一种机器类型通信中基于群组的匿名切换认证方法
【技术领域】
[0001] 本发明属于移动通信网络安全技术领域,更具体的,本发明涉及一种机器类型通 信中基于群组的匿名切换认证方法。
【背景技术】
[0002] 随着通信的发展,机器类型通信(MTC)已经成为了移动运营商开发大量实时网络 应用的驱动力。机器类型通信(MTC),又称为机器对机器(M2M),引起了设备厂商和研宄机 构在移动网络中巨大的关注。MTC是一种特殊类型的数据通信。它在一个设备和另一个实 体之间在互联网或核心网络,不需要任何形式的人工干预。由于MTC的降低部署成本和更 优覆盖这些特点,在我们的日常生活中,已经从MTC的概念出现了很多新的服务和应用程 序,如卫生保健服务、遥测应用,舰队管理、智能电网等。随着潜在应用范围的扩展,许多标 准的论坛和组织都开发和增强的目前的技术去支持MTC应用程序。特别是,第三代合作伙 伴计划(3GPP)在MTC定义的这个领域变的更加活跃,尤其是长期演进版本10即LTE-A。
[0003] 有别于传统的人类(H2H)通信,对于MTC主要有两个挑战,同时处理数量巨大的 机器类型设备(MT⑶s)和实现节能。据估计,MT⑶s的数量比普通的用户设备(UE)的数目 大1000倍。此外,分析结果表明,在2020年MT⑶s连接到一个基站的数量范围为10000到 100000。随着流动性的需求越来越大,在LTE-A网络确保实时移动的MTC的应用程序处理, 大量MTCDs同时离开当前eNB移动到另一个新的eNB,实现快速、安全的无缝交接是不可或 缺的。3GPP委员会已经规定了MTC的架构、威胁、服务和安全需求。此外,3GPP委员会也提 出了各种可能发生的eNBs之间的移动性场景,包括基于X2的切换,移动性管理实体(MME) 的切换,并详细描述了有关切换的流程。根据3GPP标准,每个MTCD都需要执行相同与UE的 切换过程。然而,当前切换机制下,由于需要多轮信令交互,它可能导致接入网和LTE-A核 心网络严重的信令过载,增加MT⑶s的能量消耗。此外,由于一些基站,例如本地eNB(或者 家庭基站HeNB)和中继节点(RN的)可以容易地被第三方拥有,因此在切换认证交换敏感 信息的过程中,攻击者可以获得关于该设备的运动和位置的MTCD的隐私信息。因此,如何 实现MTC设备具有移动性的安全和高效的切换是在LTE-A网络的一个关键问题。
[0004] 3GPPTR33. 868已经提出了避免拥塞的MT⑶分组方法,通过此方法,大量MTC设 备会被组成一个MTC组来方便LTE-A网络管理。分组方法适合有大量移动MTC设备的LTE-A 网络,然而,这种发法只是应用于MT⑶和MTC服务器之间的通信而没有考虑在目前3GPP标 准下的切换安全。根据我们所知,目前还没有针对大量设备在3GPP网络中切换认证过程的 相关研宄,现有的在LTE网络中基于群组的接入认证方法仍没有考虑大量设备的移动过程 或不适用LTE-A网络。
【发明内容】
[0005] 本发明目的在于克服现有技术的缺陷,设计了一种机器类型通信中基于群组的匿 名切换认证方法,通过新的方法大幅度减少信令负载,优化了LTE网络中大规模设备移动 造成的拥塞,实现群中大量设备快速和安全的接入认证。
[0006] 实现本发明的技术方案是:在3GPP现有的LTE-A网络体系下,使用新的密钥管理 机制,实现快速的群组切换认证并确保用户隐私。当机器类型通信设备切换群中的第一个 机器类型设备从当前基站切换到目标基站的过程中,当前的基站或者当前MME传输所有切 换群成员的安全会话信息给目标基站或者MME; (2)切换群中其余的机器类型设备可以直 接在不接触MME的情况下直接与目标基站进行切换认证过程并分别与目标eNB协商得到会 话密钥,从而实现群组中设备的快速切换认证。该方法在确保用户隐私的情况下大大减少 信令开销,避免信令冲突。
[0007] 其具体包括一种机器类型通信中基于群组的匿名切换认证方法,其特征在于:包 括以下步骤,
[0008] Sl初始认证阶段,其包括:
[0009] SI. 1当机器类型通信MTC切换群接入长期演进LTE-A网络时,对MTC切换群中的 每一个机器类型通信设备MTCDi(i= 1?n)应用标准演进分组系统认证与密钥协商EPS AKA过程进行初始认证;
[0010] SI. 2初始认证成功后,每一个机器类型通信设备MTCDi和归属用户服务器HSS生 成一个共享密钥KASMEi,然后HSS将共享密钥KASMEi传输给移动管理实体MME;
[0011] SI. 3MME接收到共享密钥KASMEi后根据现有的切换密钥管理机制得到MTCDi和源基 站SeNB之间的会话密钥JOw,和下一跳参数然后计算临时身份信息⑶TIi;
[0012] SI. 4MME将Alvft和发送给源基站SeNB,将⑶TIi通过源基站SeNB发给 MTCDi;
[0013] S2基于组的匿名切换认证阶段,其包括,
[0014] S2. 1如果MTC切换群中的第一个机器类型通信设备奶^^第一次移动到目的基站 TeNB的覆盖范围,MTCD1向源基站SeNB发送一个包含TeNB物理单元ID,E-UTRAN单元综 合识别码和跟踪区标识符的测量报告消息;MTCD1是指MTC切换群中最先移动到目的基站 TeNB的机器类型通信设备;
[0015] S2. 2所述源基站SeNB从MTCD1收到消息后,使用群切换分组算法对当前SeNB范 围内的奶^03进行分类,然后源基站SeNB搜索MTCDi所在的MTC切换群组的所有成员,根据 搜索结果,源基站SeNB将分别计算MTC切换群中每个MTCDi的新临时身份信息和 中间密钥,其中被用于计算新的会话密钥或是新的中间密钥夏和下 一跳参数#氣^€:€^
[0016] S2. 3源基站SeNB根据不同的切换场景执行下列操作:
[0017] (1)当切换发生在源基站与目的基站之间且存在一个X2接口时,过程跳转到S3 ;
[0018] (2)当切换发生在源基站与目的基站之间不存在X2接口,并由同一个MME管理时, 跳转S4 ;
[0019] (3)当切换发生在源基站与目的基站之间,并且源基站和目的基站由不同MMEs管 理时,跳转S5 ;
[0020] S3其包括:
[0021] S3.ISeNB向TeNB发送一个包含整个MTC切换群组所有G(/Tif和
[0022] S3. 2TeNB接收到切换请求消息后,将向SeNB发送切换请求确认符消息来为每个 101^确认切换并计算新的会话密钥夂以《(,其计算公式如下:
[0023] 7\二=/ii)F(/v,*A-B,.r/f/T/f? /D+r< 其中KDF为密钥生成函数, FRQmb为目标基站的相关频谱参数;
[0024] S3. 3当SeNB接收到切换请求确认消息后,将向MTCD1发送一个切换命令来执行切 换,然后跳转步骤S6;
[0025] S4其包括,
[0026] S4.ISeNB向源移动管理实体SMME发送一个包含整个MTC切换群组所有Gt/T//和 和其他必要参数的切换请求信息;
[0027] S4. 2当SMME接收到切换请求信息后,将利用为MTC切换群的每个MTCDi 分别计算新的中间密钥和下一跳参数W同时,SMME将发送给TeN