CN102196436A - 安全认证方法、装置及系统 - Google Patents
安全认证方法、装置及系统 Download PDFInfo
- Publication number
- CN102196436A CN102196436A CN2010101239100A CN201010123910A CN102196436A CN 102196436 A CN102196436 A CN 102196436A CN 2010101239100 A CN2010101239100 A CN 2010101239100A CN 201010123910 A CN201010123910 A CN 201010123910A CN 102196436 A CN102196436 A CN 102196436A
- Authority
- CN
- China
- Prior art keywords
- key
- integrity protection
- terminal equipment
- authentication
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种安全认证方法、装置及系统,该方法包括:验证用于标识终端设备的特征标识,其中,所述终端设备为机器对机器设备;获取与所述特征标识对应的密钥,以根据所述密钥与所述终端设备进行安全通信。本发明实施例,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,验证终端的特征标识是否合法,当终端的特征标识为合法标识时,根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种安全认证方法、装置及系统。
背景技术
现有的3GPP网络是针对人与人通信(Human-to-Human,H2H)的,其中,用户标识和设备是一一对应的,网络只对用户标识进行管理。例如:在使用手机时,SIM卡与手机是一一对应的,网络只对SIM卡进行管理。现有的安全技术可以包括:当用户终端(UE)接入网络时,网络侧根据UE唯一对应的用户标识来获取密钥(K),并生成认证向量(Authentication Vector,以下简称为:AV),利用AV完成UE和网络侧的互鉴权并生成系统密钥,从而保证UE到网络侧的安全通信。其中,该用户标识可以为国际移动用户身份(International Mobile Subscriber Identity,以下简称为:IMSI)。
在机器对机器(Machine-to-Machine,以下简称为:M2M)通信中,用户标识与设备之间不再是简单的一一对应,而是多对多的关系。例如:一个用户对应多个终端设备,多个用户共同使用一个终端设备,或者多个用户对应多个终端设备。
在实现本发明过程中,发明人发现:在M2M通信中,若使用现有的安全技术,则UE到网络侧可能会无法安全通信。由此,需要提供一种在M2M通信中的安全技术,以实现M2ME和网络侧之间的安全通信。
发明内容
本发明实施例提供一种安全认证方法、装置及系统,用以实现M2M设备和网络侧之间的安全通信。
本发明实施例提供一种安全认证方法,包括:
验证用于标识终端设备的特征标识,其中,所述终端设备为机器对机器设备;
获取与所述特征标识对应的密钥,以根据所述密钥与所述终端设备进行认证。
本发明实施例还提供一种安全认证方法,包括:
接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息,其中,所述终端设备为机器对机器设备;
根据所述业务消息获取密钥,以根据所述密钥与所述移动管理实体进行安全通信。
本发明实施例提供一种移动管理实体,包括:
验证模块,用于验证用于标识终端设备的特征标识,其中,所述终端设备为机器对机器设备;
获取模块,用于获取与所述验证模块验证的所述特征标识对应的密钥,以根据所述密钥与所述终端设备进行认证。
本发明实施例提供一种终端设备,包括:
第一接收模块,用于接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息;
获取模块,用于根据所述第一接收模块接收的所述业务消息获取密钥,以根据所述密钥与所述移动管理实体进行安全通信,其中,所述终端设备为机器对机器设备。
本发明实施例提供一种安全认证系统,包括本发明实施例提供的任一移动管理实体和任一终端设备。
本发明实施例的安全认证方法、装置及系统,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,验证终端的特征标识是否合法,当终端的特征标识为合法标识时,根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
附图说明
图1为本发明实施例提供的一种安全认证方法的流程图;
图2为本发明实施例提供的另一种安全认证方法的流程图;
图3为本发明实施例提供的又一种安全认证方法的信令图;
图4为本发明实施例提供的又一种安全认证方法的信令图;
图5为本发明实施例提供的又一种安全认证方法的信令图;
图6为本发明实施例提供的又一种安全认证方法的信令图;
图7为本发明实施例提供的又一种安全认证方法的信令图;
图8为本发明实施例提供的又一种安全认证方法的信令图;
图9为本发明实施例提供的一种移动管理实体的示意图;
图10为本发明实施例提供的另一种移动管理实体的示意图;
图11为本发明实施例提供的一种终端设备的示意图;
图12为本发明实施例提供的另一种终端设备的示意图。
具体实施方式
M2M是指无需人工干预,机器和机器之间可以直接进行通信。M2M的应用种类丰富,例如可以包括以下应用:自动仪表(水电气表)、远程监控、工业安全与家庭自动化、支付系统(自动柜员机、支持终端和停车计时收费表等)以及车辆远程控制(如车队管理、过路费收费、车辆恢复以及根据驾驶情况支付保费等)等。用于M2M通信的终端称为M2M设备(M2M equipment,以下简称为:M2ME),M2ME可以是具有M2M特性的用户终端UE。M2ME可以接入GSM、GPRS、UTRAN或EUTRAN等网络,与M2M服务器或其他M2ME进行通信,实现M2M应用。本发明实施例可以应用在M2ME的通信过程中,也可以应用在中继(Relay)设备采用可插拔的卡入网的过程中,下面主要以M2ME的通信过程为例进行说明。
图1为本发明实施例提供的一种安全认证方法的流程图,本实施例以移动管理实体为执行主体,如图1所述,该方法包括:
步骤101、验证用于标识终端设备的特征标识;该终端设备为M2ME。
本实施例可以应用在多种网络中,例如:3GPP EPS、UMTS和GSM等,以下以应用在3GPP EPS网络中为例进行说明。
本发明实施例中的终端设备可以是M2ME(亦即MTC(machine typecommunication)设备),M2ME包括用户标识和特征标识。其中用户标识与M2ME可以是一对多的关系,也就是多个M2ME共用一个用户标识。特征标识用于标识每个M2ME,每个M2ME都具有一特征标识,并且每个M2ME的特征标识是不同的;该特征标识可以是M2ME的设备标识,也可以是M2ME的证书。
根据用户标识,M2ME、移动管理实体(Mobility Management Entity,以下简称为:MME)和归属用户系统(Home Subscriber System,以下简称为:HSS)进行认证和密钥协商(Authentication and key agreement,以下简称为:AKA),实现M2ME和网络侧的互鉴权并生成加密密钥(Cipher Key,以下简称为:CK)和完整性保护密钥(Integrity Key,以下简称为:IK)。
在认证和密钥协商鉴权成功后,验证M2ME的特征标识是否合法。验证的过程可以是MME接收M2ME发送的特征标识,然后根据预置的规则对该特征标识进行验证;验证的过程也可以是MME接收M2ME发送的特征标识,然后将该特征标识发送给设备识别寄存器(Equipment Identity Register,以下简称为:EIR),EIR根据预置的规则对该特征标识进行验证。
步骤102、获取与特征标识对应的密钥,以根据密钥与终端设备进行安全通信。
在MME或EIR对特征标识进行验证后,若该特征标识为合法标识,则可以根据该特征标识获得密钥,并且通过MME与M2ME之间的通信,以及MME和M2ME预先约定的加密算法,使得M2ME也可以获得该密钥,从而可以实现MME和M2ME根据该密钥进行安全通信。
其中,根据该特征标识获得密钥可以有多种方法,例如:(1)EIR或者MME根据该特征标识获取到与该特征标识对应的第一密钥,然后MME使用MME与M2ME约定的加密算法,根据CK、IK和该第一密钥,获得密钥(M-Kasme),其中第一密钥可以是与M2ME的特征标识唯一对应的密钥,也可以是一随机数;(2)MME使用MME与M2ME约定的加密算法,根据CK、IK和特征标识生成新的CK和IK,例如第二CK和第二IK,或者第三CK和第三IK,然后根据第二CK和第二IK获得M-Kasme,或者在UMTS网络中MME与M2ME可以直接以第三CK和第三IK作为密钥进行安全通信。
MME与M2ME根据上述获得的密钥进行安全通信,在进行安全通信之前,M2ME接收MME发送的第一密钥或者指示消息;当M2ME接收到MME发送的第一密钥后,M2ME使用MME与M2ME约定的加密算法,根据CK、IK和该第一密钥,获得密钥(M-Kasme);当M2ME接收到MME发送的指示消息后,M2ME使用MME与M2ME约定的加密算法,根据CK、IK和特征标识生成新的CK和IK,例如第二CK和第二IK,或者第三CK和第三IK,然后根据第二CK和第二IK获得M-Kasme,或者在UMTS网络中M2ME可以直接以第三CK和第三IK作为密钥与MME进行安全通信。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,验证特征标识是否合法,当特征标识为合法标识时,根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
图2为本发明实施例提供的另一种安全认证方法的流程图,本实施例与图1所示实施例相对应,以终端设备为执行主体,如图2所述,该方法包括:
步骤201、接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息;该终端设备为M2ME;。
本发明实施例中的终端设备可以是M2ME,M2ME包括用户标识和特征标识。其中用户标识与M2ME可以是一对多的关系,也就是多个M2ME共用一个用户标识。特征标识用于标识每个M2ME,每个M2ME都具有一特征标识,并且每个M2ME的特征标识是不同的;该特征标识可以是M2ME的设备标识,也可以是M2ME的证书。
在M2ME、MME和HSS根据M2ME的用户标识进行AKA鉴权成功,并且M2ME的特征标识被验证为合法标识后,M2ME接收到MME发送的业务消息,该业务消息与特征标识相对应;其中在AKA鉴权过程中,生成CK和IK。
该业务消息可以是与特征标识对应的第一密钥,也可以是指示消息。
步骤202、根据业务消息获取密钥,以根据密钥与移动管理实体进行安全通信。
