[发明专利]M2M通信的基于组的认证方法及其设备

说明书

技术领域

本发明涉及通信技术，尤其涉及M2M通信中的认证方法和设备。

背景技术

M2M设备通过移动网络如UMTS、EPS、CDMA等进行通信，M2M(Machine-to-Machine，机器对机器)，是机器对机器通信，它是无线通信和信息技术的整合，可用于双向通信，如远距离收集信息、设置参数和发送指令，因此M2M技术可有不同的应用方案，如安全监测、自动售货机、货物跟踪等。目前机器的数量至少是人类数量的4倍，因此M2M具有巨大的市场潜力。移动网络覆盖范围广，是M2M信息承载和传送最广泛、最有市场前景的技术。随着移动通信网络带宽的不断提高和终端的日益多样化，数据业务能力不断提高，这将促使M2M应用的发展进一步加快，有专家断言，在未来“机与机”产生的数据通信流量最终将超过“人与人”和“人与机”产生的通信流量。

目前研究的基于移动通信网络的M2M通信，单个M2M设备的认证过程与手机终端认证方式相似，使用认证和密钥协商流程(AKA，Authentication and Key Agreement)，这样对现有网络改动小，有利于现有网络资源的重用。但是大量的M2M设备同时与网络通信或者大量M2M设备间相互通信的时候，由于交互的信息量少，相应地认证时需要交互的信令信息反而显得多，这些重复的冗余的信息会占用大量的网络资源，尤其是空口资源，甚至会造成通信拥塞。本发明提供了M2M通信的基于组的认证方法，是节约网络资源的一个好方法，对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。本发明会重用现有的网络能力如广播/多播能力、认证和密钥协商流程等，可降低50％的信令消息，并且不影响现有的接口或协议，尤其是不影响空中接口或协议。

发明内容

为解决现有技术中的上述缺点，本发明提出了新的M2M通信的基于组的认证方法及其设备。本发明利用一些M2M设备共享一个或多个相同业务，如公共事业服务(如水，气，电，热等)并且属于相同的M2M业务提供者(如公共事业的提供者)的特征，将这种共享相同M2M业务并属于相同的M2M业务提供者的M2M设备归为同一个M2M组(GROUP)并分配一个M2M组标识号(GroupID)。根据其享有的业务，每一个M2M设备可以被归为多个不同的M2M组，系统为不同的M2M业务组分配不同的GroupID。网络对M2M设备以组为单位进行控制、管理或者计费，例如基于组的计费、基于组的移动性管理、基于组的认证、基于组的信令节省等，以减少冗余的信令消息来避免网络拥塞；特别是当M2M设备数量很大时，利用基于组的优化可以有效节省网络资源。

本发明主要提供了M2M通信的基于组的认证方法，并且重用现有的网络能力如广播/多播能力、AKA(Authentication and Key Agreement，认证和密钥协商)流程，这样对现有网络影响小、减少了冗余信令消息的传输、节省网络资源、减少服务器的处理开销、从而减少运营商的运营成本等。不过，网络设备HLR/HSS必须进行升级，还必须增加一个新的逻辑单元M2M安全能力来实现基于组的认证功能。

具体地，根据本发明的一个实施方式，提供一种M2M通信的基于组的认证方法，所述方法包括：

1)M2M服务器触发基于组的认证；

2)接收到来自M2M服务器的用于初始化基于组认证的触发，M2M安全能力发出一条用于组认证的认证数据请求消息给第一网络设备，以得到用于组认证的认证数据，所述认证数据请求消息包括用于组认证的标识，用于组认证的组身份标识以及其他用于组认证的信息；

3)接收到用于组认证的认证数据请求消息后，第一网络设备产生用于组认证的认证向量，所述用于组认证的认证向量至少包括用于组认证的期望认证响应、用于组认证的随机数和组认证成功后用于保护后续通信安全的密钥；第一网络设备发送包含用于组认证的认证数据的响应消息给M2M安全能力，用于组认证的认证数据至少包括用于组认证的组身份标识和用于组认证的认证向量；

4)安全能力发送用于组认证的认证请求消息给第二网络设备，用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数；

5)第二网络设备转发用于组认证的认证请求消息给成组的M2M设备，用于组认证的认证请求消息至少包括用于组认证的组身份标识和用于组认证的随机数；

6)M2M设备接收用于组认证的认证请求消息后，每个M2M设备产生用于组认证的认证响应和组认证成功后用于保护后续通信的密钥；