[发明专利]一种机器到机器通信中组认证的方法和系统

说明书

技术领域

本发明涉及机器类通信(Machine Type Communication，MTC)安全领域，特别是指一种机器到机器(M2M)通信中组认证的方法和系统。

背景技术

随着全球信息化，以及通信网络技术的发展，人类社会出现了巨大的变化。人与人之间可以更便捷地进行沟通，信息的交换也越来越频繁。然而当前只有在人为干预的情况下，计算机或其他一些智能终端才具备联网和通信的能力，众多普通的MTC终端几乎不具备主动联网和通信能力。为了让这些普通的MTC终端具备主动的联网和通信能力，以便让通信网络技术更好地为社会生活提供服务和保障，使城市变得智能化，M2M通信的概念被引入到通信网络技术中。M2M通信的目标就是：使所有MTC终端都具备联网和通信能力，从而实现机器与机器、机器与人、人与机器之间的信息交换。

在M2M系统中将部署大量的MTC终端，其中绝大部分为低移动性的MTC终端。通常一个MTC应用会有多个MTC终端参与通信，这些MTC终端一起成为MTC组的一部分。属于同一个MTC组的MTC终端可能在同一个地点，或者有相同的MTC特性，又或者属于同一个MTC用户，这些都可以灵活的作为分组的依据，而且，组内的各个MTC终端对于网络都是可见的。对于同一个组内的MTC终端，可能需要独立地和网络进行通信，因此各个MTC终端的独立的会话密钥也是必须的。另外，由于计费、拥塞控制等原因，如果没有安全机制进行保护的话，攻击者可以伪装成属于特定MTC组的MTC终端来获取或者发送信息。因此要求M2M系统能够唯一地识别MTC组，并且具备验证MTC终端是否为MTC组内的一个合法成员的能力。

现有第二代(2G)和第三代(3G)移动网络系统的安全机制主要有：认证和加密等。认证，即识别对方身份合法性的过程。下面简述全球移动通信系统(Universal Mobile Telecommunication System，UMTS)的认证和密钥协商机制(Authentication and Key Agreement，AKA)认证过程。需要说明的是在演进分组系统(Evolved Packet System，EPS)中AKA认证过程和UMTS系统并无本质区别。UMTS的AKA认证是基于存储在归属位置寄存器(Home Location Register，HLR)和内置在终端的全球用户识别(Universal Subscriber Identity Module，USIM)卡中的根密钥K进行认证。图1为现有UMTS、EPS等系统中的现有认证技术和流程示意图，如图1所示，其认证过程如下：

步骤101，终端向通用分组无线服务(General Packet Radio Service，GPRS)的服务支持节点/拜访位置寄存器(Serving GPRS Support Node/Visitors Location Register，SGSN/VLR)发出接入请求；

步骤102，SGSN/VLR根据终端标识向HLR/认证中心(AuC)发起认证请求；

步骤103，HLR/AuC生成多组认证向量；

具体的，每组认证向量有认证向量五元组组成：随机数(RAND)、期望响应(XRES)、认证令牌(AUTN)、机密性密钥(CK)、完整性密钥(IK)。

步骤104，HLR/AuC将生成的认证向量五元组发送给请求认证的SGSN/VLR；

步骤105，SGSN/VLR接收并保存从HLR/AuC发送的多组认证向量五元组；

步骤106，SGSN/VLR从该多组认证向量中选择一组，将其中的RAND、AUTN发送至接入请求的终端；

步骤107，终端中USIM卡检查AUTN可否接受，如可以接受则执行步骤108；

具体的，所述检查AUTN可否接受，例如：AUTN是否由有效的认证令牌组成。终端接收SGSN/VLR的认证消息，首先计算认证消息中的消息认证码XMAC，并将XMAC与AUTN中的MAC进行比较，如果不同，则拒绝认证，并放弃认证过程；如果相同，则终端验证接收到的序列号SQN是否在有效范围内，若不在有效范围内，则向SGSN/VLR发送同步失败消息，并放弃认证过程，如果XMAC与AUTN中的MAC相同、且验证SQN在有效范围内，执行步骤108。