CN102868996B - 一种建立安全通道的方法及相应终端和系统 - Google Patents

Abstract

本发明公开了一种建立安全通道的方法及相应终端和系统，保证MTC终端与MTC终端的应用对端通信时的安全性。所述方法用于在MTC终端与MTC终端的应用对端之间建立安全通道，包括：MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；当所述MTC终端的应用对端需要与所属于该应用对端的某MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。采用上述方法保证MTC终端和MTC终端应用对端之间通信的安全。

Description

一种建立安全通道的方法及相应终端和系统

技术领域

本发明涉及机器类通信领域。特别地，涉及到一种建立安全通道的方法及相应终端和系统。

背景技术

机器类通信(Machine Type Communication，MTC)是机器到机器(M2M，machine tomachine)业务使用3GPP移动通信网络进行通信的新的通信类型，有别于采用移动通信网络进行通信的传统的人与人通信。机器类通信数据来源于各行各业，这些数据具有一定的商业秘密而需要保护。在移动通信网络的接入网内，MTC终端(MTC devcie)通过(U)SIM卡和HLR(Home Location Register，归属位置寄存器)或HSS(Home Subscriber Server，归属用户服务器)(简称HLR/HSS)进行鉴权、授权和安全参数的协商；在移动通信网络的核心网内，各网络节点也可以通过网络域的安全措施来保证数据安全。MTC device有对应的应用服务器称为MTC服务器(MTC server)。MTC device和MTC server之间的通信应该具有安全性。

但MTC device和MTC server之间如何实现安全传输是目前亟待解决的问题。

发明内容

本发明要解决的技术问题是提供一种建立安全通道的方法，保证MTC终端与MTC终端的应用对端通信时的安全性。

为了解决上述技术问题，本发明提供了一种建立安全通道的方法，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述方法包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该应用对端的某MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

为了解决上述技术问题，本发明还提供了一种建立安全通道的方法，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述方法包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该MTC应用对端的某MTC终端通信时，所述应用对端通过核心网网元发起触发，所述MTC终端接收到的触发消息中包括根据共享密钥信息生成的安全关联信息，所述MTC终端根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述应用对端和所述MTC终端各自根据所述安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

本发明要解决的另一技术问题是提供建立安全通道的MTC终端和系统，为在MTC终端和MTC终端的应用对端间建立安全通道提供可能。

为了解决上述技术问题，本发明提供了一种建立安全通道的机器类通信(MTC)终端，用于在所述终端与MTC终端的应用对端之间建立安全通道，所述终端包括密钥生成模块和安全通道建立模块，其中：

所述密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述安全通道建立模块，用于根据所述应用对端发起的触发消息建立本MTC终端到所述应用对端的IP通道，以及基于所述共享密钥信息建立安全关联。

为了解决上述技术问题，本发明还提供了一种建立安全通道的系统，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述系统包括上述MTC终端，以及所述MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道；

所述安全通道模块，用于基于共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

为了解决上述技术问题，本发明还提供了一种建立安全通道的机器类通信(MTC)终端，用于在所述终端与MTC终端的应用对端之间建立安全通道，所述终端包括密钥生成模块、IP通道建立模块和安全关联建立模块，其中：

所述密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述IP通道建立模块，接收触发消息，所述触发消息中包括根据共享密钥信息生成的安全关联信息，根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述安全关联建立模块，用于根据所述触发消息中的安全关联信息建立安全关联，将所述安全关联应用到所述IP通道。

为了解决上述技术问题，本发明还提供了一种建立安全通道的系统，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述系统包括上述的MTC终端，以及所述MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，通过核心网网元发起触发，建立本应用对端到所述MTC终端的IP通道；

所述安全通道模块，用于根据安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

本发明实施例提供一种新的系统架构，引入AAA服务器参与安全通道的建立，同时通过在MTC终端和MTC终端应用对端之间建立端到端安全通道，以保证MTC终端和MTC终端应用对端之间通信的安全。

附图说明

图1为MTC device和MTC server安全通信的系统架构图；

图2为实施例1流程图；

图3为实施例2流程图；

图4为实施例3流程图；

图5为实施例4流程图；

图6为实施例5流程图。

具体实施方式

本发明实施例采用两种方式在MTC终端与MTC终端的应用对端之间建立安全通道。

●方式一：

本方式中，MTC终端与应用对端间需要进行安全协商，具体包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该应用对端的某MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

