專利名稱:一種機器到機器通信中組認(rèn)證的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及機器類通信(Machine Type Communication,MTC)安全領(lǐng)域,特別是指一種機器到機器(M2M)通信中組認(rèn)證的方法和系統(tǒng)���。
背景技術(shù):
隨著全球信息化���,以及通信網(wǎng)絡(luò)技術(shù)的發(fā)展,人類社會出現(xiàn)了巨大的變化��。人與人之間可以更便捷地進(jìn)行溝通�,信息的交換也越來越頻繁。然而當(dāng)前只有在人為干預(yù)的情況下����,計算機或其他ー些智能終端才具備聯(lián)網(wǎng)和通信的能力,眾多普通的MTC終端幾乎不具備主動聯(lián)網(wǎng)和通信能力����。為了讓這些普通的MTC終端具備主動的聯(lián)網(wǎng)和通信能力,以便讓通信網(wǎng)絡(luò)技術(shù)更好地為社會生活提供服務(wù)和保障��,使城市變得智能化��,M2M通信的概念被引入到通信網(wǎng)絡(luò)技術(shù)中。M2M通信的目標(biāo)就是使所有MTC終端都具備聯(lián)網(wǎng)和通信能力�,從而實現(xiàn)機器與機器、機器與人�、人與機器之間的信息交換。 在M2M系統(tǒng)中將部署大量的MTC終端��,其中絕大部分為低移動性的MTC終端�����。通常ー個MTC應(yīng)用會有多個MTC終端參與通信��,這些MTC終端一起成為MTC組的一部分�����。屬于同一個MTC組的MTC終端可能在同一個地點�,或者有相同的MTC特性���,又或者屬于同一個MTC用戶�����,這些都可以靈活的作為分組的依據(jù)����,而且,組內(nèi)的各個MTC終端對于網(wǎng)絡(luò)都是可見的�����。對于同一個組內(nèi)的MTC終端�����,可能需要獨立地和網(wǎng)絡(luò)進(jìn)行通信���,因此各個MTC終端的獨立的會話密鑰也是必須的����。另外�����,由于計費�、擁塞控制等原因,如果沒有安全機制進(jìn)行保護(hù)的話��,攻擊者可以偽裝成屬于特定MTC組的MTC終端來獲取或者發(fā)送信息�����。因此要求M2M系統(tǒng)能夠唯一地識別MTC組,并且具備驗證MTC終端是否為MTC組內(nèi)的ー個合法成員的能力?����,F(xiàn)有第二代(2G)和第三代(3G)移動網(wǎng)絡(luò)系統(tǒng)的安全機制主要有認(rèn)證和加密等�。認(rèn)證,即識別對方身份合法性的過程�。下面簡述全球移動通信系統(tǒng)(Universal MobileTelecommunication System, UMTS)的認(rèn)證和密鑰協(xié)商機制(Authentication and KeyAgreement,AKA)認(rèn)證過程。需要說明的是在演進(jìn)分組系統(tǒng)(Evolved Packet System,EPS)中AKA認(rèn)證過程和UMTS系統(tǒng)并無本質(zhì)區(qū)別�����。UMTS的AKA認(rèn)證是基于存儲在歸屬位置寄存器(Home Location Register,HLR)和內(nèi)置在終端的全球用戶識別(Universal SubscriberIdentity Module, USIM)卡中的根密鑰K進(jìn)行認(rèn)證��。圖I為現(xiàn)有UMTS����、EPS等系統(tǒng)中的現(xiàn)有認(rèn)證技術(shù)和流程示意圖��,如圖I所示�,其認(rèn)證過程如下步驟101,終端向通用分組無線服務(wù)(General Packet Radio Service, GPRS)的服務(wù)支持節(jié)點/拜訪位置寄存器(Serving GPRS Support Node/Visitors LocationRegister, SGSN/VLR)發(fā)出接入請求;步驟102���,SGSN/VLR根據(jù)終端標(biāo)識向HLR/認(rèn)證中心(AuC)發(fā)起認(rèn)證請求���;步驟103�����,HLR/AuC生成多組認(rèn)證向量���;具體的,姆組認(rèn)證向量有認(rèn)證向量五元組組成隨機數(shù)(RAND)��、期望響應(yīng)(XRES)�、認(rèn)證令牌(AUTN)、機密性密鑰(CK)���、完整性密鑰(IK)�����。
步驟104, HLR/AuC將生成的認(rèn)證向量五元組發(fā)送給請求認(rèn)證的SGSN/VLR �����;步驟105�,SGSN/VLR接收并保存從HLR/AuC發(fā)送的多組認(rèn)證向量五元組;步驟106��,SGSN/VLR從該多組認(rèn)證向量中選擇ー組�,將其中的RAND、AUTN發(fā)送至接入請求的終端���;步驟107�,終端中US頂卡檢查AUTN可否接受�,如可以接受則執(zhí)行步驟108 ;具體的�,所述檢查AUTN可否接受,例如AUTN是否由有效的認(rèn)證令牌組成�。終端接收SGSN/VLR的認(rèn)證消息,首先計算認(rèn)證消息中的消息認(rèn)證碼XMAC��,并將XMAC與AUTN中·的MAC進(jìn)行比較���,如果不同,則拒絕認(rèn)證����,并放棄認(rèn)證過程;如果相同���,則終端驗證接收到的序列號SQN是否在有效范圍內(nèi)����,若不在有效范圍內(nèi),則向SGSN/VLR發(fā)送同步失敗消息���,并放棄認(rèn)證過程���,如果XMAC與AUTN中的MAC相同、且驗證SQN在有效范圍內(nèi)��,執(zhí)行步驟108�。步驟108,終端計算出響應(yīng)值RES�,并發(fā)送給SGSN/VLR ;SGSN/VLR比較終端發(fā)送的RES和HLR/AuC發(fā)送的XRES是否一致����,如果一致,則認(rèn)證通過���,否則認(rèn)證失?���。辉谡J(rèn)證通過的情況下����,終端的USIM卡同時計算出IK和CK,用于后續(xù)數(shù)據(jù)發(fā)送時的機密性和完整性保護(hù)��。這樣完成了終端和網(wǎng)絡(luò)之間安全信道的建立?���,F(xiàn)有移動網(wǎng)絡(luò)都是為人與人(human-to-human)設(shè)計的,對于機器與機器�����、機器與人����、人與機器之間的通信并非最佳。隨著M2M技術(shù)的發(fā)展�,終端數(shù)量將呈現(xiàn)極大的增長���,據(jù)估計�����,將至少比human-to-human通訊的終端高兩個數(shù)量級�����,由此而產(chǎn)生的信令����、數(shù)據(jù)對現(xiàn)有移動網(wǎng)絡(luò)將產(chǎn)生極大的沖擊。如果每個終端都単獨地執(zhí)行認(rèn)證�,那么網(wǎng)絡(luò)由于認(rèn)證所承載的信令負(fù)荷也會隨著終端數(shù)量的增長而成幾何級數(shù)的增長,甚至導(dǎo)致網(wǎng)絡(luò)擁塞�����,進(jìn)而影響到網(wǎng)絡(luò)的服務(wù)質(zhì)量和用戶的業(yè)務(wù)體驗����。為了解決上述問題,優(yōu)選的方案是進(jìn)行組認(rèn)證����。在第三代合作伙伴計劃(3rdGeneration Partnership Project, 3GPP)標(biāo)準(zhǔn)組織中,針對組認(rèn)證的安全威脅和需求����,出現(xiàn)過以下兩種技術(shù)方案��。I�����、基于 MTC 增強(Enhancement for MTC, MTCe)場景中的 MTC 終端網(wǎng)關(guān)(MTCGateway Device)進(jìn)行組認(rèn)證,提出認(rèn)證分為兩個部分第一部分是MTC Gateway Device和核心網(wǎng)(Core Network,CN)之間的雙向認(rèn)證,例如,AKA認(rèn)證����。第二部分是MTC GatewayDevice 和 MTC Device 之間的雙向認(rèn)證,MTC Gateway Device 再向 CN通告它和 MTC Device的認(rèn)證結(jié)果�����。具體的�����,如果兩部分認(rèn)證都通過��,則認(rèn)為MTC Device和CN之間認(rèn)證成功通過�,并提出基于MTC Gateway Device和CN之間協(xié)商的密鑰來生成不同的會話密鑰給MTCDevices。方案I中添加了 Editor Note :即針對不同的會話密鑰還需要深入研究���。2、基于MTC代理(MTC Delegate)的組認(rèn)證,提出組內(nèi)的MTC Devices至少有ー個相同的屬性����,CN獨立存儲組內(nèi)成員的身份;組內(nèi)的MTC Devices之間通過私有協(xié)議通信��,可以不在3GPP范圍內(nèi)�����。組內(nèi)所有的MTC Devices轉(zhuǎn)發(fā)密鑰材料給MTC Delegate, MTCDelegate計算組密鑰��,并代替所有的MTC Devices和CN進(jìn)行認(rèn)證��。進(jìn)一步的MTC Delegate可變����。針對上述兩個方案同樣還存在ー些缺陷。針對方案1��,其中只涉及方案的概要描述���,不涉及方案細(xì)節(jié)�����,并且MTC Gateway Device派生MTC Device和CN之間的會話密鑰��,并發(fā)送給MTC Device和CN,這樣不能保證終端和CN之間端到端的安全���。同時MTC GatewayDevice可能屬于不同的運營商��,如果MTC Device和MTC Gateway Device之間是非3GPP網(wǎng)絡(luò)�����,那么認(rèn)證方法超出了 3GPP研究范圍�����。針對方案2�,其中仍然存在太多的未知因素���。方案2的優(yōu)點在于MTC Device不需要知道Kg就可以完成組認(rèn)證����。缺點在于Ki從哪里來的并未規(guī)定�,CN如何知道Ki也未作規(guī)定,并且該方案中的每次組認(rèn)證僅限于在線的MTC Device���,如果有攻擊者惡意對MTCDevice頻繁干擾����,導(dǎo)致其不停的進(jìn)入組���、退出組等�����,將對系統(tǒng)產(chǎn)生嚴(yán)重影響���,此外,如果有ー個MTC Device由于未知原因發(fā)送了錯誤的Ki�,那么將導(dǎo)致整個密鑰材料的推導(dǎo)失敗,且MTC Delegate無法知道是哪個MTC Device導(dǎo)致的失敗��。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的主要目的在于提供ー種M2M通信中組認(rèn)證的方法和系統(tǒng),能夠減輕由于MTC終端單獨認(rèn)證而帶來的大量信令負(fù)荷����,并解決上述可能存在的安全威脅�����,滿足相應(yīng)的安全需求��。為達(dá)到上述目的��,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的 本發(fā)明提供了ー種M2M通信中組認(rèn)證的方法�,所述方法包括機器類通信(MTC)終端網(wǎng)關(guān)和核心網(wǎng)(CN)進(jìn)行雙向認(rèn)證�,并計算密鑰材料;MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證�,認(rèn)證通過后向MTC終端發(fā)送密鑰材料,并通知CN所述通過認(rèn)證的MTC終端�;MTC終端根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰,同吋�,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰。其中����,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證之前,還包括所述MTC終端網(wǎng)關(guān)覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC終端簽約為同一個MTC組����。其中,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證���,包括MTC終端網(wǎng)關(guān)向接入安全管理設(shè)備(ASME)發(fā)起接入請求;ASME根據(jù)接收到的請求��,向歸屬用戶服務(wù)器/歸屬位置寄存器(HSS/HLR)請求認(rèn)證向量��;HSS/HLR根據(jù)簽約數(shù)據(jù)生成認(rèn)證向量�,以及與該MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC終端根密鑰的哈希值,并返回給ASME進(jìn)行保存��;ASME和MTC終端網(wǎng)關(guān)利用認(rèn)證向量進(jìn)行認(rèn)證���,通過后計算密鑰材料并建立安全信道。 其中����,所述密鑰材料具體為由機密性密鑰和完整性密鑰計算得到的密鑰材料。其中����,所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證的過程中,還包括MTC終端網(wǎng)關(guān)判斷該MTC終端是否經(jīng)過認(rèn)證��,MTC終端網(wǎng)關(guān)自身是否存在密鑰材料��,如果該MTC終端沒有被認(rèn)證���,則所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證�����,通過后將密鑰材料發(fā)送給MTC終端����;如果已經(jīng)被認(rèn)證但不存在密鑰材料,則重新進(jìn)行MTC終端網(wǎng)關(guān)和CN的雙向認(rèn)證�����,計算密鑰材料并發(fā)送給MTC終端����;如果已認(rèn)證且存在密鑰材料,則直接向MTC終端發(fā)送密鑰材料���。其中�����,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的方法包括AKA認(rèn)證�;所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證包括根據(jù)Internet協(xié)議安全性(IPSec)、安全傳輸層協(xié)議(TLS)���、公鑰基礎(chǔ)設(shè)施(PKI)證書或者本地接入技術(shù)進(jìn)行雙向認(rèn)證��。本發(fā)明還提供了ー種M2M通信中組認(rèn)證的系統(tǒng)�����,所述系統(tǒng)包括MTC終端網(wǎng)關(guān)�、CN和MTC終端��,其中�����,所述MTC終端網(wǎng)關(guān)���,用于和CN進(jìn)行雙向認(rèn)證,并計算密鑰材料�����,和MTC終端進(jìn)行雙向認(rèn)證�����,認(rèn)證通過后向MTC終端發(fā)送密鑰材料,并通知CN所述通過認(rèn)證的MTC終端�����;所述CN�,用于根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰;所述MTC終端����,用于接收到的根據(jù)密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰。
其中���,所述MTC終端網(wǎng)關(guān)�����,還用于將其自身覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC終端簽約為同一個MTC組����。其中�,所述CN中還包括ASME和HSS/HLR,其中�����,所述ASME,用于在所述MTC終端網(wǎng)關(guān)和CN雙向認(rèn)證過程中���,從HSS/HLR中獲取所述MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC終端根密鑰的哈希值���,保存在所述ASME中。其中��,所述MTC終端網(wǎng)關(guān)�,還用于在和MTC終端進(jìn)行雙向認(rèn)證的過程中,判斷該MTC終端是否經(jīng)過認(rèn)證�����,MTC終端網(wǎng)關(guān)自身是否存在密鑰材料���,如果該MTC終端沒有被認(rèn)證,則所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證����,通過后將密鑰材料發(fā)送給MTC終端;如果已經(jīng)被認(rèn)證但不存在密鑰材料�,則重新進(jìn)行MTC終端網(wǎng)關(guān)和CN的雙向認(rèn)證,計算密鑰材料并發(fā)送給MTC終端;如果已認(rèn)證且存在密鑰材料�,則直接向MTC終端發(fā)送密鑰材料。