专利名称:移动用户身份识别卡与机器类通信设备绑定的方法及装置的制作方法
技术领域:
本发明涉及移动通信系统和机器类通信(Machine Type Communication, MTC)技术,尤其涉及一种移动用户身份识别卡UICC(Universal Integrated Circuit Card)与MTC设备绑定的方法及装置。
背景技术:
机器类通信是指应用无线通信技术,实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。MTC有两层含义:第一层是机器本身,在嵌入式领域称为智能设备。第二层意思是机器和机器之间的连接,通过网络把机器连接在一起。机器类通信的应用范围非常广泛,例如智能测量、远程监控、跟踪、医疗等,使人类生活更加智能化。与传统的人与人之间的通信相比,MTC设备(MTC Device)数量巨大,应用领域广泛,具有巨大的市场前景。在MTC通信中,主要的远距离连接技术包括全球移动通信系统GSM/通用分组无线业务GPRS/通用移动通信系统UMTS,近距离连接技术主要有802.llb/g、蓝牙、Zigbee、射频识别RFID等。由于MTC整合了无线通信和信息技术,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此可实现不同的应用方案,如安全监测、自动售货、货物跟踪等。几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。MTC提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。机器类通信的系统架构示例如图1所示,其中MTC设备(MTC Device)通过移动通信网络与MTC服务器(MTC Server)进行通信。在3GPP系统中,UICC卡与终端之间可以使用GBA过程建立共享密钥,用于WCC与终端之间建立安全连接,并进行安全通信。ncc与终端之间建立的安全连接可以用于对终端和HCC进行绑定。在3GPP中实现HCC与终端绑定的方法也可以用于MTC系统中HCC与MTC设备之间的绑定。GBA是指通用引导架构(Generic Bootstrapping Architecture),GBA体系架构定义了一种在终端和服务器之间的通用的密钥协商机制。图2描述了 GBA体系架构的网络模型,以及这些网元实体间的参考点描述。I)用户设备(User Equipment, UE):UE是终端设备(如手机)和用户识别模块SIM/通用用户识别模块USM卡的总称,这里的终端可以是插卡的移动终端(如手机等),也可以是插卡的固定终端(如机顶盒等);2)网络应用功能(Network Application Function, NAF):即指应用服务器,实现应用的业务逻辑功能,在完成对终端的认证后为终端提供业务服务;3)引导服务功能(Bootstrapping Server Function, BSF):BSF 是 GBA 的核心网元,BSF和UE通过AKA协议实现认证,并且协商出随后用于UE和NAF间通信的会话密钥,BSF能够根据本地策略设定密钥的生命期;4)归属用户系统(Home Subscriber System, HSS):存储了终端(U)SM卡中的鉴权数据,如SIM卡中的Ki等;
5)用户位置功能(Subscriber Locator Function, SLF):BSF 通过查询 SLF 获得存储相关用户数据的HSS名称。在单一 HSS环境中并不需要SLF。另外,当BSF配置成使用预先指定的HSS时,也不要求使用SLF。在MTC系统中,由于MTC设备需要在无人干预的情况下进行通信,在使用过程中,MTC设备上的nCC可能被非法用户使用,因此,需要对nCC与MTC设备进行绑定,以避免nCC用于非法的MTC设备。目前3GPP网络支持在预共享密钥的方式下,建立与终端之间安全连接,通过安全连接实现对ncc与终端之间的绑定。3GPP定义的一种预共享密钥方式是基于GBA-U (GBA with UlCC-based enhancements,基于UICC增强的通用引导架构)方式建立
与终端之间的预共享密钥Ks_local,并用Ks_local建立WCC与终端之间的安全连接。以GBA-U方式建立的nCC与终端之间的绑定关系受到Ks_local的生命周期等因素的限制,使得nCC与终端之间建立的绑定关系只能在Ks_local的生命周期内有效。在MTC系统中,如果采用GBA-U方式建立nCC与MTC设备之间的绑定关系,则在Ks_local的生命周期结束后,UICC与MTC设备之间的限制关系则会失去作用,UICC就可能被用于其他非法MTC设备。因此,对于3GPP网络和MTC系统来说,在使用GBA-U方法实现MTC设备与HCC之间的绑定的情况下,如何避免建立的绑定关系不受Ks_local的生命周期限制是需要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种用于ncc卡和MTC设备绑定的方法和装置,用于解决在使用GBA-U方法实现MTC设备与nCC之间的绑定时,绑定关系受预共享密钥Ks_local的生命周期限制的技术问题。为达到上述目的,本发明的技术方案是这样实现的:一种移动用户身份识别卡与机器类通信设备绑定的方法,该方法包括:当机器类通信MTC设备与移动用户身份识别卡之间需要进行安全通信时,MTC设备检查MTC设备和nCC上是否有共享密钥Ks_local,当MTC设备和WCC上没有共享密钥Ks_local时,MTC设备启动基于WCC增强的通用引导架构GBA-U的共享密钥Ks_local建立过程,在nCC上建立nCC与MTC设备之间的绑定关系,以实现WCC与MTC设备之间的绑定。进一步地,所述方法还包括:在MTC设备检测到MTC设备和上有共享密钥Ks_local时,MTC设备向WCC发送一个请求,以检查ncc上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在nCC上可用的信息,如果WCC没有所要求的可用Ks_local,则MTC设备启动所述基于GBA-U的密钥建立过程,在WCC上建立WCC与MTC设备之间的绑定关系,以实现nCC与MTC设备之间的绑定。进一步地,所述建立与MTC设备之间的绑定关系的步骤具体为:MTC设备向发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;
当HCC依据MTC设备的身份相关信息判定在上未存储WCC与MTC设备的绑定关系时,UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local,并在HCC上存储UICC与MTC设备的绑定关系,以实现nCC与MTC设备之间的绑定。进一步地,所述HCC与MTC设备之间的绑定关系指WCC与MTC设备之间的关联关系,所述ncc与MTC设备之间的绑定关系通过ncc的身份标识ICCID与MTC设备的身份标识Terminal_ID的对应关系来表示。进一步地,所述HCC与MTC设备之间的绑定关系指WCC上的USIM与MTC设备之间的关联关系,所述ncc与MTC设备之间的绑定关系通过USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。进一步地,所述HCC与MTC设备之间的绑定关系指WCC上应用与MTC设备上应用之间的关联关系,所述ncc与MTC设备之间的绑定关系通过ncc上的应用身份标识ncc_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过nCC的身份标识ICCID及nCC上的应用身份标识nCC_appli_ID与MTC设备身份标识Terminal_ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过nCC上的USM的身份信息MSI及Π(Χ上的应用身份标识UICC_appli_ID与MTC设备身份信息MEI或MEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。进一步地,所述HCC与MTC设备之间的绑定关系指WCC与一个或多个MTC设备之间的绑定关系,当ncc与多个MTC设备绑定时,指ncc上的USIM与多个MTC设备有关联关系,或指nCC上的应用与多个MTC设备上的应用有关联关系。进一步地,所述HCC与MTC设备的对应关系存储在WCC上的关联关系表中。进一步地,当HCC上无HCC与MTC设备的关联关系表,或WCC与MTC设备的关联关系表为空时,则ncc判定在ncc上未存储ncc与MTC设备的对应关系。进一步地,所述方法还包括:当HCC上存储有与MTC设备的关联关系表,且UICC与MTC设备的关联关系表不为空表时,如果MTC设备需要与nCC通过GBA-U方式建立共享密钥,则WCC需要通过存储的绑定关系判断MTC设备是否是nCC受限使用的MTC设备,如果MTC设备是WCC受限使用的MTC设备,则MTC设备与nCC通过GBA-U方式建立共享密钥,如果MTC设备不是UICC受限使用的MTC设备,则nCC拒绝MTC设备建立共享密钥Ks-1ocal的请求。进一步地,所述HCC与MTC设备的绑定关系由用户通过安全方式直接对存储的关联关系表进行设置并更新;或通过无线下载OTA的方式对存储在nCC卡上的nCC与MTC设备的绑定关系进行设置和更新。本发明还提供一种移动用户身份识别卡与机器类通信MTC设备绑定的装置,该装置包括:检查模块,用于在MTC设备与之间需要进行安全通信时,检查MTC设备和UICC上是否有合法的共享密钥Ks_local ;绑定模块,用于在MTC设备和上没有合法的共享密钥Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,在WCC上建立HCC与MTC设备之间的绑定关系,以实现nCC与MTC设备之间的绑定。
进一步地,所述装置还包括:可用密钥检查模块,用于在检测到MTC设备和上有合法的共享密钥Ks_local时,向HCC发送一个请求,以检查ncc上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在nCC上可用的信息;所述绑定模块还用于在没有所要求的可用Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,建立nCC与MTC设备之间的绑定关系。进一步地,所述绑定模块包括:请求模块,用于向发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息;绑定关系判断模块,用于依据MTC设备的身份相关信息判断在上是否存储了UICC与MTC设备之间的绑定关系;密钥建立模块,用于在上未存储与MTC设备之间的绑定关系时,通过GBA-U过程为HCC与MTC设备建立共享密钥Ks_local ;绑定关系存储模块,用于在上存储与MTC设备之间的绑定关系,以实现UICC与MTC设备之间的绑定。进一步地,所述绑定关系存储模块使用关联关系表在上存储与MTC设备的对应关系。进一步地,当HCC上无HCC与MTC设备的关联关系表,或WCC与MTC设备的关联关系表为空时,则所述绑定判断模块判定在ncc上未存储ncc与MTC设备的对应关系。进一步地,当HCC上存储有与MTC设备的关联关系表,且WCC与MTC设备的关联关系表不为空表时,如果MTC设备需要与nCC通过GBA-U方式建立共享密钥,则所述绑定判断模块还用于通过存储的绑定关系判断MTC设备是否是nCC受限使用的MTC设备;所述密钥建立模块还用于在MTC设备是受限使用的MTC设备时,通过GBA-U方式建立MTC设备与nCC之间的共享密钥Ks-1ocal ;在MTC设备不是WCC受限使用的MTC设备时,拒绝建立MTC设备与nCC之间的共享密钥Ks-1ocal。有益效果:在上建立MTC设备与HCC的绑定关系后,当存储于HCC与MTC设备上的共享密钥过期时,UICC与MTC设备可以基于建立的绑定关系,通过GBA-U过程重新建立共享密钥Ks-1ocal。从而使得与MTC设备之间的绑定关系不受共享密钥Ks-1ocal生命周期的限制。
图1为机器类通信的系统架构图;图2为GBA体系架构的网络模型;图3为本发明MTC设备与nCC通过基于GBA-U的方式建立MTC设备与HCC之间共享密钥的网络模型图;图4为本发明实施例提供的与MTC设备绑定流程示意图;图5为本发明实施例提供的与MTC设备共享密钥建立流程示意具体实施例方式为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。本发明中,MTC设备是指移动通信网络中用于机器到机器通信的设备,移动用户身份识别卡ncc安装在MTC设备上。用户身份识别模块(如用户标识模块SM、通用用户标识模块USM及IP多媒体业务标识模块ISM等)位于nCC上。移动服务功能BSF和MTC设备通过认证与密钥协商协议AKA实现认证,BSF能够根据本地策略设定密钥的生命期;网络应用功能NAF负责nCC与MTC设备之间的密钥建立过程,本发明中,NAF是指用于建立MTC设备与nCC之间共享密钥的密钥中心,它可以位于移动通信网络中,也可以位于移动通信网络之外。如图3所示,本发明中,MTC设备与nCC通过基于GBA-U的方式建立MTC设备与nCC之间的共享密钥Ks_local。在本发明中,上未存储HCC与MTC设备的关联关系表,或HCC与MTC设备的关联关系表为空表时,ncc可以与任何MTC设备通过GBA-U方式建立共享密钥,然后在UICC上建立nCC与MTC设备的绑定关系并将绑定关系保存到nCC与MTC设备的关联关系表中,以实现nCC与MTC设备的绑定,以限制nCC用于特定的MTC设备。在本发明中,UICC与MTC设备之间的绑定关系,具体的可以是指WCC与MTC设备之间的关联关系。这种情况下,UICC与MTC设备之间的绑定关系可以用ncc的身份标识ICCID与MTC设备的身份标识(Terminal_ID)的对应关系来表示。在本发明中,与MTC设备之间的绑定关系,具体的也可以是指上USM与MTC设备的关联关系。这时,UICC与MTC设备之间的绑定关系可以用nCC上的USM身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。所述USIM的身份相关信息可以为国际移动用户识别码MSI,所述MTC设备的身份相关信息可以为国际移动设备身份码MEI或国际移动设备身份码及软件版本MEISV。在本发明中,与MTC设备之间的绑定关系,具体的也可以是指HCC上应用与MTC设备上应用的关联关系。这时,UICC与MTC设备之间的绑定关系可以用nCC上的应用身份标识(UICC_appli_ID)与MTC设备上的应用身份标识(Terminal_appli_ID)之间的对应关系来表示;或者可以用ncc的身份标识icciD及ncc上的应用身份标识(UICC_appli_ID)与MTC设备身份标识(Terminal_ID)及MTC设备上的应用身份标识(Terminal—appli_ID)之间的对应关系来表示;或者可以用nCC上的USM的身份信息頂SI及UICC上的应用身份标识(UICC_appli_ID)与MTC设备身份信息(MEI或頂EISV)及MTC设备上的应用身份标识(Terminal_appli_ID)之间的对应关系来表示;在本发明中HCC可以与一个MTC设备绑定,也可以与多个MTC设备绑定。当HCC与多个MTC设备绑定时,具体的可以是指nCC上的USIM与多个MTC设备有关联关系,即USIM的身份相关信息可以同时与多个MTC设备的身份信息存在对应关系。当nCC与多个MTC设备绑定时,具体的也可以是指nCC上的应用与多个MTC设备上的应用有关联关系。在本发明中MTC设备可以与一个绑定,也可以与多个绑定。在本发明中,UICC与MTC设备的绑定关系存储在上的关联关系表中,如将与UICC有关联关系的MTC设备身份信息存储在ncc上的受限设备列表中。本发明实施例中仅以3GPP网络为例进行说明,但这不应理解为限制于3GPP网络,本发明提供的方法及装置同样适用于其它通信网络。图4为本发明实施例提供的与MTC设备绑定流程示意图,如图4所示,UICC与MTC设备绑定的流程包括以下步骤:步骤400:MTC设备向发送请求信息,以至少获取当前的B-TID和密钥生命周期等信息。请求信息中包含MTC设备的身份相关信息,MTC设备的身份相关信息包含MTC设备身份标识(Terminal_ID),或者MTC设备身份信息(MEI或MEISV),并可进一步包括MTC设备上的应用身份标识(Terminal_appli_ID)等信息。步骤401 =UICC确定在WCC上无HCC与MTC设备的关联关系表,或WCC与MTC设备的关联关系表为空。步骤402 =UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local。步骤403 =UICC将HCC与MTC设备之间的对应关系存储在WCC上的关联关系表中,即在ncc上存储ncc与MTC设备之间的绑定关系。在本发明中,UICC与MTC设备的绑定关系可以预置在WCC上。在本发明中,当与MTC设备的绑定关系建立起来后,可以由用户通过安全方式直接对ncc存储的关联关系表进行设置并更新。在本发明中,当UICC与MTC设备的绑定关系建立起来后,系统可以通过空中下载(Over The Air, OTA)的方式对存储在WCC卡上的WCC与MTC设备的关联关系表进行设置和更新。在MTC设备启动基于GBA-U的共享密钥(Ks_local)建立过程之前,当MTC设备与UICC之间需要进行安全通信时,MTC设备与ncc需要有共享密钥Ks_local,为此MTC设备需要检查MTC设备和nCC上是否有合法的Ks_local,如果没有,则启动基于GBA-U的共享密钥Ks_local建立过程。图5是基于本发明的与MTC设备共享密钥建立流程示意图,如图5所示,UICC与MTC设备基于GBA-U方式建立共享密钥Ks_local的流程包括:步骤500:MTC设备检查其是否已经存储了一个合法的Ks_local用于与HCC进行通信。如果MTC设备上没有合法的Ks_local,则转到步骤502,MTC设备启动基于GBA-U的密钥建立过程。如果MTC设备上保存有合法的Ks_local,则执行步骤501 ;步骤501:MTC设备向HCC发送一个请求,以检查HCC上是否有可用的Ks_local。UICC反馈所要求的Ks_local是否在WCC上可用。如果WCC上有所要求的可用Ks_local,则在MTC设备与nCC之间有合法的共享密钥KS_local。如果WCC没有所要求的可用Ks_local,则执行步骤502 ;步骤502:MTC设备向发送请求信息,以获取当前的B-TID和密钥生命周期等信息。请求信息中包括MTC设备的身份相关信息,MTC设备的身份相关信息包括MTC设备身份标识(Terminal_ID),或者MTC设备身份信息(MEI或MEISV),并可进一步包括MTC设备上的应用身份标识(Terminal_appli_ID)等信息。步骤503 =UICC根据保存的WCC与MTC设备关联关系表,及收到的MTC设备身份信息,检查MTC设备是否是nCC绑定的MTC设备。如果MTC设备不是WCC绑定的MTC设备,则nCC拒绝MTC设备的请求。如果MTC设备是nCC绑定的MTC设备,则执行步骤504 ;步骤504 =UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local ;
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种移动用户身份识别卡与机器类通信设备绑定的方法,其特征在于, 当机器类通信MTC设备与移动用户身份识别卡ncc之间需要进行安全通信时,MTC设备检查MTC设备和nCC上是否有共享密钥Ks_local,当MTC设备和WCC上没有共享密钥Ks_local时,MTC设备启动基于WCC增强的通用引导架构GBA-U的共享密钥Ks_local建立过程,在nCC上建立HCC与MTC设备之间的绑定关系,以实现nCC与MTC设备之间的绑定。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括: 在MTC设备检测到MTC设备和HCC上有共享密钥Ks_local时,MTC设备向HCC发送一个请求,以检查nCC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在Π(Χ上可用的信息,如果WCC没有所要求的可用Ks_local,则MTC设备启动所述基于GBA-U的密钥建立过程,在WCC上建立WCC与MTC设备之间的绑定关系,以实现nCC与MTC设备之间的绑定。
3.根据权利要求2所述的方法,其特征在于,所述建立UICC与MTC设备之间的绑定关系具体为: MTC设备向nCC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息; 当nCC依据MTC设备的身份相关信息判定在nCC上未存储nCC与MTC设备的绑定关系时,UICC与MTC设备通过GBA-U过程建立共享密钥Ks_local,并在HCC上存储WCC与MTC设备的绑定关系,以实现nCC与MTC设备之间的绑定。
4.根据权利要求3所述的方法,其特征在于,` 所述nCC与MTC设备之间的绑定关系指nCC与MTC设备之间的关联关系,所述WCC与MTC设备之间的绑定关系通过nCC的身份标识ICCID与MTC设备的身份标识TerminalID的对应关系来表示。
5.根据权利要求3所述的方法,其特征在于, 所述ncc与MTC设备之间的绑定关系指ncc上的通用用户识别模块USM与MTC设备之间的关联关系,所述nCC与MTC设备之间的绑定关系通过USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表示。
6.根据权利要求3所述的方法,其特征在于, 所述ncc与MTC设备之间的绑定关系指ncc上应用与MTC设备上应用之间的关联关系,所述nCC与MTC设备之间的绑定关系通过nCC上的应用身份标识UICC_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过WCC的身份标识ICCID及HCC上的应用身份标识nCC_appli_ID与MTC设备身份标识Terminal—ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC上的USM的身份信息国际移动用户识别码MSI及nCC上的应用身份标识UICC_appl1.1D与MTC设备身份信息国际移动设备身份码IMEI或国际移动设备身份码及软件版本MEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。
7.根据权利要求1所述的方法,其特征在于, 所述ncc与MTC设备之间的绑定关系指ncc与一个或多个MTC设备之间的绑定关系,当HCC与多个MTC设备绑定时,指nCC上的USM与多个MTC设备有关联关系,或指WCC上的应用与多个MTC设备上的应用有关联关系。
8.根据权利要求1至7任一项所述的方法,其特征在于, 所述nCC与MTC设备的对应关系存储在nCC上的关联关系表中。
9.根据权利要求8所述的方法,其特征在于, 当ncc上无ncc与MTC设备的关联关系表,或ncc与MTC设备的关联关系表为空时,则HCC判定在nCC上未存储nCC与MTC设备的对应关系。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括: 当ncc上存储有ncc与MTC设备的关联关系表,且ncc与MTC设备的关联关系表不为空表时,如果MTC设备需要与nCC通过GBA-U方式建立共享密钥,则WCC需要通过存储的绑定关系判断MTC设备是否是nCC受限使用的MTC设备,如果MTC设备是WCC受限使用的MTC设备,则MTC设备与HCC通过GBA-U方式建立共享密钥,如果MTC设备不是WCC受限使用的MTC设备,则nCC拒绝MTC设备建立共享密钥Ks-1ocal的请求。
11.根据权利要求8所述的方法,其特征在于, 所述nCC与MTC设备的绑定关系由用户通过安全方式直接对nCC存储的关联关系表进行设置并更新;或通过无线下载OTA的方式对存储在nCC卡上的nCC与MTC设备的绑定关系进行设置和更新。
12.—种移动用户身份识别卡nCC与机器类通信MTC设备绑定的装置,其特征在于,该装置包括: 检查模块,用于在MTC设备与nCC之间需要进行安全通信时,检查MTC设备和nCC上是否有合法的共享密钥Ks_local ; 绑定模块,用于在MTC设备和nCC上没有合法的共享密钥Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,在WCC上建立HCC与MTC设备之间的绑定关系,以实现nCC与MTC设备之间的绑定。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括: 可用密钥检查模块,用于在检测到MTC设备和nCC上有合法的共享密钥Ks_local时,向nCC发送一个请求,以检查nCC上是否有可用的共享密钥Ks_local,UICC向MTC设备反馈所述请求中所要求的共享密钥Ks_local是否在nCC上可用的信息; 所述绑定模块还用于在nCC没有所要求的可用Ks_local时,启动基于GBA-U的共享密钥Ks_local建立过程,建立nCC与MTC设备之间的绑定关系。
14.根据权利要求12所述的装置,其特征在于,所述绑定模块包括: 请求模块,用于向nCC发送请求信息,以至少获取当前的B-TID和密钥生命周期,所述请求信息中包含MTC设备的身份相关信息; 绑定关系判断模块,用于依据MTC设备的身份相关信息判断在nCC上是否存储了 nCC与MTC设备之间的绑定关系; 密钥建立模块,用于在ncc上未存储ncc与MTC设备之间的绑定关系时,通过GBA-U过程为HCC与MTC设备建立共享密钥Ks_local ; 绑定关系存储模块,用于在ncc上存储ncc与MTC设备之间的绑定关系,以实现ncc与MTC设备之间的绑定。
15.根据权利要求14所述的装置,其特征在于,所述ncc与MTC设备之间的绑定关系指ncc与MTC设备之间的关联关系,所述WCC与MTC设备之间的绑定关系通过nCC的身份标识ICCID与MTC设备的身份标识TerminalID的对应关系来表示;或 所述nCC与MTC设备之间的绑定关系指nCC上的USM与MTC设备之间的关联关系,所述nCC与MTC设备之间的绑定关系通过nCC上的通用用户标识模块USIM的身份相关信息与MTC设备的身份相关信息之间的对应关系来表不;或 所述nCC与MTC设备之间的绑定关系指nCC上应用与MTC设备上应用之间的关联关系,所述nCC与MTC设备之间的绑定关系通过nCC上的应用身份标识UICC_appli_ID与MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过WCC的身份标识ICCID及HCC上的应用身份标识nCC_appli_ID与MTC设备身份标识Terminal—ID及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示;或者通过UICC上的USM的身份信息MSI及nCC上的应用身份标识nCC_appli_ID与MTC设备身份信息MEI或MEISV及MTC设备上的应用身份标识Terminal_appli_ID之间的对应关系来表示。
16.根据权利要求12所述的装置,其特征在于, 所述nCC与MTC设备之间的绑定关系指nCC与一个或多个MTC设备之间的绑定关系,当HCC与多个MTC设备绑定时,指nCC上的USM与多个MTC设备有关联关系,或指WCC上的应用与多个MTC设备上的应用有关联关系。
17.根据权利要求14所述的装置,其特征在于, 所述绑定关系存储模块使用关联关系表在nCC上存储nCC与MTC设备的对应关系。
18.根据权利要求17所述的装置,其特征在于, 当nCC上无nCC与MTC设备的关联关系表,或nCC与MTC设备的关联关系表为空时,则所述绑定判断模块判定在nCC上未存储nCC与MTC设备的对应关系。
19.根据权利要求17所述的装置,其特征在于, 当ncc上存储有ncc与MTC设备的关联关系表,且ncc与MTC设备的关联关系表不为空表时,如果MTC设备需要与nCC通过GBA-U方式建立共享密钥,则所述绑定判断模块还用于通过存储的绑定关系判断MTC设备是否是nCC受限使用的MTC设备; 所述密钥建立模块还用于在MTC设 备是nCC受限使用的MTC设备时,通过GBA-U方式建立MTC设备与nCC之间的共享密钥Ks-1ocal ;在MTC设备不是WCC受限使用的MTC设备时,拒绝建立MTC设备与HCC之间的共享密钥Ks-1ocal。
全文摘要
本发明公开了一种用于UICC卡和MTC设备绑定的方法和装置,用于解决在使用GBA-U方法实现MTC设备与UICC之间的绑定时,绑定关系受预共享密钥Ks_local的生命周期限制的技术问题。本发明在UICC上建立MTC设备与UICC的绑定关系后,当存储于UICC与MTC设备上的共享密钥过期时,UICC与MTC设备可以基于建立的绑定关系,通过GBA-U过程重新建立共享密钥Ks-local,从而使得UICC与MTC设备之间的绑定关系不受共享密钥Ks-local生命周期的限制。
文档编号H04L9/08GK103107878SQ20111036194
公开日2013年5月15日 申请日期2011年11月15日 优先权日2011年11月15日
发明者余万涛 申请人:中兴通讯股份有限公司