一种基于授权服务器的NB-IoT保密通信秘钥更新的方法与流程

本发明涉及一种基于授权服务器的nb-iot保密通信秘钥更新的方法。

背景技术：

作为物联网领域的新兴技术，nb-iot(narrowbandinternetofthings，窄带物联网)正处在高速发展中。因为nb-iot自身具备的低功耗、广覆盖、低成本、大容量等优势，使其可以广泛应用于多种场景：公共事业应用场景、工业领域、农业领域和消费领域等。

巨大的市场空间将带来巨大的挑战，尤其是安全问题将会成为年轻物联网产业的尖锐问题，成为制约物联网大规模应用的重要因素。

技术实现要素：

本发明提出一种基于授权服务器的nb-iot保密通信秘钥更新的方法，下面具体说明。

根据第一方面，一种实施例中提供一种基于授权服务器的nb-iot保密通信秘钥更新的方法，应用于应用平台、授权服务器和物联设备，所述授权服务器设置于运营商系统，所述方法包括：

应用平台检测物联设备的证书是否过期，或者检测物联设备的证书物联设备的证书离过期的时间是否小于一阈值；其中物联设备的证书被预设有一有效期；

当检测结果为是时，所述应用平台向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的psk秘钥；

所述物联设备根据基于psk的dtls协议向所述应用平台发送消息；

所述应用平台接收到物联设备所发送的消息后，所述应用平台根据基于psk的dtls协议向所述物联设备发送通知消息，以通知所述物联设备需要更新其证书；

所述物联设备接收到所述通知消息后，向所述授权服务器发起eap-aka鉴权；

所述授权服务器发起eap-aka进行鉴权；

当eap-aka鉴权通过，则所述授权服务器向所述物联设备发送所述最新的psk秘钥；

所述物联设备接收所述最新的psk秘钥，以更新其证书。

一实施例中，所述授权服务器发起eap-aka进行鉴权包括：

所述授权服务器基于diameter协议向aaa服务器发送eap请求消息，该eap请求消息携带用户标识、eap鉴权数据包和鉴权请求类型，以请求完成用户认证；

所述aaa服务器接收到所述eap请求消息后，启动eap-aka鉴权流程，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器接收到所述基于diameter协议的eap答复消息后，向所述aaa服务器上报aka标识信息；

所述aaa服务器根据用户标识获取物联设备的imsi，并查找物联设备的归属hlr/hss，查找到后，向相应的hlr/hss发送多媒体鉴权请求以请求获取用户鉴权向量信息，其中所述多媒体鉴权请求携带用户标识和无线接入标识；

所述aaa服务器接收hlr/hss返回的消息，该消息携带有用户鉴权向量信息；

所述aaa服务器通过eap-aka鉴权算法对用户鉴权向量进行运算得到auth及mac参数，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器基于该eap答复消息判断eap-aka鉴权是否通过。

根据第二方面，一种实施例中提供一种基于授权服务器的nb-iot保密通信秘钥更新的方法，所述授权服务器设置于运营商系统所述方法包括：

应用平台检测物联设备的证书是否异常；

当检测到物联设备的证书异常，所述应用平台向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的秘钥；

当应用平台接收到物联设备发送的消息时，所述应用平台向所述物联设备发送通知消息，以通知所述物联设备需要更新其证书；

其中，所述通知消息用于使得所述物联设备向所述授权服务器发起鉴权；当鉴权通过时，所述物联设备能够收到所述授权服务器返回的所述最新的秘钥，以更新其证书。

一实施例中，物联设备的证书被预设有一有效期；物联设备的证书异常为物联设备的证书过期；或者，物联设备的证书异常为物联设备的证书离过期的时间小于一阈值。

一实施例中，所述鉴权为eap-aka鉴权。

一实施例中，所述eap-aka鉴权包括以下步骤：

所述授权服务器基于diameter协议向aaa服务器发送eap请求消息，该eap请求消息携带用户标识、eap鉴权数据包和鉴权请求类型，以请求完成用户认证；

所述aaa服务器接收到所述eap请求消息后，启动eap-aka鉴权流程，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器接收到所述基于diameter协议的eap答复消息后，向所述aaa服务器上报aka标识信息；

所述aaa服务器根据用户标识获取物联设备的imsi，并查找物联设备的归属hlr/hss，查找到后，向相应的hlr/hss发送多媒体鉴权请求以请求获取用户鉴权向量信息，其中所述多媒体鉴权请求携带用户标识和无线接入标识；

所述aaa服务器接收hlr/hss返回的消息，该消息携带有用户鉴权向量信息；

所述aaa服务器通过eap-aka鉴权算法对用户鉴权向量进行运算得到auth及mac参数，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器基于该eap答复消息判断eap-aka鉴权是否通过。

一实施例中，所述密钥为psk秘钥。

一实施例中，所述应用平台和物联设备通过基于psk的dtls协议进行通信。

根据第三方面，一种实施例中提供一种基于授权服务器的nb-iot保密通信秘钥更新的方法，所述授权服务器设置于运营商系统，所述方法包括：

当应用平台检测物联设备的证书异常时，所述授权服务器能够接收到应用平台发送的物联设备的证书异常的通知消息，所述通知消息携带有最新的秘钥；

当物联设备接收到应用平台通知其需要更新其证书的通知消息时，所述授权服务器能够接收到所述物联设备发起的鉴权；其中当物联设备通过异常的证书向所述应用平台发送消息时，所述物联设备能够接收到所述通知消息；

当鉴权通过时，所述授权服务器向所述物联设备发送所述最新的秘钥，以使得所述物联设备更新其证书。

一实施例中，物联设备的证书被预设有一有效期；物联设备的证书异常为物联设备的证书过期；或者，物联设备的证书异常为物联设备的证书离过期的时间小于一阈值。

一实施例中，所述鉴权为eap-aka鉴权。

一实施例中，所述eap-aka鉴权包括以下步骤：

所述授权服务器基于diameter协议向aaa服务器发送eap请求消息，该eap请求消息携带用户标识、eap鉴权数据包和鉴权请求类型，以请求完成用户认证；

所述aaa服务器接收到所述eap请求消息后，启动eap-aka鉴权流程，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器接收到所述基于diameter协议的eap答复消息后，向所述aaa服务器上报aka标识信息；

所述aaa服务器根据用户标识获取物联设备的imsi，并查找物联设备的归属hlr/hss，查找到后，向相应的hlr/hss发送多媒体鉴权请求以请求获取用户鉴权向量信息，其中所述多媒体鉴权请求携带用户标识和无线接入标识；

所述aaa服务器接收hlr/hss返回的消息，该消息携带有用户鉴权向量信息；

所述aaa服务器通过eap-aka鉴权算法对用户鉴权向量进行运算得到auth及mac参数，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器基于该eap答复消息判断eap-aka鉴权是否通过。

一实施例中，所述密钥为psk秘钥。

一实施例中，所述应用平台和物联设备通过基于psk的dtls协议进行通信。

根据第四方面，一种实施例中提供一种基于授权服务器的nb-iot保密通信秘钥更新的方法，所述授权服务器设置于运营商系统，所述方法包括：

物联设备向应用平台发送消息；

当应用平台检测到物联设备的证书异常时，所述物联设备能够接收到应用平台通知其需要更新其证书的通知消息；其中，当应用平台检测到物联设备的证书异常时，所述应用平台还会向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的秘钥；

当物联设备接收到所述通知消息后，所述物联设备向所述授权服务器发起鉴权；

当鉴权通过时，所述物联设备能够收到所述授权服务器返回的所述最新的秘钥，以更新其证书。

一实施例中，物联设备的证书被预设有一有效期；物联设备的证书异常为物联设备的证书过期；或者，物联设备的证书异常为物联设备的证书离过期的时间小于一阈值。

一实施例中，所述鉴权为eap-aka鉴权。

一实施例中，所述eap-aka鉴权包括以下步骤：

所述授权服务器基于diameter协议向aaa服务器发送eap请求消息，该eap请求消息携带用户标识、eap鉴权数据包和鉴权请求类型，以请求完成用户认证；

所述aaa服务器接收到所述eap请求消息后，启动eap-aka鉴权流程，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器接收到所述基于diameter协议的eap答复消息后，向所述aaa服务器上报aka标识信息；

所述aaa服务器根据用户标识获取物联设备的imsi，并查找物联设备的归属hlr/hss，查找到后，向相应的hlr/hss发送多媒体鉴权请求以请求获取用户鉴权向量信息，其中所述多媒体鉴权请求携带用户标识和无线接入标识；

所述aaa服务器接收hlr/hss返回的消息，该消息携带有用户鉴权向量信息；

所述aaa服务器通过eap-aka鉴权算法对用户鉴权向量进行运算得到auth及mac参数，并向所述授权服务器返回基于diameter协议的eap答复消息；

所述授权服务器基于该eap答复消息判断eap-aka鉴权是否通过。

一实施例中，所述密钥为psk秘钥。

一实施例中，所述应用平台和物联设备通过基于psk的dtls协议进行通信。

依据上述实施例的基于授权服务器的nb-iot保密通信秘钥更新的方法，提出了一种能够在线进行psk秘钥定期更新的技术方案，这保证了设备的安全通信；具体地，利用运营商网络侧的授权服务器，将鉴权使用到秘钥更新的技术中，该技术可方便有效的进行终端的秘钥更新，最大程度保证了nb-iot技术中传输的安全及可靠性。

附图说明

图1为一种实施例的应用平台、授权服务器和物联设备之间的通信示意图；

图2为一种实施例的基于授权服务器的nb-iot保密通信秘钥更新的方法的流程图；

图3为一种实施例的授权服务器、aaa服务器、hlr/hss之间的通信示意图；

图4为一种实施例的eap-aka鉴权的流程图；

图5为种实施例的基于授权服务器的nb-iot保密通信秘钥更新的方法的流程图；

图6为种实施例的基于授权服务器的nb-iot保密通信秘钥更新的方法的流程图；

图7为种实施例的基于授权服务器的nb-iot保密通信秘钥更新的方法的流程图。

具体实施方式

下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中，很多细节描述是为了使得本申请能被更好的理解。然而，本领域技术人员可以毫不费力的认识到，其中部分特征在不同情况下是可以省略的，或者可以由其他元件、材料、方法所替代。在某些情况下，本申请相关的一些操作并没有在说明书中显示或者描述，这是为了避免本申请的核心部分被过多的描述所淹没，而对于本领域技术人员而言，详细描述这些相关操作并不是必要的，他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。

另外，说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时，方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此，说明书和附图中的各种顺序只是为了清楚描述某一个实施例，并不意味着是必须的顺序，除非另有说明其中某个顺序是必须遵循的。

本文中为部件所编序号本身，例如“第一”、“第二”等，仅用于区分所描述的对象，不具有任何顺序或技术含义。而本申请所说“连接”、“联接”，如无特别说明，均包括直接和间接连接(联接)。

物联设备与应用平台之间可以采用dtls(datagramtransportlayersecurity，数据包传输层安全性协议)加密；dtls是基于tls(transportlayersecurity，传输层安全性协议)协议架构上提出的扩展，用于保证udp(userdatagramprotocol，用户数据报协议)连接的传输安全。平台支持基于psk(pre-sharedkey，预共享密钥)的dtls协议，在用户设备和平台之间建立安全通道，用于认证和数据安全传输。然而psk秘钥不会进行定期更新，这将存在巨大的安全隐患。

psk秘钥不会进行定期更新，这其中重要的一个原因就是定期更新psk秘钥十分麻烦，甚至在实际场景是不可能的。目前如果需要更新psk秘钥，需要这样来做：先在应用平台侧生成新的psk秘钥，然后通知设备终端进行烧录，一般地，设备终端的使用者无法进行烧录，需要拿到返厂来重新烧录，这需要耗费成本和时间；而对于设备终端的使用者来说，也一般不会采用这种方式。因此，这就造成目前psk秘钥不会进行定期更新这样一种局面。

考虑到psk秘钥更新对于用户来说是比较敏感的数据和权限，因此本发明借助运营商系统中的授权服务器(entitlementserver，es)来帮助应用平台和设备终端完成psk秘钥定期的在线更新。授权服务器是一种广泛部署于运营商网络的设备，因此这使得本发明的普适性比较好，再加上授权服务器是属于运营商那边的服务器，因此授权服务器是值得信赖的，应用平台和设备终端借助授权服务器来完成psk秘钥的定期在线更新，是基本没有风险的，用户可以比较放心。

本发明一些实施例中公开了一种基于授权服务器的nb-iot保密通信秘钥更新的方法，该方法可以应用于应用平台、授权服务器和物联设备，授权服务器设置于运营商系统。

请参照图1和图2，一些实施例中，基于授权服务器的nb-iot保密通信秘钥更新的方法包括以下步骤：

步骤100：应用平台检测物联设备的证书是否异常。

一些实施例中，物联设备的证书被预设有一有效期。因此，步骤100可以是应用平台检测物联设备的证书是否过期，当检测到过期时，则说明物联设备的证书异常。或者步骤100可以是检测物联设备的证书物联设备的证书离过期的时间是否小于一阈值，当检测到小于该阈值时，则说明物联设备的证书异常。该阈值例如取值为1天、2天、3天等等。

步骤110：当检测到物联设备的证书异常，应用平台向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的psk秘钥。

具体地，当检测到物联设备的证书异常时，应用平台生成一个新的psk秘钥，然后向授权服务器发送证书异常的通知消息，该通知消息里带有这个生成的最新的psk秘钥，以便在后续过程中写入到物联设备中。

步骤120：物联设备根据基于psk的dtls协议向应用平台发送消息。

步骤130：应用平台接收到物联设备所发送的消息后，应用平台根据基于psk的dtls协议向所述物联设备发送通知消息，以通知所述物联设备需要更新其证书。

步骤140：物联设备接收到通知消息后，向授权服务器发起eap-aka鉴权。

步骤150：授权服务器发起eap-aka进行鉴权。

请参照图3和图4，一些实施例中，在步骤150里，授权服务器发起eap-aka进行鉴权包括以下步骤：

步骤151：授权服务器基于diameter协议向aaa服务器发送eap请求消息(diameter-eap-request，der)，该eap请求消息即der携带用户标识(user-name)、eap鉴权数据包(eap-payload)和鉴权请求类型(auth-request-type)等avp(attribute-valuepair，数据标识名称)，以请求完成用户认证。

aaa是验证、授权和记账(authentication、authorization、accounting)三个英文单词的简称，是一个能够处理用户访问请求的服务器程序，aaa服务器是指具有验证、授权和记账功能的服务器。

步骤152：aaa服务器接收到所述eap请求消息即der后，启动eap-aka(extensibleauthenticationprotocol-authenticationandkeyagreement，可扩展认证协议认证与密钥协商)鉴权流程，并向所述授权服务器返回基于diameter协议的eap答复消息即dea(diameter-eap-answer)消息。

步骤153：授权服务器接收到所述基于diameter协议的eap答复消息即dea消息后，再次向aaa服务器发送der消息，向aaa服务器上报aka标识信息(即aka-identity信息)。

步骤154：aaa服务器根据用户标识获取物联设备的imsi，并查找物联设备的归属hlr/hss，查找到后，向相应的hlr/hss发送多媒体鉴权请求(multimedia-authentication-request，mar)以请求获取用户鉴权向量信息，其中mar携带用户标识(user-name)和无线接入标识(rat-type)等avp。

hss是homesubscriberserver的缩写，即归属签约用户服务器；hlr是homelocationregister的缩写，即归属位置寄存器。

因此，具体地，aaa服务器根据用户标识获取到imsi，并根据通过addimsihss命令设置的imsi与融合hlr/hss的映射关系查找用户归属hlr/hss，向hlr/hss发送mar请求获取用户鉴权向量信息。mar消息中携带了用户标识(user-name)、无线接入标识(rat-type)等avp。

步骤155：aaa服务器接收hlr/hss返回的消息，该消息携带有用户鉴权向量信息。

可以理解地，若用户支持non-3gpp接入，融合hlr/hss会给aaa服务器返回maa响应消息，其中sip-auth-data-item信元携带用户的鉴权向量信息。

non-3gpp网络是wlan网络，根据协议定义，只要不是3gpp网络(lte、wcdma、td-scdma、gsm)都算是non-3gpp网络，例如wlan、hrpd(evdo、ehrpd)、还有就是wimax。

maa是messageauhenicationagortm的缩写，即消息认证算法。

步骤156：aaa服务器通过eap-aka鉴权算法对用户鉴权向量进行运算得到auth及mac参数，并向授权服务器返回基于diameter协议的eap答复消息即dea消息。

一些例子中，该dea消息中result-code的取值为：

diameter_multi_round_auth(1001)；

这表示需要对终端即上述的物联设备进行二次认证，eap-payload即eap鉴权数据包中封装了二次认证所需的rand、autn、mac等挑战码信。

步骤157：授权服务器基于该eap答复消息判断eap-aka鉴权是否通过。

步骤160：当eap-aka鉴权通过，则授权服务器向物联设备发送上述所提及的最新的psk秘钥。

步骤170：物联设备接收所述最新的psk秘钥，以更新其证书。

这样，物联设备之后就可以基于更新后证书来与应用平台进行通信。

因此可以看到，本文一些实施例中，提出了一种能够在线进行psk秘钥定期更新的技术方案，这保证了设备的安全通信。

在本文的一些实施例中，利用授权服务器，将eap-aka鉴权使用到psk秘钥更新的技术中，该技术可方便有效的进行终端的秘钥更新，最大程度保证了nb-iot技术中传输的安全及可靠性。

请参照图5，一些实施例中基于授权服务器的nb-iot保密通信秘钥更新的方法包括以下步骤：

步骤200：应用平台检测物联设备的证书是否异常。

步骤210：当检测到物联设备的证书异常，应用平台向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的秘钥。

步骤220：当应用平台接收到物联设备发送的消息时，应用平台向所述物联设备发送通知消息，以通知所述物联设备需要更新其证书。

步骤220中的通知消息用于使得物联设备向所述授权服务器发起鉴权；当鉴权通过时，所述物联设备能够收到授权服务器返回的所述最新的秘钥，以更新其证书。

请参照图6，一些实施例中基于授权服务器的nb-iot保密通信秘钥更新的方法包括以下步骤：

步骤300：当应用平台检测物联设备的证书异常时，授权服务器能够接收到应用平台发送的物联设备的证书异常的通知消息，所述通知消息携带有最新的秘钥。

步骤310：当物联设备接收到应用平台通知其需要更新其证书的通知消息时，授权服务器能够接收到所述物联设备发起的鉴权；其中当物联设备通过异常的证书向所述应用平台发送消息时，物联设备能够接收到所述通知消息；

步骤320：当鉴权通过时，所述授权服务器向所述物联设备发送所述最新的秘钥，以使得所述物联设备更新其证书。

请参照图7，一些实施例中基于授权服务器的nb-iot保密通信秘钥更新的方法包括以下步骤：

步骤400：物联设备向应用平台发送消息。

步骤410：当应用平台检测到物联设备的证书异常时，所述物联设备能够接收到应用平台通知其需要更新其证书的通知消息；其中，当应用平台检测到物联设备的证书异常时，所述应用平台还会向授权服务器发送证书异常的通知消息，所述通知消息携带有最新的秘钥。

步骤420：当物联设备接收到所述通知消息后，所述物联设备向所述授权服务器发起鉴权。

步骤430：当鉴权通过时，所述物联设备能够收到所述授权服务器返回的所述最新的秘钥，以更新其证书。

在本文图5至图7等图示和相应说明书内容部分所公开的方法中，里面涉及到的鉴权可以为eap-aka鉴权，而具体的eap-aka鉴权过程，可以参见上文对图3和图4相应的描述，在此不再赘述。

在本文图5至图7等图示和相应说明书内容部分所公开的方法中，物联设备的证书可以被预设有一有效期；物联设备的证书异常可以为物联设备的证书过期；或者，物联设备的证书异常可以为物联设备的证书离过期的时间小于一阈值。

在本文图5至图7等图示和相应说明书内容部分所公开的方法中，所涉及的密钥可以为psk秘钥。

在本文图5至图7等图示和相应说明书内容部分所公开的方法中，应用平台和物联设备可以通过基于psk的dtls协议进行通信。

本文参照了各种示范实施例进行说明。然而，本领域的技术人员将认识到，在不脱离本文范围的情况下，可以对示范性实施例做出改变和修正。例如，各种操作步骤以及用于执行操作步骤的组件，可以根据特定的应用或考虑与系统的操作相关联的任何数量的成本函数以不同的方式实现(例如一个或多个步骤可以被删除、修改或结合到其他步骤中)。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。另外，如本领域技术人员所理解的，本文的原理可以反映在计算机可读存储介质上的计算机程序产品中，该可读存储介质预装有计算机可读程序代码。任何有形的、非暂时性的计算机可读存储介质皆可被使用，包括磁存储设备(硬盘、软盘等)、光学存储设备(cd至rom、dvd、bluray盘等)、闪存和/或诸如此类。这些计算机程序指令可被加载到通用计算机、专用计算机或其他可编程数据处理设备上以形成机器，使得这些在计算机上或其他可编程数据处理装置上执行的指令可以生成实现指定的功能的装置。这些计算机程序指令也可以存储在计算机可读存储器中，该计算机可读存储器可以指示计算机或其他可编程数据处理设备以特定的方式运行，这样存储在计算机可读存储器中的指令就可以形成一件制造品，包括实现指定功能的实现装置。计算机程序指令也可以加载到计算机或其他可编程数据处理设备上，从而在计算机或其他可编程设备上执行一系列操作步骤以产生一个计算机实现的进程，使得在计算机或其他可编程设备上执行的指令可以提供用于实现指定功能的步骤。

虽然在各种实施例中已经示出了本文的原理，但是许多特别适用于特定环境和操作要求的结构、布置、比例、元件、材料和部件的修改可以在不脱离本披露的原则和范围内使用。以上修改和其他改变或修正将被包含在本文的范围之内。

前述具体说明已参照各种实施例进行了描述。然而，本领域技术人员将认识到，可以在不脱离本披露的范围的情况下进行各种修正和改变。因此，对于本披露的考虑将是说明性的而非限制性的意义上的，并且所有这些修改都将被包含在其范围内。同样，有关于各种实施例的优点、其他优点和问题的解决方案已如上所述。然而，益处、优点、问题的解决方案以及任何能产生这些的要素，或使其变得更明确的解决方案都不应被解释为关键的、必需的或必要的。本文中所用的术语“包括”和其任何其他变体，皆属于非排他性包含，这样包括要素列表的过程、方法、文章或设备不仅包括这些要素，还包括未明确列出的或不属于该过程、方法、系统、文章或设备的其他要素。此外，本文中所使用的术语“耦合”和其任何其他变体都是指物理连接、电连接、磁连接、光连接、通信连接、功能连接和/或任何其他连接。

具有本领域技术的人将认识到，在不脱离本发明的基本原理的情况下，可以对上述实施例的细节进行许多改变。因此，本发明的范围应仅由权利要求确定。