專利名稱:一種mtc服務器共享密鑰的方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及移動通信系統(tǒng)和機器類通信(Machine Type Communication, MTC)技木���,尤其涉及ー種MTC服務器共享密鑰的方法及系統(tǒng)����。
背景技術:
MTC是指應用無線通信技術實現(xiàn)機器與機器、機器與人之間的數(shù)據(jù)通信和交流的一系列技術及其組合的總稱�。機器對機器(machine to machine,M2M)有兩層含義第一層是機器本身,在嵌入式領域稱為智能設備�����;第二層意思是機器和機器之間的連接�����,通過網(wǎng)絡把機器連接在一起�����,從而使人類生活更加智能化���。MTC的應用范圍非常廣泛,例如智能測量��、 遠程監(jiān)控����、跟蹤、醫(yī)療等�����。與傳統(tǒng)的人與人之間的通信相比,MTC設備(M2M Device)數(shù)量巨大�����,應用領域廣泛��,具有巨大的市場前景��。在MTC通信中�����,主要的遠距離連接技術包括全球移動通訊系統(tǒng)(GlcAalSystem for Mobile Communications, GSM) / 通用分組無線服務技術(GeneralPacket Radio Service, GPRS)/通用移動通信系統(tǒng)(Universal MobileTelecommunications System�,UMTS),近距離連接技術主要有 802. llb/g��、藍牙����、Zigbee、射頻識別(Radio Frequency Identification, RFID)等����。由于MTC整合了無線通信和信息技木����,可用于雙向通信���,如遠距離收集信息����、設置參數(shù)和發(fā)送指令����,因此可實現(xiàn)不同的應用方案��,如安全監(jiān)測�、自動售貨、貨物跟蹤等�,幾乎所有日常生活中涉及到的設備都有可能成為潛在的服務對象。MTC提供了設備實時數(shù)據(jù)在系統(tǒng)之間�����、遠程設備之間���、或與個人之間建立無線連接的簡單手段����。GBA (Generic Bootstrapping Architecture)是指通用引導架構(gòu),GBA體系架構(gòu)定義了ー種在終端和服務器之間的通用的密鑰協(xié)商機制��。圖1為GBA體系架構(gòu)的網(wǎng)絡模型示意圖�,如圖1所示,GBA網(wǎng)絡模型主要包括如下網(wǎng)元UE =UE是終端設備(如手機)和(U) SIM卡的總稱���,可以是插卡的移動終端(如手機等)���,也可以是插卡的固定終端(如機頂盒等);NAF(Network Application Function)即應用服務器��,實現(xiàn)應用的業(yè)務邏輯功能�,在完成對終端的認證后為終端提供業(yè)務服務;BSF (Bootstrapping Server Function) :BSF 是 GBA 的核心網(wǎng)元���,BSF 和 UE 通過 AKA協(xié)議實現(xiàn)認證�����,并且協(xié)商出隨后用于UE和NAF間通信的應用密鑰�,BSF能夠根據(jù)本地策略設定密鑰的生命期�;HSS (Home Subscriber System)即用戶歸屬服務器�,存儲了終端(U) S頂卡中的鑒權數(shù)據(jù)��,如SIM卡中的Ki等�;SLF (Subscription Locator Function)即簽約位置功能,BSF 通過查詢 SLF 獲得存儲相關用戶數(shù)據(jù)的HSS名稱����。在単一 HSS環(huán)境和中并不需要SLF,另外���,當BSF配置成使用預先指定的HSS吋�����,也不要求使用SLF。在移動通信系統(tǒng)中引入MTC設備后�,MTC設備可能需要與多個MTC服務器進行通信。對于ー個MTC設備與ー個MTC服務器通信的情況下���,MTC設備與MTC服務器可以通過GBA過程建立會話密鑰并建立安全連接����,但是�����,當MTC設備需要與多個MTC服務器進行通信吋,需要在MTC設備與之前的MTC服務器通信完成后�,才能通過GBA過程建立安全連接。這限制了 MTC設備同時與多個MTC服務器進行安全通信的能力���,降低網(wǎng)絡資源的使用效率���。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供ー種MTC服務器共享密鑰的方法及系統(tǒng)�����, MTC設備能夠同時與多個MTC服務器進行安全通信����,從而提高網(wǎng)絡資源的使用效率。在本發(fā)明中MTC業(yè)務與M2M業(yè)務都是指機器類通信服務器(MTC服務器)提供的業(yè)務�����。為達到上述目的�����,本發(fā)明的技術方案是這樣實現(xiàn)的ー種機器類通信MTC服務器共享密鑰的方法,包括MTC設備與第一 MTC服務器通過通用引導架構(gòu)GBA過程建立安全連接并進行安全通信吋��,所述MTC設備與第二 MTC服務器需要進行安全通信���,則所述MTC設備向所述第二 MTC服務器發(fā)送請求信息��,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1 �����;第二 MTC服務器收到所述MTC設備的請求消息后����,向BSF發(fā)送認證請求��,所述認證請求包含第二 MTC服務器的主機標識NAF-ID2, B-TID和第一 MTC服務器的主機標識 NAF-ID1 �;BSF收到第二 MTC服務器的認證請求后���,根據(jù)認證請求中攜帯的B-TID和NAF-ID1 生成會話密鑰Knaf���,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第二 MTC服務器。所述認證請求響應消息還攜帶安全設置信息�,包括引導時間和會話密鑰的生命周期�����。第二 MTC服務器收到會話密鑰Knaf后��,該方法還包括第二 MTC服務器向MTC設備發(fā)送請求響應消息����。所述BSF根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前���,該方法還包括BSF驗證認證請求中攜帯的MTC服務器主機名NAF-W2的有效性����,并進ー步驗證 NAF-ID1的有效性��。 所述BSF根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前��,該方法還包括BSF判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�����,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰���,則根據(jù)認證請求中攜帯的B-TID和 NAF-ID1生成會話密鑰Knaf���,所述BSF判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰為 BSF根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系進行判斷�,或者���,BSF將NAF-ID1和 NAF-ID2發(fā)送給HSS�����,根據(jù)HSS返回的判斷結(jié)果進行判斷��。所述MTC服務器位于移動通信網(wǎng)絡內(nèi)或位于移動通信網(wǎng)絡外��,所述移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡���。ー種MTC服務器共享密鑰的系統(tǒng),包括MTC設備�����、第一 MTC服務器����、第二 MTC服務器和BSF;其中,所述MTC設備���,用于在與第一 MTC服務器通過GBA過程建立安全連接并進行安全通信的同時又需要與第二 MTC服務器進行安全通信吋�����,向所述第二 MTC服務器發(fā)送請求信息���,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1 ;所述第二 MTC服務器��,用于在收到所述MTC設備的請求消息后�,向BSF發(fā)送認證請求,所述認證請求包含第二 MTC服務器的主機標識NAF-ID2, B-TID和第一 MTC服務器的主機標識NAF-ID1 �;所述BSF,用于在收到第二 MTC服務器的認證請求后����,根據(jù)認證請求中攜帯的 B-TID和NAF-ID1生成會話密鑰Knaf,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第 ニ MTC服務器�。所述BSF發(fā)送給第二 MTC服務器的認證請求響應消息還攜帶安全設置信息,包括引導時間和會話密鑰的生命周期�。所述第二 MTC服務器,還用于在收到會話密鑰Knaf后�����,向MTC設備發(fā)送請求響應消肩、ο所述BSF����,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前,驗證認證請求中攜帯的MTC服務器主機名NAF-ID2的有效性����,并進ー步驗證NAF-ID1的有效性。該系統(tǒng)還包括HSS�����,所述HSS�����,用于保存MTC服務器之間關于密鑰的共享關系����;所述BSF,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前�����,根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系,判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰����,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF。該系統(tǒng)還包括HSS��,所述HSS����,用于保存MTC服務器之間關于密鑰的共享關系;以及在收到來自BSF的 NAF-ID1和NAF-ID2后�����,根據(jù)所述保存的MTC服務器之間關于密鑰的共享關系判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�,并向BSF返回判斷結(jié)果;所述BSF���,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前����,將NAF-ID1和NAF-W2發(fā)送給HSS����,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰���,判定允許所述第二 MTC服務器和所述第一 MTC 服務器共享密鑰,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF��。所述MTC服務器位于移動通信網(wǎng)絡內(nèi)或位于移動通信網(wǎng)絡外�,所述移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡。本發(fā)明MTC服務器共享密鑰的方法及系統(tǒng)�,MTC設備與第一 MTC服務器通過通用引導架構(gòu)GBA過程建立安全連接并進行安全通信吋,所述MTC設備需要與第二 MTC服務器進行安全通信�����,則所述MTC設備向所述第二 MTC服務器發(fā)送請求信息(包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1)����;第 ニ MTC服務器向BSF發(fā)送認證請求(包含第二 MTC服務器的主機標識NAF-ID2,B-TID和第一 MTC服務器的主機標識NAF-ID1) ;BSF根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf��,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第二 MTC服務器�。
通過本發(fā)明,在MTC設備與ー個MTC服務器已經(jīng)建立了安全連接并正在使用的情況下����,如果MTC設備與一個新的MTC服務器需要通過GBA建立安全連接����,則MTC設備與新的 MTC服務器不需要通過ー個新的GBA過程建立新的會話密鑰Knaf�����,可以通過本發(fā)明的會話密鑰共享方法使得MTC設備同時與多個MTC服務器進行安全通信���,提高網(wǎng)絡資源的使用效率。
圖1為GBA體系架構(gòu)的網(wǎng)絡模型示意圖�����;圖2為本發(fā)明MTC服務器共享密鑰的方法流程示意圖�����;圖3為本發(fā)明實施例中實現(xiàn)MTC服務器共享密鑰的系統(tǒng)架構(gòu)示意圖�����;圖4為本發(fā)明實施例中MTC服務器共享密鑰方法流程示意圖�����。
具體實施例方式本發(fā)明的基本思想是MTC設備與第一 MTC服務器通過通用引導架構(gòu)GBA過程建立安全連接并進行安全通信吋,所述MTC設備與第二 MTC服務器需要進行安全通信�����,則所述 MTC設備向所述第二 MTC服務器發(fā)送請求信息(包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1)����;第二 MTC服務器向BSF發(fā)送認證請求(包含第二 MTC服務器的主機標識NAF-ID2,B-TID和第一 MTC服務器的主機標識NAF-ID1) ;BSF根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf���,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第二 MTC服務器���。圖2為本發(fā)明MTC服務器共享密鑰的方法流程示意圖,如圖2所示��,該方法包括步驟201 =MTC設備與第一 MTC服務器建立安全連接并進行安全通信��。這里��,MTC設備需要與第一 MTC服務器進行通信吋���,通過GBA過程建立所述MTC設備與所述第一 MTC服務器之間的會話密鑰KNAF�。本發(fā)明中���,MTC設備是指移動通信網(wǎng)絡中用于機器到機器通信的設備�����,MTC服務器可以位于移動通信網(wǎng)絡內(nèi)��,也可以位于移動通信網(wǎng)絡外����。在本發(fā)明中����,移動通信網(wǎng)絡包括 3GPP網(wǎng)絡和3GPP2網(wǎng)絡。如果所述MTC設備還需要進ー步與第二 MTC服務器進行通信����,在所述MTC設備與所述第二 MTC服務器確定要采用GBA的情況下,還包括如下步驟步驟202 所述MTC設備需要與第二 MTC服務器進行安全通信�����,并確定采用GBA��。步驟203 所述MTC設備向所述第二 MTC服務器發(fā)送請求信息���,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識 NAF-ID1��。該請求信息表示要求第二 MTC服務器使用MTC設備與第一 MTC服務器正在使用的
云詁 _Μ陰ο步驟204 第二MTC服務器收到所述MTC設備的請求消息后�,向BSF發(fā)送認證請求, 所述認證請求包含第二 MTC服務器的主機標識NAF-ID2,B-TID和第一 MTC服務器的主機標識 NAF-ID1�。該認證請求表示第二 MTC服務器向BSF請求與B-TID和第一 MTC服務器主機名 NAF-ID1相關的密鑰材料。
步驟205 :BSF收到第二 MTC服務器的認證請求后����,首先驗證認證請求中攜帯的 MTC服務器主機名NAF-ID2的有效性,并進ー步驗證MTC服務器主機名NAF-ID1的有效性��。 然后根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf����,并將所述生成的Knaf及相關安全設置信息,包括引導時間和會話密鑰的生命周期等用戶安全設置��,一起通過認證請求響應消息發(fā)送給第二 MTC服務器����。可選的�����,在BSF驗證NAF-ID2與NAF-ID1的有效性后,可以進ー步驗證NAF-ID2與 NAF-ID1的關系�,即判斷主機名為NAF-ID1的第一 MTC服務器是否允許主機名為NAF-ID2的第二服務器共享第一 MTC服務器正在使用的會話密鑰KNAF。BSF判斷是否允許所述第二 MTC 服務器和所述第一 MTC服務器共享密鑰可以有以下兩種方式BSF根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系進行判斷��,或者��,BSF將NAF-ID1和NAF-W2發(fā)送給HSS���,根據(jù) HSS返回的判斷結(jié)果進行判斷��。步驟206 第二 MTC服務器收到會話密鑰Knaf后���,向MTC設備發(fā)送請求響應消息��。類似的���,如果MTC設備需要進ー步與其他MTC服務器通信吋����,可以根據(jù)以上過程與其他服務器建立共享會話密鑰�。可以看出,通過本發(fā)明�,在MTC設備與ー個MTC服務器A建立安全連接后,所述MTC 設備可以進一歩與一個新的MTC服務器B建立安全連接�����,換言之����,在MTC設備與新的MTC服務器B建立安全連接的過程中,如果MTC設備與MTC服務器A已經(jīng)建立了安全連接并正在使用�,則MTC設備與新的MTC服務器B不需要通過ー個新的GBA過程建立新的會話密鑰Knaf, 可以通過上述步驟共享會話密鑰Knaf�����,從而能夠使MTC設備同時與多個MTC服務器進行安全通信���,提高網(wǎng)絡資源的使用效率��。本發(fā)明還相應地提出了ー種MTC服務器共享密鑰的系統(tǒng)���,該系統(tǒng)包括MTC設備、第一 MTC服務器����、第二 MTC服務器和BSF ���;其中,所述MTC設備���,用于在與第一 MTC服務器通過GBA過程建立安全連接并進行安全通信的同時又需要與第二 MTC服務器進行安全通信吋��,向所述第二 MTC服務器發(fā)送請求信息��,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1 ����;所述第二 MTC服務器�����,用于在收到所述MTC設備的請求消息后�����,向BSF發(fā)送認證請求��,所述認證請求包含第二 MTC服務器的主機標識NAF-ID2, B-TID和第一 MTC服務器的主機標識NAF-ID1 ��;所述BSF�,用于在收到第二 MTC服務器的認證請求后,根據(jù)認證請求中攜帯的 B-TID和NAF-ID1生成會話密鑰Knaf��,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第 ニ MTC服務器����。所述BSF發(fā)送給第二 MTC服務器的認證請求響應消息還攜帶安全設置信息,安全設置信息包括引導時間和會話密鑰的生命周期�����。所述第二 MTC服務器����,還用于在收到會話密鑰Knaf后,向MTC設備發(fā)送請求響應消息��。
所述BSF�,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前,驗證認證請求中攜帯的MTC服務器主機名NAF-ID2的有效性���,并進ー步驗證NAF-ID1的有效性���。
該系統(tǒng)還包括HSS����,用于保存MTC服務器之間關于密鑰的共享關系����;在基于本發(fā)明的系統(tǒng)中,所述HSS還可以保存不同MTC服務器之間的關系���,即MTC服務器之間關于密鑰的共享關系��,如以MTC服務器關系列表的形式保存不同MTC服務器之間的關系�。不同MTC服務器之間的關系用于共享密鑰吋�����,BSF驗證MTC服務器之間是否可以共享會話密鑰���。所述BSF����,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前�����,根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系����,判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰��,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF�。或者�,該系統(tǒng)還包括HSS,所述HSS����,用于保存MTC服務器之間關于密鑰的共享關系;以及在收到來自BSF的NAF-ID1和NAF-ID2后��,根據(jù)所述保存的MTC服務器之間關于密鑰的共享關系判斷是否允許所述第二MTC服務器和所述第一MTC服務器共享密鑰�,并向BSF 返回判斷結(jié)果;所述BSF�����,還用于根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前��, 將NAF-ID1和NAF-W2發(fā)送給HSS����,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC 服務器和所述第一 MTC服務器共享密鑰�����,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�����,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF����。所述MTC服務器位于移動通信網(wǎng)絡內(nèi)或位于移動通信網(wǎng)絡外���,所述移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡��。上述MTC設備指移動通信網(wǎng)絡中用于機器到機器通信的設備��,是用戶用于機器類通信的設備�,UICC卡安裝在MTC設備中��,BSF和MTC設備通過AKA協(xié)議實現(xiàn)認證�,并且協(xié)商出隨后用于MTC設備和MTC業(yè)務服務器間通信的會話密鑰,BSF能夠根據(jù)本地策略設定密鑰的生命期;MTC服務器為MTC用戶提供M2M業(yè)務�。MTC服務器可以位于移動通信網(wǎng)絡內(nèi), 也可以位于移動通信網(wǎng)絡外��。在本發(fā)明中���,移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡。下面結(jié)合具體實施例對本發(fā)明技術方案的實施作進ー步的詳細描述�。實施例圖3為本發(fā)明實施例中實現(xiàn)MTC服務器共享密鑰的系統(tǒng)架構(gòu)示意圖,如圖3所示�����, 該系統(tǒng)包括MTC設備(用戶用于機器類通信的設備)�、用戶識別卡(如UICC,一般安裝在 MTC 設備中)��、BSF (Bootstrapping Server Function)禾ロ MTC 月艮務器(為 MTC 用戶提供 MTC 業(yè)務)����、HSS (Home Subscriber System,用戶歸屬服務器)����。其中,BSF和MTC設備通過AKA 協(xié)議實現(xiàn)認證�,并且協(xié)商出隨后用于MTC設備和MTC服務器間通信的會話密鑰Knaf����,BSF能夠根據(jù)本地策略設定密鑰的生命周期��;可選的���,在基于本發(fā)明的系統(tǒng)中���,所述HSS還可以保存不同MTC服務器之間的關系,如以MTC服務器關系列表的形式保存不同MTC服務器之間的關系��。不同MTC服務器之間的關系用于共享密鑰吋��,BSF驗證MTC服務器之間是否可以共享會話密鑰����。圖4為本發(fā)明實施例中MTC服務器共享密鑰方法流程示意圖,如圖4所示�,具體包括以下步驟步驟401 =MTC設備與MTC服務器A通過GBA過程建立會話密鑰KNAF。步驟402 =MTC設備還需要進ー步與MTC服務器B進行通信���,那么���,在MTC設備與 MTC服務器B確定要采用GBA方式的情況下�����,MTC設備向MTC服務器B發(fā)送請求消息���,該請求信息中包含MTC設備與MTC服務器A正在使用的引導標識B-TID,及MTC服務器A的主機標識 NAF-IDA���。該請求信息表示要求MTC服務器B使用MTC設備與MTC服務器A正在使用的會話密鑰。步驟403 =MTC服務器B收到MTC設備的請求后���,向BSF發(fā)送認證請求����,認證請求信息包含MTC服務器B的主機標識NAF-IDb, B-TID及MTC服務器A的主機標識NAF_IDa���。
該請求信息表示MTC服務器B向BSF請求與B-TID和MTC服務器A主機名NAF-IDa 相關的密鑰材料���。步驟404 =BSF收到MTC服務器B的認證請求后,首先驗證MTC服務器主機名 NAF-IDb的有效性�����。然后根據(jù)B-TID和NAF-IDA生成會話密鑰Knaf,并將Knaf及相關的安全設置信息�����,包括引導時間(bootstrap time)��、會話密鑰的生命周期(lifetime)等用戶安全設置信息�,一起通過認證請求響應消息發(fā)送給MTC服務器B。步驟405 =MTC服務器B收到認證請求響應消息后�����,保存會話密鑰相關信息��,并向 MTC設備發(fā)送請求響應消息�。以上所述,僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護范圍。
權利要求
1.ー種機器類通信MTC服務器共享密鑰的方法�,其特征在于,該方法包括MTC設備與第一 MTC服務器通過通用引導架構(gòu)GBA過程建立安全連接并進行安全通信吋�,所述MTC設備與第二 MTC服務器需要進行安全通信�����,則所述MTC設備向所述第二 MTC服務器發(fā)送請求信息��,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC服務器的主機標識NAF-ID1 �����;第二 MTC服務器收到所述MTC設備的請求消息后���,向BSF發(fā)送認證請求,所述認證請求包含第二 MTC服務器的主機標識NAF-ID2, B-TID和第一 MTC服務器的主機標識NAF-ID1 �;BSF收到第二 MTC服務器的認證請求后��,根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf��,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第二 MTC服務器���。
2.根據(jù)權利要求1所述的方法��,其特征在干����,所述認證請求響應消息還攜帶安全設置信息,包括引導時間和會話密鑰的生命周期����。
3.根據(jù)權利要求1所述的方法,其特征在干�����,第二MTC服務器收到會話密鑰Knaf后�����,該方法還包括第二 MTC服務器向MTC設備發(fā)送請求響應消息�����。
4.根據(jù)權利要求1所述的方法����,其特征在干,所述BSF根據(jù)認證請求中攜帯的B-TID和 NAF-ID1生成會話密鑰Knaf之前�,該方法還包括BSF驗證認證請求中攜帯的MTC服務器主機名NAF-ID2的有效性,并進ー步驗證NAF-ID1的有效性���。
5.根據(jù)權利要求1至4任一項所述的方法����,其特征在干,所述BSF根據(jù)認證請求中攜帶的B-TID和NAF-ID1生成會話密鑰Knaf之前�,該方法還包括BSF判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰,判定允許所述第二 MTC服務器和所述第一 MTC 服務器共享密鑰����,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf,所述BSF判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰為BSF 根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系進行判斷���,或者��,BSF將NAF-ID1和 NAF-ID2發(fā)送給HSS�����,根據(jù)HSS返回的判斷結(jié)果進行判斷。
6.根據(jù)權利要求1至4任一項所述的方法��,其特征在干�����,所述MTC服務器位于移動通信網(wǎng)絡內(nèi)或位于移動通信網(wǎng)絡外����,所述移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡�。
7.—種MTC服務器共享密鑰的系統(tǒng)�����,其特征在干�,該系統(tǒng)包括MTC設備、第一 MTC服務器�����、第二 MTC服務器和BSF ����;其中,所述MTC設備�����,用于在與第一 MTC服務器通過GBA過程建立安全連接并進行安全通信的同時又需要與第二MTC服務器進行安全通信吋�,向所述第二MTC服務器發(fā)送請求信息,所述請求信息中包含所述MTC設備與第一 MTC服務器正在使用的引導標識B-TID和第一 MTC 服務器的主機標識NAF-ID1 ��;所述第二 MTC服務器�����,用于在收到所述MTC設備的請求消息后,向BSF發(fā)送認證請求��, 所述認證請求包含第二 MTC服務器的主機標識NAF-ID2,B-TID和第一 MTC服務器的主機標識 NAF-ID1��;所述BSF�,用于在收到第二 MTC服務器的認證請求后,根據(jù)認證請求中攜帯的B-TID和 NAF-ID1生成會話密鑰Knaf�����,并將所述生成的Knaf通過認證請求響應消息發(fā)送給第二 MTC服務器���。
8.根據(jù)權利要求7所述的系統(tǒng)����,其特征在干�����,所述BSF發(fā)送給第二MTC服務器的認證請求響應消息還攜帶安全設置信息�����,包括引導時間和會話密鑰的生命周期����。
9.根據(jù)權利要求7所述的系統(tǒng),其特征在干�����,所述第二 MTC服務器����,還用于在收到會話密鑰Knaf后,向MTC設備發(fā)送請求響應消息��。
10.根據(jù)權利要求7所述的系統(tǒng)���,其特征在干�,所述BSF���,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前�, 驗證認證請求中攜帯的MTC服務器主機名NAF-W2的有效性����,并進ー步驗證NAF-ID1的有效性�����。
11.根據(jù)權利要求7至10任一項所述的方法�����,其特征在于���,該系統(tǒng)還包括HSS,所述HSS�,用于保存MTC服務器之間關于密鑰的共享關系;所述BSF���,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前����, 根據(jù)HSS保存的MTC服務器之間關于密鑰的共享關系����,判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰���,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF��。
12.根據(jù)權利要求7至10任一項所述的方法�����,其特征在于�,該系統(tǒng)還包括HSS�����,所述HSS�����,用于保存MTC服務器之間關于密鑰的共享關系����;以及在收到來自BSF的 NAF-ID1和NAF-ID2后,根據(jù)所述保存的MTC服務器之間關于密鑰的共享關系判斷是否允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�����,并向BSF返回判斷結(jié)果�;所述BSF,還用于在根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰Knaf之前, 將NAF-ID1和NAF-W2發(fā)送給HSS���,并根據(jù)HSS返回的判斷結(jié)果判斷是否允許所述第二 MTC 服務器和所述第一 MTC服務器共享密鑰�����,判定允許所述第二 MTC服務器和所述第一 MTC服務器共享密鑰�,則根據(jù)認證請求中攜帯的B-TID和NAF-ID1生成會話密鑰KNAF����。
13.根據(jù)權利要求7至10任一項所述的系統(tǒng),其特征在干���,所述MTC服務器位于移動通信網(wǎng)絡內(nèi)或位于移動通信網(wǎng)絡外�����,所述移動通信網(wǎng)絡包括3GPP網(wǎng)絡和3GPP2網(wǎng)絡�。
全文摘要
本發(fā)明公開一種MTC服務器共享密鑰的方法���,MTC設備與第一MTC服務器通過GBA過程建立安全連接并進行安全通信時����,可以向第二MTC服務器發(fā)送請求信息(包含MTC設備與第一MTC服務器正在使用的引導標識B-TID和第一MTC服務器的主機標識NAF-ID1);第二MTC服務器向BSF發(fā)送認證請求(包含第二MTC服務器的主機標識NAF-ID2��、B-TID和NAF-ID1)�;BSF驗證NAF-ID2和NAF-ID1有效后,根據(jù)B-TID和NAF-ID1生成會話密鑰KNAF����,并發(fā)送給第二MTC服務器���。本發(fā)明還相應地公開一種MTC服務器共享密鑰的系統(tǒng)�����,通過本發(fā)明�����,能夠使MTC設備同時與多個MTC服務器進行安全通信����,提高網(wǎng)絡資源的使用效率���。
文檔編號H04W12/00GK102595389SQ20111000856
公開日2012年7月18日 申請日期2011年1月14日 優(yōu)先權日2011年1月14日
發(fā)明者余萬濤 申請人:中興通訊股份有限公司