專利名稱:機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及機(jī)器對(duì)機(jī)器的通信系統(tǒng)中的認(rèn)證技術(shù)�����,尤其涉及一種機(jī)器對(duì)機(jī)器 (M2M����,Machine-to-Machine)的通信系統(tǒng)中基于組的認(rèn)證方法及系統(tǒng)。
背景技術(shù):
在現(xiàn)有的第二代QG���,aid Generation)和第三代(3G����,3rd Generation)移動(dòng)網(wǎng)絡(luò)中��,只有具有有效國(guó)際移動(dòng)用戶識(shí)別碼(IMSI, International MobileSubscriber Identification Number)的用戶才有權(quán)得到服務(wù)�。鑒權(quán)�,即識(shí)別有效國(guó)際移動(dòng)用戶識(shí)別碼IMSI號(hào)碼的過(guò)程。這是移動(dòng)網(wǎng)絡(luò)安全性管理的一部分���,用來(lái)實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)的保密性��、數(shù)據(jù)完整性�����。下面簡(jiǎn)述一下通用移動(dòng)通信系統(tǒng)(UMTS�,Universal Mobile Telecommunications System)的認(rèn)證和密鑰協(xié)商機(jī)制(AKA, Authentication and Key Agreement) iAilHil禾呈�����。(EPS, Evolved Packet System)中EPS-AKA與UMTS-AKA本質(zhì)上沒(méi)有區(qū)別��。具體的認(rèn)證過(guò)程包括以下幾個(gè)步驟(1)生成鑒權(quán)五元組終端向歸屬位置寄存器(HLR��,Home LocationRegister) /鑒權(quán)中心(AuCJhe Authentication Centre)發(fā)出接入請(qǐng)求�。從收到鑒權(quán)數(shù)據(jù)請(qǐng)求組后,VLR/ SGSN生成相應(yīng)的鑒權(quán)向量��,每個(gè)向量由下列5個(gè)元素組成隨機(jī)數(shù)字RAND�����、期望響應(yīng)XRES��、 密鑰CK、完整性密鑰IK和鑒權(quán)令牌AUTN�����。(2)將鑒權(quán)五元組發(fā)送到請(qǐng)求的VLR/SGSN���。(3)從得到的多個(gè)五元組中選擇一個(gè)����,發(fā)送RAND(i)���、AUTN(i)到用戶�。(4)全球用戶身份模塊(USIM, Universal Subscriber Identity Module)卡檢查 AUTN(i)可否接受����,例如AUTN(i)是由有效的鑒權(quán)令牌組成。(5)終端接收到認(rèn)證請(qǐng)求后���,首先計(jì)算消息認(rèn)證碼XMAC����,并與認(rèn)證令牌AUTN中的消息認(rèn)證碼MAC比較���,如果不同���,則向SGSN/VLR發(fā)出拒絕認(rèn)證消息,并放棄認(rèn)證過(guò)程��。同時(shí)移動(dòng)臺(tái)(MS���,Mobile Station)驗(yàn)證接收到的序列號(hào)SQN是否在有效的范圍內(nèi)�����,若不在有效的范圍內(nèi)��,MS則向SGSN/VLR發(fā)送同步失敗消息�,放棄認(rèn)證過(guò)程��。(6)當(dāng)以上驗(yàn)證通過(guò)以后����,才產(chǎn)生響應(yīng)RES(i),并發(fā)送到VLR/SGSN;由VLR/SGSN 比較RES(i)和XRES(i)����。USIM卡同時(shí)計(jì)算CK和IK�,用于在空中接口加密和完整性保護(hù)����。但是,現(xiàn)有移動(dòng)網(wǎng)絡(luò)優(yōu)化都是基于人對(duì)人(human-to-human)而設(shè)計(jì)的��,而對(duì)于 machine-to-machine>|/L(machine-to-human) >ΑΧ /Ι^ (human-to-machine)的
應(yīng)用并非最佳�。隨著M2M技術(shù)的日趨發(fā)展和成熟,M2M用途的多元化�,M2M終端的數(shù)量將會(huì)出現(xiàn)爆炸性的增長(zhǎng),據(jù)估計(jì)��,M2M的終端數(shù)將達(dá)到手持終端數(shù)量的兩個(gè)數(shù)量級(jí)���,如果每個(gè)M2M終端獨(dú)立跟網(wǎng)絡(luò)鑒權(quán)和傳送數(shù)據(jù)��,用戶簽約數(shù)據(jù)庫(kù)/鑒權(quán)中心即HSS或HLR將為每個(gè)接入的機(jī)器類型通信MTC(Machine TypeCommunication)設(shè)備生成相應(yīng)的鑒權(quán)向量并發(fā)送給接入安全管理實(shí)體��,對(duì)現(xiàn)有的網(wǎng)絡(luò)壓力將會(huì)非常大���,從而對(duì)M2M服務(wù)的服務(wù)質(zhì)量和用戶體驗(yàn)造成很大影響。
當(dāng)有許多MTC設(shè)備被部署為屬于同一個(gè)MTC用戶的MTC設(shè)備組��,或當(dāng)所有在同一個(gè)地點(diǎn)的MTC設(shè)備被分在一個(gè)組時(shí),對(duì)于組中所有MTC設(shè)備的認(rèn)證代價(jià)也是很高的�����,但也常常是不必要的��。沒(méi)有對(duì)組進(jìn)行優(yōu)化時(shí)���,每一個(gè)MTC設(shè)備都必須單獨(dú)地被認(rèn)證,這樣���,由于系統(tǒng)中認(rèn)證所需的信令負(fù)荷會(huì)隨著認(rèn)證被單獨(dú)執(zhí)行而增加�,甚至可能造成網(wǎng)絡(luò)擁塞����。由于當(dāng)前的第三代合作伙伴計(jì)劃(3GPP,3rd Generation Partnership Project) 的網(wǎng)絡(luò)認(rèn)證技術(shù)難以滿足今后數(shù)量越來(lái)越龐大的MTC設(shè)備�����。所以需要一種優(yōu)化的MTC設(shè)備的鑒權(quán)機(jī)制來(lái)大幅減少所需要的信令數(shù)量����,尤其是降低核心網(wǎng)的壓力。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法及系統(tǒng)�����,提高M(jìn)TC設(shè)備認(rèn)證的效率���,能夠大幅減少現(xiàn)有網(wǎng)絡(luò)中的信令數(shù)量���,同時(shí)減輕現(xiàn)有網(wǎng)絡(luò)的認(rèn)證負(fù)荷。為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法�����,鑒權(quán)中心根據(jù)MTC設(shè)備所簽約的組信息����,生成組認(rèn)證參數(shù)�,并將所述組認(rèn)證參數(shù)發(fā)送給接入安全管理設(shè)備;接入安全管理設(shè)備�,根據(jù)生成的所述組認(rèn)證參數(shù),生成針對(duì)每個(gè)所述MTC設(shè)備的鑒權(quán)參數(shù)�����,并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)。優(yōu)選地����,鑒權(quán)中心根據(jù)機(jī)器類型通信MTC設(shè)備所屬的組簽約信息��,生成組認(rèn)證參數(shù)之前鑒權(quán)中心預(yù)先配置MTC設(shè)備所屬的組的組根密鑰以及MTC設(shè)備的根密鑰�。優(yōu)選地,鑒權(quán)中心根據(jù)收到的認(rèn)證請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)���,查詢?cè)揗TC設(shè)備的簽約信息��,若該MTC設(shè)備擁有組簽約����,所述鑒權(quán)中心根據(jù)所述MTC設(shè)備所屬組的組根密鑰以及組標(biāo)識(shí)生成相應(yīng)的組認(rèn)證向量��;鑒權(quán)中心根據(jù)所述MTC設(shè)備的根密鑰及hash算法���,生成所述MTC設(shè)備的根密鑰的
哈希值��。優(yōu)選地���,所述組認(rèn)證參數(shù)包括所述組認(rèn)證向量��、所述MTC設(shè)備根密鑰的哈希值����、 所述MTC設(shè)備所屬的簽約的組及組成員信息��。優(yōu)選地�����,收到MTC設(shè)備附著請(qǐng)求或業(yè)務(wù)請(qǐng)求后�����,接入安全管理設(shè)備ASME根據(jù)所述請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)�,查詢是否已存在所述MTC設(shè)備所屬簽約的組及所述簽約的組的組認(rèn)證參數(shù);若不存在���,向鑒權(quán)中心發(fā)起對(duì)所述MTC設(shè)備的認(rèn)證請(qǐng)求�;若存在��,由接入安全管理設(shè)備直接對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證��。優(yōu)選地,接入安全管理設(shè)備對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證過(guò)程為所述接入安全管理設(shè)備生成隨機(jī)數(shù)����,根據(jù)所述組認(rèn)證向量、所述MTC設(shè)備根密鑰的哈希值����、所述接入安全管理設(shè)備生成的隨機(jī)數(shù),生成針對(duì)所述MTC設(shè)備的認(rèn)證向量����,對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證��。一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)�,包括MTC設(shè)備、ASME以及鑒權(quán)中心�;所述鑒權(quán)中心,用于根據(jù)機(jī)器類型通信MTC設(shè)備所簽約的組信息�,生成組認(rèn)證參數(shù), 并將所述組認(rèn)證參數(shù)發(fā)送給所述接入安全管理設(shè)備����;所述接入安全管理設(shè)備,用于根據(jù)生成的所述組認(rèn)證參數(shù)���,生成針對(duì)每個(gè)所述MTC設(shè)備的鑒權(quán)參數(shù)��,并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)���。優(yōu)選地�����,所述鑒權(quán)中心�,用于預(yù)先配置MTC設(shè)備所屬的組的組根密鑰以及MTC設(shè)備的根密鑰���;根據(jù)收到的認(rèn)證請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)�,查詢?cè)揗TC設(shè)備的簽約信息�����, 若該MTC設(shè)備擁有組簽約��,根據(jù)所述MTC設(shè)備所屬組的組根密鑰以及組標(biāo)識(shí)生成相應(yīng)的組認(rèn)證向量��;根據(jù)所述MTC設(shè)備的根密鑰及hash算法��,生成所述MTC設(shè)備的根密鑰的哈希值����。優(yōu)選地�����,所述組認(rèn)證參數(shù)包括所述組認(rèn)證向量�����、所述MTC設(shè)備根密鑰的哈希值����、 所述MTC設(shè)備所屬的簽約的組及組成員信息����。優(yōu)選地��,所述接入安全管理設(shè)備�����,用于收到MTC設(shè)備附著請(qǐng)求或業(yè)務(wù)請(qǐng)求后�,根據(jù)所述請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí),查詢是否已存在所述MTC設(shè)備所屬簽約的組及所述簽約的組的組認(rèn)證參數(shù)�����;若不存在,向鑒權(quán)中心發(fā)起對(duì)所述MTC設(shè)備的認(rèn)證請(qǐng)求�;若存在, 對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證����;所述接入安全管理設(shè)備,用于生成隨機(jī)數(shù)�,根據(jù)所述組認(rèn)證向量、所述MTC設(shè)備根密鑰的哈希值�����、所述隨機(jī)數(shù)��,生成針對(duì)所述MTC設(shè)備的認(rèn)證向量��,對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證��。本發(fā)明中��,將共享同一組簽約信息的MTC設(shè)備劃分為一組���,這樣����,在同一組內(nèi)的 MTC設(shè)備首次進(jìn)行鑒權(quán)認(rèn)證時(shí),即ASME中沒(méi)有有效的組認(rèn)證參數(shù)時(shí)�,ASME向鑒權(quán)中心發(fā)起認(rèn)證請(qǐng)求,鑒權(quán)中心會(huì)將相應(yīng)的認(rèn)證向量發(fā)送給ASME����,由ASME完成對(duì)MTC設(shè)備的鑒權(quán)認(rèn)證,而當(dāng)ASME中已經(jīng)有相應(yīng)的組認(rèn)證參數(shù)時(shí)�,該組內(nèi)的MTC設(shè)備進(jìn)行鑒權(quán)認(rèn)證時(shí),直接由該 ASME利用相應(yīng)的認(rèn)證向量對(duì)屬同一組內(nèi)的其他MTC設(shè)備進(jìn)行認(rèn)證即可����,不必再讓鑒權(quán)中心參與對(duì)每一 MTC設(shè)備的認(rèn)證,這無(wú)疑提高了對(duì)MTC設(shè)備認(rèn)證的效率����,并且�,分擔(dān)了鑒權(quán)中心對(duì)MTC設(shè)備認(rèn)證的負(fù)荷,節(jié)約了網(wǎng)絡(luò)側(cè)的處理資源��,有利于提高核心網(wǎng)側(cè)的業(yè)務(wù)處理效率�。
圖1為UMTS網(wǎng)絡(luò)中一組MTC設(shè)備中首個(gè)接入的MTC設(shè)備的認(rèn)證流程圖;圖2為UMTS網(wǎng)絡(luò)中一組MTC設(shè)備中已有MTC設(shè)備進(jìn)行過(guò)認(rèn)證的認(rèn)證流程圖�����;圖3為L(zhǎng)TE/SAE的密鑰架構(gòu)圖;圖4為EPS網(wǎng)絡(luò)中共享同一簽約信息的組內(nèi)首個(gè)MTC設(shè)備的認(rèn)證流程圖����;圖5為EPS網(wǎng)絡(luò)中一組MTC設(shè)備中已有MTC設(shè)備進(jìn)行過(guò)認(rèn)證的認(rèn)證流程圖;圖6為本發(fā)明機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式本發(fā)明的基本思想為將共享同一組簽約信息的MTC設(shè)備劃分為一組����,這樣,在同一組內(nèi)的MTC設(shè)備首次進(jìn)行鑒權(quán)認(rèn)證時(shí)�,即ASME中沒(méi)有有效的組認(rèn)證參數(shù)時(shí),ASME向鑒權(quán)中心發(fā)起認(rèn)證請(qǐng)求�����,鑒權(quán)中心會(huì)將相應(yīng)的認(rèn)證向量發(fā)送給ASME���,由ASME完成對(duì)MTC設(shè)備的鑒權(quán)認(rèn)證���,而當(dāng)ASME中已經(jīng)有相應(yīng)的組認(rèn)證參數(shù)時(shí)��,該組內(nèi)的MTC設(shè)備進(jìn)行鑒權(quán)認(rèn)證時(shí)��,直接由該ASME利用相應(yīng)的認(rèn)證向量對(duì)屬同一組內(nèi)的其他MTC設(shè)備進(jìn)行認(rèn)證即可���,不必再讓鑒權(quán)中心參與對(duì)每一 MTC設(shè)備的認(rèn)證。為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,以下舉實(shí)施例并參照附圖�,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。圖1及圖2所示為3G網(wǎng)絡(luò)中共享同一簽約信息的組內(nèi)MTC設(shè)備組認(rèn)證流程�����,其中網(wǎng)元ASME具體為VLR/SGSN�,用戶簽約數(shù)據(jù)庫(kù)/鑒權(quán)中心具體為HLR/AuC。在簽約為一組的各MTC設(shè)備中預(yù)先配置組標(biāo)識(shí)信息��、組根密鑰Ksg信息及MTC設(shè)備根密鑰Ksi信息�;在簽約中心預(yù)先配置簽約為一組的MTC設(shè)備的組根密鑰信息、組中各MTC設(shè)備的根密鑰信息以及組的簽約信息����。圖1為UMTS網(wǎng)絡(luò)中一組MTC設(shè)備中首個(gè)接入的MTC設(shè)備的認(rèn)證流程圖,如圖1所示�����,本示例MTC設(shè)備認(rèn)證流程具體包括以下步驟步驟101 共享同一簽約信息的MTC設(shè)備組中的首個(gè)接入的MTC設(shè)備發(fā)起接入/業(yè)務(wù)相關(guān)請(qǐng)求��,請(qǐng)求消息中包含該首個(gè)MTC設(shè)備的標(biāo)識(shí)信息�����,具體的����,本示例中的MTC設(shè)備的標(biāo)識(shí)信息為MTC設(shè)備的IMSI。步驟102 :VLR/SGSN查詢自身中是否已存在包含該MTC設(shè)備的簽約組信息及其組認(rèn)證向量����。步驟103 本示例中,由于當(dāng)前認(rèn)證的MTC設(shè)備為該組中的首個(gè)MTC設(shè)備進(jìn)行的認(rèn)證���,因此不存在該MTC設(shè)備簽約的組的認(rèn)證參數(shù)信息����。VLR/SGSN向HLR/AuC發(fā)起鑒權(quán)請(qǐng)求, 請(qǐng)求中攜帶MTC設(shè)備IMSI信息��。步驟104 :HLR/AuC根據(jù)MTC設(shè)備標(biāo)識(shí)查詢其簽約信息��,如該設(shè)備擁有組簽約�,根據(jù)鑒權(quán)策略,生成相應(yīng)的組認(rèn)證向量����。具體的,組認(rèn)證向量是根據(jù)相應(yīng)的鑒權(quán)策略生成相應(yīng)的認(rèn)證向量��,鑒權(quán)策略中包含一些生成相應(yīng)密鑰的算法���,如哈希算法�,還有生成認(rèn)證向量的密鑰生成算法等����。這里,組認(rèn)證向量包含組隨機(jī)數(shù)RANDg�、組鑒權(quán)令牌AUTNg、組加密密鑰CKg��、 組完整性密鑰IKg����、組期望響應(yīng)XRESg五元信息�����。這里,生成認(rèn)證向量的密鑰生成算法及哈希算法可以是現(xiàn)有的任一種算法��。認(rèn)證向量由組根密鑰及組簽約信息如組標(biāo)識(shí)信息等的相關(guān)信息生成�,由于其為現(xiàn)有技術(shù),這里不再贅述各參數(shù)的生成方式���。步驟105 HLR/AuC返回鑒權(quán)向量數(shù)據(jù)響應(yīng)給VLR/SGSN����,該消息中包括組鑒權(quán)五元組組隨機(jī)數(shù)RANDg�����、組鑒權(quán)令牌AUTNg�、組加密密鑰CKg、組完整性密鑰IKg��、組期望響應(yīng)XRESg����,同時(shí)消息中還攜帶有該組的簽約信息�����,組的簽約信息包括該組標(biāo)識(shí)����,該組所有 MTC設(shè)備標(biāo)識(shí)IMSI�。發(fā)送給VLR/SGSN的消息中還包括每個(gè)MTC設(shè)備的根密鑰的哈希值 hash (Ksi)0具體的,HLR/AuC根據(jù)設(shè)定的哈希算法計(jì)算每個(gè)MTC設(shè)備的根密鑰的哈希值���。 本發(fā)明中�����,由鑒權(quán)中心統(tǒng)一生成上述MTC設(shè)備的根密鑰的哈希值��,主要是保證鑒權(quán)認(rèn)證的安全性���,本發(fā)明優(yōu)選采用此方式。步驟106 :VLR/SGSN保存HLR/AuC發(fā)送的組認(rèn)證參數(shù)�,如認(rèn)證向量及相應(yīng)的哈希值等,在參數(shù)中查找到該MTC設(shè)備對(duì)應(yīng)的hash (Ksi)��,并生成隨機(jī)數(shù)RANDi,根據(jù)hash (Ksi)����、 RANDi和XRESg生成XRESi。具體的�,根據(jù)MTC設(shè)備標(biāo)識(shí)即可查找出其對(duì)應(yīng)的hash (Ksi)��。步驟107 VLR/SGSN發(fā)送用戶鑒權(quán)請(qǐng)求給MTC設(shè)備����,消息中包含RANDi�,RANDg, AUTNg和組認(rèn)證指示GA Indicator0步驟108 :MTC設(shè)備使用和HLR/AuC相同的哈希算法計(jì)算出自身MTC設(shè)備根密鑰的 Ksi的哈希值hash (Ksi),并基于此哈希值hash (Ksi)和RANDi��,利用現(xiàn)有密鑰算法計(jì)算出的組機(jī)密性密鑰CKg��、組完整性密鑰KIg以及組期望響應(yīng)XRESg�,分別計(jì)算出MTC設(shè)備的機(jī)密性密鑰CKi,MTC設(shè)備的完整性密鑰IKi和MTC設(shè)備的響應(yīng)RESi���。步驟109 :MTC設(shè)備向VLR/SGSN返回用戶鑒權(quán)響應(yīng)�,該響應(yīng)中包含RESi�����。步驟110 VLR/SGSN比較RESi和XRESi,如果一致�����,則通過(guò)認(rèn)證���,否則認(rèn)證失敗����。
步驟111 :VLR/SGSN 根據(jù) hash (Ksi)和 RANDi��,以及 CKg, KIg�,分別生成 CKi,IKi����, 發(fā)送給無(wú)線網(wǎng)絡(luò)控制器(RNC,Radio Network Controller)用于數(shù)據(jù)加密���。步驟112 =MTC設(shè)備使用CKi��、IKi對(duì)數(shù)據(jù)分別進(jìn)行機(jī)密性�����、完整性保護(hù)���。圖2為UMTS網(wǎng)絡(luò)中一組MTC設(shè)備中已有MTC設(shè)備進(jìn)行過(guò)認(rèn)證的認(rèn)證流程圖���,如圖 2所示,本示例MTC設(shè)備認(rèn)證流程具體包括以下步驟步驟201 :MTC設(shè)備發(fā)起接入/業(yè)務(wù)相關(guān)請(qǐng)求��,請(qǐng)求消息中包含該MTC設(shè)備標(biāo)識(shí)(本示例中為IMSI)�。步驟202 :VLR/SGSN查詢自身中是否已存在包含該MTC設(shè)備的簽約組信息��。步驟203 本示例中VLR/SGSN查找到擁有該MTC設(shè)備的相應(yīng)簽約組的信息及該組的組認(rèn)證向量�,VLR/SGSN生成隨機(jī)數(shù)RANDi,根據(jù)RANDi���、hash (Ksi)和XRESg生成XRESi�����。步驟204 VLR/SGSN發(fā)送用戶鑒權(quán)請(qǐng)求給MTC設(shè)備��,消息中包含RANDi�����、RANDg, AUTNg和組認(rèn)證指示GA Indicator0步驟205 =MTC設(shè)備使用和HLR/AuC相同的哈希算法計(jì)算出自身的Ksi的哈希值 hash(Ksi)�����,并基于此哈希值hash(Ksi)和RANDi以及用現(xiàn)有算法計(jì)算出組的CKg����、IKg、 RESg,分別計(jì)算出MTC設(shè)備的CKi��、IKi和RESi����。步驟206 :MTC設(shè)備向VLR/SGSN返回用戶鑒權(quán)響應(yīng),該響應(yīng)中包含RESi�����。步驟207 VLR/SGSN比較RESi和XRESi���,如果一致����,通過(guò)認(rèn)證。步驟208 :VLR/SGSN 根據(jù) hash (Ksi)和 CKg���,KIg 生成 CKi�����,IKi�,發(fā)送給 RNC 用于數(shù)據(jù)加密�����。步驟209 =MTC設(shè)備使用CKi���,IKi對(duì)數(shù)據(jù)進(jìn)行機(jī)密性、完整性保護(hù)����。在長(zhǎng)期 演進(jìn)(LTE ,Long Term Evolution) / (SAE , SystemArchitechtureEvolution)中,由于eNB處于一個(gè)不完全信任區(qū)域��,因此LTE/SAE的安全包括兩個(gè)層次接入層(AS�����,Access Stratum)和非接入層(NAS,Non AccessStratum) 的安全1)接入層(AS)安全UE與eNB之間的安全�����,主要執(zhí)行AS信令的加密和完整性保護(hù)����,用戶面UP的加密性保護(hù)。2)非接入層(NAS)安全:UE與MME之間的安全�,主要執(zhí)行NAS信令的加密和完整性保護(hù)。圖3為L(zhǎng)TE/SAE的密鑰架構(gòu)圖�����,如圖3所示��,LTE/SAE網(wǎng)絡(luò)的密鑰層次架構(gòu)中包含如下密鑰1) UE和HSS間共享的密鑰K 存儲(chǔ)在MTC設(shè)備的USIM中和鑒權(quán)中心AuC的永久密鑰��,屬組根密鑰�����。CK/IK :AuC和USIM在AKA認(rèn)證過(guò)程中生成的密鑰對(duì)�。與UMTS相比����,CK/IK不應(yīng)離開(kāi) HSS����。2)管理單元(ME,Management Element)和ASME共享的中間密鑰Kasme =UE和HSS根據(jù)CK/IK推演得到的密鑰���,用于推演下層密鑰��。3) UE與eNB和MME的共享密鑰KNASint =UE和MME根據(jù)Kasme推演得到的密鑰���,用于保護(hù)UE和MME間NAS流量的完整性。
KNASenc =UE和MME根據(jù)Kasme推演得到的密鑰����,用于保護(hù)UE和MME間NAS流量的保密性。KeNB =UE和MME根據(jù)Kassie推演得到的密鑰�。KeNB用于推導(dǎo)AS層密鑰。Kupenc =UE和eNB根據(jù)KeNB和加密算法的標(biāo)識(shí)符推演得到��,用于保護(hù)UE和eNB間UP 的保密性���。KEECint =UE和eNB根據(jù)KeNB和完整性算法的標(biāo)識(shí)符推演得到���,用于保護(hù)UE和eNB間 RCC的完整性。KEECenc =UE和eNB根據(jù)KeNB和加密算法的標(biāo)識(shí)符推演得到����,用于保護(hù)UE和eNB間 RCC的保密性。圖4及圖5所示為EPS網(wǎng)絡(luò)中共享同一簽約信息的組內(nèi)MTC設(shè)備認(rèn)證流程���,其中網(wǎng)元ASME具體為MME���,用戶簽約數(shù)據(jù)庫(kù)/鑒權(quán)中心具體為HSS。在簽約為一組的各MTC設(shè)備中預(yù)先配置組標(biāo)識(shí)信息����、組根密鑰Ksg信息及MTC設(shè)備根密鑰Ksi信息;在簽約中心預(yù)先配置簽約為一組的MTC設(shè)備的組根密鑰信息����、組中各MTC設(shè)備的根密鑰信息以及組的簽約 fn息ο圖4為EPS網(wǎng)絡(luò)中共享同一簽約信息的組內(nèi)首個(gè)MTC設(shè)備的認(rèn)證流程圖,如圖4 所示�����,本示例MTC設(shè)備認(rèn)證流程具體包括以下步驟步驟401 接入的MTC設(shè)備發(fā)起接入/業(yè)務(wù)相關(guān)請(qǐng)求����,請(qǐng)求消息中包含該用戶標(biāo)識(shí) (IMSI)�����。步驟402 =MME查詢自身中是否已存在包含該MTC設(shè)備的簽約組信息及其組認(rèn)證向量�。步驟403 本示例中��,由于當(dāng)前認(rèn)證的MTC設(shè)備為該組中的首個(gè)MTC設(shè)備進(jìn)行的認(rèn)證���,因此不存在該MTC設(shè)備所屬簽約的組的信息���。MME發(fā)起鑒權(quán)請(qǐng)求,請(qǐng)求中攜帶設(shè)備標(biāo)識(shí)���, 此例中為設(shè)備的IMSI�����。步驟404 =HSS根據(jù)MTC設(shè)備標(biāo)識(shí)查詢其簽約信息����,如該設(shè)備擁有組簽約,根據(jù)鑒權(quán)策略�,生成相應(yīng)的組認(rèn)證向量�����。該實(shí)例中����,MTC設(shè)備擁有組簽約,則HSS生成組認(rèn)證向量�����。具體的�����,根據(jù)組根密鑰及相應(yīng)的密鑰生成算法生成包含有組隨機(jī)數(shù)RANDg���、組鑒權(quán)令牌 AUTNg��、組密鑰集識(shí)別碼KSIASMEg�、接入網(wǎng)元密鑰Kasme��、組期望響應(yīng)XRESg的認(rèn)證向量�。步驟405 =HSS返回鑒權(quán)向量數(shù)據(jù)響應(yīng)給MME����,該消息中包括組隨機(jī)數(shù)RANDg�����、組鑒權(quán)令牌AUTNg�、組密鑰集識(shí)別碼KSIASMEg、接入網(wǎng)元密鑰Kasme���、組期望響應(yīng)XRESg�,組的簽約信息包括該組標(biāo)識(shí)���,該組所有MTC設(shè)備標(biāo)識(shí)�。發(fā)送給MME的消息中還包括每個(gè)MTC設(shè)備的根密鑰的哈希值hash (Ksi)���;具體的�����,HSS根據(jù)設(shè)定的哈希算法對(duì)每個(gè)MTC設(shè)備的根密鑰計(jì)算即可�。步驟406 =MME保存組認(rèn)證參數(shù),在參數(shù)中查找到該MTC設(shè)備對(duì)應(yīng)的hash (Ksi)�,生成隨機(jī)數(shù) RANDi,根據(jù) hash (Ksi)�����、RANDi 以及 Kasme 生成 KASMEi��、根據(jù) hash (Ksi)����、RANDi 以及 XRESg 生成 XRESi�����。步驟407 =MME發(fā)送用戶鑒權(quán)請(qǐng)求給MTC設(shè)備��,消息中包含RANDi���、RANDg�、AUTNg�、 KSIASMEg 和組認(rèn)證指示 GA Indicator,,步驟408 :MTC設(shè)備使用和HSS相同的哈希算法計(jì)算出該MTC設(shè)備自身MTC設(shè)備根密鑰的Ksi的哈希值hash (Ksi),并基于此哈希值hash (Ksi)�����、RANDi以及利用現(xiàn)有算法計(jì)算出的組響應(yīng)RESg和Kasme,分別計(jì)算出MTC設(shè)備的響應(yīng)RESi、KASMEi����。。步驟409 :MTC設(shè)備向MME返回用戶鑒權(quán)響應(yīng)��,該響應(yīng)中包含RESi��。步驟410 =MME比較RESi和XRESi��,如果一致����,通過(guò)認(rèn)證,否則認(rèn)證失敗��。步驟411 =MME 根據(jù) hash (Ksi)�、RANDi 和 Kasme 生成 KASMEi,基于 KASMEi 生成 KNASenci����、 KflASinti、KeNB土����。iC^^Kmsenci���、 KNASinti用于保護(hù)用戶和MME之間的NAS信令,KeNBi下發(fā)給eNB����, eNB 基于 KeNBi 生成 KUPen。i���、KKKCinti 和 KKKCenci。步驟412 =MTC 設(shè)備基于 KASMEi 生成 KNASen����。i、KNASinti�����、KeNBi���,其中���,KNASen�。i��、KNASinti 分別對(duì)數(shù)據(jù)進(jìn)行機(jī)密性�����、完整性保護(hù)����。圖5為EPS網(wǎng)絡(luò)中一組MTC設(shè)備中已有MTC設(shè)備進(jìn)行過(guò)認(rèn)證的認(rèn)證流程圖,如圖 5所示��,本示例MTC設(shè)備認(rèn)證流程具體包括以下步驟步驟501 :MTC設(shè)備發(fā)起接入/業(yè)務(wù)相關(guān)請(qǐng)求�����,請(qǐng)求消息中包含該用戶標(biāo)識(shí) (IMSI)��。步驟502 =MME查詢自身中是否已存在包含該MTC設(shè)備的簽約組信息����。。步驟503 本示例中MME查找到已有該MTC設(shè)備所屬簽約組的信息及該組認(rèn)證向量信息�,MME生成隨機(jī)數(shù)RANDi,根據(jù)RANDi��、hash (Ksi)和XRESg生成XRESi。步驟504 =MME發(fā)送用戶鑒權(quán)請(qǐng)求給MTC設(shè)備��,消息中包含RANDi��、RANDg, AUTNg, KSIASMEg 和組認(rèn)證指示 GA Indicator,,步驟505 :MTC設(shè)備使用和HSS相同的哈希算法計(jì)算出自己的Ksi的哈希值 hash(Ksi)�,并基于此哈希值和RANDi以及用現(xiàn)有算法算出的RESg計(jì)算出RESi。步驟506 :MTC設(shè)備向MME返回用戶鑒權(quán)響應(yīng)���,該響應(yīng)中包含RESi����。步驟507 =MME比較RESi和XRESi��,如果一致����,通過(guò)認(rèn)證���。步驟508 =MME 根據(jù) RANDi�����、hash (Ksi)和 Kasme 生成 KASMEi�����,基于 KASMEi 生成 KNASenci, KflASinti�,KeNB 。胃巾�����,Knasenci���, KNASinti用戶保護(hù)用戶和MME之間的NAS信令��,KeNBi下發(fā)給eNB�, eNB 基于 KeNBi 生成 KupencI, KEECinti 和 KKKCenci����。步驟509 =MTC 設(shè)備基于 K應(yīng)i 生成 KNASen。i�����,KNASinti�,KUPen。i�����,KKRCinti 和 KKKen。i 對(duì)數(shù)據(jù)進(jìn)行機(jī)密性�����、完整性保護(hù)��。圖6為本發(fā)明機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖�,如圖6所示,本發(fā)明機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)包括MTC設(shè)備60����、接入安全管理設(shè)備61以及鑒權(quán)中心62,系統(tǒng)中還有其他網(wǎng)元�����,與現(xiàn)有技術(shù)中的網(wǎng)絡(luò)結(jié)構(gòu)相同�����,其中����,所述鑒權(quán)中心62,用于根據(jù)MTC設(shè)備所簽約的組信息��,生成組認(rèn)證參數(shù)���,并將所述組認(rèn)證參數(shù)發(fā)送給所述接入安全管理設(shè)備�;接入安全管理設(shè)備61��,用于根據(jù)生成的所述組認(rèn)證參數(shù)���,生成針對(duì)每個(gè)所述MTC 設(shè)備的鑒權(quán)參數(shù)��,并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)����。進(jìn)一步地�����,鑒權(quán)中心62���,用于預(yù)先配置MTC設(shè)備所屬的組的組根密鑰以及MTC設(shè)備的根密鑰����;根據(jù)收到的認(rèn)證請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí),查詢?cè)揗TC設(shè)備的簽約信息���, 若該MTC設(shè)備擁有組簽約����,根據(jù)所述MTC設(shè)備所屬組的組根密鑰以及組標(biāo)識(shí)生成相應(yīng)的組認(rèn)證向量���;根據(jù)所述MTC設(shè)備的根密鑰及hash算法����,生成所述MTC設(shè)備的根密鑰的哈希值�。進(jìn)一步地,所述組認(rèn)證參數(shù)包括所述組認(rèn)證向量����、所述MTC設(shè)備根密鑰的哈希值、所述MTC設(shè)備所屬的簽約的組及組成員信息�。
進(jìn)一步地,接入安全管理設(shè)備61�����,用于收到MTC設(shè)備附著請(qǐng)求或業(yè)務(wù)請(qǐng)求后���,根據(jù)所述請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)�����,查詢是否已存在所述MTC設(shè)備所屬簽約的組及所述簽約的組的組認(rèn)證參數(shù)���;若不存在,向鑒權(quán)中心發(fā)起對(duì)所述MTC設(shè)備的認(rèn)證請(qǐng)求�����;若存在�, 對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證;進(jìn)一步地��,接入安全管理設(shè)備61���,用于生成隨機(jī)數(shù)���,根據(jù)所述組認(rèn)證向量、所述 MTC設(shè)備根密鑰的哈希值����、所述隨機(jī)數(shù)���,生成針對(duì)所述MTC設(shè)備的認(rèn)證向量,對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證����。上述ASME為VLR/SGSN,或MME ��;所述鑒權(quán)中心為HLR/AuC�,或?yàn)镠SS。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本發(fā)明的機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)是為實(shí)現(xiàn)前述的機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法而設(shè)計(jì)的�,上述各網(wǎng)元的實(shí)現(xiàn)功能可參照前述方法的相關(guān)描述而理解。以上所述��,僅為本發(fā)明的較佳實(shí)施例而已��,并非用于限定本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法�����,其特征在于,鑒權(quán)中心根據(jù)機(jī)器類型通信MTC設(shè)備所簽約的組信息�,生成組認(rèn)證參數(shù)�����,并將所述組認(rèn)證參數(shù)發(fā)送給接入安全管理設(shè)備�����;接入安全管理設(shè)備���,根據(jù)生成的所述組認(rèn)證參數(shù)���,生成針對(duì)每個(gè)所述MTC設(shè)備的鑒權(quán)參數(shù),并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)��。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,鑒權(quán)中心根據(jù)機(jī)器類型通信MTC設(shè)備所屬的組簽約信息��,生成組認(rèn)證參數(shù)之前鑒權(quán)中心預(yù)先配置MTC設(shè)備所屬的組的組根密鑰以及MTC設(shè)備的根密鑰��。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,鑒權(quán)中心根據(jù)收到的認(rèn)證請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)���,查詢?cè)揗TC設(shè)備的簽約信息,若該MTC設(shè)備擁有組簽約�,所述鑒權(quán)中心根據(jù)所述MTC設(shè)備所屬組的組根密鑰以及組標(biāo)識(shí)生成相應(yīng)的組認(rèn)證向量;鑒權(quán)中心根據(jù)所述MTC設(shè)備的根密鑰及hash算法����,生成所述MTC設(shè)備的根密鑰的哈希值。
4.根據(jù)權(quán)利要求1或3所述的方法���,其特征在于��,所述組認(rèn)證參數(shù)包括所述組認(rèn)證向量���、所述MTC設(shè)備根密鑰的哈希值、所述MTC設(shè)備所屬的簽約的組及組成員信息����。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在于,收到MTC設(shè)備附著請(qǐng)求或業(yè)務(wù)請(qǐng)求后���,接入安全管理設(shè)備ASME根據(jù)所述請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí),查詢是否已存在所述MTC設(shè)備所屬簽約的組及所述簽約的組的組認(rèn)證參數(shù)�����;若不存在����,向鑒權(quán)中心發(fā)起對(duì)所述MTC設(shè)備的認(rèn)證請(qǐng)求;若存在����,由接入安全管理設(shè)備直接對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于����,接入安全管理設(shè)備對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證過(guò)程為所述接入安全管理設(shè)備生成隨機(jī)數(shù)��,根據(jù)所述組認(rèn)證向量����、所述MTC設(shè)備根密鑰的哈希值���、所述接入安全管理設(shè)備生成的隨機(jī)數(shù)�����,生成針對(duì)所述MTC設(shè)備的認(rèn)證向量����,對(duì)所述 MTC設(shè)備進(jìn)行認(rèn)證�����。
7.一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)��,包括MTC設(shè)備���、接入安全管理設(shè)備ASME以及鑒權(quán)中心����;其特征在于,所述鑒權(quán)中心����,用于根據(jù)機(jī)器類型通信MTC設(shè)備所簽約的組信息,生成組認(rèn)證參數(shù)�����,并將所述組認(rèn)證參數(shù)發(fā)送給所述接入安全管理設(shè)備�;所述接入安全管理設(shè)備�����,用于根據(jù)生成的所述組認(rèn)證參數(shù)����,生成針對(duì)每個(gè)所述MTC設(shè)備的鑒權(quán)參數(shù),并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)�。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�,所述鑒權(quán)中心,用于預(yù)先配置MTC設(shè)備所屬的組的組根密鑰以及MTC設(shè)備的根密鑰���;根據(jù)收到的認(rèn)證請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)�����,查詢?cè)揗TC設(shè)備的簽約信息��,若該MTC設(shè)備擁有組簽約�,根據(jù)所述MTC設(shè)備所屬組的組根密鑰以及組標(biāo)識(shí)生成相應(yīng)的組認(rèn)證向量;根據(jù)所述MTC設(shè)備的根密鑰及hash算法�,生成所述MTC設(shè)備的根密鑰的哈希值。
9.根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于����,所述組認(rèn)證參數(shù)包括所述組認(rèn)證向量、 所述MTC設(shè)備根密鑰的哈希值����、所述MTC設(shè)備所屬的簽約的組及組成員信息。
10.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述接入安全管理設(shè)備�,用于收到MTC設(shè)備附著請(qǐng)求或業(yè)務(wù)請(qǐng)求后,根據(jù)所述請(qǐng)求消息中攜帶的MTC設(shè)備標(biāo)識(shí)�����,查詢是否已存在所述MTC設(shè)備所屬簽約的組及所述簽約的組的組認(rèn)證參數(shù);若不存在�����,向鑒權(quán)中心發(fā)起對(duì)所述MTC設(shè)備的認(rèn)證請(qǐng)求���;若存在���,對(duì)所述MTC 設(shè)備進(jìn)行認(rèn)證;所述接入安全管理設(shè)備���,用于生成隨機(jī)數(shù)����,根據(jù)所述組認(rèn)證向量����、所述MTC設(shè)備根密鑰的哈希值�����、所述隨機(jī)數(shù),生成針對(duì)所述MTC設(shè)備的認(rèn)證向量�,對(duì)所述MTC設(shè)備進(jìn)行認(rèn)證。
全文摘要
本發(fā)明公開(kāi)了一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證方法��,包括鑒權(quán)中心根據(jù)MTC設(shè)備所簽約的組信息�����,生成組認(rèn)證參數(shù)��,并將組認(rèn)證參數(shù)發(fā)送給接入安全管理設(shè)備���;接入安全管理設(shè)備�,根據(jù)生成的組認(rèn)證參數(shù)�����,生成針對(duì)每個(gè)MTC設(shè)備的鑒權(quán)參數(shù)�,并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)。本發(fā)明同時(shí)公開(kāi)了一種機(jī)器對(duì)機(jī)器的通信系統(tǒng)中基于組的認(rèn)證系統(tǒng)�,包括MTC設(shè)備、接入安全管理設(shè)備ASME以及鑒權(quán)中心�;鑒權(quán)中心用于根據(jù)機(jī)器類型通信MTC設(shè)備所簽約的組信息,生成組認(rèn)證參數(shù)����,并將組認(rèn)證參數(shù)發(fā)送給接入安全管理設(shè)備����;接入安全管理設(shè)備用于根據(jù)生成的組認(rèn)證參數(shù)�,生成針對(duì)每個(gè)MTC設(shè)備的鑒權(quán)參數(shù),并對(duì)該組中的MTC設(shè)備進(jìn)行鑒權(quán)����。本發(fā)明大大提高了對(duì)MTC設(shè)備的認(rèn)證效率。
文檔編號(hào)H04W12/04GK102238484SQ20101015394
公開(kāi)日2011年11月9日 申請(qǐng)日期2010年4月22日 優(yōu)先權(quán)日2010年4月22日
發(fā)明者朱允文, 田甜, 韋銀星, 高峰 申請(qǐng)人:中興通訊股份有限公司