CN104919777A - 用于在ue和网络二者处的密钥取得的mtc密钥管理 - Google Patents
用于在ue和网络二者处的密钥取得的mtc密钥管理 Download PDFInfo
- Publication number
- CN104919777A CN104919777A CN201480004552.8A CN201480004552A CN104919777A CN 104919777 A CN104919777 A CN 104919777A CN 201480004552 A CN201480004552 A CN 201480004552A CN 104919777 A CN104919777 A CN 104919777A
- Authority
- CN
- China
- Prior art keywords
- iwf
- mtc
- key
- sub
- master key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/081—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种建立MTC UE(10)和MTC-IWF(20)之间的安全性关联的新IWF SMC过程。MTC-IWF(20)向UE(10)发送至少一个算法标识符,所述算法标识符指示UE(10)选择用于取得根密钥(K_iwf)的算法之一。UE(10)根据选择的算法取得根密钥的(K_iwf),并且使用取得的根密钥的(K_iwf)取得用于检查UE(10)和MTC-IWF(20)之间传送的消息的完整性的至少一个子密钥。UE(10)使用取得的子密钥保护发送到MTC-IWF(20)的上行链路消息。MTC-IWF(20)使用在核心网络取得的相同子密钥保护发送到UE(10)的下行链路消息。
Description
技术领域
本发明涉及MTC(机器类型通信)***的密钥管理,具体地,涉及在UE(用户设备)和网络两者取得密钥的技术。
背景技术
如公开在NPL 1中所公开,应该对MTC设备和MTC-IWF(MTC互通功能)之间接口的安全性进行研究。
需要注意的是,MTC设备是配备有MTC的UE,在下面的解释中,有时将被称为“MTC UE”或“UE”。
引用列表
非专利文献
NPL 1:3GPP TR 33.868,"Security aspects of Machine-Type andother Mobile Data Applications Communications Enhancements;(Release12)",V0.10.0,2012-09
NPL 2:3GPP TS 33.401,"3GPP System Architecture Evolution(SAE);Security architecture(Release 12)",V12.5.1,2012-10
发明内容
技术问题
然而,在3GPP(第三代合作伙伴计划)中,没有充分研究。因此,在MTC设备和MTC-IWF之间需要安全通信解决方案。
因此,本发明的示例性目的在于包括MTC设备和MTC-IWF之间的安全通信。
对问题的解决方案
为了实现上述目的,本发明处理以下问题:
在UE和网络侧取得相同的根密钥。
在本发明中,提出了网络和UE分别取得根密钥K_iwf。在它们之间不发送密钥。密钥取得参数可以从网络发送到UE或者从UE发送到网络。在核心网络内侧,密钥取得参数可以从HSS(归属订户服务器)发送到MTC-IWF和MME(移动管理实体),或者从MTC-IWF发送到HSS或MME。取得算法可用于UE和核心网络。网络通过算法标识符指示UE哪种算法应该用于根密钥取得。
还提出了用于UE与MTC-IWF之间安全性关联建立的新IWF安全模式命令(SMC)过程。
根据本发明的第一方面的通信***包括:MTC-IWF和UE。MTC-IWF存储主密钥,取得用于保密性和完整性保护的子密钥,向UE通知密钥取得的算法。通过UE使用所述算法取得主密钥和子密钥,从而UE与MTC-IWF共享主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-IWF建立安全性关联。
根据本发明的第二方面的MTC-IWF被配置为存储主密钥,取得用于保密性和完整性保护的子密钥,向UE通知密钥取得的算法使UE取得主密钥和子密钥,从而UE与MTC-IWF共享相同主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-IWF建立安全性关联。
根据本发明的第三方面的UE,被配置为通过使用从MTC-IWF通知的密钥取得算法取得主密钥和用于保密性和完整性保护的子密钥,从而UE与MTC-IWF共享相同主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-IWF建立安全性关联。
根据本发明的第四方面的HSS,被配置为取得主密钥,并且向MTC-IWF发送主密钥。在MTC-IWF和UE之间共享主密钥,所述主密钥用于MTC-IWF和UE之间的安全性关联。
根据本发明的第五方面的MME,被配置为向UE承载NAS SMC消息,所述NAS SMC消息包括向UE通知关于密钥取得算法的IWFSMC消息。所述算法用于UE和MTC-IWF共享主密钥和用于保密性和完整性保护的子密钥,并且通过使用共享的主密钥和子密钥在UE和MTC-IWF之间建立安全性关联。
根据本发明的第六方面的方法提供了使MTC通信安全的方法。所述方法包括:MTC-IWF存储主密钥;MTC-IWF取得用于保密性和完整性保护的子密钥;MTC-IWF向UE通知密钥取得的算法;以及使用所述算法的UE取得主密钥和子密钥,从而UE与MTC-IWF共享主密钥和相同子密钥。通过使用共享的主密钥和子密钥在UE和MTC-IWF建立安全性关联。
有益效果
根据本发明,可以解决上述问题,因此确保MTC设备和MTC-IWF之间安全通信。
附图说明
图1是示出根据本发明的示例性实施例的通信***的配置示例的框图。
图2是是示出根据示例性实施例的通信***中IWF SMC过程的一个示例的序列图。
图3是示出在NAS SMC中承载IWF SMC的情况下IWF SMC过程的另一示例的序列图。
图4是示出通过SCS触发通信的情况下在UE和网络两者根密钥取得的示例的序列图。
图5是示出根据示例性实施例的MTC设备的配置示例的框图。
图6是示出根据示例性实施例的网络节点的配置示例的框图。
具体实施方式
以下,将参照附图描述本发明的示例性实施例。
如图1所示,根据此示例性实施例的通信***包括核心网络(3GPP网络)和一个或多个MTC UE 10,MTC UE 10是配有MTC的UE并且通过RAN(无线接入网络)连接到核心网络。尽管省略了图示,但是RAN由多个基站(即,eNB(演进节点B))形成。
MTC UE 10连接到核心网络。MTC UE 10可以承载一个或多个MTC应用。外部网络中相应MTC应用承载在SCS(服务能力服务器)50上。SCS 50连接到核心网络,与MTC UE 10进行通信。
此外,核心网络包括MTC-IWF 20,作为其网络节点之一。MTC-IWF 20用作SCS 50到核心网络的网关。MTC-IWF 20在MTC UE10和SCS 50之间中继消息。核心网络包括HSS(归属订户服务器)40、MME、SGSN(服务GPRS(通用分组无线服务)支持节点)、MSC(移动交换中心)等,作为其他网络节点。在下面的描述中,MME和SGSN有时被称为“MME/SGSN”,并且用符号30共同或单独表示。通过MME/SGSN 30(或MSC)进行MTC UE 10和MTC-IWF 20之间的通信。
接下来,将参照图2-4描述此示例性实施例的操作示例。
1.IWF SMC过程
图2示出使用SAE/LTE(长期演进)NAS(非接入层)SMC机制用于在UE 10与MTC-IWF 20之间建立安全关联的IWF SMC过程。下面将描述此过程。
假设MTC-IWF 20已经接收或取得根密钥K_iwf或者已经取得子密钥。需要注意的是,根密钥K_iwf用于取得子密钥。子密钥包括至少一个完整性密钥,用于检查MTC UE 10和MTC-IWF 20之间传送的消息的完整性(在下文,该密钥将被称为“完整性子密钥”)。子密钥还可以包括密钥,用于对MTC UE 10和MTC-IWF 20之间传送的消息加密和解密。
S11:MTC-IWF 20使用密钥取得参数(可选)和算法ID向UE 10发送IWF SMC消息。通过完整性子密钥保护IWF SMC消息。开始下行链路完整性保护。
S12:UE 10通过使用MTC-IWF 20发送的密钥取得参数和算法取得K_iwf和子密钥。
S13:UE 10使用取得的完整性子密钥验证接收的IWF SMC。开始上行链路完整性保护。如果验证失败,则UE 10发送IWF SMC拒绝消息。
S14:如果完整性验证成功,则UE 10通过使用UE 10已经取得的完整性子密钥使用完整性保护将IWF SMC完成消息发送到MTC-IWF20。开始上行链路完整性保护。
S15:MTC-IWF 20使用已经取得的完整性子密钥验证IWF SMC完成消息。
S16:如果在步骤S15验证成功,则在UE 10和MTC-IWF 20之间建立安全关联,并且他们可以开始安全通信。
同时,如图3所示,也可以在NAS SMC过程中承载IWF SMC消息。
S21:MTC-IWF 20使用UE ID向MME 30发送完整性保护的IWFSMC消息或UE 10执行密钥取得的必要参数(与图2的步骤S11相同)。
S22:MME 30使用NAS SMC消息承载IWF SMC消息,并且将其发送到UE 10。
S23:UE 10进行NAS完整性验证。
S24:如果NAS完整性验证失败,UE 10向MME 30发送承载IWFSMC拒绝消息的NAS SMC拒绝消息。MME 30向MTC-IWF 20转发IWF SMC拒绝消息。
S25:如果NAS完整性验证成功,则UE 10取得K_iwf和子密钥。
S26:如果在步骤S21使用完整性保护发送IWF SMC消息,则UE10对IWF SMC进行完整性验证。通过使用UE 10取得的完整性子密钥进行完整性验证。
S27:UE 10向MME 30发送承载IWF SMC完成的NAS SMC完成。IWF SMC完成消息可以被完整性保护。
或者,如果在步骤S26验证失败,则UE 10发送在NAS SMC完成中承载的IWF SMC拒绝消息。
S28:MME 30向MTC-IWF 20转发IWF SMC完成或IWF SMC拒绝消息。
S29:如果被完整性保护,则MTC-IWF 20对IWF SMC完成消息进行完整性验证。
S30:在UE 10和MTC-IWF 20之间建立安全性关联,并且他们可以开始安全通信。如果MTC-IWF 20接收到IWF SMC完成,则在步骤S29完整性验证通过(当进行时)。
在此过程中,对IWF SMC消息的完整性保护是通过完整性子密钥,NAS SMC消息保护和验证遵循NPL 2中的要求。
2.在网络和UE两者的根密钥取得
可以通过下述条件触发UE与核心网络两侧的初始密钥取得:
-具有MTC能力的UE附接到网络,其中,UE还不具有K_iwf,且网络验证它是MTC UE;
-第一次需要将触发传递到UE,且UE和MTC-IWF之间不存在安全关联。
在此示例性实施例中,以通过触发从SCS 50发起通信的情况作为示例。细节示于图4。
S31:假设HSS 40和MTC-IWF 20之间已经建立安全性。
S32:SCS 50向MTC-IWF 20发送MTC设备触发消息,包括目标UE ID。
S33:MTC-IWF 20使用消息类型=触发和UE ID向HSS 40发送订户信息请求消息。消息类型是向HSS 40表明来自SCS50的请求是触发。
S34:如果UE 10还没有得到验证,则与UE 10相互验证。
S35:作为一个选项,UE 10可以以NAS消息向网络发送一些密钥取得参数。
在MTC-IWF 20取得K_iwf的情况下,进行以下步骤S36至S38。
S36:如果MTC-IWF 20本身不具有密钥取得参数,则HSS 40可以在订户信息响应消息中将它们发送到MTC-IWF 20。
S37:MTC-IWF 20相应地取得K_iwf和子密钥。
S38:如图2所示作为一个独立过程进行IWF SMC过程,或者如图3所示嵌入到NAS SMS过程中。
可选地,在HSS 40取得K_iwf的情况下,进行以下步骤S46至S48。
S46:HSS 40取得K_iwf。如果MTC-IWF 20具有密钥取得参数,在步骤S33它可以将其发送到HSS 40。
S47:HSS 40以用户信息响应消息向MTC-IWF 20发送K_iwf。
S48:MTC-IWF 20存储K_iwf并取得子密钥。
S49:作为一个独立过程进行IWF SMC过程,或者嵌入到NASSMS过程中。
可选地,在MME 30取得K_iwf的情况下,进行以下步骤S56至S60。
S56:HSS 40在认证数据响应或***订户数据中向MME 30发送密钥取得参数、算法ID。
S57:MME 30取得K_iwf。
S57:MME 30derives K_iwf.
S58:MME 30以例如以下两种方式中的任何一个向MTC-IWF 20发送取得K_iwf。
一种方式是,MME 30在新消息中向HSS 40发送K_iwf,然后,HSS 40在名为更新订户信息消息的新消息中将其发送到MTC-IWF 20。
另一种方式是,MME 30通过接口T5在新消息或报告消息中直接向MTC-IWF 20发送K_iwf。
S59:MTC-IWF 20将存储K_iwf并取得子密钥。
S60:作为一个独立过程进行IWF SMC过程,或者嵌入到NASSMS过程中。
对于UE 10发起通信的情况,IWF SMC过程相同。在步骤S36和步骤S47,HSS 40可以使用上述更新订户信息发送密钥取得参数或K_iwf。
接下来,将参照图5和6描述根据此示例性实施例的MTC UE 10和MTC-IWF 20的配置示例。需要注意的是,在以下的说明中,将仅描述对此示例性实施例特定的元件。然而,应该理解,MTC UE 10和MTC-IWF 20还包括分别作为典型MTC UE和MTC-IWF的元件。
如图5所示,MTC UE 10包括协商单元11,它与MTC-IWF 20协商,以建立MTC UE 10和MTC-IWF 20的安全关联,如图2至4所示。如图3所示,协商单元11可以通过MME 30将用于协商的消息传送到MTC-IWF 20。如图4的步骤S35所示,协商单元11可以向核心网络发送密钥取得参数。如图2的步骤S11所示,协商单元11可以从MTC-IWF 20接收算法ID。在相同的步骤S11,协商单元11还可以从MTC-IWF 20接收密钥取得参数。如图2的步骤S 12所示,协商单元11可以取得根密钥K_iwf和子密钥,并且如步骤S13所示,使用取得的完整性子密钥验证从MTC-IWF 20接收的IWF SMC消息。如步骤S14所示,在验证成功之后,协商单元11使用完整性子密钥保护IWFSMC完成消息,并且向MTC-IWF 20发送保护的IWF SMC完成消息。在验证失败之后,协商单元11向MTC-IWF 20发送IWF SMC拒绝消息。例如,这种协商单元11可以被配置有收发器,通过MME 30和RAN与MTC-IWF 20进行通信,以及控制该收发器的诸如CPU(中央处理单元)的控制器。
如图6所示,MTC-IWF 20包括协商单元21,它与MTC UE 10协商,以建立MTC UE 10和MTC-IWF 20的安全关联,如图2至4所示。如图3所示,协商单元21可以通过MME 30将用于协商的消息传送到MTC UE 10。如图2的步骤S11所示,协商单元21可以向MTC UE 10发送算法ID。在相同的步骤S11,协商单元21还可以向MTC UE 10发送密钥取得参数。协商单元21可以使用完整性子密钥保护IWF SMC消息。如图2的步骤S15所示,协商单元21可以使用完整性子密钥验证从MTC UE 10接收的IWF SMC完成消息。例如,这种协商单元21可以被配置有收发器,通过MME 30和RAN与MTC UE 10进行通信,以及控制该收发器的诸如CPU的控制器。
基于上面的描述,将对3GPP TR 33.868提出如下的解决方案。
1.讨论
在MTC设备触发中,SCS和UE之间的应用可以使用保密性和完整性保护触发被窃听或篡改。
然而,由于触发传递通信经由移动网络,因此当我们考虑来自的(未授权)触发可能带来的安全问题时,我们还需要研究对网络和连接到网络的UE的攻击。如在TR 33.868,章节5.1.2威胁部分所述,攻击可能导致UE功耗,DoS攻击到网络,网络资源浪费,过载NAS和隐私问题。由于应用安全性解决不了这些问题,因此在传输和网络层的安全性应予以考虑。
在NAS层现有***中,MME和UE可以建立NAS安全性。从MME转发到UE的触发可以具有NAS安全性保护,但是MME不被设计为MTC用途,从而它不执行SCS的任何验证或从它触发。MME转发其接收的任何触发,这使得NAS的安全性不足。同时,每当接收到触发和响应时,MTC-IWF、MME和UE之间的逐跳安全性要求MME在MTC-IWF和UE两个方向执行加密/解密、完整性检查。UE和SCS之间的大量通信将使MME和NAS层通信超载。
作为在3GPP网络域的入口元件,在HSS支持的情况下,MTC-IWF将SCS和其触发请求授权到给定UE。MTC-IWF检索订户信息,并将该触发从SCS转发到UE。
然而,尚未研究通过接口T5的安全性。对于漫游UE,可能通过接口发生MitM攻击。最重要的是,妥协的MTC-IWF可以重放、放弃或改变触发消息。与MME和HSS相互认证且与MME建立NAS安全内容的UE信任从MME接收的消息。因此,由于MME不执行任何验证,因此假触发将很容易传递到UE。
因此,UE和MTC-IWF有必要相互认证;消息完整性、认证、授权、机密性保护、重放保护。MTC-IWF应确保触发传递的安全性,当SCS被认证和授权给网络时提供证明。
2.建议
我们提出了用于UE和MTC-IWF的新密钥层级来保护它们之间的通信,并给出在两端如何取得和共享密钥,密钥管理,以及延伸到移动性情况。
UE和MTC-IWF之间的通信应该具有使用子密钥的保密性和完整性保护。
2.1新密钥层级
密钥层级由根密钥和机密性和完整性保护子密钥对构成。使用子密钥对可以很容易地进行密钥管理。当子密钥已过期或暴露时,UE和MTC-IWF可以简单地从他们持有的根密钥取得另一子密钥对,而不是从头再来密钥取得和分配。
K_IWF是应该仅在UE和MTC-IWF之间共享的根密钥。它是用于分别在UE和MTC-IWF得到子密钥对K_IWFe和K_IWFi。K_IWFe是保密性密钥和K_IWFi是完整性密钥。两个子密钥用于保护UE和MTC-IWF之间的控制平面通信。
2.2在网络和UE两者的密钥取得
在本文档中,我们提出独立于MTC-IWF和UE两者取得相同根密钥K_IWF。
HSS通过接口S6m向MTC-IWF发送Kasme,并且MTC-IWF从Kasme取得根密钥K_IWF。K_IWF应该被存储在MTC-IWF中,并且用于子密钥取得。
在不同端取得相同密钥需要UE和MTC-IWF具有相同种子和参数,并使用相同算法。密钥取得的必要参数和算法标识符可以通过HSS指示给UE。我们提出使用NAS SMC机制[TS33.401]的IWF SMC过程。
在MTC-IWF从根密钥取得子密钥之后,在IWF SMC消息中向UE指示参数和算法。使用完整性子密钥K_IWFi完整性保护该消息。
以与NAS SMC过程相同的方式,UE应验证IWF安全模式命令消息的完整性。如果成功验证,则UE应开始上行链路保密性和完整性安全保护。UE通过使用它取得的完整性子密钥K_IWFi使用完整性保护向MTC-IWF发送IWF安全模式完成消息。
MTC-IWF应该使用K_IWFi检查对IWF安全模式完成消息的完整性保护。在接收到IWF安全模式完成消息之后,可以开始使用子密钥在MTC-IWF下行链路加密。在发送IWF安全模式完成消息之后,可以开始使用子密钥在MTC-IWF上行链路解密。
如果在UE,IWF安全模式命令的任何验证不成功,则UE应该使用IWF安全模式拒绝消息回复。
在仅完整消息或必要参数的情况下,IWF SMC过程可以是独立的,或者可以在NAS SMC过程中承载。
2.3密钥管理
2.3.1根密钥取得和更新
对于根密钥K_IWF取得,使用用于LTE/SAE密钥取得[TS33.401]的相同密钥取得函数(KDF)。
当取得新Kasme并发送到MTC-IWF时,应该更新根密钥。对于MME之间的切换,没有必要更新根密钥。对于MTC-IWF之间的切换,应该取得新的根密钥。
2.3.2子密钥取得
在取得根密钥之后,应该一次取得子密钥K_IWFe和K_IWFi。子密钥取得也使用相同KDF,其中,K_IWF作为输入键。如[TS33.401]中描述的截断过程可以用于获得子密钥K_IWFe和K_IWFi。其他输入参数包括:计数器,计数器长度。
K_IWFe是密钥,将仅用于在特定加密算法的情况下UE和MTC-IWF之间的业务保护。
K_IWFi是密钥,将仅用于在特定加密算法的情况下UE和MTC-IWF之间的业务保护。
当取得新根密钥时,应该从新根密钥取得新子密钥。网络可以在任何时候根据其政策决定从相同根密钥取得新子密钥。
需要注意的是,本发明不限于上述示例性实施例,并且很明显,各种修改可以由本领域普通技术人员基于权利要求书的叙述来实现。
以上公开的示例性实施例的全部或部分可以被描述为,但不限于,以下补充说明。
(补充说明1)
新IWF SMC程序用于建立UE和MTC-IWF之间的安全关联。
(补充说明2)
修改NAS SMC来承载IWF SMC的消息。
(补充说明3)
MTC-IWF以IWF SMC消息向UE发送密钥取得参数(可选)和算法ID。
(补充说明4)
通过完整性子密钥保护IWF SMC消息。
(补充说明5)
UE取得K_iwf和子密钥,使用取得的完整性子密钥验证接收的IWF SMC消息。
(补充说明6)
UE向MTC-IWF发送IWF SMC完成消息,使用UE已经取得的完整性子密钥对消息进行完整性保护。
(补充说明7)
MTC-IWF使用它取得的完整性子密钥执行IWF SMC完成的完整性验证。
(补充说明8)
如果验证失败,则UE发送IWF SMC拒绝消息。
(补充说明9)
MTC-IWF使用***在订户信息请求中的消息类型=触发和UE ID向HSS指示SCS对给定UE发起通信。
(补充说明10)
根密钥取得参数规定:
1)UE以NAS消息向网络发送根密钥取得K_iwf参数。
2)HSS通过重新使用订户信息响应消息或更新订户信息的新消息向MTC-IWF发送K_iwf取得参数。
3)MTC-IWF例如以订户信息请求消息向HSS发送K_iwf取得参数。
(补充说明11)
HSS或MME向MTC-IWF发送他们用于取得K_iwf的算法ID。
(补充说明12)
HSS向MME发送密钥取得参数和算法ID(可选)。
(补充说明21)
一种通信***,包括:
MTC(机器类型通信)设备;以及
在MTC设备和服务器之间中继通信的网络,可以与MTC设备进行通信,
其中,所述网络包括用作服务器到网络的网关的第一节点,以及
第一节点与MTC设备协商建立MTC设备和第一节点本身之间的安全性关联。
(补充说明22)
根据补充说明21所述的通信***,
其中,所述网络还包括第二节点,可以与MTC设备建立保密性和完整性保护连接,以及
第一节点和MTC设备通过第二节点传送用于协商的消息。
(补充说明23)
根据补充说明22所述的通信***,
其中,MTC设备向能够被保密性和完整性保护的网络发送网络用于取得根密钥的参数,以及
根密钥用于取得至少一个子密钥,以检查MTC设备和第一节点之间传送的消息的完整性。
(补充说明24)
根据补充说明21或22所述的通信***,
其中,第一节点向MTC设备发送算法标识符,
所述算法标识符指示MTC设备选择用于取得根密钥的算法之一,以及
根密钥用于取得至少一个子密钥,以检查MTC设备和第一节点之间传送的消息的完整性。
(补充说明25)
根据补充说明24所述的通信***,
其中,第一节点还向MTC设备发送MTC设备用于取得根密钥的参数。
(补充说明26)
根据补充说明24或25所述的通信***,其中,第一节点使用子密钥保护消息。
(补充说明27)
根据补充说明26所述的通信***,其中,MTC设备取得根密钥和子密钥,并使用取得的子密钥验证消息。
(补充说明28)
根据补充说明27所述的通信***,
其中,在验证成功之后,MTC设备向第一节点发送指示成功的响应消息,以及
在发送响应消息之后,MTC设备使用取得的子密钥保护响应消息。
(补充说明29)
根据补充说明28所述的通信***,其中,第一节点使用子密钥验证响应消息。
(补充说明30)
根据补充说明27至29中的任一项所述的通信***,其中,在验证失败时,MTC设备向第一节点发送指示失败的响应消息。
(补充说明31)
一种节点,包括网络中在MTC设备和能够与MTC设备通信的服务器之间中继通信,并且用作服务器到网络的网关,所述节点包括:
协商装置,用于与MTC设备协商以建立MTC设备和节点本身之间的安全性关联。
(补充说明32)
根据补充说明31所述的节点,其中,协商装置被配置为通过包括在网络中且可以与MTC设备建立保密性和完整性保护连接的不同节点向MTC设备传送用于协商的消息。
(补充说明33)
根据补充说明31或32所述的节点,其中,协商装置被配置为向MTC设备发送算法标识符,所述算法标识符指示MTC设备选择用于取得根密钥的算法之一,根密钥用于取得至少一个子密钥,以检查MTC设备和节点之间传送的消息的完整性。
(补充说明34)
根据补充说明33所述的节点,协商装置被配置为进一步向MTC设备发送MTC设备取得根密钥的参数。
(补充说明35)
根据补充说明33或34所述的节点,其中,协商装置被配置为使用子密钥保护消息。
(补充说明36)
根据补充说明35所述的节点,
其中,MTC设备取得根密钥和子密钥,使用取得的子密钥验证消息,并且在成功验证之后,向节点发送到指示成功的响应消息,所述响应消息使用取得的子密钥被保护,
其中,协商装置被配置为使用子密钥验证响应消息。
(补充说明37)
根据补充说明31至36中的任一项所述的节点,包括MTC-IWF(MTC互通功能)。
(补充说明38)
一种MTC设备,通过在MTC设备和服务器之间中继通信的网络与服务器进行通信,所述MTC设备包括:
协商装置,用于与第一节点协商建立MTC设备与所述节点之间的安全性关联,所述节点被包括在网络中并用作服务器到网络的网关。
(补充说明39)
根据补充说明38所述的MTC设备,其中,协商装置被配置为通过第二节点向第一节点传送用于协商的消息,所述第二节点被包括在网络中并且可以与MTC设备建立保密性和完整性保护连接。
(补充说明40)
根据补充说明39所述的MTC设备,其中,协商装置被配置为向能够保密性和完整性保护的网络发送网络用于取得根密钥的参数,所述根密钥用于取得至少一个子密钥,以检查MTC设备和第一节点之间传送的消息的完整性。
(补充说明41)
根据补充说明38或39所述的MTC装置,其中,协商装置被配置为从第一节点接收算法标识符,所述算法标识符指示MTC设备选择用于取得根密钥的算法之一,所述根密钥用于取得至少一个子密钥,以检查MTC设备和第一节点之间传送的消息的完整性。
(补充说明42)
根据补充说明41所述的MTC装置,其中,协商装置被配置为从第一节点进一步接收MTC设备用于取得根密钥的参数。
(补充说明43)
根据补充说明41或42所述的MTC设备,
其中,第一节点使用子密钥保护消息,
其中,协商装置被配置为取得根密钥和子密钥,并且使用取得的子密钥验证消息。
(补充说明44)
根据补充说明43所述的MTC设备,其中,在验证成功之后,协商装置被配置为:
使用取得的子密钥保护指示成功的响应消息;以及
向第一节点发送响应消息。
(补充说明45)
根据补充说明43或44所述的MTC设备,其中,在验证失败之后,协商装置被配置为向第一节点发送指示失败的响应消息。
(补充说明46)
一种控制节点中操作的方法,所述节点包括网络中在MTC设备和能够与MTC设备通信的服务器之间中继通信,并且用作服务器到网络的网关,所述方法包括:与MTC设备协商以建立MTC设备与所述节点之间的安全性关联。
(补充说明47)
一种控制MTC设备中操作的方法,所述MTC设备通过在MTC设备和服务器之间中继通信的网络与服务器进行通信,所述方法包括:
与第一节点协商建立MTC设备与所述节点之间的安全性关联,所述第一节点被包括在网络中并用作服务器到网络的网关。
本申请基于并要求2013年1月10日提交的日本专利申请No.2013-002981的优先权利益,其公开内容在此通过引入并入本文。
附图标记列表
10 MTC UE
11,21 协商单元
20 MTC-IWF
30 MME/SGSN
40 HSS
50 SCS
Claims (21)
1.一种通信***,包括:
MTC-IWF(MTC(机器类型通信)互通功能);以及
UE(用户设备),
其中,所述MTC-IWF存储主密钥,取得用于保密性和完整性保护的子密钥,并且向所述UE通知用于密钥取得的算法,
其中,所述UE通过使用所述算法来取得所述主密钥和所述子密钥,使得所述UE与所述MTC-IWF共享相同主密钥和相同子密钥,
其中,通过使用所共享的主密钥和子密钥来在所述UE和所述MTC-IWF之间建立安全性关联。
2.根据权利要求1所述的通信***,进一步包括:
HSS(归属订户服务器),所述HSS取得所述主密钥,并且向所述MTC-IWF发送所述主密钥。
3.根据权利要求2所述的通信***,其中,所述MTC-IWF存储从所述HSS接收的所述主密钥。
4.根据权利要求1-3中的任何一项所述的通信***,其中,所述MTC-IWF从所述主密钥取得所述子密钥。
5.根据权利要求1-4中的任何一项所述的通信***,其中,所述算法的通知在NAS SMC(非接入层安全模式命令)上。
6.根据权利要求5所述的通信***,进一步包括:
MME(移动管理实体),所述MME将NAS SMC消息承载到所述UE,
其中,所述NAS SMC消息包括用于向所述UE通知所述算法的IWF SMC消息。
7.一种MTC-IWF,所述MTC-IWF被配置为存储主密钥,取得用于保密性和完整性保护的子密钥,向UE通知用于密钥取得的算法,以使所述UE取得所述主密钥和所述子密钥,使得所述UE与所述MTC-IWF共享相同主密钥和相同子密钥,
其中,通过使用所共享的主密钥和子密钥来在所述UE和所述MTC-IWF建立安全性关联。
8.根据权利要求7所述的MTC-IWF,进一步被配置为从HSS接收所述主密钥并进行存储。
9.根据权利要求7或8所述的MTC-IWF,进一步被配置为从所述主密钥取得所述子密钥。
10.根据权利要求7-9中的任何一项所述的MTC-IWF,进一步被配置为,向MME发送IWF SMC消息,所述IWF SMC消息用于向所述UE通知算法,所述MME将NAS SMC消息承载到所述UE。
11.一种UE,所述UE被配置为通过使用从MTC-IWF通知的用于密钥取得的算法来取得主密钥以及用于保密性和完整性保护的子密钥,使得所述UE与所述MTC-IWF共享相同主密钥和相同子密钥,
其中,通过使用所共享的主密钥和子密钥来在所述UE和所述MTC-IWF之间建立安全性关联。
12.根据权利要求11所述的UE,进一步被配置为从所述主密钥取得所述子密钥。
13.根据权利要求11或12所述的UE,进一步被配置为从MME接收NAS SMC消息,所述NAS SMC消息包括用于通知所述算法的IWF SMC消息。
14.一种HSS,所述HSS被配置为取得主密钥,并且向MTC-IWF发送所述主密钥,
其中,所述主密钥在所述MTC-IWF和UE之间被共享,并且用于在所述MTC-IWF和所述UE之间建立安全性关联。
15.一种MME,所述MME被配置为将NAS SMC消息承载到UE,所述NAS SMC消息包括用于向所述UE通知用于密钥取得的算法的IWF SMC消息,
其中,所述算法用于使所述UE和MTC-IWF共享主密钥以及用于保密性和完整性保护的子密钥,并且通过使用所共享的主密钥和子密钥来在所述UE和所述MTC-IWF之间建立安全性关联。
16.一种使MTC通信安全的方法,所述方法包括:
由MTC-IWF存储主密钥;
由所述MTC-IWF取得用于保密性和完整性保护的子密钥;
由所述MTC-IWF向UE通知用于密钥取得的算法;以及
由所述UE使用所述算法来取得所述主密钥和所述子密钥,使得所述UE与所述MTC-IWF共享相同主密钥和相同子密钥,
其中,通过使用所共享的主密钥和子密钥来在所述UE和所述MTC-IWF建立安全性关联。
17.根据权利要求16所述的方法,进一步包括:
由HSS取得所述主密钥;以及
由所述HSS向所述MTC-IWF发送所述主密钥。
18.根据权利要求17所述的方法,进一步包括:
由所述MTC-IWF存储从所述HSS接收的所述主密钥。
19.根据权利要求16-18中的任何一项所述的方法,其中,所述MTC-IWF从所述主密钥取得所述子密钥。
20.根据权利要求16-19中的任何一项所述的方法,其中,所述算法的通知在NAS SMC上。
21.根据权利要求20所述的方法,进一步包括:
由MME将NAS SMC消息承载到所述UE,
其中,所述NAS SMC消息包括用于向所述UE通知所述算法的IWF SMC消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013002981 | 2013-01-10 | ||
| JP2013-002981 | 2013-01-10 | ||
| PCT/JP2014/000015 WO2014109283A1 (en) | 2013-01-10 | 2014-01-07 | Mtc key management for key derivation at both ue and network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104919777A true CN104919777A (zh) | 2015-09-16 |
Family
ID=50000063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480004552.8A Pending CN104919777A (zh) | 2013-01-10 | 2014-01-07 | 用于在ue和网络二者处的密钥取得的mtc密钥管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US20150334560A1 (zh) |
| EP (2) | EP3606001A1 (zh) |
| JP (1) | JP2016500977A (zh) |
| KR (4) | KR102084902B1 (zh) |
| CN (1) | CN104919777A (zh) |
| WO (1) | WO2014109283A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104581704B (zh) * | 2013-10-25 | 2019-09-24 | 中兴通讯股份有限公司 | 一种实现机器类通信设备间安全通信的方法及网络实体 |
| CN105900375B (zh) | 2014-01-13 | 2020-02-07 | 维萨国际服务协会 | 用于在认证交易中保护身份的设备、***和方法 |
| CN104936306B (zh) * | 2014-03-17 | 2020-01-14 | 中兴通讯股份有限公司 | Mtc设备组小数据安全传输连接建立方法、hss与*** |
| EP3860041B1 (en) | 2014-06-18 | 2023-03-15 | Visa International Service Association | Efficient methods for authenticated communication |
| US9992670B2 (en) * | 2014-08-12 | 2018-06-05 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| US9813245B2 (en) | 2014-08-29 | 2017-11-07 | Visa International Service Association | Methods for secure cryptogram generation |
| CN105792095A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 用于mtc分组通信的密钥协商方法、***及网络实体 |
| US10461933B2 (en) | 2015-01-27 | 2019-10-29 | Visa International Service Association | Methods for secure credential provisioning |
| CN107251476A (zh) | 2015-02-13 | 2017-10-13 | 维萨国际服务协会 | 保密通信管理 |
| ITUB20159820A1 (it) * | 2015-12-31 | 2017-07-01 | Merendels S R L | Sistema di criptazione per le comunicazioni nell?internet delle cose |
| CN113271595B (zh) * | 2016-01-05 | 2022-03-08 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| US20190058767A1 (en) * | 2016-01-22 | 2019-02-21 | Nokia Solutions And Networks Oy | Application relocation between clouds |
| US10972257B2 (en) | 2016-06-07 | 2021-04-06 | Visa International Service Association | Multi-level communication encryption |
| US10075827B1 (en) | 2017-03-07 | 2018-09-11 | At&T Intellectual Proprety I, L.P. | System and method for machine to machine subscriber information and retrieval protection |
| JPWO2018169071A1 (ja) * | 2017-03-17 | 2020-04-16 | 日本電気株式会社 | 認証装置、ネットワーク装置、及び認証方法 |
| US11831655B2 (en) | 2017-10-02 | 2023-11-28 | Qualcomm Incorporated | Incorporating network policies in key generation |
| CN111866867B (zh) * | 2019-04-28 | 2022-01-14 | 华为技术有限公司 | 信息获取方法及装置 |
| KR20220076464A (ko) * | 2019-09-27 | 2022-06-08 | 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 | 무선 통신의 방법 및 단말 장치 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| CN101969642A (zh) * | 2004-07-01 | 2011-02-09 | 株式会社Ntt都科摩 | 认证矢量生成装置、方法及用户认证模块、方法、移动通信*** |
| US20120314866A1 (en) * | 2010-01-14 | 2012-12-13 | Kari Veikko Horneman | Method and Device for Data Processing in a Wireless Network |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7574599B1 (en) * | 2002-10-11 | 2009-08-11 | Verizon Laboratories Inc. | Robust authentication and key agreement protocol for next-generation wireless networks |
| CN1969526B (zh) * | 2004-04-14 | 2010-10-13 | 北方电讯网络有限公司 | 使用ha-mn密钥来保护本地代理与移动节点的通信 |
| WO2008038949A1 (en) * | 2006-09-28 | 2008-04-03 | Samsung Electronics Co., Ltd. | A system and method of providing user equipment initiated and assisted backward handover in heterogeneous wireless networks |
| CN101399767B (zh) * | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| WO2009082172A2 (en) * | 2007-12-24 | 2009-07-02 | Samsung Electronics Co., Ltd. | A system and method of handover decision for inter rat handover |
| US8417219B2 (en) * | 2008-01-09 | 2013-04-09 | Lg Electronics Inc. | Pre-authentication method for inter-rat handover |
| EP2258126B9 (en) * | 2008-04-02 | 2013-06-19 | Nokia Siemens Networks OY | Security for a non-3gpp access to an evolved packet system |
| US8195991B2 (en) * | 2008-06-20 | 2012-06-05 | Qualcomm Incorporated | Handling of integrity check failure in a wireless communication system |
| KR101579757B1 (ko) * | 2008-08-15 | 2015-12-24 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
| WO2010091966A2 (en) * | 2009-02-16 | 2010-08-19 | Telefonaktiebolaget L M Ericsson (Publ) | Un-ciphered network operation solution |
| CN101600205B (zh) * | 2009-07-10 | 2011-05-04 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| KR101683883B1 (ko) | 2009-12-31 | 2016-12-08 | 삼성전자주식회사 | 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템 |
| CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| US9385862B2 (en) * | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| EP2490463B1 (en) | 2011-02-16 | 2015-12-16 | HTC Corporation | Service networks and methods for handling machine type communication device triggering |
| JP2013002981A (ja) | 2011-06-17 | 2013-01-07 | Seiko Epson Corp | センサーデバイス、およびその製造方法 |
| EP2792169A1 (en) * | 2011-12-14 | 2014-10-22 | Interdigital Patent Holdings, Inc. | Method and apparatus for triggering machine type communications applications |
| US9794772B2 (en) * | 2012-06-22 | 2017-10-17 | Nokia Solutions And Networks Oy | Machine type communication interworking function |
| US9641958B2 (en) * | 2012-08-02 | 2017-05-02 | Openet Telecom Ltd. | System and method for controlling advanced triggering operations in a telecommunication network |
| CN104737571B (zh) * | 2012-10-29 | 2019-12-17 | 瑞典爱立信有限公司 | 保护在通信网络中发送的有效载荷 |
-
2014
- 2014-01-07 KR KR1020197012917A patent/KR102084902B1/ko active IP Right Grant
- 2014-01-07 EP EP19191610.5A patent/EP3606001A1/en active Pending
- 2014-01-07 US US14/652,456 patent/US20150334560A1/en not_active Abandoned
- 2014-01-07 CN CN201480004552.8A patent/CN104919777A/zh active Pending
- 2014-01-07 KR KR1020207005588A patent/KR102123210B1/ko active IP Right Grant
- 2014-01-07 WO PCT/JP2014/000015 patent/WO2014109283A1/en active Application Filing
- 2014-01-07 EP EP14701131.6A patent/EP2944067B1/en active Active
- 2014-01-07 KR KR1020177034893A patent/KR101978084B1/ko active IP Right Grant
- 2014-01-07 JP JP2015538835A patent/JP2016500977A/ja active Pending
- 2014-01-07 KR KR1020157021336A patent/KR101807487B1/ko active IP Right Grant
-
2019
- 2019-06-18 US US16/444,517 patent/US11122405B2/en active Active
-
2021
- 2021-08-05 US US17/394,930 patent/US20210368314A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969642A (zh) * | 2004-07-01 | 2011-02-09 | 株式会社Ntt都科摩 | 认证矢量生成装置、方法及用户认证模块、方法、移动通信*** |
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| US20120314866A1 (en) * | 2010-01-14 | 2012-12-13 | Kari Veikko Horneman | Method and Device for Data Processing in a Wireless Network |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2944067B1 (en) | 2023-03-01 |
| EP2944067A1 (en) | 2015-11-18 |
| US20150334560A1 (en) | 2015-11-19 |
| KR20150104189A (ko) | 2015-09-14 |
| KR20170138581A (ko) | 2017-12-15 |
| KR101807487B1 (ko) | 2017-12-11 |
| KR20200023531A (ko) | 2020-03-04 |
| KR20190051086A (ko) | 2019-05-14 |
| US20210368314A1 (en) | 2021-11-25 |
| US20190306684A1 (en) | 2019-10-03 |
| WO2014109283A1 (en) | 2014-07-17 |
| KR102123210B1 (ko) | 2020-06-15 |
| KR101978084B1 (ko) | 2019-05-13 |
| EP3606001A1 (en) | 2020-02-05 |
| US11122405B2 (en) | 2021-09-14 |
| JP2016500977A (ja) | 2016-01-14 |
| KR102084902B1 (ko) | 2020-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104919777A (zh) | 用于在ue和网络二者处的密钥取得的mtc密钥管理 | |
| JP4820429B2 (ja) | 新しい鍵を生成する方法および装置 | |
| EP3512291B1 (en) | Data transmission method, relevant device and system | |
| US20150319172A1 (en) | Group authentication and key management for mtc | |
| CN104285422A (zh) | 用于利用邻近服务的计算设备的安全通信 | |
| CN105850167B (zh) | Sce所用的设备、***和方法 | |
| US20150229620A1 (en) | Key management in machine type communication system | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及*** | |
| CN104396283A (zh) | 用于m2m中的基于组的特征的安全性的更新 | |
| JP6418230B2 (ja) | モバイル通信システム、mtc−iwf、及び方法 | |
| CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及*** | |
| KR20160037907A (ko) | Mtc 그룹 키 관리를 위한 디바이스들 및 방법 | |
| CN101237381B (zh) | 一种传送start值的方法及*** | |
| WO2001043476A1 (en) | Communication method | |
| WO2016132719A1 (ja) | 通信システム、ノード装置、通信端末、キー管理方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150916 |
|
| WD01 | Invention patent application deemed withdrawn after publication |