安全传输通道建立方法和装置制造方法

安全传输通道建立方法和装置制造方法
【专利摘要】本发明提供一种安全传输通道建立方法和装置，通过HSS接收用于指示MTC设备所属的MTC设备组的认证请求后，HSS通过MME向该MTC设备发送用于指示所属MTC设备组的传输密钥的密钥指示信息，该MTC设备根据该传输密钥建立与MTC-IWF之间的安全传输通道，从而该MTC设备与MTC-IWF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
【专利说明】安全传输通道建立方法和装置
【技术领域】
[0001]本发明涉及通信技术，尤其涉及一种安全传输通道建立方法和装置。
【背景技术】
[0002]在移动通信系统中，为了降低网络负载，将机器类通信(machine typecommunication, MTC)设备进行编组，获得各个MTC设备组。目前，通常采用小数据传输协议(SDT,small data transmission protocol),进行 MTC 设备组中的 MTC 设备与 MTC 互连功能实体(MTC Interfforking Function, MTC-1WF)之间的小数据传输。
[0003]但上述采用SDT协议，进行MTC设备组中的MTC设备与MTC-1WF之间的小数据传输方式，安全性较低。现有技术中缺乏在MTC设备组中的MTC设备与MTC-1WF之间建立安全传输通道的方法。

【发明内容】

[0004]本发明提供一种安全传输通道建立方法和装置，用于建立MTC设备组中的MTC设备与MTC-1WF之间的安全传输通道，利用该安全传输通道传输小数据，从而提高小数据传输的安全性。
[0005]本发明的第一个方面是提供一种安全传输通道建立方法，包括:
[0006]归属用户服务器HSS接收认证请求，所述认证请求用于指示机器类通信MTC设备所属的MTC设备组；
[0007]所述HSS通过移动管理实体MME向所述MTC设备发送密钥指示信息，所述密钥指示信息用于指示所述MTC设备组的传输密钥，以使所述MTC设备根据所述传输密钥建立与MTC互连功能实体MTC-1WF之间的安全传输通道。
[0008]本发明的第二个方面是提供一种安全传输通道建立方法，包括:
[0009]MTC设备接收密钥指示信息；所述密钥指示信息用于指示所述MTC设备所属的MTC设备组的传输密钥；
[0010]所述MTC设备根据所述传输密钥，建立与MTC-1WF之间的安全传输通道。
[0011]本发明的第三个方面是提供一种安全传输通道建立装置，包括:
[0012]接收模块，用于接收认证请求，所述认证请求用于指示MTC设备所属的MTC设备组；
[0013]发送模块，用于通过MME向所述MTC设备发送密钥指示信息，所述密钥指示信息用于指示所述MTC设备组的传输密钥，以使所述MTC设备根据所述传输密钥建立与MTC-1WF之间的安全传输通道。
[0014]本发明的第四个方面是提供一种安全传输通道建立装置，包括:
[0015]接收模块，用于接收密钥指示信息；所述密钥指示信息用于指示MTC设备所属的MTC设备组的传输密钥；
[0016]建立模块，用于根据所述传输密钥，建立与MTC-1WF之间的安全传输通道。[0017]本发明提供的安全传输通道建立方法和装置，通过归属用户服务器(HomeSubscriber Server, HSS)接收用于指示MTC设备所属的MTC设备组的认证请求后，HSS通过移动管理实体(Mobility Management Entity,MME)向该MTC设备发送用于指示所属MTC设备组的传输密钥的密钥指示信息，该MTC设备根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
【专利附图】

【附图说明】
[0018]图1为本发明一实施例提供的一种安全传输通道建立方法的流程示意图；
[0019]图2为本发明另一实施例提供的一种安全传输通道建立方法的流程示意图；
[0020]图3为本发明又一实施例提供的安全传输通道建立方法的流程示意图；
[0021]图4为本发明一实施例提供的一种安全传输通道建立装置的结构示意图；
[0022]图5为本发明一实施例提供的另一种安全传输通道建立装置的结构示意图；
[0023]图6为本发明另一实施例提供的一种安全传输通道建立装置的结构示意图；
[0024]图7为本发明另一实施例提供的另一种安全传输通道建立装置的结构示意图。
【具体实施方式】
[0025]图1为本发明一实施例提供的一种安全传输通道建立方法的流程示意图，如图1所示，包括:
[0026]101、HSS接收认证请求。
[0027]其中，认证请求用于指示MTC设备所属的MTC设备组。
[0028]MTC设备组中的MTC设备向MME发送附着请求，附着请求中包含国际移动用户识别码(International Mobile Subscriber Identification Number, IMSI), MTC 设备所属的MTC设备组标识和传输小数据能力信息等相关MTC设备信息。MME接收到该附着请求后，向HSS发送包含该相关MTC设备信息的认证请求。
[0029]102、HSS通过MME向MTC设备发送密钥指示信息，以使MTC设备根据传输密钥建立与MTC-1WF之间的安全传输通道。
[0030]其中，密钥指示信息用于指示所述MTC设备组的传输密钥，包括所述MTC设备组的传输密钥和/或所述MTC设备组的组密钥。传输密钥包括共享密钥Kiwf、加密密钥和完整性保护密钥；Kiwf是采用第一密钥生成算法对MTC设备组的组密钥计算获得的；加密密钥和完整性保护密钥是分别采用第二密钥生成算法和第三密钥生成算法对Kiwf计算获得的。
[0031 ] HSS根据认证请求中的相关MTC设备信息，查询是否已存储MTC设备所属的MTC设备组的传输密钥。若否，则HSS利用密钥生成策略，根据该MTC设备组的组密钥生成传输密钥，并进行存储；HSS向MTC-1WF发送该传输密钥和MTC设备组标识；以及HSS向MME发送包含MTC设备组的传输密钥的认证响应，以使MME与MTC设备互认证完成后，向MTC设备发送该传输密钥。若是，则HSS判断所存储的传输密钥的已生成时间是否超过预设生命周期，若超过，则HSS重新生成该传输密钥，并向MTC-1WF发送MTC设备组标识和重新生成的传输密钥；以及利用认证响应，向MME发送该重新生成的传输密钥，以使MME与MTC设备互认证完成后，向MTC设备发送该重新生成的传输密钥。若未超过，则HSS通过MME向该MTC设备发送该传输密钥。其中，密钥生成策略可为采用第一密钥生成算法对MTC设备组的组密钥计算获得共享密钥Kiwf ;分别采用第二密钥生成算法和第三密钥生成算法对Kiwf计算获得加密密钥和完整性保护密钥；利用共享密钥、加密密钥和完整性保护密钥构成传输密钥。
[0032]本实施例中，通过HSS接收用于指示MTC设备所属的MTC设备组的认证请求后，HSS通过MME向该MTC设备发送用于指示所属MTC设备组的传输密钥的密钥指示信息，该MTC设备根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
[0033]图2为本发明另一实施例提供的一种安全传输通道建立方法的流程示意图，如图2所示，包括:
[0034]201、MTC设备接收密钥指示信息。
[0035]其中，密钥指示信息用于指示该MTC设备所属的MTC设备组的传输密钥。
[0036]可选的，MTC设备接收密钥指示信息之前，HSS采用密钥生成策略，根据MTC设备所属的MTC设备组的组密钥生成该传输密钥，HSS向MTC-1WF发送该传输密钥和MTC设备组标识；以及HSS向MME发送包含MTC设备组的传输密钥的认证响应，以使MME与MTC设备互认证完成后，向MTC设备发送包括MTC设备所属的MTC设备组的传输密钥的密钥指示信息。
[0037]或者可选的，MTC设备接收密钥指示信息之前，HSS采用密钥生成策略，根据MTC设备所属的MTC设备组的组密钥生成该传输密钥，HSS向MTC-1WF发送该传输密钥和MTC设备组标识；以及HSS向MME发送包含MTC设备组的组密钥的认证响应，以使MME与MTC设备互认证完成后，向MTC设备发送包括MTC设备所属的MTC设备组的组密钥的密钥指示信息，则MTC设备接收密钥指示信息之后，该MTC设备根据MTC设备组的组密钥，采用密钥生成策略生成MTC设备组的传输密钥。
[0038]需要说明的是，MTC设备所采用的密钥生成策略，与HSS所采用的密钥生成策略相同。
[0039]202、MTC设备根据传输密钥，建立与MTC-1WF之间的安全传输通道。
[0040]本实施例中，通过MTC设备接收用于指示该MTC设备所属的MTC设备组的传输密钥的密钥指示信息后，根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
[0041]图3为本发明又一实施例提供的安全传输通道建立方法的流程示意图，如图3所示，包括:
[0042]301、MTC设备向MME发送附着请求。
[0043]其中，附着请求中包含MSI，MTC设备所属的MTC设备组标识和传输小数据能力信息等相关MTC设备信息。
[0044]302、MME向HSS发送包含该相关MTC设备信息的认证请求。
[0045]303、HSS向MME发送认证响应。
[0046]可选的，若HSS根据认证请求中的相关MTC设备信息，确定未存储MTC设备所属MTC设备组的传输密钥，HSS利用密钥生成策略，根据该组密钥生成传输密钥，并在预设生命周期内进行存储，HSS向MME发送包含组密钥的认证响应。进一步，HSS利用该密钥生成策略，根据该组密钥生成传输密钥之后，HSS向MTC-1WF发送该传输密钥和MTC设备组标识。
[0047]或者，可选的，若HSS根据认证请求中的相关MTC设备信息，确定存储MTC设备所属MTC设备组的传输密钥，HSS向MME发送包含组密钥的认证响应。其中，传输密钥是HSS预先利用该密钥生成策略，跟据MTC设备所属MTC设备组的组密钥生成的。
[0048]304、MME与MTC设备之间执行互认证过程。
[0049]305、MME向MTC设备发送包含所属MTC设备组的组密钥的密钥指示信息。
[0050]MME确定与MTC设备互认证通过后，MME向MTC设备发送认证响应中的组密钥。
[0051]306、MTC设备根据密钥指示信息中的组密钥生成传输密钥。
[0052]MTC设备预先存储HSS所采用的该密钥生成策略，例如:采用第一密钥生成算法对MTC设备组的组密钥计算获得共享密钥Kiwf ;分别采用第二密钥生成算法和第三密钥生成算法对Kiwf计算获得加密密钥和完整性保护密钥；利用共享密钥、加密密钥和完整性保护密钥构成传输密钥。MTC设备利用该密钥生成策略，根据该组密钥生成传输密钥。
[0053]307、MTC设备根据传输密钥建立与MTC-1WF之间的安全传输通道。
[0054]本实施例中，通过HSS接收用于指示MTC设备所属的MTC设备组的认证请求后，HSS通过MME向该MTC设备发送用于指示所属MTC设备组的传输密钥的密钥指示信息，该MTC设备根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
[0055]图4为本发明一实施例提供的一种安全传输通道建立装置的结构示意图，本实施例所提供的安全传输通道建立装置可设置于HSS中，如图4所示，包括:接收模块41和发送模块42。
[0056]接收模块41，用于接收认证请求。
[0057]其中，认证请求用于指示MTC设备所属的MTC设备组。
[0058]发送模块42，与接收模块41连接，用于通过MME向MTC设备发送密钥指示信息，以使所述MTC设备根据所述传输密钥建立与MTC-1WF之间的安全传输通道。
[0059]其中，密钥指示信息用于指示所述MTC设备组的传输密钥，包括所述MTC设备组的传输密钥和/或所述MTC设备组的组密钥。
[0060]发送模块42具体用于若根据认证请求，确定存储MTC设备所属MTC设备组的传输密钥，向MME发送包含密钥指示信息的认证响应，以使MME向MTC设备发送密钥指示信息，所述MTC设备根据所述密钥指示信息所指示的传输密钥建立与MTC-1WF之间的安全传输通道。其中，传输密钥是HSS预先利用该密钥生成策略，跟据MTC设备所属MTC设备组的组密钥生成的。
[0061]进一步，图5为本发明一实施例提供的另一种安全传输通道建立装置的结构示意图，在图4的基础上，安全传输通道建立装置还包括:生成模块43和存储模块44
[0062]生成模块43，与接收模块41，用于根据MTC设备组的组密钥，生成MTC设备组的传输密钥。
[0063]生成模块43具体用于若根据认证请求，确定未存储MTC设备所属的MTC设备组的传输密钥，生成模块利用密钥生成策略，根据该MTC设备组的组密钥生成传输密钥。其中，密钥生成策略可为采用第一密钥生成算法对MTC设备组的组密钥计算获得共享密钥Kiwf ；分别采用第二密钥生成算法和第三密钥生成算法对Kiwf计算获得加密密钥和完整性保护密钥；利用共享密钥、加密密钥和完整性保护密钥构成传输密钥。
[0064]存储模块44，与生成模块43连接，用于存储所述MTC设备组的传输密钥。[0065]存储模块44具体用于在预设生命周期内存储MTC设备组的传输密钥。
[0066]发送模块42，还与存储模块44连接，还用于向MTC-1WF发送所述MTC设备组的传输密钥。
[0067]本实施例中，通过接收用于指示MTC设备所属的MTC设备组的认证请求后，通过MME向该MTC设备发送用于指示所属MTC设备组的传输密钥的密钥指示信息，该MTC设备根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
[0068]图6为本发明另一实施例提供的一种安全传输通道建立装置的结构示意图，本实施例中的安全传输通道建立装置可设置于MTC设备中，如图6所示，包括:接收模块61和建立模块62。
[0069]接收模块61，用于接收密钥指示信息；所述密钥指示信息用于指示MTC设备所属的MTC设备组的传输密钥；
[0070]建立模块62，与接收模块61连接，用于根据所述传输密钥，建立与MTC-1WF之间的安全传输通道。
[0071 ] 进一步，密钥指示信息包括所述MTC设备组的组密钥。
[0072]基于此，图7为本发明另一实施例提供的另一种安全传输通道建立装置的结构示意图，在图6的基础上，安全传输通道建立装置，还包括
[0073]生成模块63,与接收模块61和建立模块62连接，用于根据所述传输密钥建立与MTC-1WF之间的安全传输通道之前，根据所述MTC设备组的组密钥，生成所述MTC设备组的传输密钥。
[0074]本实施例中，通过MTC设备接收用于指示该MTC设备所属的MTC设备组的传输密钥的密钥指示信息后，根据该传输密钥建立与MTC-1WF之间的安全传输通道，从而该MTC设备与MTC-1WF之间采用安全传输通道进行小数据传输，提高了小数据传输的安全性。
[0075]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0076]最后应说明的是:以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种安全传输通道建立方法，其特征在于，包括:归属用户服务器HSS接收认证请求，所述认证请求用于指示机器类通信MTC设备所属的MTC设备组；所述HSS通过移动管理实体MME向所述MTC设备发送密钥指示信息，所述密钥指示信息用于指示所述MTC设备组的传输密钥，以使所述MTC设备根据所述传输密钥建立与MTC互连功能实体MTC-1WF之间的安全传输通道。
2.根据权利要求1所述的安全传输通道建立方法，其特征在于，所述HSS通过MME向所述MTC设备发送密钥指示信息之前，还包括:所述HSS根据所述MTC设备组的组密钥，生成所述MTC设备组的传输密钥；所述HSS向所述MTC-1WF发送所述MTC设备组的传输密钥。
3.根据权利要求2所述的安全传输通道建立方法，其特征在于，所述密钥指示信息，包括所述MTC设备组的传输密钥和/或所述MTC设备组的组密钥。
4.根据权利要求1-3任一项所述的安全传输通道建立方法，其特征在于，所述传输密钥包括共享密钥Kiwf、加密密钥和完整性保护密钥；所述Kiwf是采用第一密钥生成算法对所述MTC设备组的组密钥计算获得的；所述加密密钥和所述完整性保护密钥是分别采用第二密钥生成算法和第三密钥生成算法对所述Kiwf计算获得的。
5.一种安全传输通道建立方法，其特征在于，包括:机器类通信MTC设备接收密钥指示信息；所述密钥指示信息用于指示所述MTC设备所属的MTC设备组的传输密钥；所述MTC设备根据所述传输密钥，建立与MTC互连功能实体MTC-1WF之间的安全传输通道。
6.根据权利要求5所述的安全传输通道建立方法，其特征在于，所述密钥指示信息包括所述MTC设备组的组密钥；则所述MTC设备根据所述传输密钥，建立与MTC-1WF之间的安全传输通道之前，还包括:所述MTC设备根据所述MTC设备组的组密钥，生成所述MTC设备组的传输密钥。
7.一种安全传输通道建立装置，其特征在于，包括:接收模块，用于接收认证请求，所述认证请求用于指示MTC设备所属的MTC设备组；发送模块，用于通过MME向所述MTC设备发送密钥指示信息，所述密钥指示信息用于指示所述MTC设备组的传输密钥，以使所述MTC设备根据所述传输密钥建立与MTC-1WF之间的安全传输通道。
8.根据权利要求7所述的安全传输通道建立装置，其特征在于，所述安全传输通道建立装置，还包括:生成模块，用于所述发送模块发送所述密钥指示信息之前，根据所述MTC设备组的组密钥，生成所述MTC设备组的传输密钥；所述发送模块，还用于向MTC-1WF发送所述MTC设备组的传输密钥。
9.根据权利要求8所述的安全传输通道建立装置，其特征在于，所述密钥指示信息，包括所述MTC设备组的传输密钥和/或所述MTC设备组的组密钥。
10.根据权利要求7-9任一项所述的安全传输通道建立装置，其特征在于，所述传输密钥包括共享密钥Kiwf、加密密钥和完整性保护密钥；所述Kiwf是采用第一密钥生成算法对所述MTC设备组的组密钥计算获得的；所述加密密钥和所述完整性保护密钥是分别采用第二密钥生成算法和第三密钥生成算法对所述Kiwf计算获得的。
11.一种安全传输通道建立装置，其特征在于，包括:接收模块，用于接收密钥指示信息；所述密钥指示信息用于指示MTC设备所属的MTC设备组的传输密钥；建立模块，用于根据所述传输密钥，建立与MTC-1WF之间的安全传输通道。
12.根据权利要求11所述的安全传输通道建立装置，其特征在于，所述密钥指示信息包括所述MTC设备组的组密钥；则所述安全传输通道建立装置，还包括:生成模块，用于根据所述传输密钥建立与所述MTC-1WF之间的安全传输通道之前，根据所述MTC设备组的组密钥，生成所述MTC设备组的传输密钥。
【文档编号】H04L9/08GK103686670SQ201310686717
【公开日】2014年3月26日 申请日期:2013年12月9日 优先权日:2013年12月9日
【发明者】贾佳, 肖征荣, 赵友军, 王蓓蓓, 李显洲, 廖军, 严斌峰 申请人:中国联合网络通信集团有限公司