用于m2m環(huán)境中基于群組的服務(wù)引導(dǎo)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的方法。該方法包括以下步驟:執(zhí)行M2M設(shè)備群組的接入網(wǎng)注冊(cè)����,基于所述接入網(wǎng)的接入網(wǎng)證書來建立臨時(shí)會(huì)話密鑰,建立借助于所述臨時(shí)會(huì)話密鑰認(rèn)證的群組密鑰和/或個(gè)體密鑰���,以及在所述群組密鑰的保護(hù)下提供群組服務(wù)證書����。本發(fā)明還涉及用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的系統(tǒng)�。
【專利說明】用于M2M環(huán)境中基于群組的服務(wù)引導(dǎo)的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及用于機(jī)器對(duì)機(jī)器(M2M)環(huán)境中基于群組(group)的服務(wù)引導(dǎo)(bootstrap)的方法和系統(tǒng)。特別地�,本發(fā)明涉及用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程(procedure)期間提供群組服務(wù)證書(credential)的方法和系統(tǒng)。
【背景技術(shù)】
[0002]M2M指的是允許無線和有線系統(tǒng)與相同能力的其他設(shè)備進(jìn)行通信的技術(shù)����。M2M使用設(shè)備(諸如傳感器或儀表)來捕捉事件(諸如溫度、庫存水平(level)等)��,所述事件通過網(wǎng)絡(luò)(無線���、有線或混合)而被中繼到應(yīng)用(軟件程序)�,所述應(yīng)用將捕捉到的事件轉(zhuǎn)換成有意義的信息。
[0003]在M2M環(huán)境中�����,期望的是在設(shè)備引導(dǎo)和注冊(cè)過程期間向設(shè)備提供服務(wù)證書����。M2M服務(wù)弓I導(dǎo)提供永久M2M服務(wù)證書(標(biāo)識(shí)符、根密鑰等)��,所述永久M2M服務(wù)證書將被用于連接M2M服務(wù)層并向其注冊(cè)����。
[0004]歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)技術(shù)規(guī)范(ETSI TS) 102 690已根據(jù)M2M服務(wù)提供商與網(wǎng)絡(luò)提供商之間的業(yè)務(wù)關(guān)系標(biāo)準(zhǔn)化了 M2M服務(wù)引導(dǎo)的兩個(gè)方法:接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)和接入網(wǎng)無關(guān)的M2M服務(wù)引導(dǎo)�。ETSI TS 102 690標(biāo)準(zhǔn)化定義了 M2M提供和引導(dǎo)過程。其宣稱:“用于M2M設(shè)備和M2M網(wǎng)關(guān)的M2M服務(wù)引導(dǎo)和M2M服務(wù)注冊(cè)是這樣的機(jī)制�,藉此:向M2M設(shè)備(或M2M網(wǎng)關(guān))提供諸如永久標(biāo)識(shí)符和根密鑰之類的服務(wù)層證書”。
[0005]ETSI已定義了接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程的數(shù)個(gè)方法����,諸如基于通用引導(dǎo)架構(gòu)(GBA)的M2M服務(wù)引導(dǎo)過程、基于可擴(kuò)展認(rèn)證協(xié)議(EAP)的引導(dǎo)過程(其利用基于用戶身份模塊(SM) /認(rèn)證和密鑰協(xié)議(AKA)的證書的)�、利用基于EAP網(wǎng)絡(luò)接入認(rèn)證(ETSITS 102 690)的引導(dǎo)過程。GBA描述了根據(jù)第3代合作伙伴項(xiàng)目(3GPP) AKA機(jī)制來引導(dǎo)用于應(yīng)用安全的認(rèn)證和密鑰協(xié)商(agreement)的機(jī)制和安全特征����。3GPP認(rèn)證基礎(chǔ)設(shè)施(infrastructure)是3GPP運(yùn)營商的非常有價(jià)值的資產(chǎn),其包括3GPP認(rèn)證中心(AuC)���、通用用戶身份模塊(USM)或IP多媒體服務(wù)身份模塊(ISM)以及在它們之間運(yùn)行的3GPP AKA協(xié)議。已經(jīng)認(rèn)識(shí)到可以利用(leverage)此基礎(chǔ)設(shè)施以使得網(wǎng)絡(luò)中和用戶側(cè)的應(yīng)用功能能夠建立共享密鑰��。因此��,3GPP能提供“應(yīng)用安全的引導(dǎo)”以通過基于AKA協(xié)議來定義GBA而對(duì)用戶進(jìn)行認(rèn)證���。在3GPP TS 33.220中能找到該技術(shù)細(xì)節(jié)��。
[0006]然而����,當(dāng)前在ETSI中定義的方法全部都在個(gè)體(individual)水平中��。一個(gè)引導(dǎo)過程將僅僅供應(yīng)一個(gè)設(shè)備�����。它們中沒有一個(gè)考慮群組要求�����。如果存在具有相同M2M服務(wù)能力或運(yùn)行相同M2M應(yīng)用的大量M2M設(shè)備,則將存在大量引導(dǎo)過程�。并且所有引導(dǎo)過程提供相同的M2M服務(wù)證書。這是重復(fù)且低效的�����。更好的想法是在一個(gè)基于群組的引導(dǎo)過程中完成所有證書提供�。存在M2M設(shè)備被劃分成群組的情形。能為了控制���、管理或收費(fèi)便利等而將M2M設(shè)備編組在一起以滿足運(yùn)營商的需要��。該優(yōu)化可提供更容易的模式以在群組粒度(granularity)中對(duì)M2M設(shè)備進(jìn)行控制/更新/收費(fèi)����,這可減少冗余信令以避免擁塞�����。并且可以通過在M2M設(shè)備的數(shù)目很大時(shí)使用基于群組的優(yōu)化來節(jié)省網(wǎng)絡(luò)資源�����。
[0007]因特網(wǎng)工程任務(wù)組(IETF)已經(jīng)提出關(guān)于群組密鑰管理協(xié)議的一系列的文件(例如請(qǐng)求注解(RFC) 2093��、RFC 2094���、RFC 4046)�����。這些文件給出了如何管理諸如群組密鑰分發(fā)(distribut1n)����、群組密鑰重定密鑰(rekey)之類的群組密鑰問題的詳細(xì)報(bào)告����。然而,沒有一個(gè)協(xié)議考慮到M2M應(yīng)用的特性�����。它們可能由于M2M設(shè)備的能量���、計(jì)算限制或其他特定特征而在M2M環(huán)境中并不合適�。例如��,它們中的一些需要非對(duì)稱簽名系統(tǒng)的支持�����,這要求高計(jì)算能力并且還難以部署(RFC 2093,RFC 2094等)。它們中的一些需要特定群組控制或密鑰服務(wù)器(GCKS)以定義并實(shí)施群組成員資格����、密鑰管理及其他事件。在M2M環(huán)境中履行GCKS的功能的相應(yīng)技術(shù)方案并不存在��。
[0008]通過在服務(wù)層中利用接入網(wǎng)證書�����,其將再使用現(xiàn)有資源并降低部署成本���。并且通過引入群組架構(gòu)��,其將明顯地減少數(shù)據(jù)流���。因此,給出利用接入網(wǎng)輔助的基于群組的引導(dǎo)方法將是有價(jià)值的�。
【發(fā)明內(nèi)容】
[0009]為此��,本發(fā)明要解決的問題是如何在接入網(wǎng)的輔助下在群組水平針對(duì)M2M設(shè)備群組進(jìn)行服務(wù)引導(dǎo)��。
[0010]本發(fā)明提出了用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的方法。
[0011]本發(fā)明的方法包括以下步驟:
執(zhí)行M2M設(shè)備群組的接入網(wǎng)注冊(cè)�����,
基于所述接入網(wǎng)的接入網(wǎng)證書來建立臨時(shí)會(huì)話密鑰�,
建立借助于所述臨時(shí)會(huì)話密鑰來認(rèn)證的群組密鑰和/或個(gè)體密鑰,以及在所述群組密鑰的保護(hù)下提供群組服務(wù)證書�。
[0012]優(yōu)選地,在用于接入網(wǎng)證書提供的實(shí)現(xiàn)中使用通用引導(dǎo)架構(gòu)(GBA)過程��。
[0013]優(yōu)選地�,所述臨時(shí)會(huì)話密鑰是從GBA過程導(dǎo)出的且能夠是網(wǎng)絡(luò)應(yīng)用功能(NAF)特定的密鑰。
[0014]更優(yōu)選地����,在建立群組密鑰的步驟中使用NAF特定的密鑰來執(zhí)行超文本傳輸協(xié)議(HTTP)摘要(Digest)認(rèn)證。
[0015]根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,能通過群組密鑰協(xié)商過程來實(shí)現(xiàn)建立群組密鑰的步驟,其中能根據(jù)所有M2M設(shè)備的專用(private)數(shù)據(jù)來獲得群組密鑰�。能使用Burmester-Desmedt群組密鑰協(xié)商過程或經(jīng)修改的群組Diffie-Hellman協(xié)議N0.3(⑶H.3)群組密鑰協(xié)商過程來建立群組密鑰。在經(jīng)修改的GDH.3群組密鑰協(xié)商過程中����,M2M服務(wù)引導(dǎo)功能(MSBF)生成用于生成個(gè)體密鑰的新隨機(jī)值���。