在上述步骤中应用对端有两种发起触发的方法：

方法A：通过AAA服务器、HLR/HSS向MTC终端的移动管理实体发送触发消息，由移动管理实体寻呼MTC终端，通过MTC终端与移动管理实体间建立的信令连接，使该MTC终端获取应用对端的信息，基于该应用对端的信息发起建立到所述应用对端的IP通道。

方法B：应用对端建立到PLMN网络与该应用对端之间的网关的安全通道，向该网关发送触发消息，触发该网关发起建立所述应用对端到所述MTC终端的IP通道。

采用本方式建立安全通道的MTC终端包括密钥生成模块和安全通道建立模块，其中：

该密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

该安全通道建立模块，用于根据所述应用对端发起的触发消息建立本MTC终端到所述应用对端的IP通道，以及基于所述共享密钥信息建立安全关联。

优选地，该安全通道建立模块是用于采用以下方式根据所述应用对端发起的触发消息建立本MTC终端到所述应用对端的IP通道，包括：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的IP通道；或者

根据PLMN网络与该应用对端之间的网关发起的建立IP通道的消息，建立到所述应用对端的IP通道。

优选地，该安全通道建立模块还用于在建立安全关联之前基于所述共享密钥信息对所述应用对端进行认证。

采用上述方式实现安全通道建立的系统，除包含上述MTC终端外，还包含MTC终端的应用对端，该应用对端包括触发模块和安全通道模块，其中：

该触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道；

该安全通道模块，用于基于共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

优选地，该系统还包括HLR/HSS，其包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块，用于在所述MTC终端请求注册到PLMN网络的过程中，与所述MTC终端进行认证和密钥协商，生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述定位模块，用于定位所述MTC终端的AAA服务器；

所述发送模块，用于将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

优选地，该应用对端还包括第一查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息；

优选地，该触发模块是用于采用以下方式发起触发消息：通过AAA服务器、HLR/HSS向所述MTC终端的移动管理实体发送触发消息，使所述移动管理实体寻呼所述MTC终端。

优选地，该安全通道模块，还用于在建立安全关联之前，基于所述共享密钥信息对所述MTC终端进行认证。

优选地，该应用对端还包括第二查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及PLMN网络与该应用对端之间的网关的IP地址；

所述触发模块是用于采用以下方式发起触发消息：建立本应用对端到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述MTC终端的IP通道。

●方式二：

本方式中，MTC终端与应用对端间无需进行安全协商，具体包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该MTC应用对端的某MTC终端通信时，所述应用对端通过核心网网元发起触发，所述MTC终端接收到的触发消息中包括根据共享密钥信息生成的安全关联信息，所述MTC终端根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述应用对端和所述MTC终端各自根据所述安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

在上述步骤中应用对端也有两种发起触发的方法：

方法a：向所述AAA服务器发起触发，由AAA通过HLR/HSS向MTC终端的移动管理实体发送包含安全关联信息的触发消息，该安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息；由该移动管理实体寻呼MTC终端；通过MTC终端与移动管理实体的信令连接，使MTC终端获取应用对端的信息以及建立安全关联所需的信息。

方法b：根据所述共享密钥信息生成安全关联信息，该安全关联信息包括：建立安全关联所需信息或者安全关联；与PLMN网络与该应用对端之间的网关建立安全通道，通过该网关向MTC终端发起触发消息，触发消息中包括安全关联信息。

采用本方式建立安全通道的MTC终端包括密钥生成模块、IP通道建立模块和安全关联建立模块，其中：

所述密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述IP通道建立模块，接收触发消息，所述触发消息中包括根据共享密钥信息生成的安全关联信息，根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述安全关联建立模块，用于根据所述触发消息中的安全关联信息建立安全关联，将所述安全关联应用到所述IP通道。

优选地，该触发模块是用于采用以下方式根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息以及建立安全关联所需的信息，基于获取的信息发起建立到所述应用对端的IP通道；或者

接收PLMN网络与该应用对端之间的网关发送的包括安全关联信息的触发消息，所述安全关联信息包括：建立安全关联所需信息或者安全关联，基于获取的信息发起建立到所述应用对端的IP通道。

