CN104756458A - 用于保护通信网络中的连接的方法和设备 - Google Patents
用于保护通信网络中的连接的方法和设备 Download PDFInfo
- Publication number
- CN104756458A CN104756458A CN201280076736.6A CN201280076736A CN104756458A CN 104756458 A CN104756458 A CN 104756458A CN 201280076736 A CN201280076736 A CN 201280076736A CN 104756458 A CN104756458 A CN 104756458A
- Authority
- CN
- China
- Prior art keywords
- naf
- secret
- equipment
- parameter
- amendment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B1/00—Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
- H04B1/38—Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
- H04B1/3816—Mechanical arrangements for accommodating identification devices, e.g. cards or chips; with connectors for programming identification devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种保护网络应用功能NAF与连接到网络的用户设备UE之间的会话的方法。使用通用引导架构GBA或类似架构向NAF指配NAF标识符,以及在UE与NAF之间建立共享秘密(S7.1)。从UE向NAF发送包含引导事务标识符的应用请求(S7.2),并且从NAF向引导服务器功能BSF发送包含引导事务标识符、NAF_id以及从共享秘密所得出的信息的认证请求(S7.4)。BSF和UE通过使用修改的参数代替或附加于密钥推导函数中的原始参数来确定NAF密钥Ks_NAF,修改的参数从共享秘密以及密钥推导函数的原始参数得出(S7.5)。这个NAF密钥从BSF传送给NAF(S7.6),并且用来保护NAF与UE之间的通信(S7.7)。还提供了充当上述方法中的NAF、UE和BSF的设备。
Description
技术领域
本发明涉及用于保护通信网络中的连接的方法和设备。更具体来说,虽然不一定,但是本发明涉及用于通用引导架构中的双因素认证。
背景技术
现今看到朝网络社会的发展。越来越大比例的用户日常生活使用诸如电话、即时消息传递、电子邮件或者访问因特网服务的电信服务来度过。甚至用户的个人数据,例如文档、音乐、照片等也存储在“云中”的网络服务上。社交网络提供通信、在线存在和文档共享。公共和私有部门公司依靠电信和云服务用于增加其业务量。因此,用户和企业的安全性和隐私的重要性不断增加。特别重要的方面是认证和数据加密。
由传统(移动)网络运营商所提供的服务被认为具有高置信等级。服务通常使用基于SIM的强认证和数据加密完善保护服务免受第三方攻击。因此,安全性对用户也是透明的。对于“顶部上(over the top)”提供的服务,例如因特网服务,状况极为不同。所提供的安全性通常基于用户名和密码,从而使解决方案对最终用户是麻烦的,并且因管理强密码的困难而相对不安全。
为了促进向用户终端提供服务(例如运营商提供的服务或者顶部上服务),移动网络(例如3G网络)能够提供客户端终端(即,移动终端)与提供服务的服务节点之间的安全通信信道或“安全关联”的建立。3GPP技术规范TS 33.220 V11.4.0(2011-12)中定义的通用引导架构(GBA)提供一种机制,由此能够向网络应用功能(NAF)(即,应用服务器)认证客户端终端(UE),并且得到安全会话密钥以便在客户端终端与NAF之间使用。图1示意示出如3GPP TS 33.220中所述的GBA的简单网络模型的示例,其包括引导服务器功能(BSF)、网络应用功能(NAF)、订户定位符功能(SLF)、归属订户***(HSS)和用户设备(UE)。NAF与UE之间的通信通过参考点Ua进行,NAF与BSF之间的通信通过参考点Zn进行,UE与BSF之间的通信通过参考点Ub进行,BSF与HSS之间的通信通过参考点Zh进行,以及BSF与SLF之间的通信通过参考点Dz进行。
当UE想要联系NAF但是UE与NAF之间的安全关联未在早期阶段建立时,UE可采用对通信的请求来联系NAF,并且该请求可能没有包括任何GBA相关参数。如果NAF要求使用通过GBA所得到的安全关联,则NAF可采用引导发起消息来响应UE。UE则将开始与BSF的引导过程。GBA提供引导认证和密钥协议(AKA)的机制用于来自3GPP TS 33.102中所述的3GPP AKA机制的应用安全性。这个机制允许向BSF认证UE,并且得到主密钥(Ks)和引导事务标识符(B-TID)。GBA用户安全设置(GUSS)是所有用户安全设置集合,并且存储在HSS中。在引导过程期间,BSF从HSS得到GUSS。引导过程在图2中示为步骤2.1。
主密钥Ks在UE与BSF之间、但没有与NAF共享。而是由UE得出应用特定密钥Ks_NAF。Ks_NAF的推导通过定义为KDF(Ks, “gba-me”, nonce, IMPI, NAF_id)的密钥推导函数(KDF)来执行。术语“nonce”在这里用来指示任意数,其在密码通信中可仅使用一次,并且可帮助防御重放攻击。Ks是先前定义的主密钥;“gba-me”是固定值;nonce是用来生成Ks的随机数(在密码通信中仅使用一次的任意数);IMPI是UE的因特网协议多媒体私有身份;以及NAF_id是NAF的NAF标识符。NAF_id通过级联NAF的完全合格域名(FQDN)和参考点Ua的安全协议标识符来构成。Ks_NAF的推导在3GPP TS 33.220中描述并且在图2中示为步骤2.2。
UE然后通过参考点Ua在应用请求中将B_TID提供给NAF。这个步骤在图2中示为步骤2.3。在NAF处接收应用请求之后,NAF确定NAF_id,并且检验用户被授权使用NAF_id,如图2中的步骤2.4.1所示。NAF则通过参考点Zn向BSF发送包含B-TID和NAF_id的认证请求,如图2中的步骤2.4.2所示。
在接收认证请求时,BSF使用B-TID来查找主密钥Ks,以及BSF使用NAF所提供的NAF_id和KDF来得出应用特定密钥Ks_NAF。这个步骤在图2中示为步骤2.5。BSF向NAF回送包含Ks_NAF的认证应答,如图2中的步骤2.6所示。BSF还可在对NAF的认证应答中包含其他信息,例如引导时间和密钥的生存期。如果通过B_TID所识别的密钥在BSF不可用,则BSF将在对NAF的应用中指示这个情况,并且NAF然后将向UE发送引导再协商请求。
NAF和UE现在均知道Ks_NAF的值,并且它们能够使用那个密钥来保护NAF与UE之间通过参考点Ua的通信(步骤2.7)。这个保护可包括例如加密和/或完整性。
UE包括:移动设备(ME);以及订户身份模块(SIM或USIM),其可包含在通用集成电路卡(UICC)上。上述过程中涉及的UE中的计算可在ME(GBA_ME)或UICC(GBA_U)的处理器中进行,其中计算的可能不同部件分散在这些实体上。
上述过程提供强安全性,并且能够或多或少使得对最终用户是透明的。
这个引导架构实现UE与NAF之间的相互认证和密钥协议。但是,一些NAF可需要超出网络所提供的检验,例如以便认证UE背后的用户或者UE与其连接的第三方装置。这个问题没有由GBA架构解决,其仅认证UE(更准确地说是SIM/USIM)。
另一个问题在于,在基于GBA的解决方案中,移动运营商具有UE与NAF之间的密钥的知识,并且因此能够潜在地访问通信。这通常不是问题,因为移动运营商能够被认为是可信的。但是,在诸如移动健康、银行业务或者访问其他高价值内容的一些使用情况下,可存在监管要求或隐私问题,其禁止使用可能允许任何第三方访问通信的协议。另外,如果攻击者从HSS获得对密钥资料(keying material)的访问,则他们将能够使用从那些资料所得出的密钥对将来通信进行解密。
认证用户和装置的先前尝试同时具有如下缺点:它们要求向BSF(或者移动网络运营商所控制的某个其它服务器)公开用户的秘密,如果希望防止网络运营商能够访问通信,则这显然是不合需要的。示例包括美国专利申请“Secure Bootstrapping Architecture Method Based on Password-Based Digest Authentication” US 2011/0145575 A1和3GPP TSG SA WG3(安全性)会议#64提案S3-110649,其处理将OpenID***集成到基于AKA的方法。
这些问题能够通过使用GBA所建立的安全连接中的辅助授权协议来减轻;但是,所要求的额外信令能够减缓认证过程,从而使得对用户是更费时的。否则,UE能够在本地(即,无需联系任何服务器)认证用户,并且仅在已建立本地认证时执行GBA认证,例如SIM卡能够配置成在它们能够向移动网络进行认证之前要求确认SIM与用户之间共享的PIN。但是,一般优选的是在服务器侧而不是在装置上本地检验密码,因为它使服务器认证对于可能能够伪造本地认证的攻击更具弹性。
发明内容
按照本发明的第一方面,提供一种保护网络应用功能NAF与连接到网络的用户设备UE之间的会话的方法,其中使用通用引导架构GBA或基本上相似架构向NAF指配NAF标识符NAF_id。该方法包括建立UE与NAF之间的共享第一秘密(S7.1)。该方法还包括从UE向NAF传递包含引导事务标识符的应用请求(S7.2),并且从NAF向引导服务器功能BSF传递包含引导事务标识符、NAF_id以及从第一秘密所得出的信息的认证请求(S7.4)。该方法还包括:在BSF和UE中通过使用修改的参数代替或附加于密钥推导函数中的原始参数来确定NAF密钥Ks_NAF,修改的参数从第一秘密和密钥推导函数的原始参数得出(S7.5);将NAF密钥从BSF传送给NAF(S7.6);以及利用NAF密钥来保护NAF与UE之间的通信(S7.7)。
可选地,原始参数可以是NAF_id,并且修改的参数可以是修改的NAF_id(S8.3),以及认证请求可包括修改的NAF_id,修改的NAF_id包括NAF_id和从第一秘密所得出的信息(S8.4)。备选地,修改的参数可在接收认证请求之后在BSF中计算。
可选地,UE和NAF可进行协商,以便建立另一个或多个共享安全参数,协商基于NAF密钥来保护(S7.7)。另一个或多个安全参数可基于第一秘密来建立。
可选地,第二秘密可在NAF与UE的用户之间先前建立,并且建立UE与NAF之间的第一秘密可包括用户将第二秘密或者由此所得出的信息输入到UE中并且UE从第二秘密得出第一秘密。
可选地,第三秘密可在NAF与某个其它设备之间先前建立,并且建立UE与NAF之间的第一秘密可包括其它设备将第三秘密或者由此所得出的信息传送给UE并且UE从第三秘密得出第一秘密。其它设备可以是医疗监护装置。其它设备和NAF可进行协商,以便建立另一个或多个共享安全参数,协商经由UE转播,以及至少UE与NAF之间的通信可基于NAF密钥来保护。另一个或多个共享安全参数可基于第三秘密建立。
从第一秘密所得出的信息可以是第一秘密(S7.3.1);应用于第一秘密(S7.3.2)以及可选地引导事务标识符的密码哈希函数的结果;或者应用于第一秘密、随机数(S7.3.4)以及可选地引导事务标识符的密码哈希函数的结果。该方法可包括下列步骤:在NAF中生成随机数并且将随机数从NAF传送给UE,或者反之。
修改的参数可通过按照任何顺序级联原始参数以及从第一秘密所得出的信息生成。
用户设备UE包括:移动设备ME;以及订户身份模块SIM,其可包含在通用集成电路卡UICC上。
按照本发明的第二方面,提供一种设备(500),其配置成作为在第一方面的方法中使用的移动设备ME进行操作。第一方面的方法的步骤可在UICC上或者在ME中执行,以及ME包括访问执行方法的步骤的UICC上的组件的接口。
按照本发明的第三方面,提供一种设备(400),以便用作第一方面的方法中的网络应用功能NAF。
第二或第三方面的设备可在车辆中使用。
按照本发明的第四方面,提供一种设备,以便用作第一方面的方法中的引导服务器功能BSF。
按照本发明的第五方面,提供一种按照第一方面操作用户设备UE的方法。
按照本发明的第六方面,提供一种按照第一方面操作网络应用功能NAF的方法。
按照本发明的第七方面,提供一种按照第一方面操作引导服务器功能BSF的方法。
按照本发明的第八方面,提供一种包括计算机可读代码的计算机程序,计算机可读代码在设备上运行时使该设备表现为按照第二、第三或第四方面的设备。
按照本发明的第九方面,提供一种包括计算机可读介质的计算机程序产品,在计算机可读介质上存储按照第八方面的计算机程序。
附图说明
附图中,可选元素通篇通过虚线或虚线框来标记。
图1示意示出GBA的简单网络模型的示例;
图2示出GBA所提供的引导和密钥推导机制的示例信令流程;
图3示出修改的GBA的信令流程;
图3A示出NAF_id被修改的情况下的修改的GBA的信令流程;
图4示意示出用于在修改的GBA中使用的NAF的示例;
图5示意示出用于在修改的GBA中使用的UE的示例;
图6示意示出用于在修改的GBA中使用的计算机程序产品;
图7是示出修改的GBA的过程的流程图;
图8是示出NAF_id被修改的情况下的修改的GBA的过程的流程图。
具体实施方式
3GPP技术规范TS 33.220中定义的通用引导架构(GBA)提供一种机制,由此能够向网络应用功能(NAF)认证客户端终端(UE),并且得到安全会话密钥以便在UE与NAF之间使用。如图2所示,GBA提供一种机制,由此UE与引导服务器功能(BSF)进行引导,使得向BSF认证UE,并且得到主密钥Ks和引导事务标识符(B-TID)。UE然后通过定义为KDF(Ks, “gba-me”, nonce, IMPI, NAF_id)的密钥推导函数(KDF)得出应用特定密钥Ks_NAF。Ks是先前定义的主密钥;“gba-me”是固定值;nonce是用来生成Ks的随机数;IMPI是UE的因特网协议多媒体私有身份;以及NAF_id是NAF的NAF标识符。NAF_ID通过级联NAF的完全合格域名(FQDN)和参考点Ua(通过其进行UE与NAF之间的通信)的安全协议标识符来构成。UE然后向NAF发送包含B-TID的应用请求。在接收该请求时,NAF确定并且验证NAF_ID。NAF在认证请求中向BSF发送B-TID和NAF_ID。在接收认证请求时,BSF使用所接收的B-TID来查找Ks,并且使用KDF和NAF_ID得出Ks_NAF。Ks_NAF由BSF在认证应答中发送给NAF。NAF和UE现在共享同一Ks_NAF,其能够用来保护NAF与UE之间的通信。
注意到,所提出的解决方案能够应用于GBA_U以及GBA_ME情况,但是为了简洁起见,这里在GBA_ME情况中对它进行描述。如本领域的技术人员已知的,GBA_ME与GBA_U之间的相关差别在于,在GBA_ME中,所有GBA相关密钥推导均在ME(UICC外部)中进行,而在GBA_U中,GBA特定密钥推导在UICC内部进行。另外,在GBA_U中,存在Ks_NAF的一个特殊副本(称作KS_NAF_int),其从未离开UICC。在GBA_U情况中,对于所提出的解决方案特定的密钥计算因此可在UICC中进行,而对GBA_ME,它们始终在ME中进行。类似地,在与GBA基本上相似的设置中使用所提出的解决方案时,将理解,所提出的解决方案的某些部分最佳适合在“用户装置”(类似于ME)中执行,而其它可在某个“用户身份模块”(类似于SIM)中执行。
以下实施例涉及建立UE与NAF之间的秘密,然后通过将从其中所得出的信息与KDF的参数组合以将这个秘密***GBA密钥推导来形成修改的参数。修改的参数的格式可以尽可能接近原始参数,以便使与现有GBA***的兼容性更易于实现(例如,在GBA_U情况中,这将改善与所部署的UICC的互通)。修改的参数在UE和NAF或BSF中独立计算,并且然后在GBA过程期间用来代替原始参数。由于修改的参数然后用来计算Ks_NAF,所以这使Ks_NAF与UE和NAF之间所共享的秘密相关,并且因此允许基于Ks_NAF的认证或安全通信。由于UE和BSF或NAF分别计算修改的参数,所以如果UE和NAF共享该秘密,则它们将仅得到同一Ks_NAF。
从用来计算修改的参数的秘密所得出的信息在NAF和UE中独立计算,并且然后作为从NAF到BSF的认证请求的一部分传送给BSF。BSF可从这个信息和原始参数计算修改的参数,或者在原始参数为NAF_id的情况下,NAF可计算修改的NAF_id,并且将它代替原始NAF_id来传送。在NAF传送修改的NAF_id的情况下,原始NAF_id应是从修改的NAF_id可得出的,以及对BSF的变更可能不是实现一些实施例所需的。
UE与NAF之间的秘密的建立的方法将与特定使用情况相关。例如,如果NAF想要认证用户,则秘密可在用户与NAF之间先前建立,以及用户可在安全连接过程期间将秘密输入UE中。下面将参照图3和图3A来论述这个和其他实施例。可选元素以虚线表示。
在第一实施例中,秘密(S)在UE与NAF之间可能通过以下可选实施例中所列的某种方法来建立。图3示出建立安全连接中涉及的信令步骤。为了便于本说明,将假定已经向BSF认证UE,并且密钥Ks已经作为其一部分生成(2.1)。这个过程以3GPP GBA技术规范TS 33.220作为其基础。
NAF和UE计算从S所得出的量(Q)(3.2)。在最简单示例中,Q能够是S本身或者由用户传递给UE的关于S的信息,其允许BSF了解S或者从S所得出的信息。但是,如在许多情况中,将期望对BSF隐瞒秘密S,这个所得出的信息可使用应用于S以及UE和NAF已知的一个或多个其他量(例如B-TID和/或UE与NAF之间传递的随机数)的某个伪随机函数(例如安全密码哈希函数)来生成。
NAF然后向BSF发送包含B-TID、NAF_id和Q的认证请求(3.4)。这是对当前GBA规范的变更,其中这样的请求将仅包含B-TID和NAF_id。
BSF使用B-TID来查找Ks、IMPI和nonce,如在当前GBA规范中。BSF然后从Q和KDF(Ks, “gba-me”, nonce, IMPI或NAF_id)的原始参数得出修改的参数,并且在使用KDF计算Ks_NAF时使用这个修改的参数代替或附加于原始参数(3.5)。可根据需要修改KDF的多个参数。UE执行与BSF相同的计算来计算Ks_NAF(3.6)。
此后,步骤3.7和3.8在功能上与未修改的GBA协议中的相同。
3.7) BSF向NAF发送Ks_NAF,
3.8) UE利用Ks_NAF来保护与NAF的连接。
在第二实施例中,通过使NAF计算修改的参数,从而以所需的最小额外计算允许BSF好像它是原始参数那样来使用它,显著降低对GBA规范和BSF的操作所需的变更。
秘密(S)在UE与NAF之间可能通过以下可选实施例中所列的某种方法来建立。图3A示出建立安全连接中涉及的信令步骤。为了便于本说明,将假定已经向BSF认证UE,并且密钥Ks已经作为其一部分生成(2.1)。这个过程以3GPP GBA技术规范TS 33.220作为其基础。
NAF和UE然后计算从S所得出的量(Q)(3.2)。在最简单示例中,Q能够是S本身或者与用户传递给UE的S有关的信息,其允许BSF了解S或者从S所得出的信息。但是,在大多数情况下,将期望对BSF隐瞒秘密S,因此这个所得出的信息可使用应用于S以及UE和NAF已知的一个或多个其他量(例如B-TID和/或UE与NAF之间传递的随机数)的某个伪随机函数(例如安全密码哈希函数)来生成。
NAF和UE从NAF_id和Q计算修改的NAF标识符mNAF_id (3.3.1)。例如,mNAF_id可能是与Q级联(按照任何顺序)的NAF_id。这可要求对GBA规范的小变更,因为一些实施例可依靠NAF_id的格式来得出NAF_FQDN,并且因此确认认证请求的来源。
此后,步骤3.4至3.8在功能上与在未修改的GBA协议中相同,除了NAF_id在3.4、3.5和3.6中由mNAF_id取代。NAF将这个mNAF_id代替NAF_id作为认证请求的一部分发送给BSF(3.4.1)。BSF如常执行引导过程,从mNAF_id和Ks计算Ks_NAF(3.5.1)。UE从mNAF_id和Ks计算Ks_NAF(3.6.1)。BSF向NAF发送Ks_NAF(3.7)。UE利用Ks_NAF来保护与NAF的连接(3.8)。
可适用于任一实施例的可选元素现在如下所述:
秘密S可在UE与NAF之间基于UE的用户与NAF之间共享的先前秘密(其由用户输入UE中,并且UE从其中得出S)来建立(3.1.1)。这可例如在应用想要认证UE和用户时发生。
秘密S可在UE与NAF之间基于NAF与能够与UE进行通信的设备之间共享的先前建立的秘密来建立,其中先前建立的秘密或者从先前建立的秘密所得出的信息由设备传送给UE并且UE由此得出S(3.1.2)。备选地,秘密可基于NAF与用户之间共享的秘密以及设备与NAF之间共享的秘密来建立。这可例如在应用想要认证UE以及这个其它设备时发生。UE还可能向这个其它设备回送S或者从S所得出的信息。
这个可选元素的示例使用可能是结合经由例如通用串行总线(USB)、蓝牙或ZigBee连接到其移动电话(其连接到蜂窝网络)的监测装置的健康监测服务。在这种情况下,中央集线器将是UE,以及NAF将通过其中存储的秘密(当装置在连接时认证UE时,可直接或间接向UE透露所述秘密)来认证监测装置。在一些管辖范围,政策可能禁止与健康有关的详细信息通过第三方可能窃听的信道来传送,因此这种使用可利用如以下所述的阶段3.9的辅助保护过程。这类可选元素的其他示例包括车辆中的车载单元(例如汽车中的诊断或娱乐***)、“智能电网”中的任何种类的传感器或致动器装置等。
可选地,一旦UE和NAF通过基于Ks_NAF保护的连接进行通信,UE还可通过利用从S所得出的密钥的任何过程保护与NAF的连接(或者反之)(3.9)。这确保BSF不能访问所产生的连接。这个最终步骤可实现为GBA的“后处理”,并且因此不要求对规范的变更。对应地,在上述设备与UE进行通信的情况下,这个其它设备可使用S以及NAF与设备之间共享的先前建立的秘密,以便进一步保护设备与NAF之间的连接。因此,安全连接可使用UE转播通信来在设备与NAF之间直接得到,从而甚至防止UE访问所传输的数据。
如在GBA中,许多计算能够在移动设备(ME)或者在包含SIM的UICC上执行。这允许修改GBA协议的GBA_ME或GBA_U版本。
图4示意示出适合于实现上述实施例的NAF 400的示例。NAF 400能够实现为计算机硬件和软件的组合。NAF 400包括:接收器41,用于通过参考点Ua接收来自UE的应用请求(S7.2);以及处理器42,用于从UE与NAF之间共享的秘密确定Q(S7.3等、S8.3等)。NAF 400包括:发送器43,用于向BSF传递包含B_TID、NAF_id和Q的认证请求(S7.4、S8.4);以及接收器44,用于通过参考点Zn从BSF接收密钥资料(S7.6)。NAF还包括:存储器45,用于存储数据;处理器47,用于保存与UE的连接(S7.7);以及发送器46,其连同接收器41用于通过参考点Ua与UE进行通信。
可选地,NAF可包括处理器48,其用来执行辅助过程,以使用共享秘密进一步保护与UE的会话(S7.8)。NAF还可包括处理器49,其用于通过组合NAF_id和Q来确定mNAF_id(S8.3等)。
图5示意示出适合于实现上述实施例的UE 500的示例,其中可选元素通过虚线框示出。这假定GBA U情况。UE 500能够实现为计算机硬件和软件的组合。UE 500包括:发送器51,用于通过参考点Ua向NAF发送应用请求(S7.2);处理器52,用于确定Q(S7.3);以及处理器53,用于从KDF以及从Q所得出的修改的参数和KDF的对应原始参数来确定Ks_NAF(S7.5、S8.5)。
UE 500还包括:存储器模块56;以及接收器57,其连同发送器51用来在已经建立Ks_NAF时通过参考点Ua与NAF安全地通信(S7.7)。UE 500还包括处理器50、发送器58和接收器59,其一起通过参考点Ub与BSF执行AKA协议,以建立上文所定义的Ks。UE 500可选地包括以下中的一个或两者:输入装置54,用于从用户接收秘密(S7.1.1);以及接收器55,用于从另一个装置接收秘密或者从秘密所得出的信息(S7.1.3);以及处理器513,用于从输入装置54和/或接收器55所接收的秘密计算与NAF共享的秘密(S7.1)。UE 500还可包括处理器512,其用于执行辅助过程,以基于共享秘密进一步保护与NAF的连接(S7.8)。UE 500包括:订户身份模块(SIM),其可包含在通用集成电路卡(UICC 514)上;和/或移动设备(ME)。UICC 514可包括存储器模块56和/或处理器50、52、53和/或512中的一个或多个。如果专用UICC存在,则ME包括以上所列但不在UICC 514中的UE 500的那些组件以及用于提供对UICC 514上的组件的访问的接口。
注意到,对于GBA_ME情况,所提出的解决方案所需的所有处理将在ME中进行,即使专用UICC存在。在GBA_ME情况中,密钥Ks(并且必然地然后还有KS_NAF和所有处理)将总是在UICC外部存储/处理。在GBA_ME情况中,存储器56(存储Ks)将在ME中而不在UICC中,如图5所示。单元52、53和512将位于ME中(即,在UICC外部)。在GBA_U情况中,它们可在UICC或ME中。
图6示意示出包括其上存储计算机可读代码62的计算机可读介质61的计算机程序产品,计算机可读代码62在NAF或UE上运行时使NAF或UE表现为按照本发明的NAF或UE。
图7是如第一实施例中的修改的GBA的流程图,其中可选元素通过虚线框示出。开始,在NAF与UE之间建立秘密(S7.1)。这可通过用户输入(S7.1.1)UE中存储的先前建立值或者通过来自某个其它装置的传输S7.1.3。UE向NAF发送包含B-TID的应用请求S7.2。如果随机数将用于产生NAF_id,则它将在UE生成,并且传送给NAF或者反之S7.2.1。
UE和NAF然后从秘密生成量QS7.3。这可以是秘密S7.3.1;秘密的密码哈希S7.3.2;秘密和B-TID的哈希S7.3.3;秘密和随机数的哈希S7.3.4;秘密、B-TID和随机数的哈希S7.3.5或者某个其它量。
NAF将B-TID、NAF_id和Q作为GBA认证请求的一部分传送给BSF S7.4。BSF和UE然后通过使用从Q所得出的修改的参数和KDF的对应原始参数代替或附加于KDF中的原始参数计算Ks_NAF S7.5。这个密钥Ks_NAF然后由BSF传送给NAF S7.6,并且用来保护NAF与UE之间的通信S7.7。可选地,连接可基于NAF与UE之间所建立的秘密来进一步保护以防止网络能够访问通信S7.8。
图8是如第二实施例中的修改的GBA的流程图,其中可选元素通过虚线框示出。阶段S7.1至S7.2.1与图7中相同。在向NAF发送应用请求S7.2以及可选地传送随机数S7.2.1之后,UE和NAF从NAF_id和秘密生成修改的NAF_id(mNAF_id)S8.3。这可通过将NAF_id与秘密S8.3.1;与秘密的密码哈希S8.3.2;与秘密和B-TID的哈希 S8.3.3;与秘密和随机数的哈希S8.3.3或者与秘密、B-TID和随机数的哈希S8.3.4级联或者通过某个另外方法进行。将mNAF_id代替NAF_id作为GBA认证请求的一部分从NAF传送给BSF S8.4。BSF和UE然后使用mNAF_id代替或附加于KDF中的NAF_id计算Ks_NAF S8.5。之后,阶段S7.6至S7.8如图7所示继续进行。
虽然上述实施例和背景涉及用户设备UE,但是使用这个术语,因为它是现有技术中用于服务于GBA中的特定功能并且包含作为物理SIM(可移动或嵌入式)或者可下载的SIM的订户身份模块(SIM/USIM)的装置的术语,而不应当被理解为暗示上述实施例要求该装置是设计用于人为操作的装置,除非另加说明。示例包括医疗传感器,其监测患者并且自主地将所获取信息发送给医院服务器;用作用于向服务器的同步认证的一次性密码(OTP)的智能令牌装置;与汽车制造商/媒体服务器进行通信的汽车中的诊断/娱乐装置;与电力公司服务器进行通信的“智能电网”中的任何种类的传感器或致动器装置等。
本领域的技术人员将理解,可对上述实施例进行各种修改,而没有背离所附权利要求书所限定的本发明的范围。例如,将易于理解,虽然上述实施例参照3GPP网络的部分来描述,但是本发明的实施例也将可适用于具有相似功能组件的相似网络。本发明还可适用于与GBA基本上相似的架构,其中UE和BSF(或者等同物)建立共享密钥,以及UE与NAF之间所使用的安全机制采用从那个密钥所得出的第二密钥。
Claims (58)
1.一种保护网络应用功能NAF与连接到网络的用户设备UE之间的会话的方法,其中使用通用引导架构GBA或基本上相似架构向所述NAF指配NAF标识符NAF_id,所述方法包括:
建立所述UE与所述NAF之间的共享第一秘密(S7.1);
从所述UE向所述NAF传递包含引导事务标识符的应用请求(S7.2);
从所述NAF向引导服务器功能BSF传递包含所述引导事务标识符、所述NAF_id以及从所述第一秘密所得出的信息的认证请求(S7.4);
通过使用修改的参数代替或附加于密钥推导函数中的原始参数,在所述BSF和所述UE中确定NAF密钥Ks_NAF,所述修改的参数从所述第一秘密以及所述密钥推导函数的所述原始参数得出(S7.5);
从所述BSF向所述NAF传送所述NAF密钥(S7.6);
利用所述NAF密钥来保护所述NAF与所述UE之间的通信(S7.7)。
2.如权利要求1所述的方法,其中,所述原始参数是所述NAF_id,并且所述修改的参数是修改的NAF_id(S8.3),以及所述认证请求包含所述修改的NAF_id,所述修改的NAF_id包含所述NAF_id以及从所述第一秘密所得出的信息(S8.4)。
3.如权利要求1或2所述的方法,其中,所述UE和所述NAF进行协商,以便建立另一个或多个共享安全参数,所述协商基于所述NAF密钥来保护(S7.7)。
4.如权利要求3所述的方法,其中,所述另一个或多个安全参数基于所述第一秘密建立。
5.如权利要求1至4中的任一项所述的方法,其中,第二秘密在所述NAF与所述UE的用户之间先前建立,并且其中建立所述UE与所述NAF之间的所述第一秘密包括:
所述用户将所述第二秘密或者由此所得出的信息输入所述UE;以及
所述UE从所述第二秘密得出所述第一秘密。
6.如权利要求1至4中的任一项所述的方法,其中,第三秘密在所述NAF与所述某个其它设备之间先前建立,并且其中建立所述UE与所述NAF之间的所述第一秘密包括:
所述其它设备向所述UE传送所述第三秘密或者由此所得出的信息;以及
所述UE从所述第三秘密得出所述第一秘密。
7.如权利要求6所述的方法,其中,所述其它设备是能够与所述UE进行通信的医疗监护设备。
8.如权利要求6或7所述的方法,其中,所述其它设备和所述NAF进行协商,以便建立另一个或多个共享安全参数,所述协商经由所述UE转播,并且至少所述UE与NAF之间的所述通信基于所述NAF密钥来保护。
9.如权利要求8所述的方法,其中,所述另一个或多个共享安全参数基于所述第三秘密建立。
10.如权利要求1至9中的任一项所述的方法,其中,从所述第一秘密所得出的所述信息是所述第一秘密(S7.3.1)。
11.如权利要求1至9中的任一项所述的方法,其中,从所述第一秘密所得出的所述信息是应用于所述第一秘密(S7.3.2)以及可选地所述引导事务标识符的密码哈希函数的结果。
12.如权利要求1至9中的任一项所述的方法,包括:
在所述UE处生成随机数,以及
将所述随机数传递给所述NAF(S7.2.1),以及
其中从所述第一秘密所得出的所述信息是应用于所述第一秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
13.如权利要求1至9中的任一项所述的方法,包括:
在所述NAF处生成随机数,以及
将所述随机数传递给所述UE(S7.2.1);以及
其中从所述第一秘密所得出的所述信息是应用于所述第一秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
14.一种配置成作为在实现通用引导架构GBA或基本上相似架构的网络中使用的移动设备ME进行操作的设备(500),所述设备包括:
第一发送器(58),用于向引导服务器功能BSF发送认证请求;
第一接收器(59),用于从所述BSF接收密钥资料和引导事务标识符;
第一接口,配置成提供对存储器模块(56)的访问,所述存储器模块(56)用于存储所述密钥资料、所述引导事务标识符、所述设备与所述BSF之间共享的BSF密钥(Ks)以及所述设备与网络应用功能NAF之间共享的秘密;
第二发送器(51),用于向所述NAF发送包含所述引导事务标识符的应用请求;
第二接口,配置成提供对第一处理器(52)的访问,所述第一处理器(52)用于从所述秘密和密钥推导函数的原始参数得出至少一个修改的参数;
第三接口,配置成提供对第二处理器(53)的访问,所述第二处理器(53)用于使用所述至少一个修改的参数代替或附加于所述密钥推导函数中的所述原始参数来确定密码密钥,并且使用所述密钥来保护与所述NAF的后续通信。
15.如权利要求14所述的设备,以及包括:
第四接口,配置成提供对第三处理器(512)的访问,所述第三处理器(512)用于与所述NAF进行协商,以便建立另一个或多个共享安全参数,所述协商基于所述密钥来保护。
16.如权利要求15所述的设备,其中,所述另一个或多个共享安全参数基于所述共享秘密来建立。
17.如权利要求15或16所述的设备,其中,所述设备包括所述第三处理器。
18.如权利要求14至17中的任一项所述的设备,其中,所述设备包括所述存储器模块。
19.如权利要求14至18中的任一项所述的设备,其中,所述设备包括所述第一处理器。
20.如权利要求14至19中的任一项所述的设备,其中,所述设备包括所述第二处理器。
21.如权利要求14至20中的任一项所述的设备,其中,所述接口的一个或多个配置成连接到通用集成电路卡(UICC)。
22.如权利要求14至21中的任一项所述的设备,其中,所述原始参数是指配给所述NAF的NAF标识符NAF_id,以及所述修改的参数是修改的NAF_id。
23.如权利要求14至22中的任一项所述的设备,其中,所述第一处理器(52)配置成通过将所述原始参数与所述秘密级联来确定所述修改的参数。
24.如权利要求14至22中的任一项所述的设备,其中,所述第一处理器(52)包括:
第一子处理器(510),配置成对所述秘密执行密码哈希函数;以及
第二子处理器(511),配置成通过将所述原始参数与所述密码哈希函数的结果级联来确定所述修改的参数。
25.如权利要求14至24中的任一项所述的设备,以及包括:
输入装置(54),用于允许用户输入与所述秘密相关的信息;以及
第四处理器(513),用于从所述信息确定所述秘密,并且将所述秘密或者从所述秘密所得出的结果存储在存储器中。
26.如权利要求14至23中的任一项所述的设备,以及包括:
接收器(55),用于从某个其它设备接收与所述秘密相关的信息;以及
第四处理器(513),用于从所述信息确定所述秘密,并且将所述秘密或者从所述秘密所得出的结果存储在存储器中。
27.一种配置成作为在实现通用引导架构GBA或基本上相似架构的网络中使用的网络应用功能NAF进行操作的设备(400),所述设备包括:
存储器(45),用于存储指配给所述设备的NAF标识符NAF_id以及连接到所述网络的装置与所述设备之间共享的秘密;
第一接收器(41),用于与所述装置进行通信,以便接收来自所述装置的应用请求,所述请求包含引导事务标识符;
第一处理器(42),用于从所述秘密得出信息;
发送器(43),用于向引导服务器功能BSF传递包含从所述秘密所得出的所述信息、所述NAF_id和所述引导事务标识符的认证请求;
第二接收器(44),用于从所述BSF接收密钥Ks_NAF;以及
第二处理器(47),用于使用所述密钥作为保护与所述装置的通信的基础。
28.如权利要求27所述的设备,以及包括用于通过组合所述NAF_id和从所述秘密所得出的所述信息来确定修改的NAF_id的第三处理器(49),其中所述认证请求包含所述修改的NAF_id。
29.如权利要求27或28所述的设备,以及包括:
第四处理器(48),用于与所述装置进行协商,以便建立另一个或多个共享安全参数,所述协商基于所述密钥来保护。
30.如权利要求29所述的设备,其中,所述另一个或多个共享安全参数基于所述共享秘密来建立。
31.如权利要求27至30中的任一项所述的设备,其中,所述第一处理器配置成将从所述秘密所得出的所述信息设置成等于所述秘密。
32.如权利要求27至30中的任一项所述的设备,其中,所述第一处理器配置成通过对所述秘密以及可选地所述引导事务标识符或随机数之一或两者执行密码哈希函数,从所述秘密得出所述信息。
33.一种如权利要求14至32中的任一项所述的设备,其在车辆中使用。
34.一种配置成作为在实现通用引导架构GBA或基本上相似架构的网络中使用的引导服务器功能BSF进行操作的设备,所述设备包括:
接收器,用于从网络应用功能NAF接收包含引导事务标识符、NAF标识符NAF_id以及与秘密有关的信息的认证请求;
第一处理器,用于通过使用从与所述秘密有关的所述信息以及密钥推导函数的原始参数所得出的修改的参数代替或附加于所述密钥推导函数中的所述原始参数,来确定NAF密钥Ks_NAF;以及
传送器,用于将所述NAF密钥从所述BSF传送给所述NAF。
35.如权利要求34所述的设备,其中,所述原始参数是所述NAF_id,所述修改的参数是修改的NAF_id,以及所述认证请求包含所述修改的NAF_id,所述修改的NAF_id包含所述NAF_id以及与所述秘密有关的信息。
36.如权利要求34所述的设备,以及包括用于从与所述秘密有关的所述信息以及所述密钥推导函数的所述原始参数确定所述修改的参数的第二处理器。
37.一种使用所述通用引导架构GBA操作用户设备UE的方法,所述方法包括:
建立所述UE与网络应用功能NAF之间的共享秘密(S7.1);
向引导服务器功能BSF发送认证请求;
从所述BSF接收密钥资料和引导事务标识符;
向所述NAF发送包含所述引导事务标识符的应用请求(S7.2);
从所述秘密和密钥推导函数的原始参数得出修改的参数;
使用所述修改的参数代替或附加于所述密钥推导函数中的所述原始参数来确定密码密钥(S7.4);以及
使用所述密钥来保护与所述NAF的通信(S7.7)。
38.如权利要求37所述的方法,其中,所述原始参数是NAF_id,以及所述修改的参数是修改的NAF_id(S7.4)。
39.如权利要求37或38所述的方法,以及包括:
与所述NAF进行协商,以便建立另一个或多个共享安全参数,所述协商基于所述密钥来保护(S7.8)。
40.如权利要求39所述的方法,其中,所述另一个或多个共享安全参数基于所述共享秘密来建立。
41.如权利要求37至40中的任一项所述的方法,其中,从所述秘密所得出的所述信息是所述秘密(S7.3.1)。
42.如权利要求37至40中的任一项所述的方法,其中,从所述秘密所得出的所述信息是应用于所述秘密(S7.3.2)以及可选地所述引导事务标识符的密码哈希函数的结果。
43.如权利要求37至40中的任一项所述的方法,包括:
生成随机数;以及
将所述随机数发送给所述NAF(S7.2.1);以及
其中从所述秘密所得出的所述信息是应用于所述秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
44.如权利要求37至40中的任一项所述的方法,包括:
从所述NAF接收随机数(S7.2.1);以及
其中从所述秘密所得出的所述信息是应用于所述秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
45.一种操作网络应用功能NAF的方法,其中使用所述通用引导架构GBA或基本上相似架构向所述NAF指配NAF标识符NAF_id,所述方法包括:
建立装置与所述NAF之间的共享秘密(S7.1);
从所述装置接收包含引导事务标识符的应用请求(S7.2);
向引导服务器功能BSF发送包含所述引导事务标识符以及所述NAF_id和从所述秘密所得出的信息的认证请求(S7.4);
从所述BSF接收NAF密钥(S7.6);以及
利用所述NAF密钥来保护与所述装置的通信(S7.7)。
46.如权利要求45所述的方法,其中,所述认证请求包含修改的NAF_id,所述修改的NAF_id是所述NAF_id和从所述秘密所得出的所述信息的级联。
47.如权利要求45或46所述的方法,以及包括:
与所述装置进行协商,以便建立另一个或多个共享安全参数,所述协商基于所述NAF密钥来保护。
48.如权利要求47所述的方法,其中,所述一个或多个安全参数基于所述共享秘密建立。
49.如权利要求45至48中的任一项所述的方法,其中,从所述秘密所得出的所述信息是所述秘密。
50.如权利要求45至48中的任一项所述的方法,其中,从所述秘密所得出的所述信息是应用于所述秘密以及可选地所述引导事务标识符的密码哈希函数的结果。
51.如权利要求45至48中的任一项所述的方法,包括:
从所述装置接收随机数(S7.2.1);以及
其中从所述秘密所得出的所述信息是应用于所述秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
52.如权利要求45至48中的任一项所述的方法,包括:
生成随机数;以及
将所述随机数发送给所述装置(S7.2.1);以及
其中从所述秘密所得出的信息是应用于所述秘密和所述随机数(S7.3.4)以及可选地所述引导事务标识符的密码哈希函数的结果。
53.如权利要求37至52中的任一项所述的方法,其中,所述方法在车辆中执行。
54.一种使用通用引导架构GBA或基本上相似架构来操作引导服务器功能BSF的方法,所述方法包括:
从网络应用功能NAF接收包含引导事务标识符、NAF标识符NAF_id以及与秘密有关的信息的认证请求(S7.4);
通过使用从与所述秘密有关的所述信息以及密钥推导函数的原始参数所得出的修改的参数代替或附加于所述密钥推导函数中的所述原始参数,来确定NAF密钥Ks_NAF(S7.5);以及
从所述BSF向所述NAF传送所述NAF密钥(S7.6)。
55.如权利要求54所述的方法,其中,所述原始参数是所述NAF_id,所述修改的参数是修改的NAF_id,以及所述认证请求包含所述修改的NAF_id,所述修改的NAF_id包含所述NAF_id以及与所述秘密有关的信息。
56.如权利要求54所述的方法,以及包括,在确定所述NAF密钥之前:从与所述秘密有关的所述信息以及所述密钥推导函数的所述原始参数来确定所述修改的参数。
57.一种包括计算机可读代码的计算机程序,所述计算机可读代码在设备上运行时使所述设备表现为如权利要求14至36中的任一项所述的设备。
58.一种包括计算机可读介质61和计算机程序的计算机程序产品,其中所述计算机程序包括计算机可读代码62,所述计算机可读代码62在设备上运行时使所述设备表现为如权利要求14至36中的任一项所述的设备,并且所述计算机程序存储在所述计算机可读介质上。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2012/071354 WO2014067543A1 (en) | 2012-10-29 | 2012-10-29 | Method and apparatus for securing a connection in a communications network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104756458A true CN104756458A (zh) | 2015-07-01 |
CN104756458B CN104756458B (zh) | 2018-07-10 |
Family
ID=47297113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280076736.6A Active CN104756458B (zh) | 2012-10-29 | 2012-10-29 | 用于保护通信网络中的连接的方法和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9693226B2 (zh) |
EP (1) | EP2912815B1 (zh) |
CN (1) | CN104756458B (zh) |
BR (1) | BR112012033255A2 (zh) |
WO (1) | WO2014067543A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411507A (zh) * | 2016-09-23 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种密钥生成方法及装置 |
CN108353259A (zh) * | 2015-11-24 | 2018-07-31 | 瑞典爱立信有限公司 | 对于匿名化的网络服务利用的计费记录鉴别 |
CN108702615A (zh) * | 2016-02-12 | 2018-10-23 | 瑞典爱立信有限公司 | 保护接口以及用于建立安全通信链路的过程 |
CN110830240A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
CN112602288A (zh) * | 2018-07-04 | 2021-04-02 | 维亚塞斯公司 | 用于获得加密密钥序列的方法 |
CN114584289A (zh) * | 2020-12-01 | 2022-06-03 | 中国电信股份有限公司 | 生成密钥的方法及相关设备 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2785011A1 (en) * | 2013-03-27 | 2014-10-01 | Gemalto SA | Method to establish a secure voice communication using generic bootstrapping architecture |
DE102013227087A1 (de) * | 2013-12-23 | 2015-06-25 | Siemens Aktiengesellschaft | Gesichertes Bereitstellen eines Schlüssels |
US20160234176A1 (en) * | 2015-02-06 | 2016-08-11 | Samsung Electronics Co., Ltd. | Electronic device and data transmission method thereof |
CN106487501B (zh) * | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
WO2017039166A1 (ko) * | 2015-09-01 | 2017-03-09 | 엘지전자 주식회사 | 채널 상태 보고 방법 및 이를 위한 장치 |
EP3139649A1 (en) | 2015-09-04 | 2017-03-08 | Gemalto Sa | Method to authenticate a subscriber in a local network |
WO2019108100A1 (en) * | 2017-11-29 | 2019-06-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Session key establishment |
WO2020094475A1 (en) * | 2018-11-05 | 2020-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication and key agreement for a terminal device |
EP3912375A4 (en) * | 2019-01-14 | 2022-08-24 | Telefonaktiebolaget LM Ericsson (publ) | METHOD AND DEVICE FOR SAFETY |
CN113015159B (zh) * | 2019-12-03 | 2023-05-09 | ***通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007063420A3 (en) * | 2005-12-01 | 2007-09-13 | Nokia Corp | Authentication in communications networks |
CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
CN102238540A (zh) * | 2010-04-27 | 2011-11-09 | ***通信集团公司 | 通用引导架构密钥更新的方法、装置与*** |
US20120254959A1 (en) * | 2010-09-20 | 2012-10-04 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2597475C (en) * | 2005-02-04 | 2012-09-18 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
KR20070100932A (ko) * | 2005-02-11 | 2007-10-12 | 노키아 코포레이션 | 통신 네트워크에서 부트스트랩 절차를 제공하기 위한 방법및 장치 |
CA2610947A1 (en) * | 2005-07-07 | 2007-01-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for authentication and privacy |
US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
CN101102186B (zh) * | 2006-07-04 | 2012-01-04 | 华为技术有限公司 | 通用鉴权框架推送业务实现方法 |
WO2008151663A1 (en) | 2007-06-12 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for authentication and reauthentication of a user with first and second authentication procedures |
WO2009106091A1 (en) | 2008-02-25 | 2009-09-03 | Nokia Siemens Networks Oy | Secure bootstrapping architecture method based on password-based digest authentication |
CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
CN102595389B (zh) * | 2011-01-14 | 2017-11-03 | 中兴通讯股份有限公司 | 一种mtc服务器共享密钥的方法及*** |
FR2973637A1 (fr) * | 2011-03-31 | 2012-10-05 | France Telecom | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
SG11201401950PA (en) * | 2011-10-31 | 2014-09-26 | Nokia Corp | Security mechanism for external code |
CN104247485B (zh) * | 2012-04-26 | 2019-02-05 | 瑞典爱立信有限公司 | 在通用自举架构中的网络应用功能授权 |
-
2012
- 2012-10-29 EP EP12797730.4A patent/EP2912815B1/en active Active
- 2012-10-29 BR BR112012033255A patent/BR112012033255A2/pt active Search and Examination
- 2012-10-29 WO PCT/EP2012/071354 patent/WO2014067543A1/en active Application Filing
- 2012-10-29 CN CN201280076736.6A patent/CN104756458B/zh active Active
- 2012-10-29 US US14/437,261 patent/US9693226B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
WO2007063420A3 (en) * | 2005-12-01 | 2007-09-13 | Nokia Corp | Authentication in communications networks |
CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
CN102238540A (zh) * | 2010-04-27 | 2011-11-09 | ***通信集团公司 | 通用引导架构密钥更新的方法、装置与*** |
US20120254959A1 (en) * | 2010-09-20 | 2012-10-04 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108353259A (zh) * | 2015-11-24 | 2018-07-31 | 瑞典爱立信有限公司 | 对于匿名化的网络服务利用的计费记录鉴别 |
CN108353259B (zh) * | 2015-11-24 | 2021-02-02 | 瑞典爱立信有限公司 | 对匿名化网络服务利用进行计费记录鉴别的方法和装置 |
CN108702615A (zh) * | 2016-02-12 | 2018-10-23 | 瑞典爱立信有限公司 | 保护接口以及用于建立安全通信链路的过程 |
CN106411507A (zh) * | 2016-09-23 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种密钥生成方法及装置 |
CN112602288A (zh) * | 2018-07-04 | 2021-04-02 | 维亚塞斯公司 | 用于获得加密密钥序列的方法 |
CN110830240A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
CN110830240B (zh) * | 2018-08-09 | 2023-02-24 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
CN114584289A (zh) * | 2020-12-01 | 2022-06-03 | 中国电信股份有限公司 | 生成密钥的方法及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
BR112012033255A2 (pt) | 2017-11-28 |
US9693226B2 (en) | 2017-06-27 |
WO2014067543A1 (en) | 2014-05-08 |
CN104756458B (zh) | 2018-07-10 |
EP2912815B1 (en) | 2016-06-29 |
EP2912815A1 (en) | 2015-09-02 |
US20150281958A1 (en) | 2015-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104756458A (zh) | 用于保护通信网络中的连接的方法和设备 | |
EP2039199B1 (en) | User equipment credential system | |
CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
CN110858969A (zh) | 客户端注册方法、装置及*** | |
CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及*** | |
US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
CN106411926B (zh) | 一种数据加密通信方法及*** | |
CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
CN113518348B (zh) | 业务处理方法、装置、***及存储介质 | |
KR20100134745A (ko) | 분산형 아이덴티피케이션을 위한 방법, 네트워크 내의 스테이션 | |
CN105099690A (zh) | 一种移动云计算环境下基于otp和用户行为的认证授权方法 | |
CN112311543B (zh) | Gba的密钥生成方法、终端和naf网元 | |
CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
Chen et al. | A privacy protection user authentication and key agreement scheme tailored for the Internet of Things environment: PriAuth | |
CN108809633A (zh) | 一种身份认证的方法、装置及*** | |
CN104243452B (zh) | 一种云计算访问控制方法及*** | |
CN109698746A (zh) | 基于主密钥协商生成绑定设备的子密钥的方法和*** | |
Park et al. | Inter-authentication and session key sharing procedure for secure M2M/IoT environment | |
CN101990201A (zh) | 生成gba密钥的方法及其***和设备 | |
CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
KR20190038632A (ko) | 제 2 통신 장치를 이용한 제 1 통신 장치의 프로비저닝 방법 | |
CN104243435A (zh) | 一种基于OAuth的HTTP协议的通讯方法 | |
KR101509079B1 (ko) | 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법 | |
CN111181730A (zh) | 用户身份生成及更新方法和装置、存储介质和节点设备 | |
CN102202291A (zh) | 无卡终端及其业务访问方法及***、有卡终端及bsf |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |