WO2014075561A1

WO2014075561A1 - 一种基于sip的mtc设备间安全通信方法、装置及系统

Info

Publication number: WO2014075561A1
Application number: PCT/CN2013/086373
Authority: WO
Inventors: 余万涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-11-15
Filing date: 2013-10-31
Publication date: 2014-05-22
Also published as: US9509778B2; CN103813309B; EP2911432A1; EP2911432A4; US20150264140A1; CN103813309A; EP2911432B1

Abstract

本发明公开了一种基于会话初始协议（SIP）的机器类通信（MTC）设备间安全通信方法，包括：SIP服务器通过通用引导架构（GBA）方式或通用引导架构推送（GBA-push）方式分别建立与源MTC设备和目标MTC设备之间的安全连接；SIP服务器生成应用层会话密钥；通过SIP服务器与源MTC设备之间的安全连接，将应用层会话密钥发送给源MTC设备；通过SIP服务器与目标MTC设备之间的安全连接，将应用层会话密钥发送给目标MTC设备。本发明还公开了一种基于SIP的MTC设备间安全通信系统和装置。通过本发明能实现基于SIP协议在MTC设备间建立安全连接。

Description

一种基于 SIP的 MTC设备间安全通信方法、装置及系统技术领域

本发明涉及无线通信技术领域，特别是指一种基于 SIP的 MTC设备间安全通信方法、装置及系统。背景技术

机器类通信 ( Machine Type Communication, 简称为 MTC )是指应用无线通信技术实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。 MTC包括两层含义：一是指机器本身，在嵌入式领域称为智能设备；一是指机器和机器之间的连接，通过网络把机器连接在一起。 MTC的应用范围非常广泛，例如智能测量、远程监控、跟踪、医疗等，使人类生活更加智能化。与传统的人与人之间的通信相比， MTC设备（ MTC Device )数量巨大，应用领域广泛，具有巨大的市场前景。

会话初始协议 ( Session Initiation Protocol, 简称为 SIP )是由互联网工程任务组（ Internet Engineering Task Force, 简称为 IETF ) 于 1999年提出的一个在基于 IP网络中、特别是在 Internet这样一种结构的网络环境中，实现实时通讯应用的一种信令协议。而所谓的会话（Session )就是指用户之间的数据交换。在基于 SIP协议的应用中，每一个会话可以是各种不同类型的内容，可以是普通的文本数据，也可以是经过数字化处理的音频、视频数据，还可以是诸如游戏等应用的数据，其应用具有巨大的灵活性。

SIP网络的组成包括： SIP用户代理（User Agent )和 SIP服务器。按逻辑功能区分， SIP网络系统由四种元素组成： SIP用户代理、 SIP代理服务器、重定向服务器以及 SIP注册服务器。

SIP用户代理：又称为 SIP终端，是 SIP 系统中的最终用户，在协议 RFC3261中将它们定义为一个应用。根据它们在会话中扮演的角色的不同，又可分为用户代理客户机（ User Agent Client, 简称为 UAC )和用户代理服务器（User Agent Server, 简称为 UAS ) 两种。其中，前者用于发起呼叫请求，后者用于响应呼叫请求。

SIP代理服务器（ SIP Proxy Server ): 是一个中间元素，它既是一个客户机又是一个服务器，具有解析名字的能力，能够代理用户向下一跳服务器发出呼叫请求，然后服务器决定下一跳的地址。

重定向服务器（Redirect Server ): 是一个规划 SIP呼叫路径的服务器，在获得了下一跳的地址后，立刻告诉用户，让其直接向下一跳地址发出请求而自己则退出对这个呼叫的控制。

SIP注册服务器（ SIP Register Server ):用来完成对 UAS的登录，在 SIP 系统的网元中，所有 UAS都要在某个登录服务器中登录，以便 UAC通过服务器找到它们。

