CN103621124A - 用于机器对机器多播组的业务加密密钥管理 - Google Patents
用于机器对机器多播组的业务加密密钥管理 Download PDFInfo
- Publication number
- CN103621124A CN103621124A CN201280031401.2A CN201280031401A CN103621124A CN 103621124 A CN103621124 A CN 103621124A CN 201280031401 A CN201280031401 A CN 201280031401A CN 103621124 A CN103621124 A CN 103621124A
- Authority
- CN
- China
- Prior art keywords
- group
- cipher key
- message
- business cipher
- base station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Abstract
描述了一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法。该方法包括从基站接收包括新的组安全种子的第一消息;和基于新的组安全种子更新组业务密钥。
Description
技术领域
本公开通常涉及一种用于在机器对机器的多播组中的设备的业务加密密钥管理。
背景技术
在无线通信系统中已经引进用于对多个设备的多媒体业务的保护技术。近来,在机器对机器(M2M)通信环境中,M2M设备往往具有有限的性能,并且不像在通用无线通信系统中传统设备一样耗费多媒体数据。
发明内容
技术问题
在IEEE802.16e中,用于MBS(多播和广播服务)的MBRA(多播和广播密钥更新算法)和基于MTK(MBS传输密钥)的多播业务加密已经被定义为覆盖用于一组设备的多播服务的技术。
现有的技术主要地为多媒体服务设置而设计。由于M2M设备具有低的移动性,并且可以在它们属于用于设备管理的M2M设备组时操作,所以需要限定对用于多播业务的安全机制的增强。
本公开提供用于在M2M通信环境中生成用于M2M设备组的业务加密密钥的方法。本公开提供用于在M2M环境中多播数据传输的降低的安全密钥分层结构。此外,本公开提供当其它的移动设备从M2M设备组注销的时候用于更新业务加密密钥的方法。本公开提供将用于发送多播数据的M2M设备组标识符指配给在M2M设备组中的设备的方法。
问题的解决方案
在一个方面中,一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,该方法由移动站执行,该方法包括:通过动态服务增加(DSA)事务从基站接收用于生成组业务密钥的参数,该参数包括组的标识符和组安全种子;基于该参数生成组业务密钥;使用组业务密钥解密多播数据;从基站接收包括新的组安全种子的第一消息;以及基于新的组安全种子更新组业务密钥。
这些和其它的方面可以包括一个或多个以下的特征。组业务密钥是机器对机器(服务)组业务加密密钥(M2MGTEK或者MGTEK),组的标识符是机器对机器设备组标识符(MGID),和组安全种子是机器对机器服务组安全种子(MGSS)。第一消息是私有密钥管理响应(PKM-RSP)消息。当机器对机器(M2M)设备从组注销的时候,接收第一消息。该方法进一步包括:将用于通知组业务密钥成功更新的私有密钥管理请求(PKM-REQ)消息发送到基站。
在另一个方面中,一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,该方法由移动站执行,该方法包括:通过动态服务增加(DSA)事务从基站接收用于生成组业务密钥的参数,该参数包括组的标识符和组安全种子;基于该参数生成组业务密钥;使用组业务密钥解密多播数据;将用于请求与组业务密钥有关的当前参数的请求消息发送到基站;响应于请求消息从基站接收响应消息,该响应消息包括当前组安全种子和指示当前使用的组业务密钥的索引的计数器;以及基于在响应消息中的组安全种子和计数器更新组业务密钥。
这些和其它的方面可以包括一个或多个以下的特征。请求消息是私有密钥管理请求(PKM-REQ)消息,并且响应消息是私有密钥管理响应(PKM-RSP)消息。计数器是机器对机器组业务加密密钥计数(M2MGTEK_COUNT)。请求消息包括组的标识符。该方法进一步包括将用于通知组业务密钥成功更新的确认发送到基站。
在另一个方面中,一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,该方法由移动站执行,该方法包括:通过动态服务增加(DSA)事务从基站接收用于生成组业务密钥的参数,该参数包括组的标识符和组安全种子;基于该参数生成组业务密钥;使用组业务密钥解密多播数据;从基站接收指示在空闲模式期间网络重新进入的寻呼广告(PAG-ADV)消息,PAG-ADV消息包括组的标识符;从基站接收用于更新组业务密钥的触发消息,该触发消息包括新的组安全种子;以及基于新的组安全种子更新组业务密钥。
这些和其它的方面可以包括一个或多个以下的特征。该方法进一步包括执行网络重新进入以更新组业务密钥。触发消息是私有密钥管理响应(PKM-RSP)消息。该方法进一步包括将用于通知组业务密钥成功更新的私有密钥管理请求(PKM-REQ)消息发送到基站。当机器对机器(M2M)设备从组注销的时候,接收触发消息。
所描述的技术的实现可以包括硬件、方法或者过程,或者在计算机可访问的介质上的计算机软件。
例如,一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的移动站,该移动站包括:无线通信单元,该无线通信单元被配置成将无线信号发送到外部和/或从外部接收无线信号;和控制器,该控制器被连接到无线通信单元,其中控制器控制无线通信单元以从基站接收用于更新组业务密钥的触发消息,该触发消息包括新的组安全种子,其中控制器基于新的组安全种子控制以更新组业务密钥。
此外,控制器控制无线通信单元以接收指示在空闲模式期间网络重新进入以更新组业务密钥的寻呼广告(PAG-ADV)消息,该PAG-ADV消息包括组的标识符。
此外,该触发消息是私有密钥管理响应(PKM-RSP)消息。
本发明的有利效果
按照在本公开中描述的示例性实施例,该移动站可以使用M2M设备组ID参与多播组。移动站可以在没有基站的繁重干预的情况下生成和更新业务加密密钥。甚至在空闲状态中操作的移动站可以更新业务加密密钥。
在伴随的附图中和以下的描述中阐述一个或多个实现的细节。其它的特点将从说明书和附图,以及从权利要求书中清晰可见。
附图说明
图1是图示无线通信系统的框图。
图2是在无线通信系统中的移动站和基站的框图。
图3示出图示在无线通信系统中网络进入过程和初始化过程的流程图。
图4是图示在M2M设备组ID和M2M设备ID之间关系的示例性图。
图5图示在网络进入过程期间用于将M2M设备组ID和M2M设备ID指配给M2M设备的示例性方法。
图6是用于解密移动站的多播数据的过程的流程图。
图7示出用于业务密钥的安全密钥分层结构。
图8示出用于提供L2组安全的过程的流程图。
图9、图10、图11和图12图示用于更新组业务密钥的示例性过程。
具体实施方式
如下所述的技术可以在各种的无线通信系统中使用,诸如码分多址(CDMA)、频分多址(FDMA)、时分多址(TDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)等等。CDMA可以通过诸如通用陆上无线电接入(UTRA)或者CDMA-2000的无线电技术实现。TDMA可以通过诸如全球移动通信系统(GSM)/通用分组无线电服务(GPRS)/用于GSM演进(EDGE)的增强型数据速率的无线电技术实现。OFDMA可以通过诸如电气与电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE802-20、演进的UTRA(E-UTRA)等等的无线电技术实现。IEEE802.16m是IEEE802.16e的演进,并且提供与基于IEEE802.16的系统的向后兼容。UTRA是通用移动电信系统(UMTS)的一部分。第三代合作伙伴项目(3GPP)长期演进(LTE)是使用E-UTRA的演进的UMTS(E-UMTS)的一部分。3GPP LTE在下行链路中使用OFDMA,并且在上行链路中使用SC-FDMA。高级LTE(LTE-A)是3GPP LTE的演进。
为了清楚,以下的描述将集中在IEEE802.16m。但是,本发明的技术特征不限于此。
无线通信系统
图1是图示无线通信系统的框图。无线通信系统被广泛地部署以提供各种的通信服务,诸如语音,分组数据等等。参考图1,无线通信系统包括多个移动站(MS)100和一个或多个基站(BS)200。移动站可以是固定或者移动的,并且可以通过其它的术语引用,诸如UE(用户设备)、UT(用户终端)、SS(订户站)、无线设备和AMS(高级移动站)等等。
基站200通常指示与移动站100通信的固定站,并且基站200可以通过其它的术语引用,诸如节点B、BTS(基站收发器系统)、接入点等等。
图2是在无线通信系统中的移动站和基站的框图。
移动站100包括控制单元110、存储器120和RF(射频)单元130。移动站100可以包括显示单元,并且也包括用户接口单元。
控制单元110执行在此处描述的功能、步骤和/或方法。控制单元110可以执行与无线电接口协议的层有关的功能。
存储器120连接到控制单元110,并且存储用于执行无线通信的协议和参数。即,存储器120存储移动终端的操作系统、应用程序和通用文件。
RF单元130连接到控制单元110以发送与接收无线电信号。
另外,显示单元显示移动站的各种信息,并且可以通过公知的显示元件,诸如LCD(液晶显示器)、OLED(有机发光二极管)等等实现。用户接口单元可以包括公知的用户接口,诸如键盘、触摸屏等等。
基站200包括控制单元210、存储器220和RF单元230。
控制单元210执行在此处描述的功能、步骤和/或方法。控制单元210可以执行与无线通信协议层有关的功能。
存储器220连接到控制单元210,并且存储用于执行无线通信的协议和参数。
RF单元230连接到控制单元210以发送与接收无线电信号。
控制单元110和210可以包括ASIC(专用集成电路)、其它的芯片组、逻辑电路和/或数据处理单元。存储器120和220可以包括ROM(只读存储器)、RAM(随机存取存储器)、闪存、存储卡、存储介质和/或其它的存储设备。RF单元130和230可以包括处理无线电信号的基带电路。如果示例性实施例以软件的形式实现,在本公开中描述的方法(步骤、功能等等)可以作为模块实现。模块可以存储在存储器120和220中,并且可以由控制单元110和210执行。
网络进入和初始化
图3示出图示在无线通信系统中网络进入过程和初始化过程的流程图。
参考图3,移动站100通过扫描下行链路信道搜索基站,并且移动站100获得关于下行链路和上行链路的系统信息(S10)。
然后,移动站100与已经搜索的基站一起执行测距过程(S20)。该测距过程使移动站100能够通过基于竞争的测距与上行链路同步,其中移动站100选择随机地选择的CDMA测距码,并且将其发送到基站200。
基站200经由测距响应消息(RNG-RSP)给移动站通知调整信息。在调整期间,测距响应消息的状态被配置为“继续”,并且在调整之后,基站200发送表示该状态被配置为“成功”的测距响应消息。
从基站200传送到移动站的RNG-RSP消息包括移动站100的功率偏移信息、定时偏移信息和频率偏移信息。随后,基于该信息移动站100将数据发送到基站200。
当移动站100指示通过测距码测距请求被成功地处理的时候,移动站100将测距请求(RNG-REQ)消息发送到基站200(S21),并且基站200响应于RNG-REQ将RNG-RSP发送到移动站100(S22)。
当移动站100接收RNG-RSP的时候,移动站100将订户站基本能力请求(SBC-REQ)消息发送到基站200(S30),订户站基本能力请求(SBC-REQ)消息包括有关移动站支持与基站数据接收和传输的参数和认证方法的信息。
一旦接收到SBC-REQ消息,移动站200将在SBC-REQ消息中的参数和认证方法与基站200支持的参数和认证方法进行比较。按照比较的结果,基站200确定移动站100将用于与基站200进行数据通信的参数和认证方法,并且将包括确定的参数和确定的认证方法的订户站基本能力响应(SBC-RSP)消息发送到移动站100(S40)。
在完成与基站200基本能力协商之后,移动站100开始认证过程(S50)。在认证过程期间,移动站100和基站200彼此相互认证,并且之后交换将用于保护数据传输的安全密钥。
此后,移动站100通过发送注册请求(REG-REQ)消息(S61),并且通过接收注册响应(REG-RSP)消息(S62)进入与基站200注册过程。
一旦注册过程完成,移动站100建立IP连接和传送操作参数。在完成如上所述的网络进入过程和初始化过程之后,建立在移动站100和基站200之间的连接。
机器对机器:M2M
机器对机器(M2M)指的是允许无线和有线系统两者与相同能力的其它设备通信的技术。因此,M2M通信指示在设备之间的有线和无线通信,而不是在由用户和其它的设备控制的设备之间的常规通信。此外,当与常规设备相比的时候,在蜂窝网络中使用的M2M设备缺乏性能或者能力。
与传统的通信环境相比较,M2M通信环境具有不同的特性,诸如在小区中大量的设备、低的数据业务、更少频率的数据传输、有限数量的数据特性、对时间延迟不敏感等等。M2M设备例如是自动售货机、固定的计量机和固定的监视视频。在小区中大量的设备可以通过设备类型、等级、服务类型等等分类。M2M设备可以取决于它们支持的服务具有以下的特征:
1.M2M设备更不频繁地发送数据。数据可以被周期地发送。
2.M2M设备具有低的可移动性或者是稳定的。
3.M2M设备通常对于在信号传输中的等待时间更不敏感。
示出以上特征的大量的M2M设备可以互相通信,或者甚至使用多跳配置或者层次结构与基站通信。
用于M2M系统的术语如下:
(1)机器对机器(M2M)通信:信息通过基站在用户设备之间,或者在核心网络中通过基站在设备和服务器之间交换,其可以被执行而无任何人的交互。
(2)M2M ASN:支持M2M服务的接入服务网。
(3)M2M设备:能够提供M2M通信的MS。
(4)M2M服务器:与M2M设备通信的实体。M2M服务器运行M2M应用,并且对一个或多个M2M设备提供M2M特定服务。
(5)M2M特征:M2M应用的独有的特性。一个或多个特征可能需要支持应用。
(6)M2M设备组:共同地共享一个或多个特征的一组M2M设备。
M2M设备组ID(MGID)和MGID指配
在支持M2M通信的无线系统中,第一标识符和第二标识符指配给每个M2M设备。第一标识符用于识别在小区中M2M设备属于的M2M设备组,并且第二标识符用于唯一地识别在M2M设备组中的设备之中的M2M设备。
第一标识符称为M2M设备组ID(MGID)或者主M2M设备ID,并且第二标识符称为M2M设备ID(MDID)或者辅M2M设备ID。
M2M通信支持系统在初始网络进入过程期间将MGM组ID和M2M设备ID指配给M2M设备。M2M通信系统可以是基站或者连接到网络的网络实体。该网络实体可以是M2M服务器。
图4是图示在M2M设备组ID和M2M设备ID之间关系的示例性图。
参考图4,从1到N的M2M设备组ID(MGID)被指配给每个M2M设备组,并且每个M2M设备组包括M2M设备ID(MDID)。
MGID分配
图5图示在网络进入过程期间用于指配M2M设备组ID和M2M设备ID给M2M设备的示例性方法。
在图5中的步骤S110、S121、S122、S140、S150和S161分别地对应于在图3中的步骤S10、S21、S22、S40、S50和S61。相应的步骤已经如上所述,因此,其它的步骤将参考图5描述。
在初始网络进入过程的基本能力协商期间,移动站100将包括移动站100是M2M设备或者具有M2M能力的信息的SBC-REQ消息发送到基站200(S130)。例如,移动站100可以在SBC-REQ消息中将M2M能力字段设置为“1”。
已经接收包括该信息的SBC-REQ的基站200通知移动站100是M2M设备,并且将M2M设备组ID和M2M设备ID指配给移动站。
基站200将包括M2M设备组ID和M2M设备ID的REG-RSP消息发送到移动站100(S162)。
如上所述,基站200通过在SBC-REQ消息中设置为“1”的M2M能力字段通知移动站100是M2M设备,并且经由REG-RSP消息将M2M设备组ID和M2M设备ID指配给移动站100。
图6是用于解密移动站的多播数据的过程的流程图。
参考图6,当移动站100接近基站200的小区时,属于某个M2M设备组的移动站100进入网络进入过程(S100)。在完成在图6中的网络进入(S100)和密钥推导(S400)之后,移动站100可以使用由密钥推导生成的业务加密密钥成功地解密用于在M2M设备组中的设备的多播数据(S400)。
移动站100执行网络进入过程(S100)。步骤S100通过在图3中的S62对应于S10的步骤,或者通过在图5中的S162对应于S110的步骤。
必要时,基站200可以与M2M服务器300或者AAA服务器400执行额外的信令(S200)。
基站200可以与AAA服务器400交换用于设备认证的消息(S210)。
此外,基站200可以获得用于移动站100的MAK(M2M服务授权密钥)(S220)。MAK由网络侧生成,并且提供给所有授权的M2M设备。MAK可以用作用于M2M设备组的授权密钥,其起组主密钥或者GMK的作用。在某些例子中,基站可以在本地生成用于小区特定的组安全管理的MAK,其中MAK仅仅在基站内是唯一的。在某些例子中,基站可以从用于小区公共组安全管理的M2M服务器300请求小区公共MAK(S230),其中MAK在整个网络或者多个小区内是唯一的。
在移动站100被授权和认证之后,移动站可以执行组加入过程。如果移动站100接受以加入组,基站通知设备M2M设备组的标识符,即,M2M设备组ID(MGID)(S310)。
然后,基站200将安全参数发送到移动站100(S320)。安全参数用于生成业务加密密钥。安全参数包括MAK、组安全种子和计数器。
组安全种子可以是由网络侧生成的随机值,其可以称作M2M服务组安全种子或者MGSS,并且通过DSA过程提供。
此外,计数器可以是当前使用的业务加密密钥的索引。计数器可以表示为M2MGTEK_COUNT。该计数器用作用于密钥推导函数的参数之一,因此,业务加密密钥的更新取决于该计数器。
然后,移动站100执行密钥推导函数以基于MGID、MAK、组安全种子和计数器生成业务加密密钥(S410)。业务加密密钥将用于加密要传送给在M2M设备组中设备的多播数据。业务加密密钥可以称为M2M服务组业务加密密钥或者MGTEK。执行密钥推导函数的步骤(S410)涉及用于在图7中示出的MGTEK的密钥分层结构。参考图7,M2M授权密钥或者MAK(10)由网络侧生成,并且诸如MGID、MAK、MGSS和M2MGTEK_COUNT的安全参数(20)从基站200中获得。密钥推导函数(30)使用MAK和参数(20)导出业务加密密钥或者MGTEK。密钥推导函数(30)是设计成当它们给出相同的输入值的时候能在两侧上生成相同的密钥的伪随机函数之一。用于在本公开中描述的技术的密钥推导函数(30)可以是如同以下和在图7中所示的“Dot16KDF”。
[公式1]
M2MGTEK<=Dot16KDF(MAK,MGSS|M2MGTEK_COUNT|MGID|'MGTEK',128)
在这里,MAK由网络侧生成(其在IEEE802.16标准范围之外),MGSS是BS生成的随机值,M2MGTEK_COUNT表示当前使用的M2MGTEK的索引,其被设备应用以导出M2MGTEK。M2MGTEK的更新取决于M2MGTEK_COUNT,MGID是M2M组ID。
然后,移动站100可以确认对于基站200的业务加密密钥的获取(S420)。基站200可以检查MGTEK是否在移动站侧上和/或在基站侧上适当地生成(S430)。
然后,基站200可以发送使用MGTEK加密的多播业务数据(S500)。对于任何组相关的数据传输,基站200可以使用MGTEK,其可以需要附加的特征,诸如组SAID(安全相关)ID映射。例如,基站200可以使用MGTEK将设备特定的安全与组安全应用合并。
同时,移动站100从基站200接收加密的多播数据。移动站100使用生成的组业务密钥解密从基站200接收的加密多播数据。
图8示出用于提供L2组安全的过程的流程图。在图8中具有相同附图标记的步骤与在图6中相应的步骤相同。参考图8,基站或者移动设备不必进行任何动作以建立M2M设备组安全函数。所有安全措施通过L3进行。基站可以请求组形成(S240),并且AAA服务器400生成所有必要的密钥(S250),而且经由基站发送。多播数据的加密也在服务器侧处被完成(S520)。基站仅仅转发多播分组。
更新组业务密钥
图9、图10和图11图示用于更新组业务密钥的示例性过程。
用于某个M2M设备组的业务加密密钥可以使用用于密钥推导函数的一个或多个安全参数更新。如果基站可以通过触发消息通知移动站哪一个参数(多个参数)被改变,则移动站可以再次导出更新业务密钥。
参考图9,在基站使用业务密钥发送加密的数据(S500)时,导致在一个或多个安全参数中的变化的事件可以发生(S610)。然后,基站200将包括所变化的参数的触发消息发送到移动站(S620)。
然后,移动站100使用通过触发消息接收的参数执行密钥推导函数以更新MGTEK(S630)。
在成功更新MGTEK之后,移动站100可以使用更新的组业务密钥接收和解密多播数据(S700)。
事件类型
在各种的示例中,导致在一个或多个安全参数中的变化的事件可以是PN空间的耗尽、MGTEK/MAK寿命的期满,或者EKS或者M2MGTEK_COUNT的不匹配检测。
此外,每当与帧号级联的ROC(翻转计数器)的3个MSB达到0×7FFFFFF或者相关的M2M组被改变(例如,成员离开)时,MGTEK更新被触发。当MGTEK更新被触发的时候,通过动态的服务变化请求(AAI-DSC-REQ)消息在M2M组中新的MGSS被提供给移动站。
在一个示例中,要被包括在触发消息中变化的安全参数包括授权密钥,即,MAK,其已经在网络中新被导出。这个事件可能发生,MAK寿命期满。无论哪个先发生,或者一旦PN空间或者M2MGTEK寿命期满,M2MGTEK被更新。在PN空间或者M2MGTEK寿命期满的情况下,当前的M2MGTEK_COUNT增加1,通过其设备执行本地推导以生成新的M2MGTEK。
在一个示例中,要被包括在触发消息中的变化的安全参数包括组安全种子,即,MGSS。当其它的设备从移动设备属于的M2M设备组注销的时候,组安全种子可以改变。如果设备从组中取消注册,则新生成的MGSS经由未经请求的PKM-RSP消息被提供给在该组中的每个移动站,并且基站初始化M2MGTEK_COUNT。MGSS值可以在PKM-RSP消息内被加密。基站从这样的安全上下文更新中排除注销的设备。对于处于连接模式之中的移动站,基站经由未经请求的PKM-RSP消息发送新的安全上下文。对于处于空闲模式之中的移动站,基站经由具有设置为0b10的“动作码”的MOB_PAG-ADV消息寻呼整个组(即,MGID)。对于成功地执行网络重新进入的每个移动站,ABS发送包括新的MGSS的未经请求的PKM-RSP消息。
在一个示例中,要被包括在触发消息中的变化的安全参数包括计数器,即,M2MGTEK_COUNT,其已经增加1。在这个示例中,业务密钥作为种子基于M2MGTEK_COUNT更新,用于生成新更新MGTEK。因为MGTEK没有被暴露,所以M2MGTEK_COUNT可以被清楚地发送。这个事件可能发生,PN空间被耗尽。
在一个示例中,移动站可以检测业务密钥是否已经改变。参考图11,如果基站发送具有更新的业务密钥的多播数据(S650),则移动站通过检查加密密钥序列或者EKS,检测是否使用旧的业务密钥解密多播数据(S660)。如果移动站不能解密多播数据(S660),则移动站通过将PKM-REQ消息发送给基站启动密钥更新请求(S670)。基站经由PKM-RSP消息发送具有当前MGSS和M2MGTEK_COUNT(使用着)的响应(S680)。
此外,接收具有用于更新M2MGTEK的新的MGSS的PKM-RSP消息的每个设备将以用于成功更新确认的PKM-ACK消息响应。
表1示出PKM消息码,并且表2示出PKM-REQ/RSP消息的PKM属性。
表1
[表1]
代码 | PKM消息类型 | MAC管理消息名称 |
… | … | … |
33 | MIH恢复响应 | PKM-RSP |
34 | M2M密钥请求 | PKM-REQ |
35 | M2M密钥应答 | PKM-RSP |
36-225 | 预留的 |
表2
[表2]
类型 | PKM属性 |
… | … |
47 | GKEK参数 |
48 | MIH周期 |
49 | MIH传送方法和状态码 |
53 | M2M多播SA描述符 |
54 | M2MGTEK参数 |
55-255 | 预留的 |
触发消息的类型
此外,在各种的示例中,通知移动站在一个或多个安全参数中的变化的触发消息可以是MAC消息或者寻呼广告消息。
在一个示例中,如果移动站处于连接状态(激活)之中,则基站可以将MAC消息作为触发消息使用。参考图9,基站发送多播消息以通知更新的参数(在图9中的S620)。用作触发消息的MAC消息不限于此。
在一个示例中,如果移动站处于空闲模式之中,则基站可以使用寻呼广告消息作为触发消息。参考图10,基站发送作为包括更新的M2MGTEK_COUNT的触发消息的寻呼广告消息以通知移动站(在图10中的S620)。用于通知更新的参数的寻呼广告消息可以是如表3所示的MOB_PAG-ADV消息。
表3
[表3]
直接通知
与先前描述的示例相比,基站200可以通知移动站100该更新的业务密钥(MGTEK)。
参考图12,该基站200可以检测是否业务密钥或者安全参数已经改变(S810)。
基站200可以发送寻呼广告消息以通知所有空闲设备调度的MGTEK更新(S820)。此外,该基站200可以设置与调度的MGTEK更新有关的激活时间。该基站200发送以原始MGTEK加密的多播数据,直到激活时间为止(S830)。该多播数据可以具有关于要更新的新的MGTEK和设置的激活时间的信息。
该移动站100更新和使用MGTEK,直到激活时间(S840)、(S850)为止。在激活时间之后,基站开始发送以MGTEK(S860,S870)加密的多播数据。
前面提到的实施例是通过本发明的结构要素和特征以预先确定的类型的组合实现的。除非单独地指定,该结构要素或者特征中的每个将被有选择地考虑。该结构要素或者特征中的每个可以被执行而不与其他的结构要素或者特征结合。此外,一些结构要素和/或特征可以相互结合以构成本发明的实施例。在本发明的实施例中描述的操作顺序可以改变。一个实施例的一些结构要素或者特征可以被包括在另一个实施例中,或者可以以另一个实施例的相应的结构要素或者特征替换。另外,显然是,涉及特定的权利要求的一些权利要求可以与涉及除了特定的权利要求以外的其它的权利要求的另外的权利要求结合,以构成该实施例或者在该申请提交之后,通过修改的手段增加新的权利要求。
已经基于在移动站和基站之间的数据传输和接收描述了本发明的实施例。已经描述为由基站执行的特定操作可以视情况而定由基站的上层节点执行。换句话说,显然的是,在随同基站一起包括多个网络节点的网络中用于执行与用户设备通信的各种操作可以由基站或者除了基站以外的网络节点执行。基站可以以诸如固定站、节点B、e节点B(eNB)和接入点的术语替换。移动站可以以诸如用户设备(UE)和移动订户站(MSS)的术语替换。
根据本发明的实施例可以通过各种手段,例如,硬件、固件、软件或者其组合实现。如果根据本发明的实施例通过硬件实现,则本发明的实施例可以通过一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DSPD)、可编程序逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器等等实现。
如果根据本发明的实施例通过固件或者软件实现,则本发明的实施例可以通过一种执行如上描述的函数或者操作的模块、过程或者函数实现。软件码可以存储在存储器单元中,并且然后可以由处理器驱动。该存储单元可以位于该处理器的内部或者外部,以通过各种已知的装置将数据发送到处理器和从处理器接收数据。
对于本领域技术人员来说显而易见,本发明可以在不脱离本发明的精神和基本特性的情况下以其他特定的形式实施。因此,上述实施例将在所有方面被考虑为说明性的和非限制性的。本发明的范围将通过所附的权利要求的合理的解释确定,并且在本发明的等同范围内的所有变化被包括在本发明的范围中。
Claims (19)
1.一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,所述方法由移动站执行,所述方法包括:
通过动态服务增加(DSA)事务从基站接收用于生成所述组业务密钥的参数,所述参数包括组的标识符和组安全种子;
基于所述参数生成所述组业务密钥;
使用所述组业务密钥解密多播数据;
从所述基站接收包括新的组安全种子的第一消息;以及
基于所述新的组安全种子更新所述组业务密钥。
2.根据权利要求1所述的方法,其中,所述组业务密钥是机器对机器(服务)组业务加密密钥(M2MGTEK或者MGTEK),
其中,所述组的标识符是机器对机器设备组标识符(MGID),以及
其中,所述组安全种子是机器对机器服务组安全种子(MGSS)。
3.根据权利要求1所述的方法,其中,所述第一消息是私有密钥管理响应(PKM-RSP)消息。
4.根据权利要求1所述的方法,其中,当机器对机器(M2M)设备从所述组注销的时候,接收所述第一消息。
5.根据权利要求1所述的方法,其中,生成或者更新所述组业务密钥由以下公式执行,
[公式]
MGTEK<=Dot16KDF(MAK,MGSS|M2MGTEK_COUNT|MGID|'MGTEK',128)
6.根据权利要求3所述的方法,进一步包括:
将用于通知所述组业务密钥成功更新的私有密钥管理请求(PKM-REQ)消息发送到所述基站。
7.一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,所述方法由移动站执行,所述方法包括:
通过动态服务增加(DSA)事务从基站接收用于生成所述组业务密钥的参数,所述参数包括组的标识符和组安全种子;
基于所述参数生成所述组业务密钥;
使用所述组业务密钥解密多播数据;
将用于请求与所述组业务密钥有关的当前参数的请求消息发送到所述基站;
响应于所述请求消息从所述基站接收响应消息,所述响应消息包括当前组安全种子和指示当前使用的组业务密钥的索引的计数器;以及
基于在所述响应消息中的所述组安全种子和所述计数器更新所述组业务密钥。
8.根据权利要求7所述的方法,其中,所述请求消息是私有密钥管理请求(PKM-REQ)消息,并且所述响应消息是私有密钥管理响应(PKM-RSP)消息。
9.根据权利要求7所述的方法,其中,所述计数器是机器对机器组业务加密密钥计数(M2MGTEK_COUNT)。
10.根据权利要求7所述的方法,其中,所述请求消息包括所述组的标识符。
11.根据权利要求7所述的方法,进一步包括:
将用于通知所述组业务密钥成功更新的确认发送到所述基站。
12.一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的方法,所述方法由移动站执行,所述方法包括:
通过动态服务增加(DSA)事务从基站接收用于生成所述组业务密钥的参数,所述参数包括组的标识符和组安全种子;
基于所述参数生成所述组业务密钥;
使用所述组业务密钥解密多播数据;
从所述基站接收指示在空闲模式期间网络重新进入的寻呼广告(PAG-ADV)消息,所述PAG-ADV消息包括所述组的标识符;
从所述基站接收用于更新所述组业务密钥的触发消息,所述触发消息包括新的组安全种子;以及
基于所述新的组安全种子更新所述组业务密钥。
13.根据权利要求12所述的方法,进一步包括:
执行网络重新进入以更新所述组业务密钥。
14.根据权利要求12所述的方法,其中,所述触发消息是私有密钥管理响应(PKM-RSP)消息。
15.根据权利要求14所述的方法,进一步包括:
将用于通知所述组业务密钥成功更新的私有密钥管理请求(PKM-REQ)消息发送到所述基站。
16.根据权利要求12所述的方法,其中,当机器对机器(M2M)设备从所述组注销的时候,接收所述触发消息。
17.一种用于在无线通信系统中更新用于加密和解密多播数据的组业务密钥的移动站,所述移动站包括:
无线通信单元,所述无线通信单元被配置成将无线信号发送到外部和/或从外部接收无线信号;和
控制器,所述控制器被连接到所述无线通信单元,
其中,所述控制器控制所述无线通信单元以从基站接收用于更新所述组业务密钥的触发消息,所述触发消息包括新的组安全种子,
其中,基于所述新的组安全种子所述控制器控制以更新所述组业务密钥。
18.根据权利要求17所述的移动站,其中,所述控制器控制所述无线通信单元以接收指示在空闲模式期间网络重新进入以更新所述组业务密钥的寻呼广告(PAG-ADV)消息,所述PAG-ADV消息包括组的标识符。
19.根据权利要求17所述的移动站,其中,所述触发消息是私有密钥管理响应(PKM-RSP)消息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161506171P | 2011-07-11 | 2011-07-11 | |
US61/506,171 | 2011-07-11 | ||
PCT/KR2012/001505 WO2013008990A1 (en) | 2011-07-11 | 2012-02-28 | Traffic encryption key management for machine to machine multicast group |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103621124A true CN103621124A (zh) | 2014-03-05 |
Family
ID=47506252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280031401.2A Pending CN103621124A (zh) | 2011-07-11 | 2012-02-28 | 用于机器对机器多播组的业务加密密钥管理 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9432844B2 (zh) |
JP (1) | JP2014523672A (zh) |
KR (1) | KR20140006996A (zh) |
CN (1) | CN103621124A (zh) |
WO (1) | WO2013008990A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105684484A (zh) * | 2013-10-28 | 2016-06-15 | 日本电气株式会社 | 根据基于邻近的服务的位置变化的安全管理 |
WO2021212413A1 (zh) * | 2020-04-23 | 2021-10-28 | 华为技术有限公司 | 一种密钥的传输方法及装置 |
WO2022174802A1 (zh) * | 2021-02-20 | 2022-08-25 | 华为技术有限公司 | 密钥更新的方法和装置 |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150200942A1 (en) * | 2012-06-29 | 2015-07-16 | Nec Corporation | Update of security for group based feature in m2m |
CN105144758B (zh) * | 2013-04-18 | 2019-10-01 | 高通股份有限公司 | 用于经由eMBMS进行一键讲话或一键操作的MBMS承载增强 |
US11570161B2 (en) | 2013-07-31 | 2023-01-31 | Nec Corporation | Devices and method for MTC group key management |
CN105592455B (zh) * | 2014-11-13 | 2020-09-29 | 南京中兴软件有限责任公司 | 一种密钥更新方法、装置和主传输节点tp |
EP3228099A1 (en) * | 2014-12-05 | 2017-10-11 | PCMS Holdings, Inc. | Protecting the integrity of log entries in a distributed system |
US20180123784A1 (en) * | 2015-04-24 | 2018-05-03 | Pcms Holdings, Inc. | Systems, methods, and devices for device credential protection |
KR101953269B1 (ko) * | 2015-06-23 | 2019-06-11 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 비승인 전송 방법, 사용자 장비, 액세스 네트워크 장치, 및 코어 네트워크 장치 |
US10263968B1 (en) * | 2015-07-24 | 2019-04-16 | Hologic Inc. | Security measure for exchanging keys over networks |
US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
CN108738084B (zh) * | 2017-04-18 | 2020-09-18 | 华为技术有限公司 | 通信方法与设备 |
US11196733B2 (en) | 2018-02-08 | 2021-12-07 | Dell Products L.P. | System and method for group of groups single sign-on demarcation based on first user login |
US10855463B2 (en) * | 2018-02-08 | 2020-12-01 | Dell Products L.P. | System and method for providing quality of service during transport key rotation at a distributed management controller group |
KR101940983B1 (ko) | 2018-11-15 | 2019-01-22 | 주식회사 유니온플레이스 | 멀티캐스트 그룹 내의 디바이스 |
KR102008670B1 (ko) | 2019-04-18 | 2019-08-08 | 주식회사 유니온플레이스 | 멀티캐스트 그룹을 모니터링하는 장치 |
US10972442B1 (en) * | 2019-05-15 | 2021-04-06 | Juniper Networks, Inc. | Distributed predictive packet quantity threshold reporting |
KR102024062B1 (ko) | 2019-05-31 | 2019-09-24 | 주식회사 유니온플레이스 | 멀티캐스트 그룹 내의 구독자에게 키 데이터를 전송하는 디바이스 |
KR102024058B1 (ko) | 2019-05-31 | 2019-09-24 | 주식회사 유니온플레이스 | 멀티캐스트 그룹 내의 디바이스 |
JP7413196B2 (ja) | 2020-08-06 | 2024-01-15 | 東芝三菱電機産業システム株式会社 | 通信システム |
US11792643B2 (en) * | 2021-10-07 | 2023-10-17 | Qualcomm Incorporated | Techniques for parameter usage tracking for encryption |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1947373A (zh) * | 2004-03-05 | 2007-04-11 | 韩国电子通信研究院 | 在无线便携因特网系统中管理通讯加密密钥的方法及其协议配置方法、以及在用户台中的通讯加密密钥状态机的操作方法 |
US20100057485A1 (en) * | 2008-08-29 | 2010-03-04 | Achim Luft | Methods and apparatus for machine-to-machine based communication service classes |
WO2011008498A2 (en) * | 2009-07-14 | 2011-01-20 | Alcatel-Lucent Usa Inc. | Automated security provisioning protocol for wide area network communication devices in open device environment |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7907733B2 (en) * | 2004-03-05 | 2011-03-15 | Electronics And Telecommunications Research Institute | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
JP4606885B2 (ja) * | 2005-01-18 | 2011-01-05 | Kddi株式会社 | 鍵配信システムおよび鍵管理サーバならびに鍵配信方法 |
CN100463391C (zh) * | 2006-09-23 | 2009-02-18 | 西安西电捷通无线网络通信有限公司 | 一种网络密钥管理及会话密钥更新方法 |
US8005044B2 (en) * | 2007-01-23 | 2011-08-23 | Samsung Electronics Co., Ltd | Apparatus and method for transmitting service guide in broadband wireless access system |
KR20080069500A (ko) | 2007-01-23 | 2008-07-28 | 삼성전자주식회사 | 광대역 무선 접속 시스템에서 서비스 가이드 전달 장치 및방법 |
KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
US8595486B2 (en) * | 2008-07-15 | 2013-11-26 | Industrial Technology Research Institute | Systems and methods for authorization and data transmission for multicast broadcast services |
KR101638799B1 (ko) * | 2009-11-05 | 2016-07-13 | 삼성전자주식회사 | 무선통신 시스템에서 기지국과 단말 간 슬립 사이클 설정을 협상하기 위한 장치 및 방법 |
-
2012
- 2012-02-28 JP JP2014515709A patent/JP2014523672A/ja active Pending
- 2012-02-28 WO PCT/KR2012/001505 patent/WO2013008990A1/en active Application Filing
- 2012-02-28 US US14/119,423 patent/US9432844B2/en not_active Expired - Fee Related
- 2012-02-28 KR KR1020137031761A patent/KR20140006996A/ko not_active Application Discontinuation
- 2012-02-28 CN CN201280031401.2A patent/CN103621124A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1947373A (zh) * | 2004-03-05 | 2007-04-11 | 韩国电子通信研究院 | 在无线便携因特网系统中管理通讯加密密钥的方法及其协议配置方法、以及在用户台中的通讯加密密钥状态机的操作方法 |
US20100057485A1 (en) * | 2008-08-29 | 2010-03-04 | Achim Luft | Methods and apparatus for machine-to-machine based communication service classes |
WO2011008498A2 (en) * | 2009-07-14 | 2011-01-20 | Alcatel-Lucent Usa Inc. | Automated security provisioning protocol for wide area network communication devices in open device environment |
Non-Patent Citations (2)
Title |
---|
INUK JUNG等: "IEEE802.16e Security support for Group Management in M2M environment", 《IEEE》 * |
INUK JUNG等: "Security Support for Multi-cast Traffic in M2M communication", 《IEEE》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105684484A (zh) * | 2013-10-28 | 2016-06-15 | 日本电气株式会社 | 根据基于邻近的服务的位置变化的安全管理 |
WO2021212413A1 (zh) * | 2020-04-23 | 2021-10-28 | 华为技术有限公司 | 一种密钥的传输方法及装置 |
WO2022174802A1 (zh) * | 2021-02-20 | 2022-08-25 | 华为技术有限公司 | 密钥更新的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20140093082A1 (en) | 2014-04-03 |
JP2014523672A (ja) | 2014-09-11 |
WO2013008990A1 (en) | 2013-01-17 |
US9432844B2 (en) | 2016-08-30 |
KR20140006996A (ko) | 2014-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103621124A (zh) | 用于机器对机器多播组的业务加密密钥管理 | |
US9161216B2 (en) | Traffic encryption key management for machine to machine multicast group | |
KR102450419B1 (ko) | 무선 통신 네트워크에서의 로밍 활동에 대한 안티 스티어링 검출 방법 및 시스템 | |
KR100704678B1 (ko) | 무선 휴대 인터넷 시스템에서의 그룹 트래픽 암호화 키갱신 방법 | |
EP2676398B1 (en) | Wireless device, registration server and method for provisioning of wireless devices | |
US10306432B2 (en) | Method for setting terminal in mobile communication system | |
KR101877733B1 (ko) | 기기간 통신 환경에서 그룹 통신을 보안하는 방법 및 시스템 | |
EP2702741B1 (en) | Authenticating a device in a network | |
US8842832B2 (en) | Method and apparatus for supporting security in muliticast communication | |
TW201703556A (zh) | 網路安全架構 | |
US20100220856A1 (en) | Private pairwise key management for groups | |
US20220345307A1 (en) | Method, Device, and System for Updating Anchor Key in a Communication Network for Encrypted Communication with Service Applications | |
US20130061037A1 (en) | Encryption communication method, apparatus and system | |
KR20130003806A (ko) | 기기 간 통신 시스템에서 멀티캐스트 데이터 암호화 키 관리 방법, 장치 그리고 시스템 | |
US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
WO2022175538A1 (en) | A method for operating a cellular network | |
KR20140039674A (ko) | 이동 통신 시스템에서 단말의 보안 관리 방법 및 장치 | |
KR20120074234A (ko) | 멀티캐스트 통신에서의 보안 지원 방법 및 장치 | |
WO2014162691A1 (ja) | セルラ通信システム、移動局、基地局、及び制御ノード、並びにこれらに関する方法 | |
WO2024079155A1 (en) | Method and device for authenticating a primary station | |
CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
CN116546493A (zh) | 一种基于云辅助的车联网认证密钥协商方法 | |
CN116830533A (zh) | 用于分发多播加密密钥的方法和设备 | |
CN117397268A (zh) | 无线网络中保护发现过程的安全方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140305 |
|
WD01 | Invention patent application deemed withdrawn after publication |