专利名称:M2m通信的基于组的认证方法及其设备的制作方法
技术领域:
本发明涉及通信技术,尤其涉及M2M通信中的认证方法和设备。
背景技术:
M2M 设备通过移动网络如 UMTS、EPS、CDMA 等进行通信,M2M(Machine-to_Machine, 机器对机器),是机器对机器通信,它是无线通信和信息技术的整合,可用于双向通信,如远距离收集信息、设置参数和发送指令,因此M2M技术可有不同的应用方案,如安全监测、自动售货机、货物跟踪等。目前机器的数量至少是人类数量的4倍,因此M2M具有巨大的市场潜力。移动网络覆盖范围广,是M2M信息承载和传送最广泛、最有市场前景的技术。随着移动通信网络带宽的不断提高和终端的日益多样化,数据业务能力不断提高,这将促使M2M 应用的发展进一步加快,有专家断言,在未来“机与机”产生的数据通信流量最终将超过“人与人”和“人与机”产生的通信流量。目前研究的基于移动通信网络的M2M通信,单个M2M设备的认证过程与手机终端认证方式相似,使用认证和密钥协商流程(AKA,Authentication and Key Agreement),这样对现有网络改动小,有利于现有网络资源的重用。但是大量的M2M设备同时与网络通信或者大量M2M设备间相互通信的时候,由于交互的信息量少,相应地认证时需要交互的信令信息反而显得多,这些重复的冗余的信息会占用大量的网络资源,尤其是空口资源,甚至会造成通信拥塞。本发明提供了 M2M通信的基于组的认证方法,是节约网络资源的一个好方法,对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。本发明会重用现有的网络能力如广播/多播能力、认证和密钥协商流程等,可降低50 %的信令消息,并且不影响现有的接口或协议,尤其是不影响空中接口或协议。
发明内容
为解决现有技术中的上述缺点,本发明提出了新的M2M通信的基于组的认证方法及其设备。本发明利用一些M2M设备共享一个或多个相同业务,如公共事业服务(如水,气, 电,热等)并且属于相同的M2M业务提供者(如公共事业的提供者)的特征,将这种共享相同M2M业务并属于相同的M2M业务提供者的M2M设备归为同一个M2M组(GROUP)并分配一个M2M组标识号(GroupID)。根据其享有的业务,每一个M2M设备可以被归为多个不同的 M2M组,系统为不同的M2M业务组分配不同的GroupID。网络对M2M设备以组为单位进行控制、管理或者计费,例如基于组的计费、基于组的移动性管理、基于组的认证、基于组的信令节省等,以减少冗余的信令消息来避免网络拥塞;特别是当M2M设备数量很大时,利用基于组的优化可以有效节省网络资源。本发明主要提供了 M2M通信的基于组的认证方法,并且重用现有的网络能力如广播/多播能力、AKA (Authentication and Key Agreement,认证和密钥协商)流程,这样对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。不过,网络设备HLR/HSS必须进行升级,还必须增加一个新的逻辑单元M2M安全能力来实现基于组的认证功能。具体地,根据本发明的一个实施方式,提供一种M2M通信的基于组的认证方法,所述方法包括1)M2M服务器触发基于组的认证;2)接收到来自M2M服务器的用于初始化基于组认证的触发,M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备,以得到用于组认证的认证数据,所述认证数据请求消息包括用于组认证的标识,用于组认证的组身份标识以及其他用于组认证的信息;3)接收到用于组认证的认证数据请求消息后,第一网络设备产生用于组认证的认证向量,所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥;第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量;4)安全能力发送用于组认证的认证请求消息给第二网络设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;6)M2M设备接收用于组认证的认证请求消息后,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥;7)每个M2M设备通过第二网络设备将包含其M2M设备的身份标识、用于组认证的组身份标识和用于组认证的认证响应的响应消息发送给M2M安全能力;8)安全能力接收来自M2M终端组的包含用于组认证的认证响应的响应消息,检查每个M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配;9)如果M2M终端的用于组认证的认证响应不等于用于组认证的期望认证响应,网络认证该M2M终端失败,安全能力发送消息NOK给网络认证失败的M2M设备;如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应,网络认证该M2M设备成功。根据本发明的一个可选实施例,所述方法进一步包括10)如果网络认证M2M设备成功,安全能力发送消息OK给网络认证成功的M2M设备。根据本发明的一个可选实施例,所述步骤2)中用于组认证的认证数据请求消息给第一网络设备包括M2M安全能力发出一条用于组认证的认证数据请求消息给第三网络设备,第三网络设备转发用于组认证的认证数据请求给第一网络设备;步骤3)中第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力包括第一网络设备发送包含用于组认证的认证数据的响应消息给第三网络设备,第三网络设备转发用于组认证的认证数据响应给安全能力。