CN102948185A - 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 - Google Patents
用于在网络中的设备和智能卡之间建立安全和授权连接的方法 Download PDFInfo
- Publication number
- CN102948185A CN102948185A CN2010800676160A CN201080067616A CN102948185A CN 102948185 A CN102948185 A CN 102948185A CN 2010800676160 A CN2010800676160 A CN 2010800676160A CN 201080067616 A CN201080067616 A CN 201080067616A CN 102948185 A CN102948185 A CN 102948185A
- Authority
- CN
- China
- Prior art keywords
- equipment
- network
- smart card
- interface
- secure data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种方法,一种用于在网络(100)中第一设备(501)的和智能卡(504)之间建立第一安全和授权连接的方法,其中该第一设备(501)包括到第二设备(502)的第二安全连接,其中该方法包括存储第一安全数据;将该第一安全数据在该第一设备(501)和第二设备(502)之间传递;在该第一设备(501)处提供该第一安全数据;利用该第一安全数据经由该第一安全和授权连接来在该智能卡(504)和该第一设备(501)之间建立绑定;在该智能卡(504)和该第一设备(501)之间授权该绑定;以及鉴于第二安全数据可以对于将该第一设备(501)认证到该网络(100)是可用的,将该第二安全数据经由该第一安全和授权连接从该智能卡(504)发送到该第一设备(501)。
Description
技术领域
本发明的实施例一般地涉及移动通信,并且更特别地涉及通信网络中的网络设备和方法。本发明涉及用于在网络中的第一设备和智能卡之间建立安全和授权连接的方法。此外,本发明涉及网络内的设备、涉及智能卡、涉及计算机程序产品、以及涉及计算机可读介质。
背景技术
对演进分组***(EPS)的增强,尤其是中继节点体系结构,可以包括安全方面。当前,3GPP处于定义对EPS的增强的过程中,其将所谓的中继节点(RN)引入到EPS体系结构中。包括RN的EPS体系结构也被称为(EPS)中继节点体系结构。特定的EPS中继节点体系结构已经由3GPP所选择以用于进一步详细阐述(elaboration)。该选择的体系结构在3GPP TR 36.806中备有证明文件,其中其被称为"替代2(alternative 2)"。该体系结构的概述在TR 36.806 v2.0.0的图4.2.1.1-1中被给出,其在以下被解释,并且其在图1中被图示出。
中继节点(RN)可以是基站,其在用户设备(UE)和另一个基站(施主(donor)基站)之间中继通信量。EPS中的基站可以被称为eNB,因此施主基站被缩写为DeNB。UE与RN之间的Uu接口和RN与DeNB之间的Un接口均可以是无线电接口。Uu和Un可以是相似的。在没有中继节点的EPS体系结构中的UE与eNB之间的Uu可以与UE与RN之间的Uu相同,即,该UE可能意识不到该RN的存在。
RN可以具有两面: 对于UE,该RN可以作为eNB; 以及对于(剩余的)该网络,该RN可以作为UE。尤其是当在所谓的RN启动阶段期间建立该无线电接口Un上的连接时,RN的UE特性开始起作用。该RN可以附着到该网络,并且在RN和它的DeNB之间的Un上的无线电载体可以以相同的方式被建立,其中UE附着到该网络,并且在UE和eNB之间的Uu接口上建立无线电载体。
因此,可能存在MME,其看到RN处于作为UE的它的角色中,并且该MME尤其可以在RN启动阶段期间是有效的。该MME为简略起见被称为中继UE的MME或MME-RN。该MME-RN可以在启动阶段期间认证该RN并为此目的而与HSS交互。该HSS可以包含RN处于它的UE角色中的订阅数据。类似适当的UE,RN也可以包括UICC上的USIM以启用认证。为了将该USIM和UICC与被***UE中的那些相区分,它们可以被命名为USIM-RN和UICC-RN(图1中未示出)。用于保护Un接口上的信令和用户平面以及用于保护RN和MME-RN之间的NAS信令的安全密钥,可以如为没有中继节点的EPS而定义的那样进行得出。
将中继节点引入到该EPS体系结构中也可能产生新的安全挑战。因此,存在对于在网络内的设备和智能卡或USIM之间提供安全连接的需要。
发明内容
根据本发明的示例性实施例,可以提供一种方法,用于在网络中的智能卡和第一设备之间建立第一安全和授权连接,其中该第一设备可以包括到第二设备的第二安全连接。该方法可以包括存储第一安全数据,将该第一安全数据在该第一设备和该第二设备之间进行传输,在该第一设备处提供该第一安全数据,利用该第一安全数据经由该第一安全和授权连接来在该智能卡和该第一设备之间建立绑定,授权该智能卡和该第一设备之间的绑定,以及鉴于第二安全数据对于将该第一设备认证到该网络是可用的,将该第二安全数据经由该第一安全和授权连接从该智能卡发送到该第一设备。
安全连接可以是通信信道,其被完整性保护和/或机密性保护和/或提供发送数据的来源证明。授权连接可以是一种连接,其中获得连接建立的知识的端点或第三方(例如MME-RN)中的至少一个已经进行了允许该连接被建立或使用的判定,其中该判定是基于一些授权数据,该授权数据可以本地存储在该端点中的至少一个中,或可以从一些其他实体由该端点中的至少一个所接收,或可以被存储在第三方或由第三方所接收。
安全和授权连接可以是其组合。"安全和授权连接"通常在该情境内和以下文本中也被称为"安全信道"。
智能卡可以被理解为具有嵌入的集成电路(IC)的模块,其提供用于存储和传送信息的介质,例如SIM卡或UICC卡是智能卡。智能卡可以包括诸如USIM应用(在以下为简略起见也被称为"USIM")的应用。该UICC可以提供用于数据的非易失性存储,以及在其中用于存储、执行和验证密码算法的结果的安全环境。该UICC可以是从移动设备可分离的,或永久嵌入的。
可以提供一种用于减轻对中继节点和UICC之间的接口的攻击的方法。该第一设备可以是RN。该第二设备可以是OAM服务器或施主eNB。该安全数据可以在第二设备处被存储。
可以理解的是,第一安全数据和第二安全数据可以是任何种类的安全数据。也许可能的是,该第一安全数据与该第二安全数据不同。
根据本发明的示例性实施例,安全数据可以是来自由以下组成的数据组中的至少一个安全数据:预共享密钥、证书、根证书、证书撤销数据、授权数据、服务网络身份、智能卡身份、网络设备身份、从EPS AKA的运行生成的数据,预先存在的密钥的变换的密钥、从证书和授权消息中得到的至少一个参数。
提及的安全数据可以是第一和/或第二安全数据。EPS AKA可以是认证和密钥协议(AKA),如例如在3GPP TS 33.401中所定义的,从版本(Release)8开始。
根据本发明的示例性实施例,该方法可以进一步包括在安装在该网络内的第二设备上存储用于该智能卡的密钥和/或授权数据的列表。
根据本发明的示例性实施例,该方法可以进一步包括在该第二设备处或在与该第二设备相连接的第三设备处动态地生成安全数据。
根据本发明的示例性实施例,该方法可以进一步包括从认证该第一设备的EPS AKA的运行期间获取的参数和/或从设备身份得到该安全数据。
根据本发明的示例性实施例,该方法可以进一步包括在该第一设备处接收来源于该第二设备的证书或根证书。
根据本发明的示例性实施例,该方法可以进一步包括通过由网络设备将安全数据进行数字签名来提供完整性保护。
根据本发明的示例性实施例,该方法可以进一步包括该第一设备经由该第二设备将其自身的身份和/或该智能卡设备的身份发送到第四网络设备,以用于授权验证。
该第二设备可以是DeNB。该第四网络设备可以是MME-RN。
根据本发明的示例性实施例,该方法可以进一步包括该第二设备将该第一设备的身份和/或该智能卡设备的身份发送到第四网络设备,以用于授权验证。
该第二设备可以是DeNB,并且该第四设备可以是MME-RN: 该DeNB可以将RN设备身份发送到该MME-RN,并且该MME-RN可以出于检查USIM和RN的绑定被授权的目的来针对重新认证的USIM身份检查该RN设备身份。
根据本发明的示例性实施例,可以预料的是,该方法包括通过使用在安全和授权连接上接收的EPS AKA安全数据来将该第一设备认证或重新认证到该网络。
根据本发明的示例性实施例,可以预料的是,该认证可以由IPsec所执行。
根据本发明的示例性实施例,可以预料的是,该第二设备基于一个或多个(重新)认证的结果来执行该第一设备到该网络的访问控制和/或平台验证。
该第二设备可以是DeNB。
根据本发明的示例性实施例,可以提供一种网络中的设备,其包括第一接口、第二接口和第三接口,其中该第一接口可以适合于发送和/或接收安全数据,其中该第二接口可以适合于经由第一安全和授权连接来建立对智能卡的绑定,以及其中该第三接口可以适合于经由第二安全连接来建立对另一个设备的绑定。
根据本发明的示例性实施例,该网络设备可以是从以下组成的设备组中选择的至少一个网络设备:中继节点(RN)、连接到RN的UICC中的USIM(USIM-RN)、eNB、施主eNB、MME、MME-RN、中继、服务器、OAM服务器、OCSP服务器、归属订户服务器(HSS)、AAA服务器、身份管理器和数据储存库(repository)。
根据本发明的示例性实施例,该网络设备可以包括到该智能卡的安全连接的第一端点和到第二网络设备的安全连接的第二端点,其中该第一端点和该第二端点可以终止于该网络设备中的相同的信任环境中。
因此,到该智能卡和第二网络设备的安全连接的端点均分别可以终止于该第一网络设备中的相同的信任环境中。该特征可以对于例如RN是有利的。
根据本发明的示例性实施例,可以提供一种网络内的智能卡,其中该智能卡可以接收设备身份。
该设备身份可以是安全数据。
根据本发明的示例性实施例,可以预料的是,安全数据可以被存储在智能卡中,并且可以通过使用该设备身份来执行安全数据的转换。
根据本发明的示例性实施例,可以提供一种智能卡,其可以通过使用该第一设备的设备身份来执行证书状态检查。
该智能卡可以检查例如RN的证书的状态。
根据本发明的示例性实施例,可以提供一种计算机程序产品,其包括用于使在其上可以执行计算机程序的设备执行根据本发明的方法的代码部分。
关于网络设备的本发明的示例性实施例可以包括处理器,该处理器可以适合于执行根据本发明的示例性实施例的方法。该处理器可以利用计算机程序产品以便执行根据本发明的方法。
根据本发明的示例性实施例,可以提供体现根据本发明的计算机程序产品的计算机可读介质。
根据本发明的示例性实施例,用于保护Un接口上的信令和用户平面以及用于保护RN和MME-RN之间的NAS信令的安全密钥可以从称为CK和IK的两个高水平密钥得到。CK和IK可以在认证期间在USIM-RN中被生成,并且然后从该USIM-RN发送到该RN。该过程可以与没有RN的EPS相同,其中该USIM在认证期间将CK和IK发送到该移动设备(ME)。攻击者现在可以在UICC-RN和RN之间的接口上侦听并且以这种方式获取密钥CK和IK。因此,该攻击者则将能够获取用于保护Un接口上的信令和用户平面和用于保护RN和MME-RN之间的NAS信令的密钥。使用这些密钥,该攻击者可以然后侦听Un接口上的所有通信量或修改Un接口上的消息,除非采取附加的对策。
用于保护Un接口的可能的安全措施的描述在3GPP临时文件S3-100447、S3-100656中被给出。S3-100447不处理UICC-RN和RN之间的接口上的窃听问题。然而,3GPP临时文件S3-100572和S3-100573指出了针对该接口上的窃听的对策,即,例如根据ETSI标准TS 102484来建立UICC-RN和RN之间的安全信道。
因此,本发明的示例性实施例可以采用适合于中继节点体系结构的方式提供一方面在UICC中且另一方面在RN中的安全密钥的建立,其是用于在UICC-RN和RN之间设立安全信道并且保护跨越该信道所发送的数据所需要的。
可以根据ETSI标准TS 102484来提供一些可能性:
“为了管理这些安全信道协议的安全方面,设立了包含安全设置和密钥材料的安全情境。当前的文件定义了四种机制来协定密钥材料,通过使用:”
·强预共享密钥-GBA:通过使用在TS 133 110中所规定的GBA过程来协定密钥材料。如果支持GBA,则UICC和终端将支持该机制。
关于强预共享密钥-GBA:该过程可能需要网络中的附加功能实体,即从3GPP TS 33.110推定的BSF和NAF密钥中心,cf. TS 133 110。此外,该过程可能需要根据GBA和3GPP TS 33.110附加过程的运行,尤其是在RN和BSF之间的所谓的Ub接口上认证过程的附加运行。因此,使用这种替代方式可能是复杂的。
·强预共享密钥-专有的预协定密钥:
这些是具有至少128位平均信息量(entropy)的密钥。UICC和该终端可以支持该机制。
关于强预共享密钥-专有的预协定密钥,词语"专有的"的使用可以被理解的是,ETSI标准TS 102484未规定如何获取这些密钥的方法。
·弱预共享密钥-专有的预协定密钥:这些是具有小于128位的平均信息量的密钥(诸如基于口令的密钥)。UICC和该终端可以支持该机制。
关于弱预共享密钥-专有的预协定密钥,这种密钥可能是从安全观点不可接受的。
·证书交换:不支持GBA机制的UICC或终端将支持该机制。不支持GBA机制的UICC或终端可以支持该机制。”
关于证书交换,这种替代方式可以是考虑的选项。然而,它可能必然伴有在设立和维持公开密钥基础结构和将证书分配到涉及的实体中所暗含的复杂性。ETSI标准TS 102484可以包括用于将证书(例如,所需要的根证书)分配到涉及的实体的任何方法。
此外,本发明的示例性实施例可以提供为了如何可以在RN启动阶段期间将密钥建立嵌入在其他安全过程中,使得过程的组合可以导致数据跨越中继节点从UE到网络的安全传输。
可能存在的需要是,可以通过使用例如TLS或IPsec来在RN启动阶段期间必要地建立RN和OAM服务器之间的安全信道。
可能存在的需要是,在RN启动阶段期间在RN上的安全环境和DeNB之间设立IPsec安全关联。
没有关于一方面根据ETSI标准TS 102484以及另一方面根据以上提及的方法的安全信道方法的组合的解决方案可以被提供。因此,本发明示例性实施例可以提供这样的解决方案。
根据本发明的示例性实施例,可以提供通过使用可以已经在由3GPP所选择的中继节点体系结构中可用的功能元件来建立"强预共享密钥-专有的预协定密钥"的方法。
根据本发明的第一示例性实施例,提供了一种方法,其可以使用RN和OAM服务器之间的安全信道来发送密钥到RN,该密钥可以被用作USIM-RN和RN之间的强预共享密钥。假定的是,OAM服务器保持密钥的列表,其中每个密钥与一个USIM-RN相关联。该关联可以是用于授权来建立某个RN和某个UICC-RN之间的安全信道的基础。通过发送适当的密钥,该OAM服务器可以将授权信息隐含地传递到该RN。该方法需要USIM保持预共享密钥(除了被用于认证的预共享密钥之外),该预共享密钥是对正常使用的USIM的扩展。而如果该UICC已经支持TS 102484,则其将不必须被修改。用于RN和OAM服务器之间的安全信道的建立过程可以通过使用现有的机制(例如,TLS)来被完成。该信道出于例如管理目的无论如何都可能是必要的。
根据本发明的第二示例性实施例,提供了一种方法,其也可以使用RN和OAM服务器之间的安全信道来发送密钥到RN,其可以被用作USIM-RN和RN之间的强预共享密钥。然而,假定的是,OAM服务器从另一个服务器(例如经由Sh接口从HSS)检索被发送到RN的密钥。该HSS可以在RN附着期间从在用于初始EPS AKA中的EPS认证矢量中的CK、IK动态地生成该密钥。在对现有HSS功能性的扩展时,这可能需要该HSS保持用于上次成功认证的认证矢量,或与该认证矢量一起生成USIM-RN和RN之间的预共享密钥,并存储该密钥。该UICC可能必须被修改,以便不将CK、IK给予该RN,而是只有将对于EPS过程足够的KASME起作用。出于此目的,RN将必须将服务网络标识给予USIM-RN,使得其可以得到KASME。从CK、IK得到的密钥(并且不是在CK、IK不必须离开该HSS时的CK、IK本身)可以充当在TS 102484的意义上的预共享密钥。
该方法可以不需要如在根据第一示例性实施例的方法中所需要的附加的预共享密钥。在这个示例性实施例中,授权数据可以被本地存储在OAM服务器中,或者该OAM服务器可以与检索的密钥一起从该HSS接收授权数据。授权信息可以采用与第一示例性实施例中的方式一样的方式被传递到RN。
根据本发明的第三示例性实施例,提供了一种方法,其可以使用RN和DeNB之间的IPsec安全加密链路(tunnel)来发送密钥到RN,该密钥可以被用作USIM-RN和RN之间的强预共享密钥。DeNB可以通过Sl-RN从MME-RN获取该密钥。该MME转而可以从HSS获取该密钥。该HSS可以按以下来生成该密钥: 当MME-RN从与USIM-RN有关的HSS(从与中继节点有关的专门的订阅类型可识别的)请求EPS AV时,则该HSS可以和正常一样从AuC获取AV,将其转变成如在TS 33.401中所描述的EPS AV,并将包含密钥KASME的EPS AV发送到MME-RN。可以根据CK、IK和服务网络标识来计算KASME。另外,HSS可以计算另一个密钥,称为EKASME。可以根据CK、IK和另外的参数来计算EKASME。例如可以通过在密钥派生中包括"用于中继使用"的参数来根据CK、IK计算EKASME。根据用于被用于安全信道的密钥Ksc的EKASME的进一步密钥派生可以然后在HSS或者(优选地)在MME-RN中被执行。该进一步密钥派生可以包括例如RN id(基站身份)。该RN id对于MME-RN可以是已知的,但对于HSS可以不是已知的。因此在EPS过程内,该RN可以在普通EPS过程中与ME相对应,因此设备身份可以被包括在密钥派生中。
该方法还可以出于与以上描述的第二方法中相同的原因而要求UICC不将CK、IK给予该RN,而仅将KASME给予该RN。该方法的第三示例性实施例可以不需要如在第一示例性实施例中预见的附加的预共享密钥。在该示例性实施例中,授权数据可以被存储在HSS中,并且可以由MME-RN与检索密钥一起进行检索。通过发送适当的密钥,该MME-RN可以将授权信息经由DeNB传递到该RN。
根据本发明的第四示例性实施例,可以提供一种方法,其可以通过使用已经在由3GPP所选择的中继节点体系结构中可用的功能元件来建立被用于"证书交换"中的证书。该方法的基本设置(用于基于证书来建立RN和USIM-RN之间的安全信道)可以如已经知道的来被执行。此外,该方法可以使用该从RN到OAM服务器的安全信道。
本方法的第四示例性实施例可以使用RN和OAM服务器之间的安全信道来将证书发送到RN,通过该证书该RN可以根据TS 102484来设立与USIM-RN的安全信道。这可以适用如果例如该RN不具备能够验证该USIM-RN的证书的根证书的情况。尤其是,可以预见以下: 当USIM-RN和RN开始通信时,USIM-RN可以将它的身份发送到RN。替代地或另外,该USIM-RN可以将证书发送到RN。然后该RN可以将USIM-RN身份或其相关部分或从其得到的参数、或来自该USIM-RN的证书或其相关部分或从其得到的参数通过安全信道发送到OAM服务器。该OAM服务器可以以对应的证书作出响应,该对应的证书例如是用于验证该USIM-RN的证书所需要的根证书。该OAM服务器还可以充当OCSP服务器。可以预料的是,RN可能已经根据3GPP TS 33.310来为基站执行证书登记过程,并且可能因此具有可以被用于设立与该USIM-RN的安全信道的证书。用于RN中的证书和USIM中的证书的根证书通常可以是(但可以不必须需要是)相同的。
此外,该OAM服务器可以对RN提供用于建立与该USIM-RN的安全信道的授权数据。通过针对该根证书来验证该USIM-RN证书,该RN可以确定该USIM-RN持有按照该根CA的策略发放的证书。所传递的授权数据可以给出USIM-RN的允许身份或身份的列表,或USIM-RN证书的允许属性。
此外,OAM服务器可以经由OAM服务器和RN之间的安全信道将授权数据发送到USIM-RN。该RN可以然后将该授权数据转发到该USIM-RN。对该授权数据的安全性要求可以取决于威胁情况;(a)如果该RN是信任的并且如果该安全信道可以在没有该授权数据的情况下被建立,则可以不需要如给出逐跳的安全性那样来使这样的授权数据安全,并且该USIM-RN可以依靠该数据的完整性,(b)如果(a)的两个前置条件没有被满足,则该授权数据可以被完整性和重放保护并且可以被机密性保护。可以例如通过OAM服务器数字签名该数据来实现完整性保护。该USIM-RN则将必须拥有允许验证该数字签名的数据的对应证书。通过该授权数据,该USIM - RN例如被通知其允许被连接到哪个RN。如果其不具备用于验证RN证书的根证书,则另一个选项将是安全地发送根证书到该USIM-RN。后面的选项可以要求的是,该USIM-RN具有所提供的信任锚(trust anchor),其可以允许验证来自OAM服务器的授权消息。
关于提供方法的该第一、第二、第三和第四示例性实施例,对于所有这些方法,可以分别预见以下多个方面:
在建立与该UICC的安全信道之后,该RN可以例如通过使用EPS AKA、使用通过安全信道由UICC所发送的安全数据来建立或重建与该DeNB的安全连接或安全信道。替代地或另外地,该RN可以例如基于存储在该RN中的一些安全数据通过使用IPsec来建立与该DeNB的安全信道,其中前提是该RN在建立与该UICC的安全信道之前通过内部完整性检验,并且随后成功建立与该UICC的安全信道。通过将基于通过该安全信道所接收的安全数据进行的与该DeNB的认证,与基于存储在RN中的安全数据进行认证的UICC进行绑定,并且仅在对该RN成功进行完整性检验之后被执行,该RN可以发信号给该DeNB,其被认证和完整性检验。该DeNB可以基于该信令对该RN进行到该网络的访问控制。
因此,本发明的示例性实施例可以提供该RN可以如何获取密钥材料和授权数据以便保护RN-UICC和RN之间的接口的解决方案。这种密钥材料可以被利用以便建立RN中保持该UICC的实体和该RN实体之间的安全信道。RN内的密码密钥(诸如CK、IK)可以被保护使之免于恶意窃听和/或操纵,其中该CK、IK密码密钥可以被利用来保护该UE和该RN之间的Uu接口。因此,本发明的示例性实施例可以将安全信道技术与密钥管理技术相组合。这些可以在例如RN接口的具体情境中被利用,以便可以对于RN和其部件(诸如UICC-RN和RN平台)建立安全保护。此外,可以提供一种强预共享密钥建立以及基于IKE或基于TLS的密钥管理。
附图说明
以下参考附图来描述本发明的实施例,该附图不一定是按比例绘制的,其中:
图1说明了根据示例性实施例的网络体系结构;
图2说明了根据本发明的第一示例性实施例的方法;
图3说明了根据本发明的第二示例性实施例的方法;
图4说明了根据本发明的第三示例性实施例的方法;
图5说明了根据本发明的第四示例性实施例的方法;
图6说明了包括智能卡的网络体系结构的第一示例性实施例;以及
图7说明了包括智能卡的网络体系结构的第二示例性实施例。
具体实施方式
附图的说明是示意性的。在不同的附图中,相似或相同的元件具备相同的附图标记。
图1说明了如以上已经描述的3GPP环境内的中继节点体系结构。网络100包括用户UE或UE、中继节点(RN)、DeNB、SGW/PGW、中继GW、MME、中继UE的MME或MME-RN、OAM服务器和HSS。此外分别说明了网络设备之间的接口,诸如Uu接口、Sl-MME接口、Un接口、Sll接口、Sl-U接口和Sh接口。
图2说明了根据本发明的第一示例性实施例的方法。在步骤101中,该RN附着到使用任何eNB的网络。USIM-RN和RN之间的通信可能是不安全的。可以由MME-RN来执行认证。
在步骤102中,RN和OAM服务器之间的安全信道可以被建立,并且可以执行进一步的必要配置步骤。
在步骤103中,该OAM服务器将密钥发送到该RN,该密钥可以被用作USIM-RN和RN之间的强预共享密钥。这是存储在OAM服务器中并且与该USIM-RN有关的密钥,或是从存储在OAM服务器中的这种密钥派生的密钥。该派生包括例如RN身份。
在步骤104中,该USIM-RN和该RN设立它们之间的安全信道,这可以根据TS 102484来完成。该USIM使用其存储的用于安全信道建立的预共享密钥。如果OAM服务器发送派生的密钥,则USIM-RN可能必须执行相同的派生。
在步骤105中,该RN现在经由DeNB重附着到该网络,并且在该过程中被重新认证。将CK、IK通过USIM-RN和RN之间的接口进行发送,并且因为该接口被保护,所以不能被攻击者所读取。
假如RN已经在步骤101中附着到该DeNB,则可以仅对现有连接执行重新认证。在步骤106中,可以建立RN和DeNB之间的Ipsec安全加密链路。如果该RN已经在步骤101中附着到DeNB,则步骤105和106可以被切换。
该方法可以提供若干优点: 用于预共享密钥的普通情况将是双方都必须预先被提供这些密钥。该方法可以仅对USIM-RN提供这一点。RN中的预共享密钥可以经由OAM服务器和RN之间的安全信道由该网络(由QAM服务器所表示)远程和动态地进行配置。这可以允许动态地改变USIM-RN和RN之间的绑定关系,而不需要本地管理该RN。只有OAM服务器中的数据库可能必须被适应。
图3说明了根据本发明的第二示例性实施例的方法。在步骤201中,该RN附着到使用任何eNB的网络。USIM-RN和RN之间的通信可能是不安全的。可以由MME-RN来执行认证。
在步骤202中,RN和OAM服务器之间的安全信道可以被建立,并且可以执行进一步的必要配置步骤。
在步骤203中,该OAM服务器可以从HSS检索合适的密钥。该OAM服务器然后将密钥发送到该RN,该密钥可以被用作USIM-RN和RN之间的强预共享密钥。该密钥从检索自该HSS的密钥所派生。该派生可以包括例如RN身份。
在步骤204中,该USIM-RN和该RN设立它们之间的安全信道,这可以根据TS 102484来预见。这可能要求USIM-RN内部执行与在HSS和OAM服务器中所完成的相同的派生。该USIM可能不需要存储预共享密钥,但是可以使用如为派生该预共享密钥所输入的上次成功认证的CK、IK。
在步骤205中,该RN现在经由DeNB重附着到该网络,并且在该过程中被重新认证。将CK、IK通过USIM-RN和RN之间的接口进行发送,并且因为该接口被保护,所以不能被攻击者所读取。假如RN已经在步骤201中附着到该DeNB,则重新认证仅对于现有连接是必要的。
在步骤206中,可以建立RN和DeNB之间的Ipsec安全加密链路。如果该RN已经在步骤201中附着到DeNB,则步骤205和206可以被切换。
该方法可以提供若干优点:除了方法的第一示例性实施例的优点之外,同时,可以不需要预先对USIM-RN提供预共享秘密。USIM-RN中的该预共享秘密可以基于无论如何都用于认证的存在于该USIM的共享密钥,根据与该网络的上次认证过程来被动态地生成。可以预料的是,该OAM服务器可能需要访问该HSS,这可能需要核心网络中的适应。此外,该USIM可以被改变到那样的程度,其中密钥CK、IK不直接在该UICC外面被传递,而仅将派生的KASME发送到RN以用于认证。这可以避免攻击者还可以得到在USIM内部使用的预共享密钥。
图4说明了根据本发明的第三示例性实施例的方法。在步骤301中,该RN可以附着到使用任何eNB的网络。USIM-RN和RN之间的通信可能是不安全的。可以由MME-RN来执行认证。
在步骤302中,RN和OAM服务器之间的安全信道可以被建立,并且可以执行进一步的必要配置步骤。应当注意的是,步骤301和302可以被省略,因为到OAM服务器的安全信道在该方法中可以不被利用。在这种情况下,该RN可以如步骤303中所描述的那样附着到该DeNB。
在步骤303中,可以预料的是,假如该RN没有已经在步骤301中附着到该DeNB,则该RN可以现在附着到该DeNB,并且可以在该过程中被认证。
在步骤304中,该MME-RN可以与被用在步骤303中(或步骤301中,如果步骤303被省略)的认证矢量一起从该HSS检索EKASME。该MME-RN可以从EKASME派生该密钥 Ksc,并且可以将其在适当的SI-AP消息(例如,扩展的SI UE初始情境设立消息)中发送到DeNB。
在步骤305中,可以建立RN和DeNB之间的Ipsec安全加密链路。
在步骤306中,该DeNB可以经由在步骤305中所创建的IPsec安全加密链路来将该密钥Ksc发送到该RN。替代地,该密钥Ksc可以在步骤305中执行IPsec安全加密链路建立期间被发送,并且Ksc例如在IKE_AUTH响应的通知有效载荷中,例如在IKEv2消息内被安全地传输。
在步骤307中,该USIM-RN和该RN例如通过使用作为预共享密钥的密钥Ksc,根据TS 102484来设立它们之间的安全信道。
在步骤308中,该RN被重新认证,并且执行联机(on the fly)密钥改变,例如根据3GPP TS 33.401。因此,将KASME通过USIM-RN和RN之间的接口进行发送,并且因为该接口被保护,所以可能不被攻击者所读取。
该方法可以提供若干优点:该方法类似于如以上所描述的第二示例性实施例。然而,当前方法可以使用不同的通信信道和网络元件,并且因此可能具有对核心网络的不同影响。优点是,可以不需要新的接口(OAM服务器和HSS之间的),并且OAM连接可以不被改变和/或可以不存在。这意味着,在OAM连接对于RN到DeNB的附着上的初始配置不是必要的时,也可以应用本方法。代替需要OAM服务器和HSS之间的接口,可以使用从HSS经由MME到DeNB的现有的信令路径,并且还可以使用用于这些连接的现有的安全措施(即,DeNB和MME之间的回程上的IPsec)。本方法可以影响核心网络中的功能性和接口的适应。
图5说明了根据本发明的第四示例性实施例的方法。在步骤401中,该RN附着到使用任何eNB的网络。USIM-RN和RN之间的通信可能是不安全的。可以由MME-RN来执行认证。
在步骤402中,RN和OAM服务器之间的安全信道可以被建立,并且可以执行进一步的必要配置步骤。
在步骤403中,该OAM服务器可以经由安全信道将包括证书、根证书、证书状态报告、USIM-RN身份、或授权数据的在该第四示例性实施例中如以上所描述的必要的任何数据发送到该RN。
在步骤404中,该USIM-RN和该RN例如根据TS 102484来设立它们之间的安全信道。
在步骤405中,该RN发送包括来自步骤403且目标到该USIM-RN的任何数据的在该第四示例性实施例中如以上描述的任何数据到该USIM-RN。如果该数据是安全的,例如凭借网络的签名,则这样的数据还可以在步骤403和404之间之前被发送到该USIM-RN。
在步骤406中,可以预料的是,假如该RN没有已经在步骤401中附着到该DeNB,则该RN可以现在附着到该DeNB,并且可以在该过程中被重新认证。将KASME通过USIM-RN和RN之间的接口进行发送,并且因为该接口被保护,所以不能被攻击者所读取。
在步骤407中,该DeNB可以将RN设备身份发送到该MME-RN,并且该MME-RN将出于检查USIM和RN的绑定被授权的目的来针对步骤406中重新认证的USIM身份检查该RN设备身份。换言之,可以预料的是,该DeNB将RN的身份发送到另外的网络设备以用于授权验证,该另外的网络设备可以是MME-RN。
该方法可以提供若干优点:该方法可以允许通过使用OAM服务器和RN之间的安全连接来动态管理信任锚、证书和授权数据,该安全连接在多数情况下在实际操作为RN之前为RN的初始配置而被部署。如果步骤407可选地不被执行,则该方法可以对除OAM服务器之外的核心网络不具有影响。
图6说明了包括智能卡504的网络体系结构的第一示例性实施例。该网络包括第一设备501,其是RN,以及第二设备502,其是OAM服务器。该RN包括第一接口511、第二接口512和第三接口513。该RN 501经由该第二接口512被连接到智能卡504。该RN 501经由该第一接口511与该OAM 502相连接。此外,该RN 501经由该第三接口513与DeNB 503相连接。
该第一接口可以提供TLS。该第二接口可以通过使用安全信道来建立绑定,以及该第三接口可以提供RN 501和DeNB 503之间的安全链接。
图7说明了包括智能卡504的网络体系结构的第二示例性实施例。该网络包括第一设备501,其是RN,以及另外的设备503,其是DeNB。该RN 501包括第一接口514、第二接口512和第三接口513。该RN 501经由该第二接口512被连接到智能卡504。该RN 501经由第一接口514和经由第三接口513与该DeNB相连接。
该第二接口512可以经由安全信道来建立绑定。该第一接口514可以提供IPsec。该第三接口513可以提供安全链接。
已经针对3GPP技术描述了示例性实施例。相似的解决方案可以被利用在LTE技术(其尤其是3GPP技术)中,或类似的技术中。
通常,要注意的是,如果仅适合于执行相应部分的描述功能的话,则根据以上描述的方面的相应的功能元件可以通过任何已知手段以硬件和/或软件来分别被实现。提及的方法步骤可以在个别功能块中或由个别设备来实现,或者方法步骤中的一个或多个可以在单个功能块中或由单个设备来实现。
此外,很可能被实现为软件密码部分并且通过使用在实体之一处的处理器被运行的方法步骤和功能是与软件代码无关的,并且可以通过使用诸如例如Java、C++、C、和汇编的任何已知的或未来开发的编程语言来进行指定。很可能被实现为在实体之一处的硬件部件的方法步骤和/或设备或装置是硬件无关的,并且可以通过使用诸如MOS、CMOS、BiCMOS、ECL、TTL等等的任何已知的或未来开发的硬件技术或这些的任意混合,使用例如作为示例的ASIC部件或DSP部件来实现。通常,任何方法步骤都适合于被实现为软件或由硬件所实现而不改变本发明的思想。设备和装置可以被实现为个别设备,但这不排除它们以分布式方式遍及该***而被实现,只要保留了该设备的功能性。这样的和类似的原理将被认识是对于本领域技术人员已知的。
本文描述的该网络设备或网络元件以及它们的功能可以由软件,例如用于计算机的计算机程序产品,或由硬件来实现。无论如何,为了执行它们相应的功能,对应地使用的设备,诸如互相配合的节点或网络控制元件(类似IMS网络的MGCF)包括若干装置和部件(未示出),其对于控制、处理和通信/信令功能性是需要的。这样的装置可以包括例如,用于执行指令、程序和用于处理数据的处理器单元,用于存储指令、程序和数据、用于充当处理器的工作区等等的存储器装置(例如,ROM、RAM、EEPROM等等),用于由软件输入数据和指令的输入装置(例如,软盘、CD-ROM、EEPROM等等),用于向用户提供监视器和操纵可能性的用户接口装置(例如,屏幕、键盘等等),用于在处理器单元的控制下建立链接和/或连接的接口装置(例如,有线和无线接口装置、天线等等),等等。
出于如以上在本文描述的本发明的目的,应当注意的是:
-经由其将信令传递到网络元件或节点和从网络元件或节点传递的访问技术可以是任何技术,借助于该技术,节点可以访问接入网络(access network)(例如,经由基站或通常经由接入节点)。可以使用任何当前或未来技术,诸如WLAN(无线的局部接入网)、WiMAX(全球微波互联接入)、蓝牙、红外等等;尽管上述技术主要是无线接入技术(例如在不同的射频谱中),但在本发明的意义上的接入技术还暗含有线范围的(wirebound)技术,例如电缆网或固定线还有电路转接接入技术之类的基于IP的接入技术; 接入技术可以在诸如分组转接和电路转接的至少两个类别或接入域中可区分,但是存在两个以上的接入域不阻碍发明对其进行应用,
-可用的接入网络可以是任何设备、装置、单元或手段,通过该接入网络,站点、实体或其他用户设备可以连接到和/或利用由该接入网络所提供的服务;这样的服务包括尤其是数据和/或(音频)视觉通信、数据下载等等;
-用户设备可以是任何设备,装置,单元或手段,通过该用户设备,***用户或订户可以体验来自接入网络的服务,诸如移动电话、个人数字助理PDA或计算机;
-很可能被实现为软件代码部分并且通过使用在网络元件或终端(如设备、装置和/或其模块的示例,或如包括装置和/或其模块的实体的示例)处的处理器来运行的方法步骤,是软件代码无关的并且可以通过使用任何已知的或未来开发的编程语言来进行指定,只要保留了该方法步骤所定义的功能性;
-通常,任何方法步骤都适合于被实现为软件或由硬件所实现而不改变按照所实现的功能性的本发明的思想;
-很可能被实现为终端或网络元件或其任何一个或多个模块处的硬件部件的方法步骤和/或设备、装置、单元、或手段,是硬件无关的,并且可以通过使用诸如MOS(金属氧化物半导体)、CMOS(互补MOS)、BiMOS(双极MOS)、BiCMOS(双极CMOS)、ECL(发射极耦合逻辑)、TTL(晶体管-晶体管逻辑)等等任何已知或未来开发的硬件技术或这些的任意混合,使用例如ASIC(专用IC(集成电路))部件、FPGA(现场可编程门阵列)部件、CPLD(复杂可编程逻辑器件)部件或DSP(数字信号处理器部件)来实现;另外,很可能被实现为软件部件的任何方法步骤和/或设备、单元或装置可以例如基于能够例如认证、授权、实现密钥(keying)和/或通信量保护的任何安全体系结构;
-设备、装置、单元或手段可以被实现为个别设备、装置、单元或手段,但这不排除它们以分布式方式遍及该***而被实现,只要保留了设备、装置、单元或手段的功能性,
-装置可以由半导体芯片、芯片组、或包括此类芯片或芯片组的(硬件)模块所表示; 然而,这不排除的可能性是,装置或模块的功能性代替被实现为硬件而被实现为(软件)模块中的软件,该(软件)模块诸如是包括用于在处理器上执行/被运行的可执行软件代码部分的计算机程序或计算机程序产品;
-设备可以被认为是装置或一个以上装置的组件,例如,无论是在功能上彼此协作还是在功能上彼此独立,但是在相同的设备外壳中的装置。
尽管已经主要相对于方法、过程、装置及其模块在以上进行描述,但要理解的是,本发明还覆盖了用于实现此类方法或过程和/或用于操作此类装置或模块的计算机程序产品,以及用于存储此类计算机程序产品的计算机可读(存储)介质。本发明还覆盖了以上描述的方法步骤和操作的任何可想到的组合,以及以上描述的节点、装置和模块的任何可想到的组合,只要以上描述的方法和结构布置的概念是可应用的。
此外,本文描述的该网络设备或网络元件以及它们的功能可以由软件,例如用于计算机的计算机程序产品,或由硬件来实现。无论如何,为了执行它们相应的功能,对应地使用的设备,诸如互相配合的节点或网络控制元件(类似IMS网络的MGCF)包括若干装置和部件(未示出),其对于控制、处理和通信/信令功能性是需要的。这样的装置可以包括例如,用于执行指令、程序和用于处理数据的处理器单元,用于存储指令、程序和数据、用于充当处理器的工作区等等的存储器装置(例如,ROM、RAM、EEPROM等等),用于由软件输入数据和指令的输入装置(例如,软盘、CD-ROM、EEPROM等等),用于向用户提供监视器和操纵可能性的用户接口装置(例如,屏幕、键盘等等),用于在处理器单元的控制下建立链接和/或连接的接口装置(例如,有线和无线接口装置、天线等等),等等。
本文所阐述的本发明的许多修改以及其他实施例将是本领域技术人员所想起的,对此,这些发明适合具有在前述描述和关联的附图中出现的教导的益处。因此,要理解的是,本发明将不被限于所公开的特定实施例,并且修改以及其他实施例意在被包括在所附权利要求的范围之内。此外,虽然前述描述和关联的附图在元件和/或功能的某些示例组合的情境中描述了示例实施例,但应当理解的是,元件和/或功能的不同组合可以在不背离所附权利要求的范围的情况下由替代实施例所提供。在这点上,例如,除了以上那些明确描述的,元件和/或功能的不同组合还被预计为可以在所附权利要求中的一些中被阐述。虽然本文采用了专用术语,但它们仅以通用和描述性意义且不出于限制的目的来被使用。
在上下文中,关于设备或网络设备或接口或安全数据的"第一"、"第二"、"第三"等不可以被理解为分级,应当仅被理解成将不同设备接口进行彼此区分。
应当注意的是,权利要求中的附图标记不应当被解释为限制权利要求的范围。
缩写词列表
3GPP=第三代合伙计划
AAA=认证、授权、核算(Accounting)
AKA=认证和密钥协定
Auc=认证中心
AV=认证矢量
CA=证书授权
CK=加密密钥
DeNB=施主eNB
eNB=增强节点B
EPS=演进分组***
GBA=通用仿真体系结构
GW=网关
HSS=归属订户服务器
IK=完整性密钥
IKE=互联网密钥交换
IPsec=IP安全协议
MME=移动性管理实体
NAS=非接入层
OAM=操作、管理和维护
OCSP=联机证书状态协议
PGW=分组数据网络网关
RN=中继节点
SGW=服务网关
TLS=传输层安全
UE=用户设备
UICC=通用集成电路卡
USIM=通用订户身份模块。
Claims (20)
1.一种用于在网络(100)中的第一设备(501)和智能卡(504)之间建立第一安全和授权连接的方法,其中该第一设备(501)包括到第二设备(502)的第二安全连接,其中该方法包括:
存储第一安全数据;
在该第一设备(501)和该第二设备(502)之间传递该第一安全数据;
在该第一设备(501)处提供该第一安全数据;
利用该第一安全数据经由该第一安全和授权连接来在该智能卡(504)和该第一设备(501)之间建立绑定;
在该智能卡(504)和该第一设备(501)之间授权该绑定;以及
鉴于该第二安全数据对于将该第一设备(501)认证到该网络(100)是可用的,将第二安全数据经由该第一安全和授权连接从该智能卡(504)发送到该第一设备(501)。
2.根据权利要求1的方法,其中安全数据是来自由以下组成的数据组中的至少一个安全数据:预共享密钥、证书、根证书、证书撤销数据、授权数据、服务网络身份、智能卡身份、网络设备身份、从EPS AKA的运行生成的数据,预先存在的密钥的变换的密钥、从证书和授权消息得到的至少一个参数。
3.根据权利要求1或2的方法,该方法进一步包括存储用于安装在该网络(100)内的该第二设备(502)上的智能卡(504)的密钥和/或授权数据的列表。
4.根据权利要求1至3中任意一项的方法,该方法进一步包括
在该第二设备(502)处或在第三设备处动态地生成安全数据,该第三设备与该第二设备(502)相连接。
5.根据权利要求1到4中任意一项的方法,该方法进一步包括
从认证该第一设备(501)的EPS AKA的运行期间所获取的参数和/或从设备身份得到该安全数据。
6.根据权利要求1至5中的一个的方法,该方法进一步包括
在该第一设备(501)处接收来源于该第二设备(502)的证书或根证书。
7.根据权利要求1至6中任意一项的方法,该方法进一步包括
通过由网络设备将安全数据进行数字签名来提供完整性保护。
8.根据权利要求1至7中任意一项的方法,该方法进一步包括:
该第一设备(501)将其自身的身份和/或该智能卡(504)的身份经由该第二设备(502 503)发送到第四网络设备,以用于授权验证。
9.根据权利要求1至8中任意一项的方法,该方法进一步包括:
该第二设备(502,503)将该第一设备的身份和/或该智能卡(504)的身份发送到第四网络设备,以用于授权验证。
10.根据权利要求1至9中任意一项的方法,其中该方法继之以通过使用在安全和授权连接上接收的EPS AKA安全数据来将该第一设备认证或重新认证到该网络。
11.根据权利要求1至10中任意一项的方法,
其中由IPsec来执行该认证。
12.根据权利要求1至11中任意一项的方法,
其中第二设备(502,503)基于至少一个认证或重新认证的结果来执行该第一设备(501)到该网络的访问控制和/或平台验证。
13.网络中的设备,其包括:
第一接口(511,514)、第二接口(512)和第三接口(513),
其中该第一接口(511,514)适合于发送和/或接收安全数据,
其中该第二接口(512)适合于经由第一安全和授权连接来对智能卡(504)建立绑定,
其中该第三接口(513)适合于经由第二安全连接来对另一个设备建立绑定。
14.根据权利要求13的网络设备,其中该网络设备是从以下组成的设备组中所选择的至少一个网络设备:中继节点(RN)、连接到RN的UICC中的USIM(USIM-RN)、eNB、施主eNB、MME、MME-RN、中继、服务器、OAM服务器、OCSP服务器、归属订户服务器(HSS)、AAA服务器、身份管理器和数据储存库。
15.根据权利要求13或14的网络设备,包括到该智能卡(504)的安全连接的第一端点和到该第二网络设备的安全连接的第二端点,其中该第一端点和该第二端点终止于该网络设备中的相同的信任环境。
16.网络内的智能卡,其中该智能卡(504)接收设备身份。
17.根据权利要求16的智能卡,其中通过使用该设备身份来执行存储在该智能卡(504)中的安全数据的变换。
18.根据权利要求16或17的智能卡,其中该智能卡通过使用该第一设备的设备身份来执行证书状态检查。
19.计算机程序产品,其包括用于使在其上执行计算机程序的网络设备执行根据权利要求1到12中任意一项的方法的代码部分。
20.计算机可读介质,其体现根据权利要求19的计算机程序产品。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2010/058749 WO2011160674A1 (en) | 2010-06-21 | 2010-06-21 | Method for establishing a secure and authorized connection between a smart card and a device in a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102948185A true CN102948185A (zh) | 2013-02-27 |
Family
ID=43530579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800676160A Pending CN102948185A (zh) | 2010-06-21 | 2010-06-21 | 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20130091556A1 (zh) |
| EP (1) | EP2583483A1 (zh) |
| CN (1) | CN102948185A (zh) |
| AR (1) | AR096832A1 (zh) |
| CA (1) | CA2803180A1 (zh) |
| WO (1) | WO2011160674A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113505090A (zh) * | 2021-06-22 | 2021-10-15 | 中国联合网络通信集团有限公司 | 访问控制方法及访问控制装置 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201015324D0 (en) * | 2010-09-14 | 2010-10-27 | Vodafone Ip Licensing Ltd | Secure association |
| TW201624961A (zh) * | 2010-11-15 | 2016-07-01 | 內數位專利控股公司 | 憑症驗證及頻道耦合 |
| US8943318B2 (en) * | 2012-05-11 | 2015-01-27 | Verizon Patent And Licensing Inc. | Secure messaging by key generation information transfer |
| US8990554B2 (en) | 2011-06-30 | 2015-03-24 | Verizon Patent And Licensing Inc. | Network optimization for secure connection establishment or secure messaging |
| US9154527B2 (en) | 2011-06-30 | 2015-10-06 | Verizon Patent And Licensing Inc. | Security key creation |
| US9270453B2 (en) | 2011-06-30 | 2016-02-23 | Verizon Patent And Licensing Inc. | Local security key generation |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| EP3941101A1 (en) | 2015-05-22 | 2022-01-19 | Huawei Device Co., Ltd. | Cryptographic unit for public key infrastructure (pki) operations |
| EP3139649A1 (en) * | 2015-09-04 | 2017-03-08 | Gemalto Sa | Method to authenticate a subscriber in a local network |
| TWI615002B (zh) * | 2016-11-02 | 2018-02-11 | 國立臺北科技大學 | 連網權限管制方法及網路系統 |
| US10440006B2 (en) | 2017-06-21 | 2019-10-08 | Microsoft Technology Licensing, Llc | Device with embedded certificate authority |
| US10938560B2 (en) | 2017-06-21 | 2021-03-02 | Microsoft Technology Licensing, Llc | Authorization key escrow |
| US10558812B2 (en) | 2017-06-21 | 2020-02-11 | Microsoft Technology Licensing, Llc | Mutual authentication with integrity attestation |
| US10546276B2 (en) | 2017-09-13 | 2020-01-28 | Microsoft Technology Licensing, Llc | Cyber ownership transfer |
| US11374760B2 (en) | 2017-09-13 | 2022-06-28 | Microsoft Technology Licensing, Llc | Cyber physical key |
| US11405299B2 (en) * | 2020-06-03 | 2022-08-02 | Cisco Technology, Inc. | Determining node behavior in deterministic networks |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008082337A1 (en) * | 2006-12-28 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for integration of different authentication infrastructures |
| CN101640886A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、重认证方法和通信装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| US7380125B2 (en) * | 2003-05-22 | 2008-05-27 | International Business Machines Corporation | Smart card data transaction system and methods for providing high levels of storage and transmission security |
| US7562219B2 (en) * | 2005-04-04 | 2009-07-14 | Research In Motion Limited | Portable smart card reader having secure wireless communications capability |
| US9092635B2 (en) * | 2006-03-31 | 2015-07-28 | Gemalto Sa | Method and system of providing security services using a secure device |
| CN1889432B (zh) * | 2006-07-13 | 2010-09-22 | 上海交通大学 | 基于智能卡的口令远程认证方法、智能卡、服务器和*** |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| US8070061B2 (en) * | 2008-10-21 | 2011-12-06 | Habraken G Wouter | Card credential method and system |
| US8676251B2 (en) * | 2009-03-04 | 2014-03-18 | Lg Electronics Inc. | Dual modem device |
| AR076088A1 (es) * | 2009-03-06 | 2011-05-18 | Interdigital Patent Holding Inc | Plataforma de validacion y gestion de dispositivos inalambricos |
-
2010
- 2010-06-21 US US13/703,985 patent/US20130091556A1/en not_active Abandoned
- 2010-06-21 CN CN2010800676160A patent/CN102948185A/zh active Pending
- 2010-06-21 CA CA2803180A patent/CA2803180A1/en not_active Abandoned
- 2010-06-21 WO PCT/EP2010/058749 patent/WO2011160674A1/en active Application Filing
- 2010-06-21 EP EP10727396.3A patent/EP2583483A1/en not_active Withdrawn
-
2011
- 2011-06-21 AR ARP110102136A patent/AR096832A1/es active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008082337A1 (en) * | 2006-12-28 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for integration of different authentication infrastructures |
| CN101640886A (zh) * | 2008-07-29 | 2010-02-03 | 上海华为技术有限公司 | 鉴权方法、重认证方法和通信装置 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "《3GPP TS 33.401 V9.3.1》", 30 April 2010, article "3GPP System Architecture Evolution (SAE);Security architecture(Release 9)", pages: 1 - 32 * |
| SA3: "Living Document on "Key Security Issues of Relay Node Architectures"", 《3GPP TSG-SA3 (SECURITY) SA3#59,S3-100656》, 30 April 2010 (2010-04-30), pages 1 - 13 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113505090A (zh) * | 2021-06-22 | 2021-10-15 | 中国联合网络通信集团有限公司 | 访问控制方法及访问控制装置 |
| CN113505090B (zh) * | 2021-06-22 | 2023-09-01 | 中国联合网络通信集团有限公司 | 访问控制方法及访问控制装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AR096832A1 (es) | 2016-02-03 |
| US20130091556A1 (en) | 2013-04-11 |
| CA2803180A1 (en) | 2011-12-29 |
| EP2583483A1 (en) | 2013-04-24 |
| WO2011160674A1 (en) | 2011-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102948185A (zh) | 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 | |
| CN107018676B (zh) | 用户设备与演进分组核心之间的相互认证 | |
| JP6062828B2 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
| JP5390619B2 (ja) | Homenode−b装置およびセキュリティプロトコル | |
| KR101374810B1 (ko) | 가상 가입자 식별 모듈 | |
| US20110305339A1 (en) | Key Establishment for Relay Node in a Wireless Communication System | |
| US20130163762A1 (en) | Relay node device authentication mechanism | |
| CN107196920B (zh) | 一种面向无线通信***的密钥产生分配方法 | |
| CN103596173A (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| CN109716724A (zh) | 与服务器通信的通信设备的双网认证的方法和*** | |
| US8380980B2 (en) | System and method for providing security in mobile WiMAX network system | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN1973495A (zh) | 无线局域网关联的设备和方法及相应产品 | |
| US20230328524A1 (en) | Non-3gpp device access to core network | |
| JP2005512396A (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| US11917416B2 (en) | Non-3GPP device access to core network | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN101877852B (zh) | 用户接入控制方法和*** | |
| KR20130042266A (ko) | 무선 센서 네트워크를 위한 암호 및 스마트카드 기반의 사용자 인증방법. | |
| Chitroub et al. | Securing mobile iot deployment using embedded sim: Concerns and solutions | |
| CN108400967A (zh) | 一种鉴权方法及鉴权*** | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的***及方法 | |
| CN101990203B (zh) | 基于通用自引导架构的密钥协商方法、装置及*** | |
| JP2017103761A (ja) | 移転認証方法、ユーザ装置及び移転確認方法 | |
| TR2023001074A2 (tr) | Güvenli̇k anahtarlarinin ve hassas veri̇leri̇ni̇n uzaktan güvenli̇ kanallar üzeri̇nden güncellenmesi̇ni̇ ve i̇ptal edi̇lmesi̇ni̇ sağlayan anahtar güncelleme ve i̇ptal etme yöntemi̇ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Espoo, Finland Applicant after: Nokia Siemens Networks OY Address before: Espoo, Finland Applicant before: Nokia Siemens Networks OY |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130227 |