对mtc设备的认证方法、mtc网关及相关设备的制作方法

文档序号:7741402阅读:260来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:对mtc设备的认证方法、mtc网关及相关设备的制作方法
技术领域
本发明涉及无线通信领域,具体涉及对MTC设备的认证方法、MTC设备网关及相关 设备。
背景技术
机器对机器(M2M,Machine to Machine)技术是无线通信和信息技术的整合,用 于双向通信,适用于安全监测、自动售货机、货物跟踪等领域。根据通信的对象可以将M2M 分为机器对机器、机器对移动终端(如用户远程监视)和移动终端对机器(如用户远程控 制)等三种通信模式。在M2M通信中,接入至网络的M2M设备也被称作机器类型通信(MTC, Machine TypeCommuni cat ion)设备。一般而言,支撑M2M通信的系统中,MTC设备数量巨大。如果按照现有技术的认证 方法直接对每一个MTC设备进行认证,那么每个MTC设备在与网络侧的认证过程中都会有 大量的信令交互。这种大量MTC设备接入网络进行认证时产生的信令流量对网络侧而言是 不可忽略的,并且,大量的认证过程会消耗网络侧的处理能力,这些都会给网络带来沉重的 负荷。

发明内容
本发明实施例提供一种对MTC设备的认证方法、MTC网关及相关设备,用于解决现 有技术在对MTC设备认证时大量MTC设备与网络侧直接交互给网络带来沉重负荷的问题。一种对MTC设备的认证方法,包括MTC网关与核心网节点进行相互认证;所述 MTC网关与MTC设备进行相互认证;所述MTC网关将与所述MTC设备相互认证的结果上报 至所述核心网节点;所述MTC网关根据密钥Kl或密钥K2提供MTC设备和核心网节点之间 的非接入层链路保护密钥K ;其中,所述密钥Kl为所述MTC网关与所述核心网节点进行相 互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法Al以及所述密钥Kl 推衍出的非接入层密钥。一种对MTC设备的认证方法,包括核心网节点与MTC网关进行相互认证;所述核 心网节点接收所述MTC网关发送的所述MTC网关与MTC设备相互认证的结果;所述核心网 节点根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K ; 其中,所述密钥Kl是由所述核心网节点与所述MTC网关进行相互认证过程中生成,所述密 钥K2为所述核心网节点根据密钥算法Al以及所述密钥Kl推衍出的非接入层密钥。一种对MTC设备的认证方法,包括MTC设备与MTC网关进行相互认证;在所述MTC 网关与核心网节点进行相互认证并将与所述MTC设备进行相互认证的结果上报至所述核 心网节点后,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥 K0一种网关,包括认证模块,用于与核心网节点进行相互认证以及与MTC设备进行 相互认证;上报模块,用于将所述认证模块与所述MTC设备相互认证的结果上报至所述核心网节点;密钥提供模块,用于根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非 接入层链路保护密钥K ;其中,所述密钥Kl为所述认证模块与所述核心网节点进行相互认 证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法Al和所述密钥Kl推衍出 的非接入层密钥。一种核心网节点,包括认证模块,用于与MTC网关进行相互认证;接收模块,用于 接收所述MTC网关与MTC设备相互认证的结果;密钥提供模块,用于根据密钥Kl或密钥K2 提供MTC设备和核心网节点之间的非接入层链路保护密钥K。一种MTC设备,包括认证模块,用于与MTC网关进行相互认证;密钥获取模块,用 于在所述MTC网关与核心网节点进行相互认证并将与所述认证模块进行相互认证的结果 上报至所述核心网节点后,根据密钥Kl或密钥K2获取所述MTC设备和核心网节点之间的 非接入层链路保护密钥K ;其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行 认证时根据所述密钥Kl推衍所得的非接入层密钥,所述密钥Kl是由所述MTC网关与核心 网节点相互认证过程中生成。本发明实施例通过核心网节点与MTC网关直接相互认证,再由MTC网关与其连接 的MTC设备组进行相互认证并将认证结果上报至核心网节点。由于核心网节点只与MTC网 关直接相互认证,实际上是由MTC网关代理完成核心网节点与MTC设备的相互认证,因此, 这种方式客观上减少了核心网节点与MTC设备直接相互认证时产生的信令流量,与现有技 术相比,实际上减轻了网络侧的链路负荷,而MTC设备与无线接入网络(RAN,Radio Access Network)节点之间的接入层功能通过MTC网关实现,MTC设备只实现与核心网节点之间的 非接入层功能,这样也降低了 MTC设备的成本。


图1是本发明实施例提供的MTC设备接入核心网的示意图;图2是本发明实施例提供的MTC设备与网络侧相互认证的方法基本流程示意图;图3是本发明实施例一提供的对MTC设备的认证方法基本流程示意图;图4是本发明实施例一提供的MTC网关、MTC设备和核心网节点交互的流程示意 图;图5是本发明实施例二提供的MTC网关、MTC设备和核心网节点交互的流程示意 图;图6是本发明实施例三提供的MTC网关、MTC设备和核心网节点交互的流程示意 图;图7是本发明实施例提供的MTC设备、MTC网关、RAN节点(基站(NB)或演进基站 (eNB))和核心网节点之间的交互流程示意图;图8是是本发明实施例二提供的对MTC设备的认证方法基本流程示意图;图9是本发明实施例三提供的对MTC设备的认证方法基本流程示意图;图10是本发明实施例四提供的MTC网关、MTC设备和核心网节点交互的流程示意 图;图11是本发明实施例一提供的一种网关基本逻辑结构示意图;图12是本发明实施例二提供的一种网关基本逻辑结构示意图13是本发明实施例三提供的一种网关基本逻辑结构示意图;图14是本发明实施例四提供的一种网关基本逻辑结构示意图;图15是本发明实施例五提供的一种网关基本逻辑结构示意图;图16是本发明实施例六提供的一种网关基本逻辑结构示意图;图17是本发明实施例七提供的一种网关基本逻辑结构示意图;图18是本发明实施例一提供的一种核心网节点基本逻辑结构示意图;图19是本发明实施例二提供的一种核心网节点基本逻辑结构示意图;图20是本发明实施例一提供的一种MTC设备基本逻辑结构示意图;图21是本发明实施例二提供的一种MTC设备基本逻辑结构示意图;图22是本发明实施例三提供的一种MTC设备基本逻辑结构示意图;图23是本发明实施例四提供的一种MTC设备基本逻辑结构示意图;图M是本发明实施例五提供的一种MTC设备基本逻辑结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。如图1所示,是本发明实施例一提供的MTC设备接入核心网的示意图。在本实施 例中,MTC设备1至MTC设备N构成一个MTC设备组(Group),MTC设备组与MTC网关连接, MTC网关再通过无线接入网络(RAN,Radio AccessNetwork)节点接入核心网,本发明所有 实施例即是基于这种组网结构对本发明技术方案进行说明。在实施例一中,MTC网关与MTC设备组中的MTC设备不同,它可以是一种特殊的 MTC设备,用于管理与其连接的MTC设备组中的MTC设备,具有与RAN节点之间的接入层 (AS, Access Stratum)功能。而MTC设备组中的MTC设备只具有与核心网节点之间的非 接入层(NAS,Non Access Stratum)功能,可以不具有与RAN节点之间的AS层功能。这种 分层模式可以使得本发明与现有技术提供的认证方式不同,例如,本发明可以是分段认证、 NAS层和AS层的密钥分开生成以及NAS层和AS层链路保护分别实现等等,以下逐一说明。图2是本发明实施例一提供的网络侧与MTC设备相互认证的方法基本流程示意 图,主要包括步骤S201, MTC网关接受核心网节点对其进行认证并对该核心网节点进行认证。在本发明实施例中,核心网节点是指移动性管理实体(MME,MobileManagement Entity)或服务 GPRS 支持节点(SGSN, Serving GPRS Support Node)等,位于网络侧。MTC 网关和核心网节点之间进行相互认证,认证方式可以是认证和密钥协商(Authentication and Key Agreement, AKA)或证书。考虑到与现有系统的兼容性,可以优先使用AKA方式 进行相互认证。若使用AKA方式认证,则认证过程中使用的标识可以是MTC网关管理的 MTC设备组的组标识或者MTC网关的国际移动用户标识(IMSI,International Mobile Subscriberldentity),使用的密钥是该标识对应的基本密钥。由于核心网节点不直接与 MTC设备相互认证,因此,若MTC网关与核心网节点之间的相互认证失败,则MTC网关需要通知与其连接的MTC设备组会话密钥已经失效。至于相互认证的触发条件,在本实施例中,可 以按照现有协议中的所有触发条件触发认证过程,也可以是在MTC设备组更新(例如,增加 MTC设备或减少MTC设备等)时触发MTC网关与核心网节点之间的相互认证。S202, MTC网关对MTC设备进行认证并接受该MTC设备对其进行认证。本实施例的方法都是基于图1所示实施例的MTC设备组网结构,即MTC设备与MTC 网关连接。MTC网关对MTC设备进行互相认证,该认证方式可以使用AKA、扩展的认证协议 AKA (EAP-AKA, Extensible Authenticatiorfrotocol-AKA)AKA 或数字证书等,本发明对 此并不加限制。S203, MTC网关将与MTC设备相互认证的结果上报至核心网节点。由于核心网节点不是直接与MTC设备相互认证,因此,MTC网关必须将其与MTC设 备相互认证的结果上报至核心网节点。只有获知MTC网关与某一或某些MTC设备相互认证 是否成功后,核心网节点才可以进行后续的流程。需要说明的是,在本实施例中,MTC网关除了其自身接入核心网的认证信任状外, 还具有管理MTC设备组中每一个MTC设备的认证信任状和其他安全相关信息。MTC网关可 以通过一个可信的安全环境(例如,TrE等)保存这些认证信任状或其他安全相关信息等 安全管理相关数据。一旦MTC设备组发生改变,MTC网关可以通过开放移动联盟设备管理 (OMA DM, Open MobileAlliance Device Management)或与网络侧网元(例如,HSS、EIR 和 OAM服务器等)同步等方式对安全管理相关数据更新。在上述本发明实施例中,虽然核心网节点(网络侧)没有与MTC设备直接相互认 证,但MTC网关作为代理完成了与核心网节点的相互认证和与组内MTC设备的互相认证,并 将认证结果上报至核心网节点,从而间接完成核心网节点与MTC设备组的相互认证。由于 核心网节点只与MTC网关直接相互认证,实际上是由MTC网关代理完成核心网节点与MTC 设备的相互认证,因此,这种方式客观上减少了核心网节点与MTC设备直接相互认证时产 生的信令流量,与现有技术相比,实际上减轻了网络侧的链路负荷。在本发明实施例中,无论是MTC设备与核心网节点之间NAS层链路的保护还是MTC 设备与RAN节点之间AS层链路的保护都是通过密钥进行。以下通过实施例分别以NAS层 和AS层为例说明这两种协议层链路保护密钥的生成方法。图3是本发明实施例一提供的对MTC设备的认证方法基本流程示意图,详述如 下S301, MTC网关与核心网节点进行相互认证以及MTC网关与MTC设备进行相互认 证;在本发明实施例中,MTC网关与核心网节点进行相互认证以及MTC网关与MTC设 备进行相互认证可以同时进行,也可以分时进行,在分时进行时,本发明对先后顺序并不加 限制。S302, MTC网关将与MTC设备相互认证的结果上报至核心网节点;S303, MTC网关根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入 层链路保护密钥K。在本实施例中,密钥Kl是MTC网关和核心网节点之间进行相互认证过程中生成 的,可以是Kasme密钥,而密钥K2可以是MTC网关选择一种密钥算法Al例如NAS算法并根据该密钥算法和密钥Kl推衍出来的NAS层密钥,其包括NAS完整性保护密钥和加密密钥。 由于密钥Kl是MTC网关和核心网节点之间进行相互认证过程中生成的,因此,可以理解的 是,核心网节点也可以根据密钥Kl而推衍上述密钥K2。作为本发明一个实施例,MTC网关可以将密钥K2下发至与其连接的所有MTC设备。由于MTC设备组中的各MTC设备保存MTC网关下发的密钥K2,而核心网节点也推 衍了该密钥K2,因此,MTC设备或核心网节点可以使用密钥K2保护MTC设备和核心网节点 之间NAS链路上传送的数据,即,在本实施例中,MTC设备可以直接以密钥K2作为其与核心 网节点之间的非接入层链路保护密钥K。图4示出了 MTC网关以密钥K2作为MTC设备和核心网节点之间的非接入层链路 保护密钥K下发至MTC设备时,MTC网关、MTC设备和核心网节点交互的流程,简述如下S41,MTC网关和核心网节点进行相互认证,MTC网关和MTC设备之间进行相互认 证,MTC网关和核心网节点进行相互认证过程中生成密钥Kl和密钥K2 ;S42,MTC网关将与MTC设备进行相互认证的认证结果上报至核心网节点。S43,MTC网关向MTC设备组下发在Sl中推衍的密钥K2。S44,MTC设备保存MTC网关下发的密钥K2。作为本发明另一个实施例,MTC网关也可以采用如下方法提供MTC设备和核心网 节点之间的非接入层链路保护密钥K MTC网关根据密钥算法A2和密钥Kl,或者根据密钥算法A2和密钥K2推衍非接入 层密钥K3 ;MTC网关以非接入层密钥K3作为MTC设备和核心网节点之间的非接入层链路保护 密钥K下发至MTC设备;其中,密钥算法A2是核心网节点接收到MTC网关与MTC设备相互认证的认证结果 后为MTC设备选择的一种密钥算法。为了清楚地说明MTC网关提供MTC设备和核心网节点之间的非接入层链路保护密 钥K这一实施例,图5示出了 MTC网关、MTC设备和核心网节点之间的一种交互流程,简述 如下S51,MTC网关和核心网节点之间进行相互认证,MTC网关和MTC设备之间进行相互 认证,MTC网关根据认证过程中生成的密钥Kl和选择的某种密钥算法Al推衍密钥K2 ;S52,MTC网关将与MTC设备进行相互认证的认证结果上报至核心网节点;S53,核心网节点收到MTC网关上报的与某个MTC设备进行相互认证的认证结果 后,为该某个MTC设备选择一种密钥算法A2,并根据Sl中的密钥Kl和选择的密钥算法A2, 或者根据Sl中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3 ;S54,核心网节点将选择的密钥算法A2下发给该某个MTC设备;S55,该某个MTC设备将核心网节点下发的密钥算法A2发送给MTC网关;S56,MTC网关根据S51中的密钥Kl和选择的密钥算法A2,或者根据S51中的密钥 K2和选择的密钥算法A2推衍非接入层密钥K3 ;需要说明的是,对于SM至S56,一种可替代的方式是核心网节点将选择的密钥 算法A2直接下发给MTC网关,而由MTC网关根据S51中的密钥Kl和选择的密钥算法A2,或 者根据S51中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3。
S57,MTC网关将推衍出的非接入层密钥K3发送至某个MTC设备。显然,由于在S53中,核心网节点也推衍出了非接入层密钥K3,而在S57中,MTC网 关将推衍出的非接入层密钥K3也发送至某个MTC设备,因此,该某个MTC设备就可以以非 接入层密钥K3作为MTC设备和核心网节点之间的非接入层链路保护密钥K对链路上的数 据进行保护。图6示出了 MTC网关提供MTC设备和核心网节点之间的非接入层链路保护密钥K 这一实施例中,MTC网关、MTC设备和核心网节点之间的另一种交互流程,包括S61,MTC网关和核心网节点之间进行相互认证,MTC网关和多个MTC设备之间进 行相互认证,MTC网关根据认证过程中生成的密钥Kl和选择的某种密钥算法Al推衍密钥 K2 ;MTC网关和多个MTC设备之间进行相互认证可以是同时进行,也可以是分时进行, 本实施例对此并不加限定。S62,MTC网关将与该多个MTC设备进行相互认证的认证结果上报至核心网节点;S63,核心网节点收到MTC网关上报的与该多个MTC设备进行相互认证的认证结果 后,为该多个MTC设备选择密钥算法A2,并根据S61中的密钥Kl和选择的密钥算法A2,或 者根据S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3 ;S64,核心网节点将选择的密钥算法A2下发给MTC网关;S65,MTC网关根据Sl中的密钥Kl和选择的密钥算法A2,或者根据Sl中的密钥K2 和选择的密钥算法A2推衍非接入层密钥K3 ;同样需要说明的是,对于S64至S65,一种可替代的方式是核心网节点将选择的 密钥算法A2下发给该多个MTC设备,MTC设备将密钥算法A2发送给MTC网关,再由MTC网 关根据S61中的密钥Kl和选择的密钥算法A2,或者根据S61中的密钥K2和选择的密钥算 法A2推衍非接入层密钥K3。在本实施例中,核心网节点为多个MTC设备选择的密钥算法A2可以是同一种密钥 算法,也可以是根据不同的MTC设备选择不同的密钥算法,批量下发到MTC设备或MTC网关。S66,MTC网关将推衍出的非接入层密钥K3发送至该多个MTC设备。图5所示实施例和图6所示实施例的区别之一在于在图5所示实施例中,由于核 心网节点是根据每一个MTC设备选择密钥算法A2,因此,密钥算法是逐个下发至MTC网关 (或MTC设备),再由MTC网关为各个MTC设备推衍非接入层密钥K3,而在图6所示实施例 中,核心网节点为多个MTC设备选择密钥算法A2时,可以将密钥算法A2批量下发到MTC设 备或MTC网关,再由MTC网关为多个MTC设备推衍非接入层密钥K3。不难理解,当有一个新的MTC设备连接到MTC网关时,即MTC设备组更新时,可以 按照图5所示实施例中的流程进行非接入层密钥K3推衍和更新。当然,若MTC网关和核心 网节点上配置的策略是MTC设备组更新时触发MTC网关和核心网节点之间的认证,那么MTC 网关和核心网节点之间会进行新的认证流程来更新密钥Kl或密钥K2。MTC设备和RAN节点例如基站(NodeB)或演进基站(eNodeB)之间接入层链路保护 密钥的保护可以分段实现MTC设备和MTC网关之间的链路保护为前段链路保护,MTC网关 和RAN节点之间的链路保护为后段链路保护。对于前段链路保护,由于是短距离传输链路(例如蓝牙、Zigbee等)的保护,因此不在3GPP考虑的范围之内,后段链路的保护可以通过 在MTC网关和RAN节点上生成一个密钥KeNB,再由该密钥KeNB推衍MTC网关和RAN节点 之间的空口保护密钥。作为本发明一个实施例,MTC网关可以根据密钥Kl提供MTC网关和 RAN节点之间的接入层链路保护密钥,包括如下步骤S061, MTC网关获取MTC设备提供的消息计数器计数值Ncoimtl ;消息计数器计数值Ncoimtl是在MTC设备与核心网节点进行交互过程中对交互的 消息进行计数所得的值,是MTC设备主动向MTC网关上报或根据MTC网关的请求向MTC网 关上报。S062, MTC网关根据该消息计数器计数值Ncount 1和密钥Kl推衍密钥KeNB ;S063,MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。为了使不同时刻推衍的KeNB不同,即为了保持KeNB最新,也可以除了密钥Kl或 消息计数器计数值Ncoimtl外,再加入其它密钥推衍参数来推衍KeNB,例如MTC设备标识 等,因此,作为本发明另一个实施例,MTC网关根据密钥Kl提供MTC网关和RAN节点之间的 接入层链路保护密钥,包括如下步骤S,061,MTC网关获取MTC设备提供的消息计数器计数值Ncoimtl ;本实施例中消息计数器计数值Ncoimtl与前述实施例中消息计数器计数值 Ncountl的含义相同。S,062,MTC网关获取MTC设备的设备标识;S,063,MTC网关根据消息计数器计数值Ncoimtl、密钥Kl和MTC设备的设备标识 推衍密钥KeNB ;S,064,MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。由于MTC网关自身能够提供与所述核心网节点进行交互过程中对交互的消息进 行计数所得的值,因此,下述步骤是MTC网关根据密钥Kl提供MTC网关和RAN节点之间的 接入层链路保护密钥的又一实施例,包括MTC网关根据消息计数器计数值NC0Unt2和密钥Kl推衍密钥KeNB ;消息计数器计数值NCoimt2是在MTC网关与核心网节点进行交互过程中对交互的 消息进行计数所得的值;MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。为了清楚地说明MTC网关根据密钥Kl提供MTC网关和RAN节点之间的接入层链 路保护密钥这一实施例,图7示出了 MTC设备、MTC网关、RAN节点(基站(NB)或演进基站 (eNB))和核心网节点之间的交互流程,简述如下S71,MTC网关和核心网节点之间进行相互认证,生成密钥K1,MTC网关和MTC设备 之间进行相互认证;S72,第一个接入核心网的MTC设备发送密钥推衍参数至MTC网关;MTC设备组中,第一个通过MTC网关接入到核心网的MTC设备会帮助MTC网关建 立AS层安全。帮助MTC网关建立AS层安全的MTC设备有能力提供推衍根密钥KeNB和空 口保护密钥所需的密钥推衍参数,例如,消息计数器计数值(例如,Ncoimtl)等。在本实施例中,还可以由MTC网关向MTC设备发送一个请求,MTC设备接收到该请求后,将密钥推衍 参数发送给MTC网关,如附图7虚线框中的流程S' 72。S73,MTC网关根据接收的密钥推衍参数推衍密钥KeNB并由密钥KeNB进一步推衍 MTC网关和RAN节点之间的空口保护密钥;S74,核心网节点根据和MTC网关进行相互认证时生成密钥Kl推衍密钥KeNB ;由于多个MTC设备连接到MTC网关时,多个MTC设备共享该MTC网关的AS层,因 此,对于在第一个通过MTC网关接入到核心网并帮助MTC网关建立AS层安全的MTC设备之 后,核心网节点和MTC网关不再为其他接入网络的MTC设备推衍KeNB或者将之后推衍的 KeNB忽略。S75,核心网节点将密钥KeNB发送至RAN节点;S76,RAN节点根据密钥KeNB推衍RAN节点和MTC网关之间的空口保护密钥。从上述实施例可知,在MTC设备通过MTC网关接入核心网时,MTC设备可以只实现 其与网络侧核心网节点之间较高的协议层,例如GMM/SM层或NAS层,MTC设备与网络侧RAN 节点之间较低的协议层(例如,AS层)在MTC网关上实现,因此,无论从软件还是硬件角度, 都降低了 MTC设备自身的成本。图8是本发明实施例二提供的对MTC设备的认证方法基本流程示意图,主要包括 步骤S801,核心网节点与MTC网关进行相互认证;S802,核心网节点接收MTC网关发送的该MTC网关与MTC设备相互认证的结果;S803,核心网节点根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接 入层链路保护密钥K。在本实施例中,密钥Kl或密钥K2与前述实施例中的相同,核心网节点与MTC网关 进行相互认证、核心网节点接收MTC网关发送的该MTC网关与MTC设备相互认证的结果已 在前述实施例中详细说明,此处不再赘述。核心网节点根据密钥Kl或密钥K2提供MTC设 备和核心网节点之间的非接入层链路保护密钥K可以通过以下方式实现S081,核心网节点根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推 衍MTC设备和核心网节点之间的非接入层链路保护密钥K ;需要说明的是,在本实施例中,核心网节点根据密钥算法A2和密钥K1,或者根据 密钥算法A2和密钥K2推衍MTC设备和核心网节点之间的非接入层链路保护密钥K时,可 以为不同的MTC设备选择不同的密钥算法A2、从而为不同的MTC设备推衍不同的非接入层 链路保护密钥K,如前述图5示例中的流程S53和SM所述或如前述图6示例中的流程S63 和S64所述。S082,核心网节点将密钥算法A2下发至MTC网关或MTC设备。之后,MTC网关或MTC设备可以根据密钥算法A2生成MTC设备和核心网节点之间 的非接入层链路保护密钥K。在本实施例中,核心网节点、MTC网关和MTC设备之间的交互 如图5或图6所示,请参阅图5或图6及其文字说明,此处不再赘述。图9是本发明实施例三提供的对MTC设备的认证方法基本流程示意图,主要包括 步骤S901, MTC设备与MTC网关进行相互认证;
S902,在MTC网关与核心网节点进行相互认证并将与MTC设备进行相互认证的结 果上报至核心网节点后,该MTC设备获取MTC设备和核心网节点之间的非接入层链路保护 密钥K。MTC设备与MTC网关进行相互认证、MTC网关将其与MTC设备进行相互认证的结果 上报至核心网节点已在前述实施例中详细说明,此处不再赘述。在本实施例中,MTC设备获取MTC设备和核心网节点之间的非接入层链路保护密 钥K可以是MTC设备接收MTC网关下发的密钥K2 ;MTC设备直接以密钥K2为MTC设备和 核心网节点之间的非接入层链路保护密钥K,例如,在图4示例流程S41至S43中,MTC网关 推衍密钥K2,在S44中将推衍的密钥K2下发至MTC设备组。或者,MTC设备直接接收MTC 网关下发的密钥K3 ;MTC设备以密钥K3为MTC设备和核心网节点之间的非接入层链路保护 密钥K,例如,在图5或图6示例流程S55至S57或S65至S67的可替代方式中,核心网节点 将选择的密钥算法A2直接下发给MTC网关,而由MTC网关根据S51或S61中的密钥Kl和 选择的密钥算法A2,或者根据S51或S61中的密钥K2和选择的密钥算法A2推衍密钥K3, 然后,MTC网关将推衍出的非接入层密钥K3发送至某个MTC设备或多个设备,如此,MTC设 备以密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K。本实施例中,密钥K2和非接入层链路保护密钥K的含义与图4示例相同,MTC设 备能够直接以密钥K2作为MTC设备和核心网节点之间的非接入层链路保护密钥K的原因 也在图4示例中说明。以下分别给出MTC设备获取MTC设备和核心网节点之间的非接入层链路保护密钥 K的另两种方式。方式一S911,MTC设备接收密钥算法A2 ;S912,MTC设备将密钥算法A2发送至MTC网关;S913,MTC设备接收MTC网关下发的密钥K3并以所述密钥K3为MTC设备和核心 网节点之间的非接入层链路保护密钥K。对于上述S912、S913,示例可以参阅图5或图6。在图5或图6示例的流程S55或 流程S64中,核心网节点下发的密钥算法A2被发送给MTC网关后,MTC网关根据图5或图 6示例的流程S51或流程S61中的密钥Kl和选择的密钥算法A2,或者根据流程S51或流程 S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3 ;MTC网关推衍出的密钥K3被 某个或多个MTC设备接收后,MTC设备可以以该密钥K3为MTC设备和核心网节点之间的非 接入层链路保护密钥K。方式二S921,MTC设备接收MTC网关下发的密钥Kl或MTC网关下发的密钥K2 ;S922,MTC设备接收密钥算法A2 ;S923,MTC设备根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2生成 MTC设备和核心网节点之间的非接入层链路保护密钥K ;上述实施方式中,密钥算法A2、密钥Kl或密钥K2均与前述实施例中的相同,不另 行说明。为了清楚地说明上述方式二这一实施例,图10示出了 MTC网关、MTC设备和核心网节点之间的一种交互流程,简述如下S101, MTC网关和核心网节点之间进行相互认证,MTC网关和MTC设备之间进行相 互认证,MTC网关根据认证过程中生成的密钥Kl和选择的某种密钥算法Al推衍密钥K2 ;S102, MTC网关将与某个MTC设备进行相互认证的认证结果上报至核心网节点;S103,MTC网关将其与核心网节点之间进行相互认证过程中生成的密钥Kl或根据 密钥Kl和选择的某种密钥算法Al推衍出的密钥K2下发至MTC设备;S104,核心网节点为某个MTC设备选择一种密钥算法A2,并根据SlOl中的密钥Kl 和选择的密钥算法A2或者根据SlOl中的密钥K2和选择的密钥算法A2推衍非接入层密钥 K3 ;S105,核心网节点将选择的密钥算法A2下发给该某个MTC设备;S106,该某个MTC设备根据密钥Kl和密钥算法A2,或者根据密钥K2和密钥算法 A2推衍非接入层密钥K3。K3即是MTC设备和核心网节点之间的非接入层链路保护密钥K。在本发明实施例中,由于密钥Kl是在MTC网关和核心网节点之间进行相互认证时 推衍出,这里有必要对MTC网关和核心网节点之间进行相互认证的触发条件加以说明。在 本发明实施例中,MTC网关和核心网节点之间进行相互认证的触发条件可以是MTC设备组 发生更新时、在某个定时器到期时或MTC设备组中某个MTC设备的NAS消息计数器达到计 数最大值时MTC网关和核心网节点就进行相互认证。为了避免频繁触发MTC网关和核心网节点之间的认证从而频繁更新MTC设备和核 心网节点之间的密钥K1,也可以设置密钥Kl的生存期(Lifetime),在生存期完结时MTC网 关和核心网节点就进行相互认证,开始生成密钥K1。需要说明的是,为了减少认证时产生的信令流量,应该保证核心网节点只对MTC 网关触发认证而禁止对与MTC网关直接相连的MTC设备触发认证。在本发明实施例中,可 以采用下述方式达到上述目的。方式一核心网节点通过识别设备标识或设备标志位来区分MTC网关和MTC设备, 从而保证只对MTC网关触发认证而不对与MTC网关直接相连的MTC设备触发认证。例如, 可以在核心网节点的用户设备上下文(Context)字段中增加设备标志位,使用不同的设备 标志位(例如,比特“0”或比特“1”)来区分MTC网关和MTC设备,或者,将MTC网关和MTC 设备采用不同的IMSI范围作为设备标识进行区分。方式二 禁止MTC设备在发起初始层三消息是触发认证,即消息中增加一个IE,核 心网节点根据此IE判断禁止对与MTC网关直接相连的MTC设备触发认证;方式三MTC网关将自身的密钥标识符(Key Set Identifier,KSI)发送至与其连 接的每个MTC设备,MTC设备在发起初始层三消息时携带该KSI,核心网节点根据此KSI区 分MTC网关和MTC设备。从上述本发明实施例可知,在MTC设备通过MTC网关接入核心网时,MTC设备可以 只实现其与网络侧核心网节点之间的较高的协议层,例如GMM/SM层或NAS层,而不需要实 现与网络侧RAN节点之间的较低的协议层,例如,AS层,因此,无论从软件还是硬件角度,降 低了 MTC设备自身的成本。图11是本发明实施例一提供的一种网关基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单元、软件 模块/单元或软硬件相结合的模块/单元。该网关包括认证模块111、上报模块112和密钥 提供模块113。认证模块111,用于与核心网节点进行相互认证以及与MTC设备进行相互认证;上报模块112,用于将认证模块111与MTC设备相互认证的结果上报至核心网节占.
^ \\\ 密钥提供模块113,用于根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的 非接入层链路保护密钥K,其中,密钥Kl为认证模块111与核心网节点进行相互认证过程中 生成的密钥,密钥K2为MTC网关根据密钥算法Al和密钥Kl推衍出的非接入层密钥。密钥提供模块113可以包括第一密钥下发单元121,如图12所示,用于以密钥K2 作为MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备。密钥提供模块113还可以包括密钥推衍单元131和第二密钥下发单元132,如图 13所示,其中密钥推衍单元131,用于根据密钥算法A2和认证模块111与核心网节点进行相互 认证过程中生成的密钥K1,或者根据密钥算法A2和密钥K2推衍非接入层密钥K3 ;第二密钥下发单元132,用于将密钥推衍单元131推衍的非接入层密钥K3作为 MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备。图11至图13所示实施例的网关还可以进一步包括接入层链路保护密钥提供模块 141,如图14所示。接入层链路保护密钥提供模块141用于根据认证模块111与核心网节 点进行相互认证过程中生成的密钥K1,提供MTC网关和无线接入网络节点之间的接入层链 路保护密钥。图14所示接入层链路保护密钥提供模块141可以包括计数值获取单元151、密钥 KeNB第一推衍单元152和接入层链路保护密钥推衍单元153,如图15所示,其中计数值获取单元151,用于获取MTC设备提供的消息计数器计数值Ncoimtl,该消 息计数器计数值Ncoimtl是在MTC设备与核心网节点进行交互过程中对交互的消息进行计 数所得的值;密钥KeNB第一推衍单元152,用于根据密钥Kl和计数值获取单元151获取的消息 计数器计数值Ncoimtl推衍密钥KeNB ;接入层链路保护密钥第推衍单元153,用于根据密钥KeNB第一推衍单元152推衍 的密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。图14所示接入层链路保护密钥提供模块141可以包括计数值获取单元151、设备 标识获取单元161、密钥KeNB第二推衍单元162和接入层链路保护密钥推衍单元153,如图 16所示,其中计数值获取单元151,用于获取MTC设备提供的消息计数器计数值Ncoimtl,该消 息计数器计数值Ncoimtl是在MTC设备与核心网节点进行交互过程中对交互的消息进行计 数所得的值设备标识获取单元161,用于获取MTC设备的设备标识;密钥KeNB第二推衍单元162,用于根据消息计数器计数值Ncoimtl、密钥Kl和设 备标识推衍密钥KeNB ;
接入层链路保护密钥第推衍单元153,用于根据密钥KeNB第二推衍单元162推衍 的密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。图14所示接入层链路保护密钥提供模块141可以包括密钥KeNB第三推衍单元 171和接入层链路保护密钥推衍单元153,如图17所示,其中,密钥KeNB第三推衍单元171 用于根据消息计数器计数值NCoimt2和密钥Kl推衍密钥KeNB,消息计数器计数值NCoimt2 是在MTC网关与核心网节点进行交互过程中对交互的消息进行计数所得的值。图18是本发明实施例一提供的一种核心网节点基本逻辑结构示意图。为了便于 说明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单 元、软件模块/单元或软硬件相结合的模块/单元。该核心网节点包括认证模块181、接收 模块182和密钥提供模块183,其中认证模块181,用于与MTC网关进行相互认证;接收模块182,用于接收MTC网关与MTC设备相互认证的结果;密钥提供模块183,用于根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的 非接入层链路保护密钥K。密钥提供模块183可以进一步包括密钥推衍单元1931和下发单元1932,如图19 所示,其中密钥推衍单元1931,用于根据密钥算法A2和密钥Kl,或者根据密钥算法A2和密 钥K2推衍MTC设备和核心网节点之间的非接入层链路保护密钥K ;下发单元1932,用于将密钥算法A2下发至MTC网关或MTC设备以使MTC网关或 MTC设备根据密钥算法A2生成MTC设备和核心网节点之间的非接入层链路保护密钥K。在图18和图19所示实施例中,密钥算法A2是核心网节点接收MTC网关与MTC设 备相互认证的认证结果后为MTC设备选择的一种密钥算法。图20是本发明实施例一提供的一种MTC设备基本逻辑结构示意图。为了便于说 明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单 元、软件模块/单元或软硬件相结合的模块/单元。该MTC设备包括认证模块201和密钥 获取模块202,其中认证模块201,用于与MTC网关进行相互认证;密钥获取模块202,用于在MTC网关与核心网节点进行相互认证并将与认证模块 201进行相互认证的结果上报至核心网节点后,根据密钥Kl或密钥K2获取MTC设备和核心 网节点之间的非接入层链路保护密钥K。图20所示实施例中密钥获取模块202可以包括第一接收单元211,如图21所示, 用于接收MTC网关下发的密钥K2。图20所示实施例中密钥获取模块202可以包括第二接收单221和密钥推衍单元 222,如图22所示,其中第二接收单元221,用于接收密钥算法A2和MTC网关下发的密钥Kl或MTC网关下 发的密钥K2;密钥推衍单元222,用于根据第二接收单元221接收的密钥算法A2和密钥K1,或 者根据第二接收单元221接收的密钥算法A2和密钥K2生成MTC设备和核心网节点之间的 非接入层链路保护密钥K。
图20所示实施例中密钥获取模块202可以包括第三接收单元231、发送单元232 和第四接收单元233,如图23所示,其中第三接收单元231,用于接收密钥算法A2 ;发送单元232,用于将第三接收单元231接收的密钥算法A2发送至MTC网关;第四接收单元233,用于接收MTC网关下发的密钥K3。图20所示实施例中密钥获取模块202可以包括第五接收单元M1,如图M所示, 用于接收MTC网关下发的密钥K3。在图20至图M所示实施例中,密钥算法A2是核心网节点接收MTC网关与MTC设 备相互认证的认证结果后为MTC设备选择的密钥算法,密钥K2是MTC网关与核心网节点进 行相互认证时根据密钥Kl推衍所得的非接入层密钥,密钥Kl是由MTC网关与核心网节点 相互认证过程中生成,密钥K3是MTC网关根据密钥算法A2和密钥K1,或者根据密钥算法 A2和密钥K2推衍所得。需要说明的是,上述设备各模块/单元之间的信息交互、执行过程以及技术效果 等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的 说明,此处不再赘述。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存 储介质可以包括只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。以上对本发明实施例所提供的对MTC设备的认证方法、MTC网关及相关设备进行 了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例 的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员, 依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内 容不应理解为对本发明的限制。
权利要求
1.一种对MTC设备的认证方法,其特征在于,包括MTC网关与核心网节点进行相互认证;所述MTC网关与MTC设备进行相互认证;所述MTC网关将与所述MTC设备相互认证的结果上报至所述核心网节点;所述MTC网关根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入层链路 保护密钥K ;其中,所述密钥Kl为所述MTC网关与所述核心网节点进行相互认证过程中生成的密 钥,所述密钥K2为所述MTC网关根据密钥算法Al以及所述密钥Kl推衍出的非接入层密钥。
2.如权利要求1所述的方法,其特征在于,所述MTC网关根据密钥Kl或密钥K2提供 MTC设备和核心网节点之间的非接入层链路保护密钥K包括所述MTC网关以所述密钥K2作为MTC设备和所述核心网节点之间的非接入层链路保 护密钥K下发至所述MTC设备。
3.如权利要求1所述的方法,其特征在于,所述MTC网关根据所述密钥Kl或密钥K2提 供MTC设备和核心网节点之间的非接入层链路保护密钥K包括所述MTC网关根据密钥算法A2和所述密钥Kl,或者根据密钥算法A2和所述密钥K2推 衍非接入层密钥K3 ;所述MTC网关以所述非接入层密钥K3作为MTC设备和所述核心网节点之间的非接入 层链路保护密钥K下发至所述MTC设备;其中,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证 的认证结果后为所述MTC设备选择的一种密钥算法。
4.如权利要求1至3任意一项所述的方法,其特征在于,所述MTC网关根据所述密钥Kl 或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K之后进一步包括所述MTC网关根据所述密钥Kl提供MTC网关和无线接入网络节点之间的接入层链路 保护密钥。
5.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥Kl提供MTC网 关和无线接入网络节点之间的接入层链路保护密钥包括所述MTC网关获取MTC设备提供的消息计数器计数值Ncoimt 1,所述消息计数器计数值 Ncountl是在所述MTC设备与所述核心网节点进行交互过程中对交互的消息进行计数所得 的值;所述MTC网关根据所述消息计数器计数值Ncoimtl和所述密钥Kl推衍密钥KeNB ;所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链 路保护密钥。
6.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥Kl提供MTC网 关和无线接入网络节点之间的接入层链路保护密钥包括所述MTC网关获取MTC设备提供的消息计数器计数值Ncoimtl,所述计数值Ncoimtl是 在所述MTC设备与所述核心网节点进行交互过程中对交互的消息进行计数所得的值;所述MTC网关获取MTC设备的设备标识;所述MTC网关根据所述消息计数器计数值Ncoimtl、所述密钥Kl和所述MTC设备的设 备标识推衍密钥KeNB ;所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链 路保护密钥。
7.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥Kl提供MTC网 关和无线接入网络节点之间的接入层链路保护密钥包括所述MTC网关根据消息计数器计数值NCoimt2和所述密钥Kl推衍密钥KeNB,所述消息 计数器计数值NCoimt2是在所述MTC网关与所述核心网节点进行交互过程中对交互的消息 进行计数所得的值;所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链 路保护密钥。
8.一种对MTC设备的认证方法,其特征在于,包括核心网节点与MTC网关进行相互认证;所述核心网节点接收所述MTC网关发送的所述MTC网关与MTC设备相互认证的结果;所述核心网节点根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入层链 路保护密钥K ;其中,所述密钥Kl是由所述核心网节点与所述MTC网关进行相互认证过程中生成,所 述密钥K2为所述核心网节点根据密钥算法Al以及所述密钥Kl推衍出的非接入层密钥。
9.如权利要求8所述的方法,其特征在于,所述核心网节点根据所述密钥Kl或所述密 钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K包括所述核心网节点根据密钥算法A2和所述密钥Kl,或者根据密钥算法A2和所述密钥K2 推衍所述MTC设备和所述核心网节点之间的非接入层链路保护密钥K ;所述核心网节点将所述密钥算法A2下发至所述MTC网关或MTC设备以使所述MTC网 关或MTC设备根据所述密钥算法A2生成MTC设备和所述核心网节点之间的非接入层链路 保护密钥K ;其中,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证 的认证结果后为所述MTC设备选择的一种密钥算法。
10.一种对MTC设备的认证方法,其特征在于,包括MTC设备与MTC网关进行相互认证;在所述MTC网关与核心网节点进行相互认证并将与所述MTC设备进行相互认证的结果 上报至所述核心网节点后,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层 链路保护密钥K。
11.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网 节点之间的保护密钥K包括所述MTC设备接收MTC网关下发的密钥K2 ;所述MTC设备以所述密钥K2为MTC设备和核心网节点之间的非接入层链路保护密钥K ;其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥Kl 推衍所得的非接入层密钥,所述密钥Kl是由所述MTC网关与核心网节点相互认证过程中生 成。
12.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K包括所述MTC设备接收所述MTC网关下发的密钥Kl或所述MTC网关下发的密钥K2 ; 所述MTC设备接收密钥算法A2 ;所述MTC设备根据所述密钥算法A2和所述密钥Kl,或者根据所述密钥算法A2和所述 密钥K2生成MTC设备和核心网节点之间的非接入层链路保护密钥K ; 其中所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认 证结果后为所述MTC设备选择的一种密钥算法;所述密钥K2是所述MTC网关与所述核心网节点进行相互认证时根据所述密钥Kl推衍 所得的非接入层密钥,所述密钥Kl是由所述MTC网关与核心网节点相互认证过程中生成。
13.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网 节点之间的非接入层链路保护密钥K包括所述MTC设备接收密钥算法A2 ;所述MTC设备将密钥算法A2发送至所述MTC网关;所述MTC设备接收所述MTC网关下发的密钥K3并以所述密钥K3为MTC设备和核心网 节点之间的非接入层链路保护密钥K ;其中,所述密钥K3是所述MTC网关根据所述密钥算法A2和所述密钥Kl,或者根据所述 密钥算法A2和所述密钥K2推衍所得,所述密钥K2是所述MTC网关与所述核心网节点相互 进行认证时根据所述密钥Kl推衍所得的非接入层密钥,所述密钥Kl是由所述MTC网关与 核心网节点相互认证过程中生成。
14.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网 节点之间的非接入层链路保护密钥K包括所述MTC设备接收所述MTC网关下发的密钥K3 ;所述MTC设备以所述密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K;其中,所述密钥K3是所述MTC网关根据密钥算法A2和密钥Kl,或者根据密钥算法A2 和密钥K2推衍所得的非接入层密钥,所述密钥K2是所述MTC网关与所述核心网节点相互 进行认证时根据所述密钥Kl推衍所得,所述密钥Kl是由所述MTC网关与核心网节点相互 认证过程中生成。
15.一种网关,其特征在于,包括认证模块,用于与核心网节点进行相互认证以及与MTC设备进行相互认证; 上报模块,用于将所述认证模块与所述MTC设备相互认证的结果上报至所述核心网节占.密钥提供模块,用于根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入 层链路保护密钥K ;其中,所述密钥Kl为所述认证模块与所述核心网节点进行相互认证过程中生成的密 钥,所述密钥K2为所述MTC网关根据密钥算法Al和所述密钥Kl推衍出的非接入层密钥。
16.如权利要求15所述网关,其特征在于,所述密钥提供模块包括第一密钥下发单元; 所述第一密钥下发单元,用于以所述密钥K2作为MTC设备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备;或者密钥提供模块包括密钥推衍单元和第二密钥下发单元;所述密钥推衍单元,用于根据密钥算法A2和所述密钥Kl,或者根据密钥算法A2和所述 密钥K2推衍非接入层密钥K3,所述密钥算法A2是所述核心网节点接收所述MTC网关与所 述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法;所述第二密钥下发单元,用于将所述密钥推衍单元推衍的非接入层密钥K3作为MTC设 备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备。
17.一种核心网节点,其特征在于,包括 认证模块,用于与MTC网关进行相互认证;接收模块,用于接收所述MTC网关与MTC设备相互认证的结果; 密钥提供模块,用于根据密钥Kl或密钥K2提供MTC设备和核心网节点之间的非接入 层链路保护密钥K。
18.如权利要求17所述的核心网节点,其特征在于,所述密钥提供模块包括密钥推衍单元,用于根据密钥算法A2和所述密钥Kl,或者根据密钥算法A2和所述密钥 K2推衍所述MTC设备和所述核心网节点之间的非接入层链路保护密钥K ;下发单元,用于将所述密钥算法A2下发至所述MTC网关或MTC设备以使所述MTC网关 或MTC设备根据所述密钥算法A2生成MTC设备和所述核心网节点之间的非接入层链路保 护密钥K,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证 的认证结果后为所述MTC设备选择的一种密钥算法。
19.一种MTC设备,其特征在于,包括 认证模块,用于与MTC网关进行相互认证;密钥获取模块,用于在所述MTC网关与核心网节点进行相互认证并将与所述认证模块 进行相互认证的结果上报至所述核心网节点后,根据密钥Kl或密钥K2获取所述MTC设备 和核心网节点之间的非接入层链路保护密钥K ;其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥Kl 推衍所得的非接入层密钥,所述密钥Kl是由所述MTC网关与核心网节点相互认证过程中生 成。
20.如权利要求19所述的MTC设备,其特征在于,所述密钥获取模块包括第一接收单元;所述第一接收单元,用于接收MTC网关下发的密钥K2,所述密钥K2是所述MTC网关与 所述核心网节点相互进行认证时根据所述密钥Kl推衍所得的非接入层密钥; 或者所述密钥获取模块包括第二接收单和密钥推衍单元;所述第二接收单元,用于接收密钥算法A2和所述MTC网关下发的密钥Kl或所述MTC 网关下发的密钥K2;所述密钥推衍单元,用于根据所述第二接收单元接收的密钥算法A2和所述密钥K1,或 者根据所述第二接收单元接收的密钥算法A2和所述密钥K2生成MTC设备和核心网节点之 间的非接入层链路保护密钥K ;或者所述密钥获取模块包括第三接收单元、发送单元和第四接收单元; 所述第三接收单元,用于接收密钥算法A2 ;所述发送单元,用于将密钥算法A2发送至所述MTC网关; 所述第四接收单元,用于接收所述MTC网关下发的密钥K3; 或者所述密钥获取模块包括第五接收单元; 所述第五接收单元,用于接收所述MTC网关下发的密钥K3 ;所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认 证结果后为所述MTC设备选择的一种密钥算法,所述密钥K2是所述MTC网关与所述核心网 节点进行相互认证时根据所述密钥Kl推衍所得的非接入层密钥,所述密钥Kl是由所述MTC 网关与核心网节点相互认证过程中生成,所述密钥K3是所述MTC网关根据密钥算法A2和 密钥Kl,或者根据密钥算法A2和密钥K2推衍所得。
全文摘要
本发明实施例提供一种对MTC设备的认证方法、MTC网关及相关设备,用于解决现有技术在对MTC设备认证时大量MTC设备与网络侧直接交互给网络带来沉重负荷的问题。所述方法包括MTC网关与核心网节点进行相互认证;MTC网关与MTC设备进行相互认证;所述MTC网关将与所述MTC设备相互认证的结果上报至所述核心网节点;所述MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。本发明减轻了网络侧的链路负荷,而MTC设备与RAN节点之间的接入层功能通过MTC网关实现,MTC设备只实现与核心网节点之间的非接入层功能,这样也降低了MTC设备的成本。
文档编号H04W88/16GK102143491SQ20101010493
公开日2011年8月3日 申请日期2010年1月29日 优先权日2010年1月29日
发明者刘晓寒, 张丽佳, 许怡娴, 黄迎新 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘晓寒;许怡娴;黄迎新;张丽佳
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
认证网关相关技术
安全认证网关相关技术
天翼网关破解方法相关技术
短信网关设备相关技术
岭博认证网关相关技术
吉大正元身份认证网关相关技术
身份认证网关相关技术
北师大上网认证网关相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2