用于大型物联网组认证的系统和方法技术方案

可通过主设备协调一组用户设备(如物联网设备等)的认证，减少无线接入网中的信令开销。具体地，主设备可聚合该组中的用户设备中的用户设备标识符，并将携带有用户设备标识符和主设备标识符的身份消息发送到基站，然后基站将该身份消息中继至安全锚节点。安全锚节点可将携带有用户设备标识符和主设备标识符的认证数据请求发送到归属用户服务器，归属用户服务器可向安全锚节点回复包括组认证信息的认证数据响应。然后组认证信息可用于实现安全锚节点与主设备、该组用户设备、以及单个用户设备中的每个之间的双向认证。

【技术实现步骤摘要】
【国外来华专利技术】用于大型物联网组认证的系统和方法本申请要求于2016年10月26日提交的专利技术名称为“用于大型物联网组认证的系统和方法”的美国临时申请62/413,316、以及于2017年09月29日提交的专利技术名称为“用于大型物联网组认证的系统和方法”的美国专利技术专利15/720,666的优先权，其全部内容通过引用结合在本文中。
本专利技术主要涉及无线通信，并且在一些特别实施例中，涉及一种用于大型物联网组认证的系统和方法。
技术介绍
现代无线网通常具有各种安全特性以防止未经授权的第三方访问和/或操控数据。特别地，长期演进(longtermevolution，LTE)网络提供了三种基本安全特性，即：LTE认证、非接入层(non-accessstratum，NAS)安全、以及接入层(accessstratum，AS)安全。LTE认证特性确保用户是其试接入的网络(或网络服务)的授权用户，而非接入层安全特性和接入层安全特性分别确保通过无线接入网传输的控制数据和用户数据分别在非接入层和接入层是安全的。
技术实现思路
通过描述了用于大型物联网组认证的系统和方法的本专利技术实施例，可以总体上实现技术优势。根据实施例，提供了一种组认证方法。在该实施例中，该方法包括从无线网中的基站接收组认证请求。组认证请求包括组认证参数(groupauthenticationparameter，G_AUTN)、主认证参数(masterauthenticationparameter，M_AUTN)、以及至少一个组随机数(grouprandomnumber，G_RAND)。该方法还包括通过至少根据与主设备相关联的主密钥验证至少主认证参数，对无线网进行认证，以及向一组用户设备(userequipment，UE)中的用户设备发送用户认证请求。每个用户认证请求携带有至少组认证参数和组随机数。该方法还包括主设备从该组用户设备中的至少一些用户设备接收用户认证响应。用户认证响应包括个体响应(individualresponse，RES(i)s)。该方法还包括向基站发送携带有个体响应的组认证响应。在一个实例中，个体响应用于该组用户设备中的单个用户设备的网络侧认证。在该实例中，或另一实例中，每个个体响应是根据与对应的用户认证响应从其被接收的用户设备相关联的不同个体预配置密钥(individualpre-provisionedkey，K_key(i))生成的。在任意上述实例中，或在另一实例中，该方法还包括基于组密钥和组认证请求携带的组随机数生成组响应参数(groupresponseparameter，G_RES)，以及通过比较主设备生成的组响应参数和对应的用户认证响应携带的组响应参数指示符，验证从该组用户设备中的用户设备接收的每个用户认证响应。在任意上述实例中，或在另一实例中，该方法还包括基于主设备密钥和组认证请求携带的组随机数生成主设备响应参数(masterdeviceresponseparameter，M_RES)。主设备响应参数包括在组认证响应中。在任意上述实例中，或在另一实例中，该方法还包括通过根据归属网络公共密钥、组随机数、以及组认证参数来验证组认证请求携带的消息认证码(messageauthenticationcode，MAC)签名，对归属用户服务器(homesubscriberserver，HSS)进行认证。在任意上述实例中，或在另一实例中，该方法还包括根据与该组用户设备相关联的组密钥和组认证请求携带的组随机数，验证组认证参数。在该实例中，主认证参数可以根据主设备密钥和组随机数被验证，或根据主密钥和组认证请求携带的独立随机数(randomnumber，RAND)被验证，其中，独立随机数不同于组随机数。还提供了执行该方法的装置。根据另一实施例，提供了另一种组认证方法。在该实施例中，该方法包括从归属用户服务器(HSS)接收认证与数据响应消息。认证与数据响应消息包括预期组响应参数(expectedgroupresponseparameter，G_XRES)和预期个体响应参数(expectedindividualresponseparameters，XRES(i)s)集。该方法还包括从主设备接收组认证响应。组认证响应携带有组响应参数(G_RES)和个体响应参数集(individualresponseparameters，RES(i)s)。该方法还包括当从主设备接收的组认证响应中的组响应参数与从归属用户服务器接收的认证与数据响应消息中的预期组响应参数匹配时，认证一组用户设备，以及当从主设备接收的组认证响应中的对应的个体响应参数与从归属用户服务器接收的认证与数据响应消息中的第二个体响应参数集中的对应的预期个体响应参数匹配时，认证个体用户设备。在一个实例中，该方法还包括当从主设备接收的组认证响应中的主设备响应参数(M_RES)与从归属服务器接收的认证与数据响应消息中的预期主设备响应参数(masterdeviceresponseparameter，M_XRES)匹配时，认证主设备。在该实例中，或在另一实例中，认证与数据响应消息还包括组认证向量(groupauthenticationvector，AV_G)和主设备认证向量(masterdeviceauthenticationvector，AV_M)。在该实例中，该方法还可进一步包括基于组认证向量、主设备认证向量、以及一个或多个随机数，计算组认证参数(G_AUTN)和主认证参数(M_AUTN)，以及在从主设备接收组认证响应之前，向主设备发送携带有组认证参数、主认证参数、以及一个或多个随机数的组认证请求。还提供了执行该方法的装置。根据又一实施例，提供了又一种组认证方法。在该实施例中，该方法包括从安全锚节点(securityanchornode，SeAN)接收用户认证与数据请求消息。用户认证与数据请求消息包括与主设备对应的主设备标识符(masterdeviceidentifier，MD_ID)和用户设备标识符(userequipmentidentifiers，UE_IDs)集。该用户设备标识符集中的每个用户标识符对应一组用户设备中的不同的用户设备。该方法还包括至少计算基于组密钥的组认证向量(AV＿G)、基于主设备标识符的主认证向量(AV＿M)、以及基于用户设备标识符集的个体响应参数(RES(i)s)集，以及向安全锚节点发送携带有组认证向量、主认证向量、和个体响应参数集的用户认证与数据响应消息。在一个实例中，该方法还包括根据组随机数(G_RAND)和组认证参数(G_AUTN)，基于归属网络私钥生成消息认证码(MAC)签名，其中，组随机数和组认证参数包括在组认证向量中，其中，消息认证码签名包括在用户认证与数据响应消息中。在该实例中，或在另一实例中，该方法还包括基于组密钥计算组响应参数(G_RES)，其中，组响应参数包括在用户认证与数据响应消息中。还提供了执行该方法的装置。根据又一实施例，提供了又一种组认证方法。在该实施例中，该方法包括从主设备接收用户认证请求。用户认证请求包括组认证向量(G_AUTN)和组随机数(G_RAND)。该方法还包括通过基于组密钥和组随机数验证组认证向量，对接入网进行认证，基于与用户设备相关联的预配置密钥(pre本文档来自技高网...

【技术保护点】
1.一种组认证方法，所述方法包括：主设备从无线网中的基站接收组认证请求，所述组认证请求包括组认证参数、主认证参数、以及至少一个组随机数；所述主设备通过至少根据与主设备相关联的主密钥验证至少所述主认证参数，对所述无线网进行认证；所述主设备向一组用户设备中的用户设备发送用户认证请求，所述用户认证请求中的每个携带有至少所述组认证参数和所述组随机数；所述主设备从所述一组用户设备中的至少一些用户设备接收用户认证响应，所述用户认证响应包括个体响应；以及所述主设备向所述基站发送携带有所述个体响应的组认证响应。

【技术特征摘要】
【国外来华专利技术】2016.10.26 US 62/413,316;2017.09.29 US 15/720,6661.一种组认证方法，所述方法包括：主设备从无线网中的基站接收组认证请求，所述组认证请求包括组认证参数、主认证参数、以及至少一个组随机数；所述主设备通过至少根据与主设备相关联的主密钥验证至少所述主认证参数，对所述无线网进行认证；所述主设备向一组用户设备中的用户设备发送用户认证请求，所述用户认证请求中的每个携带有至少所述组认证参数和所述组随机数；所述主设备从所述一组用户设备中的至少一些用户设备接收用户认证响应，所述用户认证响应包括个体响应；以及所述主设备向所述基站发送携带有所述个体响应的组认证响应。2.根据权利要求1所述的方法，其中，所述个体响应用于所述一组用户设备中的单个用户设备的网络侧认证。3.根据权利要求1或2所述的方法，其中，每个所述个体响应是根据不同个体预配置密钥生成的，所述不同个体预配置密钥与对应的用户认证响应从其被接收的用户设备相关联。4.根据权利要求1至3中任一项所述的方法，还包括：所述主设备基于组密钥和所述组认证请求携带的所述组随机数生成组响应参数；以及通过比较所述主设备生成的所述组响应参数和对应的用户认证响应携带的组响应参数指示符，验证从所述一组用户设备中的用户设备接收的每个所述用户认证响应。5.根据权利要求1所述的方法，还包括：所述主设备基于主设备密钥和所述组认证请求携带的所述组随机数生成主设备响应参数，其中，所述主设备响应参数包括在所述组认证响应中。6.根据权利要求1所述的方法，还包括：通过根据归属网络公共密钥、所述组随机数、以及所述组认证参数来验证所述组认证请求携带的消息认证码签名，对归属用户服务器进行认证。7.根据权利要求1-6中任一项所述的方法，其中，认证所述无线网还包括：根据与所述一组用户设备相关联的组密钥和所述组认证请求携带的所述组随机数，验证所述组认证参数。8.根据权利要求7所述的方法，其中，所述主认证参数是根据所述主设备密钥以及所述组随机数被验证的。9.根据权利要求7所述的方法，其中，所述主认证参数是根据所述主密钥和所述组认证请求携带的独立随机数被验证的，其中，所述独立随机数不同于组随机数。10.一种主设备，包括：处理器；以及非易失性计算机可读存储介质，存储有由所述处理器执行的程序，所述程序包括指令，用以：从无线网中的基站接收组认证请求，所述组认证请求包括组认证参数、主认证参数、以及至少一个组随机数；通过至少根据与所述主设备相关联的主密钥验证至少所述主认证参数，对所述无线网进行认证；向一组用户设备中的用户设备发送用户认证请求，所述用户认证请求中的每个携带有至少所述组认证参数和所述组随机数；从所述一组用户设备中的至少一些用户设备接收用户认证响应，所述用户认证响应包括个体响应；以及向所述基站发送携带有所述个体响应的组认证响应。11.一种组认证方法，所述方法包括：安全锚节点从归属用户服务器接收认证与数据响应消息，所述认证与数据响应消息包括预期组响应参数和预期个体响应参数集；所述安全锚节点从主设备接收组认证响应，所述组认证响应携带有组响应参数和个体响应参数集；当从所述主设备接收的所述组认证响应中的所述组响应参数与从所述归属用户服务器接收的所述认证与数据响应消息中的所述预期组响应参数匹配时，认证一组用户设备；以及当从所述主设备接收的所述组认证响应中的对应的个体响应参数与从所述归属用户服务器接收的所述认证与数据响应消息中的第二个体响应参数集中的对应的预期个体响应参数匹配时，认证所述一组用户设备中的个体用户设备。12.根据权利要求11所述的方法，还包括：当从所述主设备接收的所述组认证响应中的主设备响应参数与从所述归属服务器接收的所述认证与数据响应消息中的预期主设备响应参数匹配时，认证所述主设备。13.根据权利要求11或12所述的方法，其中，所述认证与数据响应消息还包括组认证向量和主设备认证向量。14.根据权利要求13所述的方法，还包括：基于所述组认证向量、所述主设备认证向量、以及一个或多个随机数，计算组认证参数和主认证参数；以及在从所述主设备接收所述组认证响应之前，所述安全锚节点向所述主设备发送携带有所述组认证参...

【专利技术属性】
技术研发人员：艾买提·萧克·穆汉纳，谢翔，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44