CN101785277B - 使用扩展序列号的通信方法和*** - Google Patents
使用扩展序列号的通信方法和*** Download PDFInfo
- Publication number
- CN101785277B CN101785277B CN2008801043721A CN200880104372A CN101785277B CN 101785277 B CN101785277 B CN 101785277B CN 2008801043721 A CN2008801043721 A CN 2008801043721A CN 200880104372 A CN200880104372 A CN 200880104372A CN 101785277 B CN101785277 B CN 101785277B
- Authority
- CN
- China
- Prior art keywords
- sequence number
- mobile device
- network
- hwid
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了一种移动设备(100)与网络(20)通信的方法。所述方法包括:接收具有第一消息认证码(MAC)、认证消息域(AMF)以及包括第一硬件标识符和第一序列号的第一扩展序列号(ESQN)的网络认证令牌(AUTN);以及基于第一消息认证码、第一硬件标识符和第一序列号认证网络。
Description
技术领域
本发明涉及使用扩展序列号的无线通信的方法和***。
背景技术
涉及无线通信的安全方法和处理已在近几年逐步发展。具体地,2GCDMA安全发展到3G CDMA安全,3G CDMA安全的许多相同特性现在被合并到如下简要描述的IMS***内。
众所周知,在本领域,2G CDMA安全涉及蜂窝认证和语音加密(CAVE)。通常,在2G CDMA安全协议中,网络的归属位置寄存器(HLR)或认证中心(AC)发送包括随机数和二级密钥的查询(SSD)。该查询基于通常称为A-key的64比特根密钥,其存储在HLR或AC中。响应于该查询,用户的移动设备提供响应(AUTHR)。移动设备也存储A-key。因此,移动设备对于从查询中提取的随机数和二级密钥以及A-key,使用CAVE以准备AUTHR。被传输回HLR的AUTHR允许HLR认证移动设备。传统的2G CDMA安全协议通常不提供相互认证。由于2G CDMA安全协议在本领域是众所周知的,因此,在此为了简洁,不进行更详细的描述。
传统的3G CDMA安全协议基于认证与密钥协商(AKA),并提供相互认证,即在进行通信之前(i)移动设备认证网络并且(ii)网络认证移动设备。众所周知的在3G CDMA中使用的AKA安全协议是基于五元的。五元包括随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和网络认证令牌AUTN。传统的网络认证令牌AUTN基于序列号SQN、匿名密钥AK、认证管理域AMF和消息认证码MAC。应当注意,在传统的3G CDMA安全协议中,序列号不包括移动设备的硬件标识符。
图1是说明可由网络的AC执行的创建传统的网络认证令牌AUTN和传统的消息认证矢量AV的方法的图。
如图1所示,消息认证码MAC使用函数f1处理密钥K、认证管理域AMF、序列号SQN和随机数RAND来生成。图1还说明了传统的认证矢量AV的剩余分量使用函数f2-f5处理密钥K和随机数RAND以分别生成期望响应XRES、加密密钥CK、完整性密钥IK和匿名密钥AK来创建。本领域普通技术人员可知道函数f1-f5可以是本领域众所周知的各种函数,因此为了简洁,这些函数的细节在此省略。
一旦传统的认证矢量AV由网络的AC生成,该认证矢量AV就被传输到向用户的移动设备提供服务的网络的服务***。服务***从认证矢量AV中提取网络认证令牌AUTN和随机数RAND,并向移动设备提供网络认证令牌AUTN和随机数RAND。
如上关于图1所提到的,AUTN包括序列号SQN、认证管理域AMF和消息认证码MAC。移动设备从网络认证令牌AUTN中提取序列号SQN和消息认证码MAC,并基于序列号SQN和消息认证码MAC认证网络。
具体地,移动设备基于存储在移动设备中的序列号SQN、存储在移动设备中的密钥K、AMF和随机数RAND生成它自己的消息认证码MAC。然后,将在移动设备生成的消息认证码MAC与从接收自服务***的网络认证令牌AUTN中提取的MAC进行比较。进一步地,移动设备可确定从网络认证令牌中提取的序列号SQN是否是可接受值。例如,移动设备可确定从网络认证令牌中提取的序列号是否在可接受范围内以验证序列号SQN。如果移动设备成功地认证了网络,则移动设备准备响应RES,并将该响应RES传输回网络的服务***。然后,网络的服务***将期望响应XRES与该响应RES进行比较以认证移动设备,从而根据传统的AKA安全协议完成相互认证。
如果移动设备在认证过程期间确定从网络认证令牌AUTN中提取的消息认证码MAC与在移动设备中生成的MAC不匹配,则移动设备向网络的服务***传输失败消息。进一步地,如果移动设备在认证过程期间确定从网络认证令牌AUTN中提取的MAC值与移动设备所生成的MAC值匹配,但序列号SQN在允许范围之外,则移动设备向网络传输再同步消息。如在前面提到的,在3G CDMA中使用的AKA安全协议在本领域是众所周知的,因此,为了简洁,在此不提供更多的信息。
传统的IMS安全协议已在本质上合并了以上描述的关于3G CDMA的基于五元的AKA安全协议。然而,在IMS安全机制中,HTTP AKA摘要位于AC和移动设备之间的中间网络组件中。例如,HTTP AKA摘要可被包括在IMS网络的S-CSCF中。HTTP AKA摘要重新配置传统的认证矢量AV以采用合适的格式来由IMS网络的各种其它组件处理。在IMS网络中普遍使用的HTTP AKA摘要和AKA安全协议的细节的更多详情可在2006年12月出版的3GPP TS 33.203VT.4.0标准中找到。同样,为了简洁,传统的IMS安全协议的更多详情在此省略。
尽管安全协议已通过从2G CDMA安全协议向3G CDMA安全协议过渡而发展,这也在传统的IMS安全协议中实现,但是一些用于无线通信的硬件设备还没有被更新和/或能够处理更高度发展的协议。例如,一些可能在用于处理2G CDMA安全协议的硬件上投资了大量时间、研究和金钱的公司由于各种费用相关的原因已选择不更新硬件。例如,一些无线设备,诸如移动电话、PDA等,只能够从查询中提取随机数RAND和序列号SQN,如以上关于2G CDMA安全协议所讨论的,并只能够提供符合2G CDMA安全协议的响应AUTHR。因此,一些传统的2G CDMA硬件设备目前不能够向IMS网络提供相互认证的通信信道。
发明内容
实施例提供了关于使用扩展序列号在移动设备和网络之间建立通信的方法和装置。根据实施例,扩展序列号包括移动设备的硬件标识符的至少一部分。
一个实施例提供了由移动设备执行的与网络通信的方法。该方法包括:接收具有第一消息认证码和包括第一硬件标识符和第一序列号的第一扩展序列号的网络认证令牌;以及基于第一消息认证码和第一序列号,认证网络。由移动设备执行的方法进一步可包括:从网络认证令牌中提取第一消息认证码和第一扩展序列号;基于随机数、第一扩展序列号和存储在移动设备中的密钥,计算第二消息认证码;以及分离第一扩展序列号以获取第一硬件标识符和第一序列号。
根据一个实施例,认证步骤包括:比较第一消息认证码和第二消息认证码、第一硬件标识符和存储在移动设备中的第二硬件标识符、以及第一序列号和存储在移动设备中的第二序列号;如果第一消息认证码与第二消息认证码匹配、第一硬件标识符与第二硬件标识符匹配且第一序列号大于第二序列号,则认证网络。
根据一个实施例,第一硬件标识符涉及与网络的用户相关联的移动设备,第二硬件标识符标识接收网络认证令牌和随机数的移动设备。
根据一个实施例,由移动设备执行的方法进一步包括:如果第一消息认证码与第二消息认证码不匹配、第一硬件标识符与第二硬件标识符不匹配、第一序列号小于第二序列号中的至少一个成立,则生成再同步对;以及向网络传输再同步对。
根据一个实施例,由移动设备执行的方法进一步包括:重新分配第一协议再同步对的比特,第一协议再同步对具有分配给第一协议再同步消息和第一协议序列号的每一个的预置个数的比特;传输具有与第一协议再同步对相同个数的比特的第二再同步对。在重新分配步骤中被重新分配的比特被用作具有比第一协议序列号多的个数的比特的第二扩展序列号的比特。
另一个实施例提供由网络执行的与移动设备通信的方法。该方法包括:传输随机数和具有第一扩展序列号的认证令牌,所述第一扩展序列号包括与用户相关联的移动设备的硬件标识符;以及接收来自传输步骤的响应,该响应是随机数的加密转换以及包括第二扩展序列号和再同步消息的再同步对中的至少一个。
根据一个实施例,由网络执行的方法进一步包括:生成包括网络认证令牌的第一认证矢量。第一认证矢量是随机数、期望响应、加密密钥、完整性密钥和认证令牌的级联。
根据一个实施例,由网络执行的方法进一步包括:将来自传输步骤的响应与期望响应进行比较;如果来自传输步骤的响应与期望响应匹配,则认证移动设备。
根据一个实施例,由网络执行的方法进一步包括:比较来自传输步骤的响应与期望响应;如果来自传输步骤的响应与期望响应不匹配,则生成第二认证矢量,其包括具有第二扩展序列号的第二网络认证令牌;以及向移动设备传输第二认证令牌。
根据一个实施例,由网络执行的方法进一步包括:检测在来自传输步骤的响应中包括的指示符;如果指示符指示该响应是随机数的加密转换并且该随机数的密码转换与期望响应匹配,则认证移动设备;如果指示符指示该响应是再同步对,则生成第二认证矢量,其包括具有第二扩展序列号的第二网络认证令牌;以及向移动设备传输第二认证令牌。
根据一个实施例,由网络执行的方法进一步包括:重新分配第一协议网络认证令牌的比特,所述第一协议网络认证令牌具有分配给第一协议序列号和消息认证码的每一个的预置个数的比特;以及生成包括第二协议网络认证令牌的认证矢量。第二协议网络认证令牌具有与第一协议网络认证令牌相同个数的比特,被重新分配的比特用作具有比第一协议序列号多的个数的比特的第一扩展序列号的比特。
再一个实施例提供了在移动设备和网络之间建立相互认证的通信信道的方法。该方法包括:(a)由网络生成期望响应、随机数以及包括第一消息认证码和具有与移动设备相关联的第一硬件标识符的第一扩展序列号的网络认证令牌;(b)将随机数和网络认证令牌从网络传输到移动设备;(c)在移动设备接收随机数和网络认证令牌;(d)基于网络认证令牌认证网络;(e)将随机数的加密转换从移动设备传输到网络;(f)如果随机数的加密转换与期望响应匹配,则认证移动设备;以及(g)在移动设备和网络之间建立相互认证的信道。
根据一个实施例,所述网络认证步骤(d)包括:从认证令牌中提取第一消息认证码和第一扩展序列号;基于随机数、第一扩展序列号和存储在移动设备中的密钥,计算第二消息认证码;分离第一扩展序列号以获取第一硬件标识符和第一序列号;比较第一消息认证码和第二消息认证码、第一硬件标识符和存储在移动设备中的第二硬件标识符、以及第一序列号与存储在移动设备中的第二序列号;如果第一消息认证码与第二消息认证码匹配、第一硬件标识符与第二硬件标识符匹配且第一序列号大于第二序列号,则认证网络。
根据一个实施例,建立相互认证的信道的方法进一步包括:如果第一消息认证码与第二消息认证码不匹配、第一硬件标识符与第二硬件标识符不匹配、第一序列号小于第二序列号中的至少一个成立,则对移动设备和网络进行再同步。
根据一个实施例,所述再同步步骤包括:将第二硬件标识符和第二序列号级联以创建第二扩展序列号;基于随机数、第二扩展序列号和存储在移动设备中的密钥,计算再同步消息;将第二扩展序列号与再同步消息组合以形成再同步对;传输再同步对;使用第二扩展序列号生成第二网络认证令牌;重复上述步骤(b)-(f),同时用第二网络认证令牌替换网络认证令牌。
另一个实施例提供了由移动设备执行的与网络通信的方法。该方法包括:接收具有第一消息认证码和第一扩展序列号的网络认证令牌,所述第一扩展序列号包括第一硬件标识符的哈希值和第一序列号;以及基于第一消息认证码、第一硬件标识符的哈希值和第一序列号,认证网络。
另一个实施例提供了一种由网络执行的与移动设备通信的方法。该方法包括:传输随机数和具有第一扩展序列号的认证令牌,所述第一扩展序列号包括与用户相关联的移动设备的第一硬件标识符的哈希值;以及接收来自所述传输步骤的响应。该响应是随机数的加密转换以及包括第二扩展序列号和再同步消息的再同步对中的至少一个。
附图说明
在此通过以下给出的详细描述和附图,本发明将被更充分地理解,在附图中,相同的单元用相同的标记表示,其仅作为说明而给出,因此并不限制本发明,其中:
图1示出可在各种传统的安全协议中使用的提供传统的认证矢量和传统的网络认证令牌的方法;
图2示出根据一个实施例的通信***;
图3示出根据一个实施例的移动设备;
图4示出根据一个实施例的生成网络认证令牌和认证矢量的方法;
图5示出信号流程图的实施例;
图6A和6B是说明由移动设备执行的认证网络的方法的实施例的流程图;
图7是说明由网络执行的认证移动设备的方法的实施例的流程图。
具体实施方式
图2示出了包括至少一个移动站100和网络20的通信***10。本领域的普通技术人员可知道网络20不应被限制于在图2的实施例中示出的IP多媒体子***(IMS)的缩写部分。在图2中,IMS网络20包括IMS归属***300、IMS访问***400和中间IMS组件200。尽管中间IMS组件200在网络20中仅仅示为一个模块,但本领域的普通技术人员知道中间IMS组件200可包括例如在移动设备100和IMS归属***300和IMS访问***400之间设置的P-CSCF、I-CSCF、HSS和S-CSCF。IMS归属***300和IMS访问***400可以彼此直接通信或者经由中间IMS组件200通信,以向移动设备100提供服务。移动设备的位置、移动设备所请求的服务的类型等可确定IMS归属***300或者IMS访问***400是否向移动设备100提供所请求的服务。
根据关于图2描述的实施例,IMS归属***300包括认证中心310。在图2中示出的认证中心310的简化版本包括存储器312、处理器314和收发机316。显然,本领域的普通技术人员可知道认证中心310比图2所示的简化版本更复杂,可包含一个或多个计算机***。
图3说明移动设备100的实施例。如图3所示,移动设备100包括可移动用户识别模块RUIM、存储器120、处理器130和收发机140。在移动设备100中包括的可移动用户识别模块RUIM是传统的可移动用户识别模块RIUM。例如,可移动用户识别模块RUIM可以是根据2G CDMA安全协议开发为功能的模块。同样,可移动用户识别模块RUIM可存储本领域众所周知的MIN/IMSI/TMSI,在此为了简洁将不进一步讨论。移动设备100的存储器120和处理器130可用于执行以下关于图5的信号流程图和图6的流程图描述的方法的实施例。
在描述根据本发明的认证的方法的实施例之前,参考图4说明在本方法中使用的扩展序列号。
根据实施例,移动设备100和认证中心310提供附加的功能以解决在移动设备中包括的传统的可移动单元识别模块RUIM 110的不足。移动设备100的实施例和认证中心310的实施例使用扩展序列号ESQN来实现此功能。根据一个实施例的扩展序列号ESQN是用于所有移动设备的全球非重复序列号。根据一个实施例,扩展序列号ESQN包括用户的移动设备100的硬件标识符和序列号SQN′的实施例。具体地,扩展序列号ESQN是级联了序列号SQN′的移动设备100的硬件标识符。
由于ESQN包括用户的移动设备100的硬件标识符,并且每个移动设备100都具有不同的硬件标识符,因此,ESQN对于每个移动设备100是不同的。此外,由于ESQN包括序列号SQN′,因此,ESQN对于每个***接入可被增量,这与序列号SQN如何在传统的AKA安全协议中被增量类似。不同地,ESQN在移动设备100内不重复,并且对于可移动用户识别模块RUIM被***的每个不同的移动设备都不同。根据一个例子,ESQN包括104比特,其中56比特被分配给硬件标识符,48比特被分配给序列号SQN′的实施例。
根据一个实施例,在扩展序列号ESQN中包括的序列号SQN′可例如基于由移动设备100确定的时间或者基于计数器值。基于时间的序列号SQN′基于例如可以是0.1秒的时钟值确定,以致两个批请求不会同时到达。基于时间的序列号SQN′的一个实例包括47比特,其中47比特中的5比特用于排列管理。这个序列号SQN′的例子可支持大约65年的运行。基于计数器的序列号SQN′的一个例子包括34比特,其中假定1AKA/秒是最差情况的速率、移动设备100的寿命是大约15年、使用允许交织来自不同的IMS访问***400的请求的机制需要34比特中的5比特。正如这两个例子所指出的,序列号SQN′的比特个数可根据IMS网络20和/或移动设备100的特性而变化。
图4是说明如何在认证中心310中使用扩展序列号ESQN以生成认证矢量AV′的实施例的图。认证中心310的存储器312可存储诸如密钥K的各种值和由认证中心310的处理器314使用的用f6-f10表示的各种函数以生成认证矢量AV′。本领域的普通技术人员可知道函数f6-f10可以是本领域众所周知的各种函数,因此,为了简洁,这些函数的细节在此省略。
如图4所示,处理器312通过用密钥K、认证消息域AMF、扩展序列号ESQN和随机数RAND执行过程f6来生成消息认证码MAC′值。此外,处理器314使用过程f7基于密钥K和随机数RAND生成期望响应XRES;利用过程f8基于密钥K和随机数RAND生成加密密钥CK;使用过程f9基于密钥K和随机数RAND生成完整性密钥IK;使用过程f10基于密钥K和随机密码RAND生成匿名密钥AK′。然后,处理器314可使用以下所示的等式(1)生成认证令牌AUTN′的实施例。
AUTN′:=ESQN⊕AK′||AMF||MAC′ (1)
因此,根据一个实施例的认证矢量AV′是基于扩展序列号ESQN、匿名密钥AK′、认证消息域AMF和消息认证码MAC′的。
另外,处理器314基于以下所示的等式(2)计算认证矢量AV′的实施例。
AV′:=RAND||XRES||CK||IK||AUTN′(2)
如等式2所说明的,认证矢量AV′的实施例可以是随机数RAND、期望响应、加密密钥CK、完整性密钥IK和网络认证令牌AUTN′的级联。
图5是说明根据一个实施例的在移动设备100、中间IMS组件200a和IMS归属***300之间通信的信号流程图。应当指出,中间IMS组件200a与在图2中所示的中间IMS组件200稍有不同,其在于:中间IMS组件200a被认为包括IMS访问***400,而IMS访问***400被认为是以下关于图5描述的实施例中的服务***。除了IMS访问***400,中间IMS组件200a还可包括例如P-CSCF、I-CSCF、HSS和S-CSCF。
图5说明了移动设备100向IMS归属***300发送请求服务的服务请求(1)。响应于服务请求,IMS归属***300生成认证矢量AV′的实施例,正如前面关于图4所描述的。
一旦IMS归属***300生成认证矢量AV′,IMS归属***300就向中间IMS组件200a提供认证矢量AV′(2)。然后,中间IMS组件200a处理该认证矢量AV′以从认证矢量AV′中提取随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和网络认证令牌AUTN′。中间IMS组件200a从网络认证令牌AUTN′中确定扩展序列号ESQN和第一消息认证码MAC′,并存储期望响应XRES、加密密钥CK和完整性密钥IK,用于处理从移动设备100接收的下一个响应。
中间IMS组件200a向移动设备100提供网络认证令牌AUTN′和随机数RAND(3)。移动设备100接收并处理网络认证矢量AUTN′和随机数RAND以认证IMS网络20。
图6A-6B所示的流程图说明了由移动设备100执行的认证IMS网络20的方法的实施例。在图6的步骤S100中,移动设备100中的收发机140从中间IMS组件200a接收网络认证令牌AUTN′和随机数RANDN。收发机140可向处理器130提供网络认证令牌AUTN′和随机数RANDN,并且/或者在存储器120中存储网络认证令牌AUTN′和随机数RANDN,该存储器120可被处理器130访问。
在步骤S105中,移动设备100从网络认证令牌AUTN′中提取第一消息认证码MAC′N、第一扩展序列号ESQNN和认证消息域AMF。具体地,处理器130从网络认证令牌AUTN′中提取第一消息认证码MAC′N、第一扩展序列号ESDNN和认证消息域AMF,并在移动设备100的存储器120中存储第一消息认证码MAC′N、第一扩展序列号ESDNN和认证消息域AMF。
在图6的步骤S110中,移动设备100计算第二消息认证码MAC′ME。第二消息认证码MAC′ME使用存储在可移动单元识别模块RUIM中的密钥K、从网络20接收的随机数RANDN以及在步骤S105中从网络认证令牌AUTN′中提取的第一扩展序列号ESQNN和认证消息域AMF进行计算。例如,处理器130使用函数f6结合密钥K、第一扩展序列号ESQNN、随机数RANDN和认证消息域AMF以生成第二消息认证码MAC′ME,函数f6先前在图4的描述中提到。
在步骤S115中,移动设备100确定第一消息认证码MAC′N是否与第二消息认证码MAC′ME匹配。移动设备100的处理器130可进行该确定。基于移动设备100的处理器130的确定,处理器130可执行步骤S120或步骤S155。具体地,如果处理器130确定第一消息认证码MAC′N与第二消息认证码MAC′ME匹配,则处理器130执行步骤S120,反之,如果处理器130确定第一消息认证码MAC′N与第二消息认证码MAC′ME不匹配,则处理器执行步骤S155。由于步骤S155在以下参照图6b进行详细地描述,因此,该实施例的描述将在假定第一消息认证码MAC′N与第二消息认证码MAC′ME匹配的情况下继续。应当指出,根据另一个实施例,如果移动设备100确定第一消息认证码MAC′N与第二消息认证码MAC′ME不匹配,则失败信号被传输到网络20。此外,由于用于计算第一消息认证码MAC′N和第二消息认证码MAC′ME的变量除了各自的密钥KN、KME和函数之外,其它所有变量都相同,因此,网络20和/或移动设备100的一个或多个组件已发生故障并进而不能再同步的可能性增加。
