專利名稱:生成組密鑰的方法和相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,并且更具體地,涉及通信領(lǐng)域中生成組密鑰的方法和相關(guān)設(shè)備����。
背景技術(shù):
機(jī)器對機(jī)器(Machine to Machine,M2M)技術(shù)是無線通信和信息技術(shù)的整合,是指機(jī)器和機(jī)器之間可以直接進(jìn)行通信而無需人工干預(yù)。M2M應(yīng)用種類豐富,包括自動儀表、遠(yuǎn)程監(jiān)控、工業(yè)安全與艦艇自動化、支付系統(tǒng)以及車輛遠(yuǎn)程控制等���。M2M存在三種方式,包括機(jī)器對機(jī)器��、機(jī)器對移動電話和移動電話對機(jī)器���。在M2M中��,M2M設(shè)備可以通過遠(yuǎn)距離連接技術(shù)和近距離連接技術(shù)接入網(wǎng)絡(luò),涉及的遠(yuǎn)距離連接技術(shù)包括全球移動通信系統(tǒng)(Global System for Mobile communications, GSM)�、通用分組無線業(yè)務(wù)(General Packet Radio Service, GPRS)��、通用移動通信系統(tǒng)(UniversalMobile Telecommunications System, UMTS)等無線接入類型技術(shù)����。近距離連接技術(shù)包括 802.llb/g�����、藍(lán)牙(Blue Tooth)�����、紫蜂(Zigbee)�、無線射頻識別技術(shù)(Radio FrequencyIdentification, RFID)和超寬帶(Ultra Wideband, UffB)技術(shù)等。當(dāng)然�,不排除還有其他技術(shù)可以用于支撐M2M通信����。M2M通信也可以被稱為機(jī)器類通信(Machine TypeCommunication, MTC)���,M2M設(shè)備也可以被稱為MTC設(shè)備����。在現(xiàn)有技術(shù)中,基站對同一組MTC設(shè)備構(gòu)建公共的物理層����、無線鏈路控制(RadioLink Control, RLC)層����、分組數(shù)據(jù)匯聚協(xié)議(Packet Data Convergence Protocol, PDCP)層和媒體接入控制(Media Access Control, MAC)層。當(dāng)為同一組MTC設(shè)備建立公共承載之后,每個MTC設(shè)備都有各自單獨(dú)的密鑰�,各MTC設(shè)備的密鑰互不相同,在基站和MTC設(shè)備之間交互的PDU單元需要攜帶MTC設(shè)備標(biāo)識以根據(jù)該標(biāo)識來尋找對應(yīng)的密鑰。因此���,在基站處����,需要為同一組內(nèi)的每個MTC設(shè)備維護(hù)它們各自的密鑰��,這增加了基站操作的復(fù)雜性���,使基站需要維護(hù)和管理的密鑰過多�,影響基站性能�����。
發(fā)明內(nèi)容
本發(fā)明提供了生成組密鑰的方法和相關(guān)設(shè)備,以提高基站性能��。一方面����,本發(fā)明提供了一種生成組密鑰的方法,包括:從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID�,和與安全密鑰相關(guān)的組通信根密鑰,所述安全密鑰與所述組ID相對應(yīng)����;或者����,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID�,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰����,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng)�����,并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID����,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰�;根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��;向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)��,以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰����。另一方面,本發(fā)明提供了一種生成組密鑰的方法,包括:接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ���;向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID��,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰���,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰���;從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰��;向基站發(fā)送所述組ID和所述組通信根密鑰���、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰���,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。再一方面��,本發(fā)明提供了一種生成組密鑰的方法��,包括:從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID;根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰;向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰���、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰����、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�����。又一方面,本發(fā)明提供了一種生成組密鑰的方法,包括:向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID���,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID����,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰�、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰���,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰���,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰����,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�����;從所述基站接收用于生成所述組密鑰的生成參數(shù)�;根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。又一方面,本發(fā)明提供了一種基站�����,包括:接收模塊,用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID����,和與安全密鑰相關(guān)的組通信根密鑰���,所述安全密鑰與所述組ID相對應(yīng)��;或者,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng),并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID��,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰;生成模塊����,用于根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��;第一發(fā)送模塊��,用于向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。又一方面,本發(fā)明提供了一種移動性管理實(shí)體,包括:第一接收模塊�����,用于接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ��;第一發(fā)送模塊����,用于向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰�����;第二接收模塊,用于從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰;第二發(fā)送模塊���,用于向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰��,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)���,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。又一方面���,本發(fā)明提供了一種歸屬用戶系統(tǒng)����,包括:接收模塊,用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ;第一生成模塊�����,用于根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰���、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰��;第一發(fā)送模塊��,用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰��,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。又一方面,本發(fā)明提供了一種機(jī)器類通信設(shè)備�����,包括:發(fā)送模塊�,用于向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰��,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰���,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID���、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰;第一接收模塊��,用于從所述基站接收用于生成所述組密鑰的生成參數(shù)����;生成模塊�,用于根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。
根據(jù)上述技術(shù)方案,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰�����,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備��,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰�����。從而�����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信���,而在基站中也只需要為同一個組保持相同組密鑰�����,這樣����,可以降低基站操作的復(fù)雜性��,減少基站維護(hù)和管理的密鑰數(shù)��,提高基站性能��。
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹����,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是根據(jù)本發(fā)明實(shí)施例的生成組密鑰的方法的流程圖�����。圖2是利用根據(jù)本發(fā)明實(shí)施例提供的方法來生成組密鑰的第一例子的流程圖�。圖3是在第一例子中生成組認(rèn)證參數(shù)的例子的示意圖����。圖4是在第一例子中MTC設(shè)備和MME (Mobility Management Entity,移動性管理實(shí)體)進(jìn)行認(rèn)證的流程圖��。圖5是在第一例子中當(dāng)MTC設(shè)備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖���。圖6是利用根據(jù)本發(fā)明實(shí)施例提供的方法來生成組密鑰的第二例子的流程圖��。圖7是在第二例子中生成組認(rèn)證參數(shù)的例子的示意圖�����。圖8是在第二例子中生成組認(rèn)證參數(shù)的另一例子的示意圖。圖9是在第二例子中MTC設(shè)備和MME進(jìn)行認(rèn)證的流程圖�����。圖10是在第二例子中當(dāng)MTC設(shè)備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖。圖11是利用根據(jù)本發(fā)明實(shí)施例提供的方法來生成組密鑰的第三例子的流程圖�����。圖12是在第三例子中當(dāng)MTC設(shè)備從空閑狀態(tài)或者去附著狀態(tài)重新加入組通信時的流程圖��。圖13是根據(jù)本發(fā)明實(shí)施例的生成組密鑰的另一方法的流程圖�。圖14是根據(jù)本發(fā)明實(shí)施例的生成組密鑰的再一方法的流程圖。圖15是根據(jù)本發(fā)明實(shí)施例的生成組密鑰的又一方法的流程圖�����。圖16是根據(jù)本發(fā)明實(shí)施例的基站的結(jié)構(gòu)框圖����。圖17是根據(jù)本發(fā)明實(shí)施例的另一基站的結(jié)構(gòu)框圖�。圖18是根據(jù)本發(fā)明實(shí)施例的移動性管理實(shí)體的結(jié)構(gòu)框圖�。圖19是根據(jù)本發(fā)明實(shí)施例的另一移動性管理實(shí)體的結(jié)構(gòu)框圖�����。圖20是根據(jù)本發(fā)明實(shí)施例的歸屬用戶系統(tǒng)的結(jié)構(gòu)框圖����。圖21是根據(jù)本發(fā)明實(shí)施例的另一歸屬用戶系統(tǒng)的結(jié)構(gòu)框圖�����。圖22是根據(jù)本發(fā)明實(shí)施例的機(jī)器類通信設(shè)備的結(jié)構(gòu)框圖���。圖23是根據(jù)本發(fā)明實(shí)施例的另一機(jī)器類通信設(shè)備的結(jié)構(gòu)框圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚�����、完整地描述�����,顯然,所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例�����,而不是全部實(shí)施例�?;诒景l(fā)明中的所述實(shí)施例��,本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實(shí)施例����,都應(yīng)屬于本發(fā)明保護(hù)的范圍����。首先,結(jié)合圖1��,描述根據(jù)本發(fā)明實(shí)施例的生成組密鑰的方法100。如圖1所示,方法100包括:在SllO中��,從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID,和與安全密鑰相關(guān)的組通信根密鑰�����,所述安全密鑰與所述組ID相對應(yīng)�;或者,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID�����,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰���,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng)����,并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰�;在S120中��,根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����;在S130中�,向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�����,以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰���。例如�,方法100可以由基站執(zhí)行�。網(wǎng)絡(luò)側(cè)通過利用HSS (Home Subscriber System,歸屬用戶系統(tǒng))中保存的與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰可以生成組密鑰��,再通過將生成組密鑰所需的參數(shù)中MTC設(shè)備不知道的參數(shù)發(fā)送給MTC設(shè)備,使得MTC設(shè)備也可以生成與網(wǎng)絡(luò)側(cè)的組密鑰相同的組密鑰���,這樣可以保證設(shè)備側(cè)和網(wǎng)絡(luò)側(cè)的組密鑰相一致,從而正常進(jìn)行組通信�����。同時,由于一個組共用相同的組密鑰�����,使得在基站中只需要為同一個組保持相同組密鑰��,這樣,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù),提高基站性能。下面,結(jié)合具體的例子來描述方法100的操作。在本發(fā)明的包括第一例子、第二例子和第三例子的如下實(shí)施例中�,帶有“Group”字樣的參數(shù)表示與一個組相關(guān)的參數(shù)�,一個組的參數(shù)“XXX_Group”可以具有與一個MTC設(shè)備的參數(shù)“XXX”類似的用法和作用��。例如��,AV_Group可以具有與認(rèn)證向量(AuthenticationVector, AV)相似的生成方式和表現(xiàn)形式,不同之處在于AV_Group是針對一個組的,而不是針對一個特定MTC設(shè)備的����。第一例子在第一例子中,組ID可以預(yù)置在MTC設(shè)備中;也可以設(shè)置在USM(UniversalSubscriber Identity Module,全球用戶識別模塊)中����,當(dāng)將USIM插入MTC設(shè)備時,USIM成為MTC設(shè)備的一部分,從而確定MTC設(shè)備所在的組���。組通信根密鑰是如下描述中的KeNB_Group,它等于HSS生成的Kasme_Group。KeNB_Group具有與KeNB類似的功能�����,區(qū)別在于KeNB_Group是針對一個組的��,而KeNB是針對一個MTC設(shè)備的���,通過KeNB_Group可以衍生出其它的密鑰���。向MTC設(shè)備發(fā)送的生成參數(shù)可以是生成KeNB_Group所需的參數(shù)����,該參數(shù)可以是一些認(rèn)證參數(shù),從而可以在認(rèn)證過程中向MTC設(shè)備發(fā)送�。這樣,可以避免單獨(dú)為MTC設(shè)備發(fā)送生成參數(shù)造成的開銷,并可以提高認(rèn)證參數(shù)的使用效率����。在圖2所示的第一例子中,插入MTC設(shè)備的US頂中保存有MTC設(shè)備所屬組的組信息Group ID (組ID)以及與該Group ID對應(yīng)的安全密鑰K_Group��。當(dāng)然,本領(lǐng)域技術(shù)人員也可以想到�����,Group ID以及與Group ID對應(yīng)的安全密鑰也可以直接保存在MTC設(shè)備中���。另夕卜,在MTC設(shè)備所屬的HSS中同樣保存有與Group ID對應(yīng)的K_Group��。在S210中,MTC設(shè)備向MME發(fā)送附著請求,請求中包括MTC設(shè)備的MSI和MTC設(shè)備所屬組的Group ID0當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后����,MME確定是否保存有與Group ID綁定的 AV_Group ο當(dāng)MME確定還沒有保存有與Group ID相綁定的AV_Group時,在S260之前執(zhí)行如下操作:在S220中,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求��,在認(rèn)證數(shù)據(jù)請求中包括MSI和GroupID ;在S230中�,HSS根據(jù)MSI找到對應(yīng)的K,根據(jù)K生成AV�����,并且HSS根據(jù)Group ID找到對應(yīng)的K_Group,并根據(jù)K_Group生成AV_Group ����;在S240中�����,HSS將AV和AV_Group通過認(rèn)證數(shù)據(jù)響應(yīng)發(fā)送給MME �����;在S250 中,MME 將 Group ID 和 AV_Group 綁定并存儲�����。根據(jù)K_Group生成AV_Group的方式如圖3所示,這里圖3只是一個例子而并不對根據(jù)K_Group生成AV_Group的方式進(jìn)行限制。在圖3中����,HSS參考生成AV的方式來生成針對Group ID的AV_Group。其中涉及的置位符AMF��、函數(shù)Fl至F5與現(xiàn)有技術(shù)的含義相同,不同之處在于其他輸入?yún)?shù)以及產(chǎn)生的參數(shù)都是針對一個組的而不是針對一個MTC設(shè)備的。HSS生成針對Group ID的序列號SQN_Group,并生成針對Group ID的隨機(jī)數(shù)RAND_Group ο 將 K_Group����、SQN_Group、RAND_Group 和 AMF 如圖所不輸入各函數(shù)中����,生成 MAC_Group、XRES_Group��、CK_Group����、IK_Group 和 AK_Group。接著�����,可以利用如下方式生成 AUTN_Group和 Kasme_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC—Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)其中,KDF密鑰生成函數(shù)�����,可以具有與現(xiàn)有技術(shù)相同的計(jì)算方式�,與下文中的KDF函數(shù)一樣��,對其形式不做限定;十代表異或計(jì)算�;11代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量��。生成AUTN_Group 和 Kasme_Group 之后,可以得到 AV_Group:AV_Group = RAND_Group I IXRES_Group| |Kasme_Group| |AUTN_Group返回圖2��,當(dāng)MME確定保存有與Group ID相綁定的AV_Group時,在S260之前執(zhí)行如下操作:在S220中���,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求,在認(rèn)證數(shù)據(jù)請求中包括MSI �����;在S230中,HSS根據(jù)MSI找到對應(yīng)的K�����,根據(jù)K生成AV �;在S240中�����,HSS將AV發(fā)送給MME�����。此時���,不需要執(zhí)行S250���。繼續(xù)圖2中的流程��。 在S260中���,MME和MTC設(shè)備利用AV和AV_Group進(jìn)行認(rèn)證�。認(rèn)證過程如圖4所示。
在S410中��,MME向MTC設(shè)備發(fā)送用戶認(rèn)證請求���,在該請求中除了如現(xiàn)有技術(shù)那樣攜帶RAND、AUTH����、KSIasme來對MTC設(shè)備本身進(jìn)行認(rèn)證之外��,還需要采用本發(fā)明實(shí)施例的方式攜帶 RAND Group>AUTH Group>KSIasmr Group 來對 MTC 設(shè)備屬于 Group ID 進(jìn)行組認(rèn)證�����。RAND_Group、AUTH_Group、KSIASME_Group的含義和用法可以與狀冊���、么譏!1���、1 14,相同�,除了 AND_Group、AUTH_Group、KSIASME_Group 是針對一個組而言的參數(shù)����,而 RAND、AUTH、KSIasme 是針對一個MTC設(shè)備而言的��。在S420中,當(dāng)認(rèn)證成功時,MTC設(shè)備向MME返回用戶認(rèn)證響應(yīng),在該響應(yīng)中除了如現(xiàn)有技術(shù)那些攜帶RES來對設(shè)備認(rèn)證進(jìn)行響應(yīng)之外���,還需要采用本發(fā)明實(shí)施例的方式攜帶RES_Group來對組認(rèn)證進(jìn)行響應(yīng)�����。另外����,如果認(rèn)證失敗���,則MTC設(shè)備需要如現(xiàn)有技術(shù)那樣向MME發(fā)送用戶認(rèn)證拒絕消息��,在該消息中攜帶用于表示認(rèn)證失敗原因的CAUSE參數(shù)��。返回圖2并繼續(xù)圖2的流程�。在S270中����,如果認(rèn)證成功����,則MME和MTC設(shè)備可以根據(jù) AV_Group 計(jì)算出 KeNB_Group,在該實(shí)施例中將 Kasme_Group 作為 KeNB_Group��。KeNB_Group是接入層的組通信根密鑰���,通過KeNB_Gr0Up可以生成其他的接入層組密鑰����。雖然在圖2所示的第一例子中,MTC設(shè)備在S270處與MME并發(fā)生成KeNB和KeNB_Group����,但是MTC設(shè)備也可以在S260之后��、S292之前的任意時刻生成KeNB和KeNB_Group。在S280 中��,MME 將 Group ID����、KeNB 和 KeNB_Group 發(fā)送給 eNB。在S290中,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法����。如果eNB上沒有建立有與Group ID相關(guān)的綁定,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法���,可以包括組完整性算法和組加密算法。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術(shù)中針對MTC設(shè)備選擇完整性算法和加密算法相似����,組完整性算法和組加密算法也可以分別與現(xiàn)有技術(shù)中的完整性算法和加密算法相似��,不同之處在于組完整性算法和組加密算法是針對一個組的算法�,而完整性算法和加密算法是針對一個MTC設(shè)備的算法。當(dāng)eNB第一次為一個 組ID生成對應(yīng)的組密鑰而建立組ID的綁定關(guān)系時��,eNB將密鑰更新次數(shù)Key Count置為0,該參數(shù)可以用于對組密鑰進(jìn)行推衍更新�。當(dāng)TOCP計(jì)數(shù)器(PDCP Count)值達(dá)到最大值時,可以將Key Count值加I�����。PDCP Count值達(dá)到最大值���,可以是指F1DCP Count中的超巾貞號(Hyper Frame Number, HFN)部分達(dá)到最大值,也就是每當(dāng)HFN達(dá)到閾值時���,Key Count加一����。這樣����,當(dāng)屬于組ID的其它MTC設(shè)備第一次加入組ID對應(yīng)的組通信時�,向該其它MTC設(shè)備發(fā)送用于生成組密鑰的生成參數(shù)和更新組密鑰所需的密鑰更新次數(shù)Key Count,以使該其它MTC設(shè)備根據(jù)生成參數(shù)�、密鑰更新次數(shù)和安全密鑰生成組密鑰����。之后�����,eNB可以建立Group ID與組完整性算法����、組加密算法、Key Count的綁定關(guān)系��,并計(jì)算MTC設(shè)備的接入層密鑰和MTC設(shè)備所屬組的接入層組密鑰�����,再將接入層組密鑰和KeNB_Group也與Group ID綁定起來����。MTC設(shè)備的接入層密鑰的計(jì)算方式與現(xiàn)有技術(shù)相同�,而計(jì)算接入層組密鑰可以采用如下所述的方式����。接入層組密鑰可以包括接入層組加密密鑰Key_Groupenc和接入層組完整性密鑰Key_Groupint���。 Key_Groupenc = KDF(KeNB_Group,Group-enc_alg、Alg-1D),Key_Groupint=KDF (KeNB_Group, Group-1nt-alg, Alg-1D)����。其中��,KDF 是密鑰生成函數(shù)����,Group-enc-alg代表當(dāng)前計(jì)算采用的是組加密算法�����、Alg-1D是算法標(biāo)識,Group-1nt-alg代表當(dāng)前計(jì)算采用的是組完整性算法�����。如果eNB上已經(jīng)建立有Group ID相關(guān)的綁定,則eNB不需要執(zhí)行選擇組算法和計(jì)算組密鑰的步驟�����。如果eNB上已經(jīng)建立有Group ID相關(guān)的綁定�����、并且Group ID綁定的KeyCount不為0,則在下面描述的S291中還需要發(fā)送Key Count值。這里�,雖然在第一例子中由eNB根據(jù)MTC設(shè)備的組安全能力選擇組完整性算法和組加密算法����,但是在其他實(shí)施例中����,組完整性算法和組加密算法也可以被預(yù)先配置在eNB和MTC設(shè)備中�,這樣不需要eNB選擇相應(yīng)算法。在S291中�,eNB向MTC設(shè)備發(fā)送接入層安全模式命令(Access Stratum SecurityMode Command, AS SMC)����,協(xié)商選擇的完整性算法����、加密算法�、組完整性算法����、組加密算法。 在S292中��,MTC設(shè)備根據(jù)協(xié)商的算法中的完整性算法和加密算法,可以計(jì)算出MTC設(shè)備的接入層密鑰��。MTC設(shè)備根據(jù)協(xié)商的算法中的組完整性算法和組加密算法���,并結(jié)合在S260中從AV_Group中獲取的KeNB_Group,可以計(jì)算出所屬組的組密鑰Key_Groupenc和Key—Groupint0如果Key Count不等于0,則eNB可以根據(jù)Key Count來對組密鑰進(jìn)行更新��。更新組密鑰的方式可以是首先根據(jù)Key Count推衍新的KeNB_Group�����,然后利用推衍后的KeNB_Group計(jì)算出新的組密鑰���。例如���,可以利用如下表達(dá)式來推衍新的KeNB_Group�。用KeNI^Group*表示推衍后的 KeNB_Group,并用推衍出的 KeNE^Group* 取代 KeNB_Group,作為當(dāng)前的 KeNB_Group:KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)其中,KDF為生成函數(shù),Cell ID為小區(qū)標(biāo)識。Key Count為幾,就推衍幾次。還可以利用如下表達(dá)式來直接推衍KeNB_Group%將KeNB_Group*作為KeNB_Group:KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID, Key Count)當(dāng)推衍出KeNB_Group之后,eNB可以利用推衍后的KeNB_Group和協(xié)商的組算法重新計(jì)算Key_Groupenc和Key_Groupint����。接著,利用重新計(jì)算的Key_Groupenc和Key_Groupint進(jìn)行組通信�����。當(dāng)Key Count不等于O時�����,eNB還需要通過AS SMC向MTC設(shè)備發(fā)送Key Count0 MTC設(shè)備根據(jù)與eNB相同的計(jì)算方式����,首先推衍出新的KeNB_Gr0up�,然后利用推衍后的KeNB_Group,并結(jié)合協(xié)商的組算法,重新計(jì)算Key_Groupenc和Key_Groupint����。接著,利用重新計(jì)算的 Key_Groupenc 和 Key_Groupint 進(jìn)行組通信��。 在第一例子中�����,一組MTC設(shè)備在一段時間內(nèi)都使用一個AV_Group,可以允許AV_Group重用�����,SQN_Group的使用規(guī)則可以是MTC設(shè)備從網(wǎng)絡(luò)側(cè)收到AUTH_Group中的SQN_Group大于或等于設(shè)備側(cè)保存的SQN_Group��。如果SQN_Group出現(xiàn)不同步的情況,可以通過重同步過程來進(jìn)行解決。此外����,一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中���、但經(jīng)過一段時間之后退出組通信��,那么當(dāng)該MTC設(shè)備需要從空閑(IDLE)態(tài)轉(zhuǎn)換為活動(ACTIVE)態(tài)而重新加入組通信時��,eNB向MTC設(shè)備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設(shè)備根據(jù)密鑰更新次數(shù)更新組密鑰����。接入層密鑰和接入層組密鑰的同步可以采用圖5所示的方式���。在S510中�����,MTC設(shè)備向MME發(fā)送服務(wù)請求消息����,在消息中包含GroupID��、KSIASME_Group,其中KSIASME_Group是用來標(biāo)識KASME_Group的密鑰標(biāo)識符���。在S520中,MME檢查是否存在與Group ID對應(yīng)的綁定關(guān)系,即是否存在與GroupID綁定的AV_Group�。如果不存在綁定關(guān)系���,或者存在綁定關(guān)系但綁定的AV_Group中的KSIASME_Group與消息中的KSIASME_Group不一致,則執(zhí)行圖2中當(dāng)MME沒有綁定關(guān)系時執(zhí)行的S220至S260以及后續(xù)的S270至S292。在圖5中�����,在MME中保存有綁定關(guān)系且綁定的AV_Group中的KSIASME_Group與消息中的KSIASME_Group相一致,則MME在S530中將Group ID發(fā)送給eNB��。在S540 中,eNB 根據(jù) Group ID 查找綁定的組算法��、Key Count��、KeNB_Group、Key_Groupenc和Key_Groupint��。在該處�����,由于MME處存在綁定關(guān)系,貝U圖2的流程已經(jīng)執(zhí)行,則eNB中存在與Group ID相關(guān)的綁定關(guān)系��。在S550中�,eNB向MTC設(shè)備發(fā)送AS SMC�����,協(xié)商完整性算法��、加密算法���、組完整性算法����、組加密算法�����,并將Key Count發(fā)送給MTC設(shè)備����。在S560中����,MTC設(shè)備根據(jù)協(xié)商的算法計(jì)算接入層密鑰以及接入層組密鑰Key_Groupenc 和 Key_Groupint���。第二例子在第二例子中���,組通信根密鑰是如下描述中的KeNB_Group����,它等于HSS生成的Group Key。向MTC設(shè)備發(fā)送的生成參數(shù)可以是HSS在生成Group Key的過程中隨機(jī)產(chǎn)生的隨機(jī)數(shù)。由于基站需要向MTC設(shè)備發(fā)送隨機(jī)數(shù),所以HSS需要將隨機(jī)數(shù)發(fā)送給MME,再由MME將隨機(jī)數(shù)發(fā)送給基站。在圖6所示的第二例子中,在MTC設(shè)備的USM中保存有MTC設(shè)備所屬組的GroupID以及與該Group ID對應(yīng)的密鑰K_Group���。當(dāng)然,本領(lǐng)域技術(shù)人員也可以想到����,Group ID以及與Group ID對應(yīng)的安全密鑰也可以直接保存在MTC設(shè)備中。另外�,在MTC設(shè)備所屬的HSS中同樣保存有GroupID和K_Group的對應(yīng)關(guān)系。在S610中�,MTC設(shè)備向MME發(fā)送附著請求���,請求中包括MTC設(shè)備的MSI和GroupID�。當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后���,MME確定是否保存有與Group ID綁定的Group Key和Nonce,其中Nonce是由HSS隨機(jī)生成的隨機(jī)數(shù)�。當(dāng)MME確定還沒有保存有與Group ID相綁定的Group Key和Nonce時���,在S660之前執(zhí)行如下操作:在S620中�����,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息����,在該消息中包含MSI和GroupID。當(dāng)在后續(xù)的認(rèn)證中需要利用S630中生成的AV_GroUp時�����,則在認(rèn)證數(shù)據(jù)請求中還需要包含指示符Group Key Indicator,用于表示MME還沒有建立Group ID的相關(guān)綁定信息,需要HSS生成Group Key,當(dāng)然,如果后續(xù)認(rèn)證利用現(xiàn)有技術(shù)中的AV,也可以攜帶Group KeyIndicator來表示沒有建立有Group ID的相關(guān)綁定信息;在S630中��,HSS根據(jù)MSI找到對應(yīng)的K����,根據(jù)K生成AV,以使MTC設(shè)備和網(wǎng)絡(luò)側(cè)利用AV進(jìn)行認(rèn)證�。其中����,與IMSI對應(yīng)的K可以被稱為MTC設(shè)備的專屬密鑰��,任一 K的取值都是唯一的��,只由一個MTC設(shè)備持有�。當(dāng)將USM插入MTC設(shè)備時��,由于在USM中保存有K,故MTC設(shè)備被分配了唯一的K。HSS也可以根據(jù)MSI找到對應(yīng)的K,根據(jù)Group ID找到對應(yīng)的K_Group��,結(jié)合K和K_Group生成AV_Group,以使MTC設(shè)備和網(wǎng)絡(luò)側(cè)利用AV_Group進(jìn)行認(rèn)證。此外,HSS根據(jù)Group ID找到對應(yīng)的K_Group,根據(jù)K_Group和隨機(jī)產(chǎn)生的隨機(jī)數(shù)Nonce生成Group Key ����;在S640中���,當(dāng)利用AV進(jìn)行認(rèn)證時�,HSS將AV�����、Group Key和Nonce通過認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送給MME��。當(dāng)利用AV_Group進(jìn)行認(rèn)證時,HSS將AV_Group、Group Key和Nonce通過認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送給MME ;在S650中,MME將Group ID與Group Key和Nonce進(jìn)行綁定并存儲���。根據(jù)K和K_Group生成AV_Group的方式可以如圖7和圖8所示����。這里圖7和圖8只是兩個例子而并不對生成AV_Group的方式進(jìn)行限制�。在圖7中,HSS生成SQN并生成RAND���,并將SQN和RAND作為針對一個組的序列號和隨機(jī)數(shù)。HSS將SQN����、RAND, AMF、K按照如圖所示的方式輸入與現(xiàn)有技術(shù)相同的Fl至F5函數(shù)�����,得到 MAC、XRES、CK��、IK��、AK。接著 HSS 將 K_Group 和 MAC、SRES、CK��、IK、AK 按照如圖所示的方式輸入其它函數(shù)F��,這些函數(shù)F可以相同也可以不同���,具體形式在此不作限制�����。通過這些函數(shù) F 可以分別得到 MAC_Group�����、XRES_Group、CK_Group����、IK_Group 和 AK_Group�����。在圖8中�����,HSS生成SQN并生成RAND����,并將SQN和RAND作為針對一個組的序列號和隨機(jī)數(shù)����。HSS將SQN、RAND, AMF��、K和K_Group按照如圖所示的方式輸入與現(xiàn)有技術(shù)相同的 Fl 至 F5 函數(shù)����,分別得到 MAC_Group、XRES_Group����、CK_Group��、IK_Group��、AK_Group。在圖7和圖8中�����,都可以采用如下方式得到AV_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)AV_Group = RAND| |XRES_Group| |Kasme_Group| |AUTN_Group其中,KDF是密鑰生成函數(shù)�����,可以具有與現(xiàn)有技術(shù)相同的計(jì)算方式�����;十代表異或計(jì)算�;11代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量。當(dāng)MME確定保存有與Group ID相綁定的Group Key和Nonce時����,在S660之前執(zhí)行如下操作:在S620中,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息��,當(dāng)在后續(xù)只需要利用AV進(jìn)行認(rèn)證時����,在認(rèn)證數(shù)據(jù)請求消息中包含MSI,當(dāng)在后續(xù)需要`利用AV_GroUp進(jìn)行認(rèn)證時,在認(rèn)證數(shù)據(jù)請求消息中包含頂SI和Group ID ���;在S630中����,當(dāng)利用AV進(jìn)行認(rèn)證時�,HSS根據(jù)MSI找到對應(yīng)的K,根據(jù)K生成AV����。當(dāng)利用AV_Group進(jìn)行認(rèn)證時,HSS根據(jù)MSI找到對應(yīng)的K����,根據(jù)Group ID找到對應(yīng)的K_Group,結(jié)合 K 和 K_Group 生成 AV_Group ���;在S640中�����,HSS將AV或AV_Group通過認(rèn)證數(shù)據(jù)響應(yīng)發(fā)送給MME���。此時��,不需要執(zhí)行 S650。繼續(xù)圖6中的流程。在S660中����,MME和MTC設(shè)備利用AV或者AV_Group進(jìn)行認(rèn)證。當(dāng)利用AV認(rèn)證時,采用與現(xiàn)有技術(shù)相同的方式���。當(dāng)利用AV_Group認(rèn)證時,認(rèn)證過程如圖9所示�����。在S910中���,MME向MTC設(shè)備發(fā)送用戶認(rèn)證請求,在該請求中攜帶AV_Group中的RAND_Group、AUTN_Group 以及現(xiàn)有技術(shù)中的 KSIAsslE�。在S920中�,當(dāng)認(rèn)證成功時�,MTC設(shè)備向MME返回用戶認(rèn)證響應(yīng),在該響應(yīng)中攜帶RES_Group����。另外����,如果認(rèn)證失敗����,則MTC設(shè)備向MME發(fā)送用戶認(rèn)證拒絕消息����,并在該消息中攜帶CAUSE參數(shù)。返回圖6并繼續(xù)圖6的流程��。在S670中����,如果認(rèn)證成功��,則MME和MTC設(shè)備如現(xiàn)有技術(shù)那樣計(jì)算出KeNB��,MME將Group Key作為KeNB_Group。雖然在圖6所示的第二例子中����,MTC設(shè)備在S670處與MME并發(fā)生成KeNB,但是MTC設(shè)備也可以在S660之后�����、S692之前的任意時刻生成KeNB。在S680 中��,MME 將 Group ID、KeNB、KeNB_Group 和 Nonce 發(fā)送給 eNB。在S690中��,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法。如果eNB上沒有建立有與Group ID相關(guān)的綁定,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法�,可以包括組完整性算法和組加密算法,并計(jì)算出接入層密鑰以及組密鑰Key_Groupenc 和 Key_Groupint�。此外,eNB 還將組算法��、Key Count�����、KeNB_Group> KeNB_Groupenc> KeNB_Groupint 和 Nonce 與 Group ID 相綁定。S690 的相關(guān)內(nèi)容可以參考 S290中的描述��,為了避免重復(fù)�����,在此不再贅述��。在S691中��,eNB向MTC設(shè)備發(fā)送AS SMC�,協(xié)商選擇的完整性算法�、加密算法��、組完整性算法、組加密算法��,并在AS SMC中攜帶Nonce��。在S692中,MTC設(shè)備根據(jù)協(xié)商的算法計(jì)算接入層密鑰�。根據(jù)Nonce、與Group ID對應(yīng)的K_Group計(jì)算KeNB_Group,并利用KeNB_Group和協(xié)商的組算法計(jì)算接入層組密鑰Key_Groupenc 和 Key_Groupint�����。如果在AS SMC中攜帶有不為O的Key Count,則根據(jù)Key Count對KeNB_Group進(jìn)行推衍��,根據(jù)推衍后的KeNB_Group更新接入層組密鑰�����。同時����,在eNB處���,由于Key Count不為O, eNB同樣根據(jù)Key Count對KeNB_Group進(jìn)行推衍,并根據(jù)推衍后的KeNB_Group更新接入層組密鑰。推衍的相關(guān)內(nèi)容可以參考S292中的相關(guān)內(nèi)容,為了避免重復(fù)���,在此不再贅述��。此外�����,一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中�、但經(jīng)過一段時間之后退出組通信����,那么當(dāng)該MTC設(shè)備需要從IDLE態(tài)轉(zhuǎn)換為ACTIVE態(tài)而重新加入組通信時�����,eNB向MTC設(shè)備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設(shè)備根據(jù)密鑰更新次數(shù)更新組密鑰���。接入層密鑰和接入層組密鑰的同步可以采用圖10所示的方式。在SlOlO中��,MTC設(shè)備向MME發(fā)送服務(wù)請求消息,在該消息中包含Group ID和之前進(jìn)行組通信過程中保存的Nonce值��,該Nonce值也是MTC設(shè)備生成組密鑰的Nonce值���。在S1020中����,MME檢查是否存在與該Group ID對應(yīng)的綁定關(guān)系�,即是否存在與Group ID綁定的Group Key和Nonce。如果不存在綁定關(guān)系,或者存在綁定關(guān)系但綁定的Nonce值與MTC設(shè)備發(fā)送的Nonce值不一致�,則在S1030中�����,MME將Group ID和MME綁定的Nonce發(fā)送給eNB�����,以使eNB將Nonce發(fā)送給MTC設(shè)備��,并將與Group ID綁定的組算法和不為O的KeyCount發(fā)送給MTC設(shè)備。如果存在綁定關(guān)系且綁定的Nonce值與MTC設(shè)備發(fā)送的Nonce值一致��,則在S1030中�����,MME將Group ID發(fā)送給eNB。在圖10中����,假設(shè)在MME中存在綁定關(guān)系且Nonce值一致���,則在S1030中���,MME將Group ID 發(fā)送給 eNB�。在S1040 中����,eNB 根據(jù) Group ID 查找綁定的組算法�、Key Count、KeNB_Group、Key_Groupenc、Key_Groupint 和 Nonce。
在S1050中,eNB向MTC設(shè)備發(fā)送AS SMC�,協(xié)商完整性算法、加密算法、組完整性算法��、組加密算法��,并在Key Count不為O的情況下將KeyCount發(fā)送給MTC設(shè)備。此外,如果在S1030中MME將Nonce值發(fā)送給eNB,則在AS SMC中攜帶Nonce值發(fā)送給MTC設(shè)備��。在S1060中,MTC設(shè)備根據(jù)協(xié)商的算法計(jì)算接入層密鑰以及接入層組密鑰Key_Groupenc 和 Key_Groupint。第三例子在第三例子中����,提前根據(jù)MTC設(shè)備的功能或者所屬業(yè)務(wù)將MTC設(shè)備分成了不同的業(yè)務(wù)集合�����,由業(yè)務(wù)ID進(jìn)行區(qū)分。但是業(yè)務(wù)集合并不等于共用相同組密鑰的組,共用相同組密鑰的組還需要由基站根據(jù)業(yè)務(wù)ID進(jìn)行分組來確定。根據(jù)業(yè)務(wù)ID確定組ID的方式可以與現(xiàn)有技術(shù)相同,例如根據(jù)支持相同業(yè)務(wù)的MTC設(shè)備所處的位置進(jìn)行分組等����,在此不再贅述�。業(yè)務(wù)ID可以預(yù)置在MTC設(shè)備中����;也可以設(shè)置在USM中,當(dāng)將USM插入MTC設(shè)備時,USIM成為MTC設(shè)備的一部分��,從而確定MTC設(shè)備所支持的業(yè)務(wù)����。業(yè)務(wù)根密鑰是如下描述中的KeNB_Service,它等于HSS生成的ServiceKey����。通過KeNB_Service,可以由基站確定 KeNB_Group��。向MTC設(shè)備發(fā)送的生成參數(shù)可以是基站根據(jù)業(yè)務(wù)ID分組后得到的組ID以及HSS生成Service Key所需的隨機(jī)數(shù)。這樣,MTC設(shè)備再結(jié)合保存在插入的US頂中與業(yè)務(wù)ID對應(yīng)的K_SerViCe�,可以生成與基站生成的組密鑰相同的組密鑰�。在圖11所示的第三例子中,在MTC設(shè)備的USM中保存有MTC設(shè)備所屬業(yè)務(wù)的Service ID以及與該Service ID對應(yīng)的密鑰K_Service���。在MTC設(shè)備所屬的HSS中同樣保存有Service ID和K_Service的對應(yīng)關(guān)系�。在SI 110中�,MTC設(shè)備向MME發(fā)送附著請求���,在該請求中包括頂SI和Service ID��。當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后����,MME確定是否保存有與Service ID綁定的 Service Key 和 Nonce�����。當(dāng)MME確定還沒有保存有與Service ID相綁定的Service Key和Nonce時,在SI 160之前執(zhí)行如下操作:在S1120中�,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息����,在該消息中攜帶MSI知ServiceID �����;在S1130中�����,HSS根據(jù)MSI找到對應(yīng)的K���,并根據(jù)K生成AV��,以使MME利用AV與MTC設(shè)備進(jìn)行認(rèn)證。HSS根據(jù)Service ID找到K_Service,并隨機(jī)生成隨機(jī)數(shù)Nonce,接著根據(jù) K_Service 和 Nonce 生成 Service key ���;在S1140中�����,HSS將AV�����、Service key和Nonce通過認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送給MME ��;在SI 150 中,MME 將 Service ID 與 Service Key 和 Nonce 進(jìn)行綁定并存儲��。當(dāng)MME確定保存有與Service ID相綁定的Service Key和Nonce時,在SI 160之前執(zhí)行如下操作:在SI 120中�,MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息��,在該消息中攜帶MSI ��;在SI 130中,HSS根據(jù)MSI找到對應(yīng)的K����,并根據(jù)K生成AV ����;在S1140中,HSS將AV通過認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送給MME���。此時��,不需要執(zhí)行S1150�����。繼續(xù)圖11中的流程�。在S1160中����,MME和MTC設(shè)備利用AV進(jìn)行認(rèn)證���。利用AV的認(rèn)證過程與現(xiàn)有技術(shù)相同,在此不再贅述��。在S1170中,如果認(rèn)證成功,則MME和MTC設(shè)備計(jì)算出KeNB,并且MME將ServiceKey作為KeNB_Service����。雖然在圖11所示的第三例子中,MTC設(shè)備在S1170處與MME并發(fā)生成KeNB����,但是MTC設(shè)備也可以在SI 160之后�、SI 192之前的任意時刻生成KeNB����。在SI 180 中,MME 將 Service ID���、KeNB����、KeNB_Service 和 Nonce 發(fā)送給 eNB��。在SI 190中���,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法。如果eNB上沒有建立有與Service ID相關(guān)的綁定關(guān)系,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法,可以包括組完整性算法和組加密算法,并計(jì)算接入層密鑰以及接入層組密鑰�����。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術(shù)中針對MTC設(shè)備選擇完整性算法和加密算法相似�����,組完整性算法和組加密算法也可以分別與現(xiàn)有技術(shù)中的完整性算法和加密算法相似�����,不同之處在于組完整性算法和組加密算法是針對一個組的算法,而完整性算法和加密算法是針對一個MTC設(shè)備的算法��。在計(jì)算包括Key_Groupenc和Key_Groupint的接入層組密鑰的過程中���,eNB首先需要根據(jù)Service ID對屬于同一業(yè)務(wù)的MTC設(shè)備進(jìn)行分組���,然后根據(jù)分組確定一個組的KeNB_Group,再根據(jù)KeNB_Group和組算法生成組密鑰�。對屬于同一業(yè)務(wù)的MTC設(shè)備進(jìn)行分組的方式多種多樣���,例如隨機(jī)分組��、根據(jù)MTC設(shè)備的信號強(qiáng)度分組等��。可以采用如下方式計(jì)算KeNB_Group:KeNB_Group = KDF(KeNB_Service,Cell ID, Group ID)其中�����,KDF是密鑰生成函數(shù)����,Cell ID是eNB服務(wù)小區(qū)的編號��,Group ID是經(jīng)過分組得到的MTC設(shè)備所屬組的組ID��。計(jì)算出KeNB_Group之后����,可以計(jì)算組加密密鑰Key_Groupenc和組完整性密鑰Key_Groupint:Key_Groupenc = KDF (KeNB_Group, Group-enc-alg�����、Alg-1D)Key_Groupint = KDF (KeNB_Group, Group-1nt-alg, Alg-1D)其中,KDF是密鑰生成函數(shù)����,Group-enc-alg代表當(dāng)前計(jì)算采用的是組加密算法���、Alg-1D是算法標(biāo)識,Group-1nt-alg代表當(dāng)如計(jì)算米用的是組完整性算法。計(jì)算出組密鑰之后����,eNB還將組算法、Key Count��、KeNB_Group�����、KeNB_Groupenc 和KeNB_Groupint與Group ID相綁定。另外��,如第一例子所述�����,當(dāng)eNB第一次為一個組ID生成對應(yīng)的組密鑰而建立組ID的綁定關(guān)系時����,eNB將Key Count置為0����,當(dāng)TOCP計(jì)數(shù)器值達(dá)到最大值時�,將KeyCount值加I,通過Key Count值對組密鑰進(jìn)行推衍更新�����。在其它實(shí)施例中,組完整性算法和組加密算法也可以被預(yù)先配置在eNB和MTC設(shè)備上�����,此時無需在SI 190中選擇組算法�����,也無需在AS SMC中協(xié)商組算法。在S1191中�����,eNB向MTC設(shè)備發(fā)送AS SMC���,協(xié)商選擇的完整性算法�、加密算法、組完整性算法、組加密算法��,并在AS SMC中攜帶Group ID和Nonce。在S1192中,MTC設(shè)備根據(jù)協(xié)商的算法中的完整性算法和加密算法���,可以計(jì)算出MTC設(shè)備的接入層密鑰。MTC設(shè)備根據(jù)協(xié)商的算法中的組完整性算法和組加密算法��、在S1091中獲取的Group ID和Nonce以及保存在USIM內(nèi)的K_Service計(jì)算組密鑰。如果Key Count值不等于O,則eNB可以根據(jù)Key Count對組密鑰進(jìn)行更新,更新組密鑰的方式可以首先根據(jù)Key Count推衍新的KeNB_Group,再利用推衍后的KeNB_Group計(jì)算出新的組密鑰。推衍方式可以參考S192中的相關(guān)內(nèi)容�。此外����,當(dāng)一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中、但經(jīng)過一段時間之后退出組通信,那么當(dāng)該MTC設(shè)備需要從IDLE狀態(tài)或去附著狀態(tài)轉(zhuǎn)換為ACTIVE狀態(tài)而重新加入組通信時,向MTC設(shè)備發(fā)送更新組密鑰所需的密鑰更新次數(shù)Key Count,以使MTC設(shè)備根據(jù)密鑰更新次數(shù)更新組密鑰。接入層密鑰和接入層組密鑰的同步可以采用圖12所示的方式。在S1210中,MTC設(shè)備向MME發(fā)送服務(wù)請求消息��,在該消息中包含Service ID和之前進(jìn)行組通信過程中保存的Nonce值和Group ID��。在S1220中����,MME檢查是否存在與該Service ID對應(yīng)的綁定關(guān)系,即是否存在與Service ID綁定的Service Key和Nonce。如果不存在綁定關(guān)系��,或者存在綁定關(guān)系但綁定的Nonce值與MTC設(shè)備發(fā)送的Nonce值不一致���,則在S1230中,MME將Group ID和MME綁定的Nonce發(fā)送給eNB,以使eNB將Nonce發(fā)送給MTC設(shè)備����,并將與Group ID綁定的組算法和不為O的Key Count發(fā)送給MTC設(shè)備。如果存在綁定關(guān)系且綁定的Nonce值與MTC設(shè)備發(fā)送的Nonce值一致,則在S1230中��,MME將Group ID發(fā)送eNB�。在圖12中,假設(shè)在MME中存在綁定關(guān)系且Nonce值一致���,則在S1230中��,MME將Group ID 發(fā)送給 eNB��。在S1240 中,eNB 根據(jù) Group ID 查找綁定的組算法�����、Key Count�、KeNB_Group���、Key_Groupenc 和 Key_Groupint。在S1250中,eNB向MTC設(shè)備發(fā)送AS SMC�,協(xié)商完整性算法����、加密算法、組完整性算法����、組加密算法�����,并在Key Count不為O的情況下將KeyCount發(fā)送給MTC設(shè)備���。此外,如果在S1230中MME將Nonce值發(fā)送給eNB,則在AS SMC中攜帶Nonce值發(fā)送給MTC設(shè)備�����。在S1260中,MTC設(shè)備根據(jù)協(xié)商的算法、Nonce值�、K_Service、GroupID計(jì)算接入層密鑰以及接入層組密鑰���。根據(jù)本發(fā)明的實(shí)施例�����,PDCP Count值由HFN和SN兩部分組成��,在MTC設(shè)備和eNB之間進(jìn)行組通信的過程中,eNB可以不需要為每個MTC設(shè)備維護(hù)一個HFN值,而是為一組MTC設(shè)備維護(hù)一個組HFN值��,其中組HFN由一組MTC設(shè)備共用,SN由MTC設(shè)備發(fā)送的數(shù)據(jù)包中的序列號決定。在一組MTC設(shè)備的每個MTC設(shè)備中�,都維護(hù)一個HXP Count值��,該HXPCount值中的HFN與eNB維護(hù)的組HFN和其它MTC設(shè)備的HFN保存同步�,SN由MTC設(shè)備單獨(dú)維護(hù)�,與自己發(fā)送的數(shù)據(jù)包的序列號有關(guān)�����。對于上行鏈路��,每個MTC設(shè)備維護(hù)一個rocp Count值,組內(nèi)每個MTC設(shè)備維護(hù)的HFN與eNB維護(hù)的組HFN保持同步�����。組內(nèi)MTC設(shè)備利用上行I3DCP Count值對上行數(shù)據(jù)進(jìn)行加密���,并在上行數(shù)據(jù)分組數(shù)據(jù)單元(Packet Data Unit7PDU)頭部中攜帶SN。eNB收到公共承載上的數(shù)據(jù)包時��,利用eNB保存的HFN和數(shù)據(jù)包攜帶的SN組成的Count值解密該數(shù)據(jù)包����。當(dāng)組內(nèi)任一 MTC設(shè)備發(fā)送數(shù)據(jù)包中的SN達(dá)到閾值時�����,eNB收到該數(shù)據(jù)包之后,將組HFN加I,并將該HFN的取值或者HFN需要加I的信息通知給組內(nèi)的各MTC設(shè)備���。HFN可以有多種通知方式�。例如,對于業(yè)務(wù)量小的MTC設(shè)備,可以將HFN設(shè)置為固定值�����。再例如�����,當(dāng)HFN可變時,eNB可以通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載���、組ID對應(yīng)組的公共信令承載或者廣播信道����,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送HFN的取值���。eNB可以在HFN達(dá)到閾值時向組ID對應(yīng)組內(nèi)的所有MTC設(shè)備發(fā)送HFN取值,也可以在有MTC設(shè)備加入組ID對應(yīng)組時���,向該MTC設(shè)備發(fā)送HFN取值��。又例如�,當(dāng)HFN可變時,如果組ID對應(yīng)的HFN達(dá)到閾值���,那么eNB可以通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載、組ID對應(yīng)組的公共信令承載或者廣播信道����,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示HFN加I的指示信息�����。如果廣播HFN需要增加的指示信息��,則對于組HFN的初始值需要MTC設(shè)備與eNB協(xié)商或由eNB發(fā)送給MTC設(shè)備���。另外���,eNB還可以直接將HXPCount值放在PDU頭部中發(fā)送給MTC設(shè)備�,這樣MTC設(shè)備根據(jù)收到的H)U�,可以從頭部中提取中HFN的取值�����。對于下行鏈路��,如果組通信基于eNB和一組MTC設(shè)備之間的公共承載,則一般組內(nèi)MTC設(shè)備通過公共承載接收eNB發(fā)送的組信息,此時組內(nèi)MTC設(shè)備的TOCP Count值變化一致,故不需要在下行鏈路引入新的HXP Count值機(jī)制。當(dāng)eNB保存的組HFN達(dá)到閾值時��,eNB對組密鑰進(jìn)行更新。當(dāng)MTC設(shè)備內(nèi)的TOCPCount值中的HFN達(dá)到閾值時�����,MTC設(shè)備也對組密鑰進(jìn)行更新�?�?梢酝ㄟ^多種方式使MTC設(shè)備確定HFN達(dá)到閾值��。例如eNB可以向MTC設(shè)備通知HFN取值或HFN加I的指示�����,以使MTC設(shè)備在改變HFN之后確定HFN達(dá)到閾值����,從而更新組密鑰�����。再例如eNB可以直接向MTC設(shè)備通知HFN達(dá)到閾值的指示�,以使MTC設(shè)備更新組密鑰����。無論在eNB中還是在MTC設(shè)備中,可以有兩種方式對組密鑰進(jìn)行更新。一種是先更新KeNB_Group,然后利用更新后的KeNB_Group計(jì)算Key_Groupenc和Key_Groupint���。在該種更新方式中,KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)或者 KeNB_Group* = KDF(KeNB_Group, cell ID, Group ID, Key Count)�。另一種是直接對Key_Groupenc和Key_Groupint進(jìn)行更新����。在該更新方式中���,Key_Groupenc* = KDF(Key_Groupenc, Cell ID, Group ID), Key_Groupint* = KDF(Key_Groupint, Cell ID, Group ID)��。在本發(fā)明的實(shí)施例中�����,為了進(jìn)一步保證通信的安全,網(wǎng)絡(luò)側(cè)可以在滿足一定條件時對組通信根密鑰進(jìn)行更新。當(dāng)滿足一定條件時�����,網(wǎng)絡(luò)側(cè)更新組根密鑰KeNB_Gr0up,并與MTC設(shè)備進(jìn)行重認(rèn)證或者向MTC設(shè)備發(fā)送用于更新KeNB_Gr0Up所需的信息,以使網(wǎng)絡(luò)側(cè)和MTC設(shè)備可以根據(jù)新的KeNB_Group更新組密鑰����。該一定條件可以是當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的定時器達(dá)到閾值時�����;也可以是eNB處維護(hù)的Key Count值達(dá)到閾值時;還可以是MME處維護(hù)的針對一個組或一個業(yè)務(wù)的計(jì)數(shù)器值達(dá)到閾值時,每當(dāng)MME收到屬于一個組或一個業(yè)務(wù)的MTC設(shè)備發(fā)送的NAS信令時����,該計(jì)數(shù)器值加
1接下來,結(jié)合圖13描述根據(jù)本發(fā)明實(shí)施例的生成組密鑰的方法1300。如圖13所示��,方法1300包括:在S1310中,接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ;在S1320中���,向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID����,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰�����,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰;在S1330中��,從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰;
在S1340中�,向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰��,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰���、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�。例如�����,方法1300可以由MME執(zhí)行。由于MME的操作與基站���、HSS、MTC設(shè)備的操作相對應(yīng),因此方法1300中的各步驟的描述可以參考方法100的描述,具體例子可以參考上述第一例子至第三例子�,為了避免重復(fù)�����,在此不再贅述。根據(jù)本發(fā)明的實(shí)施例,當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的組通信根密鑰��、或者所述業(yè)務(wù)ID沒有綁定與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰時,向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID���。如果組ID或業(yè)務(wù)ID綁定有組通信根密鑰或業(yè)務(wù)根密鑰��,則不向HSS發(fā)送組ID或業(yè)務(wù)ID�����。當(dāng)HSS將根據(jù)組ID或業(yè)務(wù)ID確定的組通信根密鑰或業(yè)務(wù)根密鑰發(fā)送給MME之后����,MME將組通信根密鑰與組ID相綁定并存儲���、或者將業(yè)務(wù)根密鑰與業(yè)務(wù)ID相綁定并存儲��。這樣,當(dāng)MME收到其它MTC設(shè)備發(fā)送的攜帶有組ID或業(yè)務(wù)ID的附著請求時,如果MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功,則向基站發(fā)送組ID和組通信根密鑰�、或者業(yè)務(wù)ID與業(yè)務(wù)根密鑰��。從而����,可以避免HSS重復(fù)根據(jù)組ID或業(yè)務(wù)ID生成組通信根密鑰或業(yè)務(wù)根密鑰����,也可以避免由于HSS產(chǎn)生的隨機(jī)數(shù)不同而使得針對同一組ID或業(yè)務(wù)ID產(chǎn)生的組通信根密鑰或業(yè)務(wù)根密鑰不同��,因此有利于實(shí)現(xiàn)同一組ID共用相同的組密鑰���。根據(jù)本發(fā)明的一個實(shí)施例�,在S1330中�,MME除了從HSS接收組通信根密鑰或業(yè)務(wù)根密鑰外����,還可以從HSS接收隨機(jī)數(shù)��。在該情況下,MME可以將組通信根密鑰��、隨機(jī)數(shù)與組ID綁定并存儲�����、或者將業(yè)務(wù)根密鑰��、隨機(jī)數(shù)與業(yè)務(wù)ID綁定并存儲����。此外��,MME需要將隨機(jī)數(shù)也發(fā)送給基站,以使基站將隨機(jī)數(shù)發(fā)送給MTC設(shè)備��,供MTC設(shè)備根據(jù)隨機(jī)數(shù)和安全密鑰來生成組密鑰�����。在MME針對組ID綁定有組通信根密鑰和隨機(jī)數(shù)��、或者針對業(yè)務(wù)ID綁定有業(yè)務(wù)根密鑰和隨機(jī)數(shù)的情況下�����,當(dāng)MME收到其它MTC設(shè)備發(fā)送的攜帶有組ID或業(yè)務(wù)ID的附著請求時,如果MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功����,則向基站發(fā)送組ID以及與組ID綁定的組通信根密鑰和隨機(jī)數(shù)���,或者向基站發(fā)送業(yè)務(wù)ID以及與業(yè)務(wù)ID綁定的業(yè)務(wù)根密鑰和隨機(jī)數(shù)�。這樣����,可以避免HSS重復(fù)生成組通信根密鑰或業(yè)務(wù)根密鑰�,也可以降低計(jì)算復(fù)雜度���。在認(rèn)證過程中�����,MME可以按照現(xiàn)有技術(shù)那樣利用AV對MTC設(shè)備進(jìn)行設(shè)備認(rèn)證���,在本發(fā)明的實(shí)施例中�,MME除了用AV對MTC設(shè)備進(jìn)行設(shè)備認(rèn)證之外�,還可以利用組認(rèn)證參數(shù)對MTC設(shè)備進(jìn)行組認(rèn)證,例如,組認(rèn)證參數(shù)可以是第一例子中根據(jù)K_Group生成的AV_Group�。此外����,在本發(fā)明的實(shí)施例中�,MME還可以用一個組認(rèn)證參數(shù)同時與MTC設(shè)備進(jìn)行設(shè)備認(rèn)證和組認(rèn)證,例如,組認(rèn)證參數(shù)可以是第二例子中根據(jù)K和K_Group生成的AV_Group中的參數(shù)��。MME用于進(jìn)行組認(rèn)證的組認(rèn)證參數(shù)由HSS根據(jù)K_GroUp或者K和K_GroUp生成之后發(fā)送給MME0此外,在進(jìn)行組通信的過程中�����,為了進(jìn)一步提高通信的安全性���,可以在達(dá)到一定條件時�,對組密鑰進(jìn)行更新。根據(jù)本發(fā)明的實(shí)施例,當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時��,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時���,或者當(dāng)維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時��,與MTC設(shè)備進(jìn)行重認(rèn)證或者從HSS接收新的組通信根密鑰或業(yè)務(wù)根密鑰��,新的組通信根密鑰或業(yè)務(wù)根密鑰由HSS根據(jù)安全密鑰和新的隨機(jī)數(shù)生成�。例如�����,在第一例子中,當(dāng)需要更新組密鑰時�,MME與MTC設(shè)備進(jìn)行重認(rèn)證,通過重認(rèn)證可以向MTC設(shè)備發(fā)送生成新的組密鑰所需的認(rèn)證參數(shù)���。在第二例子和第三例子中,當(dāng)需要更新組密鑰時,HSS隨機(jī)生成新的隨機(jī)數(shù)�����,并根據(jù)安全密鑰和新的隨機(jī)數(shù)來生成新的組通信根密鑰或業(yè)務(wù)根密鑰����,將新的組通信根密鑰或業(yè)務(wù)根密鑰參數(shù)發(fā)送給MME�����,MME再將新的組通信根密鑰或業(yè)務(wù)根密鑰發(fā)送給基站并與組ID或業(yè)務(wù)ID相綁定,基站根據(jù)新的組通信根密鑰或業(yè)務(wù)根密鑰得到新的組密鑰�����,而MTC設(shè)備也將得到新的隨機(jī)數(shù)來生成與網(wǎng)絡(luò)側(cè)的組密鑰相同的新的組密鑰���。根據(jù)本發(fā)明實(shí)施例提供的生成組密鑰的方法���,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰���,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備����,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰����。從而��,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信���,而在基站中也只需要為同一個組保持相同組密鑰��,這樣,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù)�,提高基站性能���。接下來�,參考圖14描述根據(jù)本發(fā)明實(shí)施例的生成組密鑰的方法1400�。如圖14所示,方法1400包括:在S1410中����,從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID �;在S1420中�����,根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰�����、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰��;在S1430中�,向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰��,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)����,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�����。例如,方法1400可以由MTC設(shè)備所屬的HSS執(zhí)行���。由于HSS的操作與基站�����、MME,MTC設(shè)備的操作相對應(yīng)����,因此方法1400中的各步驟的描述可以參考方法100和方法1300的描述��,具體例子可以參考上述第一例子至第三例子�,為了避免重復(fù)���,在此不再贅述�����。根據(jù)本發(fā)明的實(shí)施例,HSS在收到MME發(fā)送的組ID或業(yè)務(wù)ID之后,除了根據(jù)組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰生成的組通信根密鑰或業(yè)務(wù)根密鑰之外,還可以根據(jù)組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰�����,或者,根據(jù)與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰和MTC設(shè)備的專屬密鑰,生成用于供MTC設(shè)備進(jìn)行組認(rèn)證的組認(rèn)證參數(shù)��。例如,在第一例子中����,HSS根據(jù)組ID對應(yīng)的K_Group生成用于組認(rèn)證的AV_Group ;在第二例子中,HSS根據(jù)組ID對應(yīng)的K_Group和MTC設(shè)備的K生成用于組認(rèn)證的AV_Group����。
HSS生成組認(rèn)證參數(shù)之后,將組認(rèn)證參數(shù)發(fā)送給MME,以使MME根據(jù)該組認(rèn)證參數(shù)與MTC設(shè)備進(jìn)行認(rèn)證。通過組認(rèn)證向量進(jìn)行的認(rèn)證既可以是認(rèn)證MTC設(shè)備是否屬于組ID對應(yīng)組的組認(rèn)證����,又可以是既包含組認(rèn)證又包含設(shè)備認(rèn)證的認(rèn)證���。根據(jù)本發(fā)明實(shí)施例提供的生成組密鑰的方法����,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備�,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰�����。從而�����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信�,而在基站中也只需要為同一個組保持相同組密鑰����,這樣����,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù)�,提高基站性能。接下來����,參考圖15描述根據(jù)本發(fā)明實(shí)施例的生成組密鑰的方法1500�����。如圖15所示���,方法1500包括:在S1510中�����,向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID�,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰���,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰����,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���;在S1520中���,從基站接收用于生成組密鑰的生成參數(shù)���;在S1530中�����,根據(jù)生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成組密鑰�����。例如�,方法1500可以由MTC設(shè)備執(zhí)行����。由于MTC設(shè)備的操作與基站、MME�����、HSS的操作相對應(yīng)����,因此方法1500中的各步驟的描述可以參考方法100�、方法1300和方法1400的描述��,具體例子可以參考上述第一例子至第三例子�����,為了避免重復(fù)����,在此不再贅述����。根據(jù)本發(fā)明的一個實(shí)施例���,在基站收到組ID和組通信根密鑰的情況下,MTC設(shè)備從基站接收的生成參數(shù)可以是在MTC設(shè)備的認(rèn)證過程中�����,從基站接收的用于生成組通信根密鑰的認(rèn)證參數(shù)。根據(jù)本發(fā)明的一個實(shí)施例,在基站收到組ID和組通信根密鑰的情況下�����,MTC設(shè)備從基站接收的生成參數(shù)可以是HSS生成組通信根密鑰所利用的隨機(jī)數(shù)��,該隨機(jī)數(shù)由HSS發(fā)送給MME�,再由MME發(fā)送給基站。根據(jù)本發(fā)明的一個實(shí)施例����,在基站收到業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下,MTC設(shè)備從基站接收的生成參數(shù)可以是基站根據(jù)業(yè)務(wù)ID確定的組ID和HSS生成業(yè)務(wù)根密鑰利用的隨機(jī)數(shù)。根據(jù)本發(fā)明的實(shí)施例�,生成組密鑰所用的組算法可以預(yù)先設(shè)置在基站和MTC設(shè)備中,也可以由基站將組算法發(fā)送給MTC設(shè)備���。因此���,MTC設(shè)備從基站接收的生成參數(shù)還可以包括用于生成組密鑰的組算法標(biāo)識��。通過組算法標(biāo)識�����,MTC設(shè)備可以確定相應(yīng)組算法來生成組密鑰。
此外��,同一組ID的所有MTC設(shè)備可以共用相同的HFN���。為了共用相同的HFN,根據(jù)本發(fā)明的實(shí)施例���,組ID對應(yīng)的HFN可以被預(yù)先設(shè)置為固定值�����;或者���,MTC設(shè)備可以通過MTC設(shè)備的信令承載�����、組ID對應(yīng)組的公共信令承載或者廣播信道���,從基站接收所述HFN的取值����;或者��,當(dāng)組ID對應(yīng)的HFN達(dá)到閾值時,MTC設(shè)備可以通過MTC設(shè)備的信令承載�、組ID對應(yīng)組的公共信令承載或者廣播信道,從基站接收用于指示HFN加I的指示信息��。在進(jìn)行組通信的過程中,可以動態(tài)更新組密鑰來進(jìn)一步提高組通信的安全性�。根據(jù)本發(fā)明的一個實(shí)施例,MTC設(shè)備從基站接收用于更新組密鑰的更新信息,根據(jù)更新信息更新組密鑰�����,其中當(dāng)組ID對應(yīng)的HFN達(dá)到閾值時基站更新組密鑰���。更新信息可以是HFN的取值�����,還可以是HFN需要加I的指示信息,也可以是通知MTC設(shè)備對組密鑰進(jìn)行推衍的信息���。此外�����,當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時���,或者當(dāng)MME維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時���,MTC設(shè)備可以與MME進(jìn)行重認(rèn)證或者從基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和安全密鑰生成新的組密鑰。根據(jù)本發(fā)明的一個實(shí)施例��,當(dāng)MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應(yīng)的組通信時�����,從基站接收更新組密鑰所需的密鑰更新次數(shù),其中,密鑰更新次數(shù)由基站在組ID對應(yīng)的HFN每次達(dá)到閾值時增加I ;根據(jù)密鑰更新次數(shù)更新組密鑰����。根據(jù)本發(fā)明實(shí)施例提供的生成組密鑰的方法,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰�����,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰����,并通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備��,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰。從而,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信,而在基站中也只需要為同一個組保持相同組密鑰,這樣�,可以降低基站操作的復(fù)雜性�����,減少基站維護(hù)和管理的密鑰數(shù)����,提高基站性能。上面分別從基站����、MME�、HSS和MTC設(shè)備的角度描述了生成組密鑰的方法,下面結(jié)合圖16至23描述相關(guān)設(shè)備����。圖16是根據(jù)本發(fā)明實(shí)施例的基站1600的結(jié)構(gòu)框圖?;?600包括接收模塊1610�����、生成模塊1620和第一發(fā)送模塊1630。接收模塊1610可以通過輸入接口實(shí)現(xiàn)����,生成模塊1620可以通過處理器實(shí)現(xiàn)�����,第一發(fā)送模塊1630可以通過輸出接口實(shí)現(xiàn)�。接收模塊1610用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID,和與安全密鑰相關(guān)的組通信根密鑰���,所述安全密鑰與所述組ID相對應(yīng);或者����,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID���,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰��,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng),并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰���。生成模塊1620用于根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����。第一發(fā)送模塊1630用于向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。接收模塊1610�、生成模塊1620和第一發(fā)送模塊1630的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第三例子中的描述���,為了避免重復(fù)�,在此不再贅述。
根據(jù)本發(fā)明實(shí)施例提供的基站�,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰���,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰��,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備����,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰�����。從而,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信����,而在基站中也只需要為同一個組保持相同組密鑰���,這樣���,可以降低基站操作的復(fù)雜性�����,減少基站維護(hù)和管理的密鑰數(shù)�����,提高基站性能。圖17是根據(jù)本發(fā)明實(shí)施例的基站1700的結(jié)構(gòu)框圖����。基站1700的接收模塊1710��、生成模塊1720和第一發(fā)送模塊1730與基站1600的接收模塊1610�����、生成模塊1620和第一發(fā)送模塊1630基本相同。根據(jù)本發(fā)明的一個實(shí)施例�,接收模塊1710還用于從所述MME接收用于生成組通信根密鑰的隨機(jī)數(shù)。在該情況下,所述向MTC設(shè)備發(fā)送的生成參數(shù)包括所述隨機(jī)數(shù)�����。根據(jù)本發(fā)明的一個實(shí)施例���,組通信根密鑰根據(jù)隨機(jī)數(shù)生成�;第一發(fā)送模塊1730用于在所述MTC設(shè)備的認(rèn)證過程中�����,向所述MTC設(shè)備發(fā)送用于生成所述組通信根密鑰的認(rèn)證參數(shù),所述認(rèn)證參考包括所述隨機(jī)數(shù)����。根據(jù)本發(fā)明的一個實(shí)施例,當(dāng)根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰時,進(jìn)一步包括根據(jù)隨機(jī)數(shù)生成組通信根密鑰����;則第一發(fā)送模塊1730用于向所述MTC設(shè)備發(fā)送所述組ID和所述隨機(jī)數(shù)�����。根據(jù)本發(fā)明的實(shí)施例��,第一發(fā)送模塊1730還可具體用于向MTC設(shè)備發(fā)送用于生成組密鑰的組算法標(biāo)識。根據(jù)本發(fā)明的實(shí)施例����,基站1700還可以包括綁定模塊1740和第二發(fā)送模塊1750�����。綁定模塊1740用于將組通信根密鑰、組密鑰����、生成參數(shù)與組ID相綁定���。第二發(fā)送模塊1750用于當(dāng)確定其他MTC設(shè)備屬于組ID對應(yīng)的組時����,向其他MTC設(shè)備發(fā)送與組ID綁定的生成參數(shù)����,以使其他MTC設(shè)備根據(jù)生成參數(shù)和安全密鑰生成組密鑰��。根據(jù)本發(fā)明的實(shí)施例���,基站1700還可以包括更新模塊1760和第三發(fā)送模塊1770。更新模塊1760用于當(dāng)組ID對應(yīng)的HFN達(dá)到閾值時�,更新組密鑰�����,其中組ID的所有MTC設(shè)備共用相同的HFN�。第三發(fā)送模塊1770用于向MTC設(shè)備發(fā)送用于更新組密鑰的更新信息����,以使MTC設(shè)備根據(jù)更新信息更新組密鑰���。組ID的所有MTC設(shè)備可以共用相同的HFN。在該情況下�,組ID對應(yīng)的HFN可以被預(yù)先設(shè)置為固定值;或者基站1700還可以包括第四發(fā)送模塊1772。第四發(fā)送模塊1772可用于通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載�、組ID對應(yīng)組的公共信令承載或者廣播信道��,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送HFN的取值�?��;蛘叩谒陌l(fā)送模塊1772可用于當(dāng)組ID對應(yīng)的HFN達(dá)到閾值時�,通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載�����、組ID對應(yīng)組的公共信令承載或者廣播信道�,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示HFN加I的指示信息。根據(jù)本發(fā)明的實(shí)施例,基站1700還可以包括第五發(fā)送模塊1774�,用于當(dāng)MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應(yīng)的組通信時����,向MTC設(shè)備發(fā)送更新組密鑰所需的密鑰更新次數(shù),以使MTC設(shè)備根據(jù)密鑰更新次數(shù)更新組密鑰�����。其中,密鑰更新次數(shù)在組ID對應(yīng)的HFN每次達(dá)到閾值時增加I��。此外����,基站1700還可以包括第六發(fā)送模塊1776��,用于當(dāng)屬于組ID的其它MTC設(shè)備第一次加入組ID對應(yīng)的組通信時,向其它MTC設(shè)備發(fā)送用于生成組密鑰的生成參數(shù)和更新組密鑰所需的密鑰更新次數(shù)�,以使其它MTC設(shè)備根據(jù)生成參數(shù)����、密鑰更新次數(shù)和安全密鑰生成組密鑰。其中�,密鑰更新次數(shù)在組ID對應(yīng)的HFN每次達(dá)到閾值時增加I����。接收模塊1710�����、第一發(fā)送模塊1730���、綁定模塊1740����、第二發(fā)送模塊1750�����、更新模塊1760��、第三發(fā)送模塊1770�、第四發(fā)送模塊1772、第五發(fā)送模塊1774和第六發(fā)送模塊1776的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第三例子中的描述���,為了避免重復(fù)�,在此不再贅述。其中,綁定模塊1740和更新模塊1760可以通過處理器實(shí)現(xiàn)���,第二發(fā)送模塊1750��、第三發(fā)送模塊1770、第四發(fā)送模塊1772、第五發(fā)送模塊1774和第六發(fā)送模塊1776可以通過輸出接口實(shí)現(xiàn)。根據(jù)本發(fā)明實(shí)施例提供的基站�,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信��,而在基站中也只需要為同一個組保持相同組密鑰�,這樣�,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù)���,提高基站性能。圖18是根據(jù)本發(fā)明實(shí)施例的移動性管理實(shí)體1800的結(jié)構(gòu)框圖�。移動性管理實(shí)體1800包括第一接收模塊1810���、第一發(fā)送模塊1820���、第二接收模塊1830和第二發(fā)送模塊1840����。第一接收模塊1810和第二接收模塊1830可以通過輸入接口實(shí)現(xiàn),第一發(fā)送模塊1820和第二發(fā)送模塊1840可以通過輸出接口實(shí)現(xiàn)���。第一接收模塊1810用于接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID。第一發(fā)送模塊1820用于向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰�,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰�。第二接收模塊1830用于從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰。第二發(fā)送模塊1840用于向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�����,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�����,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�。第一接收模塊1810���、第一發(fā)送模塊1820、第二接收模塊1830和第二發(fā)送模塊1840的上述和其他操作和/或功能可以參考上述方法1300以及第一例子至第三例子中的描述����,為了避免重復(fù),在此不再贅述�。根據(jù)本發(fā)明實(shí)施例提供的移動性管理實(shí)體���,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備���,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰。從而���,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信���,而在基站中也只需要為同一個組保持相同組密鑰�����,這樣,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù),提高基站性能��。圖19是根據(jù)本發(fā)明實(shí)施例的移動性管理實(shí)體1900的結(jié)構(gòu)框圖�。
移動性管理實(shí)體1900的第一接收模塊1910��、第一發(fā)送模塊1920�、第二接收模塊1930和第二發(fā)送模塊1940與移動性管理實(shí)體1800的第一接收模塊1810�����、第一發(fā)送模塊1820、第二接收模塊1830和第二發(fā)送模塊1840基本相同。根據(jù)本發(fā)明的一個實(shí)施例���,第一發(fā)送模塊1920用于當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的組通信根密鑰�、或者所述業(yè)務(wù)ID沒有綁定與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰時��,向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID���。根據(jù)本發(fā)明的實(shí)施例����,移動性管理實(shí)體1900還可以包括第一綁定模塊1950和第三發(fā)送模塊I960�。第一綁定模塊1950用于將所述組通信根密鑰與所述組ID相綁定并存儲、或者將所述業(yè)務(wù)根密鑰與業(yè)務(wù)ID相綁定并存儲����。第三發(fā)送模塊1960用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功�,則向所述基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID與所述業(yè)務(wù)根密鑰��。根據(jù)本發(fā)明的實(shí)施例�����,第二接收模塊1930用于從HSS接收組通信根密鑰或所業(yè)務(wù)根密鑰和隨機(jī)數(shù)�����;第二發(fā)送模塊1940還用于向基站發(fā)送隨機(jī)數(shù)���,以使基站將隨機(jī)數(shù)發(fā)送給MTC設(shè)備���。在該情況下,移動性管理實(shí)體1900還可以包括第二綁定模塊1970����,用于將組通信根密鑰、隨機(jī)數(shù)與組ID綁定并存儲�����、或者將業(yè)務(wù)根密鑰����、隨機(jī)數(shù)與業(yè)務(wù)ID綁定并存儲。此時�,移動管理實(shí)體1900還可以包括第四發(fā)送模塊1980��,用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時���,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功��,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機(jī)數(shù)���,或者向所述基站發(fā)送所述業(yè)務(wù)ID以及與所述業(yè)務(wù)ID綁定的所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)����。根據(jù)本發(fā)明的一個實(shí)施例�����,移動性管理實(shí)體1900還可以包括第三接收模塊1990和認(rèn)證模塊1992。第三接收模塊1990用于從HSS接收組認(rèn)證參數(shù)���,其中組認(rèn)證參數(shù)由HSS根據(jù)安全密鑰生成,或者由HSS根據(jù)安全密鑰和MTC設(shè)備的專屬密鑰生成���。認(rèn)證模塊1992用于根據(jù)組認(rèn)證參數(shù)����,與MTC設(shè)備進(jìn)行認(rèn)證�。根據(jù)本發(fā)明的實(shí)施例��,移動性管理實(shí)體1900還可以包括處理模塊1994�,用于當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時��,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時���,或者當(dāng)維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時,與MTC設(shè)備進(jìn)行重認(rèn)證或者從HSS接收新的組通信根密鑰或業(yè)務(wù)根密鑰�����,新的組通信根密鑰或業(yè)務(wù)根密鑰由HSS根據(jù)安全密鑰和新的隨機(jī)數(shù)生成�。第一發(fā)送模塊1920�����、第二接收模塊1830�、第二發(fā)送模塊1840、第一綁定模塊1950��、第三發(fā)送模塊I960、第二綁定模塊1970、第四發(fā)送模塊1980、第三接收模塊1990、認(rèn)證模塊1992和處理模塊1994的上述和其他操作和/或功能可以參考上述方法1300以及第一例子至第三例子中的描述,為了避免重復(fù),在此不再贅述��。其中,第三發(fā)送模塊I960和第四發(fā)送模塊1980可以通過輸出接口實(shí)現(xiàn),第三接收模塊1990可以通過輸入接口實(shí)現(xiàn),第一綁定模塊1950���、第二綁定模塊1970����、認(rèn)證模塊1992和處理模塊1994可以通過處理器實(shí)現(xiàn)。根據(jù)本發(fā)明實(shí)施例提供的移動性管理實(shí)體����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信���,而在基站中也只需要為同一個組保持相同組密鑰�,這樣��,可以降低基站操作的復(fù)雜性,減少基站維護(hù)和管理的密鑰數(shù)���,提高基站性能。圖20是根據(jù)本發(fā)明實(shí)施例的歸屬用戶系統(tǒng)2000的結(jié)構(gòu)框圖��。
歸屬用戶系統(tǒng)2000包括接收模塊2010����、第一生成模塊2020和第一發(fā)送模塊2030�����。接收模塊2010可以通過輸入接口實(shí)現(xiàn),第一生成模塊2020可以通過處理器實(shí)現(xiàn)�����,第一發(fā)送模塊2030可以通過輸出接口實(shí)現(xiàn)。接收模塊2010用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID����。第一生成模塊2020用于根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰���、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰。第一發(fā)送模塊2030用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰�����,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰����、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�����,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。接收模塊2010�、第一生成模塊2020和第一發(fā)送模塊2030的上述和其他操作和/或功能可以參考上述方法1400以及第一例子至第三例子中的描述����,為了避免重復(fù),在此不再贅述。根據(jù)本發(fā)明實(shí)施例提供的歸屬用戶系統(tǒng)��,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰�,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰�����,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備���,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰�����。從而��,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信,而在基站中也只需要為同一個組保持相同組密鑰��,這樣�����,可以降低基站操作的復(fù)雜性�,減少基站維護(hù)和管理的密鑰數(shù)�,提高基站性能�。圖21是根據(jù)本發(fā)明實(shí)施例的歸屬用戶系統(tǒng)2100的結(jié)構(gòu)框圖��。歸屬用戶系統(tǒng)2100的接收模塊2110���、第一生成模塊2120和第一發(fā)送模塊2130與歸屬用戶系統(tǒng)2100的接收模塊2010、第一生成模塊2020和第一發(fā)送模塊2030基本相同。根據(jù)本發(fā)明的一個實(shí)施例,歸屬用戶系統(tǒng)2100還可以包括第二生成模塊2140和第二發(fā)送模塊2150。第二生成模塊2140用于根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰����,或者����,根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰和所述MTC設(shè)備的專屬密鑰,生成用于供所述MTC設(shè)備進(jìn)行組認(rèn)證的組認(rèn)證參數(shù)�。第二發(fā)送模塊2150用于向所述MME發(fā)送所述組認(rèn)證參數(shù)���,以使所述MME與所述MTC設(shè)備進(jìn)行認(rèn)證��。第二生成模塊2140和第二發(fā)送模塊2150的上述和其他操作和/或功能可以參考上述方法1400以及第一例子至第三例子中的描述��,為了避免重復(fù),在此不再贅述。其中,第二生成模塊2140可以通過處理器實(shí)現(xiàn)����,第二發(fā)送模塊2150可以通過輸出接口實(shí)現(xiàn)�����。根據(jù)本發(fā)明實(shí)施例提供的歸屬用戶系統(tǒng),同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信,而在基站中也只需要為同一個組保持相同組密鑰,這樣,可以降低基站操作的復(fù)雜性����,減少基站維護(hù)和管理的密鑰數(shù)�����,提高基站性能��。圖22是根據(jù)本發(fā)明實(shí)施例的機(jī)器類通信設(shè)備2200的結(jié)構(gòu)框圖���。機(jī)器類通信設(shè)備2200包括發(fā)送模塊2210、第一接收模塊2220和生成模塊2230����。發(fā)送模塊2210可以通過輸出接口實(shí)現(xiàn),第一接收模塊2220可以通過輸入接口實(shí)現(xiàn)�����,生成模塊2230可以通過處理器實(shí)現(xiàn)。發(fā)送模塊2210用于向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID����,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID�����,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���。第一接收模塊2220用于從所述基站接收用于生成所述組密鑰的生成參數(shù)����。生成模塊2230用于根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。發(fā)送模塊2210�����、第一接收模塊2220和生成模塊2230的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第三例子中的描述,為了避免重復(fù)���,在此不再贅述。根據(jù)本發(fā)明實(shí)施例提供的機(jī)器類通信設(shè)備���,由于在MTC設(shè)備和HSS中保存有與組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰,所以網(wǎng)絡(luò)側(cè)通過利用安全密鑰和HSS產(chǎn)生的隨機(jī)數(shù)可以生成MTC設(shè)備所在組的組密鑰�,并由基站通過將生成組密鑰所需的生成參數(shù)發(fā)送給該組內(nèi)的MTC設(shè)備,來使MTC設(shè)備利用生成參數(shù)和安全密鑰生成組密鑰��。從而��,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信���,而在基站中也只需要為同一個組保持相同組密鑰��,這樣�����,可以降低基站操作的復(fù)雜性���,減少基站維護(hù)和管理的密鑰數(shù),提高基站性能�����。圖23是根據(jù)本發(fā)明實(shí)施例的機(jī)器類通信設(shè)備2300的結(jié)構(gòu)框圖。機(jī)器類通信設(shè)備2300的發(fā)送模塊2310����、第一接收模塊2320和生成模塊2330與機(jī)器類通信設(shè)備2200的發(fā)送模塊2210��、第一接收模塊2220和生成模塊2230基本相同��。根據(jù)本發(fā)明的實(shí)施例,在基站收到組ID和組通信根密鑰的情況下�����,第一接收模塊2320用于在MTC設(shè)備的認(rèn)證過程中���,從基站接收用于生成組通信根密鑰的認(rèn)證參數(shù),或者���,第一接收模塊2320用于從基站接收隨機(jī)數(shù)��,其中隨機(jī)數(shù)由HSS經(jīng)由MME發(fā)送給基站���。根據(jù)本發(fā)明的一個實(shí)施例,在基站收到業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下��,第一接收模塊2320用于從基站接收組ID和隨機(jī)數(shù)���,其中隨機(jī)數(shù)由HSS經(jīng)由MME發(fā)送給基站�����,組ID由基站根據(jù)業(yè)務(wù)ID確定��。根據(jù)本發(fā)明的實(shí)施例���,第一接收模塊2320還可用于從基站接收用于生成組密鑰的組算法標(biāo)識�。根據(jù)本發(fā)明的實(shí)施例,機(jī)器類通信設(shè)備2300還可以包括第二接收模塊2340和第一更新模塊2350�����。第二接收模塊2340用于從基站接收用于更新組密鑰的更新信息����,其中基站在組ID對應(yīng)的HFN達(dá)到閾值時更新組密鑰�����,同一組ID的所有MTC設(shè)備共用相同的HFN�����。第一更新模塊2350用于根據(jù)更新信息更新組密鑰��。 同一組的所有MTC設(shè)備可以共用相同的HFN�。在該情況下�����,組ID對應(yīng)的HFN可以被預(yù)先設(shè)置為固定值;或者�����,機(jī)器類通信設(shè)備2300還可以包括第三接收模塊2360�����,用于通過MTC設(shè)備的信令承載���、組ID對應(yīng)組的公共信令承載或者廣播信道,從基站接收HFN的取值����;或者,機(jī)器類通信設(shè)備2300還可以包括第四接收模塊2370,用于當(dāng)組ID對應(yīng)的HFN達(dá)到閾值時,通過MTC設(shè)備的信令承載�、組ID對應(yīng)組的公共信令承載或者廣播信道��,從基站接收用于指示HFN加I的指示信息�。根據(jù)本發(fā)明的一個實(shí)施例����,機(jī)器類通信設(shè)備2300還可以包括第五接收模塊2380和第二更新模塊2390�。第五接收模塊2380用于當(dāng)MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入組ID對應(yīng)的組通信時,從基站接收更新組密鑰所需的密鑰更新次數(shù),其中��,密鑰更新次數(shù)由基站在組ID對應(yīng)的HFN每次達(dá)到閾值時增加I�。第二更新模塊2390用于根據(jù)密鑰更新次數(shù)更新組密鑰�����。根據(jù)本發(fā)明的實(shí)施例���,機(jī)器類通信設(shè)備2300還可以包括處理模塊2392����,用于當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時�,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時����,或者當(dāng)MME維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時��,與MME進(jìn)行重認(rèn)證或者從基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和安全密鑰生成新的組密鑰�。第一接收模塊2320����、第二接收模塊2340����、第一更新模塊2350、第三接收模塊2360���、第四接收模塊2370、第五接收模塊2380、第二更新模塊2390和處理模塊2392的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第三例子中的描述�,為了避免重復(fù)��,在此不再贅述。其中�����,第二接收模塊2340�、第三接收模塊2360�����、第四接收模塊2370和第五接收模塊2380可以通過輸入接口實(shí)現(xiàn)����,第一更新模塊2350����、第二更新模塊2390和處理模塊2392可以通過處理器執(zhí)行。根據(jù)本發(fā)明實(shí)施例提供的機(jī)器類通信設(shè)備,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進(jìn)行組通信,而在基站中也只需要為同一個組保持相同組密鑰��,這樣�,可以降低基站操作的復(fù)雜性���,減少基站維護(hù)和管理的密鑰數(shù)�,提高基站性能。本領(lǐng)域技術(shù)人員可以意識到,結(jié)合本文中所公開的實(shí)施例中描述的各方法步驟和單元����,能夠以電子硬件����、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)���,為了清楚地說明硬件和軟件的可互換性���,在上述說明中已經(jīng)按照功能一般性地描述了各實(shí)施例的步驟及組成���。這些功能究竟以硬件還是軟件方式來執(zhí)行���,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。本領(lǐng)域技術(shù)人員可以對每個特定的應(yīng)用使用不同方法來實(shí)現(xiàn)所描述的功能���,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍�。結(jié)合本文中所公開的實(shí)施例描述的方法步驟可以用硬件����、處理器執(zhí)行的軟件程序、或者二者的結(jié)合來實(shí)施����。軟件程序可以置于隨機(jī)存取存儲器(RAM)���、內(nèi)存����、只讀存儲器(ROM)��、電可編程ROM、電可擦除可編程ROM���、寄存器���、硬盤�、可移動磁盤�����、CD-ROM或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中。盡管已示出和描述了本發(fā)明的一些實(shí)施例��,但本領(lǐng)域技術(shù)人員應(yīng)該理解�����,在不脫離本發(fā)明的原理和精神的情況下�,可對這些實(shí)施例進(jìn)行各種修改�,這樣的修改應(yīng)落入本發(fā)明的范圍內(nèi)����。
權(quán)利要求
1.種生成組密鑰的方法,其特征在于����,包括: 從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID���,和與安全密鑰相關(guān)的組通信根密鑰�,所述安全密鑰與所述組ID相對應(yīng)���;或者�,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰����,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng)����,并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID��,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰��; 根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����; 向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)���,以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。
2.據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法進(jìn)一步包括:從MME接收用于生成組通信根密鑰的隨機(jī)數(shù); 所述向MTC設(shè)備發(fā)送的生成參數(shù)包括所述隨機(jī)數(shù)。
3.據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述組通信根密鑰根據(jù)隨機(jī)數(shù)生成�; 所述向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)包括: 在所述MTC設(shè)備的認(rèn)證過程中����,向所述MTC設(shè)備發(fā)送用于生成所述組通信根密鑰的認(rèn)證參數(shù)���,所述認(rèn)證參考包括所述隨機(jī)數(shù)����。
4.據(jù)權(quán)利要求1所述的方法����,其特征在于�,所述根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰時,進(jìn)一步 包括根據(jù)隨機(jī)數(shù)生成組通信根密鑰��; 則所述向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)包括: 向所述MTC設(shè)備發(fā)送所述組ID和所述隨機(jī)數(shù)�。
5.據(jù)權(quán)利要求1至4中任一所述的方法�����,其特征在于��,還包括: 將所述組通信根密鑰�����、所述組密鑰、所述生成參數(shù)與所述組ID相綁定; 當(dāng)確定其他MTC設(shè)備屬于所述組ID對應(yīng)的組時,向所述其他MTC設(shè)備發(fā)送與所述組ID綁定的所述生成參數(shù)��,以使所述其他MTC設(shè)備根據(jù)所述生成參數(shù)和所述安全密鑰生成所述組密鑰����。
6.據(jù)權(quán)利要求1至5中任一所述的方法�,其特征在于,同一組ID的所有MTC設(shè)備共用相同的超幀號HFN。
7.據(jù)權(quán)利要求6所述的方法,其特征在于��,還包括: 當(dāng)所述組ID對應(yīng)的HFN達(dá)到閾值時�,更新所述組密鑰����; 向所述MTC設(shè)備發(fā)送用于更新所述組密鑰的更新信息,以使所述MTC設(shè)備根據(jù)所述更新信息更新所述組密鑰。
8.據(jù)權(quán)利要求6或7所述的方法�����,其特征在于, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值��;或者 通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載�、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送所述HFN的取值��;或者 當(dāng)所述組ID對應(yīng)的HFN達(dá)到閾值時��,通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道�����,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示所述HFN加I的指示信息。
9.據(jù)權(quán)利要求6所述的方法,其特征在于�,還包括:當(dāng)所述MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應(yīng)的組通信時�����,向所述MTC設(shè)備發(fā)送更新所述組密鑰所需的密鑰更新次數(shù)��,以使所述MTC設(shè)備根據(jù)密鑰更新次數(shù)更新所述組密鑰���;或者 當(dāng)其它MTC設(shè)備第一次加入所述組ID對應(yīng)的組通信時,向所述其它MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)和更新所述組密鑰所需的密鑰更新次數(shù),以使所述其它MTC設(shè)備根據(jù)所述生成參數(shù)����、所述密鑰更新次數(shù)和所述安全密鑰生成組密鑰����, 其中,所述密鑰更新次數(shù)在所述組ID對應(yīng)的HFN每次達(dá)到閾值時增加I�。
10.種生成組密鑰的方法,其特征在于�����,包括: 接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ; 向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID��,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰��; 從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰; 向基站發(fā)送所述組ID和所 述組通信根密鑰��、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰��,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰�、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰���。
11.據(jù)權(quán)利要求10所述的方法�����,其特征在于,所述向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID包括: 當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的組通信根密鑰���、或者所述業(yè)務(wù)ID沒有綁定與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰時����,向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID。
12.據(jù)權(quán)利要求10或11所述的方法��,其特征在于,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰之后,還包括: 將所述組通信根密鑰與所述組ID相綁定并存儲、或者將所述業(yè)務(wù)根密鑰與業(yè)務(wù)ID相綁定并存儲����; 當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時���,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功,則向所述基站發(fā)送所述組ID和所述組通信根密鑰���、或者所述業(yè)務(wù)ID與所述業(yè)務(wù)根密鑰���。
13.據(jù)權(quán)利要求10至12中任一項(xiàng)所述的方法�,其特征在于�����,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰包括: 從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)�����; 其中��,所述向基站發(fā)送所述組ID和所述組通信根密鑰��、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰還包括:向基站發(fā)送所述隨機(jī)數(shù)��,以使所述基站將所述隨機(jī)數(shù)發(fā)送給所述MTC設(shè)備�����。
14.據(jù)權(quán)利要求13所述的方法�,其特征在于,所述從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)之后����,還包括: 將所述組通信根密鑰、所述隨機(jī)數(shù)與所述組ID綁定并存儲��、或者將所述業(yè)務(wù)根密鑰、所述隨機(jī)數(shù)與所述業(yè)務(wù)ID綁定并存儲�; 當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時����,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機(jī)數(shù),或者向所述基站發(fā)送所述業(yè)務(wù)ID以及與所述業(yè)務(wù)ID綁定的所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)��。
15.據(jù)權(quán)利要求10至14中任一項(xiàng)所述的方法,其特征在于���,所述向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID之后�����,還包括: 從所述HSS接收組認(rèn)證參數(shù)�����,其中所述組認(rèn)證參數(shù)由所述HSS根據(jù)所述安全密鑰生成,或者由所述HSS根據(jù)所述安全密鑰和所述MTC設(shè)備的專屬密鑰生成��; 根據(jù)所述組認(rèn)證參數(shù)�����,與所述MTC設(shè)備進(jìn)行認(rèn)證。
16.據(jù)權(quán)利要求10至15中任一項(xiàng)所述的方法,其特征在于,還包括: 當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時,或者當(dāng)所述基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時���,或者當(dāng)維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時,與所述MTC設(shè)備進(jìn)行重認(rèn)證或者從所述HSS接收新的組通信根密鑰或業(yè)務(wù)根密鑰�,所述新的組通信根密鑰或業(yè)務(wù)根密鑰由所述HSS根據(jù)所述安全密鑰和新的隨機(jī)數(shù)生成���。
17.種生成組密鑰的方法�,其特征在于�,包括: 從移動性管理實(shí)體M ME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID �; 根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰�、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰���; 向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰�����、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�。
18.據(jù)權(quán)利要求17所述的方法,其特征在于�,所述從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID之后,還包括: 根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰���,或者���,根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰和所述MTC設(shè)備的專屬密鑰����,生成用于供所述MTC設(shè)備進(jìn)行組認(rèn)證的組認(rèn)證參數(shù)���; 向所述MME發(fā)送所述組認(rèn)證參數(shù),以使所述MME與所述MTC設(shè)備進(jìn)行認(rèn)證��。
19.種生成組密鑰的方法��,其特征在于�,包括: 向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID���,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID����,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰��、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰��,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰����、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰����,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰; 從所述基站接收用于生成所述組密鑰的生成參數(shù)�����; 根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰����。
20.據(jù)權(quán)利要求19所述的方法���,其特征在于���,在基站收到所述組ID和所述組通信根密鑰的情況下����,所述從所述基站接收用于生成所述組密鑰的生成參數(shù)包括: 在所述MTC設(shè)備的認(rèn)證過程中����,從所述基站接收用于生成所述組通信根密鑰的認(rèn)證參數(shù)�����;或者 從所述基站接收所述隨機(jī)數(shù)�,其中所述隨機(jī)數(shù)由所述HSS經(jīng)由所述MME發(fā)送給所述基站���。
21.據(jù)權(quán)利要求19所述的方法��,其特征在于,在基站收到所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰的情況下���,所述從所述基站接收用于生成所述組密鑰的生成參數(shù)包括: 從所述基站接收所述組ID和所述隨機(jī)數(shù)����,其中所述隨機(jī)數(shù)由所述HSS經(jīng)由所述MME發(fā)送給所述基站,所述組ID由所述基站根據(jù)所述業(yè)務(wù)ID確定。
22.據(jù)權(quán)利要求19所述的方法,其特征在于,同一組ID的所有MTC設(shè)備共用相同的超幀號HFN��。
23.據(jù)權(quán)利要求22所述的方法��,其特征在于�,還包括: 從所述基站接收用于更新所述組密鑰的更新信息,其中所述基站在所述組ID對應(yīng)的HFN達(dá)到閾值時更新所述組密鑰����; 根據(jù)所述更新信息更新所述組密鑰�����。
24.據(jù)權(quán)利要求22或23所述的方法,其特征在于, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值��;或者 通過所述MTC設(shè)備的信令承載、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,從所述基站接收所述HFN的取值����;或者 當(dāng)所述組ID對應(yīng)的HFN達(dá)到閾值時,通過所述MTC設(shè)備的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道��,從所述基站接收用于指示所述HFN加I的指示信息�。
25.據(jù)權(quán)利要求22至24中任一項(xiàng)所述的方法,其特征在于,還包括: 當(dāng)所述MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應(yīng)的組通信時���,從所述基站接收更新所述組密鑰所需的密鑰更新次數(shù),其中��,所述密鑰更新次數(shù)由所述基站在所述組ID對應(yīng)的HFN每次達(dá)到閾值時增加I ; 根據(jù)所述密鑰更新次數(shù)更新所述組密鑰。
26.據(jù)權(quán)利要求19至25中任一項(xiàng)所述的方法�����,其特征在于����,還包括: 當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時,或者當(dāng)MME維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時,與MME進(jìn)行重認(rèn)證或者從所述基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和所述安全密鑰生成新的組密鑰��。
27.種基站���,其特征在于����,包括: 接收模塊,用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID��,和與安全密鑰相關(guān)的組通信根密鑰����,所述安全密鑰與所述組ID相對應(yīng);或者��,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID����,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰�����,所述安全密鑰與所述業(yè)務(wù)ID對應(yīng)�,并根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�,根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰; 生成模塊��,用于根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�; 第一發(fā)送模塊��,用于向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)�,以使所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰�。
28.據(jù)權(quán)利要求27所述的基站�,其特征在于����,所述接收模塊還用于從所述MME接收用于生成組通信根密鑰的隨機(jī)數(shù)��; 所述向MTC設(shè)備發(fā)送的生成參數(shù)包括所述隨機(jī)數(shù)����。
29.據(jù)權(quán)利要求27所述的基站���,其特征在于����,所述組通信根密鑰根據(jù)隨機(jī)數(shù)生成; 所述第一發(fā)送模塊用于在所述MTC設(shè)備的認(rèn)證過程中�,向所述MTC設(shè)備發(fā)送用于生成所述組通信根密鑰的認(rèn)證參數(shù)��,所述認(rèn)證參考包括所述隨機(jī)數(shù)。
30.據(jù)權(quán)利要求27所述的 基站����,其特征在于���,當(dāng)根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組通信根密鑰時���,進(jìn)一步包括根據(jù)隨機(jī)數(shù)生成組通信根密鑰; 則所述第一發(fā)送模塊用于向所述MTC設(shè)備發(fā)送所述組ID和所述隨機(jī)數(shù)��。
31.據(jù)權(quán)利要求27至30中任一項(xiàng)所述的基站��,其特征在于��,還包括: 綁定模塊��,用于將所述組通信根密鑰�、所述組密鑰���、所述生成參數(shù)與所述組ID相綁定��;第二發(fā)送模塊���,用于當(dāng)確定其他MTC設(shè)備屬于所述組ID對應(yīng)的組時�����,向所述其他MTC設(shè)備發(fā)送與所述組ID綁定的所述生成參數(shù),以使所述其他MTC設(shè)備根據(jù)所述生成參數(shù)和所述安全密鑰生成所述組密鑰��。
32.據(jù)權(quán)利要求27所述的基站�,其特征在于�,還包括: 更新模塊,用于當(dāng)所述組ID對應(yīng)的超幀號HFN達(dá)到閾值時,更新所述組密鑰�����,其中所述組ID的所有MTC設(shè)備共用相同的HFN ���; 第三發(fā)送模塊,用于向所述MTC設(shè)備發(fā)送用于更新所述組密鑰的更新信息���,以使所述MTC設(shè)備根據(jù)所述更新信息更新所述組密鑰��。
33.據(jù)權(quán)利要求27所述的基站�����,其特征在于,所述組ID的所有MTC設(shè)備共用相同的HFN, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值;或者 所述基站還包括第四發(fā)送模塊,用于通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載���、所述組ID對應(yīng)組的公共信令承載或者廣播信道�����,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送所述HFN的取值�����;或者用于當(dāng)所述組ID對應(yīng)的HFN達(dá)到閾值時���,通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示所述HFN加I的指示信息。
34.據(jù)權(quán)利要求27所述的基站,其特征在于����,還包括: 第五發(fā)送模塊���,用于當(dāng)所述MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應(yīng)的組通信時,向所述MTC設(shè)備發(fā)送更新所述組密鑰所需的密鑰更新次數(shù)��,以使所述MTC設(shè)備根據(jù)密鑰更新次數(shù)更新所述組密鑰��;或者 第六發(fā)送 模塊����,用于當(dāng)其它MTC設(shè)備第一次加入所述組ID對應(yīng)的組通信時��,向所述其它MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)和更新所述組密鑰所需的密鑰更新次數(shù),以使所述其它MTC設(shè)備根據(jù)所述生成參數(shù)�����、所述密鑰更新次數(shù)和所述安全密鑰生成組密鑰, 其中�,所述密鑰更新次數(shù)在所述組ID對應(yīng)的HFN每次達(dá)到閾值時增加I��。
35.種移動性管理實(shí)體����,其特征在于����,包括: 第一接收模塊���,用于接收機(jī)器類通信MTC設(shè)備發(fā)送的所述MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ����; 第一發(fā)送模塊����,用于向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID,以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰��,或者以使所述HSS根據(jù)生成的隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰; 第二接收模塊�����,用于從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰�; 第二發(fā)送模塊�,用于向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�,以使所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID����、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�����,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù),使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰����。
36.據(jù)權(quán)利要求35所述的移動性管理實(shí)體,其特征在于,所述第一發(fā)送模塊用于當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的組通信根密鑰����、或者所述業(yè)務(wù)ID沒有綁定與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰時�,向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID�����。
37.據(jù)權(quán)利要求35或36所述的移動性管理實(shí)體�����,其特征在于���,還包括: 第一綁定模塊�,用于將所述組通信根密鑰與所述組ID相綁定并存儲�����、或者將所述業(yè)務(wù)根密鑰與業(yè)務(wù)ID相綁定并存儲��; 第三發(fā)送模塊�����,用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時����,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功,則向所述基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID與所述業(yè)務(wù)根密鑰���。
38.據(jù)權(quán)利要求35至37中任一項(xiàng)所述的移動性管理實(shí)體,其特征在于�����,所述第二接收模塊用于從所述HSS接收所述組通信根密鑰或所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)�; 所述第二發(fā)送模塊還用于向基站發(fā)送所述隨機(jī)數(shù)��,以使所述基站將所述隨機(jī)數(shù)發(fā)送給所述MTC設(shè)備����。
39.據(jù)權(quán)利要求38所述的移動性管理實(shí)體���,其特征在于,還包括: 第二綁定模塊,用于將所述組通信根密鑰、所述隨機(jī)數(shù)與所述組ID綁定并存儲�、或者將所述業(yè)務(wù)根密鑰��、所述隨機(jī)數(shù)與所述業(yè)務(wù)ID綁定并存儲�����; 第四發(fā)送模塊����,用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID或業(yè)務(wù)ID的附著請求時��,如果所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認(rèn)證成功�,則向所述基站發(fā)送所述組ID以及與所述組ID綁定的所述組通信根密鑰和所述隨機(jī)數(shù)�����,或者向所述基站發(fā)送所述業(yè)務(wù)ID以及與所述業(yè)務(wù)ID綁定的所述業(yè)務(wù)根密鑰和所述隨機(jī)數(shù)�����。
40.據(jù)權(quán)利要求35至39中任一項(xiàng)所述的移動性管理實(shí)體��,其特征在于����,還包括: 第三接收模塊��,用于從所述HSS接收組認(rèn)證參數(shù)����,其中所述組認(rèn)證參數(shù)由所述HSS根據(jù)所述安全密鑰生成,或者由所述HSS根據(jù)所述安全密鑰和所述MTC設(shè)備的專屬密鑰生成����; 認(rèn)證模塊,用于根據(jù)所述組認(rèn)證參數(shù),與所述MTC設(shè)備進(jìn)行認(rèn)證��。
41.據(jù)權(quán)利要求35至40中任一項(xiàng)所述的移動性管理實(shí)體�����,其特征在于�����,還包括: 處理模塊�,用于當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時����,或者當(dāng)所述基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時,或者當(dāng)維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時�����,與所述MTC設(shè)備進(jìn)行重認(rèn)證或者從所述HSS接收新的組通信根密鑰或業(yè)務(wù)根密鑰,所述新的組通信根密鑰或業(yè)務(wù)根密鑰由所述HSS根據(jù)所述安全密鑰和新的隨機(jī)數(shù)生成。
42.種歸屬用戶系統(tǒng),其特征在于���,包括: 接收模塊�����,用于從移動性管理實(shí)體MME接收機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID ; 第一生成模塊,用于根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰�; 第一發(fā)送模塊,用于向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰���,以使所述MME向基站發(fā)送所述組ID和所述組通信根密鑰�����、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰,所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID�、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰�����、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��,并由所述基站向所述MTC設(shè)備發(fā)送用于生成所述組密鑰的生成參數(shù)���,使得所述MTC設(shè)備根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。
43.據(jù)權(quán)利要求42所述的歸屬用戶系統(tǒng)���,其特征在于,還包括: 第二生成模塊���,用于根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰,或者,根據(jù)與所述組ID或業(yè)務(wù)ID對應(yīng)的安全密鑰和所述MTC設(shè)備的專屬密鑰��,生成用于供所述MTC設(shè)備進(jìn)行組認(rèn)證的組認(rèn)證參數(shù)���; 第二發(fā)送模塊�����,用于向所述MME發(fā)送所述組認(rèn)證參數(shù)��,以使所述MME與所述MTC設(shè)備進(jìn)行認(rèn)證��。
44.種機(jī)器類通信設(shè)備,其特征在于�,包括: 發(fā)送模塊����,用于向移動性管理實(shí)體MME發(fā)送機(jī)器類通信MTC設(shè)備所在組的組ID或所述MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID��,以使所述MME向所述MTC設(shè)備所屬的用戶歸屬系統(tǒng)HSS發(fā)送所述組ID或業(yè)務(wù)ID���,所述HSS根據(jù)隨機(jī)數(shù)和與所述組ID對應(yīng)的安全密鑰生成組通信根密鑰、或者根據(jù)隨機(jī)數(shù)和與所述業(yè)務(wù)ID對應(yīng)的安全密鑰生成業(yè)務(wù)根密鑰,并向所述MME發(fā)送所述組通信根密鑰或所述業(yè)務(wù)根密鑰,從而所述MME向基站發(fā)送所述組ID和所述組通信根密鑰、或者所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰�����,以便所述基站在收到所述組ID和所述組通信根密鑰的情況下根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�����,或者在收到所述業(yè)務(wù)ID和業(yè)務(wù)根密鑰的情況下根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID、根據(jù)所述組ID和所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰��、并根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰�; 第一接收模塊��,用于從所述基站接收用于生成所述組密鑰的生成參數(shù)����; 生成模塊,用于根據(jù)所述生成參數(shù)和所述MTC設(shè)備中保存的所述安全密鑰生成所述組密鑰。
45.據(jù)權(quán)利要求44所述的機(jī)器類通信設(shè)備�,其特征在于,在基站收到所述組ID和所述組通信根密鑰的情況下,所述第一接收模塊用于在所述MTC設(shè)備的認(rèn)證過程中���,從所述基站接收用于生成所述組通信根密鑰的認(rèn)證參數(shù)����;或者從所述基站接收所述隨機(jī)數(shù)�����,其中所述隨機(jī)數(shù)由所述HSS經(jīng)由所述MME發(fā)送給所述基站�����。
46.據(jù)權(quán)利要求44所述的機(jī)器類通信設(shè)備,其特征在于���,在基站收到所述業(yè)務(wù)ID和所述業(yè)務(wù)根密鑰的情況下�����,所述第一接收模塊用于從所述基站接收所述組ID和所述隨機(jī)數(shù)����,其中所述隨機(jī)數(shù)由所述HSS經(jīng)由所述MME發(fā)送給所述基站�,所述組ID由所述基站根據(jù)所述業(yè)務(wù)ID確定��。
47.據(jù)權(quán)利要求44至46中任一項(xiàng)所述的機(jī)器類通信設(shè)備���,其特征在于,還包括: 第二接收模塊,用于從所述基站接收用于更新所述組密鑰的更新信息���,其中所述基站在所述組ID對應(yīng)的HFN達(dá)到 閾值時更新所述組密鑰,同一組ID的所有MTC設(shè)備共用相同的 HFN �����; 第一更新模塊,用于根據(jù)所述更新信息更新所述組密鑰����。
48.據(jù)權(quán)利要求44至47中任一項(xiàng)所述的機(jī)器類通信設(shè)備��,其特征在于���,同一組ID的所有MTC設(shè)備共用相同的HFN, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值�;或者 所述機(jī)器類通信設(shè)備還包括第三接收模塊�����,用于通過所述MTC設(shè)備的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,從所述基站接收所述HFN的取值����;或者 所述機(jī)器類通信設(shè)備還包括第四接收模塊����,用于當(dāng)所述組ID對應(yīng)的HFN達(dá)到閾值時�����,通過所述MTC設(shè)備的信令承載、所述組ID對應(yīng)組的公共信令承載或者廣播信道��,從所述基站接收用于指示所述HFN加I的指示信息���。
49.據(jù)權(quán)利要求44所述的機(jī)器類通信設(shè)備��,其特征在于,還包括: 第五接收模塊���,用于當(dāng)所述MTC設(shè)備進(jìn)入空閑狀態(tài)或者去附著狀態(tài)后重新加入所述組ID對應(yīng)的組通信時���,從所述基站接收更新所述組密鑰所需的密鑰更新次數(shù)���,其中�����,所述密鑰更新次數(shù)由所述基站在所述組ID對應(yīng)的HFN每次達(dá)到閾值時增加I ; 第二更新模塊,用于根據(jù)所述密鑰更新次數(shù)更新所述組密鑰��。
50.據(jù)權(quán)利要求44至49中任一項(xiàng)所述的機(jī)器類通信設(shè)備��,其特征在于,還包括: 處理模塊,用于當(dāng)網(wǎng)絡(luò)側(cè)維護(hù)的預(yù)定定時器達(dá)到第一預(yù)定閾值時���,或者當(dāng)基站更新組密鑰的次數(shù)達(dá)到第二預(yù)定閾值時,或者當(dāng)MME維護(hù)的非接入層的計(jì)數(shù)值達(dá)到第三預(yù)定閾值時�����,與MME進(jìn)行重認(rèn)證或者從所述基站接收新的生成參數(shù)以根據(jù)新的生成參數(shù)和所述安全密鑰生成新的組密鑰��。
全文摘要
本發(fā)明實(shí)施例提供了生成組密鑰的方法和相關(guān)設(shè)備��。該方法包括從MME接收MTC設(shè)備所在組的組ID���,和與安全密鑰相關(guān)的組通信根密鑰���,安全密鑰與組ID相對應(yīng);或,從MME接收MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID,和與安全密鑰相關(guān)的業(yè)務(wù)根密鑰���,安全密鑰與業(yè)務(wù)ID對應(yīng)���,并根據(jù)業(yè)務(wù)ID確定MTC設(shè)備所在組的組ID�����,根據(jù)組ID和業(yè)務(wù)根密鑰生成組通信根密鑰��;根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰����;向MTC設(shè)備發(fā)送用于生成組密鑰的生成參數(shù)��,以使MTC設(shè)備根據(jù)生成參數(shù)和MTC設(shè)備中保存的安全密鑰生成組密鑰�。從而�����,在基站中只需要為同一組保持相同組密鑰,這樣可以降低基站操作的復(fù)雜性���,減少基站維護(hù)和管理的密鑰數(shù)���,提高基站性能����。
文檔編號H04W12/06GK103096308SQ201110339969
公開日2013年5月8日 申請日期2011年11月1日 優(yōu)先權(quán)日2011年11月1日
發(fā)明者張麗佳, 陳璟, 許怡嫻 申請人:華為技術(shù)有限公司