專利名稱:一種實現(xiàn)安全觸發(fā)的方法��、系統(tǒng)和裝置的制作方法
技術領域:
本發(fā)明涉及通信領域�����,具體涉及ー種實現(xiàn)安全觸發(fā)的方法��、系統(tǒng)和裝置�。
背景技術:
對于很多M2M應用而言�,物聯(lián)網(wǎng)用戶希望機器類通訊(Machine Type Communication, MTC)設備的通信受到控制�����,而不希望MTC設備隨機接入MTC服務器 (Server)���。即使對于那些通常由MTC設備發(fā)起通信的應用��,也會存在需要MTC服務器向MTC 設備獲取數(shù)據(jù)的需求。因此��,MTC設備和MTC服器之間使用輪詢模式可能是較合適的方式�����。這樣���,對于不是一直附著在網(wǎng)絡中或不是一直擁有PDP/PDN連接的MTC設備�,需要通過基于MTC服務器發(fā)出的觸發(fā)指示來觸發(fā)MTC設備進行網(wǎng)絡附著和/或建立PDP/PDN連接�。具體而言,公眾陸地移動電話網(wǎng)(PLMN)基于從MTC服務器收到的觸發(fā)指示�,然后激活 MTC設備。圖1是現(xiàn)有MTC觸發(fā)設備業(yè)務系統(tǒng)架構圖�����,主要包括以下幾個網(wǎng)元MTC設備101,是M2M業(yè)務使用的終端��,與手機終端類似�����,也包括通用集成電路卡 (UICC)和移動設備(ME)�,通常負責收集采集器的信息并通過RAN節(jié)點接入核心網(wǎng),以及與 MTC服務器交互數(shù)據(jù)�����。無線接入節(jié)點(feidio Access Node�����,RAN) 102����,負責無線接入和無線資源管理。本發(fā)明中���,RAN是無線接入網(wǎng)元的統(tǒng)稱�����。接入安全管理設備(AccessSecurity Management Entity����,ASME) 103,主要負責設備的接入管理和安全管理�,可以對應到3GPP網(wǎng)絡中的移動交換中心(Mobile Switch Center, MSC)、移動管理實體(Mobility Management Entity, MME)�、服務 GPRS 支持節(jié)點(Serving GPRS Supporting Node, SGSN)以及小區(qū)廣播業(yè)務中的小區(qū)廣播中心(Cell Broadcast しenter,CBC)���。歸屬用戶服務器/歸屬位置寄存器(Home Subscriber Server/Home Location Register, HSS/HLR) 103,主要負責設備的簽約數(shù)據(jù)管理和存儲�。MTC Serverl04,是為M2M應用新增的網(wǎng)元,主要負責對MTC設備的信息采集和數(shù)據(jù)存儲/處理等工作��,并可對MTC設備進行必要的管理�����。圖2是現(xiàn)有技術中MTC設備觸發(fā)流程圖��。當MTC服務器希望MTC設備附著并與 MTC服務器建立連接吋����,MTC服務器通過MTC設備所屬的網(wǎng)絡向MTC設備發(fā)送觸發(fā)指示����。當 MTC設備收到觸發(fā)指示吋��,主動附著到網(wǎng)絡并與MTC服務器建立連接����,具體包括如下步驟步驟201、MTC服務器向MTC設備所屬的HSS/HLR發(fā)送觸發(fā)設備請求消息�����,消息中攜帶 MTC 設備標識(Device ID)�����、觸發(fā)標識(Trigger Indicator)�����;步驟202����、HSS/HLR查詢到MTC設備相應的ASME地址���,向MTC設備所在的ASME轉(zhuǎn)發(fā)收到的觸發(fā)設備請求消息;步驟203���、ASME通知MTC設備所在的RAN尋呼MTC設備����,向RAN發(fā)送尋呼消息��,消息中攜帝 MTC Device ID�����、Trigger Indicator �;
步驟204、RAN通過廣播信道或者尋呼信道向MTC設備所在的區(qū)域周期發(fā)起尋呼�����;步驟205���、當偵聽到所述尋呼消息,MTC設備根據(jù)消息中攜帯的TriggerIndicator 獲取該尋呼消息是ー個觸發(fā)消息��,進而向接入網(wǎng)絡發(fā)起業(yè)務請求;接入網(wǎng)絡ASME根據(jù)運營策略�,可能觸發(fā)鑒權加密流程;步驟206�、MTC設備與MTC服務器建立安全連接。對于MTC設備而言�����,存在兩種情況�����,ー是MTC設備在未附著狀態(tài)時收到觸發(fā)指示����, ニ是MTC設備在附著狀態(tài)時收到觸發(fā)指示。如果MTC設備在未附著狀態(tài)時收到觸發(fā)指示��,MTC設備首先向網(wǎng)絡發(fā)起附著�����,進行鑒權等一系列過程���。如圖1所示���,MTC服務器可能位于運營商網(wǎng)絡內(nèi)或者運營商網(wǎng)絡外�����。 MTC服務器向網(wǎng)絡發(fā)出觸發(fā)指示�����,網(wǎng)絡中的ASME向未附著的MTC設備發(fā)出觸發(fā)指示來激活設備����。收到觸發(fā)指示后�,MTC設備與網(wǎng)絡進行鑒權等相應流程,之后MTC設備與MTC服務器建立通信���。在這種情況下���,設備會遇到攻擊人假冒成網(wǎng)絡的惡意攻擊,即攻擊者偽裝成網(wǎng)絡向MTC設備發(fā)送觸發(fā)指示��。與普通用戶終端不同的是����,很多MTC設備是無人值守的,很多 MTC設備只能依靠電池需要運行很長時間而不能被充電或更換電池����。在這種情況下,攻擊者不斷的惡意激活設備���,造成設備電量的消耗�,這樣能影響設備使用壽命��,甚至在一定時間內(nèi)造成大規(guī)模設備癱瘓���,從而達到攻擊的目的�����。除了攻擊者偽裝網(wǎng)絡惡意激活MTC設備�,還存在攻擊者偽裝MTC服務器利用網(wǎng)絡激活MTC設備��;尤其在MTC服務器是第三方����,不在運營商網(wǎng)絡內(nèi)吋�����。因此��,需要避免MTC設備被攻擊者惡意激活���,MTC設備需要能夠判斷觸發(fā)指示是否來自合法網(wǎng)絡,但目前并不存在相關的技術支持���。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的主要目的在于提供一種實現(xiàn)安全觸發(fā)的方法��、系統(tǒng)和裝置���,保證MTC設備能夠判斷觸發(fā)指示是否來自合法網(wǎng)絡�����,避免MTC設備被攻擊者惡意激活����。為達到上述目的,本發(fā)明的技術方案是這樣實現(xiàn)的一種實現(xiàn)安全觸發(fā)的方法�,該方法包括機器類通訊MTC設備根據(jù)自身與MTC服務器之間所共享的安全數(shù)據(jù)Cookie�����,判斷網(wǎng)絡消息的合法性���。所述安全數(shù)據(jù)為所述MTC設備簽約時�����,由網(wǎng)絡設置的初始安全數(shù)據(jù)Initial CooKie 值����;或者��,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中��,由所述 MTC設備或者所述MTC設備服務器生成的cookie值��。所述判斷網(wǎng)絡消息的合法性的方法為所述MTC設備根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/ initial cookie進行比較����,如果相同則認為所述消息合法���;反之,則為非法��。所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息���。所述網(wǎng)絡消息中Cookie/Initial Cookie參數(shù)的傳遞過程包括所述MTC服務器通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的接入安全管理設備ASME��,所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備�����;或者����,所述MTC服務器直接向所述MTC設備所在的ASME傳遞Cookie��,所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備�。所述安全數(shù)據(jù)是針對單個設備的安全數(shù)據(jù),或是針對多個設備的組安全數(shù)據(jù)���。所述MTC設備判斷所述網(wǎng)絡消息合法后�,進ー步建立與所述MTC服務器之間的安全連接����,所述MTC設備或者所述MTC服務器更新共享的Cookie值�。一種實現(xiàn)安全觸發(fā)的系統(tǒng)�����,該系統(tǒng)包括安全數(shù)據(jù)維護単元����、數(shù)據(jù)合法性決策單元���; 其中�,所述安全數(shù)據(jù)維護単元���,用于生成以及保存MTC設備和MTC服務器之間共享的安全數(shù)據(jù)�,并提供給數(shù)據(jù)合法性決策單元�����;所述數(shù)據(jù)合法性決策單元����,用于根據(jù)MTC設備與MTC服務器之間所共享的安全數(shù)據(jù)�,判斷網(wǎng)絡消息的合法性����。所述安全數(shù)據(jù)為所述MTC設備簽約時,由網(wǎng)絡設置的hitial Cookie值�����;或者���,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中��,由所述 MTC設備或者所述MTC設備服務器生成的cookie值��。所述數(shù)據(jù)合法性決策單元判斷網(wǎng)絡消息的合法性吋����,用于根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/initial cookie進行比較�,如果相同則認為所述消息合法;反之�����,則為非法。所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息����。傳遞所述網(wǎng)絡消息中Cookie/Initial Cookie參數(shù)時,所述MTC服務器用于通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的ASME����,觸發(fā)所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備;或者�����,直接向所述MTC設備所在的ASME傳遞Cookie���,觸發(fā)所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備。所述安全數(shù)據(jù)是針對單個設備的安全數(shù)據(jù)���,或是針對多個設備的組安全數(shù)據(jù)���。判斷所述網(wǎng)絡消息合法后,所述數(shù)據(jù)合法性決策單元進ー步用干建立與所述 MTC服務器之間的安全連接����,觸發(fā)所述MTC設備或者所述MTC服務器更新共享的Cookie值。一種實現(xiàn)安全觸發(fā)的設備���,該設備為MTC設備���,用于根據(jù)自身與MTC服務器之間所共享的安全數(shù)據(jù)��,判斷網(wǎng)絡消息的合法性�。該設備與安全數(shù)據(jù)維護単元相連���,所述安全數(shù)據(jù)維護単元用于生成以及保存MTC 設備和MTC服務器之間共享的安全數(shù)據(jù)���,并提供給MTC設備。所述安全數(shù)據(jù)為所述MTC設備簽約時���,由網(wǎng)絡設置的hitial Cookie值�����; 或者���,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中,由所述 MTC設備或者所述MTC設備服務器生成的cookie值�����。該設備判斷網(wǎng)絡消息的合法性吋,用于根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/initial cookie進行比較���,如果相同則認為所述消息合法�����;反之�����,則為非法�。所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息���。
判斷所述網(wǎng)絡消息合法后,所述設備進ー步用于建立與所述MTC服務器之間的安全連接����,自身執(zhí)行或者觸發(fā)所述MTC服務器更新共享的Cookie值。一種實現(xiàn)安全觸發(fā)的設備����,該設備為MTC服務器,用于根據(jù)MTC設備與自身之間所共享的安全數(shù)據(jù),判斷網(wǎng)絡消息的合法性���。所述安全數(shù)據(jù)為所述MTC設備簽約時��,由網(wǎng)絡設置的hitial Cookie值����;或者�,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中,由所述 MTC設備或者所述MTC設備服務器生成的cookie值�����。所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息�。所述網(wǎng)絡消息中Cookie/Initial Cookie參數(shù)被傳遞吋,所述設備用于通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的ASME�����,觸發(fā)所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備�;或者,直接向所述MTC設備所在的ASME傳遞Cookie��,觸發(fā)所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備����。判斷所述網(wǎng)絡消息合法后�����,所述設備進ー步用于建立與所述MTC設備之間的安全連接�����,更新共享的Cookie值���。本發(fā)明實現(xiàn)安全觸發(fā)的方法、系統(tǒng)和裝置�,保證MTC設備能夠判斷觸發(fā)指示是否來自合法網(wǎng)絡,避免MTC設備被攻擊者惡意激活����。
圖1為MTC設備觸發(fā)系統(tǒng)架構示意圖2為現(xiàn)有技術中MTC設備觸發(fā)流程圖3為本發(fā)明實施例的實現(xiàn)安全觸發(fā)的流程簡圖4為本發(fā)明一實施例的安全數(shù)據(jù)Cookie)傳遞流程圖5為本發(fā)明另ー實施例的Cookie傳遞流程圖6為本發(fā)明再一實施例的Cookie傳遞流程圖7為本發(fā)明實施例的針對組觸發(fā)執(zhí)行觸發(fā)的流程圖8為本發(fā)明實施例的由MTC服務器設置定時器對Cookie進行保活的流程圖
圖9為本發(fā)明實施例的由MTC設備設置定時器對Cookie進行?�;畹牧鞒虉D10為本發(fā)明實施例的實現(xiàn)安全觸發(fā)的系統(tǒng)圖��。
具體實施例方式在實際應用中��,可以考慮提出MTC設備安全觸發(fā)機制�����,即在網(wǎng)絡發(fā)送給MTC設備的觸發(fā)指示消息中�,増加MTC設備和MTC服務器共同擁有的Cookie以保證觸發(fā)指示來自合法的網(wǎng)絡。具體而言���,在初始狀態(tài)��,即MTC設備和MTC服務器還沒有建立過應用層的安全連接前��,MTC設備和MTC服務器擁有簽約時預先共享的密鑰/安全數(shù)據(jù)��,并將該數(shù)據(jù)作為初始安全數(shù)據(jù)(Initial Cookie)�。當MTC設備和MTC服務器建立安全連接后�,可由MTC設備或 MTC服務器生成新的cookie值,并在MTC設備和MTC服務器中間共享該cookie值����。所述cookie值的安全可以通過現(xiàn)有機制中的應用層安全來保證;所述cookie值的位數(shù)可以根據(jù)具體安全需求及網(wǎng)絡開銷成本來決定���?����?梢詰脙煞N方式獲得所述安全數(shù)據(jù)cookie���。第一種方式MTC服務器在向網(wǎng)絡發(fā)起對MTC設備的觸發(fā)指示吋�����,將需要被觸發(fā)的MTC設備的cookie值攜帶于觸發(fā)指示消息中下發(fā)給網(wǎng)絡����,網(wǎng)絡在向MTC設備發(fā)送觸發(fā)指示吋�����,在該消息中攜帯所述Cookie值��。這種方式的好處在于����,能同時驗證網(wǎng)絡和MTCServer的正確性。即使MTC krver是第三方���, 與運營商的安全關系并不嚴密吋,該方案也能保證其安全性��,但需要MTC服務器具有保存以及維護cookie的功能。第二種方式MTC服務器將初始安全數(shù)據(jù)發(fā)送給用戶簽約數(shù)據(jù)庫 (HSS或HLR)����,并在與MTC設備更新cookie后將更新的cookie值發(fā)送給用戶簽約數(shù)據(jù)庫。 MTC服務器向網(wǎng)絡發(fā)起對MTC設備的觸發(fā)指示��,網(wǎng)絡在向MTC設備發(fā)送觸發(fā)指示時攜帶所述Cookie值��。這種方案不依賴于MTC服務器的能力而能夠保證發(fā)送觸發(fā)指示的網(wǎng)絡的合法性��,但需要網(wǎng)絡對cookie值進行保存和維護����。MTC設備收到觸發(fā)指示時,將其中包含的cookie值與自身保存的cookie值進行比較�����,如果一致則開始后續(xù)流程�;否則,丟棄所述消息并不再進行后續(xù)流程����。與現(xiàn)有的安全手段相比,即進行完整性保護校驗或機密性保護校驗相比較���;本發(fā)明實施例僅對cookie進行比較���,因而將計算代價降低了很多��,更能節(jié)約電量及減少時耗����。下面結(jié)合附圖和具體實施例對本發(fā)明的技術方案進ー步詳細闡述��??傮w而言,在網(wǎng)絡發(fā)送給MTC設備的觸發(fā)指示消息中���,増加MTC設備和MTC服務器共同擁有的Cookie���,以保證觸發(fā)指示來自合法的網(wǎng)絡。參見圖3�����,在起始階段����,如果MTC設備和MTC服務器首次建立安全連接����,MTC設備和MTC服務器可以使用簽約時預先共享的秘鑰/安全數(shù)據(jù)作為hitial Cookie�。這個hitial Cookie的獲取方式可以有兩種�,ー種方式是MTC設備和MTC服務器預共享,Initial Cookie分別保存在MTC設備和MTC服務器中����;另外ー種方式是MTC設備在開戶時,從HSS/HLR獲取hitial Cookie ���;MTC服務器針對 MTC設備執(zhí)行觸發(fā)業(yè)務吋���,發(fā)現(xiàn)沒有保存MTC設備的Cookie,則MTC服務器向所述MTC設備所屬的HSS/HLR獲取該MTC設備對應于該MTC服務器的hitialCookie �����; MTC設備收到尋呼消息����,檢測消息中攜帯的Trigger Indicator和Cookie/ Initial Cookie,并且檢查消息中包含的Cookie/Initial Cookie值是否與自身保存的 Cookie值一致,并在一致時根據(jù)現(xiàn)有機制向網(wǎng)絡發(fā)起附著�、鑒權等相應過程,建立與MTC服務器之間的安全連接���;連接建立后�,MTC設備和MTC服務器可以選擇重新協(xié)商新的Cookie ��;具體流程包括如下步驟步驟301�����、MTC設備和MTC服務器共享相同的hitial Cookie����,共享方式可以包括A、MTC設備和MTC服務器預共享���,Initial Cookie分別保存在MTC設備和MTC服務器中�;B����、MTC設備在開戶時從HSS/HLR獲取hitial Cookie, MTC服務器針對MTC設備執(zhí)行觸發(fā)業(yè)務時發(fā)現(xiàn)自身沒有保存該MTC設備的Cookie,則MTC服務器向所述MTC設備所屬的HSS/HLR獲取該MTC設備對應于該MTC服務器的hitial Cookie �;步驟302、MTC 服務器通過觸發(fā)(Trigger)流程,將 Cookie/Initial Cookie 傳遞給MTC設備�����,具體方法參考下面圖4���、圖5及圖6的Cookie傳遞流程�����;
步驟303�����、MTC設備收到尋呼消息中的Cookie后����,判斷收到的Cookie/ InitialCookie值與自身保存的Cookie值是否一致,如果一致�����,則執(zhí)行步驟104 �����;否則,丟棄所述消息����,不進行處理;步驟304���、MTC設備與MTC服務建立安全連接��;步驟305�����、MTC設備和MTC服務器可以更新Cookie���。該步驟為可選。圖4至圖7是本發(fā)明涉及的傳遞Cookie方法流程圖����。其中圖4主要描寫的場景為MTC設備可能存在漫游或者其它原因,MTC服務器與 MTC設備所在的ASME網(wǎng)元沒有直接的接ロ����,MTC服務器通過MTC設備所屬的HSS/HLR將 Cookie傳遞給MTC設備所在的ASME�,ASME最終通過尋呼消息將Cookie傳遞給MTC設備�。 包括如下步驟步驟401、MTC服務器向MTC設備所屬的HSS/HLR發(fā)送觸發(fā)設備請求消息���,消息中 Mw MTC Device ID�、Trigger Indicator 禾ロ Cookie���。其中 Trigger Indicator 禾ロ Cookie 兩者可以合設�;步驟402��、HSS/HLR查詢到MTC設備相應的ASME地址��,向MTC設備所在的ASME轉(zhuǎn)發(fā)收到的觸發(fā)設備請求消息��;步驟403��、ASME通知MTC設備所在的RAN尋呼MTC設備���,向RAN發(fā)送尋呼消息,消息中攜帝 MTC Device ID�、Trigger Indicator、Cookie�。步驟404����、RAN通過廣播信道或者尋呼信道��,向MTC設備所在的區(qū)域周期發(fā)起尋呼��;步驟405��、當MTC設備偵聽到尋呼消息����,MTC設備根據(jù)消息中攜帯的Trigger Indicator獲知該尋呼消息是觸發(fā)消息���,MTC設備比較消息中攜帯的Cookie值是否與自身保存的Cookie值一致�。如果一致���,則執(zhí)行步驟406 ��;否則MTC設備丟棄該消息��,不做處理�;步驟406��、同步驟304,MTC設備與MTC服務建立安全連接�。圖5主要描寫的場景為MTC服務器與MTC設備所在的ASME網(wǎng)元之間有直接的接 ロ,MTC服務器直接向MTC設備所在的ASME傳遞Cookie�,ASME通過尋呼消息將Cookie傳遞給MTC設備。包括如下步驟步驟501����、MTC服務器根據(jù)配置向MTC設備所在的ASME發(fā)送觸發(fā)設備請求消息, YMノ窗�����、中攜知 MTC Device ID�、Trigger Indicator 禾P Cookie。其中 TriggerInaicator 才ロ Cookie兩者可以合設��;步驟502至步驟505��、同步驟403至步驟406��。圖6描述的場景是MTC服務器不具備存儲Cookie能力�����,MTC服務器將與MTC終端共享的Cookie作為用戶數(shù)據(jù)��,并保存到MTC設備所屬的HSS/HLR���。HSS/HLR同時可以將 Cookie更新到MTC設備所在的ASME并保存。當ASME收到MTC服務器的觸發(fā)設備指示請求消息后��,向MTC設備進行尋呼�����,尋呼消息中攜帯之前獲取的所述Cookie�����。具體步驟如下步驟601、MTC設備和MTC服務器更新共享的Cookie���,具體細節(jié)參考步驟505 ;步驟602����、MTC服務器向MTC設備所屬的HSS/HLR發(fā)送更新Cookie請求消息,消息中攜帶MTC Device ID和新的Cookie值�����;步驟603��、HSS/HLR保存新的Cookie值���,該將Cookie值作為用戶數(shù)據(jù)更新到MTC 設備所在的ASME。
需要說明的是����,將Cookie更新到MTC設備所在的ASME這ー步驟為可選;如果不執(zhí)行該步驟��,則步驟60 和步驟604b必須執(zhí)行����。步驟60 �����、后續(xù)MTC服務器需要觸發(fā)MTC設備接入傳遞數(shù)據(jù)吋��,向MTC設備所屬的 HSS/HLR發(fā)送觸發(fā)設備指示請求消息�����,相比步驟401����,消息中不攜帶Cookie值;步驟604b�����、HSS/HLR轉(zhuǎn)發(fā)收到的觸發(fā)設備指示請求消息���,在消息中添加相應的 Cookie 值��;步驟6(Mc����、對應步驟60 和步驟604b��,該步驟由MTC服務器直接向ASME發(fā)送觸發(fā)設備指示請求消息��,如果執(zhí)行該步驟�,則步驟603中的可選步驟必須執(zhí)行��。相比步驟501����, 消息中不攜帶Cookie值��;步驟605�、ASME通知MTC設備所在的RAN尋呼MTC設備�����,向RAN發(fā)送尋呼消息,消息中攜市 MTC Device ID�、Trigger Indicator����、Cookie��。步驟606至步驟608�、同步驟503至步驟505��。圖7是針對組觸發(fā)實施例,MTC服務器可能通過組設備標識(G-Device ID)和組安全數(shù)據(jù)(G-Cookie)對ー組范圍內(nèi)的MTC設備執(zhí)行觸發(fā)流程����,具體流程步驟如下步驟701、MTC服務器根據(jù)配置向特定的ASME發(fā)送觸發(fā)設備指示請求消息��,消息中攜市 G-Device ID�、Trigger Indicator 禾ロ G—Cookie����。其中 Trigger Indicator 禾ロ G—Cookie 兩者可以合設���;步驟702�、ASME通知MTC設備組內(nèi)所有的RAN尋呼組MTC設備���,向RAN發(fā)送尋呼消息,治息中^lW G-Device ID��、Trigger Indicator�、G-Cookie ����;步驟703��、RAN通過廣播信道或者尋呼信道��,向組內(nèi)所有MTC設備周期發(fā)起尋呼;步驟704、當偵聽到該組的組尋呼消息時��,組內(nèi)MTC設備根據(jù)消息中攜帯的 Trigger Indicator獲知該組尋呼消息是觸發(fā)消息��,MTC設備比較消息中攜帯的G-Cookie 值與自身保存的G-Cookie值是否一致��,如果一致,則執(zhí)行步驟705 ���;否則��,MTC設備丟棄所述消息,不做處理����;步驟705、MTC設備與MTC服務建立安全連接��;步驟706���、MTC設備和MTC服務器更新G-Cookie���,該G-Cookie的交換及安全使用現(xiàn)有應用層安全機制進行保護��。圖8和圖9是描述MTC設備和MTC服務器之間Cookie有效期?����;畹牧鞒虉D�。其中���,圖8是由MTC服務器設置定時器對Cookie進行?�;?,當定時器超時時����,MTC 服務器判斷MTC設備當前是在線還是離線,如果在線��,MTC服務器和MTC設備之間直接更新 Cookie ��;如果離線�����,MTC服務器通過觸發(fā)流程,通知MTC設備附著到網(wǎng)絡并建立與MTC服務器的安全連接�,然后更新Cookie。具體流程包括如下步驟步驟801�����、同步驟601 ��;步驟802��、MTC服務器設置Cookie?;疃〞r器Tl,定時器時長可以由運營商或者業(yè)務商根據(jù)策略設置����。每當步驟801被執(zhí)行,Tl定時器將被復位�,重新激活;步驟803a�����、如果Tl超時時MTC設備在線�,則直接更新Cookie���。更新Cookie的流程詳見步驟305;步驟80 �、如果Tl超時時MTC設備離線,則通過觸發(fā)流程通知MTC設備接入網(wǎng)絡����, 具體步驟可以參考圖4至圖6。當MTC服務器與MTC設備之間的安全通道建立完成后����,MTC設備和MTC服務器進行Cookie的更新。圖9是由MTC設備設置定時器對Cookie進行?;睿敹〞r器超時時����,MTC設備如果在線,則直接與服務器更新Cookie ���;如果離線��,MTC設備先附著到網(wǎng)絡并建立與MTC服務器之間的安全連接��,然后更新Cookie�。具體流程包括如下步驟步驟901�、同步驟601 �����;步驟902�����、MTC設備設置Cookie?;疃〞r器Tl���,定時器時長可以由運營商或者業(yè)務商根據(jù)策略設置�����。每當步驟901被執(zhí)行�����,Tl定時器將被復位��,重新激活�����;步驟903���、如果Tl超時時MTC設備在線,則直接與服務器更新Cookie ���;如果離線���, MTC設備先附著到網(wǎng)絡并建立與MTC服務器之間的安全連接,然后更新Cookie�。結(jié)合以上各實施例可知,本發(fā)明實現(xiàn)安全觸發(fā)的操作思路為在MTC設備和MTC服務器共用安全數(shù)據(jù)���;基于涉及MTC服務器側(cè)安全數(shù)據(jù)以及MTC設備側(cè)安全數(shù)據(jù)的觸發(fā)流程��, 判斷安全數(shù)據(jù)的合法性��,并根據(jù)判斷結(jié)果進行相應的后續(xù)通信處理����。為了保證上述操作思路以及各實施例能夠順利實現(xiàn)�����,可以進行如圖10所示的設置���。參見圖10��,圖10為本發(fā)明實施例的實現(xiàn)安全觸發(fā)的系統(tǒng)圖��,該系統(tǒng)包括相連的安全數(shù)據(jù)維護単元�、數(shù)據(jù)合法性決策單元;其中�����,安全數(shù)據(jù)維護単元包括可以相連的安全數(shù)據(jù)存儲単元��、安全數(shù)據(jù)生存単元���。上述単元均可設置于MTC設備中����。當然�����,安全數(shù)據(jù)維護単元可以獨立設置�,只要能夠保證MTC設備與MTC服務器之間共享安全數(shù)據(jù)即可。在實際應用吋�,安全數(shù)據(jù)存儲単元能夠保存MTC設備和MTC服務器之間共享的安全數(shù)據(jù)�,并提供給數(shù)據(jù)合法性決策單元���;安全數(shù)據(jù)生成単元能夠生成安全數(shù)據(jù);數(shù)據(jù)合法性決策單元能夠根據(jù)MTC設備與MTC服務器之間所共享的安全數(shù)據(jù)����,判斷網(wǎng)絡消息的合法性。綜上所述可見�,無論是方法、系統(tǒng)還是裝置��,本發(fā)明實現(xiàn)安全觸發(fā)的技木����,保證MTC 設備能夠判斷觸發(fā)指示是否來自合法網(wǎng)絡,避免MTC設備被攻擊者惡意激活�。以上所述,僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的保護范圍���,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)��。
1權利要求
1.一種實現(xiàn)安全觸發(fā)的方法�����,其特征在于��,該方法包括機器類通訊MTC設備根據(jù)自身與MTC服務器之間所共享的安全數(shù)據(jù)Cookie���,判斷網(wǎng)絡消息的合法性�。
2.根據(jù)權利要求1所述的方法��,其特征在干�,所述安全數(shù)據(jù)為所述MTC設備簽約時,由網(wǎng)絡設置的初始安全數(shù)據(jù)InitialCookie值���;或者���,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中,由所述MTC 設備或者所述MTC設備服務器生成的cookie值。
3 根據(jù)權利要求1所述的方法�����,其特征在干��,所述判斷網(wǎng)絡消息的合法性的方法為 所述MTC設備根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/initialcookie進行比較����,如果相同則認為所述消息合法���;反之���,則為非法。
4.根據(jù)權利要求3所述的方法�,其特征在干,所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息�。
5.根據(jù)權利要求3所述的方法,其特征在干����,所述網(wǎng)絡消息中Cookie/InitialCookie 參數(shù)的傳遞過程包括所述MTC服務器通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的接入安全管理設備ASME,所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備�;或者,所述MTC服務器直接向所述MTC設備所在的ASME傳遞Cookie,所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備��。
6.根據(jù)權利要求1至5任一項所述的方法�����,其特征在干����,所述安全數(shù)據(jù)是針對單個設備的安全數(shù)據(jù),或是針對多個設備的組安全數(shù)據(jù)����。
7.根據(jù)權利要求1至5任一項所述的方法,其特征在干���,所述MTC設備判斷所述網(wǎng)絡消息合法后��,進ー步建立與所述MTC服務器之間的安全連接��,所述MTC設備或者所述MTC服務器更新共享的Cookie值�����。
8.一種實現(xiàn)安全觸發(fā)的系統(tǒng)�,其特征在干,該系統(tǒng)包括安全數(shù)據(jù)維護単元�、數(shù)據(jù)合法性決策單元;其中���,所述安全數(shù)據(jù)維護単元�,用于生成以及保存MTC設備和MTC服務器之間共享的安全數(shù)據(jù)�����,并提供給數(shù)據(jù)合法性決策單元���;所述數(shù)據(jù)合法性決策單元,用于根據(jù)MTC設備與MTC服務器之間所共享的安全數(shù)據(jù)���,判斷網(wǎng)絡消息的合法性���。
9.根據(jù)權利要求8所述的系統(tǒng),其特征在干���,所述安全數(shù)據(jù)為所述MTC設備簽約時�����,由網(wǎng)絡設置的hitial Cookie值��; 或者����,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中,由所述MTC 設備或者所述MTC設備服務器生成的cookie值����。
10.根據(jù)權利要求8所述的系統(tǒng),其特征在干�����,所述數(shù)據(jù)合法性決策單元判斷網(wǎng)絡消息的合法性吋���,用干根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/initial cookie進行比較�,如果相同則認為所述消息合法�����;反之����,則為非法����。
11.根據(jù)權利要求10所述的系統(tǒng)���,其特征在干�����,所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息���。
12.根據(jù)權利要求10所述的系統(tǒng),其特征在干�,傳遞所述網(wǎng)絡消息中Cookie/Initial Cookie參數(shù)時,所述MTC服務器用于通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的ASME�����,觸發(fā)所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備���;或者,直接向所述MTC設備所在的ASME傳遞Cookie�����,觸發(fā)所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備。
13.根據(jù)權利要求8至12任一項所述的系統(tǒng)���,其特征在干�����,所述安全數(shù)據(jù)是針對單個設備的安全數(shù)據(jù)���,或是針對多個設備的組安全數(shù)據(jù)。
14.根據(jù)權利要求8至12任一項所述的系統(tǒng)����,其特征在干,判斷所述網(wǎng)絡消息合法后���, 所述數(shù)據(jù)合法性決策單元進ー步用于建立與所述MTC服務器之間的安全連接���,觸發(fā)所述 MTC設備或者所述MTC服務器更新共享的Cookie值。
15.一種實現(xiàn)安全觸發(fā)的設備���,其特征在于����,該設備為MTC設備,用于根據(jù)自身與MTC服務器之間所共享的安全數(shù)據(jù),判斷網(wǎng)絡消息的合法性。
16.根據(jù)權利要求15所述的設備�����,其特征在干�����,該設備與安全數(shù)據(jù)維護単元相連���,所述安全數(shù)據(jù)維護単元用于生成以及保存MTC設備和MTC服務器之間共享的安全數(shù)據(jù),并提供給MTC設備���。
17.根據(jù)權利要求15所述的設備���,其特征在干,所述安全數(shù)據(jù)為所述MTC設備簽約時����,由網(wǎng)絡設置的hitial Cookie值�����;或者,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中�,由所述MTC 設備或者所述MTC設備服務器生成的cookie值。
18.根據(jù)權利要求15至17任一項所述的設備���,其特征在干��,該設備判斷網(wǎng)絡消息的合法性吋����,用干根據(jù)所述網(wǎng)絡消息中的安全數(shù)據(jù)參數(shù)和本身保存的cookie/initial cookie進行比較����,如果相同則認為所述消息合法;反之��,則為非法���。
19.根據(jù)權利要求18所述的設備��,其特征在干��,所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息�。
20.根據(jù)權利要求15至17任一項所述的設備�����,其特征在干,判斷所述網(wǎng)絡消息合法后��, 所述設備進ー步用于建立與所述MTC服務器之間的安全連接���,自身執(zhí)行或者觸發(fā)所述MTC 服務器更新共享的Cookie值��。
21.一種實現(xiàn)安全觸發(fā)的設備��,其特征在于�,該設備為MTC服務器����,用于根據(jù)MTC設備與自身之間所共享的安全數(shù)據(jù),判斷網(wǎng)絡消息的合法性���。
22.根據(jù)權利要求21所述的設備�,其特征在干���,所述安全數(shù)據(jù)為所述MTC設備簽約時,由網(wǎng)絡設置的hitial Cookie值�;或者����,所述安全數(shù)據(jù)為所述MTC設備和所述MTC服務器在業(yè)務交互過程中��,由所述MTC 設備或者所述MTC設備服務器生成的cookie值���。
23.根據(jù)權利要求21所述的設備�����,其特征在干���,所述網(wǎng)絡消息為網(wǎng)絡廣播消息或者網(wǎng)絡尋呼消息。
24.根據(jù)權利要求22所述的設備��,其特征在干�����,所述網(wǎng)絡消息中Cookie/Initial Cookie參數(shù)被傳遞吋�����,所述設備用于通過所述MTC設備所屬的用戶簽約數(shù)據(jù)庫將所述Cookie/Initial Cookie傳遞給所述MTC設備所在的ASME,觸發(fā)所述ASME最終通過所述網(wǎng)絡消息將所述Cookie/Initial Cookie傳遞給所述MTC設備���;或者�,直接向所述MTC設備所在的ASME傳遞Cookie����,觸發(fā)所述ASME通過所述網(wǎng)絡消息將Cookie傳遞給所述MTC設備。
25.根據(jù)權利要求21至M任一項所述的設備��,其特征在干�,判斷所述網(wǎng)絡消息合法后, 所述設備進ー步用于建立與所述MTC設備之間的安全連接���,更新共享的Cookie值��。
全文摘要
本發(fā)明公開了一種實現(xiàn)安全觸發(fā)的方法�、系統(tǒng)和裝置��,均可由MTC設備根據(jù)自身與MTC服務器之間所共享的安全數(shù)據(jù)�����,判斷網(wǎng)絡消息的合法性���。本發(fā)明實現(xiàn)安全觸發(fā)的方法�、系統(tǒng)和裝置,保證MTC設備能夠判斷觸發(fā)指示是否來自合法網(wǎng)絡�����,避免MTC設備被攻擊者惡意激活�。
文檔編號H04W24/04GK102595391SQ20111002052
公開日2012年7月18日 申請日期2011年1月18日 優(yōu)先權日2011年1月18日
發(fā)明者夏正雪, 田甜, 韋銀星 申請人:中興通訊股份有限公司