在步骤S120中,移动设备100处理从网络认证令牌AUTN′中提取的第一扩展序列号ESQNN。例如,处理器130将第一扩展序列号ESQNN分离成第一序列号SQN′N和第一硬件标识符IDN。第一硬件标识符IDN是与IMS服务的用户相关联的网络20的硬件标识符。例如,当用户注册服务时,用户可向IMS归属***300的认证中心310提供用户的移动设备的硬件标识符,认证中心可将该信息存储在例如存储于存储器314中的用户档案中。
在步骤S125中,移动设备100比较第一硬件标识符IDN和第二硬件标识符IDME。第二硬件标识符IDME是用户所使用的可移动单元识别模块RUIM所***的移动设备100的硬件标识符。处理器130可从存储器120中获取第二硬件标识符IDME,并比较所获取的第二硬件标识符IDME和第一硬件标识符IDN。
在步骤S130中,移动设备比较从第一扩展序列号ESQNN中获取的第一序列号SQN′N和第二序列号SQN′ME。处理器130可从存储器140中获取第二序列号SQN′ME,并比较所获取的第二序列号SQN′ME和第一序列号SQN′N。
在步骤S135中,移动设备100确定第一硬件标识符IDN是否与第二硬件标识符IDME匹配。处理器130可通过获取在存储器140中存储的值来确定第一硬件标识符IDN是否与第二硬件标识符IDME匹配。例如,如果步骤S135指示第一硬件标识符IDN与第二硬件标识符IDME匹配,则1可被存储在存储器120中,如果第一硬件标识符IDN与第二硬件标识符IDME不匹配,则0可被存储在存储器140中。如果处理器130确定第一硬件标识符IDN与第二硬件标识符IDME匹配,则处理器130执行步骤S140,而如果处理器130确定第一硬件标识符IDN与第二硬件标识符IDME不匹配,则处理器执行步骤S155。该实施例的描述将在假定第一硬件标识符IDN与第二硬件标识符IDME匹配的情况下继续。
在图6B的步骤S140中,移动设备100确定从第一扩展序列号ESQNN中获取的第一序列号SQN′N是否大于第二序列号SQN′ME。第二序列号SQN′ME被存储在移动设备100的存储器120中,并如前面讨论的,可以基于时间或者计数器值。如果第一序列号SQN′N大于存储在存储器120中的第二序列号SQN′ME,则处理器130确定第一序列号SQN′N是有效的序列号。此外,如果第一序列号SQN′N小于存储在存储器120中的第二序列号SQN′ME,则处理器130确定第一序列号SQN′N是无效的序列号。如果第一序列号SQN′N被确定为是有效的序列号,则第一序列号SQN′N可被处理器130存储在存储器120中,并在下一次网络认证令牌AUTN′和随机数RANDN从中间IMS组件200a接收到时在过程中用作第二序列号SQN′ME。
如图6B所示,如果移动设备100确定第一序列号SQN′N是有效的序列号,则移动设备100执行步骤S145。在步骤S145中,移动设备100生成响应消息RES。例如,处理器130通过使用函数f7结合从中间IMS组件200a接收的随机数RANDN和存储在可移动单元识别模块RUIM中的密钥KME来生成响应消息RES。函数f7先前参照图4被提到。
在步骤S150中,移动设备100向IMS网络20传输响应消息RES。例如,收发机140向IMS网络20的中间IMS组件200a传输响应消息RES。
如图6A和6B所示,如果移动设备100确定(i)第一消息认证码MAC′N与第二消息认证码MAC′ME不匹配;(ii)第一硬件标识符IDN与第二硬件标识符IDME不匹配;和(iii)第一序列号SQN′N不大于第二序列号SQN′ME中的至少一个成立,则移动设备100执行步骤S155。
例如,当可移动单元识别模块RIUM从第一移动设备中移除并放入与第一移动设备不同的第二移动设备中时,条件(ii)被满足。由于第一移动设备和第二移动设备的硬件标识符不同,因此,网络20会使用第一移动设备的硬件标识符IDN,第一移动设备可能是用户首次注册IMS服务时所使用的移动设备,而第二移动设备所使用的硬件标识符IDME是包括可移动单元识别模块RUIM的第二移动设备的硬件标识符。
仍然参照图6B,在步骤S155中,移动设备100生成包括再同步消息MACS和第二扩展序列号ESQNME的再同步对(MACS,ESQNME)。再同步消息MACS以与第二消息认证码MAC′ME相同的方式计算。然而,再同步消息MACS包括第二扩展序列号ESQNME,而不是从网络认证令牌AUTN′中获取的第一扩展序列号ESQNN。为了生成再同步消息MACS,移动设备100的处理器130使用与用于计算第一消息认证码MAC′N和第二消息认证码MAC′ME的函数f6不同的函数f6*结合第二扩展序列号ESQNME和随机数RANDN以及认证管理域AMF。
在图6B的步骤S160中,移动设备100向IMS网络20传输所生成的再同步对(MACS,ESQNME)。例如,移动设备100的收发机140向IMS网络20的中间IMS组件200a传输包括再同步消息MACS和第二扩展序列号ESQNME的再同步对(MACS,ESQNME)。
返回参照图5,响应从移动设备100传输到IMS网络20的中间IMS组件200a(4)。根据一个实施例,响应或者是在图6B的步骤S145生成的响应消息RES,或者是在图6B的步骤S155中生成的再同步对(MACS,ESQNME)。
图7是说明由IMS网络20执行的方法的实施例的流程图。在图7的步骤S200中,IMS网络20接收移动设备100所传输的响应。例如,中间IMS组件200接收移动设备100的收发机140所传输的响应。
在图7的步骤S210中,IMS网络20比较所接收的响应和先前从认证矢量AV′中获取的期望响应XRES。例如,中间IMS组件200a将所接收的响应RES与先前从IMS归属***300所提供的认证矢量AV′中提取的期望响应XRES进行比较。应当指出,虽然步骤S210说明了实际比较所接收的响应和期望响应XRES,但可选的实施例检测在所接收的响应中包括的指示符,并根据该指示符确定所接收的响应是响应消息RES还是再同步对(MACS,ESQNME)。
假定IMS网络20执行图7说明的步骤S220,所接收的响应与期望响应XRES匹配。如果所接收的响应是响应消息RES,则所接收的响应可与期望响应XRES匹配。在步骤S220中,中间IMS组件200a在移动设备100和IMS服务***所提供的各种服务可被提供的网络20之间建立相互认证的通信信道。IMS服务***可以是IMS归属***300或IMS访问***400。然而,如前面所提到的,本实施例中的服务***被认为是在中间IMS组件200a中包括的IMS访问***400。在图5中用(5a)表示相互认证的通信信道的建立。在相互认证的通信信道上提供安全通信,至少一部分是由于移动设备100和网络20都拥有加密密钥CK和完整性密钥IK。
可选地,当所接收的响应与期望响应XRES不匹配时,IMS网络20执行步骤S230。例如,如果所接收的响应是再同步对(MACS,ESQNME),则IMS网络20的中间IMS组件200a将确定所接收的响应与期望响应XRES不匹配。
在步骤230中,IMS网络20基于在再同步对(MACS,ESQNME)中包括的第二扩展序列号ESQNME,计算另一个认证矢量AV″。例如,返回参照图5,中间IMS组件200a向IMS归属***300传输再同步对(MACS,ESQNME)以及认证管理域AMF和随机数RANDN(5b)。IMS归属***300从再同步对(MACS,ESQNME)中提取第二扩展序列号ESQNME,并使用随机数RANDN、认证管理域AMF和密钥KN以生成认证矢量AV″,正如先前关于图4所描述的。那么,前面在图5的信号图和图6A、图6B和图7的流程图中说明的步骤在需要时被重复。
如上所述,这些实施例使用扩展序列号ESQN以在IMS归属***300和/或访问IMS***400之间建立相互认证的信道。另外,扩展序列号ESQN可以是与序列号SQN级联的硬件标识符。因此,如果硬件标识符是56比特,则扩展序列号ESQN比传统的序列号长56比特。
因此,以下描述的补充实施例针对补偿ESQN的增加的长度。
返回参照图5,信号(3)表明中间IMS组件200a向移动设备100传输认证令牌AUTN′和随机数RAND。在以下的实施例中,假定中间IMS组件200a具有有限个数的比特,这些比特可被传输到移动设备100。有限个数的比特对应于在传统方法中使用的传输随机数RAND和认证令牌AUTN所需要的个数的比特,传统方法诸如在本说明书的背景部分中描述的IMS安全协议。例如,假定有限个数的比特是200比特,其中的80比特被分配给随机数RAND,而剩余的120比特被分配给认证令牌AUTN。在该例中,认证令牌的120比特如下分配:48比特被分配给传统的序列号SQN(或用匿名密钥AK进行掩码的序列号SQN),16比特被分配给AMF,56比特被分配给消息认证码MAC。
基于以上的假定,为了使中间IMS组件200a根据参考图5、图6A、图6B和图7描述的实施例执行,移动设备100和认证中心310重新分配有限个数的比特,以致硬件标识符的比特可被包括在传输中。此外,假设硬件标识符是56比特,因此,200比特中的56比特,即有限个数的比特,必须被重新分配。
在重新分配比特的例子中,认证中心只包括认证矢量AV′的实施例中的34比特序列号SQN′N,而不是初始分配给序列号SQN的48比特,从而对硬件标识符IDN重新分配了14比特。此外,认证中心310可只包括认证矢量AV′的实施例中的38比特随机数RAND,而不是初始分配给序列号SQN的80比特,从而对硬件标识符IDN重新分配42比特。因此,通过减少序列号SQN的比特14比特并减少随机数的比特42比特,56比特被认证中心310重新分配给硬件标识符IDN。
在重新分配比特的另一个例子中,移动设备100可重新分配被分配给在传统的IMS安全协议中使用的传统的再同步消息的比特,以调节在包括在本发明的实施例的再同步对(MACS,ESQNME)中的第二扩展序列号ESQNMF中包括的硬件标识符IDME的比特。
在再一个实施例中,假定中间IMS组件200a具有可被传输到移动设备100的有限个数的比特,包括在网络认证矢量AV′中的第一扩展序列号ESQNN包括第一硬件标识符的哈希值。返回参照图6A的步骤S120,移动设备100处理从网络认证令牌AUTN′中提取的第一扩展序列号ESQNN。如果第一扩展序列号ESQNN包括第一硬件标识符IDN的哈希值而不是第一硬件标识符IDN,则处理器130将第一扩展序列号ESQNN分离成第一序列号SQN′N和第一硬件标识符IDN的哈希值。然后,处理器从移动设备100的存储器120中获取第二硬件标识符IDME,使用网络20所使用的相同的哈希函数处理第二硬件标识符IDME,以对第一硬件标识符IDN进行哈希处理,并比较移动设备100所生成的第二标识符IDME的哈希值和由网络20提供的第一硬件标识符IDN的哈希值。
因此,显然,上述的发明可以以很多方式进行变化。这些变形不应被认为超出本发明的精神和范围,正如对于本领域的普通技术人员是显而易见的,所有这些修正将包含在本发明的范围之中。
Claims (8)
1.一种由移动设备执行的与网络通信的方法,包括:
接收网络认证令牌和随机数,所述网络认证令牌包括第一消息认证码以及包含第一硬件标识符和第一序列号的第一扩展序列号;
从所述网络认证令牌中提取所述第一消息认证码和所述第一扩展序列号;
基于所述随机数、所述第一扩展序列号和存储在所述移动设备中的密钥,计算第二消息认证码;
处理所述第一扩展序列号以获取所述第一硬件标识符和第一序列号;
比较所述第一消息认证码和所述第二消息认证码、所述第一硬件标识符和存储在所述移动设备中的第二硬件标识符、以及所述第一序列号和存储在所述移动设备中的第二序列号;以及
如果所述第一消息认证码与所述第二消息认证码匹配、所述第一硬件标识符与所述第二硬件标识符匹配且所述第一序列号大于所述第二序列号,则认证所述网络。
2.如权利要求1所述的方法,其中,所述第一硬件标识符涉及与所述网络的用户相关联的移动设备,所述第二硬件标识符标识接收所述网络认证令牌和随机数的移动设备。
3.如权利要求1所述的方法,进一步包括:
获取存储在***所述移动设备内的可移动单元识别模块中的密钥;
使用所获取的密钥执行所述随机数的加密转换;以及
如果所述认证步骤认证所述网络,则传输所述随机数的加密转换作为响应。
4.如权利要求1所述的方法,进一步包括:
如果所述第一消息认证码与所述第二消息认证码不匹配、所述第一硬件标识符和所述第二硬件标识符不匹配、以及所述第一序列号小于所述第二序列号中的至少一个成立,则生成再同步对;以及
向所述网络传输所述再同步对。
5.如权利要求4所述的方法,进一步包括:
重新分配第一协议再同步对的比特,所述第一协议再同步对具有分配给第一协议再同步消息和第一协议序列号的每一个的预置个数的比特;
传输具有与所述第一协议再同步对相同个数的比特的第二再同步对,在所述重新分配步骤中被重新分配的比特用作第二扩展序列号的比特,其中所述第二扩展序列号的比特的个数比所述第一协议序列号的比特的个数多。
6.一种由网络执行的与移动设备通信的方法,包括:
生成包括网络认证令牌的第一认证矢量,所述第一认证矢量是随机数、期望响应、加密密钥、完整性密钥和所述网络认证令牌的级联;
向所述移动设备传输随机数和所述网络认证令牌,所述网络认证令牌包括第一扩展序列号,所述第一扩展序列号包括与用户相关联的移动设备的硬件标识符;
接收来自所述传输步骤的响应,所述响应是所述随机数的加密转换以及包括第二扩展序列号和再同步消息的再同步对中的至少一个;
将来自所述传输步骤的响应与所述期望响应进行比较;以及
如果来自所述传输步骤的响应与所述期望响应匹配,则认证所述移动设备。
7.如权利要求6所述的方法,进一步包括:
如果来自所述传输步骤的响应与所述期望响应不匹配,则生成第二认证矢量,所述第二认证矢量包括具有所述第二扩展序列号的第二网络认证令牌;以及
向所述移动设备传输所述第二网络认证令牌。
8.如权利要求6所述的方法,进一步包括:
重新分配第一协议网络认证令牌的比特,所述第一协议网络认证令牌具有分配给第一协议序列号、认证消息域和消息认证码的每一个的预置个数的比特;
生成包括第二协议网络认证令牌的认证矢量,所述第二协议网络认证令牌具有与所述第一协议网络认证令牌相同个数的比特,被重新分配的比特用作第一扩展序列号的比特,其中所述第一扩展序列号的比特的个数比所述第一协议序列号的比特的个数多;以及
所述传输步骤将所述第二协议网络认证令牌作为所述网络认证令牌传输。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/892,736 US8265593B2 (en) | 2007-08-27 | 2007-08-27 | Method and system of communication using extended sequence number |
PCT/US2008/009686 WO2009029169A1 (en) | 2007-08-27 | 2008-08-13 | Method and system of communication using extended sequence number |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101785277A CN101785277A (zh) | 2010-07-21 |
CN101785277B true CN101785277B (zh) | 2013-01-16 |
Family
ID=40243813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008801043721A Active CN101785277B (zh) | 2007-08-27 | 2008-08-13 | 使用扩展序列号的通信方法和*** |
Country Status (6)
Country | Link |
---|---|
US (1) | US8265593B2 (zh) |
EP (1) | EP2195997B1 (zh) |
JP (1) | JP5334974B2 (zh) |
KR (1) | KR101455891B1 (zh) |
CN (1) | CN101785277B (zh) |
WO (1) | WO2009029169A1 (zh) |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8379854B2 (en) | 2007-10-09 | 2013-02-19 | Alcatel Lucent | Secure wireless communication |
US8881309B2 (en) * | 2008-03-04 | 2014-11-04 | Microsoft Corporation | Systems for finding a lost transient storage device |
US8560858B2 (en) * | 2008-05-29 | 2013-10-15 | Red Hat, Inc. | Secure session identifiers |
WO2010060242A1 (zh) * | 2008-11-27 | 2010-06-03 | 中兴通讯股份有限公司 | 一种移动终端的鉴权方法及*** |
CN101772020B (zh) * | 2009-01-05 | 2011-12-28 | 华为技术有限公司 | 鉴权处理方法和***、3gpp认证授权计费服务器及用户设备 |
US8296836B2 (en) * | 2010-01-06 | 2012-10-23 | Alcatel Lucent | Secure multi-user identity module key exchange |
CN102223347B (zh) * | 2010-04-13 | 2015-01-28 | 中兴通讯股份有限公司 | 下一代网络中多接入认证方法及*** |
TW201220901A (en) * | 2010-11-11 | 2012-05-16 | Gemtek Technology Co Ltd | Wireless communication system and device thereof |
WO2012141648A2 (en) * | 2011-04-12 | 2012-10-18 | Telefonaktiebolaget L M Ericsson (Publ) | A method and system for transmitting data from a radio network controller to a user equipment |
CN102325322B (zh) * | 2011-05-18 | 2014-01-15 | 西安电子科技大学 | 支持无线网络的多方式接入网关设备及认证方法 |
WO2012173539A1 (en) * | 2011-06-16 | 2012-12-20 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication server and communication device |
CN102841922B (zh) * | 2012-07-04 | 2015-09-23 | 北京国双科技有限公司 | 数据采集方法及装置 |
CN102983975B (zh) * | 2012-11-12 | 2016-02-24 | 天地融科技股份有限公司 | 动态口令显示方法 |
US9686284B2 (en) | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
US9338172B2 (en) * | 2013-03-13 | 2016-05-10 | Futurewei Technologies, Inc. | Enhanced IPsec anti-replay/anti-DDOS performance |
US9992183B2 (en) * | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
US9460312B2 (en) * | 2014-03-11 | 2016-10-04 | Qualcomm Incorporated | Data integrity protection from rollback attacks for use with systems employing message authentication code tags |
CN105451222B (zh) * | 2014-07-31 | 2019-10-22 | 华为技术有限公司 | 一种终端建立连接的方法、装置及*** |
CN107408351B (zh) * | 2015-03-31 | 2020-08-25 | 深圳市大疆创新科技有限公司 | 用于生成飞行管制的认证***和方法 |
WO2016154949A1 (en) | 2015-03-31 | 2016-10-06 | SZ DJI Technology Co., Ltd. | Authentication systems and methods for generating flight regulations |
EP3152089A4 (en) | 2015-03-31 | 2017-08-02 | SZ DJI Technology Co., Ltd. | Systems and methods for geo-fencing device communications |
US9913137B2 (en) * | 2015-09-02 | 2018-03-06 | Huawei Technologies Co., Ltd. | System and method for channel security |
WO2017147315A1 (en) * | 2016-02-23 | 2017-08-31 | Google Inc. | Identifying user device status via rotating codes broadcast by a beacon device |
WO2018187937A1 (en) | 2017-04-11 | 2018-10-18 | Huawei Technologies Co., Ltd. | Network authentication method, device, and system |
CN109246701B (zh) * | 2017-04-11 | 2019-11-19 | 华为技术有限公司 | 网络认证方法、设备和*** |
US11778460B2 (en) * | 2017-04-14 | 2023-10-03 | Giesecke+Devrient Mobile Security America, Inc. | Device and method for authenticating transport layer security communications |
EP3661243A1 (en) * | 2018-11-29 | 2020-06-03 | Nagravision S.A. | Secure beacons |
US20200236548A1 (en) * | 2019-01-18 | 2020-07-23 | Qualcomm Incorporated | Protection of sequence numbers in authentication and key agreement protocol |
CN110536292A (zh) * | 2019-04-28 | 2019-12-03 | 中兴通讯股份有限公司 | 发送终端序列号的方法和装置以及认证方法和装置 |
CN110098939B (zh) * | 2019-05-07 | 2022-02-22 | 浙江中控技术股份有限公司 | 消息认证方法及装置 |
US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
CN112636898B (zh) * | 2019-09-24 | 2023-03-14 | 比亚迪股份有限公司 | 基于通信网络的通信方法、装置和*** |
GB2606035B (en) * | 2021-05-24 | 2023-09-06 | Nordic Semiconductor Asa | Replay attack protection |
WO2023080355A1 (ko) * | 2021-11-02 | 2023-05-11 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말 인증 방법 및 장치 |
KR102411841B1 (ko) * | 2021-12-21 | 2022-06-22 | 주식회사 유니온플레이스 | 펌웨어를 수신하는 방법 및 펌웨어를 전송하는 방법 |
KR102437864B1 (ko) * | 2021-12-24 | 2022-08-30 | 주식회사 유니온플레이스 | 펌웨어를 수신하는 방법 및 펌웨어를 전송하는 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002052784A1 (en) * | 2000-12-27 | 2002-07-04 | Nokia Corporation | Authentication in data communication |
CN1875598A (zh) * | 2003-10-13 | 2006-12-06 | 诺基亚公司 | 用于异构ip网络认证的装置和方法 |
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子***中网络实体的互认证方法及装置 |
CN101064606A (zh) * | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的***、装置及方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA1220830A (en) * | 1984-12-28 | 1987-04-21 | David S. Drynan | Transmitting sequence numbers of information in a packet data transmission system |
US5778071A (en) * | 1994-07-12 | 1998-07-07 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
US5546463A (en) * | 1994-07-12 | 1996-08-13 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
US20040128249A1 (en) * | 1994-11-28 | 2004-07-01 | Indivos Corporation, A Delaware Corporation | System and method for tokenless biometric electronic scrip |
AU4398400A (en) * | 2000-04-06 | 2001-10-23 | Nokia Corporation | Method and system for generating a sequence number to be used for authentication |
KR100470303B1 (ko) * | 2002-04-23 | 2005-02-05 | 에스케이 텔레콤주식회사 | 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법 |
DE10307403B4 (de) * | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
US6999751B2 (en) * | 2004-04-08 | 2006-02-14 | Motorola, Inc. | Detection of cloned communication units based on message contents |
US20060046690A1 (en) * | 2004-09-02 | 2006-03-02 | Rose Gregory G | Pseudo-secret key generation in a communications system |
CN1767430B (zh) * | 2004-10-27 | 2010-04-21 | 华为技术有限公司 | 鉴权方法 |
CN100428848C (zh) | 2005-05-31 | 2008-10-22 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
JP2007041223A (ja) * | 2005-08-02 | 2007-02-15 | Mitsubishi Electric Corp | データ配信装置及びデータ通信システム |
US20070043947A1 (en) * | 2005-08-19 | 2007-02-22 | Mizikovsky Semyon B | Providing multimedia system security to removable user identity modules |
US7725709B2 (en) * | 2005-09-09 | 2010-05-25 | Telefonaktiebolaget L M Ericsson (Publ) | Methods for secure and bandwidth efficient cryptographic synchronization |
US20070165638A1 (en) * | 2006-01-13 | 2007-07-19 | Cisco Technology, Inc. | System and method for routing data over an internet protocol security network |
US7886962B2 (en) * | 2006-08-17 | 2011-02-15 | Verizon Patent And Licensing Inc. | Multi-function transaction device |
-
2007
- 2007-08-27 US US11/892,736 patent/US8265593B2/en active Active
-
2008
- 2008-08-13 EP EP08795287.5A patent/EP2195997B1/en active Active
- 2008-08-13 JP JP2010522899A patent/JP5334974B2/ja active Active
- 2008-08-13 WO PCT/US2008/009686 patent/WO2009029169A1/en active Application Filing
- 2008-08-13 KR KR1020107004365A patent/KR101455891B1/ko active IP Right Grant
- 2008-08-13 CN CN2008801043721A patent/CN101785277B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002052784A1 (en) * | 2000-12-27 | 2002-07-04 | Nokia Corporation | Authentication in data communication |
CN1875598A (zh) * | 2003-10-13 | 2006-12-06 | 诺基亚公司 | 用于异构ip网络认证的装置和方法 |
CN101030854A (zh) * | 2006-03-02 | 2007-09-05 | 华为技术有限公司 | 多媒体子***中网络实体的互认证方法及装置 |
CN101064606A (zh) * | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的***、装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
KR101455891B1 (ko) | 2014-11-03 |
EP2195997B1 (en) | 2017-05-03 |
JP2010538533A (ja) | 2010-12-09 |
CN101785277A (zh) | 2010-07-21 |
US20090061820A1 (en) | 2009-03-05 |
US8265593B2 (en) | 2012-09-11 |
WO2009029169A1 (en) | 2009-03-05 |
KR20100065150A (ko) | 2010-06-15 |
JP5334974B2 (ja) | 2013-11-06 |
EP2195997A1 (en) | 2010-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101785277B (zh) | 使用扩展序列号的通信方法和*** | |
US8792641B2 (en) | Secure wireless communication | |
US6839434B1 (en) | Method and apparatus for performing a key update using bidirectional validation | |
US7957533B2 (en) | Method of establishing authentication keys and secure wireless communication | |
EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
EP2347613B1 (en) | Authentication in a communication network | |
US8819765B2 (en) | Security policy distribution to communication terminals | |
CN111630882B (zh) | 用户设备、认证服务器、介质、及确定密钥的方法和*** | |
EP1884060A2 (en) | Method for producing key material | |
CN101123778A (zh) | 网络接入鉴权方法及其usim卡 | |
CN102318386A (zh) | 向网络的基于服务的认证 | |
CN101163003A (zh) | Sim卡使用umts终端和umts***时终端认证网络的***和方法 | |
CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
CN102487506A (zh) | 一种基于wapi协议的接入认证方法、***和服务器 | |
CN101399603A (zh) | 重同步方法、认证方法及设备 | |
CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
KR20050075823A (ko) | 무선 랜망 간에 연동하여 사용자 인증을 하는 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |