CN108028829A - 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 - Google Patents

用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 Download PDF

Info

Publication number
CN108028829A
CN108028829A CN201580082851.8A CN201580082851A CN108028829A CN 108028829 A CN108028829 A CN 108028829A CN 201580082851 A CN201580082851 A CN 201580082851A CN 108028829 A CN108028829 A CN 108028829A
Authority
CN
China
Prior art keywords
network
authentication
identifier
wireless device
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201580082851.8A
Other languages
English (en)
Inventor
珀尔·斯塔赫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN108028829A publication Critical patent/CN108028829A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开提供了一种在无线设备60中执行的方法,该方法用于获得对网络700、800的初始接入以建立向连接到网络700、800的服务器80的连接。无线设备60存储设备公钥和设备私钥。服务器80存储设备公钥。该方法包括向网络700、800的网络节点70发送S1初始接入请求,并从网络节点70接收S2认证请求,认证请求包括质询。该方法包括基于质询和设备公钥生成S4设备认证符,并向网络节点70发送S5认证响应。认证响应包括设备认证符。该方法包括从网络节点70接收S6初始接入响应,初始接入响应包括指示初始接入是被准许还是拒绝的指示符。

Description

用于获得对网络的初始接入的方法以及相关的无线设备和网 络节点
技术领域
本公开涉及安全性,且具体涉及初始网络接入。更具体地,本公开涉及用于获得对网络的初始接入的方法,并且涉及相关的无线设备和网络节点。
背景技术
预计2020年将有500亿台设备连接到互联网,其中连接了诸如传感器、灯泡等无线设备的物联网(IoT)将会是连接设备的主要部分。
安全对于这些无线设备非常重要。例如,确保从传感器传送的数据最终到达正确的地方中并且没有被篡改,且来自这些传感器的敏感数据不被暴露,这一点非常重要。
另一个例子是需要防止篡改发往和来自诸如门锁或起搏器之类的控制设备的数据,对于这些控制设备,篡改可能对人的财产或健康产生严重后果。不仅无线设备本身和无线设备提供的服务应受到保护(例如,保护无线设备与无线设备向其传送敏感传感器数据的服务器之间的通信),而且设备管理(例如,设备的软件更新和配置)以及服务注册和启用需要以安全的方式处理。因此,防止中间人操纵SW,将无线设备置于有故障/不安全的配置中,或使无线设备注册到流氓服务器非常重要。
在IoT中,无线设备通常是具有有限的计算和通信功率和存储器的受限设备。对于这样的无线设备,已经在各种标准化论坛中提出了若干标准。这些标准中的一个标准是轻量机器对机器LwM2M协议,该协议为受限无线设备的引导、注册、管理、服务启用和信息报告提供了手段。LwM2M协议运行在受限应用协议CoAP之上,CoAP是由IETF标准化的针对受限设备的表示状态转移(REST)应用协议。LwM2M和CoAP都要求将数据报传输层安全(DTLS)用于安全通信,包括无线设备和服务器(引导服务器、设备管理服务器或数据报告服务器)之间的相互认证。
CoAP和LwM2M规范描述了要使用DTLS的三种模式,并规定了要使用的强制DTLS密码套件:
·具有预共享密钥的DTLS:使用无线设备和服务器之间的预共享密钥。
·具有原公钥密钥(RPK)模式下的公钥和私钥对的DTLS:无线设备和服务器都有单独的公-私椭圆曲线密码密钥对用于相互认证,并且RPK格式用于在IoT设备和服务器之间传递密钥以避免证书,并节省无线设备中的存储器和处理能力。
·具有证书的DTLS:无线设备和服务器都具有单独的公-私椭圆曲线密码密钥对和证明其公钥的对应证书。私钥和证书用于相互认证。
为了允许受限无线设备以这些模式中的任何模式与不同服务器建立DTLS会话,有必要向受限无线设备提供凭证,例如预共享密钥,公钥-私钥对以及证书。然而,受限无线设备通常很缺乏接口和显示使得拥有该设备的用户/企业能够使用凭证来手动配置无线设备。通常,唯一的接口是网络接口。在许多情况下,用户/企业购买数百或数千个无线设备,然后对每个设备的手动配置太耗时。通常,无线设备可能已经在无线设备的制造商处被预先配置有一些凭证,但仍然需要被提供以具有支持无线设备在用户/企业网络中安全地操作的设备凭证。
然而,为了安全地获得设备凭证,无线设备需要获得对通信网络(例如,LTE网络)的初始网络接入,以使得能够连接到企业网络。为了保证初始网络接入的安全,网络至少需要使用接入网络认证协议来认证无线设备。根据所接入网络的类型,存在许多不同的接入网络认证协议。实现这种安全连接的协议需要尽可能地轻量,以被IoT中的无线设备所支持,并且需要与各种网络互操作。
WO2008/128873提供了方法和***,其允许移动设备制造商预先配置移动设备以向任何能够接入集中式设备目录服务器的网络运营商进行预订。目录服务器存储设备记录,每个设备记录包括初步预订标识。制造商使用这些初步预订标识各自提供新的移动设备,网络运营商通过向目录服务器提交请求,使其将个人设备记录与适当的凭证服务器地址相链接,以初步注册订户。移动设备通过提交它们的初步预订标识来获得临时网络接入,该初步预订标识被传递给目录服务器进行验证。继而,目录服务器生成给予移动设备临时网络接入的认证向量,并返回适当的凭证服务器地址。移动设备使用该地址信息来提交请求永久预订凭证的安全请求,并且所涉及的凭证服务器响应于有效请求安全地返回永久预订凭证。具有专用的初步或临时密码材料是资源受到限制且密码材料的数量或数目保持最小的无线设备的次优解决方案。WO2008/128873仅涉及无线设备对蜂窝***的初始网络接入,并且不处理跨各种网络的交互。
因此,需要为无线设备提供对各种网络的初始接入的轻量安全协议。
发明内容
本公开的目的在于,提供以单独或任何组合的形式来缓解、减轻或消除现有技术中的上述一个或多个缺陷和缺点的方法、无线设备和服务器。
该目标通过在无线设备中执行的方法而获得,该方法用于获得对网络的初始接入以建立向连接到网络的服务器的连接。无线设备存储设备公钥和设备私钥。服务器存储设备公钥。该方法包括向网络的网络节点发送初始接入请求,并从网络节点接收认证请求,认证请求包括质询。该方法包括基于质询和设备公钥生成设备认证符,并向网络节点发送认证响应。认证响应包括设备认证符。该方法包括从网络节点接收初始接入响应,初始接入响应包括初始接入是被准许还是拒绝的指示符。
本公开提供了一种轻量技术,用于使用已经提供且未暴露的设备公钥作为共享秘密来为附着到网络的无线设备获得初始网络接入,该网络可以是归属网络或访问网络。因此不需要专门用于获得初始网络接入的临时/初步密码材料。因而,无线设备可以减少用于存储密码材料的存储器使用,并且仅存储设备公钥和设备私钥,并仍然获得对(归属或访问)网络的初始接入,使得能够例如被提供永久网络接入凭证。
该目标还通过在网络节点中执行的用于向无线设备提供初始网络接入的方法来获得。网络节点连接到第二服务器和存储无线设备的设备公钥的第一服务器。方法包括从无线设备接收初始接入请求;以及确定无线设备的设备网络标识符。方法包括从第二服务器获得与设备网络标识符相对应的认证数据。认证数据包括质询。方法包括向无线设备发送认证请求。认证请求包括质询。方法包括从无线设备接收认证响应。认证响应包括设备认证符。方法包括基于设备认证符和认证数据来验证接收到的认证响应;以及在成功验证时:向无线设备发送初始接入响应。
本公开的优点是,网络节点能够以几乎相同的方式操作并且通过从第二服务器获得认证数据来适应本文公开的无线设备,因此能够认证本文公开的无线设备以进行初始接入。此外,所公开的网络节点方法允许无线设备根据网络是归属网络还是访问网络,是无线局域网还是蜂窝网络来独立地请求并获得对各种网络的初始接入。
本文还公开了无线设备。无线设备包括被配置为与服务器和网络节点通信的接口、其上存储有设备公钥和设备私钥的存储单元以及被配置为经由接口向网络的网络节点发送初始接入请求的处理器。处理器被配置为经由接口从网络节点接收认证请求。认证请求包括质询。处理器被配置为基于质询和设备公钥生成设备认证符,并经由接口向网络节点发送认证响应。认证响应包括设备认证符。处理器被配置为经由接口从网络节点接收初始接入响应。初始接入响应包括指示初始接入是被准许还是拒绝的指示符。
本公开还涉及用于无线设备到网络的初始接入的网络节点。网络节点包括:被配置为与无线设备通信的第一接口,以及被配置为与第二服务器和存储无线设备的设备公钥的第一服务器通信的第二接口。网络节点包括存储单元和处理器,处理器被配置为经由第一接口从无线设备接收初始接入请求。处理器被配置为确定无线设备的设备网络标识符;以及经由第二接口从第二服务器获得与设备网络标识符相对应的认证数据。认证数据包括质询。处理器被配置为经由第一接口向无线设备发送认证请求。认证请求包括质询。处理器被配置为经由第一接口从无线设备接收认证响应。认证响应包括设备认证符。处理器被配置为基于设备认证符和认证数据来验证接收到的认证响应;以及在成功验证时:经由第一接口向无线设备发送初始接入响应。
除了上述方法、无线设备和网络节点之外,本文还提供了包括计算机程序代码的计算机程序,所述计算机程序代码当在无线设备中执行时使得组件执行根据本教导的方法。
除了上述方法之外,本文还提供了包括计算机程序代码的计算机程序,所述计算机程序代码当在网络节点中执行时使网络节点执行根据本教导的方法。
计算机程序、无线设备和网络节点提供了与已经关于方法描述的优点相对应的优点。
附图说明
从如附图所示的以下示例实施例的更具体的描述中,以上将变得显而易见,在不同视图中附图中的类似的参考符号指代相同的部件。附图不一定按比例绘制,而是侧重于说明示例实施例。
图1是示出根据本公开的示例性***的示例性无线设备、示例***器和示例性网络节点的***图。
图2是示出根据本公开的在无线设备中执行的示例性方法的流程图。
