CN112771904B - 分布式网络蜂窝身份管理 - Google Patents
分布式网络蜂窝身份管理 Download PDFInfo
- Publication number
- CN112771904B CN112771904B CN201980063425.8A CN201980063425A CN112771904B CN 112771904 B CN112771904 B CN 112771904B CN 201980063425 A CN201980063425 A CN 201980063425A CN 112771904 B CN112771904 B CN 112771904B
- Authority
- CN
- China
- Prior art keywords
- public key
- user device
- key
- payload
- encrypted message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000001413 cellular effect Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 49
- 230000004044 response Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 29
- 238000007726 management method Methods 0.000 description 31
- 230000006870 function Effects 0.000 description 13
- 230000011664 signaling Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910021420 polycrystalline silicon Inorganic materials 0.000 description 1
- 229920005591 polysilicon Polymers 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
此文件描述了用于分布式网络蜂窝身份管理的技术和装置。特别地,分布式网络蜂窝身份管理(DNCIM)服务器166包括查找表,该查找表将与用户设备(UE)私钥208相关联的UE公钥210、与核心网络(CN)私钥212相关联的CN公钥214以及订户身份216存储并且相联系在一起。使用DNCIM服务器166,UE 110和认证服务器164分别基于UE私钥208和CN公钥214以及UE公钥210和CN私钥212生成两个不同的(例如,非对称的)密码密钥。UE 110和认证服务器164还可以通过参考DNCIM服务器166的查找表中的信息来相互认证。使用这些密码密钥,UE 110和认证服务器164可以彼此建立安全通信。
Description
背景技术
一些电子设备可以使用射频(RF)信号来传达信息。这些射频信号使用户可以与朋友交谈,下载信息,共享图片,远程控制家用设备,接收全球定位信息,收听广播电台等等。使射频信号所携带的信息免受第三方可能具有挑战性。因为射频信号通过空气传播,所以第三方可以使用设备来检测这些射频信号。在没有适当的安全措施的情况下,第三方可以从射频信号中提取信息,并使用此信息来冒充用户,获得对网络的未经授权的访问,窃听会话,侵害用户的隐私,在用户的身份下执行破坏性或非法行为等等。
为了解决这个问题,无线通信可以使用密码学来加密由射频信号携带的信息。这种加密可能会给第三方提取信息带来挑战。一些无线通信标准使用对称密钥,该对称密钥被提供给用户设备(UE)和网络以使UE和网络能够加密或解密在它们之间传达的信息。但是,对称密钥的使用具有一些固有的弱点。例如,负责向UE指配对称密钥的实体可以无意或有意地将对称密钥分配给第三方。另外,负责存储网络对称密钥的服务器可能容易受到第三方的网络攻击(例如,黑客)。因此,保护存储在分离位置的对称密钥可能具有挑战性。
发明内容
描述用于分布式网络蜂窝身份管理的技术和装置。特别地,分布式网络蜂窝身份管理(DNCIM)服务器包括查找表,该查找表具有与不同的用户设备(UE)相关联的一个或多个条目。每个条目包括UE公钥、核心网络(CN)公钥以及与特定UE相关联的订户标识符。UE和网络的认证服务器基于UE私钥和CN公钥以及UE公钥和CN私钥来生成相应密码密钥。这些密码密钥是可以用于建立安全通信(例如,在UE和网络之间加密和解密消息)的非对称密钥。UE和认证服务器还可以通过下述彼此认证:例如,确定DNCIM服务器中存储的订户身份是否与UE和认证服务器分别使用的CN公钥和UE公钥对应。通过DNCIM服务器,不需要将单个对称密钥安全地放置在两个位置。相反,UE和身份验证服务器可以基于DNCIM服务器存储和相联系在一起的信息来生成不同的密码密钥。
以下描述的方面包括由认证服务器执行的方法。该方法包括存储核心网络公钥、与核心网络公钥相关联的核心网络私钥以及预期有效载荷。该方法还包括接收与用户设备相关联的用户设备公钥;和基于用户设备公钥和核心网络私钥两者来生成第一密码密钥。该方法另外包括从用户设备接收加密消息。加密消息包括用第二加密密钥加密的有效载荷,该第二加密密钥基于用户设备私钥和核心网络公钥。该方法进一步包括使用第一密码密钥解密加密消息以获得有效载荷,和基于加密消息的有效载荷等于预期有效载荷的确定来验证第一密码密钥和第二密码密钥。
下面描述的方面包括具有第一处理器和第一存储器***的认证服务器,其被配置成执行所描述的任何方法。处理器可以通信地耦合到第一存储器***,其中,处理器可以被配置成执行存储在第一存储器***中并且使认证服务器执行所描述和/或要求保护的方法中的任意一个的步骤的计算机可读指令。
下面描述的方面还包括由用户设备执行的方法。该方法包括通过用户设备的集成电路存储用户设备私钥和第一订户身份。用户设备私钥与用户设备公钥相关联。该方法还包括获得与认证服务器相关联的核心网络公钥,和基于用户设备私钥和核心网络公钥来生成第一密码密钥。该方法另外包括将加密消息发送到认证服务器。加密消息包括用第一密码密钥加密的有效载荷。该方法进一步包括将核心网络公钥发送到分布式网络蜂窝身份管理服务器,和从分布式网络蜂窝身份管理服务器接收与核心网络公钥相对应的第二订户身份。该方法包括基于由分布式网络蜂窝身份管理服务器提供的第二订户身份等于由集成电路存储的第一订户身份的确定来对认证服务器进行认证。
以下描述的方面包括具有射频收发器的用户设备。用户设备还包括被配置成执行所描述的任何方法的处理器和存储器***。处理器可以通信地耦合到存储器***,其中,处理器可以被配置成执行存储在存储器***中并且使认证服务器执行所描述和/或要求保护的方法中的任意一种的步骤的计算机可读指令。此外,本发明涉及一种包括认证服务器和用户设备的***。
下面描述的各方面还包括一种***,该***具有用于使用分布式网络蜂窝身份管理在核心网络和用户设备之间建立安全通信的装置。
附图说明
参考以下附图描述用于分布式网络蜂窝身份管理的装置和技术。整个附图中使用相同的数字来指代相似特征和组件:
图1图示示例无线网络环境,其中可以实现分布式网络蜂窝身份管理。
图2图示用于分布式网络蜂窝身份管理的示例实体。
图3图示用于分布式网络蜂窝身份管理的用户设备的示例设备图。
图4图示用于分布式网络蜂窝身份管理的实体之间的示例消息收发事务的细节。
图5图示用于分布式网络蜂窝身份管理的实体之间的示例消息收发事务的附加细节。
图6图示用于分布式网络蜂窝身份管理的示例方法。
具体实施方式
概述
本文档描述了用于分布式网络蜂窝身份管理的技术和设备。在没有适当的安全措施的情况下,射频信号携带的信息可能会被第三方拦截。为了解决此问题,无线通信可以使用密码学来加密射频信号所携带的信息。这种加密可能会给第三方提取信息带来挑战。
一些无线通信标准使用对称密钥,该对称密钥被提供给用户设备(UE)和网络,以使UE和网络能够加密或解密在它们之间传达的信息。但是,对称密钥的使用具有一些固有的弱点。例如,负责向UE指配对称密钥的实体可以无意或有意地将对称密钥分发给第三方。附加地或可替代地,负责存储网络的对称密钥的服务器可能遭受来自第三方的网络攻击(例如,黑客)。
为了解决这些弱点,描述了用于分布式网络蜂窝身份管理的技术和装置。特别地,分布式网络蜂窝身份管理(DNCIM)服务器包括查找表,该查找表具有与不同的用户设备(UE)相关联的一个或多个条目。每个条目包括UE公钥、核心网络(CN)公钥以及与特定UE相关联的订户标识符。UE和网络的认证服务器基于UE私钥和CN公钥以及UE公钥和CN私钥来生成相应的密码密钥。这些密码密钥是可以用于建立安全通信(例如,在UE和网络之间加密和解密消息)的非对称密钥。UE和认证服务器还可以通过确定存储在DNCIM服务器中的订户标识符是否与UE和认证服务器分别使用的CN公钥和UE公钥对应来相互认证。使用DNCIM服务器,不需要将单个对称密钥安全地放置在两个位置。相反,UE和认证服务器可以基于由DNCIM服务器存储和相联系在一起的信息来生成不同的密码密钥。
示例环境
图1图示示例性环境100,其包括多个用户设备110(UE 110),其被图示为UE 111、UE 112和UE 113。每个UE 110可以通过图示为无线链路131和132的一个或者多个无线通信链路130(无线链路130)与基站120(图示为基站121、122、123和124)通信。为简单起见,UE110被实现为智能电话,但是可以被实现为任何合适的计算或电子设备,诸如移动通信设备、调制解调器、蜂窝电话、游戏设备、导航设备、媒体设备、膝上型计算机、台式计算机、平板计算机、智能设备、基于车辆的通信***或诸如传感器或致动器的物联网(IoT)设备。基站120(例如,演进型通用陆地无线电接入网络节点B、E-UTRAN节点B、演进型节点B、eNodeB、eNB、下一代演进型节点B、ng-eNB、下一代节点B、gNode B、gNB等)可以实现在宏小区、微小区、小型小区、微微小区等,或其任何组合中。
基站120使用无线链路131和132与UE 110通信,该无线链路131和132可以被实现为任何合适类型的无线链路。无线链路131和132包括控制和数据通信,诸如从基站120传达到UE 110的数据和控制信息的下行链路、从UE 110传达到基站120的其他数据和控制信息的上行链路或者两者。无线链路130可以包括使用任何合适的通信协议或标准、或者通信协议或标准的组合实现的一个或多个无线链路(例如,无线电链路)或承载,所述通信协议或标准诸如第三代合作伙伴计划长期演进(3GPP LTE)、增强型长期演进(eLTE)、第五代新无线电(5G NR)、***(4G)标准等。可以在载波聚合中聚合多个无线链路130,以为UE 110提供更高的数据速率。可以将来自多个基站120的多个无线链路130配置用于与UE 110进行多点协作(CoMP)通信。
基站120共同是无线电接入网络140(例如,RAN、演进型通用陆地无线电接入网络、E-UTRAN、5G NR RAN或NR RAN)。RAN 140被图示为NR RAN 141和E-UTRAN 142。在图1中,核心网络190被示出为包括第五代核心(5GC)网络150(5GC 150)和演进型分组核心(EPC)网络160(EPC 160),它们是不同类型的核心网络。NR RAN 141中的基站121和123连接到5GC150。E-UTRAN142中的基站122和124连接到EPC 160。可选地或附加地,基站122可以连接到5GC 150和EPC 160网络两者。
基站121和123分别在102和104处通过用于控制平面信令的NG2接口和使用用于用户平面数据通信的NG3接口连接到5GC 150。基站122和124使用用于控制平面信令和用户平面数据通信的S1接口分别在106和108处连接到EPC 160。可选地或另外地,如果基站122连接到5GC 150和EPC 160网络,则基站122在180处使用用于控制平面信令的NG2接口并且通过用于用户平面数据通信的NG3接口连接到5GC 150。
除了与核心网络190的连接之外,基站120还可以彼此通信。例如,基站121和123在105处通过Xn接口通信,基站122和123在105通过Xn接口通信,并且基站122和124在107处通过X2接口通信。
5GC 150包括接入和移动性管理功能152(AMF 152),其提供控制平面功能,诸如多个UE 110的注册和认证、授权以及5G NR网络中的移动性管理。EPC 160包括移动性管理实体162(MME 162),其提供控制平面功能,诸如多个UE 110的注册和认证、授权或E-UTRA网络中的移动性管理。AMF 152和MME 162与RAN 140中的基站120通信,并且还使用基站120与多个UE 110通信。
核心网络190还包括认证服务器164和分布式网络蜂窝身份管理(DNCIM)服务器166。认证服务器164可以参与与多个UE 110进行的认证和密钥协商过程,以对多个UE 110进行认证并生成密码密钥以实现与多个UE 110的安全通信。通常,认证服务器164可以与AMF 152或MME 162通信,或者可以访问AMF 152或MME 162的信息和功能。在4G无线通信标准中,认证服务器164可以实现为归属订户服务器(HSS)。在5G无线通信标准中,认证服务器164可以包括认证服务器功能(AUSF)或统一数据管理(UDM)模块。DNCIM服务器166可以生成、分发或存储多个UE 110和核心网络190的公钥,以用于分布式网络蜂窝身份管理。参考图2进一步描述UE 110、认证服务器164和DNCIM服务器166。
图2图示用于分布式网络蜂窝身份管理的示例实体。这些实体包括UE 110、认证服务器164和DNCIM服务器166。在所描绘的配置中,UE 110包括集成电路(IC)200,其可以被实现为订户身份模块(SIM)202(例如,SIM卡)。集成电路200可以安全地存储信息以识别和认证网络订户(例如,UE 110的用户)。
DNCIM服务器166包括查找表204。查找表204包含与UE 110和核心网络190相关联的公共信息,如下文进一步描述的。在一些方面,使用多个公共或私有实体(例如,多个服务器或多个数据库)来实现DNCIM服务器166,并且将查找表204实现为分布式账本206。以这种方式,可以使用诸如区块链的技术维护、更新和保护查找表204。通常,存储在查找表204中的信息是公共信息,其可以由能够与DNCIM服务器166通信的任何实体获得。
网络提供商生成两个密码学密钥对(例如,数字)。每个密码学密钥对都包括私钥和公钥,它们在数学上是链接在一起的并且彼此不同。可以使用多种不同的数学运算来将私钥和公钥相联系在一起,包括因式分解或离散对数。通常,给定私钥来生成公钥相对容易(例如,计算高效)。然而,从公钥得出私钥是挑战性的(例如,计算低效)。这样,可以分发公钥并与其他实体共享,而不暴露私钥。由于公钥和私钥之间的数学关系,所以可以使用私钥对用公钥加密的消息进行解密。
如图2中所示,网络提供商生成UE私钥208、UE公钥210、核心网络(CN)私钥212和CN公钥214。UE私钥208和UE公钥210是非对称密码学密钥对,并且CN私钥212和CN公钥214是第二非对称密码学密钥对。网络提供商可以采用各种不同类型的非对称密钥生成算法来生成这些密码学密钥对,包括Rivest-Shamir-Adleman(RSA)算法、椭圆曲线密码学(ECC)等等。
网络提供商分别将UE私钥208和CN私钥212传递给UE 110和认证服务器164。在UE110内,集成电路200(例如,SIM 202)可以安全地存储UE私钥208。网络提供商还向UE 110指配网络订户的订户身份216。可以由认证服务器164或其他网络实体使用订户身份216以唯一地识别网络订户。作为示例,订户身份216可以是由SIM 202安全地存储的国际移动订户身份(IMSI)218。尽管未明确示出,但是UE 110还可以存储UE公钥210或CN公钥214。这些公钥210和214可以由集成电路200或计算机可读存储介质(CRM)(例如,图3的CRM 312)存储。
在一些方面,网络向认证服务器164提供CN公钥214。在其他方面,认证服务器164可以从DNCIM服务器166获取CN公钥214。认证服务器164也可以存储预期有效载荷220,其可以包括CN公钥214、随机数(例如,任意数)或一些预先确定的数。预期有效载荷220可以由网络提供商指定。
网络提供商还将UE公钥210、CN公钥214和订户身份216传递给DNCIM服务器166。DNCIM服务器166将该信息存储在查找表204的条目中。通过此条目,DNCIM服务器166可以将UE公钥210、CN公钥214和订户身份216相联系在一起。在一些方面,DNCIM服务器166可以基于存储在DNCIM服务器166中的密码学密钥(例如,DNCIM更新密钥222)使用密码学哈希来锁定或防止对查找表204内的条目的改变。DNCIM服务器166还可以通过添加新条目或用新的UE公钥或新的CN公钥分别替换条目的UE公钥210或CN公钥214来对查找表204进行更新。查找表204还可以包括与不同的UE 110相关联的多个条目。以这种方式,DNCIM服务器166可以响应于接收到与多个条目中的条目相对应的UE公钥210、CN公钥214或订户身份216,提供与该条目相关联的UE公钥210、CN公钥214或订户身份216中的至少一个。
示例设备
图3图示UE 110的示例设备图300。为了清楚起见,UE 110可以包括从图3中省略的附加功能和接口。UE 110包括天线302、射频(RF)前端304(RF前端304)、LTE收发器306和5GNR收发器308,用于与5G RAN 141和/或E-UTRAN 142中的基站120进行通信。UE 110的RF前端304可以将LTE收发器306和5G NR收发器308耦合或连接到天线302,以促进各种类型的无线通信。UE 110的天线302可以包括多个彼此相似或不同地配置的天线的阵列。天线302和RF前端304可被调谐到和/或可调谐到由3GPP LTE和5G NR通信标准定义并且由LTE收发器306和/或5G NR收发器308实现的一个或多个频带。作为示例而非限制,天线302和RF前端304可以被实现为在由3GPP LTE和5G NR通信标准定义的亚千兆赫兹频带、亚-6GHZ频带和/或具有在大约6和300GHz之间的频率的频带中操作。
UE 110还包括处理器310和计算机可读存储介质312(CRM 312)。处理器310可以是包括多种材料的单核处理器或多核处理器,诸如硅、多晶硅、高K电介质、铜等。本文所述的计算机可读存储介质不包括传播信号。CRM 312可以包括任何合适的存储器或存储设备,诸如随机存取存储器(RAM)、静态RAM(SRAM)、动态RAM(DRAM)、非易失性RAM(NVRAM)、只读存储器(ROM)或闪存,其可用于存储UE 110的设备数据314。设备数据314包括用户数据、多媒体数据、波束成形码本、应用和/或UE 110的操作***,其可由处理器310执行以实现用户平面通信、控制平面信令以及与UE 110的用户交互。
CRM 312还包括认证模块316。可替代地或附加地,认证模块316可以全部或部分地实现为与UE 110的其他组件集成或分离的硬件逻辑或电路。在至少一些方面中,认证模块316参与与认证服务器164的认证和密钥协商过程,将关于图4进行描述。在此过程期间,认证模块316生成密码密钥,其可以使认证模块316能够建立与网络的安全通信。特别地,认证模块316可以使用密码密钥对发送到基站120的信息进行加密或者对从基站120接收的信息进行解密。UE 110、认证服务器164和DNCIM服务器166可以至少部分地实现分布式网络蜂窝身份管理,如关于图4进一步描述的。
分布式网络蜂窝身份管理
图4图示用于分布式网络蜂窝身份管理的实体之间的示例消息收发事务的细节。在图4中,闭合锁定符号和打开锁定符号分别指示消息是通过安全信道还是不安全信道传达(例如,消息是加密的还是未加密的)。
在405处,UE 110的认证模块316指导UE 110将订户身份216(例如,IMSI 218)发送到核心网络190的认证服务器164。例如,认证模块316可以从SIM 202获得订户身份216,并指导LTE收发器306或5G NR收发机308使用RF前端304和天线302传送包含订户身份216的消息。认证服务器164可以接收来自基站120的订户身份216。
在410处,认证服务器164将订户身份216转发到DNCIM服务器166。DNCIM服务器166将订户身份216作为输入提供给查找功能415。查找功能415使用查找表204以确定与订户身份216相关联的UE公钥210。
在420处,DNCIM服务器166将对应的UE公钥210发送到认证服务器164。如果认证服务器164不具有CN公钥214,则认证服务器164还可以请求DNCIM服务器166发送与订户身份216相关联的CN公钥214,并且DNCIM 166可以通过发送CN公钥214(未示出)来响应。在其他方面,如果UE 110在405处将UE公钥210发送到认证服务器164,则可以绕过在410、415和420处描述的步骤。利用UE公钥210,认证服务器164可以继续进行密码密钥生成425和加密430,将在下面进一步描述。
响应于接收到UE公钥210,认证服务器164在425处执行密码密钥生成,并在430处执行加密。在425处,认证服务器164基于UE公钥210和CN私钥212生成密码密钥Kc 426。密码密钥Kc 426可以被用于验证UE 110的密码密钥,如下文进一步所述。
在430处,认证服务器164生成加密消息436,其有效载荷(例如,内容)是使用UE公钥210加密的。加密消息436的有效载荷包括CN公钥214。在一些方面,有效载荷还包括随机数或某个预先确定的数。在435处,认证服务器164使用基站120将加密消息436发送到UE110。
响应于接收到加密消息436,认证模块316在440处执行解密,在445处执行密码密钥生成,并在450处进行加密。在440处,认证模块316使用UE私钥208对加密消息436解密以在接收到的加密消息436的有效载荷中识别CN公钥214。在其他方面,CN公钥214可以由UE110预先加载和存储。作为示例,集成电路200或CRM 312可以存储CN公钥214。
在445处,认证模块316使用UE私钥208和CN公钥214生成密码密钥Kc'446。
在450处,认证模块316生成加密消息456,其有效载荷使用密码密钥Kc'446加密。加密消息456的有效载荷可以包括接收到的加密消息436的部分或全部内容(例如,CN公钥214和/或随机数)、第二随机数、UE公钥210或预先确定的数。
在455处,认证模块316指导UE 110向认证服务器164发送加密消息456。
在460处,认证服务器164执行密钥协商功能460以验证密码密钥Kc'446和密码密钥Kc 426。例如,认证服务器164使用密码密钥Kc 426对加密消息456进行解密以获得(例如,提取)加密消息456的有效载荷。如果有效载荷与由认证服务器164存储的预期有效载荷220匹配,则认证服务器164确定UE 110的密码密钥446符合核心网络190的密码密钥426。换句话说,密码密钥426和446可以被用于在网络和UE 110之间建立安全通信。响应于验证密码密钥426和446,认证模块316和认证服务器164可以彼此认证,如关于图5进一步描述的。
图5图示用于分布式网络蜂窝身份管理的实体之间的示例消息收发事务的附加细节。在505处,认证服务器164将UE公钥210发送到DNCIM服务器166。
在510处,DNCIM服务器166使用查找功能来确定与UE公钥210相关联的订户身份216。
在515处,DNCIM服务器166将订户身份216发送到认证服务器164。响应于接收到订户身份216,认证服务器164在520处执行认证以确定在图4的405处获得的先前订户身份216是否与在515处获得的订户身份216相等。如果这些身份匹配,则认证服务器164可以使用密码密钥Kc 426与UE 110建立安全通信。换句话说,DNCIM服务器166提供进一步的信息以减少通过使用虚假的订户身份的对UE 110的成功欺骗攻击(或冒充)的风险。
在525处,认证模块316向DNCIM服务器166发送CN公钥214,其在图4中的440处被解密并从加密消息436中提取。
在530处,DNCIM服务器166使用查找功能来确定与CN公钥214相对应的订户身份216。
在535处,DNCIM服务器166将订户身份216发送到UE 110。
在540处,认证模块316执行认证以确定DNCIM服务器166提供的订户身份216是否等于集成电路200(例如SIM 202)中存储的订户身份216。如果这些身份匹配,则认证服务器164被认证,并且UE 110可以使用密码密钥Kc'446与认证服务器164建立安全通信。
在545处,UE 110和核心网络190使用一个或多个加密消息546一起通信。例如,认证服务器164可以向UE 110发送具有使用密码密钥Kc 446加密的有效载荷的加密消息546。UE 110可以使用密码密钥Kc'446来解密加密消息546,以获得加密消息546的有效载荷。类似地,UE 110可以向认证服务器164发送具有使用密码密钥Kc’446加密的有效载荷的加密消息546。认证服务器164可以使用密码密钥Kc426对加密消息546进行解密,以获得加密消息546的有效载荷。通过这种方式,在UE 110与核心网络190之间建立安全通信。
示例方法
图6描绘了用于分布式网络蜂窝身份管理的示例方法600。方法600被示出为执行的一组操作(或动作),但不一定限于图示操作的顺序或组合。此外,可以重复、组合、重组或链接一个或多个操作中的任一个,以提供各种各样的附加和/或替代方法。在以下讨论的部分中,可以参考图1的环境100和图2-4中详述的实体,对其的参考仅作为示例。该技术不限于由在一个设备上操作的一个实体或多个实体的执行。
在602处,存储CN公钥、与CN公钥相关联的CN私钥以及预期有效载荷。例如,认证服务器164存储CN公钥214、CN私钥212和预期有效载荷220,如图2中所示。CN私钥212和CN公钥214表示数学上链接的密码学密钥对。预期有效载荷220可以包括CN公钥214、随机数或预先确定的数。CN私钥212、CN公钥214和预期有效载荷220可以在不同时间单独提供给认证服务器164。在一些情况下,预期有效载荷220可以由认证服务器164在稍后的时间(例如,在604之后、在606之后或在612之前)确定。认证服务器164可以被实现为用于4G标准的HSS服务器,或者可以包括用于5G标准的AUSF或UDM模块。
在604处,接收与UE相关联的UE公钥。例如,认证服务器164接收与UE 110相关联的UE公钥210。可以从UE 110或DNCIM服务器166接收UE公钥210。如果认证服务器164从UE 110接收订户身份216,如在图4中405处所示,认证服务器164可以将订户身份216发送到DNCIM服务器166,如在图4的410处所示,以请求DNCIM服务器166发送与订户身份216相对应的UE公钥210。认证服务器164还可以将CN公钥214发送给UE 110。在一些方面,认证服务器164使用加密消息436将CN公钥214发送给UE 110,如在图4中的435处所示。在606处,基于UE公钥和CN公钥来生成第一密码密钥。例如,认证服务器164可以基于UE公钥210和CN私钥212生成密码密钥Kc 426,如图4中425处所示。
在608处,从UE接收加密消息。加密消息包括使用第二加密密钥加密的有效载荷,该第二加密密钥基于UE私钥和CN公钥。例如,认证服务器164从UE 110接收加密消息456,如在图4中的455处所示。加密消息456包括利用密码密钥Kc'446加密的有效载荷,该密码密钥Kc'446基于UE私钥208和CN公钥214。有效载荷可以包括CN公钥214、随机数或一些预先确定的数字。
在610处,使用第一密码密钥对加密消息进行解密以获得有效载荷。例如,认证服务器164解密加密消息456以获得有效载荷。解密可以作为图4的460处的密钥协商功能的一部分来执行。
在612处,基于加密消息的有效载荷等于预期有效载荷的确定来验证第一密码密钥和第二密码密钥。例如,认证服务器164基于加密消息456的有效载荷等于预期有效载荷220的确定来验证密码密钥Kc426和密码密钥Kc'446。可以将该确定作为图4的460处的密钥协商功能的一部分来执行。
结论
尽管已经以特定于特征和/或方法的语言描述了用于分布式网络蜂窝身份管理的技术,但是应当理解,所附权利要求的主题不必限于所描述的特定特征或方法。而是,公开了特定的特征和方法作为分布式网络蜂窝身份管理的示例实现。
Claims (15)
1.一种由认证服务器执行的方法,所述方法包括:
从用户设备接收第一订户身份;
存储核心网络公钥、与所述核心网络公钥相关联的核心网络私钥和预期有效载荷;
接收与所述用户设备相关联的用户设备公钥;
基于所述用户设备公钥和所述核心网络私钥两者来生成第一密码密钥;
从所述用户设备接收加密消息,所述加密消息包括利用基于用户设备私钥和所述核心网络公钥生成的第二密码密钥加密的有效载荷;
使用所述第一密码密钥对所述加密消息进行解密以获得所述有效载荷;
基于所述加密消息的所述有效载荷等于所述预期有效载荷的确定来验证所述第一密码密钥和所述第二密码密钥;
响应于验证所述第一密码密钥和所述第二密码密钥而向分布式网络蜂窝身份管理服务器发送所述用户设备公钥;
从所述分布式网络蜂窝身份管理服务器接收与所述用户设备公钥相对应的第二订户身份;以及
基于由所述用户设备提供的所述第一订户身份等于由所述分布式网络蜂窝身份管理服务器提供的所述第二订户身份的确定来认证所述用户设备。
2.根据权利要求1所述的方法,进一步包括:
响应于认证所述用户设备而向所述用户设备发送第二加密消息,所述第二加密消息包括第二有效载荷,所述第二有效载荷利用所述第一密码密钥加密并且能够使用所述第二密码密钥解密。
3.根据权利要求1所述的方法,进一步包括:
从所述用户设备接收第三加密消息,所述第三加密消息包括利用所述第二密码密钥加密的第三有效载荷;以及
响应于认证所述用户设备,使用所述第一密码密钥解密所述第三加密消息以确定所述第三有效载荷。
4.根据权利要求1所述的方法,进一步包括:
向分布式网络蜂窝身份管理服务器发送所述用户设备公钥、所述核心网络公钥以及所述用户设备的订户身份中的至少一个;以及
从所述分布式网络蜂窝身份管理服务器接收所述用户设备公钥、所述核心网络公钥和所述订户身份中的至少另一个。
5.根据权利要求4所述的方法,进一步包括:
从所述用户设备接收与所述用户设备相关联的所述订户身份,其中:
发送所述用户设备公钥、所述核心网络公钥和所述订户身份中的所述至少一个包括发送所述订户身份;以及
接收所述用户设备公钥包括接收与所述订户身份相对应的所述用户设备公钥。
6.根据权利要求1所述的方法,其中:
接收所述用户设备公钥包括从所述用户设备接收所述用户设备公钥。
7.根据权利要求1-6中的任一项所述的方法,进一步包括:
响应于接收到所述用户设备公钥而向所述用户设备发送第四加密消息,所述第四加密消息包括利用所述用户设备公钥加密的第四有效载荷。
8.根据权利要求7所述的方法,其中:
所述第四有效载荷包括随机数,并且所述预期有效载荷包括所述随机数;或者
所述第四有效载荷包括所述核心网络公钥,并且所述预期有效载荷包括所述核心网络公钥。
9.一种认证服务器,包括:
第一处理器和第一存储器***,所述第一处理器和第一存储器***被配置成执行根据权利要求1-8中的任一项所述的方法。
10.一种由用户设备执行的方法,所述方法包括:
通过所述用户设备的集成电路存储用户设备私钥和第一订户身份,所述用户设备私钥与用户设备公钥相关联;
获得与认证服务器相关联的核心网络公钥;
基于所述用户设备私钥和所述核心网络公钥来生成第一密码密钥;
向所述认证服务器发送第一加密消息,所述第一加密消息包括利用所述第一密码密钥加密的第一有效载荷;
向分布式网络蜂窝身份管理服务器发送所述核心网络公钥;
从所述分布式网络蜂窝身份管理服务器接收与所述核心网络公钥相对应的第二订户身份;以及
基于由所述分布式网络蜂窝身份管理服务器提供的所述第二订户身份等于由所述集成电路存储的所述第一订户身份的确定来认证所述认证服务器。
11.根据权利要求10所述的方法,其中:
获得与所述认证服务器相关联的所述核心网络公钥包括:
向所述认证服务器发送所述第一订户身份或所述用户设备公钥;
响应于发送所述第一订户身份或所述用户设备公钥而从所述认证服务器接收第二加密消息,所述第二加密消息包括利用所述用户设备公钥加密的第二有效载荷,所述第二有效载荷包括所述核心网络公钥;以及
使用所述用户设备私钥来解密所述第二加密消息,以获得所述核心网络公钥。
12.根据权利要求11所述的方法,其中:
解密所述第二加密消息包括获得包括在所述第二有效载荷中的随机数,
所述方法进一步包括:
生成所述第一加密消息,使得所述第一加密消息的所述第一有效载荷包括从所述第二加密消息获得的所述随机数。
13.根据权利要求10所述的方法,其中:
所述用户设备的所述集成电路包括订户身份模块;以及
所述第一订户身份包括国际移动订户身份。
14.一种用户设备,包括:
射频收发器;和
处理器和存储器***,所述处理器和存储器***被配置成执行根据权利要求10-13中的任一项所述的方法。
15.一种用于分布式网络蜂窝身份管理的***,所述***包括根据权利要求9所述的认证服务器和根据权利要求14所述的用户设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862741079P | 2018-10-04 | 2018-10-04 | |
| US62/741,079 | 2018-10-04 | ||
| PCT/US2019/053861 WO2020072376A1 (en) | 2018-10-04 | 2019-09-30 | Distributed network cellular identity management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112771904A CN112771904A (zh) | 2021-05-07 |
| CN112771904B true CN112771904B (zh) | 2024-05-17 |
Family
ID=68343440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980063425.8A Active CN112771904B (zh) | 2018-10-04 | 2019-09-30 | 分布式网络蜂窝身份管理 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12003957B2 (zh) |
| EP (1) | EP3695578B1 (zh) |
| JP (1) | JP7210715B2 (zh) |
| CN (1) | CN112771904B (zh) |
| WO (1) | WO2020072376A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112771904B (zh) | 2018-10-04 | 2024-05-17 | 谷歌有限责任公司 | 分布式网络蜂窝身份管理 |
| EP3843438A4 (en) * | 2018-10-30 | 2021-09-22 | Huawei Technologies Co., Ltd. | KEY PRODUCTION PROCESS, DEVICE AND SYSTEM |
| US10771243B1 (en) * | 2020-04-29 | 2020-09-08 | Ecosteer Srl | Multicast encryption scheme for data-ownership platform |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8897448B2 (en) * | 2008-10-31 | 2014-11-25 | Ciena Corporation | Controlling session keys through in-band signaling |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN102026178B (zh) | 2010-12-31 | 2013-06-12 | 成都三零瑞通移动通信有限公司 | 一种基于公钥机制的用户身份保护方法 |
| CN103139768B (zh) * | 2011-11-28 | 2017-03-01 | 上海贝尔股份有限公司 | 融合无线网络中的认证方法以及认证装置 |
| EP2736190A1 (en) | 2012-11-26 | 2014-05-28 | Nagravision S.A. | Method, system and device for securely transferring content between devices within a network |
| WO2015064475A1 (ja) * | 2013-10-29 | 2015-05-07 | 京セラ株式会社 | 通信制御方法、認証サーバ及びユーザ端末 |
| US9730072B2 (en) * | 2014-05-23 | 2017-08-08 | Apple Inc. | Electronic subscriber identity module provisioning |
| US9918225B2 (en) | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
| US10237729B2 (en) * | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
| CN105657131A (zh) * | 2016-03-01 | 2016-06-08 | 华为技术有限公司 | 一种防止电话骚扰方法和装置 |
| SG10201603367TA (en) | 2016-04-27 | 2017-11-29 | Huawei Int Pte Ltd | Method and system for authentication with asymmetric key |
| WO2017197596A1 (zh) * | 2016-05-18 | 2017-11-23 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN108011715B (zh) * | 2016-10-31 | 2021-03-23 | 华为技术有限公司 | 一种密钥的分发方法、相关设备和*** |
| CN110192414B (zh) * | 2017-01-16 | 2022-03-18 | 瑞典爱立信有限公司 | 利用轮询ue id列表的寻呼 |
| JP6734802B2 (ja) * | 2017-03-14 | 2020-08-05 | Kddi株式会社 | デバイスおよびデバイス認証システム |
| US10547594B2 (en) | 2017-08-17 | 2020-01-28 | Domanicom Corporation | Systems and methods for implementing data communication with security tokens |
| EP3557815A4 (en) * | 2017-09-29 | 2019-10-23 | Huawei International Pte. Ltd. | KEY MANAGEMENT PROCESS AND DEVICE |
| CN108702622A (zh) | 2017-11-30 | 2018-10-23 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
| US11297492B2 (en) | 2018-03-27 | 2022-04-05 | Apple Inc. | Subscriber identity privacy protection and network key management |
| CN112771904B (zh) | 2018-10-04 | 2024-05-17 | 谷歌有限责任公司 | 分布式网络蜂窝身份管理 |
-
2019
- 2019-09-30 CN CN201980063425.8A patent/CN112771904B/zh active Active
- 2019-09-30 JP JP2021517354A patent/JP7210715B2/ja active Active
- 2019-09-30 US US17/281,207 patent/US12003957B2/en active Active
- 2019-09-30 WO PCT/US2019/053861 patent/WO2020072376A1/en unknown
- 2019-09-30 EP EP19794285.7A patent/EP3695578B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3695578B1 (en) | 2022-11-23 |
| CN112771904A (zh) | 2021-05-07 |
| US20210400474A1 (en) | 2021-12-23 |
| JP7210715B2 (ja) | 2023-01-23 |
| US12003957B2 (en) | 2024-06-04 |
| EP3695578A1 (en) | 2020-08-19 |
| WO2020072376A1 (en) | 2020-04-09 |
| JP2022503839A (ja) | 2022-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122428B2 (en) | Transmission data protection system, method, and apparatus | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| US10567165B2 (en) | Secure key transmission protocol without certificates or pre-shared symmetrical keys | |
| US8838972B2 (en) | Exchange of key material | |
| US10887295B2 (en) | System and method for massive IoT group authentication | |
| US9554270B2 (en) | Enhanced security for direct link communications | |
| US5909491A (en) | Method for sending a secure message in a telecommunications system | |
| US6633979B1 (en) | Methods and arrangements for secure linking of entity authentication and ciphering key generation | |
| CN113614572A (zh) | 基站位置认证 | |
| CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
| US10588019B2 (en) | Secure signaling before performing an authentication and key agreement | |
| CN112771904B (zh) | 分布式网络蜂窝身份管理 | |
| WO2023083170A1 (zh) | 密钥生成方法、装置、终端设备及服务器 | |
| WO2021103772A1 (zh) | 数据传输方法和装置 | |
| Parne et al. | PPSE: Privacy preservation and security efficient AKA protocol for 5G communication networks | |
| CN112118568B (zh) | 一种设备身份鉴权的方法及设备 | |
| WO2023283789A1 (zh) | 一种安全通信方法及装置、终端设备、网络设备 | |
| WO2024041498A1 (zh) | 一种保密通信处理方法、第一终端及存储介质 | |
| CN114245372B (zh) | 一种认证方法、装置和*** | |
| WO2017009714A1 (en) | Establishing a temporary subscription with isolated e-utran network | |
| Haddad et al. | SEPS-AKA: A secure evolved packet system authentication and key agreement scheme for LTE-A networks | |
| Prasad et al. | DS-AKA-A Novel Secured Authentication Protocol for LTE-A Using Public Key Cryptography | |
| Vafaei | Encryption of 4G mobile broadband systems | |
| Fidelis et al. | ENHANCED ADAPTIVE SECURITY PROTOCOL IN LTE AKA | |
| CN116321158A (zh) | 基于证书的本地ue认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |