本发明公开了物联网系统中的鉴权方法和装置,当物联网终端请求鉴权时,业务平台向物联网终端发送随机数或随机数+鉴权令牌,由物联网终端根据接收到的随机数或随机数+鉴权令牌生成鉴权值,并返回给业务平台,业务平台根据接收到的鉴权值确定对物联网终端的鉴权是否通过,相比于现有技术,本发明所述方案无需预置用户名和密码,从而提高了安全性,而且,无需增加新的硬件设备,便于实现。
1.一种物联网系统中的鉴权方法,适用于物联网终端使用的通用集成电路卡UICC为用户识别卡SIM的场景,其特征在于,包括:A、业务平台接收来自一物联网终端的业务鉴权请求;
B、所述业务平台将获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给所述物联网终端,所述未使用是指其中的随机数未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;
接收所述物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
2.根据权利要求1所述的方法,其特征在于,所述步骤B之前,进一步包括:
所述业务平台读取所述业务鉴权请求中携带的指示信息,根据所述指示信息确定所述业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤B;
如果是,则确定所述业务鉴权请求中携带的随机数是否与所保存的一个业务鉴权二元组中的随机数相同,如果否,则执行步骤B,如果是,则进一步确定所述业务鉴权请求中携带的鉴权值是否与所保存的所述业务鉴权请求中携带的随机数所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,所述业务平台中保存的每个业务鉴权二元组中的随机数均不同;
无论是否鉴权通过,所述业务平台均将鉴权结果通知给所述物联网终端,并在所述鉴权结果中携带所述业务平台获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数;所述业务鉴权请求中携带的随机数即为所述物联网终端从上一次鉴权结果中获取到的随机数,所述业务鉴权请求中携带的鉴权值即为所述物联网终端根据从上一次鉴权结果中获取到的随机数对应的鉴权三元组生成的鉴权值。
3.根据权利要求2所述的方法,其特征在于,所述业务平台获取与所述物联网终端对应的业务鉴权二元组包括:在接收到所述业务鉴权请求之前,所述业务平台向运营管理平台请求与所述物联网终端对应的业务鉴权二元组,并接收所述运营管理平台返回的业务鉴权二元组;
所述运营管理平台返回的业务鉴权二元组为所述运营管理平台根据从鉴权信息提供设备中获取到的鉴权三元组生成的;
所述运营管理平台返回的业务鉴权二元组的个数为两个以上。
4.根据权利要求1、2或3所述的方法,其特征在于,
所述鉴权三元组中包括:随机数、鉴权参数以及加密键;
所述根据鉴权三元组生成业务鉴权二元组包括:按照预定算法计算鉴权三元组中的鉴权参数与加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权三元组中的随机数作为业务鉴权二元组中的随机数。
5.根据权利要求1、2或3所述的方法,其特征在于,该方法进一步包括:
若鉴权通过,则所述物联网终端和所述业务平台分别根据鉴权过程中用到的鉴权值生成相同的会话密钥,并利用所述会话密钥进行往来数据的加密传输。
6.一种物联网系统中的鉴权方法,适用于物联网终端使用的通用集成电路卡UICC为全球用户识别卡USIM的场景,其特征在于,包括:A、业务平台接收来自一物联网终端的业务鉴权请求;
B、所述业务平台将获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给所述物联网终端,所述未使用是指其中的随机数+鉴权令牌未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;
接收所述物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
7.根据权利要求6所述的方法,其特征在于,所述步骤B之前,进一步包括:
所述业务平台读取所述业务鉴权请求中携带的指示信息,根据所述指示信息确定所述业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤B;
如果是,则确定所述业务鉴权请求中携带的随机数+鉴权令牌是否与所保存的一个业务鉴权二元组中的随机数+鉴权令牌相同,如果否,则执行步骤B,如果是,则进一步确定所述业务鉴权请求中携带的鉴权值是否与所保存的所述业务鉴权请求中携带的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,所述业务平台中保存的每个业务鉴权二元组中的随机数+鉴权令牌均不同;
无论是否鉴权通过,所述业务平台均将鉴权结果通知给所述物联网终端,并在所述鉴权结果中携带所述业务平台获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌;所述业务鉴权请求中携带的随机数+鉴权令牌即为所述物联网终端从上一次鉴权结果中获取到的随机数+鉴权令牌,所述业务鉴权请求中携带的鉴权值即为所述物联网终端根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
8.根据权利要求7所述的方法,其特征在于,所述业务平台获取与所述物联网终端对应的业务鉴权二元组包括:在接收到所述业务鉴权请求之前,所述业务平台向运营管理平台请求与所述物联网终端对应的业务鉴权二元组,并接收所述运营管理平台返回的业务鉴权二元组;
所述运营管理平台返回的业务鉴权二元组为所述运营管理平台根据从鉴权信息提供设备中获取到的鉴权五元组生成的;
所述运营管理平台返回的业务鉴权二元组的个数为两个以上。
9.根据权利要求6、7或8所述的方法,其特征在于,
所述鉴权五元组中包括:随机数、鉴权参数、加密键、完整性键以及鉴权令牌;
所述根据鉴权五元组生成业务鉴权二元组包括:按照预定算法计算鉴权五元组中的加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权五元组中的随机数+鉴权令牌作为业务鉴权二元组中的随机数+鉴权令牌。
10.根据权利要求6、7或8所述的方法,其特征在于,该方法进一步包括:
若鉴权通过,则所述物联网终端和所述业务平台分别根据鉴权过程中用到的鉴权值生成相同的会话密钥,并利用所述会话密钥进行往来数据的加密传输。
11.一种业务平台,适用于物联网终端使用的通用集成电路卡UICC为用户识别卡SIM的场景,其特征在于,包括:接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
所述第一鉴权模块,用于将获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给所述物联网终端,所述未使用是指其中的随机数未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;接收所述物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与所述获取模块中保存的所述物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
获取模块,用于获取并保存与所述物联网终端对应的业务鉴权二元组。
12.根据权利要求11所述的业务平台,其特征在于,所述业务平台中进一步包括:第二鉴权模块;
所述接收模块进一步用于,将所述业务鉴权请求发送给所述第二鉴权模块;
所述第二鉴权模块,用于读取所述业务鉴权请求中携带的指示信息,根据所述指示信息确定所述业务鉴权请求中是否携带有业务鉴权二元组,如果否,则通知所述第一鉴权模块执行自身功能;如果是,则确定所述业务鉴权请求中携带的随机数是否与所述获取模块中保存的一个业务鉴权二元组中的随机数相同,如果否,则通知所述第一鉴权模块执行自身功能,如果是,则进一步确定所述业务鉴权请求中携带的鉴权值是否与所述获取模块中保存的所述业务鉴权请求中携带的随机数所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,所述获取模块中保存的每个业务鉴权二元组中的随机数均不同;
所述第一鉴权模块和所述第二鉴权模块进一步用于,无论是否鉴权通过,均将鉴权结果通知给所述物联网终端,并在所述鉴权结果中携带所述获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数;所述业务鉴权请求中携带的随机数即为所述物联网终端从上一次鉴权结果中获取到的随机数,所述业务鉴权请求中携带的鉴权值即为所述物联网终端根据从上一次鉴权结果中获取到的随机数对应的鉴权三元组生成的鉴权值。
13.根据权利要求12所述的业务平台,其特征在于,
在所述接收模块接收到所述业务鉴权请求之前,所述获取模块向运营管理平台请求与所述物联网终端对应的业务鉴权二元组,并接收所述运营管理平台返回的业务鉴权二元组;
所述运营管理平台返回的业务鉴权二元组为所述运营管理平台根据从鉴权信息提供设备中获取到的鉴权三元组生成的;
所述运营管理平台返回的业务鉴权二元组的个数为两个以上。
14.一种业务平台,适用于物联网终端使用的通用集成电路卡UICC为全球用户识别卡USIM的场景,其特征在于,包括:接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
所述第一鉴权模块,用于将获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给所述物联网终端,所述未使用是指其中的随机数+鉴权令牌未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;接收所述物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
获取模块,用于获取并保存与所述物联网终端对应的业务鉴权二元组。
15.根据权利要求14所述的业务平台,其特征在于,所述业务平台中进一步包括:第二鉴权模块;
所述接收模块进一步用于,将所述业务鉴权请求发送给所述第二鉴权模块;
所述第二鉴权模块,用于读取所述业务鉴权请求中携带的指示信息,根据所述指示信息确定所述业务鉴权请求中是否携带有业务鉴权二元组,如果否,则通知所述第一鉴权模块执行自身功能;如果是,则确定所述业务鉴权请求中携带的随机数+鉴权令牌是否与所述获取模块中保存的一个业务鉴权二元组中的随机数+鉴权令牌相同,如果否,则通知所述第一鉴权模块执行自身功能,如果是,则进一步确定所述业务鉴权请求中携带的鉴权值是否与所述获取模块中保存的所述业务鉴权请求中携带的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,所述获取模块中保存的每个业务鉴权二元组中的随机数+鉴权令牌均不同;
所述第一鉴权模块和所述第二鉴权模块进一步用于,无论是否鉴权通过,均将鉴权结果通知给所述物联网终端,并在所述鉴权结果中携带所述获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌;所述业务鉴权请求中携带的随机数+鉴权令牌即为所述物联网终端从上一次鉴权结果中获取到的随机数+鉴权令牌,所述业务鉴权请求中携带的鉴权值即为所述物联网终端根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
16.根据权利要求15所述的业务平台,其特征在于,
在所述接收模块接收到所述业务鉴权请求之前,所述获取模块向运营管理平台请求与所述物联网终端对应的业务鉴权二元组,并接收所述运营管理平台返回的业务鉴权二元组;
所述运营管理平台返回的业务鉴权二元组为所述运营管理平台根据从鉴权信息提供设备中获取到的鉴权五元组生成的;
所述运营管理平台返回的业务鉴权二元组的个数为两个以上。
17.一种物联网终端,其使用的通用集成电路卡UICC为用户识别卡SIM,其特征在于,包括:第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到所述业务平台发送来的随机数,则根据该随机数对应的鉴权三元组生成鉴权值,返回给所述业务平台。
18.根据权利要求17所述的物联网终端,其特征在于,
所述第三鉴权模块进一步用于,在所述业务鉴权请求中设置指示信息,以指示所述业务鉴权请求中是否携带有业务鉴权二元组,并在当所述指示信息指示为所述业务鉴权请求中携带有业务鉴权二元组时,在所述业务鉴权请求中设置业务鉴权二元组,其中包括:从所述业务平台发送来的上一次鉴权结果中获取到的随机数,以及根据从上一次鉴权结果获取到的随机数对应的鉴权三元组生成的鉴权值。
19.根据权利要求18所述的物联网终端,其特征在于,
所述鉴权三元组中包括:随机数、鉴权参数以及加密键;
所述第三鉴权模块根据随机数生成鉴权三元组,并按照预定算法计算鉴权三元组中的鉴权参数与加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权三元中的随机数作为业务鉴权二元组中的随机数。
20.一种物联网终端,其使用的通用集成电路卡UICC为全球用户识别卡USIM,其特征在于,包括:第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到所述业务平台发送来的随机数+鉴权令牌,则根据该随机数+鉴权令牌对应的鉴权五元组生成鉴权值,返回给所述业务平台,+表示组合。
21.根据权利要求20所述的物联网终端,其特征在于,
所述第三鉴权模块进一步用于,在所述业务鉴权请求中设置指示信息,以指示所述业务鉴权请求中是否携带有业务鉴权二元组,并在当所述指示信息指示为所述业务鉴权请求中携带有业务鉴权二元组时,在所述业务鉴权请求中设置业务鉴权二元组,其中包括:从所述业务平台发送来的上一次鉴权结果中获取到的随机数+鉴权令牌,以及根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
22.根据权利要求21所述的物联网终端,其特征在于,
所述鉴权五元组中包括:随机数、鉴权参数、加密键、完整性键以及鉴权令牌;
所述第三鉴权模块根据随机数+鉴权令牌生成鉴权五元组,并按照预定算法计算鉴权五元组中的加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权五元组中的随机数+鉴权令牌作为业务鉴权二元组中的随机数+鉴权令牌。
物联网系统中的鉴权方法和装置
技术领域
[0001] 本发明涉及物联网技术,特别涉及物联网系统中的鉴权方法和装置。
背景技术
[0002] 目前,物联网系统中的鉴权方式通常如下:
[0003] 物联网终端利用预置的用户名和密码登录业务平台,业务平台通过用户名和密码对物联网终端进行鉴权。
[0004] 但是,上述方式中的用户名和密码很容易泄漏,即安全性较差,如果要防止用户名和密码泄漏,则需要增加新的硬件设备等,实现起来比较麻烦。
发明内容
[0005] 有鉴于此,本发明提供了物联网系统中的鉴权方法和装置,能够提高安全性,且便于实现。
[0006] 为达到上述目的,本发明的技术方案是这样实现的:
[0007] 一种物联网系统中的鉴权方法,适用于物联网终端使用的UICC卡为SIM卡的场景,包括:
[0008] A、业务平台接收来自一物联网终端的业务鉴权请求;
[0009] B、所述业务平台将获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给所述物联网终端,所述未使用是指其中的随机数未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;
[0010] 接收所述物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
[0011] 一种物联网系统中的鉴权方法,适用于物联网终端使用的UICC卡为USIM卡的场景,包括:
[0012] A、业务平台接收来自一物联网终端的业务鉴权请求;
[0013] B、所述业务平台将获取并保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给所述物联网终端,所述未使用是指其中的随机数+鉴权令牌未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;
[0014] 接收所述物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
[0015] 一种业务平台,适用于物联网终端使用的UICC卡为SIM卡的场景,包括:
[0016] 接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
[0017] 所述第一鉴权模块,用于将获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给所述物联网终端,所述未使用是指其中的随机数未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;接收所述物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与所述获取模块中保存的所述物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
[0018] 获取模块,用于获取并保存与所述物联网终端对应的业务鉴权二元组。
[0019] 一种业务平台,适用于物联网终端使用的UICC卡为USIM卡的场景,包括:
[0020] 接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
[0021] 所述第一鉴权模块,用于将获取模块中保存的与所述物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给所述物联网终端,所述未使用是指其中的随机数+鉴权令牌未曾发给过所述物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;接收所述物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的所述物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
[0022] 获取模块,用于获取并保存与所述物联网终端对应的业务鉴权二元组。
[0023] 一种物联网终端,其使用的UICC卡为SIM卡,包括:
[0024] 第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到所述业务平台发送来的随机数,则根据该随机数对应的鉴权三元组生成鉴权值,返回给所述业务平台。
[0025] 一种物联网终端,其使用的UICC卡为USIM卡,包括:
[0026] 第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到所述业务平台发送来的随机数+鉴权令牌,则根据该随机数+鉴权令牌对应的鉴权五元组生成鉴权值,返回给所述业务平台,+表示组合。
[0027] 可见,采用本发明所述方案,当物联网终端请求鉴权时,业务平台向物联网终端发送随机数或随机数+鉴权令牌,由物联网终端根据接收到的随机数或随机数+鉴权令牌生成鉴权值,并返回给业务平台,业务平台根据接收到的鉴权值确定对物联网终端的鉴权是否通过,相比于现有技术,本发明所述方案无需预置用户名和密码,从而提高了安全性,而且,无需增加新的硬件设备,便于实现。
附图说明
[0028] 图1为本发明当物联网终端使用的UICC卡为SIM卡时的鉴权方法实施例的流程图。
[0029] 图2为本发明当物联网终端使用的UICC卡为USIM卡时的鉴权方法实施例的流程图。
[0030] 图3为本发明业务平台预先获取物联网终端对应的业务鉴权二元组的过程示意图。
[0031] 图4为本发明当物联网终端使用的UICC卡为SIM卡时的鉴权方法较佳实施例的流程图。
[0032] 图5为本发明当物联网终端使用的UICC卡为USIM卡时的鉴权方法较佳实施例的流程图。
[0033] 图6为本发明业务平台实施例的组成结构示意图。
具体实施方式
[0034] 针对现有技术中存在的问题,本发明中提出一种改进后的物联网系统中的鉴权方案,能够提高安全性,且便于实现。
[0035] 根据物联网终端使用的通用集成电路卡(UICC,Universal Integrated Circuit Card)的类型的不同,即根据其为用户识别卡(SIM,Subscriber Identity Module)还是全球用户识别卡(USIM,Universal Subscriber Identity Module)的不同,本发明所述方案的具体实现也会有所不同,分别介绍如下。
[0036] 图1为本发明当物联网终端使用的UICC卡为SIM卡时的鉴权方法实施例的流程图。如图1所示,包括以下步骤:
[0037] 步骤11:业务平台接收来自一物联网终端的业务鉴权请求。
[0038] 步骤12:业务平台将获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给物联网终端,未使用是指其中的随机数未曾发给过物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;接收物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与所保存的物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
[0039] 较佳地,在执行步骤12之前,业务平台还可读取业务鉴权请求中携带的指示信息,根据指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤12;如果是,则确定业务鉴权请求中携带的随机数是否与所保存的一个业务鉴权二元组中的随机数相同,如果否,则执行步骤12,如果是,则进一步确定业务鉴权请求中携带的鉴权值是否与所保存的业务鉴权请求中携带的随机数所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,业务平台中保存的每个业务鉴权二元组中的随机数均不同。
[0040] 相应地,无论是否鉴权通过,业务平台均需要将鉴权结果通知给物联网终端,并在鉴权结果中携带业务平台获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数;业务鉴权请求中携带的随机数即为物联网终端从上一次鉴权结果中获取到的随机数,业务鉴权请求中携带的鉴权值即为物联网终端根据从上一次鉴权结果中获取到的随机数对应的鉴权三元组生成的鉴权值。
[0041] 图2为本发明当物联网终端使用的UICC卡为USIM卡时的鉴权方法实施例的流程图。如图2所示,包括以下步骤:
[0042] 步骤21:业务平台接收来自一物联网终端的业务鉴权请求。
[0043] 步骤22:业务平台将获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给物联网终端,未使用是指其中的随机数+鉴权令牌未曾发给过物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;接收物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过。
[0044] 较佳地,在执行步骤22之前,业务平台还可读取业务鉴权请求中携带的指示信息,根据指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤22;如果是,则确定业务鉴权请求中携带的随机数+鉴权令牌是否与所保存的一个业务鉴权二元组中的随机数+鉴权令牌相同,如果否,则执行步骤22,如果是,则进一步确定业务鉴权请求中携带的鉴权值是否与所保存的业务鉴权请求中携带的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,业务平台中保存的每个业务鉴权二元组中的随机数+鉴权令牌均不同。
[0045] 相应地,无论是否鉴权通过,业务平台均需要将鉴权结果通知给物联网终端,并在鉴权结果中携带业务平台获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌;业务鉴权请求中携带的随机数+鉴权令牌即为物联网终端从上一次鉴权结果中获取到的随机数+鉴权令牌,业务鉴权请求中携带的鉴权值即为物联网终端根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
[0046] 可以看出,上述两个实施例中,当物联网终端请求鉴权时,业务平台可向物联网终端发送随机数或随机数+鉴权令牌,由物联网终端根据接收到的随机数或随机数+鉴权令牌生成鉴权值,并返回给业务平台,业务平台根据接收到的鉴权值确定对物联网终端的鉴权是否通过,相比于现有技术,本发明所述方案无需预置用户名和密码,从而提高了安全性,而且,无需增加新的硬件设备,便于实现。
[0047] 另外,还可通过在业务鉴权请求中设置指示信息,根据指示信息的不同采用不同的处理方式,非常灵活,而且,还可通过在鉴权结果中携带随机数或随机数+鉴权令牌,使得最少只需一个请求和一个应答即可完成鉴权,从而加快了鉴权速度。
[0048] 再有,上述两个实施例中,在鉴权过程中,业务平台需要用到与物联网终端对应的业务鉴权二元组,所述业务鉴权二元组可以在鉴权的过程中需要的时候再去获取,也可以提前获取,即在接收到物联网终端的业务鉴权请求之前即去获取。具体来说,对于业务平台,有哪些物联网终端在自身订购了业务是已知的,那么,业务平台可针对每个在自身订购了业务的物联网终端,分别预先获取其对应的业务鉴权二元组,并且,为了减少信息交互次数,业务平台可针对每个在自身订购了业务的物联网终端,分别预先获取其对应的多个,即两个以上业务鉴权二元组,这样,在鉴权过程中,业务平台即可直接使用预先获取的业务鉴权二元组,从而省去了获取时间,进而进一步加快了鉴权速度。
[0049] 图3为本发明业务平台预先获取物联网终端对应的业务鉴权二元组的过程示意图。如图3所示,包括以下步骤:
[0050] 步骤31:针对一物联网终端,业务平台向运营管理平台请求鉴权信息,并将物联网终端的国际移动设备标识(IMEI,International Mobile Equipment Identity)等发送给运营管理平台。
[0051] 步骤32:运营管理平台找到接收到的IMEI对应的国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)。
[0052] 运营管理平台中预先存储有每个物联网终端的IMEI与IMSI之间的对应关系。
[0053] 步骤33:运营管理平台向HLR/AUC发送鉴权信息获取请求(SEND AUTHENTICATION INFO REQ),其中携带有物联网终端的IMSI。
[0054] 归 属 位 置 寄 存 器(HLR,Home Location Register)和 鉴 权 中 心 (AUC,Authentication Centre)可统称为鉴权信息提供设备,HLR和AUC通常合设,可表示为HLR/AUC。
[0055] 步骤34:HLR/AUC根据接收到的IMSI生成鉴权三元组或鉴权五元组,并携带在鉴权信息获取响应(SEND AUTHENTICATION INFO CNF)中返回给运营管理平台。
[0056] 在3GPP安全体系中,核心参数Ki仅存在于HLR/AUC、SIM卡和USIM卡中,通过严格的安全机制来保证Ki的安全,并且,可在HLR/AUC中预置鉴权三元组和鉴权五元组的生成算法等,在SIM卡中预置鉴权三元组的生成算法等,在USIM卡中预置鉴权五元组的生成算法等。
[0057] 具体来说,鉴权三元组的生成算法为:
[0058] 1、随机数(RAND):由AUC的随机数发生器产生,每次生成的RAND值都不相同;
[0059] 2、鉴权参数(SRES):通过A3算法由Ki和RAND计算得出;
[0060] 3、加密键(Kc):通过A8算法由Ki和RAND计算得出。
[0061] 鉴权五元组的生成算法为:
[0062] 1、随机数(RAND):由AUC的随机数发生器产生,每次生成的RAND值都不相同;
[0063] 2、鉴权参数(XRES,也可表示为RES,假设本发明中表示为XRES):通过f2算法由Ki和RAND计算得出;
[0064] 3、加密键(CK):通过f3算法由Ki和RAND计算得出;
[0065] 4、完整性键(IK):通过f4算法由Ki和RAND计算得出;
[0066] 5、鉴权令牌(AUTN):生成算法比较复杂,由于如何生成与本发明所述方案无直接关系,故不作介绍。
[0067] 假设本实施例中针对一个物联网终端,需要一次性向业务平台返回5个业务鉴权二元组,那么,HLR/AUC首先根据接收到的物联网终端的IMSI确定物联网终端使用的UICC卡为SIM卡还是USIM卡,如果是SIM卡,则生成5个鉴权三元组(RAND,Kc,SRES),如果是USIM卡,则生成5个鉴权五元组(RAND,XRES,CK,IK,AUTN),并将生成的5个鉴权三元组或5个鉴权五元组返回给运营管理平台。
[0068] 步骤35~36:运营管理平台根据接收到的鉴权三元组或鉴权五元组生成业务鉴权二元组,并返回给业务平台。
[0069] 如果运营管理平台接收到了5个鉴权三元组,则针对每个鉴权三元组,可分别按照安全哈希算法1(SHA-1,Secure Hash Algorithm-1)计算其中的SRES和Kc的哈希值(HASH)值,从而得到5个计算结果,即5个鉴权值(MR),每个MR=SHA-1(SRES+Kc),这样,针对每个鉴权三元组,即可分别得到其对应的业务鉴权二元组(RAND,MR),也就是说,每个业务鉴权二元组中的RAND即为其对应的鉴权三元组中的RAND,每个业务鉴权二元组中的MR即为根据其对应的鉴权三元组计算出的MR。
[0070] 如果运营管理平台接收到了5个鉴权五元组,则针对每个鉴权五元组,可分别按照SHA-1算法计算其CK的HASH值,从而得到5个计算结果,即5个MR,每个MR=SHA-1(CK),这样,针对每个鉴权五元组,即可分别得到其对应的业务鉴权二元组(RAND+AUTN,MR),也就是说,每个业务鉴权二元组中的RAND+AUTN即为其对应的鉴权五元组中的RAND+AUTN,每个业务鉴权二元组中的MR即为根据其对应的鉴权五元组计算出的MR,+表示组合,即拼接。
[0071] 由于运营管理平台是运营商设备,是可信任的,因此,可以将鉴权三元组和鉴权五元组开放给运营管理平台,但业务平台通常为非运营商设备,是不可信任的,因此,为确保鉴权三元组和鉴权五元组的安全性,不能将鉴权三元组和鉴权五元组开放给业务平台,而需要变换为业务鉴权二元组,而且需要保证从业务鉴权二元组不能反推出鉴权三元组和鉴权五元组。
[0072] 需要说明的是,以上所述根据鉴权三元组和鉴权五元组生成鉴权值的方式仅为举例说明,并不用于限制本发明的技术方案,如果采用其它方式,也是可以的,只要能够保证从业务鉴权二元组不能反推出鉴权三元组和鉴权五元组即可。
[0073] 为了使本发明的技术方案更加清楚、明白,以下参照附图并举较佳实施例,对本发明所述方案的具体实现作进一步地详细说明。
[0074] 图4为本发明当物联网终端使用的UICC卡为SIM卡时的鉴权方法较佳实施例的流程图。如图4所示,包括以下步骤:
[0075] 步骤41:业务平台接收来自一物联网终端的业务鉴权请求。
[0076] 当物联网终端需要发起物联网业务时,需要首先到业务平台进行鉴权,即向业务平台发起业务鉴权请求,其中可携带有指示信息和业务鉴权二元组等。
[0077] 在实际应用中,可设置一个一比特的指示位F来作为指示信息,如果F的取值为1,则表示业务鉴权请求中携带有业务鉴权二元组,如果F的取值为0,则表示业务鉴权请求中未携带有业务鉴权二元组。
[0078] 依据之前的介绍可知,如果业务鉴权请求中携带有业务鉴权二元组,那么,该业务鉴权二元组中的随机数为物联网终端从上一次鉴权结果中获取到的随机数,业务鉴权请求中携带的鉴权值为物联网终端根据从上一次鉴权结果中获取到的随机数对应的鉴权三元组生成的鉴权值。
[0079] 对于物联网终端来说,在获取到上一次鉴权结果中携带的随机数后,按照与HLR/AUC中相同的方式生成该随机数对应的鉴权三元组,之后,按照与运营管理平台相同的方式,根据该鉴权三元组生成鉴权值,进而得到业务鉴权二元组。
[0080] 步骤42:业务平台读取业务鉴权请求中携带的指示信息,并根据该指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤43,如果是,则执行步骤49。
[0081] 步骤43:业务平台将预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给物联网终端,未使用是指其中的随机数未曾发给过物联网终端。
[0082] 假设业务平台预先获取并保存的与物联网终端对应的业务鉴权二元组的个数为5个,为便于表述,分别将这5个业务鉴权二元组称为业务鉴权二元组1、业务鉴权二元组2、业务鉴权二元组3、业务鉴权二元组4和业务鉴权二元组5,并假设业务鉴权二元组2、业务鉴权二元组3、业务鉴权二元组4和业务鉴权二元组5未使用,那么,本步骤中,业务平台可随机选择一个未使用的业务鉴权二元组,如业务鉴权二元组2,将其中的随机数发送给物联网终端。
[0083] 步骤44~45:物联网终端根据接收到的随机数对应的鉴权三元组生成鉴权值,并将生成的鉴权值返回给业务平台。
[0084] 本步骤中,物联网终端按照与HLR/AUC中相同的方式生成接收到的随机数对应的鉴权三元组,之后,按照与运营管理平台相同的方式,根据该鉴权三元组生成鉴权值。
[0085] 步骤46:业务平台确定接收到的鉴权值与所保存的物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值是否一致,如果是,则执行步骤47,否则,执行步骤48。
[0086] 参照步骤43中的举例,如果业务平台接收到的鉴权值与业务鉴权二元组2中的鉴权值一致,则执行步骤47,否则,执行步骤48。
[0087] 步骤47:鉴权通过,业务平台向物联网终端发送鉴权成功消息,其中携带有业务平台预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数,结束流程。
[0088] 参照步骤43中的举例,由于业务鉴权二元组1和业务鉴权二元组2已经使用过,因此本步骤中,可从剩余的3个业务鉴权二元组中随机选择一个,如业务鉴权二元组3,将其中的随机数携带在鉴权成功消息中发送给物联网终端。
[0089] 步骤48:鉴权不通过,业务平台向物联网终端发送鉴权失败消息,其中携带有业务平台预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数,结束流程。
[0090] 参照步骤43中的举例,由于业务鉴权二元组1和业务鉴权二元组2已经使用过,因此本步骤中,可从剩余的3个业务鉴权二元组中随机选择一个,如业务鉴权二元组3,将其中的随机数携带在鉴权失败消息中发送给物联网终端。
[0091] 步骤49:业务平台确定业务鉴权请求中携带的随机数是否与所保存的一个业务鉴权二元组中的随机数相同,即确定业务鉴权请求中携带的随机数是否有效,如果是,则执行步骤410,否则,执行步骤43。
[0092] 步骤410:业务平台确定业务鉴权请求中携带的鉴权值是否与所保存的业务鉴权请求中携带的随机数所在的业务鉴权二元组中的鉴权值一致,如果是,则执行步骤47,否则,执行步骤48。
[0093] 假设业务鉴权请求中携带的鉴权值为根据业务鉴权二元组1中的随机数生成的,那么,如果业务平台确定业务鉴权请求中携带的鉴权值与所保存的业务鉴权二元组1中的鉴权值一致,则执行步骤47,否则,执行步骤48。
[0094] 鉴权通过后,物联网终端和业务平台可根据鉴权过程中用到的鉴权值生成相同的会话密钥,并利用该会话密钥进行往来数据的加密传输,以保证物联网终端与业务平台之间往来的数据的安全性。
[0095] 图5为本发明当物联网终端使用的UICC卡为USIM卡时的鉴权方法较佳实施例的流程图。如图5所示,包括以下步骤:
[0096] 步骤51:业务平台接收来自一物联网终端的业务鉴权请求。
[0097] 当物联网终端需要发起物联网业务时,需要首先到业务平台进行鉴权,即向业务平台发起业务鉴权请求,其中可携带有指示信息和业务鉴权二元组等。
[0098] 在实际应用中,可设置一个一比特的指示位F来作为指示信息,如果F的取值为1,则表示业务鉴权请求中携带有业务鉴权二元组,如果F的取值为0,则表示业务鉴权请求中未携带有业务鉴权二元组。
[0099] 依据之前的介绍可知,如果业务鉴权请求中携带有业务鉴权二元组,那么,该业务鉴权二元组中的随机数+鉴权令牌为物联网终端从上一次鉴权结果中获取到的随机数+鉴权令牌,业务鉴权请求中携带的鉴权值为物联网终端根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
[0100] 对于物联网终端来说,在获取到上一次鉴权结果中携带的随机数+鉴权令牌后,按照与HLR/AUC中相同的方式生成该随机数+鉴权令牌对应的鉴权五元组,之后,按照与运营管理平台相同的方式,根据该鉴权五元组生成鉴权值,进而得到业务鉴权二元组。
[0101] 步骤52:业务平台读取业务鉴权请求中携带的指示信息,并根据该指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则执行步骤53,如果是,则执行步骤59。
[0102] 步骤53:业务平台将预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给物联网终端,未使用是指其中的随机数+鉴权令牌未曾发给过物联网终端。
[0103] 假设业务平台预先获取并保存的与物联网终端对应的业务鉴权二元组的个数为5个,为便于表述,分别将这5个业务鉴权二元组称为业务鉴权二元组1、业务鉴权二元组2、业务鉴权二元组3、业务鉴权二元组4和业务鉴权二元组5,并假设业务鉴权二元组2、业务鉴权二元组3、业务鉴权二元组4和业务鉴权二元组5未使用,那么,本步骤中,业务平台可随机选择一个未使用的业务鉴权二元组,如业务鉴权二元组2,将其中的随机数+鉴权令牌发送给物联网终端。
[0104] 步骤54~55:物联网终端根据接收到的随机数+鉴权令牌对应的鉴权五元组生成鉴权值,并将生成的鉴权值返回给业务平台。
[0105] 本步骤中,物联网终端按照与HLR/AUC中相同的方式生成接收到的随机数+鉴权令牌对应的鉴权五元组,之后,按照与运营管理平台相同的方式,根据该鉴权五元组生成鉴权值。
[0106] 步骤56:业务平台确定接收到的鉴权值与所保存的物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值是否一致,如果是,则执行步骤57,否则,执行步骤58。
[0107] 参照步骤53中的举例,如果业务平台接收到的鉴权值与业务鉴权二元组2中的鉴权值一致,则执行步骤57,否则,执行步骤58。
[0108] 步骤57:鉴权通过,业务平台向物联网终端发送鉴权成功消息,其中携带有业务平台预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌,结束流程。
[0109] 参照步骤53中的举例,由于业务鉴权二元组1和业务鉴权二元组2已经使用过,因此本步骤中,可从剩余的3个业务鉴权二元组中随机选择一个,如业务鉴权二元组3,将其中的随机数+鉴权令牌携带在鉴权成功消息中发送给物联网终端。
[0110] 步骤58:鉴权不通过,业务平台向物联网终端发送鉴权失败消息,其中携带有业务平台预先获取并保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌,结束流程。
[0111] 参照步骤53中的举例,由于业务鉴权二元组1和业务鉴权二元组2已经使用过,因此本步骤中,可从剩余的3个业务鉴权二元组中随机选择一个,如业务鉴权二元组3,将其中的随机数+鉴权令牌携带在鉴权失败消息中发送给物联网终端。
[0112] 步骤59:业务平台确定业务鉴权请求中携带的随机数+鉴权令牌是否与所保存的一个业务鉴权二元组中的随机数+鉴权令牌相同,即确定业务鉴权请求中携带的随机数+鉴权令牌是否有效,如果是,则执行步骤510,否则,执行步骤53。
[0113] 步骤510:业务平台确定业务鉴权请求中携带的鉴权值是否与所保存的业务鉴权请求中携带的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,如果是,则执行步骤57,否则,执行步骤58。
[0114] 假设业务鉴权请求中携带的鉴权值为根据业务鉴权二元组1中的随机数+鉴权令牌生成的,那么,如果业务平台确定业务鉴权请求中携带的鉴权值与所保存的业务鉴权二元组1中的鉴权值一致,则执行步骤57,否则,执行步骤58。
[0115] 鉴权通过后,物联网终端和业务平台可根据鉴权过程中用到的鉴权值生成相同的会话密钥,并利用该会话密钥进行往来数据的加密传输,以保证物联网终端与业务平台之间往来的数据的安全性。
[0116] 至此,即完成了关于本发明方法实施例的介绍。
[0117] 需要说明的是,上述各实施例及较佳实施例中,对于各网元之间往来的信息中需要携带的内容,只介绍了和本发明所述方案直接相关的内容,除此之外,具体还需要携带哪些内容可根据实际需要而定。
[0118] 基于上述介绍,图6为本发明业务平台实施例的组成结构示意图。如图6所示,包括:接收模块、第一鉴权模块和获取模块,较佳地,还可进一步包括:第二鉴权模块。
[0119] 当物联网终端使用的UICC卡为SIM卡时,图6中所示的各模块的功能分别如下。
[0120] 接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
[0121] 第一鉴权模块,用于将获取模块中保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数发送给物联网终端,未使用是指其中的随机数未曾发给过物联网终端;其中,业务鉴权二元组中包括:随机数和鉴权值;接收物联网终端返回的根据接收到的随机数对应的鉴权三元组生成的鉴权值,如果接收到的鉴权值与获取模块中保存的物联网终端接收到的随机数所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
[0122] 获取模块,用于获取并保存与物联网终端对应的业务鉴权二元组。
[0123] 其中,接收模块可进一步用于,将业务鉴权请求发送给第二鉴权模块;
[0124] 相应地,第二鉴权模块,用于读取业务鉴权请求中携带的指示信息,根据指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则通知第一鉴权模块执行自身功能;如果是,则确定业务鉴权请求中携带的随机数是否与获取模块中保存的一个业务鉴权二元组中的随机数相同,如果否,则通知第一鉴权模块执行自身功能,如果是,则进一步确定业务鉴权请求中携带的鉴权值是否与获取模块中保存的业务鉴权请求中携带的随机数所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,获取模块中保存的每个业务鉴权二元组中的随机数均不同;
[0125] 第一鉴权模块和第二鉴权模块还可进一步用于,无论是否鉴权通过,均将鉴权结果通知给物联网终端,并在鉴权结果中携带获取模块中保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数;业务鉴权请求中携带的随机数即为物联网终端从上一次鉴权结果中获取到的随机数,业务鉴权请求中携带的鉴权值即为物联网终端根据从上一次鉴权结果中获取到的随机数对应的鉴权三元组生成的鉴权值。
[0126] 另外,在接收模块接收到业务鉴权请求之前,获取模块可向运营管理平台请求与物联网终端对应的业务鉴权二元组,并接收运营管理平台返回的业务鉴权二元组;运营管理平台返回的业务鉴权二元组为运营管理平台根据从鉴权信息提供设备中获取到的鉴权三元组生成的;较佳地,运营管理平台返回的业务鉴权二元组的个数为两个以上。
[0127] 当物联网终端使用的UICC卡为USIM卡时,图6中所示的各模块的功能分别如下。
[0128] 接收模块,用于接收来自一物联网终端的业务鉴权请求,并发送给第一鉴权模块;
[0129] 第一鉴权模块,用于将获取模块中保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌发送给物联网终端,未使用是指其中的随机数+鉴权令牌未曾发给过物联网终端;其中,业务鉴权二元组中包括:随机数+鉴权令牌,以及鉴权值,+表示组合;接收物联网终端返回的根据接收到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值,如果接收到的鉴权值与所保存的物联网终端接收到的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,则鉴权通过,否则,不通过;
[0130] 获取模块,用于获取并保存与物联网终端对应的业务鉴权二元组。
[0131] 其中,接收模块可进一步用于,将业务鉴权请求发送给第二鉴权模块;
[0132] 相应地,第二鉴权模块,用于读取业务鉴权请求中携带的指示信息,根据指示信息确定业务鉴权请求中是否携带有业务鉴权二元组,如果否,则通知第一鉴权模块执行自身功能;如果是,则确定业务鉴权请求中携带的随机数+鉴权令牌是否与获取模块中保存的一个业务鉴权二元组中的随机数+鉴权令牌相同,如果否,则通知第一鉴权模块执行自身功能,如果是,则进一步确定业务鉴权请求中携带的鉴权值是否与获取模块中保存的业务鉴权请求中携带的随机数+鉴权令牌所在的业务鉴权二元组中的鉴权值一致,如果是,则鉴权通过,否则,不通过;其中,获取模块中保存的每个业务鉴权二元组中的随机数+鉴权令牌均不同;
[0133] 第一鉴权模块和第二鉴权模块还可进一步用于,无论是否鉴权通过,均将鉴权结果通知给物联网终端,并在鉴权结果中携带获取模块中保存的与物联网终端对应的一个未使用的业务鉴权二元组中的随机数+鉴权令牌;业务鉴权请求中携带的随机数+鉴权令牌即为物联网终端从上一次鉴权结果中获取到的随机数+鉴权令牌,业务鉴权请求中携带的鉴权值即为物联网终端根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
[0134] 另外,在接收模块接收到业务鉴权请求之前,获取模块可向运营管理平台请求与物联网终端对应的业务鉴权二元组,并接收运营管理平台返回的业务鉴权二元组;运营管理平台返回的业务鉴权二元组为运营管理平台根据从鉴权信息提供设备中获取到的鉴权五元组生成的;较佳地,运营管理平台返回的业务鉴权二元组的个数为两个以上。
[0135] 本发明同时公开了一种物联网终端实施例,包括:第三鉴权模块。
[0136] 当物联网终端使用的UICC卡为SIM卡时,第三鉴权模块的功能如下。
[0137] 第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到业务平台发送来的随机数,则根据该随机数对应的鉴权三元组生成鉴权值,返回给业务平台。
[0138] 第三鉴权模块还可进一步用于,在业务鉴权请求中设置指示信息,以指示业务鉴权请求中是否携带有业务鉴权二元组,并在当指示信息指示为业务鉴权请求中携带有业务鉴权二元组时,在业务鉴权请求中设置业务鉴权二元组,其中包括:从业务平台发送来的上一次鉴权结果中获取到的随机数,以及根据从上一次鉴权结果获取到的随机数对应的鉴权三元组生成的鉴权值。
[0139] 其中,鉴权三元组中包括:随机数、鉴权参数以及加密键;
[0140] 第三鉴权模块根据随机数生成鉴权三元组,并按照预定算法计算鉴权三元组中的鉴权参数与加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权三元中的随机数作为业务鉴权二元组中的随机数。
[0141] 当物联网终端使用的UICC卡为USIM卡时,第三鉴权模块的功能如下。
[0142] 第三鉴权模块,用于当需要发起物联网业务时,向业务平台发送业务鉴权请求;并在当获取到鉴权结果之前,如果接收到业务平台发送来的随机数+鉴权令牌,则根据该随机数+鉴权令牌对应的鉴权五元组生成鉴权值,返回给业务平台,+表示组合。
[0143] 第三鉴权模块还可进一步用于,在业务鉴权请求中设置指示信息,以指示业务鉴权请求中是否携带有业务鉴权二元组,并在当指示信息指示为业务鉴权请求中携带有业务鉴权二元组时,在业务鉴权请求中设置业务鉴权二元组,其中包括:从业务平台发送来的上一次鉴权结果中获取到的随机数+鉴权令牌,以及根据从上一次鉴权结果中获取到的随机数+鉴权令牌对应的鉴权五元组生成的鉴权值。
[0144] 其中,鉴权五元组中包括:随机数、鉴权参数、加密键、完整性键以及鉴权令牌;
[0145] 第三鉴权模块根据随机数+鉴权令牌生成鉴权五元组,并按照预定算法计算鉴权五元组中的加密键的哈希值,将计算结果作为业务鉴权二元组中的鉴权值,将鉴权五元组中的随机数+鉴权令牌作为业务鉴权二元组中的随机数+鉴权令牌。
[0146] 上述装置实施例的具体工作流程请参照前述方法实施例中的相应说明,此处不再赘述。
[0147] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
