CN101888626A - 一种实现gba密钥的方法及其终端设备 - Google Patents
一种实现gba密钥的方法及其终端设备 Download PDFInfo
- Publication number
- CN101888626A CN101888626A CN200910084297.3A CN200910084297A CN101888626A CN 101888626 A CN101888626 A CN 101888626A CN 200910084297 A CN200910084297 A CN 200910084297A CN 101888626 A CN101888626 A CN 101888626A
- Authority
- CN
- China
- Prior art keywords
- key
- user terminal
- equipment
- bsf
- gba
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现GBA密钥的方法及其终端设备,应用于GBA_ME,在用户终端的ME上和认证服务功能BSF设备上配置有第一密钥,当用户终端向BSF设备请求启动GBA密钥流程后,该方法包括:所述用户终端对所述BSF设备鉴权通过后生成认证信息并发送给所述BSF设备;所述BSF设备根据所述认证信息对所述用户终端鉴权通过后,根据其上配置的第一密钥生成Ks;所述用户终端的ME根据其上配置的第一密钥,采用与所述BSF设备相同的方式生成Ks;所述BSF设备和所述用户终端分别根据各自生成的Ks生成用于在所述用户终端和网络应用功能NAF之间共享的GBA密钥Ks_NAF。采用本发明可提高GBA密钥安全性。
Description
技术领域
本发明涉及移动通信领域,尤其涉及一种实现GBA密钥的方法和一种实现GBA密钥的终端设备。
背景技术
随着数据业务的开展,运营商和用户都需要有可靠的认证机制来保证合法的业务使用以及正确的计费。尤其是在3G(第三代移动通信网络)业务中,很多应用都需要在终端(例如UE)和应用服务器之间进行双向认证,如手机电视(MBMS),为了验证合法用户对业务的使用,终端与业务系统之间都需要进行登录鉴权;若业务数据流需要进行加扰或加密,则终端与业务系统之间需要进行保密通信。而众多业务如果各自使用自己独立的认证,就会造成屡次更换设备。
为了解决应用层的密钥共享、业务鉴权等一系列问题,3GPP(第三代移动通信标准化组织)定义了一种通用认证机制(General BootstrappingArchitecture,GBA)。GBA是一种通用的鉴权机制,既可以用于现有的服务,也可以用于将来的新业务,以一种一致的方式解决安全认证的问题,从而避免为每一种新服务都提供独有的鉴权机制,避免了各种认证鉴权机制之间的差异性。GBA广泛应用于MBMS、安全定位服务(SUPL)等业务。
参见图1,为现有3G网络中GBA的简单网络模型。如图所示,BSF(Bootstrapping服务功能)处于用户的归属网络中,可通过Zh接口从HSS(Home Subscriber System,归属用户系统)获得GBA的用户安全设置(GUSS);通过Ub接口与UE利用AKA协议进行相互认证,并且建立共享密钥,这个密钥将应用在UE和NAF(NetworkApplication Function,网络应用功能)之间;通过Zn接口将该共享密钥和用户安全设置传递给NAF,以便UE和NAF之间基于该共享密钥进行安全的信息交互。GBA的相关流程通常分为GBA初始化阶段(该阶段将生成GBA密钥资料Ks)以及基于GBA的业务访问阶段(即使用Ks生成GBA密钥并以此进行业务通信)。
基于图1所示的网络模型,GBA初始化阶段的流程可如图2所示,包括:
步骤201、UE向BSF发送HTTP请求,请求中携带用户标识。
步骤202、BSF通过Zh接口从HSS中获得该UE的用户profile(其中包含用户的全部GUSS)和AV(认证向量),AV中包括RAND、AUTN、CK(CipherKey,加密密钥)、IK(Integrity Key,完整性密钥)和XRES。
步骤203、BSF通过401消息把随机数RAND和AUTN发送给UE。
步骤204、UE利用RAND生成AUTN,并与BSF发送过来的AUTN进行比对,对比的结果一致则成功认证网络;UE还利用AKA算法生成CK、IK和RES。
步骤205、UE发送HTTP请求到BSF,其中包含摘要AKA响应,该响应使用RES作为验证码。
步骤206、BSF将摘要AKA响应与使用XRES生成的相应参数进行比对,从而对UE进行鉴权。
步骤207、如果鉴权成功,BSF利用CK和IK生成Ks,并且生成B-TID。B-TID能够唯一标识该次Bootstrapping事件,以后NAF可以根据这个值向BSF索取达成的相关密钥Ks_NAF。
步骤208、BSF发送200 OK消息到UE通知认证成功,该消息中包含B-TID,以及Ks的生存期。
步骤209、在UE中根据CK和IK产生Ks。
后续在基于GBA的业务访问阶段,UE和BSF利用Ks生成密钥Ks_NAF,并以Ks_NAF作为UE和NAF之间信息交互的认证密钥。
根据终端UICC(Universal Integrated Circuit Card,通用集成电路卡)能力的不同,GBA可以分为GBA_ME和GBA_U。在GBA_ME模式下,密钥的协商和生成都在ME(Mobile Equipment,移动设备)中完成。
由于GBA_ME模式基于开放的ME-USIM卡接口(即UE的移动设备和客户识别模块之间的接口),导致攻击者可以通过监听机卡接口获得密钥参数(如CK、IK、RES),并进一步根据3GPP中定义的Ks生成方式生成Ks,从而导致该方案存在严重的安全漏洞。
发明内容
本发明实施例提供了一种实现GBA密钥的方法以及终端设备,用以解决因终端设备的开放式的机卡接口易被监听、用于生成GBA密钥的信息易被截获所导致的GBA密钥安全性差的问题。
本发明实施例提供的实现GBA密钥的方法中,在用户终端的移动设备ME上和认证服务功能BSF设备上配置有第一密钥,当用户终端向BSF设备请求启动GBA密钥流程后,该方法包括:
所述用户终端对所述BSF设备鉴权通过后生成认证信息并发送给所述BSF设备;
所述BSF设备根据所述认证信息对所述用户终端鉴权通过后,根据其上配置的第一密钥生成GBA密钥资料Ks;
所述用户终端的ME根据其上配置的第一密钥,采用与所述BSF设备相同的方式生成GBA密钥资料Ks;
所述BSF设备和所述用户终端分别根据各自生成的Ks生成用于在所述用户终端和网络应用功能NAF之间共享的GBA密钥Ks_NAF。
本发明实施例提供的实现GBA共享密钥的终端设备,包括客户识别模块和移动设备ME,所述ME包括:
第一存储单元,用于存储配置于所述移动设备的第一密钥,该密钥与配置在BSF设备上的第一密钥相同;
GBA处理单元,用于在BSF设备对所述终端设备鉴权通过后,根据所述第一存储单元中存储的第一密钥,采用与所述BSF设备相同的方式生成GBA密钥资料Ks并保存;以及,根据生成的Ks生成用于在所述用户终端和网络应用功能NAF之间共享的GBA密钥Ks_NAF。
本发明的上述实施例,通过在终端设备的ME与网络侧设备问预先配置第一密钥,该密钥的作用是作为生成GBA密钥资料的参数,ME和BSF在生成GBA密钥资料时都利用第一密钥作为参数生成GBA密钥资料。由于第一密钥保存在ME中,其无法或不易通过监听机卡接口方式被截获,从而保证了GBA密钥资料的安全性,进而保证了根据该GBA密钥资料生成的GBA密钥的安全性,与现有技术相比,在不增加终端设备和网络设备及网络系统改造难度的情况下,提高了GBA密钥安全性。
附图说明
图1为现有GBA的简单网络模型示意图;
图2为现有GBA密钥的流程示意图;
图3为本发明实施例提供的GBA密钥的流程示意图;
图4为本发明实施例提供的更新终端设备和BSF设备之间的共享密钥的流程示意图;
图5为本发明实施例提供的UE的结构示意图。
具体实施方式
本发明实施例中,需要预先在UE的ME中和BSF设备中配置共享密钥Km,并对UE和BSF设备中的Ks的算法进行改进,使UE侧和网络侧采用统一的算法生成Ks,并在生成Ks时利用共享的Km。
下面结合附图对本发明实施例进行详细描述。
参见图3,为本发明实施例提供的3G网络的GBA初始化阶段流程示意图,该流程描述了GBA_ME模式下的BGA初始化阶段过程,该流程包括:
步骤301、UE向BSF发送HTTP请求,请求中携带用户标识,如IMSI(International Mobile Subscriber Identifier,国际移动用户标识符)。
步骤302、BSF根据用户标识,通过Zh接口从HSS(或其他存储有用户信息的设备,如HLR,以下同)得该UE的用户profile和AV,AV中包括RAND、AUTN、CK、IK和RES。
步骤303、BSF通过401消息把随机数RAND和AUTN发送给UE。
步骤304a~304c、UE利用RAND生成AUTN,并与BSF发送过来的AUTN进行比对,对比的结果一致则成功认证网络;UE还利用AKA算法生成CK、IK和RES。
该步骤中,ME通过机卡接口将RAND和AUTN发送给SIM(或USIM,以下同)卡;SIM卡利用RAND生成AUTN,以及生成CK、IK、RES,并将生成的CK、IK、RES通过机卡接口发送给ME。
步骤305、ME发送HTTP请求到BSF,其中包含摘要AKA响应,该响应使用RES作为验证码。
步骤306、BSF将摘要AKA响应与使用XRES生成的相应参数进行比对,从而对UE进行鉴权。
步骤307、如果鉴权成功,BSF利用CK、IK和预先保存在BSF中的Km生成Ks,并且生成B-TID。
步骤308、BSF发送200OK消息到UE的ME通知认证成功,该消息中包含B-TID,以及Ks的生存期信息。
步骤309、在UE中根据CK、IK和预先保存在ME中的Km生成Ks。
该步骤中,Ks的生成过程在ME中完成。
后续在基于GBA的业务访问阶段,UE和BSF利用Ks生成密钥Ks_NAF,并以Ks_NAF作为UE和NAF之间信息交互的认证密钥。
图3所示的流程中,由于Km预先配置在ME中,不能或不易被监听到或截获到,因此,即使非法用户通过机卡接口监听到CK、IK,但由于Ks的生成除了利用CK、IK以外,还利用了Km,而Km无法或不易被监听到,因此在CK、IK被截获的情况下,非法用户因无法获取到Km以致无法获得Ks,从而保证了GBA认证的安全性。
进一步地,RES的生成也可利用Km。一种方式是,BSF根据其上配置的Km生成RES;另一种方式是:HSS设备中需要预先配置Km,BSF从HSS获取到的AV中包含的RES是利用HSS中配置的Km生成的;UE生成RES时,由ME利用其上配置的Km并采用与网络侧相同的算法生成RES。这样,由于Km预先配置在ME中,不能或不易被监听到或截获到,因此,即使通过机卡接口监听到某些用于生成RES的参数,但由于RES的生成还利用了Km,而Km无法或不易被监听到,因此在某些用于生成RES的参数被截获的情况下,非法用户因无法获取到Km以致无法获得RES,进而使BSF无法对UE成功鉴权,从而进一步保证了GBA认证的安全性。
本发明实施例中,Ks可按照以下的算法函数生成:
Ks=H1(CK、IK、Km)................................................[1]
其中,H1可以为单向摘要函数,如SHA-256。
式(1)中的函数还可以增加其他参数作为输入,例如固定字符串,或者终端与网络侧约定的任何参数,例如,增加输入参数“Ks_generation”(仅是参数示意)后的函数为:
Ks=H1(CK、IK、Km、“Ks_generation”)........................[2]
Ks生成函数中除了可以增加特定参数外,还可以增加终端与网络侧(如BSF设备)约定的变换方法,例如输入参数先经过某种变化(如置换、根据S盒变换、单向摘要函数变换、与指定参数异或等)后,再通过H1函数计算得到Ks。一种对输入参数进行SHA1变换的Ks生成函数为:
Ks=H1(SHA1(CK、IK、Km))....................................[3]
以上增加输入参数和对输入参数进行变换的两种方法可以配合使用。通常,Ks生成函数的输入参数越多,算法越复杂,生成的Ks也越安全。
RES可按照以下的算法函数生成:
RES=H2(Res_AV,Km)............................................[4]
其中,H2可以为单向摘要函数,如SHA-256,Res AV为五元组中的RES参数。
式(4)中的函数还可以增加其他参数作为输入,例如固定字符串,或者终端与网络侧约定的任何参数。RES的生成函数中除了可以增加特定参数外,还可以增加终端与网络侧约定的变换方法,例如输入参数先经过某种变化(例如置换、根据S盒变换、单向摘要函数变换、与指定参数异或等)后,再通过H2函数计算得到RES。这两种方法可以配合使用。
本发明实施例中,可将Km配置在ME的安全区域内(如保存在终端操作系统内核区域或者保存在安全芯片中),以使其不能或不易被监听到或截获到。Km可以随机取值,长度不限,从安全性考虑,以不小于128bits为宜。对于不同厂家的终端,Km可以取值不同,以保证某一厂家泄露Km密钥后,不影响其他厂家终端的安全性。
终端与BSF间可以通过初始预置的方式共享Km,也可以对Km用其他预共享的密钥加密后,从BSF发送给终端,或从终端发送给BSF。还可以对终端和BSF中共享的Km进行更新。
图4给出了一种终端和BSF双方之间更新Km的方法,如图所示,该流程包括:
步骤401、UE向BSF发送业务请求。
步骤402、BSF向UE发送更新Km的通知。
步骤403、BSF和UE之间使用预共享的密钥Kn相互认证。
该步骤中的密钥Kn可通过初始预置的方式配置在UE的ME中,并可在UE入网时将其注册到HSS中。BSF可以从HSS获取该UE的Kn,并与UE保存的Kn进行相互认证。密钥Kn可配置在ME的安全区域内,其所在的安全区域可比Km所在的安全区域的安全级别更高。
步骤404、在认证通过后,BSF使用Kn加密新的Km,并将加密的Km发送给UE。
步骤405、UE接收到该Km后,用ME中保存的Kn解密出Km,并用该Km更新ME中的原Km。
通过图4所示的流程可以看出,通过使用预共享的密钥Kn相互认证以及用Kn加密传送的Km,提高了Km更新过程的安全性,进而保证GBA过程的安全性。
基于相同的技术构思,本发明实施例还给出了能够实现上述功能的终端设备的结构。
参见图5,为本发明实施例所提供的终端设备的结构示意图。该终端设备包括:ME 51和客户识别模块(如SIM卡)52。ME 51包括:
收发处理单元511,用于该移动终端与网络侧设备的通信,包括收发无线信号,可采用常规信号处理单元实现,如包括基带信号处理单元(或电路)和射频处理单元(或电路);
机卡接口单元512,用于与客户识别模块52通信,可采用常规的接口电路实现;
第一存储单元513,用于存储配置于该终端设备的密钥Km。较佳地,该存储单元是ME中的安全存储单元,可通过初始预置方式将Km配置到该存储单元中。
GBA处理单元514,用于在BSF设备对该终端设备鉴权通过后,利用第一存储单元513中存储的Km,采用与BSF设备相同的算法生成GBA密钥资料Ks并保存;以及,根据保存的Ks生成GBA密钥(即该终端设备与NAF通信时所使用的密钥,如Ks_NAF)。
上述终端设备还可包括第二存储单元515和更新单元516,其中:
第二存储单元515用于存储通过初始预置方式配置的密钥Kn;较佳地,该存储单元是ME中的安全存储单元;
更新单元516用于接收BSF设备发送的使用Kn加密的更新后的Km,然后使用第二存储单元515存储的Kn解密得到更新后的Km,并用该Km更新第一存储单元513中原有的Km。
客户识别模块52可按照常规方式,接收ME 51通过机卡接口单元512发送的随机数RAND和AUTN,利用RAND生成AUTN,并与BSF发送过来的AUTN进行比对,根据对比结果对BSF设备进行鉴权;在鉴权通过后,还可以生成CK、IK和RES并通过机卡接口单元512发送给GBA处理单元514,以使GBA处理单元514利用CK、IK和Km生成Ks。
客户识别模块52也可以不生成RES,而是由GBA处理单元514利用第一存储单元513存储的Km生成RES并通过收发处理单元511发送给BSF设备进行鉴权。
上述终端设备的GBA处理单元514可按照以下公式生成Ks:Ks=H1(CK、IK、Km),其中,H1为单向摘要函数,CK为所述用户终端的客户识别模块生成的加密密钥,IK为所述用户终端的客户识别模块生成的完整性密钥。GBA处理单元514所采用的所述公式中的输入参数还包括该用户终端和BSF设备之间约定的其他参数;或者,所述公式中的输入参数先按照该用户终端和BSF设备之间约定的变换方式变换后,再按照单向摘要函数H1生成Ks。
综上所述,本发明实施例通过在终端的ME与网络侧设备间共享密钥Km,ME和BSF根据该Km进行密钥协商和生成,由于Km安全地保存在ME中,使其无法通过监听机卡接口被截获,从而保证GBA密钥的安全性,进而在不增加终端设备和网络设备及网络系统改造难度的情况下,避免了因机卡接口监听导致的GBA密钥安全性差的问题。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种实现通用引导架构GBA密钥的方法,应用于基于移动设备的GBA架构GBA_ME,其特征在于,在用户终端的移动设备ME上和认证服务功能BSF设备上配置有第一密钥,当用户终端向BSF设备请求启动GBA密钥流程后,该方法包括:
所述用户终端对所述BSF设备鉴权通过后生成认证信息并发送给所述BSF设备;
所述BSF设备根据所述认证信息对所述用户终端鉴权通过后,根据其上配置的第一密钥生成GBA密钥资料Ks;
所述用户终端的ME根据其上配置的第一密钥,采用与所述BSF设备相同的方式生成GBA密钥资料Ks;
所述BSF设备和所述用户终端分别根据各自生成的Ks生成用于在所述用户终端和网络应用功能NAF之间共享的GBA密钥Ks_NAF。
2.如权利要求1所述的方法,其特征在于,所述用户终端生成认证信息,具体为:所述用户终端的ME根据用第一密钥生成所述认证信息的第一函数以及其上配置的第一密钥生成认证信息;
所述BSF设备根据所述认证信息对所述用户终端鉴权,具体为:
所述BSF设备根据其上配置的第一密钥生成认证信息,并根据所述用户终端发送的认证信息对所述用户终端进行鉴权。
3.如权利要求1所述的方法,其特征在于,所述用户终端生成认证信息,具体为:所述用户终端的ME根据用第一密钥生成所述认证信息的第一函数以及其上配置的第一密钥生成认证信息;
所述BSF设备根据所述认证信息对所述用户终端鉴权,具体为:
所述BSF设备根据所述用户终端发送的认证信息和获取到的该用户终端对应的认证向量中的认证信息,对所述用户终端进行鉴权,所述认证向量中的认证信息是根据用第一密钥生成所述认证信息的第一函数以及预先在网络侧配置的第一密钥生成的。
4.如权利要求1所述的方法,其特征在于,所述第一密钥通过初始预置方式配置在所述用户终端的ME中。
5.如权利要求4所述的方法,其特征在于,所述用户终端的ME上和网络侧设备上还预置有第二密钥,通过初始预置方式将所述第一密钥配置在所述用户终端的ME中之后,还包括:
所述BSF设备从所述网络侧设备上获取预置的所述第二密钥后,所述用户终端和所述BSF利用各自的第二密钥相互鉴权;
鉴权通过后,所述用户终端接收BSF发送的使用第二密钥加密的更新后的第一密钥;
所述用户终端使用ME上预置的第二密钥解密得到更新后的第一密钥,并用其更新ME中原有的第一密钥。
6.如权利要求1~5任一项所述的方法,其特征在于,ME中的所述第一密钥保存在ME的安全区域内。
7.如权利要求1~5任一项所述的方法,其特征在于,所述BSF设备根据其上配置的第一密钥生成Ks,具体为按照以下公式生成Ks:
Ks=H1(CK、IK、Km)
其中,H1为单向摘要函数,CK为所述BSF设备从存储用户信息的设备获得的所述用户终端对应的加密密钥,IK为所述BSF设备从存储用户信息的设备获得的所述用户终端对应的完整性密钥,Km为所述BSF设备上配置的第一密钥;
所述用户终端的ME根据其上配置的第一密钥,采用与所述BSF设备相同的方式生成Ks,具体为按照以下公式生成Ks:
Ks=H1(CK、IK、Km)
其中,H1为单向摘要函数,CK为所述用户终端的客户识别模块生成的加密密钥,IK为所述用户终端的客户识别模块生成的完整性密钥,Km为所述用户终端上配置的第一密钥。
8.如权利要求7所述的方法,其特征在于,所述公式中的输入参数还包括所述用户终端和所述BSF之间约定的其他参数;或者,
所述公式中的输入参数先按照所述用户终端和所述BSF设备之间约定的变换方式变换后,再按照单向摘要函数H1生成Ks。
9.一种实现GBA共享密钥的终端设备,包括客户识别模块和移动设备ME,其特征在于,所述ME包括:
第一存储单元,用于存储配置于所述移动设备的第一密钥,该密钥与配置在BSF设备上的第一密钥相同;
GBA处理单元,用于在BSF设备对所述终端设备鉴权通过后,根据所述第一存储单元中存储的第一密钥,采用与所述BSF设备相同的方式生成GBA密钥资料Ks并保存;以及,根据生成的Ks生成用于在所述用户终端和网络应用功能NAF之间共享的GBA密钥Ks_NAF。
10.如权利要求9所述的终端设备,其特征在于,所述GBA处理单元进一步用于,根据所述第一存储单元存储的第一密钥生成认证信息并发送给所述BSF设备进行鉴权。
11.如权利要求9所述的终端设备,其特征在于,所述第一存储单元存储的第一密钥是通过初始预置方式配置到所述第一存储单元中的。
12.如权利要求11所述的终端设备,其特征在于,还包括:
第二存储单元,用于存储通过初始预置方式配置的第二密钥;
更新单元,用于接收BSF设备发送的使用第二密钥加密的更新后的第一密钥,使用所述第二存储单元存储的第二密钥解密得到更新后的第一密钥,并用其更新第一存储单元中原有的第一密钥。
13.如权利要求10~12任一项所述的终端设备,其特征在于,所述第一存储单元为ME中的安全存储单元。
14.如权利要求10~12任一项所述的终端设备,其特征在于,所述GBA处理单元按照以下公式生成Ks:
Ks=H1(CK、IK、Km)
其中,H1为单向摘要函数,CK为所述用户终端的客户识别模块生成的加密密钥,IK为所述用户终端的客户识别模块生成的完整性密钥,Km为所述第一存储单元中存储的第一密钥。
15.如权利要求14所述的终端设备,其特征在于,所述GBA处理单元所采用的所述公式中的输入参数还包括所述用户终端和所述BSF设备之间约定的其他参数;或者,所述公式中的输入参数先按照所述用户终端和所述BSF设备之间约定的变换方式变换后,再按照单向摘要函数H1生成Ks。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910084297.3A CN101888626B (zh) | 2009-05-15 | 2009-05-15 | 一种实现gba密钥的方法及其终端设备 |
| HK10111231.4A HK1145245A1 (en) | 2009-05-15 | 2010-12-02 | Method for implementing gba key and user equipment thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910084297.3A CN101888626B (zh) | 2009-05-15 | 2009-05-15 | 一种实现gba密钥的方法及其终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101888626A true CN101888626A (zh) | 2010-11-17 |
| CN101888626B CN101888626B (zh) | 2013-09-04 |
Family
ID=43074297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910084297.3A Active CN101888626B (zh) | 2009-05-15 | 2009-05-15 | 一种实现gba密钥的方法及其终端设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101888626B (zh) |
| HK (1) | HK1145245A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546580A (zh) * | 2011-01-04 | 2012-07-04 | 中国移动通信有限公司 | 一种用户口令的更新方法、系统及装置 |
| CN103067345A (zh) * | 2011-10-24 | 2013-04-24 | 中兴通讯股份有限公司 | 一种变异gba的引导方法及系统 |
| WO2013113162A1 (en) * | 2012-02-02 | 2013-08-08 | Nokia Siemens Networks Oy | Group based bootstrapping in machine type communication |
| WO2018010150A1 (zh) * | 2016-07-14 | 2018-01-18 | 华为技术有限公司 | 一种认证方法和认证系统 |
| CN107683402A (zh) * | 2015-05-22 | 2018-02-09 | 卡尔蔡司工业测量技术有限公司 | 用于将移动终端设备智能耦合并连接到坐标测量设备上的系统和方法 |
| CN108882233A (zh) * | 2018-07-17 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种imsi的加密方法、核心网和用户终端 |
| CN110831002A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 扩展的通用引导架构认证方法、装置及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2356530B (en) * | 1999-11-18 | 2004-04-07 | Vodafone Ltd | User authentication in a mobile communications network |
| CN100550725C (zh) * | 2005-06-17 | 2009-10-14 | 中兴通讯股份有限公司 | 一种用户与应用服务器协商共享密钥的方法 |
| CN1921682B (zh) * | 2005-08-26 | 2010-04-21 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
| CN101030862B (zh) * | 2007-03-29 | 2010-05-26 | 中兴通讯股份有限公司 | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue |
-
2009
- 2009-05-15 CN CN200910084297.3A patent/CN101888626B/zh active Active
-
2010
- 2010-12-02 HK HK10111231.4A patent/HK1145245A1/xx unknown
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546580A (zh) * | 2011-01-04 | 2012-07-04 | 中国移动通信有限公司 | 一种用户口令的更新方法、系统及装置 |
| CN103067345A (zh) * | 2011-10-24 | 2013-04-24 | 中兴通讯股份有限公司 | 一种变异gba的引导方法及系统 |
| WO2013113162A1 (en) * | 2012-02-02 | 2013-08-08 | Nokia Siemens Networks Oy | Group based bootstrapping in machine type communication |
| US9654284B2 (en) | 2012-02-02 | 2017-05-16 | Nokia Solutions And Networks Oy | Group based bootstrapping in machine type communication |
| CN107683402A (zh) * | 2015-05-22 | 2018-02-09 | 卡尔蔡司工业测量技术有限公司 | 用于将移动终端设备智能耦合并连接到坐标测量设备上的系统和方法 |
| WO2018010150A1 (zh) * | 2016-07-14 | 2018-01-18 | 华为技术有限公司 | 一种认证方法和认证系统 |
| CN108353279A (zh) * | 2016-07-14 | 2018-07-31 | 华为技术有限公司 | 一种认证方法和认证系统 |
| CN108353279B (zh) * | 2016-07-14 | 2020-08-14 | 华为技术有限公司 | 一种认证方法和认证系统 |
| CN108882233A (zh) * | 2018-07-17 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种imsi的加密方法、核心网和用户终端 |
| CN110831002A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 扩展的通用引导架构认证方法、装置及存储介质 |
| CN110831002B (zh) * | 2018-08-10 | 2021-12-03 | 华为技术有限公司 | 一种密钥推演的方法、装置及计算存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101888626B (zh) | 2013-09-04 |
| HK1145245A1 (en) | 2011-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| US10172000B2 (en) | Method and system for managing security keys for user and M2M devices in a wireless communication network environment | |
| CN101822082B (zh) | 用于uicc和终端之间安全信道化的技术 | |
| US9351162B2 (en) | Network supporting two-factor authentication for modules with embedded universal integrated circuit cards | |
| CN108683510B (zh) | 一种加密传输的用户身份更新方法 | |
| CN210719302U (zh) | 一种燃气表的安全通信系统 | |
| CN101888626B (zh) | 一种实现gba密钥的方法及其终端设备 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
| GB2518296A (en) | Methods and systems for communicating with an M2M device | |
| CN103314605A (zh) | 用于认证通信设备的方法和装置 | |
| EP2140711A1 (en) | An authentication method | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN104244245A (zh) | 一种无线接入认证方法、无线路由设备和无线终端 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN103415010A (zh) | D2d网络鉴权方法及系统 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| KR20120103272A (ko) | 통신 연결 인증 방법, 그에 따른 게이트웨이 장치, 및 그에 따른 통신 시스템 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 | |
| CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
| CN114208113A (zh) | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和系统 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1145245 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1145245 Country of ref document: HK |