CN103152733A - 一种通信方法、装置 - Google Patents

一种通信方法、装置 Download PDF

Info

Publication number
CN103152733A
CN103152733A CN201110403140XA CN201110403140A CN103152733A CN 103152733 A CN103152733 A CN 103152733A CN 201110403140X A CN201110403140X A CN 201110403140XA CN 201110403140 A CN201110403140 A CN 201110403140A CN 103152733 A CN103152733 A CN 103152733A
Authority
CN
China
Prior art keywords
authentication code
key
message authentication
message
mtc equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201110403140XA
Other languages
English (en)
Inventor
张丽佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201110403140XA priority Critical patent/CN103152733A/zh
Priority to PCT/CN2012/086182 priority patent/WO2013083082A1/zh
Publication of CN103152733A publication Critical patent/CN103152733A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种通信方法、装置,涉及M2M系统通信安全领域,可以提高M2M通信系统的安全。本发明实施例提供的MTC设备的通信方法包括:向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码;接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码;验证所述第一消息认证码;若所述第一消息认证码验证成功,计算第二消息认证码;向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与MTC设备开始通信。本发明实施例用于M2M系统的通信过程中。

Description

一种通信方法、装置
技术领域
本发明涉及无线通信技术领域,尤其涉及一种通信方法、装置。
背景技术
机器对机器(Machine to Machine,M2M)技术是无线通信技术和信息技术的整合,是指无需人工干预,机器和机器之间可以直接进行通信,适用于安全监测、远程控制、支付系统等领域。在M2M系统中,接入至网络的M2M设备也被称作机器类型通信(MTC,MachineType Communication)设备。
现有通信网络中,UE与核心网侧进行AKA(Authentication andKey Agreement,认证与密钥协商),并建立UE与核心网之间的非接入层NAS(Non-Access Stratum,非接入层)层的安全以及UE与基站之间的接入层AS(Access Stratum,接入层)层的安全。
然而在M2M通信系统中,多角色基站与核心网侧进行AKA后接入网络,并与核心网之间建立非接入层安全。MTC设备接入多角色基站并通过多角色基站与核心网进行通信,这样从核心网的角度看来MTC设备不可见,MTC设备与多角色基站之间使用新的空中接口,但MTC设备与多角色基站之间新空口的通信没有安全机制,对网络安全造成隐患。
发明内容
本发明的实施例提供了一种通信方法、装置,可以提高M2M通信系统的安全。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供了一种机器类通信MTC设备的通信方法,包括:
向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码;
接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码;
验证所述第一消息认证码;
若所述第一消息认证码验证成功,计算第二消息认证码;
向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
一方面,提供了另一种与MTC设备通信的方法,包括:
接收所述MTC设备发送的资源请求消息;
计算第一消息认证码;
向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码;
接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码;
验证所述第二消息认证码,若所述第二消息认证码验证成功,与所述MTC设备开始通信。
一方面,提供了一种MTC设备,包括:
第一发送消息单元,用于向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码;
接收消息单元,用于所述第一发送消息单元发送所述资源请求消息后,接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码;
验证单元,用于验证所述接收消息单元接收的所述第一消息认证码;
计算单元,用于若验证单元验证所述第一消息认证码成功后,计算第二消息认证码;
第二发送消息单元,用于向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述计算单元计算的所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
一方面,提供了一种多角色基站的,包括:
第一接收消息单元,用于接收MTC设备发送的资源请求消息;
计算单元,用于根据所述第一接收消息单元接收到的所述资源请求消息计算第一消息认证码;
发送消息单元,用于所述计算单元计算所述第一消息认证码后,向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码;
第二接收消息单元,用于所述发送消息单元发送所述静态资源配置消息后,接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码;
验证单元,用于验证所述第二接收消息单元接收的所述第二消息认证码,若所述第二消息认证码验证成功,多角色基站与所述MTC设备开始通信。
本发明实施例提供的通信方法、装置,MTC设备通过向多角色基站发送资源请求消息,以使得多角色基站计算第一消息认证码;然后接收多角色基站发送的静态资源配置消息,静态资源配置消息中携带有第一消息认证码,并对第一消息认证码进行验证;若验证成功,计算第二消息认证码,然后向多角色基站发送资源配置完成消息,以使得多角色基站对第二消息认证码进行验证,若验证成功,MTC设备和多角色基站开始进行通信。这样就通过消息认证码确认相互通信的双方,从而建立了MTC设备和多角色基站的多角色基站之间的空口认证安全机制,提高了M2M通信系统的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种机器类通信MTC设备的通信方法流程图;
图2为本发明实施例提供的一种与MTC设备通信的方法流程图;
图3为本发明实施例提供的一种MTC设备结构框图;
图4为本发明实施例提供的一种多角色基站的结构框图;
图5为本发明实施例提供的另一种机器类通信MTC设备的通信方法流程图;
图6为本发明实施例提供的另一种机器类通信MTC设备的通信方法流程图;
图7为本发明实施例提供的又一种机器类通信MTC设备的通信方法流程图;
图8本发明实施例提供的另一种MTC设备结构框图;
图9为本发明实施例提供的另一种多角色基站的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中所涉及的多角色基站是指可以实现集中器角色、UE(User Equipment,用户设备)角色和基站角色的基站。多角色基站中的集中器角色负责与MTC设备之间进行通信,UE负责接收来自集中器角色的信息,建立与核心网的连接。UE角色和基站角色与现有技术中UE、基站功能相同。当然本发明实施例中的多角色基站中的UE角色和基站角色同属于一个设备,UE角色和基站角色之间可以不需要建立AS层的安全,只需UE和核心网进行AKA认证,并建立NAS层的安全。
实施例一、
本发明实施例提供了一种机器类通信MTC设备的通信方法,该通信方法的执行主体为MTC设备,如图1所示,包括:
S101、向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码。
向多角色基站发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
多角色基站接收到资源请求消息,生成第二随机数,然后根据所述MTC设备标识号获取MTC设备的根密钥、根据所述MTC设备安全能力为所述MTC设备选择加密算法和完整性算法。
多角色基站根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第一消息认证码。
S102、接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码。
静态资源配置消息还携带有多角色基站生成的第二随机数和为MTC设备选择的加密算法和完整性算法。
S103、验证所述第一消息认证码。
首先,MTC设备根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第一验证消息认证码,若第一消息认证码与第一验证消息认证码一致,则第一消息认证码验证成功。
其中,所述MTC设备标识号既可以包括MTC设备的设备标识,也可以包括MTC设备的身份标识,此处不做限定。
S104、若第一消息认证码验证成功,计算第二消息认证码。
MTC设备根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第二消息认证码。
S105、向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
其中,上述的根密钥具体可以是MTC设备的预配置的共享密钥,也可以是根据所述预配置的共享密钥计算得到的临时共享密钥。MTC设备侧的根密钥为根据存储在所述MTC设备中的预配置的共享密钥得到的,多角色基站侧的根密钥为多角色基站根据MTC设备标识号获取的所述MTC设备的预配置的共享密钥得到的,MTC设备侧和多角色基站侧的临时共享密钥的计算方法相同。
本发明实施例还提供了一种与MTC设备通信的方法,该方法的执行主体为多角色基站,如图2所示包括:
S201、多角色基站接收所述MTC设备发送的资源请求消息。
其中,资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
S202、计算第一消息认证码。
多角色基站接收MTC设备发送的资源请求消息后,多角色基站生成第二随机数,还根据MTC设备标识号获取MTC设备的根密钥以及根据MTC设备的安全能力为MTC设备选择加密算法和完整性算法。
多角色基站根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数以及MTC设备的根密钥计算第一消息认证码。
S203、向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码。
多角色基站发送静态资源配置消息,静态资源配置消息携带有第一消息认证码,还携带有第二随机数和为MTC设备选择的加密算法和完整性算法。
MTC设备接收到多角色基站发送的静态资源配置消息,根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备根密钥计算得到第一验证消息认证码;判断第一消息认证码和第一验证消息认证码是否一致。若第一消息认证码和第一验证消息认证码一致,则第一消息认证码验证成功。然后根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第二消息认证码,MTC设备向多角色基站发送资源配置完成消息。
S204、接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码。
S205、验证所述第二消息认证码,若所述第二消息认证码验证成功,与所述MTC设备开始通信。
首先,多角色基站根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第二验证消息认证码;判断第二消息认证码与第二验证消息认证码是否一致,若第二消息认证码与第二验证消息认证码一致,则第二消息认证码验证成功。
其中,上述的根密钥具体可以是所述MTC设备的预配置的共享密钥,也可以是根据所述MTC设备的预配置的共享密钥计算得到的临时共享密钥,MTC设备侧的根密钥为根据存储在MTC设备中的预配置的MTC设备共享密钥得到的,多角色基站侧的根密钥为多角色基站根据MTC设备标识号获取的MTC设备的预置的共享密钥得到的,MTC设备侧和多角色基站侧的临时共享密钥的计算方法相同。
本发明实施例还提供了一种MTC设备,如图3所示,包括:第一发送消息单元31、接收消息单元32和验证单元33、计算单元34和第二发送消息单元35。
第一发送消息单元31,用于向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码。
第一发送消息单元31发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。多角色基站接收到资源请求消息后,生成第二随机数,根据MTC设备标识号获取MTC设备的根密钥,根据MTC设备的安全能力为MTC设备选择加密算法和完整性算法。
接收消息单元32,用于所述第一发送消息单元31发送所述资源请求消息后,接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码。
其中,静态资源配置消息中还携带有多角色基站发送的第二随机数、为MTC设备选择的加密算法和完整性算法。
验证单元33,用于验证所述接收消息单元32接收的所述第一消息认证码。
验证单元33根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第一验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
计算单元34,用于若验证单元33验证所述第一消息认证码成功后,计算第二消息认证码。
计算单元34具体用于根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第二消息认证码。
第二发送消息单元35,用于向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述计算单元34计算的所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
本发明实施还提供了一种多角色基站的多角色基站,如图4所示,包括:第一接收消息单元41、计算单元42、发送消息单元43、第二接收消息单元44和验证单元45。
第一接收消息单元41,用于接收MTC设备发送的资源请求消息。
其中资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
计算单元42,用于根据所述第一接收消息单元41接收到的所述资源请求消息计算第一消息认证码。
第一接收消息单元41接收MTC设备发送的资源请求消息后,计算单元42首先分别用于生成第二随机数、根据MTC设备标识号获取MTC设备的根密钥以及根据MTC设备的安全能力为MTC设备选择加密算法和完整性算法。
然后根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第一消息认证码。
发送消息单元43,用于所述计算单元41计算所述第一消息认证码后,向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码。
静态资源配置消息携带有第一消息认证码,还携带有第二随机数和为MTC设备选择的加密算法和完整性算法。
MTC设备接收到多角色基站发送的静态资源配置消息,MTC设备根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第一验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。然后MTC设备根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第二消息认证码,MTC设备向多角色基站发送资源配置完成消息。
第二接收消息单元44,用于所述发送消息单元43发送所述静态资源配置消息后,接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码。
验证单元45,用于验证所述第二接收消息单元44接收的所述第二消息认证码,若所述第二消息认证码验证成功,多角色基站与所述MTC设备开始通信。
验证单元45根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第二验证消息认证码,若第二消息认证码与第二验证消息认证码一致,则第二消息认证码验证成功,多角色基站与所述MTC设备开始通信。
本发明实施例提供的机器类通信MTC设备的通信方法、MTC设备、多角色基站,MTC设备通过向多角色基站的发送资源请求消息,以使得多角色基站计算第一消息认证码;接收多角色基站发送的静态资源配置消息,静态资源配置消息中携带有第一消息认证码,并对第一消息认证码进行验证;若验证成功,计算第二消息认证码,然后向多角色基站发送资源配置完成消息,以使得多角色基站对第二消息认证码进行验证,若验证成功,MTC设备和多角色基站开始进行通信。这样就通过消息认证码确认相互通信的双方,从而建立了MTC设备和多角色基站之间的新空口的认证安全机制,提高了M2M通信系统的安全。
实施例二、
本发明实施例提供了一种MTC设备的通信方法,如图5所示,包括:
S501、MTC设备向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码。
MTC设备向多角色基站发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
S502、多角色基站计算第一消息认证码。
多角色基站接收到资源请求消息后,生成第二随机数,然后根据所述MTC设备标识号获取MTC设备的根密钥、根据所述MTC设备安全能力为MTC设备选择加密算法和完整性算法。
多角色基站根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第一消息认证码。
S503、多角色基站向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码。
其中,静态资源配置消息还携带有第二随机数和为MTC设备选择的加密算法和完整性算法。
S504、MTC设备验证所述第一消息认证码。
MTC设备根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第一验证消息认证码。
若第一消息认证码与第一验证消息认证码一致,则第一消息认证码验证成功。
S505、若第一消息认证码验证成功,MTC设备计算第二消息认证码后,还生成通信密钥。
MTC设备根据多角色基站的标识号、MTC设备标识号、MTC设备生成的第一随机数、多角色基站生成的第二随机数和MTC设备的根密钥计算第二消息认证码。
然后MTC设备生成与多角色基站通信的通信密钥,具体包括:根据MTC设备的根密钥、第一随机数和第二随机数生成中间密钥;
根据所述中间密钥和为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
S506、MTC设备向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码。
S507、多角色基站验证所述第二消息认证码。
首先,多角色基站根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第二验证消息认证码,若第二消息认证码与第二验证消息认证码一致,则第二消息认证码验证成功。
S508、若所述第二消息认证码验证成功,多角色基站还生成通信密钥,然后与所述MTC设备开始通信。
多角色基站生成与MTC设备通信的通信密钥,多角色基站生成的通信密钥与MTC设备的通信密钥相同。具体包括为:
根据MTC设备的根密钥,第一随机数和第二随机数生成中间密钥;
根据所述中间密钥和为MTC设备选择的加密算法和完整性算法计算所述多角色基站的通信密钥。
其中,上述的根密钥具体可以是MTC设备的预配置的共享密钥,也可以是根据所述MTC设备的预配置的共享密钥计算得到的临时共享密钥。MTC设备侧的根密钥是根据存储在MTC设备中的预配置的共享密钥得到的,多角色基站侧的根密钥为多角色基站根据MTC设备标识号获取的MTC设备的预配置的共享密钥得到的,MTC设备侧和多角色基站侧的临时共享密钥的计算方法相同。
多角色基站侧的根密钥为多角色基站根据MTC设备标识号获取的,具体的方法可以包括:
从核心网获取多角色基站管辖的所有MTC设备的共享密钥列表;
根据所述MTC设备的标识号,从所述共享密钥列表中获取所述MTC设备的预配置的共享密钥,将所述共享密钥作为根密钥。
具体交互过程如图6所示,包括;
S601、多角色基站与核心网之间进行AKA认证,并建立多角色基站与核心网之间的NAS层安全。
S602、若多角色基站与核心网之间AKA认证成功,核心网向多角色基站发送多角色基站管辖的所有MTC设备的共享密钥列表,该密钥列表由多角色基站与核心网之间的NAS层安全进行保护。
在MTC设备向多角色基站发送资源请求消息后,多角色基站根据资源请求消息中包含的MTC设备的标识号从共享密钥列表中获得MTC设备的预配置的共享密钥,将该共享密钥作为根密钥。具体MTC设备与多角色基站的认证过程S603-S610与图5中的S501-S508的过程相同,在此不再赘述。
多角色基站侧的根密钥为多角色基站根据MTC设备标识号获取的,具体的方法还可以包括:
所述多角色基站向信任中心发送密钥请求,所述密钥请求包括:所述MTC设备标识号、第一随机数和第二随机,以使得所述信任中心根据所述MTC设备标识号对应的MTC设备的预配置的共享密钥、所述第一随机数和第二随机数计算所述MTC设备的临时共享密钥;
接收所述信任中心的密钥响应,所述密钥响应携带所述临时共享密钥,将所述临时共享密钥作为根密钥。
具体的交互过程如图7所示,具体包括:
S701、MTC设备向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码。
MTC设备向多角色基站发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
S702、多角色基站向信任中心发送密钥请求。
其中密钥请求包括MTC设备的标识号、第一随机数和多角色基站生成的第二随机数;
S703、信任中心计算MTC设备的临时共享密钥,并向多角色基站发送密钥响应。
信任中心根据MTC设备的标识号获取到传感器设备的共享密钥,然后采用密钥生成函数,根据MTC设备的共享密钥,第一随机数和第二随机数计算出该MTC设备的临时共享密钥。然后向多角色基站发送密钥响应,所述密钥响应携带所述临时共享密钥,多角色基站将所述临时共享密钥作为根密钥。相应的MTC设备侧根据存储在MTC设备中的MTC设备的预配置的共享密钥、第一随机数、第二随机数,采用与多角色基站侧相同的密钥生成函数计算MTC设备侧的临时共享密钥,随后MTC设备将所述临时共享密钥作为根密钥。所述存储在MTC设备中的MTC设备的预配置的共享密钥,既包括存储在MTC设备中的MTC设备的预配置的共享密钥,也包括存储在插入MTC设备上的卡中的MTC设备的预配置的共享密钥,此处不做限定。
之后MTC设备和多角色基站之间的交互过程S704-S710和图5中的S502-S508的过程相同,在此不再赘述。
以下我们以传感器设备向MTC服务器上报数据的通信过程为例具体进行说明。传感器设备自身存储预配置的共享密钥K,传感器设备通过多角色基站向MTC服务器上报数据信息,传感器设备通过接收多角色基站的广播信息获取多角色基站的标识号eNBID
首先,传感器设备向多角色基站发送资源请求消息,资源请求消息包括:传感器设备标识号SensorID、传感器设备的安全能力和传感器设备生成的第一随机数NONCEM,其中传感器设备标识号SensorID既可以是传感器设备的设备标识号,也可以是传感器设备的身份标识号。
多角色基站接收到资源请求消息后,生成第二随机数NONCEC;然后根据传感器设备标识号SensorID获取传感器设备的根密钥k,根密钥k具体可以是所述传感器设备的预配置的共享密钥K,也可以是根据所述传感器设备的预配置的共享密钥K计算得到的临时共享密钥Ktemp,多角色基站侧的预配置的共享密钥K存储在多角色基站或存储在核心网或存储在信任中心,传感器设备预配置的共享密钥存储在传感器设备中,传感器设备侧和多角色基站侧的临时共享密钥Ktemp的计算方法相同;根据传感器设备的安全能力为传感器设备选择加密算法和完整性算法。然后多角色基站根据多角色基站的标识号eNBID、传感器设备的标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及传感器设备的根密钥k计算得到所述第一消息认证码MAC1,具体的算法为哈希算法,MAC1=Hk(eNBID||SensorID||NONCEC||NONCEM);多角色基站向传感器设备发送静态资源配置消息,静态资源配置消息携带有第一消息认证码MAC1、第二随机数NONCEC和为传感器设备选择的加密算法和完整性算法。
传感器设备接收到多角色基站发送的静态资源配置消息后,验证第一消息认证码MAC1。首先传感器设备根据多角色基站的标识号eNBID、传感器设备标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及传感器的根密钥k计算第一验证消息认证码MAC1′,具体的算法为哈希算法,MAC1′=Hk(eNBID||SensorID||NONCEC||NONCEM);然后判断MAC1与MAC1′是否一致。若MAC1与MAC1′一致,传感器设备计算第二消息认证码MAC2,具体算法也是采用与MAC1相同的哈希值算法,具体为MAC2=Hk(SensorID||eNBID||NONCEM||NONCEC)。同时传感器生成传感器设备的通信密钥,具体包括:根据存储在传感器设备中的传感器的预配置的共享密钥K得到的根密钥k、第一随机数和第二随机数采用密钥生成函数算法生成中间密钥Knew;然后根据中间密钥和为传感器设备选择的加密算法和完整性算法计算传感器设备的通信密钥,通信密钥包括:RRC信令完整密钥KnewRRCint=KDF(Knew,RRC-int-alg,Alg-ID),RRC信令加密密钥KnewRRCenc=KDF(Knew,RRC-enc-alg,Alg-ID),通信数据加密密钥KnewUPenc=KDF(Knew,UP-enc-alg,Alg-ID),其中RRC信令完整密钥KnewRRCint用于对RRC信令的完整性加密,防止RRC信令在传输过程中被攻击者篡改,RRC信令加密密钥KnewRRCenc和通信数据加密密钥分别用于对RRC信令的信息和传感器设备上报的数据消息进行加密,防止在传输过程中被攻击者窃听。
在完成第二消息认证码MAC2和通信密钥的计算后,传感器设备向多角色基站发送资源配置完成消息,资源配置完成消息中携带有所述第二消息认证码MAC2。
多角色基站接收到传感器设备发送的资源配置完成消息后,对第二消息认证码MAC2进行认证。具体包括:计算第二验证消息认证码MAC2′,具体的算法与MAC2采用相同的哈希算法,MAC2′=Hk(SensorID||eNBID||NONCEM||NONCEC),然后判断MAC2与MAC2′是否一致。若MAC2与MAC2′一致,则第二消息认证码验证成功,多角色基站生成通信密钥,通信密钥包括:RRC信令完整密钥、RRC信令加密密钥和通信数据加密密钥,具体算法与传感器设备的通信密钥的计算方法相同。
若根密钥为存储在多角色基站中的传感器设备的预配置的共享密钥,或为根据存储在信任中心的传感器设备的预配置的共享密钥计算的临时共享密钥,多角色基站完成通信密钥的计算之后,传感器设备开始与MTC服务器进行通信上报数据,具体为:传感器设备侧对要上报的数据进行加密,发送给已进行相互认证的多角色基站。多角色基站与核心网进行AKA认证,建立NAS层安全,从而多角色基站将数据安全传输给传感器设备对应的服务器。
若根密钥为存储在核心网中的传感器设备的预配置的共享密钥,多角色基站完成通信密钥的计算之后,传感器设备开始与MTC服务器进行通信上报数据,具体为:传感器设备侧对要上报的数据进行加密,发送给已进行相互认证的多角色基站,多角色基站对接收到的数据汇聚后生成应用层数据,然后把该数据通过已与多角色基站进行AKA认证的核心网传输给传感器设备对应的服务器。
本实施例以传感器设备为例进行说明,当然也可以应用于其他的MTC设备,如摄像监控设备、自动仪表(水电气表)设备、家庭自动化设备、支付系统的设备以及车辆远程空设备等相关的设备。
本发明实施例提供的机器类通信MTC设备的通信方法,MTC设备通过向多角色基站发送资源请求消息,以使得多角色基站计算第一消息认证码;然后MTC设备对第一消息认证码进行验证,验证成功的同时计算第二消息认证码,以使得多角色基站对第二消息认证码进行验证。进一步的,在MTC设备和多角色基站两侧都彼此验证成功后,各自生成通信密钥,从而MTC设备和多角色基站开始进行通信。这样MTC设备和多角色基站之间不仅建立了新空口的安全认证机制,还建立了通信加密机制,进一步提高了M2M通信系统的安全。
实施例三、
本发明实施例还提供了一种MTC设备,如图8所示,包括:第一发送消息单元71、接收消息单元72和验证单元73、计算单元74、第一通信密钥计算单元75和第二发送消息单元76。
第一发送消息单元71,用于向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码。
第一发送消息单元71发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。多角色基站接收到资源请求消息后,生成第二随机数,根据MTC设备标识号获取MTC设备的根密钥,根据MTC设备的安全能力为MTC设备选择加密算法和完整性算法。
接收消息单元72,用于所述第一发送消息单元71发送所述资源请求消息后,接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码。
其中,静态资源配置消息中还携带有多角色基站发送的第二随机数、为MTC设备选择的加密算法和完整性算法。
验证单元73,用于验证所述接收消息单元72接收的所述第一消息认证码。
验证单元73具体用于根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及MTC设备的根密钥计算第一验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
计算单元74,用于若验证单元73验证所述第一消息认证码成功后,计算第二消息认证码。
计算单元74具体用于根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第二消息认证码。
第一通信密钥计算单元75,用于若所述验证单元73验证所述第一消息认证码成功后,生成通信密钥,具体包括:
中间密钥生成子单元751,用于根据MTC设备的根密钥、第一随机数和第二随机数生成中间密钥。
第一通信密钥生成子单元752,用于根据所述中间密钥生成子单元751生成的所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
第二发送消息单元76,用于向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述计算单元计算的所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
以下我们以MTC设备具体为传感器设备为例,向MTC服务器上报数据的通信过程具体进行说明。传感器设备自身存储有传感器的预配置的共享密钥K,所述存储在传感器设备中的传感器设备的预配置的共享密钥,既可以是存储在传感器设备中的传感器设备的预配置的共享密钥,也可以是存储在插入传感器设备上的卡中的传感器设备的预配置的共享密钥,此处不做限定。
传感器设备通过多角色基站向MTC服务器上报数据信息,传感器设备通过接收多角色基站的广播信息获取多角色基站的标识号eNBID
首先,传感器设备的第一发送消息单元71向多角色基站发送资源请求消息,资源请求消息包括:传感器设备标识号SensorID、传感器设备的安全能力和传感器设备生成的第一随机数NONCEM,其中传感器设备标识号SensorID既可以是传感器设备的设备标识,也可以是传感器设备的身份标识号。
多角色基站接收到资源请求消息后,生成第二随机数NONCEC;然后根据传感器设备标识号SensorID获取传感器设备的根密钥k,根密钥k具体可以是所述传感器设备的预配置的共享密钥K,也可以是根据所述传感器设备的预配置的共享密钥计算得到的临时共享密钥Ktemp,多角色基站侧的传感器设备的预配置的共享密钥K存储在多角色基站或存储在核心网或信任中心,传感器设备侧的预配置的共享密钥K存储在传感器设备中,传感器设备侧和多角色基站侧的临时共享密钥Ktemp的计算方法相同;根据传感器设备的安全能力为传感器设备选择加密算法和完整性算法、根据多角色基站的标识号eNBID、传感器设备的标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及传感器设备的根密钥k计算得到所述第一消息认证码MAC1,具体的算法为哈希算法,MAC1=Hk(eNBID||SensorID||NONCEC||NONCEM);多角色基站向传感器设备发送静态资源配置消息,静态资源配置消息携带有第一消息认证码MAC1、第二随机数NONCEC和为传感器设备选择的加密算法和完整性算法。
传感器设备的接收消息单元72接收到多角色基站发送的静态资源配置消息后,然后通过验证单元73验证第一消息认证码MAC1。首先传感器设备的验证单元73根据多角色基站的标识号eNBID、传感器设备标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及根据存储传感器设备的根密钥k计算第一验证消息认证码MAC1′,具体的算法为哈希算法,MAC1′=Hk(eNBID||SensorID||NONCEC||NONCEM);然后判断MAC1与MAC1′是否一致。若MAC1与MAC1′一致,传感器设备的计算单元74计算第二消息认证码MAC2,具体算法与MAC1采用相同的哈希算法,具体为MAC2=Hk(SensorID||eNBID||NONCEM||NONCEC),同时第一通信密钥计算单元75生成传感器设备的通信密钥,具体包括:中间密钥生成子单元751根据传感器设备的根密钥k、第一随机数和第二随机数采用密钥生成函数算法生成中间密钥Knew;第一通信密钥生成子单元752根据中间密钥Knew,利用为传感器设备选择的加密算法和完整性算法计算通信密钥,通信密钥包括:RRC信令完整密钥KnewRRCint=KDF(Knew,RRC-int-alg,Alg-ID),RRC信令加密密钥KnewRRCenc=KDF(Knew,RRC-enc-alg,Alg-ID),通信数据加密密钥KnewUPenc=KDF(Knew,UP-enc-alg,Alg-ID),其中RRC信令完整密钥KnewRRCint用于对RRC信令的完整性加密,防止RRC信令在传输过程中被攻击者篡改,RRC信令加密密钥KnewRRCenc和通信数据加密密钥分别用于对RRC信令的信息和传感器设备上报的数据消息进行加密,防止在传输过程中被攻击者窃听。
在完成第二消息认证码MAC2和通信密钥的计算后,传感器设备的第二发送消息单元76向多角色基站发送资源配置完成消息,资源配置完成消息中携带有所述第二消息认证码MAC2。
多角色基站接收到传感器设备发送的资源配置完成消息后,对第二消息认证码MAC2进行验证。具体包括:计算第二验证消息认证码MAC2′,具体的算法与MAC2采用相同的哈希算法,MAC2′=Hk(SensorID||eNBID||NONCEM||NONCEC),然后判断MAC2与MAC2′是否一致。若第二消息认证码MAC2与MAC2′一致,则第二消息认证码MAC2验证成功,多角色基站生成通信密钥,通信密钥包括:RRC信令完整密钥、RRC信令加密密钥和通信数据加密密钥,具体算法与传感器设备计算通信密钥的相同。
多角色基站完成通信密钥的计算之后,传感器设备开始与MTC服务器进行通信上报数据。传感器设备侧对要上报的数据进行加密,发送给已进行相互认证的多角色基站,多角色基站对接收到的数据汇聚后生成应用层数据,通过核心网传输给传感器设备对应的服务器。
本实施例以传感器设备为例进行说明,当然也可以是其他的MTC设备,如摄像监控设备、自动仪表(水电气表)设备、家庭自动化设备、支付系统的设备以及车辆远程空设备等相关的设备。
本发明实施例提供的机器类通信MTC设备,MTC设备通过第一发送消息单元向多角色基站发送资源请求消息,以使得多角色基站计算第一消息认证码;接收消息单元接收多角色基站发送的静态资源配置消息,静态资源配置消息中携带有第一消息认证码;验证单元对第一消息认证码进行验证;若验证成功,计算单元计算第二消息认证码,第一通信密钥计算单元计算通信密钥,然后第二发送消息单元向多角色基站发送资源配置完成消息,以使得多角色基站对第二消息认证码进行验证,若多角色基站对第二消息认证码验证成功,计算通信密钥,从而MTC设备和多角色基站开始进行通信,这样MTC设备具有了和多角色基站之间的新空口的认证安全机制,还具有和多角色基站通信的加密安全机制,进一步提高了M2M通信系统的安全。
实施例四、
本发明实施例还提供了一种多角色基站,具体如图9所示,包括:第一消息接收单元81、计算单元82、发送消息单元83、第二接收消息单元84、验证单元85、第二通信密钥计算单元86。
第一接收消息单元81,用于接收MTC设备发送的资源请求消息。
其中资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
计算单元82,用于根据所述第一接收消息单元81接收到的所述资源请求消息计算第一消息认证码,具体用于:
生成第二随机数;
根据所述MTC设备的安全能力为MTC设备选择加密算法和完整性算法;
根据所述MTC设备标识号获取所述MTC设备的根密钥;
根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥得到所述第一消息认证码。
其中计算单元82根据所述MTC设备标识号获取所述MTC设备的根密钥具体包括:从多角色基站中直接获取该MTC设备的预配置的MTC设备的共享密钥,将所述共享密钥作为根密钥;或者
从核心网获取存储有所有MTC设备的共享密钥列表。
根据所述MTC设备的标识号,从所述共享密钥列表中获取预配置的MTC设备的共享密钥,将所述共享密钥作为根密钥;或者
向信任中心发送密钥请求,所述密钥请求包括:所述MTC设备标识号、第一随机数和第二随机,以使得所述信任中心根据所述MTC设备标识号对应的预配置的MTC设备的共享密钥、所述第一随机数和第二随机数计算所述MTC设备的临时共享密钥;
接收所述信任中心的密钥响应,所述密钥响应携带所述临时共享密钥,将所述临时共享密钥作为根密钥。
发送消息单元83,用于所述计算单元82计算所述第一消息认证码后,向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码。
静态资源配置消息携带有第一消息认证码,还携带有第二随机数和为MTC设备选择的加密算法和完整性算法。
MTC设备接收到多角色基站发送的静态资源配置消息,MTC设备根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第一验证消息认证码;判断第一消息认证码和第一验证消息认证码是否一致。若第一消息认证码和第一验证消息认证码一致,则第一消息认证码验证成功。然后根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算得到第二消息认证码,MTC设备向多角色基站发送资源配置完成消息。
第二接收消息单元84,用于所述发送消息单元83发送所述静态资源配置消息后,接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码。
验证单元85,用于验证所述第二接收消息单元84接收的所述第二消息认证码。具体为:
根据多角色基站的标识号、MTC设备标识号、第一随机数、第二随机数以及MTC设备的根密钥计算第二验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
第二通信密钥计算单元86,用于在所述验证单元85验证所述第二消息认证码成功后,生成通信密钥,具体包括:
中间密钥生成子单元861,用于根据MTC设备的根密钥,第一随机数和第二随机数生成中间密钥。
第二通信密钥生成子单元862,用于根据所述中间密钥生成子单元861生成的所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
以下我们以该多角色基站与传感器设备建立空口安全机制,向MTC服务器上报数据的通信过程为例具体进行说明。传感器设备自身存储有传感器设备的预配置的共享密钥K,传感器设备通过多角色基站向MTC服务器上报数据信息,传感器设备通过接收多角色基站的广播信息获取多角色基站的设备标识号。
首先,多角色基站的第一接收消息单元81接收传感器设备发送的资源请求消息,其中资源请求消息包括:传感器设备标识号SensorID、传感器设备的安全能力和传感器设备生成的第一随机数NONCEM
第一接收消息单元81接收到资源请求消息后,计算单元82计算第一消息认证码,还具体用于:生成第二随机数NONCEC;根据传感器设备的安全能力为传感器设备选择加密算法和完整性算法;根据传感器设备标识号SensorID获取传感器设备的根密钥k。第一消息认证码是根据多角色基站的标识号、传感器设备标识号和第一随机数、第二随机数以及MTC设备的根密钥计算得到。
其中,所述根密钥为传感器设备的预配置的共享密钥K,或者根据所述传感器设备的预配置的共享密钥K计算得到的临时共享密钥Ktemp,传感器设备侧的根密钥k是根据存储在传感器设备中的共享密钥K得到的,多角色基站侧的根密钥k为多角色基站根据传感器设备标识号SensorID获取的,传感器设备侧和多角色基站侧的临时共享密钥Ktemp的计算方法相同。
多角色基站侧的传感器设备的预配置的共享密钥K存储在多角色基站或存储在核心网或信任中心。
若所述根密钥K存储在多角色基站中,计算单元82根据传感器设备的标识号SensorID直接获取该传感器设备的预配置的共享密钥K,所述共享密钥K作为根密钥k。
若所述共享密钥K存储在核心网中,首先多角色基站与核心网进行AKA认证,建立NAS层安全,核心网向多角色基站发送多角色基站管辖的所有传感器设备的共享密钥列表。然后第一接收消息单元81在接收到传感器设备发送的资源请求消息后,根据传感器设备的标识号SensorID获取传感器设备的预配置的共享密钥K,所共享密钥K作为根密钥k。
若所述预配置的共享密钥K存储在信任中心中,在第一接收消息单元81接收到传感器设备发送的资源请求消息后,计算单元82生成第二随机数NONCEC后,多角色基站向信任中心发送密钥请求,其中密钥请求包括传感器设备的标识号SensorID、第一随机数NONCEM和第二随机数NONCEC;信任中心接收到多角色基站发送的密钥请求后,根据传感器设备的标识号SensorID获取到传感器设备的预配置的共享密钥K,然后采用密钥生成函数,根据传感器设备的预配置的共享密钥K,第一随机数NONCEM和第二随机数NONCEC计算出该传感器设备的临时共享密钥Ktemp,Ktemp=KDF(K,NONCEc,NONCEm)。信任中心然后向多角色基站发送密钥响应,其中密钥响应携带有临时共享密钥Ktemp,该临时共享密钥Ktemp作为根密钥。
然后计算单元82计算第一消息认证码MAC1,具体为:根据多角色基站的标识号eNBID、传感器设备的标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及传感器设备的根密钥k计算得到所述第一消息认证码MAC1,具体的算法为哈希算法,MAC1=Hk(eNBID||SensorID||NONCEC||NONCEM)。
完成第一消息认证码MAC1的计算后,发送消息单元83向传感器设备发送静态资源配置消息,静态资源配置消息携带有第一消息认证码MAC1、第二随机数NONCEC和为传感器设备选择的加密算法和完整性算法。
传感器设备接收到发送消息单元83发送的静态资源配置消息后,验证第一消息认证码MAC1。首先传感器设备根据多角色基站的标识号eNBID、传感器设备标识号SensorID、第一随机数NONCEM、第二随机数NONCEC以及根据传感器设备的根密钥k计算第一验证消息认证码MAC1′,具体的算法为哈希算法,MAC1′=Hk(eNBID||SensorID||NONCEC||NONCEM);然后判断MAC1与MAC1′是否一致。若MAC1与MAC1′一致,传感器设备计算第二消息认证码MAC2,具体算法与MAC1采用相同的哈希算法,具体为MAC2=Hk(SensorID||eNBID||NONCEM||NONCEC),同时生成传感器设备的通信密钥,具体包括:根据传感器设备的根密钥k、第一随机数和第二随机数采用密钥生成函数生成中间密钥Knew,Knew=KDF(K,NONCEC,NONCEM);然后根据中间密钥,并利用为传感器设备选择的加密算法和完整性算法计算所述通信密钥,通信密钥包括:RRC信令完整密钥KnewRRCint=KDF(Knew,RRC-int-alg,Alg-ID),RRC信令加密密钥KnewRRCenc=KDF(Knew,RRC-enc-alg,Alg-ID),通信数据加密密钥KnewUPenc=KDF(Knew,UP-enc-alg,Alg-ID),其中RRC信令完整密钥KnewRRCint用于对RRC信令的完整性加密,防止RRC信令在传输过程中被攻击者篡改,RRC信令加密密钥KnewRRCenc和通信数据加密密钥分别用于对RRC信令的信息和传感器设备上报的数据消息进行加密,防止在传输过程中被攻击者窃听。
在完成第二消息认证码MAC2和通信密钥的计算后,传感器设备向多角色基站发送资源配置完成消息,资源配置完成消息中携带有所述第二消息认证码MAC2。
第二接收消息单元84接收传感器设备发送的资源配置完成消息后,验证单元85对第二消息认证码MAC2进行验证,具体过程为计算第二验证消息认证码MAC2′,MAC2′的算法与MAC2采用相同的哈希算法,MAC2′=Hk(SensorID||eNBID||NONCEM||NONCEC),然后判断MAC2与MAC2′是否一致。若第二消息认证码MAC2与MAC2′一致,则第二消息认证码验证成功,第二通信密钥计算单元86生成通信密钥。具体包括:中间密钥生成子单元861根据传感器设备的根密钥、第一随机数和第二随机数生成中间密钥;第二通信密钥生成子单元862根据所述中间密钥,并利用为传感器设备选择的加密算法和完整性算法计算所述通信密钥。通信密钥也包括:RRC信令完整密钥、RRC信令加密密钥和通信数据加密密钥,具体算法与传感器设备计算通信密钥相同。
若根密钥为存储在多角色基站中的预配置的共享密钥,或存储在信任中心中的预配置的共享密钥,在第二通信密钥计算单元86完成通信密钥的计算之后,传感器设备开始与MTC服务器进行通信上报数据,具体为:传感器设备侧对要上报的数据进行加密,发送给已进行相互认证的多角色基站,多角色基站对接收到的数据汇聚后生成应用层数据。然后多角色基站与核心网进行AKA认证和建立NAS层安全后,多角色基站将数据传输给传感器设备对应的服务器。
若根密钥存储在核心网时,在第二通信密钥计算单元86完成通信密钥的计算之后,传感器设备开始与MTC服务器进行通信上报数据,传感器设备侧对要上报的数据进行加密,发送给已进行相互认证的多角色基站,多角色基站对接收到的数据汇聚后生成应用层数据,然后把数据通过核心网传输给传感器设备对应的服务器。
本实施例以多角色基站与传感器设备建立空口安全机制为例进行说明,当然也可以与其他的MTC设备,如摄像监控设备、自动仪表(水电气表)设备、家庭自动化设备、支付系统的设备以及车辆远程空设备等相关的设备。
本发明实施例提供的多角色基站,第一接收消息单元接收MTC设备发送的资源请求消息,计算单元计算第一消息认证码;然后发送消息单元向MTC设备发送静态资源配置消息,静态资源配置消息中携带有第一消息认证码,以使得MTC设备对第一消息认证码进行验证,若MTC设备对第一消息认证码验证成功,计算第二消息认证码和通信密钥,然后向多角色基站发送资源配置完成消息;验证单元对第二消息认证码进行验证,若验证单元对第二消息认证码验证成功,第二通信密钥计算单元计算通信密钥,从而MTC设备和多角色基站开始进行通信,这样多角色基站既建立了和MTC设备之间的新空口的安全机制,也建立和MTC设备的通信加密安全机制,进一步提高了M2M通信系统的安全。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (27)

1.一种机器类通信MTC设备的通信方法,其特征在于,包括:
向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码;
接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码;
验证所述第一消息认证码;
若所述第一消息认证码验证成功,计算第二消息认证码;
向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
2.根据权利要求1所述的方法,其特征在于,若所述第一消息认证码验证成功后,还包括:
生成通信密钥。
3.根据权利要求1或2所述的方法,其特征在于,所述资源请求信息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
4.根据权利要求3所述的方法,其特征在于,所述接收所述多角色基站发送的静态资源配置消息还包括:
所述多角色基站发送的所述静态资源配置消息中还携带有第二随机数和为所述MTC设备选择的加密算法和完整性算法。
5.根据权利要求4所述的方法,其特征在于,所述验证所述第一消息认证码包括:
根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及MTC设备的根密钥计算第一验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
所述计算第二消息认证码包括:
根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第二消息认证码。
6.根据权利要求5所述的方法,其特征在于,所述生成通信密钥包括:
根据所述MTC设备的根密钥、所述第一随机数和所述第二随机数生成中间密钥;
根据所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
7.根据权利要求6任一项所述的方法,其特征在于,所述根密钥为MTC设备的预配置的共享密钥,或者根据所述预配置的共享密钥计算得到的临时共享密钥。
8.一种与MTC设备通信的方法,其特征在于,包括:
接收所述MTC设备发送的资源请求消息;
计算第一消息认证码;
向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码;
接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码;
验证所述第二消息认证码,若所述第二消息认证码验证成功,与所述MTC设备开始通信。
9.根据权利要求8所述的方法,其特征在于,在所述第二消息认证码验证成功后,还包括:
生成通信密钥。
10.根据权利要求8或9所述的方法,其特征在于,所述资源请求信息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
11.根据权利要求10所述的方法,其特征在于,所述在接收所述MTC设备发送的资源请求消息后还包括:
生成第二随机数,根据所述MTC设备标识号获取MTC设备的根密钥,根据所述MTC设备的安全能力为所述MTC设备选择加密算法和完整性算法;
所述计算第一消息认证码包括:
所述多角色基站根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第一消息认证码;
所述静态资源配置消息还携带有所述第二随机数和所述为MTC设备选择的加密算法和完整性算法。
12.根据权利要求11所述的方法,其特征在于,所述验证所述第二消息认证码包括:
根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第二验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
13.根据权利要求12所述的方法,其特征在于,生成所述通信密钥包括:
根据所述MTC设备的根密钥,所述第一随机数和所述第二随机数生成中间密钥;
根据所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
14.根据权利要求10-13任一项所述的方法,其特征在于,所述根据所述MTC设备标识号获取MTC设备的根密钥包括:
从所述多角色基站中直接获取MTC设备的预配置的共享密钥,将所述预配置的共享密钥作为根密钥;或
从核心网获取所述多角色基站管辖的所有MTC设备的共享密钥列表,根据所述MTC设备的标识号,从所述共享密钥列表中获取所述MTC设备的预配置的共享密钥,将所述预配置的共享密钥作为根密钥;或
所述多角色基站向信任中心发送密钥请求,所述密钥请求包括:所述MTC设备标识号、所述第一随机数和所述第二随机数,以使得所述信任中心根据所述MTC设备标识号对应的MTC设备的预配置的共享密钥、所述第一随机数和所述第二随机数计算MTC设备的临时共享密钥;
接收所述信任中心的密钥响应,所述密钥响应携带所述临时共享密钥,将所述临时共享密钥作为根密钥。
15.一种MTC设备,其特征在于,包括:
第一发送消息单元,用于向多角色基站发送资源请求消息,以使得所述多角色基站计算第一消息认证码;
接收消息单元,用于在所述第一发送消息单元发送所述资源请求消息后,接收所述多角色基站发送的静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码;
验证单元,用于验证所述接收消息单元接收的所述第一消息认证码;
计算单元,用于若验证单元验证所述第一消息认证码成功后,计算第二消息认证码;
第二发送消息单元,用于向所述多角色基站发送资源配置完成消息,所述资源配置完成消息中携带有所述计算单元计算的所述第二消息认证码,以使得所述多角色基站验证所述第二消息认证码并在验证成功的情况下与所述MTC设备开始通信。
16.根据权利要求15所述的设备,其特征在于,还包括:
第一通信密钥计算单元,用于若所述验证单元验证所述第一消息认证码成功后,生成通信密钥。
17.根据权利要求15或16所述的设备,其特征在于,
所述第一发送消息单元发送的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
18.根据权利要求17所述的设备,其特征在于,所述接收消息单元接收的所述静态资源配置消息中还携带有第二随机数和为所述MTC设备选择的加密算法和完整性算法。
19.根据权利要求18所述的设备,其特征在于,所述验证单元具体用于根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及MTC设备的根密钥计算第一验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
所述计算单元具体用于根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第二消息认证码。
20.根据权利要求19所述的设备,其特征在于,所述第一通信密钥计算单元包括:
中间密钥生成子单元,用于根据所述MTC设备的根密钥、所述第一随机数和所述第二随机数生成中间密钥;
第一通信密钥生成子单元,用于根据所述中间密钥生成子单元生成的所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
21.一种多角色基站,其特征在于,包括:
第一接收消息单元,用于接收MTC设备发送的资源请求消息;
计算单元,用于根据所述第一接收消息单元接收到的所述资源请求消息计算第一消息认证码;
发送消息单元,用于所述计算单元计算所述第一消息认证码后,向所述MTC设备发送静态资源配置消息,所述静态资源配置消息中携带有所述第一消息认证码,以使得所述MTC设备验证所述第一消息认证码,若所述MTC设备对所述第一消息认证码验证成功,MTC设备计算第二消息认证码;
第二接收消息单元,用于所述发送消息单元发送所述静态资源配置消息后,接收所述MTC设备发送的资源配置完成消息,所述资源配置完成消息中携带有所述第二消息认证码;
验证单元,用于验证所述第二接收消息单元接收的所述第二消息认证码,若所述第二消息认证码验证成功,多角色基站与所述MTC设备开始通信。
22.根据权利要求21所述的多角色基站,其特征在于,还包括:
第二通信密钥计算单元,用于在所述验证单元验证所述第二消息认证码成功后,生成通信密钥。
23.根据权利要求20或21所述的多角色基站,其特征在于,
所述第一接收消息单元接收到的资源请求消息包括:MTC设备标识号、MTC设备安全能力和MTC设备生成的第一随机数。
24.根据权利要求23所述的多角色基站,其特征在于,所述计算单元具体用于:
生成第二随机数;
根据所述MTC设备的安全能力为所述MTC设备选择加密算法和完整性算法;
根据所述MTC设备标识号获取MTC设备的根密钥;
根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第一消息认证码;
所述发送消息单元还用于发送所述第二随机数和所述为MTC设备选择的加密算法和完整性算法。
25.根据权利要求24所述的多角色基站,其特征在于,所述验证单元具体用于:根据所述多角色基站的标识号、所述MTC设备标识号、所述第一随机数、所述第二随机数以及所述MTC设备的根密钥计算第二验证消息认证码,若所述第一消息认证码与所述第一验证消息认证码一致,则第一消息认证码验证成功。
26.根据权利要求25所述的多角色基站,其特征在于,所述第二通信密钥计算单元包括:
中间密钥生成子单元,用于根据所述MTC设备的根密钥,所述第一随机数和所述第二随机数生成中间密钥;
第二通信密钥生成子单元,用于根据所述中间密钥生成子单元生成的所述中间密钥和所述为MTC设备选择的加密算法和完整性算法计算所述通信密钥。
27.根据权利要求23-26任一项所述的多角色基站,其特征在于,所述计算单元用于根据所述MTC设备标识号获取MTC设备的根密钥具体为:
从所述多角色基站中直接获取MTC设备的预配置的共享密钥,将所述共享密钥作为根密钥;或
从核心网获取多角色基站管辖的所有MTC设备的共享密钥列表;根据所述MTC设备的标识号,从所述共享密钥列表中获取所述MTC设备的预配置的共享密钥,将所述共享密钥作为根密钥;或
向信任中心发送密钥请求,所述密钥请求包括:所述MTC设备标识号、所述第一随机数和所述第二随机数,以使得所述信任中心根据MTC设备标识号在所述信任中心对应的MTC设备的预配置的共享密钥、所述第一随机数、所述第二随机数计算临时共享密钥;接收所述信任中心的密钥响应,所述密钥响应携带有临时共享密钥,将所述临时共享密钥作为根密钥。
CN201110403140XA 2011-12-07 2011-12-07 一种通信方法、装置 Pending CN103152733A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201110403140XA CN103152733A (zh) 2011-12-07 2011-12-07 一种通信方法、装置
PCT/CN2012/086182 WO2013083082A1 (zh) 2011-12-07 2012-12-07 一种通信方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110403140XA CN103152733A (zh) 2011-12-07 2011-12-07 一种通信方法、装置

Publications (1)

Publication Number Publication Date
CN103152733A true CN103152733A (zh) 2013-06-12

Family

ID=48550551

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110403140XA Pending CN103152733A (zh) 2011-12-07 2011-12-07 一种通信方法、装置

Country Status (2)

Country Link
CN (1) CN103152733A (zh)
WO (1) WO2013083082A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104661171A (zh) * 2013-11-25 2015-05-27 中兴通讯股份有限公司 一种用于mtc设备组的小数据安全传输方法和系统
CN106209751A (zh) * 2015-05-08 2016-12-07 中标软件有限公司 基于操作系统授权证书的面向服务的接口认证方法
CN107592624A (zh) * 2016-07-07 2018-01-16 中国电信股份有限公司 用于自动生成共享密钥的方法和系统
CN107707514A (zh) * 2017-02-08 2018-02-16 贵州白山云科技有限公司 一种用于cdn节点间加密的方法及系统及装置
WO2020127776A1 (fr) * 2018-12-19 2020-06-25 Continental Automotive France Synchronisation d'un moteur à combustion interne

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003044436A (ja) * 2001-08-02 2003-02-14 Sony Corp 認証処理方法、および情報処理装置、並びにコンピュータ・プログラム
CN101072096A (zh) * 2007-05-31 2007-11-14 北京威讯紫晶科技有限公司 一种无线传感器网络中数据安全传输的方法
CN101980558A (zh) * 2010-11-16 2011-02-23 北京航空航天大学 一种Ad hoc网络传输层协议上的加密认证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101699891B (zh) * 2009-10-21 2012-07-25 西安西电捷通无线网络通信股份有限公司 一种传感器网络密钥管理和节点鉴别方法
CN102223231B (zh) * 2010-04-16 2016-03-30 中兴通讯股份有限公司 M2m终端认证系统及认证方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003044436A (ja) * 2001-08-02 2003-02-14 Sony Corp 認証処理方法、および情報処理装置、並びにコンピュータ・プログラム
CN101072096A (zh) * 2007-05-31 2007-11-14 北京威讯紫晶科技有限公司 一种无线传感器网络中数据安全传输的方法
CN101980558A (zh) * 2010-11-16 2011-02-23 北京航空航天大学 一种Ad hoc网络传输层协议上的加密认证方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104661171A (zh) * 2013-11-25 2015-05-27 中兴通讯股份有限公司 一种用于mtc设备组的小数据安全传输方法和系统
CN104661171B (zh) * 2013-11-25 2020-02-28 中兴通讯股份有限公司 一种用于mtc设备组的小数据安全传输方法和系统
CN106209751A (zh) * 2015-05-08 2016-12-07 中标软件有限公司 基于操作系统授权证书的面向服务的接口认证方法
CN106209751B (zh) * 2015-05-08 2019-05-03 中标软件有限公司 基于操作系统授权证书的面向服务的接口认证方法
CN107592624A (zh) * 2016-07-07 2018-01-16 中国电信股份有限公司 用于自动生成共享密钥的方法和系统
CN107592624B (zh) * 2016-07-07 2021-04-20 中国电信股份有限公司 用于自动生成共享密钥的方法和系统
CN107707514A (zh) * 2017-02-08 2018-02-16 贵州白山云科技有限公司 一种用于cdn节点间加密的方法及系统及装置
US11252133B2 (en) 2017-02-08 2022-02-15 Guizhou Baishancloud Technology Co., Ltd. Method, device, medium and apparatus for CDN inter-node encryption
WO2020127776A1 (fr) * 2018-12-19 2020-06-25 Continental Automotive France Synchronisation d'un moteur à combustion interne
FR3090859A1 (fr) * 2018-12-19 2020-06-26 Continental Automotive France Synchronisation d’un moteur à combustion interne
US11603806B2 (en) 2018-12-19 2023-03-14 Vitesco Technologies GmbH Synchronization of an internal combustion engine

Also Published As

Publication number Publication date
WO2013083082A1 (zh) 2013-06-13

Similar Documents

Publication Publication Date Title
RU2659488C2 (ru) Система беспроводной связи
EP2850862B1 (en) Secure paging
CN102594555B (zh) 数据的安全保护方法、网络侧实体和通信终端
CN101926151B (zh) 建立安全关联的方法和通信网络系统
CN101931955B (zh) 认证方法、装置及系统
CN109923830A (zh) 用于配置无线网络接入设备的系统和方法
CN102056157B (zh) 一种确定密钥和密文的方法、系统及装置
KR101929699B1 (ko) Gprs 시스템 키 강화 방법, sgsn 디바이스, ue, hlr/hss, 및 gprs 시스템
CN104244245A (zh) 一种无线接入认证方法、无线路由设备和无线终端
CN103560879A (zh) 一种轻量级认证与密钥协商的实现方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
CN101783800A (zh) 一种嵌入式系统安全通信方法、装置及系统
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN103152733A (zh) 一种通信方法、装置
CN104661171A (zh) 一种用于mtc设备组的小数据安全传输方法和系统
US20230308875A1 (en) Wi-fi security authentication method and communication apparatus
CN102271330A (zh) 终端、网络服务器及终端与网络服务器间的通讯方法
CN104010310A (zh) 基于物理层安全的异构网络统一认证方法
WO2015139370A1 (zh) Mtc设备组小数据安全传输连接建立方法、hss与系统
CN103763697B (zh) 一种无线接入点多密钥支持系统及方法
CN104902473A (zh) 一种基于cpk标识认证的无线网络接入认证的方法及装置
CN103813308A (zh) 一种上行数据传输方法、装置及系统
CN104579691A (zh) 一种byod模式控制方法、移动设备及系统
CN104581715A (zh) 物联网领域的传感系统密钥保护方法及无线接入设备
WO2018076299A1 (zh) 数据传输方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20130612