当M2ME接收到的业务消息是第一密钥时,M2ME使用MME与M2ME约定的加密算法,根据CK、IK和该第一密钥,获得密钥(M-Kasme);当M2ME接收到的业务消息是指示消息时,M2ME使用MME与M2ME约定的加密算法,根据CK、IK和特征标识生成新的CK和IK,例如第二CK和第二IK,或者第三CK和第三IK,然后根据第二CK和第二IK获得M-Kasme,或者在UMTS网络中M2ME可以直接以第三CK和第三IK作为密钥与MME进行安全通信。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功,并且验证特征标识为合法标识时,终端设备根据与该特征标识对应的业务消息获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
图3为本发明实施例提供的又一种安全认证方法的信令图,如图3所述,该方法包括:
步骤301、终端设备向移动管理实体发送包含用户标识和特征标识的认证请求消息。
本实施例中,终端设备可以为M2ME,用户标识可以为IMSI,特征标识可以为设备标识,该设备标识具体可以为国际移动设备身份码(InternationalMobile Equipment Identity,以下简称为:IMEI),以下把设备标识简称为M-IMEI。
本发明实施例并不限定终端设备的设备标识的形式,例如,该设备标识还可以为IMSI,此时该终端设备可以有两个IMSI(IMSIa和IMSIb),其中,IMSIa作为用户标识,IMSIb作为标识M2M设备的设备标识。
M2ME向MME发送认证请求消息,在该认证请求消息中可以包括IMSI、IMEI和M,M用于标识该终端设备为M2ME;其中,可以预先在M2ME中配置标识M,也可以由MME为M2M认证分配一个标识M,并由MME将标识M发送给M2ME。
在步骤301之后,MME将接收到的终端设备发送的用户标识和设备标识发送到归属用户系统进行验证,以验证用户标识和设备标识的对应关系的合法性;若归属用户系统验证用户标识和设备标识的对应关系合法,则根据用户标识进行认证和密钥协商鉴权,这些步骤具体可以为步骤302-308所示。
步骤302、MME发送认证数据请求消息给HSS,其中该认证数据请求消息中包括有IMSI、M-IMEI、运营商网络ID(Serving network ID,简称为:SN ID)其中,SN ID指的是目前服务的运营商网络ID。
步骤303、HSS通过查询数据库来验证IMSI和M-IMEI的对应关系是否合法,若验证成功,即若IMSI和M-IMEI的对应关系合法,则生成认证向量AVs。
M2M用户在注册的时候把IMSI和M-IMEI绑定的对应关系告知运营商,并将该IMSI和M-IMEI绑定的对应关系保存在HSS的数据库中。HSS通过查询数据库可以得知IMSI和M-IMEI的对应关系是否合法。通过检查IMSI和M-IMEI对应关系的合法性,可以防止以下安全威胁:例如,攻击者合法拥有一个M2ME,非法复制了一个IMSI,通过检查对应关系可以阻止攻击者非法接入网络;又例如,攻击者合法拥有一个IMSI,非法盗取了一个M-IMEI,将盗取的M-IMEI写入自己制作的M2ME中,通过检查对应关系也可以防止这种攻击者非法接入网络。
步骤304、HSS向MME发送认证数据响应消息,该响应消息中包括认证向量AVs。
步骤305、MME接收HSS发送的认证数据响应消息,并存储AVs。
步骤306、MME向M2ME发送用户认证请求消息,该用户认证请求消息中包含认证标记(Authentication Token,简称为:AUTH)、随机数Random(RAND)和KSIasme(Kasme的密钥索引,用于指示Kasme)。
步骤307、M2ME收到用户认证请求消息后,通过验证该用户认证请求消息中的消息鉴权码(Message Authentication Code,简称为:MAC)值完成终端对网络的鉴权,计算出CK、IK和XRES(Expected response,期望的响应数),然后向MME发送用户认证响应,该响应中包含XRES。
步骤308、MME收到用户认证响应后,验证XRES是否等于RES,完成网络侧对终端的鉴权。
其中,本发明实施例中,也可以不包括步骤303中验证IMSI和M-IMEI的对应关系是否合法的步骤,而直接由M2ME、MME和HSS根据IMSI进行AKA互鉴权。
步骤309、移动管理实体将接收到的终端设备发送的设备标识发送到用于验证设备标识的验证设备中进行验证。
在AKA鉴权成功后,MME把M-IMEI发送给验证设备进行验证,其中,该验证设备例如可以为设备识别寄存器(Equipment Identity Register,以下简称为:EIR)。
步骤310、EIR验证该M-IMEI是否为合法标识,当该M-IMEI为合法标识时,EIR根据该M-IMEI获取与该M-IMEI对应的第一密钥K’。
EIR根据预置的规则对M-IMEI进行验证。第一密钥K’可以是与M-IMEI唯一对应的密钥,也可以是随机数,第一密钥K’可以提前生成,也可以在接收到MME请求时再生成;每个M-IMEI对应不同的第一密钥K’。
其中,第一密钥K’可以在EIR中生成,也可以在MME中生成。
步骤311、MME接收EIR发送的第一密钥K’,然后根据CK、IK和第一密钥K’,获取密钥。
其中,MME和EIR之间为运营商网络域安全,默认为可以安全的发送第一密钥K’。
MME根据K’计算M-Kasme=KDF(CK,IK,K’,PLMN-ID);其中KDF为密钥生成函数(Key Derivation Function)。
其中,本发明实施例并不限定M-Kasme在MME中计算,M-Kasme也可以由HSS计算后再发送给MME。
步骤312、MME根据CK和IK对第一密钥K’进行加密,并向M2ME发送加密后的第一密钥K’。
MME使用CK和加密算法对第一密钥K’进行加密保护,计算出FC(CK,K’),然后利用IK和完整性保护算法FI计算出MAC,将含有FC(CK,K’)、MAC的消息发送给M2ME;其中加密算法FC和完整性算法FI预先配置在MME和M2ME上。
其中,对K’进行加密和完整性保护的算法可以预先配置在MME和M2ME上,也可以通过密钥协商的方式实现。
步骤313、M2ME接收MME发送的、根据CK和IK进行加密后的第一密钥K’,然后根据第一密钥K’获取到密钥M-Kasme。
M2ME将收到的含有FC(CK,K’)、MAC的消息进行完整性校验,然后根据预先配置在M2ME上的加密算法FC和完整性算法FI解密得到第一密钥K’,再根据第一密钥K’、CK和IK,计算得到M-Kasme;其中,
M-Kasme=KDF(CK,IK,K’,PLMN-ID)。
步骤314、M2ME和MME按照演进的分组系统(Evolved packet system,以下简称为:EPS)机制进行非接入层(Non Access Stratum,简称为:NAS)安全模式命令(Security Mode Command,简称为:SMC)过程,M2ME和网络侧就可以利用M-Kasme和协商的算法安全地进行通信。
在步骤314之后,还可以包括步骤315。
步骤315、M2ME在根据密钥与MME进行安全通信后,根据从MME接收到的指示标识或预置在M2ME上的指示标识判断是否删除该密钥。
按照现有的LTE机制,在以下三种情况下,终端会删除自身保存的EPS安全上下文:(1)ME通电状态下取走UICC;(2)ME开机时发现UICC改变了;(3)ME开机时发现没有UICC。
在M2ME进行通信的场景中,若按照以上现有的LTE机制,当在一个M2ME进行通信后,将位于该M2ME上的SIM卡取走后,M2ME就删除本次计算的M-Kasme,造成终端侧和网络侧通信中断。
基于此,本发明实施例还可以包括步骤315所述的内容,具体可以为:MME可以用2bit的类型(Type)数据来标识本次认证的类型,并将该Type发送给M2ME,M2ME根据Type来判断是否删除M-Kasme,例如,当Type=00时,在拔卡后删除M-Kasme,当Type=01时,在拔卡后不删除M-Kasme;或者,M2ME根据作为指示标识的标识M判断是否删除M-Kasme,当M2ME识别到标识M时,则在拔卡后不删除M-Kasme;或者,也可以在M2ME中预配置不删除M-Kasme的策略。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,移动管理实体根据该设备标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信;并且本实施例中,对用户标识和设备标识的对应关系进行了验证,可以防止攻击者的非法接入,进一步提高了认证的安全性。
图4为本发明实施例提供的又一种安全认证方法的信令图,如图4所述,该方法包括:
步骤401、M2ME向MME发送认证请求消息,在该认证请求消息中可以包括IMSI和M,其中M用于标识该终端设备。
步骤402、M2ME,MME,HSS基于IMSI进行AKA,实现M2ME和网络侧的互鉴权,并生成CK和IK。
步骤403、在AKA鉴权成功后,MME向M2ME发送请求M-IMEI的请求消息。
在基于IMSI的AKA鉴权成功后,M2ME接收MME发送的请求消息。
步骤404、M2ME接收到MME的请求后,根据CK和/或IK对M-IMEI进行加密,然后根据MME的请求消息向MME发送加密后的M-IMEI。
在M2ME接收到MME的请求后,根据预配置的加密算法fc对M-IMEI进行加密保护,保护密钥为CK,然后将fc(CK,M-IMEI)发送给MME其中,保护密钥可以是CK和/或IK。
其中,该加密算法可以预配置在MME和M2ME上,也可以通过密钥协商的方式实现。
本实施例中,在AKA互鉴权后,MME才向M2ME请求M-IMEI,M2ME利用CK对M-IMEI加密后发送给MME,由此避免了使用明文发送M-IMEI,可以有效的防止攻击者窃取到M-IMEI,提高了认证的安全性。
步骤405、MME接收M2ME根据请求消息发送的、根据CK和/或IK加密后的M-IMEI;然后对加密后的M-IMEI进行解密,并将解密后的M-IMEI发送到EIR进行验证。
接着,本实施例还包括步骤406-步骤411,其中步骤406-步骤411与图3所示实施例中的步骤310-步骤315相同,在此不再赘述。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,移动管理实体根据该设备标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信;并且本实施例中,在认证和密钥协商鉴权成功后,移动管理实体才向终端设备请求终端设备的设备标识,使得终端设备根据鉴权成功后生成的加密密钥和/或完整性保护密钥对设备标识进行加密后,再发送给移动管理实体,由此避免了使用明文发送设备标识,进一步提高了认证的安全性。
图5为本发明实施例提供的又一种安全认证方法的信令图,如图5所述,该方法包括:
步骤501、M2ME向MME发送认证请求消息,在该认证请求消息中可以包括IMSI和M,其中M用于标识该终端设备。
本实施例根据基于M2ME的证书对M2M设备进行认证,通过这种方式可以验证M2ME的合法性,避免假冒的M2ME接入网络,提高安全性。本实施例中,特征标识可以为M2ME的证书。
步骤502、M2ME、MME、HSS基于IMSI进行AKA,实现M2ME和网络侧的互鉴权,并生成CK和IK。