[0016]在服務(wù)層中執(zhí)行群組密鑰協(xié)商過程。
[0017]根據(jù)本發(fā)明的另一優(yōu)選實(shí)施例����,能通過群組密鑰分發(fā)過程來實(shí)現(xiàn)建立群組密鑰的步驟,其中����,密鑰分發(fā)中心負(fù)責(zé)生成和分配一個(gè)或多個(gè)共享密鑰。
[0018]此外�,本發(fā)明提出了用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的系統(tǒng)。所述系統(tǒng)包括以下裝置:
用于執(zhí)行M2M設(shè)備群組的接入網(wǎng)注冊(cè)的裝置�,
用于基于所述接入網(wǎng)的接入網(wǎng)證書來建立臨時(shí)會(huì)話密鑰的裝置, 用于建立借助于所述臨時(shí)會(huì)話密鑰來認(rèn)證的群組密鑰和/或個(gè)體密鑰的裝置�����,以及用于在所述群組密鑰的保護(hù)下提供群組服務(wù)證書的裝置�����。
[0019]因此�����,與現(xiàn)有技術(shù)相比����,提出了基于群組的引導(dǎo)方法并向所有M2M設(shè)備/網(wǎng)關(guān)提供群組水平服務(wù)證書。引導(dǎo)策略是靈活的�����。在不同的情況下存在不同的選項(xiàng)(群組密鑰協(xié)商(GKA)對(duì)比群組密鑰分發(fā)(GKD)�、群組水平提供對(duì)比個(gè)體水平提供、涉及網(wǎng)關(guān)對(duì)比未涉及網(wǎng)關(guān)等)��。所提供服務(wù)證書的安全強(qiáng)度能獨(dú)立于接入網(wǎng)的安全強(qiáng)度���,這意味著其能夠比接入網(wǎng)的安全強(qiáng)度更強(qiáng)��??梢造`活地控制執(zhí)行流程���?���?梢詫2M網(wǎng)關(guān)配置成根據(jù)網(wǎng)絡(luò)狀態(tài)來控制過程,例如M2M網(wǎng)關(guān)能控制時(shí)間窗何時(shí)答復(fù)M2M設(shè)備。大多數(shù)通信可以在M2M網(wǎng)關(guān)后面�。其將不會(huì)在網(wǎng)絡(luò)側(cè)弓I起信令或數(shù)據(jù)業(yè)務(wù)擁擠。
[0020]因此��,通過實(shí)現(xiàn)由本發(fā)明提出的方法和系統(tǒng)�����,群組成員能安全地相互通信�����。并且��,M2M應(yīng)用服務(wù)器不需要使用對(duì)連接群組成員的局域網(wǎng)特定的方法來建立安全關(guān)聯(lián)(associat1n)����。
【專利附圖】
【附圖說明】
[0021]將參考以下附圖來更詳細(xì)地描述本發(fā)明,在附圖中:
圖1示出在本發(fā)明中使用的系統(tǒng)架構(gòu)�����;
圖2示出根據(jù)本發(fā)明的群組服務(wù)證書提供過程�����;
圖3示出根據(jù)本發(fā)明的第一實(shí)施例的群組服務(wù)證書提供過程;
圖4示出根據(jù)本發(fā)明的第二實(shí)施例的群組服務(wù)證書提供過程����;
圖5示出根據(jù)本發(fā)明的第三實(shí)施例的群組服務(wù)證書提供過程�����。
【具體實(shí)施方式】
[0022]在本發(fā)明中���,假定接入網(wǎng)提供商和M2M服務(wù)提供商共享業(yè)務(wù)關(guān)系��,或者接入網(wǎng)提供商提供M2M服務(wù)���。
[0023]圖1示出在M2M環(huán)境中使用的系統(tǒng)架構(gòu)。許多M2M設(shè)備和M2M網(wǎng)關(guān)被分配給群組���。通過M2M網(wǎng)關(guān)來實(shí)現(xiàn)M2M設(shè)備與核心網(wǎng)絡(luò)之間的所有通信��。M2M設(shè)備通過M2M區(qū)域網(wǎng)(WiF1�、ZigBee等)而被連接到M2M網(wǎng)關(guān)�。M2M網(wǎng)關(guān)可以是正常M2M設(shè)備,其也運(yùn)行M2M應(yīng)用或M2M服務(wù)能力�,類似于其他群組成員��,或者可以是特殊設(shè)備��。
[0024]本發(fā)明的核心思想是M2M服務(wù)和M2M設(shè)備/網(wǎng)關(guān)實(shí)現(xiàn)通過使用接入網(wǎng)證書來進(jìn)行認(rèn)證的群組密鑰建立�����,以建立共享群組秘密密鑰�。然后����,能用該秘密密鑰來保護(hù)群組服務(wù)證書提供過程。該過程在圖2中示出���。
[0025]如圖2中所示�,此類高水平過程包括以下步驟:
在步驟21中����,M2M設(shè)備/網(wǎng)關(guān)執(zhí)行接入網(wǎng)注冊(cè)。
[0026]在步驟22中���,網(wǎng)絡(luò)向M2M服務(wù)提供接入網(wǎng)證書�。就此而論�����,網(wǎng)絡(luò)提供商和M2M月艮務(wù)提供商應(yīng)具有業(yè)務(wù)關(guān)系。
[0027]在步驟23中����,M2M設(shè)備/網(wǎng)關(guān)和M2M服務(wù)基于接入網(wǎng)證書而在服務(wù)層中建立臨時(shí)會(huì)話密鑰。
[0028]在步驟24中�����,M2M服務(wù)和M2M設(shè)備/網(wǎng)關(guān)在服務(wù)層中執(zhí)行經(jīng)認(rèn)證的群組密鑰建立過程��。在過程結(jié)束時(shí)����,在所有參與者之中將存在共享群組密鑰���。并且在必要時(shí)�,在每個(gè)M2M設(shè)備/網(wǎng)關(guān)與服務(wù)之間可以存在共享個(gè)體秘密密鑰��。應(yīng)通過在步驟23中建立的臨時(shí)會(huì)話密鑰來保護(hù)每個(gè)消息��。應(yīng)根據(jù)特定使用情況來提供完整性或機(jī)密性��。
[0029]在步驟25中,服務(wù)和M2M設(shè)備/網(wǎng)關(guān)在步驟24中建立的群組密鑰的保護(hù)下實(shí)現(xiàn)群組服務(wù)證書提供過程�����。
[0030]群組密鑰建立(GKE)是將在各方的群組之中建立共享秘密的方法����。根據(jù)所采用的技術(shù),可以將GKE細(xì)分成兩個(gè)不同的機(jī)制:GKD和GKA����。
[0031]在GKD中,存在一些中央密鑰管理實(shí)體���,諸如密鑰分發(fā)中心(KDC)�,其負(fù)責(zé)生成并向?qū)Φ确椒峙湟粋€(gè)或多個(gè)共享密鑰�。在M2M環(huán)境中,M2M服務(wù)提供商能扮演密鑰分發(fā)中心的角色�。在圖2中的群組服務(wù)證書提供過程的步驟24中,M2M服務(wù)提供商能生成隨機(jī)密鑰并將其分配給所有M2M設(shè)備/網(wǎng)關(guān)�。容易進(jìn)行部署且?guī)缀鯖]有計(jì)算和通信成本。但是存在密鑰被暴露于接入網(wǎng)提供商的潛在風(fēng)險(xiǎn)�����。如果M2M服務(wù)提供商信任接入網(wǎng)提供商(它們共享業(yè)務(wù)關(guān)系等),則其能夠采用GKD方法���。在GKD中���,分發(fā)的密鑰的安全強(qiáng)度取決于接入網(wǎng)的安全強(qiáng)度。
[0032]在GKA中����,群組中的每個(gè)實(shí)體對(duì)共享密鑰的生成都有貢獻(xiàn)。群組密鑰可被視為采用所有實(shí)體的專用數(shù)據(jù)作為輸入的函數(shù)(funct1n)的輸出�。在GKA中,只有參與者能夠計(jì)算秘密密鑰���。如果僅在M2M服務(wù)和M2M設(shè)備/網(wǎng)關(guān)之中執(zhí)行GKA過程,則密鑰甚至對(duì)于接入網(wǎng)提供商而言也是秘密的����。如果M2M服務(wù)提供商不信任接入網(wǎng)提供商,則其能采用GKA方法���。此外���,GKA能獲得其安全強(qiáng)度強(qiáng)于接入網(wǎng)的安全強(qiáng)度的密鑰�。
[0033]在GKA方法中��,還由于M2M網(wǎng)關(guān)的角色而存在兩個(gè)選項(xiàng)����。
[0034]選項(xiàng)1:M2M網(wǎng)關(guān)參與群組密鑰協(xié)商過程。
[0035]選項(xiàng)ii:M2M網(wǎng)關(guān)不參與群組密鑰協(xié)商過程�。其僅扮演傳輸消息的角色。
[0036]由于服務(wù)證書的水平還存在兩個(gè)選項(xiàng)���。
[0037]選項(xiàng)a:僅提供群組水平服務(wù)證書�。
[0038]選項(xiàng)b:存在被提供的兩個(gè)水平的服務(wù)證書�。不僅群組水平服務(wù)證書,而且用于每個(gè)設(shè)備的個(gè)體水平服務(wù)證書也被提供�����。
[0039]GKD����、GKA、選項(xiàng)1���、ii和選項(xiàng)a�、b是從不同觀點(diǎn)看的分離選項(xiàng)。因此我們共有六個(gè)選項(xiàng):GKD & a,GKD & b���、GKA & i & a,GKA & i & b�、GKA & ii & a,GKA & ii & b�����。下面����,將詳細(xì)解釋它們中的三個(gè):GKD & a,GKA & i & a,GKA & ii & b?����?捎孟嗤募夹g(shù)來推導(dǎo)出其他三個(gè)選項(xiàng)��。
[0040]在本發(fā)明的第一優(yōu)選實(shí)施例中����,M2M服務(wù)生成群組密鑰并將其分配給所有M2M設(shè)備/網(wǎng)關(guān)�����。當(dāng)M2M設(shè)備在能量和計(jì)算能力方面非常有限并且接入網(wǎng)提供商得到服務(wù)提供商完全信任時(shí),能實(shí)現(xiàn)該實(shí)施例���。
[0041]首先����,接入網(wǎng)在網(wǎng)絡(luò)層中對(duì)M2M設(shè)備/網(wǎng)關(guān)進(jìn)行認(rèn)證��。并且然后�,根據(jù)M2M服務(wù)的請(qǐng)求,網(wǎng)絡(luò)向M2M服務(wù)提供接入網(wǎng)證書�����。M2M服務(wù)生成所需的群組密鑰并在接入網(wǎng)證書的保護(hù)下將其發(fā)送到M2M設(shè)備/網(wǎng)關(guān)�。然后M2M服務(wù)能在群組密鑰的保護(hù)下提供群組服務(wù)證書。此過程在圖3中示出����。
[0042]因此,該高水平過程由以下步驟組成:
步驟30是脫機(jī)(offline)步驟�����。向M2M服務(wù)提供商提供在M2M設(shè)備或M2M網(wǎng)關(guān)的3GPPTR23.888中定義的外部標(biāo)識(shí)符。外部標(biāo)識(shí)符能被映射到M2M節(jié)點(diǎn)ID����,并且還在接入網(wǎng)中被提供,使得其是弓I導(dǎo)服務(wù)器功能(BSF)本地可訪問的���。
[0043]在步驟31中���,在接入網(wǎng)成功地注冊(cè)之后,M2M設(shè)備/網(wǎng)關(guān)使用BSF從歸屬用戶系統(tǒng)(HSS)獲取的認(rèn)證矢量(AV)而對(duì)BSF執(zhí)行GBA引導(dǎo)過程�。BSF還從可包含M2M特定安全設(shè)置的HSS檢索GBA用戶安全設(shè)置(USS)。
[0044]在步驟32中���,NAF特定的密鑰能被用作臨時(shí)會(huì)話密鑰����,其從GBA導(dǎo)出���。此類NAF特定的密鑰能用來保護(hù)在M2M服務(wù)與M2M設(shè)備/網(wǎng)關(guān)之間交換的數(shù)據(jù)的真實(shí)性和完整性���。M2M設(shè)備/網(wǎng)關(guān)和M2M服務(wù)引導(dǎo)功能(MSBF) / NAF使用NAF特定的密鑰來執(zhí)行HTTP摘要認(rèn)證����。如果HTTP摘要認(rèn)證成功�,則群組中的M2M設(shè)備和網(wǎng)關(guān)的每個(gè)成員分別地與MSBF/NAF共享NAF特定的密鑰�。MSBF將促進(jìn)M2M設(shè)備(或M2M網(wǎng)關(guān))中的永久M2M服務(wù)層安全證書的引導(dǎo)和網(wǎng)絡(luò)域中的M2M服務(wù)能力。并且M2M認(rèn)證服務(wù)器(MAS)被用來存儲(chǔ)通過使用MSBF引導(dǎo)的永久安全證書����。
[0045]在步驟33中,M2M服務(wù)生成隨機(jī)密鑰作為群組密鑰�。并且然后M2M服務(wù)將群組密鑰單獨(dú)地發(fā)送給每個(gè)M2M設(shè)備/網(wǎng)關(guān)。應(yīng)利用在步驟33中建立的共享秘密來保護(hù)每個(gè)消肩���、O
[0046]在步驟34中��,M2M服務(wù)在群組密鑰的保護(hù)下向所有M2M設(shè)備/網(wǎng)關(guān)提供群組服務(wù)證書��。
[0047]此類實(shí)施例在通信方面比密鑰協(xié)商更加高效�,因?yàn)樵谌航M密鑰建立階段中在網(wǎng)絡(luò)上僅傳送N個(gè)消息�����,其中N是設(shè)備/網(wǎng)關(guān)的數(shù)目�����。并且然后,所有設(shè)備/網(wǎng)關(guān)將與服務(wù)共享群組密鑰�����。
[0048]此外�,由于設(shè)備在群組密鑰建立階段僅接收和解密(decrypt)消息,所以此類實(shí)施例要求較低的設(shè)備計(jì)算性能�。并且M2M設(shè)備不參與密鑰生成過程。
[0049]本發(fā)明的第二優(yōu)選實(shí)施例向M2M設(shè)備/網(wǎng)關(guān)提供群組水平服務(wù)證書�����。在以下情況下使用該實(shí)施例:M2M設(shè)備具有非對(duì)稱密碼(cryptography)的計(jì)算能力�。此外,M2M網(wǎng)關(guān)也是群組的成員且其也知道群組密鑰。服務(wù)提供商不完全信任接入網(wǎng)提供商���。
[0050]該實(shí)現(xiàn)方式首先使用GBA方法來向服務(wù)層提供接入網(wǎng)證書��,然后使用Burmester-Desmedt GKA方法來交換群組密鑰���。網(wǎng)關(guān)參與GKA過程。僅提供群組水平服務(wù)證書�����。此過程在圖4中示出。
[0051]圖4的高水平過程由以下步驟組成:
步驟40是脫機(jī)步驟�����。向M2M服務(wù)提供商提供在M2M設(shè)備或M2M網(wǎng)關(guān)的3GPP TR23.888中定義的外部標(biāo)識(shí)符����。外部標(biāo)識(shí)符能被映射到M2M節(jié)點(diǎn)ID�����,并且還在接入網(wǎng)中被提供����,使得其是BSF本地可訪問的。
[0052]在步驟41中�,在接入網(wǎng)成功地注冊(cè)之后,M2M設(shè)備/網(wǎng)關(guān)使用BSF從HSS獲取的認(rèn)證矢量(AV)而對(duì)BSF執(zhí)行GBA引導(dǎo)過程����。BSF還從可包含M2M特定安全設(shè)置的HSS檢索GBA用戶安全設(shè)置(USS)。
[0053]在步驟42中�,M2M設(shè)備/網(wǎng)關(guān)和MSBF/NAF使用NAF特定的密鑰來執(zhí)行HTTP摘要認(rèn)證。如果HTTP摘要認(rèn)證成功�,則群組中的M2M設(shè)備和網(wǎng)關(guān)的每個(gè)成員分別地與MSBF/NAF共享NAF特定的密鑰���。
[0054]在步驟43中,M2M服務(wù)�����、M2M設(shè)備和M2M網(wǎng)關(guān)執(zhí)行Burmester-Desmedt群組密鑰協(xié)商以建立群組密鑰���。在步驟42中建立的NAF特定的密鑰將被用于GKA過程的消息完整性保護(hù)�����。從I至n-2對(duì)M2M設(shè)備進(jìn)行預(yù)先編號(hào)�����。網(wǎng)關(guān)被預(yù)先編號(hào)為n_l����。
[0055]Burmester-Desmedt群組密鑰協(xié)商是在各方的群組之中交換密鑰的特定方法����。Burmester-Desmedt方法允許不具有相互的先驗(yàn)知識(shí)的各方的群組在不安全通信信道上聯(lián)合地建立共享秘密密鑰。可以將其視為Diffie-Hellman密鑰交換到群組環(huán)境的擴(kuò)展���,其允許不具有相互的先驗(yàn)知識(shí)的兩方在不安全通信信道上聯(lián)合地建立共享秘密密鑰�����。該技術(shù)細(xì)節(jié)可在M.Burmester和Y.Desmedt 1994年5月9-12日在意大利的佩魯賈(Perugia)的 Pre-proceedings of Eurocrypt'94, Scuola Super1re Guglielmo Reiss Romoli(SSGRR)的第 279-290 頁的 “A Secure and Efficient Conference Key Distribut1nSystem (安全且高效的會(huì)議密鑰分發(fā)系統(tǒng))”中找到。
[0056]在步驟44中�����,MSBF/NAF將用在步驟43中建立的群組密鑰保護(hù)的服務(wù)證書提供給M2M設(shè)備/網(wǎng)關(guān)和MAS���。
[0057]該實(shí)施例的優(yōu)點(diǎn)在于:群組密鑰從不在網(wǎng)絡(luò)上傳送��。其是所有群組成員的專用隨機(jī)數(shù)的函數(shù)����。網(wǎng)絡(luò)的竊聽者不能獲得群組密鑰�����。并且只有群組成員才知道群組密鑰���。在服務(wù)層上進(jìn)行群組密鑰協(xié)商協(xié)議���。網(wǎng)絡(luò)不參與該協(xié)議����,因此其將不會(huì)獲得群組密鑰���。大多數(shù)通信在網(wǎng)關(guān)后面�����。
[0058]本發(fā)明的第三優(yōu)選實(shí)施例向M2M設(shè)備/網(wǎng)關(guān)提供群組水平服務(wù)證書和個(gè)體水平服務(wù)證書��。該實(shí)施例能在M2M設(shè)備還具有非對(duì)稱密碼的計(jì)算能力的情況下使用��。還實(shí)現(xiàn)了群組服務(wù)引導(dǎo)和個(gè)體服務(wù)引導(dǎo)�����。網(wǎng)關(guān)是僅被用于消息傳輸?shù)奶厥庠O(shè)備���。其不知道群組密鑰或任何個(gè)體密鑰。并且服務(wù)提供商不完全信任接入網(wǎng)提供商�����。
[0059]該實(shí)施例首先使用GBA方法來向服務(wù)層提供接入網(wǎng)證書,然后使用經(jīng)修改的GDH.3 GKA方法來交換用于所有群組成員的群組密鑰和用于每個(gè)群組成員的個(gè)體密鑰��。網(wǎng)關(guān)不參與GKA過程�。圖5示出了 GKA & ii & b的過程。
[0060]圖5中所示的此高水平過程包括以下步驟:
步驟50是脫機(jī)步驟�。向M2M服務(wù)提供商提供在M2M設(shè)備或M2M網(wǎng)關(guān)的3GPP TR23.888中定義的外部標(biāo)識(shí)符。外部標(biāo)識(shí)符能被映射到M2M節(jié)點(diǎn)ID�,并且還在接入網(wǎng)中被提供,使得其是BSF本地可訪問的����。
[0061]在步驟51中��,在接入網(wǎng)成功地注冊(cè)之后�����,M2M設(shè)備/網(wǎng)關(guān)使用BSF從HSS獲取的認(rèn)證矢量(AV)而對(duì)BSF執(zhí)行GBA引導(dǎo)過程���。BSF還從可包含M2M特定安全設(shè)置的HSS檢索GBA用戶安全設(shè)置(USS)����。
[0062]在步驟52中,M2M設(shè)備/網(wǎng)關(guān)和MSBF/NAF使用NAF特定的密鑰來執(zhí)行HTTP摘要認(rèn)證���。如果HTTP摘要認(rèn)證成功����,則群組中的M2M設(shè)備和網(wǎng)關(guān)的每個(gè)成員分別地與MSBF/NAF共享NAF特定的密鑰���。
[0063]在步驟53中�����,M2M服務(wù)和M2M設(shè)備實(shí)施經(jīng)修改的⑶H.3群組密鑰協(xié)商以建立群組密鑰和用于每個(gè)M2M設(shè)備的個(gè)體密鑰�。GDH.3群組密鑰交換是在各方的群組之中交換密鑰的特定方法��。技術(shù)細(xì)節(jié)能在 Michael Steiner����、Gene Tsudik 和 Michael Waidner 1996年在美國紐約州紐約市的 ACM (ACM, New York, NY, USA)的 proceedings of the 3rdACM conference on computer and communicat1ns security (CCS’96)第 31-37 頁的“Diffie-Hellman key distribut1n extended to group communicat1n (擴(kuò)展至丨J群組通信的Diffie-Hellman密鑰分布)”中找到。
[0064]詳細(xì)執(zhí)行步驟如下:
MSBF生成被用于生成個(gè)體密鑰的新隨機(jī)值gs����。從I至η-1對(duì)M2M設(shè)備進(jìn)行預(yù)先編號(hào)。
[0065]I)第一 M2M設(shè)備Dl生成隨機(jī)值r7并向M2M網(wǎng)關(guān)發(fā)送群組根密鑰請(qǐng)求和/7�����。M2M網(wǎng)關(guān)將Z7轉(zhuǎn)送至第二 M2M設(shè)備D2。
[0066]2)第二 M2M設(shè)備D2生成隨機(jī)值rJ?值并計(jì)算/7 r2且然后將其發(fā)送到M2M網(wǎng)關(guān)��。M2M網(wǎng)關(guān)將grl r2轉(zhuǎn)送至第三M2M設(shè)備D3��。
[0067]......η-1)第η-1個(gè)M2M設(shè)備Dn-1生成隨機(jī)值ra-7值并計(jì)算/7 r2…rt^1且將其發(fā)送到M2M網(wǎng)關(guān)��。M2M網(wǎng)關(guān)將grl r^rn-1轉(zhuǎn)送至所有M2M設(shè)備�����。
[0068]η)每個(gè)Μ2Μ設(shè)備Di計(jì)算grl拉…一并將其發(fā)送到M2M網(wǎng)關(guān)�����。M2M網(wǎng)關(guān)將所有g(shù)rlr2''.rn_1/ri消息連同grl —―1 一起轉(zhuǎn)送至M2M服務(wù)器����。
[0069]n+l)M2M服務(wù)器生成兩個(gè)隨機(jī)值r/κ S��,并計(jì)算用于每個(gè)/7 r2…rn_1/ri消息的…rn_lrn/ri且將Z和所有發(fā)送到M2M網(wǎng)關(guān)�����。M2M網(wǎng)關(guān)將Z和/HW"'轉(zhuǎn)送至每個(gè)M2M設(shè)備Di。
[0070]n+2)M2M服務(wù)器和所有M2M設(shè)備計(jì)算相同的群組密鑰grlr2…rn_lrn�。M2M服務(wù)器和每個(gè)M2M設(shè)備Di計(jì)算相同的個(gè)體密鑰gsri。
[0071 ] 在步驟54中�,MSBF/NAF將群組服務(wù)證書和個(gè)體服務(wù)證書提供給M2M設(shè)備/網(wǎng)關(guān)和MAS0群組服務(wù)證書受到群組密鑰的保護(hù)。每個(gè)個(gè)體服務(wù)證書受到個(gè)體密鑰的保護(hù)����。
[0072]該實(shí)施例的優(yōu)點(diǎn)如下:
一一從不在網(wǎng)絡(luò)上傳送群組密鑰和個(gè)體密鑰�。其是所有群組成員的專用隨機(jī)數(shù)的函數(shù)。網(wǎng)絡(luò)的竊聽者不能獲得群組密鑰�。
[0073]—一群組密鑰和個(gè)體密鑰僅被群組成員知道�����。在服務(wù)層上采取群組密鑰協(xié)商協(xié)議�。網(wǎng)絡(luò)不參與該協(xié)議�,因此其將不會(huì)獲得群組密鑰。
[0074]一一群組密鑰和個(gè)體密鑰都在相同過程中建立����。
[0075]一一大多數(shù)通信在網(wǎng)關(guān)后面。
[0076]盡管已結(jié)合優(yōu)選實(shí)施例描述了本發(fā)明���,但本領(lǐng)域的技術(shù)人員將理解的是��,在不脫離隨附權(quán)利要求的精神和范圍的情況下可對(duì)本發(fā)明進(jìn)行許多修改和變型��。
【權(quán)利要求】
1.一種用于在接入網(wǎng)輔助的機(jī)器對(duì)機(jī)器(M2M)服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的方法���,所述方法包括以下步驟: 執(zhí)行M2M設(shè)備群組的接入網(wǎng)注冊(cè)�, 基于所述接入網(wǎng)的接入網(wǎng)證書來建立臨時(shí)會(huì)話密鑰�����, 建立借助于所述臨時(shí)會(huì)話密鑰認(rèn)證的群組密鑰和/或個(gè)體密鑰����,以及 在所述群組密鑰的保護(hù)下提供群組服務(wù)證書。
2.根據(jù)權(quán)利要求1所述的方法�����,其中����,在用于接入網(wǎng)證書提供的實(shí)現(xiàn)中使用通用引導(dǎo)架構(gòu)(GBA)過程����。
3.根據(jù)權(quán)利要求1或2所述的方法��,其中�,所述臨時(shí)會(huì)話密鑰是從GBA過程導(dǎo)出的��。
4.根據(jù)權(quán)利要求3所述的方法���,其中����,所述臨時(shí)會(huì)話密鑰包括網(wǎng)絡(luò)應(yīng)用功能(NAF)特定的密鑰����。
5.根據(jù)權(quán)利要求4所述的方法,其中���,在建立群組密鑰的步驟中使用NAF特定的密鑰來執(zhí)行超文本傳輸協(xié)議(HTTP)摘要認(rèn)證��。
6.根據(jù)權(quán)利要求1-5中的一項(xiàng)所述的方法���,其中,能通過群組密鑰協(xié)商過程來實(shí)現(xiàn)建立群組密鑰的步驟����,其中能根據(jù)所有M2M設(shè)備的專用數(shù)據(jù)來獲得所述群組密鑰����。
7.根據(jù)權(quán)利要求6所述的方法,其中��,使用Burmester-Desmedt群組密鑰協(xié)商過程來建立所述群組密鑰����。
8.根據(jù)權(quán)利要求6所述的方法,其中�,經(jīng)修改的群組Diffie-HelIman協(xié)議N0.3(GDH.3)群組密鑰協(xié)商過程被用來建立所述群組密鑰和個(gè)體密鑰,其中M2M服務(wù)引導(dǎo)功能(MSBF)生成被用于生成所述個(gè)體密鑰的新隨機(jī)值�。
9.根據(jù)權(quán)利要求6-8中的一項(xiàng)所述的方法,其中��,在服務(wù)層中執(zhí)行所述群組密鑰協(xié)商過程����。
10.根據(jù)權(quán)利要求1-5中的一項(xiàng)所述的方法,其中���,能通過群組密鑰分發(fā)過程來實(shí)現(xiàn)建立群組密鑰的步驟�����,其中密鑰分發(fā)中心負(fù)責(zé)生成和分配一個(gè)或多個(gè)共享密鑰�����。
11.一種用于在接入網(wǎng)輔助的M2M服務(wù)引導(dǎo)過程期間提供群組服務(wù)證書的系統(tǒng)��,所述系統(tǒng)包括以下裝置: 用于執(zhí)行M2M設(shè)備群組的接入網(wǎng)注冊(cè)的裝置���, 用于基于所述接入網(wǎng)的接入網(wǎng)證書來建立臨時(shí)會(huì)話密鑰的裝置, 用于建立借助于所述臨時(shí)會(huì)話密鑰認(rèn)證的群組密鑰和/或個(gè)體密鑰的裝置���,以及 用于在所述群組密鑰的保護(hù)下提供群組服務(wù)證書的裝置����。
【文檔編號(hào)】H04W12/04GK104205898SQ201280072421
【公開日】2014年12月10日 申請(qǐng)日期:2012年2月16日 優(yōu)先權(quán)日:2012年2月16日
【發(fā)明者】陳幼雷, 張雅哲 申請(qǐng)人:諾基亞通信公司