提供機(jī)器到機(jī)器服務(wù)的方法和裝置制造方法
【專利摘要】提供了用于提供服務(wù)的方法和裝置。由機(jī)器到機(jī)器(M2M)設(shè)備提供服務(wù)的方法包括:向網(wǎng)絡(luò)安全能力(NESC)發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求�,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符;與NESC執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證����;以及如果第一驗(yàn)證成功,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰���。
【專利說(shuō)明】提供機(jī)器到機(jī)器服務(wù)的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于通信系統(tǒng)的方法和裝置。更具體地,本發(fā)明涉及用于提供機(jī)器到機(jī)器(M2M)服務(wù)的方法和裝置�。
【背景技術(shù)】
[0002]M2M技術(shù)正在被研究�����,而且是正在被開發(fā)和定義的技術(shù)�,該技術(shù)允許M2M設(shè)備加入M2M網(wǎng)絡(luò)并與M2M網(wǎng)絡(luò)通信以使得在M2M設(shè)備上運(yùn)行的應(yīng)用能夠與在因特網(wǎng)中的各種控制節(jié)點(diǎn)(即���,服務(wù)器其他類似設(shè)備)上運(yùn)行的應(yīng)用通信�����。為了便于這種通信���,M2M核心網(wǎng)絡(luò)被指定的角色是具有便于向設(shè)備動(dòng)態(tài)提供服務(wù)參數(shù)以及注冊(cè)M2M設(shè)備以使其能夠進(jìn)行應(yīng)用層訪問(wèn)。
【發(fā)明內(nèi)容】
[0003]技術(shù)問(wèn)題
[0004]M2M自動(dòng)自舉是在M2M設(shè)備和M2M網(wǎng)絡(luò)之間運(yùn)行的程序���,以執(zhí)行設(shè)備的動(dòng)態(tài)預(yù)置(provisioning)�。因此����,需要一種系統(tǒng)和方法,用于執(zhí)行設(shè)備的自診斷而沒(méi)有當(dāng)從計(jì)算機(jī)或用戶界面手動(dòng)選擇自診斷項(xiàng)目時(shí)造成的不方便的��。
[0005]技術(shù)方案
[0006]本發(fā)明的各方面解決上述問(wèn)題和/或缺點(diǎn)并且至少提供下述優(yōu)點(diǎn)����。因此,本發(fā)明的一方面提供了一種由機(jī)器到機(jī)器(M2M)設(shè)備提供服務(wù)的方法�,該方法包括:向網(wǎng)絡(luò)安全能力(NESC)發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符����;與NESC執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證;以及如果第一驗(yàn)證成功����,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰(secret key)。
[0007]根據(jù)本發(fā)明的一方面��,提供了 一種用于提供服務(wù)的機(jī)器到機(jī)器(M2M)設(shè)備���。M2M設(shè)備包括:發(fā)送器�,用于向網(wǎng)絡(luò)安全能力(NESC)發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求����,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符����;控制器����,用于與NESC執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證;以及密鑰生成器���,用于如果第一驗(yàn)證成功��,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰����。
[0008]根據(jù)本發(fā)明的另一方面�����,提供了一種在機(jī)器到機(jī)器(M2M)系統(tǒng)中由網(wǎng)絡(luò)安全能力(NESC)提供服務(wù)的方法�����。該方法包括:確定是否從M2M設(shè)備接收到對(duì)于第一驗(yàn)證的請(qǐng)求�����,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符����;如果接收到對(duì)于服務(wù)的請(qǐng)求,則與M2M設(shè)備執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證��;以及如果第一驗(yàn)證成功��,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰����。
[0009]根據(jù)本發(fā)明的另一方面,提供了一種用于在機(jī)器到機(jī)器(M2M)系統(tǒng)中提供服務(wù)的網(wǎng)絡(luò)安全能力(NESC)���。該NESC包括:控制器�����,用于確定是否從M2M設(shè)備接收到對(duì)于第一驗(yàn)證的請(qǐng)求���,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符,而且用于如果接收到對(duì)于服務(wù)的請(qǐng)求����,則與M2M設(shè)備執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證�;以及密鑰生成器��,用于如果第一驗(yàn)證成功��,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰�。
[0010]技術(shù)效果
[0011]根據(jù)本發(fā)明的一方面,存在多個(gè)益處:
[0012]代碼重用:EAP被廣泛用于“網(wǎng)絡(luò)訪問(wèn)驗(yàn)證”���,諸如用于WiFi網(wǎng)絡(luò)��、WiMAX����、紫蜂(ZigBee)�����、以太網(wǎng)����。PANA被用于紫蜂設(shè)備中的“網(wǎng)絡(luò)訪問(wèn)驗(yàn)證”。重用相同的組件的另一目的是�,降低M2M設(shè)備的開發(fā)和生產(chǎn)的成本。
[0013]可擴(kuò)展性:EAP和PANA二者都是可擴(kuò)展的協(xié)議�。它們?cè)试S使用任何驗(yàn)證方法�����,不像TLS只允許使用PSK和基于證書的驗(yàn)證����。以可以通過(guò)定義新的AVP( Attribute-Value-Pair,屬性值對(duì))容易地?cái)y帶新的有效載荷的方式���,PANA是可擴(kuò)展的。
[0014]輕便(Lightweight):這個(gè)解決方案支持基于UDP的棧和基于TCP的棧二者����。TLS需要基于TCP的協(xié)議棧,所以它需要更多的代碼和處理���。
[0015]模型擬合:EAP和PANA的三方驗(yàn)證模型更適合于設(shè)備-核心-MSBF系統(tǒng)�����。TLS基于兩方設(shè)計(jì)�����,而且基于TLS的解決方案無(wú)法自然融入M2M架構(gòu)��。
【專利附圖】
【附圖說(shuō)明】
[0016]通過(guò)以下結(jié)合附圖的描述�,本發(fā)明特定示例性實(shí)施例的上述和其它方面、特征和優(yōu)點(diǎn)將變得明顯�����。
[0017]圖1描繪了根據(jù)本發(fā)明的實(shí)施例的M2M自動(dòng)自舉程序(M2M Automated BootstrapProcedure)中涉及的網(wǎng)絡(luò)元素����;
[0018]圖2描繪了根據(jù)本發(fā)明的實(shí)施例的在M2M網(wǎng)絡(luò)上發(fā)生的事件的高層流程圖;
[0019]圖3描繪了涉及根據(jù)本發(fā)明的示例性實(shí)施例的自舉程序的呼叫流���;
[0020]圖4A描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備的自舉程序的流程圖�;
[0021]圖4B描繪了根據(jù)本發(fā)明的示例性實(shí)施例的網(wǎng)絡(luò)安全能力(NESC)的自舉程序的流程圖����;
[0022]圖4C描繪了根據(jù)本發(fā)明的示例性實(shí)施例的網(wǎng)絡(luò)遠(yuǎn)程實(shí)體管理能力(NREM)的自舉程序的流程圖;
[0023]圖4D描繪了根據(jù)本發(fā)明的示例性實(shí)施例的M2M服務(wù)自舉功能(MSBF)的自舉程序的流程圖����;
[0024]圖4E描繪了根據(jù)本發(fā)明的示例性實(shí)施例的M2M服務(wù)層AAA服務(wù)器(MAS)的自舉程序的流程圖;
[0025]圖5描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備功能模型��;
[0026]圖6描繪了根據(jù)本發(fā)明的示例性實(shí)施例的分離的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證和M2M自舉程序;
[0027]圖7描繪了根據(jù)本發(fā)明的示例性實(shí)施例的通過(guò)協(xié)議實(shí)施網(wǎng)絡(luò)訪問(wèn)驗(yàn)證(Protocolfor carrying Authentication for Network Access, PANA)使用可擴(kuò)展驗(yàn)證協(xié)議(Extensible Authentication Protocol, ΕΑΡ)的網(wǎng)絡(luò)和使用EAP的任何網(wǎng)絡(luò)二者的呼叫流����;以及
[0028]圖8描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備功能模型。
[0029]貫穿附圖�,應(yīng)該注意,相同的參考標(biāo)記用于描繪相同的或相似的元素����、特征和結(jié)構(gòu)��?����!揪唧w實(shí)施方式】
[0030]提供下列參考附圖的描述以有助于對(duì)通過(guò)權(quán)利要求及其等效物定義的本發(fā)明的示例性實(shí)施例的全面理解���。本描述包括各種具體細(xì)節(jié)以有助于理解但是僅應(yīng)當(dāng)被認(rèn)為是示例性的�。因此����,本領(lǐng)域普通技術(shù)人員將認(rèn)識(shí)到,能夠?qū)@里描述的實(shí)施例進(jìn)行各種改變和修改而不脫離本發(fā)明的范圍與精神��。此外����,為了清楚和簡(jiǎn)明起見�,略去了對(duì)公知功能與結(jié)構(gòu)的描述�。
[0031]在下面說(shuō)明書和權(quán)利要求書中使用的術(shù)語(yǔ)和措詞不局限于它們的詞典意義,而是僅僅由發(fā)明人用于使得能夠?qū)τ诒景l(fā)明清楚和一致的理解���。因此���,對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)應(yīng)當(dāng)明顯的是,提供以下對(duì)本發(fā)明的示例性實(shí)施例的描述僅用于圖示的目的而非限制如所附權(quán)利要求及其等效物所定義的本發(fā)明的目的��。
[0032]應(yīng)當(dāng)理解�����,單數(shù)形式的“一”����、“該”和“所述”包括復(fù)數(shù)指代,除非上下文清楚地指示不是如此����。因此,例如,對(duì)“部件表面”的指代包括指代一個(gè)或多個(gè)這樣的表面�����。
[0033]圖1描繪了根據(jù)本發(fā)明的實(shí)施例的M2M自動(dòng)自舉程序中涉及的網(wǎng)絡(luò)元素�。
[0034]參照?qǐng)D1,連接網(wǎng)絡(luò)元素的線對(duì)應(yīng)網(wǎng)絡(luò)元素當(dāng)中使用的通信接口���。設(shè)備110是自舉以便開始使用由M2M核心網(wǎng)絡(luò)120提供的M2M設(shè)施(facility)的實(shí)體��。設(shè)備110經(jīng)由M2M核心網(wǎng)絡(luò)120利用M2M服務(wù)自舉功能(M2M Service Bootstrapping Function)從事自舉程序����。在自舉程序結(jié)束時(shí)����,生成根秘密鑰(KR)�����,其用于密碼保護(hù)M2M網(wǎng)絡(luò)上的應(yīng)用通信��。KR存儲(chǔ)在網(wǎng)絡(luò)上的M2M服務(wù)層AAA服務(wù)器(MAS) 140中��。
[0035]歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI )M2M技術(shù)委員會(huì)(TC)正在設(shè)計(jì)M2M標(biāo)準(zhǔn),而且已經(jīng)確定要求自動(dòng)的M2M自舉程序并且已經(jīng)確定對(duì)此的需要�����。
[0036]圖2描繪了根據(jù)本發(fā)明的實(shí)施例的在M2M網(wǎng)絡(luò)上發(fā)生的事件的高層流�����。
[0037]參照?qǐng)D2�,包括網(wǎng)絡(luò)訪問(wèn)驗(yàn)證的網(wǎng)絡(luò)注冊(cè)是由設(shè)備使用以獲取對(duì)互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)的訪問(wèn)的程序。更高層程序�,諸如M2M相關(guān)程序,可以在成功運(yùn)行網(wǎng)絡(luò)注冊(cè)程序之后使用����。M2M程序,諸如M2M服務(wù)自舉和M2M服務(wù)連接�����,用于獲取對(duì)M2M網(wǎng)絡(luò)和IP網(wǎng)絡(luò)之上的覆蓋網(wǎng)絡(luò)的訪問(wèn)�。在圖2中,M2M設(shè)備包含設(shè)備服務(wù)能力層(DSCL)��,M2M網(wǎng)關(guān)包含網(wǎng)關(guān)服務(wù)能力層(GSCL)��,并且網(wǎng)絡(luò)域包含網(wǎng)絡(luò)服務(wù)能力層(NSCL)。NSCL指的是網(wǎng)絡(luò)域中的M2M服務(wù)能力����。GSCL指的是M2M網(wǎng)關(guān)中的M2M服務(wù)能力。DSCL指的是M2M設(shè)備中的M2M服務(wù)能力�����。DSCL具有標(biāo)識(shí)DSCL的DSCL標(biāo)識(shí)符(ID)���,而且GSCL具有標(biāo)識(shí)GSCL的GSCL標(biāo)識(shí)符(ID)�����。
[0038]ETSI M2M架構(gòu)支持設(shè)備和網(wǎng)關(guān)式裝置二者到核心網(wǎng)絡(luò)的連接�。為簡(jiǎn)單起見�,貫穿本文檔僅使用術(shù)語(yǔ)“設(shè)備”來(lái)指代電子設(shè)備和網(wǎng)關(guān)式裝置,并因此�,相對(duì)于M2M設(shè)備列舉的特征��、元素和操作也適用于M2M網(wǎng)關(guān)和網(wǎng)關(guān)式裝置�。此處可以使用詞“設(shè)備”來(lái)指代DSCL和/ 或 GSCL。
[0039]本示例性實(shí)施例提供了使用協(xié)議實(shí)施網(wǎng)絡(luò)訪問(wèn)驗(yàn)證(PANA)和可擴(kuò)展驗(yàn)證協(xié)議(EAP)的自動(dòng)的M2M服務(wù)層自舉程序�。在這種方法中��,網(wǎng)絡(luò)注冊(cè)和M2M服務(wù)自舉是兩個(gè)獨(dú)立程序�,如圖2中所描繪的���。PANA是用于在設(shè)備和核心網(wǎng)絡(luò)之間攜帶EAP數(shù)據(jù)的協(xié)議�。然而���,本發(fā)明不限于此���,而且其他合適的協(xié)議可以替代PANA,只要替代協(xié)議可以攜帶EAP和所需的有效載荷��,而且此處相對(duì)于示例性實(shí)施例所介紹的操作遵循該替代協(xié)議�����。
[0040]在本發(fā)明的示例性實(shí)施例����,以基于身份的驗(yàn)證密鑰交換(Identity-BasedAuthenticated Key Exchange, I BAKE)為基礎(chǔ)的EAP驗(yàn)證被用作運(yùn)行的EAP驗(yàn)證方法。然而���,本發(fā)明的各方面的不特定于使用的EAP驗(yàn)證方法���。換句話說(shuō)���,本發(fā)明不限于ΕΑΡ-ΙΒΑΚΕ和任何EAP驗(yàn)證方法,可以使用諸如EAP-TLS��、EAP-AKA�����、EAP-TTLS���、EAP-GPSK�����、或其它類似的協(xié)議�����。
[0041]傳輸層安全性(TLS)已經(jīng)被提出以用于設(shè)備和網(wǎng)絡(luò)的相互驗(yàn)證����,并且用于將自舉參數(shù)作為有效載荷傳送到超文本傳輸協(xié)議(HTTPS)層�����。然而���,TLS的使用引入了若干個(gè)問(wèn)題�,對(duì)于這些問(wèn)題�����,EAP和PANA通過(guò)若干個(gè)關(guān)鍵特征提供了解決方案�����,包括代碼重用�����、可擴(kuò)展性�����、輕便(lightweight)以及提供改進(jìn)的模型擬合(model fit)��。例如�,相對(duì)于代碼重用����,EAP被廣泛用于“網(wǎng)絡(luò)訪問(wèn)驗(yàn)證”�����,諸如用于無(wú)線保真(WiFi)網(wǎng)絡(luò)�、無(wú)線互通微波存取(WiMAX)網(wǎng)絡(luò)、紫蜂(ZigBee)網(wǎng)絡(luò)和以太網(wǎng)網(wǎng)絡(luò)�。PANA被用于紫蜂設(shè)備中的“網(wǎng)絡(luò)訪問(wèn)驗(yàn)證”。因此����,重用相似或相同的組件的另一目的是,降低M2M設(shè)備的開發(fā)和生產(chǎn)的成本���。相對(duì)于可擴(kuò)展性��,EAP和PANA 二者是可擴(kuò)展的協(xié)議�����,并且允許使用任何驗(yàn)證方法�����,不像TLS只允許使用預(yù)共享密鑰(Pre-Shared Key���,PSK)和基于證書的驗(yàn)證。PANA是可擴(kuò)展的����,以使得可以容易地通過(guò)定義新的屬性值對(duì)(Attribute-Value-Pair, AVP)攜帶新的有效載荷。相對(duì)于輕便�,EAP和PANA的使用支持基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的棧和基于傳輸控制協(xié)議(TCP)的棧二者。另一方面�,TLS需要基于TCP的棧,并因此與使用EAP和PANA相比���,它需要增加的代碼和處理��。相對(duì)于更好的模型擬合��,EAP和PANA的三方驗(yàn)證模型對(duì)應(yīng)M2M設(shè)備-核心-M2M服務(wù)自舉功能(MSBF)系統(tǒng)架構(gòu)�����。相比之下�����,TLS基于兩方設(shè)計(jì)�,而且基于TLS的解決方案無(wú)法自然融入M2M系統(tǒng)架構(gòu)。
[0042]圖3描繪了涉及根據(jù)本發(fā)明的示例性實(shí)施例的自舉程序的呼叫流��。
[0043]參照?qǐng)D3��,網(wǎng)絡(luò)安全能力(NESC) 302和網(wǎng)絡(luò)遠(yuǎn)程實(shí)體管理能力(NREM) 304駐留在M2M核心網(wǎng)絡(luò)中���。NESC302是驗(yàn)證器�����,而且NREM304是設(shè)備300的配置服務(wù)器�����。雖然在本發(fā)明的所有實(shí)施例中沒(méi)有要求�����,但是在步驟310中���,由M2M服務(wù)自舉功能(MSBF) 306發(fā)送M2M邀請(qǐng)。在由設(shè)備300發(fā)起自舉程序的情況下,可以跳過(guò)步驟310�,因?yàn)椴襟E310允許網(wǎng)絡(luò)發(fā)起自舉程序。因此��,步驟310可以由NESC302或MSBF306發(fā)起�����。在由NESC302發(fā)起步驟310的情況下�����,在MSBF306和NESC302之間不存在相應(yīng)的消息��。然而�,因?yàn)镸SBF306或NESC302應(yīng)該知道設(shè)備300的網(wǎng)絡(luò)位置����,所以在這樣的情況下,步驟310中所涉及的消息在因特網(wǎng)協(xié)議(IP)層和/或鏈路層單播����。可替換地�,在MSBF306或NESC302不知道設(shè)備300的確切位置的情況下,那么消息在IP層和/或鏈路層任播、多播或廣播����。
[0044]在NESC302和MSBF306之間使用驗(yàn)證、授權(quán)和計(jì)費(fèi)(AAA)協(xié)議�。AAA協(xié)議的兩個(gè)例子是遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS)和基于Diameter的協(xié)議(Diameter)。根據(jù)本示例性實(shí)施例�����,在NESC302和設(shè)備300之間使用的AAA協(xié)議是PANA��。在步驟310中使用的PANA消息是PANA驗(yàn)證請(qǐng)求(PAR)消息�����,并且���,除了 PANA標(biāo)準(zhǔn)中定義的標(biāo)準(zhǔn)AVP����,PANA消息可以包括PAR消息中的以下AVP =MSBF標(biāo)識(shí)符(ID)�����,用于將MSBF306的標(biāo)識(shí)符傳送到設(shè)備300 ;AVP的值字段�,其包括數(shù)據(jù)元素,諸如指示標(biāo)識(shí)符的類型的ID-Type(ID類型)���、標(biāo)識(shí)符的ID-value(ID值)和NESC-1D��,其中ID-Type諸如完全合格的域名(FQDN)��、網(wǎng)絡(luò)訪問(wèn)標(biāo)識(shí)符(NAI)���、統(tǒng)一資源標(biāo)識(shí)符����、以及其他類似的標(biāo)識(shí)符,而且NESC-1D用于將NESC標(biāo)識(shí)符傳送到設(shè)備300��。此夕卜�,AVP的值字段包括以下數(shù)據(jù)元素:指示標(biāo)識(shí)符的類型的ID-Type,諸如FQDN����、NAI和URI ;以及ID-value,它是標(biāo)識(shí)符的值�����。[0045]由于NESC302相對(duì)于PANA協(xié)議用作PANA驗(yàn)證代理(PAA),因此NESC-1D和PAA標(biāo)識(shí)符彼此相等����。此外,Network-1D (網(wǎng)絡(luò)ID)用于將由MSBF306服務(wù)的(多個(gè))M2M網(wǎng)絡(luò)的標(biāo)識(shí)符傳送到設(shè)備300�。零個(gè)、一個(gè)或多個(gè)這樣的AVP可以被包括在同一消息中���,而且單一MSBF306可以為多個(gè)網(wǎng)絡(luò)服務(wù)�����。此外���,除了其他數(shù)據(jù)元素,AVP的值字段還可以包括如上所述的 ID-Tpye 和 ID-value�。
[0046]此外,如上所述�����,也可以由傳統(tǒng)的PAA��,即,不在M2M網(wǎng)絡(luò)中的PAA使用相同的AVP����,以便通知PPA為其服務(wù)的各個(gè)網(wǎng)絡(luò)。因此�����,Network-1D可以用于代表服務(wù)提供者和服務(wù)提供者所擁有的網(wǎng)絡(luò)二者�����。此外���,Device-1D (設(shè)備ID)也可以用于將目標(biāo)設(shè)備的標(biāo)識(shí)符傳送到接收設(shè)備。由于包括AVP的消息可以被選播�����、多播或廣播�����,并因此除了被目標(biāo)設(shè)備接收之外還被多個(gè)節(jié)點(diǎn)接收�,Device-1D使接收設(shè)備或節(jié)點(diǎn)能夠確定請(qǐng)求是否打算供各接收設(shè)備或者其他一些設(shè)備使用�����。只有當(dāng)Device-1D中的一個(gè)或多個(gè)匹配設(shè)備300的標(biāo)識(shí)符時(shí)設(shè)備300才消費(fèi)傳入消息��,否則設(shè)備300將丟棄該消息����。除了其他數(shù)據(jù)元素���,AVP的值字段還包括以下數(shù)據(jù)元素:指示標(biāo)識(shí)符的類型的ID-Type��,諸如FQDN���、NA1、URI和MAC地址�;以及ID-value,它是標(biāo)識(shí)符的值。上面所討論的AVP將ID類型和ID值一起呈現(xiàn)�����。在使用AVP的網(wǎng)絡(luò)的架構(gòu)不需要支持多種不同類型的ID的靈活性的情況下�,可以使用這些AVP的變體,其中ID類型被省略���。
[0047]此外��,定義用于指示PANA運(yùn)行的目的的Usage-Type(用途類型)AVP��,即�,PANA運(yùn)行用于M2M自舉、用于網(wǎng)絡(luò)訪問(wèn)(即��,PANA運(yùn)行是PANA的傳統(tǒng)使用)�����、還是用于其他類型的PANA運(yùn)行����。Usage-Type AVP可以被包括在首次、任何或所有的PANA消息交換中��。Usage-TypeAVP在值字段中包括以下數(shù)據(jù)元素=Tpye (類型)�,它攜帶指示用途類型的枚舉值���,例如�,O用于網(wǎng)絡(luò)訪問(wèn)�����,I用于M2M自舉,2用于M2M服務(wù)注冊(cè)����,或用于其他類型的用途的其他值。
[0048]接著���,在步驟320中�,運(yùn)行階段I相互驗(yàn)證����,以便設(shè)備300和網(wǎng)絡(luò)彼此相互驗(yàn)證。根據(jù)本發(fā)明的示例性實(shí)施例���,階段I的相互驗(yàn)證可以只是驗(yàn)證的一個(gè)階段(例如����,利用EAP-TLS)�,或者可以是兩個(gè)或更多個(gè)階段。例如�,EAP-1BAKE有兩個(gè)階段:使用臨時(shí)ID和密碼的第一階段,隨后是使用基于身份的加密(IBE)的第二階段(見步驟340)。在使用兩個(gè)階段的情況下���,每個(gè)階段運(yùn)行完整驗(yàn)證方法��。例如�����,利用IBAKE方法����,第一階段運(yùn)行一種方法�,諸如EAP-廣義PSK (GPSK),而且第二階段運(yùn)行另一種EAP方法���,諸如EAP-1BAKE�����。在使用一個(gè)階段的情況下���,根據(jù)步驟340運(yùn)行該階段。換句話說(shuō)���,如果使用一個(gè)階段則跳過(guò)步驟320���。
[0049]在步驟320中運(yùn)行完整EAP驗(yàn)證方法。EAP驗(yàn)證方法經(jīng)由EAP通過(guò)PANA在設(shè)備300和NESC302之間通信�����,并且經(jīng)由EAP通過(guò)AAA協(xié)議在NESC302和M2M服務(wù)層AAA服務(wù)器(MAS) 308之間通信����。因此,在這個(gè)階段建立完整PANA會(huì)話��。然而���,如果驗(yàn)證失敗���,則步驟320中斷。如果在步驟320中的驗(yàn)證成功���,則將采取動(dòng)作以使能步驟320�。因此���,步驟320完成設(shè)備300和網(wǎng)絡(luò)之間的相互驗(yàn)證�,并且還使能發(fā)現(xiàn)、識(shí)別和安全性以便為步驟330做準(zhǔn)備���。
[0050]為了使能步驟330�,攜帶驗(yàn)證結(jié)果的最后的PANA消息攜帶附加的AVP����。附加的AVP包括DM-server-1D (DM服務(wù)器ID),其用于將設(shè)備管理服務(wù)器的標(biāo)識(shí)符傳送到設(shè)備300��,其中���,零個(gè)����、一個(gè)或多個(gè)這樣的AVP可以被包括在同一消息中�����。DM-server-1D AVP的值字段可以包括以下兩個(gè)數(shù)據(jù)元素:指示標(biāo)識(shí)符的類型的ID-Type�����,諸如FQDN、IPv4地址��、URI或其他類似的標(biāo)識(shí)符���;以及ID-value,它是標(biāo)識(shí)符的值��。
[0051]另一附加的AVP是Assigned-Device-1D (分配的設(shè)備ID),其用于傳送由網(wǎng)絡(luò)分配給設(shè)備300的設(shè)備標(biāo)識(shí)符����,而且將是用于隨后在設(shè)備300和M2M核心網(wǎng)絡(luò)之間發(fā)送信令的設(shè)備300的標(biāo)識(shí)符,其中�,零個(gè)、一個(gè)或多個(gè)這樣的AVP可以被包括在同一消息中��。Assigned-Device-1D AVP的值字段可以包括以下數(shù)據(jù)元素:指示標(biāo)識(shí)符的類型的ID-Type�����,諸如FQDN�、NA1、UR1��、和MAC地址����;以及ID-value�����,它是標(biāo)識(shí)符的值(例如���,“l(fā)ight-switch-1001 ” (“燈-開關(guān)-1001,�����,))����。
[0052]DM-server-1D AVP和Assigned-Device-1D AVP將 ID類型和 ID值一起給出。在網(wǎng)絡(luò)架構(gòu)不需要支持多種不同類型的ID的情況下(即�,只使用一種類型),可以使用這些AVP的變體���,其中ID類型被省略�����。
[0053]此外���,在步驟320的這個(gè)階段���,還建立設(shè)備300和設(shè)備管理服務(wù)器之間的加密安全關(guān)聯(lián)。當(dāng)Assigned-Device-1D和DM-server-1D作為終端點(diǎn)標(biāo)識(shí)符時(shí)�����,根據(jù)以下共享秘密鑰(shared secret key, KD-DM)公式基于主會(huì)話密鑰(Master Session Key��,MSK)來(lái)計(jì)算設(shè)備300和設(shè)備管理服務(wù)器之間的共享秘密鑰:
[0054]KD-DM=Hash (MSK, constant_string | DM-server-1D | Assigned-Device-1D | other_parameters)
[0055]其中�����,Hash (哈希)是單向密鑰哈希函數(shù),諸如基于哈希的消息驗(yàn)證碼(HMAC)安全哈希算法I (SHA1)����、HMAC-SHA256��,或其他類似的哈希函數(shù)��;MSK是由運(yùn)行的EAP方法導(dǎo)出的主會(huì)話密鑰�����;constant_string是常量字符串值,諸如“M2M shared secret betweenDevice and Devic e Management Server”(“設(shè)備和設(shè)備管理服務(wù)器之間的M2M共享秘密鑰”),而且字符串可以包含一個(gè)或多個(gè)NULL字符(“\0”);DM-serVer-1D是設(shè)備管理服務(wù)器標(biāo)識(shí)符的值���;Assigned-Device-1D是由網(wǎng)絡(luò)分配的設(shè)備標(biāo)識(shí)符的值��,其中����,如果網(wǎng)絡(luò)沒(méi)有分配ID�����,則設(shè)備可以使用其自己的標(biāo)識(shí)符作為分配的ID ;而且othei^parameters是可以被添加到此公式的變量的零個(gè)或多個(gè)參數(shù)���。
[0056]根據(jù)本發(fā)明的另一示例性實(shí)施例����,使用擴(kuò)展的MSK (EMSK)代替MSK的共享秘密鑰公式如下:
[0057]KD-DM=Hash(EMSK, constant_string|DM-server-1D|Assigned-Device-1D|other_parameters)�。
[0058]PANA會(huì)話標(biāo)識(shí)符和PANA密鑰ID的組合作為密鑰索引用于給定的設(shè)備。如果給定的設(shè)備只有一個(gè)PANA會(huì)話����,則單獨(dú)使用密鑰ID足以索引KD-DM密鑰。
[0059]根據(jù)本發(fā)明的另一示例性實(shí)施例,共享秘密鑰公式可以使用根秘密鑰(rootsecret key��,KR)��。然而���,這個(gè)共享秘密鑰公式應(yīng)用于在運(yùn)行設(shè)備配置之前生成KR的情況���。這個(gè)共享秘密鑰公式為:KD_DM=Hash (KR, constant_string | DM-server-1D | Assigned-Device-1D1ther_parameters)。
[0060]接著�����,在步驟330中����,運(yùn)行設(shè)備預(yù)置(例如���,使用開放移動(dòng)聯(lián)盟(OMA)設(shè)備管理(DM))����。然而��,步驟330是可選的��,并且,可以根據(jù)運(yùn)行步驟320的本發(fā)明的示例性實(shí)施例的配置來(lái)運(yùn)行步驟330�����。當(dāng)運(yùn)行步驟330時(shí)�����,它可以使用在較早的PANA程序期間生成的標(biāo)識(shí)符(諸如Assigned-Device-1D和DM-server-1D)和共享密鑰(KD-DM)來(lái)保護(hù)����。在步驟330,可以如在步驟320中所描述的計(jì)算保護(hù)這樣的程序所需的標(biāo)識(shí)符和加密密鑰。[0061]接下來(lái)���,在步驟340���,階段2的相互驗(yàn)證被運(yùn)行,而且涉及通過(guò)PANA運(yùn)行EAP驗(yàn)證方法�。一些驗(yàn)證方法可以使用步驟340,而且其它驗(yàn)證方法也可以省略步驟340����。例如,使用EAP-TLS只運(yùn)行驗(yàn)證的一個(gè)階段,而基于IBAKE的驗(yàn)證使用兩個(gè)階段�,而且第二階段涉及運(yùn)行 EAP-1BAKE。
[0062]自舉程序的一個(gè)結(jié)果是建立KR作為設(shè)備300和網(wǎng)絡(luò)之間的共享秘密鑰��。在步驟320或步驟340結(jié)束時(shí)取決于步驟的可用性和使用這個(gè)方案的網(wǎng)絡(luò)架構(gòu)的配置生成KR���。如果在步驟320期間沒(méi)有傳送Assigned-Device-1D�����,則它可以在步驟340結(jié)束時(shí)傳送�����,而且由攜帶驗(yàn)證結(jié)果的最后的PANA消息攜帶�����。
[0063]可以通過(guò)使用以下替代技術(shù)之一生成KR。例如�����,在成功的驗(yàn)證程序結(jié)束時(shí)可以從由EAP方法產(chǎn)生的MSK來(lái)推導(dǎo)KR����。在這種情況下�,MSK由存在于設(shè)備300上的EAP對(duì)等體和存在于MAS308或MSBF306上的驗(yàn)證服務(wù)器產(chǎn)生�����。驗(yàn)證服務(wù)器與驗(yàn)證器���,即���,NESC302,共享MSK���。因此���,MSK在成功的驗(yàn)證結(jié)束時(shí)構(gòu)成動(dòng)態(tài)生成的共享秘密鑰,而且它被用作種子以用于根據(jù)以下公式的KR推導(dǎo):
[0064]KR=Hash (MSK,constant_string|Assigned-Device-1D|Network-1D|other_parameters),
[0065]其中����,Hash是單向密鑰哈希函數(shù),諸如HMAC-SHAl���、HMAC-SHA256 ���;MSK是由運(yùn)行的EAP方法導(dǎo)出的主會(huì)話密鑰����;constant_string是常量字符串值,諸如“M2M shared secretroot key between Device and network”(“設(shè)備和網(wǎng)絡(luò)之間的M2M共享根密鑰”)���,而且可以包含一個(gè)或多個(gè)NULL字符(“\0”);ASSigned-Device-1D是由網(wǎng)絡(luò)分配的設(shè)備標(biāo)識(shí)符的值����,其中��,如果網(wǎng)絡(luò)沒(méi)有分配ID����,則設(shè)備可以使用其自己的標(biāo)識(shí)符作為分配的ID ;Network-1D是網(wǎng)絡(luò)標(biāo)識(shí)符的值���;而且other_parameters是可以被添加到此公式的變量的零個(gè)或多個(gè)參數(shù)�����。
[0066]PANA會(huì)話標(biāo)識(shí)符和PANA密鑰ID的組合作為密鑰索引用于給定的設(shè)備。如果給定的設(shè)備只有一個(gè)PANA會(huì)話�,則單獨(dú)使用密鑰ID足以索引KR密鑰�。
[0067]可替換地�����,在成功的驗(yàn)證程序結(jié)束時(shí)可以從由EAP方法產(chǎn)生的EMSK來(lái)推導(dǎo)KR��。在這種情況下��,KR由存在于設(shè)備上的EAP對(duì)等體和存在于MAS308或MSBF306上的驗(yàn)證服務(wù)器產(chǎn)生�。因此,EMSK在成功的驗(yàn)證結(jié)束時(shí)構(gòu)成動(dòng)態(tài)生成的共享秘密鑰��,而且被用作種子以用于根據(jù)以下公式的 KR 推導(dǎo):KR=Hash (EMSK, constant_string | Assigned-Device-1D | Network-1D1ther_parameters)�。
[0068]PANA會(huì)話標(biāo)識(shí)符和PANA密鑰ID的組合作為密鑰索引用于給定的設(shè)備。如果給定的設(shè)備只有一個(gè)PANA會(huì)話��,則單獨(dú)使用密鑰ID足以索引KR密鑰��?��?商鎿Q地�����,以下新定義的公式可以用于計(jì)算密鑰索引:Key_index=Hash (KR, constant_string | other_parameters)����。
[0069]接下來(lái),在步驟350中�����,運(yùn)行到MAS的設(shè)備信息預(yù)置�����,以使得M2M核心網(wǎng)絡(luò)向MAS308發(fā)送設(shè)備預(yù)置信息(例如���,KR�、設(shè)備ID等)��。如果成功運(yùn)行階段2的相互驗(yàn)證�,則只運(yùn)行此步驟。
[0070]注意的是���,根據(jù)本發(fā)明的另一示例性實(shí)施例����,NESC302可以從上述示例性實(shí)施例中移除��。在這種情況下�����,MSBF306和/或MAS308與設(shè)備30直接彼此交互����,而無(wú)需經(jīng)由NESC302發(fā)送消息。在這種情況下���,PANA協(xié)議可以用于MSBF306和/或MAS308與設(shè)備300通信(SP����,運(yùn)行在MSBF306和/或MAS308與NESC302之間的協(xié)議也可以被移除)�。[0071]參照?qǐng)D3,設(shè)備300���、NESC302�、NREM304���、MSBF306和MAS308中的每一個(gè)可以分別包括用于控制和執(zhí)行各個(gè)設(shè)備的操作的控制器����、用于從各個(gè)設(shè)備發(fā)送信號(hào)的發(fā)送器、用于在各個(gè)設(shè)備處接收信號(hào)的接收器�、用于在各個(gè)設(shè)備處發(fā)送和接收信號(hào)的收發(fā)器、以及用于生成密鑰的密鑰生成器�����。
[0072]圖4A描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備的自舉程序的流程圖�����。
[0073]參照?qǐng)D4A�����,在步驟401中�����,設(shè)備確定自舉程序是否是由設(shè)備發(fā)起的���。如果自舉程序是由設(shè)備發(fā)起的�����,則過(guò)程移動(dòng)到步驟404����。否則,過(guò)程移動(dòng)到步驟402��。在步驟402中���,設(shè)備確定自舉邀請(qǐng)是否被MSBF的NESC發(fā)送。如果自舉邀請(qǐng)未被發(fā)送����,則設(shè)備等待直到自舉邀請(qǐng)被發(fā)送。否則�,過(guò)程移動(dòng)到步驟403。在步驟403中���,設(shè)備發(fā)起自舉程序并且過(guò)程移動(dòng)到步驟404���。
[0074]在步驟404中,設(shè)備確定階段I相互驗(yàn)證是否被確認(rèn)���。如果驗(yàn)證未被確認(rèn)�,則過(guò)程移動(dòng)到步驟408。否則���,過(guò)程移動(dòng)到步驟405�。在步驟405中�,設(shè)備運(yùn)行階段I的相互驗(yàn)證,并且過(guò)程移動(dòng)到步驟406����。在步驟406中,設(shè)備確定階段I的相互驗(yàn)證是否成功����。如果階段I的相互驗(yàn)證沒(méi)有成功,則過(guò)程終止����。否則,過(guò)程移動(dòng)到步驟407�。在步驟407中,設(shè)備運(yùn)行設(shè)備預(yù)置��,而且過(guò)程移動(dòng)到步驟408��。在步驟408中��,設(shè)備運(yùn)行階段2的相互驗(yàn)證。
[0075]圖4B描繪了根據(jù)本發(fā)明的示例性實(shí)施例的NESC的自舉程序的流程圖����。
[0076]參照?qǐng)D4B,在步驟411中�����,NESC確定自舉程序是否由NESC發(fā)起�����。如果自舉程序由NESC發(fā)起�����,則過(guò)程移動(dòng)到步驟412�����,否則過(guò)程移動(dòng)到步驟413���。在步驟413中,NESC確定是否從MSBF接收到邀請(qǐng)���。如果從MSBF接收到邀請(qǐng)���,則過(guò)程移動(dòng)到步驟412��,否則過(guò)程移動(dòng)到步驟414���。在步驟414中,NESC確定是否從設(shè)備接收到引導(dǎo)消息�。如果從設(shè)備接收到引導(dǎo)消息,則過(guò)程移動(dòng)到步驟415��,否則過(guò)程移動(dòng)到步驟413���。在步驟412中����,NESC發(fā)送自舉邀請(qǐng)到設(shè)備����。自舉邀請(qǐng)可以作為PANA驗(yàn)證請(qǐng)求(PAR)發(fā)送,而且過(guò)程移動(dòng)到步驟415����。
[0077]在步驟415中���,NESC確定階段I的相互驗(yàn)證是否被確認(rèn)。如果階段I的相互驗(yàn)證未被確認(rèn)���,則過(guò)程移動(dòng)到步驟418�����,否則過(guò)程移動(dòng)到步驟416�。在步驟416中����,NESC運(yùn)行階段I的相互驗(yàn)證��。在步驟417中����,NESC確定階段I的相互驗(yàn)證是否成功。如果階段I的相互驗(yàn)證沒(méi)有成功�,則過(guò)程終止,否則�����,過(guò)程移動(dòng)到步驟418。在步驟418中�,NESC運(yùn)行階段2的相互驗(yàn)證。
[0078]圖4C描繪了根據(jù)本發(fā)明的示例性實(shí)施例的NREM的自舉程序的流程圖��。
[0079]參照?qǐng)D4C���,在步驟421中��,NREM運(yùn)行設(shè)備預(yù)置�����。
[0080]圖4D描繪了根據(jù)本發(fā)明的示例性實(shí)施例的MSBF的自舉程序的流程圖�。
[0081]參照?qǐng)D4D��,在步驟431中��,MSBF確定自舉程序是否是由MSBF發(fā)起的����。如果自舉程序由MSBF發(fā)起,則過(guò)程移動(dòng)到步驟432����,否則過(guò)程移動(dòng)到步驟433���。在步驟432中,MSBF發(fā)送自舉邀請(qǐng)到設(shè)備����,而且過(guò)程移動(dòng)到步驟433。在步驟433中����,MSBF運(yùn)行階段2的相互驗(yàn)證,而且過(guò)程移動(dòng)到步驟434�����。在步驟434中�����,MSBF確定階段2的相互驗(yàn)證是否成功���。如果階段2的相互驗(yàn)證成功,則過(guò)程移動(dòng)到步驟435�,否則過(guò)程終止。在步驟435中��,MSBF運(yùn)行MAS預(yù)置。
[0082]圖4E描繪了根據(jù)本發(fā)明的示例性實(shí)施例的MAS的自舉程序的流程圖����。
[0083]參照?qǐng)D4E,在步驟441中��,MAS確定階段I的相互驗(yàn)證是否被確認(rèn)��。如果階段I的相互驗(yàn)證未被確認(rèn)�,則過(guò)程移動(dòng)到步驟443,否則過(guò)程移動(dòng)到步驟442�����。在步驟442中���,MAS運(yùn)行階段I的相互驗(yàn)證�����,而且過(guò)程移動(dòng)到步驟443���。在步驟443中,MAS運(yùn)行MAS預(yù)置�。
[0084]本發(fā)明的示例性實(shí)施例可以被應(yīng)用于需要M2M設(shè)備的自動(dòng)自舉的M2M系統(tǒng)��。在設(shè)備能夠預(yù)先預(yù)置(例如��,在制造期間預(yù)置)的網(wǎng)絡(luò)中�����,這樣的解決方案不是必需的��。然而�����,由于M2M部署的動(dòng)態(tài)和大規(guī)模的性質(zhì)�����,依靠預(yù)先預(yù)置是不切實(shí)際的�����。
[0085]根據(jù)另一示例性實(shí)施例��,提供了使用基于EAP的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證程序的M2M服務(wù)層自舉。上面已經(jīng)相對(duì)于圖4A至圖4E的示例性實(shí)施例描述了只運(yùn)行自舉的自舉程序��。本示例性實(shí)施例是利用網(wǎng)絡(luò)訪問(wèn)驗(yàn)證以對(duì)于M2M服務(wù)層自舉設(shè)備的優(yōu)化程序。設(shè)備執(zhí)行網(wǎng)絡(luò)訪問(wèn)驗(yàn)證��,以便在開始使用任何更高層服務(wù)(諸如M2M服務(wù))之前連接到給定的網(wǎng)絡(luò)���。為了執(zhí)行這樣的驗(yàn)證�,本示例性實(shí)施例中描述了很好地利用已運(yùn)行的驗(yàn)證的關(guān)聯(lián)程序���。
[0086]圖5描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備功能模型��。
[0087]參照?qǐng)D5��,設(shè)備500包括網(wǎng)絡(luò)注冊(cè)管理器510和M2M自舉管理器520��。網(wǎng)絡(luò)注冊(cè)管理器510為了網(wǎng)絡(luò)訪問(wèn)服務(wù)將設(shè)備500注冊(cè)到網(wǎng)絡(luò)(B卩�,獲得對(duì)IP網(wǎng)絡(luò)的訪問(wèn))���。M2M自舉管理器520管理設(shè)備500的自舉的狀態(tài)�����。
[0088]網(wǎng)絡(luò)注冊(cè)管理器510包括以下討論的元素���。設(shè)備配置管理器512管理用于IP網(wǎng)絡(luò)訪問(wèn)的諸如設(shè)備ID和網(wǎng)絡(luò)ID的配置參數(shù)�����。設(shè)備配置管理器512與網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器接口連接以導(dǎo)出預(yù)先配置的網(wǎng)絡(luò)ID和導(dǎo)入動(dòng)態(tài)學(xué)習(xí)的網(wǎng)絡(luò)ID���。設(shè)備配置管理器512還與EAP對(duì)等體接口連接以導(dǎo)出在EAP驗(yàn)證期間使用的網(wǎng)絡(luò)用戶憑據(jù)。網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器514針對(duì)IP網(wǎng)絡(luò)運(yùn)行網(wǎng)絡(luò)發(fā)現(xiàn)和選擇程序�����,并且與EAP對(duì)等體516接口連接以導(dǎo)出所選擇的網(wǎng)絡(luò)ID�。EAP對(duì)等體516與EAP更低層接口連接以實(shí)施EAP驗(yàn)證方法。EAP更低層518執(zhí)行EAP對(duì)等體516的更低層服務(wù)���。
[0089]M2M自舉管理器520包括以下討論的元素�����。設(shè)備配置管理器522管理用于M2M網(wǎng)絡(luò)訪問(wèn)的諸如設(shè)備ID和網(wǎng)絡(luò)ID的配置參數(shù)���。設(shè)備配置管理器522與網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器接口連接以導(dǎo)出預(yù)配置的網(wǎng)絡(luò)ID并且導(dǎo)入動(dòng)態(tài)學(xué)習(xí)的網(wǎng)絡(luò)ID,并且與EAP對(duì)等體526接口連接以導(dǎo)出在EAP驗(yàn)證期間使用的M2M用戶憑據(jù)�����。網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器524針對(duì)M2M網(wǎng)絡(luò)運(yùn)行網(wǎng)絡(luò)發(fā)現(xiàn)和選擇程序�����,并且與EAP對(duì)等體526接口連接以導(dǎo)出所選擇的網(wǎng)絡(luò)ID�。EAP對(duì)等體526與EAP更低層接口連接以實(shí)施EAP驗(yàn)證方法。EAP更低層528與EAP對(duì)等體526接口連接�。
[0090]存在針對(duì)M2M自舉定義的程序,其涉及運(yùn)行設(shè)備和MSBF之間的協(xié)議以用于彼此相互驗(yàn)證��,以及生成所需的M2M根密鑰����。在大多數(shù)M2M網(wǎng)絡(luò)中,設(shè)備在獲取訪問(wèn)網(wǎng)絡(luò)之前要進(jìn)行驗(yàn)證�����。代替運(yùn)行自舉程序的單獨(dú)驗(yàn)證���,本示例性實(shí)施例可以利用網(wǎng)絡(luò)訪問(wèn)驗(yàn)證��,以減少由自舉程序所施加的執(zhí)行��、延遲和處理負(fù)荷�����。
[0091]圖6描繪了根據(jù)本發(fā)明的示例性實(shí)施例的單獨(dú)的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證和M2M自舉程序�。
[0092]網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS) 602實(shí)現(xiàn)EAP驗(yàn)證器和AAA客戶端功能。在圖6中還示出了 MAS604和設(shè)備601�����,而且AAA605實(shí)現(xiàn)驗(yàn)證�����、授權(quán)和計(jì)費(fèi)服務(wù)器以及EAP驗(yàn)證服務(wù)器功能����。NESC603執(zhí)行安全功能,而且MSBF606提供M2M服務(wù)自舉功能���。
[0093]在圖6的示例性實(shí)施例中�,M2M自舉程序變成網(wǎng)絡(luò)訪問(wèn)驗(yàn)證程序的一部分���。利用網(wǎng)絡(luò)訪問(wèn)驗(yàn)證程序生成KR��。代替驗(yàn)證設(shè)備601兩次(一次用于網(wǎng)絡(luò)訪問(wèn)����,一次用于M2M自舉),設(shè)備601針對(duì)網(wǎng)絡(luò)訪問(wèn)驗(yàn)證一次�����,并且得到的密鑰被用于生成KR����。在步驟610中���,在設(shè)備601與NAS602之間執(zhí)行網(wǎng)絡(luò)訪問(wèn)驗(yàn)證����。在步驟615中�����,在NAS602和AAA605之間執(zhí)行網(wǎng)絡(luò)訪問(wèn)驗(yàn)證�����。在步驟620中,在設(shè)備601和NESC603之間執(zhí)行M2M自舉程序�。在步驟625中,在NESC603和MSBF606之間執(zhí)行M2M自舉程序�。在步驟630中,在MAS604和MSBF606之間執(zhí)行M2M自舉程序����。
[0094]圖6的示例性實(shí)施例適用于使用基于EAP的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證的網(wǎng)絡(luò)。與此相反�,圖4A至圖4E的示例性實(shí)施例更適用于通過(guò)PANA使用EAP的網(wǎng)絡(luò)。
[0095]圖7描繪了根據(jù)本發(fā)明的示例性實(shí)施例的通過(guò)PANA使用EAP的網(wǎng)絡(luò)和使用EAP的任何網(wǎng)絡(luò)二者的呼叫流���。
[0096]參照?qǐng)D7�,AAA被并入MSBF以便形成(have) AAA/MSBF704����。當(dāng)訪問(wèn)網(wǎng)絡(luò)通過(guò)PANA使用EAP進(jìn)行網(wǎng)絡(luò)訪問(wèn)驗(yàn)證時(shí),利用這種方法�。在步驟710和715中,設(shè)備701經(jīng)由NAS702與AAA/MSBF704執(zhí)行基于EAP的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證���。在步驟710中���,EAP在設(shè)備701和NAS702之間通過(guò)PANA攜帶�,而且在步驟715中�����,EAP在NAS702和AAA/MSBF704之間通過(guò)RADIUS���、Diameter或等效協(xié)議攜帶�����。
[0097]除了用于常規(guī)的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證的常規(guī)PANA呼叫流和有效載荷,附加的有效載荷被交換以便執(zhí)行M2M自舉��。PANA消息中的一個(gè)或多個(gè)應(yīng)該包含Usage-Type AVP��,其中Type(類型)值被設(shè)置為指示M2M自舉的值����。此外,指示驗(yàn)證結(jié)果的最后的PANA消息可以包括零個(gè)或多個(gè)Assigned-Device-1D,以攜帶由網(wǎng)絡(luò)分配的設(shè)備標(biāo)識(shí)符�。此外,PANA消息中的一個(gè)或多個(gè)應(yīng)該包含Network-1D AVP0附加的有效載荷和AVP在上面已經(jīng)描述��,而且為簡(jiǎn)潔起見將避免進(jìn)一步的描述��。
[0098]在步驟710和715中成功的EAP驗(yàn)證結(jié)束時(shí),生成EMSK�����。這個(gè)密鑰被設(shè)備701和AAA/MSBF704知道��。此外���,KR可以從EMSK推導(dǎo)����,如參照?qǐng)D3的示例性實(shí)施例所描述的�����。
[0099]PANA會(huì)話標(biāo)識(shí)符和PANA密鑰ID的組合作為密鑰索引用于給定的設(shè)備��。如果給定的設(shè)備只有一個(gè)PANA會(huì)話�����,則單獨(dú)使用密鑰ID足以索引KR密鑰�����。可替換地�����,可以以參考圖3的示例性實(shí)施例所討論的方式計(jì)算密鑰索引���。因此��,KR可以由網(wǎng)絡(luò)隨機(jī)生成�,并且使用專用PANA AVP安全地傳送到設(shè)備701���。KR在發(fā)送到設(shè)備701之前被加密�����,而且設(shè)備701在接收到KR之后解密KR。對(duì)于這樣的加密/解密程序�,定義了另一密鑰,其可以在設(shè)備和網(wǎng)絡(luò)側(cè)二者上推導(dǎo)�。KR由驗(yàn)證服務(wù)器加密并且由設(shè)備解密。這個(gè)加密/解密程序使用的密鑰基于 EMSK,并根據(jù)下面的公式計(jì)算:AS_ENCR_KEY=Hash (EMSK, constant_string | other_parameters)���。
[0100]PANA會(huì)話標(biāo)識(shí)符和PANA密鑰ID的組合作為密鑰索引用于給定的設(shè)備�����。如果給定的設(shè)備只有一個(gè)PANA會(huì)話�����,則單獨(dú)使用密鑰ID足以索引KR密鑰���?��?商鎿Q地,以下新定義的公式可以用于計(jì)算密鑰索引:Key_index=Hash(AS_ENCR_KEY, constant_string| other_parameters)���。
[0101]加密形式的KR被使用AAA協(xié)議從AAA/MSBF704發(fā)送到NAS702�����,而且被使用攜帶驗(yàn)證結(jié)果的最后的PANA消息中的PANA AVP從NAS702中繼到設(shè)備701�。M2M-KR AVP可以被包括在上述PANA消息中��,其中M2M-KR被用于將KR傳送到設(shè)備701����。M2M-KR AVP的值字段包括以下數(shù)據(jù)元素:Key-1D��,其攜帶KR的標(biāo)識(shí)符(索引)�����,其中標(biāo)識(shí)符的值由網(wǎng)絡(luò)分配���;以及KR-Encr,其是KR的加密值。用于加密的密鑰是AS_ENCR_KEY���。
[0102]接著�����,在步驟720中��,運(yùn)行從AAA704到MAS703的設(shè)備信息預(yù)置���。步驟720涉及AAA704與MAS703共享設(shè)備預(yù)置信息(例如�����,KR、設(shè)備ID等)�。[0103]圖7的示例性實(shí)施例可以應(yīng)用于PANA或類似的可擴(kuò)展的EAP傳輸都無(wú)法用于攜帶EAP的部署。在這種情況下��,專用有效載荷����,諸如Network-1D和Assigned-Device-1D,無(wú)法傳達(dá)到設(shè)備。因此����,假設(shè)這些參數(shù)以與本示例性實(shí)施例不相關(guān)的方式確定。然而���,設(shè)備可能已經(jīng)被配置有設(shè)備ID��,而且設(shè)備在由鏈路層呈現(xiàn)的網(wǎng)絡(luò)發(fā)現(xiàn)設(shè)備的幫助下發(fā)現(xiàn)網(wǎng)絡(luò)ID�����。下面的公式用于從 EMSK 推導(dǎo) KR:KR=Hash (EMSK, constant_string | Assigned-Device-1D | Network-1D|other_parameters)�。
[0104]根據(jù)以下新定義的公式計(jì)算KR的密鑰索引:Key_index=Hash (KR, constant_string 1ther_parameters)�����。
[0105]圖8描繪了根據(jù)本發(fā)明的示例性實(shí)施例的設(shè)備功能模型。
[0106]參照?qǐng)D8����,設(shè)備800包括網(wǎng)絡(luò)注冊(cè)管理器810和M2M自舉管理器820。網(wǎng)絡(luò)注冊(cè)管理器810為了網(wǎng)絡(luò)訪問(wèn)服務(wù)將設(shè)備800注冊(cè)到網(wǎng)絡(luò)(B卩���,獲取對(duì)IP網(wǎng)絡(luò)的訪問(wèn))�。M2M自舉管理器820管理設(shè)備的自舉的狀態(tài)��。
[0107]網(wǎng)絡(luò)注冊(cè)管理器810包括以下討論的元素����。設(shè)備配置管理器811管理用于IP網(wǎng)絡(luò)訪問(wèn)的諸如設(shè)備ID和網(wǎng)絡(luò)ID的配置參數(shù)。設(shè)備配置管理器811與網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器812接口連接以導(dǎo)出預(yù)先配置的網(wǎng)絡(luò)ID和導(dǎo)入動(dòng)態(tài)學(xué)習(xí)的網(wǎng)絡(luò)ID�����,而且與EAP對(duì)等體811連接以導(dǎo)出在EAP驗(yàn)證期間使用的網(wǎng)絡(luò)用戶憑據(jù)�����。此外����,設(shè)備配置管理器811與EAP更低層814接口連接以導(dǎo)入動(dòng)態(tài)學(xué)習(xí)的設(shè)備ID,并且與M2M自舉管理器820接口連接以導(dǎo)出預(yù)配置的設(shè)備ID����。
[0108]網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器812針對(duì)IP網(wǎng)絡(luò)運(yùn)行網(wǎng)絡(luò)發(fā)現(xiàn)和選擇程序,并且與EAP對(duì)等體813接口連接以便導(dǎo)出所選擇的網(wǎng)絡(luò)ID��。網(wǎng)絡(luò)發(fā)現(xiàn)和選擇管理器812還與M2M自舉器815接口連接�,以便導(dǎo)出所選擇的網(wǎng)絡(luò)ID。EAP對(duì)等體813與EAP更低層814接口連接以實(shí)施EAP驗(yàn)證方法����,并且與M2M自舉器815接口連接以便導(dǎo)出EMSK。
[0109]EAP更低層814與M2M自舉器815接口連接以便導(dǎo)出動(dòng)態(tài)學(xué)習(xí)的網(wǎng)絡(luò)ID和分配的設(shè)備ID�。M2M自舉器815從網(wǎng)絡(luò)注冊(cè)管理器810之內(nèi)的其他實(shí)體接收輸入的參數(shù),并根據(jù)示例性實(shí)施例的公式產(chǎn)生KR和密鑰索引��。M2M自舉器815與M2M自舉管理器820��,S卩���,M2M自舉管理器820中的設(shè)備配置管理器連接����,以導(dǎo)出這些信息元素����。
[0110]這些M2M自舉管理器820包括用于管理諸如設(shè)備ID�����、網(wǎng)絡(luò)ID和KR的��、用于M2M網(wǎng)絡(luò)訪問(wèn)的配置參數(shù)的設(shè)備配置管理器�,并且從存在于網(wǎng)絡(luò)注冊(cè)管理器810中的M2M自舉器815導(dǎo)出這些參數(shù)�����。
[0111]本示例性實(shí)施例可以被應(yīng)用于運(yùn)行M2M設(shè)備的自舉的M2M系統(tǒng)�����。在設(shè)備可以被預(yù)先預(yù)置(例如���,在制造期間)的網(wǎng)絡(luò)中���,這樣的解決方案可以被跳過(guò)。在具有動(dòng)態(tài)和大規(guī)模M2M部署的網(wǎng)絡(luò)中����,由于M2M部署的大規(guī)模��,依靠預(yù)先預(yù)置成為問(wèn)題����。因此���,示例性實(shí)施例適用于使用基于EAP的網(wǎng)絡(luò)訪問(wèn)驗(yàn)證的網(wǎng)絡(luò)。根據(jù)本示例性實(shí)施例���,訪問(wèn)網(wǎng)絡(luò)提供者和M2M網(wǎng)絡(luò)提供者是相同實(shí)體或者具有業(yè)務(wù)關(guān)系�����,以使得它們能夠共享如圖3的示例性實(shí)施例的步驟320中所要求的密鑰材料(keying material)��。
[0112]雖然已經(jīng)參照本發(fā)明的某些示例性實(shí)施例示出和描述了本發(fā)明��,但是本領(lǐng)域術(shù)人員應(yīng)當(dāng)清楚地理解��,可以在形式和細(xì)節(jié)上對(duì)其做出各種改變而不脫離由所附權(quán)利要求及其等同物定義的本發(fā)明的精神和范圍����。
【權(quán)利要求】
1.一種由機(jī)器到機(jī)器(M2M)設(shè)備提供服務(wù)的方法���,該方法包括: 向網(wǎng)絡(luò)安全能力(NESC)發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求�����,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符�; 與NESC執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證;以及 如果第一驗(yàn)證成功���,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰��。
2.如權(quán)利要求1所述的方法���,還包括在向NESC發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求之前,從NESC或者M(jìn)2M服務(wù)自舉功能(MSBF)接收自舉邀請(qǐng)��。
3.如權(quán)利要求1所述的方法�����,還包括����,在生成秘密鑰之后,與網(wǎng)絡(luò)遠(yuǎn)程實(shí)體管理能力(NREM)運(yùn)行設(shè)備預(yù)置。
4.如權(quán)利要求1所述的方法��,還包括�����,向NESC發(fā)送對(duì)于第二驗(yàn)證的請(qǐng)求����,所述對(duì)于第二驗(yàn)證的請(qǐng)求包括MSK和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)���。
5.一種用于提供服務(wù)的機(jī)器到機(jī)器(M2M)設(shè)備��,該M2M包括: 發(fā)送器��,用于向網(wǎng)絡(luò)安全能力(NESC)發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求���,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符; 控制器�����,用于與NESC執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證�;以及 密鑰生成器,用于如果第一驗(yàn)證成功�����,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰。
6.如權(quán)利要求5所述的M2M設(shè)備��,還包括: 接收器����,用于在向NESC發(fā)送對(duì)于第一驗(yàn)證的請(qǐng)求之前,從NESC或者M(jìn)2M服務(wù)自舉功能(MSBF)接收自舉邀請(qǐng)�。
7.如權(quán)利要求5所述的M2M設(shè)備,其中�,所述控制器用于在生成秘密鑰之后,與網(wǎng)絡(luò)遠(yuǎn)程實(shí)體管理(NREM)能力運(yùn)行設(shè)備預(yù)置����。
8.如權(quán)利要求5所述的M2M設(shè)備,其中���,所述發(fā)送器用于向NESC發(fā)送對(duì)于第二驗(yàn)證的請(qǐng)求����, 其中��,所述對(duì)于第二驗(yàn)證的請(qǐng)求包括MSK和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)。
9.一種在機(jī)器到機(jī)器(M2M)系統(tǒng)中由網(wǎng)絡(luò)安全能力(NESC)提供服務(wù)的方法�,該方法包括: 確定是否從M2M設(shè)備接收到對(duì)于第一驗(yàn)證的請(qǐng)求,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符���; 如果接收到對(duì)于服務(wù)的請(qǐng)求�,則與M2M設(shè)備執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證���;以及如果第一驗(yàn)證成功���,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰。
10.如權(quán)利要求9所述的方法��,還包括在接收到對(duì)于第一驗(yàn)證的請(qǐng)求之前��,向M2M設(shè)備發(fā)送自舉邀請(qǐng)�����。
11.如權(quán)利要求9所述的方法����,還包括從M2M設(shè)備接收對(duì)于第二驗(yàn)證的請(qǐng)求���, 其中����,所述對(duì)于第二驗(yàn)證的請(qǐng)求包括MSK和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)。
12.一種用于在機(jī)器到機(jī)器(M2M)系統(tǒng)中提供服務(wù)的網(wǎng)絡(luò)安全能力(NESC)��,該NESC包括:控制器�����,用于確定是否從M2M設(shè)備接收到對(duì)于第一驗(yàn)證的請(qǐng)求��,所述對(duì)于第一驗(yàn)證的請(qǐng)求包括M2M設(shè)備的標(biāo)識(shí)符����,而且用于如果接收到對(duì)于服務(wù)的請(qǐng)求,則用于與M2M設(shè)備執(zhí)行可擴(kuò)展驗(yàn)證協(xié)議(EAP)驗(yàn)證����;以及 密鑰生成器,用于如果第一驗(yàn)證成功����,則使用主會(huì)話密鑰(MSK)和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)生成秘密鑰。
13.如權(quán)利要求12所述的NESC����,還包括: 發(fā)送器��,用于在接收到對(duì)于第一驗(yàn)證的請(qǐng)求之前�,向M2M設(shè)備發(fā)送自舉邀請(qǐng)��。
14.如權(quán)利要求12所述的NESC����,還包括: 接收器,用于從M2M設(shè)備接收對(duì)于第二驗(yàn)證的請(qǐng)求���, 其中����,所述對(duì)于第二驗(yàn)證·的請(qǐng)求包括MSK和M2M設(shè)備的標(biāo)識(shí)符中的至少一個(gè)����。
【文檔編號(hào)】H04L9/32GK103597774SQ201280029345
【公開日】2014年2月19日 申請(qǐng)日期:2012年4月16日 優(yōu)先權(quán)日:2011年4月15日
【發(fā)明者】A.耶金, 白令教 申請(qǐng)人:三星電子株式會(huì)社