步骤503、在AKA鉴权成功后,M2ME把利用私钥签名后的M2ME的证书发送给MME。
步骤504、MME验证接收到的M2ME的证书是否合法,具体可以为:MME利用CA公钥来验证M2ME证书的签名是否正确,若MME验证证书的签名正确,则根据证书的公钥M计算认证标记(AUTH)以验证该证书的合法性;当该证书为合法时,MME根据该证书生成与该证书对应的第一密钥K’。
步骤505、MME根据CK、IK和第一密钥K’,获取密钥。
MME根据K’计算M-Kasme=KDF(CK,IK,K’,PLMN-ID)。
接着,本实施例还包括步骤506-步骤509,其中步骤506-步骤509与图3所示实施例中的步骤312-步骤315相同,在此不再赘述。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证终端的特征标识是否合法,当特征标识为合法标识时,移动管理实体根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2ME和网络侧之间的安全通信;并且本实施例中,以M2ME的证书作为特征标识,通过验证M2ME的证书的合法性,避免了假冒的M2ME接入网络,进一步提高了认证的安全性。
图6为本发明实施例提供的又一种安全认证方法的信令图,如图6所述,该方法包括:
步骤601、M2ME向MME发送认证请求消息,在该认证请求消息中可以包括IMSI、IMEI和M,其中M用于标识该终端设备为M2ME。
步骤602、M2ME,MME,HSS基于IMSI进行AKA,实现M2ME和网络侧的互鉴权,并生成CK和IK。
步骤603、在AKA鉴权成功后,MME把M-IMEI发送给EIR进行验证。
步骤604、EIR验证该M-IMEI是否为合法标识。
步骤605、EIR向MME指示步骤604中的验证结果。
步骤606、当MME接收到EIR发送的M-IMEI为合法标识的验证结果时,MME根据CK、IK以及M-IMEI,生成第二加密密钥CK’和第二完整性保护密钥IK’,并根据CK’和IK’获取密钥M-Kasme。
若验证成功,则MME基于M-IME、CK和IK计算出CK’,IK’;CK’,IK’=KDF(CK,IK,M-IMEI,PLMN-ID),然后利用CK’,IK’计算出M-Kasme。
其中,CK’,IK’可以在MME中计算,也可以由HSS计算后发送给MME。
步骤607、MME向M2ME发送第一指示消息。
MME向M2ME发送验证成功指示消息。
步骤608、M2ME在接收第一指示消息后,根据CK、IK以及M-IMEI生成CK’,IK’,然后利用CK’,IK’计算出M-Kasme。
步骤609、M2ME和MME按照EPS机制进行NAS SMC过程,M2ME和网络侧就可以利用M-Kasme和协商的算法安全地进行通信。
步骤610、M2ME在根据密钥与MME进行安全通信后,根据从MME接收到的指示标识或预置在M2ME上的指示标识判断是否删除该密钥。
步骤610与图3所示实施例中的步骤315相同,在此不再赘述。
本发明实施例的安全认证方法,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,移动管理实体根据该设备标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信;并且本实施例中无需生成K’,而是进行认证向量(Authentication vector,简称为:AV)绑定,根据M-IMEI计算出CK’,IK’,然后计算出Kasme,提供另一种生成密钥的方式。
本发明实施例还可以应用在UMTS网络中,下面结合图7和图8描述本发明实施例在UMTS网络中的应用。
图7为本发明实施例提供的又一种安全认证方法的信令图,本实施例是图2到图5所示实施例的方案在UMTS网络中的应用,如图7所述,该方法包括:
步骤701、M2ME向VLR发送认证请求消息,在该认证请求消息中可以包括IMSI、IMEI和M,其中M用于标识该终端设备为M2ME。
本实施例中VLR相当于上述各实施例中的MME,HLR相当于上述各实施例中的HSS。
步骤702、M2ME,VLR,HLR基于IMSI进行AKA,实现M2ME和网络侧的互鉴权,并生成加密密钥CK和完整性保护密钥IK。
步骤703、在AKA鉴权成功后,VLR把M-IMEI发送给EIR进行验证。
步骤704、EIR验证该M-IMEI是否为合法标识,当该M-IMEI为合法标识时,EIR根据该M-IMEI获取与该M-IMEI对应的第一密钥K’。
步骤705、VLR接收EIR发送的K’,然后使用预先配置在VLR上的加密算法,根据CK和K’计算得到第三加密密钥CK’,根据IK和K’计算得到第三完整性保护密钥IK’;其中,CK’=F(CK,K’),IK’=F(IK,K’)。
其中,VLR和EIR之间为运营商网络域安全,默认为可以安全的发送第一密钥K’。CK’,IK’可以在VLR中计算,也可以由HLR计算后发送给VLR。
步骤706、VLR根据CK和IK对第一密钥K’进行加密,并向M2ME发送加密后的第一密钥K’。
步骤707、M2ME接收到加密后的第一密钥K’后,先解密获得第一密钥K’,然后使用预先配置在M2ME上的加密算法,根据CK和K’计算得到第三加密密钥CK’,根据IK和K’计算得到第三完整性保护密钥IK’;其中,CK’=F(CK,K’),IK’=F(IK,K’)。
步骤708、M2ME和网络侧基于CK’,IK’进行安全通信。
本实施例中,M2ME和网络侧以第三加密密钥CK’和第三完整性保护密钥IK’作为密钥进行安装通信。
步骤709、M2ME在根据密钥与VLR进行安全通信后,根据从VLR接收到的指示标识或预置在M2ME上的指示标识判断是否删除该密钥。
步骤709与图3所示实施例中的步骤315相同,在此不再赘述。
本发明实施例的安全认证方法,在终端设备、VLR和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,VLR根据该设备标识获取密钥,以使VLR和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
图8为本发明实施例提供的又一种安全认证方法的信令图,本实施例是图6所示实施例的方案在UMTS网络中的应用,如图8所述,该方法包括:
步骤801、M2ME向VLR发送认证请求消息,在该认证请求消息中可以包括IMSI、IMEI和M,其中M用于标识该终端设备为M2ME。
本实施例中VLR相当于上述各实施例中的MME,HLR相当于上述各实施例中的HSS。
步骤802、M2ME,VLR,HLR基于IMSI进行AKA,实现M2ME和网络侧的互鉴权,并生成加密密钥CK和完整性保护密钥IK。
步骤803、在AKA鉴权成功后,VLR把M-IMEI发送给EIR进行验证。
步骤804、EIR验证该M-IMEI是否为合法标识,
步骤805、EIR向VLR指示步骤804中的验证结果。
步骤806、当VLR接收到EIR发送的M-IMEI为合法标识的验证结果时,VLR根据CK、IK以及M-IMEI,生成第四加密密钥CK’和第四完整性保护密钥IK’。
若验证成功,则VLR基于M-IME、CK和IK计算出第四加密密钥CK’,第四完整性保护密钥IK’;CK’,IK’=KDF(CK,IK,M-IMEI,PLMN-ID)。
其中,CK’,IK’可以在VLR中计算,也可以由EIR计算后发送给VLR。
步骤807、VLR向M2ME发送第二指示消息。
VLR向M2ME发送验证成功指示消息。
步骤808、M2ME在接收第二指示消息后,根据CK、IK以及M-IMEI生成第四加密密钥CK’,第四完整性保护密钥IK’。
步骤809、M2ME和网络侧基于第四加密密钥CK’,第四完整性保护密钥IK’进行安全通信。
本实施例中,M2ME和网络侧以第四加密密钥CK’和第四完整性保护密钥IK’作为密钥进行安装通信。
步骤810、M2ME在根据密钥与VLR进行安全通信后,根据从VLR接收到的指示标识或预置在M2ME上的指示标识判断是否删除该密钥。
步骤810与图3所示实施例中的步骤315相同,在此不再赘述。
本发明实施例的安全认证方法,在终端设备、VLR和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,VLR根据该设备标识获取密钥,以使VLR和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信;并且本实施例中无需生成K’,而是进行AV绑定,根据M-IMEI计算出CK’,IK’,提供另一种生成密钥的方式。
上述本发明各实施例提供的方法,也可以应用于中继(Relay)设备采用可插拔的卡入网的场景中,为了防止攻击者将合法的卡应用在非法的Relay设备上,或者为了防止攻击者将非法复制的卡应用在合法的Relay设备上,需要对Relay设备进行安全认证。在这种场景下,可将上述各实施例中的M2ME替换为Relay设备,将标识M2ME的特征标识替换为能够唯一标识Relay设备的标识IMEI’;通过网络侧验证IMEI’的合法性,并通过IMEI’对应的密钥或者直接通过IMEI’来计算最后在Relay设备与网络侧进行通信时使用的根密钥(密钥),进而完成网络对Relay的卡与设备的认证;具体的流程参见上述各实施例中的描述,在此不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图9为本发明实施例提供的一种移动管理实体的示意图,如图9所示,该移动管理实体包括:验证模块91和获取模块93。
验证模块91用于验证用于标识终端设备的特征标识,其中,终端设备为机器对机器设备。获取模块93用于获取与验证模块91验证的特征标识对应的密钥,以根据密钥与终端设备进行安全通信。
本实施例中各模块的工作原理和工作流程参见上述各实施例提供的安全认证方法中的描述,在此不再赘述。
本发明实施例的移动管理实体,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,移动管理实体验证特征标识是否合法,当特征标识为合法标识时,移动管理实体根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
图10为本发明实施例提供的另一种移动管理实体的示意图,在图9所示的移动管理实体实施例的基础上,如图10所示,该移动管理实体还可以包括:合法验证模块95,以及第一加密发送模块97、第二发送模块99、第二加密发送模块90或第三发送模块92。
进一步的,验证模块91具体可以包括:发送单元911、接收单元913和解密发送单元915;获取模块93具体可以包括:第一获取单元931、第二获取单元933、第三获取单元935或第四获取单元937。
当特征标识为终端设备的设备标识时,验证模块91具体用于将接收到的终端设备发送的设备标识发送到用于验证设备标识的验证设备中进行验证。
当特征标识为终端设备的证书时,验证模块91具体用于若验证证书的签名正确,则根据证书的公钥计算认证标记以验证证书的合法性。
发送单元911用于向终端设备发送请求消息。接收单元913用于接收终端设备根据发送单元911发送的请求消息发送的、根据加密密钥和/或完整性保护密钥加密后的设备标识;加密密钥和完整性保护密钥为根据用户标识进行认证和密钥协商鉴权成功后生成的。解密发送单元915用于对接收单元913接收的加密后的设备标识进行解密,并将解密后的设备标识发送到验证设备进行验证。
