CN105144766A - 用于ue的mtc组的广播中的组认证 - Google Patents
用于ue的mtc组的广播中的组认证 Download PDFInfo
- Publication number
- CN105144766A CN105144766A CN201380070144.8A CN201380070144A CN105144766A CN 105144766 A CN105144766 A CN 105144766A CN 201380070144 A CN201380070144 A CN 201380070144A CN 105144766 A CN105144766 A CN 105144766A
- Authority
- CN
- China
- Prior art keywords
- mtc device
- group
- node
- network
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
MTC?UE(10_1至10_n)组中的每一个被配置有第一组密钥(Kgr),用于组GW(20)将MTC?UE(10_1至10_n)中的每一个认证为组成员。组GW(20)也被配置有第一组密钥(Kgr),用于MTC?UE(10_1至10_n)中的每一个被认证为组成员。组GW(20)被配置有第二组密钥(Kgw),用于MME(30)确定是否允许组GW(20)将消息广播到MTC?UE(10_1至10_n)。
Description
技术领域
本发明涉及用于在广播中机器类型通信(MTC)中的组认证的安全解决方案。
背景技术
在NPL1中公开了MTC的3GPP(第三代合作伙伴计划)架构。
注意,在本申请中,术语“UE(用户设备)”用于能够进行机器类型通信和服务的UE。在整个描述中,与术语“MTCUE”和“MTC设备”具有相同含义。
引用列表
非专利文献
NPL1:3GPPTS23.682,"Architectureenhancementstofacilitatecommunicationswithpacketdatanetworksandapplications(Release11)",V11.2.0,2012-09
NPL2:3GPPTS33.401,"3GPPSystemArchitectureEvolution(SAE);Securityarchitecture(Release12)",V12.5.1,2012-10
专利文献
PTL1:国际专利公布号WO2012/018130
发明内容
技术问题
本申请的发明人发现,对于MTCUE,存在如下的一些问题:
1)认证同时发生可能使网络过载。
2)MTCUE不仅需要作为个体而且需要作为组成员来与网络进行相互认证。
3)需要新密钥一确保组消息收发。
因此,本发明的示例性目的在于至少通过广播来执行组认证,使得可以节省网络使用。
对问题的解决方案
为了实现上述目的,对本发明作出如下的一些假设和预先配置:
1)SCS(服务能力服务器)知道外部组ID(标识符),并且可以使用它来激活组,并与该MTCUE组进行通信。
2)UE被预先配置有本地组ID和组密钥Kgr,UE可以属于该本地组ID并且通过该本地组ID进行通信。
3)组GW(网关)被配置有Kgr和Kgw。Kgr和Kgw可以是相同的密钥。
4)HSS(归属订户服务器)存储订阅相关数据,白名单(可选)包含属于组的组ID和UEID。
注意,在本申请的描述中,MME(移动性管理实体)用作示例,但是该机制对于SGSN(服务GPRS(通用分组无线电服务)支持节点)和MSC(移动交换中心)来说应当是相同的。
UE中配置的组密钥Kgr可以从用于3GPP通信的根密钥K得到,或者可以是不同的密钥。
HSS存储相同的Kgr和Kgw。可以以与非专利文献2相同的方式使用密钥来计算XRES(期望响应)并将其发送到MME。
在PTL1的单独发明中提出了组GW。组GW接收组消息,并将其发送到MTC设备。其可以是安装在网络中的独立节点或任何网络节点中或者安装在UE侧的逻辑功能。
本发明的有益效果
根据本发明,能够解决上述问题中的至少一个,并由此至少通过广播来执行组认证,使得可以节省网络使用。
附图说明
图1是示出根据本发明的示例性实施例的通信系统的配置示例的框图。
图2是示出根据示例性实施例的通信系统中的操作的一部分的序列图。
图3是示出根据示例性实施例的通信系统中通过向组GW进行广播的组认证的示例的序列图。
图4是示出根据示例性实施例的通信系统中通过向UE进行广播的组认证的示例的序列图。
图5是示出根据示例性实施例的MTC设备的配置示例的框图。
图6是示出根据示例性实施例的网关的配置示例的框图。
图7是示出根据示例性实施例的网络节点的配置示例的框图。
具体实施方式
以下,将参考附图描述本发明的示例性实施例。
在该示例性实施例中,通常提出用于网络的两种解决方案,该网络通过广播执行组认证,使得可以节省网络使用。
如图1所示,根据该示例性实施例的通信系统包括核心网络(3GPP网络)以及通过RAN(无线电接入网络)连接到核心网络的多个MTCUE10。尽管省略了图示,但是RAN由多个基站(即,eNB(演进的节点B))形成。
MTCUE10附连到核心网络。MTCUE10可以托管一个或多个MTC应用。在一个SCS60上托管相应的MTC应用。SCS60连接到核心网络,以与MTCUE10进行通信。
此外,作为网络节点,核心网络包括MME30、HSS40和MTC-IWF(MTC互通功能)50。对于SCS60,MTC-IWF50用作到核心网络的网关。HSS40存储关于MTCUE10_1至10_n(n≥2)的组的订阅信息。MME30以及SGSN和MSC中继在MTCUE10和MTC-IWF50之间的通信。
此外,对于MTCUE10,图2至图4中的每一个所示的组GW20用作到核心网络的网关。组GW20可以是置位于核心网络或RAN内的独立节点,或者可以是安装在eNB、MME、SGSN、MSC、HSS或MTC-IWF中的逻辑功能。
接下来,将参考图2至图4描述该示例性实施例中的操作。图2至图4给出了可以如何由发送广播消息的网络承载认证在详细消息序列描述。
如图2所示,在组认证之前,执行下面的步骤S1至S3。
S1:SCS60将触发发送到MTC-IWF50,其中,触发类型是激活组,包括外部组ID、SCSID和触发ID。
S2:MTC-IWF50检索给定组的必要信息,例如,路由信息。
具体地,MTC-IWF50使用外部组ID、激活组请求的指示和源SCSID来发送订户信息请求,重新使用NPL1中公开的消息。HSS40执行外部组ID是否有效、是否任何数据可用于该组的验证,如果SCS可以触发以激活该组,则执行是否已经存在与之映射的本地组ID的验证。在适当的验证之后,HSS40使用本地组ID和服务MME将订户信息响应消息发送到MTC-IWF50。可选地,HSS40可以发送验证所需要的信息,并且MTC-IWF50执行验证。
S3:MTC-IWF50使用本地组ID和广播的触发方法来将触发消息转发到MME30。
如图3所示,在MME30向组GW20广播认证请求的情况下,执行下面的步骤S4至S16。
S4:MME30从HSS40检索UE订阅数据、白名单(可选)和通过Kgw计算的XRES。
S5:MME30使用本地组ID以及包括RAND(随机数)和AUTN(认证令牌)的AV(认证矢量)来向GW广播指示认证的触发。
S6:当组GW20与本地组ID的匹配时,使用其配置的密钥Kgw计算关于RAND的RES(认证响应)。
S7:组GW20将RES发送到MME30,可选地发送白名单请求。
S8:MME30通过使用XRES进行检查来验证RES。
S9:如果在步骤S8通过验证,则MME30发送广播ACK,以指示组GW20可以将广播消息发送到UE10,并且将白名单(可选)发送到组GW20。
S10:组GW20使用组ID和RAND值来将认证请求广播到UE10。
S11:MTCUE10_1至10_n中的每一个接收认证请求,并且然后,验证包括在认证请求中的组ID,如下面的步骤S11a和S11b。
S11a:具有不同组ID的UE将忽略该广播。
S11b:配置有相同组ID的UE将使用预先配置的Kgr计算RES,并且还检查AUTN。
S12:UE将包含RES的认证响应发送到GW20。
S13:组GW20将检查RES,并且针对白名单来检查UEID是否有效(针对白名单检查是可选的)。
S14:组GW20将包含认证的UEID的认证报告发送到MME30。
S15:MME30确认UE被认证为组成员。
S16:如果存在,则MME30向MTC-IWF50报告认证失败,并且MTC-IWF50可以将此转发到SCS60。
替代地,如图4所示,在MME30向UE10广播认证请求的情况下,执行下面的步骤S24至S29。
S24:MME30从HSS40检索UE订阅数据、白名单(可选)和XRES1(通过Kgr计算)、XRES2(通过Kasme(密钥接入安全管理实体)计算)。
S25:MME30使用本地组ID以及包含RAND和AUTN的AV将认证请求广播到UE10。
S26:具有相同组ID的UE将检查AUTN,使用预先配置的组密钥Kgr计算RES1,并且使用Kasme计算RES2,如3GPPAKA(认证和密钥协议)过程。
S27:UE向MME30发送具有RES1和RES2的认证响应。
S28:MME30通过用XRES1和XRES2进行检查来验证RES1和RES2。使得可以1)通过验证RES1将UE认证为组成员,并且2)通过验证RES2将UE验证为个体。
S29:如果存在,则MME30向MTC-IWF50报告认证失败,并且MTC-IWF50将此转发到SCS60。
注意,在上面描述的步骤中,白名单是可选的。
接下来,将参考图5至图7描述根据该示例性实施例的MTCUE10、组GW20和MME30的配置示例。注意,SGSN和MSC还可以被配置为具有MME30。此外,在下面的描述中,将仅描述特定于该示例性实施例的元件。然而,应当理解,MTCUE10、组GW20和MME30还包括分别用作典型MTCUE、网关和MME的元件。
如图5所示,MTCUE10包括至少一个存储单元11,该至少一个存储单元11存储用于在核心网络和组成员之间相互认证的组密钥Kgr。在执行图3所示的操作的情况下,MTCUE10可以包括接收单元12、计算单元13和发送单元14。如图3的步骤S10所示,接收单元12从组GW20接收包含RAND等的AV。如步骤S11所示,计算单元13通过使用组密钥Kgr来计算关于RAND的RES。如步骤S12所示,发送单元14将RES发送到组GW20。另一方面,在执行图4所示的操作的情况下,接收单元12从MME30接收包含RAND的AV。如图4的步骤S26所示,计算单元13使用组密钥Kgr来计算RES1,使用Kasme来计算RES2。如步骤S27所示,发送单元14将RES1和RES2发送到MME30。注意,这些单元11至14通过总线等彼此相互连接。这些单元11至14可以例如通过下述来配置:通过RAN与核心网络进行通信的收发器、控制该收发器的诸如CPU(中央处理单元)的控制器、以及由收发器和/或控制器使用的存储器。
如图6所示,组GW20至少包括可以存储组密钥Kgr和Kgw的存储单元21。组GW20可以包括接收单元22、计算单元23、发送单元24、广播单元25、认证单元26和报告单元27。如图3中的步骤S5所示,接收单元22从MME30接收包含RAND等的AV。如步骤S6所示,计算单元23使用组密钥Kgw来计算关于RAND的RES。如步骤S7所示,发送单元24将RES发送到MME30。如步骤S10所示,广播单元25将包含RAND等的AV广播到MTCUE10_1至10_n。如步骤S13所示,认证单元26通过检查从MTCUE10_1至10_n中的每一个接收到的RES来认证MTCUE10_1至10_n中的每一个。如步骤S14所示,报告单元27向MME30报告认证的MTCUE的ID。注意,这些单元21至27通过总线等彼此相互连接。这些单元21至27可以通过下述来配置:与MTCUE10进行通信的收发器、与MME30进行通信的收发器、控制这些收发器的诸如CPU的控制器、以及由收发器和/或控制器使用的存储器。
如图7所示,MME30至少包括确定单元31。例如,确定单元31执行如图3的步骤S5至S9所示的操作,从而确定是否允许组GW20向MTCUE10_1至10_n广播认证请求消息。在该情况下,MME可以包括广播单元32和接收单元33。如步骤S5所示,广播单元32向组GW20广播包含RAND等的AV。如步骤S7所示,接收单元33从组GW20接收关于RAND的RES。在确定时,如步骤S8所示,确定单元31验证RES。在执行图4所示的操作的情况下,MME30还可以包括认证单元34。在该情况下,如图4的步骤S25所示,广播单元32向MTCUE10_1至10_n广播包含RAND等的AV。如步骤S27所示,接收单元33从MTCUE10_1至10_n中的每一个接收RES1和RES2。如步骤S28所示,认证单元34通过验证RES1和RES2来将MTCUE10_1至10_n中的每一个认证为组成员和个体。注意,这些单元31-34通过总线等彼此相互连接。这些单元31至34可以通过下述来配置:通过RAN与MTCUE10进行通信的收发器、以及控制该收发器的诸如CPU的控制器。
基于上面的描述,将提出对3GPPTR33.868如下解决方案。
为了使UE作为组成员进行通信,应当对网络将其认证为1)个体(如33.401中所描述)和2)组成员。对于2),在5.7.4.4中,当前TR示出了两个组认证的选项。但是尚未提供可以如何执行认证。
网络可以需要同时认证UE组,并且还需要单独认证UE。在本文中,我们讨论不同情况下的对组认证的解决方案。
[1].同时认证相同组中的所有UE
网络可能需要同时执行组认证,例如,当SCS激活并且第一次配置UE组或者再次重新连接到网络时。这需要网络以有效的手段执行认证,而不是逐个认证UE。(此时,UE可能已经与网络认证或者还没有与网络认证)
1)以广播消息认证
在UE认证的AKA过程中,对于每个UE,AV是不同的。而对于MTC组,相同组中的UE共享相同组ID和组密钥,使得对于所有UE组成员,认证矢量可以是相同的。
我们提出网络向目标UE组广播包含组ID和RES的认证请求消息。UE被预先配置有组密钥和其所属于的本地组ID。具体如下所述。
1.MME检索UE订阅数据和用于认证的AV。
2.MME使用组ID和AV向目标UE组广播认证请求。
3.存储相同组ID的UE将通过使用其预先配置的组密钥Kgr来计算RES1,并且如果UE已经具有Kasme,则使用Kasme来计算RES。
4.UE发送具有RES1和RES2(可选)的认证响应
5.MME可以使用从HSS检索的XRES1和XRES2来检查RES1和RES2(可选)。
注意:组密钥Kgr用于认证的目的。其可以不同于组密钥以用于稍后组消息收发。
2)以级联消息认证
上述解决方案要求MME负责组认证,当UE在同一时间段发送认证响应时,可能使MME过载。一种选项是使用UEGW(在TR23.887,条款8.1.3.3中描述)来中继用于认证的消息。
我们提出UEGW从/向MME和UE接收和发布级联消息。MME向所有组成员发送包含认证请求消息的级联认证请求。UEGW向目标UE发布消息,并且当UEGW从UE接收到认证响应消息时,可以向MME发送级联认证响应。
[2].单独认证UE
组成员可能没有或无法同时被激活,或者UE加入现有组。网络可以广播组的特征。具有匹配的特征的设备可以通过发送加入组的请求来进行响应。然后,网络可以执行对UE的认证。
[3].SCS授权
TR23.887条款8.1.3.2.1.1中的步骤2和3可以用于SCS授权,这不必仅用于基于MBMS的组消息收发。
[4].区分组消息与其他消息
组消息中的组ID可以用于区分组消息和其他消息。
[5].组消息保护(和密钥管理)
为了对组消息提供机密性、完整性和回放保护,我们提出了包含机密和完整性密钥的组密钥对。
可以在HSS出取得该组密钥对,并且发送到MME。在对网络将UE认证为组成员之后,MME可以以NAS消息,例如NASSMC或附连接受消息,将组密钥发送到UE。在传输期间,组密钥应当通过NAS安全上下文被保密和完整性保护。当布置组GW(如TR23.887中描述的UEGW)时,组GW可以以级联消息发布组密钥。
当仅需要在UE和SCS之间的端至端安全性时,可以在UE和SCS之间共享组密钥对。如MTC-IWF的网络元件仅转发受保护的组消息。
假设组GW是用于广播或多播组消息的开始点,其可以被布置在eNB、MME或MTC-IWF上,可以在UE和组GW之间共享组密钥对。在组GW和SCS之间传送的组消息可以通过IPsec或其他现有网络安全解决方案来保护。组GW使用组密钥来保护组消息,并且将其广播/多播到目标组UE。
在我们以前的专利文件中,组密钥可以在HSS或GW处取得;可以在1)UE和GW、2)UE和SCS3)UE-GW-SCS之间共享。
[6].本地组ID
在TR23.887条款8.4.3中描述了外部和本地组标识符。
注意,本发明不限于上述示例性实施例,并且很明显,各种修改可以由本领域普通技术人员基于权利要求书的叙述来实现。
以上公开的示例性实施例的全部或部分可以被描述为,但不限于,以下补充说明。
(补充说明1)
UE配置有组密钥Kgr,用于组认证。
(补充说明2)
组GW配置有组密钥Kgr和可选地配置有Kgw,用于组认证。
(补充说明3)
MME向组GW广播包含本地组ID和AV(RAND、AUTN)的用于组认证的触发。
(补充说明4)
组GW通过使用预先配置的密钥Kgw来计算响应RES,密钥Kgw可以与组密钥Kgr相同。
(补充说明5)
MME通过验证从组GW接收的RES来认证组。
(补充说明6)
组GW向UE广播包含本地组ID和AV的认证请求。
(补充说明7)
组GW通过将从UE接收的RES与使用配置的Kgr对相同RAND计算的值进行比较来认证UE。
(补充说明8)
组GW向MME报告认证的UEID。
(补充说明9)
MME使用本地组ID和AV向UE广播认证请求。
(补充说明10)
UE计算对接收到的RAND的两个响应,一个用于通过使用预先配置的组密钥Kgr的组认证,一个用于通过使用Kasme的个体认证。
(补充说明11)
UE发送具有两个响应(RES1和RES2)的认证响应。
(补充说明12)
MME通过验证从UE接收的两个响应来同时执行对UE作为组成员和个体的认证。
本申请基于并要求2013年1月10日提交的日本专利申请No.2013-002982的优先权利益,其公开内容在此通过引入并入本文。
附图标记列表
10,10_1-10_nMTCUE
11,21存储单元
12,22,33接收单元
13,23计算单元
14,24发送单元
20组GW
25,32广播单元
26,34认证单元
27报告单元
30MME
31确定单元
40HSS
50MTC-IWF
60SCS
Claims (24)
1.一种通信系统,包括:
网络;以及
MTC(机器类型通信)设备组,所述MTC(机器类型通信)设备组通过所述网络与服务器进行通信,
其中,所述MTC设备配置有组密钥,用于使所述网络和所述MTC设备组成员执行相互认证。
2.一种通信系统,包括:
MTC设备组,所述MTC设备组通过网络与服务器进行通信;以及
用于所述MTC设备的到网络的网关,
其中,所述网关被配置有第一组密钥,所述第一组密钥用于将所述MTC设备认证为所述组的成员。
3.根据权利要求2所述的通信系统,进一步包括:
节点,所述节点形成网络并且在所述网关和所述服务器之间中继业务,
其中,所述网关进一步被配置有第二组密钥,所述第二组密钥用于使所述节点确定是否允许所述网关将所述消息广播到所述MTC设备。
4.根据权利要求3所述的通信系统,
其中,所述节点将包含至少RAND(随机数)的AV(认证矢量)广播到所述网关,
所述网关通过使用所述第二组密钥来计算对所述RAND的RES(认证响应),并且
所述节点在所述确定时验证从所述网关接收的所述RES。
5.根据权利要求2至4中的任何一项所述的通信系统,
其中,所述网关进一步被配置为:
向所述MTC设备广播至少包含RAND的AV;并且
通过将对从所述MTC设备中的每一个接收的所述RAND的RES与对使用所述第一组密钥计算的所述RAND的RES进行比较,来认证所述MTC设备中的每一个。
6.根据权利要求2所述的通信系统,进一步包括:
节点,所述节点形成所述网络并且在所述网关和所述服务器之间中继业务,
其中,所述网关向所述节点报告认证的MTC设备的标识符。
7.一种通信系统,包括:
MTC设备组,所述MTC设备组通过网络与服务器进行通信;以及
节点,所述节点形成所述网络并且在所述MTC设备和所述服务器之间中继业务,
其中,所述节点向所述MTC设备广播至少包含RAND的AV,
所述MTC设备中的每一个计算对RAND的两个响应,所述响应中的一个通过使用组密钥来计算,所述组密钥用于使所述节点将所述MTC设备中的每一个认证为所述组的成员,所述响应中的另一个通过使用Kasme(密钥接入安全管理实体)来计算,并且
所述节点通过验证从所述MTC设备中的每一个接收的所述两个响应来将所述MTC设备中的每一个认证为所述组的成员和个体。
8.一种MTC设备,将所述MTC设备与一个或多个不同MTC设备分组在一起以通过网络与服务器进行通信,所述MTC设备包括:
存储装置,所述存储装置用于存储预先配置的组密钥,用于使所述网络和所述MTC设备的组成员执行相互认证。
9.根据权利要求8所述的MTC设备,进一步包括:
接收装置,所述接收装置用于从用于所述MTC设备的到网络的网关接收至少包含RAND的AV;
计算装置,所述计算装置通过使用所述组密钥来计算对所述RAND的RES;以及
发送装置,所述发送装置用于将所述RES发送到网关,以使所述网关使用RES来认证所述MTC设备。
10.一种MTC设备,将所述MTC设备与一个或多个不同MTC设备分组在一起以通过网络与服务器进行通信,所述MTC设备包括:
接收装置,所述接收装置用于从节点接收至少包含RAND的AV,所述节点形成网络并且在所述MTC设备和所述服务器之间中继业务;
计算装置,所述计算装置用于计算对所述RAND的两个RES,所述响应中的一个通过使用组密钥来计算,所述组密钥用于使所述节点将所述MTC设备中的每一个认证为所述组的成员,所述响应中的另一个通过使用Kasme来计算;以及
发送装置,所述发送装置用于将所述两个响应发送到所述节点,以使所述节点将所述MTC设备认证为所述组的成员和个体。
11.一种用于通过所述网络与服务器进行通信的MTC设备的组的到网络的网关,所述网关包括:
存储装置,所述存储装置用于存储预先配置的第一组密钥,所述预先配置的第一组密钥用于将所述MTC设备认证为所述组的成员。
12.根据权利要求11所述的网关,其中,所述存储装置进一步被配置为存储预先配置的第二组密钥,用于使所述节点确定是否允许所述网关将消息广播到所述MTC设备,所述节点形成所述网络并且在所述网关和所述服务器之间中继业务。
13.根据权利要求12所述的网关,进一步包括:
接收装置,所述接收装置用于从所述节点接收至少包含RAND的AV;
计算装置,所述计算装置用于通过使用所述第二组密钥来计算对RAND的RES;以及
发送装置,所述发送装置用于将所述RES发送到节点,以使所述节点在所述确定时验证RES。
14.根据权利要求11至13中的任何一项所述的网关,进一步包括:
广播装置,所述广播装置用于向所述MTC设备广播至少包含RAND的AV;以及
认证装置,所述认证装置用于通过将对从所述MTC设备中的每一个接收的RAND的RES与对使用所述第一组密钥计算的RAND的RES进行比较,来认证所述MTC设备中的每一个。
15.根据权利要求11所述的网关,进一步包括:
报告装置,所述报告装置用于向节点报告认证的MTC设备的标识符,所述节点形成所述网络并且在所述网关和所述服务器之间中继通信。
16.一种节点,所述节点形成网络并且在用于MTC设备组的到所述网络的网关和服务器之间中继通信,所述服务器通过所述网络与所述MTC设备进行通信,所述节点包括:
确定装置,所述确定装置用于确定是否允许所述网关将消息广播到所述MTC设备。
17.根据权利要求16所述的节点,进一步包括:
广播装置,所述广播装置用于向所述网关广播至少包含RAND的AV;以及
接收装置,所述接收装置用于从所述网关接收对所述RAND的RES,所述RES通过使用预先配置的组密钥来计算,
其中,所述确定装置被配置为在所述确定时验证所述RES。
18.一种节点,所述节点形成网络并且在MTC设备组和服务器之间中继通信,所述服务器通过所述网络与所述MTC设备进行通信,所述节点包括:
广播装置,所述广播装置用于向所述MTC设备广播至少包含RAND的AV;
接收装置,所述接收装置用于从所述MTC设备中的每一个接收对所述RAND的两个RES,所述响应中的一个通过使用组密钥来计算,所述组密钥用于使所述节点将所述MTC设备中的每一个认证为所述组的成员,所述响应中的另一个通过使用Kasme来计算;以及
认证装置,所述认证装置用于通过验证所述两个响应来将所述MTC设备的每一个认证为所述组的成员和个体。
19.根据权利要求16至18中的任何一项所述的节点,包括:MME(移动性管理实体)、SGSN(服务GPRS(通用分组无线电服务)支持节点)或MSC(移动交换中心)。
20.一种控制MTC设备中的操作的方法,其中,将所述MTC设备与一个或多个不同的MTC设备分组在一起以通过网络与服务器进行通信,所述方法包括:
存储预先配置的组密钥,用于使所述网络和所述MTC设备的组成员执行相互认证。
21.一种控制MTC设备中的操作的方法,其中,将所述MTC设备与一个或多个不同的MTC设备分组在一起以通过网络与服务器进行通信,所述方法包括:
从节点接收至少包含RAND的AV,所述节点形成网络并且在所述MTC设备和所述服务器之间中继业务;
计算对所述RAND的两个RES,所述响应中的一个通过使用组密钥来计算,所述组密钥用于使所述节点将所述MTC设备中的每一个认证为所述组的成员,所述响应中的另一个通过使用Kasme来计算;以及
将所述两个响应发送到所述节点,以使所述节点将所述MTC设备认证为所述组的成员和个体。
22.一种控制用于MTC设备组的到网络的网关中的操作的方法,所述MTC设备通过所述网络与服务器进行通信,所述方法包括:
存储预先配置的第一组密钥,所述预先配置的第一组密钥用于将所述MTC设备认证为所述组的成员。
23.一种控制节点中的操作的方法,其中,所述节点形成网络并且在用于MTC设备组的到所述网络的网关和服务器之间中继通信,所述服务器通过所述网络与所述MTC设备进行通信,所述方法包括:
确定是否允许所述网关将消息广播到所述MTC设备。
24.一种控制节点中的操作的方法,其中,所述节点形成网络并且在MTC设备组和服务器之间中继通信,所述服务器通过所述网络与所述MTC设备进行通信,所述方法包括:
向所述MTC设备广播至少包含RAND的AV;
从所述MTC设备中的每一个接收对所述RAND的两个RES,所述响应中的一个通过使用组密钥来计算,所述组密钥用于使所述节点将所述MTC设备中的每一个认证为所述组的成员,所述响应中的另一个通过使用Kasme来计算;以及
通过验证所述两个响应来将所述MTC设备的每一个认证为所述组的成员和个体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013002982 | 2013-01-10 | ||
| JP2013-002982 | 2013-01-10 | ||
| PCT/JP2013/083272 WO2014109168A2 (en) | 2013-01-10 | 2013-12-04 | GROUP AUTHENTICATION IN BROADCASTING FOR MTC GROUP OF UEs |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105144766A true CN105144766A (zh) | 2015-12-09 |
Family
ID=49885352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380070144.8A Pending CN105144766A (zh) | 2013-01-10 | 2013-12-04 | 用于ue的mtc组的广播中的组认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150358816A1 (zh) |
| EP (1) | EP2944107A2 (zh) |
| JP (1) | JP6065124B2 (zh) |
| KR (1) | KR20150103734A (zh) |
| CN (1) | CN105144766A (zh) |
| WO (1) | WO2014109168A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106899923A (zh) * | 2015-12-18 | 2017-06-27 | 阿尔卡特朗讯 | 一种用于实现mtc组消息传送的方法与设备 |
| CN108513296A (zh) * | 2018-02-23 | 2018-09-07 | 北京信息科技大学 | 一种mtc架构的切换认证方法及系统 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104581704B (zh) * | 2013-10-25 | 2019-09-24 | 中兴通讯股份有限公司 | 一种实现机器类通信设备间安全通信的方法及网络实体 |
| CN104936306B (zh) * | 2014-03-17 | 2020-01-14 | 中兴通讯股份有限公司 | Mtc设备组小数据安全传输连接建立方法、hss与系统 |
| JP6425107B2 (ja) * | 2015-09-24 | 2018-11-21 | 日本電気株式会社 | 通信処理システム、グループメッセージ処理方法、通信処理装置およびその制御方法と制御プログラム |
| US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| US10136305B2 (en) * | 2016-12-01 | 2018-11-20 | At&T Intellectual Property I, L.P. | Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| US10924893B2 (en) * | 2019-04-16 | 2021-02-16 | Verizon Patent And Licensing Inc. | Group message delivery using multicast |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| KR101824987B1 (ko) * | 2010-02-11 | 2018-02-02 | 엘지전자 주식회사 | 이동통신 시스템에서의 다운링크 mtc 데이터 전송 방법 |
