WO2014161300A1

WO2014161300A1 - 一种用于机器类通信小数据传输的密钥建立方法和系统

Info

Publication number: WO2014161300A1
Application number: PCT/CN2013/086244
Authority: WO
Inventors: 余万涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-08-02
Filing date: 2013-10-30
Publication date: 2014-10-09
Also published as: CN104349311A

Abstract

本发明公开了一种用于机器类通信MTC小数据传输的密钥建立方法和系统，其中，所述方法包括：收到认证数据请求信息的归属用户服务器HSS，为发出附着请求信息的MTC设备指定一个进行小数据传输的MTC互通功能实体MTC-IWF；所述HSS生成MTC设备与MTC-IWF之间的共享密钥K_iwf ；所述HSS将MTC-IWF信息经由移动管理实体MME或通用分组无线业务服务支持节点SGSN发给MTC设备；所述HSS将MTC设备信息和生成的共享密钥K_iwf发送给指定的MTC-IWF；所述MTC-IWF存储收到的MTC设备信息和共享密钥K_iwf；所述MTC设备生成共享密钥K_iwf 。本发明针对MTC系统中部署多个MTC-IWF的情况，能够在MTC设备与MTC-IWF之间建立共享密钥。

Description

一种用于机器类通信小数据传输的密钥建立方法和系统技术领域

本发明涉及通信领域，尤其涉及一种用于机器类通信（Machine Type Communication, MTC ) 小数据传输的密钥建立方法及系统。背景技术

MTC是指应用无线通信技术，实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。 MTC包括两层含义：第一层是机器本身，在嵌入式领域称为智能设备；第二层意思是机器和机器之间的连接，通过网络把机器连接在一起。 MTC的应用范围非常广泛，例如智能测量、远程监控、跟踪、医疗等，使人类生活更加智能化。与传统的人与人之间的通信相比， MTC设备（ MTC Device )数量巨大，应用领域广泛。

在现有 MTC 系统中， MTC 设备通过第三代合作伙伴计划（3rd Generation Partnership Project, 3GPP ) 网络和 MTC互通功能实体 ( MTC InterWorking Function, MTC-IWF ), 与业务能力服务器（ Services Capability Server, SCS )，如 MTC服务器进行通信。

在移动通信系统中，引入 MTC设备后，由于 MTC设备数量众多，并且这些 MTC设备可能经常接收和发送小数据，从而导致移动通信系统资源使用效率降低。为了高效使用网络资源，通常通过信令在 MTC 设备与 MTC-IWF之间传输小数据。

目前，在 MTC 设备和 MTC-IWF 部署小数据传输（ Small Data Transmission, SDT )协议， MTC设备和 SCS之间的任何数据交换都需要经过 MTC-IWF。每一个 SDT协议数据单元都指明发送和接受方标识。 MTC 设备与移动管理实体（ Mobile Management Entity, MME )或通用分组无线业务（ General Packet Radio Service, GPRS )服务支持节点（ Serving GPRS Support Node, SGSN )之间小数据服务数据单元封装在一个通用的网络接入服务（Network Access Service, NAS )协议数据单元中传输，在 NAS协议数据单元中，协议类型需要设置成 SDT。 MME/SGSN与 MTC-IWF之间传输数据时，小数据封装在小数据传输转移协议数据单元（Small Data Transmission-Transfer-Protocol Data Unit， SDT-Transfer-PDU)中传输。

在上述方法中，要保证 MTC设备和 MTC-IWF之间的安全性，需要在 MTC设备与 MTC-IWF之间建立共享密钥。但是，目前在 MTC设备与 MTC-IWF之间建立共享密钥的技术方案仅适用于 MTC系统中仅部署一个 MTC-IWF的情况。对 MTC系统中部署多个 MTC-IWF的情况，还无法在 MTC设备与 MTC-IWF之间建立共享密钥。发明内容

有鉴于此，本发明实施例的主要目的在于提供一种用于 MTC小数据传输的密钥建立方法和系统，对 MTC系统中部署多个 MTC-IWF的情况，能够在 MTC设备与 MTC-IWF之间建立共享密钥。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种用于机器类通信 MTC 小数据传输的密钥建立方法，所述方法包括：

收到认证数据请求信息的归属用户服务器 HSS，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC互通功能实体 MTC-IWF; 所述 HSS生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf;

所述 HSS将 MTC-IWF信息经由移动管理实体 MME或通用分组无线业务服务支持节点 SGSN发给 MTC设备；

所述 HSS 将 MTC 设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF; 所述 MTC-IWF存储收到的 MTC设备信息和共享密钥 K_iwf; 所述 MTC设备生成共享密钥 K_iwf。

较佳地，在所述 HSS生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf 之后，所述方法还包括：

所述 HSS通过共享密钥 K_iwf生成下一级密钥；

相应的，在 MTC设备生成共享密钥 K_iwf之后，所述方法还包括：

MTC设备通过共享密钥 K_iwf生成下一级密钥。

较佳地，在 MTC设备生成共享密钥 K_iwf之后，所述方法还包括：

MTC设备经由 MME或 SGSN向 MTC-IWF发送安全关联请求信息；

MTC-IWF收到安全关联请求信息后，根据存储的共享密钥 K_iw † MTC 设备进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；

MTC-IWF向 MTC设备发送安全关联响应信息；

MTC设备根据存储的共享密钥 ^对 MTC-IWF进行认证，并通过所述共享密钥 K_iwf生成下一级密钥。

较佳地，所述下一级密钥包括加密密钥和完整性保护密钥。

较佳地，所述认证数据请求信息包括 MTC设备的身份信息和 MTC设备 MTC能力信息和发送 /接收小数据能力信息；

相应的，所述为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF为：

HSS根据所述 MTC设备 MTC能力信息、发送 /接收小数据能力信息以及自身存储的各 MTC-IWF的信息，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF。

本发明实施例提供了一种用于机器类通信 MTC 小数据传输的密钥建立系统，所述系统包括：归属用户服务器 HSS、 MTC设备和多个 MTC互通功能实体 MTC-IWF, 其中，所述 HSS，配置为在收到认证数据请求信息后，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF; 生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf;将 MTC-IWF信息经由移动管理实体 MME 或通用分组无线业务服务支持节点 SGSN发给 MTC设备；将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF;

所述 MTC-IWF, 配置为存储收到的 MTC设备信息和共享密钥 K_iwf; 所述 MTC设备，配置为生成共享密钥 K_iwf。

较佳地，所述 HSS，还配置为通过共享密钥 K_iwf生成下一级密钥；所述 MTC设备，还配置为通过共享密钥 K_iwf生成下一级密钥。

较佳地，所述 MTC设备，还配置为经由 MME或 SGSN向 MTC-IWF 发送安全关联请求信息；在收到 MTC-IWF发来的安全关联响应信息后，根据存储的共享密钥 K_iw † MTC-IWF进行认证，并通过所述共享密钥 K_iwf 生成下一级密钥；

所述 MTC-IWF, 还配置为在收到安全关联请求信息后，根据存储的共享密钥 K_iw †MTC设备进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；向 MTC设备发送安全关联响应信息。

较佳地，所述下一级密钥包括加密密钥和完整性保护密钥。

相应的，所述 HSS，配置为根据所述 MTC设备 MTC能力信息、发送 /接收小数据能力信息以及自身存储的各 MTC-IWF的信息，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF。

由上可知，本发明实施例的技术方案包括：收到认证数据请求信息的归属用户服务器 HSS，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC 互通功能实体 MTC-IWF; 所述 HSS 生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf; 所述 HSS将 MTC-IWF信息经由移动管理实体 MME或通用分组无线业务服务支持节点 SGSN发给 MTC设备；所述 HSS将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF; 所述 MTC-IWF存储收到的 MTC设备信息和共享密钥 K_iwf; 所述 MTC设备生成共享密钥 K_iwf。由此，针对 MTC系统中部署多个 MTC-IWF的情况，本发明实施例能够在 MTC设备与 MTC-IWF之间建立共享密钥。附图说明

图 1是本发明提供的一种用于 MTC小数据传输的密钥建立方法的实施例的流程示意图；

图 2是本发明提供的一种用于 MTC小数据传输的密钥建立方法的实施例一的流程示意图；

图 3是本发明提供的一种用于 MTC小数据传输的密钥建立方法的实施例二的流程示意图；

图 4是本发明提供的一种用于 MTC小数据传输的密钥建立方法的实施例三的流程示意图；

图 5是本发明提供的一种用于 MTC小数据传输的密钥建立系统的实施例的结构示意图；

图 6是本发明提供的一种用于 MTC小数据传输的密钥建立系统的另一实施例的结构示意图；

图 7是本发明提供的一种用于 MTC小数据传输的密钥建立系统的设备结构示意图。具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本发明提供的一种用于 MTC小数据传输的密钥建立方法的实施例，如图 1所示，所述方法包括：

步骤 101、收到认证数据请求信息的归属用户服务器（ Home Subscriber Server, HSS ), 为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF;

步骤 102、所述 HSS生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf; 步骤 103、所述 HSS将 MTC-IWF信息经由移动管理实体 MME或通用分组无线业务服务支持节点 SGSN发给 MTC设备；

步骤 104、所述 HSS将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF;

步骤 105、所述 MTC-IWF存储收到的 MTC设备信息和共享密钥 K_iwf; 步骤 106、所述 MTC设备生成共享密钥 K_iwf。

所述 HSS通过共享密钥 K_iwf生成下一级密钥；

MTC设备通过共享密钥 K_iwf生成下一级密钥。

MTC设备经由 MME或 SGSN向 MTC-IWF发送安全关联请求信息；

MTC-IWF向 MTC设备发送安全关联响应信息；

较佳地，所述下一级密钥包括加密密钥和完整性保护密钥。较佳地，所述认证数据请求信息包括 MTC设备的身份信息和 MTC设备 MTC能力信息和发送 /接收小数据能力信息；

实施例一

该实施例一中， MTC设备附着时与 MTC-IWF生成共享密钥 K_iwf，具体地，如图 2所示，包括以下步骤：

步骤 201， MTC设备向 MME发送附着请求信息；

这里，所述附着请求信息中包含 MTC设备的身份信息，如国际移动用户识别码 ( International Mobile Subscriber Identification Number, IMSI )、国际移动设备身份码 ( International Mobile Equipment Identity, IMEI )、或者其他可以用以标识 MTC设备的身份信息，还包含 MTC设备 MTC能力信息和发送 /接收 d、数据能力信息。

步骤 202， MME向 HSS发送认证数据请求信息；

这里，所述认证数据请求信息包括 MTC设备的身份信息，如 IMSI、 IMEI、或者其他可以用以标识 MTC设备的身份信息，还包含 MTC设备 MTC能力信息和发送 /接收小数据能力信息。

步骤 203， HSS根据 MTC设备的签约信息生成认证响应数据，同时为 MTC 设备指定一个进行小数据传输的 MTC-IWF, 并生成 MTC 设备与 MTC-IWF之间的共享密钥 K_iwf;

这里，所述共享密钥 K_iwf可以才艮据密钥生成算法生成，具体的，可以由接入安全管理实体（ Access Security Management Entity, ASME )根据密钥生成算法生成；

这里， HSS可以根据附着的 MTC设备 MTC能力信息、发送 /接收小数据能力信息以及自身存储的各 MTC-IWF的信息，为附着的 MTC设备确定进行小数据传输的 MTC-IWF。

步骤 204， HSS将 MTC-IWF信息与认证响应数据一起发送给 MME; 这里，所述 MTC-IWF信息可以是任何用以标识 MTC-IWF身份的信息。步骤 205， HSS将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF;

这里，所述 MTC设备信息可以是 MTC设备的身份信息，如 IMSI、 IMEI 或其他可以用以标识 MTC设备的身份信息。

步骤 206， MTC-IWF接收、保存共享密钥 K_iwf和 MTC设备信息，并对保存的共享密钥 ^和 MTC设备信息进行维护和管理。

步骤 207， MME与 MTC设备间进一步完成互认证。

步骤 208、 MME将 MTC-IWF信息发给 MTC设备。

步骤 209、 MTC设备存储所述 MTC-IWF信息，并对存储的 MTC-IWF 信息进行维护和管理。

步骤 210、 MTC设备根据密钥生成算法生成共享密钥 K_iwf并保存。当 MTC设备进行小数据传输时， MTC设备需要根据其上存储的 MTC 设备与 MTC-IWF 之间的关联信息，指明小数据需要发送到指定的 MTC-IWF以实现小数据的传输。当 MTC-IWF从小数据源，如 MTC服务器、网络服务器、其他网络实体或其他 MTC设备，收到小数据时， MTC-IWF 需要根据其上存储的 MTC设备与 MTC-IWF之间的关联信息，判断是否可以向 MTC设备转发小数据，如果可以向 MTC设备转发小数据，则将小数据转发到指定的 MTC设备，以实现小数据的传输；否则，该 MTC-IWF不进行小数据的转发，并可以进一步根据系统需要，向小数据源反馈小数据转发失败的信息。

实施例二

该实施例二中，根据系统需要或根据小数据传输安全保护需要， MTC 设备与 MTC-IWF在共享密钥 K_iwf基础上进一步生成小数据加密密钥和小数据完整性保护密钥，该过程可以在附着过程中完成，与实施例一相比，该实施例二的不同之处在于，共享密钥生成步骤中进一步包括了用于小数据传输安全保护的下一级密钥的生成方式，具体地，如图 3 所示，包括如下步骤：

步骤 301， MTC设备向 MME发送附着请求信息；

这里，所述附着请求信息中包含 MTC设备的身份信息，如 IMSI，还包含 MTC设备 MTC能力信息和发送 /接收小数据能力信息。

步骤 302， MME向 HSS发送认证数据请求信息。

步骤 303: HSS根据 MTC设备的签约信息生成认证响应数据，同时为 MTC 设备指定一个进行小数据传输的 MTC-IWF, 并生成 MTC 设备与 MTC-IWF之间的共享密钥 K_iwf，并通过共享密钥 K_iwf生成用于保护小数据安全传输的下一级密钥，如加密密钥和完整性保护密钥；

这里，所述共享密钥 K_iwf可以才艮据密钥生成算法生成，具体的，可以由 K_asme根据密钥生成算法生成。

步骤 304， HSS将 MTC-IWF信息与认证响应数据一起发送给 MME; 这里，所述 MTC-IWF信息可以是任何用以标识 MTC-IWF身份的信息。步骤 305， HSS将 MTC设备信息和生成的共享密钥 K_iwf、加密密钥和完整性保护密钥发送给指定的 MTC-IWF。

步骤 306， MTC-IWF接收、保存 MTC设备信息和生成的共享密钥 K_iwf、加密密钥和完整性保护密钥，并对保存的 MTC设备信息和生成的共享密钥 K_iwf、加密密钥和完整性保护密钥进行维护和管理。步骤 307， MME与 MTC设备间进一步完成互认证。

步骤 308、 MME将 MTC-IWF信息发给 MTC设备。

步骤 309、 MTC设备存储所述 MTC-IWF信息，并对存储的 MTC-IWF 信息进行维护和管理。

步骤 310、 MTC设备根据密钥生成算法生成共享密钥 K_iwf，并通过共享密钥 K_iwf生成用于保护小数据安全传输的下一级密钥，如加密密钥和完整性保护密钥，并保存所述共享密钥 K_iwf、加密密钥和完整性保护密钥。

实施例三

该实施例中， MTC设备附着时， MTC设备与 MTC-IWF生成共享密钥 K_iwf, 根据系统需要或根据小数据传输安全保护需要，在附着并生成共享密钥 ^后， MTC设备发起生成与 MTC-IWF之间的用于小数据传输安全保护的下一级密钥的生成过程，如图 4所示，该方法可以包括以下几个步骤：步骤 401，在生成共享密钥 K_iwf之后， MTC设备经由 MME向 MTC-IWF 发送安全关联请求信息；

这里，所述安全关联请求信息中可以包括安全算法信息、 MTC设备信息、及其他用于认证和密钥生成的信息；

具体的，所述安全关联请求信息可以通过 NAS信令进行发送。

步骤 402， MTC-IWF收到安全关联请求信息后，根据存储的共享密钥 ^对 MTC设备进行认证，并通过共享密钥 K_iwf生成用于保护小数据安全传输的下一级密钥，如加密密钥和完整性保护密钥。

步骤 403， MTC-IWF向 MTC设备发送安全关联响应信息；

这里，所述安全关联响应信息可以包括安全算法信息、 MTC-IWF信息、及其他用于认证和密钥生成的信息。

步骤 404， MTC设备根据存储的共享密钥 K_iwf对 MTC-IWF进行认证，并通过共享密钥 K_iwf生成用于保护小数据安全传输的下一级密钥，如加密密钥和完整性保护密钥。

步骤 405， MTC设备与 MTC-IWF之间通过生成的加密密钥和完整性保护密钥进行小数据安全传输。

在上述实施例一、二、三中，也可以使用 SGSN代替 MME。

对应于上述用于 MTC小数据传输的密钥建立方法，本发明提供的一种用于 MTC小数据传输的密钥建立系统的实施例，如图 5所示，所述系统包括： HSS 501、 MTC设备 502和多个 MTC-IWF503，其中，

所述 HSS 501 , 配置为在收到认证数据请求信息后，为发出附着请求信息的 MTC设备 502指定一个进行小数据传输的 MTC-IWF 503，建立并存储 MTC设备 502与 MTC-IWF 503之间的关联关系；生成 MTC设备 502 与 MTC-IWF503之间的共享密钥 K_iwf; 将 MTC-IWF信息经由移动管理实体 MME或通用分组无线业务服务支持节点 SGSN发给 MTC设备 502; 将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF 503;

所述 MTC-IWF 503，配置为存储收到的 MTC设备信息和共享密钥 K_iwf; 所述 MTC设备 502，配置为存储收到的 MTC-IWF信息和生成共享密钥 K_iwf。

较佳地，所述 HSS 501 , 还配置为通过共享密钥 K_iwf生成下一级密钥；所述 MTC设备 502，还配置为通过共享密钥 K_iwf生成下一级密钥。较佳地，所述 MTC 设备 502，还配置为经由 MME 或 SGSN 向

MTC-IWF503发送安全关联请求信息；在收到 MTC-IWF503发来的安全关联响应信息后，根据存储的共享密钥 K_iwf对 MTC-IWF503进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；

所述 MTC-IWF503 , 还配置为在收到安全关联请求信息后，根据存储的共享密钥 K_iw † MTC设备 502进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；向 MTC设备 502发送安全关联响应信息。较佳地，所述下一级密钥包括加密密钥和完整性保护密钥。较佳地，所述认证数据请求信息包括 MTC设备 502的身份信息和 MTC 设备 MTC能力信息和发送 /接收小数据能力信息；

相应的，所述 HSS 501，配置为根据所述 MTC设备 MTC能力信息、发送 /接收小数据能力信息以及自身存储的各 MTC-IWF503的信息，为发出附着请求信息的 MTC设备 502指定一个进行小数据传输的 MTC-IWF503 , 建立、存储并维护 MTC设备 502与 MTC-IWF503之间的关联关系。

在实际应用中，本发明提供的用于 MTC小数据传输的密钥建立系统的实施例，图如 6所示，包括： MTC设备 502，配置为存储 MTC-IWF信息和小数据传输共享密钥信息； MME504, 配置为 NAS信令过程； HSS501 , 配置为管理维护 MTC-IWF信息，也可以用于管理和维护 MTC设备信息，也可以用于建立、存储并维护 MTC设备 502与 MTC-IWF503之间的关联关系，为 MTC设备 502指定一个进行小数据传输的 MTC-IWF503 , 生成 MTC设备 502与 MTC-IWF503之间的共享密钥；各 MTC-IWF，本例中为 MTC-IWF 1503和 MTC-IWF2 503，用于存储 MTC设备信息和小数据传输共享密钥信息。

图 7是本发明实施例用于 MTC小数据传输的密钥建立系统的设备结构示意图，如图 7所示，该系统的设备可以包括： MTC设备 502、 MME504、 MTC-IWF503和 HSS501。

具体地，如图 7所示，所述系统的设备具体包括：

第一存储管理单元 5021，配置为存储管理 MTC设备信息和密钥信息；第二存储管理单元 5031，配置为存储管理 MTC-IWF信息和密钥信息；第三存储管理单元 5011，配置为存储管理 MTC-IWF信息和 MTC设备信息，存储管理 MTC-IWF与 MTC设备的关联信息；

分配单元 5012，配置为根据 MTC 设备附着信息分配指定关联的 MTC-IWF;

第一发送 /接收单元 5022、第二发送 /接收单元 5032、第三发送 /接收单元 5013，配置为信令信息、密钥信息、设备信息和小数据的发送和接收；判断单元 5033，配置为判断所述 MTC-IWF是否可以转发小数据信息；第一密钥协商单元 5023、第二密钥协商单元 5034，配置为协商共享密钥，如加密密钥和完整性密钥。

在实际应用中，上述各单元可以由其所属装置中的中央处理器（CPU, Central Processing Unit )、数字信号处理器（DSP， Digital Signal Processor ) 或可编程逻辑阵列（FPGA， Field - Programmable Gate Array ) 实现。

在上述实施例中，也可以使用 SGSN代替 MME。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种用于机器类通信 MTC小数据传输的密钥建立方法，所述方法包括：

收到认证数据请求信息的归属用户服务器 HSS，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC互通功能实体 MTC-IWF;

所述 HSS生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf;

所述 HSS 将 MTC 设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF;

所述 MTC-IWF存储收到的 MTC设备信息和共享密钥 K_iwf;

所述 MTC设备生成共享密钥 K_iwf。

2、根据权利要求 1所述的方法，其中，在所述 HSS生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf之后，所述方法还包括：

所述 HSS通过共享密钥 K_iwf生成下一级密钥；

MTC设备通过共享密钥 K_iwf生成下一级密钥。

3、根据权利要求 1所述的方法，其中，在 MTC设备生成共享密钥 K_iwf 之后，所述方法还包括：

MTC设备经由 MME或 SGSN向 MTC-IWF发送安全关联请求信息； MTC-IWF收到安全关联请求信息后，根据存储的共享密钥 K_iw † MTC 设备进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；

MTC-IWF向 MTC设备发送安全关联响应信息；

4、根据权利要求 2或 3所述的方法，其中，所述下一级密钥包括加密密钥和完整性保护密钥。

5、根据权利要求 1 所述的方法，其中，所述认证数据请求信息包括 MTC设备的身份信息和 MTC设备 MTC能力信息和发送 /接收小数据能力信息；

6、一种用于机器类通信 MTC小数据传输的密钥建立系统，所述系统包括：归属用户服务器 HSS、 MTC 设备和多个 MTC 互通功能实体 MTC-IWF, 其中，

所述 HSS，配置为在收到认证数据请求信息后，为发出附着请求信息的 MTC设备指定一个进行小数据传输的 MTC-IWF; 生成 MTC设备与 MTC-IWF之间的共享密钥 K_iwf;将 MTC-IWF信息经由移动管理实体 MME 或通用分组无线业务服务支持节点 SGSN发给 MTC设备；将 MTC设备信息和生成的共享密钥 K_iwf发送给指定的 MTC-IWF;

7、根据权利要求 6所述的系统，其中，

所述 HSS，还配置为通过共享密钥 K_iwf生成下一级密钥；

所述 MTC设备，还配置为通过共享密钥 K_iwf生成下一级密钥。

8、根据权利要求 6所述的系统，其中，所述 MTC设备，还配置为经由 MME或 SGSN向 MTC-IWF发送安全关联请求信息；在收到 MTC-IWF 发来的安全关联响应信息后，根据存储的共享密钥 K_iw † MTC-IWF进行认证，并通过所述共享密钥 K_iwf生成下一级密钥；

9、根据权利要求 7或 8所述的系统，其中，所述下一级密钥包括加密密钥和完整性保护密钥。

10、根据权利要求 6所述的系统，其中，所述认证数据请求信息包括 MTC设备的身份信息和 MTC设备 MTC能力信息和发送 /接收小数据能力信息；