本發(fā)明所提供的M2M通信中組認(rèn)證的方法和系統(tǒng)��,MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證��,并計算密鑰材料��;MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證���,認(rèn)證通過后向MTC終端發(fā)送密鑰材料�,并通知CN所述通過認(rèn)證的MTC終端���;MTC終端根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰���,同吋,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰���。這樣不需要同組的所有的MTC終端都分別與CN進(jìn)行認(rèn)證�,將極大地減輕MTC終端和核心網(wǎng)之間的信令負(fù)荷��,提高M(jìn)TC終端接入的認(rèn)證效率����。同吋��,MTC終端和CN各自分別利用密鑰材料和MTC終端根密鑰的哈希值生成通信密鑰����,避免了由MTC終端網(wǎng)關(guān)派生會話密鑰發(fā)送給MTC終端和CN����,保證了終端和CN之間端到端的安全。
圖I為現(xiàn)有UMTS�、EPS等系統(tǒng)中的現(xiàn)有認(rèn)證技術(shù)和流程示意圖;圖2為本發(fā)明所涉及的網(wǎng)元架構(gòu)示意圖���;圖3為本發(fā)明ー種M2M通信中組認(rèn)證的方法流程示意圖�;圖4為本發(fā)明MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的流程示意圖��;圖5為本發(fā)明MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證的流程示意圖����;圖6為本發(fā)明ー種M2M通信中組認(rèn)證的系統(tǒng)結(jié)構(gòu)示意圖�����。
具體實施例方式本發(fā)明的基本思想是MTC終端網(wǎng)關(guān)和核心網(wǎng)(CN)進(jìn)行雙向認(rèn)證,并計算密鑰材料��;MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證�,認(rèn)證通過后向MTC終端發(fā)送密鑰材料,并通知CN所述通過認(rèn)證的MTC終端����;MTC終端根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰,同吋���,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰���。下面結(jié)合附圖和具體實施例對本發(fā)明的技術(shù)方案進(jìn)ー步詳細(xì)闡述。為了更好的理解本發(fā)明��,首先介紹ー下本發(fā)明所涉及的網(wǎng)元架構(gòu)�。圖2為本發(fā)明所涉及的網(wǎng)元架構(gòu)示意圖,如圖2所示��,所述架構(gòu)包括MTC終端(MTC Devicei) 201�,其連接MTC終端網(wǎng)關(guān)202 ;MTC終端網(wǎng)關(guān)202連接了 M2M系統(tǒng)中的接入安全管理設(shè)備(ASME) 203 ;ASME203則連接了歸屬用戶服務(wù)器/歸屬位置寄存器(HSS/HLR)204���。其中��,ASME203和HSS/HLR204同屬于核心網(wǎng)側(cè)�����。
圖3為本發(fā)明ー種M2M通信中組認(rèn)證的方法流程示意圖����,如圖3所示,所述方法包括步驟301���,MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證����,并計算密鑰材料�����;具體的�����,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的方法包括AKA認(rèn)證����。所述密鑰材料具體為由機密性密鑰CK和完整性密鑰IK計算得到的密鑰材料。其中����,所述密鑰材料Kg = CKl IIK,具體的計算方法和過程采用現(xiàn)有技木����,這里不再贅述。進(jìn)ー步的�����,所述步驟301之前���,還包括所述MTC終端網(wǎng)關(guān)覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC Devices簽約為同一個MTC組���。進(jìn)ー步的,所述雙向認(rèn)證過程中��,還包括-J人HSS/HLR中獲取所述MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC Device根密鑰的哈希值�����,保存在接入安全管理設(shè)備(ASME)中���;其中���,所述MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC Device根密鑰的哈希值具體為所述MTC終端網(wǎng)關(guān)覆蓋下同一個MTC組的所有MTC Device根密鑰的哈希值�����。所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證具體包括MTC終端網(wǎng)關(guān)向ASME發(fā)起接入請求���;ASME根據(jù)接收到的請求,向HSS/HLR請求認(rèn)證向量�����;HSS/HLR根據(jù)簽約數(shù)據(jù)生成認(rèn)證
向量AV(1......η),以及與該MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC Device根密鑰的哈希值���,并返回
給ASME進(jìn)行保存����;ASME和MTC終端網(wǎng)關(guān)利用認(rèn)證向量進(jìn)行認(rèn)證����,通過后計算密鑰材料并建立安全信道。其中,所述建立安全信道具體是指=ASME選擇和MTC終端網(wǎng)關(guān)相對應(yīng)的機密性密鑰CK和完整性密鑰IK����,用于隨后通信的機密性和完整性保護(hù)。步驟302��,MTC終端網(wǎng)關(guān)和MTC Device進(jìn)行雙向認(rèn)證��,認(rèn)證通過后向MTC Device發(fā)送密鑰材料�����,并通知CN所述通過認(rèn)證的MTC Device �;具體的,所述MTC終端網(wǎng)關(guān)和MTC Device進(jìn)行雙向認(rèn)證包括根據(jù)Internet協(xié)議安全性(IPSec)���、安全傳輸層協(xié)議(TLS)��、公鑰基礎(chǔ)設(shè)施(PKI)證書或者本地接入技術(shù)進(jìn)行雙向認(rèn)證�����。所述MTC終端網(wǎng)關(guān)和MTC Device進(jìn)行雙向認(rèn)證的過程中���,還包括MTC終端網(wǎng)關(guān)判斷該MTC Device是否經(jīng)過認(rèn)證,MTC終端網(wǎng)關(guān)自身是否存在密鑰材料Kg,如果該MTCDevice沒有被認(rèn)證�,則所述MTC終端網(wǎng)關(guān)和MTC Device進(jìn)行雙向認(rèn)證,通過后將密鑰材料發(fā)送給MTC Device ;如果已經(jīng)被認(rèn)證但不存在密鑰材料Kg���,則返回步驟301�����,重新進(jìn)行MTC終端網(wǎng)關(guān)和CN的雙向認(rèn)證�,計算密鑰材料并發(fā)送給MTC終端�;如果已認(rèn)證且存在密鑰材料Kg,則直接向MTC Device發(fā)送密鑰材料�。
步驟303,MTC Device根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰�����,同吋��,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC Device的根密鑰的哈希值生成認(rèn)證后的通信密鑰���。具體的���,所述MTC Device根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰具體為MTC Device根據(jù)接收到的密鑰材料Kg以及自身根密鑰的哈希值,生成對應(yīng)自身的機密性密鑰CKi和完整性密鑰IKi,用于隨后的機密性和完整性保護(hù)��。所述CN根據(jù)密鑰材料和所述通過認(rèn)證的MIODevice的根密鑰的哈希值生成認(rèn)證后的通信密鑰具體為CN中的ASME接收到MTC終端網(wǎng)關(guān)通告的通過認(rèn)證的MTC Device的身份后���,根據(jù)密鑰材料Kg以及該MTC Device對應(yīng)的根密鑰的哈希值�,生成機密性密鑰CKi和完整性密鑰IKi�����,用于隨后的機密性和完整性保護(hù)����。需要說明的是CN中計算密鑰材料的機密性密鑰CK和完整性密鑰IK����,是在步驟301中MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的過程中,從HSS/HLR中獲取的�。·圖4為本發(fā)明MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的流程示意圖�����,如圖4所示��,所述認(rèn)證包括以下步驟步驟401, MTC終端網(wǎng)關(guān)(MTC Gateway Device)向ASME發(fā)起接入請求;具體的���,所述接入請求中包含MTC Gateway Device的身份標(biāo)識��。步驟402��,ASME根據(jù)接收到的請求�����,向HSS/HLR請求認(rèn)證向量��;步驟403, HSS/HLR 檢查 MTC Gateway Device 簽約數(shù)據(jù)��,確認(rèn)該 MTC Gateway
Device是簽約為ー組MTC Device的代理��,則生成認(rèn)證向量AV(1......η)����,以及與該MTC
Gateway Device相關(guān)聯(lián)的MTC Device根密鑰的哈希值��;步驟404�����,HSS/HLR向ASME發(fā)送認(rèn)證數(shù)據(jù)響應(yīng)消息;具體的�,響應(yīng)消息中包含步驟403中上述認(rèn)證向量,以及MTC Device根密鑰的哈希值�����。步驟405���,ASME保存從HSS/HLR發(fā)送過來的認(rèn)證向量��,以及MTC Device根密鑰的哈希值����;步驟406, ASME向MTC Gateway Device發(fā)起認(rèn)證請求,請求消息中攜帶隨機數(shù)Rand��,鑒權(quán)令牌AUTN �����;步驟407,MTC Gateway Device根據(jù)隨機數(shù)Rand和鑒權(quán)令牌AUTN認(rèn)證網(wǎng)絡(luò)�����,計算認(rèn)證響應(yīng)RES��,以及機密性密鑰CK�����,完整性密鑰IK �����;步驟408, MTC Gateway Device 向 ASME 返回認(rèn)證響應(yīng) RES �;步驟409,ASME驗證RES和XRES是否一致���。