专利名称:基于群组的机器类型通信设备的认证方法
技术领域:
本发明属于通信安全技术领域,涉及一种通信设备的认证方法,可应用于设备低 速移动且位置分布相对集中,移动路径方向趋同的物联网场景。
背景技术:
物联网被称为继计算机、互联网与移动通信网之后的又一次信息产业浪潮,将给 IT和通信带来广阔的新市场。总体来讲,物联网就是“物与物相连的网络”,包含两层含义 首先,信息的提供者和使用者从人逐步扩展到物理实体,物体之间通过物联网实现通信和 信息交换;其次,通过各种无线或有线的、长距离或短距离通讯网络实现物理实体间的互联 互通,通信和传输过程不需要或仅需要有限的人工干预。MTC是“机器类型的通信(Machine Type Communication)”的简称。主要是指通过“通信网络”传递信息从而实现机器对机器 的数据交换,也就是通过通信网络实现机器之间的互联、互通。移动通信网络由于其网络的 特殊性,终端侧不需要人工布线、可以提供移动性支撑,有利于节约成本,并可以满足在危 险环境下的通信需求,使得以移动通信网络作为承载的MTC服务得到了业界的广泛关注。机器类型的通信设备在接入服务网络时也需要进行认证,3GPP标准中已经提出一 种认证方法,这种方法是把一组通信设备划分到一个群组中去,并要求当隶属于同一群组 的通信设备在接入服务网络时,群组中的每个设备都要使用标准的UMTS-AKA协议完成一 次到归属网络的认证,但是由于在这种通信场景下涉及的通信设备数量较多,现有的方法 要求群组中的每个设备在接入服务网络时都要进行一次完整的认证,这样一来,服务网络 与归属网络间由认证所产生的信令数据就会急剧增加,从而造成链路之间的拥塞。
发明内容
本发明的目的在于避免上述已有技术的缺陷,提出一种基于群组的机器类型通信 设备的认证方法,以减少设备在接入服务网络时进行认证所造成链路之间的拥塞。实现本发明目的的技术方案是基于标准的UMTS-AKA协议和以群组为单位的认 证方法进行,其实现步骤包括如下(1)将一组设备在设备服务器上进行注册,并根据需要进行相应的群组配置,为该 组设备建立一个群组和为该组设备分配群标识符,并在通用分组无线服务技术服务支持节 点SGSN中建立一个身份列表,把群组中每个设备的临时连接身份PCID和国际移动设备身 份码IMEI进行绑定,以对群组中各个设备进行识别;(2)在注册和群组配置结束后,根据3GPP标准中的规定,从鉴权中心AuC中获取群 组设备的一组群认证向量,同时在SGSN中建立一个身份列表,把群组中每个设备的临时连 接身份PCID和群标识符进行绑定,以对不属于该群组的设备进行接入控制; (3)当群组中的设备从鉴权中心AuC获取群认证向量后,使用3GPP标准的 UMTS-AKA协议以群组为单位对该设备进行认证,认证通过后,该群组中的设备开始与服务 网络进行通信,反之,终止此次认证过程,并向群组设备发送一条认证失败消息;
(4)通过认证的群组设备在与服务网络进行正常通信的过程中,如果某些设备需 要退出该群组,则需要在步骤(2)中建立的身份列表中删除该设备的临时连接身份PCID和 群标识符的绑定关系,使该设备成功退出。本发明具有如下优点1)本发明由于根据3GPP的标准进行方案的设计,无需改变标准中的通信设备;2)本发明由于其整个认证过程以标准的UMTS-AKA认证协议为基础,保证了认证 的安全性;3)本发明由于采用接入控制机制,可以有效的防止非群组设备的非法接入;4)本发明与3GPP标准中使用的认证方法相比,原方法中每个隶属于同一群组的 设备各自独立地完成到归属网络的认证过程,而本发明中隶属于同一群组的设备以群组为 单位与服务网络完成对归属网络的认证,优化了服务网络与归属网络间由认证所产生的信 令数据,减小了它们之间链路上的拥塞。
本发明可通过以下实施方式及其附图进一步详细说明。
图1是现有的网络结构图;图2是本发明中基于群组的机器类型通信设备的认证总流程图;图3是本发明中机器类型通信设备的注册和群组配置子流程图;图4是本发明中群认证向量获取子流程图;图5是本发明中群组设备认证子流程图。
具体实施例方式本方法采用基于群组的机器类型通信设备的认证方法,网络结构图如图1所示。参照图2,本发明基于群组的机器类型通信设备的认证,包括如下步骤步骤1,机器类型通信设备的注册和群组配置。如图3所示,本步骤的具体实现如下(1. 1)在出厂时,设备制造商把相同的永久密钥K分别保存在机器类型的通信设 备MTC Device和鉴权中心AuC中;(1.2)在出厂时,设备制造商分别在机器类型通信设备MTC Device和机器类型通 信设备服务器MTC Server上设置用于MTC Device群组配置的策略,并为该组设备设置一 个相同的临时连接身份PCID ;(1. 3)机器类型通信设备MTC Device在需要接入服务网络时,向SGSN发送自己的 临时连接身份PCID、国际移动设备身份码IMEI、机器类型设备标识符以及群组配置需求;(1. 4) SGSN收到MTC Device的临时连接身份PCID和国际移动设备身份码IMEI 后,建立机器类型通信设备MTC Device的PCID和IMEI绑定,即在SGSN中建立一个数据库, 该数据库包括MTC Device的临时连接身份PCID和对应的国际移动设备身份码IMEI,用于 对群组中各个MTC Device的识别;(1. 5) SGSN根据步骤(1. 3)收到的机器类型设备标识符,向机器类型通信设备服 务器MTC Server转发从步骤(1.3)收到的设备临时连接身份PCID和群组配置需求;
(1. 6)MTC Server收到设备临时连接身份PCID和群组配置需求后,根据机器类型 设备标识符和群组配置需求配置该设备所属的群组,分配和该群组对应的群标识符,并把 群标识符发送给SGSN ; (1.7) SG N收到群标识符后,使用3GPP中的标准方法计算PCID的客户临时识别码 TMSI,并将群标识符和TMSI发送给MTC Device ;(1. 8)MTC Device收到SGSN发来的群标识符和TMSI后,该设备的注册过程完成;(1. 9)重复步骤(1. 3)-(1. 8)完成对群组中其它设备的注册。步骤2,群认证向量的获取。如图4所示,本步骤的具体实现如下(2. 1)群组中的MTC Device需要进行认证时,其中一个设备MTC Devicel向SGSN 发送设备接入请求;(2. 2) SGSN向MTC Devicel返回认证身份请求消息;(2. 3)MTC Devicel将自己的客户临时识别码TMSI和群标识符发送给SGSN ;(2. 4) SGSN收到MTC Devicel发来的TMSI和群标识符后,使用3GPP标准中的方法 从TMSI中恢复出PCID ;(2. 5) SGSN建立一个身份列表,把群中每个设备的临时连接身份PCID和群标识符 进行绑定,即在SGSN中建立一个数据库,该数据库包括MTC Device的临时连接身份PCID 和对应的群标识符,该身份列表用于MTC Device的接入控制;(2. 6) SGSN把从步骤(2. 4)获得的PCID发送至鉴权中心AuC ;(2. 7)AuC收到PCID后确定设备所属的群组,使用步骤(1. 1)中预先保存的永久密 钥K,通过3GPP中的标准算法生成挑战随机数RAND、认证令牌AUTN、认证挑战XRES、加密密 钥CK和完整性密钥IK参数,然后由RAND、AUTN、XRES、CK和IK构造群认证向量,使群认证 向量=RAND I AUTN | XRES | CK | IK ;(2. 8) AuC 将群认证向量=RAND | AUTN | XRES | CK | IK 发送给 SGSN ;(2. 9) SGSN保存从AuC收到的一组群认证向量,使用其中一个用于MTCDevicel的 认证,剩下的群认证向量用于群组中其它设备的认证,因此当其它设备需要进行认证时, SGSN就不需要再向AuC重新获取群认证向量。步骤3,群组设备的认证。如图5所示,本步骤的具体实现如下(3. 1) SGSN将步骤(2. 9)得到的挑战随机数RAND,认证令牌AUTN发送给MTC Devicel ;(3. 2)MTC Devicel根据3GPP标准方法验证从SGSN发来的的挑战随机数RAND禾口 认证令牌AUTN,验证通过后,使用3GPP中的标准算法计算用户认证响应RES,并将RES发送 给SGSN,反之,终止此次认证;(3. 3) SGSN根据3GPP标准方法验证接收到的用户认证响应RES,如果通过,则MTC Devicel的认证过程完成,反之,终止此次认证,并向MTC Devicel发送一条认证失败消息;(3. 4)群组中其它设备的认证过程同步骤(3. 1)-(3. 3),SGSN直接挑选一个在步 骤(2.9)中保存的群认证向量发送给需要认证的设备,当群组中所有的设备成功认证后, 整个认证过程结束。
步骤4,群组中设备的退出。当SGSN判断群组中的某个机器类型通信设备需要退出该群组时,只需要删除步 骤(2.5)中建立的身份列表中该设备的临时连接身份PCID,这样一来,该设备的PCID和群 标识符的绑定关系就被撤销,当退出该群组的设备还想使用原来群组的临时连接身份PCID 进行认证时,SGSN对它先进行接入控制,在步骤(2. 5)建立的身份列表中查找该设备的 PCID和群标识符的绑定关系,如果查找不到,则不允许该设备进行认证,从而保证了整个系 统的安全性。术语说明 MTC Device 机器类型的通信设备;MTC Server 机器类型的通信设备服务器,用于管理MTC Device,对MTC Device进 行注册;SGSN 通用分组无线服务技术服务支持节点,代表访问网络对MTC Device进行认 证;AuC 鉴权中心,认证向量的分发;PCID 设备临时连接身份;IMEI 国际移动设备身份码;TMSI 客户临时识别码;K:永久密钥;RAND 挑战随机数;AUTN 认证令牌;XRES 认证挑战;CK 加密密钥;IK:完整性密钥。
权利要求
1.一种基于群组的机器类型通信设备的认证方法,包括(1)将一组设备在设备服务器上进行注册,并根据需要进行相应的群组配置,为该组 设备建立一个群组和为该组设备分配群标识符,并在通用分组无线服务技术服务支持节点 SGSN中建立一个身份列表,把群组中每个设备的临时连接身份PCID和国际移动设备身份 码IMEI进行绑定,以对群组中各个设备进行识别;(2)在注册和群组配置结束后,根据3GPP标准中的规定,从鉴权中心AuC中获取群组设 备的一组群认证向量,同时在SGSN中建立一个身份列表,把群组中每个设备的临时连接身 份PCID和群标识符进行绑定,以对不属于该群组的设备进行接入控制;(3)当群组中的设备从鉴权中心AuC获取群认证向量后,使用3GPP标准的UMTS-AKA协 议以群组为单位对该设备进行认证,认证通过后,该群组中的设备开始与服务网络进行通 信,反之,终止此次认证过程,并向群组设备发送一条认证失败消息;(4)通过认证的群组设备在与服务网络进行正常通信的过程中,如果某些设备需要退 出该群组,则需要在步骤(2)中建立的身份列表中删除该设备的临时连接身份PCID和群标 识符的绑定关系,使该设备成功退出。
2.根据权利要求1所述的基于群组的机器类型通信设备的认证方法,其中步骤(1)所 述的将一组设备在设备服务器上进行注册,并根据需要进行相应的群组配置,按如下步骤 进行(2a)在出厂时,设备制造商分别在机器类型通信设备MTC Device和机器类型通信设 备服务器MTC Server上设置用于MTC Device群组配置的策略,并为该组设备设置一个相 同的临时连接身份PCID ;(2b)机器类型通信设备MTC Device在需要接入服务网络时,向SGSN发送自己的临时 连接身份PCID、国际移动设备身份码IMEI、机器类型设备标识符以及群组配置需求;(2c)SGSN收到MTC Device的临时连接身份PCID和国际移动设备身份码IMEI后,建立 机器类型通信设备MTC Device的PCID和IMEI绑定;(2d) SGSN根据步骤(2b)收到的机器类型设备标识符,向机器类型通信设备服务器MTC Server转发从步骤(2b)收到的设备临时连接身份PCID和群组配置需求;(2e)MTC Server收到设备临时连接身份PCID和群组配置需求后,根据机器类型设备 标识符和群组配置需求配置该设备所属的群组,分配和该群组对应的群标识符,并把群标 识符发送给SGSN ;(2f) SGSN收到群标识符后,使用3GPP中的标准方法计算PCID的客户临时识别码 TMSI,并将群标识符和TMSI发送给MTC Device ;(2g)MTC Device收到SGSN发来的群标识符和TMSI后,该设备的注册过程完成;(2h)重复步骤(2b)-(2g)完成对群组中其它设备的注册。
3.根据权利要求2所述的基于群组的机器类型通信设备的认证方法,其中步骤(2c)所 述的建立机器类型通信设备MTC Device的PCID和IMEI的绑定,是在SGSN中建立一个数 据库,该数据库包括MTC Device的临时连接身份PCID和对应的国际移动设备身份码IMEI, 用于群组中各个MTC Device的识别。
4.根据权利要求1所述的基于群组的机器类型通信设备的认证方法,其中步骤(2)所 述的从鉴权中心AuC中获取群组设备的一组群认证向量,按如下步骤进行(4a)机器类型通信设备MTC Device将自己的客户临时识别码TMSI和群标识符发送给 SGSN ;(4b) SGSN收到MTC Device发来的TMSI和群标识符后,首先使用3GPP标准中的方法从 TMSI中恢复出PCID,并建立一个身份列表,把群中每个设备的临时连接身份PCID和群标识 符进行绑定,该身份列表用于MTC Device的接入控制;(4c) SGSN把从步骤(4b)获得的PCID发送至鉴权中心AuC ;(4d)AuC收到PCID 后确定设备所属的群组,并向SGSN发送相应的群认证向量;(4e) SGSN接收鉴权中心AuC发来的群认证向量。
5.根据权利要求4所述的基于群组的机器类型通信设备的认证方法,其中步骤(4b)所 述的把群中每个设备的临时连接身份PCID和群标识符进行绑定,是在SGSN中建立一个数 据库,该数据库包括MTC Device的临时连接身份PCID和对应的群标识符。
6.根据权利要求4所述的基于群组的机器类型通信设备的认证方法,其中步骤(4d)所 涉及的群认证向量,是先通过3GPP中的标准算法生成挑战随机数RAND、认证令牌AUTNdA 证挑战XRES、加密密钥CK和完整性密钥IK参数然后由RAND、AUTN、XRES、CK和IK构成该 群认证向量。
7.根据权利要求1所述的基于群组的机器类型通信设备的认证方法,其中步骤(3)所 述的使用3GPP标准的UMTS-AKA协议以群组为单位对该设备进行认证,按如下步骤进行(7a) SGSN将从鉴权中心AuC得到的挑战随机数RAND,认证令牌AUTN发送给MTC Device ;(7b)MTC Device根据3GPP标准方法验证从SGSN发来的挑战随机数RAND和认证令牌 AUTN,验证通过后,使用3GPP中的标准算法计算用户认证响应RES,并将RES发送给SGSN, 反之,终止此次认证;(7c) SGSN根据3GPP标准方法验证从MTC Device发来的用户认证响应RES,如果验证 通过,则认证过程完成,反之,终止此次认证,并向群组设备发送一条认证失败消息。
全文摘要
本发明公开了一种基于群组的机器类型通信设备的认证方法,主要弥补大量通信设备各自独立完成到归属网络的认证导致网络拥塞的缺陷。其认证步骤是(1)将一组设备在设备服务器上进行注册,并根据需要进行相应的群组配置,为该组设备建立一个群组;(2)设备成功注册和配置后,从AuC获取一组群认证向量;(3)获取群认证向量后,群组中的设备以群组为单位进行认证;(4)通过认证的群组设备在与服务网络进行正常通信的过程中,如果某些设备需要退出该群组,则执行设备退出过程。本发明与3GPP中已有认证方法相比,优化了服务网络与归属网络间由认证所产生的信令数据,减小了它们之间链路的拥塞,适用于部署有机器类型通信设备的物联网场景。
文档编号H04W8/26GK102088668SQ20111005773
公开日2011年6月8日 申请日期2011年3月10日 优先权日2011年3月10日
发明者张跃宇, 曹进, 李晖, 赖成喆 申请人:西安电子科技大学