CN109151806A - 一种更新入网参数的方法 - Google Patents
一种更新入网参数的方法 Download PDFInfo
- Publication number
- CN109151806A CN109151806A CN201811268565.2A CN201811268565A CN109151806A CN 109151806 A CN109151806 A CN 109151806A CN 201811268565 A CN201811268565 A CN 201811268565A CN 109151806 A CN109151806 A CN 109151806A
- Authority
- CN
- China
- Prior art keywords
- card
- key
- server
- destination server
- network parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种更新入网参数的方法,包括卡片和目标服务器,卡片与目标服务器之间进行入网参数更新的方法如下:与卡片完成动态密钥的协商;利用动态密钥对信息进行保护,完成入网参数的更新。本申请能够达到便于入网参数的更新、有效保护鉴权参数以及避免信息泄露的技术效果。
Description
技术领域
本申请涉及通讯技术领域,尤其涉及一种更新入网参数的方法。
背景技术
随着物联网的不断发展和普及,越来越多的物联网设备,如车联网、可穿戴设备、智能家居、远程智能抄表、无线移动POS机等正走入生活的方方面面。随之而来的就是物联网设备接入运营商网络以及某些情况下用户对于运营商网络更换的需求。鉴于物联网设备的特殊性,传统的UICC卡片出厂时预置好运营商码号资源的方式已无法满足用户的使用,而现有的切换码号技术主要有两种:一种是通过APP更新入网参数,该方式存在局限性,很难应用于M2M设备;一种是通过远程OTA方式更新入网参数,该方式需要将OTA密钥预先存储在初始化状态的服务器及卡片上,在对鉴权参数进行安全保护的过程中,该OTA密钥为固定不可变的OTA密钥,该方式安全性低,容易被攻击从而造成信息泄漏的情况。
此外,在实现不同运营商之间的相互切换时,也无法对各自的码号关键信息进行保密。
发明内容
本申请的目的在于提供一种更新入网参数的方法,能够达到便于入网参数的更新、有效保护鉴权参数以及避免信息泄露的技术效果。
为达到上述目的,本申请提供一种更新入网参数的方法,包括卡片和目标服务器,卡片与目标服务器之间进行入网参数更新的方法如下:与卡片完成动态密钥的协商;利用动态密钥对信息进行保护,完成入网参数的更新。
优选的,当入网参数属于同一运营商,无需切换服务器时,原服务器作为目标服务器直接与卡片协商动态密钥。
优选的,目标服务器直接与卡片协商动态密钥的方法如下:向卡片发送认证请求;认证有效后,接收卡片发送的认证结果响应,并向卡片发送动态密钥协商请求;与卡片协商生成动态密钥。
优选的,当入网参数属于不同运营商,需要切换服务器时,还包括新服务器,新服务器作为目标服务器,原服务器作为卡片与目标服务器之间传输信息的安全通道,目标服务器通过原服务器与卡片协商动态密钥。
优选的,目标服务器通过原服务器与卡片协商动态密钥的方法如下:原服务器与卡片协商动态密钥;原服务器与目标服务器建立参数传输接口;通过原服务器完成目标服务器与卡片间的相互认证;原服务器将卡片发送的响应信息传输给目标服务器,并对目标服务器反馈的用于协商密钥的参数进行处理;原服务器将卡片接收完成的响应反馈给目标服务器,并协助目标服务器与卡片完成动态密钥的协商。
优选的,目标服务器与卡片完成动态密钥的协商后,删除所有原服务器的相关信息,目标服务器通过协商的动态密钥与卡片直接交互,完成入网参数的更新。
优选的,认证请求包括目标服务器的证书及数字签名。
优选的,认证结果响应至少包括卡片公钥和随机数。
优选的,动态密钥协商请求至少包括密钥相关参数、目标服务器公钥以及数据签名。
优选的,密钥相关参数至少包括密钥版本、密钥类型、密钥长度参数。
本申请实现的有益效果如下:
(1)运营商不同时,通过原服务器完成目标服务器与卡片之间动态密钥的协商,能够实现不同运营商自行管理码号资源,不用通过接口传输码号关键信息,只需开放证书传输接口与运营商即可完成码号切换。
(2)使用动态密钥进行入网参数的更新能够有效保护鉴权参数以及避免信息泄露。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为卡片与目标服务器之间进行入网参数更新的方法的流程图;
图2为目标服务器直接与卡片协商动态密钥的方法的流程图;
图3为目标服务器通过原服务器与卡片协商动态密钥的方法的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据图1所示,本申请提供了一种更新入网参数的方法,包括卡片和目标服务器,卡片与目标服务器之间进行入网参数更新的方法如下:
S110:与卡片完成动态密钥的协商。
S120:利用协商的动态密钥对信息进行保护,完成入网参数的更新。
如图2所示,作为一个实施例,当入网参数属于同一运营商,无需切换服务器时,原服务器作为目标服务器直接与卡片协商动态密钥。
具体的,目标服务器直接与卡片协商动态密钥的方法为:
S210:目标服务器向卡片发送认证请求。
具体的,认证请求至少包括目标服务器的证书以及数据签名。
S220:认证有效后,目标服务器接收卡片发送的认证结果响应,并向卡片发送动态密钥协商请求。
具体的,卡片接收目标服务器发送的认证请求并对该认证请求进行认证,认证有效后,向目标服务器发送认证结果响应。该认证结果响应至少包括卡片公钥和随机数。该卡片公钥可以为预先设置的固定值,也可以为卡片临时生成的。目标服务器接收卡片发送的认证结果响应后向卡片发送动态密钥协商请求。动态密钥协商请求至少包括密钥相关参数、目标服务器公钥以及数据签名。可选的,根据服务器功能需要,还可以包括服务器ID。该目标服务器公钥为目标服务器临时生成。该密钥相关参数至少包括密钥版本号、密钥类型和密钥长度参数,如果协商生成的动态密钥有不同的使用方法(如:用于保护数据传输、加密敏感数据等),则还需要包括指明密钥用途的参数。
S230:目标服务器与卡片协商生成动态密钥。
具体的,卡片接收到目标服务器发送的动态密钥协商请求后,使用目标服务器公钥及卡片私钥生成第一OTA密钥及第一收条密钥,并向目标服务器发送第一协商结果响应,第一协商结果响应至少包括第一收条数据,该第一收条数据为卡片使用新生成的第一收条密钥生成。目标服务器同时使用卡片公钥及目标服务器私钥生成第二OTA密钥及第二收条密钥,并利用第二收条密钥生成第二收条数据。验证第一收条数据与第二收条数据是否一致,若一致,则确认卡片生成的第一OTA密钥与目标服务器生成的第二OTA密钥相同。目标服务器利用该第一OTA密钥对信息(该信息为网络鉴权参数KI、IMSI等)进行加密保护,并远程对卡片的入网参数进行更新,有效避免在入网参数更新过程中造成信息泄露。当卡片完成更新后,向目标服务器发送更新结果,目标服务器接收更新结果,并对该更新结果进行验证,验证成功后,整个入网参数更新过程结束。
如图3所示,作为另一个实施例,当入网参数属于不同运营商,需要切换服务器时,还包括新服务器,该新服务器作为目标服务器,原服务器作为卡片与目标服务器之间传输信息的安全通道,目标服务器通过原服务器与卡片协商动态密钥。
具体的,目标服务器通过原服务器与卡片协商动态密钥的方法如下:
S310:原服务器与卡片协商动态密钥。
具体的,卡片接收原服务器下发的认证请求(认证请求至少包括原服务器的证书以及数据签名),并在认证成功后,向原服务器发送认证结果响应(认证结果响应至少包括卡片公钥和随机数),原服务器接收认证结果响应,并向卡片发送动态密钥协商请求,动态密钥协商请求至少包括密钥相关参数、原服务器公钥以及数据签名。可选的,根据服务器功能需要,还可以包括服务器ID。该原服务器公钥为原服务器临时生成。该密钥相关参数至少包括密钥版本号、密钥类型和密钥长度参数,如果协商生成的动态密钥有不同的使用方法(如:用于保护数据传输、加密敏感数据等),则还需要包括指明密钥用途的参数。
卡片接收到原服务器发送的动态密钥协商请求后,使用原服务器公钥及卡片私钥生成第二动态密钥KEY SET1及第三收条密钥,并向原服务器发送第三协商结果响应,第三协商结果响应至少包括第三收条数据,该第三收条数据为卡片使用新生成的第三收条密钥生成。原服务器同时使用卡片公钥及原服务器私钥生成第一动态密钥KEY SET1及第四收条密钥,并利用第四收条密钥生成第四收条数据。验证第三收条数据与第四收条数据是否一致,若一致,则确认卡片生成的第二动态密钥KEY SET1与原服务器生成的第一动态密钥KEYSET1相同。原服务器可使用第一动态密钥KEY SET1对信息进行加密保护。
S320:原服务器与目标服务器建立参数传输接口。
具体的,原服务器与目标服务器采用HTTP传输协议建立参数传输接口。
S330:通过原服务器完成目标服务器与卡片间的相互认证。
具体的,原服务器通过与目标服务器建立好的参数传输接口向目标服务器发送卡片证书。目标服务器接收该卡片证书,并验证。验证有效后,将目标服务器证书发送给原服务器。原服务器利用第一动态密钥KEY SET1对接收到目标服务器证书进行加密,并将加密后的目标服务器证书发送给卡片。卡片通过第二动态密钥KEY SET1对接收到的加密后的目标服务器证书进行解密,并验证解密后的目标服务器证书。
S340:原服务器将卡片发送的响应信息传输给目标服务器,并对目标服务器反馈的用于协商密钥的参数进行处理。
具体的,目标服务器证书验证有效后,卡片将响应信息(响应信息至少包括卡片公钥和随机数)发送给原服务器,并通过原服务器传输给目标服务器。目标服务器接收到响应信息后,向原服务器反馈协商密钥所需的参数(参数至少包括目标服务器的临时公钥和密钥相关参数,该密钥相关参数至少包括密钥版本号、密钥类型和密钥长度参数)。原服务器根据接收到的参数生成协商动态密钥命令,并发送给卡片。
S350:原服务器将卡片接收完成的响应反馈给目标服务器,并协助目标服务器与卡片完成动态密钥的协商。
卡片接收后,通过原服务器将接收完成的响应反馈给目标服务器,并利用卡片私钥和目标服务器公钥生成第一动态密钥KEY SET2和第五收条密钥,并利用第五收条密钥生成第五收条数据。目标服务器同时使用卡片公钥及目标服务器私钥生成第二动态密钥KEYSET2及第六收条密钥,并利用第六收条密钥生成第六收条数据。验证第五收条数据与第六收条数据是否一致,若一致,则确认卡片生成的第一动态密钥KEY SET2与目标服务器生成的第二动态密钥KEY SET2相同。进一步的,该第一动态密钥KEY SET2和第二动态密钥KEYSET2对原服务器不可见。
S360:目标服务器与卡片完成动态密钥的协商后,删除所有原服务器的相关信息,并直接交互完成入网参数的更新。
具体的,目标服务器与卡片完成动态密钥的协商后,删除所有原服务器的相关信息(如:第一动态密钥KEY SET1等密钥),目标服务器通过第二动态密钥KEY SET2与卡片直接交互,完成入网参数的更新。
进一步的,当卡片和服务器为出厂时的初始状态并第一次更新入网参数时,使用预先设置的OTA密钥完成动态密钥协商过程的数据传输,并使用协商后的动态密钥进行入网参数更新。除此之外,均采用动态更新的动态密钥对鉴权参数进行保护,完成入网参数的更新。
本申请达到的有益效果如下:
(1)运营商不同时,通过原服务器完成目标服务器与卡片之间动态密钥的协商,能够实现不同运营商自行管理码号资源,不用通过接口传输码号关键信息,只需开放证书传输接口与运营商即可完成码号切换。
(2)使用动态密钥进行入网参数的更新能够有效保护鉴权参数以及避免信息泄露。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种更新入网参数的方法,其特征在于,包括卡片和目标服务器,所述卡片与所述目标服务器之间进行入网参数更新的方法如下:
与所述卡片完成动态密钥的协商;
利用所述动态密钥对信息进行保护,完成入网参数的更新。
2.根据权利要求1所述的更新入网参数的方法,其特征在于,当入网参数属于同一运营商,无需切换服务器时,原服务器作为目标服务器直接与所述卡片协商动态密钥。
3.根据权利要求2所述的更新入网参数的方法,其特征在于,所述目标服务器直接与所述卡片协商动态密钥的方法如下:
向卡片发送认证请求;
认证有效后,接收卡片发送的认证结果响应,并向卡片发送动态密钥协商请求;
与卡片协商生成动态密钥。
4.根据权利要求1所述的更新入网参数的方法,其特征在于,当入网参数属于不同运营商,需要切换服务器时,还包括新服务器,所述新服务器作为目标服务器,原服务器作为卡片与目标服务器之间传输信息的安全通道,所述目标服务器通过原服务器与所述卡片协商动态密钥。
5.根据权利要求4所述的更新入网参数的方法,其特征在于,所述目标服务器通过原服务器与卡片协商动态密钥的方法如下:
原服务器与卡片协商动态密钥;
原服务器与目标服务器建立参数传输接口;
通过原服务器完成目标服务器与卡片间的相互认证;
原服务器将卡片发送的响应信息传输给目标服务器,并对目标服务器反馈的用于协商密钥的相关参数进行处理;
原服务器将卡片接收完成的响应反馈给目标服务器,并协助目标服务器与卡片完成动态密钥的协商。
6.根据权利要求5所述的更新入网参数的方法,其特征在于,所述目标服务器与卡片完成动态密钥的协商后,删除所有原服务器的相关信息,目标服务器通过协商的动态密钥与卡片直接交互,完成入网参数的更新。
7.根据权利要求3所述的更新入网参数的方法,其特征在于,所述认证请求包括目标服务器的证书及数字签名。
8.根据权利要求3所述的更新入网参数的方法,其特征在于,所述认证结果响应至少包括卡片公钥和随机数。
9.根据权利要求3所述的更新入网参数的方法,其特征在于,所述动态密钥协商请求至少包括密钥相关参数、目标服务器公钥以及数据签名。
10.根据权利要求9所述的更新入网参数的方法,其特征在于,所述密钥相关参数至少包括密钥版本、密钥类型、密钥长度参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811268565.2A CN109151806A (zh) | 2018-10-29 | 2018-10-29 | 一种更新入网参数的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811268565.2A CN109151806A (zh) | 2018-10-29 | 2018-10-29 | 一种更新入网参数的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109151806A true CN109151806A (zh) | 2019-01-04 |
Family
ID=64806616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811268565.2A Pending CN109151806A (zh) | 2018-10-29 | 2018-10-29 | 一种更新入网参数的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109151806A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| WO2011001076A2 (fr) * | 2009-06-30 | 2011-01-06 | France Telecom | Procédé de changement d'une clé d'authentification |
| CN102342140A (zh) * | 2009-03-05 | 2012-02-01 | 交互数字专利控股公司 | 安全远程订制管理 |
| CN103999496A (zh) * | 2011-10-14 | 2014-08-20 | 奥林奇公司 | 用于将安全模块的控制从第一实体转移到第二实体的方法 |
| CN108235302A (zh) * | 2016-12-14 | 2018-06-29 | 中兴通讯股份有限公司 | 智能卡的远程签约管理平台切换方法及装置、智能卡、sm-sr |
-
2018
- 2018-10-29 CN CN201811268565.2A patent/CN109151806A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN102342140A (zh) * | 2009-03-05 | 2012-02-01 | 交互数字专利控股公司 | 安全远程订制管理 |
| WO2011001076A2 (fr) * | 2009-06-30 | 2011-01-06 | France Telecom | Procédé de changement d'une clé d'authentification |
| CN103999496A (zh) * | 2011-10-14 | 2014-08-20 | 奥林奇公司 | 用于将安全模块的控制从第一实体转移到第二实体的方法 |
| CN108235302A (zh) * | 2016-12-14 | 2018-06-29 | 中兴通讯股份有限公司 | 智能卡的远程签约管理平台切换方法及装置、智能卡、sm-sr |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103797830B (zh) | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 | |
| US9848320B2 (en) | Encrypted communications method and encrypted communications system | |
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| CN105306211B (zh) | 一种客户端软件的身份认证方法 | |
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN104602238B (zh) | 一种无线网络连接方法、装置和系统 | |
| KR20160122061A (ko) | 프로파일 다운로드 및 설치 장치 | |
| CN105553932A (zh) | 智能家电设备的远程控制安全绑定方法、装置和系统 | |
| CN106961334A (zh) | 控制器和附件之间的安全无线通信 | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
| CN114143117B (zh) | 数据处理方法及设备 | |
| CN109714360B (zh) | 一种智能网关及网关通信处理方法 | |
| CN108377188A (zh) | 一种用于特种应急自组网通信的量子加密系统 | |
| CN105897784B (zh) | 物联网终端设备加密通信方法和装置 | |
| CN104967612A (zh) | 一种数据加密存储方法、服务器及系统 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN113613227B (zh) | 蓝牙设备的数据传输方法和装置、存储介质及电子装置 | |
| CN106571915A (zh) | 一种终端主密钥的设置方法和装置 | |
| CN108429615A (zh) | 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统 | |
| CN108848503B (zh) | 一种采用分节传输的智能家居动态加密通讯方法及系统 | |
| CN109309910A (zh) | 通信数据传输方法、系统、设备及计算机可读存储介质 | |
| CN111756529A (zh) | 一种量子会话密钥分发方法及系统 | |
| CN114221822A (zh) | 配网方法、网关设备以及计算机可读存储介质 | |
| CN109995512A (zh) | 一种基于量子密钥分发网络的移动安全应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |
|
| RJ01 | Rejection of invention patent application after publication |