如果一致��,則認(rèn)證通過���,選擇相應(yīng)的機密性密鑰CK和完整性密鑰IK,用于隨后的計算密鑰材料�,進(jìn)而實現(xiàn)機密性和完整性保護(hù);如果不一致,則認(rèn)證失?��?����;步驟410��,MTC Gateway Device和網(wǎng)絡(luò)之間建立安全信道����。步驟411,MTC Gateway Device根據(jù)機密性密鑰CK和完整性密鑰IK���,計算該組的密鑰材料Kg�,Kg = CK11IK,具體的計算方法和過程采用現(xiàn)有技木�����,這里不再贅述����;步驟412�����,ASME根據(jù)MTC Gateway Device的機密性密鑰CK和完整性密鑰IK�����,計算該組的密鑰材料Kg,Kg = CKl IIK��,具體的計算方法和過程采用現(xiàn)有技木��,這里不再贅述���。圖5為本發(fā)明MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證的流程示意圖�����,如圖5所示�,所述流程包括以下步驟步驟501, MTC Device向MTC Gateway Device發(fā)起接入請求,請求中包含該MTCDevice的身份標(biāo)識�;步驟502, MTC Gateway Device 判斷該 MTC Device 是否經(jīng)過認(rèn)證,MTC GatewayDevice自身是否存在密鑰材料Kg�,如果該MTC Device沒有被認(rèn)證,則執(zhí)行步驟503�,如果已經(jīng)被認(rèn)證但不存在密鑰材料Kg,則執(zhí)行步驟504重新建立MTC Gateway Device和CN之間的安全信道���,如果已認(rèn)證且存在密鑰材料Kg�����,則執(zhí)行步驟505 ����;步驟503, MTC Gateway Device和MTC Device之間進(jìn)行雙向認(rèn)證,并建立安全信道;具體的��,所述雙向認(rèn)證具體為通過IPSec��、TLS�、PKI證書或者本地接入技術(shù)等進(jìn)行雙向認(rèn)證。 進(jìn)一步的���,執(zhí)行完步驟503, MTC Gateway Device和MTC Device之間進(jìn)行雙向認(rèn)證���,并建立安全信道后,如果MTC Gateway Device中不存在密鑰材料Kg��,則執(zhí)行步驟504 ;如果MTC Gateway Device中已經(jīng)存在密鑰材料Kg���,則跳過步驟504���,執(zhí)行步驟505��。步驟504����,MTC Gateway Device和CN之間建立安全信道����;步驟505, MTC Gateway Device向MTC Device發(fā)送接入響應(yīng)�����,響應(yīng)消息中包含密鑰材料Kg,以及密鑰材料Kg的生命周期key lifetime �����;步驟506,同時,MTC Gateway Device向ASME通告該MTC Device的身份標(biāo)識(如���,Device ID),標(biāo)明該MTC Device通過組內(nèi)認(rèn)證�����;步驟507���,MTC Device根據(jù)接收到的密鑰材料Kg以及自身根密鑰的哈希值,生成機密性密鑰CKi和完整性密鑰IKi��,用于隨后的機密性和完整性保護(hù);步驟508, ASME接收到MTC Gateway Device通告的該MTC Device的身份后�,根據(jù)Kg以及該MTC Device對應(yīng)的根密鑰的哈希值,生成機密性密鑰CKi和完整性密鑰IKi��,用于隨后的機密性和完整性保護(hù)����;步驟509 MTC Device和核心網(wǎng)中ASME基于上述的機密性密鑰CKi和完整性密鑰IKi建立安全信道。圖6為本發(fā)明ー種M2M通信中組認(rèn)證的系統(tǒng)結(jié)構(gòu)示意圖�����,如圖6所示���,所述系統(tǒng)包括MTC終端網(wǎng)關(guān)61�����、CN62和MTC終端63�����,其中����,所述MTC終端網(wǎng)關(guān)61,用于和CN62進(jìn)行雙向認(rèn)證��,并計算密鑰材料����,和MTC終端63進(jìn)行雙向認(rèn)證�,認(rèn)證通過后向MTC終端63發(fā)送密鑰材料,并通知CN62所述通過認(rèn)證的MTC終立而63 ��;具體的��,所述MTC終端網(wǎng)關(guān)61和CN62進(jìn)行雙向認(rèn)證的方法包括AKA認(rèn)證���。所述密鑰材料具體為由機密性密鑰CK和完整性密鑰IK計算得到的密鑰材料�����。其中�����,所述密鑰材料Kg = CKl IIK��,具體的計算方法和過程采用現(xiàn)有技木�,這里不再贅述。所述MTC終端網(wǎng)關(guān)61和MTC終端63進(jìn)行雙向認(rèn)證包括根據(jù)IPSec���、TLS��、PKI證書或者本地接入技術(shù)等進(jìn)行雙向認(rèn)證�。進(jìn)ー步的���,所述MTC終端網(wǎng)關(guān)61�����,還用于將其自身覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC終端簽約為同一個MTC組���。進(jìn)ー步的,所述MTC終端網(wǎng)關(guān)61�����,還用于在和MTC終端63進(jìn)行雙向認(rèn)證的過程中��,判斷該MTC終端63是否經(jīng)過認(rèn)證���,MTC終端網(wǎng)關(guān)61自身是否存在密鑰材料Kg��,如果該MTC終端63沒有被認(rèn)證���,則所述MTC終端網(wǎng)關(guān)61和MTC終端63進(jìn)行雙向認(rèn)證���,通過后將密鑰材料發(fā)送給MTC終端63�,如果已經(jīng)被認(rèn)證但不存在密鑰材料Kg,則重新進(jìn)行MTC終端網(wǎng)關(guān)61和CN62的雙向認(rèn)證�����,計算密鑰材料并發(fā)送給MTC終端63 ;如果已認(rèn)證且存在密鑰材料Kg�,則直接向MTC終端63發(fā)送密鑰材料。所述CN62�,用于根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端63的根密鑰的哈希值生成認(rèn)證后的通信密鑰;進(jìn)ー步的��,所述CN62中還包括ASME64和HSS/HLR65��,其中����,所述ASME64,用于在所述MTC終端網(wǎng)關(guān)61和CN62雙向認(rèn)證過程中����,從HSS/HLR65中獲取所述MTC終端網(wǎng)關(guān)61相關(guān)聯(lián)的MTC終端63根密鑰的哈希值���,保存在所述ASME64中。具體的��,所述MTC終端網(wǎng)關(guān)61相關(guān)聯(lián)的MTC終端63根密鑰的哈希值具體為所述·MTC終端網(wǎng)關(guān)61覆蓋下同一個MTC組的所有MTC終端63根密鑰的哈希值��。所述MTC終端網(wǎng)關(guān)61和CN62進(jìn)行雙向認(rèn)證具體包括MTC終端網(wǎng)關(guān)61向ASME64發(fā)起接入請求����;ASME64根據(jù)接收到的請求,向HSS/HLR65請求認(rèn)證向量��;HSS/HLR65根據(jù)簽
約數(shù)據(jù)生成認(rèn)證向量AV (I......η),以及與該MTC終端網(wǎng)關(guān)61相關(guān)聯(lián)的MTC終端63根密
鑰的哈希值�����,并返回給ASME64進(jìn)行保存���;ASME64和MTC終端網(wǎng)關(guān)61利用認(rèn)證向量進(jìn)行認(rèn)證�,通過后計算密鑰材料Kg并建立安全信道��。其中�����,所述建立安全信道具體是指ASME64選擇和MTC終端網(wǎng)關(guān)61相對應(yīng)的機密性密鑰CK和完整性密鑰IK,用于隨后通信的機密性和完整性保護(hù)����。所述CN62根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端63的根密鑰的哈希值生成認(rèn)證后的通信密鑰具體為CN62中的ASME64接收到MTC終端網(wǎng)關(guān)61通告的通過認(rèn)證的MTC終端63的身份后,根據(jù)密鑰材料Kg以及該MTC終端63對應(yīng)的根密鑰的哈希值����,生成機密性密鑰CKi和完整性密鑰IKi�����,用于隨后的機密性和完整性保護(hù)����。所述MTC終端63,用于接收到的根據(jù)密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰���。具體的�,所述MTC終端63根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰具體為MTC終端63根據(jù)接收到的密鑰材料Kg以及自身根密鑰的哈希值��,生成對應(yīng)自身的機密性密鑰CKi和完整性密鑰IKi�����,用于隨后的機密性和完整性保護(hù)。以上所述�,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種機器到機器(M2M)通信中組認(rèn)證的方法�����,其特征在于�,所述方法包括 機器類通信(MTC)終端網(wǎng)關(guān)和核心網(wǎng)(CN)進(jìn)行雙向認(rèn)證,并計算密鑰材料���; MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證���,認(rèn)證通過后向MTC終端發(fā)送密鑰材料,并通知CN所述通過認(rèn)證的MTC終端���; MTC終端根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰�����,同吋�����,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰��。
2.根據(jù)權(quán)利要求I所述的方法�����,其特征在于��,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證之前��,還包括 所述MTC終端網(wǎng)關(guān)覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC終端簽約為同一個MTC組���。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于����,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證,包括 MTC終端網(wǎng)關(guān)向接入安全管理設(shè)備(ASME)發(fā)起接入請求;ASME根據(jù)接收到的請求���,向歸屬用戶服務(wù)器/歸屬位置寄存器(HSS/HLR)請求認(rèn)證向量����;HSS/HLR根據(jù)簽約數(shù)據(jù)生成認(rèn)證向量,以及與該MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC終端根密鑰的哈希值�,并返回給ASME進(jìn)行保存;ASME和MTC終端網(wǎng)關(guān)利用認(rèn)證向量進(jìn)行認(rèn)證�����,通過后計算密鑰材料并建立安全信道�����。
4.根據(jù)權(quán)利要求I或2所述的方法�����,其特征在于�,所述密鑰材料具體為由機密性密鑰和完整性密鑰計算得到的密鑰材料。
5.根據(jù)權(quán)利要求I或2所述的方法���,其特征在于�����,所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證的過程中��,還包括 MTC終端網(wǎng)關(guān)判斷該MTC終端是否經(jīng)過認(rèn)證���,MTC終端網(wǎng)關(guān)自身是否存在密鑰材料��,如果該MTC終端沒有被認(rèn)證����,則所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證���,通過后將密鑰材料發(fā)送給MTC終端���;如果已經(jīng)被認(rèn)證但不存在密鑰材料,則重新進(jìn)行MTC終端網(wǎng)關(guān)和CN的雙向認(rèn)證��,計算密鑰材料并發(fā)送給MTC終端�����;如果已認(rèn)證且存在密鑰材料���,則直接向MTC終端發(fā)送密鑰材料。
6.根據(jù)權(quán)利要求I或2所述的方法����,其特征在于�����,所述MTC終端網(wǎng)關(guān)和CN進(jìn)行雙向認(rèn)證的方法包括AKA認(rèn)證�; 所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證包括根據(jù)Internet協(xié)議安全性(IPSec)�、安全傳輸層協(xié)議(TLS)、公鑰基礎(chǔ)設(shè)施(PKI)證書或者本地接入技術(shù)進(jìn)行雙向認(rèn)證�����。
7.ー種M2M通信中組認(rèn)證的系統(tǒng)����,其特征在于,所述系統(tǒng)包括 MTC終端網(wǎng)關(guān)����、CN和MTC終端,其中��, 所述MTC終端網(wǎng)關(guān)�����,用于和CN進(jìn)行雙向認(rèn)證,并計算密鑰材料�,和MTC終端進(jìn)行雙向認(rèn)證,認(rèn)證通過后向MTC終端發(fā)送密鑰材料���,并通知CN所述通過認(rèn)證的MTC終端���; 所述CN,用于根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰���; 所述MTC終端���,用于接收到的根據(jù)密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于,所述MTC終端網(wǎng)關(guān)���,還用于將其自身覆蓋下同一個地點屬于同一個MTC用戶的低移動性MTC終端簽約為同一個MTC組����。
9.根據(jù)權(quán)利要求7或8所述的系統(tǒng)�����,其特征在于����,所述CN中還包括ASME和HSS/HLR,其中��, 所述ASME���,用于在所述MTC終端網(wǎng)關(guān)和CN雙向認(rèn)證過程中���,從HSS/HLR中獲取所述MTC終端網(wǎng)關(guān)相關(guān)聯(lián)的MTC終端根密鑰的哈希值,保存在所述ASME中���。
10.根據(jù)權(quán)利要求7或8所述的系統(tǒng)��,其特征在于����,所述MTC終端網(wǎng)關(guān)����,還用于在和MTC終端進(jìn)行雙向認(rèn)證的過程中����,判斷該MTC終端是否經(jīng)過認(rèn)證�����,MTC終端網(wǎng)關(guān)自身是否存在密鑰材料��,如果該MTC終端沒有被認(rèn)證����,則所述MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證,通過后將密鑰材料發(fā)送給MTC終端���;如果已經(jīng)被認(rèn)證但不存在密鑰材料��,則重新進(jìn)行MTC終端網(wǎng)關(guān)和CN的雙向認(rèn)證�����,計算密鑰材料并發(fā)送給MTC終端�;如果已認(rèn)證且存在密鑰材料�,則直接向MTC終端發(fā)送密鑰材料。
全文摘要
本發(fā)明公開了一種機器到機器(M2M)通信中組認(rèn)證的方法�����,機器類通信(MTC)終端網(wǎng)關(guān)和核心網(wǎng)(CN)進(jìn)行雙向認(rèn)證,并計算密鑰材料�����;MTC終端網(wǎng)關(guān)和MTC終端進(jìn)行雙向認(rèn)證�����,認(rèn)證通過后向MTC終端發(fā)送密鑰材料���,并通知CN所述通過認(rèn)證的MTC終端;MTC終端根據(jù)接收到的密鑰材料和自身根密鑰的哈希值生成認(rèn)證后的通信密鑰�����,同時����,CN根據(jù)密鑰材料和所述通過認(rèn)證的MTC終端的根密鑰的哈希值生成認(rèn)證后的通信密鑰。本發(fā)明還公開了一種M2M通信中組認(rèn)證的系統(tǒng)�,通過上述方法和系統(tǒng),極大地減輕MTC終端和CN之間的信令負(fù)荷�����,提高M(jìn)TC終端接入的認(rèn)證效率,并且保證了MTC終端和CN之間端到端的安全�����。
文檔編號H04L9/32GK102843233SQ201110167280
公開日2012年12月26日 申請日期2011年6月21日 優(yōu)先權(quán)日2011年6月21日
發(fā)明者夏正雪, 田甜 申請人:中興通訊股份有限公司