CN102316450A - M2m通信的基于组的认证方法及其设备 - Google Patents
M2m通信的基于组的认证方法及其设备 Download PDFInfo
- Publication number
- CN102316450A CN102316450A CN2010102144697A CN201010214469A CN102316450A CN 102316450 A CN102316450 A CN 102316450A CN 2010102144697 A CN2010102144697 A CN 2010102144697A CN 201010214469 A CN201010214469 A CN 201010214469A CN 102316450 A CN102316450 A CN 102316450A
- Authority
- CN
- China
- Prior art keywords
- authentication
- organize
- group
- key
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明的实施方式提供M2M通信的基于组的认证方法,根据M2M业务的安全性要求,将组业务分成两类,一类为安全性要求低的M2M业务,安全认证时不区分各M2M设备,即所有的安全参数只以组来区分,而不区分各M2M单个设备,各M2M设备的认证响应都相同;另一类则为安全性要求高的M2M业务,该类业务属性需要区分各M2M终端的不同,各M2M设备的用于组认证的认证响应都不同,并且重用现有的网络能力如广播/多播能力、认证和密钥协商流程,这样对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。
Description
技术领域
本发明涉及通信技术,尤其涉及M2M通信中的认证方法和设备。
背景技术
M2M设备通过移动网络如UMTS、EPS、CDMA等进行通信,M2M(Machine-to-Machine,机器对机器),是机器对机器通信,它是无线通信和信息技术的整合,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此M2M技术可有不同的应用方案,如安全监测、自动售货机、货物跟踪等。目前机器的数量至少是人类数量的4倍,因此M2M具有巨大的市场潜力。移动网络覆盖范围广,是M2M信息承载和传送最广泛、最有市场前景的技术。随着移动通信网络带宽的不断提高和终端的日益多样化,数据业务能力不断提高,这将促使M2M应用的发展进一步加快,有专家断言,在未来“机与机”产生的数据通信流量最终将超过“人与人”和“人与机”产生的通信流量。
目前研究的基于移动通信网络的M2M通信,单个M2M设备的认证过程与手机终端认证方式相似,使用认证和密钥协商流程(AKA,Authentication and Key Agreement),这样对现有网络改动小,有利于现有网络资源的重用。但是大量的M2M设备同时与网络通信或者大量M2M设备间相互通信的时候,由于交互的信息量少,相应地认证时需要交互的信令信息反而显得多,这些重复的冗余的信息会占用大量的网络资源,尤其是空口资源,甚至会造成通信拥塞。本发明提供了M2M通信的基于组的认证方法,是节约网络资源的一个好方法,对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。本发明会重用现有的网络能力如广播/多播能力、认证和密钥协商流程等,可降低50%的信令消息,并且不影响现有的接口或协议,尤其是不影响空中接口或协议。
发明内容
为解决现有技术中的上述缺点,本发明提出了新的M2M通信的基于组的认证方法及其设备。本发明利用一些M2M设备共享一个或多个相同业务,如公共事业服务(如水,气,电,热等)并且属于相同的M2M业务提供者(如公共事业的提供者)的特征,将这种共享相同M2M业务并属于相同的M2M业务提供者的M2M设备归为同一个M2M组(GROUP)并分配一个M2M组标识号(GroupID)。根据其享有的业务,每一个M2M设备可以被归为多个不同的M2M组,系统为不同的M2M业务组分配不同的GroupID。网络对M2M设备以组为单位进行控制、管理或者计费,例如基于组的计费、基于组的移动性管理、基于组的认证、基于组的信令节省等,以减少冗余的信令消息来避免网络拥塞;特别是当M2M设备数量很大时,利用基于组的优化可以有效节省网络资源。
本发明主要提供了M2M通信的基于组的认证方法,并且重用现有的网络能力如广播/多播能力、AKA(Authentication and KeyAgreement,认证和密钥协商)流程,这样对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。不过,网络设备HLR/HSS必须进行升级,还必须增加一个新的逻辑单元M2M安全能力来实现基于组的认证功能。
具体地,根据本发明的一个实施方式,提供一种M2M通信的基于组的认证方法,所述方法包括:
1)M2M服务器触发基于组的认证;
2)接收到来自M2M服务器的用于初始化基于组认证的触发,M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备,以得到用于组认证的认证数据,所述认证数据请求消息包括用于组认证的标识,用于组认证的组身份标识以及其他用于组认证的信息;
3)接收到用于组认证的认证数据请求消息后,第一网络设备产生用于组认证的认证向量,所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥;第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量;
4)安全能力发送用于组认证的认证请求消息给第二网络设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
6)M2M设备接收用于组认证的认证请求消息后,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥;
7)每个M2M设备通过第二网络设备将包含其M2M设备的身份标识、用于组认证的组身份标识和用于组认证的认证响应的响应消息发送给M2M安全能力;
8)安全能力接收来自M2M终端组的包含用于组认证的认证响应的响应消息,检查每个M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配;
9)如果M2M终端的用于组认证的认证响应不等于用于组认证的期望认证响应,网络认证该M2M终端失败,安全能力发送消息NOK给网络认证失败的M2M设备;如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应,网络认证该M2M设备成功。根据本发明的一个可选实施例,所述方法进一步包括:
10)如果网络认证M2M设备成功,安全能力发送消息OK给网络认证成功的M2M设备。
根据本发明的一个可选实施例,所述步骤2)中用于组认证的认证数据请求消息给第一网络设备包括:M2M安全能力发出一条用于组认证的认证数据请求消息给第三网络设备,第三网络设备转发用于组认证的认证数据请求给第一网络设备;
步骤3)中第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力包括:第一网络设备发送包含用于组认证的认证数据的响应消息给第三网络设备,第三网络设备转发用于组认证的认证数据响应给安全能力。
根据本发明的一个可选实施例,所述第一网络设备产生用于组认证的认证向量包括:在接收到认证数据请求消息后,第一网络设备产生一个用于组认证的随机数,并利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥;
所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括:在接收到用于组认证的认证请求消息后,所有享用该组身份标识的M2M业务的M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数产生各自的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
根据本发明的一个可选实施例,第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
第一网络设备产生用于组认证的认证向量进一步包括:利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;
进一步的,每个M2M设备产生其用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
根据本发明的一个可选实施例,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
根据本发明的一个可选实施例,所述第一网络设备产生用于组认证的认证向量包括:在接收到用于组认证的认证数据请求消息后,第一网络设备产生一个用于组认证的的随机数,并利用所述用于组认证的随机数及每个M2M设备的根密钥Kd,生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;所述用于组认证的期望认证响应列表包含对应于每个M2M设备的用于组认证的期望认证响应,所述组认证成功后用于保护后续通信的密钥列表包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥;
所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括:在接收到用于组认证的认证请求消息后,每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,生成一个其自身M2M设备的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,第一网络设备利用所述用于组认证的随机数、每个M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;每个M2M设备利用用于组认证的随机数、自身M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成M2M设备其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
根据本发明的一个可选实施例,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
第一网络设备产生用于组认证的认证向量进一步包括:利用用于组认证的随机数和对应组身份标识用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;进一步的,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
根据本发明的一个可选实施例,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表还包括组认证成功后用于保护后续通信的密钥KASMEg列表,所述密钥列表KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生;
所述M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述组认证成功后用于保护后续通信的密钥KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
根据本发明的一个可选实施例,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
根据本发明的一个可选实施例,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与由第一网络设备产生用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。
根据本发明的一个可选实施例,所述第一网络设备是归属位置寄存器或者归属用户服务器,第二网络设备是基站、无线网络控制器或者演进的Node-B,第三网络设备是服务GPRS支持节点或者移动管理实体。
根据本发明的一个实施方式,提供一种网络设备,包括
存储单元,用于存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
RANDg:用于组认证的随机数;
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的根密钥Kd,对应M2M设备自身与网络之间的其他业务;
消息处理单元:用于接收用于组认证的认证数据请求,响应认证数据请求;
AVg产生单元:用于为基于组的认证产生用于组认证的认证向量AVg。
根据本发明的一个可选实施例,所述AVg产生单元用于产生一个用于组认证的随机数、利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
根据本发明的一个可选实施例,所述AVg产生单元用于在接收到认证数据请求消息后,产生一个用于组认证的随机数,并利用所述用于组认证的随机数和每个M2M设备的Kd产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。
根据本发明的一个可选实施例,所述AVg产生单元用于利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。
根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
根据本发明的一个可选实施例,所述网络设备为归属位置寄存器或者归属用户服务器。
根据本发明的一个实施方式,提供一种M2M安全能力设备,包括:
接收单元,用于接收来自M2M服务器的用于初始化用于组认证的触发消息,并用于接收来自网络设备的包含用于组认证的认证数据的响应消息,用于组认证的认证数据至少包括组身份标识和用于组认证的认证向量AVg,所述用于组认证的认证向量AVg至少包括用于组认证的期望认证响应和用于组认证的随机数和组认证成功后用于保护后续通信的密钥,
进一步的,所述接收单元用于接收来自M2M设备的包含用于组认证的认证响应的响应消息;
发送单元,用于发送用于组认证的认证数据请求消息,所述用于组认证的认证数据请求消息至少包括组身份标识;还用于发送用于组认证的认证请求消息,所述用于组认证的认证请求消息至少包括组身份标识和用于组认证的随机数;
存储单元,用于存储接收到的用于组认证的认证数据和用于组认证的认证响应;
认证单元,用于检查每个M2M设备的认证响应是否与期望认证响应匹配,如果M2M设备的认证响应不等于其对应的期望认证响应,网络认证失败;如果M2M设备的认证响应等于其对应的期望认证响应,网络认证成功;
如果网络认证失败,发送单元进一步用于发送消息NOK给网络认证失败的M2M设备。
根据本发明的一个可选实施例,如果网络认证成功,发送单元进一步用于发送消息OK给网络认证成功的M2M设备。
根据本发明的一个可选实施例,所述用于组认证的认证向量AVg还包括用于组认证的随机数,用于组认证的期望认证响应,和组认证成功后用于保护后续通信的密钥,所述组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生的;
所述用于组认证的认证响应是由M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数及其他参数产生。
所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥是组认证成功后用于保护后续通信的加密密钥Kcg。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg;
进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
根据本发明的一个可选实施例,所述用于组认证的期望认证响应是指包含对应于每个M2M设备的用于组认证的期望认证响应的期望认证响应列表;所述用于组认证的认证向量AVg还包括用于包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥列表;所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数及每个M2M设备的根密钥Kd分别生成;
所述用于组认证的认证响应是每个M2M设备利用用于组认证的的随机数及其自身M2M设备的根密钥Kd生成的一个其自身M2M设备的用于组认证的认证响应;
所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的;
所述用于组认证的认证响应是每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg和其他参数为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg;
进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
