的临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,转发装置为服务器选定的传输通道中用于向终端发送消息的网元;
发送模块701,还用于根据临时身份标识和临时密钥向服务器发送连接请求,连接请求用于请求与服务器建立安全通道。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括设备唤醒传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
接收模块702,具体用于通过设备唤醒传输通道接收机器互通功能网元发送的唤醒请求,唤醒请求包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括短消息服务传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
接收模块702,具体用于通过短消息服务传输通道接收短消息服务中心网元发送的移动终结短消息服务消息,移动终结短消息服务消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括数据传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
接收模块702,具体用于通过数据传输通道接收业务生成环境功能网元发送的无互联网协议IP包头数据投递消息,无IP包头数据投递消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,
发送模块701,还用于向服务器发送第一引导请求,第一引导请求包括终端的节点标识和传输通道参数;
接收模块702,还用于接收服务器根据第一引导请求发送的第一确认消息,第一确认消息中携带安全参数。
可选的,在本申请的一些实施例中,
发送模块701,还用于通过安全通道向服务器发送第三引导请求,第三引导请求包括终端的节点标识;
接收模块702,还用于接收服务器根据第三引导请求发送的设备管理信息。
可选的,在本申请的一些实施例中,
发送模块701,还用于根据设备管理信息向物联网IoT平台发送注册请求和业务数据。
可选的,在本申请的一些实施例中,第二确认消息还携带等待时间参数,终端接收转发装置发送的临时身份指示消息,包括:
终端根据等待时间参数,在预置时间内接收转发装置发送的临时身份指示消息。
如图8所示,图8为本申请实施例中服务器的一个实施例示意图,包括:
接收模块801,用于接收终端发送的第二引导请求,第二引导请求包括终端的节点标识和传输通道参数,传输通道参数用于指示终端支持的传输通道;
确定模块802,用于根据节点标识和传输通道参数,确定转发装置;
发送模块803,用于向终端发送第二确认消息,第二确认消息中携带服务器选定的传输通道,服务器选定的传输通道用于告知终端在服务器选定的传输通道上接收服务器发送的消息;
发送模块803,还用于向转发装置发送临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,临时身份标识和临时密钥用于终端发起连接请求;
接收模块801,还用于接收终端发送的连接请求;
建立模块804,用于根据连接请求与终端建立安全通道。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括设备唤醒传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
发送模块803,具体用于通过设备唤醒传输通道向机器互通功能网元发送唤醒请求,唤醒请求包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括短消息服务传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
发送模块803,具体用于通过短消息服务传输通道向短消息服务中心网元发送移动终结短消息服务消息,移动终结短消息服务消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括数据传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
发送模块803,具体用于通过数据传输通道向业务生成环境功能网元发送无互联网协议IP包头数据投递消息,无IP包头数据投递消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,
接收模块801,用于接收终端发送的第一引导请求,第一引导请求包括终端的节点标识和传输通道参数;
发送模块803,用于根据终端的节点标识和传输通道参数向终端发送第一确认消息,第一确认消息中携带安全参数,安全参数用于终端防止拒绝服务攻击。
可选的,在本申请的一些实施例中,
接收模块801,用于接收终端发送的第三引导请求,第三引导请求包括终端的节点标识;
发送模块803,用于根据终端的节点标识向终端发送设备管理信息。
可选的,在本申请的一些实施例中,第二确认消息还携带等待时间参数,等待时间参数用于指示终端在预置时间内不能休眠。
如图9所示,为本申请实施例中终端的另一个实施例示意图。以终端为手机为例进行说明,图9示出的是与本申请实施例提供的终端相关的手机的部分结构的框图。参考图9,手机包括:射频(Radio Frequency,RF)电路910、存储器920、输入单元930、显示单元940、传感器950、音频电路960、无线保真(wireless fidelity,WIFI)模块970、处理器980、以及电源990等部件。本领域技术人员可以理解,图9中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图9对手机的各个构成部件进行具体的介绍:
RF电路910可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器980处理;另外,将设计上行的数据发送给基站。通常,RF电路910包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier,LNA)、双工器等。此外,RF电路910还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GlobalSystem of Mobile communication,GSM)、通用分组无线服务(General Packet RadioService,GPRS)、码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
存储器920可用于存储软件程序以及模块,处理器980通过运行存储在存储器920的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器920可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器920可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元930可用于接收输入的数字或字符信息,以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元930可包括触控面板931以及其他输入设备932。触控面板931,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板931上或在触控面板931附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板931可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器980,并能接收处理器980发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板931。除了触控面板931,输入单元930还可以包括其他输入设备932。具体地,其他输入设备932可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元940可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元940可包括显示面板941,可选的,可以采用液晶显示器(Liquid CrystalDisplay,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板941。进一步的,触控面板931可覆盖显示面板941,当触控面板931检测到在其上或附近的触摸操作后,传送给处理器980以确定触摸事件的类型,随后处理器980根据触摸事件的类型在显示面板941上提供相应的视觉输出。虽然在图9中,触控面板931与显示面板941是作为两个独立的部件来实现手机的输入和输入功能,但是在某些实施例中,可以将触控面板931与显示面板941集成而实现手机的输入和输出功能。
手机还可包括至少一种传感器950,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板941的亮度,接近传感器可在手机移动到耳边时,关闭显示面板941和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路960、扬声器961,传声器962可提供用户与手机之间的音频接口。音频电路960可将接收到的音频数据转换后的电信号,传输到扬声器961,由扬声器961转换为声音信号输出;另一方面,传声器962将收集的声音信号转换为电信号,由音频电路960接收后转换为音频数据,再将音频数据输出处理器980处理后,经RF电路910以发送给比如另一手机,或者将音频数据输出至存储器920以便进一步处理。
WIFI属于短距离无线传输技术,手机通过WIFI模块970可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图9示出了WIFI模块970,但是可以理解的是,其并不属于手机的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器980是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器920内的软件程序和/或模块,以及调用存储在存储器920内的数据,执行手机的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器980可包括一个或多个处理单元;优选的,处理器980可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器980中。
手机还包括给各个部件供电的电源990(比如电池),优选的,电源可以通过电源管理系统与处理器980逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,手机还可以包括摄像头、蓝牙模块等,在此不再赘述。
在上述方法实施例中由终端所执行的步骤可以基于该图9所示的终端结构。
在本申请实施例中,RF电路910用于,向服务器发送第二引导请求,第二引导请求包括终端的节点标识和传输通道参数,传输通道参数用于指示终端支持的传输通道;接收服务器根据第二引导请求发送的第二确认消息,第二确认消息中携带服务器选定的传输通道,服务器选定的传输通道由服务器根据传输通道参数确定;接收转发装置发送的临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,转发装置为服务器选定的传输通道中用于向终端发送消息的网元;根据临时身份标识和临时密钥向服务器发送连接请求,连接请求用于请求与服务器建立安全通道。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括设备唤醒传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
RF电路910具体用于,通过设备唤醒传输通道接收机器互通功能网元发送的唤醒请求,唤醒请求包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括短消息服务传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
RF电路910具体用于,通过短消息服务传输通道接收短消息服务中心网元发送的移动终结短消息服务消息,移动终结短消息服务消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括数据传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
RF电路910具体用于,通过数据传输通道接收业务生成环境功能网元发送的无互联网协议IP包头数据投递消息,无IP包头数据投递消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,
RF电路910还用于,向服务器发送第一引导请求,第一引导请求包括终端的节点标识和传输通道参数;接收服务器根据第一引导请求发送的第一确认消息,第一确认消息中携带安全参数。
可选的,在本申请的一些实施例中,
RF电路910还用于,通过安全通道向服务器发送第三引导请求,第三引导请求包括终端的节点标识;通过安全通道接收服务器根据第三引导请求发送的设备管理信息。
可选的,在本申请的一些实施例中,
RF电路910还用于,根据设备管理信息向物联网IoT平台发送注册请求和业务数据。
可选的,在本申请的一些实施例中,
RF电路910具体用于,根据等待时间参数,在预置时间内接收转发装置发送的临时身份指示消息。
图10是本发明实施例提供的一种服务器的结构示意图,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)1022(例如,一个或一个以上处理器)和存储器1032,一个或一个以上存储应用程序1042或数据1044的存储介质1030(例如一个或一个以上海量存储设备)。其中,存储器1032和存储介质1030可以是短暂存储或持久存储。存储在存储介质1030的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1022可以设置为与存储介质1030通信,在服务器上执行存储介质1030中的一系列指令操作。
服务器还可以包括一个或一个以上电源1026,一个或一个以上有线或无线网络接口1050,一个或一个以上输入输出接口1058,和/或,一个或一个以上操作系统1041,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图10所示的服务器结构。
在本申请实施例中,一个或一个以上有线或无线网络接口1050用于,接收终端发送的第二引导请求,第二引导请求包括终端的节点标识和传输通道参数,传输通道参数用于指示终端支持的传输通道;
一个或一个以上中央处理器1022用于,根据节点标识和传输通道参数,确定转发装置;
一个或一个以上有线或无线网络接口1050还用于,向终端发送第二确认消息,第二确认消息中携带服务器选定的传输通道,服务器选定的传输通道用于告知终端在服务器选定的传输通道上接收服务器发送的消息;
一个或一个以上有线或无线网络接口1050还用于,向转发装置发送临时身份指示消息,临时身份指示消息包括临时身份标识和临时密钥,临时身份标识和临时密钥用于终端发起连接请求;接收终端发送的连接请求;
一个或一个以上中央处理器1022还用于,根据连接请求与终端建立安全通道。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括设备唤醒传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
一个或一个以上有线或无线网络接口1050具体用于,通过设备唤醒传输通道向机器互通功能网元发送唤醒请求,唤醒请求包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括短消息服务传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
一个或一个以上有线或无线网络接口1050具体用于,通过短消息服务传输通道向短消息服务中心网元发送移动终结短消息服务消息,移动终结短消息服务消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,服务器选定的传输通道包括数据传输通道,临时身份标识包括预共享密钥标识,临时密钥包括预共享密钥;
一个或一个以上有线或无线网络接口1050具体用于,通过数据传输通道向业务生成环境功能网元发送无互联网协议IP包头数据投递消息,无IP包头数据投递消息包括预共享密钥标识和预共享密钥。
可选的,在本申请的一些实施例中,
一个或一个以上有线或无线网络接口1050还用于,根据终端的节点标识和传输通道参数向终端发送第一确认消息,第一确认消息中携带安全参数,安全参数用于终端防止拒绝服务攻击。
一个或一个以上有线或无线网络接口1050还用于,接收终端发送的第三引导请求,第三引导请求包括终端的节点标识;根据终端的节点标识向终端发送设备管理信息。
可选的,在本申请的一些实施例中,第二确认消息还携带等待时间参数,等待时间参数用于指示终端在预置时间内不能休眠。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (34)
1.一种设备引导的方法,其特征在于,包括:
终端向服务器发送第二引导请求,所述第二引导请求包括所述终端的节点标识和传输通道参数,所述传输通道参数用于指示所述终端支持的传输通道;
所述终端接收所述服务器根据所述第二引导请求发送的第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道由所述服务器根据所述传输通道参数确定;
所述终端接收转发装置发送的临时身份指示消息,所述临时身份指示消息包括临时身份标识和临时密钥,所述转发装置为所述服务器选定的传输通道中用于向所述终端发送消息的网元;
所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求,所述连接请求用于请求与所述服务器建立安全通道。
2.根据权利要求1所述的方法,其特征在于,所述服务器选定的传输通道包括设备唤醒传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述终端接收转发装置发送的临时身份指示消息,包括:
所述终端通过所述设备唤醒传输通道接收机器互通功能网元发送的唤醒请求,所述唤醒请求包括所述预共享密钥标识和所述预共享密钥。
3.根据权利要求1所述的方法,其特征在于,所述服务器选定的传输通道包括短消息服务传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述终端接收转发装置发送的临时身份指示消息,包括:
所述终端通过所述短消息服务传输通道接收短消息服务中心网元发送的移动终结短消息服务消息,所述移动终结短消息服务消息包括所述预共享密钥标识和所述预共享密钥。
4.根据权利要求1所述的方法,其特征在于,所述服务器选定的传输通道包括数据传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述终端接收转发装置发送的临时身份指示消息,包括:
所述终端通过所述数据传输通道接收业务生成环境功能网元发送的无互联网协议IP包头数据投递消息,所述无IP包头数据投递消息包括所述预共享密钥标识和所述预共享密钥。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述第二引导请求中还包括安全参数,所述安全参数由所述终端通过第一引导请求获得;所述终端向服务器发送第二引导请求之前,所述方法还包括:
所述终端向所述服务器发送所述第一引导请求,所述第一引导请求包括所述终端的节点标识和传输通道参数;
所述终端接收所述服务器根据所述第一引导请求发送的第一确认消息,所述第一确认消息中携带所述安全参数。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述终端根据所述临时身份标识和临时密钥向所述服务器发送连接请求,所述连接请求用于请求与所述服务器建立安全通道之后,所述方法还包括:
所述终端通过所述安全通道向所述服务器发送第三引导请求,所述第三引导请求包括所述终端的节点标识;
所述终端通过所述安全通道接收所述服务器根据所述第三引导请求发送的设备管理信息。
7.根据权利要求6所述的方法,其特征在于,所述终端通过所述安全通道接收所述服务器根据所述第三引导请求发送的设备管理信息之后,所述方法还包括:
所述终端根据所述设备管理信息向物联网IoT平台发送注册请求和业务数据。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述第二确认消息还携带等待时间参数,所述终端接收转发装置发送的临时身份指示消息,包括:
所述终端根据所述等待时间参数,在预置时间内接收所述转发装置发送的所述临时身份指示消息。
9.一种设备引导的方法,其特征在于,包括:
服务器接收终端发送的第二引导请求,所述第二引导请求包括所述终端的节点标识和传输通道参数,所述传输通道参数用于指示所述终端支持的传输通道;
所述服务器根据所述节点标识和传输通道参数,确定转发装置,并向所述终端发送第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道用于告知所述终端在所述服务器选定的传输通道上接收所述服务器发送的消息;
所述服务器向所述转发装置发送临时身份指示消息,所述临时身份指示消息包括临时身份标识和临时密钥,所述临时身份标识和所述临时密钥用于所述终端发起连接请求;
所述服务器接收所述终端发送的连接请求;
所述服务器根据所述连接请求与所述终端建立安全通道。
10.根据权利要求9所述的方法,其特征在于,所述服务器选定的传输通道包括设备唤醒传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述服务器向转发装置发送临时身份指示消息,包括:
所述服务器通过所述设备唤醒传输通道向机器互通功能网元发送唤醒请求,所述唤醒请求包括所述预共享密钥标识和所述预共享密钥。
11.根据权利要求9所述的方法,其特征在于,所述服务器选定的传输通道包括短消息服务传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述服务器向转发装置发送临时身份指示消息,包括:
所述服务器通过所述短消息服务传输通道向短消息服务中心网元发送移动终结短消息服务消息,所述移动终结短消息服务消息包括所述预共享密钥标识和所述预共享密钥。
12.根据权利要求9所述的方法,其特征在于,所述服务器选定的传输通道包括数据传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述服务器向转发装置发送临时身份指示消息,包括:
所述服务器通过所述数据传输通道向业务生成环境功能网元发送无互联网协议IP包头数据投递消息,所述无IP包头数据投递消息包括所述预共享密钥标识和所述预共享密钥。
13.根据权利要求9-12任一项所述的方法,其特征在于,所述第二引导请求中还包括安全参数,所述安全参数由所述终端通过第一引导请求获得;服务器接收终端发送的第二引导请求之前,所述方法还包括:
所述服务器接收所述终端发送的第一引导请求,所述第一引导请求包括所述终端的节点标识和传输通道参数;
所述服务器根据所述终端的节点标识和所述传输通道参数向所述终端发送第一确认消息,所述第一确认消息中携带安全参数,所述安全参数用于所述终端防止拒绝服务攻击。
14.根据权利要求9-13任一项所述的方法,其特征在于,所述服务器根据所述连接请求与所述终端建立安全通道之后,所述方法还包括:
所述服务器接收所述终端发送的第三引导请求,所述第三引导请求包括所述终端的节点标识;
所述服务器根据所述终端的节点标识向所述终端发送设备管理信息。
15.根据权利要求9-14任一项所述的方法,其特征在于,所述第二确认消息还携带等待时间参数,所述等待时间参数用于指示所述终端在预置时间内不能休眠。
16.一种终端,其特征在于,包括:
发送模块,用于向服务器发送第二引导请求,所述第二引导请求包括所述终端的节点标识和传输通道参数,所述传输通道参数用于指示所述终端支持的传输通道;
接收模块,用于接收所述服务器根据所述第二引导请求发送的第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道由所述服务器根据所述传输通道参数确定;
所述接收模块,还用于接收转发装置发送的临时身份指示消息,所述临时身份指示消息包括临时身份标识和临时密钥,所述转发装置为所述服务器选定的传输通道中用于向所述终端发送消息的网元;
所述发送模块,还用于根据所述临时身份标识和临时密钥向所述服务器发送连接请求,所述连接请求用于请求与所述服务器建立安全通道。
17.根据权利要求16所述的终端,其特征在于,所述服务器选定的传输通道包括设备唤醒传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述接收模块,具体用于通过所述设备唤醒传输通道接收机器互通功能网元发送的唤醒请求,所述唤醒请求包括所述预共享密钥标识和所述预共享密钥。
18.根据权利要求16所述的终端,其特征在于,所述服务器选定的传输通道包括短消息服务传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述接收模块,具体用于通过所述短消息服务传输通道接收短消息服务中心网元发送的移动终结短消息服务消息,所述移动终结短消息服务消息包括所述预共享密钥标识和所述预共享密钥。
19.根据权利要求16所述的终端,其特征在于,所述服务器选定的传输通道包括数据传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述接收模块,具体用于通过所述数据传输通道接收业务生成环境功能网元发送的无互联网协议IP包头数据投递消息,所述无IP包头数据投递消息包括所述预共享密钥标识和所述预共享密钥。
20.根据权利要求16-19任一项所述的终端,
所述发送模块,还用于向所述服务器发送所述第一引导请求,所述第一引导请求包括所述终端的节点标识和传输通道参数;
所述接收模块,还用于接收所述服务器根据所述第一引导请求发送的第一确认消息,所述第一确认消息中携带所述安全参数。
21.根据权利要求16-20任一项所述的终端,其特征在于,
所述发送模块,还用于通过所述安全通道向所述服务器发送第三引导请求,所述第三引导请求包括所述终端的节点标识;
所述接收模块,还用于接收所述服务器根据所述第三引导请求发送的设备管理信息。
22.根据权利要求21所述的终端,其特征在于,
所述发送模块,还用于根据所述设备管理信息向物联网IoT平台发送注册请求和业务数据。
23.根据权利要求16-22任一项所述的终端,其特征在于,所述第二确认消息还携带等待时间参数,
所述接收模块,具体用于所述终端根据所述等待时间参数,在预置时间内接收所述转发装置发送的所述临时身份指示消息。
24.一种服务器,其特征在于,包括:
接收模块,用于接收终端发送的第二引导请求,所述第二引导请求包括所述终端的节点标识和传输通道参数,所述传输通道参数用于指示所述终端支持的传输通道;
确定模块,用于根据所述节点标识和传输通道参数,确定转发装置;
发送模块,用于向所述终端发送第二确认消息,所述第二确认消息中携带所述服务器选定的传输通道,所述服务器选定的传输通道用于告知所述终端在所述服务器选定的传输通道上接收所述服务器发送的消息;
所述发送模块,还用于向所述转发装置发送临时身份指示消息,所述临时身份指示消息包括临时身份标识和临时密钥,所述临时身份标识和所述临时密钥用于所述终端发起连接请求;
所述接收模块,还用于接收所述终端发送的连接请求;
建立模块,用于根据所述连接请求与所述终端建立安全通道。
25.根据权利要求24所述的服务器,其特征在于,所述服务器选定的传输通道包括设备唤醒传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述发送模块,具体用于通过所述设备唤醒传输通道向机器互通功能网元发送唤醒请求,所述唤醒请求包括所述预共享密钥标识和所述预共享密钥。
26.根据权利要求24所述的服务器,其特征在于,所述服务器选定的传输通道包括短消息服务传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述发送模块,具体用于通过所述短消息服务传输通道向短消息服务中心网元发送移动终结短消息服务消息,所述移动终结短消息服务消息包括所述预共享密钥标识和所述预共享密钥。
27.根据权利要求24所述的服务器,其特征在于,所述服务器选定的传输通道包括数据传输通道,所述临时身份标识包括预共享密钥标识,所述临时密钥包括预共享密钥;
所述发送模块,具体用于通过所述数据传输通道向业务生成环境功能网元发送无互联网协议IP包头数据投递消息,所述无IP包头数据投递消息包括所述预共享密钥标识和所述预共享密钥。
28.根据权利要求24-27任一项所述的服务器,其特征在于,
所述接收模块,用于接收所述终端发送的第一引导请求,所述第一引导请求包括所述终端的节点标识和传输通道参数;
所述发送模块,用于根据所述终端的节点标识和所述传输通道参数向所述终端发送第一确认消息,所述第一确认消息中携带安全参数,所述安全参数用于所述终端防止拒绝服务攻击。
29.根据权利要求24-28任一项所述的服务器,其特征在于,
所述接收模块,用于接收所述终端发送的第三引导请求,所述第三引导请求包括所述终端的节点标识;
所述发送模块,用于根据所述终端的节点标识向所述终端发送设备管理信息。
30.根据权利要求24-29任一项所述的服务器,其特征在于,所述第二确认消息还携带等待时间参数,所述等待时间参数用于指示所述终端在预置时间内不能休眠。
31.一种终端,其特征在于,包括:
一个或多个处理器;
存储器;
多个应用程序;
以及一个或多个计算机程序,其中,所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述终端执行时,使得所述终端执行如权利要求1-8任一项所述的方法。
32.一种服务器,其特征在于,包括:
一个或多个处理器;
存储器;
多个应用程序;
以及一个或多个计算机程序,其中,所述一个或多个计算机程序被存储在所述存储器中,所述一个或多个计算机程序包括指令,当所述指令被所述服务器执行时,使得所述服务器执行如权利要求9-15任一项所述的方法。
33.一种计算机可读存储介质,包括指令,当其在终端上运行时,使得终端执行如权利要求1-8任意一项所述的方法。
34.一种计算机可读存储介质,包括指令,当其在服务器上运行时,使得服务器执行如权利要求9-15任意一项所述的方法。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711477985.7A CN109995701B (zh) | 2017-12-29 | 2017-12-29 | 一种设备引导的方法、终端以及服务器 |
| PCT/CN2018/123457 WO2019128982A1 (zh) | 2017-12-29 | 2018-12-25 | 一种设备引导的方法、终端以及服务器 |
| KR1020207020698A KR102391408B1 (ko) | 2017-12-29 | 2018-12-25 | 장치 부트스트랩 방법, 단말, 및 서버 |
| EP18897839.9A EP3723336A4 (en) | 2017-12-29 | 2018-12-25 | DEVICE, TERMINAL AND SERVER BOOT PROCESS |
| JP2020536089A JP7018140B6 (ja) | 2017-12-29 | 2018-12-25 | デバイスブートラップ方法、端末、およびサーバ |
| US16/913,180 US11218451B2 (en) | 2017-12-29 | 2020-06-26 | Device bootstrap method, terminal, and server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711477985.7A CN109995701B (zh) | 2017-12-29 | 2017-12-29 | 一种设备引导的方法、终端以及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109995701A true CN109995701A (zh) | 2019-07-09 |
| CN109995701B CN109995701B (zh) | 2020-12-01 |
Family
ID=67063136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711477985.7A Active CN109995701B (zh) | 2017-12-29 | 2017-12-29 | 一种设备引导的方法、终端以及服务器 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11218451B2 (zh) |
| EP (1) | EP3723336A4 (zh) |
| JP (1) | JP7018140B6 (zh) |
| KR (1) | KR102391408B1 (zh) |
| CN (1) | CN109995701B (zh) |
| WO (1) | WO2019128982A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111769940A (zh) * | 2020-07-09 | 2020-10-13 | 天翼物联科技有限公司 | 一种密钥在线分发方法、系统及介质 |
| CN111780765A (zh) * | 2020-07-06 | 2020-10-16 | 黄爱玲 | 基于暂时通信通道的室内导航方法和计算机设备 |
| CN113067826A (zh) * | 2020-07-16 | 2021-07-02 | 陈杰 | 一种基于大数据分析的报告发送系统 |
| CN115116281A (zh) * | 2022-06-25 | 2022-09-27 | 南昌职业大学 | 一种封闭空间内的语音系统操作方法及语音系统 |
| EP4086109A4 (en) * | 2020-02-06 | 2024-01-24 | Hyundai Motor Company | BOOTSTRAP METHOD FOR AN ELECTRIC VEHICLE CHARGING STATION |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11516263B2 (en) * | 2019-03-14 | 2022-11-29 | T-Mobile Usa, Inc. | Secure and transparent transport of application level protocols to non-IP data delivery communication channels |
| US11475134B2 (en) * | 2019-04-10 | 2022-10-18 | Arm Limited | Bootstrapping a device |
| EP4055849A4 (en) | 2019-11-04 | 2022-09-14 | Telefonaktiebolaget Lm Ericsson (Publ) | ORCHESTRATING DISTRIBUTED COMPUTING FOR INTERNET OF THINGS DEVICES USING COAP AND LWM2M PROTOCOLS |
| US11429395B2 (en) * | 2020-01-02 | 2022-08-30 | Jpmorgan Chase Bank, N.A. | Peripheral device support in thin client environments |
| WO2024103415A1 (en) * | 2022-11-18 | 2024-05-23 | Nokia Technologies Oy | Apparatus, method and computer program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060039564A1 (en) * | 2000-11-17 | 2006-02-23 | Bindu Rama Rao | Security for device management and firmware updates in an operator network |
| CN102045702A (zh) * | 2009-10-12 | 2011-05-04 | 华为技术有限公司 | 一种终端配置的方法及装置 |
| WO2015075852A1 (ja) * | 2013-11-22 | 2015-05-28 | 日本電気株式会社 | 通信システム、中継装置、通信方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
| CN104780536A (zh) * | 2015-04-03 | 2015-07-15 | 宇龙计算机通信科技(深圳)有限公司 | 一种物联网设备的认证方法及终端 |
| CN105379312A (zh) * | 2013-05-06 | 2016-03-02 | 康维达无线有限责任公司 | 装置触发 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6950660B1 (en) | 2002-05-10 | 2005-09-27 | Qualcomm, Incorporated | Provisioning a mobile device in a wireless communication system |
| US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
| US20080074423A1 (en) | 2006-09-25 | 2008-03-27 | Raytheon Company | Method and System for Displaying Graphical Objects on a Digital Map |
| KR20090076765A (ko) * | 2008-01-09 | 2009-07-13 | 삼성전자주식회사 | 방송 모바일 통합 서비스 시스템에서의 전자 서비스 가이드발견 방법 및 장치 |
| US20090180614A1 (en) * | 2008-01-10 | 2009-07-16 | General Instrument Corporation | Content protection of internet protocol (ip)-based television and video content delivered over an ip multimedia subsystem (ims)-based network |
| CN101990203B (zh) * | 2009-08-05 | 2013-06-12 | 中兴通讯股份有限公司 | 基于通用自引导架构的密钥协商方法、装置及系统 |
| US8726305B2 (en) * | 2010-04-02 | 2014-05-13 | Yahoo! Inc. | Methods and systems for application rendering and management on internet television enabled displays |
| US20120276872A1 (en) * | 2011-04-28 | 2012-11-01 | Nokia Corporation | Method and apparatus for over-the-air provisioning |
| KR101800659B1 (ko) | 2011-07-08 | 2017-11-23 | 삼성전자 주식회사 | 이동 통신 시스템에서 단말 설정 방법 |
| CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
| US9094790B2 (en) * | 2012-05-18 | 2015-07-28 | Telefonaktiebolaget L M Ericsson (Publ) | Automatic transfer of machine-to-machine device identifier to network-external service providers |
| EP2946539B1 (en) * | 2013-01-17 | 2020-09-02 | Intel IP Corporation | Dash-aware network application function (d-naf) |
| US10148736B1 (en) * | 2014-05-19 | 2018-12-04 | Amazon Technologies, Inc. | Executing parallel jobs with message passing on compute clusters |
| US10932128B2 (en) | 2014-09-19 | 2021-02-23 | Pcms Holdings, Inc. | Systems and methods for secure device provisioning |
| WO2016165737A1 (en) * | 2015-04-13 | 2016-10-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communications |
| JP6632713B2 (ja) * | 2015-08-17 | 2020-01-22 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 直接通信キーの確立のための方法および装置 |
| WO2017153858A1 (en) * | 2016-03-09 | 2017-09-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for using gba for services used by multiple functions on the same device |
| US10182338B2 (en) * | 2016-08-31 | 2019-01-15 | Apple Inc. | Techniques for provisioning bootstrap electronic subscriber identity modules (eSIMs) to mobile devices |
| US20180109418A1 (en) * | 2016-10-19 | 2018-04-19 | Qualcomm Incorporated | Device provisioning protocol (dpp) using assisted bootstrapping |
| US10455057B2 (en) * | 2016-11-29 | 2019-10-22 | Verizon Patent And Licensing Inc. | System and method for Lightweight-Machine-to-Machine device registration and assignment |
| US10243930B2 (en) * | 2017-01-11 | 2019-03-26 | Mastercard International Incorporated | Systems and methods for secure communication bootstrapping of a device |
| US10484379B2 (en) * | 2017-03-16 | 2019-11-19 | Motorola Solutions, Inc. | System and method for providing least privilege access in a microservices architecture |
| US10298581B2 (en) * | 2017-04-28 | 2019-05-21 | Cisco Technology, Inc. | Zero-touch IoT device provisioning |
| US10341361B2 (en) * | 2017-06-05 | 2019-07-02 | Hewlett Packard Enterprise Development Lp | Transmitting secure information |
| US10708267B2 (en) * | 2017-07-19 | 2020-07-07 | Mediatek Inc. | Method and associated processor for authentication |
| US20190036896A1 (en) * | 2017-07-27 | 2019-01-31 | Cisco Technology, Inc. | Generic Bootstrapping Architecture (GBA) Based Security Over Constrained Application Protocol (CoAP) for IoT Devices |
-
2017
- 2017-12-29 CN CN201711477985.7A patent/CN109995701B/zh active Active
-
2018
- 2018-12-25 WO PCT/CN2018/123457 patent/WO2019128982A1/zh unknown
- 2018-12-25 EP EP18897839.9A patent/EP3723336A4/en active Pending
- 2018-12-25 JP JP2020536089A patent/JP7018140B6/ja active Active
- 2018-12-25 KR KR1020207020698A patent/KR102391408B1/ko active IP Right Grant
-
2020
- 2020-06-26 US US16/913,180 patent/US11218451B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060039564A1 (en) * | 2000-11-17 | 2006-02-23 | Bindu Rama Rao | Security for device management and firmware updates in an operator network |
| CN102045702A (zh) * | 2009-10-12 | 2011-05-04 | 华为技术有限公司 | 一种终端配置的方法及装置 |
| CN105379312A (zh) * | 2013-05-06 | 2016-03-02 | 康维达无线有限责任公司 | 装置触发 |
| WO2015075852A1 (ja) * | 2013-11-22 | 2015-05-28 | 日本電気株式会社 | 通信システム、中継装置、通信方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
| CN104780536A (zh) * | 2015-04-03 | 2015-07-15 | 宇龙计算机通信科技(深圳)有限公司 | 一种物联网设备的认证方法及终端 |
Non-Patent Citations (1)
| Title |
|---|
| VANGELIS GAZIS: "A Survey of Standards for Machine-to-Machine and the Internet of Things", 《IEEE COMMUNICATIONS SURVEYS & TUTORIALS》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4086109A4 (en) * | 2020-02-06 | 2024-01-24 | Hyundai Motor Company | BOOTSTRAP METHOD FOR AN ELECTRIC VEHICLE CHARGING STATION |
| CN111780765A (zh) * | 2020-07-06 | 2020-10-16 | 黄爱玲 | 基于暂时通信通道的室内导航方法和计算机设备 |
| CN111780765B (zh) * | 2020-07-06 | 2022-01-14 | 北京京航安机场工程有限公司 | 基于暂时通信通道的室内导航方法和计算机设备 |
| CN111769940A (zh) * | 2020-07-09 | 2020-10-13 | 天翼物联科技有限公司 | 一种密钥在线分发方法、系统及介质 |
| CN111769940B (zh) * | 2020-07-09 | 2023-02-03 | 天翼物联科技有限公司 | 一种密钥在线分发方法、系统及介质 |
| CN113067826A (zh) * | 2020-07-16 | 2021-07-02 | 陈杰 | 一种基于大数据分析的报告发送系统 |
| CN115116281A (zh) * | 2022-06-25 | 2022-09-27 | 南昌职业大学 | 一种封闭空间内的语音系统操作方法及语音系统 |
| CN115116281B (zh) * | 2022-06-25 | 2023-11-24 | 南昌职业大学 | 一种封闭空间内的语音系统操作方法及语音系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019128982A1 (zh) | 2019-07-04 |
| EP3723336A1 (en) | 2020-10-14 |
| CN109995701B (zh) | 2020-12-01 |
| EP3723336A4 (en) | 2020-10-28 |
| US11218451B2 (en) | 2022-01-04 |
| JP7018140B2 (ja) | 2022-02-09 |
| US20200329013A1 (en) | 2020-10-15 |
| JP2021508979A (ja) | 2021-03-11 |
| JP7018140B6 (ja) | 2023-12-15 |
| KR102391408B1 (ko) | 2022-04-27 |
| KR20200100738A (ko) | 2020-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109995701A (zh) | 一种设备引导的方法、终端以及服务器 | |
| EP3618561B1 (en) | Session management methods and devices | |
| JP6548348B2 (ja) | メッセージ保護方法、ならびに関連デバイスおよびシステム | |
| US9844062B2 (en) | Apparatus and method for configuring relay channel of mobile device | |
| CN104580167B (zh) | 一种传输数据的方法、装置和系统 | |
| CN109429363A (zh) | 会话管理方法、及装置 | |
| CN104135728B (zh) | 网络连接方法及装置 | |
| CN105847168A (zh) | 一种数据传输的方法、网络服务器、用户终端及系统 | |
| CN104901806B (zh) | 一种虚拟资源处理方法、装置和系统 | |
| CN104581993A (zh) | 无线连接建立的方法、数据传输的方法以及终端 | |
| CN105704712A (zh) | 网络资源共享方法、移动终端及服务器 | |
| CN104702678B (zh) | 文件传输方法及装置 | |
| CN106161147B (zh) | 建立网络连接的方法及装置 | |
| CN108366388A (zh) | 天线切换方法、装置、存储介质和电子设备 | |
| KR102596801B1 (ko) | Pc5 링크 확립 방법, 장비 및 시스템 | |
| CN105426190A (zh) | 数据传递方法和装置 | |
| US9965341B2 (en) | Method and device for exchanging data between processes | |
| CN105025064A (zh) | 下载文件的方法、装置及系统 | |
| CN104378339B (zh) | 一种使用代理协议的通信方法和装置 | |
| CN107786423A (zh) | 一种即时通讯的方法和系统 | |
| CN104683219A (zh) | 信息交互方法及装置 | |
| CN103973546B (zh) | 进行通讯的方法、装置及系统 | |
| CN112118207B (zh) | 数据传输方法、服务器以及电子设备 | |
| CN105302825B (zh) | 开启网页的方法和装置 | |
| CN105792154A (zh) | 一种多媒体短信传输的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220209 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |