CN110073681B - 用于物联网设备的方法、装置和计算机可读介质 - Google Patents
用于物联网设备的方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN110073681B CN110073681B CN201680091465.XA CN201680091465A CN110073681B CN 110073681 B CN110073681 B CN 110073681B CN 201680091465 A CN201680091465 A CN 201680091465A CN 110073681 B CN110073681 B CN 110073681B
- Authority
- CN
- China
- Prior art keywords
- network
- internet
- provisioning
- things
- application operator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 56
- 238000004891 communication Methods 0.000 claims description 40
- 238000010295 mobile communication Methods 0.000 claims description 35
- 238000004590 computer program Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 101000741965 Homo sapiens Inactive tyrosine-protein kinase PRAG1 Proteins 0.000 description 1
- 102100038659 Inactive tyrosine-protein kinase PRAG1 Human genes 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
通过利用通过之前已通知IoT设备标识的移动网络进行的临时连接来安排与IoT应用服务器IoTAS的安全的端对端连接,物联网设备被提供有可编程订阅方单元。通过安全的端对端连接,IoTAS向IoT设备提供供应信息,供应信息使能移动网络和IoT设备之间的相互认证,以便IoT设备可以被配备可编程订阅,该可编程订阅使得IoT设备能够正常附接到移动网络。
Description
技术领域
本申请总体上涉及为物联网设备提供连接。
背景技术
本部分说明了有用的背景信息,而不承认本文所述的任何技术代表目前现有技术。
物联网(IoT)应当从根本上增加具有互联网连接的设备的数目。为了使IoT设备能够通信,例如,与IoT应用服务器,每个设备必须以某种方式提供连接。例如,这些设备不仅需要用于无线通信的合适的硬件,而且它们还需要一些认证信息来得到对网络的访问。值得注意的是,无线网络无法简单地通过它们对给定连接器的访问来验证授权,但是与有线电话线路不同,通常需要一些信令来进行授权。
在无线局域网的情况中,通常通过使用一些静态秘密信息(诸如接入点标识符和接入码的组合)来提供授权。在移动网络或蜂窝网络的情况下,授权过程通常更加健壮并且采用了某些种类的挑战响应机制,即非静态秘密信息。
IoT设备可以利用它们可用的任何互联网访问,但最容易访问无线网络。在蜂窝网络的情况下,IoT设备需要被提供有订阅模块(诸如SIM或USIM)。这种授权可以实现为基于智能卡芯片的应用,但也可以备选地在一些安全平台上以编程方式实现。利用以编程方式实现的订阅模块,订阅方设备可以被编码为可与给定的移动网络运营方一起操作。与硬连线订阅模块一样,运营方需要将每个订阅与收款人相关联,即从中订阅的使用被收费的账户。由于IoT设备预计将大量部署,因此似乎需要大量工作来向每个IoT设备提供硬连线订阅模块或编程订阅模块。
发明内容
在权利要求中阐述了本发明的示例的各个方面。
根据本发明的第一示例方面,提供了一种在物联网应用运营方的装置中的方法,包括:从第一设备接收初始附接过程请求,第一设备是被提供有设备标识符的物联网设备;从请求中获得设备标识符;检查设备标识符是否被指派给网络,并且在没有指派的情况下向第一设备发出否定消息,否则:确定与第一设备相关联的物联网应用运营方;在第一设备和与第一设备相关联的物联网应用运营方的装置之间建立通信信道;以及通过通信信道,将与第一设备相关联的供应信息从物联网应用运营方的装置传输给所述第一设备,供应信息使得能够为第一设备配备移动通信网络的编程订阅模块,使得第一设备能够随后使用移动通信网络的编程订阅模块来使用第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
根据本发明的第二示例方面,提供了一种第一移动通信网络的第一网络运营方的装置,包括:无线电接口输入,被配置为从第一设备接收初始附接过程请求,第一设备是被提供有设备标识符的物联网设备;至少一个处理器;以及至少一个存储器,包括计算机程序代码;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得装置至少执行:从请求获得设备标识符;检查设备标识符是否被指派给网络,并且在在没有指派的情况下向第一设备发出否定消息,否则:确定与第一设备相关联的物联网应用运营方;在第一设备和与第一设备相关联的物联网应用运营方的装置之间建立通信信道;以及通过通信信道将与第一设备相关联的供应信息从物联网应用运营方的装置传输给第一设备,供应信息使得能够为第一设备配备移动通信网络的编程订阅模块,使得第一设备能够随后使用移动通信网络的编程订阅模块来使用第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
根据本发明的第三示例方面,提供了一种在第一设备中的方法,该第一装置为网联网设备,方法包括:重复地:标识可用的移动通信网络,可用的移动通信网络被称为第一网络,并且由第一网络运营方操作;形成初始附接过程请求,初始附接过程请求包括设备标识符;向第一网络发送初始附接过程请求;以及检查第一网络是否在预定持续时间内、在第一设备和与第一设备相关联的物联网应用运营方的装置之间建立通信信道,直到通信信道被建立为止,并且对于后续操作:通过第一网络,和与第一设备相关联的物联网应用运营方的装置建立密码保护的端对端通信连接;通过密码保护的端对端通信连接,从与第一设备相关联的物联网应用运营方的装置接收供应信息;以及使用供应信息来获得移动通信网络的编程订阅模块。
根据本发明的第四示例方面,提供了一种物联网设备,物联网设备被称为第一设备,包括:至少一个处理器;以及至少一个存储器,包括计算机程序代码;至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得第一设备至少执行过程包括:重复地:标识可用的移动通信网络,可用的移动通信网络被称为第一网络,并且由第一网络运营方操作;形成初始附接过程请求,初始附接过程请求包括设备标识符;向第一网络发送所述初始附接过程请求;检查第一网络是否在预定持续时间内、在第一设备和与第一设备相关联的物联网应用运营方的装置之间建立通信信道,直到通信信道被建立为止,并且对于后续操作:通过第一网络,和与第一设备相关联的物联网应用运营方的装置建立密码保护的端对端通信连接;通过密码保护的端对端通信连接,从与第一设备相关联的物联网应用运营方的装置接收供应信息;以及使用供应信息来获得移动通信网络的编程订阅模块。。
根据本发明的第五示例方面,提供一种计算机可读介质,包括程序指令,程序指令用于使得第一移动通信网络的第一网络运营方的装置中至少执行以下:从第一设备接收初始附接过程请求,第一设备是被提供有设备标识符的物联网设备;从请求获得设备标识符;检查设备标识符是否被指派给网络,并且在没有指派的情况下向第一设备发出否定消息,否则:确定与第一设备相关联的物联网应用运营方;在第一设备和与第一设备相关联的物联网应用运营方的装置之间建立通信信道;以及通过通信信道,将与第一设备相关联的供应信息从物联网应用运营方的装置向第一设备传输,供应信息使得能够为第一设备配备移动通信网络的编程订阅模块,使得第一设备能够随后使用移动通信网络的编程订阅模块来使用第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
根据本发明的第六示例方面,提供了一种计算机可读介质,包括程序指令,所述程序指令用于使得作为物联网设备的第一设备至少执行第三示例方面的方法。
附图说明
为了更完整地理解本发明的示例实施例,现在参考以下结合附图的描述,附图中:
图1示出了示例实施例的***的架构图;
图2示出了示例实施例的机器类型设备的框图;
图3示出了示例实施例的物联网应用服务器的框图;
图4示出了示例实施例的事件图;以及
图5示出了示例实施例的事件图。
具体实施方式
通过参考图1至图5,可以理解本发明的示例实施例及其潜在优点。在该文献中,相同的附图标记表示相同的部分或步骤。
图1示出了示例实施例的***的架构图。图1描绘了多个机器类型设备,MTD或物联网设备110(诸如车、自动售货机、传感器、冰箱、自行车、咖啡机、标签等)。图1仅示出了少数这样的设备,而实际上在一个或两个移动通信网络120的范围内可以有数千甚至数百万个这样的设备。图1还示出了因特网、公共陆地移动网络120或移动通信网络和物联网应用服务器,物联网应用运营方的IoTAS 140、IoTAO(未示出)。严格地说,IoTAO可以是一个组织,但是IoTAO也可以用作参考IoTAO的装置的捷径。
在这种上下文中,移动通信网络或简称网络是指运营方的整个网络,可能超过一个国家和/或大陆。设备或MTD 110可以在网络PLMN 1和PLMN 2中的任一个、两者的覆盖范围内,或者都不在网络PLMN 1和PLMN 2的覆盖范围内。为了演示,MTD 110中的一个通过指示通过网络PLMN 1形成的连接的PLMN 1利用双线连接到IoTAS。在首先简要描述体系结构的示例以及MTD和IoTAS的可能结构的示例之后,将更详细地描述该连接和各种部分的操作。
图2示出了示例实施例的机器类型设备110的框图。该框图被简化以示出一些对于理解MTD 110的连接有用的主要部分。与其实际功能相关的MTD 110的部分,无论是传感器、致动器还是一些其它设备(诸如车或咖啡机),可以以任何已知方式来实现。
