專利名稱:一種建立安全通道的方法及相應(yīng)終端和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及機(jī)器類通信領(lǐng)域。特別地��,涉及到一種建立安全通道的方法及相應(yīng)終%5和系統(tǒng)����。
背景技術(shù):
機(jī)器類通信(MachineType Communication, MTC)是機(jī)器到機(jī)器(M2M, machineto machine)業(yè)務(wù)使用3GPP移動(dòng)通信網(wǎng)絡(luò)進(jìn)行通信的新的通信類型,有別于采用移動(dòng)通信網(wǎng)絡(luò)進(jìn)行通信的傳統(tǒng)的人與人通信��。機(jī)器類通信數(shù)據(jù)來源于各行各業(yè)����,這些數(shù)據(jù)具有一定的商業(yè)秘密而需要保護(hù)����。在移動(dòng)通信網(wǎng)絡(luò)的接入網(wǎng)內(nèi)����,MTC終端(MTC devcie)通過(U)SM卡和 HLR(Home Location Register,歸屬位置寄存器)或 HSS (Home Subscriber Server,
歸屬用戶服務(wù)器)(簡稱HLR/HSS)進(jìn)行鑒權(quán)、授權(quán)和安全參數(shù)的協(xié)商����;在移動(dòng)通信網(wǎng)絡(luò)的核心網(wǎng)內(nèi),各網(wǎng)絡(luò)節(jié)點(diǎn)也可以通過網(wǎng)絡(luò)域的安全措施來保證數(shù)據(jù)安全��。MTC device有對(duì)應(yīng)的應(yīng)用服務(wù)器稱為MTC服務(wù)器(MTC server)��。MTC device和MTC server之間的通信應(yīng)該具有安全性��。但MTC device和MTC server之間如何實(shí)現(xiàn)安全傳輸是目前亟待解決的問題�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種建立安全通道的方法����,保證MTC終端與MTC終端的應(yīng)用對(duì)端通信時(shí)的安全性���。為了解決上述技術(shù)問題,本發(fā)明提供了一種建立安全通道的方法�����,用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述方法包括MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中���,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�����;當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該應(yīng)用對(duì)端的某MTC終端通信時(shí)�����,所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息���,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道����,所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián),形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�。為了解決上述技術(shù)問題,本發(fā)明還提供了一種建立安全通道的方法�����,用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述方法包括MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中�,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息���;當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該MTC應(yīng)用對(duì)端的某MTC終端通信時(shí)���,所述應(yīng)用對(duì)端通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā),所述MTC終端接收到的觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息���,所述MTC終端根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�;所述應(yīng)用對(duì)端和所述MTC終端各自根據(jù)所述安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)�,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�����。本發(fā)明要解決的另一技術(shù)問題是提供建立安全通道的MTC終端和系統(tǒng),為在MTC終端和MTC終端的應(yīng)用對(duì)端間建立安全通道提供可能���。為了解決上述技術(shù)問題�,本發(fā)明提供了一種建立安全通道的機(jī)器類通信(MTC)終端�����,用于在所述終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道��,所述終端包括密鑰生成模塊和安全通道建立模塊�����,其中所述密鑰生成模塊���,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息����;所述安全通道建立模塊,用于根據(jù)所述應(yīng)用對(duì)端發(fā)起的觸發(fā)消息建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�����,以及基于所述共享密鑰信息建立安全關(guān)聯(lián)。為了解決上述技術(shù)問題���,本發(fā)明還提供了一種建立安全通道的系統(tǒng)���,用于在機(jī)器 類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道,所述系統(tǒng)包括上述MTC終端�,以及所述MTC終端的應(yīng)用對(duì)端,所述應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊���,其中所述觸發(fā)模塊��,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí)����,發(fā)起觸發(fā)消息�����,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道��;所述安全通道模塊��,用于基于共享密鑰信息建立安全關(guān)聯(lián)����,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道���。為了解決上述技術(shù)問題,本發(fā)明還提供了一種建立安全通道的機(jī)器類通信(MTC)終端��,用于在所述終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述終端包括密鑰生成模塊����、IP通道建立模塊和安全關(guān)聯(lián)建立模塊�����,其中所述密鑰生成模塊�����,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中����,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�����;所述IP通道建立模塊,接收觸發(fā)消息���,所述觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息�����,根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�;所述安全關(guān)聯(lián)建立模塊�����,用于根據(jù)所述觸發(fā)消息中的安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)���,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道����。為了解決上述技術(shù)問題�����,本發(fā)明還提供了一種建立安全通道的系統(tǒng),用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道�,所述系統(tǒng)包括上述的MTC終端,以及所述MTC終端的應(yīng)用對(duì)端���,所述應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊����,其中所述觸發(fā)模塊����,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí),通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)����,建立本應(yīng)用對(duì)端到所述MTC終端的IP通道;所述安全通道模塊���,用于根據(jù)安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)����,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道����,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道。本發(fā)明實(shí)施例提供一種新的系統(tǒng)架構(gòu)�,引入AAA服務(wù)器參與安全通道的建立,同時(shí)通過在MTC終端和MTC終端應(yīng)用對(duì)端之間建立端到端安全通道�,以保證MTC終端和MTC終端應(yīng)用對(duì)端之間通信的安全。
圖I為MTC device和MTC server安全通信的系統(tǒng)架構(gòu)圖2為實(shí)施例I流程圖���;圖3為實(shí)施例2流程圖�;圖4為實(shí)施例3流程圖��;圖5為實(shí)施例4流程圖����;圖6為實(shí)施例5流程圖。
具體實(shí)施例方式本發(fā)明實(shí)施例采用兩種方式在MTC終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道����。 方式一 本方式中,MTC終端與應(yīng)用對(duì)端間需要進(jìn)行安全協(xié)商����,具體包括MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息����;當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該應(yīng)用對(duì)端的某MTC終端通信時(shí),所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道��,所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián)��,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�����。在上述步驟中應(yīng)用對(duì)端有兩種發(fā)起觸發(fā)的方法A :通過AAA服務(wù)器�、HLR/HSS向MTC終端的移動(dòng)管理實(shí)體發(fā)送觸發(fā)消息,由移動(dòng)管理實(shí)體尋呼MTC終端����,通過MTC終端與移動(dòng)管理實(shí)體間建立的信令連接,使該MTC終端獲取應(yīng)用對(duì)端的信息��,基于該應(yīng)用對(duì)端的信息發(fā)起建立到所述應(yīng)用對(duì)端的IP通道����。方法B :應(yīng)用對(duì)端建立到PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的安全通道,向該網(wǎng)關(guān)發(fā)送觸發(fā)消息�����,觸發(fā)該網(wǎng)關(guān)發(fā)起建立所述應(yīng)用對(duì)端到所述MTC終端的IP通道�����。采用本方式建立安全通道的MTC終端包括密鑰生成模塊和安全通道建立模塊,其中該密鑰生成模塊���,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息����;該安全通道建立模塊,用于根據(jù)所述應(yīng)用對(duì)端發(fā)起的觸發(fā)消息建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�,以及基于所述共享密鑰信息建立安全關(guān)聯(lián)。優(yōu)選地��,該安全通道建立模塊是用于采用以下方式根據(jù)所述應(yīng)用對(duì)端發(fā)起的觸發(fā)消息建立本MTC終端到所述應(yīng)用對(duì)端的IP通道���,包括接受移動(dòng)管理實(shí)體的尋呼����,建立到所述移動(dòng)管理實(shí)體的信令連接����,獲取所述應(yīng)用對(duì)端的信息,基于所述應(yīng)用對(duì)端的信息����,發(fā)起建立到所述應(yīng)用對(duì)端的IP通道�����;或者根據(jù)PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)發(fā)起的建立IP通道的消息�,建立到所述應(yīng)用對(duì)端的IP通道��。優(yōu)選地�,該安全通道建立模塊還用于在建立安全關(guān)聯(lián)之前基于所述共享密鑰信息對(duì)所述應(yīng)用對(duì)端進(jìn)行認(rèn)證。采用上述方式實(shí)現(xiàn)安全通道建立的系統(tǒng)����,除包含上述MTC終端外,還包含MTC終端的應(yīng)用對(duì)端����,該應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊,其中
該觸發(fā)模塊���,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí)��,發(fā)起觸發(fā)消息����,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道;該安全通道模塊 ���,用于基于共享密鑰信息建立安全關(guān)聯(lián)���,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道。優(yōu)選地���,該系統(tǒng)還包括HLR/HSS,其包括密鑰生成模塊���、定位模塊和發(fā)送模塊����,其中所述密鑰生成模塊�,用于在所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商�����,生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息����;所述定位模塊�,用于定位所述MTC終端的AAA服務(wù)器�;所述發(fā)送模塊,用于將所述密鑰生成模塊生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器�。優(yōu)選地,該應(yīng)用對(duì)端還包括第一查詢模塊�,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息;優(yōu)選地�,該觸發(fā)模塊是用于采用以下方式發(fā)起觸發(fā)消息通過AAA服務(wù)器、HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送觸發(fā)消息���,使所述移動(dòng)管理實(shí)體尋呼所述MTC終端����。優(yōu)選地��,該安全通道模塊����,還用于在建立安全關(guān)聯(lián)之前,基于所述共享密鑰信息對(duì)所述MTC終端進(jìn)行認(rèn)證�。優(yōu)選地,該應(yīng)用對(duì)端還包括第二查詢模塊�����,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)、所述共享密鑰信息�,以及PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址;所述觸發(fā)模塊是用于采用以下方式發(fā)起觸發(fā)消息建立本應(yīng)用對(duì)端到所述網(wǎng)關(guān)的安全通道����,向所述網(wǎng)關(guān)發(fā)送觸發(fā)消息,觸發(fā)所述網(wǎng)關(guān)發(fā)起建立所述應(yīng)用對(duì)端到所述MTC終端的IP通道�����。 方式二 本方式中����,MTC終端與應(yīng)用對(duì)端間無需進(jìn)行安全協(xié)商�,具體包括MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息���;當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該MTC應(yīng)用對(duì)端的某MTC終端通信時(shí)�,所述應(yīng)用對(duì)端通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)�,所述MTC終端接收到的觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息,所述MTC終端根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道���;所述應(yīng)用對(duì)端和所述MTC終端各自根據(jù)所述安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)�����,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道��,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�����。在上述步驟中應(yīng)用對(duì)端也有兩種發(fā)起觸發(fā)的方法a 向所述AAA服務(wù)器發(fā)起觸發(fā)����,由AAA通過HLR/HSS向MTC終端的移動(dòng)管理實(shí)體發(fā)送包含安全關(guān)聯(lián)信息的觸發(fā)消息,該安全關(guān)聯(lián)信息包括根據(jù)共享密鑰信息生成的建立安全關(guān)聯(lián)所需的信息���;由該移動(dòng)管理實(shí)體尋呼MTC終端�����;通過MTC終端與移動(dòng)管理實(shí)體的信令連接����,使MTC終端獲取應(yīng)用對(duì)端的信息以及建立安全關(guān)聯(lián)所需的信息���。
方法b :根據(jù)所述共享密鑰信息生成安全關(guān)聯(lián)信息����,該安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián);與PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)建立安全通道�,通過該網(wǎng)關(guān)向MTC終端發(fā)起觸發(fā)消息,觸發(fā)消息中包括安全關(guān)聯(lián)信息�。采用本方式建立安全通道的MTC終端包括密鑰生成模塊、IP通道建立模塊和安全關(guān)聯(lián)建立模塊��,其中所述密鑰生成模塊����,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息����;所述IP通道建立模塊,接收觸發(fā)消息���,所述觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息,根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道��;所述安全關(guān)聯(lián)建立模塊����,用于根據(jù)所述觸發(fā)消息中的安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)�����,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道�。 優(yōu)選地��,該觸發(fā)模塊是用于采用以下方式根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道接受移動(dòng)管理實(shí)體的尋呼��,建立到所述移動(dòng)管理實(shí)體的信令連接��,獲取所述應(yīng)用對(duì)端的信息以及建立安全關(guān)聯(lián)所需的信息��,基于獲取的信息發(fā)起建立到所述應(yīng)用對(duì)端的IP通道���;或者接收PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)發(fā)送的包括安全關(guān)聯(lián)信息的觸發(fā)消息�����,所述安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián)�����,基于獲取的信息發(fā)起建立到所述應(yīng)用對(duì)端的IP通道���。優(yōu)選地���,該安全關(guān)聯(lián)建立模塊還用于在建立IP通道之前,先根據(jù)所述應(yīng)用對(duì)端的認(rèn)證信息對(duì)所述應(yīng)用對(duì)端進(jìn)行認(rèn)證�����。采用上述方式實(shí)現(xiàn)安全通道建立的系統(tǒng)���,除包括上述MTC終端外�,還包括MTC終端的應(yīng)用對(duì)端���,該應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊����,其中所述觸發(fā)模塊�����,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí)�,通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)���,建立本應(yīng)用對(duì)端到所述MTC終端的IP通道�����;所述安全通道模塊����,用于根據(jù)安全關(guān)聯(lián)信息建立安全關(guān)聯(lián),將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道���,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道����。優(yōu)選地���,所述系統(tǒng)還包括HLR/HSS���,其包括密鑰生成模塊、定位模塊和發(fā)送模塊���,其中所述密鑰生成模塊���,用于在所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)的過程中���,與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商,生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息���;所述定位模塊�,用于定位所述MTC終端的認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器���;所述發(fā)送模塊���,用于將所述密鑰生成模塊生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器。優(yōu)選地�����,所述應(yīng)用對(duì)端還包括第一查詢模塊��,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息����;所述觸發(fā)模塊是用于采用以下方式通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)向所述AAA服務(wù)器發(fā)起觸發(fā),由所述AAA服務(wù)器通過HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送包含安全關(guān)聯(lián)信息的觸發(fā)消息��,使所述移動(dòng)管理實(shí)體尋呼所述MTC終端��,所述安全關(guān)聯(lián)信息包括根據(jù)共享密鑰信息生成的建立安全關(guān)聯(lián)所需的信息。優(yōu)選地����,所述應(yīng)用對(duì)端還包括第二查詢模塊�,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)、所述共享密鑰信息�����,以及PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址���;所述觸發(fā)模塊是用于采用以下方式通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)所述應(yīng)用對(duì)端根據(jù)所述共享密鑰信息生成安全關(guān)聯(lián)信息�,所述安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián)����;建立到所述網(wǎng)關(guān)的安全通道,通過該網(wǎng)關(guān)向所述MTC終端發(fā)起觸發(fā)消息�,所述觸發(fā)消息中包括安全關(guān)聯(lián)信息。為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白����,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明�。需要說明的是�,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中 的特征可以相互任意組合�����。以下實(shí)施例中以MTC終端的應(yīng)用對(duì)端為MME為例進(jìn)行說明���。實(shí)施例I如圖2所示����,包括以下步驟(注冊(cè)部分)步驟I :MTC device 請(qǐng)求注冊(cè)到 PLMN(Public Land Mobile Network,公共陸地移動(dòng)網(wǎng)絡(luò))網(wǎng)絡(luò)����,PLMN 網(wǎng)絡(luò)中的 HLR/HSS 和 MTC device 進(jìn)行 3GPPAKA(Authentication andKey Agreement,認(rèn)證和密鑰協(xié)商)之后各自生成為MTC device和MTC server建立安全通道的共享密鑰信息;生成共享密鑰后����,HLR/HSS和MTC device分別保存生成的共享密鑰信息。生成共享密鑰信息可以采用現(xiàn)有的技術(shù)實(shí)現(xiàn)�����,本文不再贅述�����。步驟2 HLR/HSS定位該MTC device的AAA (認(rèn)證授權(quán)計(jì)費(fèi))服務(wù)器;HLR/HSS定位AAA服務(wù)器的方法可以是根據(jù)HLR/HSS中該MTCdevice的簽約信息或者M(jìn)TC device提供的標(biāo)識(shí)信息來查詢DNS (Domain Name System,域名系統(tǒng))服務(wù)器來獲取AAA服務(wù)器的地址��,或者根據(jù)MTCdevice提供的MTC server的標(biāo)識(shí)(如果有的話)來查詢DNS來獲取AAA服務(wù)器的地址����。步驟3 HLR/HSS將步驟I中生成的共享密鑰信息���,以及MTC device的信息(包括標(biāo)識(shí)�,優(yōu)選地���,還包括MTC device的地址)通過安全通道發(fā)送給AAA服務(wù)器����;(觸發(fā)部分)步驟4:當(dāng)MTC server需要與所屬于該MTC server的某MTC device通信時(shí)���,MTC server向AAA服務(wù)器發(fā)起查詢�,獲取該MTC device的狀態(tài)如在線或離線��;如果MTCdevice在線,貝U AAA服務(wù)器除了向MTC server返回所述MTC device的狀態(tài)之外,還返回MTC device的標(biāo)識(shí)(優(yōu)選地���,還包括MTC device的地址),MTC device與MTC server建立安全通道所需的共享密鑰信息���;步驟5 :如果上述MTC device在線�,MTC server向AAA服務(wù)器發(fā)送觸發(fā)該MTCdevice的觸發(fā)消息��,該觸發(fā)消息包括MTC device的信息(包括標(biāo)識(shí)����,優(yōu)選還可以包括地址),以及MTC server的信息(包括標(biāo)識(shí)和/或地址);步驟6 :AAA服務(wù)器通過安全通道向HLR/HSS發(fā)送該MTC device的觸發(fā)消息��,該觸發(fā)消息包括MTC device的信息和MTC server的信息����;步驟7 HLR/HSS向該MTC device注冊(cè)的移動(dòng)管理實(shí)體發(fā)送該MTCdevice的觸發(fā)消息,該觸發(fā)消息包括MTC device的信息和MTC server的信息���;上述例如為移動(dòng)管理節(jié)點(diǎn)(MME)或服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)或移動(dòng)交換節(jié)點(diǎn)(MSC)��。步驟8 :移動(dòng)管理實(shí)體根據(jù)MTC device的信息向MTC device發(fā)送尋呼信息�����;步驟9:MTC device收到尋呼信息后�,建立到移動(dòng)管理實(shí)體的信令連接,移動(dòng)管理實(shí)體通過該信令連接向MTC device發(fā)送觸發(fā)消息,觸發(fā)消息包括該MTC server的信息�;步驟10 :MTC device收到觸發(fā)消息后,根據(jù)觸發(fā)消息中MTC server的信息,發(fā)起·建立到MTC server的IP通道(如果有默認(rèn)承載,則可以基于默認(rèn)承載建立該IP通道)��;步驟11 MTC device和MTC server基于共享密鑰信息使用認(rèn)證和密鑰交換協(xié)議如 IKE (Internet key extrange,密鑰交換協(xié)議)進(jìn)行 MTC device 和 MTC server 的相互認(rèn)證并建立安全關(guān)聯(lián)(SA, security association),形成 MTC device 和 MTC server 之間的端到端安全通道�����。若米用EAP(Extensible Authentication Protocol,可擴(kuò)展認(rèn)證協(xié)議)而非 IKE,則MTC server從AAA服務(wù)器獲取共享密鑰信息后�����,基于該共享密鑰建立起與MTC device的安全通信�,并進(jìn)一步作為中間節(jié)點(diǎn)與AAA交互對(duì)MTC device進(jìn)行認(rèn)證��、授權(quán)�����,建立起MTCdevice與MTC server側(cè)網(wǎng)絡(luò)的雙向安全通道����。實(shí)施例2 如圖3所示,包括以下步驟(注冊(cè)部分)步驟1:MTC device請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò),PLMN網(wǎng)絡(luò)中的HLR/HSS和MTC device進(jìn)行3GPP AKA之后各自生成為MTC device和MTC server建立安全通道的共享密鑰信息�;步驟2 HLR/HSS 定位該 MTC device 的 AAA 服務(wù)器;HLR/HSS定位AAA服務(wù)器的方法可以是根據(jù)HLR/HSS中該MTC device的簽約信息或者M(jìn)TC device提供的標(biāo)識(shí)信息來查詢DNS服務(wù)器來獲取AAA服務(wù)器的地址����,或者根據(jù)MTC device提供的MTC server標(biāo)識(shí)來查詢DNS來獲取AAA服務(wù)器的地址。步驟3 =HSS將步驟I中生成的共享密鑰信息���,以及MTC device的信息(包括標(biāo)識(shí)�����,或標(biāo)識(shí)和地址)通過安全通道發(fā)送給AAA服務(wù)器�����;(觸發(fā)部分)步驟4:當(dāng)MTC server需要與所屬于該MTC server的某MTC device通信時(shí)�����,MTC server向AAA服務(wù)器發(fā)起查詢�����,獲取該MTC device的狀態(tài)如在線或離線��;如果MTCdevice在線,貝U AAA服務(wù)器除了向MTC server返回所述MTC device的狀態(tài)之外,還返回MTC device的標(biāo)識(shí)(優(yōu)選地,還包括MTC device的地址)��,MTC device與MTC server建立安全通道所需的共享密鑰信息���;隨后��,MTC server向AAA服務(wù)器發(fā)送觸發(fā)信息���,該觸發(fā)信息用于觸發(fā)MTC device,包括觸發(fā)要求,MTC server的信息(包括MTC server的標(biāo)識(shí)和/或地址���,以及MTC server的證書信息)�,和MTC device的信息(包括MTC device的標(biāo)識(shí)�,優(yōu)選還包括MTC device的地址)����;步驟5 :AAA服務(wù)器向HLR/HSS發(fā)送觸發(fā)信息,觸發(fā)信息包括觸發(fā)要求�����,MTC server的信息����,和MTC device的信息��;觸發(fā)要求包括了對(duì)觸發(fā)的要求���,比如觸發(fā)定時(shí)器、觸發(fā)優(yōu)先級(jí)��、觸發(fā)緊急標(biāo)識(shí)等���。觸發(fā)定時(shí)器標(biāo)明此次觸發(fā)需要在多長時(shí)間內(nèi)完成�;觸發(fā)優(yōu)先級(jí)標(biāo)明該觸發(fā)在網(wǎng)絡(luò)中觸發(fā)優(yōu)先隊(duì)列中的位置�����;觸發(fā)緊急標(biāo)識(shí)標(biāo)明在網(wǎng)絡(luò)擁塞的情況下仍然能夠觸發(fā)該device��。步驟6 HLR/HSS收到觸發(fā)信息后���,根據(jù)觸發(fā)中的觸發(fā)要求向該MTCdevice注冊(cè)的移動(dòng)管理實(shí)體(MME或SGSN或MSC)發(fā)送觸發(fā)信息�����,該觸發(fā)信息包括MTC device的信息�,MTCserver的信息;步驟7 :移動(dòng)管理實(shí)體收到觸發(fā)信息后����,根據(jù)MTC device的信息向MTCdevice發(fā)送尋呼信息;
步驟8:MTC device收到尋呼信息后���,建立到移動(dòng)管理實(shí)體的信令連接��,移動(dòng)管理實(shí)體通過信令連接將觸發(fā)信息發(fā)送給MTC device�,該觸發(fā)信息包括MTC server的信息��;步驟9 MTC device根據(jù)該觸發(fā)信息中的MTC server的信息(標(biāo)識(shí)和/或地址�����,以及證書信息)對(duì)該MTC server進(jìn)行認(rèn)證����;步驟10 :認(rèn)證通過后����,MTC device根據(jù)觸發(fā)消息中MTC server的信息,發(fā)起建立到MTC server的IP通道(如果有默認(rèn)承載,則可以基于默認(rèn)承載建立該IP通道)����;步驟11���,MTC device和MTC server基于共享密鑰信息使用認(rèn)證和密鑰交換協(xié)議如 IKE (Internet key extrange,密鑰交換協(xié)議)進(jìn)行 MTC device 和 MTC server 的相互認(rèn)證并建立SA,形成MTC device和MTC server之間的端到端安全通道。本實(shí)施例中共享密鑰信息可以用于EAP(extended authentication protocol,擴(kuò)展認(rèn)證協(xié)議)中作為MTC device和MTC server進(jìn)行安全通信的密鑰�。基于MTC device和MTC server之間通信是安全的,MTC server作為NAS (網(wǎng)絡(luò)認(rèn)證服務(wù)器)來與AAA協(xié)商新的密鑰建立安全關(guān)聯(lián)����。實(shí)施例3如圖4所示,包括以下步驟(注冊(cè)部分)步驟I :MTC device請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)����,PLMN網(wǎng)絡(luò)中的HLR/HSS和MTC device進(jìn)行3GPP AKA之后各自生成為MTC device和MTC server建立安全通道的共享密鑰信息;
步驟 2 HLR/HSS 定位該 MTC device 的 AAA 服務(wù)器�����;HLR/HSS定位AAA服務(wù)器的方法可以是根據(jù)HLR/HSS中該MTCdevice的簽約信息或者M(jìn)TC device提供的標(biāo)識(shí)信息查詢DNS服務(wù)器來獲取AAA服務(wù)器的地址���,或者根據(jù)MTCdevice提供的MTC server標(biāo)識(shí)來查詢DNS來獲取AAA服務(wù)器的地址����。步驟3 =HSS將步驟I中生成的共享密鑰信息����、以及MTC device的信息(標(biāo)識(shí)���,或標(biāo)識(shí)和地址)通過安全通道發(fā)送給AAA服務(wù)器;(觸發(fā)部分)步驟4:當(dāng)MTC server需要與所屬于該MTC server的某MTC device通信時(shí)���,MTC server向AAA服務(wù)器發(fā)起查詢�,獲取該MTC device的狀態(tài)如在線或離線���;如果MTCdevice在線,貝U AAA服務(wù)器除了向MTC server返回所述MTC device的狀態(tài)之外,還返回MTC device的標(biāo)識(shí)(優(yōu)選地�,還包括MTC device的地址)���,MTC device與MTC server建立安全通道所需的共享密鑰信息����;隨后MTC server向AAA服務(wù)器發(fā)送觸發(fā)消息�,觸發(fā)消息包括了該MTC server的觸發(fā)要求等;步驟5 :收到觸發(fā)消息后�,AAA服務(wù)器向HLR/HSS發(fā)送觸發(fā)消息,觸發(fā)消息包括觸發(fā)要求��,根據(jù)共享密鑰信息生成的建立SA所需的信息���,該MTCserver的信息(包括MTCserver的標(biāo)識(shí)和/或地址�,以及MTC server的證書信息),MTC device的信息(包括MTCdevice的標(biāo)識(shí),優(yōu)選還包括MTC device的地址)��;步驟6 HLR/HSS收到觸發(fā)信息后��,根據(jù)觸發(fā)中的觸發(fā)要求向該MTCdevice注冊(cè)的移動(dòng)管理實(shí)體(MME或SGSN或MSC)發(fā)送觸發(fā)信息���,該觸發(fā)信息包括該MTC server的信息��,MTC device的信息����,建立SA所需的信息�����;步驟7 :移動(dòng)管理實(shí)體收到觸發(fā)信息后�,根據(jù)MTC device的信息向MTCdevice發(fā)送尋呼信息;步驟8:MTC device收到尋呼信息后���,建立到移動(dòng)管理實(shí)體的信令連接�,移動(dòng)管理 實(shí)體通過信令連接將觸發(fā)消息發(fā)送給MTC device,該觸發(fā)信息包括建立SA所需的信息和該MTC server的信息����;步驟9 :MTC device根據(jù)觸發(fā)信息中的MTC server的證書對(duì)該MTCserver進(jìn)行認(rèn)證��;步驟10 :如果認(rèn)證通過�����,MTC device發(fā)起建立到MTC server的IP通道(該通道可以建立在默認(rèn)承載之上)�����;步驟11:MTC device和MTC server各自根據(jù)建立SA所需的信息生成SA����,將該SA應(yīng)用到步驟10建立的IP通道����,形成MTC device和MTC server之間的端到端的安全通道。實(shí)施例4如圖5所示�����,包括以下步驟(注冊(cè)部分)步驟I :MTC device請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)�,PLMN網(wǎng)絡(luò)中的HLR/HSS和MTC device進(jìn)行3GPP AKA之后各自生成為MTC device和MTC server建立安全通道的共享密鑰信息;步驟2 HLR/HSS網(wǎng)絡(luò)定位該MTC device的AAA服務(wù)器;HLR/HSS定位AAA服務(wù)器的方法可以是根據(jù)HLR/HSS中該MTCdevice的簽約信息或者M(jìn)TC device提供的標(biāo)識(shí)信息來查詢DNS服務(wù)器來獲取AAA服務(wù)器的地址���,或者根據(jù)MTC device提供的MTC server標(biāo)識(shí)來查詢DNS來獲取AAA服務(wù)器的地址。步驟3 :HLR/HSS將步驟I中生成的共享密鑰信息����、以及MTC device的信息(標(biāo)識(shí),或標(biāo)識(shí)和地址)�,以及PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的IP地址通過安全通道發(fā)送給AAA服務(wù)器;該P(yáng)LMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)位于PLMN內(nèi)部邊界上��,可以是MTC互通網(wǎng)關(guān)或者是VPLMN(Virtual Public Land Mobile Network,虛擬公共陸上移動(dòng)網(wǎng))網(wǎng)關(guān)����。(觸發(fā)部分)步驟4:當(dāng)MTC server需要與所屬于該MTC server的某MTC device通信時(shí),MTC server向AAA服務(wù)器發(fā)起查詢���,獲取該MTC device的狀態(tài)如在線或離線���;如果MTCdevice在線,貝U AAA服務(wù)器除了向MTC server返回所述MTC device的狀態(tài)之外,還返回MTC device的標(biāo)識(shí)(優(yōu)選地,還包括MTC device的地址)�,MTC device與MTC server建立安全通道所需的共享密鑰信息,以及PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的IP地址�;
步驟5 MTC server基于共享密鑰等信息生成安全關(guān)聯(lián)信息,包括建立安全關(guān)聯(lián)的所需信息或者安全關(guān)聯(lián);例如MTC server利用IKE或EAP等建立安全關(guān)聯(lián)的算法生成建立安全關(guān)聯(lián)的所需信息或者安全關(guān)聯(lián)����。步驟6 MTC server建立到PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的安全通道(IP連接),并將觸發(fā)(trigger)消息通過該安全通道發(fā)送給PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)���,觸發(fā)消息包括建立安全關(guān)聯(lián)所需信息或安全關(guān)聯(lián)�����,MTC device的信息(標(biāo)識(shí)�,或標(biāo)識(shí)和地址)��,MTC server的信息(證書�,以及標(biāo)識(shí)和/或地址);步驟7 PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)將觸發(fā)消息發(fā)送給MTCdevice,該觸發(fā)消息中包括建立的安全關(guān)聯(lián)所需信息或安全關(guān)聯(lián)���,以及MTCserver的信息���;步驟8 :MTC device對(duì)MTC server進(jìn)行認(rèn)證,如果認(rèn)證通過�����,則MTCdevice基于上 述觸發(fā)消息發(fā)起建立MTC device到MTC server的IP通道,建立IP通道之后��,MTC device和MTC server分別將安全關(guān)聯(lián)所需信息或安全關(guān)聯(lián)應(yīng)用到該IP通道上�����,形成MTC device和MTC server之間的端到端安全通道�。如果MTC server獲得上述的MTC device的IP地址�,則通過該IP地址與MTCdevice建立IP通道。如果該MTC server沒有獲得上述的MTC device的IP地址�,則與MTCdevice建立新的IP通道。實(shí)施例5如圖6所示����,包括以下步驟(注冊(cè)部分)步驟I :MTC device請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò),PLMN網(wǎng)絡(luò)中的HLR/HSS和MTC device進(jìn)行3GPP AKA之后各自生成為MTC device和MTC server建立安全通道的共享密鑰信息����;步驟2 HLR/HSS 定位該 MTC device 的 AAA 服務(wù)器;PLMN網(wǎng)絡(luò)定位AAA服務(wù)器的方法可以是根據(jù)HLR/HSS中該MTCdevice的簽約信息或者M(jìn)TC device提供的標(biāo)識(shí)信息來查詢DNS服務(wù)器來獲取AAA服務(wù)器的地址�����,或者根據(jù)MTC device提供的MTC server網(wǎng)絡(luò)標(biāo)識(shí)來查詢DNS來獲取AAA服務(wù)器的地址�����。步驟3 =HSS將步驟I中生成的共享密鑰信息、MTC device的信息(包括標(biāo)識(shí)����,或標(biāo)識(shí)和IP地址),以及PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的IP地址通過安全通道發(fā)送給AAA服務(wù)器�;(觸發(fā)部分)步驟4:當(dāng)MTC server需要與所屬于該MTC server的某MTC device通信時(shí),MTCserver向AAA服務(wù)器發(fā)起查詢,獲取該MTC device的狀態(tài),AAA服務(wù)器向MTC server返回MTC device的狀態(tài),MTC device的標(biāo)識(shí)(優(yōu)選地,還包括MTC device的地址)、MTC device的與MTC server建立安全通道所需的共享密鑰信息�����,以及PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的IP地址�;步驟5:MTC server建立到PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)的安全通道,并通過安全通道向該網(wǎng)關(guān)發(fā)送觸發(fā)信息(trigger信息),該觸發(fā)信息包括MTC device的信息�����,MTC server 的信息����;步驟6 :PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)發(fā)起建立MTC device到MTC server的IP連接;具體地���,網(wǎng)關(guān)通過信令面通道指示MTC device來建立與MTC server的IP連接��。該步驟中如果MTC server獲得上述MTC device的IP地址�����,則PLMN網(wǎng)絡(luò)與MTCserver之間的網(wǎng)關(guān)可以基于該MTC device的IP地址發(fā)起建立IP連接��。如果該MTC server沒有獲得上述的MTC device的IP地址�����,則PLMN網(wǎng)絡(luò)與MTC server之間的網(wǎng)關(guān)可以基于MTC device 的 ID 觸發(fā) MTC device 建立到 MTC server 的 IP 連接��。步驟7 MTC device和MTC server基于共享密鑰信息使用IKE方法建立安全關(guān)聯(lián)(SA),形成MTC device和MTC server之間的端到端的安全通道����?��;蛘?����,MTCdevice 和 MTC server 基于共享密鑰����,在 MTC device、MTCserver 和 AAA服務(wù)器上使用ESP方法建立安全關(guān)聯(lián)SA����,基于該SA建立端到端的安全通道。
在上述實(shí)施例中����,安全關(guān)聯(lián)也可以基于AAA服務(wù)器內(nèi)的安全信息而建立,在MTCdevice中包括了與AAA服務(wù)器進(jìn)行安全關(guān)聯(lián)協(xié)商(比如IKE��,ESP)的能力��,或者包括基于非協(xié)商機(jī)制比如Push的安全關(guān)聯(lián)建立機(jī)制��。在MTC device和MTC server之間建立端到端安全通道的技術(shù)包括網(wǎng)絡(luò)層的IPsec (Internet Protocol Security,因特網(wǎng)協(xié)議安全性)技術(shù)�,通過IPsec技術(shù)建立的安全通道在網(wǎng)絡(luò)層保護(hù)MTC device和MTC server之間的通信,使MTC的所有通信都得到有效的安全防護(hù)����。除了 IPsec技術(shù)之外,MTC device和MTC server之間建立端到端安全通道的技術(shù)還可以采用傳輸層的技術(shù)如TLS(transport layer security,傳輸層安全協(xié)議)
坐寸ο另外��,上述MTC server所表示的端角色也可以是MTC application (MTC應(yīng)用程序)�����,MTC server,MTC application統(tǒng)稱為MTC終端的應(yīng)用對(duì)端。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成�����,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�����,如只讀存儲(chǔ)器����、磁盤或光盤等?�?蛇x地��,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)�����。相應(yīng)地�����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)���,也可以采用軟件功能模塊的形式實(shí)現(xiàn)��。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合����。當(dāng)然����,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種建立安全通道的方法�,用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道,所述方法包括 MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中���,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�����; 當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該應(yīng)用對(duì)端的某MTC終端通信時(shí)����,所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�,所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián),形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�����。
2.如權(quán)利要求I所述的方法�,其特征在于 MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�,包括 所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò),PLMN網(wǎng)絡(luò)中的歸屬位置寄存器或歸屬用戶服務(wù)器(HLR/HSS)����,與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商之后,所述HLR/HSS和MTC終端分別生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�����。
3.如權(quán)利要求2所述的方法���,其特征在于 所述HLR/HSS生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息后����,所述方法還包括 所述HLR/HSS定位所述MTC終端的認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器��,并將生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器���。
4.如權(quán)利要求3所述的方法���,其特征在于 所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道����,包括 所述應(yīng)用對(duì)端查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息,通過AAA服務(wù)器�����、HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送觸發(fā)消息����;所述移動(dòng)管理實(shí)體接收到所述觸發(fā)消息后,尋呼所述MTC終端���;所述MTC終端根據(jù)尋呼建立到所述移動(dòng)管理實(shí)體的信令連接��,獲取所述應(yīng)用對(duì)端的信息�,基于所述應(yīng)用對(duì)端的信息,發(fā)起建立到所述應(yīng)用對(duì)端的IP通道���。
5.如權(quán)利要求4所述的方法��,其特征在于 所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián)���,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道,包括 所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息進(jìn)行相互認(rèn)證�,建立安全關(guān)聯(lián),完成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道的建立����。
6.如權(quán)利要求3所述的方法,其特征在于 所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息��,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道�,包括 所述應(yīng)用對(duì)端查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)、所述共享密鑰信息�����,以及�����,PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址��; 所述應(yīng)用對(duì)端建立到所述網(wǎng)關(guān)的安全通道����,向所述網(wǎng)關(guān)發(fā)送觸發(fā)消息,觸發(fā)所述網(wǎng)關(guān)發(fā)起建立所述應(yīng)用對(duì)端到所述MTC終端的IP通道����。
7.如權(quán)利要求6所述的方法,其特征在于 所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián)�,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道,包括 所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián)�,完成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道的建立。
8.一種建立安全通道的方法�����,用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道����,所述方法包括 MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中�,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�; 當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該MTC應(yīng)用對(duì)端的某MTC終端通信時(shí),所述應(yīng)用對(duì)端通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)�,所述MTC終端接收到的觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息,所述MTC終端根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道����; 所述應(yīng)用對(duì)端和所述MTC終端各自根據(jù)所述安全關(guān)聯(lián)信息建立安全關(guān)聯(lián),將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道��,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道��。
9.如權(quán)利要求8所述的方法����,其特征在于 MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息��,包括 所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)����,PLMN網(wǎng)絡(luò)中的歸屬位置寄存器或歸屬用戶服務(wù)器(HLR/HSS),與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商之后�,所述HLR/HSS和MTC終端分別生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息。
10.如權(quán)利要求9所述的方法�����,其特征在于 所述HLR/HSS生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息后,所述方法還包括 所述HLR/HSS定位所述MTC終端的認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器��,并將生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器�����。
11.如權(quán)利要求10所述的方法���,其特征在于 所述應(yīng)用對(duì)端通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā),包括 所述應(yīng)用對(duì)端查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息��,向所述AAA服務(wù)器發(fā)起觸發(fā)��,所述AAA通過HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送包含安全關(guān)聯(lián)信息的觸發(fā)消息��,所述安全關(guān)聯(lián)信息包括根據(jù)共享密鑰信息生成的建立安全關(guān)聯(lián)所需的信息���;所述移動(dòng)管理實(shí)體接收到所述觸發(fā)消息后�,尋呼所述MTC終端�;所述MTC終端根據(jù)尋呼建立到所述移動(dòng)管理實(shí)體的信令連接,獲取所述應(yīng)用對(duì)端的信息以及建立安全關(guān)聯(lián)所需的信息�����。
12.如權(quán)利要求10所述的方法,其特征在于 所述應(yīng)用對(duì)端通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)����,包括 所述應(yīng)用對(duì)端查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)、所述共享密鑰信息�,以及PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址;所述應(yīng)用對(duì)端根據(jù)所述共享密鑰信息生成安全關(guān)聯(lián)信息��,所述安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián)�;所述應(yīng)用對(duì)端建立到所述網(wǎng)關(guān)的安全通道,通過該網(wǎng)關(guān)向所述MTC終端發(fā)起觸發(fā)消息��,所述觸發(fā)消息中包括安全關(guān)聯(lián)信息�����。
13.如權(quán)利要求11或12所述的方法����,其特征在于 所述觸發(fā)消息中還包括所述應(yīng)用對(duì)端的認(rèn)證信息,所述終端在發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道之前���,先根據(jù)所述認(rèn)證信息對(duì)所述應(yīng)用對(duì)端進(jìn)行認(rèn)證����。
14.一種建立安全通道的機(jī)器類通信(MTC)終端,用于在所述終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述終端包括密鑰生成模塊和安全通道建立模塊�����,其中 所述密鑰生成模塊,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中��,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�; 所述安全通道建立模塊,用于根據(jù)所述應(yīng)用對(duì)端發(fā)起的觸發(fā)消息建立本MTC終端到所述應(yīng)用對(duì)端的IP通道����,以及基于所述共享密鑰信息建立安全關(guān)聯(lián)。
15.如權(quán)利要求14所述的MTC終端����,其特征在于 所述安全通道建立模塊是用于采用以下方式根據(jù)所述應(yīng)用對(duì)端發(fā)起的觸發(fā)消息建立本MTC終端到所述應(yīng)用對(duì)端的IP通道,包括 接受移動(dòng)管理實(shí)體的尋呼����,建立到所述移動(dòng)管理實(shí)體的信令連接���,獲取所述應(yīng)用對(duì)端的信息,基于所述應(yīng)用對(duì)端的信息����,發(fā)起建立到所述應(yīng)用對(duì)端的IP通道;或者 根據(jù)PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)發(fā)起的建立IP通道的消息����,建立到所述應(yīng)用對(duì)端的IP通道。
16.如權(quán)利要求14或15所述的MTC終端�����,其特征在于 所述安全通道建立模塊�,還用于在建立安全關(guān)聯(lián)之前基于所述共享密鑰信息對(duì)所述應(yīng)用對(duì)端進(jìn)行認(rèn)證。
17.一種建立安全通道的系統(tǒng)��,用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述系統(tǒng)包括如權(quán)利要求14-16中任一權(quán)利要求所述的MTC終端��,以及所述MTC終端的應(yīng)用對(duì)端��,所述應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊�,其中 所述觸發(fā)模塊,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí)���,發(fā)起觸發(fā)消息���,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道; 所述安全通道模塊�,用于基于共享密鑰信息建立安全關(guān)聯(lián),形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道�。
18.如權(quán)利要求17所述的系統(tǒng),其特征在于 所述系統(tǒng)還包括歸屬位置寄存器或歸屬用戶服務(wù)器(HLR/HSS)���,其包括密鑰生成模塊、定位模塊和發(fā)送模塊�,其中 所述密鑰生成模塊,用于在所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)的過程中�����,與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商��,生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息���; 所述定位模塊����,用于定位所述MTC終端的認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器; 所述發(fā)送模塊��,用于將所述密鑰生成模塊生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器�。
19.如權(quán)利要求18所述的系統(tǒng),其特征在于 所述應(yīng)用對(duì)端還包括第一查詢模塊��,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息���; 所述觸發(fā)模塊是用于采用以下方式發(fā)起觸發(fā)消息通過AAA服務(wù)器����、HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送觸發(fā)消息���,使所述移動(dòng)管理實(shí)體尋呼所述MTC終端���。
20.如權(quán)利要求19所述的系統(tǒng),其特征在于 所述安全通道模塊���,還用于在建立安全關(guān)聯(lián)之前�����,基于所述共享密鑰信息對(duì)所述MTC終端進(jìn)行認(rèn)證���。
21.如權(quán)利要求18所述的系統(tǒng)�����,其特征在于 所述應(yīng)用對(duì)端還包括第二查詢模塊����,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)��、所述共享密鑰信息�����,以及PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址�����; 所述觸發(fā)模塊是用于采用以下方式發(fā)起觸發(fā)消息建立本應(yīng)用對(duì)端到所述網(wǎng)關(guān)的安全通道���,向所述網(wǎng)關(guān)發(fā)送觸發(fā)消息,觸發(fā)所述網(wǎng)關(guān)發(fā)起建立所述應(yīng)用對(duì)端到所述MTC終端的IP通道。
22.一種建立安全通道的機(jī)器類通信(MTC)終端����,用于在所述終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道,所述終端包括密鑰生成模塊�、IP通道建立模塊和安全關(guān)聯(lián)建立模塊,其中 所述密鑰生成模塊���,用于在MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中��,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�����; 所述IP通道建立模塊�����,接收觸發(fā)消息���,所述觸發(fā)消息中包括根據(jù)共享密鑰信息生成的安全關(guān)聯(lián)信息,根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道����; 所述安全關(guān)聯(lián)建立模塊��,用于根據(jù)所述觸發(fā)消息中的安全關(guān)聯(lián)信息建立安全關(guān)聯(lián)�,將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道�����。
23.如權(quán)利要求22所述的MTC終端�����,其特征在于 所述觸發(fā)模塊是用于采用以下方式根據(jù)所述觸發(fā)消息發(fā)起建立本MTC終端到所述應(yīng)用對(duì)端的IP通道 接受移動(dòng)管理實(shí)體的尋呼�����,建立到所述移動(dòng)管理實(shí)體的信令連接��,獲取所述應(yīng)用對(duì)端的信息以及建立安全關(guān)聯(lián)所需的信息�,基于獲取的信息發(fā)起建立到所述應(yīng)用對(duì)端的IP通道;或者 接收PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)發(fā)送的包括安全關(guān)聯(lián)信息的觸發(fā)消息����,所述安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián),基于獲取的信息發(fā)起建立到所述應(yīng)用對(duì)端的IP通道�����。
24.如權(quán)利要求22或23所述的MTC終端���,其特征在于 所述安全關(guān)聯(lián)建立模塊�����,還用于在建立IP通道之前��,先根據(jù)所述應(yīng)用對(duì)端的認(rèn)證信息對(duì)所述應(yīng)用對(duì)端進(jìn)行認(rèn)證���。
25.一種建立安全通道的系統(tǒng),用于在機(jī)器類通信(MTC)終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,所述系統(tǒng)包括如權(quán)利要求22-24中任一權(quán)利要求所述的MTC終端�����,以及所述MTC終端的應(yīng)用對(duì)端���,所述應(yīng)用對(duì)端包括觸發(fā)模塊和安全通道模塊,其中 所述觸發(fā)模塊�,用于當(dāng)本應(yīng)用對(duì)端需要與所屬于本應(yīng)用對(duì)端的某MTC終端通信時(shí),通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)��,建立本應(yīng)用對(duì)端到所述MTC終端的IP通道; 所述安全通道模塊�,用于根據(jù)安全關(guān)聯(lián)信息建立安全關(guān)聯(lián),將所述安全關(guān)聯(lián)應(yīng)用到所述IP通道����,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道。
26.如權(quán)利要求25所述的系統(tǒng)��,其特征在于 所述系統(tǒng)還包括歸屬位置寄存器或歸屬用戶服務(wù)器(HLR/HSS)�����,其包括密鑰生成模塊�����、定位模塊和發(fā)送模塊��,其中 所述密鑰生成模塊�����,用于在所述MTC終端請(qǐng)求注冊(cè)到PLMN網(wǎng)絡(luò)的過程中�,與所述MTC終端進(jìn)行認(rèn)證和密鑰協(xié)商,生成為MTC終端和MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�; 所述定位模塊�,用于定位所述MTC終端的認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器���; 所述發(fā)送模塊,用于將所述密鑰生成模塊生成的所述共享密鑰信息通過安全通道發(fā)送給所述AAA服務(wù)器����。
27.如權(quán)利要求26所述的系統(tǒng),其特征在于 所述應(yīng)用對(duì)端還包括第一查詢模塊����,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)和所述共享密鑰信息; 所述觸發(fā)模塊是用于采用以下方式通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)向所述AAA服務(wù)器發(fā)起觸發(fā)���,由所述AAA服務(wù)器通過HLR/HSS向所述MTC終端的移動(dòng)管理實(shí)體發(fā)送包含安全關(guān)聯(lián)信息的觸發(fā)消息��,使所述移動(dòng)管理實(shí)體尋呼所述MTC終端��,所述安全關(guān)聯(lián)信息包括根據(jù)共享密鑰信息生成的建立安全關(guān)聯(lián)所需的信息�����。
28.如權(quán)利要求26所述的系統(tǒng)���,其特征在于 所述應(yīng)用對(duì)端還包括第二查詢模塊�,其用于查詢所述AAA服務(wù)器獲得所述MTC終端的標(biāo)識(shí)���、所述共享密鑰信息����,以及PLMN網(wǎng)絡(luò)與該應(yīng)用對(duì)端之間的網(wǎng)關(guān)的IP地址�����; 所述觸發(fā)模塊是用于采用以下方式通過核心網(wǎng)網(wǎng)元發(fā)起觸發(fā)所述應(yīng)用對(duì)端根據(jù)所述共享密鑰信息生成安全關(guān)聯(lián)信息���,所述安全關(guān)聯(lián)信息包括建立安全關(guān)聯(lián)所需信息或者安全關(guān)聯(lián)�;建立到所述網(wǎng)關(guān)的安全通道���,通過該網(wǎng)關(guān)向所述MTC終端發(fā)起觸發(fā)消息�����,所述觸發(fā)消息中包括安全關(guān)聯(lián)信息�����。
全文摘要
本發(fā)明公開了一種建立安全通道的方法及相應(yīng)終端和系統(tǒng)�,保證MTC終端與MTC終端的應(yīng)用對(duì)端通信時(shí)的安全性。所述方法用于在MTC終端與MTC終端的應(yīng)用對(duì)端之間建立安全通道���,包括MTC終端注冊(cè)到PLMN網(wǎng)絡(luò)的過程中����,生成與MTC終端的應(yīng)用對(duì)端建立安全通道所需的共享密鑰信息�;當(dāng)所述MTC終端的應(yīng)用對(duì)端需要與所屬于該應(yīng)用對(duì)端的某MTC終端通信時(shí)�����,所述應(yīng)用對(duì)端發(fā)起觸發(fā)消息�,通過所述觸發(fā)消息觸發(fā)建立本MTC終端到所述應(yīng)用對(duì)端的IP通道,所述MTC終端和應(yīng)用對(duì)端基于所述共享密鑰信息建立安全關(guān)聯(lián)����,形成所述MTC終端到所述應(yīng)用對(duì)端的端到端的安全通道。采用上述方法保證MTC終端和MTC終端應(yīng)用對(duì)端之間通信的安全�。
文檔編號(hào)H04W8/04GK102868996SQ20111018688
公開日2013年1月9日 申請(qǐng)日期2011年7月5日 優(yōu)先權(quán)日2011年7月5日
發(fā)明者王堅(jiān), 吳傳喜, 尚國強(qiáng), 馬景旺 申請(qǐng)人:中興通訊股份有限公司