专利名称:一种mtc服务器共享密钥的方法及系统的制作方法
技术领域:
本发明涉及移动通信系统和机器类通信(Machine Type Communication, MTC)技木,尤其涉及ー种MTC服务器共享密钥的方法及系统。
背景技术:
MTC是指应用无线通信技术实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。机器对机器(machine to machine,M2M)有两层含义第一层是机器本身,在嵌入式领域称为智能设备;第二层意思是机器和机器之间的连接,通过网络把机器连接在一起,从而使人类生活更加智能化。MTC的应用范围非常广泛,例如智能測量、 远程监控、跟踪、医疗等。与传统的人与人之间的通信相比,MTC设备(M2M Device)数量巨大,应用领域广泛,具有巨大的市场前景。在MTC通信中,主要的远距离连接技术包括全球移动通讯系统(GlcAalSystem for Mobile Communications, GSM) / 通用分组无线服务技术(GeneralPacket Radio Service, GPRS)/通用移动通信系统(Universal MobileTelecommunications System,UMTS),近距离连接技术主要有 802. llb/g、蓝牙、Zigbee、射频识别(Radio Frequency Identification, RFID)等。由于MTC整合了无线通信和信息技木,可用于双向通信,如远距离收集信息、设置參数和发送指令,因此可实现不同的应用方案,如安全监测、自动售货、货物跟踪等,几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。MTC提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。GBA (Generic Bootstrapping Architecture)是指通用引导架构,GBA体系架构定义了ー种在终端和服务器之间的通用的密钥协商机制。图1为GBA体系架构的网络模型示意图,如图1所示,GBA网络模型主要包括如下网元UE =UE是终端设备(如手机)和(U) SIM卡的总称,可以是插卡的移动终端(如手机等),也可以是插卡的固定终端(如机顶盒等);NAF(Network Application Function)即应用服务器,实现应用的业务逻辑功能,在完成对终端的认证后为终端提供业务服务;BSF (Bootstrapping Server Function) :BSF 是 GBA 的核心网元,BSF 和 UE 通过 AKA协议实现认证,并且协商出随后用于UE和NAF间通信的应用密钥,BSF能够根据本地策略设定密钥的生命期;HSS (Home Subscriber System)即用户归属服务器,存储了终端(U) S頂卡中的鉴权数据,如SIM卡中的Ki等;SLF (Subscription Locator Function)即签约位置功能,BSF 通过查询 SLF 获得存储相关用户数据的HSS名称。在単一 HSS环境和中并不需要SLF,另外,当BSF配置成使用预先指定的HSS吋,也不要求使用SLF。在移动通信系统中引入MTC设备后,MTC设备可能需要与多个MTC服务器进行通信。对于ー个MTC设备与ー个MTC服务器通信的情况下,MTC设备与MTC服务器可以通过GBA过程建立会话密钥并建立安全连接,但是,当MTC设备需要与多个MTC服务器进行通信吋,需要在MTC设备与之前的MTC服务器通信完成后,才能通过GBA过程建立安全连接。这限制了 MTC设备同时与多个MTC服务器进行安全通信的能力,降低网络资源的使用效率。
发明内容
有鉴于此,本发明的主要目的在于提供ー种MTC服务器共享密钥的方法及系统, MTC设备能够同时与多个MTC服务器进行安全通信,从而提高网络资源的使用效率。在本发明中MTC业务与M2M业务都是指机器类通信服务器(MTC服务器)提供的业务。为达到上述目的,本发明的技术方案是这样实现的ー种机器类通信MTC服务器共享密钥的方法,包括MTC设备与第一 MTC服务器通过通用引导架构GBA过程建立安全连接并进行安全通信吋,所述MTC设备与第二 MTC服务器需要进行安全通信,则所述MTC设备向所述第二 MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1 ;第二 MTC服务器收到所述MTC设备的请求消息后,向BSF发送认证请求,所述认证请求包含第二 MTC服务器的主机标识NAF-ID2, B-TID和第一 MTC服务器的主机标识 NAF-ID1 ;BSF收到第二 MTC服务器的认证请求后,根据认证请求中携帯的B-TID和NAF-ID1 生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第二 MTC服务器。所述认证请求响应消息还携带安全设置信息,包括引导时间和会话密钥的生命周期。第二 MTC服务器收到会话密钥Knaf后,该方法还包括第二 MTC服务器向MTC设备发送请求响应消息。所述BSF根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,该方法还包括BSF验证认证请求中携帯的MTC服务器主机名NAF-W2的有效性,并进ー步验证 NAF-ID1的有效性。 所述BSF根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,该方法还包括BSF判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和 NAF-ID1生成会话密钥Knaf,所述BSF判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥为 BSF根据HSS保存的MTC服务器之间关于密钥的共享关系进行判断,或者,BSF将NAF-ID1和 NAF-ID2发送给HSS,根据HSS返回的判断结果进行判断。所述MTC服务器位于移动通信网络内或位于移动通信网络外,所述移动通信网络包括3GPP网络和3GPP2网络。ー种MTC服务器共享密钥的系统,包括MTC设备、第一 MTC服务器、第二 MTC服务器和BSF;其中,所述MTC设备,用于在与第一 MTC服务器通过GBA过程建立安全连接并进行安全通信的同时又需要与第二 MTC服务器进行安全通信吋,向所述第二 MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1 ;所述第二 MTC服务器,用于在收到所述MTC设备的请求消息后,向BSF发送认证请求,所述认证请求包含第二 MTC服务器的主机标识NAF-ID2, B-TID和第一 MTC服务器的主机标识NAF-ID1 ;所述BSF,用于在收到第二 MTC服务器的认证请求后,根据认证请求中携帯的 B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第 ニ MTC服务器。所述BSF发送给第二 MTC服务器的认证请求响应消息还携带安全设置信息,包括引导时间和会话密钥的生命周期。所述第二 MTC服务器,还用于在收到会话密钥Knaf后,向MTC设备发送请求响应消肩、ο所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,验证认证请求中携帯的MTC服务器主机名NAF-ID2的有效性,并进ー步验证NAF-ID1的有效性。该系统还包括HSS,所述HSS,用于保存MTC服务器之间关于密钥的共享关系;所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,根据HSS保存的MTC服务器之间关于密钥的共享关系,判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。该系统还包括HSS,所述HSS,用于保存MTC服务器之间关于密钥的共享关系;以及在收到来自BSF的 NAF-ID1和NAF-ID2后,根据所述保存的MTC服务器之间关于密钥的共享关系判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,并向BSF返回判断结果;所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,将NAF-ID1和NAF-W2发送给HSS,并根据HSS返回的判断结果判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC 服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。所述MTC服务器位于移动通信网络内或位于移动通信网络外,所述移动通信网络包括3GPP网络和3GPP2网络。本发明MTC服务器共享密钥的方法及系统,MTC设备与第一 MTC服务器通过通用引导架构GBA过程建立安全连接并进行安全通信吋,所述MTC设备需要与第二 MTC服务器进行安全通信,则所述MTC设备向所述第二 MTC服务器发送请求信息(包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1);第 ニ MTC服务器向BSF发送认证请求(包含第二 MTC服务器的主机标识NAF-ID2,B-TID和第一 MTC服务器的主机标识NAF-ID1) ;BSF根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第二 MTC服务器。
通过本发明,在MTC设备与ー个MTC服务器已经建立了安全连接并正在使用的情况下,如果MTC设备与一个新的MTC服务器需要通过GBA建立安全连接,则MTC设备与新的 MTC服务器不需要通过ー个新的GBA过程建立新的会话密钥Knaf,可以通过本发明的会话密钥共享方法使得MTC设备同时与多个MTC服务器进行安全通信,提高网络资源的使用效率。
图1为GBA体系架构的网络模型示意图;图2为本发明MTC服务器共享密钥的方法流程示意图;图3为本发明实施例中实现MTC服务器共享密钥的系统架构示意图;图4为本发明实施例中MTC服务器共享密钥方法流程示意图。
具体实施例方式本发明的基本思想是MTC设备与第一 MTC服务器通过通用引导架构GBA过程建立安全连接并进行安全通信吋,所述MTC设备与第二 MTC服务器需要进行安全通信,则所述 MTC设备向所述第二 MTC服务器发送请求信息(包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1);第二 MTC服务器向BSF发送认证请求(包含第二 MTC服务器的主机标识NAF-ID2,B-TID和第一 MTC服务器的主机标识NAF-ID1) ;BSF根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第二 MTC服务器。图2为本发明MTC服务器共享密钥的方法流程示意图,如图2所示,该方法包括步骤201 =MTC设备与第一 MTC服务器建立安全连接并进行安全通信。这里,MTC设备需要与第一 MTC服务器进行通信吋,通过GBA过程建立所述MTC设备与所述第一 MTC服务器之间的会话密钥KNAF。本发明中,MTC设备是指移动通信网络中用于机器到机器通信的设备,MTC服务器可以位于移动通信网络内,也可以位于移动通信网络外。在本发明中,移动通信网络包括 3GPP网络和3GPP2网络。如果所述MTC设备还需要进ー步与第二 MTC服务器进行通信,在所述MTC设备与所述第二 MTC服务器确定要采用GBA的情况下,还包括如下步骤步骤202 所述MTC设备需要与第二 MTC服务器进行安全通信,并确定采用GBA。步骤203 所述MTC设备向所述第二 MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识 NAF-ID1。该请求信息表示要求第二 MTC服务器使用MTC设备与第一 MTC服务器正在使用的
云诂 _Μ阴ο步骤204 第二MTC服务器收到所述MTC设备的请求消息后,向BSF发送认证请求, 所述认证请求包含第二 MTC服务器的主机标识NAF-ID2,B-TID和第一 MTC服务器的主机标识 NAF-ID1。该认证请求表示第二 MTC服务器向BSF请求与B-TID和第一 MTC服务器主机名 NAF-ID1相关的密钥材料。
步骤205 :BSF收到第二 MTC服务器的认证请求后,首先验证认证请求中携帯的 MTC服务器主机名NAF-ID2的有效性,并进ー步验证MTC服务器主机名NAF-ID1的有效性。 然后根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf及相关安全设置信息,包括引导时间和会话密钥的生命周期等用户安全设置,一起通过认证请求响应消息发送给第二 MTC服务器。可选的,在BSF验证NAF-ID2与NAF-ID1的有效性后,可以进ー步验证NAF-ID2与 NAF-ID1的关系,即判断主机名为NAF-ID1的第一 MTC服务器是否允许主机名为NAF-ID2的第二服务器共享第一 MTC服务器正在使用的会话密钥KNAF。BSF判断是否允许所述第二 MTC 服务器和所述第一 MTC服务器共享密钥可以有以下两种方式BSF根据HSS保存的MTC服务器之间关于密钥的共享关系进行判断,或者,BSF将NAF-ID1和NAF-W2发送给HSS,根据 HSS返回的判断结果进行判断。步骤206 第二 MTC服务器收到会话密钥Knaf后,向MTC设备发送请求响应消息。类似的,如果MTC设备需要进ー步与其他MTC服务器通信吋,可以根据以上过程与其他服务器建立共享会话密钥。可以看出,通过本发明,在MTC设备与ー个MTC服务器A建立安全连接后,所述MTC 设备可以进一歩与一个新的MTC服务器B建立安全连接,換言之,在MTC设备与新的MTC服务器B建立安全连接的过程中,如果MTC设备与MTC服务器A已经建立了安全连接并正在使用,则MTC设备与新的MTC服务器B不需要通过ー个新的GBA过程建立新的会话密钥Knaf, 可以通过上述步骤共享会话密钥Knaf,从而能够使MTC设备同时与多个MTC服务器进行安全通信,提高网络资源的使用效率。本发明还相应地提出了ー种MTC服务器共享密钥的系统,该系统包括MTC设备、第一 MTC服务器、第二 MTC服务器和BSF ;其中,所述MTC设备,用于在与第一 MTC服务器通过GBA过程建立安全连接并进行安全通信的同时又需要与第二 MTC服务器进行安全通信吋,向所述第二 MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1 ;所述第二 MTC服务器,用于在收到所述MTC设备的请求消息后,向BSF发送认证请求,所述认证请求包含第二 MTC服务器的主机标识NAF-ID2, B-TID和第一 MTC服务器的主机标识NAF-ID1 ;所述BSF,用于在收到第二 MTC服务器的认证请求后,根据认证请求中携帯的 B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第 ニ MTC服务器。所述BSF发送给第二 MTC服务器的认证请求响应消息还携带安全设置信息,安全设置信息包括引导时间和会话密钥的生命周期。所述第二 MTC服务器,还用于在收到会话密钥Knaf后,向MTC设备发送请求响应消息。
所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,验证认证请求中携帯的MTC服务器主机名NAF-ID2的有效性,并进ー步验证NAF-ID1的有效性。
该系统还包括HSS,用于保存MTC服务器之间关于密钥的共享关系;在基于本发明的系统中,所述HSS还可以保存不同MTC服务器之间的关系,即MTC服务器之间关于密钥的共享关系,如以MTC服务器关系列表的形式保存不同MTC服务器之间的关系。不同MTC服务器之间的关系用于共享密钥吋,BSF验证MTC服务器之间是否可以共享会话密钥。所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前,根据HSS保存的MTC服务器之间关于密钥的共享关系,判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。或者,该系统还包括HSS,所述HSS,用于保存MTC服务器之间关于密钥的共享关系;以及在收到来自BSF的NAF-ID1和NAF-ID2后,根据所述保存的MTC服务器之间关于密钥的共享关系判断是否允许所述第二MTC服务器和所述第一MTC服务器共享密钥,并向BSF 返回判断结果;所述BSF,还用于根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前, 将NAF-ID1和NAF-W2发送给HSS,并根据HSS返回的判断结果判断是否允许所述第二 MTC 服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。所述MTC服务器位于移动通信网络内或位于移动通信网络外,所述移动通信网络包括3GPP网络和3GPP2网络。上述MTC设备指移动通信网络中用于机器到机器通信的设备,是用户用于机器类通信的设备,UICC卡安装在MTC设备中,BSF和MTC设备通过AKA协议实现认证,并且协商出随后用于MTC设备和MTC业务服务器间通信的会话密钥,BSF能够根据本地策略设定密钥的生命期;MTC服务器为MTC用户提供M2M业务。MTC服务器可以位于移动通信网络内, 也可以位于移动通信网络外。在本发明中,移动通信网络包括3GPP网络和3GPP2网络。下面结合具体实施例对本发明技术方案的实施作进ー步的详细描述。实施例图3为本发明实施例中实现MTC服务器共享密钥的系统架构示意图,如图3所示, 该系统包括MTC设备(用户用于机器类通信的设备)、用户识别卡(如UICC,一般安装在 MTC 设备中)、BSF (Bootstrapping Server Function)禾ロ MTC 月艮务器(为 MTC 用户提供 MTC 业务)、HSS (Home Subscriber System,用户归属服务器)。其中,BSF和MTC设备通过AKA 协议实现认证,并且协商出随后用于MTC设备和MTC服务器间通信的会话密钥Knaf,BSF能够根据本地策略设定密钥的生命周期;可选的,在基于本发明的系统中,所述HSS还可以保存不同MTC服务器之间的关系,如以MTC服务器关系列表的形式保存不同MTC服务器之间的关系。不同MTC服务器之间的关系用于共享密钥吋,BSF验证MTC服务器之间是否可以共享会话密钥。图4为本发明实施例中MTC服务器共享密钥方法流程示意图,如图4所示,具体包括以下步骤步骤401 =MTC设备与MTC服务器A通过GBA过程建立会话密钥KNAF。步骤402 =MTC设备还需要进ー步与MTC服务器B进行通信,那么,在MTC设备与 MTC服务器B确定要采用GBA方式的情况下,MTC设备向MTC服务器B发送请求消息,该请求信息中包含MTC设备与MTC服务器A正在使用的引导标识B-TID,及MTC服务器A的主机标识 NAF-IDA。该请求信息表示要求MTC服务器B使用MTC设备与MTC服务器A正在使用的会话密钥。步骤403 =MTC服务器B收到MTC设备的请求后,向BSF发送认证请求,认证请求信息包含MTC服务器B的主机标识NAF-IDb, B-TID及MTC服务器A的主机标识NAF_IDa。
该请求信息表示MTC服务器B向BSF请求与B-TID和MTC服务器A主机名NAF-IDa 相关的密钥材料。步骤404 =BSF收到MTC服务器B的认证请求后,首先验证MTC服务器主机名 NAF-IDb的有效性。然后根据B-TID和NAF-IDA生成会话密钥Knaf,并将Knaf及相关的安全设置信息,包括引导时间(bootstrap time)、会话密钥的生命周期(lifetime)等用户安全设置信息,一起通过认证请求响应消息发送给MTC服务器B。步骤405 =MTC服务器B收到认证请求响应消息后,保存会话密钥相关信息,并向 MTC设备发送请求响应消息。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.ー种机器类通信MTC服务器共享密钥的方法,其特征在于,该方法包括MTC设备与第一 MTC服务器通过通用引导架构GBA过程建立安全连接并进行安全通信吋,所述MTC设备与第二 MTC服务器需要进行安全通信,则所述MTC设备向所述第二 MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC服务器的主机标识NAF-ID1 ;第二 MTC服务器收到所述MTC设备的请求消息后,向BSF发送认证请求,所述认证请求包含第二 MTC服务器的主机标识NAF-ID2, B-TID和第一 MTC服务器的主机标识NAF-ID1 ;BSF收到第二 MTC服务器的认证请求后,根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第二 MTC服务器。
2.根据权利要求1所述的方法,其特征在干,所述认证请求响应消息还携带安全设置信息,包括引导时间和会话密钥的生命周期。
3.根据权利要求1所述的方法,其特征在干,第二MTC服务器收到会话密钥Knaf后,该方法还包括第二 MTC服务器向MTC设备发送请求响应消息。
4.根据权利要求1所述的方法,其特征在干,所述BSF根据认证请求中携帯的B-TID和 NAF-ID1生成会话密钥Knaf之前,该方法还包括BSF验证认证请求中携帯的MTC服务器主机名NAF-ID2的有效性,并进ー步验证NAF-ID1的有效性。
5.根据权利要求1至4任一项所述的方法,其特征在干,所述BSF根据认证请求中携带的B-TID和NAF-ID1生成会话密钥Knaf之前,该方法还包括BSF判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC 服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf,所述BSF判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥为BSF 根据HSS保存的MTC服务器之间关于密钥的共享关系进行判断,或者,BSF将NAF-ID1和 NAF-ID2发送给HSS,根据HSS返回的判断结果进行判断。
6.根据权利要求1至4任一项所述的方法,其特征在干,所述MTC服务器位于移动通信网络内或位于移动通信网络外,所述移动通信网络包括3GPP网络和3GPP2网络。
7.—种MTC服务器共享密钥的系统,其特征在干,该系统包括MTC设备、第一 MTC服务器、第二 MTC服务器和BSF ;其中,所述MTC设备,用于在与第一 MTC服务器通过GBA过程建立安全连接并进行安全通信的同时又需要与第二MTC服务器进行安全通信吋,向所述第二MTC服务器发送请求信息,所述请求信息中包含所述MTC设备与第一 MTC服务器正在使用的引导标识B-TID和第一 MTC 服务器的主机标识NAF-ID1 ;所述第二 MTC服务器,用于在收到所述MTC设备的请求消息后,向BSF发送认证请求, 所述认证请求包含第二 MTC服务器的主机标识NAF-ID2,B-TID和第一 MTC服务器的主机标识 NAF-ID1;所述BSF,用于在收到第二 MTC服务器的认证请求后,根据认证请求中携帯的B-TID和 NAF-ID1生成会话密钥Knaf,并将所述生成的Knaf通过认证请求响应消息发送给第二 MTC服务器。
8.根据权利要求7所述的系统,其特征在干,所述BSF发送给第二MTC服务器的认证请求响应消息还携带安全设置信息,包括引导时间和会话密钥的生命周期。
9.根据权利要求7所述的系统,其特征在干,所述第二 MTC服务器,还用于在收到会话密钥Knaf后,向MTC设备发送请求响应消息。
10.根据权利要求7所述的系统,其特征在干,所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前, 验证认证请求中携帯的MTC服务器主机名NAF-W2的有效性,并进ー步验证NAF-ID1的有效性。
11.根据权利要求7至10任一项所述的方法,其特征在于,该系统还包括HSS,所述HSS,用于保存MTC服务器之间关于密钥的共享关系;所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前, 根据HSS保存的MTC服务器之间关于密钥的共享关系,判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。
12.根据权利要求7至10任一项所述的方法,其特征在于,该系统还包括HSS,所述HSS,用于保存MTC服务器之间关于密钥的共享关系;以及在收到来自BSF的 NAF-ID1和NAF-ID2后,根据所述保存的MTC服务器之间关于密钥的共享关系判断是否允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,并向BSF返回判断结果;所述BSF,还用于在根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥Knaf之前, 将NAF-ID1和NAF-W2发送给HSS,并根据HSS返回的判断结果判断是否允许所述第二 MTC 服务器和所述第一 MTC服务器共享密钥,判定允许所述第二 MTC服务器和所述第一 MTC服务器共享密钥,则根据认证请求中携帯的B-TID和NAF-ID1生成会话密钥KNAF。
13.根据权利要求7至10任一项所述的系统,其特征在干,所述MTC服务器位于移动通信网络内或位于移动通信网络外,所述移动通信网络包括3GPP网络和3GPP2网络。
全文摘要
本发明公开一种MTC服务器共享密钥的方法,MTC设备与第一MTC服务器通过GBA过程建立安全连接并进行安全通信时,可以向第二MTC服务器发送请求信息(包含MTC设备与第一MTC服务器正在使用的引导标识B-TID和第一MTC服务器的主机标识NAF-ID1);第二MTC服务器向BSF发送认证请求(包含第二MTC服务器的主机标识NAF-ID2、B-TID和NAF-ID1);BSF验证NAF-ID2和NAF-ID1有效后,根据B-TID和NAF-ID1生成会话密钥KNAF,并发送给第二MTC服务器。本发明还相应地公开一种MTC服务器共享密钥的系统,通过本发明,能够使MTC设备同时与多个MTC服务器进行安全通信,提高网络资源的使用效率。
文档编号H04W12/00GK102595389SQ20111000856
公开日2012年7月18日 申请日期2011年1月14日 优先权日2011年1月14日
发明者余万涛 申请人:中兴通讯股份有限公司