基于代理的机器类型通信认证和密钥协商方法技术

本发明专利技术公开了一种基于代理的机器类型通信认证和密钥协商方法，主要解决现有技术存在的信令拥塞问题。其实现步骤是：1、构建基于代理的认证和密钥协商系统，2、密钥生成中心生成系统参数，并计算并分发移动管理实体、网关以及机器类型通信设备的身份信息所对应的密钥；3、移动管理实体委托签名权限；4、根据委托网关与机器类型通信设备之间进行双向认证；5、机器类型通信设备与移动管理实体生成会话密钥。本发明专利技术通过代理签名，利用网关完成机器类型通信设备在LTE网络中的认证和密钥协商，减轻了大量机器类型通信设备同时接入网络时导致的信令拥塞程度，可广泛应用于未来的LTE网络中。

【技术实现步骤摘要】

本专利技术属于通信
，更进一步涉及一种机器类型通信MTC在长期演进LTE网络中的认证和密钥协商方法，可用于大量的MTC设备接入LTE网络的场景，用于解决信令拥塞问题，克服群组长资源耗尽的困难，减少核心网的信令负荷，并完成密钥协商功能。
技术介绍
MTC作为未来移动通信的一个重要的通信手段，已经引起了越来越多的重视。在LTE网络中，实现设备的低能耗和多设备同时传输是获得MTC应用的关键问题。根据现有的3GPP标准，当大量的MTC设备同时连接到网络时，每个MTC设备需要完成一个独立的接入认证过程，这会造成核心网出现严重的信令拥塞。在由K-R.Jung, A.Park and S.Lee 撰写的，，Machine-Type-Communication (MTC)Device Grouping Algorithm for Congestion Avoidance of MTC Oriented LTE Network，，论文中，提出了基于群组的拥塞避免算法，多个MTC设备组成一个群组，并选择一个群组长，群组成员可以通过该群组长设备和MTC服务器进行数据传输。该方案虽然减少了网络负担，但是没有考虑MTC设备及其服务器之间的安全通信问题。针对上述安全问题，JinCao, Maode Ma and Hui Li 在论文” A Group-basedAuthentication and Key Agreement for MTC in LTE Networks”中提出了一种改进方法，即在群组长设备和MTC服务器进行数据传输之前，先通过认证和密钥协商技术使通信双方得到一个会话密钥，之后的通信都建立在加解密的基础之上，以保证数据的安全。但是该方法没有考虑群组长具有的通信能力有限、电池容量有限、不能长期在线为组内所有成员提供服务等局限性。
技术实现思路
本专利技术的目的在于针对上述现有技术存在的问题，提出一种，以减轻在进行大量的MTC设备接入LTE网络时产生的信令拥塞程度，提高服务质量。实现本方法的主要思想是:通过LTE网络中的移动性管理实体MME对网关GW进行相关授权，使得MTC设备接入网络后，由网关GW作为移动性管理实体MME的代理，与机器类型通信设备实现双向认证，并在认证完成后通过建立每个MTC设备与MME之间的接入安全管理实体密钥，实现MTC设备在GW处的认证和密钥协商，以及认证信令的卸载；同时在保证安全通信的前提下，利用网关GW较强的通信能力和的电池容量特性，很好地改善了网络服务质量。根据以上思路，本专利技术的实现步骤包括如下:(I)在LTE网络中，建立参数传输通道、代理授权通道和接入认证通道，形成基于代理的认证和密钥协商系统；(2)密钥生成中心生成系统参数，该系统参数包括系统主密钥、系统公钥、加法循环群、乘法循环群、群的阶数、加法循环群的生成元、双线性映射关系和五个哈希函数；(3)密钥生成中心利用所述的系统参数和移动性管理实体MME、网关GW以及机器类型通信设备MTCD的身份信息，计算并分发身份信息对应的私钥；(4)移动管理实体委托签名权限:移动性管理实体MME将自己的签名权限委托给网关GW，网关GW决定是否接受移动性管理实体MME的委托，若接受，则生成代理签名时所需的密钥skp，若不接受，则终止操作；(5)网关GW和机器类型通信设备MT⑶之间进行双向认证:(5a)网关GW使用代理签名密钥skp对包含移动性管理实体MME身份信息、网关GW身份信息和授权证书内容的消息进行代理签名，并将该消息和代理签名广播给机器类型通信设备MT⑶；(5b)机器类型通信设备MT⑶对接收到的数据进行验证，若验证通过，则认为网关Gff是移动性管理实体MME的代理，执行步骤(5c)，反之，终止操作；(5c)每个机器类型通信设备MT⑶均向网关GW发送反向认证消息；(5d)网关GW收到所有机器类型通信设备MT⑶发送的反向认证消息后，对它们进行聚合认证，若聚合认证成功，则所有设备有效，若认证失败，则从所有设备中找出无效设备，予以剔除；(5e)网关GW将每个有效机器类型通信设备MT⑶的身份信息发送给移动管理实体MME ；(6)机器类型通信设备MT⑶和移动性管理实体MME生成接入安全管理实体密钥:(6a)所有有效的机器类型通信设备MTCD均利用相关信息计算出自己与移动性管理实体MME之间的接入安全管理实体密钥；(6b)移动性管理实体MME接收网关GW发来的包含有效机器类型通信设备MT⑶身份信息的消息，用这些有效的身份信息生成与每个有效机器类型通信设备MTCD的接入安全管理实体密钥，否则，基于代理的认证和密钥协商系统运行失败。本专利技术与现有技术相比具有如下优点:I)本专利技术由于采用网关作为移动性管理实体的代理，完成对大量机器类型通信设备同时接入时的认证，从而避免了认证所产生的核心网处的信令拥塞现象，且大大地减轻了接入认证所产生的核心网络信令负荷；2)本专利技术由于利用聚合认证方法实现对机器类型通信设备群的认证，其速度远高于逐个认证，故能在快速检测出无效设备的同时，大大减轻网关处的信令拥塞程度；3)本专利技术由于使用代理网关和机器类型通信设备之间的双向认证机制，实现了机器类型通信设备和移动管理实体之间的密钥协商，从而保证了通信内容的机密性和可靠性。【附图说明】图1为本专利技术的实现流程图。图2为本专利技术建立的基于代理的认证和密钥协商系统原理图。图3为本专利技术委托签名权限的子流程图。图4为本专利技术双向认证的子流程图。图5为本专利技术密钥协商的子流程图。【具体实施方式】下面结合附图对本专利技术做进一步的描述。参照图1，本专利技术的实现步骤如下:步骤1，构建基于代理的认证和密钥协商系统。(Ia)在LTE网络中，将密钥生成中心KGC和归属用户服务器HSS通过物理连接的方式集合在一起，并通过网络域安全机制NDS生成归属用户服务器HSS与移动性管理实体MME之间的临时会话密钥，建成参数传输通道；(Ib)在LTE网络与机器类型通信设备MT⑶之间，通过如下过程在网关GW和移动性管理实体MME之间建立代理授权通道:首先，由网关GW使用自己存储的设备证书完成与核心网间的设备认证，并进行平台的完整性验证，即网关GW在出厂时由厂商或与用户签约时由运营商预先配置公钥证书，网关GW和移动性管理实体MME依据各自所持有的证书进行双向认证，验证网关GW身份的合法性；可信环境TrE设备中存储着网关GW的初始配置信息，网关GW先将其主控制器组件的目前信息与可信环境TrE设备中存储的相关信息进行对比，若不一致，则终止操作，否则继续对比自己的接口组件和网络接入组件的信息，并将对比结果不一致的组件归为不可信组件，生成不可信组件信息列表，将其交予移动性管理实体MME ；·其次，由移动性管理实体MME根据网关GW的不可信组件信息列表决定将自己的何种权限委托给网关GW:若没有不可信组件，则将自己的全部权限委托给网关GW，若主控制器组件可信但存在不可信的其他组件，则将自己的部分权限委托给网关GW，并建议网关GW更新不可信组件；最后，通过UMTS-AKA协议，生成网关GW和移动性管理实体MME之间的临时会话密钥，完成代理授权通道的建立；( Ic)运营商通过签约方式对机器类型通信设备MT⑶进行分组，将每个机器类型通信本文档来自技高网...

【技术保护点】
一种基于代理的机器类型通信认证和密钥协商方法，包括如下步骤：（1）在LTE网络中，建立参数传输通道、代理授权通道和接入认证通道，形成基于代理的认证和密钥协商系统；（2）密钥生成中心生成系统参数，该系统参数包括系统主密钥、系统公钥、加法循环群、乘法循环群、群的阶数、加法循环群的生成元、双线性映射关系和五个哈希函数；（3）密钥生成中心利用所述的系统参数和移动性管理实体MME、网关GW以及机器类型通信设备MTCD的身份信息，计算并分发身份信息对应的私钥；（4）移动管理实体委托签名权限：移动性管理实体MME将自己的签名权限委托给网关GW，网关GW决定是否接受移动性管理实体MME的委托，若接受，则生成代理签名时所需的密钥skp，若不接受，则终止操作；（5）网关GW和机器类型通信设备MTCD之间进行双向认证：（5a）网关GW使用代理签名密钥skp对包含移动性管理实体MME身份信息、网关GW身份信息和授权证书内容的消息进行代理签名，并将该消息和代理签名广播给机器类型通信设备MTCD；（5b）机器类型通信设备MTCD对接收到的数据进行验证，若验证通过，则认为网关GW是移动性管理实体MME的代理，执行步骤（5c），反之，终止操作；（5c）每个机器类型通信设备MTCD均向网关GW发送反向认证消息；（5d）网关GW收到所有机器类型通信设备MTCD发送的反向认证消息后，对它们进行聚合认证，若聚合认证成功，则所有设备有效，若认证失败，则从所有设备中找出无效设备，予以剔除；（5e）网关GW将每个有效机器类型通信设备MTCD的身份信息发送给移动管理实体MME；（6）机器类型通信设备MTCD和移动性管理实体MME生成接入安全管理实体密钥：（6a）所有有效的机器类型通信设备MTCD均利用相关信息计算出自己与移动性管理实体MME之间的接入安全管理实体密钥；（6b）移动性管理实体MME接收网关GW发来的包含有效机器类型通信设备MTCD身份信息的消息，用这些有效的身份信息生成与每个有效机器类型通信设备MTCD的接入安全管理实体密钥，否则，基于代理的认证和密钥协商系统运行失败。...

【技术特征摘要】
1.一种基于代理的机器类型通信认证和密钥协商方法，包括如下步骤: (1)在LTE网络中，建立参数传输通道、代理授权通道和接入认证通道，形成基于代理的认证和密钥协商系统； (2)密钥生成中心生成系统参数，该系统参数包括系统主密钥、系统公钥、加法循环群、乘法循环群、群的阶数、加法循环群的生成元、双线性映射关系和五个哈希函数； (3)密钥生成中心利用所述的系统参数和移动性管理实体MME、网关GW以及机器类型通信设备MTCD的身份信息，计算并分发身份信息对应的私钥； (4)移动管理实体委托签名权限:移动性管理实体MME将自己的签名权限委托给网关Gff,网关GW决定是否接受移动性管理实体MME的委托，若接受，则生成代理签名时所需的密钥skp，若不接受，则终止操作； (5)网关GW和机器类型通信设备MT⑶之间进行双向认证: (5a)网关GW使用代理签名密钥skp对包含移动性管理实体MME身份信息、网关GW身份信息和授权证书内容的消息进行代理签名，并将该消息和代理签名广播给机器类型通信设备MTCD ； (5b)机器类型通信设备MT⑶对接收到的数据进行验证，若验证通过，则认为网关GW是移动性管理实体MME的代理 ，执行步骤(5c)，反之，终止操作； (5c)每个机器类型通信设备MT⑶均向网关GW发送反向认证消息； (5d)网关GW收到所有机器类型通信设备MTCD发送的反向认证消息后，对它们进行聚合认证，若聚合认证成功，则所有设备有效，若认证失败，则从所有设备中找出无效设备，予以剔除； (5e)网关GW将每个有效机器类型通信设备MTCD的身份信息发送给移动管理实体MME ； (6)机器类型通信设备MT⑶和移动性管理实体MME生成接入安全管理实体密钥: (6a)所有有效的机器类型通信设备MTCD均利用相关信息计算出自己与移动性管理实体MME之间的接入安全管理实体密钥； (6b)移动性管理实体MME接收网关GW发来的包含有效机器类型通信设备MT⑶身份信息的消息，用这些有效的身份信息生成与每个有效机器类型通信设备MTCD的接入安全管理实体密钥，否则，基于代理的认证和密钥协商系统运行失败。2.根据权利要求1所述的方法，其中步骤(1)所述的在LTE网络中，建立参数传输通道、代理授权通道和接入认证通道，以形成基于代理的认证和密钥协商系统，按如下步骤进行: (Ia)在LTE网络中，可将密钥生成中心KGC和归属用户服务器HSS集中或分开部署，并在密钥生成中心KGC与移动性管理实体MME之间通过网络域安全机制NDS建立参数传输通道； (Ib)在LTE网络与机器类型通信设备MT⑶之间，网关GW生成自己的不可信组件信息列表，并将其交予移动性管理实体MME ;移动性管理实体MME根据该表决定授予网关GW何种代理权限后再通过UMTS-AKA协议与网关GW进行认证，建立代理授权通道； (Ic)通过UMTS-AKA协议，将机器类型通信设备MTCD接入移动性管理实体MME中，建立接入认证通道，完成对基于代理的认证和密钥协商系统的构建。3.根据权利要求1所述的方法，其中步骤(2)所述的密钥生成中心生成系统参数，按如下步骤进行: (2a)根据实际要求设定基于代理的认证和密钥协商系统的安全参数k > 160 ; (2b)密钥生成中心KGC根据基于代理的认证和密钥协商系统的安全参数k选取一个大于2k的素数q，并构造以q为阶的加法循环群G1和乘法循环群G2,使其满足从加法循环群G1到乘法循环群G2的双线性映射关系S ; (2c)密钥生成中心KGC从加法...

【专利技术属性】
技术研发人员：张跃宇，李晖，张敏芳，李洁英，詹阳，陈杰，王勇，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：