[发明专利]一种机器到机器通信中组认证的方法和系统

权利要求书

1.一种机器到机器(M2M)通信中组认证的方法，其特征在于，所述方法包括：

机器类通信(MTC)终端网关和核心网(CN)进行双向认证，并根据CN获取的MTC终端的根密钥的哈希值计算密钥材料；

MTC终端网关和MTC终端进行双向认证，认证通过后向MTC终端发送密钥材料，并通知CN所述通过认证的MTC终端；

MTC终端根据接收到的密钥材料和自身根密钥的哈希值生成认证后的与CN的通信密钥，同时，CN根据密钥材料和所述通过认证的MTC终端的根密钥的哈希值生成认证后的与MTC终端的通信密钥。

2.根据权利要求1所述的方法，其特征在于，所述MTC终端网关和CN进行双向认证之前，还包括：

所述MTC终端网关覆盖下同一个地点属于同一个MTC用户的低移动性MTC终端签约为同一个MTC组。

3.根据权利要求1或2所述的方法，其特征在于，所述MTC终端网关和CN进行双向认证，包括：

MTC终端网关向接入安全管理设备(ASME)发起接入请求；ASME根据接收到的请求，向归属用户服务器/归属位置寄存器(HSS/HLR)请求认证向量；HSS/HLR根据签约数据生成认证向量，以及与该MTC终端网关相关联的MTC终端根密钥的哈希值，并返回给ASME进行保存；ASME和MTC终端网关利用认证向量进行认证，通过后计算密钥材料并建立安全信道。

4.根据权利要求1或2所述的方法，其特征在于，所述密钥材料具体为：由机密性密钥和完整性密钥计算得到的密钥材料。

5.根据权利要求1或2所述的方法，其特征在于，所述MTC终端网关和MTC终端进行双向认证的过程中，还包括：

MTC终端网关判断该MTC终端是否经过认证，MTC终端网关自身是否存在密钥材料，如果该MTC终端没有被认证，则所述MTC终端网关和MTC终端进行双向认证，通过后将密钥材料发送给MTC终端；如果已经被认证但不存在密钥材料，则重新进行MTC终端网关和CN的双向认证，计算密钥材料并发送给MTC终端；如果已认证且存在密钥材料，则直接向MTC终端发送密钥材料。

6.根据权利要求1或2所述的方法，其特征在于，所述MTC终端网关和CN进行双向认证的方法包括：AKA认证；

所述MTC终端网关和MTC终端进行双向认证包括：根据Internet协议安全性(IPSec)、安全传输层协议(TLS)、公钥基础设施(PKI)证书或者本地接入技术进行双向认证。

7.一种M2M通信中组认证的系统，其特征在于，所述系统包括：

MTC终端网关、CN和MTC终端，其中，

所述MTC终端网关，用于和CN进行双向认证，并根据CN获取的MTC终端的根密钥的哈希值计算密钥材料，和MTC终端进行双向认证，认证通过后向MTC终端发送密钥材料，并通知CN所述通过认证的MTC终端；

所述CN，用于获取MTC终端的根密钥的哈希值，根据密钥材料和所述通过认证的MTC终端的根密钥的哈希值生成认证后的与MTC终端的通信密钥；

所述MTC终端，用于接收到的根据密钥材料和自身根密钥的哈希值生成认证后的与CN的通信密钥。

8.根据权利要求7所述的系统，其特征在于，所述MTC终端网关，还用于将其自身覆盖下同一个地点属于同一个MTC用户的低移动性MTC终端签约为同一个MTC组。

9.根据权利要求7或8所述的系统，其特征在于，所述CN中还包括：ASME和HSS/HLR，其中，

所述ASME，用于在所述MTC终端网关和CN双向认证过程中，从HSS/HLR中获取所述MTC终端网关相关联的MTC终端根密钥的哈希值，保存在所述ASME中。

10.根据权利要求7或8所述的系统，其特征在于，所述MTC终端网关，还用于在和MTC终端进行双向认证的过程中，判断该MTC终端是否经过认证，MTC终端网关自身是否存在密钥材料，如果该MTC终端没有被认证，则所述MTC终端网关和MTC终端进行双向认证，通过后将密钥材料发送给MTC终端；如果已经被认证但不存在密钥材料，则重新进行MTC终端网关和CN的双向认证，计算密钥材料并发送给MTC终端；如果已认证且存在密钥材料，则直接向MTC终端发送密钥材料。