SIP主要支持以下功能：

1、用户定位：确定通信所用的端系统的位置。

2、用户能力交换：确定所用的媒体类型和媒体参数。

3、用户可用性判定：确定被叫方是否空闲和是否愿意加入通信。

4、呼叫建立：邀请和提示被叫，在主被叫之间传递呼叫参数。

5、呼叫处理：包括呼叫终结和呼叫转交等。

在实际应用中， SIP协议可以用于 MTC系统中的会话建立过程。

在 MTC通信系统中， MTC设备可以通过 3GPP网络与其他 MTC服务器或 MTC设备进行通信。基于安全考虑，当 MTC设备通过 3GPP网络进行通信时，需要在 MTC设备与 MTC服务器之间或在 MTC设备与 MTC设备之间建立安全连接。 MTC设备与 MTC服务器或其他 MTC设备之间的安全连接属于应用层的功能。针对 MTC设备与 MTC服务器之间的通信，可以通过通用弓 I导架构（ General Bootstrapping Architecture，简称为 GBA )或通用引导架构推送（ GBA-push )的方式在通信的 MTC设备与 MTC服务器之间建立应用层会话密钥。从而在 MTC设备与 MTC服务器之间建立安全连接，实现 MTC设备与 MTC服务器之间的安全信息交互。 MTC设备间通信可以是直接应用层的数据通信，如下图 1所示； MTC设备间通信也可以是通过 MTC服务器进行的间接应用层的数据通信，如图 2所示。

针对 MTC设备与 MTC设备之间通信的场景，在会话建立过程中，无法直接通过 GBA或 GBA-push的方式建立 MTC设备间应用层会话密钥，因为通信的双方都是 MTC设备，因此 MTC设备与 MTC设备通信时，无法通过 GBA或 GBA-push的方式建立安全连接。 SIP协议可以用于 MTC设备间会话建立过程，但是 SIP仅仅用于 MTC设备间的会话建立，此种情况下，由于会话建立过程中不存在应用层会话密钥建立，因此通过 SIP 建立的 MTC设备间的会话连接无法保证安全通信。那么，如何在 MTC设备间的会话建立过程中同时建立 MTC设备间的应用层会话密钥，从而在通信的 MTC设备间建立安全会话连接是需要解决的问题。发明内容

有鉴于此，本发明实施例的主要目的在于提供一种基于 SIP的 MTC设备间安全通信方法、装置及系统，以解决通过 SIP建立的 MTC设备间的会话连接无法保证安全通信的问题。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种基于会话初始协议（SIP ) 的机器类通信 ( MTC )设备间安全通信方法，该方法包括：

通过通用引导架构（GBA )方式或通用引导架构推送（GBA-push )方式分别建立 SIP服务器与源 MTC设备、以及 SIP服务器与目标 MTC设备之间的安全连接；

SIP服务器生成应用层会话密钥；通过所述 SIP服务器与源 MTC设备之间的安全连接，将所述应用层会话密钥发送给源 MTC设备；通过 SIP服务器与目标 MTC设备之间的安全连接，将所述应用层会话密钥发送给目标 MTC设备。

通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备向 SIP服务器发送会话请求消息；

SIP服务器接收会话请求消息后，通过 GBA方式或 GBA-push方式在 SIP服务器与源 MTC设备之间建立安全连接；

SIP服务器根据会话请求消息查询目标 MTC设备的地址，并通过 GBA 方式或 GBA-push方式在 SIP服务器与目标 MTC设备之间建立安全连接。

源 MTC设备通过 GBA方式与 SIP服务器建立安全连接；

通过源 MTC设备与 SIP服务器之间的安全连接，源 MTC设备向 SIP 服务器发送会话请求消息；

所述在 SIP服务器与目标 MTC设备之间建立安全连接之后，该方法还包括：

SIP服务器通过与目标 MTC设备之间的安全连接将会话请求消息转发给目标 MTC设备；

目标 MTC设备通过与 SIP服务器之间的安全连接向 SIP服务器发送会话响应消息。

SIP服务器通过与目标 MTC设备之间的安全连接接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器根据自身存储的密钥生成算法生成应用层会话密钥。通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备向 SIP服务器发送会话请求消息；

SIP服务器接收会话请求消息后，通过 GBA方式或 GBA-push方式在 SIP服务器与源 MTC设备间建立安全连接；

SIP服务器接收会话请求消息，根据会话请求消息查询目标 MTC设备的地址，并将会话请求消息转发给目标 MTC设备；

目标 MTC设备向 SIP服务器发送会话响应消息；

SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器通过 GBA方式或 GBA-push方式建立与目标 MTC设备之间的安全连接。

源 MTC设备通过 GBA方式与 SIP服务器建立安全连接；

目标 MTC设备向 SIP服务器发送会话响应消息；

所述 SIP服务器生成应用层会话密钥，包括：

在所述与目标 MTC设备之间的安全连接建立后， SIP服务器根据自身存储的密钥生成算法生成应用层会话密钥。

源 MTC设备向 SIP服务器发送会话请求消息；

目标 MTC设备向 SIP服务器发送会话响应消息；

SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器通过 GBA方式或 GBA-push方式分别建立与源 MTC设备和目标 MTC设备之间的安全连接。

所述 SIP服务器生成应用层会话密钥，包括：

在所述与源 MTC设备和目标 MTC设备之间的安全连接建立后， SIP 服务器根据自身存储的密钥生成算法生成应用层会话密钥。

将所述应用层会话密钥分别发送给源 MTC设备和目标 MTC设备之后，该方法还包括：源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备。

本发明实施例还提供了一种基于 SIP的 MTC设备间安全通信系统，该系统包括： SIP服务器、源 MTC设备和目标 MTC设备；其中：

所述 SIP服务器，配置为通过 GBA方式或 GBA-push方式分别建立与源 MTC设备和目标 MTC设备之间的安全连接；还配置为生成应用层会话密钥，通过与源 MTC设备之间的安全连接将所述应用层会话密钥发送给源 MTC设备；通过与目标 MTC设备之间的安全连接将所述应用层会话密钥发送给目标 MTC设备。

所述源 MTC设备，配置为发送会话请求消息；

所述目标 MTC设备，配置为反馈会话响应消息；

所述 SIP服务器，还配置为转发所述会话请求消息给目标 MTC设备，以及转发所述会话响应消息给源 MTC设备。所述 SIP服务器，还配置为在接收到会话响应消息后，根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。

本发明还实施例提供了一种基于 SIP的 MTC设备间安全通信装置，该装置包括：安全连接建立模块和会话密钥生成模块，其中：

所述安全连接建立模块，配置为通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备之间、以及 SIP服务器与目标 MTC设备之间的安全连接；

所述会话密钥生成模块，配置为生成应用层会话密钥，并通过所述 SIP 服务器与源 MTC 设备之间的安全连接将所述应用层会话密钥发送给源 MTC设备；通过所述 SIP服务器与目标 MTC设备之间的安全连接将所述应用层会话密钥发送给目标 MTC设备。

该装置还包括：判断模块，配置为将源 MTC设备发送的会话请求消息转发给目标 MTC设备，以及将目标 MTC设备反馈的会话响应消息转发给源 MTC设备；还配置为根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。

本发明实施例提供的基于 SIP的 MTC设备间安全通信方法、系统和装置：通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备和 SIP服务器与目标 MTC设备之间的安全连接； SIP服务器生成应用层会话密钥，并通过与源 MTC设备和目标 MTC设备之间的安全连接将应用层会话密钥分别发送给源 MTC设备和目标 MTC设备。在上述方案中，通过 SIP建立会话连接实现 MTC设备间的通信，在建立会话连接的过程中，生成源 MTC设备和目标 MTC设备间的应用层会话密钥，从而在通信的 MTC 设备间建立安全会话连接，解决了 MTC设备间通信的安全性问题。附图说明

图 1为 MTC设备间直接通信的示意图；图 2为 MTC设备间通过 MTC服务器进行通信的示意图；图 3为本发明实施例提供的基于 SIP的 MTC设备间安全通信方法；图 4为本发明实施例一提供的基于 SIP的 MTC设备间安全通信的实现流程；

图 5为本发明实施例二提供的基于 SIP的 MTC设备间安全通信的实现流程；

图 6为本发明实施例三提供的基于 SIP的 MTC设备间安全通信的实现流程；

图 7为本发明实施例四提供的基于 SIP的 MTC设备间安全通信的实现流程；

图 8为本发明实施例五提供的基于 SIP的 MTC设备间安全通信的实现流程；

图 9为本发明实施例提供的基于 SIP的 MTC设备间安全通信系统示意图；

图 10为本发明实施例提供的基于 SIP的 MTC设备间安全通信装置示意图。具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。本发明实施例关于 MTC设备间安全通信的方案：在基于 SIP的 MTC 设备间的会话建立过程中，通过 GBA方式或 GBA-push方式分别建立 SIP 服务器与源 MTC设备之间的安全连接和 SIP服务器与目标 MTC设备之间的安全连接，并将 SIP服务器生成的应用层会话密钥分别发送给源 MTC设备和目标 MTC设备，完成 MTC设备间安全会话连接的建立。

本发明实施例中， MTC设备是指移动通信网络中用于机器到机器通信的设备，移动通信用户身份识别卡（UICC )安装在 MTC设备上，用户身份识别模块（如客户识别模块（ Subscriber Identity Module，简称为 SIM )、 USIM及 ISIM等）位于 UICC上。

如图 3所示，本发明实施例提供的基于 SIP的 MTC设备间安全通信方法流程包括：

步骤 301，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源

MTC设备之间的安全连接和 SIP服务器与目标 MTC设备之间的安全连接。

步骤 302， SIP服务器生成应用层会话密钥，并通过 SIP服务器与源 MTC设备之间的安全连接和 SIP服务器与目标 MTC设备之间的安全连接分别将应用层会话密钥发送给源 MTC设备和目标 MTC设备。

下面通过具体的实施例来说明上述技术方案。

如图 4所示是本发明实施例一提供的基于 SIP的 MTC设备间安全通信的流程，包括以下步骤：

步骤 S401，源 MTC设备向目标 MTC设备发送会话请求消息（ INVITE )，该会话请求消息首先发送到 SIP服务器。

步骤 S402， SIP服务器接收会话请求消息后，通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与源 MTC设备之间建立安全连接。

步骤 S403， SIP服务器根据会话请求消息查询目标 MTC设备的地址。步骤 S404， SIP服务器通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与目标 MTC设备间建立安全连接。

步骤 S405， SIP服务器通过与目标 MTC设备之间的安全连接将会话请求消息转发给目标 MTC设备。

步骤 S406，目标 MTC设备向源 MTC设备发送会话响应消息，该会话响应消息首先通过目标 MTC设备与 SIP服务器之间的安全连接发送到 SIP 服务器。

步骤 S407， SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。如果是，执行步骤 S408; 否则， SIP服务器直接将会话响应消息转发到源 MTC设备，流程结束。步骤 S408， SIP服务器根据自身存储的密钥生成算法生成一个应用层会话密钥。

步骤 S409， SIP服务器通过与源 MTC设备之间的安全连接将应用层会话密钥和会话响应消息发送给源 MTC设备。

步骤 S410， SIP服务器通过与目标 MTC设备之间的安全连接将应用层会话密钥发送给目标 MTC设备。

步骤 S411，源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备，如此，源 MTC设备和目标 MTC设备之间的安全会话连接建立完成。

步骤 S412，源 MTC设备和目标 MTC设备基于安全的会话连接开始交互数据，进行安全会话。

如图 5所示是本发明实施例二提供的基于 SIP的 MTC设备间安全通信的流程，包括以下步骤：

步骤 S501，源 MTC设备通过 GBA方式与 SIP服务器建立安全连接。步骤 S502，源 MTC设备向目标 MTC设备发送会话请求消息（ INVITE )，该会话请求消息首先通过源 MTC设备与 SIP服务器之间的安全连接发送到 SIP服务器。

步骤 S503， SIP服务器根据会话请求消息查询目标 MTC设备的地址。步骤 S504， SIP服务器通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与目标 MTC设备之间建立安全连接。

步骤 S505， SIP服务器通过与目标 MTC设备之间的安全连接将会话请求消息转发给目标 MTC设备。

步骤 S506，目标 MTC设备向源 MTC设备发送会话响应消息，该会话响应消息首先通过目标 MTC设备与 SIP服务器之间的安全连接发送到 SIP 服务器。步骤 S507， SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。如果是，执行步骤 S508; 否则， SIP服务器直接将会话响应转发到源 MTC设备，流程结束。

步骤 S508， SIP服务器根据自身存储的密钥生成算法生成一个应用层会话密钥。

步骤 S509， SIP服务器通过与源 MTC设备之间的安全连接将应用层会话密钥和会话响应消息发送给源 MTC设备。

步骤 S510， SIP服务器通过与目标 MTC设备之间的安全连接将应用层会话密钥发送给目标 MTC设备。

步骤 S511，源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备，如此，源 MTC设备和目标 MTC设备之间的安全会话连接建立完成。

步骤 S512，源 MTC设备和目标 MTC设备基于安全的会话连接开始交互数据，进行安全会话。

如图 6所示是本发明实施例三提供的基于 SIP的 MTC设备间安全通信的流程，包括以下步骤：

步骤 S601，源 MTC设备向目标 MTC设备发送会话请求消息（ INVITE )，该会话请求消息首先发送到 SIP服务器。

步骤 S602， SIP服务器接收会话请求消息后，通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与源 MTC设备之间建立安全连接。

步骤 S603， SIP服务器根据会话请求消息查询目标 MTC设备的地址。步骤 S604， SIP服务器将会话请求消息转发给目标 MTC设备。

步骤 S605，目标 MTC设备向源 MTC设备发送会话响应消息，该会话响应消息首先发送到 SIP服务器。

步骤 S606， SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。如果是，执行步骤 S607; 否则， SIP服务器直接将会话响应转发到源 MTC设备，流程结束。

步骤 S607， SIP服务器通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与目标 MTC设备之间建立安全连接。

步骤 S608， SIP服务器根据自身存储的密钥生成算法生成一个应用层会话密钥。

步骤 S609， SIP服务器通过与源 MTC设备之间的安全连接将应用层会话密钥和会话响应消息发送给源 MTC设备。

步骤 S610， SIP服务器通过与目标 MTC设备之间的安全连接将应用层会话密钥发送给目标 MTC设备。

步骤 S611，源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备，如此，源 MTC设备和目标 MTC设备之间安全的会话连接建立完成。

步骤 S612，源 MTC设备和目标 MTC设备基于安全的会话连接开始交互数据，进行安全会话。

如图 7所示是本发明实施例四提供的基于 SIP的 MTC设备间安全通信的流程，包括以下步骤：

步骤 S701，源 MTC设备通过 GBA方式与 SIP服务器建立安全连接。步骤 S702，源 MTC设备向目标 MTC设备发送会话请求消息（ INVITE )，该会话请求消息首先通过源 MTC设备与 SIP服务器之间的安全连接发送到 SIP服务器。

步骤 S703， SIP服务器根据会话请求消息查询目标 MTC设备的地址。步骤 S704， SIP服务器将会话请求消息转发给目标 MTC设备。

步骤 S705，目标 MTC设备向源 MTC设备发送会话响应消息，该会话响应消息首先发送到 SIP服务器。

步骤 S706， SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。如果是，执行步骤 S707; 否则， SIP服务器直接将会话响应转发到源 MTC设备，流程结束。

步骤 S707， SIP服务器通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与目标 MTC设备之间建立安全连接。

步骤 S708， SIP服务器根据自身存储的密钥生成算法生成一个应用层会话密钥。

步骤 S709， SIP服务器通过与源 MTC设备之间的安全连接将应用层会话密钥和会话响应消息发送给源 MTC设备。

步骤 S710， SIP服务器通过与目标 MTC设备之间的安全连接将应用层会话密钥发送给目标 MTC设备。

步骤 S711，源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备，如此，源 MTC设备和目标 MTC设备之间安全的会话连接建立完成。

步骤 S712，源 MTC设备和目标 MTC设备基于安全的会话连接开始交互数据，进行安全会话。

如图 8所示是本发明实施例五提供的基于 SIP的 MTC设备间安全通信的流程，包括以下步骤：

步骤 S801，源 MTC设备向目标 MTC设备发送会话请求消息（ INVITE )，该会话请求消息首先发送到 SIP服务器。

步骤 S802， SIP服务器接收会话请求消息后，根据该消息查询目标 MTC 设备的地址。

步骤 S803， SIP服务器将会话请求消息转发给目标 MTC设备。

步骤 S804，目标 MTC设备向源 MTC设备发送会话响应消息，该会话响应消息首先发送到 SIP服务器。

步骤 S805， SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。如果是，执行步骤 S506; 否则， SIP服务器直接将会话响应转发到源 MTC设备，流程结束。步骤 S806， SIP服务器通过 GBA方式（也可以通过 GBA-push方式）在 SIP服务器与源 MTC设备之间建立安全连接。同时， SIP服务器还通过间建立安全连接。

步骤 S807， SIP服务器根据自身存储的密钥生成算法生成一个应用层会话密钥。

步骤 S808， SIP服务器通过与源 MTC设备之间的安全连接将应用层会话密钥和会话响应消息发送给源 MTC设备。

步骤 S809， SIP服务器通过与目标 MTC设备之间的安全连接将应用层会话密钥发送给目标 MTC设备。

步骤 S810，源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备，如此，源 MTC设备和目标 MTC设备之间安全的会话连接建立完成。

步骤 S811，源 MTC设备和目标 MTC设备基于安全的会话连接开始交互数据，进行安全会话。

通过上述的技术方案，可以实现 MTC设备间进行通信时，基于 SIP协议在 MTC设备间建立安全连接。

如图 9所示为本发明实施例提供的基于 SIP的 MTC设备间安全通信系统的示意图，该系统包括： SIP服务器 10、源 MTC设备 20和目标 MTC设备 30。其中：

SIP 务器 10，配置为通过 GBA方式或 GBA-push方式分别建立与源 MTC设备 20和目标 MTC设备 30之间的安全连接；还配置为生成应用层会话密钥，并通过与源 MTC设备 20之间的安全连接将应用层会话密钥发送给源 MTC设备 20; 通过与目标 MTC设备 30之间的安全连接将应用层会话密钥发送给目标 MTC设备 30。

源 MTC设备 20，配置为发送会话请求消息。目标 MTC设备 30，配置为反馈会话响应消息。

相应的， SIP服务器 10，还配置为转发会话请求消息给目标 MTC设备 30，以及转发会话响应消息给源 MTC设备 20。 SIP服务器 10，还配置为在接收到会话响应消息后，根据会话响应消息判断目标 MTC设备 30是否接受源 MTC设备 20的会话邀请。

本发明实施例中， SIP服务器 10可以是 SIP注册服务器，也可以是其他类型的 SIP服务器。

如图 10所示为本发明实施例提供的基于 SIP的 MTC设备间安全通信的装置结构框图，优选地，该装置应用于 SIP服务器 10，如图所示，该装置包括：判断模块 101、安全连接建立模块 102和会话密钥生成模块 103。其中：

判断模块 101，配置为将源 MTC设备 20发送的会话请求消息转发给目标 MTC设备 30，以及将目标 MTC设备 30反馈的会话响应消息转发给源 MTC设备 20; 还配置为根据会话响应消息判断目标 MTC设备 30是否接受源 MTC设备 20的会话邀请。

安全连接建立模块 102，配置为通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备 20之间、以及 SIP服务器与目标 MTC设备 30之间的安全连接；

会话密钥生成模块 103，配置为生成应用层会话密钥，并通过 SIP服务器与源 MTC设备 20之间的安全连接将所述应用层会话密钥发送给源 MTC 设备 20; 通过 SIP服务器与目标 MTC设备 30之间的安全连接将应用层会话密钥发送给目标 MTC设备 30。

另外，上述判断模块 101、安全连接建立模块 102和会话密钥生成模块 103均可由基于 SIP的 MTC设备间安全通信的装置中的中央处理器（CPU， Central Processing Unit ), 处理器（MPU， Micro Processing Unit )、数字信号处理器（DSP， Digital Signal Processor )或可编程逻辑阵列（FPGA， Field - Programmable Gate Array ) 实现。

本发明实施例中，通过 SIP建立会话连接实现 MTC设备间的通信，在建立会话连接的过程中，生成源 MTC设备和目标 MTC设备间的应用层会话密钥，从而在通信的 MTC设备间建立安全会话连接，解决了 MTC设备间通信的安全性问题。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

权利要求书

1、一种基于会话初始协议（SIP ) 的机器类通信（MTC )设备间安全通信方法，该方法包括：

通过通用引导架构（GBA ) 方式或通用引导架构推送（GBA-push ) 方式分别建立 SIP服务器与源 MTC设备、以及 SIP服务器与目标 MTC 设备之间的安全连接；

2、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备向 SIP服务器发送会话请求消息；

SIP服务器根据会话请求消息查询目标 MTC设备的地址，并通过 GBA方式或 GBA-push方式在 SIP服务器与目标 MTC设备之间建立安全连接。

3、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备通过 GBA方式与 SIP服务器建立安全连接；

通过源 MTC设备与 SIP服务器之间的安全连接，源 MTC设备向 SIP 服务器发送会话请求消息； SIP服务器根据会话请求消息查询目标 MTC设备的地址，并通过 GBA方式或 GBA-push方式在 SIP服务器与目标 MTC设备之间建立安全连接。

4、根据权利要求 2或 3所述基于 SIP的 MTC设备间安全通信方法，其中，所述在 SIP服务器与目标 MTC设备之间建立安全连接之后，该方法还包括：

5、根据权利要求 4所述基于 SIP的 MTC设备间安全通信方法，其中， SIP服务器通过与目标 MTC设备之间的安全连接接收会话响应消息，并根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器根据自身存储的密钥生成算法生成应用层会话密钥。

6、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备向 SIP服务器发送会话请求消息；

目标 MTC设备向 SIP服务器发送会话响应消息；

SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC 设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器通过 GBA 方式或 GBA-push方式建立与目标 MTC设备之间的安全连接。

7、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备通过 GBA方式与 SIP服务器建立安全连接；

目标 MTC设备向 SIP服务器发送会话响应消息；

8、根据权利要求 6或 7所述基于 SIP的 MTC设备间安全通信方法，其中，所述 SIP服务器生成应用层会话密钥，包括：

9、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，通过 GBA方式或 GBA-push方式分别建立 SIP服务器与源 MTC设备以及 SIP服务器与目标 MTC设备之间的安全连接，包括：

源 MTC设备向 SIP服务器发送会话请求消息；

目标 MTC设备向 SIP服务器发送会话响应消息；

SIP服务器接收会话响应消息，并根据会话响应消息判断目标 MTC 设备是否接受源 MTC设备的会话邀请，如果是， SIP服务器通过 GBA 方式或 GBA-push方式分别建立与源 MTC设备和目标 MTC设备之间的安全连接。

10、根据权利要求 9所述基于 SIP的 MTC设备间安全通信方法，其中，所述 SIP服务器生成应用层会话密钥，包括：

11、根据权利要求 1所述基于 SIP的 MTC设备间安全通信方法，其中，将所述应用层会话密钥分别发送给源 MTC设备和目标 MTC设备之后，该方法还包括：源 MTC设备通过应用层会话密钥加密会话确认信息，并直接发送给目标 MTC设备。

12、一种基于 SIP的 MTC设备间安全通信系统，该系统包括： SIP 服务器、源 MTC设备和目标 MTC设备；其中：

13、根据权利要求 12所述基于 SIP的 MTC设备间安全通信系统，其中，

所述源 MTC设备，配置为发送会话请求消息；

所述目标 MTC设备，配置为反馈会话响应消息；

所述 SIP服务器，还配置为转发所述会话请求消息给目标 MTC设备，以及转发所述会话响应消息给源 MTC设备。

14、根据权利要求 13所述基于 SIP的 MTC设备间安全通信系统，其中，所述 SIP服务器，还配置为在接收到会话响应消息后，根据会话响应消息判断目标 MTC设备是否接受源 MTC设备的会话邀请。

15、一种基于 SIP的 MTC设备间安全通信装置，该装置包括：安全连接建立模块和会话密钥生成模块，其中：

所述会话密钥生成模块，配置为生成应用层会话密钥，并通过所述 SIP服务器与源 MTC设备之间的安全连接将所述应用层会话密钥发送给源 MTC设备；通过所述 SIP服务器与目标 MTC设备之间的安全连接将所述应用层会话密钥发送给目标 MTC设备。

16、根据权利要求 15所述的基于 SIP的 MTC设备间安全通信装置，其中，该装置还包括：判断模块，配置为将源 MTC设备发送的会话请求消息转发给目标 MTC设备，以及将目标 MTC设备反馈的会话响应消息转发给源 MTC设备；还配置为根据会话响应消息判断目标 MTC设备是