| WO2011098993A1 (en) * | 2010-02-15 | 2011-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | M2m group based addressing using cell broadcast service |
| EP2369890A1 (en) * | 2010-03-26 | 2011-09-28 | Panasonic Corporation | Connection peak avoidance for machine-type-communication (MTC) devices |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| US9450928B2 (en) * | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
| KR101589352B1 (ko) * | 2010-08-05 | 2016-01-27 | 닛본 덴끼 가부시끼가이샤 | 통신 장치, 통신 시스템, 통신 방법 및 통신 프로그램을 저장하는 컴퓨터 판독 가능 저장 매체 |
| EP2666316B1 (en) * | 2011-01-17 | 2020-06-03 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for authenticating a communication device |
| US20120252481A1 (en) * | 2011-04-01 | 2012-10-04 | Cisco Technology, Inc. | Machine to machine communication in a communication network |
| WO2012159272A1 (en) * | 2011-05-26 | 2012-11-29 | Nokia Corporation | Performing a group authentication and key agreement procedure |
| JP2013002982A (ja) | 2011-06-17 | 2013-01-07 | Sanyo Electric Co Ltd | 案内情報出力装置 |
| CN102843233B (zh) * | 2011-06-21 | 2017-05-31 | 中兴通讯股份有限公司 | 一种机器到机器通信中组认证的方法和系统 |
| KR101860440B1 (ko) * | 2011-07-01 | 2018-05-24 | 삼성전자주식회사 | 기기 간 통신 시스템에서 멀티캐스트 데이터 암호화 키 관리 방법, 장치 그리고 시스템 |
| FR2990094A1 (fr) * | 2012-04-26 | 2013-11-01 | Commissariat Energie Atomique | Methode et systeme d'authentification des noeuds d'un reseau |
| EP3755026B1 (en) * | 2012-06-29 | 2022-03-30 | NEC Corporation | Update of security for group based feature in m2m |
| US9241364B2 (en) * | 2012-07-03 | 2016-01-19 | Telefonaktiebolaget L M Ericsson (Publ) | Method for revocable deletion of PDN connection |
-
2013
- 2013-12-04 KR KR1020157021171A patent/KR20150103734A/ko not_active Application Discontinuation
- 2013-12-04 CN CN201380070144.8A patent/CN105144766A/zh active Pending
- 2013-12-04 EP EP13814653.5A patent/EP2944107A2/en not_active Withdrawn
- 2013-12-04 US US14/760,319 patent/US20150358816A1/en not_active Abandoned
- 2013-12-04 WO PCT/JP2013/083272 patent/WO2014109168A2/en active Application Filing
- 2013-12-04 JP JP2015546273A patent/JP6065124B2/ja active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106899923A (zh) * | 2015-12-18 | 2017-06-27 | 阿尔卡特朗讯 | 一种用于实现mtc组消息传送的方法与设备 |
| CN108513296A (zh) * | 2018-02-23 | 2018-09-07 | 北京信息科技大学 | 一种mtc架构的切换认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6065124B2 (ja) | 2017-01-25 |
| JP2016501488A (ja) | 2016-01-18 |
| EP2944107A2 (en) | 2015-11-18 |
| US20150358816A1 (en) | 2015-12-10 |
| WO2014109168A3 (en) | 2014-09-18 |
| WO2014109168A2 (en) | 2014-07-17 |
| KR20150103734A (ko) | 2015-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105144766A (zh) | 用于ue的mtc组的广播中的组认证 | |
| US9060270B2 (en) | Method and device for establishing a security mechanism for an air interface link | |
| CN109644134B (zh) | 用于大型物联网组认证的系统和方法 | |
| US10306432B2 (en) | Method for setting terminal in mobile communication system | |
| US20150319172A1 (en) | Group authentication and key management for mtc | |
| EP2903322B1 (en) | Security management method and apparatus for group communication in mobile communication system | |
| US11121862B2 (en) | System and method for wireless network access protection and security architecture | |
| US20180241570A1 (en) | Security authentication method, configuration method, and related device | |
| US20130189955A1 (en) | Method for context establishment in telecommunication networks | |
| CN104396283A (zh) | 用于m2m中的基于组的特征的安全性的更新 | |
| US20150229620A1 (en) | Key management in machine type communication system | |
| CN108781110B (zh) | 用于通过通信网络中继数据的系统和方法 | |
| US20230179400A1 (en) | Key management method and communication apparatus | |
| CN101296482B (zh) | 实现消息认证的方法、基站、中继站及中继通信系统 | |
| EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
| KR20150084628A (ko) | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 | |
| JP2024507208A (ja) | セルラネットワークを動作させるための方法 | |
| CN104349311A (zh) | 一种用于机器类通信小数据传输的密钥建立方法和系统 | |
| CN114584969B (zh) | 基于关联加密的信息处理方法及装置 | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| WO2017009714A1 (en) | Establishing a temporary subscription with isolated e-utran network | |
| CN103945358A (zh) | 一种私有小区安全接入的方法、私有小区、用户终端及系统 | |
| EP4231751A1 (en) | Wireless communication method, device, and system | |
| US20230037970A1 (en) | MBS Security in UE Mobility | |
| CN116847350A (zh) | 一种d2d通信方法、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151209 |
|
| WD01 | Invention patent application deemed withdrawn after publication |