本发明实施例提供一种对MTC设备的认证方法、MTC网关及相关设备,用于解决现有技术在对MTC设备认证时大量MTC设备与网络侧直接交互给网络带来沉重负荷的问题。所述方法包括:MTC网关与核心网节点进行相互认证;MTC网关与MTC设备进行相互认证;所述MTC网关将与所述MTC设备相互认证的结果上报至所述核心网节点;所述MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。本发明减轻了网络侧的链路负荷,而MTC设备与RAN节点之间的接入层功能通过MTC网关实现,MTC设备只实现与核心网节点之间的非接入层功能,这样也降低了MTC设备的成本。
1.一种对MTC设备的认证方法,其特征在于,包括:
所述MTC网关将与所述MTC设备相互认证的结果上报至所述核心网节点;
所述MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K1为所述MTC网关与所述核心网节点进行相互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法A1以及所述密钥K1推衍出的非接入层密钥。
2.如权利要求1所述的方法,其特征在于,所述MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述MTC网关以所述密钥K2作为MTC设备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备。
3.如权利要求1所述的方法,其特征在于,所述MTC网关根据所述密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述MTC网关根据密钥算法A2和所述密钥K1,或者根据密钥算法A2和所述密钥K2推衍非接入层密钥K3;
所述MTC网关以所述非接入层密钥K3作为MTC设备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备;
其中,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法。
4.如权利要求1至3任意一项所述的方法,其特征在于,所述MTC网关根据所述密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K之后进一步包括:所述MTC网关根据所述密钥K1提供MTC网关和无线接入网络节点之间的接入层链路保护密钥。
5.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥K1提供MTC网关和无线接入网络节点之间的接入层链路保护密钥包括:所述MTC网关获取MTC设备提供的消息计数器计数值Ncount1,所述消息计数器计数值Ncount1是在所述MTC设备与所述核心网节点进行交互过程中对交互的消息进行计数所得的值;
所述MTC网关根据所述消息计数器计数值Ncount1和所述密钥K1推衍密钥KeNB;
所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。
6.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥K1提供MTC网关和无线接入网络节点之间的接入层链路保护密钥包括:所述MTC网关获取MTC设备提供的消息计数器计数值Ncount1,所述计数值Ncount1是在所述MTC设备与所述核心网节点进行交互过程中对交互的消息进行计数所得的值;
所述MTC网关根据所述消息计数器计数值Ncount1、所述密钥K1和所述MTC设备的设备标识推衍密钥KeNB;
所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。
7.如权利要求4所述的方法,其特征在于,所述MTC网关根据所述密钥K1提供MTC网关和无线接入网络节点之间的接入层链路保护密钥包括:所述MTC网关根据消息计数器计数值Ncount2和所述密钥K1推衍密钥KeNB,所述消息计数器计数值Ncount2是在所述MTC网关与所述核心网节点进行交互过程中对交互的消息进行计数所得的值;
所述MTC网关根据所述密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。
8.一种对MTC设备的认证方法,其特征在于,包括:
所述核心网节点接收所述MTC网关发送的所述MTC网关与MTC设备相互认证的结果;
所述核心网节点根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K1是由所述核心网节点与所述MTC网关进行相互认证过程中生成,所述密钥K2为所述核心网节点根据密钥算法A1以及所述密钥K1推衍出的非接入层密钥。
9.如权利要求8所述的方法,其特征在于,所述核心网节点根据所述密钥K1或所述密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述核心网节点根据密钥算法A2和所述密钥K1,或者根据密钥算法A2和所述密钥K2推衍所述MTC设备和所述核心网节点之间的非接入层链路保护密钥K;
所述核心网节点将所述密钥算法A2下发至所述MTC网关或MTC设备以使所述MTC网关或MTC设备根据所述密钥算法A2生成MTC设备和所述核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法。
10.一种对MTC设备的认证方法,其特征在于,包括:
在所述MTC网关与核心网节点进行相互认证并将与所述MTC设备进行相互认证的结果上报至所述核心网节点后,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K。
11.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网节点之间的保护密钥K包括:所述MTC设备接收MTC网关下发的密钥K2;
所述MTC设备以所述密钥K2为MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
12.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述MTC设备接收所述MTC网关下发的密钥K1或所述MTC网关下发的密钥K2;
所述MTC设备根据所述密钥算法A2和所述密钥K1,或者根据所述密钥算法A2和所述密钥K2生成MTC设备和核心网节点之间的非接入层链路保护密钥K;
所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法;
所述密钥K2是所述MTC网关与所述核心网节点进行相互认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
13.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述MTC设备接收密钥算法A2;
所述MTC设备将密钥算法A2发送至所述MTC网关;
所述MTC设备接收所述MTC网关下发的密钥K3并以所述密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K3是所述MTC网关根据所述密钥算法A2和所述密钥K1,或者根据所述密钥算法A2和所述密钥K2推衍所得,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
14.如权利要求10所述的方法,其特征在于,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K包括:所述MTC设备接收所述MTC网关下发的密钥K3;
所述MTC设备以所述密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K3是所述MTC网关根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍所得的非接入层密钥,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
认证模块,用于与核心网节点进行相互认证以及与MTC设备进行相互认证;
上报模块,用于将所述认证模块与所述MTC设备相互认证的结果上报至所述核心网节点;
密钥提供模块,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K1为所述认证模块与所述核心网节点进行相互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法A1和所述密钥K1推衍出的非接入层密钥。
16.如权利要求15所述网关,其特征在于,所述密钥提供模块包括第一密钥下发单元;
所述第一密钥下发单元,用于以所述密钥K2作为MTC设备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备;
或者密钥提供模块包括密钥推衍单元和第二密钥下发单元;
所述密钥推衍单元,用于根据密钥算法A2和所述密钥K1,或者根据密钥算法A2和所述密钥K2推衍非接入层密钥K3,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法;
所述第二密钥下发单元,用于将所述密钥推衍单元推衍的非接入层密钥K3作为MTC设备和所述核心网节点之间的非接入层链路保护密钥K下发至所述MTC设备。
接收模块,用于接收所述MTC网关与MTC设备相互认证的结果;
密钥提供模块,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K1为所述MTC网关与所述核心网节点进行相互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法A1以及所述密钥K1推衍出的非接入层密钥。
18.如权利要求17所述的核心网节点,其特征在于,所述密钥提供模块包括:密钥推衍单元,用于根据密钥算法A2和所述密钥K1,或者根据密钥算法A2和所述密钥K2推衍所述MTC设备和所述核心网节点之间的非接入层链路保护密钥K;
下发单元,用于将所述密钥算法A2下发至所述MTC网关或MTC设备以使所述MTC网关或MTC设备根据所述密钥算法A2生成MTC设备和所述核心网节点之间的非接入层链路保护密钥K,所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法。
密钥获取模块,用于在所述MTC网关与核心网节点进行相互认证并将与所述认证模块进行相互认证的结果上报至所述核心网节点后,根据密钥K1或密钥K2获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K;
其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
20.如权利要求19所述的MTC设备,其特征在于,所述密钥获取模块包括第一接收单元;
所述第一接收单元,用于接收MTC网关下发的密钥K2,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得的非接入层密钥;
或者所述密钥获取模块包括第二接收单和密钥推衍单元;
所述第二接收单元,用于接收密钥算法A2和所述MTC网关下发的密钥K1或所述MTC网关下发的密钥K2;
所述密钥推衍单元,用于根据所述第二接收单元接收的密钥算法A2和所述密钥K1,或者根据所述第二接收单元接收的密钥算法A2和所述密钥K2生成MTC设备和核心网节点之间的非接入层链路保护密钥K;
或者所述密钥获取模块包括第三接收单元、发送单元和第四接收单元;
所述发送单元,用于将密钥算法A2发送至所述MTC网关;
所述第四接收单元,用于接收所述MTC网关下发的密钥K3;
所述第五接收单元,用于接收所述MTC网关下发的密钥K3;
所述密钥算法A2是所述核心网节点接收所述MTC网关与所述MTC设备相互认证的认证结果后为所述MTC设备选择的一种密钥算法,所述密钥K2是所述MTC网关与所述核心网节点进行相互认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成,所述密钥K3是所述MTC网关根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍所得。
对MTC设备的认证方法、MTC网关及相关设备
技术领域
[0001] 本发明涉及无线通信领域,具体涉及对MTC设备的认证方法、MTC设备网关及相关设备。
背景技术
[0002] 机器对机器(M2M,Machine to Machine)技术是无线通信和信息技术的整合,用于双向通信,适用于安全监测、自动售货机、货物跟踪等领域。根据通信的对象可以将M2M分为机器对机器、机器对移动终端(如用户远程监视)和移动终端对机器(如用户远程控制)等三种通信模式。在M2M通信中,接入至网络的M2M设备也被称作机器类型通信(MTC,Machine Type Communication)设备。
[0003] 一般而言,支撑M2M通信的系统中,MTC设备数量巨大。如果按照现有技术的认证方法直接对每一个MTC设备进行认证,那么每个MTC设备在与网络侧的认证过程中都会有大量的信令交互。这种大量MTC设备接入网络进行认证时产生的信令流量对网络侧而言是不可忽略的,并且,大量的认证过程会消耗网络侧的处理能力,这些都会给网络带来沉重的负荷。
发明内容
[0004] 本发明实施例提供一种对MTC设备的认证方法、MTC网关及相关设备,用于解决现有技术在对MTC设备认证时大量MTC设备与网络侧直接交互给网络带来沉重负荷的问题。
[0005] 一种对MTC设备的认证方法,包括:MTC网关与核心网节点进行相互认证;所述MTC网关与MTC设备进行相互认证;所述MTC网关将与所述MTC设备相互认证的结果上报至所述核心网节点;所述MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;其中,所述密钥K1为所述MTC网关与所述核心网节点进行相互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法A1以及所述密钥K1推衍出的非接入层密钥。
[0006] 一种对MTC设备的认证方法,包括:核心网节点与MTC网关进行相互认证;所述核心网节点接收所述MTC网关发送的所述MTC网关与MTC设备相互认证的结果;所述核心网节点根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;其中,所述密钥K1是由所述核心网节点与所述MTC网关进行相互认证过程中生成,所述密钥K2为所述核心网节点根据密钥算法A1以及所述密钥K1推衍出的非接入层密钥。
[0007] 一种对MTC设备的认证方法,包括:MTC设备与MTC网关进行相互认证;在所述MTC网关与核心网节点进行相互认证并将与所述MTC设备进行相互认证的结果上报至所述核心网节点后,所述MTC设备获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0008] 一种网关,包括:认证模块,用于与核心网节点进行相互认证以及与MTC设备进行相互认证;上报模块,用于将所述认证模块与所述MTC设备相互认证的结果上报至所述核心网节点;密钥提供模块,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K;其中,所述密钥K1为所述认证模块与所述核心网节点进行相互认证过程中生成的密钥,所述密钥K2为所述MTC网关根据密钥算法A1和所述密钥K1推衍出的非接入层密钥。
[0009] 一种核心网节点,包括:认证模块,用于与MTC网关进行相互认证;接收模块,用于接收所述MTC网关与MTC设备相互认证的结果;密钥提供模块,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0010] 一种MTC设备,包括:认证模块,用于与MTC网关进行相互认证;密钥获取模块,用于在所述MTC网关与核心网节点进行相互认证并将与所述认证模块进行相互认证的结果上报至所述核心网节点后,根据密钥K1或密钥K2获取所述MTC设备和核心网节点之间的非接入层链路保护密钥K;其中,所述密钥K2是所述MTC网关与所述核心网节点相互进行认证时根据所述密钥K1推衍所得的非接入层密钥,所述密钥K1是由所述MTC网关与核心网节点相互认证过程中生成。
[0011] 本发明实施例通过核心网节点与MTC网关直接相互认证,再由MTC网关与其连接的MTC设备组进行相互认证并将认证结果上报至核心网节点。由于核心网节点只与MTC网关直接相互认证,实际上是由MTC网关代理完成核心网节点与MTC设备的相互认证,因此,这种方式客观上减少了核心网节点与MTC设备直接相互认证时产生的信令流量,与现有技术相比,实际上减轻了网络侧的链路负荷,而MTC设备与无线接入网络(RAN,Radio Access Network)节点之间的接入层功能通过MTC网关实现,MTC设备只实现与核心网节点之间的非接入层功能,这样也降低了MTC设备的成本。
附图说明
[0012] 图1是本发明实施例提供的MTC设备接入核心网的示意图;
[0013] 图2是本发明实施例提供的MTC设备与网络侧相互认证的方法基本流程示意图;
[0014] 图3是本发明实施例一提供的对MTC设备的认证方法基本流程示意图;
[0015] 图4是本发明实施例一提供的MTC网关、MTC设备和核心网节点交互的流程示意图;
[0016] 图5是本发明实施例二提供的MTC网关、MTC设备和核心网节点交互的流程示意图;
[0017] 图6是本发明实施例三提供的MTC网关、MTC设备和核心网节点交互的流程示意图;
[0018] 图7是本发明实施例提供的MTC设备、MTC网关、RAN节点(基站(NB)或演进基站(eNB))和核心网节点之间的交互流程示意图;
[0019] 图8是是本发明实施例二提供的对MTC设备的认证方法基本流程示意图;
[0020] 图9是本发明实施例三提供的对MTC设备的认证方法基本流程示意图;
[0021] 图10是本发明实施例四提供的MTC网关、MTC设备和核心网节点交互的流程示意图;
[0022] 图11是本发明实施例一提供的一种网关基本逻辑结构示意图;
[0023] 图12是本发明实施例二提供的一种网关基本逻辑结构示意图;
[0024] 图13是本发明实施例三提供的一种网关基本逻辑结构示意图;
[0025] 图14是本发明实施例四提供的一种网关基本逻辑结构示意图;
[0026] 图15是本发明实施例五提供的一种网关基本逻辑结构示意图;
[0027] 图16是本发明实施例六提供的一种网关基本逻辑结构示意图;
[0028] 图17是本发明实施例七提供的一种网关基本逻辑结构示意图;
[0029] 图18是本发明实施例一提供的一种核心网节点基本逻辑结构示意图;
[0030] 图19是本发明实施例二提供的一种核心网节点基本逻辑结构示意图;
[0031] 图20是本发明实施例一提供的一种MTC设备基本逻辑结构示意图;
[0032] 图21是本发明实施例二提供的一种MTC设备基本逻辑结构示意图;
[0033] 图22是本发明实施例三提供的一种MTC设备基本逻辑结构示意图;
[0034] 图23是本发明实施例四提供的一种MTC设备基本逻辑结构示意图;
[0035] 图24是本发明实施例五提供的一种MTC设备基本逻辑结构示意图。
具体实施方式
[0036] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0037] 如图1所示,是本发明实施例一提供的MTC设备接入核心网的示意图。在本实施例中,MTC设备1至MTC设备N构成一个MTC设备组(Group),MTC设备组与MTC网关连接,MTC网关再通过无线接入网络(RAN,Radio Access Network)节点接入核心网,本发明所有实施例即是基于这种组网结构对本发明技术方案进行说明。
[0038] 在实施例一中,MTC网关与MTC设备组中的MTC设备不同,它可以是一种特殊的MTC设备,用于管理与其连接的MTC设备组中的MTC设备,具有与RAN节点之间的接入层(AS,Access Stratum)功能。而MTC设备组中的MTC设备只具有与核心网节点之间的非接入层(NAS,Non Access Stratum)功能,可以不具有与RAN节点之间的AS层功能。这种分层模式可以使得本发明与现有技术提供的认证方式不同,例如,本发明可以是分段认证、NAS层和AS层的密钥分开生成以及NAS层和AS层链路保护分别实现等等,以下逐一说明。
[0039] 图2是本发明实施例一提供的网络侧与MTC设备相互认证的方法基本流程示意图,主要包括步骤:
[0040] S201,MTC网关接受核心网节点对其进行认证并对该核心网节点进行认证。
[0041] 在本发明实施例中,核心网节点是指移动性管理实体(MME,Mobile Management Entity)或服务GPRS支持节点(SGSN,Serving GPRS Support Node)等,位于网络侧。MTC网关和核心网节点之间进行相互认证,认证方式可以是认证和密钥协商(Authentication and Key Agreement,AKA)或证书。考虑到与现有系统的兼容性,可以优先使用AKA方式进行相互认证。若使用AKA方式认证,则认证过程中使用的标识可以是MTC网关管理的MTC设备组的组标识或者MTC网关的国际移动用户标识(IMSI,International Mobile Subscriber Identity),使用的密钥是该标识对应的基本密钥。由于核心网节点不直接与MTC设备相互认证,因此,若MTC网关与核心网节点之间的相互认证失败,则MTC网关需要通知与其连接的MTC设备组会话密钥已经失效。至于相互认证的触发条件,在本实施例中,可以按照现有协议中的所有触发条件触发认证过程,也可以是在MTC设备组更新(例如,增加MTC设备或减少MTC设备等)时触发MTC网关与核心网节点之间的相互认证。
[0042] S202,MTC网关对MTC设备进行认证并接受该MTC设备对其进行认证。
[0043] 本实施例的方法都是基于图1所示实施例的MTC设备组网结构,即MTC设备与MTC网关连接。MTC网关对MTC设备进行互相认证,该认证方式可以使用AKA、扩展的认证协议AKA(EAP-AKA,Extensible Authentication Protocol-AKA)AKA或数字证书等,本发明对此并不加限制。
[0044] S203,MTC网关将与MTC设备相互认证的结果上报至核心网节点。
[0045] 由于核心网节点不是直接与MTC设备相互认证,因此,MTC网关必须将其与MTC设备相互认证的结果上报至核心网节点。只有获知MTC网关与某一或某些MTC设备相互认证是否成功后,核心网节点才可以进行后续的流程。
[0046] 需要说明的是,在本实施例中,MTC网关除了其自身接入核心网的认证信任状外,还具有管理MTC设备组中每一个MTC设备的认证信任状和其他安全相关信息。MTC网关可以通过一个可信的安全环境(例如,TrE等)保存这些认证信任状或其他安全相关信息等安全管理相关数据。一旦MTC设备组发生改变,MTC网关可以通过开放移动联盟设备管理(OMA DM,Open Mobile Alliance Device Management)或与网络侧网元(例如,HSS、EIR和OAM服务器等)同步等方式对安全管理相关数据更新。
[0047] 在上述本发明实施例中,虽然核心网节点(网络侧)没有与MTC设备直接相互认证,但MTC网关作为代理完成了与核心网节点的相互认证和与组内MTC设备的互相认证,并将认证结果上报至核心网节点,从而间接完成核心网节点与MTC设备组的相互认证。由于核心网节点只与MTC网关直接相互认证,实际上是由MTC网关代理完成核心网节点与MTC设备的相互认证,因此,这种方式客观上减少了核心网节点与MTC设备直接相互认证时产生的信令流量,与现有技术相比,实际上减轻了网络侧的链路负荷。
[0048] 在本发明实施例中,无论是MTC设备与核心网节点之间NAS层链路的保护还是MTC设备与RAN节点之间AS层链路的保护都是通过密钥进行。以下通过实施例分别以NAS层和AS层为例说明这两种协议层链路保护密钥的生成方法。
[0049] 图3是本发明实施例一提供的对MTC设备的认证方法基本流程示意图,详述如下:
[0050] S301,MTC网关与核心网节点进行相互认证以及MTC网关与MTC设备进行相互认证;
[0051] 在本发明实施例中,MTC网关与核心网节点进行相互认证以及MTC网关与MTC设备进行相互认证可以同时进行,也可以分时进行,在分时进行时,本发明对先后顺序并不加限制。
[0052] S302,MTC网关将与MTC设备相互认证的结果上报至核心网节点;
[0053] S303,MTC网关根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0054] 在本实施例中,密钥K1是MTC网关和核心网节点之间进行相互认证过程中生成的,可以是Kasme密钥,而密钥K2可以是MTC网关选择一种密钥算法A1例如NAS算法并根据该密钥算法和密钥K1推衍出来的NAS层密钥,其包括NAS完整性保护密钥和加密密钥。由于密钥K1是MTC网关和核心网节点之间进行相互认证过程中生成的,因此,可以理解的是,核心网节点也可以根据密钥K1而推衍上述密钥K2。
[0055] 作为本发明一个实施例,MTC网关可以将密钥K2下发至与其连接的所有MTC设备。
[0056] 由于MTC设备组中的各MTC设备保存MTC网关下发的密钥K2,而核心网节点也推衍了该密钥K2,因此,MTC设备或核心网节点可以使用密钥K2保护MTC设备和核心网节点之间NAS链路上传送的数据,即,在本实施例中,MTC设备可以直接以密钥K2作为其与核心网节点之间的非接入层链路保护密钥K。
[0057] 图4示出了MTC网关以密钥K2作为MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备时,MTC网关、MTC设备和核心网节点交互的流程,简述如下:
[0058] S41,MTC网关和核心网节点进行相互认证,MTC网关和MTC设备之间进行相互认证,MTC网关和核心网节点进行相互认证过程中生成密钥K1和密钥K2;
[0059] S42,MTC网关将与MTC设备进行相互认证的认证结果上报至核心网节点。
[0060] S43,MTC网关向MTC设备组下发在S41中推衍的密钥K2。
[0061] S44,MTC设备保存MTC网关下发的密钥K2。
[0062] 作为本发明另一个实施例,MTC网关也可以采用如下方法提供MTC设备和核心网节点之间的非接入层链路保护密钥K:
[0063] MTC网关根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍非接入层密钥K3;
[0064] MTC网关以非接入层密钥K3作为MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备;
[0065] 其中,密钥算法A2是核心网节点接收到MTC网关与MTC设备相互认证的认证结果后为MTC设备选择的一种密钥算法。
[0066] 为了清楚地说明MTC网关提供MTC设备和核心网节点之间的非接入层链路保护密钥K这一实施例,图5示出了MTC网关、MTC设备和核心网节点之间的一种交互流程,简述如下:
[0067] S51,MTC网关和核心网节点之间进行相互认证,MTC网关和MTC设备之间进行相互认证,MTC网关根据认证过程中生成的密钥K1和选择的某种密钥算法A1推衍密钥K2;
[0068] S52,MTC网关将与MTC设备进行相互认证的认证结果上报至核心网节点;
[0069] S53,核心网节点收到MTC网关上报的与某个MTC设备进行相互认证的认证结果后,为该某个MTC设备选择一种密钥算法A2,并根据S51中的密钥K1和选择的密钥算法A2,或者根据S51中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;
[0070] S54,核心网节点将选择的密钥算法A2下发给该某个MTC设备;
[0071] S55,该某个MTC设备将核心网节点下发的密钥算法A2发送给MTC网关;
[0072] S56,MTC网关根据S51中的密钥K1和选择的密钥算法A2,或者根据S51中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;
[0073] 需要说明的是,对于S54至S56,一种可替代的方式是:核心网节点将选择的密钥算法A2直接下发给MTC网关,而由MTC网关根据S51中的密钥K1和选择的密钥算法A2,或者根据S51中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3。
[0074] S57,MTC网关将推衍出的非接入层密钥K3发送至某个MTC设备。
[0075] 显然,由于在S53中,核心网节点也推衍出了非接入层密钥K3,而在S57中,MTC网关将推衍出的非接入层密钥K3也发送至某个MTC设备,因此,该某个MTC设备就可以以非接入层密钥K3作为MTC设备和核心网节点之间的非接入层链路保护密钥K对链路上的数据进行保护。
[0076] 图6示出了MTC网关提供MTC设备和核心网节点之间的非接入层链路保护密钥K这一实施例中,MTC网关、MTC设备和核心网节点之间的另一种交互流程,包括:
[0077] S61,MTC网关和核心网节点之间进行相互认证,MTC网关和多个MTC设备之间进行相互认证,MTC网关根据认证过程中生成的密钥K1和选择的某种密钥算法A1推衍密钥K2;
[0078] MTC网关和多个MTC设备之间进行相互认证可以是同时进行,也可以是分时进行,本实施例对此并不加限定。
[0079] S62,MTC网关将与该多个MTC设备进行相互认证的认证结果上报至核心网节点;
[0080] S63,核心网节点收到MTC网关上报的与该多个MTC设备进行相互认证的认证结果后,为该多个MTC设备选择密钥算法A2,并根据S61中的密钥K1和选择的密钥算法A2,或者根据S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;
[0081] S64,核心网节点将选择的密钥算法A2下发给MTC网关;
[0082] S65,MTC网关根据S61中的密钥K1和选择的密钥算法A2,或者根据S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;
[0083] 同样需要说明的是,对于S64至S65,一种可替代的方式是:核心网节点将选择的密钥算法A2下发给该多个MTC设备,MTC设备将密钥算法A2发送给MTC网关,再由MTC网关根据S61中的密钥K1和选择的密钥算法A2,或者根据S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3。
[0084] 在本实施例中,核心网节点为多个MTC设备选择的密钥算法A2可以是同一种密钥算法,也可以是根据不同的MTC设备选择不同的密钥算法,批量下发到MTC设备或MTC网关。
[0085] S66,MTC网关将推衍出的非接入层密钥K3发送至该多个MTC设备。
[0086] 图5所示实施例和图6所示实施例的区别之一在于:在图5所示实施例中,由于核心网节点是根据每一个MTC设备选择密钥算法A2,因此,密钥算法是逐个下发至MTC网关(或MTC设备),再由MTC网关为各个MTC设备推衍非接入层密钥K3,而在图6所示实施例中,核心网节点为多个MTC设备选择密钥算法A2时,可以将密钥算法A2批量下发到MTC设备或MTC网关,再由MTC网关为多个MTC设备推衍非接入层密钥K3。
[0087] 不难理解,当有一个新的MTC设备连接到MTC网关时,即MTC设备组更新时,可以按照图5所示实施例中的流程进行非接入层密钥K3推衍和更新。当然,若MTC网关和核心网节点上配置的策略是MTC设备组更新时触发MTC网关和核心网节点之间的认证,那么MTC网关和核心网节点之间会进行新的认证流程来更新密钥K1或密钥K2。
[0088] MTC设备和RAN节点例如基站(NodeB)或演进基站(eNodeB)之间接入层链路保护密钥的保护可以分段实现:MTC设备和MTC网关之间的链路保护为前段链路保护,MTC网关和RAN节点之间的链路保护为后段链路保护。对于前段链路保护,由于是短距离传输链路(例如蓝牙、Zigbee等)的保护,因此不在3GPP考虑的范围之内,后段链路的保护可以通过在MTC网关和RAN节点上生成一个密钥KeNB,再由该密钥KeNB推衍MTC网关和RAN节点之间的空口保护密钥。作为本发明一个实施例,MTC网关可以根据密钥K1提供MTC网关和RAN节点之间的接入层链路保护密钥,包括如下步骤:
[0089] S061,MTC网关获取MTC设备提供的消息计数器计数值Ncount1;
[0090] 消息计数器计数值Ncount1是在MTC设备与核心网节点进行交互过程中对交互的消息进行计数所得的值,是MTC设备主动向MTC网关上报或根据MTC网关的请求向MTC网关上报。
[0091] S062,MTC网关根据该消息计数器计数值Ncount1和密钥K1推衍密钥KeNB;
[0092] S063,MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。
[0093] 为了使不同时刻推衍的KeNB不同,即为了保持KeNB最新,也可以除了密钥K1或消息计数器计数值Ncount1外,再加入其它密钥推衍参数来推衍KeNB,例如MTC设备标识等,因此,作为本发明另一个实施例,MTC网关根据密钥K1提供MTC网关和RAN节点之间的接入层链路保护密钥,包括如下步骤:
[0094] S’061,MTC网关获取MTC设备提供的消息计数器计数值Ncount1;
[0095] 本实施例中消息计数器计数值Ncount1与前述实施例中消息计数器计数值Ncount1的含义相同。
[0096] S’062,MTC网关获取MTC设备的设备标识;
[0097] S’063,MTC网关根据消息计数器计数值Ncount1、密钥K1和MTC设备的设备标识推衍密钥KeNB;
[0098] S’064,MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。
[0099] 由于MTC网关自身能够提供与所述核心网节点进行交互过程中对交互的消息进行计数所得的值,因此,下述步骤是MTC网关根据密钥K1提供MTC网关和RAN节点之间的接入层链路保护密钥的又一实施例,包括:
[0100] MTC网关根据消息计数器计数值Ncount2和密钥K1推衍密钥KeNB;
[0101] 消息计数器计数值Ncount2是在MTC网关与核心网节点进行交互过程中对交互的消息进行计数所得的值;
[0102] MTC网关根据密钥KeNB推衍MTC网关和RAN节点之间的接入层链路保护密钥。
[0103] 为了清楚地说明MTC网关根据密钥K1提供MTC网关和RAN节点之间的接入层链路保护密钥这一实施例,图7示出了MTC设备、MTC网关、RAN节点(基站(NB)或演进基站(eNB))和核心网节点之间的交互流程,简述如下:
[0104] S71,MTC网关和核心网节点之间进行相互认证,生成密钥K1,MTC网关和MTC设备之间进行相互认证;
[0105] S72,第一个接入核心网的MTC设备发送密钥推衍参数至MTC网关;
[0106] MTC设备组中,第一个通过MTC网关接入到核心网的MTC设备会帮助MTC网关建立AS层安全。帮助MTC网关建立AS层安全的MTC设备有能力提供推衍根密钥KeNB和空口保护密钥所需的密钥推衍参数,例如,消息计数器计数值(例如,Ncount1)等。在本实施例中,还可以由MTC网关向MTC设备发送一个请求,MTC设备接收到该请求后,将密钥推衍参数发送给MTC网关,如附图7虚线框中的流程S'72。
[0107] S73,MTC网关根据接收的密钥推衍参数推衍密钥KeNB并由密钥KeNB进一步推衍MTC网关和RAN节点之间的空口保护密钥;
[0108] S74,核心网节点根据和MTC网关进行相互认证时生成密钥K1推衍密钥KeNB;
[0109] 由于多个MTC设备连接到MTC网关时,多个MTC设备共享该MTC网关的AS层,因此,对于在第一个通过MTC网关接入到核心网并帮助MTC网关建立AS层安全的MTC设备之后,核心网节点和MTC网关不再为其他接入网络的MTC设备推衍KeNB或者将之后推衍的KeNB忽略。
[0110] S75,核心网节点将密钥KeNB发送至RAN节点;
[0111] S76,RAN节点根据密钥KeNB推衍RAN节点和MTC网关之间的空口保护密钥。
[0112] 从上述实施例可知,在MTC设备通过MTC网关接入核心网时,MTC设备可以只实现其与网络侧核心网节点之间较高的协议层,例如GMM/SM层或NAS层,MTC设备与网络侧RAN节点之间较低的协议层(例如,AS层)在MTC网关上实现,因此,无论从软件还是硬件角度,都降低了MTC设备自身的成本。
[0113] 图8是本发明实施例二提供的对MTC设备的认证方法基本流程示意图,主要包括步骤:
[0114] S801,核心网节点与MTC网关进行相互认证;
[0115] S802,核心网节点接收MTC网关发送的该MTC网关与MTC设备相互认证的结果;
[0116] S803,核心网节点根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0117] 在本实施例中,密钥K1或密钥K2与前述实施例中的相同,核心网节点与MTC网关进行相互认证、核心网节点接收MTC网关发送的该MTC网关与MTC设备相互认证的结果已在前述实施例中详细说明,此处不再赘述。核心网节点根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K可以通过以下方式实现:
[0118] S081,核心网节点根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍MTC设备和核心网节点之间的非接入层链路保护密钥K;
[0119] 需要说明的是,在本实施例中,核心网节点根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍MTC设备和核心网节点之间的非接入层链路保护密钥K时,可以为不同的MTC设备选择不同的密钥算法A2、从而为不同的MTC设备推衍不同的非接入层链路保护密钥K,如前述图5示例中的流程S53和S54所述或如前述图6示例中的流程S63和S64所述。
[0120] S082,核心网节点将密钥算法A2下发至MTC网关或MTC设备。
[0121] 之后,MTC网关或MTC设备可以根据密钥算法A2生成MTC设备和核心网节点之间的非接入层链路保护密钥K。在本实施例中,核心网节点、MTC网关和MTC设备之间的交互如图5或图6所示,请参阅图5或图6及其文字说明,此处不再赘述。
[0122] 图9是本发明实施例三提供的对MTC设备的认证方法基本流程示意图,主要包括步骤:
[0123] S901,MTC设备与MTC网关进行相互认证;
[0124] S902,在MTC网关与核心网节点进行相互认证并将与MTC设备进行相互认证的结果上报至核心网节点后,该MTC设备获取MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0125] MTC设备与MTC网关进行相互认证、MTC网关将其与MTC设备进行相互认证的结果上报至核心网节点已在前述实施例中详细说明,此处不再赘述。
[0126] 在本实施例中,MTC设备获取MTC设备和核心网节点之间的非接入层链路保护密钥K可以是:MTC设备接收MTC网关下发的密钥K2;MTC设备直接以密钥K2为MTC设备和核心网节点之间的非接入层链路保护密钥K,例如,在图4示例流程S41至S43中,MTC网关推衍密钥K2,在S44中将推衍的密钥K2下发至MTC设备组。或者,MTC设备直接接收MTC网关下发的密钥K3;MTC设备以密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K,例如,在图5或图6示例流程S55至S57或S65至S67的可替代方式中,核心网节点将选择的密钥算法A2直接下发给MTC网关,而由MTC网关根据S51或S61中的密钥K1和选择的密钥算法A2,或者根据S51或S61中的密钥K2和选择的密钥算法A2推衍密钥K3,然后,MTC网关将推衍出的非接入层密钥K3发送至某个MTC设备或多个设备,如此,MTC设备以密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0127] 本实施例中,密钥K2和非接入层链路保护密钥K的含义与图4示例相同,MTC设备能够直接以密钥K2作为MTC设备和核心网节点之间的非接入层链路保护密钥K的原因也在图4示例中说明。
[0128] 以下分别给出MTC设备获取MTC设备和核心网节点之间的非接入层链路保护密钥K的另两种方式。
[0129] 方式一:
[0130] S911,MTC设备接收密钥算法A2;
[0131] S912,MTC设备将密钥算法A2发送至MTC网关;
[0132] S913,MTC设备接收MTC网关下发的密钥K3并以所述密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0133] 对于上述S912、S913,示例可以参阅图5或图6。在图5或图6示例的流程S55或流程S64中,核心网节点下发的密钥算法A2被发送给MTC网关后,MTC网关根据图5或图6示例的流程S51或流程S61中的密钥K1和选择的密钥算法A2,或者根据流程S51或流程S61中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;MTC网关推衍出的密钥K3被某个或多个MTC设备接收后,MTC设备可以以该密钥K3为MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0134] 方式二:
[0135] S921,MTC设备接收MTC网关下发的密钥K1或MTC网关下发的密钥K2;
[0136] S922,MTC设备接收密钥算法A2;
[0137] S923,MTC设备根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2生成MTC设备和核心网节点之间的非接入层链路保护密钥K;
[0138] 上述实施方式中,密钥算法A2、密钥K1或密钥K2均与前述实施例中的相同,不另行说明。
[0139] 为了清楚地说明上述方式二这一实施例,图10示出了MTC网关、MTC设备和核心网节点之间的一种交互流程,简述如下:
[0140] S101,MTC网关和核心网节点之间进行相互认证,MTC网关和MTC设备之间进行相互认证,MTC网关根据认证过程中生成的密钥K1和选择的某种密钥算法A1推衍密钥K2;
[0141] S102,MTC网关将与某个MTC设备进行相互认证的认证结果上报至核心网节点;
[0142] S103,MTC网关将其与核心网节点之间进行相互认证过程中生成的密钥K1或根据密钥K1和选择的某种密钥算法A1推衍出的密钥K2下发至MTC设备;
[0143] S104,核心网节点为某个MTC设备选择一种密钥算法A2,并根据S101中的密钥K1和选择的密钥算法A2或者根据S101中的密钥K2和选择的密钥算法A2推衍非接入层密钥K3;
[0144] S105,核心网节点将选择的密钥算法A2下发给该某个MTC设备;
[0145] S106,该某个MTC设备根据密钥K1和密钥算法A2,或者根据密钥K2和密钥算法A2推衍非接入层密钥K3。
[0146] K3即是MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0147] 在本发明实施例中,由于密钥K1是在MTC网关和核心网节点之间进行相互认证时推衍出,这里有必要对MTC网关和核心网节点之间进行相互认证的触发条件加以说明。在本发明实施例中,MTC网关和核心网节点之间进行相互认证的触发条件可以是:MTC设备组发生更新时、在某个定时器到期时或MTC设备组中某个MTC设备的NAS消息计数器达到计数最大值时MTC网关和核心网节点就进行相互认证。
[0148] 为了避免频繁触发MTC网关和核心网节点之间的认证从而频繁更新MTC设备和核心网节点之间的密钥K1,也可以设置密钥K1的生存期(Lifetime),在生存期完结时MTC网关和核心网节点就进行相互认证,开始生成密钥K1。
[0149] 需要说明的是,为了减少认证时产生的信令流量,应该保证核心网节点只对MTC网关触发认证而禁止对与MTC网关直接相连的MTC设备触发认证。在本发明实施例中,可以采用下述方式达到上述目的。
[0150] 方式一:核心网节点通过识别设备标识或设备标志位来区分MTC网关和MTC设备,从而保证只对MTC网关触发认证而不对与MTC网关直接相连的MTC设备触发认证。例如,可以在核心网节点的用户设备上下文(Context)字段中增加设备标志位,使用不同的设备标志位(例如,比特“0”或比特“1”)来区分MTC网关和MTC设备,或者,将MTC网关和MTC设备采用不同的IMSI范围作为设备标识进行区分。
[0151] 方式二:禁止MTC设备在发起初始层三消息是触发认证,即消息中增加一个IE,核心网节点根据此IE判断禁止对与MTC网关直接相连的MTC设备触发认证;
[0152] 方式三:MTC网关将自身的密钥标识符(Key Set Identifier,KSI)发送至与其连接的每个MTC设备,MTC设备在发起初始层三消息时携带该KSI,核心网节点根据此KSI区分MTC网关和MTC设备。
[0153] 从上述本发明实施例可知,在MTC设备通过MTC网关接入核心网时,MTC设备可以只实现其与网络侧核心网节点之间的较高的协议层,例如GMM/SM层或NAS层,而不需要实现与网络侧RAN节点之间的较低的协议层,例如,AS层,因此,无论从软件还是硬件角度,降低了MTC设备自身的成本。
[0154] 图11是本发明实施例一提供的一种网关基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单元、软件模块/单元或软硬件相结合的模块/单元。该网关包括认证模块111、上报模块112和密钥提供模块113。
[0155] 认证模块111,用于与核心网节点进行相互认证以及与MTC设备进行相互认证;
[0156] 上报模块112,用于将认证模块111与MTC设备相互认证的结果上报至核心网节点;
[0157] 密钥提供模块113,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K,其中,密钥K1为认证模块111与核心网节点进行相互认证过程中生成的密钥,密钥K2为MTC网关根据密钥算法A1和密钥K1推衍出的非接入层密钥。
[0158] 密钥提供模块113可以包括第一密钥下发单元121,如图12所示,用于以密钥K2作为MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备。
[0159] 密钥提供模块113还可以包括密钥推衍单元131和第二密钥下发单元132,如图13所示,其中:
[0160] 密钥推衍单元131,用于根据密钥算法A2和认证模块111与核心网节点进行相互认证过程中生成的密钥K1,或者根据密钥算法A2和密钥K2推衍非接入层密钥K3;
[0161] 第二密钥下发单元132,用于将密钥推衍单元131推衍的非接入层密钥K3作为MTC设备和核心网节点之间的非接入层链路保护密钥K下发至MTC设备。
[0162] 图11至图13所示实施例的网关还可以进一步包括接入层链路保护密钥提供模块141,如图14所示。接入层链路保护密钥提供模块141用于根据认证模块111与核心网节点进行相互认证过程中生成的密钥K1,提供MTC网关和无线接入网络节点之间的接入层链路保护密钥。
[0163] 图14所示接入层链路保护密钥提供模块141可以包括计数值获取单元151、密钥KeNB第一推衍单元152和接入层链路保护密钥推衍单元153,如图15所示,其中:
[0164] 计数值获取单元151,用于获取MTC设备提供的消息计数器计数值Ncount1,该消息计数器计数值Ncount1是在MTC设备与核心网节点进行交互过程中对交互的消息进行计数所得的值;
[0165] 密钥KeNB第一推衍单元152,用于根据密钥K1和计数值获取单元151获取的消息计数器计数值Ncount1推衍密钥KeNB;
[0166] 接入层链路保护密钥第推衍单元153,用于根据密钥KeNB第一推衍单元152推衍的密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。
[0167] 图14所示接入层链路保护密钥提供模块141可以包括计数值获取单元151、设备标识获取单元161、密钥KeNB第二推衍单元162和接入层链路保护密钥推衍单元153,如图16所示,其中:
[0168] 计数值获取单元151,用于获取MTC设备提供的消息计数器计数值Ncount1,该消息计数器计数值Ncount1是在MTC设备与核心网节点进行交互过程中对交互的消息进行计数所得的值
[0169] 设备标识获取单元161,用于获取MTC设备的设备标识;
[0170] 密钥KeNB第二推衍单元162,用于根据消息计数器计数值Ncount1、密钥K1和设备标识推衍密钥KeNB;
[0171] 接入层链路保护密钥第推衍单元153,用于根据密钥KeNB第二推衍单元162推衍的密钥KeNB推衍MTC网关和无线接入网络节点之间的接入层链路保护密钥。
[0172] 图14所示接入层链路保护密钥提供模块141可以包括密钥KeNB第三推衍单元171和接入层链路保护密钥推衍单元153,如图17所示,其中,密钥KeNB第三推衍单元171用于根据消息计数器计数值Ncount2和密钥K1推衍密钥KeNB,消息计数器计数值Ncount2是在MTC网关与核心网节点进行交互过程中对交互的消息进行计数所得的值。
[0173] 图18是本发明实施例一提供的一种核心网节点基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单元、软件模块/单元或软硬件相结合的模块/单元。该核心网节点包括认证模块181、接收模块182和密钥提供模块183,其中:
[0174] 认证模块181,用于与MTC网关进行相互认证;
[0175] 接收模块182,用于接收MTC网关与MTC设备相互认证的结果;
[0176] 密钥提供模块183,用于根据密钥K1或密钥K2提供MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0177] 密钥提供模块183可以进一步包括密钥推衍单元1931和下发单元1932,如图19所示,其中:
[0178] 密钥推衍单元1931,用于根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍MTC设备和核心网节点之间的非接入层链路保护密钥K;
[0179] 下发单元1932,用于将密钥算法A2下发至MTC网关或MTC设备以使MTC网关或MTC设备根据密钥算法A2生成MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0180] 在图18和图19所示实施例中,密钥算法A2是核心网节点接收MTC网关与MTC设备相互认证的认证结果后为MTC设备选择的一种密钥算法。
[0181] 图20是本发明实施例一提供的一种MTC设备基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分,其中的功能模块/单元可以是硬件模块/单元、软件模块/单元或软硬件相结合的模块/单元。该MTC设备包括认证模块201和密钥获取模块202,其中:
[0182] 认证模块201,用于与MTC网关进行相互认证;
[0183] 密钥获取模块202,用于在MTC网关与核心网节点进行相互认证并将与认证模块201进行相互认证的结果上报至核心网节点后,根据密钥K1或密钥K2获取MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0184] 图20所示实施例中密钥获取模块202可以包括第一接收单元211,如图21所示,用于接收MTC网关下发的密钥K2。
[0185] 图20所示实施例中密钥获取模块202可以包括第二接收单221和密钥推衍单元222,如图22所示,其中:
[0186] 第二接收单元221,用于接收密钥算法A2和MTC网关下发的密钥K1或MTC网关下发的密钥K2;
[0187] 密钥推衍单元222,用于根据第二接收单元221接收的密钥算法A2和密钥K1,或者根据第二接收单元221接收的密钥算法A2和密钥K2生成MTC设备和核心网节点之间的非接入层链路保护密钥K。
[0188] 图20所示实施例中密钥获取模块202可以包括第三接收单元231、发送单元232和第四接收单元233,如图23所示,其中:
[0189] 第三接收单元231,用于接收密钥算法A2;
[0190] 发送单元232,用于将第三接收单元231接收的密钥算法A2发送至MTC网关;
[0191] 第四接收单元233,用于接收MTC网关下发的密钥K3。
[0192] 图20所示实施例中密钥获取模块202可以包括第五接收单元241,如图24所示,用于接收MTC网关下发的密钥K3。
[0193] 在图20至图24所示实施例中,密钥算法A2是核心网节点接收MTC网关与MTC设备相互认证的认证结果后为MTC设备选择的密钥算法,密钥K2是MTC网关与核心网节点进行相互认证时根据密钥K1推衍所得的非接入层密钥,密钥K1是由MTC网关与核心网节点相互认证过程中生成,密钥K3是MTC网关根据密钥算法A2和密钥K1,或者根据密钥算法A2和密钥K2推衍所得。
[0194] 需要说明的是,上述设备各模块/单元之间的信息交互、执行过程以及技术效果等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的说明,此处不再赘述。
[0195] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。
[0196] 以上对本发明实施例所提供的对MTC设备的认证方法、MTC网关及相关设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
