CN101185311A - 为移动互联网协议密钥分发使用通用认证架构 - Google Patents
为移动互联网协议密钥分发使用通用认证架构 Download PDFInfo
- Publication number
- CN101185311A CN101185311A CNA2006800190014A CN200680019001A CN101185311A CN 101185311 A CN101185311 A CN 101185311A CN A2006800190014 A CNA2006800190014 A CN A2006800190014A CN 200680019001 A CN200680019001 A CN 200680019001A CN 101185311 A CN101185311 A CN 101185311A
- Authority
- CN
- China
- Prior art keywords
- terminal device
- mobile terminal
- application function
- network application
- bootstrapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明允许为移动互联网协议密钥分发使用通用认证架构。在移动终端设备和自举服务器功能之间进行通用认证架构自举。在实施方式中,将结果自举事务标识符发送至归属代理,归属代理用该标识符来获取将要在对移动互联网协议注册请求进行认证中使用的归属代理特定密钥。
Description
技术领域
本发明涉及电信领域。具体地,本发明涉及新颖且改进的方法和系统,该方法和系统在分组数据网络中为移动互联网协议密钥分发使用通用认证架构。
背景技术
除了常规固定分组交换数据通信网络之外,近些年出现了移动分组交换数据通信网络。允许移动性的分组交换数据通信网络或者可简称为分组数据网络的示例公知为无线局域网(WLAN或者无线LAN)。无线LAN允许移动用户通过无线连接而连接到局域网(LAN)。IEEE802.11标准规定了用于无线LAN的技术。
除了传统电路交换数据传输外,移动电信网络也已经开始支持分组交换数据或者分组数据的传输。用于移动通信网络的允许分组数据传输的技术示例是通用分组无线业务(GPRS)。GPRS被设计用于基于全球移动通信系统(GSM)标准来支持例如数字移动电信网络。但是,GPRS并不仅受限于GSM网络,而且还可以支持例如基于第三代合作伙伴计划(3GPP)的数字移动电信网络,或简称为3GPP系统。
电信领域当前的目标是使3GPP系统和无线LAN之间能够进行网际互联,以便例如使无线LAN用户可以接入3GPP系统内的资源和服务,反之亦然。作为此目的中的一部分,需要提供服务和会话的连续性,在无线LAN和3GPP系统之间发生切换期间尤其需要提供。为了实现上述服务和会话的连续性,需要一种提供了移动性的协议。一个这样的协议是移动互联网协议,或者简称为移动IP。
移动IP是互联网协议(IP)的扩展,其旨在为IP提供移动性支持。使用移动IP允许终端设备从一个链路移动到另一个链路,无需改变其IP地址(如IP之上的层所见)而其它终端设备仍能到达该设备。移动IP由IETF(互联网工程任务组)开发,其全部规范可以例如从http://www.ietf.org获得。
下面简要描述涉及移动IP并且与本文其余部分有关的术语。术语“节点”表示实现IP的设备。路由器表示这样的节点,对于不是明确寻址至该节点的IP分组进行转发。链路表示通信设施或者介质,节点可以于其之上在开放式系统互联(OSI)链路层通信。接口表示节点到链路的连接。子网前缀表示由多个IP地址初始位组成的位串。分组表示包括一个或者多个分组头及有效载荷的IP分组。分组头包括一个或者多个字段。用于递送涉及所使用协议的信息的数据单元称为消息。取决于其长度,移动IP消息可以在一个IP分组中传输,或者分成部分并用单独的IP分组来传输该部分。而且,通过使用扩展还可以在消息中携带可选信息。
归属地址表示指派给移动节点的IP地址,并且用作该移动节点的永久或者半永久地址。归属子网前缀表示对应于移动节点归属地址的IP子网前缀。归属链路表示其上定义有移动节点归属子网前缀的链路。除了移动节点归属链路之外的任何其它链路称为外地链路。除了移动节点归属子网前缀之外的任何IP子网前缀称为外地子网前缀。移动节点表示可以改变其从一个链路到另一个链路连接点的节点,这时却仍然可以通过其归属地址到达。移动表示移动节点通往IP网络连接点的改变,使得该移动节点不再接入与之前所接入链路相同的链路。如果当前移动节点并未连接至其归属链路,则该移动节点可以称为“离开归属”。
对端通信节点表示移动节点与之通信的对等节点。对端节点自身可以是移动的或者也可以是固定的。转交(Care-of)地址表示在移动节点访问外地链路时涉及该移动节点的IP地址。这样,此IP地址的子网前缀为外地子网前缀。在任何给定时间,移动节点可以具有多个转交地址但是只有一个能在归属代理处注册。归属代理表示移动节点归属链路上的路由器,移动节点利用该归属代理注册其当前转交地址。
例如,如果移动节点未用归属地址进行配置,则该移动节点可以用移动节点网络接入标识符扩展替代其归属地址来标识其自身。移动节点网络接入标识符扩展是包括移动节点网络接入标识符(NAI)的扩展。网络接入标识符是通常所知的标识符格式,并由互联网工程任务组(IETF)在“Request for Comments”文档RFC 2486中进行了更详细的描述。
注册表示离开归属的移动节点向其归属代理注册其转交地址的过程。移动IP注册提供了灵活的机制,用于移动节点将其当前可达性信息通知给其归属代理。除了使用注册向其归属代理通知其当前转交地址外,移动节点可以利用注册来请求当其离开归属时向其转发服务、由于期满而更新注册,以及当其回到归属时去注册。注册消息在移动节点及其归属代理之间交换信息。注册创建或修改了在归属代理处的移动性绑定,从而在特定生存期内将该移动节点的归属地址与其转交地址相关联。
注册消息包括注册请求消息和注册回复消息。移动节点使用注册请求消息来向其归属代理进行注册,使得其归属代理可以为该移动节点创建或修改移动性绑定。响应于该注册请求消息,归属代理向移动节点返回注册回复消息。在归属代理准予的注册生存期中,注册回复消息一直包含向移动节点通知其注册请求状态所需的代码。
术语“ 移动性安全关联”表示一对节点之间的安全上下文集合,其可以应用到该对节点之间交换的移动IP协议消息。每个安全上下文指示使用中的认证算法和模式、保密(诸如共享密钥或者适合的公/私密钥对)以及回放保护(replay protection)的样式。术语“安全参数索引”(SPI)表示这样的索引,其标识一对节点之间的安全上下文,该安全上下文位于在移动安全关联中可用的上下文之中。因此,每个移动节点和归属代理都需要支持移动安全关联,该移动安全关联通过它们的SPI和IP地址建立索引。如果是移动节点,则通常IP地址是其归属地址。通常,利用认证使能扩展来对移动节点及其归属代理之间的注册消息进行认证。
从以上所述可显而易见的是:移动IP需要将下述用户特定参数提供给移动节点:移动节点网络接入标识符(或者归属地址)、移动节点及其归属代理共享的对称密钥以及标识移动节点安全关联的安全参数索引。换言之,移动IP需要密钥分发机制。
因此,为了利用移动IP来提供移动性以便使3GPP系统和无线LAN之间上述服务和会话的连续性得以实现,需要用于移动IP的密钥分发机制。
近来,已经为3GPP系统研发出称为通用认证架构(GAA)的通用认证和密钥分发方案。通用认证架构(GAA)包括通用自举(Bootstrapping)架构(GBA)。通过使用通用认证架构的GBA部分,由自举事务标识符(B-TID)标识的共享对称密钥可以基于通用用户标识模块(USIM)认证在移动终端设备和网络之间达成一致。
通用认证架构的GBA部分在3GPP技术规范33.220中有更详细的描述。但是,下面简要描述涉及通用认证架构并且与本文其余部分有关的术语。
术语“ 网络应用功能”表示位于网元中的应用。自举服务器功能(BSF)位于网元中,通常在网络运营商的控制之下。自举服务器功能和终端设备均参与自举过程,在该过程中在网络和终端设备之间建立共享密钥。因此,可以例如为了认证目的在网络应用功能和终端设备之间使用共享密钥。通用自举架构可以在网络应用功能和终端设备之间为了认证目的而使用,并且该架构用于保证终端设备和网络应用功能之间通信路径的安全。自举事务标识符用于将用户标识绑定到相应密钥。
自举过程在自举服务器功能和终端设备之间进行。在自举过程的实施方式中,终端设备首先将包含用户标识的请求发送到自举服务器功能。作为响应,自举服务器功能从网络中检索用户安全设置和认证向量,该认证向量包括随机询问(RAND)、认证令牌(AUTN)、期望响应(XRES)、加密密钥(CK)和完整性密钥(IK)。
然后,自举服务器功能将随机询问和认证令牌转发到终端设备。终端设备检查认证令牌以验证该询问是来自认证的网络。终端设备还计算加密密钥、完整性密钥以及响应(RES)。其结果是,终端设备和自举服务器功能两者以会话密钥告终,会话密钥为加密密钥和完整性密钥。接下来,终端设备发送另一个请求,该请求包含对自举服务器功能的摘要认证与密钥协定(AKA)响应。自举服务器功能通过验证摘要AKA响应来认证终端设备。
接下来,自举服务器功能通过连结加密密钥和完整性密钥来生成共享密钥(Ks)。通过从上述和自举服务器功能的服务器名称,即base64encode(RAND)@BSF_servers_domain_name取出base64编码的随机询问值,还生成了例如网络接入标识符格式的自举事务标识符。自举服务器功能向终端设备发送消息以指示认证成功,该消息包括自举事务标识符和共享密钥Ks的生存期。终端设备通过将加密密钥和完整性密钥进行连结来生成密钥Ks。
因此,终端设备和自举服务器功能两者将使用共享密钥Ks来导出将在网络应用功能和终端设备之间例如为了认证目的而使用的网络应用功能特定密钥(Ks_NAF)。网络应用功能特定密钥Ks_NAF可以导出为,例如Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id),其中KDF是密钥导出功能,并且密钥导出参数包括用户的私人标识(IMPI)、网络应用功能的标识(NAF_Id)和随机询问(RAND)。NAF_Id包含网络应用功能的域名服务器名称。字符串“gba-me”指定使用KDF的目的。
但是,即使上述通用认证架构提供了通用密钥分发解决方案,其仍然不能与移动IP一起如上所述进行使用。这是因为,如上所述,移动IP需要移动节点网络接入标识符(或者归属地址)、移动节点及其归属代理共享的对称密钥,以及对将要提供给移动节点的移动节点安全关联进行标识的安全参数索引。仍然如上所述,当前,通用认证架构仅能够用于提供密钥和自举事务标识符。
存在一些现有技术的解决方案来为移动IP提供密钥分发,诸如利用3GPP RADIUS协议和各种设备管理相关解决方案。然而,使用通用认证架构与现有技术方案相比具有显著的优势。例如,使用通用认证架构能够允许用于移动IP的通用用户身份模块(USIM)认证和用户身份模块(SIM)认证。而且,通用认证架构的使用不会要求改变移动IP协议规范,并且如果有变化的话,也是在实现中的小变化。
因此,本发明的目的在于缓解上述问题并且在分组数据网络中引入允许将通用认证架构用于移动互联网协议密钥分发的机制。
发明内容
本发明的第一方面是一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的方法,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理。
应当理解,在本发明环境中,术语“移动终端设备”表示实现通用认证架构和移动互联网协议两者的设备,所以从移动互联网协议的角度来看,“移动终端设备”充当移动节点,而从通用认证架构的角度来看,“ 移动终端设备”充当这样的终端设备或者用户设备,其能够与自举服务器功能一起进行通用认证架构自举过程,并能够在作为结果在通用认证架构自举过程中所获取共享密钥的基础上导出网络应用功能特定密钥,如上所述。
此外,应当理解在本发明的环境中,术语“自举服务器功能”表示执行通用认证架构的上述自举服务器功能特性的网络实体。网络实体可以实现其它功能特性。
此外,应当理解在本发明的环境中,术语“归属代理”表示执行移动互联网协议的上述归属代理功能特性的网络实体。此外,应当理解在本发明的环境中,术语“网络应用功能”表示位于网元中的应用。
根据本发明的方法,通用认证架构自举过程在移动终端设备和自举服务器功能之间进行。其结果是,移动终端设备和自举服务器功能的每一个均至少获得与移动终端设备相关联的自举事务标识符以及相应的共享密钥。
应当理解,在本发明的环境中,术语“共享密钥”表示通用认证架构的上述共享密钥Ks。此外,应当理解在本发明的环境中,术语“自举事务标识符”表示通用认证架构的上述自举事务标识符。此外,应当理解在本发明的环境中,术语“共享”表示移动终端设备和自举服务器功能共享密钥。
进一步根据本发明的方法,移动终端设备中至少在所获取共享密钥和网络应用功能标识符的基础上导出网络应用功能特定密钥。
应当理解,在本发明的环境中,术语“网络应用功能特定密钥”表示通用认证架构的上述网络应用功能特定密钥Ks_NAF。在本领域中,上述网络应用功能特定密钥Ks_NAF有时也称为Ks_int_NAF或者Ks_ext_NAF。根据本发明,已经通过将网络应用功能标识符用作网络应用功能标识NAF_Id来导出网络应用功能特定密钥(Ks_NAF、Ks_int_NAF或者Ks_ext_NAF)。
进一步根据本发明的方法,移动终端设备至少在所导出网络应用功能特定密钥的基础上导出消息认证码。
进一步根据本发明的方法,从移动终端设备向归属代理发送用于移动互联网协议注册的请求消息。用于移动互联网协议注册的请求消息包括导出的消息认证码和移动终端设备的标识符。消息认证码可以被包括在例如请求消息的认证扩展中,诸如“移动归属认证扩展”或者“移动节点-AAA认证扩展”。消息认证码可以如在移动互联网协议中所述而导出,即可以通过计算请求消息的内容(除了认证扩展)来获得,使得结果消息认证码是其认证的特定请求消息的“消息摘要”。例如,可以将HMAC-MD5算法用于计算消息认证码。
进一步根据本发明的方法,归属代理从以下之一获取网络应用功能特定密钥:自举服务器功能和网络应用功能。在所接收的移动终端设备的标识符的基础上获取网络应用功能特定密钥。在实施方式中,网络应用功能的标识符可以在获取网络应用功能特定密钥的过程中使用。即,所接收的移动终端设备的标识符用于从以下之一中找到相应的共享密钥:自举服务器功能和网络应用功能;使用找到的共享密钥和可选地使用找到的网络应用功能标识符来导出网络应用功能特定密钥。
进一步根据本发明的方法,归属代理通过用所获取网络应用功能特定密钥验证所接收消息认证码来认证所接收用于移动互联网协议注册的请求消息。
本发明的第二方面是一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的系统,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理。
根据本发明第二方面的系统包括第一自举器和第二自举器,它们分别置于移动终端设备和自举服务器功能中并且被布置以在移动终端设备和自举服务器功能之间进行通用认证架构自举过程,这将使移动终端设备和自举服务器功能的每一个都至少获得与移动终端设备相关联的自举事务标识符和相应共享密钥。
根据本发明第二方面的系统进一步包括网络应用功能特定密钥导出器,其置于移动终端设备中并被布置以至少在所获取共享密钥和网络应用功能标识符的基础上导出网络应用功能特定密钥。
根据本发明第二方面的系统进一步包括消息认证码导出器,其置于移动终端设备中并被布置以至少基于该导出的网络应用功能特定密钥来导出消息认证码。
根据本发明第二方面的系统进一步包括注册请求器,其置于移动终端设备中并被布置以向归属代理发送用于移动互联网协议注册的请求消息,该消息包括所导出消息认证码和移动终端设备的标识符。
根据本发明第二方面的系统进一步包括网络应用功能特定密钥获取器,其置于归属代理中并被布置以在所接收移动终端设备的标识符的基础上从以下之一获取网络应用功能特定密钥:自举服务器功能和网络应用功能。
根据本发明第二方面的系统进一步包括注册认证器,其置于归属代理中并被布置以通过用网络应用功能特定密钥对所接收消息认证码进行验证来对所接收用于移动互联网协议注册的请求消息进行认证。
本发明的第三方面是一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的系统,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理。
根据本发明第三方面的系统包括第一自举装置和第二自举装置,它们分别置于移动终端设备和自举服务器功能中,用于在移动终端设备和自举服务器功能之间进行通用认证架构自举过程,这将使移动终端设备和自举服务器功能的每一个都至少获得与移动终端设备相关联的自举事务标识符和相应共享密钥。
根据本发明第三方面的系统进一步包括网络应用功能特定密钥导出装置,其置于移动终端设备中,用于至少在所获取共享密钥和网络应用功能标识符的基础上导出网络应用功能特定密钥。
根据本发明第三方面的系统进一步包括消息认证码导出装置,其置于移动终端设备中,用于至少基于该导出的网络应用功能特定密钥来导出消息认证码。
根据本发明第三方面的系统进一步包括注册请求装置,其置于移动终端设备中,用于向归属代理发送用于移动互联网协议注册的请求消息,该消息包括所导出的消息认证码和移动终端设备的标识符。
根据本发明第三方面的系统进一步包括网络应用功能特定密钥获取装置,其置于归属代理中,用于在所接收移动终端设备的标识符的基础上从以下之一获取网络应用功能特定密钥:自举服务器功能和网络应用功能。
根据本发明第三方面的系统进一步包括注册认证装置,其置于归属代理中,用于通过用网络应用功能特定密钥对所接收消息认证码进行验证来对所接收用于移动互联网协议注册的请求消息进行认证。
本发明的第四方面是分组数据网络的移动终端设备。根据本发明第四方面的移动终端设备包括第一自举器,其被配置以与所述分组数据网络的自举服务器功能一起来进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥。
根据本发明第四方面的移动终端设备进一步包括网络应用功能特定密钥导出器,其被配置以至少在所述获取的共享密钥和所述分组数据网络的网络应用功能的标识符的基础上来导出网络应用功能特定密钥。
根据本发明第四方面的移动终端设备进一步包括消息认证码导出器,其被配置以至少在所述导出的网络应用功能特定密钥的基础上来导出消息认证码。
根据本发明第四方面的移动终端设备进一步包括注册请求器,其被配置以向与所述移动终端设备相关联的归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符。
本发明的第五方面是分组数据网络的归属代理。根据本发明第五方面的归属代理包括网络应用功能特定密钥获取器,其被配置以在所述分组数据网络的移动终端设备的标识符的基础上来从以下之一获取网络应用功能特定密钥:分组数据网络的自举服务器功能和网络应用功能;移动终端设备的标识符是从移动终端设备接收的。
根据本发明第五方面的归属代理进一步包括注册认证器,其被配置以通过利用所述获取的网络应用功能特定密钥验证消息认证码来认证用于移动互联网协议注册的请求消息,所述请求消息和所述消息认证码是从所述移动终端设备接收的。
本发明的第六方面是一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的在计算机可读介质上具体化的计算机程序,其中该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关的归属代理。计算机程序控制数据处理设备进行下述步骤:
在移动终端设备和自举服务器功能之间进行通用认证架构自举过程,从而使移动终端设备和自举服务器功能的每一个均至少获得与移动终端设备相关联的自举事务标识符和相应的共享密钥;
至少基于获取的共享密钥和网络应用功能的标识符,移动终端设备导出网络应用功能特定密钥;
至少基于导出的网络应用功能特定密钥,移动终端设备导出消息认证码;
从移动终端设备向归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括导出的消息认证码和移动终端设备的标识符;
基于接收的移动终端设备的标识符,归属代理从以下之一获取网络应用功能特定密钥:自举服务器功能和网络应用功能;以及
归属代理通过用获取的网络应用功能特定密钥验证接收的消息认证码来认证用于移动互联网协议注册的请求消息。
在本发明实施方式中,响应于成功认证,向移动终端设备发送确认消息,以指示移动互联网协议成功注册。
在本发明实施方式中,利用已经获取的网络应用功能特定密钥对归属代理认证从移动终端设备接收的、用于移动互联网协议注册的后续请求消息。
在本发明实施方式中,移动终端设备的标识符包括自举事务标识符。
在本发明的实施方式中,移动终端设备的标识符包括移动终端设备的网络接入标识符。
在本发明的实施方式中,网络应用功能的标识符包括网络应用功能的域名服务器名称。
在本发明的实施方式中,网络应用功能的标识符包括网络应用功能的互联网协议地址。
在本发明的实施方式中,网络应用功能与归属代理相关联,网络应用功能的标识符包括归属代理的域名服务器名称。
在本发明的实施方式中,网络应用功能与归属代理相关联,网络应用功能的标识符包括归属代理的互联网协议地址。
在本发明的实施方式中,网络应用功能与包括上述归属代理的一组归属代理相关联,网络应用功能的标识符包括网络应用功能的域名服务器名称。
在本发明的实施方式中,网络应用功能与包括上述归属代理的一组归属代理相关联,网络应用功能的标识符包括网络应用功能的互联网协议地址。
在本发明的实施方式中,网络应用功能特定密钥获取器进一步被布置以向网络应用功能发送用于网络应用功能特定密钥的请求,该请求包括所接收移动终端设备的标识符和网络应用功能的标识符。在此实施方式中,网络应用功能被进一步布置以将该请求转发至自举服务器功能。在此实施方式中,自举服务器功能被进一步布置以便响应于所接收请求来至少在所接收网络应用功能的标识符以及与移动终端设备所接收标识符相对应的共享密钥的基础上导出网络应用功能特定密钥。在此实施方式中,自举服务器功能进一步被布置以将所导出网络应用功能特定密钥转发至归属代理。
在本发明的实施方式中,用于移动互联网协议注册的请求消息可以是移动互联网协议版本4的“注册请求”消息,如上详细所述。“注册请求”消息可以包括移动节点网络接入标识符扩展,该扩展可以包括移动终端设备的标识符,即移动终端设备的网络接入标识符,或者根据本发明,包括自举事务标识符。
在本发明的实施方式中,确认消息是移动互联网协议版本4的“注册回复”消息,如上详细所述。
在本发明的实施方式中,用于移动互联网协议注册的请求消息可以是移动互联网协议版本6的“绑定更新”消息。
在本发明的实施方式中,确认消息是移动互联网协议版本6的“绑定确认”消息。
在本发明的实施方式中,如果移动终端设备首先未进行自举过程,而将用于移动互联网协议注册的请求消息从移动终端设备发送至归属代理,则从归属代理向移动终端设备发送指示需要该自举的消息。
本发明允许在分组数据网络中为移动互联网协议密钥分发使用通用认证架构。根据本发明的通用认证架构的使用允许用于移动IP的通用用户身份模块认证和用户身份模块认证。此外,根据本发明的通用认证架构的使用不会要求改变移动IP协议规范,并且如果有变化的话,也是在实现中的小变化。
附图说明
包括以提供对本发明的进一步理解并构成本说明书一部分的附图,其示出了本发明的实施方式并与说明书一起来帮助解释本发明的原理。附图中:
图1是示出了根据本发明实施方式的方法的示意图;以及
图2是示出了根据本发明实施方式的系统的框图。
具体实施方式
现在详细参照本发明的实施方式,其中该实施方式的示例在附图中示出。
图1说明了本发明方法的实施方式,该方法涉及在分组数据网络中将通用认证架构用于移动互联网协议密钥分发。分组数据网络包括移动终端设备20、自举服务器功能30、与移动终端设备20相关的归属代理40和网络应用功能50。
尽管图1说明了分立的网络应用功能50和归属代理40,但是在本发明实施方式中,网络应用功能50可以与归属代理40集成在一起。在此实施方式中,网络应用功能50的标识符可以包括例如归属代理40的域名服务器名称。可选地,在此实施方式中,网络应用功能50的标识符可以包括例如归属代理40的互联网协议地址。
在本发明另一个实施方式中,网络应用功能50和归属代理40可以是分立的网络实体。在此实施方式中,网络应用功能50的标识符可以包括例如网络应用功能50的互联网协议地址或者域名服务器名称。
仍然在本发明的另一个实施方式中,网络应用功能50可以与包括归属代理40的一组归属代理相关联。在此实施方式中,网络应用功能50的标识符可以包括例如网络应用功能50的互联网协议地址或者域名服务器名称。
在图1所示的本发明实施方式中,在移动终端设备20和自举服务器功能30之间进行通用认证架构自举过程,即步骤1。其结果是,移动终端设备20和自举服务器功能30的每一个均至少获得与移动终端设备20相关联的自举事务标识符以及相应的共享密钥。在本发明的实施方式中,移动终端设备20和自举服务器功能30的每一个均可进一步获得该共享密钥的生存期。
接下来,在步骤2,移动终端设备20至少在步骤1所获取共享密钥和网络应用功能50的标识符的基础上导出特定于网络应用功能的密钥。在步骤3,移动终端设备20至少在该导出的网络应用功能特定密钥的基础上导出消息认证码。用于移动互联网协议注册的请求消息从移动终端设备20发送到归属代理40,即步骤4。用于移动互联网协议注册的请求消息包括导出的消息认证码和移动终端设备20的标识符。
在本发明的实施方式中,移动终端设备20的标识符可以包括在步骤1获取的自举事务标识符。在本发明的另一个实施方式中,移动终端设备20的标识符可以包括移动终端设备20的网络接入标识符。仍然在本发明的另一个实施方式中,移动终端设备20的标识符可以包括移动终端设备20的网络接入标识符,该网络接入标识符包括在步骤1所获取的自举事务标识符。
在本发明的实施方式中,用于移动互联网协议注册的请求消息可以是例如移动互联网协议版本4的“注册请求”消息。在此实施方式中,移动终端设备20的标识符可以被包括在例如“注册请求”消息的移动节点网络接入标识符扩展中。
在本发明的实施方式中,用于移动互联网协议注册的请求消息可以是例如移动互联网协议版本6的“绑定更新”消息。在此实施方式中,移动终端设备20的标识符可以被包括在例如“绑定更新”消息的选项中。
在包括自举事务标识符的移动终端设备20的标识符的实施方式中,由于自举事务标识符已经唯一标识了共享密钥,所以不需要向移动终端设备提供安全参数索引值。在实施方式中,移动终端设备20可以在例如移动互联网协议认证器扩展的安全参数索引字段中使用公知的安全参数索引,即固定安全参数索引。在实施方式中,公知的安全参数索引值可以由互联网名称指派机构(IANA)为此目的进行分配。在另一个实施方式中,公知的安全参数索引值可以由3GPP系统从动态的安全参数索引范围中选择。
在包括移动终端设备20网络接入标识符的移动终端设备20的标识符的实施方式中,网络接入标识符可以包括订户的国际移动用户标识(IMSI)。如在本领域中所公知的,由于网络接入标识符可以是无法在自举后改变的长期标识符,所以网络接入标识符也许不能唯一标识共享密钥。因此,在此实施方式中,可以使用公知安全参数索引,从而可以使用最新的自举共享密钥。
在步骤5中,归属代理40从以下之一获取网络应用功能特定密钥: 自举服务器功能30和网络应用功能50。在所接收的移动终端设备20标识符的基础上获取网络应用功能特定密钥。
在步骤6,归属代理40通过用所获取网络应用功能特定密钥验证所接收消息认证码来认证所接收用于移动互联网协议注册的请求消息。在步骤7,响应于成功认证,向移动终端设备20发送确认消息,以指示移动互联网协议成功注册。
本发明允许通过利用已经在步骤5获取的网络应用功能特定密钥对归属代理40认证从移动终端设备20接收的后续移动互联网协议注册。当已经获得的网络应用功能特定密钥将要过期时,移动终端设备20可以例如再次进行步骤1的通用认证架构自举过程,以便获取用于未来移动互联网协议注册的新的自举事务标识符。
图2说明了本发明系统的实施方式。图2公开了分组数据网络10,其包括移动终端设备20、自举服务器功能30、网络应用功能50和与移动终端设备20相关联的归属代理40。
图2中所示本发明系统的实施方式包括分别置于移动终端设备20和自举服务器功能30中的第一自举器21和第二自举器31,并且第一自举器21和第二自举器31被布置以在移动终端设备20和自举服务器功能30之间进行通用认证架构自举过程,这将使移动终端设备20和自举服务器功能30的每一个都至少获得与移动终端设备20相关联的自举事务标识符和相应共享密钥。
图2中所示本发明系统的实施方式进一步包括网络应用功能特定密钥导出器22,其置于移动终端设备20中并被布置以至少在所获取共享密钥和网络应用功能50的标识符的基础上导出网络应用功能特定密钥。
图2中所示本发明系统的实施方式进一步包括消息认证码导出器23,其置于移动终端设备20中并被布置以至少在该导出的网络应用功能特定密钥的基础上来导出消息认证码。
图2中所示本发明系统的实施方式进一步包括注册请求器24,其置于移动终端设备20中并被布置以向归属代理40发送用于移动互联网协议注册的请求消息,该消息包括所导出消息认证码和移动终端设备20的标识符。
图2中所示本发明系统的实施方式进一步包括网络应用功能特定密钥获取器41,其置于归属代理40中并被布置以在所接收移动终端设备20的标识符和可选地在网络应用功能50的标识符的基础上来从以下之一获取网络应用功能特定密钥:自举服务器功能30和网络应用功能50。
图2中所示本发明系统的实施方式进一步包括注册认证器42,其置于归属代理40中并被布置以通过用网络应用功能特定密钥对所接收消息认证码进行验证来对所接收用于移动互联网协议注册的请求消息进行认证。
在本发明的实施方式中,网络应用功能特定密钥获取器41可以进一步被布置以向网络应用功能50发送用于网络应用功能特定密钥的请求,该请求包括所接收移动终端设备20的标识符和网络应用功能50的标识符。在此实施方式中,网络应用功能50可以被布置以将该请求转发至自举服务器功能30。在此实施方式中,自举服务器功能30可以进一步被布置以响应于所接收请求来至少在所接收网络应用功能50的标识符以及与移动终端设备20所接收标识符相对应的共享密钥的基础上导出网络应用功能特定密钥。在此实施方式中,自举服务器功能30可以进一步被布置以将所导出网络应用功能特定密钥转发至归属代理40。
在本发明实施方式中,网络应用功能50或者自举服务器功能30可以包括通过例如简单目录访问协议(LDAP)可访问的数据库(图2中未示出)。在本发明实施方式中,网络应用功能50或者自举服务器功能30可以包括通过例如RADIUS协议可访问的数据库服务器(图2中未示出)。从网络应用功能特定密钥获取器41发送的用于网络应用功能特定密钥的请求可以被引导向此数据库或者数据库服务器,然后该数据库或者数据库服务器可以继而与自举服务器功能30进行接触以获取网络应用功能特定密钥。可选地,数据库或者数据库服务器可以存储一个或者多个先前获得的网络应用功能特定密钥,该网络应用功能特定密钥是先前从自举服务器功能30获取的。
除了如前所述在获取网络应用功能特定密钥中利用网络应用功能50的标识符外,还可以在获取网络应用功能特定密钥中利用预先配置的服务器信息,该预先配置的服务器信息涉及上述数据库或者数据库服务器。
在本发明的实施方式中,如果移动终端设备20在首先未自举的情况下试图向归属代理40进行注册,则归属代理40可以被布置以向移动终端设备20发送指示需要自举的消息。
上述第一自举器21、网络应用功能特定密钥导出器22、消息认证码导出器23、注册请求器24、第二自举器31、网络应用功能特定密钥获取器41和注册认证器42可以用软件、硬件或者软件和硬件的组合来实现。
对于本领域技术人员显而易见的是,在利用技术进步的条件下,本发明的基本思想可以用各种方式来实现。因此,本发明及其实施方式并不用于限制上述示例,取而代之的是,它们可以在权利要求书的范围内进行变化。
Claims (18)
1.一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的方法,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理,该方法包括:
在所述移动终端设备和所述自举服务器功能之间进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个均至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥;
至少基于所述获取的共享密钥和所述网络应用功能的标识符,所述移动终端设备导出网络应用功能特定密钥;
至少基于所述导出的网络应用功能特定密钥,所述移动终端设备导出消息认证码;
从所述移动终端设备向所述归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符;
基于所述移动终端设备的所述接收的标识符,所述归属代理从以下之一获取所述网络应用功能特定密钥:所述自举服务器功能和所述网络应用功能;以及
所述归属代理通过用所述获取的网络应用功能特定密钥验证所述消息认证码来认证用于移动互联网协议注册的所述请求消息。
2.根据权利要求1所述的方法,进一步包括以下步骤:
响应于成功认证,向所述移动终端设备发送指示移动互联网协议成功注册的确认消息。
3.根据权利要求1所述的方法,其中通过利用所述获取的网络应用功能特定密钥对所述归属代理认证从所述移动终端设备接收的、用于移动互联网协议注册的后续请求消息。
4.根据权利要求1所述的方法,其中所述移动终端设备的所述标识符包括所述自举事务标识符。
5.根据权利要求1所述的方法,其中所述移动终端设备的所述标识符包括所述移动终端设备的网络接入标识符。
6.根据权利要求1所述的方法,其中所述网络应用功能的所述标识符包括所述网络应用功能的域名服务器名称。
7.根据权利要求1所述的方法,其中所述网络应用功能的所述标识符包括所述网络应用功能的互联网协议地址。
8.根据权利要求1所述的方法,其中所述网络应用功能与所述归属代理相关联,并且其中所述网络应用功能的所述标识符包括所述归属代理的域名服务器名称。
9.根据权利要求1所述的方法,其中所述网络应用功能与所述归属代理相关联,并且其中所述网络应用功能的所述标识符包括所述归属代理的互联网协议地址。
10.根据权利要求1所述的方法,其中所述网络应用功能与包括所述归属代理的一组归属代理相关联,并且其中所述网络应用功能的所述标识符包括所述网络应用功能的域名服务器名称。
11.根据权利要求1所述的方法,其中所述网络应用功能与包括所述归属代理的一组归属代理相关联,并且其中所述网络应用功能的所述标识符包括所述网络应用功能的互联网协议地址。
12.根据权利要求1所述的方法,其中如果所述移动终端设备首先未进行所述自举过程,而将用于移动互联网协议注册的请求消息从所述移动终端设备发送至所述归属代理,则从所述归属代理向所述移动终端设备发送指示需要自举的消息。
13.一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的系统,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理,该系统包括:
第一自举器和第二自举器,它们分别置于所述移动终端设备和所述自举服务器功能中,并且被配置以在所述移动终端设备和所述自举服务器功能之间进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个均至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥;
网络应用功能特定密钥导出器,其置于所述移动终端设备中并且被配置以至少基于所述获取的共享密钥和所述网络应用功能的标识符来导出网络应用功能特定密钥;
消息认证码导出器,其置于所述移动终端设备中并且被配置以至少基于所述导出的网络应用功能特定密钥来导出消息认证码;
注册请求器,其置于所述移动终端设备中并且被配置以向所述归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符;
网络应用功能特定密钥获取器,其置于所述归属代理中并且被配置以基于所述移动终端设备的所述接收标识符来从以下之一获取所述网络应用功能特定密钥:所述自举服务器功能和所述网络应用功能;以及
注册认证器,其置于所述归属代理中并且被配置以通过用所述获取的网络应用功能特定密钥验证所述接收的消息认证码来认证所述接收的用于移动互联网协议注册的请求消息。
14.根据权利要求13所述的系统,其中:
所述网络应用功能特定密钥获取器被进一步配置以将用于所述网络应用功能特定密钥的请求发送至所述网络应用功能,该请求包括所述移动终端设备的所述接收的标识符和所述网络应用功能的所述标识符;
所述网络应用功能进一步被配置以将所述请求转发至所述自举服务器功能;
所述自举服务器功能被进一步配置以响应于所述接收的请求来至少基于所述网络应用功能的所述接收的标识符以及与所述移动终端设备的所述接收的标识符相对应的共享密钥来导出所述网络应用功能特定密钥;以及
所述自举服务器功能被进一步配置以将所述导出的网络应用功能特定密钥转发至所述归属代理。
15.一种在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的系统,该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理,该系统包括:
第一自举装置和第二自举装置,它们分别置于所述移动终端设备和所述自举服务器功能中,用于在所述移动终端设备和所述自举服务器功能之间进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个均至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥;
网络应用功能特定密钥导出装置,其置于所述移动终端设备中,用于至少基于所述获取的共享密钥和所述网络应用功能的标识符来导出网络应用功能特定密钥;
消息认证码导出装置,其置于所述移动终端设备中,用于至少基于所述导出的网络应用功能特定密钥来导出消息认证码;
注册请求装置,其置于所述移动终端设备中,用于向所述归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符;
网络应用功能特定密钥获取装置,其置于所述归属代理中,用于基于所述移动终端设备的所述接收的标识符来从以下之一获取所述网络应用功能特定密钥:所述自举服务器功能和所述网络应用功能;以及
注册认证装置,其置于所述归属代理中,用于通过用所述获取的网络应用功能特定密钥验证所述接收的消息认证码来认证所述接收的用于移动互联网协议注册的请求消息。
16.一种分组数据网络的移动终端设备,该移动终端设备包括:
第一自举器,其被配置以与所述分组数据网络的自举服务器功能一起来进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥;
网络应用功能特定密钥导出器,其被配置用以至少基于所述获取的共享密钥和所述分组数据网络的网络应用功能标识符来导出网络应用功能特定密钥;
消息认证码导出器,其被配置以至少基于所述导出的网络应用功能特定密钥来导出消息认证码;以及
注册请求器,其被配置以向与所述移动终端设备相关联的归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符。
17.一种分组数据网络的归属代理,该归属代理包括:
网络应用功能特定密钥获取器,其被配置以基于所述分组数据网络移动终端设备的标识符来从以下之一获取网络应用功能特定密钥:所述分组数据网络的自举服务器功能和所述网络应用功能;从所述移动终端设备接收的所述移动终端设备的所述标识符;以及
注册认证器,其被配置以通过用所述获取的网络应用功能特定密钥验证消息认证码来认证用于移动互联网协议注册的请求消息,所述请求消息和所述消息认证码是从所述移动终端设备接收的。
18.一种用于在分组数据网络中为移动互联网协议密钥分发使用通用认证架构的在计算机可读介质上具体化的计算机程序,其中该分组数据网络包括移动终端设备、自举服务器功能、网络应用功能和与所述移动终端设备相关联的归属代理,该计算机程序控制数据处理设备进行下述步骤:
在所述移动终端设备和所述自举服务器功能之间进行通用认证架构自举过程,从而使所述移动终端设备和所述自举服务器功能的每一个均至少获得与所述移动终端设备相关联的自举事务标识符和相应的共享密钥;
至少基于所述获取的共享密钥和所述网络应用功能的标识符,所述移动终端设备导出网络应用功能特定密钥;
至少基于所述导出的网络应用功能特定密钥,所述移动终端设备导出消息认证码;
从所述移动终端设备向所述归属代理发送用于移动互联网协议注册的请求消息,该请求消息包括所述导出的消息认证码和所述移动终端设备的标识符;
基于所述移动终端设备的所述接收的标识符,所述归属代理从以下之一获取所述网络应用功能特定密钥:所述自举服务器功能和所述网络应用功能;以及
所述归属代理通过用所述获取的网络应用功能特定密钥验证所述接收的消息认证码来认证用于移动互联网协议注册的所述接收的请求消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20050384A FI20050384A0 (fi) | 2005-04-14 | 2005-04-14 | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| FI20050384 | 2005-04-14 | ||
| PCT/FI2006/000110 WO2006108907A2 (en) | 2005-04-14 | 2006-04-10 | Utilizing generic authentication architecture for mobile internet protocol key distribution |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101185311A true CN101185311A (zh) | 2008-05-21 |
| CN101185311B CN101185311B (zh) | 2012-11-14 |
Family
ID=34508082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800190014A Expired - Fee Related CN101185311B (zh) | 2005-04-14 | 2006-04-10 | 为移动互联网协议密钥分发使用通用认证架构的方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7545768B2 (zh) |
| EP (1) | EP1875707B1 (zh) |
| JP (1) | JP2008537398A (zh) |
| KR (1) | KR100935421B1 (zh) |
| CN (1) | CN101185311B (zh) |
| FI (1) | FI20050384A0 (zh) |
| WO (1) | WO2006108907A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102378170A (zh) * | 2010-08-27 | 2012-03-14 | 中国移动通信有限公司 | 一种鉴权及业务调用方法、装置和系统 |
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| CN107113299A (zh) * | 2014-12-18 | 2017-08-29 | 阿姆有限公司 | 向设备的租用的分配 |
| CN107548499A (zh) * | 2015-05-11 | 2018-01-05 | 英特尔公司 | 用于虚拟网络功能的安全自举的技术 |
| CN107925878A (zh) * | 2015-09-04 | 2018-04-17 | 格马尔托股份有限公司 | 认证本地网络中的订户的方法 |
| CN111866871A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和装置 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8046824B2 (en) * | 2005-04-11 | 2011-10-25 | Nokia Corporation | Generic key-decision mechanism for GAA |
| DE102005026982A1 (de) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung |
| ES2352510T3 (es) * | 2005-07-28 | 2011-02-21 | France Telecom | Procedimiento de asignación de una dirección temporal a un nodo móvil de un sistema de telecomunicaciones y equipos y programas para su puesta en práctica. |
| US7941143B2 (en) * | 2005-11-15 | 2011-05-10 | Motorola Solutions, Inc. | Method and system for leveraging an authentication on one network to obtain an authentication on another network |
| ATE445976T1 (de) * | 2006-01-24 | 2009-10-15 | British Telecomm | Verfahren und system zur rekursiven authentifikation in einem mobilnetz |
| JP5123209B2 (ja) * | 2006-01-24 | 2013-01-23 | ▲ホア▼▲ウェイ▼技術有限公司 | モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| US8037522B2 (en) * | 2006-03-30 | 2011-10-11 | Nokia Corporation | Security level establishment under generic bootstrapping architecture |
| DE102006031870B4 (de) * | 2006-06-01 | 2008-07-31 | Siemens Ag | Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels |
| US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| DE102006054091B4 (de) * | 2006-11-16 | 2008-09-11 | Siemens Ag | Bootstrapping-Verfahren |
| JP5144679B2 (ja) * | 2006-12-19 | 2013-02-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおけるユーザアクセス管理 |
| US7734818B2 (en) * | 2007-02-23 | 2010-06-08 | International Business Machines Corporation | Method to add IPV6 and DHCP support to the network support package |
| US7886139B2 (en) * | 2007-02-23 | 2011-02-08 | International Business Machines Corporation | Method to enable firmware to boot a system from an ISCSI device |
| US7689679B2 (en) * | 2007-02-23 | 2010-03-30 | International Business Machines Corporation | Method to enable infiniband network bootstrap |
| US7734743B2 (en) * | 2007-02-23 | 2010-06-08 | International Business Machines Corporation | Method to enable infiniband network bootstrap |
| US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| CN101325582B (zh) * | 2007-06-15 | 2012-08-08 | 华为技术有限公司 | 保护代理移动互联网协议信令的方法、系统及装置 |
| FI122163B (fi) * | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
| US7984486B2 (en) * | 2007-11-28 | 2011-07-19 | Nokia Corporation | Using GAA to derive and distribute proxy mobile node home agent keys |
| EP3079298B1 (en) * | 2007-11-30 | 2018-03-21 | Telefonaktiebolaget LM Ericsson (publ) | Key management for secure communication |
| JP5233369B2 (ja) * | 2008-04-01 | 2013-07-10 | 株式会社リコー | 画像形成装置 |
| US8576785B2 (en) * | 2008-12-19 | 2013-11-05 | Robert Bosch Gmbh | Method of wireless communication using authentication information |
| CN101772024B (zh) * | 2008-12-29 | 2012-10-31 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| EP2510717B1 (en) * | 2009-12-11 | 2020-03-04 | Nokia Technologies Oy | Smart card security feature profile in home subscriber server |
| CN102763111B (zh) | 2010-01-22 | 2015-08-05 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
| KR101684753B1 (ko) * | 2010-02-09 | 2016-12-08 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티를 위한 방법 및 장치 |
| US8661257B2 (en) * | 2010-05-18 | 2014-02-25 | Nokia Corporation | Generic bootstrapping architecture usage with Web applications and Web pages |
| CN101917272B (zh) * | 2010-08-12 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 一种邻居用户终端间保密通信方法及系统 |
| KR20120091635A (ko) * | 2011-02-09 | 2012-08-20 | 삼성전자주식회사 | 통신 시스템에서 인증 방법 및 장치 |
| US8775305B2 (en) * | 2011-05-26 | 2014-07-08 | First Data Corporation | Card-present on-line transactions |
| CN102238183B (zh) * | 2011-07-07 | 2014-04-09 | 广州杰赛科技股份有限公司 | 一种系统客户密钥分发及验证方法 |
| US8918850B2 (en) | 2011-08-01 | 2014-12-23 | Google Inc. | Share cookie on native platform in mobile device without having to ask for the user's login information |
| GB2586549B (en) | 2013-09-13 | 2021-05-26 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| KR102370286B1 (ko) * | 2015-10-28 | 2022-03-03 | 에스케이플래닛 주식회사 | 무선 메시 네트워크 인증 방법 및 이를 위한 장치, 이를 수행하는 컴퓨터 프로그램을 기록한 기록 매체 |
| CN108702615B (zh) * | 2016-02-12 | 2022-08-05 | 瑞典爱立信有限公司 | 保护接口以及用于建立安全通信链路的过程 |
| KR102024376B1 (ko) * | 2017-12-14 | 2019-09-23 | 아주대학교산학협력단 | 사물 인터넷 장치의 부트스트랩 방법 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| US20020118674A1 (en) * | 2001-02-23 | 2002-08-29 | Faccin Stefano M. | Key distribution mechanism for IP environment |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| RU2368086C2 (ru) * | 2003-06-18 | 2009-09-20 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ, система и устройство для поддержки услуги hierarchical mobile ip |
| EP1712058A1 (en) * | 2004-02-06 | 2006-10-18 | Telecom Italia S.p.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
| CN1298194C (zh) * | 2004-03-22 | 2007-01-31 | 西安电子科技大学 | 基于漫游密钥交换认证协议的无线局域网安全接入方法 |
| GB2429381B (en) * | 2004-04-23 | 2007-11-14 | Ericsson Telefon Ab L M | AAA support for DHCP |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
-
2005
- 2005-04-14 FI FI20050384A patent/FI20050384A0/fi not_active Application Discontinuation
- 2005-07-13 US US11/179,607 patent/US7545768B2/en active Active
-
2006
- 2006-04-10 EP EP06725871.5A patent/EP1875707B1/en not_active Not-in-force
- 2006-04-10 CN CN2006800190014A patent/CN101185311B/zh not_active Expired - Fee Related
- 2006-04-10 JP JP2008505912A patent/JP2008537398A/ja active Pending
- 2006-04-10 KR KR1020077024841A patent/KR100935421B1/ko not_active IP Right Cessation
- 2006-04-10 WO PCT/FI2006/000110 patent/WO2006108907A2/en active Application Filing
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102378170A (zh) * | 2010-08-27 | 2012-03-14 | 中国移动通信有限公司 | 一种鉴权及业务调用方法、装置和系统 |
| CN102378170B (zh) * | 2010-08-27 | 2014-12-10 | 中国移动通信有限公司 | 一种鉴权及业务调用方法、装置和系统 |
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| CN107113299A (zh) * | 2014-12-18 | 2017-08-29 | 阿姆有限公司 | 向设备的租用的分配 |
| CN107113299B (zh) * | 2014-12-18 | 2021-01-29 | 阿姆有限公司 | 向设备的租用的分配 |
| US10972428B2 (en) | 2014-12-18 | 2021-04-06 | Arm Limited | Assignment of tenancy to devices |
| CN107548499A (zh) * | 2015-05-11 | 2018-01-05 | 英特尔公司 | 用于虚拟网络功能的安全自举的技术 |
| CN107925878A (zh) * | 2015-09-04 | 2018-04-17 | 格马尔托股份有限公司 | 认证本地网络中的订户的方法 |
| CN111866871A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 通信方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1875707B1 (en) | 2017-03-01 |
| EP1875707A4 (en) | 2012-10-17 |
| JP2008537398A (ja) | 2008-09-11 |
| EP1875707A2 (en) | 2008-01-09 |
| KR20070116275A (ko) | 2007-12-07 |
| CN101185311B (zh) | 2012-11-14 |
| WO2006108907A3 (en) | 2007-02-15 |
| KR100935421B1 (ko) | 2010-01-08 |
| WO2006108907A2 (en) | 2006-10-19 |
| FI20050384A0 (fi) | 2005-04-14 |
| US7545768B2 (en) | 2009-06-09 |
| US20060251257A1 (en) | 2006-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101185311B (zh) | 为移动互联网协议密钥分发使用通用认证架构的方法和系统 | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| US7900242B2 (en) | Modular authentication and authorization scheme for internet protocol | |
| CN100592746C (zh) | 移动因特网协议中的寻址机制 | |
| KR101377186B1 (ko) | 이동성 키를 제공하기 위한 방법 및 서버 | |
| US8630420B2 (en) | Method for auto-configuration of a network terminal address | |
| KR100927944B1 (ko) | 무선 통신 시스템에서의 데이터의 최적 전송 방법 및 장치 | |
| KR100960747B1 (ko) | 이동성 키의 제공을 위한 방법 및 서버 | |
| US20110010538A1 (en) | Method and system for providing an access specific key | |
| US7984486B2 (en) | Using GAA to derive and distribute proxy mobile node home agent keys | |
| US20100185849A1 (en) | Method and arrangement for certificate handling | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| EP2095596A1 (en) | Managing user access in a communications network | |
| WO2005101793A1 (en) | Securing home agent to mobile node communication with ha-mn key | |
| CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| CN105656901A (zh) | 对双栈操作进行互通授权的方法和装置 | |
| Samoui et al. | Improved IPSec tunnel establishment for 3GPP–WLAN interworking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160118 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121114 Termination date: 20170410 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |