用于认证通过蜂窝网络传输的数据的技术的制作方法

背景技术：

本公开涉及用于认证通过蜂窝网络传输的数据的技术。

在许多情况下，源设备可能需要通过蜂窝网络向目的设备传输数据。通常，目的设备可以从大量这样的源设备接收数据传输，并且通常这些源设备可以自动传输数据而无需用户介入。例如，部署在特定应用领域中的多个设备可以利用来自传感器的读数和诊断数据进行“自动通报(callhome)”，其中该数据在蜂窝网络上被发送给用于分析该数据的设备。

在这样的部署中，期望提供鲁棒的机制，该机制使接收各种数据传输的设备能够信任它所接收的那些入站通信的可靠性(authenticity)。然而，需要高效且可扩展的机制，因为越来越常见的是，传输数据的源设备是小型低功率的设备并且可能报告数据的这样的设备的数量是增加的。例如，“物联网”(iot)技术的发展允许部署越来越多的设备，这些设备可以通过网络传送数据，而无需人与人或人与计算机的交互，在这种环境中，期望提供一种高效价比的机制来允许认证传输的数据。

技术实现要素：

在第一示例配置中，提供了设备，该设备包括：通信接口，用于通过蜂窝网络向目的设备传输数据；处理电路，用于生成要通过通信接口传输的数据；提供一个或多个安全域的安全模块，每个安全域用于容宿配置文件(profile)，并且被启用的安全域的配置文件促进由该设备对蜂窝网络的访问；由安全模块提供的至少一个安全域容宿存储保密数据并且提供令牌生成应用的配置文件，该令牌生成应用在安全域内被执行以使用至少该保密数据来生成令牌；至少一个安全域响应于来自处理电路的请求，而采用令牌生成应用来生成令牌并且向处理电路输出所生成的令牌；并且处理电路被布置为与所传输的数据相关联地输出令牌，使得目的设备能够通过调用也存储保密数据的认证服务来执行对所传输的数据的认证。

在另一示例配置中，提供了认证设备，该认证设备被布置为针对由根据第一示例配置的设备传输到目的设备的数据实现认证服务，该认证设备响应于接收到与数据一起传输到目的设备的令牌而进行以下操作：执行令牌生成过程以使用至少保密数据来生成比较令牌，并且将比较令牌与所传输的令牌进行比较以确定所传输的数据是否将被目的设备视为有效数据。

在又一示例配置中，提供了一种目的设备，该目的设备包括：第一接口，用于从根据第一示例配置的设备接收所传输的数据；第二接口，用于与认证服务进行通信以请求对所传输的数据进行认证，该目的设备被布置为：采用第二接口来向认证服务转发与所传输的数据相关联地提供的令牌，并且从认证服务接收认证响应；以及数据处置电路，用于根据认证响应来对所传输的数据进行处理。

在又一示例配置中，提供了一种集成电路，该集成电路包括：安全模块，该安全模块提供一个或多个安全域，每个安全域用于容宿配置文件，并且被启用的安全域的配置文件促进由相关联的设备对蜂窝网络的访问；由安全模块提供的至少一个安全域容宿存储保密数据并且提供令牌生成应用的配置文件，该令牌生成应用在该安全域内被执行以使用至少该保密数据来生成令牌；并且至少一个安全域响应于来自请求元件的令牌生成请求，而采用令牌生成应用来生成令牌并且向请求元件输出所生成的令牌。

在又一示例配置中，提供了在系统中对所传输的数据进行认证的方法，在该系统中，源设备通过蜂窝网络向目的设备传输数据，该方法包括：向源设备提供安全模块，该安全模块提供一个或多个安全域，每个安全域用于容宿配置文件，并且被启用的安全域的配置文件促进由设备对蜂窝网络的访问；将由安全模块提供的至少一个安全域布置为容宿存储保密数据并且提供令牌生成应用的配置文件，该令牌生成应用在该安全域内被执行以使用至少该保密数据来生成令牌；响应于源设备的处理电路的请求，使至少一个安全域采用令牌生成应用来生成令牌并且向处理电路输出所生成的令牌；从源设备与由处理电路生成的所传输的数据相关联地输出令牌；以及使目的设备采用认证设备来对所传输的数据进行认证，该认证设备响应于接收到与数据一起被传输到目的设备的令牌而进行以下操作：执行令牌生成过程以使用至少保密数据生成比较令牌，并且将比较令牌与所传输的令牌进行比较以确定所传输的数据是否将被目的设备视为有效数据。

在又一示例配置中，提供了设备，该设备包括：通信接口，用于通过无线网络向目的设备传输数据；处理电路，用于生成要通过通信接口传输的数据；以及安全模块，该安全模块提供用于存储保密数据并且提供令牌生成应用的专用安全域，该令牌生成应用在专用安全域内被执行以使用至少该保密数据来生成令牌，该安全模块还提供多个其他安全域，每个其他安全域用于容宿配置文件，并且被启用的其他安全域的配置文件促进该设备对无线网络的访问；其中：专用安全域响应于来自处理电路的请求，采用令牌生成应用来生成令牌并且向处理电路输出所生成的令牌，而不管当前被启用的其他安全域；并且处理电路被布置为与所传输的数据相关联地输出令牌，从而使得对所传输的数据的认证能够被执行。

在又一示例配置中，提供了认证设备，该认证设备用于实现对具有专用安全域的设备所传输的数据进行认证，其中，专用安全域存储保密数据并且提供令牌生成应用，该令牌生成应用在专用安全域内被执行以使用至少保密数据来生成令牌，其中，认证设备响应于接收到与数据一起传输的令牌而进行以下操作：执行令牌生成过程以至少使用与专用安全域相关联的保密数据来生成比较令牌，并且将比较令牌与所传输的令牌进行比较以确定所传输的数据是否将被视为有效数据。

附图说明

还将仅通过说明的方式参照在附图中图示的本技术的示例来描述本技术，其中：

图1是图示了根据一个示例布置的系统的框图；

图2是图示了根据一个示例的可以在图1的系统内采用以促进用于认证传输的数据的机制的设定过程的流程图；

图3a至3c图示了根据一个示例布置的使用令牌机制来认证图1的系统内的数据；并且

图4示意性地图示了可以在一个示例中使用的特定实现方式。

具体实施方式

在一个示例布置中，提供了设备，该设备具有用于通过蜂窝网络向目的设备传输数据的通信接口以及用于生成要通过通信接口传输的数据的处理电路。进一步地，该设备并入了提供一个或多个安全域的安全模块，其中每个安全域用于容宿配置文件，并且其中被启用的安全域的配置文件促进由该设备对蜂窝网络的访问。每个配置文件都可以提供凭证和配置数据的集合，用于实现到网络的连接。存在用于实现安全模块功能性以控制由该设备对蜂窝网络的访问的各种已知技术。例如，安全模块可以由用户标识模块(sim)实现，其也可以被称为通用集成电路卡(uicc)。传统上，尽管这种安全模块可以是被插入设备中的单独的智能卡(其例如可以提供单个预定的配置文件)，但来越常见的是，这种安全模块在制造时被嵌入到设备中并且能够在相关联的安全域中容宿多个配置文件。例如，安全模块可以是嵌入式uicc(euicc)(其中，uicc被提供为安装到设备的电路板上的芯片)，或者可以是被并入为片上系统(soc)中的模块之一的集成式uicc(iuicc)。

这种安全模块的安全要求被严格定义，并且确实存在各种电信标准用来定义这种安全模块的各个方面(包括要由这些模块提供的安全功能性)。

在本文中描述的示例中，这种安全模块的功能性被扩展，以便提供可以用于对通过蜂窝网络进行的数据传输进行认证的机制。具体地，由安全模块提供的至少一个安全域被布置为容宿(host)配置文件，该配置文件存储保密数据并且提供令牌生成应用，该令牌生成应用在安全域内被执行以使用至少该保密数据来生成令牌。由于令牌生成应用被提供在这种配置文件内的事实，因此与安全模块相关联的安全功能性允许令牌生成应用在受信任环境中执行，从而使设备能够以安全且受信任的方式生成令牌，而不会显著增加设备的成本和复杂度。

已布置了安全模块的至少一个安全域用来容宿提供上面提及的令牌生成应用的配置文件，然后可以将该至少一个安全域布置为：响应于来自处理电路的请求，而采用令牌生成应用来生成令牌并且向处理电路输出所生成的令牌。由于令牌生成应用是由这种安全域内的配置文件提供的，所以安全模块的现有安全功能性确保令牌生成应用无法被篡改，因此处理电路仅仅是发起针对令牌请求，令牌生成应用就向它提供从安全模块内生成的令牌。处理电路然后被布置为与所传输的数据相关联地输出令牌，使目的设备能够通过调用也存储保密数据的认证服务来执行对所传输的数据的认证。

通过这种方法，可以在设备内提供高度鲁棒且高性价比的机制来以安全的方式生成令牌，将该令牌然后可以与数据一起被传输到目的设备，以促进执行认证程序来对数据进行认证。具体地，在一个示例实现方式中，目的设备可以向认证服务发送请求以触发比较令牌的生成(该比较令牌的生成使用保密数据和与请求一起提供的一项或多项信息来进行)，然后可以将该比较令牌与随数据一起从始发设备传输的令牌进行比较，使得当令牌匹配时可以确定数据已被认证并且因此可以被目的设备处理。在没有生成匹配的令牌的情况下，则可以替代地确定认证已失败，然后在一个示例布置中可以忽略从始发设备传输给目的设备的数据。

尽管本文将参照蜂窝网络描述示例，但是本文中描述的技术可以用在多种其他无线或有线网络(例如，基于卫星的通信网络)中。

在一个示例实现方式中，处理电路还被布置为与所传输的数据相关联地传输唯一标识符，以使得目的设备能够向认证服务提供唯一标识符以及所生成的令牌。认证服务可以使用唯一标识符来获取它自己的保密数据副本，以在生成比较令牌时使用。例如，认证服务可以被布置为存储不同的保密数据项，并且在这种情况下，唯一标识符的提供可以用于使得能够识别适当的保密数据项，然后可以将其用于生成比较令牌。尽管在一个实现方式中，唯一标识符与所传输的数据一起传输，但是在其他实现方式中，这可能不是必需的，而是，目的设备和/或认证服务可以基于接收到的有效载荷中存在的其他数据/元数据来得出唯一标识符。

唯一标识符可以采取多种形式，但是在一个示例实现方式中是针对生成了令牌的配置文件的标识符。可以以多种方式来管理由安全模块内的相应安全域容宿的一个或多个配置文件，但是在一个示例实现方式中，每个配置文件与控制该配置文件的内容的移动网络运营商相关联。因此，通过示例的方式，可以在相关联的安全域中的安全模块上存储多个不同的配置文件，其中，这些配置文件中的每个配置文件与不同的移动网络运营商相关联。这些配置文件中的一个或多个也可以被布置为提供令牌生成应用并且存储保密数据，或者替代地，可以提供单独的专用配置文件用于此目的。

在一个示例实现方式中，每个配置文件在由移动网络运营商管理的订阅管理平台的控制下能够被下载到安全模块内的相关联安全域。因此，这允许安全模块的可重新配置性，因为配置文件能够在需要时被下载到安全模块，以将设备正在使用的(一个或多个)蜂窝网络纳入考虑。

在一个示例实现方式中，令牌生成应用被下载，作为针对提供令牌生成应用的配置文件的下载过程的一部分。

令牌生成应用和认证服务所使用的保密数据可以采用多种形式。然而，在一个示例实现方式中，当正在被下载的配置文件是提供令牌生成应用的配置文件时，在用于下载该配置文件的下载程序期间生成的密钥被用作保密数据，并且该密钥被订阅管理平台提供给认证服务。具体地，当采用已知的技术来下载配置文件时，可以出于此目的建立安全通道，并且作为该安全下载过程的副产品，可以生成密钥，并且可以将该相同的密钥重新目的化为供令牌生成应用和认证服务使用。

然而，以这种方式生成保密数据并不是必要的。例如，在替代实现方式中，保密数据可以是专门为供令牌生成应用使用而生成的专用保密数据，并且保密数据至少在配置文件被启用以在设备上使用之前被提供给认证服务。在这种情况下，保密数据被提供给认证服务的时间可以是变化的，只要认证服务在配置文件被启用以在设备上使用之前已知晓保密数据即可。然而，在要将配置文件下载到安全模块上的一个示例实现方式中，可以在将配置文件下载到设备之前将专用保密数据提供给认证服务，从而确保在令牌生成应用可以被用来使用保密数据来生成令牌之前，保密数据对于认证服务是可获得的。

保密数据可以采取多种形式，但是在一个示例实现方式保密数据是在提供令牌生成应用的配置文件与生成比较令牌的认证服务之间共享的对称密钥。

在一个示例实现方式中，在安全域内执行的令牌生成应用被布置为使用保密数据和时间戳(也可以称为时间计数器)来生成令牌。存在许多合适的算法可以用于使用该信息来生成令牌，但是在一个示例实现方式中，使用基于时间的一次性密码(totp)算法，其中，生成令牌的设备和用于对令牌进行认证的认证设备可以访问受信任的时间源。作为另一示例，可以使用基于事件的otp(也称为hotp(基于hmac的一次性密码，其中hmac代表基于哈希的消息认证))，而不是依赖于受信任的时间源。在这种方法中，在生成令牌的设备和用于对令牌进行认证的认证设备两者中都保留有计数器，并且两个设备中的计数器的增加被管理，以确保计数器保持同步。

在一个实现方式中，令牌生成应用所使用的时间戳也可以连同令牌一起被输出到目的设备。然而，在替代实现方式中，处理电路不与所传输的数据一起传输时间戳，并且认证服务被布置为做出关于时间戳的假设。具体地，时间戳机制可以以特定的粒度级别操作，并且因此基于接收到所传输的数据的时间，可以能够做出关于源设备所使用的时间戳的明智假设。在一个特定的实现方式中，可以知晓时间戳只可能是相对少量的可能值之一，因此，如果需要，则可以针对这些可能的时间戳值中的每个时间戳值来生成比较令牌，以然后查看这些比较令牌中是否存在任何比较令牌与源设备所生成的原始令牌匹配。通过这种方法，这避免了通过蜂窝网络传输时间戳信息的需要，这不仅降低了带宽要求，而且还可以提高安全性。

在一个示例实现方式中，令牌生成应用和相关联的保密数据可以被提供在被期望促进前述数据认证过程的实施的任何配置文件内。结果，可能是某些移动运营商支持认证过程而另一些则不支持的情况。替代地，专用安全域可以被布置为容宿存储保密数据并提供令牌生成应用的配置文件(或者实际上，专用安全域可以存储保密数据并提供令牌生成应用但不容宿配置文件)，并且提供了多个其他安全域来容宿与不同移动网络运营商相关联的订阅配置文件，其中，当从处理电路接收到针对令牌的请求时，令牌生成算法被引用，而不管当前被启用的订阅配置文件。如果是后一种情况，可以将许多不同的订阅配置文件下载到安全模块，其中，这些订阅配置文件中的任何一个在任何特定时间点被启用，然后，当需要为正在从设备传输的数据生成令牌时，可以使用专用安全域，而不管被启用的订阅配置文件如何。

令牌可以通过多种方式与数据一起传输，从而稍后可以使用令牌来执行对该数据的认证。在一个特定的实现方式中，在与所传输的数据相关联的认证报头中提供令牌。因此，例如可以将所传输的数据布置在分组中，其中每个分组具有相关联的报头，并且报头可以包括令牌信息，以使得分组内的数据能够被认证。

用于实现认证服务的认证设备可以采取多种形式。然而，在一个示例布置中，认证设备响应于接收到与数据一起传输到目的设备的令牌(例如，这是通过来自目的设备的认证请求而提供的)来执行令牌生成过程以使用至少保密数据来生成比较令牌，并且将比较令牌与所传输的令牌进行比较以确定所传输的数据是否将被目的设备视为有效数据。

在一个示例实现方式中，将唯一标识符的指示与所传输的令牌一起提供给认证设备，并且认证设备维护与多个唯一标识符相关联的保密数据的记录。因此，当执行令牌生成过程时，可以引用该记录以便获得针对与所传输的令牌相关联的唯一标识符的保密数据。通过这种方法，认证设备可以维护针对许多不同的唯一标识符的保密数据项，然后根据与该认证请求一起提供的唯一标识符来确定用于接收到的任何特定认证请求的适当的保密数据项。

在一个示例实现方式中，认证设备被布置为应用与在生成了现在需要被检查的原始令牌的源设备的安全模块的安全域内执行的令牌生成应用所使用的令牌生成算法相同的令牌生成算法。

如早前所提及的，如果需要，则用于生成原始令牌的时间戳也可以被传播到认证设备上。然而，在一个示例实现方式中，当执行令牌生成过程时，对在所传输的令牌被生成时由源设备采用的时间戳值做出假设。

如果需要的话，则可以针对多个可能的时间戳值重复认证设备所采用的令牌生成过程，以便将在原始令牌被生成时源设备可能已使用的多个可能的时间戳值纳入考虑。然后，如果未在所传输的令牌和所生成的比较令牌之一之间检测到匹配，则认证设备可以被布置为指示所传输的数据将被目的设备视为无效数据。目的设备当被通知数据无效时所采取的动作可以根据实现方式而变化。然而，在一些示例实现方式中，可以仅仅是在该时刻数据被目的设备丢弃并且不被进一步处理的情况。

尽管原则上，认证设备可以被并入到目的设备本身中，但是在其他示例实现方式中，认证设备与目的设备分开的实体，从而允许认证设备为多个不同的目的设备提供认证服务。

目的设备可以以多种方式布置。在一个示例实现方式中，目的设备具有用于从源设备接收所传输的数据的第一接口以及用于与认证服务进行通信以请求对所传输的数据进行认证的第二接口。目的设备被布置为：采用第二接口以将与所传输的数据相关联地提供的令牌转发给认证服务，并且从认证服务接收认证响应。然后，使用目的设备内的数据处置电路根据认证响应来处理所传输的数据。例如，数据处置电路可以被布置为丢弃认证响应指示认证已失败的任何所传输的数据，并且仅主动处理认证响应指示认证已通过的所传输的数据。应该注意的是，尽管第一接口和第二接口可以被布置为物理上分离的接口，但是它们可以替代地由相同的物理接口提供。

目的设备如何响应指示数据无效的认证响应可以根据实现方式而变化。原则上，可以将这种失败通知给源设备，但是经常可能不通知源设备，而是仅丢弃所传输的数据。然而，如果需要，则目的设备还可以包括日志存储装置以维护提供关于基于认证响应将所传输的数据视为无效的实例的信息的日志。例如，这使得能够随时间获得关于系统内的认证失败级别的统计数据。

在一个示例场景中，目的设备然后还可以包括警报生成电路，该警报生成电路用于根据日志存储装置中保持的信息发出警报信号，因此警报生成电路例如可以在确定观察到的认证失败级别高于特定阈值时生成警报。

可以以多种方式来提供安全模块，但是在一个示例实现方式中，提供了包括提供一个或多个安全域的安全模块的集成电路，每个安全域用于容宿配置文件，并且被启用的安全域的配置文件促进由相关联的设备对蜂窝网络的访问。由安全模块提供的至少一个安全域被布置为容宿存储保密数据并且提供令牌生成应用的配置文件，该令牌生成应用在安全域内被执行以使用至少该保密数据来生成令牌。至少一个安全域响应于来自请求元件的令牌生成请求，而采用令牌生成应用来生成令牌并且将所生成的令牌输出到请求元件。集成电路可以被布置为仅提供安全模块，在这种情况下，该集成电路被安装在提供设备的其他组件的印刷电路上，或者替代地，集成电路可以是提供设备的附加组件以及安全模块的片上系统(soc)。

在一个示例配置中，具有早前讨论的通信接口和处理电路的设备被布置为使得其安全模块提供用于存储保密数据的专用安全域并且提供在专用安全域内执行以使用至少保密数据生成令牌的令牌生成应用。安全模块还提供多个其他安全域，每个其他安全域用于容宿配置文件，并且被启用的其他安全域的配置文件促进由该设备对蜂窝网络的访问。专用安全域响应于来自处理电路的请求，而采用令牌生成应用来生成令牌并且将所生成的令牌输出给处理电路，而不管当前被启用的其他安全域。处理电路被布置为与所传输的数据相关联地输出令牌，从而使得对所传输的数据的认证能够被执行。

通过这种方法，可以提供一种机制，该机制使得本文中描述的令牌生成机制能够被采用而不管哪个订阅配置文件被启用，而无需复制容宿订阅配置文件的每个安全域内的令牌生成应用和保密数据。

存在多种方式可以在专用安全域内提供令牌生成应用。在一个示例布置中，令牌生成应用可以在系统内的适当实体的控制下能够被下载到专用安全域。例如，订阅管理平台可以控制令牌生成应用到专用安全域的下载。

附加地或替代地，保密数据可以能够被下载到专用安全域。令牌生成应用和认证服务使用的保密数据可以采用多种形式。然而，在一个示例实现方式中，当令牌生成应用正在被下载时，在用于下载该令牌生成应用的下载程序期间生成的密钥被用作保密数据，并且该密钥也被提供给认证服务。具体地，可以建立用于执行令牌生成应用的下载的安全通道。作为该安全下载过程的副产品，可以生成密钥，并且该相同密钥可以被重新目的化为供令牌生成应用和认证服务使用。替代地，可以与用于下载过程的密钥完全分离地生成安全数据，并且将其提供给设备的专用安全域和认证服务。

在一个示例布置中，安全模块还包括配置文件控制元件，用于控制多个其他安全域中的哪个是被启用的其他安全域。例如，配置文件控制元件可以采取isd-r(发行者安全域根)元件的形式，该isd-r元件被布置为与相应的卡下实体sm-sr(订阅管理器安全路由)元件进行通信。然后可以通过isd-p(发行者安全域配置文件)元件来提供每个其他安全域。然后，在来自sm-sr的指令下，isd-r可以控制哪个其他安全域是被启用的其他安全域。应该注意的是，专用安全域与其他安全域被不同地对待，并且在上述过程期间isd-r无法选择专用安全域。而是，专用安全域可以被布置为继续服务于来自处理电路的针对令牌的每个请求，而不管配置文件控制元件对被启用的其他安全域所做的任何改变。

专用安全域可以采取多种形式，但是在一个示例实现方式中，专用安全域包括发行者安全域小应用(isd-a)元件，并且不容宿配置文件(与isd-p元件相反)。isd-a元件是专用于小应用的安全域。与需要在单个isd-p内提供的小应用相反，使用isd-a元件使得能够促进(promote)小应用，使得它们不再依赖于isd-p。

现在将参照附图描述特定示例。

图1是根据一个示例实现方式的系统的框图。提供了数据报告设备10，该数据报告设备10被布置为周期性地通过蜂窝网络60向目的设备65发送数据。所传输的数据可以采取多种形式，例如与和数据报告设备10相关联地提供的仪表相关的读数、来自与数据报告设备相关联的传感器的诊断数据等。

数据报告设备10具有处理电路15，该处理电路15用于执行各种处理操作(包括生成要通过蜂窝网络传输的数据)，处理电路15耦合到通信接口20，其中，数据通过该通信接口20被传输到蜂窝网络60上。

在数据报告设备内提供安全模块25，其采取例如uicc(例如，euicc或iuicc)的形式。在一个实现方式中，安全模块25将具有由适用于蜂窝网络60的一个或多个电信标准严格管理的形式。例如，安全模块的组织和结构可以由gsma标准来定义。如由这种标准提供的，安全模块可以包括一个或多个安全域30、32，该一个或多个安全域30、32为在这些安全域内提供的相关联的配置文件提供安全环境。通常，在任何时间点，都会有一个安全域被启用，并且相关联的配置文件可以用于控制该设备对蜂窝网络的访问。

当使用诸如euicc或iuicc之类的可重新配置的uicc时，订阅管理平台110可以被布置为以安全的方式将配置文件下载到在安全模块内提供的相关联的安全域30、32。各个配置文件例如可以涉及不同的移动网络运营商，使得当设备连接到特定的蜂窝网络时，适当的配置文件可以被启用以控制通过蜂窝网络60进行的通信。与安全模块25本身一样，配置文件能够被下载到安全模块的方式可以根据一个或多个电信标准来严格地控制。例如，在一个实现方式中，由gsma官方文档sgp.02-“嵌入式uicc技术规范的远程供应架构(remoteprovisioningarchitectureforembeddeduicctechnicalspecification)”控制以安全方式从订阅管理平台110下载配置文件。

根据本文中描述的一种技术，在安全模块25内提供的配置文件中的至少一个包括用于基于相关联的保密数据来生成令牌的令牌生成小应用(applet)。在图1所示的示例中，假设至少安全域32提供了该形式的配置文件，具体地，图1所示的配置文件40。因此，该配置文件包括令牌生成小应用45，该令牌生成小应用45被布置为基于也在配置文件内提供的保密数据50生成令牌。配置文件40还具有唯一标识符55，在一个实现方式中，唯一标识符是唯一地分配给配置文件40的id。可以使用多个可能的算法来生成令牌，但是在一个特定示例中，使用基于时间的一次性密码(totp)算法来使用保密数据50和从设备10内的时间戳生成逻辑生成的时间戳值来生成令牌。

保密数据50可以采取多种形式，但是保密数据50也与认证设备85共享。在一个特定实现方式中，保密数据采取由配置文件40内的令牌生成小应用45和认证设备85内的令牌生成应用90两者使用的对称密钥的形式。

当处理电路15确定存在要报告给目的设备65的数据时，处理电路15可以被布置为向安全模块25发送令牌生成请求。假设针对正在使用的特定蜂窝网络60启用令牌生成，那么适当的配置文件将包括令牌生成小应用并且将通过执行令牌生成过程以生成令牌来对该请求进行响应，然后将令牌返回给处理电路。如早前所提及的，将基于配置文件内维护的保密数据和时间戳值来生成令牌。如果没有针对特定的蜂窝网络启用令牌生成，那么处理电路可以被布置为不发送令牌生成请求，但是在令牌生成请求被发送的情况下，可以引发错误信号。

在替代布置中，专用安全域可以用于存储令牌生成小应用和相关联的保密数据，但是其本身可以不提供配置文件。通过这种方法，可以使用令牌生成机制而不管被启用的配置文件，并且不需要复制容宿订阅配置文件的每个安全域内的令牌生成应用和保密数据。

一旦令牌已被返回，处理电路就可以形成要通过蜂窝网络输出的信息的传输块。传输块可以采取多种形式，但是可以例如包括一个或多个分组。传输块将包括要被传输的数据，但是还将包括由安全模块25提供的令牌和相关的唯一标识符。具体地，可以连同令牌一起将该唯一标识符从安全模块返回到处理电路，以提供在输出传输块内。令牌和唯一标识符信息可以以多种方式被包括在传输块内，但是在一个特定的实现方式中，令牌和唯一标识符信息可以被包括在报头信息内。

尽管在所描述的实现方式中，唯一标识符与令牌一起传输，但是在其他实现方式中，这可能不是必需的，而是，目的设备65和/或认证服务85可以能够基于接收到的有效载荷/传输块中存在的其他数据/元数据来得出唯一标识符。

目的设备65被布置为在第一接口70处接收传输块。在接收到传输块后，唯一标识符和令牌信息就将通过第二接口75被提取并输出到认证设备85作为认证请求的一部分。应该注意的是，尽管第一接口和第二接口可以被布置为物理上分离的接口，但是它们可以替代地由相同的物理接口提供。

通常，认证设备可以被布置为针对多个不同的配置文件来提供认证服务，并且因此将维护适用于每个配置文件的保密数据。基于与认证请求一起提供的唯一标识符，可以确定适当的保密数据，然后该保密数据可以被令牌生成应用90用来生成比较令牌。

在使用专用安全域来提供令牌生成小应用的情况下，保密数据可能不取决于当前被启用的配置文件，并且在一个这种示例实现方式中，与令牌一起传输的唯一标识符将是针对专用安全域的唯一标识符，而不是针对当前被启用的配置文件的唯一标识符。因此，认证设备可以使用针对专用安全域的唯一标识符来确定在生成比较令牌时要使用的保密数据。

替代地，如果针对每个配置文件使用不同的保密数据，则专用安全域可以被布置为存储每个可能的保密数据，然后取决于在令牌生成请求被接收到时被启用的配置文件来选择适当的保密数据进行使用。在这种实现方式中，针对当前被启用的配置文件的唯一标识符可以与令牌一起传输，以使得认证设备能够确定在生成比较令牌时要使用的适当的保密数据。

如稍后将更详细地讨论的，还可以在传输块内提供由数据报告设备10处的令牌生成小应用45在生成原始令牌时使用的时间戳值，以转发给认证设备85，但是替代地，认证设备可以在生成比较令牌时做出关于时间戳值的一些假设。

例如，取决于所使用的时间戳机制，这可以确定是否将时间戳的指示与令牌一起传播到目的设备。例如，考虑在独立标准esim内的令牌的生成，基于先前已验证的凭证/凭证撤销列表，可能仅可以粗略估计当前时间。在这种情况下，令牌生成小应用45和认证设备85中的令牌生成应用90所认知的当前时间之间可能存在很大的偏离。因此，为了帮助生成适当的“比较令牌”，可以将用于在小应用45中生成令牌的时间戳与令牌和唯一标识符一起传输，以向前传播到认证设备85。

作为另一示例，考虑在isim内的令牌的生成，小应用45(例如，容宿在芯片上的安全区域中)可以具有到在它集成于其中的soc中运行的安全、可靠、实时时钟的接口。在这种情况下，传输时间戳以提供给认证设备85可以不是必须的，并且替代地，认证设备85可以能够对在令牌的生成期间使用的时间戳值做出假设。

一旦已经生成比较令牌，比较电路95就将原始生成的令牌与比较令牌进行比较，并且基于该比较，比较电路95将认证结果发回到第二接口75。目的设备65内的数据处置电路80然后可以根据认证结果来确定如何处置数据。例如，它可以仅继续处理认证结果指示认证已通过的数据，并且在一个示例实现方式中，它可以被布置为仅仅是丢弃相关联的认证结果指示认证已失败的任何数据。

在一个实现方式中，日志100可以用于保持关于在操作期间出现的认证失败的信息。例如，这可能仅是系统内发生的认证失败的级别的历史指示。警报生成电路105然后可以被布置为监测日志的内容，并且警报生成电路105在参考日志的内容而检测到一个或多个警报标准后，其就可以被布置为发出警报信号，例如以触发运营商对日志100的检阅。虽然原则上可以将认证失败的检测报告回数据报告设备10，但是在许多场景中，这将被认为是不适当的。例如，在许多部署情况下，数据报告设备10可以是功能性相对有限(该功能性例如足以使得能够通过蜂窝网络向目的设备报告所需数据)的小型低功率设备。例如，数据报告设备可以是用于数据报告目的的简单iot设备，并且目的设备可以是用于处理由大量单独的iot设备提供的数据的iot管理系统。

数据处置电路80可以被布置为执行数据的主动处理，或者替代地，数据处置电路80可以仅核对(collate)来自已经被认证的传输的数据，以向前传输到另一设备进行分析。例如，在每个数据报告设备是诸如可以由某些电力公司使用的智能仪表的智能仪表实现方式中，目的设备可以简单地执行与被认证设备认证的正当的(legitimate)传输数据相关的初始数据收集功能，然后该数据被传播到智能仪表公司内的服务器上以进行进一步处理。替代地，目的设备可以被并入到这种智能仪表服务器内。

图2是图示了可以在图1的系统内执行以启用基于令牌的数据认证过程的设定过程的流程图。在步骤150中，通过使用例如订阅管理平台110，配置文件可以能够被下载到iuicc25的安全域，其中，该配置文件存储保密数据并提供用于基于该保密数据来生成令牌的令牌生成应用。配置文件的唯一标识符也存储在配置文件内。另外，在步骤155中，可以将该配置文件的唯一标识符和相关联的保密数据存储在认证服务设备85的安全存储装置内。此后，一旦配置文件被启用以在设备10内使用，就可以在处理电路请求后使用该配置文件来生成令牌，以与相关联数据一起向前传输到目的设备，在这之后，认证设备85可以执行认证过程，以确定所传输的数据是否被认证。

如早前所提及的，在替代实现方式中，专用安全域可以用于存储令牌生成小应用和相关联的保密数据，但是其本身可以不提供配置文件。通过这种方法，可以使用令牌生成机制而不管0被启用的配置文件，并且不需要复制容宿订阅配置文件的每个安全域中的令牌生成应用和保密数据。

在安全模块25的安全域之一内执行的配置文件的令牌生成小应用与在认证设备85上运行的令牌生成应用90之间共享的保密数据可以以多种方式生成。例如，可以显式生成该保密数据(在一个实现方式中可以采取对称密钥的形式)以供配置文件使用，并且可以在将配置文件下载到安全模块25之前将其传递给认证设备85以在其中存储。然而，在替代布置中，保密数据可以是作为配置文件下载过程的副产品而生成的密钥。例如，可以使用scp03密钥来得出保密数据，scp03密钥是利用在早前提及的gsmaspecsgp.02中指定的downloadprofile程序创建新配置文件的副产品而生成的。具体地，在该后一种情况下，通过基于椭圆曲线的密钥协定过程来建立密钥。在该情况下，密钥将再次被提供给认证服务，并且在这种环境中，认证服务可以被提供为连同用于管理配置文件下载的标准服务器(sm-dp(订阅管理器数据准备)服务器，如在sgp.02规范中所描述的)一起部署的增值服务(vas)。

在使用专用安全域提供令牌生成应用的实现方式中，保密数据可以不链接至特定配置文件，而是可以存在用于专用安全域的单个保密数据项。如早前所讨论的，在这种实现方式中，与令牌一起传输的唯一标识符将是针对专用安全域的唯一标识符，而不是针对当前被启用的配置文件的唯一标识符，并且认真设备可以将唯一标识符用于专用安全域以确定生成比较令牌时要使用的保密数据。

替代地，专用安全域可以存储多个保密数据项，并且在令牌生成请求被接收到时，可以选择与当前被启用的配置文件相关联的保密数据项以用于令牌生成操作。在这种实现方式中，针对当前被启用的配置文件的唯一标识符可以与令牌一起传输，以使得认证设备能够确定在生成比较令牌时要使用的适当的保密数据。

图3a至图3c是图示了根据一个示例实现方式的在图1的系统内使用令牌来对数据进行认证的流程图。在步骤200中，确定iot设备10是否具有要报告的数据，并且当iot设备10具有要报告的数据时，该过程进行到步骤205，在步骤205中，处理电路15向iuicc发送令牌生成请求。

此后，在步骤210中，适当的配置文件的令牌生成小应用45在其安全域内运行，以便使用保密数据50和时间戳值(使用任何合适的令牌生成算法(例如，早前提及的totp算法))来生成令牌。

在步骤215中，处理电路从iuicc接收令牌并且产生传输块，该传输块包含该令牌、配置文件的唯一标识符和要报告的数据。此后，在步骤220中，通过蜂窝网络60将传输块从通信接口20输出给iot管理系统65。

图3b图示了在管理系统65处执行的过程。在步骤230中，管理系统等待从iot设备接收传输块，之后该过程进行到步骤235，在步骤235处，将认证请求从管理系统65发送到认证设备85，该认证设备85请求提供与传输块一起提供的唯一标识符和令牌。在步骤240中，管理系统然后等待认证响应，并且当接收到认证响应时，则在步骤245中通过认证响应确定认证已通过还是失败。如果已通过认证，则该过程进行到步骤250，在步骤250中，数据处置电路80处理接收到的数据。然而，如果在步骤245中确定认证失败，则在步骤255中，数据被拒绝。在一个示例实现方式中，在该阶段仅丢弃接收到的数据可能就足够了。

如通过可选步骤260、265所指示的，如果需要的话，则可以维护失败的认证请求的日志，并且在步骤260中，可以更新该日志以将最新的认证失败考虑进来。在步骤265中，警报生成电路可以分析日志的内容，并且如果日志的当前内容指示用于生成这种警报的触发条件，则警报生成电路可以发出警报信号。该警报可以以多种方式使用，但是在一个实现方式中，可以将其发送给管理系统的运营商，以引起对触发条件的注意，并使运营商对日志100进行进一步的分析。例如，这可以用于检测一个或多个数据报告设备出现故障的情况。

图3c图示了可以在认证设备85处执行的步骤。在步骤270中，认证设备等待认证请求的接收，并且当认证请求被接收到时，则该过程前进到步骤275，在步骤275中，基于与认证请求一起提供的唯一标识符，访问认证设备内的安全存储装置以识别相关联的保密数据。

然后，该过程进行到步骤280，在步骤280处，令牌生成应用90使用所标识的保密数据和假设的时间戳值来生成比较令牌。在所图示的示例中，令牌生成应用90使用与iot设备10中的令牌生成小应用45所使用的算法相同的算法。

在步骤285中，确定比较令牌是否与认证请求中提供的令牌匹配。如果匹配，则可以在步骤297中将认证通过结果返回给管理系统65。然而，如果比较令牌不匹配，则在步骤290中，确定是否还存在另外的假设的时间戳值要检查。具体地，时间戳值可以以相对粗糙的粒度变化，因此基于接收到认证请求的时间，可以假设最初生成令牌时使用的时间戳值仅可能是相对少量的可能值之一，并且针对所有这些潜在值生成比较令牌可能是适当的。

因此，如果还存在另外的假设的时间戳值要检查，则该过程前进到步骤295，在步骤295中，改变假设的时间戳值，然后该过程前进到步骤280。

尽管在图3c中，比较令牌是基于潜在的时间戳值按顺序生成的，但是应认识到，在替代实现方式中，可以一次生成所有可能的比较令牌，然后将这些可能的比较令牌与认证请求中提供的令牌进行比较。

如果在步骤290中确定已经针对所有可能的时间戳值执行了比较过程并且没有检测到匹配，则该过程前进到步骤299，在步骤299中，将认证失败结果报告回管理系统65。

图4示意性地图示了特定示例实现方式。在该示例中，诸如部署在风力涡轮机上的小型报告设备之类的iot设备340并入充当安全模块的euicc300。该euicc可以被布置为提供一个或多个isd-p(发行者安全域配置文件)元件，每个isd-p在相关联的安全域中容宿唯一的配置文件。在该示例中，假设isd-p元件305、310、315中的至少一个容宿提供安全令牌小应用320并且存储相关联的一个或多个对称密钥的配置文件。如图4所示，还可以通过提供一个或多个其他小应用322来提供其他功能性作为配置文件的一部分，并且还可以按照isd-p的标准布置来提供文件系统324。因此，可以看出，通过提供安全令牌小应用320和用于在生成令牌时使用的相关联的对称密钥，扩展了标准的isd-p功能性。“iccid”是由isd-p维护的配置文件的唯一id。通常，在任何时间点仅启用一个isd-p，并且可以为设备可能连接的每个可能的蜂窝网络提供商提供不同的isd-p元件。尽管在图4中，在特定移动网络运营商的控制下下载的一个或多个isd-p元件中提供了安全令牌小应用，但在替代实现方式中，可以提供专用的安全域，用于容宿提供安全令牌小应用和相关联的对称密钥的配置文件(或用于提供安全令牌小应用和相关联的对称密钥而无需容宿配置文件)，使得由该专用安全域提供的安全令牌小应用始终用于处置针对令牌的请求，而不管被启用的isd-p所维护的当前被启用的订阅配置文件。

isd-r(发行者安全域根)元件335被布置为与对应的卡下实体sm-sr(订阅管理器安全路由)元件进行通信，并用作订阅管理系统的一部分，以将配置文件下载到设备。例如，当要下载新的配置文件时，isd-r将例如创建新的isd-p。如果如早前所讨论的采用专用安全模块，则isd-r也可以涉及该专用安全模块的创建，例如通过参与用于在该专用安全域内提供令牌生成应用的下载过程。然而，一旦创建了专用安全域，即可以由处理电路/操作系统直接寻址该专用安全域，而无需isd-r的参与。

ecasd(euicc控制机构安全域)元件330被布置为建立与订阅管理平台110的信任路由，并且ecasd元件330可以用于对从订阅管理平台110下载的配置文件进行认证。其功能之一是在配置文件下载过程期间建立密钥集合。

如图4所示，当并入了euicc300的iot设备向安全令牌小应用请求令牌时，对称密钥和时间戳信息被用于使用安全令牌小应用320来生成一次性令牌。

一旦令牌已被返回，则iot设备将数据发送回iot管理系统350，从而将iccid和令牌信息附加到所传输的数据。在所示的示例中，该信息被包括在http报头中。

一旦所传输的数据块被接收到，管理系统服务器350就请求认证服务360来验证令牌。认证服务可以由服务器370提供，该服务器370具有用于存储对称密钥的相关联的硬件安全模块(hsm)365。

然后，认证服务360通过使用totp算法重新计算比较令牌来验证令牌。如早前所讨论的，可以对一系列时间戳来执行该操作，并将所生成的每个比较令牌与随数据接收到的原始令牌进行比较。如果是匹配的情况，则管理系统服务器350可以对传感器数据进行处理，否则将拒绝接收到的数据。

根据上述技术，通过在诸如uicc之类的安全模块的安全域内提供安全令牌小应用，来实现在数据报告设备内生成安全令牌。通过为此目的在uicc内运用安全域，可以在数据报告设备上保证最佳的、符合标准的安全性。因此，这提供了非常鲁棒且高性价比的机制，用于在数据报告设备处提供安全令牌生成，然后该机制促进目的设备响应于接收到的数据而使用认证过程，以便在对该数据进行处理之前对数据进行认证。

进一步地，所描述的用于生成对称密钥的技术将向由认证设备85提供的认证服务授予经gsmasas(安全认可方案)证明的上下文的保证。

此外，该解决方案具有高度的可移植性，因为所需的安全令牌小应用可以被提供到来自任何供应商的安全模块上。

本文中描述的技术可以在数据报告设备将向目的设备提供数据的各种不同情况下使用。例如，所描述的方法提供了健壮且高性价比的机制，以允许管理iot设备的服务器信任来自这些iot设备的入站通信的可靠性。

在本申请中，词语“被配置为……”用来表示装置的元件具有能够执行所定义的操作的配置。在该上下文中，“配置”意味着硬件或软件的互连的布置或方式。例如，该装置可以具有提供所定义的操作的专用硬件，或者可以对处理器或其他处理设备进行编程以执行该功能。“被配置为”并未暗示需要以任何方式改变装置元件以提供所定义的操作。

尽管本文已经参照附图详细描述了本发明的说明性实施方式，但是要理解的是，本发明不限于那些精确的实施方式，并且本领域技术人员可以在其中实现各种改变、添加和修改，而不脱离所附权利要求所限定的本发明的范围和精神。例如，在不脱离本发明的范围的情况下，可以将从属权利要求的特征与独立权利要求的特征进行各种组合。