eSIM卡鉴权认证的方法及系统与流程

本发明属于物联网技术领域，具体涉及一种esim卡鉴权认证的方法和esim卡鉴权认证的系统。

背景技术：

当前，物联网空前发展，各种可穿戴设备、人体监控设备、车联网、智慧家庭、智能家居、智慧城市、智能抄表、定位跟踪等应用如同雨后春笋般蓬勃地发展起来，对于这些智能设备而言，通信和联网无疑是基础功能，而esim卡技术则是从设备角度出发的连入移动网络的最优方案。

esim卡，即embedded-sim，嵌入式sim卡。其是将传统sim卡直接嵌入到设备芯片上，例如直接焊接在主板上的一个芯片上，而不是作为独立的可移除零部件加入设备中，用户无需插入物理sim卡。esim卡体积小、成本低、性能可靠、安全性高，而且esim卡可以编程，通过软件写入或者擦除用户与运营商的签约协议，

可以在运营商之间转网。这一做法将允许用户更加灵活的选择运营商套餐，或者在无需解锁设备、购买新设备的前提下随时更换运营商。

未来通用的esim卡标准建立将为普通消费者、企业用户节省更多移动设备使用成本，并带来更多的便利、安全性。聚焦在行业应用中，esim卡信息有可能会被盗用或者窃取，造成安全隐患。

可见，保证esim卡的信息安全，成为目前亟待解决的技术问题。

技术实现要素：

本发明所要解决的技术问题是针对现有技术中上述不足，提供一种esim卡鉴权认证的方法和esim卡鉴权认证的系统，能有效避免esim卡信息被盗用或者窃取，消除安全隐患，保证esim卡的信息安全。

解决本发明技术问题所采用的技术方案是该esim卡鉴权认证的方法，包括步骤：

获取物联网模组的s/n序列号和esim卡的ismi号；

对s/n序列号和ismi号分别进行数据构造，变换成固定长度的散列组合数据；

基于所述组合数据加密请求生成密钥标识，并对所述密钥标识和所述组合数据分别进行加密；并且，在已加密密钥标识能被解密得到与所述密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息；

以及，对所述组合数据进行传输、附加加密和附加解密，得到短信验证信息；

比较所述短信验证信息和所述数据验证信息是否一致，以确定esim卡能否获取入网许可。

优选的是，基于所述组合数据加密请求生成密钥标识，并对所述密钥标识和所述组合数据分别进行加密；并且，在已加密密钥标识能被解密得到与所述密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息的步骤，包括：

发送对所述组合数据进行加密的传输请求；

根据传输请求生成密钥标识；

对所述组合数据以及所述密钥标识分别进行加密；

发送对所述已加密组合数据和所述已加密密钥标识进行解密的传输请求；

对所述已加密密钥标识进行解密；

在解密的所述解密密钥标识与所述密钥标识一致时，将所述已加密组合数据进行解密，得到所述数据验证信息；

对所述数据验证信息进行存储和发送。

优选的是，通过hash算法计算出s/n序列号和ismi号对应的hash值，两个hash值组合作为所述组合数据进行存储；

所述密钥标识为字符串，作为加密、解密双向请求的认证信息；

通过aes加密算法对所述组合数据进行加密，通过res加密算法对密钥标识进行加密；

相应的，通过res加密算法对所述已加密密钥标识进行解密，并在所述解密密钥标识与所述密钥标识一致时，通过aes解密算法对所述已加密组合数据进行解密。

优选的是，在解密的所述解密密钥标识与所述密钥标识不一致时，停止对所述已加密组合数据进行解密，确定esim卡不能获取入网许可。

优选的是，对所述组合数据进行传输、附加加密和附加解密，得到短信验证信息的步骤，包括：

对所述组合数据进行附加加密形成短信密文；

将所述短信密文附加解密为所述短信验证信息，并对所述短信验证信息进行发送。

优选的是，通过md5算法或des算法对所述组合数据进行附加加密；

相应的，通过md5算法或des算法对所述短信密文进行附加解密。

优选的是，所述短信验证信息和所述数据验证信息一致，则确定esim卡能否获取入网许可；

所述短信验证信息和所述数据验证信息不是否一致，则确定esim卡不能获取入网许可。

一种esim卡鉴权认证的系统，包括获取模块、构造模块、第一处理模组、第二处理模组和认证模块，其中：

所述获取模块：用于获取物联网模组的s/n序列号和esim卡的ismi号，并将s/n序列号和ismi号分别发送至所述构造模块；

所述构造模块：用于接收所述获取模块的s/n序列号和ismi号，并对s/n序列号和ismi号分别进行数据构造，变换成固定长度的散列组合数据；

所述第一处理模组，用于基于所述组合数据加密请求生成密钥标识，并对所述密钥标识和所述组合数据分别进行加密；并且，在已加密密钥标识能被解密得到与所述密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息；

所述第二处理模组，对所述组合数据进行传输、附加加密和附加解密，得到短信验证信息；

所述认证模块：用于接收所述短信验证信息和所述数据验证信息，并比较所述短信验证信息和所述数据验证信息是否一致，以确定esim卡能否获取入网许可。

优选的是，所述第一处理模组包括加密模块、传输模块、解密模块、数据中心，其中：

所述加密模块：用于接收所述构造模块的所述组合数据以及所述传输模块的密钥标识，通过加密算法对所述组合数据以及所述密钥标识分别进行加密，并将已加密组合数据以及所述已加密密钥标识发送至所述传输模块；

所述传输模块：用于接收所述加密模块对所述组合数据的传输请求，根据传输请求生成所述密钥标识回传至所述加密模块；以及，对经所述加密模块加密的所述已加密组合数据和所述已加密密钥标识进行路由和传输，并向所述解密模块发送传输请求；

所述解密模块：用于接收所述传输模块发送的所述已加密组合数据和所述已加密密钥标识，对所述已加密密钥标识进行解密；以及，在对所述已加密密钥标识解密的所述解密密钥标识与所述密钥标识一致时，将所述已加密组合数据通过解密算法解析得到所述数据验证信息，并将所述数据验证信息发送至所述数据中心；

所述数据中心：用于汇聚和存储所有所述物联网模组、esim卡的相关信息，并将所述数据验证信息发送至所述认证模块。

优选的是，所述第二处理模组包括短信网关和短信中心，其中：

所述短信网关：用于接收所述组合数据，对所述组合数据进行附加加密形成所述短信密文，并将所述短信密文发送至所述短信中心；

所述短信中心：用于接收所述短信密文，将所述短信密文附加解密为所述短信验证信息，并将所述短信验证信息发送至所述认证模块。

本发明的有益效果是：

该esim卡鉴权认证的方法及其系统，同时采用网络和短信两种不同通道方式分别进行验证并汇合，由于短信通道的短信验证信息作为信息认证的其中一方面，并不经由网络，因此不容易被黑客获取，能避免esim卡信息被盗用或者窃取；比较和匹配短信验证信息结合经由网络的数据验证信息，能实现esim卡的双重认证，消除安全隐患，保证esim卡的信息安全。

附图说明

图1为本发明实施例中esim卡鉴权认证的方法的流程图；

图2为本发明实施例中esim卡鉴权认证的系统的结构示意图；

附图标识中：

1-获取模块；2-构造模块；3-加密模块；4-传输模块；5-解密模块；6-数据中心；7-短信网关；8-短信中心；9-认证模块。

具体实施方式

为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和具体实施方式对本发明esim卡鉴权认证的方法和esim卡鉴权认证的系统作进一步详细描述。

本发明的技术构思在于，为了保护esim卡的信息安全，利用s/n序列号和imsi号的唯一性作为验证的第一要素，同时对s/n

序列号和imsi号进行数据组合进行加密和解密(防止s/n序列号或者imsi号被克隆带来的错误验证)，从网络数据通道和短信通道同时获取处理后的s/n序列号和imsi号，形成闭环鉴权认证，保证了esim卡信息的安全性。

本发明提供一种esim卡鉴权认证的方法，如图1所示，该esim卡鉴权认证的方法包括步骤：

获取物联网模组的s/n序列号和esim卡的ismi号；

对s/n序列号和ismi号分别进行数据构造，变换成固定长度的散列组合数据；

基于组合数据加密请求生成密钥标识，并对密钥标识和组合数据分别进行加密；并且，在已加密密钥标识能被解密得到与密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息；

以及，对组合数据进行传输、附加加密和附加解密，得到短信验证信息；

比较短信验证信息和数据验证信息是否一致，以确定esim卡能否获取入网许可。

其中，基于组合数据加密请求生成密钥标识，并对密钥标识和组合数据分别进行加密；以及，在已加密密钥标识能被解密得到与密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息的步骤，包括：

发送对组合数据进行加密的传输请求；

根据传输请求生成密钥标识；

对组合数据以及密钥标识分别进行加密；

发送对已加密组合数据和已加密密钥标识进行解密的传输请求；

对已加密密钥标识进行解密；

在解密的解密密钥标识与密钥标识一致时，将已加密组合数据进行解密，得到数据验证信息；

对数据验证信息进行存储和发送。

优选的是，通过hash算法计算出s/n序列号和ismi号对应的hash值，两个hash值组合作为组合数据进行存储；

密钥标识为字符串，作为加密、解密双向请求的认证信息；

通过aes加密算法对组合数据进行加密，通过res加密算法对密钥标识进行加密；

相应的，通过res加密算法对已加密密钥标识进行解密，并在解密密钥标识与密钥标识一致时，通过aes解密算法对已加密组合数据进行解密。

这里应该理解的是，在解密的解密密钥标识与密钥标识不一致时，停止对已加密组合数据进行解密，确定esim卡不能获取入网许可。

其中，对组合数据进行传输、附加加密和附加解密，得到短信验证信息的步骤，包括：

对组合数据进行附加加密形成短信密文；

将短信密文附加解密为短信验证信息，并对短信验证信息进行发送。

优选的是，通过md5算法或des算法对组合数据进行附加加密；

相应的，通过md5算法或des算法对短信密文进行附加解密。

在确定esim卡能否获取入网许可的过程中，有：

短信验证信息和数据验证信息一致，则确定esim卡能否获取入网许可；

短信验证信息和数据验证信息不是否一致，则确定esim卡不能获取入网许可。

在该esim卡鉴权认证的方法中，以不同的密文的形式，一方面通过短信网关发送至短信中心，得到一组序列号和移动用户识别码；一方面通过加密模块和传输模块进行双向认证和鉴权建立安全传输通道，并藉由密钥标识的验证，经解密模块进行解密，得到另一组序列号和移动用户识别码。该两种密文验证方式不分时间先后顺序，也可同时进行，这里不做限定。

相应的，本发明还提供一种esim卡鉴权认证的系统，包括获取模块、构造模块、第一处理模组、第二处理模组和认证模块，其中：

获取模块：用于获取物联网模组的s/n序列号和esim卡的ismi号，并将s/n序列号和ismi号分别发送至构造模块；

构造模块：用于接收获取模块的s/n序列号和ismi号，并对s/n序列号和ismi号分别进行数据构造，变换成固定长度的散列组合数据；

第一处理模组，用于基于组合数据加密请求生成密钥标识，并对密钥标识和组合数据分别进行加密；以及，在已加密密钥标识能被解密得到与密钥标识对应的解密密钥标识的基础上，对已加密组合数据进行解密得到数据验证信息；

第二处理模组，对组合数据进行传输、附加加密和附加解密，得到短信验证信息；

认证模块：用于接收短信验证信息和数据验证信息，并比较短信验证信息和数据验证信息是否一致，以确定esim卡能否获取入网许可。

其中，第一处理模组包括加密模块、传输模块、解密模块、数据中心，第二处理模组包括短信网关和短信中心。以下将对esim卡鉴权认证的系统的各部分进行详细说明。

如图2所示，esim卡鉴权认证的系统包括获取模块1、构造模块2、加密模块3、传输模块4、解密模块5、数据中心6、短信网关7、短信中心8和认证模块9，其中：

获取模块1：用于获取物联网模组的s/n序列号和esim卡的ismi号，并将s/n序列号和ismi号分别发送至构造模块2。物联网模组即物联网终端的通信模块，是终端设备的一部分。通常情况下，esim卡操作系统可以获取包括物联网模组的s/n序列号和esim卡的ismi号，因此可获得物联网模组的s/n序列号(serialnumber)和esim卡的ismi号(internationalmobilesubscriberidentificationnumber，国际移动用户识别码)。esim被盗用时，不可避免的会从一终端设备替换到另一终端设备的情况，由此导致在终端设备发生断网、断电的情况，因此，在终端设备的esim卡重启时可启动该esim卡鉴权认证的方法对esim卡进行认证。

构造模块2：用于接收获取模块1的s/n序列号和ismi号，并对s/n序列号和ismi号分别进行数据构造，变换成固定长度的散列组合数据。例如，通过hash算法计算出s/n序列号和ismi号对应的hash值，两个hash值组合作为组合数据存储在构造模块2中。hash算法例如可以为直接取余法、乘法取整法或乘法取整法中的任一种。构造模块2利用hash算法计算出对应的hash值，以便于通过加密模块3利用加密算法对hash值进行加密，也便于短信网关7进行后续处理。

加密模块3：用于接收构造模块2的组合数据以及传输模块4的密钥标识，通过加密算法对组合数据以及密钥标识进行加密，并将已加密组合数据以及密钥标识发送至传输模块4。例如，通过aes加密算法对组合数据的hash值进行加密，通过res加密算法对密钥标识进行加密。加密模块3只要发送指令给传输模块4都需要触发密钥标识，该密钥标识为字符串，作为加密模块3、解密模块5双向请求的一个认证信息。密钥标识独立于组合数据之外，对组合数据不会产生影响。通过密钥标识，加密模块3和解密模块5的传输通道更安全，防止黑客中间截取加密数据包。

传输模块4：用于接收加密模块3对组合数据的传输请求，根据传输请求生成密钥标识回传至加密模块3；以及，对经加密模块3已加密组合数据进行安全的路由和传输，并向解密模块5发送传输请求。传输模块4的作用在某种程度上相当于一个路由器，加密模块3发送请求给传输模块4，传输模块4收到请求后与加密模块3建立安全的双向数据通道，同时生成密钥标识，将密钥标识发送至加密模块3。以及，由传输模块4发送传输请求(request)给解密模块5。正如加密模块3的功能所在，加密模块3收到密钥标识后，对密钥标识进行加密，并将加密密钥标识和已加密组合数据信息发送至传输模块4。接着，传输模块4将已加密组合数据信息和密钥标识传送给解密模块5。

解密模块5：用于接收传输模块4发送的已加密组合数据和已加密密钥标识，对已加密密钥标识进行解密；以及，在对已加密密钥标识解密的解密密钥标识与密钥标识一致时，将已加密组合数据通过解密算法解析得到数据验证信息，并将数据验证信息发送至数据中心6。加密密钥标识解析出来后与未加密前最初的密钥标识进行对比，如果一致，就建立安全传输通道。这个密钥标识相当于一个“暗号”，有了这个“暗号”，加密模块3和解密模块5才能进行安全的收发指令。这里的解密算法为与加密算法对应的解密算法，例如通过res加密算法对密钥标识进行解密，只有在密钥标识完成解密且与原始密钥标识一致后，才通过aes解密算法对组合数据进行解密。

数据中心6：汇聚和存储所有物联网模组、esim卡的相关信息，并将数据验证信息发送至认证模块9。即，数据中心6用于存储系统数据，物联网模组的s/n序列号、型号信息以及esim卡的相关信息，比如imsi号、卡号等。该数据中心6往往部署在运营商的管理平台和/或终端厂商的管理平台中。

短信网关7：用于接收组合数据，对组合数据进行附加加密形成短信密文，并将短信密文发送至短信中心8。短信网关7负责提供上连短信中心8、下连构造模块2的接口，对组合数据的加密方法例如可以为md5算法或des算法。

短信中心8：用于接收短信密文，将短信密文附加解密为短信验证信息，并将短信验证信息发送至认证模块9。短信密文发送至短信中心8，短信中心8收到短信密文数据后进行解析。对短信密文解析即信解密过程，即对短信密文进行解析还原成初始数据。通过应用于短信方式的附加加密和附加解密过程，对组合数据的传输和验证进行备份，短信密文的解密算法对应为md5算法或des算法。

认证模块9：负责数据的匹配和验证功能，用于接收短信中心8的短信验证信息和数据中心6的数据验证信息，并比较短信验证信息和数据验证信息是否一致，以确定esim卡能否获取入网许可。这里，短信中心8与数据中心6收集到的经不同方式进行加密-解密的数据信息进行比对，匹配和验证s/n序列号和imsi号是不是一一对应的关系。如果短信验证信息和数据验证信息的s/n序列号和imsi号完全一致，则允许esim卡与运营商网络的鉴权和认证通过，确定esim卡能获取入网许可；否则，esim卡与运营商网络的鉴权和认证不通过，确定esim卡不能获取入网许可。

考虑到数据容量的大小，本实施例的esim卡鉴权认证的系统中优选分别设置数据中心6和认证模块9，以应对较大的数据量。数据中心6可汇聚和存储所有行业应用的物联网模组、esim卡相关信息。可以理解的是，在系统应用较小，数据量不大的情况下，可以将认证模块9的匹配与验证功能合并到数据中心6中进行，这里不再赘述。

上述提及的各功能模块，除了短信网关7、短信中心8和数据中心6部署在运营商以外，其余模块均是设置在终端模组也即物联网模组内。

优选的是，在构造模块2中，通过hash算法计算出s/n序列号和ismi号对应的hash值，两个hash值组合作为组合数据存储在构造模块2中；

在传输模块4中，密钥标识为字符串，作为加密模块3、解密模块5双向请求的认证信息；

在加密模块3中，通过aes加密算法对组合数据进行加密，通过res加密算法对密钥标识进行加密；

相应的，在解密模块5中，通过res加密算法对已加密密钥标识进行解密，并在解密密钥标识与密钥标识一致时，通过aes解密算法对已加密组合数据进行解密。

同样的，在短信网关7中，通过md5算法或des算法对组合数据进行附加加密；

相应的，在短信中心8通过md5算法或des算法对短信密文进行附加解密。

通常情况下，卡片盗用会导致用户信息的丢失和可能的资费浪费。esim模块被人盗取，盗取之后可能直接能用在其他终端上，如果不进行鉴权和认证，造成esim卡信息的泄露(例如被获取卡号或者身份信息)和资费的浪费(例如被冒名用模块定制业务)。在该esim卡鉴权认证的方法及其系统中，通过获取终端模组的s/n的序列号和esim卡的imsi号；以不同的密文的形式，一方面通过短信网关发送至短信中心，得到第一序列号s/n1和第一移动用户识别码imsi1；一方面通过加密模块和传输模块进行双向认证和鉴权建立安全传输通道，并藉由密钥标识的验证，经解密模块进行解密，得到第二序列号s/n2和第二移动用户识别码imsi2；进而，将数据中心的数据信息与短信中心的数据信息进行比对，在sn1＝sn2以及imsi1＝imsi2同时满足时，实现与运营商的鉴权和认证。

可见，本实施例的esim卡鉴权认证的方法及其系统，同时采用网络和短信两种不同通道方式分别进行验证并汇合，由于短信通道的短信验证信息作为信息认证的其中一方面，并不经由网络，因此不容易被黑客获取，能避免esim卡信息被盗用或者窃取；比较和匹配短信验证信息结合经由网络的数据验证信息，能实现esim卡的双重认证，消除安全隐患，保证esim卡的信息安全。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。