WO2016206390A1 - 空口引导设置处理方法及终端设备 - Google Patents

空口引导设置处理方法及终端设备 Download PDF

Info

Publication number
WO2016206390A1
WO2016206390A1 PCT/CN2016/073930 CN2016073930W WO2016206390A1 WO 2016206390 A1 WO2016206390 A1 WO 2016206390A1 CN 2016073930 W CN2016073930 W CN 2016073930W WO 2016206390 A1 WO2016206390 A1 WO 2016206390A1
Authority
WO
WIPO (PCT)
Prior art keywords
shared key
terminal device
air interface
key
server
Prior art date
Application number
PCT/CN2016/073930
Other languages
English (en)
French (fr)
Inventor
刘星
Original Assignee
中兴通讯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中兴通讯股份有限公司 filed Critical 中兴通讯股份有限公司
Publication of WO2016206390A1 publication Critical patent/WO2016206390A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

一种空口引导设置处理方法及终端设备,该方法包括:终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息。本发明技术方案极大的提升了空口引导设置的安全性,从而极大提升了终端设备的安全性。

Description

空口引导设置处理方法及终端设备 技术领域
本文涉及移动通信终端管理中空口引导设置(OTA Bootstrap)处理技术领域,尤其涉及一种移动通信终端管理中空口引导设置(OTA Bootstrap)处理方法及终端设备。
背景技术
随着移动通信技术飞速发展,4G(4rd-generation,第四代移动通信技术)以及更强大的移动通信系统逐步应用于人们的生活与工作。尤其,进入万物互联的时代,OMA DM(Object Management Architecture Data Management,移动通信设备终端管理),作为行业广泛使用的移动终端设备管理协议,在国内外越来越多的应用于数亿各种类型的终端设备,涉及设备激活放号/参数收集/设备配置/固件升级等方面。
在OMA DM标准和协议中,Bootstrap是指将一个设备从空白状态通过配置转变成能够进行DM会话的过程,简单说就是设置设备DM服务器的方法和过程。
目前,Bootstrap有如下三种类型:
Factory Bootstrap,在出厂时将所有进行DM交互的信息预制到终端,无需再通过空口传递敏感性较高的公钥等信息,所以安全性较高但不灵活,无法动态调整。
OTA(Over-the-AirTechnology,空中下载技术)Bootstrap,不具备DM功能的终端通过WAP PUSH(Wireless Application Protocol Push,无线应用协议反馈)或者OBEX(Object Exchange,对象交换)等方式来接收来自DM服务器的Bootstrap消息,并根据消息中的内容进行相应账号配置,从而获得与DM服务器进行DM会话的能力。
Smartcard Bootstrap,终端从插入的smartcard中读取信息来完成bootstrap从而获得DM交互能力,这种方式安全性也较高但应用成本也随之增加,在实际使用中非常罕见。
由上分析可以看出,空口引导设置过程被称为OTA Bootstrap,是最为灵活高效的方式,用于使用Push机制(IP Push或者Wap Push)进行空中配置和改变设备所属的服务器账号信息。
由于OTA Bootstrap配置的是关键的服务器账号信息(包括服务器地址、鉴权信息等),所以一旦被篡改伪装,控制用户终端,后果很恶劣。黑客利用此协议标准漏洞进行攻击所需要的网络环境包括:终端设备、伪装基站和伪DM服务器,具体的流程如图1所示:
步骤101、终端设备接入黑客设置的伪装基站,注册设备的信息;
步骤102、黑客利用其它手段获取终端设备信息;
步骤103、黑客将获取的共享密钥相关设备信息传递给伪DM服务器;
步骤104、伪DM服务器根据抓取的OTA Bootstrap消息拼装伪信息并发送给受害终端;
步骤105、终端设备使用共享密钥校验通过,执行OTA Bootstrap操作,服务器账号信息被篡改;
步骤106、终端设备执行连接伪DM服务器操作;
步骤107、伪DM服务器控制终端,并下发恶意控制指令。
由上述流程可知,由于共享密钥在标准中的公知性,终端设备很难抗拒专业的黑客攻击,容易完全受非授权的DM服务器控制,存在极大的安全隐患。
发明内容
本发明要解决的技术问题是提供一种空口引导设置处理方法及终端设备,旨在提升空口引导设置的安全性,进而提升终端设备的安全性。
为了解决上述技术问题,采用如下技术方案:
一种空口引导设置处理方法,包括:
终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;
根据所述共享密钥的关键要素构建共享密钥;
通过构建的所述共享密钥对所述空口引导设置消息进行安全校验;
当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
可选地,所述终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素的步骤包括:
所述终端设备在接收到空口引导设置消息后,获取所述预置的服务器的账号信息;
根据所述预置的服务器的账号信息,与所述预置的服务器建立安全连接,由所述预置的服务器根据预设匹配规则匹配对应的共享密钥关键要素;
接收所述预置的服务器下发的共享密钥关键要素。
可选地,所述根据所述共享密钥的关键要素构建共享密钥的步骤包括:
所述终端设备通过所述共享密钥的关键要素以及所述终端设备的IMSI构建所述共享密钥。
可选地,所述通过构建的所述共享密钥对所述空口引导设置消息进行安全校验的步骤之后,该方法还包括:
当校验不通过时,所述终端设备丢弃所述空口引导设置消息。
可选地,所述方法还包括:
所述终端设备与配置的账号对应的服务器建立数据连接。
可选地,所述方法还包括:
所述终端设备根据所述关键要素与建立数据连接的服务器协商DM交互中对应的密钥算法。
一种实现空口引导设置的终端设备,包括获取模块、构建模块、校验模块和配置模块,其中:
所述获取模块设置成:在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;
所述构建模块设置成:根据所述共享密钥的关键要素构建共享密钥;
所述校验模块设置成:通过构建的所述共享密钥对所述空口引导设置消息进行安全校验;
所述配置模块设置成:当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
可选地,所述获取模块设置成按照如下方式从预置的服务器获取共享密 钥的关键要素:
在接收到空口引导设置消息后,获取所述预置的服务器的账号信息;根据所述预置的服务器的账号信息,与所述预置的服务器建立安全连接,由所述预置的服务器根据预设匹配规则匹配对应的共享密钥关键要素;接收所述预置的服务器下发的共享密钥关键要素。
可选地,所述构建模块设置成按照如下方式根据所述共享密钥的关键要素构建共享密钥:
通过所述共享密钥的关键要素以及所述终端设备的IMSI构建共享密钥。
可选地,所述校验模块还设置成:当校验不通过时,丢弃所述空口引导设置消息。
可选地,所述终端设备还包括:
连接建立模块,设置成:与配置的账号对应的服务器建立数据连接。
可选地,所述终端设备还包括:
协商模块,设置成:根据所述关键要素与建立数据连接的服务器协商DM交互中对应的密钥算法。
一种计算机程序,包括程序指令,当该程序指令被终端执行时,使得该终端可执行上述任意的空口引导设置处理方法。
一种载有所述的计算机程序的载体。
本发明实施例提出的一种空口引导设置处理方法及终端设备,终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于该方案不是直接使用公知的共享密钥进行安全校验,执行空口引导设置,而是从预置的服务器获取共享密钥的关键要素,并根据共享密钥的关键要素构建共享密钥,在校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于共享密钥可以动态获得,避免标准中公知的安全漏洞,由此极大的提升了OTA Bootstrap的安全性,从而极大提升了终端设备 的安全性;而且该方案可以不用修改服务器端的标准处理实现,仅需要微调终端设备客户端的标准处理流程,就可以实现安全的技术升级,简单易于推广,且效果良好。
附图概述
图1是相关技术中黑客利用共享密钥公知的漏洞控制终端的流程示意图;
图2是本发明空口引导设置处理方法第一实施例的流程示意图;
图3是本发明空口引导设置处理方法第二实施例的流程示意图;
图4是本发明实现空口引导设置的终端设备第一实施例的功能模块示意图;
图5是本发明实现空口引导设置的终端设备第二实施例的功能模块示意图。
本发明的较佳实施方式
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息,以提升OTA Bootstrap的安全性,进而提升终端设备的安全性。
具体地,如图2所示,本发明第一实施例提出一种空口引导设置处理方法,包括:
步骤S101,终端设备在接收到空口引导设置消息后,从预置的服务器获 取共享密钥的关键要素;
由于相关技术中,使用公知的共享密钥进行安全校验,执行空口引导设置,与DM服务器建立数据连接,而由于共享密钥在标准中的公知性,终端设备很难抗拒专业的黑客攻击,容易完全受非授权的DM服务器控制,存在极大的安全隐患。
因此,本发明实施例引入预置的服务器,基于预置的服务器实现共享密钥的动态获得,避免标准中公知密钥的安全漏洞。
其中,预置的服务器为DM服务器,其安全性可知。该预置的服务器可以根据需要选择配置,比如可以是终端设备上一次进行DM交互的服务器;当然还可以是使用预置其它功能定义的DM服务器。
终端设备在接收到空口引导设置消息(OTA Bootstrap消息)后,存储该OTA Bootstrap消息。
然后,终端设备获取预置的服务器的账号信息;根据预置的服务器的账号信息,与该预置的服务器建立安全连接。
被连接的预置的服务器,根据预设匹配规则匹配对应的共享密钥关键要素,并反馈给终端设备。
具体地,预置的服务器根据预先定义与客户端管理树匹配的共享密钥关键要素节点(比如/DevInfo/Ext/KeyInfo),下发Replace命令和对应节点值给终端设备。
当然,对于共享密钥关键要素节点的定义,还可以存在其他实施方式,比如:服务器采用不同路径的节点定义或者已有节点的复用等。
终端设备接收上述预置的服务器下发的共享密钥关键要素,从而得到共享密钥的关键要素。
步骤S102,根据所述共享密钥的关键要素构建共享密钥;
终端设备在接收到预置的服务器下发的共享密钥的关键要素后,根据共享密钥的关键要素构建共享密钥。
作为一种实施方式,可以通过共享密钥的关键要素以及该终端设备的IMSI(International Mobile Subscriber Identity,国际移动用户识别码)构建共享密钥。当然,还可以采用其它方式构建共享密钥方式,在此不作详述。
步骤S103,通过构建的所述共享密钥对所述空口引导设置消息进行安全 校验;
步骤S104,当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
终端设备使用构建的共享密钥安全校验接收的OTA Bootstrap消息,当校验通过后,执行空口引导设置过程,配置服务器账号新信息,以选择该新配置账号对应的服务器进行DM交互业务,从而获得与DM服务器进行DM会话的能力。
如果校验不通过,则视为非法OTA Bootstrap消息,予以丢弃。
本实施例通过上述方案,终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于该方案不是直接使用公知的共享密钥进行安全校验,执行空口引导设置,而是从预置的服务器获取共享密钥的关键要素,并根据共享密钥的关键要素构建共享密钥,在校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于共享密钥可以动态获得,避免标准中公知的安全漏洞,由此极大的提升了OTA Bootstrap的安全性,从而极大提升了终端设备的安全性;而且该方案可以不用修改服务器端的标准处理实现,仅需要微调终端设备客户端的标准处理流程,就可以实现安全的技术升级,简单易于推广,且效果良好。
如图3所示,本发明第二实施例提出一种空口引导设置处理方法,基于上述图2所示的实施例,所述方法还包括:
步骤S105,终端设备与配置的账号对应的服务器建立数据连接。
该步骤可以是在步骤S104之后执行的。
相比上述实施例,本实施例还包括终端设备与配置的账号对应的服务器建立数据连接的方案。
具体地,终端设备在完成空口引导设置过程,配置服务器账号新信息后,获得与DM服务器进行DM会话的能力,执行连接该配置账号对应的服务器的操作,以便与该连接的DM服务器进行DM会话。
需要说明的是,由于终端设备获取的是公知密钥的关键元素,终端设备 客户端可根据这个关键元素,与建立数据连接的服务器定义各自的密钥算法,以实现DM交互,从而最大限度的兼顾了安全与标准互通的平衡。
相比相关技术,本实施例方案存在以下优点:
1)共享密钥将动态获得,避免标准中公知的安全漏洞,即使相关标准的公知算法不改变,也能极大提高安全性;
2)相关的服务器可不需要改动,简单配置即可适用新方案,易于推广,减少技术升级带来的成本投入;
3)由于获取的是公知密钥的关键元素,客户端可根据这个关键元素与对应服务器定义各自的密钥算法,最大限度的兼顾了安全与标准互通的平衡。
对应地,提出本发明实现空口引导设置的终端设备实施例。
如图4所示,本发明第一实施例提出一种实现空口引导设置的终端设备,包括:获取模块201、构建模块202、校验模块203及配置模块204,其中:
获取模块201,设置成:在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;
构建模块202,设置成:根据所述共享密钥的关键要素构建共享密钥;
校验模块203,设置成:通过构建的所述共享密钥对所述空口引导设置消息进行安全校验;
配置模块204,设置成:当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
进一步地,获取模块201,还设置成:在接收到空口引导设置消息后,获取所述预置的服务器的账号信息;根据所述预置的服务器的账号信息,与所述预置的服务器建立安全连接,由所述预置的服务器根据预设匹配规则匹配对应的共享密钥关键要素;接收所述预置的服务器下发的共享密钥关键要素。
所述构建模块202,还设置成:通过所述共享密钥的关键要素以及所述终端设备的IMSI构建共享密钥。
所述校验模块203,还设置成:当校验不通过时,丢弃所述空口引导设置消息。
具体地,由于相关技术中,使用公知的共享密钥进行安全校验,执行空口引导设置,与DM服务器建立数据连接,而由于共享密钥在标准中的公知性,终端设备很难抗拒专业的黑客攻击,容易完全受非授权的DM服务器控制,存在极大的安全隐患。
因此,本发明实施例引入预置的服务器,基于预置的服务器实现共享密钥的动态获得,避免标准中公知密钥的安全漏洞。
其中,预置的服务器为DM服务器,其安全性可知。该预置的服务器可以根据需要选择配置,比如可以是终端设备上一次进行DM交互的服务器;当然还可以是使用预置其它功能定义的DM服务器。
终端设备在接收到空口引导设置消息(OTA Bootstrap消息)后,存储该OTA Bootstrap消息。
然后,终端设备获取预置的服务器的账号信息;根据预置的服务器的账号信息,与该预置的服务器建立安全连接。
被连接的预置的服务器,根据预设匹配规则匹配对应的共享密钥关键要素,并反馈给终端设备。
具体地,预置的服务器根据预先定义与客户端管理树匹配的共享密钥关键要素节点(比如/DevInfo/Ext/KeyInfo),下发Replace命令和对应节点值给终端设备。
当然,对于共享密钥关键要素节点的定义,还可以存在其他实施方式,比如:服务器采用不同路径的节点定义或者已有节点的复用等。
终端设备接收上述预置的服务器下发的共享密钥关键要素,从而得到共享密钥的关键要素。
终端设备在接收到预置的服务器下发的共享密钥的关键要素后,根据共享密钥的关键要素构建共享密钥。
作为一种实施方式,可以通过共享密钥的关键要素以及该终端设备的IMSI(International Mobile Subscriber Identity,国际移动用户识别码)构建共享密钥。当然,还可以采用其它方式构建共享密钥方式,在此不作详述。
之后,终端设备使用构建的共享密钥安全校验接收的OTA Bootstrap消息,当校验通过后,执行空口引导设置过程,配置服务器账号新信息,以选择该新配置账号对应的服务器进行DM交互业务,从而获得与DM服务器进 行DM会话的能力。
如果校验不通过,则视为非法OTA Bootstrap消息,予以丢弃。
本实施例通过上述方案,终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于该方案不是直接使用公知的共享密钥进行安全校验,执行空口引导设置,而是从预置的服务器获取共享密钥的关键要素,并根据共享密钥的关键要素构建共享密钥,在校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于共享密钥可以动态获得,避免标准中公知的安全漏洞,由此极大的提升了OTA Bootstrap的安全性,从而极大提升了终端设备的安全性;而且该方案可以不用修改服务器端的标准处理实现,仅需要微调终端设备客户端的标准处理流程,就可以实现安全的技术升级,简单易于推广,且效果良好。
如图5所示,本发明第二实施例提出一种实现空口引导设置的终端设备,基于上述图4所示的实施例,该终端设备还包括:
连接建立模块205,设置成:与配置的账号对应的服务器建立数据连接。
协商模块206,设置成:根据所述关键要素与建立数据连接的服务器协商DM交互中对应的密钥算法。
相比上述实施例,本实施例还包括终端设备与配置的账号对应的服务器建立数据连接的方案。
具体地,终端设备在完成空口引导设置过程,配置服务器账号新信息后,获得与DM服务器进行DM会话的能力,执行连接该配置账号对应的服务器的操作,以便与该连接的DM服务器进行DM会话。
需要说明的是,由于终端设备获取的是公知密钥的关键元素,终端设备客户端可根据这个关键元素,与建立数据连接的服务器定义各自的密钥算法,以实现DM交互,从而最大限度的兼顾了安全与标准互通的平衡。
相比相关技术,本实施例方案存在以下优点:
1)共享密钥将动态获得,避免标准中公知的安全漏洞,即使相关标准的 公知算法不改变,也能极大提高安全性;
2)相关的服务器可不需要改动,简单配置即可适用新方案,易于推广,减少技术升级带来的成本投入;
3)由于获取的是公知密钥的关键元素,客户端可根据这个关键元素与对应服务器定义各自的密钥算法,最大限度的兼顾了安全与标准互通的平衡。
本发明实施例还公开了一种计算机程序,包括程序指令,当该程序指令被终端执行时,使得该终端可执行上述任意的空口引导设置处理方法。
本发明实施例还公开了一种载有所述的计算机程序的载体。
在阅读并理解了附图和详细描述后,可以明白其他方面。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组 成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
工业实用性
本发明实施例提出的一种空口引导设置处理方法及终端设备,终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;根据共享密钥的关键要素构建共享密钥;通过构建的共享密钥对空口引导设置消息进行安全校验;当校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于该方案不是直接使用公知的共享密钥进行安全校验,执行空口引导设置,而是从预置的服务器获取共享密钥的关键要素,并根据共享密钥的关键要素构建共享密钥,在校验通过后,执行空口引导设置过程,配置服务器账号新信息,由于共享密钥可以动态获得,避免标准中公知的安全漏洞,由此极大的提升了OTA Bootstrap的安全性,从而极大提升了终端设备的安全性;而且该方案可以不用修改服务器端的标准处理实现,仅需要微调终端设备客户端的标准处理流程,就可以实现安全的技术升级,简单易于推广,且效果良好。因此本发明具有很强的工业实用性。

Claims (14)

  1. 一种空口引导设置处理方法,包括:
    终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;
    根据所述共享密钥的关键要素构建共享密钥;
    通过构建的所述共享密钥对所述空口引导设置消息进行安全校验;
    当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
  2. 根据权利要求1所述的空口引导设置处理方法,其中,所述终端设备在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素的步骤包括:
    所述终端设备在接收到空口引导设置消息后,获取所述预置的服务器的账号信息;
    根据所述预置的服务器的账号信息,与所述预置的服务器建立安全连接,由所述预置的服务器根据预设匹配规则匹配对应的共享密钥关键要素;
    接收所述预置的服务器下发的共享密钥关键要素。
  3. 根据权利要求1所述的空口引导设置处理方法,其中,所述根据所述共享密钥的关键要素构建共享密钥的步骤包括:
    所述终端设备通过所述共享密钥的关键要素以及所述终端设备的IMSI构建所述共享密钥。
  4. 根据权利要求1、2或3所述的空口引导设置处理方法,其中,所述通过构建的所述共享密钥对所述空口引导设置消息进行安全校验的步骤之后,该方法还包括:
    当校验不通过时,所述终端设备丢弃所述空口引导设置消息。
  5. 根据权利要求4所述的空口引导设置处理方法,所述方法还包括:
    所述终端设备与配置的账号对应的服务器建立数据连接。
  6. 根据权利要求5所述的空口引导设置处理方法,所述方法还包括:
    所述终端设备根据所述关键要素与建立数据连接的服务器协商DM交互中对应的密钥算法。
  7. 一种实现空口引导设置的终端设备,包括获取模块、构建模块、校验模块和配置模块,其中:
    所述获取模块设置成:在接收到空口引导设置消息后,从预置的服务器获取共享密钥的关键要素;
    所述构建模块设置成:根据所述共享密钥的关键要素构建共享密钥;
    所述校验模块设置成:通过构建的所述共享密钥对所述空口引导设置消息进行安全校验;
    所述配置模块设置成:当校验通过后,执行空口引导设置过程,配置服务器账号新信息。
  8. 根据权利要求7所述的终端设备,其中,所述获取模块设置成按照如下方式从预置的服务器获取共享密钥的关键要素:
    在接收到空口引导设置消息后,获取所述预置的服务器的账号信息;根据所述预置的服务器的账号信息,与所述预置的服务器建立安全连接,由所述预置的服务器根据预设匹配规则匹配对应的共享密钥关键要素;接收所述预置的服务器下发的共享密钥关键要素。
  9. 根据权利要求7所述的终端设备,其中,所述构建模块设置成按照如下方式根据所述共享密钥的关键要素构建共享密钥:
    通过所述共享密钥的关键要素以及所述终端设备的IMSI构建共享密钥。
  10. 根据权利要求7、8或9所述的终端设备,其中,
    所述校验模块还设置成:当校验不通过时,丢弃所述空口引导设置消息。
  11. 根据权利要求9所述的终端设备,所述终端设备还包括:
    连接建立模块,设置成:与配置的账号对应的服务器建立数据连接。
  12. 根据权利要求11所述的终端设备,所述终端设备还包括:
    协商模块,设置成:根据所述关键要素与建立数据连接的服务器协商DM交互中对应的密钥算法。
  13. 一种计算机程序,包括程序指令,当该程序指令被终端执行时,使得该终端可执行如权利要求1-6中任一项所述的空口引导设置处理方法。
  14. 一种载有如权利要求13所述的计算机程序的载体。
PCT/CN2016/073930 2015-06-23 2016-02-17 空口引导设置处理方法及终端设备 WO2016206390A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510350860.2A CN106332061B (zh) 2015-06-23 2015-06-23 空口引导设置处理方法及终端设备
CN201510350860.2 2015-06-23

Publications (1)

Publication Number Publication Date
WO2016206390A1 true WO2016206390A1 (zh) 2016-12-29

Family

ID=57584597

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2016/073930 WO2016206390A1 (zh) 2015-06-23 2016-02-17 空口引导设置处理方法及终端设备

Country Status (2)

Country Link
CN (1) CN106332061B (zh)
WO (1) WO2016206390A1 (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1832394A (zh) * 2005-03-07 2006-09-13 微软公司 带保密性的身份识别方法和系统
CN101180859A (zh) * 2005-05-25 2008-05-14 摩托罗拉公司 通信设备编程的系统和方法
US20140304323A1 (en) * 2013-04-09 2014-10-09 Sony Corporation Flexible device management bootstrap

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100544249C (zh) * 2004-10-29 2009-09-23 大唐移动通信设备有限公司 移动通信用户认证与密钥协商方法
CN100396012C (zh) * 2006-02-23 2008-06-18 华为技术有限公司 基于设备管理协议的软件合法性验证系统及验证方法
CN101951595A (zh) * 2010-08-23 2011-01-19 中兴通讯股份有限公司 空口引导设置处理方法及系统
CN101924607B (zh) * 2010-08-27 2013-01-23 华为终端有限公司 基于固件空中传输技术的固件处理方法、装置及系统
CN103747437B (zh) * 2014-01-27 2017-03-15 中国联合网络通信集团有限公司 空中下载业务的安全处理方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1832394A (zh) * 2005-03-07 2006-09-13 微软公司 带保密性的身份识别方法和系统
CN101180859A (zh) * 2005-05-25 2008-05-14 摩托罗拉公司 通信设备编程的系统和方法
US20140304323A1 (en) * 2013-04-09 2014-10-09 Sony Corporation Flexible device management bootstrap

Also Published As

Publication number Publication date
CN106332061B (zh) 2019-11-05
CN106332061A (zh) 2017-01-11

Similar Documents

Publication Publication Date Title
US10462667B2 (en) Method of providing mobile communication provider information and device for performing the same
TWI643508B (zh) 用於物聯網智能設備的智慧路由系統
US10470102B2 (en) MAC address-bound WLAN password
US10250578B2 (en) Internet key exchange (IKE) for secure association between devices
US9154483B1 (en) Secure device configuration
US20170238236A1 (en) Mac address-bound wlan password
US20210314293A1 (en) Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
EP2879421A1 (en) Terminal identity verification and service authentication method, system, and terminal
CN106230594B (zh) 一种基于动态口令进行用户认证的方法
US20230328524A1 (en) Non-3gpp device access to core network
EP3794852B1 (en) Secure methods and systems for identifying bluetooth connected devices with installed application
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
US11917416B2 (en) Non-3GPP device access to core network
TW201401897A (zh) 無線網路用戶端認證系統及其無線網路連線方法
CN111031540B (zh) 一种无线网络连接方法及计算机存储介质
Chen et al. A full lifecycle authentication scheme for large-scale smart IoT applications
Suomalainen Smartphone assisted security pairings for the Internet of Things
KR101502999B1 (ko) 일회성 비밀번호를 이용한 본인 인증 시스템 및 방법
US11949664B2 (en) Machine to machine communications
WO2016206390A1 (zh) 空口引导设置处理方法及终端设备
Stirparo et al. Secure Bluetooth for Trusted m-Commerce
Coruh et al. Lightweight offline authentication scheme for secure remote working environment
Bourdoucen Securing Communication Channels in IoT using an Android Smart Phone
CN116868609A (zh) 用于边缘数据网络的用户装备认证和授权规程
Itäpuro Smartphone as home network's trust anchor

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16813506

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16813506

Country of ref document: EP

Kind code of ref document: A1