CN101455053A - 对应用进行认证 - Google Patents
对应用进行认证 Download PDFInfo
- Publication number
- CN101455053A CN101455053A CNA2007800196462A CN200780019646A CN101455053A CN 101455053 A CN101455053 A CN 101455053A CN A2007800196462 A CNA2007800196462 A CN A2007800196462A CN 200780019646 A CN200780019646 A CN 200780019646A CN 101455053 A CN101455053 A CN 101455053A
- Authority
- CN
- China
- Prior art keywords
- application
- server
- response
- key
- shared key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的一方面公开了一种对应用进行认证的方法。所述方法包括:通过服务器应用(408)在服务器应用(408)与引导服务器功能(400)之间执行引导过程(412);至少基于网络应用功能标识符以及在所述引导过程(412)期间从所述引导服务器功能服务器(400)接收的密钥来推导(420,422)共享密钥;向应用(406)提供(414)引导事务标识符,所述引导事务标识符是在所述引导过程(412)期间从所述引导服务器功能服务器(400)接收的;从所述应用(406)接收响应;以及通过以所述共享密钥验证所述响应来对所述应用进行认证(426)。
Description
技术领域
本发明涉及认证。具体地说,本发明涉及用于对客户机应用进行认证的新颖的并且有改进的方法、计算机程序和移动终端。
背景技术
朝向真实移动的计算和连网进行的当前发展已经带来了各种接入技术的演进,这些技术还向用户提供当用户处于他们自身归属网络外部时对于互联网的接入。至今,人机通信(即信息服务)已经占据互联网使用的主导地位。朝向所谓的第三代(3G)无线网络的演进带来了移动多媒体通信,其也将改变在公共移动网络中使用基于IP的服务的方式。第三代伙伴项目(3GPP)所规定的IP多媒体子系统(IMS)将移动语音通信与互联网技术进行集成,从而允许在移动网络中使用基于IP的多媒体服务。
能够进行多媒体处理的新移动终端(多媒体电话)为应用开发者提供了开放的开发平台,这允许独立应用开发者设计新的服务和应用以用于多媒体环境。用户可以反过来将新的应用/服务下载到他们的移动终端并且在其中使用它们。
例如,技术规范3GPP TS 33.220公开了作为一部分通用认证架构(GAA)的通用引导架构(GBA)。图1公开了GBA的通用网络模型。图1所公开的模型包括四个不同的实体:用户设备(UE)14、引导服务器功能单元(BSF)12、网络应用功能单元(NAF)16和归属订户系统(HSS)10。图1还公开了这些实体之间的接口。
图2是示出GBA中的引导过程的示图。当UE 200想要与NAF进行交互,并且它知道需要引导过程时,它应该首先执行引导认证。当发起引导时,UE 200向BSF 202发送(21)HTTP请求。BSF 202从HSS 204通过参考点Zh检索(22)GBA用户安全性设置的完整集合和一个认证向量(AV,AV=RAND‖AUTN‖XRES‖CK‖IK)。于是,BSF 202在401消息(23)(没有CK、IK和XRES)中将RAND和AUTN转发给UE 200。这是要求UE 200对其自身进行认证。UE 200检查(24)AUTN,以检验质询是来自授权网络的。UE 200还计算CK、IK和RES。这将产生既在BSF 202中又在UE 200中的会话密钥IK和CK。UE 200将包含(使用RES而计算出的)摘要AKA响应的另一HTTP请求发送(25)给BSF 202。BSF 202通过检验摘要AKA响应来对UE 200进行认证(26),并且通过将CK与IK并置而生成(27)主密钥Ks。还应该生成B-TID值。BSF 202将包括B-TID的200 OK消息发送(28)给UE 200,以指示认证的成功。此外,在200 OK消息中,BSF 202应该提供密钥Ks的生存时间。在UE 200中通过将CK与IK并置而生成密钥Ks。UE 200和BSF 202两者都应该使用Ks来推导密钥Ks_NAF。Ks_NAF应该用于确保参考点Ua(见图1)的安全。
Ks_NAF被计算为Ks_NAF=KDF(Ks,密钥推导参数),其中,KDF是合适的密钥推导函数,密钥推导参数包括用户私有身份、NAF_Id和RAND。3GPP TS 33.220附录B中定义了用于GBA的KDF。NAF_Id包括NAF的完整DNS名和Ua协议安全性标识符。KDF应该在移动设备中被实现。
当终端中的应用想要认证到网络应用服务器时,其通过由终端中的受信任应用所提供的API来获得NAF特定共享秘密Ks_NAF。所述受信任应用使用与网络中的引导服务器功能(BSF)服务器的上述引导过程,来推导NAF特定共享秘密Ks_NAF。NAF通过与BSF进行通信而得到用于所述客户机应用的共享秘密。
服务提供商可能想要防止其它服务提供商所开发并且拥有的并且安装在移动终端中的客户机应用访问他的服务。为了实现这个目的,他可以例如在每次移动终端中的应用尝试访问服务时都对移动终端中的该应用进行认证。然而,这种方法将需要在服务提供商与应用的每一使用拷贝之间的长期安全性关联。维持这些安全性关联可能显著地增加服务提供商的成本。
由于NAF特定密钥(即Ks_NAF)实际上是NAF(即服务)特定的,因此可以通过将对于Ks_NAF的访问限制为仅NAF服务提供商所信任的那些应用而通过移动终端来实现该目标。如果移动终端平台硬件和软件具有以下安全性特性,则这种限制是有可能的:(1)处理可以对彼此进行认证;(2)一个处理不能访问另一处理的数据。然而,必须配置移动终端;其需要知道允许哪些应用访问什么NAF特定凭证(即NAF特定密钥)。
在移动终端中存在至少两个选项来配置对于GBA凭证(即NAF特定密钥的集合)的访问许可。
首先,移动终端可以从外部源得到具有用于所有NAF应用的许可的配置数据。在此情况下,要求配置数据来自受信任的源,并且是完整性受保护的。可以使用实现了这些要求的设备管理框架(例如OMA设备管理过程)来将对于访问GBA凭证的许可连同其它配置数据一起交付给ME。配置数据的安全性可以基于1)对称加密,或2)不对称加密。也可以在没有外部设备管理框架的情况下使用这种方案。例如,可以在移动终端被交付给末端用户之前,例如由制造商在工厂中或者由移动终端的销售人员在商店中,对移动终端进行配置。在移动终端到达其末端用户之后,可以对许可进行手动修改:例如,移动终端将要求其拥有者配置每一新的许可。然而,移动终端的手动配置可能损坏服务使用的可用性,因此最好尽可能地自动配置许可。更进一步地,这种方案的潜在的不利之处在于,因为配置数据的源定义了用于所有NAF应用的许可,所以配置数据的源必须被所有服务提供商所信任。
第二,可以基于与外部源的通信而逐一在终端中配置用于每一应用的访问权限。
用于单独为每一应用配置访问权限的另一方法是:使用公钥架构(PKI)和所签名的应用。典型地,可以使用应用特定的数字证书来检验所签名的应用的签名。这可以是,用于保证并且检验应用的PKI系统可以包括用于定义这种应用被允许访问的一个或多个服务的可能性(即该应用具有对哪些NAF特定凭证的访问权限)。这种信息可以被编码在应用证书本身中,或者作为应用的一部分元数据。这种信息可以包括唯一地标识了每一NAF特定凭证的NAF标识符。
利用GBA对称密钥的安全性配置是基于NAF与移动终端共享密钥Ks_NAF的事实的。用于实现这种方案的两种方法是:(1)如果应用被Ks_NAF签名,则其可以被信任,以得到对该NAF的凭证的未来实例的访问,(2)如果应用可以向移动终端证明一次:其知道Ks_NAF,则它可以被信任,以得到对该NAF凭证的未来实例的访问。
当客户机应用被安装在移动终端中时,如果这种应用想要得到从GAA_ME服务器获取的NAF特定密钥,则需要在这种应用与移动终端中所安装的GAA_ME服务器(即执行与BSF的引导过程的受信任的应用)之间建立信任。然而,存在用于使用NAF特定数字证书来对应用进行签名并且使用该签名在终端中建立信任应用的方式。例如,在Symbian终端中使用这种方式。然而,GAA_ME服务器将不知道是否在所有已安装的(受信任的)应用之中应该仅将NAF特定密钥提供给哪些应用。
可以通过将某些项添加到证书,从而告知由应用所签名的这个应用应该被提供GAA客户机能力(即可以从GAA_ME服务器向移动终端应用获取NAF凭证),来解决前述问题。这种解决方案需要GAA_ME服务器与(具有平台安全性的)平台之间的某些机制来对信任进行协调。当客户机应用处于想要使用电话的GAA_ME服务器的接近式设备——比如膝上型电脑的(分离终端的使用情况)——中时,这种解决方案变得难以实现。
基于上述方面,需要解决现有技术解决方案中的一些问题。例如,允许移动终端中的哪些应用访问哪些NAF凭证,以及如何对其进行配置。更进一步地,另一问题在于,如何将应用认证到在移动终端中的GAA_ME服务器。
发明内容
根据本发明一方面,提供一种对应用进行认证的方法。该方法包括:通过受信任的服务器应用,在所述受信任的服务器应用与引导服务器功能之间执行引导过程;至少基于网络应用功能标识符以及在所述引导过程期间与所述引导服务器功能服务器所协定的密钥来推导共享密钥;向应用提供引导事务标识符,所述引导事务标识符是在所述引导过程期间从所述引导服务器功能服务器接收的;从所述应用接收响应;以及通过以所述共享密钥验证所述响应来对所述应用进行认证。
根据本发明另一方面,提供一种以受信任的服务器应用对应用进行认证的方法。该方法包括:通过所述应用,从受信任的服务器应用至少接收引导事务标识符;打开与网络应用功能服务器的通信链路;经由所述通信链路向所述网络应用功能服务器至少提供所述引导事务标识符;响应于提供所述引导事务标识符,从所述网络应用功能服务器至少接收响应;通过向所述受信任的服务器应用至少提供从所述网络应用功能服务器接收的所述响应来对所述应用进行认证。
根据本发明另一方面,提供一种推导认证密钥的方法。该方法包括:打开与应用的通信链路;经由所述通信链路从所述应用至少接收引导事务标识符;向引导服务器功能服务器发送请求,以接收共享密钥,所述请求至少包括所述引导事务标识符;响应于所述请求,从所述引导事务标识符接收所述共享密钥;通过至少使用所述共享密钥来推导响应;以及至少将所述响应发送给所述应用。
前述方面中的每一方面可以被实现为可以在计算机可读介质上具体化的计算机程序。
根据本发明另一方面,提供一种用于对应用进行认证的移动终端。所述移动终端包括:受信任的服务器应用,其被配置为:在所述受信任的服务器应用与引导服务器功能之间执行引导过程;至少基于网络应用功能标识符以及在所述引导过程从所述引导服务器功能服务器接收的密钥材料来推导共享密钥;向应用提供引导事务标识符,所述引导事务标识符是在所述引导过程期间从所述引导服务器功能服务器接收的;从所述应用接收响应;通过以所述共享密钥验证所述响应来对所述应用进行认证。
本发明具有超过现有技术解决方案的一些优点。没有病毒应用或甚至任意第三方应用可以向安装在移动设备中的GAA_ME服务器请求凭证,除非它们可以认证到某些,并且推导将被用于向GAA_ME服务器的注册的共享秘密(KS_NAF_install)。
更进一步地,本发明提供一种用于推导在GAA_ME服务器与接近式终端上的应用之间的共享秘密的解决方案。本发明中所公开的解决方案可以用于向GAA_ME服务器认证接近性应用。然而,这同样可能需要接近式设备中存在某种受信任的计算(平台安全性)。
此外,本发明向运营商提供了有吸引力的选项来发布它们的应用。已经具有了基于用户名-口令的认证(或某些其它认证机制)的运营商已经,本发明所公开的解决方案使得更容易移向基于GAA的凭证的使用。
更进一步地,还可以使用本发明,从而使得两个设备生成群组共享密钥,所述群组共享密钥于是用于群组通信,并且可以被进一步发布给其它用户,例如用于在它们之间建立安全隧道,并且用于对证书进行交换以在它们之间建立虚拟专用网络(VPN),或者仅用于在它们之间建立传送层安全性(TLS)。
通常,本发明所公开的解决方案还可以用于运营商特定应用的安装,并且在现有组件与新安装的组件之间构建某种信任。
附图说明
附图被包括以提供本发明的进一步理解并且构成说明书的一部分,附图示出本发明实施例,并且连同描述一起帮助解释本发明的原理。在附图中:
图1是示出通用引导架构(GBA)的现有技术架构的框图,
图2是示出现有技术引导过程的信令图,
图3是示出根据本发明一个实施例的各个元件的框图,
图4是示出根据本发明的向移动设备中的服务器应用认证应用的一个实施例的信令图,以及
图5是示出根据本发明的向移动设备中的服务器应用认证应用的另一实施例的信令图。
具体实施方式
现将详细参照附图中所示出的本发明的实施例。
图3公开了示出可以参与本发明所公开的解决方案的各个元件的框图。图3公开了五个不同的实体:移动设备(ME)300、引导服务器功能单元(BSF)302、网络应用功能单元(NAF)306、归属订户系统(HSS)304和计算机308。图3的框图也考虑了分离终端的情况。在分离终端的情况下,本地应用320驻留在例如计算机308中。本地应用经由GAA模块318和接近性模块312连接到移动设备的GAA_ME服务器314。在移动设备314与计算机308之间的实际连接例如经由接近性链路(例如蓝牙)来完成。APP_ME 310是移动设备300中所安装的(客户机)应用。换句话说,可以将应用要么安装在移动设备本身中,要么安装在具有到移动设备300的本地连接的计算机308中。
GAA架构提供了用于在移动设备300与NAF 306之间生成共享秘密的方式。每当移动设备300想要认证到NAF 306时,便使用这个秘密。移动设备300中的应用需要USIM(或ISIM或SIM)凭证来执行GAA引导,从而生成NAF特定密钥。因为安全性威胁,所以用于从USIM获取USIM凭证的能力优选不应该对于移动设备300中的所有应用都可用。因此,受信任的GAA_ME服务器314可以在制造期间或者在稍后被安装在移动设备300中,其具有用于从USIM获取USIM凭证的能力,并且因此具有用于进行引导以生成NAF凭证的能力。于是,客户机应用(APP_ME)将使用GAA_ME服务器314的服务来得到NAF特定凭证。由NAF提供商来准备这种GAA_ME客户机应用并且对其进行打包。使用平台(symbian、xp、Linux、Java等等)所理解的数字签名来对所述应用进行签名。在安装操作之后,这种应用在其第一次运行期间注册到GAA_ME 314。
移动设备300和网络应用功能306可以包括一个或多个存储器(图3中未示出),所述存储器也可以包括计算机程序(或其部分),当所述计算机程序被执行在数据处理单元上时其执行本发明的步骤中的至少一些。数据处理单元还可以包括存储器,或者存储器可以与其关联,存储器可以包括计算机程序(或其部分),当所述计算机程序(或其部分)被执行在数据处理单元上时其执行本发明的步骤中的至少一些。
图4是示出根据本发明的将应用注册并且认证到移动设备中的服务器应用的一个实施例的信令示图。图4公开了三个不同的实体:引导服务器功能(BSF)服务器400、网络应用功能(NAF)服务器402、移动设备(ME)404。移动设备404包括图3中已经公开的客户机应用APP_ME 406和服务器应用GAA_ME 408。在另一实施例中,客户机应用APP_ME可以驻留在移动设备404的外部,也就是例如驻留在连接到移动设备404的外部设备中。
在图4的实施例中,APP_ME 406将注册请求(410)发送给GAA_ME服务器408。该请求向GAA_ME服务器408指示:APP_ME想要将其自身认证到GAA_ME 408服务器。所述请求还可以包含NAF标识符和/或应用实例标识符。应用提供商可能已经对应用进行了硬编码,或者以某种方式将其配置为:适当地具有NAF标识符和应用实例标识符。
GAA_ME服务器408进行(412)与BSF 400的3GPP引导协议。例如在3GPP技术规范3GPP TS 33.220V 7.2.0(2005-12)中更详细地公开了该引导协议。在引导期间,GAA_ME服务器408至少从BSF 400接收BTID(引导事务标识符)和密钥生存时间,并且至少将所述BTID传递(414)回到APP_ME 406。由于GAA_ME服务器408能够得到材料Ks,并且知道NAF标识符,因此其能够推导密钥Ks_NAF,密钥Ks_NAF是GAA_ME服务器408与NAF 402之间的共享秘密。GAA_ME服务器408于是将使用任意适当的方法来使用KS_NAF以及可选的先前提及的应用实例标识符来推导(422)安装密钥KS_NAF_install。
在从GAA_ME服务器408接收到BTID之后,APP_ME 406打开与NAF 402的通信链路。可以通过使用例如安全套接层(SSL)或任意其它适当的方法来保证通信链路安全,以减轻有可能的中间人攻击。
在此之后,APP_ME 406使用适当的认证过程来将其自身认证到NAF402认证(416)。在可以使用的现有技术中存在一些可应用的认证方法。认证过程可以包括以下之一:
-对于应用的硬编码的一次性口令。在此情况下,优选的是,应用的代码被扰乱,从而使得很难通过简单地检查代码而检索口令。
-带外(比如邮局或者访问商店)所获取的用户名和口令。
-在线注册到NAF,以得到凭证。
此外,认证方法以及保证信道安全的操作可以是NAF特定的。在共享秘密的情况下也可以使用共享密钥TLS。此外,HTTP-DIGEST认证方法也很好地用于认证。
一旦APP_ME 406已经被认证到NAF 402了,NAF 402就将使用BTID从BSF 400取回(418)NAF特定密钥KS_NAF,并且推导(420)KS_NAF_install(与步骤422相似)。于是,NAF 402将KS_NAF_install传送(424)给APP_ME 406。这种传递优选应该是机密的。
现在,APP_ME 406可以使用KS_NAF_install作为共享秘密来将其自身认证到GAA_ME服务器408。如果认证是成功的,则GAA_ME服务器408可以根据其本地配置而将该应用添加(428)到其受信任应用列表。因此,步骤428也可以是可选的步骤。如果应用处于受信任应用列表中,则将来每当APP_ME 406进行对于NAF密钥的请求时,GAA_ME服务器408便引导并且提供NAF密钥,而无需来自NAF 402的任意附加授权。
在图4所公开的实施例中,将两个安装密钥推导框(420,422)放置在相同水平。然而,可以根据需求而将每一框上移或者下移。可以使用例如采用KS_(ext)_NAF和应用实例标识符的散列运算或仅使用KS_(ext)_NAF本身作为KS_NAF_install来完成安装密钥的推导。
用于初始地对APP_ME 406和NAF 402进行认证的共享秘密也可以是一次性口令。一旦终端建立与客户机的GAA_ME服务器408的信任,就可以在NAF 402删除该口令。也可以基于某些移动终端特征来推导共享秘密。此外,APP_ME 406与NAF 402自身之间的认证协议可以是公知的认证协议中的任意一种。一旦已经完成了认证,保证APP_ME 406与NAF402之间的通信安全的方法就可以是公知方法中的一种。如果使用了共享秘密(例如用户名和口令),则共享密钥TLS协议是一种可选方案。
在本发明一个实施例中,当GAA_ME服务器408已经使用特定NAFid成功地认证了APP_ME 406时,GAA_ME服务器408可以批准APP_ME仅访问属于相同NAF id的密钥Ks_NAF的未来实例,并且其它NAF特定密钥将是不可访问的。在本发明另一实施例中,完全访问被批准给APP_ME 406,即,APP_ME 406可以得到任何NAF的Ks_NAF密钥。
此外,在本发明一个实施例中,在该过程期间,可以使用多个Ks_NAF密钥来批准对于多个密钥的访问,即,NAF 402从BSF 400取回多个Ks_NAF密钥(假定其被授权如此操作),并且NAF 402推导多个Ks_NAF_install密钥并且将它们发送给APP_ME 406。APP_ME 406于是可以将它们注册到GAA_ME服务器408。以此方式,APP_ME 406将获得对于多于一个的NAF特定密钥的访问。
图5是示出根据本发明的将应用注册并且授权到移动设备中的服务器应用的另一实施例的信令示图。图5公开了三个不同的实体:引导服务器功能(BSF)服务器500、网络应用功能(NAF)服务器502和移动设备(ME)504。移动设备504包括图3中已经公开的客户机应用APP_ME 506和服务器应用GAA_ME 508。在另一实施例中,客户机应用APP_ME可以驻留在移动设备504的外部,也就是例如驻留在连接到移动设备504的外部设备中。
在图5的实施例中,APP_ME 506将注册请求(510)发送给GAA_ME服务器508。该请求向GAA_ME服务器508指示:APP_ME想要将其自身授权到GAA_ME 508服务器。该请求还可以包含NAF标识符和/或应用实例标识符。应用提供商可能已经对应用进行了硬编码,或者以某种方式将其配置为:适当地具有NAF标识符和应用实例标识符。
GAA_ME服务器508进行(512)与BSF 500的3GPP引导协议。例如在3GPP技术规范3GPP TS 33.220 V7.2.0(2005-12)中更详细地公开了该引导协议。在引导期间,GAA_ME服务器508至少从BSF 500接收BTID(引导事务标识符)和密钥生存时间。由于GAA_ME服务器508能够得到密钥Ks,并且知道NAF标识符,因此其能够推导密钥Ks_NAF(514),密钥Ks_NAF是GAA_ME服务器508与NAF 502之间的共享秘密。GAA_ME服务器508还将生成(514)随机质询,以用于APP_ME(506)。在此之后,GAA_ME服务器508至少将所述BTID和质询传递(514)给APP_ME 506。
在从GAA_ME服务器508接收到BTID和质询之后,APP_ME 506打开与NAF 502的通信链路,并且将BTID和质询传递(518)给NAF 502。通信链路可以确保减轻有可能的中间人攻击。
NAF 502使用BTID从BSF 400取回(520)NAF特定密钥KS_NAF,并且通过使用Ks_NAF来推导(522)对于质询的响应。可以例如通过使用单向散列函数或密钥化散列消息认证代码(HMAC)来计算所述响应,其中,输入参数至少包括所述Ks_NAF和所述质询。NAF 502还可以通过Ks_NAF来对数据进行签名。所述数据可以包括NAF 502授权为具有对于NAF特定密钥(Ks_NAF)的访问的应用的一个或多个散列。这些散列之一可以是先前已经安装在ME(504)中的APP_ME应用(506)的散列。应注意,应用的散列仅仅是一种可能性。可以使用任意其它信息,也就是应用的合适的特征,而非散列。例如,如果应用驻留在通过局域网(例如WLAN或蓝牙)连接到用户终端的另一设备中,则应用的特征可以是设备的网络地址。此外,外部设备中的应用的一个可能的特征是该设备的序列号。此外,一个可能的特征将是内容签名公钥。更进一步地,在本发明一个实施例中,对NAF 502的请求(518)可以包括平台的某些特征(例如“诺基亚设备运行系列60 v3.1”),其于是帮助NAF 502将应用的正确的可接受的特征发送回去。于是,NAF 502(524)将响应并且有可能将所签名数据传递给APP_ME 506。
所签名数据指的是例如NAF 502添加到消息的某些额外数据,其通过使用Ks_NAF而被签名。以此方式,GAA_ME服务器可以验证该额外数据的签名,并且确保其来自知道Ks_NAF的受信任的源。
现在,APP_ME 506可以通过使用响应和所签名数据来将其自身授权(526)到GAA_ME服务器508。如果授权成功(即响应和所签名数据的签名是正确的),则GAA_ME服务器508继续进行授权过程,并且批准APP_ME 506访问Ks_NAF。此外,GAA_ME服务器508还可以计算APP_ME 506的散列,并且检查该散列是否处于所签名数据中。如果以上的检查中的至少一个是成功的,则GAA_ME服务器508可以根据其本地配置而将应用添加(528)到其受信任列表中。如果应用处于受信任列表中,则将来每当APP_ME 506进行对NAF密钥的请求时,GAA_ME服务器408便进行引导并且提供NAF密钥,而无需来自NAF的任意附加授权。
将应用有可能添加到其受信任列表的操作给出了具有“一次性批准”以及“完全批准”的可能性。在第一种情况下,对于对Ks_NAF的每一请求,APP_ME将总是必须得到额外授权(响应或所签名数据或两者),或者在第二种情况下,APP_ME将得到永久批准,并且在对Ks_NAF的未来请求中将无需得到额外授权。
最后,如果以上所进行的验证已经成功,则GAA_ME服务器508(530)对APP_ME指示:过程成功,并且有可能将Ks_NAF包括到该消息。
在本发明一个实施例中,当GAA_ME服务器508已经对APP_ME 506进行了成功认证时,GAA_ME服务器408可以批准仅访问在该过程期间所使用的特定的NAF特定密钥Ks_NAF,并且其它NAF特定密钥将是不可访问的。尤其是,如果所签名数据没有通过APP_ME 506从NAF 502发送给GAA_ME服务器508,则可能是这种情况。在本发明另一实施例中,完全访问被批准给APP_ME 506,即其可以得到所有可能的KS_NAF密钥。
在本发明另一实施例中,KS_(ext)_NAF被用作群组密钥,以保证群组通信安全,并且可以与可能没有任何形式的GBA密钥生成或请求能力的其它设备共享。该实施例可以用于保证通信链路安全(例如在具有很多低能力设备的家庭环境中),或者用于建立个人VPN(虚拟专用网络)。
此外,在本发明一个实施例中,可以要么在上述步骤510中要么在步骤526中将NAF_ID从APP_ME 506发送到GAA_ME服务器508。
此外,在本发明一个实施例中,在该过程期间,可以使用多个Ks_NAF密钥来批准对于多个密钥的访问,即,NAF 502从BSF 500取回多个Ks_NAF密钥(假定其被授权如此操作),并且NAF 502使用这些Ks_NAF密钥来计算对于质询的多个响应,并且还可选地使用所有Ks_NAF密钥或Ks_NAF密钥的子集来对所述数据进行签名,并且将它们发送给APP_ME506。APP_ME 506于是可以将它们注册到GAA_ME服务器508。以此方式,APP_ME 506将获得对于多于一个的NAF特定密钥的访问。
此外,该方法可以应用于许多其它使用情况,其中,终端设备被配置为信任服务提供商(例如设备制造商,或网络运营商),并且因此,终端设备和服务提供商要么具有共享密钥,要么可以协商共享密钥。我们已经详细描述了如果新的应用可以向终端证明其是服务提供商所信任的,则该新的应用可以被标记为“受信任的”,并且被安装在用户终端上。这种证明是基于在终端与服务提供商之间所共享的密钥的知识的。
例如,并非将应用安装在终端中,而是可以将其安装在外围设备或想要连接到用户终端的接近性网络(例如蓝牙或WLAN网络)中的另一终端中。信任建立过程在这些情况下是相同的。
3GPP GBA是用于推导共享密钥并且建立终端与服务提供商之间的信任的方式之一。同样可以构思其它方式。例如,通过合适的公钥架构(PKI),双方将交换它们的公钥证书,验证彼此的签名,并且继续推导共享密钥。或者,作为另一示例,可以由网络运营商或终端制造商将长期共享密钥预先安装在终端中。
对于本领域技术人员明显的是,随着技术的进展,可以通过多种方式来实现本发明的基本构思。本发明及其实施例因此不限于上述示例,而是可以在权利要求的范围内变化。
Claims (52)
1.一种对应用进行认证的方法,所述方法包括:
通过服务器应用,在服务器应用与所述引导服务器功能之间执行引导过程;
至少基于网络应用功能标识符以及在所述引导过程期间从所述引导服务器功能服务器接收的密钥,来推导共享密钥;
向所述应用提供引导事务标识符,所述引导事务标识符是在所述引导过程期间从所述引导服务器功能服务器接收的;
从所述应用接收响应;以及
通过以所述共享密钥验证所述响应,来对所述应用进行认证。
2.如权利要求1所述的方法,其中,所述应用的认证包括:
通过对所述共享密钥与所述响应进行比较来对所述应用进行认证。
3.如权利要求1所述的方法,进一步包括:
生成质询;
向所述应用提供所述质询;以及
其中,所述认证步骤包括:通过以所述质询和所述共享密钥验证所述响应来对所述应用进行认证。
4.如权利要求3所述的方法,进一步包括:
与所述响应一起接收所签名数据;
其中,所述认证步骤进一步包括:以所述共享密钥检验所述所签名数据。
5.如权利要求1所述的方法,进一步包括:
在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求,所述请求包括所述网络应用功能标识符和应用实例标识符中的至少一个。
6.如权利要求1所述的方法,进一步包括:
在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求。
7.如权利要求6所述的方法,其中,所述注册请求包括应用实例标识符。
8.如权利要求5或7所述的方法,其中,所述共享密钥的推导包括:
基于所述网络应用功能标识符、所述应用实例标识符以及在所述引导过程期间从所述引导服务器功能服务器接收的所述密钥,来推导所述共享密钥。
9.如权利要求1所述的方法,进一步包括:
如果所述认证成功,则将所述应用标记为受信任的。
10.如权利要求9所述的方法,进一步包括:
向所述应用提供所述共享密钥。
11.如权利要求9所述的方法,进一步包括:
从所述应用接收对网络应用功能密钥的请求;以及
响应于所述请求,将所述网络应用功能密钥发送给所述应用。
12.一种以服务器应用对应用进行认证的方法,所述方法包括:
通过所述应用,从服务器应用至少接收引导事务标识符;
打开与网络应用功能服务器的通信链路;
经由所述通信链路向所述网络应用功能服务器至少提供所述引导事务标识符;
响应于对所述引导事务标识符的提供,从所述网络应用功能服务器至少接收响应;以及
通过向所述服务器应用至少提供从所述网络应用功能服务器接收的所述响应,来对所述应用进行认证。
13.如权利要求12所述的方法,其中:
从所述服务器应用进行所述接收包括:接收所述引导事务标识符和质询;以及
向所述网络应用功能服务器进行所述提供包括:经由所述通信链路向所述网络应用功能服务器提供所述引导事务标识符和所述质询。
14.如权利要求13所述的方法,其中:
从所述网络应用功能进行所述接收包括:从所述网络应用功能接收所述响应和所签名数据;以及
所述应用的认证包括:向所述服务器应用提供从所述网络应用功能服务器接收的所述响应和所签名数据。
15.如权利要求12所述的方法,进一步包括:
在成功认证之后,从所述服务器应用接收共享密钥。
16.如权利要求12所述的方法,进一步包括:
在认证之后,向所述服务器应用发送对网络应用功能密钥的请求;以及
响应于所述请求,从所述服务器应用接收所述网络应用功能密钥。
17.一种对认证密钥进行推导的方法,所述方法包括:
打开与应用的通信链路;
经由所述通信链路从所述应用至少接收引导事务标识符;
向引导服务器功能服务器发送请求,以接收共享密钥,所述请求至少包括所述引导事务标识符;
响应于所述请求,从所述引导事务标识符接收所述共享密钥;
通过至少使用所述共享密钥来推导响应;以及
至少将所述响应发送给所述应用。
18.如权利要求17所述的方法,其中:
从所述应用进行所述接收包括:经由所述通信链路接收所述引导事务标识符和质询;以及
所述响应的推导包括:通过至少使用所述共享密钥和所述质询来推导所述响应。
19.如权利要求17或18所述的方法,其中:
发送所述至少一个响应包括:将所述响应和以所述共享密钥签名的所签名数据发送给所述应用。
20.一种对应用进行认证的计算机程序,所述计算机程序包括代码,当被执行在数据处理设备上时所述代码适用于执行以下步骤:
执行与引导服务器功能的引导过程;
至少基于网络应用功能标识符以及在所述引导过程期间从所述引导服务器功能服务器接收的密钥来推导共享密钥;
向应用提供引导事务标识符,所述引导事务标识符是在所述引导过程期间从所述引导服务器功能服务器接收的;
从所述应用接收响应;以及
通过以所述共享密钥验证所述响应来对所述应用进行认证。
21.如权利要求20所述的计算机程序,其中,所述应用的认证包括:
通过对所述共享密钥与所述响应进行比较来对所述应用进行认证。
22.如权利要求20所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
生成质询;
向所述应用提供所述质询;以及
其中,所述应用的认证包括:通过以所述质询和所述共享密钥验证所述响应来对所述应用进行认证。
23.如权利要求22所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
与所述响应一起接收所签名数据;以及
其中,所述应用的认证进一步包括:以所述共享密钥检验所述所签名数据。
24.如权利要求20所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求,所述请求包括所述网络应用功能标识符和应用实例标识符中的至少一个。
25.如权利要求20所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求。
26.如权利要求25所述的计算机程序,其中,所述注册请求包括应用实例标识符。
27.如权利要求24或26所述的计算机程序,其中,所述共享密钥的推导包括:
基于所述网络应用功能标识符、所述应用实例标识符以及在所述引导过程期间从所述引导服务器功能服务器接收的所述密钥,来推导所述共享密钥。
28.如权利要求20所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
如果所述认证成功,则将所述应用标记为受信任的。
29.如权利要求28所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
向所述应用提供所述共享密钥。
30.如权利要求28所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
从所述应用接收对网络应用功能密钥的请求;以及
响应于所述请求,将所述网络应用功能密钥发送给所述应用。
31.如权利要求20-30中的任意一项所述的计算机程序,其中,所述计算机程序被具体化在计算机可读介质上。
32.一种以服务器应用对应用进行认证的计算机程序,所述计算机程序包括代码,所述代码适用于当被执行在数据处理设备上时执行以下步骤:
从服务器应用至少接收引导事务标识符;
打开与网络应用功能服务器的通信链路;
经由所述通信链路向所述网络应用功能服务器至少提供所述引导事务标识符;
响应于对所述引导事务标识符的提供,从所述网络应用功能服务器至少接收响应;以及
通过向所述服务器应用至少提供从所述网络应用功能服务器接收的所述响应来对所述应用进行认证。
33.如权利要求32所述的计算机程序,其中:
从所述服务器应用进行所述接收包括:接收所述引导事务标识符和质询;
向所述网络应用服务器进行所述提供包括:经由所述通信链路向所述网络应用功能服务器提供所述引导事务标识符和所述质询。
34.如权利要求33所述的计算机程序,其中:
从所述网络应用功能进行所述接收包括:从网络应用功能接收所述响应和所签名数据;以及
所述应用的认证包括:向所述服务器应用提供从所述网络应用功能服务器接收的所述响应和所签名数据。
35.如权利要求32所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
在成功认证之后,从所述服务器应用接收共享密钥。
36.如权利要求32所述的计算机程序,进一步适用于当被执行在所述数据处理设备上时执行以下步骤:
在认证之后,向所述服务器应用发送对网络应用功能密钥的请求;以及
响应于所述请求,从所述服务器应用接收所述网络应用功能密钥。
37.如权利要求32-36中的任意一项所述的计算机程序,其中,所述计算机程序被具体化在计算机可读介质上。
38.一种对认证密钥进行推导的计算机程序,所述计算机程序包括代码,所述代码适用于当被执行在数据处理设备上时执行以下步骤:
打开与应用的通信链路;
经由所述通信链路从所述应用至少接收引导事务标识符;
向引导服务器功能服务器发送请求,以接收共享密钥,所述请求至少包括所述引导事务标识符;
响应于所述请求,从所述引导事务标识符接收所述共享密钥;
通过至少使用所述共享密钥来推导响应;以及
至少将所述响应发送给所述应用。
39.如权利要求38所述的计算机程序,其中:
所述接收包括:经由所述通信链路接收所述引导事务标识符和质询;
所述推导包括:通过至少使用所述共享密钥和所述质询来推导所述响应。
40.如权利要求38或39所述的计算机程序,其中:
至少发送所述响应包括:将所述响应和以所述共享密钥签名的所签名数据发送给所述应用。
41.如权利要求所述的计算机程序38-40中的任意一项,其中,所述计算机程序被具体化在计算机可读介质上。
42.一种用于对应用进行认证的移动终端,包括:
服务器应用,其被配置为:在所述服务器应用与引导服务器功能之间执行引导过程;至少基于网络应用功能标识符以及在所述引导过程期间从所述引导服务器功能服务器接收的密钥来推导共享密钥;向应用提供引导事务标识符,所述引导事务标识符是在所述引导过程期间从所述引导服务器功能服务器接收的;从所述应用接收响应;以及通过以所述共享密钥验证所述响应来对所述应用进行认证。
43.如权利要求42所述的移动终端,其中,所述服务器应用被配置为:通过对所述共享密钥与所述响应进行比较来对所述应用进行认证。
44.如权利要求42所述的移动终端,其中,所述服务器应用被配置为:生成质询;向所述应用提供所述质询;以及以所述质询和所述共享密钥来验证所述响应。
45.如权利要求44所述的移动终端,其中,所述服务器应用被配置为:与所述响应一起接收所签名数据;并且所述认证步骤进一步包括以所述共享密钥检验所述所签名数据。
46.如权利要求42所述的移动终端,其中,所述服务器应用被配置为:在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求,所述请求包括所述网络应用功能标识符和应用实例标识符中的至少一个。
47.如权利要求42所述的移动终端,其中,所述服务器应用被配置为:在向所述应用提供所述引导事务标识符之前,从所述应用接收注册请求。
48.如权利要求47所述的移动终端,其中,所述注册请求包括应用实例标识符。
49.如权利要求46或48所述的移动终端,其中,所述服务器应用被配置为:基于所述网络应用功能标识符、所述应用实例标识符和在所述引导过程期间从所述引导服务器功能服务器接收的所述密钥,来推导所述共享密钥。
50.如权利要求42所述的移动终端,其中,所述服务器应用被配置为:如果所述认证成功,则将所述应用标记为受信任的。
51.如权利要求50所述的移动终端,其中,所述服务器应用被配置为:向所述应用提供所述共享密钥。
52.如权利要求50所述的移动终端,其中,所述服务器应用被配置为:从所述应用接收对网络应用功能密钥的请求;以及响应于所述请求,将所述网络应用功能密钥发送给所述应用。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US78635706P | 2006-03-28 | 2006-03-28 | |
US60/786,357 | 2006-03-28 | ||
PCT/FI2007/000073 WO2007110468A1 (en) | 2006-03-28 | 2007-03-26 | Authenticating an application |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101455053A true CN101455053A (zh) | 2009-06-10 |
CN101455053B CN101455053B (zh) | 2012-07-04 |
Family
ID=38540823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800196462A Active CN101455053B (zh) | 2006-03-28 | 2007-03-26 | 对应用进行认证 |
Country Status (15)
Country | Link |
---|---|
US (1) | US8522025B2 (zh) |
EP (1) | EP2005702B1 (zh) |
JP (1) | JP4824813B2 (zh) |
KR (1) | KR101038064B1 (zh) |
CN (1) | CN101455053B (zh) |
AU (1) | AU2007231303A1 (zh) |
BR (1) | BRPI0710257B1 (zh) |
ES (1) | ES2661307T3 (zh) |
IL (1) | IL194428A (zh) |
MX (1) | MX2008012363A (zh) |
MY (1) | MY149495A (zh) |
PL (1) | PL2005702T3 (zh) |
RU (1) | RU2414086C2 (zh) |
WO (1) | WO2007110468A1 (zh) |
ZA (1) | ZA200809137B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012094879A1 (zh) * | 2011-01-14 | 2012-07-19 | 中兴通讯股份有限公司 | 一种mtc服务器共享密钥的方法及系统 |
CN105432103A (zh) * | 2013-05-22 | 2016-03-23 | 康维达无线有限责任公司 | 接入网络辅助引导自举 |
CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1744567A1 (en) * | 2005-07-12 | 2007-01-17 | Hewlett-Packard Development Company, L.P. | Signalling gateway |
EP2039199B1 (en) | 2006-07-06 | 2018-10-31 | Nokia Technologies Oy | User equipment credential system |
KR101495722B1 (ko) * | 2008-01-31 | 2015-02-26 | 삼성전자주식회사 | 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치 |
US20090220075A1 (en) * | 2008-02-28 | 2009-09-03 | Akros Techlabs, Llc | Multifactor authentication system and methodology |
US9402277B2 (en) * | 2008-03-03 | 2016-07-26 | Qualcomm Incorporated | Proxy server for facilitating power conservation in wireless client terminals |
US8478360B2 (en) * | 2008-03-03 | 2013-07-02 | Qualcomm Incorporated | Facilitating power conservation in wireless client terminals |
US8934404B2 (en) * | 2008-03-03 | 2015-01-13 | Qualcomm Incorporated | Access point with proxy functionality for facilitating power conservation in wireless client terminals |
EP2255496B1 (en) * | 2008-03-14 | 2016-02-10 | Telefonaktiebolaget L M Ericsson (publ) | Method and apparatus for remote access to a local network |
US20090259851A1 (en) * | 2008-04-10 | 2009-10-15 | Igor Faynberg | Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment |
US8826380B2 (en) * | 2009-01-16 | 2014-09-02 | Telefonaktiebolaget L M Ericsson (Publ) | Proxy server, control method thereof, content server, and control method thereof |
ES2661043T3 (es) * | 2009-02-05 | 2018-03-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Unidad de red de un sistema de red de gestión de dispositivos para la protección de un mensaje de arranque y el dispositivo, método y programa de ordenador correspondientes |
US8639273B2 (en) * | 2009-02-06 | 2014-01-28 | Qualcomm Incorporated | Partitioned proxy server for facilitating power conservation in wireless client terminals |
KR101012872B1 (ko) | 2009-09-16 | 2011-02-08 | 주식회사 팬택 | 플랫폼 보안 장치 및 방법 |
KR101659082B1 (ko) * | 2010-04-06 | 2016-09-22 | 주식회사 엘지유플러스 | 휴대용 단말기에 설치된 애플리케이션 실행 제어 방법 및 시스템 |
WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
US8527017B2 (en) | 2010-04-14 | 2013-09-03 | Qualcomm Incorporated | Power savings through cooperative operation of multiradio devices |
US8566594B2 (en) * | 2010-04-14 | 2013-10-22 | Qualcomm Incorporated | Power savings through cooperative operation of multiradio devices |
US8761064B2 (en) | 2010-04-14 | 2014-06-24 | Qualcomm Incorporated | Power savings through cooperative operation of multiradio devices |
CN102934118B (zh) * | 2010-06-10 | 2015-11-25 | 瑞典爱立信有限公司 | 用户设备及其控制方法 |
EP3193523A1 (en) * | 2011-04-01 | 2017-07-19 | Telefonaktiebolaget LM Ericsson (publ) | Methods and apparatuses for avoiding damage in network attacks |
WO2013034187A1 (en) * | 2011-09-08 | 2013-03-14 | Telefonaktiebolaget L M Ericsson (Publ) | Secure communication |
US9503460B2 (en) * | 2011-10-13 | 2016-11-22 | Cisco Technology, Inc. | System and method for managing access for trusted and untrusted applications |
CN104011730A (zh) * | 2011-10-31 | 2014-08-27 | 诺基亚公司 | 外部代码安全机制 |
GB201122206D0 (en) | 2011-12-22 | 2012-02-01 | Vodafone Ip Licensing Ltd | Sampling and identifying user contact |
EP2815623B1 (en) * | 2012-02-14 | 2018-08-29 | Nokia Technologies Oy | Device to device security using naf key |
FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
CN104272287A (zh) * | 2012-07-31 | 2015-01-07 | 惠普发展公司,有限责任合伙企业 | 管理应用和网络之间的接口 |
BR112012033255A2 (pt) * | 2012-10-29 | 2017-11-28 | Ericsson Telecomunicacoes Sa | método e aparelho para garantir uma conexão em uma rede de comunicação |
US9253185B2 (en) * | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
US9032212B1 (en) * | 2013-03-15 | 2015-05-12 | Emc Corporation | Self-refreshing distributed cryptography |
US9332011B2 (en) * | 2013-04-09 | 2016-05-03 | Yash Karakalli Sannegowda | Secure authentication system with automatic cancellation of fraudulent operations |
US9521000B1 (en) * | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
CN105431860B (zh) | 2013-07-31 | 2018-09-14 | 惠普发展公司,有限责任合伙企业 | 保护可消耗产品的存储器中的数据 |
GB2586549B (en) * | 2013-09-13 | 2021-05-26 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
US9801002B2 (en) | 2013-11-26 | 2017-10-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for identifying application instances within a machine-to-machine network domain |
WO2015092130A1 (en) | 2013-12-20 | 2015-06-25 | Nokia Technologies Oy | Push-based trust model for public cloud applications |
US9374358B2 (en) | 2013-12-31 | 2016-06-21 | Google Inc. | Methods, systems, and media for providing access control for a computing device |
US10664833B2 (en) | 2014-03-05 | 2020-05-26 | Mastercard International Incorporated | Transactions utilizing multiple digital wallets |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
MY184944A (en) * | 2014-07-24 | 2021-04-30 | Mimos Berhad | Method and system for computation and verification of authentication parameters from independant measurements of time or location |
KR102033465B1 (ko) | 2015-02-27 | 2019-10-17 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 |
US11265165B2 (en) * | 2015-05-22 | 2022-03-01 | Antique Books, Inc. | Initial provisioning through shared proofs of knowledge and crowdsourced identification |
LT3188435T (lt) * | 2015-12-28 | 2020-04-10 | Lleidanetworks Serveis Telematics S.A. | Ryšio operatoriaus vykdomo elektroninio laiško su patikimu skaitmeniniu parašu patvirtinimo būdas |
EP3414927B1 (en) * | 2016-02-12 | 2020-06-24 | Telefonaktiebolaget LM Ericsson (PUBL) | Securing an interface and a process for establishing a secure communication link |
CN110462596B (zh) * | 2017-04-14 | 2023-12-12 | 索尼公司 | 通信装置、信息处理装置和数据处理系统 |
MX2021008724A (es) | 2019-01-21 | 2021-08-24 | Ericsson Telefon Ab L M | Metodos de autenticacion y administracion de claves en una red de comunicaciones inalambricas y aparatos relacionados. |
US20220191008A1 (en) * | 2019-03-12 | 2022-06-16 | Nokia Technologies Oy | Communication network-anchored cryptographic key sharing with third-party application |
EP3726873A1 (en) * | 2019-04-18 | 2020-10-21 | Thales Dis France SA | Method to authenticate a user at a service provider |
US11238147B2 (en) * | 2019-08-27 | 2022-02-01 | Comcast Cable Communications, Llc | Methods and systems for verifying applications |
US10986504B1 (en) * | 2020-03-24 | 2021-04-20 | Appbrilliance, Inc. | System architecture for accessing secure data from a mobile device in communication with a remote server |
US11520895B2 (en) | 2020-12-07 | 2022-12-06 | Samsung Electronics Co., Ltd. | System and method for dynamic verification of trusted applications |
WO2023042176A1 (en) * | 2021-09-18 | 2023-03-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Gba key diversity for multiple applications in ue |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003202929A (ja) * | 2002-01-08 | 2003-07-18 | Ntt Docomo Inc | 配信方法および配信システム |
US8037515B2 (en) * | 2003-10-29 | 2011-10-11 | Qualcomm Incorporated | Methods and apparatus for providing application credentials |
CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
EP1536606A1 (fr) | 2003-11-27 | 2005-06-01 | Nagracard S.A. | Méthode d'authentification d'applications |
US20050135622A1 (en) * | 2003-12-18 | 2005-06-23 | Fors Chad M. | Upper layer security based on lower layer keying |
CN1300976C (zh) * | 2004-01-16 | 2007-02-14 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
GB0409496D0 (en) * | 2004-04-28 | 2004-06-02 | Nokia Corp | Subscriber identities |
GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
US20060020791A1 (en) * | 2004-07-22 | 2006-01-26 | Pekka Laitinen | Entity for use in a generic authentication architecture |
US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
US8726023B2 (en) * | 2005-02-03 | 2014-05-13 | Nokia Corporation | Authentication using GAA functionality for unidirectional network connections |
NZ560464A (en) * | 2005-02-04 | 2010-10-29 | Qualcomm Inc | Secure bootstrapping for wireless communications |
US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
FI20050562A0 (fi) * | 2005-05-26 | 2005-05-26 | Nokia Corp | Menetelmä avainmateriaalin tuottamiseksi |
US8353011B2 (en) * | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
US8087069B2 (en) * | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
EP1900169B1 (en) * | 2005-07-07 | 2010-02-03 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for authentication and privacy |
US20070042754A1 (en) * | 2005-07-29 | 2007-02-22 | Bajikar Sundeep M | Security parameter provisioning in an open platform using 3G security infrastructure |
US20070086590A1 (en) * | 2005-10-13 | 2007-04-19 | Rolf Blom | Method and apparatus for establishing a security association |
-
2006
- 2006-10-18 US US11/582,380 patent/US8522025B2/en active Active
-
2007
- 2007-03-26 JP JP2009502128A patent/JP4824813B2/ja active Active
- 2007-03-26 KR KR1020087026241A patent/KR101038064B1/ko active IP Right Grant
- 2007-03-26 EP EP07730542.3A patent/EP2005702B1/en active Active
- 2007-03-26 RU RU2008141089/09A patent/RU2414086C2/ru active
- 2007-03-26 BR BRPI0710257-7A patent/BRPI0710257B1/pt active IP Right Grant
- 2007-03-26 CN CN2007800196462A patent/CN101455053B/zh active Active
- 2007-03-26 ES ES07730542.3T patent/ES2661307T3/es active Active
- 2007-03-26 MX MX2008012363A patent/MX2008012363A/es active IP Right Grant
- 2007-03-26 PL PL07730542T patent/PL2005702T3/pl unknown
- 2007-03-26 WO PCT/FI2007/000073 patent/WO2007110468A1/en active Application Filing
- 2007-03-26 MY MYPI20083816A patent/MY149495A/en unknown
- 2007-03-26 AU AU2007231303A patent/AU2007231303A1/en not_active Abandoned
-
2008
- 2008-09-28 IL IL194428A patent/IL194428A/en active IP Right Grant
- 2008-10-24 ZA ZA200809137A patent/ZA200809137B/xx unknown
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012094879A1 (zh) * | 2011-01-14 | 2012-07-19 | 中兴通讯股份有限公司 | 一种mtc服务器共享密钥的方法及系统 |
US9241260B2 (en) | 2011-01-14 | 2016-01-19 | Zte Corporation | Key sharing method and system for machine type communication (MTC) server |
CN105432103A (zh) * | 2013-05-22 | 2016-03-23 | 康维达无线有限责任公司 | 接入网络辅助引导自举 |
CN105432103B (zh) * | 2013-05-22 | 2019-01-01 | 康维达无线有限责任公司 | 接入网络辅助引导自举 |
US10243954B2 (en) | 2013-05-22 | 2019-03-26 | Convida Wireless, Llc | Access network assisted bootstrapping |
US10348728B2 (en) | 2013-05-22 | 2019-07-09 | Convida Wireless, Llc | Machine-to-machine network assisted bootstrapping |
US11677748B2 (en) | 2013-05-22 | 2023-06-13 | Interdigital Patent Holdings, Inc. | Machine-to-machine network assisted bootstrapping |
CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
CN105706390B (zh) * | 2013-10-30 | 2020-03-03 | 三星电子株式会社 | 在无线通信网络中执行设备到设备通信的方法和装置 |
US10631162B2 (en) | 2013-10-30 | 2020-04-21 | Samsung Electronics Co., Ltd. | Method and apparatus to perform device to device communication in wireless communication network |
CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
CN107086981B (zh) * | 2016-02-16 | 2021-07-09 | 爱特梅尔公司 | 受控安全代码认证 |
Also Published As
Publication number | Publication date |
---|---|
MY149495A (en) | 2013-09-13 |
AU2007231303A1 (en) | 2007-10-04 |
RU2008141089A (ru) | 2010-05-10 |
US8522025B2 (en) | 2013-08-27 |
BRPI0710257B1 (pt) | 2019-11-05 |
ES2661307T3 (es) | 2018-03-28 |
WO2007110468A1 (en) | 2007-10-04 |
US20070234041A1 (en) | 2007-10-04 |
PL2005702T3 (pl) | 2018-05-30 |
CN101455053B (zh) | 2012-07-04 |
JP2009531764A (ja) | 2009-09-03 |
IL194428A0 (en) | 2009-08-03 |
EP2005702A4 (en) | 2012-04-04 |
BRPI0710257A2 (pt) | 2011-08-09 |
EP2005702B1 (en) | 2017-12-20 |
IL194428A (en) | 2012-04-30 |
BRPI0710257A8 (pt) | 2016-07-12 |
RU2414086C2 (ru) | 2011-03-10 |
EP2005702A1 (en) | 2008-12-24 |
ZA200809137B (en) | 2009-11-25 |
KR20080106982A (ko) | 2008-12-09 |
JP4824813B2 (ja) | 2011-11-30 |
MX2008012363A (es) | 2008-10-09 |
KR101038064B1 (ko) | 2011-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101455053B (zh) | 对应用进行认证 | |
US10284555B2 (en) | User equipment credential system | |
JP2013516896A (ja) | 安全な複数uim認証および鍵交換 | |
JP7470671B2 (ja) | コアネットワークへの非3gpp装置アクセス | |
JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
CN102694779A (zh) | 组合认证系统及认证方法 | |
US12041452B2 (en) | Non-3GPP device access to core network | |
AU2012203961B2 (en) | Authenticating an application |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20160128 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |