专利名称:一种m2m通信中的组认证方法和系统的制作方法
技术领域:
本发明涉及通信安全领域,尤其涉及一种机器与机器(M2M,MaChine-t0-MaChine) 通信中的组认证方法和系统。
背景技术:
随着全球信息化,以及通信网络技术的出现和发展,人类社会出现了巨大的变化; 人与人之间可以更便捷地进行沟通,信息的交换也越来越频繁。然而,当前只有在人为干预的情况下,计算机或其他一些IT设备才具备联网和通信的能力,众多普通的机器类设备几乎不具备联网和通信能力。如何让这些普通的机器类设备具备联网和通信能力,以便让通信网络技术更好地为社会生活提供服务和保障,使城市变得智能化;在这种需求的驱动下, M2M通信的概念被引入到通信网络技术中。M2M通信的目标就是,使所有机器类设备都具备联网和通信能力,从而实现机器与机器、机器与人、人与机器之间的信息交换。为了确保信息的准确有效性,需要在M2M通信中引入安全机制。现有2G和3G移动网络系统的安全机制主要有认证和加密等。所谓认证,即为识别对方身份合法性的过程。下面简述全球移动通信系统(UMTS,Universal Mobile Telecommunication System)的认证禾口密钥协商机制(AKA, Authentication and Key Agreement)认证过程。在演进分组系统(EPS,EvolvedPacket System)中,AKA认证过程和 UMTS系统并无本质区别。UMTS的AKA认证基于存储在归属位置寄存器(HLR,Home Location Register)和内置在终端全球用户识别卡(USIM, Universal Subscriber Identity Module)中的根密钥K进行认证,其认证过程如下1、终端向服务节点SGSN/拜访位置寄存器(VLR,Visitor Location Register)发出接入请求;服务节点SGSN/VLR根据终端标识向认证中心HLR/AuC发起认证请求;认证中心HLR/AuC生成多组认证向量,每组认证向量有认证向量五元组组成随机数RAND、期望响应XRES、认证令牌AUTN、机密性密钥CK、完整性密钥IK。2、认证中心HLR/AuC将生成的认证向量五元组发送给请求认证的服务节点SGSN/ VLR。3、服务节点SGSN/VLR从认证中心HLR/AuC发来的多组认证向量五元组中选择一组,将其中的RAND、AUTN发送至接入请求的终端。4、终端中USIM卡检查AUTN可否接受,如AUTN是否由有效的认证令牌组成。5、终端收到认证消息后,首先计算消息认证码XMAC,并与认证令牌AUTN中的消息认证码MAC进行比较,如果不同,则拒绝认证,并放弃认证过程。同时,终端验证接收到的序列号SQN是否在有效范围内,若不在有效范围内,则向服务节点SGSN/VLR发送同步失败消息,并放弃认证过程。6、当上述验证通过后,终端计算出响应值RES,并发送给服务节点SGSN/VLR ;服务节点SGSN/VLR比较终端发送的RES和认证中心发送的XRES是否一致;如果一致,则认证通过,否则认证失败;终端USIM卡同时计算机密性密钥IK和完整性密钥CK,用于后续数据发送时的机密性和完整性保护。 现有移动网络都是为human-to-human设计的,对于机器与机器、机器与人、人与机器之间的通信并非最佳。随着M2M技术的发展,终端数量将呈现极大的增长,由此而产生的信令、数据对现有移动网络将产生极大的冲击。如果每个机器类通信(MTC,Machine Type Communication)设备都单独地执行认证,那么网络由于认证所承载的信令负荷也会随着终端数量的增长而成几何级数的增长,甚至导致网络拥塞,进而影响到网络的服务质量和用户的业务体验。 当许多MTC设备被部署为属于同一个MTC用户的MTC设备组,或当所有在同一个地点的MTC设备被分在一个组时,对于组中所有MTC设备的认证代价也是很高的,也常常是不必要的。由于现有移动网络认证技术难以满足日益增长的MTC设备的认证需求,因此需要一种优化的认证机制来减轻由于认证而带来的大量信令负荷。
发明内容
有鉴于此,本发明的主要目的在于提供一种M2M通信中的组认证方法和系统,以提高认证效率,减轻由于MTC设备数量大量增长而带来的认证信令负荷。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种M2M通信中的组认证方法,包括接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;所述ASME根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。该方法进一步包括所述ASME接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则所述ASME根据自身存在的组认证向量对所述MTC设备进行组认证;若不存在,则所述ASME向认证中心发送认证请求,所述认证中心返回的组认证向量,所述ASME根据认证中心返回的组认证向量对所述MTC设备进行组认证。 所述ASME向认证中心发送认证请求,根据认证中心返回的组认证向量对MTC设备进行组认证,具体为所述ASME向认证中心发送认证请求,其中包括所述MTC设备的标识信息和组标识 fn息;所述认证中心根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME ;所述ASME存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数, 并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME根据自身存在的组认证向量对MTC设备进行组认证,具体为所述ASME生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的所述组认证向量发送给所述MTC设备;所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致, 则组认证通过;否则,组认证不通过。所述ASME在全球移动通信系统(UMTQ网络中为GPRS服务支持节点(SGSN)或拜访位置寄存器(VLR),在演进分组系统(EPS)网络中为移动性管理实体(MME)。所述认证中心在UMTS网络中为归属位置寄存器(HLR)或鉴权中心(AuC),在EPS 网络中为归属用户服务器(HSS)。本发明还提供了一种M2M通信中的组认证系统,包括MTC设备和ASME,其中,所述MTC设备,用于向所述ASME发送接入请求,并接受所述ASME的组认证;所述ASME,用于接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。该系统还包括认证中心,用于根据所述ASME发送的认证请求,返回组认证向量;相应的,所述ASME进一步用于,在接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则根据自身存在的组认证向量对所述MTC设备进行组认证;若不存在,则向认证中心发送认证请求,并根据所述认证中心返回的组认证向量对所述MTC设备进行组认证。所述ASME进一步用于,在判断不存在对应的所述组认证向量时,向所述认证中心发送所述认证请求,其中包括所述MTC设备的标识信息和组标识信息;相应的,所述认证中心进一步用于,根据所述组标识信息查询对应的组签约信息, 根据所述组签约信息、组密钥和组认证策略生成所述组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME ;所述ASME进一步用于,存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC 设备;所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。所述ASME进一步用于,在判断存在对应的组认证向量时,生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的组认证向量发送给所述MTC设备;相应的,所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
所述ASME在UMTS网络中为SGSN或VLR,在EPS网络中为MME ;所述认证中心在 UMTS网络中为HLR或AuC,在EPS网络中为HSS。本发明所提供的一种M2M通信中的组认证方法和系统,由接入安全管理设备 (ASME)接收来自MTC设备的接入请求,并根据接入请求中携带的MTC设备的标识信息和组标识信息,判断自身是否存在与MTC设备对应的组认证向量;如果判断不存在,则ASME向认证中心发送认证请求,并根据认证中心返回的组认证向量对MTC设备进行组认证;如果判断存在,则ASME根据自身存在的组认证向量对MTC设备进行组认证。通过本发明,能够提高认证效率,减轻由于MTC设备数量大量增长而带来的认证信令负荷。
图1为本发明一种M2M通信中的组认证方法流程图;图2为本发明实施例一的组认证方法流程图;图3为本发明实施例二的组认证方法流程图;图4为本发明实施例三的组认证方法流程图;图5为本发明实施例四的组认证方法流程图;图6为本发明一种M2M通信中的组认证系统的结构示意图。
具体实施例方式下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。本发明所提供的一种M2M通信中的组认证方法,如图1所示,主要包括以下步骤步骤101,接入安全管理设备(ASME,Access Security ManagementEquipment)接收来自MTC设备的接入请求,并获得该接入请求中携带的MTC设备的标识信息和组标识信肩、ο步骤202,ASME根据该MTC设备对应的组认证向量,对该MTC设备进行组认证。ASME接收来自MTC设备的接入请求后,判断自身是否存在与该MTC设备对应的组认证向量;若存在,则ASME根据自身存在的组认证向量对该MTC设备进行组认证;若不存在,则ASME向认证中心发送认证请求,认证中心返回的组认证向量,ASME根据认证中心返回的组认证向量对MTC设备进行组认证。包括以下两种情况一、当某一 MTC设备为所属MTC设备组内首个接入网络的MTC设备时,该MTC设备向网络发起接入请求,ASME根据接入请求中携带的MTC设备的标识信息和组标识信息,判断自身不存在该MTC设备对应的组认证向量;ASME向认证中心发送认证请求,其中包括该 MTC设备的标识信息和组标识信息;认证中心根据组标识信息查询对应的组签约信息,根据组签约信息、组密钥和组认证策略生成组认证向量,并将组认证向量及签约组成员的相关信息发送至ASME ;ASME存储组认证向量及签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将本地随机数与组认证向量发送给MTC设备;MTC设备根据接收的组认证向量生成组响应,并将组标识信息和组响应返回给ASME ;ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。二、当某一 MTC设备为所属MTC设备组内非首个接入网络的MTC设备时,该MTC设备向网络发起接入请求,ASME根据接入请求中携带的MTC设备的标识信息和组标识信息, 判断自身存在该MTC设备对应的组认证向量;ASME生成本地随机数,并计算变形组期望响应,将本地随机数与自身存在的组认证向量发送给MTC设备;MTC设备根据接收的组认证向量生成组响应,并将组标识信息和组响应返回给ASME ;ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。需要说明的是,本发明中的组密钥可以是预定义的长期组根密钥,也可以是动态更新的短期组密钥;该组密钥由认证中心与MTC设备组中的MTC设备共享。通过本发明的组认证方法,当首个接入网络的MTC设备完成所属组至网络的接入认证后,接入安全管理设备将存储相应的组认证向量;当组内其他MTC设备接入网络时,接入安全管理设备使用存储的组认证向量对其进行认证。通过此种方式能够极大地减轻网络侧的信令负荷,尤其是核心网侧的信令负荷,提高MTC终端接入的认证效率。下面再结合具体实施例对本发明的组认证方法进一步详细阐述。图2和图3为UMTS网络中共享相同组密钥的MTC设备组的认证流程,其中接入安全管理设备(ASME,Access Security Management Equipment)为 GPRS 服务支持节点 (SGSN)/VLR,认证中心为HLR/AuC。具体的,签约为同一组的MTC设备与认证中心共享相同的组标识信息GIDi、组密钥Kg,各MTC设备与认证中心共享相同的根密钥K。在认证中心预先配置组签约信息以及组认证策略。图2为UMTS网络的一组MTC设备中首个接入网络的MTC设备的认证流程图。本实施例为组内首个接入网络的MTC设备的认证流程,具体包含以下步骤步骤201,共享同一组签约信息的MTC设备中首个接入网络的MTC设备向网络侧发起接入请求,请求消息中包含该MTC设备的标识信息以及该设备所属组的组标识信息;具体的,本实施例中首个接入网络的MTC设备的标识信息可以为该MTC设备的国际移动用户识别码(IMSI, International MobileSubscriber Identification Number),组标识信息可以为该MTC设备所属组的GIDi。步骤202,网络侧的SGSN/VLR根据接入请求中携带的MTC设备的标识信息及组标识信息,判断是否存在相应的组认证向量,由于该MTC设备为所属组的首个接入网络的MTC 设备,因此SGSN/VLR不存在相应的组认证向量。步骤203,SGSN/VLR向认证中心HLR/AuC发起认证请求,请求消息中携带该MTC设备的标识信息IMSI及所属组的组标识信息GIDi。步骤204,认证中心HLR/AuC根据组标识信息查询对应的组签约信息,并根据查询的组签约信息、组密钥Kg和组认证策略,生成相应的组认证向量。具体的,组认证向量是根据相应的组认证策略生成,组认证策略中包含一些生成相应密钥的算法,如哈希算法,还有生成组认证向量的密钥生成算法等;这里,密钥生成算法及哈希算法可以是现有的任一种或几种算法。组认证向量由组密钥及组签约信息(如组标识信息等的相关信息)生成。步骤205,HLR/AuC返回组认证向量响应给SGSN/VLR,该消息中包含组认证向量 组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组完整性密钥GIKi 和组机密性密钥GCKi,同时消息中还携带该组中所有MTC设备的IMSI标识以及各MTC设备的根密钥所对应的哈希值hash (Ki)。具体的,HLR/AuC根据设定的哈希算法计算每个MTC设备的根密钥所对应的哈希值。步骤206,SGSN/VLR存储HLR/AuC发送的组认证向量及签约组成员的相关信息,并生成本地随机数RANDi,根据本地随机数RANDi和组期望响应GXRESi,生成变形组期望响应 GXRESi'ο步骤207,SGSN/VLR发送组认证请求给首个接入网络的MTC设备,请求消息中包含组认证指令GA Indicator,随机数RANDi、组标识GIDi、组随机数GRANDi和组认证令牌 GAUTNi。步骤208,首个接入网络的MTC设备,根据组密钥Kg、随机数RANDi、组随机数 GRANDi和组认证令牌GAUTNi,计算出组响应GRESi、组完整性密钥GIKi和组机密性密钥 GCKi。步骤209,首个接入网络的MTC设备向SGSN/VLR发送组认证应答,消息中包含组标识GIDi、组响应GRESi。步骤210,SGSN/VLR比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi,是否一致,如果一致,则认证通过,否则认证失败。步骤211,SGSN/VLR根据组机密性密钥GCKi和组完整性密钥GIKi,以及该设备根密钥的哈希值hash (Ki),生成机密性密钥CK和完整性密钥IK,用于数据机密性和完整性保护。步骤212,首个接入网络的MTC设备根据组机密性密钥GCKi和组完整性密钥 GIKi,以及自身设备根密钥哈希值hash (Ki),生成机密性密钥CK和完整性密钥IK,用于数据机密性和完整性保护。图3为UMTS网络一组MTC设备中组内其他MTC设备的认证流程图。本实施例为组内其他MTC设备(非首个接入网络的MTC设备)的认证流程,具体包含以下步骤
步骤301,MTC设备向网络发起接入请求,请求消息中包含该MTC设备的标识信息及所属组的组标识信息;具体的,本实施例中的MTC设备的标识信息为该MTC设备的IMSI, 组标识信息为该MTC设备所属组的GIDi。步骤302,SGSN/VLR根据收到的接入请求消息,根据组标识信息判断是否存在相应的组认证向量,由于该MTC设备非首个接入网络的MTC设备,因此SGSN/VLR已存在相应的组认证向量,以及相应的签约组信息,各MTC设备的根密钥所对应的哈希值hash (Ki)。步骤303,SGSN/VLR找到相应的组认证向量,并生成本地随机数RAND,根据本地随机数RAND和组期望响应GXRESi,计算出变形组期望响应GXRESi,。步骤304,SGSN/VLR向MTC设备发起组认证请求,请求消息中包含组认证指令GA hdicator、随机数RAND、组标识GIDi、组随机数GRANDi和组认证令牌GAUTNi。步骤305,MTC设备根据随机数RAND、组密钥Kg、组随机数GRANDi和组认证令牌 GAUTNi,计算出组响应GRESi、组机密性密钥GCKi和组完整性密钥GIKi。步骤306,MTC设备发送组认证响应给SGSN/VLR,消息中包含组标识GIDi,组响应 GRESi。步骤307,SGSN/VLR比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi,,如果一致,则认证通过,如果不一致,则认证失败。步骤308,SGSN/VLR根据组机密性密钥GCKi和组完整性密钥GIKi,以及该MTC设备根密钥的哈希值hash (Ki),生成CK和IK进行机密性和完整性保护。步骤309,MTC设备根据组机密性密钥GCKi和组完整性密钥GIKi,以及自身设备根密钥的哈希值hash (Ki),生成CK和IK进行机密性和完整性保护。图4和图5为EPS网络中共享相同组密钥的MTC设备组认证流程,其中接入安全管理设备ASME为移动性管理实体(MME),认证中心为归属用户服务器(HSS)。具体的,签约为同一组的MTC设备与认证中心共享相同的组标识信息GIDi、组密钥Kg,各MTC设备与认证中心共享相同的根密钥K。在认证中心预先配置组签约信息以及组认证策略。图4为EPS网络的一组MTC设备中首个接入网络的MTC设备的认证流程图。本实施例为组内首个接入网络的MTC设备的认证流程,具体包含以下步骤步骤401,共享同一组签约信息的MTC设备中首个接入网络的MTC设备向网络侧发起接入请求,请求消息中包含该MTC设备的标识信息以及该设备所属组的组标识信息;具体的,本实施例中首个接入网络的MTC设备的标识信息为该MTC设备的IMSI,组标识信息为该MTC设备所属组的GIDi。步骤402,网络侧的MME判断是否存在相应的组认证向量,由于该MTC设备为所属组内首个接入网络的MTC设备,因此MME不存在相应的组认证向量。步骤403,MME向认证中心HSS发起认证请求,请求消息中携带该MTC设备的标识信息IMSI及其所属组的组标识信息GIDi。步骤404,认证中心HSS根据组标识信息查询其组签约信息,并根据组密钥Kg和组认证策略,生成相应的组认证向量。具体的,组认证向量是根据相应的组认证策略生成,组认证策略中包含一些生成相应密钥的算法,如哈希算法,还有生成组认证向量的密钥生成算法等;这里,密钥生成算法及哈希算法可以是现有的任一种或几种算法。组认证向量包含组标识GIDi、组随机数 GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组密钥集识别码GKSIasmei和组接入网元密钥GKasmei。组认证向量由组密钥及组签约信息(如组标识信息等的相关信息)生成。步骤405,认证中心HSS返回组认证向量响应给MME,该消息中包含组认证向量 组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi、组期望响应GXRESi、组接入网元密钥 GKasmei和组密钥集识别码GKSIasmei,同时消息中还携带该组中所有MTC设备的IMSI标识以及各MTC设备的根密钥所对应的哈希值hash (Ki)。具体的,HLR/AuC根据设定的哈希算法计算每个MTC设备的根密钥所对应的哈希值。步骤406,MME存储HSS发送的组认证向量响应及签约组成员的相关信息,并生成本地随机数RANDi,根据RANDi和GXRESi,生成变形组期望响应GXRESi,。步骤407,MME发送组认证请求给首个接入网络的MTC设备,请求消息中包含组认证指令GA hdicator、随机数RANDi、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei。步骤408,首个接入网络的MTC设备根据组密钥Kg、随机数RANDi、组随机数 GRANDi、组认证令牌GAUTNi和组密钥集识别码GKSIasmei,计算出组响应GRESi和组接入网元密钥GKasmei。
步骤409,首个接入网络的MTC设备向MME发送组认证响应,消息中包含组标识 GIDi、组响应 GRESi。步骤410,MME比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi,是否一致,如果一致, 则认证通过,否则认证失败。步骤411,MME根据组接入网元密钥GKasmei,以及该设备根密钥的哈希值 hash (Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性保护密钥。步骤412,首个接入网络的MTC设备根据组接入网元密钥GKasmei,以及自身设备根密钥的哈希值hash (Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性保护密钥。图5为EPS网络的一组MTC设备中组内其他MTC设备的认证流程图。本实施例组内其他MTC设备认证流程具体包含以下步骤步骤501,MTC设备向网络发起接入请求,请求消息中包含该MTC设备的标识信息及所属组的组标识信息;具体的,本实施例中的MTC设备的标识信息为该MTC设备的IMSI, 组标识信息为该MTC设备所属组的GIDi。步骤502,MME根据收到的接入请求消息,根据组标识信息判断是否存在组认证向量,由于该MTC设备非首个接入网络的MTC设备,因此MME已存在相应的组认证向量,以及相应的签约组信息,各MTC设备的根密钥所对应的哈希值hash (Ki)。步骤503,MME找到相应的组认证向量,并生成本地随机数RAND,根据本地随机数 RAND和组期望响应GXRESi,计算出变形组期望响应GXRESi,。步骤504,MME向MTC设备发起组认证请求,请求消息中包含组认证指令GA hdicator、随机数RAND、组标识GIDi、组随机数GRANDi、组认证令牌GAUTNi和组密钥集识别码 GKSIasme i。步骤505,MTC设备根据随机数RAND、组密钥Kg、组随机数GRANDi、组认证令牌 GAUTNi和组密钥集识别码GKSIasmei,计算出组响应GRESi和组接入网元密钥GKasmei。步骤506,MTC设备发送组认证响应给MME,消息中包含组标识GIDi和组响应 GRESi。步骤507,MME比较组标识GIDi是否一致,如果不一致,则认证失败;如果一致,则继续比较组标识GIDi对应的组响应GRESi和变形组期望响应GXRESi,是否一致,如果一致, 则认证通过,如果不一致,则认证失败。步骤508,MME根据组接入网元密钥GKasmei,以及该MTC设备根密钥的哈希值 hash (Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性密钥。步骤509,MTC设备根据组接入网元密钥GKasmei,以及自身设备根密钥的哈希值 hash (Ki),生成接入网元密钥Kasmei,并基于Kasmei生成机密性和完整性密钥。对应上述组认证方法,本发明还提供了一种M2M通信中的组认证系统,如图6所示,该系统包括MTC设备10和ASME 20。其中,MTC设备10,用于向ASME 20发送接入请求,并接受ASME 20的组认证。ASME 20,用于接收来自MTC设备10的接入请求,并获得接入请求中携带的MTC设备10的标识信息和组标识信息;根据该MTC设备10对应的组认证向量,对该MTC设备10进行组认证。
进一步的,该系统还可以包括认证中心30,用于根据ASME 20发送的认证请求, 返回组认证向量;相应的,ASME 20进一步用于,在接收来自MTC设备10的接入请求后,判断自身是否存在与MTC设备10对应的组认证向量;若存在,则根据自身存在的组认证向量对MTC设备10进行组认证;若不存在,则向认证中心30发送认证请求,并根据认证中心30返回的组认证向量对MTC设备10进行组认证。需要说明的是,ASME 20在UMTS网络中可以为SGSN或VLR,在EPS网络中可以为 MME ;认证中心30在UMTS网络中可以为HLR或AuC,在EPS网络中可以为HSS。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种机器与机器(M2M)通信中的组认证方法,其特征在于,该方法包括接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;所述ASME根据所述MTC设备对应的组认证向量,对所述MTC设备进行组认证。
2.根据权利要求1所述M2M通信中的组认证方法,其特征在于,该方法进一步包括 所述ASME接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则所述ASME根据自身存在的组认证向量对所述MTC设备进行组认证; 若不存在,则所述ASME向认证中心发送认证请求,所述认证中心返回的组认证向量, 所述ASME根据认证中心返回的组认证向量对所述MTC设备进行组认证。
3.根据权利要求2所述M2M通信中的组认证方法,其特征在于,所述ASME向认证中心发送认证请求,根据认证中心返回的组认证向量对MTC设备进行组认证,具体为所述ASME向认证中心发送认证请求,其中包括所述MTC设备的标识信息和组标识信息;所述认证中心根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME ;所述ASME存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致, 则组认证通过;否则,组认证不通过。
4.根据权利要求2所述M2M通信中的组认证方法,其特征在于,所述ASME根据自身存在的组认证向量对MTC设备进行组认证,具体为所述ASME生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的所述组认证向量发送给所述MTC设备;所述MTC设备根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与变形组期望响应一致,如果一致,则组认证通过;否则,组认证不通过。
5.根据权利要求1、2、3或4所述M2M通信中的组认证方法,其特征在于,所述ASME在全球移动通信系统(UMTS)网络中为GPRS服务支持节点(SGSN)或拜访位置寄存器(VLR), 在演进分组系统(EPS)网络中为移动性管理实体(MME)。
6.根据权利要求1、2、3或4所述M2M通信中的组认证方法,其特征在于,所述认证中心在UMTS网络中为归属位置寄存器(HLR)或鉴权中心(AuC),在EPS网络中为归属用户服务器(HSS)。
7.一种M2M通信中的组认证系统,其特征在于,该系统包括MTC设备和ASME,其中, 所述MTC设备,用于向所述ASME发送接入请求,并接受所述ASME的组认证;所述ASME,用于接收来自机器类通信(MTC)设备的接入请求,并获得所述接入请求中携带的MTC设备的标识信息和组标识信息;根据所述MTC设备对应的组认证向量,对所述 MTC设备进行组认证。
8.根据权利要求7所述M2M通信中的组认证系统,其特征在于,该系统还包括认证中心,用于根据所述ASME发送的认证请求,返回组认证向量;相应的,所述ASME进一步用于,在接收来自所述MTC设备的接入请求后,判断自身是否存在与所述MTC设备对应的组认证向量;若存在,则根据自身存在的组认证向量对所述MTC 设备进行组认证;若不存在,则向认证中心发送认证请求,并根据所述认证中心返回的组认证向量对所述MTC设备进行组认证。
9.根据权利要求8所述M2M通信中的组认证系统,其特征在于,所述ASME进一步用于,在判断不存在对应的所述组认证向量时,向所述认证中心发送所述认证请求,其中包括所述MTC设备的标识信息和组标识信息;相应的,所述认证中心进一步用于,根据所述组标识信息查询对应的组签约信息,根据所述组签约信息、组密钥和组认证策略生成所述组认证向量,并将所述组认证向量及签约组成员的相关信息发送至所述ASME ;所述ASME进一步用于,存储所述组认证向量及所述签约组成员的相关信息,生成本地随机数,并计算变形组期望响应,将所述本地随机数与所述组认证向量发送给所述MTC设备;所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致, 则组认证通过;否则,组认证不通过。
10.根据权利要求8所述M2M通信中的组认证系统,其特征在于,所述ASME进一步用于,在判断存在对应的组认证向量时,生成本地随机数,并计算变形组期望响应,将所述本地随机数与自身存在的组认证向量发送给所述MTC设备;相应的,所述MTC设备进一步用于,根据接收的所述组认证向量生成组响应,并将组标识信息和组响应返回给所述ASME ;所述ASME判断相同组标识信息的组响应是否与所述变形组期望响应一致,如果一致, 则组认证通过;否则,组认证不通过。
11.根据权利要求7、8、9或10所述M2M通信中的组认证系统,其特征在于,所述ASME 在UMTS网络中为SGSN或VLR,在EPS网络中为MME ;所述认证中心在UMTS网络中为HLR或 AuC,在EPS网络中为HSS。
全文摘要
本发明公开了一种机器与机器(M2M)通信中的组认证方法和系统,方法包括接入安全管理设备(ASME)接收来自机器类通信(MTC)设备的接入请求,并获得接入请求中携带的MTC设备的标识信息和组标识信息;ASME根据MTC设备对应的组认证向量,对MTC设备进行组认证。通过本发明,能够提高认证效率,减轻由于机器类通信(MTC)设备数量大量增长而带来的认证信令负荷。
文档编号H04W12/06GK102469458SQ20101055251
公开日2012年5月23日 申请日期2010年11月19日 优先权日2010年11月19日
发明者夏正雪, 田甜, 韦银星 申请人:中兴通讯股份有限公司