CN114584970A - 通信认证方法、签约验证方法以及通信方法 - Google Patents
通信认证方法、签约验证方法以及通信方法 Download PDFInfo
- Publication number
- CN114584970A CN114584970A CN202210135607.5A CN202210135607A CN114584970A CN 114584970 A CN114584970 A CN 114584970A CN 202210135607 A CN202210135607 A CN 202210135607A CN 114584970 A CN114584970 A CN 114584970A
- Authority
- CN
- China
- Prior art keywords
- authentication
- communication
- data
- instruction
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 548
- 238000004891 communication Methods 0.000 title claims abstract description 545
- 238000012795 verification Methods 0.000 title claims abstract description 285
- 238000000034 method Methods 0.000 title claims abstract description 104
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 57
- 230000004044 response Effects 0.000 claims description 129
- 238000012545 processing Methods 0.000 claims description 89
- 230000007175 bidirectional communication Effects 0.000 claims description 31
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000013524 data verification Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000013502 data validation Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 19
- 101100194362 Schizosaccharomyces pombe (strain 972 / ATCC 24843) res1 gene Proteins 0.000 description 6
- 101100194363 Schizosaccharomyces pombe (strain 972 / ATCC 24843) res2 gene Proteins 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000009795 derivation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信认证方法、签约验证方法以及通信方法,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,所述认证方法包括:验证是否完成签约认证操作;在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;获取与所述第一认证请求指令对应的认证反馈指令;基于所述认证反馈指令生成对应的通信认证结果。通过采用基于密钥信息衍生的信息用于身份合法性标识的双向身份认证,从而有效提高了在通信认证过程中的认证可靠性和认证有效性,提高了网络通信安全性。
Description
技术领域
本发明涉及网络通信技术领域,具体地涉及一种通信认证方法、一种通信网络的签约验证方法、一种基于双向认证的通信方法、一种通信认证装置、一种通信网络的签约验证装置、一种基于双向认证的通信装置、一种计算机可读存储介质、一种通信认证系统、一种基于双向认证的通信系统以及一种通信系统。
背景技术
目前国内的移动通信系统,主要是基于可插拔式的SIM(Subscriber IdentityModule)卡进行通信的,而随着科技的不断发展,智能穿戴设备等移动智能终端不断出现,因此对智能卡提出了更高的要求,例如要求智能卡有更长的使用寿命和更高的可靠性;要求智能卡的物理连接触点更加可靠和更耐磨损;某些应用场景要求智能卡能够远程配置、远程激活,并通过空中接口灵活更换用户身份等。
在现有技术中,技术人员提出基于eSIM(Embedded-SIM,嵌入式SIM)卡的移动通信系统,在该系统中,远程管理平台可以根据用户的实际需求对eSIM卡进行远程管理,例如对用户签约数据(Profile)进行安全生成、存储和下载,5G通信模组在每次开机启动过程中都需要读取eSIM卡上的数据并向网络进行注册。
然而在实际应用过程中,在获取eSIM卡上的数据的过程中的非授权访问操作会导致敏感数据的窃听/篡改/破坏风险,并进一步导致经济上的损失。而目前主要是基于设备ID与码号ICCID的认证机制进行5G安全认证,但是由于设备ID与码号ICCID存储、传输等没有安全保证,所以安全性较弱。
发明内容
为了克服现有技术中存在的上述技术问题,本发明实施例提供一种通信认证方法以及基于双向认证的通信方法,通过采用基于密钥信息衍生的信息用于身份合法性标识的双向身份认证,从而有效提高了在通信认证过程中的认证可靠性和认证有效性,提高了网络通信安全性。
为了实现上述目的,本发明实施例提供一种通信认证方法,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,所述认证方法包括:验证是否完成签约认证操作;在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;获取与所述第一认证请求指令对应的认证反馈指令;基于所述认证反馈指令生成对应的通信认证结果。
优选地,所述验证是否完成签约认证操作,包括:向所述eSIM卡发送签约信息请求指令;获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;基于所述预设签约数据生成对应的验证指令;将所述验证指令发送至所述通信网络;获取与所述验证指令对应的验证反馈指令;在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
优选地,所述预设签约数据包括所述通信网络的第一公钥信息,所述基于所述预设签约数据生成对应的验证指令,包括:获取所述通信模组的第二公钥信息和第二私钥信息;基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
优选地,所述向所述eSIM卡发送第一认证请求指令,包括:获取第一随机数、设备ID和所述eSIM卡的关键数据;基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;基于所述第一认证请求数据生成所述第一认证请求指令;基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
优选地,所述预设指令发送规则表征为:执行第一计时操作;判断所述第一计时操作对应的第一计时是否满足第一超时条件;若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;执行第二计时操作;判断所述第二计时操作对应的第二计时是否满足第二超时条件;若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
优选地,所述基于所述认证反馈指令生成对应的通信认证结果,包括:在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
优选地,所述第二认证反馈指令包括第一认证响应数据和第二认证响应数据,所述基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;判断所述第一认证响应数据和所述期望响应数据是否一致;在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
优选地,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;获取与所述第二认证请求指令对应的第三认证反馈指令;在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;在所述第三认证反馈指令为认证失败的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
优选地,所述认证方法还包括:在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
另一方面,本发明实施例还提供一种通信认证方法,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,所述认证方法包括:确定eSIM卡的状态;响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
优选地,所述eSIM卡包括预设签约数据,所述确定eSIM卡的状态,包括:判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
优选地,所述基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果,包括:在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
优选地,所述执行对应的预认证操作,包括:若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
优选地,所述基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果,包括:在所述请求指令为所述第一认证请求指令的情况下:从所述第一认证请求指令中提取第一认证请求数据;基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;向所述通信模组发送所述第二认证反馈指令;在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
优选地,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;获取第二随机数和所述eSIM卡的关键数据;基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
优选地,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;从所述第二认证请求指令中提取第二认证请求数据;判断所述第二认证请求数据和所述第三认证响应数据是否一致;若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
优选地,所述认证方法还包括:在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
另一方面,本发明实施例还提供一种通信网络的签约验证方法,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,所述签约验证方法包括:响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
优选地,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,所述基于所述验证指令执行签约验证操作,生成对应的验证结果,包括:获取通信网络的第一私钥信息;基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;获取预存储串号;判断所述设备串号与所述预存储串号是否一致;若是,则生成验证通过的验证结果;否则,生成验证不通过的验证结果。
另一方面,本发明实施例还提供一种基于双向认证的通信方法,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据发送端包括预设认证秘密信息,所述通信方法包括:基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;获取待发送数据;基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
优选地,所述基于所述预设认证秘密信息生成通信秘钥,包括:获取预设字符串;基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
另一方面,本发明实施例还提供一种基于双向认证的通信方法,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据接收端包括预设认证秘密信息,所述通信方法包括:基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
优选地,所述对所述第二加密数据进行通信验证,包括:基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;判断所述期望加密数据与所述第二加密数据是否一致;若是,生成验证通过的验证结果;否则,生成验证不通过的验证结果。
优选地,所述基于所述第一加密数据生成对应的明文数据,包括:基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
相应的,本发明实施例还提供一种通信认证装置,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,所述认证装置包括:验证单元,用于验证是否完成签约认证操作;认证请求单元,用于在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;反馈获取单元,用于获取与所述第一认证请求指令对应的认证反馈指令;通信认证单元,用于基于所述认证反馈指令生成对应的通信认证结果。
优选地,所述验证单元包括:请求指令发送模块,用于向所述eSIM卡发送签约信息请求指令;请求反馈获取模块,用于获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;验证指令生成模块,用于基于所述预设签约数据生成对应的验证指令;指令发送模块,用于将所述验证指令发送至所述通信网络;验证反馈获取模块,用于获取与所述验证指令对应的验证反馈指令;验证确定模块,用于在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
优选地,所述预设签约数据包括所述通信网络的第一公钥信息,所述验证指令生成模块具体用于:获取所述通信模组的第二公钥信息和第二私钥信息;基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
优选地,所述认证请求单元包括:数据获取模块,用于获取第一随机数、设备ID和所述eSIM卡的关键数据;第一数据生成模块,用于基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;第一指令生成模块,用于基于所述第一认证请求数据生成所述第一认证请求指令;认证请求模块,用于基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
优选地,所述预设指令发送规则表征为:执行第一计时操作;判断所述第一计时操作对应的第一计时是否满足第一超时条件;若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;执行第二计时操作;判断所述第二计时操作对应的第二计时是否满足第二超时条件;若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
优选地,所述通信认证单元包括:第一认证模块,用于在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;第二认证模块,用于在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
优选地,所述第二认证反馈指令包括第一认证响应数据和第二认证响应数据,所述第二认证模块具体用于:基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;判断所述第一认证响应数据和所述期望响应数据是否一致;在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
优选地,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;获取与所述第二认证请求指令对应的第三认证反馈指令;在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;在所述第三认证反馈指令为认证失败的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
优选地,所述认证装置还包括断电监控单元,所述断电监控单元用于:在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
另一方面,本发明实施例还提供一种通信认证装置,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,所述认证装置包括:状态确定单元,用于确定eSIM卡的状态;判断单元,用于响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;通信认证单元,用于在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
优选地,所述eSIM卡包括预设签约数据,所述状态确定单元包括:判断模块,用于判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;第一状态确定模块,用于在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;第二状态确定模块,用于在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
优选地,所述通信认证单元包括:预认证模块,用于在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;通信认证模块,用于在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
优选地,所述预认证模块具体用于:若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
优选地,所述通信认证模块具体用于:在所述请求指令为所述第一认证请求指令的情况下:从所述第一认证请求指令中提取第一认证请求数据;基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;向所述通信模组发送所述第二认证反馈指令;在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
优选地,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;获取第二随机数和所述eSIM卡的关键数据;基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
优选地,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;从所述第二认证请求指令中提取第二认证请求数据;判断所述第二认证请求数据和所述第三认证响应数据是否一致;若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
优选地,所述认证装置还包括断电管理单元,所述断电管理单元用于:在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
另一方面,本发明实施例还提供一种通信网络的签约验证装置,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,所述签约验证装置包括:签约验证单元,用于响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;第一验证处理单元,用于在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;第二验证处理单元,用于基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
优选地,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,所述签约验证单元具体用于:获取通信网络的第一私钥信息;基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;获取预存储串号;判断所述设备串号与所述预存储串号是否一致;若是,则生成验证通过的验证结果;否则,生成验证不通过的验证结果。
另一方面,本发明实施例还提供一种基于双向认证的通信装置,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据发送端包括预设认证秘密信息,所述通信装置包括:密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;数据获取单元,用于获取待发送数据;第一加密单元,用于基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;第二加密单元,用于基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;通信单元,用于将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
优选地,所述密钥生成单元具体用于:获取预设字符串;基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
另一方面,本发明实施例还提供一种基于双向认证的通信装置,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据接收端包括预设认证秘密信息,所述通信装置包括:密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;数据验证单元,用于响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;第一通信单元,用于在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;第二通信单元,用于在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
优选地,所述数据验证单元具体用于:基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;判断所述期望加密数据与所述第二加密数据是否一致;若是,生成验证通过的验证结果;否则,生成验证不通过的验证结果。
优选地,所述第一通信单元具体用于:基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
另一方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例提供的方法。
另一方面,本发明实施例还提供一种通信认证系统,所述通信认证系统包括本发明第一实施例提供的认证装置、第二实施例提供的认证装置以及签约验证装置。
另一方面,本发明实施例还提供一种基于双向认证的通信系统,所述基于双向认证的通信系统包括本发明第一实施例提供的通信装置和第二实施例提供的通信装置。
另一方面,本发明实施例还提供一种通信系统,所述通信系统包括本发明实施例提供的通信认证系统和基于双向认证的通信系统。
通过本发明提供的技术方案,本发明至少具有如下技术效果:
通过采用基于密钥信息衍生的信息用于身份合法性标识的双向身份认证,同时在双向认证的不同认证流程中,所生成的RES均不同,从而有效提高了在通信认证过程中的认证可靠性和认证有效性,提高了网络通信安全性。
另一方面,通过对eSIM卡的断电情况进行监控,一旦eSIM卡发生断电,则立即触发重新的双向身份认证过程,从而有效避免了因恶意攻击导致的能耗提高问题,有效提高了eSIM卡与5G通信模组在通信过程中的安全性和稳定性。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1是本发明第一实施例提供的通信认证方法的具体实现流程图;
图2是本发明第一实施例提供的通信认证方法中验证签约认证操作的具体实现流程图;
图3是本发明第一实施例提供的通信认证方法中生成第一认证秘密信息RK5的示意图;
图4是本发明第一实施例提供的通信认证方法中发送第一认证请求指令的具体实现流程图;
图5是本发明第二实施例提供的通信认证方法的具体实现流程图;
图6是本发明实施例提供的通信网络的签约验证方法的具体实现流程图;
图7是本发明第一实施例提供的基于双向认证的通信方法的具体实现流程图;
图8是本发明第二实施例提供的基于双向认证的通信方法的具体实现流程图;
图9是本发明第一实施例提供的通信认证装置的结构示意图;
图10是本发明第二实施例提供的通信认证装置的结构示意图;
图11是本发明实施例提供的通信网络的签约验证装置;
图12是本发明第一实施例提供的基于双向认证的通信装置;
图13是本发明第二实施例提供的基于双向认证的通信装置。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。另外,需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
请参见图1,本发明实施例提供一种通信认证方法,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,所述认证方法包括:
S10)验证是否完成签约认证操作;
S20)在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;
S30)获取与所述第一认证请求指令对应的认证反馈指令;
S40)基于所述认证反馈指令生成对应的通信认证结果。
为了提高eSIM卡与通信模组之间的通信安全性,采用双向身份认证机制对通信过程进行通信认证。在本发明实施例中,该通信模组为5G通信模组,eSIM卡中每个ISD-P中都有三种状态,例如分别为认证数据准备状态、待认证状态和已认证状态,其中:
eSIM卡在处于认证数据准备状态时只会响应5G通信模组的信息访问请求,该信息访问请求允许5G通信模组读取在eSIM卡中保存的可公开的信息,例如该可公开的信息为预先存储在eSIM卡中的签约网络名称和签约网络公钥信息;eSIM卡在处于待认证状态时,只会响应5G通信模组的认证相关指令;eSIM卡在处于已认证状态时,允许5G通信模组访问eSIM卡的签约数据。因此,在实际的认证过程中,5G通信模组需要根据eSIM卡实际状态发送对应的认证指令。
在本发实施例中,eSIM卡在入网之前就预先获取并存储了部分签约数据,例如包括但不限于签约网络名称、签约网络公钥信息等,在一种可能的实施方式中,在默认状态下,5G通信模组中将该eSIM卡标记为未认证状态,因此在eSIM卡上电后,触发对eSIM卡的双向认证操作。但是在进行双向身份认证之前,5G通信模组首先需要确定eSIM卡的签约信息是否合法和准确,因此首先验证是否完成签约认证操作,例如请参见图2,在本发明实施例中,所述验证是否完成签约认证操作,包括:
S11)向所述eSIM卡发送签约信息请求指令;
S12)获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;
S13)基于所述预设签约数据生成对应的验证指令;
S14)将所述验证指令发送至所述通信网络;
S15)获取与所述验证指令对应的验证反馈指令;
S16)在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
例如首先向eSIM卡发送签约信息请求指令,通过该签约信息请求指令可以获取在eSIM卡中存储的预设签约信息,该预设签约信息为上述可公开的部分签约数据。eSIM卡在与5G通信模组进行双向认证的过程中,需要根据自己实际所处的状态进行对应的指令反馈,例如在本发明实施例中,eSIM卡当前处于认证数据准备状态,因此获取到该签约信息请求指令后,确定该签约信息请求指令与当前的状态相匹配,则根据该预设签约信息生成对应的请求反馈指令,并反馈给5G通信模组。
此时5G通信模组根据该预设签约数据生成对应的验证指令,例如在本发明实施例中,所述预设签约数据包括所述通信网络的第一公钥信息,所述基于所述预设签约数据生成对应的验证指令,包括:获取所述通信模组的第二公钥信息和第二私钥信息;基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
在一种实施例中,在获取到上述预设签约数据后,5G通信模组首先获取预先存储的第二公钥信息和第二私钥信息,然后可以基于预设加密规则对第一公钥信息和第二私钥信息进行处理,具体的,可以使用第一公钥信息和第二私钥信息执行3GPP TS 33.501附录C中的ECIES机制,以生成对应的第一秘钥信息,例如该第一秘钥信息标记为Eph.sharedkey,此时进一步根据该第一秘钥信息对预设字符串进行处理,例如该预设字符串表征为S(FC||P0||L0||P1||L1),其中:
-FC=0xF0
-P0=服务网络名称
-L0=P0 length–P0的字节数
-P1=IMEI
-L1=P1 length–P1的字节数
例如可以根据该第一秘钥信息基于秘钥导出函数(Key Derivation Function,KDF)对上述预设字符串S进行处理,以获得对应的第一认证秘密信息RK5,请参见图3,为本发明实施例提供的生成第一认证秘密信息RK5的示意图。此时进一步,获取设备串号,例如该设备串号为5G通信模组所应用的移动终端的设备串号IMEI,然后基于该Eph.shared key对IMEI进行加密处理并获得对应的加密后IMEI,此时根据5G通信模组的公钥信息、上述加密后IMEI以及路由寻址等信息生成对应的验证指令,并将该验证指令发送至通信网络,例如该通信网络为与eSIM卡的预设签约信息对应的签约通信网络。
签约通信网络在接收到该验证指令后立即进行响应,并根据该验证指令执行签约验证操作,例如在一种实施例中,签约通信网络首先获取自身的第一私钥信息,然后根据该第一私钥信息和验证指令中的第二公钥信息生成第二秘钥信息,具体的,使用5G通信模组的公钥信息和签约通信网络的私钥信息执行3GPP TS 33.501附录C中的ECIES机制,生成该第二秘钥信息,在合法通信的情况下,该第一秘钥信息和第二秘钥信息相同,因此在本发明实施例中,将该第二秘钥信息也可以标记为Eph.shared key。
此时签约通信网络使用第二秘钥信息对接收到的验证指令中的加密后IMEI进行解密后,获得对应的解密后IMEI,此时签约通信网络判断该解密后IMEI是否与本地存储的IMEI一致,若一致,则确定上述eSIM卡和5G通信模组为合法签约对象,因此生成验证通过的验证结果,否则,生成验证不通过的验证结果。若验证成功,则签约通信网络使用第二秘钥信息对该字符串S进行处理后生成对应的第二认证秘密信息,例如在本发明实施例中,该第一认证秘密信息和第二认证秘密信息相同,因此也可以标记为RK5,并将该第二认证秘密信息通过签约通信网络与eSIM卡的安全通道发送给eSIM卡。此时签约通信网络根据上述验证结果生成对应的验证反馈指令,并将该验证反馈指令发送至5G通信模组。
5G通信模组在接收到验证成功的验证反馈指令,则确定完成了初步的签约认证操作,因此可以开始执行与eSIM卡之间的双向认证操作,例如5G通信模组可以首先向eSIM卡发送认证请求指令。
在本发明实施例中,通过采用基于Eph.shared key衍生的认证秘密信息RK5来进行eSIM卡和5G通信模组的双向身份认证,能够在进行身份识别的基础上,有效验证双方的合法签约关系,保证了eSIM卡和5G通信模组之间的通信合法性,提高了通信安全性。
请参见图4,在本发明实施例中,所述向所述eSIM卡发送第一认证请求指令,包括:
S21)获取第一随机数、设备ID和所述eSIM卡的关键数据;
S22)基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;
S23)基于所述第一认证请求数据生成所述第一认证请求指令;
S24)基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
进一步地,在本发明实施例中,所述预设指令发送规则表征为:执行第一计时操作;判断所述第一计时操作对应的第一计时是否满足第一超时条件;若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;执行第二计时操作;判断所述第二计时操作对应的第二计时是否满足第二超时条件;若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
在一种可能的实施方式中,5G通信模组默认将eSIM卡标记为未认证状态,因此在接收到签约通信网络发送的验证成功指令后,首先启动第一定时器并执行第一定时操作,当然,也可以在生成下述数据后开始进行第一定时操作,在此不做过多赘述。然后生成第一随机数RAND1,以及获取设备ID和eSIM卡关键数据,并将上述第一随机数RAND1、设备ID以及关键数据作为输入,调用预设加密算法,例如该预设加密算法为国家商用密码算法,在本发明实施例中,优选地,采用SM3算法进行加密,根据该SM3算法对上述数据进行处理,并生成对应的第一认证请求数据EHASH,此时根据该第一认证请求数据EHASH生成第一认证请求指令。此时5G通信模组监控该第一定时器是否满足预设超时条件,若是,例如该第一计时器触发超时中断,则5G通信模组将该第一认证请求指令发送至eSIM卡,并立即启动第二计时器并执行第二计时操作。
eSIM卡在接收到高第一认证请求指令后,首先确定自己当前的状态是否处于认证数据准备状态,若不是,则可以确定5G通信模组所发送的指令与当前状态不匹配,则不进行对应的响应;若是,则发送对应的反馈指令给5G通信模组,例如在一种实施例中,eSIM卡中并未获取到上述第二认证秘密信息,因此向5G通信模组反馈用于表征eSIM卡中没有认证数据的第一认证反馈指令。5G通信模组在发送上述第一认证请求指令后,判断该第二计时操作对应的第二计时是否满足第二超时条件,若第二计时满足该第二超时条件,例如为触发第二计时器的计时中断,则可以确定在该第二计时器超时前都没有收到eSIM卡的反馈指令,则再次发送该第一认证请求指令;若在该第二计时器超时前收到eSIM卡的反馈指令,则停止第二计时器的第二计时操作。
在本发明实施例中,所述基于所述认证反馈指令生成对应的通信认证结果,包括:在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
在一种可能的实施方式中,5G通信模组在第二计时器超时前获取到eSIM卡的第一认证反馈指令,因此确定eSIM卡中并没有对应的认证秘密信息,因此根据上述预设指令发送规则再次向eSIM卡发送该第一认证请求指令,直到eSIM卡中接收到上述第二认证秘密信息。例如在某一时刻,eSIM卡接收到签约通信网络发送的第二认证秘密信息,因此确定自己处于待认证状态,此时在再次接收到5G通信模组发送的第一认证请求指令后,可以首先从该第一认证请求指令中提取对应的第一认证请求数据EHASH,然后将上述第二认证秘密信息和第一认证请求数据EHASH输入预设国家商用秘密算法(优选地,采用SM3算法)中进行处理,以生成对应的第二认证反馈指令。
具体的,首先将上述第二认证秘密信息和第一认证请求数据EHASH输入SM3算法中生成第一认证响应数据RES1,然后获取第二随机数RAND2,并将第二随机数RAND2、码号ICCID以及eSIM卡中的关键数据输入上述国家商用密码算法(优选地,采用SM3算法)进行处理,以生成对应的第二认证响应数据SHASH,此时进一步根据上述第一认证响应数据RES1和第二认证响应数据SHASH生成对应的第二认证反馈指令并发送至5G通信模组。5G通信模组在收到上述第二认证反馈指令后,确定该指令是针对第一认证请求指令的第二认证反馈指令,则立即进行后续的双向通信认证操作。
在本发明实施例中,所述第二认证反馈指令包括第一认证响应数据RES1和第二认证响应数据SHASH,所述基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;判断所述第一认证响应数据和所述期望响应数据是否一致;在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
在一种可能的实施方式中,5G通信模组接收到上述第二认证反馈指令后,首先将第一认证秘密信息和第一认证请求数据EHASH输入国家商用密码算法(优选地,采用SM3算法)生成期望响应数据XRES1,然后从该第二认证反馈指令中提取第一认证响应数据RES1,并判断第一响应反馈数据RES1与期望响应数据XRES1是否一致,若不一致,则认为eSIM卡不是合法签约的,因此生成认证失败的通信认证结果,并反馈给eSIM卡,5G通信模组不会再发起后续的入网流程,并对该eSIM卡执行断电操作;若RES1与XRES1一致,则认为eSIM卡是合法签约的,此时根据该第一认证秘密信息和第二认证响应数据SHASH执行后续的双向通信认证。
在本发明实施例中,通过在基于Eph.shared key衍生的RK5实现双向身份认证的基础上,在每次身份认证的过程中所生成的RES均不同,从而大大提高了认证过程的安全性,满足了实际需求。
在本发明实施例中,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;获取与所述第二认证请求指令对应的第三认证反馈指令;在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
例如首先将第一认证秘密信息和第二认证响应数据SHASH输入国家商用密码算法(优选地,采用SM3算法)中进行处理,并生成对应的第二认证请求数据RES2,然后基于该第二认证请求数据RES2生成第二认证请求指令并发送至eSIM卡。eSIM卡在接收到该第二认证请求指令后,从第二认证请求指令中提取对应的第二认证请求数据RES2,然后将第二认证秘密信息和第二认证响应数据SHASH输入国家商用密码算法(优选地,采用SM3算法)中进行处理,并生成对应的第三认证响应数据XRES2,然后比较第二认证请求数据RES2和第三认证响应数据XRES2是否一致,若是,则可以确定该5G通信模组为合法签约的5G通信模组,并确定完成了与5G通信模组的双向认证操作,生成认证成功的通信认证结果,此时eSIM卡切换为已认证状态;否则,认为该5G通信模组不是合法签约的,因此生成认证识别的通信认证结果,在生成上述通信认证结果后,eSIM卡生成对应的第三认证反馈指令并发送至5G通信模组,此时eSIM卡依然处于待认证状态。
5G通信模组在向eSIM卡发送所述第二认证请求指令之后,获取与该第二认证请求指令对应的第三认证反馈指令,在第一实施例中,该第三认证反馈指令指示5G通信模组与eSIM卡之间的认证成功,因此5G通信模组确定双向通信认证成功,并将该eSIM卡标记为已认证状态;在第二实施例中,该第三认证反馈指令指示5G通信模组与eSIM卡之间的认证失败,因此5G通信模组确定双向通信认证失败,并将该eSIM卡标记为未认证状态,5G通信模组后续不会触发入网流程,并对该eSIM卡执行断电处理。
在本发明实施例中,通过采用基于双向身份认证的通信认证过程,相比于现有技术,有效提高了eSIM卡与5G通信模组之间的安全认证的可靠性,提高了通信安全性。
进一步地,在认证失败后,5G通信模组直接对eSIM卡进行断电处理,从而有效解决了恶意攻击导致认证失败而引发的功耗问题,保障了5G通信模组的稳定、可靠和高效运行,满足了实际需求。
进一步地,在本发明实施例中,所述认证方法还包括:在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
在一种可能的实施方式中,在eSIM卡与5G通信模组完成双向认证后,还需要实时监控eSIM卡是否存在断电情况,例如在某一时刻,5G通信模组监控到eSIM卡发生断电情况,因此一方面,eSIM卡将自身的状态从已认证状态(即第三状态)切换为待认证状态(即第二状态),另一方面,5G通信模组将eSIM卡标记为未认证状态(即第一状态),当eSIM卡再次上电时,5G通信模组确定本地存储的eSIM卡为第一状态,因此将触发与eSIM卡之间的双向认证操作。
在本发明实施例中,通过对eSIM卡的断电情况进行监控,并在任何eSIM卡的断电情况下,均触发5G通信模组与eSIM卡之间的重新的双向身份认证,从而使得安全保障更加全面,提高了通信安全性。
请参见图5,基于同一发明构思,本发明实施例提供一种通信认证方法,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,所述认证方法包括:
S10)确定eSIM卡的状态;
S20)响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;
S30)在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
在本发明实施例中,所述eSIM卡包括预设签约数据,所述确定eSIM卡的状态,包括:判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
在本发明实施例中,所述基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果,包括:在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
在本发明实施例中,所述执行对应的预认证操作,包括:若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
在本发明实施例中,所述基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果,包括:在所述请求指令为所述第一认证请求指令的情况下:从所述第一认证请求指令中提取第一认证请求数据;基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;向所述通信模组发送所述第二认证反馈指令;在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
在本发明实施例中,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;获取第二随机数和所述eSIM卡的关键数据;基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
在本发明实施例中,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;从所述第二认证请求指令中提取第二认证请求数据;判断所述第二认证请求数据和所述第三认证响应数据是否一致;若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
在本发明实施例中,所述认证方法还包括:在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
请参见图6,基于同一发明构思,本发明实施例提供一种通信网络的签约验证方法,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,所述签约验证方法包括:
S10)响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;
S20)在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;
S30)基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
在本发明实施例中,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,基于所述验证指令执行签约验证操作,生成对应的验证结果,包括:获取通信网络的第一私钥信息;基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;获取预存储串号;判断所述设备串号与所述预存储串号是否一致;若是,则生成验证通过的验证结果;否则,生成验证不通过的验证结果。
请参见图7,本发明实施例提供一种基于双向认证的通信方法,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据发送端包括预设认证秘密信息,所述通信方法包括:
S10)基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
S20)获取待发送数据;
S30)基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;
S40)基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;
S50)将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
在一种可能的实施方式中,上述数据数据发送端为eSIM卡或5G通信模组中的一者,数据接收端为eSIM卡或5G通信模组中的另一者,eSIM卡与5G通信模组通信连接,在eSIM卡与5G通信模组完成双向身份认证后,可以进行通信操作,而为了提高数据的安全性,在通信数据的传输过程中需要进行数据的机密性和完整性保护。
具体的,在eSIM卡与5G通信模组的双向身份认证过程中,在eSIM卡与5G通信模组中均会生成对应的认证秘密信息,例如在本发明实施例中,eSIM卡作为数据发送端,在进行数据发送之前,首先根据该预设认证秘密信息生成通信密钥,通信秘钥包括安全保护秘钥Ke5和完整保护秘钥Ki5,例如在本发明实施例中,所述基于所述预设认证秘密信息生成通信秘钥,包括:获取预设字符串;基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
具体的,也可以采用秘钥导出函数(Key Derivation Function,KDF)对预设认证秘密信息和预设字符串S进行处理,以生成安全保护秘钥Ke5和完整保护秘钥Ki5,例如在一种实施例中,该预设字符串S的结构可以表征为:
-FC=0x69
-P0=算法识别器(比如:N-esim-enc-alg:0x07;N-esim-int-alg:0x08)
-L0=P0的字节个数(i.e.0x00 0x01)
-P1=算法标识(比如:SM1:0x04;SM4:0x05)
-L1=P1的字节个数(i.e.0x00 0x01)。
此时,eSIM卡获取待发送数据,并基于第一加密算法对该待发送数据、安全保护秘钥Ke5和第一预设共享数据进行处理,以生成对应的第一加密数据,其中该第一加密算法可以为国家商用密码算法,优选地,采用SM1/SM4算法,该第一预设共享数据为预先设置的eSIM卡与5G通信模组共享的一些数据。然后进一步采用第二加密算法(例如为国家商用密码算法,优选地,采用SM3算法)对上述第一加密数据、第二预设共享数据和完整保护秘钥Ki5进行处理,以生成第二加密数据,该第二预设共享数据为eSIM卡与5G通信模组共享的另一些数据,例如该第二加密数据为消息鉴别码MAC(Message Authentication Code),此时eSIM卡可以将上述第一加密数据和消息鉴别码MAC发送至数据接收端,即5G通信模组。
5G通信模组在与eSIM卡进行数据通信之前,也可以首先基于预设认证秘密信息生成包括安全保护秘钥Ke5和完整保护秘钥Ki5的通信密钥,在后续接收到上述第一加密数据和消息鉴别码MAC后,首先对该第二加密数据进行通信验证。例如首先将上述第一加密数据、第二预设共享数据和完整保护秘钥Ki5进行处理,以生成期望加密数据XMAC,然后将上述期望加密数据XMAC与第二加密数据MAC进行比较,判断他们是否一致,若是,则生成验证通过的验证结果,此时可以基于第一加密数据生成对应的明文数据,具体的,可以将该第一加密数据、第一预设共享数据和安全保护秘钥Ke5输入第一加密算法中进行解密处理,以提取出其中的明文数据;若上述XMAC和MAC不一致,则生成验证不通过的验证结果,此时5G通信模组重新执行与eSIM卡之间的双向认证操作。
在本发明实施例中,在eSIM卡与5G通信模组之间完成双向身份认证后,对eSIM卡与5G通信模组的通信数据进行进一步的数据机密性保护和数据完整性保护,从而进一步有效防止了通信数据被窃听或被篡改的情况发送,大大提高了通信过程的安全性。
请参见图8,本发明实施例提供一种基于双向认证的通信方法,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据接收端包括预设认证秘密信息,所述通信方法包括:
S10)基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
S20)响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;
S30)在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;
S40)在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
在本发明实施例中,所述对所述第二加密数据进行通信验证,包括:基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;判断所述期望加密数据与所述第二加密数据是否一致;若是,生成验证通过的验证结果;否则,生成验证不通过的验证结果。
在本发明实施例中,所述基于所述第一加密数据生成对应的明文数据,包括:基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
请参见图9,基于同一发明构思,本发明实施例提供一种通信认证装置,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,所述认证装置包括:验证单元,用于验证是否完成签约认证操作;认证请求单元,用于在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;反馈获取单元,用于获取与所述第一认证请求指令对应的认证反馈指令;通信认证单元,用于基于所述认证反馈指令生成对应的通信认证结果。
在本发明实施例中,所述验证单元包括:请求指令发送模块,用于向所述eSIM卡发送签约信息请求指令;请求反馈获取模块,用于获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;验证指令生成模块,用于基于所述预设签约数据生成对应的验证指令;指令发送模块,用于将所述验证指令发送至所述通信网络;验证反馈获取模块,用于获取与所述验证指令对应的验证反馈指令;验证确定模块,用于在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
在本发明实施例中,所述预设签约数据包括所述通信网络的第一公钥信息,所述验证指令生成模块具体用于:获取所述通信模组的第二公钥信息和第二私钥信息;基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
在本发明实施例中,所述认证请求单元包括:数据获取模块,用于获取第一随机数、设备ID和所述eSIM卡的关键数据;第一数据生成模块,用于基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;第一指令生成模块,用于基于所述第一认证请求数据生成所述第一认证请求指令;认证请求模块,用于基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
在本发明实施例中,所述预设指令发送规则表征为:执行第一计时操作;判断所述第一计时操作对应的第一计时是否满足第一超时条件;若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;执行第二计时操作;判断所述第二计时操作对应的第二计时是否满足第二超时条件;若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
在本发明实施例中,所述通信认证单元包括:第一认证模块,用于在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;第二认证模块,用于在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
在本发明实施例中,所述第二认证反馈指令包括第一认证响应数据和第二认证响应数据,所述第二认证模块具体用于:基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;判断所述第一认证响应数据和所述期望响应数据是否一致;在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
在本发明实施例中,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;获取与所述第二认证请求指令对应的第三认证反馈指令;在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;在所述第三认证反馈指令为认证失败的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
在本发明实施例中,所述认证装置还包括断电监控单元,所述断电监控单元用于:在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
请参见图10,基于同一发明构思,本发明实施例提供一种通信认证装置,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,所述认证装置包括:状态确定单元,用于确定eSIM卡的状态;判断单元,用于响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;通信认证单元,用于在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
在本发明实施例中,所述eSIM卡包括预设签约数据,所述状态确定单元包括:判断模块,用于判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;第一状态确定模块,用于在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;第二状态确定模块,用于在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
在本发明实施例中,所述通信认证单元包括:预认证模块,用于在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;通信认证模块,用于在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
在本发明实施例中,所述预认证模块具体用于:若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
在本发明实施例中,所述通信认证模块具体用于:在所述请求指令为所述第一认证请求指令的情况下:从所述第一认证请求指令中提取第一认证请求数据;基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;向所述通信模组发送所述第二认证反馈指令;在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
在本发明实施例中,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;获取第二随机数和所述eSIM卡的关键数据;基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
在本发明实施例中,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;从所述第二认证请求指令中提取第二认证请求数据;判断所述第二认证请求数据和所述第三认证响应数据是否一致;若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
在本发明实施例中,所述认证装置还包括断电管理单元,所述断电管理单元用于:在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
请参见图11,基于同一发明构思,本发明实施例提供一种通信网络的签约验证装置,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,所述签约验证装置包括:签约验证单元,用于响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;第一验证处理单元,用于在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;第二验证处理单元,用于基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
在本发明实施例中,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,所述签约验证单元具体用于:获取通信网络的第一私钥信息;基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;获取预存储串号;判断所述设备串号与所述预存储串号是否一致;若是,则生成验证通过的验证结果;否则,生成验证不通过的验证结果。
请参见图12,基于同一发明构思,本发明实施例提供一种基于双向认证的通信装置,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据发送端包括预设认证秘密信息,所述通信装置包括:密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;数据获取单元,用于获取待发送数据;第一加密单元,用于基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;第二加密单元,用于基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;通信单元,用于将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
在本发明实施例中,所述密钥生成单元具体用于:获取预设字符串;基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
请参见图13,基于同一发明构思,本发明实施例提供一种基于双向认证的通信装置,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,所述数据接收端包括预设认证秘密信息,所述通信装置包括:密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;数据验证单元,用于响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;第一通信单元,用于在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;第二通信单元,用于在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
在本发明实施例中,所述数据验证单元具体用于:基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;判断所述期望加密数据与所述第二加密数据是否一致;若是,生成验证通过的验证结果;否则,生成验证不通过的验证结果。
在本发明实施例中,所述第一通信单元具体用于:基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
进一步地,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例所述的方法。
进一步地,本发明实施例还提供一种通信认证系统,所述通信认证系统包括本发明第一实施例所述的认证装置、第二实施例所述的认证装置以及签约验证装置。
进一步地,本发明实施例还提供一种基于双向认证的通信系统,所述基于双向认证的通信系统包括本发明第一实施例所述的通信装置和第二实施例所述的通信装置。
进一步地,本发明实施例还提供一种通信系统,所述通信系统包括本发明实施例所述的通信认证系统和基于双向认证的通信系统。
以上结合附图详细描述了本发明实施例的可选实施方式,但是,本发明实施例并不限于上述实施方式中的具体细节,在本发明实施例的技术构思范围内,可以对本发明实施例的技术方案进行多种简单变型,这些简单变型均属于本发明实施例的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施例对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明实施例的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明实施例的思想,其同样应当视为本发明实施例所公开的内容。
Claims (52)
1.一种通信认证方法,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,其特征在于,所述认证方法包括:
验证是否完成签约认证操作;
在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;
获取与所述第一认证请求指令对应的认证反馈指令;
基于所述认证反馈指令生成对应的通信认证结果。
2.根据权利要求1所述的认证方法,其特征在于,所述验证是否完成签约认证操作,包括:
向所述eSIM卡发送签约信息请求指令;
获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;
基于所述预设签约数据生成对应的验证指令;
将所述验证指令发送至所述通信网络;
获取与所述验证指令对应的验证反馈指令;
在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
3.根据权利要求2所述的认证方法,其特征在于,所述预设签约数据包括所述通信网络的第一公钥信息,所述基于所述预设签约数据生成对应的验证指令,包括:
获取所述通信模组的第二公钥信息和第二私钥信息;
基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;
基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;
获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;
基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
4.根据权利要求3所述的认证方法,其特征在于,所述向所述eSIM卡发送第一认证请求指令,包括:
获取第一随机数、设备ID和所述eSIM卡的关键数据;
基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;
基于所述第一认证请求数据生成所述第一认证请求指令;
基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
5.根据权利要求4所述的认证方法,其特征在于,所述预设指令发送规则表征为:
执行第一计时操作;
判断所述第一计时操作对应的第一计时是否满足第一超时条件;
若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;
执行第二计时操作;
判断所述第二计时操作对应的第二计时是否满足第二超时条件;
若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;
若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
6.根据权利要求4所述的认证方法,其特征在于,所述基于所述认证反馈指令生成对应的通信认证结果,包括:
在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;
在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
7.根据权利要求6所述的认证方法,其特征在于,所述第二认证反馈指令包括第一认证响应数据和第二认证响应数据,所述基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证,包括:
基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;
判断所述第一认证响应数据和所述期望响应数据是否一致;
在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;
在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
8.根据权利要求7所述的认证方法,其特征在于,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:
基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;
基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;
获取与所述第二认证请求指令对应的第三认证反馈指令;
在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;
在所述第三认证反馈指令为认证失败的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
9.根据权利要求8所述的认证方法,其特征在于,所述认证方法还包括:
在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;
在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;
在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;
在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
10.一种通信认证方法,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,其特征在于,所述认证方法包括:
确定eSIM卡的状态;
响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;
在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
11.根据权利要求10所述的认证方法,其特征在于,所述eSIM卡包括预设签约数据,所述确定eSIM卡的状态,包括:
判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;
在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;
在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;
在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;
在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
12.根据权利要求11所述的认证方法,其特征在于,所述基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果,包括:
在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;
在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
13.根据权利要求12所述的认证方法,其特征在于,所述执行对应的预认证操作,包括:
若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;
若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
14.根据权利要求12所述的认证方法,其特征在于,所述基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果,包括:
在所述请求指令为所述第一认证请求指令的情况下:
从所述第一认证请求指令中提取第一认证请求数据;
基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;
向所述通信模组发送所述第二认证反馈指令;
在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
15.根据权利要求14所述的认证方法,其特征在于,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:
基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;
获取第二随机数和所述eSIM卡的关键数据;
基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;
基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
16.根据权利要求15所述的认证方法,其特征在于,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:
基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;
从所述第二认证请求指令中提取第二认证请求数据;
判断所述第二认证请求数据和所述第三认证响应数据是否一致;
若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;
否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;
基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
17.根据权利要求10所述的认证方法,其特征在于,所述认证方法还包括:
在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;
若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
18.一种通信网络的签约验证方法,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,其特征在于,所述签约验证方法包括:
响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;
在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;
基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
19.根据权利要求18所述的签约验证方法,其特征在于,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,所述基于所述验证指令执行签约验证操作,生成对应的验证结果,包括:
获取通信网络的第一私钥信息;
基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;
基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;
获取预存储串号;
判断所述设备串号与所述预存储串号是否一致;
若是,则生成验证通过的验证结果;
否则,生成验证不通过的验证结果。
20.一种基于双向认证的通信方法,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,其特征在于,所述数据发送端包括预设认证秘密信息,所述通信方法包括:
基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
获取待发送数据;
基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;
基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;
将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
21.根据权利要求20所述的通信方法,其特征在于,所述基于所述预设认证秘密信息生成通信秘钥,包括:
获取预设字符串;
基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
22.一种基于双向认证的通信方法,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,其特征在于,所述数据接收端包括预设认证秘密信息,所述通信方法包括:
基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;
在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;
在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
23.根据权利要求22所述的通信方法,其特征在于,所述对所述第二加密数据进行通信验证,包括:
基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;
判断所述期望加密数据与所述第二加密数据是否一致;
若是,生成验证通过的验证结果;
否则,生成验证不通过的验证结果。
24.根据权利要求22所述的通信方法,其特征在于,所述基于所述第一加密数据生成对应的明文数据,包括:
基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
25.一种通信认证装置,应用于通信模组,所述通信模组与eSIM卡和通信网络通信连接,其特征在于,所述认证装置包括:
验证单元,用于验证是否完成签约认证操作;
认证请求单元,用于在确定完成所述签约认证操作的情况下,向所述eSIM卡发送第一认证请求指令;
反馈获取单元,用于获取与所述第一认证请求指令对应的认证反馈指令;
通信认证单元,用于基于所述认证反馈指令生成对应的通信认证结果。
26.根据权利要求25所述的认证装置,其特征在于,所述验证单元包括:
请求指令发送模块,用于向所述eSIM卡发送签约信息请求指令;
请求反馈获取模块,用于获取与所述签约信息请求指令对应的请求反馈指令,所述请求反馈指令包括预设签约数据;
验证指令生成模块,用于基于所述预设签约数据生成对应的验证指令;
指令发送模块,用于将所述验证指令发送至所述通信网络;
验证反馈获取模块,用于获取与所述验证指令对应的验证反馈指令;
验证确定模块,用于在所述验证反馈指令为验证成功的情况下,确定完成所述签约认证操作。
27.根据权利要求26所述的认证装置,其特征在于,所述预设签约数据包括所述通信网络的第一公钥信息,所述验证指令生成模块具体用于:
获取所述通信模组的第二公钥信息和第二私钥信息;
基于预设加密规则对所述第一公钥信息和所述第二私钥信息进行处理,生成第一密钥信息;
基于所述第一密钥信息对预设字符串进行处理,生成第一认证秘密信息;
获取设备串号,基于所述第一密钥信息对所述设备串号执行加密处理,生成处理后串号;
基于所述第二公钥信息和所述处理后串号生成对应的验证指令。
28.根据权利要求27所述的认证装置,其特征在于,所述认证请求单元包括:
数据获取模块,用于获取第一随机数、设备ID和所述eSIM卡的关键数据;
第一数据生成模块,用于基于预设加密算法对所述第一随机数、设备ID和关键数据进行处理,生成第一认证请求数据;
第一指令生成模块,用于基于所述第一认证请求数据生成所述第一认证请求指令;
认证请求模块,用于基于预设指令发送规则向所述eSIM卡发送第一认证请求指令。
29.根据权利要求28所述的认证装置,其特征在于,所述预设指令发送规则表征为:
执行第一计时操作;
判断所述第一计时操作对应的第一计时是否满足第一超时条件;
若所述第一计时满足所述第一超时条件,执行对应的指令发送操作;
执行第二计时操作;
判断所述第二计时操作对应的第二计时是否满足第二超时条件;
若所述第二计时满足所述第二超时条件,再次执行所述指令发送操作,返回所述执行第二计时操作的步骤;
若所述第二计时不满足所述第二超时条件,判断是否获取到针对所述指令发送操作的反馈指令,并在获取到所述反馈指令的情况下,停止所述第二计时操作。
30.根据权利要求28所述的认证装置,其特征在于,所述通信认证单元包括:
第一认证模块,用于在所述认证反馈指令为第一认证反馈指令情况下,返回所述基于预设指令发送规则向所述eSIM卡发送第一认证请求指令的步骤,所述第一认证反馈指令用于表征所述eSIM卡无认证数据;
第二认证模块,用于在所述认证反馈指令为第二认证反馈指令的情况下,基于所述第一认证秘密信息和所述第一认证请求数据执行对应的双向通信认证。
31.根据权利要求30所述的认证装置,其特征在于,所述第二认证反馈指令包括第一认证响应数据和第二认证响应数据,所述第二认证模块具体用于:
基于所述预设加密算法对所述第一认证秘密信息和所述第一认证请求数据进行处理,生成期望响应数据;
判断所述第一认证响应数据和所述期望响应数据是否一致;
在所述第一认证响应数据和所述期望响应数据不一致的情况下,生成并反馈认证失败的通信认证结果,对所述eSIM卡执行断电操作;
在所述第一认证响应数据和所述期望响应数据一致的情况下,基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证。
32.根据权利要求31所述的认证装置,其特征在于,所述基于所述第一认证秘密信息和所述第二认证响应数据执行对应的双向通信认证,包括:
基于所述预设加密算法对所述第一认证秘密信息和所述第二认证响应数据进行处理,生成第二认证请求数据;
基于所述第二认证请求数据生成第二认证请求指令,向所述eSIM卡发送所述第二认证请求指令;
获取与所述第二认证请求指令对应的第三认证反馈指令;
在所述第三认证反馈指令为认证成功的情况下,确定双向通信认证成功,将所述eSIM卡标记为第三状态;
在所述第三认证反馈指令为认证失败的情况下,确定双向通信认证失败,将所述eSIM卡标记为第一状态,对所述eSIM卡执行断电操作。
33.根据权利要求32所述的认证装置,其特征在于,所述认证装置还包括断电监控单元,所述断电监控单元用于:
在所述eSIM卡被标记为所述第三状态的情况下,判断所述eSIM卡是否发生断电;
在所述eSIM卡发生断电的情况下,将所述eSIM卡标记为所述第一状态;
在所述eSIM卡被标记为所述第一状态的情况下,判断所述eSIM卡是否上电;
在所述eSIM卡上电的情况下,发起对所述eSIM卡的通信认证操作。
34.一种通信认证装置,应用于eSIM卡,所述eSIM卡与通信模组和通信网络通信连接,其特征在于,所述认证装置包括:
状态确定单元,用于确定eSIM卡的状态;
判断单元,用于响应于所述通信模组的请求指令,判断所述eSIM卡的状态与所述请求指令是否匹配;
通信认证单元,用于在所述eSIM卡的状态与所述请求指令匹配的情况下,基于所述eSIM卡的状态与所述通信模组执行通信认证操作,生成对应的通信认证结果。
35.根据权利要求34所述的认证装置,其特征在于,所述eSIM卡包括预设签约数据,所述状态确定单元包括:
判断模块,用于判断是否获取到发送自所述通信网络的第二认证秘密信息,所述第一认证秘密信息基于所述预设签约数据生成,所述通信网络与所述预设签约数据相对应;
第一状态确定模块,用于在未获取到所述第一认证秘密信息的情况下,确定所述eSIM卡处于第一状态;
第二状态确定模块,用于在获取到所述第一认证秘密信息的情况下,判断所述eSIM卡是否完成与所述通信模组的双向认证操作;在未完成所述双向认证操作的情况下,确定所述eSIM卡处于第二状态;在完成所述双向认证操作的情况下,确定所述eSIM卡处于第三状态。
36.根据权利要求35所述的认证装置,其特征在于,所述通信认证单元包括:
预认证模块,用于在所述eSIM卡处于所述第一状态的情况下,执行对应的预认证操作;
通信认证模块,用于在所述eSIM卡处于所述第二状态的情况下,基于所述第二认证秘密信息和所述请求指令生成对应的通信认证结果。
37.根据权利要求36所述的认证装置,其特征在于,所述预认证模块具体用于:
若所述请求指令为签约信息请求指令,基于所述预设签约数据生成对应的请求反馈指令,向所述通信模组发送所述请求反馈指令;
若所述请求指令为第一认证请求指令,生成并反馈对应的第一认证反馈指令,所述第一认证反馈指令用于表征所述eSIM卡中没有认证数据。
38.根据权利要求36所述的认证装置,其特征在于,所述通信认证模块具体用于:
在所述请求指令为所述第一认证请求指令的情况下:
从所述第一认证请求指令中提取第一认证请求数据;
基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令;
向所述通信模组发送所述第二认证反馈指令;
在所述请求指令为第二认证请求指令的情况下,基于所述第二认证秘密信息生成对应的通信认证结果。
39.根据权利要求38所述的认证装置,其特征在于,所述基于所述第二认证秘密信息和所述第一认证请求数据生成第二认证反馈指令,包括:
基于所述第二认证秘密信息和所述第一认证请求数据生成第一认证响应数据;
获取第二随机数和所述eSIM卡的关键数据;
基于所述预设加密算法对所述第二随机数和所述关键数据进行处理,获得第二认证响应数据;
基于所述第一认证响应数据和所述第二认证响应数据生成所述第二认证反馈指令。
40.根据权利要求39所述的认证装置,其特征在于,所述基于所述第二认证秘密信息生成对应的通信认证结果,包括:
基于所述预设加密算法对所述第二认证秘密信息和所述第二认证响应数据进行处理,生成第三认证响应数据;
从所述第二认证请求指令中提取第二认证请求数据;
判断所述第二认证请求数据和所述第三认证响应数据是否一致;
若是,确定完成所述双向认证操作,生成认证成功的通信认证结果;
否则,确定未完成所述双向认证操作,生成认证失败的通信认证结果;
基于所述通信认证结果生成对应的第三认证反馈指令,向所述通信模组发送所述第三认证反馈指令。
41.根据权利要求25所述的认证装置,其特征在于,所述认证装置还包括断电管理单元,所述断电管理单元用于:
在所述eSIM卡处于所述第三状态的情况下,判断是否发生断电;
若是,将所述eSIM卡由所述第三状态变更为所述第二状态。
42.一种通信网络的签约验证装置,应用于通信网络,所述通信网络与eSIM卡和通信模组通信连接,其特征在于,所述签约验证装置包括:
签约验证单元,用于响应于所述通信模组发送的验证指令,基于所述验证指令执行签约验证操作,生成对应的验证结果,所述验证结果包括验证通过和验证不通过;
第一验证处理单元,用于在所述验证结果为验证通过的情况下,基于所述验证指令生成第二认证秘密信息,向所述eSIM卡发送所述第二认证秘密信息;
第二验证处理单元,用于基于所述验证结果生成对应的验证反馈指令,向所述通信模组发送所述验证反馈指令。
43.根据权利要求42所述的签约验证装置,其特征在于,所述验证指令包括所述通信模组的第二公钥信息和处理后串号,所述签约验证单元具体用于:
获取通信网络的第一私钥信息;
基于所述第一私钥信息和所述第二公钥信息生成第二密钥信息;
基于所述第二密钥信息对所述处理后串号进行解析,获得所述通信模组的设备串号;
获取预存储串号;
判断所述设备串号与所述预存储串号是否一致;
若是,则生成验证通过的验证结果;
否则,生成验证不通过的验证结果。
44.一种基于双向认证的通信装置,应用于数据发送端,所述数据发送端与数据接收端基于双向认证通信连接,其特征在于,所述数据发送端包括预设认证秘密信息,所述通信装置包括:
密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
数据获取单元,用于获取待发送数据;
第一加密单元,用于基于第一加密算法对所述待发送数据、所述安全保护秘钥以及第一预设共享数据进行处理,生成第一加密数据;
第二加密单元,用于基于第二加密算法对所述第一加密数据、第二预设共享数据、以及所述完整保护秘钥进行处理,生成第二加密数据;
通信单元,用于将所述第一加密数据和所述第二加密数据发送至所述数据接收端。
45.根据权利要求44所述的通信装置,其特征在于,所述密钥生成单元具体用于:
获取预设字符串;
基于所述预设认证秘密信息对所述预设字符串进行处理,生成所述通信秘钥。
46.一种基于双向认证的通信装置,应用于数据接收端,所述数据发送端与数据接收端基于双向认证通信连接,其特征在于,所述数据接收端包括预设认证秘密信息,所述通信装置包括:
密钥生成单元,用于基于所述预设认证秘密信息生成通信秘钥,所述通信秘钥包括安全保护秘钥和完整保护秘钥;
数据验证单元,用于响应于所述数据发送端发送的第一加密数据和第二加密数据,对所述第二加密数据进行通信验证;
第一通信单元,用于在验证结果为验证通过的情况下,基于所述第一加密数据生成对应的明文数据;
第二通信单元,用于在验证结果为验证不通过的情况下,重新执行所述数据接收端和所述数据发送端之间的双向认证操作。
47.根据权利要求46所述的通信装置,其特征在于,所述数据验证单元具体用于:
基于第二加密算法对所述第一加密数据、第二预设共享数据和所述完整保护秘钥进行处理,生成期望加密数据;
判断所述期望加密数据与所述第二加密数据是否一致;
若是,生成验证通过的验证结果;
否则,生成验证不通过的验证结果。
48.根据权利要求46所述的通信装置,其特征在于,所述第一通信单元具体用于:
基于第一加密算法对所述第一加密数据、第一预设共享数据和所述安全保护秘钥进行处理,生成对应的明文数据。
49.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-24中任一项所述的方法。
50.一种通信认证系统,其特征在于,所述通信认证系统包括权利要求25-33中任一项所述的认证装置、权利要求34-41中任一项所述的认证装置以及权利要求42-43中任一项所述的签约验证装置。
51.一种基于双向认证的通信系统,其特征在于,所述基于双向认证的通信系统包括权利要求44-45中任一项所述的通信装置以及权利要求46-48中任一项所述的通信装置。
52.一种通信系统,其特征在于,所述通信系统包括权利要求50所述的通信认证系统和权利要求51所述的基于双向认证的通信系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210135607.5A CN114584970A (zh) | 2022-02-14 | 2022-02-14 | 通信认证方法、签约验证方法以及通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210135607.5A CN114584970A (zh) | 2022-02-14 | 2022-02-14 | 通信认证方法、签约验证方法以及通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114584970A true CN114584970A (zh) | 2022-06-03 |
Family
ID=81774856
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210135607.5A Pending CN114584970A (zh) | 2022-02-14 | 2022-02-14 | 通信认证方法、签约验证方法以及通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114584970A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116193429A (zh) * | 2023-02-06 | 2023-05-30 | 中国联合网络通信集团有限公司 | 认证方法、装置及存储介质 |
-
2022
- 2022-02-14 CN CN202210135607.5A patent/CN114584970A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116193429A (zh) * | 2023-02-06 | 2023-05-30 | 中国联合网络通信集团有限公司 | 认证方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108901010B (zh) | 一种蓝牙设备及蓝牙连接方法 | |
US8200193B2 (en) | Detection of anomalies in traffic transmitted by a mobile terminal within a radiocommunication network | |
CN105847247A (zh) | 一种认证系统及其工作方法 | |
CN107454035B (zh) | 一种身份认证的方法及装置 | |
CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
CN108509787B (zh) | 一种程序认证方法 | |
CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
CN111148094B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
CN111131300B (zh) | 通信方法、终端及服务器 | |
CN109729000B (zh) | 一种即时通信方法及装置 | |
CN109151823B (zh) | eSIM卡鉴权认证的方法及系统 | |
CN112311533A (zh) | 终端身份认证方法、系统以及存储介质 | |
CN113591057A (zh) | 生物特征离线身份识别方法及系统 | |
CN102892102A (zh) | 一种在移动网络中实现机卡绑定的方法、系统和设备 | |
KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
CN111901303A (zh) | 设备认证方法和装置、存储介质及电子装置 | |
CN111416718A (zh) | 通讯密钥的接收方法及装置、发送方法及装置 | |
CN114584970A (zh) | 通信认证方法、签约验证方法以及通信方法 | |
CN108881256B (zh) | 密钥交换方法、装置、水电桩和网络设备 | |
CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
CN104918241A (zh) | 一种用户认证方法及系统 | |
KR101837150B1 (ko) | 프록시 서비스 제공을 위한 프록시 인증시스템 및 인증방법 | |
EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
CN104883260B (zh) | 证件信息处理和验证方法、处理终端及验证服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 903, convenience service center, Jiaodong sub district office, Jiaozhou City, Qingdao City, Shandong Province, 266300 Applicant after: Qingdao Zhixin Semiconductor Technology Co.,Ltd. Address before: Room 903, convenience service center, Jiaodong sub district office, Jiaozhou City, Qingdao City, Shandong Province, 266300 Applicant before: State Grid Sigi Ziguang (Qingdao) Microelectronics Technology Co.,Ltd. |