CN117527338A - 一种物联网应用中双向身份加强鉴定方法及系统 - Google Patents

一种物联网应用中双向身份加强鉴定方法及系统 Download PDF

Info

Publication number
CN117527338A
CN117527338A CN202311459956.3A CN202311459956A CN117527338A CN 117527338 A CN117527338 A CN 117527338A CN 202311459956 A CN202311459956 A CN 202311459956A CN 117527338 A CN117527338 A CN 117527338A
Authority
CN
China
Prior art keywords
server
terminal
internet
things
euicc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311459956.3A
Other languages
English (en)
Inventor
黄国劲
崔可
陈小波
潘玉洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hengbao Co Ltd
Original Assignee
Hengbao Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hengbao Co Ltd filed Critical Hengbao Co Ltd
Priority to CN202311459956.3A priority Critical patent/CN117527338A/zh
Publication of CN117527338A publication Critical patent/CN117527338A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种物联网应用中双向身份加强鉴定方法及系统,该方法包括:服务器端建立与设备终端的信息通道;设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端的身份进行验证;同时也在建立的连接通道中提供设备终端的身份信息,供服务器端进行身份验证;双方验证成功后,由服务器端的业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTT Broker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。本发明通过建立MQTT协议+单向SSL强认证的安全通道后,再传输的设备终端身份信息可以实现服务器端对设备终端的身份合法性校验,从而加强端到端的安全控制。

Description

一种物联网应用中双向身份加强鉴定方法及系统
技术领域
本发明涉及数据处理技术领域,具体涉及一种物联网应用中双向身份加强鉴定方法及系统。
背景技术
随着物联网应用在近年来的发展,在我们的日常生活中可以看到越来越普及的众多物联网终端设备。而随着物联网设备及应用的普及,MQTT协议作为一种低开销、低带宽占用的即时通讯协议,在物联网、小型设备、移动应用等方面的应用也变得更加广泛,并正在逐步发展成为物联网应用中的主流通讯协议。
目前使用最为广泛的HTTP协议主要存在以下特点:
1)HTTP协议作为目前使用最为广泛的互联网协议,具备较强的通用性。
2)但HTTP协议的客户端和服务器之间的交互是采用请求/应答模式。也就是请求总是由客户端触发,并由服务器端应答。这对于物联网设备客户端需要接收来自于服务端的数据存在很大的局限性。尽管基于该局限也存在相应的一些解决措施,比如可以通过让设备端定期轮询的方式来向服务器查询和获取的数据。但这样的定期轮询也必然会产生更多不必要的网络资源浪费和产生更多的设备功耗,而且也还存在时效性等其他局限性。
基于上述情况,因此MQTT协议正逐步发展成为物联网应用中的主流通讯协议。而随着MQTT协议在物联网应用中的普及,相应的数据传输安全的需求也显得尤为重要。为了保护敏感信息在端到端上的数据交互安全,目前常见的做法是,在MQTT的通信协议中增加TLS传输层安全的控制。
但目前基于MQTT+TLS的协议场景中,不管是单向TLS还是双向TLS,均存在一定的不足,其分别存在的局限性如下:
(1)单向TLS由于无法让服务端验证到设备终端的身份可信性,因此,对于任何从设备终端朝服务器端发起的消息请求,服务器端都需要执行相应的消息处理。而且因为无法验证到设备终端的身份信息,也为潜在的不合法设备终端的无效访问提供了机会,由此给服务端的消息处理带来不必要的负担,如2018110275850的发明专利。
(2)双向TLS可以避免无效设备终端的访问问题,但因为访问需要分别校验客户端和服务器端的证书,因此,双向TLS要求在访问之前,客户端和服务器端都需要提前分别配置上对方的受信证书,以便在TLS交互过程中能通过身份校验。但针对数量庞大的物联网设备终端,在通讯之前就提前配置上需要的证书显然实现起来的困难度和复杂度都很大,同时耗费的管理成本也将很大。而且,提前预制方式也给设备终端的生产配置灵活性带来了很大的挑战。显然,想要在设备终端出厂时就预先指定这些设备将来要受信哪些服务器将会是一种非常僵化的配置方式,无法做到后期根据实际情况的灵活适配。
发明内容
发明目的:为了克服现有技术的不足,本发明提供一种物联网应用中双向身份加强鉴定方法,解决了现有技术中通信通道的安全性不高、以及设备终端的生产配置灵活性差等问题,本发明还提供一种物联网应用中双向身份加强鉴定系统。
技术方案:根据本发明的第一方面,提供一种物联网应用中双向身份加强鉴定方法,应用于服务器端与物联网设备终端之间,该方法包括:
S1服务器端初始准备,服务器端具有业务服务器、用于身份校验的服务器前置机以及MQTT Broker服务器,建立服务器端与物联网设备终端的信息通道连接环境;
S2物联网设备终端初始准备,物联网设备终端包括设备终端和eUICC智能卡,将设备终端唯一标识IMEI与eUICC智能卡唯一标识EID进行一对一绑定;
S3设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端的身份进行验证;通过借助MQTT协议和单向SSL认证建立的连接通道,设备终端提供身份信息给服务器端,供服务器端进行物联网设备终端的身份验证;
S4验证成功后,由服务器端的业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTT Broker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
进一步的,包括:
所述步骤S1中,服务器端初始准备,建立服务器端与物联网设备终端的信息通道环境具体包括:
在服务器端的MQTT Broker服务器上,通过基于MQTT协议以及单向SSL认证的证书校验,来建立MQTT Broker服务器与业务服务器前置机之间的通道连接;
基于所述MQTT Broker服务器与业务服务器前置机之间建立的通道,所述业务服务器前置机向MQTT Broker服务器订阅第一消息,所述第一消息用于接收来自物联网设备终端的请求信息。
进一步的,包括:
所述步骤S2中,物联网设备终端初始准备具体包括:
S21触发初始化操作,该操作由设备管理员或设备运维人员,或者设备在初始状态下开机通电启动方式下自动触发该初始化动作;
S22在初始化过程中,设备终端将设备自身的唯一标识信息提供给eUICC智能卡,所述eUICC智能卡通过设备终端提供的终端标识IMEI,完成设备终端唯一标识与eUICC唯一标识EID之间的一对一绑定关系。
进一步的,包括:
所述步骤S3中,对服务器端和设备终端的双方身份进行验证,具体包括:
S31所述设备终端开启触发基于MQTT协议的设备联网请求,所述联网请求的触发条件是:由人工进行手动触发,或者是物联网应用环境中的设备自检时满足预设条件后自动触发;
S32设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的第一次连接请求,并通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息;
S33设备终端向MQTT Broker服务器发起基于MQTT协议和单向SSL认证进行第二次连接请求,并通过该连接通道提供EID信息和eUICC卡片证书信息给MQTT Broker服务器;
S34 MQTT Broker服务器将带有EID信息和eUICC卡片证书信息的消息发送给业务服务器前置机进行身份合法性校验。
进一步的,包括:
所述步骤S32中,通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,实现方法为:
S321对第一次连接请求形成的连接通道中获得的服务器端证书进行合法性校验;
S322服务器端的证书合法性校验通过后,设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息;
S323 eUICC智能卡首先校验设备终端的唯一标识IMEI,满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给设备终端;
S324获取到卡片标识EID及eUICC卡片证书信息后,所述设备终端通过卡片标识EID信息向MQTT Broker服务器订阅第二消息,所述第二消息用于未来接收从服务器端发向该设备终端的消息。
进一步的,包括:
所述步骤S33中,通过该连接通道提供EID信息和eUICC卡片证书信息供服务器端进行校验,具体包括:
S331设备终端通过第二次请求的连接通道向MQTT Broker服务器发送第一消息,并在该消息的数据内容中提供卡片标识EID信息和eUICC卡片证书信息,供服务器端进行校验;
S332MQTT Broker服务器在收到所述第一消息后,将该消息转发给对应的业务服务器前置机进行校验处理;
S333所述业务服务器前置机对所述第一消息中的卡端证书信息进行合法性校验,若合法性校验失败,则业务服务器前置机向MQTT Broker服务器发送关闭该设备终端的连接通道请求,并由MQTT Broker服务器关闭之前与该设备终端建立的第二消息的信息通道,否则,则完成对该物联网设备终端的身份验证,继续与业务服务器进行后续物联网应用的业务数据操作。
进一步的,包括:
所述步骤S4中,完成物联网应用从服务器端到物联网终端设备的操作具体包括:
S41所述服务器前置机通过对应的连接通道将业务数据通过第二消息发送给设备终端,该连接通道为服务器前置机通过与MQTT Broker服务器建立的基于MQTT协议和单向SSL认证的连接通道;
S42所述设备终端收到MQTT Broker服务器发来的第二消息后,解析所述消息中的业务数据内容;
S43所述设备终端根据业务数据内容执行对应的业务操作,由此完成物联网应用从服务器端到终端设备的操作。
另一方面,本发明还提供一种物联网应用中双向身份加强鉴定系统,该系统包括服务器端和物联网设备终端,所述服务器端包括:业务服务器、业务服务器前置机和MQTTBroker服务器,所述物联网设备终端包括设备终端和eUICC智能卡;
该系统完成以下部分:
服务器端初始准备:建立MQTT Broker服务器与业务服务器前置机之间的通道连接,进而完成与物联网设备终端的信息通道环境准备;
物联网设备终端初始准备:将设备终端唯一标识IMEI与eUICC智能卡唯一标识EID之间进行一对一绑定;
建立基于MQTT协议的安全通信通道:所述设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端和设备终端的双方身份进行验证;所述业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTTBroker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
进一步的,包括:
对服务器端和设备终端的双方身份进行验证,具体包括:
所述设备终端开启触发基于MQTT协议的设备联网请求,所述联网请求的触发条件是:由人工进行手动触发,或者是物联网应用环境中的设备自检时满足预设条件后自动触发;设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的第一次连接请求,并通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,并将EID信息提供给MQTT Broker服务器,以此作为设备终端的唯一标识用于未来接收从服务器端发向该设备终端的消息;设备终端向MQTT Broker服务器发起基于MQTT协议和单向SSL认证进行第二次连接请求,并通过该连接通道提供EID信息和eUICC卡片证书信息供服务器端进行校验;MQTT Broker服务器将带有EID信息和eUICC卡片证书信息的消息发送给业务服务器前置机进行身份合法性校验。
进一步的,包括:
所述通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,具体包括:
对第一次连接请求形成的连接通道中获得的服务器端证书进行合法性校验;服务器端的证书合法性校验通过后,设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息;eUICC智能卡首先校验终端的唯一标识IMEI,满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给设备终端;获取到卡片标识EID及eUICC卡片证书信息后,所述设备终端通过卡片标识EID信息向MQTT Broker服务器订阅第二消息,所述第二消息用于未来接收从服务器端发向该设备终端的消息。
有益效果:与现有技术相比,本发明具有以下优点:本发明通过使用MQTT协议+单向SSL强认证保障通信通道安全的前提下,通过进一步传输设备终端的身份信息来到达身份合法性的双向认证,由此提高了物联网应用中的通信安全,具体的:
(1)服务器端与设备终端之间的通信协议是基于MQTT而非HTTP协议,是因为MQTT协议是在物联网应用中更适合于设备终端所需的低功耗、低带宽环境下的即时通讯协议。
(2)服务器端与设备终端之间的通信基于MQTT协议+单向SSL强认证,由此保障了数据在传输通道上的安全性。
(3)通过建立MQTT协议+单向SSL强认证的安全通道后,再传输的设备终端身份信息可以实现服务器端对设备终端的身份合法性校验,从而加强端到端的安全控制。
(4)通过设备终端初始化过程中与eUICC智能卡的绑定,可以为设备终端在出厂后期再附加身份信息的过程上提供便捷性和灵活性,从而降低设备终端在物联网应用中的配置管理和布局成本。
附图说明
图1为本发明实施例所述的安全通道建立流程示意图;
图2为本发明实施例所述的物联网应用中双向身份加强鉴定方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明使用单向TLS来保障通信通道的安全性,在基于通信通道的连通性后,随即再对设备端的身份信息进行有效性校验。此时针对设备端的身份信息校验,可以在物联网设备出厂后期,再通过设备本身的物理硬件唯一标识(IMEI)与智能卡进行一对一关联绑定,绑定后借助智能卡的安全域中存储的证书信息,来完成终端与服务器端的相互身份认证工作。由此完成物联网设备终端与服务器端通讯时,需要保障的通道数据传输安全,以及数据在服务器端和设备终端这两端的安全。即:基于单向TLS通道并结合服务器端和设备终端证书的校验来完成加强的双向身份鉴定工作。
本发明中选择通过使用MQTT的通信通道来提供服务器端到客户端的数据传输,使用单向TLS来确保通信通道的数据传输安全性,使用设备唯一标识IMEI来确定物联网设备终端与智能卡的绑定关系,使用在智能卡中的安全域存储的证书信息来保障服务器与设备终端的身份互信校验。从而提供一个从服务器端到设备终端的数据传输控制的端到端安全环境,为物联网设备的业务应用提供安全保障。
该发明所涉及的方法主要包括:将需要接收业务数据的设备终端与SIM卡进行绑定,由此确保设备终端与SIM卡一对一的唯一绑定关系;在物联网设备终端与服务器之间建立基于MQTT协议的联网请求,并通过MQTT+SSL的安全通道获取到服务器端的证书来校验服务器身份合法性;服务器身份校验合法后设备终端订阅【服务器端到终端】的消息,即第二消息,以便未来可以通过该连接通道接收来自服务器端的业务数据;
服务器身份校验合法后设备终端也发送【终端到服务器】的消息,即第一消息用于提供设备终端的身份信息给服务器,供服务器进行终端身份的合法性校验;服务器端通过订阅的【终端到服务器】消息收到来自物联网设备终端的身份信息,并通过对设备终端的身份信息进行校验,来决定是继续发送给设备终端相应的业务数据,还是需要拒绝该设备终端的请求并关闭服务器与该终端之间的连接。
即如图2所示,主要包括以下步骤:
S1服务器端初始准备,建立与物联网设备终端的信息通道;
S2物联网设备终端初始准备,完成设备终端唯一标识IMEI与eUICC智能卡唯一标识EID之间的一对一绑定关系;
S3设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端和设备终端的双方身份进行验证;
S4验证成功后,由服务器端的业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTT Broker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
本发明以上述信息为基础,相应的安全通道建立过程的详细方法流程如图1所示。
第一部分:服务器端初始准备
为保障服务器端能收到来自物联网设备终端的信息,
步骤1、首先需要在服务器端的MQTT Broker服务器上,基于MQTT协议以及SSL的证书校验,来建立MQTT Broker服务器与业务服务器前置机之间的通道连接。
步骤2、基于MQTT Broker服务器与业务服务器前置机之间建立的通道,业务服务器前置机向MQTT Broker服务器订阅【终端到服务器】的消息,用于接收来自物联网设备终端的请求信息。
第二部分:物联网设备终端初始准备
步骤3、物联网设备终端为保障设备与eUICC智能卡之间的绑定,首先需触发初始化操作。该操作可由设备管理员,或设备运维人员,或者设备在初始状态下开机通电启动等方式下自动触发该初始化动作。
步骤4、eUICC智能卡是一种可编程的SIM卡芯片,可以存储多个运营商的信息,并实现在不同运营商之间无缝切换的功能;初始化过程中设备终端将设备自身的唯一标识信息提供给eUICC智能卡,唯一标识通常为IMEI,但不仅限于IMEI。
步骤5、eUICC智能卡通过设备终端,即图1中的设备端程序,提供的终端标识IMEI,完成与该智能卡的绑定关系。即完成IMEI(设备终端唯一标识)与EID(eUICC唯一标识)之间的一对一绑定关系。
第三部分:建立建议基于MQTT协议的安全通信通道
步骤6、当完成上述设备终端的初始化绑定后,设备终端即可开启触发基于MQTT协议的设备联网请求,该联网请求的触发条件可以由人工进行手动触发,也可以是物联网应用环境中的设备自检时满足预设条件后的自动触发。
步骤7、物联网设备终端根据需要向朝MQTT Broker服务器发起基于MQTT+单向SSL的连接请求,并对该连接通道中获得的服务器端证书进行合法性校验。
步骤8、服务器端的证书合法性校验通过后,物联网设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息。
步骤9、eUICC智能卡首先校验终端的唯一标识IMEI满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给物联网设备终端。
步骤10、获取到卡片标识EID及卡片证书信息后,物联网设备终端通过EID信息向MQTT Broker服务器订阅【服务器端向终端】的消息,用于未来接收从服务器端发向该设备终端的消息。
步骤11、另外物联网设备终端也再次向MQTT Broker服务器发起基于MQTT+单向SSL的连接请求,
步骤12、然后设备终端通过该连接通道向服务器发送发起【终端到服务器】的消息,并在该消息的数据内容中提供EID信息和卡片证书信息,供服务器端进行校验。
步骤13、MQTT Broker服务器在收到【终端到服务器】的消息后,将该消息转发给对应的业务服务器前置机进行校验处理。
步骤14、业务服务器前置机对消息中的卡端证书信息进行合法性校验:
a).如果校验失败,则业务服务器前置机向MQTT Broker服务器发送关闭该设备终端的连接通道请求。由MQTT Broker服务器来关闭之前与该设备终端建立的【服务器端到终端】的信息通道。
b).如果校验成功,则完成对该设备终端的身份验证,继续后续物联网应用的业务数据操作。
步骤15、在通过服务器端和设备终端的双方身份验证后,由物联网平台的业务服务器进行具体的业务级数据处理及准备。
步骤16、业务数据准备完毕后,由服务器前置机通过与MQTT Broker服务器建立基于MQTT+单向SSL的连接通道。
步骤17、并由服务器前置机通过该通道,将业务数据通过【服务器端到终端】的消息发送给设备终端。
步骤18、设备终端收到MQTT Broker服务器发来的【服务器端到终端】消息,解析消息中的业务数据内容。
步骤19、设备终端根据业务数据内容执行对应的业务操作,由此完成物联网应用从服务器端到终端设备的操作。
在上述流程中,步骤1、2为服务器端的初始化准备,步骤3、4、5为设备终端的初始化准备,步骤6-14为设备终端和服务器端双方基于MQTT协议所进行的身份信息确认以及安全通道的建立过程,步骤15-19为服务器端与设备终端完成身份信息确认之后的业务数据传输及操作过程。
通过该流程展示了在MQTT协议为基础通信协议下,基于单向SSL强认证首先保障了数据在通信通道上的传输安全,并基于该MQTT+单向SSL建立的通道,通过进一步传输的设备终端信息来让服务器端对终端设备的身份进行校验,达到双方身份合法性互相校验的目的。并且也通过设备终端与eUICC智能卡的绑定操作,可以让执行物联网应用功能的设备终端,方便地在出厂后期通过与eUICC智能卡绑定的方式来简便快捷地增加合法身份的属性信息。通过该流程方法,完成了服务器端和设备终端之间的双向身份鉴定,以较为便捷的方式,提高了物联网应用中的端到端通信安全。
本发明通过建立MQTT+单向SSL的安全通道后,再传输的设备终端身份信息可以实现服务器端对设备终端的身份合法性校验,从而加强端到端的安全控制。通过设备终端初始化过程中与eUICC智能卡的绑定,可以为设备终端在出厂后期再附加身份信息的过程上提供便捷性和灵活性。
另一方面,本发明还提供一种物联网应用中双向身份加强鉴定系统,该系统包括服务器端和物联网设备终端,所述服务器端包括:业务服务器、业务服务器前置机和MQTTBroker服务器,所述物联网设备终端包括设备终端和eUICC智能卡;
该系统完成以下部分:
服务器端初始准备:建立MQTT Broker服务器与业务服务器前置机之间的通道连接,进而完成与物联网设备终端的信息通道;
物联网设备终端初始准备:完成设备终端唯一标识IMEI与eUICC智能卡唯一标识EID之间的一对一绑定关系;
建立基于MQTT协议的安全通信通道:所述设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端和设备终端的双方身份进行验证;所述业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTTBroker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
进一步的,包括:
对服务器端和设备终端的双方身份进行验证,具体包括:
所述设备终端开启触发基于MQTT协议的设备联网请求,所述联网请求的触发条件是:由人工进行手动触发,或者是物联网应用环境中的设备自检时满足预设条件后自动触发;设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的第一次连接请求,并通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息;设备终端向MQTT Broker服务器发起基于MQTT协议和单向SSL认证进行第二次连接请求,并通过该连接通道提供EID信息和eUICC卡片证书信息供服务器端进行校验;校验成功后,MQTT Broker服务器将带有EID信息和eUICC卡片证书信息的消息发送给业务服务器前置机进行合法性校验。
进一步的,包括:
所述通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,具体包括:
对第一次连接请求形成的连接通道中获得的服务器端证书进行合法性校验;服务器端的证书合法性校验通过后,设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息;eUICC智能卡首先校验设备终端的唯一标识IMEI,满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给设备终端;获取到卡片标识EID及eUICC卡片证书信息后,所述设备终端通过卡片标识EID信息向MQTT Broker服务器订阅第二消息,所述第二消息用于未来接收从服务器端发向该设备终端的消息。
本发明中的物联网应用中双向身份加强鉴定系统其他技术特征与对应的物联网应用中双向身份加强鉴定方法相同,在本实施例中不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种物联网应用中双向身份加强鉴定方法,其特征在于,应用于服务器端与物联网设备终端之间,该方法包括:
S1服务器端初始准备,服务器端具有业务服务器、用于身份校验的服务器前置机以及MQTT Broker服务器,建立服务器端与物联网设备终端的信息通道连接环境;
S2物联网设备终端初始准备,物联网设备终端包括设备终端和eUICC智能卡,将设备终端唯一标识IMEI与eUICC智能卡唯一标识EID进行一对一绑定;
S3设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端的身份进行验证;通过借助MQTT协议和单向SSL认证建立的连接通道,设备终端提供身份信息给服务器端,供服务器端进行物联网设备终端的身份验证;
S4验证成功后,由服务器端的业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTT Broker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
2.根据权利要求1所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S1中,服务器端初始准备,建立服务器端与物联网设备终端的信息通道环境具体包括:
在服务器端的MQTT Broker服务器上,通过基于MQTT协议以及单向SSL认证的证书校验,来建立MQTT Broker服务器与业务服务器前置机之间的通道连接;
基于所述MQTT Broker服务器与业务服务器前置机之间建立的通道,所述业务服务器前置机向MQTT Broker服务器订阅第一消息,所述第一消息用于接收来自物联网设备终端的请求信息。
3.根据权利要求2所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S2中,物联网设备终端初始准备具体包括:
S21触发初始化操作,该操作由设备管理员或设备运维人员,或者设备在初始状态下开机通电启动方式下自动触发该初始化动作;
S22在初始化过程中,设备终端将设备自身的唯一标识信息提供给eUICC智能卡,所述eUICC智能卡通过设备终端提供的终端标识IMEI,完成设备终端唯一标识与eUICC智能卡唯一标识EID之间的一对一绑定关系。
4.根据权利要求3所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S3中,对服务器端和设备终端的双方身份进行验证,具体包括:
S31所述设备终端开启触发基于MQTT协议的设备联网请求,所述联网请求的触发条件是:由人工进行手动触发,或者是物联网应用环境中的设备自检时满足预设条件后自动触发;
S32设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的第一次连接请求,并通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息;
S33设备终端向MQTT Broker服务器发起基于MQTT协议和单向SSL认证进行第二次连接请求,并通过该连接通道提供EID信息和eUICC卡片证书信息给MQTT Broker服务器;
S34 MQTT Broker服务器将带有EID信息和eUICC卡片证书信息的消息发送给业务服务器前置机进行身份合法性校验。
5.根据权利要求4所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S32中,通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,实现方法为:
S321对第一次连接请求形成的连接通道中获得的服务器端证书进行合法性校验;
S322服务器端的证书合法性校验通过后,设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息;
S323 eUICC智能卡首先校验设备终端的唯一标识IMEI,满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给设备终端;
S324获取到卡片标识EID及eUICC卡片证书信息后,所述设备终端通过卡片标识EID信息向MQTT Broker服务器订阅第二消息,所述第二消息用于未来接收从服务器端发向该设备终端的消息。
6.根据权利要求5所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S33中,通过该连接通道提供EID信息和eUICC卡片证书信息供服务器端进行校验,具体包括:
S331设备终端通过第二次请求的连接通道向MQTT Broker服务器发送第一消息,并在该消息的数据内容中提供卡片标识EID信息和eUICC卡片证书信息,供服务器端进行校验;
S332MQTT Broker服务器在收到所述第一消息后,将该消息转发给对应的业务服务器前置机进行校验处理;
S333所述业务服务器前置机对所述第一消息中的卡端证书信息进行合法性校验,若合法性校验失败,则业务服务器前置机向MQTT Broker服务器发送关闭该设备终端的连接通道请求,并由MQTT Broker服务器关闭之前与该设备终端建立的第二消息的信息通道,否则,则完成对该物联网设备终端的身份验证,继续与业务服务器进行后续物联网应用的业务数据操作。
7.根据权利要求6所述的物联网应用中双向身份加强鉴定方法,其特征在于,所述步骤S4中,完成物联网应用从服务器端到物联网终端设备的操作具体包括:
S41所述服务器前置机通过对应的连接通道将业务数据通过第二消息发送给设备终端,该连接通道为服务器前置机通过与MQTT Broker服务器建立的基于MQTT协议和单向SSL认证的连接通道;
S42所述设备终端收到MQTT Broker服务器发来的第二消息后,解析所述消息中的业务数据内容;
S43所述设备终端根据业务数据内容执行对应的业务操作,由此完成物联网应用从服务器端到终端设备的操作。
8.一种物联网应用中双向身份加强鉴定系统,其特征在于,该系统包括服务器端和物联网设备终端,所述服务器端包括:业务服务器、业务服务器前置机和MQTT Broker服务器,所述物联网设备终端包括设备终端和eUICC智能卡;
该系统完成以下部分:
服务器端初始准备:建立MQTT Broker服务器与业务服务器前置机之间的通道连接,进而完成与物联网设备终端的信息通道环境准备;
物联网设备终端初始准备:将设备终端唯一标识IMEI与eUICC智能卡唯一标识EID之间进行一对一绑定;
建立基于MQTT协议的安全通信通道:所述设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的连接请求,并对服务器端和设备终端的双方身份进行验证;所述业务服务器进行具体的业务级数据准备,并由服务器前置机通过与MQTT Broker服务器建立基于MQTT协议和单向SSL认证的连接通道,并完成物联网应用从服务器端到终端设备的操作。
9.根据权利要求8所述的物联网应用中双向身份加强鉴定系统,其特征在于,对服务器端和设备终端的双方身份进行验证,具体包括:
所述设备终端开启触发基于MQTT协议的设备联网请求,所述联网请求的触发条件是:由人工进行手动触发,或者是物联网应用环境中的设备自检时满足预设条件后自动触发;设备终端根据需要向MQTT Broker服务器发起基于MQTT协议和单向SSL认证的第一次连接请求,并通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,并将EID信息提供给MQTT Broker服务器,以此作为设备终端的唯一标识用于未来接收从服务器端发向该设备终端的消息;
设备终端向MQTT Broker服务器发起基于MQTT协议和单向SSL认证进行第二次连接请求,并通过该连接通道提供EID信息和eUICC卡片证书信息供服务器端进行校验;MQTTBroker服务器将带有EID信息和eUICC卡片证书信息的消息发送给业务服务器前置机进行身份合法性校验。
10.根据权利要求9所述的物联网应用中双向身份加强鉴定系统,其特征在于,所述通过eUICC智能卡获取卡片标识EID信息以及eUICC卡片证书信息,具体包括:
对第一次连接请求形成的连接通道中获得的服务器端证书进行合法性校验;服务器端的证书合法性校验通过后,设备终端通过访问eUICC智能卡来获取eUICC智能卡端的证书信息;eUICC智能卡首先校验终端的唯一标识IMEI,满足预期条件后,将卡片标识EID信息以及eUICC卡片证书信息,提供给设备终端;获取到卡片标识EID及eUICC卡片证书信息后,所述设备终端通过卡片标识EID信息向MQTT Broker服务器订阅第二消息,所述第二消息用于未来接收从服务器端发向该设备终端的消息。
CN202311459956.3A 2023-11-03 2023-11-03 一种物联网应用中双向身份加强鉴定方法及系统 Pending CN117527338A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311459956.3A CN117527338A (zh) 2023-11-03 2023-11-03 一种物联网应用中双向身份加强鉴定方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311459956.3A CN117527338A (zh) 2023-11-03 2023-11-03 一种物联网应用中双向身份加强鉴定方法及系统

Publications (1)

Publication Number Publication Date
CN117527338A true CN117527338A (zh) 2024-02-06

Family

ID=89759850

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311459956.3A Pending CN117527338A (zh) 2023-11-03 2023-11-03 一种物联网应用中双向身份加强鉴定方法及系统

Country Status (1)

Country Link
CN (1) CN117527338A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118400228A (zh) * 2024-06-26 2024-07-26 深圳奥联信息安全技术有限公司 终端设备的安全远程管理系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118400228A (zh) * 2024-06-26 2024-07-26 深圳奥联信息安全技术有限公司 终端设备的安全远程管理系统

Similar Documents

Publication Publication Date Title
CN112769834B (zh) 身份验证系统、方法和平台
EP2326047B1 (en) Method and system for terminal configuration and management
WO2017107732A1 (zh) 登录状态同步方法和系统
CN110913000A (zh) 业务信息的处理方法、系统和计算机可读存储介质
CN112203271B (zh) 一种通信连接方法、装置及系统
CN105306433B (zh) 一种访问虚拟机服务器的方法和装置
TWI507890B (zh) Pushlet即時通訊方法及平台
CN114338827A (zh) 物联网协议适配网关、方法及可读存储介质
CN111404695B (zh) 令牌请求验证方法和装置
CN114531254B (zh) 一种认证信息获取方法、装置、相关设备和存储介质
CN117527338A (zh) 一种物联网应用中双向身份加强鉴定方法及系统
CN114845355B (zh) 网络接入方法及装置、终端设备、网络设备、存储介质
CN112492017A (zh) 一种基于token认证的websocket连接方法及系统
CN112291514A (zh) 远程音视频通话方法、装置及ott平台
CN107211265A (zh) 一种终端间的安全交互方法及装置
CN102571717A (zh) 基于原语的m2m终端通信方法和系统
CN105306577A (zh) 基于app的手持设备间的资料共享系统及方法
CN109412811B (zh) 下发认证证书及获取认证证书的方法
CN106162645B (zh) 一种移动应用的快速重连鉴权方法及系统
CN113411771B (zh) 车辆的蓝牙控制方法和装置
CN113726731A (zh) 基于tcp实现终端app与服务器实时通讯的方法与系统
CN110839231A (zh) 一种获取终端标识的方法和设备
CN115242474B (zh) 一种实时通讯系统、方法、终端设备及存储介质
CN115914367B (zh) 智能设备的消息推送方法与系统
CN110582083B (zh) 一种移动端的server服务器系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination