WO2019196794A1

WO2019196794A1 - 认证方法、设备和计算机可读存储介质

Info

Publication number: WO2019196794A1
Application number: PCT/CN2019/081746
Authority: WO
Inventors: 毛玉欣
Original assignee: 中兴通讯股份有限公司
Priority date: 2018-04-09
Filing date: 2019-04-08
Publication date: 2019-10-17
Also published as: CN110366179A

Abstract

本申请提供了一种认证方法，包括：若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量；从存储的所述认证向量组中获取第一MTC设备的第一认证向量；其中，所述第一MTC设备由所述群组网关管理；基于所述第一认证向量与所述第一MTC设备进行认证。本申请还提供了一种设备和计算机可读存储介质。

Description

认证方法、设备和计算机可读存储介质

技术领域

本公开涉及但不限于移动通信技术领域。

背景技术

在第三代合作伙伴计划(The 3rd Generation Partnership Project，3GPP)移动通信技术中，引入了机器类通信(Machine Type Communication，MTC)技术。其中，MTC技术的一个重要特点是可以允许海量MTC设备接入网络，并且通常是海量MTC设备同时请求接入移动蜂窝通信系统网络。由于移动蜂窝通信系统网络的网络资源有限，海量的MTC设备瞬间请求接入网络设备时消耗了大量的网络资源，并且在MTC设备接入过程中每一MTC设备与网络设备之间进行双向认证时有多次信令交互。这样，会给网络设备造成巨大的信令处理负担，进而出现网络拥塞等问题。

发明内容

第一方面，本公开实施例提供了一种认证方法，包括：若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量；从存储的所述认证向量组中获取第一MTC设备的第一认证向量；其中，所述第一MTC设备由所述群组网关管理；以及基于所述第一认证向量与所述第一MTC设备进行认证。

第二方面，本公开实施例提供了一种认证方法，包括：接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求；响应所述第三接入请求，基于所述群组网关的身份标识获取所述群组网关的第三认证向量；获取所述第三认证向量中的第一参数并发送至所述群组网关；其中，所述第一参数用于所述群组网关对所述认证设备进行认证；接收所述群组网关发送的第二参数，基于所述第二参数和所述第三认证向量对所述群组网关进行认证；若所述群组网关通过认证，获取认证向量组并发送至所述群组网关；其中，所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量，所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。

第三方面，本公开实施例提供了一种群组网关，包括：第一处理器、第一存储器及第一通信总线；所述第一通信总线用于实现所述第一处理器和所述第一存储器之间的连接通信；所述第一处理器用于执行所述第一存储器中存储的认证程序，以实现以下步骤：若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，所述认证向量组中包括所述群组网关管理的每一机器类通信MTC设备的认证向量；从存储的所述认证向量组中获取第一MTC设备的第一认证向量；其中，所述第一MTC设备由所述群组网关管理；基于所述第一认证向量与所述第一MTC设备进行认证。

第四方面，本公开实施例提供了一种认证设备，所述认证设备包括：第二处理器、第二存储器及第二通信总线；所述第二通信总线用于实现所述第二处理器和所述第二存储器之间的连接通信；所述第二处理器用于执行所述第二存储器中存储的认证程序，以实现以下步骤：接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求；响应所述第三接入请求，基于所述群组网关的身份标识获取所述群组网关的第三认证向量；获取所述第三认证向量中的第一参数并发送至所述群组网关；其中，所述第一参数用于所述群组网关对所述认证设备进行认证；接收所述群组网关发送的第二参数，基于所述第二参数和所述第三认证向量对所述群组网关进行认证；若所述群组网关通过认证，获取认证向量组并发送至所述群组网关；其中，所述认证向量组包括所述群组网关管理的每一MTC设备的认证向量，所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。

第五方面，本公开实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有认证程序，所述认证程序被处理器执行时实现本文所述的认证方法的步骤。

附图说明

图1为本公开实施例提供的一种认证方法的流程示意图；

图2为本公开实施例提供的另一种认证方法的流程示意图；

图3为本公开实施例提供的又一种认证方法的流程示意图；

图4为本公开实施例提供的再一种认证方法的流程示意图；

图5为本公开实施例提供的一种系统结构示意图；

图6为本公开另一实施例提供的一种认证方法的流程示意图；

图7为本公开另一实施例提供的另一种认证方法的流程示意图；

图8为本公开另一实施例提供的又一种认证方法的流程示意图；

图9为本公开实施例提供的一种群组网关的结构示意图；

图10为本公开实施例提供的一种认证设备的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述。

在第三代合作伙伴计划(The 3rd Generation Partnership Project，3GPP)移动通信技术中，引入了机器类通信(Machine Type Communication，MTC)技术。其中，MTC技术的一个重要特点是可以允许海量MTC设备接入网络，并且通常是海量MTC设备同时请求接入移动蜂窝通信系统网络。由于移动蜂窝通信系统网络的网络资源有限，海量的MTC设备瞬间请求接入网络设备时消耗了大量的网络资源，并且在MTC设备接入过程中每一MTC设备与网络设备之间进行双向认证时有多次信令交互。这样，会给网络设备造成巨大的信令处理负担，进而出现网络拥塞等问题。为了解决上述技术问题，现有技术中提出了引入群组网关管理MTC设备群，即群组网关接入移动蜂窝通信系统网络时，群组网关与移动蜂窝通信系统网络侧的网络设备进行双向认证；而群组网关和MTC设备之间基于预共享密钥(Pre-shared Key，PSK)或者公共密钥架构(Public Key Infrastructure，PKI)完成本地双向认证，这样，可大幅度地减小网络设备的信令处理负担，并降低网络拥塞问题。

但是，现有技术中仅仅只是实现了网络设备与群组网关之间的双向认证，而MTC设备与群组网关之间只是根据PSK或PKI进行本地认证，MTC设备并没有与网络设备进行认证，也就是说只要网络设备与群组网关之间的双向认证通过后，MTC设备默认信任网络设备，网络设备也默认信任MTC设备，这样MTC设备与网络设备之间呈现一种弱信任关系，导致MTC设备与网络设备之间的通信安全性较低。

因此，本公开特别提供了认证方法、设备和计算机可读存储介质，其基本上避免了由于现有技术的局限和缺点所导致的问题中的一个或多个。

本公开实施例提供一种认证方法。图1为本公开实施例提供的一种认证方法的流程示意图。参照图1所示，该方法可以包括以下步骤101至103。

在步骤101处，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储。

其中，认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量。

在一个示例中，步骤101“若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储”可以由群组网关来实现。群组网关请求接入网络并通过认证可以是群组网关在请求接入网络时，群组网关通过网络侧的认证设备的认证即可，还可以是群组网关在请求接入网络时，群组网关与认证设备之间通过双向认证。其中，群组网关与认证设备之间的双向认证可以是基于身份验证和密钥协议(Authentication and Key Agreement，AKA)或者扩展认证协议(Extensible Authentication Protocol，EAP)-安全传输层协议((Transport Layer Security Protocol，TLS)来实现的。群组网关与认证设备之间的双向认证不仅包括移动蜂窝通信系统网络中的认证设备对群组网关的合法性进行认证，也包括群组网关对认证设备的合法性也要进行认证。

采用AKA协议时，每一MTC设备的认证向量包括一个随机数(Random，RAND)、一个期望响应(Expected Response，XRES)、一个加密密钥(Cipher Key，CK)、一个完整性校验密钥(Integrity Key，IK)和一个认证令牌(Authentication Token，AUTN)等参数。其中，AUTN包括消息鉴权码(Message Authentication Code，MAC)和序列号(Sequence Number，SQN)。认证向量组中包括群组网关管理的至少一个MTC设备的认证向量。此时，认证设备为移动蜂窝通信系统网络的网络设备中用于对群组网关的合法性进行认证的设备，可以包括认证节点、认证服务器和签约寄存器。

采用EAP-TLS协议时，每一MTC设备的认证向量在MTC设备的数字证书中携带。此时，认证设备包括证书授权(Certificate Authority，CA)中心和认证服务器。

在步骤102处，从存储的认证向量组中获取第一MTC设备的第一认证向量。

其中，第一MTC设备由群组网关管理。

在一个示例中，步骤102“从存储的认证向量组中获取第一MTC设备的第一认证向量”可以由群组网关来实现。第一MTC设备可以是在群组网关与认证设备通过双向认证后，群组网关管理的MTC设备中的第一个向群组网关发送接入请求的MTC设备，或者是在群组网关与认证设备通过双向认证后，群组网关管理的MTC设备中的任意一个像群组网关发送接入请求的MTC设备。群组网关基于第一MTC设备的标识从存储的认证向量组中获取第一MTC设备的第一认证向量。

群组网关获取第一认证向量后，将第一认证向量中的RAND和AUTN等参数发送至第一MTC设备，使第一MTC设备基于RAND生成期望鉴权值(Expected MAC，XMAC)与AUTN中的MAC进行比较，以及对AUTN中携带的SQN与群组网本地的SQN进行比较，以实现对群组网关的认证。

在步骤103处，基于第一认证向量与第一MTC设备进行认证。

在一个示例中，步骤103“基于第一认证向量与第一MTC设备进行认证”可以由群组网关来实现。

本公开实施例所提供的认证方法，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储，从认证向量组中获取第一MTC设备的第一认证向量，并基于第一认证向量与第一MTC设备进行认证。这样，在群组网关请求接入网络并通过认证后，群组网关接收认证设备发送的包括群组网关管理的所有MTC设备认证向量的认证向量组，在群组网关管理的第一MTC设备请求接入群组网关时，基于认证设备发送的认证向量组中第一MTC设备的第一认证向量与第一MTC设备进行双向认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

基于前述实施例，本公开实施例提供一种认证方法。图2为本公开实施例提供的另一种认证方法的流程示意图。参照图2所示，该方法可以包括以下步骤201至205。

在步骤201处，接收群组网关发送的携带有群组网关的身份标识的第三接入请求。

在一个示例中，步骤201“接收群组网关发送的携带有群组网关的身份标识的第三接入请求”可以由认证设备来实现。第三接入请求用于群组网关请求接入移动蜂窝通信系统网络，在允许群组网关接入移动蜂窝通信系统网络时，首先需对群组网关与认证设备之间进行双向认证。

在步骤202处，响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量。

在一个示例中，步骤202“响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量”可以由认证设备来实现。在群组网关上预先配置有群组网关的签约信息，包括群组网关的身份标识，以及与认证设备和MTC设备之间的共享根密钥，其中，认证设备和MTC设备之间的根密钥可以相同，也可以不同。在认证设备上配置有认证设备的签约信息以及群组网关管理的所有MTC设备的签约信息，包括身份标识和共享根密钥。

第三认证向量是认证设备获取与群组网关的身份标识对应的群组网关的共享密钥，然后基于群组网关的共享密钥采用预设算法进行计算得到的，包括群组网关的RAND、XRES、CK、IK和AUTN等参数。

在步骤203处，获取第三认证向量中的第一参数并发送至群组网关。

其中，第一参数用于群组网关对认证设备进行认证。

在一个示例中，步骤203“获取第三认证向量中的第一参数并发送至群组网关”可以由认证设备来实现。第一参数是群组网关的第三认证向量中的RAND和AUTN等参数。

在步骤204处，接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证。

在一个示例中，步骤204“接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证”可以由认证设备来实现。第二参数是群组网关基于接收到的第一参数对认证设备进行认证后基于第一参数中的RAND和AUTN生成得到的，例如可以是群组网关的RES。

在步骤205处，若群组网关通过认证，获取认证向量组并发送至群组网关。

这里，认证向量组包括群组网关管理的每一MTC设备的认证向量，认证向量组用于群组网关与由群组网关管理的每一MTC设备进行双向认证。

在一个示例中，步骤205“若群组网关通过认证，获取认证向量组并发送至群组网关”可以由认证设备来实现。若认证设备基于第二参数XMAC和第三认证向量中的AUTN中的MAC匹配，且AUTN中的SQN与认证设备本地的SQN匹配，则认证设备根据群组网关管理的MTC设备签约信息中的根密钥生成每一MTC设备的认证向量，得到认证向量组并将得到的MTC设备的认证向量组发送至群组网关，这样，在群组网关管理的MTC设备请求接入时，基于MTC设备的认证向量组与请求接入的MTC设备进行双向认证，通过群组网关实现MTC设备与认证设备之间的认证过程，并减少了MTC设备与认证设备之间的信令交互。

本公开实施例所提供的认证方法，接收群组网关发送的携带有群组网关的身份标识的第三接入请求后，响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量，并获取第三认证向量中的第一参数并发送至群组网关，然后接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证，若群组网关通过认证，获取认证向量组并发送至群组网关。这样，认证设备对群组网关进行认证，并在群组网关的认证通过后将用于对MTC设备进行认证的、且包括群组网关所管理的所有MTC设备的认证向量的集合发送至群组网关，以便于群组网关基于认证设备发送的认证向量组对请求接入的第一MTC设备进行认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

基于前述实施例，本公开实施例提供一种认证方法。图3为本公开实施例提供的又一种认证方法的流程示意图。参照图3所示，该方法可以包括以下步骤301至312。

在步骤301处，群组网关发送携带有群组网关的身份标识的第三接入请求至认证设备。

其中，第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数。

以群组网关和认证设备、MTC设备与群组网关之间基于AKA协议进行双向认证为例进行说明，MTC设备上预先配置有MTC设备的签约信息，包括(MTC _i，K _i，…)，i＝1，2……，其中，MTC _i为MTC设备身份标识、Ki为MTC设备和认证设备之间共享根密钥信息；群组网关上也预先配置有群组网关的签约信息(UE _j，K _j，…)，j＝1，2……，其中UE _j为群组网关身份标识、K _j为群组网关与认证设备之间的共享根密钥信息；认证设备上配置有上述MTC设备的签约信息和上述群组网关的签约信息。其中，认证服务器中的MTC设备按照所属的群组网关进行分类存储，例如采用MTC设备群组的方式进行存储，例如可以是(GID _j，UE _j，(MTC ₁，MTC ₂，…，MTC _n) _j)，其中，GID为第j个群组网关对应的组标识、UE _j表示第j个群组网关的身份标识，(MTC ₁，MTC ₂，…，MTC _n) _j表示第j个群组网关管理的n个MTC设备的身份标识。群组网关发送携带有群组网关的身份标识UE _j的第三接入请求至认证设备。

以AKA协议进行双向认证时，第一参数为认证向量(Authentication Vector，AV)中的向量参数，例如可以是认证向量中的RAND和AUTN。

在步骤302处，认证设备接收群组网关发送的携带有群组网关的身份标识的第三接入请求。

在步骤303处，认证设备响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量。

在一个示例中，认证设备响应第三接入请求，基于群组网关的身份标识UE _j获取与UE _j对应的群组网关与认证设备之间的共享根密钥信息K _j，基于共享根密钥信息K _j采用认证向量算法生成群组网关的第三认证向量，即群组网关的认证向量AV _j[RAND _j，AUTN _j，XRES _j，CK _j，IK _j]。

在步骤304处，认证设备获取第三认证向量中的第一参数并发送至群组网关。

其中，第一参数用于群组网关对认证设备进行认证。

在一个示例中，认证设备获取第三认证向量AV _j[RAND _j，AUTN _j，XRES _j，CK _j，IK _j]中的第一参数RAND _j和AUTN _j并发送至群组网关。

在步骤305处，群组网关接收认证设备发送的第一参数，并基于第一参数对认证设备进行认证。

在一个示例中，群组网关接收认证设备发送的第一参数RAND _j和AUTN _j，基于RAND _j采用AKA协议中计算XMAC的算法进行计算，得到群组网关的XMAC _j，对AUTN _j进行解析处理，得到认证设备发送的SQN以及MAC，比较MAC和XMAC两个值是否相同；如果MAC和XMAC两个值不相同，则中止认证流程；如果MAC和XMAC两个值相同，群组网关基于本地存储的SQN验证认证设备发送的SQN，如果认证设备发送的SQN和本地存储的SQN不一致，则中止认证流程。否则如果认证设备发送的SQN和本地存储的SQN一致，表明认证设备通过群组网关的认证。基于RAND _j采用AKA协议中计算随机数的响应(Response，RES)的算法进行计算得到群组网关的响应RES _j，得到第二参数。

在步骤306处，若认证设备通过认证，群组网关发送第二参数至认证设备。

其中，第二参数用于认证设备对群组网关进行认证，若群组网关未接收到认证设备发送的用于指示群组网关认证失败的响应消息，默认群组网关通过认证。

在步骤307处，认证设备接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证。

在一个示例中，认证设备接收群组网关发送的第二参数RES _j，并判断第二参数RES _j是否与第三认证向量AV _j[RAND _j，AUTN _j，XRES _j，CK _j，IK _j]中的XRES _j相同。

在步骤308处，若群组网关通过认证，认证设备获取认证向量组并发送至群组网关。

其中，认证向量组包括群组网关管理的每一MTC设备的认证向量，认证向量组用于群组网关与由群组网关管理的第一MTC设备进行双向认证。

在一个示例中，若RES _j与XRES _j不相同，则停止操作，向群组网关发送认证失败的消息。若RES _j与XRES _j相同，表明群组网关通过认证，认证设备获取群组网关UE _j对应的MTC设备(MTC ₁，MTC ₂，…，MTC _n) _j对应的认证向量组(AV ₁，AV ₂，…，AV _n) _j并发送至群组网关。

在本公开其他实施例中，步骤308可以由以下步骤308a1至308a5来实现。

在步骤308a1处，认证设备基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识。

在步骤308a2处，认证设备基于组标识确定群组网关管理的每一MTC设备。

在一个示例中，由于认证设备中的MTC设备签约信息是采用MTC设备群组的方式进行存储的，所以可以根据群组网关的身份标识确定群组网关UE _j所在MTC设备群组，从而可以确定群组网关UE _j管理的每一MTC设备。

在步骤308a3处，认证设备获取每一MTC设备的身份标识，并基于每一MTC设备的身份标识获取每一MTC设备的第一密钥。

在一个示例中，认证设备获取每一MTC设备的身份标识(MTC ₁，MTC ₂，…，MTC _n) _j，并基于每一MTC设备的身份标识获取每一MTC设备的第一密钥，例如MTC ₁的第一密钥为K ₁，MTC ₂的第一密钥为K ₂，…，MTC _n的第一密钥为K _n。

在步骤308a4处，认证设备基于每一第一密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组。

在一个示例中，预设算法为AKA协议中生成认证向量组的算法。认证设备基于每一第一密钥采用预设算法生成每一MTC设备的认证向量，例如MTC ₁的认证向量为AV ₁(RAND1，AUTN1，XRES1，CK1，IK1)，MTC ₂的认证向量为AV ₂(RAND2，AUTN2，XRES2，CK2，IK2)，…，MTC _n的认证向量为AV _n(RANDn，AUTNn，XRESn，CKn，IKn)，因此得到群组网关UE _j对应的MTC设备的认证向量组AV(AV ₁，AV ₂，…，AV _n) _j。

其中，需说明的是，步骤308a1至308a4与步骤303至307可以同时执行，步骤308a1至308a4还可以与步骤303同时执行，具体执行顺序可以根据实际应用场景来确定。

在步骤308a5处，若群组网关通过认证，发送认证向量组至群组网关。

在步骤309处，群组网关接收认证设备发送的认证向量组并存储。

在步骤310处，群组网关从存储的认证向量组中获取第一MTC设备的第一认证向量。

其中，第一MTC设备由群组网关管理。

在本公开其他实施例中，步骤310具体可以由以下步骤301a1和310a2来实现。

在步骤310a1处，群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。

在步骤310a2处，群组网关响应第一接入请求，从认证向量组中获取与第一MTC设备的身份标识对应的认证向量，得到第一认证向量。

在本公开实施例中，第一MTC设备为群组网关管理的任意一个MTC设备。假设第一MTC设备的身份标识为MTC ₂，则基于MTC ₂从认证向量组AV(AV ₁，AV ₂，…，AV _n) _j中获取与MTC ₂对应的第一认证向量AV ₂。

在步骤311处，群组网关获取第一认证向量中的第三参数，并发送第三参数至第一MTC设备。

其中，第三参数用于第一MTC设备对群组网关进行认证。

在一个示例中，第三参数为第一认证向量AV ₂中的随机数RAND2和认证令牌AUTN2。

在步骤312处，群组网关接收第一MTC设备发送的第四参数，并基于第四参数和第一认证向量对第一MTC设备进行认证。

其中，第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。

在一个示例中，若第四参数RES与第一认证向量中的XRES相同，表明第一MTC设备通过认证，此时，第一MTC设备通过群组网关与认证设备之间实现双向认证。在后续通信过程中，第一MTC设备和群组网关之间可以采用第一认证向量中的CK密钥和IK密钥对通信数据进行保护，群组网关和认证设备之间可以采用第三认证向量中的CK密钥和IK密钥对通信数据进行保护。

进一步需说明的是，MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证时，第一认证向量、第二认证向量、第三认证向量、第一参数、第二参数、第三参数和第四参数均为对应的网关或设备的数字证书。

需要说明的是，本实施例中与其它实施例中相同步骤或者概念的解释，可以参照其它实施例中的描述，此处不再赘述。

本公开实施例所提供的认证方法，接收群组网关发送的携带有群组网关的身份标识的第三接入请求，并响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量，然后获取第三认证向量中的第一参数并发送至群组网关，接收群组网关发送的第二参数，并基于第二参数和第三认证向量对群组网关进行认证，若群组网关通过认证，获取认证向量组并发送至群组网关，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储，从存储的认证向量组中获取第一MTC设备的第一认证向量，并基于第一认证向量与第一MTC设备进行认证；这样，认证设备首先对群组网关进行认证，在群组网关认证通过后发送群组网关管理的所有MTC设备的认证向量组至群组网关，使群组网关基于认证向量对请求接入的第一MTC设备进行认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

基于前述实施例，本公开实施例提供一种认证方法，主要用于认证设备与群组网关双向认证通过后，认证设备在接收到群组网关发送的第一MTC设备的身份标识时才获取MTC设备的认证向量组，并将获取的MTC参数集合发送给群组网关，以便于群组网关对请求接入的第一MTC设备进行认证。图4为本公开实施例提供的再一种认证方法的流程示意图。参照图4所示，该方法可以包括以下步骤401至419。

在步骤401处，群组网关发送携带有群组网关的身份标识的第三接入请求至认证设备。

在步骤402处，认证设备接收群组网关发送的携带有群组网关的身份标识的第三接入请求。

在步骤403处，认证设备响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量。

在步骤404处，认证设备获取第三认证向量中的第一参数并发送至群组网关。

其中，第一参数用于群组网关对认证设备进行认证。

在步骤405处，群组网关接收认证设备发送的第一参数，并基于第一参数对认证设备进行认证。

在步骤406处，若认证设备通过认证，群组网关发送第二参数至认证设备。

在步骤407处，认证设备接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证。

在步骤408处，若未接收到认证设备发送的用于指示群组网关认证失败的响应消息，群组网关默认群组网关通过认证。

在一个示例中，由于群组网关未接收到认证设备发送的用于直至群组网关认证失败的响应消息，因此，群组网关与认证设备通过双向认证。

在步骤409处，群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。

在本公开实施例中，第一MTC设备可以是群组网关管理的所有MTC设备中第一个向群组网关发送第一接入请求的MTC设备。

在步骤410处，群组网关响应第一接入请求，发送第一MTC设备的身份标识至认证设备。

在步骤411处，认证设备接收群组网关发送的第一MTC设备的身份标识。

其中，第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备。

在步骤412处，认证设备基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识。

在步骤413处，认证设备基于组标识确定群组网关管理的每一MTC设备。

在步骤414处，认证设备获取每一MTC设备的身份标识，并基于每一MTC设备的身份标识获取每一MTC设备的第二密钥。

在步骤415处，认证设备基于每一第二密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组并发送至群组网关。

在步骤416处，群组网关接收认证设备发送的认证向量组并存储。

其中，认证向量组是认证设备基于第一MTC设备的身份标识得到的。

在步骤417处，群组网关从存储的认证向量组中获取第一MTC设备的第一认证向量。

其中，第一MTC设备由群组网关管理。

在步骤418处，群组网关获取第一认证向量中的第三参数，并发送第三参数至第一MTC设备。

其中，第三参数用于第一MTC设备对群组网关进行认证。

在步骤419处，群组网关接收第一MTC设备发送的第四参数，并基于第四参数和第一认证向量对第一MTC设备进行认证。

基于前述实施例，在本公开其他实施例中，步骤419之后还包括以下步骤420至422。

在步骤420处，群组网关接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求。

在一个示例中，第二MTC设备是群组网关管理的所有MTC设备中除第一MTC设备外的MTC设备。

在步骤421处，群组网关响应第二接入请求，基于第二MTC设备的身份标识从认证向量组中获取第二MTC设备的第二认证向量。

在步骤422处，群组网关基于第二认证向量与第二MTC设备进行认证。

其中，步骤422可以由以下步骤422a和422b来实现。

在步骤422a处，群组网关获取第二认证向量中的第五参数并发送至第二MTC设备。

在一个示例中，第二MTC设备基于接收到第五参数对群组网关进行认证，若群组网关通过第二MTC设备的认证，基于第五参数生成第六参数并发送第六参数至群组网关。

在步骤422b处，群组网关接收第二MTC设备发送的第六参数，并基于第六参数和第二认证向量对第二MTC设备进行认证。

其中，第六参数是第二MTC设备对群组网关的认证通过后基于第五参数生成的。

需说明的是，MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证时，第一认证向量、第二认证向量、第三认证向量、第一参数、第二参数、第三参数、第四参数、第五参数、第六参数均为对应的网关或设备的数字证书。

本公开实施例所提供的认证方法，接收群组网关发送的携带有群组网关的身份标识的第三接入请求，并响应第三接入请求，基于群组网关的身份标识获取群组网关的第三特征参数认证向量，然后获取第三特征参数认证向量中的第一参数并发送至群组网关，接收群组网关发送的第二参数，并基于第二参数和第三特征参数认证向量对群组网关进行认证，若群组网关通过认证，获取特征参数集合认证向量组并发送至群组网关，若群组网关请求接入网络并通过认证，接收认证设备发送的特征参数集合认证向量组并存储，从存储的特征参数集合认证向量组中获取第一MTC设备的第一认证向量，并基于第一认证向量与第一MTC设备进行认证；这样，认证设备首先对群组网关进行认证，在群组网关认证通过后发送群组网关管理的所有MTC设备的特征参数集合认证向量组至群组网关，使群组网关基于特征参数认证向量对请求接入的第一MTC设备进行认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

图5为本公开实施例提供的一种系统结构示意图。基于前述实施例，本公开实施例实施基于如图5所示的系统结构，包括至少一个MTC设备(A1、A2、……、An)、群组网关B和认证设备C。其中，群组网关B可以管理多个MTC设备(A1、A2、……、An)，MTC设备(A1、A2、……和/或An)通过群组网关B与认证设备C之间实现通信链接，群组网关可以有多个；认证设备是移动蜂窝通信系统网络中用于对群组网关、MTC设备等进行身份认证的设备。认证设备C可以包括认证节点C1、认证服务器C2和签约寄存器C3。其中，认证节点C1配置为与群组网关B进行通信链接，从群组网关B处获取信息内容发送至认证服务器C2或接收认证服务器C2发送的内容并转发至群组网关B；认证服务器C2配置为从签约寄存器C3处获取认证数据，进行存储并发送至认证节点C1；签约寄存器C3配置为存储与群组网关和MTC设备对应的用于共享的根密钥，并在接收到认证服务器C2发送的获取认证数据的请求后，响应获取认证数据的请求采用算法根据根密钥生成多个随机数(RAND)，并利用其中一个RAND采用预设算法生成多组认证向量得到认证数据，并将生成的多组认证向量发送至认证服务器C3，这样，认证服务器C3将多组认证向量通过认证节点C1发送给群组网关B以对群组网关B进行身份认证或对MTC设备进行身份认证。

基于前述实施例，本公开实施例提供一种认证方法。图6为本公开另一实施例提供的一种认证方法的流程示意图。认证设备包括认证节点、认证服务器和签约寄存器。参照图6所示，该认证方法可以包括以下步骤501至518。

在步骤501处，群组网关发送第一接入请求至认证节点，认证节点接收到群组网关的接入请求。

其中，第一接入请求中携带有群组网关的网关身份标识UE _GW。

在步骤502处，认证节点从第一接入请求中获取群组网关的网关身份标识UE _GW，并发送第一认证请求至认证服务器。

其中，第一认证请求中携带有群组网关的网关身份标识UE _GW。

在步骤503处，认证服务器从接收到的第一认证请求中获取网关身份标识UE _GW，并发送用于获取认证数据的请求消息至签约寄存器。

其中，签约寄存器中还配置有MTC用户群组信息，例如可以记为(GID，UE _GW，UE ₁，UE ₂，…，UE _n)，其中，GID为群组网关所管理的MTC设备所在组的组标识、UE _GW表示该群组网关的网关身份标识，UE ₁，UE ₂，…，UE _n为该群组网关所管理的所有MTC设备的身份标识，签约寄存器中还配置有与该群组网关共享的根密钥K _GW，以及与对应的MTC设备共享的根密钥K1，K2，…，Kn。请求消息中携带有网关身份标识UE _GW。

在步骤504处，签约寄存器接收到请求消息后，签约寄存器根据群组网关的网关身份标识UE _GW获得与群组网关对应的根密钥K _GW，并基于根密钥K _GW采用认证向量生成算法生成群组网关的认证向量AV _GW。基于群组网关的网关身份标识UE _GW确定群组网关所管理的所有MTC设备的身份标识UE ₁，UE ₂，…，UE _n，并获取与所有MTC设备对应的根密钥K1，K2，…，Kn，基于根密钥K1，K2，…，Kn生成该群组网关所管理的所有MTC设备的认证向量，得到认证向量组AV _i[RAND，AUTN，XRES，CK，IK]，i＝1，2，…，n。

在步骤505处，签约寄存器发送响应消息至认证服务器。

其中，响应消息中携带有群组网关的认证向量AV _GW和群组网关所管理的所有MTC设备对应的认证向量组AV _i，i＝1，2，…，n。

在步骤506处，认证服务器保存响应消息中携带的群组网关的认证向量AV _GW和群组网关所管理的所有MTC设备对应的认证向量组AV _i，i＝1，2，…，n。

在步骤507处，认证服务器发送群组网关的认证向量AV _GW至认证节点。

在步骤508处，认证节点从群组网关的认证向量AV _GW中获取群组网关的认证参数RAND _GW和AUTN _GW。

在步骤509处，认证节点发送第二认证请求至群组网关，群组网关接收认证节点发送的第二认证请求。

其中，第二认证请求中的携带有群组网关的认证参数RAND _GW和AUTN _GW。

在步骤510处，群组网关基于认证节点发送的第二认证请求中携带的RAND _GW，采用鉴权值计算算法计算出期待鉴权值XMAC _GW；若XMAC _GW与群组网关本地的MAC _GW值相同，群组网关对认证节点发送的第二认证请求中携带的AUTN _GW进行解析处理得到SQN _GW，若SQN _GW与群组网关本地维护的SQN相同，则群组网关基于RAND _GW和AUTN _GW生成群组网关的RES _GW，并发送RES _GW至认证节点，表明网络侧通过群组网关的认证。

其中，若XMAC _GW与群组网关本地的MAC _GW值不相同，群组网关向认证服务器发送拒绝认证消息，并终止认证流程。

若SQN _GW与群组网关本地维护的SQN不相同，群组网关向认证服务器发送同步失败消息，并终止认证流程。

在步骤511处，认证节点比较群组网关发送的RES _GW与认证节点中群组网关的认证向量AV _GW中的XRES _GW，若RES _GW与XRES _GW相同，群组网关通过网络侧的认证，这样，表明认证节点与群组网关之间通过了双向认证。

其中，若RES _GW与XRES _GW不相同，认证节点发送认证失败消息至群组网关。当认证节点与群组网关实现双向认证后，在随后通信中，群组网关与网络侧可以采用群组网关根据密钥和RAND _GW生成的密钥对CK和IK对通信数据进行保护。

在本公开其他实施例中，步骤505中签约寄存器发送至认证服务器的响应消息中可以只携带有群组网关的认证向量AV _GW，在认证节点与群组网关之间实现双向认证后，签约寄存器再将群组网关所管理的所有MTC设备对应的认证向量组AV _i，i＝1，2，…，n发送至群组网关。

在步骤512处，认证节点与群组网关实现双向认证后，认证服务器将群组网关所管理的所有MTC设备对应的认证向量组AV _i，i＝1，2，…，n发送至群组网关。

在步骤513处，群组网关保存认证向量组AV _i，i＝1，2，…，n。

在步骤514处，群组网关接收群组网关所管理的第一MTC设备发送的第二接入请求。

其中，第一MTC设备是群组网关所管理的MTC设备中的任意一个MTC设备，第一MTC设备发送的第二接入请求中携带有第一MTC设备的身份标识UE _j。

在步骤515处，群组网关基于第二接入请求中携带的第一MTC设备的身份标识UE _j从存储的认证向量组AV _i，i＝1，2，…，n中获取对应的认证向量，得到第一MTC设备的认证向量AV _j。

在步骤516处，群组网关从第一MTC设备的认证向量AV _j中获取第一MTC设备的认证参数RAND _j和AUTN _j，并发送第三认证请求至第一MTC设备。

其中，群组网关发送至第一MTC设备的第三认证请求中携带有第一MTC设备的认证参数RAND _j和AUTN _j。

在步骤517处，第一MTC设备基于群组网关发送的第三认证请求中携带的RAND _j，采用鉴权值计算算法计算出期待鉴权值XMAC _j；若XMAC _j与第一MTC设备本地的MAC _j值相同，第一MTC设备对群组网关发送的第三认证请求中携带的AUTN _j进行解析处理得到SQN _j，若SQN _j与第一MTC设备本地维护的SQN相同，则基于RAND _j和AUTN _j生成第一MTC设备的RES _j，并发送RES _j至群组网关。

其中，若XMAC _j与第一MTC设备本地的MAC _j值不相同，第一MTC设备向群组网关送拒绝认证消息，并终止认证流程。

若SQN _j与第一MTC设备本地维护的SQN不相同，第一MTC设备向群组网关发送同步失败消息，并终止认证流程。

在步骤518处，群组网关比较第一MTC设备发送的RES _j与群组网关中第一MTC设备的认证向量AV _j中的XRES _j，若RES _j与XRES _j相同，则群组网关与第一MTC设备完成双向认证，群组网关向认证节点返回确认消息，表示第一MTC设备认证成功。

其中，若RES _GW与XRES _GW不相同，表明认证失败，群组网关可以决定第一MTC设备重发起认证。

当认证节点与群组网关实现双向认证后，在随后通信中，群组网关与第一MTC设备之间可以采用第一MTC设备根据密钥和RAND _j生成的密钥对CK和IK对通信数据进行保护。

基于前述实施例，本公开实施例还提供一种认证方法。图7为本公开另一实施例提供的另一种认证方法的流程示意图。认证设备包括认证节点、认证服务器和签约寄存器。参照图7所示，该方法可以包括以下步骤601至619。

在步骤601处，群组网关发送第一接入请求至认证节点。

其中，第一接入请求中携带有群组网关的网关身份标识UE _GW，用于指示群组网关请求建立与网络侧的通信链接。

在步骤602处，认证节点接收到群组网关的第一接入请求后，响应第一接入请求从第一接入请求中获取群组网关的网关身份标识UE _GW，并发送第一认证请求至认证服务器。

在步骤603处，认证服务器基于接收到的认证请求中携带的网关身份标识UE _GW，发送用于获取认证数据的请求消息至签约寄存器。

在步骤604处，签约寄存器接收到请求消息后，签约寄存器根据群组网关的网关身份标识UE _GW获得与群组网关对应的根密钥K _GW，并基于根密钥K _GW采用认证向量生成算法生成群组网关的认证向量AV _GW。

在步骤605处，签约寄存器发送响应消息至认证服务器。

其中，响应消息中携带有群组网关的认证向量AV _GW。

在步骤606处，认证服务器保存响应消息中携带的群组网关的认证向量AV _GW。

在步骤607处，认证服务器发送群组网关的认证向量AV _GW至认证节点。

在步骤608处，认证节点从群组网关的认证向量中获取群组网关的认证参数RAND _GW和AUTN _GW。

在步骤609处，认证节点发送第二认证请求至群组网关，群组网关接收认证节点发送的第二认证请求。

在步骤610处，群组网关基于认证节点发送的第二认证请求中携带的RAND _GW，采用鉴权值计算算法计算出期待鉴权值XMAC _GW；若XMAC _GW与群组网关本地的MAC _GW值相同，群组网关对认证节点发送的第二认证请求中携带的AUTN _GW进行解析处理得到SQN _GW，若SQN _GW与群组网关本地维护的SQN相同，则群组网关基于RAND _GW和AUTN _GW生成群组网关的RES _GW，并发送RES _GW至认证节点，表明网络侧通过群组网关的认证。

在步骤611处，认证节点比较群组网关发送的RES _GW与认证节点中群组网关的认证向量AV _GW中的XRES _GW，若RES _GW与XRES _GW相同，群组网关通过网络侧的认证，这样，表明认证节点与群组网关之间通过了双向认证。

在步骤612处，群组网关接收群组网关所管理的第一MTC设备发送的附着请求。

其中，第一MTC设备是群组网关所管理的MTC设备中第一个发送附着请求以请求接入群组网关的MTC设备，在附着请求中携带有第一MTC设备的身份标识UE ₁。

在步骤613处，群组网关获取附着请求中携带的第一MTC设备的身份标识UE ₁，并发送针对该第一MTC设备的第二接入请求至认证节点。

其中，第二接入请求中携带有第一MTC设备的身份标识UE ₁，第二接入请求用于指示第一MTC设备请求建立与网络侧的通信链接。

在步骤614处，认证节点接收到群组网关发送的第二接入请求后，获取第二接入请求中携带的第一MTC设备的身份标识UE ₁，并发送第三认证请求至认证服务器。

其中，第三认证请求中携带有第一MTC设备的身份标识UE ₁。

在步骤615处，认证服务器基于接收到的第三认证请求中携带的第一MTC设备的身份标识UE ₁，发送用于获取认证数据的请求消息至签约寄存器。

在步骤616处，签约寄存器基于请求消息中携带的第一MTC设备的身份标识UE ₁，确定第一MTC设备所在的MTC设备用户群组信息，例如为(GID，UE _GW，UE ₁，UE ₂，…，UE _n)，并基于MTC设备用户群组信息中的所有MTC设备的身份标识UE ₁，UE ₂，…，UE _n，获取与所有MTC设备对应的根密钥K ₁，K ₂，…，K _n，基于根密钥K1，K2，…，Kn生成该MTC设备用户群组信息中所有MTC设备的认证向量，得到认证向量组AV _i[RAND，AUTN，XRES，CK，IK]，i＝1，2，…，n。

在步骤617处，签约寄存器将得到的认证向量组AV _i，i＝1，2，…，n发送至认证服务器，然后认证服务器发送认证向量组AV _i，i＝1，2，…，n群组网关。

在步骤618处，群组网关接收认证向量组AV _i，i＝1，2，…，n并保存。

在步骤619处，群组网关从认证向量组AV _i，i＝1，2，…，n中查找与第一MTC设备UE ₁对应的认证向量AV ₁，并基于认证向量AV ₁与第一MTC设备进行双向认证。

其中，群组网关基于认证向量AV ₁与第一MTC设备进行双向认证的过程具体参照上述实施例中的步骤516至518的过程，此处不再详细赘述。

需说明的是，第一MTC设备与群组网关进行双向认证后，群组网关所管理的MTC设备中除第一MTC设备外的其他MTC设备接入网络需进行双向认证时，群组网关可以直接基于群组网关中存储的认证向量集合与其他MTC设备进行双向认证。

基于前述实施例，本公开实施例提供一种认证方法，主要用于MTC设备、群组网关和认证设备之间采用EAP-TLS协议进行认证，其中，认证设备为认证服务器和证书授权(Certificate Authority，CA)中心。图8为本公开另一实施例提供的又一种认证方法的流程示意图，参照图8，该方法可以包括以下步骤701至728。

在步骤701处，群组网关发送网络接入请求至认证服务器。

其中，网络接入请求中携带有群组网关的身份标识。

在一个示例中，CA中心预先存储有群组网关和群组网关所管理的MTC设备的数字证书，MTC设备和群组网关中预先存储有各自的数字证书。其中，各自对应的数字证书中携带有各自对应的认证向量。

在步骤702处，认证服务器接收网络接入请求，响应网络接入请求结合群组网关能力等策略确定采用EAP-TLS协议进行双向认证。

在步骤703处，认证服务器发送携带有认证服务器的数字证书的通知指令至群组网关。

其中，通知指令用于指示群组网关采用EAP-TLS认证方式进行认证。

在步骤704处，群组网关接收通知指令，并响应通知指令启用EAP-TLS认证方式。

在步骤705处，群组网关从CA中心获取认证服务器的数字证书，并验证从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书是否匹配，得到验证结果。

其中，若群组网关从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书匹配，验证结果为认证服务器通过验证，支持认证服务器为EAP-TLS认证服务器；若群组网关从CA中心获取的认证服务器的数字证书与认证服务器发送的数字证书不匹配，验证结果为认证服务器未通过验证，不支持认证服务器为EAP-TLS认证服务器。

在步骤706处，若验证结果为认证服务器通过验证，支持认证服务器为EAP-TLS认证服务器，群组网关发送验证结果和群组网关的数字证书至认证服务器。

若验证结果为认证服务器未通过验证，不支持认证服务器为EAP-TLS认证服务器，发送验证结果至认证服务器，认证服务器接收到验证结果后，不执行后续操作。

在步骤707处，认证服务器接收验证结果以及群组网关的数字证书。

在步骤708处，认证服务器发送用于请求群组网关的数字证书的请求指令至CA中心。

在步骤709处，CA中心接收请求指令并响应，获取群组网关的数字证书并发送至认证服务器。

在步骤710处，认证服务器接收CA中心发送的群组网关的数字证书，并验证CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书是否匹配。

在步骤711处，若CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书匹配，认证服务器向群组网关发送用于指示群组网关作为代理认证服务器的认证成功响应消息。

其中，认证成功响应消息还用于表明群组网关通过认证。

在步骤712处，群组网关接收认证成功响应消息。

在一个示例中，群组网关接收到认证成功响应消息表明群组网关与认证设备通过双向认证。

在步骤713处，群组网关接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求。

在步骤714处，群组网关响应第一接入请求，结合第一MTC设备能力等策略确定采用EAP-TLS协议进行双向认证。

在步骤715处，群组网关发送携带有群组网关的数字证书的通知指令至第一MTC设备。

其中，通知指令用于指示第一MTC设备采用EAP-TLS认证方式进行认证。

在步骤716处，第一MTC设备接收携带有群组网关的数字证书的通知指令，并响应通知指令启用EAP-TLS认证方式。

在步骤717处，第一MTC设备从CA中心获取群组网关的数字证书，并验证从CA中心获取的群组网关的数字证书与群组网关发送的数字证书是否匹配，得到验证结果。

其中，若第一MTC设备从CA中心获取的群组网关的数字证书与群组网关器发送的数字证书匹配，验证结果为群组网关通过验证，支持群组网关为代理EAP-TLS认证服务器；若第一MTC设备从CA中心获取的群组网关的数字证书与群组网关发送的数字证书不匹配，验证结果为群组网关未通过验证，不支持群组网关为代理EAP-TLS认证服务器。

在步骤718处，若验证结果为群组网关通过验证，支持群组网关为代理EAP-TLS认证服务器，第一MTC设备发送验证结果和第一MTC设备的数字证书至群组网关。

若验证结果为群组网关未通过验证，不支持认群组网关为代理EAP-TLS认证服务器，发送验证结果至群组网关，群组网关接收到验证结果后，不执行后续操作。

在步骤719处，群组网关接收验证结果以及第一MTC设备的数字证书。

在步骤720处，群组网关发送第一MTC设备的身份标识至CA中心。

在步骤721处，CA中心接收群组网关发送的第一MTC设备的身份标识。

在步骤722处，CA中心基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识。

在步骤723处，CA中心基于组标识确定群组网关管理的每一MTC设备。

在步骤724处，CA中心获取每一MTC设备的身份标识，并基于每一MTC设备的身份标识获取每一MTC设备的数字证书，得到数字证书集合。

其中，由于每一MTC设备的数字证书中携带有每一MTC设备的认证向量，所以得到的数字证书集合即得到了群组网关所管理的MTC设备的认证向量组。

在步骤725处，CA中心将数字证书集合发送至群组网关。

在步骤726处，群组网关接收数字证书集合并存储。

在步骤727处，群组网关从存储的数字证书集合中获取第一MTC设备的数字证书。

在步骤728处，群组网关验证从数字证书集合中获取第一MTC设备的数字证书与第一MTC设备发送的第一MTC设备的数字证书是否匹配，得到验证结果。

其中，若从数字证书集合中获取第一MTC设备的数字证书与第一MTC设备发送的第一MTC设备的数字证书匹配，表明第一MTC设备通过群组网关与认证设备(即认证服务器和CA中心)之间通过双向认证，后续通信过程是可信的。

在本公开其他实施例中，CA中心执行步骤709时，CA中心获取群组网关的数字证书的同时，还可以获取群组网关所管理的所有MTC设备的数字证书，得到数字证书集合，发送群组网关的数字证书至认证服务器的同时也发送数字证书集合至认证服务器，认证服务器将数字证书集合发送至群组网关，使群组网关存储数字证书；对应的，群组网关可以不执行步骤720和步骤726，CA中心可以不执行步骤723至725。或者，若CA中心发送的群组网关的数字证书与群组网关发送的群组网关的数字证书匹配，认证服务器向CA中心请求获取群组网关所管理的所有MTC设备的数字证书，得到数字证书集合，认证服务器执行步骤711的同时，将数字证书集合发送至群组网关，使群组网关存储数字证书；对应的，群组网关可以不执行步骤720和步骤726，CA中心可以不执行步骤723至725。

本公开实施例所提供的认证方法，接收群组网关发送的携带有群组网关的身份标识的第三接入请求，并响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量，然后获取第三认证向量中的第一参数并发送至群组网关，接收群组网关发送的第二参数，并基于第二参数和第三认证向量对群组网关进行认证，若群组网关通过认证，获取认证向量组并发送至群组网关，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储，从存储的认证向量组中获取第一MTC设备的第一认证向量，并基于第一认证向量与第一MTC设备进行认证；这样，认证设备首先对群组网关进行认证，在群组网关认证通过后发送群组网关管理的所有MTC设备的认证向量组至群组网关，使群组网关基于认证向量对请求接入的第一MTC 设备进行认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

本公开实施例提供一种群组网关，可应用于图1、图3至图4、以及图6对应的实施例提供的认证方法中。图9为本公开实施例提供的一种群组网关的结构示意图。参照图9所示，该群组网关8包括：第一处理器81、第一存储器82及第一通信总线83。

第一通信总线83配置为实现第一处理器81和第一存储器82之间的连接通信。

第一处理器81配置为执行第一存储器82中存储的认证程序，以实现以下步骤：第一通信总线用于实现第一处理器和第一存储器之间的连接通信。

第一处理器81还配置为执行第一存储器82中存储的认证程序，以实现以下步骤：若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量；从存储的认证向量组中获取第一MTC设备的第一认证向量；其中，第一MTC设备由群组网关管理；基于第一认证向量与第一MTC设备进行认证。

在本公开其他实施例中，第一处理器81还配置为执行认证程序，以实现以下步骤：若群组网关请求接入网络并通过认证，接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求；响应第一接入请求，发送第一MTC设备的身份标识至认证设备；接收认证设备发送的认证向量组并存储；其中，认证向量组是认证设备基于第一MTC设备的身份标识得到的。

在本公开其他实施例中，接收第一MTC设备发送的第一参数，并基于第一参数和第一认证向量对第一MTC设备进行认证之后，第一处理器81还配置为执行认证程序，以实现以下步骤：接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求；响应第二接入请求，基于第二MTC设备的身份标识从认证向量组中获取第二 MTC设备的第二认证向量；基于第二认证向量与第二MTC设备进行认证。

在本公开其他实施例中，第一处理器81还配置为执行认证程序，以实现以下步骤：接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求；响应第一接入请求，从认证向量组中获取与第一MTC设备的身份标识对应的认证向量，得到第一认证向量。

在本公开其他实施例中，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储之前，第一处理器81还配置为执行认证程序，以实现以下步骤：发送携带有群组网关的身份标识的第三接入请求至认证设备；其中，第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数；接收认证设备发送的第一参数，并基于第一参数对认证设备进行认证；若认证设备通过认证，发送第二参数至认证设备；其中，第二参数用于认证设备对群组网关进行认证，若未接收到认证设备发送的用于指示群组网关认证失败的响应消息，默认群组网关通过认证。

在本公开其他实施例中，第一处理器81还配置为执行认证程序，以实现以下步骤：获取第一认证向量中的第三参数，并发送第三参数至第一MTC设备；其中，第三参数用于第一MTC设备对群组网关进行认证；接收第一MTC设备发送的第四参数，并基于第四参数和第一认证向量对第一MTC设备进行认证；其中，第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。

需要说明的是，本实施例中处理器所实现的步骤之间的交互过程，可以参照图1、图3至图4、以及图6对应的实施例及上述实施例提供的认证方法中的交互过程，此处不再赘述。

本公开实施例所提供的群组网关，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储，从认证向量组中获取第一MTC设备的第一认证向量，并基于第一认证向量与第一MTC设备进行认证。这样，在群组网关请求接入网络并通过认证后，群组网关接收认证设备发送的包括群组网关管理的所有MTC设备认证向量的认证向量组，在群组网关管理的第一MTC设备请求接入群组网关时，基于认证设备发送的认证向量组中第一MTC设备的第一认证向量与第一MTC设备进行双向认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

本公开实施例提供一种认证设备，可应用于图2至图4、以及图6对应的实施例提供的认证方法中。图10为本公开实施例提供的一种认证设备的结构示意图。参照图10所示，该认证设备9包括：第二处理器91、第二存储器92及第二通信总线93。

第二通信总线93配置为实现第二处理器91和第二存储器92之间的连接通信。

第二处理器91配置为执行第二存储器92中存储的认证程序，以实现以下步骤：接收群组网关发送的携带有群组网关的身份标识的第三接入请求；响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量；获取第三认证向量中的第一参数并发送至群组网关；其中，第一参数用于群组网关对认证设备进行认证；接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证；若群组网关通过认证，获取认证向量组并发送至群组网关；其中，认证向量组包括群组网关管理的每一MTC设备的认证向量，认证向量组用于群组网关与由群组网关管理的每一MTC设备进行双向认证。

在本公开其他实施例中，第二处理器91还配置为执行认证程序，以实现以下步骤：若群组网关通过认证，接收群组网关发送的第一MTC设备的身份标识；其中，第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备；基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识；基于组标识确定群组网关管理的每一MTC设备；获取每一MTC设备的身份标识和每一MTC设备的密钥；基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组并发送至群组网关。

在本公开其他实施例中，第二处理器91还配置为执行认证程序，以实现以下步骤：基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识；基于组标识确定群组网关管理的每一MTC设备；获取每一MTC设备的身份标识和每一MTC设备的密钥；基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组；若群组网关通过认证，发送认证向量组至群组网关。

需说明的是，本实施例中处理器所实现的步骤之间的交互过程，可以参照图2至图4、以及图6对应的实施例及上述实施例提供的认证方法中的交互过程，此处不再赘述。

本公开实施例所提供的认证设备，接收群组网关发送的携带有群组网关的身份标识的第三接入请求后，响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量，并获取第三认证向量中的第一参数并发送至群组网关，然后接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证，若群组网关通过认证，获取认证向量组并发送至群组网关。这样，认证设备对群组网关进行认证，并在群组网关的认证通过后将用于对MTC设备进行认证的、且包括群组网关所管理的所有MTC设备的认证向量的集合发送至群组网关，以便于群组网关基于认证设备发送的认证向量组对请求接入的第一MTC设备进行认证，解决了现有技术中由于群组网关的引入导致MTC设备与网络设备之间的信任关系较弱的问题，实现了通过群组网关使MTC设备与网络设备之间直接建立信任关系，提高了MTC设备与网络设备之间的通信安全。

基于前述实施例，本公开提供一种计算机可读存储介质，该计算机可读存储介质上存储有认证程序，所述认证程序可被一个或者多个处理器执行，以实现以下步骤：若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，认证向量组中包括群组网关管理的每一机器类通信MTC设备的认证向量；从存储的认证向量组中获取第一MTC设备的第一认证向量；其中，第一MTC设备由群组网关管理；基于第一认证向量与第一MTC设备进行认证。

在本公开其他实施例中，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储，包括以下步骤：若群组网关请求接入网络并通过认证，接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求；响应第一接入请求，发送第一MTC设备的身份标识至认证设备；接收认证设备发送的认证向量组并存储；其中，认证向量组是认证设备基于第一MTC设备的身份标识得到的。

在本公开其他实施例中，接收第一MTC设备发送的第一参数，并基于第一参数和第一认证向量对第一MTC设备进行认证之后，包括以下步骤：接收第二MTC设备发送的携带有第二MTC设备的身份标识的第二接入请求；响应第二接入请求，基于第二MTC设备的身份标识从认证向量组中获取第二MTC设备的第二认证向量；基于第二认证向量与第二MTC设备进行认证。

在本公开其他实施例中，从存储的认证向量组中获取第一MTC设备的第一认证向量，包括以下步骤：接收第一MTC设备发送的携带有第一MTC设备的身份标识的第一接入请求；响应第一接入请求，从认证向量组中获取与第一MTC设备的身份标识对应的认证向量，得到第一认证向量。

在本公开其他实施例中，若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储之前，包括以下步骤：发送携带有群组网关的身份标识的第三接入请求至认证设备；其中，第三接入请求用于指示认证设备基于群组网关的身份标识获取群组网关的第一参数；接收认证设备发送的第一参数，并基于第一参数对认证设备进行认证；若认证设备通过认证，发送第二参数至认证设备；其中，第二参数用于认证设备对群组网关进行认证，若未接收到认证设备发送的用于指示群组网关认证失败的响应消息，默认群组网关通过认证。

在本公开其他实施例中，基于第一认证向量与第一MTC设备进行认证，包括以下步骤：获取第一认证向量中的第三参数，并发送第三参数至第一MTC设备；其中，第三参数用于第一MTC设备对群组网关进行认证；接收第一MTC设备发送的第四参数，并基于第四参数和第一认证向量对第一MTC设备进行认证；其中，第四参数是第一MTC设备对群组网关的认证通过后基于第三参数生成的。

基于前述实施例，本公开提供一种计算机可读存储介质，该计算机可读存储介质上存储有认证程序，所述认证程序可被一个或者多个处理器执行，以实现以下步骤：接收群组网关发送的携带有群组网关的身份标识的第三接入请求；响应第三接入请求，基于群组网关的身份标识获取群组网关的第三认证向量；获取第三认证向量中的第一参数并发送至群组网关；其中，第一参数用于群组网关对认证设备进行认证；接收群组网关发送的第二参数，基于第二参数和第三认证向量对群组网关进行认证；若群组网关通过认证，获取认证向量组并发送至群组网关；其中，认证向量组包括群组网关管理的每一MTC设备的认证向量，认证向量组用于群组网关与由群组网关管理的第一MTC设备进行双向认证。

在本公开其他实施例中，若群组网关通过认证，获取认证向量组并发送至群组网关，还包括以下步骤：若群组网关通过认证，接收群组网关发送的第一MTC设备的身份标识；其中，第一MTC设备是群组网关管理的每一MTC设备中第一个请求接入群组网关的MTC设备；基于第一MTC设备的身份标识确定第一MTC设备的身份标识对应的组标识；基于组标识确定群组网关管理的每一MTC设备；获取每一MTC设备的身份标识和每一MTC设备的密钥；基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组并发送至群组网关。

在本公开其他实施例中，若群组网关通过认证，获取认证向量组并发送至群组网关，包括以下步骤：基于第三接入请求中携带的群组网关的身份标识确定群组网关对应的组标识；基于组标识确定群组网关管理的每一MTC设备；获取每一MTC设备的身份标识和每一MTC设备的密钥；基于每一MTC设备的密钥采用预设算法生成每一MTC设备的认证向量，得到认证向量组；若群组网关通过认证，发送认证向量组至群组网关。

需要说明的是，本实施例中处理器所实现的步骤之间的交互过程，可以参照图2至图4、以及图6对应的实施例及上述实施例提供的认证方法中的交互过程，此处不再赘述。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序消息实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序消息到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的消息产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序消息也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的消息产生包括消息装置的制造品，该消息装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序消息也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的消息提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本公开的示例性实施例而已，并非用于限定本公开的保护范围。

Claims

一种认证方法，包括：

若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，所述认证向量组中包括所述群组网关管理的每一机器类通信(MTC)设备的认证向量；

从存储的所述认证向量组中获取第一MTC设备的第一认证向量；其中，所述第一MTC设备由所述群组网关管理；

基于所述第一认证向量与所述第一MTC设备进行认证。
根据权利要求1所述的方法，其中，所述若群组网关请求接入网络并通过认证，接收所述认证设备发送的所述认证向量组并存储，包括：

若所述群组网关请求接入网络并通过认证，接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求；其中，所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备；

响应所述第一接入请求，发送所述第一MTC设备的身份标识至所述认证设备；

接收所述认证设备发送的所述认证向量组并存储；其中，所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
基于权利要求2所述的方法，其中，基于所述第一认证向量对所述第一MTC设备进行认证之后，包括：

接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求；

响应所述第二接入请求，基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量；

基于所述第二认证向量与所述第二MTC设备进行认证。
根据权利要求1所述的方法，其中，所述从存储的所述认证向量组中获取第一MTC设备的第一认证向量，包括：

接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求；其中，所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备；

响应所述第一接入请求，从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量，得到所述第一认证向量。
根据权利要求1至4中任一所述的方法，其中，所述若群组网关请求接入网络并通过认证，接收所述认证设备发送的认证向量组并存储之前，包括：

发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备；其中，所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数；

接收所述认证设备发送的所述第一参数，并基于所述第一参数对所述认证设备进行认证；

若所述认证设备通过认证，获取第二参数并发送至所述认证设备；其中，所述第二参数用于所述认证设备对所述群组网关进行认证；

若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息，默认所述群组网关通过认证。
根据权利要求1所述的方法，其中，所述基于所述第一认证向量与所述第一MTC设备进行认证，包括：

获取所述第一认证向量中的第三参数，并发送所述第三参数至所述第一MTC设备；其中，所述第三参数用于所述第一MTC设备对所述群组网关进行认证；

接收所述第一MTC设备发送的第四参数，并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证；其中，所述第四参数是所述第一MTC设备对所述群组网关的认证通过后基于所述第三参数生成的。
一种认证方法，包括：

接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求；

响应所述第三接入请求，基于所述群组网关的身份标识获取所述群组网关的第三认证向量；

获取所述第三认证向量中的第一参数并发送至所述群组网关；其中，所述第一参数用于所述群组网关对所述认证设备进行认证；

接收所述群组网关发送的第二参数，基于所述第二参数和所述第三认证向量对所述群组网关进行认证；

若所述群组网关通过认证，获取认证向量组并发送至所述群组网关；其中，所述认证向量组包括所述群组网关管理的每一机器类通信(MTC)设备的认证向量，所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
根据权利要求7所述的方法，其中，所述若所述群组网关通过认证，获取认证向量组并发送至所述群组网关，包括：

若所述群组网关通过认证，接收所述群组网关发送的第一MTC设备的身份标识；其中，所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备；

基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识；

基于所述组标识确定所述群组网关管理的每一MTC设备；

获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥；

基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量，得到所述认证向量组并发送至所述群组网关。
根据权利要求7所述的方法，其中，所述若所述群组网关通过认证，获取认证向量组并发送至所述群组网关，还包括：

基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识；

基于所述组标识确定所述群组网关管理的每一MTC设备；

获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥；

基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量，得到所述认证向量组；

若所述群组网关通过认证，发送所述认证向量组至所述群组网关。
一种群组网关，包括：第一处理器、第一存储器及第一通信总线；

所述第一通信总线配置为实现所述第一处理器和所述第一存储器之间的连接通信；

所述第一处理器配置为执行所述第一存储器中存储的认证程序，以实现以下步骤：

若群组网关请求接入网络并通过认证，接收认证设备发送的认证向量组并存储；其中，所述认证向量组中包括所述群组网关管理的每一机器类通信(MTC)设备的认证向量；

从存储的所述认证向量组中获取第一MTC设备的第一认证向量；其中，所述第一MTC设备由所述群组网关管理；

基于所述第一认证向量与所述第一MTC设备进行认证。
根据权利要求10所述的群组网关，其中，所述第一处理器还配置为执行所述认证程序，以实现以下步骤：

若所述群组网关请求接入网络并通过认证，接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求；其中，所述第一MTC设备是所述群组网关管理的MTC设备中第一个请求接入所述群组网关的MTC设备；

响应所述第一接入请求，发送所述第一MTC设备的身份标识至所述认证设备；

接收所述认证设备发送的所述认证向量组并存储；其中，所述认证向量组是所述认证设备基于所述第一MTC设备的身份标识得到的。
根据权利要求11所述的群组网关，其中，所述接收所述第一MTC设备发送的第一参数，并基于所述第一参数和所述第一认证向量对所述第一MTC设备进行认证之后，所述第一处理器还配置为执行所述认证程序，以实现以下步骤：

接收第二MTC设备发送的携带有所述第二MTC设备的身份标识的第二接入请求；

响应所述第二接入请求，基于所述第二MTC设备的身份标识从所述认证向量组中获取所述第二MTC设备的第二认证向量；

基于所述第二认证向量与所述第二MTC设备进行认证。
根据权利要求10所述的群组网关，其中，所述第一处理器还配置为执行所述认证程序，以实现以下步骤：

接收所述第一MTC设备发送的携带有所述第一MTC设备的身份标识的第一接入请求；其中，所述第一MTC设备是所述群组网关管理的MTC设备中的任意一个MTC设备；

响应所述第一接入请求，从所述认证向量组中获取与所述第一MTC设备的身份标识对应的认证向量，得到所述第一认证向量。
根据权利要求10至13中任一所述的群组网关，其中，所述若群组网关请求接入网络并通过认证，接收所述认证设备发送的认证向量组并存储之前，所述第一处理器还配置为执行所述认证程序，以实现以下步骤：

发送携带有所述群组网关的身份标识的第三接入请求至所述认证设备；其中，所述第三接入请求用于指示所述认证设备基于所述群组网关的身份标识获取所述群组网关的第一参数；

接收所述认证设备发送的所述第一参数，并基于所述第一参数对所述认证设备进行认证；

若所述认证设备通过认证，发送第二参数至所述认证设备；其中，所述第二参数用于所述认证设备对所述群组网关进行认证；

若未接收到所述认证设备发送的用于指示所述群组网关认证失败的响应消息，默认所述群组网关通过认证。
根据权利要求10所述的群组网关，其中，所述第一处理器还配置为执行所述认证程序，以实现以下步骤：

获取所述第一认证向量中的第三参数，并发送所述第三参数至所述第一MTC设备；其中，所述第三参数用于所述第一MTC设备对所述群组网关进行认证；

接收所述第一MTC设备发送的第四参数，并基于所述第四参数和所述第一认证向量对所述第一MTC设备进行认证；其中，所述第四参数所述群组网关通过所述第一MTC设备的认证后基于所述第三参数生成得到的。
一种认证设备，包括：第二处理器、第二存储器及第二通信总线；

所述第二通信总线配置为实现所述第二处理器和所述第二存储器之间的连接通信；

所述第二处理器配置为执行所述第二存储器中存储的认证程序，以实现以下步骤：

接收群组网关发送的携带有所述群组网关的身份标识的第三接入请求；

响应所述第三接入请求，基于所述群组网关的身份标识获取所述群组网关的第三认证向量；

获取所述第三认证向量中的第一参数并发送至所述群组网关；其中，所述第一参数用于所述群组网关对所述认证设备进行认证；

接收所述群组网关发送的第二参数，基于所述第二参数和所述第三认证向量对所述群组网关进行认证；

若所述群组网关通过认证，获取认证向量组并发送至所述群组网关；其中，所述认证向量组包括所述群组网关管理的每一机器类通信(MTC)设备的认证向量，所述认证向量组用于所述群组网关与由所述群组网关管理的每一MTC设备进行双向认证。
根据权利要求16所述的认证设备，其中，所述第二处理器还配置为执行认证程序，以实现以下步骤：

若所述群组网关通过认证，接收所述群组网关发送的第一MTC设备的身份标识；其中，所述第一MTC设备是所述群组网关管理的每一MTC设备中第一个请求接入所述群组网关的MTC设备；

基于所述第一MTC设备的身份标识确定所述第一MTC设备的身份标识对应的组标识；

基于所述组标识确定所述群组网关管理的每一MTC设备；

获取每一所述MTC设备的身份标识和每一所述MTC设备的密钥；

基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量，得到所述认证向量组并发送至所述群组网关。
根据权利要求16所述的认证设备，其中，所述第二处理器还配置为执行认证程序，以实现以下步骤：

基于所述第三接入请求中携带的所述群组网关的身份标识确定所述群组网关对应的组标识；

基于所述组标识确定所述群组网关管理的每一MTC设备；

获取每一MTC设备的身份标识和每一所述MTC设备的密钥；

基于每一所述MTC设备的密钥采用预设算法生成每一所述MTC设备的认证向量，得到所述认证向量组；

若所述群组网关通过认证，发送所述认证向量组至所述群组网关。
一种计算机可读存储介质，所述计算机可读存储介质上存储有认证程序，所述认证程序被处理器执行时实现如权利要求1至9中任一项所述的认证方法的步骤。