CN108702296A - 蜂窝设备认证 - Google Patents
蜂窝设备认证 Download PDFInfo
- Publication number
- CN108702296A CN108702296A CN201780013441.7A CN201780013441A CN108702296A CN 108702296 A CN108702296 A CN 108702296A CN 201780013441 A CN201780013441 A CN 201780013441A CN 108702296 A CN108702296 A CN 108702296A
- Authority
- CN
- China
- Prior art keywords
- cellular communication
- communication apparatus
- key
- equipment
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在制造、分发或销售移动电话时,每个电话与非对称加密密钥对相关联,其包括公钥和私钥。私钥存储在电话上,公钥存储在公钥存储库中。当连接到蜂窝网络时,电话会将其设备ID提供给网络。蜂窝网络查询公钥存储库以确定电话的公钥并使用电话的公钥认证电话。蜂窝网络还向电话提供数字身份证书,允许电话使用公钥基础设施(PKI)认证蜂窝网络。
Description
相关申请的交叉引用
本专利申请要求于2016年2月23日提交的序列号为15/051,447的美国实用专利申请的优先权。序列号为15/051,447的申请的全部内容通过引用并入本文。
背景技术
诸如蜂窝电话之类的蜂窝通信设备通常使用集成电路芯片(称为订户识别模块(SIM))来向蜂窝网络供应商进行认证。SIM存储所谓的国际移动订户身份(IMSI)号码,以及特定于发布网络供应商的各种配置信息。SIM还存储唯一的秘密加密密钥,并且具有基于秘密密钥(secret key)执行加密和解密的处理器。
网络供应商维护一个称为认证中心(AuC)的数据库,该数据库存储每个发行的SIM的秘密密钥。为了使用蜂窝通信***进行认证,设备将SIM的IMSI发送给网络供应商。网络供应商参考AuC以找到SIM的秘密密钥。然后,网络供应商向设备发送随机值(RAND)。设备将随机数传递给SIM,SIM使用秘密密钥生成RAND的数字签名。数字签名被传递回网络供应商,并与网络供应商使用秘密密钥计算出的RAND的数字签名进行比较。如果设备提供的数字签名与网络供应商计算出的数字签名匹配,则认为该设备被认证并且被授权访问蜂窝网络。SIM执行类似的数字签名检查以验证网络供应商请求。使用在设备和网络供应商AuC之间建立的会话密钥对进一步的通信进行加密和解密。
附图说明
参考附图描述具体实施方式。在附图中,参考标号的最左边的数字标识首次出现该参考标号的图。在不同附图中使用相同的参考标号表示相似或相同的组件或特征。
图1是用于在蜂窝通信设备和蜂窝网络供应商之间执行相互认证的***的框图。
图2是示出将非对称加密密钥对与蜂窝通信设备相关联的示例方法的流程图。
图3是示出在蜂窝通信设备和蜂窝网络供应商之间进行认证和通信的示例方法的流程图。
图4是示出激活和配置蜂窝通信设备的示例方法的流程图。
图5是示例蜂窝通信设备的框图。
图6是可用于实现蜂窝网络的各种组件(包括蜂窝网络的服务器)的示例计算设备的框图。
具体实施方式
所描述的实现提供了允许蜂窝通信设备向蜂窝网络供应商进行认证而不使用诸如订户识别模块(SIM)之类的物理令牌的设备、***和方法。非对称加密密钥对与每个制造的蜂窝通信设备的非易失性安全内存相关联并存储在其中。非对称密钥对包括公钥和私钥。诸如国际移动订户身份(IMSI)号码之类的唯一码也存储在每个设备上。设备的制造商或另一受信实体维护公钥存储库,该公钥存储库将设备的IMSI交叉引用到设备的公钥。对于对应于特定设备的每个IMSI,可以引用存储库以找到设备的公钥。存储库是公共的并且是受信的,因此可以由多个蜂窝网络供应商访问。
为了获得对蜂窝网络的访问,设备向网络供应商发送指示设备的IMSI的消息。网络供应商访问公钥存储库以确定设备的公钥。然后,供应商使用数字签名方案对设备进行如下认证:供应商生成随机值消息(RAND);设备接收RAND并使用存储在设备上的私钥加密RAND,并将加密的RAND发送回供应商;供应商使用设备的公钥解密RAND,并将返回的RAND与最初发送的RAND进行比较。如果两个值匹配,则认为该设备被认证并且被授权访问蜂窝网络。
蜂窝通信设备还可以使用公钥基础设施(PKI)技术来认证蜂窝网络供应商。例如,蜂窝供应商可以向设备发送数字身份证书。设备使用公钥基础设施(PKI)的认证机构(CA)的服务来验证证书。证书指定与网络供应商所持有的私钥相对应的非对称加密密钥对的公钥。
可以对设备和供应商之间的通信进行数字签名,以允许每个实体验证另一个实体的身份。例如,来自设备的消息可以用设备私钥签名,并且供应商可以使用设备公钥来验证签名,该设备公钥是基于设备提供的IMSI从存储库获得的。类似地,来自供应商的消息可以使用供应商的私钥来签名,并且设备可以使用由供应商的证书指定的供应商公钥来验证签名。
在认证之后,使用由设备或网络供应商使用PKI生成的唯一会话密钥来加密设备和蜂窝网络之间的进一步通信。
当激活设备时,蜂窝网络供应商还可以向设备发送配置信息。可以使用蜂窝供应商的私钥来对配置信息进行签名,使得设备可以使用蜂窝供应商的公钥来验证配置信息的真实性。配置信息可以包括诸如服务供应商名称、服务拨号号码、设备的电话号码、漫游偏好、网络连接参数等信息。
图1示出了示例***100,其中可以使用非对称加密技术和公钥基础设施(PKI)来执行对蜂窝电信设备的认证。***100包括蜂窝网络供应商102,其为多个蜂窝通信设备104提供无线蜂窝电信服务。出于讨论的目的,在图1中仅示出了单个蜂窝通信设备104,在下文中简称为“设备”104。该***还包括密钥存储库106和公钥基础设施(PKI)的认证机构(CA)108。
设备104可以包括任何类型的蜂窝通信设备,例如智能手机、平板计算机、个人计算机、膝上型计算机、可穿戴设备、家庭自动化设备、安全设备、跟踪设备等。在制造、分发或销售时设备104被配置有设备ID 110。设备的设备ID在所有现有蜂窝设备上是全球唯一的。作为示例,设备ID可以包括国际移动台设备身份(IMEI)号码。
在制造、分发或销售时设备104还被配置为与非对称加密密钥对相关联,密钥对包括私钥112和公钥114。私钥112被安全地存储在设备104上,并且在一些情况下,公钥114也可以存储在设备104上。此外,公钥114存储在密钥存储库106中,并由设备ID 110索引。
可以根据RSA加密技术来创建加密密钥对。当使用RSA非对称加密/解密技术时,第一实体可以自由地分发其公钥。也就是说,公钥不需要是秘密的。当第二实体希望将加密通信发送到第一实体时,使用算法来使用第一实体的公钥加密通信。在接收到加密通信时,第一实体使用其私钥来解密通信。
除了在设备104上嵌入设备ID 110、私钥112和公钥114之外,设备104的制造商、分销商或销售者将公钥114添加到密钥存储库106,使得网络供应商102可以访问和使用对应于任何设备ID 110的公钥114。密钥存储库106可以由设备104的销售者维护,或者可以由第三方维护,作为可由许多不同设备制造商或其他设备销售者访问的中央存储库。
密钥存储库交叉引用设备ID和相应的公钥。密钥存储库106包括多个条目116,每个条目由设备ID 110索引,并且每个条目包含设备104的对应于设备ID 110的公钥114。此外,用于特定设备ID 110的条目116和对应设备104可以包含关于设备104的设备信息118。例如,设备信息118可以指示设备104的制造商、设备104的型号或类型、设备104的容量、能力或其他规范等。设备信息118由设备104的制造商或其他销售者或供应商提供。
网络供应商102可以包括执行设备授权的一个或更多个服务器或其他功能组件。出于讨论的目的,网络供应商102被示为具有授权服务器120,授权服务器120执行本文描述的与认证有关的操作,尽管本文归属于授权服务器120的功能可以由多于一个服务器或计算实体执行。这里使用的术语“服务器”指的是为一个或更多个其他实体提供服务的任何计算实体或计算实体的组合。
网络供应商102可以具有由CA 108提供的数字身份证书122。网络供应商102还可以具有其自己的非对称加密密钥对,其包括公钥124和对应的私钥126。证书122指示或指定供应商公钥124。网络供应商102保密私钥126。证书122由CA 108签名,并且可以使用CA的公钥来验证签名。
图1以从上到下的时间顺序示出了***100的元件之间的示例通信。然而,在各种实施例中,所描述的通信可以不同的顺序发生。
为了接入由网络供应商102提供或支持的蜂窝网络,设备104最初向蜂窝供应商发送接入请求以及设备ID 110。可以使用设备104的私钥来签名该请求。响应于从设备104接收到接入请求和设备ID 110,网络供应商102利用设备ID 110访问密钥存储库106以确定和/或获得设备公钥114。然后,网络供应商102使用设备公钥114来验证请求签名。此外,蜂窝网络供应商102在某些情况下可以获得与设备104相关联的设备信息118。
然后,网络供应商102和设备104基于设备私钥112和设备公钥114交换信息以认证设备104。该认证可以包括,作为示例;生成随机值消息(RAND);将RAND发送到设备104;在设备104处使用设备私钥112加密RAND;将加密的RAND发送回供应商;用设备公钥114解密RAND;并将返回的RAND与最初生成的RAND进行比较。如果比较指示两个值彼此相等,则设备104被授权进一步访问蜂窝网络。设备104和网络供应商102之间的这些通信以及后续通信可以使用设备私钥112和供应商私钥126进行数字签名。
在某些实施例中,设备104还可以认证蜂窝供应商的网络提供商102和/或授权服务器120。供应商认证可以包括将数字身份证书122发送到设备104。然后,设备104使用发布证书的CA的公钥来验证证书。如果证书被验证,则认为网络供应商102被认证。如上所述,证书122指示网络供应商102的公钥124,使得设备104可以使用公钥124向蜂窝供应商发送加密通信。供应商102和设备104之间的进一步通信可以使用实体的公钥/私钥或使用动态生成的会话密钥被加密,如下所述。
在上述相互认证之后,网络供应商102可以向设备104提供配置信息。具体地,可以在设备104的初始激活期间提供配置信息。配置信息可以包括服务供应商名称、服务拨号号码、网络连接参数、要分配给设备的电话号码等。可以使用网络供应商102的私钥对配置信息进行签名,以便设备104可以使用网络供应商102的公钥来验证配置信息的真实性。
还可以在网络供应商102和设备104之间交换一个或更多个唯一会话密钥,每个唯一会话密钥可以包括对称加密密钥。会话密钥可以由蜂窝供应商生成,使用设备104的公钥加密,发送到设备104,并由设备104使用设备104的私钥112解密。或者,会话密钥可以由设备104生成,使用网络供应商102的公钥加密,发送到网络供应商102,并且由蜂窝供应商使用网络供应商102的私钥126解密。
使用对称会话密钥对网络供应商102和设备104之间的进一步通信进行加密和解密。
图2示出了可以在蜂窝电信设备的制造、分发、销售和/或初始配置时执行的示例方法200。方法200可以由设备104的销售者(例如制造商、分销商、经销商或其他实体)在将设备104销售给消费者之前执行或与之一起执行。
示例方法200被示为逻辑流程图中的框的集合,其表示可以硬件、软件或其组合实现的操作序列。在软件的上下文中,框表示计算机可执行指令,其当由一个或更多个处理器执行时,执行所述操作。通常,计算机可执行指令包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。描述操作的顺序不旨在被解释为限制,并且可以任何顺序和/或并行地组合任何数量的所描述的框以实现该过程。除了示例方法200之外,贯穿本公开所描述的其他方法应相应地解释。
动作202包括为设备104创建设备ID和非对称加密密钥对,其中密钥对包括私钥112和公钥114。密钥对可以使用RSA技术生成。
动作204包括将设备ID和对应的密钥对存储在设备上。动作206包括以如下方式将设备ID和对应的公钥114存储在密钥存储库中:使得蜂窝网络供应商可以通过提供设备ID110来确定任何设备104的公钥114。密钥存储库可以暴露网络可接入接口,以便各种蜂窝供应商可以查询密钥存储库以获得对应于各个设备的公钥。
图3示出了可以在诸如图1所示的环境中用于蜂窝电信设备和蜂窝网络供应商之间的认证的示例方法300。图3左侧的动作由蜂窝电信设备执行。图3右侧的动作由蜂窝网络供应商执行。跨越图3的右侧和左侧的动作由设备和供应商彼此协作执行。
由设备执行的动作302包括向供应商发送接入请求和设备ID。可以使用供应商的蜂窝网络来发送接入请求,或者在一些情况下可以使用诸如互联网的另一网络来发送接入请求。特别地,在设备的初始激活期间,设备可以通过Wi-Fi接入点和通过互联网而不是通过供应商的蜂窝网络与蜂窝网络供应商通信。在一些实施例中,可以使用设备的私钥来签名接入请求。
由蜂窝网络供应商执行的动作304包括接收请求和设备ID。还由蜂窝网络供应商执行的动作306包括获得设备的公钥。可以通过查询公钥存储库来执行动作306。公钥存储库可以具有网络可接入接口,该接口响应于指定设备ID的查询来提供公钥。设备的公钥可用于验证接入请求的数字签名。
动作306还可以包括从密钥存储库获得设备信息。
由设备和供应商执行的动作308包括使用设备的公钥和私钥来认证设备。作为示例,动作308可以包括生成RAND并将RAND发送到设备。设备使用设备的私钥加密RAND,并将加密的RAND返回给供应商。然后,供应商使用设备公钥解密RAND,并验证解密的RAND是否与供应商最初生成的RAND相同。供应商和设备之间的任何或所有这些通信可以分别使用供应商和设备的私钥进行数字签名。
由供应商执行的动作310包括将供应商的数字身份证书发送到设备。数字身份证书由认证机构(CA)签名,并指示供应商的公钥。
由设备执行的动作312包括接收数字身份证书。还由设备执行的动作314包括使用公钥基础设施(PKI)的CA来验证数字证书。
由设备和供应商执行的动作316包括交换一个或更多个会话密钥。会话密钥可以是随机生成的对称密钥,其用于设备和供应商之间的后续通信。会话密钥可以由设备或供应商生成和提供。如果设备生成会话密钥,则设备使用供应商的公钥加密会话密钥,并将加密的会话密钥发送给供应商。供应商使用供应商的私钥解密会话密钥。如果供应商生成会话密钥,则供应商使用设备的公钥加密会话密钥,并将加密的会话密钥发送到设备。设备使用设备的私钥解密会话密钥。
同样由设备和供应商执行的动作318包括使用会话密钥彼此通信。也就是说,使用会话密钥对传出通信进行加密,并使用会话密钥对传入通信进行解密。图3的通信可以包括设置和正常操作,并且可以包括语音数据和其他数据。
图4示出了最初激活和配置蜂窝电信设备的示例方法400,其可以由蜂窝网络供应商执行。
动作402包括从设备接收接入请求和/或激活请求。可以通过非蜂窝网络接收接入请求,例如通过基于互联网的通信信道,其中设备使用其Wi-Fi能力通过互联网进行通信。如上所述,接入请求指定请求设备的设备ID。可以使用请求设备的私钥对接入请求进行数字签名。
动作404包括认证设备。可以如上参考图3的动作308所述来认证该设备。
动作406包括将配置信息发送到设备。配置信息可以通过非蜂窝网络发送,例如所描述的基于互联网的通信信道。配置信息可以包括蜂窝参数、接入号码和/或地址等,并且更一般地可以包括设备可能需要用于与蜂窝通信网络建立蜂窝通信的任何信息。响应于接收到配置信息并由蜂窝网络供应商进行认证,设备可以开始通过供应商的无线蜂窝网络与供应商通信。
动作406可以包括使用蜂窝网络供应商的私钥生成配置信息的数字签名,并将数字签名发送到蜂窝通信设备。蜂窝通信设备可以使用蜂窝网络供应商的公钥来验证数字签名。
图5是根据各种实施例的说明性设备104的框图。如图所示,设备104可以包括内存502,其可以存储应用程序、操作***(OS)和数据504。设备104还包括一个或更多个处理器506、接口508、显示器510、收发器512、输出设备514、输入设备516和包括机器可读介质520的驱动单元518。
在各种实施例中,内存502包括易失性内存和非易失性内存。内存502还可以被描述为非暂时性计算机存储介质,并且可以包括以用于存储信息的任何方法或技术实现的可移除介质和不可移除介质,所述信息诸如计算机可读指令、数据结构、程序模块或其他数据。应用程序、OS和数据504存储在内存502中。设备ID 110、私钥112和公钥114也可以存储在内存502中。
非暂时性计算机可读介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备,或任何其他有形物理介质,其可用于存储所需信息并且可由设备104访问。任何此类非暂时性计算机可读介质可以是设备104的一部分。
在一些实施例中,一个或更多个处理器506是中央处理单元(CPU)、图形处理单元(GPU)、或CPU和GPU两者,或本领域中已知的其他处理单元或组件。
在各种实施例中,接口508是本领域中已知的任何种类的接口。接口508可以包括以太网接口、无线局域网(WLAN)接口、近场接口、DECT芯片组或用于RJ-11或RJ-45端口的接口中的任何一个或更多个。无线LAN接口可以包括执行使用例如IEEE 802.11、802.16和/或802.20标准发送和接收无线通信的功能的Wi-Fi接口或Wi-Max接口或蓝牙接口。近场接口可以包括接口或射频识别器(RFID),用于经由近场天线发送和接收近场无线电通信。例如,近场接口可以用于本领域已知的功能,例如直接与附近的例如也支持或RFID的设备通信。
在各种实施例中,显示器510可包括液晶显示器或通常用于电信设备或其他便携式设备中的任何其他类型的显示器。例如,显示器510可以是触敏显示屏,其也可以用作输入设备或小键盘,例如用于提供软键键盘、导航按钮等。
在一些实施例中,收发器512包括本领域中已知的任何类型的收发器。例如,收发器512可以包括无线电收发器和接口,其执行经由天线发送和接收射频通信的功能。无线电接口辅助设备104与蜂窝网络和其他网络的各种蜂窝塔、基站和/或接入点之间的无线连接。在一些实施例中,收发器512可以包括Wi-Fi收发器,用于使用IEEE 802.11标准的一个或更多个变体进行通信。
在一些实施例中,输出设备514包括本领域中已知的任何种类的输出设备,诸如显示器(已经描述为显示器510)、扬声器、振动机制或触觉反馈机制。输出设备514还包括用于一个或更多个***设备的端口,例如耳机、***扬声器或***显示器。
在各种实施例中,输入设备516包括本领域中已知的任何种类的输入设备。例如,输入设备516可以包括麦克风、键盘/小键盘或触敏显示器(诸如上述的触敏显示屏)。键盘/小键盘可以是按钮数字拨号盘(例如在典型的电信设备上)、多键键盘(例如传统的QWERTY键盘),或者一种或更多种其他类型的键或按钮,并且还可以包括类似操纵杆的控制器和/或指定的导航按钮等。
机器可读介质520存储一组或更多组指令(例如,软件),其包含用于实现和/或执行本文描述的方法或功能中的任何一个或更多个的操作逻辑。在由设备104执行期间,指令还可以完全或至少部分地驻留在内存502内和处理器506内。内存502和处理器506还可以构成机器可读介质520。
图6是说明性计算设备600的框图,例如可用于实现授权服务器120和/或网络供应商102的其他服务器和组件以及供应商102的蜂窝网络。在各种实施例中,计算设备600可以包括网络服务器,并且可以包括至少一个处理单元602和***内存604。根据计算设备600的确切配置和类型,***内存604可以是易失性的(例如RAM)、非易失性的(例如ROM、闪存等)或两者的某种组合。***内存604可以包括操作***606、一个或更多个程序模块608,并且可以包括程序数据610。
计算设备600还可以包括附加数据存储设备(可移除的和/或不可移除的),例如磁盘、光盘或磁带。这种附加存储器在图6中由存储器612示出。
计算设备600的非暂时性计算机存储介质可以包括以用于存储信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除的介质,所述信息诸如计算机可读指令、数据结构、程序模块或其他数据。***内存604和存储器612都是计算机可读存储介质的示例。非暂时性计算机可读存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光学存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备,或可用于存储所需信息并且可由计算设备600访问的任何其他介质。任何此类非暂时性计算机可读存储介质可以是计算设备600的一部分。
在各种实施例中,***内存604和存储器612中的任何一个或全部可以存储编程指令,当执行该指令时,实现上述的一些或全部功能,该功能由蜂窝服务供应商和/或蜂窝服务供应商提供的组件实现。
计算设备600还可以具有一个或更多个输入设备614,诸如键盘、鼠标、触敏显示器、语音输入设备等。一个或更多个输出设备616,诸如显示器、扬声器、打印机等也可包括在内。计算设备600还可以包含允许计算设备与其他计算设备620通信的通信连接618。
尽管上面描述了特征和/或方法操作,但是应该理解,所附权利要求不必限于那些特征或操作。而是,公开了上述特征和操作作为实现权利要求的示例形式。
Claims (20)
1.一种由蜂窝通信网络服务器执行的方法,所述方法包括:
从蜂窝通信设备接收设备标识符,所述蜂窝通信设备与包括私钥和公钥的非对称加密密钥对相关联;
使用所述设备标识符访问密钥存储库,以确定所述蜂窝通信设备的所述公钥,所述密钥存储库交叉引用设备标识符以分别对应公钥;
使用所述蜂窝通信设备的所述公钥认证所述蜂窝通信设备;
将数字身份证书发送到所述蜂窝通信设备,以由所述蜂窝通信网络服务器的所述蜂窝通信设备进行认证;
与所述蜂窝通信设备交换一个或更多个会话密钥;以及
使用所述一个或更多个会话密钥加密所述蜂窝通信网络服务器和所述蜂窝通信设备之间的通信。
2.如权利要求1所述的方法,还包括在将所述蜂窝通信设备销售给消费者之前将所述私钥存储在所述蜂窝通信设备上。
3.如权利要求1所述的方法,其中:
所述私钥通过所述蜂窝通信设备的销售者存储在所述蜂窝通信设备上;以及
所述密钥存储库至少部分地由所述蜂窝通信设备的所述销售者维护。
4.如权利要求1所述的方法,其中,认证所述蜂窝通信设备包括:
向所述蜂窝通信设备发送第一值;
从所述蜂窝通信设备接收第二值;
解密所述第二值;以及
确定所述第二值与所述第一值相同。
5.如权利要求1所述的方法,还包括:
将配置信息发送到所述蜂窝通信设备;
生成所述配置信息的数字签名;以及
将所述数字签名发送到所述蜂窝通信设备。
6.如权利要求1所述的方法,还包括:
加密所述一个或更多个会话密钥;
其中,与所述蜂窝通信设备交换所述一个或更多个会话密钥包括将一个或更多个加密的会话密钥发送到所述蜂窝通信设备。
7.如权利要求1所述的方法,其中,与所述蜂窝通信设备交换所述一个或更多个会话密钥包括从所述蜂窝通信设备接收一个或更多个加密的会话密钥;
所述方法还包括解密所述一个或更多个加密的会话密钥。
8.一种蜂窝通信设备,包括:
一个或更多个处理器;
存储设备ID和非对称加密密钥对的私钥的一个或更多个非暂时性计算机可读介质,
存储计算机可执行指令的所述一个或更多个非暂时性计算机可读介质,当在所述一个或更多个处理器上执行所述指令时,使得所述一个或更多个处理器执行以下动作,包括:
将所述设备ID发送给蜂窝通信供应商;
至少部分地基于所述非对称加密密钥对与所述蜂窝通信提供商进行认证;
从所述蜂窝通信供应商接收数字身份证书;
使用公钥基础设施认证所述数字身份证书。
9.如权利要求8所述的蜂窝通信设备,所述动作还包括:
与所述蜂窝通信供应商交换一个或更多个会话密钥;以及
使用所述一个或更多个会话密钥加密与所述蜂窝通信供应商的通信。
10.如权利要求8所述的蜂窝通信设备,其中,所述私钥由所述蜂窝通信设备的销售者存储在所述蜂窝通信设备上。
11.如权利要求8所述的蜂窝通信设备,其中,与所述蜂窝通信供应商进行认证包括:
从所述蜂窝通信供应商接收值;
使用所述私钥加密所述值;以及
将加密的值发送给所述蜂窝通信供应商。
12.如权利要求8所述的蜂窝通信设备,所述动作还包括:
生成一个或更多个会话密钥;
使用所述蜂窝通信供应商的公钥加密所述一个或更多个会话密钥;
将加密的一个或更多个会话密钥发送到所述蜂窝通信设备;
使用所述一个或更多个会话密钥加密与所述蜂窝通信供应商的通信。
13.如权利要求8所述的蜂窝通信设备,所述动作还包括:
从所述蜂窝通信供应商接收一个或更多个加密的会话密钥;
使用所述私钥解密所述一个或更多个会话密钥;以及
使用所述一个或更多个会话密钥加密与所述蜂窝通信供应商的通信。
14.一种方法,包括:
从蜂窝通信设备接收设备标识符,所述蜂窝通信设备与包括私钥和公钥的非对称加密密钥对相关联;
使用所述设备标识符访问密钥存储库,以确定所述蜂窝通信设备的所述公钥,所述密钥存储库交叉引用设备标识符以分别对应公钥;
使用所述蜂窝通信设备的所述公钥认证所述蜂窝通信设备。
15.如权利要求14所述的方法,还包括:
向所述蜂窝通信设备发送数字身份证书。
16.如权利要求14所述的方法,还包括:
与所述蜂窝通信设备交换一个或更多个会话密钥;以及
使用所述一个或更多个会话密钥加密与所述蜂窝通信设备的通信。
17.如权利要求14所述的方法,还包括在将所述蜂窝通信设备出售给消费者之前,将所述私钥存储在所述蜂窝通信设备上。
18.如权利要求14所述的方法,还包括在将所述蜂窝通信设备出售给消费者之前,将所述公钥存储在所述密钥存储库中。
19.如权利要求14所述的方法,其中,认证所述蜂窝通信设备包括:
向所述蜂窝通信设备发送第一值;
从所述蜂窝通信设备接收第二值;
使用所述公钥解密所述第二值;以及
确定所述第二值与所述第一值相同。
20.如权利要求14所述的方法,还包括:
将配置信息发送到所述蜂窝通信设备;
生成所述配置信息的数字签名;以及
将所述数字签名发送到所述蜂窝通信设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/051,447 US9699655B1 (en) | 2016-02-23 | 2016-02-23 | Cellular device authentication |
| US15/051,447 | 2016-02-23 | ||
| PCT/US2017/016929 WO2017146903A1 (en) | 2016-02-23 | 2017-02-08 | Cellular device authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108702296A true CN108702296A (zh) | 2018-10-23 |
Family
ID=59152512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780013441.7A Pending CN108702296A (zh) | 2016-02-23 | 2017-02-08 | 蜂窝设备认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9699655B1 (zh) |
| EP (1) | EP3420676A4 (zh) |
| CN (1) | CN108702296A (zh) |
| WO (1) | WO2017146903A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111740854A (zh) * | 2019-03-25 | 2020-10-02 | 美光科技公司 | 用于安全装置通信的设备、方法和*** |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699655B1 (en) * | 2016-02-23 | 2017-07-04 | T-Mobile Usa, Inc. | Cellular device authentication |
| CN107360003B (zh) * | 2017-08-17 | 2020-08-25 | 上海市数字证书认证中心有限公司 | 数字证书的签发方法、***、存储介质以及移动终端 |
| CN108521650A (zh) * | 2018-04-19 | 2018-09-11 | 佛山市长郡科技有限公司 | 一种由智能移动电话通过无线通信网络的通信的方法 |
| CN108777684B (zh) * | 2018-05-30 | 2021-07-13 | 招商银行股份有限公司 | 身份认证方法、***及计算机可读存储介质 |
| WO2019232420A2 (en) | 2018-06-01 | 2019-12-05 | Culvert-Iot Corporation | An intelligent tracking system and methods and systems therefor |
| IL283346B2 (en) * | 2018-11-26 | 2024-04-01 | Forticode Ltd | Mutual authentication of computer systems on an insecure network |
| CN113330765A (zh) * | 2019-01-29 | 2021-08-31 | 施耐德电气美国股份有限公司 | 安全上下文分发服务 |
| US11088821B2 (en) | 2019-03-25 | 2021-08-10 | Micron Technology, Inc. | Secure communication in a traffic control network |
| US11715060B2 (en) | 2019-05-31 | 2023-08-01 | X Development Llc | Intelligent tracking system and methods and systems therefor |
| WO2020243557A1 (en) | 2019-05-31 | 2020-12-03 | Culvert-Iot Corporation | An intelligent tracking system and methods and systems therefor |
| US10805799B1 (en) * | 2019-09-18 | 2020-10-13 | Verizon Patent And Licensing Inc. | System and method for providing authenticated identity of mobile phones |
| US11815944B2 (en) * | 2020-02-13 | 2023-11-14 | Insyde Software Corp. | System and method for securing firmware function calls using session-based encryption |
| US11838428B2 (en) | 2021-12-20 | 2023-12-05 | Nokia Technologies Oy | Certificate-based local UE authentication |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US20040034772A1 (en) * | 2002-08-15 | 2004-02-19 | Opentv, Inc. | Method and system for accelerated data encryption |
| US6931528B1 (en) * | 1997-11-10 | 2005-08-16 | Nokia Networks Oy | Secure handshake protocol |
| CN101242269A (zh) * | 2007-02-09 | 2008-08-13 | 西门子(中国)有限公司 | 预订电信服务的移动通信终端、服务提供商终端、***及方法 |
| CN101529832A (zh) * | 2006-10-24 | 2009-09-09 | 诺基亚公司 | 用于创建服务账户和配置设备的设备和方法 |
| CN103069774A (zh) * | 2010-08-24 | 2013-04-24 | 思科技术公司 | 安全地接入所通知的服务 |
| WO2014193181A1 (ko) * | 2013-05-30 | 2014-12-04 | 삼성전자 주식회사 | 프로파일 설치를 위한 방법 및 장치 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7900242B2 (en) | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
| WO2004014017A1 (en) * | 2002-08-06 | 2004-02-12 | Privaris, Inc. | Methods for secure enrollment and backup of personal identity credentials into electronic devices |
| GB2392590B (en) * | 2002-08-30 | 2005-02-23 | Toshiba Res Europ Ltd | Methods and apparatus for secure data communication links |
| US8321677B2 (en) * | 2006-09-21 | 2012-11-27 | Google Inc. | Pre-binding and tight binding of an on-line identity to a digital signature |
| US8555067B2 (en) | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
| US9009475B2 (en) * | 2011-04-05 | 2015-04-14 | Apple Inc. | Apparatus and methods for storing electronic access clients |
| FR2987529B1 (fr) * | 2012-02-27 | 2014-03-14 | Morpho | Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US10212140B2 (en) * | 2014-02-18 | 2019-02-19 | Nokia Technologies Oy | Key management |
| KR102254852B1 (ko) | 2014-07-19 | 2021-05-25 | 삼성전자주식회사 | 심 운용 방법 및 이를 지원하는 전자 장치 |
| US9479340B1 (en) * | 2015-03-30 | 2016-10-25 | Amazon Technologies, Inc. | Controlling use of encryption keys |
| US9699655B1 (en) * | 2016-02-23 | 2017-07-04 | T-Mobile Usa, Inc. | Cellular device authentication |
-
2016
- 2016-02-23 US US15/051,447 patent/US9699655B1/en active Active
-
2017
- 2017-02-08 EP EP17756978.7A patent/EP3420676A4/en not_active Withdrawn
- 2017-02-08 WO PCT/US2017/016929 patent/WO2017146903A1/en active Application Filing
- 2017-02-08 CN CN201780013441.7A patent/CN108702296A/zh active Pending
- 2017-06-21 US US15/629,667 patent/US10015673B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US6931528B1 (en) * | 1997-11-10 | 2005-08-16 | Nokia Networks Oy | Secure handshake protocol |
| US20040034772A1 (en) * | 2002-08-15 | 2004-02-19 | Opentv, Inc. | Method and system for accelerated data encryption |
| CN101529832A (zh) * | 2006-10-24 | 2009-09-09 | 诺基亚公司 | 用于创建服务账户和配置设备的设备和方法 |
| CN101242269A (zh) * | 2007-02-09 | 2008-08-13 | 西门子(中国)有限公司 | 预订电信服务的移动通信终端、服务提供商终端、***及方法 |
| CN103069774A (zh) * | 2010-08-24 | 2013-04-24 | 思科技术公司 | 安全地接入所通知的服务 |
| WO2014193181A1 (ko) * | 2013-05-30 | 2014-12-04 | 삼성전자 주식회사 | 프로파일 설치를 위한 방법 및 장치 |
Non-Patent Citations (1)
| Title |
|---|
| 秦科,张小松,郝玉洁编著: "《网络安全协议》", 31 March 2008, 电子科技大学出版社 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111740854A (zh) * | 2019-03-25 | 2020-10-02 | 美光科技公司 | 用于安全装置通信的设备、方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170289803A1 (en) | 2017-10-05 |
| EP3420676A4 (en) | 2019-10-23 |
| US9699655B1 (en) | 2017-07-04 |
| WO2017146903A1 (en) | 2017-08-31 |
| US10015673B2 (en) | 2018-07-03 |
| EP3420676A1 (en) | 2019-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108702296A (zh) | 蜂窝设备认证 | |
| US9722775B2 (en) | Network services via trusted execution environment | |
| CN106161359B (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| TWI475862B (zh) | 無線通信之安全引導 | |
| CA2780879C (en) | Provisioning a shared secret to a portable electronic device and to a service entity | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US10516654B2 (en) | System, apparatus and method for key provisioning delegation | |
| EP2204008B1 (en) | Credential provisioning | |
| CN103747443B (zh) | 一种基于手机用户识别卡多安全域装置及其鉴权方法 | |
| KR20200085230A (ko) | 디바이스에 대한 총체적 모듈 인증 | |
| CN101641976A (zh) | 认证方法 | |
| WO2019041809A1 (zh) | 基于服务化架构的注册方法及装置 | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| CN108352982B (zh) | 通信装置、通信方法及记录介质 | |
| WO2011124051A1 (zh) | 终端鉴权方法及*** | |
| Park et al. | Secure profile provisioning architecture for embedded UICC | |
| US20230164560A1 (en) | Bluetooth node pairing method and related apparatus | |
| CN105721144A (zh) | 一种无线网络接入点的密码保存方法及终端 | |
| WO2016003310A1 (en) | Bootstrapping a device to a wireless network | |
| WO2016165429A1 (zh) | 业务处理方法及装置、终端 | |
| CN114553426A (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
| Yoon et al. | Security enhancement scheme for mobile device using H/W cryptographic module | |
| CN113556736A (zh) | 接入方法、服务端、待接入端、电子设备及存储介质 | |
| CN104333448B (zh) | 网络认证***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181023 |
|
| WD01 | Invention patent application deemed withdrawn after publication |