背景技术
机器到机器通信(machine-to-machine,M2M)是指应用无线通信技术,实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。M2M有两层含义:第一层是机器本身,在嵌入式领域称为智能设备。第二层意思是机器和机器之间的连接,通过网络把机器连接在一起。机器类通信的应用范围非常广泛,例如智能测量、远程监控、跟踪、医疗等,使人类生活更加智能化。与传统的人与人之间的通信相比,M2M设备(M2ME)数量巨大,应用领域广泛,具有巨大的市场前景。
在M2M通信中,主要的远距离连接技术包括GSM/GPRS/UMTS,近距离连接技术主要有802.11b/g、蓝牙、Zigbee、RFID等。M2M属于针对设备的业务,由于M2M整合了无线通信和信息技术,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此可实现不同的应用方案,如安全监测、自动售货、货物跟踪等。几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。M2M提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。
M2M通信的一个挑战是部署的M2M设备的远程安全管理。为此,需要解决如何为M2M设备(M2ME)远程提供MCIM(机器通信身份模块,Machine Communication Identity Module)应用,并防止MCIM(机器通信身份模块)应用在供应过程中被攻击者获得并使用。MCIM应用是指一组为接入3GPP网络(也可以是IMS网络)的M2M安全数据和功能。MCIM可以位于UICC(通用集成电路卡)上,也可以位于一个TRE中。当MCIM位于UICC上时,MCIM即是指USIM或ISIM。TRE是指M2ME提供的可信环境(The Trusted environment),一个TRE可以在任何需要的时候被授权的外部代理验证。MCIM可以安装在TRE中,M2ME通过TRE为MCIM提供软硬件保护和隔离。
当M2M设备(M2ME)基于UICC来提供M2M服务时,如何远程提供签约数据,即远程提供MCIM给UICC,是基于UICC的M2M设备(M2ME)需要解决的一个问题。
目前,已经有的基于UICC的M2M设备(M2ME)在提供M2M服务时,有两种解决方案。一种是不能改变远程提供和签约数据的UICC解决方案,另一种是可以改变签约数据的基于UICC的解决方案。前一种解决方案可以很方便的为M2M设备(M2ME)提供M2M服务,但是,当M2M服务签约用户想改变M2M服务的运营商时,必须更换UICC,这使得M2M设备的维护非常困难,即使可能,也是代价高昂,因此这种方法无法实现对M2M设备的MCIM的远程管理。第二种方案,当UICC发布时就确定归属网络运营商的话,不存在MCIM的初始提供问题,但当UICC在发布后再确定归属网络运营商的话,初始提供MCIM给UICC是需要解决的问题。另外通过改变IMSI的方式来改变运营商,这样可以方便地管理M2M设备(M2ME)。但这种方案涉及IMSI在不同移动运营商网络之间的传递,从而增加了M2M设备(M2ME)签约数据的安全风险。同时在改变IMSI的过程中,UICC可能中断与任何运营商的连接。
对于MCIM远程提供给M2ME上的TRE的情形,已经有解决方案。在基于TRE的MCIM远程提供方案中,通过TRE提供的初始连接,将远程提供的MCIM安装在TRE中。这个方案的缺点是MCIM的保护有赖于TRE的安全性,由于TRE是M2ME上实现,使得TRE的安全性比UICC要低。因此MCIM在TRE中的安全性并不高。基于TRE的M2M设备如何结合M2ME上的TRE提供的初始连接和UICC的高安全性,来实现MCIM安全的提供给M2ME,并保证MCIM的安全性是需要解决的一个问题。
发明内容
本发明要解决的技术问题是提供一种向M2ME提供MCIM的系统及方法,可实现为M2ME远程提供MCIM,并保证了MCIM的安全存储。
为了解决上述问题,本发明提供了一种向机器到机器设备(M2ME)提供机器通信身份模块(MCIM)的方法,包括:
所述M2ME通过可信环境(TRE)与拜访网络运营商建立连接,并通过所述拜访网络运营商提供的IP连接与注册运营商建立连接,所述注册运营商发现所述M2ME的归属网络运营商,当所述平台验证授权中心对所述M2ME进行验证后,所述注册运营商将MCIM应用下载到所述M2ME,所述M2ME将下载的MCIM安装至通用集成电路卡(UICC);
所述TRE及UICC均位于M2ME上。
进一步地,所述M2ME通过TRE与拜访网络运营商建立连接,并通过所述拜访网络运营商提供的IP连接与注册运营商建立连接是指,
M2ME通过TRE向拜访网络运营商发送附着消息,携带所述M2ME的临时连接身份标识,所述拜访网络运营商收到M2ME的临时连接身份标识后连接到注册运营商,并将所述临时连接身份标识发送至注册运营商,所述注册运营商根据所述临时连接身份标识生成一组认证向量,并将生成的所述认证向量返回至拜访网络运营商,所述拜访网络运营商使用认证向量与M2ME进行认证,认证成功后为M2ME分配IP地址,之后所述M2ME通过TRE使用拜访网络提供商提供的IP连接与注册运营商连接。
进一步地,所述M2ME连接至注册运营商后,将签约用户选择的归属网络运营商信息发送至注册运营商,所述注册运营商根据归属网络运营商信息发现所述M2ME的归属网络运营商,并在所述归属网络运营商注册所述M2ME。
进一步地,当所述M2ME注册到归属网络运营商后,所述归属网络运营商请求平台验证授权中心对M2ME进行验证,验证成功后归属网络运营商通知注册运营商对M2ME验证成功,并授权注册运营商提供MCIM应用给所述M2ME,之后所述注册运营商将MCIM应用下载至M2ME,所述M2ME将MCIM安装到其上的UICC。
本发明还提供一种向机器到机器设备(M2ME)提供机器通信身份模块(MCIM)的系统,包括M2ME、拜访网络运营商、注册运营商、归属网络运营商及平台验证授权中心;
所述M2ME包括可信环境(TRE)及通用集成电路卡(UICC);
所述M2ME用于通过TRE与拜访网络运营商建立连接,以及通过拜访网络运营商提供的连接与注册运营商建立连接,还用于将下载的MCIM应用安装至所述UICC;
所述拜访网络运营商,用于与所述M2ME建立连接后为M2ME提供到注册运营商的连接;
所述注册运营商,用于所述M2ME连接到注册运营商后发现M2ME的归属网络运营商;以及当平台验证授权中心对M2ME验证成功后向M2ME下载MCIM应用;
所述平台验证授权中心,用于对所述M2ME进行验证。
进一步地,所述M2ME通过TRE与拜访网络运营商建立连接是指,所述M2ME通过TRE向所述拜访网络运营商发送附着消息,其中携带所述M2ME的临时连接身份标识;
所述拜访网络运营商还用于收到M2ME的临时连接身份标识后连接到注册运营商,并将所述临时连接身份标识发送至注册运营商;以及收到注册运营商返回的一组认证向量后与M2ME进行认证,还用于认证成功后为M2ME分配IP地址;
所述注册运营商还用于收到临时连接身份标识后生成一组认证向量,并将生成的所述认证向量返回至拜访网络运营商;
所述M2ME通过TRE使用拜访网络运营商提供的IP连接与注册运营商连接。
进一步地,所述M2ME还用于连接至注册运营商后,将签约用户选择的归属网络运营商信息发送至注册运营商;
所述注册运营商还用于根据归属网络运营商信息发现该归属网络运营商,并在所述归属网络运营商注册所述M2ME。
进一步地,所述归属网络运营商还用于当所述M2ME注册到归属网络运营商后,请求平台验证授权中心对M2ME进行验证,以及当验证成功后通知注册运营商对M2ME验证成功,并授权注册运营商提供MCIM应用给所述M2ME;
所述平台验证授权中心是在收到所述认证请求后验证所述M2ME的真实性和完整性,平台验证授权中心还用于将认证结果返回至归属网络运营商;
所述注册运营商是在收到授权通知后将MCIM应用下载至M2ME。
综上所述,本发明提供了一种向M2ME提供MCIM的系统及方法,可实现将M2ME上的TRE的功能与UICC的安全性很好的结合在一起,保证了MCIM的远程提供和安全存储。
具体实施方式
本发明提出了一种向M2ME提供MCIM的系统及方法,可实现向M2ME远程提供MCIM,且保证MCIM的安全性。
图1是根据本发明的基于UICC的M2ME架构示意图。在该架构中TRE与UICC均位于M2ME上。
本实施例提供一种向M2ME提供MCIM的系统,如图2所示,该系统包括M2ME、拜访网络运营商(VNO,Visited Network Operator)、注册运营商(RO,Registration Operator)、归属网络运营商(SHO,Selected HomeOperator)及平台验证授权中心(PVA,Platform Validation Authority);
其中,M2ME包括UICC及TRE(The Trusted environment,可信环境),即TRE和UICC都位于M2ME上。M2ME以临时连接身份标识(PICD,Provisional Connectivity Identity)作为其私有标识,为了使M2ME注册到与将来选择的归属运营商无关的3GPP网络,PCID需要通过供应商安装在M2ME上的TRE中。PCID的格式与IMSI相同。
TRE是指M2ME提供的可信环境,其为供应、存储、执行和管理MCIM提供了基于硬件和软件的保护和隔离,PCID的安全也由TRE来保证,如PCID的安全存储、检索和使用都由TRE的功能实现。一个TRE可以在任何需要的时候被授权的外部代理验证。
M2ME用于通过TRE与拜访网络运营商建立连接,以及通过拜访网络运营商提供的连接与注册运营商建立连接,还用于将下载的MCIM应用安装至UICC;
拜访网络运营商,用于与M2ME建立连接后为M2ME提供到注册运营商的连接;
注册运营商用于M2ME连接到注册运营商后发现M2ME的归属网络运营商;以及当平台验证授权中心对M2ME验证成功后向M2ME下载MCIM应用;具体地,
注册运营商包括MCIM应用的下载和提供功能(DPF,MCIM Downloadand Provisioning Function)、发现和注册功能(DRF,Discovery and RegistrationFunction)及初始连接功能(ICF,Initial Connectivity Function);即:注册运营商的ICF接收M2ME发来的附着消息并与M2ME建立连接;注册运营商的DPF向M2ME下载MCIM应用。
M2ME通过TRE与拜访网络运营商建立连接是指,M2ME通过TRE向拜访网络运营商发送附着消息,其中携带M2ME的临时连接身份标识;
拜访网络运营商还用于收到M2ME的临时连接身份标识后连接到注册运营商,并将临时连接身份标识发送至注册运营商;以及收到注册运营商返回的一组认证向量后与M2ME进行认证,还用于认证成功后为M2ME分配IP地址;
注册运营商还用于收到临时连接身份标识后生成一组认证向量,并将生成的认证向量返回至拜访网络运营商;
M2ME通过TRE使用拜访网络运营提供的IP连接与注册运营商连接。
M2ME还用于连接至注册运营商后,将签约用户选择的归属网络运营商信息发送至注册运营商;
注册运营商还用于根据归属网络运营商信息发现该归属网络运营商,并在归属网络运营商注册M2ME;注册运营商是通过DRF帮助M2ME发现其归属网络运营商或DRF为M2ME发现其归属网络运营商。
归属网络运营商还用于当M2ME注册到归属网络运营商后,请求平台验证授权中心对M2ME进行验证,以及当验证成功后通知注册运营商对M2ME验证成功,并授权注册运营商提供MCIM应用给M2ME;
注册运营商是在收到授权通知后将MCIM应用下载至M2ME。
平台验证授权中心,用于对M2ME进行验证;平台验证授权中心是在收到认证请求后验证M2ME的真实性和完整性,平台验证授权中心还用于将认证结果返回至归属网络运营商。
当MCIM位于UICC上时,MCIM即是指USIM/ISIM。为了描述方便,在本发明中,针对M2ME,无论MCIM是否位于UICC上,都只使用MCIM进行描述,而不用USIM/ISIM进行描述。
本实施例提供一种向M2ME提供MCIM的方法,如图3所示,UICC和TRE都位于M2ME上,当M2ME初次使用时,如果UICC上没有预置MCIM(机器通信身份模块),需要通过M2ME签约用户选择M2M归属运营商,之后M2ME通过TRE与RO建立IP连接,RO帮助M2ME在SHO注册。在SHO通过PVA验证M2ME的真实性和完整性后,授权RO向M2ME提供MCIM。M2ME下载MCIM后将MCIM供应给UICC。具体供应流程包括以下步骤:
步骤301:TRE和UICC都位于M2ME上,M2ME通过标准的GSM/UMTS原则来解码网络信息并且附着到任意一个VNO;
具体为,M2ME通过TRE与拜访网络运营商建立初始连接,即,M2ME通过TRE向VNO发送附着消息,其中携带M2ME的一个临时连接身份标识(PCID,Provisional Connectivity ID);
步骤302:VNO收到M2ME的PCID后,与RO建立连接,并将PCID发送给RO(ICF功能)。在某些情况下,RO可以位于VNO。
步骤303:RO(ICF功能)收到M2ME的PCID之后,针对该PCID生成一组认证向量(AVs)。
步骤304:RO将生成的认证向量(AVs)发送给VNO。
步骤305:VNO使用认证向量对PCID/M2ME进行认证,可以但不限于采用AKA(认证和密钥协商)认证。
步骤306:认证成功后,VNO为M2ME提供到RO的IP连接,即为M2ME分配IP地址,并将分配的IP地址发送至M2ME。
步骤307:M2ME通过VNO网络提供的IP连接与RO连接。
步骤308:RO帮助M2ME发现其SHO,或者,RO自己为M2ME发现其SHO。
该步骤中,RO在发现M2ME的SHO前需要先获知M2ME的SHO,M2ME可以是在与RO建立连接后将其签约用户选择的SHO的信息发送至RO(SHO的信息可以是SHO的名称等)。SHO的发现过程可以但不限于使用OMA(Open Mobile Alliance,开放的移动联盟)BOOTSTRAP(Bootstrap Protocol,引导协议)。
步骤309:RO与SHO建立连接,并在SHO注册要连接SHO网络的M2ME。
步骤310:SHO请求PVA(或SHO通过RO请求PVA)验证M2ME的真实性和完整性。
SHO通过RO请求PVA是指,SHO通知RO对M2ME进行验证,RO收到该通知后请求PVA验证M2ME的真实性和完整性。
步骤311:PVA验证M2ME的真实性和完整性。
步骤312:PVA将验证结果发送给SHO。
步骤313:如果验证成功,SHO通知RO(DPF功能)对M2ME验证成功,并授权RO(DPF功能)提供MCIM应用给M2ME。
步骤314:RO(DPF功能)下载MCIM应用到M2ME。
步骤315:M2ME将下载的MCIM应用安装到UICC。
步骤316:M2ME向RO(DPF功能)报告供应MCIM成功/失败状态信息。
步骤317:RO(DPF功能)向SHO报告供应MCIM成功/失败状态信息。