副USIM应用信息的处理方法及系统与流程
本发明涉及无线通信领域,尤其涉及一种副通用用户标识模块(Universal Subscriber Identity Module,USIM)应用信息的处理方法及系统。
背景技术:
很多国家和国际的公共安全组织都考虑将长期演进(Long Term Evolvtion,LTE)技术作为公共安全通信的下一代技术。为了实现在发生灾难(如海啸,地震)导致LTE关键基础设施破坏(如演进型基站eNB到核心网络EPC的回程链路断掉)的场景下还能够实现公共安全用户的正常通信,第三代合作伙伴项目3GPP提出了用于公共安全的孤立的进化通用陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,E-UTRAN)操作(Isolated Evolved Universal Terrestrial Radio Access Network operation for public safety,IOPS)的需求、架构以及安全特性。孤立的E-UTRAN模式操作通过一个或多个eNB为公共安全用户提供在关键基础设施缺失(如回程链路缺失)的场景下的通信能力。孤立的E-UTRAN也可以通过部署一个或多个NeNB(Nomedic eNB游牧eNB)为公共安全用户在关键基础设施缺失的情况下提供无线接入网络;还可以通过固定的或游牧的eNB在没有回程链路通信的情况或者受限回程链路的情况下为公共用户提供服务。
IOPS网络是由一个或多个运行在IOPS模式的eNB或者NeNB连接到本地EPC组成的。在关键基础设施破坏(如eNB到Macro EPC的回程链路缺失)的场景下,支持IOPS的UE可以通过IOPS-enabled eNB或者NeNB接入到Local EPC中,进行通信
目前通信标准中给出的方案是在UE中安装2个USIM卡应用,一个是主 SIM应用,一个是副USIM应用。当UE在宏网络时使用主USIM应用实现和网络的相互认证,当在IOPS场景时,使用副USIM应用实现与本地EPC的相互认证。这两个应用可以位于同一个通用集成电路卡(Universal Integrated Circuit Card,UICC)卡上,也可以是两张独立的通用用户标识模块(Universal Subscriber Identity Module,USIM)卡。
为了实现在每个USIM在Macro EPC/Local EPC中有签约关系的记录(包括共享根密钥Ki,身份标识IMSI等),每个USIM应用要有预先提供的EFOPLMNwACT(Operator controlled PLMN selector with ACcess Technology)文件和相关EPC的PLMN身份。主USIM应用包含正常网络(即宏EPC)操作的PLMN ID,副USIM应用包含专用的IOPS-specific的PLMN ID。这些参数在USIM出厂阶段被预先写入USIM中。具体的,主USIM应用至少包括共享根密钥K1,分配给正常网络的PLMN ID1,IMSI1。并且为了实现UE和网络的认证,K1,PLMN ID1,IMSI1也会提前写入Macro EPC的AuC;副USIM应用至少包括共享根密钥K2,分配给IOPS操作网络的PLMN ID2,IMSI2。并且为了实现UE和网络的认证,副USIM应用相关的K2,PLMN ID2,IMSI2也会提前写入支持IOPS的Local EPC的AuC中。
现有技术中通过使用主、副USIM分别实现UE与macro EPC、LocalEPC的相互认证。并且需要提前将签约记录分别写入主、副USIM和相应的EPC中(Authentication Center,AUC)鉴权中心。上述方案适合所有进行IOPS网络通信的UE已经提前预置了用于IOPS通信的副USIM应用,并且相应的Local EPC已经提前预置了上述UE的签约记录的场景。然而在实际操作过程中,可能会有一些潜在的出现在IOPS网络区域并请求业务的UE。对于这些UE来说,可能没有或不支持安装副USIM应用硬件平台(比如单卡手机),所以当这些UE与宏网络失去连接并进入到IOPS网络后,将无法使用IOPS网络进行公共安全通信,导致UE在紧急情况下,因为找不到网络而不能进行通信,这将使该用户存在一定的安全隐患。从上述描述可以看出,当UE需要在IOPS中进行业务但是UE没有或不支持副USIM应用硬件平台,需要有机制能够为这些UE创 建副USIM应用,并且将与该副USIM应用对应的签约记录写入Local EPC,从而实现该UE能够接入IOPS网络,使用需要的业务。
技术实现要素:
有鉴于此,本发明实施例期望提供一种副USIM应用信息的处理方法及系统,以至少部分解决终端没有预设副USIM应用硬件平台或副USIM应用硬件平台故障的情况下导致的副USIM应用的局限性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例第一方面提供了一种副通用用户标识模块USIM应用信息的处理方法,所述方法包括:
向网路设备发送下载副USIM应用平台数据的第一请求信息;
从网络设备接收基于所述第一请求信息发送的所述副USIM应用平台数据;
利用所述副USIM应用平台数据,在所述终端中安装副USIM应用软件平台;
其中,所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
基于上述方案,所述方法还包括:
发送下载所述副USIM应用数据的第二请求信息;
从网络设备接收基于所述第二请求信息发送的所述副USIM应用数据;
将所述副USIM应用数据加载到所述副USIM应用软件平台;
利用所述USIM应用数据与网络设备进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
本发明实施例第二方面提供了一种副通用用户标识模块USIM应用信息的处理方法,所述方法包括:
接收终端发送的下载副USIM应用平台数据的第一请求信息;
响应所述第一请求信息,向终端发送所述副USIM应用平台数据;
其中,所述副USIM应用平台数据能够用于在所述终端中装载形成副USIM应用软件平台;所述副USIM应用软件平台为副USIM应用数据安装提供应用 环境。
基于上述方案,所述方法还包括:
接收终端发送的下载副USIM应用数据的第二请求信息;
响应所述第二请求信息,形成签约记录;
基于所述签约记录向终端发送所述副USIM应用数据。
其中,所述副USIM应用数据,能够用于加载到所述副USIM应用软件平台。
基于上述方案,所述方法还包括:
所述方法还包括:
接收终端发送的副USIM应用数据,并基于所述签约记录与终端进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
基于上述方案,
所述方法还包括:
利用终端公钥对所述副USIM应用数据进行加密
所述基于所述签约记录向终端发送所述副USIM应用数据,包括:
将加密后的所述副USIM应用数据发送给终端。
基于上述方案,
所述方法还包括:
利用所述第二请求信息携带的信息,对所述第二请求信息进行信息验证;
所述响应所述第二请求信息,形成签约记录,包括:
在通过所述信息验证之后,响应所述第二请求信息,形成所述签约记录。
基于上述方案,
所述利用所述第二请求信息携带的信息,对所述第二请求信息进行信息验证包括以下至少其中之一:
利用所述第二请求信息携带的第一信息,验证本次接收的所述第二请求信息是否为重复发送的第二请求信息,若本次接收的所述第二请求信息非重复发送的第二请求信息,确定通过新鲜性验证;
利用所述二请求消息携带的第二信息,验证所述终端发送所述第二请求信息的次数是否达到门限,进行门限验证;若所述终端发送所述第二请求信息的次数未达到所述门限,确定通过门限验证;
利用所述第二请求信息携带的第三信息,进行所述第二请求信息的完整性验证。
本发明实施例第三方面提供了一种副通用用户标识模块USIM应用信息的处理系统,所述系统包括:
第一发送单元,用于向网路设备发送下载副USIM应用平台数据的第一请求信息;
第一接收单元,用于从网络设备接收基于所述第一请求信息发送的所述副USIM应用平台数据;
安装单元,用于利用所述副USIM应用平台数据,在所述终端中安装副USIM应用软件平台;
其中,所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
基于上述方案,所述第一发送单元,还用于发送下载所述副USIM应用数据的第二请求信息;
所述第一接收单元,还用于从网络设备接收基于所述第二请求信息发送的所述副USIM应用数据;
所述系统还包括:
加载单元,用于将所述副USIM应用数据加载到所述副USIM应用软件平台;
认证单元,用于利用所述USIM应用数据与网络设备进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
本发明实施例第四方面提供了一种副通用用户标识模块USIM应用信息的处理系统,所述方法包括:
第二接收单元,用于接收终端发送的下载副USIM应用平台数据的第一请求信息;
第二发送单元,用于响应所述第一请求信息,向终端发送所述副USIM应用平台数据;
其中,所述副USIM应用平台数据能够用于在所述终端中装载形成副USIM应用软件平台;所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
基于上述方案,第二接收单元,用于接收终端发送的下载副USIM应用数据的第二请求信息;
所述系统还包括:
签约单元,用于响应所述第二请求信息,形成签约记录;
所述第二发送单元,具体用于基于所述签约记录向终端发送所述副USIM应用数据。
其中,所述副USIM应用数据,能够用于加载到所述副USIM应用软件平台。
基于上述方案,所述系统还包括:
所述系统还包括:
认证单元,用于接收终端发送的副USIM应用数据,并基于所述签约记录与终端进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
基于上述方案,
所述系统还包括:
加密单元,用于利用终端公钥对所述副USIM应用数据进行加密;
所述第二发送单元,具体用于将加密后的所述副USIM应用数据发送给终端。
基于上述方案,所述系统还包括:
验证单元,用于利用所述第二请求信息携带的信息,对所述第二请求信息进行信息验证;
所述签约单元,具体用于在通过所述信息验证之后,响应所述第二请求信息,形成所述签约记录。
基于上述方案,所述验证单元,具体用于利用所述第二请求信息携带的第一信息,验证本次接收的所述第二请求信息是否为重复发送的第二请求信息,若本次接收的所述第二请求信息非重复发送的第二请求信息,确定通过新鲜性验证;
和/或,
利用所述二请求消息携带的第二信息,验证所述终端发送所述第二请求信息的次数是否达到门限,进行门限验证;若所述终端发送所述第二请求信息的次数未达到所述门限,确定通过门限验证;
和/或,
利用所述第二请求信息携带的第三信息,进行所述第二请求信息的完整性验证。
本发明实施例
附图说明
图1为本发明实施例提供的第一种副USIM应用信息的处理方法的流程示意图;
图2为本发明实施例提供的第二种副USIM应用信息的处理方法的流程示意图;
图3为本发明实施例提供的第三种副USIM应用信息的处理方法的流程示意图;
图4为本发明实施例提供的第四种副USIM应用信息的处理方法的流程示意图;
图5为本发明实施例提供的第一种副USIM应用信息的处理系统的结构示意图;
图6为本发明实施例提供的第二种副USIM应用信息的处理系统的结构示意图;
图7为本发明实施例提供一种IOPS网络的结构示意图;
图8为本发明实施例提供的第五种副USIM应用信息的处理方法的流程示意图;
图9为本发明实施例提供的第六种副USIM应用信息的处理方法的流程示意图;
图10为本发明实施例提供的LSM与MME合设的结构示意图;
图11为本发明实施例提供的LSM与HSS合设的结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。
实施例一:
如图1所示,本实施例提供一种副通用用户标识模块USIM应用信息的处理方法,所述方法包括:
步骤S110:向网路设备发送下载副USIM应用平台数据的第一请求信息;
步骤S120:从网络设备接收基于所述第一请求信息发送的所述副USIM应用平台数据;
步骤S130:利用所述副USIM应用平台数据,在所述终端中安装副USIM应用软件平台;
其中,所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
本实施例中所述副USIM应用信息的处理方法,可应用于终端中,尤其适用于没有安装副USIM应用硬件平台的终端中;例如,仅的单通用集成电路卡(Universal Integrated Circuit Card,UICC)卡的终端。这个时候,该UICC卡上仅预先预置有主USIM应用信息。在现有技术中即便终端包括两个UICC卡,也必须由UICC卡的生产厂家或通信运营商等企业预先在UICC卡上设置USIM应用硬件平台,这样首先会导致进行支持单UICC卡的终端不能获得副USIM应用,同时也会导致支持副UISIM的终端,在没有预先设置副USIM应用硬件平台又急需使用副USIM时的问题。而本申请提供了一种在终端上安装形成副 USIM应用软件平台的方法。在本实施例中所述终端可以向网络设备,这里的网络设备可以包括移动通信网络的网路设备,例如演进型基站eNB、移动管理实体MME、本地签约管理平台(Local Subscription Manager,LSM),也可以是互联网的网络设备,例如某一个家应用公司提供应用服务器等。当然,本实施例所述的方法还可应用于有安装副USIM应用硬件平台,但是副USIM应用硬件平台故障的终端中,所述终端可以在检测到副USIM应用硬件平台故障时,提示用户可以进行副USIM应用软件平台的安装,再基于用户指示发送所述第一请求信息并安装所述副USIM应用软件平台。
本实施例所述终端可以在检测到自己具有支持副USIM的能力或在支持IOPS的应用场景下,向网络设备发送所述第一请求信息,网络设备在接收到请求消息之后,在满足预设的条件下,会向所述终端发送所述副USIM应用平台数据,在步骤S130中终端会根据副USIM应用平台数据,在终端中安装副USIM应用平台。值得注意的是:本实施例中所述副USIM应用平台是安装在终端中的,而非安装在USIM或SIM卡等UICC卡中的。
这样的话,终端安装了所述副USIM应用软件平台,为加载副USIM应用数据提供了应用环境。方便后续终端,利用辅USIM应用数据基于副USIM应用进行通信。
显然,利用本实施例所述的方法,UICC卡的生产厂家不用预先设置所述副USIM应用硬件平台,用户在使用终端时即便没有USIM应用硬件平台,若终端本身具有支持副USIM应用的能力,也能够通过安装副USIM应用软件平台获取副USIM应用的应用环境,减少了某些场景下因为没有预先设置副USIM应用的应用环境,导致无法使用副USIM应用,尤其是极端环境下利用副USIM应用使用IOPS通信的场景,提高了通信的持续性,减少了安全问题。
值得注意的是,本实施例中所述的副USIM应用信息可包括所述副USIM应用平台数据及所述副USIM应用数据等信息。
作为本实施例的进一步改进,如图2所示,所述方法还包括:
步骤S210:发送下载所述副USIM应用数据的第二请求信息;
步骤S220:从网络设备接收基于所述第二请求信息发送的所述副USIM应用数据;
步骤S230:将所述副USIM应用数据加载到所述副USIM应用软件平台;
步骤S240:利用所述USIM应用数据与网络设备进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
本实施例所述方法还引入了步骤S210和步骤S240,终端在安装好副USIM应用软件平台之后,则可以在有需要的时候,向网络设备发送第二请求信息,网络设备接收到请求消息,在满足预设条件的情况下,将会向终端发送副USIM应用数据。其中,所述副USIM应用数据包括了终端利用副USIM应用进行通信的必要消息,例如,所述副USIM应用的身份标识信息;所述副USIM应用对应的共享根密钥Ki等。
本实施例中所述第二请求信息和所述第一请求信息可以同时发送的,也可以是分开发送的,若是分开发送的通常,所述第二请求信息的发送时机晚于所述第一请求信息的发送。若所述第一请求信息和第二请求信息同时发送,则可以将所述第一请求信息和所述第二请求信息承载在同一条发送给网络的请求消息中。这样的话,网络设备在接收到一条请求消息将分别获得第一请求信息和第二请求信息,将向终端返回所述副USIM应用平台数据和所述副USIM应用数据。
在步骤S230中,会将所述副USIM应用数据加载到所述副USIM应用软件平台中,这里的加载包括将所述副USIM应用软件平台存储到所述副USIM应用软件平台,以便基于副USIM应用进行通信时的使用。
在步骤S240中,需要使用副USIM应用进行通信,还需要与网络设备进行认证,这样的话,终端才能够利用所述副USIM应用进行业务数据的交互。在本实施例中所述终端将利用利用所述USIM应用数据,与网络设备进行信息交互,进行AKA认证。这里的AKA认证可以参见现有技术,在此就不描述了。
假设在执行步骤S110至步骤S130中与终端进行交互的网络设备可为第一网络设备,在执行步骤S220中与终端进行交互的网络设备可为第二网络设备, 在执行步骤S230中与终端进行交互的网络设备可为第三网络设备。这里的第一网络设备、第二网络设备及第三网络设备可以为同一个网络设备,也可以分别为不同的网络设备。例如,所述第二网络设备可为前述的LSM,所述第三网络设备可为归属签约用户服务器(Home Subscriber Server,HSS)。所述第二网络设备在响应终端发送的第二请求信息的过程中,将进行签约,形成签约消息。这里的签约消息至少包括所述Ki和副USIM的标识信息。第二网络设备进行签约包括建立并存储所述Ki和副USIM的标识信息的绑定关系,同时会将所述签约消息发送给所述HSS。所述HSS将接收并存储所述签约消息,当接收到终端发送的副USIM应用数据时,将核对接收到的副USIM应用数据中携带的Ki和副USIM的标识信息是否已经在网络设备中建立了绑定关系,若建立的绑定关系,则AKA认证可通过,否则AKA认证将不通过。
在本实施例中所述LSM可为一个新增的网络网元,可以独立设置,也可以与MME或HSS等网络网元集成设置,终端与LSM之间通信可以通过eNB或MME等网络进行转发。单通常所述LSM为设置终端所在地理位置的本地接入网中,便于终端与LSM之间的信息交互。
作为本实施例的进一步改进,避免网络设备发送的副USIM应用数据被窃取,导致副USIM应用的使用安全问题,在本实施例中,所述第二请求信息可利用终端私钥进行数字签名,以提高第二请求信息的安全性,在LSM中可利用终端公钥进行第二请求信息的验证。
总之,实施例提供了一种用户不用持通信设备上营业厅,也不用厂家在UICC卡中进行预置USIM应用信息的方法,能够保证解决现有技术中很多场景下无法获得副USIM应用的问题,提高了副USIM应用的使用难度和扩大了应用场景范围。
实施例二:
如图3所示,本实施例提供一种副通用用户标识模块USIM应用信息的处理方法,所述方法包括:
步骤S310:接收终端发送的下载副USIM应用平台数据的第一请求信息;
步骤S320:响应所述第一请求信息,向终端发送所述副USIM应用平台数据;
其中,所述副USIM应用平台数据能够用于在所述终端中装载形成副USIM应用软件平台;所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
在本实施例中所述第一请求信息为请求获取副USIM应用平台数据的消息,网络设备在接收到该第一请求信息之后,会将对应的副USIM应用平台数据发送给对应的终端,这样就能够协助终端在没有副USIM应用硬件平台或副USIM应用硬件平台故障的前提下,安装副USIM应用软件平台,从而提供副USIM应用数据的应用环境,以方便终端使用副USIM应用,降低了副USIM应用的使用条件难度,扩大了副USIM应用的使用场景范围。
如图4所示,作为本实施例进一步改进,所述方法还包括:
步骤S410:接收终端发送的下载副USIM应用数据的第二请求信息;
步骤S420:响应所述第二请求信息,形成签约记录;
步骤S430:基于所述签约记录向终端发送所述副USIM应用数据。
其中,所述副USIM应用数据,能够用于加载到所述副USIM应用软件平台。
在本实施例中所述第二请求信息为向网络设备请求发送副USIM应用数据。在步骤S420中的形成签约记录,可包括:分配副USIM应用的标识信息及对应于该副USIM应用的共享根密钥Ki,建立副USIM应用的标识信息与所述Ki之间的绑定关系。当然在具体的实现过程中,可能还包括分配使用所述共享根密钥Ki的算法。
在步骤S430中基于所述签约记录,向终端发送副USIM应用数据,这里的副USIM应用数据至少包括步骤S410中分配的副USIM应用的标识信息及所述Ki,当然还可能包括使用所述Ki的算法。
值得注意的是,在本实施例步骤S420中分配的副USIM应用的标识信息,可为由数字或、字符和符号等各种信息形成的字符串等信息,是能够在通信网 络中唯一标识该副USIM应用的身份信息。
这样的话,就简便的实现了签约记录的非预置的动态形成。
作为本实施例的进一步改进,所述方法还包括:
接收终端发送的副USIM应用数据,并基于所述签约记录与终端进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
终端在接收到副USIM应用数据之后,若需要副USIM应用进行业务通信,还需要与网络进行认证,以确保通信安全性。在认证的过程中,所述终端可以将副USIM应用的标识信息和Ki等副USIM应用数据发送给对应的网络设备,对应的网络设备,通过核对终端发送的Ki与副USIM的标识信息的绑定关系是否正确,来确定是否通过AKA验证。至少Ki与副USIM的标识信息的绑定关系正确,才能通过AKA验证,所述AKA验证的详细流程,可以参见现有技术,在此就不重复了。
在本实施例中执行前述步骤310至步骤320的可为第一网络设备,执行所述步骤S410至步骤S430的可为第二网络设备,执行所述AKA验证的可为第三网络设备,这些网络设备可以对应于同一网络网元,也可以对应不同的网络网元。例如,在本实施例中所述第二网络网元可为前述LSM,专门用于进行USIM应用数据的发送和签约记录的形成。
此外,为了提高副USIM应用数据的安全性;所述副USIM应用数据需要加密发送,这个时候第二网络设备可利用终端公钥对所述副USIM应用数据进行加密,所述方法还包括:
利用所述终端公钥对所述副USIM应用数据进行加密。所述步骤S430可包括:将加密后的所述副USIM应用数据发送给终端。
但是通常这个时候,所述终端公钥是公开的,是网络设备可以便捷的获得的,从而可以减少密钥协商的过程,简化加密操作。
此外,所述方法还包括:
利用所述第二请求信息携带的信息,对所述第二请求信息进行信息验证;
所述步骤S420可包括:在通过所述信息验证之后,响应所述第二请求信息, 形成所述签约记录。
在本实施例避免某些终端的反复操作,导致网络繁忙,或为了提高副USIM应用的使用安全性,在本实施例中在发送所述副USIM应用之前,还会对所述第二请求信息进行信息验证。以下介绍三种验证,所述信息验证可包括以下三种验证的至少其中之一。
第一种信息验证可为:
利用所述第二请求信息携带的第一信息,验证本次接收的所述第二请求信息是否为重复发送的第二请求信息,若本次接收的所述第二请求信息非重复发送的第二请求信息,确定通过新鲜性验证。这里的第一信息,可为所述终端发送的随机数。终端在安装好所述副USIM应用软件平台后,若发送一次第二请求信息,则将生成一个随机数,通常任意两次生成的随机数都不同,这样的话,网络设备在接收到所述随机数之后,将与之前发送的第二请求信息中携带的随机数进行比较,可以确定出本次第二请求信息的发送是否为重复发送。这样避免,网络设备重新形成签约记录,导致副USIM应用的标识信息的资源浪费等。
第二种信息验证可为:
利用所述二请求消息携带的第二信息,验证所述终端发送所述第二请求信息的次数是否达到门限,进行门限验证;若所述终端发送所述第二请求信息的次数未达到所述门限,确定通过门限验证;这里的第二信息也可以为所述终端生成的随机数,这里的第二信息可与所述第一信息为同一个随机数。网络设备记录终端每一次发送的第二请求信息中的随机数,这样的话,网络设备通过统计记录的随机数的个数,就可以知道第二请求信息的发送次数是否达到门限。当然值得注意的是,此处的第二请求信息的发送次数,不包括第一种信息验证中提到的重复发送;避免一个终端占用超过门限值的副USIM应用,导致副USIM应用的资源紧张的问题。
第三种信息验证:
利用所述第二请求信息携带的第三信息,进行所述第二请求信息的完整性验证。这里的完整性验证主要验证第二信息是否在传输过程中被篡改,这里的 篡改可包括信息的替换、信息的删除等信息篡改,以提高副USIM应用数据的安全性。
实施例三:
如图5所示,本实施例提供一种副通用用户标识模块USIM应用信息的处理系统,所述系统包括:
第一发送单元510,用于向网路设备发送下载副USIM应用平台数据的第一请求信息;
第一接收单元520,用于从网络设备接收基于所述第一请求信息发送的所述副USIM应用平台数据;
安装单元530,用于利用所述副USIM应用平台数据,在所述终端中安装副USIM应用软件平台;
其中,所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
本实施例所述第一发送单元510和所述第一接收单元520都可对应于终端中的通信接口,例如,可包括手机或平板电脑等通信终端中的一根或多根具有收发功能的天线等。
所述安装单元530可对应于处理器或处理电路。所述处理器可包括应用处理器、中央处理器、微处理器、数字信号处理器或可编程阵列等,所述处理电路可包括专用集成电路等。所述处理器或处理电路,可通过执行预定指令,控制通信接口的信息收发,同时控制副USIM应用软件平台的安装。
在本实施例中所述的系统中,不用UICC卡生产厂家或通信运营商来预先设置所述副USIM应用的硬件平台,可以方便用户在自己需要的环境下下载并安装所述副USIM应用软件平台,降低了副USIM应用的使用条件难度,扩大了副USIM应用的场景范围。
进一步地,所述第一发送单元510,还用于发送下载所述副USIM应用数据的第二请求信息;所述第一接收单元520,还用于从网络设备接收基于所述第二请求信息发送的所述副USIM应用数据;
所述系统还包括:
加载单元,用于将所述副USIM应用数据加载到所述副USIM应用软件平台;
认证单元,用于利用所述USIM应用数据与网络设备进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
在本实施例中还引入加载单元和认证单元,加载单元和所述认证单元均可对应于处理器和存储介质,主要用于将所述副USIM应用数据存储到指定存储介质中,方便所述副USIM应用软件平台调用所述副USIM应用数据进行基于副USIM应用的通信。
所述认证单元,主要用于基于副USIM应用数据进行AKA认证。这里的AKA认证的流程可参见前述实施例,在此不赘述了。
总之,本实施例所述的副通用用户标识模块USIM应用信息的处理系统可为应用于终端中的系统,终端利用该系统能够实现副USIM应用软件平台的安装,和副USIM应用数据的自动下载,提高了终端的智能性及减少了副USIM应用的使用局限性。
实施例四:
如图6所示,本实施例提供一种副通用用户标识模块USIM应用信息的处理系统,所述方法包括:
第二接收单元610,用于接收终端发送的下载副USIM应用平台数据的第一请求信息;
第二发送单元620,用于响应所述第一请求信息,向终端发送所述副USIM应用平台数据;
其中,所述副USIM应用平台数据能够用于在所述终端中装载形成副USIM应用软件平台;所述副USIM应用软件平台为副USIM应用数据安装提供应用环境。
本实施例所述第二接收单元610和第二发送单元620均可对应于通信系统中网络设备的通信接口,能够与终端进行信息交互的多个通信接口。
在本实施例中所述副USIM应用信息的处理系统,将基于终端的第一请求 信息向终端发送副USIM应用平台数据,方便没有设置副USIM硬件平台,或副USIM硬件平台故障的终端根据需要下载并安装副USIM应用软件平台,利用副USIM应用软件平台为后续的副USIM应用的使用提供应用环境。
进一步地,第二接收单元610,用于接收终端发送的下载副USIM应用数据的第二请求信息。
所述系统还包括:
签约单元,用于响应所述第二请求信息,形成签约记录;
所述第二发送单元620,具体用于基于所述签约记录向终端发送所述副USIM应用数据。
其中,所述副USIM应用数据,能够用于加载到所述副USIM应用软件平台。本实施例中所述签约单元可对应于处理器或处理电路。所述处理器或处理电路可参见前述任意一个实施例。所述签约单元在响应所述第二请求信息时,通常可能会给终端分配副USIM的标识信息及对应的Ki,并建立前述的绑定关系,从而形成并存储所述签约记录。在生成签约记录之后,将至少部分签约记录承载在所述副USIM应用数据中,发送给终端;方便终端后续的AKA认证及业务通信。
此外,所述系统还包括:
认证单元,用于接收终端发送的副USIM应用数据,并基于所述签约记录与终端进行第四代移动通讯网络的认证与密钥协商协议AKA认证。
本实施例中所述认证单元对应于通信接口,接收终端发送的副USIM应用数据,并进行AKA验证,方便终端利用副USIM应用进行通信。
进一步地,所述系统还包括:
加密单元,用于利用所述终端公钥对所述副USIM应用数据进行加密;
所述第二发送单元620,具体用于将加密后的所述副USIM应用数据发送给终端。
利用终端公钥进行加密,必须有对应的终端私钥才能进行解密,这样能够提高所述副USIM应用数据传输的安全性。
在本实施例中所述加密单元,可对应于前述的处理器或处理电路,处理器或处理电路通过预定代码的执行,可实现上述加密,以提高副USIM应用数据的安全性。
此外,所述系统还包括:验证单元,用于利用所述第二请求信息携带的信息,对所述第二请求信息进行信息验证;所述签约单元,具体用于在通过所述信息验证之后,响应所述第二请求信息,形成所述签约记录。
在本实施例中所述系统还引入了验证单元,进行信息验证,以求提高副USIM应用的安全性等。具体地,所述验证单元,具体用于利用所述第二请求信息携带的第一信息,验证本次接收的所述第二请求信息是否为重复发送的第二请求信息,若本次接收的所述第二请求信息非重复发送的第二请求信息,确定通过新鲜性验证;和/或,利用所述二请求消息携带的第二信息,验证所述终端发送所述第二请求信息的次数是否达到门限,进行门限验证;若所述终端发送所述第二请求信息的次数未达到所述门限,确定通过门限验证;和/或,利用所述第二请求信息携带的第三信息,进行所述第二请求信息的完整性验证。
上述三种信息验证的具体执行操作可以参见前述实施例,在本实施例就不重复了。本实施例所述系统可由一个或多个网络设备形成,若由多个网络设备形成,则这些网络设备之间可以通过网络接口进行通信,本实施例所述的系统可以由前述的第一网络设备、第二网络设备及第三网络设备构成。
总之,本实施例所述的系统,为能够协助终端进行副USIM应用软件平台的安装、副USIM应用数据的下发及AKA认证的结构。
以下结合上述任意一个实施例,提供几个具体示例:
示例一:
如图7所示,提供一个IOPS网络的结构示意图,该IOPS是由一个或多个运行在IOPS-eNB或者NeNB连接到本地EPC组成的。在关键基础设施破坏(如eNB到宏EPC的回程链路缺失)的场景下,支持IOPS的IOPS-UE可以通过IOPS-eNB或者NeNB接入到Local EPC中。这的UE为用户设备,可对应于前述实施例中的终端。
IOPS-eNB是指有IOPS模式操作能力的eNB。该eNB能够在它失去与宏EPC(Macro EPC,也叫正常EPC)的连接的时候通过本地EPC(本地EPC)为UE提供本地IP连接以及公共安全业务。
NeNB(Nomadic eNB)是指一个游牧的cell,可以由基站、天线、微波回程组成,并支持本地业务。NeNB能够为公共安全的用户提供无线覆盖。
本地EPC是指为了支持公共安全业务,替代宏EPC向运行在IOPS模式的eNB提供功能,由MME,信令网关SGW,(PDN GateWay,PDN网关)PGW和HSS组成。
宏EPC指的是为运行在正常模式的eNB提供服务的核心网。
目前3GPP给出的IOPS场景有以下4种场景,当前3GPP的研究只针对没有回程链路的IOPS的场景。
下表可为IOPS场景的参数。
针对当前研究的回程链路缺失的场景:当发生回程链路缺失时,UE需要进入IOPS模式,并通过IOPS-eNB或者NeNB建立与本地EPC的连接并获取相关的业务。此过程中需要实现网络和UE之间的相互认证。
示例二:
如图8所示,本示例提供一种副USIM应用信息处理方法,包括:
步骤1:eNB广播本地EPC的PLMN的ID2;具体的可如:当支持IOPS模式的eNB发现回程链路缺失时,eNB转换到IOPS模式,并在S1连接建 立完成时广播进行IOPS操作的本地EPC的PLMN-ID。这里的PLMN为Public Land Mobile Network的缩写,对应的中文为公共陆地移动网络。这里的ID为Identification的缩写,表示的身份标识的意思。
步骤2:UE向eNB发送副USIM应用数据请求消息;具体的如,具有IOPS能力的UE发现IOPS PLMN ID2时,检查发现目前没有副USIM应用硬件平台,若只有副USIM软件平台,而且该软件平台上的副USIM应用数据为空,不可用。于是UE向eNB发送副USIM应用数据请求消息,为了防止该请求消息被篡改和重放,需对进行HASH处理,并使用终端私钥(Pu终端)对该HASH值进行签名。综上,UE发送的副USIM应用数据请求消息包含副USIM应用数据请求、随机数n、签名的HASH值、终端公钥(Pu终端)。如果终端公钥(Pu终端)使用证书承载,还需要在该消息中包含终端的证书。
步骤3:eNB向本地MME转发副USIM应用数据请求消息,具体的如,eNB将收到的副USIM应用数据请求消息通过MME转发给LSM。
步骤4:LSM检测副USIM应用数据请求的新鲜性和完整性,存储收到的随机数和UE的标识。具体的如,LSM收到消息后,需要进行以下步骤:
请求消息的新鲜性验证:检查是否收到过该UE的副USIM应用数据请求消息,如可以查看本地是否有收到的来自该UE发送的随机数和该终端密钥的绑定信息。如果本地有来自该UE发送的随机数和该终端标识(如终端公钥)的绑定信息,那么LSM首先比较当前收到的随机数n和存储的随机数是否相同,如果相同则丢弃该消息并向UE返回错误消息。
副USIM应用数据请求的门限验证:查看本地是否有绑定存储的终端标识和来自该UE发送的所有随机数;如果有,查看随机数的个数是否已经达到LSM设定的请求副USIM应用数据的个数的门限。如果没有达到进行下面的步骤,否则返回错误消息或者直接忽略此请求。
请求消息的完整性验证:如果上述两个随机数不同或者LSM没有收到过该UE的副USIM应用数据请求消息并且未达到请求副USIM应用数据的个数 的门限,LSM使用收到的终端公钥解密,获得HASH值;并对收到的副USIM应用数据请求、随机数进行HASH计算,比较上述两个HASH值是否一样验证。如果两个HASH值不一样,则向UE返回完整性验证错误信息。值得注意的是:如果终端公钥使用证书承载,那么LSM需首先使用本地存储的终端的根证书验证收到的终端的证书;验证通过后,再使用终端证书中的公钥解密获得HASH值。
步骤5:LSM通过MME和eNB向UE发送副USIM应用数据请求响应消息:如果两个HASH值一样,LSM从存储的副USIM应用数据包中,选取一个用于副USIM应用软件平台的副USIM应用数据包,将收到的随机数进行增值处理。例如LSM将从终端接收到随机数加上一个固定数值,这里的固定数值可为1等预设值,在本示例中将LSM处理后的随机数称为随机数n+1,使用收到的终端公钥加密,该请求响应消息中可携带有副USIM应用数据包及随机数n+1}。LSM通过eNB或者MME和eNB将包含加密的{副USIM应用数据包,随机数n+1}的副USIM应用数据响应消息发送给UE;LSM还要将本次收到的随机数n与终端的标识进行绑定存储(如将收到的随机数n与终端公钥绑定存储)。上述副USIM应用数据包中包含共享根密钥K2,IMSI2以及USIM运算相关的算法(如A3,A4等)。如果所有副USIM应用软件平台默认已经预置了USIM计算相关的算法,LSM可以默认在副USIM应用数据包中不包含算法,这样能够减少信令报文的长度。
步骤6:LSM通过MME将签约记录发送给HSS。签约记录中包含LSM产生的新鲜值,(可为上述随机数n+1),使用本地EPC中的HSS的公钥加密的发送给UE的副USIM应用数据包中的签约记录K2,IMSI2。这里的IMSI2为副USIM的标识信息。所述K2可为对应于所述副USIM应用的Ki。
步骤7:HSS收到签约记录消息后,检查随机数的新鲜性(如检查本地是否存储了相同的随机数)。检查成功后,使用HSS的私钥解密签约记录,并存储该签约记录。
步骤8:UE解密并验证副USIM应用数据,安装到副USIM应用软件平台 上。具体地如,UE收到eNB转发的副USIM应用数据响应消息后,终端使用终端私钥解密,获得副USIM应用数据包和随机数n+1,检查随机数n+1是否比本地存储的之前发送的随机数n大。如果大,那么终端将副USIM应用数据装载到终端上的副USIM应用软件平台上。
步骤9:UE发送附着流程,与IOPS网络进行AKA认证;具体地,如当副USIM应用在副USIM应用软件平台上装载成功后,UE根据从eNB广播消息中收到的PLMN2,向网络发起附着消息。由于此时,副USIM应用已经是一个具有正常功能的USIM应用,而HSS中也已经装载了该副USIM应用的签约记录,所以UE和网络之间将按照正常的AKA流程进行相互认证,认证成功后,UE就使用副USIM应用接入IOPS网络。
在图8和图9中,LSM均是单独设立的,通过与MME连接作为通信网络的网元。如图10和图11所示,所述LSM可以与MME或HSS合并设置,将作为MME或HSS的一个组成部分。如果LSM和HSS合设,那么LSM上不需要配置HSS的公钥或者证书,并且上述本示例中的步骤6和步骤7中的安全机制可以不需要。第6和7步骤需要改成,LSM将发送给UE的副USIM应用数据包中的签约记录K2、IMSI2以及更新后的随机数发送给HSS。
示例三:
如图8所示,本示例提供一种副USIM应用信息处理方法,包括:
步骤11:eNB广播本地EPC的PLMN的ID2;具体如,当支持IOPS模式的eNB发现回程链路缺失时,eNB转换到IOPS模式,并在S1连接建立完成时广播进行IOPS操作的本地EPC的PLMN-id(即上图3中的PLMN ID2)。
步骤S12:UE请求接入网络,这里的网络为所述IOPS网络;具体如,当具有IOPS能力的UE发现IOPS PLMN ID2时,检查发现目前没有副USIM应用硬件平台也没有副USIM软件平台;于是UE使用接入大网的主USIM应用向eNB发送接入网络的请求消息,在该请求消息中至少包含主USIM应用的身份标识IMSI1、终端公钥、终端型号标识、随机数、签名的HASH 值。该HASH值是对(主USIM应用的身份标识IMSI1、UE产生的随机数)进行HASH处理,并使用终端私钥(Pu终端)对该HASH值进行签名得到的。如果终端公钥(Pu终端)使用证书承载,还需要在该消息中包含终端的证书。
步骤13:eNB将收到的接入网络的请求消息转发给MME。
步骤14:MME收到来自UE的接入网络的请求消息后,根据消息中包含主IMSI、终端公钥来判断该UE是没有副USIM应用软硬件平台的UE。MME将UE的接入请求转化为副USIM应用数据请求并发送给LSM,该请求中至少包含收到的主USIM应用的身份标识IMSI1、终端公钥(或证书)、随机数N及签名的HASH值。
步骤15:LSM检测副USIM应用数据请求的新鲜性和门限;具体如,LSM收到MME发送的副USIM应用数据请求后,需要检查本地是否有绑定存储的主IMSI1、随机数以及终端的身份标识。如果没有,则将收到的主IMSI1、随机数以及终端的身份标识绑定存储。如果有,检查收到的随机数N是否为新鲜的,即是否之前收到过;如果是新鲜的,还需要计算与终端身份标识绑定存储的所有收到的随机数的个数是否达到收到副USIM应用数据请求消息的次数的门限。由此可以防止攻击者利用主IMSI不断地向Local EPC发起接入请求,达到将LSM中的副USIM应用数据耗尽的目的。当确认随机数N是新鲜的并且收到的查询失败消息的次数未达到门限后,LSM使用收到的终端公钥解密,获得HASH值;并对收到的主IMSI1、随机数进行HASH计算,比较上述两个HASH值是否一样验证。如果两个HASH值不一样,则向UE返回完整性验证错误信息。如果一样,执行下面的步骤。
步骤16:LSM发送副USIM应用书请求的响应消息;具体如,LSM根据收到的请求中包含IMSI1,终端公钥获知UE上没有副USIM硬件和软件平台,所以根据终端型号标识挑选一个包含副USIM应用软件平台和副USIM应用数据(如K2、IMSI2及算法等)的软件包,使用终端公钥加密该软件包和更新终端发送的随机数后发送给MME。LSM向MME发送副USIM 应用数据请求的响应消息。该响应消息中至少包含加密的副USIM应用软件平台和副USIM应用数据的软件包及更新后的随机数。
步骤17:LSM将签约记录消息发送给MME具体如,LSM将发送给UE的副USIM应用数据包中的签约记录K2、IMSI2以及更新的随机数使用本地EPC中的HSS的公钥进行加密后包含在签约记录消息中。
步骤18:MME向HSS转发签约记录消息。
步骤19:HSS检查签约记录的新鲜性,解密并存储签约记录;具体如,HSS收到签约记录消息后,检查随机数的新鲜性(如检查本地是否存储了相同的数据数),检查通过后,使用HSS的私钥解密签约记录,并存储该签约记录。
步骤20:MME通过eNB向UE转发副USIM应用数据请求的响应消息。具体如,MME将收到的来自LSM的副USIM应用数据请求的响应消息包含在接入响应中,通过eNB发送给UE。
步骤21:UE解密并验证副USIM应用数据,并将应用数据装载到终端的USIM应用软件平台上。具体如,收到eNB转发的接入响应消息后,终端使用终端私钥解密,获得副USIM应用软件平台、副USIM应用数据包和更新后的随机数,检查更新后的随机数是否比本地存储的之前发送的随机数大。如果大,那么终端将安装副USIM应用软件平台,然后将副USIM应用数据装载到终端上的副USIM应用软件平台上。
步骤22:UE发送附着流程,与IOPS网络进行AKA认证。具体如,当副USIM应用在副USIM应用软件平台上装载成功后,UE根据从eNB广播消息中收到的PLMN的ID2,向IOPS网络发起附着消息。由于此时,副USIM应用已经是一个具有正常功能的副USIM应用,而HSS中也已经装载了该副USIM应用的签约记录,所以UE和网络之间将按照正常的AKA流程进行相互认证,认证成功后,UE就使用副USIM应用接入IOPS网络。
需要说明的是,如图10和图11所示,LSM也可以与MME或者HSS合设。如果LSM和HSS合设,那么LSM上不需要配置HSS的公钥或者证 书,并且本示例中的步骤17和步骤19中仅需进行一次新鲜性的检查即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!