[发明专利]一种M2M通信中的组认证方法和系统

说明书

技术领域

本发明涉及通信安全领域，尤其涉及一种机器与机器(M2M，Machine-to-Machine)通信中的组认证方法和系统。

背景技术

随着全球信息化，以及通信网络技术的出现和发展，人类社会出现了巨大的变化；人与人之间可以更便捷地进行沟通，信息的交换也越来越频繁。然而，当前只有在人为干预的情况下，计算机或其他一些IT设备才具备联网和通信的能力，众多普通的机器类设备几乎不具备联网和通信能力。如何让这些普通的机器类设备具备联网和通信能力，以便让通信网络技术更好地为社会生活提供服务和保障，使城市变得智能化；在这种需求的驱动下，M2M通信的概念被引入到通信网络技术中。M2M通信的目标就是，使所有机器类设备都具备联网和通信能力，从而实现机器与机器、机器与人、人与机器之间的信息交换。为了确保信息的准确有效性，需要在M2M通信中引入安全机制。

现有2G和3G移动网络系统的安全机制主要有：认证和加密等。所谓认证，即为识别对方身份合法性的过程。下面简述全球移动通信系统(UMTS，Universal Mobile Telecommunication System)的认证和密钥协商机制(AKA，Authentication and Key Agreement)认证过程。在演进分组系统(EPS，EvolvedPacket System)中，AKA认证过程和UMTS系统并无本质区别。UMTS的AKA认证基于存储在归属位置寄存器(HLR，Home Location Register)和内置在终端全球用户识别卡(USIM，Universal Subscriber Identity Module)中的根密钥K进行认证，其认证过程如下：

1、终端向服务节点SGSN/拜访位置寄存器(VLR，Visitor Location Register)发出接入请求；服务节点SGSN/VLR根据终端标识向认证中心HLR/AuC发起认证请求；认证中心HLR/AuC生成多组认证向量，每组认证向量有认证向量五元组组成：随机数RAND、期望响应XRES、认证令牌AUTN、机密性密钥CK、完整性密钥IK。

2、认证中心HLR/AuC将生成的认证向量五元组发送给请求认证的服务节点SGSN/VLR。

3、服务节点SGSN/VLR从认证中心HLR/AuC发来的多组认证向量五元组中选择一组，将其中的RAND、AUTN发送至接入请求的终端。

4、终端中USIM卡检查AUTN可否接受，如：AUTN是否由有效的认证令牌组成。

5、终端收到认证消息后，首先计算消息认证码XMAC，并与认证令牌AUTN中的消息认证码MAC进行比较，如果不同，则拒绝认证，并放弃认证过程。同时，终端验证接收到的序列号SQN是否在有效范围内，若不在有效范围内，则向服务节点SGSN/VLR发送同步失败消息，并放弃认证过程。

6、当上述验证通过后，终端计算出响应值RES，并发送给服务节点SGSN/VLR；服务节点SGSN/VLR比较终端发送的RES和认证中心发送的XRES是否一致；如果一致，则认证通过，否则认证失败；终端USIM卡同时计算机密性密钥IK和完整性密钥CK，用于后续数据发送时的机密性和完整性保护。

现有移动网络都是为human-to-human设计的，对于机器与机器、机器与人、人与机器之间的通信并非最佳。随着M2M技术的发展，终端数量将呈现极大的增长，由此而产生的信令、数据对现有移动网络将产生极大的冲击。如果每个机器类通信(MTC，Machine Type Communication)设备都单独地执行认证，那么网络由于认证所承载的信令负荷也会随着终端数量的增长而成几何级数的增长，甚至导致网络拥塞，进而影响到网络的服务质量和用户的业务体验。

当许多MTC设备被部署为属于同一个MTC用户的MTC设备组，或当所有在同一个地点的MTC设备被分在一个组时，对于组中所有MTC设备的认证代价也是很高的，也常常是不必要的。由于现有移动网络认证技术难以满足日益增长的MTC设备的认证需求，因此需要一种优化的认证机制来减轻由于认证而带来的大量信令负荷。

发明内容

有鉴于此，本发明的主要目的在于提供一种M2M通信中的组认证方法和系统，以提高认证效率，减轻由于MTC设备数量大量增长而带来的认证信令负荷。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种M2M通信中的组认证方法，包括：