优选地，该安全关联建立模块还用于在建立IP通道之前，先根据所述应用对端的认证信息对所述应用对端进行认证。

采用上述方式实现安全通道建立的系统，除包括上述MTC终端外，还包括MTC终端的应用对端，该应用对端包括触发模块和安全通道模块，其中：

所述触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，通过核心网网元发起触发，建立本应用对端到所述MTC终端的IP通道；

所述安全通道模块，用于根据安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

优选地，所述系统还包括HLR/HSS，其包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块，用于在所述MTC终端请求注册到PLMN网络的过程中，与所述MTC终端进行认证和密钥协商，生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述定位模块，用于定位所述MTC终端的认证授权计费(AAA)服务器；

所述发送模块，用于将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

优选地，所述应用对端还包括第一查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息；

所述触发模块是用于采用以下方式通过核心网网元发起触发：向所述AAA服务器发起触发，由所述AAA服务器通过HLR/HSS向所述MTC终端的移动管理实体发送包含安全关联信息的触发消息，使所述移动管理实体寻呼所述MTC终端，所述安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息。

优选地，所述应用对端还包括第二查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及PLMN网络与该应用对端之间的网关的IP地址；

所述触发模块是用于采用以下方式通过核心网网元发起触发：所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括：建立安全关联所需信息或者安全关联；建立到所述网关的安全通道，通过该网关向所述MTC终端发起触发消息，所述触发消息中包括安全关联信息。

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

以下实施例中以MTC终端的应用对端为MME为例进行说明。

实施例1

如图2所示，包括以下步骤：

(注册部分)

步骤1：MTC device请求注册到PLMN(Public Land Mobile Network，公共陆地移动网络)网络，PLMN网络中的HLR/HSS和MTC device进行3GPPAKA(Authentication and KeyAgreement，认证和密钥协商)之后各自生成为MTC device和MTC server建立安全通道的共享密钥信息；

生成共享密钥后，HLR/HSS和MTC device分别保存生成的共享密钥信息。

生成共享密钥信息可以采用现有的技术实现，本文不再赘述。

步骤2：HLR/HSS定位该MTC device的AAA(认证授权计费)服务器；

HLR/HSS定位AAA服务器的方法可以是根据HLR/HSS中该MTCdevice的签约信息或者MTC device提供的标识信息来查询DNS(Domain Name System，域名系统)服务器来获取AAA服务器的地址，或者根据MTCdevice提供的MTC server的标识(如果有的话)来查询DNS来获取AAA服务器的地址。

步骤3：HLR/HSS将步骤1中生成的共享密钥信息，以及MTC device的信息(包括标识，优选地，还包括MTC device的地址)通过安全通道发送给AAA服务器；

(触发部分)

步骤4：当MTC server需要与所属于该MTC server的某MTC device通信时，MTCserver向AAA服务器发起查询，获取该MTC device的状态：如在线或离线；如果MTC device在线，则AAA服务器除了向MTC server返回所述MTC device的状态之外，还返回MTC device的标识(优选地，还包括MTC device的地址)，MTC device与MTC server建立安全通道所需的共享密钥信息；

步骤5：如果上述MTC device在线，MTC server向AAA服务器发送触发该MTCdevice的触发消息，该触发消息包括MTC device的信息(包括标识，优选还可以包括地址)，以及MTC server的信息(包括标识和/或地址)；

步骤6：AAA服务器通过安全通道向HLR/HSS发送该MTC device的触发消息，该触发消息包括MTC device的信息和MTC server的信息；

步骤7：HLR/HSS向该MTC device注册的移动管理实体发送该MTCdevice的触发消息，该触发消息包括MTC device的信息和MTC server的信息；

上述例如为移动管理节点(MME)或服务GPRS支持节点(SGSN)或移动交换节点(MSC)。

步骤8：移动管理实体根据MTC device的信息向MTC device发送寻呼信息；

步骤9：MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过该信令连接向MTC device发送触发消息，触发消息包括该MTC server的信息；

步骤10：MTC device收到触发消息后，根据触发消息中MTC server的信息，发起建立到MTC server的IP通道(如果有默认承载，则可以基于默认承载建立该IP通道)；

步骤11：MTC device和MTC server基于共享密钥信息使用认证和密钥交换协议如IKE(Internet key extrange，密钥交换协议)进行MTC device和MTC server的相互认证并建立安全关联(SA，security association)，形成MTC device和MTC server之间的端到端安全通道。

若采用EAP(Extensible Authentication Protocol，可扩展认证协议)而非IKE，则MTC server从AAA服务器获取共享密钥信息后，基于该共享密钥建立起与MTC device的安全通信，并进一步作为中间节点与AAA交互对MTC device进行认证、授权，建立起MTCdevice与MTC server侧网络的双向安全通道。

实施例2：

如图3所示，包括以下步骤：

(注册部分)

步骤1：MTC device请求注册到PLMN网络，PLMN网络中的HLR/HSS和MTC device进行3GPP AKA之后各自生成为MTC device和MTC server建立安全通道的共享密钥信息；

步骤2：HLR/HSS定位该MTC device的AAA服务器；

HLR/HSS定位AAA服务器的方法可以是根据HLR/HSS中该MTC device的签约信息或者MTC device提供的标识信息来查询DNS服务器来获取AAA服务器的地址，或者根据MTCdevice提供的MTC server标识来查询DNS来获取AAA服务器的地址。

步骤3：HSS将步骤1中生成的共享密钥信息，以及MTC device的信息(包括标识，或标识和地址)通过安全通道发送给AAA服务器；

(触发部分)

步骤4：当MTC server需要与所属于该MTC server的某MTC device通信时，MTCserver向AAA服务器发起查询，获取该MTC device的状态：如在线或离线；如果MTC device在线，则AAA服务器除了向MTC server返回所述MTC device的状态之外，还返回MTC device的标识(优选地，还包括MTC device的地址)，MTC device与MTC server建立安全通道所需的共享密钥信息；随后，MTC server向AAA服务器发送触发信息，该触发信息用于触发MTCdevice，包括：触发要求，MTC server的信息(包括MTC server的标识和/或地址，以及MTCserver的证书信息)，和MTC device的信息(包括MTC device的标识，优选还包括MTCdevice的地址)；

步骤5：AAA服务器向HLR/HSS发送触发信息，触发信息包括触发要求，MTC server的信息，和MTC device的信息；

触发要求包括了对触发的要求，比如触发定时器、触发优先级、触发紧急标识等。触发定时器标明此次触发需要在多长时间内完成；触发优先级标明该触发在网络中触发优先队列中的位置；触发紧急标识标明在网络拥塞的情况下仍然能够触发该device。

步骤6：HLR/HSS收到触发信息后，根据触发中的触发要求向该MTCdevice注册的移动管理实体(MME或SGSN或MSC)发送触发信息，该触发信息包括MTC device的信息，MTCserver的信息；

步骤7：移动管理实体收到触发信息后，根据MTC device的信息向MTCdevice发送寻呼信息；

步骤8：MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过信令连接将触发信息发送给MTC device，该触发信息包括MTC server的信息；

步骤9：MTC device根据该触发信息中的MTC server的信息(标识和/或地址，以及证书信息)对该MTC server进行认证；

步骤10：认证通过后，MTC device根据触发消息中MTC server的信息，发起建立到MTC server的IP通道(如果有默认承载，则可以基于默认承载建立该IP通道)；

步骤11，MTC device和MTC server基于共享密钥信息使用认证和密钥交换协议如IKE(Internet key extrange，密钥交换协议)进行MTC device和MTC server的相互认证并建立SA，形成MTC device和MTC server之间的端到端安全通道。

本实施例中共享密钥信息可以用于EAP(extended authentication protocol，扩展认证协议)中作为MTC device和MTC server进行安全通信的密钥。基于MTC device和MTCserver之间通信是安全的，MTC server作为NAS(网络认证服务器)来与AAA协商新的密钥建立安全关联。

实施例3

如图4所示，包括以下步骤：

(注册部分)

步骤1：MTC device请求注册到PLMN网络，PLMN网络中的HLR/HSS和MTC device进行3GPP AKA之后各自生成为MTC device和MTC server建立安全通道的共享密钥信息；

步骤2：HLR/HSS定位该MTC device的AAA服务器；

HLR/HSS定位AAA服务器的方法可以是根据HLR/HSS中该MTCdevice的签约信息或者MTC device提供的标识信息查询DNS服务器来获取AAA服务器的地址，或者根据MTCdevice提供的MTC server标识来查询DNS来获取AAA服务器的地址。

步骤3：HSS将步骤1中生成的共享密钥信息、以及MTC device的信息(标识，或标识和地址)通过安全通道发送给AAA服务器；

(触发部分)

步骤4：当MTC server需要与所属于该MTC server的某MTC device通信时，MTCserver向AAA服务器发起查询，获取该MTC device的状态：如在线或离线；如果MTC device在线，则AAA服务器除了向MTC server返回所述MTC device的状态之外，还返回MTC device的标识(优选地，还包括MTC device的地址)，MTC device与MTC server建立安全通道所需的共享密钥信息；随后MTC server向AAA服务器发送触发消息，触发消息包括了该MTCserver的触发要求等；

步骤5：收到触发消息后，AAA服务器向HLR/HSS发送触发消息，触发消息包括触发要求，根据共享密钥信息生成的建立SA所需的信息，该MTCserver的信息(包括MTC server的标识和/或地址，以及MTC server的证书信息)，MTC device的信息(包括MTC device的标识，优选还包括MTC device的地址)；

步骤6：HLR/HSS收到触发信息后，根据触发中的触发要求向该MTCdevice注册的移动管理实体(MME或SGSN或MSC)发送触发信息，该触发信息包括该MTC server的信息，MTCdevice的信息，建立SA所需的信息；

步骤7：移动管理实体收到触发信息后，根据MTC device的信息向MTCdevice发送寻呼信息；

步骤8：MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过信令连接将触发消息发送给MTC device，该触发信息包括建立SA所需的信息和该MTC server的信息；

步骤9：MTC device根据触发信息中的MTC server的证书对该MTCserver进行认证；

步骤10：如果认证通过，MTC device发起建立到MTC server的IP通道(该通道可以建立在默认承载之上)；

步骤11：MTC device和MTC server各自根据建立SA所需的信息生成SA，将该SA应用到步骤10建立的IP通道，形成MTC device和MTC server之间的端到端的安全通道。

实施例4

如图5所示，包括以下步骤：

(注册部分)

步骤1：MTC device请求注册到PLMN网络，PLMN网络中的HLR/HSS和MTC device进行3GPP AKA之后各自生成为MTC device和MTC server建立安全通道的共享密钥信息；

步骤2：HLR/HSS网络定位该MTC device的AAA服务器；

HLR/HSS定位AAA服务器的方法可以是根据HLR/HSS中该MTCdevice的签约信息或者MTC device提供的标识信息来查询DNS服务器来获取AAA服务器的地址，或者根据MTCdevice提供的MTC server标识来查询DNS来获取AAA服务器的地址。

步骤3：HLR/HSS将步骤1中生成的共享密钥信息、以及MTC device的信息(标识，或标识和地址)，以及PLMN网络与MTC server之间的网关的IP地址通过安全通道发送给AAA服务器；

该PLMN网络与MTC server之间的网关位于PLMN内部边界上，可以是MTC互通网关或者是VPLMN(Virtual Public Land Mobile Network，虚拟公共陆上移动网)网关。

(触发部分)

步骤4：当MTC server需要与所属于该MTC server的某MTC device通信时，MTCserver向AAA服务器发起查询，获取该MTC device的状态：如在线或离线；如果MTC device在线，则AAA服务器除了向MTC server返回所述MTC device的状态之外，还返回MTC device的标识(优选地，还包括MTC device的地址)，MTC device与MTC server建立安全通道所需的共享密钥信息，以及PLMN网络与MTC server之间的网关的IP地址；

步骤5：MTC server基于共享密钥等信息生成安全关联信息，包括：建立安全关联的所需信息或者安全关联；

例如MTC server利用IKE或EAP等建立安全关联的算法生成建立安全关联的所需信息或者安全关联。

步骤6：MTC server建立到PLMN网络与MTC server之间的网关的安全通道(IP连接)，并将触发(trigger)消息通过该安全通道发送给PLMN网络与MTC server之间的网关，触发消息包括建立安全关联所需信息或安全关联，MTC device的信息(标识，或标识和地址)，MTC server的信息(证书，以及标识和/或地址)；

步骤7：PLMN网络与MTC server之间的网关将触发消息发送给MTCdevice，该触发消息中包括建立的安全关联所需信息或安全关联，以及MTCserver的信息；