根据本发明的一个实施方式,提供一种M2M终端设备,包括存储单元,用于存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
RANDg:用于组认证的随机数;
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的根密钥Kd,对应M2M设备自身与网络之间的其他业务;
消息处理单元:用于接收用于组认证的认证请求消息,响应认证请求,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
产生单元:用于为用于组的认证产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,所述产生单元用于利用对应组身份标识的用于组认证的根密钥Kg和用于组认证的随机数和其他参数产生其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生和其他参数用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
进一步的,所述M2M设备还包括一个认证单元,用于利用接收到用于组认证的认证令牌AUTNg认证网络,所述用于组认证的认证令牌AUTNg包含在接收到的认证请求消息中。
根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
附图说明
通过以下结合附图的说明,并且随着对本发明的更全面了解,本发明的其他目的和效果将变得更加清楚和易于理解,其中:
图1表示根据本发明的一个实施方式M2M通信的网络拓扑图。
图2a,2b表示根据本发明的实施方式的基于组业务的认证的流程图。
图3表示根据本发明的实施方式的HLR/HSS设备结构示意图。
图4表示根据本发明的实施方式的M2M安全能力设备结构示意图。
图5表示根据本发明的实施方式的M2M终端设备结构示意图。
在所有的上述附图中,相同的标号表示具有相同、相似或相应的特征或功能。
具体实施方式
以下结合附图具体描述本发明的实施方式。
本发明为M2M通信提供了一种基于组的认证方案以节省网络资源,特别适用于大量的M2M设备同时与网络通信的场景。不过,本发明不涉及在注册M2M业务之前在M2M设备和网络侧服务器(如,根密钥(root-key)服务器)之间如何配置用于后续组认证的安全凭证(security credentials),如根密钥等。
本发明适用于所有3GPP以及3GPP2的网络(如GSM,GERAN,UMTS,EPS,CDMA,CDMA1x,CDMA2000等),为描述方便,在本发明实施例中只给出了UMTS网络和EPS网络的情形作为事例,相对应的,在下述实施例中,只描述了UMTS/EPS网络中的HLR/HSS,SGSN/MME以及RNC/eNB/BS网络设备。但上述设定仅为示例性说明。它的应用并不局限于UMTS/EPS网络,它也可应用于解决其它网络的基于组的认证问题。上述网络设备中,HLR可存在于GSM或者UMTS网络,HSS存在于UMTS网络和EPS网络,RNC存在于UMTS或者EPS网络,eNB存在于EPS网络,BS存在于GSM网络,MME存在于EPS网络,SGSN存在于GSM、UMTS或EPS网络。
根据本发明的一个实施方式的M2M通信的网络拓扑图如图1所示,M2M终端设备通过通信网络域与M2M业务供应商进行通信,每个M2M终端设备有其自身的标识符M2M_IM_ID,网络能通过该标识符识别M2M终端设备;通信网络域的网络设备包括HLR(归属位置寄存器)/HSS(归属用户服务器)、M2M安全能力(Security Capability),可选的,还包括SGSN(Serving GPRSsupport Node,服务GPRS支持节点)/MME(Mobility ManagementEntity,移动管理实体)。为了支持M2M通信中基于组的认证,一些网络设备必须进行升级,如HLR/HSS。如何升级这些网络设备在下面详细给出,并且,必须增加一个新的功能单元,即M2M安全能力。这个功能单元可以在M2M服务器或者SGSN/MME中实现,或者在一个独立的网络设备中实现。
本发明利用一些M2M设备共享一个或多个相同业务,如公共事业服务(如水,气,电,热等)并且属于相同的M2M业务提供者(如公共事业的提供者)的特征,将这种共享相同M2M业务并属于相同的M2M业务提供者的M2M设备归为同一个M2M组(GROUP)并分配一个M2M组标识号(GroupID)。在本发明中,根据M2M业务的安全性要求,将组业务分成两类,一类为安全性要求低的M2M业务,如抄表等,对此类业务,安全认证时不区分各M2M设备,即所有的安全参数只以组来区分,而不区分各M2M单个设备,各M2M设备的认证响应都相同;另一类则为安全性要求高的M2M业务,如选举投票、犯人监管等,该类业务属性需要区分各M2M终端的不同,各M2M设备都使用同一个用于组认证的认证令牌AUTNg(AUTN,Authentication token,认证令牌)来认证同一个M2M业务提供者,然而各M2M设备都需要产生自己的用于组认证的认证响应让网络来认证它,各M2M设备的用于组认证的认证响应都不同,对应的,期望认证响应是一个列表,包括各个M2M设备终端的用于组认证的期望认证响应。在此说明,本发明所用的安全参数与现有网络认证所用的安全参数意义一致,但在本发明中,因为是用于组认证的,所以在安全参数下标出现g,以示区别,如AUTN(Authentication token,认证令牌)和AUTNg(用于组认证的认证令牌)。
因此,在本发明中,将每个M2M终端设备的根密钥K分成两部分:包括用于组认证的组业务根密钥Kg,如果一个M2M终端设备注册了多个组业务,则根密钥K包括多个用于组认证的组业务根密钥Kg分别对应多个组业务;对于同一个组,所有设备包含的用于组认证的根密钥都一样,但对于不同的组,各设备包含的用于组认证的根密钥是不同的;还包括M2M设备的根密钥Kd,Kd对应该M2M终端设备自身与网络之间的其他非组业务,对不同的M2M终端设备,Kd也各不同,假设一个M2M业务组中的M2M终端设备数为n;则本发明中用(Kd1,Kd2,...Kdn)分别对应第1,2,...n个M2M终端设备其自身与网络之间的其他非组业务。在实现中,一种方式是:将每个M2M终端设备的根密钥K总长度限定为128比特或者256比特,即假若M2M通信网络中第i个M2M终端设备注册了3个组业务,则该M2M终端设备的根密钥包括3个不同的用于组认证的组业务根密钥Kg以及Kdi四部分,这四个密钥总长度为128比特或者256比特,这四个密钥的长度分别会小于128比特或256比特。注,在此方式下,如果一个M2M设备注册更多的组业务,则各密钥的长度将会越短,因为其密钥的总长度固定为128比特或256比特。另一种实现方式下:Kd以及每个根密钥Kg的长度都为128比特或者256比特,这些密钥都是单独存储的。例如,假若M2M通信网络中第i个M2M终端设备注册了第3个组业务,则该M2M终端设备的根密钥包括包括3个不同的用于组认证的组业务根密钥Kg以及Kdi四部分,这四个密钥的长度均为128比特或者256比特。第二种实现方式比第一种实现方式需要更多的存储空间。
进一步的,为了防止用于组认证、及非组业务认证时会造成同步序列号混淆,从而区别地维护多套同步序列号,即每个M2M组业务有自己的序列号,非组业务也有自己的序列号,每个M2M终端设备的序列号SQN也分成两部分:每个组业务的SQNg,以及M2M设备自身与网络之间的其他业务对应的SQNd。对不同的M2M终端设备,SQNd也各不同,假设一个M2M业务组中的M2M终端设备数为n;则本发明中用(SQNd1,SQNd2,...SQNdn)分别对应第1,2,...n个M2M终端设备其自身与网络之间的其他非组业务。每个SQNg和SQNd都是单独存储,且长度都是48比特。假若M2M通信网络中第i个M2M终端设备注册了3个组业务,则该M2M终端设备的序列号SQN包括3个用于组认证的SQNg以及SQNdi四部分,每部分都是单独存储,且长度都是48比特。上述序列号主要用于生成各自的用于组认证的安全参数,但产生方式与原来网络一样。在本发明中,HLR/HSS要为M2M组业务标识为GroupID的业务生成认证向量时,进一步会使用与该组匹配的序列号来生成相应的认证向量。
在本发明的实施例中,仅用一个组业务,该组包括n个M2M终端设备的情况以示说明,一个M2M终端设备注册多个组业务的情况可根据本发明说明的一个组业务情况直接类推。
下面具体描述用于组认证的安全参数的产生,包括网络侧用于组认证的安全参数的产生,主要在网络设备HLR/HSS中实现;以及M2M终端设备侧用于组认证的安全参数的产生。
首先以一张表格(表1)给出不同的网络中,对应低安全性要求业务和高安全性要求业务的安全参数:在网络侧的认证向量AVg包括用于组认证的随机数,组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应,M2M终端设备侧安全参数包括用于组认证的随机数,组认证成功后用于保护后续通信的密钥和用于组认证的认证响应。其中表中给出的安全参数对应一个M2M组业务,n个注册该组业务的M2M终端设备。
具体的,结合上述表格描述每个用于认证的安全参数以及其产生。对于低安全性要求的组业务,在接收到认证数据请求消息后,HLR/HSS为同一组的M2M业务产生相同的用于组认证的认证向量AVg{RANDg,AUTNg,CKg,IKg,XRESg}(在UMTS网络)或者AVg{RANDg,AUTNg,KASMEg,XRESg}(EPS网络)或者AVg{RANDg,Kcg,XRESg}(在GSM网络),其中安全参数{AUTNg,CKg,IKg,XRESg}(在UMTS网络)或者{AUTNg,KASMEg,XRESg}(EPS网络)或者{Kcg,XRESg}(在GSM网络)是HLR/HSS利用用于组认证的根密钥Kg和用于组认证的随机数RANDg为同一组的M2M业务产生,并且,EPS网络的密钥KASMEg是根据CKg和IKg产生;同一组的M2M终端设备认证具有相同AUTNg的网络(GSM网络不产生AUTNg,因此没有M2M终端设备认证具有相同AUTNg的网络这一步骤),所有的M2M终端设备利用和HLR/HSS侧相同的Kg和RANDg,导出相同的用于组认证的认证响应RESg和密钥CKg和IKg(在UMTS网络)或者KASMEg(EPS网络,先产生CKg和IKg,根据产生进一步产生KASMEg)或者Kcg(GSM网络);并且网络用相同的用于组认证的期望认证响应XRESg认证每个具有相同的用于组认证的认证响应RESg的M2M终端设备。在这种情况下,此类低安全性要求业务可用于收集来自相同地方的M2M设备或属于同一M2M业务提供商(如,公共事业的提供者)的计费信息。
对于高安全性要求的组业务,在接收到认证数据请求消息后,HLR/HSS将为同一组的M2M业务产生用于组认证的认证向量AVg{RANDg,AUTNg,CKg1...CKgn,IKg1...IKgn,XRESg1...XRESgn}(在UMTS网络)或者AVg{RANDg,AUTNg,KASMEg1...KASMEgn,XRESg1...XRESgn}(EPS网络)或者AVg{RANDg,Kcg1...Kcgn,XRESg1...XRESgn}(在GSM网络),其中安全参数AUTNg(UMTS网络或者EPS网络)是HLR/HSS利用用于组认证的根密钥Kg和用于组认证的随机数RANDg为同一组的M2M业务产生,而密钥安全参数和期望认证响应安全参数都是列表,因为这两项安全参数是HLR/HSS利用所述用于组认证的随机数及RANDg和每个M2M设备的根密钥Kd即Kd1,Kd2,...Kdn分别生成的,其中用于组认证的期望认证列表是指XRESg1...XRESgn,包括对应1...n个M2M终端设备的期望认证响应,其中XRESg1是利用RANDg和Kd1生成,对应该M2M业务组的第一个M2M终端设备,XRESg2是利用RANDg和Kd2生成,对应该M2M业务组的第二个M2M终端设备,...XRESgn是利用RANDg和Kdn生成,对应该M2M业务组的第n个M2M终端设备。组认证成功后用于保护后续通信的加密密钥CKg列表是指CKg1...CKgn,其中CKg1是利用RANDg和Kd1生成,对应该M2M业务组的第一个M2M终端设备,CKg2是利用RANDg和Kd2生成,对应该M2M业务组的第二个M2M终端设备,...CKgn是利用RANDg和Kdn生成,对应该M2M业务组的第n个M2M终端设备。依次类推,组认证成功后用于保护后续通信的完整性密钥IKg列表是指IKg1...IKgn,利用RANDg和对应M2M终端设备的根密钥Kd即Kd1,Kd2,...Kdn分别生成的,对应1...n个M2M终端设备。EPS的密钥列表KASMEg1...KASMEgn对应1...n个M2M终端设备,先根据上述方法产生CKg1...CKgn和IKg1...IKgn,然后利用CKg1...CKgn和IKg1...IKgn生成KASME1...KASMEn。同一组的M2M终端设备认证具有相同AUTNg的网络(GSM网络不产生AUTNg,因此没有M2M终端设备认证具有相同AUTNg的网络这一步骤);每个M2M设备根据RANDg和其自身的Kd导出其自身的密钥和认证响应,即第i个M2M设备根据RANDg和Kdi导出其自身的安全参数,在UMTS网络为RESgi和CKgi和IKgi,在EPS网络为RESgi和KASMEgi,在GSM网络为RESgi和Kcgi,其中,在EPS网络,第i个M2M终端设备先根据上述方法产生CKgi和IKgi,然后利用CKgi和IKgi生成KASMEgi。可选的,用于组认证的根密钥Kg也可作为输入参数,在HLR/HSS侧用于生成上述用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表时,以及在M2M设备终端侧产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。在高安全性要求的业务组,每个M2M设备终端产生的安全参数都不同,网络认证每个具有各自用于组认证的认证响应,如,当网络认证第i个M2M终端设备时,检查用于组认证的认证响应列表中对应该第i个M2M终端设备的用于组认证的期望认证响应XRESgi与该M2M终端设备的用于组认证的认证响应RESgi是否一致。在这种情况下,此类高安全性要求业务可用于投票机,医院的医疗设备或者囚犯的位置跟踪传感器。
无论是低安全性的业务还是高安全性的业务,网络侧HLR/HSS和M2M终端设备侧产生相关安全参数方式和输入参数必须一致。
图2给出了根据本发明的实施方式的基于组业务的认证的流程图,其中在图2a给出的实施方式中,M2M安全能力单元直接和HLR/HSS通信,而在图2b给出的实施方式中,M2M安全能力单元通过SGSN/MME和HLR/HSS进行通信。下面分别就图2a,图2b进行详细说明。
根据图2a描述的实施例,在步骤S201,M2M服务器向M2M安全能力发送用于初始化基于组认证的消息,以此触发M2M安全能力(Security capability)来初始化基于组的认证。M2M服务器触发基于组的认证的条件可根据业务性质分别制定,如用于从注册组业务的M2M终端设备收集计费信息的业务,则可制定触发条件如每周日午夜触发M2M安全能力来初始化基于组的认证。
在步骤S202,M2M安全能力接收到来自M2M服务器的用于初始化基于组认证的消息后,M2M安全能力发出一条用于组认证的数据请求消息REQ(GroupID,...)给HSS/HLR以得到组认证数据,该用于组认证的数据请求消息包括组认证的标识,GroupID(组身份标识)以及其他用于组认证的信息。
在步骤S203,HLR/HSS接收到用于组认证的认证数据请求消息REQ(GroupID,...)后,产生用于组认证的认证向量AVg;并发送包含用于组认证的认证数据的认证数据响应消息RESP(GroupID,AVg...)给M2M安全能力,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量AVg。AVg包含的安全参数及其产生方法前面已有详细说明,在此不再赘述。
在步骤S204,安全能力接收认证数据响应消息RESP(GroupID,AVg...),发送用于组认证的认证请求消息REQ(GroupID,AUTNg,RANDg)给RNC/eNB。安全能力发送用于组认证的认证请求消息给RNC/eNB,用于组认证的认证请求消息包括用于组认证的组身份标识GroupID,用于组认证的随机数RANDg和用于组认证的认证令牌AUTNg,但对于GSM网络,不包括用于组认证的认证令牌AUTNg。
在步骤S205,RNC/eNB转发上述用于组认证的认证请求消息给同组的M2M设备。RNC/eNB转发上述消息可以重用现有网络广播或者多播性能来实现。
在步骤S206,M2M设备接收用于组认证的认证请求消息后,每个M2M设备通过AUTNg认证网络;成功认证后,每个M2M终端设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥,具体包括:对于低安全性要求业务,每个M2M终端设备利用RANDg和根密钥Kg导出相同的认证响应RESg(对注册该组业务的n个M2M终端设备,RESg1,RESg2,...REGgi,...RESgn都相同),以及相关密钥,分别是:在UMTS网络,密钥是CKg和IKg,在EPS网络,先产生CKg和IKg,再根据CKg和IKg进一步产生KASMEg,对GSM网络,密钥是Kcg。因为对同一组M2M终端设备,RANDg和根密钥Kg是相同的,那么每个M2M终端设备产生的相应认证响应RESg和相应密钥是相同的。对高安全性要求的业务,每个M2M设备利用RANDg及其自己设备根密钥Kd(对注册该组业务的n个M2M终端设备,其各自的根密钥为Kd1,Kd2,...Kdi,...Kdn),可选的,还有用于组认证的根密钥Kg,导出其自身的RESg以及相关密钥,即第i个M2M设备根据RANDg和Kdi导出其自身的安全参数,在UMTS网络为RESgi和CKgi和IKgi,在EPS网络为RESgi和KASMEgi,在GSM网络为RESgi和Kcgi,其中,在EPS网络,第i个M2M终端设备先根据上述方法产生CKgi和IKgi,然后利用CKgi和IKgi生成KASMEgi。
在步骤S207,每个M2M设备通过RNC/eNB将认证响应消息RESP(GroupID,M2M_IM_ID,RESg)发送给M2M安全能力,认证响应消息至少包括用于组认证的组身份标识GroupID,该M2M终端设备的身份标识M2M_IM_ID以及该M2M终端设备产生的其自身的用于组认证的认证响应RESg。即对第i个M2M终端设备,认证响应消息为RESP(GroupID,M2M_IM_IDi,RESgi)。
在步骤S208,安全能力接收来自该组每个M2M终端设备的认证响应消息后,检查每个M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。对于低安全性要求业务,安全能力检查每个REGg是否等于XRESg来认证每个M2M设备,即检查REGgi是否等于XRESg,i=1...n,n是该组的M2M终端设备数。对于高安全性要求业务,安全能力根据M2M设备的身份标识,检查每个REGg是否等于是否等于XRESg列表中该M2M设备相应的用于组认证的期望认证响应匹配来认证每个M2M设备,即检查REGgi是否等于XRESgi,i=1...n,n是该组的M2M终端设备数。
在步骤S209,如果M2M终端的用于组认证的认证响应不等于用于组认证的期望认证响应,网络认证该M2M终端失败,安全能力发送消息NOK给网络认证失败的M2M设备;如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应,网络认证该M2M设备成功。
还可以包括步骤S210,如果网络认证M2M设备成功,安全能力发送消息OK给网络认证成功的M2M设备。
安全能力(Security capability)通过重用现有网络广播/多播性能的RNC/eNB/BS发送消息NOK或者消息OK给M2M设备。
在图2b给出的实施方式中,M2M安全能力单元通过SGSN/MME和HLR/HSS进行通信。具体的,包括步骤S201,与前面所述相同,接着,执行步骤S212,M2M安全能力接收到来自M2M服务器的用于初始化基于组认证的消息后,M2M安全能力发出一条用于组认证的数据请求消息给SGSN/MME,以得到组认证数据,该用于组认证的数据请求消息包括组认证的标识,GroupID(组身份标识)以及其他用于组认证的信息。
在步骤S213,SGSN/MME转发上述用于组认证的数据请求消息给HLR/HSS;
在步骤S214,HLR/HSS接收到来自用于组认证的认证数据请求消息后,产生用于组认证的认证向量AVg;并发送包含用于组认证的认证数据的认证数据响应消息RESP(GroupID,AVg...)给SGSN/MME,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量AVg。AVg包含的安全参数及其产生方法前面已有详细说明,在此不再赘述。
在步骤S215,SGSN/MME转发上述包含用于组认证的认证数据的认证数据响应消息RESP(GroupID,AVg...)给M2M安全能力。
接下来执行与前面说明相同的步骤S204,S205,S2064,S207,S208,S209;进一步还执行步骤S210。
然后,通过上述流程得到的相关密钥如Kcg,IKg,CKg,或KASMEg可用于保护M2M设备和RNC/eNB/BS之间的数据传输。RNC/eNB和M2M服务器之间的数据传输安全性可由现有的网络性能得到保证。
图3给出根据本发明的实施方式的HLR/HSS网络设备结构示意图。在本发明的实施方式中,HLR/HSS设备300包括存储单元301,消息处理单元302,用于组认证的认证向量产生单元303。具体的,存储单元301被配置为存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
AMF:认证管理字段;
RANDg:用于组认证的随机数,由用于组认证的认证向量产生单元303产生;
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的根密钥Kd,对应M2M设备自身与网络之间的其他业务;根密钥K在前文已有具体表述,在此不再赘述。
进一步的,还存储SQN序列号列表,包括SQNg和SQNd,其中SQNg对应组业务,SQNd对应M2M设备自身与网络之间的其他业务;SQN序列号列表在前文已有具体表述,在此不再赘述。
消息处理单元:用于接收用于组认证的认证数据请求,响应认证数据请求。
消息处理单元302被配置为接收用于组认证的认证数据请求,并将接收到的数据存储在存储单元301;
用于组认证的认证向量产生单元303被配置为用于产生组认证的认证向量AVg。对不同的网络,不同的业务,AVg的内容及产生方式不同,在前文已有具体表述,在此不再赘述。
进一步的,在用于组认证的认证向量产生单元303产生AVg后,消息处理单元302被配置为响应认证数据请求,即发送包含AVg的认证数据响应消息RESP(GroupID,AVg...)给M2M安全能力,或经SGSN/MME发送给M2M安全能力。
图4给出根据本发明的实施方式的M2M安全能力设备结构示意图。在本发明的实施方式中,M2M安全能力设备400包括接收单元401,存储单元402,认证单元403和发送单元404。
具体的,接收单元401被配置为用于接收来自M2M服务器的用于初始化用于组认证的触发消息,还被配置为用于接收来自网络设备的包含用于组认证的认证数据的响应消息RESP(GroupID,AVg...),对不同的网络,不同的业务,AVg的内容不同,在前文已有具体表述,在此不再赘述。接收单元401还被配置为用于接收来自每个M2M设备的包含用于组认证的认证响应的响应消息RESP(GroupID,M2M_IM_ID1,RESg1)...RESP(GroupID,M2M_IM_IDn,RESgn);
存储单元402,被配置为用于存储接收到的用于组认证的认证数据AVg和用于组认证的认证响应RESg(RESg1...RESgn);
发送单元404,被配置为用于发送用于组认证的认证数据请求消息REQ(GroupID...),所述用于组认证的认证数据请求消息至少包括组身份标识;还被配置为用于发送用于组认证的认证请求消息REQ(GroupID,AUTNg,RANDg...),所述用于组认证的认证请求消息包括组身份标识和用于组认证的随机数,和用于组认证的认证令牌AUTNg,但对GSM网络,不包括用于组认证的认证令牌AUTNg。
认证单元403,被配置为根据接收到的用于初始化基于组认证的触发消息进行初始化基于组的认证,并被配置为用于检查每个M2M设备的认证响应是否与期望认证响应匹配,如果M2M设备的认证响应不等于其对应的期望认证响应,网络认证失败;如果M2M设备的认证响应等于其对应的期望认证响应,网络认证成功。对于低安全性要求业务,安全能力检查每个REGg是否等于XRESg来认证每个M2M设备,即检查REGgi是否等于XRESg,i=1...n,n是该组的M2M终端设备数。对于高安全性要求业务,安全能力根据M2M设备的身份标识,检查每个REGg是否等于是否等于XRESg列表中该M2M设备相应的用于组认证的期望认证响应匹配来认证每个M2M设备,即检查REGgi是否等于XRESgi,i=1...n,n是该组的M2M终端设备数。
如果网络认证失败,发送单元404还被配置为用于发送消息NOK给网络认证失败的M2M设备。进一步的,如果网络认证成功,发送单元404还被配置为用于发送消息OK给网络认证成功的M2M设备。
图5给出根据本发明的实施方式的M2M终端设备结构示意图。在本发明的实施方式中,M2M终端设备500包括存储单元501,消息处理单元502,产生单元503。
具体的,存储单元501被配置为用于存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
AMF:认证管理字段
RANDg:用于组认证的随机数,来自接收到的用于组认证的认证请求消息REQ(GroupID,AUTNg,RANDg...)
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的根密钥Kd,对应M2M设备自身与网络之间的其他业务;根密钥K在前文已有具体表述,在此不再赘述。
进一步的,还存储SQN序列号列表,包括SQNg和SQNd,其中SQNg对应组业务,SQNd对应M2M设备自身与网络之间的其他业务;SQN序列号列表在前文已有具体表述,在此不再赘述。
消息处理单元502被配置为用于接收用于组认证的认证请求消息REQ(GroupID,AUTNg,RANDg...),用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数,在UMTS/EPS网络,还包括用于组认证的认证令牌AUTNg;消息处理单元502还被配置为响应认证请求,即将产生单元503产生的用于组认证的认证响应RESg包含在用于组认证的认证响应消息RESP(GroupID,M2M_ID,RESg)中发送。
产生单元503:被配置为用于为用于组的认证产生用于组认证的认证响应RESg和组认证成功后用于保护后续通信的密钥。用于组认证的认证响应RESg和组认证成功后用于保护后续通信的密钥的说明和具体产生方法在前文已有具体表述,在此不再赘述。
进一步的,对于UMTS/EPS网络,还包括认证单元504,被配置为用于利用接收到用于组认证的认证令牌AUTNg认证网络,所述用于组认证的认证令牌AUTNg包含在接收到的认证请求消息中。网络认证成功后,产生单元503才开始工作。
本发明可以以硬件、软件、固件以及它们的组合来实现。本领域技术人员应该认识到,也可以在供任何合适数据处理系统使用的信号承载介质上所设置的计算机程序产品中体现本发明。这种信号承载介质可以是传输介质或用于机器可读信息的可记录介质,包括磁介质、光介质或其他合适介质。可记录介质的示例包括:硬盘驱动器中的磁盘或软盘、用于光驱的光盘、磁带,以及本领域技术人员所能想到的其他介质。本领域技术人员应该认识到,具有合适编程装置的任何通信设备都将能够执行如程序产品中体现的本发明方法的步骤。
从上述描述应该理解,在不脱离本发明精神的情况下,可以对本发明各实施方式进行修改和变更。本说明书中的描述仅仅是用于说明性的,而不应被认为是限制性的。本发明的范围仅受权利要求书的限制。
附:缩略语表
3GPP,Third generation partnership project,第三代伙伴项目
3GPP2,Third generation partership protect 2,第三代伙伴项目2
AKA,Authentication and Key Agreement,认证和密钥协商
AMF,Authentication management field,认证管理字段
ASME,Access Security Management Entity,接入安全管理实体
AUTN,Authentication token,认证令牌
AUTNg,用于组认证的认证令牌
AV,Authentication Vector,认证向量
AVg,用于组认证的认证向量
BS,Base Station,基站
CDMA,Code division multiple access,码分多址,3GPP2 S.R0032
CK,Ciphering Key,加密密钥
CKg,组认证成功后用于保护后续通信的加密密钥
eNB,Evolved Node-B,演进的Node-B
EPS,Evolved Packet System,演进的分组系统,3GPP TS 33.401
GERAN,GSM/EDGE Radio Access Network,GSM/EDGE无线接入网
GSM,Global system for mobile communications,全球移动通信系统
GUTI,GUTI Globally Unique Temporary Identity,全球唯一临时身份标识
HLR,Home location register,归属位置寄存器
HSS,Home Subscribe Server,归属用户服务器
IK,Integrity Key,完整性密钥
IKg,组认证成功后用于保护后续通信的完整性密钥
IMSI,International mobile subscriber identity,国际移动用户身份标识
KAsMEg,机密性密钥
M2M,Machine-to-Machine,物联网(机器对机器)
M2M_IM_ID,M2M_Identity Module_ID,M2M标识模块身份标识
MME,Mobility Management Entity,移动管理实体
RAND,Random Challenge,随机数
RANDg,用于组认证的随机数
RES,RESponse,认证响应(终端设备生成的用于认证终端设备身份的)
RESg,用于组认证的认证响应
RNC,Radio network controller,无线网络控制器
K,root_key,根密钥
Kg,用于组认证的根密钥
Kd,M2M终端设备自身与网络之间的其他非组业务的根密钥?
SGSN,Serving GPRS support Node,服务GPRS支持节点
SIM,GSM Subscriber Identity Module,GSM用户标识模块
SQN,Sequence number,序列号
SQNg,用于组认证的序列号
SQNd,M2M终端设备自身与网络之间的其他非组业务的序列号
TMSI,temporary mobile subscriber identity,临时移动用户身份标识
UMTS,Universal Mobile Telecommunications System,通用移动通信系统,3GPP TS33.102
USIM,UMTS Subscriber Identity Module,UMTS用户身份模块
XRES,eXpected RESponse,期望认证响应(HLR/HSS生成的用于认证用户身份的)XRESg,用于组认证的期望认证响应
Claims (44)
1.一种M2M通信的基于组的认证方法,所述方法包括:
1)M2M服务器触发基于组的认证;
2)接收到来自M2M服务器的用于初始化基于组认证的触发,M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备,以得到用于组认证的认证数据,所述认证数据请求消息包括用于组认证的标识,用于组认证的组身份标识以及其他用于组认证的信息;
3)接收到用于组认证的认证数据请求消息后,第一网络设备产生用于组认证的认证向量,所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥;第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量;
4)安全能力发送用于组认证的认证请求消息给第二网络设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
6)M2M设备接收用于组认证的认证请求消息后,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥;
7)每个M2M设备通过第二网络设备将包含其M2M设备的身份标识、用于组认证的组身份标识和用于组认证的认证响应的响应消息发送给M2M安全能力;
8)安全能力接收来自M2M终端组的包含用于组认证的认证响应的响应消息,检查每个M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配;
9)如果M2M终端的用于组认证的认证响应不等于用于组认证的期 望认证响应,网络认证该M2M终端失败,安全能力发送消息NOK给网络认证失败的M2M设备;如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应,网络认证该M2M设备成功。
2.根据权利要求1所述的一种方法,其特征在于,所述方法进一步包括:
10)如果网络认证M2M设备成功,安全能力发送消息OK给网络认证成功的M2M设备。
3.根据权利要求1或2所述的一种方法,其特征在于,
步骤2)中用于组认证的认证数据请求消息给第一网络设备包括:M2M安全能力发出一条用于组认证的认证数据请求消息给第三网络设备,第三网络设备转发用于组认证的认证数据请求给第一网络设备;
步骤3)中第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力包括:第一网络设备发送包含用于组认证的认证数据的响应消息给第三网络设备,第三网络设备转发用于组认证的认证数据响应给安全能力。
4.根据权利要求1-3中任一项所述的一种方法,其特征在于,所述第一网络设备产生用于组认证的认证向量包括:在接收到认证数据请求消息后,第一网络设备产生一个用于组认证的随机数,并利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥;
所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括:在接收到用于组认证的认证请求消息后,所有享用该组身份标识的M2M业务的M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数产生各自的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
5.根据权利要求4所述的一种方法,其特征在于,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组 认证成功后用于保护后续通信的加密密钥Kcg。
6.根据权利要求4所述的一种方法,其特征在于,所述
第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
第一网络设备产生用于组认证的认证向量进一步包括:
利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;
进一步的,每个M2M设备产生其用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
7.根据权利要求6所述的一种方法,其特征在于,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
8.根据权利要求1-3中任一项所述的一种方法,其特征在于,所述第一网络设备产生用于组认证的认证向量包括:在接收到用于组认证的认证数据请求消息后,第一网络设备产生一个用于组认证的的随机数,并利用所述用于组认证的随机数及每个M2M设备的根密钥Kd,生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;所述用于组认证的期望认证响应列表包含对应于每个M2M设备的用于组认证的期望认证响应,所述组认证成功后用于保护后续通信的密钥列表包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥;
所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括:在接收到用于组认证的认证请求消息后,每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd, 生成一个其自身M2M设备的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
9.根据权利要求8所述的一种方法,其特征在于,第一网络设备利用所述用于组认证的随机数、每个M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;每个M2M设备利用用于组认证的随机数、自身M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成M2M设备其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
10.根据权利要求8或9所述的一种方法,其特征在于,第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
11.根据权利要求8或9所述的一种方法,其特征在于,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
第一网络设备产生用于组认证的认证向量进一步包括:
利用用于组认证的随机数和对应组身份标识用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;
进一步的,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
12.根据权利要求11所述的一种方法,其特征在于,所述第一网络 设备产生的组认证成功后用于保护后续通信的密钥列表还包括组认证成功后用于保护后续通信的密钥KASMEg列表,所述密钥列表KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生;
所述M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述组认证成功后用于保护后续通信的密钥KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
13.根据权利要求4-7中任一项所述的方法,其特征在于,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
14.根据权利要求8-12中任一项所述的方法,其特征在于,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与由第一网络设备产生用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。
15.根据权利要求1-14中任一项所述的方法,其特征在于,所述第一网络设备是归属位置寄存器或者归属用户服务器,第二网络设备是基站、无线网络控制器或者演进的Node-B,第三网络设备是服务GPRS支持节点或者移动管理实体。
16.一种网络设备,包括
存储单元,用于存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
RANDg:用于组认证的随机数;
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的 根密钥Kd,对应M2M设备自身与网络之间的其他业务;
消息处理单元:用于接收用于组认证的认证数据请求,响应认证数据请求;
AVg产生单元:用于为基于组的认证产生用于组认证的认证向量AVg。
17.根据权利要求16所述的一种网络设备,其特征在于:
所述AVg产生单元用于产生一个用于组认证的随机数、利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥。
18.根据权利要求17所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
19.根据权利要求17所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
20.根据权利要求19所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
21.根据权利要求16所述的一种网络设备,其特征在于,所述AVg产生单元用于在接收到认证数据请求消息后,产生一个用于组认证的随机数,并利用所述用于组认证的随机数和每个M2M设备的Kd产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通 信的密钥列表。
22.根据权利要求21所述的一种网络设备,其特征在于,所述AVg产生单元用于利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。
23.根据权利要求21或22所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
24.根据权利要求21或22所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
25.根据权利要求24所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
26.根据权利要求16-25中任一项所述的网络设备,其特征在于,所述网络设备为归属位置寄存器或者归属用户服务器。
27.一种M2M安全能力设备,其特征在于,包括
接收单元,用于接收来自M2M服务器的用于初始化用于组认证的触发消息,并用于接收来自网络设备的包含用于组认证的认证数据的响应消息,用于组认证的认证数据至少包括组身份标识和用于组认证的认证向量AVg,所述用于组认证的认证向量AVg至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信的密钥,
进一步的,所述接收单元用于接收来自M2M设备的包含用于组认证的认证响应的响应消息;
发送单元,用于发送用于组认证的认证数据请求消息,所述用于组认证的认证数据请求消息至少包括组身份标识;还用于发送用于组认证的认证请求消息,所述用于组认证的认证请求消息至少包括组身份标识和用于组认证的随机数;
存储单元,用于存储接收到的用于组认证的认证数据和用于组认证的认证响应;
认证单元,用于检查每个M2M设备的认证响应是否与期望认证响应匹配,如果M2M设备的认证响应不等于其对应的期望认证响应,网络认证失败;如果M2M设备的认证响应等于其对应的期望认证响应,网络认证成功;
如果网络认证失败,发送单元进一步用于发送消息NOK给网络认证失败的M2M设备。
28.根据权利要求27所述的M2M安全能力设备,其特征在于,如果网络认证成功,发送单元进一步用于发送消息OK给网络认证成功的M2M设备。
29.根据权利要求27或28所述的M2M安全能力设备,其特征在于,所述用于组认证的认证向量AVg还包括用于组认证的随机数,用于组认证的期望认证响应,和组认证成功后用于保护后续通信的密钥,所述组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生的;
所述用于组认证的认证响应是由M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数及其他参数产生。
所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
30.根据权利要求29所述的M2M安全能力设备,其特征在于,所述 组认证成功后用于保护后续通信的密钥是组认证成功后用于保护后续通信的加密密钥Kcg。
31.根据权利要求29所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg;
进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
32.根据权利要求31所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
33.根据权利要求27或28所述的M2M安全能力设备,其特征在于,所述用于组认证的期望认证响应是指包含对应于每个M2M设备的用于组认证的期望认证响应的期望认证响应列表;所述用于组认证的认证向量AVg还包括用于包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥列表;所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数及每个M2M设备的根密钥Kd分别生成;
所述用于组认证的认证响应是每个M2M设备利用用于组认证的的随机数及其自身M2M设备的根密钥Kd生成的一个其自身M2M设备的用于组认证的认证响应;
所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应列表 中该M2M设备相应的用于组认证的期望认证响应匹配。
34.根据权利要求33所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的;
所述用于组认证的认证响应是每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的。
35.根据权利要求33或34所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
36.根据权利要求33或34所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;
用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg和其他参数为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg;
进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
37.根据权利要求36所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
38.一种M2M终端设备,包括
存储单元,用于存储下述信息:
M2M_IM_ID:用于标识M2M设备中的通信模块;
RANDg:用于组认证的随机数;
GroupID:组身份标识,用以确定M2M设备注册的组业务;
根密钥K:包括用于组认证的组业务根密钥Kg;还包括M2M设备的根密钥Kd,对应M2M设备自身与网络之间的其他业务;
消息处理单元:用于接收用于组认证的认证请求消息,响应认证请求,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;
产生单元:用于为用于组的认证产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
39.根据权利要求38所述的一种M2M终端设备,其特征在于:
所述产生单元用于利用对应组身份标识的用于组认证的根密钥Kg和用于组认证的随机数和其他参数产生其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
40.根据权利要求38所述的一种M2M终端设备,其特征在于,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
41.根据权利要求40所述的一种M2M终端设备,其特征在于,所述所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生和其他参数用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
42.根据权利要求39,40或41所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Kcg。
43.根据权利要求39,40或41所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg;
进一步的,所述M2M设备还包括一个认证单元,用于利用接收到用于组认证的认证令牌AUTNg认证网络,所述用于组认证的认证令牌AUTNg包含在接收到的认证请求消息中。
44.根据权利要求43所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KAsMEg。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010214469.7A CN102316450B (zh) | 2010-06-29 | 2010-06-29 | M2m通信的基于组的认证方法及其设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010214469.7A CN102316450B (zh) | 2010-06-29 | 2010-06-29 | M2m通信的基于组的认证方法及其设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102316450A true CN102316450A (zh) | 2012-01-11 |
| CN102316450B CN102316450B (zh) | 2014-01-22 |
Family
ID=45429194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010214469.7A Active CN102316450B (zh) | 2010-06-29 | 2010-06-29 | M2m通信的基于组的认证方法及其设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102316450B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297224A (zh) * | 2012-02-23 | 2013-09-11 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
| WO2014000337A1 (zh) * | 2012-06-26 | 2014-01-03 | 中兴通讯股份有限公司 | 机器类型通信用户设备的通信方法及系统 |
| CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN109691156A (zh) * | 2016-07-14 | 2019-04-26 | 瑞典爱立信有限公司 | 无线装置的增强型聚合式重新认证 |
| CN111886884A (zh) * | 2018-03-09 | 2020-11-03 | 上海诺基亚贝尔股份有限公司 | 用于通信中的认证的方法、设备和计算机可读介质 |
| CN116915520A (zh) * | 2023-09-14 | 2023-10-20 | 南京龟兔赛跑软件研究院有限公司 | 基于分布式计算的农业产品信息化数据安全优化方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003049357A2 (en) * | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| CN101719960A (zh) * | 2009-12-01 | 2010-06-02 | 中国电信股份有限公司 | 通信装置和cdma终端 |
-
2010
- 2010-06-29 CN CN201010214469.7A patent/CN102316450B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003049357A2 (en) * | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| CN101719960A (zh) * | 2009-12-01 | 2010-06-02 | 中国电信股份有限公司 | 通信装置和cdma终端 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297224A (zh) * | 2012-02-23 | 2013-09-11 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
| CN103297224B (zh) * | 2012-02-23 | 2016-05-25 | 中国移动通信集团公司 | 密钥信息分发方法及相关设备 |
| WO2014000337A1 (zh) * | 2012-06-26 | 2014-01-03 | 中兴通讯股份有限公司 | 机器类型通信用户设备的通信方法及系统 |
| US9467820B2 (en) | 2012-06-26 | 2016-10-11 | Zte Corporation | Communication method and system for machine-type communication UE |
| CN103841082A (zh) * | 2012-11-22 | 2014-06-04 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN103841082B (zh) * | 2012-11-22 | 2017-05-31 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN109691156A (zh) * | 2016-07-14 | 2019-04-26 | 瑞典爱立信有限公司 | 无线装置的增强型聚合式重新认证 |
| US11343673B2 (en) | 2016-07-14 | 2022-05-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhanced aggregated re-authentication for wireless devices |
| CN111886884A (zh) * | 2018-03-09 | 2020-11-03 | 上海诺基亚贝尔股份有限公司 | 用于通信中的认证的方法、设备和计算机可读介质 |
| US11765583B2 (en) | 2018-03-09 | 2023-09-19 | Nokia Technologies Oy | Methods, devices and computer readable medium for authentication in communication |
| CN116915520A (zh) * | 2023-09-14 | 2023-10-20 | 南京龟兔赛跑软件研究院有限公司 | 基于分布式计算的农业产品信息化数据安全优化方法 |
| CN116915520B (zh) * | 2023-09-14 | 2023-12-19 | 南京龟兔赛跑软件研究院有限公司 | 基于分布式计算的农业产品信息化数据安全优化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102316450B (zh) | 2014-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102090093B (zh) | 空口链路安全机制建立的方法、设备 | |
| US10841784B2 (en) | Authentication and key agreement in communication network | |
| EP2850862B1 (en) | Secure paging | |
| CN101610452B (zh) | 一种传感器网络鉴别与密钥管理机制的融合方法 | |
| CN101056177B (zh) | 基于无线局域网安全标准wapi的无线网状网重认证方法 | |
| EP2810418B1 (en) | Group based bootstrapping in machine type communication | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| US10034169B2 (en) | Method to authenticate peers in an infrastructure-less peer-to-peer network | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN102215474A (zh) | 对通信设备进行认证的方法和装置 | |
| CN103179558A (zh) | 集群系统组呼加密实现方法及系统 | |
| CN102316450B (zh) | M2m通信的基于组的认证方法及其设备 | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| Sun et al. | Privacy-preserving device discovery and authentication scheme for D2D communication in 3GPP 5G HetNet | |
| CN109768861B (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
| EP3076695B1 (en) | Method and system for secure transmission of small data of mtc device group | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN102595389A (zh) | 一种mtc服务器共享密钥的方法及系统 | |
| Gharsallah et al. | An efficient authentication and key agreement protocol for a group of vehicles devices in 5G cellular networks | |
| Al-Mahmud et al. | Identity-based authentication and access control in wireless sensor networks | |
| CN104010297A (zh) | 无线终端配置方法及装置和无线终端 | |
| CN102572818A (zh) | 一种mtc组设备的应用密钥管理方法及系统 | |
| Weng et al. | A lightweight anonymous authentication and secure communication scheme for fog computing services | |
| Zhang et al. | Group-based authentication and key agreement for machine-type communication | |
| Prasad et al. | Security in next generation mobile networks: SAE/LTE and WiMAX |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170428 Address after: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Co-patentee after: SHANGHAI BELL SOFTWARE CO., LTD. Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Co-patentee after: SHANGHAI BELL SOFTWARE CO., LTD. Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Co-patentee before: SHANGHAI BELL SOFTWARE CO., LTD. Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Co-patentee after: Shanghai NOKIA Baer Software Co., Ltd. Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong New Area Jinqiao Ning Road, Shanghai, No. 388 Co-patentee before: SHANGHAI BELL SOFTWARE CO., LTD. Patentee before: Shanghai NOKIA Baer Limited by Share Ltd |