CN103108311B - 一种mtc设备与uicc绑定的方法、装置及系统 - Google Patents
一种mtc设备与uicc绑定的方法、装置及系统 Download PDFInfo
- Publication number
- CN103108311B CN103108311B CN201110356685.XA CN201110356685A CN103108311B CN 103108311 B CN103108311 B CN 103108311B CN 201110356685 A CN201110356685 A CN 201110356685A CN 103108311 B CN103108311 B CN 103108311B
- Authority
- CN
- China
- Prior art keywords
- uicc
- mtc device
- binding relationship
- identity information
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种MTC设备与UICC绑定的方法,所述方法包括:在共享密钥的建立过程中,应用服务器NAF获取MTC设备的身份信息、以及UICC的身份信息;NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到自身存储的绑定关系表中。本发明还公开了用于MTC设备与UICC绑定的装置及系统,以及一种MTC设备与UICC之间建立共享密钥的方法和系统,使得采用GBA‑U方法实现MTC设备与UICC之间的绑定时绑定关系不会受到共享密钥生命周期的限制,从而能够实时确保MTC设备与UICC的使用安全。
Description
技术领域
本发明涉及移动通信系统和机器类通信(MTC,Machine Type Communication)技术,特别地,涉及一种MTC设备与通用集成电路卡(UICC,Universal Integrated CircuitCard)绑定的方法、装置及系统。
背景技术
MTC是实现机器与机器、机器与人之间的数据通信和交流的应用无线通信技术,MTC应用范围非常广泛,例如智能测量、远程监控、跟踪、医疗等。与传统的人与人之间的通信相比,MTC中用于机器到机器通信的设备,即MTC设备(MTC Device)数量巨大,应用领域广泛,具有巨大的市场前景。
MTC中主要的远距离连接技术包括全球移动通信系统(GSM,Global System forMobile communications)/通用分组无线服务技术(GPRS,General Packet RadioService)/通用移动通信系统(UMTS,Universal Mobile Telecommunications System),近距离连接技术主要有802.11b/g、蓝牙、紫蜂(Zigbee)、射频识别(RFID,Radio FrequencyIdentification)等。由于MTC整合了无线通信和信息技术,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此可实现不同的应用方案,如安全监测、自动售货、货物跟踪等。几乎所有日常生活中涉及到的设备都有可能成为MTC的潜在服务对象。MTC提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。
现有的MTC系统中,MTC设备通过第三代合作伙伴计划(3GPP,Third GenerationPartnership Projects)网络与MTC服务器(MTC Server)进行通信。
在3GPP系统中,UICC与终端之间可以使用通用引导架构(GBA,GenericBootstrapping Architecture)过程建立共享密钥,用于UICC与终端之间建立安全连接,并进行安全通信,UICC与终端之间的安全连接可以用于对终端和UICC进行绑定。GBA定义了一种在终端和服务器之间通用的密钥协商机制。如图1所示,描述了GBA及其各网元实体间的参考点描述。其中,用户设备(UE,User Equipment)是终端设备(如手机)和(U)SIM卡的总称,这里的终端可以是插卡的移动终端(如手机等),也可以是插卡的固定终端(如机顶盒等);应用服务器(NAF,Network Application Function)用于实现应用的业务逻辑功能,在完成对UE的认证后为UE提供业务服务;引导服务功能(BSF,Bootstrapping ServerFunction)是GBA的核心网元,BSF和UE通过认证与密钥协商协议(AKA,Authentication andKey Agreement)实现认证,并且协商出随后用于UE和NAF间通信的会话密钥,BSF能够根据本地策略设定密钥的生命周期;归属用户服务器(HSS,Home Subscriber Server)存储了UE中(U)SIM卡的鉴权数据,如SIM卡中的密钥Ki等;BSF通过查询签约位置功能(SLF,Subscriber Locator Function)获得存储相关用户数据的HSS的相关信息(如HSS的名称),在单一HSS环境中、或者当BSF配置成使用预先指定的HSS时,不需要SLF。
目前3GPP网络支持在共享密钥方式下,建立UICC与终端之间安全连接,通过安全连接实现对UICC与终端之间的绑定。3GPP定义的共享密钥方式主要是:通过基于UICC增强的GBA(GBA-U,GBA with UICC-based enhancements)方式建立UICC与终端之间的共享密钥Ks_local,再使用共享密钥Ks_local建立UICC与终端之间的安全连接。如此建立的UICC与终端之间的绑定只能在共享密钥Ks_local的生命周期内有效。
在MTC系统中,由于MTC设备需要在无人干预的情况下进行通信,在使用过程中,MTC设备可能被非法用户使用,因此,也需要将UICC与MTC设备绑定,以避免UICC和MTC设备被非法使用。在3GPP中实现UICC与终端绑定的方法也可以用于MTC系统中UICC与MTC设备之间的绑定。但在MTC系统中,以GBA-U方式建立的UICC与MTC设备之间的绑定关系只能在共享密钥Ks_local的生命周期内有效。在共享密钥Ks_local的生命周期结束后,UICC与MTC设备之间的绑定关系会失去作用,使得MTC设备有可能被其他非法用户使用,或者UICC被用于非法的MTC设备。
因此,对于3GPP网络和MTC系统来说,在使用GBA-U方法实现MTC设备与UICC之间的绑定时,如何避免建立的绑定关系不受共享密钥Ks_local生命周期的限制是需要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种MTC设备与UICC绑定的方法、装置及系统,解决MTC系统采用GBA-U方法实现MTC设备与UICC之间的绑定时绑定关系受共享密钥Ks_local生命周期限制的问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种机器类通信MTC设备与通用集成电路卡UICC绑定的方法,所述方法包括:
在共享密钥的建立过程中,应用服务器NAF获取MTC设备的身份信息、以及UICC的身份信息;
NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到自身存储的绑定关系表中。
在上述方案中,所述共享密钥的建立过程具体为:采用基于UICC增强的GBA(GBA-U)方式建立共享密钥的过程。
在上述方案中,所述NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,包括:
所述NAF根据所述UICC身份信息和所述MTC设备的身份信息,查询所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系。
在上述方案中,所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述建立所述MTC设备与所述UICC之间的绑定关系,包括:建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
在上述方案中,所述方法还包括:所述NAF根据用户需求对自身存储的绑定关系表进行更新。
本发明还提供了一种MTC设备与UICC之间建立共享密钥的方法,所述方法包括:
NAF接收到MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求;
NAF基于所述MTC设备的身份信息、以及UICC的身份信息,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系;
在所述MTC设备与UICC之间存在绑定关系时,NAF生成用于所述MTC设备与UICC之间安全通信的共享密钥,确定所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
本发明还提供了一种用于实现MTC设备与UICC绑定的装置,所述装置包括:获取单元、绑定单元和存储单元;其中,
获取单元,用于在共享密钥的建立过程中,获取MTC设备的身份信息、以及UICC的身份信息;
绑定单元,用于根据所述获取单元所获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到存储单元中的绑定关系表;
存储单元,用于保存所述绑定关系表。
在上述方案中,所述获取单元,具体用于在采用GBA-U方式建立共享密钥的过程中,获取MTC设备的身份信息、以及UICC的身份信息。
在上述方案中,所述绑定单元,具体用于:根据所述获取单元所获取UICC身份信息和所述MTC设备的身份信息,查询所述存储单元保存的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系。
在上述方案中,所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述绑定单元还用于建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
本发明还提供了一种用于实现MTC设备与UICC绑定的系统,所述系统包括:MTC设备、UICC和NAF,其中,NAF包括获取单元、绑定单元和存储单元;其中,
获取单元,用于在共享密钥的建立过程中,所述MTC设备从所述UICC获取UICC的身份信息后,从所述MTC设备中获取MTC设备的身份信息、以及UICC的身份信息;
绑定单元,用于根据所述获取单元所获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到存储单元中的绑定关系表;
存储单元,用于保存所述绑定关系表。
在上述方案中,所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述绑定单元还用于:建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
本发明还提供了一种用于实现MTC设备与UICC建立共享密钥的系统,所述系统包括:MTC设备、UICC和NAF;其中,
MTC设备,用于与所述UICC交互,启动共享密钥的建立,并从所述UICC中获取UICC的身份信息;
NAF,用于接收到所述MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求,基于所述MTC设备的身份信息、以及UICC的身份信息,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系;在所述MTC设备与UICC之间存在绑定关系时,生成用于所述MTC设备与UICC之间安全通信的共享密钥,得到所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
本发明提供的MTC设备与UICC绑定方法、装置及系统,NAF在共享密钥的建立过程中获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系并保存,实现UICC与MTC设备之间的绑定,限制UICC用于特定的MTC设备,使得采用GBA-U方法实现MTC设备与UICC之间的绑定时绑定关系不会受到共享密钥生命周期的限制,从而能够实时确保MTC设备与UICC的使用安全。
附图说明
图1为现有GBA的组成结构示意图;
图2为本发明MTC设备与UICC绑定方法的实现流程图;
图3为本发明实施例一中用于MTC设备与UICC绑定的系统的组成结构示意图;
图4为本发明实施例一中MTC设备与UICC绑定过程的流程示意图;
图5为本发明实施例一中MTC设备与UICC绑定后建立共享密钥的流程示意图。
具体实施方式
本发明的基本思想是:UICC与MTC设备建立共享密钥的过程中,在NAF上建立UICC与MTC设备的绑定关系并保存到绑定关系表中,实现UICC与MTC设备的绑定,以限制UICC用于特定的MTC设备。
本发明MTC设备与UICC绑定方法,如图2所示,主要可以包括如下步骤:
MTC设备与UICC建立共享密钥Ks_local的建立过程
步骤101:在共享密钥Ks_local的建立过程中,NAF获取MTC设备的身份信息、以及UICC的身份信息;
这里,共享密钥Ks_local的建立过程具体为:采用GBA-U方式建立共享密钥Ks_local的过程。
步骤102:NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到自身存储的绑定关系表中。
实际应用中,当MTC设备与UICC之间需要进行安全通信时,MTC设备与UICC之间不存在共享密钥Ks_local,则启动共享密钥Ks_local建立过程;在共享密钥Ks_local的建立过程中,NAF获取MTC设备的身份信息、以及UICC身份信息,并基于MTC设备的身份信息与UICC的身份信息,建立MTC设备与UICC的绑定关系并保存到所述绑定关系表中。
其中,所述建立所述MTC设备与所述UICC之间的绑定关系,具体可以是:建立所述MTC设备身份信息与所述UICC身份信息之间的关联关系。
这里,MTC设备的身份信息可以包括以下信息中的一种或多种:MTC设备的身份标识(Terminal_ID)、国际移动设备身份码(IMEI,International Mobile EquipmentIdentity)、IMEISV、应用身份标识(Terminal_appli_ID)等。
UICC的身份信息可以包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID,Integrate Circuit Card Identity)、UICC上USIM的身份信息(如USIM的国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number))、和UICC的应用身份标识(UICC_appli_ID)等信息。
这里,所述建立所述MTC设备与所述UICC之间的绑定关系,可以包括:建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
实际应用中,UICC与MTC设备的绑定关系还可以根据用户的需求进行更新。具体地,用户通过MTC设备登录到所述NAF上,向所述NAF发送更新请求,NAF判断所述更新请求有效时,按照所述更新请求对自身存储的绑定关系表进行更新。例如,当用户原有的MTC设备损坏或不在属于该用户时,用户可以通过登录所述NAF,向所述NAF发送更新请求,NAF判断所述更新请求有效时,按照所述更新请求对自身存储的对应于该用户的绑定关系表进行更新。
相应的,本发明还提供了一种MTC设备与UICC之间建立共享密钥的方法,该方法通过GBA-U方式实现,具体地,该方法包括:NAF接收到MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求后,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与UICC之间存在绑定关系时,生成共享密钥,确定所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
这里,如果MTC设备与其他UICC有绑定关系,和/或UICC与其他MTC设备存在绑定关系,则NAF拒绝MTC设备的请求。
相应的,本发明还提供了一种用于实现MTC设备与UICC绑定的装置,所述装置包括:获取单元、绑定单元和存储单元;其中,获取单元,用于在共享密钥的建立过程中,获取MTC设备的身份信息、以及UICC的身份信息;绑定单元,用于根据所述获取单元所获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到存储单元中的绑定关系表;存储单元,用于保存所述绑定关系表。
这里,所述获取单元,具体用于在采用GBA-U方式建立共享密钥的过程中,获取MTC设备的身份信息、以及UICC的身份信息。
这里,所述绑定单元,具体用于:根据所述获取单元所获取UICC身份信息和所述MTC设备的身份信息,查询所述存储单元保存的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系。具体地,所述绑定单元用于建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
本发明还提供了一种用于实现MTC设备与UICC绑定的系统,所述系统包括:上述的MTC设备、UICC和NAF。
此外,本发明还提供了一种用于实现MTC设备与UICC建立共享密钥的系统,所述系统可以包括:MTC设备、UICC和NAF;其中,MTC设备,用于与所述UICC交互,启动共享密钥的建立,并从所述UICC中获取UICC的身份信息;NAF,用于接收到所述MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求,基于所述MTC设备的身份信息、以及UICC的身份信息,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系;在所述MTC设备与UICC之间存在绑定关系时,生成用于所述MTC设备与UICC之间安全通信的共享密钥,得到所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
实际应用中,所述用于实现MTC设备与UICC绑定的系统、以及用于实现MTC设备与UICC建立共享密钥的系统可以是同一个系统。
实施例一
本实施例中,以3GPP网络为例说明UICC与MTC设备绑定的具体实现过程。
图3是本实施例中用于实现UICC与MTC设备绑定的系统的组成结构示意图,其中,所述系统包括:MTC设备、UICC和NAF,其中,UICC安装在MTC设备上,NAF负责UICC与MTC设备之间的密钥建立过程,MTC与UICC之间的绑定关系存储在NAF上。
实际应用中,所述系统还可以包括:BSF,所述NAF与BSF共同用于采用GBA-U方式实现UICC与MTC设备之间的共享密钥建立过程,具体地,BSF用于通过AKA协议对MTC设备进行认证,并能够根据本地策略设定共享密钥的生命周期。NAF是用于建立MTC设备与UICC之间共享密钥的密钥中心,它可以位于移动通信网络中,也可以位于移动通信网络之外。
其中,UICC上设置有用户身份识别模块。这里,用户身份识别模块可以是用户标识模块(SIM,Subscriber Identity Module)、通用用户标识模块(USIM,UniversalSubscriber Identity Module)或IP多媒体业务标识模块(ISIM,IP Multi Media ServiceIdentity Module)。
本实施例中,UICC与MTC设备绑定的具体实现流程,如图4所示,可以包括如下步骤:
步骤200:MTC设备检查自身是否存储有用于与UICC进行通信的合法共享密钥Ks_local,如果是,则继续步骤201,如果不是,则需要启动基于GBA-U的密钥建立过程,继续步骤202;
步骤201:MTC设备向UICC发送共享密钥Ks_local的检验请求,请求UICC检验其是否也有合法的共享密钥Ks_local,UICC接收到所述检验请求,检验自身是否有合法的共享密钥Ks_local,如果不是,则继续步骤202,如果是,则结束当前流程;
步骤202:MTC设备向UICC发送用于启动密钥建立过程的请求。
这里,所述用于启动密钥建立过程的请求中可以包括MTC设备的身份信息。其中,MTC设备的身份信息可以包括如下信息的一种或多种:MTC设备的身份标识、MTC设备的IMEI或IMEISV、MTC设备的应用身份标识等。
步骤203:UICC接收所述MTC设备所发送启动密钥建立过程的请求,启动GBA-U过程,生成中间密钥Ks_int_NAF、以及用于标识当前GBA-U过程的引导会话标识(B-TID,Bootstrapping Transaction Identifier),从自身存储的信息中或从BSF上获取NAF的NAF_ID,并向MTC设备反馈NAF_ID、B-TID以及自身的身份信息;
步骤204:MTC设备向UICC发送共享密钥生成指令,UICC接收到所述共享密钥生成指令,则生成共享密钥Ks_local,并得到共享密钥Ks_local的生命周期等信息;
这里,由BSF设定共享密钥Ks_local的生命周期后返回给UICC。
步骤205:MTC设备基于UICC反馈的NAF_ID与NAF建立安全连接;
步骤206:MTC设备通过与NAF之间建立的安全连接,向NAF发送服务请求,所述服务请求中包含UICC反馈的B-TID和UICC身份信息、以及所述MTC设备的身份信息;
步骤207:NAF根据所述服务请求中的UICC身份信息和所述MTC设备的身份信息,查询MTC设备的绑定关系、以及UICC的绑定关系,在MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,继续步骤208;
具体地,NAF在自身存储的绑定关系表中查询是否存在UICC身份信息和所述MTC设备的身份信息之间的绑定关系,如果是,则所述MTC设备与UICC之间存在绑定关系,如果不是,则所述MTC设备与UICC之间不存在绑定关系。
步骤208:NAF根据所述服务请求信息中的B-TID,生成共享密钥Ks_local,并确定共享密钥Ks_local的生命周期,将所述共享密钥Ks_local及其生命周期发送给MTC设备,并将所述服务请求信息中UICC身份信息和所述MTC设备的身份信息绑定后存储到自身存储的绑定关系表中,实现共享密钥Ks_local的建立、以及所述MTC设备与UICC之间的绑定。
其中,UICC与MTC设备之间的绑定关系具体可以是以下的一种或多种:
第一:UICC与MTC设备之间的绑定关系:即UICC的ICCID与MTC设备的Terminal_ID之间的对应关系;
第二:UICC上USIM与MTC设备的绑定关系:即UICC上USIM的身份信息(如IMSI)与MTC设备的身份信息(如IMEI或IMEISV)的对应关系;
第三:UICC上应用与MTC设备上应用的关联关系:即UICC的UICC_appli_ID与MTC设备的Terminal_appli_ID之间的对应关系;或者,UICC的ICCID及UICC_appli_ID、与MTC设备的Terminal_ID及Terminal_appli_ID之间的对应关系;或者,UICC上USIM的IMSI及UICC的UICC_appli_ID、与MTC设备的身份信息(IMEI或IMEISV)及MTC设备的Terminal_appli_ID之间的对应关系。
实际应用中,在MTC设备与UICC之间建立绑定关系后,UICC与MTC设备之间的共享密钥Ks_local失效,需要进行安全通信时,则需要重新建立新的共享密钥Ks_local,此时,建立共享密钥Ks_local的具体实现流程,如图5所示,可以包括如下步骤:
步骤300-306:与步骤200-206完全相同;
步骤307:NAF根据所述服务请求信息中的UICC身份信息和所述MTC设备的身份信息,查询MTC设备的绑定关系、以及UICC的绑定关系,在MTC设备与其他UICC存在绑定关系、和/或UICC与其他MTC设备存在绑定关系,且MTC设备与所述UICC不存在绑定关系时,则NAF拒绝所述MTC的服务请求,返回服务请求失败的消息给所述MTC设备,结束当前流程;在所述MTC设备与所述UICC存在绑定关系时,继续步骤308;
步骤308:NAF根据所述服务请求信息中的B-TID,生成共享密钥Ks_local,并得到共享密钥Ks_local的生命周期,将所述共享密钥Ks_local及其生命周期发送给MTC设备,实现共享密钥Ks_local的建立。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种机器类通信MTC设备与通用集成电路卡UICC绑定的方法,其特征在于,所述方法包括:
在共享密钥的建立过程中,应用服务器NAF获取MTC设备的身份信息、以及UICC的身份信息;
NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到自身存储的绑定关系表中;
所述NAF根据所述MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,包括:
所述NAF根据所述UICC身份信息和所述MTC设备的身份信息,查询所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系。
2.根据权利要求1所述MTC设备与UICC绑定的方法,其特征在于,
所述共享密钥的建立过程具体为:采用基于UICC增强的GBA(GBA-U)方式建立共享密钥的过程。
3.根据权利要求1所述MTC设备与UICC绑定的方法,其特征在于,
所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述建立所述MTC设备与所述UICC之间的绑定关系,包括:建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
4.根据权利要求1至2任一项所述MTC设备与UICC绑定的方法,其特 征在于,所述方法还包括:所述NAF根据用户需求对自身存储的绑定关系表进行更新。
5.一种MTC设备与UICC之间建立共享密钥的方法,其特征在于,所述方法包括:
NAF接收到MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求;
NAF基于所述MTC设备的身份信息、以及UICC的身份信息,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系;
在所述MTC设备与UICC之间存在绑定关系时,NAF生成用于所述MTC设备与UICC之间安全通信的共享密钥,确定所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
6.一种用于实现MTC设备与UICC绑定的装置,其特征在于,所述装置包括:获取单元、绑定单元和存储单元;其中,
获取单元,用于在共享密钥的建立过程中,获取MTC设备的身份信息、以及UICC的身份信息;
绑定单元,用于根据所述获取单元所获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到存储单元中的绑定关系表;
所述绑定单元,具体用于:根据所述获取单元所获取UICC身份信息和所述MTC设备的身份信息,查询所述存储单元保存的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系;存储单元,用于保存所述绑定关系表。
7.根据权利要求6所述用于实现MTC设备与UICC绑定的装置,其特征在于,所述获取单元,具体用于在采用GBA-U方式建立共享密钥的过程中,获取MTC设备的身份信息、以及UICC的身份信息。
8.根据权利要求6所述实现MTC设备与UICC绑定的装置,其特征在于,
所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述绑定单元还用于建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
9.一种用于实现MTC设备与UICC绑定的系统,其特征在于,所述系统包括:MTC设备、UICC和NAF,其中,NAF包括获取单元、绑定单元和存储单元;其中,
获取单元,用于在共享密钥的建立过程中,所述MTC设备从所述UICC获取UICC的身份信息后,从所述MTC设备中获取MTC设备的身份信息、以及UICC的身份信息;
绑定单元,用于根据所述获取单元所获取MTC设备的身份信息、以及UICC的身份信息,建立所述MTC设备与所述UICC之间的绑定关系,并保存到存储单元中的绑定关系表;
所述绑定单元,具体用于:根据所述获取单元所获取UICC身份信息和所述MTC设备的身份信息,查询所述存储单元保存的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系,在所述MTC设备与所述UICC不存在绑定关系,且MTC设备与其他UICC不存在绑定关系、同时所述UICC与其他MTC设备也不存在绑定关系时,建立所述MTC设备与所述UICC之间的绑定关系;存储单元,用于保存所述绑定关系表。
10.根据权利要求9所述实现实现MTC设备与UICC绑定的系统,其特征在于,
所述MTC设备的身份信息包括以下信息中的一种或多种:MTC设备的身份标识、国际移动设备身份码(IMEI)、IMEISV、应用身份标识;
所述UICC的身份信息包括以下信息中的一种或多种:UICC的集成电路卡 识别码(ICCID)、UICC上USIM的身份信息和UICC的应用身份标识;
所述绑定单元还用于:建立所述MTC设备身份信息中的任意一种或多种信息、与所述UICC身份信息中的任意一种或多种信息之间的对应关系。
11.一种用于实现MTC设备与UICC建立共享密钥的系统,其特征在于,所述系统包括:MTC设备、UICC和NAF;其中,
MTC设备,用于与所述UICC交互,启动共享密钥的建立,并从所述UICC中获取UICC的身份信息;
NAF,用于接收到所述MTC设备所发送包含有所述MTC设备的身份信息、以及UICC的身份信息的服务请求,基于所述MTC设备的身份信息、以及UICC的身份信息,查询自身存储的绑定关系表中所述MTC设备的绑定关系、以及所述UICC的绑定关系;在所述MTC设备与UICC之间存在绑定关系时,生成用于所述MTC设备与UICC之间安全通信的共享密钥,得到所述共享密钥的生命周期,并将所述共享密钥以及所述共享密钥的生命周期返回给所述MTC设备。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110356685.XA CN103108311B (zh) | 2011-11-11 | 2011-11-11 | 一种mtc设备与uicc绑定的方法、装置及系统 |
| US14/347,999 US9158549B2 (en) | 2011-11-11 | 2012-01-16 | Method, apparatus and system for binding MTC device and UICC |
| PCT/CN2012/070402 WO2013067772A1 (zh) | 2011-11-11 | 2012-01-16 | 一种mtc设备与uicc绑定的方法、装置及系统 |
| EP12847016.8A EP2750424B1 (en) | 2011-11-11 | 2012-01-16 | Method, device and system for binding mtc device and uicc |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110356685.XA CN103108311B (zh) | 2011-11-11 | 2011-11-11 | 一种mtc设备与uicc绑定的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103108311A CN103108311A (zh) | 2013-05-15 |
| CN103108311B true CN103108311B (zh) | 2017-11-28 |
Family
ID=48288488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110356685.XA Expired - Fee Related CN103108311B (zh) | 2011-11-11 | 2011-11-11 | 一种mtc设备与uicc绑定的方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9158549B2 (zh) |
| EP (1) | EP2750424B1 (zh) |
| CN (1) | CN103108311B (zh) |
| WO (1) | WO2013067772A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201122206D0 (en) | 2011-12-22 | 2012-02-01 | Vodafone Ip Licensing Ltd | Sampling and identifying user contact |
| US9781085B2 (en) * | 2012-02-14 | 2017-10-03 | Nokia Technologies Oy | Device to device security using NAF key |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| GB2518254B (en) * | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| CN105792095A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 用于mtc分组通信的密钥协商方法、系统及网络实体 |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| US11050789B2 (en) | 2017-06-15 | 2021-06-29 | Palo Alto Networks, Inc. | Location based security in service provider networks |
| US10721272B2 (en) | 2017-06-15 | 2020-07-21 | Palo Alto Networks, Inc. | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks |
| US10693918B2 (en) | 2017-06-15 | 2020-06-23 | Palo Alto Networks, Inc. | Radio access technology based security in service provider networks |
| US10812532B2 (en) | 2017-06-15 | 2020-10-20 | Palo Alto Networks, Inc. | Security for cellular internet of things in mobile networks |
| US10708306B2 (en) | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US10834136B2 (en) | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| KR102462366B1 (ko) * | 2018-04-06 | 2022-11-04 | 삼성전자주식회사 | eUICC 버전을 협상하는 방법 및 장치 |
| CN110446200A (zh) * | 2018-05-03 | 2019-11-12 | 北京握奇智能科技有限公司 | 一种物联网业务机卡绑定的方法和系统 |
| CN110958598B (zh) * | 2018-09-26 | 2022-05-06 | 中国移动通信有限公司研究院 | 一种移动终端和sim卡的绑定认证方法和装置 |
| CN112449341B (zh) * | 2019-08-29 | 2022-08-09 | 华为云计算技术有限公司 | IoT设备数据管理方法、装置和系统 |
| CN111049672B (zh) * | 2019-11-18 | 2022-09-02 | 蔚复来(浙江)科技股份有限公司 | 一种物联网设备id智能分配方法 |
| CN110995745B (zh) * | 2019-12-17 | 2021-09-21 | 武汉绿色网络信息服务有限责任公司 | 一种物联网非法机卡分离识别的方法及装置 |
| CN111901792B (zh) * | 2020-09-08 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种uicc应用设置信息管理方法、系统及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101822082A (zh) * | 2007-10-05 | 2010-09-01 | 交互数字技术公司 | 用于uicc和终端之间安全信道化的技术 |
| CN102026241A (zh) * | 2009-09-10 | 2011-04-20 | 华为技术有限公司 | 业务检测方法及核心网设备、检测设备 |
| WO2011113355A1 (en) * | 2010-03-16 | 2011-09-22 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075909B (zh) * | 2009-11-23 | 2014-01-01 | 中兴通讯股份有限公司 | 一种imsi与imei绑定关系的校验方法和装置 |
| CN102137397B (zh) * | 2011-03-10 | 2014-04-02 | 西安电子科技大学 | 机器类型通信中基于共享群密钥的认证方法 |
| CN102238534B (zh) | 2011-07-15 | 2014-05-07 | 电信科学技术研究院 | 终端标识通知及维护方法和设备 |
-
2011
- 2011-11-11 CN CN201110356685.XA patent/CN103108311B/zh not_active Expired - Fee Related
-
2012
- 2012-01-16 WO PCT/CN2012/070402 patent/WO2013067772A1/zh active Application Filing
- 2012-01-16 US US14/347,999 patent/US9158549B2/en not_active Expired - Fee Related
- 2012-01-16 EP EP12847016.8A patent/EP2750424B1/en not_active Not-in-force
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101822082A (zh) * | 2007-10-05 | 2010-09-01 | 交互数字技术公司 | 用于uicc和终端之间安全信道化的技术 |
| CN102026241A (zh) * | 2009-09-10 | 2011-04-20 | 华为技术有限公司 | 业务检测方法及核心网设备、检测设备 |
| WO2011113355A1 (en) * | 2010-03-16 | 2011-09-22 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103108311A (zh) | 2013-05-15 |
| US9158549B2 (en) | 2015-10-13 |
| US20140244994A1 (en) | 2014-08-28 |
| EP2750424A4 (en) | 2015-03-04 |
| WO2013067772A1 (zh) | 2013-05-16 |
| EP2750424A1 (en) | 2014-07-02 |
| EP2750424B1 (en) | 2018-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103108311B (zh) | 一种mtc设备与uicc绑定的方法、装置及系统 | |
| US9241260B2 (en) | Key sharing method and system for machine type communication (MTC) server | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| CN103107878B (zh) | 移动用户身份识别卡与机器类通信设备绑定的方法及装置 | |
| CN102469455B (zh) | 基于通用引导架构的机器类通信设备分组管理方法及系统 | |
| CN103002511A (zh) | 数据分流触发方法、网络侧设备和用户设备及网络系统 | |
| CN102572818B (zh) | 一种mtc组设备的应用密钥管理方法及系统 | |
| CN106879048A (zh) | 智能设备联网方法、系统和智能设备 | |
| CN108040356A (zh) | 获取、提供无线接入点接入信息的方法、设备以及介质 | |
| CN102612033B (zh) | 具有瘦无线接入点功能的手机以及其通信方法 | |
| WO2016030567A1 (en) | Method and apparatus for establishment of private communication between devices | |
| CN109246690A (zh) | 网络接入方法、装置、存储介质及处理器 | |
| CN107454591A (zh) | 保障wifi局域网通信安全的方法、装置及系统 | |
| CN102869015B (zh) | 一种mtc设备触发的方法和系统 | |
| CN104581704B (zh) | 一种实现机器类通信设备间安全通信的方法及网络实体 | |
| CN106921967A (zh) | 数据业务处理方法及装置 | |
| CN103843445B (zh) | 接入网络的方法和装置 | |
| CN105978826B (zh) | 个人热点的流量控制方法和装置 | |
| CN110351721A (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| KR101643334B1 (ko) | 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템 | |
| CN102857899B (zh) | 一种mtc设备的接入控制方法和系统 | |
| CN103188223B (zh) | 认证方法、装置及系统 | |
| CN102870485A (zh) | 控制用户设备接入网络的方法、装置及系统 | |
| CN102202390B (zh) | 一种对无线传感器节点实现管理的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171128 Termination date: 20201111 |