CN102469458A - 一种m2m通信中的组认证方法和系统 - Google Patents
一种m2m通信中的组认证方法和系统 Download PDFInfo
- Publication number
- CN102469458A CN102469458A CN201010552514XA CN201010552514A CN102469458A CN 102469458 A CN102469458 A CN 102469458A CN 201010552514X A CN201010552514X A CN 201010552514XA CN 201010552514 A CN201010552514 A CN 201010552514A CN 102469458 A CN102469458 A CN 102469458A
- Authority
- CN
- China
- Prior art keywords
- group
- authentication
- asme
- mtc equipment
- ciphering key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种机器与机器(M2M)通信中的组认证方法和系统,方法包括:接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得接入请求中携带的MTC设备的标识信息和组标识信息;ASME根据MTC设备对应的组认证向量,对MTC设备进行组认证。通过本发明,能够提高认证效率,减轻由于机器类通信(MTC)设备数量大量增长而带来的认证信令负荷。
Description
技术领域
本发明涉及通信安全领域,尤其涉及一种机器与机器(M2M,Machine-to-Machine)通信中的组认证方法和系统。
背景技术
随着全球信息化,以及通信网络技术的出现和发展,人类社会出现了巨大的变化;人与人之间可以更便捷地进行沟通,信息的交换也越来越频繁。然而,当前只有在人为干预的情况下,计算机或其他一些IT设备才具备联网和通信的能力,众多普通的机器类设备几乎不具备联网和通信能力。如何让这些普通的机器类设备具备联网和通信能力,以便让通信网络技术更好地为社会生活提供服务和保障,使城市变得智能化;在这种需求的驱动下,M2M通信的概念被引入到通信网络技术中。M2M通信的目标就是,使所有机器类设备都具备联网和通信能力,从而实现机器与机器、机器与人、人与机器之间的信息交换。为了确保信息的准确有效性,需要在M2M通信中引入安全机制。
现有2G和3G移动网络系统的安全机制主要有:认证和加密等。所谓认证,即为识别对方身份合法性的过程。下面简述全球移动通信系统(UMTS,Universal Mobile Telecommunication System)的认证和密钥协商机制(AKA,Authentication and Key Agreement)认证过程。在演进分组系统(EPS,EvolvedPacket System)中,AKA认证过程和UMTS系统并无本质区别。UMTS的AKA认证基于存储在归属位置寄存器(HLR,Home Location Register)和内置在终端全球用户识别卡(USIM,Universal Subscriber Identity Module)中的根密钥K进行认证,其认证过程如下:
1、终端向服务节点SGSN/拜访位置寄存器(VLR,Visitor Location Register)发出接入请求;服务节点SGSN/VLR根据终端标识向认证中心HLR/AuC发起认证请求;认证中心HLR/AuC生成多组认证向量,每组认证向量有认证向量五元组组成:随机数RAND、期望响应XRES、认证令牌AUTN、机密性密钥CK、完整性密钥IK。
2、认证中心HLR/AuC将生成的认证向量五元组发送给请求认证的服务节点SGSN/VLR。
3、服务节点SGSN/VLR从认证中心HLR/AuC发来的多组认证向量五元组中选择一组,将其中的RAND、AUTN发送至接入请求的终端。
4、终端中USIM卡检查AUTN可否接受,如:AUTN是否由有效的认证令牌组成。
5、终端收到认证消息后,首先计算消息认证码XMAC,并与认证令牌AUTN中的消息认证码MAC进行比较,如果不同,则拒绝认证,并放弃认证过程。同时,终端验证接收到的序列号SQN是否在有效范围内,若不在有效范围内,则向服务节点SGSN/VLR发送同步失败消息,并放弃认证过程。
6、当上述验证通过后,终端计算出响应值RES,并发送给服务节点SGSN/VLR;服务节点SGSN/VLR比较终端发送的RES和认证中心发送的XRES是否一致;如果一致,则认证通过,否则认证失败;终端USIM卡同时计算机密性密钥IK和完整性密钥CK,用于后续数据发送时的机密性和完整性保护。
现有移动网络都是为human-to-human设计的,对于机器与机器、机器与人、人与机器之间的通信并非最佳。随着M2M技术的发展,终端数量将呈现极大的增长,由此而产生的信令、数据对现有移动网络将产生极大的冲击。如果每个机器类通信(MTC,Machine Type Communication)设备都单独地执行认证,那么网络由于认证所承载的信令负荷也会随着终端数量的增长而成几何级数的增长,甚至导致网络拥塞,进而影响到网络的服务质量和用户的业务体验。
当许多MTC设备被部署为属于同一个MTC用户的MTC设备组,或当所有在同一个地点的MTC设备被分在一个组时,对于组中所有MTC设备的认证代价也是很高的,也常常是不必要的。由于现有移动网络认证技术难以满足日益增长的MTC设备的认证需求,因此需要一种优化的认证机制来减轻由于认证而带来的大量信令负荷。
发明内容
有鉴于此,本发明的主要目的在于提供一种M2M通信中的组认证方法和系统,以提高认证效率,减轻由于MTC设备数量大量增长而带来的认证信令负荷。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种M2M通信中的组认证方法,包括:
接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;
所述ASME根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。
该方法进一步包括:
所述ASME接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;
若存在,则所述ASME根据自身存在的组认证向量对所述MTC设备进行组认证;
若不存在,则所述ASME向认证中心发送认证请求,所述认证中心返回的组认证向量,所述ASME根据认证中心返回的组认证向量对所述MTC设备进行组认证。
所述ASME向认证中心发送认证请求,根据认证中心返回的组认证向量对MTC设备进行组认证,具体为:
所述ASME向认证中心发送认证请求,其中包括所述MTC设备的标识信息和组标识信息;
所述认证中心根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME;
所述ASME存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;
所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME根据自身存在的组认证向量对MTC设备进行组认证,具体为:
所述ASME生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的所述组认证向量发送给所述MTC设备;
所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME在全球移动通信系统(UMTS)网络中为GPRS服务支持节点(SGSN)或拜访位置寄存器(VLR),在演进分组系统(EPS)网络中为移动性管理实体(MME)。
所述认证中心在UMTS网络中为归属位置寄存器(HLR)或鉴权中心(AuC),在EPS网络中为归属用户服务器(HSS)。
本发明还提供了一种M2M通信中的组认证系统,包括:MTC设备和ASME,其中,
所述MTC设备,用于向所述ASME发送接入请求,并接受所述ASME的组认证;
所述ASME,用于接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。
该系统还包括:认证中心,用于根据所述ASME发送的认证请求,返回组认证向量;
相应的,所述ASME进一步用于,在接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则根据自身存在的组认证向量对所述MTC设备进行组认证;若不存在,则向认证中心发送认证请求,并根据所述认证中心返回的组认证向量对所述MTC设备进行组认证。
所述ASME进一步用于,在判断不存在对应的所述组认证向量时,向所述认证中心发送所述认证请求,其中包括所述MTC设备的标识信息和组标识信息;
相应的,所述认证中心进一步用于,根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成所述组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME;
所述ASME进一步用于,存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;
所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME进一步用于,在判断存在对应的组认证向量时,生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的组认证向量发送给所述MTC设备;
相应的,所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME在UMTS网络中为SGSN或VLR,在EPS网络中为MME;所述认证中心在UMTS网络中为HLR或AuC,在EPS网络中为HSS。
本发明所提供的一种M2M通信中的组认证方法和系统,由接入安全管理设备(ASME)接收来自MTC设备的接入请求,并根据接入请求中携带的MTC设备的标识信息和组标识信息,判断自身是否存在与MTC设备对应的组认证向量;如果判断不存在,则ASME向认证中心发送认证请求,并根据认证中心返回的组认证向量对MTC设备进行组认证;如果判断存在,则ASME根据自身存在的组认证向量对MTC设备进行组认证。通过本发明,能够提高认证效率,减轻由于MTC设备数量大量增长而带来的认证信令负荷。
附图说明
图1为本发明一种M2M通信中的组认证方法流程图;
图2为本发明实施例一的组认证方法流程图;
图3为本发明实施例二的组认证方法流程图;
图4为本发明实施例三的组认证方法流程图;
图5为本发明实施例四的组认证方法流程图;
图6为本发明一种M2M通信中的组认证系统的结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
本发明所提供的一种M2M通信中的组认证方法,如图1所示,主要包括以下步骤:
步骤101,接入安全管理设备(ASME,Access Security ManagementEquipment)接收来自MTC设备的接入请求,并获得该接入请求中携带的MTC设备的标识信息和组标识信息。
步骤202,ASME根据该MTC设备对应的组认证向量,对该MTC设备进行组认证。
ASME接收来自MTC设备的接入请求后,判断自身是否存在与该MTC设备对应的组认证向量;若存在,则ASME根据自身存在的组认证向量对该MTC设备进行组认证;若不存在,则ASME向认证中心发送认证请求,认证中心返回的组认证向量,ASME根据认证中心返回的组认证向量对MTC设备进行组认证。
包括以下两种情况:
一、当某一MTC设备为所属MTC设备组内首个接入网络的MTC设备时,该MTC设备向网络发起接入请求,ASME根据接入请求中携带的MTC设备的标识信息和组标识信息,判断自身不存在该MTC设备对应的组认证向量;ASME向认证中心发送认证请求,其中包括该MTC设备的标识信息和组标识信息;认证中心根据组标识信息查询对应的组签约信息,根据组签约信息、组密钥和组认证策略生成组认证向量,并将组认证向量及签约组成员的相关信息发送至ASME;ASME存储组认证向量及签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将本地随机数与组认证向量发送给MTC设备;MTC设备根据接收的组认证向量生成组响应,并将组标识信息和组响应返回给ASME;ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
二、当某一MTC设备为所属MTC设备组内非首个接入网络的MTC设备时,该MTC设备向网络发起接入请求,ASME根据接入请求中携带的MTC设备的标识信息和组标识信息,判断自身存在该MTC设备对应的组认证向量;ASME生成本地随机数,并计算变形组期望响应,将本地随机数与自身存在的组认证向量发送给MTC设备;MTC设备根据接收的组认证向量生成组响应,并将组标识信息和组响应返回给ASME;ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
需要说明的是,本发明中的组密钥可以是预定义的长期组根密钥,也可以是动态更新的短期组密钥;该组密钥由认证中心与MTC设备组中的MTC设备共享。
通过本发明的组认证方法,当首个接入网络的MTC设备完成所属组至网络的接入认证后,接入安全管理设备将存储相应的组认证向量;当组内其他MTC设备接入网络时,接入安全管理设备使用存储的组认证向量对其进行认证。通过此种方式能够极大地减轻网络侧的信令负荷,尤其是核心网侧的信令负荷,提高MTC终端接入的认证效率。
下面再结合具体实施例对本发明的组认证方法进一步详细阐述。
图2和图3为UMTS网络中共享相同组密钥的MTC设备组的认证流程,其中接入安全管理设备(ASME,Access Security Management Equipment)为GPRS服务支持节点(SGSN)/VLR,认证中心为HLR/AuC。具体的,签约为同一组的MTC设备与认证中心共享相同的组标识信息GIDi、组密钥Kg,各MTC设备与认证中心共享相同的根密钥K。在认证中心预先配置组签约信息以及组认证策略。
图2为UMTS网络的一组MTC设备中首个接入网络的MTC设备的认证流程图。本实施例为组内首个接入网络的MTC设备的认证流程,具体包含以下步骤:
步骤201,共享同一组签约信息的MTC设备中首个接入网络的MTC设备向网络侧发起接入请求,请求消息中包含该MTC设备的标识信息以及该设备所属组的组标识信息;具体的,本实施例中首个接入网络的MTC设备的标识信息可以为该MTC设备的国际移动用户识别码(IMSI,International MobileSubscriber Identification Number),组标识信息可以为该MTC设备所属组的GIDi。
步骤202,网络侧的SGSN/VLR根据接入请求中携带的MTC设备的标识信息及组标识信息,判断是否存在相应的组认证向量,由于该MTC设备为所属组的首个接入网络的MTC设备,因此SGSN/VLR不存在相应的组认证向量。
步骤203,SGSN/VLR向认证中心HLR/AuC发起认证请求,请求消息中携带该MTC设备的标识信息IMSI及所属组的组标识信息GIDi。
步骤204,认证中心HLR/AuC根据组标识信息查询对应的组签约信息,并根据查询的组签约信息、组密钥Kg和组认证策略,生成相应的组认证向量。
具体的,组认证向量是根据相应的组认证策略生成,组认证策略中包含一些生成相应密钥的算法,如哈希算法,还有生成组认证向量的密钥生成算法等;这里,密钥生成算法及哈希算法可以是现有的任一种或几种算法。组认证向量由组密钥及组签约信息(如组标识信息等的相关信息)生成。
步骤205,HLR/AuC返回组认证向量响应给SGSN/VLR,该消息中包含组认证向量:组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组完整性密钥GIKi和组机密性密钥GCKi,同时消息中还携带该组中所有MTC设备的IMSI标识以及各MTC设备的根密钥所对应的哈希值hash(Ki)。具体的,HLR/AuC根据设定的哈希算法计算每个MTC设备的根密钥所对应的哈希值。
步骤206,SGSN/VLR存储HLR/AuC发送的组认证向量及签约组成员的相关信息,并生成本地随机数RANDi,根据本地随机数RANDi和组期望响应GXRESi,生成变形组期望响应GXRESi’。
步骤207,SGSN/VLR发送组认证请求给首个接入网络的MTC设备,请求消息中包含组认证指令GA Indicator、随机数RANDi、组标识GIDi、组随机数GRANDi和组认证令牌GAUTNi。
步骤208,首个接入网络的MTC设备,根据组密钥Kg、随机数RANDi、组随机数GRANDi和组认证令牌GAUTNi,计算出组响应GRESi、组完整性密钥GIKi和组机密性密钥GCKi。
步骤209,首个接入网络的MTC设备向SGSN/VLR发送组认证应答,消息中包含组标识GIDi、组响应GRESi。
步骤210,SGSN/VLR比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi’是否一致,如果一致,则认证通过,否则认证失败。
步骤211,SGSN/VLR根据组机密性密钥GCKi和组完整性密钥GIKi,以及该设备根密钥的哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK,用于数据机密性和完整性保护。
步骤212,首个接入网络的MTC设备根据组机密性密钥GCKi和组完整性密钥GIKi,以及自身设备根密钥哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK,用于数据机密性和完整性保护。
图3为UMTS网络一组MTC设备中组内其他MTC设备的认证流程图。本实施例为组内其他MTC设备(非首个接入网络的MTC设备)的认证流程,具体包含以下步骤:
步骤301,MTC设备向网络发起接入请求,请求消息中包含该MTC设备的标识信息及所属组的组标识信息;具体的,本实施例中的MTC设备的标识信息为该MTC设备的IMSI,组标识信息为该MTC设备所属组的GIDi。
步骤302,SGSN/VLR根据收到的接入请求消息,根据组标识信息判断是否存在相应的组认证向量,由于该MTC设备非首个接入网络的MTC设备,因此SGSN/VLR已存在相应的组认证向量,以及相应的签约组信息,各MTC设备的根密钥所对应的哈希值hash(Ki)。
步骤303,SGSN/VLR找到相应的组认证向量,并生成本地随机数RAND,根据本地随机数RAND和组期望响应GXRESi,计算出变形组期望响应GXRESi’。
步骤304,SGSN/VLR向MTC设备发起组认证请求,请求消息中包含组认证指令GA Indicator、随机数RAND、组标识GIDi、组随机数GRANDi和组认证令牌GAUTNi。
步骤305,MTC设备根据随机数RAND、组密钥Kg、组随机数GRANDi和组认证令牌GAUTNi,计算出组响应GRESi、组机密性密钥GCKi和组完整性密钥GIKi。
步骤306,MTC设备发送组认证响应给SGSN/VLR,消息中包含组标识GIDi,组响应GRESi。
步骤307,SGSN/VLR比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi’,如果一致,则认证通过,如果不一致,则认证失败。
步骤308,SGSN/VLR根据组机密性密钥GCKi和组完整性密钥GIKi,以及该MTC设备根密钥的哈希值hash(Ki),生成CK和IK进行机密性和完整性保护。
步骤309,MTC设备根据组机密性密钥GCKi和组完整性密钥GIKi,以及自身设备根密钥的哈希值hash(Ki),生成CK和IK进行机密性和完整性保护。
图4和图5为EPS网络中共享相同组密钥的MTC设备组认证流程,其中接入安全管理设备ASME为移动性管理实体(MME),认证中心为归属用户服务器(HSS)。具体的,签约为同一组的MTC设备与认证中心共享相同的组标识信息GIDi、组密钥Kg,各MTC设备与认证中心共享相同的根密钥K。在认证中心预先配置组签约信息以及组认证策略。
图4为EPS网络的一组MTC设备中首个接入网络的MTC设备的认证流程图。本实施例为组内首个接入网络的MTC设备的认证流程,具体包含以下步骤:
步骤401,共享同一组签约信息的MTC设备中首个接入网络的MTC设备向网络侧发起接入请求,请求消息中包含该MTC设备的标识信息以及该设备所属组的组标识信息;具体的,本实施例中首个接入网络的MTC设备的标识信息为该MTC设备的IMSI,组标识信息为该MTC设备所属组的GIDi。
步骤402,网络侧的MME判断是否存在相应的组认证向量,由于该MTC设备为所属组内首个接入网络的MTC设备,因此MME不存在相应的组认证向量。
步骤403,MME向认证中心HSS发起认证请求,请求消息中携带该MTC设备的标识信息IMSI及其所属组的组标识信息GIDi。
步骤404,认证中心HSS根据组标识信息查询其组签约信息,并根据组密钥Kg和组认证策略,生成相应的组认证向量。
具体的,组认证向量是根据相应的组认证策略生成,组认证策略中包含一些生成相应密钥的算法,如哈希算法,还有生成组认证向量的密钥生成算法等;这里,密钥生成算法及哈希算法可以是现有的任一种或几种算法。组认证向量包含组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组密钥集识别码GKSIasmei和组接入网元密钥GKasmei。组认证向量由组密钥及组签约信息(如组标识信息等的相关信息)生成。
步骤405,认证中心HSS返回组认证向量响应给MME,该消息中包含组认证向量:组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组接入网元密钥GKasmei和组密钥集识别码GKSIasmei,同时消息中还携带该组中所有MTC设备的IMSI标识以及各MTC设备的根密钥所对应的哈希值hash(Ki)。具体的,HLR/AuC根据设定的哈希算法计算每个MTC设备的根密钥所对应的哈希值。
步骤406,MME存储HSS发送的组认证向量响应及签约组成员的相关信息,并生成本地随机数RANDi,根据RANDi和GXRESi,生成变形组期望响应GXRESi’。
步骤407,MME发送组认证请求给首个接入网络的MTC设备,请求消息中包含组认证指令GA Indicator、随机数RANDi、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei。
步骤408,首个接入网络的MTC设备根据组密钥Kg、随机数RANDi、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei,计算出组响应GRESi和组接入网元密钥GKasmei。
步骤409,首个接入网络的MTC设备向MME发送组认证响应,消息中包含组标识GIDi、组响应GRESi。
步骤410,MME比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi’是否一致,如果一致,则认证通过,否则认证失败。
步骤411,MME根据组接入网元密钥GKasmei,以及该设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性保护密钥。
步骤412,首个接入网络的MTC设备根据组接入网元密钥GKasmei,以及自身设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性保护密钥。
图5为EPS网络的一组MTC设备中组内其他MTC设备的认证流程图。本实施例组内其他MTC设备认证流程具体包含以下步骤:
步骤501,MTC设备向网络发起接入请求,请求消息中包含该MTC设备的标识信息及所属组的组标识信息;具体的,本实施例中的MTC设备的标识信息为该MTC设备的IMSI,组标识信息为该MTC设备所属组的GIDi。
步骤502,MME根据收到的接入请求消息,根据组标识信息判断是否存在组认证向量,由于该MTC设备非首个接入网络的MTC设备,因此MME已存在相应的组认证向量,以及相应的签约组信息,各MTC设备的根密钥所对应的哈希值hash(Ki)。
步骤503,MME找到相应的组认证向量,并生成本地随机数RAND,根据本地随机数RAND和组期望响应GXRESi,计算出变形组期望响应GXRESi’。
步骤504,MME向MTC设备发起组认证请求,请求消息中包含组认证指令GA Indicator、随机数RAND、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei。
步骤505,MTC设备根据随机数RAND、组密钥Kg、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei,计算出组响应GRESi和组接入网元密钥GKasmei。
步骤506,MTC设备发送组认证响应给MME,消息中包含组标识GIDi和组响应GRESi。
步骤507,MME比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi’是否一致,如果一致,则认证通过,如果不一致,则认证失败。
步骤508,MME根据组接入网元密钥GKasmei,以及该MTC设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性密钥。
步骤509,MTC设备根据组接入网元密钥GKasmei,以及自身设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性密钥。
对应上述组认证方法,本发明还提供了一种M2M通信中的组认证系统,如图6所示,该系统包括:MTC设备10和ASME 20。其中,MTC设备10,用于向ASME 20发送接入请求,并接受ASME 20的组认证。ASME 20,用于接收来自MTC设备10的接入请求,并获得接入请求中携带的MTC设备10的标识信息和组标识信息;根据该MTC设备10对应的组认证向量,对该MTC设备10进行组认证。
进一步的,该系统还可以包括:认证中心30,用于根据ASME 20发送的认证请求,返回组认证向量;
相应的,ASME 20进一步用于,在接收来自MTC设备10的接入请求后,判断自身是否存在与MTC设备10对应的组认证向量;若存在,则根据自身存在的组认证向量对MTC设备10进行组认证;若不存在,则向认证中心30发送认证请求,并根据认证中心30返回的组认证向量对MTC设备10进行组认证。
需要说明的是,ASME 20在UMTS网络中可以为SGSN或VLR,在EPS网络中可以为MME;认证中心30在UMTS网络中可以为HLR或AuC,在EPS网络中可以为HSS。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种机器与机器(M2M)通信中的组认证方法,其特征在于,该方法包括:
接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;
所述ASME根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。
2.根据权利要求1所述M2M通信中的组认证方法,其特征在于,该方法进一步包括:
所述ASME接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;
若存在,则所述ASME根据自身存在的组认证向量对所述MTC设备进行组认证;
若不存在,则所述ASME向认证中心发送认证请求,所述认证中心返回的组认证向量,所述ASME根据认证中心返回的组认证向量对所述MTC设备进行组认证。
3.根据权利要求2所述M2M通信中的组认证方法,其特征在于,所述ASME向认证中心发送认证请求,根据认证中心返回的组认证向量对MTC设备进行组认证,具体为:
所述ASME向认证中心发送认证请求,其中包括所述MTC设备的标识信息和组标识信息;
所述认证中心根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME;
所述ASME存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;
所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
4.根据权利要求2所述M2M通信中的组认证方法,其特征在于,所述ASME根据自身存在的组认证向量对MTC设备进行组认证,具体为:
所述ASME生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的所述组认证向量发送给所述MTC设备;
所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
5.根据权利要求1、2、3或4所述M2M通信中的组认证方法,其特征在于,所述ASME在全球移动通信系统(UMTS)网络中为GPRS服务支持节点(SGSN)或拜访位置寄存器(VLR),在演进分组系统(EPS)网络中为移动性管理实体(MME)。
6.根据权利要求1、2、3或4所述M2M通信中的组认证方法,其特征在于,所述认证中心在UMTS网络中为归属位置寄存器(HLR)或鉴权中心(AuC),在EPS网络中为归属用户服务器(HSS)。
7.一种M2M通信中的组认证系统,其特征在于,该系统包括:MTC设备和ASME,其中,
所述MTC设备,用于向所述ASME发送接入请求,并接受所述ASME的组认证;
所述ASME,用于接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。
8.根据权利要求7所述M2M通信中的组认证系统,其特征在于,该系统还包括:认证中心,用于根据所述ASME发送的认证请求,返回组认证向量;
相应的,所述ASME进一步用于,在接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则根据自身存在的组认证向量对所述MTC设备进行组认证;若不存在,则向认证中心发送认证请求,并根据所述认证中心返回的组认证向量对所述MTC设备进行组认证。
9.根据权利要求8所述M2M通信中的组认证系统,其特征在于,
所述ASME进一步用于,在判断不存在对应的所述组认证向量时,向所述认证中心发送所述认证请求,其中包括所述MTC设备的标识信息和组标识信息;
相应的,所述认证中心进一步用于,根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成所述组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME;
所述ASME进一步用于,存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;
所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
10.根据权利要求8所述M2M通信中的组认证系统,其特征在于,所述ASME进一步用于,在判断存在对应的组认证向量时,生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的组认证向量发送给所述MTC设备;
相应的,所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME;
所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
11.根据权利要求7、8、9或10所述M2M通信中的组认证系统,其特征在于,所述ASME在UMTS网络中为SGSN或VLR,在EPS网络中为MME;所述认证中心在UMTS网络中为HLR或AuC,在EPS网络中为HSS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010552514.XA CN102469458B (zh) | 2010-11-19 | 2010-11-19 | 一种m2m通信中的组认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010552514.XA CN102469458B (zh) | 2010-11-19 | 2010-11-19 | 一种m2m通信中的组认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102469458A true CN102469458A (zh) | 2012-05-23 |
| CN102469458B CN102469458B (zh) | 2015-08-12 |
Family
ID=46072490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010552514.XA Expired - Fee Related CN102469458B (zh) | 2010-11-19 | 2010-11-19 | 一种m2m通信中的组认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102469458B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634734A (zh) * | 2012-08-20 | 2014-03-12 | 财团法人工业技术研究院 | 分组式机器类型通信方法以及使用所述方法的设备 |
| CN104205898A (zh) * | 2012-02-16 | 2014-12-10 | 诺基亚通信公司 | 用于m2m环境中基于群组的服务引导的方法和系统 |
| CN104303533A (zh) * | 2013-01-22 | 2015-01-21 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| CN105636031A (zh) * | 2014-11-05 | 2016-06-01 | 中兴通讯股份有限公司 | 分组通信管理方法、装置和系统 |
| WO2016141794A1 (zh) * | 2015-03-12 | 2016-09-15 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| WO2016188346A1 (zh) * | 2015-05-26 | 2016-12-01 | 电信科学技术研究院 | 一种通信方法及设备 |
| CN106209802A (zh) * | 2016-06-30 | 2016-12-07 | 全球能源互联网研究院 | 一种基于组策略的电力4g网络安全认证和密钥协商方法 |
| CN106612205A (zh) * | 2015-10-27 | 2017-05-03 | 中国移动通信集团公司 | 一种节点认证方法、系统及代理节点 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| WO2018000844A1 (zh) * | 2016-07-01 | 2018-01-04 | 中兴通讯股份有限公司 | 接入网络的方法及装置 |
| CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
| CN110460567A (zh) * | 2019-06-28 | 2019-11-15 | 华为技术有限公司 | 一种身份鉴权方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050097161A1 (en) * | 2003-02-21 | 2005-05-05 | Chiou Ta-Gang | System with user interface for network planning and mobility management optimization in a mobile communication network and method thereof |
| CN101459899A (zh) * | 2009-01-09 | 2009-06-17 | 华为技术有限公司 | 机器用户的号码分配方法及通信网络 |
| CN101719960A (zh) * | 2009-12-01 | 2010-06-02 | 中国电信股份有限公司 | 通信装置和cdma终端 |
| US20100248759A1 (en) * | 2004-06-30 | 2010-09-30 | Bettis Sonny R | Provision of Messaging Services From a Video Messaging System for Video Compatible and Non-video Compatible Equipment |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
-
2010
- 2010-11-19 CN CN201010552514.XA patent/CN102469458B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050097161A1 (en) * | 2003-02-21 | 2005-05-05 | Chiou Ta-Gang | System with user interface for network planning and mobility management optimization in a mobile communication network and method thereof |
| US20100248759A1 (en) * | 2004-06-30 | 2010-09-30 | Bettis Sonny R | Provision of Messaging Services From a Video Messaging System for Video Compatible and Non-video Compatible Equipment |
| CN101459899A (zh) * | 2009-01-09 | 2009-06-17 | 华为技术有限公司 | 机器用户的号码分配方法及通信网络 |
| CN101719960A (zh) * | 2009-12-01 | 2010-06-02 | 中国电信股份有限公司 | 通信装置和cdma终端 |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205898A (zh) * | 2012-02-16 | 2014-12-10 | 诺基亚通信公司 | 用于m2m环境中基于群组的服务引导的方法和系统 |
| CN103634734A (zh) * | 2012-08-20 | 2014-03-12 | 财团法人工业技术研究院 | 分组式机器类型通信方法以及使用所述方法的设备 |
| CN104303533A (zh) * | 2013-01-22 | 2015-01-21 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| CN104303533B (zh) * | 2013-01-22 | 2019-01-08 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| CN105636031A (zh) * | 2014-11-05 | 2016-06-01 | 中兴通讯股份有限公司 | 分组通信管理方法、装置和系统 |
| WO2016141794A1 (zh) * | 2015-03-12 | 2016-09-15 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| CN106034027A (zh) * | 2015-03-12 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| CN106303905A (zh) * | 2015-05-26 | 2017-01-04 | 电信科学技术研究院 | 一种通信方法及设备 |
| WO2016188346A1 (zh) * | 2015-05-26 | 2016-12-01 | 电信科学技术研究院 | 一种通信方法及设备 |
| CN106612205A (zh) * | 2015-10-27 | 2017-05-03 | 中国移动通信集团公司 | 一种节点认证方法、系统及代理节点 |
| CN106612205B (zh) * | 2015-10-27 | 2019-12-06 | 中国移动通信集团公司 | 一种节点认证方法、系统及代理节点 |
| CN106209802A (zh) * | 2016-06-30 | 2016-12-07 | 全球能源互联网研究院 | 一种基于组策略的电力4g网络安全认证和密钥协商方法 |
| WO2018000844A1 (zh) * | 2016-07-01 | 2018-01-04 | 中兴通讯股份有限公司 | 接入网络的方法及装置 |
| CN107566325A (zh) * | 2016-07-01 | 2018-01-09 | 中兴通讯股份有限公司 | 接入网络的方法及装置 |
| CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
| CN110460567A (zh) * | 2019-06-28 | 2019-11-15 | 华为技术有限公司 | 一种身份鉴权方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102469458B (zh) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102469458B (zh) | 一种m2m通信中的组认证方法和系统 | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| US9866554B2 (en) | Mutual authentication method and system with network in machine type communication | |
| CN102238484B (zh) | 机器对机器的通信系统中基于组的认证方法及系统 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN102480727B (zh) | 机器与机器通信中的组认证方法及系统 | |
| EP2731382B1 (en) | Method for setting terminal in mobile communication system | |
| CN102137397B (zh) | 机器类型通信中基于共享群密钥的认证方法 | |
| EP2903322B1 (en) | Security management method and apparatus for group communication in mobile communication system | |
| EP2676398B1 (en) | Wireless device, registration server and method for provisioning of wireless devices | |
| CN102843233A (zh) | 一种机器到机器通信中组认证的方法和系统 | |
| Lai et al. | Toward secure large-scale machine-to-machine comm unications in 3GPP networks: chall enges and solutions | |
| KR102448747B1 (ko) | 전기통신 네트워크의 물리 또는 가상 요소에 보안 요소에 저장된 암호화된 가입 식별자를 송신하기 위한 방법, 대응하는 보안 요소, 물리 또는 가상 요소 및 이 보안 요소와 협력하는 단말기 | |
| EP3076695B1 (en) | Method and system for secure transmission of small data of mtc device group | |
| CN102223231B (zh) | M2m终端认证系统及认证方法 | |
| CN103179558A (zh) | 集群系统组呼加密实现方法及系统 | |
| Zhang et al. | Dynamic group based authentication protocol for machine type communications | |
| US11115195B2 (en) | Authentication server of a cellular telecommunication network and corresponding UICC | |
| EP2744250B1 (en) | Method and apparatus for binding universal integrated circuit card and machine type communication device | |
| Zhang et al. | Group-based authentication and key agreement for machine-type communication | |
| Lai et al. | Security issues on machine to machine communications | |
| CA3156911A1 (en) | Wireless communication method for registration procedure | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| EP4047969A1 (en) | Enhancements for authentication in cellular communication networks | |
| CN109155775A (zh) | 一种移动设备、网络节点及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150812 Termination date: 20201119 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |