CN106487776B - 一种保护机器类通信设备的方法、网络实体及系统 - Google Patents
一种保护机器类通信设备的方法、网络实体及系统 Download PDFInfo
- Publication number
- CN106487776B CN106487776B CN201510556461.1A CN201510556461A CN106487776B CN 106487776 B CN106487776 B CN 106487776B CN 201510556461 A CN201510556461 A CN 201510556461A CN 106487776 B CN106487776 B CN 106487776B
- Authority
- CN
- China
- Prior art keywords
- mtc
- external application
- network entity
- mtc equipment
- scef
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012217 deletion Methods 0.000 claims description 51
- 230000037430 deletion Effects 0.000 claims description 51
- 238000012790 confirmation Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种保护机器类通信设备的方法、网络实体、机器类通信(MTC)设备业务能力开放功能实体,其中,所述方法包括:由网络实体对外部应用进行认证后,根据预设规则建立外部应用与MTC设备之间的安全关联;网络实体将所述外部应用与MTC设备之间的安全关联发送到对应的MTC设备,以通过所述外部应用与MTC设备之间的安全关联确定授权给外部应用访问的MTC设备。
Description
技术领域
本发明涉及物联网通信系统的机器类通信(MTC,Machine Type Communication)技术,尤其涉及一种用于在业务能力开放架构中保护MTC设备的方法、网络实体、业务能力开放功能实体及业务能力开放架构下包含机器类通信MTC设备的MTC通信系统。
背景技术
本申请发明人在实现本申请实施例技术方案的过程中,至少发现相关技术中存在如下技术问题:
未来的通信网络中的通信将更多的以设备与设备,及设备与数据中心之间的通信为主。越来越便宜的存储技术将使得人与设备获得海量信息成为可能。伴随着芯片处理能力和实时在线技术的发展,设备将成为未来移动通信中的主要参与者。机器到机器通信是指应用通信技术,实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。
由于MTC整合了通信技术和信息技术,且可用于双向通信,如远距离收集信息、设置参数并发送指令,因此能够实现不同的应用方案,如安全监测、自动售货、货物跟踪等。由此可见,几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。
在MTC通信系统中,网络运营商可以向外部的应用提供者提供增值服务。这些增值服务可以通过业务能力开放功能(SCEF,Service Capability Exposure Function)提供给外部应用使用。另外,运营商还可以将各种内部和外部业务与运营商的网络能力结合起来,为MTC业务的参与者提供各种API服务。在业务能力开放架构下,SCEF需要管理外部应用与MTC设备之间的安全关联,从而保证只有授权的外部应用才可以获取指定MTC设备的信息。在MTC系统中,MTC设备通常用于指定的应用领域,因此,MTC设备往往与指定的外部应用关联。一个指定应用领域的外部应用只能获取该应用领域中的相应授权MTC设备的信息。然而,在实际使用中,一个经过认证的授权外部应用可能会有意通过合法的安全关联获取未授权MTC设备的信息。这会对MTC系统中的其他MTC设备的安全性构成威胁。
目前针对SCEF架构中的授权外部应用非法获取未授权MTC设备信息的解决方案采取的技术思路是:如果SCEF是MTC通信系统中的核心网网络实体,则采用NDS/IP安全机制;如果SCEF不属于MTC通信系统中的核心网网络实体,则采用Tsp接口安全机制或MB2接口安全机制。这些解决方案都是基于网络的解决方案,需要网络对MTC设备与外部应用进行管理。在MTC通信系统中,MTC设备数量庞大,并且MTC设备数量动态变化,随时都有大量的MTC设备加入或退出MTC服务。这使得网络需要耗费大量资源管理和维护MTC设备与外部应用。如果采用分布式的解决思路,则可以有效降低网络资源的使用,并降低网络信令负载。因此,在业务能力开放架构下,如何设计针对MTC设备信息保护的分布式安全解决方案是目前急需解决的技术问题。
发明内容
有鉴于此,本发明实施例希望提供一种用于在业务能力开放架构中保护MTC设备的方法、网络实体、业务能力开放功能实体及业务能力开放架构下包含机器类通信MTC设备的MTC通信系统,至少实现了在业务能力开放架构下针对MTC设备信息保护的分布式安全解决方案。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种保护机器类通信设备的方法,所述方法应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述方法包括:
由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联;
通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
上述方案中,所述外部应用与MTC设备之间的安全关联为:外部应用与MTC设备之间的关联关系;
所述外部应用与MTC设备之间的安全关联包括:外部应用身份标识信息与MTC设备身份标识信息之间的关联关系、或者外部应用身份标识信息与MTC设备用户身份标识信息之间的对应关系、或者外部应用身份标识信息与MTC设备上应用身份标识信息之间的对应关系。
上述方案中,所述外部应用与MTC设备之间的安全关联用于确定针对外部应用授权的MTC设备;
一个所述外部应用与一个MTC设备建立所述安全关联;或者,
一个所述外部应用与多个MTC设备建立所述安全关联。
上述方案中,所述方法还包括:
所述由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联之后,将所述外部应用与MTC设备之间的安全关联发送到对应的MTC设备。
上述方案中,所述方法还包括:
在所述对应的MTC设备收到网络实体发送的所述外部应用与MTC设备之间的安全关联并本地保存后,网络实体接收所述对应的MTC设备反馈的确认信息。
上述方案中,所述网络实体为:核心网中任何可以用于认证外部应用的网络实体;
所述网络实体包括:移动性管理实体MME、或者通用无线分组服务的服务支持节点SGSN、或者归属用户服务器HSS、或者机器类型通信互连功能模块MTC-IWF、或者MTC业务管理平台、或者业务能力开放功能实体SCEF。
本发明实施例的一种用于保护机器类通信设备的方法,所述方法应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述方法包括:
SCEF作为连接网络实体的接口实体,收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
上述方案中,所述方法还包括:
所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
上述方案中,所述确认信息包含外部应用请求的MTC设备信息;
所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
上述方案中,所述外部应用与MTC设备之间的安全关联由MTC用户、或者运营商、或者应用提供商进行管理。
上述方案中,所述方法还包括:
由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联。
上述方案中,所述通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联,包括:
网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除指定的MTC设备上的外部应用与MTC设备之间的安全关联;
网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联;
删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
本发明实施例的一种网络实体,所述网络实体应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述网络实体包括:
第一安全关联建立单元,用于由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联;
授权设备确定单元,用于通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
上述方案中,所述外部应用与MTC设备之间的安全关联为:外部应用与MTC设备之间的关联关系;
所述外部应用与MTC设备之间的安全关联包括:外部应用身份标识信息与MTC设备身份标识信息之间的关联关系、或者外部应用身份标识信息与MTC设备用户身份标识信息之间的对应关系、或者外部应用身份标识信息与MTC设备上应用身份标识信息之间的对应关系。
上述方案中,所述外部应用与MTC设备之间的安全关联用于确定针对外部应用授权的MTC设备;
一个所述外部应用与一个MTC设备建立所述安全关联;或者,
一个所述外部应用与多个MTC设备建立所述安全关联。
上述方案中,所述授权设备确定单元还包括:
第一分发子单元,用于所述由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联之后,将所述外部应用与MTC设备之间的安全关联发送到对应的MTC设备。
上述方案中,所述授权设备确定单元还包括:
第一接收子单元,用于在所述对应的MTC设备收到网络实体发送的所述外部应用与MTC设备之间的安全关联并本地保存后,网络实体接收所述对应的MTC设备反馈的确认信息。
上述方案中,所述网络实体为:核心网中任何可以用于认证外部应用的网络实体;
所述网络实体包括:移动性管理实体MME、或者通用无线分组服务的服务支持节点SGSN、或者归属用户服务器HSS、或者机器类型通信互连功能模块MTC-IWF、或者MTC业务管理平台、或者业务能力开放功能实体SCEF。
本发明实施例一种业务能力开放功能实体,所述业务能力开放功能实体SCEF应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述SCEF作为连接网络实体的接口实体,包括:
第二接收单元,用于收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
安全连接建立单元,用于根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
第一安全关联建立单元,用于建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
上述方案中,所述SCEF还包括:
第二分发单元,用于所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
第二接收单元,用于在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
上述方案中,所述确认信息包含外部应用请求的MTC设备信息;
所述第二分发单元,进一步用于所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
上述方案中,所述外部应用与MTC设备之间的安全关联由MTC用户、或者运营商、或者应用提供商进行管理。
上述方案中,所述SCEF还包括:
通知单元,用于由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联。
上述方案中,所述SCEF与所述网络实体、外部应用及所述MTC设备间进行通信连接,所述网络实体包括第一接收单元、第一分发单元;所MTC设备包括:安全关联关系存储管理单元;其中,
所述第一接收单元,用于网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除指定的MTC设备上的外部应用与MTC设备之间的安全关联;
所述第一分发单元,用于网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述安全关联关系存储管理单元,用于所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联;
所述第一接收单元,还用于删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
本发明实施例的一种业务能力开放架构下包含机器类通信MTC设备的MTC通信系统,所述通信系统包括:如上述方案中的所述网络实体、如上述方案中的所述SCEF、经所述SCEF与所述网络实体通信的外部应用、及与所述SCEF、所述网络实体和所述外部应用分别通信的MTC设备。
本发明实施例的保护机器类通信设备的方法包括:由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联;通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
采用本发明实施例,由于能通过建立的外部应用与MTC设备之间的安全关联,来确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息,因此,很好的实现了针对MTC设备信息保护的分布式安全方案。
附图说明
图1为本发明实施例的实现流程示意图;
图2为本发明实施例的网络实体的组成结构示意图;
图3为应用本发明实施例的应用实例一的安全关联关系列表创建过程示意图;
图4为应用本发明实施例的应用实例二的外部应用通过SCEF获取MTC设备信息流程示意图;
图5为应用本发明实施例的应用实例三的安全关联删除过程示意图;
图6为应用本发明实施例的应用实例四的安全管理装置的示意图。
图7为应用本发明实施例的应用实例五的安全管理系统的示意图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
本发明实施例的一种保护机器类通信设备的方法,如图1所示,所述方法应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述方法包括:
步骤101、由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联;
步骤102、通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联为:外部应用与MTC设备之间的关联关系。所述外部应用与MTC设备之间的关联关系具体可以是外部应用身份信息与MTC设备身份信息之间的关联关系,如外部应用身份标识信息与MTC设备身份标识信息之间的关联关系、或者外部应用身份标识信息与MTC设备用户身份标识信息之间的对应关系、或者外部应用身份标识信息与MTC设备上应用身份标识信息之间的对应关系。
本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联用于确定针对外部应用授权的MTC设备;
一个所述外部应用与一个MTC设备建立所述安全关联;或者,
一个所述外部应用与多个MTC设备建立所述安全关联。
本发明实施例一实施方式中,所述方法还包括:
所述由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联之后,将所述外部应用与MTC设备之间的安全关联发送到对应的MTC设备。
本发明实施例一实施方式中,所述方法还包括:
网络实体建立外部应用与MTC设备之间的安全关联后,将生成的外部应用与MTC设备之间的安全关联关系发送到对应的MTC设备。MTC设备收到网络实体发送的外部应用与MTC设备之间的安全关联关系后,将安全关联关系保存在MTC设备上,如保存在UICC卡上,或保存在MTC设备上的存储器中。可以根据系统需要,MTC设备接收并保存外部应用与MTC设备之间的安全关联关系后,向网络实体反馈确认信息。
本发明实施例一实施方式中,所述方法还包括:
在所述对应的MTC设备收到网络实体发送的所述外部应用与MTC设备之间的安全关联关系并本地保存后,网络实体接收所述对应的MTC设备反馈的确认信息。
本发明实施例一实施方式中,所述网络实体为:核心网中任何可以用于认证外部应用的网络实体;
所述网络实体包括:移动性管理实体MME、或者通用无线分组服务的服务支持节点SGSN、或者归属用户服务器HSS、或者机器类型通信互连功能模块MTC-IWF、或者MTC业务管理平台、或者业务能力开放功能实体SCEF。
本发明实施例的一种用于保护机器类通信设备的方法,所述方法应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述方法包括:
SCEF作为连接网络实体的接口实体,收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
本发明实施例一实施方式中,所述方法还包括:
所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息是否为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
本发明实施例一实施方式中,所述确认信息包含外部应用请求的MTC设备信息;
所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联关系由MTC用户、或者运营商、或者应用提供商进行管理。
本发明实施例一实施方式中,所述方法还包括:
由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联关系。
本发明实施例一实施方式中,所述通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联关系,包括:
网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除指定的MTC设备上的外部应用与MTC设备之间的安全关联关系;
网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联关系,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联关系;
删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
本发明实施例的一种网络实体,如图2所示,所述网络实体应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述网络实体包括:
第一安全关联建立单元11,用于由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联;
授权设备确定单元12,用于通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
授权设备确定单元12还包括:第一分发子单元121,用于所述由网络实体对外部应用进行认证,建立外部应用与MTC设备之间的安全关联之后,将所述外部应用与MTC设备之间的安全关联发送到对应的MTC设备。
授权设备确定单元12还包括:第一接收子单元122,用于在所述对应的MTC设备收到网络实体发送的所述外部应用与MTC设备之间的安全关联并本地保存后,网络实体接收所述对应的MTC设备反馈的确认信息。
在本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联为:外部应用与MTC设备之间的关联关系;
所述外部应用与MTC设备之间的安全关联包括:外部应用身份标识信息与MTC设备身份标识信息(如IMEI)之间的关联关系、或者外部应用身份标识信息与MTC设备用户身份标识信息(如IMSI)之间的对应关系、或者外部应用身份标识信息与MTC设备上应用身份标识信息之间的对应关系。
在本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联用于确定针对外部应用授权的MTC设备;
一个所述外部应用与一个MTC设备建立所述安全关联;或者,
一个所述外部应用与多个MTC设备建立所述安全关联。
在本发明实施例一实施方式中,所述网络实体为:核心网中任何可以用于认证外部应用的网络实体;
所述网络实体包括但不局限于:移动性管理实体MME、或者通用无线分组服务的服务支持节点SGSN、或者归属用户服务器HSS、或者机器类型通信互连功能模块MTC-IWF、或者MTC业务管理平台、或者业务能力开放功能实体SCEF。
本发明实施例的一种业务能力开放功能实体,所述业务能力开放功能实体SCEF应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述SCEF作为连接网络实体的接口实体,包括:
第二接收单元,用于收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
安全连接建立单元,用于根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
第一安全关联建立单元,用于建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
在本发明实施例一实施方式中,所述SCEF还包括:
第二分发单元,用于所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
第二接收单元,用于在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
在本发明实施例一实施方式中,所述确认信息包含外部应用请求的MTC设备信息;
所述第二分发单元,进一步用于所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
在本发明实施例一实施方式中,所述外部应用与MTC设备之间的安全关联由MTC用户、或者运营商、或者应用提供商进行管理。
在本发明实施例一实施方式中,所述SCEF还包括:
通知单元,用于由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联。
在本发明实施例一实施方式中,所述SCEF与所述网络实体、外部应用及所述MTC设备间进行通信连接,所述网络实体包括第一接收单元、第一分发单元;所MTC设备包括:安全关联关系存储管理单元;其中,
所述第一接收单元,用于网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除的指定的MTC设备上的外部应用与MTC设备之间的安全关联;
所述第一分发单元,用于网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述安全关联关系存储管理单元,用于所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联;
所述第一接收单元,还用于删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
本发明实施例的一种业务能力开放架构下包含机器类通信MTC设备的MTC通信系统,所述通信系统包括:如上述方案中所述的网络实体、如上述方案中所述的SCEF、经所述SCEF与所述网络实体通信的外部应用、及与所述SCEF、所述网络实体和所述外部应用分别通信的MTC设备。
对于在业务能力开发架构下对MTC设备安全保护场景来说,采用如下实例进行阐述:
应用实例一:
如图3所示,本发明安全关联关系列表创建过程的具体流程包括:
步骤201,网络实体对外部应用进行认证。
步骤202,网络实体对外部应用认证后,生成外部应用与MTC设备之间的安全关联。外部应用与MTC设备之间的安全关联是指外部应用于MTC设备之间的关联关系,具体可以是外部应用身份信息与MTC设备身份信息之间的关联关系,如外部应用身份标识信息与MTC设备身份标识信息(如IMEI)之间的关联关系,或者如外部应用身份标识信息与MTC设备用户身份标识信息(如IMSI)之间的对应关系,或者如外部应用身份标识信息与MTC设备上应用身份标识信息之间的对应关系。外部应用与MTC设备之间的安全关联用以确定针对外部应用授权的MTC设备。针对外部应用可以有多个授权MTC设备,即外部应用可以与多个MTC设备建立安全关联;
步骤203,网络实体建立外部应用与MTC设备之间的安全关联后,将生成的外部应用与MTC设备之间的安全关联关系发送到对应的MTC设备。
步骤204,MTC设备收到网络实体发送的外部应用与MTC设备之间的安全关联关系后,将安全关联关系保存在MTC设备上,如保存在UICC卡上,或保存在MTC设备上的存储器中。
步骤205,MTC设备接收并保存外部应用与MTC设备之间的安全关联关系后,向网络实体反馈确认信息。
应用实例二:
如图4所示,外部应用通过SCEF获取MTC设备信息的具体流程包括:
步骤301,外部应用向SCEF发送获取指定MTC设备信息的请求信息。请求信息中包含外部应用身份信息和MTC设备身份信息。
步骤302,SCEF对外部应用进行认证。
步骤303,认证通过后,外部应用与SCEF建立安全连接。
步骤304,SCEF进一步将从外部应用接收到的请求信息发送到MTC设备。
步骤305,MTC设备根据保存的该MTC设备与外部应用的安全关联关系,验证接收到的外部应用信息是否是合法外部应用。
步骤306,验证通过后,MTC设备向SCEF反馈确认信息,确认信息可以包含外部应用请求的MTC设备信息。
步骤307,SCEF根据接收到的确认信息向外部应用反馈其请求的MTC设备信息。
应用实例三:
如图5所示,本发明安全关联删除过程的流程包括:
步骤401,MTC用户,或者运营商,或者应用提供商向网络实体发送删除请求信息。删除请求信息中包含要求删除的指定MTC设备上的外部应用与MTC设备之间的安全关联关系;
步骤402,网络实体对MTC用户,或者运营商,或者应应提供商进行认证后,将删除请求信息发送到指定MTC设备;
步骤403,MTC设备收到网络实体发送的删除请求信息后,检查该MTC设备上存储的所有外部应用与MTC设备之间的安全关联关系,并根据请求删除对应的外部应用与MTC设备之间的安全关联关系;
步骤404,删除完成后,MTC设备向网络实体反馈删除确认信息;
应用实例四:
如图6所示,基于本发明网络实体的一个安全关联管理装置的具体实例包括:
外部应用与MTC设备安全关联关系生成模块10,用于生成MTC设备与外部应用的安全关联关系;
分发模块20,用于分发MTC设备与外部应用的安全关联关系,或者分发删除请求信息,或者分发MTC设备信息获取请求信息;
接收模块30,用于接收MTC设备与外部应用的安全关联关系,或者接收删除请求信息;
安全关联关系存储管理模块40,用于管理和维护外部应用与MTC设备之间的安全关联关系。
应用实例五:
如图7所示,基于本发明网络实体和MTC设备的一个安全关联管理系统的具体实例包括MTC设备和网络实体。就MTC设备而言,MTC设备用于管理和维护外部应用与MTC设备之间的安全关联关系。其中,所述MTC设备包括:安全关联关系存储管理模块40,用于管理和维护外部应用与MTC设备之间的安全关联关系;所述MTC设备还包括接收模块30。就网络实体而言,网络实体用于创建和和分发外部应用与MTC设备之间的安全关联关系。其中,所述网络实体包括:外部应用与MTC设备安全关联关系生成模块10,用于生成MTC设备与外部应用的安全关联关系;所述网络实体还包括:分发模块20,用于分发MTC设备与外部应用的安全关联关系,或者分发删除请求信息,或者分发MTC设备信息获取请求信息;所述网络实体还包括:接收模块30,用于接收MTC设备与外部应用的安全关联关系,或者接收删除请求信息。
由以上技术方案可以看出,应用本发明实施例的上述应用场景,是一种切实可行的保护MTC设备的安全管理保护方法,并且由于每一个MTC设备管理和维护与其相关的外部应用与该MTC设备的安全关联关系,使得网络实体可以不用耗费大量的资源处理外部应用非法获取MTC设备信息的问题,提高了网络资源的使用效率。
本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何指定的硬件和软件结合。
相应的,本发明实施例还提供一种计算机存储介质,其中存储有计算机程序,该计算机程序用于执行本发明实施例的用于在业务能力开放架构中保护MTC设备的方法。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (13)
1.一种用于保护机器类通信设备的方法,其特征在于,所述方法应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述方法包括:
业务能力开放功能实体SCEF作为连接网络实体的接口实体,收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
3.根据权利要求2所述的方法,其特征在于,所述确认信息包含外部应用请求的MTC设备信息;
所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述外部应用与MTC设备之间的安全关联由MTC用户、或者运营商、或者应用提供商进行管理。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联。
6.根据权利要求5所述的方法,其特征在于,所述通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联,包括:
网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除指定的MTC设备上的外部应用与MTC设备之间的安全关联;
网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联;
删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
7.一种业务能力开放功能实体,其特征在于,所述业务能力开放功能实体SCEF应用于业务能力开放架构下包含机器类通信MTC设备的MTC通信系统中,所述SCEF作为连接网络实体的接口实体,包括:
第二接收单元,用于收到外部应用发送的获取指定MTC设备信息的请求信息;所述请求信息中包含外部应用身份信息和MTC设备身份信息;
安全连接建立单元,用于根据所述外部应用身份信息和MTC设备身份信息由所述SCEF对外部应用进行认证,认证通过后,在所述外部应用与所述SCEF间建立安全连接;
第一安全关联建立单元,用于建立外部应用与MTC设备之间的安全关联,通过所述外部应用与MTC设备之间的安全关联确定外部应用授权访问的MTC设备,使得外部应用只能获取所述授权访问的MTC设备的信息。
8.根据权利要求7所述的业务能力开放功能实体,其特征在于,所述SCEF还包括:
第二分发单元,用于所述SCEF将从外部应用接收到的所述请求信息发送到所述MTC设备;
第二接收单元,用于在所述MTC设备根据保存的所述外部应用与MTC设备之间的安全关联验证接收到的外部应用信息为合法外部应用,验证通过后,所述SCEF接收所述MTC设备反馈的确认信息。
9.根据权利要求8所述的业务能力开放功能实体,其特征在于,所述确认信息包含外部应用请求的MTC设备信息;
所述第二分发单元,进一步用于所述SCEF根据接收到的所述确认信息向外部应用反馈其请求的MTC设备信息。
10.根据权利要求7至9任一项所述的业务能力开放功能实体,其特征在于,所述外部应用与MTC设备之间的安全关联由MTC用户、或者运营商、或者应用提供商进行管理。
11.根据权利要求10所述的业务能力开放功能实体,其特征在于,所述SCEF还包括:
通知单元,用于由所述SCEF通知网络实体,以通过网络实体删除保存在MTC设备上的所述外部应用与MTC设备之间的安全关联。
12.根据权利要求11所述的业务能力开放功能实体,其特征在于,所述SCEF与所述网络实体、外部应用及所述MTC设备间进行通信连接,所述网络实体包括第一接收单元、第一分发单元;所MTC设备包括:安全关联关系存储管理单元;其中,
所述第一接收单元,用于网络实体接收所述MTC用户、或者运营商、或者应用提供商发送的删除请求信息;删除请求信息中包含要求删除指定的MTC设备上的外部应用与MTC设备之间的安全关联;
所述第一分发单元,用于网络实体对所述MTC用户、或者运营商、或者应用提供商进行认证后,将所述删除请求信息发送给所述指定的MTC设备;
所述安全关联关系存储管理单元,用于所述指定的MTC设备收到网络实体发送的所述删除请求信息后,检查在所述指定的MTC设备上存储的所有外部应用与MTC设备之间的安全关联,并根据删除请求信息删除对应的外部应用与MTC设备之间的安全关联;
所述第一接收单元,还用于删除完成后,网络实体接收所述指定的MTC设备向网络实体反馈的删除确认信息。
13.一种业务能力开放架构下包含机器类通信MTC设备的MTC通信系统,其特征在于,所述通信系统包括:网络实体、如权利要求7-12任意一项所述的业务能力开放功能实体SCEF、经所述SCEF与所述网络实体通信的外部应用、及与所述SCEF、所述网络实体和所述外部应用分别通信的MTC设备。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510556461.1A CN106487776B (zh) | 2015-09-02 | 2015-09-02 | 一种保护机器类通信设备的方法、网络实体及系统 |
| US15/757,063 US20180270236A1 (en) | 2015-09-02 | 2016-01-22 | Method for protecting machine type communication device, network entity and mtc device |
| EP16779418.9A EP3346670A4 (en) | 2015-09-02 | 2016-01-22 | Method for protecting machine type communication device, network entity, and mtc device |
| PCT/CN2016/071789 WO2016165443A1 (zh) | 2015-09-02 | 2016-01-22 | 一种保护机器类通信设备的方法、网络实体及mtc设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510556461.1A CN106487776B (zh) | 2015-09-02 | 2015-09-02 | 一种保护机器类通信设备的方法、网络实体及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106487776A CN106487776A (zh) | 2017-03-08 |
| CN106487776B true CN106487776B (zh) | 2020-10-27 |
Family
ID=57125775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510556461.1A Expired - Fee Related CN106487776B (zh) | 2015-09-02 | 2015-09-02 | 一种保护机器类通信设备的方法、网络实体及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180270236A1 (zh) |
| EP (1) | EP3346670A4 (zh) |
| CN (1) | CN106487776B (zh) |
| WO (1) | WO2016165443A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105392112B (zh) * | 2015-11-30 | 2018-10-19 | 中国联合网络通信集团有限公司 | Mtc设备信息的保护方法、设备及系统 |
| US10104567B2 (en) * | 2016-05-31 | 2018-10-16 | At&T Intellectual Property I, L.P. | System and method for event based internet of things (IOT) device status monitoring and reporting in a mobility network |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026193A (zh) * | 2009-09-14 | 2011-04-20 | 中兴通讯股份有限公司 | 向机器到机器设备提供机器通信身份模块的系统及方法 |
| CN102300192A (zh) * | 2010-06-25 | 2011-12-28 | 上海贝尔股份有限公司 | 机对机通信中的tmsi分配设备及方法,以及相应的网络附着及位置区域更新方法 |
| CN102868996A (zh) * | 2011-07-05 | 2013-01-09 | 中兴通讯股份有限公司 | 一种建立安全通道的方法及相应终端和系统 |
| EP2568765A1 (en) * | 2011-09-09 | 2013-03-13 | Buzzinbees Sas | A module MLR for managing machine-to-machine type (M2M) mobile devices |
| CN103391523A (zh) * | 2012-05-11 | 2013-11-13 | 中兴通讯股份有限公司 | 机器类通信设备及其短信处理方法、机器类通信系统 |
| WO2015101451A1 (en) * | 2013-12-31 | 2015-07-09 | Gemalto Sa | System and method for securing machine-to-machine communications |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015319B2 (en) * | 2010-06-04 | 2015-04-21 | Telefonaktiebolaget L M Ericsson (Publ) | Layered access control for machine type communication devices |
| US9549320B2 (en) * | 2011-10-28 | 2017-01-17 | Nec Corporation | Secure method for MTC device triggering |
| KR101274966B1 (ko) * | 2011-12-07 | 2013-07-30 | 모다정보통신 주식회사 | M2m 통신에서 장치의 데이터 공유 방법 및 그 시스템 |
| KR101453154B1 (ko) * | 2012-05-30 | 2014-10-23 | 모다정보통신 주식회사 | M2m 통신에서 리소스 접근 권한 설정 방법 |
| CN104349311A (zh) * | 2013-08-02 | 2015-02-11 | 中兴通讯股份有限公司 | 一种用于机器类通信小数据传输的密钥建立方法和系统 |
| WO2015031779A1 (en) * | 2013-08-30 | 2015-03-05 | Convida Wireless, Llc | Smart object identification in the digital home |
-
2015
- 2015-09-02 CN CN201510556461.1A patent/CN106487776B/zh not_active Expired - Fee Related
-
2016
- 2016-01-22 EP EP16779418.9A patent/EP3346670A4/en not_active Withdrawn
- 2016-01-22 US US15/757,063 patent/US20180270236A1/en not_active Abandoned
- 2016-01-22 WO PCT/CN2016/071789 patent/WO2016165443A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026193A (zh) * | 2009-09-14 | 2011-04-20 | 中兴通讯股份有限公司 | 向机器到机器设备提供机器通信身份模块的系统及方法 |
| CN102300192A (zh) * | 2010-06-25 | 2011-12-28 | 上海贝尔股份有限公司 | 机对机通信中的tmsi分配设备及方法,以及相应的网络附着及位置区域更新方法 |
| CN102868996A (zh) * | 2011-07-05 | 2013-01-09 | 中兴通讯股份有限公司 | 一种建立安全通道的方法及相应终端和系统 |
| EP2568765A1 (en) * | 2011-09-09 | 2013-03-13 | Buzzinbees Sas | A module MLR for managing machine-to-machine type (M2M) mobile devices |
| CN103391523A (zh) * | 2012-05-11 | 2013-11-13 | 中兴通讯股份有限公司 | 机器类通信设备及其短信处理方法、机器类通信系统 |
| WO2015101451A1 (en) * | 2013-12-31 | 2015-07-09 | Gemalto Sa | System and method for securing machine-to-machine communications |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016165443A1 (zh) | 2016-10-20 |
| CN106487776A (zh) | 2017-03-08 |
| EP3346670A1 (en) | 2018-07-11 |
| EP3346670A4 (en) | 2018-09-05 |
| US20180270236A1 (en) | 2018-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11727396B2 (en) | Processing electronic tokens | |
| US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
| US8706085B2 (en) | Method and apparatus for authenticating communication device | |
| US9641324B2 (en) | Method and device for authenticating request message | |
| WO2016165505A1 (zh) | 连接控制方法及装置 | |
| CN114697945B (zh) | 发现响应消息的生成方法及装置、发现消息的处理方法 | |
| CN104660405A (zh) | 一种业务设备认证方法及设备 | |
| CN105681258A (zh) | 基于第三方服务器的会话方法和会话装置 | |
| JP7208080B2 (ja) | 接続機器の自動的アクティベーションおよびオンボード | |
| TW201706893A (zh) | 實現雲端身份認證的網路系統、方法及移動設備 | |
| CN106487776B (zh) | 一种保护机器类通信设备的方法、网络实体及系统 | |
| CN105392112B (zh) | Mtc设备信息的保护方法、设备及系统 | |
| CN108123917A (zh) | 一种物联网终端的认证凭证更新的方法及设备 | |
| CN103888415A (zh) | Ims用户的游牧控制方法及装置 | |
| CN103517267A (zh) | 确定实际码号的系统、方法及设备 | |
| US11381562B2 (en) | Detection of a user equipment type related to access, services authorization and/or authentication | |
| CN112702734B (zh) | 一种密钥分发系统及方法 | |
| US20230396715A1 (en) | Method, apparatus and system of charging management | |
| WO2020254205A1 (en) | Amf reallocation handling using security context |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201027 Termination date: 20210902 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |