WO2013067772A1 - 一种mtc设备与uicc绑定的方法、装置及系统 - Google Patents

Abstract

本发明公开了一种机器类通信（MTC）设备与通用集成电路卡（UICC）绑定的方法，所述方法包括：在共享密钥的建立过程中，应用服务器（NAF）获取MTC设备的身份信息、以及UICC的身份信息（101）；NAF根据所述MTC设备的身份信息、以及UICC的身份信息，建立所述MTC设备与所述UICC之间的绑定关系，并保存到自身存储的绑定关系表中（102）。本发明还公开了用于MTC设备与UICC绑定的装置及系统，以及一种MTC设备与UICC之间建立共享密钥的方法和系统，使得采用增强的通用引导构架（GBA-U）方法实现MTC设备与UICC之间的绑定时绑定关系不会受到共享密钥生命周期的限制，从而能够实时确保MTC设备与UICC的使用安全。

Description

一种 MTC设备与 UICC绑定的方法、 装置及系统 技术领域

本发明涉及移动通信系统和机器类通信 （ MTC , Machine Type Communication )技术 , 特别地 , 涉及一种 MTC设备与通用集成电路卡 ( UICC, Universal Integrated Circuit Card )绑定的方法、 装置及系统。 背景技术

MTC是实现机器与机器、 机器与人之间的数据通信和交流的应用无线 通信技术， MTC应用范围非常广泛， 例如智能测量、 远程监控、 跟踪、 医 疗等。 与传统的人与人之间的通信相比， MTC中用于机器到机器通信的设 备， 即 MTC设备（MTC Device )数量巨大， 应用领域广泛， 具有巨大的 市场前景。

MTC中主要的远距离连接技术包括全球移动通信系统（GSM, Global System for Mobile communications )/通用分组无线服务技术（ GPRS, General Packet Radio Service) /通用移动通信系统 （UMTS , Universal Mobile Telecommunications System ) , 近距离连接技术主要有 802.11 b/g、 蓝牙、 紫 蜂（Zigbee )、 射频识别 （RFID, Radio Frequency Identification )等。 由于 MTC整合了无线通信和信息技术， 可用于双向通信， 如远距离收集信息、 设置参数和发送指令， 因此可实现不同的应用方案， 如安全监测、 自动售 货、 货物跟踪等。 几乎所有日常生活中涉及到的设备都有可能成为 MTC的 潜在服务对象。 MTC提供了设备实时数据在系统之间、 远程设备之间、 或 与个人之间建立无线连接的简单手段。

现有的 MTC系统中， MTC设备通过第三代合作伙伴计划（ 3GPP, Third Generation Partnership Projects ) 网络与 MTC服务器（ MTC Server )进行通 信。

在 3GPP 系统中， UICC 与终端之间可以使用通用引导架构 （GBA, Generic Bootstrapping Architecture )过程建立共享密钥， 用于 UICC与终端 之间建立安全连接， 并进行安全通信， UICC与终端之间的安全连接可以用 于对终端和 UICC进行绑定。 GBA定义了一种在终端和服务器之间通用的 密钥协商机制。如图 1所示，描述了 GBA及其各网元实体间的参考点描述。 其中， 用户设备（UE, User Equipment )是终端设备（如手机）和 (U)SIM 卡的总称， 这里的终端可以是插卡的移动终端（如手机等）， 也可以是插卡 的固定终端（如机顶盒等）；应用服务器（ NAF , Network Application Function ) 用于实现应用的业务逻辑功能，在完成对 UE的认证后为 UE提供业务服务； ？ I导月良务功能 ( BSF , Bootstrapping Server Function )是 GBA的核心网元， BSF 和 UE 通过认证与密钥协商协议 （AKA, Authentication and Key Agreement )实现认证，并且协商出随后用于 UE和 NAF间通信的会话密钥， BSF能够根据本地策略设定密钥的生命周期； 归属用户服务器（HSS, Home Subscriber Server )存储了 UE 中 (U) SIM卡的鉴权数据， 如 SIM卡中的密 钥 Ki等； BSF通过查询签约位置功能（ SLF, Subscriber Locator Function ) 获得存储相关用户数据的 HSS的相关信息 （如 HSS的名称）， 在单一 HSS 环境中、 或者当 BSF配置成使用预先指定的 HSS时， 不需要 SLF。

目前 3GPP网络支持在共享密钥方式下，建立 UICC与终端之间安全连 接， 通过安全连接实现对 UICC与终端之间的绑定。 3GPP定义的共享密钥 方式主要是：通过基于 UICC增强的 GBA ( GBA-U, GBA with UlCC-based enhancements )方式建立 UICC与终端之间的共享密钥 Ks— local, 再使用共 享密钥 Ks— local建立 UICC与终端之间的安全连接。如此建立的 UICC与终 端之间的绑定只能在共享密钥 Ks— local的生命周期内有效。

在 MTC系统中， 由于 MTC设备需要在无人干预的情况下进行通信， 在使用过程中， MTC设备可能被非法用户使用， 因此， 也需要将 UICC与 MTC设备绑定， 以避免 UICC和 MTC设备被非法使用。 在 3GPP中实现 UICC与终端绑定的方法也可以用于 MTC系统中 UICC与 MTC设备之间的 绑定。但在 MTC系统中，以 GBA-U方式建立的 UICC与 MTC设备之间的 绑定关系只能在共享密钥 Ks— local的生命周期内有效。在共享密钥 Ks— local 的生命周期结束后， UICC与 MTC设备之间的绑定关系会失去作用， 使得 MTC设备有可能被其他非法用户使用， 或者 UICC被用于非法的 MTC设 备。

因此，对于 3GPP网络和 MTC系统来说，在使用 GBA-U方法实现 MTC 设备与 UICC 之间的绑定时， 如何避免建立的绑定关系不受共享密钥 Ks— local生命周期的限制是需要解决的问题。 发明内容

有鉴于此， 本发明的主要目的在于提供一种 MTC设备与 UICC绑定的 方法、装置及系统，解决 MTC系统采用 GBA-U方法实现 MTC设备与 UICC 之间的绑定时绑定关系受共享密钥 Ks— local生命周期限制的问题。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种 MTC设备与 UICC绑定的方法， 所述方法包括： 在共享密钥的建立过程中， NAF获取 MTC设备的身份信息、以及 UICC 的身份信息；

NAF根据所述 MTC设备的身份信息、 以及 UICC的身份信息， 建立所 述 MTC设备与所述 UICC之间的绑定关系， 并保存到自身存储的绑定关系 表中。

在上述方案中， 所述共享密钥的建立过程为： 采用基于 UICC增强的 GBA ( GBA-U )方式建立共享密钥的过程。

在上述方案中， 所述 NAF根据所述 MTC设备的身份信息、 以及 UICC 的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 包括： 所述 NAF根据所述 UICC身份信息和所述 MTC设备的身份信息， 查 询所述 MTC设备的绑定关系、 以及所述 UICC的绑定关系， 在所述 MTC 设备与所述 UICC不存在绑定关系， 且 MTC设备与其他 UICC不存在绑定 关系、 同时所述 UICC与其他 MTC设备也不存在绑定关系时， 建立所述

MTC设备与所述 UICC之间的绑定关系。

在上述方案中，所述 MTC设备的身份信息包括以下信息中的一种或多 种： MTC设备的身份标识、 国际移动设备身份码（IMEI )、 IMEISV, 应用 身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码（ ICCID )、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述建立所述 MTC设备与所述 UICC之间的绑定关系， 包括： 建立所 述 MTC设备身份信息中的任意一种或多种信息、 与所述 UICC身份信息中 的任意一种或多种信息之间的对应关系。

在上述方案中， 所述方法还包括： 所述 NAF根据用户需求对自身存储 的绑定关系表进行更新。

本发明还提供了一种 MTC设备与 UICC之间建立共享密钥的方法， 所 述方法包括：

NAF接收 MTC设备所发送包含有所述 MTC设备的身份信息、 以及 UICC的身份信息的服务请求；

NAF基于所述 MTC设备的身份信息、 以及 UICC的身份信息， 查询自 身存储的绑定关系表中所述 MTC设备的绑定关系、 以及所述 UICC的绑定 关系；

在所述 MTC设备与 UICC之间存在绑定关系时， NAF生成用于所述 MTC设备与 UICC之间安全通信的共享密钥， 确定所述共享密钥的生命周 期， 并将所述共享密钥以及所述共享密钥的生命周期返回给所述 MTC设 备。

本发明还提供了一种用于实现 MTC设备与 UICC绑定的装置， 所述装 置包括： 获取单元、 绑定单元和存储单元； 其中，

获取单元，用于在共享密钥的建立过程中，获取 MTC设备的身份信息、 以及 UICC的身份信息；

绑定单元， 用于根据所述获取单元所获取 MTC设备的身份信息、 以及 UICC的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并 保存到存储单元中的绑定关系表；

存储单元， 用于保存所述绑定关系表。

在上述方案中， 所述获取单元， 用于在采用 GBA-U方式建立共享密钥 的过程中， 获取 MTC设备的身份信息、 以及 UICC的身份信息。

在上述方案中， 所述绑定单元， 用于： 根据所述获取单元所获取 UICC 身份信息和所述 MTC设备的身份信息，查询所述存储单元保存的绑定关系 表中所述 MTC设备的绑定关系、 以及所述 UICC的绑定关系，在所述 MTC 设备与所述 UICC不存在绑定关系， 且所述 MTC设备与其他 UICC不存在 绑定关系、 同时所述 UICC与其他 MTC设备也不存在绑定关系时， 建立所 述 MTC设备与所述 UICC之间的绑定关系。

在上述方案中，所述 MTC设备的身份信息包括以下信息中的一种或多 种： MTC设备的身份标识、 国际移动设备身份码（IMEI )、 IMEISV, 应用 身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码（ ICCID )、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述绑定单元还用于建立所述 MTC设备身份信息中的任意一种或多 种信息、 与所述 UICC身份信息中的任意一种或多种信息之间的对应关系。 本发明还提供了一种用于实现 MTC设备与 UICC绑定的系统， 所述系 统包括： MTC设备、 UICC和 NAF, NAF包括获取单元、 绑定单元和存储 单元； 其中，

获取单元，用于在共享密钥的建立过程中，所述 MTC设备从所述 UICC 获取 UICC的身份信息后，从所述 MTC设备中获取 MTC设备的身份信息、 以及 UICC的身份信息；

绑定单元， 用于根据所述获取单元所获取 MTC设备的身份信息、 以及 UICC的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并 保存到存储单元中的绑定关系表；

存储单元， 用于保存所述绑定关系表。

在上述方案中，所述 MTC设备的身份信息包括以下信息中的一种或多 种： MTC设备的身份标识、 国际移动设备身份码（IMEI )、 IMEISV, 应用 身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码（ ICCID )、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述绑定单元还用于：建立所述 MTC设备身份信息中的任意一种或多 种信息、 与所述 UICC身份信息中的任意一种或多种信息之间的对应关系。

本发明还提供了一种用于实现 MTC设备与 UICC建立共享密钥的系 统， 所述系统包括： MTC设备、 UICC和 NAF; 其中，

MTC设备， 用于与所述 UICC交互， 启动共享密钥的建立， 并从所述 UICC中获取 UICC的身份信息；

NAF, 用于接收到所述 MTC设备所发送包含有所述 MTC设备的身份 信息、以及 UICC的身份信息的服务请求，基于所述 MTC设备的身份信息、 以及 UICC的身份信息， 查询自身存储的绑定关系表中所述 MTC设备的绑 定关系、 以及所述 UICC的绑定关系； 在所述 MTC设备与 UICC之间存在 绑定关系时， 生成用于所述 MTC设备与 UICC之间安全通信的共享密钥， 得到所述共享密钥的生命周期， 并将所述共享密钥以及所述共享密钥的生 命周期返回给所述 MTC设备。

本发明提供的 MTC设备与 UICC绑定方法、装置及系统， NAF在共享 密钥的建立过程中获取 MTC设备的身份信息、 以及 UICC的身份信息， 建 立所述 MTC设备与所述 UICC之间的绑定关系并保存，实现 UICC与 MTC 设备之间的绑定， 限制 UICC用于特定的 MTC设备， 使得采用 GBA-U方 法实现 MTC设备与 UICC之间的绑定时绑定关系不会受到共享密钥生命周 期的限制， 从而能够实时确保 MTC设备与 UICC的使用安全。 附图说明

图 1为现有 GBA的组成结构示意图；

图 2为本发明 MTC设备与 UICC绑定方法的实现流程图；

图 3为本发明实施例一中用于 MTC设备与 UICC绑定的系统的组成结 构示意图；

图 4为本发明实施例一中 MTC设备与 UICC绑定过程的流程示意图； 图 5为本发明实施例一中 MTC设备与 UICC绑定后建立共享密钥的流 程示意图。 具体实施方式

本发明的基本思想是： UICC与 MTC设备建立共享密钥的过程中， 在 NAF上建立 UICC与 MTC设备的绑定关系并保存到绑定关系表中， 实现 UICC与 MTC设备的绑定， 以限制 UICC用于特定的 MTC设备。

本发明 MTC设备与 UICC绑定方法， 如图 2所示， 主要可以包括如下 步驟：

步驟 101 : 在共享密钥 Ks— local的建立过程中， NAF获取 MTC设备的 身份信息、 以及 UICC的身份信息；

这里， 共享密钥 Ks— local的建立过程具体为： 采用 GBA-U方式建立共 享密钥 Ks— local的过程。

步驟 102: NAF根据所述 MTC设备的身份信息、 以及 UICC的身份信 息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并保存到自身存储 的绑定关系表中。

实际应用中， 当 MTC设备与 UICC之间需要进行安全通信时， MTC 设备与 UICC之间不存在共享密钥 Ks— local,则启动共享密钥 Ks— local建立 过程； 在共享密钥 Ks— local的建立过程中， NAF获取 MTC设备的身份信 息、 以及 UICC身份信息， 并基于 MTC设备的身份信息与 UICC的身份信 息， 建立 MTC设备与 UICC的绑定关系并保存到所述绑定关系表中。

其中， 所述建立所述 MTC设备与所述 UICC之间的绑定关系， 具体可 以是：建立所述 MTC设备身份信息与所述 UICC身份信息之间的关联关系。

这里， MTC设备的身份信息可以包括以下信息中的一种或多种： MTC 设备的身份标识（Terminal— ID )、 国际移动设备身份码（ IMEI, International Mobile Equipment Identity ), IMEISV、 应用身份标识（ Terminal— appli— ID ) 等。

UICC的身份信息可以包括以下信息中的一种或多种： UICC的集成电 路卡识别码（ ICCID, Integrate Circuit Card Identity ), UICC上 USIM的身 份信息 （如 USIM 的国际移动用户识别码 （IMSI , International Mobile Subscriber Identification Number ) )、 和 UICC 的应用 身份标识 ( UICC appli lD )等信息。

这里， 所述建立所述 MTC设备与所述 UICC之间的绑定关系， 可以包 括： 建立所述 MTC设备身份信息中的任意一种或多种信息、 与所述 UICC 身份信息中的任意一种或多种信息之间的对应关系。 实际应用中， UICC与 MTC设备的绑定关系还可以根据用户的需求进 行更新。 具体地， 用户通过 MTC设备登录到所述 NAF上， 向所述 NAF发 送更新请求， NAF判断所述更新请求有效时， 按照所述更新请求对自身存 储的绑定关系表进行更新。 例如， 当用户原有的 MTC设备损坏或不在属于 该用户时， 用户可以通过登录所述 NAF, 向所述 NAF发送更新请求， NAF 判断所述更新请求有效时， 按照所述更新请求对自身存储的对应于该用户 的绑定关系表进行更新。

相应的， 本发明还提供了一种 MTC设备与 UICC之间建立共享密钥的 方法， 该方法通过 GBA-U方式实现， 具体地， 该方法包括： NAF接收到 MTC设备所发送包含有所述 MTC设备的身份信息、 以及 UICC的身份信 息的服务请求后， 查询自身存储的绑定关系表中所述 MTC设备的绑定关 系、 以及所述 UICC的绑定关系， 在所述 MTC设备与 UICC之间存在绑定 关系时， 生成共享密钥， 确定所述共享密钥的生命周期， 并将所述共享密 钥以及所述共享密钥的生命周期返回给所述 MTC设备。

这里， 如果 MTC设备与其他 UICC有绑定关系， 和 /或 UICC与其他 MTC设备存在绑定关系， 则 NAF拒绝 MTC设备的请求。

相应的，本发明还提供了一种用于实现 MTC设备与 UICC绑定的装置， 所述装置包括： 获取单元、 绑定单元和存储单元； 其中， 获取单元， 用于 在共享密钥的建立过程中， 获取 MTC设备的身份信息、 以及 UICC的身份 信息； 绑定单元， 用于根据所述获取单元所获取 MTC设备的身份信息、 以 及 UICC的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并保存到存储单元中的绑定关系表； 存储单元， 用于保存所述绑定关系表。

这里，所述获取单元可以用于在采用 GBA-U方式建立共享密钥的过程 中， 获取 MTC设备的身份信息、 以及 UICC的身份信息。

这里，所述绑定单元可以用于：根据所述获取单元所获取 UICC身份信 息和所述 MTC设备的身份信息，查询所述存储单元保存的绑定关系表中所 述 MTC设备的绑定关系、 以及所述 UICC的绑定关系， 在所述 MTC设备 与所述 UICC不存在绑定关系，且 MTC设备与其他 UICC不存在绑定关系、 同时所述 UICC与其他 MTC设备也不存在绑定关系时， 建立所述 MTC设 备与所述 UICC之间的绑定关系。具体地，所述绑定单元用于建立所述 MTC 设备身份信息中的任意一种或多种信息、与所述 UICC身份信息中的任意一 种或多种信息之间的对应关系。

本发明还提供了一种用于实现 MTC设备与 UICC绑定的系统， 所述系 统包括： 上述的 MTC设备、 UICC和 NAF。

此外， 本发明还提供了一种用于实现 MTC设备与 UICC建立共享密钥 的系统， 所述系统可以包括： MTC设备、 UICC和 NAF; 其中， MTC设备， 用于与所述 UICC交互，启动共享密钥的建立，并从所述 UICC中获取 UICC 的身份信息； NAF, 用于接收到所述 MTC设备所发送包含有所述 MTC设 备的身份信息、 以及 UICC的身份信息的服务请求， 基于所述 MTC设备的 身份信息、以及 UICC的身份信息，查询自身存储的绑定关系表中所述 MTC 设备的绑定关系、 以及所述 UICC的绑定关系； 在所述 MTC设备与 UICC 之间存在绑定关系时， 生成用于所述 MTC设备与 UICC之间安全通信的共 享密钥， 得到所述共享密钥的生命周期， 并将所述共享密钥以及所述共享 密钥的生命周期返回给所述 MTC设备。

实际应用中， 所述用于实现 MTC设备与 UICC绑定的系统、 以及用于 实现 MTC设备与 UICC建立共享密钥的系统可以是同一个系统。

实施例一

本实施例中， 以 3GPP网络为例说明 UICC与 MTC设备绑定的具体实 现过程。

图 3是本实施例中用于实现 UICC与 MTC设备绑定的系统的组成结构 示意图， 其中， 所述系统包括： MTC设备、 UICC和 NAF, 其中， UICC 安装在 MTC设备上， NAF负责 UICC与 MTC设备之间的密钥建立过程， MTC与 UICC之间的绑定关系存储在 NAF上。

实际应用中， 所述系统还可以包括： BSF , 所述 NAF与 BSF共同用于 采用 GBA-U方式实现 UICC与 MTC设备之间的共享密钥建立过程， 具体 地， BSF用于通过 AKA协议对 MTC设备进行认证， 并能够根据本地策略 设定共享密钥的生命周期。 NAF是用于建立 MTC设备与 UICC之间共享密 钥的密钥中心， 它可以位于移动通信网络中， 也可以位于移动通信网络之 外。

其中， UICC上设置有用户身份识别模块。 这里， 用户身份识别模块可 以是用户标识模块（ SIM, Subscriber Identity Module )、 通用用户标识模块 ( USIM, Universal Subscriber Identity Module )或 IP多媒体业务标识模块 ( ISIM, IP Multi Media Service Identity Module )。

本实施例中， UICC与 MTC设备绑定的具体实现流程， 如图 4所示， 可以包括如下步驟：

步驟 200: MTC设备检查自身是否存储有用于与 UICC进行通信的合 法共享密钥 Ks— local, 如果是， 则继续步驟 201 , 如果不是， 则需要启动基 于 GBA-U的密钥建立过程， 继续步驟 202;

步驟 201 : MTC设备向 UICC发送共享密钥 Ks— local的检验请求， 请 求 UICC检验其是否也有合法的共享密钥 Ks— local, UICC接收到所述检验 请求， 检验自身是否有合法的共享密钥 Ks— local, 如果不是， 则继续步驟 202, 如果是， 则结束当前流程；

步驟 202: MTC设备向 UICC发送用于启动密钥建立过程的请求。 这里，所述用于启动密钥建立过程的请求中可以包括 MTC设备的身份 信息。 其中， MTC设备的身份信息可以包括如下信息的一种或多种： MTC 设备的身份标识、 MTC设备的 IMEI或 IMEISV、 MTC设备的应用身份标 识等。

步驟 203: UICC接收所述 MTC设备所发送启动密钥建立过程的请求， 启动 GBA-U过程， 生成中间密钥 Ks— int— NAF、 以及用于标识当前 GBA-U 过程的引导会话标识 ( B-TID, Bootstrapping Transaction Identifier ), 从自身 存储的信息中或从 BSF 上获取 NAF 的 NAF— ID, 并向 MTC设备反馈 NAF— ID、 B-TID以及自身的身份信息；

步驟 204: MTC设备向 UICC发送共享密钥生成指令， UICC接收所述 共享密钥生成指令，生成共享密钥 Ks— local,并得到共享密钥 Ks— local的生 命周期等信息；

这里， 由 BSF设定共享密钥 Ks— local的生命周期后返回给 UICC。 步驟 205: MTC设备基于 UICC反馈的 NAF— ID与 NAF建立安全连接； 步驟 206: MTC设备通过与 NAF之间建立的安全连接， 向 NAF发送 服务请求， 所述服务请求中包含 UICC反馈的 B-TID和 UICC身份信息、 以及所述 MTC设备的身份信息；

步驟 207: NAF根据所述服务请求中的 UICC身份信息和所述 MTC设 备的身份信息， 查询 MTC设备的绑定关系、 以及 UICC 的绑定关系， 在 MTC设备与所述 UICC不存在绑定关系，且 MTC设备与其他 UICC不存在 绑定关系、 同时所述 UICC与其他 MTC设备也不存在绑定关系时， 继续步 驟 208;

具体地， NAF在自身存储的绑定关系表中查询是否存在 UICC身份信 息和所述 MTC设备的身份信息之间的绑定关系， 如果是， 则所述 MTC设 备与 UICC之间存在绑定关系， 如果不是， 则所述 MTC设备与 UICC之间 不存在绑定关系。

步驟 208: NAF 根据所述服务请求信息中的 B-TID, 生成共享密钥 Ks— local, 并确定共享密钥 Ks— local的生命周期， 将所述共享密钥 Ks— local 及其生命周期发送给 MTC设备， 并将所述服务请求信息中 UICC身份信息 和所述 MTC设备的身份信息绑定后存储到自身存储的绑定关系表中， 实现 共享密钥 Ks— local的建立、 以及所述 MTC设备与 UICC之间的绑定。

其中， UICC与 MTC设备之间的绑定关系具体可以是以下的一种或多 种：

第一： UICC与 MTC设备之间的绑定关系： 即 UICC的 ICCID与 MTC 设备的 Terminal— ID之间的对应关系；

第二： UICC上 USIM与 MTC设备的绑定关系： 即 UICC上 USIM的 身份信息（如 IMSI )与 MTC设备的身份信息（如 IMEI或 IMEISV ) 的对 应关系；

第三： UICC 上应用与 MTC 设备上应用的关联关系： 即 UICC 的 UICC appli lD与 MTC设备的 Terminal— appli— ID之间的对应关系； 或者， UICC 的 ICCID 及 UICC— appli— ID、 与 MTC 设备的 Terminal— ID 及 Terminal— appli— ID之间的对应关系； 或者， UICC上 USIM的 IMSI及 UICC 的 UICC— appli— ID、 与 MTC设备的身份信息（ IMEI或 IMEISV )及 MTC 设备的 Terminal— appli— ID之间的对应关系。

实际应用中，在 MTC设备与 UICC之间建立绑定关系后， UICC与 MTC 设备之间的共享密钥 Ks— local失效， 需要进行安全通信时， 则需要重新建 立新的共享密钥 Ks— local, 此时， 建立共享密钥 Ks— local的具体实现流程， 如图 5所示， 可以包括如下步驟：

步驟 300-306: 与步驟 200-206完全相同；

步驟 307: NAF根据所述服务请求信息中的 UICC身份信息和所述 MTC 设备的身份信息， 查询 MTC设备的绑定关系、 以及 UICC的绑定关系， 在 MTC设备与其他 UICC存在绑定关系、 和 /或 UICC与其他 MTC设备存在 绑定关系， 且 MTC设备与所述 UICC不存在绑定关系时， 则 NAF拒绝所 述 MTC的服务请求， 返回服务请求失败的消息给所述 MTC设备， 结束当 前流程； 在所述 MTC设备与所述 UICC存在绑定关系时， 继续步驟 308;

步驟 308: NAF 根据所述服务请求信息中的 B-TID, 生成共享密钥 Ks— local, 并得到共享密钥 Ks— local的生命周期， 将所述共享密钥 Ks— local 及其生命周期发送给 MTC设备， 实现共享密钥 Ks— local的建立。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种机器类通信 MTC设备与通用集成电路卡 UICC绑定的方法， 其特征在于， 所述方法包括：

在共享密钥的建立过程中， 应用服务器 NAF获取 MTC设备的身份信 息、 以及 UICC的身份信息；

NAF根据所述 MTC设备的身份信息、 以及 UICC的身份信息， 建立所 述 MTC设备与所述 UICC之间的绑定关系， 并保存到自身存储的绑定关系 表中。

2、 根据权利要求 1所述 MTC设备与 UICC绑定的方法， 其特征在于， 所述共享密钥的建立过程为：采用基于 UICC增强的 GBA GBA-U方式 建立共享密钥的过程。

3、 根据权利要求 1所述 MTC设备与 UICC绑定的方法， 其特征在于， 所述 NAF根据所述 MTC设备的身份信息、 以及 UICC的身份信息， 建立 所述 MTC设备与所述 UICC之间的绑定关系， 包括：

所述 NAF根据所述 UICC身份信息和所述 MTC设备的身份信息， 查 询所述 MTC设备的绑定关系、 以及所述 UICC的绑定关系， 在所述 MTC 设备与所述 UICC不存在绑定关系， 且 MTC设备与其他 UICC不存在绑定 关系、 同时所述 UICC与其他 MTC设备也不存在绑定关系时， 建立所述 MTC设备与所述 UICC之间的绑定关系。

4、 根据权利要求 1或 3所述 MTC设备与 UICC绑定的方法， 其特征 在于，

所述 MTC设备的身份信息包括以下信息中的一种或多种： MTC设备 的身份标识、 国际移动设备身份码 IMEI、 IMEISV, 应用身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码 ICCID、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述建立所述 MTC设备与所述 UICC之间的绑定关系， 包括： 建立所 述 MTC设备身份信息中的任意一种或多种信息、 与所述 UICC身份信息中 的任意一种或多种信息之间的对应关系。

5、 根据权利要求 1至 3任一项所述 MTC设备与 UICC绑定的方法， 其特征在于， 所述方法还包括： 所述 NAF根据用户需求对自身存储的绑定 关系表进行更新。

6、 一种 MTC设备与 UICC之间建立共享密钥的方法， 其特征在于， 所述方法包括：

NAF接收 MTC设备所发送包含有所述 MTC设备的身份信息、 以及 UICC的身份信息的服务请求；

NAF基于所述 MTC设备的身份信息、 以及 UICC的身份信息， 查询自 身存储的绑定关系表中所述 MTC设备的绑定关系、 以及所述 UICC的绑定 关系；

在所述 MTC设备与 UICC之间存在绑定关系时， NAF生成用于所述 MTC设备与 UICC之间安全通信的共享密钥， 确定所述共享密钥的生命周 期， 并将所述共享密钥以及所述共享密钥的生命周期返回给所述 MTC设 备。

7、 一种用于实现 MTC设备与 UICC绑定的装置， 其特征在于， 所述 装置包括： 获取单元、 绑定单元和存储单元； 其中，

获取单元，用于在共享密钥的建立过程中，获取 MTC设备的身份信息、 以及 UICC的身份信息；

绑定单元， 用于根据所述获取单元所获取 MTC设备的身份信息、 以及 UICC的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并 保存到存储单元中的绑定关系表；

存储单元， 用于保存所述绑定关系表。

8、 根据权利要求 Ί所述用于实现 MTC设备与 UICC绑定的装置， 其 特征在于，所述获取单元，用于在采用 GBA-U方式建立共享密钥的过程中， 获取 MTC设备的身份信息、 以及 UICC的身份信息。

9、 根据权利要求 7所述用于实现 MTC设备与 UICC绑定的装置， 其 特征在于， 所述绑定单元， 用于： 根据所述获取单元所获取 UICC身份信息 和所述 MTC设备的身份信息，查询所述存储单元保存的绑定关系表中所述 MTC设备的绑定关系、 以及所述 UICC的绑定关系， 在所述 MTC设备与 所述 UICC不存在绑定关系， 且所述 MTC设备与其他 UICC不存在绑定关 系、同时所述 UICC与其他 MTC设备也不存在绑定关系时，建立所述 MTC 设备与所述 UICC之间的绑定关系。

10、 根据权利要求 7所述实现 MTC设备与 UICC绑定的装置， 其特征 在于，

所述 MTC设备的身份信息包括以下信息中的一种或多种： MTC设备 的身份标识、 国际移动设备身份码 IMEI、 IMEISV, 应用身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码 ICCID、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述绑定单元还用于建立所述 MTC设备身份信息中的任意一种或多 种信息、 与所述 UICC身份信息中的任意一种或多种信息之间的对应关系。

11、 一种用于实现 MTC设备与 UICC绑定的系统， 其特征在于， 所述 系统包括： MTC设备、 UICC和 NAF, NAF包括获取单元、 绑定单元和存 储单元； 其中，

获取单元，用于在共享密钥的建立过程中，所述 MTC设备从所述 UICC 获取 UICC的身份信息后，从所述 MTC设备中获取 MTC设备的身份信息、 以及 UICC的身份信息；

绑定单元， 用于根据所述获取单元所获取 MTC设备的身份信息、 以及 UICC的身份信息， 建立所述 MTC设备与所述 UICC之间的绑定关系， 并 保存到存储单元中的绑定关系表；

存储单元， 用于保存所述绑定关系表。

12、 根据权利要求 11所述实现 MTC设备与 UICC绑定的系统， 其特 征在于，

所述 MTC设备的身份信息包括以下信息中的一种或多种： MTC设备 的身份标识、 国际移动设备身份码 IMEI、 IMEISV, 应用身份标识；

所述 UICC的身份信息包括以下信息中的一种或多种： UICC的集成电 路卡识别码 ICCID、 UICC上 USIM的身份信息和 UICC的应用身份标识； 所述绑定单元还用于建立所述 MTC设备身份信息中的任意一种或多 种信息、 与所述 UICC身份信息中的任意一种或多种信息之间的对应关系。

13、 一种用于实现 MTC设备与 UICC建立共享密钥的系统， 其特征在 于， 所述系统包括： MTC设备、 UICC和 NAF; 其中，

MTC设备， 用于与所述 UICC交互， 启动共享密钥的建立， 并从所述 UICC中获取 UICC的身份信息；

NAF, 用于接收到所述 MTC设备所发送包含有所述 MTC设备的身份 信息、以及 UICC的身份信息的服务请求，基于所述 MTC设备的身份信息、 以及 UICC的身份信息， 查询自身存储的绑定关系表中所述 MTC设备的绑 定关系、 以及所述 UICC的绑定关系； 在所述 MTC设备与 UICC之间存在 绑定关系时， 生成用于所述 MTC设备与 UICC之间安全通信的共享密钥， 得到所述共享密钥的生命周期， 并将所述共享密钥以及所述共享密钥的生 命周期返回给所述 MTC设备。