WO2012151819A1 - 一种mtc设备触发的方法和系统 - Google Patents

Abstract

本发明公开了一种机器类通信（MTC）设备触发的方法和系统，方法包括：MTC服务器向引导服务器功能实体（BSF）发送请求消息，请求消息中包含通用引导架构推送（GPI）请求信息和触发请求信息；BSF通过GPI请求处理过程生成GPI信息，并根据触发请求信息在GPI信息中添加触发指令参数信息，将包含触发指令参数信息的GPI信息发送给MTC服务器；MTC服务器将包含触发指令参数信息的GPI信息发送给待触发的MTC设备；MTC设备根据所接收的GPI信息中的触发指令参数信息实现触发。通过本发明，实现了对MTC设备触发过程的安全保护，同时保证了MTC设备与MTC服务器之间能够建立安全连接。

Description

一种 MTC设备触发的方法和系统 技术领域

本发明涉及移动通信技术和机器类通信 （ MTC , Machine Type Communication )技术， 尤其涉及一种 MTC设备触发的方法和系统。 背景技术

MTC是指应用无线通信技术实现机器与机器、 机器与人之间的数据通 信和交流的一系列技术及其组合的总称。 机器对机器 （M2M, Machine to Machine )有两层含义： 第一层是机器本身， 在嵌入式领域称为智能设备； 第二层意思是机器和机器之间的连接， 通过网络将机器连接在一起。 MTC 的应用范围非常广泛， 如智能测量、 远程监控、 跟踪、 医疗等， MTC的应 用使人类生活更加智能化。 与传统的人与人之间的通信相比， MTC设备 ( M2M Device ) 的数量巨大， 应用领域广泛， 具有巨大的市场前景。

在 MTC 通信中， 主要的远距离连接技术包括： 全球移动通讯系统 ( GSM, Global System for Mobile Communications ), 通用分组无线月良务技 术（GPRS, General Packet Radio Service ), 通用移动通信系统（UMTS, Universal Mobile Telecommunications System )等等 , 近巨离连接技术主要有 802.11b/g、 蓝牙、 Zigbee、 射频识别（RFID, Radio Frequency Identification ) 等等。 由于 MTC整合了无线通信和信息技术， 可用于双向通信， 如远距离 收集信息、 设置参数和发送指令， 因此可实现不同的应用方案， 如安全监 测、 自动售货、 货物跟踪等。 几乎所有日常生活中涉及到的设备都有可能 成为潜在的服务对象。 MTC提供了设备实时数据在系统之间、 远程设备之 间、 或与个人之间建立无线连接的简单手段。

GBA ( Generic Bootstrapping Architecture )是指通用引导架构， GBA体 系架构定义了一种在终端和服务器之间的通用的密钥协商机制。 图 1 描述 了 GBA体系架构的网络模型， 主要包括如下网元：

UE ( User Equipment ): 是终端 （如手机）和全球用户识别卡（USIM, Universal Subscriber Identity Module ) /用户识别卡 ( SIM, Subscriber Identity Module )的总称， 此处的终端可以是插卡的移动终端（如手机等）， 也可以 是插卡的固定终端 （如机顶盒等）；

NAF ( Network Application Function ): 即应用服务器， 实现应用的业务 逻辑功能， 在完成对终端的认证后为终端提供业务服务；

BSF ( Bootstrapping Server Function ): 即引导服务器功能实体， BSF是 GBA的核心网元， BSF和 UE通过认证和密钥协商（ AKA, Authentication and Key Agreement )协议实现认证， 并且协商出随后用于 UE和 NAF间通信的 应用密钥， BSF能够根据本地策略设定密钥的生命期；

HSS ( Home Subscriber System ) : 即用户归属服务器， 存储终端 USIM/SIM卡中的鉴权数据， 如 SIM卡中的 Ki等；

SLF ( Subscription Locator Function ): 即签约位置功能实体， BSF通过 查询 SLF获得存储相关用户数据的 HSS名称。在单一 HSS环境中并不需要 SLF。 另外， 当 BSF配置成使用预先指定的 HSS时， 也不要求使用 SLF。

GBA-PUSH (推送） 是建立在 GBA 架构基础上的一种引导机制， GBA-PUSH的架构如图 2所示， GBA-PUSH使得 UE在不需要与 BSF连接 的情况下， 在 NAF和 UE之间通过引导过程建立安全连接。

在 MTC系统中， MTC服务器就相当于 GBA架构和 GBA-PUSH架构 中的 NAF, MTC设备就相当于 GBA架构和 GBA-PUSH架构中的 UE。 通 过 GBA和 GBA-PUSH架构可以建立 MTC设备与 MTC服务器之间的安全 连接。

对于许多 M2M应用， 由于 MTC用户需要控制与 MTC设备的通信， 因此不允许 MTC设备随意接入 MTC服务器。 当 MTC服务器需要与 MTC 设备通信时， 通过触发指令触发 MTC设备建立一个分组数据协议（ PDP, Packet Date Protocol ) /分组数据网络（ PDN, Packet Date Network )连接。 当 MTC设备未连接到 MTC服务器时， 攻击者可能会冒充移动通信网络或 MTC服务器向 MTC设备发送触发指令， 以触发 MTC设备与 MTC服务器 建立连接。 因此， 需要采取安全措施， 保证 MTC设备响应来自合法移动通 信网络或合法 MTC服务器的触发指令。 在 MTC设备未连接到 MTC服务 器的情况下， 如何安全触发 MTC设备， 并进一步建立 MTC设备与 MTC 服务器之间的安全连接， 是目前亟待解决的问题。 发明内容

有鉴于此，本发明的主要目的在于提供一种 MTC设备触发的方法和系 统， 以实现在 MTC设备未连接到 MTC服务器的情况下， 对 MTC设备的 安全触发。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种机器类通信（ MTC )设备触发的方法， 该方法包括：

MTC服务器向引导服务器功能实体（BSF )发送请求消息， 所述请求 消息中包含通用引导架构推送（GPI )请求信息和触发请求信息；

所述 BSF通过 GPI请求处理过程生成 GPI信息， 并根据所述触发请求 信息在所述 GPI信息中添加触发指令参数信息， 将包含所述触发指令参数 信息的 GPI信息发送给 MTC服务器；

所述 MTC服务器将包含所述触发指令参数信息的 GPI信息发送给待触 发的 MTC设备；

所述 MTC设备根据所接收的 GPI信息中的触发指令参数信息实现触 发。

在 BSF将包含触发指令参数信息的 GPI信息发送给 MTC服务器后， 该方法还包括：

所述 MTC服务器将除触发指令参数信息之外的 GPI信息、以及待触发 MTC设备的用户相关信息保存到安全关联（ SA ) 中。

在 MTC服务器将包含触发指令参数信息的 GPI信息发送给待触发的 MTC设备后， 该方法还包括：

所述 MTC设备将所述 GPI信息、 以及自身的用户相关信息保存到 SA 中。

在 MTC设备实现触发后， 该方法还包括：

所述 MTC设备向 MTC服务器返回触发响应， 并建立与所述 MTC服 务器之间的安全连接。

在 MTC服务器向 BSF发送请求消息之前， 该方法还包括：

所述 MTC设备在 MTC服务器注册， 所述 MTC服务器保存所述 MTC 设备相关信息。

所述触发指令参数信息包括： 触发指令参数名称。

所述触发指令参数信息进一步包括： MTC设备触发后发送信息的时间 范围。

本发明还提供了一种 MTC设备触发的系统， 该系统包括： MTC服务 器、 BSF和 MTC设备， 其中，

所述 MTC服务器， 用于向所述 BSF发送请求消息， 所述请求消息中 包含 GPI请求信息和触发请求信息；

所述 BSF, 用于通过 GPI请求处理过程生成 GPI信息， 并根据所述触 发请求信息在所述 GPI信息中添加触发指令参数信息， 将包含所述触发指 令参数信息的 GPI信息发送给所述 MTC服务器；

所述 MTC服务器还用于，将包含所述触发指令参数信息的 GPI信息发 送给待触发的 MTC设备； 所述 MTC设备，用于根据所接收的 GPI信息中的触发指令参数信息实 现触发。

所述 MTC服务器进一步用于，在接收到所述 GPI信息后，将除触发指 令参数信息之外的 GPI信息、以及待触发 MTC设备的用户相关信息保存到 SA中。

所述 MTC设备进一步用于， 在接收到所述 GPI信息后， 将所述 GPI 信息、 以及自身的用户相关信息保存到 SA中。

所述 MTC设备进一步用于， 在实现触发后， 向 MTC服务器返回触发 响应， 并建立与所述 MTC服务器之间的安全连接。

所述 MTC服务器进一步用于， 在向 BSF发送请求消息之前， 接收所 述 MTC设备的注册， 并保存所述 MTC设备相关信息。

所述触发指令参数信息包括： 触发指令参数名称。

所述触发指令参数信息进一步包括： MTC设备触发后发送信息的时间 范围。

本发明所提供的一种 MTC设备触发的方法和系统， MTC服务器向 BSF 发送请求消息， 请求消息中包含 GPI请求信息和触发请求信息； BSF通过 GPI请求处理过程生成 GPI信息， 并根据触发请求信息在 GPI信息中添加 触发指令参数信息，将包含触发指令参数信息的 GPI信息发送给 MTC服务 器； MTC服务器将包含触发指令参数信息的 GPI信息发送给待触发的 MTC 设备； MTC设备根据所接收的 GPI信息中的触发指令参数信息实现触发。 通过本发明， 实现了对 MTC设备触发过程的安全保护， 同时保证了 MTC 设备与 MTC服务器之间能够建立安全连接。 附图说明

图 1为现有技术中 GBA体系架构的网络模型示意图；

图 1为现有技术中 GBA-PUSH架构的网络模型示意图； 图 3为本发明实施例中 MTC设备触发的系统结构示意图； 图 4为本发明实施例中 MTC设备触发的方法流程图。 具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。 本发明实施例中， MTC设备是指移动通信网络中用于机器到机器通信 的设备， 移动通信网络包括： 全球移动通信系统（GSM, Global System For Mobile Communications ) 网络、 第三代合作伙伴计划 （3GPP , The 3rd Generation Partnership Project ) 网络、 3GPP2网络等等。

本发明实施例中，为完成 MTC设备安全触发的系统如图 3所示，包括： MTC设备、 BSF、 HSS和 MTC服务器。 其中， MTC设备是用于机器类通 信的设备， 用户识别卡、 如通用集成电路卡（UICC, Universal Integrated Circuit Card )安装在 MTC设备中。 BSF用于在 GBA-PUSH过程中， 根据 GBA-PUSH 请求生成用于触发建立安全连接的 GPI ( GBA-PUSH Information )信息， BSF能够根据本地策略设定密钥的生命期。 HSS用于存 储设备用户识别卡中的鉴权数据， 如 SIM卡、 UICC卡中的 Ki等。 MTC月良 务器相当于 GBA和 GBA-PUSH架构中的 NAF, MTC服务器可以发起触发 请求， 并为 MTC用户提供 M2M业务。 在本发明的实施例中， MTC服务器 可以位于移动通信网内， 也可以位于移动通信网外。

本发明的实施例中， 在 MTC设备未连接到 MTC服务器的情况下， 当 MTC服务器需要与该 MTC设备进行通信时， 可以通过触发请求或指令， 激活 MTC设备建立与 MTC服务器之间的安全连接。 当 MTC服务器需要 从 MTC设备接收信息时， MTC服务器可以通过 GBA-PUSH方式触发 MTC 设备，建立 MTC设备与 MTC服务器之间的安全连接。采用 GBA-PUSH方 式触发的 MTC设备需要预先在 MTC服务器进行注册， MTC服务器存储注 册的 MTC设备的相关信息； 或者， MTC服务器也可以通过其他方式获得 MTC设备的相关信息， 包括身份信息等。

在完成 MTC设备触发的过程中：

MTC服务器用于向 BSF发送请求消息，该请求消息中包含 GPI请求信 息和触发请求信息；

BSF用于通过 GPI请求处理过程生成 GPI信息， 并根据触发请求信息 在 GPI信息中添加触发指令参数信息， 将包含触发指令参数信息的 GPI信 息发送给 MTC服务器； GPI请求处理过程需要 BSF与 HSS的交互， HSS 为 BSF提供 MTC设备的用户认证相关信息；

MTC服务器还用于将包含触发指令参数信息的 GPI信息发送给待触发 的 MTC设备；

MTC设备用于根据所接收的 GPI信息中的触发指令参数信息实现触 发。

进一步的， MTC服务器在接收到所述 GPI信息后， 将除触发指令参数 信息之外的 GPI信息、以及待触发 MTC设备的用户相关信息保存到安全关 联 ( SA, Security Association ) 中。

进一步的， MTC设备在接收到 GPI信息后， 将 GPI信息、 以及自身的 用户相关信息保存到 SA中。

MTC设备在实现触发后，向 MTC服务器返回触发响应，并建立与 MTC 服务器之间的安全连接。

由图 3所示系统实现的 MTC设备触发的方法流程如图 4所示，主要包 括：

步驟 401 , MTC服务器向 BSF发送请求消息， 该请求消息中包含 GPI 请求信息和触发请求信息。

步驟 402, BSF收到请求消息后， 通过 GPI请求处理过程生成 GPI信 息， 并根据触发请求信息在 GPI信息中添加触发指令参数信息。 触发指令 参数信息可以包括触发指令参数名称（Trigger Indication ), 较佳的， 还可以 进一步包括 MTC设备触发后发送信息的时间范围 （Trigger Time )等。

添加了触发指令参数信息后的 GPI信息格式， 如下表 1所示：

表 1

步驟 403 , BSF将包含触发指令参数信息的 GPI信息通过请求响应发送 给 MTC服务器。

步驟 404, MTC服务器保存收到的 GIP信息和其他用户相关信息到一 个安全关联（SA, Security Association ) 中。 其中， 触发指令参数信息无需 在 MTC服务器上保存。

安全关联具体包括如下表 2中所示的参数信息:

UE Id m 0 The user identity

used in NAF request.

UE Priv Id 0 Private user identity

(IMSI/IMPI) for

used UE Id

UE Trp m Transport address to The transport address used by which GPI should be the NAF when pushing GPI to delivered the UE

RAND m m RAND in UMTS From GPI

AKA

AUTN(*) m m AUTN orAUTN* From GPI

App Lbl m m UICC application From GPI or other implicit identifier agreement or information.

NAF— Id m m Concatenation of

NAF FQDN and Ua

security protocol Id

Enc GPI m Encrypted part of

GPI plus MAC

Mac— GPI m BSF generated MAC

over GPI

UL SA Id m m Uplink NAF SA

identity

DL SA Id m m Downlink NAF SA

identity

Ks NAF 1 m m External NAF-key Ks NAF is generated in s ext NAF GBA— ME based GBA-Push

Ks ext NAF is generated in GBA— U based GBA— Push Ks int NAF 0 0 UICC internal Ks int NAF is generated in

NAF-key GBA U based GBA Push

Key LT m m Received NAF-Key

life time

表 2

步驟 405 , MTC服务器将包含触发指令参数信息的 GPI信息发送给 MTC设备。

步驟 406, MTC设备接收到包含触发指令参数信息的 GPI信息后， 根 据 GBA-PUSH定义的处理过程处理该 GPI信息中除触发指令参数信息之外 的所有 GPI信息， 并保存相应的 SA。

步驟 407, MTC设备根据 GPI信息中的触发指令参数信息触发 MTC 设备， 响应 MTC服务器的触发指令， 并根据 SA建立与 MTC服务器的安 全连接。 MTC设备根据所述触发指令参数信息中的 Trigger Time, 在对应 的时间范围内向 MTC服务器发送信息。

综上所述， 本发明将 GBA-PUSH过程用于 MTC设备的触发， 即将触 发指令参数信息添加到 GBA-PUSH过程的 GPI信息中，发送给 MTC设备， 由于 GBA-PUSH过程具有较高的安全性， 因此这保证了 MTC设备触发的 安全性， 实现了对 MTC设备触发过程的安全保护， 同时保证了 MTC设备 与 MTC服务器之间能够建立安全连接。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种 MTC设备触发的方法， 其特征在于， 该方法包括：

机器类通信 （MTC )服务器向引导服务器功能实体（BSF )发送请求 消息， 所述请求消息中包含通用引导架构推送（GPI )请求信息和触发请求 信息；

所述 BSF通过 GPI请求处理过程生成 GPI信息， 并根据所述触发请求 信息在所述 GPI信息中添加触发指令参数信息， 将包含所述触发指令参数 信息的 GPI信息发送给 MTC服务器；

所述 MTC服务器将包含所述触发指令参数信息的 GPI信息发送给待触 发的 MTC设备；

所述 MTC设备根据所接收的 GPI信息中的触发指令参数信息实现触 发。

2、 根据权利要求 1所述 MTC设备触发的方法， 其特征在于， 在 BSF 将包含触发指令参数信息的 GPI信息发送给 MTC服务器后，该方法还包括： 所述 MTC服务器将除触发指令参数信息之外的 GPI信息、以及待触发 MTC设备的用户相关信息保存到安全关联（ SA ) 中。

3、 根据权利要求 1所述 MTC设备触发的方法， 其特征在于， 在 MTC 服务器将包含触发指令参数信息的 GPI信息发送给待触发的 MTC设备后， 该方法还包括：

所述 MTC设备将所述 GPI信息、 以及自身的用户相关信息保存到 SA 中。

4、 根据权利要求 1、 2或 3所述 MTC设备触发的方法， 其特征在于， 在 MTC设备实现触发后， 该方法还包括：

所述 MTC设备向 MTC服务器返回触发响应， 并建立与所述 MTC服 务器之间的安全连接。

5、 根据权利要求 1、 2或 3所述 MTC设备触发的方法， 其特征在于， 在 MTC服务器向 BSF发送请求消息之前， 该方法还包括：

所述 MTC设备在 MTC服务器注册， 所述 MTC服务器保存所述 MTC 设备相关信息。

6、 根据权利要求 1、 2或 3所述 MTC设备触发的方法， 其特征在于， 所述触发指令参数信息包括： 触发指令参数名称。

7、 根据权利要求 6所述 MTC设备触发的方法， 其特征在于， 所述触 发指令参数信息进一步包括： MTC设备触发后发送信息的时间范围。

8、 一种 MTC设备触发的系统， 其特征在于， 该系统包括： MTC服务 器、 BSF和 MTC设备， 其中，

所述 MTC服务器， 用于向所述 BSF发送请求消息， 所述请求消息中 包含 GPI请求信息和触发请求信息；

所述 BSF, 用于通过 GPI请求处理过程生成 GPI信息， 并根据所述触 发请求信息在所述 GPI信息中添加触发指令参数信息， 将包含所述触发指 令参数信息的 GPI信息发送给所述 MTC服务器；

所述 MTC服务器还用于，将包含所述触发指令参数信息的 GPI信息发 送给待触发的 MTC设备；

所述 MTC设备，用于根据所接收的 GPI信息中的触发指令参数信息实 现触发。

9、根据权利要求 8所述 MTC设备触发的系统，其特征在于，所述 MTC 服务器进一步用于， 在接收到所述 GPI信息后， 将除触发指令参数信息之 外的 GPI信息、 以及待触发 MTC设备的用户相关信息保存到 SA中。

10、 根据权利要求 8所述 MTC设备触发的系统， 其特征在于， 所述 MTC设备进一步用于， 在接收到所述 GPI信息后， 将所述 GPI信息、 以及 自身的用户相关信息保存到 SA中。

11、根据权利要求 8、 9或 10所述 MTC设备触发的系统，其特征在于， 所述 MTC设备进一步用于，在实现触发后， 向 MTC服务器返回触发响应， 并建立与所述 MTC服务器之间的安全连接。

12、根据权利要求 8、 9或 10所述 MTC设备触发的系统，其特征在于， 所述 MTC服务器进一步用于，在向 BSF发送请求消息之前，接收所述 MTC 设备的注册， 并保存所述 MTC设备相关信息。

13、根据权利要求 8、 9或 10所述 MTC设备触发的系统，其特征在于， 所述触发指令参数信息包括： 触发指令参数名称。

14、 根据权利要求 13所述 MTC设备触发的系统， 其特征在于， 所述 触发指令参数信息进一步包括： MTC设备触发后发送信息的时间范围。