CN102480727B - 机器与机器通信中的组认证方法及系统 - Google Patents
机器与机器通信中的组认证方法及系统 Download PDFInfo
- Publication number
- CN102480727B CN102480727B CN201010567253.9A CN201010567253A CN102480727B CN 102480727 B CN102480727 B CN 102480727B CN 201010567253 A CN201010567253 A CN 201010567253A CN 102480727 B CN102480727 B CN 102480727B
- Authority
- CN
- China
- Prior art keywords
- group
- mtc device
- key
- authentication
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种机器与机器(M2M)通信中的组认证方法,签约为同一组的机器类(MTC)设备和认证中心共享相同的组标识和组密钥,各MTC设备分别与认证中心共享各自的根密钥;主MTC设备与接入安全管理设备进行认证和密钥协商机制(AKA)认证,在认证通过后,分别生成用于主MTC设备的机密性密钥和完整性密钥;从MTC设备与主MTC设备进行AKA认证,在从MTC设备认证通过后,接入安全管理设备和从MTC设备生成用于从MTC设备的机密性密钥和完整性密钥;本发明同时还公开了一种M2M通信中的组认证系统,通过本发明的方案,将极大地减轻MTC设备至网络之间的信令负荷,提高MTC设备接入的认证效率。
Description
技术领域
本发明涉及通信安全领域,尤其涉及一种机器与机器(M2M,Machine-to-Machine)通信中的组认证方法及系统。
背景技术
随着全球信息化,以及通信网络技术的出现和发展,人类社会出现了巨大的变化。人与人之间可以更便捷地进行沟通,信息的交换也越来越频繁。然而当前只有在人为干预的情况下,计算机或其他一些IT设备才具备联网和通信的能力,众多普通的机器类(MTC,Machine Type Communication)设备几乎不具备联网和通信能力。让这些普通的MTC设备具备联网和通信能力,以便让通信网络技术更好地为社会生活提供服务和保障,使城市变得智能化;在这种需求的驱动下,M2M通信的概念被引入到通信网络技术中。M2M通信的目标就是:使所有MTC设备都具备联网和通信能力,从而实现机器与机器、机器与人、人与机器之间的信息交换。为了确保信息的准确有效性,需要在M2M通信中引入安全机制。
现有2G和3G移动网络系统的安全机制主要有:认证和加密等。认证,即识别对方身份合法性的过程。下面简述全球移动通信系统(UMTS,UniversalMobile Telecommunication System)的认证和密钥协商机制(AKA,Authenticationand Key Agreement)认证过程。在演进分组系统(EPS,Evolved Packet System)中AKA认证过程和UMTS系统并无本质区别。UMTS的AKA认证基于存储在HLR和内置在终端USIM卡中的根密钥K进行认证,其认证过程如下:
1)终端向GPRS服务支持节点/拜访位置寄存器(SGSN/VLR,Serving GPRSSupport Node/Visitors Location Register)发出接入请求;SGSN/VLR根据终端标识向归属位置寄存器/认证中心(HLR/AuC)发起认证请求;HLR/AuC生成多组认证向量,每组认证向量有认证向量五元组组成:随机数(RAND)、期望响应(XRES)、认证令牌(AUTN)、机密性密钥(CK)、完整性密钥(IK)。
2)HLR/AuC将生成的认证向量五元组发送给请求认证的SGSN/VLR。
3)SGSN/VLR从HLR/AuC发送的多组认证向量五元组中选择一组,将其中的RAND、AUTN发送至接入请求的终端。
4)终端中USIM卡检查AUTN可否接受,如:AUTN是否由有效的认证令牌组成;在可接受时,执行步骤5);在不可接受时,认证失败,结束流程。
5)终端接收SGSN/VLR的认证消息,首先计算认证消息中的消息认证码XMAC,并将XMAC与AUTN中的MAC进行比较,如果不同,则拒绝认证,并放弃认证过程;如果相同,则终端验证接收到的序列号SQN是否在有效范围内,若不在有效范围内,则向SGSN/VLR发送同步失败消息,并放弃认证过程,如果XMAC与AUTN中的MAC相同、且验证SQN在有效范围内,执行步骤6)。
6)终端计算出响应值RES,并发送给SGSN/VLR;SGSN/VLR比较终端发送的RES和HLR/AuC发送的XRES是否一致,如果一致,则认证通过,否则认证失败;在认证通过时,终端的USIM卡同时计算出IK和CK,用于后续数据发送时的机密性和完整性保护。
现有移动网络都是为人与人(human-to-human)设计的,对于机器与机器、机器与人、人与机器之间的通信并非最佳。随着M2M技术的发展,终端数量将呈现极大的增长,据估计,将至少比human-to-human通讯的终端高两个数量级,由此而产生的信令、数据对现有移动网络将产生极大的冲击。如果每个终端都单独地执行认证,那么网络由于认证所承载的信令负荷也会随着终端数量的增长而成几何级数的增长,甚至导致网络拥塞,进而影响到网络的服务质量和用户的业务体验。
当许多MTC设备被部署为属于同一个MTC设备的MTC设备组、或当所有在同一个地点的MTC设备被分在一个组时,对于组中所有MTC设备的认证代价也是很高的,也常常是不必要的。由于现有移动网络认证技术难以满足日益增长的MTC设备的认证需求,因此需要一种优化的认证机制来减轻可能由于认证而带来的大量信令负荷。
发明内容
有鉴于此,本发明的主要目的在于提供一种M2M通信中的组认证方法及系统,能够极大地减轻MTC设备至网络之间的信令负荷,提高MTC设备接入的认证效率。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供的一种M2M通信中的组认证方法,签约为同一组的MTC设备和认证中心共享相同的组标识和组密钥,各所述MTC设备分别与所述认证中心共享各自的根密钥,该方法还包括:
主MTC设备与接入安全管理设备进行AKA认证,在认证通过后,所述主MTC设备与所述接入安全管理设备分别生成用于所述主MTC设备的机密性密钥和完整性密钥;
从MTC设备与所述主MTC设备进行所述AKA认证,在所述从MTC设备认证通过后,所述主MTC设备将所述从MTC设备的标识信息和组标识发送到所述接入安全管理设备;所述接入安全管理设备和所述从MTC设备分别生成用于从MTC设备的机密性密钥和完整性密钥。
上述方案中,所述主MTC设备与接入安全管理设备进行AKA认证为:所述主MTC设备接受所述接入安全管理设备发送的组认证令牌后,所述接入安全管理设备确定所述主MTC设备的组标识与从认证中心得到的组标识一致、且自身获得的变形组期望响应与所述主MTC设备的组响应一致,则所述主MTC设备认证通过。
上述方案中,该方法进一步包括:所述主MTC设备根据所述接入安全管理设备的组认证请求计算出组响应,之后向所述接入安全管理设备发送组认证响应,所述组认证响应中包含组标识、组响应。
上述方案中,在UMTS中,所述组认证请求中携带以下信息:包含组认证指令、本地随机数、组标识、组随机数、组认证令牌;
在EPS中,所述组认证请求中携带以下信息:组认证指令、本地随机数、组标识、组随机数、组认证令牌、组密钥集识别码。
上述方案中,所述变形组期望响应的获得,为:所述接入安全管理设备存储所述认证中心发送的组认证向量响应,生成本地随机数,根据本地随机数和组认证向量响应携带的组认证向量中的组期望响应生成所述变形组期望响应。
上述方案中,所述从MTC设备与所述主MTC设备进行所述AKA认证为:所述从MTC设备接受所述主MTC设备发送的组认证令牌后,所述主MTC设备确定自身的组标识与所述从MTC设备发送的组标识一致,且自身计算的变形组响应与所述从MTC设备的组响应一致,则所述从MTC设备认证通过。
上述方案中,该方法进一步包括:所述从MTC设备根据所述主MTC设备发送的组认证向量计算出组响应,并发送组认证向量响应给所述主MTC设备,所述组认证向量响应中包含组标识和组响应。
上述方案中,在UMTS中,所述认证中心发送的组认证向量响应携带的组认证向量包括组标识、组随机数、组认证令牌、组期望响应、组完整性密钥、组机密性密钥;
在EPS中,所述认证中心发送的组认证向量响应携带的组认证向量包括组标识、组随机数、组认证令牌、组期望响应、组接入网元密钥、组密钥集识别码。
上述方案中,在UMTS中,所述主MTC设备发送的组认证向量包含所述主MTC设备的本地随机数、组标识、组随机数、组认证令牌;
在EPS中,所述主MTC设备发送的组认证向量包含所述主MTC设备的本地随机数、组标识、组随机数、组认证令牌、组密钥集识别码。
上述方案中,当删除一个所述从MTC设备时,该方法进一步包括:所述认证中心产生新的组密钥,并在向所述接入安全管理设备发送的删除组成员消息中携带需删除的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值,所述接入安全管理设备下发需删除的所述从MTC设备的标识信息、组标识、组密钥的哈希值和删除指令到所述主MTC设备,所述主MTC设备在不需删除的所述从MTC设备发起认证请求时,更新所述从MTC设备的组密钥,在需删除的所述从MTC设备发起认证请求时,指示需删除的从MTC设备删除组签约信息及组密钥。
上述方案中,当添加一个所述从MTC设备时,该方法进一步包括:所述认证中心产生新的组密钥,并在向所述接入安全管理设备发送的添加组成员消息中携带需添加的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值,接入安全管理设备将所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令下发到所述主MTC设备,并下发组标识、组密钥的哈希值到需添加的所述从MTC设备,所述主MTC设备在组内原有所述从MTC设备发起认证请求后,更新请求认证的所述从MTC设备的组密钥。
本发明提供的一种M2M通信中的组认证系统,该系统包括:主MTC设备、认证中心、接入安全管理设备、从MTC设备,其中,
所述主MTC设备,与签约为同一组的从MTC设备和所述认证中心共享相同的组标识、组密钥,并与所述认证中心共享根密钥,用于与所述接入安全管理设备进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥;还用于与所述从MTC设备进行AKA认证,在所述从MTC设备认证通过后,将所述从MTC设备的标识信息和组标识发送到所述接入安全管理设备;
所述认证中心,用于与签约为同一组的MTC设备共享相同的组标识、组密钥,并分别共享各所述MTC设备的根密钥;
所述接入安全管理设备,用于与所述主MTC设备进行AKA认证,在所述主MTC设备认证通过后,生成用于所述主MTC设备的机密性密钥和完整性密钥;还用于接收所述主MTC设备发送的所述从MTC设备的标识信息和组标识后,生成用于所述从MTC设备的机密性密钥和完整性密钥;
所述从MTC设备,与签约为同一组的MTC设备和所述认证中心共享相同的组标识、组密钥,并与所述认证中心共享自身的根密钥,用于与所述主MTC设备进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥。
上述方案中,所述主MTC设备,具体用于确定自身的组标识与所述从MTC设备发送的组标识一致,且自身计算的变形组响应与所述从MTC设备发送的组响应一致,则所述从MTC设备认证通过。
上述方案中,所述认证中心,还用于向接入安全管理设备发送组标识;
所述主MTC设备,还用于在与接入安全管理设备进行AKA认证时,确定接受接入安全管理设备发送的组认证令牌,则向所述接入安全管理设备发送组标识和组响应;
所述接入安全管理设备,具体用于确定所述主MTC设备的组标识与从所述认证中心得到的组标识一致、且自身获得的变形组期望响应与主MTC设备发送的组响应一致,则所述主MTC设备认证通过。
上述方案中,所述认证中心,进一步用于在删除一个所述从MTC设备时,产生新的组密钥,并在向接入安全管理设备发送的删除组成员消息中携带需删除的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值;在添加一个所述从MTC设备时,产生新的组密钥,并在向所述接入安全管理设备发送的添加组成员消息中携带需添加的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值;
相应的,所述接入安全管理设备,进一步用于收到删除组成员消息后,将需删除的所述从MTC设备的标识信息、组标识、组密钥的哈希值和删除指令,下发到所述主MTC设备;收到添加组成员消息后,将需添加的所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令,下发到所述主MTC设备,并下发组标识、组密钥的哈希值到需添加的所述从MTC设备;
相应的,所述主MTC设备,进一步用于根据需删除的所述从MTC设备的标识信息、组签标识、组密钥的哈希值和删除指令,在不需删除的所述从MTC设备发起认证请求时,更新所述从MTC设备的组密钥;在需删除的所述从MTC设备发起认证请求时,指示被删除的所述从MTC设备删除组签约信息及组密钥;并用于根据需添加的所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令在组内原有从MTC设备发起认证请求时,更新请求认证的从MTC设备的组密钥。
本发明提供的一种M2M通信中的组认证方法及系统,签约为同一组的MTC设备和认证中心共享相同的组标识和组密钥,各MTC设备分别与认证中心共享各自的根密钥;主MTC设备与接入安全管理设备进行AKA认证,在认证通过后,接入安全管理设备和主MTC设备生成用于主MTC设备的机密性密钥和完整性密钥;从MTC设备与主MTC设备进行AKA认证,在从MTC设备认证通过后,接入安全管理设备和从MTC设备生成用于从MTC设备的机密性密钥和完整性密钥;如此,不需要所有的MTC设备都与接入安全管理设备进行认证,将极大地减轻MTC设备至网络之间的信令负荷,提高MTC设备接入的认证效率。
附图说明
图1为本发明实现M2M通信中的组认证方法的流程示意图;
图2为本发明实现一种M2M通信中的组认证系统的结构示意图;
图3为本发明实施例一中主MTC设备认证的方法的流程示意图;
图4为本发明实施例一中从MTC设备认证的方法的流程示意图;
图5为本发明实施例二中主MTC设备认证的方法的流程示意图;
图6为本发明实施例二中从MTC设备认证的方法的流程示意图;
图7为本发明实施例一中删除组中一个从MTC设备的方法的流程示意图;
图8为本发明实施例一中添加一个从MTC设备的方法的流程示意图;
图9为本发明实施例二中删除组中一个从MTC设备的方法的流程示意图;
图10为本发明实施例二中添加一个从MTC设备的方法的流程示意图。
具体实施方式
本发明的基本思想是:签约为同一组的MTC设备和认证中心共享相同的组标识和组密钥,各MTC设备分别与认证中心共享各自的根密钥,主MTC设备与接入安全管理设备进行AKA认证,在认证通过后,主MTC设备与接入安全管理设备分别生成用于主MTC设备的机密性密钥和完整性密钥;从MTC设备与主MTC设备进行AKA认证,在从MTC设备认证通过后,主MTC设备将所述从MTC设备的标识信息和组标识发送到接入安全管理设备;接入安全管理设备和从MTC设备生成用于从MTC设备的机密性密钥和完整性密钥。
下面通过附图及具体实施例对本发明做进一步的详细说明。
本发明实现M2M通信中的组认证方法,如图1所示,该方法包括步骤以下几个步骤:
步骤101:签约为同一组的MTC设备和认证中心共享相同的组标识和组密钥,各MTC设备分别与认证中心共享各自的根密钥;
具体的,签约为同一组的MTC设备和认证中心存储相同的组标识、组密钥,各MTC设备存储各自的根密钥,认证中心存储各MTC设备的根密钥。
步骤102:主MTC设备与接入安全管理设备进行AKA认证,在认证通过后,主MTC设备与接入安全管理设备分别生成用于主MTC设备的机密性密钥和完整性密钥;
本步骤中,主MTC设备确定接入安全管理设备发送的组认证令牌可接受后,接入安全管理设备确定主MTC设备和认证中心发送的组标识一致、且获得的变形组期望响应与主MTC设备的组响应一致,则主MTC设备认证通过,接入安全管理设备和主MTC设备生成用于主MTC设备的机密性密钥和完整性密钥;
具体的,主MTC设备向接入安全管理设备发送认证请求,请求消息中包含主MTC设备的标识信息以及主MTC设备所属组的组标识;接入安全管理设备根据所述认证请求向认证中心发起认证请求,请求消息中携带主MTC设备的标识信息及主MTC设备所属组的组标识;认证中心根据组标识查询组签约信息,并根据组签约信息中的组密钥和组认证策略,生成相应的组认证向量;所述组签约信息包括认证中心与签约为同一组的MTC设备共享的组标识、组密钥和根密钥,以及该组中各MTC设备的标识信息;这里,认证中心还对组签约信息中的各MTC设备的根密钥的哈希值进行计算。认证中心向接入安全管理设备返回认证向量响应,携带组认证向量、组中各MTC设备的标识信息及各MTC设备的根密钥的哈希值;接入安全管理设备存储组认证向量响应,生成本地随机数,根据本地随机数和组期望响应生成变形组期望响应,并发送组认证请求给主MTC设备;主MTC设备确定组认证请求中的组认证令牌可接受后,根据组认证请求计算出组响应,并向接入安全管理设备发送组认证响应,所述组认证响应中包含组标识、组响应;接入安全管理设备比较组认证响应与组认证向量中的组标识是否一致,如果不一致,则认证失败,结束流程;如果一致,则继续比较组认证响应中的组响应与变形组期望响应是否一致,如果一致,则认证通过,接入安全管理设备和主MTC设备生成机密性密钥和完整性密钥,用于主MTC设备数据的机密性和完整性保护;如果不一致,则认证失败,流程结束;这里,主MTC设备可以通过接收接入安全管理设备的认证通过的通知获知认证通过,或通过约定在一定时间内没有收到接入安全管理设备的认证未通过等的通知而认为认证通过,等等。
本实施例中,所述组认证令牌可接受的确定与现有技术认证令牌可接受的确定方法相同,这里不再赘述。
步骤103:从MTC设备与主MTC设备进行AKA认证,在从MTC设备认证通过后,主MTC设备将所述从MTC设备的标识信息和组标识发送到接入安全管理设备;接入安全管理设备和从MTC设备生成用于从MTC设备的机密性密钥和完整性密钥;
本步骤中,从MTC设备在发起接入认证时,主MTC设备确定自身的组标识与从MTC设备发送的组标识一致,且自身计算的变形组响应与从MTC设备的组响应一致,则从MTC设备认证通过,将所述从MTC设备的标识信息和组标识发送到接入安全管理设备;接入安全管理设备和从MTC设备生成用于从MTC设备的机密性密钥和完整性密钥;
具体的,主MTC设备根据从MTC设备的认证请求消息,查找相应的组认证向量,并生成自身的本地随机数,根据所述本地随机数和组响应计算出变形组响应;所述查找相应的组认证向量为:在本地查找组标识、组随机数、组认证令牌。主MTC设备向从MTC设备发送组认证向量;从MTC设备确定组认证向量中的组认证令牌可接受后,根据组认证向量计算出组响应;从MTC设备发送组认证向量响应给主MTC设备,所述组认证向量响应中包含组标识和组响应;主MTC设备比较自身的组标识与组认证向量响应中的组标识是否一致,如果不一致,则认证失败,流程结束;如果一致,则继续比较组认证向量响应中的组响应与变形组响应是否一致,如果一致,则认证通过,并通过安全通道向接入安全管理设备发送组认证应答,应答消息中包含该从MTC设备的标识信息和组标识;接入安全管理设备接收到组认证应答后,生成用于从MTC设备的机密性密钥和完整性密钥;从MTC设备在认证通过后,生成机密性密钥和完整性密钥进行机密性和完整性保护;如果不一致,则认证失败,流程结束;这里,从MTC设备可以通过接收主MTC设备的认证通过的通知获知认证通过,或通过约定在一定时间内没有收到主MTC设备的认证未通过的通知而认为认证通过,等等。
上述方法中,当签约用户(Subscriber)删除一个从MTC设备时,该方法进一步包括:
认证中心产生新的组密钥,并在向接入安全管理设备发送的删除组成员消息中携带需删除的从MTC设备的标识信息、组标识及产生的组密钥的哈希值,接入安全管理设备通过安全通道下发需删除的从MTC设备的标识信息、组标识、组密钥的哈希值和删除指令到主MTC设备,主MTC设备在不需删除的从MTC设备发起认证请求时,更新所述从MTC设备的组密钥,在需删除的从MTC设备发起认证请求时,指示需删除的从MTC设备删除组签约信息及组密钥。
当Subscriber添加一个从MTC设备时,该方法进一步包括:
认证中心产生新的组密钥,并在向接入安全管理设备发送的添加组成员消息中携带需添加的从MTC设备的标识信息、组标识及产生的组密钥的哈希值,接入安全管理设备通过安全通道将所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令下发到主MTC设备,并通过安全通道下发组标识、组密钥的哈希值到需添加的从MTC设备,主MTC设备在组内原有从MTC设备发起认证请求后,更新请求认证的从MTC设备的组密钥。
为了实现上述方法,本发明还提供一种M2M通信中的组认证系统,如图2所示,该系统包括:主MTC设备21、认证中心22、接入安全管理设备23、从MTC设备24;其中,
主MTC设备21,与签约为同一组的从MTC设备24和认证中心22共享相同的组标识、组密钥,并与认证中心22共享根密钥,用于与接入安全管理设备23进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥;并用于与从MTC设备24进行AKA认证,在从MTC设备24认证通过后,将所述从MTC设备24的标识信息和组标识发送到接入安全管理设备23;
认证中心22,用于与签约为同一组的MTC设备共享相同的组标识、组密钥,并分别共享各MTC设备的根密钥;
接入安全管理设备23,用于与主MTC设备21进行AKA认证,在主MTC设备21认证通过后,生成用于主MTC设备21的机密性密钥和完整性密钥;并用于接收主MTC设备21发送的从MTC设备24的标识信息和组标识后,生成用于所述从MTC设备24的机密性密钥和完整性密钥;
从MTC设备24,与签约为同一组的MTC设备和认证中心22共享相同的组标识、组密钥,并与认证中心24共享自身的根密钥,用于与主MTC设备21进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥。
所述认证中心22,还用于向接入安全管理设备23发送组标识;
所述主MTC设备21,还用于在与接入安全管理设备23进行AKA认证时,确定接受接入安全管理设备23发送的组认证令牌,则向接入安全管理设备23发送组标识和组响应;
所述接入安全管理设备23,具体用于确定主MTC设备21的组标识与从认证中心22得到的组标识一致、且自身获得的变形组期望响应与主MTC设备21发送的组响应一致,则主MTC设备21认证通过;
所述主MTC设备21向接入安全管理设备23发送组标识和组响应,具体为:主MTC设备21存储接入安全管理设备23发送的组认证请求,并根据组认证请求计算出组响应,之后向接入安全管理设备23发送组认证响应,所述组认证响应中包含组标识、组响应;
相应的,所述接入安全管理设备23,还用于发送组认证请求给主MTC设备21;
所述接入安全管理设备23,还用于根据认证中心22发送的组认证向量获得变形组期望响应,具体为:接入安全管理设备23存储认证中心22发送的组认证向量响应,生成本地随机数,根据本地随机数和组认证向量响应携带的组认证向量中的组期望响应生成变形组期望响应;
相应的,所述认证中心22还向接入安全管理设备23发送携带组认证向量的组认证向量响应。
所述主MTC设备21与从MTC设备24进行AKA认证,具体为:从MTC设备24确定主MTC设备21发送的组认证令牌可接受后,主MTC设备21确定自身的组标识与从MTC设备24发送的组标识一致,且自身计算的变形组响应与从MTC设备24发送的组响应一致,则从MTC设备24认证通过;
所述主MTC设备21计算变形组响应,具体为:所述主MTC设备21生成自身的本地随机数,根据所述本地随机数和组响应计算出变形组响应;
所述从MTC设备24,还用于向主MTC设备21发送组标识和组响应,具体为:从MTC设备24根据主MTC设备21发送的组认证向量计算出组响应,并发送组认证向量响应给主MTC设备21,所述组认证向量响应中包含组标识和组响应;
相应的,所述主MTC设备21,还用于向从MTC设备24发送组认证向量。
所述认证中心22,进一步用于在删除一个从MTC设备24时,产生新的组密钥,并在向接入安全管理设备23发送的删除组成员消息中携带需删除的从MTC设备24的标识信息、组标识及产生的组密钥的哈希值;在添加一个从MTC设备24时,产生新的组密钥,并在向接入安全管理设备23发送的添加组成员消息中携带需添加的从MTC设备24的标识信息、组标识及产生的组密钥的哈希值;
相应的,所述接入安全管理设备23,进一步用于收到删除组成员消息后,通过安全通道将需删除的从MTC设备24的标识信息、组标识、组密钥的哈希值和删除指令,下发到主MTC设备21;收到添加组成员消息后,通过安全通道将需添加的从MTC设备24的标识信息、组标识、组密钥的哈希值和添加指令,下发到主MTC设备21,并通过安全通道下发组标识、组密钥的哈希值到需添加的从MTC设备24;
相应的,所述主MTC设备21,进一步用于根据需删除的从MTC设备24的标识信息、组签标识、组密钥的哈希值和删除指令,在不需删除的从MTC设备24发起认证请求时,更新所述从MTC设备24的组密钥;在需删除的从MTC设备24发起认证请求时,指示被删除的从MTC设备24删除组签约信息及组密钥;并用于根据需添加的从MTC设备24的标识信息、组标识、组密钥的哈希值和添加指令在组内原有从MTC设备24发起认证请求时,更新请求认证的从MTC设备24的组密钥。
下面结合具体实施例详细说明本发明的方法的实现过程和原理。
实施例一
本实施例应用于UMTS,接入安全管理设备为SGSN/VLR,认证中心为HLR/AuC,签约为同一组的MTC设备和HLR/AuC共享相同的组标识GIDi、组密钥Kg,各MTC设备分别与HLR/AuC共享各自的根密钥K,在HLR/AuC预先配置组签约信息以及组认证策略,如图3所示,主MTC设备认证的方法包括以下几个步骤:
步骤301:主MTC设备向SGSN/VLR发送认证请求,请求消息中包含主MTC设备的标识信息以及主MTC设备所属组的组标识GIDi;
本实施例中,主MTC设备的标识信息为该设备的IMSI。
步骤302:SGSN/VLR向认证中心HLR/AuC发起认证请求,请求消息中携带主MTC设备的标识信息及主MTC设备所属组的组标识GIDi;
步骤303:HLR/AuC根据组标识查询主MTC设备的组签约信息,并根据组签约信息中的组密钥Kg和组认证策略,生成相应的组认证向量;
本步骤中,所述组认证策略包括生成组认证向量中各密钥的算法,如哈希算法等;所述组认证向量包括组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组完整性密钥GIKi、组机密性密钥GCKi。这里,生成组认证向量的密钥生成算法及哈希算法可以是现有的任一种算法,组认证向量的生成由于其为现有技术,这里不再赘述各参数的生成方式。
本步骤中,HLR/AuC还对组签约信息中的各MTC设备的根密钥的哈希值进行计算。
步骤304:HLR/Auc向SGSN/VLR返回组认证向量响应,携带组认证向量、组中各MTC设备的标识信息及各MTC设备的根密钥的哈希值;
步骤305:SGSN/VLR存储HLR/AuC发送的组认证向量响应,生成本地随机数RANDi,根据RANDi和GXRESi,生成变形组期望响应GXRESi’;
步骤306:SGSN/VLR发送组认证请求给主MTC设备,所述组认证请求中包含组认证指令GA Indicator、本地随机数RANDi、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi;
步骤307:主MTC设备存储SGSN/VLR发送的组认证请求,在确定其中的组认证令牌GAUTNi可接受后,根据组密钥Kg、本地随机数RANDi、组随机数GRANDi和组认证令牌GAUTNi,计算出组响应GRESi、组完整性密钥GIKi、组机密性密钥GCKi;
步骤308:主MTC设备向SGSN/VLR发送组认证响应,所述组认证响应中包含组标识GIDi、组响应GRESi;
步骤309:SGSN/VLR比较组认证响应与组认证向量中的组标识GIDi是否一致,如果不一致,则认证失败,流程结束;如果一致,则继续比较组认证响应中的组响应GRESi与变形组期望响应GXRESi’是否一致,如果一致,则通知主MTC设备认证通过,执行步骤310;否则认证失败,流程结束;
步骤310:SGSN/VLR根据组机密性密钥GCKi、组完整性密钥GIKi及主MTC设备根密钥的哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK,用于主MTC设备数据的机密性和完整性保护;
步骤311:主MTC设备接收到认证通过的通知后,根据组完整性密钥GIKi、组机密性密钥GCKi及自身根密钥的哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK。
从MTC设备认证的方法如图4所示,包括以下几个步骤:
步骤401:从MTC设备向主MTC设备发起认证请求,请求消息中包含从MTC设备的标识信息及所属组的组标识GIDi;
步骤402:主MTC设备根据收到的认证请求消息,判断该请求认证的从MTC设备是否为组成员,如果不是组成员,则拒绝认证请求,流程结束;如果是组成员,则查找相应的组认证向量,并生成自身的本地随机数RAND,根据本地随机数RAND和组响应GRESi,计算出变形组响应GRESi’;
本步骤中,所述查找相应的组认证向量为:在本地查找组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi。
步骤403:主MTC设备向从MTC设备发送组认证向量,所述组认证向量包含自身的本地随机数RAND、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi;
步骤404:从MTC设备确定组认证令牌GAUTNi可接受后,根据本地随机数RAND、组密钥Kg、组随机数GRANDi、组认证令牌GAUTNi,计算出组响应GRESii、组机密性密钥GCKi、组完整性密钥GIKi;
步骤405:从MTC设备发送组认证向量响应给主MTC设备,所述组认证向量响应中包含组标识GIDi和组响应GRESii;
步骤406:主MTC设备比较自身的组标识GIDi与组认证向量响应中的组标识GIDi是否一致,如果不一致,则认证失败,流程结束;如果一致,则继续比较组认证向量响应中的组响应GRESii与变形组响应GRESi’是否一致,如果一致,则通知从MTC设备认证通过,执行步骤407;否则认证失败,流程结束;
步骤407:主MTC设备通过安全通道向SGSN/VLR发送组认证应答,应答消息中包含该从MTC设备的标识信息和组标识GIDi;
步骤408:SGSN/VLR接收到组认证应答后,根据组机密性密钥GCKi和组完整性密钥GIKi,以及该从MTC设备根密钥的哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK,进行从MTC设备数据的机密性和完整性保护;
步骤409:从MTC设备接收到认证通过的通知后,根据组机密性密钥GCKi和组完整性密钥GIKi,以及自身根密钥的哈希值hash(Ki),生成机密性密钥CK和完整性密钥IK进行机密性和完整性保护。
实施例二
本实施例应用于EPS,接入安全管理设备为移动管理实体(MME),认证中心为归属用户服务器(HSS,Home Subscriber Server),签约为同一组的MTC设备和HSS共享相同的组标识GIDi、组密钥Kg,各MTC设备分别与HSS共享各自的根密钥K,在HSS预先配置组签约信息以及组认证策略,如图5所示,主MTC设备认证的方法包括以下几个步骤:
步骤501:主MTC设备向MME发送认证请求,请求消息中包含主MTC设备的标识信息以及主MTC设备所属组的组标识GIDi;
本实施例中,主MTC设备的标识信息为该设备的IMSI。
步骤502:MME向HSS发起认证请求,请求消息中携带主MTC设备的标识信息及主MTC设备所属组的组标识信息GIDi;
步骤503:HSS根据组标识信息查询主MTC设备的组签约信息,并根据组密钥Kg和组认证策略,生成相应的组认证向量;
本步骤中,所述组认证策略包括生成组认证向量中各密钥的算法,如哈希算法等;所述组认证向量包括组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组接入网元密钥GKasmei、组密钥集识别码GKSIasmei。这里,生成组认证向量的密钥生成算法及哈希算法可以是现有的任一种算法,组认证向量的生成由于其为现有技术,这里不再赘述各参数的生成方式。
本步骤中,HLR/AuC还对组签约信息中的各MTC设备的根密钥的哈希值进行计算。
步骤504:HSS向MME返回组认证向量响应,携带组认证向量、组中各MTC设备的标识信息及各MTC设备的根密钥的哈希值;
步骤505:MME存储HSS发送的组认证向量响应,生成本地随机数RANDi,根据RANDi和GXRESi,生成变形组期望响应GXRESi’;
步骤506:MME发送组认证请求给主MTC设备,所述组认证请求中包含组认证指令GA Indicator、本地随机数RANDi、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组密钥集识别码GKSIasmei;
步骤507:主MTC设备存储MME发送的组认证请求,在确定其中的组认证令牌GAUTNi可接受后,根据组密钥Kg、本地随机数RANDi、组随机数GRANDi、组认证令牌GAUTNi、组密钥集识别码GKSIasmei,计算出组响应GRESi和组接入网元密钥GKasmei;
步骤508:主MTC设备向MME发送组认证响应,所述组认证响应中包含组标识GIDi、组响应GRESi;
步骤509:MME比较组认证响应与组认证向量中的组标识GIDi是否一致,如果不一致,则认证失败,流程结束;如果一致,则继续比较组认证响应中的组响应GRESi与变形组期望响应GXRESi’是否一致,如果一致,则通知主MTC设备认证通过,执行步骤510;否则认证失败,流程结束;
步骤510:MME根据组接入网元密钥GKasmei和主MTC设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于接入网元密钥Kasmei生成机密性密钥CK和完整性密钥IK;
步骤511:主MTC设备根据组接入网元密钥GKasmei和自身根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性密钥CK和完整性密钥IK。
从MTC设备认证的方法如图6所示,包括以下几个步骤:
步骤601:从MTC设备向主MTC设备发起认证请求,请求消息中包含从MTC设备的标识信息及所属组的组标识GIDi;
步骤602:主MTC设备根据收到的认证请求消息,判断该请求认证的从MTC设备是否为组成员,如果不是组成员,则拒绝认证请求,流程结束;如果是组成员,则查找相应的组认证向量,并生成本地随机数RAND,根据本地随机数RAND和组响应GRESi,计算出变形组响应GRESi’;
步骤603:主MTC设备向从MTC设备发送组认证向量,所述组认证向量包含自身的本地随机数RAND、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组密钥集识别码GKSIasmei;
步骤604:从MTC设备确定组认证令牌GAUTNi可接受后,根据本地随机数RAND、组密钥Kg、组随机数GRANDi、组认证令牌GAUTNi及组密钥集识别码GKSIasmei,计算出组响应GRESii、组接入网元密钥GKasmei;
步骤605:从MTC设备发送组认证向量响应给主MTC设备,消息中包含组标识GIDi和组响应GRESii;
步骤606:主MTC设备比较自身的组标识GIDi与组认证向量响应中的组标识GIDi是否一致,如果不一致,则认证失败,流程结束;如果一致,则继续比较组认证向量响应中的组响应GRESii与变形组响应GRESi’是否一致,如果一致,则通知从MTC设备认证通过,执行步骤607;否则认证失败,流程结束;
步骤607:主MTC设备通过安全通道向MME发送组认证应答,应答消息中包含该从MTC设备的标识信息、组标识GIDi;
步骤608:MME接收到组认证应答后,根据组接入网元密钥GKasmei和该从MTC设备根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性密钥CK和完整性密钥IK,进行从MTC设备数据的机密性和完整性保护;
步骤609:从MTC设备根据组接入网元密钥GKasmei和自身根密钥的哈希值hash(Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性密钥CK和完整性密钥IK进行机密性和完整性保护。
实施例三
本实施例为实施例一中删除组中一个从MTC设备的方法,如图7所示,该方法包括以下几个步骤:
步骤701:在删除组中一个从MTC设备时,HLR/AuC更新组签约信息,删除该从MTC设备,产生新的组密钥Kg,并计算新组密钥的哈希值hash(Kg);
步骤702:HLR/AuC向SGSN/VLR发送删除组成员消息,所述删除组成员消息中包含该从MTC设备的标识信息、所属组的组标识GIDi、新组密钥的哈希值hash(Kg)和删除指令Delete;
步骤703:SGSN/VLR更新组签约信息,并通过安全通道下发删除组成员消息给主MTC设备;
步骤704:主MTC设备根据删除组成员消息中的组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组签约信息;
步骤705:需删除的从MTC设备向主MTC设备发起认证请求时,请求中包含该从MTC设备的标识信息、组标识GIDi;
步骤706:主MTC设备根据删除组成员消息确定请求认证的从MTC设备需要删除,则向所述从MTC设备返回消息指示其删除组信息和原组密钥,消息中包含组标识GIDi;
步骤707:不需删除的从MTC设备向主MTC设备发起认证请求时,请求中包含从MTC设备的标识信息、组标识GIDi;
步骤708:主MTC设备根据组签约信息向从MTC设备发送消息进行组密钥更新,消息中包含组标识GIDi、新组密钥的哈希值hash(Kg);
步骤709:从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新自身的组密钥。
实施例四
本实施例为实施例一中添加一个从MTC设备的方法,如图8所示,该方法包括以下几个步骤:
步骤801:在添加一个从MTC设备时,HLR/AuC更新组签约信息,添加该从MTC设备,产生新的组密钥Kg,并计算新组密钥的哈希值hash(Kg);
步骤802:HLR/AuC向SGSN/VLR发送添加组成员消息,所述添加组成员消息中包含该从MTC设备的标识信息、所属组的组标识GIDi、新组密钥的哈希值hash(Kg)和添加指令Add;
步骤803:SGSN/VLR更新组签约信息,并通过安全通道下发添加组成员消息给主MTC设备;
步骤804:主MTC设备根据添加组成员消息中的组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新自身的组签约信息;
步骤805:SGSN/VLR通过安全通道下发包含组标识GIDi和新组密钥的哈希值hash(Kg)的消息给需添加的从MTC设备;
步骤806:需添加的从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组签约信息;
步骤807:原有从MTC设备向主MTC设备发起认证请求时,请求中包含该原有从MTC设备的标识信息和组标识GIDi;
步骤808:主MTC设备根据组签约信息向该原有从MTC设备发送消息进行密钥更新,消息中包含组标识GIDi和新组密钥的哈希值hash(Kg);
步骤809:所述原有从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组密钥。
实施例五
本实施例为实施例二中删除组中一个从MTC设备的方法,如图9所示,该方法包括以下几个步骤:
步骤901:在删除组中一个从MTC设备时,HSS更新组签约信息,删除该从MTC设备,产生新的组密钥Kg,并计算新组密钥的哈希值hash(Kg);
步骤902:HSS向MME发送删除组成员消息,所述删除组成员消息中包含该从MTC设备的标识信息、所属组的组标识GIDi、新组密钥的哈希值hash(Kg)和删除指令Delete;
步骤903:MME更新组签约信息,并通过安全通道下发删除组成员消息给主MTC设备;
步骤904:主MTC设备根据删除组成员消息中的组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组签约信息;
步骤905:需删除的从MTC设备向主MTC设备发起认证请求时,请求中包含该从MTC设备的标识信息、组标识GIDi;
步骤906:主MTC设备根据删除组成员消息确定请求认证的从MTC设备需要删除,则向所述从MTC设备返回消息指示其删除组信息和原组密钥,消息中包含组标识GIDi;
步骤907:不需删除的从MTC设备向主MTC设备发起认证请求时,请求中包含从MTC设备的标识信息、组标识GIDi;
步骤908:主MTC设备根据组签约信息向从MTC设备发送消息进行组密钥更新,消息中包含组标识GIDi、新组密钥的哈希值hash(Kg);
步骤909:从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新自身的组密钥。
实施例六
本实施例为实施例一中添加一个从MTC设备的方法,如图10所示,该方法包括以下几个步骤:
步骤1001:在添加一个从MTC设备时,HSS更新组签约信息,添加该从MTC设备,产生新的组密钥Kg,并计算新组密钥的哈希值hash(Kg);
步骤1002:HSS向MME发送添加组成员消息,所述添加组成员消息中包含该从MTC设备的标识信息、所属组的组标识GIDi、新组密钥的哈希值hash(Kg)和添加指令Add;
步骤1003:MME更新组签约信息,并通过安全通道下发添加组成员消息给主MTC设备;
步骤1004:主MTC设备根据添加组成员消息中的组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新自身的组签约信息;
步骤1005:MME通过安全通道下发包含组标识GIDi和新组密钥的哈希值hash(Kg)的消息给需添加的从MTC设备;
步骤1006:需添加的从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组签约信息;
步骤1007:原有从MTC设备向主MTC设备发起认证请求时,请求中包含该原有从MTC设备的标识信息和组标识GIDi;
步骤1008:主MTC设备根据组签约信息向该原有从MTC设备发送消息进行密钥更新,消息中包含组标识GIDi和新组密钥的哈希值hash(Kg);
步骤1009:所述原有从MTC设备根据组标识GIDi和新组密钥的哈希值hash(Kg),计算出组密钥Kg,更新组密钥。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种机器与机器(M2M)通信中的组认证方法,其特征在于,签约为同一组的机器类(MTC)设备和认证中心共享相同的组标识和组密钥,各所述MTC设备分别与所述认证中心共享各自的根密钥,该方法还包括:
主MTC设备与接入安全管理设备进行认证和密钥协商机制(AKA)认证,在认证通过后,所述主MTC设备与所述接入安全管理设备分别生成用于所述主MTC设备的机密性密钥和完整性密钥;
从MTC设备与所述主MTC设备进行所述AKA认证,在所述从MTC设备认证通过后,所述主MTC设备将所述从MTC设备的标识信息和组标识发送到所述接入安全管理设备;所述接入安全管理设备和所述从MTC设备分别生成用于从MTC设备的机密性密钥和完整性密钥;
当删除一个所述从MTC设备时,该方法进一步包括:所述认证中心产生新的组密钥,并在向所述接入安全管理设备发送的删除组成员消息中携带需删除的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值,所述接入安全管理设备下发需删除的所述从MTC设备的标识信息、组标识、组密钥的哈希值和删除指令到所述主MTC设备,所述主MTC设备在不需删除的所述从MTC设备发起认证请求时,更新所述从MTC设备的组密钥,在需删除的所述从MTC设备发起认证请求时,指示需删除的从MTC设备删除组签约信息及组密钥。
2.根据权利要求1所述的组认证方法,其特征在于,所述主MTC设备与接入安全管理设备进行AKA认证为:所述主MTC设备接受所述接入安全管理设备发送的组认证令牌后,所述接入安全管理设备确定所述主MTC设备的组标识与从认证中心得到的组标识一致、且自身获得的变形组期望响应与所述主MTC设备的组响应一致,则所述主MTC设备认证通过。
3.根据权利要求2所述的组认证方法,其特征在于,该方法进一步包括:所述主MTC设备根据所述接入安全管理设备的组认证请求计算出组响应,之后向所述接入安全管理设备发送组认证响应,所述组认证响应中包含组标识、组响应。
4.根据权利要求3所述的组认证方法,其特征在于,在全球移动通信系统(UMTS)中,所述组认证请求中携带以下信息:包含组认证指令、本地随机数、组标识、组随机数、组认证令牌;
在演进分组系统(EPS)中,所述组认证请求中携带以下信息:组认证指令、本地随机数、组标识、组随机数、组认证令牌、组密钥集识别码。
5.根据权利要求2或4所述的组认证方法,其特征在于,所述变形组期望响应的获得,为:所述接入安全管理设备存储所述认证中心发送的组认证向量响应,生成本地随机数,根据本地随机数和组认证向量响应携带的组认证向量中的组期望响应生成所述变形组期望响应。
6.根据权利要求1或4所述的组认证方法,其特征在于,所述从MTC设备与所述主MTC设备进行所述AKA认证为:所述从MTC设备接受所述主MTC设备发送的组认证令牌后,所述主MTC设备确定自身的组标识与所述从MTC设备发送的组标识一致,且自身计算的变形组响应与所述从MTC设备的组响应一致,则所述从MTC设备认证通过。
7.根据权利要求6所述的组认证方法,其特征在于,该方法进一步包括:所述从MTC设备根据所述主MTC设备发送的组认证向量计算出组响应,并发送组认证向量响应给所述主MTC设备,所述组认证向量响应中包含组标识和组响应。
8.根据权利要求5所述的组认证方法,其特征在于,在UMTS中,所述认证中心发送的组认证向量响应携带的组认证向量包括组标识、组随机数、组认证令牌、组期望响应、组完整性密钥、组机密性密钥;
在EPS中,所述认证中心发送的组认证向量响应携带的组认证向量包括组标识、组随机数、组认证令牌、组期望响应、组接入网元密钥、组密钥集识别码。
9.根据权利要求7所述的组认证方法,其特征在于,在UMTS中,所述主MTC设备发送的组认证向量包含所述主MTC设备的本地随机数、组标识、组随机数、组认证令牌;
在EPS中,所述主MTC设备发送的组认证向量包含所述主MTC设备的本地随机数、组标识、组随机数、组认证令牌、组密钥集识别码。
10.根据权利要求1所述的组认证方法,其特征在于,当添加一个所述从MTC设备时,该方法进一步包括:所述认证中心产生新的组密钥,并在向所述接入安全管理设备发送的添加组成员消息中携带需添加的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值,接入安全管理设备将所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令下发到所述主MTC设备,并下发组标识、组密钥的哈希值到需添加的所述从MTC设备,所述主MTC设备在组内原有所述从MTC设备发起认证请求后,更新请求认证的所述从MTC设备的组密钥。
11.一种M2M通信中的组认证系统,其特征在于,该系统包括:主MTC设备、认证中心、接入安全管理设备、从MTC设备,其中,
所述主MTC设备,与签约为同一组的从MTC设备和所述认证中心共享相同的组标识、组密钥,并与所述认证中心共享根密钥,用于与所述接入安全管理设备进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥;还用于与所述从MTC设备进行AKA认证,在所述从MTC设备认证通过后,将所述从MTC设备的标识信息和组标识发送到所述接入安全管理设备;
所述认证中心,用于与签约为同一组的MTC设备共享相同的组标识、组密钥,并分别共享各所述MTC设备的根密钥;
所述接入安全管理设备,用于与所述主MTC设备进行AKA认证,在所述主MTC设备认证通过后,生成用于所述主MTC设备的机密性密钥和完整性密钥;还用于接收所述主MTC设备发送的所述从MTC设备的标识信息和组标识后,生成用于所述从MTC设备的机密性密钥和完整性密钥;
所述从MTC设备,与签约为同一组的MTC设备和所述认证中心共享相同的组标识、组密钥,并与所述认证中心共享自身的根密钥,用于与所述主MTC设备进行AKA认证,在认证通过后,生成用于自身的机密性密钥和完整性密钥;
所述认证中心,进一步用于在删除一个所述从MTC设备时,产生新的组密钥,并在向接入安全管理设备发送的删除组成员消息中携带需删除的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值;
所述接入安全管理设备,进一步用于收到删除组成员消息后,将需删除的所述从MTC设备的标识信息、组标识、组密钥的哈希值和删除指令,下发到所述主MTC设备;
所述主MTC设备,进一步用于根据需删除的所述从MTC设备的标识信息、组签标识、组密钥的哈希值和删除指令,在不需删除的所述从MTC设备发起认证请求时,更新所述从MTC设备的组密钥;在需删除的所述从MTC设备发起认证请求时,指示被删除的所述从MTC设备删除组签约信息及组密钥。
12.根据权利要求11所述的组认证系统,其特征在于,所述主MTC设备,具体用于确定自身的组标识与所述从MTC设备发送的组标识一致,且自身计算的变形组响应与所述从MTC设备发送的组响应一致,则所述从MTC设备认证通过。
13.根据权利要求11所述的组认证系统,其特征在于,所述认证中心,还用于向接入安全管理设备发送组标识;
所述主MTC设备,还用于在与接入安全管理设备进行AKA认证时,确定接受接入安全管理设备发送的组认证令牌,则向所述接入安全管理设备发送组标识和组响应;
所述接入安全管理设备,具体用于确定所述主MTC设备的组标识与从所述认证中心得到的组标识一致、且自身获得的变形组期望响应与主MTC设备发送的组响应一致,则所述主MTC设备认证通过。
14.根据权利要求13所述的组认证系统,其特征在于,所述认证中心,进一步用于在添加一个所述从MTC设备时,产生新的组密钥,并在向所述接入安全管理设备发送的添加组成员消息中携带需添加的所述从MTC设备的标识信息、组标识及产生的组密钥的哈希值;
相应的,所述接入安全管理设备,进一步用于收到添加组成员消息后,将需添加的所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令,下发到所述主MTC设备,并下发组标识、组密钥的哈希值到需添加的所述从MTC设备;
相应的,所述主MTC设备,进一步用于根据需添加的所述从MTC设备的标识信息、组标识、组密钥的哈希值和添加指令在组内原有从MTC设备发起认证请求时,更新请求认证的从MTC设备的组密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010567253.9A CN102480727B (zh) | 2010-11-30 | 2010-11-30 | 机器与机器通信中的组认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010567253.9A CN102480727B (zh) | 2010-11-30 | 2010-11-30 | 机器与机器通信中的组认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102480727A CN102480727A (zh) | 2012-05-30 |
| CN102480727B true CN102480727B (zh) | 2015-08-12 |
Family
ID=46093174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010567253.9A Expired - Fee Related CN102480727B (zh) | 2010-11-30 | 2010-11-30 | 机器与机器通信中的组认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102480727B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018222132A3 (zh) * | 2017-05-29 | 2019-01-31 | 华为国际有限公司 | 网络认证方法、网络设备及核心网设备 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012209445A1 (de) * | 2012-06-05 | 2013-12-05 | Robert Bosch Gmbh | Verfahren und Kommunikationssystem zur sicheren Datenübertragung |
| WO2014094835A1 (en) | 2012-12-19 | 2014-06-26 | Telefonaktiebolaget L M Ericsson (Publ) | Device authentication by tagging |
| CN104661171B (zh) * | 2013-11-25 | 2020-02-28 | 中兴通讯股份有限公司 | 一种用于mtc设备组的小数据安全传输方法和系统 |
| CN106034027A (zh) * | 2015-03-12 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| CN104703178B (zh) * | 2015-03-15 | 2018-05-04 | 西安电子科技大学 | 基于群组匿名代理的机器类型通信认证和密钥协商方法 |
| CN105844717A (zh) * | 2016-01-08 | 2016-08-10 | 乐卡汽车智能科技(北京)有限公司 | 信息处理方法、系统和控制装置 |
| CN106330455A (zh) * | 2016-08-18 | 2017-01-11 | 北京华大信安科技有限公司 | 一种安全认证方法、主电子设备及从电子设备 |
| EP3379766B1 (en) | 2017-03-20 | 2019-06-26 | Huawei Technologies Co., Ltd. | A wireless communication device for communication in a wireless communication network |
| CN110366179A (zh) * | 2018-04-09 | 2019-10-22 | 中兴通讯股份有限公司 | 一种认证方法、设备和计算机可读存储介质 |
| CN109150915A (zh) * | 2018-10-23 | 2019-01-04 | 济南浪潮高新科技投资发展有限公司 | 一种雾计算节点间相互信任的方法 |
| CN112118569B (zh) * | 2019-12-17 | 2022-07-22 | 兰州大学 | Lte网机器类型通信设备异步组通信中的组认证方法及系统 |
| CN112788571A (zh) * | 2021-01-14 | 2021-05-11 | 兰州大学 | Lte网中机器类型通信设备的组认证方法及系统 |
| CN115250450A (zh) * | 2021-04-28 | 2022-10-28 | 大唐移动通信设备有限公司 | 一种获取组通信密钥的方法及设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1691603A (zh) * | 2004-04-28 | 2005-11-02 | 联想(北京)有限公司 | 一种实现设备分组及分组设备间交互的方法 |
| CN1790985A (zh) * | 2004-12-13 | 2006-06-21 | 华为技术有限公司 | 实现不同认证控制设备间同步认证的方法 |
| CN101304319A (zh) * | 2007-03-21 | 2008-11-12 | 三星电子株式会社 | 移动通信网络以及用于认证其中的移动节点的方法和装置 |
| CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
| CN102143491A (zh) * | 2010-01-29 | 2011-08-03 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4946121B2 (ja) * | 2006-03-24 | 2012-06-06 | パナソニック株式会社 | 認証中継装置、認証中継システム、及び認証中継方法 |
| JP4687703B2 (ja) * | 2007-10-02 | 2011-05-25 | ソニー株式会社 | 記録システム、情報処理装置、記憶装置、記録方法及びプログラム |
-
2010
- 2010-11-30 CN CN201010567253.9A patent/CN102480727B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1691603A (zh) * | 2004-04-28 | 2005-11-02 | 联想(北京)有限公司 | 一种实现设备分组及分组设备间交互的方法 |
| CN1790985A (zh) * | 2004-12-13 | 2006-06-21 | 华为技术有限公司 | 实现不同认证控制设备间同步认证的方法 |
| CN101304319A (zh) * | 2007-03-21 | 2008-11-12 | 三星电子株式会社 | 移动通信网络以及用于认证其中的移动节点的方法和装置 |
| CN101640887A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN102143491A (zh) * | 2010-01-29 | 2011-08-03 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| CN102215474A (zh) * | 2010-04-12 | 2011-10-12 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018222132A3 (zh) * | 2017-05-29 | 2019-01-31 | 华为国际有限公司 | 网络认证方法、网络设备及核心网设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102480727A (zh) | 2012-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102480727B (zh) | 机器与机器通信中的组认证方法及系统 | |
| CN102469458B (zh) | 一种m2m通信中的组认证方法和系统 | |
| Lai et al. | Toward secure large-scale machine-to-machine comm unications in 3GPP networks: chall enges and solutions | |
| CN101317359B (zh) | 生成本地接口密钥的方法及装置 | |
| CN101610452B (zh) | 一种传感器网络鉴别与密钥管理机制的融合方法 | |
| CN102143491B (zh) | 对mtc设备的认证方法、mtc网关及相关设备 | |
| KR101929699B1 (ko) | Gprs 시스템 키 강화 방법, sgsn 디바이스, ue, hlr/hss, 및 gprs 시스템 | |
| CN102843233A (zh) | 一种机器到机器通信中组认证的方法和系统 | |
| CN112752236B (zh) | 一种基于区块链的网联汽车认证方法、设备及储存介质 | |
| CN103370899A (zh) | 无线设备、注册服务器和无线设备预配置方法 | |
| CN102202302A (zh) | 结合网络及无线传感器网络终端加入网络的方法 | |
| CN102137397A (zh) | 机器类型通信中基于共享群密钥的认证方法 | |
| CN102223231B (zh) | M2m终端认证系统及认证方法 | |
| EP3076695B1 (en) | Method and system for secure transmission of small data of mtc device group | |
| CN102083212A (zh) | 一种标识终端的方法、系统和装置 | |
| CN101730096B (zh) | 一种号码携带的安全管理方法、装置及设备 | |
| CN101217364B (zh) | 媒体接入控制系统中安全上下文的组织结构和维护方法 | |
| CN102215560B (zh) | 一种对m2m终端实现管理的方法及系统 | |
| CN102202389B (zh) | 一种对网关实现管理的方法及系统 | |
| Zhang et al. | Dynamic group based authentication protocol for machine type communications | |
| CN106960166A (zh) | 一种基于分布式总账技术的智能插座管理系统及其方法 | |
| CN102469455A (zh) | 基于通用引导架构的机器类通信设备分组管理方法及系统 | |
| CN102217239B (zh) | 一种组临时密钥更新方法、装置和系统 | |
| Zhang et al. | Group-based authentication and key agreement for machine-type communication | |
| CN105744524B (zh) | 一种wia-pa工业无线网络中移动设备入网认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150812 Termination date: 20201130 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |