CN104115544B - 使用naf密钥的设备到设备安全性 - Google Patents
使用naf密钥的设备到设备安全性 Download PDFInfo
- Publication number
- CN104115544B CN104115544B CN201280069632.2A CN201280069632A CN104115544B CN 104115544 B CN104115544 B CN 104115544B CN 201280069632 A CN201280069632 A CN 201280069632A CN 104115544 B CN104115544 B CN 104115544B
- Authority
- CN
- China
- Prior art keywords
- key
- cellular device
- naf
- safe
- safe cellular
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于在各自具有蜂窝标识的第一和第二安全蜂窝设备之间建立安全的离线网络通信的方法、装置和计算机程序产品。第二安全蜂窝设备可以承担远程设备的用于与NAF密钥服务器交互的角色并且可以获得本地密钥。第一安全蜂窝设备可以推导出本地密钥并且两个设备可以使用共享的本地密钥进行安全通信。两个安全蜂窝设备可以交替安全主机和远程设备的角色,每个两次获得和推导出共享的本地密钥,从而有两个这样的密钥。设备可以利用一个密钥用于在一个方向上的安全通信而利用另一密钥用于在另一方向上的通信。可替换地,设备可以根据两个共享密钥推导出唯一的共享密钥。
Description
技术领域
本发明涉及移动通信技术,并且更具体而言,涉及在使用网络应用功能(NAF)密钥而启用的设备之间安全离线网络通信。
背景技术
随着智能手机和具有通信能力的移动计算设备的日益普及,许多通信网络正变得过载。经常难以通过无线网络建立通信,因为它的资源被网络负载所完全阻碍。“设备到设备”直接通信能够通过将否则会成为网络流量的内容卸载到设备之间直接通信路径来缓解这一问题。
这种替代性方案引起了与通信安全相关的问题。设备各自必须关于它们的蜂窝标识认证彼此。设备间的任何安全关联(即,安全密钥加密的信令)必须继续符合合法监听的要求。
用于在两个设备之间创建安全通道的一种技术仅涉及期望进行通信的两个设备。通常情况下,设备必须彼此接近(比如蓝牙设备、或者经由通用串行总线(USB)电缆、红外链路或串行电缆链路而连接)。设备需要用户交互,从而例如***共享秘密(例如,密码学密钥)、手机一起握手、或者以其他方式通过用户操纵来建立它们之间的一些类型的连接。这些技术不满足合法监听要求,因为所建立的安秘密对于合法监听机构不可用。
用于在两个设备之间建立安全通道的另一种技术涉及可信第三方。这种技术包括向设备提供由用户按需访问和使用的共享密钥或信任证书。通信3GPPTM技术规范TS 33.259描述了使用NAF密钥中心,但并没有规定远程设备和密钥中心如何能够相互地认证彼此。编写TS 33.259假定远程设备将例如是个人计算机(PC)。
参考图3,示出了用于支持这种技术以出于保护设备间的通信的目的而在经由本地接口44连接的通用集成电路卡(UICC)宿主设备40和远程设备42之间建立安全通道的架构。图3的架构是在用于密钥建立的3GPPTM TS 33.259(v.10.0)中规定的,将其整体并入于此,就像在本文全面阐述的一样。
继续参考图3,UICC宿主设备40和远程设备42之间的本地接口44通常经由短距离射频(RF)连接(例如,蓝牙或红外(IR))或者有线连接(例如,USB电缆或串行电缆)来实现。密钥安全处理的目标是实现UICC宿主40和远程设备42共享的本地密钥从而它们能够安全地交换数据。
通常,远程设备42从UICC宿主设备40请求对于最终推导出共享的本地密钥(Ks_local_device)的所必需的参数,该本地密钥将促进安全通信。这些参数包括NAF-ID和引导事务标识符(B-TID)。远程设备42和NAF密钥中心46经由安全的传输层安全预共享密钥(TLS-PSK)隧道建立通信链接。远程设备42针对共享密钥(Ks_local_device)向NAF密钥中心46发送请求。
NAF密钥中心46使用远程设备42提供的参数来计算新的共享的本地密钥并且返回包含共享的本地密钥Ks_local_device的值和它的生命周期的消息。远程设备42存储共享的本地密钥并且向UICC宿主设备40发送已经建立了密钥的消息。远程设备42然后连同新的共享的本地密钥的生命周期向宿主设备40发送被提供NAF密钥中心46的相同的参数。共享的本地密钥(Ks_local_device)自身从不在远程设备42和UICC设备40之间交换。
UICC宿主设备40使用来自远程设备42的参数以推导出本地共享的设备密钥Ks_local_device并且本地存储它。UICC宿主设备40用信号通知远程设备42密钥验证成功。在两个设备之间的安全通信使用共享的本地密钥继续。
如果远程设备42没有网络连接性以便直接访问NAF,它的通信可以被通过UICC宿主设备40路由到NAF 46(网络共享)。用于推导出共享的本地密钥的协议如上文所描述的那样进行。
这种协议假定远程设备是个人计算机或其他计算设备。因此,协议不提供远程设备42和NAF密钥中心相互地认证彼此的方式,因为没有关于可用安全机制(例如,在PC中的)的假定能够在编写标准的期间被制定。
图3的“UICC宿主设备”是对于演进的通信设备的太窄的参考,演进的通信设备例如包括移动(蜂窝)电话、各种计算设备、个人数字助理(PDA)、笔记本电脑、平板电脑等。这些设备中的每个设备可以配备有安全的密钥导出特征,如例如SIM、ISIM、USIM、ICC_ID、C-SIM、RUIM、或者SIP摘要机制应用(统称为“安全性基础”)。这些是基准密钥导出特征并且可以被UICC、SIM卡、嵌入式SIM能力、或者其他形式的安全元件(例如,ARM TrustZone芯片或其他安全芯片)所托管。甚至现有处理器中的安全元件的虚拟化是可能的。出于这些原因,在本描述的剩余部分,图3的“UICC宿主设备”将被更一般的“安全蜂窝设备”所取代以涵盖更宽领域的安全通信设备。
发明内容
本发明现在假定第二设备,即“远程设备”,配备有网络应用访问凭证(即SIM、ISIM、C-SIM、SIP摘要凭证)。这些凭证可能被编码在可移动或嵌入式的UICC上。本发明考虑如下事实,在“远程设备”中存在能够被进一步用于提高和改善现有的方法的安全性基础。
本发明的一个示例实施例提供一种机制,用于通过扩展NAF密钥服务器功能性来在具有蜂窝标识和安全性基础的两个设备之间建立运营商受控的安全关联。这样的安全关联可以被合法监听机构所使用。网络应用功能(NAF)是通用引导架构(GBA)的一部分并且GBA在NAF服务器和设备之间提供共享的密码学秘密。
在第一示例性实施例,提供了一种方法,其包括使具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接,使得所述安全设备的所述蜂窝标识被使用所述NAF密钥服务器进行认证,并且推导出用于安全的离线网络通信的第一本地密钥。该方法可以进一步包括使用所述第一本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信,使得向NAF密钥服务器提供引导识别和外部密钥,并且使得提供网络共享功能用于远程设备链接到NAF密钥服务器。该方法还可以包括承担远程设备的用于网络认证的功能,包括使得向NAF密钥服务器提供引导识别和外部密钥,并且接收来自NAF密钥服务器的用于安全的离线网络通信的第二本地密钥,使得通过安全隧道作为远程设备与网络密钥服务器建立链接,并且使用第一密钥用于与另一设备的在第一方向上的通信,而第二密钥用于与该另一设备在另一方向上的通信,或者根据用于安全的离线网络通信的第一密钥和第二密钥推导出一个唯一密钥。
在另一示例性实施例中,提供了一种装置,其包括至少一个处理器和至少一个包括计算机程序代码的存储器,所述至少一个存储器和至少一个计算机程序代码被配置为利用所述至少一个处理器使得所述装置至少:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接,使得UICC设备的蜂窝标识被使用NAF密钥服务器进行认证,以及推导出用于安全的离线网络通信的第一本地密钥。该装置还可以被配置为使用本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信,执行具有蜂窝标识的远程设备的功能,使得通过安全隧道与NAF密钥服务器建立链接。该装置还被配置为使用所述NAF密钥服务器认证它的蜂窝标识,接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥,在双向的安全的离线网络通信中利用所述第一本地密钥和所述第二本地密钥,并且使用所述第一密钥用于在第一方向上的通信,而使用第二密钥用于在第二方向上的通信,或者根据所述第一本地密钥和所述第二本地密钥推导出唯一密钥。
在又一实施例中,提供一种计算机程序产品,其包括至少一个具有存储在其中的可执行的计算机可读程序代码指令的非暂时性计算机可读存储介质,所述计算机可读程序代码指令被配置为:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接,使得所述蜂窝标识被使用所述NAF密钥服务器进行认证,以及推导出用于安全的离线网络通信的第一本地密钥。所述计算机可读程序指令还被配置为:使用所述第一本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信,使得向所述NAF密钥服务器提供引导识别和外部密钥,使得提供网络共享功能用于将远程设备链接到所述NAF密钥服务器。此外,指令可以被配置为:使得所述安全蜂窝设备承担远程设备的用于网络认证的功能,使得向NAF密钥服务器提供引导识别和外部密钥,接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥,并且使得通过安全隧道与所述网络密钥服务器建立链接。程序指令还被配置为:使用第一密钥用于与另一设备的在一个方向上的通信,而使用第二密钥用于与所述另一设备的在第二方向上的通信,或者根据用于安全的离线网络通信的所述第一密钥和所述第二密钥推导出唯一密钥。
在另一示例性实施例中,提供了一种设备,其包括:用于使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接的装置,例如处理器和通信接口,用于使得所述设备的所述蜂窝标识被使用所述NAF密钥服务器进行认证的装置,以及用于推导出用于安全的离线网络通信的第一本地密钥的装置,并且还包括用于使用所述第一本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信的装置,比如通信接口,用于向所述NAF密钥服务器提供安全蜂窝设备引导识别和外部密钥的装置,以及用于将远程设备网络共享至到所述NAF密钥服务器的链接的装置。进一步的实施例可以包括包括:用于承担远程设备的用于网络认证的功能的装置,比如处理器、存储器和计算机程序代码指令,用于使得向NAF密钥服务器提供引导识别和外部密钥的装置,以及用于接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥的装置。进一步的实施例可以包括:用于使用第一密钥用于在一个方向上的通信而使用第二密钥用于在第二方向上的通信的装置,或者用于根据用于安全的离线网络通信的所述第一密钥和所述第二密钥推导出唯一密钥的装置。
附图说明
由此,已经从总体上描述了本发明,现在将参考附图,附图未必是按比例绘制的,并且在附图中:
图1是根据本发明的示例性实施例的一种***的示意性表示,在其中移动终端可以与多个网络进行通信。
图2是从移动终端的视角的装置的框图,该移动终端可以被具体配置为执行根据本发明的示例实施例的操作。
图3是图示用于安全蜂窝设备和远程设备的TS 33.259密钥协议的框图。
图4是图示本发明的示例实施例的用于两个设备的共享密钥建立过程的框图。
图5是图示用于两个安全蜂窝设备的共享密钥建立过程的可替换实施例的框图。
图6是发明的方法的示例实施例的流程图;
图7是发明的方法的示例实施例的流程图;以及
图8是发明的方法的示例实施例的流程图;
具体实施方式
现在将参考附图在下文中更全面地描述本发明的示例性实施例,附图中示出了本发明的某些实施例而不是所有实施例。实际上,本发明的实施例可以按照多种不同的形式来实现,并且不应该被解释为受限于本文提出的实施例;相反,提供这些实施例是为了使本公开内容满足适用的法律要求。贯穿附图,相同的参考数字表示相同的元件。
如在本申请所使用的,术语“电路装置”指代以下任意或全部:(a)仅硬件的电路实现(如仅在模拟和/或数字电路中的实现);以及(b)电路与软件(和/或固件)的组合,例如(如可使用):(i)处理器的组合或(ii)一起工作以使装置(诸如移动电话或服务器)执行各种功能的处理器/软件(包括数字信号处理器)、软件以及存储器的一部分,以及(c)需要软件或固件来进行操作的电路(例如微处理器或微处理器的一部分),虽然软件或固件在物理上并不存在。
“电路装置”的该定义适用于该术语在本申请(包括任何权利要求)中的全部使用。作为其他示例,如本申请中所使用的,术语“电路装置”还将覆盖仅一个处理器(或多个处理器)、或者处理器的一部分以及它的(或它们的)附属软件和/或固件的实现。例如并且如果适用于具体权利要求元素,则术语“电路装置”还将覆盖用于移动电话的基带集成电路或专用集成电路,或者服务器、蜂窝网络设备或其他网络设备中的类似的集成电路。
现在参考图1,移动终端10可以利用从移动终端10到网络14的上行链路和从网络14到移动终端的下行链路和网络14进行通信。移动终端10可以各种类型的移动通信设备,如例如移动电话、个人数字助理(PDA)、寻呼机、膝上型计算机,或者任意的多种其它手持或便携式通信设备、计算设备、内容生成设备、内容消费设备、或它们的组合,通常称为“用户设备”(UE)。移动终端10可以经由比如节点B、演进的节点B(eNB)、基站等的接入点12与网络进行通信,节点B、演进的节点B(eNB)、基站中的每一种包括射频发射机和接收机。移动终端10可以与各种类型的网络14进行通信,各种类型的网络14例如包括长期演进(LTE)网络、LTE高级(LTE-A)网络、全球移动通信***(GSM)网络、码分多址(CDMA)网络(例如宽带CDMA(WCDMA)网络、CDMA2000网络等)、通用分组无线业务(GPRS)网络、通用陆地无线接入网络(UTRAN)、GSM边缘无线电接入网络(GERAN)或其他类型的网络。
现在参考图2,可以由移动终端10来实现或者以其他方式与移动终端10相关联的装置20可以包括处理器22、存储器设备24、通信接口28、和用户接口30或者以其他方式与它们进行通信。
在一些实施例中,处理器22(和/或协同处理器或者辅助处理器或与处理器相关联的任何其它处理电路装置)可以经由用于在装置20的组件之间传递信息的总线与存储器设备24通信。存储器设备24可以包括例如一个或多个易失性和/或非易失性存储器。换言之,例如,存储器设备24可以是电子存储设备(例如计算机可读存储介质),该存储设备包括被配置为存储可以被机器(例如像处理器那样的计算设备)获取的数据(例如比特)的门。存储器设备24可以被配置为存储信息、数据、应用、指令等以使得装置能够执行根据本发明的示例实施例的各种功能。例如,存储器设备可以被配置为缓存输入数据,以供处理器处理。附加地或者可替换地,存储器设备24可以被配置为存储供处理器22执行的指令。
在一些实施例中,装置20可以通过移动终端10来实现。然而,在一些实施例中,装置可以被实现为芯片或芯片组。换言之,装置可以包括一个或多个物理封装(例如芯片),物理封装包括在结构组装件(例如基板)上的材料、组件和/或接线。结构组装件可以为其上所包括的组件电路装置提供物理强度、尺寸的保留和/或电相互作用的限制。因此,在一些情况下,装置可以被配置为在单一芯片上或者作为单一“片上***”实现本发明的实施例。因此,在一些情况下,芯片或芯片组可以构成用于执行一个或多个操作以提供本文所描述的功能的装置。
处理器22可以以多种不同的方式来实现。例如,处理器可以被实现为各种硬件处理装置中的一个或多个处理装置,各种硬件处理装置例如协同处理器、微处理器、控制器、数字信号处理器(DSP)、有伴随的DSP的处理元件或没有伴随的DSP的处理元件、或者包括集成电路的各种其它处理电路装置,集成电路如例如ASIC(专用集成电路)、FPGA(现场可编程门阵列)、微控制器单元(MCU)、硬件加速器、专用计算机芯片等。因此,在一些实施例中,处理器可以包括被配置为独立执行的一个或多个处理核。多核处理器可以实现在单一物理封装内的多进程处理。附加地或可替换地,处理器可以包括经由总线串联配置的一个或多个处理器以能够实现指令的独立执行、流水线和/或多线程。在装置20被实现为移动终端10的实施例中,处理器可以通过移动终端的处理器来实现。
在示例实施例中,处理器22可以被配置为执行存储在存储器设备24中的或者处理器以其他方式可访问的指令。可替换地或附加地,处理器可以被配置为执行硬编码的功能。因此,不管是通过硬件方法或软件方法还是通过硬件方法和软件方法的组合来配置,处理器都可以代表在被相应地配置时能够执行根据本发明的实施例的操作的实体(例如用电路装置物理地实现的实体)。因此,例如,当处理器被实现为ASIC、FPGA等时,处理器可以是用于执行本文所描述的操作的专门配置的硬件。可替换地,作为另一示例,当处理器被实现为软件指令的执行器时,指令可以专门配置处理器,以在指令被执行时执行本文所描述的算法和/或操作。然而,在一些情况下,处理器可以是特定设备(例如移动终端10)的处理器,特定设备被配置为通过用于执行本文所描述的算法和/或操作的指令来进一步配置处理器,从而实现本发明的实施例。处理器可以包括被配置为支持处理器的操作的时钟、算术逻辑单元(ALU)和逻辑门。
同时,通信接口28可以是被配置为从/向网络12和/或与装置20通信的任何其它设备或模块接收和/或发送数据的任意装置,例如实现为硬件或者硬件和软件的组合的设备或电路装置。就此而言,通信接口例如可以包括用于实现与无线通信网络的通信的天线(或多个天线)和支持硬件和/或软件。附加地或可替换地,通信接口可以用于与天线交互以引起经由天线的信号传输或者以处理经由天线所接收的信号的接收的电路装置。为了同时支持多条活动连接,连同数字超级定向阵列(DSDA)设备,一个实施例的通信接口可以包括多个蜂窝无线电,比如多个无线电前端和多个基带链。在一些环境中,通信接口可以可以可替换地或还支持有线通信。因此,例如,通信接口可以包括用于支持经由线缆、数字订户线(DSL)、通用串行总线(USB)或其它机制的通信的通信调制解调器和/或其它硬件/软件。
在一些示例实施例中,例如在装置20由移动终端10实现的实例中,装置可以包括用户接口30,其可以转而与处理器22通信以接收用户输入的指示和/或致使向用户提供可听、可视、机械或其它输出。因此,用户接口可以包括例如键盘、鼠标、游戏杆、显示器、触摸屏、触摸区域、软按键、麦克风、扬声器或其它输入/输出机制。可替换地或附加地,处理器可以包括用户接口电路装置,其被配置为控制如例如扬声器、响铃、麦克风、显示器和/或之类的一个或多个用户接口元件的至少一些功能。处理器和/或包括处理器的用户接口电路装置可以被配置为通过存储在处理器可访问的存储器(例如存储器设备和/或之类的)上的计算机程序指令(例如软件和/或固件)来控制一个或多个用户接口元件的一个或多个功能。
参考图4,示出在一种配置中的元件的关系的代表性框图,其中两个安全蜂窝设备,D1和D2,推导出用于安全通信的共享密钥(Ks_local_device)。图4示出用于获得相对于图3所描述的共享本地密钥的基本体系结构得到保持。在本发明的该第一方面,设备中的一个设备作为安全蜂窝设备50运行,并且其他设备作为远程设备52运行,出于获得安全共享密钥的目的忽略它的托管能力。在图4中,D1是安全蜂窝设备50,而D2是远程设备52。
图4的图解图示了两个装置的交互,例如在图2中示出的交互,其中在图4中通过D1或D2实现的每个装置20可以包括用于建立安全通信的装置,比如处理器22、通信接口28、和存储器24。在图4的实施例中,用于建立安全通信的协议继续进行,其中D1的处理器22使用它自己的引导功能BSF154进行引导以获得引导识别B-TID1,并且推导出通过它的通信接口28要与密钥服务器NAF 46使用的外部密钥Ks_NAF1/Ks_ext_NAF1。
D2的处理器22通过BSF258执行相同的功能并且获得B-TID2以及通过它的通信接口28要与密钥服务器NAF 46使用的外部密钥Ks_NAF2/Ks_ext_NAF2。D2使得使用Ks_NAF2/Ks_ext_NAF2与密钥服务器NAF 46建立TLS-PSK(或者其它形式的安全模式)隧道(下文中称为“安全隧道”)。密钥服务器NAF 46使用作为输入参数“密钥”的来自D1的Ks_NAF1/Ks_ext_NAF1推导出Ks_local_device。密钥服务器NAF 46使用B-TID1作为输入参数“P1”并且使用IMSI2作为输出参数“P0”(而不是“设备ID”(device_ID))。密钥服务器NAF 46经由安全隧道和D2的通信接口28向D2发送Ks_local_device。Ks_local_device被保持在D2的存储器24中。如果出于一些原因,D2不具有网络连接性,则D1可以提供处理器22和通信接口28资源用于通过向网络服务器路由D2的通信的“网络共享(tethering)”。
使用诸如它的处理器22的装置,D1继续进行以如在图3的处理中所图示和描述的那样(背景技术、上文)独立地推导出Ks_local_device并且将Ks_local_device保持在存储器24中。一旦此发生,D1和D2具有相同的共享密钥并且可以利用Ks_local_device来保护它们之间的通信。
在第二实施例中并且参考图4和图5,再次使用比如处理器22、通信接口28、和存储器24的装置来建立安全通信的每个装置20,D1和D2,轮流承担安全蜂窝设备和远程设备的角色并且获得用于它们的设备到设备通信安全的两个本地共享密钥。D1运行协议两次,第一次作为安全蜂窝设备50(图4),在此期间它计算Ks_local_device1,接着作为远程设备52(图5),在此期间它通过安全隧道使用它的Ks_NAF2向密钥服务器NAF 46认证自己,并且在成功认证之后从NAF 46接收Ks_local_device2。D2针对自身以安全蜂窝设备50(图5)和远程设备52(图4)的交替的角色运行相同的协议两次,从而D1和D2二者开始拥有Ks_local_device1和Ks_local_device2,两个共享密钥。
在每个设备中具有两个共享密钥使得D1和D2装置能够以两种方式中的一种方式继续。首先,它们可以利用每个密钥用于一个方向的通信。例如,它们可以使用Ks_local_device1用于从D1=>D2的消息,而使用Ks_local_device2用于从D2=>D1的消息。可替换地,每个可以利用每个设备中的安全性基础密钥推导能力以根据两个共享密钥Ks_local_device1和Ks_local_device2推导出新的共享密钥,其中新的共享密钥的生命周期是两个密钥的生命周期的较短者。
这建议在第三实施例中,设备可以根据图4或图5者中的任一个进行操作,并且然后使用所得到的共享本地密钥以达成用于使得它们之间通信安全的新的密钥。然而,这将不会满足合法监听要求。
图6和图7图示作为本发明的示例实施例的本文描述的密钥获取过程的流程图。图6示出在两个装置20(图2)的情景中,该两个装置具有比如处理器20、通信接口28和存储器24的装置,通过力图通过建立安全通道而安全地离线网络地进行通信的安全蜂窝设备D1和D2来实现。作为安全蜂窝设备的D1链接到101 NAF密钥服务器,供应对于NAF密钥服务器进行的密钥生成所必需的参数。作为远程设备的D2链接到102 NAF密钥服务器以获得与D1共享的本地密钥,其被密钥服务器递送至103 D2。一旦D2具有本地密钥,D1自身推导出密钥104。D1和D2可以使用105共享的本地密钥(Ks_local_device)用于安全离线网络通信。
图7图示用于推导出用于两个安全蜂窝设备之间的离线网络安全通信的两个共享密钥的协议的示例实施例。在两个序列中,两个设备在安全主机和远程设备的角色中彼此交替。例如,D1承担安全主机110的角色并且链接到NAF密钥服务器。D2变为111远程设备并且也连接到NAF并且从NAF密钥服务器接收第一本地密钥(本地密钥(1))。D1然后推导出111本地密钥(1)。协议继续进行,其中D2承担114安全主机设备的角色并且链接到NAF密钥服务器。D1改变以变为115远程设备并且也连接到NAF密钥服务器。NAF密钥服务器向D1返回116本地密钥(2),同时D2继续进行以推导出117本地密钥(2)。使用现在拥有本地密钥(1)和本地密钥(2)二者的两个设备,它们可以以两种方式中的一种方式进行通信。它们可以使用密钥中的一个密钥用于一个方向中的安全通信,并且使用另一个密钥用于另一个方向118。或者它们可以根据本地密钥(1)和本地密钥(2)推导出一个唯一的共享本地密钥并且将该唯一的密钥用于安全的离线网络通信。
参考图8,示出从单个安全蜂窝设备D1的角度的协议的示例实施例的流程图。D1链接121到作为安全主机的NAF密钥服务器。接着是向NAF认证D1的安全标识122。在认证之后,D1推导出123第一本地密钥。在这一点上,D1能够在安全的离线网络通信中与被配置作为远程设备的另一设备相接合,该远程设备已经从和D1串联的NAF密钥服务器中获得了相同的密钥。然而,D1可以通过承担124远程设备的角色并且同样地链接到NAF而继续。在该角色中,D1再次向NAF认证125它的蜂窝标识,这次作为远程设备。NAF向D1发送126第二本地密钥。在这一点上,D1拥有可以与和D1串联的另一安全蜂窝设备共享的两个本地密钥,该另一安全蜂窝设备已经进行了相同的认证和本地密钥处理。具有两个本地密钥,D1可以进行127与共享相同密钥的另一设备的安全通信,使用一个密钥用于一个方向的通信并且使用另一个密钥用于另一个方向。可替换地,D1(以及另一设备)可以根据作为它拥有的两个本地密钥(本地密钥(1)和本地密钥(2))推导出128唯一密钥。该唯一密钥可以第二设备进行共享,该第二设备已经类似地推导出了相同的密钥用于安全的离线网络通信。
如以上所述,图6、图7和图8图示了根据本发明的示例实施例的分别从移动终端和网络实体的角度的装置、方法和计算机程序产品的流程图。应当理解,流程图的每个方框和流程图中的方框的组合可以用各种装置来实现,例如硬件、固件、处理器、电路装置和/或与包括一个或多个计算机程序指令的软件的执行相关联的其它设备。例如,上述过程中的一个或多个过程可以用计算机程序指令来实现。就此而言,实现上述这些过程的计算机程序指令可以被实现本发明的实施例的装置的非暂时性存储器设备所存储并且由该装置的处理器执行。应当理解,任何这样的计算机程序指令可以被加载到计算机或其它可编程装置(例如硬件)上,以产生一种机器,使得所得到的计算机或其它可编程装置上实现在流程图的方框中所指定的功能。这些计算机程序指令也可以被存储在可以指导计算机或其它可编程装置按特定方式工作的计算机可读存储器中,使得存储在计算机可读存储器中的指令产生实现在流程图的方框中所指定的功能的制品。计算机程序指令也可以被加载到计算机或其它可编程装置上,以使得一系列操作在计算机或其它可编程装置上被执行,以产生计算机实现的过程,从而在计算机或其它可编程装置上执行的指令提供用于实现在个流程图的方框中所指定的功能的操作。
因此,流程图的方框支持用于执行指定功能的装置的组合和用于执行指定功能的操作的组合。还将要理解流程图的一个或多个方框以及流程图中的方框的组合可以用执行指定功能的基于硬件的专用计算机***或者专用硬件和计算机指令的组合来实现。
在一些实施例中,上述的操作中的某些可被修改或进一步扩展。此外,在一些实施例中,包括图6、图7和图8中的那些,附加的可选的操作可以被包括在内。可以以任何顺序和在任意组合中执行对以上操作的修改、添加或扩展。
本文提出的本发明许多改变和其他实施例将使得这些发明所属领域的技术人员想到受益于在前述说明和关联的附图中所提出的教导。因此,应当理解,本发明不限于所公开的具体实施例,并且意图将修改和其他实施例包括在所附权利要求的范围内。此外,虽然前述描述和关联的附图在元件和/或功能的某些示例性组合的环境中描述了示例性实施例,但是应当理解在不脱离所附权利要求的范围的前提下可以由可替换的实施例来提供元件和/或功能的不同组合。在这一点上,例如,将除了上文明确描述的那些之外的元件和/或功能的不同组合预期为可以在某些所附的权利要求中提出。虽然本文使用了具体的术语,但是仅在通用和描述性的意义上使用了它们,而并非出于限制的目的。
Claims (24)
1.一种用于通信的方法,包括:
使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;
使得所述安全蜂窝设备的所述蜂窝标识使用所述NAF密钥服务器被认证;
使得另一安全蜂窝设备与所述NAF密钥服务器相链接;
使得所述另一安全蜂窝设备使用所述NAF密钥服务器被认证;
在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;
在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥,并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;
在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥;以及
使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信。
2.根据权利要求1所述的方法,还包括:
使得向所述NAF密钥服务器提供引导识别和外部密钥。
3.根据权利要求1-2中任一项所述的方法,还包括:
使得提供网络共享功能以用于将所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备链接到所述NAF密钥服务器。
4.根据权利要求1-2中任一项所述的方法,还包括:
承担所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备用于网络认证的功能,包括:
使得向NAF密钥服务器提供引导识别和外部密钥,以及
接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥。
5.根据权利要求4所述的方法,还包括:
使得所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备通过安全隧道与所述NAF密钥服务器建立链接。
6.一种用于通信的装置,包括至少一个处理器和包括计算机程序代码的至少一个存储器,所述至少一个存储器和一个计算机程序代码被配置为利用所述至少一个处理器使得所述装置至少:
使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;
使得所述安全蜂窝设备的所述蜂窝标识被使用所述NAF密钥服务器来认证;
使得另一安全蜂窝设备与所述NAF密钥服务器相链接;
使得所述另一安全蜂窝设备被使用所述NAF密钥服务器来认证;
在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;
在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥,并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;
在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥;以及
使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信。
7.根据权利要求6所述的装置,其中,
所述装置还被配置为执行所述安全蜂窝设备或所述另一安全蜂窝设备的、作为具有蜂窝标识的远程设备的功能。
8.根据权利要求7所述的装置,其中,
所述装置还被配置为使得通过传输层安全预共享密钥(TLS-PSK)隧道与所述NAF密钥服务器建立链接。
9.根据权利要求7所述的装置,其中,
所述装置还被配置为使用所述NAF密钥服务器来认证它的蜂窝标识。
10.根据权利要求7所述的装置,其中,
所述装置还被配置为在双向的安全的离线网络通信中利用所述第一本地密钥和所述第二本地密钥。
11.根据权利要求7所述的装置,其中,
所述装置被配置为根据所述第一本地密钥和所述第二本地密钥推导出所述共享密钥。
12.一种计算机可读介质,具有存储在其中的可执行的计算机可读程序代码指令,所述计算机可读程序代码指令在由一个或多个处理器执行时使得装置至少执行以下步骤:
使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;
使得所述蜂窝标识被使用所述NAF密钥服务器来认证;
使得另一安全蜂窝设备与所述NAF密钥服务器相链接;
使得所述另一安全蜂窝设备被使用所述NAF密钥服务器来认证;
在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;
在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥,并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;
在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥;以及
使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信。
13.根据权利要求12所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
使得向所述NAF密钥服务器提供引导识别和外部密钥。
14.根据权利要求12所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
使得提供网络共享功能以用于将所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备链接到所述NAF密钥服务器。
15.根据权利要求12所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
使得所述安全蜂窝设备承担所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备用于网络认证的功能,
使得向NAF密钥服务器提供引导识别和外部密钥,以及
接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥。
16.根据权利要求15所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
使得通过安全隧道与所述网络密钥服务器建立链接。
17.根据权利要求15所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
使用所述第一本地密钥用于与所述另一安全蜂窝设备的在一个方向上的通信,而使用所述第二本地密钥用于与所述另一安全蜂窝设备的在第二方向上的通信。
18.根据权利要求15所述的计算机可读介质,其中所述计算机可读程序指令在由一个或多个处理器执行时还被配置为:
根据用于安全的离线网络通信的所述第一本地密钥和所述第二本地密钥推导出所述共享密钥。
19.一种用于通信的设备,包括:
用于使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接的装置;
用于使得所述安全蜂窝设备的所述蜂窝标识被使用所述NAF密钥服务器来认证的装置;
用于使得另一安全蜂窝设备与所述NAF密钥服务器相链接的装置;
用于使得所述另一安全蜂窝设备被使用所述NAF密钥服务器来认证的装置;
用于在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥的装置,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;
用于在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥的装置,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;
用于在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥的装置;以及
用于使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信的装置。
20.根据权利要求19所述的设备,还包括:
用于向所述NAF密钥服务器提供安全蜂窝设备引导识别和外部密钥的装置。
21.根据权利要求19所述的设备,还包括:
用于将所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备网络共享至到所述NAF密钥服务器的链接的装置。
22.根据权利要求19所述的设备,还包括:
用于承担所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备用于网络认证的功能的装置,
用于使得向NAF密钥服务器提供引导识别和外部密钥的装置,以及
用于接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥的装置。
23.根据权利要求22所述的设备,还包括:
用于使用所述第一本地密钥用于与所述另一安全蜂窝设备的在一个方向上的通信而使用所述第二本地密钥用于与所述另一安全蜂窝设备的在第二方向上的通信的装置。
24.根据权利要求22所述的设备,还包括:
用于根据用于安全的离线网络通信的所述第一本地密钥和所述第二本地密钥推导出所述共享密钥的装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2012/050675 WO2013121246A1 (en) | 2012-02-14 | 2012-02-14 | Device to device security using naf key |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104115544A CN104115544A (zh) | 2014-10-22 |
| CN104115544B true CN104115544B (zh) | 2018-05-22 |
Family
ID=48983600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280069632.2A Expired - Fee Related CN104115544B (zh) | 2012-02-14 | 2012-02-14 | 使用naf密钥的设备到设备安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9781085B2 (zh) |
| EP (1) | EP2815623B1 (zh) |
| CN (1) | CN104115544B (zh) |
| WO (1) | WO2013121246A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9881143B2 (en) * | 2012-12-06 | 2018-01-30 | Qualcomm Incorporated | Methods and apparatus for providing private expression protection against impersonation risks |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| US9578588B2 (en) * | 2014-03-27 | 2017-02-21 | Intel IP Corporation | Apparatus, method and system of tethering between a mobile device and a network |
| CN105325020B (zh) * | 2014-06-19 | 2019-02-12 | 华为技术有限公司 | 用于毫微微接入点之间的通信方法以及毫微微接入点 |
| KR20170015462A (ko) | 2014-07-03 | 2017-02-08 | 애플 인크. | 보안 통신 채널을 설정하기 위한 방법들 및 장치 |
| CN105721409B (zh) * | 2014-12-03 | 2019-06-25 | 西安西电捷通无线网络通信股份有限公司 | 具有wlan功能的设备接入网络的方法及实现该方法的设备 |
| WO2016116128A1 (en) * | 2015-01-19 | 2016-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for direct communication key establishment |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| JP6211119B2 (ja) * | 2016-02-26 | 2017-10-11 | 三菱電機株式会社 | 電流制御装置 |
| CN106161778A (zh) * | 2016-06-21 | 2016-11-23 | 浪潮(北京)电子信息产业有限公司 | 一种通信***及基于无线通信的外置通信装置 |
| WO2018083298A1 (en) * | 2016-11-07 | 2018-05-11 | Koninklijke Kpn N.V. | Deriving a security key for relayed communication |
| KR101817879B1 (ko) | 2016-11-18 | 2018-01-11 | 부산대학교 산학협력단 | 고속의 naf 변환 장치 및 고속의 naf 변환 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和***设备协商共享密钥的方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7464265B2 (en) * | 2002-05-03 | 2008-12-09 | Microsoft Corporation | Methods for iteratively deriving security keys for communications sessions |
| US7987366B2 (en) * | 2004-02-11 | 2011-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Key management for network elements |
| US7954141B2 (en) * | 2004-10-26 | 2011-05-31 | Telecom Italia S.P.A. | Method and system for transparently authenticating a mobile user to access web services |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| MY142227A (en) * | 2005-02-04 | 2010-11-15 | Qualcomm Inc | Secure bootstrapping for wireless communications |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| JP2007280221A (ja) * | 2006-04-10 | 2007-10-25 | Fujitsu Ltd | 認証ネットワークシステム |
| US8347090B2 (en) * | 2006-10-16 | 2013-01-01 | Nokia Corporation | Encryption of identifiers in a communication system |
| US20080095361A1 (en) * | 2006-10-19 | 2008-04-24 | Telefonaktiebolaget L M Ericsson (Publ) | Security-Enhanced Key Exchange |
| JP5496907B2 (ja) * | 2007-11-30 | 2014-05-21 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | セキュアな通信のための鍵管理 |
| EP2335391B1 (en) * | 2008-09-16 | 2019-03-06 | Telefonaktiebolaget LM Ericsson (publ) | Key management in a communication network |
| US9590961B2 (en) * | 2009-07-14 | 2017-03-07 | Alcatel Lucent | Automated security provisioning protocol for wide area network communication devices in open device environment |
| US8301883B2 (en) * | 2009-08-28 | 2012-10-30 | Alcatel Lucent | Secure key management in conferencing system |
| EP2550789B1 (en) * | 2010-03-24 | 2018-11-07 | Nokia Technologies Oy | Method and apparatus for device-to-device key management |
| US8509431B2 (en) * | 2010-09-20 | 2013-08-13 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
| EP2913976B1 (en) * | 2011-04-28 | 2017-08-09 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
| CN103108311B (zh) * | 2011-11-11 | 2017-11-28 | 中兴通讯股份有限公司 | 一种mtc设备与uicc绑定的方法、装置及*** |
-
2012
- 2012-02-14 US US14/371,683 patent/US9781085B2/en not_active Expired - Fee Related
- 2012-02-14 CN CN201280069632.2A patent/CN104115544B/zh not_active Expired - Fee Related
- 2012-02-14 WO PCT/IB2012/050675 patent/WO2013121246A1/en active Application Filing
- 2012-02-14 EP EP12868900.7A patent/EP2815623B1/en not_active Not-in-force
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和***设备协商共享密钥的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《Key establishment between a UICC Hosting Device and a Remote Device》;3GPP TSG SSA;《3GPP TS 33.259 V10.0.0》;20110404;第8-16页,第4节,图4.1,第4.5节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US9781085B2 (en) | 2017-10-03 |
| WO2013121246A1 (en) | 2013-08-22 |
| US20150012743A1 (en) | 2015-01-08 |
| EP2815623A1 (en) | 2014-12-24 |
| EP2815623A4 (en) | 2015-10-07 |
| CN104115544A (zh) | 2014-10-22 |
| EP2815623B1 (en) | 2018-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104115544B (zh) | 使用naf密钥的设备到设备安全性 | |
| CN109005540B (zh) | 一种密钥推演的方法、装置及计算机可读存储介质 | |
| JP6715867B2 (ja) | 統合スモールセルネットワークおよびwifiネットワークのための統一認証 | |
| CN104540132B (zh) | 蓝牙设备的通讯方法、移动设备、电子签名设备和服务器 | |
| CN107637039B (zh) | 执行所有者转移的***和转移设备所有权的方法和*** | |
| US8099495B2 (en) | Method, apparatus and system for platform identity binding in a network node | |
| US20160373257A1 (en) | Key agreement and authentication for wireless communication | |
| CN107667554A (zh) | 分散式配置器实体 | |
| CN106465121A (zh) | 电子用户身份模块配置 | |
| CN103477602A (zh) | 用于提供秘密委托的方法和设备 | |
| CN107425961A (zh) | 执行链路建立和认证的***和方法 | |
| CN106031120B (zh) | 密钥管理 | |
| CN102783080A (zh) | 安全多uim认证与密钥交换 | |
| US11956626B2 (en) | Cryptographic key generation for mobile communications device | |
| US11606416B2 (en) | Network controlled machine learning in user equipment | |
| CN111182546B (zh) | 接入无线网络的方法、设备及*** | |
| CN103313242A (zh) | 密钥的验证方法及装置 | |
| US20180095500A1 (en) | Tap-to-dock | |
| CN107925875A (zh) | 经由wlan节点在蜂窝管理器和用户设备(ue)之间进行通信的装置、***和方法 | |
| CN108390885A (zh) | 一种获得设备标识的方法及装置 | |
| CN101998392B (zh) | 用于具有中继节点的无线通信***的安全性方法 | |
| CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
| CN103532720A (zh) | 一种capwap报文的传输方法和设备 | |
| CN110115067A (zh) | 用于wlan管理的快速传播的操作信息 | |
| CN104113895A (zh) | 一种Wi-Fi网络的连接方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160114 Address after: Espoo, Finland Applicant after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Applicant before: NOKIA Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180522 Termination date: 20220214 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |