專利名稱:生成組密鑰的方法和相關設備的制作方法
技術領域:
本發(fā)明涉及通信領域,并且更具體地,涉及通信領域中生成組密鑰的方法和相關設備��。
背景技術:
機器對機器(Machine to Machine,M2M)技術是無線通信和信息技術的整合,是指機器和機器之間可以直接進行通信而無需人工干預。M2M應用種類豐富�,包括自動儀表、遠程監(jiān)控��、工業(yè)安全與艦艇自動化�����、支付系統(tǒng)以及車輛遠程控制等��。M2M存在三種方式�����,包括機器對機器��、機器對移動電話和移動電話對機器���。在M2M中�����,M2M設備可以通過遠距離連接技術和近距離連接技術接入網絡����,涉及的遠距離連接技術包括全球移動通信系統(tǒng)(Global System for Mobile communications, GSM)�、通用分組無線業(yè)務(General Packet Radio Service, GPRS)、通用移動通信系統(tǒng)(UniversalMobile Telecommunications System, UMTS)等無線接入類型技術��。近距離連接技術包括 802.llb/g���、藍牙(Blue Tooth)���、紫蜂(Zigbee)、無線射頻識別技術(Radio FrequencyIdentification, RFID)和超寬帶(Ultra Wideband, UffB)技術等���。當然�,不排除還有其他技術可以用于支撐M2M通信���。M2M通信也可以被稱為機器類通信(Machine TypeCommunication, MTC)����,M2M設備也可以被稱為MTC設備。在現(xiàn)有技術中����,基站對同一組MTC設備構建公共的物理層、無線鏈路控制(RadioLink Control, RLC)層�����、分組數(shù)據(jù)匯聚協(xié)議(Packet Data Convergence Protocol, PDCP)層和媒體接入控制(Media Access Control, MAC)層����。當為同一組MTC設備建立公共承載之后,每個MTC設備都有各自單獨的密鑰���,各MTC設備的密鑰互不相同��,在基站和MTC設備之間交互的PDU單元需要攜帶MTC設備標識以根據(jù)該標識來尋找對應的密鑰��。因此�����,在基站處����,需要為同一組內的每個MTC設備維護它們各自的密鑰�����,這增加了基站操作的復雜性����,使基站需要維護和管理的密鑰過多,影響基站性能��。
發(fā)明內容
本發(fā)明提供了生成組密鑰的方法和相關設備�����,以提高基站性能�����。一方面���,本發(fā)明提供了一種生成組密鑰的方法���,包括:從移動性管理實體MME接收機器類通信MTC設備所在組的組ID�,和與安全密鑰相關的組通信根密鑰�,所述安全密鑰與所述組ID相對應;或者�,從MME接收MTC設備支持業(yè)務的業(yè)務ID,和與安全密鑰相關的業(yè)務根密鑰�,所述安全密鑰與所述業(yè)務ID對應,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID�����,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰�����;根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�;向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�。另一方面,本發(fā)明提供了一種生成組密鑰的方法���,包括:接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ��;向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID���,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰;從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰�����;向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務ID和所述業(yè)務根密鑰����,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID����、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰��,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰����。再一方面,本發(fā)明提供了一種生成組密鑰的方法��,包括:從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID;根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰��;向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰��,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務ID和所述業(yè)務根密鑰���,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID��、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)���,使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰。又一方面����,本發(fā)明提供了一種生成組密鑰的方法,包括:向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID�,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰�,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰����,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰��,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�����;從所述基站接收用于生成所述組密鑰的生成參數(shù);根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰���。又一方面��,本發(fā)明提供了一種基站��,包括:接收模塊�,用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID��,和與安全密鑰相關的組通信根密鑰�,所述安全密鑰與所述組ID相對應;或者�,從MME接收MTC設備支持業(yè)務的業(yè)務ID,和與安全密鑰相關的業(yè)務根密鑰���,所述安全密鑰與所述業(yè)務ID對應���,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰��;生成模塊�,用于根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰��;第一發(fā)送模塊����,用于向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)��,以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰��。又一方面����,本發(fā)明提供了一種移動性管理實體,包括:第一接收模塊��,用于接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID �����;第一發(fā)送模塊��,用于向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID����,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰�����,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰;第二接收模塊���,用于從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰����;第二發(fā)送模塊�����,用于向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID�、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰��,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰���。又一方面����,本發(fā)明提供了一種歸屬用戶系統(tǒng)���,包括:接收模塊���,用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ;第一生成模塊,用于根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰��;第一發(fā)送模塊��,用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�����,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰���、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)�����,使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰��。又一方面����,本發(fā)明提供了一種機器類通信設備,包括:發(fā)送模塊���,用于向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID��,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID�,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰����,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務ID和所述業(yè)務根密鑰����,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID��、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�;第一接收模塊,用于從所述基站接收用于生成所述組密鑰的生成參數(shù)����;生成模塊,用于根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰���。
根據(jù)上述技術方案����,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰���,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰����,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備����,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰。從而�,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰�,這樣,可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能���。
為了更清楚地說明本發(fā)明實施例的技術方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領域技術人員來講����,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是根據(jù)本發(fā)明實施例的生成組密鑰的方法的流程圖����。圖2是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第一例子的流程圖。圖3是在第一例子中生成組認證參數(shù)的例子的示意圖��。圖4是在第一例子中MTC設備和MME (Mobility Management Entity,移動性管理實體)進行認證的流程圖����。圖5是在第一例子中當MTC設備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖。圖6是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第二例子的流程圖���。圖7是在第二例子中生成組認證參數(shù)的例子的示意圖��。圖8是在第二例子中生成組認證參數(shù)的另一例子的示意圖����。圖9是在第二例子中MTC設備和MME進行認證的流程圖���。圖10是在第二例子中當MTC設備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖��。圖11是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第三例子的流程圖���。圖12是在第三例子中當MTC設備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖。圖13是根據(jù)本發(fā)明實施例的生成組密鑰的另一方法的流程圖��。圖14是根據(jù)本發(fā)明實施例的生成組密鑰的再一方法的流程圖��。圖15是根據(jù)本發(fā)明實施例的生成組密鑰的又一方法的流程圖��。圖16是根據(jù)本發(fā)明實施例的基站的結構框圖�。圖17是根據(jù)本發(fā)明實施例的另一基站的結構框圖。圖18是根據(jù)本發(fā)明實施例的移動性管理實體的結構框圖�����。圖19是根據(jù)本發(fā)明實施例的另一移動性管理實體的結構框圖。圖20是根據(jù)本發(fā)明實施例的歸屬用戶系統(tǒng)的結構框圖����。圖21是根據(jù)本發(fā)明實施例的另一歸屬用戶系統(tǒng)的結構框圖。圖22是根據(jù)本發(fā)明實施例的機器類通信設備的結構框圖�。圖23是根據(jù)本發(fā)明實施例的另一機器類通信設備的結構框圖。
具體實施例方式下面將結合本發(fā)明實施例中的附圖����,對本發(fā)明實施例的技術方案進行清楚、完整地描述��,顯然�����,所描述的實施例是本發(fā)明的一部分實施例�����,而不是全部實施例���?����;诒景l(fā)明中的所述實施例����,本領域技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都應屬于本發(fā)明保護的范圍����。首先���,結合圖1��,描述根據(jù)本發(fā)明實施例的生成組密鑰的方法100����。如圖1所示����,方法100包括:在SllO中,從移動性管理實體MME接收機器類通信MTC設備所在組的組ID��,和與安全密鑰相關的組通信根密鑰���,所述安全密鑰與所述組ID相對應��;或者��,從MME接收MTC設備支持業(yè)務的業(yè)務ID����,和與安全密鑰相關的業(yè)務根密鑰,所述安全密鑰與所述業(yè)務ID對應��,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID�����,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰����;在S120中,根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�;在S130中,向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)����,以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰。例如�,方法100可以由基站執(zhí)行。網絡側通過利用HSS (Home Subscriber System,歸屬用戶系統(tǒng))中保存的與組ID或業(yè)務ID對應的安全密鑰可以生成組密鑰,再通過將生成組密鑰所需的參數(shù)中MTC設備不知道的參數(shù)發(fā)送給MTC設備��,使得MTC設備也可以生成與網絡側的組密鑰相同的組密鑰����,這樣可以保證設備側和網絡側的組密鑰相一致,從而正常進行組通信����。同時,由于一個組共用相同的組密鑰��,使得在基站中只需要為同一個組保持相同組密鑰�����,這樣����,可以降低基站操作的復雜性�,減少基站維護和管理的密鑰數(shù),提高基站性能��。下面����,結合具體的例子來描述方法100的操作���。在本發(fā)明的包括第一例子、第二例子和第三例子的如下實施例中��,帶有“Group”字樣的參數(shù)表示與一個組相關的參數(shù)�����,一個組的參數(shù)“XXX_Group”可以具有與一個MTC設備的參數(shù)“XXX”類似的用法和作用��。例如���,AV_Group可以具有與認證向量(AuthenticationVector, AV)相似的生成方式和表現(xiàn)形式,不同之處在于AV_Group是針對一個組的,而不是針對一個特定MTC設備的�。第一例子在第一例子中���,組ID可以預置在MTC設備中�;也可以設置在USM(UniversalSubscriber Identity Module,全球用戶識別模塊)中���,當將USIM插入MTC設備時,USIM成為MTC設備的一部分���,從而確定MTC設備所在的組����。組通信根密鑰是如下描述中的KeNB_Group,它等于HSS生成的Kasme_Group�。KeNB_Group具有與KeNB類似的功能,區(qū)別在于KeNB_Group是針對一個組的���,而KeNB是針對一個MTC設備的����,通過KeNB_Group可以衍生出其它的密鑰���。向MTC設備發(fā)送的生成參數(shù)可以是生成KeNB_Group所需的參數(shù)�����,該參數(shù)可以是一些認證參數(shù)���,從而可以在認證過程中向MTC設備發(fā)送����。這樣,可以避免單獨為MTC設備發(fā)送生成參數(shù)造成的開銷���,并可以提高認證參數(shù)的使用效率�����。在圖2所示的第一例子中����,插入MTC設備的US頂中保存有MTC設備所屬組的組信息Group ID (組ID)以及與該Group ID對應的安全密鑰K_Group。當然,本領域技術人員也可以想到�����,Group ID以及與Group ID對應的安全密鑰也可以直接保存在MTC設備中��。另夕卜�,在MTC設備所屬的HSS中同樣保存有與Group ID對應的K_Group。在S210中��,MTC設備向MME發(fā)送附著請求����,請求中包括MTC設備的MSI和MTC設備所屬組的Group ID0當MME收到MTC設備發(fā)送的附著請求之后,MME確定是否保存有與Group ID綁定的 AV_Group ο當MME確定還沒有保存有與Group ID相綁定的AV_Group時��,在S260之前執(zhí)行如下操作:在S220中����,MME向HSS發(fā)送認證數(shù)據(jù)請求���,在認證數(shù)據(jù)請求中包括MSI和GroupID ;在S230中�,HSS根據(jù)MSI找到對應的K,根據(jù)K生成AV����,并且HSS根據(jù)Group ID找到對應的K_Group,并根據(jù)K_Group生成AV_Group ;在S240中�����,HSS將AV和AV_Group通過認證數(shù)據(jù)響應發(fā)送給MME ���;在S250 中��,MME 將 Group ID 和 AV_Group 綁定并存儲���。根據(jù)K_Group生成AV_Group的方式如圖3所示,這里圖3只是一個例子而并不對根據(jù)K_Group生成AV_Group的方式進行限制��。在圖3中����,HSS參考生成AV的方式來生成針對Group ID的AV_Group�����。其中涉及的置位符AMF���、函數(shù)Fl至F5與現(xiàn)有技術的含義相同,不同之處在于其他輸入參數(shù)以及產生的參數(shù)都是針對一個組的而不是針對一個MTC設備的���。HSS生成針對Group ID的序列號SQN_Group,并生成針對Group ID的隨機數(shù)RAND_Group ο 將 K_Group���、SQN_Group、RAND_Group 和 AMF 如圖所不輸入各函數(shù)中�,生成 MAC_Group、XRES_Group�、CK_Group、IK_Group 和 AK_Group���。接著���,可以利用如下方式生成 AUTN_Group和 Kasme_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC—Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)其中,KDF密鑰生成函數(shù)�����,可以具有與現(xiàn)有技術相同的計算方式,與下文中的KDF函數(shù)一樣��,對其形式不做限定�����;十代表異或計算��;11代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量���。生成AUTN_Group 和 Kasme_Group 之后�����,可以得到 AV_Group:AV_Group = RAND_Group I IXRES_Group| |Kasme_Group| |AUTN_Group返回圖2��,當MME確定保存有與Group ID相綁定的AV_Group時�����,在S260之前執(zhí)行如下操作:在S220中����,MME向HSS發(fā)送認證數(shù)據(jù)請求�����,在認證數(shù)據(jù)請求中包括MSI �����;在S230中�����,HSS根據(jù)MSI找到對應的K��,根據(jù)K生成AV ���;在S240中�����,HSS將AV發(fā)送給MME�。此時��,不需要執(zhí)行S250。繼續(xù)圖2中的流程����。 在S260中,MME和MTC設備利用AV和AV_Group進行認證�。認證過程如圖4所示。
在S410中��,MME向MTC設備發(fā)送用戶認證請求��,在該請求中除了如現(xiàn)有技術那樣攜帶RAND�����、AUTH�����、KSIasme來對MTC設備本身進行認證之外��,還需要采用本發(fā)明實施例的方式攜帶 RAND Group>AUTH Group>KSIasmr Group 來對 MTC 設備屬于 Group ID 進行組認證����。RAND_Group、AUTH_Group�����、KSIASME_Group的含義和用法可以與狀冊、么譏!1�����、1 14,相同��,除了 AND_Group����、AUTH_Group�、KSIASME_Group 是針對一個組而言的參數(shù),而 RAND�����、AUTH����、KSIasme 是針對一個MTC設備而言的。在S420中����,當認證成功時,MTC設備向MME返回用戶認證響應,在該響應中除了如現(xiàn)有技術那些攜帶RES來對設備認證進行響應之外���,還需要采用本發(fā)明實施例的方式攜帶RES_Group來對組認證進行響應�。另外����,如果認證失敗,則MTC設備需要如現(xiàn)有技術那樣向MME發(fā)送用戶認證拒絕消息����,在該消息中攜帶用于表示認證失敗原因的CAUSE參數(shù)。返回圖2并繼續(xù)圖2的流程��。在S270中��,如果認證成功��,則MME和MTC設備可以根據(jù) AV_Group 計算出 KeNB_Group,在該實施例中將 Kasme_Group 作為 KeNB_Group��。KeNB_Group是接入層的組通信根密鑰���,通過KeNB_Gr0Up可以生成其他的接入層組密鑰�����。雖然在圖2所示的第一例子中�,MTC設備在S270處與MME并發(fā)生成KeNB和KeNB_Group,但是MTC設備也可以在S260之后�、S292之前的任意時刻生成KeNB和KeNB_Group。在S280 中��,MME 將 Group ID����、KeNB 和 KeNB_Group 發(fā)送給 eNB����。在S290中,eNB根據(jù)MTC設備的安全能力選擇完整性算法和加密算法�����。如果eNB上沒有建立有與Group ID相關的綁定���,則eNB根據(jù)MTC設備的組安全能力選擇用于生成組密鑰的組算法��,可以包括組完整性算法和組加密算法��。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術中針對MTC設備選擇完整性算法和加密算法相似�,組完整性算法和組加密算法也可以分別與現(xiàn)有技術中的完整性算法和加密算法相似,不同之處在于組完整性算法和組加密算法是針對一個組的算法�����,而完整性算法和加密算法是針對一個MTC設備的算法����。當eNB第一次為一個 組ID生成對應的組密鑰而建立組ID的綁定關系時,eNB將密鑰更新次數(shù)Key Count置為0�,該參數(shù)可以用于對組密鑰進行推衍更新。當TOCP計數(shù)器(PDCP Count)值達到最大值時���,可以將Key Count值加I�。PDCP Count值達到最大值�,可以是指F1DCP Count中的超巾貞號(Hyper Frame Number, HFN)部分達到最大值,也就是每當HFN達到閾值時,Key Count加一����。這樣,當屬于組ID的其它MTC設備第一次加入組ID對應的組通信時����,向該其它MTC設備發(fā)送用于生成組密鑰的生成參數(shù)和更新組密鑰所需的密鑰更新次數(shù)Key Count,以使該其它MTC設備根據(jù)生成參數(shù)、密鑰更新次數(shù)和安全密鑰生成組密鑰��。之后,eNB可以建立Group ID與組完整性算法�、組加密算法、Key Count的綁定關系�����,并計算MTC設備的接入層密鑰和MTC設備所屬組的接入層組密鑰����,再將接入層組密鑰和KeNB_Group也與Group ID綁定起來。MTC設備的接入層密鑰的計算方式與現(xiàn)有技術相同�����,而計算接入層組密鑰可以采用如下所述的方式�。接入層組密鑰可以包括接入層組加密密鑰Key_Groupenc和接入層組完整性密鑰Key_Groupint����。 Key_Groupenc = KDF(KeNB_Group,Group-enc_alg、Alg-1D),Key_Groupint=KDF (KeNB_Group, Group-1nt-alg, Alg-1D)��。其中�,KDF 是密鑰生成函數(shù),Group-enc-alg代表當前計算采用的是組加密算法��、Alg-1D是算法標識,Group-1nt-alg代表當前計算采用的是組完整性算法��。如果eNB上已經建立有Group ID相關的綁定�����,則eNB不需要執(zhí)行選擇組算法和計算組密鑰的步驟���。如果eNB上已經建立有Group ID相關的綁定��、并且Group ID綁定的KeyCount不為0���,則在下面描述的S291中還需要發(fā)送Key Count值。這里�����,雖然在第一例子中由eNB根據(jù)MTC設備的組安全能力選擇組完整性算法和組加密算法����,但是在其他實施例中,組完整性算法和組加密算法也可以被預先配置在eNB和MTC設備中�����,這樣不需要eNB選擇相應算法。在S291中��,eNB向MTC設備發(fā)送接入層安全模式命令(Access Stratum SecurityMode Command, AS SMC)���,協(xié)商選擇的完整性算法�、加密算法��、組完整性算法��、組加密算法���。 在S292中��,MTC設備根據(jù)協(xié)商的算法中的完整性算法和加密算法�����,可以計算出MTC設備的接入層密鑰。MTC設備根據(jù)協(xié)商的算法中的組完整性算法和組加密算法�����,并結合在S260中從AV_Group中獲取的KeNB_Group,可以計算出所屬組的組密鑰Key_Groupenc和Key—Groupint0如果Key Count不等于0���,則eNB可以根據(jù)Key Count來對組密鑰進行更新��。更新組密鑰的方式可以是首先根據(jù)Key Count推衍新的KeNB_Group���,然后利用推衍后的KeNB_Group計算出新的組密鑰��。例如��,可以利用如下表達式來推衍新的KeNB_Group�。用KeNI^Group*表示推衍后的 KeNB_Group,并用推衍出的 KeNE^Group* 取代 KeNB_Group,作為當前的 KeNB_Group:KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)其中�����,KDF為生成函數(shù)���,Cell ID為小區(qū)標識�。Key Count為幾,就推衍幾次�。還可以利用如下表達式來直接推衍KeNB_Group%將KeNB_Group*作為KeNB_Group:KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID, Key Count)當推衍出KeNB_Group之后,eNB可以利用推衍后的KeNB_Group和協(xié)商的組算法重新計算Key_Groupenc和Key_Groupint�����。接著,利用重新計算的Key_Groupenc和Key_Groupint進行組通信�����。當Key Count不等于O時�����,eNB還需要通過AS SMC向MTC設備發(fā)送Key Count0 MTC設備根據(jù)與eNB相同的計算方式����,首先推衍出新的KeNB_Gr0up,然后利用推衍后的KeNB_Group,并結合協(xié)商的組算法,重新計算Key_Groupenc和Key_Groupint��。接著,利用重新計算的 Key_Groupenc 和 Key_Groupint 進行組通信�。 在第一例子中,一組MTC設備在一段時間內都使用一個AV_Group����,可以允許AV_Group重用,SQN_Group的使用規(guī)則可以是MTC設備從網絡側收到AUTH_Group中的SQN_Group大于或等于設備側保存的SQN_Group��。如果SQN_Group出現(xiàn)不同步的情況,可以通過重同步過程來進行解決��。此外��,一個組內的一個MTC設備如果原本處于組通信中��、但經過一段時間之后退出組通信����,那么當該MTC設備需要從空閑(IDLE)態(tài)轉換為活動(ACTIVE)態(tài)而重新加入組通信時,eNB向MTC設備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設備根據(jù)密鑰更新次數(shù)更新組密鑰����。接入層密鑰和接入層組密鑰的同步可以采用圖5所示的方式。在S510中�����,MTC設備向MME發(fā)送服務請求消息��,在消息中包含GroupID�����、KSIASME_Group,其中KSIASME_Group是用來標識KASME_Group的密鑰標識符��。在S520中����,MME檢查是否存在與Group ID對應的綁定關系,即是否存在與GroupID綁定的AV_Group。如果不存在綁定關系�����,或者存在綁定關系但綁定的AV_Group中的KSIASME_Group與消息中的KSIASME_Group不一致�,則執(zhí)行圖2中當MME沒有綁定關系時執(zhí)行的S220至S260以及后續(xù)的S270至S292。在圖5中�����,在MME中保存有綁定關系且綁定的AV_Group中的KSIASME_Group與消息中的KSIASME_Group相一致���,則MME在S530中將Group ID發(fā)送給eNB�。在S540 中�,eNB 根據(jù) Group ID 查找綁定的組算法、Key Count�、KeNB_Group、Key_Groupenc和Key_Groupint�。在該處,由于MME處存在綁定關系,貝U圖2的流程已經執(zhí)行,則eNB中存在與Group ID相關的綁定關系����。在S550中,eNB向MTC設備發(fā)送AS SMC����,協(xié)商完整性算法����、加密算法����、組完整性算法�、組加密算法,并將Key Count發(fā)送給MTC設備���。在S560中����,MTC設備根據(jù)協(xié)商的算法計算接入層密鑰以及接入層組密鑰Key_Groupenc 和 Key_Groupint�����。第二例子在第二例子中����,組通信根密鑰是如下描述中的KeNB_Group,它等于HSS生成的Group Key��。向MTC設備發(fā)送的生成參數(shù)可以是HSS在生成Group Key的過程中隨機產生的隨機數(shù)。由于基站需要向MTC設備發(fā)送隨機數(shù)�����,所以HSS需要將隨機數(shù)發(fā)送給MME����,再由MME將隨機數(shù)發(fā)送給基站。在圖6所示的第二例子中�,在MTC設備的USM中保存有MTC設備所屬組的GroupID以及與該Group ID對應的密鑰K_Group�。當然,本領域技術人員也可以想到,Group ID以及與Group ID對應的安全密鑰也可以直接保存在MTC設備中�。另外�����,在MTC設備所屬的HSS中同樣保存有GroupID和K_Group的對應關系�。在S610中�����,MTC設備向MME發(fā)送附著請求���,請求中包括MTC設備的MSI和GroupID�����。當MME收到MTC設備發(fā)送的附著請求之后����,MME確定是否保存有與Group ID綁定的Group Key和Nonce,其中Nonce是由HSS隨機生成的隨機數(shù)。當MME確定還沒有保存有與Group ID相綁定的Group Key和Nonce時���,在S660之前執(zhí)行如下操作:在S620中,MME向HSS發(fā)送認證數(shù)據(jù)請求消息�����,在該消息中包含MSI和GroupID�。當在后續(xù)的認證中需要利用S630中生成的AV_GroUp時,則在認證數(shù)據(jù)請求中還需要包含指示符Group Key Indicator,用于表示MME還沒有建立Group ID的相關綁定信息,需要HSS生成Group Key,當然,如果后續(xù)認證利用現(xiàn)有技術中的AV,也可以攜帶Group KeyIndicator來表示沒有建立有Group ID的相關綁定信息�;在S630中,HSS根據(jù)MSI找到對應的K�����,根據(jù)K生成AV����,以使MTC設備和網絡側利用AV進行認證�����。其中�����,與IMSI對應的K可以被稱為MTC設備的專屬密鑰����,任一 K的取值都是唯一的�,只由一個MTC設備持有。當將USM插入MTC設備時���,由于在USM中保存有K�,故MTC設備被分配了唯一的K����。HSS也可以根據(jù)MSI找到對應的K,根據(jù)Group ID找到對應的K_Group���,結合K和K_Group生成AV_Group�����,以使MTC設備和網絡側利用AV_Group進行認證��。此外����,HSS根據(jù)Group ID找到對應的K_Group,根據(jù)K_Group和隨機產生的隨機數(shù)Nonce生成Group Key ;在S640中��,當利用AV進行認證時��,HSS將AV���、Group Key和Nonce通過認證數(shù)據(jù)響應消息發(fā)送給MME。當利用AV_Group進行認證時,HSS將AV_Group�����、Group Key和Nonce通過認證數(shù)據(jù)響應消息發(fā)送給MME ��;在S650中�,MME將Group ID與Group Key和Nonce進行綁定并存儲。根據(jù)K和K_Group生成AV_Group的方式可以如圖7和圖8所示���。這里圖7和圖8只是兩個例子而并不對生成AV_Group的方式進行限制����。在圖7中,HSS生成SQN并生成RAND�����,并將SQN和RAND作為針對一個組的序列號和隨機數(shù)�����。HSS將SQN�、RAND, AMF、K按照如圖所示的方式輸入與現(xiàn)有技術相同的Fl至F5函數(shù)�,得到 MAC、XRES�、CK、IK����、AK。接著 HSS 將 K_Group 和 MAC��、SRES�����、CK、IK���、AK 按照如圖所示的方式輸入其它函數(shù)F���,這些函數(shù)F可以相同也可以不同,具體形式在此不作限制��。通過這些函數(shù) F 可以分別得到 MAC_Group����、XRES_Group、CK_Group����、IK_Group 和 AK_Group�����。在圖8中��,HSS生成SQN并生成RAND�����,并將SQN和RAND作為針對一個組的序列號和隨機數(shù)。HSS將SQN����、RAND, AMF、K和K_Group按照如圖所示的方式輸入與現(xiàn)有技術相同的 Fl 至 F5 函數(shù)�,分別得到 MAC_Group、XRES_Group���、CK_Group��、IK_Group�����、AK_Group�����。在圖7和圖8中���,都可以采用如下方式得到AV_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)AV_Group = RAND| |XRES_Group| |Kasme_Group| |AUTN_Group其中,KDF是密鑰生成函數(shù)�,可以具有與現(xiàn)有技術相同的計算方式�;十代表異或計算���;11代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量��。當MME確定保存有與Group ID相綁定的Group Key和Nonce時�,在S660之前執(zhí)行如下操作:在S620中��,MME向HSS發(fā)送認證數(shù)據(jù)請求消息�,當在后續(xù)只需要利用AV進行認證時,在認證數(shù)據(jù)請求消息中包含MSI���,當在后續(xù)需要`利用AV_GroUp進行認證時�����,在認證數(shù)據(jù)請求消息中包含頂SI和Group ID ����;在S630中����,當利用AV進行認證時��,HSS根據(jù)MSI找到對應的K,根據(jù)K生成AV�。當利用AV_Group進行認證時,HSS根據(jù)MSI找到對應的K���,根據(jù)Group ID找到對應的K_Group,結合 K 和 K_Group 生成 AV_Group ���;在S640中,HSS將AV或AV_Group通過認證數(shù)據(jù)響應發(fā)送給MME�����。此時�����,不需要執(zhí)行 S650�����。繼續(xù)圖6中的流程��。在S660中�����,MME和MTC設備利用AV或者AV_Group進行認證。當利用AV認證時,采用與現(xiàn)有技術相同的方式��。當利用AV_Group認證時,認證過程如圖9所示���。在S910中����,MME向MTC設備發(fā)送用戶認證請求,在該請求中攜帶AV_Group中的RAND_Group��、AUTN_Group 以及現(xiàn)有技術中的 KSIAsslE����。在S920中,當認證成功時���,MTC設備向MME返回用戶認證響應����,在該響應中攜帶RES_Group����。另外,如果認證失敗��,則MTC設備向MME發(fā)送用戶認證拒絕消息��,并在該消息中攜帶CAUSE參數(shù)���。返回圖6并繼續(xù)圖6的流程���。在S670中,如果認證成功��,則MME和MTC設備如現(xiàn)有技術那樣計算出KeNB���,MME將Group Key作為KeNB_Group�。雖然在圖6所示的第二例子中�����,MTC設備在S670處與MME并發(fā)生成KeNB����,但是MTC設備也可以在S660之后、S692之前的任意時刻生成KeNB�����。在S680 中,MME 將 Group ID����、KeNB、KeNB_Group 和 Nonce 發(fā)送給 eNB��。在S690中���,eNB根據(jù)MTC設備的安全能力選擇完整性算法和加密算法�。如果eNB上沒有建立有與Group ID相關的綁定�,則eNB根據(jù)MTC設備的組安全能力選擇用于生成組密鑰的組算法,可以包括組完整性算法和組加密算法����,并計算出接入層密鑰以及組密鑰Key_Groupenc 和 Key_Groupint。此外���,eNB 還將組算法�����、Key Count�����、KeNB_Group> KeNB_Groupenc> KeNB_Groupint 和 Nonce 與 Group ID 相綁定���。S690 的相關內容可以參考 S290中的描述,為了避免重復��,在此不再贅述����。在S691中,eNB向MTC設備發(fā)送AS SMC�,協(xié)商選擇的完整性算法、加密算法�����、組完整性算法��、組加密算法�����,并在AS SMC中攜帶Nonce��。在S692中�����,MTC設備根據(jù)協(xié)商的算法計算接入層密鑰。根據(jù)Nonce�、與Group ID對應的K_Group計算KeNB_Group,并利用KeNB_Group和協(xié)商的組算法計算接入層組密鑰Key_Groupenc 和 Key_Groupint。如果在AS SMC中攜帶有不為O的Key Count,則根據(jù)Key Count對KeNB_Group進行推衍����,根據(jù)推衍后的KeNB_Group更新接入層組密鑰。同時�,在eNB處,由于Key Count不為O, eNB同樣根據(jù)Key Count對KeNB_Group進行推衍,并根據(jù)推衍后的KeNB_Group更新接入層組密鑰��。推衍的相關內容可以參考S292中的相關內容�,為了避免重復,在此不再贅述�����。此外��,一個組內的一個MTC設備如果原本處于組通信中��、但經過一段時間之后退出組通信��,那么當該MTC設備需要從IDLE態(tài)轉換為ACTIVE態(tài)而重新加入組通信時,eNB向MTC設備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設備根據(jù)密鑰更新次數(shù)更新組密鑰��。接入層密鑰和接入層組密鑰的同步可以采用圖10所示的方式�。在SlOlO中,MTC設備向MME發(fā)送服務請求消息���,在該消息中包含Group ID和之前進行組通信過程中保存的Nonce值���,該Nonce值也是MTC設備生成組密鑰的Nonce值�。在S1020中,MME檢查是否存在與該Group ID對應的綁定關系�,即是否存在與Group ID綁定的Group Key和Nonce。如果不存在綁定關系,或者存在綁定關系但綁定的Nonce值與MTC設備發(fā)送的Nonce值不一致��,則在S1030中���,MME將Group ID和MME綁定的Nonce發(fā)送給eNB�����,以使eNB將Nonce發(fā)送給MTC設備����,并將與Group ID綁定的組算法和不為O的KeyCount發(fā)送給MTC設備。如果存在綁定關系且綁定的Nonce值與MTC設備發(fā)送的Nonce值一致�,則在S1030中,MME將Group ID發(fā)送給eNB���。在圖10中����,假設在MME中存在綁定關系且Nonce值一致�,則在S1030中,MME將Group ID 發(fā)送給 eNB�����。在S1040 中�����,eNB 根據(jù) Group ID 查找綁定的組算法�、Key Count、KeNB_Group�、Key_Groupenc、Key_Groupint 和 Nonce�。
在S1050中,eNB向MTC設備發(fā)送AS SMC��,協(xié)商完整性算法、加密算法��、組完整性算法�、組加密算法,并在Key Count不為O的情況下將KeyCount發(fā)送給MTC設備��。此外,如果在S1030中MME將Nonce值發(fā)送給eNB��,則在AS SMC中攜帶Nonce值發(fā)送給MTC設備��。在S1060中�,MTC設備根據(jù)協(xié)商的算法計算接入層密鑰以及接入層組密鑰Key_Groupenc 和 Key_Groupint。第三例子在第三例子中��,提前根據(jù)MTC設備的功能或者所屬業(yè)務將MTC設備分成了不同的業(yè)務集合��,由業(yè)務ID進行區(qū)分�����。但是業(yè)務集合并不等于共用相同組密鑰的組����,共用相同組密鑰的組還需要由基站根據(jù)業(yè)務ID進行分組來確定��。根據(jù)業(yè)務ID確定組ID的方式可以與現(xiàn)有技術相同,例如根據(jù)支持相同業(yè)務的MTC設備所處的位置進行分組等�����,在此不再贅述��。業(yè)務ID可以預置在MTC設備中�����;也可以設置在USM中����,當將USM插入MTC設備時,USIM成為MTC設備的一部分����,從而確定MTC設備所支持的業(yè)務。業(yè)務根密鑰是如下描述中的KeNB_Service,它等于HSS生成的ServiceKey���。通過KeNB_Service,可以由基站確定 KeNB_Group���。向MTC設備發(fā)送的生成參數(shù)可以是基站根據(jù)業(yè)務ID分組后得到的組ID以及HSS生成Service Key所需的隨機數(shù)。這樣�,MTC設備再結合保存在插入的US頂中與業(yè)務ID對應的K_SerViCe���,可以生成與基站生成的組密鑰相同的組密鑰。在圖11所示的第三例子中����,在MTC設備的USM中保存有MTC設備所屬業(yè)務的Service ID以及與該Service ID對應的密鑰K_Service。在MTC設備所屬的HSS中同樣保存有Service ID和K_Service的對應關系����。在SI 110中,MTC設備向MME發(fā)送附著請求���,在該請求中包括頂SI和Service ID��。當MME收到MTC設備發(fā)送的附著請求之后����,MME確定是否保存有與Service ID綁定的 Service Key 和 Nonce�����。當MME確定還沒有保存有與Service ID相綁定的Service Key和Nonce時,在SI 160之前執(zhí)行如下操作:在S1120中����,MME向HSS發(fā)送認證數(shù)據(jù)請求消息,在該消息中攜帶MSI知ServiceID ����;在S1130中,HSS根據(jù)MSI找到對應的K�,并根據(jù)K生成AV,以使MME利用AV與MTC設備進行認證��。HSS根據(jù)Service ID找到K_Service,并隨機生成隨機數(shù)Nonce,接著根據(jù) K_Service 和 Nonce 生成 Service key ���;在S1140中��,HSS將AV�����、Service key和Nonce通過認證數(shù)據(jù)響應消息發(fā)送給MME ���;在SI 150 中,MME 將 Service ID 與 Service Key 和 Nonce 進行綁定并存儲����。當MME確定保存有與Service ID相綁定的Service Key和Nonce時,在SI 160之前執(zhí)行如下操作:在SI 120中,MME向HSS發(fā)送認證數(shù)據(jù)請求消息���,在該消息中攜帶MSI ����;在SI 130中,HSS根據(jù)MSI找到對應的K��,并根據(jù)K生成AV �;在S1140中,HSS將AV通過認證數(shù)據(jù)響應消息發(fā)送給MME�。此時,不需要執(zhí)行S1150����。繼續(xù)圖11中的流程。在S1160中���,MME和MTC設備利用AV進行認證�。利用AV的認證過程與現(xiàn)有技術相同�,在此不再贅述。在S1170中�,如果認證成功�����,則MME和MTC設備計算出KeNB,并且MME將ServiceKey作為KeNB_Service����。雖然在圖11所示的第三例子中,MTC設備在S1170處與MME并發(fā)生成KeNB�,但是MTC設備也可以在SI 160之后、SI 192之前的任意時刻生成KeNB����。在SI 180 中,MME 將 Service ID���、KeNB��、KeNB_Service 和 Nonce 發(fā)送給 eNB�。在SI 190中����,eNB根據(jù)MTC設備的安全能力選擇完整性算法和加密算法。如果eNB上沒有建立有與Service ID相關的綁定關系���,則eNB根據(jù)MTC設備的組安全能力選擇用于生成組密鑰的組算法��,可以包括組完整性算法和組加密算法��,并計算接入層密鑰以及接入層組密鑰����。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術中針對MTC設備選擇完整性算法和加密算法相似,組完整性算法和組加密算法也可以分別與現(xiàn)有技術中的完整性算法和加密算法相似�����,不同之處在于組完整性算法和組加密算法是針對一個組的算法�����,而完整性算法和加密算法是針對一個MTC設備的算法�����。在計算包括Key_Groupenc和Key_Groupint的接入層組密鑰的過程中��,eNB首先需要根據(jù)Service ID對屬于同一業(yè)務的MTC設備進行分組����,然后根據(jù)分組確定一個組的KeNB_Group,再根據(jù)KeNB_Group和組算法生成組密鑰。對屬于同一業(yè)務的MTC設備進行分組的方式多種多樣�,例如隨機分組、根據(jù)MTC設備的信號強度分組等??梢圆捎萌缦路绞接嬎鉑eNB_Group:KeNB_Group = KDF(KeNB_Service,Cell ID, Group ID)其中����,KDF是密鑰生成函數(shù),Cell ID是eNB服務小區(qū)的編號���,Group ID是經過分組得到的MTC設備所屬組的組ID����。計算出KeNB_Group之后�,可以計算組加密密鑰Key_Groupenc和組完整性密鑰Key_Groupint:Key_Groupenc = KDF (KeNB_Group, Group-enc-alg、Alg-1D)Key_Groupint = KDF (KeNB_Group, Group-1nt-alg, Alg-1D)其中����,KDF是密鑰生成函數(shù),Group-enc-alg代表當前計算采用的是組加密算法�����、Alg-1D是算法標識�,Group-1nt-alg代表當如計算米用的是組完整性算法。計算出組密鑰之后����,eNB還將組算法�����、Key Count����、KeNB_Group�����、KeNB_Groupenc 和KeNB_Groupint與Group ID相綁定��。另外�,如第一例子所述,當eNB第一次為一個組ID生成對應的組密鑰而建立組ID的綁定關系時�����,eNB將Key Count置為0�,當TOCP計數(shù)器值達到最大值時,將KeyCount值加I,通過Key Count值對組密鑰進行推衍更新��。在其它實施例中�,組完整性算法和組加密算法也可以被預先配置在eNB和MTC設備上����,此時無需在SI 190中選擇組算法�,也無需在AS SMC中協(xié)商組算法。在S1191中�,eNB向MTC設備發(fā)送AS SMC�,協(xié)商選擇的完整性算法、加密算法�、組完整性算法、組加密算法����,并在AS SMC中攜帶Group ID和Nonce。在S1192中��,MTC設備根據(jù)協(xié)商的算法中的完整性算法和加密算法�����,可以計算出MTC設備的接入層密鑰����。MTC設備根據(jù)協(xié)商的算法中的組完整性算法和組加密算法、在S1091中獲取的Group ID和Nonce以及保存在USIM內的K_Service計算組密鑰����。如果Key Count值不等于O,則eNB可以根據(jù)Key Count對組密鑰進行更新,更新組密鑰的方式可以首先根據(jù)Key Count推衍新的KeNB_Group,再利用推衍后的KeNB_Group計算出新的組密鑰����。推衍方式可以參考S192中的相關內容��。此外���,當一個組內的一個MTC設備如果原本處于組通信中�����、但經過一段時間之后退出組通信��,那么當該MTC設備需要從IDLE狀態(tài)或去附著狀態(tài)轉換為ACTIVE狀態(tài)而重新加入組通信時��,向MTC設備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設備根據(jù)密鑰更新次數(shù)更新組密鑰���。接入層密鑰和接入層組密鑰的同步可以采用圖12所示的方式。在S1210中��,MTC設備向MME發(fā)送服務請求消息���,在該消息中包含Service ID和之前進行組通信過程中保存的Nonce值和Group ID�����。在S1220中�����,MME檢查是否存在與該Service ID對應的綁定關系��,即是否存在與Service ID綁定的Service Key和Nonce�����。如果不存在綁定關系�����,或者存在綁定關系但綁定的Nonce值與MTC設備發(fā)送的Nonce值不一致�����,則在S1230中�����,MME將Group ID和MME綁定的Nonce發(fā)送給eNB�,以使eNB將Nonce發(fā)送給MTC設備,并將與Group ID綁定的組算法和不為O的Key Count發(fā)送給MTC設備�����。如果存在綁定關系且綁定的Nonce值與MTC設備發(fā)送的Nonce值一致����,則在S1230中,MME將Group ID發(fā)送eNB���。在圖12中�,假設在MME中存在綁定關系且Nonce值一致�����,則在S1230中���,MME將Group ID 發(fā)送給 eNB����。在S1240 中�����,eNB 根據(jù) Group ID 查找綁定的組算法、Key Count�����、KeNB_Group�、Key_Groupenc 和 Key_Groupint。在S1250中�����,eNB向MTC設備發(fā)送AS SMC���,協(xié)商完整性算法���、加密算法����、組完整性算法、組加密算法�����,并在Key Count不為O的情況下將KeyCount發(fā)送給MTC設備�。此外,如果在S1230中MME將Nonce值發(fā)送給eNB�,則在AS SMC中攜帶Nonce值發(fā)送給MTC設備��。在S1260中,MTC設備根據(jù)協(xié)商的算法����、Nonce值、K_Service���、GroupID計算接入層密鑰以及接入層組密鑰����。根據(jù)本發(fā)明的實施例��,PDCP Count值由HFN和SN兩部分組成�,在MTC設備和eNB之間進行組通信的過程中,eNB可以不需要為每個MTC設備維護一個HFN值���,而是為一組MTC設備維護一個組HFN值���,其中組HFN由一組MTC設備共用,SN由MTC設備發(fā)送的數(shù)據(jù)包中的序列號決定�����。在一組MTC設備的每個MTC設備中,都維護一個HXP Count值���,該HXPCount值中的HFN與eNB維護的組HFN和其它MTC設備的HFN保存同步����,SN由MTC設備單獨維護��,與自己發(fā)送的數(shù)據(jù)包的序列號有關�����。對于上行鏈路�����,每個MTC設備維護一個rocp Count值��,組內每個MTC設備維護的HFN與eNB維護的組HFN保持同步�����。組內MTC設備利用上行I3DCP Count值對上行數(shù)據(jù)進行加密��,并在上行數(shù)據(jù)分組數(shù)據(jù)單元(Packet Data Unit7PDU)頭部中攜帶SN���。eNB收到公共承載上的數(shù)據(jù)包時�,利用eNB保存的HFN和數(shù)據(jù)包攜帶的SN組成的Count值解密該數(shù)據(jù)包����。當組內任一 MTC設備發(fā)送數(shù)據(jù)包中的SN達到閾值時,eNB收到該數(shù)據(jù)包之后����,將組HFN加I,并將該HFN的取值或者HFN需要加I的信息通知給組內的各MTC設備��。HFN可以有多種通知方式���。例如����,對于業(yè)務量小的MTC設備����,可以將HFN設置為固定值。再例如�����,當HFN可變時,eNB可以通過組ID對應組內所有MTC設備各自的信令承載�����、組ID對應組的公共信令承載或者廣播信道���,向組ID對應組內所有MTC設備發(fā)送HFN的取值���。eNB可以在HFN達到閾值時向組ID對應組內的所有MTC設備發(fā)送HFN取值,也可以在有MTC設備加入組ID對應組時�,向該MTC設備發(fā)送HFN取值。又例如���,當HFN可變時��,如果組ID對應的HFN達到閾值�����,那么eNB可以通過組ID對應組內所有MTC設備各自的信令承載�、組ID對應組的公共信令承載或者廣播信道���,向組ID對應組內所有MTC設備發(fā)送用于指示HFN加I的指示信息��。如果廣播HFN需要增加的指示信息��,則對于組HFN的初始值需要MTC設備與eNB協(xié)商或由eNB發(fā)送給MTC設備��。另外���,eNB還可以直接將HXPCount值放在PDU頭部中發(fā)送給MTC設備,這樣MTC設備根據(jù)收到的H)U�����,可以從頭部中提取中HFN的取值�。對于下行鏈路,如果組通信基于eNB和一組MTC設備之間的公共承載�����,則一般組內MTC設備通過公共承載接收eNB發(fā)送的組信息���,此時組內MTC設備的TOCP Count值變化一致�����,故不需要在下行鏈路引入新的HXP Count值機制�。當eNB保存的組HFN達到閾值時,eNB對組密鑰進行更新�����。當MTC設備內的TOCPCount值中的HFN達到閾值時��,MTC設備也對組密鑰進行更新�����?�?梢酝ㄟ^多種方式使MTC設備確定HFN達到閾值��。例如eNB可以向MTC設備通知HFN取值或HFN加I的指示���,以使MTC設備在改變HFN之后確定HFN達到閾值��,從而更新組密鑰����。再例如eNB可以直接向MTC設備通知HFN達到閾值的指示�����,以使MTC設備更新組密鑰�。無論在eNB中還是在MTC設備中,可以有兩種方式對組密鑰進行更新�。一種是先更新KeNB_Group,然后利用更新后的KeNB_Group計算Key_Groupenc和Key_Groupint。在該種更新方式中��,KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)或者 KeNB_Group* = KDF(KeNB_Group, cell ID, Group ID, Key Count)�。另一種是直接對Key_Groupenc和Key_Groupint進行更新。在該更新方式中���,Key_Groupenc* = KDF(Key_Groupenc, Cell ID, Group ID), Key_Groupint* = KDF(Key_Groupint, Cell ID, Group ID)�����。在本發(fā)明的實施例中��,為了進一步保證通信的安全�����,網絡側可以在滿足一定條件時對組通信根密鑰進行更新�。當滿足一定條件時����,網絡側更新組根密鑰KeNB_Gr0up���,并與MTC設備進行重認證或者向MTC設備發(fā)送用于更新KeNB_Gr0Up所需的信息,以使網絡側和MTC設備可以根據(jù)新的KeNB_Group更新組密鑰��。該一定條件可以是當網絡側維護的定時器達到閾值時���;也可以是eNB處維護的Key Count值達到閾值時��;還可以是MME處維護的針對一個組或一個業(yè)務的計數(shù)器值達到閾值時����,每當MME收到屬于一個組或一個業(yè)務的MTC設備發(fā)送的NAS信令時��,該計數(shù)器值加
1接下來�,結合圖13描述根據(jù)本發(fā)明實施例的生成組密鑰的方法1300。如圖13所示��,方法1300包括:在S1310中��,接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ���;在S1320中�����,向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID��,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰;在S1330中����,從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰;
在S1340中�,向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰�����,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰��,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�����。例如����,方法1300可以由MME執(zhí)行。由于MME的操作與基站��、HSS��、MTC設備的操作相對應�����,因此方法1300中的各步驟的描述可以參考方法100的描述�����,具體例子可以參考上述第一例子至第三例子�,為了避免重復,在此不再贅述。根據(jù)本發(fā)明的實施例���,當所述組ID沒有綁定與所述組ID對應的組通信根密鑰�、或者所述業(yè)務ID沒有綁定與所述業(yè)務ID對應的業(yè)務根密鑰時����,向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID。如果組ID或業(yè)務ID綁定有組通信根密鑰或業(yè)務根密鑰���,則不向HSS發(fā)送組ID或業(yè)務ID�����。當HSS將根據(jù)組ID或業(yè)務ID確定的組通信根密鑰或業(yè)務根密鑰發(fā)送給MME之后,MME將組通信根密鑰與組ID相綁定并存儲�、或者將業(yè)務根密鑰與業(yè)務ID相綁定并存儲。這樣��,當MME收到其它MTC設備發(fā)送的攜帶有組ID或業(yè)務ID的附著請求時�����,如果MTC設備與網絡側認證成功����,則向基站發(fā)送組ID和組通信根密鑰��、或者業(yè)務ID與業(yè)務根密鑰�。從而�,可以避免HSS重復根據(jù)組ID或業(yè)務ID生成組通信根密鑰或業(yè)務根密鑰,也可以避免由于HSS產生的隨機數(shù)不同而使得針對同一組ID或業(yè)務ID產生的組通信根密鑰或業(yè)務根密鑰不同�����,因此有利于實現(xiàn)同一組ID共用相同的組密鑰�。根據(jù)本發(fā)明的一個實施例,在S1330中�,MME除了從HSS接收組通信根密鑰或業(yè)務根密鑰外,還可以從HSS接收隨機數(shù)�。在該情況下,MME可以將組通信根密鑰���、隨機數(shù)與組ID綁定并存儲���、或者將業(yè)務根密鑰、隨機數(shù)與業(yè)務ID綁定并存儲�。此外,MME需要將隨機數(shù)也發(fā)送給基站�,以使基站將隨機數(shù)發(fā)送給MTC設備����,供MTC設備根據(jù)隨機數(shù)和安全密鑰來生成組密鑰���。在MME針對組ID綁定有組通信根密鑰和隨機數(shù)�、或者針對業(yè)務ID綁定有業(yè)務根密鑰和隨機數(shù)的情況下�����,當MME收到其它MTC設備發(fā)送的攜帶有組ID或業(yè)務ID的附著請求時��,如果MTC設備與網絡側認證成功��,則向基站發(fā)送組ID以及與組ID綁定的組通信根密鑰和隨機數(shù)����,或者向基站發(fā)送業(yè)務ID以及與業(yè)務ID綁定的業(yè)務根密鑰和隨機數(shù)����。這樣,可以避免HSS重復生成組通信根密鑰或業(yè)務根密鑰����,也可以降低計算復雜度�。在認證過程中�����,MME可以按照現(xiàn)有技術那樣利用AV對MTC設備進行設備認證���,在本發(fā)明的實施例中����,MME除了用AV對MTC設備進行設備認證之外�����,還可以利用組認證參數(shù)對MTC設備進行組認證,例如,組認證參數(shù)可以是第一例子中根據(jù)K_Group生成的AV_Group����。此外,在本發(fā)明的實施例中�����,MME還可以用一個組認證參數(shù)同時與MTC設備進行設備認證和組認證��,例如���,組認證參數(shù)可以是第二例子中根據(jù)K和K_Group生成的AV_Group中的參數(shù)��。MME用于進行組認證的組認證參數(shù)由HSS根據(jù)K_GroUp或者K和K_GroUp生成之后發(fā)送給MME0此外�����,在進行組通信的過程中��,為了進一步提高通信的安全性��,可以在達到一定條件時���,對組密鑰進行更新��。根據(jù)本發(fā)明的實施例�����,當網絡側維護的預定定時器達到第一預定閾值時���,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時����,或者當維護的非接入層的計數(shù)值達到第三預定閾值時�����,與MTC設備進行重認證或者從HSS接收新的組通信根密鑰或業(yè)務根密鑰���,新的組通信根密鑰或業(yè)務根密鑰由HSS根據(jù)安全密鑰和新的隨機數(shù)生成。例如���,在第一例子中��,當需要更新組密鑰時�����,MME與MTC設備進行重認證����,通過重認證可以向MTC設備發(fā)送生成新的組密鑰所需的認證參數(shù)����。在第二例子和第三例子中,當需要更新組密鑰時���,HSS隨機生成新的隨機數(shù)���,并根據(jù)安全密鑰和新的隨機數(shù)來生成新的組通信根密鑰或業(yè)務根密鑰�,將新的組通信根密鑰或業(yè)務根密鑰參數(shù)發(fā)送給MME����,MME再將新的組通信根密鑰或業(yè)務根密鑰發(fā)送給基站并與組ID或業(yè)務ID相綁定,基站根據(jù)新的組通信根密鑰或業(yè)務根密鑰得到新的組密鑰���,而MTC設備也將得到新的隨機數(shù)來生成與網絡側的組密鑰相同的新的組密鑰�。根據(jù)本發(fā)明實施例提供的生成組密鑰的方法�����,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰�����,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰�,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰�。從而,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰,這樣���,可以降低基站操作的復雜性���,減少基站維護和管理的密鑰數(shù),提高基站性能����。接下來,參考圖14描述根據(jù)本發(fā)明實施例的生成組密鑰的方法1400��。如圖14所示���,方法1400包括:在S1410中��,從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ��;在S1420中�����,根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰��;在S1430中�����,向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰���,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰�����、或者所述業(yè)務ID和所述業(yè)務根密鑰�,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)�����,使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰。例如��,方法1400可以由MTC設備所屬的HSS執(zhí)行�����。由于HSS的操作與基站�、MME,MTC設備的操作相對應�,因此方法1400中的各步驟的描述可以參考方法100和方法1300的描述,具體例子可以參考上述第一例子至第三例子�,為了避免重復,在此不再贅述�����。根據(jù)本發(fā)明的實施例���,HSS在收到MME發(fā)送的組ID或業(yè)務ID之后�����,除了根據(jù)組ID或業(yè)務ID對應的安全密鑰生成的組通信根密鑰或業(yè)務根密鑰之外����,還可以根據(jù)組ID或業(yè)務ID對應的安全密鑰,或者�,根據(jù)與組ID或業(yè)務ID對應的安全密鑰和MTC設備的專屬密鑰,生成用于供MTC設備進行組認證的組認證參數(shù)���。例如�����,在第一例子中��,HSS根據(jù)組ID對應的K_Group生成用于組認證的AV_Group ;在第二例子中�����,HSS根據(jù)組ID對應的K_Group和MTC設備的K生成用于組認證的AV_Group�。
HSS生成組認證參數(shù)之后,將組認證參數(shù)發(fā)送給MME,以使MME根據(jù)該組認證參數(shù)與MTC設備進行認證��。通過組認證向量進行的認證既可以是認證MTC設備是否屬于組ID對應組的組認證�����,又可以是既包含組認證又包含設備認證的認證���。根據(jù)本發(fā)明實施例提供的生成組密鑰的方法�����,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰���,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰���,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰����。從而����,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰�,這樣,可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能��。接下來��,參考圖15描述根據(jù)本發(fā)明實施例的生成組密鑰的方法1500�。如圖15所示����,方法1500包括:在S1510中����,向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID���,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰�、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰�,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰���、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰;在S1520中����,從基站接收用于生成組密鑰的生成參數(shù)���;在S1530中,根據(jù)生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成組密鑰�。例如,方法1500可以由MTC設備執(zhí)行����。由于MTC設備的操作與基站、MME��、HSS的操作相對應�,因此方法1500中的各步驟的描述可以參考方法100、方法1300和方法1400的描述����,具體例子可以參考上述第一例子至第三例子���,為了避免重復����,在此不再贅述���。根據(jù)本發(fā)明的一個實施例����,在基站收到組ID和組通信根密鑰的情況下,MTC設備從基站接收的生成參數(shù)可以是在MTC設備的認證過程中����,從基站接收的用于生成組通信根密鑰的認證參數(shù)。根據(jù)本發(fā)明的一個實施例�,在基站收到組ID和組通信根密鑰的情況下,MTC設備從基站接收的生成參數(shù)可以是HSS生成組通信根密鑰所利用的隨機數(shù)���,該隨機數(shù)由HSS發(fā)送給MME�,再由MME發(fā)送給基站���。根據(jù)本發(fā)明的一個實施例�,在基站收到業(yè)務ID和業(yè)務根密鑰的情況下��,MTC設備從基站接收的生成參數(shù)可以是基站根據(jù)業(yè)務ID確定的組ID和HSS生成業(yè)務根密鑰利用的隨機數(shù)��。根據(jù)本發(fā)明的實施例���,生成組密鑰所用的組算法可以預先設置在基站和MTC設備中�,也可以由基站將組算法發(fā)送給MTC設備���。因此�,MTC設備從基站接收的生成參數(shù)還可以包括用于生成組密鑰的組算法標識。通過組算法標識�����,MTC設備可以確定相應組算法來生成組密鑰����。
此外,同一組ID的所有MTC設備可以共用相同的HFN���。為了共用相同的HFN��,根據(jù)本發(fā)明的實施例����,組ID對應的HFN可以被預先設置為固定值�����;或者���,MTC設備可以通過MTC設備的信令承載�、組ID對應組的公共信令承載或者廣播信道��,從基站接收所述HFN的取值�;或者,當組ID對應的HFN達到閾值時�,MTC設備可以通過MTC設備的信令承載、組ID對應組的公共信令承載或者廣播信道�����,從基站接收用于指示HFN加I的指示信息����。在進行組通信的過程中,可以動態(tài)更新組密鑰來進一步提高組通信的安全性��。根據(jù)本發(fā)明的一個實施例���,MTC設備從基站接收用于更新組密鑰的更新信息�,根據(jù)更新信息更新組密鑰���,其中當組ID對應的HFN達到閾值時基站更新組密鑰�。更新信息可以是HFN的取值,還可以是HFN需要加I的指示信息�����,也可以是通知MTC設備對組密鑰進行推衍的信息�。此外,當網絡側維護的預定定時器達到第一預定閾值時�����,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時����,或者當MME維護的非接入層的計數(shù)值達到第三預定閾值時,MTC設備可以與MME進行重認證或者從基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和安全密鑰生成新的組密鑰�。根據(jù)本發(fā)明的一個實施例,當MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應的組通信時�,從基站接收更新組密鑰所需的密鑰更新次數(shù),其中�����,密鑰更新次數(shù)由基站在組ID對應的HFN每次達到閾值時增加I ;根據(jù)密鑰更新次數(shù)更新組密鑰��。根據(jù)本發(fā)明實施例提供的生成組密鑰的方法��,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰����,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備�����,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰�。從而,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰,這樣���,可以降低基站操作的復雜性�,減少基站維護和管理的密鑰數(shù)�����,提高基站性能�����。上面分別從基站、MME����、HSS和MTC設備的角度描述了生成組密鑰的方法,下面結合圖16至23描述相關設備���。圖16是根據(jù)本發(fā)明實施例的基站1600的結構框圖���。基站1600包括接收模塊1610��、生成模塊1620和第一發(fā)送模塊1630��。接收模塊1610可以通過輸入接口實現(xiàn)�,生成模塊1620可以通過處理器實現(xiàn),第一發(fā)送模塊1630可以通過輸出接口實現(xiàn)����。接收模塊1610用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID,和與安全密鑰相關的組通信根密鑰�����,所述安全密鑰與所述組ID相對應�;或者�����,從MME接收MTC設備支持業(yè)務的業(yè)務ID,和與安全密鑰相關的業(yè)務根密鑰�,所述安全密鑰與所述業(yè)務ID對應,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID��,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰��。生成模塊1620用于根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�。第一發(fā)送模塊1630用于向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰��。接收模塊1610�����、生成模塊1620和第一發(fā)送模塊1630的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第三例子中的描述�,為了避免重復,在此不再贅述����。
根據(jù)本發(fā)明實施例提供的基站,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰��,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備�����,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰���。從而�,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰,這樣��,可以降低基站操作的復雜性�����,減少基站維護和管理的密鑰數(shù)��,提高基站性能��。圖17是根據(jù)本發(fā)明實施例的基站1700的結構框圖���?�;?700的接收模塊1710�、生成模塊1720和第一發(fā)送模塊1730與基站1600的接收模塊1610、生成模塊1620和第一發(fā)送模塊1630基本相同��。根據(jù)本發(fā)明的一個實施例�����,接收模塊1710還用于從所述MME接收用于生成組通信根密鑰的隨機數(shù)����。在該情況下�����,所述向MTC設備發(fā)送的生成參數(shù)包括所述隨機數(shù)���。根據(jù)本發(fā)明的一個實施例��,組通信根密鑰根據(jù)隨機數(shù)生成����;第一發(fā)送模塊1730用于在所述MTC設備的認證過程中�,向所述MTC設備發(fā)送用于生成所述組通信根密鑰的認證參數(shù)��,所述認證參考包括所述隨機數(shù)�。根據(jù)本發(fā)明的一個實施例���,當根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰時����,進一步包括根據(jù)隨機數(shù)生成組通信根密鑰�����;則第一發(fā)送模塊1730用于向所述MTC設備發(fā)送所述組ID和所述隨機數(shù)�。根據(jù)本發(fā)明的實施例,第一發(fā)送模塊1730還可具體用于向MTC設備發(fā)送用于生成組密鑰的組算法標識�。根據(jù)本發(fā)明的實施例,基站1700還可以包括綁定模塊1740和第二發(fā)送模塊1750����。綁定模塊1740用于將組通信根密鑰、組密鑰��、生成參數(shù)與組ID相綁定���。第二發(fā)送模塊1750用于當確定其他MTC設備屬于組ID對應的組時���,向其他MTC設備發(fā)送與組ID綁定的生成參數(shù)�����,以使其他MTC設備根據(jù)生成參數(shù)和安全密鑰生成組密鑰���。根據(jù)本發(fā)明的實施例,基站1700還可以包括更新模塊1760和第三發(fā)送模塊1770�����。更新模塊1760用于當組ID對應的HFN達到閾值時���,更新組密鑰,其中組ID的所有MTC設備共用相同的HFN�����。第三發(fā)送模塊1770用于向MTC設備發(fā)送用于更新組密鑰的更新信息��,以使MTC設備根據(jù)更新信息更新組密鑰���。組ID的所有MTC設備可以共用相同的HFN�。在該情況下,組ID對應的HFN可以被預先設置為固定值�����;或者基站1700還可以包括第四發(fā)送模塊1772���。第四發(fā)送模塊1772可用于通過組ID對應組內所有MTC設備各自的信令承載�、組ID對應組的公共信令承載或者廣播信道����,向組ID對應組內所有MTC設備發(fā)送HFN的取值?���;蛘叩谒陌l(fā)送模塊1772可用于當組ID對應的HFN達到閾值時,通過組ID對應組內所有MTC設備各自的信令承載��、組ID對應組的公共信令承載或者廣播信道�����,向組ID對應組內所有MTC設備發(fā)送用于指示HFN加I的指示信息�。根據(jù)本發(fā)明的實施例,基站1700還可以包括第五發(fā)送模塊1774,用于當MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應的組通信時��,向MTC設備發(fā)送更新組密鑰所需的密鑰更新次數(shù)����,以使MTC設備根據(jù)密鑰更新次數(shù)更新組密鑰。其中���,密鑰更新次數(shù)在組ID對應的HFN每次達到閾值時增加I�����。此外�����,基站1700還可以包括第六發(fā)送模塊1776,用于當屬于組ID的其它MTC設備第一次加入組ID對應的組通信時����,向其它MTC設備發(fā)送用于生成組密鑰的生成參數(shù)和更新組密鑰所需的密鑰更新次數(shù),以使其它MTC設備根據(jù)生成參數(shù)�、密鑰更新次數(shù)和安全密鑰生成組密鑰。其中���,密鑰更新次數(shù)在組ID對應的HFN每次達到閾值時增加I�。接收模塊1710、第一發(fā)送模塊1730�����、綁定模塊1740�����、第二發(fā)送模塊1750�、更新模塊1760、第三發(fā)送模塊1770��、第四發(fā)送模塊1772���、第五發(fā)送模塊1774和第六發(fā)送模塊1776的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第三例子中的描述���,為了避免重復,在此不再贅述�。其中,綁定模塊1740和更新模塊1760可以通過處理器實現(xiàn)����,第二發(fā)送模塊1750�����、第三發(fā)送模塊1770����、第四發(fā)送模塊1772�����、第五發(fā)送模塊1774和第六發(fā)送模塊1776可以通過輸出接口實現(xiàn)�。根據(jù)本發(fā)明實施例提供的基站,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信���,而在基站中也只需要為同一個組保持相同組密鑰�����,這樣��,可以降低基站操作的復雜性,減少基站維護和管理的密鑰數(shù)���,提高基站性能�。圖18是根據(jù)本發(fā)明實施例的移動性管理實體1800的結構框圖。移動性管理實體1800包括第一接收模塊1810�����、第一發(fā)送模塊1820�����、第二接收模塊1830和第二發(fā)送模塊1840��。第一接收模塊1810和第二接收模塊1830可以通過輸入接口實現(xiàn)���,第一發(fā)送模塊1820和第二發(fā)送模塊1840可以通過輸出接口實現(xiàn)�����。第一接收模塊1810用于接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID���。第一發(fā)送模塊1820用于向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰����。第二接收模塊1830用于從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰。第二發(fā)送模塊1840用于向基站發(fā)送所述組ID和所述組通信根密鑰���、或者所述業(yè)務ID和所述業(yè)務根密鑰�,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�����。第一接收模塊1810��、第一發(fā)送模塊1820���、第二接收模塊1830和第二發(fā)送模塊1840的上述和其他操作和/或功能可以參考上述方法1300以及第一例子至第三例子中的描述�����,為了避免重復��,在此不再贅述����。根據(jù)本發(fā)明實施例提供的移動性管理實體��,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰����,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備�����,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰���。從而�����,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信���,而在基站中也只需要為同一個組保持相同組密鑰��,這樣���,可以降低基站操作的復雜性,減少基站維護和管理的密鑰數(shù)��,提高基站性能��。圖19是根據(jù)本發(fā)明實施例的移動性管理實體1900的結構框圖�����。
移動性管理實體1900的第一接收模塊1910��、第一發(fā)送模塊1920��、第二接收模塊1930和第二發(fā)送模塊1940與移動性管理實體1800的第一接收模塊1810��、第一發(fā)送模塊1820���、第二接收模塊1830和第二發(fā)送模塊1840基本相同����。根據(jù)本發(fā)明的一個實施例,第一發(fā)送模塊1920用于當所述組ID沒有綁定與所述組ID對應的組通信根密鑰�、或者所述業(yè)務ID沒有綁定與所述業(yè)務ID對應的業(yè)務根密鑰時,向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID����。根據(jù)本發(fā)明的實施例�����,移動性管理實體1900還可以包括第一綁定模塊1950和第三發(fā)送模塊I960����。第一綁定模塊1950用于將所述組通信根密鑰與所述組ID相綁定并存儲、或者將所述業(yè)務根密鑰與業(yè)務ID相綁定并存儲���。第三發(fā)送模塊1960用于當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時���,如果所述MTC設備與網絡側認證成功,則向所述基站發(fā)送所述組ID和所述組通信根密鑰�����、或者所述業(yè)務ID與所述業(yè)務根密鑰�。根據(jù)本發(fā)明的實施例,第二接收模塊1930用于從HSS接收組通信根密鑰或所業(yè)務根密鑰和隨機數(shù)�����;第二發(fā)送模塊1940還用于向基站發(fā)送隨機數(shù),以使基站將隨機數(shù)發(fā)送給MTC設備���。在該情況下����,移動性管理實體1900還可以包括第二綁定模塊1970���,用于將組通信根密鑰���、隨機數(shù)與組ID綁定并存儲、或者將業(yè)務根密鑰�、隨機數(shù)與業(yè)務ID綁定并存儲。此時��,移動管理實體1900還可以包括第四發(fā)送模塊1980����,用于當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時,如果所述MTC設備與網絡側認證成功����,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機數(shù)�����,或者向所述基站發(fā)送所述業(yè)務ID以及與所述業(yè)務ID綁定的所述業(yè)務根密鑰和所述隨機數(shù)���。根據(jù)本發(fā)明的一個實施例�����,移動性管理實體1900還可以包括第三接收模塊1990和認證模塊1992���。第三接收模塊1990用于從HSS接收組認證參數(shù)����,其中組認證參數(shù)由HSS根據(jù)安全密鑰生成�����,或者由HSS根據(jù)安全密鑰和MTC設備的專屬密鑰生成�����。認證模塊1992用于根據(jù)組認證參數(shù),與MTC設備進行認證�����。根據(jù)本發(fā)明的實施例����,移動性管理實體1900還可以包括處理模塊1994,用于當網絡側維護的預定定時器達到第一預定閾值時�����,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時�����,或者當維護的非接入層的計數(shù)值達到第三預定閾值時�����,與MTC設備進行重認證或者從HSS接收新的組通信根密鑰或業(yè)務根密鑰�,新的組通信根密鑰或業(yè)務根密鑰由HSS根據(jù)安全密鑰和新的隨機數(shù)生成。第一發(fā)送模塊1920����、第二接收模塊1830�����、第二發(fā)送模塊1840����、第一綁定模塊1950�����、第三發(fā)送模塊I960�����、第二綁定模塊1970��、第四發(fā)送模塊1980�、第三接收模塊1990����、認證模塊1992和處理模塊1994的上述和其他操作和/或功能可以參考上述方法1300以及第一例子至第三例子中的描述,為了避免重復��,在此不再贅述���。其中���,第三發(fā)送模塊I960和第四發(fā)送模塊1980可以通過輸出接口實現(xiàn)���,第三接收模塊1990可以通過輸入接口實現(xiàn),第一綁定模塊1950���、第二綁定模塊1970����、認證模塊1992和處理模塊1994可以通過處理器實現(xiàn)�。根據(jù)本發(fā)明實施例提供的移動性管理實體,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信��,而在基站中也只需要為同一個組保持相同組密鑰��,這樣���,可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù)�,提高基站性能����。圖20是根據(jù)本發(fā)明實施例的歸屬用戶系統(tǒng)2000的結構框圖�����。
歸屬用戶系統(tǒng)2000包括接收模塊2010���、第一生成模塊2020和第一發(fā)送模塊2030��。接收模塊2010可以通過輸入接口實現(xiàn)���,第一生成模塊2020可以通過處理器實現(xiàn),第一發(fā)送模塊2030可以通過輸出接口實現(xiàn)��。接收模塊2010用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID����。第一生成模塊2020用于根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰��。第一發(fā)送模塊2030用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰���,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰���、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰��。接收模塊2010����、第一生成模塊2020和第一發(fā)送模塊2030的上述和其他操作和/或功能可以參考上述方法1400以及第一例子至第三例子中的描述,為了避免重復����,在此不再贅述。根據(jù)本發(fā)明實施例提供的歸屬用戶系統(tǒng)�,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰�,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備��,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰�����。從而���,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰��,這樣��,可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能��。圖21是根據(jù)本發(fā)明實施例的歸屬用戶系統(tǒng)2100的結構框圖��。歸屬用戶系統(tǒng)2100的接收模塊2110��、第一生成模塊2120和第一發(fā)送模塊2130與歸屬用戶系統(tǒng)2100的接收模塊2010��、第一生成模塊2020和第一發(fā)送模塊2030基本相同�����。根據(jù)本發(fā)明的一個實施例��,歸屬用戶系統(tǒng)2100還可以包括第二生成模塊2140和第二發(fā)送模塊2150���。第二生成模塊2140用于根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰�����,或者�����,根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰和所述MTC設備的專屬密鑰�,生成用于供所述MTC設備進行組認證的組認證參數(shù)����。第二發(fā)送模塊2150用于向所述MME發(fā)送所述組認證參數(shù),以使所述MME與所述MTC設備進行認證���。第二生成模塊2140和第二發(fā)送模塊2150的上述和其他操作和/或功能可以參考上述方法1400以及第一例子至第三例子中的描述�,為了避免重復,在此不再贅述����。其中,第二生成模塊2140可以通過處理器實現(xiàn)�,第二發(fā)送模塊2150可以通過輸出接口實現(xiàn)。根據(jù)本發(fā)明實施例提供的歸屬用戶系統(tǒng)����,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰����,這樣,可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能�。圖22是根據(jù)本發(fā)明實施例的機器類通信設備2200的結構框圖。機器類通信設備2200包括發(fā)送模塊2210���、第一接收模塊2220和生成模塊2230���。發(fā)送模塊2210可以通過輸出接口實現(xiàn),第一接收模塊2220可以通過輸入接口實現(xiàn)���,生成模塊2230可以通過處理器實現(xiàn)�����。發(fā)送模塊2210用于向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID�,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID��,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰���、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰�����,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�����,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰�����、或者所述業(yè)務ID和所述業(yè)務根密鑰��,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID��、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰。第一接收模塊2220用于從所述基站接收用于生成所述組密鑰的生成參數(shù)�。生成模塊2230用于根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰。發(fā)送模塊2210��、第一接收模塊2220和生成模塊2230的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第三例子中的描述�,為了避免重復,在此不再贅述����。根據(jù)本發(fā)明實施例提供的機器類通信設備,由于在MTC設備和HSS中保存有與組ID或業(yè)務ID對應的安全密鑰�����,所以網絡側通過利用安全密鑰和HSS產生的隨機數(shù)可以生成MTC設備所在組的組密鑰��,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內的MTC設備�,來使MTC設備利用生成參數(shù)和安全密鑰生成組密鑰��。從而���,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰�,這樣��,可以降低基站操作的復雜性���,減少基站維護和管理的密鑰數(shù)���,提高基站性能。圖23是根據(jù)本發(fā)明實施例的機器類通信設備2300的結構框圖�����。機器類通信設備2300的發(fā)送模塊2310�����、第一接收模塊2320和生成模塊2330與機器類通信設備2200的發(fā)送模塊2210���、第一接收模塊2220和生成模塊2230基本相同���。根據(jù)本發(fā)明的實施例��,在基站收到組ID和組通信根密鑰的情況下���,第一接收模塊2320用于在MTC設備的認證過程中,從基站接收用于生成組通信根密鑰的認證參數(shù)���,或者�����,第一接收模塊2320用于從基站接收隨機數(shù)�,其中隨機數(shù)由HSS經由MME發(fā)送給基站����。根據(jù)本發(fā)明的一個實施例,在基站收到業(yè)務ID和業(yè)務根密鑰的情況下����,第一接收模塊2320用于從基站接收組ID和隨機數(shù),其中隨機數(shù)由HSS經由MME發(fā)送給基站��,組ID由基站根據(jù)業(yè)務ID確定�����。根據(jù)本發(fā)明的實施例,第一接收模塊2320還可用于從基站接收用于生成組密鑰的組算法標識���。根據(jù)本發(fā)明的實施例����,機器類通信設備2300還可以包括第二接收模塊2340和第一更新模塊2350�����。第二接收模塊2340用于從基站接收用于更新組密鑰的更新信息�,其中基站在組ID對應的HFN達到閾值時更新組密鑰����,同一組ID的所有MTC設備共用相同的HFN。第一更新模塊2350用于根據(jù)更新信息更新組密鑰��。 同一組的所有MTC設備可以共用相同的HFN���。在該情況下�,組ID對應的HFN可以被預先設置為固定值����;或者����,機器類通信設備2300還可以包括第三接收模塊2360���,用于通過MTC設備的信令承載��、組ID對應組的公共信令承載或者廣播信道�����,從基站接收HFN的取值�;或者���,機器類通信設備2300還可以包括第四接收模塊2370��,用于當組ID對應的HFN達到閾值時���,通過MTC設備的信令承載、組ID對應組的公共信令承載或者廣播信道�,從基站接收用于指示HFN加I的指示信息。根據(jù)本發(fā)明的一個實施例���,機器類通信設備2300還可以包括第五接收模塊2380和第二更新模塊2390���。第五接收模塊2380用于當MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應的組通信時���,從基站接收更新組密鑰所需的密鑰更新次數(shù),其中�����,密鑰更新次數(shù)由基站在組ID對應的HFN每次達到閾值時增加I��。第二更新模塊2390用于根據(jù)密鑰更新次數(shù)更新組密鑰��。根據(jù)本發(fā)明的實施例�,機器類通信設備2300還可以包括處理模塊2392����,用于當網絡側維護的預定定時器達到第一預定閾值時,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時�,或者當MME維護的非接入層的計數(shù)值達到第三預定閾值時,與MME進行重認證或者從基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和安全密鑰生成新的組密鑰���。第一接收模塊2320����、第二接收模塊2340、第一更新模塊2350��、第三接收模塊2360�、第四接收模塊2370、第五接收模塊2380����、第二更新模塊2390和處理模塊2392的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第三例子中的描述,為了避免重復�����,在此不再贅述���。其中�,第二接收模塊2340��、第三接收模塊2360����、第四接收模塊2370和第五接收模塊2380可以通過輸入接口實現(xiàn),第一更新模塊2350、第二更新模塊2390和處理模塊2392可以通過處理器執(zhí)行����。根據(jù)本發(fā)明實施例提供的機器類通信設備,同一組內的MTC設備可以利用相同的組密鑰來正常進行組通信��,而在基站中也只需要為同一個組保持相同組密鑰�,這樣,可以降低基站操作的復雜性�,減少基站維護和管理的密鑰數(shù),提高基站性能���。本領域技術人員可以意識到����,結合本文中所公開的實施例中描述的各方法步驟和單元�,能夠以電子硬件、計算機軟件或者二者的結合來實現(xiàn)�,為了清楚地說明硬件和軟件的可互換性��,在上述說明中已經按照功能一般性地描述了各實施例的步驟及組成����。這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術方案的特定應用和設計約束條件。本領域技術人員可以對每個特定的應用使用不同方法來實現(xiàn)所描述的功能��,但是這種實現(xiàn)不應認為超出本發(fā)明的范圍����。結合本文中所公開的實施例描述的方法步驟可以用硬件、處理器執(zhí)行的軟件程序�����、或者二者的結合來實施��。軟件程序可以置于隨機存取存儲器(RAM)����、內存、只讀存儲器(ROM)���、電可編程ROM����、電可擦除可編程ROM�、寄存器、硬盤���、可移動磁盤�、CD-ROM或技術領域內所公知的任意其它形式的存儲介質中。盡管已示出和描述了本發(fā)明的一些實施例��,但本領域技術人員應該理解�����,在不脫離本發(fā)明的原理和精神的情況下��,可對這些實施例進行各種修改��,這樣的修改應落入本發(fā)明的范圍內��。
權利要求
1.種生成組密鑰的方法��,其特征在于�����,包括: 從移動性管理實體MME接收機器類通信MTC設備所在組的組ID�,和與安全密鑰相關的組通信根密鑰,所述安全密鑰與所述組ID相對應�;或者���,從MME接收MTC設備支持業(yè)務的業(yè)務ID�,和與安全密鑰相關的業(yè)務根密鑰,所述安全密鑰與所述業(yè)務ID對應��,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰���; 根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰; 向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)��,以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰��。
2.據(jù)權利要求1所述的方法��,其特征在于����,所述方法進一步包括:從MME接收用于生成組通信根密鑰的隨機數(shù); 所述向MTC設備發(fā)送的生成參數(shù)包括所述隨機數(shù)�。
3.據(jù)權利要求1所述的方法,其特征在于��,所述組通信根密鑰根據(jù)隨機數(shù)生成�; 所述向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)包括: 在所述MTC設備的認證過程中���,向所述MTC設備發(fā)送用于生成所述組通信根密鑰的認證參數(shù),所述認證參考包括所述隨機數(shù)�。
4.據(jù)權利要求1所述的方法,其特征在于��,所述根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰時��,進一步 包括根據(jù)隨機數(shù)生成組通信根密鑰����; 則所述向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)包括: 向所述MTC設備發(fā)送所述組ID和所述隨機數(shù)。
5.據(jù)權利要求1至4中任一所述的方法����,其特征在于,還包括: 將所述組通信根密鑰�、所述組密鑰、所述生成參數(shù)與所述組ID相綁定�; 當確定其他MTC設備屬于所述組ID對應的組時,向所述其他MTC設備發(fā)送與所述組ID綁定的所述生成參數(shù)����,以使所述其他MTC設備根據(jù)所述生成參數(shù)和所述安全密鑰生成所述組密鑰。
6.據(jù)權利要求1至5中任一所述的方法�����,其特征在于��,同一組ID的所有MTC設備共用相同的超幀號HFN���。
7.據(jù)權利要求6所述的方法�,其特征在于���,還包括: 當所述組ID對應的HFN達到閾值時���,更新所述組密鑰; 向所述MTC設備發(fā)送用于更新所述組密鑰的更新信息����,以使所述MTC設備根據(jù)所述更新信息更新所述組密鑰。
8.據(jù)權利要求6或7所述的方法���,其特征在于��, 所述組ID對應的HFN被預先設置為固定值�����;或者 通過所述組ID對應組內所有MTC設備各自的信令承載�、所述組ID對應組的公共信令承載或者廣播信道,向所述組ID對應組內所有MTC設備發(fā)送所述HFN的取值�����;或者 當所述組ID對應的HFN達到閾值時���,通過所述組ID對應組內所有MTC設備各自的信令承載�����、所述組ID對應組的公共信令承載或者廣播信道�����,向所述組ID對應組內所有MTC設備發(fā)送用于指示所述HFN加I的指示信息��。
9.據(jù)權利要求6所述的方法���,其特征在于,還包括:當所述MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應的組通信時��,向所述MTC設備發(fā)送更新所述組密鑰所需的密鑰更新次數(shù)�,以使所述MTC設備根據(jù)密鑰更新次數(shù)更新所述組密鑰��;或者 當其它MTC設備第一次加入所述組ID對應的組通信時����,向所述其它MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)和更新所述組密鑰所需的密鑰更新次數(shù)���,以使所述其它MTC設備根據(jù)所述生成參數(shù)、所述密鑰更新次數(shù)和所述安全密鑰生成組密鑰��, 其中�,所述密鑰更新次數(shù)在所述組ID對應的HFN每次達到閾值時增加I。
10.種生成組密鑰的方法��,其特征在于�,包括: 接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ; 向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID����,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰��; 從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰�; 向基站發(fā)送所述組ID和所 述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰����,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)�,使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰。
11.據(jù)權利要求10所述的方法�,其特征在于,所述向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID包括: 當所述組ID沒有綁定與所述組ID對應的組通信根密鑰���、或者所述業(yè)務ID沒有綁定與所述業(yè)務ID對應的業(yè)務根密鑰時���,向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID。
12.據(jù)權利要求10或11所述的方法�,其特征在于,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰之后�,還包括: 將所述組通信根密鑰與所述組ID相綁定并存儲、或者將所述業(yè)務根密鑰與業(yè)務ID相綁定并存儲����; 當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時��,如果所述MTC設備與網絡側認證成功����,則向所述基站發(fā)送所述組ID和所述組通信根密鑰�、或者所述業(yè)務ID與所述業(yè)務根密鑰。
13.據(jù)權利要求10至12中任一項所述的方法����,其特征在于���,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰包括: 從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰和所述隨機數(shù)���; 其中,所述向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰還包括:向基站發(fā)送所述隨機數(shù),以使所述基站將所述隨機數(shù)發(fā)送給所述MTC設備���。
14.據(jù)權利要求13所述的方法�����,其特征在于���,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰和所述隨機數(shù)之后����,還包括: 將所述組通信根密鑰��、所述隨機數(shù)與所述組ID綁定并存儲����、或者將所述業(yè)務根密鑰、所述隨機數(shù)與所述業(yè)務ID綁定并存儲��; 當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時�����,如果所述MTC設備與網絡側認證成功����,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機數(shù),或者向所述基站發(fā)送所述業(yè)務ID以及與所述業(yè)務ID綁定的所述業(yè)務根密鑰和所述隨機數(shù)���。
15.據(jù)權利要求10至14中任一項所述的方法���,其特征在于�����,所述向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID之后�,還包括: 從所述HSS接收組認證參數(shù)��,其中所述組認證參數(shù)由所述HSS根據(jù)所述安全密鑰生成����,或者由所述HSS根據(jù)所述安全密鑰和所述MTC設備的專屬密鑰生成; 根據(jù)所述組認證參數(shù)�,與所述MTC設備進行認證�����。
16.據(jù)權利要求10至15中任一項所述的方法��,其特征在于����,還包括: 當網絡側維護的預定定時器達到第一預定閾值時�,或者當所述基站更新組密鑰的次數(shù)達到第二預定閾值時���,或者當維護的非接入層的計數(shù)值達到第三預定閾值時���,與所述MTC設備進行重認證或者從所述HSS接收新的組通信根密鑰或業(yè)務根密鑰,所述新的組通信根密鑰或業(yè)務根密鑰由所述HSS根據(jù)所述安全密鑰和新的隨機數(shù)生成�。
17.種生成組密鑰的方法,其特征在于���,包括: 從移動性管理實體M ME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID ����; 根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰�、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰; 向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�����,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�����,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰���。
18.據(jù)權利要求17所述的方法����,其特征在于�����,所述從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID之后�,還包括: 根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰���,或者����,根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰和所述MTC設備的專屬密鑰,生成用于供所述MTC設備進行組認證的組認證參數(shù)��; 向所述MME發(fā)送所述組認證參數(shù)����,以使所述MME與所述MTC設備進行認證。
19.種生成組密鑰的方法�,其特征在于,包括: 向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID��,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID����,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰���,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰�����,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務ID和所述業(yè)務根密鑰�,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID�、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����; 從所述基站接收用于生成所述組密鑰的生成參數(shù); 根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�����。
20.據(jù)權利要求19所述的方法�����,其特征在于��,在基站收到所述組ID和所述組通信根密鑰的情況下�����,所述從所述基站接收用于生成所述組密鑰的生成參數(shù)包括: 在所述MTC設備的認證過程中�����,從所述基站接收用于生成所述組通信根密鑰的認證參數(shù)��;或者 從所述基站接收所述隨機數(shù)���,其中所述隨機數(shù)由所述HSS經由所述MME發(fā)送給所述基站����。
21.據(jù)權利要求19所述的方法����,其特征在于,在基站收到所述業(yè)務ID和所述業(yè)務根密鑰的情況下��,所述從所述基站接收用于生成所述組密鑰的生成參數(shù)包括: 從所述基站接收所述組ID和所述隨機數(shù)���,其中所述隨機數(shù)由所述HSS經由所述MME發(fā)送給所述基站�����,所述組ID由所述基站根據(jù)所述業(yè)務ID確定����。
22.據(jù)權利要求19所述的方法����,其特征在于���,同一組ID的所有MTC設備共用相同的超幀號HFN。
23.據(jù)權利要求22所述的方法��,其特征在于����,還包括: 從所述基站接收用于更新所述組密鑰的更新信息,其中所述基站在所述組ID對應的HFN達到閾值時更新所述組密鑰�����; 根據(jù)所述更新信息更新所述組密鑰�����。
24.據(jù)權利要求22或23所述的方法�,其特征在于, 所述組ID對應的HFN被預先設置為固定值����;或者 通過所述MTC設備的信令承載、所述組ID對應組的公共信令承載或者廣播信道����,從所述基站接收所述HFN的取值����;或者 當所述組ID對應的HFN達到閾值時��,通過所述MTC設備的信令承載���、所述組ID對應組的公共信令承載或者廣播信道,從所述基站接收用于指示所述HFN加I的指示信息����。
25.據(jù)權利要求22至24中任一項所述的方法,其特征在于��,還包括: 當所述MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應的組通信時�����,從所述基站接收更新所述組密鑰所需的密鑰更新次數(shù)����,其中,所述密鑰更新次數(shù)由所述基站在所述組ID對應的HFN每次達到閾值時增加I ; 根據(jù)所述密鑰更新次數(shù)更新所述組密鑰����。
26.據(jù)權利要求19至25中任一項所述的方法����,其特征在于�����,還包括: 當網絡側維護的預定定時器達到第一預定閾值時����,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時,或者當MME維護的非接入層的計數(shù)值達到第三預定閾值時��,與MME進行重認證或者從所述基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和所述安全密鑰生成新的組密鑰����。
27.種基站,其特征在于��,包括: 接收模塊��,用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID�����,和與安全密鑰相關的組通信根密鑰,所述安全密鑰與所述組ID相對應���;或者�����,從MME接收MTC設備支持業(yè)務的業(yè)務ID��,和與安全密鑰相關的業(yè)務根密鑰,所述安全密鑰與所述業(yè)務ID對應����,并根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID,根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰���; 生成模塊���,用于根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰; 第一發(fā)送模塊�����,用于向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)�,以使所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰����。
28.據(jù)權利要求27所述的基站��,其特征在于�,所述接收模塊還用于從所述MME接收用于生成組通信根密鑰的隨機數(shù); 所述向MTC設備發(fā)送的生成參數(shù)包括所述隨機數(shù)����。
29.據(jù)權利要求27所述的基站,其特征在于�,所述組通信根密鑰根據(jù)隨機數(shù)生成; 所述第一發(fā)送模塊用于在所述MTC設備的認證過程中���,向所述MTC設備發(fā)送用于生成所述組通信根密鑰的認證參數(shù)���,所述認證參考包括所述隨機數(shù)。
30.據(jù)權利要求27所述的 基站���,其特征在于����,當根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組通信根密鑰時���,進一步包括根據(jù)隨機數(shù)生成組通信根密鑰����; 則所述第一發(fā)送模塊用于向所述MTC設備發(fā)送所述組ID和所述隨機數(shù)。
31.據(jù)權利要求27至30中任一項所述的基站����,其特征在于,還包括: 綁定模塊�,用于將所述組通信根密鑰、所述組密鑰��、所述生成參數(shù)與所述組ID相綁定�;第二發(fā)送模塊����,用于當確定其他MTC設備屬于所述組ID對應的組時,向所述其他MTC設備發(fā)送與所述組ID綁定的所述生成參數(shù)�����,以使所述其他MTC設備根據(jù)所述生成參數(shù)和所述安全密鑰生成所述組密鑰����。
32.據(jù)權利要求27所述的基站��,其特征在于�,還包括: 更新模塊���,用于當所述組ID對應的超幀號HFN達到閾值時�����,更新所述組密鑰�,其中所述組ID的所有MTC設備共用相同的HFN ����; 第三發(fā)送模塊,用于向所述MTC設備發(fā)送用于更新所述組密鑰的更新信息��,以使所述MTC設備根據(jù)所述更新信息更新所述組密鑰�。
33.據(jù)權利要求27所述的基站,其特征在于�,所述組ID的所有MTC設備共用相同的HFN, 所述組ID對應的HFN被預先設置為固定值;或者 所述基站還包括第四發(fā)送模塊���,用于通過所述組ID對應組內所有MTC設備各自的信令承載�����、所述組ID對應組的公共信令承載或者廣播信道�����,向所述組ID對應組內所有MTC設備發(fā)送所述HFN的取值��;或者用于當所述組ID對應的HFN達到閾值時�,通過所述組ID對應組內所有MTC設備各自的信令承載、所述組ID對應組的公共信令承載或者廣播信道�,向所述組ID對應組內所有MTC設備發(fā)送用于指示所述HFN加I的指示信息。
34.據(jù)權利要求27所述的基站�����,其特征在于����,還包括: 第五發(fā)送模塊�,用于當所述MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應的組通信時,向所述MTC設備發(fā)送更新所述組密鑰所需的密鑰更新次數(shù)�,以使所述MTC設備根據(jù)密鑰更新次數(shù)更新所述組密鑰;或者 第六發(fā)送 模塊���,用于當其它MTC設備第一次加入所述組ID對應的組通信時����,向所述其它MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)和更新所述組密鑰所需的密鑰更新次數(shù),以使所述其它MTC設備根據(jù)所述生成參數(shù)��、所述密鑰更新次數(shù)和所述安全密鑰生成組密鑰�, 其中,所述密鑰更新次數(shù)在所述組ID對應的HFN每次達到閾值時增加I��。
35.種移動性管理實體���,其特征在于����,包括: 第一接收模塊��,用于接收機器類通信MTC設備發(fā)送的所述MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID �; 第一發(fā)送模塊,用于向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID,以使所述HSS根據(jù)生成的隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰����,或者以使所述HSS根據(jù)生成的隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰; 第二接收模塊�����,用于從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰; 第二發(fā)送模塊����,用于向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務ID和所述業(yè)務根密鑰�����,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰��,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID��、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù)�,使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�����。
36.據(jù)權利要求35所述的移動性管理實體����,其特征在于,所述第一發(fā)送模塊用于當所述組ID沒有綁定與所述組ID對應的組通信根密鑰��、或者所述業(yè)務ID沒有綁定與所述業(yè)務ID對應的業(yè)務根密鑰時���,向所述MTC設備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID����。
37.據(jù)權利要求35或36所述的移動性管理實體��,其特征在于�,還包括: 第一綁定模塊,用于將所述組通信根密鑰與所述組ID相綁定并存儲�����、或者將所述業(yè)務根密鑰與業(yè)務ID相綁定并存儲�����; 第三發(fā)送模塊�����,用于當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時,如果所述MTC設備與網絡側認證成功�����,則向所述基站發(fā)送所述組ID和所述組通信根密鑰���、或者所述業(yè)務ID與所述業(yè)務根密鑰���。
38.據(jù)權利要求35至37中任一項所述的移動性管理實體,其特征在于���,所述第二接收模塊用于從所述HSS接收所述組通信根密鑰或所述業(yè)務根密鑰和所述隨機數(shù)�����; 所述第二發(fā)送模塊還用于向基站發(fā)送所述隨機數(shù)����,以使所述基站將所述隨機數(shù)發(fā)送給所述MTC設備�。
39.據(jù)權利要求38所述的移動性管理實體,其特征在于���,還包括: 第二綁定模塊��,用于將所述組通信根密鑰�、所述隨機數(shù)與所述組ID綁定并存儲�、或者將所述業(yè)務根密鑰、所述隨機數(shù)與所述業(yè)務ID綁定并存儲�; 第四發(fā)送模塊,用于當收到其它MTC設備發(fā)送的攜帶有所述組ID或業(yè)務ID的附著請求時�,如果所述MTC設備與網絡側認證成功,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機數(shù)�����,或者向所述基站發(fā)送所述業(yè)務ID以及與所述業(yè)務ID綁定的所述業(yè)務根密鑰和所述隨機數(shù)��。
40.據(jù)權利要求35至39中任一項所述的移動性管理實體�����,其特征在于����,還包括: 第三接收模塊,用于從所述HSS接收組認證參數(shù)�����,其中所述組認證參數(shù)由所述HSS根據(jù)所述安全密鑰生成,或者由所述HSS根據(jù)所述安全密鑰和所述MTC設備的專屬密鑰生成��; 認證模塊�����,用于根據(jù)所述組認證參數(shù)��,與所述MTC設備進行認證����。
41.據(jù)權利要求35至40中任一項所述的移動性管理實體,其特征在于����,還包括: 處理模塊,用于當網絡側維護的預定定時器達到第一預定閾值時���,或者當所述基站更新組密鑰的次數(shù)達到第二預定閾值時�,或者當維護的非接入層的計數(shù)值達到第三預定閾值時����,與所述MTC設備進行重認證或者從所述HSS接收新的組通信根密鑰或業(yè)務根密鑰���,所述新的組通信根密鑰或業(yè)務根密鑰由所述HSS根據(jù)所述安全密鑰和新的隨機數(shù)生成。
42.種歸屬用戶系統(tǒng)��,其特征在于�����,包括: 接收模塊��,用于從移動性管理實體MME接收機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID �����; 第一生成模塊�����,用于根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰�、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰����; 第一發(fā)送模塊,用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰���,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰���,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰�,并由所述基站向所述MTC設備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設備根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰�。
43.據(jù)權利要求42所述的歸屬用戶系統(tǒng),其特征在于�,還包括: 第二生成模塊,用于根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰���,或者���,根據(jù)與所述組ID或業(yè)務ID對應的安全密鑰和所述MTC設備的專屬密鑰,生成用于供所述MTC設備進行組認證的組認證參數(shù)����; 第二發(fā)送模塊����,用于向所述MME發(fā)送所述組認證參數(shù)���,以使所述MME與所述MTC設備進行認證�。
44.種機器類通信設備�,其特征在于,包括: 發(fā)送模塊���,用于向移動性管理實體MME發(fā)送機器類通信MTC設備所在組的組ID或所述MTC設備支持業(yè)務的業(yè)務ID,以使所述MME向所述MTC設備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務ID�����,所述HSS根據(jù)隨機數(shù)和與所述組ID對應的安全密鑰生成組通信根密鑰�����、或者根據(jù)隨機數(shù)和與所述業(yè)務ID對應的安全密鑰生成業(yè)務根密鑰���,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務根密鑰���,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務ID和所述業(yè)務根密鑰�,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰,或者在收到所述業(yè)務ID和業(yè)務根密鑰的情況下根據(jù)所述業(yè)務ID確定所述MTC設備所在組的組ID����、根據(jù)所述組ID和所述業(yè)務根密鑰生成所述組ID對應的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應的組密鑰����; 第一接收模塊,用于從所述基站接收用于生成所述組密鑰的生成參數(shù)����; 生成模塊,用于根據(jù)所述生成參數(shù)和所述MTC設備中保存的所述安全密鑰生成所述組密鑰���。
45.據(jù)權利要求44所述的機器類通信設備�����,其特征在于��,在基站收到所述組ID和所述組通信根密鑰的情況下����,所述第一接收模塊用于在所述MTC設備的認證過程中,從所述基站接收用于生成所述組通信根密鑰的認證參數(shù)��;或者從所述基站接收所述隨機數(shù)�,其中所述隨機數(shù)由所述HSS經由所述MME發(fā)送給所述基站。
46.據(jù)權利要求44所述的機器類通信設備���,其特征在于�����,在基站收到所述業(yè)務ID和所述業(yè)務根密鑰的情況下,所述第一接收模塊用于從所述基站接收所述組ID和所述隨機數(shù)���,其中所述隨機數(shù)由所述HSS經由所述MME發(fā)送給所述基站�,所述組ID由所述基站根據(jù)所述業(yè)務ID確定����。
47.據(jù)權利要求44至46中任一項所述的機器類通信設備,其特征在于����,還包括: 第二接收模塊��,用于從所述基站接收用于更新所述組密鑰的更新信息�,其中所述基站在所述組ID對應的HFN達到 閾值時更新所述組密鑰�����,同一組ID的所有MTC設備共用相同的 HFN �����; 第一更新模塊���,用于根據(jù)所述更新信息更新所述組密鑰���。
48.據(jù)權利要求44至47中任一項所述的機器類通信設備,其特征在于�����,同一組ID的所有MTC設備共用相同的HFN���, 所述組ID對應的HFN被預先設置為固定值��;或者 所述機器類通信設備還包括第三接收模塊����,用于通過所述MTC設備的信令承載、所述組ID對應組的公共信令承載或者廣播信道����,從所述基站接收所述HFN的取值;或者 所述機器類通信設備還包括第四接收模塊����,用于當所述組ID對應的HFN達到閾值時,通過所述MTC設備的信令承載��、所述組ID對應組的公共信令承載或者廣播信道��,從所述基站接收用于指示所述HFN加I的指示信息�����。
49.據(jù)權利要求44所述的機器類通信設備���,其特征在于,還包括: 第五接收模塊���,用于當所述MTC設備進入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應的組通信時����,從所述基站接收更新所述組密鑰所需的密鑰更新次數(shù),其中����,所述密鑰更新次數(shù)由所述基站在所述組ID對應的HFN每次達到閾值時增加I ; 第二更新模塊,用于根據(jù)所述密鑰更新次數(shù)更新所述組密鑰���。
50.據(jù)權利要求44至49中任一項所述的機器類通信設備�,其特征在于�����,還包括: 處理模塊�����,用于當網絡側維護的預定定時器達到第一預定閾值時��,或者當基站更新組密鑰的次數(shù)達到第二預定閾值時���,或者當MME維護的非接入層的計數(shù)值達到第三預定閾值時�,與MME進行重認證或者從所述基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和所述安全密鑰生成新的組密鑰。
全文摘要
本發(fā)明實施例提供了生成組密鑰的方法和相關設備��。該方法包括從MME接收MTC設備所在組的組ID���,和與安全密鑰相關的組通信根密鑰����,安全密鑰與組ID相對應�;或,從MME接收MTC設備支持業(yè)務的業(yè)務ID����,和與安全密鑰相關的業(yè)務根密鑰,安全密鑰與業(yè)務ID對應����,并根據(jù)業(yè)務ID確定MTC設備所在組的組ID,根據(jù)組ID和業(yè)務根密鑰生成組通信根密鑰��;根據(jù)組通信根密鑰生成組ID對應的組密鑰�����;向MTC設備發(fā)送用于生成組密鑰的生成參數(shù)���,以使MTC設備根據(jù)生成參數(shù)和MTC設備中保存的安全密鑰生成組密鑰����。從而�,在基站中只需要為同一組保持相同組密鑰,這樣可以降低基站操作的復雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能��。
文檔編號H04W12/06GK103096308SQ201110339969
公開日2013年5月8日 申請日期2011年11月1日 優(yōu)先權日2011年11月1日
發(fā)明者張麗佳, 陳璟, 許怡嫻 申請人:華為技術有限公司