專(zhuān)利名稱(chēng):一種mtc服務(wù)器共享密鑰的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信系統(tǒng)和機(jī)器類(lèi)通信(Machine Type Communication, MTC)技木,尤其涉及ー種MTC服務(wù)器共享密鑰的方法及系統(tǒng)���。
背景技術(shù):
MTC是指應(yīng)用無(wú)線通信技術(shù)實(shí)現(xiàn)機(jī)器與機(jī)器��、機(jī)器與人之間的數(shù)據(jù)通信和交流的一系列技術(shù)及其組合的總稱(chēng)����。機(jī)器對(duì)機(jī)器(machine to machine,M2M)有兩層含義第一層是機(jī)器本身���,在嵌入式領(lǐng)域稱(chēng)為智能設(shè)備;第二層意思是機(jī)器和機(jī)器之間的連接�����,通過(guò)網(wǎng)絡(luò)把機(jī)器連接在一起�����,從而使人類(lèi)生活更加智能化�����。MTC的應(yīng)用范圍非常廣泛,例如智能測(cè)量���、 遠(yuǎn)程監(jiān)控���、跟蹤、醫(yī)療等��。與傳統(tǒng)的人與人之間的通信相比�,MTC設(shè)備(M2M Device)數(shù)量巨大,應(yīng)用領(lǐng)域廣泛�,具有巨大的市場(chǎng)前景。在MTC通信中���,主要的遠(yuǎn)距離連接技術(shù)包括全球移動(dòng)通訊系統(tǒng)(GlcAalSystem for Mobile Communications, GSM) / 通用分組無(wú)線服務(wù)技術(shù)(GeneralPacket Radio Service, GPRS)/通用移動(dòng)通信系統(tǒng)(Universal MobileTelecommunications System���,UMTS),近距離連接技術(shù)主要有 802. llb/g����、藍(lán)牙、Zigbee��、射頻識(shí)別(Radio Frequency Identification, RFID)等。由于MTC整合了無(wú)線通信和信息技木�,可用于雙向通信,如遠(yuǎn)距離收集信息��、設(shè)置參數(shù)和發(fā)送指令����,因此可實(shí)現(xiàn)不同的應(yīng)用方案,如安全監(jiān)測(cè)�、自動(dòng)售貨、貨物跟蹤等��,幾乎所有日常生活中涉及到的設(shè)備都有可能成為潛在的服務(wù)對(duì)象�����。MTC提供了設(shè)備實(shí)時(shí)數(shù)據(jù)在系統(tǒng)之間�、遠(yuǎn)程設(shè)備之間�����、或與個(gè)人之間建立無(wú)線連接的簡(jiǎn)單手段�����。GBA (Generic Bootstrapping Architecture)是指通用引導(dǎo)架構(gòu),GBA體系架構(gòu)定義了ー種在終端和服務(wù)器之間的通用的密鑰協(xié)商機(jī)制�����。圖1為GBA體系架構(gòu)的網(wǎng)絡(luò)模型示意圖���,如圖1所示�,GBA網(wǎng)絡(luò)模型主要包括如下網(wǎng)元UE =UE是終端設(shè)備(如手機(jī))和(U) SIM卡的總稱(chēng)���,可以是插卡的移動(dòng)終端(如手機(jī)等)��,也可以是插卡的固定終端(如機(jī)頂盒等)���;NAF(Network Application Function)即應(yīng)用服務(wù)器,實(shí)現(xiàn)應(yīng)用的業(yè)務(wù)邏輯功能��,在完成對(duì)終端的認(rèn)證后為終端提供業(yè)務(wù)服務(wù)�����;BSF (Bootstrapping Server Function) :BSF 是 GBA 的核心網(wǎng)元�����,BSF 和 UE 通過(guò) AKA協(xié)議實(shí)現(xiàn)認(rèn)證,并且協(xié)商出隨后用于UE和NAF間通信的應(yīng)用密鑰�����,BSF能夠根據(jù)本地策略設(shè)定密鑰的生命期��;HSS (Home Subscriber System)即用戶(hù)歸屬服務(wù)器�����,存儲(chǔ)了終端(U) S頂卡中的鑒權(quán)數(shù)據(jù)�,如SIM卡中的Ki等;SLF (Subscription Locator Function)即簽約位置功能���,BSF 通過(guò)查詢(xún) SLF 獲得存儲(chǔ)相關(guān)用戶(hù)數(shù)據(jù)的HSS名稱(chēng)�。在単一 HSS環(huán)境和中并不需要SLF����,另外,當(dāng)BSF配置成使用預(yù)先指定的HSS吋�,也不要求使用SLF。在移動(dòng)通信系統(tǒng)中引入MTC設(shè)備后��,MTC設(shè)備可能需要與多個(gè)MTC服務(wù)器進(jìn)行通信�。對(duì)于ー個(gè)MTC設(shè)備與ー個(gè)MTC服務(wù)器通信的情況下,MTC設(shè)備與MTC服務(wù)器可以通過(guò)GBA過(guò)程建立會(huì)話(huà)密鑰并建立安全連接����,但是,當(dāng)MTC設(shè)備需要與多個(gè)MTC服務(wù)器進(jìn)行通信吋���,需要在MTC設(shè)備與之前的MTC服務(wù)器通信完成后���,才能通過(guò)GBA過(guò)程建立安全連接。這限制了 MTC設(shè)備同時(shí)與多個(gè)MTC服務(wù)器進(jìn)行安全通信的能力���,降低網(wǎng)絡(luò)資源的使用效率���。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供ー種MTC服務(wù)器共享密鑰的方法及系統(tǒng)���, MTC設(shè)備能夠同時(shí)與多個(gè)MTC服務(wù)器進(jìn)行安全通信��,從而提高網(wǎng)絡(luò)資源的使用效率�。在本發(fā)明中MTC業(yè)務(wù)與M2M業(yè)務(wù)都是指機(jī)器類(lèi)通信服務(wù)器(MTC服務(wù)器)提供的業(yè)務(wù)���。為達(dá)到上述目的�,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的ー種機(jī)器類(lèi)通信MTC服務(wù)器共享密鑰的方法,包括MTC設(shè)備與第一 MTC服務(wù)器通過(guò)通用引導(dǎo)架構(gòu)GBA過(guò)程建立安全連接并進(jìn)行安全通信吋�,所述MTC設(shè)備與第二 MTC服務(wù)器需要進(jìn)行安全通信,則所述MTC設(shè)備向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息����,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 ;第二 MTC服務(wù)器收到所述MTC設(shè)備的請(qǐng)求消息后����,向BSF發(fā)送認(rèn)證請(qǐng)求,所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2, B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí) NAF-ID1 ��;BSF收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后�,根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1 生成會(huì)話(huà)密鑰Knaf,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器���。所述認(rèn)證請(qǐng)求響應(yīng)消息還攜帶安全設(shè)置信息�����,包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期��。第二 MTC服務(wù)器收到會(huì)話(huà)密鑰Knaf后��,該方法還包括第二 MTC服務(wù)器向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息��。所述BSF根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前�����,該方法還包括BSF驗(yàn)證認(rèn)證請(qǐng)求中攜帯的MTC服務(wù)器主機(jī)名NAF-W2的有效性�����,并進(jìn)ー步驗(yàn)證 NAF-ID1的有效性�。 所述BSF根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前��,該方法還包括BSF判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰�����,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰��,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和 NAF-ID1生成會(huì)話(huà)密鑰Knaf�����,所述BSF判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰為 BSF根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系進(jìn)行判斷�,或者��,BSF將NAF-ID1和 NAF-ID2發(fā)送給HSS�����,根據(jù)HSS返回的判斷結(jié)果進(jìn)行判斷��。所述MTC服務(wù)器位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)或位于移動(dòng)通信網(wǎng)絡(luò)外����,所述移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)�。ー種MTC服務(wù)器共享密鑰的系統(tǒng),包括MTC設(shè)備�、第一 MTC服務(wù)器、第二 MTC服務(wù)器和BSF;其中�����,所述MTC設(shè)備�����,用于在與第一 MTC服務(wù)器通過(guò)GBA過(guò)程建立安全連接并進(jìn)行安全通信的同時(shí)又需要與第二 MTC服務(wù)器進(jìn)行安全通信吋��,向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息�,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 �;所述第二 MTC服務(wù)器�����,用于在收到所述MTC設(shè)備的請(qǐng)求消息后����,向BSF發(fā)送認(rèn)證請(qǐng)求���,所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2, B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 �����;所述BSF��,用于在收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后����,根據(jù)認(rèn)證請(qǐng)求中攜帯的 B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf���,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第 ニ MTC服務(wù)器��。所述BSF發(fā)送給第二 MTC服務(wù)器的認(rèn)證請(qǐng)求響應(yīng)消息還攜帶安全設(shè)置信息���,包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期����。所述第二 MTC服務(wù)器���,還用于在收到會(huì)話(huà)密鑰Knaf后����,向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消肩���、ο所述BSF�����,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前�����,驗(yàn)證認(rèn)證請(qǐng)求中攜帯的MTC服務(wù)器主機(jī)名NAF-ID2的有效性����,并進(jìn)ー步驗(yàn)證NAF-ID1的有效性。該系統(tǒng)還包括HSS����,所述HSS,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系���;所述BSF���,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前,根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系�,判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰����,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF����。該系統(tǒng)還包括HSS,所述HSS����,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系;以及在收到來(lái)自BSF的 NAF-ID1和NAF-ID2后���,根據(jù)所述保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰�,并向BSF返回判斷結(jié)果;所述BSF�,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前,將NAF-ID1和NAF-W2發(fā)送給HSS�,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰,判定允許所述第二 MTC服務(wù)器和所述第一 MTC 服務(wù)器共享密鑰���,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF���。所述MTC服務(wù)器位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)或位于移動(dòng)通信網(wǎng)絡(luò)外,所述移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)�����。本發(fā)明MTC服務(wù)器共享密鑰的方法及系統(tǒng)���,MTC設(shè)備與第一 MTC服務(wù)器通過(guò)通用引導(dǎo)架構(gòu)GBA過(guò)程建立安全連接并進(jìn)行安全通信吋�,所述MTC設(shè)備需要與第二 MTC服務(wù)器進(jìn)行安全通信���,則所述MTC設(shè)備向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息(包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1)�����;第 ニ MTC服務(wù)器向BSF發(fā)送認(rèn)證請(qǐng)求(包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2,B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1) ��;BSF根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf���,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器���。
通過(guò)本發(fā)明,在MTC設(shè)備與ー個(gè)MTC服務(wù)器已經(jīng)建立了安全連接并正在使用的情況下�����,如果MTC設(shè)備與一個(gè)新的MTC服務(wù)器需要通過(guò)GBA建立安全連接���,則MTC設(shè)備與新的 MTC服務(wù)器不需要通過(guò)ー個(gè)新的GBA過(guò)程建立新的會(huì)話(huà)密鑰Knaf����,可以通過(guò)本發(fā)明的會(huì)話(huà)密鑰共享方法使得MTC設(shè)備同時(shí)與多個(gè)MTC服務(wù)器進(jìn)行安全通信��,提高網(wǎng)絡(luò)資源的使用效率��。
圖1為GBA體系架構(gòu)的網(wǎng)絡(luò)模型示意圖����;圖2為本發(fā)明MTC服務(wù)器共享密鑰的方法流程示意圖;圖3為本發(fā)明實(shí)施例中實(shí)現(xiàn)MTC服務(wù)器共享密鑰的系統(tǒng)架構(gòu)示意圖�;圖4為本發(fā)明實(shí)施例中MTC服務(wù)器共享密鑰方法流程示意圖。
具體實(shí)施例方式本發(fā)明的基本思想是MTC設(shè)備與第一 MTC服務(wù)器通過(guò)通用引導(dǎo)架構(gòu)GBA過(guò)程建立安全連接并進(jìn)行安全通信吋���,所述MTC設(shè)備與第二 MTC服務(wù)器需要進(jìn)行安全通信��,則所述 MTC設(shè)備向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息(包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1)��;第二 MTC服務(wù)器向BSF發(fā)送認(rèn)證請(qǐng)求(包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2,B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1) �����;BSF根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf���,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器。圖2為本發(fā)明MTC服務(wù)器共享密鑰的方法流程示意圖�,如圖2所示,該方法包括步驟201 =MTC設(shè)備與第一 MTC服務(wù)器建立安全連接并進(jìn)行安全通信�����。這里�,MTC設(shè)備需要與第一 MTC服務(wù)器進(jìn)行通信吋,通過(guò)GBA過(guò)程建立所述MTC設(shè)備與所述第一 MTC服務(wù)器之間的會(huì)話(huà)密鑰KNAF�。本發(fā)明中����,MTC設(shè)備是指移動(dòng)通信網(wǎng)絡(luò)中用于機(jī)器到機(jī)器通信的設(shè)備�,MTC服務(wù)器可以位于移動(dòng)通信網(wǎng)絡(luò)內(nèi),也可以位于移動(dòng)通信網(wǎng)絡(luò)外�。在本發(fā)明中,移動(dòng)通信網(wǎng)絡(luò)包括 3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)����。如果所述MTC設(shè)備還需要進(jìn)ー步與第二 MTC服務(wù)器進(jìn)行通信,在所述MTC設(shè)備與所述第二 MTC服務(wù)器確定要采用GBA的情況下���,還包括如下步驟步驟202 所述MTC設(shè)備需要與第二 MTC服務(wù)器進(jìn)行安全通信���,并確定采用GBA。步驟203 所述MTC設(shè)備向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息���,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí) NAF-ID1��。該請(qǐng)求信息表示要求第二 MTC服務(wù)器使用MTC設(shè)備與第一 MTC服務(wù)器正在使用的
云詁 _Μ陰ο步驟204 第二MTC服務(wù)器收到所述MTC設(shè)備的請(qǐng)求消息后,向BSF發(fā)送認(rèn)證請(qǐng)求���, 所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2,B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí) NAF-ID1��。該認(rèn)證請(qǐng)求表示第二 MTC服務(wù)器向BSF請(qǐng)求與B-TID和第一 MTC服務(wù)器主機(jī)名 NAF-ID1相關(guān)的密鑰材料��。
步驟205 :BSF收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后��,首先驗(yàn)證認(rèn)證請(qǐng)求中攜帯的 MTC服務(wù)器主機(jī)名NAF-ID2的有效性�,并進(jìn)ー步驗(yàn)證MTC服務(wù)器主機(jī)名NAF-ID1的有效性。 然后根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf���,并將所述生成的Knaf及相關(guān)安全設(shè)置信息����,包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期等用戶(hù)安全設(shè)置���,一起通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器��?�?蛇x的�,在BSF驗(yàn)證NAF-ID2與NAF-ID1的有效性后�����,可以進(jìn)ー步驗(yàn)證NAF-ID2與 NAF-ID1的關(guān)系�,即判斷主機(jī)名為NAF-ID1的第一 MTC服務(wù)器是否允許主機(jī)名為NAF-ID2的第二服務(wù)器共享第一 MTC服務(wù)器正在使用的會(huì)話(huà)密鑰KNAF����。BSF判斷是否允許所述第二 MTC 服務(wù)器和所述第一 MTC服務(wù)器共享密鑰可以有以下兩種方式BSF根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系進(jìn)行判斷����,或者,BSF將NAF-ID1和NAF-W2發(fā)送給HSS�����,根據(jù) HSS返回的判斷結(jié)果進(jìn)行判斷��。步驟206 第二 MTC服務(wù)器收到會(huì)話(huà)密鑰Knaf后�����,向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息����。類(lèi)似的,如果MTC設(shè)備需要進(jìn)ー步與其他MTC服務(wù)器通信吋����,可以根據(jù)以上過(guò)程與其他服務(wù)器建立共享會(huì)話(huà)密鑰?�?梢钥闯?,通過(guò)本發(fā)明,在MTC設(shè)備與ー個(gè)MTC服務(wù)器A建立安全連接后����,所述MTC 設(shè)備可以進(jìn)一歩與一個(gè)新的MTC服務(wù)器B建立安全連接,換言之��,在MTC設(shè)備與新的MTC服務(wù)器B建立安全連接的過(guò)程中���,如果MTC設(shè)備與MTC服務(wù)器A已經(jīng)建立了安全連接并正在使用�,則MTC設(shè)備與新的MTC服務(wù)器B不需要通過(guò)ー個(gè)新的GBA過(guò)程建立新的會(huì)話(huà)密鑰Knaf���, 可以通過(guò)上述步驟共享會(huì)話(huà)密鑰Knaf��,從而能夠使MTC設(shè)備同時(shí)與多個(gè)MTC服務(wù)器進(jìn)行安全通信����,提高網(wǎng)絡(luò)資源的使用效率����。本發(fā)明還相應(yīng)地提出了ー種MTC服務(wù)器共享密鑰的系統(tǒng),該系統(tǒng)包括MTC設(shè)備�����、第一 MTC服務(wù)器、第二 MTC服務(wù)器和BSF �;其中,所述MTC設(shè)備���,用于在與第一 MTC服務(wù)器通過(guò)GBA過(guò)程建立安全連接并進(jìn)行安全通信的同時(shí)又需要與第二 MTC服務(wù)器進(jìn)行安全通信吋�����,向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息�,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 �����;所述第二 MTC服務(wù)器�����,用于在收到所述MTC設(shè)備的請(qǐng)求消息后���,向BSF發(fā)送認(rèn)證請(qǐng)求����,所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2, B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 ;所述BSF���,用于在收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后,根據(jù)認(rèn)證請(qǐng)求中攜帯的 B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf�����,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第 ニ MTC服務(wù)器��。所述BSF發(fā)送給第二 MTC服務(wù)器的認(rèn)證請(qǐng)求響應(yīng)消息還攜帶安全設(shè)置信息�,安全設(shè)置信息包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期。所述第二 MTC服務(wù)器�����,還用于在收到會(huì)話(huà)密鑰Knaf后�����,向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息�。
所述BSF,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前��,驗(yàn)證認(rèn)證請(qǐng)求中攜帯的MTC服務(wù)器主機(jī)名NAF-ID2的有效性,并進(jìn)ー步驗(yàn)證NAF-ID1的有效性��。
該系統(tǒng)還包括HSS�,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系;在基于本發(fā)明的系統(tǒng)中���,所述HSS還可以保存不同MTC服務(wù)器之間的關(guān)系���,即MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系,如以MTC服務(wù)器關(guān)系列表的形式保存不同MTC服務(wù)器之間的關(guān)系����。不同MTC服務(wù)器之間的關(guān)系用于共享密鑰吋,BSF驗(yàn)證MTC服務(wù)器之間是否可以共享會(huì)話(huà)密鑰����。所述BSF,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前�,根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系,判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰����,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF���?���;蛘撸撓到y(tǒng)還包括HSS�����,所述HSS�����,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系��;以及在收到來(lái)自BSF的NAF-ID1和NAF-ID2后�����,根據(jù)所述保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系判斷是否允許所述第二MTC服務(wù)器和所述第一MTC服務(wù)器共享密鑰����,并向BSF 返回判斷結(jié)果��;所述BSF��,還用于根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前, 將NAF-ID1和NAF-W2發(fā)送給HSS��,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC 服務(wù)器和所述第一 MTC服務(wù)器共享密鑰����,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF��。所述MTC服務(wù)器位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)或位于移動(dòng)通信網(wǎng)絡(luò)外����,所述移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)。上述MTC設(shè)備指移動(dòng)通信網(wǎng)絡(luò)中用于機(jī)器到機(jī)器通信的設(shè)備�,是用戶(hù)用于機(jī)器類(lèi)通信的設(shè)備,UICC卡安裝在MTC設(shè)備中�,BSF和MTC設(shè)備通過(guò)AKA協(xié)議實(shí)現(xiàn)認(rèn)證,并且協(xié)商出隨后用于MTC設(shè)備和MTC業(yè)務(wù)服務(wù)器間通信的會(huì)話(huà)密鑰��,BSF能夠根據(jù)本地策略設(shè)定密鑰的生命期��;MTC服務(wù)器為MTC用戶(hù)提供M2M業(yè)務(wù)��。MTC服務(wù)器可以位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)��, 也可以位于移動(dòng)通信網(wǎng)絡(luò)外��。在本發(fā)明中,移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)����。下面結(jié)合具體實(shí)施例對(duì)本發(fā)明技術(shù)方案的實(shí)施作進(jìn)ー步的詳細(xì)描述。實(shí)施例圖3為本發(fā)明實(shí)施例中實(shí)現(xiàn)MTC服務(wù)器共享密鑰的系統(tǒng)架構(gòu)示意圖��,如圖3所示���, 該系統(tǒng)包括MTC設(shè)備(用戶(hù)用于機(jī)器類(lèi)通信的設(shè)備)�����、用戶(hù)識(shí)別卡(如UICC,一般安裝在 MTC 設(shè)備中)���、BSF (Bootstrapping Server Function)禾ロ MTC 月艮務(wù)器(為 MTC 用戶(hù)提供 MTC 業(yè)務(wù))����、HSS (Home Subscriber System����,用戶(hù)歸屬服務(wù)器)。其中��,BSF和MTC設(shè)備通過(guò)AKA 協(xié)議實(shí)現(xiàn)認(rèn)證,并且協(xié)商出隨后用于MTC設(shè)備和MTC服務(wù)器間通信的會(huì)話(huà)密鑰Knaf�,BSF能夠根據(jù)本地策略設(shè)定密鑰的生命周期;可選的����,在基于本發(fā)明的系統(tǒng)中,所述HSS還可以保存不同MTC服務(wù)器之間的關(guān)系����,如以MTC服務(wù)器關(guān)系列表的形式保存不同MTC服務(wù)器之間的關(guān)系。不同MTC服務(wù)器之間的關(guān)系用于共享密鑰吋���,BSF驗(yàn)證MTC服務(wù)器之間是否可以共享會(huì)話(huà)密鑰���。圖4為本發(fā)明實(shí)施例中MTC服務(wù)器共享密鑰方法流程示意圖,如圖4所示����,具體包括以下步驟步驟401 =MTC設(shè)備與MTC服務(wù)器A通過(guò)GBA過(guò)程建立會(huì)話(huà)密鑰KNAF。步驟402 =MTC設(shè)備還需要進(jìn)ー步與MTC服務(wù)器B進(jìn)行通信��,那么��,在MTC設(shè)備與 MTC服務(wù)器B確定要采用GBA方式的情況下����,MTC設(shè)備向MTC服務(wù)器B發(fā)送請(qǐng)求消息�,該請(qǐng)求信息中包含MTC設(shè)備與MTC服務(wù)器A正在使用的引導(dǎo)標(biāo)識(shí)B-TID��,及MTC服務(wù)器A的主機(jī)標(biāo)識(shí) NAF-IDA���。該請(qǐng)求信息表示要求MTC服務(wù)器B使用MTC設(shè)備與MTC服務(wù)器A正在使用的會(huì)話(huà)密鑰��。步驟403 =MTC服務(wù)器B收到MTC設(shè)備的請(qǐng)求后����,向BSF發(fā)送認(rèn)證請(qǐng)求��,認(rèn)證請(qǐng)求信息包含MTC服務(wù)器B的主機(jī)標(biāo)識(shí)NAF-IDb, B-TID及MTC服務(wù)器A的主機(jī)標(biāo)識(shí)NAF_IDa�。
該請(qǐng)求信息表示MTC服務(wù)器B向BSF請(qǐng)求與B-TID和MTC服務(wù)器A主機(jī)名NAF-IDa 相關(guān)的密鑰材料。步驟404 =BSF收到MTC服務(wù)器B的認(rèn)證請(qǐng)求后���,首先驗(yàn)證MTC服務(wù)器主機(jī)名 NAF-IDb的有效性。然后根據(jù)B-TID和NAF-IDA生成會(huì)話(huà)密鑰Knaf����,并將Knaf及相關(guān)的安全設(shè)置信息,包括引導(dǎo)時(shí)間(bootstrap time)��、會(huì)話(huà)密鑰的生命周期(lifetime)等用戶(hù)安全設(shè)置信息,一起通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給MTC服務(wù)器B�����。步驟405 =MTC服務(wù)器B收到認(rèn)證請(qǐng)求響應(yīng)消息后���,保存會(huì)話(huà)密鑰相關(guān)信息�����,并向 MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息����。以上所述��,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍���。
權(quán)利要求
1.ー種機(jī)器類(lèi)通信MTC服務(wù)器共享密鑰的方法��,其特征在于�����,該方法包括MTC設(shè)備與第一 MTC服務(wù)器通過(guò)通用引導(dǎo)架構(gòu)GBA過(guò)程建立安全連接并進(jìn)行安全通信吋��,所述MTC設(shè)備與第二 MTC服務(wù)器需要進(jìn)行安全通信����,則所述MTC設(shè)備向所述第二 MTC服務(wù)器發(fā)送請(qǐng)求信息,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 ���;第二 MTC服務(wù)器收到所述MTC設(shè)備的請(qǐng)求消息后��,向BSF發(fā)送認(rèn)證請(qǐng)求�,所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2, B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 ���;BSF收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后����,根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf�����,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在干���,所述認(rèn)證請(qǐng)求響應(yīng)消息還攜帶安全設(shè)置信息�,包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在干���,第二MTC服務(wù)器收到會(huì)話(huà)密鑰Knaf后����,該方法還包括第二 MTC服務(wù)器向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在干�����,所述BSF根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和 NAF-ID1生成會(huì)話(huà)密鑰Knaf之前,該方法還包括BSF驗(yàn)證認(rèn)證請(qǐng)求中攜帯的MTC服務(wù)器主機(jī)名NAF-ID2的有效性����,并進(jìn)ー步驗(yàn)證NAF-ID1的有效性。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法��,其特征在干����,所述BSF根據(jù)認(rèn)證請(qǐng)求中攜帶的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前,該方法還包括BSF判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰���,判定允許所述第二 MTC服務(wù)器和所述第一 MTC 服務(wù)器共享密鑰��,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf��,所述BSF判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰為BSF 根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系進(jìn)行判斷�����,或者����,BSF將NAF-ID1和 NAF-ID2發(fā)送給HSS����,根據(jù)HSS返回的判斷結(jié)果進(jìn)行判斷。
6.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法�����,其特征在干�����,所述MTC服務(wù)器位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)或位于移動(dòng)通信網(wǎng)絡(luò)外�,所述移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)。
7.—種MTC服務(wù)器共享密鑰的系統(tǒng)�,其特征在干,該系統(tǒng)包括MTC設(shè)備�、第一 MTC服務(wù)器、第二 MTC服務(wù)器和BSF ����;其中,所述MTC設(shè)備���,用于在與第一 MTC服務(wù)器通過(guò)GBA過(guò)程建立安全連接并進(jìn)行安全通信的同時(shí)又需要與第二MTC服務(wù)器進(jìn)行安全通信吋��,向所述第二MTC服務(wù)器發(fā)送請(qǐng)求信息�����,所述請(qǐng)求信息中包含所述MTC設(shè)備與第一 MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一 MTC 服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1 ;所述第二 MTC服務(wù)器,用于在收到所述MTC設(shè)備的請(qǐng)求消息后��,向BSF發(fā)送認(rèn)證請(qǐng)求, 所述認(rèn)證請(qǐng)求包含第二 MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2,B-TID和第一 MTC服務(wù)器的主機(jī)標(biāo)識(shí) NAF-ID1;所述BSF,用于在收到第二 MTC服務(wù)器的認(rèn)證請(qǐng)求后�,根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和 NAF-ID1生成會(huì)話(huà)密鑰Knaf���,并將所述生成的Knaf通過(guò)認(rèn)證請(qǐng)求響應(yīng)消息發(fā)送給第二 MTC服務(wù)器�。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在干��,所述BSF發(fā)送給第二MTC服務(wù)器的認(rèn)證請(qǐng)求響應(yīng)消息還攜帶安全設(shè)置信息����,包括引導(dǎo)時(shí)間和會(huì)話(huà)密鑰的生命周期�。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在干�����,所述第二 MTC服務(wù)器,還用于在收到會(huì)話(huà)密鑰Knaf后��,向MTC設(shè)備發(fā)送請(qǐng)求響應(yīng)消息����。
10.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在干����,所述BSF����,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前, 驗(yàn)證認(rèn)證請(qǐng)求中攜帯的MTC服務(wù)器主機(jī)名NAF-W2的有效性��,并進(jìn)ー步驗(yàn)證NAF-ID1的有效性���。
11.根據(jù)權(quán)利要求7至10任一項(xiàng)所述的方法�����,其特征在于�����,該系統(tǒng)還包括HSS�,所述HSS,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系����;所述BSF,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前��, 根據(jù)HSS保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系�,判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰���,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF��。
12.根據(jù)權(quán)利要求7至10任一項(xiàng)所述的方法��,其特征在于�����,該系統(tǒng)還包括HSS�����,所述HSS����,用于保存MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系;以及在收到來(lái)自BSF的 NAF-ID1和NAF-ID2后���,根據(jù)所述保存的MTC服務(wù)器之間關(guān)于密鑰的共享關(guān)系判斷是否允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰�����,并向BSF返回判斷結(jié)果;所述BSF���,還用于在根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰Knaf之前�, 將NAF-ID1和NAF-W2發(fā)送給HSS���,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC 服務(wù)器和所述第一 MTC服務(wù)器共享密鑰��,判定允許所述第二 MTC服務(wù)器和所述第一 MTC服務(wù)器共享密鑰�����,則根據(jù)認(rèn)證請(qǐng)求中攜帯的B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF����。
13.根據(jù)權(quán)利要求7至10任一項(xiàng)所述的系統(tǒng),其特征在干�,所述MTC服務(wù)器位于移動(dòng)通信網(wǎng)絡(luò)內(nèi)或位于移動(dòng)通信網(wǎng)絡(luò)外,所述移動(dòng)通信網(wǎng)絡(luò)包括3GPP網(wǎng)絡(luò)和3GPP2網(wǎng)絡(luò)����。
全文摘要
本發(fā)明公開(kāi)一種MTC服務(wù)器共享密鑰的方法,MTC設(shè)備與第一MTC服務(wù)器通過(guò)GBA過(guò)程建立安全連接并進(jìn)行安全通信時(shí)�����,可以向第二MTC服務(wù)器發(fā)送請(qǐng)求信息(包含MTC設(shè)備與第一MTC服務(wù)器正在使用的引導(dǎo)標(biāo)識(shí)B-TID和第一MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID1)��;第二MTC服務(wù)器向BSF發(fā)送認(rèn)證請(qǐng)求(包含第二MTC服務(wù)器的主機(jī)標(biāo)識(shí)NAF-ID2�、B-TID和NAF-ID1);BSF驗(yàn)證NAF-ID2和NAF-ID1有效后��,根據(jù)B-TID和NAF-ID1生成會(huì)話(huà)密鑰KNAF��,并發(fā)送給第二MTC服務(wù)器�。本發(fā)明還相應(yīng)地公開(kāi)一種MTC服務(wù)器共享密鑰的系統(tǒng),通過(guò)本發(fā)明�,能夠使MTC設(shè)備同時(shí)與多個(gè)MTC服務(wù)器進(jìn)行安全通信,提高網(wǎng)絡(luò)資源的使用效率。
文檔編號(hào)H04W12/00GK102595389SQ20111000856
公開(kāi)日2012年7月18日 申請(qǐng)日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者余萬(wàn)濤 申請(qǐng)人:中興通訊股份有限公司