WO2018072150A1

WO2018072150A1 - 一种机器类通信安全通信的方法、装置和系统

Info

Publication number: WO2018072150A1
Application number: PCT/CN2016/102590
Authority: WO
Inventors: 余万涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-10-19
Filing date: 2016-10-19
Publication date: 2018-04-26

Abstract

本文公开了一种机器类通信安全通信的方法，应用于网络侧节点，该方法包括：在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；将所述MTC分组密钥发送给参与所述MTC分组通信的设备；其中，发送所述请求消息的设备包括：MTC设备或MTC服务器；接收所述MTC分组密钥的设备包括：MTC设备和MTC服务器。

Description

一种机器类通信安全通信的方法、装置和系统

技术领域

本文涉及但不限于机器类通信技术领域，尤其涉及的是一种机器类通信安全通信的方法、装置和系统。

背景技术

机器类通信(machine type communication,简称为MTC)是指应用无线通信技术，实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。MTC包含两层含义：第一层是机器本身，在嵌入式领域称为智能设备；第二层意思是机器和机器之间的连接，通过网络把机器连接在一起。机器类通信的应用范围非常广泛，例如智能测量、远程监控等，使人类生活更加智能化。与传统的人与人之间的通信相比，MTC设备(MTC Device)数量巨大，应用领域广泛，具有巨大的市场前景。

在移动通信系统中，引入MTC设备后，由于MTC设备数量众多，为了降低网络负载，节省网络资源，需要对MTC设备以组的方式进行管理优化，这样，MTC设备就可以按组的方式进行控制、管理及计费等，从而适应运营商的需求。MTC设备可以依照所在相同区域，或是否具有相同MTC特征，或者是否属于相同的MTC用户进行分组。在MTC通信系统中，MTC设备组可以通过唯一的组标识进行标识。

在MTC系统中，MTC设备分组数量众多，且MTC设备分组处在动态变化之中，甚至一个MTC设备可能分属不同的MTC设备组，为了保证MTC分组中不同MTC设备之间，以及MTC设备与MTC服务器之间通信的安全性，需要设计一种MTC分组通信的安全通信的方法。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本文提供一种机器类通信安全通信的方法、装置和系统，能够保障机器类通信设备与服务器通信的安全性。

本发明实施例提供了一种机器类通信安全通信的方法，应用于网络侧节点，该方法包括：

在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；

根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

其中，发送所述请求消息的设备包括：MTC设备或MTC服务器；接收所述MTC分组密钥的设备包括：MTC设备和MTC服务器。

可选地，根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥，包括：

将所述根密钥作为种子密钥，将所述MTC分组的信息作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥；或者

将所述根密钥作为种子密钥，将所述MTC分组的信息以及用于保证密钥新颖性的动态参数作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥。

可选地，所述密钥生成算法包括第一密钥生成算法，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥，包括：使用所述第一密钥生成算法生成用于所述MTC通信的MTC分组加密密钥；或者

所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法，所述MTC分组密钥包括MTC分组加密密钥和MTC分组完整性保护密钥，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥，包括：使用所述第一密钥生成算法生成用于所述MTC分组通信的MTC分组加密密钥，使用所述第二密钥生成算法生成用于所述MTC分组通信的MTC分组完整性保护密钥。

可选地，将所述MTC分组密钥发送给参与所述MTC分组通信的设备，包括：

当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过通用认证机制GBA或GBA推送的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

当所述设备为MTC服务器时，将MTC分组密钥通过网络侧节点与MTC服务器之间的安全链路发送到所述MTC服务器上。

可选地，该方法还包括：

在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥。

可选地，所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。

可选地，当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

当所述设备为MTC服务器时，所述设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。

可选地，所述网络侧节点包括：基站eNB、移动管理实体MME、归属签约用户服务器HSS、服务GPRS支持节点SGSN、业务能力开放功能节点SCEF或MTC互通功能节点MTC-IWF。

可选地，所述动态参数包括：随机数或与所述MTC分组通信的时间相关的参数；

所述动态参数由所述网络侧节点生成，或者由发送所述请求消息的设备生成并发送给所述网络侧节点。

本发明实施例还提供了一种机器类通信安全通信的方法，应用于设备，该方法包括：

在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信。

可选地，该方法还包括：

在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息。

可选地，该方法还包括：

在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥。

可选地，所述设备包括：MTC设备或MTC服务器。

本发明实施例还提供了一种机器类通信安全通信的装置，应用于网络侧节点，包括：

根密钥管理模块，设置为管理和维护根密钥；

分组密钥管理模块，设置为在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

分组密钥分发模块，设置为将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

可选地，分组密钥管理模块，设置为采用以下方式根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥：将所述根密钥作为种子密钥，将所述MTC分组的信息作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥；或者将所述根密钥作为种子密钥，将所述MTC分组的信息以及用于保证密钥新颖性的动态参数作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥。

可选地，分组密钥管理模块，设置为在所述密钥生成算法包括第一密钥生成算法时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC通信的MTC分组加密密钥；或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法，且所述MTC分组密钥包括MTC分组加密密钥和MTC分组完整性保护密钥时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC分组通信的MTC分组加密密钥，使用所述第二密钥生成算法生成用于所述MTC分组通信的MTC分组完整性保护密钥。

可选地，分组密钥分发模块，设置为采用以下方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备：当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过通用认证机制GBA或GBA推送的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；当所述设备为MTC服务器时，将MTC分组密钥通过网络侧节点与MTC服务器之间的安全链路发送到所述MTC服务器上。

可选地，分组密钥管理模块，还设置为在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥。

本发明实施例提供了一种机器类通信安全通信的装置，应用于设备，包括：

请求模块，设置为在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

分组密钥管理模块，设置为在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信。

可选地，分组密钥管理模块，还设置为在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息。

可选地，分组密钥管理模块，还设置为在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥。

可选地，所述设备包括：MTC设备或MTC服务器。

本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述方法。

与相关技术相比，本发明实施例提供的一种机器类通信安全通信的方法、装置和系统，机器类通信MTC设备与服务器通信时，由网络侧节点利用根密钥和MTC分组的信息生成MTC分组密钥并进行分发，MTC设备与服务器使用所述MTC分组密钥建立安全通信连接，从而保障机器类通信设备与服务器通信的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例的一种机器类通信安全通信的方法的流程图(网络侧节点)。

图2为本发明实施例的一种机器类通信安全通信的方法的流程图(设备)。

图3为本发明实施例的一种机器类通信安全通信的装置的结构示意图(网络侧节点)。

图4为本发明实施例的一种机器类通信安全通信的装置的结构示意图(设备)。

图5为本发明实施例的一种机器类通信安全通信的系统的结构示意图。

图6-图9为本发明应用示例的机器类通信安全通信的方法的信息交互图。

本发明的实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图1所示，本发明实施例提供了一种机器类通信安全通信的方法，应用于网络侧节点，该方法包括：

S110，在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；

S120，根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

S130，将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

其中，发送所述请求消息的设备包括：MTC设备或MTC服务器；接收所述MTC分组密钥的设备包括：MTC设备和MTC服务器；

所述方法还可以包括下述特点：

其中，MTC分组包含若干MTC设备，并有统一的MTC分组标识；

其中，网络侧节点管理MTC分组。一个MTC分组标识对应一组MTC设备，具体的，可以用MTC分组标识对应一组MTC设备的身份信息。

其中，当所述设备是MTC设备时，设备的身份信息包括以下至少一种：MTC设备的IMEI(International Mobile Equipment Identity，国际移动设备标识)信息、MTC设备的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)信息、和MTC设备上的应用的身份信息；

其中，当所述设备是MTC服务器时，设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。

其中，所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息；

其中，所述网络侧节点包括：基站(比如eNB)、MME(Mobility Management Entity,移动管理实体)、HSS(Home Subscriber Server,归属签约用户服务器)、SGSN(Serving GPRS Support Node,服务GPRS支持节点)、SCEF(Service Capability Exposure Function，业务能力开放功能节点)或MTC-IWF (MTC interworking function，MTC互通功能节点)。

也即，网络侧节点可以是eNB，也可以是MME，也可以是HSS，也可以是MTC-IWF，也可以是SCEF，还可以是SGSN等其他可用的网络节点。

其中，根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥，包括：

根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥，包括：

其中，所述动态参数包括：随机数或与所述MTC分组通信的时间相关的参数。

其中，与所述MTC分组通信的时间相关的参数，比如：发起通信请求的即时时间。

其中，所述动态参数由所述网络侧节点生成，或者由发送所述请求消息的设备生成并发送给所述网络侧节点；

所述密钥生成算法包括第一密钥生成算法，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥，包括：使用所述第一密钥生成算法生成用于所述MTC通信的MTC分组加密密钥；或者

也即，网络侧节点管理并维护一个用于MTC通信的根密钥K_MTC。网络侧节点部署一个用于MTC分组通信的密钥生成算法，用于生成进行MTC分组通信的设备间的共享密钥。根密钥K_MTC作为MTC分组密钥生成算法的种子密钥，同时，在生成用于MTC分组通信的共享密钥时，MTC分组标识信息，设备的身份信息(如IMEI、IMSI，或者MTC设备上的应用的身份信息)等，可以作为密钥生成算法的分散参数。另外，针对每一次MTC通信，可以由一个随机数或者使用与时间相关的一个参数作为保证密钥新颖性的分散参数。

其中，将所述MTC分组密钥发送给参与所述MTC分组通信的设备，包括：

当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过GBA(General Bootstrapping Architecture，通用认证机制)或GBA-Push(GBA推送)的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

其中，所述方法还包括：

在接收到参与所述MTC分组通信的MTC设备反馈的通信结束信息后，删除所述MTC分组的分组密钥；

其中，所述方法还包括：

在接收到参与所述MTC分组通信的MTC服务器反馈的通信结束信息后，删除所述MTC分组的分组密钥。

也即，在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥；其中，所述设备包括：MTC设备和/或MTC服务器。

如图2所示，本发明实施例提供了一种安全通信的方法，应用于设备，该方法包括：

S210，在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

S220，在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信；

所述方法还可以包括下述特点：

所述设备包括：MTC设备或MTC服务器；

所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息；

其中，所述方法还包括：

在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息；

其中，所述方法还包括：

在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥；

其中，MTC设备与MTC服务器进行MTC分组通信。

如图3所示，本发明实施例提供了一种机器类通信安全通信的装置，应用于网络侧节点，包括：

根密钥管理模块301，设置为管理和维护根密钥；

分组密钥管理模块302，设置为在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

分组密钥分发模块303，设置为将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

所述装置还可以包括下述特点：

其中，分组密钥管理模块302，设置为采用以下方式根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥：将所述根密钥作为种子密钥，将所述MTC分组的信息作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥；或者将所述根密钥作为种子密钥，将所述MTC分组的信息以及用于保证密钥新颖性的动态参数作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥。

其中，分组密钥管理模块302，设置为在所述密钥生成算法包括第一密钥生成算法时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC通信的MTC分组加密密钥；或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法，且所述MTC分组密钥包括MTC分组加密密钥和MTC分组完整性保护密钥时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC分组通信的MTC分组加密密钥，使用所述第二密钥生成算法生成用于所述MTC分组通信的MTC分组完整性保护密钥。

其中，分组密钥分发模块303，设置为采用以下方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备：当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过通用认证机制GBA或GBA推送的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；当所述设备为MTC服务器时，将MTC分组密钥通过网络侧节点与MTC服务器之间的安全链路发送到所述MTC服务器上。

其中，分组密钥管理模块302，还设置为在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥。

其中，所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。

其中，当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

其中，所述网络侧节点包括：基站eNB、移动管理实体MME、归属签约用户服务器HSS、服务GPRS支持节点SGSN、业务能力开放功能节点SCEF或MTC互通功能节点MTC-IWF。

其中，所述动态参数包括：随机数或与所述MTC分组通信的时间相关的参数；

如图4所示，本发明实施例提供了一种机器类通信安全通信的装置，应用于设备，包括：

请求模块401，设置为在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

分组密钥管理模块402，设置为在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信。

所述装置还可以包括下述特点：

其中，分组密钥管理模块402，还设置为在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息。

其中，分组密钥管理模块，还设置为在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥。

其中，所述设备包括：MTC设备或MTC服务器。

如图5所示，本发明实施例提供了一种机器类通信安全通信的系统，包括：MTC设备、网络侧节点和MTC服务器。

MTC分组安全通信系统可以包括：包含一组MTC设备的MTC分组，MTC服务器，网络侧节点。在该系统中，网络侧节点可以是eNB，也可以是MME，也可以是HSS，也可以是MTC-IWF，也可以是SGSN，也可以是业务能力开放功能节点SCEF，或者其他可用的网络节点。在该系统中，网络侧节点用于保存管理MTC通信根密钥，并生成MTC分组密钥。

进行MTC分组通信时，可以通过基于MTC通信根密钥的MTC分组密钥生成过程和MTC分组密钥分发过程完成MTC设备与MTC服务器之间安全连接的建立过程。从而解决了MTC设备与MTC服务器的分组安全通信问题。

应用示例

如图6所示，当MTC分组内的MTC设备需要与MTC服务器进行MTC分组通信时，建立MTC分组安全通信过程的流程可以包括以下步骤：

步骤S101，MTC分组内的MTC设备向网络侧节点发送请求信息，该请求信息包括MTC分组的信息；

其中，MTC分组的信息，可以包括MTC分组标识信息，还可以包括发送方MTC设备的身份信息(可以是MTC设备身份信息IMEI等，也可以是MTC用户身份信息IMSI等，还可以是MTC设备上需要进行MTC通信的应用的身份信息等)；

其中，该请求信息还可以包括一个随机数；

步骤S102，网络侧节点接收到请求信息后，在该网络节点生成用于MTC通信的MTC分组密钥K_MTC-Group；

其中，生成MTC分组密钥K_MTC-Group具体是：将MTC分组标识信息和根密钥K_MTC，代入MTC分组密钥生成算法，如果需要还可以同时代入一个随机数，用以生成MTC分组密钥K_MTC-Group；

步骤S103，网络侧节点将生成的MTC分组密钥通过安全方法发送到参与所述MTC分组通信的MTC设备上；

具体的，MTC分组密钥可以通过移动通信系统接入层加密方法加密后发送到MTC设备上；也可以通过GBA或GBA-Push的方式发送到MTC设备上。

具体的，MTC分组密钥可以通过网络侧节点与MTC服务器之间的安全链路发送到MTC服务器上。

步骤S104，参与MTC分组通信的MTC设备和MTC服务器收到网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组安全通信。

步骤S105，MTC分组通信结束后MTC设备向网络侧节点反馈通信结束的信息。

步骤S106，MTC设备、网络侧节点和MTC服务器删除MTC分组密钥信息。

如图7所示，当MTC服务器想与MTC分组内的MTC设备进行MTC分组通信时，MTC服务器与MTC分组之间建立MTC分组安全通信过程的流程可以包括以下步骤：

步骤S201，MTC服务器向网络侧节点发送请求信息，该请求信息包括MTC分组的信息；

其中，所述MTC分组的信息包括MTC分组标识信息，还可以包括MTC服务器的身份信息和应用的身份信息；

其中，该请求信息还可以包括一个随机数。

步骤S202，网络侧节点接收到请求信息后，在该网络节点生成用于MTC通信的MTC分组密钥K_MTC-Group；

步骤S203，网络侧节点将生成的MTC分组密钥通过安全方法发送到参与所述MTC分组通信的MTC设备和MTC服务器；

其中，MTC分组密钥发送至MTC分组中的所有MTC设备以及所述MTC服务器上；

具体的，MTC分组密钥可以通过移动通信系统接入层加密方法加密后发送到MTC设备上；也可以通过GBA或GBA-Push的方式发送到MTC设备上；

步骤S204，MTC分组中的MTC设备，以及MTC服务器，收到网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC服务器与MTC设备的安全通信。

步骤S205，MTC分组通信结束后，MTC服务器向网络侧节点反馈通信结束的信息。

步骤S206，MTC分组内的MTC设备、网络侧节点和MTC服务器删除MTC分组密钥信息。

如图8所示，当MTC分组内的MTC终端设备想与MTC服务器进行MTC分组通信时，建立MTC分组安全通信过程的流程还可以包括以下步骤：

步骤S301，MTC分组内的MTC设备向网络侧节点发送请求信息，该请求信息包括MTC分组的信息；

其中，该请求信息还可以包括一个随机数；

步骤S302，网络侧节点接收到请求信息后，在该网络节点生成用于MTC通信的MTC分组密钥：MTC分组加密密钥和MTC分组完整性保护密钥。

具体是：将MTC分组标识信息和根密钥K_MTC，代入MTC分组密钥生成算法，如果需要还可以同时代入一个随机数，生成MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I；

步骤S303，网络侧节点将生成的MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I通过安全方法发送到所述参与所述MTC分组通信的MTC设备和MTC服务器上；

具体的，MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I可以通过移动通信系统接入层加密方法加密后发送到MTC设备上；也可以通过GBA或GBA-Push的方式发送到MTC设备上；

步骤S304，MTC服务器和MTC分组中的MTC设备收到网络侧节点发送的MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I后，将所述MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I用于MTC分组的安全通信；

步骤S305，MTC分组通信结束后，MTC分组内的MTC设备向网络侧节点反馈通信结束的信息。

步骤S306，MTC分组内的MTC设备、网络侧节点和MTC服务器删除MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I。

如图9所示，当MTC服务器想与MTC分组内的MTC设备进行MTC 分组通信时，建立MTC分组安全通信过程的流程还可以包括以下步骤：

步骤S401，MTC服务器向网络侧节点发送请求信息，该请求信息包括MTC分组的信息；

其中，该请求信息还可以包括一个随机数；

步骤S402，网络侧节点接收到请求信息后，在该网络节点生成用于MTC通信的MTC分组密钥：MTC分组加密密钥和MTC分组完整性保护密钥。

步骤S403，网络侧节点将生成的MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I通过安全方法发送到参与所述MTC分组通信应的MTC设备和MTC服务器上；

其中，MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I可以发送至MTC分组中的所有MTC设备上；

步骤S404，MTC分组中的MTC设备以及MTC服务器，收到网络侧节点发送的MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I后，将所述MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I用于MTC分组与MTC服务器之间的安全通信。

步骤S405，MTC分组通信结束后，MTC服务器向网络侧节点反馈通信结束的信息。

步骤S406，MTC分组中的MTC设备、网络侧节点和MTC服务器都删除MTC分组加密密钥K_MTC-Group-C和MTC分组完整性保护密钥K_MTC-Group-I信息。

此外，本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述方法。

上述实施例提供的一种机器类通信安全通信的方法、装置和系统，机器类通信MTC设备与服务器通信时，由网络侧节点利用根密钥和MTC分组的信息生成MTC分组密钥并进行分发，MTC设备与服务器使用所述MTC分组密钥建立安全通信连接，从而保障机器类通信设备与服务器通信的安全性。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序指令来实现其相应功能。本申请不限制于任何特定形式的硬件和软件的结合。

需要说明的是，本申请还可有其他多种实施例，在不背离本申请精神及其实质的情况下，熟悉本领域的技术人员可根据本申请作出各种相应的改变和变形，但这些相应的改变和变形都应属于本申请所附的权利要求的保护范围。

工业实用性

本发明实施例提供的技术方案，机器类通信MTC设备与服务器通信时，由网络侧节点利用根密钥和MTC分组的信息生成MTC分组密钥并进行分发，MTC设备与服务器使用所述MTC分组密钥建立安全通信连接，从而保障机器类通信设备与服务器通信的安全性。

Claims

一种机器类通信安全通信的方法，应用于网络侧节点，该方法包括：

在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；

根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

其中，发送所述请求消息的设备包括：MTC设备或MTC服务器；接收所述MTC分组密钥的设备包括：MTC设备和MTC服务器。
如权利要求1所述的方法，其中：

根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥，包括：

将所述根密钥作为种子密钥，将所述MTC分组的信息作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥；或者

将所述根密钥作为种子密钥，将所述MTC分组的信息以及用于保证密钥新颖性的动态参数作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥。
如权利要求2所述的方法，其中：

所述密钥生成算法包括第一密钥生成算法，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥，包括：使用所述第一密钥生成算法生成用于所述MTC通信的MTC分组加密密钥；或者

所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法，所述MTC分组密钥包括MTC分组加密密钥和MTC分组完整性保护密钥，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥，包括：使用所述第一密钥生成算法生成用于所述MTC分组通信的MTC分组加密密钥，使用所述第二密钥生成算法生成用于所述MTC分组通信的MTC分组完整性保护密钥。
如权利要求3所述的方法，其中：

将所述MTC分组密钥发送给参与所述MTC分组通信的设备，包括：

当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过通用认证机制GBA或GBA推送的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

当所述设备为MTC服务器时，将MTC分组密钥通过网络侧节点与MTC服务器之间的安全链路发送到所述MTC服务器上。
如权利要求1-4中任一项所述的方法，其中：

所述方法还包括：

在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥。
如权利要求1-4中任一项所述的方法，其中：

所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。
如权利要求6所述的方法，其中：

当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

当所述设备为MTC服务器时，所述设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。
如权利要求1或2或3或4或7所述的方法，其中：

所述网络侧节点包括：基站eNB、移动管理实体MME、归属签约用户服务器HSS、服务GPRS支持节点SGSN、业务能力开放功能节点SCEF或MTC互通功能节点MTC-IWF。
如权利要求2或3或4或7所述的方法，其中：

所述动态参数包括：随机数或与所述MTC分组通信的时间相关的参数；

所述动态参数由所述网络侧节点生成，或者由发送所述请求消息的设备生成并发送给所述网络侧节点。
一种机器类通信安全通信的方法，应用于设备，该方法包括：

在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信。
如权利要求10所述的方法，其中：

所述方法还包括：

在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息。
如权利要求10或11所述的方法，其中：

所述方法还包括：

在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥。
如权利要求10或11所述的方法，其中：

所述设备包括：MTC设备或MTC服务器。
如权利要求10或11所述的方法，其中：

所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。
如权利要求14所述的方法，其中：

当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

当所述设备为MTC服务器时，所述设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。
一种机器类通信安全通信的装置，应用于网络侧节点，包括：

根密钥管理模块，设置为管理和维护根密钥；

分组密钥管理模块，设置为在接收到需要进行机器类通信MTC分组通信的设备发送的请求消息后，从所述请求消息中获取MTC分组的信息；根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥；

分组密钥分发模块，设置为将所述MTC分组密钥发送给参与所述MTC分组通信的设备；

其中，发送所述请求消息的设备包括：MTC设备或MTC服务器；接收所述MTC分组密钥的设备包括：MTC设备和MTC服务器。
如权利要求16所述的装置，其中：

分组密钥管理模块，设置为采用以下方式根据所述MTC分组的信息以及本地保存的根密钥生成用于所述MTC分组通信的MTC分组密钥：将所述根密钥作为种子密钥，将所述MTC分组的信息作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥；或者将所述根密钥作为种子密钥，将所述MTC分组的信息以及用于保证密钥新颖性的动态参数作为部署的密钥生成算法的分散参数，使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥。
如权利要求17所述的装置，其中：

分组密钥管理模块，设置为在所述密钥生成算法包括第一密钥生成算法时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC通信的MTC 分组加密密钥；或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法，且所述MTC分组密钥包括MTC分组加密密钥和MTC分组完整性保护密钥时，采用以下方式使用所述密钥生成算法生成用于所述MTC分组通信的MTC分组密钥：使用所述第一密钥生成算法生成用于所述MTC分组通信的MTC分组加密密钥，使用所述第二密钥生成算法生成用于所述MTC分组通信的MTC分组完整性保护密钥。
如权利要求18所述的装置，其中：

分组密钥分发模块，设置为采用以下方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备：当所述设备为MTC设备时，通过移动通信系统接入层加密方法加密所述MTC分组密钥后发送给参与所述MTC分组通信的设备；或者通过通用认证机制GBA或GBA推送的方式将所述MTC分组密钥发送给参与所述MTC分组通信的设备；当所述设备为MTC服务器时，将MTC分组密钥通过网络侧节点与MTC服务器之间的安全链路发送到所述MTC服务器上。
如权利要求16-19中任一项所述的装置，其中：

分组密钥管理模块，还设置为在接收到参与所述MTC分组通信的设备反馈的通信结束信息后，删除所述MTC分组的分组密钥。
如权利要求16-19中任一项所述的装置，其中：

所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。
如权利要求21所述的装置，其中：

当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

当所述设备为MTC服务器时，所述设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。
如权利要求16或17或18或19或22所述的装置，其中：

所述网络侧节点包括：基站eNB、移动管理实体MME、归属签约用户服务器HSS、服务GPRS支持节点SGSN、业务能力开放功能节点SCEF或MTC互通功能节点MTC-IWF。
如权利要求17或18或19或22所述的装置，其中：

所述动态参数包括：随机数或与所述MTC分组通信的时间相关的参数；

所述动态参数由所述网络侧节点生成，或者由发送所述请求消息的设备生成并发送给所述网络侧节点。
一种机器类通信安全通信的装置，应用于设备，包括：

请求模块，设置为在需要进行机器类通信MTC分组通信时，向网络侧节点发送请求消息，所述请求消息中携带MTC分组的信息；

分组密钥管理模块，设置为在接收到所述网络侧节点发送的MTC分组密钥后，将所述MTC分组密钥用于MTC分组通信。
如权利要求25所述的装置，其中：

分组密钥管理模块，还设置为在所述MTC分组通信结束后，向所述网络侧节点反馈通信结束信息。
如权利要求25或26所述的装置，其中：

分组密钥管理模块，还设置为在所述MTC分组通信结束后，删除所述MTC分组通信对应的MTC分组密钥。
如权利要求25或26所述的装置，其中：

所述设备包括：MTC设备或MTC服务器。
如权利要求25或26所述的装置，其中：

所述MTC分组的信息包括以下至少一种：MTC分组标识信息和发送所述请求消息的设备的身份信息。
如权利要求29所述的装置，其特征在于：

当所述设备为MTC设备时，所述设备的身份信息包括以下至少一种：MTC设备的国际移动设备标识IMEI信息、MTC设备的国际移动用户识别码IMSI信息和MTC设备上的应用的身份信息；

当所述设备为MTC服务器时，所述设备的身份信息包括以下至少一种：MTC服务器的身份信息和应用的身份信息。