基于SIM卡认证模式的物联网设备的认证鉴权系统的制作方法

本发明涉及一种物联网设备的认证鉴权系统，具体涉及一种基于SIM卡认证模式对物联网设备进行SIM卡鉴权管理的系统。

背景技术：

移动通信技术

移动通信技术经过近四十年的发展，已经从第一代模拟无线通信、第二代GSM/CDMA、第三代WCDMA/CDMA2000/TD-SCDMA，到了目前的4G LTE通信时代，用户可以用功能强大的智能终端在高速移动中的使用各种多媒体通信和互联网应用。

移动通信业务由运营商负责构架系统，并通过智能终端和SIM卡提供给普通用户使用，所提供的业务包括话音、短信等基本业务，也有移动互联网接入、以及各种基于移动互联网的增值业务。

需要强调的是移动通信系统对用户的认证鉴权功能：

SIM卡是运营商识别签约用户身份的唯一标识，一个SIM卡就是一个符合3GPP标准规范的IC集成电路设备(或者叫USIM/UIM卡)，里面有运营商预先写入的一些加密信息，有些能够读出来，有些无法读出来，只能通过标准的ISO-7816端口获取交互数据；每一个用户终端都需要通过SIM卡槽插入/内嵌一张SIM卡，而终端中必须包含有支持SIM卡读取、认证鉴权的模块，通常这个模块和终端的射频模块(Modem)集成在一起，通过标准的ISO-7816接口访问SIM卡内的信息；在用户终端接入运营商网络时，必须首先通过对终端内SIM卡的鉴权，才允许让设备接入移动网络，并且运营商系统会利用SIM卡内的信息，记录这个终端使用的各种业务的情况，用于计费和其他服务。

近年来，随着IC技术的发展，出现了可以通过OTA方式发行SIM卡的

方式，主要包括软SIM和eSIM方式。其中：eSIM作为一种嵌入式SIM卡(Embeded SIM)，实质上是将SIM卡加密数据由原来的存放在UICC电路上(其实就是物理SIM卡)转移到设备本身的另一个硬件载体上，目前GSMA的eSIM主要是基于eUICC来做；如果将SIM卡整个的数据作为完整的数据包直接集成到通讯模组或芯片中，由通信模组或者芯片按照SIM卡数据包的格式执行SIM卡的功能，则这种模式叫软SIM。

物联网技术

物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。其英文名称是：“Internet of things(IoT)”。物联网就是物物相连的互联网，包括两层意思：其一，物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；其二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通信，也就是物物相息。物联网通过智能感知、识别技术与普适计算等通信感知技术，广泛应用于网络的融合中，也因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网是互联网的应用拓展，与其说物联网是网络，不如说物联网是业务和应用。

物联网根据其应用场合不同可以分为室外场景和室内场景，其中，室外场景主要包括车联网、物流运输、个人运动追踪等等，以广域、移动性为特点；室内场景包括智能家具、厂区工业控制、定点监控等等，以局域、固定性为特点；

移动通信因为具备覆盖广、速度快、移动性等特点，是室外移动型物联网的最佳传送通道；而对于室内型物联网应用，如果采用移动物联网方式，就会造成巨大的移动蜂窝网建设成本、造成空口资源浪费、物联网设备成本居高不下，影响物联网的发展和普及。因此，在室内情况，多采用局域无线网技术，如WiFi/ZigBee等技术，实现数据的传输，而业务鉴权模式，多采用互联网模式，即用户名/密码模式进行处理，为了能够集中地对局域网环境中的物联网设备进行管理，通常运营商在互联网接入网关设备中增加对局域物联网设备的管理功能，并对来自外部的访问进行互联网模式的认证鉴权。

对于移动运营商而言，互联网式认证鉴权模式，与既有的基于SIM卡的认证鉴权模式有很大区别，无法用移动通信系统实现对设备的直接管理，必须通过独立构建的互联网认证系统对物联网设备进行认证和管理，而在业务上的融合，则需要更多的资源和工作量投入进去。近年来，随着互联网上出现的各种“黑客”攻击风险，互联网模式面临着一些挑战：如果需要增加互联网的加密水平，就意味着物联网设备成本的增加，同时BOSS系统的改造；如果采用移动通信系统接入，管理更加容易，但蜂窝系统投入巨大，空口浪费，物联网设备成本增加。

因此，亟待出现一种降低对物联网设备的认证鉴权管理成本和运营商蜂窝网络的空口资源的物联网设备的认证鉴权方案的出现。

技术实现要素：

针对上述技术问题，本发明提供一种基于SIM卡认证模式的物联网设备的认证鉴权系统，该系统将室内物联网设备上的SIM卡鉴权功能统一到集中式SIM卡托管设备中，通过SIM卡托管设备的7816接口芯片保存多个软SIM卡/eSIM卡功能，实现对多个SIM卡的管理和认证鉴权功能，每个SIM卡对应一个或多个物联网终端设备；通过通信模块，实现与远程认证接入服务器的通信，并与互联网接入网关(含无线路由功能)的通信，为物联网终端的接入，外部用户的访问进行认证、鉴权。

本发明采用的技术方案为：

本发明提供一种基于SIM卡认证模式的物联网设备的认证鉴权系统，包括智能终端、互联网接入网关、托管SIM卡认证接入服务器、SIM卡托管设备和多个物联网设备；所述SIM卡托管设备、所述互联网接入网关和所述多个物联网设备处于同一网络环境中并进行信息交互；所述智能终端安装有嵌入有SIM认证SDK的物联网APP，所述SIM卡托管设备中存储有与所述物联网APP相对应的第一SIM卡信息，所述物联网APP通过与所述SIM卡托管设备和所述托管SIM卡认证接入服务器进行信息交互，实现与所述第一SIM卡信息的绑定，从而与所述SIM卡托管设备进行绑定，并且所述物联网APP与所述互联网接入网关或者运营商物联网平台进行信息交互以添加指定的一个或多个物联网设备，并向运营商物联网平台获取与所述指定的一个或多个物联网设备相对应的第二SIM卡信息，并将所述第二SIM卡信息存入所述SIM卡托管设备中，从而实现与所述物联网设备的绑定；所述物联网APP与所述第一SIM卡信息之间的绑定关系以及所述物联网APP与所述物联网设备之间的绑定关系保存所述托管SIM卡认证接入服务器和所述运营商物联网平台中；所述物联网APP在与所述物联网设备绑定后，通过所述SIM认证SDK向所述托管SIM卡认证接入服务器发送认证绑定的第一SIM卡信息的认证信息，所述托管SIM卡认证接入服务器与运营核心网进行信息交互，对所述认证信息进行认证，在认证通过后，所述物联网APP获得所述运营商物联网平台的接入权限并获得与所述物联网APP绑定的物联网设备的访问权限。

可选地，所述托管SIM卡认证接入服务器通过IP sec方式与所述运营商核心网连接，交互第一SIM卡信息和第二SIM卡信息认证的各种信令，实现基于SIM卡的标准3元组/5元组的认证功能。

可选地，所述托管SIM卡认证接入服务器通过互联网安全信息交互接口，与所述运营商物联网运营平台对接，为所述运营商物联网运营平台提供所述物联网设备接入和所述物联网APP访问的认证鉴权结果。

可选地，所述托管SIM卡认证接入服务器与所述SIM卡认证SDK进行交互来验证所述物联网APP与第一SIM卡信息的绑定关系，以及与所述物联网设备的绑定关系。

可选地，所述第一SIM卡信息与一个物联网APP相对应，所述第二SIM卡信息与一个或多个物联网设备相对应，所述物联网APP与一个或多个物联网设备进行绑定。

可选地，所述SIM卡托管设备、所述互联网接入网关和所述多个物联网设备处于局域网环境中或者无线网络环境中。

可选地，所述SIM卡托管设备包括对多个物联网设备进行SIM卡鉴权管理的集中式SIM卡托管设备和对单个物联网设备进行SIM卡鉴权管理的独立式SIM卡托管设备。

可选地，所述SIM卡托管设备包括SIM卡槽和7816接口芯片，所述第一SIM卡信息和所述第二SIM卡信息存储在所述SIM卡槽放置的SIM卡中或者存储在所述7816接口芯片中。

与现有技术相比，本发明的基于SIM卡认证模式的物联网设备的认证鉴权系统由于采用了SIM卡托管技术，运营商管理用户物联网设备的流程全部可以通过既有移动系统的BOSS接口完成，无需任何改造，因而可以降低管理成本和运营商蜂窝网络的空口资源。

附图说明

图1为本发明的基于SIM卡认证模式的物联网设备的认证鉴权系统的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

首先，对本发明中应用的SIM托管技术进行简要介绍。

SIM卡托管技术，是一种将SIM卡鉴权模块从移动终端中独立出来，形成一个SIM卡托管设备，配合以能够接入运营商核心网的远程认证接入服务器和与托管绑定的专用APP，从而能够实现独立于手机的SIM卡认证鉴权功能。SIM卡托管技术是对传统SIM卡认证鉴权方式的OTT化，是将移动系统的SIM卡认证鉴权能力开放到互联网上，实现认证与终端硬件设备的解耦，从而开放了运营商的基础通信能力，为运营商实现通信与互联网的结合提供了开放的能力平台。

SIM卡托管系统主要由三部分组成：SIM卡托管装置、与托管装置绑定的手机APP以及与运营商核心网连接的远程认证接入服务器。SIM卡托管设备的主要组成包括通信模块(用来和远程认证接入服务器及APP通信的模块，如WiFi，蓝牙或者USB串口通信接口等)、具备SE模块功能的7816接口芯片、SIM卡槽、供电模块，SIM卡槽用于放置或存储多个虚拟SIM卡并读取它们的信息，供电模块为通信模块、7816接口芯片、SIM卡槽提供电力，不过，在通信模块为USB接口的前提下，可不设置供电模块，而是由USB接口通过外接电源直接供电。具备SE功能的7816接口芯片，可以保存多个soft-SIM卡信息，并且支持空口鉴权认证算法，同时支持软SIM/eSIM1卡的写入、读取、认证鉴权功能，因此，具备一个SIM卡托管设备，同时可以支持多个软SIM/虚拟SIM卡信息的能力。

接着，对本发明采用了上述托管技术的基于SIM卡认证模式的物联网设备的认证鉴权系统进行介绍。

如图1所示，本发明实施例提供的本发明的基于SIM卡认证模式的物联网设备的认证鉴权系统包括智能终端3、托管SIM卡认证接入服务器4、互联网接入网关5、SIM卡托管设备6和多个物联网设备7-1，7-2，…7-n。

所述SIM卡托管设备6、所述互联网接入网关5和所述多个物联网设备处于同一网络环境中并进行信息交互；所述智能终端3安装有嵌入有SIM认证SDK(Software Development Kit,即软件开发工具包)的物联网APP，与所述SIM卡托管设备6和所述托管SIM卡认证接入服务器4进行信息交互，所述SIM卡托管设备6中存储有与所述物联网APP相对应的第一SIM卡信息，所述物联网APP通过与所述SIM卡托管设备6和所述托管SIM卡认证接入服务器4进行信息交互，实现与所述第一SIM卡信息的绑定，从而与所述SIM卡托管设备进行绑定，并且所述物联网APP与所述互联网接入网关5或者运营商物联网平台2进行信息交互以添加指定的一个或多个物联网设备7-1，7-2，…7-n，并向运营商物联网平台2获取与所述指定的一个或多个物联网设备相对应的第二SIM卡信息，并将所述第二SIM卡信息存入所述SIM卡托管设备中，从而实现与所述物联网设备的绑定；所述物联网APP与所述第一SIM卡信息之间的绑定关系以及所述物联网APP与所述物联网设备之间的绑定关系保存所述托管SIM卡认证接入服务器4和所述运营商物联网平台2中；所述物联网APP在与所述物联网设备绑定后，通过所述SIM认证SDK向所述托管SIM卡认证接入服务器4发送认证绑定的第一SIM卡信息的认证信息，所述托管SIM卡认证接入服务器与运营核心网1进行信息交互，对所述认证信息进行认证，在认证通过后，所述物联网APP获得所述运营商物联网平台的接入权限并获得与所述物联网APP绑定的物联网设备的访问权限。在本发明中，第一SIM卡信息和第二SIM卡信息可存储在物理卡或者虚拟卡上，可为eSIM方式或者soft-SIM方式，物联网设备可为智能电视、空调、冰箱、监控设备等智能产品，物联我APP访问的物联网设备是得到授权的物联网设备，例如，对于企业环境而言，一个车间主人手机上的APP可以访问他自己车间的物联网设备，但不能访问别的车间的物联网设备。

具体地，所述托管SIM卡认证接入服务器4部署在运营商的IDC机房，连接互联网和运营商核心网，主要用于执行以下功能：(1)通过IP sec方式与运营商核心网1连接，交互SIM卡认证的各种信令，实现基于SIM卡的标准3元组/5元组的认证功能；(2)通过互联网安全信息交互接口，与运营商物联网运营平台2对接，为运营平台提供物联网设备接入和用户访问的认证鉴权结果；(3)与集中式SIM卡托管设备或者独立式SIM卡托管设备连接，实现对特定SIM卡的认证鉴权交互，一般地，集中式SIM卡托管设备将根据物联网设备是否在线，启动对应SIM卡的核心网注册流程，向托管SIM卡认证接入服务器发起智能终端注册流程，从而实现认证鉴权交互；(4)与嵌入应用APP中的SIM卡认证SDK交互，验证特定APP与特定SIM卡(存储第一SIM卡信息)的绑定关系，以及与特定物联网设备的绑定关系，由于每一个智能终端的物联网APP都有一个无法复制的唯一码，与之绑定的SIM卡是一对一的，这个一对一关系保存在托管SIM卡认证接入服务器和运营商物联网平台上，与此类似，与物联网设备相对应的SIM信息以及物联网APP与物联网设备的绑定关系也保存在托管SIM卡认证接入服务器和运营商物联网平台上，因此物联网APP一启动，就会到托管SIM卡认证接入服务器验证定APP与特定SIM卡的绑定关系，以及与特定物联网设备的绑定关系；(5)处理应用APP的移动性管理及被叫唤醒等功能。

本发明的SIM卡托管设备的主要结构与上述描述的SIM托管设备的结构类似，主要包括壳体和安置在壳体中的SIM卡槽和集成SE功能的7816接口芯片，SIM卡槽用于放置物理SIM卡并读取该物理SIM卡中的SIM卡信息，该物理SIM卡可以是不包含任何信息的空白SIM卡，也可以是运营商预先设置了与APP和物联网设备相关的信息的SIM卡，7816接口芯片中可存储以软SIM方式实现的SIM卡信息并与SIM卡槽连接，在SIM卡信息保存在SIM卡的物理卡中时，7816芯片可以获取该物理卡中的SIM卡信息。按照通信方式，本发明的SIM卡托管设备可分为三种形态：不带无线通信功能的USB Dongle、带无线通信功能的USB Dongle和直接集成在互联网接入网关如家庭网关或路由器主板上的嵌入式子板，其中，不带无线通信功能的USB Dongle通过USB接口直接插在家庭网关上，通过USB接口和家庭网关通信，带无线通信功能的USB Dongle通过WiFi网络和家庭网关/路由器通信，嵌入式子板通过主板上的串口直接与家庭网关/路由器通信。本发明中的SIM卡托管设备可分为对多个物联网设备进行SIM卡鉴权管理的集中式SIM卡托管设备5和对单个物联网设备进行SIM卡鉴权管理的独立式SIM卡托管设备6。集中式SIM卡托管设备6的主要功能包括：(1)对多个SIM卡的托管功能，可以支持多个软SIM卡或eSIM的管理和操作；(2)实现每张SIM卡与单个或多个物联网终端的对应管理，实现物联网APP与指定SIM卡的绑定管理；APP与存储第一SIM卡信息的指定SIM卡是1：1的关系，存储第二SIM卡信息的物联网SIM卡与物联网设备是1：1或者1：n的关系，一个物联网SIM卡可与一个或多个物联网设备相对应，例如，多个摄像头可绑定到一个物联网SIM卡上，一个物联网APP可与一个或多个物联网设备进行绑定，即可与一个物联网SIM卡，或者多个物联网SIM卡进行绑定例如，一个APP可绑定多个摄像头；(3)对来自托管SIM卡认证接入服务器的SIM卡认证请求进行符合标准的鉴权交互；(4)与互联网接入网关交互，参与物联网设备的通信报文鉴权，对于不支持物联网设备通信鉴权的互联网接入网关，物联网APP和SIM卡托管设备可以通过和物联网平台进行交互获得物联网设备的信息。独立式SIM卡托管设备主要用于独立产品的SIM卡鉴权功能，可集成在独立的物联网设备中，与集中式家庭SIM卡托管设备功能相同，但只对单个物联网设备进行SIM卡鉴权管理。

所述SIM认证SDK4嵌入物联网APP中，与所述托管SIM卡认证接入服务器进行信息交互，验证物联网APP与其身份信息相对应的SIM卡的绑定关系，如果验证通过，则启动该物联网APP，如果不通过，则该物联网APP退出，通过SIM卡绑定鉴权的物联网APP，获得与物联网APP绑定的物联网设备对运营商物联网运营平台的合法访问权。此外，所述SIM认证SDK还进行移动业务(基本话音、短信)的通信鉴权和业务处理，处理互联网模式下用户终端的移动性管理和被叫应用唤醒等功能。

所述运营商核心网1属于运营商的移动通信系统，可以是3G/4G网络核心网。为了与本发明所提供的系统对接，必需支持以下三种接入方式：(1)对于3G核心网，必需部署Femto GW设备，允许通过标准的IuH接口接入运营商网络，对托管SIM卡的认证鉴权由核心网的HLR按照标准流程进行；(2)对于4G开通VoWiFi业务的系统，必需部署ePDG，允许通过标准的SWu接口接入运营商网络，对托管SIM卡的认证鉴权由IMS域的HSS按照标准流程进行；(3)对于标准4G系统，必需部署支持SmallCell接入的IAG设备，允许通过标准的S1接口接入运营商网络，对托管SIM卡的认证鉴权25由IMS域的HSS按照标准流程进行

运营商物联网平台2是由运营商建设的物联网业务运营管理平台。它负责的功能包括：物联网设备的接入管理；物联网信息的存储、发布管理；物联网应用APP接入管理；物联网用户的管理；物联网设备的位置管理；所有设备、APP、用户的认证管理等等。本发明中，运营商对设备/用户/APP的认证采用SIM卡鉴权方式，从而大大简化了整个系统认证鉴权的过程，所有通过SIM卡认证的用户/APP/设备，一定是运营商的合法用户，物联网平台可以授予用户/APP/设备接入物联网平台，使用平台服务的相应权限。

以下对本发明的基于SIM卡认证模式的物联网设备的认证鉴权系统的工作原理进行介绍。

整个系统的使用流程

该使用流程假设运营商已经具备以下前提条件：已经具备核心网必要接入设备；已经与托管SIM卡认证接入服务器接通；已经构建物联网平台，且与托管SIM卡认证接入服务器接通；在办公室或者家庭类互联网接入网关中集成了前述描述的嵌入式子板或者允许以插件方式集成SIM卡托管设备，例如插入不带无线通信模块的USBDongle，用USB接口直接实现SIM卡托管设备和具有插件业务接口的家庭网关的集成，或者插入带WiFi模块的USB Dongle,通过WIFi和家庭网关的集成，家庭网关可以直接注册这个本地无线网服务接口，该SIM卡托管设备具备同时支持并激活多个软SIM/eSIM的功能；所有物联网设备均通过互联网接入网关接入运营商物联网平台；物联网APP中已经集成了SIM卡认证SDK，启动托管SIM卡认证功能；物联网终端设备通过局域网或者无线局域网与互联网接入网关连接，并通过该网关接入运营商物联网平台和第三方设备商平台。

在满足上述前提条件的情况下，拥有智能终端的用户在与互联网接入网关同一环境中，通过与集中SIM卡托管设备和托管SIM卡认证接入服务器交互，实现物联网APP与集中式SIM卡托管设备的绑定，从而该物联网APP可以在任何具有移动互联网连接的地方，访问绑定互联网接入网关环境中的物联网设备。接着，用户通过物联网APP，添加接入互联网接入网关的物联网设备，并向运营商物联网平台申请一个或者多个物联网软SIM卡，这些物联网软SIM卡的信息可通过互联网写入SIM卡托管设备中的物理SIM卡中或者7816接口芯片中，在另一示例中，这些物联网软SIM卡的信息在运营商发放SIM卡托管设备时，可以被预先写入到SIM卡托管设备中。运营商物联网平台会记录物联网APP与物联网设备的对应关系，集中SIM卡托管设备通过其中的7816接口芯片实现物联网软SIM卡与用户SIM卡的绑定关系，即实现物联网设备与物联网APP之间的绑定。其中，APP可以通过运营商物联网平台获得与物联网设备相对应的SIM卡信息，也可以通过互联网接入网关获得与物联网设备相对应的SIM卡信息来添加接入互联网接入网关的物联网设备，物联网APP与物联网设备之间的绑定，可以通过在物联网APP中添加物联网设备的同时绑定，也可以对已经接入运营商物联网平台的物联网设备进行绑定。采用一个SIM卡管理局域网内所有物联网设备，还是每个/每组设备用一个SIM卡取决于运营商策略和集中SIM卡托管装置的容量，本发明并不做特别的限制，关于通过互联网传递软SIM的信息，则可以通过托管SIM卡认证接入服务器与集中SIM卡托管设备之间的加密通道实现，例如，通过TCP通道，采用对称算法来实现该加密通道，或者通过运营商物联网平台与互联网接入网关之间的加密通道传递，该加密通道为运营商自带的加密通道，通过空中下载技术借由互联网接入网关转发给集中SIM卡托管设备，在此不做限制。物联网软SIM卡与用户SIM卡的绑定关系可以在集中SIM卡托管设备中设置，也可以在运营商物联网平台中设置，以实现企业应用模式。

在所述指定APP在与指定SIM卡和指定物联网设备绑定后，APP启动后，调用SIM卡认证SDK，向托管SIM卡认证接入服务器认证绑定的SIM卡；如果认证失败，则拒绝接入运营商物联网平台；如果认证通过，则用户获得运营商物联网平台的接入权限，以及绑定物联网设备的访问权限，可以合法使用物联网业务、添加、删除设备、授权其他用户访问辖内物联网设备等等。

本发明中的运营商物联网平台可实现与智能终端的主动通信以及可实现与智能终端和物联网设备同时通信的三方通信，具体为：当运营商物联网平台需要主动与用户APP(物联网APP)发生通信时，可以采用标准的移动通信呼叫方式，拨打用户APP绑定的SIM号卡，托管SIM卡认证接入服务器会通过互联网实现对APP的呼叫和拉起；实现基本业务等，基本业务可包括话音和短信等；在这种模式下，嵌入SIM卡认证模块的物联网应用必需实现通话界面和短信界面，此功能由运营商决定是否开放。如果运营商需要将物联网设备加入与用户APP的通信过程中，只需要采用标准3方呼叫方式，实现用户APP和授权的物联网设备的三方接入即可；由于SIM卡托管模式的话音业务采用互联网传输，因此可以保证话音业务与物联网数据业务的同时并发。这种模式下，可以实现用户与物联网设备和运营商物联网平台之间的协同通信，需要物联网设备集成SIM卡认证SDK。

综上，本发明由于采用了SIM卡托管技术，运营商管理用户物联网设备的流程全部可以通过既有移动系统的BOSS接口完成，无需任何改造。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。