图3是示出根据本公开的在网络节点中执行的示例性方法的流程图。
图4是示出根据本公开的示例性无线设备的框图。
图5是示出根据本公开的示例性网络节点的框图。
图6是示出根据本公开的用于无线设备的初始网络接入的示例性消息交换的信令图。
图7是示出根据本公开的用于设备标识的示例***换的信令图。
图8是示出根据本公开的用于设备标识的另一示例***换的信令图。
具体实施方式
本教导涉及用于实现从网络向无线设备安全提供凭证的方法;以及涉及相关的无线设备和网络节点。
本技术适用于需要轻量且安全的初始网络接入以使得能够例如获得设备凭证的任何电子***以及任何无线通信***。
根据不同方面将本文涉及的各种组件实现为例如专用集成电路(ASIC)、现场可编程逻辑阵列(FPGA)或通用处理器。
如背景技术部分所述,当企业或用户从制造商/零售商购买大量无线设备时,无线设备很可能在制造时预先配置有一些凭证,例如设备公钥和私钥对。企业例如在某些电子介质(例如CD)上获得所有所购买的无线设备的公钥和标识符的列表。在该示例中假定凭证将被提供用于引导目的。由于凭证(例如企业引导服务器(BS)的URL和用于与企业BS的安全通信的密钥/证书)在制造时是未知的,所以制造商无法在制造时将这些凭证提供到无线设备中。因此制造商能够在制造时向无线设备提供仅以下凭证:设备公钥和私钥对,和/或制造商BS的URL。当无线设备由企业首次启动时,无线设备从其存储器中获取制造商BS的URL,并尝试连接到制造商BS。但是,为了能够与任何服务器连接,无线设备必须获得对其附近可用的网络的初始接入。对于某些无线设备,预计使用无线设备中包含的低功耗蜂窝调制解调器来得到公共网络接入。为了降低成本,这种无线设备不太可能具有订户标识模块(SIM)卡或甚至嵌入式通用集成电路卡(eUICC)或嵌入式SIM。无线设备可能支持在无线设备的主处理器上运行的软SIM实现,即SIM的软件实现,并且该实现的安全敏感部分可能在安全/可信环境中运行。这种实现的示例是机器通信识别模块(MCIM)。相关场景例如是:当一组无线设备完全由企业拥有和管理时,并且企业自己运行其自己的位置寄存器并且可以被视为无线设备的“本地”运营商,该“本地”运营商具有与一个或多个移动网络运营商(MNO)的漫游协议,用于无线设备获得初始网络接入,例如蜂窝接入或无线局域网(WLAN)接入。
背景技术部分介绍的WO2008/128873提供了方法和***,其允许移动设备制造商预先配置移动设备以向任何能够接入集中式设备目录服务器的网络运营商进行预订。然而,WO2008/128873需要全球组织来设置和管理目录服务器,生成初步预订细节并填充目录服务器数据库,并向移动设备制造商提供初步预订细节。在设备制造之前向设备制造商提供初步预订细节是想要购买数百或数千设备并且具有初始网络接入解决方案的企业的问题。特别是如果企业想要通过零售商购买通用配置的设备,而不是直接从制造商购买特定定制设备(具有初步预订细节),其中,后者可能要昂贵得多。另外,要在IoT中使用的无线设备通常是资源受限的。因此,具有用于初始网络接入的单一目的的专用/定制初步预订细节代表了存储器的非最优使用。
为了保证无线设备的初始网络接入的安全,网络至少需要使用接入网络认证协议来认证无线设备。有许多不同的接入网络认证协议,由不同类型的接入网络(例如蜂窝网络、WLAN)来使用。
为了接入不同类型的网络,必须为无线设备提供允许执行针对第三代合作伙伴计划、基于3GPP的蜂窝网络接入和/或针对WLAN接入协议的各种接入网络认证(例如UMTS认证和密钥交换协议、AKA、GSM AKA和可扩展认证协议(EAP))的凭证和算法。
本公开提出使用设备公钥作为共享秘密来执行网络认证协议以获得初始网络接入。由于设备公钥在发起网络接入时尚未暴露于其他设备(当然,该无线设备和企业BS除外)或公众(即尚未被公开或公开可用),设备公钥可以用作无线设备与正被接入的网络的网络节点之间的共享秘密。在获得初始接入并保证向无线设备传送凭证的安全之后,设备公钥可以用作公开可用的设备公钥(并被暴露)。在不知道设备公钥的情况下,攻击者无法欺骗网络节点接受流氓无线设备。在不知道设备公钥的情况下,攻击者无法欺骗设备接受恶意网络节点并从而执行中间人攻击。
所提出的技术也适用于保护尝试接入网络的无线设备与例如用于引导的服务器的通信。因此,本公开允许使用已经初始提供的材料(即设备公钥)作为共享秘密来独立于网络的性质(即,蜂窝或WLAN)获得对网络节点的初始接入。这还实现了安全的设备管理,例如从BS服务器向无线设备安全地提供凭证,同时保持用于存储凭证的减少的存储器使用。这为制造商提供了制造无线设备的灵活性,因为制造商在制造交付给企业的无线设备时既不必提供网络接入凭证,也不必提供企业凭证或制造商凭证以保护经由网络节点与服务器的通信的安全。因此,这允许提供和使用通用配置的设备。
以下将参考附图更全面地描述本公开的方面。然而,本文公开的方法、无线设备和网络节点可以按多种不同形式来实现,并且不应当被理解为限于本文阐述的方面。贯穿附图,附图中类似的附图标记表示类似的元件。
本文中使用的术语仅用于描述本公开的特定方案的目的,而不是为了限制本发明。如本文中使用的,单数形式“一”,“一个”和“所述”意在还包括复数形式,除非上下文明确地给出相反的指示。
如本文所使用的,术语“凭证”是指有助于建立通信方的标识,保护到该通信方的通信的安全,接入资源(例如网络、服务器)的密码材料。凭证包含安全凭证,例如引导凭证。凭证可以由可信第三方发放或自行发放。凭证例如是证书、密码密钥、生物测定、标识符和/或密码。密钥的例子包括公钥、私钥和/或对称密钥。
本技术适用于基于共享密钥的任何认证和密钥协商协议,根据本公开,该协议适于使用尚未暴露的设备公钥作为共享密钥。
本技术适用于基于共享密钥的任何EAP协议,例如具有预共享密钥的EAP(EAP-PSK)、EAP-传输层安全性(TLS)、具有预共享密钥的协议(EAP-AKA)和/或用于GSM订户标识模块的EAP(EAP-SIM),并适用于将EAP用于网络接入认证的任何网络(无线的或非无线的)。可以使用EAP协议的无线网络的示例是WLAN、蜂窝网络和IEEE 802.15.4。图1示出对根据本公开的示例性***100进行示出的***图。***100包括根据本公开的无线设备60、标识注册器90和示例性(第一)服务器80以及示例性第二服务器81。可选地,***100包括附加的无线设备60a。
在本公开中,本文使用的术语“无线设备”是指具有无线通信能力以及存储器和计算能力的设备。无线设备包括例如用户设备、移动终端或固定终端。无线设备可以是包括通用集成电路卡和/或可信执行环境的设备,通用集成电路卡被配置为进行通信,可信执行环境被配置为存储凭证并在认证过程中进行支持。
根据本公开的一些方面,无线设备60是资源受限设备。这里使用的术语“资源受限设备”是指具有有限通信能力、有限存储器、有限计算能力和/或有限电池寿命的设备。资源受限设备例如是IoT设备和/或诸如低功率传感器的传感器。资源受限设备可以是包括通用集成电路卡和/或可信执行环境的设备,通用集成电路卡被配置为进行通信,可信执行环境被配置为存储凭证并在认证过程中进行支持。资源受限设备可以是移动资源受限设备或固定资源受限设备。资源受限设备的示例包括监测植入物、生物芯片应答器、远程信息处理设备、智能家居设备、智能恒温器、智能计量设备和智能电器。资源受限设备具有例如有限的资源,使得资源受限设备不能独立地执行执行操作(例如安全操作)所需的一些任务。资源受限设备具有例如这样有限的资源,使得执行这种任务会耗尽其所有资源并且会导致设备不可操作。
在本公开中,本文使用的术语“网络节点”是指附着并属于网络或网络基础设施并且具有通信能力以及支持创建、接收和/或通过一个或多个通信信道发送信息的存储器和计算能力的节点或设备。根据一些方面,网络节点包括蜂窝网络的网络节点,例如基站、节点B、eNodeB、基站控制器、无线电网络控制、RNC和中继节点。根据一些方面,网络节点包括WLAN网络的网关和/或网络节点,例如WLAN接入点、WLAN自组织节点和WLAN中继节点。根据一些方面,网络节点包括自组织网状网络中的主节点和/或中间节点。例如,在基于IEEE802.15.4的网络中,网络节点是主节点(使用基于低功耗无线个域网的IPv6(6LoWPAN)网络发现(ND)防议术语,称为边界路由器),而无线设备是从属节点(使用6LoWPAN ND术语,称为主机)。可以设想,网络节点属于无线接入网。
术语“标识注册器”是指为一个或多个网络中的每个(或至少一些)无线设备存储设备标识符、临时设备网络标识符和/或设备网络标识符的网络实体。标识注册器90例如属于网络700、800、900中的一个或多个。标识注册器90可以由连接网络中的节点或服务器(例如由网络节点70或第二服务器81)达到。标识注册器90可以被看作是支持网络节点70从相关服务器获取相关认证数据的中央注册器。例如,用每个注册的无线设备的临时设备网络标识符和/或设备网络标识符对标识注册器90进行初始化,使得网络节点能够在标识注册器90中查询设备网络标识符,该设备网络标识符将会支持网络节点联系无线设备的归属网络以进行进一步的认证。例如,无线设备60启动并且发现其自身处于不同于该无线设备的归属网络(例如网络800)但是与归属网络具有协议的访问网络(例如网络700)的覆盖之内。例如,为了识别蜂窝网络中的无线设备,归属网络(或运营商)提供访问网络可以使用来识别无线设备的归属网络的标识注册器90。根据一些方面,标识注册器90是可以接入一个或多个网络(例如一个或多个归属网络和/或一个或多个访问网络)的公共寄存器。根据一些方面,标识注册器90对于网络(例如归属网络或运营商的一部分)而言是本地的,并且被其他网络(例如访问网络或运营商)使用以能够定位非预配置的无线设备的设备网络标识符,对于该非预配置的无线设备而言,设备标识符可在附着到网络时被用作设备/订户标识符。
术语“服务器”在本文中可以用于指代在协议(例如安全协议,例如引导协议)中被配置为用作服务器的装置。服务器被配置为经由无线通信接口和/或有线通信接口与无线设备60通信。根据一些方面,无线设备被配置为用作客户端,例如安全协议的客户端,例如传输层安全(TLS)协议的客户端。术语“客户端”用于指被配置为用作客户端的设备。客户-服务器特性描述了协作设备或设备中的程序的关系。服务器向发起对功能或服务的请求的一个或多个客户端提供这些功能或服务。诸如无线设备60、60a之类的客户端和诸如第一服务器80之类的服务器按照请求-响应消息传递模式来交换消息:客户发送例如请求,并且服务器返回例如响应。客户端和/或服务器可以包括用户设备、网络设备和/或对等***中的对等设备。备选地,客户端是用户设备,而服务器是网络基础设施内的节点。无线设备60、60a和第一服务器80例如是被配置为用作协议(例如安全协议和/或引导协议)的客户端/服务器的设备。
在此称为第一服务器80的服务器80根据一些方面包括设备管理服务器,例如引导服务器。第一服务器80例如属于第一网络800。对于每个无线设备,企业或服务器80通过计算与任意字符串串接的公钥的散列来根据设备公钥导出共享秘密K。共享秘密可以通过以下方式导出,例如:
K=截断(H(设备公钥|任意字符串),n) (1)
其中,H表示散列函数,n表示散列值将被截断为的大小(例如128比特,优选用于受限无线设备)。
包括共享秘密K和/或从共享秘密导出的密钥的密钥材料被提供给企业/归属网络中的实体(例如网络800中的第二服务器81)。这样的实体为密钥材料指派设备网络标识符(例如,3GPP国际移动订户标识IMSI)并且注册/存储设备网络标识符和密钥材料以及其他合适的参数。企业或企业网络中的实体(例如BS服务器或网络800中的第一服务器80)也基于设备公钥计算设备标识符,并将设备标识符提供给网络800中的第二服务器81。第二服务器81将设备标识符与为每个无线设备指派的设备网络标识符一起注册在标识注册器90中。第二服务器81为每个无线设备生成用于(更永久的)网络接入的凭证(例如软SIM凭证)并将它们传送给将该信息配置到第一服务器80中的企业。
根据一些方面,第二服务器81包括认证服务器、归属位置寄存器(HLR)、归属订户***(HSS)、网关GPRS支持节点(GGSN)、服务GPRS支持节点(SGSN)和基于IP的多媒体子***(IMS)功能。根据一些方面,第一服务器80和第二服务器81是相同的服务器。第一服务器80和第二服务器81可以与网络节点属于相同的网络700,或属于不同的网络。根据一些方面,网络700、第一网络800和第二网络900是相同的网络或不同的网络。第二网络900包括例如标识注册器90。
根据一些方面,无线设备60与网络700、800连接以进行引导,注册,管理,服务启用和信息报告。网络700、800包括被配置为管理,控制和/或支持无线设备60的一个或多个服务器,例如(第一)服务器80、第二服务器81和可选的报告服务器82。第一服务器80和/或第二服务器81例如包括引导服务器、认证中心服务器、认证授权和计费服务器、管理服务器、HLR。无线设备例如与一台服务器进行通信以进行设备管理和服务启用,且至少与另一台服务器进行通信以进行服务(例如传感器数据报告)。与资源受限的无线设备相比,服务器具有更多的资源,例如通信功能、功耗、存储器和计算能力。网络节点70包括制造商的服务器(例如制造商BS)和企业网络的服务器(例如企业BS)。服务器被配置为经由无线通信接口和/或有线通信接口与无线设备60通信。根据一些方面,无线设备被配置为用作客户端,例如安全协议的客户端,例如传输层安全(TLS)协议的客户端。术语“客户端”用于指被配置为用作客户端的设备。术语“服务器”可以用于指代在协议(例如安全协议,例如引导协议)中被配置为用作服务器的装置。客户-服务器特性描述了协作设备或设备中的程序的关系。服务器向发起对功能或服务的请求的一个或多个客户端提供这些功能或服务。诸如无线设备60、60a之类的客户端和诸如网络节点70之类的服务器按照请求-响应消息传递模式来交换消息:客户发送例如请求,并且服务器返回例如响应。客户端和/或服务器可以包括用户设备、网络设备和/或对等***中的对等设备。备选地,客户端是用户设备,而服务器是网络节点。无线设备60、60a和网络节点70例如是被配置为用作协议(例如安全协议和/或引导协议)的客户端/服务器的设备。
根据一些方面,网络700、800、900是归属网络、企业网络和/或访问网络。根据一些方面,网络700、800、900包括局域网、接入网、核心网、城域网、体域网和/或个域网。根据一些方面,网络700、800、900包括有线通信网络和/或无线通信网络。有线通信网络包括例如基于互联网协议的通信网络、光纤通信网络、电话网络和/或线缆网络。无线通信网络例如包括短距离通信网络(例如,蓝牙、ZigBee、近场通信、IEEE802.15)、无线局域网(WLAN)和/或蜂窝网络,例如分组专用移动通信***(GSM)、3GPP通用移动通信***(UMTS)、长期演进(LTE)***。企业通常从制造商处购买多个无线设备60、60a。企业运行除其他任务外还管理无线设备60、60a的企业网络。企业网络例如是其无线设备的归属运营商,并且具有与移动网络运营商(MNO)的漫游协议,以在这些MNO的网络覆盖内向无线设备60、60a提供接入。在图1中,可以设想,网络700例如是MNO的访问网络,网络800是归属网络,且网络900是使用因特网可接入的。在图1中,还可以设想,网络700例如是企业蜂窝网络的接入网部分,而网络800是企业核心网。
图2示出对根据本公开的一些方面在无线设备中执行的示例性方法200进行示出的流程图。例如,企业从制造商购买无线设备60、60a。制造商在购买后向企业提供设备公钥,并可能提供设备标识符。然后,企业向企业的服务器80提供每个所购买的无线设备60的设备公钥以及可能提供设备标识符。当无线设备60、60a第一次启动时,无线设备需要获得对可用网络的初始接入,以便被提供允许无线设备60、60a与企业网络一起操作的凭证。无线设备60、60a可以配置有或可以未配置有制造商BS和/或企业BS的凭证,以用于包括无线设备与BS之间的认证的安全通信。通常,企业凭证不在无线设备中配置/提供。设备公钥尚未由无线设备、企业和/或设备公钥的任何其他可能的持有者所公开。为了获得对网络700、800的初始接入,无线设备60被配置为执行方法200。假设无线设备的设备公钥以安全的方式从制造商传送到企业,使得设备公钥在用于获得初始网络接入和/或证书提供之前不被暴露。
方法2在无线设备60中执行。方法200用于获得对网络700、800的初始接入以建立向连接到网络700、800的服务器80的连接。向服务器80的连接例如被用于从服务器80安全地提供凭证,例如从服务器80向无线设备60安全传送凭证。无线设备60存储设备公钥和设备私钥。制造商BS在制造时向无线设备提供例如设备公钥和设备私钥。当设备公钥在这个阶段和在方法200中使用时(或者在发起初始接入时/之前)被提供给无线设备60和/或服务器80时,设备公钥尚未暴露于公众并且不用于任何通信。当要执行方法200时,设备公钥尚未用于认证、加密或其他目的。服务器80存储设备公钥,设备公钥例如由企业和/或制造商或零售商在获取无线设备60时提供给服务器。方法200包括向网络700、800的网络节点70发送S1初始接入请求。无线设备60被配置为向网络节点70发送对网络700、800的初始接入的请求。根据一些方面,发送步骤S1包括:基于设备公钥生成S11设备标识符;以及向网络节点70发送S12设备标识符。例如,无线设备通过计算设备标识符和共享秘密K开始,并将它们用作临时凭证来附着到网络700、800。生成设备标识符的步骤S11包括例如:基于设备公钥(例如使用SHA-256)计算散列值,且可能截断所得到的散列值以获得用于设备标识符的适当数量n的比特,以使得标识注册器90中冲突的概率非常低。例如,n的值可以是n=96。共享秘密密钥K例如是根据公式1计算的。
根据一些方面,生成设备标识符的步骤S11包括基于设备标识符生成S11b临时设备网络标识符。
根据一些方面,生成S11b临时设备网络标识符的步骤包括对设备标识符进行编码以匹配网络标识符格式。网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。蜂窝网络标识符格式例如是IMSI格式。IMSI包含15位数字,其中前3位数字代表移动国家代码(MCC),接下来的2位或3位数字代表移动网络代码(MNC)。移动运营商使用MCC和MNC来唯一标识从其请求认证数据的归属MNO,该认证数据在本文中可用于初始网络接入认证。例如,将设备标识符编码为IMSI格式包括将设备标识符的所有比特编码为数字0-9的序列。例如可以使用现有的3GPP定义的标识请求-响应消息来传递已编码的设备标识符,其中在响应消息中传递15位数字。这需要例如一轮或多轮的请求-响应消息。由企业提供给归属网络的设备标识符的格式是例如与X位数字设备ID表示串接的3位数字制造商标识符。
根据一些方面,WLAN标识符格式包括网络接入标识符(NAI)格式。例如,WLAN标识符格式遵循NAI(user@realm),其中用户部分例如是计算为被截断成N比特的设备公钥的散列的值,并且例如假设N=256,以十六进制形式使用32个字符来表示(‘0’-‘9’、‘A’、‘B’、‘C’、‘D’、‘E’和‘F’)。例如,在根据3GPP的公共网络接入中,NAI格式在归属网络中遵循以下格式:“0<IMSI>@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org”
其中,IMSI=234150999999999,MCC=234,MNC=15。
访问网络情况下的NAI遵循以下格式(装饰NAI):“wlan.mnc<homeMNC>.mcc<homeMCC>.3gppnetwork.org !0<IMSI>@wlan.mnc<visitedMNC>.mcc<visitedMCC>.3gppnetwork.org”
根据某些方面,NAI格式如下:
“wlan.mnc<MN>.mcc<special_MCC>.3gppnetwork.org !0<deviceID>@wlan.mnc<visitedMNC>.mcc<visitedMCC>.3gppnetwork.org”
其中,MN表示制造商标识符,special_MCC表示根据本公开操作的专用MCC值,deviceID表示已编码的设备标识符(例如3个比特对应于0-7之间的数字,或如上所述的十六进制表示)。
根据一些方面,生成设备标识符的步骤S11包括从网络节点70接收S11a标识请求。例如,在3GPP标准中,当无线设备首次请求初始网络接入且网络请求与无线设备相关联的标识时。根据一些方面,发送S12设备标识符的步骤包括在标识响应中向网络节点70发送S12a设备标识符。
方法200包括从网络节点70接收S2认证请求。认证请求包括质询,并且可选地包括网络认证符。术语“质询”在本文中指代用于测试或评估无线设备的合法性的数据。例如,质询包括伪随机数字或伪随机字符串。网络认证符允许无线设备60认证网络节点70(并从而提供相互认证)和/或验证认证请求的完整性。由于只有合法服务器80持有设备公钥,如果是基于由合法服务器80提供的共享秘密生成的,则网络认证符允许验证服务器拥有设备公钥并因此也将网络节点成功认证为是合法的(因为网络节点70和服务器80已经建立了安全且相互认证的通信信道)。网络认证符包括例如认证数据,如基于共享秘密K以及认证和密钥协商(AKA)协议在第二服务器81处生成的认证向量。例如由基于设备公钥生成共享秘密密钥K的服务器80来提供共享秘密密钥K。网络认证符因此提供服务器拥有设备公钥的证据。
根据一些方面,当认证请求包括网络认证符时,方法200包括基于网络认证符和设备公钥来验证S3认证请求。例如,使用从设备公钥导出的共享秘密K,根据认证和密钥协商(AKA)协议执行对认证请求的验证S3。例如,当网络认证符包括使用设备公钥的关于质询和/或设备随机数的消息认证码(MAC)时,认证请求的验证S3包括验证S31MAC。本文的MAC指代根据消息和某个共享秘密(例如本文中的设备公钥或从设备公钥导出的任何密钥)计算出的认证和完整性指示符。在不知道共享秘密的情况下很难伪造MAC。根据一些方面,在成功验证时,无线设备60进行到步骤S4。例如,在EAP-SIM中,接收步骤S2包括:接收包括质询和由网络或第二服务器81生成的MAC的EAP请求质询。
方法200包括基于质询和设备公钥生成S4设备认证符。例如,步骤S4包括:从设备公钥导出S41共享秘密,且将质询和所导出的共享秘密作为输入,使用UMTS AKA协议来生成设备认证符。设备认证符支持网络节点70确定无线设备60是否是合法的无线设备(即,无线设备60是否持有设备公钥)。例如,生成步骤S4包括使用质询和设备公钥生成消息认证码(MAC)。例如,无线设备60使用设备公钥关于质询生成MAC;或者生成从设备公钥导出的密钥,并使用所导出的密钥关于质询计算MAC。使用MAC生成函数来生成MAC,例如加密钥的散列-MAC(HMAC)函数、一次性MAC函数和块密码。根据一些方面,方法200还包括生成会话密钥以使得能够从服务器80安全提供凭证。例如,会话密钥包括密码密钥和/或完整性密钥。
方法200包括向网络节点70发送S5认证响应。认证响应包括设备认证符。例如,在具有预共享密钥的EAP-TLS中,发送步骤S3包括向网络节点70发送EAP响应消息,其包括例如TLS ClientKeyExchange消息、TLS ChangeCipherSpec消息和/或TLS Finished消息中的任一个。
方法200包括从网络节点70接收S6初始接入响应。初始接入响应包括指示网络节点70是准许还是拒绝初始接入的指示符。例如,在具有预共享密钥的EAP-TLS中,接收S6初始接入响应的步骤包括从网络节点70或经由网络节点70从认证服务器(例如,服务器81)接收EAP请求消息,EAP请求消息包括例如TLS ChangeCipherSpec消息和/或TLS Finished消息中的任何一个。
所公开的技术具有较少依赖于底层架构以及各种应用层协议和容纳服务器80与无线设备60之间的可能的中间网络节点70的优点。
本文公开的方法允许制造无线设备的灵活性,因为制造商也不必在制造时向交付给企业的无线设备提供专用临时凭证。本文公开的方法仍然能够使用已经存储且未被暴露的设备公钥来进行初始网络接入。
根据一些方面,生成S11设备标识符的步骤还包括:从网络接收S11c附加标识请求,生成附加临时设备网络标识符,以及在附加标识响应中发送S11d附加临时设备网络标识符。例如在网络节点需要临时设备网络标识符的其余部分以匹配给定格式的情况下,接收附加标识请求。
根据一些方面,方法还包括生成S7设备随机数(nonce),以及在认证响应中向网络节点70发送设备随机数。例如,在具有预共享密钥的EAP-TLS中,无线设备60在EAP响应消息中提供随机数字(random number)来作为随机数(nonce),EAP响应消息包括例如在认证响应之前的TLS ClientHello消息。例如,在EAP-SIM中,无线设备60在对EAP请求SIM/开始消息的EAP响应中提供随机数。使用质询和设备公钥来生成S42消息认证码因而包括使用设备公钥或者从设备公钥导出的密钥,关于质询和设备随机数生成MAC。使用质询和设备公钥生成S42消息认证码的步骤包括:基于设备公钥和设备随机数导出共享密钥,并且使用所导出的密钥来关于质询或根据质询计算的值生成MAC。
根据一些方面,从网络节点70接收S2认证请求的步骤包括:接收S21包括质询的第一认证请求和包括网络认证符的第二认证请求。网络认证符是基于设备随机数生成的,例如MAC。例如,在具有预共享密钥的EAP-TLS中,接收步骤S2包括从网络节点70接收EAP请求消息,EAP请求消息包括例如TLS ServerHello消息、TLS ServerKeyExchange消息、TLSServerHelloDone消息以及可能的TLS Certificate消息中的任一个。采用本技术的EAP-TLS允许无线设备60和网络节点70验证其对等设备已经计算了相同的安全参数并且没有发生攻击者的篡改。例如,在EAP-PSK中,接收第一认证请求的步骤包括:接收包括质询的EAP-PSK第一消息,并且接收第二认证请求的步骤包括:接收包括网络认证符的EAP-PSK第三消息。
根据一些方面,凭证包括服务器公钥、服务器证书、证书机构(CA)、用于被配置为与无线设备通信的一个或多个服务器(80、81、82)的证书、设备证书、对称密钥和/或标识符。凭证包括例如蜂窝凭证(例如SIM凭证、软SIM凭证)、无线连接凭证(例如无线局域网凭证)和企业凭证(例如用于接入企业网络)。标识符包括例如国际移动订户标识(IMSI)、临时IMSI、网络接入标识符、媒体访问控制地址和/或通用资源标识符。
图3是示出根据本公开的在网络节点70中执行的示例性方法300的流程图。方法300用于向无线设备60提供初始网络接入。如图1所示,网络节点70连接到第二服务器81和存储无线设备60的设备公钥的第一服务器80。制造商在购买时向企业或无线设备60的购买者提供设备公钥,并且可能提供设备标识符。然后,企业向企业的服务器80提供每个所购买的无线设备60的设备公钥以及可能提供设备标识符。方法300在网络节点70中执行,该网络节点70例如是无线设备60为了连接到企业网络(例如图1的网络800)而首先连接到的网络中的节点。当购买后第一次启动时,无线设备60必须在由企业服务器引导之前附着到其附近可用的网络。方法300包括从无线设备60接收S301初始接入请求。当无线设备60启动时,无线设备60通过向网络节点70发送初始接入请求来尝试附着到网络700。
方法300包括确定S302无线设备60的设备网络标识符。例如,确定S302设备网络标识符的步骤包括:从无线设备60接收S302a设备标识符;以及使用设备标识符向标识注册器90请求S302b设备网络标识符。在一些方面中,从无线设备60接收设备标识符包括向无线设备发送标识请求并从无线设备接收包括设备标识符的标识响应。
根据一些方面,确定S302设备网络标识符包括:从无线设备60接收S302c临时设备网络标识符;以及使用临时设备网络标识符向标识注册器90请求S302d设备网络标识符。临时设备网络标识符是被编码为具有网络设备标识符格式(例如蜂窝网络标识符格式和/或无线局域网标识符格式)但不是永久“真实”网络设备标识符的网络标识符。蜂窝网络标识符格式例如是IMSI格式。WLAN标识符格式包括网络接入标识符(NAI)格式。临时设备网络标识符由无线设备60和/或由第一服务器80基于设备公钥导出并且在初始化阶段存储在标识注册器90中。这样,网络节点70能够从标识注册器90获得设备网络标识符,而与网络节点70是位于归属网络中还是位于访问网络中无关。
方法300包括从第二服务器81获得S303与设备网络标识符相对应的认证数据,认证数据包括质询以及可选的网络认证符。例如,从第二服务器81获得S303对应于设备网络标识符的认证数据包括:基于设备网络标识符来确定要联系哪个第二服务器81以获得认证数据,例如联系哪个归属网络/运营商,例如确定第二服务器81(例如,从其获得认证数据的认证服务器)的网络地址。例如,获得步骤S303包括向认证服务器(例如服务器81)请求S303a与设备网络标识符相对应的认证数据,并且从认证服务器接收S303b认证数据。根据一些方面,认证数据由第二服务器81生成,并且认证数据的网络认证符由第二服务器81基于第一服务器80使用设备公钥导出的密钥来生成。例如,在蜂窝网络中,认证数据由HLR/HSS基于企业服务器(例如服务器80)提供的密钥材料生成,该企业服务器基于设备公钥导出密钥材料。
方法300包括向无线设备60发送S304认证请求。认证请求包括质询,并且可选地包括网络认证符。网络认证符提供第一服务器拥有设备公钥的证据。网络认证符允许无线设备60认证网络节点70和/或验证认证请求的完整性。由于只有合法服务器80持有设备公钥,如果是基于由合法服务器80提供的共享秘密生成的,则网络认证符允许验证服务器拥有设备公钥并因此也将网络节点成功认证为是合法的(因为网络节点70和服务器80已经建立了安全且相互认证的通信信道)。
方法300包括从无线设备60接收S305认证响应。认证响应包括设备认证符。
方法300包括基于设备认证符和认证数据来验证S306接收到的认证响应(例如使用利用从设备公钥导出的密钥生成的认证数据或利用从设备公钥导出的密钥生成的预期设备认证符(例如UMTS AKA中的XRES))。认证数据使得网络节点70能够将无线设备60认证为合法的无线设备,而无需网络节点70必须存储设备公钥。第二服务器81已基于例如从设备公钥导出的密钥计算网络节点70从第二服务器81安全地获得的认证数据。例如第二服务器81从第一服务器80安全地获得从设备公钥导出的密钥。由于只有第一服务器80持有设备公钥,并且由于第二服务器81和第一服务器80具有已认证且安全的连接并且第二服务器81和网络节点70也具有已认证且安全的连接,所以可以由此基于认证数据和设备认证符来认证无线设备60。并且,在成功验证时,方法300包括向无线设备60发送S307初始接入响应。初始接入响应包括指示准许初始接入的指示符。根据一些方面,验证S306接收到的认证响应包括请求S306a认证服务器(例如服务器81)验证接收到的认证响应。
图4是示出根据本公开的示例性网络节点60的框图。无线设备60被配置为获得对网络700、800的初始接入以建立向连接到网络700、800的服务器80的连接。网络接入的目的是例如为了引导凭据。无线设备60包括被配置为与服务器80和网络节点70(例如经由网络节点70与服务器80)通信的接口62。接口62包括例如无线通信接口(例如用于短距离通信、无线局域网通信、蜂窝通信)和/或有线通信接口。
无线设备60包括其上存储有设备公钥和设备私钥的存储单元63。存储单元63例如是数据存储装置,例如并置数据存储装置、远程数据存储装置、可拆卸和不可拆卸存储装置(包括但不限于只读存储器(ROM)、随机存取存储器(RAM))。制造商BS在制造时向无线设备提供例如设备公钥和设备私钥。服务器80存储设备公钥,设备公钥例如由制造商或零售商在获取无线设备60时提供给用户/企业,并且用户/企业将它们存储在服务器80上。此时设备公钥未暴露,因此可以使用设备公钥作为共享秘密来实现相互/设备认证。
无线设备60包括处理器61,处理器61被配置为经由接口62向网络700、800的网络节点70发送初始接入请求。处理器61在此指代处理单元,例如中央处理单元、分布式处理单元。根据一些方面,处理器61被配置为通过基于设备标识符生成临时设备网络标识符来生成设备标识符。处理器61还被配置为在初始接入请求中或在对标识请求的标识响应中向网络节点70发送临时设备网络标识符。因此,根据一些方面,处理器61包括被配置为生成设备标识符的生成器64。处理器61例如首先基于设备公钥生成设备标识符,然后对设备标识符进行编码以匹配临时设备网络标识符。例如,处理器61被配置为通过对设备标识符进行编码以匹配网络标识符格式来生成临时设备网络标识符,网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。蜂窝网络标识符格式例如是IMSI格式。根据一些方面,WLAN标识符格式包括网络接入标识符(NAI)格式。
如上所述,无线设备60包括处理器61,处理器61被配置为经由接口62从网络节点70接收认证请求。认证请求包括质询。这向网络节点提供了用于认证无线设备60的手段。认证请求可选地还包括网络认证符,处理器61被配置为基于网络认证符来验证认证请求。网络认证符提供服务器拥有设备公钥的证据。例如,在具有预共享密钥的EAP-TLS中,处理器61被配置为经由接口62从网络节点70接收EAP请求消息,EAP请求消息包括TLSServerHello消息、TLS ServerKeyExchange消息、TLS ServerHelloDone消息以及可能的TLS Certificate消息中的任一个。根据一些方面,处理器61被配置为使用从设备公钥导出的共享秘密来根据认证和密钥协商(AKA)协议验证网络认证符。在成功验证时,处理器61被配置为进行到生成设备认证符。
因此,处理器61被配置为生成设备认证符。因此,根据一些方面,生成器64被配置为生成设备认证符。根据一些方面,设备认证符包括基于设备公钥计算的消息认证码。例如,处理器61或生成器64使用质询和设备公钥生成消息认证码(MAC),或者生成从设备公钥导出的密钥并使用所导出的密钥关于质询计算MAC。对于使用AKA的接入网,处理器61或生成器64从设备公钥导出共享秘密,并且将质询和所导出的共享秘密作为输入,使用AKA协议生成设备认证符。
处理器61被配置为经由接口62向网络节点70发送认证响应。认证响应包括设备认证符。例如,在具有预共享密钥的EAP-TLS中,处理器61被配置为向网络节点70发送认证响应作为EAP响应消息,EAP响应消息包括TLS ClientKeyExchange消息、TLSChangeCipherSpec消息和/或TLS Finished消息中的任一个。
处理器61被配置为经由接口62从网络节点70接收初始接入响应,初始接入响应包括指示初始接入是被准许还是拒绝的指示符。例如,在具有预共享密钥的EAP-TLS中,初始接入响应对应于来自网络节点70的EAP请求消息,EAP请求消息包括例如TLSChangeCipherSpec消息和/或TLS Finished消息中的任一个。
所公开的无线设备受益于优化的存储,因为设备公钥被用作用于获得初始网络接入的共享秘密,因此不需要用于此目的的专用附加材料。所公开的无线设备还具有较少依赖于底层架构以及适应各种应用层协议以及服务器80与无线设备60之间的可能的中间网络节点70和网关的优点。
图5是示出根据本公开的示例性网络节点70框图。网络节点70被配置为向无线设备60提供初始网络接入。网络节点70包括被配置为与无线设备60通信的第一接口72。接口72例如包括可操作地连接到无线通信接口设备(例如用于短程通信、无线局域网通信、蜂窝通信)的接口和/或有线通信接口。网络节点70包括被配置为与第二服务器81和存储无线设备60的设备公钥的第一服务器80通信的第二接口74。在购买无线设备时,制造商或零售商向企业提供例如设备公钥和可能的设备标识符。然后第一服务器80加载设备公钥并且可能还加载设备标识符。第一服务器80将设备公钥存储在存储单元中。服务器80还在存储单元中存储服务器公钥和服务器私钥。
网络节点70包括存储单元73。存储单元73例如是数据存储装置,例如并置数据存储装置、远程数据存储装置、可拆卸和不可拆卸存储装置(包括但不限于只读存储器(ROM)、随机存取存储器(RAM))。
网络节点70包括处理器71,处理器71被配置为经由接口72从无线设备60接收初始接入请求。当无线设备60启动时,无线设备60试图附着到网络700,然后网络节点70接收初始接入请求。
处理器71被配置为确定无线设备60的设备网络标识符。因此,处理器71包括例如被配置为确定设备网络标识符的确定器75。例如,处理器71被配置为通过以下方式确定设备网络标识符:从无线设备60接收设备标识符;以及使用所述设备标识符向标识注册器(90)请求所述设备网络标识符。设备标识符可以是临时设备网络标识符,处理器71因而被配置为使用标识注册器来标识永久设备网络标识符。
处理器71被配置为经由接口74从第二服务器81获得与设备网络标识符对应的认证数据。认证数据包括质询,并且可选地包括网络认证符。网络认证符提供第一服务器拥有设备公钥的证据。根据一些方面,处理器71被配置为通过向认证服务器(例如服务器80)请求对应于设备网络标识符的认证数据并且从认证服务器(例如服务器80)接收认证数据来获得与设备网络标识符对应的认证数据。
处理器71被配置为经由接口72向无线设备60发送认证请求。认证请求包括质询,并且可选地包括网络认证符。例如,在具有预共享密钥的EAP-TLS中,处理器71被配置为发送EAP请求消息来作为认证请求,EAP请求消息包括例如TLS ServerHello消息、TLSServerKeyExchange消息、TLS ServerHelloDone消息以及可能的TLS Certificate消息中的任一个。
处理器71被配置为经由接口72从无线设备60接收认证响应。认证响应包括设备认证符。设备认证符支持网络节点70确定无线设备60是否是合法的无线设备(即,无线设备60是否持有设备公钥)。根据一些方面,设备认证符包括基于设备公钥计算的消息认证码(MAC)。
处理器71被配置为基于设备认证符和认证数据来验证接收到的认证响应(例如,取决于网络节点执行的认证协议,使用利用从设备公钥导出的密钥生成的认证数据或利用从设备公钥导出的密钥生成的预期设备认证符)。因此,根据一些方面,处理器71包括验证器76,验证器76被配置为验证接收到的认证响应。
处理器71被配置成在成功验证时经由接口72向无线设备60发送初始接入响应。初始接入响应包括指示准许初始接入的指示符。例如,在具有预共享密钥的EAP-TLS中,处理器71被配置为向无线设备60发送EAP请求消息,EAP请求消息包括例如TLSChangeCipherSpec消息和/或TLS Finished消息中的任一个。
图6是示出根据本公开的用于无线设备60到网络节点70的初始接入的消息的示例***换的信令图,网络节点70连接到第一服务器80和第二服务器81。在该示例中,第一服务器80是设备管理服务器,例如引导服务器。第一服务器80例如属于企业网络,企业已经购买了无线设备60。初始接入的启用可选地以初始化阶段开始,其中第一服务器80、第二服务器81和标识注册器90被提供了适当的材料以执行本技术(例如用于向第一服务器80提供设备公钥,向第二服务器81提供例如由第一服务器80使用设备公钥生成的认证数据,向标识注册器提供设备标识符和设备网络标识符)。对于每个无线设备,企业或第一服务器80根据公式(1)从设备公钥导出共享秘密K。第一服务器80还基于设备公钥来计算设备标识符。在消息600a中向第二服务器81(例如归属网络的HLR)发送包括共享秘密K和/或从共享秘密导出的密钥的设备标识符和密钥材料。第二服务器81为密钥材料指派设备网络标识符(例如IMSI),并且将设备网络标识符和密钥材料与其他合适的参数一起注册/存储。第二服务器81通过向标识注册器90发送消息600b将设备标识符与为每个无线设备指派的设备网络标识符一起注册在标识注册器90中。第二服务器81为每个无线设备生成包括设备网络标识符的凭证(例如包括IMSI的软SIM凭证)并在消息600c中将它们传送给将该信息配置到第一服务器80中的企业。
无线设备60向网络节点70发送初始接入请求601以获得对当前网络的初始接入(例如图2的步骤S1中)。设备标识符可被包括在初始接入请求601中,使得服务器能够使用标识注册器90来识别设备。网络节点70例如将标识请求601a发送给标识注册器90(例如图3的步骤S302b/c中),标识请求601包括设备标识符和/或临时设备网络标识符(DNI)(例如临时IMSI或者被编码以匹配IMSI格式的设备标识符)。如果标识注册器找到对应的“真实”DNI(例如真实IMSI),则标识注册器90向网络节点70返回包括“真实”/永久DNI的ID响应601b(例如以实现图3的步骤S302)。然后,网络节点70可以向第二服务器81发送认证数据请求601c(例如图3的步骤S303a中),获得(例如图3的步骤S303中)与认证数据响应601d(例如图2的步骤S303b中)中的永久DNI相对应的认证数据。网络节点70向无线设备60发送认证请求602(例如图3的步骤S304中)。认证请求602包括可能由第二服务器81生成并在认证数据响应601d中提供的质询。可选地,认证请求602包括由第二服务器81生成并在认证数据响应601d中提供以允许相互认证的网络认证符(无线设备60在例如图2的步骤S3中对其进行验证)。无线设备60(例如在图2的步骤S2中)接收认证请求602,并且通过基于质询和从设备公钥导出的共享密钥计算响应或设备认证符来准备认证响应603(例如图2的步骤S4、S41和/或S42)。无线设备60向网络节点70发送认证响应603(例如图2的步骤S5中)。网络节点70接收认证响应603(例如图3的步骤S305中)并且验证接收到的认证响应(例如图3的步骤S306中)。如果认证响应603错误或被破坏,则网络节点70向无线设备60发送(例如图3的步骤S307中)初始接入响应605,指示接入被拒绝。如果认证响应603是正确的或有效的,则网络节点70向无线设备60发送(例如图3的步骤S307中的)初始接入响应605,指示接入被准许并向无线设备60准许接入。接收(例如图2的步骤S6中)指示准许接入的初始接入响应605的无线设备60然后可以通过向第一服务器80安全地发送后续消息606以例如进行引导来进行通信。在引导阶段,永久网络接入凭证可被提供给无线设备60,并且在该情况下,第一服务器80发送更新凭证消息607,指示第二服务器81更新其数据库以在后续网络接入尝试中使用永久网络接入凭证。可选地,为了维护和优化标识注册操作,第二服务器81通过已更新ID注册消息608通知标识注册器90可以从该注册器中移除无线设备的临时DNI。
图7是示出根据本公开的用于设备标识的示例性消息交换的信令图。无线设备60通过发送初始接入请求601(例如图2的步骤S1中)来请求对网络节点70的网络接入。网络节点70向无线设备60发送标识请求6011(例如图3的步骤S302b/c中)。无线设备60计算(例如图2的步骤S11中)在n比特设备标识符的编码中使用的数字位数X。示例性的方法是将3个比特编码为一位数字。存在也可以使用的更高效的编码。作为使用简单编码的例子,15比特设备标识符010101110011001被编码为25631。作为对标识请求的响应,无线设备60以标识响应6012来进行响应(例如图2的步骤S12中),标识响应6012包括MCC|X|MN|D,其中MCC是由上述专用MCC值表示的标识响应的前三位数字,MN是3位数字制造商标识符,X是指示设备ID的位数的2位数字字段,并且D是设备标识符的前7位数字。MCC和MN在制造时被配置到无线设备中。
网络节点70接收标识响应6012,并从MCC值推断出这是正在传送的特殊标识符。网络节点70计算要传送的剩余位数。如果剩余位数大于零,则在MCC未被识别出的情况下,网络节点向无线设备60发送附加标识请求6013或发送指示该MCC/MNC无漫游的出错消息。只有参与到为这些无线设备提供初始网络接入支持的网络或运营商才能识别新的特殊MCC值。其他网络或运营商只是拒绝网络接入。如果剩余位数等于零,则基于MCC和MN的值,网络节点70决定要接触哪个标识注册器以获得分配给无线设备60的真实IMSI值(例如作为图3的步骤S302的一部分)。网络节点70将标识请求601a发送给标识注册器90(例如图3的步骤S302b/c中)。可存在若干标识注册器或由若干归属/企业网络使用的公共注册器。临时设备网络标识符(例如与X位数字设备标识符串接的3位数字制造商标识符)被用作在标识注册器处搜索真实IMSI的输入。如果找到真实的IMSI,则标识注册器在标识响应601b中将真实IMSI返回给向网络节点70。
在发送附加标识请求的情况下,无线设备60发送(例如图2的步骤S11d中)包括IMSI的标识响应6014,该IMSI由设备标识符的接下来的M位(例如15位)数字组成。如果要传递的剩余数字x少于M位,则最后的M-x位数字被设置为0。如果存在出错消息,则无线设备搜索新网络并试图获取接入权限。网络节点计算要传送的剩余位数。如果剩余的位数大于零,则需要发送附加标识请求。
然后无线设备60和网络节点70可以进行到交换认证请求和响应,无线设备60然后可以获得初始网络接入准许(例如,利用图6中所示的消息602、603、605)。
所公开的技术不需要改变在无线设备和网络之间发送的消息的格式,但可能需要多个请求/响应轮来支持本文公开的无线设备的初始网络接入。
图8是示出根据本公开的用于设备标识的另一示例性消息交换的信令图。在该示例中,设备标识符表示被截断到适合一个IMSI的尽可能少的比特,以最小化访问网络中的必要改变。这增加了冲突的可能性,并因此本文提出了处理这些冲突的方案。该方案的基于:如果已经有条目利用给定设备标识符值***到标识注册器中,则新条目接纳列表中的下一个空闲空间。
企业将设备标识符按照下面的12位数字格式提供给归属网络:MN |D,其中,MN是2位数字制造商标识符,且D是代表设备标识符的10位数字。编码设备标识符的示例性方法是取设备标识符的前33比特并将其转换为10位数字的十进制数。
归属网络将设备标识符***到标识注册器90中。如果已经存在条目,则归属网络计算D’=(D+1)(mod 10^10),并检查是否存在条目MN|D’。如果没有,即条目可用,则选择该条目。如果存在,则重复此流程(增加1并检查条目是否可用),直到找到可用条目为止。归属网络也可以存储原始值MN|D作为标识注册器中的相同条目的一部分,其可如下所述地用在优化。
如上所述,无线设备60准备设备标识符的10位数字表示D。无线设备60通过发送初始接入请求601(例如图2的步骤S1中)来请求对网络节点70的网络接入。网络节点向无线设备60发送标识请求6011(作为例如图3的步骤S302的一部分)。无线设备60利用包括MCC|MN|D的标识响应6012来进行响应(例如图3的步骤S302b/c中),其中MCC是由上述的专用MCC值表示的标识响应的前三位数字,MN是2位数字制造商标识符。MCC和MN在制造时被配置到无线设备中。
网络节点70从MCC推断出使用特殊标识。如果特定MCC未被访问网络识别出或支持,则向无线设备60返回“无漫游”消息6013,指示该MCC/MNC不支持漫游。无线设备60然后必须搜索另一网络并重新开始接入请求。如果访问网络支持特殊MCC,则网络节点70基于MCC和MN的值来决定使用什么标识注册器90来获得分配给无线设备的真实IMSI值。
网络节点70将请求真实IMSI的标识请求601a发送给标识注册器90(例如图3的步骤S302的一部分)。标识请求601a包括12位数字的MN|D值,该MN|D值被标识注册器90用作搜索真实IMSI的输入。如果存在有效条目,则在标识响应601b中向网络节点70返回相对应的真实IMSI值,否则返回出错。
通过向第二服务器81发送(例如图3的步骤S303a中)认证数据请求601c,网络节点70联系归属网络的第二服务器81以获得使用真实IMSI作为设备网络标识符的认证向量。如果IMSI是合法的,则第二服务器81利用包括认证向量的认证数据响应来向网络节点70做出响应。然后,无线设备60和网络节点70通过交换认证请求602和认证响应603(例如执行图3的步骤S304-S306/图2的步骤S2-S5,其中S3是可选的)来运行AKA流程。如果AKA成功,则例如在图3的步骤S307中,网络节点70准许接入且向无线设备60发送初始接入响应605。
如果发生错误,则这向无线设备60指示在归属网络***该特定条目时在标识注册器90中已经存在条目MD|D。因此,设备计算D=(D+1)(mod 10^10),然后再次发起网络接入。重复此流程直至AKA成功并且设备获得网络接入,或者直到达到最大尝试次数为止。在后一种情况下,设备搜索新网络并重新启动对新网络的初始接入。
可以设想通过以下方式对无线设备60、网络节点70和标识注册器90之间的流程进行优化:在针对MD|D的条目不存在时,无线设备60被配置为例如搜索上面最近的条目并在存储原始MD|D值的字段中查找MD|D,且如果找到这样的条目,则从该条目返回IMSI。如果是这种情况,则很可能在***条目MD|D时已存在该条目,但是该条目稍后由于针对对应于MD|D的无线设备成功提供了凭证而被移除。
所公开的交换的效率取决于标识注册器的拥挤程度或填充程度。如果标识注册器非常拥挤,那么在获得正确的真实IMSI之前,上面流程中的几个循环可能是必要的。然而,与图7中给出的例子相比,本示例中对现有的访问网络所需的改变较少。网络中唯一需要的更新是识别特殊的MCC值,并且在接收到特殊MCC值的情况下,联系合适的标识注册器以使用接收到的标识响应的剩余12位数字来请求实际设备网络标识符。
应当理解,图1-8包括用实线边框示出的一些模块或操作和用虚线边框示出的一些模块或操作。实线边框中包括的模块或操作是最宽的示例实施例中包括的模块或操作。虚线边框中包括的模块或操作是如下示例实施例:其可以被包括在除实线边框示例实施例的模块或操作之外可以采取的附加模块或附加操作中,或是该附加模块或附加操作的一部分,或者是所述附加模块或附加操作。应当理解,不需要按顺序执行这些操作。此外,应当理解,不需要执行所有操作。可以用任何顺序和以任何组合来执行示例操作。
应当理解,可以针对任意数量的组件和装置同时执行图2和图3的示例操作。
参考附图(例如框图和/或流程图)描述本公开的方面。应当理解,附图中的若干实体(例如框图中的框)以及附图中的实体的组合可以通过计算机程序指令来实现,所述指令可以存储在计算机可读存储器中并被载入计算机或其他可编程数据处理装置。这些计算机程序指令可以提供给通用计算机的处理器、专用计算机和/或用来产生机器的其他可编程数据处理装置,使得该指令经由计算机的处理器和/或其他可编程数据处理装置执行时创建用来实现方框图和/或流程图框中指定的功能/动作的装置。
在一些实施方式中且根据本公开的一些方面,在框中提到的功能或步骤可以用与操作图示中说明的顺序不同的顺序来发生。例如依赖于所涉及的功能/动作,连续示出的两个框实际上可以实质上同时执行,或者框有时候可以按照相反的顺序执行。此外,框中提到的功能或步骤可以根据本公开的一些方面循环连续执行。
在附图和说明书中,已经公开了本公开的示例方案。然而,可以在不显著偏离本公开的原理的情况下做出对这些方案的许多变化和修改。因此,本公开应被认为是说明性而非限制性的,并且不限于上文讨论的具体方面。因此,虽然使用了特定术语,但是其用于一般性或描述性意义,且不用于限制目的。
已经给出本文提供的示例实施例的描述以用于说明的目的。该描述并不旨在是详尽的或者将示例实施例限制于所公开的精确形式,并且考虑到上面的教导,修改和变形是可能的,并且可以通过实现对所提供的实施例的多个替换方式来获取这些修改和变形。选择和描述本文讨论的示例以便解释多个示例实施例的原理和属性及其实际应用,从而使本领域技术人员能够以多种方式并且使用适合于所设想的特定使用的多个修改来使用示例实施例。可以用方法、装置、模块、***和计算机程序产品的所有可能的组合来组合本文所描述的实施例的特征。应当理解,本文呈现的示例实施例可以彼此以任何组合来实践。
应当注意,词语“包括”不必要排除所列出的那些之外存在其他元件或步骤,并且元件之前的词语“一”或“一个”不排除存在多个这种元件。还应当注意的是,任何附图标记不限制权利要求的范围,可以至少部分地通过硬件和软件的方式来实现示例实施例,并且可以通过相同的硬件项来表示多个“组件”、“装置”、″单元″或″设备″。
在方法步骤或过程的一般上下文中描述了本文描述的各种示例实施例,其可以在一个方面由体现在计算机可读介质中的计算机程序产品实现,该计算机可读介质包括由网络环境中的计算机执行的例如程序代码的计算机可执行指令。计算机可读介质可以包括可移动和不可移动存储设备,包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、紧凑盘(CD)、数字通用盘(DVD)等。一般地,程序模块可以包括执行特定任务或实现特定抽象数据类型的例行程序、对象、组件、数据结构等。计算机可执行指令、相关联的数据结构和程序模块表示用于执行本文公开的方法的步骤的程序代码的示例。这些可执行指令或相关联的数据结构的特定序列表示用于执行这些步骤或过程中描述的功能的相应动作的示例。
在附图和说明书中,已经公开了示例实施例。然而,可以对这些实施例做出许多变化和修改。因此,虽然使用了特定术语,但是其用于一般性或描述性意义,且不用于限制目的,实施例的范围由以下权利要求定义。

Claims (41)

1.一种在无线设备(60)中执行的方法,所述方法用于获得对网络(700、800)的初始接入,以建立向连接到所述网络(700、800)的服务器(80)的连接,所述无线设备(60)存储设备公钥和设备私钥,所述服务器(80)存储所述设备公钥,所述方法包括:
-向所述网络(700、800)的网络节点(70)发送(S1)初始接入请求;
-从所述网络节点(70)接收(S2)认证请求,所述认证请求包括质询;
-基于所述质询和所述设备公钥生成(S4)设备认证符;
-向所述网络节点(70)发送(S5)认证响应,所述认证响应包括所述设备认证符;以及
-从所述网络节点(70)接收(S6)初始接入响应,所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。
2.根据权利要求1所述的方法,其中,所述发送(S1)包括:基于所述设备公钥生成(S11)设备标识符;以及向所述网络节点(70)发送(S12)所述设备标识符。
3.根据权利要求2所述的方法,其中,生成(S11)所述设备标识符包括从所述网络节点(70)接收(S11a)标识请求,发送(S12)所述设备标识符包括在标识响应中向所述网络节点(70)发送(S12a)所述设备标识符。
4.根据前述权利要求中的任一项所述的方法,其中,所述认证请求还包括网络认证符,所述网络认证符提供所述服务器拥有所述设备公钥的证据,所述方法还包括:基于所述网络认证符和所述设备公钥来验证(S3)所述认证请求;以及在成功验证时进行到所述生成(S4)步骤。
5.根据前述权利要求中的任一项所述的方法,其中,使用从所述设备公钥导出的共享秘密,根据认证和密钥协商AKA协议执行对所述认证请求的验证(S3)。
6.根据前述权利要求中的任一项所述的方法,其中,生成(S4)所述设备认证符包括从所述设备公钥导出(S41)共享秘密,以及将所述质询和所导出的共享秘密作为输入,使用所述AKA协议来生成所述设备认证符。
7.根据前述权利要求中的任一项所述的方法,所述方法包括:生成(S7)会话密钥以实现从所述服务器(80)安全提供凭证。
8.根据权利要求7所述的方法,其中,所述会话密钥包括密码密钥和/或完整性密钥。
9.根据权利要求2至8中的任一项所述的方法,其中,生成(S11)所述设备标识符包括基于所述设备标识符生成(S11b)临时设备网络标识符。
10.根据权利要求9所述的方法,其中,生成(S11b)所述临时设备网络标识符包括对所述设备标识符进行编码以匹配网络标识符格式,所述网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。
11.根据权利要求2-10中的任一项所述的方法,其中,生成(S11)所述设备标识符还包括:从所述网络接收(S11c)附加标识请求,生成附加临时设备网络标识符,以及在附加标识响应中发送(S11d)附加临时设备网络标识符。
12.根据权利要求10至11中的任一项所述的方法,其中,所述蜂窝网络标识符格式包括国际移动订户标识IMSI格式。
13.根据权利要求10至11中的任一项所述的方法,其中,所述无线局域网标识符包括网络接入标识符。
14.根据前述权利要求中的任一项所述的方法,其中,生成(S4)所述设备认证符包括使用所述质询和所述设备公钥来生成(S42)消息认证码MAC。
15.根据前述权利要求中的任一项所述的方法,所述方法还包括:生成(S7)设备随机数,以及在所述认证响应中向所述网络节点(70)发送所述设备随机数。
16.根据权利要求15所述的方法,其中,使用所述质询和所述设备公钥生成(S42)所述消息认证码包括:使用所述设备公钥,关于所述质询和所述设备随机数生成所述MAC。
17.根据权利要求15至16中的任一项所述的方法,其中,从所述网络节点(70)接收(S2)认证请求包括:接收(S21)包括质询的第一认证请求和包括网络认证符的第二认证请求,所述网络认证符是基于所述设备随机数生成的。
18.根据权利要求15-17中的任一项所述的方法,其中,所述网络认证符包括使用所述设备公钥的关于所述质询和/或所述设备随机数的MAC,验证(S3)所述认证请求包括验证(S31)所述MAC。
19.根据前述权利要求中的任一项所述的方法,所述凭证包括服务器公钥、服务器证书、证书机构CA、用于被配置为与所述设备通信的一个或多个服务器(80)的证书、设备证书、对称密钥和/或标识符。
20.一种在网络节点(70)中执行的用于向无线设备(60)提供初始网络接入的方法,所述网络节点(70)连接到存储所述无线设备(60)的设备公钥的第一服务器(80)并且连接到第二服务器(81),所述方法包括:
-从所述无线设备(60)接收(S301)初始接入请求;
-确定(S302)所述无线设备(60)的设备网络标识符;
-从所述第二服务器(81)获得(S303)与所述设备网络标识符相对应的认证数据,所述认证数据包括质询;
-向所述无线设备(60)发送(S304)认证请求,所述认证请求包括所述质询;
-从所述无线设备(60)接收(S305)认证响应,所述认证响应包括设备认证符;
-基于所述设备认证符和所述认证数据来验证(S306)接收到的认证响应;以及在成功验证时:
-向所述无线设备(60)发送(S307)初始接入响应。
21.根据权利要求20所述的方法,其中,确定(S302)所述设备网络标识符包括从所述无线设备(60)接收(S302a)设备标识符;以及使用所述设备标识符向标识注册器90请求(S302b)所述设备网络标识符。
22.根据权利要求21所述的方法,其中,从所述无线设备(60)接收(S302a)所述设备标识符包括向所述无线设备发送标识请求以及接收包括所述设备标识符的标识响应。
23.根据权利要求20-22中的任一项所述的方法,其中,确定(S302)所述设备网络标识符包括:从所述无线设备(60)接收(S302c)临时设备网络标识符;以及使用所述临时设备网络标识符向标识注册器90请求(S302d)所述设备网络标识符。
24.根据权利要求20-23中的任一项所述的方法,其中,所述认证数据包括网络认证符,所述网络认证符提供所述第一服务器拥有所述设备公钥的证据;以及其中,所述认证请求还包括所述网络认证符。
25.根据权利要求20至24中的任一项所述的方法,其中,从所述第二服务器(81)获得(S303)与所述设备网络标识符相对应的认证数据包括:向认证服务器请求(S303a)与所述设备网络标识符相对应的认证数据,以及从所述认证服务器接收(S303b)所述认证数据。
26.根据权利要求20-25中的任一项所述的方法,其中,所述认证数据由所述第二服务器(81)生成,所述认证数据的所述网络认证符由所述第二服务器(81)基于所述第一服务器(80)使用所述设备公钥导出的密钥生成。
27.根据权利要求25-26中的任一项所述的方法,其中,验证(S306)接收到的认证响应包括请求(S306a)所述认证服务器验证接收到的认证响应。
28.根据前述权利要求中的任一项所述的方法,其中,所述网络(700、800)是归属网络、企业网络和/或访问网络。
29.一种无线设备(60),所述无线设备(60)包括:
-接口(62),被配置为与服务器(80)和网络节点(70)通信;
-存储单元(63),其上存储有设备公钥和设备私钥;
-处理器(61),被配置为:
-经由所述接口(62)向网络(700、800)的网络节点(70)发送初始接入请求;
-经由所述接口(62)从所述网络节点(70)接收认证请求,所述认证请求包括质询;
-基于所述质询和所述设备公钥生成设备认证符;
-经由所述接口(62)向所述网络节点(70)发送认证响应,所述认证响应包括所述设备认证符;以及
-经由所述接口(62)从所述网络节点(70)接收初始接入响应,所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。
30.根据权利要求29所述的无线设备,其中,所述认证请求还包括网络认证符;其中,所述处理器(61)被配置为基于所述网络认证符来验证所述认证请求,所述网络认证符提供所述服务器拥有所述设备公钥的证据;以及其中,所述处理器(61)被配置为在成功验证时进行到生成所述设备认证符。
31.根据权利要求30所述的无线设备,其中,所述处理器(61)被配置为使用从所述设备公钥导出的共享秘密,根据认证和密钥协商AKA协议对所述网络认证符进行验证。
32.根据权利要求29-31中的任一项所述的无线设备,其中,所述处理器(61)被配置为通过以下操作生成所述设备认证符:从所述设备公钥导出共享秘密;以及将所述质询和所导出的共享秘密作为输入,使用AKA协议生成所述设备认证符。
33.根据权利要求29-32中的任一项所述的无线设备,其中,所述处理器(61)被配置为通过基于设备标识符生成临时设备网络标识符来生成设备标识符,所述处理器(61)被配置为向所述网络节点(70)发送所述临时设备网络标识符。
34.根据权利要求33所述的无线设备,其中,所述处理器(61)被配置为通过对所述设备标识符进行编码以匹配网络标识符格式来生成所述临时设备网络标识符,所述网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。
35.一种用于无线设备(60)对网络进行初始接入的网络节点,所述网络节点(70)包括:
-第一接口(72),被配置为与所述无线设备(60)通信;
-第二接口(74),被配置为与存储所述无线设备(60)的设备公钥的第一服务器(80)和第二服务器(81)通信;
-存储单元(73);
-处理器(71),被配置为:
-经由接口(72)接收来自所述无线设备(60)的初始接入请求;
-确定所述无线设备(60)的设备网络标识符;
-经由接口(74)从所述第二服务器(81)获得与所述设备网络标识符相对应的认证数据,所述认证数据包括质询;
-经由接口(72)向所述无线设备(60)发送认证请求,所述认证请求包括所述质询;
-经由接口(72)从所述无线设备(60)接收认证响应,所述认证响应包括设备认证符;
-基于所述设备认证符和所述认证数据来验证接收到的认证响应;以及在成功验证时:
-经由接口(72)向所述无线设备(60)发送初始接入响应。
36.根据权利要求35所述的网络节点,其中,所述处理器(71)被配置为通过从所述无线设备(60)接收设备标识符来确定所述设备网络标识符;以及使用所述设备标识符向标识注册器(90)请求所述设备网络标识符。
37.根据权利要求36所述的网络节点,其中,所述设备标识符是临时设备网络标识符。
38.根据权利要求35-37中的任一项所述的网络节点,其中,所述认证数据还包括网络认证符,所述网络认证符提供所述第一服务器拥有所述设备公钥的证据,所述认证请求还包括所述网络认证符。
39.根据权利要求35-38中的任一项所述的网络节点,其中,所述处理器(71)被配置为通过向认证服务器请求与所述设备网络标识符相对应的认证数据并且从所述认证服务器接收所述认证数据来获得与所述设备网络标识符相对应的认证数据。
40.一种包括程序代码装置的计算机程序,所述程序代码装置用于当所述计算机程序在无线设备(60)的处理器(61)上运行时执行根据权利要求1至19中的任一项所述的步骤。
41.一种包括程序代码装置的计算机程序,所述程序代码装置用于当所述计算机程序在网络节点(70)的处理器(71)上运行时执行根据权利要求20至28中的任一项所述的步骤。
CN201580082851.8A 2015-07-02 2015-07-02 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 Pending CN108028829A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/065127 WO2017001022A1 (en) 2015-07-02 2015-07-02 Method for obtaining initial access to a network, and related wireless devices and network nodes

Publications (1)

Publication Number Publication Date
CN108028829A true CN108028829A (zh) 2018-05-11

Family

ID=53682651

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580082851.8A Pending CN108028829A (zh) 2015-07-02 2015-07-02 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点

Country Status (4)

Country Link
US (1) US11290879B2 (zh)
EP (1) EP3318032B1 (zh)
CN (1) CN108028829A (zh)
WO (1) WO2017001022A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109905879A (zh) * 2019-03-23 2019-06-18 西安电子科技大学 基于ecc算法的输电线路监测终端安全接入方法
CN112913204A (zh) * 2018-09-14 2021-06-04 品谱股份有限公司 对包括电子锁的物联网设备的认证
CN114239010A (zh) * 2021-12-07 2022-03-25 北京天融信网络安全技术有限公司 一种多节点分布式认证方法、***、电子设备及介质
CN115039386A (zh) * 2020-01-30 2022-09-09 华为技术有限公司 启动用于无线局域组网的一组节点设备的设备、方法和计算机程序

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800762B2 (en) * 2015-03-03 2017-10-24 Ricoh Company, Ltd. Non-transitory computer-readable information recording medium, information processing apparatus, and communications system
EP3326323B1 (en) * 2015-07-17 2021-05-12 Robert Bosch GmbH Method and system for shared key and message authentication over an insecure shared communication medium
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
US10536854B2 (en) * 2016-03-09 2020-01-14 ARRIS Enterprises, LLC Concatenated authentication and authorization to multiple networks
US10547613B1 (en) 2017-05-17 2020-01-28 Amazon Technologies, Inc. Simplified association of devices with a network using unique codes on the devices and side channel communication
CN109150507B (zh) * 2017-06-19 2023-05-23 中兴通讯股份有限公司 一种设备凭证分发方法和***、用户设备及管理实体
JP6934762B2 (ja) * 2017-07-04 2021-09-15 株式会社ソラコム 機器をリモートで管理するための装置、方法及びそのためのプログラム
US10932129B2 (en) * 2017-07-24 2021-02-23 Cisco Technology, Inc. Network access control
US10764755B2 (en) * 2017-09-07 2020-09-01 802 Secure, Inc. Systems and methods for providing wireless access security by interrogation
US10306578B2 (en) * 2017-10-24 2019-05-28 Verizon Patent And Licensing Inc. Easy connectivity provisioning for cellular network
EP3714616B1 (en) * 2017-11-21 2023-04-19 Telefonaktiebolaget LM Ericsson (publ) Communication device authentication for multiple communication devices
US11582233B2 (en) * 2017-11-22 2023-02-14 Aeris Communications, Inc. Secure authentication of devices for Internet of Things
US10943005B2 (en) * 2017-11-22 2021-03-09 Aeris Communications, Inc. Secure authentication of devices for internet of things
US10880291B2 (en) * 2018-02-09 2020-12-29 Cisco Technology, Inc. Mobile identity for single sign-on (SSO) in enterprise networks
US20200374113A1 (en) * 2018-02-09 2020-11-26 Orbs Ltd. Decentralized application platform for private key management
US10349268B1 (en) * 2018-05-14 2019-07-09 Motorola Solutions, Inc. Automatic communication device onboarding
US11963007B2 (en) * 2018-05-17 2024-04-16 Nokia Technologies Oy Facilitating residential wireless roaming via VPN connectivity over public service provider networks
GB2578864B (en) * 2018-09-24 2022-09-21 Metrarc Ltd Trusted ring
US11765164B2 (en) * 2019-02-26 2023-09-19 Amazon Technologies, Inc. Server-based setup for connecting a device to a local area network
US11552947B2 (en) * 2019-07-10 2023-01-10 Microsoft Technology Licensing, Llc Home realm discovery with flat-name usernames
US11259348B2 (en) 2019-08-14 2022-02-22 Sling Media Pvt. Ltd. Remote wireless network setup without pairing
US11139989B2 (en) 2019-08-30 2021-10-05 Motorola Solutions, Inc. Method of enrolling a device into a PKI domain for certificate management using factory key provisioning
US11265690B2 (en) * 2019-09-13 2022-03-01 Sling Media L.L.C. Ecosystem-based wireless network setup
CN112838938B (zh) * 2019-11-25 2022-06-14 中移物联网有限公司 一种物联网平台的测试***
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) * 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
CN116057890B (zh) * 2020-09-17 2024-05-03 华为技术有限公司 多个网络节点之间的敏感信息同步
CN112887981B (zh) * 2021-01-12 2022-10-04 国网电力科学研究院有限公司 一种电力无线专网终端接入的认证方法及***
JP7458348B2 (ja) * 2021-07-05 2024-03-29 株式会社東芝 通信システム、アクセスポイント装置、通信方法及びプログラム
CN115643565A (zh) * 2021-07-19 2023-01-24 华为技术有限公司 一种配网方法及装置
CN113806700A (zh) * 2021-10-09 2021-12-17 深圳市潮流网络技术有限公司 一种信息展示方法及装置
US20230283487A1 (en) * 2022-01-31 2023-09-07 Raytheon Company Hardware Based Authentication And Authorization Of Networked Nodes

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102362269A (zh) * 2008-12-05 2012-02-22 社会传播公司 实时内核
CN102754361A (zh) * 2010-01-22 2012-10-24 高通股份有限公司 用于保护无线中继节点安全的方法和装置
US20130305330A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Systems and methods for remote credentials management
CN103583060A (zh) * 2011-06-03 2014-02-12 黑莓有限公司 用于接入私有网络的***和方法
CN103621040A (zh) * 2011-06-30 2014-03-05 高通股份有限公司 促成对等覆盖网络中对数据对象的群访问控制

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1165439A (ja) * 1996-08-09 1999-03-05 Nippon Telegr & Teleph Corp <Ntt> N進表現暗号による通信および認証方法、ならびにそれらの装置、およびn進表現暗号による通信および認証プログラムを格納した記憶媒体
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7269730B2 (en) * 2002-04-18 2007-09-11 Nokia Corporation Method and apparatus for providing peer authentication for an internet key exchange
US7549048B2 (en) 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
MY142227A (en) * 2005-02-04 2010-11-15 Qualcomm Inc Secure bootstrapping for wireless communications
US7756509B2 (en) 2006-03-31 2010-07-13 Intel Corporation Methods and apparatus for providing an access profile system associated with a broadband wireless access network
US8064597B2 (en) 2007-04-20 2011-11-22 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for mobile device credentialing
KR101495535B1 (ko) 2007-06-22 2015-02-25 삼성전자주식회사 컨텐츠 디바이스의 폐기 여부를 확인하여 데이터를전송하는 전송 방법과 시스템, 데이터 서버
CN101983517B (zh) * 2008-04-02 2014-12-03 诺基亚通信公司 演进分组***的非3gpp接入的安全性
CN101588244A (zh) 2009-05-08 2009-11-25 中兴通讯股份有限公司 对网络设备进行鉴权的方法及***
US8621203B2 (en) * 2009-06-22 2013-12-31 Nokia Corporation Method and apparatus for authenticating a mobile device
US8321351B2 (en) 2009-12-04 2012-11-27 Intel Corporation Device management in a wireless network
WO2011084117A1 (en) 2009-12-18 2011-07-14 Nokia Corporation Credential transfer
US8874914B2 (en) 2010-02-05 2014-10-28 Accenture Global Services Limited Secure and automated credential information transfer mechanism
US9621716B2 (en) 2010-06-10 2017-04-11 Blackberry Limited Method and system for secure provisioning of a wireless device
JP4970585B2 (ja) * 2010-11-10 2012-07-11 株式会社東芝 サービス提供システム及びユニット装置
WO2012140308A1 (en) * 2011-04-13 2012-10-18 Nokia Corporation Method and apparatus for identity based ticketing
US9398455B2 (en) * 2012-03-14 2016-07-19 Marvell World Trade Ltd. System and method for generating an identification based on a public key of an asymmetric key pair
US9558386B2 (en) 2012-05-15 2017-01-31 Honeywell International, Inc. Encoded information reading terminal configured to pre-process images
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
GB2586549B (en) 2013-09-13 2021-05-26 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
US9455979B2 (en) * 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
CA2968051C (en) * 2014-12-22 2020-07-14 University Of South Florida Systems and methods for authentication using multiple devices

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102362269A (zh) * 2008-12-05 2012-02-22 社会传播公司 实时内核
CN102754361A (zh) * 2010-01-22 2012-10-24 高通股份有限公司 用于保护无线中继节点安全的方法和装置
CN103583060A (zh) * 2011-06-03 2014-02-12 黑莓有限公司 用于接入私有网络的***和方法
CN103621040A (zh) * 2011-06-30 2014-03-05 高通股份有限公司 促成对等覆盖网络中对数据对象的群访问控制
US20130305330A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Systems and methods for remote credentials management

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112913204A (zh) * 2018-09-14 2021-06-04 品谱股份有限公司 对包括电子锁的物联网设备的认证
CN109905879A (zh) * 2019-03-23 2019-06-18 西安电子科技大学 基于ecc算法的输电线路监测终端安全接入方法
CN109905879B (zh) * 2019-03-23 2021-04-02 西安电子科技大学 基于ecc算法的输电线路监测终端安全接入方法
CN115039386A (zh) * 2020-01-30 2022-09-09 华为技术有限公司 启动用于无线局域组网的一组节点设备的设备、方法和计算机程序
CN114239010A (zh) * 2021-12-07 2022-03-25 北京天融信网络安全技术有限公司 一种多节点分布式认证方法、***、电子设备及介质

Also Published As

Publication number Publication date
EP3318032B1 (en) 2022-05-04
US11290879B2 (en) 2022-03-29
WO2017001022A1 (en) 2017-01-05
EP3318032A1 (en) 2018-05-09
US20180206117A1 (en) 2018-07-19

Similar Documents

Publication Publication Date Title
CN108028829A (zh) 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点
US11019491B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US10285050B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
CN107534856B (zh) 用于在无线通信***中管理终端的简档的方法和装置
CN101032142B (zh) 通过接入网单一登录访问服务网络的装置和方法
EP3750342B1 (en) Mobile identity for single sign-on (sso) in enterprise networks
US7707412B2 (en) Linked authentication protocols
CA2490131C (en) Key generation in a communication system
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
EP2037621B1 (en) Method and device for deriving local interface key
JP6086987B2 (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
US8094821B2 (en) Key generation in a communication system
CN107580790A (zh) 用于提供简档的方法和装置
US11838752B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US20110035592A1 (en) Authentication method selection using a home enhanced node b profile
JP6997886B2 (ja) コアネットワ-クへの非3gpp装置アクセス
CN107205208B (zh) 鉴权的方法、终端和服务器
EP3956792B1 (en) Cryptographic key generation for mobile communications device
CN113569210A (zh) 分布式身份认证方法、设备访问方法及装置
CN113569209A (zh) 基于区块链的用户注册方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180511

RJ01 Rejection of invention patent application after publication