CN111182521B - 物联网终端机卡绑定、入网认证和业务认证方法及装置 - Google Patents
物联网终端机卡绑定、入网认证和业务认证方法及装置 Download PDFInfo
- Publication number
- CN111182521B CN111182521B CN201811339206.1A CN201811339206A CN111182521B CN 111182521 B CN111182521 B CN 111182521B CN 201811339206 A CN201811339206 A CN 201811339206A CN 111182521 B CN111182521 B CN 111182521B
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- card
- terminal
- imei
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种物联网终端机卡绑定、入网认证和业务认证方法及装置,用以解决现有技术中物联网设备认证过程复杂、成本较高的问题。物联网终端机卡绑定方法包括:接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;将所述IMEI和所述IMSI的对应关系存储于认证服务器中;向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种物联网终端机卡绑定、入网认证和业务认证方法及装置。
背景技术
现有的物联网设备进行机卡分离检测时,一般利用物联网设备通过物联网卡位置更新时获取IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)和对应的IMEI(International Mobile Equipment Identity,国际移动设备标识)信息,再将其与物联网管理平台预置的IMSI和IMEI信息进行比对,如果比对不通过则禁用其网络,其仅实现了在设备位置更新时进行机卡分离检测,未考虑设备厂商的机卡检测需求。在物联网设备认证方面,现有技术中预先在设备出厂时直接在物联网设备中预置公钥和私钥,由厂商预置密钥,缺乏通用性,且使用传统的基于CA(CertificateAuthority,证书授权)中心的密码体制,认证过程复杂,成本较高。
发明内容
为了解决现有技术中物联网设备认证过程复杂、成本较高的问题,本发明实施例提供了一种物联网终端机卡绑定、入网认证和业务认证方法及装置。
第一方面,本发明实施例提供了一种物联网终端机卡绑定方法,包括:
接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;
为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;
接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;
将所述IMEI和所述IMSI的对应关系存储于认证服务器中;
向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
本发明实施例提供的物联网终端机卡绑定方法,写卡平台接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的IMEI,为物联网卡分配IMSI,将分配的IMSI携带于密钥请求中,将所述密钥请求发送给密钥分发中心,以请求所述密钥分发中心颁发密钥,接收密钥分发中心发送的其根据所述IMSI利用预设算法计算生成的私钥,写卡平台将所述IMEI和所述IMSI的对应关系存储与认证服务器中,并向物联网终端发送所述IMSI和所述私钥,物联网终端将IMSI、IMEI和私钥写入物联网卡中进行机卡绑定。相比于现有技术,本发明在物联网卡写卡时将物联网终端设备的IMEI信息和物联网卡的IMSI信息进行了绑定作为物联网终端设备的唯一标识,并预置了密钥,后续通过物联网卡实现物联网终端设备的敏感业务的认证,保证了物联网终端设备的安全具有更好的通用性,该密钥是通过密钥分发中心基于物联网卡的IMSI生成的,即在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了后续安全认证流程。
第二方面,本发明实施例提供了一种物联网终端机卡绑定装置,包括:
第一接收单元,用于接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;
分配单元,用于为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;
第二接收单元,用于接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;
存储单元,用于将所述IMEI和所述IMSI的对应关系存储于认证服务器中;
绑定单元,用于向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
本发明提供的物联网终端机卡绑定装置的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果,此处不再赘述。
第三方面,本发明实施例提供了一种物联网终端入网认证方法,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,包括:
接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是在所述物联网终端的物联网卡中预先写入的;
将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;
当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;
根据所述鉴权五元组信息对所述物联网终端进行鉴权;
如果鉴权成功,则确定所述物联网终端入网成功;
如果鉴权失败,则确定所述物联网终端入网失败。
本发明实施例提供的物联网终端入网认证方法,MME(Mobile ManagementEntity,移动管理实体)接收物联网终端发送的入网认证请求,所述入网认证请求中国携带有所述物联网终端的IMEI和IMSI,其中,IMSI是在所述物联网终端中的物联网卡中预先写入的,物联网终端是在获取所述IMSI后,将其与所述物联网终端的IMEI携带在入网认证请求中发送给所述MME的,MME接收到所述入网认证请求后,将所述IMEI和IMSI携带于鉴权请求中发送给HSS(Home Subscriber Server,归属签约用户服务器),HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,进而,认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向HSS返回验证结果,当确定验证结果为匹配时,即机卡未分离,HSS向MME返回鉴权五元组信息,MME根据鉴权五元组信息对物联网终端进行鉴权,如果鉴权成功,则确定物联网终端入网成功,否则,确定物联网终端入网失败,从而实现了运营商角度的机卡分离检测以及基于物联网终端设备入网认证过程进行机卡分离检测。
可选地,所述方法,还包括:
当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
上述可选的方式表征,当IMEI和IMSI不匹配时,则确定物联网终端机卡分离,鉴权请求无效。
第四方面,本发明实施例提供了一种物联网终端入网认证装置,包括:
第一接收单元,用于接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是在所述物联网终端的物联网卡中预先写入的;
发送单元,用于将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;
第二接收单元,用于当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;
鉴权单元,用于根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败。
较佳地,所述装置,还包括:
确定单元,用于当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
本发明提供的物联网终端入网认证装置的技术效果可以参见上述第三方面或第三方面的各个实现方式的技术效果,此处不再赘述。
第五方面,本发明实施例提供了一种物联网卡侧实施的物联网终端业务认证方法,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,包括:
接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI;
验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致;
当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的;
将所述签名信息发送至物联网终端。
本发明实施例第五方面提供的物联网卡侧实施的物联网终端业务认证方法,物联网卡接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网中的IMEI,验证所述数据签名请求中携带的IMEI与物联网卡中预先写入的IMEI是否一致,当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的,物联网卡将生成的签名信息发送至物联网终端,根据上述流程,在进行物联网终端业务认证的过程中,使用物联网卡中预先写入的私钥对请求签名的业务数据和物联网终端的IMEI信息进行签名,生成签名信息,由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程。
较佳地,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
上述较佳的方式表征,可以通过在物联网卡上设置签名接口,物联网终端可以通过调用所述签名接口向物联网卡发送数据签名请求。
第六方面,本发明实施例提供了一种物联网卡侧实施的物联网终端业务认证装置,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,包括:
接收单元,用于接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI;
验证单元,用于验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致;
签名单元,用于当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的;
发送单元,用于将所述签名信息发送至物联网终端。
较佳地,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
本发明实施例第六方面提供的物联网卡侧实施的物联网终端业务认证装置的技术效果可以参见上述第五方面或第五方面的各个实现方式的技术效果,此处不再赘述。
第七方面,本发明实施例提供了一种应用服务器侧实施的物联网终端业务认证方法,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,包括:
接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的;
根据所述IMSI利用预设算法生成公钥;
根据所述公钥验证所述签名信息是否有效,获得验证结果;
将所述验证结果返回物联网终端。
本发明实施例第七方面提供的应用服务器侧实施的物联网终端业务认证方法,应用服务器接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网终端的物联网卡中预先存储的IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的,应用服务器根据所述IMSI利用预设算法生成公钥,根据所述公钥验证所述签名信息是否有效,获得验证结果,并将所述验证结果返回物联网终端,由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程,并且使得物联网终端可以直接利用物联网卡开放的功能实现物联网终端与应用服务器之间的业务认证,以物联网卡的IMSI和IMEI作为设备应用的身份唯一性标志。
可选地,所述方法,还包括:
如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
第八方面,本发明实施例提供了一种应用服务器侧实施的物联网终端业务认证装置,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,包括:
接收单元,用于接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的;
生成单元,用于根据所述IMSI利用预设算法生成公钥;
验证单元,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元,用于将所述验证结果返回物联网终端。
较佳地,所述装置,还包括:
保存单元,用于如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
本发明实施例第八方面提供的应用服务器侧实施的物联网终端业务认证装置的技术效果可以参见上述第五方面或第五方面的各个实现方式的技术效果,此处不再赘述。
第九方面,本发明实施例提供了另一种物联网卡侧实施的物联网终端业务认证方法,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,包括:
接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的;
将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息;
将所述签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证。
本发明实施例第九方面提供的物联网卡侧实施的物联网终端业务认证方法,物联网卡接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的,进而,物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,将所述签名信息和所述物联网卡中预先写入的IMSI通过数据短信接口发送至所述认证服务器,经所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证,由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程。
可选地,在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,还包括:
向所述物联网终端发送确认请求;
接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
上述可选的方式表征,在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,还可以请求物联网终端进行二次确认,确认所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI是否一致,当一致时,再进行签名,无论是否进行二次确认,整个物联网终端业务认证流程在网络流量传输过程中无需传输物联网终端的IMEI信息,以最大限度保护物联网终端设备的敏感信息。
第十方面,本发明实施例提供了另一种物联网卡侧实施的物联网终端业务认证装置,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,包括:
第一接收单元,用于接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的;
签名单元,用于将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息;
第一发送单元,用于将所述签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证。
较佳地,所述装置,还包括:
第二发送单元,用于在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,向所述物联网终端发送确认请求;
第二接收单元,用于接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定单元,用于确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
本发明实施例第十方面提供的物联网卡侧实施的物联网终端业务认证装置的技术效果可以参见上述第九方面或第九方面的各个实现方式的技术效果,此处不再赘述。
第十一方面,本发明实施例提供了另一种应用服务器侧实施的物联网终端业务认证方法,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,包括:
接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据;
将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡;
接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的;
根据所述IMSI利用预设算法生成公钥;
根据所述公钥验证所述签名信息是否有效,获得验证结果;
将所述验证结果返回物联网终端。
本发明实施例第十一方面提供的应用服务器侧实施的物联网终端业务认证方法,应用服务器接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据,将所述请求签名的业务数据发送给认证服务器,认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡,应用服务器接收认证服务器发送的签名信息和所述物联网卡中预先写入的IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名生成的,应用服务器根据所述IMSI利用预设算法生成公钥,根据所述公钥验证所述签名信息是否有效,获得验证结果,并将验证结果返回至物联网终端,上述流程可以在物联网卡上不开放签名接口的情况下,通过认证服务器实现物联网终端与应用服务器之间的业务认证,且由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程。
第十二方面,本发明实施例提供了另一种应用服务器侧实施的物联网终端业务认证装置,所述物联网终端为利用本发明第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端,包括:
第一接收单元,用于接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据;
发送单元,用于将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡;
第二接收单元,用于接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的;
生成单元,用于根据所述IMSI利用预设算法生成公钥;
验证单元,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元,用于将所述验证结果返回物联网终端。
本发明实施例第十二方面提供的应用服务器侧实施的物联网终端业务认证装置的技术效果可以参见上述第十一方面或第十一方面的各个实现方式的技术效果,此处不再赘述。
第十三方面,本发明实施例提供了一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明所述的物联网终端机卡绑定方法、物联网终端入网认证方法或物联网终端业务认证方法。
第十四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明所述的物联网终端机卡绑定方法、物联网终端入网认证方法或物联网终端业务认证方法中的步骤。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的物联网终端机卡绑定方法、物联网终端入网认证方法和物联网终端业务认证方法的应用场景示意图;
图2为本发明实施例提供的物联网终端机卡绑定方法的实施流程示意图;
图3为本发明实施例提供的写卡平台侧实施的物联网终端机卡绑定方法的实施流程示意图;
图4为本发明实施例提供的写卡平台侧实施的物联网终端机卡绑定装置的结构示意图;
图5为本发明实施例提供的物联网终端入网认证方法的实施流程示意图;
图6为本发明实施例提供的MME侧实施的物联网终端入网认证方法的实施流程示意图;
图7为本发明实施例提供的MME侧实施的物联网终端入网认证装置的结构示意图;
图8为本发明实施例提供的一种物联网终端业务认证方法的实施流程示意图;
图9为本发明实施例提供的一种物联网卡侧实施的物联网终端业务认证方法的实施流程示意图;
图10为本发明实施例提供的一种物联网卡侧实施的物联网终端业务认证装置的结构示意图;
图11为本发明实施例提供的一种应用服务器侧实施的物联网终端业务认证方法的实施流程示意图;
图12为本发明实施例提供的一种应用服务器侧实施的物联网终端业务认证装置的结构示意图;
图13为本发明实施例提供的另一种物联网终端业务认证方法的实施流程示意图;
图14为本发明实施例提供的另一种物联网卡侧实施的物联网终端业务认证方法的实施流程示意图;
图15为本发明实施例提供的另一种物联网侧实施的物联网终端业务认证装置的结构示意图;
图16为本发明实施例提供的另一种应用服务器侧实施的物联网终端业务认证方法的实施流程示意图;
图17为本发明实施例提供的另一种应用服务器侧实施的物联网终端业务认证装置的结构示意图;
图18为本发明实施例提供的通信设备的结构示意图。
具体实施方式
为了解决现有技术中物联网设备认证过程复杂、成本较高的问题,本发明提出了一种物联网终端机卡绑定、入网认证和业务认证方法及装置。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
首先参考图1,其为本发明实施例提供的物联网终端机卡绑定方法、物联网终端入网认证方法和物联网终端业务认证方法的应用场景示意图。密钥分发中心11、写卡平台12和物联网终端13之间进行交互完成物联网卡写卡及物联网终端机卡绑定过程,进而,通过基站14进行物联网终端13入网认证,并在入网认证过程中完成机卡分离检测,物联网终端13入网成功后,再进行物联网终端业务认证,可以分为两种方式:直接认证方式和认证代理模式,其中,直接认证方式适用于物联网卡上开发了签名接口的情况,可以由物联网终端13直接利用物联网卡开放的功能实现物联网终端13和应用服务器15之间的业务认证;认证代理模式适用于不开放签名接口情况下通过认证服务器16实现物联网终端13和应用服务器15直接的业务认证。
需要说明的是,本发明实施例中的物联网终端尤其适用于窄带物联网终端设备。
下面结合图1的应用场景,参考图2-17来描述根据本发明示例性实施方式的物联网终端机卡绑定方法及装置、物联网终端入网认证方法及装置、和物联网终端业务认证方法及装置。需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。
如图2所示,其为本发明实施例提供的物联网终端机卡绑定方法的实施流程示意图,可以包括以下步骤:
S21、物联网终端向写卡平台发送写卡请求,所述写卡请求中携带有所述物联网终端的IMEI。
S22、写卡平台为物联网卡分配IMSI。
具体实施时,写卡平台为与所述物联网终端待绑定的物联网卡分配IMSI。
S23、写卡平台向密钥分发中心发送密钥请求,所述密钥请求中携带有所述分配的IMSI。
S24、密钥分发中心根据所述IMSI利用预设算法计算生成私钥。
具体实施时,预设算法可以为基于身份密码体制的算法,具体地,密钥分发中心将IMSI作为入参,利用基于身份密码体制计算生成私钥。
S25、密钥分发中心向写卡平台返回所述私钥。
S26、写卡平台将所述IMEI和所述IMSI同步到认证服务器。
S27、认证服务器存储所述IMEI和所述IMSI的对应关系。
本步骤中,认证服务器接收到写卡平台发送的所述IMEI和所述IMSI后,存储所述IMEI和所述IMSI的对应关系。
S28、认证服务器向写卡平台返回存储成功响应。
本步骤中,认证服务器存储完毕所述IMEI和所述IMSI的对应关系后,向写卡平台返回存储成功响应。
S29、写卡平台向物联网终端发送所述IMSI与所述私钥。
S210、物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
本发明实施例提供的物联网终端机卡绑定方法中,在物联网卡写卡时将物联网终端设备的IMEI信息和物联网卡的IMSI信息进行了绑定作为物联网终端设备的唯一标识,并预置了密钥,所述密钥采用基于身份的密码体制,无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了后续安全认证流程。
基于同一发明构思,本发明实施例还提供了一种写卡平台侧实施的物联网终端机卡绑定方法,由于上述写卡平台侧实施的物联网终端机卡绑定方法解决问题的原理与上述物联网终端机卡绑定方法相似,因此可以参见上述物联网终端机卡绑定方法的实施,重复之处不再赘述。
如图3所示,其为本发明实施例提供的写卡平台侧实施的物联网终端机卡绑定方法的实施流程示意图,可以包括以下步骤:
S31、写卡平台接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI。
S32、为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心。
S33、接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥。
S34、将所述IMEI和所述IMSI的对应关系存储于认证服务器中。
S35、向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
基于同一发明构思,本发明实施例还提供了一种写卡平台侧实施的物联网终端机卡绑定装置,由于上述写卡平台侧实施的物联网终端机卡绑定装置解决问题的原理与上述物联网终端机卡绑定方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,其为本发明实施例提供的写卡平台侧实施的物联网终端机卡绑定装置的结构示意图,可以包括:
第一接收单元41,用于接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;
分配单元42,用于为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;
第二接收单元43,用于接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;
存储单元44,用于将所述IMEI和所述IMSI的对应关系存储于认证服务器中;
绑定单元45,用于向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。
如图5所示,其为本发明实施例提供的物联网终端入网认证方法的实施流程示意图,其中,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,可以包括以下步骤:
S51、物联网终端向MME发送入网认证请求,所述入网认证请求中携带有所述物联网终端的IMEI和IMSI,所述IMSI是在所述物联网终端的物联网卡中预先写入的。
具体实施时,物联网终端获取其上的物联网卡中预先写入的IMSI,将物联网终端的IME和所述IMSI携带在入网认证请求中发送给MME,进行入网认证。本发明实施例中,MME还可以为SGSN(Serving GPRS Support Node,服务GPRS支持节点)或者MSCS(Microsoft群集服务),本发明对此不作限定。
S52、MME向HSS发送鉴权请求,所述鉴权请求中携带有所述IMEI和IMSI。
具体实施时,MME将所述IMEI和IMSI携带于鉴权请求中发送给HSS,请求鉴权。本发明实施例中,HSS也可以为HLR(Home Location Register,归属位置寄存器),本发明对此不作限定。
S53、HSS向认证服务器发送机卡分离检测请求,所述机卡分离检测请求中携带有所述IMEI和IMSI。
具体实施时,HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,进行机卡分离检测。
S54、认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配。
S55、认证服务器向HSS返回验证结果。如果验证结果为匹配,则继续执行步骤S56,否则,执行步骤S59-S510。
S56、HSS向MME返回鉴权五元组信息。
具体实施时,当验证结果为匹配时,HSS向MME返回鉴权五元组信息,鉴权五元组具体包括:RAND(Random Challenge,随机数)、XRES(Expected Response,期望响应)、CK(Cipher Ke,加密密钥)、IK(Integrity Key,完整性密钥)和AUTN(Authentication Token,鉴权标记)。
S57、MME根据所述鉴权五元组信息对所述物联网终端进行鉴权。
S58、MME向物联网终端返回鉴权结果。
本步骤中,如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败。
S59、HSS向MME返回鉴权请求失败响应,确定所述物联网终端机卡分离。
本步骤中,当验证结果为不匹配时,HSS向MME返回鉴权请求失败响应,确定所述物联网终端机卡分离,入网认证请求无效。
S510、MME向物联网终端返回入网认证请求无效响应。
本发明实施例提供的物联网终端入网认证方法,实现了运营商角度的机卡分离检测以及基于物联网终端设备入网认证过程进行机卡分离检测。
基于同一发明构思,本发明实施例还提供了一种MME侧实施的物联网终端入网认证方法,由于上述MME侧实施的物联网终端入网认证方法解决问题的原理与上述物联网终端入网认证方法相似,因此可以参见上述物联网终端入网认证方法的实施,重复之处不再赘述。
如图6所示,其为本发明实施例提供的MME侧实施的物联网终端入网认证方法的实施流程示意图,可以包括以下步骤:
S61、MME接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是在所述物联网终端的物联网卡中预先写入的。
S62、将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果。
S63、当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息。
S64、根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败。
较佳地,所述方法,还包括:
当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
基于同一发明构思,本发明实施例还提供了一种MME侧实施的物联网终端入网认证装置,由于上述MME侧实施的物联网终端入网认证装置解决问题的原理与上述物联网终端入网认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图7所示,其为本发明实施例提供的MME侧实施的物联网终端入网认证装置的结构示意图,可以包括:
第一接收单元71,用于接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是在所述物联网终端的物联网卡中预先写入的;
发送单元72,用于将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;
第二接收单元73,用于当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;
鉴权单元74,用于根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败。
较佳地,所述装置,还包括:
确定单元75,用于当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
如图8所示,其为本发明实施例提供的一种物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,可以包括以下步骤:
S81、物联网终端向物联网卡发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的IMEI。
具体实施时,物联网终端通过调用物联网卡的签名接口向物联网卡发送数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的IMEI。
S82、物联网卡验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致,如果一致,则执行步骤S83。
S83、当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,物联网卡将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息。
本步骤中,所述私钥为所述私钥即为物联网终端和物联网卡进行机卡绑定时,密钥分发中心根据写卡平台为所述物联网卡分配的IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的,参见步骤S21~S210,此处不再赘述。
S84、物联网卡将所述签名信息发送至物联网终端。
S85、物联网终端向应用服务器发送认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网卡中预先存储的IMSI、所述请求签名的业务数据以及签名信息。
具体实施时,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的,即步骤S83中生成的签名信息。
需要说明的是,物联网终端仅需要在第一次认证时向应用服务器发送IMEI信息,第一次认证通过后不再发送IMEI信息,以保护物联网终端设备信息。
S86、应用服务器根据所述IMSI利用预设算法生成公钥。
本步骤中,预设算法与本发明实施例提供的物联网终端机卡绑定方法中的预设算法相同,即应用服务器将IMSI作为入参,利用基于身份密码体制计算生成公钥。
S87、应用服务器根据所述公钥验证所述签名信息是否有效,获得验证结果。如果所述签名信息有效,则执行步骤S88。
S88、应用服务器保存所述IMSI和所述IMEI的对应关系。
本步骤中,如果验证通过,应用服务器则保存所述IMSI和所述IMEI的对应关系,以使以后认证时物联网设备无需再发送IMEI信息,应用服务器在存储的所述IMSI和所述IMEI的对应关系中,即可查找到IMSI对应的IMEI。
S89、应用服务器向物联网终端返回验证结果。
本发明实施例提供的一种物联网终端业务认证方法,在进行物联网终端业务认证的过程中,使用物联网卡中预先写入的私钥对请求签名的业务数据和物联网终端的IMEI信息进行签名,生成签名信息,应用服务器接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网终端的物联网卡中预先存储的IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的,应用服务器根据所述IMSI利用预设算法生成公钥,根据所述公钥验证所述签名信息是否有效,获得验证结果,并将所述验证结果返回物联网终端,由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程,并且使得物联网终端可以直接利用物联网卡开放的功能实现物联网终端与应用服务器之间的业务认证,以物联网卡的IMSI和IMEI作为设备应用的身份唯一性标志。
基于同一发明构思,本发明实施例还提供了一种物联网卡侧实施的物联网终端业务认证方法,由于上述物联网卡侧实施的物联网终端业务认证方法解决问题的原理与上述物联网终端业务认证方法相似,因此可以参见上述物联网终端业务认证方法的实施,重复之处不再赘述。
如图9所示,其为本发明实施例提供的一种物联网卡侧实施的物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,可以包括以下步骤:
S91、物联网卡接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的IMEI。
较佳地,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
S92、验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致。
S93、当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息。
其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的。
S94、将所述签名信息发送至物联网终端。
基于同一发明构思,本发明实施例还提供了一种物联网卡侧实施的物联网终端业务认证装置,由于上述物联网卡侧实施的物联网终端业务认证装置解决问题的原理与上述物联网终端业务认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图10所示,其为本发明实施例提供的物联网卡侧实施的物联网终端业务认证装置的结构示意图,可以包括:
接收单元101,用于接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI;
验证单元102,用于验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致;
签名单元103,用于当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的;
发送单元104,用于将所述签名信息发送至物联网终端。
较佳地,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
基于同一发明构思,本发明实施例还提供了一种应用服务器侧实施的物联网终端业务认证方法,由于上述应用服务器侧实施的物联网终端业务认证方法解决问题的原理与上述物联网终端业务认证方法相似,因此可以参见上述物联网终端业务认证方法的实施,重复之处不再赘述。
如图11所示,其为本发明实施例提供的一种应用服务器侧实施的物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,可以包括以下步骤:
S111、应用服务器接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网终端的物联网卡中预先存储的IMSI、请求签名的业务数据以及签名信息。
所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的。
S112、根据所述IMSI利用预设算法生成公钥。
S113、根据所述公钥验证所述签名信息是否有效,获得验证结果。
S114、将所述验证结果返回物联网终端。
较佳地,所述方法,还包括:
如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
基于同一发明构思,本发明实施例还提供了一种应用服务器侧实施的物联网终端业务认证装置,由于上述应用服务器侧实施的物联网终端业务认证装置解决问题的原理与上述物联网终端业务认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图12所示,其为本发明实施例提供的应用服务器侧实施的物联网终端业务认证装置的结构示意图,可以包括:
接收单元121,用于接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的;
生成单元122,用于根据所述IMSI利用预设算法生成公钥;
验证单元123,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元124,用于将所述验证结果返回物联网终端。
较佳地,所述装置,还包括:
保存单元125,用于如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
如图13所示,其为本发明实施例提供的另一种物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,可以包括以下步骤:
S131、物联网终端向应用服务器发送认证请求,所述认证请求中带有请求签名的业务数据。
S132、应用服务器将所述请求签名的业务数据发送给认证服务器。
S133、认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡。
具体实施时,认证服务器通过数据短信接口将请求签名的业务数据以二进制数据短信的方式发送给物联网卡,物联网卡为利用本发明实施例提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,此处不再赘述。
S134、物联网卡向物联网终端发送确认请求。
S135、物联网终端向物联网卡发送确认消息,所述确认消息中携带有所述物联网终端的IMEI。
S136、物联网卡验证接收的所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI是否一致,如果一致,则执行步骤S137。
S137、物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息。
S138、物联网卡将所述签名信息和所述物联网卡中预先写入的IMSI通过数据短信接口发送至认证服务器。
具体实施时,物联网卡通过数据短信接口将所述签名信息和所述物联网卡中预先写入的IMSI以二进制数据短信的方式发送给认证服务器。
S139、认证服务器将所述签名信息和所述IMSI发送至应用服务器。
较佳地,本步骤中,认证服务器可以插入本地存储的所述IMSI对应的IMEI信息,将所述签名信息和所述IMSI和所述IMEI发送给应用服务器。
S1310、应用服务器根据所述IMSI利用预设算法生成公钥。
具体实施时,预设算法与本发明实施例提供的物联网终端机卡绑定方法中的预设算法相同,即应用服务器将IMSI作为入参,利用基于身份密码体制计算生成公钥。
S1311、应用服务器根据所述公钥验证所述签名信息是否有效,获得验证结果。
S1312、应用服务器将所述验证结果返回物联网终端。
本发明实施例中,在步骤S137物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,还可以请求物联网终端进行二次确认,确认所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI是否一致,当一致时,再进行签名,即执行步骤S134~S136,如果出于考虑物联网卡改造和物联网终端设备应用的兼容性对接,则可以去掉步骤S34~S136的二次确认过程。无论是否进行二次确认,整个物联网终端业务认证流程在网络流量传输过程中无需传输物联网终端的IMEI信息,以最大限度保护物联网终端设备的敏感信息。
本发明实施例提供的另一种物联网终端业务认证方法,可以在物联网卡上不开放签名接口的情况下,通过认证服务器实现物联网终端与应用服务器之间的业务认证,且由于在密钥分发过程中无需使用传统的基于CA中心的安全机制,直接可以利用物联网终端设备信息完成密钥的计算,无需第三方验证,节省了证书的传输、验证和使用费用,节省了存储、带宽、计算资源和时间成本,简化了物联网终端业务安全认证流程。
基于同一发明构思,本发明实施例还提供了另一种物联网卡侧实施的物联网终端业务认证方法,由于上述物联网卡侧实施的物联网终端业务认证方法解决问题的原理与上述物联网终端业务认证方法相似,因此可以参见上述物联网终端业务认证方法的实施,重复之处不再赘述。
如图14所示,其为本发明实施例提供的另一种物联网卡侧实施的物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,所述物联网卡为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的物联网卡,可以包括以下步骤:
S141、物联网卡接收认证服务器通过数据短信接口发送的请求签名的业务数据。
其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的。
S142、将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息。
S143、将所述签名信息和所述物联网卡中预先写入的IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证。
较佳地,在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,还包括:
向所述物联网终端发送确认请求;
接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
基于同一发明构思,本发明实施例还提供了另一种物联网卡侧实施的物联网终端业务认证装置,由于上述物联网卡侧实施的物联网终端业务认证装置解决问题的原理与上述物联网终端业务认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图15所示,其为本发明实施例提供的另一种物联网卡侧实施的物联网终端业务认证装置的结构示意图,可以包括:
第一接收单元151,用于接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的;
签名单元152,用于将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息;
第一发送单元153,用于将所述签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证。
可选地,所述装置,还包括:
第二发送单元,用于在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,向所述物联网终端发送确认请求;
第二接收单元,用于接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定单元,用于确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
基于同一发明构思,本发明实施例还提供了另一种应用服务器侧实施的物联网终端业务认证方法,由于上述应用服务器侧实施的物联网终端业务认证方法解决问题的原理与上述物联网终端业务认证方法相似,因此可以参见上述物联网终端业务认证方法的实施,重复之处不再赘述。
如图16所示,其为本发明实施例提供的另一种应用服务器侧实施的物联网终端业务认证方法的实施流程示意图,所述物联网终端为利用本发明提供的物联网终端机卡绑定方法进行了机卡绑定的终端,可以包括以下步骤:
S161、应用服务器接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据。
S162、将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡。
S163、接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的IMSI。
其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的。
S164、根据所述IMSI利用预设算法生成公钥。
S165、根据所述公钥验证所述签名信息是否有效,获得验证结果。
S166、将所述验证结果返回物联网终端。
基于同一发明构思,本发明实施例还提供了另一种应用服务器侧实施的物联网终端业务认证装置,由于上述应用服务器侧实施的物联网终端业务认证装置解决问题的原理与上述物联网终端业务认证方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图17所示,其为本发明实施例提供的另一种应用服务器侧实施的物联网终端业务认证装置的结构示意图,可以包括:
第一接收单元171,用于接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据;
发送单元172,用于将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡;
第二接收单元173,用于接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的;
生成单元174,用于根据所述IMSI利用预设算法生成公钥;
验证单元175,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元176,用于将所述验证结果返回物联网终端。
基于同一技术构思,本发明实施例还提供了一种通信设备200,参照图18所示,通信设备200用于实施上述方法实施例记载的物联网终端机卡绑定方法、物联网终端入网认证方法或者物联网终端业务认证方法,该实施例的通信设备200可以包括:存储器201、处理器202以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如物联网终端机卡绑定程序、物联网终端入网认证程序或者物联网终端业务认证程序。所述处理器执行所述计算机程序时实现上述各个物联网终端机卡绑定方法、物联网终端入网认证方法或者物联网终端业务认证方法实施例中的步骤,例如图3所示的步骤S31。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如41。
本发明实施例中不限定上述存储器201、处理器202之间的具体连接介质。本申请实施例在图18中以存储器201、处理器202之间通过总线203连接,总线203在图18中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线203可以分为地址总线、数据总线、控制总线等。为便于表示,图18中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器201可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器201也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器201是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器201可以是上述存储器的组合。
处理器202,可以用于实现如图3所示的一种物联网终端机卡绑定方法,包括:
所述处理器202,用于调用所述存储器201中存储的计算机程序执行如图3中所示的步骤S31~S32。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本发明提供的物联网终端机卡绑定方法、物联网终端入网认证方法或者物联网终端业务认证方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在通信设备上运行时,所述程序代码用于使所述通信设备执行本说明书上述描述的根据本发明各种示例性实施方式的物联网终端机卡绑定方法、物联网终端入网认证方法或者物联网终端业务认证方法中的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于物联网终端机卡绑定、物联网终端入网认证或者物联网终端业务认证方法的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (22)
1.一种物联网终端机卡绑定方法,其特征在于,包括:
接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;
为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;
接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;
将所述IMEI和所述IMSI的对应关系存储于认证服务器中;
向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定;以使所述物联网终端向移动管理实体MME发送入网认证请求,所述入网认证请求中携带有所述物联网终端的IMEI和在所述物联网卡中预先写入的所述IMSI,以使所述MME将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;当所述MME确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败;以及
以使所述物联网终端向所述物联网卡发送数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的IMEI;令所述物联网卡验证所述数据签名请求中携带的IMEI与物联网卡中预先写入的IMEI是否一致;当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的所述私钥进行签名,生成签名信息;将所述签名信息发送至物联网终端;以及
以使所述物联网终端向应用服务器发送认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网终端的物联网卡中预先存储的所述IMSI、请求签名的业务数据以及所述签名信息;令所述应用服务器根据所述IMSI利用预设算法生成公钥;根据所述公钥验证所述签名信息是否有效,获得验证结果;并将所述验证结果返回所述物联网终端。
2.一种物联网终端机卡绑定装置,其特征在于,包括:
第一接收单元,用于接收物联网终端发送的写卡请求,所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI;
分配单元,用于为物联网卡分配国际移动用户识别码IMSI,并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心;
第二接收单元,用于接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥;
存储单元,用于将所述IMEI和所述IMSI的对应关系存储于认证服务器中;
绑定单元,用于向所述物联网终端发送所述IMSI与所述私钥,令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定;以使所述物联网终端向移动管理实体MME发送入网认证请求,所述入网认证请求中携带有所述物联网终端的IMEI和在所述物联网卡中预先写入的所述IMSI,以使所述MME将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;当所述MME确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败;以及
以使所述物联网终端向所述物联网卡发送数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的IMEI;令所述物联网卡验证所述数据签名请求中携带的IMEI与物联网卡中预先写入的IMEI是否一致;当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的所述私钥进行签名,生成签名信息;将所述签名信息发送至物联网终端;以及
以使所述物联网终端向应用服务器发送认证请求,所述认证请求中携带有所述物联网终端的IMEI、所述物联网终端的物联网卡中预先存储的所述IMSI、请求签名的业务数据以及所述签名信息;令所述应用服务器根据所述IMSI利用预设算法生成公钥;根据所述公钥验证所述签名信息是否有效,获得验证结果;并将所述验证结果返回所述物联网终端。
3.一种物联网终端入网认证方法,其特征在于,包括:
接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网终端的物联网卡中预先写入的;
将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;
当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;
根据所述鉴权五元组信息对所述物联网终端进行鉴权;
如果鉴权成功,则确定所述物联网终端入网成功;
如果鉴权失败,则确定所述物联网终端入网失败。
4.如权利要求3所述的方法,其特征在于,还包括:
当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
5.一种物联网终端入网认证装置,其特征在于,包括:
第一接收单元,用于接收物联网终端发送的入网认证请求,所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI,所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网终端的物联网卡中预先写入的;
发送单元,用于将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS,令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器,以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配,并向所述HSS返回验证结果;
第二接收单元,用于当确定所述验证结果为匹配时,接收所述HSS返回的鉴权五元组信息;
鉴权单元,用于根据所述鉴权五元组信息对所述物联网终端进行鉴权;如果鉴权成功,则确定所述物联网终端入网成功;如果鉴权失败,则确定所述物联网终端入网失败。
6.如权利要求5所述的装置,其特征在于,还包括:
确定单元,用于当确定所述验证结果为不匹配时,则确定所述物联网终端机卡分离。
7.一种物联网终端业务认证方法,其特征在于,包括:
接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI;
验证所述数据签名请求中携带的IMEI与物联网卡中预先写入的IMEI是否一致;
当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的;其中,所述物联网卡中包含的IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
将所述签名信息发送至物联网终端,以使应用服务器根据所述IMSI利用所述预设算法生成公钥,根据所述公钥验证所述签名信息是否有效,获得验证结果,并将所述验证结果返回所述物联网终端。
8.如权利要求7所述的方法,其特征在于,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
9.一种物联网终端业务认证装置,其特征在于,包括:
接收单元,用于接收物联网终端发送的数据签名请求,所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI;
验证单元,用于验证所述数据签名请求中携带的IMEI与物联网卡中预先写入的IMEI是否一致;
签名单元,用于当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时,将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息,其中,所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的;其中,所述物联网卡中包含的IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
发送单元,用于将所述签名信息发送至物联网终端,以使应用服务器根据所述IMSI利用所述预设算法生成公钥,根据所述公钥验证所述签名信息是否有效,获得验证结果,并将所述验证结果返回所述物联网终端。
10.如权利要求9所述的装置,其特征在于,所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。
11.一种物联网终端业务认证方法,其特征在于,包括:
接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
根据所述IMSI利用预设算法生成公钥;
根据所述公钥验证所述签名信息是否有效,获得验证结果;
将所述验证结果返回物联网终端。
12.如权利要求11所述的方法,其特征在于,还包括:
如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
13.一种物联网终端业务认证装置,其特征在于,包括:
接收单元,用于接收物联网终端发送的认证请求,所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
生成单元,用于根据所述IMSI利用预设算法生成公钥;
验证单元,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元,用于将所述验证结果返回物联网终端。
14.如权利要求13所述的装置,其特征在于,还包括:
保存单元,用于如果所述签名信息有效,则保存所述IMSI和所述IMEI的对应关系。
15.一种物联网终端业务认证方法,其特征在于,包括:
接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的;
将所述请求签名的业务数据和物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息;
将所述签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的。
16.如权利要求15所述的方法,其特征在于,在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,还包括:
向所述物联网终端发送确认请求;
接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
17.一种物联网终端业务认证装置,其特征在于,包括:
第一接收单元,用于接收认证服务器通过数据短信接口发送的请求签名的业务数据,其中,所述请求签名的业务数据为由所述物联网终端携带在认证请求中发送给应用服务器,并由应用服务器发送给所述认证服务器的;
签名单元,用于将所述请求签名的业务数据和物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名,生成签名信息;
第一发送单元,用于将所述签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI通过数据短信接口发送至所述认证服务器,以使所述认证服务器将所述签名信息和所述IMSI发送至所述应用服务器,由所述应用服务器对所述签名信息进行验证;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的。
18.如权利要求17所述的装置,其特征在于,还包括:
第二发送单元,用于在将所述请求签名的业务数据和所述物联网卡中预先写入的IMEI利用所述物联网卡中预先写入的私钥进行签名之前,向所述物联网终端发送确认请求;
第二接收单元,用于接收所述物联网终端发送的确认消息,所述确认消息中携带有所述物联网终端的IMEI;
确定单元,用于确定所述物联网终端的IMEI与所述物联网卡中预先写入的IMEI一致。
19.一种物联网终端业务认证方法,其特征在于,包括:
接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据;
将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡;
接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
根据所述IMSI利用预设算法生成公钥;
根据所述公钥验证所述签名信息是否有效,获得验证结果;
将所述验证结果返回物联网终端。
20.一种物联网终端业务认证装置,其特征在于,包括:
第一接收单元,用于接收物联网终端发送的认证请求,所述认证请求中携带有请求签名的业务数据;
发送单元,用于将所述请求签名的业务数据发送给认证服务器,以使所述认证服务器通过数据短信接口将所述请求签名的业务数据发送给物联网卡;
第二接收单元,用于接收所述认证服务器发送的签名信息和所述物联网卡中预先写入的国际移动用户识别码IMSI,其中,所述签名信息为所述物联网卡将所述请求签名的业务数据和所述物联网卡中预先写入的国际移动设备标识IMEI利用所述物联网卡中预先写入的私钥进行签名生成的;其中,所述IMEI、所述私钥和所述IMSI是根据权利要求1所述的物联网终端机卡绑定方法在所述物联网卡中预先写入的;
生成单元,用于根据所述IMSI利用预设算法生成公钥;
验证单元,用于根据所述公钥验证所述签名信息是否有效,获得验证结果;
返回单元,用于将所述验证结果返回物联网终端。
21.一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1所述的物联网终端机卡绑定方法、或者权利要求3或4所述的物联网终端入网认证方法、或者权利要求7、8、11、12、15、16或19所述的物联网终端业务认证方法。
22.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1所述的物联网终端机卡绑定方法、或者权利要求3或4所述的物联网终端入网认证方法、或者权利要求7、8、11、12、15、16或19所述的物联网终端业务认证方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811339206.1A CN111182521B (zh) | 2018-11-12 | 2018-11-12 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811339206.1A CN111182521B (zh) | 2018-11-12 | 2018-11-12 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111182521A CN111182521A (zh) | 2020-05-19 |
| CN111182521B true CN111182521B (zh) | 2022-07-01 |
Family
ID=70653582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811339206.1A Active CN111182521B (zh) | 2018-11-12 | 2018-11-12 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111182521B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491994B (zh) * | 2020-11-17 | 2022-04-22 | 中国联合网络通信集团有限公司 | 车联网终端的识别方法及通信装置 |
| CN112492572B (zh) * | 2020-12-10 | 2023-02-21 | 中盈优创资讯科技有限公司 | 一种物联网终端历史库的构建方法及装置 |
| CN112994973B (zh) * | 2021-02-04 | 2022-08-19 | 展讯通信(天津)有限公司 | 物联网设备的自动化批量测试方法及装置、计算机可读存储介质 |
| CN112560073A (zh) * | 2021-02-19 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 验证数据来源可靠性的方法、装置及系统 |
| CN112714433B (zh) * | 2021-03-23 | 2021-06-18 | 中国信息通信研究院 | 机卡绑定方法、计算机存储介质及电子设备 |
| CN113810898B (zh) * | 2021-08-11 | 2024-03-12 | 天翼物联科技有限公司 | 集成有sim卡芯片的写号系统、方法及装置 |
| CN113904847B (zh) * | 2021-10-09 | 2022-07-15 | 天翼物联科技有限公司 | 物联网卡的云平台绑定方法、系统、设备及介质 |
| CN114339689B (zh) * | 2021-12-30 | 2023-12-22 | 天翼物联科技有限公司 | 一种物联网机卡绑定池管控方法、装置及相关介质 |
| CN117376916A (zh) * | 2022-06-30 | 2024-01-09 | 华为技术有限公司 | 一种信息写入方法及装置 |
| CN116566625B (zh) * | 2023-07-11 | 2023-09-19 | 飞天诚信科技股份有限公司 | 一种设备归属信息生成方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010035224A2 (en) * | 2008-09-23 | 2010-04-01 | Virtual Payment Solutions (Pty) Ltd | A transaction method and system |
| CN102083212A (zh) * | 2010-04-30 | 2011-06-01 | 大唐移动通信设备有限公司 | 一种标识终端的方法、系统和装置 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN104093139A (zh) * | 2014-07-15 | 2014-10-08 | 中国联合网络通信集团有限公司 | 空中写卡方法、服务器和智能卡 |
| CN104144490A (zh) * | 2013-05-07 | 2014-11-12 | 华为终端有限公司 | 用户卡的开户方法、终端、网络服务器和系统 |
| CN104244227A (zh) * | 2013-06-09 | 2014-12-24 | 中国移动通信集团公司 | 一种物联网系统中终端接入认证的方法及装置 |
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050020308A1 (en) * | 2003-07-23 | 2005-01-27 | David Lai | Dynamically binding Subscriber Identity Modules (SIMs)/User Identity Modules (UIMs) with portable communication devices |
-
2018
- 2018-11-12 CN CN201811339206.1A patent/CN111182521B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010035224A2 (en) * | 2008-09-23 | 2010-04-01 | Virtual Payment Solutions (Pty) Ltd | A transaction method and system |
| CN102083212A (zh) * | 2010-04-30 | 2011-06-01 | 大唐移动通信设备有限公司 | 一种标识终端的方法、系统和装置 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN104144490A (zh) * | 2013-05-07 | 2014-11-12 | 华为终端有限公司 | 用户卡的开户方法、终端、网络服务器和系统 |
| CN104244227A (zh) * | 2013-06-09 | 2014-12-24 | 中国移动通信集团公司 | 一种物联网系统中终端接入认证的方法及装置 |
| CN104093139A (zh) * | 2014-07-15 | 2014-10-08 | 中国联合网络通信集团有限公司 | 空中写卡方法、服务器和智能卡 |
| CN108012268A (zh) * | 2017-12-08 | 2018-05-08 | 北京虎符信息技术有限公司 | 一种手机终端SIM卡及安全使用App的方法、介质 |
Non-Patent Citations (1)
| Title |
|---|
| 物联网终端机卡安全绑定实现方案研究;王磊等;《广东通信技术》;20180815(第08期);第1-4页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111182521A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111182521B (zh) | 物联网终端机卡绑定、入网认证和业务认证方法及装置 | |
| US11777926B2 (en) | Internet of things (IoT) device management | |
| CN107948201B (zh) | Docker镜像仓库的权限认证方法和系统 | |
| EP3800909B1 (en) | Remote management method, and device | |
| US9294468B1 (en) | Application-level certificates for identity and authorization | |
| CN108848496B (zh) | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| CN110247884B (zh) | 一种更新证书的方法、装置、系统及计算机可读存储介质 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN105099673A (zh) | 一种授权方法、请求授权的方法及装置 | |
| CN105101194A (zh) | 终端安全认证方法、装置及系统 | |
| CN111376865A (zh) | 车辆数字钥匙激活方法、系统及存储介质 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN107396362B (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
| CN112514323B (zh) | 用于处理数字密钥的电子设备及其操作方法 | |
| CN113766496B (zh) | 智能设备的跨平台绑定方法、系统及相关设备 | |
| CN112118229B (zh) | 物联网设备和服务器安全认证方法、装置及电子设备 | |
| CN106576239B (zh) | 一种安全单元中内容管理的方法及装置 | |
| CN104702566A (zh) | 一种虚拟设备的授权使用方法及装置 | |
| CN106454826B (zh) | 一种ap接入ac的方法和装置 | |
| CN105430649A (zh) | Wifi接入方法及设备 | |
| CN105814834A (zh) | 用于公共云应用的基于推送的信任模型 | |
| JP2022543891A (ja) | ソフトウェアパッケージ伝送方法、ソフトウェアパッケージ伝送検証方法、ネットワーク機器及び記憶媒体 | |
| CN111262819B (zh) | 一种voip sdk接入控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |