專利名稱:基于短信對(duì)3g設(shè)備進(jìn)行帶外管理的安全通信方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線通信領(lǐng)域�����,尤其涉及網(wǎng)絡(luò)管理設(shè)備通過(guò)短信對(duì)3G設(shè)備進(jìn)行帶外管理時(shí)��,保證通信安全的方法和系統(tǒng)���。
背景技術(shù):
隨著移動(dòng)運(yùn)營(yíng)商對(duì)3G投入的不斷增加,其業(yè)務(wù)成熟度及信號(hào)服務(wù)質(zhì)量也在不斷增強(qiáng)�,行業(yè)用戶開始在基于運(yùn)營(yíng)商3G網(wǎng)絡(luò)的VPDN (Virtual Private Dial-Network,虛擬專用撥號(hào)網(wǎng))上開展業(yè)務(wù)。借助3G無(wú)線通訊的優(yōu)勢(shì),可以大大提升業(yè)務(wù)的部署速度�����,也徹底解決了金融行業(yè)部署離行金融終端成本高����、工期長(zhǎng)、限制多的困擾����,采用3G無(wú)線技術(shù)快速、 安全部署金融M2M( (Machine to Machine��,端到端)終端成為了可能�。小區(qū)、街道�、寫字樓的金融業(yè)務(wù)自助終端,鄉(xiāng)鎮(zhèn)���、村莊的農(nóng)村金融自助終端紛紛出現(xiàn)�����。人們可以方便的通過(guò)這些自助終端進(jìn)行小額存取款����、轉(zhuǎn)帳等金融業(yè)務(wù),或者通過(guò)此類自助終端完成水電氣費(fèi)繳納���、手機(jī)充值甚至向火車票��、機(jī)票預(yù)訂�、網(wǎng)上購(gòu)物的業(yè)務(wù)擴(kuò)展���,極大的方便了人民群眾生活���。此外運(yùn)營(yíng)商也通過(guò)3G接入技術(shù),替代原有的固網(wǎng)專線接入����,為行業(yè)客戶大量部署基于3G接入的視頻采集、環(huán)境監(jiān)控���、智能交通、工農(nóng)業(yè)生產(chǎn)等大量的M2M終端��。
隨著M2M終端部署量的增長(zhǎng)��,大量3G網(wǎng)絡(luò)設(shè)備需要進(jìn)行配置和維護(hù),尤其是初始配置和系統(tǒng)升級(jí)工作量巨大�����?���;谏鲜鲂枨螅覀?cè)诰W(wǎng)絡(luò)中部署了基于3G網(wǎng)絡(luò)的網(wǎng)管平臺(tái)���,用于實(shí)現(xiàn)批量配置文件生成����、系統(tǒng)升級(jí)管理及設(shè)備配置管理等功能���。為了易于3G被管理設(shè)備初次上點(diǎn)����,我們?cè)?G被管理設(shè)備初次上點(diǎn)時(shí)���,僅為其安裝SIM卡(Subscriber Identity Module�,用戶識(shí)別卡)并上電�,通過(guò)短信配置3G被管理設(shè)備最基本的3G上網(wǎng)賬號(hào)等�����,然后通過(guò)短信通知3G被管理設(shè)備到特定的服務(wù)器獲取完整的初始配置���;3G被管理設(shè)備在獲得初始配置后即可進(jìn)入正常的工作,并接受網(wǎng)管平臺(tái)的監(jiān)管�����。另外���,在3G無(wú)線路由于某些網(wǎng)絡(luò)原因不能正常通信的情況下�,短信還可用于對(duì)3G被管理設(shè)備進(jìn)行必要的監(jiān)控和診斷��,例如關(guān)閉網(wǎng)絡(luò)或重新開啟3G網(wǎng)絡(luò)����、重啟系統(tǒng)等;另外����,3G被管理設(shè)備在特定情況下����, 如3G線路拔號(hào)時(shí)中發(fā)現(xiàn)3G賬號(hào)錯(cuò)誤等�,也可以通過(guò)短信的帶外通道通知給網(wǎng)管平臺(tái)�。
由于短信的開放性,在通過(guò)短信對(duì)3G被管理設(shè)備實(shí)現(xiàn)管理功能時(shí)���,如果沒有必要的安全措施����,將可能導(dǎo)致非法的第三方對(duì)被管理設(shè)備進(jìn)行破壞����,如冒充網(wǎng)管平臺(tái),隨意關(guān)閉或重啟被管理設(shè)備�;或冒充被管理設(shè)備向網(wǎng)管平臺(tái)發(fā)送告警信息;同時(shí)��,明文傳送的短信也可能通過(guò)某些渠道進(jìn)行竊取���,如運(yùn)營(yíng)商外包第三方的短信服務(wù)平臺(tái)���、同一機(jī)站的信號(hào)竊聽等。
所以�����,如何解決上述3G被管理設(shè)備與網(wǎng)管平臺(tái)之間的帶外管理的短信安全,是亟待解決的問(wèn)題�����。發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是�,針對(duì)網(wǎng)管平臺(tái)對(duì)3G網(wǎng)絡(luò)設(shè)備基于短信進(jìn)行管理時(shí), 可能發(fā)生的偽造信息����、明文竊取等安全性問(wèn)題,提供一種基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法及系統(tǒng)���,保護(hù)短信的完整性���。
本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案是,提供一種基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法�����,包括如下步驟
a��、在網(wǎng)管平臺(tái)上預(yù)先設(shè)置一個(gè)主密鑰;
b��、網(wǎng)管平臺(tái)利用3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰��,生成與所述3G被管理設(shè)備共享的工作密鑰����;
C�、所述工作密鑰存入對(duì)應(yīng)3G被管理設(shè)備的用戶識(shí)別卡中;
d��、網(wǎng)管平臺(tái)或3G被管理設(shè)備采用共享的工作密鑰將管理消息加密后����,采用短信與對(duì)端進(jìn)行帶外管理的通信。
本發(fā)明的另一個(gè)目的����,基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng),包括 網(wǎng)管平臺(tái)��,兩個(gè)以上3G接入終端�����,其中
網(wǎng)管平臺(tái),用于預(yù)先設(shè)置一個(gè)主密鑰����,以及根據(jù)所述主密鑰和3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰,生成與所述3G被管理設(shè)備共享的進(jìn)行管理消息加密的工作密鑰�, 并與3G被管理設(shè)備之間采用內(nèi)容加密的短信進(jìn)行帶外管理的通信。
3G被管理設(shè)備��,用于保存網(wǎng)管平臺(tái)生成的工作密鑰��,并與網(wǎng)管平臺(tái)共享該工作密鑰對(duì)管理消息進(jìn)行加密����,并與網(wǎng)管平臺(tái)之間采用內(nèi)容加密的短信進(jìn)行帶外管理的通信。
本發(fā)明的有益效果是采用本發(fā)明基于內(nèi)容加密的短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法及系統(tǒng)���,保證了網(wǎng)管平臺(tái)與3G被管理設(shè)備的短信通道上的安全問(wèn)題����,防止偽造短信和短信破解�����,保護(hù)短信的完整性���,使得對(duì)3G網(wǎng)絡(luò)設(shè)備的維護(hù)不僅僅依賴于帶內(nèi)通道�,這將大大有利于對(duì)3G網(wǎng)絡(luò)設(shè)備的維護(hù),并降低人工成本�。
圖1是本發(fā)明基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法的實(shí)施例流程圖2是本發(fā)明實(shí)施例中發(fā)送經(jīng)過(guò)加密的消息的流程圖3是本發(fā)明實(shí)施例中接收經(jīng)過(guò)加密的消息的流程圖4是本發(fā)明基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng)實(shí)施例的結(jié)構(gòu)框圖5是本發(fā)明基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng)另一實(shí)施例的結(jié)構(gòu)框圖。
具體實(shí)施方式
為了使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下參照附圖并舉實(shí)施例�, 對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明����。
參加圖1,為本發(fā)明基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法的實(shí)施例流程圖�����,包括如下步驟
步驟101��,在網(wǎng)管平臺(tái)上預(yù)先設(shè)置一個(gè)主密鑰��。該主密鑰預(yù)先在綜合管理平臺(tái)上進(jìn)行配置����,可以由用戶任意配置�。
步驟102��,網(wǎng)管平臺(tái)利用3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰�����,生成與所述3G被管理設(shè)備共享的工作密鑰�。
由于3G被管理設(shè)備初始上點(diǎn)前,不進(jìn)行任何配置���,即3G被管理設(shè)備此時(shí)不包含可用的3G賬號(hào)����、IP地址��、路由信息等���。本發(fā)明中�����,3G被管理設(shè)備利用從移動(dòng)運(yùn)營(yíng)商處申請(qǐng)的用戶識(shí)別卡(Subscriber Identity Module���,即SIM卡)在網(wǎng)管平臺(tái)上進(jìn)行初始化�����,在本初始化的過(guò)程完中成對(duì)3G被管理設(shè)備與綜合網(wǎng)管工作平臺(tái)共享工作密鑰的設(shè)置�����。這個(gè)共享工作密鑰基于3G被管理設(shè)備SIM卡的電話號(hào)碼���、3G被管理設(shè)備IMSI號(hào)(International Mobile Subscriber Identity��,國(guó)際移動(dòng)用戶識(shí)別碼)以及用戶在網(wǎng)管平臺(tái)中預(yù)先配置的主密鑰三類信息采用預(yù)先定義的算法生成����。其中,3G被管理設(shè)備的IMSI號(hào)保存在SIM卡上�����。對(duì)于任意配置的主密鑰��、IMSI號(hào)和電話號(hào)碼的組合��,用于生成一個(gè)唯一的、不能反推出主密鑰的工作密鑰�����。
本實(shí)施例中�����,采用常用的散列(Hash)算法即可���。根據(jù)安全性要求����,可以選擇MD2��、 MD4�����、MD5�、SHA128、SHA192���、SHA256等不同的HASH算法��。通過(guò)特定的散列算法每個(gè)SIM卡的工作密鑰是唯一的�,這樣,即使某個(gè)被管理設(shè)備的工作密鑰不慎被泄露給第三方��,也不會(huì)影響到系統(tǒng)中其它設(shè)備的安全性�����。
步驟103���,所述工作密鑰存入對(duì)應(yīng)3G被管理設(shè)備的用戶識(shí)別卡中���。
本實(shí)施例中,3G被管理設(shè)備的SIM卡可插入到網(wǎng)管平臺(tái)所在PC機(jī)(或服務(wù)器)上通過(guò)USB連接的3G上網(wǎng)卡中���,所以網(wǎng)管平臺(tái)計(jì)算出的工作密鑰可以特殊電話號(hào)碼的形式保存到3G被管理設(shè)備的SIM卡中,同時(shí)網(wǎng)管工作站記錄該3G被管理設(shè)備的IMSI號(hào)和電話號(hào)碼到數(shù)據(jù)庫(kù)中���,用以計(jì)算設(shè)備的工作密鑰���。3G被管理設(shè)備SIM卡的在網(wǎng)管平臺(tái)的初始化工作完成。
步驟104����,網(wǎng)管平臺(tái)或3G被管理設(shè)備采用共享的工作密鑰將管理消息加密后����,采用短信與對(duì)端進(jìn)行帶外管理的通信�����。
3G被管理設(shè)備安裝經(jīng)過(guò)網(wǎng)管平臺(tái)初始化后的SIM卡后��,即可直接上點(diǎn)安裝��,安裝完成上電初始化完成后進(jìn)入工作待命狀態(tài)���。本實(shí)施例中�,3G被管理設(shè)備上電后進(jìn)行初始化是指����,要對(duì)自身SIM卡狀態(tài)進(jìn)行自測(cè),如可通過(guò)相應(yīng)指示燈閃爍表示SIM卡正常識(shí)別���,準(zhǔn)備好接收短信���;然后�����,3G被管理設(shè)備從其SIM卡讀出工作密鑰����,并加密存儲(chǔ)于內(nèi)部EPROM等存儲(chǔ)設(shè)備中���,并刪除SIM卡中的工作密鑰信息���。
此時(shí),如網(wǎng)管平臺(tái)向3G被管理設(shè)備發(fā)送初始配置命令��,根據(jù)已保存的IMSI號(hào)和電話號(hào)碼信息��,可以唯一確定一臺(tái)對(duì)應(yīng)的3G被管理設(shè)備��,并計(jì)算出與該設(shè)備間的工作密鑰���。 初始配置命令包括3G用戶名、密碼��、接入點(diǎn)等信息����,可以在網(wǎng)管工作站上批量導(dǎo)入����,并自動(dòng)關(guān)聯(lián)到相應(yīng)3G被管理設(shè)備的電話號(hào)碼上�。初始配置命令通過(guò)計(jì)算出的工作密鑰進(jìn)行加密。 加密算法可以根據(jù)具體的安全性要求選擇合適的加密算法�,本發(fā)明方案涉及的系統(tǒng)支持常見的加密算法DES、3DES�����、AES�、Blowfish、Twofish等��,以及國(guó)密算法SMl����。
本實(shí)施例中,考慮到標(biāo)準(zhǔn)中短信長(zhǎng)度140字節(jié)的限制���,以及加密不改變信息長(zhǎng)度�, 所以本發(fā)明中網(wǎng)管平臺(tái)與3G被管理設(shè)備之間用于管理的通信消息最大為140字節(jié)。本實(shí)施例中���,所采用加密后的用于管理的通信消息格式為包括12字節(jié)消息頭部和1 字節(jié)加密后的消息體正文���;所述消息頭部包括分塊標(biāo)識(shí)、分塊索引���、消息標(biāo)識(shí)號(hào)�、消息長(zhǎng)度和校驗(yàn)和�����。 對(duì)于消息頭部�,主要考慮可能存在大于140字節(jié)的情況,所以消息可能存在分塊(分片)��。 本實(shí)施例中���,加密后的用于管理的通信消息格式定義為如下表1的形式
表1加密后消息的格式定義
權(quán)利要求
1.基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法��,其特征在于���,包括如下步驟a、在網(wǎng)管平臺(tái)上預(yù)先設(shè)置一個(gè)主密鑰����;b、網(wǎng)管平臺(tái)利用3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰���,生成與所述3G被管理設(shè)備共享的工作密鑰����;c��、所述工作密鑰存入對(duì)應(yīng)3G被管理設(shè)備的用戶識(shí)別卡中�����;d��、網(wǎng)管平臺(tái)或3G被管理設(shè)備采用共享的工作密鑰將管理消息加密后�,采用短信與對(duì)端進(jìn)行帶外管理的通信。
2.如權(quán)利要求1所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法�,其特征在于, 在步驟a和步驟b之間����,還包括如下步驟�����,網(wǎng)管平臺(tái)中保存3G被管理設(shè)備的用戶識(shí)別卡信肩���、ο
3.如權(quán)利要求1所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法,其特征在于��, 步驟c和步驟d之間��,還包括如下步驟3G被管理設(shè)備在初始化時(shí)將其用戶識(shí)別卡中的工作密鑰保存在存儲(chǔ)單元�,并將用戶識(shí)別卡中的工作密鑰刪除。
4.如權(quán)利要求1-3任一項(xiàng)所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法��,其特征在于���,所述3G被管理設(shè)備的用戶識(shí)別卡信息包括該用戶識(shí)別卡的電話號(hào)碼和國(guó)際移動(dòng)用戶識(shí)別碼��。
5.如權(quán)利要求4所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法����,其特征在于��, 加密后的管理消息發(fā)送時(shí)采用短消息業(yè)務(wù)的協(xié)議數(shù)據(jù)單元編碼格式�。
6.如權(quán)利要求4所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法�����,其特征在于, 所述管理消息可以先經(jīng)過(guò)分塊再進(jìn)行加密后被發(fā)送��。
7.如權(quán)利要求6所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法���,其特征在于����, 網(wǎng)管平臺(tái)或3G被管理設(shè)備判斷接收到管理消息在加密之前是經(jīng)過(guò)分塊的����,則在接收到第一個(gè)分塊后設(shè)立定時(shí)器,如果定時(shí)器超時(shí)后判斷該管理消息未接收完整��,則進(jìn)行刪除����。
8.如權(quán)利要求7所述基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法,其特征在于���, 所述加密后的管理消息格式為包括消息頭部和加密后的消息體正文��;所述消息頭部包括分塊標(biāo)識(shí)�����、分塊索引�����、消息標(biāo)識(shí)號(hào)�����、消息長(zhǎng)度和校驗(yàn)和�����,其中所述分塊標(biāo)識(shí)���,用于當(dāng)消息被分塊時(shí)�����,表示本消息后是否還有屬于同一消息的消息塊���;所述分塊索引����,用于當(dāng)消息被分塊時(shí)���,表示本消息塊屬于第幾個(gè)分塊���;所述消息標(biāo)識(shí)號(hào)����,用于當(dāng)消息被分塊時(shí),表示該多個(gè)消息塊隸屬于同一個(gè)消息���;所述消息長(zhǎng)度���,用于表示當(dāng)前消息塊的長(zhǎng)度;所述校驗(yàn)和�,用于表示加密后的消息體正文的校驗(yàn)和,用于消息接收端在收到消息后�, 先計(jì)算校驗(yàn)和并與此值進(jìn)行比較,如果不正確�����,則表明消息被修改過(guò)或發(fā)生錯(cuò)誤。
9.基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng)�����,其特征在于�����,包括網(wǎng)管平臺(tái)���,3G 被管理設(shè)備����,其中�,網(wǎng)管平臺(tái),用于預(yù)先設(shè)置一個(gè)主密鑰���,以及根據(jù)所述主密鑰和3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰�����,生成與所述3G被管理設(shè)備共享的進(jìn)行管理消息加密的工作密鑰�,并與 3G被管理設(shè)備之間采用內(nèi)容加密的短信進(jìn)行帶外管理的通信。3G被管理設(shè)備���,用于保存網(wǎng)管平臺(tái)生成的工作密鑰��,并與網(wǎng)管平臺(tái)共享該工作密鑰對(duì)管理消息進(jìn)行加密����,并與網(wǎng)管平臺(tái)之間采用內(nèi)容加密的短信進(jìn)行帶外管理的通信�。
10.基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng),其特征在于�, 所述網(wǎng)管平臺(tái)包括初始化單元,消息加解密單元和消息收發(fā)單元��,其中所述初始化單元用于根據(jù)3G被管理設(shè)備的用戶識(shí)別卡信息以及預(yù)設(shè)的主密鑰��,生成與所述3G被管理設(shè)備共享的工作密鑰�����,并將所述工作密鑰存儲(chǔ)在對(duì)應(yīng)3G被管理設(shè)備的用戶識(shí)別卡中����;所述消息加解密單元用于將待發(fā)送的消息根據(jù)生成的工作密鑰進(jìn)行加密����,在必要時(shí)加密之前要進(jìn)行消息分塊�,以及用于將接收到的經(jīng)過(guò)加密的消息進(jìn)行解密�����,在必要時(shí)要對(duì)經(jīng)過(guò)分塊的消息進(jìn)行合并處理后交給上層應(yīng)用程序處理���;所述消息收發(fā)單元用于向所有3G被管理設(shè)備發(fā)送經(jīng)過(guò)加密的消息�����,并用于接收來(lái)自所有3G被管理設(shè)備的經(jīng)過(guò)加密的消息�����;所述3G被管理設(shè)備包括初始化單元���,消息加解密單元和消息收發(fā)單元,其中所述初始化單元用于對(duì)上電后的3G被管理設(shè)備的用戶識(shí)別卡進(jìn)行自檢�����,并將用戶識(shí)別卡中的工作密鑰保存在存儲(chǔ)單元�����,然后刪除用戶識(shí)別卡中的工作密鑰;所述消息加解密單元將待發(fā)送的消息根據(jù)生成的工作密鑰進(jìn)行加密���,在必要時(shí)加密之前要進(jìn)行消息分塊��,以及用于將接收到的經(jīng)過(guò)加密的消息進(jìn)行解密��,在必要時(shí)要對(duì)經(jīng)過(guò)分塊的消息進(jìn)行合并處理后交給上層應(yīng)用程序處理�����;所述消息收發(fā)單元用于接收來(lái)自網(wǎng)管平臺(tái)的經(jīng)過(guò)加密的消息���,已經(jīng)用于將經(jīng)過(guò)加密的消息發(fā)送到網(wǎng)管平臺(tái)。
全文摘要
本發(fā)明公開了一種基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信方法��,包括如下步驟a�、在網(wǎng)管平臺(tái)上預(yù)先設(shè)置一個(gè)主密鑰���;b���、網(wǎng)管平臺(tái)利用3G被管理設(shè)備的用戶識(shí)別卡信息及主密鑰,生成與所述3G被管理設(shè)備共享的工作密鑰;c�、所述工作密鑰存入對(duì)應(yīng)3G被管理設(shè)備的用戶識(shí)別卡中;d�����、網(wǎng)管平臺(tái)或3G被管理設(shè)備采用共享的工作密鑰將管理消息加密后����,采用短信與對(duì)端進(jìn)行帶外管理的通信。本發(fā)明還公開了一種基于短信對(duì)3G設(shè)備進(jìn)行帶外管理的安全通信系統(tǒng)���。本發(fā)明針對(duì)網(wǎng)管平臺(tái)對(duì)3G網(wǎng)絡(luò)設(shè)備基于短信進(jìn)行管理時(shí)�����,可能發(fā)生的偽造信息����、明文竊取等安全性問(wèn)題����,保證了短信的完整性。
文檔編號(hào)H04W88/18GK102523581SQ20111040436
公開日2012年6月27日 申請(qǐng)日期2011年12月7日 優(yōu)先權(quán)日2011年5月31日
發(fā)明者杜勇, 范恒英, 鄧霄博, 黎建 申請(qǐng)人:邁普通信技術(shù)股份有限公司