第一获取单元931用于获取与验证模块91验证的特征标识对应的第一密钥;根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及第一密钥,获取密钥。第二获取单元933用于根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及验证模块91验证的特征标识,生成第二加密密钥和第二完整性保护密钥;根据第二加密密钥和第二完整性保护密钥获取密钥。第三获取单元935用于获取与验证模块91验证的特征标识对应的第一密钥;根据第一密钥与认证和密钥协商鉴权成功后生成的加密密钥,生成第三加密密钥;根据第一密钥和认证和密钥协商鉴权成功后生成的完整性保护密钥,生成第三完整性保护密钥;密钥包括第三加密密钥和第三完整性保护密钥。第四获取单元937用于根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及验证模块91验证的特征标识,生成第四加密密钥和第四完整性保护密钥;密钥包括第四加密密钥和第四完整性保护密钥。
合法验证模块95用于在验证模块91验证特征标识之前,将接收到的终端设备的用户标识和设备标识发送到归属用户系统进行验证,以验证用户标识和设备标识的对应关系的合法性。
第一加密发送模块97用于在第一获取单元931获取与特征标识对应的第一密钥之后,根据加密密钥和完整性保护密钥对第一密钥进行加密;将加密后的第一密钥发送给终端设备,以使终端设备根据第一密钥、加密密钥和完整性保护密钥,获取密钥。
第二发送模块99用于在第二获取单元933获取密钥时或在第二获取单元933获取密钥之后,向终端设备发送第一指示消息,以使终端设备根据加密密钥、完整性保护密钥和特征标识生成第二加密密钥和第二完整性保护密钥,并根据第二加密密钥和第二完整性保护密钥获取密钥。
第二加密发送模块90用于在第三获取单元935获取与设备标识对应的第一密钥之后,根据加密密钥和完整性保护密钥对第一密钥进行加密;将加密后的第一密钥发送给终端设备,以使终端设备根据第一密钥和加密密钥生成第三加密密钥,并根据第一密钥和完整性保护密钥生成第三完整性保护密钥。
第三发送模块92用于在第四获取单元937获取密钥时或在第四获取单元937获取密钥之后,向终端设备发送第二指示消息,以使终端设备根据加密密钥、完整性保护密钥和特征标识生成第四加密密钥和第四完整性保护密钥。
本实施例中各模块和单元的工作原理和工作流程参见上述各实施例提供的安全认证方法中的描述,在此不再赘述。
本发明实施例的移动管理实体,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,归属用户系统验证设备标识是否合法,当设备标识为合法标识时,移动管理实体根据该设备标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信;并且本实施例中,对用户标识和设备标识的对应关系进行了验证,可以防止攻击者的非法接入,进一步提高了认证的安全性;并且可以在认证和密钥协商鉴权成功后,移动管理实体才向终端设备请求终端设备的设备标识,使得终端设备根据鉴权成功后生成的加密密钥和/或完整性保护密钥对设备标识进行加密后,再发送给移动管理实体,由此避免了使用明文发送设备标识,进一步提高了认证的安全性;还可以以M2ME的证书作为特征标识,通过验证M2ME的证书的合法性,避免了假冒的M2ME接入网络,进一步提高了认证的安全性;而且也可以不生成K’,而是进行AV绑定,根据M-IMEI计算出CK’,IK’,然后计算出Kasme,提供另一种生成密钥的方式。
图11为本发明实施例提供的一种终端设备的示意图,如图11所示,该终端设备包括:第一接收模块1101和获取模块1103。
第一接收模块1101用于接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息。获取模块1103用于根据第一接收模块1101接收的业务消息获取密钥,以根据密钥与移动管理实体进行安全通信,其中,终端设备为机器对机器设备。
本实施例中各模块的工作原理和工作流程参见上述各实施例提供的安全认证方法中的描述,在此不再赘述。
本发明实施例的终端设备,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功,并且验证特征标识为合法标识时,终端设备根据与该特征标识对应的业务消息获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
图12为本发明实施例提供的另一种终端设备的示意图,在图11所示的终端设备实施例的基础上,如图12所示,该终端设备还可以包括:第一发送模块1105或第二发送模块1107,以及第二接收模块1109、加密模块1102、第三发送模块1104和判断模块1106。
进一步的,第一接收模块1101具体可以包括:第一接收单元1111或第二接收单元1113;获取模块1103具体可以包括:第一获取单元1131、第二获取单元1133、第三获取单元1135或第四获取单元1137。
第一接收单元1111用于接收接收移动管理实体发送的、根据加密密钥和完整性保护密钥进行加密后的第一密钥;第一密钥与特征标识相对应;加密密钥和所述完整性保护密钥为认证和密钥协商鉴权成功后生成的。第二接收单元1113用于接收移动管理实体发送的第一指示消息。
第一获取单元1131用于在第一接收单元1111接收第一密钥后,根据第一密钥、加密密钥和完整性保护密钥,获取密钥。第二获取单元1133用于在第一接收单元1111接收第一密钥后,根据第一密钥和加密密钥生成第三加密密钥,并根据第一密钥和完整性保护密钥生成第三完整性保护密钥;密钥包括第三加密密钥和第三完整性保护密钥。第三获取单元1135用于在第二接收单元1113接收第一指示消息后,根据加密密钥、完整性保护密钥和特征标识生成第二加密密钥和第二完整性保护密钥,并根据第二加密密钥和第二完整性保护密钥获取密钥。第四获取单元1137用于在第二接收单元1113接收第一指示消息后,根据加密密钥、完整性保护密钥和特征标识生成第四加密密钥和第四完整性保护密钥;密钥包括第四加密密钥和第四完整性保护密钥。
第一发送模块1105用于在第一接收模块1101接收业务消息之前,向移动管理实体发送包含用户标识和特征标识的认证请求消息。
第二发送模块1107用于在根据用户标识进行认证和密钥协商鉴权成功后,在第一接收模块1101接收业务消息之前,向移动管理实体发送特征标识。
第二接收模块1109用于在根据所述终端设备的用户标识进行认证和密钥协商鉴权成功后,在第一接收模块1101接收业务消息之前,接收所述移动管理实体发送的请求消息。
加密模块1102用于在第二接收模块1109接收请求消息之后,根据加密密钥和/或完整性保护密钥对特征标识进行加密;加密密钥和完整性保护密钥为认证和密钥协商鉴权成功后生成的。
第三发送模块1104用于根据第二接收模块1109接收的请求消息向移动管理实体发送加密模块1102加密后的特征标识。
判断模块1106用于在根据获取模块1103获取的密钥与移动管理实体进行安全通信后,根据从移动管理实体接收到的指示标识或预置的指示标识判断是否删除密钥。
本实施例中各模块和单元的工作原理和工作流程参见上述各实施例提供的安全认证方法中的描述,在此不再赘述。
本发明实施例的终端设备,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功,并且验证特征标识为合法标识时,终端设备根据与该特征标识对应的业务消息获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
本发明实施例还提供一种安全认证系统,包括本发明实施例提供的任一移动管理实体和任一终端设备。
本实施例中各模块和单元的工作原理和工作流程参见上述各实施例提供的安全认证方法中的描述,在此不再赘述。
本发明实施例的安全认证系统,在终端设备、移动管理实体和归属用户系统进行认证和密钥协商鉴权成功后,移动管理实体验证特征标识是否合法,当特征标识为合法标识时,移动管理实体根据该特征标识获取密钥,以使移动管理实体和终端设备根据该密钥进行安全通信,从而实现M2M设备和网络侧之间的安全通信。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (29)
1.一种安全认证方法,其特征在于,包括:
验证用于标识终端设备的特征标识,其中,所述终端设备为机器对机器设备;
获取与所述特征标识对应的密钥,以根据所述密钥与所述终端设备进行安全通信。
2.根据权利要求1所述的安全认证方法,其特征在于,所述特征标识为所述终端设备的设备标识,所述验证用于标识终端设备的特征标识包括:
将接收到的所述终端设备发送的所述设备标识发送到用于验证所述设备标识的验证设备中进行验证。
3.根据权利要求2所述的安全认证方法,其特征在于,所述将接收到的所述终端设备发送的所述设备标识发送到用于验证所述设备标识的验证设备中进行验证包括:
向所述终端设备发送请求消息;
接收所述终端设备根据所述请求消息发送的、根据加密密钥和/或完整性保护密钥加密后的所述设备标识;所述加密密钥和所述完整性保护密钥为根据用户标识进行认证和密钥协商鉴权成功后生成的;
对加密后的所述设备标识进行解密,并将解密后的所述设备标识发送到所述验证设备进行验证。
4.根据权利要求2所述的安全认证方法,其特征在于,所述验证用于标识终端设备的特征标识之前还包括:
将接收到的所述终端设备的用户标识和所述设备标识发送到归属用户系统进行验证,以验证所述用户标识和所述设备标识的对应关系的合法性。
5.根据权利要求1所述的安全认证方法,其特征在于,所述特征标识为所述终端设备的证书,所述验证用于标识终端设备的特征标识包括:
若验证所述证书的签名正确,则根据所述证书的公钥计算认证标记以验证所述证书的合法性。
6.根据权利要求2-5任一所述的安全认证方法,其特征在于,所述获取与所述特征标识对应的密钥包括:
获取与所述特征标识对应的第一密钥;根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述第一密钥,获取所述密钥;或者
根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述特征标识,生成第二加密密钥和第二完整性保护密钥;根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥。
7.根据权利要求2-5任一所述的安全认证方法,其特征在于,所述获取与所述特征标识对应的密钥包括:
获取与所述特征标识对应的第一密钥;根据所述第一密钥与认证和密钥协商鉴权成功后生成的加密密钥,生成第三加密密钥;根据所述第一密钥和所述认证和密钥协商鉴权成功后生成的完整性保护密钥,生成第三完整性保护密钥;所述密钥包括所述第三加密密钥和所述第三完整性保护密钥;或者
根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述特征标识,生成第四加密密钥和第四完整性保护密钥;所述密钥包括所述第四加密密钥和所述第四完整性保护密钥。
8.根据权利要求6所述的安全认证方法,其特征在于,还包括:
在所述获取与所述特征标识对应的所述第一密钥之后,根据所述加密密钥和所述完整性保护密钥对所述第一密钥进行加密;将加密后的所述第一密钥发送给所述终端设备,以使所述终端设备根据所述第一密钥、所述加密密钥和所述完整性保护密钥,获取所述密钥;或者
向所述终端设备发送第一指示消息,以使所述终端设备根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第二加密密钥和所述第二完整性保护密钥,并根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥。
9.根据权利要求7所述的安全认证方法,其特征在于,还包括:
在所述获取与所述设备标识对应的所述第一密钥之后,根据所述加密密钥和所述完整性保护密钥对所述第一密钥进行加密;将加密后的所述第一密钥发送给所述终端设备,以使所述终端设备根据所述第一密钥和所述加密密钥生成所述第三加密密钥,并根据所述第一密钥和所述完整性保护密钥生成所述第三完整性保护密钥;或者
向所述终端设备发送第二指示消息,以使所述终端设备根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第四加密密钥和所述第四完整性保护密钥。
10.一种安全认证方法,其特征在于,包括:
接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息,其中,所述终端设备为机器对机器设备;
根据所述业务消息获取密钥,以根据所述密钥与所述移动管理实体进行安全通信。
11.根据权利要求10所述的安全认证方法,其特征在于,所述接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息包括:
接收所述移动管理实体发送的、根据加密密钥和完整性保护密钥进行加密后的第一密钥;所述第一密钥与所述特征标识相对应;或者
接收所述移动管理实体发送的第一指示消息;
所述加密密钥和所述完整性保护密钥为认证和密钥协商鉴权成功后生成的。
12.根据权利要求11所述的安全认证方法,其特征在于,所述根据所述业务消息获取密钥包括:
在接收所述第一密钥后,根据所述第一密钥、所述加密密钥和所述完整性保护密钥,获取所述密钥;或者
在接收所述第一密钥后,根据所述第一密钥和所述加密密钥生成所述第三加密密钥,并根据所述第一密钥和所述完整性保护密钥生成所述第三完整性保护密钥;所述密钥包括所述第三加密密钥和所述第三完整性保护密钥;或者
在接收所述第一指示消息后,根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第二加密密钥和所述第二完整性保护密钥,并根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥;或者
在接收所述第一指示消息后,根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第四加密密钥和所述第四完整性保护密钥;所述密钥包括所述第四加密密钥和所述第四完整性保护密钥。
13.根据权利要求10-12任一所述的安全认证方法,其特征在于,所述接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息之前还包括:
向所述移动管理实体发送包含用户标识和所述特征标识的认证请求消息;或者
在根据用户标识进行认证和密钥协商鉴权成功后,向所述移动管理实体发送所述特征标识。
14.根据权利要求10-12任一所述的安全认证方法,其特征在于,所述接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息之前还包括:
在根据所述终端设备的用户标识进行认证和密钥协商鉴权成功后,接收所述移动管理实体发送的请求消息;
根据加密密钥和/或完整性保护密钥对所述特征标识进行加密;所述加密密钥和所述完整性保护密钥为认证和密钥协商鉴权成功后生成的;
根据所述请求消息向所述移动管理实体发送加密后的所述特征标识。
15.根据权利要求10-12任一所述的安全认证方法,其特征在于,还包括:
在根据所述密钥与所述移动管理实体进行安全通信后,根据从所述移动管理实体接收到的指示标识或预置的指示标识判断是否删除所述密钥。
16.一种移动管理实体,其特征在于,包括:
验证模块,用于验证用于标识终端设备的特征标识,其中,所述终端设备为机器对机器设备;
获取模块,用于获取与所述验证模块验证的所述特征标识对应的密钥,以根据所述密钥与所述终端设备进行安全通信。
17.根据权利要求16所述的移动管理实体,其特征在于,所述特征标识为所述终端设备的设备标识,所述验证模块具体用于将接收到的所述终端设备发送的所述设备标识发送到用于验证所述设备标识的验证设备中进行验证。
18.根据权利要求17所述的移动管理实体,其特征在于,所述验证模块包括:
发送单元,用于向所述终端设备发送请求消息;
接收单元,用于接收所述终端设备根据所述发送单元发送的所述请求消息发送的、根据加密密钥和/或完整性保护密钥加密后的所述设备标识;所述加密密钥和所述完整性保护密钥为根据用户标识进行认证和密钥协商鉴权成功后生成的;
解密发送单元,用于对所述接收单元接收的加密后的所述设备标识进行解密,并将解密后的所述设备标识发送到所述验证设备进行验证。
19.根据权利要求17所述的移动管理实体,其特征在于,还包括:
合法验证模块,用于在所述验证模块验证所述特征标识之前,将接收到的所述终端设备的用户标识和所述设备标识发送到归属用户系统进行验证,以验证所述用户标识和所述设备标识的对应关系的合法性。
20.根据权利要求16所述的移动管理实体,其特征在于,所述特征标识为所述终端设备的证书,所述验证模块具体用于若验证所述证书的签名正确,则根据所述证书的公钥计算认证标记以验证所述证书的合法性。
21.根据权利要求16-20任一所述的移动管理实体,其特征在于,所述获取模块包括:
第一获取单元,用于获取与所述验证模块验证的所述特征标识对应的第一密钥;根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述第一密钥,获取所述密钥;或者
第二获取单元,用于根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述验证模块验证的所述特征标识,生成第二加密密钥和第二完整性保护密钥;根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥;或者
第三获取单元,用于获取与所述验证模块验证的所述特征标识对应的第一密钥;根据所述第一密钥与认证和密钥协商鉴权成功后生成的加密密钥,生成第三加密密钥;根据所述第一密钥和所述认证和密钥协商鉴权成功后生成的完整性保护密钥,生成第三完整性保护密钥;所述密钥包括所述第三加密密钥和所述第三完整性保护密钥;或者
第四获取单元,用于根据认证和密钥协商鉴权成功后生成的加密密钥和完整性保护密钥,以及所述验证模块验证的所述特征标识,生成第四加密密钥和第四完整性保护密钥;所述密钥包括所述第四加密密钥和所述第四完整性保护密钥。
22.根据权利要求21所述的移动管理实体,其特征在于,还包括:
第一加密发送模块,用于在所述第一获取单元获取与所述特征标识对应的所述第一密钥之后,根据所述加密密钥和所述完整性保护密钥对所述第一密钥进行加密;将加密后的所述第一密钥发送给所述终端设备,以使所述终端设备根据所述第一密钥、所述加密密钥和所述完整性保护密钥,获取所述密钥;或者
第二发送模块,用于在所述第二获取单元获取所述密钥时或在所述第二获取单元获取所述密钥之后,向所述终端设备发送第一指示消息,以使所述终端设备根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第二加密密钥和所述第二完整性保护密钥,并根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥;或者
第二加密发送模块,用于在所述第三获取单元获取与所述设备标识对应的第一密钥之后,根据所述加密密钥和所述完整性保护密钥对所述第一密钥进行加密;将加密后的所述第一密钥发送给所述终端设备,以使所述终端设备根据所述第一密钥和所述加密密钥生成所述第三加密密钥,并根据所述第一密钥和所述完整性保护密钥生成所述第三完整性保护密钥;或者
第三发送模块,用于在所述第四获取单元获取所述密钥时或在所述第四获取单元获取所述密钥之后,向所述终端设备发送第二指示消息,以使所述终端设备根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第四加密密钥和所述第四完整性保护密钥。
23.一种终端设备,其特征在于,包括:
第一接收模块,用于接收移动管理实体发送的、与用于标识终端设备的特征标识相对应的业务消息;
获取模块,用于根据所述第一接收模块接收的所述业务消息获取密钥,以根据所述密钥与所述移动管理实体进行安全通信,其中,所述终端设备为机器对机器设备。
24.根据权利要求23所述的终端设备,其特征在于,所述第一接收模块包括:
第一接收单元,用于接收所述移动管理实体发送的、根据加密密钥和完整性保护密钥进行加密后的第一密钥;所述第一密钥与所述特征标识相对应;或者
第二接收单元,用于接收所述移动管理实体发送的第一指示消息;
所述加密密钥和所述完整性保护密钥为认证和密钥协商鉴权成功后生成的。
25.根据权利要求24所述的终端设备,其特征在于,所述获取模块包括:
第一获取单元,用于在所述第一接收单元接收所述第一密钥后,根据所述第一密钥、所述加密密钥和所述完整性保护密钥,获取所述密钥;或者
第二获取单元,用于在所述第一接收单元接收所述第一密钥后,根据所述第一密钥和所述加密密钥生成所述第三加密密钥,并根据所述第一密钥和所述完整性保护密钥生成所述第三完整性保护密钥;所述密钥包括所述第三加密密钥和所述第三完整性保护密钥;或者
第三获取单元,用于在所述第二接收单元接收所述第一指示消息后,根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第二加密密钥和所述第二完整性保护密钥,并根据所述第二加密密钥和所述第二完整性保护密钥获取所述密钥;或者
第四获取单元,用于在所述第二接收单元接收所述第一指示消息后,根据所述加密密钥、所述完整性保护密钥和所述特征标识生成所述第四加密密钥和所述第四完整性保护密钥;所述密钥包括所述第四加密密钥和所述第四完整性保护密钥。
26.根据权利要求23-25任一所述的终端设备,其特征在于,还包括:
第一发送模块,用于在所述第一接收模块接收所述业务消息之前,向所述移动管理实体发送包含用户标识和所述特征标识的认证请求消息;或者
第二发送模块,用于在根据用户标识进行认证和密钥协商鉴权成功后,在所述第一接收模块接收所述业务消息之前,向所述移动管理实体发送所述特征标识。
27.根据权利要求23-25任一所述的终端设备,其特征在于,还包括:
第二接收模块,用于在根据所述终端设备的用户标识进行认证和密钥协商鉴权成功后,在所述第一接收模块接收所述业务消息之前,接收所述移动管理实体发送的请求消息;
加密模块,用于在所述第二接收模块接收所述请求消息之后,根据加密密钥和/或完整性保护密钥对所述特征标识进行加密;所述加密密钥和所述完整性保护密钥为认证和密钥协商鉴权成功后生成的;
第三发送模块,用于根据所述第二接收模块接收的所述请求消息向所述移动管理实体发送所述加密模块加密后的所述特征标识。
28.根据权利要求23-25任一所述的终端设备,其特征在于,还包括:
判断模块,用于在根据所述获取模块获取的所述密钥与所述移动管理实体进行安全通信后,根据从所述移动管理实体接收到的指示标识或预置的指示标识判断是否删除所述密钥。
29.一种安全认证系统,包括如权利要求16-22任一所述的移动管理实体和如权利要求23-28任一所述的终端设备。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010123910.0A CN102196436B (zh) | 2010-03-11 | 2010-03-11 | 安全认证方法、装置及系统 |
| PCT/CN2011/071727 WO2011110101A1 (zh) | 2010-03-11 | 2011-03-11 | 安全认证方法、装置及系统 |
| EP11752844.8A EP2547050B1 (en) | 2010-03-11 | 2011-03-11 | Security authentication method, equipment and system |
| US13/606,838 US8713320B2 (en) | 2010-03-11 | 2012-09-07 | Security authentication method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010123910.0A CN102196436B (zh) | 2010-03-11 | 2010-03-11 | 安全认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102196436A true CN102196436A (zh) | 2011-09-21 |
| CN102196436B CN102196436B (zh) | 2014-12-17 |
Family
ID=44562892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010123910.0A Active CN102196436B (zh) | 2010-03-11 | 2010-03-11 | 安全认证方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8713320B2 (zh) |
| EP (1) | EP2547050B1 (zh) |
| CN (1) | CN102196436B (zh) |
| WO (1) | WO2011110101A1 (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595400A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN102905267A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN102905266A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| CN103096308A (zh) * | 2011-11-01 | 2013-05-08 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| CN103108327A (zh) * | 2011-11-15 | 2013-05-15 | 中国移动通信集团公司 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
| CN103249030A (zh) * | 2012-02-02 | 2013-08-14 | 中兴通讯股份有限公司 | 业务签约信息处理方法及装置 |
| CN103745353A (zh) * | 2014-01-23 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种电子支付终端验证方法及系统 |
| CN104094274A (zh) * | 2012-02-07 | 2014-10-08 | 联邦印刷有限公司 | 智能表的个性化方法或者智能表网关安全模块的个性化方法 |
| CN104123487A (zh) * | 2014-07-18 | 2014-10-29 | Tcl集团股份有限公司 | 密码输入方法、移动设备、密码终端及密码输入系统 |
| WO2015144042A1 (zh) * | 2014-03-27 | 2015-10-01 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
| CN104993981A (zh) * | 2015-05-14 | 2015-10-21 | 小米科技有限责任公司 | 控制设备接入的方法及装置 |
| CN105184564A (zh) * | 2015-07-17 | 2015-12-23 | 苏州海博智能系统有限公司 | 一种无卡支付方法和系统 |
| CN106888206A (zh) * | 2017-02-13 | 2017-06-23 | 海信集团有限公司 | 密钥交换方法、装置及系统 |
| CN107251591A (zh) * | 2015-03-13 | 2017-10-13 | 英特尔Ip公司 | 用于安全的设备到设备发现和通信的系统、方法和设备 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| WO2017197596A1 (zh) * | 2016-05-18 | 2017-11-23 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN108965227A (zh) * | 2017-12-27 | 2018-12-07 | 北京视联动力国际信息技术有限公司 | 一种数据处理方法及视联网会议服务器 |
| CN109544182A (zh) * | 2018-11-20 | 2019-03-29 | 孟凡富 | 产品防伪验证方法及系统 |
| CN110291803A (zh) * | 2017-05-09 | 2019-09-27 | 英特尔Ip公司 | 蜂窝网络中的隐私保护和可扩展认证协议认证和授权 |
| CN110858969A (zh) * | 2018-08-23 | 2020-03-03 | 刘高峰 | 客户端注册方法、装置及系统 |
| US11314876B2 (en) | 2020-05-28 | 2022-04-26 | Bank Of America Corporation | System and method for managing built-in security for content distribution |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| WO2011163561A1 (en) * | 2010-06-25 | 2011-12-29 | Interdigital Patend Holdings, Inc. | Interface of an m2m server with the 3gpp core network |
| CN103685210B (zh) * | 2012-09-26 | 2018-02-13 | 中兴通讯股份有限公司 | 终端的注册方法及装置 |
| CN102917332B (zh) * | 2012-10-11 | 2015-06-03 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| CN103248491B (zh) * | 2013-05-23 | 2016-04-13 | 天地融科技股份有限公司 | 一种电子签名令牌私钥的备份方法和系统 |
| US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
| US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| GB2518257A (en) * | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Methods and systems for operating a secure mobile device |
| US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
| US10700856B2 (en) | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
| WO2015123347A1 (en) | 2014-02-11 | 2015-08-20 | Yaana Technologies, LLC | Mathod and system for metadata analysis and collection with privacy |
| US9693263B2 (en) | 2014-02-21 | 2017-06-27 | Yaana Technologies, LLC | Method and system for data flow management of user equipment in a tunneling packet data network |
| US10447503B2 (en) | 2014-02-21 | 2019-10-15 | Yaana Technologies, LLC | Method and system for data flow management of user equipment in a tunneling packet data network |
| US10334037B2 (en) | 2014-03-31 | 2019-06-25 | Yaana Technologies, Inc. | Peer-to-peer rendezvous system for minimizing third party visibility and method thereof |
| US10462660B2 (en) | 2014-05-12 | 2019-10-29 | Nokia Technologies Oy | Method, network element, user equipment and system for securing device-to-device communication in a wireless network |
| US9426130B2 (en) | 2014-07-21 | 2016-08-23 | Xiaomi Inc. | Methods, devices and systems for anti-counterfeiting authentication |
| US9491618B2 (en) | 2014-09-26 | 2016-11-08 | Qualcomm Incorporated | Serving network authentication |
| US10285038B2 (en) | 2014-10-10 | 2019-05-07 | Yaana Technologies, Inc. | Method and system for discovering user equipment in a network |
| US10542426B2 (en) * | 2014-11-21 | 2020-01-21 | Yaana Technologies, LLC | System and method for transmitting a secure message over a signaling network |
| US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| US9572037B2 (en) | 2015-03-16 | 2017-02-14 | Yaana Technologies, LLC | Method and system for defending a mobile network from a fraud |
| WO2016162502A1 (en) * | 2015-04-08 | 2016-10-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network |
| US10257248B2 (en) | 2015-04-29 | 2019-04-09 | Yaana Technologies, Inc. | Scalable and iterative deep packet inspection for communications networks |
| CN106209730B (zh) * | 2015-04-30 | 2020-03-10 | 华为技术有限公司 | 一种管理应用标识的方法及装置 |
| US10218510B2 (en) * | 2015-06-01 | 2019-02-26 | Branch Banking And Trust Company | Network-based device authentication system |
| CN104980210B (zh) * | 2015-06-26 | 2019-03-05 | 陈昊 | 一种可配合鉴权通信机制的无人机与地面站及鉴权方法 |
| EP3375155A4 (en) | 2015-11-13 | 2019-08-14 | Yaana Technologies, LLC | SYSTEM AND METHOD FOR DISCOVERING INTERNET PROTOCOL (IP) NETWORK ADDRESS LINKS AND PORT TRANSLATION |
| CN106101081B (zh) * | 2016-05-31 | 2020-02-21 | 宇龙计算机通信科技(深圳)有限公司 | 语音加密方法、装置、终端、密钥管理平台和系统 |
| CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| EP3531782B1 (en) | 2016-11-02 | 2022-10-26 | Huawei Technologies Co., Ltd. | Information sending method, device and system |
| CN110809892B (zh) * | 2017-06-30 | 2021-12-14 | 华为技术有限公司 | 一种认证方法及终端、网络设备 |
| CN108260102B (zh) * | 2018-01-04 | 2020-06-02 | 西南交通大学 | 基于代理签名的lte-r车-地通信非接入层认证方法 |
| US11265699B2 (en) | 2018-02-23 | 2022-03-01 | T-Mobile Usa, Inc. | Identifier-based access control in mobile networks |
| US10637858B2 (en) | 2018-02-23 | 2020-04-28 | T-Mobile Usa, Inc. | Key-derivation verification in telecommunications network |
| CN108881206B (zh) * | 2018-06-11 | 2021-01-15 | 武汉阿迪克电子股份有限公司 | 一种基于dlt645的费控智能电能表的通信加密解密方法 |
| US11520881B2 (en) * | 2019-01-23 | 2022-12-06 | General Electric Company | Framework for cyber-physical system protection of electric vehicle charging stations and power grid |
| GB2588761B (en) * | 2019-10-30 | 2022-03-02 | Arm Cloud Services Ltd | System and method for performing identity management |
| CN113179515B (zh) * | 2020-01-08 | 2023-07-18 | 华为技术有限公司 | 一种校验中继用户设备的方法及装置 |
| EP3860077A1 (en) | 2020-01-31 | 2021-08-04 | Nagravision SA | Secured communication between a device and a remote server |
| US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1433537A (zh) * | 2000-04-24 | 2003-07-30 | 微软公司 | 动态网络中的安全链路管理 |
| WO2009092115A2 (en) * | 2008-01-18 | 2009-07-23 | Interdigital Patent Holdings, Inc. | Method and apparatus for enabling machine to machine communication |
| US20090253409A1 (en) * | 2008-04-07 | 2009-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001039429A1 (en) * | 1999-11-22 | 2001-05-31 | Intel Corporation | Integrity check values (icv) based on pseudorandom binary matrices |
| FI20030943A (fi) | 2003-06-25 | 2004-12-26 | Nokia Corp | Menetelmä machine-to-machine-yksikön parametrien konfiguroimiseksi ja machine-to-machine-yksikkö |
| US7774008B2 (en) | 2006-12-22 | 2010-08-10 | Cellco Partnership | MDN-less SMS messaging (network solution) for wireless M2M application |
| CN100561916C (zh) * | 2006-12-28 | 2009-11-18 | 北京飞天诚信科技有限公司 | 一种更新认证密钥的方法和系统 |
| CN101179380A (zh) | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
| US8407769B2 (en) * | 2008-02-22 | 2013-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for wireless device registration |
| US20100325424A1 (en) * | 2009-06-19 | 2010-12-23 | Etchegoyen Craig S | System and Method for Secured Communications |
| CN101931935B (zh) | 2009-06-25 | 2013-09-11 | 华为技术有限公司 | 终端接入方法、网络设备和通信系统 |
| US9385862B2 (en) * | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN103314605A (zh) * | 2011-01-17 | 2013-09-18 | 瑞典爱立信有限公司 | 用于认证通信设备的方法和装置 |
-
2010
- 2010-03-11 CN CN201010123910.0A patent/CN102196436B/zh active Active
-
2011
- 2011-03-11 EP EP11752844.8A patent/EP2547050B1/en active Active
- 2011-03-11 WO PCT/CN2011/071727 patent/WO2011110101A1/zh active Application Filing
-
2012
- 2012-09-07 US US13/606,838 patent/US8713320B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1433537A (zh) * | 2000-04-24 | 2003-07-30 | 微软公司 | 动态网络中的安全链路管理 |
| WO2009092115A2 (en) * | 2008-01-18 | 2009-07-23 | Interdigital Patent Holdings, Inc. | Method and apparatus for enabling machine to machine communication |
| US20090253409A1 (en) * | 2008-04-07 | 2009-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device |
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103096308B (zh) * | 2011-11-01 | 2016-01-20 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| CN103096308A (zh) * | 2011-11-01 | 2013-05-08 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| WO2013064041A1 (zh) * | 2011-11-01 | 2013-05-10 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| CN103108327B (zh) * | 2011-11-15 | 2016-07-06 | 中国移动通信集团公司 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
| CN103108327A (zh) * | 2011-11-15 | 2013-05-15 | 中国移动通信集团公司 | 验证终端设备和用户卡安全关联的方法、装置及系统 |
| CN103249030B (zh) * | 2012-02-02 | 2019-07-09 | 中兴通讯股份有限公司 | 业务签约信息处理方法及装置 |
| CN103249030A (zh) * | 2012-02-02 | 2013-08-14 | 中兴通讯股份有限公司 | 业务签约信息处理方法及装置 |
| CN104094274A (zh) * | 2012-02-07 | 2014-10-08 | 联邦印刷有限公司 | 智能表的个性化方法或者智能表网关安全模块的个性化方法 |
| CN102595401B (zh) * | 2012-03-19 | 2018-05-04 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| WO2013139070A1 (zh) * | 2012-03-19 | 2013-09-26 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN102595400A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| WO2013139071A1 (zh) * | 2012-03-19 | 2013-09-26 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN102595400B (zh) * | 2012-03-19 | 2018-08-03 | 中兴通讯股份有限公司 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN102905267B (zh) * | 2012-10-11 | 2015-09-23 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN102905266B (zh) * | 2012-10-11 | 2015-05-20 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| CN102905266A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| CN102905267A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN103745353A (zh) * | 2014-01-23 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种电子支付终端验证方法及系统 |
| WO2015144042A1 (zh) * | 2014-03-27 | 2015-10-01 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
| CN104123487A (zh) * | 2014-07-18 | 2014-10-29 | Tcl集团股份有限公司 | 密码输入方法、移动设备、密码终端及密码输入系统 |
| CN104123487B (zh) * | 2014-07-18 | 2018-03-27 | Tcl集团股份有限公司 | 密码输入方法、移动设备、密码终端及密码输入系统 |
| CN107251591A (zh) * | 2015-03-13 | 2017-10-13 | 英特尔Ip公司 | 用于安全的设备到设备发现和通信的系统、方法和设备 |
| CN107258094B (zh) * | 2015-03-18 | 2021-11-09 | 苹果公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的设备及方法 |
| CN107258094A (zh) * | 2015-03-18 | 2017-10-17 | 英特尔Ip公司 | 用于对蜂窝物联网设备进行预配并将其附着到云服务提供商的过程 |
| CN104993981A (zh) * | 2015-05-14 | 2015-10-21 | 小米科技有限责任公司 | 控制设备接入的方法及装置 |
| CN104993981B (zh) * | 2015-05-14 | 2018-12-11 | 小米科技有限责任公司 | 控制设备接入的方法及装置 |
| CN105184564B (zh) * | 2015-07-17 | 2021-12-24 | 苏州海博智能系统有限公司 | 一种无卡支付方法和系统 |
| CN105184564A (zh) * | 2015-07-17 | 2015-12-23 | 苏州海博智能系统有限公司 | 一种无卡支付方法和系统 |
| WO2017197596A1 (zh) * | 2016-05-18 | 2017-11-23 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN109155915A (zh) * | 2016-05-18 | 2019-01-04 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN106888206A (zh) * | 2017-02-13 | 2017-06-23 | 海信集团有限公司 | 密钥交换方法、装置及系统 |
| CN106888206B (zh) * | 2017-02-13 | 2020-06-09 | 海信集团有限公司 | 密钥交换方法、装置及系统 |
| CN110291803A (zh) * | 2017-05-09 | 2019-09-27 | 英特尔Ip公司 | 蜂窝网络中的隐私保护和可扩展认证协议认证和授权 |
| CN110291803B (zh) * | 2017-05-09 | 2024-01-05 | 英特尔公司 | 蜂窝网络中的隐私保护和可扩展认证协议认证和授权 |
| CN108965227B (zh) * | 2017-12-27 | 2021-03-05 | 视联动力信息技术股份有限公司 | 一种数据处理方法及视联网会议服务器 |
| CN108965227A (zh) * | 2017-12-27 | 2018-12-07 | 北京视联动力国际信息技术有限公司 | 一种数据处理方法及视联网会议服务器 |
| CN110858969A (zh) * | 2018-08-23 | 2020-03-03 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN109544182B (zh) * | 2018-11-20 | 2021-05-14 | 孟凡富 | 产品防伪验证方法及系统 |
| CN109544182A (zh) * | 2018-11-20 | 2019-03-29 | 孟凡富 | 产品防伪验证方法及系统 |
| US11314876B2 (en) | 2020-05-28 | 2022-04-26 | Bank Of America Corporation | System and method for managing built-in security for content distribution |
| US11645401B2 (en) | 2020-05-28 | 2023-05-09 | Bank Of America Corporation | System and method for managing built-in security for content distribution |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2547050A1 (en) | 2013-01-16 |
| WO2011110101A1 (zh) | 2011-09-15 |
| EP2547050A4 (en) | 2013-04-24 |
| US8713320B2 (en) | 2014-04-29 |
| US20120331298A1 (en) | 2012-12-27 |
| CN102196436B (zh) | 2014-12-17 |
| EP2547050B1 (en) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102196436B (zh) | 安全认证方法、装置及系统 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
| CN101641976B (zh) | 认证方法 | |
| CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| CN104244245A (zh) | 一种无线接入认证方法、无线路由设备和无线终端 | |
| CN102572815A (zh) | 一种对终端应用请求的处理方法、系统及装置 | |
| JP2018516483A (ja) | Gprsシステム鍵強化方法、sgsnデバイス、ue、hlr/hss、およびgprsシステム | |
| CN104253801A (zh) | 实现登录认证的方法、装置和系统 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN109151823B (zh) | eSIM卡鉴权认证的方法及系统 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN101888626B (zh) | 一种实现gba密钥的方法及其终端设备 | |
| EP3497877B1 (en) | A method for provisioning a first communication device by using a second communication device | |
| US8855604B2 (en) | Roaming authentication method for a GSM system | |
| CN111224926B (zh) | 一种云身份证的实现方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |