[发明专利]窄带物联网的分组认证方法

说明书

本发明公开了一种窄带物联网的分组认证方法，包括：在窄带物联网的核心网中增加代理服务器网元时，MME与代理服务器进行双向鉴权认证，相互鉴权成功后，MME授予代理服务器对终端接入认证的相关权限；终端与核心网执行EPS‑AKA接入认证过程时，终端将发送给MME的请求消息先发送给代理服务器，由代理服务器进行分组，将多个终端的请求信息以组为单位聚合成一个组消息后发送给MME，当MME得到该组的鉴权向量后，代理服务器将该组的鉴权向量分发给组内的终端，当终端收到鉴权向量后响应鉴权请求，进行认证。针对海量终端同时接入网络的情况，减少MME与归属签约服务器的信令交互次数，降低MME与HSS之间拥塞的可能性。

技术领域

本发明涉及移动通信技术领域，具体地涉及一种窄带物联网（NB-IoT）的分组认证方法。

背景技术

最新的物联网NB-IoT网络，是在LTE的基础上进行的简化。在NB-IoT协议中，使用的认证机制是LTE的EPS-AKA认证机制。EPS-AKA认证机制也是NB-IoT网络的安全基础，保障终端的通信安全，完成终端与网络端之间的双向认证并协商信令通道和数据通道所使用的密钥。每个终端接入网络时，必须经过EPS-AKA鉴权认证，保证终端和MME都是合法的。

在EPS-AKA认证过程中，主要有终端、移动管理实体MME和归属地服务器HSS参与，以及有四个主要的步骤：第一、终端向MME发送接入请求，发送自己的国际移动标识码IMSI身份信息给MME；第二、MME根据终端发送的接入请求中的IMSI身份信息，向HSS发送该终端的认证数据请求，并向HSS获取该终端的鉴权向量AV，鉴权向量AV包含四个参数：随机数RAND、鉴权量AUTN、鉴权响应XRES和密钥KASME；第三、MME将终端的鉴权向量AV发送给终端；第四、终端验证AUTH中MAC数据信息，若验证通过，计算鉴权响应发送给MME；第五、MME验证终端的鉴权响应信息。每个终端接入NB-IoT网络时，MME都必须向HSS请求终端的鉴权信息。终端和网络双方鉴权成功，才能进行安全通信。

随着移动通信的发展，越来越多设备厂商会对NB-IoT网络青睐，NB-IoT网络终端的数量将是巨大的。当大量的NB-IoT终端设备同时接入网络时，每个设备在每次接入时都需要完整的EPS-AKA认证，这会导致MME与HSS的信令拥塞。当出现此种情况时，认证过程还是有改进的余地。本发明因此而来。

发明内容

为了解决上述存在的技术问题，本发明的目的是提出一种窄带物联网的分组认证方法，针对海量NB-IoT设备同时接入网络的情况，减少移动性管理实体MME与归属签约服务器HSS的信令交互次数，降低MME与HSS之间拥塞的可能性。

本发明的技术方案是：

一种窄带物联网的分组认证方法，包括以下步骤：

S01：在窄带物联网的核心网中增加代理服务器网元时，移动性管理实体（MME）与代理服务器进行双向鉴权认证，相互鉴权成功后，MME授予代理服务器对终端接入认证的相关权限；

S02：终端与核心网执行EPS-AKA接入认证过程时，终端将发送给MME的请求消息先发送给代理服务器，由代理服务器进行分组，将多个终端的请求信息以组为单位聚合成一个组消息后发送给MME，当MME得到该组的鉴权向量后，代理服务器将该组的鉴权向量分发给组内的终端，当终端收到鉴权向量后响应鉴权请求，进行认证。

优选的技术方案中，代理服务器与终端建立安全通道，使用AES对称加密算法与离散对数生成公私密钥方法进行加解密。

优选的技术方案中，所述步骤S01中的移动性管理实体与代理服务器的双向鉴权认证包括：

S11：代理服务器和归属地服务器（HSS）共享一定位数的私钥k1、k2，生成代理服务器与MME之间使用AES加密的密钥k(k=k1||k2)；