根据本发明的一个可选实施例,所述第一网络设备产生用于组认证的认证向量包括在接收到认证数据请求消息后,第一网络设备产生一个用于组认证的随机数,并利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥;所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括在接收到用于组认证的认证请求消息后,所有享用该组身份标识的M2M业务的 M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数产生各自的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。根据本发明的一个可选实施例,第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;第一网络设备产生用于组认证的认证向量进一步包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;进一步的,每个M2M设备产生其用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。根据本发明的一个可选实施例,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述 KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。根据本发明的一个可选实施例,所述第一网络设备产生用于组认证的认证向量包括在接收到用于组认证的认证数据请求消息后,第一网络设备产生一个用于组认证的的随机数,并利用所述用于组认证的随机数及每个M2M设备的根密钥Kd,生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;所述用于组认证的期望认证响应列表包含对应于每个M2M设备的用于组认证的期望认证响应,所述组认证成功后用于保护后续通信的密钥列表包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥;所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括在接收到用于组认证的认证请求消息后,每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,生成一个其自身M2M设备的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,第一网络设备利用所述用于组认证的随机数、每个M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;每个M2M设备利用用于组认证的随机数、自身M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成M2M设备其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥 Keg。根据本发明的一个可选实施例,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;第一网络设备产生用于组认证的认证向量进一步包括利用用于组认证的随机数和对应组身份标识用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;进一步的,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。根据本发明的一个可选实施例,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表还包括组认证成功后用于保护后续通信的密钥KASMEg列表,所述密钥列表KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生;所述M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述组认证成功后用于保护后续通信的密钥KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。根据本发明的一个可选实施例,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。根据本发明的一个可选实施例,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力根据M2M设备的身份标识,检查来自该M2M 设备的用于组认证的认证响应是否与由第一网络设备产生用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。根据本发明的一个可选实施例,所述第一网络设备是归属位置寄存器或者归属用户服务器,第二网络设备是基站、无线网络控制器或者演进的Node-B,第三网络设备是服务 GPRS支持节点或者移动管理实体。根据本发明的一个实施方式,提供一种网络设备,包括存储单元,用于存储下述信息M2M_IM_ID 用于标识M2M设备中的通信模块;RANDg 用于组认证的随机数;GroupID 组身份标识,用以确定M2M设备注册的组业务;根密钥K 包括用于组认证的组业务根密钥Kg ;还包括M2M设备的根密钥Kd,对应 M2M设备自身与网络之间的其他业务;消息处理单元用于接收用于组认证的认证数据请求,响应认证数据请求;AVg产生单元用于为基于组的认证产生用于组认证的认证向量AVg。根据本发明的一个可选实施例,所述AVg产生单元用于产生一个用于组认证的随机数、利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌 AUTNg0根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥 KASMEg。根据本发明的一个可选实施例,所述AVg产生单元用于在接收到认证数据请求消息后,产生一个用于组认证的随机数,并利用所述用于组认证的随机数和每个M2M设备的 Kd产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。根据本发明的一个可选实施例,所述AVg产生单元用于利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌 AUTNg0根据本发明的一个可选实施例,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。根据本发明的一个可选实施例,所述网络设备为归属位置寄存器或者归属用户服务器。根据本发明的一个实施方式,提供一种M2M安全能力设备,包括接收单元,用于接收来自M2M服务器的用于初始化用于组认证的触发消息,并用于接收来自网络设备的包含用于组认证的认证数据的响应消息,用于组认证的认证数据至少包括组身份标识和用于组认证的认证向量AVg,所述用于组认证的认证向量AVg至少包括用于组认证的期望认证响应和用于组认证的随机数和组认证成功后用于保护后续通信的密钥,进一步的,所述接收单元用于接收来自M2M设备的包含用于组认证的认证响应的响应消息;发送单元,用于发送用于组认证的认证数据请求消息,所述用于组认证的认证数据请求消息至少包括组身份标识;还用于发送用于组认证的认证请求消息,所述用于组认证的认证请求消息至少包括组身份标识和用于组认证的随机数;存储单元,用于存储接收到的用于组认证的认证数据和用于组认证的认证响应;认证单元,用于检查每个M2M设备的认证响应是否与期望认证响应匹配,如果M2M 设备的认证响应不等于其对应的期望认证响应,网络认证失败;如果M2M设备的认证响应等于其对应的期望认证响应,网络认证成功;如果网络认证失败,发送单元进一步用于发送消息NOK给网络认证失败的M2M设备。根据本发明的一个可选实施例,如果网络认证成功,发送单元进一步用于发送消息OK给网络认证成功的M2M设备。根据本发明的一个可选实施例,所述用于组认证的认证向量AVg还包括用于组认证的随机数,用于组认证的期望认证响应,和组认证成功后用于保护后续通信的密钥,所述组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组 M2M业务产生的;所述用于组认证的认证响应是由M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数及其他参数产生。所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥是组认证成功后用于保护后续通信的加密密钥Keg。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌 AUTNg ;进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。根据本发明的一个可选实施例,所述用于组认证的期望认证响应是指包含对应于每个M2M设备的用于组认证的期望认证响应的期望认证响应列表;所述用于组认证的认证向量AVg还包括用于包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥列表;所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数及每个M2M设备的根密钥Kd分别生成;所述用于组认证的认证响应是每个M2M设备利用用于组认证的的随机数及其自身M2M设备的根密钥Kd生成的一个其自身M2M设备的用于组认证的认证响应;所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数和每个M2M设备的Kd, 以及对应组身份标识的用于组认证的根密钥Kg产生的;所述用于组认证的认证响应是每个M2M设备利用用于组认证的随机数及其自身 M2M设备的根密钥Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg和其他参数为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg ;进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。根据本发明的一个可选实施例,所述组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg 列表。根据本发明的一个实施方式,提供一种M2M终端设备,包括存储单元,用于存储下述信息M2M_IM_ID 用于标识M2M设备中的通信模块;RANDg 用于组认证的随机数;GroupID 组身份标识,用以确定M2M设备注册的组业务;根密钥K 包括用于组认证的组业务根密钥Kg ;还包括M2M设备的根密钥Kd,对应 M2M设备自身与网络之间的其他业务;消息处理单元用于接收用于组认证的认证请求消息,响应认证请求,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;产生单元用于为用于组的认证产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述产生单元用于利用对应组身份标识的用于组认证的根密钥Kg和用于组认证的随机数和其他参数产生其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生和其他参数用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;进一步的,所述M2M设备还包括一个认证单元,用于利用接收到用于组认证的认证令牌AUTNg认证网络,所述用于组认证的认证令牌AUTNg包含在接收到的认证请求消息中。根据本发明的一个可选实施例,所述产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
通过以下结合附图的说明,并且随着对本发明的更全面了解,本发明的其他目的和效果将变得更加清楚和易于理解,其中图1表示根据本发明的一个实施方式M2M通信的网络拓扑图。图2a,2b表示根据本发明的实施方式的基于组业务的认证的流程图。图3表示根据本发明的实施方式的HLR/HSS设备结构示意图。图4表示根据本发明的实施方式的M2M安全能力设备结构示意图。图5表示根据本发明的实施方式的M2M终端设备结构示意图。在所有的上述附图中,相同的标号表示具有相同、相似或相应的特征或功能。
具体实施例方式以下结合附图具体描述本发明的实施方式。本发明为M2M通信提供了一种基于组的认证方案以节省网络资源,特别适用于大量的M2M设备同时与网络通信的场景。不过,本发明不涉及在注册M2M业务之前在M2M设备和网络侧服务器(如,根密钥(root-key)服务器)之间如何配置用于后续组认证的安全凭证(security credentials),如根密钥等。本发明适用于所有3GPP以及3GPP2的网络(如GSM,GERAN, UMTS, EPS, CDMA, CDMAlx, CDMA2000等),为描述方便,在本发明实施例中只给出了 UMTS网络和EPS网络的情形作为事例,相对应的,在下述实施例中,只描述了 UMTS/EPS网络中的HLR/HSS,SGSN/MME 以及RNC/eNB/BS网络设备。但上述设定仅为示例性说明。它的应用并不局限于UMTS/EPS网络,它也可应用于解决其它网络的基于组的认证问题。上述网络设备中,HLR可存在于 GSM或者UMTS网络,HSS存在于UMTS网络和EPS网络,RNC存在于UMTS或者EPS网络,eNB 存在于EPS网络,BS存在于GSM网络,MME存在于EPS网络,SGSN存在于GSM、UMTS或EPS 网络。根据本发明的一个实施方式的M2M通信的网络拓扑图如图1所示,M2M终端设备通过通信网络域与M2M业务供应商进行通信,每个M2M终端设备有其自身的标识符M2M_ IM_ID,网络能通过该标识符识别M2M终端设备;通信网络域的网络设备包括HLR(归属位置寄存器)/HSS (归属用户服务器)、M2M安全能力(Security Capability),可选的,还包括 SGSN(Serving GPRS support Node,服务 GPRS 支持节点)/MME (Mobility Management Entity,移动管理实体)。为了支持M2M通信中基于组的认证,一些网络设备必须进行升级, 如HLR/HSS。如何升级这些网络设备在下面详细给出,并且,必须增加一个新的功能单元,即 M2M安全能力。这个功能单元可以在M2M服务器或者SGSN/MME中实现,或者在一个独立的网络设备中实现。本发明利用一些M2M设备共享一个或多个相同业务,如公共事业服务(如水,气, 电,热等)并且属于相同的M2M业务提供者(如公共事业的提供者)的特征,将这种共享相同M2M业务并属于相同的M2M业务提供者的M2M设备归为同一个M2M组(GROUP)并分配一个M2M组标识号(GroupID)。在本发明中,根据M2M业务的安全性要求,将组业务分成两类,一类为安全性要求低的M2M业务,如抄表等,对此类业务,安全认证时不区分各M2M 设备,即所有的安全参数只以组来区分,而不区分各M2M单个设备,各M2M设备的认证响应都相同;另一类则为安全性要求高的M2M业务,如选举投票、犯人监管等,该类业务属性需要区分各M2M终端的不同,各M2M设备都使用同一个用于组认证的认证令牌AUTNg(AUTN, Authentication token,认证令牌)来认证同一个M2M业务提供者,然而各M2M设备都需要产生自己的用于组认证的认证响应让网络来认证它,各M2M设备的用于组认证的认证响应都不同,对应的,期望认证响应是一个列表,包括各个M2M设备终端的用于组认证的期望认证响应。在此说明,本发明所用的安全参数与现有网络认证所用的安全参数意义一致,但在本发明中,因为是用于组认证的,所以在安全参数下标出现g,以示区别,如 AUTN (Authentication token,认证令牌)和AUTNg (用于组认证的认证令牌)。因此,在本发明中,将每个M2M终端设备的根密钥K分成两部分包括用于组认证的组业务根密钥Kg,如果一个M2M终端设备注册了多个组业务,则根密钥K包括多个用于组认证的组业务根密钥Kg分别对应多个组业务;对于同一个组,所有设备包含的用于组认证的根密钥都一样,但对于不同的组,各设备包含的用于组认证的根密钥是不同的;还包括 M2M设备的根密钥Kd,Kd对应该M2M终端设备自身与网络之间的其他非组业务,对不同的 M2M终端设备,Kd也各不同,假设一个M2M业务组中的M2M终端设备数为η ;则本发明中用 (Kdl,Kd2,...Kdn)分别对应第1,2,. . .η个M2M终端设备其自身与网络之间的其他非组业务。在实现中,一种方式是将每个Μ2Μ终端设备的根密钥K总长度限定为128比特或者 256比特,即假若Μ2Μ通信网络中第i个M2M终端设备注册了 3个组业务,则该M2M终端设备的根密钥包括3个不同的用于组认证的组业务根密钥Kg以及Kdi四部分,这四个密钥总长度为1 比特或者256比特,这四个密钥的长度分别会小于128比特或256比特。注,在此方式下,如果一个M2M设备注册更多的组业务,则各密钥的长度将会越短,因为其密钥的总长度固定为1 比特或256比特。另一种实现方式下Kd以及每个根密钥Kg的长度都为 128比特或者256比特,这些密钥都是单独存储的。例如,假若M2M通信网络中第i个M2M 终端设备注册了第3个组业务,则该M2M终端设备的根密钥包括包括3个不同的用于组认证的组业务根密钥Kg以及Kdi四部分,这四个密钥的长度均为128比特或者256比特。第二种实现方式比第一种实现方式需要更多的存储空间。进一步的,为了防止用于组认证、及非组业务认证时会造成同步序列号混淆,从而区别地维护多套同步序列号,即每个M2M组业务有自己的序列号,非组业务也有自己的序列号,每个M2M终端设备的序列号SQN也分成两部分每个组业务的SQNg,以及M2M设备自身与网络之间的其他业务对应的SQNd。对不同的M2M终端设备,SQNd也各不同,假设一个 M2M业务组中的M2M终端设备数为η ;则本发明中用(SQNdl,SQNd2,. . . SQNdn)分别对应第 1,2, ...η个M2M终端设备其自身与网络之间的其他非组业务。每个SQNg和SQNd都是单独存储,且长度都是48比特。假若Μ2Μ通信网络中第i个M2M终端设备注册了 3个组业务,则该M2M终端设备的序列号SQN包括3个用于组认证的SQNg以及SQNdi四部分,每部分都是单独存储,且长度都是48比特。上述序列号主要用于生成各自的用于组认证的安全参数,但产生方式与原来网络一样。在本发明中,HLR/HSS要为M2M组业务标识为GroupID 的业务生成认证向量时,进一步会使用与该组匹配的序列号来生成相应的认证向量。在本发明的实施例中,仅用一个组业务,该组包括η个M2M终端设备的情况以示说明,一个Μ2Μ终端设备注册多个组业务的情况可根据本发明说明的一个组业务情况直接类推。下面具体描述用于组认证的安全参数的产生,包括网络侧用于组认证的安全参数的产生,主要在网络设备HLR/HSS中实现;以及Μ2Μ终端设备侧用于组认证的安全参数的产生。首先以一张表格(表1)给出不同的网络中,对应低安全性要求业务和高安全性要求业务的安全参数在网络侧的认证向量AVg包括用于组认证的随机数,组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应,Μ2Μ终端设备侧安全参数包括用于组认证的随机数,组认证成功后用于保护后续通信的密钥和用于组认证的认证响应。其中表中给出的安全参数对应一个Μ2Μ组业务,η个注册该组业务的Μ2Μ终端设备。
权利要求
1.一种M2M通信的基于组的认证方法,所述方法包括1)M2M服务器触发基于组的认证;2)接收到来自M2M服务器的用于初始化基于组认证的触发,M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备,以得到用于组认证的认证数据,所述认证数据请求消息包括用于组认证的标识,用于组认证的组身份标识以及其他用于组认证的信息;3)接收到用于组认证的认证数据请求消息后,第一网络设备产生用于组认证的认证向量,所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥;第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力,用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量;4)安全能力发送用于组认证的认证请求消息给第二网络设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;6)M2M设备接收用于组认证的认证请求消息后,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥;7)每个M2M设备通过第二网络设备将包含其M2M设备的身份标识、用于组认证的组身份标识和用于组认证的认证响应的响应消息发送给M2M安全能力;8)安全能力接收来自M2M终端组的包含用于组认证的认证响应的响应消息,检查每个 M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配;9)如果M2M终端的用于组认证的认证响应不等于用于组认证的期望认证响应,网络认证该M2M终端失败,安全能力发送消息NOK给网络认证失败的M2M设备;如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应,网络认证该M2M设备成功。
2.根据权利要求1所述的一种方法,其特征在于,所述方法进一步包括10)如果网络认证M2M设备成功,安全能力发送消息OK给网络认证成功的M2M设备。
3.根据权利要求1或2所述的一种方法,其特征在于,步骤幻中用于组认证的认证数据请求消息给第一网络设备包括M2M安全能力发出一条用于组认证的认证数据请求消息给第三网络设备,第三网络设备转发用于组认证的认证数据请求给第一网络设备;步骤3)中第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力包括第一网络设备发送包含用于组认证的认证数据的响应消息给第三网络设备,第三网络设备转发用于组认证的认证数据响应给安全能力。
4.根据权利要求1-3中任一项所述的一种方法,其特征在于,所述第一网络设备产生用于组认证的认证向量包括在接收到认证数据请求消息后,第一网络设备产生一个用于组认证的随机数,并利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥;所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括在接收到用于组认证的认证请求消息后,所有享用该组身份标识的M2M业务的M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数产生各自的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
5.根据权利要求4所述的一种方法,其特征在于,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥 Kcg0
6.根据权利要求4所述的一种方法,其特征在于,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥 IKg ;第一网络设备产生用于组认证的认证向量进一步包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;进一步的,每个M2M设备产生其用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
7.根据权利要求6所述的一种方法,其特征在于,所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥 KASMEg,所述KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
8.根据权利要求1-3中任一项所述的一种方法,其特征在于,所述第一网络设备产生用于组认证的认证向量包括在接收到用于组认证的认证数据请求消息后,第一网络设备产生一个用于组认证的的随机数,并利用所述用于组认证的随机数及每个M2M设备的根密钥Kd,生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;所述用于组认证的期望认证响应列表包含对应于每个M2M设备的用于组认证的期望认证响应,所述组认证成功后用于保护后续通信的密钥列表包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥;所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括在接收到用于组认证的认证请求消息后,每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,生成一个其自身M2M设备的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
9.根据权利要求8所述的一种方法,其特征在于,第一网络设备利用所述用于组认证的随机数、每个M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成一个用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表;每个M2M设备利用用于组认证的随机数、自身M2M设备的根密钥Kd,以及用于组认证的根密钥Kg生成M2M设备其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
10.根据权利要求8或9所述的一种方法,其特征在于,第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg 列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。
11.根据权利要求8或9所述的一种方法,其特征在于,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥 CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;第一网络设备产生用于组认证的认证向量进一步包括利用用于组认证的随机数和对应组身份标识用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌;进一步的,每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。
12.根据权利要求11所述的一种方法,其特征在于,所述第一网络设备产生的组认证成功后用于保护后续通信的密钥列表还包括组认证成功后用于保护后续通信的密钥KASMEg 列表,所述密钥列表KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生;所述M2M设备产生的组认证成功后用于保护后续通信的密钥还包括组认证成功后用于保护后续通信的密钥KASMEg,所述组认证成功后用于保护后续通信的密钥KASMEg根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生。
13.根据权利要求4-7中任一项所述的方法,其特征在于,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
14.根据权利要求8-12中任一项所述的方法,其特征在于,所述安全能力检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指安全能力根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与由第一网络设备产生用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。
15.根据权利要求1-14中任一项所述的方法,其特征在于,所述第一网络设备是归属位置寄存器或者归属用户服务器,第二网络设备是基站、无线网络控制器或者演进的 Node-B,第三网络设备是服务GPRS支持节点或者移动管理实体。
16.一种网络设备,包括存储单元,用于存储下述信息M2M_IM_ID 用于标识M2M设备中的通信模块;RANDg 用于组认证的随机数;GroupID 组身份标识,用以确定M2M设备注册的组业务;根密钥K 包括用于组认证的组业务根密钥Kg ;还包括M2M设备的根密钥Kd,对应M2M 设备自身与网络之间的其他业务;消息处理单元用于接收用于组认证的认证数据请求,响应认证数据请求;AVg产生单元用于为基于组的认证产生用于组认证的认证向量AVg。
17.根据权利要求16所述的一种网络设备,其特征在于所述AVg产生单元用于产生一个用于组认证的随机数、利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥。
18.根据权利要求17所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。
19.根据权利要求17所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg 和组认证成功后用于保护后续通信的完整性密钥IKg ;进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
20.根据权利要求19所述的一种网络设备,其特征在于所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KASMEg。
21.根据权利要求16所述的一种网络设备,其特征在于,所述AVg产生单元用于在接收到认证数据请求消息后,产生一个用于组认证的随机数,并利用所述用于组认证的随机数和每个M2M设备的Kd产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。
22.根据权利要求21所述的一种网络设备,其特征在于,所述AVg产生单元用于利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥 Kg产生用于组认证的期望认证响应列表和组认证成功后用于保护后续通信的密钥列表。
23.根据权利要求21或22所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
24.根据权利要求21或22所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;进一步的,所述AVg产生单元还利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg。
25.根据权利要求M所述的一种网络设备,其特征在于,所述AVg产生单元产生的组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
26.根据权利要求16-25中任一项所述的网络设备,其特征在于,所述网络设备为归属位置寄存器或者归属用户服务器。
27.—种M2M安全能力设备,其特征在于,包括接收单元,用于接收来自M2M服务器的用于初始化用于组认证的触发消息,并用于接收来自网络设备的包含用于组认证的认证数据的响应消息,用于组认证的认证数据至少包括组身份标识和用于组认证的认证向量AVg,所述用于组认证的认证向量AVg至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信的密钥,进一步的,所述接收单元用于接收来自M2M设备的包含用于组认证的认证响应的响应消息;发送单元,用于发送用于组认证的认证数据请求消息,所述用于组认证的认证数据请求消息至少包括组身份标识;还用于发送用于组认证的认证请求消息,所述用于组认证的认证请求消息至少包括组身份标识和用于组认证的随机数;存储单元,用于存储接收到的用于组认证的认证数据和用于组认证的认证响应;认证单元,用于检查每个M2M设备的认证响应是否与期望认证响应匹配,如果M2M设备的认证响应不等于其对应的期望认证响应,网络认证失败;如果M2M设备的认证响应等于其对应的期望认证响应,网络认证成功;如果网络认证失败,发送单元进一步用于发送消息NOK给网络认证失败的M2M设备。
28.根据权利要求27所述的M2M安全能力设备,其特征在于,如果网络认证成功,发送单元进一步用于发送消息OK给网络认证成功的M2M设备。
29.根据权利要求27或观所述的M2M安全能力设备,其特征在于,所述用于组认证的认证向量AVg还包括用于组认证的随机数,用于组认证的期望认证响应,和组认证成功后用于保护后续通信的密钥,所述组认证成功后用于保护后续通信的密钥和用于组认证的期望认证响应利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生的;所述用于组认证的认证响应是由M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数及其他参数产生。所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指检查每个M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应匹配。
30.根据权利要求四所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥是组认证成功后用于保护后续通信的加密密钥Keg。
31.根据权利要求四所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生用于组认证的认证令牌 AUTNg ;进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
32.根据权利要求31所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密朗 KasmeS。
33.根据权利要求27或观所述的M2M安全能力设备,其特征在于,所述用于组认证的期望认证响应是指包含对应于每个M2M设备的用于组认证的期望认证响应的期望认证响应列表;所述用于组认证的认证向量AVg还包括用于包含对应于每个M2M设备的组认证成功后用于保护后续通信的密钥列表;所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数及每个M2M设备的根密钥 Kd分别生成;所述用于组认证的认证响应是每个M2M设备利用用于组认证的的随机数及其自身M2M 设备的根密钥Kd生成的一个其自身M2M设备的用于组认证的认证响应;所述认证单元检查用于组认证的认证响应是否与用于组认证的期望认证响应匹配是指根据M2M设备的身份标识,检查来自该M2M设备的用于组认证的认证响应是否与用于组认证的期望认证响应列表中该M2M设备相应的用于组认证的期望认证响应匹配。
34.根据权利要求33所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表和用于组认证的期望认证响应列表是利用所述用于组认证的随机数和每个M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的;所述用于组认证的认证响应是每个M2M设备利用用于组认证的随机数及其自身M2M设备的根密钥Kd,以及对应组身份标识的用于组认证的根密钥Kg产生的。
35.根据权利要求33或34所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥Kcg列表。
36.根据权利要求33或34所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表是指组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表;用于组认证的认证向量AVg还包括利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg和其他参数为相同组身份标识的成组M2M业务产生用于组认证的认证令牌AUTNg ;进一步的,所述发送单元发送的所述用于组认证的认证请求消息还包括所述用于组认证的认证令牌AUTNg。
37.根据权利要求36所述的M2M安全能力设备,其特征在于,所述组认证成功后用于保护后续通信的密钥列表还包括根据组认证成功后用于保护后续通信的加密密钥CKg列表和组认证成功后用于保护后续通信的完整性密钥IKg列表产生的组认证成功后用于保护后续通信的密钥KASMEg列表。
38.一种M2M终端设备,包括存储单元,用于存储下述信息M2M_IM_ID 用于标识M2M设备中的通信模块;RANDg 用于组认证的随机数;GroupID 组身份标识,用以确定M2M设备注册的组业务;根密钥K 包括用于组认证的组业务根密钥Kg ;还包括M2M设备的根密钥Kd,对应M2M 设备自身与网络之间的其他业务;消息处理单元用于接收用于组认证的认证请求消息,响应认证请求,用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数;产生单元用于为用于组的认证产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
39.根据权利要求38所述的一种M2M终端设备,其特征在于所述产生单元用于利用对应组身份标识的用于组认证的根密钥Kg和用于组认证的随机数和其他参数产生其自身的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
40.根据权利要求38所述的一种M2M终端设备,其特征在于,所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
41.根据权利要求40所述的一种M2M终端设备,其特征在于,所述所述产生单元用于利用用于组认证的随机数和所述M2M设备的Kd,以及对应组身份标识的用于组认证的根密钥 Kg产生和其他参数用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。
42.根据权利要求39,40或41所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥Keg。
43.根据权利要求39,40或41所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg ;进一步的,所述M2M设备还包括一个认证单元,用于利用接收到用于组认证的认证令牌AUTNg认证网络,所述用于组认证的认证令牌AUTNg包含在接收到的认证请求消息中。
44.根据权利要求43所述的一种M2M终端设备,其特征在于所述产生单元产生的组认证成功后用于保护后续通信的密钥还包括根据组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg产生的组认证成功后用于保护后续通信的密钥KAsMEg。
全文摘要
本发明的实施方式提供M2M通信的基于组的认证方法,根据M2M业务的安全性要求,将组业务分成两类,一类为安全性要求低的M2M业务,安全认证时不区分各M2M设备,即所有的安全参数只以组来区分,而不区分各M2M单个设备,各M2M设备的认证响应都相同;另一类则为安全性要求高的M2M业务,该类业务属性需要区分各M2M终端的不同,各M2M设备的用于组认证的认证响应都不同,并且重用现有的网络能力如广播/多播能力、认证和密钥协商流程,这样对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。
文档编号H04W12/06GK102316450SQ201010214469
公开日2012年1月11日 申请日期2010年6月29日 优先权日2010年6月29日
发明者万永根, 胡志远, 金晓蓉, 骆志刚 申请人:上海贝尔股份有限公司