WO2013004077A1

WO2013004077A1 - 一种建立安全通道的方法及相应终端和系统

Info

Publication number: WO2013004077A1
Application number: PCT/CN2012/070306
Authority: WO
Inventors: 王坚; 吴传喜; 尚国强; 马景旺
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-07-05
Filing date: 2012-01-13
Publication date: 2013-01-10
Also published as: CN102868996A

Abstract

一种建立安全通道的方法及相应终端和系统，该方法用于在MTC终端与MTC终端的应用对端之间建立安全通道，包括：MTC终端注册到PLMN网络的过程中，生成与所述MTC终端的应用对端建立安全通道所需的共享密钥信息；当所述应用对端需要与所属于该应用对端的所述MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立所述MTC终端到所述应用对端的IP通道，所述MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述MTC终端到所述应用对端的端到端的安全通道。采用上述方法保证了MTC终端和MTC终端应用对端之间通信的安全。

Description

一种建立安全通道的方法及相应终端和系统

技术领域

本发明涉及机器类通信领域。特别地，涉及到一种建立安全通道的方法及相应终端和系统。

背景技术

机器类通信 ( MTC, Machine Type Communication)是机器到机器（ M2M, machine to machine )业务使用 3GPP移动通信网络进行通信的新的通信类型，有别于釆用移动通信网络进行通信的传统的人与人通信。机器类通信数据来源于各行各业，这些数据具有一定的商业秘密而需要保护。在移动通信网络的接入网内， MTC终端（ MTC device )通过 (U)SIM卡和归属位置寄存器（ HLR, Home Location Register )或归属用户月良务器 ( HSS , Home Subscriber Server ) (简称 HLR/HSS )进行鉴权、授权和安全参数的协商；在移动通信网络的核心网内，各网络节点也可以通过网络域的安全措施来保证数据安全。 MTC device有对应的应用服务器称为 MTC服务器（MTC server ) 。 MTC device 和 MTC server之间的通信应该具有安全性。

但 MTC device和 MTC server之间如何实现安全传输是目前亟待解决的问题。

发明内容

本发明要解决的技术问题是提供一种建立安全通道的方法，以保证 MTC 终端与 MTC终端的应用对端通信时的安全性。

为了解决上述技术问题，釆用如下技术方案：

一种建立安全通道的方法，用于在机器类通信（MTC )终端与所述 MTC 终端的应用对端之间建立安全通道，该方法包括：

所述 MTC终端注册到公共陆地移动网络（ PLMN )的过程中，生成与所述 MTC终端的应用对端建立安全通道所需的共享密钥信息；当所述应用对端需要与所属于该应用对端的所述 MTC终端通信时，所述应用对端发起触发消息 ,通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道，所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道。

其中： MTC终端注册到 PLMN网络的过程中，生成与所述 MTC终端的应用对端建立安全通道所需的共享密钥信息的步骤包括：

所述 MTC终端请求注册到 PLMN网络， PLMN网络中的归属位置寄存器或归属用户服务器（HLR/HSS )与所述 MTC终端进行认证和密钥协商之后，所述 HLR/HSS和所述 MTC终端分别生成为所述 MTC终端和所述应用对端建立安全通道所需的共享密钥信息。

该方法还包括：

所述 HLR/HSS生成为所述 MTC终端和所述应用对端建立安全通道所需的共享密钥信息后，所述 HLR/HSS 定位所述 MTC 终端的认证授权计费 ( AAA )服务器，并将生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

其中：所述应用对端发起触发消息，通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道的步骤包括：

所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识和所述共享密钥信息，通过所述 AAA服务器、所述 HLR/HSS向所述 MTC终端的移动管理实体发送触发消息；所述移动管理实体接收到所述触发消息后，寻呼所述 MTC终端；所述 MTC终端根据寻呼建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的 IP通道。

其中：所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道的步骤包括：所述 MTC终端和所述应用对端基于所述共享密钥信息进行相互认证，建立安全关联，完成所述 MTC终端到所述应用对端的端到端的安全通道的建立。其中：所述应用对端发起触发消息，通过所述触发消息触发建立所述

MTC终端到所述应用对端的 IP通道的步骤包括：

所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识、所述共所述应用对端建立到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述 MTC终端的 IP通道。

其中：所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道的步骤包括：所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，完成所述 MTC终端到所述应用对端的端到端的安全通道的建立。

所述 MTC终端注册到公共陆地移动网络（ PLMN )的过程中，生成与所述 MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述应用对端需要与所属于该 MTC应用对端的所述 MTC 终端通信时，所述应用对端通过核心网网元发起触发 ,所述 MTC终端接收到的触发消息中包括根据共享密钥信息生成的安全关联信息，所述 MTC终端根据所述触发消息发起建立所述 MTC终端到所述应用对端的 IP通道；

所述应用对端和所述 MTC终端各自根据所述安全关联信息建立安全关联，将所述安全关联应用到所述 IP通道，形成所述 MTC终端到所述应用对端的端到端的安全通道。

所述 MTC终端请求注册到 PLMN网络， PLMN网络中的归属位置寄存器或归属用户服务器（HLR/HSS )与所述 MTC终端进行认证和密钥协商之后，所述 HLR/HSS和 MTC终端分别生成为所述 MTC终端和所述应用对端建立安全通道所需的共享密钥信息。

该方法还包括：所述 HLR/HSS生成为 MTC终端和 MTC终端的应用对端建立安全通道所需的共享密钥信息后，所述 HLR/HSS定位所述 MTC终端的认证授权计费 ( AAA )服务器，并将生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

其中：所述应用对端通过核心网网元发起触发的步骤包括：

所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识和所述共享密钥信息，向所述 AAA服务器发起触发，所述 AAA服务器通过所述 HLR/HSS向所述 MTC终端的移动管理实体发送包含安全关联信息的触发消息，所述安全关联信息包括根据所述共享密钥信息生成的建立安全关联所需的信息；所述移动管理实体接收到所述触发消息后，寻呼所述 MTC终端；所述 MTC终端根据寻呼建立到所述移动管理实体的信令连接，获取所述应用对端的信息以及建立安全关联所需的信息。

其中：所述应用对端通过核心网网元发起触发的步骤包括：

所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识、所述共享密钥信息以及 PLMN网络与该应用对端之间的网关的 IP地址；所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括建立安全关联所需信息或者安全关联；所述应用对端建立到所述网关的安全通道，通过所述网关向所述 MTC终端发起触发消息，所述触发消息中包括安全关联信息。

其中：所述触发消息中还包括所述应用对端的认证信息；

该方法还包括：所述终端在发起建立本 MTC终端到所述应用对端的 IP 通道之前，根据所述认证信息对所述应用对端进行认证。

一种建立安全通道的机器类通信（MTC )终端，用于在所述 MTC终端与所述 MTC终端的应用对端之间建立安全通道，所述 MTC终端包括密钥生成模块和安全通道建立模块，其中：

所述密钥生成模块设置成：在所述 MTC终端注册到公共陆地移动网络 ( PLMN ) 的过程中，生成与所述应用对端建立安全通道所需的共享密钥信息；所述安全通道建立模块设置成：根据所述应用对端发起的触发消息建立所述 MTC终端到所述应用对端的 IP通道，以及基于所述共享密钥信息建立安全关联。

其中：所述安全通道建立模块设置成釆用以下方式根据所述应用对端发起的触发消息建立所述 MTC终端到所述应用对端的 IP通道：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的 IP通道；或者建立到所述应用对端的 IP通道。

其中：所述安全通道建立模块还设置成：在建立安全关联之前基于所述共享密钥信息对所述应用对端进行认证。

一种建立安全通道的系统，用于在机器类通信（MTC )终端与所述 MTC 终端的应用对端之间建立安全通道，该系统包括如权利要求 14-16 中任一项所述的 MTC终端，以及所述 MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块设置成：当所述应用对端需要与所属于本应用对端的所述 MTC终端通信时，发起触发消息，通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道；

所述安全通道模块设置成：基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道。

该系统还包括归属位置寄存器或归属用户服务器（HLR/HSS ) , 所述 HLR/HSS包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块设置成：在所述 MTC终端请求注册到 PLMN网络的过程中，与所述 MTC终端进行认证和密钥协商，生成为所述 MTC终端和所述应用对端建立安全通道所需的共享密钥信息；

所述定位模块设置成：定位所述 MTC终端的认证授权计费（AAA )服务器；所述发送模块设置成：将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

其中：所述应用对端还包括第一查询模块，其中：

所述第一查询模块设置成：查询所述 AAA服务器获得所述 MTC终端的标识和所述共享密钥信息；

所述触发模块设置成釆用以下方式发起触发消息：通过 AAA服务器、所述 HLR/HSS向所述 MTC终端的移动管理实体发送触发消息，使所述移动管理实体寻呼所述 MTC终端。其中：所述安全通道模块还设置成：在建立安全关联之前，基于所述共享密钥信息对所述 MTC终端进行认证。

其中，所述应用对端还包括第二查询模块，其中：

所述第二查询模块设置成：查询所述 AAA服务器获得所述 MTC终端的标识、所述共享密钥信息以及 PLMN 网络与所述应用对端之间的网关的 IP 地址；

所述触发模块设置成釆用以下方式发起触发消息：建立所述应用对端到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述 MTC终端的 IP通道。

一种建立安全通道的机器类通信（MTC )终端，用于在所述 MTC终端与 MTC终端的应用对端之间建立安全通道，所述 MTC终端包括密钥生成模块、 IP通道建立模块和安全关联建立模块，其中：

所述密钥生成模块设置成：在所述 MTC终端注册到公共陆地移动网络 ( PLMN ) 的过程中，生成与所述应用对端建立安全通道所需的共享密钥信息；

所述 IP通道建立模块设置成：接收触发消息，所述触发消息中包括根据所述共享密钥信息生成的安全关联信息，根据所述触发消息发起建立所述 MTC终端到所述应用对端的 IP通道；

所述安全关联建立模块设置成：根据所述触发消息中的安全关联信息建立安全关联，将所述安全关联应用到所述 IP通道。其中：所述触发模块设置成釆用以下方式根据所述触发消息发起建立所述 MTC终端到所述应用对端的 IP通道：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息以及建立安全关联所需的信息，基于获取的信息发起建立到所述应用对端的 IP通道；或者

触发消息，所述安全关联信息包括建立安全关联所需信息或者安全关联，基于获取的信息发起建立到所述应用对端的 IP通道。

其中：所述安全关联建立模块还设置成：在建立 IP通道之前，根据所述应用对端的认证信息对所述应用对端进行认证。

一种建立安全通道的系统，用于在机器类通信（MTC )终端与 MTC终端的应用对端之间建立安全通道，所述系统包括如权利要求 22-24 中任一项所述的 MTC终端，以及所述 MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块设置成：当所述应用对端需要与所属于本应用对端的所述

MTC终端通信时，通过核心网网元发起触发，建立所述应用对端到所述 MTC 终端的 IP通道；

所述安全通道模块设置成：根据安全关联信息建立安全关联，将所述安全关联应用到所述 IP通道，形成所述 MTC终端到所述应用对端的端到端的安全通道。

所述定位模块设置成：定位所述 MTC终端的认证授权计费（AAA )服务器；

所述发送模块设置成：将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

其中：所述应用对端还包括第一查询模块，其中：

所述触发模块设置成釆用以下方式通过核心网网元发起触发：向所述

AAA服务器发起触发，由所述 AAA服务器通过所述 HLR/HSS向所述 MTC 终端的移动管理实体发送包含安全关联信息的触发消息，使所述移动管理实体寻呼所述 MTC终端，所述安全关联信息包括根据共享密钥信息生成的建立安全关联所需的信息。

其中：所述应用对端还包括第二查询模块，其中：

所述第二查询模块设置成：查询所述 AAA服务器获得所述 MTC终端的标识、所述共享密钥信息以及 PLMN网络与该应用对端之间的网关的 IP地址；所述触发模块设置成釆用以下方式通过核心网网元发起触发：所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括建立安全关联所需信息或者安全关联；建立到所述网关的安全通道，通过该网关向所述 MTC终端发起触发消息，所述触发消息中包括安全关联信息。

本发明实施例提供的一种新的系统架构，引入 AAA服务器参与安全通道的建立，同时通过在 MTC终端和 MTC终端应用对端之间建立端到端安全通道，保证了 MTC终端和 MTC终端应用对端之间通信的安全。附图概述

图 1为 MTC device和 MTC server安全通信的系统架构图；

图 2为实施例 1的建立安全通道的方法流程图；

图 3为实施例 2的建立安全通道的方法流程图；

图 4为实施例 3的建立安全通道的方法流程图；

图 5为实施例 4的建立安全通道的方法流程图；图 6为实施例 5的建立安全通道的方法流程图。

本发明的较佳实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施例釆用两种方式在 MTC终端与 MTC终端的应用对端之间建立安全通道。

參方式一：

本方式中， MTC终端与应用对端间需要进行安全协商，包括：

MTC 终端注册到公共陆地移动网络（ PLMN , Public Land Mobile Network ) 的过程中，生成与 MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述 MTC终端的应用对端需要与所属于该应用对端的某 MTC终端通信时，所述应用对端发起触发消息，通过所述触发消息触发建立本 MTC终端到所述应用对端的 IP通道，所述 MTC终端和应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道。

在上述步骤中应用对端有两种发起触发的方法：

方法 A: 通过认证授权计费（AAA )服务器、 HLR/HSS向 MTC终端的移动管理实体发送触发消息，由移动管理实体寻呼 MTC终端，通过 MTC终端与移动管理实体间建立的信令连接，使该 MTC终端获取应用对端的信息，基于该应用对端的信息发起建立到所述应用对端的 IP通道。

方法 B：应用对端建立到 PLMN网络与该应用对端之间的网关的安全通道，向该网关发送触发消息，触发该网关发起建立所述应用对端到所述 MTC 终端的 IP通道。

釆用方式一建立安全通道的 MTC终端包括密钥生成模块和安全通道建立模块，其中：所述密钥生成模块设置成：在 MTC终端注册到 PLMN网络的过程中 , 生成与 MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述安全通道建立模块设置成：根据所述应用对端发起的触发消息建立本 MTC终端到所述应用对端的 IP通道，以及基于所述共享密钥信息建立安全关联。

优选地，所述安全通道建立模块设置成釆用以下方式根据所述应用对端发起的触发消息建立本 MTC终端到所述应用对端的 IP通道：

接受移动管理实体的寻呼，建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的 IP通道；或者

根据 PLMN网络与该应用对端之间的网关发起的建立 IP通道的消息，建立到所述应用对端的 IP通道。

优选地，所述安全通道建立模块还设置成：在建立安全关联之前基于所述共享密钥信息对所述应用对端进行认证。

釆用方式一实现安全通道建立的系统，除包含上述 MTC终端外，还包含 MTC终端的应用对端，该应用对端包括触发模块和安全通道模块，其中：所述触发模块设置成：当本应用对端需要与所属于本应用对端的某 MTC 终端通信时，发起触发消息，通过所述触发消息触发建立本 MTC终端到所述应用对端的 IP通道；

所述安全通道模块设置成：基于共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道。

优选地，该系统还包括 HLR/HSS, 其包括密钥生成模块、定位模块和发送模块，其中：所述密钥生成模块设置成：在所述 MTC终端请求注册到 PLMN网络的过程中，与所述 MTC终端进行认证和密钥协商，生成为 MTC终端和 MTC 终端的应用对端建立安全通道所需的共享密钥信息；

所述定位模块设置成：定位所述 MTC终端的 AAA服务器；所述发送模块设置成：将所述密钥生成模块生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

优选地，该应用对端还包括第一查询模块，其设置成：查询所述 AAA服务器获得所述 MTC终端的标识和所述共享密钥信息；

优选地，所述触发模块设置成釆用以下方式发起触发消息：通过 AAA服务器、 HLR/HSS向所述 MTC终端的移动管理实体发送触发消息，使所述移动管理实体寻呼所述 MTC终端。

优选地，所述安全通道模块还设置成：在建立安全关联之前，基于所述共享密钥信息对所述 MTC终端进行认证。

优选地，所述应用对端还包括第二查询模块，其设置成：查询所述 AAA 服务器获得所述 MTC终端的标识、所述共享密钥信息，以及 PLMN网络与该应用对端之间的网关的 IP地址；

所述触发模块设置成釆用以下方式发起触发消息：建立本应用对端到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述 MTC终端的 IP通道。

參方式二：本方式中， MTC终端与应用对端间无需进行安全协商，包括：

MTC终端注册到 PLMN网络的过程中，生成与 MTC终端的应用对端建立安全通道所需的共享密钥信息；

当所述 MTC终端的应用对端需要与所属于该 MTC应用对端的某 MTC 终端通信时，所述应用对端通过核心网网元发起触发，所述 MTC终端接收到的触发消息中包括根据共享密钥信息生成的安全关联信息，所述 MTC终端根据所述触发消息发起建立本 MTC终端到所述应用对端的 IP通道；

方式二中，应用对端也有两种发起触发的方法：方法 a: 向所述 AAA服务器发起触发，由 AAA通过 HLR/HSS向 MTC 终端的移动管理实体发送包含安全关联信息的触发消息，该安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息；由该移动管理实体寻呼 MTC终端；通过 MTC终端与移动管理实体的信令连接，使 MTC终端获取应用对端的信息以及建立安全关联所需的信息。

方法 b: 根据所述共享密钥信息生成安全关联信息，该安全关联信息包括：建立安全关联所需信息或者安全关联；与 PLMN网络与该应用对端之间的网关建立安全通道，通过该网关向 MTC终端发起触发消息，触发消息中包括安全关联信息。

釆用方式二建立安全通道的 MTC终端包括密钥生成模块、 IP通道建立模块和安全关联建立模块，其中：

所述密钥生成模块设置成：在 MTC终端注册到 PLMN网络的过程中，生成与 MTC终端的应用对端建立安全通道所需的共享密钥信息；

所述 IP通道建立模块设置成：接收触发消息，所述触发消息中包括根据共享密钥信息生成的安全关联信息，根据所述触发消息发起建立本 MTC终端到所述应用对端的 IP通道；

所述安全关联建立模块设置成：根据所述触发消息中的安全关联信息建立安全关联，将所述安全关联应用到所述 IP通道。

优选地，该触发模块设置成釆用以下方式根据所述触发消息发起建立本

MTC终端到所述应用对端的 IP通道：

接收 PLMN网络与该应用对端之间的网关发送的包括安全关联信息的触发消息，所述安全关联信息包括：建立安全关联所需信息或者安全关联，基于获取的信息发起建立到所述应用对端的 IP通道。

优选地，该安全关联建立模块还设置成：在建立 IP通道之前，先根据所述应用对端的认证信息对所述应用对端进行认证。

釆用上述方式实现安全通道建立的系统，除包括上述 MTC终端外，还包括 MTC终端的应用对端，该应用对端包括触发模块和安全通道模块，其中：所述触发模块设置成：当本应用对端需要与所属于本应用对端的某 MTC 终端通信时 ,通过核心网网元发起触发 ,建立本应用对端到所述 MTC终端的 IP通道；

优选地，所述系统还包括 HLR/HSS, 其包括密钥生成模块、定位模块和发送模块，其中：

所述密钥生成模块设置成：在所述 MTC终端请求注册到 PLMN网络的过程中，与所述 MTC终端进行认证和密钥协商，生成为 MTC终端和 MTC 终端的应用对端建立安全通道所需的共享密钥信息；

优选地，所述应用对端还包括第一查询模块，其设置成：查询所述 AAA 服务器获得所述 MTC终端的标识和所述共享密钥信息；

所述触发模块设置成釆用以下方式通过核心网网元发起触发：向所述 AAA服务器发起触发，由所述 AAA服务器通过 HLR/HSS向所述 MTC终端的移动管理实体发送包含安全关联信息的触发消息，使所述移动管理实体寻呼所述 MTC终端，所述安全关联信息包括：根据共享密钥信息生成的建立安全关联所需的信息。

所述触发模块设置成：釆用以下方式通过核心网网元发起触发：所述应用对端根据所述共享密钥信息生成安全关联信息，所述安全关联信息包括：建立安全关联所需信息或者安全关联；建立到所述网关的安全通道，通过该网关向所述 MTC终端发起触发消息，所述触发消息中包括安全关联信息。

以下实施例中以 MTC终端的应用对端为 MME为例进行说明。

实施例 1

如图 2所示，包括以下步骤：

(注册部分）

步骤 1 : MTC device请求注册到 PLMN网络， PLMN网络中的 HLR/HSS 和 MTC device进行 3GPP认证和密钥协商（AKA, Authentication and Key Agreement )之后 MTC device和 HLR/HSS各自生成为 MTC device和 MTC server建立安全通道的共享密钥信息；

生成共享密钥后， HLR/HSS和 MTC device分别保存生成的共享密钥信息。

生成共享密钥信息可以釆用现有的技术实现，本文不再赘述。

步骤 2: HLR/HSS定位该 MTC device的 AAA服务器；

HLR/HSS定位 AAA服务器的方法可以是根据 HLR/HSS中该 MTC device 的签约信息或者 MTC device提供的标识信息来查询域名系统（ DNS, Domain Name System )服务器来获取 AAA服务器的地址，或者根据 MTC device提供的 MTC server的标识（如果有的话）来查询 DNS来获取 AAA服务器的地址。

步骤 3: HLR/HSS将步骤 1中生成的共享密钥信息，以及 MTC device的信息（包括标识，优选地，还包括 MTC device的地址）通过安全通道发送给 AAA服务器；

(触发部分）

步骤 4: 当 MTC server需要与所属于该 MTC server的某 MTC device通信时， MTC server向 AAA服务器发起查询，获取该 MTC device的状态：如在线或离线；如果 MTC device在线，则 AAA服务器除了向 MTC server返回所述 MTC device的状态之外，还返回 MTC device的标识（优选地，还包括 MTC device的地址）， MTC device与 MTC server建立安全通道所需的共享密钥信息；

步骤 5: 如果上述 MTC device在线， MTC server向 AAA服务器发送触发该 MTC device的触发消息，该触发消息包括 MTC device的信息（包括标识，优选还可以包括地址 ) , 以及 MTC server的信息（包括标识和 /或地址 )；步骤 6: AAA服务器通过安全通道向 HLR/HSS发送该 MTC device的触发消息，该触发消息包括 MTC device的信息和 MTC server的信息；

步骤 7: HLR/HSS向该 MTC device注册的移动管理实体发送该 MTC device的触发消息，该触发消息包括 MTC device的信息和 MTC server的信息；上述移动管理实体例如为移动管理节点（MME )或服务 GPRS支持节点 ( SGSN )或移动交换节点（MSC ) 。

步骤 8: 移动管理实体根据 MTC device的信息向 MTC device发送寻呼信息；

步骤 9: MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过该信令连接向 MTC device发送触发消息，触发消息包括该 MTC server的信息；

步骤 10: MTC device收到触发消息后，根据触发消息中 MTC server的信息，发起建立到 MTC server的 IP通道（如果有默认承载，则可以基于默认载建立该 IP通道）；

步骤 11 : MTC device和 MTC server基于共享密钥信息使用认证和密钥交换协议如密钥交换协议 ( IKE, Internet key extrange )进行 MTC device和 MTC server 的相互认证并建立安全关联（ SA, security association ) , 形成 MTC device和 MTC server之间的端到端安全通道。

若釆用可扩展认证协议 (EAP, Extensible Authentication Protocol)而非 IKE, 则 MTC server从 AAA服务器获取共享密钥信息后，基于该共享密钥建立起与 MTC device 的安全通信，并进一步作为中间节点与 AAA交互对 MTC device进行认证、授权，建立起 MTC device与 MTC server侧网络的双向安全通道。

实施例 2:

如图 3所示，包括以下步骤：

(注册部分）

步骤 1 : MTC device请求注册到 PLMN网络， PLMN网络中的 HLR/HSS 和 MTC device进行 3GPP AKA之后各自生成为 MTC device和 MTC server 建立安全通道的共享密钥信息；

步骤 2: HLR/HSS定位该 MTC device的 AAA服务器；

HLR/HSS定位 AAA服务器的方法可以是根据 HLR/HSS中该 MTC device 的签约信息或者 MTC device提供的标识信息来查询 DNS服务器来获取 AAA 服务器的地址，或者根据 MTC device提供的 MTC server标识来查询 DNS来获取 AAA服务器的地址。

步骤 3: HSS将步骤 1中生成的共享密钥信息，以及 MTC device的信息 (包括标识，或标识和地址）通过安全通道发送给 AAA服务器；

(触发部分）

步骤 4: 当 MTC server需要与所属于该 MTC server的某 MTC device通信时， MTC server向 AAA服务器发起查询，获取该 MTC device的状态：如在线或离线；如果 MTC device在线，则 AAA服务器除了向 MTC server返回所述 MTC device的状态之外，还返回 MTC device的标识（优选地，还包括 MTC device的地址）， MTC device与 MTC server建立安全通道所需的共享密钥信息；随后， MTC server向 AAA服务器发送触发信息，该触发信息用于触发 MTC device, 包括：触发要求， MTC server的信息（包括 MTC server 的标识和 /或地址，以及 MTC server的证书信息 ) ,和 MTC device的信息（包括 MTC device的标识，优选还包括 MTC device的地址）；

步骤 5: AAA服务器向 HLR/HSS发送触发信息，触发信息包括触发要求， MTC server的信息，和 MTC device的信息；

触发要求包括了对触发的要求，比如触发定时器、触发优先级、触发紧急标识等。触发定时器标明此次触发需要在多长时间内完成；触发优先级标明该触发在网络中触发优先队列中的位置；触发紧急标识标明在网络拥塞的情况下仍然能够触发该 device。

步骤 6: HLR/HSS 收到触发信息后，根据触发中的触发要求向该 MTC device注册的移动管理实体 (MME或 SGSN或 MSC)发送触发信息，该触发信息包括 MTC device的信息， MTC server的信息；

步骤 7:移动管理实体收到触发信息后，根据 MTC device的信息向 MTC device发送寻呼信息；

步骤 8: MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过信令连接将触发信息发送给 MTC device, 该触发信息包括 MTC server的信息；

步骤 9: MTC device根据该触发信息中的 MTC server的信息（标识和 / 或地址，以及证书信息 )对该 MTC server进行认证；

步骤 10: 认证通过后， MTC device根据触发消息中 MTC server的信息，发起建立到 MTC server的 IP通道（如果有默认承载，则可以基于默认承载建立该 IP通道）；

步骤 11 , MTC device和 MTC server基于共享密钥信息使用认证和密钥交换协议如 IKE进行 MTC device和 MTC server的相互认证并建立 SA,形成 MTC device和 MTC server之间的端到端安全通道。

本实施例中共享密钥信息可以用于 EAP 中作为 MTC device 和 MTC server进行安全通信的密钥。基于 MTC device和 MTC server之间通信是安全的， MTC server作为 NAS (网络认证服务器)来与 AAA协商新的密钥建立安全关联。

实施例 3

如图 4所示，包括以下步骤： (注册部分）

步骤 2: HLR/HSS定位该 MTC device的 AAA服务器；

HLR/HSS定位 AAA服务器的方法可以是根据 HLR/HSS中该 MTC device 的签约信息或者 MTC device提供的标识信息查询 DNS服务器来获取 AAA服务器的地址，或者根据 MTC device提供的 MTC server标识来查询 DNS来获取 AAA服务器的地址。

步骤 3: HSS将步骤 1中生成的共享密钥信息、以及 MTC device的信息

(标识，或标识和地址）通过安全通道发送给 AAA服务器；

(触发部分）

步骤 4: 当 MTC server需要与所属于该 MTC server的某 MTC device通信时， MTC server向 AAA服务器发起查询，获取该 MTC device的状态：如在线或离线；如果 MTC device在线，则 AAA服务器除了向 MTC server返回所述 MTC device的状态之外，还返回 MTC device的标识（优选地，还包括 MTC device的地址）， MTC device与 MTC server建立安全通道所需的共享密钥信息；随后 MTC server向 AAA服务器发送触发消息，触发消息包括了该 MTC server的触发要求等；

步骤 5: 收到触发消息后， AAA服务器向 HLR/HSS发送触发消息，触发消息包括触发要求，根据共享密钥信息生成的建立 SA所需的信息，该 MTC server的信息（包括 MTC server的标识和 /或地址，以及 MTC server的证书信息 ) , MTC device的信息（包括 MTC device的标识，优选还包括 MTC device 的地址）；

步骤 6: HLR/HSS 收到触发信息后，根据触发中的触发要求向该 MTC device注册的移动管理实体 (MME或 SGSN或 MSC)发送触发信息，该触发信息包括该 MTC server的信息， MTC device的信息，建立 SA所需的信息；步骤 7:移动管理实体收到触发信息后，根据 MTC device的信息向 MTC device发送寻呼信息；

步骤 8: MTC device收到寻呼信息后，建立到移动管理实体的信令连接，移动管理实体通过信令连接将触发消息发送给 MTC device, 该触发信息包括建立 SA所需的信息和该 MTC server的信息；

步骤 9: MTC device根据触发信息中的 MTC server的证书对该 MTC server进行认证；

步骤 10: 如果认证通过， MTC device发起建立到 MTC server的 IP通道

(该通道可以建立在默认承载之上）；

步骤 11： MTC device和 MTC server各自根据建立 SA所需的信息生成 SA, 将该 SA应用到步骤 10建立的 IP通道，形成 MTC device和 MTC server 之间的端到端的安全通道。

实施例 4

如图 5所示，包括以下步骤：

(注册部分）

步骤 2: HLR/HSS网络定位该 MTC device的 AAA服务器；

步骤 3: HLR/HSS将步骤 1中生成的共享密钥信息、以及 MTC device的信息（标识，或标识和地址 ) , 以及 PLMN网络与 MTC server之间的网关的 IP地址通过安全通道发送给 AAA服务器；

该 PLMN网络与 MTC server之间的网关位于 PLMN内部边界上，可以是 MTC互通网关或者是 VPLMN ( Virtual Public Land Mobile Network, 虚拟公共陆上移动网 ) 网关。

(触发部分）

步骤 4: 当 MTC server需要与所属于该 MTC server的某 MTC device通信时， MTC server向 AAA服务器发起查询，获取该 MTC device的状态：如在线或离线；如果 MTC device在线，则 AAA服务器除了向 MTC server返回所述 MTC device的状态之外，还返回 MTC device的标识（优选地，还包括 MTC device的地址）， MTC device与 MTC server建立安全通道所需的共享密钥信息 , 以及 PLMN网络与 MTC server之间的网关的 IP地址；

步骤 5: MTC server基于共享密钥等信息生成安全关联信息，包括：建立安全关联的所需信息或者安全关联；

例如 MTC server利用 IKE或 EAP等建立安全关联的算法生成建立安全关联的所需信息或者安全关联。

步骤 6: MTC server建立到 PLMN网络与 MTC server之间的网关的安全通道（ IP连接 ) , 并将触发（ trigger ) 消息通过该安全通道发送给 PLMN网络与 MTC server之间的网关，触发消息包括建立安全关联所需信息或安全关联， MTC device的信息（标识，或标识和地址）， MTC server的信息（证书，以及标识和 /或地址）；

步骤 7: PLMN网络与 MTC server之间的网关将触发消息发送给 MTC device, 该触发消息中包括建立的安全关联所需信息或安全关联，以及 MTC server的信息；

步骤 8: MTC device对 MTC server进行认证，如果认证通过，则 MTC device基于上述触发消息发起建立 MTC device到 MTC server的 IP通道，建立 IP通道之后， MTC device和 MTC server分别将安全关联所需信息或安全关联应用到该 IP通道上 , 形成 MTC device和 MTC server之间的端到端安全通道。

如果 MTC server获得上述的 MTC device的 IP地址，则通过该 IP地址与 MTC device建立 IP通道。如果该 MTC server没有获得上述的 MTC device的 IP地址，则与 MTC device建立新的 IP通道。

实施例 5

如图 6所示，包括以下步骤：

(注册部分）

步骤 2: HLR/HSS定位该 MTC device的 AAA服务器；

PLMN 网络定位 AAA服务器的方法可以是根据 HLR/HSS 中该 MTC device的签约信息或者 MTC device提供的标识信息来查询 DNS服务器来获取 AAA服务器的地址，或者根据 MTC device提供的 MTC server网络标识来查询 DNS来获取 AAA服务器的地址。

步骤 3: HSS将步骤 1中生成的共享密钥信息、 MTC device的信息（包括标识，或标识和 IP地址），以及 PLMN网络与 MTC server之间的网关的 IP地址通过安全通道发送给 AAA服务器；

(触发部分）

步骤 4: 当 MTC server需要与所属于该 MTC server的某 MTC device通信时， MTC server向 AAA服务器发起查询，获取该 MTC device的状态， AAA 服务器向 MTC server返回 MTC device的状态 , MTC device的标识（优选地，还包括 MTC device的地址）、 MTC device的与 MTC server建立安全通道所需的共享密钥信息 , 以及 PLMN网络与 MTC server之间的网关的 IP地址；步骤 5: MTC server建立到 PLMN网络与 MTC server之间的网关的安全通道，并通过安全通道向该网关发送触发信息（trigger信息），该触发信息包括 MTC device的信息， MTC server的信息；

步骤 6: PLMN网络与 MTC server之间的网关发起建立 MTC device到 MTC server的 IP连接；其中，网关通过信令面通道指示 MTC device来建立与 MTC server的 IP 连接。

该步骤中如果 MTC server获得上述 MTC device的 IP地址，则 PLMN网络与 MTC server之间的网关可以基于该 MTC device的 IP地址发起建立 IP连接。如果该 MTC server没有获得上述的 MTC device的 IP地址，则 PLMN网络与 MTC server之间的网关可以基于 MTC device的 ID触发 MTC device建立到 MTC server的 IP连接。

步骤 7: MTC device和 MTC server基于共享密钥信息使用 IKE 方法建立安全关联 (SA) , 形成 MTC device和 MTC server之间的端到端的安全通道。

或者， MTC device和 MTC server基于共享密钥，在 MTC device, MTC server和 AAA服务器上使用 ESP方法建立安全关联 SA, 基于该 SA建立端到端的安全通道。

在上述实施例中，安全关联也可以基于 AAA服务器内的安全信息而建立，在 MTC device中包括了与 AAA服务器进行安全关联协商（比如 IKE, ESP) 的能力，或者包括基于非协商机制比如 Push的安全关联建立机制。

在 MTC device和 MTC server之间建立端到端安全通道的技术包括网络层的因特网协议安全性（IPsec, Internet Protocol Security )技术，通过 IPsec 技术建立的安全通道在网络层保护 MTC device和 MTC server之间的通信，使 MTC的所有通信都得到有效的安全防护。除了 IPsec技术之外， MTC device 和 MTC server之间建立端到端安全通道的技术还可以釆用传输层的技术如 TLS ( transport layer security, 传输层安全协议 )等。

另外，上述 MTC server所表示的端角色也可以是 MTC应用程序（ MTC application ) , MTC server, MTC application统称为 MTC终端的应用对端。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

工业实用性

上述技术方案引入 AAA服务器参与安全通道的建立，同时通过在 MTC 终端和 MTC终端应用对端之间建立端到端安全通道，保证了 MTC终端和 MTC终端应用对端之间通信的安全。因此本发明具有很强的工业实用性。

Claims

权利要求书

1、一种建立安全通道的方法，用于在机器类通信（MTC )终端与所述 MTC终端的应用对端之间建立安全通道，该方法包括：

当所述应用对端需要与所属于该应用对端的所述 MTC终端通信时，所述应用对端发起触发消息 ,通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道，所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道。

2、如权利要求 1所述的方法，其中： MTC终端注册到 PLMN网络的过程中，生成与所述 MTC终端的应用对端建立安全通道所需的共享密钥信息的步骤包括：

3、如权利要求 2所述的方法，该方法还包括：

4、如权利要求 3所述的方法，其中：所述应用对端发起触发消息，通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道的步骤包括：所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识和所述共享密钥信息，通过所述 AAA服务器、所述 HLR/HSS向所述 MTC终端的移动管理实体发送触发消息；所述移动管理实体接收到所述触发消息后，寻呼所述 MTC终端；所述 MTC终端根据寻呼建立到所述移动管理实体的信令连接，获取所述应用对端的信息，基于所述应用对端的信息，发起建立到所述应用对端的 IP通道。

5、如权利要求 4所述的方法，其中：所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道的步骤包括：

所述 MTC终端和所述应用对端基于所述共享密钥信息进行相互认证，建立安全关联，完成所述 MTC终端到所述应用对端的端到端的安全通道的建立。

6、如权利要求 3所述的方法，其中：所述应用对端发起触发消息，通过所述触发消息触发建立所述 MTC终端到所述应用对端的 IP通道的步骤包括：所述应用对端查询所述 AAA服务器获得所述 MTC终端的标识、所述共所述应用对端建立到所述网关的安全通道，向所述网关发送触发消息，触发所述网关发起建立所述应用对端到所述 MTC终端的 IP通道。

7、如权利要求 6所述的方法，其中：所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，形成所述 MTC终端到所述应用对端的端到端的安全通道的步骤包括：

所述 MTC终端和所述应用对端基于所述共享密钥信息建立安全关联，完成所述 MTC终端到所述应用对端的端到端的安全通道的建立。

8、一种建立安全通道的方法，用于在机器类通信（MTC )终端与所述 MTC终端的应用对端之间建立安全通道，该方法包括：

9、如权利要求 8所述的方法，其中： MTC终端注册到 PLMN网络的过程中，生成与所述 MTC终端的应用对端建立安全通道所需的共享密钥信息的步骤包括：

10、如权利要求 9所述的方法，该方法还包括：

所述 HLR/HSS生成为 MTC终端和 MTC终端的应用对端建立安全通道所需的共享密钥信息后，所述 HLR/HSS定位所述 MTC终端的认证授权计费 ( AAA )服务器，并将生成的所述共享密钥信息通过安全通道发送给所述 AAA服务器。

11、如权利要求 10所述的方法，其中：所述应用对端通过核心网网元发起触发的步骤包括：

12、如权利要求 10所述的方法，其中：所述应用对端通过核心网网元发起触发的步骤包括：

13、如权利要求 11或 12所述的方法，其中：

所述触发消息中还包括所述应用对端的认证信息；

14、一种建立安全通道的机器类通信（MTC )终端，用于在所述 MTC 终端与所述 MTC终端的应用对端之间建立安全通道，所述 MTC终端包括密钥生成模块和安全通道建立模块，其中：

所述密钥生成模块设置成：在所述 MTC终端注册到公共陆地移动网络

( PLMN ) 的过程中，生成与所述应用对端建立安全通道所需的共享密钥信息；

所述安全通道建立模块设置成：根据所述应用对端发起的触发消息建立所述 MTC终端到所述应用对端的 IP通道，以及基于所述共享密钥信息建立安全关联。

15、如权利要求 14所述的 MTC终端，其中：所述安全通道建立模块设置成釆用以下方式根据所述应用对端发起的触发消息建立所述 MTC终端到所述应用对端的 IP通道：

16、如权利要求 14或 15所述的 MTC终端，其中：

所述安全通道建立模块还设置成：在建立安全关联之前基于所述共享密钥信息对所述应用对端进行认证。

17、一种建立安全通道的系统，用于在机器类通信（MTC )终端与所述 MTC终端的应用对端之间建立安全通道，该系统包括如权利要求 14-16中任一项所述的 MTC终端，以及所述 MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

18、如权利要求 17所述的系统，该系统还包括归属位置寄存器或归属用户服务器（HLR/HSS ) , 所述 HLR/HSS包括密钥生成模块、定位模块和发送模块，其中：

19、如权利要求 18所述的系统，其中：所述应用对端还包括第一查询模块，其中：

所述触发模块设置成釆用以下方式发起触发消息：通过 AAA服务器、所述 HLR/HSS向所述 MTC终端的移动管理实体发送触发消息，使所述移动管理实体寻呼所述 MTC终端。

20、如权利要求 19所述的系统，其中：

所述安全通道模块还设置成：在建立安全关联之前，基于所述共享密钥信息对所述 MTC终端进行认证。

21、如权利要求 18所述的系统，其中，所述应用对端还包括第二查询模块，其中：

22、一种建立安全通道的机器类通信（MTC )终端，用于在所述 MTC 终端与 MTC终端的应用对端之间建立安全通道，所述 MTC终端包括密钥生成模块、 IP通道建立模块和安全关联建立模块，其中：

23、如权利要求 22所述的 MTC终端，其中：所述触发模块设置成釆用以下方式根据所述触发消息发起建立所述 MTC终端到所述应用对端的 IP通道：

24、如权利要求 22或 23所述的 MTC终端，其中：所述安全关联建立模块还设置成：在建立 IP通道之前，根据所述应用对端的认证信息对所述应用对端进行认证。

25、一种建立安全通道的系统，用于在机器类通信（MTC )终端与 MTC 终端的应用对端之间建立安全通道，所述系统包括如权利要求 22-24 中任一项所述的 MTC终端，以及所述 MTC终端的应用对端，所述应用对端包括触发模块和安全通道模块，其中：

所述触发模块设置成：当所述应用对端需要与所属于本应用对端的所述 MTC终端通信时，通过核心网网元发起触发，建立所述应用对端到所述 MTC 终端的 IP通道；

26、如权利要求 25所述的系统，该系统还包括归属位置寄存器或归属用户服务器（HLR/HSS ) , 所述 HLR/HSS包括密钥生成模块、定位模块和发送模块，其中：

27、如权利要求 26所述的系统，其中：所述应用对端还包括第一查询模块，其中：

所述触发模块设置成釆用以下方式通过核心网网元发起触发：向所述 AAA服务器发起触发，由所述 AAA服务器通过所述 HLR/HSS向所述 MTC 终端的移动管理实体发送包含安全关联信息的触发消息，使所述移动管理实体寻呼所述 MTC终端，所述安全关联信息包括根据共享密钥信息生成的建立安全关联所需的信息。

28、如权利要求 26所述的系统，其中：所述应用对端还包括第二查询模块，其中：