CN101965739A - 无线通信网络中的用户认证系统和方法 - Google Patents
无线通信网络中的用户认证系统和方法 Download PDFInfo
- Publication number
- CN101965739A CN101965739A CN2008801267489A CN200880126748A CN101965739A CN 101965739 A CN101965739 A CN 101965739A CN 2008801267489 A CN2008801267489 A CN 2008801267489A CN 200880126748 A CN200880126748 A CN 200880126748A CN 101965739 A CN101965739 A CN 101965739A
- Authority
- CN
- China
- Prior art keywords
- cscf
- aka
- bsf
- authentication
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Abstract
此处教导的方法和系统提供了用于对用户终端进行认证的、要在支持对用户终端的IMS-AKA认证的网络实体与支持对用户终端的GBA-AKA认证的网络实体之间共享的认证信息。在这些实体之间共享认证信息允许针对对用户终端的IMS-AKA认证而产生的认证信息的全部或部分随后用于对用户终端的GBA-AKA认证,反之亦然。
Description
技术领域
本发明总体涉及对无线通信网络的用户进行认证,具体涉及在基于IMS和GBA的用户认证之间共享用户认证信息。
背景技术
现有的和正在开发的无线通信网络针对用户提供越来越大范围和越来越多类型的通信服务。在几乎所有实例中,必须在准予访问服务之前认证或验证用户。所需的具体认证常常依赖于所访问的服务的类型。例如,通过因特网协议多媒体核心网子系统(称作“IMS”或“IMS网络”)可用的服务一般要求对尝试访问这种服务的用户终端的IMS注册。该注册包括认证和密钥协商(AKA)安全过程,这涉及用户终端与IMS网络之间的会话发起协议(SIP)信令。
更具体地,IMS网络使用给定用户终端的两个标识(identity)。第一标识是IP多媒体公开密钥标识(IMPU),第二标识是IP多媒体私有标识(IMPI)。IMPI可以例如是从用户终端的国际移动订户标识(IMSI)导出的。第三代合作伙伴计划(3GPP)标准规定该密钥导出方法是强制的,其中,IMPI是使用来自在用户终端中实现的通用订户标识模块(USIM)的标识信息来形成的。
一般地,用户终端具有一个IMPI,但其可以具有多个IMPU。然而,IMPU与IMPI相关。例如,归属订户服务器(HSS)针对每个IMPI存储IMPU列表。对于包括IMS-AKA认证在内的IMS注册,呼叫会话控制功能元件(CSCF)与HSS进行通信以获得认证矢量。用户终端使用基于SIP的AKA认证协议来与CSCF进行通信。
IMS网络服务之外可用的其他应用可能需要其他认证处理。例如,多种应用需要基于通用自举架构(GBA)的认证,这还使用了基于AKA的认证(基于HTTP信令)。自举服务器功能元件(BSF)联系终端的HSS,以获得AKA矢量,并获得针对用户终端的GBA-AKA认证的一般用户安全设置(GUSS)。
更具体地,基于GBA的认证首先通过运行自举过程在网络与用户终端之间建立共享秘密。然后,在网络应用功能(NAF)与用户终端之间使用共享秘密用于认证目的,其中,用户终端和BSF使用AKA协议来相互认证,并就之后在用户终端与NAF之间应用的会话密钥达成共识。一般地,BSF通过使用密钥导出过程来限制密钥材料对特定NAF的可应用性。密钥导出过程可以用于在密钥材料的生存期期间向多个NAF进行认证。密钥生存期是例如根据在BSF处实现的本地策略来设置的。
尽管IMS-AKA认证过程和GBA-AKA认证过程均依赖于基于AKA的认证,但传统地,它们是分离且独立地完成的。例如,对于相同的用户终端,CSCF联系HSS,以获得用于在IMS安全域中对用户终端进行认证的AKA矢量。类似地,对于相同的终端,BSF同样联系相同的HSS,以获得用于在GBA安全域中对终端进行认证的AKA矢量。因此,对于相同的用户终端,产生和维持重复的认证信息。
发明内容
根据此处提出的教导,在支持对用户终端的IMS-AKA认证的网络实体与支持对用户终端的GBA-AKA认证的网络实体之间共享用于对用户终端进行认证的用户认证信息。在这些实体之间共享认证信息允许针对对用户终端的IMS-AKA认证而产生的认证信息的全部或部分随后被用于对用户终端的GBA-AKA认证,反之亦然。
作为参考,示例情况中的“IMS-AKA”是指第三代合作伙伴计划(3GPP)发布的、针对因特网协议多媒体核心网子系统(IMS)的认证和密钥协商(AKA)安全规范。类似地,示例情况中的“GBA-AKA”是指3GPP发布的、针对通用认证架构(GAA)的上下文中的通用自举架构(GBA)的AKA安全规范。当然,此处的教导扩展至用于基于类似标准的网络以及用于基于相关现有3GPP标准的演进的网络的、以类似方式工作的实体和过程。
在至少一实施例中,一种减少对用户终端的冗余认证操作的方法,包括:在对用户终端的IMS-AKA认证中使用的呼叫会话控制功能元件(CSCF)与对用户终端的GBA-AKA认证中使用的自举服务器功能元件(BSF)之间,共享用户认证信息。在至少一个这种实施例中,共享认证信息包括:例如CSCF在对用户终端的IMS-AKA认证期间从归属订户服务器(HSS)获得AKA矢量;以及将所述AKA矢量或所导出的AKA矢量从CSCF传送至BSF。该传送允许BSF在对用户终端的随后GBA-AKA认证中使用所传送的AKA矢量,而不是例如,BSF访问HSS以产生新AKA矢量信息,从而支持GBA-AKA认证。
在一个或多个其他实施例中,在对用户终端的IMS-AKA认证中使用的CSCF包括:BSF接口,用于在CSCF与BSF之间共享用户认证信息,以由BSF在对用户终端的GBA-AKA认证中使用。在CSCF与BSF之间共享的认证信息包括例如CSCF在对用户终端的IMS-AKA认证期间从HSS获得的AKA矢量。BSF使用从CSCF传送至所述BSF的AKA矢量,而不是与HSS协调以产生用于对用户终端的GBA-AKA认证的另一AKA矢量,从而消除或至少减少了IMS-AKA和GBA-AKA认证操作之间的冗余。
在其他实施例中,在对用户终端的GBA-AKA认证中使用的BSF包括:CSCF接口,用于在BSF与CSCF之间共享用于对用户终端的IMS-AKA认证的用户认证信息。所共享的认证信息可以包括AKA矢量。例如,BSF可以在对用户终端的GBA-AKA认证期间从HSS获得AKA矢量,然后将所述AKA矢量传送至CSCF,以由CSCF在对用户终端的IMS-AKA认证中使用。因此,该传送排除了CSCF从HSS获得用于IMS-AKA认证的新AKA矢量的需要。
在至少一个这种实施例中,BSF对于CSCF充当HSS的代理。因此,CSCF联系BSF而不是HSS,以获得用于对用户终端的IMS-AKA认证的AKA矢量。BSF用于从HSS获得AKA矢量并将所述AKA矢量或所导出的AKA矢量传送至CSCF,以供CSCF在对用户终端的IMS-AKA认证中使用。此外,BSF用于保留所述AKA矢量的副本,以供BSF在对用户终端的GBA-AKA认证中使用。该保留使BSF免于从HSS获得用于GBA-AKA认证的单独AKA矢量。作为获得所述AKA矢量的一部分,BSF可以获得用户终端的一般用户安全设置(GUSS),并使用所述AKA矢量和GUSS来自举对用户终端的GBA-AKA认证。
当然,本发明不限于上述特征和优点。事实上,本领域技术人员将在阅读以下详细描述以及在阅览附图时认识到附加的特征和优点。
附图说明
图1是无线接入网和一个或多个核心网的一实施例的图,包括作为IMS域网络实体的呼叫会话控制功能元件(CSCF)和作为GBA域网络实体的自举服务器功能元件(BSF)。
图2是从CSCF的角度来看,在CSCF与BSF之间共享给定用户终端的用户认证信息的方法的一实施例的逻辑流图。
图3是从BSF的角度来看,在CSCF与BSF之间共享给定用户终端的用户认证信息的方法的一实施例的逻辑流图。
图4是用户终端、CSCF和BSF的示例电路实现的框图,并包括用于共享用户认证信息的、CSCF与BSF之间的接口的示例细节。
图5是传统IMS-AKA认证过程的呼叫流图。
图6是传统GBA-AKA认证过程的呼叫流图。
图7是IMS-AKA认证过程和GBA-AKA认证过程的呼叫流图,其中,根据此处教导的方法的一实施例在两个认证过程之间共享用户认证信息。
图8是IMS-AKA认证过程和GBA-AKA认证过程的呼叫流图,其中,根据此处教导的方法的另一实施例在两个认证过程之间共享用户认证信息。
图9是IMS-AKA认证过程和GBA-AKA认证过程的呼叫流图,其中,根据此处教导的方法的又一实施例在两个认证过程之间共享用户认证信息。
图10是IMS-AKA认证过程和GBA-AKA认证过程的呼叫流图,其中,根据此处教导的方法的另一实施例在两个认证过程之间共享用户认证信息。
图11是IMS-AKA认证过程和GBA-AKA认证过程的呼叫流图,其中,根据此处教导的方法的另一实施例在两个认证过程之间共享用户认证信息。
具体实施方式
图1是可操作共享用于对用户终端(UT)14进行IMS-AKA认证和对相同用户终端14进行GBA-AKA认证的用户认证信息的呼叫会话控制功能元件(CSCF)10和自举服务器功能元件(BSF)12的一实施例的框图。在这些网络实体之间共享认证信息允许针对对用户终端14的IMS-AKA认证而产生的认证信息的全部或部分随后被用于对相同用户终端14的GBA-AKA认证,反之亦然。除其他优点以外,这种共享减少或消除了否则对用户终端14进行独立的IMS-AKA和GBA-AKA认证而执行的冗余认证操作。
此处,“IMS-AKA”表示由适用的第三代合作伙伴计划(3GPP)标准定义的认证和密钥协商(AKA)过程以及对因特网协议多媒体核心网子系统(IMS)的用户终端认证的规范,并进行了此处教导的、用于认证信息共享的修改。3GPP AKA达到了两个目的:a)用户与网络之间的相互认证(使用特定密钥);以及b)密钥协商,其中导出附加密钥以进一步用于完整性和机密性保护。此处考虑的用于共享的“认证信息”可以包括相互认证和密钥协商信息。类似地,“GBA-AKA”表示针对通用自举架构(GBA)中的用户终端认证而定义的AKA过程,并进行了此处教导的、用于认证信息共享的修改。
在示意中,CSCF 10被示意为“S-CSCF 10”,表示其对于用户终端14的“服务”作用。更具体地,作为非限制性示例,用户终端14通过在示意中被表示为“P-CSCF 16”的“代理”CSCF来以通信方式耦合至S-CSCF 10。(用户终端14可以通过实质上任何类型的无线接入/核心网17来进行无线通信接入。)S-CSCF 10包括“自举服务器功能元件接口”,此处其被称作“BSF接口18”。相应地,BSF 12包括“呼叫会话控制功能元件接口”,此处其被称作“CSCF接口20”。
相应的接口18和20用于将S-CSCF 10以通信方式耦合(直接或间接地)至BSF 12,以在S-CSCF 10与BSF 12之间共享用户认证信息。除其他优点以外,在这两个实体之间共享用户认证信息减少(并可能消除)了否则对用户终端14进行IMS-AKA认证和对相同用户终端14进行GBA-AKA认证而执行的冗余认证操作。
为了更好地理解所公开的示例配置的该优点和其他优点,可能有帮助的是,注意到用户终端14包括IMS-AKA认证功能22和GBA-AKA认证功能24,这两种认证功能均可以经由在通用集成电路卡(UICC)等上承载的安全处理电路(硬件和/或软件)来实现。用户终端14使用例如其IMS-AKA认证功能22,对其自身认证,以安全地访问从被表示为AS 26的基于IMS的应用服务器(可被包括在IMS网络28中或可通过IMS网络28访问)可得的一个或多个IMS应用。作为非限制性示例,这种应用包括存在感测以及多媒体广播。
一个或多个其他应用可以在IMS网络的服务之外或与IMS网络的服务分开可用,但对于用户终端14来说可经由网络应用功能(NAF)30来访问。用户终端14使用其GBA-AKA认证功能24,针对访问对其自身进行认证,以访问通过NAF 30而可用的应用。该GBA-AKA认证由BSF 12支持,并在传统情况下需要BSF 12访问归属订户服务器(HSS)32,以获得用于对用户终端14进行认证的用户认证信息(如AKA矢量)。类似地,对用户终端14的前述IMS-AKA认证在传统情况下需要S-CSCF 10访问HSS 32,以获得例如用于对用户终端14进行认证的AKA矢量。
认识到IMS-AKA认证过程和单独的GBA-AKA认证过程均依赖于相同的基础AKA认证结构,并均依赖于产生对用户终端14加密的AKA矢量,此处的教导提供了在S-CSCF 10与BSF 12之间共享用户认证信息,以便减少传统上在对相同用户终端14执行单独的、独立的IMS-AKA和GBA-AKA认证过程时引起的冗余等。
作为非限制性示例,图2示出了可以例如通过在S-CSCF 10处配置基于硬件和/或软件的电路而在S-CSCF 10处实现的处理逻辑。处理“起始”于以下假定:已经针对用户终端14发起或触发了IMS-AKA认证,从而S-CSCF 10获得或产生了针对用户终端14的用户认证信息(框100)。例如,S-CSCF 10从用户终端的HSS 32获得AKA矢量。
处理继续:S-CSCF 10至少暂时保留用户认证信息(框102),该用户认证信息可以是由S-CSCF 10获得的、用于执行对用户终端14的IMS-AKA认证的信息的全部或所选部分。处理继续:S-CSCF 10将用户认证信息传送至BSF 12(框104)。即,S-CSCF 10经由其BSF接口18将针对对用户终端14进行IMS-AKA认证而产生的认证数据的至少一部分发送至BSF 12,以由BSF 12在对用户终端14的GBA-AKA认证中使用。这样做允许BSF 12“重用”所传送的认证信息的全部或一部分,以支持对用户终端14的后续GBA-AKA认证。
图3中的框106、108和110充当共享用户认证信息的对应的非限制性示例,但是从BSF 12的角度示出的。即,假定首先触发GBA-AKA认证,并且BSF 12在获得针对用户终端14的认证信息,以支持执行该GBA-AKA认证(框106),至少暂时保留针对用户终端14的认证信息(框108),并将该认证信息传送至S-CSCF 10(框110),以供其重用于支持对用户终端14的IMS-AKA认证。可以通过适当地配置基于硬件和/或软件的电路,在BSF 12处实现所示的处理逻辑。
在这一点上,图4示出了用户终端14、S-CSCF 10和BSF 12的示例非限制性实现。本领域技术人员应当理解,这些示意被简化为适于理解此处的教导。
首先,用户终端14的示意实施例包括系统处理电路40(如一个或多个基于微处理器的电路)、通信电路42(如蜂窝和/或其他无线收发机电路)以及安全性处理电路44(如具有安全存储器、秘密存储器、终端标识信息等的基于UICC的安全域处理环境)。本领域技术人员应当理解,术语“用户终端”此处被赋予了宽泛的构造,并且作为示例而非限制性地包括蜂窝无线电话、无线寻呼机、PDA、调制解调器/网卡以及实质上任何其他类型的通信模块或设备。
其次,S-CSCF 10的示意实施例包括一个或多个处理电路46,该一个或多个处理电路46包括BSF接口18或与BSF接口18相关联。这些电路可以以硬件或软件或者其任意组合来实现。在一实施例中,使S-CSCF 10基于利用由一个或多个所包括的微处理器电路执行的所存储的程序指令供给或配置S-CSCF 10,来支持此处所描述和要求保护的认证信息共享。
类似地,BSF 12的示意实施例包括一个或多个处理电路48,该一个或多个处理电路48包括CSCF接口20或与CSCF接口20相关联。这些电路可以以硬件或软件或者其任意组合来实现。在一实施例中,使BSF12基于利用由一个或多个所包括的微处理器电路执行的所存储的程序指令供给或配置BSF 12,来支持此处所描述和要求保护的认证信息共享。
从示例电路细节转移开,图5和6一起示出了针对给定用户终端的传统的独立(非共享)IMS-AKA和GBA-AKA认证。因此,如此处所描述和要求保护的,在至少一实施例中,术语“IMS-AKA认证”和“GBA-AKA认证”可以具有这些示意处理步骤作为其基本框架,并且关于在S-CSCF 10与BSF 12之间共享认证信息进行了一个或多个修改。此处所描述和要求保护的其他实施例更显著地背离了这些基本认证示意,但所有这些实施例在实现安全的IMS域和安全的GBA域访问的意义上提供对用户终端14的IMS-AKA和GBA-AKA认证。
通过如对于传统IMS域和GBA域认证所做的那样,对给定用户终端执行独立的、非共享IMA-AKA和GBA-AKA认证过程,网络运营商在初始时(投资时)和运行时(运营时)产生不必要的费用。例如,运营商针对不同类型的服务部署IMS和GBA/GAA技术将是越来越常见的,这意味着认证的低效将越来越成问题。
在基于TISPAN安全性架构的低效问题的更详细示例中,可以假定用户首先访问基于GBA的应用,从而经由支持BSF来触发向用户的HSS的GBA-AKA认证过程。还可以假定相同用户稍后尝试访问基于IMS的应用,从而经由支持P/S-CSCF来触发向相同HSS的IMS-AKA认证过程。这两种认证有些重复,并由于HSS处的不必要认证矢量(AV)消耗而导致低效的密钥管理,并且由于S-CSCF和BSF中对相同用户的重复(但不相关)认证会话而可能造成同步风险。
特别地,尽管这些会话在某种意义上是重复的,但它们传统上是完全独立的,即使许多会话信息是公共的。在这种独立性下,一个会话的改变不会在另一会话中“被注意”或反映。(这种改变由重新认证、密钥刷新等来触发。)此外,不存在IMS与GBA域之间的任何安全性信息共享意味着,应用需要是IMS感知的和GBA感知的,以便通过基于IMS-AKA的基础设施和基于GBA-AKA的基础设施“可达”。这些需求使得应用(使用HTTP/传输层安全性)实现两个接口(即,IMS/SIP接口和GBA/NAF接口)成为必要,而这非期望地提高了初始和运行成本。
接着,转至此处提出的、用于联结或修改IMS-AKA和GBA-AKA认证过程以通过认证信息共享达到更高效率的示例性方法和设备,图7示出了IMS-AKA认证过程“A”与随后的GBA-AKA认证过程“B”之间的认证信息共享。该过程流是参照图1中使用的实体标识符来示出的。
如图所示,S-CSCF 10和BSF 12以通信方式耦合在一起,以进行认证信息共享,例如通过它们各自的接口18和20。采用该耦合,当用户终端14触发了成功的IMS-AKA认证(作为IMS注册的一部分)时,S-CSCF 10向BSF 12发送通知。该通知包括例如由S-CSCF 10从HSS 32获得的、用于对用户终端14进行IMS-AKA认证的AKA矢量。
在互补配置中,响应于接收到该通知,BSF 12可以被配置用于触发向HSS 32请求用户终端的GBA用户安全性设置(GUSS)。然后,BSF12可以使用来自S-CSCF 10的AKA矢量和来自HSS 32的GUSS来创建自举用户终端14所需的信息。这样做排除了HSS 32产生用于基于GBA的自举的新的独立AKA矢量的需要。
稍后,当用户终端14尝试访问基于GBA的应用时,其从BSF 12请求认证自举。BSF 12经由来自S-CSCF 10的认证信息共享来检测对于用户终端14已经发生了自举,从而绕开自举过程并将自举事务标识符(B-TID)直接返回给用户终端14。进而,用户终端根据GBA过程,使用B-TID与NAF 30建立安全性关联。
备选地,BSF 12不必要分发B-TID,取而代之,用户终端14可以直接联系NAF 30。在这种情况下,用户终端14可以被配置用于B-TID产生。在任何情况下,以上方法对面向用户终端14的标准化IMS接口具有最小影响。
图8和9引入了在S-CSCF 10与BSF 12之间共享用户认证信息的附加实施例,这避免了用于对相同用户终端14进行IMS-AKA和GBA-AKA认证的“额外”(冗余)访问。更具体地,图8示出了S-CSCF10被配置用于取得用户终端14的GUSS,作为IMS注册的一部分,以及取得用户终端14的认证矢量(AKA矢量)。即,不是简单地从HSS 32获得AKA矢量以将用户终端14注册至IMS网络28,而是S-CSCF 10附加地从HSS 32获得用户终端14的GUSS。此外,S-CSCF 10向BSF 12传送用户终端14的AKA矢量和GUSS,作为共享的用户认证信息。BSF 12使用共享的用户认证信息来执行用户终端14的常规自举过程,只是其不需要访问HSS 32以获取AKA矢量或GUSS,这是由于这些项目经由接口18和20从S-CSCF传送至该BSF 12。
在某种意义上,上述操作对S-CSCF 10的操作的影响比对BSF 12的影响大。在一些情形或实现中,对BSF 12处的操作的影响大于对S-CSCF 10处的操作的影响是更有利的。图9示出了一个这样的实施例,其中,BSF 12为HSS 32充当对于S-CSCF 10的代理。更具体地,在该实施例中,如适用的3GPP接口标准所定义的,BSF 12被配置用于在“Cx”接口中作为面向S-CSCF 10的透明HSS代理来工作。
在这种代理实施例中,来自支持用户终端14的IMS注册的S-CSCF10的AV请求被BSF 12“拦截”,或被导引至充当HSS 32的代理的BSF12。响应于S-CSCF的请求,BSF 12联系HSS 32,并获得用户终端14的AV和GUSS。此外,如上所述,BSF 12使用这些项目来执行用户终端14的常规自举,并通过例如Cx接口将AV返回给S-CSCF 10。尽管不限于这种上下文,但代理实施例可以提供BSF12与HSS 32处于同一位置的特定优点。
关于以上用户认证信息的基于S-CSCF-BSF接口的共享的多个优点之一是对于用户终端14的透明性。换言之,IMS-AKA与GBA-AKA安全域之间的认证共享不需要用户终端14的意识或用户终端14的信令支持。尽管不存在对用户终端14的影响可能是有利的,但此处的至少一实施例还考虑基于用户终端信令的认证效率。
例如,在至少一实施例中,用户终端14向BSF 12发信号通知其已经被注册在IMS网络28中,即,其已经经历IMS-AKA认证。具体地,此处给出的至少一实施例提出:用户终端14应当被配置为向BSF 12发信号通知用户终端14已经被注册在IMS网络28中。在至少一实施例中,这种信令基于B-TID。
在这一点上,在前述任意示例实施例中,BSF 12可以向S-CSCF 10提供用户终端14的B-TID。然后,通过用户(信令)接口将B-TID发送至用户终端14,即,在图7-9的呼叫流中所示的IMS“200同意”消息中。
根据此处考虑的一个或多个实施例,用户终端14将该消息的接收解释为已发生自举的指示,从而排除了联系BSF 12的需要。因此,用户终端14不联系BSF 12以进行自举,而是根据GBA过程,直接联系NAF 30。图10示出了这种处理的一实施例。
该方法不需要用户终端14处的改变,但有利地,该方法使得可以将IMS-AKA认证与GBA-AKA认证联结,这意味着可以响应于IMS注册而自动自举(或完成)GBA-AKA认证,而对IMS注册几乎没有影响。
例如,用户终端14可以被配置为IMS-GBA“融合”终端,其中,其被配置用于在用户终端14经历IMS注册之后,向NAF 30发信号通知标记或其他指示符。在这些实施例中,所述标记向NAF 30指示用户终端14已经经历了作为IMS注册的一部分的IMS-AKA认证,并且用户终端14发送IMPU(IP多媒体公开密钥标识)而不是尚未可用的B-TID。进而,NAF 30使用从用户终端14接收到的IMPU来联系BSF 12,以取得对应的自举信息和B-TID。在HTTP摘要之后,NAF 30将B-TID发送至用户终端14。
在另一实施例中,BSF 12被配置为充当SIP AS,从而变为使用IMS服务标识可达。相应地,用户终端14被配置用于向BSF 12发出SIP消息(例如,SIP“邀请(INVITE)”消息),以从BSF 12获得B-TID,而无需任何自举。
在另一实施例中,NAF 30被配置为充当SIP AS,分配了IMS服务标识。采用该配置,NAF 30是用户终端14使用SIP信令可达的,并且,在一个或多个这样的实施例中,用户终端14被配置用于向NAF 30发送例如SIP邀请。当然,这种操作需要用户终端14处的IMS-AKA/GBA-AKA融合操作,并需要NAF 30能够获得认证密钥分发。
尽管图7-10示出了在用户终端尝试访问需要GBA-AKA认证的服务之前进行IMS注册的示例,但是本领域技术人员应当理解,用户认证过程的共享可以由或基于首先进行的GBA-AKA认证触发。图11给出了针对以下情况的非限制性处理示例:用户终端14首先访问基于GBA的应用并稍后访问基于IMS的应用。
在示意中可见,用户终端14可以被配置用于呈现其已经通过经历成功的GBA自举、作为IMS注册信息的一部分而获得的B-TID。因此,在S-CSCF 10的一个或多个实施例中,其将在IMS注册过程期间从用户终端14接收到B-TID信息解释为用户终端已经经历了成功的GBA-AKA认证的指示。因此,S-CSCF 10联系BSF 12,以核实自举信息并从BSF 12获得AV。该过程排除了S-CSCF 10对用户终端14进行显示认证的需要,并且S-CSCF 10将简单地将“同意(OK)”消息返回给用户终端14。
无论IMS-AKA认证在时间上是最先的、是位于GBA-AKA认证之后、还是相反,此处的教导都提供了用于在IMS域中的认证实体与GBA域中的认证实体之间共享用户认证信息的方法和设备。这种共享减少或消除了用于对相同用户终端14进行IMS-AKA和GBA-AKA认证的冗余认证操作。
此外,此处考虑的认证信息共享的一个或多个实施例包括AKA矢量导出。例如,S-CSCF 10可以从HSS 32获得用于IMS-AKA认证的AKA矢量。如先前教导的,S-CSCF 10可以向BSF 12传送AKA矢量(即,发送副本),以由BSF 12在GBA-AKA认证中使用。然而,在一个或多个其他实施例中,S-CSCF 10根据从HSS 32获得的AKA矢量来产生导出的AKA矢量,并向BSF 12传送导出的AKA矢量,以由BSF 12在对用户终端14的GBA-AKA认证中使用。
对导出的AKA矢量的使用增强了IMS-GBA域分离度,但仍消除了S-CSCF 10和BSF 12从HSS 32获得单独AKA认证矢量的需要。当然,可以实施对该技术的变型。例如,S-CSCF 10可以将其从HSS 32获得的AKA矢量传送至BSF 12,然后,BSF 12可以被配置用于产生导出的AKA矢量。此外,可以在反方向上应用相同技术。即,BSF 12可以从HSS 32获得AKA矢量,然后将该AKA矢量传送至S-CSCF 10,或者,其可以传送导出的AKA矢量。如果S-CSCF 10接收到HSS产生的AKA矢量,则其可以使用该AKA矢量来直接对用户终端14进行IMS-AKA认证,或者,其可以被配置用于从所传送的矢量导出AKA矢量。
在所有情况下,用户终端14可以被配置用于互补操作。即,用户终端14在某种意义上“知道”S-CSCF 10与BSF 12之间的矢量共享配置,并相应地进行动作。如果S-CSCF 10和BSF 12分别针对IMS-AKA认证和GBA-AKA认证使用相同的AKA矢量,则用户终端14也是这样。相反,如果S-CSCF 10和BSF 12之一使用HSS产生的AKA矢量,而另一个使用导出的AKA矢量,则用户终端14也是这样。在这一点上,可以利用相同矢量导出算法来配置用户终端14,使得其可以在需要时产生用于认证的适当的导出AKA矢量。
概括地说,此处的教导提出了一种融合的IMS核心和GBA基础设施配置,提供了在IMS和GBA域之间对认证过程、参数和基础设施的重用,从而减少了网络运营商的CAPEX和OPEX。在一个或多个实施例中,这种共享是经由融合的IMS核心和3GPP GBA基础设施来实现的,其中共享了会话管理、高效认证和密钥管理。该方法重用了IMS和GBA域之间的公共认证功能和组件。在支持这些功能和特征的情况下,例如IMS域S-CSCF 10与GBA域BSF 12之间的新接口提供了对用户认证信息的共享。
在了解这些较概括的要点的情况下,应当理解,以上描述和附图表示此处教导的方法、系统和各个设备的非限制性示例。由此,本发明不限于以上描述和附图。本发明仅由权利要求书及其法律等价物所限定。
Claims (27)
1.一种减少对用户终端的冗余认证操作的方法,所述方法包括:在对用户终端的IMS-AKA认证中使用的呼叫会话控制功能元件(CSCF)与对用户终端的GBA-AKA认证中使用的自举服务器功能元件(BSF)之间,共享用户终端的用户认证信息。
2.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:所述CSCF从归属订户服务器(HSS)获得用于对用户终端的IMS-AKA认证的AKA矢量,并将所述AKA矢量传送至BSF,以用于对用户终端的GBA-AKA认证。
3.根据权利要求2所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤还包括:所述CSCF从HSS获得通用自举架构用户安全设置(GUSS);以及将所述GUSS与所述AKA矢量一起传送至BSF。
4.根据权利要求2所述的方法,其中,将所述AKA矢量从CSCF传送至BSF的步骤包括:所述CSCF将所述AKA矢量自动推送至BSF。
5.根据权利要求2所述的方法,其中,将所述AKA矢量从CSCF传送至BSF的步骤包括:所述CSCF响应于从BSF接收到请求,将所述AKA矢量发送至BSF。
6.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:所述CSCF从归属订户服务器(HSS)获得用于对用户终端的IMS-AKA认证的AKA矢量;根据所述AKA矢量来产生导出的AKA矢量;以及将导出的AKA矢量传送至BSF以用于对用户终端的GBA-AKA认证。
7.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:所述BSF从归属订户服务器(HSS)获得用于对用户终端的GBA-AKA认证的AKA矢量;以及将所述AKA矢量从BSF传送至CSCF以用于对用户终端的IMS-AKA认证。
8.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:所述BSF从归属订户服务器(HSS)获得用于对用户终端的GBA-AKA认证的AKA矢量;根据所述AKA矢量来产生导出的AKA矢量;以及将导出的AKA矢量从BSF传送至CSCF以用于对用户终端的IMS-AKA认证。
9.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:所述CSCF联系作为归属订户服务器(HSS)的代理的BSF;以及经由BSF从HSS间接接收用于对用户终端的IMS-AKA认证的AKA矢量。
10.根据权利要求9所述的方法,还包括:所述BSF保持BSF从HSS获得的、针对CSCF的AKA矢量;以及在BSF处使用所述AKA矢量以用于对用户终端的GBA-AKA认证。
11.根据权利要求1所述的方法,其中,在CSCF与BSF之间共享用户认证信息的步骤包括:如果在对用户终端的GBA-AKA认证之前进行对用户终端的IMS-AKA认证,则CSCF传送由CSCF从归属订户服务器(HSS)获得的认证信息的至少一部分;以及如果在对用户终端的IMS-AKA认证之前进行对用户终端的GBA-AKA认证,则BSF传送由BSF从HSS获得的认证信息的至少一部分。
12.一种呼叫会话控制功能元件(CSCF),支持对用户终端的IMS-AKA认证,所述CSCF包括:自举服务器功能元件接口(BSF接口),用于在CSCF与用于对用户终端的GBA-AKA认证的自举服务器功能元件(BSF)之间,共享用户终端的用户认证信息。
13.根据权利要求12所述的CSCF,其中,经由BSF接口在CSCF与BSF之间共享的用户认证信息至少包括AKA矢量。
14.根据权利要求12所述的CSCF,其中,CSCF保持由CSCF获得的、用于对用户终端的IMS-AKA认证的AKA矢量,并且,CSCF经由BSF接口将所述AKA矢量或导出的AKA矢量传送至BSF,以由BSF随后用来支持对用户终端的GBA-AKA认证,从而减少用于对用户终端的GBA-AKA认证的冗余认证信息的产生。
15.根据权利要求14所述的CSCF,其中,所述CSCF充当服务CSCF(S-CSCF),并用于访问归属订户服务器(HSS)以对用户终端进行IMS-AKA认证,并用于从HSS获得AKA矢量,以及保持所述AKA矢量作为传送至BSF的用户认证信息的至少一部分。
16.根据权利要求15所述的CSCF,其中,作为对用户终端的IMS-AKA认证的一部分,CSCF从HSS获得用户终端的通用认证架构用户安全设置(GUSS),并且,CSCF保持所述GUSS作为传送至BSF的用户认证信息的至少一部分。
17.根据权利要求12所述的CSCF,其中,所述CSCF经由BSF接口与作为归属订户服务器(HSS)的代理的BSF进行通信,以获得用于支持对用户终端的IMS-AKA认证的用户认证信息。
18.根据权利要求12所述的CSCF,其中,所述CSCF响应于对用户终端的IMS-AKA认证,经由BSF接口将认证信息推送至BSF。
19.根据权利要求12所述的CSCF,其中,所述CSCF响应于BSF从CSCF请求认证信息,经由BSF接口将认证信息发送至BSF。
20.根据权利要求12所述的CSCF,其中,所述CSCF基于经由BSF接口从BSF接收AKA矢量和使用接收到的AKA矢量对用户终端进行IMS-AKA认证,在CSCF与BSF之间共享用户终端的用户认证信息。
21.一种自举服务器功能元件(BSF),支持对用户终端的GBA-AKA认证,所述BSF包括:呼叫会话控制功能元件接口(CSCF接口),用于在BSF与用于对用户终端的IMS-AKA认证的呼叫会话控制功能元件(CSCF)之间共享用户认证信息。
22.根据权利要求21所述的BSF,其中,经由CSCF接口在BSF与CSCF之间共享的用户认证信息至少包括AKA矢量。
23.根据权利要求21所述的BSF,其中,所述BSF保持由BSF获得的、用于对用户终端的GBA-AKA认证的AKA矢量,并且,所述BSF经由CSCF接口将所述AKA矢量或导出的AKA矢量传送至CSCF,以由CSCF随后用来支持对用户终端的IMS-AKA认证,从而减少用于对用户终端的IMS-AKA认证的冗余认证信息的产生。
24.根据权利要求23所述的BSF,其中,所述BSF用于在用户终端向服务层网络的认证期间访问归属订户服务器(HSS),并用于从HSS获得AKA矢量以及保持所述AKA矢量作为传送至CSCF的用户认证信息的至少一部分。
25.根据权利要求21所述的BSF,其中,所述BSF通过经由CSCF接口从CSCF接收认证请求,从HSS代表CSCF获得AKA矢量以及获得通用认证架构用户安全设置(GUSS),并经由CSCF接口将所述AKA矢量传送至CSCF,来对于CSCF充当归属订户服务器(HSS)的代理。
26.根据权利要求25所述的BSF,其中,所述BSF保持从HSS获得的AKA矢量和GUSS,以由BSF在对用户终端的GBA-AKA认证中使用。
27.根据权利要求21所述的BSF,其中,所述BSF基于经由CSCF接口从CSCF接收AKA矢量和使用接收到的AKA矢量对用户终端进行GBA-AKA认证,在BSF与CSCF之间共享用户终端的用户认证信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2008/050184 WO2009102248A1 (en) | 2008-02-15 | 2008-02-15 | System and method of user authentication in wireless communication networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101965739A true CN101965739A (zh) | 2011-02-02 |
| CN101965739B CN101965739B (zh) | 2013-12-25 |
Family
ID=40957162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801267489A Expired - Fee Related CN101965739B (zh) | 2008-02-15 | 2008-02-15 | 无线通信网络中的用户认证系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8935763B2 (zh) |
| EP (1) | EP2245873B1 (zh) |
| CN (1) | CN101965739B (zh) |
| WO (1) | WO2009102248A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103563418A (zh) * | 2011-03-31 | 2014-02-05 | 奥林奇公司 | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2465402B8 (en) * | 2008-11-18 | 2014-07-23 | Ip Access Ltd | Method and apparatus for providing access to a packet data network |
| US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
| CN101478753B (zh) * | 2009-01-16 | 2010-12-08 | 中兴通讯股份有限公司 | Wapi终端接入ims网络的安全管理方法及系统 |
| FR2973637A1 (fr) * | 2011-03-31 | 2012-10-05 | France Telecom | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
| US8914636B2 (en) * | 2011-06-28 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| FR2985058A1 (fr) * | 2011-12-23 | 2013-06-28 | France Telecom | Traitement de donnees pour l'authentification d'un terminal utilisateur |
| US10164953B2 (en) * | 2014-10-06 | 2018-12-25 | Stmicroelectronics, Inc. | Client accessible secure area in a mobile device security module |
| EP3284232B1 (en) | 2015-04-13 | 2021-06-09 | Telefonaktiebolaget LM Ericsson (publ) | Wireless communications |
| US20180213400A1 (en) * | 2015-07-07 | 2018-07-26 | Ntt Docomo, Inc. | Sip control apparatus, mobile communication system and communication control method |
| US10630696B1 (en) * | 2016-09-23 | 2020-04-21 | Wells Fargo Bank, N.A. | Storing call session information in a telephony system |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050143065A1 (en) * | 2002-11-26 | 2005-06-30 | Pathan Arnavkumar M. | Inter subnet roaming system and method |
| WO2007085779A1 (en) * | 2006-01-24 | 2007-08-02 | British Telecommunications Public Limited Company | Method and system for recursive authentication in a mobile network |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6938090B2 (en) * | 2002-04-26 | 2005-08-30 | Nokia Corporation | Authentication and protection for IP application protocols based on 3GPP IMS procedures |
| EP1414260B1 (de) * | 2002-10-21 | 2005-04-27 | Swisscom Mobile AG | Verfahren, System und Vorrichtungen zur Teilnehmerauthentifizierung in einem Telekommunikationsnetz |
| ATE453282T1 (de) | 2005-07-05 | 2010-01-15 | Huawei Tech Co Ltd | Authentifizierungsverfahren für das ip multimedia subsystem |
| US20070143065A1 (en) * | 2005-12-05 | 2007-06-21 | Griffin Dennis P | Scanned laser-line sensing apparatus for a vehicle occupant |
| US8875236B2 (en) * | 2007-06-11 | 2014-10-28 | Nokia Corporation | Security in communication networks |
-
2008
- 2008-02-15 EP EP08712814.6A patent/EP2245873B1/en active Active
- 2008-02-15 WO PCT/SE2008/050184 patent/WO2009102248A1/en active Application Filing
- 2008-02-15 CN CN2008801267489A patent/CN101965739B/zh not_active Expired - Fee Related
- 2008-02-15 US US12/867,592 patent/US8935763B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050143065A1 (en) * | 2002-11-26 | 2005-06-30 | Pathan Arnavkumar M. | Inter subnet roaming system and method |
| WO2007085779A1 (en) * | 2006-01-24 | 2007-08-02 | British Telecommunications Public Limited Company | Method and system for recursive authentication in a mobile network |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103563418A (zh) * | 2011-03-31 | 2014-02-05 | 奥林奇公司 | 针对移动电信网络中的终端来实现通用引导架构类型的安全关联 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009102248A1 (en) | 2009-08-20 |
| EP2245873A4 (en) | 2017-05-10 |
| EP2245873B1 (en) | 2020-01-22 |
| US8935763B2 (en) | 2015-01-13 |
| CN101965739B (zh) | 2013-12-25 |
| US20100333173A1 (en) | 2010-12-30 |
| EP2245873A1 (en) | 2010-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101965739B (zh) | 无线通信网络中的用户认证系统和方法 | |
| US10284555B2 (en) | User equipment credential system | |
| EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
| CN101112038B (zh) | 通信系统中的用户认证和授权 | |
| US8559633B2 (en) | Method and device for generating local interface key | |
| CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
| EP1994715B1 (en) | Sim based authentication | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| CN101197673B (zh) | 固定网络接入ims双向认证及密钥分发方法 | |
| CN103155614A (zh) | 漫游网络中接入终端身份的认证 | |
| CN101946536A (zh) | 演进网络中的应用特定的主密钥选择 | |
| CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| WO2016165737A1 (en) | Wireless communications | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN101399665B (zh) | 以基于身份的密码体制为基础的业务认证方法和系统 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| US8316426B2 (en) | Apparatus, computer program product and method for secure authentication response in a mobile terminal | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム | |
| Song et al. | Performance evaluation of an authentication solution for IMS services access | |
| CN117678255A (zh) | 边缘启用器客户端标识认证过程 | |
| CN113569209A (zh) | 基于区块链的用户注册方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131225 Termination date: 20210215 |