用于在ue和网络二者处的密钥取得的mtc密钥管理的制作方法
【技术领域】
[0001 ] 本发明涉及MTC (机器类型通信)系统的密钥管理,具体地,涉及在UE (用户设备)和网络两者取得密钥的技术。
【背景技术】
[0002]如公开在NPL I中所公开,应该对MTC设备和MTC-1WF (MTC互通功能)之间接口的安全性进行研宄。
[0003]需要注意的是,MTC设备是配备有MTC的UE,在下面的解释中,有时将被称为“MTCUE” 或 “UE”。
[0004]引用列表
[0005]非专利文献
[0006]NPL 1:3GPP TR 33.868,"Security aspects of Machine-Type and other MobileData Applicat1ns Communicat1ns Enhancements ; (Releasel2)〃,V0.10.0, 2012-09
[0007]NPL 2:3GPP TS 33.401,"3GPP System Architecture Evolut1n(SAE) ;Securityarchitecture(Release 12)",V12.5.1, 2012-10
【发明内容】
[0008]技术问题
[0009]然而,在3GPP(第三代合作伙伴计划)中,没有充分研宄。因此,在MTC设备和MTC-1ffF之间需要安全通信解决方案。
[0010]因此,本发明的示例性目的在于包括MTC设备和MTC-1WF之间的安全通信。
[0011]对问题的解决方案
[0012]为了实现上述目的,本发明处理以下问题:
[0013]在UE和网络侧取得相同的根密钥。
[0014]在本发明中,提出了网络和UE分别取得根密钥K_iwf。在它们之间不发送密钥。密钥取得参数可以从网络发送到UE或者从UE发送到网络。在核心网络内侧,密钥取得参数可以从HSS (归属订户服务器)发送到MTC-1WF和MME (移动管理实体),或者从MTC-1WF发送到HSS或MME。取得算法可用于UE和核心网络。网络通过算法标识符指示UE哪种算法应该用于根密钥取得。
[0015]还提出了用于UE与MTC-1WF之间安全性关联建立的新IWF安全模式命令(SMC)过程。
[0016]根据本发明的第一方面的通信系统包括:MTC-1WF和UE0 MTC-1WF存储主密钥,取得用于保密性和完整性保护的子密钥,向UE通知密钥取得的算法。通过UE使用所述算法取得主密钥和子密钥,从而UE与MTC-1WF共享主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-1WF建立安全性关联。
[0017]根据本发明的第二方面的MTC-1WF被配置为存储主密钥,取得用于保密性和完整性保护的子密钥,向UE通知密钥取得的算法使UE取得主密钥和子密钥,从而UE与MTC-1WF共享相同主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-1WF建立安全性关联。
[0018]根据本发明的第三方面的UE,被配置为通过使用从MTC-1WF通知的密钥取得算法取得主密钥和用于保密性和完整性保护的子密钥,从而UE与MTC-1WF共享相同主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-1WF建立安全性关联。
[0019]根据本发明的第四方面的HSS,被配置为取得主密钥,并且向MTC-1WF发送主密钥。在MTC-1WF和UE之间共享主密钥,所述主密钥用于MTC-1WF和UE之间的安全性关联。
[0020]根据本发明的第五方面的MME,被配置为向UE承载NAS SMC消息,所述NAS SMC消息包括向UE通知关于密钥取得算法的IWF SMC消息。所述算法用于UE和MTC-1WF共享主密钥和用于保密性和完整性保护的子密钥,并且通过使用共享的主密钥和子密钥在UE和MTC-1ffF之间建立安全性关联。
[0021]根据本发明的第六方面的方法提供了使MTC通信安全的方法。所述方法包括:MTC-1WF存储主密钥;MTC-1WF取得用于保密性和完整性保护的子密钥;MTC_IWF向UE通知密钥取得的算法;以及使用所述算法的UE取得主密钥和子密钥,从而UE与MTC-1WF共享主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-1WF建立安全性关联。
[0022]有益效果
[0023]根据本发明,可以解决上述问题,因此确保MTC设备和MTC-1WF之间安全通信。
【附图说明】
[0024]图1是示出根据本发明的示例性实施例的通信系统的配置示例的框图。
[0025]图2是是示出根据示例性实施例的通信系统中IWF SMC过程的一个示例的序列图。
[0026]图3是示出在NAS SMC中承载IWF SMC的情况下IWF SMC过程的另一示例的序列图。
[0027]图4是示出通过SCS触发通信的情况下在UE和网络两者根密钥取得的示例的序列图。
[0028]图5是示出根据示例性实施例的MTC设备的配置示例的框图。
[0029]图6是示出根据示例性实施例的网络节点的配置示例的框图。
【具体实施方式】
[0030]以下,将参照附图描述本发明的示例性实施例。
[0031]如图1所示,根据此示例性实施例的通信系统包括核心网络(3GPP网络)和一个或多个MTC UE 10,MTC UE 10是配有MTC的UE并且通过RAN(无线接入网络)连接到核心网络。尽管省略了图示,但是RAN由多个基站(即,eNB(演进节点B))形成。
[0032]MTC UE 10连接到核心网络。MTC UE 10可以承载一个或多个MTC应用。外部网络中相应MTC应用承载在SCS (服务能力服务器)50上。SCS 50连接到核心网络,与MTC UE10进行通信。
[0033]此外,核心网络包括MTC-1WF 20,作为其网络节点之一。MTC-1WF 20用作SCS 50到核心网络的网关。MTC-1WF 20在MTC UElO和SCS 50之间中继消息。核心网络包括HSS (归属订户服务器)40、MME、SGSN (服务GPRS (通用分组无线服务)支持节点)、MSC (移动交换中心)等,作为其他网络节点。在下面的描述中,MME和SGSN有时被称为“MME/SGSN”,并且用符号30共同或单独表示。通过MME/SGSN 30 (或MSC)进行MTC UE 10和MTC-1WF20之间的通信。
[0034]接下来,将参照图2-4描述此示例性实施例的操作示例。
[0035]LIWF SMC 过程
[0036]图2示出使用SAE/LTE(长期演进)NAS(非接入层)SMC机制用于在UE 10与MTC-1ffF 20之间建立安全关联的IWF SMC过程。下面将描述此过程。
[0037]假设MTC-1WF 20已经接收或取得根密钥K_iwf或者已经取得子密钥。需要注意的是,根密钥1(_1#用于取得子密钥。子密钥包括至少一个完整性密钥,用于检查MTC UE10和MTC-1WF 20之间传送的消息的完整性(在下文,该密钥将被称为“完整性子密钥”)。子密钥还可以包括密钥,用于对MTC UE 10和MTC-1WF 20之间传送的消息加密和解密。
[0038]Sll !MTC-1WF 20使用密钥取得参数(可选)和算法ID向UE 10发送IWF SMC消息。通过完整性子密钥保护IWF SMC消息。开始下行链路完整性保护。
[0039]S12:UE 10通过使用MTC-1WF 20发送的密钥取得参数和算法取得K_iwf和子密钥。
[0040]S13:UE 10使用取得的完整性子密钥验证接收的IWF SMC。开始上行链路完整性保护。如果验证失败,则UE 10发送IWF SMC拒绝消息。
[0041]S14:如果完整性验证成功,则UE 10通过使用UE 10已经取得的完整性子密钥使用完整性保护将IWF SMC完成消息发送到MTC-1WF20。开始上行链路完整性保护。
[0042]S15 !MTC-1WF 20使用已经取得的完整性子密钥验证IWF SMC完成消息。
[0043]S16:如果在步骤S15验证成功,则在UE 10和MTC-1WF 20之间建立安全关联,并且他们可以开始安全通信。
[0044]同时,如图3所示,也可以在NAS SMC过程中承载IWF SMC消息。
[0045]S21:MTC-1WF 20使用UE ID向MME 30发送完整性保护的IWF SMC消息或UE 10执行密钥取得的必要参数(与图2的步骤Sll相同)。
[0046]S22:MME 30使用NAS SMC消息承载IWF SMC消息,并且将其发送到UE 10。
[0047]S23:UE 10进行NAS完整性验证。
[0048]S24:如果NAS完整性验证失败,UE 10向MME 30发送承载IWF SMC拒绝消息的NAS SMC拒绝消息。MME 30向MTC-1WF 20转发IWF SMC拒绝消息。
[0049]S25:如果NAS完整性验证成功,则UE 10取得K_iwf和子密钥。
[0050]S26:如果在步骤S21使用完整性保护发送IWF SMC消息,则UElO对IWF SMC进行完整性验证。通过使用UE 10取得的完整性子密钥进行完整性验证。
[0051]S27:UE 10向MME 30发送承载IWF SMC完成的NAS SMC