CN103688563A - 执行组认证和密钥协商过程 - Google Patents
执行组认证和密钥协商过程 Download PDFInfo
- Publication number
- CN103688563A CN103688563A CN201180072384.2A CN201180072384A CN103688563A CN 103688563 A CN103688563 A CN 103688563A CN 201180072384 A CN201180072384 A CN 201180072384A CN 103688563 A CN103688563 A CN 103688563A
- Authority
- CN
- China
- Prior art keywords
- group
- key
- authentication
- equipment
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Abstract
本发明提供一种用于执行组认证和密钥协商过程的方法、对应装置和计算机程序产品。一种方法包括:由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程,其中定义共享组密钥以用于在组认证和密钥协商过程中使用;基于共享组密钥执行主控设备与认证实体之间的相互认证;并且基于共享组密钥执行经认证的主控设备与在该组中的其它设备之间的相互认证以用于完成组认证和密钥协商过程。利用要求保护的本发明,可以显著减少信令开销对网络的影响而无对网络的现有架构的大量修改。
Description
技术领域
本发明的实施例总体涉及无线通信。更具体而言,本发明的实施例涉及一种用于对一组通信设备、例如机器型通信设备执行组认证和密钥协商过程的方法、装置和计算机程序产品。
背景技术
在说明书中和/或在附图中出现的各种缩写词定义如下:
3GPP 第三代合作伙伴项目
LTE 长期演进
BS 基站
MS 移动台
MME 移动性管理实体
UE 用户设备
IMSI 国际移动用户标识
ASME 接入安全管理实体
TMSI 暂时移动用户标识
MTC 机器型通信
HSS 归属用户服务器
IMEI 国际移动设备标识
AV 认证矢量
USIM 通用用户标识模块
AUTN 认证令牌
RAND 随机质询
GPRS 通用分组无线电服务
SGSN 服务GPRS支持节点
XRES 预计响应
CK 密码密钥
IK 完整性密钥
AK 匿名密钥
XMAC 预计消息认证码
MAC 消息认证码
AuC 认证中心
AKA 认证和密钥协商
AKA过程是已经被当今的许多通信系统用于提高系统安全性和稳健性的过程。已经在通过完全引用而并入于此的3GPP技术规范33.102和33.401中详述一个这样的AKA过程。可以涉及到如本领域已知的质询-响应认证过程的AKA过程将不可避免地引起某个数量的信令开销。在将在AKA过程中认证的设备数目相对低时,它对于网络将仅引起少量开销。然而在其中将同时认证的设备众多的情形中,它将生成可能给网络的带宽和处理能力带来负担的大量信令开销。这对于机器型通信尤其如此,在这些机器型通信中,按组形成的许多MTC设备将同时朝着网络发起它们自己的AKA过程并且由此给网络带来负面影响。关于MTC通信的更多信息,参见也通过完全引用而并入于此的3GPP技术报告33.868。
因此,在现有技术中需要的是一种用于以高效和安全方式对一组设备执行组AKA过程的手段、使得信令开销对网络的影响可能被减小。
发明内容
因此提供一种用于对一组设备执行组AKA过程的方法、装置和计算机程序产品。具体而言,提供一种方法、装置和计算机程序产品,其中一组设备中的主控设备在完成它自己的与网络(即认证实体)的认证时可以代表网络认证在该组中的其它设备。因此例如可以减少信令开销对网络的影响而无对网络的现有架构的大量修改。
本发明的一个实施例提供一种方法。该方法包括由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程,其中定义共享组密钥以用于在组认证和密钥协商过程中使用。该方法也包括基于共享组密钥执行主控设备与认证实体之间的相互认证。此外,该方法包括基于共享组密钥执行在经认证的主控设备与在该组中的其它设备之间的相互认证以用于完成组认证和密钥协商过程。
在一个实施例中,由设备组的所有者、主控设备的所有者或者网络运营商选择主控设备。
在另一实施例中,为多个不同的设备组定义多个不同的共享组密钥,使得设备基于它属于的组而具有共享组密钥中的多个共享组密钥。
在一个附加实施例中,执行相互认证基于质询-响应认证过程。
在一个实施例中,该方法还包括从主控设备向认证实体发送关于组认证和密钥协商过程的结果的消息。
在另一实施例中,该方法还包括由主控设备指示组认证和密钥协商过程中已经失败的一个或者多个设备分别地朝着认证实体发起认证和密钥协商过程。
在一个附加实施例中,该方法还包括基于一个或者多个设备专用参数和根据共享组密钥推导的中间组密钥为在组认证和密钥协商过程中已经成功认证的一个或者多个设备生成相应的新共享密钥。
在另一实施例中,一个或者多个设备专用参数是如下各项中的一项或者多项:设备的现有专用密钥、国际移动用户标识、暂时移动用户标识以及国际移动设备标识。
在一个实施例中,现有专用密钥是根据在设备与认证中心之间的共享根密钥推导的共享密钥,并且相应的新共享密钥根据现有专用密钥和中间组密钥推导。
本发明的一个附加实施例提供一种装置。该装置包括用于由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程的装置,其中定义共享组密钥以用于在组认证和密钥协商过程中使用。该装置也包括用于基于共享组密钥执行主控设备与认证实体之间的相互认证的装置。此外,该装置还包括用于基于共享组密钥执行在经认证的主控设备与该组中的其它设备之间的相互认证以用于完成组认证和密钥协商过程的装置。
在一个实施例中,由设备组的所有者、主控设备的所有者或者网络运营商选择主控设备。
在另一实施例中,为多个不同的设备组定义多个不同共享组密钥,使得设备基于它属于的组而具有共享组密钥中的多个共享组密钥。
在一个附加实施例中,执行相互认证基于质询-响应认证过程。
在一个实施例中,该装置还包括用于从主控设备向认证实体发送关于组认证和密钥协商过程的结果的消息的装置。
在另一实施例中,该装置还包括用于由主控设备指示组认证和密钥协商过程中已经失败的一个或者多个设备分别地朝着认证实体发起认证和密钥协商过程的装置。
在一个附加实施例中,该装置还包括用于基于一个或者多个设备专用参数和根据共享组密钥推导的中间组密钥为已经在组认证和密钥协商过程中成功认证的一个或者多个设备生成相应的新共享密钥的装置。
在又一实施例中,一个或者多个设备专用参数是如下各项中的一项或多项:设备的现有专用密钥、国际移动用户标识、暂时移动用户标识和国际移动设备标识。
在一个实施例中,现有专用密钥是根据在设备与认证中心之间的共享根密钥推导的共享密钥,并且相应的新共享密钥根据现有专用密钥和中间组密钥推导。
本发明的一个实施例提供一种装置。该装置包括至少一个处理器以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置用于与至少一个处理器使该装置一起至少执行:由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程,其中定义共享组密钥以用于在组认证和密钥协商过程中使用;基于共享组密钥执行主控设备与认证实体之间的相互认证;并且基于共享组密钥执行在经认证的主控设备与在该组中的其它设备之间的相互认证以用于完成组认证和密钥协商过程。
本发明的一个实施例提供一种计算机程序产品。该计算机程序产品包括至少一个计算机可读存储介质,至少一个计算机可读存储介质具有在其上存储的计算机可读程序代码部分。计算机可读程序代码部分包括用于由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程的程序代码指令,其中定义共享组密钥以用于在组认证和密钥协商过程中使用。计算机可读程序代码部分也包括用于基于共享组密钥执行主控设备与认证实体之间的相互认证的程序代码指令。计算机可读程序代码部分还包括用于基于共享组密钥执行在经认证的主控设备与在该组中的其它设备之间的相互认证以用于完成组认证和密钥协商过程的程序代码指令。
利用本发明的某些实施例,将减少对一组设备执行太多AKA过程而引起的信令开销。此外,利用共享组密钥,可以改进在该组设备与网络之间的安全通信。
也将在结合附图阅读时从具体实施例的以下描述中理解本发明的实施例的其它特征和优点,附图通过示例图示本发明的实施例的原理。
附图说明
可以通过参照以下描述同时考虑附图来获得本发明的各种实施例及其优点的更完整理解,在附图中,相似标号指示相似特征,并且在附图中:
图1示例性地图示提供如下环境和结构的简化3GPP网络,该环境和结构用于应用本发明的原理;
图2示例性地图示根据本发明的实施例的用于对一组设备执行组AKA过程的方法的流程图;
图3示例性地图示根据本发明的实施例的用于在LTE网络之下对一组设备执行组AKA过程的方法的流程图;并且
图4是图示根据本发明的实施例的用于执行组AKA过程的装置的框图。
具体实施方式
在各种实施例的以下描述中参照附图,附图形成该描述的部分并且在附图中通过示例示出各种实施例,可以在这些实施例中实现本发明。本领域技术人员将理解,可以利用其它实施例并且可以进行结构和功能修改而不脱离本发明的范围和精神实质。
在本发明的一个实施例中,一组设备中的主控设备可以朝着网络、例如认证实体发起组AKA过程。对于组AKA过程,预定义共享组密钥以便执行主控设备与网络之间的相互认证。在已经成功认证主控设备时,它将代替认证实体认证该组中的其它设备。在本发明的另一实施例中,如果在该组中的一个或者多个设备认证失败,则它们中的每个设备将发起与认证实体的分别AKA过程。在本发明的一个附加实施例中,主控设备将向认证实体发送关于组AKA过程的结果的消息。
图1示例性地图示提供如下环境和结构的简化3GPP网络100,该环境和结构用于应用本发明的原理。如图1中所示网络100包括位于网络100的接入部分的MTC设备102a、MTC设备102b和主控设备104。此外,网络100还包括位于如圆圈所示3GPP承载中的(在LTE系统中使用的)MME或者(在3G系统中使用的)SGSN106和HSS/AuC108,其中MME或者SGSN106和HSS/AuC108(如与接入部分比较)属于网络端实体,并且MME或者SGSN106也可以称为认证实体。另外,网络100包括MTC服务器110a和MTC服务器110b,这些MTC服务器连接到3GPP承载并且处置关于一组MTC设备、例如如图1中所示包括MTC设备102a、102b和104的组的各种事务。应当理解,提供网络100作为一个实施例的示例而不应解释网络100以任何方式缩小公开内容的范围或者精神实质。
在常规AKA过程中,一组设备中的每个设备会必须分别地朝着网络发起AKA过程。如图1中的虚线所示,MTC设备102a和102b各自通过它们的已经在USIM中存储的相应共享根密钥Ki朝着MME或者SGSN106发起AKA过程。在接收到AKA过程请求之后,MME或者SGSN106作为中间方可以与HSS/AuC108交互以便执行用于认证MTC设备102a和102b的相应质询-响应过程。虽然这里出于示例目的而图示仅三个MTC设备(包括主控MTC设备),但是在实践中可以有一组数以百计的MTC设备。在这样的多个MTC设备单独和同时发起AKA过程时,毫无疑问的是生成的信令开销对MME或者SGSN106和HSS/AuC108造成巨大影响。
一种用于减轻对网络的以上影响的高效方式是减少在网络端的执行的AKA过程数目。为此,本申请的实施例提出对一组设备、例如MTC设备执行组AKA过程。在组AKA过程中,网络运营商、主控MTC设备104的所有者或者一组MTC设备的所有者(例如公司、比如电力公司)可以预先在该组MTC设备中选择或者指明主控MTC设备。然后,主控MTC设备104可以通过与密钥Ki相似的预定义共享组密钥Kgroup朝着认证实体发起组AKA过程。
在完成在主控MTC设备104与网络端实体、即MME或者SGSN106与HSS/AuC108之间的AKA过程时,主控MTC设备104可以代表网络端实体认证该组中的其它MTC设备。换而言之,该组中的其它MTC设备可以不再与网络端实体、而是与主控MTC设备104执行分别的AKA过程。这样,将显著减少在网络端的信令开销,因为AKA过程仅在网络端被执行过一次。
图2示例性地图示根据本发明的实施例的方法200的流程图。该方法始于步骤S201并且进行至步骤S202,在该步骤,方法200通过一组设备中的主控设备朝着认证实体发起组AKA过程,其中定义共享组密钥用于在组AKA过程中使用。在一个实施例中,该组设备的所有者、主控设备的所有者或者网络运营商选择主控设备。换而言之,组中的设备中的任一设备可以按照需要充当主控设备发挥作用以发起组AKA过程。在另一实施例中,为多个不同的设备组定义多个不同共享组密钥,从而设备基于它属于的组而具有多个共享组密钥。
在发起组AKA过程之后,方法200进行至步骤S203。在步骤S203,方法200基于共享组密钥执行主控设备与认证实体之间的相互认证。在一个实施例中,可以基于质询-响应认证过程执行相互认证,在该质询-响应认证过程中使用共享组密钥而不是常规密钥。如本领域技术人员所知,质询-响应认证过程仅在设备已经认证网络并且网络已经认证设备时成功。
在认证主控设备和网络之后,方法200进行至步骤S204,在该步骤,方法200基于共享组密钥执行经认证的主控设备与该组中的其它设备之间的相互认证用于完成组AKA过程。类似于步骤S203,这里的相互认证也可以涉及到质询-响应认证过程。
虽然未在图2中示出,但是方法200可以在各种实施例中包括附加步骤。例如在一个实施例中,方法200可以通过主控设备指示组AKA过程已经失败的一个或者多个设备分别地朝着认证实体发起新AKA过程。在另一实施例中,方法200可以从主控设备向认证实体发送关于组AKA过程的结果的消息;由此,认证实体可以得知该组中的哪些设备已经通过组AKA过程。在附加实施例中,方法200可以基于一个或者多个设备专用参数和根据共享组密钥推导的中间组密钥为已经在组AKA过程中成功认证的一个或者多个设备生成相应的新共享密钥,其中一个或者多个设备专用参数是设备的现有专用密钥、国际移动用户标识、暂时移动用户标识和国际移动设备标识中的一项或者多项。在一个实施例中,现有专用密钥是根据设备与AuC之间的共享根密钥推导的共享密钥,并且根据现有专用密钥和中间组密钥推导相应的新共享密钥。
最后,方法200在步骤S205结束。
为了更好地理解本发明的实施例,现在将参照图3描述组AKA过程的更完整和详细的示例,该图图示用于在LTE系统之下对一组设备(例如体现为MTC设备)执行组AKA过程的方法300。为了恰当实施方法300,假设先前已经向网络注册一组MTC设备并且每个注册的MTC设备具有与网络的共享密钥KASME,但是图3为了简洁而仅图示在相同组中的一个MTC设备和一个主控MTC设备。另外假设已经定义并且在该组中的每个设备中、例如在USIM上存储专用于组AKA过程的组密钥Kgroup。可以基于在独特的共享根密钥Ki或者根据Ki推导的共享密钥的保护之下预先建立的安全通信从网络向设备安全地推送这样的组密钥Kgroup。
基于以上假设或者由此建立的场景,方法300始于步骤S301,其中该组设备的所有者、主控设备的所有者或者网络运营商可以从该组选择的主控MTC设备向MME发送组AKA过程请求。在接收组AKA过程请求之后,MME在步骤S302请求来自HSS/AuC的AV。由于MTC设备向网络的先前注册或者在请求中的指示组AKA过程的指示符,HSS/AuC确定这一请求与组AKA过程有关。因此,为了辅助组AKA过程,它将生成例如包括四个分量、即RAND、AUTN、XRES和KASME-GROUP的AV。分量KASME-GROUP是根据密钥Kgroup推导的共享中间密钥。关于如何推导这样的共享中间密钥,可以例如参照3GPP TS33.401的附录。可替换地,关于分量RAND和AUTN,它们中的每个分量可以分别被专用于组AKA过程的新分量RANDgroup和AUTNgroup替换。在步骤S303,响应于来自MME的请求,HSS/AuC向MME发送包括以上四个分量的AV。
在从HSS/AuC接收AV之后,MME在步骤S304向主控MTC设备转发分量RAND和AUTN。主控MTC设备、更具体为它的USIM在接收到RAND和AUTN之后在步骤S305首先通过计算XMAC并且比较它与在AUTN中包括的MAC来认证MME。如果XMAC等于MAC,则主控MTC设备确定MME是受信任的实体;否则,主控MTC设备将放弃或者中止这次的组AKA过程并且可以在某个时间间隔之后尝试重新发起组AKA过程。在一个实施例中,在用于重新发起组AKA过程的尝试数目超过预定义限制时,应当选择或者指派新的主控设备以发起组AKA过程。在成功认证MME之后,主控MTC设备基于共享组密钥Kgroup和RAND生成响应RES。此后,主控MTC设备向MME发送回响应RES。
为了认证主控MTC设备,MME简单地验证从主控MTC设备接收的响应RES等于在AV中接收的XRES。一旦响应RES等于XRES,主控MTC设备朝着无线网络的认证已经成功完成。可替换地,在以上相互认证之后,主控MTC设备可以基于根据Kgroup推导的中间密钥KASME-GROUP和一个或者多个设备专用参数计算新共享密钥KASME’。一个或者多个设备专用参数可以是现有专用密钥、例如KASME或者其它标识符、例如IMSI、TMSI或者IMEI中的一项或者多项。例如可以例如按照以下等式计算密钥KASME’。
所得KASME’用于与网络的进一步安全通信。例如KASME’可以用来生成用于其它层、比如非接入层、接入层和用户平面的密钥。应当注意以上密钥KASME’的生成在旧KASME仍然适合于进一步安全通信时不是必要的。
在已经被成功认证的情况下,主控MTC设备在步骤S306向在该组中的其它设备发送RAND和AUTN以便执行在它本身与在该组中的其它设备中的每个设备之间的相互认证。与步骤S305相似,在该组中的其它设备中的每个设备对主控MTC设备执行认证操作以保证这样的主控MTC设备是受信任的主控设备而不是主控设备的冒充者。类似地,在成功认证主控MTC设备之后,在该组中的MTC设备基于共享组密钥Kgroup和RAND生成相应的响应RES、然后向主控MTC设备转发RES。类似地,主控MTC设备确定RES是否等于XRES。如果是这种情况,则它指示MTC设备通过认证;否则,可选地,在步骤S307,主控MTC设备向MTC设备通知认证失败。然后备选地或者附加地,认证失败的MTC设备可以在步骤S308朝着网络发起分别AKA过程。在主控MTC设备成功认证之后,在步骤S309,MTC设备可以备选地基于它自己的可能现在不可用的现有具体专用密钥、例如KASME或者它自己的标识、例如IMSI、TMSI或者IMEI来计算它自己的KASME’。可替换地,MTC设备可以应用如以上关于主控MTC设备讨论的等式(1)以计算它自己的KASME’用于与网络的进一步安全通信。
主控设备在步骤S310可以向MME发送关于组AKA过程的结果的消息,从而MME可以知道在该组中的哪些设备已经通过组AKA过程。与MTC设备相似,MME也可以在步骤S311计算相应的新共享密钥KASME’用于进一步安全通信。
虽然前文已经以LTE系统和该组MTC设备为例描述本发明的一个实施例,但是本发明不应限于此。本领域技术人员可以理解也可以通过一些修改例如在3G系统和其它类型的一组设备中实施以上方法300。例如在3G系统中实施方法300时,LTE系统中的以上密钥KASME和KASME-GROUP可以分别被密钥IK和CK以及IKgroup和CKgroup替换。类似地,3G系统中的SGSN将发挥与在LTE系统中的MME相同的作用。此外,鉴于本领域技术人员基于本申请的公开内容和教导可以实施本发明的实施例而无任何附加工作这样的事实,这里省略关于如何推导和使用各种级别的密钥的进一步细节以免现有技术不必要地模糊本发明的实施例。
图4是根据本发明的另一实施例的装置400的示意图,该装置实施如图2和3中所示方法200和300的相关步骤。如图4中所示装置仅为其中可以实施本发明的电子设备的示例。在某些实施例中,如图4中所示装置可以是个人数字助理(PDA)、移动电话、电子读卡器、传感器设备等。如图4中所示,装置400可以包括至少一个处理器400、键盘401、编译码器电路装置402、麦克风403、耳机404、无线电接口电路装置405、天线406、存储计算机程序代码的至少一个存储器407、红外线端口408、显示器409、智能卡410(例如根据本发明的实施例的USIM卡)和读卡器411。分别的电路和单元都是本领域熟知的类型,并且这里省略它们中的一些以免不必要地模糊本发明的实施例。如图4中所示,存储器407和如在其中存储的计算机程序代码被配置用于使处理器400执行如结合图2和3描述的方法200和300中的相关步骤。
此外,以上已经参照方法、装置(即系统)的框图和流程图图示描述本发明的示例实施例。应当理解,可以通过包括计算机程序指令的各种装置分别实施框图和流程图图示的每个块以及在框图和流程图图示中的块的组合。可以向通用计算机、专用计算机或者其它可编程数据处理装置上加载这些计算机程序指令以产生机器,从而在计算机或者其它可编程数据处理装置上执行的指令产生用于实施在流程图的一个或者多个块中指定的功能的装置。
前述计算机程序指令可以例如是子例程和/或函数。计算机程序产品在本发明的一个实施例中包括在其上存储前述计算机程序指令的至少一个计算机可读存储介质。计算机可读存储介质可以例如是光盘或者电子存储器设备、比如RAM(随机存取存储器)或者ROM(只读存储器)。
这里阐述的本发明的许多修改和其它实施例将为本发明的这些实施例涉及的领域的、从在前文描述和关联附图中呈现的教导中受益的技术人员所想到。因此将理解,本发明的实施例将不限于公开的具体实施例,并且修改和其它实施例旨在于包含于所附权利要求的范围内。虽然这里运用具体术语,但是它们仅在通用和描述意义上而不是出于限制的目的加以使用。
Claims (20)
1.一种方法,包括:
由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程,其中定义共享组密钥以用于在所述组认证和密钥协商过程中使用;
基于所述共享组密钥执行所述主控设备与所述认证实体之间的相互认证;以及
基于所述共享组密钥执行经认证的所述主控设备与所述组中的其它设备之间的相互认证以用于完成所述组认证和密钥协商过程。
2.根据权利要求1所述的方法,其中由所述设备组的所有者、所述主控设备的所有者或者网络运营商选择所述主控设备。
3.根据权利要求1所述的方法,其中为多个不同的设备组定义多个不同的共享组密钥,使得所述设备基于它属于的组而具有多个所述共享组密钥。
4.根据权利要求1所述的方法,其中所述执行相互认证基于质询-响应认证过程。
5.根据权利要求1所述的方法,还包括:
从所述主控设备向所述认证实体发送关于所述组认证和密钥协商过程的结果的消息。
6.根据权利要求1所述的方法,还包括:
由所述主控设备指示所述组认证和密钥协商过程中已经失败的一个或者多个设备分别地朝着所述认证实体发起认证和密钥协商过程。
7.根据权利要求1-6中任一项所述的方法,还包括:
基于一个或者多个设备专用参数和根据所述共享组密钥推导的中间组密钥为在所述组认证和密钥协商过程中已经成功认证的一个或者多个设备生成相应的新共享密钥。
8.根据权利要求7所述的方法,其中所述一个或者多个设备专用参数是如下各项中的一项或者多项:所述设备的现有专用密钥、国际移动用户标识、暂时移动用户标识以及国际移动设备标识。
9.根据权利要求8所述的方法,其中所述现有专用密钥是根据所述设备与认证中心之间的共享根密钥推导的共享密钥,并且所述相应的新共享密钥根据所述现有专用密钥和所述中间组密钥推导。
10.一种装置,包括:
用于由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程的装置,其中定义共享组密钥以用于在所述组认证和密钥协商过程中使用;
用于基于所述共享组密钥执行所述主控设备与所述认证实体之间的相互认证的装置;以及
用于基于所述共享组密钥执行经认证的所述主控设备与所述组中的其它设备之间的相互认证以用于完成所述组认证和密钥协商过程的装置。
11.根据权利要求10所述的装置,其中由所述设备组的所有者、所述主控设备的所有者或者网络运营商选择所述主控设备。
12.根据权利要求10所述的装置,其中为多个不同的设备组定义多个不同的共享组密钥,使得所述设备基于它属于的组而具有多个所述共享组密钥。
13.根据权利要求10所述的装置,其中所述执行相互认证基于质询-响应认证过程。
14.根据权利要求10所述的装置,还包括:
用于从所述主控设备向所述认证实体发送关于所述组认证和密钥协商过程的结果的消息的装置。
15.根据权利要求10所述的装置,还包括:
用于由所述主控设备指示所述组认证和密钥协商过程中已经失败的一个或者多个设备分别地朝着所述认证实体发起认证和密钥协商过程的装置。
16.根据权利要求10-15中的任一项所述的装置,还包括:
用于基于一个或者多个设备专用参数和根据所述共享组密钥推导的中间组密钥为已经在所述组认证和密钥协商过程中已经成功认证的一个或者多个设备生成相应的新共享密钥的装置。
17.根据权利要求16所述的装置,其中所述一个或者多个设备专用参数是如下各项中的一项或者多项:所述设备的现有专用密钥、国际移动用户标识、暂时移动用户标识和国际移动设备标识。
18.根据权利要求17所述的装置,其中所述现有专用密钥是根据所述设备与认证中心之间的共享根密钥推导的共享密钥,并且所述相应的新共享密钥根据所述现有专用密钥和所述中间组密钥推导。
19.一种装置,包括:
至少一个处理器,以及
包括计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置用于与所述至少一个处理器一起使所述装置至少执行:
由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程,其中定义共享组密钥以用于在所述组认证和密钥协商过程中使用;
基于所述共享组密钥执行所述主控设备与所述认证实体之间的相互认证;以及
基于所述共享组密钥执行经认证的所述主控设备与所述组中的其它设备之间的相互认证以用于完成所述组认证和密钥协商过程。
20.一种计算机程序产品,包括至少一个计算机可读存储介质,所述至少一个计算机可读存储介质具有在其上存储的计算机可读程序代码部分,所述计算机可读程序代码部分包括:
用于由一组设备中的主控设备朝着认证实体发起组认证和密钥协商过程的程序代码指令,其中定义共享组密钥以用于在所述组认证和密钥协商过程中使用;
用于基于所述共享组密钥执行所述主控设备与所述认证实体之间的相互认证的程序代码指令;
用于基于所述共享组密钥执行经认证的所述主控设备与所述组中的其它设备之间的相互认证以用于完成所述组认证和密钥协商过程的程序代码指令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/074693 WO2012159272A1 (en) | 2011-05-26 | 2011-05-26 | Performing a group authentication and key agreement procedure |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103688563A true CN103688563A (zh) | 2014-03-26 |
Family
ID=47216530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180072384.2A Pending CN103688563A (zh) | 2011-05-26 | 2011-05-26 | 执行组认证和密钥协商过程 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9270672B2 (zh) |
| EP (1) | EP2716093A4 (zh) |
| CN (1) | CN103688563A (zh) |
| WO (1) | WO2012159272A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016141794A1 (zh) * | 2015-03-12 | 2016-09-15 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| CN106209802A (zh) * | 2016-06-30 | 2016-12-07 | 全球能源互联网研究院 | 一种基于组策略的电力4g网络安全认证和密钥协商方法 |
| CN106416122A (zh) * | 2015-05-08 | 2017-02-15 | 松下电器(美国)知识产权公司 | 认证方法和认证系统 |
| CN108616354A (zh) * | 2018-04-27 | 2018-10-02 | 北京信息科技大学 | 一种移动通信中密钥协商方法和设备 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101626453B1 (ko) * | 2012-02-02 | 2016-06-01 | 노키아 솔루션스 앤드 네트웍스 오와이 | 머신 타입 통신에서의 그룹 기반 부트스트랩핑 |
| JP6065124B2 (ja) * | 2013-01-10 | 2017-01-25 | 日本電気株式会社 | Ueのmtcグループに対するブロードキャストにおけるグループ認証 |
| JP6165483B2 (ja) * | 2013-03-27 | 2017-07-19 | 株式会社Nttドコモ | 通信システム、中継装置及び通信方法 |
| CN105340307A (zh) | 2013-06-28 | 2016-02-17 | 日本电气株式会社 | 用于prose组通信的安全 |
| WO2015010258A1 (en) * | 2013-07-23 | 2015-01-29 | Nokia Corporation | Method and apparatus of secure charging for device-to-device service |
| US11570161B2 (en) * | 2013-07-31 | 2023-01-31 | Nec Corporation | Devices and method for MTC group key management |
| CN104661171B (zh) * | 2013-11-25 | 2020-02-28 | 中兴通讯股份有限公司 | 一种用于mtc设备组的小数据安全传输方法和系统 |
| EP3110066B1 (en) * | 2014-02-18 | 2018-06-27 | Panasonic Intellectual Property Corporation of America | Authentication method and authentication system |
| US10756804B2 (en) * | 2014-05-08 | 2020-08-25 | Apple Inc. | Lawful intercept reporting in wireless networks using public safety relays |
| US9992670B2 (en) * | 2014-08-12 | 2018-06-05 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| CN105792095A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 用于mtc分组通信的密钥协商方法、系统及网络实体 |
| RU2017132032A (ru) * | 2015-02-16 | 2019-03-18 | Нек Корпорейшн | Система связи, терминал связи, способ аутентификации и не временный машиночитаемый носитель, хранящий программу |
| KR101675088B1 (ko) * | 2015-04-30 | 2016-11-10 | 성균관대학교산학협력단 | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 |
| CN107579826B (zh) | 2016-07-04 | 2022-07-22 | 华为技术有限公司 | 一种网络认证方法、中转节点及相关系统 |
| US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| CN109873801B (zh) | 2018-12-12 | 2020-07-24 | 阿里巴巴集团控股有限公司 | 在用户和可信计算集群之间建立可信通道的方法、装置、存储介质及计算设备 |
| CN109861980B (zh) * | 2018-12-29 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 一种建立可信计算集群的方法、装置、存储介质及计算设备 |
| US20220167157A1 (en) * | 2019-04-08 | 2022-05-26 | Nec Corporation | Procedure to provide integrity protection to a ue parameter during ue configuration update procedure |
| TR2021004081A1 (tr) | 2021-03-02 | 2022-09-21 | Istanbul Teknik Ueniversitesi Bilimsel Ararstirma Proje Birim | Bi̇r grup anahtari oluşturma yöntemi̇ |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399661A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种组密钥管理中的合法邻居认证方法和装置 |
| WO2010117310A1 (en) * | 2009-04-07 | 2010-10-14 | Telefonaktiebolaget L M Ericsson (Publ) | Attaching a sensor to a wsan |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4599852B2 (ja) * | 2004-02-23 | 2010-12-15 | ソニー株式会社 | データ通信装置および方法、並びにプログラム |
| CN101106449B (zh) * | 2006-07-13 | 2010-05-12 | 华为技术有限公司 | 实现多方通信安全的系统和方法 |
| JP2009027513A (ja) * | 2007-07-20 | 2009-02-05 | National Institute Of Information & Communication Technology | 認証システム、認証方法、ならびに、プログラム |
| CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
-
2011
- 2011-05-26 WO PCT/CN2011/074693 patent/WO2012159272A1/en active Application Filing
- 2011-05-26 US US14/119,665 patent/US9270672B2/en active Active
- 2011-05-26 CN CN201180072384.2A patent/CN103688563A/zh active Pending
- 2011-05-26 EP EP11866256.8A patent/EP2716093A4/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399661A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种组密钥管理中的合法邻居认证方法和装置 |
| WO2010117310A1 (en) * | 2009-04-07 | 2010-10-14 | Telefonaktiebolaget L M Ericsson (Publ) | Attaching a sensor to a wsan |
Non-Patent Citations (2)
| Title |
|---|
| HUAWEI 等: "《3GPP TSG-SA3 (Security)SA3#61,S3-101276,MTC group based authentication》", 8 November 2010, 3GPP * |
| HUAWEI 等: "《3GPP TSG-SA3 (Security)SA3#62,S3-110076,Solution-MTC group based authentication》", 17 January 2011, 3GPP * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016141794A1 (zh) * | 2015-03-12 | 2016-09-15 | 中兴通讯股份有限公司 | 一种实现分组认证的方法及系统 |
| CN106416122A (zh) * | 2015-05-08 | 2017-02-15 | 松下电器(美国)知识产权公司 | 认证方法和认证系统 |
| CN106209802A (zh) * | 2016-06-30 | 2016-12-07 | 全球能源互联网研究院 | 一种基于组策略的电力4g网络安全认证和密钥协商方法 |
| CN108616354A (zh) * | 2018-04-27 | 2018-10-02 | 北京信息科技大学 | 一种移动通信中密钥协商方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2716093A1 (en) | 2014-04-09 |
| WO2012159272A1 (en) | 2012-11-29 |
| EP2716093A4 (en) | 2015-04-08 |
| US9270672B2 (en) | 2016-02-23 |
| US20140075509A1 (en) | 2014-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US10904753B2 (en) | Systems and methods for authentication | |
| EP3605942B1 (en) | Key agreement for wireless communication | |
| US9654284B2 (en) | Group based bootstrapping in machine type communication | |
| EP1768426B1 (en) | Method for transmitting information | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN111669276A (zh) | 一种网络验证方法、装置及系统 | |
| HUE035780T2 (en) | Systems and procedures for performing link building and authentication | |
| CN102215474A (zh) | 对通信设备进行认证的方法和装置 | |
| CN102783080A (zh) | 安全多uim认证与密钥交换 | |
| CN105227537A (zh) | 用户身份认证方法、终端和服务端 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN109768861B (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN103313242A (zh) | 密钥的验证方法及装置 | |
| CN103037366A (zh) | 基于非对称密码技术的移动终端用户认证方法及移动终端 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 | |
| CN101616407A (zh) | 预认证的方法和认证系统 | |
| CN103916851A (zh) | 一种安全认证的方法、设备及系统 | |
| CN102111761B (zh) | 密钥管理方法及设备 | |
| CN108243416B (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
| CN102905267B (zh) | Me标识鉴权、安全模式控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160118 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20180309 |