CN102342140B - 安全远程订制管理 - Google Patents

安全远程订制管理 Download PDF

Info

Publication number
CN102342140B
CN102342140B CN201080010525.3A CN201080010525A CN102342140B CN 102342140 B CN102342140 B CN 102342140B CN 201080010525 A CN201080010525 A CN 201080010525A CN 102342140 B CN102342140 B CN 102342140B
Authority
CN
China
Prior art keywords
key set
identifier
wtru
operator
sho
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201080010525.3A
Other languages
English (en)
Other versions
CN102342140A (zh
Inventor
M·V·迈尔施泰因
I·查
A·莱切尔
A·U·施米特
Y·C·沙阿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital Patent Holdings Inc
Original Assignee
InterDigital Patent Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by InterDigital Patent Holdings Inc filed Critical InterDigital Patent Holdings Inc
Publication of CN102342140A publication Critical patent/CN102342140A/zh
Application granted granted Critical
Publication of CN102342140B publication Critical patent/CN102342140B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

公开了一种用于执行安全远程订制管理的方法和设备。安全远程订制管理可以包括给无线发射/接收单元(WTRU)提供诸如临时连接标识符(PCID)的连接标识符,所述标识符可被用于建立例如与初始连接运营商(ICO)的初始网络连接,以用于初始安全远程注册、供应以及激活。初始网络连接可被通过访问网络建立。初始网络连接和PCID中包含的信息可被用于识别ICO。与ICO的连接可被用于给WTRU远程提供与所选归属地运营商(SHO)关联的凭证。可被包含在可信物理单元(TPU)中的诸如加密密钥集的凭证可被分配给SHO并且可被激活。WTRU可建立与SHO的网络连接并且可利用远程管理的凭证来接收服务。安全远程订制管理可被重复执行以将WTRU与另一个SHO相关联。

Description

安全远程订制管理
相关申请的交叉引用
本申请要求2009年3月5日提交的美国临时申请No.61/157,796的权益,其以引用的方式结合于此如同在这里全部提出。
技术领域
本申请涉及无线通信。
背景技术
机器对机器(M2M)通信、例如机器类型的通信(MTC),可以包括无人类干扰或干涉的设备之间的通信。在M2M通信中,具有M2M能力的配置终端可被远程管理,而无直接的人类干扰。包含M2M通信的无线通信可以包括利用在订制(subscription)中识别的运营商建立连接。因此,一种用于执行安全远程订制管理的方法和设备将是有利的。
发明内容
公开了一种用于执行安全远程订制管理的方法和设备。安全远程订制管理可以包括给无线发射/接收单元(WTRU)提供连接标识符,例如临时连接标识符(PCID),标识符可被用于建立例如与初始连接运营商(ICO)的初始网络连接,用于初始的安全远程注册、供应以及激活。可以通过访问网络建立初始网络连接。初始网络连接和PCID中包含的信息可被用于识别ICO。与ICO的连接可被用于给WTRU远程提供与所选归属地运营商(SHO)关联的凭证(credential)。凭证例如可被包含于可信物理单元(TPU)中的加密密钥集,可被分配到SHO并且可被激活。WTRU可以建立到SHO的网络连接以及可以利用远程管理的凭证来接收服务。安全远程订制管理可被重复执行以将WTRU与另一个SHO相关联。
附图说明
从以下描述中可以更详细地理解本发明,这些描述是以实例的方式给出的,并且可以结合附图加以理解,其中:
图1示出了包括演进型通用陆地无线电接入网络的长期演进无线通信网络;
图2示出了包括无线发射/接收单元、演进型节点B和移动性管理实体服务网关的长期演进无线通信网络的实例框图;
图3示出了无线发射/接收单元订制管理和通信的实例框图;
图4A和4B示出了用于安全远程订制管理的方法的实例框图;
图5A和5B示出了用于具有组合的注册运营商和初始连接运营商的安全远程订制管理的方法的实例框图;
图6A和6B示出了用于具有初始连接运营商发起的无线(over the air)更新的安全远程订制管理的方法的实例框图;
图7A和7B示出了用于具有密钥集保护的安全远程订制管理的方法的实例框图;以及
图8A、8B以及8C示出了用于具有证明的安全远程订制管理的方法的实例框图。
具体实施方式
下文提及的术语“无线发射/接收单元(WTRU)”包括但不局限于用户设备(UE)、移动站(MS)、演进型移动站(AMS)、机器对机器(M2M)装置(M2ME)、固定或移动用户单元、传呼机、蜂窝电话、个人数字助理(PDA)、计算机或能够在无线环境中运作的任何其它类型的设备。下文提及的术语“基站”包括但不限于节点-B、演进型基站(ABS)、站点控制器、接入点(AP)、或任何其他类型的可以在无线环境中操作的接口设备。术语“WTRU”和“基站”不是互斥的。
下文提及的术语“质量”或“信号质量”包括但不局限于对接收到的信号质量的测量。例如,长期演进(LTE)中的参考信号接收质量(RSRQ)或者通用移动电信系统(UMTS)中每调制比特的能量与噪声谱密度(Ec/No)的公共导频信道(CPICH)比。为简化起见,从源接收的信号的质量可被称为源的质量,例如从WTRU接收的信号的质量可被称为WTRU的质量。同样地,包含信息的接收到的信号的质量可被称为信息的质量,例如包含确认(ACK)的信号的质量可被称为ACK的质量。这里提及的术语“接收到的信号等级”包括但不局限于接收到的信号的功率的测量;例如,LTE中的参考信号接收功率(RSRP)或者UMTS中的CPICH接收信号码功率(RSCP)。
下文提及的术语“信任”、“可信的”和“值得信任的”及其变型,表明评估一个单元是否将按照期望方式起作用的可证明的、可计量的和可观察到的方式。下文提及的术语“可信的区域(TD)”及其变型包括但不局限于一个区域。下文提及的术语“可信的计算环境(TCE)”包括但不局限于对于WTRU平台的全部安全执行和存储环境。例如,TCE可以利用硬件、软件或这两者为设备的标识的配置(provision)、存储、执行和管理提供保护和间隔。
图1示出了长期演进(LTE)无线通信系统/接入网络100的实例图,该网络100包括演进型通用陆地无线电接入网络(E-UTRAN)105和WTRU110。E-UTRAN 105被示为包括若干E-UTRAN节点B(eNB)120、一个归属地eNB(HeNB)122和一个HeNB网关(HeNB GW)132。WTRU 110可以与eNB 120或HeNB 122或这二者通信。eNB 120利用X2接口互连。每个eNB 120和所述HeNB GW 132通过S1接口与移动性管理实体(MME)/服务网关(S-GW)130连接。HeNB 122可以通过S1接口与HeNB GW 132连接,或通过S1接口与MME/S-GW 130连接,或与这二者连接。尽管图1中示出了单个WTRU 110、单个HeNB和3个eNB 120,但显然无线和有线设备的任何组合可被包含于无线通信系统/接入网络100中。
图2是LTE无线通信系统200的实例框图,该系统200包括WTRU 110、eNB 120和MME/S-GW 130。尽管为简化起见显示eNB 120和MME/S-GW130,但显然HeNB 122和HeNB GW 132的实例可以包括基本上相似的特征。如图2所示,WTRU 110、eNB 120和MME/S-GW 130被配置为执行安全远程订制管理的方法。
除了可在典型WTRU中找到的组件之外,WTRU 110包括处理器216,该处理器216具有可选链接的存储器222、至少一个收发信机214、可选的电池220和天线218。处理器216被配置为执行安全远程订制管理的方法。收发信机214与处理器216和天线218通信以便于无线通信的传送和接收。一旦在WTRU 110中使用了电池220,该电池220为收发信机214和处理器216提供电能。
除了可在典型eNB中找到的组件之外,eNB 120包括处理器217,该处理器217具有可选链接的存储器215、收发信机219和天线221。处理器217被配置为执行安全远程订制管理的方法。收发信机219与处理器217和天线221通信以便于无线通信的传送和接收。eNB 120被连接到移动性管理实体/服务网关(MME/S-GW)130,MME/S-GW 130包括具有可选链接的存储器234的处理器233。
示于图1和2中的LTE网络仅仅是特殊通信网络的实例;可使用不超出本公开的范围的其它类型的通信网络。例如,无线网络可以是通用移动电信系统(UMTS)或全球移动通信系统(GSM)网络。下文提及的术语“宏小区”包括但不局限于基站、E-UTRAN节点B(eNB)或任何其它类型的能够在无线环境中工作的接口设备。下文提及的术语“归属地节点B(HNB)”包括但不局限于基站、归属地演进型节点B(HeNB)、毫微微蜂窝基站(femtocell)或任何其它类型的能够在封闭订户组无线环境中工作的接口设备。
图3是WTRU订制管理和通信的实例框图。图3示出了值得信任的单元供应商310,供应商310可以提供诸如通用集成电路卡(UICC)等的值得信任的物理单元(TPU)或通用串行总线(USB)令牌(token)或诸如智能卡的包括安全处理器的存储卡。例如,TPU供应商310可以是值得信任的制造商。图3还示出了WTRU 320例如M2M使能的装置(M2ME)、初始连接运营商(ICO)330、注册运营商(RO)340、第一个所选归属地运营商(SHOA)350、第二个所选归属地运营商(SHOA)360和用户370,用户370例如为WTRU 320的所有者。归属地运营商例如SHOA或SHOB,可以是移动网络运营商(MNO)并且可以提供移动连接和通信服务。可选地,ICO 330和RO 340可以是紧密耦合的,例如在单个实体中,如图3中虚线所示。图3中所示的通信路径是用于说明的,显然其它通信路径可如此处所述的使用。
WTRU可以通过诸如移动网络运营商(MNO)的运营商提供的网络来建立网络连接和接收服务。为了识别适当的MNO,WTRU可被配置具有与MNO关联的凭证。例如,所述凭证可被包含于TPU上,并且在制造或分配的时候可被安装在WTRU中。例如,销售者可以在将WTRU提供给用户之前将TPU安装在WTRU中。WTRU可以连接到配置的MNO所提供的网络并从网络接收服务。然而,WTRU可以在不具有配置的MNO的情况下被分配或者订制可被改变以从当前的MNO例如SHOA改变为另一个MNO例如SHOB。因此,提供了用于安全远程订制管理的方法和设备。
安全远程订制管理可以包括为WTRU提供连接标识符、例如临时连接标识符(PCID),该标识符可被用于建立例如到初始连接运营商(ICO)的初始网络连接,以用于初始安全远程注册、供应以及激活。初始网络连接可以通过被访问的网络而建立。PCID可以具有类似于国际移动用户标识符(IMSI)或临时IMSI(TIMSI)的结构,并且可以包括信息,该信息可由例如被访问的网络用来识别ICO。可选地,被访问的网络可以包括所述ICO。
初始网络连接和被包含于PCID中的信息可用于识别ICO。与ICO的连接可用于远程地将WTRU配置为具有与SHO关联的凭证。可被包含于TPU中的诸如密钥集的凭证可被分配给SHO并且可被激活。WTRU可以建立与SHO的网络连接以及可以利用远程管理的凭证来接收服务。安全远程订制管理可被重复以将WTRU与另一个SHO相关联。图4A-8B示出了安全远程订制管理的实例。
图4A和4B示出了用于安全远程订制管理的方法的实例框图。安全远程订制管理可以包括建立与ICO的初始连接、将WTRU注册到SHO、凭证配置、用于SHO订制的TPU中凭证的激活,以及将与订制有关的数据例如密钥向SHO进行分配(distribution)。
诸如设备制造商或使用者的用户可以选择并建立与ICO、RO、SHOA、SHOB或其组合的约定(contract)(4010)。用户可以向RO注册WTRU的标识(4020)。注册可以包括向RO报告与WTRU关联的一个或多个SHO。可替换地,SHO可与RO关联并且可以执行注册。
ICO可以获得ICO凭证和MNO凭证,ICO凭证可被用于初始网络连接,MNO凭证可被用于运作的网络连接(4030)。MNO凭证可以包括多个凭证,其中每一个凭证可与一个运营商相关联。例如,MNO凭证可被分配给SHO。可选地,多个凭证最初可被分配给ICO并且可被重新分配给SHO以用于订制变化。凭证可被安全地存储在TPU、例如WTRU中的UICC或虚拟用户标识模块(VSIM)。ICO可以从诸如TPU供应商的值得信任的凭证供应商处获得凭证。
ICO可以将包含凭证的TPU提供给用户(4040)。用户可以在WTRU中安装TPU(4050)。例如,TPU可以包含UICC,UICC可以包含与ICO关联的网络接入单元、例如用户标识模块(SIM)或通用SIM(USIM)以及与SHO关联的网络接入单元。
TPU供应方可以为TPU提供标识(TPU-ID),该标识可能类似于集成电路卡标识(ICC-ID)。例如,TPU可以包括UICC并且所述标识可以包括与UICC关联的ICC-ID。TPU-ID可以用作WTRU的标识符。可替换地,WTRU可以包括多个TPU和一个独立的标识(WTRU-ID),其可以由WTRU制造商或订户生成。可选地,TPU-ID和WTRU-ID可以被组合使用。
所述凭证可以包括密钥集、例如{K,KOTA}。例如,K可以指示通用移动电信系统(UMTS)认证与密钥协商(AKA)认证根密钥;而KOTA可以指示密钥,该密钥可被用于保护诸如ICO或SHO的运营商与WTRU之间的通信。所述凭证可以包括标识符、例如移动网络节点(MNC)或移动国家代码(MCC)。该标识符可被包括在类似于IMSI的PCID中。
IMSI和类似的PCID可以包括15个数位(digit)。开始的3个数位可以指示MCC。MCC可被MNC跟随,MNC可以包括2个数位、例如欧洲标准MNC,或者包括3个数位、例如北美标准MNC。IMSI的剩余数位可以包括移动站识别数字(MSIN),MSIN可与网络的用户或客户群关联。表1示出了IMSI的实例以及IMSI的实例结构。显然PCID可以包括相似的结构。
IMSI:310150123456789
表1
WTRU可以使用配置的凭证访问网络(4060)。例如,WTRU可以被配置为具有与ICO关联的第一凭证。该第一凭证可以包括PCID和密钥集。WTRU可以利用ICO凭证来建立与ICO的初始连接。可选地,ICO可以利用归属位置寄存器/鉴权中心(HLR/AuC)来鉴权(authenticate)WTRU。HLR/AuC可以利用例如相应于与ICO关联的密钥集的鉴权密钥来鉴权WTRU。WTRU可被提供以互联网协议(IP)地址并可以从ICO接收服务。
ICO可以利用TPU来确定适当的RO并可以向RO发送通知,例如通过IP连接,以指示WTRU已建立了与ICO的连接(4070)。例如,TPU可以包括UICC,UICC可以包括唯一的标识符、例如ICC-ID。该唯一的标识符可与RO关联,并且所述ICO可以基于该唯一的标识符而识别RO,例如,利用相互参照表或数据库。
可替换地,ICO可以利用来自于TPU的其它信息例如PCID来确定适当的RO的标识。可替换地,TPU可以包括设备管理(DM)文件,该DM文件可以指示RO。可选地,DM文件可被下载到TPU中并且文件下载可被远程执行。
以上的替换实施方式可以利用多个PCID而被组合。PCID可以映射到ICO和RO的组合,例如在MxN映射中。TPU可与多个ICC_ID关联。可选地,用户或SHO可以基于与TPU关联的信息而识别RO。例如,所述信息可由可信的凭证供应商所提供。可选地,所述信息可被分批提供。例如,一批可被使用共享的标识符来识别,所述共享的标识符例如可以是可被包含在PCID或ICC_ID中的产品序列号。与一批关联的TPU可与预定的RO信息关联。例如,RO信息可被包含于TPU中持久性的数据文件中。
可替换地,多个WTRU可被配置为具有PCID并且可以基于位置信息被唯一识别,所述位置信息例如物理位置、网络位置或这二者、附属尝试信息的日期-时间或这二者。例如,被配置具有凭证的两个TPU可以尝试在不同时刻连接到网络。
可选地,RO可相对于WTRU而被重新分配。例如,RO的ID可在PCID中被编码,并且PCID可被更新以指示不同的RO。未使用过的TPU可以通过改变例如ICC_ID与RO的ID之间的关联而被重新分配。所述改变可以是后台处理的一部分。
可替换地,ICO或RO信息可被存储在TPU之外的WTRU上。可选地,TPU和WTRU可以例如使用安全信道安全地通信。安全通信可以包括完整性保护、机密性保护或这二者。例如,安全信道可在WTRU与TPU之间利用密钥而被建立。关于RO、ICO或这二者的信息可在WTRU与TPU之间被安全传达,以用于随后的用途,例如在诸如PCID的数据字段中。根据另一替换实施方式,WTRU可以将其标识发送到TPU,并且TPU可以使用WTRU的ID和ICO信息来产生PCID。ICO可以将组合的信息与RO相关联。
RO可以利用例如与SHO关联的标识符的预先确定的列表来识别适当的SHOA(4080)。为了产生列表,用户可以向与WTRU关联的每个SHO发送消息。该消息可以包括WTRU ID与PCID关联的列表。所述关联可被压缩为对象(object)。为简化起见,WTRU ID与PCID关联在这里将被称为对象;但是,显然任何其它数据结构可被使用。WTRU ID可以类似于国际移动设备标识符(IMEI),或可替换地,可以类似于完全合格域名(FQDN)。
每个SHO可以基于PCID识别适当的RO,通过向每个对象添加其ID例如MNC来更新对象列表,以及将更新的列表发送给识别的RO。RO可使用更新的列表来产生与WTRU关联的SHO的列表。RO可以基于例如WTRU的上下文(例如WTRU的位置)由产生的列表确定适当的SHOA。RO、ICO或这二者可在PCID中被识别,并且ICO、RO或这二者可由ICO或RO的所有PCID列表的用户与ICO、RO或这二者通信。
可替换地,每个SHO可将RO的列表发送给用户,例如作为与SHO注册的一部分。所述列表可被优先排序并且可按地理分组。用户可以产生包含来自于多个SHO的RO信息的组合的RO列表。所述组合的RO列表可被优先排序并且可被地理分组。用户可以在WTRU中嵌入组合的RO列表或其子集。用户可以向RO发送包括WTRU ID与PCID关联的对象列表。WTRU可利用组合的RO列表来确定在网络附属中要使用的RO。WTRU可尝试以优选的顺序连接到RO。可选地,WTRU可利用位置信息来确定RO。
RO可以向SHOA注册WTRU(4090)。RO可向ICO发送通知以指示WTRU已被注册到的SHOA(4100)。SHOA和ICO可针对WTRU和运作的密钥集而交换IMSI(4110)。例如,SHOA可以向ICO发送包含IMSI的消息,并且可以向ICO发送消息来请求用户使用的密钥集,例如为了网络接入和OTA通信。ICO可以向SHOA发送包含请求的密钥集的信息。
ICO可在WTRU的TPU上执行无线(OTA)IMSI安装。TPU可以向例如下一个密钥集指明运作的密钥集。WTRU可向ICO发送确认(ACK)以表明更新的状态。如果WTRU在ACK被发送之前断开其连接,则WTRU可以重新连接并且传送ACK。可选地,WTRU可以通过SHOA向ICO发送ACK。可选地,ICO可以等待ACK,并且如果ACK未被ICO接收到,则可使更新无效。
可选地,用于初始连接的PCID和密钥集可以被保存。例如WTRU未能建立与SHOA的网络连接,WTRU可以归还(revert to)用于初始连接的PCID和密钥集,并且可以重新发起安全远程订制管理。WTRU可以终止与ICO的初始网络附属。WTRU可以利用新IMSI开始或者可被重置或被重新提供动力来发起对新IMSI的激活。
WTRU可以通过SHOA或可选地通过被访问的网络建立运作的网络附属,并且可以接收来自于SHOA的服务(4130)。TPU和SHOA可以在例如UMTS AKA过程中利用密钥集建立网络附属。
用户可以发起从SHOA到SHOB的订制改变(4140)。例如,用户可从由SHOA向WTRU提供的列表中选择SHOB。可替换地,用户可向SHOA或SHOB的已知位置例如互联网地址发送订制改变为SHOB的请求。SHO可以协商订制改变的条款。
SHOB可以向SHOA发送新的IMSI(4150)。可选地,为了订制改变为SHOB,针对多个WTRU中的每一个WTRU,SHOB可以向SHOA发送新的IMSI的列表。尽管后面的描述涉及一个WTRU,但显然描述的方法可被应用于多个WTRU。
SHOA可以针对WTRU执行OTA IMSI更新(4160)。该更新可以包括将与SHOA关联的IMSI替换为与SHOB关联的IMSI,以及将新的IMSI关联到TPU中的另一密钥集。WTRU可以向SHOA发送ACK,以指示更新状态(4170)。可选地,SHOA可以等待ACK,并且如果ACK未被接收到,更新可被终止。
SHOA可以向SHOB发送消息以指示新的IMSI与密钥集之间的关联(4180)。该消息可以包含每个IMSI-密钥对关联的标记(index)。可选地,作为对连接至SHOA或SHOB网络失败的响应,WTRU可以归还使用ICO的PCID和密钥集,并且可以重启安全远程订制管理。
SHOA可以向ICO发送消息以告知ICO关于订制改变(4190)。SHOB可以向ICO发送消息以请求与新的IMSI关联的密钥集(4200)。该请求可以包括WTRU的标识符例如WTRU的UICC ID以及IMSI-密钥集关联。ICO可以向SHOB发送密钥集和IMSI-密钥集关联的确认。SHOB可以使用IMSI和密钥集为WTRU提供连接服务(4210)。显然如图4B中虚线所示,WTRU可以利用相似的方法移往另一SHO,例如SHOC
可选地,为了代替如图4-8所描述的密钥集配置、或者除了如图4-8所描述的密钥集配置之外,可产生新的密钥集。另外的密钥集可被安全地安装在WTRU中。WTRU或TPU可检测对密钥对的缺乏。TPU可将缺乏通报给WTRU,并且WTRU可向ICO或RO或这二者发送对新密钥对的请求。例如,TPU可在订制改变期间探测缺乏。可替换地,可利用通用SIM(USIM)应用工具包/卡应用工具包(USAT/CAT)提供新的密钥对。可选地,ICO可追踪TPU可利用的密钥集的数目,并且需要的话可以发起密钥集更新。
可替换地,TPU和ICO可保留并以例如先进先出的方式重新使用密钥集。在另一替换实施方式中,TPU可利用例如万能密钥产生新的密钥集。新的密钥集产生可被报告给ICO,ICO可产生与TPU所产生的密钥集相匹配的密钥集。可替换地,新的密钥集可以例如被TPU利用密钥集产生协议(例如公共密钥密码标准(PKCS)协议)产生,并且为了证明,密钥集的公共密钥可通过ICO而被上载。在另一替换实施方式中,新的密钥集可利用共享对称密钥产生协议而被产生,所述协议例如为具有基于UICC的增强型通用引导架构(GBA)(GBA_U)协议或者欧洲标准EN726第7部分协议。在另一替换实施方式中,ICO可以发送消息给TPU以发起产生一组新的凭证。
图5A和5B示出了具有组合的RO和ICO的用于安全远程订制管理的方法的实例图。除了在这里所描述的之外,该方法类似于在图4A-4B中示出的方法。组合的ICO/RO可被PCID识别。例如,可能类似于IMSI的PCID可包含适当的MCC/MNC。ICO和RO可被包含于单一逻辑或物理单元中。组合的ICO/RO可被TPU供应商在TPU上进行识别。
诸如设备制造商或使用者的用户可选择并建立与RO、SHOA、SHOB或其组合的约定(5010)。ICO(未独立示出)和RO可以是单个实体,并且为简化起见,相对于图5A和5B将被称为RO。用户可向RO注册WTRU的标识(5020)。注册可包括向RO报告与WTRU关联的一个或多个SHO。可替换地,SHO可以执行注册。
RO可获得RO凭证和MNO凭证(5030)。RO凭证和MNO凭证可包括密钥集,该密钥集可被用于认证的网络接入和用于RO与TPU或者MNO与TPU之间的远程安全通信。每个凭证可包括与RO或MNO关联的实体,例如PCID或IMSI。RO可向用户提供包括凭证的TPU(5040)。用户可在WTRU中安装该TPU(5050)。
WTRU可利用配置的凭证接入网络并建立与RO的初始网络连接(5060)。WTRU可通过与RO的初始网络连接接收服务。
RO可识别适当的SHOA(5070),并可利用例如从WTRU获得的信息向SHOA注册WTRU(5080)。SHOA可向RO发送消息,该消息包含用于WTRU的PCID(5090)。SHOA可向RO发送对MNO密钥集的请求。RO可将MNO密钥集发送给SHOA
RO可在TPU上执行OTA IMSI更新(5100)。TPU可标记(index)运作的密钥集,并向RO发送确认(ACK)来指示更新的状态。WTRU可终止初始网络连接。WTRU可建立与SHOA的运作的网络附属(5110)。
用户可发起从SHOA到SHOB的订制改变(5120)。SHOB可向SHOA发送新的IMSI(5130)。尽管后面的描述涉及一个WTRU,但显然所描述的方法可被应用于多个WTRU。
SHOA可针对WTRU执行OTA IMSI更新(5140)。WTRU可向SHOA发送ACK,以指示更新状态(5150)。SHOA可向SHOB发送消息以指示新的IMSI与密钥集之间的关联(5160)。
SHOA可向RO发送消息以告知RO订制改变(5170)。SHOB可向RO发送消息以请求与新的IMSI关联的密钥集(5180),并可将IMSI-密钥集关联发送给RO。SHOB可利用IMSI和密钥集来提供与WTRU的连接服务(5190)。可选地,例如作为对连接到SHOA或SHOB网络失败的响应,WTRU可归还使用RO的PCID和密钥集,并重启安全远程订制管理。显然WTRU可利用相似的方法将订制改变为另一个SHO,例如SHOC,如图5B中虚线所示。
图6A和6B是用于配置有ICO发起的OTA更新的安全远程订制的方法的实例图。除了在这里所描述的之外,该方法类似于在图4A和4B中示出的方法。ICO可包括密钥托管(escrow)实体,并且可以是值得信任的组织,类似于认证授权(CA)。尽管是参考图6A和6B描述的,但显然如任一幅图中所描述的,ICO或组合的ICO/RO可以是密钥托管实体或值得信任的组织。ICO或组合的ICO/RO可向TPU发送OTA消息以发起与SHOB关联的IMSI的安装,并促使TPU标记下一个密钥集。ICO或组合的ICO/RO可以例如利用IP连接来访问密钥并可发起OTATPU更新。
诸如设备制造商或使用者的用户可选择并建立与ICO、RO、SHOA、SHOB或其组合的约定(6010)。用户可向RO注册WTRU的标识(6020)。ICO可以获得可被用于初始网络连接的ICO凭证和可被用于运作的网络连接的MNO凭证(6030)。
ICO可向用户提供包括凭证的TPU(6040)。用户可在WTRU中安装TPU(6050)。WTRU可利用配置的凭证接入网络(6060)。
ICO可利用TPU确定适当的RO(6070)。ICO可以例如通过IP连接向RO发送通知,以指示WTRU已建立了与ICO的连接。
RO可利用例如与SHO关联的标识符的预先确定的列表来识别适当的SHOA(6080)。RO可向SHOA注册WTRU(6090)。RO可向ICO发送通知以指示WTRU已被注册到的SHOA(6100)。
SHOA和ICO可以交换用于WTRU的IMSI和运作的密钥集(6110)。ICO可在WTRU的TPU上执行无线(OTA)IMSI安装(6120)。WTRU可终止与ICO的初始网络附属。WTRU可通过SHOA或可选地通过被访问的网络建立运作的网络附属,并且可以从SHOA接收服务(6130)。
用户可发起从SHOA到SHOB的订制改变(6140)。用户可从由SHOA向WTRU提供的列表中选择SHOB。可替换地,用户可将订制改变为SHOB的请求发送到SHOA或SHOB的已知位置,例如互联网地址。SHO可协商订制改变的条款。
SHOB可向ICO发送新的IMSI(6150)。ICO可针对WTRU执行OTA IMSI更新(6160)。WTRU可向ICO发送ACK来指示更新状态,以及ICO可将更新状态消息转发给SHOA(6170)。ICO向SHOB发送消息以指示新的IMSI与密钥集之间的关联(6180)。
SHOB可向ICO发送消息以请求与新的IMSI关联的密钥集(6190)。ICO可向SHOB发送密钥集和对IMSI-密钥集关联的确认。SHOB可利用IMSI和密钥集来提供与WTRU的连接服务(6200)。显然WTRU可利用相似的方法将订制改变为另一个SHO,例如SHOC,如图6B中虚线所示。
图7A和7B是用于配置具有密钥集保护的安全远程订制管理的方法的实例图。除了在这里所描述的之外,该方法类似于在图4A-6B以及图8A-8C中示出的方法。如图4A-6B和图8A-8C所示,TPU可以标记密钥集,作为对于例如以IMSI为对象的二进制更新命令的响应。该命令可在诸如安全的OTA消息的消息中被接收。图7A和7B示出了一种替换实施方式,其中命令可被用于批准(authorize)对IMSI的安装或更新并用于激活TPU中的新密钥集。WTRU、TPU或这两者可以确认命令的安全性度量。可选地,TPU可以分解IMSI数据。命令可利用安全的消息传递、例如ISO7816安全消息传递。例如,TPU可利用密钥来鉴权命令的起源、维持命令的机密性、或检验命令的完整性。所述命令可提供IMSI并可批准TPU来标记新的密钥集。TPU可拒绝用具有与现有IMSI相同的值的IMSI来取代IMSI的命令。包含IMSI的文件可以是结构文件。
可替换地,TPU可确定命令是否包含在安全OTA消息中,并可以拒绝没有经由安全OTA消息而接收到的命令。在该替换实施方式中,本地(local)激活可被利用模拟的OTA设备上的安全远程命令格式来执行。
所述命令可以包括对现有密钥集的标记、对新的密钥集的标记和新的IMSI值。激活可以包括利用对新的密钥集的标记。TPU可包括对ACK消息中的新的密钥集的标记。如果当前标记参数与TPU上的当前标记不匹配,则TPU可拒绝远程激活。可选地,诸如TPU供应商的经授权的一方可请求对当前密钥集的标记和当前的PCID值。
如图7A和7B中所示,诸如NEXT_KEYSET(下一个密钥集)的安全远程命令和可以类似于基础文件IMSI(EFIMSI)的文件可被用于密钥集管理。安全远程命令也可被与图4-6或8中任一幅图或其组合所示的方法联合使用。
诸如设备制造商或使用者的用户可选择并建立与ICO、RO、SHOA、SHOB或其组合的约定(7010)。用户可向RO注册WTRU的标识(7020)。ICO可以获得可被用于初始网络连接的ICO凭证和可被用于运作的网络连接的MNO凭证(7030)。ICO可向用户提供包括凭证的TPU(7040)。用户可在WTRU中安装TPU(7050)。
WTRU可利用配置的凭证接入网络(7060)。ICO可利用TPU确定适当的RO(7070)。ICO可以例如通过IP连接向RO发送通知,以指示WTRU已建立了与ICO的连接。
RO可利用例如与SHO关联的标识符的预先确定的列表识别适当的SHOA(7080)。RO可向SHOA注册WTRU(7090)。RO可向ICO发送通知以指示WTRU已被注册到的SHOA(7100)。
SHOA和ICO可以交换用于WTRU的IMSI和运作的密钥集(7110)。ICO可以利用例如包含新的IMSI和与SHOA关联的密钥集的预期的新标记值的NEXT_KEYSET命令,在WTRU的TPU上执行无线(OTA)IMSI安装(7120)。WTRU、TPU或这两者可以确认命令的安全性度量。WTRU可终止与ICO的初始网络附属。WTRU可通过SHOA或可选地通过被访问的网络建立运作的网络附属,并且可以从SHOA接收服务(7130)。
用户可发起从SHOA到SHOB的订制改变(7140)。SHOB可向ICO发送新的IMSI(7150)。
SHOA可以利用例如包含新的IMSI和与SHOB关联的密钥集的预期的新标记值的NEXT_KEYSET命令,为WTRU执行OTA IMSI更新(7160)。WTRU可向SHOA发送ACK来指示更新状态(7170)。SHOA可向SHOB发送消息以指示新的IMSI与密钥集之间的关联(7180)。
SHOA可向ICO发送消息以告知ICO关于订制改变(7190)。SHOB可向ICO发送消息以请求与新的IMSI关联的密钥集(7200)。ICO可向SHOB发送密钥集和对IMSI-密钥集关联的确认。SHOB可利用IMSI和密钥集来提供与WTRU的连接服务(7210)。显然WTRU可利用相似的方法将订制改变为另一个SHO,例如SHOC,如图7B中虚线所示。
可替换地,与新的密钥集关联的标记可被指定,使得与密钥集的顺序进行步调不一致。
图8A、8B以及8C是用于配置具有证明的安全远程订制的方法的实例图。除了在这里所描述的之外,该方法类似于在图4A-7B中示出的方法。如图8A和8B所示,允许网络附属的决定可包括对TPU安全性的评价以及TPU可被安全地证明(值得信任的)。
诸如设备制造商或使用者的用户可选择并建立与ICO、RO、SHOA、SHOB或其组合的约定(8010)。用户可向RO注册WTRU的标识(8020)。ICO可以例如在TPU上获得MNO凭证(8030)。ICO可向用户提供包括MNO凭证的TPU(8040)。用户可在WTRU中安装该TPU(8050)。
TPU的安全级别可被ICO或RO或这二者确定,上述的每一个都可以是值得信任的第三方(TTP)并且可以是TPU确认权威(TPUVA)。TPU可包含凭证,例如可与可被用于维护TPU的安全级别的证书关联的对称的密钥或非对称的密钥对。拥有凭证的证据可被用于证明TPU已被证明已被在安全性的指定条件下指定、设计、执行和制造。安全证明可被授予TPU或在类型批准基础上针对一种类型的TPU。所述证明可顺从于公认的证明过程而被完成,从而允许对TPU的安全性的证明被链接到公认的标准,例如通用评估准则(CC)安全评价。
信任凭证可与用于每种类型的TPU的CC保护轮廓或评价证明或这二者关联。例如,信任凭证可与每个制造商、每个模型或每个版本关联。
WTRU可利用配置的凭证接入网络(8060)。ICO可利用TPU确定适当的RO(8070)。ICO可以例如通过IP连接向RO发送通知,以指示WTRU已建立了与ICO的连接。
RO可利用例如与SHO关联的标识符的预定列表识别适当的SHOA(8080)。RO也可以向SHOA注册WTRU(8090)。RO可向ICO发送通知以指示WTRU已被注册到的SHOA(8100)。
SHOA和ICO可以交换用于WTRU的IMSI和运作的密钥集(8110)。SHOA可从ICO接收对TPU的信任状态的维护(assertion)(8120)。
ICO可在WTRU的TPU上执行无线(OTA)IMSI安装(8120)。WTRU可终止与ICO的初始网络附属。诸如TPUVA的TTP可以确认对TPU的信任状态的维护(8130)。确认可包括对数字签名和诸如证明标识密钥(AIK)的非对称签名密钥的关联证明的查证。确认还可以包括从TTP请求证书有效性状态以及评估唯一识别WTRU的状态的信息,例如平台配置寄存器(PCR)值。WTRU可通过SHOA或可选地通过被访问的网络建立运作的网络附属,并且从SHOA接收服务(8140)。
用户可发起从SHOA到SHOB的订制改变(8150)。SHOB可向SHOA发送新的IMSI(8160)。SHOA可为WTRU执行OTAIMSI更新(8170)。WTRU可向SHOA发送ACK来指示更新状态(8180)。SHOA可向SHOB发送消息以指示新的IMSI与密钥集之间的关联(8190)。
SHOA可向ICO发送消息以告知ICO关于订制改变(8200)。SHOB可向ICO发送消息以请求与新的IMSI关联的密钥集(8210)。ICO可向SHOB发送密钥集和对IMSI-密钥集关联的确认。
SHOB可认证TPU以及可提供与WTRU的网络附属(8220)。SHOB可通过TPUVA接收用于TPU的安全维护(8230)。TPUVA可确认对TPU的信任状态的维护(8240)。SHOB可利用IMSI和密钥集来给WTRU提供连接服务(8250)。显然WTRU可利用相似的方法将订制改变为另一个SHO,例如SHOC,如图8B中虚线所示。
显然在图4-8中所示的方法可以联合使用。
虽然本发明的特征和元素以特定的结合在以上进行了描述,但每个特征或元素可以在没有其它特征和元素的情况下单独使用,或在与或不与本发明的其它特征和元素结合的各种情况下使用。本发明提供的方法或流程图可以在由通用计算机或处理器执行的计算机程序、软件或固件中实施,其中所述计算机程序、软件或固件是以有形的方式包含在计算机可读存储介质中的,关于计算机可读存储介质的实例包括只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、内部硬盘和可移动磁盘之类的磁介质、磁光介质以及CD-ROM碟片和数字多功能光盘(DVD)之类的光介质。
举例来说,恰当的处理器包括:通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、专用标准产品(ASSP);现场可编程门阵列(FPGA)电路、其它任何一种集成电路(IC)和/或状态机。
与软件相关的处理器可用于实现射频收发信机,以便在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、移动性管理实体(MME)或分组核心演进(EPC)或是任何一种主机计算机中加以使用。WTRU可以与采用包括软件无线电(SDR)或其它组成的硬件和/或软件形式实施的模块结合使用,例如相机、摄像机模块、视频电话、扬声器电话、振动设备、扬声器、麦克风、电视收发信机、免提耳机、键盘、模块、调频(FM)无线电单元、近距离通信(NFC)模块、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何一种无线局域网(WLAN)模块或无线超宽带(UWB)模块。

Claims (18)

1.一种用于无线发射/接收单元建立网络连接的方法,该方法包括:
无线发射/接收单元(WTRU)接收存储在从值得信任的物理单元供应方接收的值得信任的物理单元中的第一密钥集、第二密钥集和初始连接运营商标识符;
所述WTRU使用所述第一密钥集和所述初始连接运营商标识符来建立与初始连接运营商的连接;
所述WTRU从所述初始连接运营商接收第一标识符,其中所述第一标识符与第一所选归属地运营商相关联,并且其中在所述WTRU被注册到所述第一所选归属地运营商之后,所述第一标识符重新由所述第一所选归属地运营商进行标识;
所述WTRU在接收到所述第一密钥集、所述第二密钥集、所述初始运营商标识符及所述第一标识符之后,将所述第一标识符与所述第二密钥集相关联;以及
在接收到所述第一密钥集、所述第二密钥集及所述初始连接运营商标识符之后,使用所述第一标识符和所述第二密钥集来建立与所述第一所选归属地运营商的可操作网络附属。
2.根据权利要求1所述的方法,其中,所述值得信任的物理单元供应方为值得信任的物理单元制造商。
3.根据权利要求1所述的方法,其中,所述值得信任的物理单元在制造或分配时被安装在所述无线发射/接收单元中。
4.根据权利要求1所述的方法,该方法还包括:
接收临时连接标识符,该临时连接标识符包括在所述值得信任的物理单元中;以及
使用所述临时连接标识符建立所述与所述初始连接运营商的连接。
5.根据权利要求1所述的方法,其中,所述第一密钥集和所述第二密钥集对于所述无线发射/接收单元不是唯一的。
6.根据权利要求5所述的方法,其中,从时间或位置中的至少一者来区分所述无线发射/接收单元与使用所述第一密钥集或所述第二密钥集中的一者的另一无线发射/接收单元。
7.根据权利要求1所述的方法,该方法还包括:
接收存储在从所述值得信任的物理单元供应方接收的所述值得信任的物理单元中的第三密钥集;
从所述初始连接运营商接收第二标识符,其中所述第二标识符与第二所选归属地运营商相关联,并且其中在WTRU被注册到所述第二所选归属地运营商之后,所述第二标识符重新由所述第二所选归属地运营商进行标识;
在接收到所述第三密钥集和所述第二用户标识符之后,将所述第二标识符与所述第三密钥集相关联;以及
在接收到所述第三密钥集之后,使用所述第二标识符和所述第三密钥集来建立与所述第二所选归属地运营商的可操作网络附属。
8.根据权利要求7所述的方法,其中,所述初始连接运营商从所述第二所选归属地运营商接收所述第二标识符。
9.根据权利要求1所述的方法,该方法还包括:
确定成功的可操作网络附属,其中该成功的可操作网络附属指示值得信任的物理单元确认权威已经确认了该值得信任的物理单元的信任状态。
10.一种无线发射/接收单元(WTRU),该无线发射/接收单元包括:
从值得信任的物理单元供应方接收的值得信任的物理单元,其中该值得信任的物理单元包括第一密钥集、第二密钥集和初始连接运营商标识符;
接收机,被配置成从初始连接运营商接收第一标识符,其中所述第一标识符与第一所选归属地运营商相关联,并且其中在WTRU被注册到所述第一所选归属地运营商之后,所述第一标识符重新由所述第一所选归属地运营商进行标识;以及
处理器,被配置成:
使用所述第一密钥集和所述初始连接运营商标识符来建立与所述初始连接运营商的通信连接;
在接收到所述第一密钥集、所述第二密钥集、所述初始运营商标识符之后,将所述第一标识符与所述第二密钥集相关联;以及
在接收到所述第一密钥集、所述第二密钥集及所述初始连接运营商标识符之后,使用所述第一标识符和所述第二密钥集来建立与所述第一所选归属地运营商的可操作网络附属。
11.根据权利要求10所述的无线发射/接收单元,其中,所述值得信任的物理单元供应方为值得信任的物理单元制造商。
12.根据权利要求10所述的无线发射/接收单元,其中,所述值得信任的物理单元在制造或分配时被安装在所述无线发射/接收单元中。
13.根据权利要求10所述的无线发射/接收单元,其中:
所述值得信任的物理单元包括临时连接标识符;以及
所述处理器还被配置成使用所述临时连接标识符建立所述与所述初始连接运营商的连接。
14.根据权利要求10所述的无线发射/接收单元,其中,所述第一密钥集和所述第二密钥集对于所述无线发射/接收单元不是唯一的。
15.根据权利要求14所述的无线发射/接收单元,其中,从时间或位置中的至少一者来区分所述无线发射/接收单元与使用所述第一密钥集或所述第二密钥集的另一无线发射/接收单元。
16.根据权利要求10所述的无线发射/接收单元(WTRU),其中:
所述接收机还被配置成:
从所述值得信任的物理单元供应方接收第三密钥集;
从所述初始连接运营商接收第二标识符,其中所述第二标识符与第二所选归属地运营商相关联,并且其中在WTRU被注册到所述第二所选归属地运营商之后,所述第二标识符重新由所述第二所选归属地运营商进行标识;以及
所述处理器还被配置成:
在接收到所述第三密钥集和所述第二用户标识符之后,将所述第二标识符与所述第三密钥集相关联;以及
使用所述第二标识符和所述第三密钥集来建立与所述第二所选归属地运营商的可操作网络附属。
17.根据权利要求16所述的无线发射/接收单元,其中,所述初始连接运营商从所述第二所选归属地运营商处接收所述第二标识符。
18.根据权利要求10所述的无线发射/接收单元,其中,所述处理器还被配置成确定成功的可操作网络附属,其中该成功的可操作网络附属指示值得信任的物理单元确认权威已经确认了值得信任的物理单元的信任状态。
CN201080010525.3A 2009-03-05 2010-03-05 安全远程订制管理 Expired - Fee Related CN102342140B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15779609P 2009-03-05 2009-03-05
US61/157,796 2009-03-05
PCT/US2010/026404 WO2010102236A2 (en) 2009-03-05 2010-03-05 Secure remote subscription management

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201410652712.1A Division CN104640104A (zh) 2009-03-05 2010-03-05 一种用于wtru建立网络连接的方法及wtru

Publications (2)

Publication Number Publication Date
CN102342140A CN102342140A (zh) 2012-02-01
CN102342140B true CN102342140B (zh) 2014-12-17

Family

ID=42225021

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201080010525.3A Expired - Fee Related CN102342140B (zh) 2009-03-05 2010-03-05 安全远程订制管理
CN201410652712.1A Pending CN104640104A (zh) 2009-03-05 2010-03-05 一种用于wtru建立网络连接的方法及wtru

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201410652712.1A Pending CN104640104A (zh) 2009-03-05 2010-03-05 一种用于wtru建立网络连接的方法及wtru

Country Status (10)

Country Link
US (2) US8812836B2 (zh)
EP (2) EP3051857A1 (zh)
JP (2) JP5789522B2 (zh)
KR (5) KR101618024B1 (zh)
CN (2) CN102342140B (zh)
AR (1) AR076086A1 (zh)
HK (1) HK1161799A1 (zh)
MY (1) MY157052A (zh)
TW (1) TWI477162B (zh)
WO (1) WO2010102236A2 (zh)

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011025876A1 (en) * 2009-08-27 2011-03-03 Interdigital Patent Holdings, Inc. Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments
CN102036222B (zh) * 2009-09-25 2015-05-13 中兴通讯股份有限公司 一种m2m设备归属网络运营商变更的方法和系统
KR101761419B1 (ko) * 2010-01-13 2017-07-26 엘지전자 주식회사 단말의 위치 정보 갱신 방법 및 장치
EP2410777B1 (en) * 2010-07-21 2016-10-26 Apple Inc. Virtual access module distribution apparatus and method
US8738729B2 (en) 2010-07-21 2014-05-27 Apple Inc. Virtual access module distribution apparatus and methods
US8924715B2 (en) 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US8555067B2 (en) 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
US9408066B2 (en) 2010-12-06 2016-08-02 Gemalto Inc. Method for transferring securely the subscription information and user data from a first terminal to a second terminal
EP2461613A1 (en) 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
US9282084B2 (en) * 2010-12-07 2016-03-08 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for provisioning a temporary identity module using a key-sharing scheme
US9247454B2 (en) 2010-12-23 2016-01-26 Intel Corporation Grouping small burst transmissions for downlink machine-to-machine communications
US9161215B2 (en) 2011-02-14 2015-10-13 Telefonaktiebolaget L M Ericsson (Publ) Wireless device, registration server and method for provisioning of wireless devices
EP2503731A1 (en) * 2011-03-22 2012-09-26 Alcatel Lucent Credentials based method to authenticate a user equipment in a mobile network
US9450759B2 (en) 2011-04-05 2016-09-20 Apple Inc. Apparatus and methods for controlling distribution of electronic access clients
US20140099951A1 (en) * 2011-06-15 2014-04-10 Telefonaktiebolaget L M Ericsson (Publ) Handling of Operator Connection Offers in a Communication Network
GB2492750A (en) 2011-07-04 2013-01-16 Sony Corp Communications system with reconfigurable user identification module
KR20130012243A (ko) * 2011-07-08 2013-02-01 주식회사 케이티 특수 권한 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
KR20130006258A (ko) * 2011-07-08 2013-01-16 주식회사 케이티 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
KR101879457B1 (ko) * 2011-07-08 2018-07-18 주식회사 케이티 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체
US8989091B2 (en) * 2011-07-15 2015-03-24 Telefonaktiebolaget L M Ericsson (Publ) Dynamic enablement of M2M services over 3GPP access networks
JP6035713B2 (ja) 2011-08-12 2016-11-30 ソニー株式会社 情報処理装置、通信システムおよび情報処理装置の制御方法
JP5948762B2 (ja) * 2011-08-26 2016-07-06 ソニー株式会社 情報処理装置、通信システムおよび情報処理装置の制御方法
WO2013033612A1 (en) * 2011-08-31 2013-03-07 Activldentity Mobile credential revocation
WO2013039900A1 (en) * 2011-09-16 2013-03-21 Alcatel-Lucent Usa Inc. Network operator-neutral provisioning of mobile devices
EP2756695A1 (en) * 2011-09-16 2014-07-23 Alcatel-Lucent Network operator-neutral provisioning of mobile devices
US10292066B2 (en) * 2011-11-04 2019-05-14 Cisco Technology, Inc. System and method of modifying congestion control based on mobile system information
TWI501603B (zh) * 2011-12-19 2015-09-21 Ind Tech Res Inst 在機器類型通信網路中對機器類型通信裝置分組之方法以及通信方法
GB201121814D0 (en) 2011-12-19 2012-02-01 Eseye Ltd Lifecycle configuration of mobile subscriber
EP2611070A1 (en) * 2011-12-28 2013-07-03 Gemalto SA Method for establishing secure card history and audit for property hand-over
GB2498531A (en) 2012-01-18 2013-07-24 Renesas Mobile Corp Network access using credentials stored on a virtual SIM
EP3694233A1 (en) * 2012-02-03 2020-08-12 IOT Holdings, Inc. Identifiers and triggers for capillary devices
EP2632195A1 (en) * 2012-02-24 2013-08-28 Alcatel Lucent Smart card personnalization
US9713000B2 (en) 2012-03-09 2017-07-18 Omnitracs, Llc Systems and methods for performing over-the-air activation while roaming
EP2677789B1 (en) * 2012-06-18 2017-02-22 Alcatel Lucent Method and devices for remote smart card personalization
EP2704467A1 (en) * 2012-09-03 2014-03-05 Alcatel Lucent Smart card initial personnalization with local generation of keys
CN103685210B (zh) * 2012-09-26 2018-02-13 中兴通讯股份有限公司 终端的注册方法及装置
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
EP2747466B1 (en) * 2012-12-21 2017-10-04 Giesecke+Devrient Mobile Security GmbH Methods and devices for ota subscription management
CN104219687B (zh) * 2013-06-05 2018-07-13 华为终端有限公司 检测目标网络覆盖的方法及装置
ES2633351T3 (es) * 2013-08-09 2017-09-20 Giesecke+Devrient Mobile Security Gmbh Procedimientos y dispositivos para realizar un cambio de red móvil
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9036820B2 (en) * 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US9471767B2 (en) * 2014-08-22 2016-10-18 Oracle International Corporation CAPTCHA techniques utilizing traceable images
WO2016055419A1 (en) * 2014-10-10 2016-04-14 Deutsche Telekom Ag Method for transferring an assignment regarding an embedded universal integrated circuit entity from a first mobile network operator to a second mobile network operator
WO2016055417A1 (en) * 2014-10-10 2016-04-14 Deutsche Telekom Ag Method for provisioning an embedded universal integrated circuit entity within an electronic device
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
EP3262856B1 (en) * 2015-02-27 2020-02-19 PCMS Holdings, Inc. Systems and methods for secure roll-over of device ownership
US11080414B2 (en) * 2015-05-22 2021-08-03 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (PKI) operations
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
KR20170143330A (ko) * 2016-06-21 2017-12-29 삼성전자주식회사 eUICC를 포함하는 전자 장치 및 eUICC를 포함하는 전자 장치의 운용 방법
DE102018211511A1 (de) 2018-07-11 2020-01-16 Bruker Biospin Gmbh Supraleitendes Magnetspulensystem
CN109151806A (zh) * 2018-10-29 2019-01-04 江苏恒宝智能系统技术有限公司 一种更新入网参数的方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7325134B2 (en) 2002-10-08 2008-01-29 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
US7450940B2 (en) * 2003-04-28 2008-11-11 Chantry Networks, Inc. Wireless network communication system and method
RU2322766C2 (ru) * 2003-06-18 2008-04-20 Телефонактиеболагет Лм Эрикссон (Пабл) Способ, система и устройства для поддержки услуг протокола ip мобильной связи, версии 6
US20060185013A1 (en) * 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
US7983418B2 (en) * 2004-04-23 2011-07-19 Telefonaktiebolaget Lm Ericsson (Publ) AAA support for DHCP
JP2005333596A (ja) 2004-05-21 2005-12-02 Toshiba Corp 電子申請システム、電子申請装置
US20060120171A1 (en) * 2004-11-12 2006-06-08 Samy Touati Seamless handoff of mobile terminal
GB0428084D0 (en) * 2004-12-22 2005-01-26 Nokia Corp Method for producing authentication information
GB0428049D0 (en) * 2004-12-22 2005-01-26 Carnall Murat Improvements to call management in a telecommunications system
KR101155224B1 (ko) * 2005-03-09 2012-06-13 삼성전자주식회사 Sip/ip 코어 네트워크에서 세션 분리 방법 및 서버 및 단말
JP4713955B2 (ja) 2005-06-13 2011-06-29 株式会社日立製作所 認証システム、無線通信端末及び無線基地局
US20070077921A1 (en) * 2005-09-30 2007-04-05 Yahoo! Inc. Pushing podcasts to mobile devices
US8122240B2 (en) 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8204502B2 (en) * 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
CN101675677B (zh) * 2007-05-15 2013-02-20 诺基亚公司 用于密钥更新的方法、装置、系统
US8320561B2 (en) * 2007-08-08 2012-11-27 Qualcomm Incorporated Key identifier in packet data convergence protocol header
US20090217038A1 (en) * 2008-02-22 2009-08-27 Vesa Petteri Lehtovirta Methods and Apparatus for Locating a Device Registration Server in a Wireless Network
US8407769B2 (en) * 2008-02-22 2013-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for wireless device registration
US20090253409A1 (en) * 2008-04-07 2009-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
EP2289013B1 (en) * 2008-06-19 2018-09-19 Telefonaktiebolaget LM Ericsson (publ) A method and a device for protecting private content
US8750506B2 (en) * 2008-07-31 2014-06-10 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes, system, computer programs and computer program products for secure user subscription or registration
US8578153B2 (en) * 2008-10-28 2013-11-05 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for provisioning and managing a device
US8626155B2 (en) * 2008-11-24 2014-01-07 Telefonaktiebolaget L M Ericsson (Publ) Methods and systems for closed subscriber group roaming
US8711751B2 (en) * 2009-09-25 2014-04-29 Apple Inc. Methods and apparatus for dynamic identification (ID) assignment in wireless networks
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Architecture Modifications and Alternatives for Remote Management of USIM Application on M2M Equipment;Ericsson;《3GPP TSG SA WG3 Security—S3#50》;20080218;第4页第3段、最后一段,第5页第2-4、10-11、13段 *

Also Published As

Publication number Publication date
KR101691778B1 (ko) 2016-12-30
EP3051857A1 (en) 2016-08-03
JP2012520026A (ja) 2012-08-30
JP5789522B2 (ja) 2015-10-07
US20140359278A1 (en) 2014-12-04
KR20110135955A (ko) 2011-12-20
TWI477162B (zh) 2015-03-11
HK1161799A1 (zh) 2012-08-03
US9681296B2 (en) 2017-06-13
MY157052A (en) 2016-04-15
WO2010102236A2 (en) 2010-09-10
JP6100333B2 (ja) 2017-03-22
KR20160054603A (ko) 2016-05-16
CN102342140A (zh) 2012-02-01
JP2015195620A (ja) 2015-11-05
WO2010102236A3 (en) 2010-10-21
KR20120034207A (ko) 2012-04-10
AR076086A1 (es) 2011-05-18
KR20170001731A (ko) 2017-01-04
KR20150093868A (ko) 2015-08-18
KR101375737B1 (ko) 2014-04-09
EP2404458A2 (en) 2012-01-11
TW201038089A (en) 2010-10-16
CN104640104A (zh) 2015-05-20
US20110035584A1 (en) 2011-02-10
KR101597388B1 (ko) 2016-02-25
KR101618024B1 (ko) 2016-05-03
EP2404458B1 (en) 2016-05-04
US8812836B2 (en) 2014-08-19

Similar Documents

Publication Publication Date Title
CN102342140B (zh) 安全远程订制管理
KR102434877B1 (ko) 다른 디바이스의 네트워크 서브스크립션과 디바이스의 연관
JP6822577B2 (ja) 通信端末及びコアネットワークノード
CN102934470B (zh) 用于在通信系统中将订户认证与设备认证绑定的方法和装置
US9203615B2 (en) Confidential provisioning of secret keys over the air
KR101756561B1 (ko) 키의 로컬 생성을 이용한 스마트 카드 개인화
US20170289790A1 (en) Reusing a mobile network operator profile in an embedded smart card
CN109906624B (zh) 支持无线通信网络中的认证的方法以及相关网络节点和无线终端
EP3523989B1 (en) Iot device connectivity provisioning
JP2011139113A (ja) ユーザ装置とH(e)NBとの接続方法、ユーザ装置の認証方法、移動体通信システム、H(e)NB及びコア・ネットワーク
US11785468B2 (en) Subscriber identification module (SIM) management for cloud-based private mobile networks
KR101612215B1 (ko) 스마트 카드 개인화
EP4298816A1 (en) Subscriber identification module (sim) management for cloud-based private mobile networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1161799

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: GR

Ref document number: 1161799

Country of ref document: HK

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20141217

Termination date: 20180305

CF01 Termination of patent right due to non-payment of annual fee