步骤8：MTC device对MTC server进行认证，如果认证通过，则MTCdevice基于上述触发消息发起建立MTC device到MTC server的IP通道，建立IP通道之后，MTC device和MTCserver分别将安全关联所需信息或安全关联应用到该IP通道上，形成MTC device和MTCserver之间的端到端安全通道。

如果MTC server获得上述的MTC device的IP地址，则通过该IP地址与MTC device建立IP通道。如果该MTC server没有获得上述的MTC device的IP地址，则与MTC device建立新的IP通道。

实施例5

如图6所示，包括以下步骤：

(注册部分)

步骤1：MTC device请求注册到PLMN网络，PLMN网络中的HLR/HSS和MTC device进行3GPP AKA之后各自生成为MTC device和MTC server建立安全通道的共享密钥信息；

步骤2：HLR/HSS定位该MTC device的AAA服务器；

PLMN网络定位AAA服务器的方法可以是根据HLR/HSS中该MTCdevice的签约信息或者MTC device提供的标识信息来查询DNS服务器来获取AAA服务器的地址，或者根据MTCdevice提供的MTC server网络标识来查询DNS来获取AAA服务器的地址。

步骤3：HSS将步骤1中生成的共享密钥信息、MTC device的信息(包括标识，或标识和IP地址)，以及PLMN网络与MTC server之间的网关的IP地址通过安全通道发送给AAA服务器；

(触发部分)

步骤4：当MTC server需要与所属于该MTC server的某MTC device通信时，MTCserver向AAA服务器发起查询，获取该MTC device的状态，AAA服务器向MTC server返回MTCdevice的状态，MTC device的标识(优选地，还包括MTC device的地址)、MTC device的与MTC server建立安全通道所需的共享密钥信息，以及PLMN网络与MTC server之间的网关的IP地址；

步骤5：MTC server建立到PLMN网络与MTC server之间的网关的安全通道，并通过安全通道向该网关发送触发信息(trigger信息)，该触发信息包括MTC device的信息，MTCserver的信息；

步骤6：PLMN网络与MTC server之间的网关发起建立MTC device到MTC server的IP连接；

具体地，网关通过信令面通道指示MTC device来建立与MTC server的IP连接。

该步骤中如果MTC server获得上述MTC device的IP地址，则PLMN网络与MTCserver之间的网关可以基于该MTC device的IP地址发起建立IP连接。如果该MTC server没有获得上述的MTC device的IP地址，则PLMN网络与MTC server之间的网关可以基于MTCdevice的ID触发MTC device建立到MTC server的IP连接。

步骤7：MTC device和MTC server基于共享密钥信息使用IKE方法建立安全关联(SA)，形成MTC device和MTC server之间的端到端的安全通道。

或者，MTC device和MTC server基于共享密钥，在MTC device、MTCserver和AAA服务器上使用ESP方法建立安全关联SA，基于该SA建立端到端的安全通道。

在上述实施例中，安全关联也可以基于AAA服务器内的安全信息而建立，在MTCdevice中包括了与AAA服务器进行安全关联协商(比如IKE，ESP)的能力，或者包括基于非协商机制比如Push的安全关联建立机制。

在MTC device和MTC server之间建立端到端安全通道的技术包括网络层的IPsec(Internet Protocol Security，因特网协议安全性)技术，通过IPsec技术建立的安全通道在网络层保护MTC device和MTC server之间的通信，使MTC的所有通信都得到有效的安全防护。除了IPsec技术之外，MTC device和MTC server之间建立端到端安全通道的技术还可以采用传输层的技术如TLS(transport layer security，传输层安全协议)等。

另外，上述MTC server所表示的端角色也可以是MTC application(MTC应用程序)，MTC server、MTC application统称为MTC终端的应用对端。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (28)

1.一种建立安全通道的方法，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述方法包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该应用对端的某MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

2.如权利要求1所述的方法，其特征在于：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息，包括：

所述MTC终端请求注册到PLMN网络，PLMN网络中的归属位置寄存器或归属用户服务器HLR/HSS，与所述MTC终端进行认证和密钥协商之后，所述HLR/HSS和MTC终端分别生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息。

3.如权利要求2所述的方法，其特征在于：

所述HLR/HSS生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息后，所述方法还包括：

所述HLR/HSS定位所述MTC终端的认证授权计费AAA服务器，并将生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

4.如权利要求3所述的方法，其特征在于：

所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，包括：

所述应用对端查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息，通过AAA服务器、HLR/HSS向所述MTC终端的移动管理实体发送触发消息；所述移动管理实体接收到所述触发消息后，寻呼所述MTC终端；所述MTC终端根据寻呼建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的IP通道。

5.如权利要求4所述的方法，其特征在于：

所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道，包括：

所述MTC终端和应用对端基于所述共享密钥信息进行相互认证，建立安全关联，完成所述MTC终端到所述应用对端的端到端的安全通道的建立。

6.如权利要求3所述的方法，其特征在于：

所述应用对端发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道，包括：

所述应用对端查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及，PLMN网络与该应用对端之间的网关的IP地址；

所述应用对端建立到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述MTC终端的IP通道。

7.如权利要求6所述的方法，其特征在于：

所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道，包括：

所述MTC终端和应用对端基于所述共享密钥信息建立安全关联，完成所述MTC终端到所述应用对端的端到端的安全通道的建立。

8.一种建立安全通道的方法，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述方法包括：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述MTC终端的应用对端需要与所属于该MTC应用对端的某MTC终端通信时，所述应用对端通过核心网网元发起触发，所述MTC终端接收到的触发消息中包括根据共享密钥信息生成的安全关联信息，所述MTC终端根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述应用对端和所述MTC终端各自根据所述安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

9.如权利要求8所述的方法，其特征在于：

MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息，包括：

所述MTC终端请求注册到PLMN网络，PLMN网络中的归属位置寄存器或归属用户服务器HLR/HSS，与所述MTC终端进行认证和密钥协商之后，所述HLR/HSS和MTC终端分别生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息。

10.如权利要求9所述的方法，其特征在于：

所述HLR/HSS生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息后，所述方法还包括：

所述HLR/HSS定位所述MTC终端的认证授权计费AAA服务器，并将生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

11.如权利要求10所述的方法，其特征在于：

所述应用对端通过核心网网元发起触发，包括：

所述应用对端查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息，向所述AAA服务器发起触发，所述AAA通过HLR/HSS向所述MTC终端的移动管理实体发送包含安全关联信息的触发消息，所述安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息；所述移动管理实体接收到所述触发消息后，寻呼所述MTC终端；所述MTC终端根据寻呼建立到所述移动管理实体的信令连接，获取所述应用对端的信息以及建立安全关联所需的信息。

12.如权利要求10所述的方法，其特征在于：

所述应用对端通过核心网网元发起触发，包括：

所述应用对端查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及PLMN网络与该应用对端之间的网关的IP地址；所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括：建立安全关联所需信息或者安全关联；所述应用对端建立到所述网关的安全通道，通过该网关向所述MTC终端发起触发消息，所述触发消息中包括安全关联信息。

13.如权利要求11或12所述的方法，其特征在于：

所述触发消息中还包括所述应用对端的认证信息，所述终端在发起建立本MTC终端到所述应用对端的IP通道之前，先根据所述认证信息对所述应用对端进行认证。

14.一种建立安全通道的机器类通信(MTC)终端，用于在所述终端与MTC终端的应用对端之间建立安全通道，所述终端包括密钥生成模块和安全通道建立模块，其中：

所述密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述安全通道建立模块，用于根据所述应用对端发起的触发消息建立本MTC终端到所述应用对端的IP通道，以及基于所述共享密钥信息建立安全关联。

15.如权利要求14所述的MTC终端，其特征在于：

所述安全通道建立模块是用于采用以下方式根据所述应用对端发起的触发消息建立本MTC终端到所述应用对端的IP通道，包括：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的IP通道；或者

根据PLMN网络与该应用对端之间的网关发起的建立IP通道的消息，建立到所述应用对端的IP通道。

16.如权利要求14或15所述的MTC终端，其特征在于：

所述安全通道建立模块，还用于在建立安全关联之前基于所述共享密钥信息对所述应用对端进行认证。

17.一种建立安全通道的系统，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述系统包括如权利要求14-16中任一权利要求所述的MTC终端，以及所述MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，发起触发消息，通过所述触发消息触发建立本MTC终端到所述应用对端的IP通道；

所述安全通道模块，用于基于共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。

18.如权利要求17所述的系统，其特征在于：

所述系统还包括归属位置寄存器或归属用户服务器(HLR/HSS)，其包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块，用于在所述MTC终端请求注册到PLMN网络的过程中，与所述MTC终端进行认证和密钥协商，生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述定位模块，用于定位所述MTC终端的认证授权计费AAA服务器；

所述发送模块，用于将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

19.如权利要求18所述的系统，其特征在于：

所述应用对端还包括第一查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息；

所述触发模块是用于采用以下方式发起触发消息：通过AAA服务器、HLR/HSS向所述MTC终端的移动管理实体发送触发消息，使所述移动管理实体寻呼所述MTC终端。

20.如权利要求19所述的系统，其特征在于：

所述安全通道模块，还用于在建立安全关联之前，基于所述共享密钥信息对所述MTC终端进行认证。

21.如权利要求18所述的系统，其特征在于：

所述应用对端还包括第二查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及PLMN网络与该应用对端之间的网关的IP地址；

所述触发模块是用于采用以下方式发起触发消息：建立本应用对端到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述MTC终端的IP通道。

22.一种建立安全通道的机器类通信(MTC)终端，用于在所述终端与MTC终端的应用对端之间建立安全通道，所述终端包括密钥生成模块、IP通道建立模块和安全关联建立模块，其中：

所述密钥生成模块，用于在MTC终端注册到PLMN网络的过程中，生成与MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述IP通道建立模块，接收触发消息，所述触发消息中包括根据共享密钥信息生成的安全关联信息，根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道；

所述安全关联建立模块，用于根据所述触发消息中的安全关联信息建立安全关联，将所述安全关联应用到所述IP通道。

23.如权利要求22所述的MTC终端，其特征在于：

所述触发模块是用于采用以下方式根据所述触发消息发起建立本MTC终端到所述应用对端的IP通道：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息以及建立安全关联所需的信息，基于获取的信息发起建立到所述应用对端的IP通道；或者

接收PLMN网络与该应用对端之间的网关发送的包括安全关联信息的触发消息，所述安全关联信息包括：建立安全关联所需信息或者安全关联，基于获取的信息发起建立到所述应用对端的IP通道。

24.如权利要求22或23所述的MTC终端，其特征在于：

所述安全关联建立模块，还用于在建立IP通道之前，先根据所述应用对端的认证信息对所述应用对端进行认证。

25.一种建立安全通道的系统，用于在机器类通信(MTC)终端与MTC终端的应用对端之间建立安全通道，所述系统包括如权利要求22-24中任一权利要求所述的MTC终端，以及所述MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块，用于当本应用对端需要与所属于本应用对端的某MTC终端通信时，通过核心网网元发起触发，建立本应用对端到所述MTC终端的IP通道；

所述安全通道模块，用于根据安全关联信息建立安全关联，将所述安全关联应用到所述IP通道，形成所述MTC终端到所述应用对端的端到端的安全通道。

26.如权利要求25所述的系统，其特征在于：

所述系统还包括归属位置寄存器或归属用户服务器(HLR/HSS)，其包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块，用于在所述MTC终端请求注册到PLMN网络的过程中，与所述MTC终端进行认证和密钥协商，生成为MTC终端和MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述定位模块，用于定位所述MTC终端的认证授权计费AAA服务器；

所述发送模块，用于将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述AAA服务器。

27.如权利要求26所述的系统，其特征在于：

所述应用对端还包括第一查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识和所述共享密钥信息；

所述触发模块是用于采用以下方式通过核心网网元发起触发：向所述AAA服务器发起触发，由所述AAA服务器通过HLR/HSS向所述MTC终端的移动管理实体发送包含安全关联信息的触发消息，使所述移动管理实体寻呼所述MTC终端，所述安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息。

28.如权利要求26所述的系统，其特征在于：

所述应用对端还包括第二查询模块，其用于查询所述AAA服务器获得所述MTC终端的标识、所述共享密钥信息，以及PLMN网络与该应用对端之间的网关的IP地址；

所述触发模块是用于采用以下方式通过核心网网元发起触发：所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括：建立安全关联所需信息或者安全关联；建立到所述网关的安全通道，通过该网关向所述MTC终端发起触发消息，所述触发消息中包括安全关联信息。