用于M2M通信中的聚合认证协议的方法与流程

本发明涉及一种机对机(machine-to-machine，m2m)通信系统，尤其涉及用于多个m2m设备与一个服务器之间的相互认证的方法。

背景技术：

机对机(machine-to-machine，m2m)通信在机器之间发生，带有计算和通信能力。已有很多应用具有m2m通信能力，例如用于个人健康监测、智能跟踪和供应链跟踪、智能电网、自动售货机远程控制等的设备。启用m2m的设备或终端的数量呈指数增长，预计到2014年会从2008年的5千万增加到超过2亿，到2020年会多达500亿。

图1示出了典型的m2m系统架构，包括m2m设备、m2m网关和m2m认证服务器。在m2m系统中，m2m设备代表末端节点，例如传感器，m2m网关代表数据聚合节点，m2m认证服务器代表对m2m设备进行认证的m2m服务器。m2m网关提供网桥来将m2m设备可通信地耦合到m2m服务器，反之亦然。具体来说，m2m设备与m2m网关直接通信，m2m网关与m2m服务器直接通信。

由于m2m通信的广泛使用，通信安全非常重要。一个安全问题是如何通过m2m认证服务器来认证m2m设备。随着4g(第四代移动通信)的使用和5g(第五代移动网络)的出现，连接设备的数量大幅倍增。作为4g和5g的代表性场景，m2m设备的数量会很庞大，当所有m2m设备在短时间内单独执行认证时，m2m认证服务器的工作量非常巨大。这可能导致认证服务器超负荷而崩溃。因此，急需一种有效且可扩展的认证协议。

现有认证协议支持m2m认证服务器同时对一组m2m设备进行认证。

一种现有组认证协议在“安全ts的组认证机制(groupauthenticationmechanismforsecurityts)”onem2m，sec#11，sec-2014-0314r02中描述并在图2中示出。图2的组认证包括下述三个阶段：

1.内组认证：内组中的所有m2m设备与m2m网关相互认证并建立安全通道以供进一步通信。

2.外组认证：m2m网关与m2m认证服务器相互认证并建立安全通道以供进一步通信。

3.建立端到端安全通道：m2m认证服务器通过已建立的安全通道，即m2m认证服务器与m2m网关之间的安全通道、m2m网关与各种m2m设备之间的安全通道，向所有m2m设备发送安全资料。基于安全资料以及m2m认证服务器与m2m设备之间的共享密钥，它们推导出与彼此通信的会话密钥，即，建立了端到端安全通道。

在上述协议中，基于onem2m通信架构提出了组认证，其中m2m设备称为应用服务节点或应用专用节点，m2m网关称为中间节点，m2m认证服务器称为基础设施节点。

中国专利申请案cn102223231a中描述了另一种组认证协议。在该协议中，外组认证在第一阶段处理，内组认证在第二阶段处理。此外，该协议基于lte架构，其中m2m设备称为用户设备(userequipment，ue)，m2m认证服务器称为lte核心网。

在上述和现有协议中，存在一种重要的假设，即，m2m网关是可信的。例如，在图2的组认证协议中，m2m认证服务器并不直接对m2m设备进行认证。m2m设备仅由m2m网关进行认证，m2m网关将认证成功的m2m设备通知给m2m认证服务器。然后，m2m认证服务器将认为这些m2m设备已认证，因为m2m网关是可信的。因此，m2m认证服务器无法直接对m2m设备进行认证；换言之，组认证协议不支持m2m认证服务器与m2m设备之间的端到端认证。

该假设引发了一个安全问题。m2m网关可能并不是很难破坏，因为m2m网关通常部署在户外。如果攻击者破坏了m2m网关，则攻击者可以欺骗m2m认证服务器认为一些m2m设备成功认证，即使这些m2m设备并未成功认证。

技术实现要素：

本发明实施例提供了一种用于m2m认证服务器和m2m设备的端到端认证协议，其中所述m2m认证服务器和m2m设备直接相互认证。无需假设m2m网关可信。避免了使用组认证和组标识符。此外，相互认证协议采用基于对称密钥的技术。

提供了一种用于通过服务器认证多个m2m设备的方法。所述方法包括：

使用基于对称密钥的技术，基于从网关接收的聚合认证消息对所述多个m2m设备进行服务器认证，所述聚合认证消息基于从所述多个m2m设备分别接收的多个认证消息在所述网关处生成；以及

生成多个认证响应，所述多个认证响应通过所述网关分别发往所述多个m2m设备，其中所述多个认证响应中的至少一些指定用于所述服务器的设备认证，所述设备认证将使用基于对称密钥的技术在所述多个m2m设备中的成功进行服务器认证的m2m设备处执行。

提供了一种用于对多个m2m设备进行认证的服务器。所述服务器包括：处理器；以及存储设备，其存储供所述处理器执行的计算机可读指令，

其中所述处理器用于：使用基于对称密钥的技术，基于从网关接收的聚合认证消息对所述多个m2m设备进行认证，所述聚合认证消息基于从所述多个m2m设备分别接收的多个认证消息在所述网关处生成；生成多个认证响应，所述多个认证响应通过所述网关分别发往所述多个m2m设备，其中所述多个认证响应中的至少一些指定用于所述服务器的设备认证，所述设备认证将使用基于对称密钥的技术在所述多个m2m设备中的成功进行服务器认证的m2m设备处执行。

提供了一种用于对服务器进行认证的方法。所述方法包括：

在所述m2m设备处，使用基于对称密钥的技术生成用于服务器认证的认证消息；

向网关发送所述认证消息以与来自多个其它m2m设备的多个其它认证消息聚合，从而生成用于服务器认证的聚合认证消息；

从所述网关接收服务器生成的认证响应，所述认证响应是对所述聚合认证消息进行服务器认证而得到的多个认证响应之一；以及

使用基于对称密钥的技术，基于所述服务器生成的认证响应对所述服务器进行设备认证。

提供了一种m2m设备，包括：

处理器；以及存储设备，其存储供所述处理器执行的计算机可读指令。所述处理器用于：使用基于对称密钥的技术生成用于服务器认证的认证消息；向网关发送所述认证消息以与来自多个其它m2m设备的多个其它认证消息聚合，从而生成用于服务器认证的聚合认证消息；从所述网关接收服务器生成的认证响应，所述认证响应是对所述聚合认证消息进行服务器认证而得到的多个认证响应之一；以及使用基于对称密钥的技术，基于所述服务器生成的认证响应对所述服务器进行设备认证。

提供了一种用于对多个机对机(machine-to-machine，m2m)设备与一个服务器进行相互认证的方法。所述方法包括：

使用基于对称密钥的技术，基于分别从所述多个m2m设备接收的多个认证消息，在网关处生成聚合认证消息；

使用基于对称密钥的技术，基于从所述网关接收的所述聚合认证消息对所述多个m2m设备进行服务器认证；

在所述服务器处生成分别发往所述多个m2m设备的多个认证响应；以及

通过所述网关分别向所述多个m2m设备发送所述多个认证响应，其中所述认证响应中的至少一些指定用于所述服务器的设备认证，所述设备认证将使用基于对称密钥的技术在所述多个m2m设备中的成功进行服务器认证的m2m设备处执行。

提供了一种用于对多个机对机(machine-to-machine，m2m)设备进行相互认证的系统。所述系统包括：网关和服务器，其中所述网关用于：使用基于对称密钥的技术，基于分别从所述多个m2m设备接收的多个认证消息，在网关处生成聚合认证消息，

其中所述服务器用于：使用基于对称密钥的技术，基于从所述网关接收的所述聚合认证消息对所述多个m2m设备进行认证；生成分别发往所述多个m2m设备的多个认证响应，

其中所述网关还用于：分别向所述多个m2m设备发送所述多个认证响应，其中所述认证响应中的至少一些指定用于所述服务器的设备认证，所述设备认证将使用基于对称密钥的技术在所述多个m2m设备中的成功进行服务器认证的m2m设备处执行。

附图说明

下文参考图示公开本发明的实施例，在图示中：

图1示出了典型的m2m系统架构；

图2示出了现有组认证协议；

图3为根据本发明的示出聚合认证方法的流程图；

图4示出了根据本发明第一实施例的m2m设备与m2m服务器之间的聚合认证流程；

图5示出了根据本发明第二实施例的m2m设备与m2m服务器之间的聚合认证流程；

图6示出了根据本发明第三实施例的m2m设备与m2m服务器之间的聚合认证流程；

图7示出了根据本发明第四实施例的m2m设备与m2m服务器之间的聚合认证流程；

图8为示出用于认证设备并找到成功认证的设备的方法的流程图。

具体实施方式

下文描述中陈述许多具体细节，以对本发明各实施例进行通彻理解。然而，本领域熟练技术人员将理解，可以在不具有这些具体细节中的一些或全部的情况下实践本发明的实施例。在其它情况下，为了不多余地混淆所描述的实施例的相关方面，并未详细地描述熟知的过程操作。在图式中，所有的若干张图以相同参考标号指代相同或相似的功能或特征。

说明书和权利要求书中使用序数词“第一”、“第二”、“第三”等来描述公共元素，仅表明提及相似元素的不同实例，并非旨在暗示所描述的元素必须按照给定的时间、空间、排名顺序或以任何其它方式排列的顺序，除非另有说明。

说明书和权利要求书中使用的本领域技术人员已知的若干概念在下文描述：

·伪随机函数(pseudorandomfunction，prf)是一种映射两个不同集合(域和范围)的有效确定性函数。一个prf仅有一个输入d(域)和一个隐藏随机种子(范围)。当伪随机函数使用相同的输入和种子多次运行时，其始终输出相同的值。尽管如此，对于任意输入，由于随机种子，输出看起来是随机的。

·密钥导出函数(keyderivationfunction，kdf)：密钥导出函数使用伪随机函数从主密钥等秘值或者密码或通行码等其它已知信息推导出一个或多个私密密钥。

·消息认证码(messageauthenticationcode，mac)：密码学中的消息认证码是用于对消息进行认证并提供消息的完整性和真实性保证的一小段信息。完整性保证检测偶然的和有意的消息变化，而真实性保证确认消息的来源。

·布隆过滤器(bloomfilter，bf)：布隆过滤器是一种节省空间的数据结构，用于测试一个元素是否是集合成员。假正匹配是可能的，但是假负是不可能的。布隆过滤器是一个m比特的阵列bf，用于表示具有n个元素的集合s＝{x1,x2,…,xn}，bf中的所有比特最初都设为零。存在k个不同的哈希函数hi()，每个哈希函数将某个集合元素映射到均匀随机分布的m个阵列位置中的一个。存在两个基本操作：添加和查询。

要将元素x添加到过滤器bf中，仅需将比特bf[hi(x)]设为1，其中1≤i≤k。

要查询元素y(测试y是否在集合中)，仅需测试是否所有比特bf[hi(y)]都为1。如果所有比特都为1，则认为元素y在集合中；如果任何一个比特为0，则该元素肯定不在集合中。

本发明实施例提供了一种用于m2m认证服务器和m2m设备的端到端认证协议，其中m2m认证服务器和m2m设备直接相互认证。无需假设m2m网关可信。

图3为根据本发明的示出聚合认证方法的流程图300。

在步骤301中，在待认证的每个m2m设备(下文称为“设备”)处生成认证消息。

在步骤302中，每个设备将其认证消息发送给m2m网关(下文称为“网关”)。

在步骤303中，网关从各设备接收认证消息。网关使用基于对称密钥的技术从接收的认证消息生成一个或多个聚合认证消息。该聚合可在以下情况之后发生：预配置的时间间隔已过去，或者从网络中的所有设备收到认证消息，或者收到一定数量的认证消息，或者满足其它标准，或者以上几种情况的组合。

在步骤304中，网关向m2m认证服务器(下文称为“服务器”)发送聚合认证消息。

在步骤305中，服务器使用基于对称密钥的技术，基于聚合认证消息对各设备进行认证。

在步骤306中，服务器基于步骤305的认证结果生成响应集，响应集包含服务器生成的分别发往各设备的认证响应。

在步骤307中，服务器向网关发送响应集。

在步骤308中，网关向每个设备发送服务器生成的发往该特定设备的对应认证响应。

在步骤309中，在任一设备中，如果接收的服务器生成的对应认证响应包含错误信息，则表明该特定设备在步骤305中的服务器认证已失败。因此，该特定设备的认证流程停止或中断。在任一设备中，如果接收的服务器生成的对应认证响应不包含错误信息，或者该认证响应包含成功指示，则表明该特定设备在步骤305中的服务器认证已成功，因此流程顺序继续使用基于对称密钥的技术在每个成功认证的设备处对服务器进行设备认证。

在步骤310中，对于任意设备，如果设备(在步骤305中)的服务器认证和服务器(在步骤309中)的设备认证都成功，则通过网关在该设备与服务器之间建立安全通道。

从上述内容显而易见，步骤301至304涉及各设备基于聚合认证消息的服务器认证；随后的步骤305至309涉及服务器的设备认证，服务器的设备认证在已由服务器在步骤305中成功认证的每个设备处分别进行。

图4示出了根据本发明第一实施例的m2m设备与m2m服务器之间的聚合认证流程。该流程基于的是基于对称密钥的技术。

本实施例的先决条件包括：m2m认证服务器和m2m设备i彼此共享密钥ki和设备标识idi；存在n个待认证的m2m设备。

在步骤401中，在待认证的每个设备i处生成认证消息。具体来说，具有标识idi的设备i选择新参数pi，例如时间戳，并计算临时密钥ki1＝kdf(ki,pi)和设备生成的macti＝funmac(ki1,idi)，其中funmac是mac算法，例如，funmac是aes-cmac算法。认证消息包括idi、pi和ti。

在步骤402中，每个设备i向网关发送各自的认证消息(idi,pi,ti)。

在步骤403中，在从所有设备接收认证消息{(id1,p1,t1),…,(idn,pn,tn)}后，网关将接收的mac{t1,…,tn}聚合为新的或聚合mact＝cfun(t1,…,tn)，其中cfun是压缩函数，例如t＝t1⊕…⊕tn，或者t＝hash(t1||…||tn)，其中hash是密码哈希函数。输入是多个字符串的压缩函数输出长度较短的单个字符串。这里，为了保证聚合认证协议的安全，可采用t＝t1⊕…⊕tn或t＝hash(t1||…||tn)。该聚合使用基于对称密钥的技术来执行。

在步骤404中，网关向服务器发送聚合认证消息({(idi,pi)},t)。该聚合认证消息包括n个设备的idi和pi以及聚合mact。

在步骤405中，服务器基于聚合认证消息，使用基于对称密钥的技术来执行n个设备的认证。具体来说，服务器找到成功认证的设备，将这些成功设备的标识id添加到成功集ss中。对于服务器认证失败的那些设备，将标识id添加到失败集fs中。在说明书和权利要求书中将认识到，提到将设备添加到成功集ss或失败集fs中就等同于将设备的标识id添加到成功集ss或失败集fs中。稍后将结合图8描述一种用于认证设备并找到成功认证的设备的方法。

在步骤406中，服务器基于步骤405的认证结果生成响应集ri＝(si,fi)，其中ri包括服务器生成的多个认证响应，si包括针对成功集ss中的所有设备的响应信息，fi包括针对失败集fs中的所有设备的响应信息：

·si＝{(idi,p’i,t’i)}，其中idi在ss中，p’i是新参数，k’i1＝kdf(ki,p’i)，服务器生成的mact’i＝funmac(k’i1,idi)。针对设备idi计算会话密钥k’i＝kdf(ki,pi⊕p’i)，其中kdf是密钥导出函数。

·fi＝{(idj,aelj,p’j,t’j)}，其中idj在fs中，aelj是设备idj的认证错误信息，p’j是新参数，k’j1＝kdf(kj,p’j)，服务器生成的mact’j＝funmac(k’j1,idj||aelj)。

在步骤407中，服务器向网关发送响应集ri＝(si,fi)。

在步骤408中，网关向每个设备i发送响应集中的服务器生成的对应认证响应(idi,p’i,t’i)或(idi,aeli,p’i,t’i)。

步骤409适用于失败集中包含的设备，即，步骤405中服务器认证失败的设备。在步骤409中，如果在一个设备处接收的服务器生成的认证响应是(idi,aeli,p’i,t’i)，其中错误信息是aeli，则该设备的认证失败，方法停止。

步骤410适用于成功集中包含的设备，即，步骤405中认证成功的设备。在步骤410中，使用基于对称密钥的技术在每个成功进行服务器认证的设备处执行服务器的认证。

具体来说，在每个成功认证的设备处，设备确定服务器生成的认证响应(idi,p’i,t’i)中包含的p’i和t’i是否都有效。如果p’i和t’i中的任意一个无效，则认证失败。如果p’i和t’i都有效，则设备计算会话密钥k’i＝kdf(ki,pi⊕p’i)。

用于检查新参数pi的有效性的方法取决于在认证中使用的新参数的类型。例如，如果新参数是时间戳，则当pi不在预先确定的范围中时，pi是无效的。

用于确定mact’i的有效性的方法描述如下：

(i)计算k^ai1＝kdf(ki,p’i)和设备生成的mact^ai＝funmac(k^ai1,idi)。

(ii)设备确定服务器生成的mact’i与设备生成的mact^ai是否相同。如果服务器生成的mact’i与设备生成的mact^ai相同，则确定服务器生成的mact’i有效。如果服务器生成的mact’i与设备生成的mact^ai不同，则确定服务器生成的mact’i无效。

图5示出了根据本发明第二实施例的m2m设备与m2m服务器之间的聚合认证流程。第二实施例与第一实施例相似。第二实施例还包括使网关与服务器共享私密密钥k’。网关在向服务器发送聚合认证消息之前的任意时间，即，在步骤404之前的任意时间，执行与认证服务器的相互认证，并使用共享密钥k’在它们之间建立安全通道。在相互认证之后，网关与服务器之间的所有通信，即步骤404、407等，都将通过该安全通道进行。

图6示出了根据本发明第三实施例的m2m设备与m2m服务器之间的聚合认证流程。第三实施例还包括使每个设备与网关共享私密密钥k”i。每个设备在向网关发送认证消息之前的任意时间，即，在步骤402之前的任意时间，执行与网关的相互认证，并使用共享密钥k”i在它们之间建立安全通道。在相互认证之后，设备与网关之间的所有通信，即步骤402、408等，都将通过对应安全通道进行。

图7示出了根据本发明第四实施例的m2m设备与m2m服务器之间的聚合认证流程。第四实施例可视为第二实施例与第三实施例的组合。

在第四实施例中，网关与服务器共享私密密钥k’。网关在向服务器发送聚合认证消息之前的任意时间，即，在步骤404之前的任意时间，执行与认证服务器的相互认证，并使用共享密钥k’在它们之间建立安全通道。在相互认证之后，网关与服务器之间的所有通信，即步骤404、407等，都将通过该安全通道进行。

在第四实施例中，每个设备与网关共享私密密钥k”i。每个设备在向网关发送认证消息之前的任意时间，即，在步骤402之前的任意时间，执行与网关的相互认证，并使用共享密钥k”i在它们之间建立安全通道。在相互认证之后，设备与网关之间的所有通信，即步骤402、408等，都将通过对应安全通道进行。

图8为示出用于认证设备并找到成功认证的设备的方法的流程图，该方法可在上述步骤405中执行。

图8的方法的先决条件包括：服务器已收到聚合认证消息({(idi,pi)},t)。

在步骤801中，服务器创建两个空集，即成功集ss和失败集fs，它们将分别存储成功进行服务器认证的设备的标识id和未成功进行服务器认证的设备的标识id。在说明书和权利要求书中，提到将成功进行服务器认证的设备存储在成功集ss中就等同于将成功进行服务器认证的设备的标识id存储在成功集ss中；提到将未成功进行服务器认证的设备存储在失败集fs中就等同于将未成功进行服务器认证的设备的标识id存储在失败集fs中。

在步骤802中，服务器基于聚合认证消息({(idi,pi)},t)确定pi是否对所有设备i都有效。如果确定pi无效，则将该设备的标识idi添加到fs。

在步骤803中，服务器确定失败集fs是否为空。如果失败集fs不为空，则流程顺序前进到步骤804。如果失败集fs为空，则流程前进到步骤806。

在步骤804中，服务器可选择一种用于无效新参数的错误处理方法。服务器可根据其它条件选择前进到用于处理参数错误的第一方法(步骤804)还是用于处理参数错误的第二方法(步骤806)。

在步骤805中，用于处理参数错误的第一方法包括将所有设备的标识id添加到失败集fs中，然后流程顺序前进到步骤811，在步骤811中，图8的流程顺序结束。

在步骤806中，服务器确定聚合设备生成mact是否有效。确定聚合设备生成mact的有效性的流程描述如下：

(i)针对所有设备i计算k^bi1＝kdf(ki,pi)和t^bi＝funmac(k^bi1,idi)，并将服务器生成的所有mact^bi聚合为聚合mact^b。

(ii)服务器确定聚合设备生成mact与聚合服务器生成mact^b是否相同。如果聚合设备生成mact与聚合服务器生成mact^b相同，则确定聚合设备生成mact有效。如果聚合设备生成mact与聚合服务器生成mact^b不同，则确定聚合服务器生成mact无效。

如果确定聚合设备生成mact有效，则流程顺序前进到步骤811，在步骤811中，图8的流程顺序结束。如果聚合设备生成mact无效，则流程顺序前进到步骤807。

在步骤807中，服务器可选择一种用于无效mac的错误处理方法。服务器可根据其它条件选择前进到用于处理mac错误的第一方法(步骤808)还是用于处理mac错误的第二方法(步骤809)还是用于处理mac错误的第三方法(步骤810)。

在步骤808中，用于处理mac错误的第一方法包括将所有设备的标识id添加到失败集fs中，然后流程顺序前进到步骤811，在步骤811中，图8的流程顺序结束。

在步骤809中，用于处理mac错误的第二方法需要在服务器与网关之间通信。第二mac错误处理流程描述如下：

(i)服务器向网关发送消息以请求未包含在失败集fs中的所有设备的认证信息。

(ii)网关向认证服务器发送详细的认证信息{(idi,pi,ti)}。

(iii)服务器分别或在非聚合的基础上确定设备生成的macti的有效性。如果ti无效，则将对应设备的标识idi添加到失败集fs中；如果ti有效，则将设备标识idi添加到成功集ss中。

为了确定ti的有效性，服务器首先计算k’i1＝kdf(ki,pi)和t’i＝mac(k’i1,idi)，然后确定设备生成的macti与服务器生成的mact’i是否相同。如果设备生成的macti与服务器生成的mact’i相同，则确定ti有效。如果设备生成的macti与服务器生成的mact’i不同，则确定服务器生成的mact’i无效。

当步骤809完成时，流程顺序前进到步骤811，在步骤811中，图8的流程顺序结束。

在步骤810中，用于处理mac错误的第三方法需要在服务器与网关之间通信。该mac错误处理流程描述如下：

(i)对于未包含在失败集fs中的设备，服务器向网关发送对基于布隆过滤器的对应认证信息的请求。

(ii)网关基于认证信息{(idi,pi,ti)}创建布隆过滤器bf，其中idi未包含在fs中，即，将所有ti添加到布隆过滤器bf中，其中的所有比特最初都为0。

(iii)网关向服务器发送创建的布隆过滤器bf。

(iv)服务器创建两个临时集合：临时成功集tss和临时失败集tfs。针对所有设备i计算k^ci1＝kdf(ki,pi)和t^ci＝funmac(k^ci1,idi)，并在bf中查询t^ci。如果服务器生成的mact^ci存在于bf中，则将对应的设备标识idi添加到tss中。如果服务器生成的mact^ci不在bf中，则将对应的设备标识idi添加到tfs中。

(v)服务器向网关发送tss。

(vi)对于tss中的所有设备标识idi，网关使用与图4的步骤403中相同的方法基于设备生成的macti来计算聚合t’。

(vii)网关向服务器发送聚合mact’。

(viii)服务器检查聚合mact’是否有效。如果聚合mact’有效，则将tss中的所有设备标识和其它信息都添加到ss中，将tfs中的所有设备标识和其它信息都添加到fs中。如果聚合mact’无效，则将tss和tfs中的所有设备标识和其它信息都添加到fs中。

确定t’是否有效的方法与步骤806相似，但是仅针对tss中的设备标识idi。当步骤810完成时，流程顺序前进到步骤811，在步骤811中，图8的流程顺序结束。

步骤811引出图4的步骤406，其中聚合认证如图4的流程顺序中所描述的那样继续。

虽然图8包括各种处理新参数错误和处理mac错误的方法，但是可以认识到，在本发明的某些实施方式中，可在结合或不结合其它可能的错误处理方法的情况下使用上述部分或全部错误处理方法。

通过本发明，认证服务器与一组设备进行相互认证，并为每个设备建立独有的会话密钥。因此，本发明提供的优势包括但不限于以下：

(i)在本发明中，服务器仅基于聚合认证消息对多个设备进行认证。因此，服务器的认证工作量，包括通信和计算开销，得到明显降低。

(ii)此外，服务器接收的认证消息是聚合来自各设备的认证消息而得到的。因此，网关不可能伪造聚合认证消息来欺骗服务器，所以不要求网关节点是可信的。

本发明的实施例可应用到任何包括设备(或终端)、网关和认证服务器的通信系统。通信系统可以是固定网络或移动网络。例如，如果本发明应用于电信网络，则运营商网络可以通过网关对多个用户设备(userequipment，ue)进行认证。

本领域熟练技术人员根据对本说明书的考量和对本发明的实践将清楚其它实施例。此外，出于描述明确性的目的使用了某些术语且这些术语不会限制本发明的所揭示实施例。上文描述的实施例和特征应被视为示例性的。