专利名称:M2m传输控制方法、装置及系统的制作方法
技术领域:
本发明涉及一种M2M数据业务,尤其涉及一种M2M传输控制方法、装置及系 统。
背景技术:
M2M(machine-to-machine)是一种以机器智能交互为核心的、网络化的应用与
服务。它通过在机器内部嵌入无线通信模块,以无线通信等为接入手段,为客户提供综 合的信息化解决方案,以满足客户对监控、指挥调度、数据采集和测量等方面的信息化需求。在M2M通信领域中,M2M终端承载的业务比较简单,其处理器一般基于单片 机,处理能力没有那么强大。另外,M2M终端通常处于无人职守状态,一旦遗失,就 可能造成机器终端或用户身份识别(Subscriber Identity Model,简称SIM)卡被非法使用业 务。因此,需要设计处理流程简单且对终端处理能力要求不高的,能够对终端和SIM卡 作绑定认证的安全接入及数据安全传输方法。传统M2M终端的认证方法及其缺陷如下(1)通过用户身份识别号(Mobile Subscirber Integrated Services Digital Network, 简称MSISDN)、用户名密码来进行终端认证,对于通过用户身份识别号MSISDN来进行终端认证的方法,不能够绑定终端与 SIM卡,一旦SIM卡被盗,后台生产监控等系统很可能遭到恶意分子的破坏;而对于通 过用户名密码来进行终端认证的方法,如果用户名密码被泄露或者破解,则恶意终端就 可以随意进入后台系统进行恶意破坏行动。(2)基于认证授权(CertificateAuthority,简称 CA)认证中心的数字证书或数字签名方法、或者对称密码密钥方法来进行终端认证,对于基于CA认证中心的数字证书或数字签名方法,则需要有一个公共密钥证书 的认证机构和一个数字证书的属性机构,不仅处理流程复杂,而且数据传输量大,不适 合于处理能力不强的M2M终端;对于一般无线应用服务来说,获取这些机构的支持,成 本偏高,不利于服务的推广。
发明内容
本发明的目的在于,提供一种M2M传输控制方法、装置及系统,实现在数据交 互过程中,提高M2M终端的接入安全性、M2M平台的身份安全性及M2M平台与M2M 终端之间交互报文的完整性。为实现上述目的,根据本发明的一个方面,提供一种M2M传输控制方法,包 括Bi、M2M终端发送包含接入密码、IMEI码、IMSI码和终端序列号的登录请求到 M2M平台;B2、所述M2M平台接收所述登录请求,根据存储的所述IMEI码、IMSI码 和终端序列号的对应关系对所述M2M终端进行鉴权;B3、鉴权成功后,所述M2M平台 将登录确认信息发送至所述M2M终端。
为实现上述目的,根据本发明的一个方面,提供一种M2M传输控制系统,包括M2M终端,用于生成包含接入密码、IMEI码、IMSI码和终端序列号的登录请求, 并发送至M2M平台;M2M平台,用于接收所述登录请求,根据存储的所述IMEI码、 IMSI码和终端序列号的对应关系对所述M2M终端进行鉴权,并生成登录确认信息发送 至所述M2M终端。为实现上述目的,根据本发明的一个方面,提供一种M2M终端,包括登录请 求生成模块,用于生成包含接入密码、IMEI码、IMSI码和终端序列号的登录请求,并发 送至M2M平台;第一接收模块,用于接收所述M2M平台发送的登录确认信息;上行报 文生成模块,用于根据所述登录确认信息生成包含接入密码、IMEI码、IMSI码和终端序 列号的上行报文。为实现上述目的,根据本发明的一个方面,提供一种M2M平台,包括第二 接收模块,用于接收M2M终端发送的登录请求;存储模块,用于存储所述M2M终端的 IMEI码、IMSI码和终端序列号的对应关系;鉴权模块,用于根据所述登录请求及存储 的所述M2M终端的IMEI码、IMSI码和终端序列号的对应关系对所述M2M终端进行鉴 权,并生成登录确认信息发送至所述M2M终端;下行报文生成模块,用于生成包含接入 密码、IMEI码、IMSI码和终端序列号的下行报文。本发明的M2M传输控制方法、装置及系统,在数据传输过程中,通过对IMEI 码、IMSI码和终端序列号,即对机器终端、通信模块及SIM卡进行绑定认证,提高了 M2M终端接入的安全性,避免M2M终端遗失后,机器终端或SIM卡被非法使用,同时 避免他人恶意破坏后台生产监控等系统。
图Ia是本发明各实施例报文的结构示意图;图Ib是本发明报文中TLV部分的结构示意图;图2是本发明M2M传输控制方法实施例一的流程图;图3是本发明M2M传输控制方法实施例二的流程图;图4是本发明M2M传输控制方法实施例三的流程图;图5是本发明M2M传输控制方法实施例四的流程图;图6是本发明M2M传输控制方法实施例五的流程图;图7是本发明M2M终端的实施例结构图;图8是本发明M2M平台的实施例结构图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选 实施例仅用于说明和解释本发明,并不用于限定本发明。本发明主要通过对M2M终端、通信模块及SIM卡进行绑定认证,在整个数据交 互过程中,M2M平台/M2M终端同时对M2M终端/M2M平台的身份及报文完整情况进 行验证,提高了 M2M终端和M2M平台之间的通信安全。本发明各实施例中的M2M终端和M2M平台之间传输的报文结构如图Ia所示,报文包括报文头、内容体和摘要体, 报文头是每个报文必要的公共部分,它描述了每个报文的最基本信息。报文头 中包含终端序列号,终端序列号是M2M终端的唯一标识;其中,为进一步验证报文内容 的真实性,可以在报文头中加入报文流水号,用于标识发送方发送的每一次报文。该流 水号还可以被用于判断报文是否在传输的过程中丢失。内容体一般由固定参数部分和可变TLV (TAG Length Value,标签,长度,数值)
或TLV组部分组构成。TLV的结构如图Ib所示。TLV是带格式的数字或不定长的字 符串或字节数组,它被用来动态扩展消息交互中的数据及参数。其中T为TAG,表示该 字符串的定义标签;L为LENGTH,表示该TLV扩展的有效数据或参数V的长度;V为 VALUE,表示该数字或字符串或字节数组中有效数据的数值。摘要体是一个可选的TLV,用于报文完整性和来源身份合法性的验证。摘要 体中包括利用安全认证算法对报文头、内容体、IMEI(International Mobile Equipment Identity,国际移动身份识另0 )码、IMSI (International Mobile Subscriber Identification Number,国际移动用户识别码)码和接入密码进行计算后得到的数值V。因此摘要体中 包括终端序列号、Timestamp、IMEL· IMSI和接入密码等的相关信息。该安全认证算法可以是MD5算法,也可以是SHA、DES> 3DES、AES> CRC寸寸。其中,IMEI是存储于通信模块中的国际移动设备识别码;IMSI是存储于SIM卡 中的国际移动用户识别码;接入密码是M2M终端在M2M平台上成功注册之后,由平台 下发至M2M终端的,也可以由M2M平台对其进行在线更新。不同的M2M终端由M2M 平台分配不同的接入密码,平台负责统一分配、保存、更新所有M2M终端的接入密码。 通过在报文之后增加利用安全认证算法对报文头、内容体以及时间戳、IMEI、IMSK接 入密码的摘要处理值,以实现M2M终端与M2M平台之间交互报文来源的身份验证并保 证报文的完整性,从而确保M2M终端与M2M平台的通信安全。摘要体中还包括时间戳(Timestamp)的信息,Timestamp为M2M终端每次与
M2M平台连接时由M2M平台生成。通过加入Timestamp,进一步保证了报文的真实性
和完整性。M2M终端和M2M平台之间的上、下行报文格式如下表1所示表1-上、下行报文内容及格式
权利要求
1.一种M2M传输控制方法,其特征在于,包括Bi、M2M终端发送包含接入密码、IMEI码、IMSI码和终端序列号的登录请求到 M2M平台;B2、所述M2M平台接收所述登录请求,根据存储的所述IMEI码、IMSI码和终端序 列号的对应关系对所述M2M终端进行鉴权;B3、鉴权成功后,所述M2M平台将登录确认信息发送至所述M2M终端。
2.根据权利要求1所述的M2M传输控制方法,其特征在于,所述接入密码预置于所 述M2M终端中或是由所述M2M平台下发到所述M2M终端中。
3.根据权利要求2所述的M2M传输控制方法,其特征在于,所述步骤Bl中,所述 登录请求中还包含预置于所述M2M终端或是由所述M2M平台下发到所述M2M终端中 的基础密钥,以及请求会话密钥的信息;所述步骤B3中,所述M2M平台还进一步下发会话密钥至所述M2M终端。
4.根据权利要求1所述的M2M传输控制方法,其特征在于,所述步骤B3后还包括所述M2M终端和所述M2M平台通过分别发送包含接入密码、IMEI码、IMSI码和 终端序列号的上、下行报文进行交互。
5.根据权利要求3所述的M2M传输控制方法,其特征在于,所述步骤B3后还包括所述M2M终端和所述M2M平台分别利用所述会话密钥对包含接入密码、IMEI码、 IMSI码和终端序列号的上、下行报文的内容体中的全部或者部分内容进行加密后,进行交互。
6.根据权利要求3所述的M2M传输控制方法,其特征在于,还包括Cl、所述M2M终端发送包含IMEI码、IMSI码、终端序列号和接入密码的变更请求 至所述M2M平台,请求变更所述接入密钥和/或基础密钥;C2、所述M2M平台接收到所述变更请求后,根据所述变更请求进行鉴权; C3、鉴权通过后,所述M2M平台以明文或密文的方式下发新的接入密码和/或基础 密钥至所述M2M终端。
7.根据权利要求1至6中任意一项所述的M2M传输控制方法,其特征在于,所述 M2M平台与M2M终端交互过程中的报文包括报文头、内容体和摘要体,所述报文 头中包含所述终端序列号;所述摘要体中包括利用安全认证算法对所述报文头、内容 体、IMEI码、IMSI码和接入密码进行计算后得到的数值。
8.根据权利要求8所述的M2M传输控制方法,其特征在于,所述M2M平台或所述 M2M终端接收到报文的操作之后,还包括根据接收到报文的报文头、内容体,以及本地存储的接入密码、IMEI码、IMSI码利 用安全认证算法来计算摘要体,并与接收到的报文的摘要体进行比较。
9.根据权利要求7所述的M2M传输控制方法,其特征在于,所述摘要体中还包括 时间戳的信息,所述时间戳为所述M2M终端每次与所述M2M平台连接时由所述M2M平 台生成。
10.根据权利要求3所述的M2M传输控制方法,其特征在于,还包括M2M终端进行注册的过程,包括Al、所述M2M终端发送包含IMEI码、IMSI码和终端序列号的注册请求至所述 M2M平台;A2、所述M2M平台接收所述注册请求,创建所述IMEI码、IMSI码和终端序列号的对应关系;A3、注册成功后,所述M2M平台将注册确认信息发送至所述M2M终端。
11.一种M2M传输控制系统,其特征在于,包括M2M终端,用于生成包含接入密码、IMEI码、IMSI码和终端序列号的登录请求, 并发送至M2M平台;M2M平台,用于接收所述登录请求,根据存储的所述IMEI码、IMSI码和终端序列 号的对应关系对所述M2M终端进行鉴权,并生成登录确认信息发送至所述M2M终端。
12.根据权利要求11所述的M2M传输控制系统,其特征在于,所述M2M终端和所 述M2M平台,还分别包括上、下行报文生成模块,用于生成包含接入密码、IMEI码、 IMSI码和终端序列号的上、下行报文。
13.根据权利要求12所述的M2M传输控制系统,其特征在于,所述M2M终端生成的所述登录请求中还包含预置于所述M2M终端或是由所述M2M 平台下发到所述M2M终端中的基础密钥,以及请求会话密钥的信息;所述M2M平台,进一步根据所述基础密钥及请求会话密钥的信息下发会话密钥至所 述M2M终端;所述M2M终端和所述M2M平台,还分别包括加密模块,用于利用所述会话密钥对 所述上、下行报文进行加密;解密模块,用于分别对所述上、下行报文进行解密。
14.根据权利要求11所述的M2M传输控制系统,其特征在于,所述M2M终端,还生成包含IMEI码、IMSI码、终端序列号和接入密码和/或基础 密钥的变更请求,请求变更所述接入密码和/或基础密钥;所述M2M平台,还用于根据所述变更请求以明文或密文的方式下发新的接入密码和 /或基础密钥至所述M2M终端。
15.根据权利要求11至14所述的M2M传输控制系统,其特征在于,所述M2M平台 与M2M终端交互过程中的报文包括报文头、内容体和摘要体,所述报文头中包含所述 终端序列号;所述摘要体中包括利用安全认证算法对所述报文头、内容体、IMEI码、 IMSI码和接入密码进行计算后得到的数值。
16.根据权利要求15所述的M2M传输控制系统,其特征在于,所述M2M平台和所 述M2M终端,还分别包括验证模块,根据接收到报文的报文头、内容体,以及M2M终 端登陆平台时M2M平台生成的时间戳、本地存储的IMEI码、IMSI码和接入密码,利用 安全认证算法来计算摘要体,并与接收到的报文的摘要体进行比较。
17.根据权利要求11所述的M2M传输控制系统,其特征在于,所述M2M终端,还用于生成包含IMEI码、IMSI码和终端序列号的注册请求;所述M2M平台,用于接收所述注册请求,创建所述IMEI码、IMSI码和终端序列号 的对应关系,并生成注册确认信息发送至所述M2M终端。
18.—种M2M终端,其特征在于,包括登录请求生成模块,用于生成包含接入密码、IMEI码、IMSI码和终端序列号的登录 请求,并发送至M2M平台;第一接收模块,用于接收所述M2M平台发送的登录确认信息; 上行报文生成模块,用于根据所述登录确认信息生成包含接入密码、IMEI码、IMSI 码和终端序列号的上行报文。
19.根据权利要求18所述的M2M终端,其特征在于,所述登录请求生成模块,进一步用于生成包含预置于所述M2M终端或是由所述 M2M平台下发到所述M2M终端中的基础密钥,以及请求会话密钥的信息的登录请求, 并发送至所述M2M平台;所述第一接收模块还进一步接收所述M2M平台下发的所述会话密钥; 第一加密模块,用于利用所述会话密钥对所述上行报文进行加密; 第一解密模块,用于对所述M2M平台发送的下行报文进行解密。
20.根据权利要求18或19所述的M2M终端,其特征在于,还包括第一验证模块, 根据接收到的所述下行报文的报文头、内容体,以及M2M终端登陆平台时M2M平台生 成的时间戳、本地存储的接入密码、IMEI码、IMSI码,利用安全认证算法来计算摘要 体。
21.根据权利要求18所述的M2M终端,其特征在于,还包括注册请求生成模块,用于生成包含IMEI码、IMSI码和终端序列号的注册请求,并发 送至所述M2M平台;所述第一接收模块还接收所述M2M平台发送的注册确认信息。
22.根据权利要求21所述的M2M终端,其特征在于,所述第一接收模块还进一步接 收所述M2M平台下发的接入密钥和/或基础密钥。
23.—种M2M平台,其特征在于,包括第二接收模块,用于接收M2M终端发送的登录请求;存储模块,用于存储所述M2M终端的IMEI码、IMSI码和终端序列号的对应关系; 鉴权模块,用于根据所述登录请求及存储的所述M2M终端的IMEI码、IMSI码和终 端序列号的对应关系对所述M2M终端进行鉴权,并生成登录确认信息发送至所述M2M 终端;下行报文生成模块,用于生成包含接入密码、IMEI码、IMSI码和终端序列号的下行 报文。
24.根据权利要求23所述的M2M平台,其特征在于,所述第二接收模块,用于接收包含基础密钥及请求会话密钥的信息的登录请求, 会话密钥生成模块,用于生成会话密钥并下发至所述M2M终端; 第二加密模块,用于利用所述会话密钥对所述下行报文进行加密; 第二解密模块,用于对所述M2M终端发送的上行报文进行解密。
25.根据权利要求23所述的M2M平台,其特征在于,所述第二接收模块,用于接收M2M终端发送的包含IMEI码、IMSI码、终端序列号 和接入密码的变更请求;还包括接入密码生成模块和/或基础密钥生成模块,所述接入密码生成模块,用于根据所述变更请求生成新的接入密码并以明文或密文 的方式下发至所述M2M终端;所述基础密钥生成模块,用于根据所述变更请求生成新的基础密钥并以明文或密文 的方式下发至所述M2M终端。
26.根据权利要求25所述的M2M平台,其特征在于,还包括接入密码生成模块和/ 或基础密钥生成模块,所述接入密码生成模块,用于直接生成新的接入密码并以明文或密文的方式下发至 所述M2M终端;所述基础密钥生成模块,用于直接生成新的基础密钥并以明文或密文的方式下发至 所述M2M终端。
27.根据权利要求23至26中任意一项所述的M2M平台,其特征在于,还包括第二验 证模块,根据接收到的所述登录请求、上行报文或变更请求报文的报文头、内容体,以 及M2M终端登陆平台时M2M平台生成的时间戳、本地存储的接入密码、IMEI码、IMSI 码,利用安全认证算法来计算摘要体,并于接收到的报文的摘要体进行比较。
28.根据权利要求23所述的M2M平台,其特征在于,所述第二接收模块,用于接收M2M终端发送的包含IMEI码、IMSI码和终端序列号 的注册请求;所述鉴权模块,用于接收所述注册请求,创建所述IMEI码、IMSI码和终端序列号的 对应关系,存储至所述存储模块中,并生成注册确认信息发送至所述M2M终端。
全文摘要
本发明公开了一种M2M传输控制方法、装置及系统。其中M2M传输控制方法包括B1、M2M终端发送包含接入密码、IMEI码、IMSI码和终端序列号的登录请求到M2M平台;B2、所述M2M平台接收所述登录请求,根据存储的所述IMEI码、IMSI码和终端序列号的对应关系对所述M2M终端进行鉴权;B3、鉴权成功后,所述M2M平台将登录确认信息发送至所述M2M终端。本发明的M2M传输控制方法、装置及系统,在数据传输过程中,通过对IMEI码、IMSI码和终端序列号,即对机器终端、通信模块及SIM卡进行绑定认证,提高了M2M终端接入的安全性,避免M2M终端遗失后,机器终端或SIM卡被非法使用,同时避免他人恶意破坏后台生产监控等系统。
文档编号H04W12/06GK102026180SQ20091009247
公开日2011年4月20日 申请日期2009年9月15日 优先权日2009年9月15日
发明者于蓉蓉, 刘玮, 刘越, 杨剑, 王红梅, 肖青, 赵立君 申请人:中国移动通信集团公司