一种机器类通信的接入控制方法及装置制造方法

一种机器类通信的接入控制方法及装置制造方法
【专利摘要】本发明公开了一种机器类通信的接入控制方法及装置，以解决接入控制时有可能无法进行完整性保护的问题。MTC设备执行的处理：生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；将经过完整性保护的安全模式答复消息发送给网络侧。网络侧设备执行的处理：接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；对安全模式答复消息进行完整性校验，完整性校验成功后，网络侧设备根据接入优先级指示信息和/或延迟容忍接入信息决策是否为MTC设备提供接入服务。MTC设备包括生成模块和发送模块。网络侧设备包括：接收模块和接入控制模块。采用本发明，保障了网络的安全性。
【专利说明】一种机器类通信的接入控制方法及装置
【技术领域】
[0001]本发明涉及通信领域,具体涉及一种机器类通信(Machine Type Communication简称为MTC)的接入控制方法及装置。
【背景技术】
[0002]MTC是指应用无线通信技术，实现机器与机器、机器与人之间的数据通信和交流的一系列技术及其组合的总称。机器对机器(Machine to Machine,简称为M2M)有两层含义:第一层是机器本身，在嵌入式领域称为智能设备；第二层是机器和机器之间的连接，通过网络将机器连接在一起。MTC的应用范围非常广泛，例如，智能测量、远程监控、跟踪、医疗等，MTC的应用使人类生活更加智能化。与传统的人与人之间的通信相比，MTC设备(M2MDevice)的数量巨大，应用领域广泛，具有巨大的市场前景。
[0003]在MTC通信中，主要的远距离连接技术包括:全球移动通讯系统(Global Systemfor Mobile Communications,简称为 GSM)、通用分组无线服务技术(General Packet RadioService,简称为 GPRS)、通用移动通信系统(Universal Mobile TelecommunicationsSystem,简称为UMTS)等等，近距离连接技术主要有802.llb/g、蓝牙、Zigbee、射频识别(Radio Frequency Identif ication,简称为RFID)等等。由于MTC整合了无线通信和信息技术，可用于双向通信，比如，远距离收集信息、设置参数和发送指令，因此，可实现不同的应用方案。例如，安全监测、自动售货、货物跟踪等。几乎所有日常生活中涉及到的设备都有可能成为潜在的服务对象。MTC提供了设备实时数据在系统之间、远程设备之间、或与个人之间建立无线连接的简单手段。
[0004]图1 是现有技术中，MTC 中 3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)架构中的MTC架构的潜在高层次架构。图中最左侧网元为MTC设备，在此图中，三个不同安全域被定义。
[0005]A =MTC设备和3GPP网络的MTC通信安全，其可进一步划分为:
[0006]Al) MTC设备和RAN (Radio Access Network,无线接入网)之间的MTC通信安全，
[0007]A2)MTC设备和NAS (Network Access Server,网络接入服务器)之间的MTC通信
安全；
[0008]A3-a)MTC 设备和 MTC-1WF (Inter-working Function,互通功能)实体之间的 MTC通信安全(对于3GPP接入)；
[0009]A3_b)MTC 设备和 ePDG (Enhanced Packet Data Gateway,演进分组接入网关)之间的MTC通信安全(对于非3GPP接入)。
[0010]图2是3GPP规范的TS33.102中定义的本地认证和连接建立的过程，图中的消息顺序描述了在建立初始连接、可能的认证、开始完整性保护和可能的加密时的信息传递，其Φ MS (Mobile Subscriber,移动用户)相当于MTC中的UE。具体的流程如下:
[0011]I,建立RRC(Radio Resource Control,无线资源控制协议)连接，包括从MS到SRNC(Serving Radio Network Control,服务无线网络控制)传递可选的GSMClassmark (分类标号)2和3、MS的安全能力和CS (电路交换)业务域(或PS (分组交换)业务域)的START(初始)值，其中MS的安全能力信息包括MS的UEA(UMTS EncryptionAlgorithm, UMTS 加密能力)和 UIA (UMTS Integrity Algorithm,完整性能力)，START 值和UE的安全能力信息在SRNC中存储，如果在RRC连接建立时传递了 GSM Classmark 2和3，那么SRNC必须保持UE的GSM加密能力；
[0012]2，MS发送初始的L3 (Layer 3，层三)消息(包括位置修正请求、CM业务请求、路由区域修正请求、附着请求或寻呼响应等)到VLR(Visitor Location Register,拜访位置寄存器)/SGSN(Serving GPRS Support Node，服务GPRS节点)，该消息例如可包含用户身份和KSI，所包含的KSI为CS业务域或PS业务域在该CN(Core net，核心网)域最近认证时分配的KSI (Key Set Identifier,密钥集标识)；
[0013]3，执行用户身份请求，进行用户认证，生成新的安全密钥IKdntegTity Key，完整性密钥)和CK(Ciphering Key，加密密钥)，分配一个新的KSI ；
[0014]4，VLR/SGSN决定允许使用哪个UIA和UEA ；
[0015]5, VLR/SGSN 通过发送 RANAP (Radio Access Network Application Part,无线接入网络应用部分)消息安全模式命令(Security Mode Command)到SRNC,从而发起完整性保护和加密。该消息包含允许使用的按照一定顺序排列的ΠΑ和IK，如果应该开始加密，那么它允许使用的按照一定顺序排列的UEA和CK，如果已经执行了一次新的认证和安全密钥生成，则应该在发送给SRNC的消息中指出，指示出新生成密钥意味着被使用的START值在开始使用新密钥时应该被重置(即置0)，否则，应该使用在SRNC中已经得到的START ；
[0016]6，SRNC从允许算法列表以及MS所支持的算法列表中按照高优先级选择使用哪个算法，SRNC产生一随机值FRESH并发起下行链路完整性保护，如果在安全模式命令中收到的要求不能实现，SRNC发送安全模式拒绝(Security Mode Reject)消息到发出请求的VLR/SGSN ；
[0017]7, SRNC产生RRC消息安全模式命令(Security Mode Command),该消息包含将使用的MS的安全能力、可选的GSM加密能力(如果在连接建立时收到相关消息)、UIA和FRESH，如果应该加密，也包含将使用的UEA，还包含附加信息(机密开始)，因为MS可能有两个机密和完整性密钥集，网络必须要指示使用哪个密钥集，这通过Security ModeCommand消息中包含的CN类型指示符信息来实现，在发送该消息到MS之前，SRNC产生MAC-1 (完整性消息认证码)，并附加到该信息的消息中；
[0018]8，一旦收到安全模式命令消息，MS检查所接收的“MS的安全能力”与在初始消息中发送的“MS的安全能力”是否一致。如果GSM机密能力包含在RRC连接建立中(同样的情况适用于GSM加密能力)，MS根据所收到的消息，通过使用指示的ΠΑ、所存储的COUNT-1 (完整性序列号)和所收到的FRESH参数，计算该消息的XMAC-1 (Expected MAC-1，预期完整性消息认证码)，MS通过将所收到的MAC-1和所产生的XMAC-1进行比较，校验该消息的完整性；
[0019]9，如果所有检查成功，MS编辑RRC消息安全模式完成(Security ModeComplete)，并为该消息产生MAC-1，如果任一检查不成功，过程在MS结束；
[0020]10，一旦收到响应消息，SRNC计算该消息的XMAC-1，SRNC通过将所接收到的MAC-1和产生的XMAC-1进行比较来校验该消息的数据完整性；[0021]11，从 SRNC 的 VLR/SGSN 传递的 RANAP 消息 Security Mode Complete (其中包含所选的算法)来结束该过程；
[0022]到MS的Security Mode Command用于发起下行链路完整性保护，即该命令和随后所有发送到MS的下行链路消息都使用新的完整性配置来进行完整性保护。来自MS的Security Mode Complete用于发起上行链路完整性保护，即该命令和所有随后从MS发出去的消息都使用新的完整性配置进行完整性保护。
[0023]在MTC的实际运用中，为了防止数据流的拥塞，网络应该能够拒绝和防止附着和连接请求。这要求导致拥塞的某些用于MTC的特殊UE的数据流应该被阻止，并且不能限制非MTC数据流或者其它不会导致问题的MTC设备/UE的数据流。这就需要网络能够在发现用于MTC的UE会导致拥塞或者此UE是一个低优先级MTC设备时，其能够拒绝此连接请求。因此，MTC设备可以使用一个低接入优先级指示或延迟容忍接入。
[0024]现有的拥塞控制需要当一个MTC设备请求接入移动网络时，此MTC设备应该提供其目前授权的指示给网络，且低接入优先级指示应被完整性保护。如果UE有有效的安全上下文，则对以下一种或多种L3消息进行完整性保护:附着请求、LAU(Location AreaUpdate,位置区域更新)、RAU(Route Area Update,路由区更新)、TAU(Tracking AreaUpdate，跟踪区域更新)请求。但当MTC设备没有有效的安全上下文时，L3消息是不能被完整性保护的。
[0025]如果这个指示被发送且没有任何保护，这时就会存在安全威胁。在目前的UMTS、GPRS或GSM情况下，附着请求、LAU、RAU请求均没有完整性保护。在LTE、UMTS、GPRS或GSM情况下，RRC连接请求也没有完整性保护，RRC连接请求中的延迟容忍接入也不能被完整性保护。并且当网络拒绝RRC连接请求时，携带扩展等待计时器的RRC连接拒绝消息也不会进行完整性保护。
[0026]当网络建立拥塞控制机制时，攻击者可以将低接入优先级指示或者延迟容忍接入篡改为正常状态来让很多MTC设备连接。反之，如果一个攻击者在正常MTC设备发送的请求中增加一个伪造的低接入优先级指示或者延迟容忍接入，则正常MTC设备(尤其是一些VIP用户)的服务将会被恶意的降低。

【发明内容】

[0027]本发明所要解决的技术问题是提供一种机器类通信的接入控制方法及装置，以解决接入控制时有可能无法进行完整性保护的问题。
[0028]为解决上述技术问题，本发明提供了一种机器类通信(MTC)的接入控制方法，其中MTC设备执行以下处理:
[0029]MTC设备生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0030]所述MTC设备将经过完整性保护的所述安全模式答复消息发送给网络侧。
[0031]进一步地，所述MTC设备将经过完整性保护的所述安全模式答复消息发送给网络侦牝包括:所述MTC设备为所述安全模式答复消息生成完整性消息认证码(MAC-1)，并将该MAC-1置于所述安全模式答复消息中，将所述安全模式答复消息发送给网络侧。
[0032]进一步地，所述安全模式答复消息包括:安全模式完成消息。[0033]进一步地，所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
[0034]进一步地，所述MTC设备包括用户设备(UE)或移动用户(MS)。
[0035]进一步地，所述MTC设备生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息，包括=MTC设备在进行用户认证后，或者在与网络侧建立连接后，或者在收到安全模式命令消息后，或者在与网络侧进行初始连接建立时，或者在附着时，生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息。
[0036]为解决上述技术问题，本发明还提供了一种机器类通信(MTC)的接入控制方法，其中网络侧设备执行以下处理:
[0037]所述网络侧设备接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0038]所述网络侧设备对所述安全模式答复消息进行完整性校验，完整性校验成功后，所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务。
[0039]进一步地，所述网络侧设备对所述安全模式答复消息进行完整性校验，包括:所述网络侧设备计算所述安全模式答复消息的预期完整性消息认证码(XMAC-1)，将该XMAC-1与所述安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
[0040]进一步地，所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务，包括:所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策允许所述MTC设备接入网络，延迟所述MTC设备接入网络或拒绝所述MTC设备接入网络。
[0041]进一步地，所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
[0042]进一步地，所述网络侧设备包括以下设备中任意之一:服务无线网络控制器(SRNC)，拜访位置寄存器(VLR)，服务GPRS支持节点(SGSN)，归属用户服务器(HSS)，移动管理单元(MME)，移动交换中心(MSC)，服务网关(S-GW)，MTC互通功能实体(MTC-1WF)。
[0043]为解决上述技术问题，本发明还提供了一种实现机器类通信(MTC)接入控制的MTC设备，包括:生成模块和发送模块，其中:
[0044]所述生成模块，用于生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0045]所述发送模块，用于将经过完整性保护的所述安全模式答复消息发送给网络侧。
[0046]进一步地，所述发送模块将经过完整性保护的所述安全模式答复消息发送给网络侦牝包括:所述发送模块为所述安全模式答复消息生成完整性消息认证码(MAC-1)，并将该MAC-1置于所述安全模式答复消息中，将所述安全模式答复消息发送给网络侧。
[0047]进一步地，所述安全模式答复消息包括:安全模式完成消息。
[0048]进一步地，所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
[0049]进一步地，所述MTC设备包括用户设备(UE)或移动用户(MS)。[0050]进一步地，所述生成模块生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息，包括:所述生成模块在所述MTC设备进行用户认证后，或者在MTC设备与网络侧建立连接后，或者在MTC设备收到安全模式命令消息后，或者在MTC设备与网络侧进行初始连接建立时，或者在MTC设备附着时，生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息。
[0051]为解决上述技术问题，本发明还提供了一种实现机器类通信(MTC)接入控制的网络侧设备，包括:接收模块和接入控制模块，其中:
[0052]所述接收模块，用于接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0053]所述接入控制模块，用于对所述安全模式答复消息进行完整性校验，完整性校验成功后，所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务。
[0054]进一步地，所述接入控制模块对所述安全模式答复消息进行完整性校验，包括:所述接入控制模块计算所述安全模式答复消息的预期完整性消息认证码(XMAC-1)，将该XMAC-1与所述安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
[0055]进一步地，所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务，包括:所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策允许所述MTC设备接入网络，延迟所述MTC设备接入网络或拒绝所述MTC设备接入网络。
[0056]进一步地，所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
[0057]进一步地，所述网络侧设备包括以下设备中任意之一:服务无线网络控制器(SRNC)，拜访位置寄存器(VLR)，服务GPRS支持节点(SGSN)，归属用户服务器(HSS)，移动管理单元(MME)，移动交换中心(MSC)，服务网关(S-GW)，MTC互通功能实体(MTC-1WF)。
[0058]通过本发明实施例方法和装置，由网络侧相关网元根据经完整性保护的接入优先级指示信息和/或延迟容忍接入信息来提供相应的接入服务，接入优先级的篡改和伪造问题得到了解决，保障了网络的安全性。MTC的网络拥塞得到很好的控制，MTC设备的接入优先级也得到了保护，保障用户利益和运营商服务，提升了用户体验和运营商形象。
【专利附图】

【附图说明】
[0059]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0060]图1是现有MTC架构图；
[0061]图2是本地认证和连接建立的流程图；
[0062]图3是本发明实施例1的接入控制方法中MTC设备流程图；
[0063]图4是接入控制系统结构示意图；
[0064]图5是本发明实施例2的接入控制方法中网络侧设备流程图；
[0065]图6是本发明实施例3的流程图；[0066]图7是本发明应用示例I流程图；
[0067]图8是本发明应用示例2流程图；
[0068]图9是本发明应用示例3流程图。
【具体实施方式】
[0069]为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。
[0070]实施例1
[0071]本实施例介绍MTC接入控制方法中MTC设备执行的处理，如图3所示，包括以下步骤 110-120:
[0072]步骤110，MTC设备生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0073]本文所述MTC设备包括UE、MS等。
[0074]上述接入优先级指示信息用于指示MTC设备的优先级；延迟容忍接入信息用于指示MTC设备对延迟接入的容忍程度，延迟容忍接入信息可以包括是否能够容忍延迟的指示，或者能够容忍的延迟时间等，延迟容忍接入信息中只包括允许延迟的指示时，延迟时间可以由网络侧配置，或网络侧与MTC设备间采用默认配置。
[0075]所述安全模式答复消息包括:安全模式完成消息。
[0076]MTC设备可以在进行用户认证后，或者在与网络侧建立连接后，或者在收到安全模式命令消息后，或者在与网络侧进行初始连接建立时，或者在附着时，生成上述安全模式答复消息。
[0077]步骤120，MTC设备将经过完整性保护的该安全模式答复消息发送给网络侧。
[0078]具体地，MTC设备为安全模式答复消息生成MAC-1，并将该MAC-1置于安全模式答复消息中，发送安全模式答复消息给网络侧。
[0079]实现上述方法的MTC设备如图4所示，包括生成模块和发送模块，其中:
[0080]该生成模块，用于生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0081]该发送模块，用于将经过完整性保护的该安全模式答复消息发送给网络侧。
[0082]优选地，该生成模块可以在MTC设备进行用户认证后，或者在MTC设备与网络侧建立连接后，或者在MTC设备收到安全模式命令消息后，或者在MTC设备与网络侧进行初始连接建立时，或者在MTC设备附着时，生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息。
[0083]具体地，该发送模块为安全模式答复消息生成MAC-1，并将该MAC-1置于该安全模式答复消息中，发送该安全模式答复消息给网络侧。
[0084]实施例2
[0085]本实施例介绍MTC接入控制方法中网络侧设备执行的处理，如图5所示，包括以下步骤 210-220:
[0086]步骤210，网络侧设备接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0087]含接入优先级指示信息以及延迟容忍接入信息的含义参见实施例1中描述。
[0088]步骤220，网络侧设备对该安全模式答复消息进行完整性校验，完整性校验成功后，该网络侧设备根据安全模式答复消息中的接入优先级指示信息和/或延迟容忍接入信息决策是否为该MTC设备提供接入服务。
[0089]网络侧设备采用以下方式对安全模式答复消息进行完整性校验:网络侧设备计算安全模式答复消息的XMAC-1，将该XMAC-1与安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
[0090]网络侧设备根据安全模式答复消息中的接入优先级指示信息和/或延迟容忍接入信息决策允许该MTC设备接入网络，延迟该MTC设备接入网络或拒绝该MTC设备接入网络。例如，如果接入优先级指示信息指示该MTC设备为高优先级，则网络侧设备决策允许该MTC设备接入网络；再例如，如果延迟容忍接入信息指示MTC设备允许延迟接入，则MTC设备可决策延迟该MTC设备接入网络；再例如，如果接入优先级指示信息指示该MTC设备为低优先级，则网络侧设备可决策拒绝该MTC设备接入网络。此处例子仅以最简单的情况进行举例说明，在实际应用中，网络侧设备可能综合多种因素进行决策，例如将接入优先级指示信息和延迟容忍接入信息综合在一起进行决策，如接入优先级高且不能容忍延时时决策接入，或者结合当前网络状况(如是否拥塞)进行决策，例如网络拥塞时拒绝或延迟接入低优先级的MTC设备。
[0091]上述网络侧设备包括以下3GPP网络侧网元中任意之一:
[0092]服务无线网络控制器(SRNC)，拜访位置寄存器(VLR)，服务GPRS支持节点(SGSN),归属用户服务器(HSS, Home Subscriber Server),移动管理单兀(MME, MobilityManagement Entity),移动交换中心(MSC, Mobile Switching Center),服务网关(S-GW,Serving Gateway), MTC 互通功能实体(MTC-1WF)。
[0093]实现上述方法的网络侧设备如图4所示，包括接收模块和接入控制模块，其中:
[0094]该接收模块，用于接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息；
[0095]该接入控制模块，用于对该安全模式答复消息进行完整性校验，完整性校验成功后，该接入控制模块根据接入优先级指示信息和/或延迟容忍接入信息决策是否为该MTC设备提供接入服务。
[0096]上述接入控制模块采用以下方式对安全模式答复消息进行完整性校验:接入控制模块计算安全模式答复消息的XMAC-1，将该XMAC-1与安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
[0097]上述接入控制模块根据接入优先级指示信息和/或延迟容忍接入信息决策允许MTC设备接入网络，延迟MTC设备接入网络或拒绝MTC设备接入网络。
[0098]上述实施例中的接入方法还可以用于进行拥塞控制，即在拥塞发生时，网络侧设备可根据接入优先级指示信息和/或延迟容忍接入信息决策是否为该MTC设备提供接入服务。
[0099]实施例3
[0100]本实施例介绍一种MTC拥塞控制的方法，如图6所示，该方法包括以下步骤:[0101]步骤310，MTC设备将经完整性保护的包含MTC设备接入优先级指示和/或延迟容忍接入的安全模式答复消息发送给网络侧；
[0102]在本实施例中，在MTC设备将经完整性保护的包含MTC设备接入优先级指示和/或延迟容忍接入的消息发送给网络侧之前，MTC设备和网络侧进行本地认证和连接的建立，在MTC设备接收到安全模式命令消息且该消息的完整性校验成功。
[0103]安全模式答复消息包括Security Mode Complete,安全模式答复消息由MTC设备产生，且MTC设备还为安全模式答复消息生成MAC-1。
[0104]一方面通过MTC设备主动发起上行完整性保护，可使后续与网络侧交互过程均进行完整性保护，降低信息被篡改的可能性；另一方面，在安全模式答复消息中携带接入优先级指示信息和/或延迟容忍接入信息，方便网络侧进行拥塞控制，拒绝或延迟低优先级的用户接入，以避免拥塞。
[0105]步骤320，网络侧校验此消息的完整性，判断校验是否成功，如果成功执行步骤340，如果不成功执行步骤330 ；
[0106]网络侧校验此消息的完整性包括网络侧计算该消息的XMAC-1，网络侧通过将所接收到的MAC-1和产生的XMAC-1进行比较来校验该消息的数据完整性。
[0107]步骤330，如果此消息的完整性校验失败，则网络侧拒绝此MTC设备/UE接入，过程结束；
[0108]步骤340 ;如果网络侧校验安全模式答复消息的完整性成功，网络侧根据消息中的MTC设备接入优先级指示和/或延迟容忍接入来提供相应的接入服务。
[0109]具体地，网络侧网元根据MTC设备接入优先级指示和/或延迟容忍接入来识别和/或选择MTC设备的接入优先级，并提供相应的接入服务。MTC设备的接入优先级包括各种接入级别，包括高接入优先级，低接入优先级，普通接入优先级等。提供的接入服务包括:允许此MTC设备的接入网络或拒绝此MTC设备接入网络或延迟此MTC设备的接入网络。网络侧允许MTC设备接入网络，网络侧可以为MTC设备提供不同的接入优先级和接入权限，或者网络侧还可以设定不同的过滤条件对不同类型的信令和数据进行过滤。
[0110]应用示例I
[0111]本示例描述完整性校验成功后允许接入的场景，如图7所示，包括以下步骤:
[0112]步骤一，MTC设备和网络侧进行本地认证和连接的建立，MTC设备收到安全模式命令消息且该消息的完整性校验成功；
[0113]步骤二，MTC设备产生安全模式答复消息，在本示例中，安全模式答复消息包含MTC设备的接入优先级指示和/或延迟容忍接入,此外还包括Security Mode Complete,MTC设备为安全模式答复消息生成MAC-1 ；
[0114]步骤三，MTC设备将经完整性保护的安全模式答复消息发送给网络侧；
[0115]步骤四，网络侧校验此安全模式答复消息的完整性成功；
[0116]网络侧校验此消息的完整性包括网络侧计算该消息的XMAC-1，网络侧通过将所接收到的MAC-1和产生的XMAC-1进行比较来校验该消息的数据完整性；
[0117]步骤五，网络侧根据消息中的MTC设备的接入优先级指示和/或延迟容忍接入来提供相应的接入服务，包括:网络侧相关网元根据MTC设备接入优先级指示和/或延迟容忍接入来识别和/或选择MTC设备的接入优先级，并提供相应的接入服务。[0118]MTC设备的接入优先级为高接入优先级或普通接入优先级或低接入优先级。提供的相应的接入服务为允许此MTC设备接入网络，包括:网络侧为MTC设备提供不同的接入优先级和接入权限，或者网络侧设定不同的过滤条件对不同类型的信令和数据进行过滤。
[0119]应用示例2
[0120]本示例描述完整性校验成功后拒绝接入的场景，如图8所示，包括以下步骤:
[0121]步骤一，MTC设备和网络侧进行本地认证和连接的建立，MTC设备收到安全模式命令消息且该消息的完整性校验成功；
[0122]步骤二，MTC设备产生安全模式答复消息，本示例中，安全模式答复消息包含MTC设备的接入优先级指示和/或延迟容忍接入，此外还包括Security Mode Complete,MTC设备为安全模式答复消息生成MAC-1 ；
[0123]步骤三，MTC设备将经完整性保护的安全模式答复消息发送给网络侧；
[0124]步骤四，网络侧校验此安全模式答复消息的完整性成功；
[0125]网络侧校验此消息的完整性包括网络侧计算该消息的XMAC-1，网络侧通过将所接收到的MAC-1和产生的XMAC-1进行比较来校验该消息的数据完整性；
[0126]步骤五，网络侧根据消息中的MTC设备接入优先级指示和/或延迟容忍接入来提供相应的接入服务，包括:网络侧相关网元根据MTC设备接入优先级指示和/或延迟容忍接入来识别和/或选择MTC设备的接入优先级，并提供相应的接入服务。
[0127]MTC设备的接入优先级为低接入优先级或普通接入优先级。提供的相应的接入服务为拒绝或延迟此MTC设备接入网络。
[0128]应用示例3
[0129]本示例描述完整性校验失败后拒绝接入的场景，如图9所示，包括以下步骤:
[0130]步骤一，MTC设备和网络侧进行本地认证和连接的建立，MTC设备收到安全模式命令消息且该消息的完整性校验成功；
[0131]步骤二，MTC设备产生安全模式答复消息，MTC设备/UE为安全模式答复消息生成MAC-1 ；
[0132]步骤三，MTC设备将经完整性保护的安全模式答复消息发送给网络侧；
[0133]步骤四，网络侧校验此安全模式答复消息的完整性失败；
[0134]网络侧校验此消息的完整性包括网络侧计算该消息的XMAC-1，网络侧通过将所接收到的MAC-1和产生的XMAC-1进行比较来校验该消息的数据完整性；
[0135]步骤五，网络侧拒绝此MTC设备/UE接入，过程结束。
[0136]上述示例中虽然以MTC设备和网络侧进行本地认证和连接的建立，MTC设备收到安全模式命令消息且该消息的完整性校验成功后生成安全模式答复消息为例进行说明，但生成该消息的时机并不限于此，例如可以在MTC设备进行用户认证后就生成，或者在MTC设备与网络侧建立连接后就生成，或者在MTC设备收到安全模式命令消息后就生成，或者在MTC设备与网络侧进行初始连接建立时生成，或者在MTC设备附着时生成。
[0137]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0138]当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【权利要求】
1.一种机器类通信(MTC)的接入控制方法，其中MTC设备执行以下处理: MTC设备生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息； 所述MTC设备将经过完整性保护的所述安全模式答复消息发送给网络侧。
2.如权利要求1所述的方法，其特征在于， 所述MTC设备将经过完整性保护的所述安全模式答复消息发送给网络侧，包括: 所述MTC设备为所述安全模式答复消息生成完整性消息认证码(MAC-1 )，并将该MAC-1置于所述安全模式答复消息中，将所述安全模式答复消息发送给网络侧。
3.如权利要求1或2所述的方法，其特征在于， 所述安全模式答复消息包括:安全模式完成消息。
4.如权利要求1或2所述的方法，其特征在于， 所述接入优先级指示信息用 于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
5.如权利要求1或2所述的方法，其特征在于， 所述MTC设备包括用户设备(UE)或移动用户(MS)。
6.如权利要求1所述的方法，其特征在于， 所述MTC设备生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息，包括: MTC设备在进行用户认证后，或者在与网络侧建立连接后，或者在收到安全模式命令消息后，或者在与网络侧进行初始连接建立时，或者在附着时，生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息。
7.一种机器类通信(MTC)的接入控制方法，其中网络侧设备执行以下处理: 所述网络侧设备接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息； 所述网络侧设备对所述安全模式答复消息进行完整性校验，完整性校验成功后，所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务。
8.如权利要求7所述的方法，其特征在于， 所述网络侧设备对所述安全模式答复消息进行完整性校验，包括: 所述网络侧设备计算所述安全模式答复消息的预期完整性消息认证码(XMAC-1 )，将该XMAC-1与所述安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
9.如权利要求7所述的方法，其特征在于， 所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务，包括: 所述网络侧设备根据所述接入优先级指示信息和/或延迟容忍接入信息决策允许所述MTC设备接入网络，延迟所述MTC设备接入网络或拒绝所述MTC设备接入网络。
10.如权利要求7或8或9所述的方法，其特征在于， 所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
11.如权利要求7或8或9所述的方法，其特征在于， 所述网络侧设备包括以下设备中任意之一: 服务无线网络控制器(SRNC)，拜访位置寄存器(VLR)，服务GPRS支持节点(SGSN)，归属用户服务器(HSS )，移动管理单元(MME )，移动交换中心(MSC)，服务网关(S_GW)，MTC互通功能实体(MTC-1WF)。
12.—种实现机器类通信(MTC)接入控制的MTC设备，包括:生成模块和发送模块，其中: 所述生成模块，用于生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息； 所述发送模块，用于将经过完整性保护的所述安全模式答复消息发送给网络侧。
13.如权利要求12所述的MTC设备，其特征在于， 所述发送模块将经过完整性保护的所述安全模式答复消息发送给网络侧，包括: 所述发送模块为所述安全模式答复消息生成完整性消息认证码(MAC-1)，并将该MAC-1置于所述安全模式答复消息中，将所述安全模式答复消息发送给网络侧。
14.如权利要求12或13所述的MTC设备，其特征在于，· 所述安全模式答复消息包括:安全模式完成消息。
15.如权利要求12或13所述的MTC设备，其特征在于， 所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
16.如权利要求12或13所述的MTC设备，其特征在于， 所述MTC设备包括用户设备(UE)或移动用户(MS)。
17.如权利要求12所述的MTC设备，其特征在于， 所述生成模块生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息，包括: 所述生成模块在所述MTC设备进行用户认证后，或者在MTC设备与网络侧建立连接后，或者在MTC设备收到安全模式命令消息后，或者在MTC设备与网络侧进行初始连接建立时，或者在MTC设备附着时，生成包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息。
18.一种实现机器类通信(MTC)接入控制的网络侧设备，包括:接收模块和接入控制模块，其中: 所述接收模块，用于接收MTC设备发送的包含接入优先级指示信息和/或延迟容忍接入信息的安全模式答复消息； 所述接入控制模块，用于对所述安全模式答复消息进行完整性校验，完整性校验成功后，所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务。
19.如权利要求18所述的网络侧设备，其特征在于， 所述接入控制模块对所述安全模式答复消息进行完整性校验，包括: 所述接入控制模块计算所述安全模式答复消息的预期完整性消息认证码(XMAC-1 )，将该XMAC-1与所述安全模式答复消息中携带的MAC-1进行比较，如果一致，则完整性校验成功，如果不一致，则完整性校验失败。
20.如权利要求18所述的网络侧设备，其特征在于， 所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策是否为所述MTC设备提供接入服务，包括: 所述接入控制模块根据所述接入优先级指示信息和/或延迟容忍接入信息决策允许所述MTC设备接入网络，延迟所述MTC设备接入网络或拒绝所述MTC设备接入网络。
21.如权利要求18或19或20所述的网络侧设备，其特征在于， 所述接入优先级指示信息用于指示所述MTC设备的优先级；所述延迟容忍接入信息用于指示所述MTC设备对延迟接入的容忍程度。
22. 如权利要求18或19或20所述的网络侧设备，其特征在于， 所述网络侧设备包括以下设备中任意之一: 服务无线网络控制器(SRNC)，拜访位置寄存器(￥1^)，服务6?1?支持节点(363幻，归属用户服务器(HSS)，移动管理单元(MME)，移动交换中心(MSC)，服务网关(S-GW)，MTC互通功能实体(MTC-1WF)。
【文档编号】H04W48/16GK103582078SQ201210282416
【公开日】2014年2月12日 申请日期:2012年8月9日 优先权日:2012年8月9日
【发明者】朱李 申请人:中兴通讯股份有限公司