[发明专利]M2M通信的基于组的认证方法及其设备

权利要求书

1.一种M2M通信的基于组的认证方法，所述方法包括：

1)M2M服务器触发基于组的认证；

2)接收到来自M2M服务器的用于初始化基于组认证的触发，M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备，以得到用于组认证的认证数据，所述认证数据请求消息包括用于组认证的标识，用于组认证的组身份标识以及其他用于组认证的信息；

3)接收到用于组认证的认证数据请求消息后，第一网络设备产生用于组认证的认证向量，所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥；第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力，用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量；

4)安全能力发送用于组认证的认证请求消息给第二网络设备，用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数；

5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备，用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数；

6)M2M设备接收用于组认证的认证请求消息后，每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥；

7)每个M2M设备通过第二网络设备将包含其M2M设备的身份标识、用于组认证的组身份标识和用于组认证的认证响应的响应消息发送给M2M安全能力；

8)安全能力接收来自M2M终端组的包含用于组认证的认证响应的响应消息，检查每个M2M终端的用于组认证的认证响应是否与用于组认证的期望认证响应匹配；

9)如果M2M终端的用于组认证的认证响应不等于用于组认证的期 望认证响应，网络认证该M2M终端失败，安全能力发送消息NOK给网络认证失败的M2M设备；如果M2M终端的用于组认证的认证响应等于用于组认证的期望认证响应，网络认证该M2M设备成功。

2.根据权利要求1所述的一种方法，其特征在于，所述方法进一步包括：

10)如果网络认证M2M设备成功，安全能力发送消息OK给网络认证成功的M2M设备。

3.根据权利要求1或2所述的一种方法，其特征在于，

步骤2)中用于组认证的认证数据请求消息给第一网络设备包括：M2M安全能力发出一条用于组认证的认证数据请求消息给第三网络设备，第三网络设备转发用于组认证的认证数据请求给第一网络设备；

步骤3)中第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力包括：第一网络设备发送包含用于组认证的认证数据的响应消息给第三网络设备，第三网络设备转发用于组认证的认证数据响应给安全能力。

4.根据权利要求1-3中任一项所述的一种方法，其特征在于，所述第一网络设备产生用于组认证的认证向量包括：在接收到认证数据请求消息后，第一网络设备产生一个用于组认证的随机数，并利用所述用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg为相同组身份标识的成组M2M业务产生一个用于组认证的期望认证响应和组认证成功后用于保护后续通信的密钥；

所述M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥包括：在接收到用于组认证的认证请求消息后，所有享用该组身份标识的M2M业务的M2M设备利用所述用于组认证的根密钥Kg和用于组认证的随机数产生各自的用于组认证的认证响应和组认证成功后用于保护后续通信的密钥。

5.根据权利要求4所述的一种方法，其特征在于，所述第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组 认证成功后用于保护后续通信的加密密钥Kcg。

6.根据权利要求4所述的一种方法，其特征在于，所述

第一网络设备和M2M设备产生的组认证成功后用于保护后续通信的密钥是指组认证成功后用于保护后续通信的加密密钥CKg和组认证成功后用于保护后续通信的完整性密钥IKg；

第一网络设备产生用于组认证的认证向量进一步包括：

利用用于组认证的随机数和对应组身份标识的用于组认证的根密钥Kg及其他参数为相同组身份标识的成组M2M业务产生一个用于组认证的认证令牌；

进一步的，每个M2M设备产生其用于组认证的认证响应和组认证成功后用于保护后续通信的密钥之前还通过用于组认证的认证令牌成功认证网络。