CN110366179A - 一种认证方法、设备和计算机可读存储介质 - Google Patents

一种认证方法、设备和计算机可读存储介质 Download PDF

Info

Publication number
CN110366179A
CN110366179A CN201810312169.9A CN201810312169A CN110366179A CN 110366179 A CN110366179 A CN 110366179A CN 201810312169 A CN201810312169 A CN 201810312169A CN 110366179 A CN110366179 A CN 110366179A
Authority
CN
China
Prior art keywords
group
mtc device
group gateway
gateway
ciphering key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810312169.9A
Other languages
English (en)
Inventor
毛玉欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201810312169.9A priority Critical patent/CN110366179A/zh
Priority to PCT/CN2019/081746 priority patent/WO2019196794A1/zh
Publication of CN110366179A publication Critical patent/CN110366179A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Abstract

本发明实施例公开了一种认证方法,所述方法包括:若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量;从存储的所述认证向量组中获取第一MTC设备的第一认证向量;其中,所述第一MTC设备由所述群组网关管理;基于所述第一认证向量与所述第一MTC设备进行认证。本发明实施例同时还公开了一种设备和计算机可读存储介质。

Description

一种认证方法、设备和计算机可读存储介质
技术领域
本发明涉及移动通信技术领域,尤其涉及一种认证方法、设备和计算机可读存储介质。
背景技术
在第三代合作伙伴计划(The 3rd Generation Partnership Project,3GPP)移动通信技术中,引入了机器类通信(Machine Type Communication,MTC)技术。其中,MTC技术的一个重要特点是可以允许海量MTC设备接入网络,并且通常是海量MTC设备同时请求接入移动蜂窝通信系统网络。由于移动蜂窝通信系统网络的网络资源有限,海量的MTC设备瞬间请求接入网络设备时消耗了大量的网络资源,并且在MTC设备接入过程中每一MTC设备与网络设备之间进行双向认证时有多次信令交互。这样,会给网络设备造成巨大的信令处理负担,进而出现网络拥塞等问题。为了解决上述技术问题,现有技术中提出了引入群组网关管理MTC设备群,即群组网关接入移动蜂窝通信系统网络时,群组网关与移动蜂窝通信系统网络侧的网络设备进行双向认证;而群组网关和MTC设备之间基于预共享密钥(Pre-sharedKey,PSK)或者公共密钥架构(Public Key Infrastructure,PKI)完成本地双向认证,这样,可大幅度地减小网络设备的信令处理负担,并降低网络拥塞问题。
但是,现有技术中仅仅只是实现了网络设备与群组网关之间的双向认证,而MTC设备与群组网关之间只是根据PSK或PKI进行本地认证,MTC设备并没有与网络设备进行认证,也就是说只要网络设备与群组网关之间的双向认证通过后,MTC设备默认信任网络设备,网络设备也默认信任MTC设备,这样MTC设备与网络设备之间呈现一种弱信任关系,导致MTC设备与网络设备之间的通信安全性较低。
发明内容
为解决上述技术问题,本发明实施例期望提供一种认证方法、设备和计算机可读存储介质,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了MTC设备通过群组网关与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
本发明实施例的技术方案是这样实现的:
第一方面,一种认证方法,所述方法包括:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的所述认证向量组中获取第一MTC设备的第一认证向量;其中,所述第一MTC设备由所述群组网关管理;
基于所述第一认证向量与所述第一MTC设备进行认证。
可选的,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的所述认证向量组并存储,包括:
若所述群组网关请求接入网络并通过认证,接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备;
响应所述第一接入请求,发送所述第一MTC设备的身份标识至所述认证设备;
接收所述认证设备发送的所述认证向量组并存储;其中,所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
可选的,基于所述第一认证向量对所述第一MTC设备进行认证之后,包括:
接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求;
响应所述第二接入请求,基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量;
基于所述第二认证向量与所述第二MTC设备进行认证。
可选的,所述从存储的所述认证向量组中获取第一MTC设备的第一认证向量,包括:
接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备;
响应所述第一接入请求,从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量,得到所述第一认证向量。
可选的,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的认证向量组并存储之前,包括:
发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备;其中,所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数;
接收所述认证设备发送的所述第一参数,并基于所述第一参数对所述认证设备进行认证;
若所述认证设备通过认证,获取第二参数并发送至所述认证设备;其中,所述第二参数用于所述认证设备对所述群组网关进行认证;
若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息,默认所述群组网关通过认证。
可选的,所述基于所述第一认证向量与所述第一MTC设备进行认证,包括:
获取所述第一认证向量中的第三参数,并发送所述第三参数至所述第一MTC设备;其中,所述第三参数用于所述第一MTC设备对所述群组网关进行认证;
接收所述第一MTC设备发送的第四参数,并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证;其中,所述第四参数是所述第一MTC设备对所述群组网关的认证通过后基于所述第三参数生成的。
第二方面,一种认证方法,所述方法包括:
接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求;
响应所述第三接入请求,基于所述群组网关的身份标识获取所述群组网关的第三认证向量;
获取所述第三认证向量中的第一参数并发送至所述群组网关;其中,所述第一参数用于所述群组网关对所述认证设备进行认证;
接收所述群组网关发送的第二参数,基于所述第二参数和所述第三认证向量对所述群组网关进行认证;
若所述群组网关通过认证,获取认证向量组并发送至所述群组网关;其中,所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量,所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
可选的,所述若所述群组网关通过认证,获取认证向量组并发送至所述群组网关,包括:
若所述群组网关通过认证,接收所述群组网关发送的第一MTC设备的身份标识;其中,所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备;
基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组并发送至所述群组网关。
可选的,所述若所述群组网关通过认证,获取认证向量组并发送至所述群组网关,还包括:
基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组;
若所述群组网关通过认证,发送所述认证向量组至所述群组网关。
第三方面,一种群组网关,所述群组网关包括:第一处理器、第一存储器及第一通信总线;其中:
所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的认证程序,以实现以下步骤:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的所述认证向量组中获取第一MTC设备的第一认证向量;其中,所述第一MTC设备由所述群组网关管理;
基于所述第一认证向量与所述第一MTC设备进行认证。
可选的,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
若所述群组网关请求接入网络并通过认证,接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备;
响应所述第一接入请求,发送所述第一MTC设备的身份标识至所述认证设备;
接收所述认证设备发送的所述认证向量组并存储;其中,所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
可选的,所述接收所述第一MTC设备发送的第一参数,并基于所述第一参数和所述第一认证向量对所述第一MTC设备进行认证之后,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求;
响应所述第二接入请求,基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量;
基于所述第二认证向量与所述第二MTC设备进行认证。
可选的,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备;
响应所述第一接入请求,从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量,得到所述第一认证向量。
可选的,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的认证向量组并存储之前,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备;其中,所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数;
接收所述认证设备发送的所述第一参数,并基于所述第一参数对所述认证设备进行认证;
若所述认证设备通过认证,发送第二参数至所述认证设备;其中,所述第二参数用于所述认证设备对所述群组网关进行认证;
若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息,默认所述群组网关通过认证。
可选的,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
获取所述第一认证向量中的第三参数,并发送所述第三参数至所述第一MTC设备;其中,所述第三参数用于所述第一MTC设备对所述群组网关进行认证;
接收所述第一MTC设备发送的第四参数,并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证;其中,所述第四参数所述群组网关通过所述第一MTC设备的认证后基于所述第三参数生成得到的。
第四方面,一种认证设备,所述认证设备包括:第二处理器、第二存储器及第二通信总线;其中:
所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的认证程序,以实现以下步骤:
接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求;
响应所述第三接入请求,基于所述群组网关的身份标识获取所述群组网关的第三认证向量;
获取所述第三认证向量中的第一参数并发送至所述群组网关;其中,所述第一参数用于所述群组网关对所述认证设备进行认证;
接收所述群组网关发送的第二参数,基于所述第二参数和所述第三认证向量对所述群组网关进行认证;
若所述群组网关通过认证,获取认证向量组并发送至所述群组网关;其中,所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量,所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
可选的,所述第二处理器还用于执行认证程序,以实现以下步骤:
若所述群组网关通过认证,接收所述群组网关发送的第一MTC设备的身份标识;其中,所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备;
基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组并发送至所述群组网关。
可选的,所述第二处理器还用于执行认证程序,以实现以下步骤:
基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组;
若所述群组网关通过认证,发送所述认证向量组至所述群组网关。
第五方面,一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有认证程序,所述认证程序被处理器执行时实现如第一方面或第二方面中任一项所述的认证方法的步骤。
本发明的实施例所提供的认证方法、设备和计算机可读存储介质,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,从认证向量组中获取第一MTC设备的第一认证向量,基于第一认证向量与第一MTC设备进行认证。这样,在群组网关请求接入网络并通过认证后,群组网关接收认证设备发送的包括群组网关管理的所有MTC设备认证向量的认证向量组,在群组网关管理的第一MTC设备请求接入群组网关时,基于认证设备发送的认证向量组中第一MTC设备的第一认证向量与第一MTC设备进行双向认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
附图说明
图1为本发明实施例提供的一种认证方法的流程示意图;
图2为本发明实施例提供的另一种认证方法的流程示意图;
图3为本发明实施例提供的又一种认证方法的流程示意图;
图4为本发明实施例提供的再一种认证方法的流程示意图;
图5为本发明实施例提供的一种系统结构示意图;
图6为本发明另一实施例提供的一种认证方法的流程示意图;
图7为本发明另一实施例提供的另一种认证方法的流程示意图;
图8为本发明另一实施例提供的又一种认证方法的流程示意图;
图9为本发明实施例提供的一种群组网关的结构示意图;
图10为本发明实施例提供的一种认证设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明实施例提供一种认证方法,参照图1所示,该方法包括以下步骤:
步骤101、若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储。
其中,认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量。
具体的,步骤101“若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储”可以由群组网关来实现。群组网关请求接入网络并通过认证可以是群组网关在请求接入网络时,群组网关通过网络侧的认证设备的认证即可,还可以是群组网关在请求接入网络时,群组网关与认证设备之间通过双向认证。其中,群组网关与认证设备之间的双向认证可以是基于身份验证和密钥协议(Authentication and Key Agreement,AKA)或者扩展认证协议(Extensible Authentication Protocol,EAP)-安全传输层协议((Transport Layer Security Protocol,TLS)来实现的。群组网关与认证设备之间的双向认证不仅包括移动蜂窝通信系统网络中的认证设备对群组网关的合法性进行认证,也包括群组网关对认证设备的合法性也要进行认证。
采用AKA协议时,每一MTC设备的认证向量包括一个随机数(Random,RAND)、一个期望响应(Expected Response,XRES)、一个加密密钥(Cipher Key,CK)、一个完整性校验密钥(Integrity Key,IK)和一个认证令牌(Authentication Token,AUTN)等参数。其中,AUTN包括消息鉴权码(Message Authentication Code,MAC)和序列号(Sequence Number,SQN)。认证向量组中包括群组网关管理的至少一个MTC设备的认证向量。此时,认证设备为移动蜂窝通信系统网络的网络设备中用于对群组网关的合法性进行认证的设备,可以包括认证节点、认证服务器和签约寄存器。
采用EAP-TLS协议时,每一MTC设备的认证向量在MTC设备的数字证书中携带。此时,认证设备包括证书授权(Certificate Authority,CA)中心和认证服务器。
步骤102、从存储的认证向量组中获取第一MTC设备的第一认证向量。
其中,第一MTC设备由群组网关管理。
具体的,步骤102“从存储的认证向量组中获取第一MTC设备的第一认证向量”可以由群组网关来实现。第一MTC设备可以是在群组网关与认证设备通过双向认证后,群组网关管理的MTC设备中的第一个向群组网关发送接入请求的MTC设备,或者是在群组网关与认证设备通过双向认证后,群组网关管理的MTC设备中的任意一个像群组网关发送接入请求的MTC设备。群组网关基于第一MTC设备的标识从存储的认证向量组中获取第一MTC设备的第一认证向量。
群组网关获取第一认证向量后,将第一认证向量中的RAND和AUTN等参数发送至第一MTC设备,使第一MTC设备基于RAND生成期望鉴权值(Expected MAC,XMAC)与AUTN中的MAC进行比较,以及对AUTN中携带的SQN与群组网本地的SQN进行比较,以实现对群组网关的认证。
步骤103、基于第一认证向量与第一MTC设备进行认证。
具体的,步骤103“基于第一认证向量与第一MTC设备进行认证”可以由群组网关来实现。
本发明实施例所提供的认证方法,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,从认证向量组中获取第一MTC设备的第一认证向量,并基于第一认证向量与第一MTC设备进行认证。这样,在群组网关请求接入网络并通过认证后,群组网关接收认证设备发送的包括群组网关管理的所有MTC设备认证向量的认证向量组,在群组网关管理的第一MTC设备请求接入群组网关时,基于认证设备发送的认证向量组中第一MTC设备的第一认证向量与第一MTC设备进行双向认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
基于前述实施例,本发明实施例提供一种认证方法,参照图2所示,该方法包括以下步骤:
步骤201、接收群组网关发送的携带有群组网关的身份标识的第三接入请求。
具体的,步骤201“接收群组网关发送的携带有群组网关的身份标识的第三接入请求”可以由认证设备来实现。第三接入请求用于群组网关请求接入移动蜂窝通信系统网络,在允许群组网关接入移动蜂窝通信系统网络时,首先需对群组网关与认证设备之间进行双向认证。
步骤202、响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量。
具体的,步骤202“响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量”可以由认证设备来实现。在群组网关上预先配置有群组网关的签约信息,包括群组网关的身份标识,以及与认证设备和MTC设备之间的共享根密钥,其中,认证设备和MTC设备之间的根密钥可以相同,也可以不同。在认证设备上配置有认证设备的签约信息以及群组网关管理的所有MTC设备的签约信息,包括身份标识和共享根密钥。
第三认证向量是认证设备获取与群组网关的身份标识对应的群组网关的共享密钥,然后基于群组网关的共享密钥采用预设算法进行计算得到的,包括群组网关的RAND、XRES、CK、IK和AUTN等参数。
步骤203、获取第三认证向量中的第一参数并发送至群组网关。
其中,第一参数用于群组网关对认证设备进行认证。
具体的,步骤203“获取第三认证向量中的第一参数并发送至群组网关”可以由认证设备来实现。第一参数是群组网关的第三认证向量中的RAND和AUTN等参数。
步骤204、接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证。
具体的,步骤204“接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证”可以由认证设备来实现。第二参数是群组网关基于接收到的第一参数对认证设备进行认证后基于第一参数中的RAND和AUTN生成得到的,例如可以是群组网关的RES。
步骤205、若群组网关通过认证,获取认证向量组并发送至群组网关。
其中,认证向量组包括群组网关管理的每一MTC设备的认证向量,认证向量组用于群组网关与由群组网关管理的每一MTC设备进行双向认证。
具体的,步骤205“若群组网关通过认证,获取认证向量组并发送至群组网关”可以由认证设备来实现。若认证设备基于第二参数XMAC和第三认证向量中的AUTN中的MAC匹配,且AUTN中的SQN与认证设备本地的SQN匹配,则认证设备根据群组网关管理的MTC设备签约信息中的根密钥生成每一MTC设备的认证向量,得到认证向量组并将得到的MTC设备的认证向量组发送至群组网关,这样,在群组网关管理的MTC设备请求接入时,基于MTC设备的认证向量组与请求接入的MTC设备进行双向认证,通过群组网关实现MTC设备与认证设备之间的认证过程,并减少了MTC设备与认证设备之间的信令交互。
本发明实施例所提供的认证方法,接收群组网关发送的携带有群组网关的身份标识的第三接入请求后,响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量,并获取第三认证向量中的第一参数并发送至群组网关,然后接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证,若群组网关通过认证,获取认证向量组并发送至群组网关。这样,认证设备对群组网关进行认证,并在群组网关的认证通过后将用于对MTC设备进行认证的、且包括群组网关所管理的所有MTC设备的认证向量的集合发送至群组网关,以便于群组网关基于认证设备发送的认证向量组对请求接入的第一MTC设备进行认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
基于前述实施例,本发明实施例提供一种认证方法,参照图3所示,该方法包括以下步骤:
步骤301、群组网关发送携带有群组网关的身份标识的第三接入请求至认证设备。
其中,第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数。
具体的,以群组网关和认证设备、MTC设备与群组网关之间基于AKA协议进行双向认证为例进行说明,MTC设备上预先配置有MTC设备的签约信息,包括(MTCi,Ki,…),i=1,2……,其中,MTCi为MTC设备身份标识、Ki为MTC设备和认证设备之间共享根密钥信息;群组网关上也预先配置有群组网关的签约信息(UEj,Kj,…),j=1,2……,其中UEj为群组网关身份标识、Kj为群组网关与认证设备之间的共享根密钥信息;认证设备上配置有上述MTC设备的签约信息和上述群组网关的签约信息。其中,认证服务器中的MTC设备按照所属的群组网关进行分类存储,例如采用MTC设备群组的方式进行存储,例如可以是(GIDj,UEj,(MTC1,MTC2,…,MTCn)j),其中,GID为第j个群组网关对应的组标识、UEj表示第j个群组网关的身份标识,(MTC1,MTC2,…,MTCn)j表示第j个群组网关管理的n个MTC设备的身份标识。群组网关发送携带有群组网关的身份标识UEj的第三接入请求至认证设备。
以AKA协议进行双向认证时,第一参数为认证向量(Authentication Vector,AV)中的向量参数,例如可以是认证向量中的RAND和AUTN。
步骤302、认证设备接收群组网关发送的携带有群组网关的身份标识的第三接入请求。
步骤303、认证设备响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量。
具体的,认证设备响应第三接入请求,基于群组网关的身份标识UEj获取与UEj对应的群组网关与认证设备之间的共享根密钥信息Kj,基于共享根密钥信息Kj采用认证向量算法生成群组网关的第三认证向量,即群组网关的认证向量AVj[RANDj,AUTNj,XRESj,CKj,IKj]。
步骤304、认证设备获取第三认证向量中的第一参数并发送至群组网关。
其中,第一参数用于群组网关对认证设备进行认证。
具体的,认证设备获取第三认证向量AVj[RANDj,AUTNj,XRESj,CKj,IKj]中的第一参数RANDj和AUTNj并发送至群组网关。
步骤305、群组网关接收认证设备发送的第一参数,并基于第一参数对认证设备进行认证。
具体的,群组网关接收认证设备发送的第一参数RANDj和AUTNj,基于RANDj采用AKA协议中计算XMAC的算法进行计算,得到群组网关的XMACj,对AUTNj进行解析处理,得到认证设备发送的SQN以及MAC,比较MAC和XMAC两个值是否相同;如果MAC和XMAC两个值不相同,则中止认证流程;如果MAC和XMAC两个值相同,群组网关基于本地存储的SQN验证认证设备发送的SQN,如果认证设备发送的SQN和本地存储的SQN不一致,则中止认证流程。否则如果认证设备发送的SQN和本地存储的SQN一致,表明认证设备通过群组网关的认证。基于RANDj采用AKA协议中计算随机数的响应(Response,RES)的算法进行计算得到群组网关的响应RESj,得到第二参数。
步骤306、若认证设备通过认证,群组网关发送第二参数至认证设备。
其中,第二参数用于认证设备对群组网关进行认证,若群组网关未接收到认证设备发送的用于指示群组网关认证失败的响应消息,默认群组网关通过认证。
步骤307、认证设备接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证。
具体的,认证设备接收群组网关发送的第二参数RESj,并判断第二参数RESj是否与第三认证向量AVj[RANDj,AUTNj,XRESj,CKj,IKj]中的XRESj相同。
步骤308、若群组网关通过认证,认证设备获取认证向量组并发送至群组网关。
其中,认证向量组包括群组网关管理的每一MTC设备的认证向量,认证向量组用于群组网关与由群组网关管理的第一MTC设备进行双向认证。
具体的,若RESj与XRESj不相同,则停止操作,向群组网关发送认证失败的消息。若RESj与XRESj相同,表明群组网关通过认证,认证设备获取群组网关UEj对应的MTC设备(MTC1,MTC2,…,MTCn)j对应的认证向量组(AV1,AV2,…,AVn)j并发送至群组网关。
其中,在本发明其他实施例中,步骤308具体可以由以下步骤来实现:
步骤308a1、认证设备基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识。
步骤308a2、认证设备基于组标识确定群组网关管理的每一MTC设备。
具体的,由于认证设备中的MTC设备签约信息是采用MTC设备群组的方式进行存储的,所以可以根据群组网关的身份标识确定群组网关UEj所在MTC设备群组,从而可以确定群组网关UEj管理的每一MTC设备。
步骤308a3、认证设备获取每一MTC设备的身份标识,并基于每一MTC设备的身份标识获取每一MTC设备的第一密钥。
具体的,认证设备获取每一MTC设备的身份标识(MTC1,MTC2,…,MTCn)j,并基于每一MTC设备的身份标识获取每一MTC设备的第一密钥,例如MTC1的第一密钥为K1,MTC2的第一密钥为K2,…,MTCn的第一密钥为Kn
步骤308a4、认证设备基于每一第一密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组。
具体的,预设算法为AKA协议中生成认证向量组的算法。认证设备基于每一第一密钥采用预设算法生成每一MTC设备的认证向量,例如MTC1的认证向量为AV1(RAND1,AUTN1,XRES1,CK1,IK1),MTC2的认证向量为AV2(RAND2,AUTN2,XRES2,CK2,IK2),…,MTCn的认证向量为AVn(RANDn,AUTNn,XRESn,CKn,IKn),因此得到群组网关UEj对应的MTC设备的认证向量组AV(AV1,AV2,…,AVn)j
其中,需说明的是,步骤308a1-308a4与步骤303-307可以同时执行,步骤308a1-308a4还可以与步骤303同时执行,具体执行顺序可以根据实际应用场景来确定;
步骤308a5、若群组网关通过认证,发送认证向量组至群组网关。
步骤309、群组网关接收认证设备发送的认证向量组并存储。
其中,认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量。
步骤310、群组网关从存储的认证向量组中获取第一MTC设备的第一认证向量。
其中,第一MTC设备由群组网关管理。
具体的,在本发明其他实施例中,步骤310具体可以由以下步骤来实现:
步骤310a1、群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。
步骤310a2、群组网关响应第一接入请求,从认证向量组中获取与第一MTC设备的身份标识对应的认证向量,得到第一认证向量。
具体的,在本发明实施例中,第一MTC设备为群组网关管理的任意一个MTC设备。假设第一MTC设备的身份标识为MTC2,则基于MTC2从认证向量组AV(AV1,AV2,…,AVn)j中获取与MTC2对应的第一认证向量AV2
步骤311、群组网关获取第一认证向量中的第三参数,并发送第三参数至第一MTC设备。
其中,第三参数用于第一MTC设备对群组网关进行认证。
具体的,第三参数为第一认证向量AV2中的随机数RAND2和认证令牌AUTN2。
步骤312、群组网关接收第一MTC设备发送的第四参数,并基于第四参数和第一认证向量对第一MTC设备进行认证。
其中,第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。
具体的,若第四参数RES与第一认证向量中的XRES相同,表明第一MTC设备通过认证,此时,第一MTC设备通过群组网关与认证设备之间实现双向认证。在后续通信过程中,第一MTC设备和群组网关之间可以采用第一认证向量中的CK密钥和IK密钥对通信数据进行保护,群组网关和认证设备之间可以采用第三认证向量中的CK密钥和IK密钥对通信数据进行保护。
进一步需说明的是,MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证时,第一认证向量、第二认证向量、第三认证向量、第一参数、第二参数、第三参数和第四参数均为对应的网关或设备的数字证书。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的认证方法,接收群组网关发送的携带有群组网关的身份标识的第三接入请求,并响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量,然后获取第三认证向量中的第一参数并发送至群组网关,接收群组网关发送的第二参数,并基于第二参数和第三认证向量对群组网关进行认证,若群组网关通过认证,获取认证向量组并发送至群组网关,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,从存储的认证向量组中获取第一MTC设备的第一认证向量,并基于第一认证向量与第一MTC设备进行认证;这样,认证设备首先对群组网关进行认证,在群组网关认证通过后发送群组网关管理的所有MTC设备的认证向量组至群组网关,使群组网关基于认证向量对请求接入的第一MTC设备进行认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
基于前述实施例,本发明实施例提供一种认证方法,主要用于认证设备与群组网关双向认证通过后,认证设备在接收到群组网关发送的第一MTC设备的身份标识时才获取MTC设备的认证向量组,并将获取的MTC参数集合发送给群组网关,以便于群组网关对请求接入的第一MTC设备进行认证,参照图4所示:
步骤401、群组网关发送携带有群组网关的身份标识的第三接入请求至认证设备。
其中,第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数。
步骤402、认证设备接收群组网关发送的携带有群组网关的身份标识的第三接入请求。
步骤403、认证设备响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量。
步骤404、认证设备获取第三认证向量中的第一参数并发送至群组网关。
其中,第一参数用于群组网关对认证设备进行认证。
步骤405、群组网关接收认证设备发送的第一参数,并基于第一参数对认证设备进行认证。
步骤406、若认证设备通过认证,群组网关发送第二参数至认证设备。
其中,第二参数用于认证设备对群组网关进行认证,若群组网关未接收到认证设备发送的用于指示群组网关认证失败的响应消息,默认群组网关通过认证。
步骤407、认证设备接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证。
步骤408、若未接收到认证设备发送的用于指示群组网关认证失败的响应消息,群组网关默认群组网关通过认证。
具体的,由于群组网关未接收到认证设备发送的用于直至群组网关认证失败的响应消息,因此,群组网关与认证设备通过双向认证。
步骤409、群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。
具体的,在本发明实施例中,第一MTC设备是群组网关管理的所有MTC设备中第一个向群组网关发送第一接入请求的MTC设备。
步骤410、群组网关响应第一接入请求,发送第一MTC设备的身份标识至认证设备。
步骤411、认证设备接收群组网关发送的第一MTC设备的身份标识。
其中,第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备。
步骤412、认证设备基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识。
步骤413、认证设备基于组标识确定群组网关管理的每一MTC设备。
步骤414、认证设备获取每一MTC设备的身份标识,并基于每一MTC设备的身份标识获取每一MTC设备的第二密钥。
步骤415、认证设备基于每一第二密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组并发送至群组网关。
步骤416、群组网关接收认证设备发送的认证向量组并存储。
其中,认证向量组是认证设备基于第一MTC设备的身份标识得到的。
步骤417、群组网关从存储的认证向量组中获取第一MTC设备的第一认证向量。
其中,第一MTC设备由群组网关管理。
步骤418、群组网关获取第一认证向量中的第三参数,并发送第三参数至第一MTC设备。
其中,第三参数用于第一MTC设备对群组网关进行认证。
步骤419、群组网关接收第一MTC设备发送的第四参数,并基于第四参数和第一认证向量对第一MTC设备进行认证。
其中,第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。
基于前述实施例,在本发明其他实施例中,步骤419之后还包括以下步骤:
步骤420、群组网关接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求。
具体的,第二MTC设备是群组网关管理的所有MTC设备中除第一MTC设备外的MTC设备。
步骤421、群组网关响应第二接入请求,基于第二MTC设备的身份标识从认证向量组中获取第二MTC设备的第二认证向量。
步骤422、群组网关基于第二认证向量与第二MTC设备进行认证。
其中,步骤422可以由以下步骤来实现:
步骤422a、群组网关获取第二认证向量中的第五参数并发送至第二MTC设备。
具体的,第二MTC设备基于接收到第五参数对群组网关进行认证,若群组网关通过第二MTC设备的认证,基于第五参数生成第六参数并发送第六参数至群组网关。
步骤422b、群组网关接收第二MTC设备发送的第六参数,并基于第六参数和第二认证向量对第二MTC设备进行认证。
其中,第六参数是第二MTC设备对群组网关的认证通过后基于第五参数生成的。
需说明的是,MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证时,第一认证向量、第二认证向量、第三认证向量、第一参数、第二参数、第三参数、第四参数、第五参数、第六参数均为对应的网关或设备的数字证书。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的认证方法,接收群组网关发送的携带有群组网关的身份标识的第三接入请求,并响应第三接入请求,基于群组网关的身份标识获取群组网关的第三特征参数认证向量,然后获取第三特征参数认证向量中的第一参数并发送至群组网关,接收群组网关发送的第二参数,并基于第二参数和第三特征参数认证向量对群组网关进行认证,若群组网关通过认证,获取特征参数集合认证向量组并发送至群组网关,若群组网关请求接入网络并通过认证,接收认证设备发送的特征参数集合认证向量组并存储,从存储的特征参数集合认证向量组中获取第一MTC设备的第一认证向量,并基于第一认证向量与第一MTC设备进行认证;这样,认证设备首先对群组网关进行认证,在群组网关认证通过后发送群组网关管理的所有MTC设备的特征参数集合认证向量组至群组网关,使群组网关基于特征参数认证向量对请求接入的第一MTC设备进行认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
基于前述实施例,本发明实施例实施基于如图5所示的系统结构,包括至少一个MTC设备(A1、A2、……、An)、群组网关B和认证设备C。其中,群组网关B可以管理多个MTC设备(A1、A2、……、An),MTC设备(A1、A2、……和/或An)通过群组网关B与认证设备C之间实现通信链接,群组网关可以有多个;认证设备是移动蜂窝通信系统网络中用于对群组网关、MTC设备等进行身份认证的设备。认证设备C可以包括认证节点C1、认证服务器C2和签约寄存器C3。其中,认证节点C1用于与群组网关B进行通信链接,从群组网关B处获取信息内容发送至认证服务器C2或接收认证服务器C2发送的内容并转发至群组网关B;认证服务器C2用于从签约寄存器C3处获取认证数据,进行存储并发送至认证节点C1;签约寄存器C3用于存储与群组网关和MTC设备对应的用于共享的根密钥,并在接收到认证服务器C2发送的获取认证数据的请求后,响应获取认证数据的请求采用算法根据根密钥生成多个随机数(RAND),并利用其中一个RAND采用预设算法生成多组认证向量得到认证数据,并将生成的多组认证向量发送至认证服务器C3,这样,认证服务器C3将多组认证向量通过认证节点C1发送给群组网关B以对群组网关B进行身份认证或对MTC设备进行身份认证。
基于前述实施例,本发明实施例提供一种认证方法,认证设备包括认证节点、认证服务器和签约寄存器,具体实现过程参照图6所示:
步骤501、群组网关发送第一接入请求至认证节点,认证节点接收到群组网关的接入请求。
其中,第一接入请求中携带有群组网关的网关身份标识UEGW
步骤502、认证节点从第一接入请求中获取群组网关的网关身份标识UEGW,并发送第一认证请求至认证服务器。
其中,第一认证请求中携带有群组网关的网关身份标识UEGW
步骤503、认证服务器从接收到的第一认证请求中获取网关身份标识UEGW,并发送用于获取认证数据的请求消息至签约寄存器。
其中,签约寄存器中还配置有MTC用户群组信息,例如可以记为(GID,UEGW,UE1,UE2,…,UEn),其中,GID为群组网关所管理的MTC设备所在组的组标识、UEGW表示该群组网关的网关身份标识,UE1,UE2,…,UEn为该群组网关所管理的所有MTC设备的身份标识,签约寄存器中还配置有与该群组网关共享的根密钥KGW,以及与对应的MTC设备共享的根密钥K1,K2,…,Kn。请求消息中携带有网关身份标识UEGW
步骤504、签约寄存器接收到请求消息后,签约寄存器根据群组网关的网关身份标识UEGW获得与群组网关对应的根密钥KGW,并基于根密钥KGW采用认证向量生成算法生成群组网关的认证向量AVGW。基于群组网关的网关身份标识UEGW确定群组网关所管理的所有MTC设备的身份标识UE1,UE2,…,UEn,并获取与所有MTC设备对应的根密钥K1,K2,…,Kn,基于根密钥K1,K2,…,Kn生成该群组网关所管理的所有MTC设备的认证向量,得到认证向量组AVi[RAND,AUTN,XRES,CK,IK],i=1,2,…,n。
步骤505、签约寄存器发送响应消息至认证服务器。
其中,响应消息中携带有群组网关的认证向量AVGW和群组网关所管理的所有MTC设备对应的认证向量组AVi,i=1,2,…,n。
步骤506、认证服务器保存响应消息中携带的群组网关的认证向量AVGW和群组网关所管理的所有MTC设备对应的认证向量组AVi,i=1,2,…,n。
步骤507、认证服务器发送群组网关的认证向量AVGW至认证节点。
步骤508、认证节点从群组网关的认证向量AVGW中获取群组网关的认证参数RANDGW和AUTNGW
步骤509、认证节点发送第二认证请求至群组网关,群组网关接收认证节点发送的第二认证请求。
其中,第二认证请求中的携带有群组网关的认证参数RANDGW和AUTNGW
步骤510、群组网关基于认证节点发送的第二认证请求中携带的RANDGW,采用鉴权值计算算法计算出期待鉴权值XMACGW;若XMACGW与群组网关本地的MACGW值相同,群组网关对认证节点发送的第二认证请求中携带的AUTNGW进行解析处理得到SQNGW,若SQNGW与群组网关本地维护的SQN相同,则群组网关基于RANDGW和AUTNGW生成群组网关的RESGW,并发送RESGW至认证节点,表明网络侧通过群组网关的认证。
其中,若XMACGW与群组网关本地的MACGW值不相同,群组网关向认证服务器发送拒绝认证消息,并终止认证流程。
若SQNGW与群组网关本地维护的SQN不相同,群组网关向认证服务器发送同步失败消息,并终止认证流程。
步骤511、认证节点比较群组网关发送的RESGW与认证节点中群组网关的认证向量AVGW中的XRESGW,若RESGW与XRESGW相同,群组网关通过网络侧的认证,这样,表明认证节点与群组网关之间通过了双向认证。
其中,若RESGW与XRESGW不相同,认证节点发送认证失败消息至群组网关。当认证节点与群组网关实现双向认证后,在随后通信中,群组网关与网络侧可以采用群组网关根据密钥和RANDGW生成的密钥对CK和IK对通信数据进行保护。
在本发明其他实施例中,步骤505中签约寄存器发送至认证服务器的响应消息中可以只携带有群组网关的认证向量AVGW,在认证节点与群组网关之间实现双向认证后,签约寄存器再将群组网关所管理的所有MTC设备对应的认证向量组AVi,i=1,2,…,n发送至群组网关。
步骤512、认证节点与群组网关实现双向认证后,认证服务器将群组网关所管理的所有MTC设备对应的认证向量组AVi,i=1,2,…,n发送至群组网关。
步骤513、群组网关保存认证向量组AVi,i=1,2,…,n。
步骤514、群组网关接收群组网关所管理的第一MTC设备发送的第二接入请求。
其中,第一MTC设备是群组网关所管理的MTC设备中的任意一个MTC设备,第一MTC设备发送的第二接入请求中携带有第一MTC设备的身份标识UEj
步骤515、群组网关基于第二接入请求中携带的第一MTC设备的身份标识UEj从存储的认证向量组AVi,i=1,2,…,n中获取对应的认证向量,得到第一MTC设备的认证向量AVj
步骤516、群组网关从第一MTC设备的认证向量AVj中获取第一MTC设备的认证参数RANDj和AUTNj,并发送第三认证请求至第一MTC设备。
其中,群组网关发送至第一MTC设备的第三认证请求中携带有第一MTC设备的认证参数RANDj和AUTNj
步骤517、第一MTC设备基于群组网关发送的第三认证请求中携带的RANDj,采用鉴权值计算算法计算出期待鉴权值XMACj;若XMACj与第一MTC设备本地的MACj值相同,第一MTC设备对群组网关发送的第三认证请求中携带的AUTNj进行解析处理得到SQNj,若SQNj与第一MTC设备本地维护的SQN相同,则基于RANDj和AUTNj生成第一MTC设备的RESj,并发送RESj至群组网关。
其中,若XMACj与第一MTC设备本地的MACj值不相同,第一MTC设备向群组网关送拒绝认证消息,并终止认证流程。
若SQNj与第一MTC设备本地维护的SQN不相同,第一MTC设备向群组网关发送同步失败消息,并终止认证流程。
步骤518、群组网关比较第一MTC设备发送的RESj与群组网关中第一MTC设备的认证向量AVj中的XRESj,若RESj与XRESj相同,则群组网关与第一MTC设备完成双向认证,群组网关向认证节点返回确认消息,表示第一MTC设备认证成功。
其中,若RESGW与XRESGW不相同,表明认证失败,群组网关可以决定第一MTC设备重发起认证。
当认证节点与群组网关实现双向认证后,在随后通信中,群组网关与第一MTC设备之间可以采用第一MTC设备根据密钥和RANDj生成的密钥对CK和IK对通信数据进行保护。
基于前述实施例,本发明实施例还提供一种认证方法,认证设备包括认证节点、认证服务器和签约寄存器,具体实现过程参照图7所示:
步骤601、群组网关发送第一接入请求至认证节点。
其中,第一接入请求中携带有群组网关的网关身份标识UEGW,用于指示群组网关请求建立与网络侧的通信链接。
步骤602、认证节点接收到群组网关的第一接入请求后,响应第一接入请求从第一接入请求中获取群组网关的网关身份标识UEGW,并发送第一认证请求至认证服务器。
其中,第一认证请求中携带有群组网关的网关身份标识UEGW
步骤603、认证服务器基于接收到的认证请求中携带的网关身份标识UEGW,发送用于获取认证数据的请求消息至签约寄存器。
步骤604、签约寄存器接收到请求消息后,签约寄存器根据群组网关的网关身份标识UEGW获得与群组网关对应的根密钥KGW,并基于根密钥KGW采用认证向量生成算法生成群组网关的认证向量AVGW
步骤605、签约寄存器发送响应消息至认证服务器。
其中,响应消息中携带有群组网关的认证向量AVGW
步骤606、认证服务器保存响应消息中携带的群组网关的认证向量AVGW
步骤607、认证服务器发送群组网关的认证向量AVGW至认证节点。
步骤608、认证节点从群组网关的认证向量中获取群组网关的认证参数RANDGW和AUTNGW
步骤609、认证节点发送第二认证请求至群组网关,群组网关接收认证节点发送的第二认证请求。
其中,第二认证请求中的携带有群组网关的认证参数RANDGW和AUTNGW
步骤610、群组网关基于认证节点发送的第二认证请求中携带的RANDGW,采用鉴权值计算算法计算出期待鉴权值XMACGW;若XMACGW与群组网关本地的MACGW值相同,群组网关对认证节点发送的第二认证请求中携带的AUTNGW进行解析处理得到SQNGW,若SQNGW与群组网关本地维护的SQN相同,则群组网关基于RANDGW和AUTNGW生成群组网关的RESGW,并发送RESGW至认证节点,表明网络侧通过群组网关的认证。
其中,若XMACGW与群组网关本地的MACGW值不相同,群组网关向认证服务器发送拒绝认证消息,并终止认证流程。
若SQNGW与群组网关本地维护的SQN不相同,群组网关向认证服务器发送同步失败消息,并终止认证流程。
步骤611、认证节点比较群组网关发送的RESGW与认证节点中群组网关的认证向量AVGW中的XRESGW,若RESGW与XRESGW相同,群组网关通过网络侧的认证,这样,表明认证节点与群组网关之间通过了双向认证。
其中,若RESGW与XRESGW不相同,认证节点发送认证失败消息至群组网关。当认证节点与群组网关实现双向认证后,在随后通信中,群组网关与网络侧可以采用群组网关根据密钥和RANDGW生成的密钥对CK和IK对通信数据进行保护。
步骤612、群组网关接收群组网关所管理的第一MTC设备发送的附着请求。
其中,第一MTC设备是群组网关所管理的MTC设备中第一个发送附着请求以请求接入群组网关的MTC设备,在附着请求中携带有第一MTC设备的身份标识UE1
步骤613、群组网关获取附着请求中携带的第一MTC设备的身份标识UE1,并发送针对该第一MTC设备的第二接入请求至认证节点。
其中,第二接入请求中携带有第一MTC设备的身份标识UE1,第二接入请求用于指示第一MTC设备请求建立与网络侧的通信链接。
步骤614、认证节点接收到群组网关发送的第二接入请求后,获取第二接入请求中携带的第一MTC设备的身份标识UE1,并发送第三认证请求至认证服务器。
其中,第三认证请求中携带有第一MTC设备的身份标识UE1
步骤615、认证服务器基于接收到的第三认证请求中携带的第一MTC设备的身份标识UE1,发送用于获取认证数据的请求消息至签约寄存器。
步骤616、签约寄存器基于请求消息中携带的第一MTC设备的身份标识UE1,确定第一MTC设备所在的MTC设备用户群组信息,例如为(GID,UEGW,UE1,UE2,…,UEn),并基于MTC设备用户群组信息中的所有MTC设备的身份标识UE1,UE2,…,UEn,获取与所有MTC设备对应的根密钥K1,K2,…,Kn,基于根密钥K1,K2,…,Kn生成该MTC设备用户群组信息中所有MTC设备的认证向量,得到认证向量组AVi[RAND,AUTN,XRES,CK,IK],i=1,2,…,n。
步骤617、签约寄存器将得到的认证向量组AVi,i=1,2,…,n发送至认证服务器,然后认证服务器发送认证向量组AVi,i=1,2,…,n群组网关。
步骤618、群组网关接收认证向量组AVi,i=1,2,…,n并保存。
步骤619、群组网关从认证向量组AVi,i=1,2,…,n中查找与第一MTC设备UE1对应的认证向量AV1,并基于认证向量AV1与第一MTC设备进行双向认证。
其中,群组网关基于认证向量AV1与第一MTC设备进行双向认证的过程具体参照上述实施例516-518的过程,此处不再详细赘述。
需说明的是,第一MTC设备与群组网关进行双向认证后,群组网关所管理的MTC设备中除第一MTC设备外的其他MTC设备接入网络需进行双向认证时,群组网关可以直接基于群组网关中存储的认证向量集合与其他MTC设备进行双向认证。
基于前述实施例,本发明实施例提供一种认证方法,主要用于MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证,其中,认证设备为认证服务器和证书授权(Certificate Authority,CA)中心,参照图8所示:
步骤701、群组网关发送网络接入请求至认证服务器。
其中,网络接入请求中携带有群组网关的身份标识。
具体的,CA中心预先存储有群组网关和群组网关所管理的MTC设备的数字证书,MTC设备和群组网关中预先存储有各自的数字证书。其中,各自对应的数字证书中携带有各自对应的认证向量。
步骤702、认证服务器接收网络接入请求,响应网络接入请求结合群组网关能力等策略确定采用EAP-TLS协议进行双向认证。
步骤703、认证服务器发送携带有认证服务器的数字证书的通知指令至群组网关。
其中,通知指令用于指示群组网关采用EAP-TLS认证方式进行认证。
步骤704、群组网关接收通知指令,并响应通知指令启用EAP-TLS认证方式。
步骤705、群组网关从CA中心获取认证服务器的数字证书,并验证从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书是否匹配,得到验证结果。
其中,若群组网关从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书匹配,验证结果为认证服务器通过验证,支持认证服务器为EAP-TLS认证服务器;若群组网关从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书不匹配,验证结果为认证服务器未通过验证,不支持认证服务器为EAP-TLS认证服务器。
步骤706、若验证结果为认证服务器通过验证,支持认证服务器为EAP-TLS认证服务器,群组网关发送验证结果和群组网关的数字证书至认证服务器。
若验证结果为认证服务器未通过验证,不支持认证服务器为EAP-TLS认证服务器,发送验证结果至认证服务器,认证服务器接收到验证结果后,不执行后续操作。
步骤707、认证服务器接收验证结果以及群组网关的数字证书。
步骤708、认证服务器发送用于请求群组网关的数字证书的请求指令至CA中心。
步骤709、CA中心接收请求指令并响应,获取群组网关的数字证书并发送至认证服务器。
步骤710、认证服务器接收CA中心发送的群组网关的数字证书,并验证CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书是否匹配。
步骤711、若CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书匹配,认证服务器向群组网关发送用于指示群组网关作为代理认证服务器的认证成功响应消息。
其中,认证成功响应消息还用于表明群组网关通过认证。
步骤712、群组网关接收认证成功响应消息。
具体的,群组网关接收到认证成功响应消息表明群组网关与认证设备通过双向认证。
步骤713、群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。
步骤714、群组网关响应第一接入请求,结合第一MTC设备能力等策略确定采用EAP-TLS协议进行双向认证。
步骤715、群组网关发送携带有群组网关的数字证书的通知指令至第一MTC设备。
其中,通知指令用于指示第一MTC设备采用EAP-TLS认证方式进行认证。
步骤716、第一MTC设备接收携带有群组网关的数字证书的通知指令,并响应通知指令启用EAP-TLS认证方式。
步骤717、第一MTC设备从CA中心获取群组网关的数字证书,并验证从CA中心获取的群组网关的数字证书与群组网关发送的数字证书是否匹配,得到验证结果。
其中,若第一MTC设备从CA中心获取的群组网关的数字证书与群组网关器发送的数字证书匹配,验证结果为群组网关通过验证,支持群组网关为代理EAP-TLS认证服务器;若第一MTC设备从CA中心获取的群组网关的数字证书与群组网关发送的数字证书不匹配,验证结果为群组网关未通过验证,不支持群组网关为代理EAP-TLS认证服务器。
步骤718、若验证结果为群组网关通过验证,支持群组网关为代理EAP-TLS认证服务器,第一MTC设备发送验证结果和第一MTC设备的数字证书至群组网关。
若验证结果为群组网关未通过验证,不支持认群组网关为代理EAP-TLS认证服务器,发送验证结果至群组网关,群组网关接收到验证结果后,不执行后续操作。
步骤719、群组网关接收验证结果以及第一MTC设备的数字证书。
步骤720、群组网关发送第一MTC设备的身份标识至CA中心。
步骤721、CA中心接收群组网关发送的第一MTC设备的身份标识。
步骤722、CA中心基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识。
步骤723、CA中心基于组标识确定群组网关管理的每一MTC设备。
步骤724、CA中心获取每一MTC设备的身份标识,并基于每一MTC设备的身份标识获取每一MTC设备的数字证书,得到数字证书集合。
其中,由于每一MTC设备的数字证书中携带有每一MTC设备的认证向量,所以得到的数字证书集合即得到了群组网关所管理的MTC设备的认证向量组。
步骤725、CA中心将数字证书集合发送至群组网关。
步骤726、群组网关接收数字证书集合并存储。
步骤727、群组网关从存储的数字证书集合中获取第一MTC设备的数字证书。
步骤728、群组网关验证从数字证书集合中获取第一MTC设备的数字证书与第一MTC设备发送的第一MTC设备的数字证书是否匹配,得到验证结果。
其中,若从数字证书集合中获取第一MTC设备的数字证书与第一MTC设备发送的第一MTC设备的数字证书匹配,表明第一MTC设备通过群组网关与认证设备(即认证服务器和CA中心)之间通过双向认证,后续通信过程是可信的。
在本发明其他实施例中,CA中心执行步骤709时,CA中心获取群组网关的数字证书的同时,还可以获取群组网关所管理的所有MTC设备的数字证书,得到数字证书集合,发送群组网关的数字证书至认证服务器的同时也发送数字证书集合至认证服务器,认证服务器将数字证书集合发送至群组网关,使群组网关存储数字证书;对应的,群组网关可以不执行步骤720和步骤726,CA中心可以不执行步骤723-725。或者,若CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书匹配,认证服务器向CA中心请求获取群组网关所管理的所有MTC设备的数字证书,得到数字证书集合,认证服务器执行步骤711的同时,将数字证书集合发送至群组网关,使群组网关存储数字证书;对应的,群组网关可以不执行步骤720和步骤726,CA中心可以不执行步骤723-725。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的认证方法,接收群组网关发送的携带有群组网关的身份标识的第三接入请求,并响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量,然后获取第三认证向量中的第一参数并发送至群组网关,接收群组网关发送的第二参数,并基于第二参数和第三认证向量对群组网关进行认证,若群组网关通过认证,获取认证向量组并发送至群组网关,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,从存储的认证向量组中获取第一MTC设备的第一认证向量,并基于第一认证向量与第一MTC设备进行认证;这样,认证设备首先对群组网关进行认证,在群组网关认证通过后发送群组网关管理的所有MTC设备的认证向量组至群组网关,使群组网关基于认证向量对请求接入的第一MTC设备进行认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
本发明实施例提供一种群组网关8,可应用于图1、3-4、6对应的实施例提供的一种认证方法中,参照图9所示,该群组网关包括:第一处理器81、第一存储器82及第一通信总线83,其中:
第一通信总线83用于实现第一处理器81和第一存储器82之间的连接通信;
第一处理器81用于执行第一存储器82中存储的认证程序,以实现以下步骤:
第一通信总线用于实现第一处理器和第一存储器之间的连接通信;
第一处理器用于执行第一存储器中存储的认证程序,以实现以下步骤:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的认证向量组中获取第一MTC设备的第一认证向量;其中,第一MTC设备由群组网关管理;
基于第一认证向量与第一MTC设备进行认证。
在本发明其他实施例中,第一处理器81还用于执行认证程序,以实现以下步骤:
若群组网关请求接入网络并通过认证,接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求;
响应第一接入请求,发送第一MTC设备的身份标识至认证设备;
接收认证设备发送的认证向量组并存储;其中,认证向量组是认证设备基于第一MTC设备的身份标识得到的。
在本发明其他实施例中,接收第一MTC设备发送的第一参数,并基于第一参数和第一认证向量对第一MTC设备进行认证之后,第一处理器81还用于执行认证程序,以实现以下步骤:
接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求;
响应第二接入请求,基于第二MTC设备的身份标识从认证向量组中获取第二MTC设备的第二认证向量;
基于第二认证向量与第二MTC设备进行认证。
在本发明其他实施例中,第一处理器81还用于执行认证程序,以实现以下步骤:
接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求;
响应第一接入请求,从认证向量组中获取与第一MTC设备的身份标识对应的认证向量,得到第一认证向量。
在本发明其他实施例中,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储之前,第一处理器81还用于执行认证程序,以实现以下步骤:
发送携带有群组网关的身份标识的第三接入请求至认证设备;其中,第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数;
接收认证设备发送的第一参数,并基于第一参数对认证设备进行认证;
若认证设备通过认证,发送第二参数至认证设备;其中,第二参数用于认证设备对群组网关进行认证,若未接收到认证设备发送的用于指示群组网关认证失败的响应消息,默认群组网关通过认证。
在本发明其他实施例中,第一处理器81还用于执行认证程序,以实现以下步骤:
获取第一认证向量中的第三参数,并发送第三参数至第一MTC设备;其中,第三参数用于第一MTC设备对群组网关进行认证;
接收第一MTC设备发送的第四参数,并基于第四参数和第一认证向量对第一MTC设备进行认证;其中,第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。
需要说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图1、3-4、6对应的实施例及上述实施例提供的一种认证方法中的交互过程,此处不再赘述。
本发明实施例所提供的群组网关,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,从认证向量组中获取第一MTC设备的第一认证向量,并基于第一认证向量与第一MTC设备进行认证。这样,在群组网关请求接入网络并通过认证后,群组网关接收认证设备发送的包括群组网关管理的所有MTC设备认证向量的认证向量组,在群组网关管理的第一MTC设备请求接入群组网关时,基于认证设备发送的认证向量组中第一MTC设备的第一认证向量与第一MTC设备进行双向认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
本发明实施例提供一种认证设备9,可应用于图2-4、6对应的实施例提供的一种认证方法中,参照图10所示,该认证设备包括:第二处理器91、第二存储器92及第二通信总线93,其中:
第二通信总线93用于实现第二处理器91和第二存储器92之间的连接通信;
第二处理器91用于执行第二存储器92中存储的认证程序,以实现以下步骤:
接收群组网关发送的携带有群组网关的身份标识的第三接入请求;
响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量;
获取第三认证向量中的第一参数并发送至群组网关;其中,第一参数用于群组网关对认证设备进行认证;
接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证;
若群组网关通过认证,获取认证向量组并发送至群组网关;其中,认证向量组包括群组网关管理的每一MTC设备的认证向量,认证向量组用于群组网关与由群组网关管理的每一MTC设备进行双向认证。
在本发明其他实施例中,第二处理器91还用于执行认证程序,以实现以下步骤:
若群组网关通过认证,接收群组网关发送的第一MTC设备的身份标识;其中,第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备;
基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识;
基于组标识确定群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一MTC设备的密钥;
基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组并发送至群组网关。
在本发明其他实施例中,第二处理器91还用于执行认证程序,以实现以下步骤:
基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识;
基于组标识确定群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一MTC设备的密钥;
基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组;
若群组网关通过认证,发送认证向量组至群组网关。
需说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图2-4、6对应的实施例及上述实施例提供的一种认证方法中的交互过程,此处不再赘述。
本发明实施例所提供的认证设备,接收群组网关发送的携带有群组网关的身份标识的第三接入请求后,响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量,并获取第三认证向量中的第一参数并发送至群组网关,然后接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证,若群组网关通过认证,获取认证向量组并发送至群组网关。这样,认证设备对群组网关进行认证,并在群组网关的认证通过后将用于对MTC设备进行认证的、且包括群组网关所管理的所有MTC设备的认证向量的集合发送至群组网关,以便于群组网关基于认证设备发送的认证向量组对请求接入的第一MTC设备进行认证,解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题,实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系,提高了MTC设备与网络设备之间的通信安全。
基于前述实施例,本发明提供一种计算机可读存储介质,该计算机可读存储介质上存储有认证程序,计算机可读存储介质存储有一个或者多个认证程序,一个或者多个认证程序可被一个或者多个处理器执行,以实现以下步骤:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的认证向量组中获取第一MTC设备的第一认证向量;其中,第一MTC设备由群组网关管理;
基于第一认证向量与第一MTC设备进行认证。
在本发明其他实施例中,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储,包括以下步骤:
若群组网关请求接入网络并通过认证,接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求;
响应第一接入请求,发送第一MTC设备的身份标识至认证设备;
接收认证设备发送的认证向量组并存储;其中,认证向量组是认证设备基于第一MTC设备的身份标识得到的。
在本发明其他实施例中,接收第一MTC设备发送的第一参数,并基于第一参数和第一认证向量对第一MTC设备进行认证之后,包括以下步骤:
接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求;
响应第二接入请求,基于第二MTC设备的身份标识从认证向量组中获取第二MTC设备的第二认证向量;
基于第二认证向量与第二MTC设备进行认证。
在本发明其他实施例中,从存储的认证向量组中获取第一MTC设备的第一认证向量,包括以下步骤:
接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求;
响应第一接入请求,从认证向量组中获取与第一MTC设备的身份标识对应的认证向量,得到第一认证向量。
在本发明其他实施例中,若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储之前,包括以下步骤:
发送携带有群组网关的身份标识的第三接入请求至认证设备;其中,第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数;
接收认证设备发送的第一参数,并基于第一参数对认证设备进行认证;
若认证设备通过认证,发送第二参数至认证设备;其中,第二参数用于认证设备对群组网关进行认证,若未接收到认证设备发送的用于指示群组网关认证失败的响应消息,默认群组网关通过认证。
在本发明其他实施例中,基于第一认证向量与第一MTC设备进行认证,包括以下步骤:
获取第一认证向量中的第三参数,并发送第三参数至第一MTC设备;其中,第三参数用于第一MTC设备对群组网关进行认证;
接收第一MTC设备发送的第四参数,并基于第四参数和第一认证向量对第一MTC设备进行认证;其中,第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。
需要说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图1、3-4、6对应的实施例及上述实施例提供的一种认证方法中的交互过程,此处不再赘述。
基于前述实施例,本发明提供一种计算机可读存储介质,该计算机可读存储介质上存储有认证程序,计算机可读存储介质存储有一个或者多个认证程序,一个或者多个认证程序可被一个或者多个处理器执行,以实现以下步骤:
接收群组网关发送的携带有群组网关的身份标识的第三接入请求;
响应第三接入请求,基于群组网关的身份标识获取群组网关的第三认证向量;
获取第三认证向量中的第一参数并发送至群组网关;其中,第一参数用于群组网关对认证设备进行认证;
接收群组网关发送的第二参数,基于第二参数和第三认证向量对群组网关进行认证;
若群组网关通过认证,获取认证向量组并发送至群组网关;其中,认证向量组包括群组网关管理的每一MTC设备的认证向量,认证向量组用于群组网关与由群组网关管理的第一MTC设备进行双向认证。
在本发明其他实施例中,若群组网关通过认证,获取认证向量组并发送至群组网关,还包括以下步骤:
若群组网关通过认证,接收群组网关发送的第一MTC设备的身份标识;其中,第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备;
基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识;
基于组标识确定群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一MTC设备的密钥;
基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组并发送至群组网关。
在本发明其他实施例中,若群组网关通过认证,获取认证向量组并发送至群组网关,包括以下步骤:
基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识;
基于组标识确定群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一MTC设备的密钥;
基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量,得到认证向量组;
若群组网关通过认证,发送认证向量组至群组网关。
需要说明的是,本实施例中处理器所实现的步骤之间的交互过程,可以参照图2-4、6对应的实施例及上述实施例提供的一种认证方法中的交互过程,此处不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序消息实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序消息到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的消息产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序消息也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的消息产生包括消息装置的制造品,该消息装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序消息也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的消息提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (19)

1.一种认证方法,其特征在于,所述方法包括:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的所述认证向量组中获取第一MTC设备的第一认证向量;其中,所述第一MTC设备由所述群组网关管理;
基于所述第一认证向量与所述第一MTC设备进行认证。
2.根据权利要求1所述的方法,其特征在于,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的所述认证向量组并存储,包括:
若所述群组网关请求接入网络并通过认证,接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备;
响应所述第一接入请求,发送所述第一MTC设备的身份标识至所述认证设备;
接收所述认证设备发送的所述认证向量组并存储;其中,所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
3.基于权利要求2所述的方法,其特征在于,基于所述第一认证向量对所述第一MTC设备进行认证之后,包括:
接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求;
响应所述第二接入请求,基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量;
基于所述第二认证向量与所述第二MTC设备进行认证。
4.根据权利要求1所述的方法,其特征在于,所述从存储的所述认证向量组中获取第一MTC设备的第一认证向量,包括:
接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备;
响应所述第一接入请求,从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量,得到所述第一认证向量。
5.根据权利要求1-4任一所述的方法,其特征在于,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的认证向量组并存储之前,包括:
发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备;其中,所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数;
接收所述认证设备发送的所述第一参数,并基于所述第一参数对所述认证设备进行认证;
若所述认证设备通过认证,获取第二参数并发送至所述认证设备;其中,所述第二参数用于所述认证设备对所述群组网关进行认证;
若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息,默认所述群组网关通过认证。
6.根据权利要求1所述的方法,其特征在于,所述基于所述第一认证向量与所述第一MTC设备进行认证,包括:
获取所述第一认证向量中的第三参数,并发送所述第三参数至所述第一MTC设备;其中,所述第三参数用于所述第一MTC设备对所述群组网关进行认证;
接收所述第一MTC设备发送的第四参数,并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证;其中,所述第四参数是所述第一MTC设备对所述群组网关的认证通过后基于所述第三参数生成的。
7.一种认证方法,其特征在于,所述方法包括:
接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求;
响应所述第三接入请求,基于所述群组网关的身份标识获取所述群组网关的第三认证向量;
获取所述第三认证向量中的第一参数并发送至所述群组网关;其中,所述第一参数用于所述群组网关对所述认证设备进行认证;
接收所述群组网关发送的第二参数,基于所述第二参数和所述第三认证向量对所述群组网关进行认证;
若所述群组网关通过认证,获取认证向量组并发送至所述群组网关;其中,所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量,所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
8.根据权利要求7所述的方法,其特征在于,所述若所述群组网关通过认证,获取认证向量组并发送至所述群组网关,包括:
若所述群组网关通过认证,接收所述群组网关发送的第一MTC设备的身份标识;其中,所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备;
基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组并发送至所述群组网关。
9.根据权利要求7所述的方法,其特征在于,所述若所述群组网关通过认证,获取认证向量组并发送至所述群组网关,还包括:
基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组;
若所述群组网关通过认证,发送所述认证向量组至所述群组网关。
10.一种群组网关,其特征在于,所述群组网关包括:第一处理器、第一存储器及第一通信总线;其中:
所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的认证程序,以实现以下步骤:
若群组网关请求接入网络并通过认证,接收认证设备发送的认证向量组并存储;其中,所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量;
从存储的所述认证向量组中获取第一MTC设备的第一认证向量;其中,所述第一MTC设备由所述群组网关管理;
基于所述第一认证向量与所述第一MTC设备进行认证。
11.根据权利要求10所述的群组网关,其特征在于,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
若所述群组网关请求接入网络并通过认证,接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备;
响应所述第一接入请求,发送所述第一MTC设备的身份标识至所述认证设备;
接收所述认证设备发送的所述认证向量组并存储;其中,所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
12.根据权利要求11所述的群组网关,其特征在于,所述接收所述第一MTC设备发送的第一参数,并基于所述第一参数和所述第一认证向量对所述第一MTC设备进行认证之后,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求;
响应所述第二接入请求,基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量;
基于所述第二认证向量与所述第二MTC设备进行认证。
13.根据权利要求10所述的群组网关,其特征在于,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求;其中,所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备;
响应所述第一接入请求,从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量,得到所述第一认证向量。
14.根据权利要求10-13任一所述的群组网关,其特征在于,所述若群组网关请求接入网络并通过认证,接收所述认证设备发送的认证向量组并存储之前,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备;其中,所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数;
接收所述认证设备发送的所述第一参数,并基于所述第一参数对所述认证设备进行认证;
若所述认证设备通过认证,发送第二参数至所述认证设备;其中,所述第二参数用于所述认证设备对所述群组网关进行认证;
若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息,默认所述群组网关通过认证。
15.根据权利要求10所述的群组网关,其特征在于,所述第一处理器还用于执行所述认证程序,以实现以下步骤:
获取所述第一认证向量中的第三参数,并发送所述第三参数至所述第一MTC设备;其中,所述第三参数用于所述第一MTC设备对所述群组网关进行认证;
接收所述第一MTC设备发送的第四参数,并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证;其中,所述第四参数所述群组网关通过所述第一MTC设备的认证后基于所述第三参数生成得到的。
16.一种认证设备,其特征在于,所述认证设备包括:第二处理器、第二存储器及第二通信总线;其中:
所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的认证程序,以实现以下步骤:
接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求;
响应所述第三接入请求,基于所述群组网关的身份标识获取所述群组网关的第三认证向量;
获取所述第三认证向量中的第一参数并发送至所述群组网关;其中,所述第一参数用于所述群组网关对所述认证设备进行认证;
接收所述群组网关发送的第二参数,基于所述第二参数和所述第三认证向量对所述群组网关进行认证;
若所述群组网关通过认证,获取认证向量组并发送至所述群组网关;其中,所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量,所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
17.根据权利要求16所述的认证设备,其特征在于,所述第二处理器还用于执行认证程序,以实现以下步骤:
若所述群组网关通过认证,接收所述群组网关发送的第一MTC设备的身份标识;其中,所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备;
基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组并发送至所述群组网关。
18.根据权利要求16所述的认证设备,其特征在于,所述第二处理器还用于执行认证程序,以实现以下步骤:
基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识;
基于所述组标识确定所述群组网关管理的每一MTC设备;
获取每一MTC设备的身份标识和每一所述MTC设备的密钥;
基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量,得到所述认证向量组;
若所述群组网关通过认证,发送所述认证向量组至所述群组网关。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有认证程序,所述认证程序被处理器执行时实现如权利要求1~6或7~9中任一项所述的认证方法的步骤。
CN201810312169.9A 2018-04-09 2018-04-09 一种认证方法、设备和计算机可读存储介质 Pending CN110366179A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201810312169.9A CN110366179A (zh) 2018-04-09 2018-04-09 一种认证方法、设备和计算机可读存储介质
PCT/CN2019/081746 WO2019196794A1 (zh) 2018-04-09 2019-04-08 认证方法、设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810312169.9A CN110366179A (zh) 2018-04-09 2018-04-09 一种认证方法、设备和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN110366179A true CN110366179A (zh) 2019-10-22

Family

ID=68162795

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810312169.9A Pending CN110366179A (zh) 2018-04-09 2018-04-09 一种认证方法、设备和计算机可读存储介质

Country Status (2)

Country Link
CN (1) CN110366179A (zh)
WO (1) WO2019196794A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079566A (zh) * 2020-08-05 2022-02-22 阿里巴巴集团控股有限公司 物联网设备认证方法、设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143491B (zh) * 2010-01-29 2013-10-09 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
US9450928B2 (en) * 2010-06-10 2016-09-20 Gemalto Sa Secure registration of group of clients using single registration procedure
CN102480727B (zh) * 2010-11-30 2015-08-12 中兴通讯股份有限公司 机器与机器通信中的组认证方法及系统
CN102204306A (zh) * 2011-04-28 2011-09-28 华为技术有限公司 Mtc终端通过网关与网络通信的方法、设备及系统
CN102843233B (zh) * 2011-06-21 2017-05-31 中兴通讯股份有限公司 一种机器到机器通信中组认证的方法和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079566A (zh) * 2020-08-05 2022-02-22 阿里巴巴集团控股有限公司 物联网设备认证方法、设备及存储介质

Also Published As

Publication number Publication date
WO2019196794A1 (zh) 2019-10-17

Similar Documents

Publication Publication Date Title
US7707412B2 (en) Linked authentication protocols
US8769647B2 (en) Method and system for accessing 3rd generation network
WO2020030852A1 (en) Network function authentication based on public key binding in access token in a communication system
CN108809637B (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
CN109428874A (zh) 基于服务化架构的注册方法及装置
KR20100085185A (ko) 통신시스템을 위한 상호동작 기능
CN101426190A (zh) 一种服务访问认证方法和系统
CN106921965A (zh) 一种wlan网络中实现eap认证的方法
CN109121135A (zh) 基于gba的客户端注册和密钥共享方法、装置及系统
CN111741468B (zh) 基于mec的amf及其身份认证方法、构建方法和装置
CN109788480A (zh) 一种通信方法及装置
WO2011009268A1 (zh) 一种基于wapi的认证系统及方法
CN106534050A (zh) 一种实现虚拟专用网络密钥协商的方法和装置
CN101110673B (zh) 利用一次eap过程执行多次认证的方法和装置
Prakash et al. Authentication protocols and techniques: a survey
CN103781026B (zh) 通用认证机制的认证方法
WO2021093811A1 (zh) 一种网络接入方法及相关设备
CN102938757A (zh) 共享网络中用户数据的方法和身份提供服务器
CN102752298B (zh) 安全通信方法、终端、服务器及系统
US9532218B2 (en) Implementing a security association during the attachment of a terminal to an access network
CN110366179A (zh) 一种认证方法、设备和计算机可读存储介质
CN101272297B (zh) 一种WiMAX网络用户EAP认证方法
Lin et al. A fast iterative localized re-authentication protocol for heterogeneous mobile networks
CN109561431A (zh) 基于多口令身份鉴别的wlan接入访问控制系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20191022

WD01 Invention patent application deemed withdrawn after publication