专利名称:机器对机器设备及其处理方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种机器对机器设备及其处理方法。
背景技术:
随着移动通信的发展,移动网络运营商提供的移动通信服务实现了人与人之间 的方便和快捷的通信需要后,移动通信业务向其他应用领域进行拓展,其中机器对机器 (Machine to Machine,简称为M2M)的通信业务是其中的一个主要的应用业务。这种移动 业务涉及的是机器(设备)之间的通信,因此是一类业务的统称。M2M业务包含各种环境下 实现的多种应用,包括物品(财产)的安全业务、对汽车等设备的监控、自动仪表的测量和 数据读取、设备维护业务、贩卖机状态监测、各种公众设施的流量监测业务、车队管理工业 处理自动化和远程信息处理等。根据应用场合的不同将M2M业务分为两类第一类是动态 自动远程信息处理,例如汽车状态的监控、交通数据信息的传送等;第二类是静态的设备测 量,例如读表或者远程的贩卖机状态检测等。与用于人与人通信的移动终端不同,用于M2M业务的M2M设备有多种形式,例如传 感器、测试仪表、监控摄像头、自动贩卖机,使用和管理这些M2M设备的运营者可以为政府 机关、研究机构、企业等。这些设备安装的位置一般比较分散,给设备管理带来了一定的复 杂度;如果人工管理这些M2M设备,在效率和运作成本上不符合要求,一般通过远程管理的 方式对这些设备进行管理。目前,M2M设备和M2M设备管理中心的通信连接所采用的方式 有多种,包括通过移动通信网络、固定网、无线局域网等,其中采用移动通信网络可以不受 地域的限制并能够很快的部署M2M设备,因此M2M设备使用移动通信网络实现通信连接将 是一个主要的发展方向,而且M2M设备的数量巨大,可以为移动网络运营商带来新的有潜 力的市场。M2M设备使用移动通信网络进行通信连接时,一般是在设备中使用有移动网络运 营商提供的移动用户卡,移动用户卡主要包括第三代移动通信时代所采用的通用集成电路 卡(Universal IntegratedCircuit Card,简称为UICC)和第二代移动通信所普遍使用的 单应用集成电路卡,单应用集成电路卡主要有SIM卡、UIM卡等。第三代合作伙伴技术组织 (The 3rd Generation Partnership Project,简称为 3GPP)制定了 UICC 卡的有关规范。 在移动用户卡上配置有移动用户识别模块的有关数据,其中主要包括国际移动客户识别码 (International Mobile Subscriber Identification Number, ^ IMSI) ^^tXljf'iiffi 的密钥Ki和空中下载(On The Air,简称为OTA)密钥等,其中的密钥为机密数据,需要在移 动用户卡上安全保存并不能被外部读取。在M2M设备使用中,M2M设备运营者有可能因业务需要决定更换提供移动网络运 营商,采用新的移动网络运营商所提供的网络服务。在一般的移动终端上更换移动网络运 营商时,只需要将移动用户卡换为新的移动网络运营商提供的用户卡就可以实现运营商的 更换。但由于M2M设备数量众多而且分布的范围比较广泛,许多设备安装的位置也不利于 人工维护,如果采用人工更换移动用户卡的方式将会带来成本的大幅增加,而且工作效率比较低。因此需要一种能够实现远程更换移动网络运营商的方法,可以高效、安全的实现更 换移动网络运营商。针对相关技术中在M2M设备在更换运营商时对M2M设备的处理往往成本比较高的 问题,目前尚未提出有效的解决方案。
发明内容
针对在M2M设备在更换运营商时对M2M设备的处理往往成本比较高的问题而提出 本发明,为此,本发明的主要目的在于提供一种M2M设备的处理方法及移动用户卡,以解决 上述问题。为了实现上述目的,根据本发明的一个方面,提供了 一种M2M设备的处理方法。根据本发明的M2M设备的处理方法,用于M2M设备由第二运营商变更到第一运营 商时,对M2M设备进行处理,该方法包括第一运营商获取M2M设备的移动用户卡的国际移 动客户识别码IMSI,并根据IMSI更新移动用户卡本地的IMSI ;第一运营商接收移动用户卡 的移动用户卡标识,并获取来自移动用户卡商的移动用户卡对应的密钥组。优选地,第一运营商获取M2M设备的移动用户卡的国际移动客户识别码IMSI,并 根据IMSI更新移动用户卡本地的IMSI包括第一运营商将需要变更的M2M设备所正在使 用的移动用户卡的IMSI和新的IMSI发送给第二运营商;第二运营商将新的IMSI发送给 M2M设备;M2M设备中的移动用户卡将本地的IMSI更新为新的IMSI ;移动用户卡根据本地 的种子密钥生成密钥组。优选地,在第一运营商接收移动用户卡的移动用户卡标识之前,该方法还包括第 二运营商将变更的移动用户卡标识发送给移动用户卡商;移动用户卡商根据移动用户卡标 识来计算新的密钥组,在第一运营商接收移动用户卡的移动用户卡标识之后,方法还包括 第一运营商将需要更换移动网络运营商的移动用户卡的移动用户卡标识发送给移动用户 卡商;移动用户卡商将新的密钥组发送给第一运营商。优选地,密钥组包括以下至少之一鉴权密钥和空中下载密钥。优选地,移动用户卡和移动用户卡商采用分散参数同步机制。优选地,移动用户卡和移动用户卡商采用分散参数同步机制包括移动用户卡和 移动用户卡商使用计数器进行同步,并根据计数器的值得出进行新的密钥组运算的分散参 数;或者,移动用户卡商将分散参数通过运营商发送给移动用户卡以便移动用户卡采用分 散参数进行签权密钥的运算。优选地,移动用户卡和移动用户卡商均通过移动用户种子密钥、运算算法和分散 参数来生成密钥组。优选地,种子密钥为根密钥或主密钥,其中,移动用户卡中的种子密钥由移动用户 卡商进行配置,移动用户卡商保存种子密钥。优选地,移动用户卡和移动用户卡商获得相同的分散参数,其中,移动用户卡和移 动用户卡商获得相同的分散参数包括移动用户卡商采用计数器来实现;或者,移动用户 卡商将分散参数通过移动网络运营商发送给移动用户卡。优选地,移动用户卡商采用计数器来实现包括移动用户卡商在移动用户卡中设 置累加计数器,移动用户卡也保存相同的计数器,其中,移动用户卡商和移动用户卡中的计数器具有相同的初始值而且数值增加的步长值相同。优选地,在移动用户卡商将分散参数通过移动网络运营商发送给移动用户卡时, 移动用户卡和移动用户卡商均采用分散参数进行密钥运算。为了实现上述目的,根据本发明的另一方面,提供了 一种M2M设备。
根据本发明的机器对机器M2M设备,M2M设备包括移动用户卡,该M2M设备包括 获取模块,用于获取移动用户卡的国际移动客户识别码;更新模块,用户根据国际移动客户 识别码对移动用户卡的国际移动客户识别码进行更新;生成模块,用于根据移动用户卡本 地的种子密钥生成密钥组。通过本发明,采用第一运营商获取M2M设备的移动用户卡的国际移动客户识别码 IMSI,并根据IMSI更新移动用户卡本地的IMSI ;第一运营商接收移动用户卡的移动用户卡 标识,并获取移动用户卡对应的密钥组,解决了在M2M设备在更换运营商时对M2M设备的处 理往往成本比较高的问题,进而达到了可以高效的实现M2M设备在更换运营商时对M2M设 备的处理的效果。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的M2M设备的处理方法的流程图;图2是根据本发明实施例的优选的M2M设备的处理方法的流程图;图3是根据本发明实施例的优选的M2M设备的处理方法的流程图;图4是根据本发明实施例的M2M设备的示意图。
具体实施例方式功能既述考虑到在M2M设备在更换运营商时对M2M设备的处理往往成本比较高,本发明实 施例提供了一种M2M设备的处理方法。该方法用于M2M设备由第二运营商变更到第一运营 商时,对M2M设备进行处理,该方法包括第一运营商获取M2M设备的移动用户卡的国际移 动客户识别码IMSI,并根据IMSI更新移动用户卡本地的IMSI ;第一运营商接收移动用户卡 的移动用户卡标识,并获取移动用户卡对应的密钥组。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相 互组合。下面将参考附图并结合实施例来详细说明本发明。方法实施例根据本发明的实施例,提供了一种M2M设备的处理方法。图1是根据本发明实施例的M2M设备的处理方法的流程图。如图1所示,该方法包括如下的步骤S102至步骤S104 步骤S102,第一运营商获取M2M设备的移动用户卡的国际移动客户识别码IMSI, 并根据IMSI更新移动用户卡本地的IMSI ;步骤S104,第一运营商接收移动用户卡的移动用户卡标识,并获取移动用户卡对 应的密钥组。
在本发明中,M2M设备从现有的移动运营商更换到新的移动运营商时,不更换M2M 设备中的移动用户卡,而是通过移动通信网络远程更新移动用户卡中的用户识别模块的有 关参数;完成参数更新后,M2M设备使用更新后的用户识别模块登录到新的移动运营商的 移动通信网络,使用新的移动运营商提供的有关服务。优选地,用户识别模块的新的密钥由移动用户卡使用种子密钥、运算算法和分散 参数生成,移动用户卡商也采用同样的种子密钥、运算算法和分散参数生成用户识别模块 的新的密钥。M2M设备准备变更到的移动网络运营商从移动用户卡商获得用户识别模块中 的新的密钥。优选地,移动用户卡中存在用于生成用户识别模块中的新的密钥的种子密钥,种 子密钥可以为根密钥或者主密钥。移动用户卡中的种子密钥由移动用户卡商进行配置,移 动用户卡商也保存相同的种子密钥。优选地,为了实现移动用户卡和移动用户卡商可以获得相同的分散参数,移动用 户卡商可以采用某种机制实现。其中的一个方法是计数器,另外一种方法是移动用户卡商 把分散参数通过移动网络运营商发送给移动用户卡。优选地,采用计数器方法时,移动用户卡商可以在移动用户卡中设置一个累加计 数器,移动用户卡自己也保存一个相同的计数器;上述的两个计数器具有相同的初始值,而 且计数器的数值增加的步长值相同。移动用户卡和移动用户卡商进行密钥运算时所需要的 分散参数可以通过某种规则根据计数器的值获得,使移动用户卡和移动用户卡商获得的分 散参数相同。优选地,移动用户卡商把分散参数通过移动网络运营商发送给移动用户卡时,移 动用户卡采用该分散参数进行密钥运算,移动用户卡生成商也采用该分散参数进行密钥的 运算。优选地,移动用户卡运算新的密钥后,计数器加上一个步长值;移动用户卡商运算 新的密钥后,移动用户卡商侧的计数器增加一个步长值。优选地,移动识别模块中的密钥可以包括签权密钥和对应的OTA密钥。下面将结合实例对本发明实施例的实现过程进行详细描述。本发明适用于使用移动运营商提供的移动网络服务实现通信功能的M2M设备,并 且M2M设备使用移动用户卡。本发明提供提供了该类型的M2M设备在更换运营商时的一种 处理方法以及支持该方法的移动用户卡。在本发明中,以UICC卡为例描述了本发明的实施方法,单应用移动用户卡也可以 采用描述的实施方法实现本发明,这里的单应用移动用户卡指第二代移动通信中广泛使用 的SIM卡和UIM卡等。在本发明中,当前给M2M设备提供网络服务的移动网络运营商成为初始移动网络 运营商,M2M设备更换移动网络运营商后给M2M设备提供网络服务的移动网络运营商称为 目标移动网络运营商。在本发明中,M2M设备从初始移动网络运营商更换到目标移动网络运营商时,不更 换M2M设备中的UICC卡,而是通过移动通信网络远程更新UICC卡中的用户识别模块的有 关参数;完成参数更新后,M2M设备使用更新后的用户识别模块登录到目标移动网络运营 商的移动通信网络,使用目标移动网络运营商提供的有关服务,从而完成移动网络运营商的更换。本发明中的用户识别模块可以是UMTS 3G移动网络中所使用的通用用户识别模块 (UniversalSubscriber Identity Module,简称为 USIM),USIM 参与网络与用户的签权,用 户识别模块中安全的保存识别一个移动电话服务用户的密钥、和用户信息、保存电话号码、 参数选择、文本信息和其它信息。它和在GSM 2G无线网络中的用户识别模块(SIM)是等价 的。在本发明中,使用UICC卡的M2M设备变更移动网络运营商时需要更新的数据包括 IMSI和对应的密钥组等数据,密钥组可以包括签权使用的密钥Ki和OTA密钥等,在UICC卡 中和目标移动网络运营商的管理系统中配置新的IMSI和密钥组等用户识别模块的有关参 数。在本发明中,进行UICC中的数据更新时,考虑到机密数据在通过移动通信网络传 输时所面临的安全威胁和风险,新的密钥组不通过移动通信网络传输。UICC卡侧的密钥组 由UICC卡在卡上采用种子密钥和分散参数通过某种运算算法生成;UICC卡商也采用相同 的密钥、分散参数及算法生成和UICC卡运算的密钥组相同的密钥组,UICC卡商生成的密钥 组通过安全的方式发送给目标移动网络运营商,目标移动网络运营商将新的密钥组保存在 HLR/AuC子系统,使目标移动网络运营商可以掌握UICC卡上的新的密钥组。通过这种方法 实现在UICC卡和目标移动网络运营商配置新的密钥组。在本发明中,使用UICC卡的M2M设备更换移动网络运营商时需要的新的IMSI 等其它参数可以由目标移动网络运营商的网络管理系统生成并通过移动通信网络发送给 UICC卡,UICC卡保存新的IMSI等其它参数。在本发明中,为了实现移动网络运营商的更换,UICC卡除遵守和实现现有的关于 UICC的技术要求外,UICC卡需要支持用户识别模块的数据(包括IMSI、密钥组等参数)的 更新;UICC卡为了支持签权密钥的运算,需要在UICC卡上配置种子密钥以及支持相应的运 算算法,这里的种子密钥可以根据需要包括多个种子密钥,例如在UICC卡上存在用于计 算签权密钥Ki的种子密钥和用于计算OTA密钥的种子密钥。种子密钥和对应的运算算法 可以由UICC卡商在生产或者发布UICC卡时由UICC卡商进行配置。为保证种子密钥、用户 识别模块的密钥组及运算算法的安全性,种子密钥、用户识别模块的密钥组和配置的运算 算法在UICC卡上采用加密保存,并不能被外部读取。为了使UICC卡和UICC卡商可以采用相同的分散参数进行签权密钥的运算,UICC 卡和UICC卡商可以采用分散参数同步机制。在本发明中,UICC卡和UICC卡商之间实现分散参数同步的一个方法是UICC卡 和UICC卡商使用累加计数器,利用累加计数器进行同步,并根据计数器的值进行运算得出 进行密钥运算的分散参数;UICC卡中的计数器可以由UICC卡商在UICC生产或者发布时进 行配置,UICC卡商在自己的UICC卡发行和管理系统中也为每个UICC卡商保持一个同样的 计数器,这两个计数器具有相同的初始值和步长值;UICC卡和UICC卡商进行密钥组的运算 后,双方的计数器都要加上一个共同的步长值,从而使双方的计数器保持同步。UICC卡商为 了可以实现计算Uicc的新的密钥组,需要在自己的UICC卡发行和管理系统中保存UICC卡 的种子密钥并保持和每个UICC卡的分散参数的同步。另外,UICC卡商的卡发行和管理系 统需要保存UICC卡的其它信息如UICC卡的识别号(UICC ID)等,在UICC卡商的卡发行和 管理系统中,可以通过UICC ID查询到UICC卡的有关信息。
在本发明中,UICC卡和UICC卡商之间实现分散参数同步的另外一种方法是UICC 卡商将分散参数通过移动网络运营商发送给Uicc卡,UICC卡采用UICC卡商发送的分散参 数进行签权密钥的运算。Uicc卡商为了可以实现计算UICC的新的密钥组,需要在自己的 UICC卡发行和管理系统中可以生成用于密钥组运算的分散参数,并将生成的分散参数通过 移动网络运营商发送给UICC卡。另外,UICC卡商的卡发行和管理系统需要保存UICC卡的 其它信息如UICC卡的识别号(UICC ID)等,在UICC卡商的卡发行和管理系统中,可以通过 UICC ID查询到UICC卡的有关信息。在本发明中,UICC卡商的UICC卡发行和管理系统和移动网络运营商的管理系统 之间需要建立安全的通信连接,例如可以采用专线连接并使用安全的通信协议,使UICC卡 商运算的密钥组可以安全的传输给移动网络运营商。移动网络运营商和UICC卡的可以采用现有的空中下载(OTA)的方式建立通信连 接,移动网络运营商通过OTA的方式将有关参数等发送给UICC卡。在本发明中,M2M设备启用时,M2M设备的运营者需要为M2M设备选定提供移动网 络服务的移动网络运营商。M2M设备所使用的UICC卡可以由选择的移动网络运营商提供, 在该UICC卡已经由UICC卡商配置用于运算新的密钥组的种子密钥,以及初始运营商的用 户识别模块的有关参数,包括IMSI、密钥组等。为了在M2M设备投入使用后可以更换移动网 络运营商,M2M设备的运营者和初始移动网络运营商签订有关的协议,初始移动网络运营商 支持M2M设备投入使用后更换移动网络运营商。M2M设备投入使用后,在需要更换移动网络运营商时,M2M设备运营者可以确定更 换的目标移动网络运营商,然后向初始移动网络运营商和目标移动网络运营商发出更换移 动网络运营商业务请求,从而启动M2M设备更换移动网络运营商的业务流程。
在本发明中,在UICC卡和UICC卡商通过计数器的方法保持分散参数的同步时,结 合图2说明M2M设备更换移动网络运营商的业务流程。为了便于描述,初始移动运营商在 本发明中的描述名称为ΜΝ0_Α(第二运营商),目标移动网络运营商的名称为ΜΝ0_Β(第一运 营商)。更换移动网络服务运营商的业务流程如下步骤201、M2M设备运营者决定将提供服务的移动网络运营商从ΜΝ0_Α更换为ΜΝ0_ B。M2M设备运营者将与ΜΝ0_Α、ΜΝ0_Β办理有关协议,并将需要变更移动网络运营商的M2M 设备所使用的UICC卡的IMSI通知ΜΝ0_Α和ΜΝ0_Β。步骤202、MN0_B将需要变更移动网络运营商的M2M设备所使用的UICC卡的IMSI 发送给ΜΝ0_Α。另外,ΜΝ0_Β将需要变更的新的IMSI和对应的其它参数发送给ΜΝ0_Α。步骤203、MN0_A通过OTA方式和需要变更移动网络运营商的UICC卡建立通信,并 将新的IMSI发送给UICC卡。步骤204、UICC卡将IMSI更新为新的IMSI,并运算和用户识别模块相关的密钥组, 密钥组包括新的鉴权密钥和OTA密钥等。步骤205、ΜΝ0_Α和UICC卡商的UICC卡发行和管理系统建立通信,并将需要更换 移动网络运营商的UICC卡的UICC ID发送给UICC卡商的UICC卡发行和管理系统。另外 发送的数据包括UICC卡对应的新的IMSI和移动网络运营商ΜΝ0_Β的标识信息。步骤206、UICC卡商的UICC卡发行和管理系统运算变更运营商的UICC卡所对应 的新的密钥组。由于UICC卡商的UICC卡发行和管理系统运算新的密钥组时,采用了和UICC9卡相同的分散参数,UICC卡商的UICC卡发行和管理系统和UICC卡所运算的密钥组保持一致。步骤207、ΜΝ0_Α将变更移动网络运营商的M2M设备所使用的UICC卡所对应的 UICC ID 发送给 ΜΝ0_Β。步骤208、ΜΝ0_Β和UICC卡商的UICC卡发行和管理系统建立通信,并获得更换移 动网络运营商的M2M设备所使用的UICC卡所对应的密钥组,并将密钥组保存在ΜΝ0_Β网络 管理系统的HLR/AuC子系统。步骤209、完成上述步骤后,M2M设备可以使用完成数据更新的UICC卡登录到ΜΝ0_ B的移动网络,接受ΜΝ0_Β所提供的网络服务。M2M设备更换到新的移动网络运营商后,如果M2M设备运营者决定再更换移动网 络运营商时,可以按照上面描述的流程完成移动网络运营商的更换。在本发明中,在UICC卡和UICC卡商采用UICC卡商将分散参数通过移动网络运营 商发送给UICC卡的方法保持分散参数的同步时,结合图3说明M2M设备更换移动网络运营 商的业务流程。为了便于描述,初始移动运营商在本发明中的描述名称为ΜΝ0_Α,目标移动 网络运营商的名称为ΜΝ0_Β。更换移动网络运营商的业务流程如下步骤301、M2M设备运营者决定将提供服务的移动网络运营商从ΜΝ0_Α更换为ΜΝ0_ B。M2M设备运营者将与ΜΝ0_Α、ΜΝ0_Β办理有关协议,并将需要变更移动网络运营商的M2M 设备所使用的UICC卡的IMSI通知ΜΝ0_Α和ΜΝ0_Β。步骤302、MN0_B将需要变更移动网络运营商的M2M设备所使用的UICC卡的IMSI 发送给ΜΝ0_Α。另外,ΜΝ0_Β将需要变更的新的IMSI和对应的其它参数发送给ΜΝ0_Α。步骤303、ΜΝ0_Α和UICC卡商的UICC卡发行和管理系统建立通信,并将需要更换 移动网络运营商的UICC卡的UICC ID发送给UICC卡商的UICC卡发行和管理系统。发送 的数据包括UICC卡对应的新的IMSI和移动网络运营商ΜΝ0_Β的标识信息。步骤304、UICC卡商的UICC卡发行和管理系统生成用于运算UICC卡的新的密钥 组的分散参数,根据产生的分散参数计算变更移动网络运营商的UICC卡所对应的新的密 钥组。由于UICC卡商的UICC卡发行和管理系统运算新的密钥组时,采用了和UICC卡相同 的运算参数,UICC卡商的UICC卡发行和管理系统和UICC卡所运算的密钥组保持一致。步骤305、UICC卡商将用于计算UICC卡新的密钥组的分散参数发送给ΜΝ0_Α。步骤306、MN0_A通过OTA方式和需要变更移动网络运营商的UICC卡建立通信,并 将新的IMSI和用于计算密钥组的分散参数发送给UICC卡。步骤307、UICC卡将IMSI更新为新的IMSI,并采用UICC卡商通过ΜΝ0_Α发送的 分散参数来运算和用户识别模块相关的密钥组,密钥组包括新的鉴权密钥和OTA密钥等。步骤308、ΜΝ0_Α将变更移动网络运营商的M2M设备所使用的UICC卡所对应的 UICC ID 发送给 ΜΝ0_Β。步骤309、ΜΝ0_Β和UICC卡商的UICC卡发行和管理系统建立通信,并获得更换移 动网络运营商的M2M设备所使用的UICC卡所对应的密钥组,并将密钥组保存在ΜΝ0_Β网络 管理系统的HLR/AuC子系统。步骤310、完成上述步骤后,M2M设备可以使用完成数据更新的UICC卡登录到ΜΝ0_ B的移动网络,接受ΜΝ0_Β所提供的网络服务。
M2M设备更换到新的移动网络运营商后,如果M2M设备运营者决定再更换移动网 络运营商时,可以按照上面描述的流程完成移动网络运营商的更换。通过本发明提供的方法,可以实现M2M设备更换移动网络运营商的处理,并且在 该方法中,密钥组这种机密数据不通过移动通信网络传输,而是采用由UICC和UICC卡商分 别进行相同运算的方式实现了密钥组的更新,从而提供了比较高的安全保证。另外本发明 提供了支持本发明的一种Uicc卡。本发明适用于使用移动运营商提供的移动网络服务实现通信功能的M2M设备,并 且M2M设备使用移动用户卡。本发明提供了该类型的M2M设备在更换运营商时的一种处理 方法以及支持该方法的移动用户卡。在本发明中,M2M设备从现有的移动运营商更换到新的移动运营商时,不更换M2M 设备中的移动用户卡,而是通过移动通信网络远程更新移动用户卡中的用户识别模块的有 关参数;完成参数更新后,M2M设备使用更新后的用户识别模块登录到新的移动运营商的 移动通信网络,使用新的移动运营商提供的有关服务。在本发明中,使用UICC的M2M设备变更运营商时需要更新的数据包括IMSI和密 钥组等数据,密钥组可以包括鉴权密钥和OTA密钥。其中,移动用户卡侧的密钥组由移动用 户卡在卡上采用种子密钥和分散参数采用某种运算算法生成;移动用户卡商也采用相同的 密钥、分散参数及算法生成和移动用户卡运算的密钥相同的密钥组。在本发明中,移动用户卡商生成的密钥组通过安全的方式发送给新的运营商,使 运营商可以掌握移动用户卡上的新的签权密钥。在本发明中,移动用户卡可以支持用户识别模块的数据(包括IMSI、密钥组等参 数)的更新;移动用户卡为了支持新的密钥组的运算,需要在移动用户卡上配置种子密钥 以及支持相应的运算算法。种子密钥和运算算法可以在移动用户卡商在生产或者发布移动 用户卡时由移动用户卡商进行配置。为了使移动用户卡和移动用户卡商可以采用相同的分散参数进行新的密钥组的 运算,移动用户卡和移动用户卡商可以采用分散参数同步机制。其中的一个方法是移动用 户卡和移动用户卡商使用计数器,利用计数器进行同步,并根据计数器的值进行运算得出 进行新的密钥组运算所需要的分散参数。另外一种方法是移动用户卡商将分散参数通过运 营商发送给移动用户卡,移动用户卡采用移动用户卡商发送的分散参数进行签权密钥的运 笪弁。为保证种子密钥、签权密钥和空中下载密钥的安全性,种子密钥、签权密钥和空中 下载密钥在移动用户卡上采用加密保存,并不能被外界读取。在本发明中,使用UICC的M2M设备更换运营商时需要的新的IMSI等其它参数可 以由M2M准备变更到的的运营商生成并发送给UICC,UICC保存新的IMSI等其它参数。移动用户卡商为了可以实现计算移动用户卡的新的密钥组,需要保持和每个移动 用户卡的分散参数的同步。在通过计数器实现和移动用户卡实现计数因子同步时,移动用 户卡商可以为每个移动用户卡保持一个计数器,移动用户卡中的计数器和其对应的移动用 户卡商侧的计数器具有相同的初始值和步长值。在本发明中,移动用户卡商和运营商之间需要建立安全的通信连接,使移动用户 卡商运算的密钥组可以安全的传输给运营商。
通过本发明提供的方法,可以实现M2M设备更换移动网络运营商的处理,并且在 该方法中,密钥组这种机密数据不通过移动通信网络传输,而是采用由移动用户卡和移动 用户卡商分别进行相同运算的方式实现了密钥组的更新,从而提供了比较高的安全保证。 另外本发明提供了支持本发明的一种移动用户卡。从以上的描述中,可以看出,通过本发明,可以实现M2M设备更换移动网络运营商 的处理,并且在该方法中,密钥组这种机密数据不通过移动通信网络传输,而是采用由UICC 和UICC卡商分别进行相同运算的方式实现了密钥组的更新,从而提供了比较高的安全保 证。装置实施例根据本发明的实施例,提供了 一种机器对机器M2M设备。图4是根据本发明实施例的M2M设备的示意图。如图4所示,该M2M设备包括获取模块401、更新模块403、生成模块405。其中,获取模块401用于获取移动用户卡的国际移动客户识别码;更新模块403用 户根据国际移动客户识别码对移动用户卡的国际移动客户识别码进行更新;生成模块405 用于根据移动用户卡本地的种子密钥生成密钥组。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不 同于此处的顺序执行所示出或描述的步骤。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。1权利要求
1.一种机器对机器M2M设备的处理方法,用于M2M设备由第二运营商变更到第一运营 商时,对所述M2M设备进行处理,其特征在于,所述方法包括第一运营商获取所述M2M设备的移动用户卡的国际移动客户识别码IMSI,并根据所述 IMSI更新所述移动用户卡本地的IMSI ;所述第一运营商接收所述移动用户卡的移动用户卡标识,并获取来自移动用户卡商的 所述移动用户卡对应的密钥组。
2.根据权利要求1所述的方法,其特征在于,第一运营商获取所述M2M设备的移动用户 卡的国际移动客户识别码IMSI,并根据所述IMSI更新所述移动用户卡本地的IMSI包括所述第一运营商将需要变更的所述M2M设备所正在使用的移动用户卡的IMSI和新的 IMSI发送给第二运营商;所述第二运营商将所述新的IMSI发送给所述M2M设备;所述M2M设备中的移动用户卡将本地的IMSI更新为所述新的IMSI ;所述移动用户卡根据本地的种子密钥生成所述密钥组。
3.根据权利要求1所述的方法,其特征在于,在所述第一运营商接收所述移动用户卡的移动用户卡标识之前,所述方法还包括 所述第二运营商将变更的移动用户卡标识发送给移动用户卡商; 所述移动用户卡商根据所述移动用户卡标识来计算新的密钥组, 在所述第一运营商接收所述移动用户卡的移动用户卡标识之后,所述方法还包括 所述第一运营商将需要更换移动网络运营商的移动用户卡的移动用户卡标识发送给 所述移动用户卡商;所述移动用户卡商将所述新的密钥组发送给所述第一运营商。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述密钥组包括以下至少之鉴权密钥和空中下载密钥。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述移动用户卡和所述移动 用户卡商采用分散参数同步机制。
6.根据权利要求5所述的方法,其特征在于,所述移动用户卡和所述移动用户卡商采 用分散参数同步机制包括所述移动用户卡和所述移动用户卡商使用计数器进行同步,并根据所述计数器的值得 出进行新的密钥组运算的分散参数;或者,所述移动用户卡商将所述分散参数通过运营商发送给移动用户卡以便所述移动用户 卡采用所述分散参数进行签权密钥的运算。
7.根据权利要求1所述的方法,其特征在于,所述移动用户卡和所述移动用户卡商均 通过所述移动用户种子密钥、运算算法和分散参数来生成所述密钥组。
8.根据权利要求7所述的方法,其特征在于,所述种子密钥为根密钥或主密钥,其中, 所述移动用户卡中的种子密钥由移动用户卡商进行配置,所述移动用户卡商保存所述种子 密钥。
9.根据权利要求8所述的方法,其特征在于,所述移动用户卡和移动用户卡商获得相 同的分散参数,其中,所述移动用户卡和移动用户卡商获得相同的分散参数包括所述移动用户卡商采用计数器来实现;或者,所述移动用户卡商将所述分散参数通过移动网络运营商发送给所述移动用户卡。
10.根据权利要求9所述的方法,其特征在于,所述移动用户卡商采用计数器来实现包括所述移动用户卡商在所述移动用户卡中设置累加计数器,所述移动用户卡商也保存相 同的累加计数器,其中,所述移动用户卡商和所述移动用户卡中的计数器具有相同的初始 值而且数值增加的步长值相同。
11.根据权利要求10所述的方法,其特征在于,在所述移动用户卡商将所述分散参数 通过移动网络运营商发送给移动用户卡时,所述移动用户卡和所述移动用户卡商均采用所 述分散参数进行密钥运算。
12.一种机器对机器M2M设备,所述M2M设备包括移动用户卡,其特征在于,包括 获取模块,用于获取所述移动用户卡的国际移动客户识别码;更新模块,用户根据所述国际移动客户识别码对所述移动用户卡的国际移动客户识别 码进行更新;生成模块,用于根据所述移动用户卡本地的种子密钥生成密钥组。
全文摘要
本发明公开了一种机器对机器设备及其处理方法,该方法包括第一运营商获取M2M设备的移动用户卡的国际移动客户识别码IMSI,并根据IMSI更新移动用户卡本地的IMSI;第一运营商接收移动用户卡的移动用户卡标识,并获取移动用户卡对应的密钥组。通过本发明,能够高效地实现M2M设备在更换运营商时对M2M设备的处理的效果。
文档编号H04W12/04GK102056149SQ20091021227
公开日2011年5月11日 申请日期2009年11月9日 优先权日2009年11月9日
发明者余万涛, 吴传喜, 贾倩, 马景旺 申请人:中兴通讯股份有限公司