執(zhí)行組認(rèn)證和密鑰協(xié)商過程的制作方法
【專利摘要】本發(fā)明提供一種用于執(zhí)行組認(rèn)證和密鑰協(xié)商過程的方法�、對應(yīng)裝置和計算機程序產(chǎn)品��。一種方法包括:由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程��,其中定義共享組密鑰以用于在組認(rèn)證和密鑰協(xié)商過程中使用��;基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證�;并且基于共享組密鑰執(zhí)行經(jīng)認(rèn)證的主控設(shè)備與在該組中的其它設(shè)備之間的相互認(rèn)證以用于完成組認(rèn)證和密鑰協(xié)商過程。利用要求保護(hù)的本發(fā)明�,可以顯著減少信令開銷對網(wǎng)絡(luò)的影響而無對網(wǎng)絡(luò)的現(xiàn)有架構(gòu)的大量修改。
【專利說明】執(zhí)行組認(rèn)證和密鑰協(xié)商過程
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的實施例總體涉及無線通信�。更具體而言,本發(fā)明的實施例涉及一種用于對一組通信設(shè)備����、例如機器型通信設(shè)備執(zhí)行組認(rèn)證和密鑰協(xié)商過程的方法��、裝置和計算機程序產(chǎn)品����。
【背景技術(shù)】
[0002]在說明書中和/或在附圖中出現(xiàn)的各種縮寫詞定義如下:
[0003]3GPP第三代合作伙伴項目 [0004]LTE長期演進(jìn)
[0005]BS基站
[0006]MS移動臺
[0007]MME移動性管理實體
[0008]UE用戶設(shè)備
[0009]IMSI國際移動用戶標(biāo)識
[0010]ASME接入安全管理實體
[0011]TMSI暫時移動用戶標(biāo)識
[0012]MTC機器型通信
[0013]HSS歸屬用戶服務(wù)器
[0014]IMEI國際移動設(shè)備標(biāo)識
[0015]AV認(rèn)證矢量
[0016]USIM通用用戶標(biāo)識模塊
[0017]AUTN認(rèn)證令牌
[0018]RAND隨機質(zhì)詢
[0019]GPRS通用分組無線電服務(wù)
[0020]SGSN服務(wù)GPRS支持節(jié)點
[0021]XRES預(yù)計響應(yīng)
[0022]CK密碼密鑰
[0023]IK完整性密鑰
[0024]AK匿名密鑰
[0025]XMAC預(yù)計消息認(rèn)證碼
[0026]MAC消息認(rèn)證碼
[0027]AuC認(rèn)證中心
[0028]AKA認(rèn)證和密鑰協(xié)商
[0029]AKA過程是已經(jīng)被當(dāng)今的許多通信系統(tǒng)用于提高系統(tǒng)安全性和穩(wěn)健性的過程����。已經(jīng)在通過完全引用而并入于此的3GPP技術(shù)規(guī)范33.102和33.401中詳述一個這樣的AKA過程?�?梢陨婕暗饺绫绢I(lǐng)域已知的質(zhì)詢-響應(yīng)認(rèn)證過程的AKA過程將不可避免地引起某個數(shù)量的信令開銷�����。在將在AKA過程中認(rèn)證的設(shè)備數(shù)目相對低時��,它對于網(wǎng)絡(luò)將僅引起少量開銷����。然而在其中將同時認(rèn)證的設(shè)備眾多的情形中,它將生成可能給網(wǎng)絡(luò)的帶寬和處理能力帶來負(fù)擔(dān)的大量信令開銷���。這對于機器型通信尤其如此����,在這些機器型通信中,按組形成的許多MTC設(shè)備將同時朝著網(wǎng)絡(luò)發(fā)起它們自己的AKA過程并且由此給網(wǎng)絡(luò)帶來負(fù)面影響�。關(guān)于MTC通信的更多信息,參見也通過完全引用而并入于此的3GPP技術(shù)報告33.868�����。
[0030]因此���,在現(xiàn)有技術(shù)中需要的是一種用于以高效和安全方式對一組設(shè)備執(zhí)行組AKA過程的手段、使得信令開銷對網(wǎng)絡(luò)的影響可能被減小��。
【發(fā)明內(nèi)容】
[0031]因此提供一種用于對一組設(shè)備執(zhí)行組AKA過程的方法�、裝置和計算機程序產(chǎn)品。具體而言��,提供一種方法�����、裝置和計算機程序產(chǎn)品�,其中一組設(shè)備中的主控設(shè)備在完成它自己的與網(wǎng)絡(luò)(即認(rèn)證實體)的認(rèn)證時可以代表網(wǎng)絡(luò)認(rèn)證在該組中的其它設(shè)備。因此例如可以減少信令開銷對網(wǎng)絡(luò)的影響而無對網(wǎng)絡(luò)的現(xiàn)有架構(gòu)的大量修改�。
[0032]本發(fā)明的一個實施例提供一種方法���。該方法包括由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程,其中定義共享組密鑰以用于在組認(rèn)證和密鑰協(xié)商過程中使用��。該方法也包括基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證���。此外��,該方法包括基于共享組密鑰執(zhí)行在經(jīng)認(rèn)證的主控設(shè)備與在該組中的其它設(shè)備之間的相互認(rèn)證以用于完成組認(rèn)證和密鑰協(xié)商過程����。
[0033]在一個實施例中�����,由設(shè)備組的所有者�����、主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商選擇主控設(shè)備��。
[0034]在另一實施例中�����,為多個不同的設(shè)備組定義多個不同的共享組密鑰,使得設(shè)備基于它屬于的組而具有共享組密鑰中的多個共享組密鑰�����。
[0035]在一個附加實施例中�����,執(zhí)行相互認(rèn)證基于質(zhì)詢-響應(yīng)認(rèn)證過程���。
[0036]在一個實施例中,該方法還包括從主控設(shè)備向認(rèn)證實體發(fā)送關(guān)于組認(rèn)證和密鑰協(xié)商過程的結(jié)果的消息��。
[0037]在另一實施例中����,該方法還包括由主控設(shè)備指示組認(rèn)證和密鑰協(xié)商過程中已經(jīng)失敗的一個或者多個設(shè)備分別地朝著認(rèn)證實體發(fā)起認(rèn)證和密鑰協(xié)商過程。
[0038]在一個附加實施例中���,該方法還包括基于一個或者多個設(shè)備專用參數(shù)和根據(jù)共享組密鑰推導(dǎo)的中間組密鑰為在組認(rèn)證和密鑰協(xié)商過程中已經(jīng)成功認(rèn)證的一個或者多個設(shè)備生成相應(yīng)的新共享密鑰���。
[0039]在另一實施例中,一個或者多個設(shè)備專用參數(shù)是如下各項中的一項或者多項:設(shè)備的現(xiàn)有專用密鑰、國際移動用戶標(biāo)識��、暫時移動用戶標(biāo)識以及國際移動設(shè)備標(biāo)識�。
[0040]在一個實施例中,現(xiàn)有專用密鑰是根據(jù)在設(shè)備與認(rèn)證中心之間的共享根密鑰推導(dǎo)的共享密鑰�,并且相應(yīng)的新共享密鑰根據(jù)現(xiàn)有專用密鑰和中間組密鑰推導(dǎo)。
[0041]本發(fā)明的一個附加實施例提供一種裝置��。該裝置包括用于由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程的裝置�,其中定義共享組密鑰以用于在組認(rèn)證和密鑰協(xié)商過程中使用。該裝置也包括用于基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證的裝置���。此外���,該裝置還包括用于基于共享組密鑰執(zhí)行在經(jīng)認(rèn)證的主控設(shè)備與該組中的其它設(shè)備之間的相互認(rèn)證以用于完成組認(rèn)證和密鑰協(xié)商過程的裝置。[0042]在一個實施例中���,由設(shè)備組的所有者�����、主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商選擇主控設(shè)備����。
[0043]在另一實施例中,為多個不同的設(shè)備組定義多個不同共享組密鑰�,使得設(shè)備基于它屬于的組而具有共享組密鑰中的多個共享組密鑰。
[0044]在一個附加實施例中��,執(zhí)行相互認(rèn)證基于質(zhì)詢-響應(yīng)認(rèn)證過程����。
[0045]在一個實施例中,該裝置還包括用于從主控設(shè)備向認(rèn)證實體發(fā)送關(guān)于組認(rèn)證和密鑰協(xié)商過程的結(jié)果的消息的裝置�����。
[0046]在另一實施例中����,該裝置還包括用于由主控設(shè)備指示組認(rèn)證和密鑰協(xié)商過程中已經(jīng)失敗的一個或者多個設(shè)備分別地朝著認(rèn)證實體發(fā)起認(rèn)證和密鑰協(xié)商過程的裝置�。
[0047]在一個附加實施例中,該裝置還包括用于基于一個或者多個設(shè)備專用參數(shù)和根據(jù)共享組密鑰推導(dǎo)的中間組密鑰為已經(jīng)在組認(rèn)證和密鑰協(xié)商過程中成功認(rèn)證的一個或者多個設(shè)備生成相應(yīng)的新共享密鑰的裝置����。
[0048]在又一實施例中,一個或者多個設(shè)備專用參數(shù)是如下各項中的一項或多項:設(shè)備的現(xiàn)有專用密鑰�����、國際移動用戶標(biāo)識、暫時移動用戶標(biāo)識和國際移動設(shè)備標(biāo)識�。
[0049]在一個實施例中,現(xiàn)有專用密鑰是根據(jù)在設(shè)備與認(rèn)證中心之間的共享根密鑰推導(dǎo)的共享密鑰�����,并且相應(yīng)的新共享密鑰根據(jù)現(xiàn)有專用密鑰和中間組密鑰推導(dǎo)�����。
[0050]本發(fā)明的一個實施例提供一種裝置����。該裝置包括至少一個處理器以及包括計算機程序代碼的至少一個存儲器,至少一個存儲器和計算機程序代碼被配置用于與至少一個處理器使該裝置一起至少執(zhí)行:由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程��,其中定義共享組密鑰以用于在組認(rèn)證和密鑰協(xié)商過程中使用����;基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證;并且基于共享組密鑰執(zhí)行在經(jīng)認(rèn)證的主控設(shè)備與在該組中的其它設(shè)備之間的相互認(rèn)證以用于完成組認(rèn)證和密鑰協(xié)商過程��。
[0051]本發(fā)明的一個實施例提供一種計算機程序產(chǎn)品�����。該計算機程序產(chǎn)品包括至少一個計算機可讀存儲介質(zhì),至少一個計算機可讀存儲介質(zhì)具有在其上存儲的計算機可讀程序代碼部分���。計算機可讀程序代碼部分包括用于由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程的程序代碼指令��,其中定義共享組密鑰以用于在組認(rèn)證和密鑰協(xié)商過程中使用��。計算機可讀程序代碼部分也包括用于基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證的程序代碼指令��。計算機可讀程序代碼部分還包括用于基于共享組密鑰執(zhí)行在經(jīng)認(rèn)證的主控設(shè)備與在該組中的其它設(shè)備之間的相互認(rèn)證以用于完成組認(rèn)證和密鑰協(xié)商過程的程序代碼指令���。
[0052]利用本發(fā)明的某些實施例,將減少對一組設(shè)備執(zhí)行太多AKA過程而引起的信令開銷���。此外��,利用共享組密鑰��,可以改進(jìn)在該組設(shè)備與網(wǎng)絡(luò)之間的安全通信。
[0053]也將在結(jié)合附圖閱讀時從具體實施例的以下描述中理解本發(fā)明的實施例的其它特征和優(yōu)點����,附圖通過示例圖示本發(fā)明的實施例的原理。
【專利附圖】
【附圖說明】
[0054]可以通過參照以下描述同時考慮附圖來獲得本發(fā)明的各種實施例及其優(yōu)點的更完整理解�,在附圖中��,相似標(biāo)號指示相似特征��,并且在附圖中:
[0055]圖1示例性地圖示提供如下環(huán)境和結(jié)構(gòu)的簡化3GPP網(wǎng)絡(luò)�����,該環(huán)境和結(jié)構(gòu)用于應(yīng)用本發(fā)明的原理�����;
[0056]圖2示例性地圖示根據(jù)本發(fā)明的實施例的用于對一組設(shè)備執(zhí)行組AKA過程的方法的流程圖����;
[0057]圖3示例性地圖示根據(jù)本發(fā)明的實施例的用于在LTE網(wǎng)絡(luò)之下對一組設(shè)備執(zhí)行組AKA過程的方法的流程圖���;并且
[0058]圖4是圖示根據(jù)本發(fā)明的實施例的用于執(zhí)行組AKA過程的裝置的框圖�����。
【具體實施方式】
[0059]在各種實施例的以下描述中參照附圖���,附圖形成該描述的部分并且在附圖中通過示例示出各種實施例,可以在這些實施例中實現(xiàn)本發(fā)明�。本領(lǐng)域技術(shù)人員將理解�,可以利用其它實施例并且可以進(jìn)行結(jié)構(gòu)和功能修改而不脫離本發(fā)明的范圍和精神實質(zhì)�����。
[0060]在本發(fā)明的一個實施例中���,一組設(shè)備中的主控設(shè)備可以朝著網(wǎng)絡(luò)��、例如認(rèn)證實體發(fā)起組AKA過程����。對于組AKA過程��,預(yù)定義共享組密鑰以便執(zhí)行主控設(shè)備與網(wǎng)絡(luò)之間的相互認(rèn)證�。在已經(jīng)成功認(rèn)證主控設(shè)備時,它將代替認(rèn)證實體認(rèn)證該組中的其它設(shè)備��。在本發(fā)明的另一實施例中�,如果在該組中的一個或者多個設(shè)備認(rèn)證失敗,則它們中的每個設(shè)備將發(fā)起與認(rèn)證實體的分別AKA過程���。在本發(fā)明的一個附加實施例中�,主控設(shè)備將向認(rèn)證實體發(fā)送關(guān)于組AKA過程的結(jié)果的消息��。
[0061]圖1示例性地圖示提供如下環(huán)境和結(jié)構(gòu)的簡化3GPP網(wǎng)絡(luò)100���,該環(huán)境和結(jié)構(gòu)用于應(yīng)用本發(fā)明的原理����。如圖1中所示網(wǎng)絡(luò)100包括位于網(wǎng)絡(luò)100的接入部分的MTC設(shè)備102a��、MTC設(shè)備102b和主控設(shè)備104�。此外,網(wǎng)絡(luò)100還包括位于如圓圈所示3GPP承載中的(在LTE系統(tǒng)中使用的)MME或者(在3G系統(tǒng)中使用的)SGSN106和HSS/AuC108��,其中MME或者SGSN106和HSS/AuC108 (如與接入部分比較)屬于網(wǎng)絡(luò)端實體���,并且MME或者SGSN106也可以稱為認(rèn)證實體�����。另外����,網(wǎng)絡(luò)100包括MTC服務(wù)器IlOa和MTC服務(wù)器110b�,這些MTC服務(wù)器連接到3GPP承載并且處置關(guān)于一組MTC設(shè)備、例如如圖1中所示包括MTC設(shè)備102a���、102b和104的組的各種事務(wù)��。應(yīng)當(dāng)理解��,提供網(wǎng)絡(luò)100作為一個實施例的示例而不應(yīng)解釋網(wǎng)絡(luò)100以任何方式縮小公開內(nèi)容的范圍或者精神實質(zhì)��。
[0062]在常規(guī)AKA過程中����,一組設(shè)備中的每個設(shè)備會必須分別地朝著網(wǎng)絡(luò)發(fā)起AKA過程。如圖1中的虛線所示����,MTC設(shè)備102a和102b各自通過它們的已經(jīng)在US頂中存儲的相應(yīng)共享根密鑰Ki朝著MME或者SGSN106發(fā)起AKA過程。在接收到AKA過程請求之后���,MME或者SGSN106作為中間方可以與HSS/AuC108交互以便執(zhí)行用于認(rèn)證MTC設(shè)備102a和102b的相應(yīng)質(zhì)詢-響應(yīng)過程��。雖然這里出于示例目的而圖示僅三個MTC設(shè)備(包括主控MTC設(shè)備)���,但是在實踐中可以有一組數(shù)以百計的MTC設(shè)備。在這樣的多個MTC設(shè)備單獨和同時發(fā)起AKA過程時���,毫無疑問的是生成的信令開銷對MME或者SGSN106和HSS/AuC108造成巨大影響�����。
[0063]一種用于減輕對網(wǎng)絡(luò)的以上影響的高效方式是減少在網(wǎng)絡(luò)端的執(zhí)行的AKA過程數(shù)目����。為此���,本申請的實施例提出對一組設(shè)備�����、例如MTC設(shè)備執(zhí)行組AKA過程���。在組AKA過程中,網(wǎng)絡(luò)運營商�����、主控MTC設(shè)備104的所有者或者一組MTC設(shè)備的所有者(例如公司�、比如電力公司)可以預(yù)先在該組MTC設(shè)備中選擇或者指明主控MTC設(shè)備。然后���,主控MTC設(shè)備104可以通過與密鑰Ki相似的預(yù)定義共享組密鑰Kgroup朝著認(rèn)證實體發(fā)起組AKA過程���。
[0064]在完成在主控MTC設(shè)備104與網(wǎng)絡(luò)端實體����、即MME或者SGSN106與HSS/AuC108之間的AKA過程時����,主控MTC設(shè)備104可以代表網(wǎng)絡(luò)端實體認(rèn)證該組中的其它MTC設(shè)備。換而言之�,該組中的其它MTC設(shè)備可以不再與網(wǎng)絡(luò)端實體、而是與主控MTC設(shè)備104執(zhí)行分別的AKA過程����。這樣,將顯著減少在網(wǎng)絡(luò)端的信令開銷�����,因為AKA過程僅在網(wǎng)絡(luò)端被執(zhí)行過一次�����。
[0065]圖2示例性地圖示根據(jù)本發(fā)明的實施例的方法200的流程圖�。該方法始于步驟S201并且進(jìn)行至步驟S202�,在該步驟��,方法200通過一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組AKA過程��,其中定義共享組密鑰用于在組AKA過程中使用����。在一個實施例中���,該組設(shè)備的所有者���、主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商選擇主控設(shè)備。換而言之��,組中的設(shè)備中的任一設(shè)備可以按照需要充當(dāng)主控設(shè)備發(fā)揮作用以發(fā)起組AKA過程����。在另一實施例中,為多個不同的設(shè)備組定義多個不同共享組密鑰��,從而設(shè)備基于它屬于的組而具有多個共享組密鑰��。
[0066]在發(fā)起組AKA過程之后�,方法200進(jìn)行至步驟S203�。在步驟S203��,方法200基于共享組密鑰執(zhí)行主控設(shè)備與認(rèn)證實體之間的相互認(rèn)證����。在一個實施例中,可以基于質(zhì)詢-響應(yīng)認(rèn)證過程執(zhí)行相互認(rèn)證����,在該質(zhì)詢-響應(yīng)認(rèn)證過程中使用共享組密鑰而不是常規(guī)密鑰。如本領(lǐng)域技術(shù)人員所知��,質(zhì)詢-響應(yīng)認(rèn)證過程僅在設(shè)備已經(jīng)認(rèn)證網(wǎng)絡(luò)并且網(wǎng)絡(luò)已經(jīng)認(rèn)證設(shè)備時成功���。
[0067]在認(rèn)證主控設(shè)備和網(wǎng)絡(luò)之后�,方法200進(jìn)行至步驟S204��,在該步驟����,方法200基于共享組密鑰執(zhí)行經(jīng)認(rèn)證的主控設(shè)備與該組中的其它設(shè)備之間的相互認(rèn)證用于完成組AKA過程。類似于步驟S203��,這里的相互認(rèn)證也可以涉及到質(zhì)詢-響應(yīng)認(rèn)證過程�。
[0068]雖然未在圖2中示出����,但是方法200可以在各種實施例中包括附加步驟����。例如在一個實施例中,方法200可以通過主控設(shè)備指示組AKA過程已經(jīng)失敗的一個或者多個設(shè)備分別地朝著認(rèn)證實體發(fā)起新AKA過`程�����。在另一實施例中����,方法200可以從主控設(shè)備向認(rèn)證實體發(fā)送關(guān)于組AKA過程的結(jié)果的消息���;由此��,認(rèn)證實體可以得知該組中的哪些設(shè)備已經(jīng)通過組AKA過程�。在附加實施例中�,方法200可以基于一個或者多個設(shè)備專用參數(shù)和根據(jù)共享組密鑰推導(dǎo)的中間組密鑰為已經(jīng)在組AKA過程中成功認(rèn)證的一個或者多個設(shè)備生成相應(yīng)的新共享密鑰,其中一個或者多個設(shè)備專用參數(shù)是設(shè)備的現(xiàn)有專用密鑰����、國際移動用戶標(biāo)識��、暫時移動用戶標(biāo)識和國際移動設(shè)備標(biāo)識中的一項或者多項���。在一個實施例中,現(xiàn)有專用密鑰是根據(jù)設(shè)備與AuC之間的共享根密鑰推導(dǎo)的共享密鑰���,并且根據(jù)現(xiàn)有專用密鑰和中間組密鑰推導(dǎo)相應(yīng)的新共享密鑰�����。
[0069]最后����,方法200在步驟S205結(jié)束����。
[0070]為了更好地理解本發(fā)明的實施例,現(xiàn)在將參照圖3描述組AKA過程的更完整和詳細(xì)的示例�,該圖圖示用于在LTE系統(tǒng)之下對一組設(shè)備(例如體現(xiàn)為MTC設(shè)備)執(zhí)行組AKA過程的方法300。為了恰當(dāng)實施方法300��,假設(shè)先前已經(jīng)向網(wǎng)絡(luò)注冊一組MTC設(shè)備并且每個注冊的MTC設(shè)備具有與網(wǎng)絡(luò)的共享密鑰KASME�,但是圖3為了簡潔而僅圖示在相同組中的一個MTC設(shè)備和一個主控MTC設(shè)備。另外假設(shè)已經(jīng)定義并且在該組中的每個設(shè)備中��、例如在USIM上存儲專用于組AKA過程的組密鑰KgMup??梢曰谠讵毺氐墓蚕砀荑€Ki或者根據(jù)Ki推導(dǎo)的共享密鑰的保護(hù)之下預(yù)先建立的安全通信從網(wǎng)絡(luò)向設(shè)備安全地推送這樣的組密
牟日K
1Ygroup °
[0071]基于以上假設(shè)或者由此建立的場景,方法300始于步驟S301����,其中該組設(shè)備的所有者、主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商可以從該組選擇的主控MTC設(shè)備向MME發(fā)送組AKA過程請求���。在接收組AKA過程請求之后����,MME在步驟S302請求來自HSS/AuC的AV����。由于MTC設(shè)備向網(wǎng)絡(luò)的先前注冊或者在請求中的指示組AKA過程的指示符�,HSS/AuC確定這一請求與組AKA過程有關(guān)。因此����,為了輔助組AKA過程,它將生成例如包括四個分量��、即RAND�、AUTN����、XRES 和 KASME__P 的 AV����。分量
Kas ME-GEOUP 是根據(jù)密鑰Ksmup推導(dǎo)的共享中間密鑰。關(guān)于如何推導(dǎo)這樣的共享中間密鑰,可以例如參照3GPP TS33.401的附錄�����?���?商鎿Q地,關(guān)于分量RAND和AUTN��,它們中的每個分量可以分別被專用于組AKA過程的新分量RANDsmup和AUTNgraup替換����。在步驟S303,響應(yīng)于來自MME的請求����,HSS/AuC向MME發(fā)送包括以上四個分量的AV。
[0072]在從HSS/AuC接收AV之后,MME在步驟S304向主控MTC設(shè)備轉(zhuǎn)發(fā)分量RAND和AUTN0主控MTC設(shè)備���、更具體為它的US頂在接收到RAND和AUTN之后在步驟S305首先通過計算XMAC并且比較它與在AUTN中包括的MAC來認(rèn)證MME�。如果XMAC等于MAC����,則主控MTC設(shè)備確定MME是受信任的實體;否則�,主控MTC設(shè)備將放棄或者中止這次的組AKA過程并且可以在某個時間間隔之后嘗試重新發(fā)起組AKA過程。在一個實施例中��,在用于重新發(fā)起組AKA過程的嘗試數(shù)目超過預(yù)定義限制時����,應(yīng)當(dāng)選擇或者指派新的主控設(shè)備以發(fā)起組AKA過程。在成功認(rèn)證MME之后��,主控MTC設(shè)備基于共享組密鑰Kgroui^P RAND生成響應(yīng)RES�。此后,主控MTC設(shè)備向MME發(fā)送回響應(yīng)RES���。
[0073]為了認(rèn)證主控MTC設(shè)備,MME簡單地驗證從主控MTC設(shè)備接收的響應(yīng)RES等于在AV中接收的XRES���。一旦響應(yīng)RES等于XRES�,主控MTC設(shè)備朝著無線網(wǎng)絡(luò)的認(rèn)證已經(jīng)成功完成??商鎿Q地,在以上相互認(rèn)證之后�,主控MTC設(shè)備可以基于根據(jù)Ksmup推導(dǎo)的中間密鑰ΚΑκ_Ρ和一個或者多個設(shè)備專用參數(shù)計算新共享密鑰KASME’。一個或者多個設(shè)備專用參數(shù)可以是現(xiàn)有專用密鑰���、例如Kasme或者其它標(biāo)識符�����、例如IMS1�、TMSI或者IMEI中的一項或者多項��。例如可以例如按照以下等式計算密鑰KASME’��。
【權(quán)利要求】
1.一種方法�����,包括: 由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程�,其中定義共享組密鑰以用于在所述組認(rèn)證和密鑰協(xié)商過程中使用; 基于所述共享組密鑰執(zhí)行所述主控設(shè)備與所述認(rèn)證實體之間的相互認(rèn)證�����;以及 基于所述共享組密鑰執(zhí)行經(jīng)認(rèn)證的所述主控設(shè)備與所述組中的其它設(shè)備之間的相互認(rèn)證以用于完成所述組認(rèn)證和密鑰協(xié)商過程。
2.根據(jù)權(quán)利要求1所述的方法��,其中由所述設(shè)備組的所有者��、所述主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商選擇所述主控設(shè)備�。
3.根據(jù)權(quán)利要求1所述的方法,其中為多個不同的設(shè)備組定義多個不同的共享組密鑰��,使得所述設(shè)備基于它屬于的組而具有多個所述共享組密鑰���。
4.根據(jù)權(quán)利要求1所述的方法����,其中所述執(zhí)行相互認(rèn)證基于質(zhì)詢-響應(yīng)認(rèn)證過程�����。
5.根據(jù)權(quán)利要求1所述的方法����,還包括: 從所述主控設(shè)備向所述認(rèn)證實體發(fā)送關(guān)于所述組認(rèn)證和密鑰協(xié)商過程的結(jié)果的消息。
6.根據(jù)權(quán)利要求1所述的方法����,還包括: 由所述主控設(shè)備指示所述組認(rèn)證和密鑰協(xié)商過程中已經(jīng)失敗的一個或者多個設(shè)備分別地朝著所述認(rèn)證實體發(fā)起認(rèn)證和密鑰協(xié)商過程。
7.根據(jù)權(quán)利要求1-6中任一項所述的方法�,還包括: 基于一個或者多個設(shè)備專用參`數(shù)和根據(jù)所述共享組密鑰推導(dǎo)的中間組密鑰為在所述組認(rèn)證和密鑰協(xié)商過程中已經(jīng)成功認(rèn)證的一個或者多個設(shè)備生成相應(yīng)的新共享密鑰。
8.根據(jù)權(quán)利要求7所述的方法�,其中所述一個或者多個設(shè)備專用參數(shù)是如下各項中的一項或者多項:所述設(shè)備的現(xiàn)有專用密鑰、國際移動用戶標(biāo)識����、暫時移動用戶標(biāo)識以及國際移動設(shè)備標(biāo)識。
9.根據(jù)權(quán)利要求8所述的方法��,其中所述現(xiàn)有專用密鑰是根據(jù)所述設(shè)備與認(rèn)證中心之間的共享根密鑰推導(dǎo)的共享密鑰�����,并且所述相應(yīng)的新共享密鑰根據(jù)所述現(xiàn)有專用密鑰和所述中間組密鑰推導(dǎo)���。
10.一種裝置�����,包括: 用于由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程的裝置��,其中定義共享組密鑰以用于在所述組認(rèn)證和密鑰協(xié)商過程中使用����; 用于基于所述共享組密鑰執(zhí)行所述主控設(shè)備與所述認(rèn)證實體之間的相互認(rèn)證的裝置;以及 用于基于所述共享組密鑰執(zhí)行經(jīng)認(rèn)證的所述主控設(shè)備與所述組中的其它設(shè)備之間的相互認(rèn)證以用于完成所述組認(rèn)證和密鑰協(xié)商過程的裝置�。
11.根據(jù)權(quán)利要求10所述的裝置,其中由所述設(shè)備組的所有者�����、所述主控設(shè)備的所有者或者網(wǎng)絡(luò)運營商選擇所述主控設(shè)備��。
12.根據(jù)權(quán)利要求10所述的裝置��,其中為多個不同的設(shè)備組定義多個不同的共享組密鑰���,使得所述設(shè)備基于它屬于的組而具有多個所述共享組密鑰��。
13.根據(jù)權(quán)利要求10所述的裝置����,其中所述執(zhí)行相互認(rèn)證基于質(zhì)詢-響應(yīng)認(rèn)證過程�。
14.根據(jù)權(quán)利要求10所述的裝置,還包括: 用于從所述主控設(shè)備向所述認(rèn)證實體發(fā)送關(guān)于所述組認(rèn)證和密鑰協(xié)商過程的結(jié)果的消息的裝置��。
15.根據(jù)權(quán)利要求10所述的裝置��,還包括: 用于由所述主控設(shè)備指示所述組認(rèn)證和密鑰協(xié)商過程中已經(jīng)失敗的一個或者多個設(shè)備分別地朝著所述認(rèn)證實體發(fā)起認(rèn)證和密鑰協(xié)商過程的裝置。
16.根據(jù)權(quán)利要求10-15中的任一項所述的裝置���,還包括: 用于基于一個或者多個設(shè)備專用參數(shù)和根據(jù)所述共享組密鑰推導(dǎo)的中間組密鑰為已經(jīng)在所述組認(rèn)證和密鑰協(xié)商過程中已經(jīng)成功認(rèn)證的一個或者多個設(shè)備生成相應(yīng)的新共享密鑰的裝置���。
17.根據(jù)權(quán)利要求16所述的裝置�����,其中所述一個或者多個設(shè)備專用參數(shù)是如下各項中的一項或者多項:所述設(shè)備的現(xiàn)有專用密鑰�、國際移動用戶標(biāo)識、暫時移動用戶標(biāo)識和國際移動設(shè)備標(biāo)識�。
18.根據(jù)權(quán)利要求17所述的裝置,其中所述現(xiàn)有專用密鑰是根據(jù)所述設(shè)備與認(rèn)證中心之間的共享根密鑰推導(dǎo)的共享密鑰���,并且所述相應(yīng)的新共享密鑰根據(jù)所述現(xiàn)有專用密鑰和所述中間組密鑰推導(dǎo)����。
19.一種裝置,包括: 至少一個處理器���,以及 包括計算機程序代碼的至少一個存儲器����, 所述至少一個存儲器和所述計算機程序代碼被配置用于與所述至少一個處理器一起使所述裝置至少執(zhí)行:` 由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程,其中定義共享組密鑰以用于在所述組認(rèn)證和密鑰協(xié)商過程中使用�; 基于所述共享組密鑰執(zhí)行所述主控設(shè)備與所述認(rèn)證實體之間的相互認(rèn)證;以及 基于所述共享組密鑰執(zhí)行經(jīng)認(rèn)證的所述主控設(shè)備與所述組中的其它設(shè)備之間的相互認(rèn)證以用于完成所述組認(rèn)證和密鑰協(xié)商過程�����。
20.一種計算機程序產(chǎn)品�����,包括至少一個計算機可讀存儲介質(zhì)���,所述至少一個計算機可讀存儲介質(zhì)具有在其上存儲的計算機可讀程序代碼部分��,所述計算機可讀程序代碼部分包括: 用于由一組設(shè)備中的主控設(shè)備朝著認(rèn)證實體發(fā)起組認(rèn)證和密鑰協(xié)商過程的程序代碼指令���,其中定義共享組密鑰以用于在所述組認(rèn)證和密鑰協(xié)商過程中使用; 用于基于所述共享組密鑰執(zhí)行所述主控設(shè)備與所述認(rèn)證實體之間的相互認(rèn)證的程序代碼指令�; 用于基于所述共享組密鑰執(zhí)行經(jīng)認(rèn)證的所述主控設(shè)備與所述組中的其它設(shè)備之間的相互認(rèn)證以用于完成所述組認(rèn)證和密鑰協(xié)商過程的程序代碼指令。
【文檔編號】H04W12/06GK103688563SQ201180072384
【公開日】2014年3月26日 申請日期:2011年5月26日 優(yōu)先權(quán)日:2011年5月26日
【發(fā)明者】S·霍爾特曼斯, 張大江 申請人:諾基亞公司