WO2011127810A1

WO2011127810A1 - 对通信设备进行认证的方法和装置

Info

Publication number: WO2011127810A1
Application number: PCT/CN2011/072651
Authority: WO
Inventors: 张丽佳; 许怡娴; 黄迎新; 刘晓寒; 劳伦斯·梅里奥
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2010-04-12
Filing date: 2011-04-12
Publication date: 2011-10-20
Anticipated expiration: 2012-10-12
Also published as: JP5392879B2; EP2549785B1; EP2549785A4; JP2013527673A; CN102215474B; US20130035067A1; EP2549785A1; EP2549785B8; US8706085B2; CN102215474A

Description

对通信设备进行认证的方法和装置本申请要求于 2010 年 4 月 12 日提交中国专利局、申请号为 201010149674.X、发明名称为"对通信设备进行认证的方法和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及无线通信领域，尤其涉及一种对通信设备进行认证的方法和装置。背景技术机器类通信 ( Machine Type Communication, MTC )设备需要与网络侧进行相互认证后才能与网络侧进行通信。在第三代合作伙伴计划（3rd Generation Partnership Project, 3 GPP )标准中对 MTC设备的分布提出了一种基于组的特性，即一些具有相同地理位置，或者具有相同特性，或者属于相同用户的 MTC设备可以作为一组。一组 MTC设备可以直接接入网络，也可以通过网关接入网络。

现有技术中，每个 MTC 设备都有一个国际移动用户身份标识 ( International Mobile Subscriber Identity, IMSI )，这个身份标识 IMSI是唯一的。在与网络侧进行相互认证的过程中，网络侧根据 MTC设备唯一的 IMSI 对应的基本密钥 K：，生成认证向量（Authentication Vector, AV )，根据该 AV 完成 MTC设备和网络侧之间的相互认证。不同的 MTC设备利用不同的 IMSI对应的不同的基本密钥 K，生成不同的认证向量 AV来完成所述相互认证。

由于 MTC设备数量巨大，如果采用现有的认证方法，当大量 MTC设备在短时间内接入网络时，认证过程中产生的信令流量会迅速增大，造成网络拥塞。发明内容

本发明的实施例提供一种对通信设备进行认证的方法和装置，能够在大量 MTC设备在短时间内接入网络的情况下，也能对每个 MTC设备进行有效认证。

为达到上述目的，本发明的实施例采用如下技术方案：

一种对 MTC设备进行认证的方法，包括：

接收待认证的 MTC设备发送的包含组标识的附着请求，所述组标识为所述待认证的 MTC设备所在 MTC组的组标识；

确定本地是否存在与所述组标识绑定的第一组认证向量；

如果存在，则根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

一种对 MTC设备进行认证的方法，包括：

MTC组内的主 MTC设备与网络侧进行认证成功后，

接收所述 MTC组内第二 MTC设备发送的附着请求；

对所述第二 MTC设备进行认证，并使用所述主 MTC设备与网络侧进行认证过程中产生的组认证向量为所述第二 MTC设备生成系统密钥；将所述系统密钥发送给所述第二 MTC设备。

一种对 MTC设备进行认证的方法，包括：

MTC组内的主 MTC设备向网络侧发送附着请求，其中，所述附着请求中包含所述 MTC组的组标识和所述 MTC组内其它待认证的 MTC设备的设备特征；

所述主 MTC设备与所述网络侧进行认证，并使用组认证向量和所述其它待认证的 MTC设备的设备特征为所述其它待认证的 MTC设备生成系统密钥，其中，所述组认证向量为所述主 MTC设备与所述网络侧进行认证的过程中产生的；所述主 MTC设备对所述其它待认证的 MTC设备进行认证成功后，将所述系统密钥发送给所述其它待认证的 MTC设备。

一种网络侧实体，包括：

第一接收单元，用于接收待认证的 MTC设备发送的包含组标识的附着请求，所述组标识为所述待认证的 MTC设备所在 MTC组的组标识；

第一认证单元，当存在与由所述第一接收单元接收的组标识绑定的第一组认证向量时，用于根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

一种对 MTC设备进行认证的设备，包括：

第三接收单元，用于在所述设备与网络侧进行认证成功后，接收所述设备所在的 MTC组内第二 MTC设备发送的附着请求；

第四认证单元，用于对所述第二 MTC设备进行认证，并使用所述设备与网络侧进行认证过程中产生的组认证向量为所述第二 MTC设备生成系统密钥；

第二发送单元，用于将由所述第四认证单元生成的系统密钥发送给所述第二 MTC设备。

一种对 MTC设备进行认证的设备，包括：

第三发送单元，用于向网络侧发送附着请求，其中，所述附着请求中包含所述设备所在 MTC组的组标识和所述 MTC组内待认证的 MTC设备的设备特征；

第五认证单元，用于所述设备与所述网络侧进行相互认证，并使用组认证向量和所述待认证的 MTC设备的设备特征为所述待认证的 MTC设备生成系统密钥，其中，所述组认证向量为所述设备与所述网络侧进行认证的过程中产生的；

第四发送单元，在所述设备对所述待认证的 MTC 设备进行认证成功后，用于将由所述第五认证单元生成的系统密钥发送给所述待认证的 MTC 设备。

MTC组所共有的组标识来获取组认证向量，并通过组认证向量对组内待认证的 MTC设备进行认证，或者，通过组认证向量为组内认证过的 MTC设备生成系统密钥，避免了在认证或者生成系统密钥的过程中，需要为不同的 MTC设备生成不同的认证向量的问题，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。本发明的实施例提供的对 MTC设备进行认证的方法和装置，在大量 MTC设备在短时间内接入网络的情况下，也能够对每个 MTC设备进行有效认证。附图说明图 1为基于组的 MTC设备接入网络的场景一；

图 2为基于组的 MTC设备接入网络的场景二；

图 3为基于组的 MTC设备接入网络的场景三；

图 4为本发明实施例一提供的对 MTC设备进行认证的方法流程图；图 5为本发明实施例一应用于 UMTS网络中的流程示意图；图 6为本发明实施例一应用于 LTE网络中的流程示意图；

图 7为本发明实施例二提供的对 MTC设备进行认证的方法流程图；图 8为本发明实施例二应用于 UMTS网络中的流程示意图；图 9为本发明实施例二应用于 LTE网络中的流程示意图；

图 10为本发明实施例三提供的对 MTC设备进行认证的方法流程图；图 11为本发明实施例三应用于 UMTS网络中的流程示意图；图 12为本发明实施例三应用于 LTE网络中的流程示意图；

图 13为本发明实施例四提供的对 MTC设备进行认证的方法流程图；图 14为本发明实施例四应用于 UMTS网络中的流程示意图；图 15为本发明实施例四应用于 LTE网络中的流程示意图；图 16为本发明实施例提供的网络侧实体结构示意图一；

图 17为本发明实施例提供的网络侧实体结构示意图二；

图 18为本发明实施例提供的网络侧实体结构示意图三；

图 19 为本发明实施例提供的网络侧实体结构示意图中第一认证单元 1302的结构示意图；

图 20为本发明实施例提供的对 MTC设备进行认证的设备结构示意图图 21为本发明实施例提供的对 MTC设备进行认证的设备结构示意图图 22为本发明实施例提供的对 MTC设备进行认证的设备中第四认证单元 1402的结构示意图；

图 23为本发明实施例提供的对 MTC设备进行认证的设备结构示意图图 24为本发明另一个实施例提供的对 MTC设备进行认证的设备结构示意图；

图 25为本发明另一个实施例提供的网络侧实体的结构示意图。具体实施方式图 1、图 2和图 3所示的是本发明实施例所基于的 MTC组的三种可能的场景，其中，标号 1为 MTC设备，标号 2为 MTC网关。在图 1中，一组 MTC设备 1直接接入 3GPP网络，网络架构中不需要 MTC网关，每个 MTC设备需要和网络进行互鉴权后才可以进行通信。在图 2中，一组 MTC 设备通过 MTC网关 2连接到 3GPP网络，但是网络侧能够识别网关下的每一个 MTC设备。即从网络侧来看， MTC网关相当于一个普通的 MTC设备，具有普通的 MTC设备所具有的所有功能；从组内的每一个 MTC设备来看， MTC网关提供了组内其它 MTC设备的外接通道。每个 MTC设备和 MTC 网关都需要通过认证后才能够与网络侧进行通信。在图 3中，一组 MTC设备通过 MTC网关 2连接到 3GPP网络，但是网络侧只能识别 MTC网关，而不能识别网关下的 MTC设备。 MTC 网关需要和网络进行互鉴权后才可以进行通信。上述 MTC网关 2可以为一个具备网关功能的 MTC设备。

为了解决现有技术中在大量 MTC设备接入网络的情况下，由于信令流量增加而造成的网络拥塞的问题，本发明实施例提供一种对通信设备进行认证的方法和装置。

如图 4所示，本发明实施例一提供的对 MTC设备进行认证的方法，包括：

步骤 101，接收待认证的 MTC设备发送的包含组标识的附着请求，所述组标识为所述待认证的 MTC设备所在 MTC组的组标识；

在本实施例中，所述待认证的 MTC设备为一个 MTC组内需要与网络进行通讯的 MTC设备，在接入网络之前，需要与网络进行相互认证并生成系统密钥。本实施例对每个 MTC组都设置一个组标识，这个组标识是唯一的，可以用 Group IMSI来表示，不同的 MTC组有不同的 Group IMSI。

步骤 102，确定本地是否存在与所述组标识绑定的第一组认证向量；在本实施例中，所述组认证向量是指用于认证 MTC组内的 MTC设备的认证向量，该 MTC组内的多个待认证的 MTC设备可共用该组认证向量进行认证。所述第一组认证向量是由 MTC组内第一个接入网络的 MTC设备在与网络相互认证过程中产生的，将此第一组认证向量与所述组标识绑定，以便于属于同一个 MTC组的另一个 MTC设备需要接入网络时，能快速地找到该组认证向量，而不需要重新生成。上述第一个接入网络的 MTC 设备指：在当前该 MTC组中没有 MTC设备接入上述网络的情况下，首个向该网络发送附着请求的 MTC设备。

步骤 103，如果存在，则根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。在本实施例中，所述待认证的 MTC设备的系统密钥包括网络侧密钥和设备侧密钥。

本发明实施例提供的对 MTC设备进行认证的方法，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量对组内待认证的 MTC设备进行认证并生成系统密钥，避免了在认证和生成系统密钥的过程中，需要为不同的 MTC设备生成不同的认证向量的问题，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC设备数量巨大而造成的 15位的 IMSI不够用的问题。本发明的实施例提供的对 MTC设备进行认证的方法，在大量 MTC设备在短时间内接入网络的情况下，也能够对每个 MTC设备进行有效认证。

进一步地，在步骤 102 中，如果确定本地不存在与所述组标识绑定的第一组认证向量，还需要获取该第一组认证向量，具体包括以下步骤：步骤 1021，根据所述组标识从服务器获取所述第一组认证向量；在本实施例中，所述服务器为网络侧的特定服务器。例如，在通用移动通信系统 ( Universal Mobile Telecommunication System, UMTS ) 网各中，所述服务器为归属位置寄存器（ Home Location Register, HLR ); 在长期演进 (Long Term Evolution, LTE)网络中，所述服务器为归属用户系统（Home Subscriber System, HSS )。

步骤 1022，建立所述组标识和所述获取的第一组认证向量之间的绑定关系；

在本实施例中，建立绑定关系的目的是使得获取到的第一组认证向量能够直接用来对同一个 MTC组中的其它 MTC设备进行认证和生成系统密钥，而不需要每次重新获取。

进一步地，步骤 101 中所接收到的附着请求中还可以包含第二设备特征。设备特征能够在 MTC组内唯一标识该 MTC组内的 MTC设备。上述第二设备特征是用于标识上述待认证的 MTC设备的参数；所述第二设备特征可以是所述待认证的 MTC设备的位置参数，也可以是其它能够唯一标识所述待认证的 MTC设备的参数。当附着请求中包含所述第二设备特征时，在确定本地存在第一组认证向量之后，还包括以下步骤：

确定所述第二设备特征与本地存储的第一设备特征是否相同，其中，所述第一设备特征为 MTC组内第一个接入网络的 MTC设备的设备特征，它与组标识和第一组认证向量共同绑定在一起；第二设备特征为组内其他 MTC设备的设备特征。当第二设备特征与本地存储的第一设备特征不相同，即待认证的 MTC设备不是所述第一个接入网络的 MTC设备时，根据第一组认证向量，对待认证的 MTC设备进行认证并生成待认证的 MTC设备的系统密钥；当第二设备特征与本地存储的第一设备特征相同，即待认证的 MTC设备是所述第一个接入网络的 MTC设备时，根据组标识重新获取组认证向量，并把重新获取的组认证向量称为第二组认证向量，由于每次获取组认证向量时所用的随机数不一样，所以第二组认证向量与第一组认证向量也是不一样的。然后，建立组标识、第二设备特征和获取的第二组认证向量之间的绑定关系，并根据第二组认证向量和第二设备特征生成的期待响应数，根据该期待响应数对待认证的 MTC设备进行认证；并根据第二组认证向量和第二设备特征生成待认证的 MTC设备的系统密钥。

为了使本领域技术人员能够更清楚地理解本发明实施例一提供的技术方案，下面通过具体的应用场景，对实施例一提供的技术方案进行详细说明。

如图 5所示，本发明实施例一提供的对 MTC设备进行认证的方法，可以应用于图 1所示的场景一中。本实施例中，一组 MTC设备共同使用一个身份标识 Group IMSI和该身份标识对应的基本密钥 K; 组内第一个 MTC 设备接入网络时，和网络之间进行相互认证，并生成系统密钥；其它 MTC 设备接入网络时，重用第一个 MTC设备所获取的组认证向量与网络进行相互认证并生成系统密钥。上述第一个 MTC设备指：在当前该 MTC组中没有 MTC设备接入上述网络的情况下，首个向该网络发送附着请求的 MTC 设备。在 UMTS网络中，该方法包括以下步骤：

步骤 201，第一个 MTC设备向拜访位置寄存器（ Visited Location Register, VLR )发送附着请求，该附着请求中含有组内设备共同的身份标识 Group IMSI、第一个 MTC设备的设备特征 device position 1、和时间戳 time stamp 1，此时间戳是基于发送所述附着请求的时间生成的。其中， device position 表示每个设备在 MTC 设备组中所处的位置，用来作为每个设备的设备特征。该设备特征可以由拥有这一组 MTC设备的用户指定，在注册阶段告知运营商，或者，由这一组 MTC设备中的某个特定设备在注册时告知运营商这一组 MTC设备的信息，由运营商为每个 MTC设备分配设备特征。当然，还可以选用其它的特征作为设备特征，此处不——列举。

步骤 202， VLR接收到第一个 MTC设备的附着请求后，检查是否存在此 Group IMSI和组认证向量的绑定关系，即确认是否存在与此 Group IMSI 绑定的认证向量。

由于是第一个 MTC设备，所以不存在此绑定关系，需要获取新的组认证向量。

步骤 203， VLR向归属位置寄存器（ Home Location Register, HLR )发送认证向量请求，该请求中含有 Group IMSI;

步骤 204， HLR根据 Group IMSI找到对应的基本密钥 K，生成组认证向量 AV=(RAND, XRES, CK, IK, AUTH) ,其中， RAND表示随机数， XRES 表示期待响应数， CK表示加密密钥， IK表示完整性密钥， AUTH表示认证标记。需要说明的是， HLR可以生成一个 AV，也可以生成一组 AV发送给 VLR， VLR可以重复使用一个 AV或者循环使用一组 AV对 MTC设备进行认证；

步骤 205， HLR将 AV和预先定义的功能函数 F发送给 VLR。需要说明的是，所述功能函数 F也可以直接配置在 VLR中，用于后续步骤中计算系统密钥、设备期待响应数等参数。

步骤 206， VLR存储 AV和功能函数 F，并将此 AV和第一个 MTC设备的设备特征 device position 1、组内设备共同的身份标识 Group IMSI建立绑定关系；然后，利用功能函数 F计算第一个 MTC设备的期待响应数 XRES device 1= F(device position 1, time stamp 1, XRES ), 其中， device position 1 为在步骤 202中接收到的参数， XRES为组认证向量 AV中的参数；

步骤 207， VLR向第一个 MTC设备发送组认证信息，所述组认证信息是从 AV中获取的参数，其中含有随机数 RAND和认证标记 AUTH;

步骤 208，第一个 MTC设备接收到所述组认证信息后，检查认证标记 AUTH, 若正确，则完成所述第一个 MTC设备对网络侧的认证。并计算出第一个 MTC设备的响应数 RES device l=F(device position 1, time stamp 1, RES), 第一个 MTC设备的加密密钥 CK device l=F(device position 1, time stamp 1, CK)和第一个 MTC设备的完整性密钥 IK device l=F(device position 1, time stamp 1, IK);

步骤 209，第一个 MTC设备将含有 RES device 1的设备认证信息发送给 VLR;

步骤 210， VLR检查 XRES device 1与接收到的 RES device 1是否相等，如果相等，则接受第一个 MTC设备的附着请求，完成网络对第一个 MTC设备的认证，并计算出网洛侧的密钥 CK device 1= F(device position 1 , time stamp 1, CK)和 IK device 1= F(device position 1, time stamp 1, IK);

步骤 211， VLR向第一个 MTC设备发送接受其附着请求的消息，完成第一个 MTC设备和网络之间的相互认证；

步骤 212，第二个 MTC设备向 VLR发送附着请求，消息中含有 device position2、 time stamp 2和 Group IMSI;

步骤 213， VLR收到第二个 MTC设备的附着请求后，检查是否存在此 Group-IMSI和 AV的绑定关系，如果不存在，则向 HLR请求新的 AV; 如果存在，则检查附着请求中的 device position 2是否跟与 Group-IMSI、 AV的绑定的 device position相同，如果不相同，则利用现有的 AV对第二个 MTC设备进行认证，如果相同，则向 HLR请求新的 AV。

此步骤中，由于是第二个 MTC设备，所以不需要申请新的 AV，直接利用第一个 MTC设备申请的 AV进行认证，并生成系统密钥。方法与对第一个 MTC设备认证的方法相同，此处不再赘述。

上述对第二个 MTC设备的认证方法，仅以第二个接入网络的 MTC设备为例进行说明，但该方法并不局限于对当前 MTC组内第二个发送附着请求的 MTC设备的认证，该方法适用于该 MTC组内除第一个 MTC设备外所有后续发送附着请求的 MTC设备。

需要说明的是，除了时间戳 time stamp夕卜，也可以使用其它参数，如随机数 RAND来生成系统密钥。 VLR执行的部分功能（如利用函数 F计算 XRES device、 CK device和 IK device, 以及检查 Group IMSI和 AV的绑定关系等）也可以在 HLR中执行。当第一个接入网络的 MTC设备关机、而其他 MTC设备仍需要和网络侧进行通信时，需要 VLR保存第一个接入网络的 MTC设备的关机记录，以保证第一个接入网络的 MTC设备在关机的情况下可以使其他的 MTC设备获得新的 AV。如图 6所示，上述方法也可以应用在长期演进 (Long Term Evolution, LTE)网络中，不同之处在于， UMTS网络中的 VLR对应 LTE网络中的移动管理实体（ Mobility Management Entity, MME ) , UMTS网络中的 HLR对应 LTE 网络中的归属用户系统（ Home Subscriber System, HSS )，该方法包括：

步骤 301，第一个 MTC设备向 MME发送附着请求，该附着请求中含有组内设备共同的身份标识 Group IMSI、第一个 MTC设备的设备特征 device position 1、和时间戳 time stamp 1，此时间戳是基于发送所述附着请求的时间生成的；

步骤 302， MME接收到第一个 MTC设备的附着请求后，检查是否存在此 Group IMSI和认证向量 AV的绑定关系，即确认是否存在与此 Group IMSI绑定的认证向量。由于是第一个 MTC设备，所以不存在此绑定关系，需要获取新的认证向量 AV;

步骤 303， MME向归属用户系统（ Home Subscriber System, HSS )发送认证向量请求，该请求中含有 Group IMSI;

步骤 304， HSS根据 Group IMSI找到对应的 K，生成认证向量 AV=(RAND， AUTH, XRES, K_ASME ), HSS可以生成一个 AV，也可以生成一组 AV发送给

MME, MME可以重复使用一个 AV或者循环使用一组 AV对 MTC设备进行认证；

步骤 305， HSS将 AV和预先定义的功能函数 F发送给 MME。需要说明的是，所述功能函数 F也可以直接配置在 MME中；

步骤 306， MME存储 AV和功能函数 F，并将此 AV和第一个 MTC设备的设备特征 device position 1、组设备共同的身份标识 Group IMSI建立绑定关系；然后，利用功能函数 F计算第一个 MTC设备的期待响应数 XRES device 1= F(device position 1, time stamp 1, XRES );

步驟 307， MME向第一个 MTC设备发送组认证信息，所述组认证信息中含有随机数 RAND和认证标记 AUTH;

步骤 308，第一个 MTC设备接收到所述组认证信息后，检查认证标记 AUTH, 若正确，则完成所述第一个 MTC设备对网络侧的认证。并计算出第一个 MTC设备的响应数 RES device l=F(device position 1, time stamp 1, RES)和参数 K_ASME device l=F(Device position 1, time stamp 1， K_ASME )；

步骤 309，第一个 MTC设备将含有 RES device 1的设备认证信息发送给 MME;

步骤 310， MME检查 XRES device 1与接收到的 RES device 1是否相等，如果相等，则接受第一个 MTC设备的附着请求，完成网络对第一个 MTC设备的认证，并计算出网洛侧 K_ASME device l=F(Device position 1, time stamp L

KASME)，

步骤 311， MME向第一个 MTC设备发送接受其附着请求的消息，完成第一个 MTC设备和网络之间的相互认证；

步骤 312，第二个 MTC设备向 MME发送附着请求，消息中含有 device position2、 time stamp 2和 Group IMSI;

步骤 313， MME收到第二个 MTC设备的附着请求后，检查是否存在此 Group-IMSI和 AV的绑定关系，如果不存在，则向 HSS请求新的 AV; 如果存在，则检查附着请求中的 device position 2是否跟与 Group-IMSI、 AV的绑定的 device position相同，如果不相同，则利用现有的 AV对第二个 MTC设备进行认证，如果相同，则向 HSS请求新的 AV。

需要说明的是，除了时间戳 time stamp夕卜，也可以使用其它参数，如随机数 RAND来生成系统密钥。 MME执行的部分功能（如利用函数 F计算 XRES device、 ^KASME device等）也可以在 HSS中执行。当第一个接入网络的 MTC设备关机、而其他 MTC设备仍需要和网络侧进行通信时，需要 MME保存第一个接入网络的 MTC设备的关机记录，以保证第一个接入网络的 MTC设备在关机的情况下可以使其他的 MTC设备获得新的 AV。

本发明实施例提供的对 MTC设备进行认证的方法，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量对组内待认证的 MTC设备进行认证并生成系统密钥，避免了在认证和生成系统密钥的过程中，需要为不同的 MTC设备生成不同的认证向量的问题，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC设备数量巨大而造成的 15位的 IMSI不够用的问题。本发明的实施例提供的对 MTC设备进行认证的方法，在大量 MTC设备在短时间内接入网络的情况下，也能够对每个 MTC设备进行有效认证。如图 7所示，本发明实施例二提供的对 MTC设备进行认证的方法，包括：

步骤 401， MTC组内的主 MTC设备与网络侧进行认证成功后，接收所述 MTC组内第二 MTC设备发送的附着请求；

在本实施例中，所述主 MTC设备可以是一个 MTC组内的网关，也可以是一个指定的 MTC设备，由该主 MTC设备先与网络侧进行相互认证后，再由该主 MTC设备对组内其它待认证的 MTC设备进行认证。

步骤 402，对所述第二 MTC设备进行认证，并使用所述主 MTC设备与网络侧进行认证过程中产生的组认证向量为所述第二 MTC设备生成系统密钥；

在本实施例中，所述第二 MTC设备为组内除了主 MTC设备以外的任一 MTC设备；通过重用组认证向量来为第二 MTC设备生成系统密钥。

步骤 403，将所述系统密钥发送给所述第二 MTC设备。

本实施例中，系统密钥包括网络侧密钥和设备侧密钥，主 MTC设备向第二 MTC设备发送的是第二 MTC设备的设备侧密钥。

本发明实施例提供的对 MTC设备进行认证的方法，首先由一个 MTC 组内的主 MTC设备与网络侧进行相互认证，并利用它们相互认证过程中产生的组认证向量为组内其它认证通过的 MTC设备生成系统密钥，避免了现有技术中，需要使用不同的认证向量为不同的 MTC设备生成系统密钥的问题。本实施例提供的方法，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。

进一步地，在组内主 MTC设备与网络侧进行认证成功之后，将它们在认证过程中生成的组认证向量与组标识建立绑定关系，以便组内其它 MTC 设备要进行认证而向主 MTC设备发送包含组标识和该 MTC设备的设备特征（称为第二 MTC设备的设备特征）的附着请求时，可以快速地根据组标识找到组认证向量，并使用该组认证向量和该 MTC设备的设备特征为该 MTC设备生成系统密钥。

为了使本领域技术人员能够更清楚地理解本发明实施例二提供的技术方案，下面通过具体的应用场景，对实施例二提供的技术方案进行详细说明。

如图 8所示，本发明实施例二提供的对 MTC设备进行认证的方法，可以应用于图 2和图 3所示的场景二和场景三中。本实施例中，一组 MTC设备共同使用一个身份标识 Group IMSI和对应的基本密钥 K; 组内 MTC网关接入网络时，和网络之间进行相互认证，并生成系统密钥； MTC网关负责对组内其它 MTC设备进行认证，通过重用由 MTC网关获取的 AV生成密钥，分配给其他 MTC设备。在 UMTS网络中，该方法包括以下步骤：步骤 501， MTC网关向 VLR发送附着请求，该请求中含有组设备共同的身份标识 Group IMSI、 MTC网关的设备特征 device position, 和时间戳 time stamp, 此时间戳是基于发送所述附着请求的时间生成的；

步骤 502， VLR向 HLR发送认证向量 AV请求，该请求中含有 Group IMSI;

步骤 503， HLR 根据 Group IMSI 找到对应的 K，生成认证向量 AV=(RAND, XRES, CK, IK, AUTH) , 其中， RAND表示随机数， XRES表示期待响应数， CK表示加密密钥， IK表示完整性密钥， AUTH表示认证标记；

步骤 504， HLR将 AV和预先定义的功能函数 F发送给 VLR。需要说明的是，所述功能函数 F也可以直接配置在 VLR中，用于后续步骤中计算系统密钥、设备期待响应数等参数；

步骤 505， VLR存储 AV和功能函数 F，并将此 AV和 MTC网关的设备特征 device position、组内设备共同的身份标识 Group IMSI建立绑定关系；然后，利用功能函数 F计算 MTC网关的期待响应数 XRES device = F(device position, time stamp, XRES )，其中， device position为在步骤 502中接收到的参数， XRES为组认证向量 AV中的参数；

步骤 506， VLR向 MTC网关发送组认证信息，所述组认证信息中含有随机数 RAND和认证标 i己 AUTH;

步骤 507， MTC网关接收到所述组认证信息后，检查认证标记 AUTH，若正确，则完成所述 MTC网关对网络侧的认证。并计算出 MTC网关的响应数 RES device =F(device position, time stamp, RES)、 MTC网关的加密密钥 CK device =F(device position , time stamp , CK)和 MTC网关的完整性密钥 IK device =F(device position , time stamp , IK);

步骤 508， MTC网关将含有 RES device 的设备认证信息发送给 VLR; 步骤 509， VLR检查 XRES device 与接收到的 RES device 是否相等，如果相等，则接受 MTC网关的附着请求，完成网络对 MTC网关的认证，并计算出网洛侧的密钥 CK device = F(device position , time stamp, CK)和 IK device = F(device position , time stamp, IK);

步骤 510， VLR向 MTC网关发送接受其附着请求的消息，完成 MTC网关和网络之间的相互认证；

步骤 511，组内其它 MTC设备向 MTC网关发送附着请求，消息中含有该

MTC设备的 device position 2、 time stamp 2和 Group IMSI; 步骤 512， MTC网关收到组内其它 MTC设备的附着请求后，对该 MTC 设备进行认证；

步骤 513，如果 MTC网关对所述 MTC设备认证通过，则 MTC网关向 VLR发送所述 MTC设备的附着请求，该附着请求中含有 Group IMSI, time stamp2和 device position 2;

步骤 514， VLR根据 Group IMSI找到在步骤 505中接收的 AV，并计算出网络侧的密钥 CK device 2=F(device position 2, time stamp 2, CK), IK device 2=F(device position 2, time stamp 2, IK);

步骤 515， MTC网关根据所述 MTC设备的设备特征 device position 2 计算出设备侧的密钥 CK device 2=F(device position 2, time stamp 2, CK), IK device 2=F(device position 2, time stamp 2, IK);

步骤 516， MTC网关将生成的设备侧密钥 CK device 2和 IK device 2 分发给所述 MTC设备。

需要说明的是，上述 MTC网关也可以是一组 MTC设备中的主设备，它首先进行认证接入网络。除了时间戳 time stamp夕卜，也可以使用其它参数，如随机数 RAND来生成系统密钥。

如图 9所示，上述方法也可以应用在 LTE网络中，不同之处在于， UMTS 网络中的 VLR对应 LTE网络中的 MME, UMTS网络中的 HLR对应 LTE网络中 HSS,具体的实现方法如下所述：

步骤 601， MTC网关向 MME发送附着请求，该请求中含有组设备共同的身份标识 Group IMSI、 MTC网关的设备特征 device position, 和时间戳 time stamp, 此时间戳是基于发送所述附着请求的时间生成的；

步骤 602， MME向 HSS发送认证向量 AV请求，该请求中含有 Group IMSI;

步骤 603， HSS 根据 Group IMSI 找到对应的 K，生成认证向量 AV=(RAND, AUTH, XRES, K_ASME ); 步骤 604， HSS将 AV和预先定义的功能函数 F发送给 MME;

步骤 605， MME存储 AV和功能函数 F，并将此 AV和 MTC网关的设备特征 device position, 组设备共同的身份标识 Group IMSI建立绑定关系；然后，利用功能函数 F计算 MTC网关的期待响应数 XRES device = F(device position, time stamp, XRES );

步骤 606， MME向 MTC网关发送组认证信息，所述组认证信息中含有随机数 RAND和认证标记 AUTH;

步骤 607， MTC网关接收到所述组认证信息后，检查认证标记 AUTH，若正确，则完成所述 MTC网关对网络侧的认证。并计算出 MTC网关的响应数 RES device =F(device position, time stamp, RES) 和参数 K_{A s M} device=F(Device position, time stamp, K_ASME );

步骤 608， MTC网关将含有 RES device 的设备认证信息发送给 MME; 步骤 609， MME检查 XRES device 与接收到的 RES device 是否相等，如果相等，则接受 MTC网关的附着请求，完成网络对 MTC网关的认证，并计算出网各则 K_ASME device =F (Device position, time stamp, K_ASME );

步骤 610， MME向 MTC网关发送接受其附着请求的消息，完成 MTC网关和网络之间的相互认证；

步骤 611，组内其它 MTC设备向 MTC网关发送附着请求，消息中含有该 MTC设备的 device position 2、 time stamp 2和 Group IMSI;

步骤 612， MTC网关收到组内其它 MTC设备的附着请求后，对该 MTC 设备进行认证；

步骤 613，如果 MTC网关对所述 MTC设备认证通过，则 MTC网关向 MME发送所述 MTC设备的附着请求，该附着请求中含有 Group IMSI和 device position 2；

步骤 614， MME根据 Group IMSI找到在步骤 605中接收的 AV，并计算出网各侧的 K_ASME device 2 =F(Device position 2, time stamp 2, K_ASME ); 步骤 615， MTC网关根据所述 MTC设备的设备特征 device position 2计算出设备则的 K_ASME device 2 =F(Device position 2, time stamp 2, K_ASME ); 步骤 616， MTC网关将生成的设备侧的 K_ASME device 2分发给所述 MTC 设备。

本发明实施例提供的对 MTC设备进行认证的方法，首先由一个 MTC 组内的主 MTC设备与网络侧进行相互认证，并利用它们相互认证过程中产生的组认证向量为组内其它认证通过的 MTC设备生成系统密钥，避免了现有技术中，需要使用不同的认证向量为不同的 MTC设备生成系统密钥的问题。本实施例提供的方法，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。如图 10所示，本发明实施例三提供的对 MTC设备进行认证的方法，包括：

步骤 701， MTC组内的主 MTC设备向网络侧发送附着请求，其中，所述附着请求中包含所述 MTC 组的组标识和所述 MTC 组内其它待认证的 MTC设备的设备特征；

在本实施例中， MTC组内其它待认证的 MTC设备可以为一个或者多个，主 MTC设备起到了批量处理的作用，不同的 MTC设备对应相同的组标识和不同的设备特征。在后续生成系统密钥的过程中，针对不同的 MTC 设备会根据各自不同的设备特征生成不同的系统密钥，即保证了系统的安全性，也提高了处理效率。

步骤 702，所述主 MTC设备与所述网络侧进行认证，并使用组认证向量和所述其它待认证的 MTC设备的设备特征为所述其它待认证的 MTC设备生成系统密钥，其中，所述组认证向量为所述主 MTC设备与所述网络侧进行认证的过程中产生的；

步骤 703，所述主 MTC设备对所述其它待认证的 MTC设备进行认证成功后，将所述系统密钥发送给所述其它待认证的 MTC设备。

本实施例中，系统密钥包括网络侧密钥和设备侧密钥，主 MTC设备向待认证的 MTC设备发送的是它们的设备侧密钥。

本发明实施例提供的对 MTC设备进行认证的方法，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量为组内所有待认证的 MTC设备生成系统密钥，并将生成的系统密钥分发给这些 MTC设备，避免了现有技术中，需要使用不同的认证向量为不同的 MTC设备生成系统密钥，从而产生巨大的信令流量的问题。本实施例提供的方法，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC设备数量巨大而造成的 15位的 IMSI不够用的问题。

为了使本领域技术人员能够更清楚地理解本发明实施例三提供的技术方案，下面通过具体的应用场景，对实施例三提供的技术方案进行详细说明。

如图 11所示，本发明实施例三提供的对 MTC设备进行认证的方法，应用于图 2和图 3所示的场景二和场景三中。本实施例中，一组 MTC设备共同使用一个身份标识 Group IMSI和对应的基本密钥 K; 组内 MTC网关接入网络时，和网络之间进行相互认证，并一次性将组内其它待认证的 MTC 设备的设备特征发送给网络侧，重用认证向量 AV为组内其它 MTC设备生成系统密钥； MTC网关负责对组内其它 MTC设备进行认证，并给组内其它 MTC设备分配密钥。在 UMTS网络中，该方法包括以下步骤：

步骤 801， MTC网关向 VLR发送附着请求，该请求中含有组设备共同的身份标识 Group IMSI,时间戳 time stam 和组内每个 MTC设备的设备特征 device position 1， device position 2， device position 3 所述时间戮是基于发送所述附着请求的时间生成的；

步骤 802， VLR向 HLR发送认证向量 AV请求，该请求中含有 Group IMSI和组内每个 MTC设备的设备特征 device position 1， device position 2， device position 3 用 device position n来表示；

步骤 803， HLR 根据 Group IMSI 找到对应的 K，生成认证向量 AV=(RAND, XRES, CK, IK, AUTH) , 其中， RAND表示随机数， XRES表示期待响应数， CK表示加密密钥， IK表示完整性密钥， AUTH表示认证标记。并利用组内每个设备的设备特征 device position n计算出每个设备的网各侧加密密钥 CK device n=F(device position n, time stamp, CK)和网洛侧冗整性密钥 IK device n=F(device position n, time stamp, IK);

步骤 804， HLR将 AV、预先定义的功能函数 F和每个 MTC设备网络侧的加密密钥 CK device和完整性密钥 IK device发送给 VLR。当然，所述功能函数 F也可以直接配置在 VLR中；

步骤 805， VLR存储 AV、功能函数 F和每个设备网络侧的加密密钥 CK device和完整性密钥 IK device;

步骤 806， VLR向 MTC网关发送组认证信息，所述组认证信息中含有随机数 RAND和认证标 i己 AUTH;

步骤 807， MTC网关接收到所述组认证信息后，检查认证标记 AUTH，若正确，则完成所述 MTC网关对网络侧的认证，并计算出响应数 RES、加密密钥 CK和完整性密钥 IK;

步骤 808， MTC网关将含有 RES的设备认证信息发送给 VLR;

步骤 809， VLR检查 XRES 与接收到的 RES是否相等，如果相等，则接受 MTC网关的附着请求，完成网络对 MTC网关的认证；

步骤 810， VLR向 MTC网关发送接受其附着请求的消息，完成 MTC网关和网络之间的相互认证；步骤 811， MTC网关根据步骤 807中计算出的 CK、 IK和每个 MTC设备的设备特征 device position n计算出每个 MTC设备的加密密钥 CK device n=F(device position n, time stamp, CK)， IK device n=F(device position n, time stamp, IK);

步骤 812， MTC网关对组内的每个 MTC设备进行认证；

步骤 813，如果认证成功， MTC网关将在步骤 811中计算出的 CK device n 和 IK device n分发给相应的 MTC设备。

如图 12所示，上述方法也可以应用在 LTE网络中，不同之处在于， UMTS 网络中的 VLR对应 LTE网络中的 MME, UMTS网络中的 HLR对应 LTE网络中的 HSS,具体的实现方法如下所述：

步骤 901， MTC网关向 MME发送附着请求，该请求中含有组设备共同的身份标识 Group IMSI、时间戳 time stam 和组内每个 MTC设备的设备特征 device position 1， device position 2， device position 3 所述时间戮是基于发送所述附着请求的时间生成的；

步骤 902， MME向 HSS发送认证向量 AV请求，该请求中含有 Group IMSI和组内每个 MTC设备的设备特征 device position 1， device position 2， device position 3 用 device position n来表示；

步骤 903， HSS 根据 Group IMSI 找到对应的 K，生成认证向量 AV=(RAND, AUTH, XRES, K_ASME ) , 并利用组内每个设备的设备特征 device position n 计算出每个设备的网各侧的 K_ASME device n= F(Device position n, time stamp, K_ASME );

步骤 904， HSS AV, 预先定义的功能函数 F和每个 MTC设备网络侧的 K_ASME device发送给 MME; 步骤 905， MME存储 AV、功能函数 F和每个设备网络侧的 K_ASME device;

步骤 906， MME向 MTC网关发送组认证信息，所述组认证信息中含有随机数 RAND和认证标记 AUTH;

步骤 907， MTC网关接收到所述组认证信息后，检查认证标记 AUTH，若正确，则完成所述 MTC网关对网络侧的认证，并计算出响应数 RES和设备侧的 K_{ASME ;}

步骤 908， MTC网关将含有 RES的设备认证信息发送给 MME;

步骤 909， MME检查 XRES 与接收到的 RES是否相等，如果相等，则接受 MTC网关的附着请求，完成网络对 MTC网关的认证；

步骤 910, MME向 MTC网关发送接受其附着请求的消息，完成 MTC 网关和网络之间的相互认证；

步骤 911， MTC网关根据步骤 907中计算出的 K_ASME和每个 MTC设备的设备特征 device position n 计算出每个 MTC 设备的 K_ASME device n=F(device position n, time stamp, K_ASME );

步骤 912， MTC网关对组内的每个 MTC设备进行认证；

步骤 913，如果认证成功， MTC网关将在步骤 911 中计算出的 K_ASME device n分发给相应的 MTC设备。

本发明实施例提供的对 MTC设备进行认证的方法，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量一次性为组内其它待认证的 MTC 设备生成系统密钥，并将生成的系统密钥分发给这些 MTC设备，避免了现有技术中，需要使用不同的认证向量为不同的 MTC 设备生成系统密钥，从而产生巨大的信令流量的问题。本实施例提供的方法，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC 设备数量巨大而造成的 15位的 IMSI不够用的问题。

如图 13所示，本发明实施例四提供的对 MTC设备进行认证的方法，包括：

步骤 1001，接收包含组标识和设备特征的附着请求，所述组标识为待认证的 MTC设备所在 MTC 组的组标识，所述设备特征为所述待认证的 MTC设备的设备特征；

步骤 1002，根据所述组标识和所述设备特征获取所述待认证的 MTC 设备的认证向量；

步骤 1003，根据所述认证向量和所述设备特征对所述待认证的 MTC 设备进行认证并生成所述待认证的 MTC设备的系统密钥。

本发明实施例提供的对 MTC设备进行认证的方法，通过共用一个组标识来获取认证向量，解决了由于 MTC设备数量巨大而造成的 15位 IMSI 不够用的问题。同时，针对不同的 MTC设备就会根据不同的设备特征生成不同的系统密钥，既保证了系统安全性，也提高了处理效率。本发明的实施例提供的对 MTC设备进行认证的方法，能够在大量 MTC设备在短时间内接入网络的情况下，也能对每个 MTC设备进行有效认证。

为了使本领域技术人员能够更清楚地理解本发明实施例四提供的技术方案，下面通过具体的应用场景，对实施例四提供的技术方案进行详细说明。

如图 14所示，本发明实施例四提供的对 MTC设备进行认证的方法，可以应用于图 1所示的场景一中。本实施例中，一组 MTC设备共同使用一个身份标识 Group IMSI，基于份标识 Group IMSI和设备特征 device position 对应不同的基本密钥 K; 组内每个 MTC设备通过 Group IMSI和设备特征 device position接入网络，基于不同的 K对每个 MTC设备进行认证并生成系统密钥。在 UMTS网络中，该方法包括以下步骤：

步骤 1101， MTC设备向 VLR发送附着请求，该附着请求中含有组设备共同的身份标识 Group IMSI和该 MTC设备的设备特征 device position; 步骤 1102， VLR向 HLR发送认证向量 AV请求，该请求中含有 Group IMSI和 device position;

步骤 1103， HLR根据 Group IMSI和 device position找到对应的基本密钥 K,并利用预先定义的功能函数 F生成 AV=(RAND, XRES device, CK, IK, AUTH), 其中， XRES device=F(device position, XRES);

步骤 1104， HLR将 AV和预先定义的功能函数 F发送给 VLR。需要说明的是，所述功能函数 F也可以直接配置在 VLR中；

步骤 1105， VLR存储 AV和功能函数 F;

步骤 1106， VLR向所述 MTC设备发送认证信息，所述认证信息中含有随机数 RAND和认证标记 AUTH;

步骤 1107，所述 MTC 设备接收到所述认证信息后，检查认证标记 AUTH, 若正确，则完成对所述 MTC 设备对网络侧的认证。并计算出该 MTC设备的响应数 RES device =F(device position ， RES), MTC设备的加密密钥 CK device =F(device position , CK)和 MTC设备的完整性密钥 IK device =F(device position , IK);

步骤 1108，所述 MTC设备将含有 RES device 的设备认证信息发送给

VLR;

步骤 1109， VLR检查 XRES device 与接收到的 RES device 是否相等，如果相等，则接受所述 MTC设备的附着请求，完成网络对所述 MTC设备的认证，并计算出网络侧的密钥 CK device = F(device position , CK)和 IK device = F(device position , IK);

步骤 1110， VLR向所述 MTC设备发送接受其附着请求的消息，完成所述 MTC设备和网络之间的相互认证。

如图 15所示，上述方法也可以应用在 LTE网络中，不同之处在于， UMTS 网络中的 VLR对应 LTE网络中的 MME, UMTS网络中的 HLR对应 LTE网络中的 HSS,具体的实现方法如下所述：

步骤 1201， MTC设备向 MME发送附着请求，该附着请求中含有组设备共同的身份标识 Group IMSI和该 MTC设备的设备特征 device position;

步骤 1202， MME向 HSS发送认证向量 AV请求，该请求中含有 Group IMSI 和 device position;

步骤 1203， HSS根据 Group IMSI和 device position找到对应的基本密钥 K, 并利用预先定义的功能函数 F生成 AV=(RAND, AUTH, XRES device,

^KASME)，其中， XRES device=F(device position, XRES);

步骤 1204， HSS将 AV和预先定义的功能函数 F发送给 MME。需要说明的是，所述功能函数 F也可以直接配置在 MME中；

步骤 1205， MME存储 AV和功能函数 F;

步骤 1206， MME向所述 MTC设备发送认证信息，所述认证信息中含有随机数 RAND和认证标记 AUTH;

步骤 1207，所述 MTC设备接收到所述认证信息后，检查认证标记 AUTH，若正确，则完成对所述 MTC设备对网络侧的认证。并计算出该 MTC设备的响应数 RES device =F(device position ， RES) , MTC设备的 ^KAS E device

K

=F(device position, ^ASME );

步骤 1208，所述 MTC设备将含有 RES device 的设备认证信息发送给 MME;

步骤 1209， MME检查 XRES device 与接收到的 RES device 是否相等，如果相等，则接受所述 MTC设备的附着请求，完成网络对所述 MTC设备的认证，并计算出网络侧的 ^KASME device =F(device position, ^KASME ) ; 步骤 1210， MME向所述 MTC设备发送接受其附着请求的消息，完成所述 MTC设备和网络之间的相互认证。

如图 16所示，本发明实施例还提供一种网络侧实体，包括：

第一接收单元 1301，用于接收待认证的 MTC设备发送的包含组标识的附着请求，所述组标识为所述待认证的 MTC设备所在 MTC组的组标识；第一认证单元 1302，当存在与由所述第一接收单元 1301接收的组标识绑定的第一组认证向量时，用于根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

进一步地，如图 17所示，所述网络侧实体还包括：

第一获取单元 1303，当所述第一组认证向量不存在时，用于根据由所述第一接收单元 1301接收的组标识从服务器获取所述第一组认证向量；第一建立单元 1304，用于建立由所述第一接收单元 1301接收的组标识和由所述第一获取单元 1303获取的第一组认证向量之间的绑定关系；

第二认证单元 1305，用于根据由所述第一获取单元 1303获取的第一组认证向量对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

进一步地，如图 18所示，所述网络侧实体还包括：

判断单元 1306，当由所述第一接收单元 1301接收的附着请求中还包括用于标识所述待认证的 MTC设备的第二设备特征时，用于判断所述第二设备特征与本地存储的第一设备特征是否相同，其中，所述第一设备特征为与所述组标识和第一组认证向量共同绑定的设备特征。

进一步地，如图 18所示，所述网络侧实体还包括：

第二获取单元 1307，当所述待认证的 MTC设备的第二设备特征与本地存储的第一设备特征相同时，用于根据由所述第一接收单元 1301接收的组标识获取用于认证所述 MTC组内 MTC设备的第二组认证向量；

第二建立单元 1308，用于建立由所述第一接收单元 1301接收的组标识、第二设备特征和由所述第二获取单元 1307获取的第二组认证向量之间的绑定关系；

第三认证单元 1309，用于根据由所述第二获取单元 1307获取的第二组认证向量和由所述第一接收单元 1301接收的第二设备特征生成的期待响应数，根据所述期待响应对所述待认证的 MTC设备进行认证；并根据由所述第二获取单元 1307获取的第二组认证向量和由所述第一接收单元 1301接收的第二设备特征生成所述待认证的 MTC设备的系统密钥。

如图 19所示，所述第一认证单元 1302包括：

第一生成单元 13021，用于根据所述第一组认证向量和由所述第一接收单元 1301接收的第二设备特征生成期待响应数；

第一发送单元 13022，用于向所述待认证的 MTC设备发送组认证信息，以使得所述待认证的 MTC设备根据所述组认证信息对网络进行认证并根据所述第二设备特征生成设备侧密钥，所述组认证信息是所述第一组认证向量中的信息；

第二接收单元 13023，用于接收由所述待认证的 MTC设备根据所述第二设备特征生成的响应数；

第一认证子单元 13024，用于根据由所述第二接收单元 13023接收的响应数和由所述第一生成单元 13021生成的期待响应数对所述待认证的 MTC 设备进行认证；

第二生成单元 13025，用于根据所述第一组认证向量和由所述第一接收单元 1301接收的第二设备特征生成网络侧密钥。

以上各个单元的具体实现方法可以参见步骤 201〜213 或者步骤 301〜313所述的方法部分，此处不再赘述。

本发明实施例提供的网络侧实体，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量对组内所有待认证的 MTC设备进行认证并生成系统密钥，避免了在认证和生成系统密钥的过程中，需要为不同的 MTC设备生成不同的认证向量的问题，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC设备数量巨大而造成的 15位的 IMSI不够用的问题。本发明的实施例提供的网络侧实体，在大量 MTC设备在短时间内接入网络的情况下，也能够对每个 MTC设备进行有效认证。

如图 20所示，本发明实施例还提供一种对 MTC设备进行认证的设备，包括：

第三接收单元 1401，用于在所述设备与网络侧进行认证成功后，接收所述设备所在的 MTC组内第二 MTC设备发送的附着请求；

第四认证单元 1402，用于对所述第二 MTC设备进行认证，并使用所生成系统密钥；

第二发送单元 1403，用于将由所述第四认证单元 1402生成的系统密钥发送给所述第二 MTC设备。

进一步地，如图 21所示，所述对 MTC设备进行认证的设备还包括：第三建立单元 1404，用于在所述设备与网络侧进行认证成功之后，建立所述组认证向量和所述 MTC组的组标识之间的绑定关系。

进一步地，如图 22所示，所述第四认证单元 1402包括：

第三获取单元 14021，用于获取与由所述第三接收单元 1401接收的组标识绑定的所述组认证向量；第三生成单元 14022，用于使用由所述第三获取单元 14021获取的组认证向量和由所述第三接收单元 1401接收的第二 MTC设备的设备特征为所述第二 MTC设备生成系统密钥。

进一步地，如图 23所示，所述对 MTC设备进行认证的设备还包括：转发单元 1405，用于向所述网络侧转发由所述第三接收单元 1401接收的附着请求，以使得所述网络侧使用所述组认证向量和所述第二 MTC设备的设备特征为所述第二 MTC设备生成所述系统密钥。

以上各单元的具体实现方式可以参见步骤 501〜516或者步骤 601〜616 所述的方法部分，此处不再赘述。

本发明实施例提供的对 MTC设备进行认证的设备，首先由一个 MTC 组内的主 MTC设备与网络侧进行相互认证，并利用它们相互认证过程中产生的组认证向量为组内其它认证通过的 MTC设备生成系统密钥，避免了现有技术中，需要使用不同的认证向量为不同的 MTC设备生成系统密钥的问题。本实施例提供的设备，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。

如图 24所示，本发明实施例还提供一种对 MTC设备进行认证的设备，包括：

第三发送单元 1501，用于向网络侧发送附着请求，其中，所述附着请求中包含所述设备所在 MTC组的组标识和所述 MTC组内待认证的 MTC 设备的设备特征；

第五认证单元 1502，用于所述设备与所述网络侧进行相互认证，并使用组认证向量和所述待认证的 MTC设备的设备特征为所述待认证的 MTC 设备生成系统密钥，其中，所述组认证向量为所述设备与所述网络侧进行认证的过程中产生的；

第四发送单元 1503，在所述设备对所述待认证的 MTC设备进行认证成功后，用于将由所述第五认证单元 1502生成的系统密钥发送给所述待认证的 MTC设备。

进一步地，所述对 MTC设备进行认证的设备还包括：

第四生成单元 1504，用于当由所述第三发送单元 1501发送的附着请求中包含所述设备的设备特征时，根据所述设备的设备特征生成所述设备的系统密钥。

以上各单元的具体实现方式可以参见步骤 801〜813或者步骤 901〜913 所述的方法部分，此处不再赘述。

本发明实施例提供的对 MTC设备进行认证的设备，通过一个 MTC组所共有的组标识来获取组认证向量，并通过这个组认证向量为组内所有待认证的 MTC设备生成系统密钥，并将生成的系统密钥分发给这些 MTC设备，避免了现有技术中，需要使用不同的认证向量为不同的 MTC设备生成系统密钥，从而产生巨大的信令流量的问题。本实施例提供的设备，使得信令流量大大减小，即使在大量 MTC设备在短时间内接入网络的情况下，也不会造成网络拥塞。同时，共用一个组标识也解决了由于 MTC设备数量巨大而造成的 15位的 IMSI不够用的问题。

如图 25所示，本发明实施例还提供一种网络侧实体，包括：

第四接收单元 1601，用于接收包含组标识和设备特征的附着请求，所述组标识为待认证的 MTC设备所在 MTC组的组标识，所述设备特征为所述待认证的 MTC设备的设备特征；

第四获取单元 1602，用于根据由所述第四接收单元 1601接收的组标识和所述设备特征获取所述待认证的 MTC设备的认证向量；

第六认证单元 1603，用于根据由所述第四获取单元 1602获取的认证向量和由所述第四接收单元接收 1601接收的设备特征对所述待认证的 MTC 设备进行认证并生成所述待认证的 MTC设备的系统密钥。

以上各单元的具体实现方式可以参见步骤 1101〜1110 或者步骤 1201〜1210所述的方法部分，此处不再赘述。本发明实施例提供网络侧实体，通过共用一个组标识来获取认证向量，解决了由于 MTC设备数量巨大而造成的 15位 IMSI不够用的问题。同时，针对不同的 MTC设备就会根据不同的设备特征生成不同的系统密钥，既保证了系统安全性，也提高了处理效率。本发明的实施例提供网络侧实体，能够在大量 MTC设备在短时间内接入网络的情况下，也能对每个 MTC设备进行有效认证。

本发明提供的技术方案可以应用在对 MTC设备进行认证的技术领域中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，如 ROM/RAM、磁碟或光盘等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1、一种对机器类通信 MTC设备进行认证的方法，其特征在于，包括：接收待认证的 MTC设备发送的包含组标识的附着请求，所述组标识为所述待认证的 MTC设备所在 MTC组的组标识；

确定本地是否存在与所述组标识绑定的第一组认证向量，所述第一组认证向量为用于认证所述 MTC组内 MTC设备的认证向量；

如果存在与所述组标识绑定的第一组认证向量，则根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

2、根据权利要求 1所述的方法，其特征在于，所述方法还包括：如果所述第一组认证向量不存在，则

根据所述组标识从服务器获取所述第一组认证向量；

建立所述组标识和所述获取的第一组认证向量之间的绑定关系；根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

3、根据权利要求 2所述的方法，其特征在于，

所述方法应用于通用移动通信系统 UMTS 网络中，所述方法由所述 UMTS网络中的拜访位置寄存器 VLR执行，所述服务器为所述 UMTS网络中的归属位置寄存器 HLR; 或者，

所述方法应用于长期演进 LTE网络中，所述方法由所述 LTE网络中的移动管理实体 MME执行，所述服务器为所述 LTE网络中的归属用户系统 HSS。

4、根据权利要求 1-3中任意一项所述的方法，其特征在于，所述 MTC 组内的每个 MTC设备具有设备特征，所述设备特征用于在 MTC组内唯一标识所述 MTC设备；所述附着请求中还包括用于标识所述待认证的 MTC设备的第二设备特征；

所述确定本地存在与所述组标识绑定的第一组认证向量之后，还包括：确定所述第二设备特征与本地存储的第一设备特征是否相同，其中，所述第一设备特征为与所述组标识和第一组认证向量共同绑定的设备特征；

如果所述第二设备特征与本地存储的第一设备特征不相同，则执行所述根据所述第一组认证向量对所述待认证的 MTC 设备进行认证并生成所述待认证的 MTC设备的系统密钥的步骤。

5、根据权利要求 4所述的方法，其特征在于，所述方法还包括：如果所述待认证的 MTC 设备的第二设备特征与本地存储的第一设备特征相同，则

根据所述组标识获取用于认证所述 MTC组内 MTC设备的第二组认证向量；

建立所述组标识、所述第二设备特征和所述获取的第二组认证向量之间的绑定关系；

根据由所述获取的第二组认证向量和所述第二设备特征生成的期待响应数对所述待认证的 MTC设备进行认证，并生成所述待认证的 MTC设备的系统密钥。

6、根据权利要求 4或 5所述的方法，其特征在于，所述根据所述第一组认证向量，对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC 设备的系统密钥，包括：

根据所述第一组认证向量和所述第二设备特征生成期待响应数；向所述待认证的 MTC设备发送组认证信息，以使得所述待认证的 MTC 设备根据所述组认证信息对网络进行认证并根据所述第二设备特征生成设备侧密钥，所述组认证信息是所述第一组认证向量中的信息；接收由所述待认证的 MTC设备根据所述第二设备特征生成的响应数；根据所述响应数和所述期待响应数对所述待认证的 MTC设备进行认证；

根据所述第一组认证向量和所述第二设备特征生成网络侧密钥。

7、一种对 MTC设备进行认证的方法，其特征在于，包括：

MTC组内的主 MTC设备与网络侧进行认证成功后，接收所述 MTC组内第二 MTC设备发送的附着请求，其中，所述主 MTC设备与网络侧进行认证过程中产生的认证向量作为所述 MTC组的组认证向量；

所述主 MTC设备对所述第二 MTC设备进行认证，并使用所述组认证向量为所述第二 MTC设备生成系统密钥；

所述主 MTC设备将所述系统密钥发送给所述第二 MTC设备。

8、根据权利要求 7所述的方法，其特征在于， MTC组内的主 MTC设备与网络侧进行认证成功后，还包括：

建立所述组认证向量和所述 MTC组的组标识之间的绑定关系；所述接收第二 MTC设备发送的附着请求，包括：

接收所述第二 MTC设备发送的包含所述组标识和所述第二 MTC设备的设备特征的附着请求；量为所述第二 MTC设备生成系统密钥，包括：

获取与所述附着请求中携带的组标识绑定的所述组认证向量；使用所述组认证向量和所述第二 MTC 设备的设备特征为所述第二

MTC设备生成系统密钥。

9、根据权利要求 8所述的方法，其特征在于，所述接收所述第二 MTC 设备发送的包含所述组标识和所述第二 MTC设备的设备特征的附着请求之后，还包括：

向所述网络侧转发所述附着请求，以使得所述网络侧使用所述组认证向量和所述第二 MTC设备的设备特征为所述第二 MTC设备生成所述系统密钥。

10、一种对 MTC设备进行认证的方法，其特征在于，包括：

所述主 MTC设备与所述网络侧进行认证，并使用所述认证过程中产生的组认证向量和所述其它待认证的 MTC设备的设备特征为所述其它待认证的 MTC设备生成系统密钥；

所述主 MTC设备对所述其它待认证的 MTC设备进行认证成功后，将所述系统密钥发送给所述其它待认证的 MTC设备。

11、根据权利要求 10所述的方法，其特征在于，所述附着请求中还包含所述主 MTC设备的设备特征；

所述主 MTC设备与所述网络侧进行认证，包括：

所述主 MTC设备根据所述主 MTC设备的设备特征与所述网络侧进行认证，并生成所述主 MTC设备的系统密钥。

12、一种网络侧实体，其特征在于，包括：

13、根据权利要求 12所述的网络侧实体，其特征在于，所述实体还包括：

第一获取单元，当所述第一组认证向量不存在时，用于根据由所述第一接收单元接收的组标识从服务器获取所述第一组认证向量；第一建立单元，用于建立由所述第一接收单元接收的组标识和由所述第一获取单元获取的第一组认证向量之间的绑定关系；

第二认证单元，用于根据由所述第一获取单元获取的第一组认证向量对所述待认证的 MTC设备进行认证并生成所述待认证的 MTC设备的系统密钥。

14、根据权利要求 12或 13所述的网络侧实体，其特征在于，所述实体还包括：

判断单元，当由所述第一接收单元接收的附着请求中还包括用于标识所述待认证的 MTC设备的第二设备特征时，用于判断所述第二设备特征与本地存储的第一设备特征是否相同，其中，所述第一设备特征为与所述组标识和第一组认证向量共同绑定的设备特征。

15、根据权利要求 14所述的网络侧实体，其特征在于，所述实体还包括：

第二获取单元，当所述待认证的 MTC设备的第二设备特征与本地存储的第一设备特征相同时，用于根据由所述第一接收单元接收的组标识获取用于认证所述 MTC组内 MTC设备的第二组认证向量；

第二建立单元，用于建立由所述第一接收单元接收的组标识、第二设备特征和由所述第二获取单元获取的第二组认证向量之间的绑定关系；第三认证单元，用于根据由所述第二获取单元获取的第二组认证向量和由所述第一接收单元接收的第二设备特征生成的期待响应数，根据所述期待响应数对所述待认证的 MTC设备进行认证；生成所述待认证的 MTC 设备的系统密钥。

16、根据权利要求 14或 15所述的网络侧实体，其特征在于，所述第一认证单元包括：

第一生成单元，用于根据所述第一组认证向量和由所述第一接收单元接收的第二设备特征生成期待响应数；第一发送单元，用于向所述待认证的 MTC设备发送组认证信息，以使得所述待认证的 MTC 设备根据所述组认证信息对网络进行认证并根据所述第二设备特征生成设备侧密钥，所述组认证信息是所述第一组认证向量中的信息；

第二接收单元，用于接收由所述待认证的 MTC设备根据所述第二设备特征生成的响应数；

第一认证子单元，用于根据由所述第二接收单元接收的响应数和由所述第一生成单元生成的期待响应数对所述待认证的 MTC设备进行认证；第二生成单元，用于根据所述第一组认证向量和由所述第一接收单元接收的第二设备特征生成网络侧密钥。

17、根据权利要求 12-16中任意一项所述的网络侧实体，其特征在于所述网络侧实体为通用移动通信系统 UMTS网络中的拜访位置寄存器 VLR，或者长期演进 LTE网络中的移动管理实体 MME。

18、一种对 MTC设备进行认证的设备，其特征在于，包括：第三接收单元，用于在所述设备与网络侧进行认证成功后，接收所述设备所在的 MTC组内第二 MTC设备发送的附着请求；

19、根据权利要求 18所述的设备，其特征在于，所述设备还包括：第三建立单元，用于在所述设备与网络侧进行认证成功之后，建立所述组认证向量和所述 MTC组的组标识之间的绑定关系。

20、根据权利要求 19所述的设备，其特征在于，当所述第三接收单元接收的附着请求中包含所述组标识和所述第二 MTC设备的设备特征时，所述第四认证单元包括：

第三获取单元，用于获取与由所述第三接收单元接收的组标识绑定的所述组认证向量；

第三生成单元，用于使用由所述第三获取单元获取的组认证向量和由所述第三接收单元接收的第二 MTC设备的设备特征为所述第二 MTC设备生成系统密钥。

21、根据权利要求 20所述的设备，其特征在于，所述设备还包括：转发单元，用于向所述网络侧转发由所述第三接收单元接收的附着请求，以使得所述网络侧使用所述组认证向量和所述第二 MTC设备的设备特征为所述第二 MTC设备生成所述系统密钥。

22、一种对 MTC设备进行认证的设备，其特征在于，包括：

23、根据权利要求 22所述的设备，其特征在于，所述设备还包括：第四生成单元，用于当由所述第三发送单元发送的附着请求中包含所述设备的设备特征时，根据所述设备的设备特征生成所述设备的系统密钥。