CN112616148B - 认证方法、认证平台和认证*** - Google Patents
认证方法、认证平台和认证*** Download PDFInfo
- Publication number
- CN112616148B CN112616148B CN202011502364.1A CN202011502364A CN112616148B CN 112616148 B CN112616148 B CN 112616148B CN 202011502364 A CN202011502364 A CN 202011502364A CN 112616148 B CN112616148 B CN 112616148B
- Authority
- CN
- China
- Prior art keywords
- authentication
- euicc
- terminal
- platform
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012795 verification Methods 0.000 claims abstract description 68
- 230000005540 biological transmission Effects 0.000 claims description 31
- 239000000284 extract Substances 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 238000010200 validation analysis Methods 0.000 claims description 2
- 230000008901 benefit Effects 0.000 abstract description 3
- 230000003993 interaction Effects 0.000 description 9
- 238000012790 confirmation Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种认证方法、认证平台和认证***。该方法包括:认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM‑SR的动态认证因子;认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC的EID;认证平台基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子;认证平台在获取的终端通过对应的eUICC预先发送给SM‑SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求;验证请求包含动态认证因子;认证平台接收eUICC基于验证请求返回的验证信息,并基于验证信息向业务平台返回认证结果,降低了业务平台接入终端的安全风险,保障了用户和业务平台的利益。
Description
技术领域
本发明涉及通信技术领域,具体涉及认证方法、认证平台和认证***。
背景技术
随着第五代移动通信网络(5th generation mobile networks,5G)推动的万物互联时代的到来,终端与业务的形式也越来越多。当前在工业物联网领域,常常需要批量部署无用户交互界面的终端设备以构建工业物联网,例如智能表计等物联网设备。
但是,在当前的物联网业务模式下,业务平台利用手机验证码、动态口令等结合用户交互等多因素的终端认证技术方案不再具有普适性。而在缺乏用户确认的情况下,业务平台基于传统SIM卡的移动身份认证方案存在一定的安全漏洞和隐患,导致业务平台安全风险大。
发明内容
为此,本发明提供一种认证方法、认证平台和认证***,以解决现有技术中无用户交互的情况下的业务平台安全风险大的问题。
为了实现上述目的,本发明第一方面提供一种认证方法,该方法包括:
认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子;所述认证请求包含终端预先发送给所述业务平台的动态认证因子密文和所述eUICC的EID;
认证平台基于预先约定的密钥算法解密所述动态认证因子密文,获得动态认证因子;
认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求;所述验证请求包含所述动态认证因子;
认证平台接收所述eUICC基于所述验证请求返回的验证信息;
认证平台基于所述验证信息向所述业务平台返回认证结果。
优选地,上述认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子之前,包括:
终端生成动态认证因子;
所述终端向对应的eUICC发送参数请求,所述参数请求包含所述终端生成的动态认证因子;
所述终端接收所述eUICC返回的所述EID、所述SM-SR的地址参数和动态认证因子密文;
所述终端向所述业务平台发送连接请求;所述连接请求包含所述EID、所述SM-SR的地址参数和动态认证因子密文。
优选地,上述终端向对应的eUICC发送参数请求之后,还包括:
eUICC从所述参数请求中提取动态认证因子,并通过认证applet对从参数请求中提取的动态认证因子进行加密,获得所述动态认证因子密文;
eUICC向所述终端发送所述EID、所述SM-SR的地址参数和所述动态认证因子密文。
优选地,上述终端向对应的eUICC发送参数请求之后,还包括:
eUICC通过ISD-R与所述SM-SR建立第一传输通道,并通过所述第一传输通道向所述SM-SR发送从所述参数请求中提取的动态认证因子;
所述SM-SR通过所述第一传输通道接收所述eUICC发送的动态认证因子,并基于接收的动态认证因子更新所述eUICC的EIS。
优选地,上述终端向所述业务平台发送连接请求之后,还包括:
业务平台接收所述终端发送的连接请求;
业务平台基于所述连接请求向所述认证平台发送对于所述终端的认证请求。
优选地,上述认证请求还包含SM-SR的地址参数;所述认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子的步骤,包括:
认证平台响应于业务平台发送的对于终端的认证请求,基于所述地址参数向所述SM-SR发送eUICC信息获取请求;所述eUICC信息获取请求包含所述EID;
认证平台接收所述SM-SR响应于所述eUICC信息获取请求返回的所述EID对应的eUICC信息;所述eUICC信息包含所述eUICC中已激活的Profile的MSISDN和所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子。
优选地,上述认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求的步骤,包括:
认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于与所述EID对应的eUICC中已激活的profile的MSISDN与所述eUICC建立第二传输通道;
认证平台基于所述第二传输通道向所述eUICC发送验证请求。
优选地,上述认证平台基于所述验证信息向所述业务平台返回认证结果的步骤,包括:
认证平台从所述验证信息中提取验证参数;
认证平台基于预先约定的算法对所述验证参数进行认证,获得认证结果;所述认证结果包含认证失败结果或者认证通过结果。
本发明第二方面提供一种认证平台,该认证平台包括:
获取模块,用于响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子;所述认证请求包含终端预先发送给所述业务平台的动态认证因子密文和所述eUICC的EID;
解密模块,用于基于预先约定的密钥算法解密所述动态认证因子密文,获得动态认证因子;
发送模块,用于在所述获取模块获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与所述解密模块解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求;所述验证请求包含所述动态认证因子;
接收模块,用于接收所述eUICC基于所述验证请求返回的验证信息;
处理模块,用于基于所述验证信息向所述业务平台返回认证结果。
本发明第三方面提供一种认证***,该认证***包括本发明第二方面提供的认证平台;所述认证***还包括:业务平台、终端、eUICC和SM-SR;所述eUICC设置在所述终端上。
本发明具有如下优点:
本发明提供一种认证方法、认证平台和认证***。该方法包括:认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子;认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC的EID;其次,认证平台基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子;然后,认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求;验证请求包含动态认证因子;最后,认证平台接收eUICC基于验证请求返回的验证信息,并基于验证信息向业务平台返回认证结果,以实现在缺乏用户确认的情况下对终端的认证,基于eUICC的体系架构,利用eUICC的安全能力,降低了业务平台接入终端的安全风险,保障了用户和业务平台的利益。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明实施例提供的一种认证方法的流程图;
图2为本发明实施例提供的另一种认证方法的流程图;
图3为本发明实施例提供的又一种认证方法的流程图;
图4为本发明实施例提供的一种认证平台的结构示意图;
图5为本发明实施例提供一种eUICC的结构示意图;
图6为本发明实施例提供的再一种认证方法的流程图。
在附图中:
41:获取模块 42:解密模块
43:发送模块 44:接收模块
45:处理模块
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
随着5G万物互联时代的到来,终端与业务应用的形式多种多样,其复杂程度远远超过传统通信领域,尤其是在工业物联网领域,经常需要部署批量无用户交互界面的终端设备构建工业物联网底层,如智能表计之类的物联网设备,诸如此类,对身份认证也提出了许多新的要求和挑战。在物联网业务模式下,通过手机验证码、动态口令等结合用户交互的多因素认证技术方案不再具有普适性,在缺乏用户确认的情况下,传统的基于SIM卡的移动认证解决方案存在安全漏洞和隐患,无法实现应用的安全接入和使用。例如非法物联网设备使用合法设备中嵌入的SIM卡的移动标识作为参数进行攻击。
为解决物联网对嵌入式SIM卡带来的挑战,由运营商、卡商、终端厂商等联合提出并推动了eUICC技术和标准的发展,本发明基于eUICC的体系架构,利用eUICC的安全能力,提出一种认证方法、认证平台和认证***,利用终端设备的基础通信能力及其中eUICC的安全能力,可实现无用户交互情况下的安全认证。本发明尤其适用于5G时代工业物联网的快速建设和部署。
本发明实施例提供一种认证方法,如图1所示,该方法包括以下步骤:
步骤S101,认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子。
其中,认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC(Embedded Universal Integrated Circuit Card,嵌入式通用集成电路卡)的EID(eUICC-ID,eUICC识别码)。EID是eUICC的唯一身份标识。
业务平台是为终端提供业务服务的平台。业务平台预先通过认证平台注册认证服务,注册认证服务成功后,业务平台即可通过认证平台请求对终端的认证。
在一个实施方式中,认证请求还包含SM-SR(Subscription Manager SecurityRouting,签约关系管理平台安全路由)的地址参数,其中,该SM-SR是该eUICC归属的SM-SR。上述步骤S101,即认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子,具体包括以下步骤:
步骤一、认证平台响应于业务平台发送的对于终端的认证请求,基于地址参数向SM-SR发送eUICC信息获取请求,其中,eUICC信息获取请求包含EID。
具体地,认证平台响应于业务平台发送的对于终端的认证请求,根据地址参数与SM-SR建立信号连接,并基于该信号连接向SM-SR发送eUICC信息获取请求。SM-SR接收eUICC信息获取请求,并响应于该eUICC信息获取请求,基于该eUICC信息获取请求包含的EID从自身的数据库中提取对应的eUICC信息,其中,eUICC信息包含eUICC中已激活的Profile的MSISDN和终端通过对应的eUICC预先发送给SM-SR的动态认证因子。SM-SR向认证平台返回该eUICC信息。
步骤二、认证平台接收SM-SR响应于eUICC信息获取请求返回的EID对应的eUICC信息。
图2是本发明提供的另一种认证方法。在一些实施例中,上述步骤S101之前,即认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子之前,如图2所示,该认证方法包括:
步骤S001,终端生成动态认证因子。
其中,动态认证因子可以是随机数。
在一个实施方式中,终端需要使用业务平台提供的服务的情况下,生成动态认证因子。具体地,运行在终端上的业务客户端触发终端上的中间件使终端生成该动态认证因子,其中,业务客户端是终端接入应用的入口,中间件是终端预置的供终端与在终端上安装或设置的各部件(例如业务客户端、eUICC)进行交互的软件,也可以是终端预置的供在终端上安装或设置的各部件之间进行交互的软件。
步骤S002,终端向对应的eUICC发送参数请求,参数请求包含终端生成的动态认证因子。
在一个实施方式中,业务客户端通过终端上的中间件向对应的eUICC发送参数请求。
在一个实施方式中,终端向对应的eUICC发送参数请求之后,还包括:eUICC从参数请求中提取动态认证因子,并通过认证applet(认证小应用程序)对从参数请求中提取的动态认证因子进行加密,例如使用非对称密钥对从参数请求中提取的动态认证因子进行加密,获得动态认证因子密文,在一些实施例中,eUICC还通过认证applet对动态认证因子密文进行签名。eUICC向终端发送EID、SM-SR的地址参数和动态认证因子密文。其中,认证applet为预置在eUICC的认证小应用程序,EID、SM-SR的地址参数均为预先存储在eUICC的信息。
在另一个实施方式中,终端向对应的eUICC发送参数请求之后,还包括:eUICC通过ISD-R(根安全域功能实体)与SM-SR建立第一传输通道,并通过第一传输通道向SM-SR发送从参数请求中提取的动态认证因子,该第一传输通道可以是SCP80安全协议通道,也可以是eUICC和SM-SR支持的其他安全协议通道。SM-SR通过第一传输通道接收eUICC发送的动态认证因子,并基于接收的动态认证因子更新eUICC的EIS(eUICC Information Set,eUICC卡信息集),具体地,SM-SR将动态认证因子保存在激活profile的域值中。
步骤S003,终端接收eUICC返回的EID、SM-SR的地址参数和动态认证因子密文。
步骤S004,终端向业务平台发送连接请求,其中,连接请求包含EID、SM-SR的地址参数和动态认证因子密文。
图3是本发明提供的又一种认证方法。在一些实施例中,上述步骤S004之后,即终端向业务平台发送连接请求之后,如图3所示,该认证方法包括:
步骤S005,业务平台接收终端发送的连接请求。
其中,连接请求包含EID、SM-SR的地址参数和动态认证因子密文。
在一个实施方式中,业务平台接收终端发送的连接请求之后,基于该连接请求对终端进行合法性判断,具体地,业务平台判断终端所需进行的业务的相关业务参数是否符合业务平台的要求、终端标识(例如IMEI)是否为非法的终端标识、终端是否存在攻击性的非法访问行为、终端是否有连接权限等。业务平台在合法性判断不通过的情况下,向终端返回认证失败结果。业务平台在合法性判断通过的情况下,业务平台执行下述步骤S006。
步骤S006,业务平台基于连接请求向认证平台发送对于终端的认证请求。
在一个实施方式中,认证平台接收业务平台发送的对于终端的认证请求之后,从该认证请求中提取动态认证因子密文,并验证动态认证因子密文的签名,认证平台在验证动态认证因子密文的签名为终端对应的eUICC的签名的情况下,认证平台执行上述步骤S101。认证平台在验证动态认证因子密文的签名为终端对应的eUICC的签名的情况下,向业务平台返回认证失败结果,业务平台转发该认证失败结果至终端。
步骤S102,认证平台基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子。
认证平台判断获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子是否一致,在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子不一致的情况下,向业务平台返回认证失败结果,业务平台转发该认证失败结果至终端。
步骤S103,认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求,其中,验证请求包含动态认证因子。
在一个实施方式中,认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求的步骤,包括:认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于与EID对应的eUICC中已激活的profile(卡数据)的MSISDN与eUICC建立第二传输通道,具体地,认证平台直接与eUICC建立第二传输通道。认证平台基于该第二传输通道向eUICC发送验证请求。其中,第二传输通道可以是SCP80安全协议通道,也可以是eUICC和认证***支持的其他安全协议通道。
eUICC接收认证平台基于该第二传输通道发送的验证请求后,从该验证请求中提取动态认证因子,并判断提取的动态认证因子是否与终端预先发送的动态认证因子一致。eUICC在提取的动态认证因子与终端预先发送的动态认证因子一致的情况下,生成并认证平台返回验证信息,其中,验证信息包含验证参数。eUICC在提取的动态认证因子与终端预先发送的动态认证因子不一致的情况下,生成并向认证平台返回冲突信息,其中,冲突信息包含验证冲突结果。
步骤S104,认证平台接收eUICC基于验证请求返回的验证信息。
其中,验证信息包含验证参数。
在一个实施例中,验证请求可以通过短信息服务(Short Message Service,SMS)方式发送,也可以是通过HTTPs或CAT-TP等传输通道发送;eUICC返回的验证信息同样可以通过SMS方式返回,也可以是通过HTTPs或CAT-TP等传输通道返回。需要说明的是,认证平台和eUICC通过短信通道进行数据交互时,对该eUICC对应的终端的性能要求低,适用于低成本、低功耗的工业物联网基础设施的***署。
步骤S105,认证平台基于验证信息向业务平台返回认证结果。
在一个实施方式中,认证平台基于验证信息向业务平台返回认证结果的步骤,包括:认证平台从验证信息中提取验证参数,并基于预先约定的算法对验证参数进行认证,获得认证结果,该认证结果包含认证失败结果或者认证通过结果。
在一些实施例中,业务平台接收的认证结果为认证通过结果后,将该认证通过结果发送至终端,并为该终端提供业务服务,终端可使用相应的业务服务,例如访问业务***、传输业务数据等。
需要说明的是,本发明上述实施例中,以一个业务平台为例进行说明,实际应用场景中可实现多应用***的用户、角色和组织机构统一化管理。另外,本方案也可应用于移动互联网的统一身份认证。
本发明提供一种认证方法,首先,认证平台响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子;认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC的EID;其次,认证平台基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子;然后,认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求;验证请求包含动态认证因子;最后,认证平台接收eUICC基于验证请求返回的验证信息,并基于验证信息向业务平台返回认证结果,以实现在缺乏用户确认的情况下对终端的认证,基于eUICC的体系架构,利用eUICC的安全能力,降低了业务平台接入终端的安全风险,保障了用户和业务平台的利益。
本发明实施例还提供一种认证平台,如图4所示,该认证平台包括:获取模块41、解密模块42、发送模块43、接收模块44和处理模块45。
其中,获取模块41,用于响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子;认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC的EID。
解密模块42,用于基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子。
发送模块43,用于在获取模块获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密模块解密动态认证因子密文获得的动态认证因子一致的情况下,基于EID向eUICC发送验证请求;验证请求包含动态认证因子。
接收模块44,用于接收eUICC基于验证请求返回的验证信息。
处理模块45,用于基于验证信息向业务平台返回认证结果。
在一些实施方式中,认证平台的结构包括认证逻辑模块:用于根据认证平台接收到的请求,选择相应的功能逻辑。认证算法模块:负责认证平台所有相关的认证算法运算。接口模块:负责与外部网元(业务平台、SM-SR、终端等)的信息交互。数据库模块:此模块负责相关数据的安全存储。短信组织解析模块:组织下发数据短信格式和解析上行数据信。短信收发模块:与短信网关通信进行短信下发和上行接收转发。
本实施例提供的认证平台中各模块的工作方式与上述认证方法中认证平台的各步骤对应,因此,认证平台中各模块的详细工作方式可参见本实施例提供的认证方法。
本发明提供一种认证平台,获取模块响应于业务平台发送的对于终端的认证请求,获取终端通过对应的eUICC预先发送给SM-SR的动态认证因子;认证请求包含终端预先发送给业务平台的动态认证因子密文和eUICC的EID;解密模块基于预先约定的密钥算法解密动态认证因子密文,获得动态认证因子;在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,发送模块基于EID向eUICC发送验证请求;验证请求包含动态认证因子;接收模块认证平台接收eUICC基于验证请求返回的验证信息,处理模块基于验证信息向业务平台返回认证结果,以实现在缺乏用户确认的情况下对终端的认证,基于eUICC的体系架构,利用eUICC的安全能力,降低了业务平台接入终端的安全风险,保障了用户和业务平台的利益。
本发明实施例还提供一种认证***,该认证***包括本发明提供的上述认证平台,还包括:业务平台、终端、eUICC和SM-SR,其中,eUICC设置在终端上。图5是本发明提供一种eUICC,如图5所示,该eUICC包括认证applet51,其中,认证applet51拥有密钥算法和密钥,具有加解密功能,可与认证平台配合为业务提供安全服务。认证平台与认证applet51拥有配对的密钥算法和密钥(和证书)等。
其中,认证平台、终端、eUICC和SM-SR的描述详见上述实施例,此处不再赘述。
在一个实施方式中,认证***包括终端侧和平台侧。其中,终端侧包括:eUICC、终端、中间件、业务客户端。在终端上,业务客户端可以通过中间件与eUICC进行交互。平台侧包括业务平台、认证平台和SM-SR。
本发明实施例提供再一种认证方法,该认证方法应用于上述认证***,如图6所示,该认证方法包括以下步骤:
步骤S600,业务平台预先通过认证平台注册认证服务。
步骤S601,终端生成动态认证因子。
步骤S602,终端向对应的eUICC发送参数请求,参数请求包含终端生成的动态认证因子。
步骤S603,eUICC接收参数请求,并从参数请求中提取动态认证因子,通过认证applet对从参数请求中提取的动态认证因子进行加密。
步骤S604,eUICC向终端发送EID、SM-SR的地址参数和动态认证因子密文。
步骤S605,eUICC通过ISD-R(根安全域功能实体)与SM-SR建立第一传输通道,并通过第一传输通道向SM-SR发送从参数请求中提取的动态认证因子。其中,第一传输通道为SCP 80安全协议通道,,也可以是eUICC和SM-SR支持的其他安全协议通道。
步骤S606,终端基于eUICC返回的EID、SM-SR的地址参数和动态认证因子密文,向业务平台发送连接请求,其中,连接请求包含EID、SM-SR的地址参数和动态认证因子密文。
步骤S607,业务平台基于终端发送的连接请求向认证平台发送对于终端的认证请求,该认证请求包含EID、SM-SR的地址参数和动态认证因子密文。
步骤S608,认证平台接收业务平台发送的对于终端的认证请求,并从该认证请求中提取动态认证因子密文,验证动态认证因子密文的签名。
步骤S609,认证平台在验证动态认证因子密文的签名为终端对应的eUICC的签名的情况下,响应于业务平台发送的对于终端的认证请求,基于认证请求中包含的SM-SR的地址参数向SM-SR发送eUICC信息获取请求。其中,eUICC信息获取请求包含EID。
步骤S610,SM-SR响应于该eUICC信息获取请求,向认证平台返回eUICC信息,其中,eUICC信息包含eUICC中已激活的Profile的MSISDN和终端通过对应的eUICC预先发送给SM-SR的动态认证因子。
步骤S611,认证平台接收eUICC信息,并判断获取的eUICC信息中包含的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子是否一致。
步骤S612,认证平台在获取的终端通过对应的eUICC预先发送给SM-SR的动态认证因子与解密动态认证因子密文获得的动态认证因子一致的情况下,基于与EID对应的eUICC中已激活的profile(卡数据)的MSISDN与eUICC建立第二传输通道,具体地,认证平台直接与eUICC建立第二传输通道。认证平台基于该第二传输通道向eUICC发送验证请求。其中,第二传输通道可以是SCP80安全协议通道,也可以是eUICC和认证***支持的其他安全协议通道。验证请求包含动态认证因子。验证请求可以通过短信息服务(Short Message Service,SMS)方式发送,也可以是通过HTTPs或CAT-TP等传输通道发送。
步骤S613,eUICC基于该验证请求通过第二传输通道返回验证信息。其中,第二传输通道可以是SCP80安全协议通道,也可以是eUICC和认证***支持的其他安全协议通道。eUICC返回的验证信息同样可以通过SMS方式返回,也可以是通过HTTPs或CAT-TP等传输通道返回。
步骤S614,认证平台基于验证信息向业务平台返回认证结果,以进行认证结果通知,该认证结果包含认证失败结果或者认证通过结果。
步骤S615,业务平台根据认证结果同意或拒绝终端业务接入。
具体地,该认证结果包含认证失败结果,则业务平台根据认证结果拒绝终端业务接入;该认证结果包含认证通过结果,则业务平台根据认证结果同意终端业务接入。
本发明实施例的认证方法可应用于该认证***,终端通过业务平台向认证平台发起认证请求,进一步通过eUICC与认证平台之间的安全协议通道进行交互认证来确保本次认证的高安全可靠性,本发明实施例提供的认证方法利用eUICC支持的多种安全协议通道,安全性高,能够有效防止非法终端的攻击。还需要说明的是,本实施例提供的认证方法中具体步骤的描述详见上述实施例提供的认证方法。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种认证方法,其特征在于,所述方法包括:
认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子;所述认证请求包含终端预先发送给所述业务平台的动态认证因子密文和所述eUICC的EID;
认证平台基于预先约定的密钥算法解密所述动态认证因子密文,获得动态认证因子;
认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求;所述验证请求包含所述动态认证因子;
认证平台接收所述eUICC基于所述验证请求返回的验证信息;
认证平台基于所述验证信息向所述业务平台返回认证结果。
2.根据权利要求1所述的方法,其特征在于,所述认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子之前,包括:
终端生成动态认证因子;
所述终端向对应的eUICC发送参数请求,所述参数请求包含所述终端生成的动态认证因子;
所述终端接收所述eUICC返回的所述EID、所述SM-SR的地址参数和动态认证因子密文;
所述终端向所述业务平台发送连接请求;所述连接请求包含所述EID、所述SM-SR的地址参数和动态认证因子密文。
3.根据权利要求2所述的方法,其特征在于,所述终端向对应的eUICC发送参数请求之后,还包括:
eUICC从所述参数请求中提取动态认证因子,并通过认证applet对从参数请求中提取的动态认证因子进行加密,获得所述动态认证因子密文;
eUICC向所述终端发送所述EID、所述SM-SR的地址参数和所述动态认证因子密文。
4.根据权利要求2所述的方法,其特征在于,所述终端向对应的eUICC发送参数请求之后,还包括:
eUICC通过ISD-R与所述SM-SR建立第一传输通道,并通过所述第一传输通道向所述SM-SR发送从所述参数请求中提取的动态认证因子;
所述SM-SR通过所述第一传输通道接收所述eUICC发送的动态认证因子,并基于接收的动态认证因子更新所述eUICC的EIS。
5.根据权利要求2所述的方法,其特征在于,所述终端向所述业务平台发送连接请求之后,还包括:
业务平台接收所述终端发送的连接请求;
业务平台基于所述连接请求向所述认证平台发送对于所述终端的认证请求。
6.根据权利要求1所述的方法,其特征在于,所述认证请求还包含SM-SR的地址参数;所述认证平台响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子的步骤,包括:
认证平台响应于业务平台发送的对于终端的认证请求,基于所述地址参数向所述SM-SR发送eUICC信息获取请求;所述eUICC信息获取请求包含所述EID;
认证平台接收所述SM-SR响应于所述eUICC信息获取请求返回的所述EID对应的eUICC信息;所述eUICC信息包含所述eUICC中已激活的Profile的MSISDN和所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子。
7.根据权利要求1所述的方法,其特征在于,所述认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求的步骤,包括:
认证平台在获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于与所述EID对应的eUICC中已激活的profile的MSISDN与所述eUICC建立第二传输通道;
认证平台基于所述第二传输通道向所述eUICC发送验证请求。
8.根据权利要求1所述的方法,其特征在于,所述认证平台基于所述验证信息向所述业务平台返回认证结果的步骤,包括:
认证平台从所述验证信息中提取验证参数;
认证平台基于预先约定的算法对所述验证参数进行认证,获得认证结果;所述认证结果包含认证失败结果或者认证通过结果。
9.一种认证平台,其特征在于,所述认证平台包括:
获取模块,用于响应于业务平台发送的对于终端的认证请求,获取所述终端通过对应的eUICC预先发送给SM-SR的动态认证因子;所述认证请求包含终端预先发送给所述业务平台的动态认证因子密文和所述eUICC的EID;
解密模块,用于基于预先约定的密钥算法解密所述动态认证因子密文,获得动态认证因子;
发送模块,用于在所述获取模块获取的所述终端通过对应的eUICC预先发送给所述SM-SR的动态认证因子与所述解密模块解密所述动态认证因子密文获得的动态认证因子一致的情况下,基于所述EID向所述eUICC发送验证请求;所述验证请求包含所述动态认证因子;
接收模块,用于接收所述eUICC基于所述验证请求返回的验证信息;
处理模块,用于基于所述验证信息向所述业务平台返回认证结果。
10.一种认证***,其特征在于,所述认证***包括权利要求9所述的认证平台;所述认证***还包括:业务平台、终端、eUICC和SM-SR;所述eUICC设置在所述终端上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011502364.1A CN112616148B (zh) | 2020-12-18 | 2020-12-18 | 认证方法、认证平台和认证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011502364.1A CN112616148B (zh) | 2020-12-18 | 2020-12-18 | 认证方法、认证平台和认证*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112616148A CN112616148A (zh) | 2021-04-06 |
CN112616148B true CN112616148B (zh) | 2022-08-30 |
Family
ID=75240882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011502364.1A Active CN112616148B (zh) | 2020-12-18 | 2020-12-18 | 认证方法、认证平台和认证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112616148B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013036010A1 (ko) * | 2011-09-05 | 2013-03-14 | 주식회사 케이티 | 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체 |
CN108702386A (zh) * | 2017-06-14 | 2018-10-23 | 华为技术有限公司 | 一种嵌入式通用集成电路卡配置文件的管理方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10516990B2 (en) * | 2014-09-17 | 2019-12-24 | Simless, Inc. | Apparatuses, methods and systems for implementing a trusted subscription management platform |
US10911939B2 (en) * | 2017-06-14 | 2021-02-02 | Huawei Technologies Co., Ltd. | Embedded universal integrated circuit card profile management method and apparatus |
-
2020
- 2020-12-18 CN CN202011502364.1A patent/CN112616148B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013036010A1 (ko) * | 2011-09-05 | 2013-03-14 | 주식회사 케이티 | 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체 |
CN108702386A (zh) * | 2017-06-14 | 2018-10-23 | 华为技术有限公司 | 一种嵌入式通用集成电路卡配置文件的管理方法及装置 |
Non-Patent Citations (1)
Title |
---|
嵌入式UICC远程签约管理的互操作性分析与研究;刘廉如等;《邮电设计技术》;20150430(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112616148A (zh) | 2021-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534856B (zh) | 用于在无线通信***中管理终端的简档的方法和装置 | |
CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
US10013548B2 (en) | System and method for integrating two-factor authentication in a device | |
EP2852118B1 (en) | Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment | |
US20050188219A1 (en) | Method and a system for communication between a terminal and at least one communication equipment | |
US8307202B2 (en) | Methods and systems for using PKCS registration on mobile environment | |
EP3433994B1 (en) | Methods and apparatus for sim-based authentication of non-sim devices | |
US9319882B2 (en) | Method for mutual authentication between a terminal and a remote server by means of a third-party portal | |
US20230209340A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
US11652648B2 (en) | Authentication between a telematic control unit and a core server system | |
CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
EP3079329B1 (en) | Terminal application registration method, device and system | |
CN112995090B (zh) | 终端应用的认证方法、装置、***和计算机可读存储介质 | |
EP2731309B1 (en) | Secured authentication for community services | |
CN112616148B (zh) | 认证方法、认证平台和认证*** | |
US20220386123A1 (en) | Token, particularly otp, based authentication system and method | |
EP2961208A1 (en) | Method for accessing a service and corresponding application server, device and system | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
KR20150114923A (ko) | Ap접속정보 설정방법 및 이를 위한 단말기 | |
KR20190050949A (ko) | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 | |
EP3402238A1 (en) | Efficient user authentications | |
EP2731370B1 (en) | Secured authentication between a communication device and a server | |
KR20090121520A (ko) | 이동통신 단말기와 프로비저닝 서버 사이에서 프로비저닝데이터를 송수신하는 방법, 이를 위한 이동통신 단말기 및프로비저닝 서버 | |
KR101660261B1 (ko) | Ap접속정보 설정방법 및 이를 위한 단말기 | |
Oostdijk et al. | Mobile PKI |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |