CN103314605A - 用于认证通信设备的方法和装置 - Google Patents
用于认证通信设备的方法和装置 Download PDFInfo
- Publication number
- CN103314605A CN103314605A CN2011800652160A CN201180065216A CN103314605A CN 103314605 A CN103314605 A CN 103314605A CN 2011800652160 A CN2011800652160 A CN 2011800652160A CN 201180065216 A CN201180065216 A CN 201180065216A CN 103314605 A CN103314605 A CN 103314605A
- Authority
- CN
- China
- Prior art keywords
- group
- equipment
- authentication
- response
- authentication challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的方案,提供了一种操作通信设备的方法,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分。所述方法包括:从所述网络接收群认证挑战,所述群认证挑战的至少一部分是使用与所共享的订阅相关联的群认证信息来生成的。然后所述设备使用所述群认证信息和设备特定认证信息来生成针对所述群认证挑战的设备特定响应,以及向所述网络发送所述设备特定响应。所述设备是例如机器类型通信设备群的成员。
Description
技术领域
本发明涉及用于对作为群的一部分的通信设备进行认证的方法和装置,该群包括共享相同订阅的两个或更多通信设备。更具体地,本发明涉及用于对作为MTC群的一部分的机器类型通信(MTC)设备进行认证的方法和装置。
背景技术
第三代合作伙伴项目(3GPP)正在进行用于定义针对机器类型通信(MTC)的、全面网络增强集合的工作。机器类型通信(也被称为机器对机器(M2M)通信)是涉及一个或多个实体的数据通信形式,该实体不一定需要人类交互。将这些实体称为MTC设备,其中,MTC设备是配备用于机器类型的通信的通信设备,且其通过公共陆地移动网络(PLMN)与一个或多个MTC服务器和/或一个或多个其他MTC设备通信。MTC服务器是通过PLMN与MTC设备通信的服务器,具有可以由MTC用户来访问的接口,且执行针对MTC用户的服务。MTC服务器也具有可以由MTC用户来访问的接口,并执行针对MTC用户的服务。图1示意性地示出了机器类型通信场景。
可以由现有的移动通信网络所提供的数据服务来方便机器类型通信。然而,针对机器类型通信来优化的服务不同于针对人类对人类通信来优化的服务。具体地,机器类型通信与当前移动网络通信服务是不同的,因为它们涉及不同的市场场景、数据通信、更低的成本和努力、以及潜在非常巨大的通信终端数目和很大程度上非常少的每终端业务。
在传统3GPP***中,如果设备与允许通信网络认证该设备的订阅相关联,则允许通信设备附着/接入该通信网络。例如,3GPP认证和密钥协商(AKA)过程利用了全球唯一的订户身份(也被称为国际移动订户身份(IMSI)),其通常存储在通信设备中的通用订户身份模块(USIM)上,以识别订阅并由此认证设备。因此,IMSI在任意一个时间上通常仅与一个通信设备相关联。然而,如果每个MTC设备要与唯一订户身份(例如,IMSI)相关联,则将需要使用在相关联的订阅中提供的唯一认证信息(例如,共享密钥等)来单独认证每个MTC设备。由于MTC设备的数目非常巨大,该单独认证将生成大量的信令,增加了网络上的负载。这还将有可能是对带宽和认证矢量的浪费,特别是因为有可能这些MTC设备中的一部分将完全不与网络通信。此外,假如有可能存在非常大量的MTC设备,如果每个MTC设备要与唯一的订户身份(例如,IMSI)相关联,则可能快速地耗尽当前所定义范围的订户身份。此外,大多数MTC设备将是低功率设备,它们因此将需要避免任何非必要的信令和处理,以节约它们的电池。这可以是特别重要的,因为设想的是:存在将不更换电池且在其电池用尽时将被简单地丢掉的MTC设备。
因此需要提供用于认证MTC设备的高效机制,同时最小化针对为订户认证提供的基础结构所进行的任何修改,该基础结构是现有通信网络中已定义的且在当前可用。
发明内容
本发明的目标是提供用于对作为群的一部分的设备进行认证的高效机制,该群包括对通信网络的订阅进行共享的两个或更多通信设备。
根据本发明的第一方案,提供了一种操作通信设备的方法,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分。所述方法包括:从网络接收群认证挑战,所述群认证挑战的至少一部分已被使用与所共享的订阅相关联的群认证信息来生成。然后所述设备使用所述群认证信息和设备特定认证信息来生成针对所述群认证挑战的设备特定响应,以及向所述网络发送所述设备特定响应。
该方法使得作为通信设备群的一部分的通信设备能够提供对其是该群的一部分的保证,同时还提供与各个通信设备的身份相关的保证。
在接收所述群认证挑战之前,所述设备可以存储所述群认证信息和所述设备特定认证信息。为了存储所述群认证信息和所述设备特定认证信息,所述设备可以接收身份模块,所述身份模块与所述订阅相关联并存储所述群认证信息的至少一部分。然后所述设备对设备特定响应的生成可以至少部分基于由所述身份模块提供的信息。
所述方法还可以包括:向所述网络发送服务请求,所述请求包括所述群的标识符。服务请求可以是以下任一项:针对网络接入的请求、针对IP连接的请求、以及对使用应用、服务器或服务的请求。
所述方法还可以包括:在向所述网络发送的响应中包括所述设备的标识符。所述方法还可以包括:在向所述网络发送的响应中包括所述群认证挑战的标识符。所述群认证挑战的标识符是连同所述群认证挑战一起从所述网络接收的。备选地,所述方法可以包括:使用所述群认证挑战的至少一部分和所述群的标识符来导出用于包括在所述响应中的所述认证挑战标识符。
所述方法还可以包括:在接收到所述群认证挑战之后,使用所述群认证信息和接收到的群认证挑战的至少一部分来生成一个或多个会话密钥。然后可以将所述一个或多个会话密钥和所述设备特定认证信息用于生成一个或多个设备特定会话密钥。
根据本发明的第二方案,提供了一种操作通信网络的节点以认证通信设备的方法,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分。所述方法包括:使用所述群的标识符来获得群认证挑战和所期望的响应。然后向一个或多个设备发送所述群认证挑战,以及从所述通信设备之一接收响应。然后将所述设备的标识符用于建立设备特定认证信息,以及将该设备特定认证信息用于确定接收到的响应是否是对所述认证挑战的有效响应。如果接收到的响应是对所述认证挑战的有效响应,则所述节点对所述设备进行认证。
可以通过接收服务请求来发起所述认证,所述服务请求包括所述群的标识符。所述服务请求可以是从所述设备之一接收的,然后向从其接收到的服务请求的所述设备发送所述群认证挑战。备选地,可以从服务器接收所述服务请求,所述请求包括所述群的标识符。然后向作为所述群的一部分的全部所述设备发送所述群认证挑战,以及来自所述设备的响应包括所述设备的标识符。
从所述设备之一接收到的响应可以包括所述群认证挑战的标识符,所述群认证的标识符用于识别所述设备正在响应的所述认证挑战。所述方法还可以包括:确定所述群认证挑战的标识符,以及当向所述设备发送所述群认证挑战时包括所述群认证挑战的标识符。备选地,所述方法可以包括:确定所述群认证挑战的标识符,以及将所述群认证挑战与所述群认证挑战的标识符一起存储。
使用所述群标识符来获得群认证挑战和所期望的响应的步骤还可以包括:向订户数据库发送针对认证数据的请求,所述请求包括所述群的标识符;以及从所述订户数据库接收包括所述群认证挑战和所期望的响应在内的响应。
使用所述设备特定认证信息来确定接收到的响应是否是有效响应的步骤可以包括:使用所述设备特定认证信息和所期望的响应来生成设备特定期望响应,以及如果所述设备特定期望响应与接收到的响应相匹配,则确定接收到的响应有效。
来自所述订户数据库的响应还可以包括使用所述群认证信息和所述群认证挑战的至少一部分来生成的一个或多个会话密钥。如果是这样,则所述方法还可以包括:在已建立所述设备特定认证信息之后,使用从所述订户数据库接收到的一个或多个会话密钥以及所述设备特定认证信息来生成一个或多个设备特定会话密钥。
根据本发明的第三方面,提供了一种被配置为作为通信设备来工作的装置,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分。所述装置包括:接收机,用于从网络接收群认证挑战,所述群认证挑战已被使用与所共享的订阅相关联的群认证信息来生成;处理器,用于使用所述群认证信息和设备特定认证信息来生成针对所述群认证挑战的设备特定响应;以及发射机,用于向所述网络发送所述设备特定响应。
该装置还可以包括:存储器,存储所述群认证信息和所述设备特定认证信息中的一项或多项。所述装置还可以包括:接收机,用于接收身份模块,所述身份模块与所述订阅相关联并存储所述群认证信息的至少一部分。
所述装置还可以被配置为:生成包括所述群的标识符在内的服务请求,以及向所述网络发送认证请求。所述装置还可以被配置为:在向所述网络发送的响应中包括所述设备的标识符。
所述装置还可以被配置为:在向所述网络发送的响应中包括所述群认证挑战的标识符。所述装置还可以被配置为:将所述群认证挑战的标识符连同所述群认证挑战一起从所述网络接收。备选地,所述装置还可以被配置为:使用所述群认证挑战的至少一部分和所述群的标识符来导出用于包括在所述响应中的所述认证挑战标识符。
所述装置还可以被配置为:使用所述群认证信息和接收到的群认证挑战的至少一部分来生成一个或多个会话密钥,以及使用所述一个或多个会话密钥和所述设备特定认证信息以生成一个或多个设备特定会话密钥。
根据本发明的第四方案,提供了一种被配置为向通信网络认证通信设备的装置,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分。所述装置包括:处理器,用于使用所述群的标识符来获得群认证挑战和所期望的响应;发射机,用于向一个或多个通信设备发送所述群认证挑战;以及接收机,用于从所述通信设备之一接收响应。所述处理器被配置为:使用所述设备的标识符来建立设备特定认证信息,以及使用所述设备特定认证信息来确定所接收到的响应是否是对所述认证挑战的有效响应,以及由此对所述设备进行认证。
所述装置还可以被配置为:在接收到服务请求时发起所述认证,所述服务请求包括所述群的标识符。所述装置还可以被配置为:从所述设备之一接收所述服务请求,以及向所述设备发送所述群认证挑战。备选地,所述装置还可以被配置为:从服务器接收所述服务请求,所述请求包括所述群的标识符,以及向作为所述群的一部分的全部所述设备发送所述群认证挑战。
所述装置还可以被配置为:从所述通信设备之一接收响应,所述响应包括所述群认证挑战的标识符,以及使用所述群认证的标识符来识别所述设备正在响应的所述认证挑战。所述装置还可以被配置为:确定所述群认证挑战的标识符,以及当向所述设备发送所述群认证挑战时包括所述群认证挑战的标识符。备选地,所述装置还可以被配置为:确定所述群认证挑战的标识符,以及将所述群认证挑战与所述群认证挑战的标识符一起存储。
所述装置还可以被配置为:向订户数据库发送针对认证数据的请求,所述请求包括所述群的标识符;以及从所述订户数据库接收包括所述群认证挑战和所期望的响应在内的响应。所述装置还可以被配置为:使用所述设备特定认证信息和所期望的响应来生成设备特定期望响应,以及如果所述设备特定期望响应与所接收到的响应相匹配,则确定接收到的响应有效。
所述装置还可以被配置为:从所述订户数据库接收响应,所述响应还包括使用所述群认证信息和所述群认证挑战的至少一部分来生成的一个或多个会话密钥,以及使用从所述订户数据库接收到的一个或多个会话密钥以及所述设备特定认证信息来生成一个或多个设备特定会话密钥。
根据本发明的第五方案,提供了一种包括计算机程序代码装置在内的计算机程序,所述计算机程序代码装置适于:当在计算机上运行所述程序时执行所述第一方案的全部步骤。
根据本发明的第六方案,提供了一种在计算机可读介质上体现的根据所述第五方案的计算机程序。
根据本发明的第七方案,提供了一种包括计算机程序代码装置在内的计算机程序,所述计算机程序代码装置适于:当在计算机上运行所述程序时执行所述第二方案的全部步骤。
根据本发明的第八方案,提供了一种在计算机可读介质上体现的根据所述第七方案的计算机程序。
附图说明
图1示意性地示出了机器类型通信场景;
图2示出了MTC群以及在该MTC群中的每个MTC设备内存储的信息的示例;
图3是向通信网络认证MTC设备的示例信令流程图;
图4示出了由MTC设备实现的用于生成设备特定认证参数的处理的示例;
图5是向通信网络认证MTC设备的示例信令流程图;以及
图6示意性地示出了适合实现MTC设备的认证的通信设备和认证服务器的示例。
具体实施方式
此处提出了利用如3GPP TS22.368v10.1.0中定义的MTC群的概念,以提供用于对MTC设备进行认证的高效机制的基础。根据3GPPTS22.368,MTC群是属于相同MTC订户的MTC设备的群。因此其直观地将MTC群中的所有MTC设备与相同订阅相关联,且因此与相同的订阅标识符相关联。基于该基础,MTC群中的所有MTC设备还可以共享认证信息,例如单一的共享群密钥,该认证信息可以用于执行向网络认证每个MTC设备。这种解决方案将节约可用的订阅标识符和认证矢量。然而,这种解决方案也将意味着MTC群内的任何单一MTC设备变为单一故障点。具体地,由于所有设备将存储/包含严格相同的认证相关信息,则任何被破解的单一设备可以被用于假扮群中的任何其他设备,由此使得攻击者能够对群中的任何其他设备的业务进行秘密监视。
可以通过利用群签名或环签名的概念来克服该问题。群签名(参见“Group signatures”,D.Chaum and E.van Heyst,Proceedings ofEUROCRYPT1991,pp.257-265)允许群中的一个或多个成员代表该群对消息进行匿名签名,使得第三方可以验证该签名来自群中的某个成员,但不知道具体是谁。然而,群签名概念的本质是:存在负责添加群成员且在争议事件中有能力披露原始签名者的身份的群管理者。环签名(参见“How to Leak a Secret”,R.Rivest,A.Shamir,and Y.Tauman,Proceedings of ASIACRYPT2001,pp.554-567)类似于群签名,但是不允许任何人识别群中的哪个成员产生了签名且因此不要求群管理者。然而,实现这些概念所需的计算负载和信令的水平相对高,使得它们不适合在MTC中使用。此外,对于MTC,能够识别通信中涉及的单个MTC设备可以是有益的,使得这些概念提供的匿名性本身是不想要的。此外,群和环签名概念基于非对称密码,而这在移动网络中几乎看不到部署。
因此此处还提出了将对作为MTC群的一部分的MTC设备的认证基于针对3GPP AKA定义的挑战-响应机制,同时利用由群中的所有MTC设备共享的群认证信息以及仅由群中的单个MTC设备使用的设备特定认证信息。根据本文提出的方法,由网络使用群认证信息来生成群认证挑战。向作为群的一部分的一个或多个MTC设备发送该群认证挑战。为了向网络认证其自身,MTC设备使用群认证信息和设备特定认证信息来生成设备特定响应,并向网络发送该设备特定响应。然后网络可以确定所接收到的响应是否是对认证挑战的有效响应,以认证MTC设备。该认证方法使得MTC设备能够提供对其是MTC群的一部分的保证,同时还提供对与各个MTC设备的身份相关的保证。
为了实现上述方法,可以向MTC群中的每个MTC设备提供群ID,该群ID识别该MTC群,并且可以由网络使用来识别作为该MTC群的一部分的所有MTC设备所共享的订阅。例如,群ID可以是分配给MTC群的共享公共IMSI。然而,出于安全原因,可以优选地不以明文方式发送IMSI。在这种环境下,群ID应当是网络可以使用来确定关联IMSI的分离身份(例如,与IMSI相对应的移动订阅识别号(MSIN)或某个其他应用特定标识符),因为认证所基于的是IMSI。
然后网络将使用群ID来向订户服务器/数据库(例如HSS/AuC)请求群认证信息。然后在已根据群ID识别出群的IMSI且因此识别出群的订阅的情况下,订户数据库将使用与MTC群的IMSI相关联的群密钥(K)来确定群认证信息。该群密钥是订户数据库已知的、且在作为MTC群的一部分的每个MTC设备内的安全环境中存储的共享密钥。然后订户数据库使用群密钥来确定MTC群的认证矢量(AV)。
还可以向每个MTC设备提供设备公共ID和设备私有ID。设备公共ID对于MTC群中的MTC设备是单独/唯一的,且用于向网络信号通知以及从网络信号通知MTC设备的身份。群ID和设备公共ID的组合因此提供了MTC设备的全局唯一标识符。设备私有ID对于MTC设备也是单独/唯一的,且被用作设备特定认证信息。网络能够根据设备公共ID来确定MTC设备的设备私有ID(即,设备特定认证信息)。例如,网络可以维护设备私有ID和设备公共ID之间的映射,和/或可以使用密码函数来根据设备公共ID导出设备私有ID,例如,使用加密函数或伪随机函数。此外,如果可以使用这种函数来根据设备公共ID导出设备私有ID,则还可以使用RAND和/或AUTN对该函数进行调整。图2示出了MTC群和在这种认证过程中将可用于MTC群内的每个MTC设备的信息的示例。
图3是向通信网络认证MTC设备的示例信令流程图,MTC设备是MTC群的一部分。执行的步骤如下:
A1.作为MTC群的一部分的MTC设备向通信网络内的认证服务器发送消息。认证服务器是在认证过程中表示网络的功能。例如,认证服务器可以是以下任一项:移动性管理实体(MME)、移动交换中心(MSC)或服务网关支持节点(SGSN)。该消息包括MTC设备所属的MTC群的群ID以及设备公共ID。例如,该消息可以是用于接入通信网络的请求。备选地,认证服务器可以是M2M服务网络中的认证服务器,提供服务层认证而不是接入层认证,且在该情况下,MTC设备发送的消息可以是对服务的请求。
A2.认证服务器使用群ID向订户服务器/数据库请求认证矢量(AV)。例如,如果群ID不是MTC群的IMSI,则认证服务器可以或者通过将群ID映射到IMSI,或者通过请求某个转换功能来代表其执行映射,使用群ID获得MTC群的IMSI。然后认证服务器将向订户服务器/数据库发送针对认证矢量的请求,该请求包括MTC群的IMSI。备选地,认证服务器可以向订户服务器/数据库发送针对认证矢量的请求,该请求包括群ID。在该情况下,如果群ID不是MTC群的IMSI,则订户服务器/数据库在接收到请求时,还将被要求将群ID映射到IMSI。为此,将需对群ID进行格式化,使得其可以用于识别恰当的订户服务器/数据库。此外,在向订户数据库请求认证矢量之前,认证服务器可以确定其是否有与识别出的群相关联的、存储在其存储器中的认证矢量,且如果是,则利用该认证矢量来执行认证。
A3.订户数据库使用与在请求中识别出的MTC群相关联的群认证信息来确定/生成认证矢量。例如,订户数据库可以使用IMSI来识别群的订阅,根据群的订阅来检索群密钥(K),以及使用群密钥来生成认证矢量。通常的AV可以包括:随机数(RAND)、网络认证令牌(AUTN)、期望认证响应(XRES)、以及会话密钥(Ck,Ik)。
A4.订户数据库使用群认证矢量向认证服务器响应。
A5.认证服务器接收并存储群认证矢量。然后认证服务器使用在群认证矢量中包括的一些参数来生成针对MTC设备的认证挑战/请求。例如,认证服务器可以在认证挑战中包括随机数(RAND)和网络认证令牌(AUTN)。然后认证服务器向MTC设备发送认证挑战。
A6.MTC设备从认证服务器接收认证挑战/请求并使用群密钥和设备私有ID(即,设备特定认证信息)来生成设备特定响应。例如,MTC设备可以使用群密钥和作为认证挑战的一部分接收到的RAND作为密码函数的输入,以生成认证响应(RES)。然后MTC设备可以使用认证响应(RES)和设备私有ID作为另一函数的输入,以生成设备特定认证响应(RES’)。然后MTC设备将响应于认证挑战,向认证服务器发送设备特定认证响应(RES’)。
A7.认证服务器从MTC设备接收设备特定认证响应(RES’),并确定这是否是对于认证挑战的有效响应。为此,认证服务器可以使用设备公共ID来确定/导出设备私有ID。然后认证服务器可以使用作为认证矢量的一部分接收到的期望响应(XRES)和设备私有ID作为函数的输入,以生成设备特定期望响应(XRES’)。然后如果从MTC设备接收到的设备特定认证响应(RES’)与设备特定期望响应(XRES’)匹配,则认证服务器将认证设备。
在上述过程中,认证服务器执行在当前部署的移动网络中不是必需的功能步骤,该当前部署的移动网络并未提供用于执行对设备群进行认证的高效机制。例如,在上述步骤A7中,认证服务器生成设备特定期望响应,以将其与从设备接收到的响应进行比较。然而,在当前部署的移动网络中,作为订户数据库提供的认证信息的一部分所接收到的期望响应已经是设备特定的,且可以将其与从设备接收到的响应简单地进行比较,以执行认证。
用于实现上述过程的信令实质上与针对UMTS和EPS定义的标准AKA过程的信令相同,除了一个差别是该信令所传输的信息之外。由于其提供了认证信令对于(无线)接入网络是透明的,使得仅要求认证服务器执行附加处理,因此这是有益的。
为了向订户服务器/数据库请求认证矢量(AV),要求认证服务器能够向恰当的订户服务器/数据库发送请求。如果每个MTC群的群ID是指派给群的IMSI,或如果向每个MTC群指派符合用于IMSI的当前格式的群ID,则可以重新使用移动网络当前使用来执行对订户服务器/数据库的地址进行查找的机制或用于向订户服务器/数据库路由针对认证信息的请求的机制,以获得针对作为群的一部分的设备的群认证信息。例如,认证服务器可以将群ID映射到订户服务器/数据库的位置/地址。如果将指派给群的IMSI用作群ID,则这种映射是平凡的(trivial)。备选地,如果群ID不具有与IMSI相同的格式,则群ID的格式应当使得认证服务器能够识别恰当的订户数据库。例如,群ID可以采用对网络运营商进行标识的域(realm)或域名的形式以及对于该网络运营商而言是本地的群标识符的形式,其中,MTC群是该网络运营商的订户。然后认证服务器使用例如DNS机制,根据群ID的域/域名部分来识别订户数据库。
如上所述,通过使用设备特定认证信息(即,设备私有ID)来执行对群认证响应(RES)的另一处理,生成设备特定认证响应(RES’)。该另一处理可以涉及使用设备私有ID对群认证响应(RES)应用伪随机函数(PRF)(例如,散列函数)。这确保了记录来自群中的一个或多个MTC设备的设备特定认证响应(RES’)的攻击者不能导出群中任何其他MTC设备的设备特定认证响应(RES’)。该处理还可以包括对调整(salt)的添加。例如,可以使用来自群认证挑战的RAND和/或AUTN来调整对设备特定认证响应(RES’)的生成。备选地或附加地,该调整可以利用MTC设备和网络都知道的其他上下文参数,例如群ID或IMSI。
如上所述,订户数据库提供的认证矢量还可以包括使用来自群的订阅的群密钥(K)所生成的一个或多个会话密钥(例如,CK、IK)。例如,可以通过应用使用RAND和群密钥(K)作为输入的伪随机函数来生成这些会话密钥。如果这样,则认证服务器可以使用设备特定认证信息来生成一个或多个设备特定会话密钥(CK’,IK’)。作为另一示例,可以通过应用使用会话密钥(CK,IK)和设备特定认证信息作为输入的伪随机函数,来生成一个或多个设备特定会话密钥(CK’,IK’)。MTC设备还可以使用从认证服务器接收到的群认证挑战的至少一部分(例如,RAND)和群密钥(K)来导出会话密钥(CK,IK)。MTC设备因此还可以使用导出的会话密钥(CK,IK)和设备特定认证信息来通过与认证服务器相同的方式导出相同的设备特定会话密钥(CK’,IK’)。此外,设备特定会话密钥的生成还可以包括对调整(salt)的添加。例如,可以使用来自群认证挑战的RAND和/或AUTN来调整对设备特定会话密钥(CK’,IK’)的生成。备选地或附加地,该调整可以利用MTC设备和网络都知道的其他上下文参数,例如群ID或IMSI。
图4示出了由MTC设备实现的为了生成设备特定认证响应(RES’)和设备特定会话密钥(CK’,IK’)的处理的示例。类似处理还将由认证服务器实现,以生成设备特定期望响应(XRES’)和设备特定会话密钥(CK’,IK’)。
然后,可以存储这些设备特定会话密钥(CK’,IK’),并将其用于确保MTC设备和网络之间的通信的安全。此外,由于设备特定会话密钥(CK’,IK’)可以由MTC设备和网络在认证过程期间导出,这些设备特定会话密钥可被用于确保与认证响应一起发送的数据的安全。换言之,可以在从MTC设备向网络发送的认证响应上捎带数据,该数据是使用设备特定会话密钥来确保安全的。
本文所述认证机制的附加优点是认证挑战信令对于群内的单个设备不是特定的,因为可以针对群内的所有设备使用相同的认证矢量。这样,该机制还提供了:对MTC设备的认证不需要由设备本身来发起,而是可以由通过广播群认证挑战来寻呼群内所有MTC设备的网络而发起。
图5是响应于广播群认证挑战向通信网络认证MTC设备的示例信令流程图,MTC设备是MTC群的一部分。执行的步骤如下:
B1.MTC服务器通过向认证服务器发送针对群的认证的请求来发起对特定MTC群内的MTC设备的认证,该MTC群由群ID来识别。备选地,对特定MTC群内的MTC设备的认证可以由任何其他节点向认证服务器发送的请求来发起,或可以由服务器本身在触发激活(例如,基于定时器的触发等等)之后发起。
B2.认证服务器使用群ID来向订户服务器/数据库请求认证矢量(AV)。在向订户数据库请求认证矢量之前,认证服务器可以确定其是否有存储在其存储器中的、与所识别的群相关联的未使用认证矢量,且如果是,则利用该认证矢量来执行认证。
B3.订户数据库使用与在请求中识别出的MTC群相关联的群认证信息来确定/生成认证矢量。例如,订户数据库可以将群ID映射到指派给群的IMSI,使用IMSI来识别群的订阅,根据群的订阅来检索群密钥(K),以及使用群密钥来生成认证矢量。典型的AV可以包括:随机数(RAND)、网络认证令牌(AUTN)、期望认证响应(XRES)、以及会话密钥(CK,IK)。
B4.订户数据库使用群认证矢量向认证服务器响应。
B5.认证服务器接收并存储群认证矢量。然后认证服务器使用在群认证矢量中包括的一些参数来生成针对MTC群的认证挑战/请求。例如,认证服务器可以在认证挑战中包括随机数(RAND)和网络认证令牌(AUTN)。认证服务器还生成认证挑战的标签或标记,该标签或标记标识认证挑战是针对于MTC设备的,该MTC设备是由群ID识别的MTC群的一部分。然后认证服务器广播打上标记/标签的认证挑战,并可以继续以规律间隔来广播认证挑战,直到其接收到响应。此外,在要求认证服务器向相同MTC群广播不同认证挑战的情况下,认证服务器可以确定群认证挑战的标识符。可以根据RAND、AUTN、增量计数器、时间戳、和/或由网络和作为群的一部分的MTC设备所共享的任何其他信息来导出群认证挑战标识符,或群认证挑战标识符可以是指派的值。如果标识符是指派的值,则认证服务器在广播挑战时必须将群认证挑战标识符与群认证挑战一起包括。如果标识符是根据在网络和MTC设备之间共享的信息导出的,则不需要将标识符与认证挑战一起广播。然后认证服务器将把群认证挑战标识符与群认证矢量相关联地存储。
B6.MTC群中的一个或多个MTC设备从认证服务器接收所广播的群认证挑战/请求,并使用标签/标记来识别针对MTC群的认证挑战,MTC设备是该MTC群的一部分。然后它们可以存储认证挑战,直到它们想要(或需要)进行通信。然后当这些MTC设备之一确定其希望通信时,该MTC设备使用群密钥和设备私有ID(即,设备特定认证信息)来生成设备特定认证响应(RES’)。然后MTC设备向认证服务器发送设备特定认证响应(RES’)以及设备公共ID。如果需要,MTC设备还将在响应中包括群认证挑战标识符。在MTC设备处可以使用在MTC设备和网络之间共享的信息来导出群认证挑战标识符,或如果群认证挑战标识符与群认证挑战包括在一起,则可以将其从接收到的群认证挑战中拷贝出。此外,如果MTC设备具有准备好发送的数据,MTC设备可以计算设备特定会话密钥(CK’,IK’),以及使用这些密钥在针对认证挑战的响应上安全地捎带该数据。
B7.认证服务器从MTC设备接收设备特定认证响应(RES’)和设备公共ID,以及确定这是否是针对认证挑战的有效响应。为此,认证服务器使用设备公共ID来确定/导出设备私有ID。此外,如果来自MTC设备的响应包括群认证挑战标识符,则认证服务器可以使用该标识符来识别用于生成认证挑战的认证矢量。然后认证服务器使用来自认证矢量的期望响应(XRES)和设备私有ID作为函数的输入,以生成设备特定期望响应(XRES’)。然后如果从MTC设备接收到的设备特定认证响应(RES’)与设备特定期望响应(XRES’)匹配,则认证服务器将认证设备。
MTC设备以及支持机器类型通信的任何网络因此可以被配置为支持由单个设备发起的认证、以及通过网络广播认证挑战来发起的认证。支持这两种机制将使得MTC设备能够将其本身向网络附着和认证,即使其错过了响应于广播认证挑战而进行附着的机会。例如,为了节约电池功率,MTC设备可以应用不连续接收(DRX),临时关闭接收机,以及因此可能未接收到针对MTC群的所有传输。此外,对这两个机制的支持提供了从仅实现用于单个设备认证的标准AKA过程的***到实现了广播群认证挑战的***的迁移路径。此外,其还提供了让不同类型的MTC设备根据他们单独的需要而使用不同认证机制的灵活性。
执行认证所要求的信息对于MTC设备和网络来说必须是已知的(例如,其中存储的,且可从订户数据库(例如HSS/AuC)中检索到的)。群认证信息(例如,群ID和群密钥)和设备特定认证信息(例如,设备公共ID和设备私有ID)因此必须安全地存储在MTC设备中。就此而言,注意到:设备公共ID仅需要被存储为防修改/写入,而设备私有ID和群密钥还应当能够防提取/读取。因此可以在MTC设备制造时,将该信息存储在MTC设备中的受信环境中。这将使得对于MTC设备的制造商来说,维护在每个MTC设备中的设备公共ID和设备私有ID以及群IMSI、群ID和群密钥之间的映射的记录变得直观。此外,制造商还将能够根据顾客的规范将该信息编程到MTC设备中。如果由通用集成电路卡(UICC)来提供每个MTC设备内的受信执行环境,则这是标准过程。
作为这些标准过程的备选,群认证信息和设备特定认证信息可以由网络运营商存储在MTC设备中提供的受信环境中,作为定制步骤。这将提供了更大的灵活性,且如果将要求对现有群进行未规划扩展,或如果仅要部署非常小的设备群,则这将是特别有价值的。作为甚至提供了更大灵活性的另一备选,可以从供给服务器向设备下载认证信息。这种环境的示例包括基于身份模块(例如UICC或其他智能卡)的那些环境、受信平台模块(类似于由受信计算群定义的受信平台模块(TPM))、由CPU提供的安全环境(例如,ARM TrustZone)、或由平台虚拟化提供的环境(例如Xen、KVM等)。
可以实行设备公共ID和设备私有ID之间的映射,以考虑到设备的安全性和隐私性要求。如果要求隐私性,则可以用如下方式实现该映射:不可能将传输识别为来自特定MTC设备或来自与较早传输相同的MTC设备。为了实现隐私性,在设备公共ID和设备私有ID之间的映射应当是动态的,且规律地改变/偶尔改变。
用于实现在设备公共ID和设备私有ID之间的动态和变化的映射的高效解决方案将是:对设备私有ID加密以获得设备公共ID。可以根据在当前使用中的群认证矢量中提供的信息来导出在该加密中使用的加密密钥。此外,可以在该加密过程中引入nonce、时间戳、或计数器(例如,作为密钥导出函数的一部分),以允许使用单一认证矢量将设备私有ID映射到多个设备公共ID。然后必须将所使用的nonce/时间戳/计数器从MTC设备传输到认证服务器,以允许认证服务器导出设备私有ID(例如,通过对密钥解析)。然后MTC设备和认证服务器将导出相同的加密密钥。MTC设备将对其设备私有ID加密,以获得设备公共ID,同时认证服务器将对接收到的设备公共ID解密,以获得设备私有ID。这样,认证服务器将不一定执行任何特殊的管理或记录过程,以能够将设备公共ID映射到设备私有ID,因为该映射是根据当前认证矢量导出的。
为了安全性,应当以下述方式来实现映射:如果攻击者成功攻破一个MTC设备的受信环境,且因此获得设备公共ID和设备私有ID,攻击者不应当能够确定任何其他MTC设备的设备私有ID。因此,将设备私有ID到设备公共ID的映射加以反转对于第三方应当不可行,且在针对设备私有ID定义的值的集合上的映射应当是单射(即,映射应当是一对一的,使得设备公共ID仅映射到一个设备私有ID且反之亦然),以保证每个设备公共ID唯一地对应于设备私有ID。
为了确保映射提供安全性,MTC设备不应当保持用于执行另一MTC设备的对应映射所需要的信息。高效的解决方案是在设备公共ID和设备私有ID之间的固定映射。例如,可以使用上述加密或使用密码单向函数(例如,众所周知的SHA-256密码散列函数(例如,设备公共ID=散列(设备私有ID)))来实现该固定映射。然后MTC设备将仅保持该设备的设备公共ID和设备私有ID。然后认证服务器将存储所有设备的设备公共ID和相关联的设备私有ID,或将具有使得其能够根据设备公共ID来导出设备私有ID的函数。例如,该函数可以是利用特定密钥的加密/解密函数。在加密/解密函数中使用的密钥可以是从订户服务器(即,与该群的IMSI相关联地存储的)检索到的订户数据的一部分。如果将加密方案用于映射,可以向认证服务器给予对使用的密钥的访问权限,由订户数据库来辅助,然后可以本地导出设备私有ID。另一方面,如果使用散列函数,则需要针对每个公共ID向认证服务器给予对应的私有ID。认证服务器使用加密函数来导出设备私有ID将从而比存储所有设备公共ID和关联的设备私有ID更高效,特别是如果认证器服务器应当能够处理很多不同的MTC群。还可以使用用于向认证服务器供给映射信息的其他手段(即,映射本身或加密/解密函数/密钥)。例如,可以经由运营和管理(OaM)***来供给该信息。
还可以将上述映射解决方案加以结合,以提供隐私性和安全性。在该点上,可以使用如上所述的依赖于密钥的映射过程来实现在设备公共ID和设备私有ID之间的动态和变化的映射。例如,可以按规律间隔来替换设备私有ID,然后使用该设备私有ID和恰当的密钥来导出对应的但是变化中的设备公共ID。使用的密钥可以是设备特定密钥或群密钥。在任一情况下,将需要由订户数据库向认证服务器给予对密钥的访问权限。例如,公共ID可以基于对时变参数(例如,nonce、计数器、或时间戳)的加密。
此外,为了提供群ID的隐私性,还有可能让群ID以与IMSI标识符通过使用临时IMSI(被称为TMSI)来变化的类似方式进行变化。为此,认证服务器可以针对(静态)群ID来指派本地随机别名(例如,紧接在成功认证之后),并向MTC设备发送该别名(优选地加密的)。这将通常就在MTC设备的初始认证之后进行。然后已接收到该临时/随机别名的MTC设备将在与认证服务器的后续通信中使用该别名,而不是静态群ID。由于由认证服务器本地指派MTC群的别名,如果需要,其可以将别名映射回由认证服务器初始使用的群ID,以例如从订户数据库检索其他认证矢量。这样,订户数据库将意识不到认证服务器使用本地身份。
此外,为了允许使用单一认证矢量的本文所述的认证机制的多种实现,可以引入用于保持认证新鲜的机制。一个可能的解决方案将是向MTC设备实现的设备特定认证过程中引入计数器。作为备选解决方案,可以通过连续应用密码函数来使用散列链,以生成设备特定认证响应(RES’)和设备特定会话密钥(CK’,IK’)。在这两种情况中,MTC设备将使用计数器来跟踪所执行的认证实例的数目,且将由MTC设备在认证响应中向认证服务器发送计数器的当前值。
向认证服务器广播的任何认证挑战给予有限寿命也可以是有利的。如果需要,则认证挑战可以包括对认证挑战应当到期的时间的指示。例如,这将允许认证服务器删除其存储的任何旧的认证矢量,且还将提供用于实现新鲜度的手段。然而,MTC设备可能难以知晓接收到的认证挑战何时到期且因此不再有效。具体地,可以是以下情况:某些MTC设备将不具有内部时钟。为了克服该潜在问题,认证服务器广播的认证挑战可以包括与挑战相关联的时间(例如,创建挑战的时间或广播挑战的时间)。然后MTC设备将其用作对当前时间的指示,以确定存储的认证挑战何时将不再有效。
根据3GPP TS22.368,可以向MTC设备发送触发指示,以触发MTC设备处的活动。这些触发指示可以寻址到单个MTC设备或MTC设备群。在很多情况下,广播这些触发指示以激活/触发该群中的任何或所有设备将是有利的。然而,应当保护/加密这些触发指示,以确保攻击者不能生成伪触发指示或重放较早的触发指示。通过实现本文所述的认证机制,还有可能根据MTC群的当前认证矢量来生成群会话密钥。例如,可以使用在从订户数据库接收到的认证矢量中提供的群会话密钥(例如,CK、IK)对这些触发指示加密。作为备选,可以使用分离/备选群会话密钥对这些触发指示加密,该分离/备选群会话密钥是根据在认证矢量中提供的群会话密钥(例如,CK、IK)和某个密码调整(salt)而导出的。然后可以将该群会话密钥用于保护向MTC群广播的任何触发指示的完整性和机密性,以及保护较早广播的触发指示免受重放。为了提供重放保护,可以将新鲜的认证矢量用于每个新的触发指示。备选地,可以引入序列计数器,使得MTC设备将始终不接受序列号不大于之前接收到的序列号的触发指示。对于要向单个MTC设备发送的任何触发指示,可以使用设备特定会话密钥(CK’,IK’)对这些触发指示加密。
图6示意性地示出了适合实现上述认证方法的通信设备1和认证服务器2的示例。通信设备1和认证服务器2均可以实现为计算机硬件和软件的组合。
通信设备1包括处理器3、存储器4、接收机5和发射机6。存储器4存储由处理器3实现的各种程序/可执行文件,且还提供了用于任何所要求数据的存储单元。在存储器4中存储的、且由处理器3实现的程序/可执行文件包括(但不限于):认证信息存储单元7、认证请求生成单元9、认证挑战标识符存储/生成单元9、挑战响应生成单元10、以及会话密钥生成单元11。通信设备1还可以包括用于接收身份模块的身份模块接收机12。例如,身份模块接收机12可以被配置为接收具有硬件形式的身份模块,例如通用集成电路卡(UICC)或智能卡,或可以被配置为接收具有软件形式的身份模块,例如可下载的机器通信身份模块(MCIM)。
认证服务器2包括处理器13、存储器14、接收机15、以及发射机16。存储器14存储由处理器13实现的各种程序/可执行文件,且还提供了用于任何所要求数据的存储单元。在存储器14中存储的、且由处理器13实现的程序/可执行文件包括(但不限于):认证数据存储/检索单元17、认证挑战标识符存储/生成单元18、会话密钥生成单元19、设备认证信息存储/生成单元20、以及认证响应验证单元21。
上述方法和装置使得对作为MTC群的一部分的MTC设备的认证成为可能,以提供对作为MTC群的一部分的MTC设备的保证,同时还提供了对与单个MTC设备的身份相关的保证。这些方法和装置还最小化了为了实现对MTC设备群的认证所需要生成的认证矢量的数目,以及最小化了实现该认证所要求的信令量。此外,这些认证机制不要求对标准订户数据库功能的任何改变或修改。
本领域技术人员将意识到:可以在不脱离本发明的范围的情况下对上述实施例进行各种修改。例如,虽然上述实施例涉及对作为MTC群的一部分的MTC设备进行认证,它们同样适用于对具有任何类型的通信设备的群的认证。
Claims (32)
1.一种操作通信设备的方法,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分,所述方法包括:
从网络接收群认证挑战,所述群认证挑战的至少一部分已被使用与所共享的订阅相关联的群认证信息来生成;
使用所述群认证信息和设备特定认证信息来生成针对所述群认证挑战的设备特定响应;以及
向所述网络发送所述设备特定响应。
2.根据权利要求1所述的方法,且还包括:
在向所述网络发送的响应中包括设备的标识符。
3.根据前述权利要求中任一项所述的方法,且还包括:
在向所述网络发送的响应中包括所述群认证挑战的标识符。
4.根据权利要求3所述的方法,其中,所述群认证挑战的标识符是连同所述群认证挑战一起从所述网络接收的。
5.根据权利要求3所述的方法,且还包括:
使用所述群认证挑战的至少一部分和所述群的标识符来导出用于包括在所述响应中的所述认证挑战标识符。
6.一种操作通信网络的节点以认证通信设备的方法,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分,所述方法包括:
使用所述群的标识符来获得群认证挑战和所期望的响应;
向一个或多个设备发送所述群认证挑战;
从所述通信设备之一接收响应;
使用所述设备的标识符来建立设备特定认证信息;以及
使用所述设备特定认证信息来确定接收到的响应是否是对所述认证挑战的有效响应,以及如果是,则认证所述设备。
7.根据权利要求6所述的方法,其中,通过接收服务请求来发起所述认证,所述服务请求包括所述群的标识符。
8.根据权利要求7所述的方法,其中,所述服务请求是从所述设备之一接收的,以及所述群认证挑战是向所述设备发送的。
9.根据权利要求7所述的方法,其中,所述服务请求是从服务器接收的,所述请求包括所述群的标识符,所述群认证挑战是向作为所述群的一部分的全部所述设备发送的,以及来自所述设备之一的响应包括所述设备的标识符。
10.根据权利要求6至9中任一项所述的方法,其中,从所述设备之一接收到的响应包括所述群认证挑战的标识符,所述群认证的标识符用于识别所述设备正在响应的所述认证挑战。
11.根据权利要求10所述的方法,且还包括:
确定所述群认证挑战的标识符,以及当向所述设备发送所述群认证挑战时包括所述群认证挑战的标识符。
12.根据权利要求10所述的方法,且还包括:
确定所述群认证挑战的标识符,以及将所述群认证挑战与所述群认证挑战的标识符一起存储。
13.根据权利要求6至12中任一项所述的方法,其中,使用所述群标识符来获得群认证挑战和所期望的响应的步骤还包括:
向订户数据库发送针对认证数据的请求,所述请求包括所述群的标识符;以及
从所述订户数据库接收包括所述群认证挑战和所期望的响应在内的响应。
14.根据权利要求13所述的方法,其中,使用所述设备特定认证信息来确定接收到的响应是否是有效响应的步骤包括:
使用所述设备特定认证信息和所期望的响应来生成设备特定期望响应;以及
如果所述设备特定期望响应与接收到的响应相匹配,则确定接收到的响应有效。
15.一种被配置为作为通信设备来工作的装置,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分,所述装置包括:
接收机,用于从网络接收群认证挑战,所述群认证挑战已被使用与所共享的订阅相关联的群认证信息来生成;
处理器,用于使用所述群认证信息和设备特定认证信息来生成对所述群认证挑战的设备特定响应;以及
发射机,用于向所述网络发送所述设备特定响应。
16.根据权利要求15所述的装置,其中,所述装置还被配置为:在向所述网络发送的响应中包括设备的标识符。
17.根据权利要求15或16中任一项所述的装置,其中,所述装置还被配置为:在向所述网络发送的响应中包括所述群认证挑战的标识符。
18.根据权利要求17所述的装置,其中,所述装置还被配置为:将所述群认证挑战的标识符连同所述群认证挑战一起从所述网络接收。
19.根据权利要求17所述的装置,其中,所述装置还被配置为:使用所述群认证挑战的至少一部分和所述群的标识符来导出用于包括在所述响应中的所述认证挑战标识符。
20.一种被配置为向通信网络认证通信设备的装置,所述通信设备是包括对通信网络的订阅进行共享的两个或更多通信设备在内的群的一部分,所述装置包括:
处理器,用于使用所述群的标识符来获得群认证挑战和所期望的响应;
发射机,用于向一个或多个通信设备发送所述群认证挑战;以及
接收机,用于从所述通信设备之一接收响应;
其中,所述处理器被配置为:使用所述设备的标识符来建立设备特定认证信息,以及使用所述设备特定认证信息来确定接收到的响应是否是对所述认证挑战的有效响应,以及由此认证所述设备。
21.根据权利要求20所述的装置,其中,所述装置还被配置为:在接收到服务请求时发起所述认证,所述服务请求包括群的标识符。
22.根据权利要求21所述的装置,其中,所述装置还被配置为:
从所述设备之一接收所述服务请求,以及向所述设备发送所述群认证挑战。
23.根据权利要求21所述的装置,其中,所述装置还被配置为:
从服务器接收所述服务请求,所述请求包括所述群的标识符,以及向作为所述群的一部分的全部所述设备发送所述群认证挑战。
24.根据权利要求20至23中任一项所述的装置,其中,所述装置还被配置为:
从所述通信设备之一接收响应,所述响应包括所述群认证挑战的标识符,以及使用所述群认证的标识符来识别所述设备正在响应的所述认证挑战。
25.根据权利要求24所述的装置,其中,所述装置还被配置为:
确定所述群认证挑战的标识符,以及当向所述设备发送所述群认证挑战时包括所述群认证挑战的标识符。
26.根据权利要求24所述的装置,其中,所述装置还被配置为:
确定所述群认证挑战的标识符,以及将所述群认证挑战与所述群认证挑战的标识符一起存储。
27.根据权利要求20至26中任一项所述的装置,其中,所述装置还被配置为:
向订户数据库发送针对认证数据的请求,所述请求包括所述群的标识符;以及
从所述订户数据库接收包括所述群认证挑战和所期望的响应在内的响应。
28.根据权利要求27所述的装置,其中,所述装置还被配置为:
使用所述设备特定认证信息和所期望的响应来生成设备特定期望响应;以及
如果所述设备特定期望响应与接收到的响应相匹配,则确定接收到的响应有效。
29.一种包括计算机程序代码装置在内的计算机程序,所述计算机程序代码装置适于:当在计算机上运行所述程序时执行根据权利要求1至5中任一项所述的全部步骤。
30.根据权利要求29所述的计算机程序,所述计算机程序体现在计算机可读介质上。
31.一种包括计算机程序代码装置在内的计算机程序,所述计算机程序代码装置适于:当在计算机上运行所述程序时执行根据权利要求6至14中任一项所述的全部步骤。
32.根据权利要求31所述的计算机程序,所述计算机程序体现在计算机可读介质上。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161433390P | 2011-01-17 | 2011-01-17 | |
| US61/433,390 | 2011-01-17 | ||
| PCT/EP2011/062361 WO2012097883A1 (en) | 2011-01-17 | 2011-07-19 | Method and apparatus for authenticating a communication device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103314605A true CN103314605A (zh) | 2013-09-18 |
Family
ID=44503786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800652160A Pending CN103314605A (zh) | 2011-01-17 | 2011-07-19 | 用于认证通信设备的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9253178B2 (zh) |
| EP (1) | EP2666316B1 (zh) |
| CN (1) | CN103314605A (zh) |
| WO (1) | WO2012097883A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
| CN107113531A (zh) * | 2015-10-09 | 2017-08-29 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| WO2018077220A1 (en) * | 2016-10-26 | 2018-05-03 | Huawei Technologies Co., Ltd. | System and method for massive iot group authentication |
| CN109691156A (zh) * | 2016-07-14 | 2019-04-26 | 瑞典爱立信有限公司 | 无线装置的增强型聚合式重新认证 |
| CN111221845A (zh) * | 2019-12-31 | 2020-06-02 | 华为技术有限公司 | 一种跨设备信息搜索方法及终端设备 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8472792B2 (en) | 2003-12-08 | 2013-06-25 | Divx, Llc | Multimedia distribution system |
| US7519274B2 (en) | 2003-12-08 | 2009-04-14 | Divx, Inc. | File format for multiple track digital data |
| JP5200204B2 (ja) | 2006-03-14 | 2013-06-05 | ディブエックス リミテッド ライアビリティー カンパニー | 高信頼性システムを含む連合型デジタル権限管理機構 |
| WO2009065137A1 (en) | 2007-11-16 | 2009-05-22 | Divx, Inc. | Hierarchical and reduced index structures for multimedia files |
| CA2749170C (en) | 2009-01-07 | 2016-06-21 | Divx, Inc. | Singular, collective and automated creation of a media guide for online content |
| EP2507995A4 (en) | 2009-12-04 | 2014-07-09 | Sonic Ip Inc | SYSTEMS AND METHODS FOR TRANSPORTING ELEMENTARY BIT TRAIN CRYPTOGRAPHIC MATERIAL |
| CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及*** |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| EP2617210A1 (en) * | 2010-09-17 | 2013-07-24 | Nokia Siemens Networks Oy | Method for context establishment in telecommunication networks |
| US8595289B2 (en) * | 2010-09-21 | 2013-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Cloud phone with distributed processing |
| US9247312B2 (en) | 2011-01-05 | 2016-01-26 | Sonic Ip, Inc. | Systems and methods for encoding source media in matroska container files for adaptive bitrate streaming using hypertext transfer protocol |
| EP2490463B1 (en) * | 2011-02-16 | 2015-12-16 | HTC Corporation | Service networks and methods for handling machine type communication device triggering |
| KR101497287B1 (ko) * | 2011-08-11 | 2015-02-27 | 인텔 코포레이션 | Ims 네트워크를 통한 dash 포맷의 콘텐츠의 mbms 다운로드와 http 기반 전달 사이의 전환 방법 |
| JP5842454B2 (ja) * | 2011-08-12 | 2016-01-13 | ソニー株式会社 | 情報処理装置、通信システムおよび情報処理方法 |
| US9467708B2 (en) | 2011-08-30 | 2016-10-11 | Sonic Ip, Inc. | Selection of resolutions for seamless resolution switching of multimedia content |
| US8799647B2 (en) | 2011-08-31 | 2014-08-05 | Sonic Ip, Inc. | Systems and methods for application identification |
| US8909922B2 (en) | 2011-09-01 | 2014-12-09 | Sonic Ip, Inc. | Systems and methods for playing back alternative streams of protected content protected using common cryptographic information |
| US8964977B2 (en) | 2011-09-01 | 2015-02-24 | Sonic Ip, Inc. | Systems and methods for saving encoded media streamed using adaptive bitrate streaming |
| KR20140068052A (ko) * | 2011-09-09 | 2014-06-05 | 엘지전자 주식회사 | 기기간 통신에서 단말 그룹 식별자의 유효성 판단 방법 |
| EP2608567A1 (en) * | 2011-12-13 | 2013-06-26 | Panasonic Corporation | Device triggering and congestion control |
| EP2795946B1 (en) * | 2011-12-23 | 2015-10-14 | Telefonaktiebolaget L M Ericsson (PUBL) | Methods and apparatuses for determining a user identity token for identifying user of a communication network |
| US9172546B2 (en) * | 2012-01-25 | 2015-10-27 | Cisco Technology, Inc. | Network mediated multi-device shared authentication |
| US8718607B2 (en) | 2012-04-12 | 2014-05-06 | At&T Intellectual Property I, L.P. | Anonymous customer reference services enabler |
| US9031539B2 (en) | 2012-04-12 | 2015-05-12 | At&T Intellectual Property I, L.P. | Anonymous customer reference client |
| JP5988699B2 (ja) * | 2012-05-30 | 2016-09-07 | キヤノン株式会社 | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 |
| CN103491527B (zh) * | 2012-06-13 | 2018-09-04 | 中兴通讯股份有限公司 | 一种检索终端外部标识的方法及*** |
| US9537663B2 (en) * | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| US10084595B2 (en) | 2012-08-24 | 2018-09-25 | At&T Intellectual Property I, L.P. | Algorithm-based anonymous customer references |
| KR20140041226A (ko) * | 2012-09-27 | 2014-04-04 | 삼성전자주식회사 | 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| EP2929710B1 (en) * | 2012-12-06 | 2022-02-02 | NEC Corporation | Mtc key management for sending key from network to ue |
| US9313510B2 (en) | 2012-12-31 | 2016-04-12 | Sonic Ip, Inc. | Use of objective quality measures of streamed content to reduce streaming bandwidth |
| US9191457B2 (en) | 2012-12-31 | 2015-11-17 | Sonic Ip, Inc. | Systems, methods, and media for controlling delivery of content |
| KR20150103734A (ko) * | 2013-01-10 | 2015-09-11 | 닛본 덴끼 가부시끼가이샤 | Ue 들의 mtc 그룹에 대한 브로드캐스팅에서의 그룹 인증 |
| US9906785B2 (en) | 2013-03-15 | 2018-02-27 | Sonic Ip, Inc. | Systems, methods, and media for transcoding video data according to encoding parameters indicated by received metadata |
| US9094737B2 (en) | 2013-05-30 | 2015-07-28 | Sonic Ip, Inc. | Network video streaming with trick play based on separate trick play files |
| WO2015015714A1 (en) * | 2013-07-31 | 2015-02-05 | Nec Corporation | Devices and method for mtc group key management |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9208300B2 (en) | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
| CN104581704B (zh) * | 2013-10-25 | 2019-09-24 | 中兴通讯股份有限公司 | 一种实现机器类通信设备间安全通信的方法及网络实体 |
| US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| US8930274B1 (en) * | 2013-10-30 | 2015-01-06 | Google Inc. | Securing payment transactions with rotating application transaction counters |
| US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
| US9240989B2 (en) | 2013-11-01 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for secure over the air programming of a communication device |
| US9467445B2 (en) * | 2013-11-08 | 2016-10-11 | Launchkey, Inc. | Systems and methods for group authentication |
| CN104936306B (zh) * | 2014-03-17 | 2020-01-14 | 中兴通讯股份有限公司 | Mtc设备组小数据安全传输连接建立方法、hss与*** |
| US9866878B2 (en) | 2014-04-05 | 2018-01-09 | Sonic Ip, Inc. | Systems and methods for encoding and playing back video at different frame rates using enhancement layers |
| US9713006B2 (en) | 2014-05-01 | 2017-07-18 | At&T Intellectual Property I, Lp | Apparatus and method for managing security domains for a universal integrated circuit card |
| US10721619B2 (en) | 2014-05-13 | 2020-07-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and network nodes for managing wireless device associated information in a wireless communication network |
| KR102304927B1 (ko) * | 2014-06-13 | 2021-09-24 | 삼성전자 주식회사 | 메모리 장치, 메모리 시스템 및 메모리 시스템의 동작 방법 |
| TWI556618B (zh) * | 2015-01-16 | 2016-11-01 | Univ Nat Kaohsiung 1St Univ Sc | Network Group Authentication System and Method |
| CZ306210B6 (cs) * | 2015-07-07 | 2016-09-29 | Aducid S.R.O. | Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru |
| US10142819B2 (en) * | 2015-07-29 | 2018-11-27 | Blackberry Limited | Establishing machine type communications |
| CN106714075B (zh) | 2015-08-10 | 2020-06-26 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| US9942223B2 (en) * | 2015-11-25 | 2018-04-10 | Microsoft Technology Licensing, Llc. | Automated device discovery of pairing-eligible devices for authentication |
| EP3763143A4 (en) * | 2018-03-09 | 2021-11-17 | Nokia Technologies Oy | METHODS, DEVICES AND COMPUTER-READABLE MEDIA FOR AUTHENTICATION IN COMMUNICATIONS |
| EP3562092A1 (en) * | 2018-04-26 | 2019-10-30 | Thales Dis Design Services Sas | Method for generating on-board a cryptographic key using a physically unclonable function |
| EP3657752A1 (en) * | 2018-11-23 | 2020-05-27 | Thales Dis France SA | A method and apparatuses for authenticating a group of wireless communication devices |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| EP4374270A1 (en) * | 2021-07-21 | 2024-05-29 | Visa International Service Association | Authentication using group signatures of user devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0711090A2 (en) * | 1994-11-07 | 1996-05-08 | Oki Electric Industry Co., Ltd. | Radio communications system capable of using a plurality of subscriber identity media sharing a single subscriber identity information |
| CN1132376C (zh) * | 1996-06-14 | 2003-12-24 | 艾利森电话股份有限公司 | 在通信***中提供匿名数据传送的方法与装置 |
| CN101610261A (zh) * | 2009-06-26 | 2009-12-23 | 中兴通讯股份有限公司 | 一种传统固网用户接入ims域的方法和*** |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2718312B1 (fr) * | 1994-03-29 | 1996-06-07 | Rola Nevoux | Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur. |
| US6487402B1 (en) * | 1999-01-26 | 2002-11-26 | Qualcomm, Inc | System and method for providing access to a wireless communication service to a group of subscribers who share a set of modems |
| US7177642B2 (en) * | 2001-07-03 | 2007-02-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for handling multiple registration |
| US20030200305A1 (en) * | 2002-04-23 | 2003-10-23 | Tarby Linda Spilo | System and method for collecting metrics from a remote computer system |
| US20050138355A1 (en) * | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| US8996423B2 (en) * | 2005-04-19 | 2015-03-31 | Microsoft Corporation | Authentication for a commercial transaction using a mobile module |
| US20070043947A1 (en) * | 2005-08-19 | 2007-02-22 | Mizikovsky Semyon B | Providing multimedia system security to removable user identity modules |
| TWI378702B (en) | 2007-08-24 | 2012-12-01 | Ind Tech Res Inst | Group authentication method |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| TW201206129A (en) * | 2010-07-20 | 2012-02-01 | Gemtek Technology Co Ltd | Virtual private network system and network device thereof |
| EP2884812B1 (en) * | 2011-04-01 | 2016-12-28 | Interdigital Patent Holdings, Inc. | Apparatus and method for sharing a common PDP context |
-
2011
- 2011-07-19 WO PCT/EP2011/062361 patent/WO2012097883A1/en active Application Filing
- 2011-07-19 CN CN2011800652160A patent/CN103314605A/zh active Pending
- 2011-07-19 US US13/979,476 patent/US9253178B2/en active Active
- 2011-07-19 EP EP11746499.0A patent/EP2666316B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0711090A2 (en) * | 1994-11-07 | 1996-05-08 | Oki Electric Industry Co., Ltd. | Radio communications system capable of using a plurality of subscriber identity media sharing a single subscriber identity information |
| CN1132376C (zh) * | 1996-06-14 | 2003-12-24 | 艾利森电话股份有限公司 | 在通信***中提供匿名数据传送的方法与装置 |
| CN101610261A (zh) * | 2009-06-26 | 2009-12-23 | 中兴通讯股份有限公司 | 一种传统固网用户接入ims域的方法和*** |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
| CN105706390B (zh) * | 2013-10-30 | 2020-03-03 | 三星电子株式会社 | 在无线通信网络中执行设备到设备通信的方法和装置 |
| US10631162B2 (en) | 2013-10-30 | 2020-04-21 | Samsung Electronics Co., Ltd. | Method and apparatus to perform device to device communication in wireless communication network |
| CN107113531A (zh) * | 2015-10-09 | 2017-08-29 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| US10785740B2 (en) | 2015-10-09 | 2020-09-22 | Microsoft Technology Licensing, Llc | SIM provisioning of a mobile device |
| CN109691156A (zh) * | 2016-07-14 | 2019-04-26 | 瑞典爱立信有限公司 | 无线装置的增强型聚合式重新认证 |
| US11343673B2 (en) | 2016-07-14 | 2022-05-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhanced aggregated re-authentication for wireless devices |
| WO2018077220A1 (en) * | 2016-10-26 | 2018-05-03 | Huawei Technologies Co., Ltd. | System and method for massive iot group authentication |
| US10887295B2 (en) | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| CN111221845A (zh) * | 2019-12-31 | 2020-06-02 | 华为技术有限公司 | 一种跨设备信息搜索方法及终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9253178B2 (en) | 2016-02-02 |
| US20130291071A1 (en) | 2013-10-31 |
| WO2012097883A1 (en) | 2012-07-26 |
| EP2666316B1 (en) | 2020-06-03 |
| EP2666316A1 (en) | 2013-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103314605A (zh) | 用于认证通信设备的方法和装置 | |
| CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及*** | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US8578153B2 (en) | Method and arrangement for provisioning and managing a device | |
| JP6033291B2 (ja) | サービスアクセス認証方法およびシステム | |
| CN100589381C (zh) | 一种通信***中用户身份保密的方法 | |
| US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
| CN1929371B (zh) | 用户和***设备协商共享密钥的方法 | |
| CA2820502C (en) | Key agreement using a key derivation key | |
| KR101632946B1 (ko) | 네트워크 인증 절차들에서 인증 챌린지 파라미터들의 조작 및 복원 | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| WO2019056957A1 (zh) | 数据处理、身份认证方法及***、终端 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN101969638A (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN102685739B (zh) | 安卓企业应用的鉴权方法及*** | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN103152731A (zh) | 一种3g接入的imsi隐私保护方法 | |
| Han et al. | A novel secure key paring protocol for RF4CE ubiquitous smart home systems | |
| Khan et al. | Improving air interface user privacy in mobile telephony | |
| CN101895881A (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN110212991B (zh) | 量子无线网络通信*** | |
| CN117118628A (zh) | 电力物联网轻量级身份认证方法、装置及电子设备 | |
| Chitroub et al. | Securing mobile iot deployment using embedded sim: Concerns and solutions | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130918 |