用于在ue和網(wǎng)絡二者處的密鑰取得的mtc密鑰管理的制作方法
【技術領域】
[0001 ] 本發(fā)明涉及MTC (機器類型通信)系統(tǒng)的密鑰管理�����,具體地�,涉及在UE (用戶設備)和網(wǎng)絡兩者取得密鑰的技術。
【背景技術】
[0002]如公開在NPL I中所公開����,應該對MTC設備和MTC-1WF (MTC互通功能)之間接口的安全性進行研宄。
[0003]需要注意的是�����,MTC設備是配備有MTC的UE����,在下面的解釋中,有時將被稱為“MTCUE” 或 “UE”���。
[0004]引用列表
[0005]非專利文獻
[0006]NPL 1:3GPP TR 33.868�,"Security aspects of Machine-Type and other MobileData Applicat1ns Communicat1ns Enhancements ; (Releasel2)〃�,V0.10.0, 2012-09
[0007]NPL 2:3GPP TS 33.401,"3GPP System Architecture Evolut1n(SAE) ��;Securityarchitecture(Release 12)"�,V12.5.1, 2012-10
【發(fā)明內(nèi)容】
[0008]技術問題
[0009]然而,在3GPP(第三代合作伙伴計劃)中�,沒有充分研宄�����。因此�,在MTC設備和MTC-1ffF之間需要安全通信解決方案�。
[0010]因此,本發(fā)明的示例性目的在于包括MTC設備和MTC-1WF之間的安全通信��。
[0011]對問題的解決方案
[0012]為了實現(xiàn)上述目的�����,本發(fā)明處理以下問題:
[0013]在UE和網(wǎng)絡側(cè)取得相同的根密鑰�。
[0014]在本發(fā)明中�,提出了網(wǎng)絡和UE分別取得根密鑰K_iwf。在它們之間不發(fā)送密鑰���。密鑰取得參數(shù)可以從網(wǎng)絡發(fā)送到UE或者從UE發(fā)送到網(wǎng)絡����。在核心網(wǎng)絡內(nèi)側(cè)��,密鑰取得參數(shù)可以從HSS (歸屬訂戶服務器)發(fā)送到MTC-1WF和MME (移動管理實體)�����,或者從MTC-1WF發(fā)送到HSS或MME。取得算法可用于UE和核心網(wǎng)絡���。網(wǎng)絡通過算法標識符指示UE哪種算法應該用于根密鑰取得�。
[0015]還提出了用于UE與MTC-1WF之間安全性關聯(lián)建立的新IWF安全模式命令(SMC)過程�����。
[0016]根據(jù)本發(fā)明的第一方面的通信系統(tǒng)包括:MTC-1WF和UE0 MTC-1WF存儲主密鑰��,取得用于保密性和完整性保護的子密鑰���,向UE通知密鑰取得的算法����。通過UE使用所述算法取得主密鑰和子密鑰�,從而UE與MTC-1WF共享主密鑰和相同子密鑰。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關聯(lián)����。
[0017]根據(jù)本發(fā)明的第二方面的MTC-1WF被配置為存儲主密鑰,取得用于保密性和完整性保護的子密鑰�����,向UE通知密鑰取得的算法使UE取得主密鑰和子密鑰,從而UE與MTC-1WF共享相同主密鑰和相同子密鑰�����。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關聯(lián)����。
[0018]根據(jù)本發(fā)明的第三方面的UE,被配置為通過使用從MTC-1WF通知的密鑰取得算法取得主密鑰和用于保密性和完整性保護的子密鑰�����,從而UE與MTC-1WF共享相同主密鑰和相同子密鑰����。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關聯(lián)�����。
[0019]根據(jù)本發(fā)明的第四方面的HSS����,被配置為取得主密鑰��,并且向MTC-1WF發(fā)送主密鑰�。在MTC-1WF和UE之間共享主密鑰�,所述主密鑰用于MTC-1WF和UE之間的安全性關聯(lián)。
[0020]根據(jù)本發(fā)明的第五方面的MME���,被配置為向UE承載NAS SMC消息�����,所述NAS SMC消息包括向UE通知關于密鑰取得算法的IWF SMC消息�。所述算法用于UE和MTC-1WF共享主密鑰和用于保密性和完整性保護的子密鑰��,并且通過使用共享的主密鑰和子密鑰在UE和MTC-1ffF之間建立安全性關聯(lián)��。
[0021]根據(jù)本發(fā)明的第六方面的方法提供了使MTC通信安全的方法�����。所述方法包括:MTC-1WF存儲主密鑰�;MTC-1WF取得用于保密性和完整性保護的子密鑰;MTC_IWF向UE通知密鑰取得的算法��;以及使用所述算法的UE取得主密鑰和子密鑰�,從而UE與MTC-1WF共享主密鑰和相同子密鑰����。通過使用共享的主密鑰和子密鑰在UE和MTC-1WF建立安全性關聯(lián)����。
[0022]有益效果
[0023]根據(jù)本發(fā)明,可以解決上述問題�,因此確保MTC設備和MTC-1WF之間安全通信。
【附圖說明】
[0024]圖1是示出根據(jù)本發(fā)明的示例性實施例的通信系統(tǒng)的配置示例的框圖��。
[0025]圖2是是示出根據(jù)示例性實施例的通信系統(tǒng)中IWF SMC過程的一個示例的序列圖�。
[0026]圖3是示出在NAS SMC中承載IWF SMC的情況下IWF SMC過程的另一示例的序列圖。
[0027]圖4是示出通過SCS觸發(fā)通信的情況下在UE和網(wǎng)絡兩者根密鑰取得的示例的序列圖�。
[0028]圖5是示出根據(jù)示例性實施例的MTC設備的配置示例的框圖。
[0029]圖6是示出根據(jù)示例性實施例的網(wǎng)絡節(jié)點的配置示例的框圖�����。
【具體實施方式】
[0030]以下���,將參照附圖描述本發(fā)明的示例性實施例����。
[0031]如圖1所示�,根據(jù)此示例性實施例的通信系統(tǒng)包括核心網(wǎng)絡(3GPP網(wǎng)絡)和一個或多個MTC UE 10,MTC UE 10是配有MTC的UE并且通過RAN(無線接入網(wǎng)絡)連接到核心網(wǎng)絡。盡管省略了圖示�,但是RAN由多個基站(即,eNB(演進節(jié)點B))形成���。
[0032]MTC UE 10連接到核心網(wǎng)絡�。MTC UE 10可以承載一個或多個MTC應用��。外部網(wǎng)絡中相應MTC應用承載在SCS (服務能力服務器)50上�。SCS 50連接到核心網(wǎng)絡,與MTC UE10進行通信�����。
[0033]此外�,核心網(wǎng)絡包括MTC-1WF 20,作為其網(wǎng)絡節(jié)點之一�。MTC-1WF 20用作SCS 50到核心網(wǎng)絡的網(wǎng)關。MTC-1WF 20在MTC UElO和SCS 50之間中繼消息��。核心網(wǎng)絡包括HSS (歸屬訂戶服務器)40��、MME�����、SGSN (服務GPRS (通用分組無線服務)支持節(jié)點)、MSC (移動交換中心)等�,作為其他網(wǎng)絡節(jié)點。在下面的描述中��,MME和SGSN有時被稱為“MME/SGSN”���,并且用符號30共同或單獨表示����。通過MME/SGSN 30 (或MSC)進行MTC UE 10和MTC-1WF20之間的通信�����。
[0034]接下來����,將參照圖2-4描述此示例性實施例的操作示例。
[0035]LIWF SMC 過程
[0036]圖2示出使用SAE/LTE(長期演進)NAS(非接入層)SMC機制用于在UE 10與MTC-1ffF 20之間建立安全關聯(lián)的IWF SMC過程����。下面將描述此過程。
[0037]假設MTC-1WF 20已經(jīng)接收或取得根密鑰K_iwf或者已經(jīng)取得子密鑰����。需要注意的是,根密鑰1(_1#用于取得子密鑰�����。子密鑰包括至少一個完整性密鑰��,用于檢查MTC UE10和MTC-1WF 20之間傳送的消息的完整性(在下文�,該密鑰將被稱為“完整性子密鑰”)。子密鑰還可以包括密鑰���,用于對MTC UE 10和MTC-1WF 20之間傳送的消息加密和解密�。
[0038]Sll !MTC-1WF 20使用密鑰取得參數(shù)(可選)和算法ID向UE 10發(fā)送IWF SMC消息�����。通過完整性子密鑰保護IWF SMC消息�。開始下行鏈路完整性保護。
[0039]S12:UE 10通過使用MTC-1WF 20發(fā)送的密鑰取得參數(shù)和算法取得K_iwf和子密鑰���。
[0040]S13:UE 10使用取得的完整性子密鑰驗證接收的IWF SMC�。開始上行鏈路完整性保護���。如果驗證失敗����,則UE 10發(fā)送IWF SMC拒絕消息。
[0041]S14:如果完整性驗證成功�,則UE 10通過使用UE 10已經(jīng)取得的完整性子密鑰使用完整性保護將IWF SMC完成消息發(fā)送到MTC-1WF20。開始上行鏈路完整性保護����。
[0042]S15 !MTC-1WF 20使用已經(jīng)取得的完整性子密鑰驗證IWF SMC完成消息。
[0043]S16:如果在步驟S15驗證成功��,則在UE 10和MTC-1WF 20之間建立安全關聯(lián)�����,并且他們可以開始安全通信�。
[0044]同時,如圖3所示�����,也可以在NAS SMC過程中承載IWF SMC消息����。
[0045]S21:MTC-1WF 20使用UE ID向MME 30發(fā)送完整性保護的IWF SMC消息或UE 10執(zhí)行密鑰取得的必要參數(shù)(與圖2的步驟Sll相同)�����。
[0046]S22:MME 30使用NAS SMC消息承載IWF SMC消息��,并且將其發(fā)送到UE 10。
[0047]S23:UE 10進行NAS完整性驗證�。
[0048]S24:如果NAS完整性驗證失敗,UE 10向MME 30發(fā)送承載IWF SMC拒絕消息的NAS SMC拒絕消息�����。MME 30向MTC-1WF 20轉(zhuǎn)發(fā)IWF SMC拒絕消息�。
[0049]S25:如果NAS完整性驗證成功,則UE 10取得K_iwf和子密鑰����。
[0050]S26:如果在步驟S21使用完整性保護發(fā)送IWF SMC消息,則UElO對IWF SMC進行完整性驗證����。通過使用UE 10取得的完整性子密鑰進行完整性驗證。
[0051]S27:UE 10向MME 30發(fā)送承載IWF SMC完成的NAS SMC