專利名稱:生成組密鑰的方法和相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,并且更具體地�����,涉及通信領(lǐng)域中生成組密鑰的方法和相關(guān)設(shè)備�����。
背景技術(shù):
機器對機器(Machine to Machine,M2M)技術(shù)是無線通信和信息技術(shù)的整合,是指機器和機器之間可以直接進行通信而無需人工干預(yù)�����。M2M應(yīng)用種類豐富��,包括自動儀表���、遠程監(jiān)控����、工業(yè)安全與艦艇自動化��、支付系統(tǒng)以及車輛遠程控制等�����。M2M存在三種方式,包括機器對機器��、機器對移動電話和移動電話對機器���。在M2M中�����,M2M設(shè)備可以通過遠距離連接技術(shù)和近距離連接技術(shù)接入網(wǎng)絡(luò)�����,涉及的遠距離連接技術(shù)包括全球移動通信系統(tǒng)(Global System for Mobile communications, GSM)���、通用分組無線業(yè)務(wù)(General Packet Radio Service, GPRS)、通用移動通信系統(tǒng)(UniversalMobile Telecommunications System, UMTS)等無線接入類型技術(shù)����。近距離連接技術(shù)包括 802.llb/g、藍牙(Blue Tooth)�、紫蜂(Zigbee)、無線射頻識別技術(shù)(Radio FrequencyIdentification, RFID)和超寬帶(Ultra Wideband, UffB)技術(shù)等�����。當(dāng)然����,不排除還有其他技術(shù)可用于支撐M2M通信。M2M通信也可以被稱為機器類通信(Machine TypeCommunication, MTC)�,M2M設(shè)備也可以被稱為MTC設(shè)備。在現(xiàn)有技術(shù)中����,基站對同一組MTC設(shè)備構(gòu)建公共的物理層、無線鏈路控制(RadioLink Control, RLC)層�、分組數(shù)據(jù)匯聚協(xié)議(Packet Data Convergence Protocol, PDCP)層和媒體接入控制(Media Access Control, MAC)層。當(dāng)為同一組MTC設(shè)備建立公共承載之后���,每個MTC設(shè)備都有各自單獨的密鑰��,各MTC設(shè)備的密鑰互不相同�����,在基站和MTC設(shè)備之間交互的PDU單元需要攜帶MTC設(shè)備標識以根據(jù)該標識來尋找對應(yīng)的密鑰�。因此���,在基站處�����,需要為同一組內(nèi)的每個MTC設(shè)備維護它們各自的密鑰�����,這增加了基站操作的復(fù)雜性��,使基站需要維護和管理的密鑰過多��,影響基站性能��。
發(fā)明內(nèi)容
本發(fā)明提供了生成組密鑰的方法和相關(guān)設(shè)備����,以提高基站性能。一方面�����,本發(fā)明提供了一種生成組密鑰的方法��,包括:獲取機器類通信MTC設(shè)備所在組的組ID ;獲取所述組ID對應(yīng)的組通信根密鑰;根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��;向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰�����,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰�����。另一方面����,本發(fā)明提供了一種生成組密鑰的方法�,包括:獲取機器類通信MTC設(shè)備所在組的組ID ;獲取所述組ID對應(yīng)的組通信根密鑰;向基站發(fā)送所述組ID和所述組通信根密鑰����,以使所述基站根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰并向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰。再一方面�����,本發(fā)明提供了一種生成組密鑰的方法����,包括:從基站接收所述基站用機器類通信MTC設(shè)備的接入層密鑰加密的組密鑰����,其中所述組密鑰由所述基站根據(jù)所述基站獲取的組通信根密鑰生成��、并與所述基站獲取的MTC設(shè)備所在組的組ID對應(yīng)�,或者所述組密鑰由所述基站根據(jù)從移動性管理實體MME獲取的組通信根密鑰生成、并與所述MME獲取的MTC設(shè)備所在組的組ID對應(yīng)�;根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰。又一方面����,本發(fā)明提供了一種基站,包括:第一獲取模塊����,用于獲取機器類通信MTC設(shè)備所在組的組ID ;第二獲取模塊,用于獲取所述組ID對應(yīng)的組通信根密鑰�;生成模塊,用于根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰����;第一發(fā)送模塊,用于向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰��,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰。又一方面�����,本發(fā)明提供了一種移動性管理實體��,包括:第一獲取模塊���,用于獲取機器類通信MTC設(shè)備所在組的組ID ;第二獲取模塊,用于獲取所述組ID對應(yīng)的組通信根密鑰�;發(fā)送模塊,用于向基站發(fā)送所述組ID和所述組通信根密鑰�����,以使所述基站根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰并向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰�。又一方面,本發(fā)明提供了一種機器類通信設(shè)備����,包括:第一接收模塊,用于從基站接收所述基站用機器類通信MTC設(shè)備的接入層密鑰加密的組密鑰����,其中所述組密鑰由所述基站根據(jù)所述基站獲取的組通信根密鑰生成、并與所述基站獲取的MTC設(shè)備所在組的組ID對應(yīng),或者所述組密鑰由所述基站根據(jù)從移動性管理實體MME獲取的組通信根密鑰生成�、并與所述MME獲取的MTC設(shè)備所在組的組ID對應(yīng);第一解密模塊��,用于根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰����。根據(jù)上述技術(shù)方案,網(wǎng)絡(luò)側(cè)通過確定MTC設(shè)備所在組的組ID����,從而確定與該組ID對應(yīng)的組密鑰,通過借助于MTC設(shè)備的接入層密鑰可以將MTC設(shè)備使用的組密鑰安全地分配給MTC設(shè)備����,并使得同一組ID內(nèi)的MTC設(shè)備共用相同的組密鑰。這樣���,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰���,從而��,可以降低基站操作的復(fù)雜性�����,減少基站維護和管理的密鑰數(shù)�����,提高基站性能�����。
為了更清楚地說明本發(fā)明實施例的技術(shù)方案����,下面將對實施例中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是根據(jù)本發(fā)明實施例的生成組密鑰的方法的流程圖��。圖2是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第一例子的流程圖�。圖3是在第一例子中生成組認證參數(shù)的例子的示意圖。圖4是在第一例子中MTC設(shè)備和MME (Mobility Management Entity,移動性管理實體)進行認證的流程圖����。圖5是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第二例子的流程圖。圖6是在第二例子中生成組認證參數(shù)的例子的示意圖����。圖7是在第二例子中生成組認證參數(shù)的另一例子的示意圖。 圖8是在第二例子中MTC設(shè)備和MME進行認證的流程圖����。
圖9是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第三例子的流程圖。圖10是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第四例子的流程圖�。圖11是在第三例子和第四例子中當(dāng)MTC設(shè)備從空閑狀態(tài)或去附著狀態(tài)重新加入組通信時的流程圖。圖12是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第五例子的流程圖���。圖13是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第六例子的流程圖�。圖14是根據(jù)本發(fā)明實施例的生成組密鑰的另一方法的流程圖���。圖15是根據(jù)本發(fā)明實施例的生成組密鑰的再一方法的流程圖�。圖16是根據(jù)本發(fā)明實施例的基站的結(jié)構(gòu)框圖。圖17是根據(jù)本發(fā)明實施例的另一基站的結(jié)構(gòu)框圖����。圖18是根據(jù)本發(fā)明實施例的移動性管理實體的結(jié)構(gòu)框圖。圖19是根據(jù)本發(fā)明實施例的另一移動性管理實體的結(jié)構(gòu)框圖�����。圖20是根據(jù)本發(fā)明實施例的機器類通信設(shè)備的結(jié)構(gòu)框圖����。圖21是根據(jù)本發(fā)明實施例的另一機器類通信設(shè)備的結(jié)構(gòu)框圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例的技術(shù)方案進行清楚���、完整地描述����,顯然���,所描述的實施例是本發(fā)明的一部分實施例��,而不是全部實施例�。基于本發(fā)明中的所述實施例�,本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都應(yīng)屬于本發(fā)明保護的范圍�����。首先����,結(jié)合圖1,描述根據(jù)本發(fā)明實施例的生成組密鑰的方法100�。如圖1所示,方法100包括:在SllO中�,獲取MTC設(shè)備所在組的組ID ;在S120中��,獲取組ID對應(yīng)的組通信根密鑰���;在S130中�,根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰����;在S140中����,向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的組密鑰���,以使MTC設(shè)備根據(jù)MTC設(shè)備的接入層密鑰解密得到組密鑰���。例如�,方法100可以由基站執(zhí)行����。基站通過對MTC設(shè)備進行分組�,進而可以確定MTC設(shè)備所在組的組ID對應(yīng)的組密鑰,其中組密鑰與組ID是——對應(yīng)的�����,每個組ID對應(yīng)的組密鑰互不相同���。基站確定了組密鑰之后�����,通過MTC設(shè)備的接入層密鑰,可以將組密鑰發(fā)送給MTC設(shè)備����,從而完成組密鑰的分配,使得一個組ID內(nèi)的MTC設(shè)備都可以通過自己的接入層密鑰而安全地得到所在組使用的組密鑰�。因此,借助于基站對同一組的組密鑰的分配�����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰,從而�����,可以降低基站操作的復(fù)雜性�����,減少基站維護和管理的密鑰數(shù),提高基站性能��。在SllO中��,基站可以通過多種方式獲取MTC設(shè)備所在組的組ID�����。例如��,基站可以對MTC設(shè)備進行分組���,從而將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)��。在進行分組時���,基站可以根據(jù)MTC設(shè)備距離基站的距離進行分組,也可以根據(jù)MTC設(shè)備的信號強度進行分組����,還可以根據(jù)MTC設(shè)備的制造上進行分組,還可以隨機分組���,本發(fā)明對如何分組的具體方式不做任何限定��。再例如�����,基站可以從其他網(wǎng)元獲取MTC設(shè)備所在組的組ID�����。其他網(wǎng)元可以是MME��,也可以是HSS (Home Subscriber System,歸屬用戶系統(tǒng))���,還可以是核心網(wǎng)的其他設(shè)備或者分組數(shù)據(jù)網(wǎng)的設(shè)備。該其他網(wǎng)元可以對MTC設(shè)備進行分組�����,從而基站可以從該其他網(wǎng)元處得到MTC設(shè)備所屬的組ID���。又例如�,基站可以從MTC設(shè)備接收組ID����,從而確定MTC設(shè)備所屬分組。又例如,基站可以從MTC設(shè)備接收MTC設(shè)備所屬業(yè)務(wù)的業(yè)務(wù)ID��,根據(jù)業(yè)務(wù)ID對MTC設(shè)備進行分組��,從而確定MTC設(shè)備所屬組的組ID�����。根據(jù)業(yè)務(wù)ID進行分組從而確定組ID的方式可以與現(xiàn)有技術(shù)相同��,例如根據(jù)支持相同業(yè)務(wù)的MTC設(shè)備所處的位置進行分組等����,在此不再贅述。根據(jù)本發(fā)明的一個實施例�,基站可以從MME接收組ID和組通信根密鑰,組通信根密鑰由MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS根據(jù)隨機數(shù)和與組ID對應(yīng)的集合密鑰生成�,或者組通信根密鑰由HSS在收到MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的所述組ID時,根據(jù)隨機數(shù)�����、組ID和該一個MTC設(shè)備的專屬密鑰生成�����,并由HSS將組通信根密鑰發(fā)送給MME。根據(jù)本發(fā)明的另一實施例�,基站可以從MME接收業(yè)務(wù)ID和與業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰,業(yè)務(wù)ID為MTC設(shè)備發(fā)送給MME的����、MTC設(shè)備所屬業(yè)務(wù)的業(yè)務(wù)ID�,業(yè)務(wù)根密鑰由MTC設(shè)備所屬的HSS根據(jù)隨機數(shù)和與業(yè)務(wù)ID對應(yīng)的集合密鑰生成,或者業(yè)務(wù)根密鑰由HSS在收到MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的業(yè)務(wù)ID時���,根據(jù)隨機數(shù)�����、業(yè)務(wù)ID和該一個MTC設(shè)備的專屬密鑰生成���,并由HSS將業(yè)務(wù)根密鑰發(fā)送給所述MME,并且基站根據(jù)業(yè)務(wù)ID確定MTC設(shè)備所在組的組ID���,根據(jù)業(yè)務(wù)根密鑰生成組ID對應(yīng)的組通信根密鑰�。這樣��,基站可以在不同的實施例中通過多種方式靈活獲取組ID和組通信根密鑰�����。由于在生成組密鑰的過程中涉及的網(wǎng)元個數(shù)的增加和諸如集合密鑰之類的安全信息的增力口,可以進一步提高組密鑰生成的安全性�����,并避免基站生成的不同組的組密鑰發(fā)生重合����。相應(yīng)例子可以參考下文第一例子至第四例子的描述。在S120中����,基站可以通過多種方式獲取組ID對應(yīng)的組通信根密鑰。例如�����,基站可以從組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備�����,根據(jù)所選擇的MTC設(shè)備的密鑰確定組ID對應(yīng)的組通信根密鑰����。由于一個組ID至少對應(yīng)一個MTC設(shè)備���,所以基站可以從其中選擇一個MTC設(shè)備,將其密鑰作為組通信根密鑰�,或者根據(jù)其密鑰生成組通信根密鑰。所選擇的MTC設(shè)備的密鑰可以是該MTC設(shè)備對應(yīng)的KeNB���。再例如�����,基站可以從MME接收組ID對應(yīng)的組通信根密鑰,其中由MME將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)���,從組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備�����,根據(jù)所選擇的MTC設(shè)備的密鑰確定組ID對應(yīng)的組通信根密鑰�,或者由MME根據(jù)MME生成的隨機數(shù)確定組ID對應(yīng)的組通信根密鑰��。MME將生成的組通信根密鑰發(fā)送給基站����,以使基站獲取組ID對應(yīng)的組通信根密鑰��。又例如�����,基站可以生成一個隨機數(shù)�,根據(jù)該隨機數(shù)確定組ID對應(yīng)的組通信根密鑰����。基站可以直接將生成的隨機數(shù)作為組ID對應(yīng)的組通信根密鑰�����,也可以根據(jù)隨機數(shù)計算而推導(dǎo)出組ID對應(yīng)的組通信根密鑰���。又例如���,當(dāng)基站從MME接收集合ID和第一參數(shù)之后,基站可以根據(jù)第一參數(shù)來生成組ID對應(yīng)的組通信根密鑰����。根據(jù)本發(fā)明的實施例,在S130生成組密鑰之后,基站可以將組通信根密鑰�����、組密鑰與組ID相綁定并存儲�。這樣,當(dāng)確定其它MTC設(shè)備屬于組ID對應(yīng)的組時��,可以根據(jù)組ID獲取相綁定的組密鑰�����;向其它MTC設(shè)備發(fā)送用其他MTC設(shè)備的接入層密鑰加密的組密鑰����,以使其他MTC設(shè)備根據(jù)其接入層密鑰解密得到組密鑰����。當(dāng)基站確定需要為另一個屬于該組ID內(nèi)的MTC設(shè)備生成組密鑰時,無需再確定組通信根密鑰并根據(jù)組通信根密鑰確定組密鑰��,而直接根據(jù)與組ID綁定的組密鑰�,基站就可以為該MTC設(shè)備分配組密鑰,從而可以減小基站處理復(fù)雜度��,提高組密鑰生成效率���,并保證同一組ID內(nèi)各MTC設(shè)備使用的組密鑰相同�。接下來,結(jié)合具體的例子來描述方法100的操作�����。在本發(fā)明的包括第一例子至第六例子的如下實施例中�����,帶有“Group”字樣的參數(shù)表示與一個組相關(guān)的參數(shù),一個組的參數(shù)“XXX_Group”可以具有與一個MTC設(shè)備的參數(shù)“XXX”類似的用法和作用��。例如��,AV_Group可以具有與認證向量(Authentication Vector,AV)相似的生成方式和表現(xiàn)形式,不同之處在于AV_Group是針對一個組的��,而不是針對一個特定MTC設(shè)備的�����。第一例子在第一例子中��,集合ID是MTC設(shè)備所在組的組ID����,這意味著提前將MTC設(shè)備進行了分組���,而確定了 MTC設(shè)備所在的組。組ID可以預(yù)置在MTC設(shè)備中�����;也可以設(shè)置在USIM(Universal Subscriber Identity Module,全球用戶識別模塊)中�����,當(dāng)將 USIM 插入MTC設(shè)備時�,USIM成為MTC設(shè)備的一部分,從而確定MTC設(shè)備所在的組����。第一參數(shù)是組通信根密鑰,即如下描述中的KeNB_Group�,它等于HSS生成的Kasme_Group��。KeNB_Group具有與KeNB類似的功能�����,區(qū)別在于KeNB_Group是針對一個組的,而KeNB是針對一個MTC設(shè)備的通過KeNB_Group可以衍生出其它的密鑰����。在圖2所示的第一例子中,插入MTC設(shè)備的US頂中保存有MTC設(shè)備所屬組的組信息Group ID (組ID)以及與該Group ID對應(yīng)的集合密鑰K_Group����。在MTC設(shè)備所屬的HSS中同樣保存有與Group ID對應(yīng)的K_Group。在S210中�,MTC設(shè)備向MME發(fā)送附著請求,請求中包括MTC設(shè)備的MSI和MTC設(shè)備所屬組的Group ID0當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后��,MME確定是否保存有與Group ID綁定的 AV_Group ο當(dāng)MME確定還沒有保存有與Group ID相綁定的AV_Group時�,在S260之前執(zhí)行如下操作:在S220中,MME向HSS發(fā)送認證數(shù)據(jù)請求���,在認證數(shù)據(jù)請求中包括MSI和GroupID ���;在S230中,HSS根據(jù)MSI找到對應(yīng)的K���,根據(jù)K生成AV�,并且HSS根據(jù)Group ID找到對應(yīng)的K_Group,并根據(jù)K_Group生成AV_Group ��;在S240中,HSS將AV和AV_Group通過認證數(shù)據(jù)響應(yīng)發(fā)送給MME ����;在S250 中,MME 將 Group ID 和 AV_Group 綁定并存儲����。根據(jù)K_Group生成AV_Group的方式如圖3所示,這里圖3只是一個例子而并不對根據(jù)K_Group生成AV_Group的方式進行限制。在圖3中��,HSS參考生成AV的方式來生成針對Group ID的AV_Group�����。其中涉及的置位符AMF���、函數(shù)Fl至F5與現(xiàn)有技術(shù)的含義相同����,不同之處在于其他輸入?yún)?shù)以及產(chǎn)生的參數(shù)都是針對一個組的而不是針對一個MTC設(shè)備的���。HSS生成針對Group ID的序列號SQN_Group�����,并生成針對Group ID的隨機數(shù)RAND_Group ο 將 K_Group�����、SQN_Group���、RAND_Group 和 AMF 如圖所不輸入各函數(shù)中,生成 MAC_Group���、XRES_Group����、CK_Group��、IK_Group 和 AK_Group����。接著,可以利用如下方式生成 AUTN_Group和 Kasme_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC—Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)其中�����,KDF是密鑰生成函數(shù)����,可以具有與現(xiàn)有技術(shù)相同的計算方式���,與下文中的KDF函數(shù)一樣,對其形式不做限定��;@代表異或計算���;I I代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量���。生成AUTN_Group 和 Kasme_Group 之后,可以得到 AV_Group:AV_Group = RAND_Group||XRES_Group||Kasme_Group||AUTN_Group返回圖2�,當(dāng)MME確定保存有與Group ID相綁定的AV_Group時,在S260之前執(zhí)行如下操作:在S220中�,MME向HSS發(fā)送認證數(shù)據(jù)請求,在該請求中包括MSI ��;在S230中���,HSS根據(jù)MSI找到對應(yīng)的K����,根據(jù)K生成AV ��;
在S240中,HSS將AV發(fā)送給MME���。此時,不需要執(zhí)行S250���。繼續(xù)圖2中的流程��。在S260中����,MME和MTC設(shè)備利用AV和AV_Group進行認證���。認證過程如圖4所示���。在S410中,MME向MTC設(shè)備發(fā)送用戶認證請求�,在該請求中除了如現(xiàn)有技術(shù)那樣攜帶RAND、AUTH�、KSIasme來對MTC設(shè)備本身進行認證之外,還需要采用本發(fā)明實施例的方式攜帶 RAND Group>AUTH Group>KSIasmr Group 來對 MTC 設(shè)備屬于 Group ID 進行組認證���。RAND_Group����、AUTH_Group、KSIASME_Group的含義和用法可以與狀冊���、么譏!1�����、1 14,相同�,除了 AND_Group�����、AUTH_Group��、KSIASME_Group 是針對一個組而言的參數(shù)�����,而 RAND���、AUTH���、KSIasme 是針對一個MTC設(shè)備而言的���。在S420中,當(dāng)認證成功時��,MTC設(shè)備向MME返回用戶認證響應(yīng)�,在該響應(yīng)中除了如現(xiàn)有技術(shù)那些攜帶RES來對設(shè)備認證進行響應(yīng)之外�,還需要采用本發(fā)明實施例的方式攜帶RES_Group來對組認證進行響應(yīng)。另外����,如果認證失敗,則MTC設(shè)備需要如現(xiàn)有技術(shù)那樣向MME發(fā)送用戶認證拒絕消息���,在該消息中攜帶用于表示認證失敗原因的CAUSE參數(shù)�。返回圖2并繼續(xù)圖2的流程�����。在S270中��,如果認證成功��,則MME和MTC設(shè)備如現(xiàn)有技術(shù)那樣計算出KeNB,并且MME可以根據(jù)AV_Group計算出KeNB_Group����,在該實施例中將Kasme_Group作為KeNB_Group。KeNB_Group是接入層的組通信根密鑰�����,通過KeNB_Group可以生成其他的接入層組密鑰���。雖然在圖2所示的第一例子中���,MTC設(shè)備在S270處與MME并發(fā)生成KeNB,但是MTC設(shè)備也可以在S260之后���、S292之前的任意時刻生成KeNB��。在S280 中����,MME 將 Group ID�、KeNB 和 KeNB_Group 發(fā)送給 eNB (evolved Node B,演進型基站)���。在S290中�,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法。如果eNB上沒有建立有與Group ID相關(guān)的綁定�,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法,可以包括組完整性算法和組加密算法�����。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術(shù)中針對MTC設(shè)備選擇完整性算法和加密算法相似��,組完整性算法和組加密算法也可以分別與現(xiàn)有技術(shù)中的完整性算法和加密算法相似���,不同之處在于組完整性算法和組加密算法是針對一個組的算法,而完整性算法和加密算法是針對一個MTC設(shè)備的算法�。當(dāng)eNB第一次為一個組ID生成對應(yīng)的組密鑰而建立組ID的綁定關(guān)系時,eNB將密鑰更新次數(shù)Key_C0unt置為0��,該參數(shù)可以用于對組密鑰進行推衍更新����。當(dāng)TOCP計數(shù)器(PDCP Count)值達到最大值時,可以將Key Count值加I����。PDCP Count值達到最大值,可以是指F1DCP Count中的超巾貞號(Hyper Frame Number, HFN)部分達到最大值,也就是每當(dāng)HFN達到閾值時,Key Count加I�。每當(dāng)Key Count值加I時,eNB都可以對組密鑰進行更新����,從而避免組密鑰使用的時間過長而降低安全性。之后����,eNB可以建立Group ID與組完整性算法、組加密算法��、Key Count的綁定關(guān)系���,并計算MTC設(shè)備的接入層密鑰和MTC設(shè)備所屬組的接入層組密鑰��,再將接入層組密鑰和KeNB_Group也與Group ID綁定起來���。MTC設(shè)備的接入層密鑰的計算方式與現(xiàn)有技術(shù)相同,而計算接入層組密鑰可以采用如下所述的方式���。在本文中����,接入層組密鑰可以被簡稱為組密鑰。接入層組密鑰可以包括組加密密鑰 Key_Groupenc 和組完整性密鑰 Key_Groupint����。Key_Groupenc = KDF(KeNB_Group,Group-enc-alg、Alg-1D),Key_Groupint = KDF(KeNB_Group, Group-1nt-alg,Alg-1D)����。其中,KDF是密鑰生成函數(shù)�,Group-enc-alg代表當(dāng)前計算采用的是組加密算法、Alg-1D是算法標識�,Group-1nt-alg代表當(dāng)前計算采用的是組完整性算法。如果eNB上已經(jīng)建立有Group ID相關(guān)的綁定�����,則eNB不需要執(zhí)行選擇組算法和計算組密鑰的步驟���。這里,雖然在第一例子中由eNB根據(jù)MTC設(shè)備的組安全能力選擇組完整性算法和組加密算法�,但是在其他實施例中,組完整性算法和組加密算法也可以被預(yù)先配置在eNB中���,這樣不需要eNB選擇相應(yīng)算法��。在S291中�����,eNB將利用MTC設(shè)備的接入層密鑰加密和完整性保護之后的包括組完整性算法和組加密算法的組算法以及包括組加密密鑰和組完整性密鑰的組密鑰發(fā)送給MTC設(shè)備����,以使MTC設(shè)備根據(jù)組算法和組密鑰進行組通信。在S292中���,MTC設(shè)備利用自己的接入層密鑰��,獲取組算法和組密鑰����。這樣����,MTC設(shè)備可以利用一個組共用的組算法和組密鑰正常進行后續(xù)的組通信。如果Key Count不等于O,則eNB可以根據(jù)Key Count來對組密鑰進行更新��。更新組密鑰的方式可以是首先根據(jù)Key Count推衍新的KeNB_Group��,然后利用推衍后的KeNB_Group計算出新的組密鑰���。例如,可以利用如下表達式來推衍新的KeNB_Group����。用KeNB_Group*表示推衍后的 KeNB_Group,并用推衍出的 KeNB_Group* 取代 KeNB_Group,作為當(dāng)前的 KeNB_Group:KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)其中,KDF為密鑰生成函數(shù)�����,Cell ID為小區(qū)標識���。Key Count為幾,就推衍幾次�。還可以利用如下表達式來直接推衍KeNB_Group*,將KeNB_Group*作為KeNB_Group:
KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID, Key Count)當(dāng)推衍出KeNB_Group之后��,eNB可以利用推衍后的KeNB_Group重新計算Key_Groupenc和Key_Groupint���。接著,利用MTC設(shè)備的接入層密鑰對重新計算出的組密鑰進行加密��,并發(fā)送給MTC設(shè)備�,以使MTC設(shè)備更新組密鑰���,利用新的組密鑰進行組通信。在第一例子中���,一組MTC設(shè)備在一段時間內(nèi)都使用一個AV_Group�,可以允許AV_Group重用,SQN_Group的使用規(guī)則可以是MTC設(shè)備從網(wǎng)絡(luò)側(cè)收到AUTH_Group中的SQN_Group大于或等于設(shè)備側(cè)保存的SQN_Group��。如果SQN_Group出現(xiàn)不同步的情況,可以通過重同步過程來進行解決��。此外��,一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中�����、但經(jīng)過一段時間之后退出組通信����,那么當(dāng)該MTC設(shè)備需要從空閑(IDLE)狀態(tài)或者去附著狀態(tài)轉(zhuǎn)換為活動(ACTIVE)狀態(tài)而重新加入組通信時,eNB向MTC設(shè)備發(fā)送用該MTC設(shè)備的接入層密鑰加密的組密鑰�,以使該MTC設(shè)備重新獲取組密鑰來進行組通信。第二例子在第二例子中�,集合ID是MTC設(shè)備所在組的組ID。第一參數(shù)是組通信根密鑰����,即如下描述中的KeNB_Group,它等于HSS生成的Group Key。在圖5所示的第二例子中����,在MTC設(shè)備的USM中保存有MTC設(shè)備所屬組的GroupID以及與該Group ID對應(yīng)的密鑰K_Group�����。當(dāng)然,本領(lǐng)域技術(shù)人員也可以想到�,Group ID以及與Group ID對應(yīng)的K_Group也可以直接保存在MTC設(shè)備中�����。另外�,在MTC設(shè)備所屬的HSS中同樣保存有GroupID和K_Group的對應(yīng)關(guān)系。在S510中���,MTC設(shè)備向MME發(fā)送附著請求��,請求中包括MTC設(shè)備的MSI和GroupID����。當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后��,MME確定是否保存有與Group ID綁定的 Group Key����。當(dāng)MME確定還沒有保存有與Group ID相綁定的Group Key時,在S560之前執(zhí)行如下操作:在S520中��,MME向HSS發(fā)送認證數(shù)據(jù)請求消息����,在該消息中包含MSI和GroupID。當(dāng)在后續(xù)的認證中需要利用S530中生成的AV_GroUp時����,則在認證數(shù)據(jù)請求中還需要包含指示符Group Key Indicator,用于表示MME還沒有建立Group ID的相關(guān)綁定信息,需要HSS生成Group Key,當(dāng)然,如果后續(xù)認證利用現(xiàn)有技術(shù)中的AV,也可以攜帶Group KeyIndicator來表示沒有建立有Group ID的相關(guān)綁定信息;在S530中���,HSS根據(jù)MSI找到對應(yīng)的K����,根據(jù)K生成AV�,以使MTC設(shè)備和網(wǎng)絡(luò)側(cè)利用AV進行認證。其中�,與IMSI對應(yīng)的K可以被稱為MTC設(shè)備的專屬密鑰,任一 K的取值都是唯一的�,只由一個MTC設(shè)備持有。當(dāng)將USM插入MTC設(shè)備時���,由于在USM中保存有K�����,故MTC設(shè)備被分配了唯一的K���。HSS也可以根據(jù)MSI找到對應(yīng)的K��,根據(jù)Group ID找到對應(yīng)的K_Group��,結(jié)合K和K_Group生成AV_Group��,以使MTC設(shè)備和網(wǎng)絡(luò)側(cè)利用AV_Group進行認證��。此外�,HSS根據(jù)Group ID找到對應(yīng)的K_Group,根據(jù)K_Group和隨機產(chǎn)生的隨機數(shù)Nonce生成Group Key ���;在S540中��,當(dāng)利用AV進行認證時�����,HSS將AV和Group Key通過認證數(shù)據(jù)響應(yīng)消息發(fā)送給MME�����。當(dāng)利用AV_Group進行認證時,HSS將AV_Group和Group Key通過認證數(shù)據(jù)響應(yīng)消息發(fā)送給MME �����;在S550中�,MME將Group ID與Group Key進行綁定并存儲��。根據(jù)K和K_Group生成AV_Group的方式可以如圖6和圖7所示����。這里圖6和圖7只是兩個例子而并不對生成AV_Group的方式進行限制。在圖6中���,HSS生成SQN并生成RAND�,并將SQN和RAND作為針對一個組的序列號和隨機數(shù)����。HSS將SQN、RAND, AMF�����、K按照如圖所示的方式輸入與現(xiàn)有技術(shù)相同的Fl至F5函數(shù),得到 MAC��、XRES�����、CK��、IK�����、AK�����。接著 HSS 將 K_Group 和 MAC�����、SRES�、CK、IK����、AK 按照如圖所示的方式輸入其它函數(shù)F�����,這些函數(shù)F可以相同也可以不同�,具體形式在此不作限制���。通過這些函數(shù) F 可以分別得到 MAC_Group����、XRES_Group��、CK_Group����、IK_Group 和 AK_Group����。在圖7中,HSS生成SQN并生成RAND�,并將SQN和RAND作為針對一個組的序列號和隨機數(shù)。HSS將SQN���、RAND, AMF���、K和K_Group按照如圖所示的方式輸入與現(xiàn)有技術(shù)相同的 Fl 至 F5 函數(shù)����,分別得到 MAC_Group�、XRES_Group、CK_Group�、IK_Group、AK_Group�。在圖6和圖7中,都可以采用如下方式得到AV_Group:AUTN Group = SQN 十 AK—Group || AMF || MAC—Group
Kasme—Group =KDF( SQN 十 AK—Group, SN ID, IK—Group, CK—Group)AV_Group = RAND| |XRES_Group| |Kasme_Group| |AUTN_Group其中��,KDF是密鑰生成函數(shù)����,可以具有與現(xiàn)有技術(shù)相同的計算方式;十代表異或計算�;11代表將前后兩個物理量并在一起而形成連續(xù)的一個物理量。當(dāng)MME確定保存有與Group ID相綁定的Group Key時���,在S560之前執(zhí)行如下操作:在S520中�����,MME向HSS發(fā)送認證數(shù)據(jù)請求消息�,當(dāng)在后續(xù)只需要利用AV進行認證時,在認證數(shù)據(jù)請求消息中包含MSI�����,當(dāng)在后續(xù)需要利用AV_GroUp進行認證時�,在認證數(shù)據(jù)請求消息中包含頂SI和Group ID ;在S530中����,當(dāng)利用AV進行認證時,HSS根據(jù)MSI找到對應(yīng)的K��,根據(jù)K生成AV���。當(dāng)利用AV_Group進行認證時,HSS根據(jù)MSI找到對應(yīng)的K���,根據(jù)Group ID找到對應(yīng)的K_Group,結(jié)合 K 和 K_Group 生成 AV_Group �����;在S540中�,HSS將AV或AV_Group通過認證數(shù)據(jù)響應(yīng)發(fā)送給MME�����。此時,不需要執(zhí)行 S550����。繼續(xù)圖5中的流程。在S560中�,MME和MTC設(shè)備利用AV或者AV_Group進行認證。當(dāng)利用AV認證時,采用與現(xiàn)有技術(shù)相同的方式���。當(dāng)利用AV_Group認證時,認證過程如圖8所示�。在S810中���,MME向MTC設(shè)備發(fā)送用戶認證請求,在該請求中攜帶AV_Group中的RAND_Group���、AUTN_Group 以及現(xiàn)有技術(shù)中的 KSIAsME。在S820中�,當(dāng)認證成功時,MTC設(shè)備向MME返回用戶認證響應(yīng)�,在該響應(yīng)中攜帶RES_Group。另外���,如果認證失敗��,則MTC設(shè)備向MME發(fā)送用戶認證拒絕消息����,并在該消息中攜帶CAUSE參數(shù)。返回圖5并繼續(xù)圖5的流程�����。在S570中����,如果認證成功,則MME和MTC設(shè)備如現(xiàn)有技術(shù)那樣計算出KeNB����,MME將Group Key作為KeNB_Group。雖然在圖5所示的第二例子中�����,MTC設(shè)備在S570處與MME并發(fā)生成KeNB��,但是MTC設(shè)備也可以在S560之后��、S592之前的任意時刻生成KeNB����。在S580 中,MME 將 Group ID��、KeNB 和 KeNB_Group 發(fā)送給 eNB�。在S590中,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法���。如果eNB上沒有建立有與Group ID相關(guān)的綁定����,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法��,可以包括組完整性算法和組加密算法�,并計算出接入層密鑰以及組密鑰Key_Groupenc 和 Key_Groupint。此外��,eNB 還將組算法�����、Key Count >KeNB_Group >KeNB_Groupenc和KeNB_Groupint與Group ID相綁定��。S590的相關(guān)內(nèi)容可以參考S290中的描述,為了避免重復(fù)���,在此不再贅述�����。在591中����,eNB將利用MTC設(shè)備的接入層密鑰加密和完整性保護之后的包括組完整性算法和組加密算法的組算法以及包括組加密密鑰和組完整性密鑰的組密鑰發(fā)送給MTC設(shè)備�����,以使MTC設(shè)備根據(jù)組算法和組密鑰進行組通信���。在S592中���,MTC設(shè)備利用自己的接入層密鑰,獲取組算法和組密鑰�����。這樣��,MTC設(shè)備可以利用一個組共用的組算法和組密鑰正常進行后續(xù)的組通信����。此外,一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中���、但經(jīng)過一段時間之后退出組通信��,那么當(dāng)該MTC設(shè)備需要從IDLE狀態(tài)或去附著狀態(tài)轉(zhuǎn)換為ACTIVE狀態(tài)而重新加入組通信時�,eNB向MTC設(shè)備發(fā)送用該MTC設(shè)備的接入層密鑰加密的組密鑰��,以使該MTC設(shè)備重新獲取組密鑰來進行組通信���。第二例子在第三例子中�����,集合ID是MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID (Service ID)��,這意味著提前根據(jù)MTC設(shè)備的功能或者所屬業(yè)務(wù)將MTC設(shè)備分成了不同的業(yè)務(wù)集合����,由業(yè)務(wù)ID進行區(qū)分��。但是業(yè)務(wù)集合并不等于共用相同組密鑰的組,共用相同組密鑰的組還需要由基站根據(jù)業(yè)務(wù)ID進行分組來確定����。業(yè)務(wù)ID可以預(yù)置在MTC設(shè)備中;也可以設(shè)置在USM中�����,當(dāng)將USIM插入MTC設(shè)備時��,USIM成為MTC設(shè)備的一部分���,從而確定MTC設(shè)備所支持的業(yè)務(wù)��。第一參數(shù)是與業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰��,即如下描述中的KeNB_Service��,它等于HSS 生成的 Service Key���。通過 KeNB_Service,可以由基站確定 KeNB_Group。在圖9所示的第三例子中����,在MTC設(shè)備的US頂中保存有MTC設(shè)備所屬業(yè)務(wù)的Service ID 以及與該 Service ID對應(yīng)的密鑰 K_Service��。當(dāng)然,Service ID和與該 ServiceID對應(yīng)的密鑰K_Service也可以保存在MTC設(shè)備中����。另外,在MTC設(shè)備所屬的HSS中同樣保存有Service ID和K_Service的對應(yīng)關(guān)系���。在S910中����,MTC設(shè)備向MME發(fā)送附著請求���,在該請求中包括MSI和Service ID��。當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后���,MME確定是否保存有與Service ID綁定的 Service Key。當(dāng)MME確定還沒有保存有與Service ID相綁定的Service Key時�,在S960之前執(zhí)行如下操作:在S920中,MME向HSS發(fā)送認證數(shù)據(jù)請求消息���,在該消息中攜帶MSI和ServiceID ����; 在S930中,HSS根據(jù)MSI找到對應(yīng)的K���,并根據(jù)K生成AV���,以使MME利用AV與MTC設(shè)備進行認證。HSS根據(jù)Service ID找到K_Service,并隨機生成隨機數(shù)Nonce,接著根據(jù)K_Service 和 Nonce 生成 Service key ��;在S940中��,HSS將AV和Service key通過認證數(shù)據(jù)響應(yīng)消息發(fā)送給MME �����;在S950 中�,MME 將 Service ID 與 Service Key 進行綁定并存儲。當(dāng)MME確定保存有與Service ID相綁定的Service Key時���,在S960之前執(zhí)行如下操作:在S920中���,MME向HSS發(fā)送認證數(shù)據(jù)請求消息,在該消息中攜帶MSI �����;在S930中,HSS根據(jù)MSI找到對應(yīng)的K����,并根據(jù)K生成AV ����;在S940中,HSS將AV通過認證數(shù)據(jù)響應(yīng)消息發(fā)送給MME�。此時,不需要執(zhí)行S950�。繼續(xù)圖9中的流程。在S960中�����,MME和MTC設(shè)備利用AV進行認證����。利用AV的認證過程與現(xiàn)有技術(shù)相同,在此不再贅述�。在S970中,如果認證成功����,則MME和MTC設(shè)備計算出KeNB��,并且MME將ServiceKey作為KeNB_Service��。雖然在圖9所示的第三例子中���,MTC設(shè)備在S970處與MME并發(fā)生成KeNB,但是MTC設(shè)備也可以在S960之后��、S992之前的任意時刻生成KeNB��。在S980 中�,MME 將 Service ID、KeNB 和 KeNB_Service 發(fā)送給 eNB����。在S990中,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法�����。如果eNB上沒有建立有與Service ID相關(guān)的綁定關(guān)系���,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法�,可以包括組完整性算法和組加密算法,并計算接入層密鑰以及接入層組密鑰��。選擇組完整性算法和組加密算法的方式可以與現(xiàn)有技術(shù)中針對MTC設(shè)備選擇完整性算法和加密算法相似���,組完整性算法和組加密算法也可以分別與現(xiàn)有技術(shù)中的完整性算法和加密算法相似�����,不同之處在于組完整性算法和組加密算法是針對一個組的算法,而完整性算法和加密算法是針對一個MTC設(shè)備的算法�����。在計算包括Key_Groupenc和Key_Groupint的接入層組密鑰的過程中�����,eNB首先需要根據(jù)Service ID對屬于同一業(yè)務(wù)的MTC設(shè)備進行分組����,然后根據(jù)分組確定一個組的KeNB_Group,再根據(jù)KeNB_Group和組算法生成組密鑰。對屬于同一業(yè)務(wù)的MTC設(shè)備進行分組的方式多種多樣���,例如隨機分組�����、根據(jù)MTC設(shè)備的信號強度分組等����。可以采用如下方式計算KeNB_Group:KeNB_Group = KDF(KeNB_Service,Cell ID, Group ID)其中���,KDF是密鑰生成函數(shù)��,Cell ID是eNB服務(wù)小區(qū)的編號���,Group ID是經(jīng)過分組得到的MTC設(shè)備所屬組的組ID。計算出KeNB_Group之后��,可以計算組加密密鑰Key_Groupenc和組完整性密鑰Key_Groupint:Key_Groupenc = KDF (KeNB_Group, Group-enc-alg�、Alg-1D)Key_Groupint = KDF (KeNB_Group, Group-1nt-alg,Alg-1D)其中���,KDF是密鑰生成函數(shù)����,Group-enc-alg代表當(dāng)前計算采用的是組加密算法、Alg-1D是算法標識�����,Group-1nt-alg代表當(dāng)如計算米用的是組完整性算法��。計算出組密鑰之后�,eNB還將組算法、Key Count��、KeNB_Group�、KeNB_Groupenc 和KeNB_Groupint與Group ID相綁定。另外�����,如第一例子所述�����,當(dāng)eNB第一次為一個組ID生成對應(yīng)的組密鑰而建立組ID的綁定關(guān)系時��,eNB將Key Count置為0��,當(dāng)TOCP計數(shù)器值達到最大值時���,將KeyCount值加I,通過Key Count值對組密鑰進行推衍更新��。在其它實施例中�����,組完整性算法和組加密算法也可以被預(yù)先配置在eNB和MTC設(shè)備上��,此時無需在S990中選擇組算法���,也無需協(xié)商組算法。在S991中��,eNB將利用MTC設(shè)備的接入層密鑰加密和完整性保護之后的包括組完整性算法和組加密算法的組算法以及包括組加密密鑰和組完整性密鑰的組密鑰發(fā)送給MTC設(shè)備����,以使MTC設(shè)備根據(jù)組算法和組密鑰進行組通信。在S992中���,MTC設(shè)備利用自己的接入層密鑰�����,獲取組算法和組密鑰���。這樣�����,MTC設(shè)備可以利用一個組共用的組算法和組密鑰正常進行后續(xù)的組通信�。如果Key Count值不等于O,則eNB可以根據(jù)Key Count對組密鑰進行更新,更新組密鑰的方式可以首先根據(jù)Key Count推衍新的KeNB_Group,再利用推衍后的KeNB_Group計算出新的組密鑰��。推衍方式可以參考S292中的相關(guān)內(nèi)容�。此外,當(dāng)一個組內(nèi)的一個MTC設(shè)備如果原本處于組通信中����、但經(jīng)過一段時間之后退出組通信,那么當(dāng)該MTC設(shè)備需要從IDLE狀態(tài)或去附著狀態(tài)轉(zhuǎn)換為ACTIVE狀態(tài)而重新加入組通信時����,eNB向MTC設(shè)備發(fā)送用該MTC設(shè)備的接入層密鑰加密的組密鑰,以使該MTC設(shè)備重新獲取組密鑰來進行組通信�����。第四例子在第四例子中����,集合ID是MTC設(shè)備支持業(yè)務(wù)的業(yè)務(wù)ID。業(yè)務(wù)ID可以預(yù)置在MTC設(shè)備中����;也可以設(shè)置在US頂中,當(dāng)將US頂插入MTC設(shè)備時����,US頂成為MTC設(shè)備的一部分,從而確定MTC設(shè)備所支持的業(yè)務(wù)���。第一參數(shù)是與業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰�,即如下描述中的KeNB_Service,它等于HSS生成的Service Key���。通過KeNB_Service,可以由基站確定KeNB—Group 0在圖10所示的第四例子中�,在MTC設(shè)備的US頂中保存有MTC設(shè)備所屬業(yè)務(wù)的Service ID以及與該Service ID對應(yīng)的密鑰K_Service�����。當(dāng)然,本領(lǐng)域技術(shù)人員也可以想至Ij, Service ID以及與Service ID對應(yīng)的K_Service也可以直接保存在MTC設(shè)備中�。另夕卜,在MTC設(shè)備所屬的HSS中同樣保存有Service ID和K_Service的對應(yīng)關(guān)系�����。在S1010中,MTC設(shè)備向網(wǎng)絡(luò)發(fā)送附著請求�,在該請求中包括頂SI和Service ID。當(dāng)MME收到MTC設(shè)備發(fā)送的附著請求之后,MME確定是否保存有與Service ID綁定的 Service Key。當(dāng)MME確定還沒有保存有與Service ID相綁定的Service Key時����,在S1060之前執(zhí)行如下操作:在S1020中��,MME向HSS發(fā)送認證數(shù)據(jù)請求消息��,在該消息中攜帶MSI和ServiceID ��;在S1030中�����,HSS根據(jù)MSI找到對應(yīng)的K�����,并根據(jù)K生成AV�����,以使MME利用AV與MTC設(shè)備進行認證��。并且���,HSS根據(jù)Service ID計算Service Key,其中Service Key =f (K, Service ID, Nonce), Nonce是HSS生成的隨機數(shù),f是生成Service Key所需的函數(shù)���,本發(fā)明對函數(shù)的具體形式不做任何限定���。此外,在其他實施例中�����,Service Key也可能由HSS或 MME 根據(jù) Kasme 計算,例如�,Service Key = f (Kasme, Service ID, Nonce);在S1040 中����,HSS 將計算的 AV 和 Service Key 發(fā)送給 MME ;在S1050中����,MME建立Service ID和Service Key的綁定關(guān)系并存儲。
當(dāng)MME確定保存有與Service ID相綁定的Service Key時���,在S1060之前執(zhí)行如下操作:在S1020中���,MME向HSS發(fā)送認證數(shù)據(jù)請求消息��,在該消息中攜帶MSI ����;在S1030中����,HSS根據(jù)MSI找到對應(yīng)的K,并根據(jù)K生成AV ����;在S1040中,HSS將AV通過認證數(shù)據(jù)響應(yīng)消息發(fā)送給MME�。此時,不需要執(zhí)行S1050�����。繼續(xù)圖10中的流程��。在S1060中,MME和MTC設(shè)備利用AV進行認證�。利用AV的認證過程與現(xiàn)有技術(shù)相同,在比不再贅述���。在S1070中,如果認證成功�����,則MME和MTC設(shè)備計算出KeNB�����,并且MME將ServiceKey作為KeNB_Service��。雖然在圖10所示的第四例子中��,MTC設(shè)備在S1070處與MME并發(fā)生成KeNB����,但是MTC設(shè)備也可以在S1060之后、S1092之前的任意時刻生成KeNB��。在S1080 中�����,MME 將 Service ID、KeNB 和 KeNB_Service 發(fā)送給 eNB����。在S1090中,eNB根據(jù)MTC設(shè)備的安全能力選擇完整性算法和加密算法���。如果eNB上沒有建立有與Service ID相關(guān)的綁定關(guān)系����,則eNB根據(jù)MTC設(shè)備的組安全能力選擇用于生成組密鑰的組算法���,可以包括組完整性算法和組加密算法�,并計算接入層密鑰以及接入層組密鑰�����。在計算包括Key_Groupenc和Key_Groupint的接入層組密鑰的過程中�,eNB首先需要根據(jù)Service ID對屬于同一業(yè)務(wù)的MTC設(shè)備進行分組,然后根據(jù)分組確定一個組的KeNB_Group,再根據(jù)KeNB_Group和組算法生成組密鑰��。計算出組密鑰之后�����,eNB還將組算法、Key Count�、KeNB_Group、KeNB_Groupenc 和 KeNB_Groupint 與 Group ID 相綁定��。在其它實施例中��,組完整性算法和組加密算法也可以被預(yù)先配置在eNB和MTC設(shè)備上��。S1090的相關(guān)內(nèi)容可以參考上述S990中的描述��。在S1091 中�����,eNB 和 MTC 設(shè)備執(zhí)行 AS SMC (Access Stratum Security ModeCommand�,接入層安全模式命令)���,協(xié)商選擇的完整性算法��、加密算法�����、組完整性算法�、組加密算法。在S1092中����,MTC設(shè)備根據(jù)協(xié)商的算法計算接入層密鑰。在S1093中��,eNB將計算出的Key_Groupenc和Key_Groupint通過接入層安全保護后發(fā)送給MTC設(shè)備,此后MTC設(shè)備和網(wǎng)絡(luò)側(cè)可以利用Key_Groupenc和Key_Groupint進行組通信�����。在第二例子和第四例子中�,也可以在MME中根據(jù)Service ID對MTC設(shè)備進行分組,然后MME將分組得到的Group ID發(fā)送給eNB ;還可以在某個特定的具有M2M功能的實體上對MTC設(shè)備進行分組����,該實體將分組得到的Group ID通知給eNB。這樣���,在S990和S1090中eNB不需要再進行分組,直接根據(jù)收到的Group ID計算KeNB_Group即可�����。在第三例子和第四例子中����,網(wǎng)絡(luò)側(cè)可以通過多種方式得到MTC設(shè)備的業(yè)務(wù)ID,例如:MTC設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送Service ID,如上所述�;HSS保存IMSI和Service ID的綁定關(guān)系,通過MSI可以查找到對應(yīng)的Service ID ;某個特定M2M功能的實體保存MSI和Service ID的綁定關(guān)系��,HSS可以從該實體處獲取對應(yīng)的Service ID ���;HSS通過MSI的特定字段獲知Service ID�。此外���,在第三例子和第四例子中,當(dāng)MTC設(shè)備從IDLE態(tài)轉(zhuǎn)換到ACTIVE態(tài)時��,可以通過圖11所示的流程圖來進行組密鑰同步����。
在SlllO中,MTC設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送服務(wù)請求消息���,在消息中包含Service ID�。在SI 120中���,MME檢查是否存在與該Service ID對應(yīng)的綁定關(guān)系��,如果不存在��,則執(zhí)行圖10中當(dāng)MEE沒有綁定關(guān)系時執(zhí)行的S1020至S1050以及后續(xù)的S1060至S1093 ;如果存在��,則將Service ID發(fā)送給eNB�����。在SI 130 中�,MME 將 Service ID 發(fā)送給 eNB。在SI 140中�,eNB根據(jù)Service ID為MTC設(shè)備分組得到Group ID,并查找該GroupID綁定的組算法和組密鑰。S1150中��,eNB向MTC設(shè)備發(fā)送AS SMC�����,協(xié)商完整性算法����、加密算法、組完整性算法和組加密算法���。在S1160中���,MTC設(shè)備根據(jù)協(xié)商的算法計算接入層密鑰和Key_Groupenc���、Key_Groupint ο第五例子圖12是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第五例子的流程圖。在S1210中����,eNB對MTC設(shè)備進行分組,或者從其他網(wǎng)元獲取MTC設(shè)備的分組情況�����,從而確定MTC設(shè)備所在組的組ID����。在S1220中���,eNB在MTC設(shè)備所在的組內(nèi)隨機選擇一個MTC設(shè)備或者生成一個隨機數(shù)�,根據(jù)所選擇的MTC設(shè)備的密鑰或者隨機數(shù)來推衍組通信根密鑰KeNB_Gr0up�����,其中,KeNB_Group = KDF(KeNB/RAND,Group ID),KDF為密鑰生成函數(shù)�,可以具有與現(xiàn)有技術(shù)相同的定義��,也可以根據(jù)不同的算法靈活定義��,本發(fā)明不對KDF的具體形式進行任何限定����。 eNB還為該組的MTC設(shè)備選擇包含組完整性算法和組加密算法的組算法,根據(jù)KeNB_Group和組算法�����,計算出包括組加密密鑰Key_Gr0upenc和組完整性密鑰Key_Groupint的組密鑰�,并建立組ID和組通信根密鑰、組算法�、組密鑰的綁定關(guān)系。其中�,Key_Groupenc = KDF(KeNB_Group,Group-enc-alg, Alg-1D),Key_Groupint = KDF(KeNB_Group,Group-1nt-alg, Alg-1D) Group-enc-alg代表當(dāng)前計算采用的是組加密算法、Alg-1D是算法標識����,Group-1nt-alg代表當(dāng)如計算米用的是組完整性算法。組完整性算法和組加密算法的功能和用法分別與完整性算法和加密算法相似���,不同之處在于�����,組完整性算法和組加密算法是針對一個組ID的�����,而完整性算法和加密算法是針對一個MTC設(shè)備的����。在S1230中,eNB將利用MTC設(shè)備的接入層密鑰加密和完整性保護之后的包括組完整性算法和組加密算法的組算法以及包括組加密密鑰和組完整性密鑰的組密鑰發(fā)送給MTC設(shè)備���,以使MTC設(shè)備根據(jù)組算法和組密鑰進行組通信�����。在S1240中��,MTC設(shè)備利用自己的接入層密鑰,獲取組算法和組密鑰����。這樣���,MTC設(shè)備可以利用一個組共用的組算法和組密鑰正常進行后續(xù)的組通信。第六例子圖13是利用根據(jù)本發(fā)明實施例提供的方法來生成組密鑰的第六例子的流程圖��。在S1310中�,MME對MTC設(shè)備進行分組,或者從其他網(wǎng)元獲取MTC設(shè)備的分組情況��,從而確定MTC設(shè)備所在組的組ID�。在S1320中,MME在MTC設(shè)備所在的組內(nèi)隨機選擇一個MTC設(shè)備或者生成一個隨機數(shù)����,根據(jù)所選擇的MTC設(shè)備的密鑰Kasme或者隨機數(shù)RAND來推衍組通信根密鑰KeNB_Group, KeNB_Group = KDF(Kasme/RAND, NAS Count, Group ID),其中 NAS Count 是非接入層計數(shù)值。MME也可以直接將隨機數(shù)作為KeNB_Group�����,并建立Group ID和KeNB_Group的綁定關(guān)系��。在S1330 中����,MME 將 Group ID 和 KeNB_Group 發(fā)送給 eNB。在S1340中,eNB為MTC設(shè)備所在的組選擇組加密算法和組完整性算法���,并計算響應(yīng)的 Key_Groupenc 和 Key_Groupint���。其中,Key_Groupenc = KDF (KeNB_Group,Group-enc-alg, Alg-1D), Key_Groupint = KDF (KeNB_Group, Group-1nt-alg, Alg-1D),并建立 Group ID 和組完整性算法����、組加密算法、KeNB_Group��、KeNB_Groupenc��、KeNB_Groupint的綁定關(guān)系���。在S1350中�,eNB將加密和完整性保護之后的組完整性算法��、組加密算法�����、Key_Groupenc和Key_Groupint發(fā)送給MTC設(shè)備����。用來進行加密和完整性保護的算法和密鑰是MTC設(shè)備與網(wǎng)絡(luò)側(cè)共享的接入層算法和密鑰。在S1360中�����,MTC設(shè)備獲取組算法和組密鑰�����,并利用它們進行后續(xù)通信��。此外��,在第五例子和第六例子中��,當(dāng)MTC設(shè)備從IDLE狀態(tài)或去附著狀態(tài)轉(zhuǎn)換為ACTIVE狀態(tài)時����,可以通過如下過程進行接入層密鑰同步:MTC設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送服務(wù)請求消息,網(wǎng)絡(luò)側(cè)例如MME或eNB為MTC設(shè)備分組后��,當(dāng)分組得到的組ID具有綁定的組密鑰時�,將與組ID綁定的組密鑰通過MTC設(shè)備的接入層密鑰發(fā)送給MTC設(shè)備即可,當(dāng)分組得到的組ID沒有相綁定的組密鑰時���,為該組ID生成組密鑰后��,將該組密鑰通過MTC設(shè)備的接入層密鑰發(fā)送給MTC設(shè)備即可�。根據(jù)本發(fā)明的實施例,在MTC設(shè)備和eNB之間進行組通信的過程中�����,eNB可以不需要為每個MTC設(shè)備維護一個rocp Count值���,而是為一組MTC設(shè)備維護一個組rocp Count值��。這樣����,可以減少基站需要維護的rocp Count值�,進一步降低基站的處理復(fù)雜度。根據(jù)本發(fā)明的實施例��,PDCP Count值由HFN和SN兩部分組成��,在MTC設(shè)備和eNB之間進行組通信的過程中����,eNB可以不需要為每個MTC設(shè)備維護一個HFN值����,而是為一組MTC設(shè)備維護一個組HFN值���,其中組HFN由一組MTC設(shè)備共用,SN由MTC設(shè)備發(fā)送的數(shù)據(jù)包中的序列號決定�����。在一組MTC設(shè)備的每個MTC設(shè)備中�,都維護一個HXP Count值,該HXPCount值中的HFN與eNB維護的組HFN和其它MTC設(shè)備的HFN保存同步��,SN由MTC設(shè)備單獨維護����,與自己發(fā)送的數(shù)據(jù)包的序列號有關(guān)。對于上行鏈路����,每個MTC設(shè)備維護一個rocp Count值,組內(nèi)每個MTC設(shè)備維護的HFN與eNB維護的組HFN保持同步��。組內(nèi)MTC設(shè)備利用上行I3DCP Count值對上行數(shù)據(jù)進行加密����,并在上行數(shù)據(jù)分組數(shù)據(jù)單元(Packet Data Unit7PDU)頭部中攜帶SN��。eNB收到公共承載上的數(shù)據(jù)包時�����,利用eNB保存的HFN和數(shù)據(jù)包攜帶的SN組成的Count值解密該數(shù)據(jù)包����。當(dāng)組內(nèi)任一 MTC設(shè)備發(fā)送數(shù)據(jù)包中的SN達到閾值時�����,eNB收到該數(shù)據(jù)包之后�,將組HFN加1,并將該HFN的取值或者HFN需要加I的信息通知給組內(nèi)的各MTC設(shè)備����。HFN可以有多種通知方式。例如�,對于業(yè)務(wù)量小的MTC設(shè)備,可以將HFN設(shè)置為固定值�����。再例如,當(dāng)HFN可變時���,eNB可以通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載����、組ID對應(yīng)組的公共信令承載或者廣播信道���,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送HFN的取值。eNB可以在HFN達到閾值時向組ID對應(yīng)組內(nèi)的所有MTC設(shè)備發(fā)送HFN取值�����,也可以在有MTC設(shè)備加入組ID對應(yīng)組時��,向該MTC設(shè)備發(fā)送HFN取值��。又例如��,當(dāng)HFN可變時����,如果組ID對應(yīng)的HFN達到閾值,那么eNB可以通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載����、組ID對應(yīng)組的公共信令承載或者廣播信道�����,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示HFN加I的指示信息�����。如果廣播HFN需要增加的指示信息����,則對于組HFN的初始值需要MTC設(shè)備與eNB協(xié)商或由eNB發(fā)送給MTC設(shè)備����。另外,eNB還可以直接將HXPCount值放在PDU頭部中發(fā)送給MTC設(shè)備���,這樣MTC設(shè)備根據(jù)收到的H)U�����,可以從頭部中提取中HFN的取值��。對于下行鏈路�����,如果組通信基于eNB和一組MTC設(shè)備之間的公共承載�����,則一般組內(nèi)MTC設(shè)備通過公共承載接收eNB發(fā)送的組信息��,此時組內(nèi)MTC設(shè)備的TOCP Count值變化一致����,故不需要在下行鏈路引入新的HXP Count值機制。當(dāng)eNB保存的組HFN達到閾值時�����,eNB對組密鑰進行更新����。當(dāng)MTC設(shè)備內(nèi)的TOCPCount值中的HFN達到閾值時�����,MTC設(shè)備也對組密鑰進行更新�����。可以通過多種方式使MTC設(shè)備確定HFN達到閾值����。例如eNB可以向MTC設(shè)備通知HFN取值或HFN加I的指示,以使MTC設(shè)備在改變HFN之后確定HFN達到閾值�����,從而更新組密鑰���。再例如eNB可以直接向MTC設(shè)備通知HFN達到閾值的指示�����,以使MTC設(shè)備更新組密鑰�����。在eNB中可以有兩種方式對組密鑰進行更新��。一種是先更新KeNB_Group,然后利用更新后的KeNB_Group計算Key_Groupenc和Key_Groupint���。在該種更新方式中���,KeNB_Group* = KDF(KeNB_Group, Cell ID, Group ID)或者 KeNB_Group* = KDF(KeNB_Group, cell ID, Group ID, Key Count)。另一種是直接對Key_Groupenc和Key_Groupint進行更新��。在該更新方式中�,Key_Groupenc* = KDF(Key_Groupenc, Cell ID, Group ID), Key_Groupint* = KDF(Key—Groupint, Cell ID, Group ID)。在本發(fā)明的實施例中�����,為了進一步保證通信的安全�,網(wǎng)絡(luò)側(cè)可以在滿足一定條件時對組通信根密鑰進行更新。當(dāng)滿足一定條件時�,網(wǎng)絡(luò)側(cè)更新組根密鑰KeNB_Gr0up,并根據(jù)更新后的組通信根密鑰來生成新的組密鑰�����,以通過新的組密鑰進行組通信����。該一定條件可以是當(dāng)網(wǎng)絡(luò)側(cè)維護的定時器達到閾值時���;也可以是eNB處維護的Key Count值達到閾值時��;還可以是MME處維護的針對一個組或一個業(yè)務(wù)的計數(shù)器值達到閾值時�,每當(dāng)MME收到屬于一個組或一個業(yè)務(wù)的MTC設(shè)備發(fā)送的NAS信令時,該計數(shù)器值加I���。接下來��,結(jié)合圖14描述根據(jù)本發(fā)明實施例的生成組密鑰的方法1400�。如圖14所示�,方法1400包括:在S1410中,獲取MTC設(shè)備所在組的組ID �����;在S1420中�,獲取組ID對應(yīng)的組通信根密鑰;在S1430中�,向基站發(fā)送組ID和組通信根密鑰,以使基站根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰并向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的組密鑰�����。例如�����,方法1400可以由MME執(zhí)行。MME通過對MTC設(shè)備進行分組�,進而可以確定MTC設(shè)備所在組的組ID對應(yīng)的組通信根密鑰。MME將組ID和組通信根密鑰發(fā)送給基站�����,以使基站生成組密鑰并加密后發(fā)送給MTC設(shè)備�����,從而完成組密鑰的分配�。由于同一組對應(yīng)一個組通信根密鑰,再由組通信根密鑰推衍出組密鑰����,可以使同一組內(nèi)的MTC設(shè)備利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰�����,從而��,可以降低基站操作的復(fù)雜性����,減少基站維護和管理的密鑰數(shù),提高基站性能����。
在S1410中,MME可以通過多種方式獲取MTC所在組的組ID�。例如,MME可以對MTC設(shè)備進行分組�,從而可以將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)。再例如����,MME可以從其它網(wǎng)元獲取MTC設(shè)備所在組的組ID。又例如��,MME可以接收MTC設(shè)備發(fā)送的組ID��。根據(jù)本發(fā)明的實施例���,當(dāng)MME在S1410中從接收MTC設(shè)備發(fā)送的組ID從而獲取到組ID時�,在S1420中MME可以通過如下方式獲取組ID對應(yīng)的組通信根密鑰:向MTC設(shè)備所屬的HSS發(fā)送組ID���,以使HSS根據(jù)隨機數(shù)和與組ID對應(yīng)的集合密鑰生成第一參數(shù)�;從HSS接收第一參數(shù);根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰�����。其中��,根據(jù)本發(fā)明的實施例�,當(dāng)組ID沒有綁定與組ID對應(yīng)的第一參數(shù)時,MME向HSS發(fā)送組ID��。當(dāng)MME從HSS接收到第一參數(shù)之后����,MME可以將第一參數(shù)與組ID相綁定并存儲。這樣�����,當(dāng)MME收到其它MTC設(shè)備發(fā)送的攜帶有組ID的附著請求時���,MME可以根據(jù)組ID獲取與組ID相綁定的第一參數(shù)�;根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰�;向基站發(fā)送組ID和組通信根密鑰。根據(jù)本發(fā)明的一個實施例���,MME向MTC設(shè)備所屬的HSS發(fā)送組ID之后����,MME可以從HSS接收組認證參數(shù),其中組認證參數(shù)由HSS根據(jù)與組ID對應(yīng)的集合密鑰生成,或者由HSS根據(jù)與組ID對應(yīng)的集合密鑰和MTC設(shè)備的專屬密鑰生成���;并根據(jù)組認證參數(shù)�,與MTC設(shè)備進行認證��。在該情況下����,在MTC設(shè)備與網(wǎng)絡(luò)側(cè)認證成功之后,MME根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰����。這里,MTC設(shè)備的專屬密鑰可以是MTC設(shè)備的K�,K可以存儲在USM中,當(dāng)將USM插入一 MTC設(shè)備時���,USIM成為該MTC設(shè)備的一部分�。相關(guān)實施例可以參考上述第一例子至第四例子的描述����,為了避免重復(fù)�����,在此不再贅述�����。在S1420中���,MME還可以通過如下方式獲取組ID對應(yīng)的組通信根密鑰:從組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備,根據(jù)所選擇的MTC設(shè)備的密鑰確定組ID對應(yīng)的組通信根密鑰����;或者生成一個隨機數(shù),根據(jù)隨機數(shù)確定組ID對應(yīng)的組通信根密鑰�。MME可以根據(jù)選擇的MTC設(shè)備的KeNB推衍得到組ID對應(yīng)的組通信根密鑰,也可以將選擇的MTC設(shè)備的KeNB直接作為組ID對應(yīng)的組通信根密鑰��。同樣�����,MME可以根據(jù)隨機數(shù)推衍得到組ID對應(yīng)的組通信根密鑰,也可以將隨機數(shù)直接作為組ID對應(yīng)的組通信根密鑰��。根據(jù)本發(fā)明的實施例�,MME獲取組ID對應(yīng)的組通信根密鑰之后,可以將組ID和組通信根密鑰進行綁定并存儲����。這樣�����,當(dāng)確定其他MTC設(shè)備屬于組ID對應(yīng)的組時�,根據(jù)組ID獲取相綁定的組通信根密鑰;向基站發(fā)送組ID和組通信根密鑰����。通過直接獲取相綁定的組通信根密鑰,可以降低反復(fù)生成組通信根密鑰的處理復(fù)雜度��,并可以保證同一組ID對應(yīng)的組通信根密鑰的一致性��。相關(guān)實施例可以參考上述第五例子和第六例子的描述���,為了避免重復(fù)���,在此不再贅述��。此外����,根據(jù)本發(fā)明的實施例�����,當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時����,或者當(dāng)基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時,或者當(dāng)維護的非接入層的計數(shù)值達到第三預(yù)定閾值時�����,與MTC設(shè)備進行重認證或者獲取組ID對應(yīng)的新的組通信根密鑰����。這樣,可以在一定時間之后更新組密鑰�����,避免同一組密鑰的使用時間過長而引入不安全因素,從而可以進一步提高組通信的安全性�。接下來,參考圖15描述根據(jù)本發(fā)明實施例的生成組密鑰的方法1500����。
如圖15所示,方法1500包括:在S1510中��,從基站接收基站用MTC設(shè)備的接入層密鑰加密的組密鑰��,其中組密鑰由基站根據(jù)基站獲取的組通信根密鑰生成�����、并與基站獲取的MTC設(shè)備所在組的組ID對應(yīng)��,或者組密鑰由基站根據(jù)MME獲取的組通信根密鑰生成����、并與MME獲取的MTC設(shè)備所在組的組ID對應(yīng)���;在S1520中����,根據(jù)MTC設(shè)備的接入層密鑰解密得到組密鑰。例如���,方法1500可以由MTC設(shè)備執(zhí)行�����。由于MTC設(shè)備的操作與基站��、MME的操作相對應(yīng)�,因此方法1500中的各步驟的描述可以參考方法100和方法1400的描述���,具體實施例可以參考上述第一例子至第六例子�����,為了避免重復(fù)�,在此不再贅述���。根據(jù)本發(fā)明的實施例���,同一組ID的所有MTC設(shè)備共用相同的HFN。為了保證同一組ID對應(yīng)的HFN相同���,組ID對應(yīng)的HFN可以被預(yù)先設(shè)置為固定值�,也可以由基站向MTC設(shè)備通知與HFN取值相關(guān)的信息。例如��,MTC設(shè)備可以通過MTC設(shè)備的信令承載�、組ID對應(yīng)組的公共信令承載或者廣播信道,從基站接收HFN的取值���;或者MTC設(shè)備可以在組ID對應(yīng)的HFN達到閾值時����,通過MTC設(shè)備的信令承載����、組ID對應(yīng)組的公共信令承載或者廣播信道�,從基站接收用于指示HFN加I的指示信息。為了進一步提高組通信的安全性���,網(wǎng)絡(luò)側(cè)可以對組密鑰進行更新��,而MTC設(shè)備需要通過更新后的組密鑰來進行組通信����。根據(jù)本發(fā)明的一個實施例,MTC設(shè)備可以從基站獲取用MTC設(shè)備的接入層密鑰加密的更新后的組密鑰�����,其中更新后的組密鑰由基站在組ID對應(yīng)的HFN達到閾值時進行組密鑰的更新而得到��;根據(jù)MTC設(shè)備的接入層密鑰解密得到更新后的組密鑰��。當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時�����,或者當(dāng)基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時�,或者當(dāng)MME維護的非接入層的計數(shù)值達到第三預(yù)定閾值時,與MME進行重認證或者從基站獲取基站用MTC設(shè)備的接入層密鑰加密的新的組密鑰���。這樣���,可以在一定時間之后更新組密鑰,避免同一組密鑰的使用時間過長而引入不安全因素����,從而也可以進一步提高組通信的安全性。根據(jù)本發(fā)明實施例提供的生成組密鑰的方法����,網(wǎng)絡(luò)側(cè)通過確定MTC設(shè)備所在組的組ID���,從而確定與該組ID對應(yīng)的組密鑰,通過借助于MTC設(shè)備的接入層密鑰可以將MTC設(shè)備使用的組密鑰安全地分配給MTC設(shè)備����,并使得同一組ID內(nèi)的MTC設(shè)備共用相同的組密鑰。這樣��,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進行組通信����,而在基站中也只需要為同一個組保持相同組密鑰,從而�����,可以降低基站操作的復(fù)雜性�����,減少基站維護和管理的密鑰數(shù)�,提聞基站性能��。上面分別從基站、MME和MTC設(shè)備的角度描述了生成組密鑰的方法�����,下面結(jié)合圖16至21描述相關(guān)設(shè)備�。圖16是根據(jù)本發(fā)明實施例的基站1600的結(jié)構(gòu)框圖?���;?600包括第一獲取模塊1610、第二獲取模塊1620���、生成模塊1630和第一發(fā)送模塊1640�。第一獲取模塊1610可以通過輸入接口和/或處理器實現(xiàn)�,第二獲取模塊1620可以通過輸入接口和/或處理器實現(xiàn),生成模塊1630可以通過處理器實現(xiàn)����,第一發(fā)送模塊1640可以通過輸出接口實現(xiàn)。第一獲取模塊1610用于獲取MTC設(shè)備所在組的組ID�����。第二獲取模塊1620用于獲取組ID對應(yīng)的組通信根密鑰���。生成模塊1630用于根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰�。第一發(fā)送模塊1640用于向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的組密鑰,以使MTC設(shè)備根據(jù)MTC設(shè)備的接入層密鑰解密得到組密鑰�。第一獲取模塊1610、第二獲取模塊1620�、生成模塊1630和第一發(fā)送模塊1640的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第六例子的描述,為了避免重復(fù)�,在此不再贅述。根據(jù)本發(fā)明實施例提供的基站�����,通過確定MTC設(shè)備所在組的組ID��,從而確定與該組ID對應(yīng)的組密鑰���,再借助于MTC設(shè)備的接入層密鑰可以將MTC設(shè)備使用的組密鑰安全地分配給MTC設(shè)備��,并使得同一組ID內(nèi)的MTC設(shè)備共用相同的組密鑰����。這樣����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰�����,從而�,可以降低基站操作的復(fù)雜性,減少基站維護和管理的密鑰數(shù)����,提高基站性能。圖17是根據(jù)本發(fā)明實施例的基站1700的結(jié)構(gòu)框圖����。基站1700的第一獲取模塊1710���、第二獲取模塊1720��、生成模塊1730和第一發(fā)送模塊1740與基站1600的第一獲取模塊1610�����、第二獲取模塊1620��、生成模塊1630和第一發(fā)送模塊1640基本相同���。根據(jù)本發(fā)明的實施例��,第一獲取模塊1710具體可用于將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)�;或者從其它網(wǎng)元獲取MTC設(shè)備所在組的組ID�。根據(jù)本發(fā)明的實施例,第二獲取模塊1720具體可用于從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備����,根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰?��;蛘?�,第二獲取模塊1720具體可用于從MME接收組ID對應(yīng)的組通信根密鑰�,其中由MME將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)��,從組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備����,根據(jù)所選擇的MTC設(shè)備的密鑰確定組ID對應(yīng)的組通信根密鑰,或者由MME根據(jù)MME生成的隨機數(shù)確定組ID對應(yīng)的組通信根密鑰���?����;蛘?����,第二獲取模塊1720具體可用于生成一個隨機數(shù)�����,根據(jù)該隨機數(shù)確定組ID對應(yīng)的組通信根密鑰��。根據(jù)本發(fā)明的一個實施例����,第一獲取模塊1710和第二獲取模塊1720具體可用于從MME接收組ID和組通信根密鑰���,組通信根密鑰由MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS根據(jù)隨機數(shù)和與組ID對應(yīng)的集合密鑰生成��,或者組通信根密鑰由HSS在收到MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的組ID時��,根據(jù)隨機數(shù)�、組ID和該一個MTC設(shè)備的專屬密鑰生成,并由HSS將組通信根密鑰發(fā)送給MME��。根據(jù)本發(fā)明的一個實施例�����,第一獲取模塊1710可以包括接收單元1712和確定單元1714�。接收單元1712可用于從MME接收業(yè)務(wù)ID和與業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰,業(yè)務(wù)ID為MTC設(shè)備發(fā)送給MME的�����、MTC設(shè)備所屬業(yè)務(wù)的業(yè)務(wù)ID��,業(yè)務(wù)根密鑰由MTC設(shè)備所屬的HSS根據(jù)隨機數(shù)和與業(yè)務(wù)ID對應(yīng)的集合密鑰生成����,或者業(yè)務(wù)根密鑰由HSS在收到MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的業(yè)務(wù)ID時,根據(jù)隨機數(shù)�、業(yè)務(wù)ID和一個MTC設(shè)備的專屬密鑰生成,并由HSS將業(yè)務(wù)根密鑰發(fā)送給MME��。確定單元1714可用于根據(jù)業(yè)務(wù)ID確定MTC設(shè)備所在組的組ID���。在該情況下����,第二獲取模塊1720可用于根據(jù)業(yè)務(wù)根密鑰生成組ID對應(yīng)的組通信根密鑰。根據(jù)本發(fā)明的實施例���,基站1700還可以包括綁定模塊1750�����、第三獲取模塊1760和第二發(fā)送模塊1770。綁定模塊1750可用于將組通信根密鑰�、組密鑰與組ID相綁定并存儲。第三獲取模塊1760用于當(dāng)確定其它MTC設(shè)備屬于組ID對應(yīng)的組時���,根據(jù)組ID獲取相綁定的組密鑰����。第二發(fā)送模塊1770用于向其它MTC設(shè)備發(fā)送用其他MTC設(shè)備的接入層密鑰加密的組密鑰�����,以使所述其他MTC設(shè)備根據(jù)所述其他MTC設(shè)備的接入層密鑰解密得到組密鑰�。根據(jù)本發(fā)明的實施例,同一組ID的所有MTC設(shè)備可以共用相同的HFN�����。這樣,可以減少基站需要維護的HXP Count值���,進一步降低基站的處理復(fù)雜度��。在該情況下���,基站1700還可以包括更新模塊1780和第三發(fā)送模塊1790。更新模塊1780用于當(dāng)組ID對應(yīng)的HFN達到閾值時��,更新組密鑰���。第三發(fā)送模塊1790用于向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的更新后的組密鑰��,以使MTC設(shè)備根據(jù)MTC設(shè)備的接入層密鑰解密得到更新后的組密鑰�。這樣���,可以避免同一組密鑰使用時間過長而引入不安全因素�,從而可以進一步提高通信安全性���。為了保證同一組ID的所有MTC設(shè)備共用相同的HFN��,可以將組ID對應(yīng)的HFN預(yù)先設(shè)置為固定值��,也可以由基站來通知與HFN相關(guān)的信息�。根據(jù)本發(fā)明的實施例,基站1700還可以包括第四發(fā)送模塊1795��。第四發(fā)送模塊1795可以用于通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載��、組ID對應(yīng)組的公共信令承載或者廣播信道�����,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送HFN的取值�?;蛘撸谒陌l(fā)送模塊1795可以用于當(dāng)組ID對應(yīng)的HFN達到閾值時�,通過組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載、組ID對應(yīng)組的公共信令承載或者廣播信道���,向組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示HFN加I的指示信息�����。第一獲取模塊1710���、第二獲取模塊1720�����、接收單元1712���、確定單元1714、綁定模塊1750�����、第三獲取模塊1760�、第二發(fā)送模塊1770、更新模塊1780���、第三發(fā)送模塊1790和第四發(fā)送模塊1795的上述和其他操作和/或功能可以參考上述方法100以及第一例子至第六例子的描述����,為了避免重復(fù)���,不再贅述��。其中�,綁定模塊1750、第三獲取模塊1760和更新模塊1780可以通過處理器實現(xiàn)����,第二發(fā)送模塊1770、第三發(fā)送模塊1790和第四發(fā)送模塊1795可以通過輸出接口實現(xiàn)���。根據(jù)本發(fā)明實施例提供的基站��,基站可以向同一組內(nèi)的MTC設(shè)備發(fā)送相同的組密鑰���,從而可以使同一組內(nèi)的MTC設(shè)備利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰����,這樣�����,可以降低基站操作的復(fù)雜性�,減少基站維護和管理的密鑰數(shù),提高基站性能�。圖18是根據(jù)本發(fā)明實施例的移動性管理實體1800的結(jié)構(gòu)框圖。移動性管理實體1800包括第一獲取模塊1810���、第二獲取模塊1820和發(fā)送模塊1830�����。第一獲取模塊1810和第二獲取模塊1820可以通過輸入接口和/或處理器實現(xiàn)���,發(fā)送模塊1830可以通過輸出接口實現(xiàn)���。第一獲取模塊1810用于獲取MTC設(shè)備所在組的組ID。第二獲取模塊1820用于獲取組ID對應(yīng)的組通信根密鑰�����。發(fā)送模塊1830用于向基站發(fā)送組ID和組通信根密鑰��,以使基站根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰并向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的組密鑰���。第一獲取模塊1810�、第二獲取模塊1820和發(fā)送模塊1830的上述和其他操作和/或功能可以參考上述方法1400以及第一例子至第六例子的描述�,為了避免重復(fù),在此不再贅述��。根據(jù)本發(fā)明實施例提供的移動性管理實體,通過確定MTC設(shè)備所在組的組ID和組通信根密鑰��,可以使基站確定與該組ID對應(yīng)的組密鑰����,并將MTC設(shè)備使用的組密鑰通過MTC設(shè)備的接入層密鑰的加密而安全發(fā)送給MTC設(shè)備,使得同一組ID內(nèi)的MTC設(shè)備可以共用相同的組密鑰��。這樣����,同一組內(nèi)的MTC設(shè)備可以利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰���,從而�����,可以降低基站操作的復(fù)雜性����,減少基站維護和管理的密鑰數(shù)���,提高基站性能。圖19是根據(jù)本發(fā)明實施例的移動性管理實體1900的結(jié)構(gòu)框圖。移動性管理實體1900的第一獲取模塊1910�、第二獲取模塊1920和發(fā)送模塊1930與移動性管理實體1800的第一獲取模塊1810、第二獲取模塊1820和發(fā)送模塊1830基本相同�����。根據(jù)本發(fā)明的實施例��,第一獲取模塊1910具體可用于將MTC設(shè)備劃分到組ID對應(yīng)的組內(nèi)�����?;蛘撸谝猾@取模塊1910具體可用于從其它網(wǎng)元獲取MTC設(shè)備所在組的組ID�����?���;蛘撸谝猾@取模塊1910具體可用于接收MTC設(shè)備發(fā)送的組ID����。根據(jù)本發(fā)明的實施例�����,第一獲取模塊1910還可具體用于接收MTC設(shè)備發(fā)送的組ID���。在該情況下,第二獲取模塊1920可以包括發(fā)送單元1922����、接收單元1924和生成單元1926。發(fā)送單元1922用于向MTC設(shè)備所屬的HSS發(fā)送組ID�����,以使HSS根據(jù)隨機數(shù)和與組ID對應(yīng)的集合密鑰生成第一參數(shù)��。接收單元1924用于從HSS接收第一參數(shù)���。生成單元1926用于根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰���。其中,發(fā)送單元1922具體可用于當(dāng)組ID沒有綁定與組ID對應(yīng)的第一參數(shù)時����,向MTC設(shè)備所屬的HSS發(fā)送組ID。根據(jù)本發(fā)明的實施例��,移動性管理實體1900還可以包括第一綁定模塊1940和第三獲取模塊1950����。第一綁定模塊1940可用于將第一參數(shù)與組ID相綁定并存儲。第三獲取模塊1950可用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有組ID的附著請求時����,根據(jù)組ID獲取與組ID相綁定的第一參數(shù),以使生成單元1926根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰����。根據(jù)本發(fā)明的實施例,移動性管理實體1900還可以包括接收模塊1960和認證模塊1970����。接收模塊1960用于從HSS接收組認證參數(shù),其中組認證參數(shù)由HSS根據(jù)與組ID對應(yīng)的集合密鑰生成�����,或者由HSS根據(jù)與組ID對應(yīng)的集合密鑰和MTC設(shè)備的專屬密鑰生成�����。認證模塊1970用于根據(jù)組認證參數(shù),與MTC設(shè)備進行認證��。此時��,生成單元1926可以用于在MTC設(shè)備與網(wǎng)絡(luò)側(cè)認證成功之后���,根據(jù)第一參數(shù)生成組ID對應(yīng)的組通信根密鑰�。根據(jù)本發(fā)明的實施例�����,第二獲取模塊1920可以具體用于從組ID內(nèi)的MTC設(shè)備中選擇一個MTC設(shè)備���,并根據(jù)所選擇的MTC設(shè)備的密鑰確定組ID對應(yīng)的組通信根密鑰�。第二獲取模塊1920還可以具體用于生成一個隨機數(shù)��,根據(jù)該隨機數(shù)確定組ID對應(yīng)的組通信根密鑰����。移動性管理實體1900還可以包括第二綁定模塊1980和第四獲取模塊1990。第二綁定模塊1980可用于將組ID和組通信根密鑰進行綁定并存儲�����。第四獲取模塊1990可用于當(dāng)確定其他MTC設(shè)備屬于組ID對應(yīng)的組時,根據(jù)組ID獲取相綁定的組通信根密鑰�����,以使發(fā)送模塊1930向基站發(fā)送組ID和組通信根密鑰�����。根據(jù)本發(fā)明的實施例���,移動性管理實體1900還可以包括處理模塊1992。處理模塊1992可用于當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時���,或者當(dāng)基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時�����,或者當(dāng)維護的非接入層的計數(shù)值達到第三預(yù)定閾值時��,與MTC設(shè)備進行重認證或者獲取組ID對應(yīng)的新的組通信根密鑰�����。第一獲取模塊1910���、第二獲取模塊1920����、發(fā)送單元1922�、接收單元1924、生成單元1926�、第一綁定模塊1940、第三獲取模塊1950�����、接收模塊1960�、認證模塊1970、第二綁定模塊1980���、第四獲取模塊1990和處理模塊1992的上述和其他操作和/或功能�����,可以參考上述方法1400以及第一例子至第六例子的描述��,為了避免重復(fù)��,在此不再贅述����。其中,第一綁定模塊1940�����、第三獲取模塊1950���、認證模塊1970、第二綁定模塊1980和第四獲取模塊1990可以通過處理器實現(xiàn)��,接收模塊I960可以通過輸入接口實現(xiàn)���,處理模塊1992可以通過處理器和/或輸入接口實現(xiàn)����。根據(jù)本發(fā)明實施例提供的移動性管理實體���,移動性管理實體通過向基站發(fā)送組ID和組通信根密鑰���,可以使基站向同一組內(nèi)的MTC設(shè)備發(fā)送相同的組密鑰,從而可以使同一組內(nèi)的MTC設(shè)備利用相同的組密鑰來正常進行組通信���,而在基站中也只需要為同一個組保持相同組密鑰�。這樣,可以降低基站操作的復(fù)雜性��,減少基站維護和管理的密鑰數(shù)���,提高基站性能�。圖20是根據(jù)本發(fā)明實施例的機器類通信設(shè)備2000的結(jié)構(gòu)框圖�。機器類通信設(shè)備2000包括第一接收模塊2010和第一解密模塊2020,第一接收模塊2010可以通過輸入接口實現(xiàn)����,第一解密模塊2020可以通過處理器實現(xiàn)。第一接收模塊2010用于從基站接收基站用MTC設(shè)備的接入層密鑰加密的組密鑰���,其中組密鑰由基站根據(jù)基站獲取的組通信根密鑰生成�、并與基站獲取的MTC設(shè)備所在組的組ID對應(yīng)�����,或者組密鑰由基站根據(jù)從MME獲取的組通信根密鑰生成��、并與MME獲取的MTC設(shè)備所在組的組ID對應(yīng)。第一解密模塊2020用于根據(jù)MTC設(shè)備的接入層密鑰解密得到組密鑰����。第一接收模塊2010和第一解密模塊2020的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第六例子的描述,為了避免重復(fù)���,在此不再贅述��。根據(jù)本發(fā)明實施例提供的機器類通信設(shè)備���,通過從基站接收和與所在組對應(yīng)的組密鑰,可以與同一組的其他MTC設(shè)備共用相同的組密鑰來正常進行組通信���,并且在基站中也只需要為同一個組保持相同組密鑰,從而�����,可以降低基站操作的復(fù)雜性���,減少基站維護和管理的密鑰數(shù)��,提高基站性能����。圖21是根據(jù)本發(fā)明實施例的機器類通信設(shè)備2100的結(jié)構(gòu)框圖。機器類通信設(shè)備2100的第一接收模塊2110和第一解密模塊2120與機器類通信設(shè)備2000的第一接收模塊2010和第一解密模塊2020基本相同�。根據(jù)本發(fā)明的實施例,同一組ID的所有MTC設(shè)備可以共用相同的HFN���。這樣��,可以使基站為同一組ID維持一個HXP Count值��,從而可以進一步降低基站的處理復(fù)雜度�����。機器類通信設(shè)備2100還可以包括第二接收模塊2130和第二解密模塊2140��。第二接收模塊2130用于從基站接收用MTC設(shè)備的接入層密鑰加密的更新后的組密鑰����,其中更新后的組密鑰由基站在組ID對應(yīng)的HFN達到閾值時進行組密鑰的更新而得到��。第二解密模塊2140用于根據(jù)MTC設(shè)備的接入層密鑰解密得到更新后的組密鑰���。為了使同一組的MTC設(shè)備共用相同的HFN��,可以將組ID對應(yīng)的HFN預(yù)先設(shè)置為固定值��,也可以由MTC設(shè)備從基站接收與HFN取值相關(guān)的信息�����。根據(jù)本發(fā)明的實施例��,機器類通信設(shè)備2100可以包括第三接收模塊2150�����。第三接收模塊2150可用于通過MTC設(shè)備的信令承載�、組ID對應(yīng)組的公共信令承載或者廣播信道,從基站接收HFN的取值�����。第三接收模塊2150也可用于當(dāng)組ID對應(yīng)的HFN達到閾值時��,通過MTC設(shè)備的信令承載��、組ID對應(yīng)組的公共信令承載或者廣播信道�,從基站接收用于指示HFN加I的指示信息��。此外,為了避免同一組密鑰使用時間過長而引入不安全因素���,可以在達到一定條件時���,對組密鑰進行更新,以進一步提高組通信的安全性�。根據(jù)本發(fā)明的實施例,機器類通信設(shè)備2100還可以包括處理模塊2160����。處理模塊2160可用于當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時,或者當(dāng)基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時�����,或者當(dāng)MME維護的非接入層的計數(shù)值達到第三預(yù)定閾值時��,與MME進行重認證或者從基站獲取基站用MTC設(shè)備的接入層密鑰加密的新的組密鑰����。第二接收模塊2130、第二解密模塊2140����、第三接收模塊2150和處理模塊2160的上述和其他操作和/或功能可以參考上述方法1500以及第一例子至第六例子的描述�����,為了避免重復(fù)����,在此不再贅述�����。其中��,第二接收模塊2130和第三接收模塊2150可以通過輸入接口實現(xiàn)��,第二解密模塊2140可以通過處理器實現(xiàn)��,處理模塊2160可以通過處理器和/或輸入接口實現(xiàn)�。根據(jù)本發(fā)明實施例提供的機器類通信設(shè)備,通過從基站接收與所在組對應(yīng)的組密鑰�,可以使同一組內(nèi)的MTC設(shè)備利用相同的組密鑰來正常進行組通信,并且在基站中也只需要為同一個組保持相同組密鑰�����。這樣�,可以降低基站操作的復(fù)雜性,減少基站維護和管理的密鑰數(shù)����,提聞基站性能。本領(lǐng)域技術(shù)人員可以意識到�,結(jié)合本文中所公開的實施例中描述的各方法步驟和單元,能夠以電子硬件���、計算機軟件或者二者的結(jié)合來實現(xiàn)��,為了清楚地說明硬件和軟件的可互換性��,在上述說明中已經(jīng)按照功能一般性地描述了各實施例的步驟及組成�����。這些功能究竟以硬件還是軟件方式來執(zhí)行�����,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件����。本領(lǐng)域技術(shù)人員可以對每個特定的應(yīng)用使用不同方法來實現(xiàn)所描述的功能��,但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。結(jié)合本文中所公開的實施例描述的方法步驟可以用硬件�����、處理器執(zhí)行的軟件程序���、或者二者的結(jié)合來實施��。軟件程序可以置于隨機存取存儲器(RAM)���、內(nèi)存、只讀存儲器(ROM)��、電可編程ROM�����、電可擦除可編程ROM��、寄存器�、硬盤、可移動磁盤����、CD-ROM或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中���。盡管已示出和描述了本發(fā)明的一些實施例��,但本領(lǐng)域技術(shù)人員應(yīng)該理解�����,在不脫離本發(fā)明的原理和精神的情況下�,可對這些實施例進行各種修改,這樣的修改應(yīng)落入本發(fā)明的范圍內(nèi)�����。
權(quán)利要求
1.種生成組密鑰的方法�����,其特征在于�,包括: 獲取機器類通信MTC設(shè)備所在組的組ID ; 獲取所述組ID對應(yīng)的組通信根密鑰��; 根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰��; 向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰��。
2.據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述獲取MTC設(shè)備所在組的組ID包括: 將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi)��;或者 從其它網(wǎng)元獲取所述MTC設(shè)備所在組的組ID��。
3.據(jù)權(quán)利要求1或2所述的方法��,其特征在于��,所述獲取所述組ID對應(yīng)的組通信根密鑰包括: 從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備����, 根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰;或者從移動性管理實體MME接收所述組ID對應(yīng)的組通信根密鑰�,其中由所述MME將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi),從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備�����,根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰,或者由所述MME根據(jù)所述MME生成的隨機數(shù)確定所述組ID對應(yīng)的組通信根密鑰����;或者 生成一個隨機數(shù),根據(jù)該隨機數(shù)確定所述組ID對應(yīng)的組通信根密鑰��。
4.據(jù)權(quán)利要求1所述的方法�,其特征在于�,所述獲取MTC設(shè)備所在組的組ID、獲取所述組ID對應(yīng)的組通信根密鑰包括: 從MME接收所述組ID和所述組通信根密鑰���,所述組通信根密鑰由所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS根據(jù)隨機數(shù)和與所述組ID對應(yīng)的集合密鑰生成���,或者所述組通信根密鑰由所述HSS在收到所述MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的所述組ID時,根據(jù)隨機數(shù)����、所述組ID和所述一個MTC設(shè)備的專屬密鑰生成,并由所述HSS將所述組通信根密鑰發(fā)送給所述MME0
5.據(jù)權(quán)利要求1所述的方法�,其特征在于,所述獲取MTC設(shè)備所在組的組ID包括: 從MME接收業(yè)務(wù)ID和與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰�����,所述業(yè)務(wù)ID為所述MTC設(shè)備發(fā)送給MME的、所述MTC設(shè)備所屬業(yè)務(wù)的業(yè)務(wù)ID���,所述業(yè)務(wù)根密鑰由所述MTC設(shè)備所屬的HSS根據(jù)隨機數(shù)和與所述業(yè)務(wù)ID對應(yīng)的集合密鑰生成���,或者所述業(yè)務(wù)根密鑰由所述HSS在收到所述MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的所述業(yè)務(wù)ID時,根據(jù)隨機數(shù)��、所述業(yè)務(wù)ID和所述一個MTC設(shè)備的專屬密鑰生成����,并由所述HSS將所述業(yè)務(wù)根密鑰發(fā)送給所述MME, 根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID ���; 所述獲取所述組ID對應(yīng)的組通信根密鑰包括: 根據(jù)所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰���。
6.據(jù)權(quán)利要求1至5中任一所述的方法,其特征在于����,所述根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰之后,還包括: 將所述組通信根密鑰、所述組密鑰與所述組ID相綁定并存儲����; 當(dāng)確定其它MTC設(shè)備屬于所述組ID對應(yīng)的組時����,根據(jù)所述組ID獲取相綁定的所述組密鑰���;向所述其它MTC設(shè)備發(fā)送用所述其他MTC設(shè)備的接入層密鑰加密的所述組密鑰�����,以使所述其他MTC設(shè)備根據(jù)所述其他MTC設(shè)備的接入層密鑰解密得到所述組密鑰��。
7.據(jù)權(quán)利要求1所述的方法,其特征在于����,同一組ID的所有MTC設(shè)備共用相同的超中貞號HFN。
8.據(jù)權(quán)利要求7所述的方法��,其特征在于�����,還包括: 當(dāng)所述組ID對應(yīng)的HFN達到閾值時����,更新所述組密鑰�����; 向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的更新后的組密鑰�����,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述更新后的組密鑰�。
9.據(jù)權(quán)利要求7或8所述的方法�����,其特征在于����, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值;或者 通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送所述HFN的取值���;或者 當(dāng)所述組ID對應(yīng)的HFN達到閾值時����,通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載、所述組ID對應(yīng)組的公共信令承載或者廣播信道�����,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示所述HFN加I的指示信息�����。
10.種生成組密鑰的方法�,其特征在于,包括: 獲取機器類通信MTC設(shè)備所在組的組ID ��; 獲取所述組ID對應(yīng)的組通 信根密鑰�����; 向基站發(fā)送所述組ID和所述組通信根密鑰�����,以使所述基站根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰并向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰�。
11.據(jù)權(quán)利要求10所述的方法�,其特征在于,所述獲取MTC設(shè)備所在組的組ID包括: 將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi)�����; 或者包括:從其它網(wǎng)元獲取所述MTC設(shè)備所在組的組ID ; 或者包括:接收所述MTC設(shè)備發(fā)送的所述組ID���。
12.據(jù)權(quán)利要求10或11所述的方法��,其特征在于��,所述獲取所述組ID對應(yīng)的組通信根密鑰包括: 向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID��,以使所述HSS根據(jù)隨機數(shù)和與所述組ID對應(yīng)的集合密鑰生成第一參數(shù)�; 從所述HSS接收所述第一參數(shù)����; 根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰。
13.據(jù)權(quán)利要求12所述的方法����,其特征在于,所述向所述MTC設(shè)備所屬的HSS發(fā)送所述組ID包括: 當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的第一參數(shù)時��,向所述MTC設(shè)備所屬的HSS發(fā)送所述組ID���。
14.據(jù)權(quán)利要求12或13所述的方法��,其特征在于�,所述從所述HSS接收所述第一參數(shù)之后,還包括: 將所述第一參數(shù)與所述組ID相綁定并存儲�����; 當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID的附著請求時����,根據(jù)所述組ID獲取與所述組ID相綁定的所述第一參數(shù); 根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰����; 向基站發(fā)送所述組ID和所述組通信根密鑰。
15.據(jù)權(quán)利要求12至14中任一項所述的方法���,其特征在于�����,所述向所述MTC設(shè)備所屬的HSS發(fā)送所述組ID之后,還包括: 從所述HSS接收組認證參數(shù),其中所述組認證參數(shù)由所述HSS根據(jù)與所述組ID對應(yīng)的集合密鑰生成���,或者由所述HSS根據(jù)與所述組ID對應(yīng)的集合密鑰和所述MTC設(shè)備的專屬密鑰生成�,并根據(jù)所述組認證參數(shù),與所述MTC設(shè)備進行認證�����; 所述根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰包括: 在所述MTC設(shè)備與網(wǎng)絡(luò)側(cè)認證成功之后��,根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰�����。
16.據(jù)權(quán)利要求10所述的方法����,其特征在于,所述獲取所述組ID對應(yīng)的組通信根密鑰包括: 從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備����, 根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰;或者 生成一個隨機數(shù)�����, 根據(jù)該隨機數(shù)確定所述組ID對 應(yīng)的組通信根密鑰�����。
17.據(jù)權(quán)利要求10至16中任一項所述的方法,其特征在于���,所述獲取所述組ID對應(yīng)的組通信根密鑰之后�����,還包括: 將所述組ID和所述組通信根密鑰進行綁定并存儲�; 當(dāng)確定其他MTC設(shè)備屬于所述組ID對應(yīng)的組時����,根據(jù)所述組ID獲取相綁定的所述組通信根密鑰; 向基站發(fā)送所述組ID和所述組通信根密鑰�����。
18.據(jù)權(quán)利要求10至17中任一項所述的方法����,其特征在于,還包括: 當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時����,或者當(dāng)所述基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時,或者當(dāng)維護的非接入層的計數(shù)值達到第三預(yù)定閾值時��,與所述MTC設(shè)備進行重認證或者獲取所述組ID對應(yīng)的新的組通信根密鑰����。
19.種生成組密鑰的方法,其特征在于����,包括: 從基站接收所述基站用機器類通信MTC設(shè)備的接入層密鑰加密的組密鑰,其中所述組密鑰由所述基站根據(jù)所述基站獲取的組通信根密鑰生成��、并與所述基站獲取的MTC設(shè)備所在組的組ID對應(yīng)��,或者所述組密鑰由所述基站根據(jù)從移動性管理實體MME獲取的組通信根密鑰生成���、并與所述MME獲取的MTC設(shè)備所在組的組ID對應(yīng)�����; 根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰��。
20.據(jù)權(quán)利要求19所述的方法��,其特征在于���,同一組ID的所有MTC設(shè)備共用相同的超幀號HFN���。
21.據(jù)權(quán)利要求20所述的方法,其特征在于����,還包括: 從所述基站接收用所述MTC設(shè)備的接入層密鑰加密的更新后的組密鑰,其中所述更新后的組密鑰由所述基站在所述組ID對應(yīng)的HFN達到閾值時進行組密鑰的更新而得到�; 根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述更新后的組密鑰。
22.據(jù)權(quán)利要求20或21所述的方法���,其特征在于���, 所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值;或者 通過所述MTC設(shè)備的信令承載�����、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,從所述基站接收所述HFN的取值;或者 當(dāng)所述組ID對應(yīng)的HFN達到閾值時��,通過所述MTC設(shè)備的信令承載、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,從所述基站接收用于指示所述HFN加I的指示信息��。
23.據(jù)權(quán)利要求19至22中任一項所述的方法��,其特征在于����,還包括: 當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時,或者當(dāng)基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時�����,或者當(dāng)MME維護的非接入層的計數(shù)值達到第三預(yù)定閾值時����,與MME進行重認證或者從所述基站獲取所述基站用MTC設(shè)備的接入層密鑰加密的新的組密鑰。
24.種基站�����,其特征在于���,包括: 第一獲取模塊���,用于獲取機器類通信MTC設(shè)備所在組的組ID ���; 第二獲取模塊,用于獲取所述組ID對應(yīng)的組通信根密鑰���; 生成模塊��,用于根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰���; 第一發(fā)送模塊,用于向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰�,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰。
25.據(jù)權(quán)利要求24所述的基站����,其特征在于,所述第一獲取模塊用于將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi)��;或者從其它網(wǎng)元獲取所述MTC設(shè)備所在組的組ID���。
26.據(jù)權(quán)利要求24或25所述的基站���,其特征在于����,所述第二獲取模塊用于從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備��,根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰��;或者 所述第二獲取模塊用于從移動性管理實體MME接收所述組ID對應(yīng)的組通信根密鑰��,其中由所述MME將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi)���,從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備,根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰�����,或者由所述MME根據(jù)所述MME生成的隨機數(shù)確定所述組ID對應(yīng)的組通信根密鑰��;或者 所述第二獲取模塊用于生成一個隨機數(shù)����,根據(jù)該隨機數(shù)確定所述組ID對應(yīng)的組通信根密鑰。
27.據(jù)權(quán)利要求24所述的基站���,其特征在于���,所述第一獲取模塊和所述第二獲取模塊用于從MME接收所述組ID和所述組通信根密鑰����,所述組通信根密鑰由所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS根據(jù)隨機數(shù)和與所述組ID對應(yīng)的集合密鑰生成����,或者所述組通信根密鑰由所述HSS在收到所述MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的所述組ID時,根據(jù)隨機數(shù)�、所述組ID和所述一個MTC設(shè)備的專屬密鑰生成,并由所述HSS將所述組通信根密鑰發(fā)送給所述MME0
28.據(jù)權(quán)利要求24所述的基站�,其特征在于,所述第一獲取模塊包括: 接收單元�,用于從MME接收業(yè) 務(wù)ID和與所述業(yè)務(wù)ID對應(yīng)的業(yè)務(wù)根密鑰,所述業(yè)務(wù)ID為所述MTC設(shè)備發(fā)送給MME的����、所述MTC設(shè)備所屬業(yè)務(wù)的業(yè)務(wù)ID,所述業(yè)務(wù)根密鑰由所述MTC設(shè)備所屬的HSS根據(jù)隨機數(shù)和與所述業(yè)務(wù)ID對應(yīng)的集合密鑰生成���,或者所述業(yè)務(wù)根密鑰由所述HSS在收到所述MME轉(zhuǎn)發(fā)的來自一個MTC設(shè)備的所述業(yè)務(wù)ID時��,根據(jù)隨機數(shù)�����、所述業(yè)務(wù)ID和所述一個MTC設(shè)備的專屬密鑰生成�����,并由所述HSS將所述業(yè)務(wù)根密鑰發(fā)送給所述 MME����, 確定單元,用于根據(jù)所述業(yè)務(wù)ID確定所述MTC設(shè)備所在組的組ID ; 所述第二獲取模塊用于根據(jù)所述業(yè)務(wù)根密鑰生成所述組ID對應(yīng)的組通信根密鑰。
29.據(jù)權(quán)利要求24至28中任一項所述的基站��,其特征在于����,還包括: 綁定模塊,用于將所述組通信根密鑰�����、所述組密鑰與所述組ID相綁定并存儲��; 第三獲取模塊��,用于當(dāng)確定其它MTC設(shè)備屬于所述組ID對應(yīng)的組時,根據(jù)所述組ID獲取相綁定的所述組密鑰���; 第二發(fā)送模塊�����,用于向所述其它MTC設(shè)備發(fā)送用所述其他MTC設(shè)備的接入層密鑰加密的所述組密鑰�����,以使所述其他MTC設(shè)備根據(jù)所述其他MTC設(shè)備的接入層密鑰解密得到所述組密鑰�����。
30.據(jù)權(quán)利要求24所述的基站�����,其特征在于���,同一組ID的所有MTC設(shè)備共用相同的超中貞號HFN,所述基站還包括: 更新模塊,用于當(dāng)所述組ID對應(yīng)的HFN達到閾值時����,更新所述組密鑰�; 第三發(fā)送模塊��,用于向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的更新后的組密鑰�,以使所述MTC設(shè)備根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述更新后的組密鑰。
31.據(jù)權(quán)利要求24所述的基站��,其特征在于���,同一組ID的所有MTC設(shè)備共用相同的HFN��,所述組ID對應(yīng)的HFN 被預(yù)先設(shè)置為固定值�;或者 所述基站還包括第四發(fā)送模塊�����,用于通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載���、所述組ID對應(yīng)組的公共信令承載或者廣播信道,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送所述HFN的取值����;或者 所述第四發(fā)送模塊用于當(dāng)所述組ID對應(yīng)的HFN達到閾值時,通過所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備各自的信令承載、所述組ID對應(yīng)組的公共信令承載或者廣播信道��,向所述組ID對應(yīng)組內(nèi)所有MTC設(shè)備發(fā)送用于指示所述HFN加I的指示信息���。
32.種移動性管理實體��,其特征在于�,包括: 第一獲取模塊��,用于獲取機器類通信MTC設(shè)備所在組的組ID ���; 第二獲取模塊�,用于獲取所述組ID對應(yīng)的組通信根密鑰�; 發(fā)送模塊,用于向基站發(fā)送所述組ID和所述組通信根密鑰���,以使所述基站根據(jù)所述組通信根密鑰生成所述組ID對應(yīng)的組密鑰并向所述MTC設(shè)備發(fā)送用所述MTC設(shè)備的接入層密鑰加密的所述組密鑰����。
33.據(jù)權(quán)利要求32所述的移動性管理實體���,其特征在于��,所述第一獲取模塊用于將所述MTC設(shè)備劃分到所述組ID對應(yīng)的組內(nèi)����;或者 所述第一獲取模塊用于從其它網(wǎng)元獲取所述MTC設(shè)備所在組的組ID ;或者 所述第一獲取模塊用于接收所述MTC設(shè)備發(fā)送的所述組ID。
34.據(jù)權(quán)利要求32或33所述的移動性管理實體��,其特征在于���,所述第一獲取模塊用于接收所述MTC設(shè)備發(fā)送的所述組ID�����, 其中��,所述第二獲取模塊包括: 發(fā)送單元�����,用于向所述MTC設(shè)備所屬的歸屬用戶系統(tǒng)HSS發(fā)送所述組ID����,以使所述HSS根據(jù)隨機數(shù)和與所述組ID對應(yīng)的集合密鑰生成第一參數(shù)�����;接收單元��,用于從所述HSS接收所述第一參數(shù)��; 生成單元�,用于根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰。
35.據(jù)權(quán)利要求34所述的移動性管理實體�,其特征在于,所述發(fā)送單元用于當(dāng)所述組ID沒有綁定與所述組ID對應(yīng)的第一參數(shù)時����,向所述MTC設(shè)備所屬的HSS發(fā)送所述組ID。
36.據(jù)權(quán)利要求34或35所述的移動性管理實體��,其特征在于�����,還包括: 第一綁定模塊��,用于將所述第一參數(shù)與所述組ID相綁定并存儲��; 第三獲取模塊�����,用于當(dāng)收到其它MTC設(shè)備發(fā)送的攜帶有所述組ID的附著請求時,根據(jù)所述組ID獲取與所述組ID相綁定的所述第一參數(shù)����,以使所述生成單元根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰。
37.據(jù)權(quán)利要求34至36中任一項所述的移動性管理實體���,其特征在于�,還包括: 接收模塊��,用于從所述HSS接收組認證參數(shù)�����,其中所述組認證參數(shù)由所述HSS根據(jù)與所述組ID對應(yīng)的集合密鑰生成��,或者由所述HSS根據(jù)與所述組ID對應(yīng)的集合密鑰和所述MTC設(shè)備的專屬密鑰生成�����, 認證模塊���,用于根據(jù)所述組認證參數(shù)��,與所述MTC設(shè)備進行認證�����; 所述生成單元用于在所述MTC設(shè) 備與網(wǎng)絡(luò)側(cè)認證成功之后�����,根據(jù)所述第一參數(shù)生成所述組ID對應(yīng)的組通信根密鑰���。
38.據(jù)權(quán)利要求32所述的移動性管理實體,其特征在于��,所述第二獲取模塊用于從所述組ID內(nèi)的MTC設(shè)備中選擇MTC設(shè)備����,并根據(jù)所選擇的MTC設(shè)備的密鑰確定所述組ID對應(yīng)的組通信根密鑰;或者 所述第二獲取模塊用于生成一個隨機數(shù)�����,根據(jù)該隨機數(shù)確定所述組ID對應(yīng)的組通信根密鑰�。
39.據(jù)權(quán)利要求32至38中任一項所述的移動性管理實體,其特征在于�����,還包括: 第二綁定模塊,用于將所述組ID和所述組通信根密鑰進行綁定并存儲��; 第四獲取模塊�����,用于當(dāng)確定其他MTC設(shè)備屬于所述組ID對應(yīng)的組時����,根據(jù)所述組ID獲取相綁定的所述組通信根密鑰,以使所述發(fā)送模塊向基站發(fā)送所述組ID和所述組通信根密鑰��。
40.據(jù)權(quán)利要求32至39中任一項所述的移動性管理實體�,其特征在于,還包括: 處理模塊��,用于當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時���,或者當(dāng)所述基站更新組密鑰的次數(shù)達到第二預(yù)定閾值時���,或者當(dāng)維護的非接入層的計數(shù)值達到第三預(yù)定閾值時,與所述MTC設(shè)備進行重認證或者獲取所述組ID對應(yīng)的新的組通信根密鑰����。
41.種機器類通信設(shè)備��,其特征在于���,包括: 第一接收模塊��,用于從基站接收所述基站用機器類通信MTC設(shè)備的接入層密鑰加密的組密鑰�����,其中所述組密鑰由所述基站根據(jù)所述基站獲取的組通信根密鑰生成����、并與所述基站獲取的MTC設(shè)備所在組的組ID對應(yīng),或者所述組密鑰由所述基站根據(jù)從移動性管理實體MME獲取的組通信根密鑰生成����、并與所述MME獲取的MTC設(shè)備所在組的組ID對應(yīng); 第一解密模塊�����,用于根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述組密鑰�����。
42.據(jù)權(quán)利要求41所述的機器類通信設(shè)備,其特征在于���,同一組ID的所有MTC設(shè)備共用相同的超幀號HFN�,所述機器類通信設(shè)備還包括: 第二接收模塊�����,用于從所述基站接收用所述MTC設(shè)備的接入層密鑰加密的更新后的組密鑰����,其中所述更新后的組密鑰由所述基站在所述組ID對應(yīng)的HFN達到閾值時進行組密鑰的更新而得到; 第二解密模塊�,用于根據(jù)所述MTC設(shè)備的接入層密鑰解密得到所述更新后的組密鑰。
43.據(jù)權(quán)利要求41所述的機器類通信設(shè)備���,其特征在于����,同一組ID的所有MTC設(shè)備共用相同的HFN����,所述組ID對應(yīng)的HFN被預(yù)先設(shè)置為固定值;或者 所述機器類通信設(shè)備包括第三接收模塊,用于通過所述MTC設(shè)備的信令承載����、所述組ID對應(yīng)組的公共信令承載或者廣播信道,從所述基站接收所述HFN的取值�;或者 所述第三接收模塊用于當(dāng)所述組ID對應(yīng)的HFN達到閾值時,通過所述MTC設(shè)備的信令承載�����、所述組ID對應(yīng)組的公共信令承載或者廣播信道����,從所述基站接收用于指示所述HFN加I的指示信息�����。
44.據(jù)權(quán)利要求41至43中任一項所述的機器類通信設(shè)備�,其特征在于,還包括: 處理模塊��,用于當(dāng)網(wǎng)絡(luò)側(cè)維護的預(yù)定定時器達到第一預(yù)定閾值時��,或者當(dāng)基站更新組密鑰的次數(shù)達到第二 預(yù)定閾值時����,或者當(dāng)MME維護的非接入層的計數(shù)值達到第三預(yù)定閾值時��,與MME進行重認證或者從所述基站獲取所述基站用MTC設(shè)備的接入層密鑰加密的新的組密鑰����。
全文摘要
本發(fā)明實施例提供了生成組密鑰的方法和相關(guān)設(shè)備����。該方法包括獲取機器類通信MTC設(shè)備所在組的組ID;獲取組ID對應(yīng)的組通信根密鑰���;根據(jù)組通信根密鑰生成組ID對應(yīng)的組密鑰��;向MTC設(shè)備發(fā)送用MTC設(shè)備的接入層密鑰加密的組密鑰�,以使MTC設(shè)備根據(jù)MTC設(shè)備的接入層密鑰解密得到組密鑰����。根據(jù)上述技術(shù)方案,基站可以向MTC設(shè)備分配與MTC設(shè)備所在的組對應(yīng)的組密鑰�,從而可以使同一組內(nèi)的MTC設(shè)備利用相同的組密鑰來正常進行組通信,而在基站中也只需要為同一個組保持相同組密鑰���,這樣�,可以降低基站操作的復(fù)雜性,減少基站維護和管理的密鑰數(shù)��,提高基站性能���。
文檔編號H04W24/02GK103096309SQ201110340029
公開日2013年5月8日 申請日期2011年11月1日 優(yōu)先權(quán)日2011年11月1日
發(fā)明者張麗佳, 陳璟, 許怡嫻 申請人:華為技術(shù)有限公司