MTD 110包括输入/输出电路210,输入/输出电路210被配置为与数据网络(诸如网络120)通信。正因如此,图2的输入/输出电路包括,例如,与3G、4G或(未来)5G标准(诸如W-CDMA或CDMA-2000)兼容的用户设备。另外,图2的MTD 110包括处理器220,被配置为在MTD110需要人机接口的情况下控制MTD 110和可选的用户接口230的操作。MTD 110还包括存储器240,存储器240包括计算机软件242,诸如一个或多个程序或通常计算机可执行程序代码,其被配置为使得处理器220根据需要控制MTD 110。MTD 110还包括可编程订阅方模块PSM 252,其在此由安全模块250储存。安全模块250是安全的执行环境,由软件和/或硬件攻击对其的访问被阻碍。例如,安全模块250可以包括专用处理器、专用存储器和专用数据总线中的任何一个,被配置为允许安全模块250在被隔离的沙坑中操作。在一些其它实施例中,可编程订阅方模块252与计算机软件和/或一些其它数据一起被存储在公共存储器中。可编程订阅方模块252可以是例如通用订阅方标识模块(适用于3G或4G网络)或适用于全球***移动通信***GSM的订阅方标识模块。由于可编程性,MTD 110可以适于订阅MTD 110与其具有硬件兼容性的任何网络。可编程订阅方模块252可以通过空中提供,从而可以在采用后为MTD 110提供连接。
处理器220包括,例如以下中的任何一个或多个:主控制单元(MCU);微处理器;数字信号处理器(DSP);专用集成电路(ASIC);现场可编程门阵列;和微控制器。
图3示出了图1的物联网应用服务器IoTAS 140的框图。与MTD 110类似,IoTAS 140包括输入/输出电路310、处理器320、用户接口330、存储器340、软件342和数据库350。与MTD110相比,IoTAS更强大,以便能能够执行多个同时的服务器操作。
在此阶段值得注意的是,除非另有说明,否则本文中公开的每个元件或步骤可以在一个或多个部分中实现,即使用分配、复制或并行处理。同样,根据实现,也可以将多个元件或步骤组合成一个元件或步骤。
数据库350包括,例如由IoTAO操作的所有MTD的列表以及在MTD被设计为操作的网络中的所分配的网络运营方的标识。
IoTAS 140和网络120被配置为能够建立安全通信信道来控制IoTAS 140的MTD的供应。
图4示出了示例实施例的事件图。图4呈现了可能发生的一些重大事件和信号。
假设制造了一批100000个MTD 110,并且特定的IoT应用运营方IoTAO被分配(在某个阶段,例如在进口到给定国家时)作为其运营方。这些MTD 110的标识被传送405到所讨论的IoTAO的IoTAS。请注意,我们现在考虑一个给定IoTAO的部分。可能存在具有其自己的IoTAO的其他IoTAS,或甚至在一些情况下多于一个IoTAO可以使用相同的IoTAS,但是在步骤405之后,IoTAS 150具有该批的MTD标识,现在假设为100000个MTD。IoTAS可以方便地将这些MTD ID存储在其数据库350中,例如使得它们在随后阶段可以容易地搜索。
在一个示例实施例中,MTD ID是国际移动设备标识,即IMEI码或IMEI-SV(软件版本)码。
IoTAS接下来为每个MTD选择410一个或多个网络。在示例实施例中,IoTAS尝试为每个MTD网络选择MTD应该可用的整个地理区域。例如,MTD可以用于全球市场营销,在这种情况下,应该适当地选择网络用于全球覆盖。在另一示例中,MTD仅用于区域或国家用途,因此足以选择一个或几个网络来覆盖所需区域。
然后,IoTAS将所选择的MTD标识(MTD ID)传送415到所选择的网络。为此,IoTAS采用与这些网络的安全连接。在示例实施例中使用专用物理信道形成这些安全连接,未授权方无法访问该专用物理信道。备选地或另外地,加密措施可以用于保护IoTAS和网络之间的通信,诸如公钥加密,其也可以方便地提供通信的真实性、完整性机密性的验证。
网络120接收由IoTAS发送给它的多个MTD ID,并且存储420与IoTAS 150相关联的接收到的MTD ID。如果网络120仅与一个IoTAS 150协作,则该关联是固有的,否则网络120可以被安排来存储所讨论的IoTAS的标识符。
这些步骤405至420准备网络120。在某个阶段,MTD中的一个,简言之,第一设备或MTD 110被某人在某地使用。MTD 110启动425并开始搜索网络。例如,MTD 110可以开始侦听移动网络的基站使用的公共导频信道,以便找出哪些网络可以向MTD 110提供服务。在这个阶段,MTD还没有被配置有订阅方模块,因此除了紧急呼叫之外,它无法在移动电话可以拨打电话之前执行他们所执行的正常的网络注册。
MTD检测一个或多个可用的网络,并且然后开始初始附接过程IAP,以通过向网络发送包含MTD ID的IAP请求来尝试通过检测到的网络获得连接。可以自由选择不同网络被选择用于尝试的顺序,但是在示例实施例中,具有最强信号水平的网络被优先化以减少通信错误风险。
网络120例如通过从其数据库中搜索MTD ID来检查435 MTD ID是否被分配给该网络。如果否,则网络120将在步骤450通过NACK消息进行响应,否则网络120接下来将帮助MTD110与IoTAS 150建立初始连接。为此,网络120可以构建到IoTAS 150的临时信道,或者简单地确定440 IoTAS 150的网络地址,并且在步骤450中将该地址连同ACK消息一起提供给MTD110,并且仅将MTD 110的初始访问提供给该地址。然后,MTD 110可以使用其地址从IoTAS150请求455安全的端到端连接,并且随后由IoTAS 150建立460。这种安全的端对端连接可以仅在完成IAP过程所需的持续时间内临时建立。在此期间,MTD 110可能缺少通过网络120的所有其它连接。
使用例如应用层安全(例如,共享秘密、公钥加密、用于eNB注册的过程(例如,3GPPTS33.310,条款9)),在IoTAS 150和MTD 110之间建立安全的端对端连接,并且供应密钥Pk从IoTAS 150提供给MTD 110。IoTAS 150获得供应密钥Pk,例如,通过使用随机数生成器或者通过选择先前生成的供应密钥,或者在示例实施例中,IoTAS 150从网络120接收455Pk。例如,网络120可以被配置为针对从IoTAS接收的每个MTD ID生成供应密钥Pk,并且响应性地发回所生成的供应密钥Pk。在这种情况下,IoTAS将不需要随后在步骤465中向网络通知该供应密钥Pk。
提供连接并不意味着支持在MTD 110和IoTAS 150之间运行的特定协议。在网络120和IoTAS 150之间,可以使用任何合适的传输协议,例如通用路由封装(GRE)。在MTD 110和IoTAS 150之间所使用的协议的协议数据单元可以通过无线电接口使用网络特定协议(例如,LTE中的PDCP)来传输,并且然后使用例如GRE隧道传输到IoTAS 150。
在MTD 110和IoTAS 150之间建立安全的端对端连接之后,IoTAS通过其与网络120、465的安全连接将供应密钥Pk传递到网络(除非网络120已经知道供应密钥Pk)。然后,网络120和MTD 110都拥有供应密钥Pk,并且网络120可以向MTD 110发送利用供应密钥Pk保护的可编程订阅方模块数据470。例如,可编程订阅方模块或其一些(机密部分)可以使用供应密钥Pk作为加密密钥加密,作为加密密钥的一部分(例如,MTD ID,或者由MTD 110初始设置的一些重放攻击保护代码,可以用于形成加密密钥的某个部分)。当供应密钥Pk通过相应的安全连接从IoTAS 150发送到MTD 110和网络110时,第三方不应该能够从这些通信(460,465)中的任何一个捕获该密钥。因此,MTD 110可以通过使用如下的事实来确保网络被IoTAS 150所信任:网络120在IAP请求被发送之后知道Pk作为网络120被IoTAS 150所信任的证据,假设供应密钥Pk不是静态的而是变化的,例如通过随机化每个IAP。此外,网络120可以使用如下的事实作为与IoTAS相关联的有效MTD:MTD知道Pk作为被IoTAS所信任的MTD110的证据。如果MTD 110和网络120都拥有供应密钥,则MTD 110通过存储接收到的可编程订阅方模块470来更新其安全模块来完成订阅方模块的提供。然后,MTD 110可以使用更新后的订阅方模块使用网络120的正常网络附接过程附接480到网络120,从而使用正常的安全特征(诸如网络连接的加密)。
在成功注册到网络120之后,只要网络继续服务MTD 110,MTD就通过该网络120具有其连接。然而,网络120可能由于各种原因而停止服务MTD 110,诸如IoTAO将选择切换用于MTD 110的网络120。这种网络切换可能由于各种原因而有用,诸如连接或定价相关的原因。为了保持对MTD 110的控制,MTD 110在实施例中被配置为重复(例如,周期性地和/或响应于某些事件(诸如未从其它方接收预期的响应))检查其与IoTAS的连接485。例如,MTD110可以被配置为经由安全的端对端连接发送消息,并且验证它接收到预期的响应。在没有连接到IoTAS的预定时间之后,MTD 110执行网络切换490。在示例实施例中,MTD 110然后在一个实施例中重新执行IAP,即过程可以恢复到步骤425。此次,MTD 110可以优选除了它先前使用的网络之外的其它网络。
在示例实施例中,IoTAS 150请求MTD 110执行网络间切换。响应于MTD 110的重复连接检查,可以接收这样的请求。在这种情况下,IoTAS 150不需要获取和保持由IoTAO操作的所有MTD的网络地址(或已获取网络连接的那些MTD)。备选地,IoTAS可以被配置为利用网络连接获取和保持MTD的网络地址。响应于网络间切换请求,MTD 110可以记录它不应再使用网络120,并且可以通过恢复到步骤425来重启IAP过程,这次故意避开网络120。在示例实施例中,网络间切换请求指定要使用的新网络或将一个或多个不使用的网络列入黑名单。
在示例实施例中,通过在网络间切换促进信息中包含来加速网络间切换。促进信息可以包括以下中的任何一项:期望的新网络标识;IoTAS150随时向新网络通知的供应密钥;或者在IoTAS已经容易从新网络获取这些数据的情况下,新订阅方模块数据,在这种情况下,MTD 110可以更新其订阅方模块,并且然后注册到该网络而无需重复IAP。在示例实施例中,通过由不同的合作移动网络运营方保持包含MTD ID以及其归属网络的指示的MTD ID的联合数据库来促进MID 110的漫游。在此上下文中,漫游可以指在不是预期的归属网络的访问网络中执行IAP。
在这种情况下,可以检测出现在IAP请求中的MTD ID属于漫游伙伴,并且可以继续该过程,使得网络120可以获得订阅方模块并且代表分配给MTD 110的归属网络执行供应。备选地,网络120可以被配置为使得在MTD 110被分配给漫游伙伴网络的情况下,网络120将使能与该网络的连接并且指示MTD 110从归属网络请求和接收供应470。然后,与IoTAS 455的安全的端对端连接可以经由归属网络被路由,或者直接在MTD 110和IoTAS 455之间形成。
图5示出了示例实施例的事件图。图5对应于图4,除了在图5中,网络12向IoTAS150提供510 PSM,并且在安全连接(MTD网络、网络-IoTAS)之间根本不交换供应密钥。IoTAS150通过安全的端对端连接提供PSM向MTD指示IoTAS 150信任充当安全的端对端连接的载体的网络。在步骤475'中,从IoTAS 150接收的PSM被MTD 110使用。
在示例实施例中,通过利用通过之前已通知IoT设备标识的移动网络进行的临时连接来安排与IoT应用服务器IoTAS的安全的端对端连接,物联网设备被提供有可编程订阅方单元。通过安全的端对端连接,IoTAS向IoT设备提供供应信息,供应信息使能移动网络和IoT设备之间的相互认证,以便IoT设备可以被配备可编程订阅,该可编程订阅使得IoT设备能够正常附接到移动网络。
在不以任何方式限制以下所出现的权利要求的范围、解释或应用的情况下,本文公开的一个或多个示例实施例的技术效果是可以制造和部署IoT设备,而无需物理访问订阅模块***或调整。本文公开的一个或多个示例实施例的另一技术效果是所传送的IoT设备可以从一个网络集中地转移到另一个网络。本文公开的一个或多个示例实施例的又一技术效果是,在网络故障的情况下,所传送的IoT设备可以自动从一个网络转移到另一个网络。
本发明的实施例可以用软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合来实现。
如果需要,本文所讨论的不同功能可以以不同的顺序来执行和/或彼此同时执行。此外,如果需要,前述功能中的一个或多个可以是可选的或者可以组合。
尽管在独立权利要求中阐述了本发明的各个方面,但是本发明的其它方面包括来自所描述的实施例和/或具有独立权利要求的特征的从属权利要求的特征的其它组合,并不仅仅是权利要求中明确阐述的组合。
本文还应注意,虽然前面描述了本发明的示例实施例,但是这些描述不应被视为具有限制意义。而是,在不脱离所附权利要求限定的本发明的范围的情况下,可以进行若干变化和修改。
Claims (27)
1.一种在第一移动通信网络的第一网络运营方的装置中的方法,包括:
从第一设备接收初始附接过程请求,所述第一设备是被提供有设备标识符的物联网设备;
从所述请求中获得所述设备标识符;
检查所述设备标识符是否被指派给所述网络,并且在没有指派的情况下向所述第一设备发出否定消息,否则:
确定与所述第一设备相关联的物联网应用运营方;
在所述第一设备和与所述第一设备相关联的所述物联网应用运营方的装置之间建立通信信道;以及
通过所述通信信道,将与所述第一设备相关联的供应信息从所述物联网应用运营方的所述装置传输给所述第一设备,所述供应信息使得能够为所述第一设备配备所述移动通信网络的编程订阅模块,使得所述第一设备能够随后使用所述移动通信网络的所述编程订阅模块来使用所述第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
2.根据权利要求1所述的方法,其中:
所述供应信息包括供应密钥。
3.根据权利要求2所述的方法,还包括:
从与所述第一设备相关联的所述物联网应用运营方的所述装置接收所述供应密钥;以及
使用所述供应密钥作为供应认证符来向所述第一设备提供编程订阅模块,所述供应认证符被配置为显示所述第一网络运营方和与所述第一设备相关联的所述物联网应用运营方之间的信任关系,并且被配置为确保所述物联网应用运营方负责所述第一设备。
4.根据权利要求3所述的方法,其中所述确保包括使用所述供应密钥来解密所述编程订阅模块。
5.根据权利要求1所述的方法,其中所述供应信息包括所述编程订阅模块。
6.根据权利要求2、3或5所述的方法,还包括:在所述第一设备和与所述第一设备相关联的所述物联网应用运营方的装置之间的所述通信信道的所述建立之前,向与所述第一设备相关联的所述物联网应用运营方的所述装置提供所述供应信息。
7.根据权利要求1至4中任一项所述的方法,还包括:
起因于所述初始附接过程请求,将所述第一设备和所述物联网应用运营方的所述装置之间的通信限制到相互认证和发射所述供应信息所需的程度。
8.根据权利要求7所述的方法,包括:
限制所述通信被配置为允许传输预定时间间隔的数据或预定数据量的数据。
9.根据权利要求1所述的方法,其中所述正常安全性特征包括对网络连接的加密。
10.一种第一移动通信网络的第一网络运营方的装置,包括:
无线电接口输入,被配置为从第一设备接收初始附接过程请求,所述第一设备是被提供有设备标识符的物联网设备;
至少一个处理器;以及
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少执行:
从所述请求获得所述设备标识符;
检查所述设备标识符是否被指派给所述网络,并且在在没有指派的情况下向所述第一设备发出否定消息,否则:
确定与所述第一设备相关联的物联网应用运营方;
在所述第一设备和与所述第一设备相关联的所述物联网应用运营方的装置之间建立通信信道;以及
通过所述通信信道将与所述第一设备相关联的供应信息从所述物联网应用运营方的所述装置传输给所述第一设备,所述供应信息使得能够为所述第一设备配备所述移动通信网络的编程订阅模块,使得所述第一设备能够随后使用所述移动通信网络的所述编程订阅模块来使用所述第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
11.根据权利要求10所述的装置,其中:
所述供应信息包括供应密钥。
12.根据权利要求11所述的装置,所述至少一个存储器和所述计算机程序代码还被配置为使得所述装置至少执行:
从与所述第一设备相关联的所述物联网应用运营方的所述装置接收所述供应密钥;以及
使用所述供应密钥作为供应认证符来向所述第一设备提供编程订阅模块,所述供应认证符被配置为显示所述网络运营方和与所述第一设备相关联的所述物联网应用运营方之间的信任关系,并且被配置为确保所述物联网应用运营方负责所述第一设备。
13.根据权利要求12所述的装置,其中所述确保包括使用所述供应密钥来解密所述编程订阅模块。
14.根据权利要求10所述的装置,其中所述供应信息包括所述程序订阅模块。
15.根据权利要求11、12或14所述的装置,所述至少一个存储器和所述计算机程序代码还被配置为使得所述装置至少在所述第一设备和与所述第一设备相关联的所述物联网应用运营方的装置之间建立所述通信信道之前,向与所述第一设备相关联的所述物联网应用运营方的所述装置提供所述供应信息。
16.根据权利要求10至14中任一项所述的装置,所述至少一个存储器和所述计算机程序代码还被配置为使得所述装置至少起因于所述初始附接过程请求,将所述第一设备和所述物联网应用运营方的所述装置之间的通信限制到相互认证和发射所述供应信息所需的程度。
17.根据权利要求16所述的装置,所述至少一个存储器和所述计算机程序代码还被配置为,限制所述通信被配置为允许传输预定事件间隔的数据或预定数据量的数据。
18.根据权利要求10所述的装置,其中所述正常安全性特征包括对网络连接的加密。
19.一种第一设备中的方法,所述第一设备是物联网设备,所述方法包括:
重复地:
标识可用的移动通信网络,所述可用的移动通信网络被称为第一网络,并且由第一网络运营方操作;
形成初始附接过程请求,所述初始附接过程请求包括所述设备标识符;
向所述第一网络发送所述初始附接过程请求;以及
检查所述第一网络是否在预定持续时间内、在所述第一设备和与所述第一设备相关联的物联网应用运营方的装置之间建立通信信道,
直到所述通信信道被建立为止,并且对于后续操作:
通过所述第一网络,和与所述第一设备相关联的所述物联网应用运营方的装置建立密码保护的端对端通信连接;
通过所述密码保护的端对端通信连接,从与所述第一设备相关联的所述物联网应用运营方的所述装置接收供应信息;以及
使用所述供应信息来获得所述移动通信网络的编程订阅模块。
20.一种物联网设备,所述物联网设备被称为第一设备,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述第一设备至少执行过程包括:
重复地:
标识可用的移动通信网络,所述可用的移动通信网络被称为第一网络,并且由第一网络运营方操作;
形成初始附接过程请求,所述初始附接过程请求包括所述设备标识符;
向所述第一网络发送所述初始附接过程请求;
检查所述第一网络是否在预定持续时间内、在所述第一设备和与所述第一设备相关联的物联网应用运营方的装置之间建立通信信道,
直到所述通信信道被建立为止,并且对于后续操作:
通过所述第一网络,和与所述第一设备相关联的所述物联网应用运营方的装置建立密码保护的端对端通信连接;
通过所述密码保护的端对端通信连接,从与所述第一设备相关联的所述物联网应用运营方的所述装置接收供应信息;以及
使用所述供应信息来获得所述移动通信网络的编程订阅模块。
21.根据权利要求20所述的物联网设备,其中所述供应信息包括所述编程订阅模块。
22.根据权利要求21所述的物联网设备,其中所述编程订阅模块的所述获得包括:
从所述供应信息获得供应密钥;
从所述第一网络接收所述编程订阅模块;以及
利用所述供应密钥确保所述第一网络运营方和所述第一设备均被所述物联网应用运营方所信任,并且响应于所述确保的肯定结果,配置所述第一设备以采用所述编程订阅模块。
23.根据权利要求22所述的物联网设备,其中所述确保包括:使用所述供应密钥来解密所述编程订阅模块。
24.根据权利要求21至23中任一项所述的物联网设备,所述至少一个存储器和所述计算机程序代码还被配置为使得所述第一设备执行:
利用所述编程订阅模块附接到所述第一网络,并且然后通过所述第一网络进行通信;以及
检测无法通过所述第一网络进行通信,并且响应性地重复执行根据权利要求19所述的方法,直到更新所述第一设备的安全性模块,以便变得能够与所述第一网络进行正常的网络附接过程。
25.一种计算机可读介质,包括程序指令,所述程序指令用于使得第一移动通信网络的第一网络运营方的装置中至少执行以下:
从第一设备接收初始附接过程请求,所述第一设备是被提供有设备标识符的物联网设备;
从所述请求获得所述设备标识符;
检查所述设备标识符是否被指派给所述网络,并且在没有指派的情况下向所述第一设备发出否定消息,否则:
确定与所述第一设备相关联的物联网应用运营方;
在所述第一设备和与所述第一设备相关联的所述物联网应用运营方的装置之间建立通信信道;以及
通过所述通信信道,将与所述第一设备相关联的供应信息从所述物联网应用运营方的所述装置向所述第一设备传输,所述供应信息使得能够为所述第一设备配备所述移动通信网络的编程订阅模块,使得所述第一设备能够随后使用所述移动通信网络的所述编程订阅模块来使用所述第一移动通信网络的正常的网络附接过程,并随后使用正常安全性特征。
26.根据权利要求25所述的计算机可读介质,其中所述正常安全性特征包括对网络连接的加密。
27.一种计算机可读介质,包括程序指令,所述程序指令用于使得作为物联网设备的第一设备至少执行根据权利要求19所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2016/050697 WO2018065660A1 (en) | 2016-10-07 | 2016-10-07 | Iot device connectivity provisioning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110073681A CN110073681A (zh) | 2019-07-30 |
| CN110073681B true CN110073681B (zh) | 2021-12-03 |
Family
ID=61830809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680091465.XA Active CN110073681B (zh) | 2016-10-07 | 2016-10-07 | 用于物联网设备的方法、装置和计算机可读介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10820265B2 (zh) |
| EP (1) | EP3523989B1 (zh) |
| CN (1) | CN110073681B (zh) |
| WO (1) | WO2018065660A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112313920B (zh) * | 2018-07-03 | 2023-09-08 | 亚萨合莱有限公司 | 为多个iot设备提供连接性 |
| US11631295B2 (en) | 2020-08-11 | 2023-04-18 | ScooterBug, Inc. | Wireless network, mobile systems and methods for controlling access to lockers, strollers, wheel chairs and electronic convenience vehicles provided with machine-readable codes scanned by mobile phones and computing devices |
| US11790722B2 (en) | 2020-08-11 | 2023-10-17 | Best Lockers, Llc | Single-sided storage locker systems accessed and controlled using machine-readable codes scanned by mobile phones and computing devices |
| US11995943B2 (en) | 2020-08-11 | 2024-05-28 | ScooterBug, Inc. | Methods of and systems for controlling access to networked devices provided with machine-readable codes scanned by mobile phones and computing devices |
| US11347579B1 (en) * | 2021-04-29 | 2022-05-31 | Bank Of America Corporation | Instinctive slither application assessment engine |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102047705A (zh) * | 2008-05-23 | 2011-05-04 | 德国电信股份公司 | 电信中芯片卡的空中下载技术的个性化方法 |
| CN102572805A (zh) * | 2010-10-28 | 2012-07-11 | 苹果公司 | 通过无线网络传输电子标识组件的方法和装置 |
| CN103415017A (zh) * | 2013-08-23 | 2013-11-27 | 深圳市中兴物联科技有限公司 | 虚拟sim卡的方法、装置及移动终端 |
| CN103596123A (zh) * | 2008-01-18 | 2014-02-19 | 交互数字专利控股公司 | 一种由m2me执行的方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578153B2 (en) | 2008-10-28 | 2013-11-05 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for provisioning and managing a device |
| EP3065432B1 (en) * | 2010-07-21 | 2019-11-13 | Apple Inc. | Virtual access module distribution apparatus and methods |
| KR101954450B1 (ko) * | 2011-09-05 | 2019-05-31 | 주식회사 케이티 | 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체 |
| US10075841B2 (en) * | 2014-09-17 | 2018-09-11 | Simless, Inc. | Apparatuses, methods and systems for implementing a trusted subscription management platform |
-
2016
- 2016-10-07 CN CN201680091465.XA patent/CN110073681B/zh active Active
- 2016-10-07 US US16/340,027 patent/US10820265B2/en active Active
- 2016-10-07 EP EP16918205.2A patent/EP3523989B1/en active Active
- 2016-10-07 WO PCT/FI2016/050697 patent/WO2018065660A1/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103596123A (zh) * | 2008-01-18 | 2014-02-19 | 交互数字专利控股公司 | 一种由m2me执行的方法 |
| CN102047705A (zh) * | 2008-05-23 | 2011-05-04 | 德国电信股份公司 | 电信中芯片卡的空中下载技术的个性化方法 |
| CN102572805A (zh) * | 2010-10-28 | 2012-07-11 | 苹果公司 | 通过无线网络传输电子标识组件的方法和装置 |
| CN103415017A (zh) * | 2013-08-23 | 2013-11-27 | 深圳市中兴物联科技有限公司 | 虚拟sim卡的方法、装置及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200045549A1 (en) | 2020-02-06 |
| EP3523989A4 (en) | 2020-04-15 |
| US10820265B2 (en) | 2020-10-27 |
| CN110073681A (zh) | 2019-07-30 |
| EP3523989A1 (en) | 2019-08-14 |
| EP3523989B1 (en) | 2024-02-14 |
| WO2018065660A1 (en) | 2018-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
| CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
| CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| US10009760B2 (en) | Providing network credentials | |
| US9516501B2 (en) | Authentication in a communications system | |
| CN101946536A (zh) | 演进网络中的应用特定的主密钥选择 | |
| CN106717042B (zh) | 用于将订阅配置文件提供到移动终端设备上的方法和装置 | |
| JP2000269959A (ja) | キー更新による認証方法 | |
| WO2009124835A2 (en) | Method of authenticating home operator for over-the-air provisioning of a wireless device | |
| CN111212426B (zh) | 终端的接入方法及终端、微基站、接入*** | |
| CN110808942B (zh) | 一种签约信息配置方法、网络设备和终端设备 | |
| CN112640385B (zh) | 用于在si***中使用的非si设备和si设备以及相应的方法 | |
| CN109891921B (zh) | 下一代***的认证的方法、装置和计算机可读存储介质 | |
| US20240171982A1 (en) | Non-3gpp device acess to core network | |
| CN105792194A (zh) | 基站合法性的认证方法、认证装置、网络设备、认证*** | |
| WO2020062937A1 (zh) | 一种数据处理方法及其数据处理设备 | |
| KR100956015B1 (ko) | 이동 통신들에 사용하기 위한 이동국, 시스템, 네트워크처리기 및 방법 | |
| JP2022530955A (ja) | マルチsim装置及びサブスクリプション情報を検証する方法及びプロセス | |
| CN114189343A (zh) | 互相认证的方法和装置 | |
| CN115699678A (zh) | 设备注销的方法、设备注册的方法、通信设备和云平台 | |
| WO2021087973A1 (en) | Wireless communication method for registration procedure | |
| CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
| EA032424B1 (ru) | Способ и система для определения присутствия sim-карты и клиента протокола sip в одном и том же мобильном устройстве |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |