用于ue的mtc组的广播中的组认证的制作方法
【技术领域】
[0001]本发明涉及用于在广播中机器类型通信(MTC)中的组认证的安全解决方案。
【背景技术】
[0002]在NPL I中公开了 MTC的3GPP (第三代合作伙伴计划)架构。
[0003]注意,在本申请中,术语“UE(用户设备)”用于能够进行机器类型通信和服务的UE。在整个描述中,与术语“MTC UE”和“MTC设备”具有相同含义。
[0004]引用列表
[0005]非专利文献
[0006]NPL I:3GPP TS 23.682,"Architecture enhancements to facilitatecommunicat1ns with packet data networks and applicat1ns (Release11)",Vll.2.0,2012-09
[0007]NPL 2:3GPP TS 33.401,"3GPP System Architecture Evolut1n (SAE) ;Securityarchitecture(Release 12) ",V12.5.1, 2012-10
[0008]专利文献
[0009]PTL 1:国际专利公布号 WO 2012/018130
【发明内容】
[0010]技术问题
[0011]本申请的发明人发现,对于MTC UE,存在如下的一些问题:
[0012]I)认证同时发生可能使网络过载。
[0013]2)MTC UE不仅需要作为个体而且需要作为组成员来与网络进行相互认证。
[0014]3)需要新密钥一确保组消息收发。
[0015]因此,本发明的示例性目的在于至少通过广播来执行组认证,使得可以节省网络使用。
[0016]对问题的解决方案
[0017]为了实现上述目的,对本发明作出如下的一些假设和预先配置:
[0018]I) SCS (服务能力服务器)知道外部组ID (标识符),并且可以使用它来激活组,并与该MTC UE组进行通信。
[0019]2) UE被预先配置有本地组ID和组密钥Kgr,UE可以属于该本地组ID并且通过该本地组ID进行通信。
[0020]3)组GW(网关)被配置有Kgr和Kgw。Kgr和Kgw可以是相同的密钥。
[0021]4)HSS (归属订户服务器)存储订阅相关数据,白名单(可选)包含属于组的组ID和 UE ID0
[0022]注意,在本申请的描述中,MME(移动性管理实体)用作示例,但是该机制对于SGSN(服务GPRS (通用分组无线电服务)支持节点)和MSC (移动交换中心)来说应当是相同的。
[0023]UE中配置的组密钥Kgr可以从用于3GPP通信的根密钥K得到,或者可以是不同的密钥。
[0024]HSS存储相同的Kgr和Kgw。可以以与非专利文献2相同的方式使用密钥来计算XRES (期望响应)并将其发送到MME。
[0025]在PTL I的单独发明中提出了组GW。组GW接收组消息,并将其发送到MTC设备。其可以是安装在网络中的独立节点或任何网络节点中或者安装在UE侧的逻辑功能。
[0026]本发明的有益效果
[0027]根据本发明,能够解决上述问题中的至少一个,并由此至少通过广播来执行组认证,使得可以节省网络使用。
【附图说明】
[0028]图1是示出根据本发明的示例性实施例的通信系统的配置示例的框图。
[0029]图2是示出根据示例性实施例的通信系统中的操作的一部分的序列图。
[0030]图3是示出根据示例性实施例的通信系统中通过向组GW进行广播的组认证的示例的序列图。
[0031]图4是示出根据示例性实施例的通信系统中通过向UE进行广播的组认证的示例的序列图。
[0032]图5是示出根据示例性实施例的MTC设备的配置示例的框图。
[0033]图6是示出根据示例性实施例的网关的配置示例的框图。
[0034]图7是示出根据示例性实施例的网络节点的配置示例的框图。
【具体实施方式】
[0035]以下,将参考附图描述本发明的示例性实施例。
[0036]在该示例性实施例中,通常提出用于网络的两种解决方案,该网络通过广播执行组认证,使得可以节省网络使用。
[0037]如图1所示,根据该示例性实施例的通信系统包括核心网络(3GPP网络)以及通过RAN(无线电接入网络)连接到核心网络的多个MTC UE 10。尽管省略了图示,但是RAN由多个基站(即,eNB(演进的节点B))形成。
[0038]MTC UE 10附连到核心网络。MTC UE 10可以托管一个或多个MTC应用。在一个SCS 60上托管相应的MTC应用。SCS 60连接到核心网络,以与MTC UE 10进行通信。
[0039]此夕卜,作为网络节点,核心网络包括MME 30 ^ HSS 40和MTC-1WF (MTC互通功能)50。对于SCS 60,MTC-1WF 50用作到核心网络的网关。HSS 40存储关于MTC UE 10_1至10_η (η彡2)的组的订阅信息。MME 30以及SGSN和MSC中继在MTC UE 10和MTC-1WF 50之间的通?目O
[0040]此外,对于MTC UE 10,图2至图4中的每一个所示的组GW 20用作到核心网络的网关。组GW 20可以是置位于核心网络或RAN内的独立节点,或者可以是安装在eNB、MME、SGSN、MSC、HSS或MTC-1WF中的逻辑功能。
[0041]接下来,将参考图2至图4描述该示例性实施例中的操作。图2至图4给出了可以如何由发送广播消息的网络承载认证在详细消息序列描述。
[0042]如图2所示,在组认证之前,执行下面的步骤SI至S3。
[0043]SI:SCS 60将触发发送到MTC-1WF 50,其中,触发类型是激活组,包括外部组ID、SCS ID和触发ID。
[0044]S2 =MTC-1ffF 50检索给定组的必要信息,例如,路由信息。
[0045]具体地,MTC-1ffF 50使用外部组ID、激活组请求的指示和源SCS ID来发送订户信息请求,重新使用NPL I中公开的消息。HSS 40执行外部组ID是否有效、是否任何数据可用于该组的验证,如果SCS可以触发以激活该组,则执行是否已经存在与之映射的本地组ID的验证。在适当的验证之后,HSS 40使用本地组ID和服务MME将订户信息响应消息发送到MTC-1WF 50。可选地,HSS 40可以发送验证所需要的信息,并且MTC-1WF 50执行验证。
[0046]S3 =MTC-1ffF 50使用本地组ID和广播的触发方法来将触发消息转发到MME 30。
[0047]如图3所示,在MME 30向组GW 20广播认证请求的情况下,执行下面的步骤S4至S16。
[0048]S4:MME 30从HSS 40检索UE订阅数据、白名单(可选)和通过Kgw计算的XRES。
[0049]S5 =MME 30使用本地组ID以及包括RAND (随机数)和AUTN (认证令牌)的AV (认证矢量)来向GW广播指示认证的触发。
[0050]S6:当组GW 20与本地组ID的匹配时,使用其配置的密钥Kgw计算关于RAND的RES (认证响应)。
[0051]S7:组GW 20将RES发送到MME 30,可选地发送白名单请求。
[0052]S8:MME 30通过使用XRES进行检查来验证RES。
[0053]S9:如果在步骤S8通过验证,则MME 30发送广播ACK,以指示组GW 20可以将广播消息发送到UE 10,并且将白名单(可选)发送到组GW 20。
[0054]SlO:组Gff 20使用组ID和RAND值来将认证请求广播到UE 10。
[0055]Sll:MTC UE 10_1至10_n中的每一个接收认证请求,并且然后,验证包括在认证请求中的组ID,如下面的步骤Slla和SI lb。
[0056]Slla:具有不同组ID的UE将忽略该广播。
[0057]Sllb:配置有相同组ID的UE将使用预先配置的Kgr计算RES,并且还检查AUTN。
[0058]S12:UE将包含RES的认证响应发送到GW 20。
[0059]S13:组GW 20将检查RES,并且针对白名单来检查UE ID是否有效(针对白名单检查是可选的)。
[0060]S14:组GW 20将包含认证的UE ID的认证报告发送到MME 30。
[0061 ] S15:MME 30确认UE被认证为组成员。
[0062]S16:如果存在,则MME 30向MTC-1WF 50报告认证失败,并且MTC-1WF 50可以将此转发到SCS 60。
[0063]替代地,如图4所示,在MME 30向UE 10广播认证请求的情况下,执行下面的步骤S24 至 S29。
[0064]S24 =MME 30从HSS 40检索UE订阅数据、白名单(可选)和XRESl (通过Kgr计算)、XRES2 (通过Kasme (密钥接入安全管理实体)计算)。
[0065]S25:MME 30使用本地组ID以及包含RAND和AUTN的AV将认证请求广播到UE 10。
[0066]S26:具有相同组ID的UE将检查AUTN,使用预先配置的组密钥Kgr计算RES 1,并且使用Kasme计算RES2,如3GPP AKA (认证和密钥协议)过程。
[0067]S27:UE向MME 30发送具有RESl和RES2的认证响应。
[0068]S28:MME 30通过用XRESl和XRES2进行检查来验证RESl和RES2。使得可以I)通过验证RESl将UE认证为组成员,并且2)通过验证RES2将UE验证为个体。
[0069]S29:如果存在,则MME 30向MTC-1WF 50报告认证失败,并且MTC-1WF 50将此转发到SCS 60。
[0070]注意,在上面描述的步骤中,白名单是可选的。
[0071]接下来,将参