专利名称:认证方法及系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种认证方法及系统。
背景技术:
机器对机器(Machine to Machine,简称为M2M)通信技术使得无线设备的部署不需要人工干预,但是,部署M2M设备(M2M Equipment,简称M2ME)的一个挑战是,如何有效地远程提供M2ME。对于传统的无线设备来说,“提供”是通过通用用户识别模块(Universal Subscriber IdentityModule,简称为USIM)实现的,USIM是由无线网络运营商提供的、安装在UICC卡上的一个应用。但是,在某些情况下,在M2ME中插入UICC卡是不现实的或者不可能的。因此,在现有技术中,可以把信任环境(Trusted Environment,简称为TRE)集成在M2ME中,TRE无物理的UICC,安装在TRE上的类似USIM的应用,被称为机器通信身份模土夬(MachineCommunication Identify Module,简称为 MCIM),TRE 可以为 MCIM 的提供、存储、执行和管理提供一些软硬件保护和隔离。在现有技术中,M2ME用临时连通性标识(Provisional Connectivity ID,简称为PCID)完成初始附着到一个初始连接网络,这个网络被称为拜访网络运营商(Visited Network Operator,简称为VN0),一旦连接到网络,M2ME进而为了下载MCIM连接到选择的归属运营商(Selected Home Operator,简称为SH0),SHO请求平台验证机构(Platform ValidationAuthority,简称为 PVA)对 M2ME 验证后,将 MCIM 下载到 M2ME。因此在现有技术中,是SHO单方面请求PVA验证M2ME。这种处理方式可能会导致一些问题,例如,一个不可信的第三方可能假冒SHO从M2ME获得机密信息;又例如,SHO要确保M2ME确实是已签约的无线设备而非试图偷窃运营商的服务的不可信的第三方时,需要请求第三方的支持(例如,PVA)来完成对M2ME的验证。
发明内容
本发明的主要目的在于提供一种认证方法及系统,以至少解决上述问题。根据本发明的一个方面,提供了一种认证方法,包括注册运营商RO接收到来自选择的归属运营商SHO的注册请求消息,其中,所述注册请求消息中携带有机器对机器设备M2ME的参数;所述RO根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO ;所述SHO与所述M2ME进行相互认证,其中,进行相互认证所使用的密钥为所述密钥,在相互认证之前,所述M2ME得到所述密钥。优选地,所述RO根据所述M2ME的标识信息获取密钥包括所述RO预先存储所述与所述M2ME的标识信息所对应的密钥,根据所述M2ME的标识信息在预先存储的密钥中获取与所述M2ME的标识信息所对应的所述密钥。优选地,所述M2ME得到所述密钥包括所述M2ME预先存储有与所述RO存储的相同的密钥;或者,所述RO将所述密钥发送给所述M2ME。
优选地,所述RO根据所述M2ME的标识信息获取密钥包括所述RO预先设置有密钥算法,并根据所述密钥算法使用所述M2ME的标识信息计算出与所述M2ME的标识信息所对应的所述密钥。 优选地,所述M2ME得到所述密钥包括所述M2ME存储有与所述RO相同的密钥算法,并根据所述密钥算法使用所述M2ME的标识信息计算出所述密钥;或者,所述RO将所述密钥发送给所述M2ME。优选地,所述SHO与所述M2ME进行相互认证包括所述M2ME向所述RO请求注册到所述SHO ;所述RO将所述SHO的信息发送给所述M2ME ;所述M2ME向所述SHO发送激活请求,所述激活请求用于从所述SHO获得永久的用户证书;所述M2ME与所述SHO进行相互认证。优选地,在所述注册请求消息中还携带有安全代码的情况下,所述RO根据所述 M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述 SHO包括所述RO比较所述注册请求消息中携带的安全代码和其本地已经存储的与所述 M2ME对应的安全代码是否匹配,并在匹配的情况下,获取所述密钥并将所述密钥发送给所述 SHO0优选地,所述RO根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO包括所述RO比较所述注册请求消息中携带的所述 M2ME的参数和其本地已经存储的所述M2ME的参数是否匹配,并在匹配的情况下,获取所述密钥并将所述密钥发送给所述SH0。优选地,用于标识所述M2ME的标识信息为临时连通性标识PCID。根据本发明的另一个方面,还提供了一种认证系统,包括R0、SHO和M2ME,所述RO 用于接收到来自所述SHO的注册请求消息,其中,所述注册请求消息中携带有M2ME的参数; 所述RO还用于根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO ;所述SHO和所述M2ME用于进行相互认证,其中,进行相互认证所使用的密钥为所述密钥,在相互认证之前,所述M2ME得到所述密钥。通过本发明,采用SHO与M2ME进行相互认证,解决了 SHO单方面请求PVA验证M2ME 所带来的问题,进而实现了 SHO与M2ME之间的相互认证,增强了安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的认证方法的流程图;图2是根据本发明实施例的SHO与M2ME相互认证的流程图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提出了一种SHO与M2ME进行双向认证的方法及系统,该系统中包括 R0,SHO和M2ME,并使用以下实施例中描述的方法。这种双向认证的方式比SHO请求PVA来完成认证的方式更加安全。图1是根据本发明实施例的认证方法的流程图,如图1所示,该流程包括如下步骤步骤S102,注册运营商Register Operator,简称为R0)接收到来自SHO的注册请求消息,其中,该注册请求消息中携带有M2ME的参数;步骤S104,RO根据M2ME的参数所对应的用于标识M2ME的标识信息(例如,PCID) 获取密钥,并将密钥发送给SH0。在此需要说明的,也可以使用其他标识M2ME的标识信息, 只要RO能够根据该标识信息获取到该M2ME认证所需要密钥即可;步骤S106,SHO与M2ME进行相互认证,其中,进行相互认证所使用的密钥为RO获取到的并向该SHO发送的密钥,在相互认证之前,M2ME也需要得到该密钥。通过上述步骤,RO将密钥发送给SH0,从而使SHO与M2ME均具有了该密钥,从而实现了双向认证。其中,RO获取密钥的方式有很多种,无论是哪种方式只要保证SHO和RO得到的是相同的密钥,均可以实现SHO与RO的双向认证。下面以举例的方式对密钥的得到方式进行说明。例如,RO预先存储与M2ME的标识信息所对应的密钥,根据M2ME的标识信息在预先存储的密钥中获取与M2ME的标识信息所对应的密钥。这种方式需要预先将密钥设置完毕, 然后直接查找预先设置的密钥即可,这种实现方式比较容易。在这种情况下,可以在M2ME 也预先存储与RO存储的相同的密钥。当然,为了更改方便等原因,也可以不在M2ME上存储密钥,而由RO将密钥发送给M2ME。又例如,RO预先设置有密钥算法,并根据密钥算法使用M2ME的标识信息计算出与M2ME的标识信息所对应的密钥。与上述例子相似,M2ME也可以存储有与RO相同有密钥算法,并根据密钥算法使用M2ME的标识信息计算出密钥;或者,RO将计算好的密钥发送给 M2ME,这样就不再需要M2ME进行计算了。通过上述的举例,SHO和M2ME均得到了相同的密钥,在得到密钥后,可以选择在合适的时机进行认证,下面以一个例子对SHO和M2ME进行相互认证的时机的进行说明,需要说明的是,下面的例子仅仅是示例性说明,并不限于此,也可以选择其他的流程或时机进行双向认证。例如,M2ME向RO请求注册到SHO,RO将SHO的信息发送给M2ME,M2ME向SHO发送激活请求,该激活请求用于从SHO获得永久的用户证书,然后,M2ME与SHO进行相互认证。当然,在实施时,为了更加安全,在注册请求消息中还可以携带有安全代码,此时, RO比较注册请求消息中携带的安全代码和其本地已经存储的与M2ME对应的安全代码是否匹配,并在匹配的情况下,获取密钥并将密钥发送给SH0。或者,RO还可以比较注册请求消息中携带的M2ME的参数和其本地已经存储的M2ME的参数是否匹配,并在匹配的情况下,获取密钥并将密钥发送给SH0。需要说明的是,这两种比较是否匹配的方式可以择一使用,也可以同时使用,同时使用将更加增强安全性。通过上述实施例及其优选实施方式,比较简便地完成SHO与M2ME之间的相互认证,使得SHO对M2ME的认证可以不通过PVA完成,进而到达了增强安全性,简化流程的效^ ο下面结合一个优选实施例进行说明,该优选实施例结合了上述实施例及其优选的实施方式。
在本优选实施例中,对于基于TRE的M2ME,在M2ME生产时,M2ME供应商 (M2MEsupplier,简称为M2MES)将PCID、每个PCID对应的初始密钥、加密算法等预编程嵌入到M2ME中。当M2ME被购买和交付给M2M签约用户时,PCID、密钥、SHO标识等数据被交付给M2M签约用户。M2MES同时把PCID及其对应的初始密钥提供给RO。在M2M技术中,拜访网络运营商(Visited Network Operator,简称为VN0)用于 M2ME初始注册以及提供MCIM应用和证书,它是任意运营一个网络的运营商。RO为M2ME 提供注册和提供功能,包括初始连通性功能(Initial Connectivity Function,简称为 ICF)、发现注册功能(Discovery and Registration Function,简称为DRF)、下载供应功能 (Download andProvisioning Function,简称为 DPF),其中,ICF 提供连接服务,帮助 M2ME 发现SHO ;DRF帮助M2ME发现并在SHO中注册,DPF下载和提供MCIM应用和证书给M2ME。 PVA负责验证M2ME是否可信。SHO有一个与M2ME签约用户的签约合同,为M2ME提供可运营的连接服务,它可授权DPF提供MCIM。M2ME签约用户是和SHO签约的、接受M2M服务的个人或组织,当与SHO签约后,应把所有的M2ME参数交付给该SHO ;当发生从一个SHO到另一个SHO的签约改变后,应通知RO ;而且提供证书给PVA,这些证书用于验证M2ME平台和/ 或M2ME提供的应用。在本实施例中,SHO与M2M签约用户签约并获得M2ME的参数,M2ME利用VNO提供的安全的IP连接建立与RO的联系;SHO向RO发送注册请求,该请求中包含M2ME的参数、 SHO的数据以及安全代码等,DRF收到该请求后,根据安全代码对请求进行认证,认证时,可以比较收到的安全代码与已存储的与M2ME相关的安全代码是否匹配,同时,还可以检索收到的M2ME参数是否跟已经存储的M2ME匹配,如果匹配,则注册请求被认证通过,RO存储 SHO的数据,并根据SHO请求中的M2ME参数,在其数据库中找到该参数对应的PCID所对应的密钥,将该密钥发送给SHO ;或者,RO用PCID的密钥生成一个用于SHO到M2ME的认证密钥,并把该密钥发送给SH0。M2ME向RO发请求,请求注册到SH0,该请求中包含M2ME参数, RO在它的数据库中查询与M2ME参数对应的SHO的地址,帮助M2ME联系该SH0,并在SHO注册;RO把SHO的数据,例如,SHO的IP地址发送给M2ME ;M2ME根据SHO的地址,向SHO发送激活请求,该激活请求的目的是为了从SHO获得永久的用户证书,例如,MCIM。之后,SHO与 M2ME进行相互认证,相互认证通过后,SHO就可以提供MCIM及M2M应用到M2ME。因为M2ME 和SHO中都保存有PCID对应的密钥或认证密钥,所以可以基于现有的安全技术进行相互认证。通过本优选实施例,可以比较简便地完成SHO与M2ME之间的相互认证,并且给出了 M2ME认证SHO的方案,SHO对M2ME的认证也可以不通过PVA完成,进一步增强了安全性, 也简化了流程。下面结合图2进行说明。图2是根据本发明实施例的SHO与M2ME相互认证的流程图,如图2所示,该流程包括如下步骤步骤S201,M2ME签约用户与SHO签约,并发送M2ME的参数(例如,TRE ID)给SHO ;步骤S202,M2ME利用VNO提供的安全的IP连接建立与RO的联系;步骤S203,SHO向RO发送注册请求,该请求中包含M2ME的参数、SHO的数据以及安全代码等;步骤S204,RO对注册请求进行认证,并存储SHO的数据;
7
步骤S205,RO根据SHO请求中的M2ME参数,在其数据库中找到该参数对应的PCID 所对应的密钥,将该密钥发送给SHO ;或者,RO用PCID的密钥生成一个用于SHO到M2ME的认证密钥,并把该密钥发送给SHO ;步骤S206,M2ME向RO发请求,请求注册到SH0,该请求中包含它的参数,例如, TREID ;步骤S207,RO在它的数据库中查询与TRE ID对应的SHO的地址,帮助M2ME联系该SH0,并在SHO注册;步骤S208,RO把SHO的数据,例如,SHO的IP地址发送给M2ME ;步骤S209,M2ME根据SHO的地址,向SHO发送激活请求,该激活请求的目的是为了从SHO获得永久的用户证书,例如,MCIM ;步骤S210,M2ME与SHO进行相互认证。相互认证时,因为SHO已经从RO获得了 PCID对应的密钥,而M2ME中也有这样一个密钥,那么,M2ME与SHO就可以基于这样一个对称密钥进行相互认证;根据S105,如果RO发送给SHO的不是PCID对应的密钥,而是基于 PCID的密钥生成一个认证密钥发给SH0,那么,M2ME也可以基于PCID的密钥生成这样一个认证密钥,或者步骤S208,RO把认证密钥发给M2ME,M2ME与SHO也就可以基于认证密钥进行相互认证。相互认证通过后,SHO就可以提供MCIM及M2M应用到M2ME。通过上述实施例,可以比较简便地完成SHO与M2ME之间的相互认证,并且给出了 M2ME认证SHO的方案,SHO对M2ME的认证也可以不通过PVA完成,进一步增强了安全性,也简化了流程。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种认证方法,其特征在于,包括注册运营商RO接收到来自选择的归属运营商SHO的注册请求消息,其中,所述注册请求消息中携带有机器对机器设备M2ME的参数;所述RO根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO ;所述SHO与所述M2ME进行相互认证,其中,进行相互认证所使用的密钥为所述密钥,在相互认证之前,所述M2ME得到所述密钥。
2.根据权利要求1所述的方法,其特征在于,所述RO根据所述M2ME的标识信息获取密钥包括所述RO预先存储所述与所述M2ME的标识信息所对应的密钥,根据所述M2ME的标识信息在预先存储的密钥中获取与所述M2ME的标识信息所对应的所述密钥。
3.根据权利要求2所述的方法,其特征在于,所述M2ME得到所述密钥包括所述M2ME预先存储有与所述RO存储的相同的密钥;或者,所述RO将所述密钥发送给所述M2ME。
4.根据权利要求1所述的方法,其特征在于,所述RO根据所述M2ME的标识信息获取密钥包括所述RO预先设置有密钥算法,并根据所述密钥算法使用所述M2ME的标识信息计算出与所述M2ME的标识信息所对应的所述密钥。
5.根据权利要求4所述的方法,其特征在于,所述M2ME得到所述密钥包括所述M2ME存储有与所述RO相同的密钥算法,并根据所述密钥算法使用所述M2ME的标识信息计算出所述密钥;或者,所述RO将所述密钥发送给所述M2ME。
6.根据权利要求1所述的方法,其特征在于,所述SHO与所述M2ME进行相互认证包括所述M2ME向所述RO请求注册到所述SHO ;所述RO将所述SHO的信息发送给所述M2ME ;所述M2ME向所述SHO发送激活请求,所述激活请求用于从所述SHO获得永久的用户证书;所述M2ME与所述SHO进行相互认证。
7.根据权利要求1所述的方法,其特征在于,在所述注册请求消息中还携带有安全代码的情况下,所述RO根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO包括所述RO比较所述注册请求消息中携带的安全代码和其本地已经存储的与所述M2ME对应的安全代码是否匹配,并在匹配的情况下,获取所述密钥并将所述密钥发送给所述SH0。
8.根据权利要求1或7所述的方法,其特征在于,所述RO根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO包括所述RO比较所述注册请求消息中携带的所述M2ME的参数和其本地已经存储的所述 M2ME的参数是否匹配,并在匹配的情况下,获取所述密钥并将所述密钥发送给所述SH0。
9.根据权利要求1至7中任一项所述的方法,其特征在于,用于标识所述M2ME的标识信息为临时连通性标识PCID。
10.一种认证系统,包括R0、SHO和M2ME,其特征在于,所述RO用于接收到来自所述SHO的注册请求消息,其中,所述注册请求消息中携带有 M2ME的参数;所述RO还用于根据所述M2ME的参数所对应的用于标识所述M2ME的标识信息获取密钥,并将所述密钥发送给所述SHO ;所述SHO和所述M2ME用于进行相互认证,其中,进行相互认证所使用的密钥为所述密钥,在相互认证之前,所述M2ME得到所述密钥。
全文摘要
本发明公开了认证方法及系统,该方法包括注册运营商RO接收到来自选择的归属运营商SHO的注册请求消息,其中,注册请求消息中携带有机器对机器设备M2ME的参数;RO根据M2ME的参数所对应的用于标识M2ME的标识信息获取密钥,并将密钥发送给SHO;SHO与M2ME进行相互认证,其中,进行相互认证所使用的密钥为密钥,在相互认证之前,M2ME得到密钥。通过本发明增强了安全性。
文档编号H04W12/06GK102547700SQ20101061524
公开日2012年7月4日 申请日期2010年12月30日 优先权日2010年12月30日
发明者余万涛, 贾倩, 马景旺 申请人:中兴通讯股份有限公司