專(zhuān)利名稱(chēng)：M2m終端認(rèn)證系統(tǒng)及認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及機(jī)器對(duì)機(jī)器(M2M)技術(shù)，尤其涉及一種M2M終端認(rèn)證系統(tǒng)及認(rèn)證方法。
背景技術(shù)：
隨著M2M技術(shù)的發(fā)展和成熟，M2M用途的多元化，M2M終端的數(shù)量將有急劇的增長(zhǎng)。 據(jù)估計(jì)，M2M的終端數(shù)將達(dá)到手持終端數(shù)量的兩個(gè)數(shù)量級(jí)。目前，手持終端在3Gpp網(wǎng)絡(luò)中認(rèn)證是基于共享密鑰的雙向認(rèn)證手機(jī)終端側(cè)和網(wǎng)絡(luò)側(cè)都預(yù)存共享密鑰，每次終端需要接入網(wǎng)絡(luò)，網(wǎng)絡(luò)都需要根據(jù)它跟手持終端的共享密鑰生成認(rèn)證向量RAND Il XRES Il CK Il IK Il AUTNjRAND是隨機(jī)數(shù)，CK是加密密鑰，IK是完整性密鑰，AUTN是網(wǎng)絡(luò)認(rèn)證令牌，XRES是計(jì)算期望令牌，網(wǎng)絡(luò)將RAND， AUTN發(fā)給終端，終端使用RAND，AUTN完成對(duì)網(wǎng)絡(luò)的認(rèn)證，并返回相應(yīng)RES給網(wǎng)絡(luò)，網(wǎng)絡(luò)用 RES和期望令牌XRES匹配，完成了對(duì)終端的認(rèn)證，雙向認(rèn)證后，終端和網(wǎng)絡(luò)之間有共享密鑰 CK, IK.在3GPP網(wǎng)絡(luò)中，如果每個(gè)M2M終端還按照現(xiàn)有認(rèn)證方式，分別獨(dú)立地與網(wǎng)絡(luò)完成鑒權(quán)和傳送數(shù)據(jù)，那么，3GPP網(wǎng)絡(luò)將出現(xiàn)面臨無(wú)法處理如此龐大的用戶請(qǐng)求的局面，從而嚴(yán)重降低了 M2M服務(wù)的服務(wù)質(zhì)量，同時(shí)，人與人之間的通信質(zhì)量也會(huì)因此受到很大的影響。由于當(dāng)前的3GPP的網(wǎng)絡(luò)認(rèn)證方式，難以滿足以后數(shù)量越來(lái)越龐大的M2M終端，而且，由于所需的信令數(shù)量的大幅增加，不能保證M2M服務(wù)的服務(wù)質(zhì)量，從而降低了通信質(zhì)量。

發(fā)明內(nèi)容
有鑒于此，本發(fā)明的主要目的在于提供一種M2M終端認(rèn)證系統(tǒng)及其實(shí)現(xiàn)認(rèn)證的方法，能夠大幅度減少所需要的信令數(shù)量，保證M2M服務(wù)的服務(wù)質(zhì)量，從而保證通信質(zhì)量。為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種M2M終端認(rèn)證系統(tǒng)，該系統(tǒng)主要包括機(jī)器對(duì)機(jī)器M2M終端網(wǎng)關(guān)、M2M終端和運(yùn)營(yíng)商網(wǎng)絡(luò)，其中，M2M終端網(wǎng)關(guān)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，分別與運(yùn)營(yíng)商網(wǎng)絡(luò)和M2M終端完成相互認(rèn)證；M2M終端，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證；運(yùn)營(yíng)商網(wǎng)絡(luò)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證。所述M2M終端網(wǎng)關(guān)中設(shè)置有設(shè)備商分配的密鑰Kv，運(yùn)營(yíng)商分配的密鑰Ko ；所述Μ2Μ終端網(wǎng)關(guān)，具體用于與運(yùn)營(yíng)商網(wǎng)絡(luò)之間基于密鑰Kv和密鑰Ko進(jìn)行雙向認(rèn)證。所述Μ2Μ終端中存儲(chǔ)有設(shè)備商分配的密鑰Kv’，以及運(yùn)營(yíng)商分配的密鑰Ko’ ；
所述M2M終端，具體用于與M2M終端網(wǎng)關(guān)基于共享的密鑰Kv’和密鑰Κο’進(jìn)行雙向認(rèn)證。所述Μ2Μ終端具體用于所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得設(shè)備商為Μ2Μ終端分配的密鑰 Kv，；所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將所述Kv’和運(yùn)營(yíng)商分配的密鑰Ko’，或者f(Kv’， Κο’)，發(fā)送給M2M終端網(wǎng)關(guān)；所述f(Kv’，Ko’ )為以所述Kv’和所述Ko’做為參數(shù)的函數(shù)；所述M2M終端網(wǎng)關(guān)和M2M終端根據(jù)所述Kv，和所述Ko，或f (Kv，，Ko，)，實(shí)現(xiàn)M2M 終端和M2M終端網(wǎng)關(guān)間的雙向認(rèn)證。所述M2M終端網(wǎng)關(guān)和M2M終端之間的通信方式，包括但不限于以下之一無(wú)線局域網(wǎng)WIFI、藍(lán)牙、局域網(wǎng)。包括至少一個(gè)M2M終端，連接到同一個(gè)M2M終端網(wǎng)關(guān)的M2M終端屬于同一個(gè)組。一種M2M終端認(rèn)證方法，包括M2M終端網(wǎng)關(guān)根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與運(yùn)營(yíng)商網(wǎng)絡(luò)完成相互認(rèn)證；M2M終端根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證。在所述M2M終端網(wǎng)關(guān)中設(shè)置有設(shè)備商分配的密鑰Kv，以及運(yùn)營(yíng)商分配的密鑰Ko ；所述Μ2Μ終端網(wǎng)關(guān)與運(yùn)營(yíng)商網(wǎng)絡(luò)完成相互認(rèn)證包括所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得Μ2Μ終端網(wǎng)關(guān)的密鑰Kv ；所述Μ2Μ終端網(wǎng)關(guān)經(jīng)由運(yùn)營(yíng)商網(wǎng)絡(luò)向運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器發(fā)出接入請(qǐng)求；所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器根據(jù)所述接入請(qǐng)求中攜帶的Μ2Μ終端網(wǎng)關(guān)的標(biāo)識(shí)， 獲得該Μ2Μ終端網(wǎng)關(guān)的密鑰Kv和密鑰Ko ；所述運(yùn)營(yíng)商網(wǎng)絡(luò)和Μ2Μ終端網(wǎng)關(guān)根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，進(jìn)行認(rèn)證。在所述在Μ2Μ終端中預(yù)先設(shè)置設(shè)備商分配的密鑰Kv’和運(yùn)營(yíng)商分配的密鑰Ko’ ；所述M2M終端與M2M終端網(wǎng)關(guān)完成相互認(rèn)證包括所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得設(shè)備商為M2M終端分配的密鑰 Kv，；所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將所述Kv’和運(yùn)營(yíng)商分配的密鑰Ko’，或者f(Kv’， Ko’)，發(fā)送給M2M終端網(wǎng)關(guān)；所述f(Kv’，Ko’ )為以所述Kv’和所述Ko’做為參數(shù)的函數(shù)；所述M2M終端網(wǎng)關(guān)和M2M終端根據(jù)所述Kv，和所述Ko，或f (Kv，，Ko，)，實(shí)現(xiàn)M2M 終端和M2M終端網(wǎng)關(guān)間的雙向認(rèn)證。從上述本發(fā)明提供的技術(shù)方案可以看出，本發(fā)明系統(tǒng)采用了分層認(rèn)證機(jī)制，首先實(shí)現(xiàn)運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)M2M終端網(wǎng)關(guān)的認(rèn)證，認(rèn)證包括對(duì)設(shè)備的認(rèn)證(設(shè)備商分配的密鑰)及設(shè)備身份(運(yùn)營(yíng)商分配的密鑰)的認(rèn)證，確保了 M2M終端網(wǎng)關(guān)不被惡意用戶篡改，攻擊或克?。蝗缓?，實(shí)現(xiàn)M2M終端網(wǎng)關(guān)對(duì)M2M終端的認(rèn)證，認(rèn)證同樣也包括對(duì)M2M終端的認(rèn)證和M2M 終端身份的認(rèn)證，通過(guò)本發(fā)明M2M終端認(rèn)證系統(tǒng)，大大減少了運(yùn)營(yíng)商網(wǎng)絡(luò)由于支持M2M業(yè)務(wù)而大大增長(zhǎng)的信令負(fù)荷，從而保證了 M2M服務(wù)的服務(wù)質(zhì)量，進(jìn)而保證了通信質(zhì)量。


圖1為本發(fā)明M2M終端認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖；圖2為本發(fā)明M2M終端網(wǎng)關(guān)與運(yùn)營(yíng)商網(wǎng)絡(luò)間的相互認(rèn)證的實(shí)施例的流程示意圖；圖3為本發(fā)明M2M終端和M2M終端網(wǎng)關(guān)之間的相互認(rèn)證的實(shí)施例的流程示意圖。
具體實(shí)施例方式圖1為本發(fā)明M2M終端認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖，如圖1所示，主要包括M2M終端網(wǎng)關(guān)、M2M終端和運(yùn)營(yíng)商網(wǎng)絡(luò)，其中，M2M終端網(wǎng)關(guān)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，分別與運(yùn)營(yíng)商網(wǎng)絡(luò)和M2M終端完成相互認(rèn)證。M2M終端，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證。運(yùn)營(yíng)商網(wǎng)絡(luò)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證。M2M終端網(wǎng)關(guān)和M2M終端之間的通信方式可以但不限于無(wú)線保真(WIFI，Wireless Fidelity),藍(lán)牙(Bluetooth)，局域網(wǎng)(LAN, Local Area Network)等。M2M終端網(wǎng)關(guān)可以是一個(gè)小型的設(shè)備，比如放在家中，作為智能家居的家庭網(wǎng)關(guān)， 也可以是比較大型的設(shè)備，安置在礦山、牧場(chǎng)、農(nóng)場(chǎng)里。本發(fā)明系統(tǒng)中，所有的M2M終端的認(rèn)證請(qǐng)求全部終結(jié)于M2M終端網(wǎng)關(guān)，不再向運(yùn)營(yíng)商的無(wú)線基站轉(zhuǎn)發(fā)，這樣最大程度上降低了信令開(kāi)銷(xiāo)。M2M終端網(wǎng)關(guān)與運(yùn)營(yíng)商網(wǎng)絡(luò)間的相互認(rèn)證包括設(shè)備的認(rèn)證和用戶的認(rèn)證，M2M終端網(wǎng)關(guān)具體用于其中設(shè)置有設(shè)備商分配的密鑰Kv (也稱(chēng)為設(shè)備密鑰Kv)，運(yùn)營(yíng)商分配的密鑰Ko (也稱(chēng)為用戶密鑰Κο)，M2M終端網(wǎng)關(guān)和運(yùn)營(yíng)商網(wǎng)絡(luò)之間的雙向認(rèn)證基于永久共性密鑰 Kv和密鑰Ko實(shí)現(xiàn)。其中，密鑰Kv和密鑰Ko均存儲(chǔ)在M2M終端網(wǎng)關(guān)的可信環(huán)境中，即外界無(wú)法獲知，運(yùn)營(yíng)商可以通過(guò)其他可信通道從設(shè)備商獲得密鑰Kv。這樣，Μ2Μ終端網(wǎng)關(guān)和SIM卡被綁定在一起，SIM卡被盜用或者克隆Μ2Μ網(wǎng)關(guān)終端都不會(huì)導(dǎo)致非法接入。當(dāng)Μ2Μ終端網(wǎng)關(guān)不存在時(shí)，以上方式也適合于網(wǎng)絡(luò)跟Μ2Μ終端的直接認(rèn)證。Μ2Μ終端和Μ2Μ終端網(wǎng)關(guān)之間的相互認(rèn)證包括用戶級(jí)認(rèn)證和設(shè)備級(jí)的認(rèn)證。Μ2Μ 終端具體用于其中存儲(chǔ)有設(shè)備商分配的密鑰Κν’，以及運(yùn)營(yíng)商分配的密鑰Κο’，Μ2Μ終端和 Μ2Μ終端網(wǎng)關(guān)的雙向認(rèn)證基于共享的密鑰Kv’和密鑰Κο’。其中，密鑰Κν’和密鑰Ko’都存儲(chǔ)在Μ2Μ終端的可信環(huán)境中，運(yùn)營(yíng)商可以從設(shè)備商處獲得密鑰Κν’，而運(yùn)營(yíng)商將密鑰Κν’和密鑰Κο’下載到Μ2Μ終端網(wǎng)關(guān)。所述Μ2Μ終端具體用于所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得設(shè)備商為Μ2Μ終端分配的密鑰Κν’;所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將所述Κν’和運(yùn)營(yíng)商分配的密鑰 1(0’，或者€(1^’，Κο’)，發(fā)送給Μ2Μ終端網(wǎng)關(guān)；所述f(Kv’，Κο’ )為以所述Κν’和所述Κο’ 做為參數(shù)的函數(shù)；所述Μ2Μ終端網(wǎng)關(guān)和Μ2Μ終端根據(jù)所述Κν’和所述Κο’或f (Κν’，Κο’)， 實(shí)現(xiàn)Μ2Μ終端和Μ2Μ終端網(wǎng)關(guān)間的雙向認(rèn)證。如圖1所示，連接到同一個(gè)Μ2Μ終端網(wǎng)關(guān)的Μ2Μ終端(即圖1中Μ2Μ終端1、Μ2Μ
6終端2···Μ2Μ終端i)屬于同一個(gè)組。M2M終端換組是指，M2M終端連接到另一個(gè)M2M終端網(wǎng)關(guān)，此時(shí)，運(yùn)營(yíng)商網(wǎng)絡(luò)可以將M2M終端的密鑰Kv’和密鑰Κο’下載到新連接的Μ2Μ終端網(wǎng)關(guān)中。如圖1所示，本發(fā)明系統(tǒng)采用了分層認(rèn)證機(jī)制，首先實(shí)現(xiàn)運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)Μ2Μ終端網(wǎng)關(guān)的認(rèn)證，認(rèn)證包括對(duì)設(shè)備的認(rèn)證和對(duì)用戶的認(rèn)證，確保了 Μ2Μ終端網(wǎng)關(guān)不被惡意用戶篡改，攻擊或克??；然后，實(shí)現(xiàn)Μ2Μ終端網(wǎng)關(guān)對(duì)Μ2Μ終端的認(rèn)證，認(rèn)證同樣也包括對(duì)設(shè)備的認(rèn)證和對(duì)用戶的認(rèn)證，通過(guò)本發(fā)明Μ2Μ終端認(rèn)證系統(tǒng)，大大減少了運(yùn)營(yíng)商網(wǎng)絡(luò)由于支持Μ2Μ業(yè)務(wù)而大大增長(zhǎng)的信令負(fù)荷，從而保證了 Μ2Μ服務(wù)的服務(wù)質(zhì)量，進(jìn)而保證了通信質(zhì)量。下面結(jié)合實(shí)施例對(duì)本發(fā)明系統(tǒng)實(shí)現(xiàn)認(rèn)證的方法進(jìn)行詳細(xì)描述。圖2為本發(fā)明Μ2Μ終端網(wǎng)關(guān)與運(yùn)營(yíng)商網(wǎng)絡(luò)間的相互認(rèn)證的實(shí)施例的流程示意圖， 如圖2所示，包括以下步驟步驟200 在Μ2Μ終端網(wǎng)關(guān)中預(yù)先設(shè)置設(shè)備商分配的密鑰Kv和運(yùn)營(yíng)商分配的密鑰 Ko。這里，密鑰Kv和密鑰Ko需要存儲(chǔ)在Μ2Μ終端網(wǎng)關(guān)的可信任環(huán)境中。步驟201 運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器向設(shè)備商請(qǐng)求Μ2Μ終端網(wǎng)關(guān)的密鑰Kv。本步驟中，運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器需要向設(shè)備制造商提供唯一能識(shí)別M2M終端網(wǎng)關(guān)的標(biāo)識(shí)， 比如M2M終端網(wǎng)關(guān)的設(shè)備序列號(hào)等。步驟202 設(shè)備制造商向運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器返回請(qǐng)求的M2M終端網(wǎng)關(guān)的密鑰Kv。本步驟中，設(shè)備制造商和運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器之間的通信需要相互認(rèn)證，并且它們之間的信息的傳輸是經(jīng)過(guò)加密的即安全的，具體實(shí)現(xiàn)可以采用現(xiàn)有很多方法，屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段，這里不再贅述。步驟203 :M2M終端網(wǎng)關(guān)向運(yùn)營(yíng)商網(wǎng)絡(luò)發(fā)出接入請(qǐng)求，在接入請(qǐng)求中攜帶有M2M終端網(wǎng)關(guān)的用戶標(biāo)識(shí)，比如國(guó)際移動(dòng)用戶識(shí)別碼(IMSI，InternationalMobile Subscriber Identity)等。步驟204 運(yùn)營(yíng)商網(wǎng)絡(luò)向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)接入請(qǐng)求。步驟205 認(rèn)證服務(wù)器根據(jù)M2M終端網(wǎng)關(guān)的用戶標(biāo)識(shí)，找到該M2M終端網(wǎng)關(guān)的密鑰 Kv和密鑰Ko，并根據(jù)他們生成認(rèn)證向量。本步驟的具體實(shí)現(xiàn)可以采用現(xiàn)有方式實(shí)現(xiàn)，如現(xiàn)有的3GPP網(wǎng)絡(luò)的認(rèn)證方式-ΑΚΑ，以及新出現(xiàn)的方式等，這里并不用于限定本發(fā)明的保護(hù)范圍。步驟206 認(rèn)證服務(wù)器將AKA認(rèn)證向量(RAND 11 XRES 11 CK 11 IK 11 AUTN)轉(zhuǎn)發(fā)給運(yùn)營(yíng)商網(wǎng)絡(luò)。步驟207 運(yùn)營(yíng)商網(wǎng)絡(luò)和M2M終端網(wǎng)關(guān)根據(jù)設(shè)備商分配的密鑰及設(shè)備身份(運(yùn)營(yíng)商分配的密鑰)進(jìn)行密鑰協(xié)商機(jī)制(AKA，Authentication and KeyAgreement)認(rèn)證。通過(guò)圖2所示的流程，M2M終端網(wǎng)關(guān)和運(yùn)營(yíng)商網(wǎng)絡(luò)建立了信任關(guān)系，M2M終端網(wǎng)關(guān)和運(yùn)營(yíng)商網(wǎng)絡(luò)可以通過(guò)這種信任關(guān)系建立加密通道來(lái)保護(hù)信令和媒體數(shù)據(jù)。圖3為本發(fā)明M2M終端和M2M終端網(wǎng)關(guān)之間的相互認(rèn)證的實(shí)施例的流程示意圖， 如圖3所示，包括以下步驟步驟300 在M2M終端中預(yù)先設(shè)置設(shè)備商分配的密鑰Kv’和運(yùn)營(yíng)商分配的密鑰 Ko’，這里，密鑰Kv’和密鑰Ko’存儲(chǔ)在M2M終端的可信任環(huán)境中。步驟301 運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器向設(shè)備制造商請(qǐng)求M2M終端的密鑰Kv’。本步驟中，運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器需要向設(shè)備制造商提供唯一能識(shí)別M2M終端的標(biāo)識(shí)，比如 M2M終端的設(shè)備序列號(hào)等。步驟302 設(shè)備制造商向運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器提供請(qǐng)求的M2M終端的密鑰 Kv'0本步驟中，設(shè)備制造商和運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器之間的通信需要相互認(rèn)證，并且它們之間的信息的傳輸是經(jīng)過(guò)加密的即安全的。步驟303 運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將M2M終端的密鑰Kv’和運(yùn)營(yíng)商分配的密鑰 Κο’，或者f(Kv’，Ko’ )發(fā)送給運(yùn)營(yíng)商網(wǎng)絡(luò)。本步驟中4(1^’，1(0’)是一種函數(shù)，該函數(shù)以密鑰Kv’和密鑰Κο’做為參數(shù)，推導(dǎo)出一個(gè)子密鑰，以這個(gè)子密鑰作為共享密鑰完成相互間的認(rèn)證，效果等同于以密鑰Κν’和密鑰Κο’作為共享密鑰。這里需要Μ2Μ終端也做一樣的操作，推導(dǎo)出一個(gè)相同的子密鑰。步驟304 運(yùn)營(yíng)商網(wǎng)絡(luò)將Μ2Μ終端的密鑰Kv’和運(yùn)營(yíng)商密鑰Κο’，或者f (Kv’，Ko’) 發(fā)送給Μ2Μ終端網(wǎng)關(guān)。步驟305 :Μ2Μ終端網(wǎng)關(guān)和Μ2Μ終端使用共享密鑰即(設(shè)備商分配的密鑰)Kv’和 (設(shè)備商分配的密鑰)Ko’，或者f (Kv’，Ko’)，實(shí)現(xiàn)Μ2Μ終端和Μ2Μ終端網(wǎng)關(guān)間的雙向認(rèn)證。以上所述，僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種M2M終端認(rèn)證系統(tǒng)，其特征在于，該系統(tǒng)主要包括機(jī)器對(duì)機(jī)器M2M終端網(wǎng)關(guān)、M2M 終端和運(yùn)營(yíng)商網(wǎng)絡(luò)，其中，M2M終端網(wǎng)關(guān)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，分別與運(yùn)營(yíng)商網(wǎng)絡(luò)和 M2M終端完成相互認(rèn)證；M2M終端，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證；運(yùn)營(yíng)商網(wǎng)絡(luò)，用于根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與M2M終端網(wǎng)關(guān)完成相互認(rèn)證。
2.根據(jù)權(quán)利要求1所述的M2M終端認(rèn)證系統(tǒng)，其特征在于，所述M2M終端網(wǎng)關(guān)中設(shè)置有設(shè)備商分配的密鑰Kv，運(yùn)營(yíng)商分配的密鑰Ko ；所述Μ2Μ終端網(wǎng)關(guān)，具體用于與運(yùn)營(yíng)商網(wǎng)絡(luò)之間基于密鑰Kv和密鑰Ko進(jìn)行雙向認(rèn)證。
3.根據(jù)權(quán)利要求1所述的Μ2Μ終端認(rèn)證系統(tǒng)，其特征在于，所述Μ2Μ終端中存儲(chǔ)有設(shè)備商分配的密鑰Κν’，以及運(yùn)營(yíng)商分配的密鑰Κο’ ；所述Μ2Μ終端，具體用于與Μ2Μ終端網(wǎng)關(guān)基于共享的密鑰Kv’和密鑰Κο’進(jìn)行雙向認(rèn)證。
4.根據(jù)權(quán)利要求3所述的Μ2Μ終端認(rèn)證系統(tǒng)，其特征在于，所述Μ2Μ終端具體用于 所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得設(shè)備商為Μ2Μ終端分配的密鑰Kv’ ； 所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將所述1 和運(yùn)營(yíng)商分配的密鑰1(0’，或者€0^’，1(0’)，發(fā)送給M2M終端網(wǎng)關(guān)；所述f(Kv’，Ko’ )為以所述Kv’和所述Κο’做為參數(shù)的函數(shù)；所述Μ2Μ終端網(wǎng)關(guān)和Μ2Μ終端根據(jù)所述Kv’和所述Κο’或f (Kv’，Ko’)，實(shí)現(xiàn)Μ2Μ終端和Μ2Μ終端網(wǎng)關(guān)間的雙向認(rèn)證。
5.根據(jù)權(quán)利要求1 4任一項(xiàng)所述的Μ2Μ終端認(rèn)證系統(tǒng)，其特征在于，所述Μ2Μ終端網(wǎng)關(guān)和Μ2Μ終端之間的通信方式，包括但不限于以下之一無(wú)線局域網(wǎng)WIFI、藍(lán)牙、局域網(wǎng)。
6.根據(jù)權(quán)利要求5所述的Μ2Μ終端認(rèn)證系統(tǒng)，其特征在于，包括至少一個(gè)Μ2Μ終端，連接到同一個(gè)Μ2Μ終端網(wǎng)關(guān)的Μ2Μ終端屬于同一個(gè)組。
7.一種Μ2Μ終端認(rèn)證方法，其特征在于，包括Μ2Μ終端網(wǎng)關(guān)根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與運(yùn)營(yíng)商網(wǎng)絡(luò)完成相互認(rèn)證；Μ2Μ終端根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，與Μ2Μ終端網(wǎng)關(guān)完成相互認(rèn)證。
8.根據(jù)權(quán)利要求7所述的方法，其特征在于，在所述Μ2Μ終端網(wǎng)關(guān)中設(shè)置有設(shè)備商分配的密鑰Κν，以及運(yùn)營(yíng)商分配的密鑰Ko ；所述Μ2Μ終端網(wǎng)關(guān)與運(yùn)營(yíng)商網(wǎng)絡(luò)完成相互認(rèn)證包括 所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得Μ2Μ終端網(wǎng)關(guān)的密鑰Kv ； 所述Μ2Μ終端網(wǎng)關(guān)經(jīng)由運(yùn)營(yíng)商網(wǎng)絡(luò)向運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器發(fā)出接入請(qǐng)求； 所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器根據(jù)所述接入請(qǐng)求中攜帶的Μ2Μ終端網(wǎng)關(guān)的標(biāo)識(shí)，獲得該Μ2Μ終端網(wǎng)關(guān)的密鑰Kv和密鑰Ko ；所述運(yùn)營(yíng)商網(wǎng)絡(luò)和Μ2Μ終端網(wǎng)關(guān)根據(jù)設(shè)備商分配的密鑰及運(yùn)營(yíng)商分配的密鑰，進(jìn)行認(rèn)證。
9.根據(jù)權(quán)利要求7所述的方法，其特征在于，在所述在Μ2Μ終端中預(yù)先設(shè)置設(shè)備商分配的密鑰Kv’和運(yùn)營(yíng)商分配的密鑰Κο’ ；所述Μ2Μ終端與Μ2Μ終端網(wǎng)關(guān)完成相互認(rèn)證包括所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器從設(shè)備商請(qǐng)求獲得設(shè)備商為Μ2Μ終端分配的密鑰Kv’ ； 所述運(yùn)營(yíng)商網(wǎng)絡(luò)的認(rèn)證服務(wù)器將所述Kv’和運(yùn)營(yíng)商分配的密鑰Ko’，或者f(Kv’，Ko’)， 發(fā)送給M2M終端網(wǎng)關(guān)；所述f(Kv’，Ko’ )為以所述Kv’和所述Ko’做為參數(shù)的函數(shù)；所述M2M終端網(wǎng)關(guān)和M2M終端根據(jù)所述Kv’和所述Ko’或f (Kv’，Ko’)，實(shí)現(xiàn)M2M終端和M2M終端網(wǎng)關(guān)間的雙向認(rèn)證。
全文摘要
本發(fā)明公開(kāi)了一種M2M終端認(rèn)證系統(tǒng)及其實(shí)現(xiàn)認(rèn)證的方法，本發(fā)明系統(tǒng)采用了分層認(rèn)證機(jī)制，首先實(shí)現(xiàn)運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)M2M終端網(wǎng)關(guān)的認(rèn)證，認(rèn)證包括對(duì)設(shè)備的認(rèn)證和對(duì)用戶的認(rèn)證，確保了M2M終端網(wǎng)關(guān)不被惡意用戶篡改，攻擊或克?。蝗缓?，實(shí)現(xiàn)M2M終端網(wǎng)關(guān)對(duì)M2M終端的認(rèn)證，認(rèn)證同樣也包括對(duì)設(shè)備的認(rèn)證和對(duì)用戶的認(rèn)證，通過(guò)本發(fā)明M2M終端認(rèn)證系統(tǒng)，大大減少了運(yùn)營(yíng)商網(wǎng)絡(luò)由于支持M2M業(yè)務(wù)而大大增長(zhǎng)的信令負(fù)荷，從而保證了M2M服務(wù)的服務(wù)質(zhì)量，進(jìn)而保證了通信質(zhì)量。
文檔編號(hào)H04L9/32GK102223231SQ201010151160
公開(kāi)日2011年10月19日 申請(qǐng)日期2010年4月16日 優(yōu)先權(quán)日2010年4月16日
發(fā)明者朱允文, 田甜, 韋銀星, 高峰 申請(qǐng)人:中興通訊股份有限公司