专利名称:机器类通信中的群组安全的制作方法
技术领域:
本发明提供针对在非专利文献I和2中公开的基于群组的机器类通信(MTC)的安全解决方案。本发明的目的在于减少在MTC设备与网络之间的信令,并且在基于群组的MTC设备与网络之间建立有效安全通信。
背景技术:
MTC通信已经在技术/学术和产业中都引起了关注。根据当前3GPP (第三代合作伙伴计划)规范,相同区域中的或者具有相同MTC特征的和/或属于相同MTC用户的MTC设备可以集群在一起,并且作为一个单元与网络通信。然而,从安全角度看,还没有描述属于群组的MTC设备如何建立与网络的安全通信,包括对设备的认证和密钥分配。也没有描述MTC在其新加入群组时如何建立与网络的安全通信。在专利文献I中公开了在通信设备之间建立这种安全通信的方法。在专利文献I中,当分发数据的分发服务器从其他服务器(请求服务器)接收分发请求时,分配服务器向请求服务器发送安全请求。请求服务器针对其安全执行设置,并且发送关于安全设置的信息。分发服务器确认请求服务器的安全设置,然后在接收的安全设置没有问题的情况下向请求服务器发送所请求的数据。而且,在专利文献2、3和4中公开了如下相关技术。
在专利文献2中,公开了通过使用哈希函数生成用于新无线通信设备的临时标识符(ID)的方法,所述用于新无线通信设备的临时标识符(ID)不与其他无线通信设备的ID相冲突。专利文献3中公开了一种在通信设备之间的通信方法。在设置为相同群组的设备之间执行一对一或一对多通信。在专利文献4中,公开了一种合并实体,其合并从多个实体接收的消息,并且将合并后的消息发送给其目的地。专利文献5公开了连接到网络的M2M(机器到机器,移动到机器,机器到移动)模块。引用文献列表专利文献[专利文献I]日本专利申请公开No.2008-257340[专利文献2]国际专利公开W02007/072814[专利文献3]日本专利申请公开No.2006-081184[专利文献4]日本专利申请公开No.2007-089156[专利文献5]日本专利申请公开No.2008-543137非专利文献[非专利文献 1]TS22.368 “Service requirements for Machine-TypeCommunications (MTC) ;Stagel”(第 10 版)。[非专利文献 2]TS23.888 “System Improvements for Machine-TypeCommunications,,(第 10 版)。[非专利文献 3]TS33.401 “3GPP System Architecture Evolution(SAE);Security architecture,,(第 9 版)。
发明内容
技术问题然而,专利文献I公开了在单个通信设备之间的安全通信,也即一对一通信。因此,如果将专利文献I中公开的安全通信方法应用到非专利文献I中设想的包括多个MTC设备的系统,则网络中的通信量将与MTC设备的数目成比例地增加。这是因为该通信是在每个单个MTC设备与网络之间传送的。解决问题的技术方案考虑两种主要的实际情形。一种情形是在任何通信开始之前,已经创建群组,并且由属于该群组的MTC设备和网络共享群组ID(grlD)。对于设备,grID嵌入在其USM(通用订户标识模块)卡中。这将在发明I中介绍。另一种情形是针对MTC设备加入现有群组。网络事先没有关于该MTC设备的知识。然而,满足网络对群组的要求的MTC设备可以请求加入该群组。与发明I相对,网络和MTC设备不能事先达成一致。这是在发明Ii中提出的。网关可以可选地具有ncc(通用集成电路卡)。当MTC设备作为网关运行时,它将具有ncc。本发明的示例性目的是提供能够解决上述问题的通信设备、通信系统、通信方法和用于存储通信程序的存储介质。根据本发明的示例性方面的通信设备连接到网络和多个通信终端,所述通信设备包括群组信息发送装置,用于发送从网络接收的群组信息;接入控制装置,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给网络;以及临时标识符和群组密钥发送装置,用于在所述通信设备从网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。根据本发明的示例性方面的通信系统包括多个通信终端;网络;以及通信设备,所述通信设备在所述多个通信终端与所述网络之间中继通信;其中,所述通信设备从所述网络接收群组信息,向所述多个通信终端发送所述群组信息,以及向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。根据本发明的示例性方面的通信方法在网络和多个通信终端之间执行,所述方法包括从所述网络接收群组信息;向所述多个通信终端发送所述群组信息;从所述通信终端接收对所述群组信息的回复;以及向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。根据本发明的方面的一种用于存储通信程序的存储介质包括群组信息发送过程,用于发送从网络接收的群组信息;接入控制过程,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给网络;以及临时标识符和群组密钥发送过程,用于在从网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。本发明的有益效果根据本发明,可以减少在MTC设备与网络之间的通信量,并且将在基于群组的MTC设备与网络之间建立安全通信。
图1是发明I的框图。图2是发明II的框图。图3是发明I中的在MTC设备、网关和核心网之间的消息序列图。图4是发明II中的在MTC设备、网关和核心网之间的消息序列图。图5是示出第一示例性实施例中的通信设备的配置的框图。图6是示出第一示例性实施例中的操作的流程图。图7是示出第二示例性实施例中的通信系统的配置的框图。图8是示出第二示例性实施例中的网关的配置的框图。图9是示出第二示例性实施例中的MTC设备的配置的框图。图10是示出第二示例性实施例中的核心网的配置的框图。图11是示出第二示例性实施例中的操作的流程图。图12是示出第三示例性实施例中的操作的流程图。
具体实施例方式[发明I]通过将网关(GW)用于对群组优化的MTC设备的安全管理,实现了本发明的目的。网关的主要任务是在MTC设备与核心网之间建立安全通信;向MTC设备分发群组密钥(grKey)和单播临时ID ;以及可选地执行接入控制和生成临时ID。本发明做出如下一些假设1.网关和核心网(CN)已经建立安全通信。2.群组是实现根据网络判决创建的。3.在开始任何通信之前,群组内的所有MTC设备都知道唯一的群组ID,并且该唯一的群组ID是由网关从网络检索到的。4.在具有ncc的网关与网络之间以及在MTC设备与网络之间的认证服从3GPP标准AKA (认证和密钥协议)。5.每个网关能够管理不止一个群组。本发明包括以下步骤1.网关广播grID,并且设置定时器。MTC设备将用其持有的匹配grID对网关做出响应。2.针对在定时器期满之前做出响应的MTC设备,网关向网络发送级联的附着请求消息。3.由下述之一来执行针对对该广播做出响应的MTC设备的MTC列表的接入控制
(I)仅网关, (2)仅网络,或者(3)网关和网络。
4.以下述方式执行针对MTC设备的AKA过程由网关收集来自MTC设备的所有消息,以及在级联消息中将它们发送给网络。以这种方式,从网络发送的消息是级联消息,并且网关将向每个MTC设备进行分发。5.在成功的AKA过程之后,执行如3GPP标准[3]规定的安全模式命令(SMC)过程。其中,生成和激活用于在MTC设备与网络之间的通信的完整性和机密密钥。6.在它们之间建立安全通信之后,并且在网关向MTC设备分发grKey之前,网关从网络接收grKey。可选地,网关可以生成自己生成grKey。7.网络针对每个MTC设备创建唯一的临时ID(tempID),通过该临时ID可以唯一地识别MTC设备并且与MTC设备通信。网络向网关发送该tempID,以及网关向每个MTC设备单播该tempID。可选地,网关可以创建用于MTC设备的tempID。在该情况下,其将该tempID发送给网络。图3是发明I中的在MTC设备、网关和核心网之间的消息序列图。在步骤10中,网关和核心网执行互认证,并且建立安全信道。在步骤12中,网络向网关发送grID、gwID、grKey、群组特征和MTC列表。可选地,grKey可以由网关生成。在步骤14中,网关广播grID以及群组特征,并且开启定时器以等待MTC设备的响应。在步骤16中,已经存储与广播中的grID和特征匹配的grID和特征的MTC设备将对该广播做出响应。在步骤18中,通过将接收的grID与MTC列表进行比较,网关将针对对其广播做出响应的MTC设备执行接入控制。当定时器期满时,将丢弃来自MTC设备的任何响应。如果网络将执行接入控制,则此处的接入控制是可选的。在步骤20中,网关发送级联的附着请求消息,该级联的附着请求消息包括来自MTC设备的所有附着请求消息。在步骤22中,网络将针对MTC列表执行接入控制。该过程在下述情况下是可选的网关执行接入控制,并且网络信任它。在步骤24中,网络执行与MTC设备的认证过程,跟着执行步骤26中的安全模式命令(SMC)过程。在步骤28中,网络(或可选地,网关)生成每个MTC设备的唯一的临时ID。如果网络生成tempID,则它在附着接受消息中向网关发送tempID。如果网关生成tempID,则在步骤32中网关向网络通知tempID。在步骤30中,网关单播tempID,并且向MTC设备分发grKey。[发明II]本发明的目的通过网络广播群组的特征要求来实现,因为网络事先没有任何关于哪些MTC设备将在群组中的知识。满足那些特征要求的MTC设备将(请求加入群组)由网络单个地进行认证。此处适用发明I的假设1、4和5。而且针对本发明做出下述另一些假设。1.网络和MTC设备事先不具有任何关于对方的知识。2.在网络与MTC设备之间的互认证以及标识分配服从3GPP标准过程。
本发明包括以下步骤。
1.网络广播群组的特征。2.与该特征匹配的MTC设备可以做出响应,例如通过发送加入群组的附着请求来做出响应。3.网络执行针对该MTC设备的认证和接入控制。4.网络生成tempID,并且向MTC设备发送tempID。5.网络通过向网关发送MTC设备标识来通知网关哪个MTC设备将加入群组。6.可选地,tempID的生成可以由网关来执行,如果如此,则网络将向网关发送MTC设备的頂SI (国际移动订户标识)。网关将在tempID生成之后向网络发送tempID。7.网关向MTC设备分发grKey。图4是发明II中的在MTC设备、网关和核心网之间的消息序列图。在步骤10中,网关和核心网执行互认证,并且建立安全信道。在步骤12中,网络广播群组特征,并且开启定时器以等待MTC设备做出响应。在步骤14中,与该特征匹配的MTC设备可以通过发送加入群组的请求做出响应。在步骤16中,网络将针对MTC列表执行接入控制。当定时器期满时,将丢弃来自MTC设备的任何响应。在步骤18中,网络将与对其广播做出响应的MTC设备执行认证,跟着执行SMC过程。在步骤20中,网络将生成tempID,该tempID对于每个MTC设备是唯一的。在步骤22中,网络将在附着接受消息中向MTC设备发送tempID。在步骤24中,网络将向网关指示成功认证的MTC设备的tempID。在步骤28中,网关向MTC设备分发grKey,并且可选地能够向MTC设备单播tempID,该tempID可在步骤26中生成。如果网关生成该tempID,则它将向网络发送该tempID。根据上文描述的实施例,在网关与网络之间发送级联消息减少了信令,并且在群组大小变大时提供特别有效的效率。使用网关进行对群组的安全管理,还防止了对网络的攻击。向群组提供了拥有新成员的灵活性。由网关本地执行接入控制tempID生成还可以减少网络的负载。下文中,参考附图详细描述本发明的示例性实施例。<第一示例性实施例>(第一示例性实施例的配置)图5示出了通信设备1000的配置。根据图5,该通信设备连接到通信终端101和网络1100。尽管图5中示出了单个通信终端101,但是可以存在不止一个通信终端。根据图5,通信设备1000包括群组信息发送单元1001、接入控制单元1002以及临时标识符和群组密钥发送单元1003。它们中的每一个均连接到通信终端1101和网络1100。(第一示例性实施例的操作)图6示出了通信设备1000的操作。首先,群组信息发送单元1001向通信终端1101发送群组信息,该群组信息是从网络1100接收的(S1001)。
接下来,接入控制单元1002向网络1100发送回复(S1002)。该回复是接入控制单元1002从通信终端1101接收的、响应于步骤S1001中发送的群组信息的回复。最后,当临时标识符和群组密钥发送单元1003从网络1100接收到临时标识符时,临时标识符和群组密钥发送单元1003向对群组信息做出响应的通信终端1101发送临时标识符和群组密钥(S1003)。(第一示例性实施例促成的效果)根据上文描述的第一示例性实施例,通信设备1000向网络1100发送回复,该回复通知来自通信终端1101的响应,而且通信设备1000向对群组信息做出响应的通信终端1101发送临时标识符和群组密钥。因此,根据第一示例性实施例,可以减少通信量,并且能够与网络建立安全通信。<第二示例性实施例>(第二示例性实施例的配置)`图7示出本发明的第二示例性实施例的系统的配置。根据图7,该系统包括网关100、核心网110、MTC设备120、MTC设备130和MTC设备140。核心网110经由网关100连接到MTC设备120-140。因为MTC设备120-140具有相同配置,所以为了简化说明,下文将仅详细描述MTC设备120,并且省略对另两个MTC设备的描述。图8示出了网关100的配置。根据图8,网关100包括群组信息发送单元101、接入控制单元102、tempID发送单元103和存储单元104。此外,网关100包括认证单元105、接口(I/F)106 和接口(I/F)107。群组信息发送单元101经由I/F107从核心网110接收群组信息、gwID(网关ID)、grKey (群组密钥)以及MTC列表,并且将接收的群组信息存储在存储单元104中。而且,群组信息发送单元101经由I/F106将接收到的群组信息发送/广播给MTC设备。群组信息包括诸如grID和群组特征之类的信息。grID是指示MTC设备属于的群组的标识符。群组特征可以是在背景技术中描述的MTC特征。如在背景技术中所描述的,具有相同grID或相同群组特征的MTC设备可以在相同群组中。grKey是每个群组持有的一对完整性和机密密钥。相同群组中的MTC设备具有相同的grKey。grKey被用于在MTC设备与网关100之间的通信。grKey可以在有成员(MTC设备)离开群组时进行更新(也可以定期更新)。MTC列表是核心网110持有的MTC设备的列表。针对MTC设备的接入控制可以根据MTC列表来执行。如果核心网110能够向网关100发送MTC列表,则网关100也可以执行接入控制。接入控制单元102从对群组信息发送单元101发送的群组信息做出响应的MTC设备接收响应。通过将接收到的响应与MTC列表进行比较,接入控制单元102针对做出响应的MTC设备执行接入控制。尽管描述了多个MTC设备对群组信息做出响应,其也适用于仅单个MTC设备做出响应的情形。接入控制单元102还经由I/F107将从MTC设备接收的响应发送给核心网110。在多个MTC设备对群组信息做出响应的情形下,接入控制单元将回复进行级联,并且将级联的消息发送给核心网110。tempID发送单元103经由I/F107接收在核心网110中生成的tempID。tempID发送单元103还将接收到的tempID发送/广播给对群组信息发送单元101发送的群组信息做出响应的MTC设备。存储单元104存储发送自核心网110的群组信息。认证单元105执行在MTC设备与核心网110之间的认证。I/F106和107分别中继在MTC设备与网关100之间的所有通信以及在网关100与核心网110之间的通信。图9示出了 MTC设备120的配置。如上所述,MTC设备130和140与MTC设备120具有相同配置,因此将省略对MTC设备130和140的描述。根据图9,MTC设备120包括匹配单元121、回复单元122、认证单元123以及I/F124。匹配单元121接收从网关100发送的群组信息。而且,匹配单元121确定接收到的群组信息与MTC设备120的群组信息是否匹配。具体地,如果匹配单元121接收grID“A”,则匹配单元121确定MTC设备120自身是否具有grID “A”。如果接收到的群组信息与MTC设备120的群组信息匹配,则回复单元122向网关100发送回复。如果接收到的群组信息与MTC设备 120的群组信息不匹配,则不从回复单元122发送回复。认证单元123执行在MTC设备120与网关100/核心网110之间的认证。I/F124中继在MTC设备120与网关100之间的所有通信。图10示出了核心网110的配置。根据图10,核心网110包括群组信息发送单元111、接入控制单元112、tempID生成单元113、存储单元114、认证单元115以及I/F116。群组信息发送单元111向网关100发送群组信息、gwID、grKey、群组特征以及MTC列表。存储单元114存储要发送的群组信息、gwID、群组特征以及MTC列表。接入控制单元112根据存储单元114中存储的MTC列表,针对做出响应的MTC设备执行接入控制。如果网关100执行接入控制并且核心网110信任网关100执行的接入控制,则可以省略接入控制单元112执行的接入控制。tempID生成单元113针对对群组信息做出响应的每个MTC设备生成唯一的tempID。可选地,网关100也可以生成tempID。如果核心网110生成tempID,贝U它在附着接受消息中向网关100发送tempID。如果网关100生成tempID,贝U网关100向核心网110通知生成了 tempID,并且网关100向MTC设备发送tempID。而且,tempID生成单元113可以生成每个群组的grKey。认证单元115经由网关100在核心网110与MTC设备之间执行认证。I/F116中继在网关100与核心网110中的每个单元之间的所有通信。(第二示例性实施例的操作)图11示出了第二示例性实施例的操作。例如,假设MTC设备120和130都具有grID “A”的情形。首先,网关100中的认证单元105和核心网110中的认证单元115彼此执行互认证(SlOl)。在完成认证之后,在网关100与核心网110之间建立用于安全通信的安全信道。接下来,群组信息发送单元111向网关100发送群组信息、gwID、grKey和MTC列表(S102)。例如,假设群组信息发送单元111发送作为群组信息的grID “A”。于是,网关100中的群组信息发送单元101从核心网110接收群组信息、gwID、grKey和MTC列表。群组信息发送单元101将接收到的信息存储到存储单元104。接下来,群组信息发送单元101将接收到的信息发送或广播给MTC设备(S103)。MTC设备120中的匹配单元121接收在步骤S103中发送的群组信息。然后,匹配单元121确定接收到的群组信息与MTC设备120的群组信息是否匹配(S104)。如果接收到的群组信息与MTC设备120的群组信息匹配,则回复单元122向网关100发送回复(S105)。如果接收到的群组信息与MTC设备120的群组信息不匹配,则不从回复单元122发送任何回复,并且操作结束(S104 否”分支)。在步骤S105之后,接入控制单元102接收来自MTC设备的回复。在该示例中,MTC设备120和130向网关100做出了回复,因为接收到的grID “A”与它们的grID “A”都匹配。于是,接入控制单元102发送回复或级联消息,该级联消息是通过级联来自MTC设备的回复形成的。通过使用MTC列表来执行接入控制,该接入控制是由网关100中的接入控制单元102执行的(S106)。如上文所述,接入控制可以由核心网110中的接入控制单元112来执
行。 网关100中的接入控制单元102可以等待一预定时间段再向核心网110发送回复,因为其他MTC设备也可能对该群组信息做出响应。在接入控制单元112接收到回复或级联消息之后,认证单元115开始执行对做出响应的MTC设备的认证(S106)。步骤S106中的认证是在核心网110的认证单元115、网关100中的认证单元105和MTC设备120中的认证单元123之间执行的。接下来,tempID生成单元113针对在步骤S105中向网关100做出响应的每个MTC设备生成唯一的tempID (S107)。在该示例中,tempID生成单元113针对MTC设备120和130生成两个唯一的tempID。于是,核心网110中的tempID生成单元113向网关100发送在步骤S107中生成的tempID以及每个MTC设备群组的grKey。tempID和grKey作为级联消息进行发送。tempID发送单元103接收从核心网110发送的级联消息。tempID发送单元103然后将接收到的tempID和grKey发送或广播给MTC设备(S108)。在步骤S108之后,MTC设备120中的认证单元123接收从网关100发送的tempID和 grKeyo(第二示例性实施例促成的效果)根据上文描述的第二示例性实施例,网关100向核心网110发送级联消息,该级联消息通知来自MTC设备的响应,而且网关100在级联消息中向对群组信息做出响应的MTC设备发送tempID和grKey。因此,根据第二示例性实施例,可以减少在MTC设备与网络之间的通信量,并且能够在第二示例性实施例的系统中的MTC设备与网络之间建立安全通信。而且,根据第二示例性实施例,网关100向核心网110发送通过级联来自对群组信息做出响应的MTC设备的回复形成的级联消息。
通过发送级联消息而不是转发来自MTC设备的回复,有可能减少第二示例性实施例的系统中的通信量。该通信量的减少在MTC设备的群组的大小增大时特别有效。<第三示例性实施例>第三示例性实施例的配置与第二示例性实施例的配置相同。因此将省略对第三示例性实施例的配置的描述。第三示例性实施例与第二示例性实施例之间的差异将被描述如下。在第三示例性实施例中,假设核心网110事先不具有关于将需要加入群组的MTC设备的任何知识。核心网110向MTC设备发送群组的特征,满足接收到的特征的MTC设备做出回复,并且将由核心网110单个地进行认证。图12示出了第三示例性实施例的操作。例如,假设MTC设备120和130都具有特征“B”的情形。首先,网关100中的认证单元105和核心网110中的认证单元115彼此执行互认证,以在它们之间建立安全通信(S201)。接下来,核心网110中的群组信息发送单元111向MTC设备发送或广播群组特征(S202)。在步骤S202中,网关100可以从核心网110接收群组特征。在该示例中,群组信息发送单元101将接收到的群组信息发送或广播给MTC设备。MTC设备120中的匹配单元121接收在步骤S202中发送的群组特征。然后,匹配单元121确定接收到的群组信息与MTC设备120的群组信息是否匹配(S203)。如果接收到的群组信息与MTC设备120的群组信息匹配,则回复单元122向核心网110发送要加入群组的请求(S204)。在步骤S204中,来自MTC设备的请求可被直接发送给核心网110或者该请求可以通过网关100发送给核心网110。在后一种情况下,接入控制单元102接收来自MTC设备的请求。然后,接入控制单元102发送级联消息,该级联消息是通过级联从MTC设备接收的请求而形成的。因为除了在后一种情况下网关100中继请求之外,两种情况没有其他不同,所以下文将描述后一种情况。如果接收到的群组特征与MTC设备120的群组特征不匹配,则不从回复单元122发送任何回复并且操作结束(S203 否”分支)。在步骤S204之后,网关100中的接入控制单元102接收请求。在该示例中,MTC设备120和130都向网关100发送要加入群组的请求,因为接收到的群组特征“B”与它们的特征“B”都匹配。于是,接入控制单元102发送请求或者级联消息,该级联消息是通过级联来自MTC设备的请求形成的。
通过使用MTC列表来执行接入控制,该接入控制是由核心网110中的接入控制单元112执行的(S205)。步骤S205中的接入控制还可以由网关100中的接入控制单元102来执行。接入控制单元112也可以在核心网110与MTC设备之间执行SMC。核心网110中的接入控制单元112可以等待一预定时间段再开始执行与MTC设备的认证,因为其他MTC设备也可能做出请求。当接入控制单元112接收到级联消息时,或者当预定时间段期满时,认证单元115开始对发送了请求的MTC设备执行认证。接下来,tempID生成单元113针对在步骤S204中请求加入群组的每个MTC设备生成唯一的tempID (S206)。如果还没有生成grKey,则tempID生成单元113还可以生成每个群组的grKey。于是,tempID生成单元113向网关100发送在步骤S206中生成的tempID以及每个MTC设备群组的grKey。tempID和grKey是作为级联消息发送的。tempID发送单元103接收从核心网110发送的级联消息。然后,tempID发送单元103将接收到的tempID和grKey发送或广播给MTC设备(S207)。tempID生成单元113也可以将tempID和grKey直接广播给MTC设备。(第二示例性实施例促成的效果)根据上文描述的第二示例性实施例,网关100向核心网110发送级联消息,该级联消息通知来自MTC设备的响应,而且网关100在级联消息中向对群组信息做出响应的MTC设备发送tempID和grKey。因此,根据第三示例性实施例,可以减少在MTC设备与网络之间的通信量,并且能够在第三示例性实施例的系统中的MTC设备与网络之间建立安全通信。而且,根据第三示例性实施例,网关100向核心网110发送通过级联来自对群组信息做出响应的MTC设备的回复形成的级联消息。通过发送级联消息而不是转发来自MTC设备的回复,有可能减少第三示例性实施例的系统中的通信量。该通信量的减少在MTC设备的群组的大小增大时特别有效。另外,根据第三示例性实施例,即使核心网110事先不具有关于将在相同群组中的MTC设备的任何知识,也有可能执行对MTC设备的认证。尽管已经参考本 发明的示例性实施例具体示出和描述了本发明,但是本发明不限于这些实施例。本领域技术人员应该理解,在不偏离所附权利要求定义的本发明的精神和范围的情况下,可以在形式和细节上做出各种修改。例如,上面提到的每个示例性实施例中的操作(在流程图和每个序列图中示出的操作)可以由硬件、软件、或者软件和硬件的组合来实现。在由软件执行过程的情形下,下述情况是可能的在装配在专用硬件上的计算机的存储器中安装记录过程序列的程序,然后执行所述程序。在执行各种过程的通用计算机中安装和执行所述程序也是可能的。例如,有可能将程序事先记录在作为存储介质的硬盘和ROM(只读存储器)中。还有可能将程序临时或永久存储(记录)在可拆卸存储介质中,如CD-ROM(只读致密盘存储器)、M0(磁光)盘、DVD(数字多功能盘)、磁盘、半导体存储器等。有可能将这种可拆卸存储介质提供作为所谓的打包软件。此外,有可能通过从上文提到的可拆卸存储介质中读取程序来安装程序,并且作为另外的方法,还可能从下载站点将程序无线传输到计算机。还可能经由诸如LAN(局域网)和互联网之类的网络将程序有线传送到计算机。计算机可以接收传送的程序,并且将程序安装在诸如内置硬盘等存储介质中。而且,在上文提到的示例性实施例中已经描述的系统可以具有多个设备的逻辑组合构成的结构,并且可以具有每个设备的功能相互融合的配置。本申请基于在2010年8月5日提交的日本专利申请No. 2010-176115,并且要求其优先权,通过引用将其公开内容并入本文。
上文公开的示例性实施例的全部或部分可以描述为,但当不限于,下述补充注释。(补充注释I)一种通信设备,所述通信设备连接到网络和多个通信终端,所述通信设备包括群组信息发送装置,用于发送从所述网络接收的群组信息;接入控制装置,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及临时标识符和群组密钥发送装置,用于在所述通信设备从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。
(补充注释2)根据补充注释I所述的通信设备,其中,当所述通信设备从所述通信终端接收到回复时,所述接入控制装置对所述回复进行级联,并且将级联后的回复发送给所述网络。(补充注释3)根据补充注释I或2所述的通信设备,其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的通信终端执行接入控制。(补充注释4)根据补充注释3所述的通信设备,其中,当所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制装置在所述通信终端与所述网络之间执行认证。(补充注释5)根据补充注释1-4中任一项所述的通信设备,其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息。(补充注释6)一种通信系统,包括多个通信终端;网络;以及通信设备,所述通信设备在所述多个通信终端与所述网络之间中继通信;其中,所述通信设备从所述网络接收群组信息,向所述多个通信终端发送所述群组信息,以及向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。(补充注释7)根据补充注释6所述的通信系统,其中,所述通信设备包括群组信息发送装置,用于发送从所述网络接收的群组信息;接入控制装置,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及
临时标识符和群组密钥发送装置,用于在所述通信设备从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。(补充注释8)根据补充注释6或7所述的通信系统,其中,当所述通信设备从所述通信终端接收到回复时,所述接入控制装置对所述回复进行级联,并且将级联后的回复发送给所述网络。(补充注释9)根据补充注释6-8中任一项所述的通信系统,其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的通信终端执行接入控制。(补充注释10)根据补充注释9所述的通信系统,其中,当所述接入控制 装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制装置在所述通信终端与所述网络之间执行认证。(补充注释11)根据补充注释6-10中任一项所述的通信系统,其中所述通信终端包括确定装置,用于确定从所述通信设备接收的群组信息与所述通信终端持有的群组信息是否匹配;以及回复装置,用于在从所述通信设备接收的群组信息与所述通信终端持有的群组信息匹配时向所述通信设备做出回复。(补充注释12)根据补充注释6-11中任一项所述的通信系统,其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息。(补充注释13)一种通信方法,所述通信方法在网络和多个通信终端之间执行,所述方法包括从所述网络接收群组信息;向所述多个通信终端发送所述群组信息;从所述通信终端接收对所述群组信息的回复;以及向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。(补充注释14)根据补充注释13所述的通信方法,还包括发送从所述网络接收的群组信息;从对所述群组信息做出响应的通信终端接收所述回复;向所述网络发送所述回复;以及在从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。(补充注释15)根据补充注释13或14所述的通信方法,还包括当从所述通信终端接收到回复时,对所述回复进行级联,并且将级联后的回复发送给所述网络。(补充注释16)根据补充注释13-15中任一项所述的通信方法,还包括当从所述通信终端接收到所述回复时,确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配;以及 对做出响应的通信终端执行接入控制。(补充注释I7)根据补充注释16所述的通信方法,还包括当所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,在所述通信终端与所述网络之间执行认证。
(补充注释I8)根据补充注释13-17中任一项所述的通信方法,其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息。(补充注释I9)一种用于存储通信程序的存储介质,包括群组信息发送过程,用于发送从网络接收的群组信息;接入控制过程,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及临时标识符和群组密钥发送过程,用于在从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。(补充注释20)根据补充注释19所述的用于存储通信程序的存储介质,其中,当从所述通信终端接收到回复时,所述接入控制过程对所述回复进行级联,并且将级联后的回复发送给所述网络。(补充注释21)根据补充注释19或20所述的用于存储通信程序的存储介质,其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制过程确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的通信终端执行接入控制。(补充注释22)根据补充注释21所述的用于存储通信程序的存储介质,其中,当所述接入控制过程确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制过程在所述通信终端与所述网络之间执行认证。(补充注释23)
根据补充注释19-22中任一项所述的用于存储通信程序的存储介质,其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息。参考符号列表100 网关101,111,1001群组信息发送单元102,112,1002接入控制单元103,113tempID 发送单兀 103104,114 存储单元105,115,123 认证单元106,107,116,1241作(接口)110核心网120,130,140MTC 设备121匹配单元122回复单元1000通信设备 1003临时标识符和群组密钥发送单元1100 网络1101通信终端
权利要求
1.一种通信设备,所述通信设备连接到网络和多个通信终端,所述通信设备包括 群组信息发送装置,用于发送从所述网络接收的群组信息; 接入控制装置,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及 临时标识符和群组密钥发送装置,用于在所述通信设备从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。
2.根据权利要求1所述的通信设备, 其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置对所述回复进行级联,并且将级联后的回复发送给所述网络。
3.根据权利要求1或2所述的通信设备, 其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的所述通信终端执行接入控制。
4.根据权利要求3所述的通信设备, 其中,当所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制装置在所述通信终端与所述网络之间执行认证。
5.根据权利要求1-4中任一项所述的通信设备, 其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信肩、O
6.一种通信系统,包括 多个通信终端; 网络;以及 通信设备,所述通信设备在所述多个通信终端与所述网络之间中继通信; 其中,所述通信设备从所述网络接收群组信息,向所述多个通信终端发送所述群组信息,以及向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。
7.根据权利要求6所述的通信系统, 其中,所述通信设备包括 群组信息发送装置,用于发送从所述网络接收的群组信息; 接入控制装置,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及 临时标识符和群组密钥发送装置,用于在所述通信设备从所述网络接收到所述临时标识符和所述群组密钥时,向对所述群组信息做出响应的所述通信终端发送所述临时标识符和所述群组密钥。
8.根据权利要求6或7所述的通信系统, 其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置对所述回复进行级联,并且将级联后的回复发送给所述网络。
9.根据权利要求6-8中任一项所述的通信系统, 其中,当所述通信设备从所述通信终端接收到所述回复时,所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的所述通信终端执行接入控制。
10.根据权利要求9所述的通信系统, 其中,当所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制装置在所述通信终端与所述网络之间执行认证。
11.根据权利要求6-10中任一项所述的通信系统, 其中所述通信终端包括 确定装置,用于确定从所述通信设备接收的群组信息与所述通信终端持有的群组信息是否匹配;以及 回复装置,用于在从所述通信设备接收的群组信息与所述通信终端持有的群组信息匹配时向所述通信设备做出回复。
12.根据权利要求6-11中任一项所述的通信系统, 其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息
13.—种通信方法,所述通信方法在网络和多个通信终端之间执行,所述方法包括 从所述网络接收群组信息; 向所述多个通信终端发送所述群组信息; 从所述通信终端接收对所述群组信息的回复;以及 向对所述群组信息做出回复的通信终端发送临时标识符和群组密钥。
14.根据权利要求13所述的通信方法,还包括 发送从所述网络接收的群组信息; 从对所述群组信息做出响应的通信终端接收所述回复; 向所述网络发送所述回复;以及 在从所述网络接收到所述临时标识符和所述群组密钥时,向对所述群组信息做出响应的所述通信终端发送所述临时标识符和所述群组密钥。
15.根据权利要求13或14所述的通信方法,还包括 当从所述通信终端接收到所述回复时,对所述回复进行级联,并且将级联后的回复发送给所述网络。
16.根据权利要求13-15中任一项所述的通信方法,还包括 当从所述通信终端接收到所述回复时,确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配;以及 对做出响应的所述通信终端执行接入控制。
17.根据权利要求16所述的通信方法,还包括 当所述接入控制装置确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,在所述通信终端与所述网络之间执行认证。
18.根据权利要求13-17中任一项所述的通信方法, 其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息
19.一种用于存储通信程序的存储介质,包括群组信息发送过程,用于发送从网络接收的群组信息; 接入控制过程,用于从对所述群组信息做出响应的通信终端接收回复,以及用于将所述回复发送给所述网络;以及 临时标识符和群组密钥发送过程,用于在从所述网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。
20.根据权利要求19所述的用于存储通信程序的存储介质, 其中,当从所述通信终端接收到所述回复时,所述接入控制过程对所述回复进行级联,并且将级联后的回复发送给所述网络。
21.根据权利要求19或20所述的用于存储通信程序的存储介质, 其中,当从所述通信终端接收到所述回复时,所述接入控制过程确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配,并且对做出响应的通信终端执行接入控制。
22.根据权利要求21所述的用于存储通信程序的存储介质, 其中,当所述接入控制过程确定发送给所述通信终端的群组信息与所述通信终端持有的群组信息匹配时,所述接入控制过程在所述通信终端与所述网络之间执行认证。
23.根据权利要求19-22中任一项所述的用于存储通信程序的存储介质, 其中,所述群组信息包括下述信息中的至少一项群组的标识符或通信终端的特征信息。
全文摘要
技术问题如果将相关的安全通信方法应用到包括多个MTC设备的系统,则网络中的通信量将与MTC设备的数目成比例地增加。问题的解决方案本发明的连接到网络和多个通信终端的通信设备包括群组信息发送装置,用于发送从网络接收的群组信息;接入控制装置,用于1)从对所述群组信息做出响应的通信终端接收回复,以及2)将所述回复发送给网络;以及临时标识符和群组密钥发送装置,用于在所述通信设备从网络接收到临时标识符和群组密钥时,向对所述群组信息做出响应的通信终端发送所述临时标识符和所述群组密钥。
文档编号H04W8/00GK103039055SQ20118003703
公开日2013年4月10日 申请日期2011年8月1日 优先权日2010年8月5日
发明者罗迦沃·普拉萨德, 张晓维 申请人:日本电气株式会社