用于在ue和網(wǎng)絡(luò)二者處的密鑰取得的mtc密鑰管理的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及MTC (機(jī)器類型通信)系統(tǒng)的密鑰管理,具體地,涉及在UE (用戶設(shè)備)和網(wǎng)絡(luò)兩者取得密鑰的技術(shù)。
【背景技術(shù)】
[0002]如公開在NPL I中所公開,應(yīng)該對MTC設(shè)備和MTC-1WF (MTC互通功能)之間接口的安全性進(jìn)行研宄。
[0003]需要注意的是,MTC設(shè)備是配備有MTC的UE,在下面的解釋中,有時將被稱為“MTCUE” 或 “UE”。
[0004]引用列表
[0005]非專利文獻(xiàn)
[0006]NPL 1:3GPP TR 33.868,"Security aspects of Machine-Type and other MobileData Applicat1ns Communicat1ns Enhancements ; (Releasel2)〃,V0.10.0, 2012-09
[0007]NPL 2:3GPP TS 33.401,"3GPP System Architecture Evolut1n(SAE) ;Securityarchitecture(Release 12)",V12.5.1, 2012-10
【發(fā)明內(nèi)容】
[0008]技術(shù)問題
[0009]然而,在3GPP(第三代合作伙伴計(jì)劃)中,沒有充分研宄。因此,在MTC設(shè)備和MTC-1ffF之間需要安全通信解決方案。
[0010]因此,本發(fā)明的示例性目的在于包括MTC設(shè)備和MTC-1WF之間的安全通信。
[0011]對問題的解決方案
[0012]為了實(shí)現(xiàn)上述目的,本發(fā)明處理以下問題:
[0013]在UE和網(wǎng)絡(luò)側(cè)取得相同的根密鑰。
[0014]在本發(fā)明中,提出了網(wǎng)絡(luò)和UE分別取得根密鑰K_iwf。在它們之間不發(fā)送密鑰。密鑰取得參數(shù)可以從網(wǎng)絡(luò)發(fā)送到UE或者從UE發(fā)送到網(wǎng)絡(luò)。在核心網(wǎng)絡(luò)內(nèi)側(cè),密鑰取得參數(shù)可以從HSS (歸屬訂戶服務(wù)器)發(fā)送到MTC-1WF和MME (移動管理實(shí)體),或者從MTC-1WF發(fā)送到HSS或MME。取得算法可用于UE和核心網(wǎng)絡(luò)。網(wǎng)絡(luò)通過算法標(biāo)識符指示UE哪種算法應(yīng)該用于根密鑰取得。
[0015]還提出了用于UE與MTC-1WF之間安全性關(guān)聯(lián)建立的新IWF安全模式命令(SMC)過程。
[0016]根據(jù)本發(fā)明的第一方面的通信系統(tǒng)包括:MTC-1WF和UE0 MTC-1WF存儲主密鑰,取得用于保密性和完整性保護(hù)的子密鑰,向UE通知密鑰取得的算法。通過UE使用所述算法取得主密鑰和子密鑰,從而UE與MTC-1WF共享主密鑰和相同子密鑰。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關(guān)聯(lián)。
[0017]根據(jù)本發(fā)明的第二方面的MTC-1WF被配置為存儲主密鑰,取得用于保密性和完整性保護(hù)的子密鑰,向UE通知密鑰取得的算法使UE取得主密鑰和子密鑰,從而UE與MTC-1WF共享相同主密鑰和相同子密鑰。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關(guān)聯(lián)。
[0018]根據(jù)本發(fā)明的第三方面的UE,被配置為通過使用從MTC-1WF通知的密鑰取得算法取得主密鑰和用于保密性和完整性保護(hù)的子密鑰,從而UE與MTC-1WF共享相同主密鑰和相同子密鑰。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關(guān)聯(lián)。
[0019]根據(jù)本發(fā)明的第四方面的HSS,被配置為取得主密鑰,并且向MTC-1WF發(fā)送主密鑰。在MTC-1WF和UE之間共享主密鑰,所述主密鑰用于MTC-1WF和UE之間的安全性關(guān)聯(lián)。
[0020]根據(jù)本發(fā)明的第五方面的MME,被配置為向UE承載NAS SMC消息,所述NAS SMC消息包括向UE通知關(guān)于密鑰取得算法的IWF SMC消息。所述算法用于UE和MTC-1WF共享主密鑰和用于保密性和完整性保護(hù)的子密鑰,并且通過使用共享的主密鑰和子密鑰在UE和MTC-1ffF之間建立安全性關(guān)聯(lián)。
[0021]根據(jù)本發(fā)明的第六方面的方法提供了使MTC通信安全的方法。所述方法包括:MTC-1WF存儲主密鑰;MTC-1WF取得用于保密性和完整性保護(hù)的子密鑰;MTC_IWF向UE通知密鑰取得的算法;以及使用所述算法的UE取得主密鑰和子密鑰,從而UE與MTC-1WF共享主密鑰和相同子密鑰。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關(guān)聯(lián)。
[0022]有益效果
[0023]根據(jù)本發(fā)明,可以解決上述問題,因此確保MTC設(shè)備和MTC-1WF之間安全通信。
【附圖說明】
[0024]圖1是示出根據(jù)本發(fā)明的示例性實(shí)施例的通信系統(tǒng)的配置示例的框圖。
[0025]圖2是是示出根據(jù)示例性實(shí)施例的通信系統(tǒng)中IWF SMC過程的一個示例的序列圖。
[0026]圖3是示出在NAS SMC中承載IWF SMC的情況下IWF SMC過程的另一示例的序列圖。
[0027]圖4是示出通過SCS觸發(fā)通信的情況下在UE和網(wǎng)絡(luò)兩者根密鑰取得的示例的序列圖。
[0028]圖5是示出根據(jù)示例性實(shí)施例的MTC設(shè)備的配置示例的框圖。
[0029]圖6是示出根據(jù)示例性實(shí)施例的網(wǎng)絡(luò)節(jié)點(diǎn)的配置示例的框圖。
【具體實(shí)施方式】
[0030]以下,將參照附圖描述本發(fā)明的示例性實(shí)施例。
[0031]如圖1所示,根據(jù)此示例性實(shí)施例的通信系統(tǒng)包括核心網(wǎng)絡(luò)(3GPP網(wǎng)絡(luò))和一個或多個MTC UE 10,MTC UE 10是配有MTC的UE并且通過RAN(無線接入網(wǎng)絡(luò))連接到核心網(wǎng)絡(luò)。盡管省略了圖示,但是RAN由多個基站(即,eNB(演進(jìn)節(jié)點(diǎn)B))形成。
[0032]MTC UE 10連接到核心網(wǎng)絡(luò)。MTC UE 10可以承載一個或多個MTC應(yīng)用。外部網(wǎng)絡(luò)中相應(yīng)MTC應(yīng)用承載在SCS (服務(wù)能力服務(wù)器)50上。SCS 50連接到核心網(wǎng)絡(luò),與MTC UE10進(jìn)行通信。
[0033]此外,核心網(wǎng)絡(luò)包括MTC-1WF 20,作為其網(wǎng)絡(luò)節(jié)點(diǎn)之一。MTC-1WF 20用作SCS 50到核心網(wǎng)絡(luò)的網(wǎng)關(guān)。MTC-1WF 20在MTC UElO和SCS 50之間中繼消息。核心網(wǎng)絡(luò)包括HSS (歸屬訂戶服務(wù)器)40、MME、SGSN (服務(wù)GPRS (通用分組無線服務(wù))支持節(jié)點(diǎn))、MSC (移動交換中心)等,作為其他網(wǎng)絡(luò)節(jié)點(diǎn)。在下面的描述中,MME和SGSN有時被稱為“MME/SGSN”,并且用符號30共同或單獨(dú)表示。通過MME/SGSN 30 (或MSC)進(jìn)行MTC UE 10和MTC-1WF20之間的通信。
[0034]接下來,將參照圖2-4描述此示例性實(shí)施例的操作示例。
[0035]LIWF SMC 過程
[0036]圖2示出使用SAE/LTE(長期演進(jìn))NAS(非接入層)SMC機(jī)制用于在UE 10與MTC-1ffF 20之間建立安全關(guān)聯(lián)的IWF SMC過程。下面將描述此過程。
[0037]假設(shè)MTC-1WF 20已經(jīng)接收或取得根密鑰K_iwf或者已經(jīng)取得子密鑰。需要注意的是,根密鑰1(_1#用于取得子密鑰。子密鑰包括至少一個完整性密鑰,用于檢查MTC UE10和MTC-1WF 20之間傳送的消息的完整性(在下文,該密鑰將被稱為“完整性子密鑰”)。子密鑰還可以包括密鑰,用于對MTC UE 10和MTC-1WF 20之間傳送的消息加密和解密。
[0038]Sll !MTC-1WF 20使用密鑰取得參數(shù)(可選)和算法ID向UE 10發(fā)送IWF SMC消息。通過完整性子密鑰保護(hù)IWF SMC消息。開始下行鏈路完整性保護(hù)。
[0039]S12:UE 10通過使用MTC-1WF 20發(fā)送的密鑰取得參數(shù)和算法取得K_iwf和子密鑰。
[0040]S13:UE 10使用取得的完整性子密鑰驗(yàn)證接收的IWF SMC。開始上行鏈路完整性保護(hù)。如果驗(yàn)證失敗,則UE 10發(fā)送IWF SMC拒絕消息。
[0041]S14:如果完整性驗(yàn)證成功,則UE 10通過使用UE 10已經(jīng)取得的完整性子密鑰使用完整性保護(hù)將IWF SMC完成消息發(fā)送到MTC-1WF20。開始上行鏈路完整性保護(hù)。
[0042]S15 !MTC-1WF 20使用已經(jīng)取得的完整性子密鑰驗(yàn)證IWF SMC完成消息。
[0043]S16:如果在步驟S15驗(yàn)證成功,則在UE 10和MTC-1WF 20之間建立安全關(guān)聯(lián),并且他們可以開始安全通信。
[0044]同時,如圖3所示,也可以在NAS SMC過程中承載IWF SMC消息。
[0045]S21:MTC-1WF 20使用UE ID向MME 30發(fā)送完整性保護(hù)的IWF SMC消息或UE 10執(zhí)行密鑰取得的必要參數(shù)(與圖2的步驟Sll相同)。
[0046]S22:MME 30使用NAS SMC消息承載IWF SMC消息,并且將其發(fā)送到UE 10。
[0047]S23:UE 10進(jìn)行NAS完整性驗(yàn)證。
[0048]S24:如果NAS完整性驗(yàn)證失敗,UE 10向MME 30發(fā)送承載IWF SMC拒絕消息的NAS SMC拒絕消息。MME 30向MTC-1WF 20轉(zhuǎn)發(fā)IWF SMC拒絕消息。
[0049]S25:如果NAS完整性驗(yàn)證成功,則UE 10取得K_iwf和子密鑰。
[0050]S26:如果在步驟S21使用完整性保護(hù)發(fā)送IWF SMC消息,則UElO對IWF SMC進(jìn)行完整性驗(yàn)證。通過使用UE 10取得的完整性子密鑰進(jìn)行完整性驗(yàn)證。
[0051]S27:UE 10向MME 30發(fā)送承載IWF SMC完成的NAS SMC