一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊卡遠(yuǎn)程初始化方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明提供了一種物聯(lián)網(wǎng)虛擬SIM卡的初始化方法及系統(tǒng)����;方法包括:物聯(lián)網(wǎng)終端開(kāi)機(jī)并連接互聯(lián)網(wǎng)后,根據(jù)預(yù)置的地址向終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求�;終端認(rèn)證設(shè)備對(duì)物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及對(duì)應(yīng)的第二認(rèn)證編號(hào),和終端標(biāo)識(shí)一起發(fā)送給虛擬卡管理設(shè)備����,并將虛擬卡管理設(shè)備的地址、會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)加密后返回給物聯(lián)網(wǎng)終端��;物聯(lián)網(wǎng)終端使用會(huì)話密鑰對(duì)終端標(biāo)識(shí)加密后和第二認(rèn)證編號(hào)一起發(fā)送給虛擬卡管理設(shè)備;虛擬卡管理設(shè)備對(duì)物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù)��,利用會(huì)話密鑰加密后返回給物聯(lián)網(wǎng)終端�。本發(fā)明為物聯(lián)網(wǎng)虛擬SIM卡的初始化提供了一套完整的自動(dòng)化的管理方案,并能夠保證該過(guò)程的安全性�。
【專(zhuān)利說(shuō)明】一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊卡遠(yuǎn)程初始化方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及物聯(lián)網(wǎng)領(lǐng)域,尤其一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊卡遠(yuǎn)程初始化方法及系統(tǒng)��。
【背景技術(shù)】
[0002]與常規(guī)的手持移動(dòng)設(shè)備(如手機(jī)��、平板電腦等)相比��,物聯(lián)網(wǎng)的終端設(shè)備在應(yīng)用目的�、使用場(chǎng)景和工作環(huán)境方面都存在著差異。物聯(lián)網(wǎng)環(huán)境中的終端設(shè)備常具有以下特點(diǎn):
[0003]工作環(huán)境惡劣:物聯(lián)網(wǎng)終端設(shè)備經(jīng)常需要在較惡劣的環(huán)境中工作����,如車(chē)聯(lián)網(wǎng)中的汽車(chē)經(jīng)常在強(qiáng)震動(dòng)、高溫的環(huán)境中��;
[0004]工作地點(diǎn)偏遠(yuǎn):有些物聯(lián)網(wǎng)終端設(shè)備���,如智能電表等,經(jīng)常部署在人煙稀少的偏遠(yuǎn)地區(qū)�����;
[0005]網(wǎng)絡(luò)連通具有時(shí)效性:物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)連通任務(wù)經(jīng)常具備時(shí)效性,如為了防止串貨而裝配SIM(用戶(hù)識(shí)別模塊)卡的家用電器�,在確認(rèn)發(fā)貨的目的地點(diǎn)與實(shí)際使用地點(diǎn)相同后即失去了網(wǎng)絡(luò)連接的必要;
[0006]用戶(hù)無(wú)法徒手對(duì)SIM卡進(jìn)行插拔等操作:由于物聯(lián)網(wǎng)終端設(shè)備的放置SIM卡位置往往不易觸及�����,用戶(hù)無(wú)法徒手對(duì)SIM卡進(jìn)行插拔操作�����。
[0007]現(xiàn)有的SIM卡解決方案包括以下幾種:
[0008]傳統(tǒng)的可插拔SIM卡:可插拔SIM卡具有造價(jià)相對(duì)低廉�����、更換與回收比較方便����、管理方案成熟等優(yōu)勢(shì),但由于物理形態(tài)的缺陷����,無(wú)法滿(mǎn)足物聯(lián)網(wǎng)在惡劣環(huán)境中的應(yīng)用場(chǎng)景。
[0009]嵌入式SM卡:為了滿(mǎn)足車(chē)聯(lián)網(wǎng)等特殊應(yīng)用場(chǎng)景,業(yè)界也推出了嵌入式SM卡����。此類(lèi)SM卡可直接鑲嵌在終端設(shè)備中,具有物理形態(tài)穩(wěn)定的優(yōu)勢(shì)�����。但現(xiàn)階段的嵌入式SIM卡工藝較為復(fù)雜��,制造��、裝配成本十分昂貴(約為傳統(tǒng)SIM卡價(jià)格的8-12倍)���,無(wú)法滿(mǎn)足一些服役時(shí)間較短(如用于防止串貨的家用電器內(nèi)的SIM卡)的物聯(lián)網(wǎng)場(chǎng)景需求�����。
[0010]新型虛擬SM卡:為了降低成本��、滿(mǎn)足多種物聯(lián)網(wǎng)場(chǎng)景需求��,業(yè)界浮現(xiàn)了一種新形態(tài)的虛擬SIM卡���。這種SIM卡不具備實(shí)體���,可以以軟件的形式下載到終端設(shè)備的操作系統(tǒng)中����,通過(guò)用戶(hù)操作完成該虛擬SIM卡的身份認(rèn)證和虛擬SM卡數(shù)據(jù)下載等初始化流程。但由于物聯(lián)網(wǎng)終端應(yīng)用場(chǎng)景的特殊性�����,很多情況下(比如偏遠(yuǎn)地區(qū)或惡劣環(huán)境中)的物聯(lián)網(wǎng)終端只能通過(guò)遠(yuǎn)程方式管理��,用戶(hù)無(wú)法現(xiàn)場(chǎng)進(jìn)行初始化操作���,如果事先將虛擬SIM卡數(shù)據(jù)保存到物聯(lián)網(wǎng)終端中��,那么在物聯(lián)網(wǎng)終端安裝之前如果被不法分子接觸的話�����,有可能盜取或篡改該虛擬SIM卡數(shù)據(jù)���,因此存在不安全因素。如果考慮待物聯(lián)網(wǎng)終端安裝到位后再申請(qǐng)?zhí)摂MSIM卡數(shù)據(jù)�,則需要物聯(lián)網(wǎng)終端能夠自動(dòng)完成身份認(rèn)證和下載虛擬SIM卡數(shù)據(jù)的全過(guò)程,并保證該過(guò)程中的安全性;目前業(yè)界對(duì)此還沒(méi)有一種有效的解決手段�。
【發(fā)明內(nèi)容】
[0011]本發(fā)明要解決的技術(shù)問(wèn)題是為物聯(lián)網(wǎng)虛擬SIM卡的初始化提供一套完整的自動(dòng)化的管理方案,并能夠保證該過(guò)程的安全性���,對(duì)拓展物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景具有實(shí)際意義�����。
[0012]為了解決上述問(wèn)題�,本發(fā)明提供了一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊SM卡的初始化方法�,包括:
[0013]101、物聯(lián)網(wǎng)終端開(kāi)機(jī)并連接互聯(lián)網(wǎng)后��,根據(jù)預(yù)置的地址向運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求���,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí)以及預(yù)置的�����、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)����;
[0014]102����、所述終端認(rèn)證設(shè)備收到所述連接請(qǐng)求后�����,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí),如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào)��,和所述終端標(biāo)識(shí)一起發(fā)送給運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備����,并將所述虛擬卡管理設(shè)備的地址、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端��;
[0015]103�、所述物聯(lián)網(wǎng)終端利用所述根密鑰解密后,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后���,和所述第二認(rèn)證編號(hào)一起攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備�;
[0016]104���、所述虛擬卡管理設(shè)備收到所述卡數(shù)據(jù)請(qǐng)求后���,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí)�,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù)����,利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端。
[0017]可選地���,所述預(yù)置的地址和虛擬卡管理設(shè)備的地址均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址����;所述物聯(lián)網(wǎng)與所述終端認(rèn)證設(shè)備�����、所述虛擬卡管理設(shè)備之間的交互是通過(guò)VPN連接�,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信;
[0018]所述步驟102中����,所述終端認(rèn)證設(shè)備通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備����。
[0019]可選地,所述步驟104后還包括:
[0020]105���、所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰解密得到所述虛擬SIM卡數(shù)據(jù)���,并得到的虛擬SM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中����。
[0021]可選地���,所述步驟101中還包括:
[0022]所述物聯(lián)網(wǎng)終端利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中��;
[0023]所述步驟102中的認(rèn)證成功包括:
[0024]解密得到的所述終端標(biāo)識(shí)存在于所述終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中���;且所述終端認(rèn)證設(shè)備利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻�,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值�����。
[0025]可選地����,所述步驟103中還包括:
[0026]所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中��;
[0027]所述步驟102后還包括:所述虛擬卡管理設(shè)備將從所述終端認(rèn)證設(shè)備收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中;
[0028]所述步驟104中的認(rèn)證成功包括:
[0029]解密得到的所述終端標(biāo)識(shí)存在于所述虛擬卡管理設(shè)備的終端信息庫(kù)中��,且所述虛擬卡管理設(shè)備利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻����,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值。
[0030]本發(fā)明還提供了一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊SM卡的初始化系統(tǒng)���,包括:物聯(lián)網(wǎng)終端�,運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備和虛擬卡管理設(shè)備��;
[0031]所述物聯(lián)網(wǎng)終端用于在開(kāi)機(jī)并連接互聯(lián)網(wǎng)后��,根據(jù)預(yù)置的地址向所述終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求�,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí),以及預(yù)置的���、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)����;當(dāng)收到所述終端認(rèn)證設(shè)備返回的信息后���,利用根密鑰解密����,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后,攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備���;
[0032]所述終端認(rèn)證設(shè)備用于收到所述連接請(qǐng)求后�,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí)��,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào)�����,和所述終端標(biāo)識(shí)一起發(fā)送給所述虛擬卡管理設(shè)備�,并將所述虛擬卡管理設(shè)備的地址��、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端�����;
[0033]所述虛擬卡管理設(shè)備用于收到所述卡數(shù)據(jù)請(qǐng)求后�,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí),如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù)����,利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端��。
[0034]可選地�����,所述預(yù)置的地址和虛擬卡管理設(shè)備的地址均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址�;所述物聯(lián)網(wǎng)與所述終端認(rèn)證設(shè)備����、所述虛擬卡管理設(shè)備之間的交互是通過(guò)VPN連接,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信����;所述終端認(rèn)證設(shè)備通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備���。
[0035]可選地��,所述物聯(lián)網(wǎng)終端還用于利用所述會(huì)話密鑰解密得到所述虛擬SM卡數(shù)據(jù)����,并得到的虛擬SM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中���。
[0036]可選地�����,所述物聯(lián)網(wǎng)終端還用于利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳��;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中��;
[0037]所述終端認(rèn)證設(shè)備對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功是指:
[0038]所述終端認(rèn)證設(shè)備解密得到的所述終端標(biāo)識(shí)存在于本終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中��;且利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻��,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值���。
[0039]可選地�����,所述物聯(lián)網(wǎng)終端還用于利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中�;
[0040]所述虛擬卡管理設(shè)備還用于將從所述終端認(rèn)證設(shè)備收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中;
[0041]所述虛擬卡管理設(shè)備對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功是指:
[0042]所述虛擬卡管理設(shè)備解密得到的所述終端標(biāo)識(shí)存在于本虛擬卡管理設(shè)備的終端信息庫(kù)中�����,且利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值��。
[0043]本發(fā)明的至少一個(gè)實(shí)施例為物聯(lián)網(wǎng)環(huán)境下的虛擬SIM卡的初始化提供一套完整的自動(dòng)化管理方案�,物聯(lián)網(wǎng)終端、終端認(rèn)證設(shè)備和虛擬卡管理設(shè)備三者通過(guò)在互聯(lián)網(wǎng)上的相互交互來(lái)完成對(duì)物聯(lián)網(wǎng)終端的身份認(rèn)證��,繼而再生成虛擬SM卡數(shù)據(jù)下發(fā)�����,保證了安全性�;本發(fā)明的又一個(gè)實(shí)施例采用時(shí)間戳加密方法,可以實(shí)現(xiàn)對(duì)重放攻擊等針對(duì)物聯(lián)網(wǎng)的常見(jiàn)惡意攻擊的防范�,以滿(mǎn)足各類(lèi)型的物聯(lián)網(wǎng)場(chǎng)景。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0044]圖1為實(shí)施例一的物聯(lián)網(wǎng)虛擬SM卡的初始化方法的流程示意圖�;
[0045]圖2為實(shí)施例二的物聯(lián)網(wǎng)虛擬SIM卡的初始化系統(tǒng)的示意框圖。
【具體實(shí)施方式】
[0046]下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說(shuō)明���。
[0047]需要說(shuō)明的是�,如果不沖突�,本發(fā)明實(shí)施例以及實(shí)施例中的各個(gè)特征可以相互結(jié)合,均在本發(fā)明的保護(hù)范圍之內(nèi)�����。另外,雖然在流程圖中示出了邏輯順序�,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟����。
[0048]實(shí)施例一、一種物聯(lián)網(wǎng)虛擬SIM卡的初始化方法�����,如圖1所示�,包括:
[0049]101、物聯(lián)網(wǎng)終端開(kāi)機(jī)并連接互聯(lián)網(wǎng)后�����,根據(jù)預(yù)置的地址向運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求����,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí)以及預(yù)置的、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)�;
[0050]102、所述終端認(rèn)證設(shè)備收到所述連接請(qǐng)求后���,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí)���,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào),和所述終端標(biāo)識(shí)一起發(fā)送給運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備�,并將所述虛擬卡管理設(shè)備的地址、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端���;
[0051]103����、所述物聯(lián)網(wǎng)終端利用所述根密鑰解密后�,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后,和所述第二認(rèn)證編號(hào)一起攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備��;
[0052]104�����、所述虛擬卡管理設(shè)備收到所述卡數(shù)據(jù)請(qǐng)求后�����,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí)��,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù)�����,利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端。
[0053]本實(shí)施例中�,物聯(lián)網(wǎng)終端開(kāi)機(jī)并連接互聯(lián)網(wǎng)(可通過(guò)無(wú)線局域網(wǎng)絡(luò)WLAN等方式連接互聯(lián)網(wǎng))后可以自動(dòng)從運(yùn)營(yíng)商側(cè)的設(shè)備中獲取虛擬SIM卡數(shù)據(jù),從而完成虛擬SM卡的初始化工作�,后續(xù)就可以由虛擬SIM卡通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互;整個(gè)獲取過(guò)程通過(guò)密鑰加密�����,且物聯(lián)網(wǎng)終端中僅預(yù)置終端認(rèn)證設(shè)備的地址����,待第一次認(rèn)證成功后才能獲得虛擬卡管理設(shè)備的地址以進(jìn)行第二次認(rèn)證,虛擬卡管理設(shè)備中只存在已通過(guò)第一次認(rèn)證的終端標(biāo)識(shí)�,因此本實(shí)施例可杜絕冒充合法物聯(lián)網(wǎng)終端獲取虛擬SIM卡數(shù)據(jù)的可能性。
[0054]本實(shí)施例中�����,所述終端認(rèn)證設(shè)備和虛擬卡管理設(shè)備屬于運(yùn)營(yíng)商側(cè)�����,可以是獨(dú)立的設(shè)備���,也可以復(fù)用已有的運(yùn)營(yíng)商側(cè)設(shè)備�����。
[0055]本實(shí)施例的一種實(shí)施方式中���,所述預(yù)置的地址和虛擬卡管理設(shè)備的地址均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址;所述物聯(lián)網(wǎng)終端與所述終端認(rèn)證設(shè)備���、所述虛擬卡管理設(shè)備之間的交互是通過(guò)VPN連接�,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信�����;
[0056]所述步驟102中����,所述終端認(rèn)證設(shè)備通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備�����。
[0057]本實(shí)施例的一種實(shí)施方式中�����,所述步驟101中還可以包括:
[0058]所述物聯(lián)網(wǎng)終端利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中�����;
[0059]所述步驟102中的認(rèn)證成功具體可以包括:
[0060]解密得到的所述終端標(biāo)識(shí)存在于所述終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中�;且所述終端認(rèn)證設(shè)備利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值�����。
[0061]本實(shí)施方式中����,所述步驟103中還可以包括:
[0062]所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中��;
[0063]所述步驟102后還包括:所述虛擬卡管理設(shè)備將從所述終端認(rèn)證設(shè)備收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中��;
[0064]所述步驟104中的認(rèn)證成功具體可以包括:
[0065]解密得到的所述終端標(biāo)識(shí)存在于所述虛擬卡管理設(shè)備的終端信息庫(kù)中���,且所述虛擬卡管理設(shè)備利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻�����,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值�。
[0066]本實(shí)施方式中通過(guò)加入時(shí)間戳來(lái)判斷發(fā)送時(shí)間的長(zhǎng)短是否合理,可以防范重放攻擊�;重放攻擊是指攻擊者截獲報(bào)文后,偽造發(fā)送者再次向接受者發(fā)送認(rèn)證請(qǐng)求而獲得到接收者的回復(fù)報(bào)文�����,達(dá)到信息竊取等目標(biāo)的一種中間人攻擊形式���。但是由于本實(shí)施方式中的每個(gè)時(shí)間戳均具有唯一性,而重放攻擊只能重復(fù)發(fā)送截獲到的過(guò)期報(bào)文��,接收者通過(guò)判斷時(shí)間跨度是否合理�,就可以有效甄別該攻擊者的惡意報(bào)文。
[0067]所述第一��、第二閾值為可信時(shí)間誤差�����,可以分別根據(jù)物聯(lián)網(wǎng)終端將報(bào)文發(fā)送到終端認(rèn)證設(shè)備/虛擬卡管理設(shè)備的合理時(shí)間長(zhǎng)度來(lái)確定��;所述第一、第二閾值可以相同也可以不同�����。
[0068]本實(shí)施例的一種實(shí)施方式中��,所述步驟104后還可以包括:
[0069]105����、所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰解密得到所述虛擬SIM卡數(shù)據(jù),并得到的虛擬SM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中����。
[0070]本實(shí)施例的一個(gè)具體例子如下,包括步驟SI?S23��。
[0071]S1����、物聯(lián)網(wǎng)終端開(kāi)機(jī)。
[0072]S2�����、物聯(lián)網(wǎng)終端搜索無(wú)線網(wǎng)絡(luò)并嘗試連接���。
[0073]S3��、物聯(lián)網(wǎng)終端判斷是否成功連接至無(wú)線網(wǎng)絡(luò)�,如果是則跳至步驟S5 ;如果無(wú)法連接至無(wú)線網(wǎng)絡(luò),則進(jìn)行步驟S4�����。
[0074]S4��、物聯(lián)網(wǎng)終端通知用戶(hù)無(wú)法找到無(wú)線網(wǎng)絡(luò)�����,并返回步驟S2���。
[0075]S5、物聯(lián)網(wǎng)終端獲取當(dāng)前時(shí)刻h�����,利用根密鑰&進(jìn)行加密形成時(shí)間戳tSl�����。
[0076]S6、物聯(lián)網(wǎng)終端利用根密鑰&將終端ID進(jìn)行加密��。
[0077]S7�、物聯(lián)網(wǎng)終端向內(nèi)置的運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備的VPN服務(wù)器地址發(fā)送連接請(qǐng)求,將時(shí)間戳tSl���、加密后的終端ID及預(yù)置的��、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)發(fā)送至終端認(rèn)證設(shè)備�。
[0078]S8��、終端認(rèn)證設(shè)備接收到連接請(qǐng)求后��,利用對(duì)應(yīng)于所述連接請(qǐng)求中的第一認(rèn)證編號(hào)的根密鑰&進(jìn)行解密����,得到終端ID及時(shí)刻h,并自動(dòng)與終端認(rèn)證庫(kù)信息及當(dāng)前時(shí)間信息進(jìn)行對(duì)比���。
[0079]S9�����、終端認(rèn)證設(shè)備若在本設(shè)備預(yù)置的終端信息庫(kù)內(nèi)發(fā)現(xiàn)該終端ID�����,并且當(dāng)前時(shí)刻(t!+x(x為可信時(shí)間誤差)����,即成功認(rèn)證該終端,并跳至步驟Sll ;若無(wú)法在終端信息庫(kù)內(nèi)發(fā)現(xiàn)該終端ID或當(dāng)前時(shí)刻> Α+χ�����,則進(jìn)行步驟S10�。
[0080]S10、認(rèn)證失敗�,終端認(rèn)證設(shè)備拒絕請(qǐng)求,并跳至步驟S23���。
[0081]S11、終端認(rèn)證設(shè)備自動(dòng)生成會(huì)話密鑰Ks以及唯一對(duì)應(yīng)于該會(huì)話密鑰Ks的第二認(rèn)證編號(hào)CID���,并將終端ID�、會(huì)話密鑰Ks與所述第二認(rèn)證編號(hào)CID通過(guò)2層VPN連接發(fā)送至運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備���。
[0082]S12�����、終端認(rèn)證設(shè)備將虛擬卡管理設(shè)備的VPN服務(wù)器地址��、會(huì)話密鑰Ks與所述第二認(rèn)證編號(hào)CID利用根密鑰&加密后��,返回給物聯(lián)網(wǎng)終端����。
[0083]S13、運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備收到終端ID��、會(huì)話密鑰Ks與所述第二認(rèn)證編號(hào)CID后存儲(chǔ)至終端信息庫(kù)�����。
[0084]S14�、物聯(lián)網(wǎng)終端接收到終端認(rèn)證模塊返回的信息后,利用根密鑰&進(jìn)行解密���,得到虛擬卡管理設(shè)備的VPN服務(wù)器地址�����、會(huì)話密鑰Ks與所述第二認(rèn)證編號(hào)CID�����。
[0085]S15����、物聯(lián)網(wǎng)終端自動(dòng)獲取當(dāng)前時(shí)刻&,利用會(huì)話密鑰Ks進(jìn)行加密�,形成時(shí)間戳
t Sg O
[0086]S16、物聯(lián)網(wǎng)終端利用會(huì)話密鑰Ks對(duì)終端ID進(jìn)行加密�����。
[0087]S17����、物聯(lián)網(wǎng)終端向虛擬卡管理設(shè)備的VPN服務(wù)器地址發(fā)送卡數(shù)據(jù)請(qǐng)求,將時(shí)間戳ts2���、加密后的終端ID以及所述第二認(rèn)證編號(hào)CID發(fā)送至虛擬卡管理設(shè)備����。
[0088]S18�、虛擬卡管理設(shè)備接收到卡數(shù)據(jù)請(qǐng)求后�����,根據(jù)第二認(rèn)證編號(hào)CID對(duì)應(yīng)的會(huì)話密鑰Ks解密報(bào)文,得到終端ID與時(shí)刻t2�����。
[0089]S19���、虛擬卡管理設(shè)備若在本設(shè)備的終端信息庫(kù)中發(fā)現(xiàn)終端ID��,并且當(dāng)前時(shí)刻(t2+x����,即成功認(rèn)證該物聯(lián)網(wǎng)終端��,并跳至步驟S21 ;虛擬卡管理設(shè)備若無(wú)法在終端信息庫(kù)中發(fā)現(xiàn)終端ID�,并且當(dāng)前時(shí)間> t2+x,則進(jìn)行步驟S20�����。
[0090]S20���、認(rèn)證失敗���,虛擬卡管理設(shè)備拒絕請(qǐng)求����,并跳至步驟S23��。
[0091]S21���、虛擬卡管理設(shè)備生成虛擬SM卡數(shù)據(jù)�,利用會(huì)話密鑰Ks加密���,向物聯(lián)網(wǎng)終端返回虛擬SIM卡數(shù)據(jù)����。
[0092]S22��、終端接收并利用會(huì)話密鑰Ks解密后�,得到虛擬SIM卡數(shù)據(jù),并將該虛擬SIM卡數(shù)據(jù)存儲(chǔ)至終端上的安全存儲(chǔ)區(qū)中����。
[0093]S23�、流程結(jié)束�。
[0094]實(shí)施例二�、一種物聯(lián)網(wǎng)虛擬SIM卡的初始化系統(tǒng),如圖2所示��,包括:
[0095]物聯(lián)網(wǎng)終端21�、運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備22和虛擬卡管理設(shè)備23 ;
[0096]所述物聯(lián)網(wǎng)終端21用于在開(kāi)機(jī)并連接互聯(lián)網(wǎng)后���,根據(jù)預(yù)置的地址向所述終端認(rèn)證設(shè)備22發(fā)送連接請(qǐng)求�����,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí)����,以及預(yù)置的����、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào);當(dāng)收到所述終端認(rèn)證設(shè)備22返回的信息后���,利用根密鑰解密���,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后���,攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備23 ;
[0097]所述終端認(rèn)證設(shè)備22用于收到所述連接請(qǐng)求后�,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí),如果對(duì)所述物聯(lián)網(wǎng)終端21認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào)��,和所述終端標(biāo)識(shí)一起發(fā)送給所述虛擬卡管理設(shè)備23�����,并將所述虛擬卡管理設(shè)備23的地址��、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端21 ��;
[0098]所述虛擬卡管理設(shè)備23用于收到所述卡數(shù)據(jù)請(qǐng)求后�,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí),如果對(duì)所述物聯(lián)網(wǎng)終端21認(rèn)證成功則生成虛擬SM卡數(shù)據(jù)��,利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端21�。
[0099]本實(shí)施例的一種實(shí)施方式中,所述預(yù)置的地址和虛擬卡管理設(shè)備23的地址可以均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址��;所述物聯(lián)網(wǎng)終端21與所述終端認(rèn)證設(shè)備22���、所述虛擬卡管理設(shè)備23之間可以是通過(guò)本物聯(lián)網(wǎng)終端中的VPN客戶(hù)端采用VPN連接進(jìn)行交互�����,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信����;所述終端認(rèn)證設(shè)備22可以通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)���、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備23�。
[0100]本實(shí)施例的一種實(shí)施方式中��,所述物聯(lián)網(wǎng)終端21還可以用于利用所述會(huì)話密鑰解密得到所述虛擬SIM卡數(shù)據(jù)��,并得到的虛擬SM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中���。
[0101]本實(shí)施例的一種實(shí)施方式中�,所述物聯(lián)網(wǎng)終端21還可以用于利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳����;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中;
[0102]所述終端認(rèn)證設(shè)備22對(duì)所述物聯(lián)網(wǎng)終端21認(rèn)證成功具體可以是指:
[0103]所述終端認(rèn)證設(shè)備22解密得到的所述終端標(biāo)識(shí)存在于本終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中��;且利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值��。
[0104]本實(shí)施例的一種實(shí)施方式中����,所述物聯(lián)網(wǎng)終端21還可以用于利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中�;
[0105]所述虛擬卡管理設(shè)備23還可以用于將從所述終端認(rèn)證設(shè)備22收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中;
[0106]所述虛擬卡管理設(shè)備23對(duì)所述物聯(lián)網(wǎng)終端21認(rèn)證成功具體可以是指:
[0107]所述虛擬卡管理設(shè)備23解密得到的所述終端標(biāo)識(shí)存在于本虛擬卡管理設(shè)備的終端信息庫(kù)中����,且利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值����。
[0108]本實(shí)施例的一個(gè)具體例子中,所述物聯(lián)網(wǎng)終端21中包括用于存儲(chǔ)虛擬SM卡數(shù)據(jù)的安全芯片模塊���,其中至少包括安全存儲(chǔ)區(qū)(存儲(chǔ)虛擬SIM卡數(shù)據(jù)����、根密鑰����、時(shí)間戳等信息)以及負(fù)責(zé)與其他模塊安全通信的VPN客戶(hù)端子模塊�����。
[0109]運(yùn)營(yíng)商側(cè)建立的終端認(rèn)證設(shè)備22具備接收物聯(lián)網(wǎng)終端21的連接請(qǐng)求���、認(rèn)證物聯(lián)網(wǎng)終端、向物聯(lián)網(wǎng)終端21發(fā)送會(huì)話密鑰�、加解密等能力��。
[0110]同時(shí)運(yùn)營(yíng)商側(cè)應(yīng)該建立虛擬卡管理設(shè)備23�����,具備接收物聯(lián)網(wǎng)終端21的卡數(shù)據(jù)請(qǐng)求�����、認(rèn)證物聯(lián)網(wǎng)終端21���、生成虛擬SM卡數(shù)據(jù)���、建立空中安全信道、傳輸卡數(shù)據(jù)�、加解密等功倉(cāng)泛��。
[0111]所述物聯(lián)網(wǎng)終端21與終端認(rèn)證設(shè)備22����、虛擬卡管理設(shè)備23之間的通信都是基于VPN技術(shù)的安全通信�,并且通過(guò)根密鑰與時(shí)間戳方法加密,防范重放攻擊等針對(duì)物聯(lián)網(wǎng)場(chǎng)景的惡意攻擊����。
[0112]所述物聯(lián)網(wǎng)終端21的安全芯片模塊包括四個(gè)子模塊:
[0113]根密鑰存儲(chǔ)子模塊:用于存儲(chǔ)終端根密鑰&,以及唯一對(duì)應(yīng)于該根密鑰&的第一認(rèn)證編號(hào)�;根密鑰&用于對(duì)向終端認(rèn)證設(shè)備發(fā)送的認(rèn)證信息進(jìn)行加密。根密鑰&在終端出廠時(shí)被賦予�����,具有唯一性����,且在終端認(rèn)證設(shè)備中同時(shí)存儲(chǔ)著第一認(rèn)證編號(hào)與對(duì)應(yīng)根密鑰& ;
[0114]卡數(shù)據(jù)存儲(chǔ)子模塊:用于存儲(chǔ)虛擬卡數(shù)據(jù);
[0115]VPN客戶(hù)端子模塊:用于與其他兩個(gè)模塊建立安全通信信道���;
[0116]時(shí)鐘子模塊:利用時(shí)間信息t���,生成認(rèn)證時(shí)間戳ts��,此計(jì)時(shí)器模塊在終端出廠時(shí)與認(rèn)證設(shè)備進(jìn)行同步校驗(yàn)�����,確保時(shí)間統(tǒng)一��。
[0117]在物聯(lián)網(wǎng)終端21出廠前����,VPN客戶(hù)端子模塊內(nèi)會(huì)內(nèi)置所述終端認(rèn)證設(shè)備22的VPN服務(wù)器地址��、與終端標(biāo)識(shí)對(duì)應(yīng)的根密鑰�����、及唯一對(duì)應(yīng)于該根密鑰的第一認(rèn)證編號(hào)�。在物聯(lián)網(wǎng)終端21第一次開(kāi)機(jī)��、且附近有無(wú)線網(wǎng)絡(luò)時(shí)����,VPN客戶(hù)端自動(dòng)啟動(dòng)并尋找內(nèi)置的VPN服務(wù)器地址,與終端認(rèn)證設(shè)備22建立VPN連接�。建立連接后���,物聯(lián)網(wǎng)終端21自動(dòng)發(fā)起連接請(qǐng)求,并將的終端ID等信息利用根密鑰&進(jìn)行加密�����,同時(shí)截取時(shí)鐘子模塊當(dāng)前時(shí)間信息h���,利用根密鑰&進(jìn)行加密����,形成時(shí)間戳tSl�����。加密完畢后�����,物聯(lián)網(wǎng)終端21會(huì)將所述第一認(rèn)證編號(hào)��、加密后的終端ID與時(shí)間戳tSl發(fā)送至終端認(rèn)證設(shè)備22���。在終端認(rèn)證設(shè)備22成功認(rèn)證該物聯(lián)網(wǎng)終端21后�,接收虛擬卡管理設(shè)備23的VPN服務(wù)器地址、會(huì)話密鑰Ks����、唯一對(duì)應(yīng)于該會(huì)話密鑰Ks的第二認(rèn)證編號(hào)。
[0118]在獲取虛擬卡管理設(shè)備23的VPN服務(wù)器地址����、會(huì)話密鑰Ks后,物聯(lián)網(wǎng)終端21自動(dòng)向虛擬卡管理設(shè)備23發(fā)送卡數(shù)據(jù)請(qǐng)求�����,并建立VPN連接�����,截取時(shí)鐘子模塊當(dāng)前時(shí)間信息t2��,利用會(huì)話密鑰Ks進(jìn)行加密后��,生成新的時(shí)間戳ts2����,并和利用所述會(huì)話密鑰Ks加密后的終端標(biāo)識(shí)�、以及所述第二認(rèn)證編號(hào)一起攜帶在所述卡數(shù)據(jù)請(qǐng)求中���。待虛擬卡管理設(shè)備23利用卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰Ks成功解密認(rèn)證請(qǐng)求以及時(shí)間戳ts2并認(rèn)證成功后返回虛擬SIM卡數(shù)據(jù),物聯(lián)網(wǎng)終端21在成功接收到虛擬SIM卡數(shù)據(jù)后�����,將虛擬SIM卡數(shù)據(jù)存儲(chǔ)至安全存儲(chǔ)區(qū)�。
[0119]運(yùn)營(yíng)商側(cè)的所述終端認(rèn)證設(shè)備22包括兩大部分:終端信息庫(kù)與VPN服務(wù)器模塊;
[0120]終端信息庫(kù)用作儲(chǔ)存終端信息��、所述第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰&信息���、終端ID對(duì)應(yīng)的虛擬卡管理設(shè)備會(huì)話密鑰及會(huì)話密鑰對(duì)應(yīng)的第二認(rèn)證編號(hào)���。
[0121]VPN服務(wù)器模塊用于與物聯(lián)網(wǎng)終端21、虛擬卡管理設(shè)備23建立安全通信�,與物聯(lián)網(wǎng)終端的通信方式為客戶(hù)端-服務(wù)器方式,與虛擬卡管理設(shè)備23的通信方式為2層安全通道方式��。
[0122]當(dāng)收到物聯(lián)網(wǎng)終端21的連接請(qǐng)求后��,VPN服務(wù)器模塊利用連接請(qǐng)求中第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰&將請(qǐng)求報(bào)文與時(shí)間戳tSl解密���,得到終端ID與時(shí)間信息h����,再自動(dòng)將接收到的終端ID與終端信息庫(kù)內(nèi)信息,時(shí)間信息h與當(dāng)前時(shí)間(允許有可信的時(shí)間誤差X)進(jìn)行比對(duì)�����。如果終端ID與時(shí)間信息h均認(rèn)證成功����,則生成會(huì)話密鑰Ks及該會(huì)話密鑰Ks對(duì)應(yīng)的第二認(rèn)證編號(hào),并將終端ID���、會(huì)話密鑰Ks及所述第二認(rèn)證編號(hào)利用VPN安全信道發(fā)送至虛擬卡管理設(shè)備23�����,同時(shí)將虛擬卡管理設(shè)備的VPN服務(wù)器地址��、會(huì)話密鑰Ks及所述第二認(rèn)證編號(hào)利用根密鑰&加密后返回至物聯(lián)網(wǎng)終端21���,使認(rèn)證后的物聯(lián)網(wǎng)終端21可以與虛擬卡管理設(shè)備23進(jìn)行VPN連接���,進(jìn)行后續(xù)卡下載流程��。
[0123]運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備23包括三大部分:終端信息庫(kù)���、寫(xiě)卡模塊以及VPN服務(wù)器模塊�����。
[0124]終端信息庫(kù)用于存儲(chǔ)終端認(rèn)證設(shè)備22發(fā)送的終端ID����、會(huì)話密鑰Ks及會(huì)話密鑰Ks對(duì)應(yīng)的第二認(rèn)證編號(hào)��。
[0125]寫(xiě)卡模塊用于生成虛擬SM卡數(shù)據(jù)��。
[0126]VPN服務(wù)器模塊用于與物聯(lián)網(wǎng)終端21和終端認(rèn)證設(shè)備22建立安全通信�,與物聯(lián)網(wǎng)終端21的通信方式為客戶(hù)端-服務(wù)器方式,與終端認(rèn)證設(shè)備22的通信方式為2層安全通道方式��。
[0127]當(dāng)收到終端認(rèn)證設(shè)備22發(fā)送的信息后�,VPN服務(wù)器模塊自動(dòng)將終端ID、會(huì)話密鑰Ks及該會(huì)話密鑰Ks對(duì)應(yīng)的第二認(rèn)證編號(hào)存儲(chǔ)至終端信息庫(kù)�����。當(dāng)接收到物聯(lián)網(wǎng)終端21發(fā)送卡數(shù)據(jù)請(qǐng)求后,利用卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰Ks解密終端ID與時(shí)間戳ts2��,并且自動(dòng)對(duì)比終端信息庫(kù)內(nèi)的終端ID��,當(dāng)前時(shí)間t2 (允許有可信的時(shí)間誤差X)是否正確��。如對(duì)比信息正確�����,寫(xiě)卡模塊會(huì)生成虛擬SIM卡數(shù)據(jù),同時(shí)VPN服務(wù)器模塊與物聯(lián)網(wǎng)終端21建立安全連接����,向物聯(lián)網(wǎng)終端21發(fā)送虛擬SM卡數(shù)據(jù)����。
[0128]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過(guò)程序來(lái)指令相關(guān)硬件完成,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,如只讀存儲(chǔ)器�����、磁盤(pán)或光盤(pán)等?����?蛇x地,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來(lái)實(shí)現(xiàn)���。相應(yīng)地����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)�,也可以采用軟件功能模塊的形式實(shí)現(xiàn)����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。
[0129]當(dāng)然��,本發(fā)明還可有其他多種實(shí)施例���,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形��,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍�。
【權(quán)利要求】
1.一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊SIM卡的初始化方法�,包括: 101、物聯(lián)網(wǎng)終端開(kāi)機(jī)并連接互聯(lián)網(wǎng)后����,根據(jù)預(yù)置的地址向運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí)以及預(yù)置的��、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)���; 102�、所述終端認(rèn)證設(shè)備收到所述連接請(qǐng)求后��,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí)�,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào),和所述終端標(biāo)識(shí)一起發(fā)送給運(yùn)營(yíng)商側(cè)的虛擬卡管理設(shè)備�����,并將所述虛擬卡管理設(shè)備的地址��、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端; 103��、所述物聯(lián)網(wǎng)終端利用所述根密鑰解密后���,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后,和所述第二認(rèn)證編號(hào)一起攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備; 104�����、所述虛擬卡管理設(shè)備收到所述卡數(shù)據(jù)請(qǐng)求后���,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí)��,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù),利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端。
2.如權(quán)利要求1所述的方法�,其特征在于: 所述預(yù)置的地址和虛擬卡管理設(shè)備的地址均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址;所述物聯(lián)網(wǎng)與所述終端認(rèn)證設(shè)備����、所述虛擬卡管理設(shè)備之間的交互是通過(guò)VPN連接,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信��; 所述步驟102中�����,所述終端認(rèn)證設(shè)備通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備���。
3.如權(quán)利要求1所述的方法,其特征在于�,所述步驟104后還包括: 105����、所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰解密得到所述虛擬SIM卡數(shù)據(jù)��,并得到的虛擬SIM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中���。
4.如權(quán)利要求1到3中任一項(xiàng)所述的方法��,其特征在于,所述步驟101中還包括: 所述物聯(lián)網(wǎng)終端利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳���;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中��; 所述步驟102中的認(rèn)證成功包括: 解密得到的所述終端標(biāo)識(shí)存在于所述終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中����;且所述終端認(rèn)證設(shè)備利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻���,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值�����。
5.如權(quán)利要求4所述的方法,其特征在于���,所述步驟103中還包括: 所述物聯(lián)網(wǎng)終端利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳����;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中�����; 所述步驟102后還包括:所述虛擬卡管理設(shè)備將從所述終端認(rèn)證設(shè)備收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中�����; 所述步驟104中的認(rèn)證成功包括: 解密得到的所述終端標(biāo)識(shí)存在于所述虛擬卡管理設(shè)備的終端信息庫(kù)中,且所述虛擬卡管理設(shè)備利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻����,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值��。
6.一種物聯(lián)網(wǎng)虛擬用戶(hù)識(shí)別模塊SIM卡的初始化系統(tǒng)�����,其特征在于�,包括: 物聯(lián)網(wǎng)終端�����,運(yùn)營(yíng)商側(cè)的終端認(rèn)證設(shè)備和虛擬卡管理設(shè)備; 所述物聯(lián)網(wǎng)終端用于在開(kāi)機(jī)并連接互聯(lián)網(wǎng)后����,根據(jù)預(yù)置的地址向所述終端認(rèn)證設(shè)備發(fā)送連接請(qǐng)求,其中攜帶通過(guò)預(yù)置的根密鑰加密后的終端標(biāo)識(shí)����,以及預(yù)置的、唯一對(duì)應(yīng)于所述根密鑰的第一認(rèn)證編號(hào)�����;當(dāng)收到所述終端認(rèn)證設(shè)備返回的信息后,利用根密鑰解密���,使用解密得到的所述會(huì)話密鑰對(duì)所述終端標(biāo)識(shí)進(jìn)行加密后,攜帶在卡數(shù)據(jù)請(qǐng)求中發(fā)送給所述虛擬卡管理設(shè)備��; 所述終端認(rèn)證設(shè)備用于收到所述連接請(qǐng)求后�,利用所述連接請(qǐng)求中攜帶的第一認(rèn)證編號(hào)對(duì)應(yīng)的根密鑰解密得到所述終端標(biāo)識(shí)����,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成會(huì)話密鑰以及唯一對(duì)應(yīng)于該會(huì)話密鑰的第二認(rèn)證編號(hào)�����,和所述終端標(biāo)識(shí)一起發(fā)送給所述虛擬卡管理設(shè)備,并將所述虛擬卡管理設(shè)備的地址��、所述會(huì)話密鑰及其對(duì)應(yīng)的第二認(rèn)證編號(hào)利用所述根密鑰加密后返回給所述物聯(lián)網(wǎng)終端��; 所述虛擬卡管理設(shè)備用于收到所述卡數(shù)據(jù)請(qǐng)求后,利用所述卡數(shù)據(jù)請(qǐng)求中攜帶的第二認(rèn)證編號(hào)對(duì)應(yīng)的會(huì)話密鑰解密得到所述終端標(biāo)識(shí)���,如果對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功則生成虛擬SIM卡數(shù)據(jù)��,利用所述會(huì)話密鑰加密后返回給所述物聯(lián)網(wǎng)終端。
7.如權(quán)利要求6所述的系統(tǒng)��,其特征在于: 所述預(yù)置的地址和虛擬卡管理設(shè)備的地址均為虛擬專(zhuān)用網(wǎng)絡(luò)VPN服務(wù)器地址���;所述物聯(lián)網(wǎng)與所述終端認(rèn)證設(shè)備����、所述虛擬卡管理設(shè)備之間的交互是通過(guò)VPN連接�����,以客戶(hù)端-服務(wù)器方式進(jìn)行的安全通信;所述終端認(rèn)證設(shè)備通過(guò)2層VPN連接發(fā)送所述終端標(biāo)識(shí)���、會(huì)話密鑰及所述第二認(rèn)證編號(hào)給所述虛擬卡管理設(shè)備。
8.如權(quán)利要求6所述的系統(tǒng)�,其特征在于: 所述物聯(lián)網(wǎng)終端還用于利用所述會(huì)話密鑰解密得到所述虛擬SIM卡數(shù)據(jù),并得到的虛擬SM卡數(shù)據(jù)存儲(chǔ)至本物聯(lián)網(wǎng)終端上的安全存儲(chǔ)區(qū)中。
9.如權(quán)利要求6到8中任一項(xiàng)所述的系統(tǒng)���,其特征在于: 所述物聯(lián)網(wǎng)終端還用于利用所述根密鑰對(duì)當(dāng)前時(shí)刻加密得到第一時(shí)間戳�����;將所述第一時(shí)間戳也攜帶在所述連接請(qǐng)求中���; 所述終端認(rèn)證設(shè)備對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功是指: 所述終端認(rèn)證設(shè)備解密得到的所述終端標(biāo)識(shí)存在于本終端認(rèn)證設(shè)備中預(yù)存的終端信息庫(kù)中�;且利用所述根密鑰解密所述第一時(shí)間戳后得到的時(shí)刻���,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第一閾值���。
10.如權(quán)利要求9所述的系統(tǒng)��,其特征在于: 所述物聯(lián)網(wǎng)終端還用于利用所述會(huì)話密鑰對(duì)當(dāng)前時(shí)刻加密得到第二時(shí)間戳;將所述第二時(shí)間戳也攜帶在所述卡數(shù)據(jù)請(qǐng)求中��; 所述虛擬卡管理設(shè)備還用于將從所述終端認(rèn)證設(shè)備收到的終端標(biāo)識(shí)保存在本虛擬卡管理設(shè)備的終端信息庫(kù)中����; 所述虛擬卡管理設(shè)備對(duì)所述物聯(lián)網(wǎng)終端認(rèn)證成功是指: 所述虛擬卡管理設(shè)備解密得到的所述終端標(biāo)識(shí)存在于本虛擬卡管理設(shè)備的終端信息庫(kù)中�,且利用所述會(huì)話密鑰解密所述第二時(shí)間戳后得到的時(shí)刻���,與當(dāng)前時(shí)刻所間隔的時(shí)間長(zhǎng)度小于或等于預(yù)定的第二閾值。
【文檔編號(hào)】H04L12/46GK104185176SQ201410432513
【公開(kāi)日】2014年12月3日 申請(qǐng)日期:2014年8月28日 優(yōu)先權(quán)日:2014年8月28日
【發(fā)明者】陶冶, 張?jiān)朴? 顧旻霞, 張尼, 劉廉如, 陳豪 申請(qǐng)人:中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司