CN103107878A - 移动用户身份识别卡与机器类通信设备绑定的方法及装置 - Google Patents
移动用户身份识别卡与机器类通信设备绑定的方法及装置 Download PDFInfo
- Publication number
- CN103107878A CN103107878A CN2011103619433A CN201110361943A CN103107878A CN 103107878 A CN103107878 A CN 103107878A CN 2011103619433 A CN2011103619433 A CN 2011103619433A CN 201110361943 A CN201110361943 A CN 201110361943A CN 103107878 A CN103107878 A CN 103107878A
- Authority
- CN
- China
- Prior art keywords
- uicc
- mtc equipment
- mtc
- binding relationship
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/88—Medical equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种用于UICC卡和MTC设备绑定的方法和装置,用于解决在使用GBA-U方法实现MTC设备与UICC之间的绑定时,绑定关系受预共享密钥Ks_local的生命周期限制的技术问题。本发明在UICC上建立MTC设备与UICC的绑定关系后,当存储于UICC与MTC设备上的共享密钥过期时,UICC与MTC设备可以基于建立的绑定关系,通过GBA-U过程重新建立共享密钥Ks-local,从而使得UICC与MTC设备之间的绑定关系不受共享密钥Ks-local生命周期的限制。
Description
技术领域
本发明涉及移动通信系统和机器类通信(Machine Type Communication,MTC)技术,尤其涉及一种移动用户身份识别卡UICC(Universal IntegratedCircuit Card)与MTC设备绑定的方法及装置。
背景技术
机器类通信是指应用无线通信技术,实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。MTC有两层含义:第一层是机器本身,在嵌入式领域称为智能设备。第二层意思是机器和机器之间的连接,通过网络把机器连接在一起。机器类通信的应用范围非常广泛,例如智能测量、远程监控、跟踪、医疗等,使人类生活更加智能化。与传统的人与人之间的通信相比,MTC设备(MTC Device)数量巨大,应用领域广泛,具有巨大的市场前景。
在MTC通信中,主要的远距离连接技术包括全球移动通信系统GSM/通用分组无线业务GPRS/通用移动通信系统UMTS,近距离连接技术主要有802.11b/g、蓝牙、Zigbee、射频识别RFID等。由于MTC整合了无线通信和信息技术,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此可实现不同的应用方案,如安全监测、自动售货、货物跟踪等。几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。MTC提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。
机器类通信的系统架构示例如图1所示,其中MTC设备(MTC Device)通过移动通信网络与MTC服务器(MTC Server)进行通信。
在3GPP系统中,UICC卡与终端之间可以使用GBA过程建立共享密钥,用于UICC与终端之间建立安全连接,并进行安全通信。UICC与终端之间建立的安全连接可以用于对终端和UICC进行绑定。在3GPP中实现UICC与终端绑定的方法也可以用于MTC系统中UICC与MTC设备之间的绑定。GBA是指通用引导架构(Generic Bootstrapping Architecture),GBA体系架构定义了一种在终端和服务器之间的通用的密钥协商机制。图2描述了GBA体系架构的网络模型,以及这些网元实体间的参考点描述。
1)用户设备(User Equipment,UE):UE是终端设备(如手机)和用户识别模块SIM/通用用户识别模块USIM卡的总称,这里的终端可以是插卡的移动终端(如手机等),也可以是插卡的固定终端(如机顶盒等);
2)网络应用功能(Network Application Function,NAF):即指应用服务器,实现应用的业务逻辑功能,在完成对终端的认证后为终端提供业务服务;
3)引导服务功能(Bootstrapping Server Function,BSF):BSF是GBA的核心网元,BSF和UE通过AKA协议实现认证,并且协商出随后用于UE和NAF间通信的会话密钥,BSF能够根据本地策略设定密钥的生命期;
4)归属用户系统(Home Subscriber System,HSS):存储了终端(U)SIM卡中的鉴权数据,如SIM卡中的Ki等;
5)用户位置功能(Subscriber Locator Function,SLF):BSF通过查询SLF获得存储相关用户数据的HSS名称。在单一HSS环境中并不需要SLF。另外,当BSF配置成使用预先指定的HSS时,也不要求使用SLF。
在MTC系统中,由于MTC设备需要在无人干预的情况下进行通信,在使用过程中,MTC设备上的UICC可能被非法用户使用,因此,需要对UICC与MTC设备进行绑定,以避免UICC用于非法的MTC设备。
目前3GPP网络支持在预共享密钥的方式下,建立UICC与终端之间安全连接,通过安全连接实现对UICC与终端之间的绑定。3GPP定义的一种预共享密钥方式是基于GBA-U(GBA with UICC-based enhancements,基于UICC增强的通用引导架构)方式建立UICC与终端之间的预共享密钥Ks_local,并用Ks_local建立UICC与终端之间的安全连接。以GBA-U方式建立的UICC与终端之间的绑定关系受到Ks_local的生命周期等因素的限制,使得UICC与终端之间建立的绑定关系只能在Ks_local的生命周期内有效。在MTC系统中,如果采用GBA-U方式建立UICC与MTC设备之间的绑定关系,则在Ks_local的生命周期结束后,UICC与MTC设备之间的限制关系则会失去作用,UICC就可能被用于其他非法MTC设备。
因此,对于3GPP网络和MTC系统来说,在使用GBA-U方法实现MTC设备与UICC之间的绑定的情况下,如何避免建立的绑定关系不受Ks_local的生命周期限制是需要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种用于UICC卡和MTC设备绑定的方法和装置,用于解决在使用GBA-U方法实现MTC设备与UICC之间的绑定时,绑定关系受预共享密钥Ks_local的生命周期限制的技术问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种移动用户身份识别卡与机器类通信设备绑定的方法,该方法包括:
当机器类通信MTC设备与移动用户身份识别卡UICC之间需要进行安全通信时,MTC设备检查MTC设备和UICC上是否有共享密钥Ks_local,当MTC设备和UICC上没有共享密钥Ks_local时,MTC设备启动基于UICC增强的通用引导架构GBA-U的共享密钥Ks_local建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
进一步地,所述方法还包括:
在MTC设备检测到MTC设备和UICC上有共享密钥Ks_local时,MTC设备向UICC发送一个请求,以检查UICC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在UICC上可用的信息,如果UICC没有所要求的可用Ks_local,则MTC设备启动所述基于GBA-U的密钥建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
进一步地,所述建立UICC与MTC设备之间的绑定关系的步骤具体为:
MTC设备向UICC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;
当UICC依据MTC设备的身份相关信息判定在UICC上未存储UICC与MTC设备的绑定关系时,UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local,并在UICC上存储UICC与MTC设备的绑定关系,以实现UICC与MTC设备之间的绑定。
进一步地,所述UICC与MTC设备之间的绑定关系指UICC与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC的身份标识ICCID与MTC设备的身份标识Terminal_ID的对应关系来表示。
进一步地,所述UICC与MTC设备之间的绑定关系指UICC上的USIM与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。
进一步地,所述UICC与MTC设备之间的绑定关系指UICC上应用与MTC设备上应用之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC上的应用身份标识UICC_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC的身份标识ICCID及UICC上的应用身份标识UICC_appli_ID与MTC设备身份标识Terminal_ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC上的USIM的身份信息IMSI及UICC上的应用身份标识UICC_appli_ID与MTC设备身份信息IMEI或IMEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。
进一步地,所述UICC与MTC设备之间的绑定关系指UICC与一个或多个MTC设备之间的绑定关系,当UICC与多个MTC设备绑定时,指UICC上的USIM与多个MTC设备有关联关系,或指UICC上的应用与多个MTC设备上的应用有关联关系。
进一步地,所述UICC与MTC设备的对应关系存储在UICC上的关联关系表中。
进一步地,当UICC上无UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空时,则UICC判定在UICC上未存储UICC与MTC设备的对应关系。
进一步地,所述方法还包括:
当UICC上存储有UICC与MTC设备的关联关系表,且UICC与MTC设备的关联关系表不为空表时,如果MTC设备需要与UICC通过GBA-U方式建立共享密钥,则UICC需要通过存储的绑定关系判断MTC设备是否是UICC受限使用的MTC设备,如果MTC设备是UICC受限使用的MTC设备,则MTC设备与UICC通过GBA-U方式建立共享密钥,如果MTC设备不是UICC受限使用的MTC设备,则UICC拒绝MTC设备建立共享密钥Ks-local的请求。
进一步地,所述UICC与MTC设备的绑定关系由用户通过安全方式直接对UICC存储的关联关系表进行设置并更新;或通过无线下载OTA的方式对存储在UICC卡上的UICC与MTC设备的绑定关系进行设置和更新。
本发明还提供一种移动用户身份识别卡UICC与机器类通信MTC设备绑定的装置,该装置包括:
检查模块,用于在MTC设备与UICC之间需要进行安全通信时,检查MTC设备和UICC上是否有合法的共享密钥Ks_local;
绑定模块,用于在MTC设备和UICC上没有合法的共享密钥Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
进一步地,所述装置还包括:
可用密钥检查模块,用于在检测到MTC设备和UICC上有合法的共享密钥Ks_local时,向UICC发送一个请求,以检查UICC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在UICC上可用的信息;
所述绑定模块还用于在UICC没有所要求的可用Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,建立UICC与MTC设备之间的绑定关系。
进一步地,所述绑定模块包括:
请求模块,用于向UICC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;
绑定关系判断模块,用于依据MTC设备的身份相关信息判断在UICC上是否存储了UICC与MTC设备之间的绑定关系;
密钥建立模块,用于在UICC上未存储UICC与MTC设备之间的绑定关系时,通过GBA-U过程为UICC与MTC设备建立共享密钥Ks_local;
绑定关系存储模块,用于在UICC上存储UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
进一步地,所述绑定关系存储模块使用关联关系表在UICC上存储UICC与MTC设备的对应关系。
进一步地,当UICC上无UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空时,则所述绑定判断模块判定在UICC上未存储UICC与MTC设备的对应关系。
进一步地,当UICC上存储有UICC与MTC设备的关联关系表,且UICC与MTC设备的关联关系表不为空表时,如果MTC设备需要与UICC通过GBA-U方式建立共享密钥,则所述绑定判断模块还用于通过存储的绑定关系判断MTC设备是否是UICC受限使用的MTC设备;
所述密钥建立模块还用于在MTC设备是UICC受限使用的MTC设备时,通过GBA-U方式建立MTC设备与UICC之间的共享密钥Ks-local;在MTC设备不是UICC受限使用的MTC设备时,拒绝建立MTC设备与UICC之间的共享密钥Ks-local。
有益效果:在UICC上建立MTC设备与UICC的绑定关系后,当存储于UICC与MTC设备上的共享密钥过期时,UICC与MTC设备可以基于建立的绑定关系,通过GBA-U过程重新建立共享密钥Ks-local。从而使得UICC与MTC设备之间的绑定关系不受共享密钥Ks-local生命周期的限制。
附图说明
图1为机器类通信的系统架构图;
图2为GBA体系架构的网络模型;
图3为本发明MTC设备与UICC通过基于GBA-U的方式建立MTC设备与UICC之间共享密钥的网络模型图;
图4为本发明实施例提供的UICC与MTC设备绑定流程示意图;
图5为本发明实施例提供的UICC与MTC设备共享密钥建立流程示意图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
本发明中,MTC设备是指移动通信网络中用于机器到机器通信的设备,移动用户身份识别卡UICC安装在MTC设备上。用户身份识别模块(如用户标识模块SIM、通用用户标识模块USIM及IP多媒体业务标识模块ISIM等)位于UICC上。移动服务功能BSF和MTC设备通过认证与密钥协商协议AKA实现认证,BSF能够根据本地策略设定密钥的生命期;网络应用功能NAF负责UICC与MTC设备之间的密钥建立过程,本发明中,NAF是指用于建立MTC设备与UICC之间共享密钥的密钥中心,它可以位于移动通信网络中,也可以位于移动通信网络之外。如图3所示,本发明中,MTC设备与UICC通过基于GBA-U的方式建立MTC设备与UICC之间的共享密钥Ks_local。
在本发明中,UICC上未存储UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空表时,UICC可以与任何MTC设备通过GBA-U方式建立共享密钥,然后在UICC上建立UICC与MTC设备的绑定关系并将绑定关系保存到UICC与MTC设备的关联关系表中,以实现UICC与MTC设备的绑定,以限制UICC用于特定的MTC设备。
在本发明中,UICC与MTC设备之间的绑定关系,具体的可以是指UICC与MTC设备之间的关联关系。这种情况下,UICC与MTC设备之间的绑定关系可以用UICC的身份标识ICCID与MTC设备的身份标识(Terminal_ID)的对应关系来表示。
在本发明中,UICC与MTC设备之间的绑定关系,具体的也可以是指UICC上USIM与MTC设备的关联关系。这时,UICC与MTC设备之间的绑定关系可以用UICC上的USIM身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。所述USIM的身份相关信息可以为国际移动用户识别码IMSI,所述MTC设备的身份相关信息可以为国际移动设备身份码IMEI或国际移动设备身份码及软件版本IMEISV。
在本发明中,UICC与MTC设备之间的绑定关系,具体的也可以是指UICC上应用与MTC设备上应用的关联关系。这时,UICC与MTC设备之间的绑定关系可以用UICC上的应用身份标识(UICC_appli_ID)与MTC设备上的应用身份标识(Terminal_appli_ID)之间的对应关系来表示;或者可以用UICC的身份标识ICCID及UICC上的应用身份标识(UICC_appli_ID)与MTC设备身份标识(Terminal_ID)及MTC设备上的应用身份标识(Terminal_appli_ID)之间的对应关系来表示;或者可以用UICC上的USIM的身份信息IMSI及UICC上的应用身份标识(UICC_appli_ID)与MTC设备身份信息(IMEI或IMEISV)及MTC设备上的应用身份标识(Terminal_appli_ID)之间的对应关系来表示;
在本发明中UICC可以与一个MTC设备绑定,也可以与多个MTC设备绑定。当UICC与多个MTC设备绑定时,具体的可以是指UICC上的USIM与多个MTC设备有关联关系,即USIM的身份相关信息可以同时与多个MTC设备的身份信息存在对应关系。当UICC与多个MTC设备绑定时,具体的也可以是指UICC上的应用与多个MTC设备上的应用有关联关系。
在本发明中MTC设备可以与一个UICC绑定,也可以与多个UICC绑定。
在本发明中,UICC与MTC设备的绑定关系存储在UICC上的关联关系表中,如将与UICC有关联关系的MTC设备身份信息存储在UICC上的受限设备列表中。
本发明实施例中仅以3GPP网络为例进行说明,但这不应理解为限制于3GPP网络,本发明提供的方法及装置同样适用于其它通信网络。
图4为本发明实施例提供的UICC与MTC设备绑定流程示意图,如图4所示,UICC与MTC设备绑定的流程包括以下步骤:
步骤400:MTC设备向UICC发送请求信息,以至少获取当前的B-TID和密钥生命周期等信息。请求信息中包含MTC设备的身份相关信息,MTC设备的身份相关信息包含MTC设备身份标识(Terminal_ID),或者MTC设备身份信息(IMEI或IMEISV),并可进一步包括MTC设备上的应用身份标识(Terminal_appli_ID)等信息。
步骤401:UICC确定在UICC上无UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空。
步骤402:UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local。
步骤403:UICC将UICC与MTC设备之间的对应关系存储在UICC上的关联关系表中,即在UICC上存储UICC与MTC设备之间的绑定关系。
在本发明中,UICC与MTC设备的绑定关系可以预置在UICC上。
在本发明中,当UICC与MTC设备的绑定关系建立起来后,可以由用户通过安全方式直接对UICC存储的关联关系表进行设置并更新。
在本发明中,当UICC与MTC设备的绑定关系建立起来后,系统可以通过空中下载(Over The Air,OTA)的方式对存储在UICC卡上的UICC与MTC设备的关联关系表进行设置和更新。
在MTC设备启动基于GBA-U的共享密钥(Ks_local)建立过程之前,当MTC设备与UICC之间需要进行安全通信时,MTC设备与UICC需要有共享密钥Ks_local,为此MTC设备需要检查MTC设备和UICC上是否有合法的Ks_local,如果没有,则启动基于GBA-U的共享密钥Ks_local建立过程。
图5是基于本发明的UICC与MTC设备共享密钥建立流程示意图,如图5所示,UICC与MTC设备基于GBA-U方式建立共享密钥Ks_local的流程包括:
步骤500:MTC设备检查其是否已经存储了一个合法的Ks_local用于与UICC进行通信。如果MTC设备上没有合法的Ks_local,则转到步骤502,MTC设备启动基于GBA-U的密钥建立过程。如果MTC设备上保存有合法的Ks_local,则执行步骤501;
步骤501:MTC设备向UICC发送一个请求,以检查UICC上是否有可用的Ks_local。UICC反馈所要求的Ks_local是否在UICC上可用。如果UICC上有所要求的可用Ks_local,则在MTC设备与UICC之间有合法的共享密钥Ks_local。如果UICC没有所要求的可用Ks_local,则执行步骤502;
步骤502:MTC设备向UICC发送请求信息,以获取当前的B-TID和密钥生命周期等信息。请求信息中包括MTC设备的身份相关信息,MTC设备的身份相关信息包括MTC设备身份标识(Terminal_ID),或者MTC设备身份信息(IMEI或IMEISV),并可进一步包括MTC设备上的应用身份标识(Terminal_appli_ID)等信息。
步骤503:UICC根据保存的UICC与MTC设备关联关系表,及收到的MTC设备身份信息,检查MTC设备是否是UICC绑定的MTC设备。如果MTC设备不是UICC绑定的MTC设备,则UICC拒绝MTC设备的请求。如果MTC设备是UICC绑定的MTC设备,则执行步骤504;
步骤504:UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local;
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (19)
1.一种移动用户身份识别卡与机器类通信设备绑定的方法,其特征在于,
当机器类通信MTC设备与移动用户身份识别卡UICC之间需要进行安全通信时,MTC设备检查MTC设备和UICC上是否有共享密钥Ks_local,当MTC设备和UICC上没有共享密钥Ks_local时,MTC设备启动基于UICC增强的通用引导架构GBA-U的共享密钥Ks_local建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在MTC设备检测到MTC设备和UICC上有共享密钥Ks_local时,MTC设备向UICC发送一个请求,以检查UICC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在UICC上可用的信息,如果UICC没有所要求的可用Ks_local,则MTC设备启动所述基于GBA-U的密钥建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
3.根据权利要求2所述的方法,其特征在于,所述建立UICC与MTC设备之间的绑定关系具体为:
MTC设备向UICC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;
当UICC依据MTC设备的身份相关信息判定在UICC上未存储UICC与MTC设备的绑定关系时,UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local,并在UICC上存储UICC与MTC设备的绑定关系,以实现UICC与MTC设备之间的绑定。
4.根据权利要求3所述的方法,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC的身份标识ICCID与MTC设备的身份标识Terminal_ID的对应关系来表示。
5.根据权利要求3所述的方法,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC上的通用用户识别模块USIM与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。
6.根据权利要求3所述的方法,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC上应用与MTC设备上应用之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC上的应用身份标识UICC_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC的身份标识ICCID及UICC上的应用身份标识UICC_appli_ID与MTC设备身份标识Terminal_ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC上的USIM的身份信息国际移动用户识别码IMSI及UICC上的应用身份标识UICC_appli_ID与MTC设备身份信息国际移动设备身份码IMEI或国际移动设备身份码及软件版本IMEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。
7.根据权利要求1所述的方法,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC与一个或多个MTC设备之间的绑定关系,当UICC与多个MTC设备绑定时,指UICC上的USIM与多个MTC设备有关联关系,或指UICC上的应用与多个MTC设备上的应用有关联关系。
8.根据权利要求1至7任一项所述的方法,其特征在于,
所述UICC与MTC设备的对应关系存储在UICC上的关联关系表中。
9.根据权利要求8所述的方法,其特征在于,
当UICC上无UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空时,则UICC判定在UICC上未存储UICC与MTC设备的对应关系。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
当UICC上存储有UICC与MTC设备的关联关系表,且UICC与MTC设备的关联关系表不为空表时,如果MTC设备需要与UICC通过GBA-U方式建立共享密钥,则UICC需要通过存储的绑定关系判断MTC设备是否是UICC受限使用的MTC设备,如果MTC设备是UICC受限使用的MTC设备,则MTC设备与UICC通过GBA-U方式建立共享密钥,如果MTC设备不是UICC受限使用的MTC设备,则UICC拒绝MTC设备建立共享密钥Ks-local的请求。
11.根据权利要求8所述的方法,其特征在于,
所述UICC与MTC设备的绑定关系由用户通过安全方式直接对UICC存储的关联关系表进行设置并更新;或通过无线下载OTA的方式对存储在UICC卡上的UICC与MTC设备的绑定关系进行设置和更新。
12.一种移动用户身份识别卡UICC与机器类通信MTC设备绑定的装置,其特征在于,该装置包括:
检查模块,用于在MTC设备与UICC之间需要进行安全通信时,检查MTC设备和UICC上是否有合法的共享密钥Ks_local;
绑定模块,用于在MTC设备和UICC上没有合法的共享密钥Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,在UICC上建立UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
可用密钥检查模块,用于在检测到MTC设备和UICC上有合法的共享密钥Ks_local时,向UICC发送一个请求,以检查UICC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在UICC上可用的信息;
所述绑定模块还用于在UICC没有所要求的可用Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,建立UICC与MTC设备之间的绑定关系。
14.根据权利要求12所述的装置,其特征在于,所述绑定模块包括:
请求模块,用于向UICC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;
绑定关系判断模块,用于依据MTC设备的身份相关信息判断在UICC上是否存储了UICC与MTC设备之间的绑定关系;
密钥建立模块,用于在UICC上未存储UICC与MTC设备之间的绑定关系时,通过GBA-U过程为UICC与MTC设备建立共享密钥Ks_local;
绑定关系存储模块,用于在UICC上存储UICC与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。
15.根据权利要求14所述的装置,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC的身份标识ICCID与MTC设备的身份标识Terminal_ID的对应关系来表示;或
所述UICC与MTC设备之间的绑定关系指UICC上的USIM与MTC设备之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC上的通用用户标识模块USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表示;或
所述UICC与MTC设备之间的绑定关系指UICC上应用与MTC设备上应用之间的关联关系,所述UICC与MTC设备之间的绑定关系通过UICC上的应用身份标识UICC_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC的身份标识ICCID及UICC上的应用身份标识UICC_appli_ID与MTC设备身份标识Terminal_ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC上的USIM的身份信息IMSI及UICC上的应用身份标识UICC_appli_ID与MTC设备身份信息IMEI或IMEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。
16.根据权利要求12所述的装置,其特征在于,
所述UICC与MTC设备之间的绑定关系指UICC与一个或多个MTC设备之间的绑定关系,当UICC与多个MTC设备绑定时,指UICC上的USIM与多个MTC设备有关联关系,或指UICC上的应用与多个MTC设备上的应用有关联关系。
17.根据权利要求14所述的装置,其特征在于,
所述绑定关系存储模块使用关联关系表在UICC上存储UICC与MTC设备的对应关系。
18.根据权利要求17所述的装置,其特征在于,
当UICC上无UICC与MTC设备的关联关系表,或UICC与MTC设备的关联关系表为空时,则所述绑定判断模块判定在UICC上未存储UICC与MTC设备的对应关系。
19.根据权利要求17所述的装置,其特征在于,
当UICC上存储有UICC与MTC设备的关联关系表,且UICC与MTC设备的关联关系表不为空表时,如果MTC设备需要与UICC通过GBA-U方式建立共享密钥,则所述绑定判断模块还用于通过存储的绑定关系判断MTC设备是否是UICC受限使用的MTC设备;
所述密钥建立模块还用于在MTC设备是UICC受限使用的MTC设备时,通过GBA-U方式建立MTC设备与UICC之间的共享密钥Ks-local;在MTC设备不是UICC受限使用的MTC设备时,拒绝建立MTC设备与UICC之间的共享密钥Ks-local。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110361943.3A CN103107878B (zh) | 2011-11-15 | 2011-11-15 | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 |
EP12848812.9A EP2744250B1 (en) | 2011-11-15 | 2012-01-16 | Method and apparatus for binding universal integrated circuit card and machine type communication device |
PCT/CN2012/070415 WO2013071707A1 (zh) | 2011-11-15 | 2012-01-16 | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 |
US14/344,882 US9351159B2 (en) | 2011-11-15 | 2012-01-16 | Method and apparatus for binding universal integrated circuit card and machine type communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110361943.3A CN103107878B (zh) | 2011-11-15 | 2011-11-15 | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103107878A true CN103107878A (zh) | 2013-05-15 |
CN103107878B CN103107878B (zh) | 2017-10-03 |
Family
ID=48315465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110361943.3A Expired - Fee Related CN103107878B (zh) | 2011-11-15 | 2011-11-15 | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9351159B2 (zh) |
EP (1) | EP2744250B1 (zh) |
CN (1) | CN103107878B (zh) |
WO (1) | WO2013071707A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104581686A (zh) * | 2013-10-15 | 2015-04-29 | 宏碁股份有限公司 | 进行用户识别模块/全球用户识别模块个人化的方法 |
WO2015180243A1 (zh) * | 2014-05-27 | 2015-12-03 | 中兴通讯股份有限公司 | 一种智能卡动态绑定方法、设备和系统 |
WO2016155112A1 (zh) * | 2015-04-03 | 2016-10-06 | 宇龙计算机通信科技(深圳)有限公司 | 一种物联网设备的认证方法及终端 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10154017B2 (en) * | 2015-04-30 | 2018-12-11 | Mcafee, Llc | Device pairing in a local network |
CN109660979B (zh) * | 2017-10-11 | 2022-04-29 | 中国移动通信有限公司研究院 | 物联网空中开卡方法及装置、计算设备和存储介质 |
CN112449341B (zh) * | 2019-08-29 | 2022-08-09 | 华为云计算技术有限公司 | IoT设备数据管理方法、装置和系统 |
GB2588761B (en) * | 2019-10-30 | 2022-03-02 | Arm Cloud Services Ltd | System and method for performing identity management |
EP4247035A1 (de) * | 2022-03-17 | 2023-09-20 | Siemens Aktiengesellschaft | Vorrichtung mit einem mobilfunkmodul und einem iot-gerät und verfahren zum betrieb der vorrichtung |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1826788A (zh) * | 2003-07-23 | 2006-08-30 | 创道软件有限公司 | 动态绑定订户识别模块(sim)/用户识别模块(uim)和便携式通信装置 |
CN101822082A (zh) * | 2007-10-05 | 2010-09-01 | 交互数字技术公司 | 用于uicc和终端之间安全信道化的技术 |
US20110077051A1 (en) * | 2009-09-25 | 2011-03-31 | At&T Intellectual Property I, L.P. | UICC Control Over Devices Used to Obtain Service |
CN102026241A (zh) * | 2009-09-10 | 2011-04-20 | 华为技术有限公司 | 业务检测方法及核心网设备、检测设备 |
CN102075909A (zh) * | 2009-11-23 | 2011-05-25 | 中兴通讯股份有限公司 | 一种imsi与imei绑定关系的校验方法和装置 |
CN102083212A (zh) * | 2010-04-30 | 2011-06-01 | 大唐移动通信设备有限公司 | 一种标识终端的方法、系统和装置 |
CN102238534A (zh) * | 2011-07-15 | 2011-11-09 | 电信科学技术研究院 | 终端标识通知及维护方法和设备 |
-
2011
- 2011-11-15 CN CN201110361943.3A patent/CN103107878B/zh not_active Expired - Fee Related
-
2012
- 2012-01-16 WO PCT/CN2012/070415 patent/WO2013071707A1/zh active Application Filing
- 2012-01-16 EP EP12848812.9A patent/EP2744250B1/en not_active Not-in-force
- 2012-01-16 US US14/344,882 patent/US9351159B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1826788A (zh) * | 2003-07-23 | 2006-08-30 | 创道软件有限公司 | 动态绑定订户识别模块(sim)/用户识别模块(uim)和便携式通信装置 |
CN101822082A (zh) * | 2007-10-05 | 2010-09-01 | 交互数字技术公司 | 用于uicc和终端之间安全信道化的技术 |
CN102026241A (zh) * | 2009-09-10 | 2011-04-20 | 华为技术有限公司 | 业务检测方法及核心网设备、检测设备 |
US20110077051A1 (en) * | 2009-09-25 | 2011-03-31 | At&T Intellectual Property I, L.P. | UICC Control Over Devices Used to Obtain Service |
CN102075909A (zh) * | 2009-11-23 | 2011-05-25 | 中兴通讯股份有限公司 | 一种imsi与imei绑定关系的校验方法和装置 |
CN102083212A (zh) * | 2010-04-30 | 2011-06-01 | 大唐移动通信设备有限公司 | 一种标识终端的方法、系统和装置 |
CN102238534A (zh) * | 2011-07-15 | 2011-11-09 | 电信科学技术研究院 | 终端标识通知及维护方法和设备 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104581686A (zh) * | 2013-10-15 | 2015-04-29 | 宏碁股份有限公司 | 进行用户识别模块/全球用户识别模块个人化的方法 |
WO2015180243A1 (zh) * | 2014-05-27 | 2015-12-03 | 中兴通讯股份有限公司 | 一种智能卡动态绑定方法、设备和系统 |
US10356602B2 (en) | 2014-05-27 | 2019-07-16 | Zte Corporation | Method, device, and system for dynamically binding a smart card |
WO2016155112A1 (zh) * | 2015-04-03 | 2016-10-06 | 宇龙计算机通信科技(深圳)有限公司 | 一种物联网设备的认证方法及终端 |
Also Published As
Publication number | Publication date |
---|---|
EP2744250A4 (en) | 2015-04-15 |
US20140302816A1 (en) | 2014-10-09 |
WO2013071707A1 (zh) | 2013-05-23 |
EP2744250A1 (en) | 2014-06-18 |
CN103107878B (zh) | 2017-10-03 |
EP2744250B1 (en) | 2017-11-29 |
US9351159B2 (en) | 2016-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103108311B (zh) | 一种mtc设备与uicc绑定的方法、装置及系统 | |
CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
CN103107878A (zh) | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 | |
US9241260B2 (en) | Key sharing method and system for machine type communication (MTC) server | |
CN103329585B (zh) | 用于在终端间转移订阅信息的方法 | |
CN102469455B (zh) | 基于通用引导架构的机器类通信设备分组管理方法及系统 | |
CN102036222A (zh) | 一种m2m设备归属网络运营商变更的方法和系统 | |
CN105228125A (zh) | 一种智能卡动态绑定方法、设备和系统 | |
CN102572818B (zh) | 一种mtc组设备的应用密钥管理方法及系统 | |
CN102076124B (zh) | 一种变更签约数据的系统、方法及设备 | |
US10425812B2 (en) | Method and apparatus for establishment of private communication between devices | |
CN104735606A (zh) | 基于可穿戴设备的通信方法及系统 | |
CN102209317A (zh) | 提供签约数据的方法及系统 | |
CN102869015B (zh) | 一种mtc设备触发的方法和系统 | |
CN102026193A (zh) | 向机器到机器设备提供机器通信身份模块的系统及方法 | |
CN103227991A (zh) | Mtc设备的触发方法、装置及系统 | |
US9525980B2 (en) | Method and system for triggering terminal group | |
CN102025496A (zh) | 向机器到机器设备提供机器通信身份模块的系统及方法 | |
CN101772218A (zh) | 手机通信方法和采用该方法的系统 | |
CN114760711A (zh) | 门锁接入物联网平台方法、装置、存储介质及终端设备 | |
CN103391523A (zh) | 机器类通信设备及其短信处理方法、机器类通信系统 | |
CN102571415A (zh) | 软件及应用控制管理对象客户端中处理存取控制的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171003 Termination date: 20201115 |
|
CF01 | Termination of patent right due to non-payment of annual fee |