物联网终端机卡绑定、入网认证和业务认证方法及装置制造方法及图纸

本发明专利技术公开了一种物联网终端机卡绑定、入网认证和业务认证方法及装置，用以解决现有技术中物联网设备认证过程复杂、成本较高的问题。物联网终端机卡绑定方法包括：接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；将所述IMEI和所述IMSI的对应关系存储于认证服务器中；向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。

Methods and devices of Internet of things terminal card binding, network access authentication and service authentication

【技术实现步骤摘要】
物联网终端机卡绑定、入网认证和业务认证方法及装置
本专利技术涉及通信
，尤其涉及一种物联网终端机卡绑定、入网认证和业务认证方法及装置。
技术介绍
现有的物联网设备进行机卡分离检测时，一般利用物联网设备通过物联网卡位置更新时获取IMSI(InternationalMobileSubscriberIdentificationNumber，国际移动用户识别码)和对应的IMEI(InternationalMobileEquipmentIdentity，国际移动设备标识)信息，再将其与物联网管理平台预置的IMSI和IMEI信息进行比对，如果比对不通过则禁用其网络，其仅实现了在设备位置更新时进行机卡分离检测，未考虑设备厂商的机卡检测需求。在物联网设备认证方面，现有技术中预先在设备出厂时直接在物联网设备中预置公钥和私钥，由厂商预置密钥，缺乏通用性，且使用传统的基于CA(CertificateAuthority，证书授权)中心的密码体制，认证过程复杂，成本较高。
技术实现思路
为了解决现有技术中物联网设备认证过程复杂、成本较高的问题，本专利技术实施例提供了一种物联网终端机卡绑定、入网认证和业务认证方法及装置。第一方面，本专利技术实施例提供了一种物联网终端机卡绑定方法，包括：接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；将所述IMEI和所述IMSI的对应关系存储于认证服务器中；向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。本专利技术实施例提供的物联网终端机卡绑定方法，写卡平台接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的IMEI，为物联网卡分配IMSI，将分配的IMSI携带于密钥请求中，将所述密钥请求发送给密钥分发中心，以请求所述密钥分发中心颁发密钥，接收密钥分发中心发送的其根据所述IMSI利用预设算法计算生成的私钥，写卡平台将所述IMEI和所述IMSI的对应关系存储与认证服务器中，并向物联网终端发送所述IMSI和所述私钥，物联网终端将IMSI、IMEI和私钥写入物联网卡中进行机卡绑定。相比于现有技术，本专利技术在物联网卡写卡时将物联网终端设备的IMEI信息和物联网卡的IMSI信息进行了绑定作为物联网终端设备的唯一标识，并预置了密钥，后续通过物联网卡实现物联网终端设备的敏感业务的认证，保证了物联网终端设备的安全具有更好的通用性，该密钥是通过密钥分发中心基于物联网卡的IMSI生成的，即在密钥分发过程中无需使用传统的基于CA中心的安全机制，直接可以利用物联网终端设备信息完成密钥的计算，无需第三方验证，节省了证书的传输、验证和使用费用，节省了存储、带宽、计算资源和时间成本，简化了后续安全认证流程。第二方面，本专利技术实施例提供了一种物联网终端机卡绑定装置，包括：第一接收单元，用于接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；分配单元，用于为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；第二接收单元，用于接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；存储单元，用于将所述IMEI和所述IMSI的对应关系存储于认证服务器中；绑定单元，用于向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。本专利技术提供的物联网终端机卡绑定装置的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果，此处不再赘述。第三方面，本专利技术实施例提供了一种物联网终端入网认证方法，所述物联网终端为利用本专利技术第一方面提供的物联网终端机卡绑定方法进行了机卡绑定的终端，包括:接收物联网终端发送的入网认证请求，所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI，所述IMSI是在所述物联网终端的物联网卡中预先写入的；将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS，令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器，以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配，并向所述HSS返回验证结果；当确定所述验证结果为匹配时，接收所述HSS返回的鉴权五元组信息；根据所述鉴权五元组信息对所述物联网终端进行鉴权；如果鉴权成功，则确定所述物联网终端入网成功；如果鉴权失败，则确定所述物联网终端入网失败。本专利技术实施例提供的物联网终端入网认证方法，MME(MobileManagementEntity，移动管理实体)接收物联网终端发送的入网认证请求，所述入网认证请求中国携带有所述物联网终端的IMEI和IMSI，其中，IMSI是在所述物联网终端中的物联网卡中预先写入的，物联网终端是在获取所述IMSI后，将其与所述物联网终端的IMEI携带在入网认证请求中发送给所述MME的，MME接收到所述入网认证请求后，将所述IMEI和IMSI携带于鉴权请求中发送给HSS(HomeSubscriberServer，归属签约用户服务器)，HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器，进而，认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配，并向HSS返回验证结果，当确定验证结果为匹配时，即机卡未分离，HSS向MME返回鉴权五元组信息，MME根据鉴权五元组信息对物联网终端进行鉴权，如果鉴权成功，则确定物联网终端入网成功，否则，确定物联网终端入网失败，从而实现了运营商角度的机卡分离检测以及基于物联网终端设备入网认证过程进行机卡分离检测。可选地，所述方法，还包括：当确定所述验证结果为不匹配时，则确定所述物联网终端机卡分离。上述可选的方式表征，当IMEI和IMSI不匹配时，则确定物联网终端机卡分离，鉴权请求无效。第四方面，本专利技术实施例提供了一种物联网终端入网认证装置，包括：第一接收单元，用于接收物联网终端发送的入网认证请求，所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI，所述IMSI是在所述物联网终端的物联网卡中预先写入的；发送单元，用于将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS，令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器，以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配，并向所述HSS返本文档来自技高网...

【技术保护点】
1.一种物联网终端机卡绑定方法，其特征在于，包括：/n接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；/n为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；/n接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；/n将所述IMEI和所述IMSI的对应关系存储于认证服务器中；/n向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。/n

【技术特征摘要】
1.一种物联网终端机卡绑定方法，其特征在于，包括：
接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；
为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；
接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；
将所述IMEI和所述IMSI的对应关系存储于认证服务器中；
向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。


2.一种物联网终端机卡绑定装置，其特征在于，包括：
第一接收单元，用于接收物联网终端发送的写卡请求，所述写卡请求中携带有所述物联网终端的国际移动设备标识IMEI；
分配单元，用于为物联网卡分配国际移动用户识别码IMSI，并将所述分配的IMSI携带于密钥请求中发送给密钥分发中心；
第二接收单元，用于接收密钥分发中心发送的根据所述IMSI利用预设算法计算生成的私钥；
存储单元，用于将所述IMEI和所述IMSI的对应关系存储于认证服务器中；
绑定单元，用于向所述物联网终端发送所述IMSI与所述私钥，令所述物联网终端将所述IMSI、所述IMEI以及所述私钥写入所述物联网卡中进行机卡绑定。


3.一种物联网终端入网认证方法，其特征在于，包括：
接收物联网终端发送的入网认证请求，所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI，所述IMSI是在所述物联网终端的物联网卡中预先写入的；
将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS，令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器，以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配，并向所述HSS返回验证结果；
当确定所述验证结果为匹配时，接收所述HSS返回的鉴权五元组信息；
根据所述鉴权五元组信息对所述物联网终端进行鉴权；
如果鉴权成功，则确定所述物联网终端入网成功；
如果鉴权失败，则确定所述物联网终端入网失败。


4.如权利要求3所述的方法，其特征在于，还包括：
当确定所述验证结果为不匹配时，则确定所述物联网终端机卡分离。


5.一种物联网终端入网认证装置，其特征在于，包括：
第一接收单元，用于接收物联网终端发送的入网认证请求，所述入网认证请求中携带有所述物联网终端的国际移动设备标识IMEI和国际移动用户识别码IMSI，所述IMSI是在所述物联网终端的物联网卡中预先写入的；
发送单元，用于将所述IMEI和IMSI携带于鉴权请求中发送给归属签约用户服务器HSS，令所述HSS将所述IMEI和IMSI携带于机卡分离检测请求中发送至认证服务器，以使所述认证服务器根据预先存储的IMEI和IMSI的对应关系验证所述IMEI和IMSI是否匹配，并向所述HSS返回验证结果；
第二接收单元，用于当确定所述验证结果为匹配时，接收所述HSS返回的鉴权五元组信息；
鉴权单元，用于根据所述鉴权五元组信息对所述物联网终端进行鉴权；如果鉴权成功，则确定所述物联网终端入网成功；如果鉴权失败，则确定所述物联网终端入网失败。


6.如权利要求5所述的装置，其特征在于，还包括：
确定单元，用于当确定所述验证结果为不匹配时，则确定所述物联网终端机卡分离。


7.一种物联网终端业务认证方法，其特征在于，包括：
接收物联网终端发送的数据签名请求，所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI；
验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致；
当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时，将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名，生成签名信息，其中，所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的；
将所述签名信息发送至物联网终端。


8.如权利要求7所述的方法，其特征在于，所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。


9.一种物联网终端业务认证装置，其特征在于，包括：
接收单元，用于接收物联网终端发送的数据签名请求，所述数据签名请求中携带有请求签名的业务数据和所述物联网终端的国际移动设备标识IMEI；
验证单元，用于验证所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI是否一致；
签名单元，用于当确定所述数据签名请求中携带的IMEI与所述物联网卡中预先写入的IMEI一致时，将所述请求签名的业务数据和IMEI利用所述物联网卡中预先写入的私钥进行签名，生成签名信息，其中，所述私钥为密钥分发中心根据写卡平台为所述物联网卡分配的国际移动用户识别码IMSI利用预设算法计算获得并由所述物联网终端预先写入所述物联网卡中的；
发送单元，用于将所述签名信息发送至物联网终端。


10.如权利要求9所述的装置，其特征在于，所述物联网终端是通过调用物联网卡的签名接口向物联网卡发送数据签名请求的。


11.一种物联网终端业务认证方法，其特征在于，包括：
接收物联网终端发送的认证请求，所述认证请求中携带有所述物联网终端的国际移动设备标识IMEI、所述物联网终端的物联网卡中预先存储的国际移动用户识别码IMSI、请求签名的业务数据以及签名信息，所述签名信息为所述物联网卡将所述请求签名的业务数据和所述IMEI利用所述物联网卡中预先写入的私钥进行签名获得的；
根据所述IMSI利用预设算法生成...

【专利技术属性】
技术研发人员：袁勇，鲁银冰，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江;33