CN102440016A - 用于在两个接入系统之间进行安全证书的空中供给的装置和方法 - Google Patents

用于在两个接入系统之间进行安全证书的空中供给的装置和方法 Download PDF

Info

Publication number
CN102440016A
CN102440016A CN2010800206589A CN201080020658A CN102440016A CN 102440016 A CN102440016 A CN 102440016A CN 2010800206589 A CN2010800206589 A CN 2010800206589A CN 201080020658 A CN201080020658 A CN 201080020658A CN 102440016 A CN102440016 A CN 102440016A
Authority
CN
China
Prior art keywords
connecting system
aerial
certificate
certification
aka
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010800206589A
Other languages
English (en)
Other versions
CN102440016B (zh
Inventor
A·帕拉尼恭德尔
J·W·纳西尔斯基
G·G·罗斯
Y·C·尹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN102440016A publication Critical patent/CN102440016A/zh
Application granted granted Critical
Publication of CN102440016B publication Critical patent/CN102440016B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • H04W8/245Transfer of terminal data from a network towards a terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种用于在接入设备处经由第一接入系统进行认证证书的空中供给的方法和装置,其中,所述认证证书用于缺少空中供给过程的第二接入系统。例如,第二接入系统可以是使用AKA认证方法的3GPP系统。第一接入系统可以是使用OTASP或者IOTA过程的CDMA。供给所述认证证书可以包括供给以下项中的任意一项:3GPP AKA认证根密钥(K)、AKA认证相关参数、要用于3GPP认证的AKA认证算法,或者认证算法定制参数。

Description

用于在两个接入系统之间进行安全证书的空中供给的装置和方法
根据35U.S.C.§119要求优先权
本专利申请要求于2009年5月11日递交的、名称为“METHOD FOROVER-THE-AIR(OTA)PROVI SIONING OF 3GPP AUTHENTICATIONAND KEY AGREEMENT(AKA)CREDENTIALS USING CDMA2000SYSTEMS”的临时申请No.61/177,132的优先权,该临时申请已经转让给其受让人,特此通过引用将该临时申请明确地并入本文。
技术领域
多个方案涉及用于具有3GPP和/或3GPP2能力的接入设备的3GPP认证证书的空中(OTA)供给。
背景技术
无线通信系统被广泛部署来提供各种类型的通信内容,诸如语音和数据等。这些系统可以是能够通过共享可用系统资源(例如带宽和发射功率)来支持与多个用户的通信的多址系统。这样的多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、3GPP长期演进(LTE)系统、通用移动电信系统(UMTS)、全球移动通信系统(GSM)和正交频分多址(OFDMA)系统。
CDMA2000系统(例如1x、演进数据优化“EV/DO”/高速率分组数据“HRPD”)使用空中服务供给(OTASP)和空中网际协议(IP)(IOTA)(Intemet Protocol(IP)over-the-air)来进行用于认证的认证参数(诸如身份、密钥等)的OTA供给。
但是,诸如eHPRD、LTE的演进型接入系统,诸如通用移动电信系统(UMTS)/高速分组接入(HSPA)的3GPP接入系统,以及更新的GSM系统使用3GPP认证和密钥协商(AKA)认证方法来将3GPP核心网络用于认证。诸如AKA的这些3GPP认证方法假定已经在接入设备上预先配置了要在所述认证方法中使用的认证证书。因此,认证当前要求在设备可以访问服务之前要在所述设备上预先配置认证证书。通常,在例如以下应用的应用上预先配置认证证书:在诸如通用集成电路卡(UICC)的智能卡上的通用用户身份模块(USIM)或者CDMA通用用户身份模块(CSIM)。但是,认证证书也可以被安全地存储在所述设备上(例如存储在安全存储设备中),和所述设备本身的执行环境或者置信环境(TrE)中。这可以特别用于使用非3GPP接入的设备,诸如具有演进HRPD(eHPRD)或者甚至某些3GPP接入能力的设备,这些设备可能不支持诸如UICC的智能卡用于认证。
因为用于3GPP认证的当前方法要求接入设备被预先配置有用于连接到符合3GPP的核心网络的认证证书,因此通常需要在设备制造时选择运营商,和/或需要在可以获得服务之前独立地获取智能卡。而且,如果在任何点损害了证书,则几乎不可能使用当前的方法来改变它们。因此,一旦损害了证书,则必须购买新的设备。
因此,在本领域中需要一种在现有的设备上供给或者替换3GP认证证书的方式。因为有更多的使用无线系统来进行通信的机器对机器的设备正在出现,所以这种能力将变得更重要。
发明内容
在此所描述的多个方案通过提供一种用于在制造设备后随时供给证书的方式来满足这些需要。因此,如果有理由相信例如由于服务窃取而损害了证书,则可以供给新的证书。
多个方案可以包括一种用于空中供给的方法,所述方法包括:连接到第一接入系统;请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;经由所述第一接入系统来接收用于所述第二接入系统的认证证书的空中供给;连接到所述第二接入系统;以及向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
多个方案还可以包括一种用于接收空中供给的装置,所述装置包括:发射机,用于连接到第一接入系统和第二接入系统;处理器,用于从所述第一接入系统请求用于所述第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;接收机,用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给;存储器,用于存储所接收的用于所述第二接入系统的认证证书的空中供给;以及通信组件,用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证,从而与所述第二接入系统建立连接。
多个方案还可以包括:所述认证证书是认证和密钥协商(AKA)认证证书,所述方法还包括:使用所述AKA认证证书来执行向所述第二接入系统的AKA认证。
所述第二接入系统可以包括3GPP核心网络,而所述第一接入系统是非3GPP核心网络。所述空中供给可以包括:使用基于Diffie-Hellman的协议来建立密钥,或者使用Diffie-Hellman协议来交换密码认证密钥。所空中供给的认证证书可以包括以下项中的至少一项:3GPPAKA认证根密钥(K)、AKA认证相关参数或者要用于向所述第二接入系统的认证的AKA认证算法。所空中供给的认证证书可以包括AKA认证相关参数,并且其中,所述AKA认证相关参数包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。所空中供给的认证证书包括要用于向所述第二接入系统的认证的AKA认证算法,所述方法还包括:从所述第一接入系统接收所述认证算法的空中定制。所述AKA认证算法可以是MILENAGE,并且其中,所述认证算法的定制包括OP或者OPc参数的定制。所述第一接入系统包括CDMA2000系统。所述空中供给可以是经由空中服务供给(OTASP)来接收的。所述空中供给可以是经由空中因特网(IOTA)来接收的。
多个方案还可以包括一种用于接收空中供给的装置,所述装置包括:发射机,用于连接到第一接入系统和第二接入系统;处理器,用于从所述第一接入系统请求用于所述第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;接收机,用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给;存储器,用于存储所接收的用于所述第二接入系统的认证证书的空中供给;以及通信组件,用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证,从而与所述第二接入系统建立连接。
多个方案还可以包括一种用于接收空中供给的装置,所述装置包括:用于连接到第一接入系统和第二接入系统的模块;用于请求用于所述第二接入系统的认证证书的空中供给的模块,其中,所述第二接入系统缺少空中供给过程;用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给的模块;以及用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证的模块。
多个方案还可以包括被配置来接收空中供给的至少一个处理器,所述处理器包括:第一模块,用于连接到第一接入系统;第二模块,用于请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;第三模块,用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给;第四模块,用于连接到所述第二接入系统;以及第五模块,用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
多个方案还可以包括一种计算机程序产品,所述计算机程序产品包括计算机可读介质,所述计算机可读介质包括:第一组代码,用于使得计算机连接到第一接入系统;第二组代码,用于使得计算机请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;第三组代码,用于使得计算机接收用于所述第二接入系统的认证证书的空中供给;第四组代码,用于使得计算机连接到所述第二接入系统;以及第五组代码,用于使得计算机向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
多个方案还可以包括一种用于执行空中供给的方法,所述方法包括:在第一接入系统处接收始发自接入设备的呼叫;将所述呼叫引导到供给系统;确定所述接入设备的协议能力;以及在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
多个方案还可以包括一种用于空中供给的装置,所述装置包括:接收机,用于在第一接入系统处接收始发自接入设备的呼叫;处理器,用于将所述呼叫引导到供给系统,并且用于确定所述接入设备的协议能力;以及发射机,用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
多个方案还可以包括一种用于空中供给的装置,所述装置包括:用于在第一接入系统处接收始发自接入设备的呼叫的模块;用于将所述呼叫引导到供给系统的模块;用于确定所述接入设备的协议能力的模块;以及用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给的模块,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
多个方案还可以包括被配置来执行空中供给的至少一个处理器,所述处理器包括:第一模块,用于在第一接入系统处接收始发自接入设备的呼叫;第二模块,用于将所述呼叫引导到供给系统;第三模块,用于确定所述接入设备的协议能力;以及第四模块,用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
多个方案还可以包括一种计算机程序产品,所述计算机程序产品包括计算机可读介质,所述计算机可读介质包括:第一组代码,用于使得计算机在第一接入系统处接收始发自接入设备的呼叫;第二组代码,用于使得计算机将所述呼叫引导到供给系统;第三组代码,用于使得计算机确定所述接入设备的协议能力;以及第四组代码,用于使得计算机在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
下面阐述了一个或多个方案的简要概述,以提供对这些方案的基本理解。本概述并不是所有设想方案的详尽综述,并且既不意图标识所有方案的关键或重要要素,也不意图描绘任意或所有方案的范围。其唯一目的是以简化的形式阐述一个或多个方案的一些概念,作为后面阐述的更详细的说明书的序言。
为了实现前述以及相关目标,一个或多个方案包括在后文中完整描述并在权利要求中具体指出的特征。以下说明书和附图详细阐述了一个或多个方案的某些说明性的特征。然而,这些特征仅仅指示了可以采用各种方案的原理的各种方式中的少数几个,并且本说明书意图包括所有这些方案及其等同方案。
附图说明
下面结合附图来描述所公开的方案,所述附图被提供来说明而不是限制所公开的方案,其中,相似的附图标号表示相似的要素,并且其中:
图1说明了使能在接入设备处进行认证证书的OTA供给的示例性通信系统的方案。
图2说明了在接入设备处进行认证证书的OTA供给的示例性方法的方案。
图3说明了经由接入系统进行认证证书的OTA供给的示例性方法的方案。
图4说明了经由另一个接入系统进行用于一个接入系统的认证证书的OTA供给的示例性呼叫流程图的方案。
图5说明了经由另一个接入系统进行用于一个接入系统的认证证书的OTA供给的示例性呼叫流程图的另外的方案。
图6说明了通信系统的框图。
图7说明了用于接收经由另一个接入系统进行的用于一个接入系统的认证证书的OTA供给的计算机设备。
图8说明了用于执行经由另一个接入系统进行的用于一个接入系统的认证证书的OTA供给的计算机设备。
图9说明了从另一个接入系统接收用于一个接入系统的认证证书的OTA供给的系统。
图10说明了在接入设备处执行用于另一个接入系统的认证证书的OTA供给的系统。
具体实施方式
在本说明书的全文中使用的各种缩写的说明被包括在使用该缩写的第一个实例中,或者可以在详细描述的结尾找到。
某些接入系统使用它们的认证参数的OTA供给。例如,诸如1x、EVDO/HRPD的CDMA2000系统使用OTASP(C.S0016)和IOTA(C.S0040)来进行认证参数的OTA供给。认证参数可以包括用于认证的身份、密钥等。
相对地,使用AKA认证方法的3GPP网络当前要求在接入设备可以连接到3GPP网络和访问3GPP服务之前在所述接入设备上预先配置认证证书。诸如在TS 3GPP 33.102中规定的AKA这样的这些AKA认证方法假定在移动设备可以访问服务之前在所述移动设备上预先配置认证证书,诸如身份、密钥和要在认证期间使用的认证算法。例如,eHRPD(X.S0057)使用3GPP演进分组核心来进行认证,其使用3GPP AKA认证方法并且假定在接入设备上预先配置了认证证书。
在此提供的方案通过提供一种使用独立的接入系统来在空中供给必要的3GPP认证证书的方式,克服了这个问题。当接入设备能够连接到第一接入技术时,该接入技术可以用于供给接入3GPP网络所需要的3GPP认证证书。例如,能够访问CDMA2000的接入设备可以使用OTASP来在3GPP认证之前供给3GPP认证证书。例如,1x可以用于供给3GPP证书。在其他方案中,当可以获得IP连接时,可以使用IOTA。虽然描述了用于CDMA、OTASP和IOTA的示例,但是其他接入技术也适用于供给3GPP认证证书。接入系统可以是3GPP或者非3GPP的。例如,可以使用3GPP核心网络的接入系统特别包括HRPD/eHRPD(EV-DO)、LTE、HSPA/UMTS、GSM、全球微波接入互通(WiMAX)、无线局域网(WLAN),和甚至诸如xDSL/电缆调制解调器的宽带接入。GSM可以包括其变化形式的任何一种,其中例如用于分组服务的GPRS或者EDGE。而且,该解决方案适用于连接到由3GPP所规定的核心网络的任何设备。其中,这样的网络可以包括演进分组核心网络、UMTS核心网络和网际协议(IP)多媒体系统。
可以OTA供给的3GPP认证证书可以包括以下项中的任意一项:3GPPAKA认证根密钥(K)、AKA认证相关参数、要在3GPP认证中使用的AKA认证算法、认证算法定制参数,所述认证算法定制参数诸如运营商可变算法配置(OP)和用于MILENAGE认证算法的OP常数(OPc)。OPc包括OP(运营商证书)与根密钥k的组合。这避免了将OP编程到智能卡中的必要,其中,有可能通过逆向工程从智能卡得出OP。AKA认证相关参数可以特别包括例如:是否使用f5认证函数来进行序列号(SQN)隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。其中,AKA认证算法可以是在TS 35.205和35.306中规定的MILENAGE。MILENAGE认证算法定制参数可以特别包括OP或者OPc。OP是128比特的运营商可变算法配置字段,其用于导出OPc或者直接供给OPc。类似地,其他AKA认证算法可以使用它们本身的定制参数,其也可以使用本发明来进行OTA供给。
例如,对于EAP-AKA’,AKA证书包括IMSI、128比特的根密钥(K)和一组认证函数(“r”函数)。AKA所需要的f函数是f1、f1*、f2、f3、f4、f5、f5*。所述一组f函数也被称为AKA认证算法函数。被称为MILENAGE的AKA算法被3GPP TS 35.205定义并且用于eHRPD。
运营商选择运营商可变算法配置(OP)或者OPc值。OP是运营商可变算法配置,并且被运营商使用来定制MILENAGE AKA算法。如果OP被配置,则导出OPc值。MILENAGE也允许运营商直接地配置OPc。因此,接入系统经由OTASP来使能OP和/或OPc的配置。
接入系统——通过其来向接入设备提供OTA供给——可以是CDMA2000系统或者任何具有IP能力的接入系统。如上所述,CDMA2000系统使用OTASP和IOTA来供给认证参数。
因此,当IP连接例如通过无线线路或者无线系统可用于设备时,IOTA可以用于配置3GPP认证证书参数。IOTA是可以在支持IP连接的任何接入网上运行的传输协议。另外,OTASP可以用于配置3GPP认证证书。
OTASP(空中服务供给)可以包括空中供给下面特征的任何一个:号码分配模块(NAM)操作参数的下载;用于安全地建立A密钥和根密钥的电子密钥交换;优选漫游的系统选择(SSPR),用于向移动台提供允许获取在区域中的优选系统的信息;优选用户区列表(PUZL),用于向支持选用的用户区域特征的移动台提供允许在区域中使用优选用户区的信息;以及,3G分组数据操作参数的下载。服务编程锁定(SPL)——如果被提供的话——可以防止由未经授权的网络实体进行的特定移动台参数的空中供给。
尽管描述了在CDMA和模拟系统中的空中服务供给(OTASP)的示例性实现,但是这些过程是可扩展的并且足够灵活来用于未来的空中接口规范。所述过程不要求支持在CDMA到模拟的切换后进行服务供给处理。
OTASP和/或IOTA供给消息可以在设备本身终止。另外,所述设备可以将这些消息中继到另一安全计算平台/处理器,所述另一安全计算平台/处理器连接到具有蜂窝/IP连接性的所述设备。所述安全计算平台/处理器可以包括例如智能卡或者SIM卡,接入设备将认证证书信息中继到所述智能卡或者SIM卡。
在一种说明性实现中,接入设备连接到诸如CDMA的无线无线电接口或者连接到IP连接。一旦连接,则所述连接用于执行在接入设备和网络实体之间的Diffie-Hellman密钥协商,并且建立网络接入所需要的根密钥。这种方法可以用于供给没有任何与网络预先共享的信息的设备。所述Diffie-Hellman密钥协商用于供给3GPP认证证书。一旦接收到3GPP认证证书,则它们可以用于连接到3GPP核心网络。
在另一种说明性实现中,密码认证的Diffie-Hellman密钥协商用于供给接入设备。在这种实现中,可以使用要在执行密钥协商的接入设备和网络实体上配置的带外模块,经由第三方来提供密码或者密钥。密钥协商可以使用例如1024比特或者2048比特模质数。
3GPP认证证书的OTA供给可以包括:使用包括OTASP或者IOTA的接入技术的AKA算法定制。每个运营商可以在接入设备和本地网络实体之间使用它们自己的AKA算法。根据所述网络和所述设备的能力,可以进行指示或者配置,其规定要在所述设备和所述网络之间使用的算法。例如,可以使用MILENAGE。一旦选择了算法,则还可以使用OTASP/IOTA消息来传送这些算法所需要的参数。这些参数可以包括例如MILENAGE OP或者OPc参数。
图1说明了其中可以进行在此所述的方案的示例性网络环境。如图1中所示,用户装置(UE)或者移动台110位于第一接入系统120和第二接入系统140的范围中。注意,每个接入系统可以包括例如多个接入点基站。第二接入系统140缺少空中供给机制。第一接入系统包括空中供给机制。移动台110能够与第一和第二接入系统通信。第一接入系统被配置来不仅针对其本身、而且还针对缺少空中供给能力的第二接入系统140,来执行移动台110的空中供给。移动台被配置来经由第一接入系统120接收与第二接入系统建立通信所需要的认证证书的空中供给。移动台与第一接入系统120建立通信,并且请求用于第二接入系统的认证证书的空中供给。
作为响应,第一接入系统120将来自移动台的呼叫引导到在第一接入系统中的供给组件150。在第一接入系统的协议能力确定器160处确定移动台的协议能力。然后,第一接入系统120为移动台执行认证证书的空中供给,其中,认证证书用于第二接入系统。这可以通过在第一接入系统120的认证证书组件170来完成。
一旦移动台已经被供给,则移动台建立与第二接入系统140的连接,并且在第二接入系统的认证组件180对移动台进行认证。
图2说明了经由第一接入系统来为接入设备进行认证证书的空中供给的示例性方法的方案,其中,所述认证证书用于第二接入系统。第一接入系统可以是使用OTASP或者IOTA的CDMA2000系统。所述第二接入系统可以是使用AKA认证方法的3GPP系统。
在201,接入设备连接到第一接入系统。在202,接入设备从第一接入系统请求认证证书的空中供给。其中,所述认证证书用于第二接入系统。在203,接入设备接收用于第二接入系统的认证证书的OTA供给。
用于第二接入系统的认证证书的空中供给可以包括Diffie-Hellman密钥协商或者密码认证的Diffie-Hellman密钥协商。被供给的认证证书可以包括以下项中的任何一项:3GPPAKA认证根密钥(K)、AKA认证相关参数和要在向第二接入系统的认证中使用的AKA认证算法。AKA认证相关参数可以包括以下项中的至少一项:是否使用f5来进行SQN隐藏,或者用于AKA SQN管理的一个或多个SQN号的配置。接收空中供给的认证证书还可以包括:从第一接入系统接收AKA认证算法的空中定制。例如,AKA认证算法可以是MILENAGE,并且认证算法的定制可以包括OP或者OPc参数的定制。
在204,接入设备连接到第二接入系统。在205,接入设备向第二接入系统提供所供给的认证证书,以便执行向第二接入系统的认证。如上所述,认证证书可以是AKA认证证书,并且接入设备可以执行向第二接入系统的AKA认证,以便访问在第二接入系统处的服务。
图3说明了在接入设备处经由第一接入系统进行用于第二接入系统的认证证书的OTA供给的示例性方法的方案。如上结合图2所述,第一接入系统可以是使用OTASP或者IOTA的CDMA2000系统。第二接入系统可以是使用AKA认证方法的3GPP系统。
在301,诸如CDMA2000网络或者IP连接接入网(IP CAN)的第一接入系统接收始发自接入设备的呼叫。在302,第一接入系统将呼叫引导到供给系统。还可以在供给系统和接入设备之间交换信息。在303,第一接入系统确定接入设备的协议能力。这可以包括向接入设备发送协议能力请求。
在304,第一接入系统例如经由OTASP/IOTA服务器为接入设备执行认证证书的OTA供给,其中,所述认证证书用于第二接入系统。这可以包括:发送MS密钥请求和密钥产生请求,如图4中更详细地说明。
用于第二接入系统的认证证书的空中供给可以包括Diffie-Hellman密钥协商或者密码认证的Diffie-Hellman密钥协商。被供给的认证证书可以包括以下项中的任意一项:3GPP AKA认证根密钥(K)、AKA认证相关参数或者要在向第二接入系统的认证中使用的AKA认证算法。AKA认证相关参数可以包括以下项中的至少一项:是否使用f5来进行SQN隐藏,或者用于AKA SQN管理的一个或多个SQN号的配置。接收空中供给的认证证书还可以包括:从第一接入系统接收AKA认证算法的空中定制。例如,AKA认证算法可以是MILENAGE,并且认证算法的定制可以包括OP或者OPc参数的定制。
现在将结合图4和5来详细描述使用OTASP或者IOTA的示例性实现的方案。该图示示出了可以如何使用诸如CDMA2000 OTASP的OTA供给协议来供给诸如3GPP AKA的3GPP认证证书。
首先,在401,在接入设备向接入网始发呼叫,所述接入设备在此也可可互换地被称为移动台(MS)。图4说明了MS经由OTASP来始发呼叫,并且接入网络是CDMA2000或者IP CAN网络。如果接入系统是IP CAN,则可以用IOTA取代OTASP。在402,接入系统将呼叫重新定向到客户服务或者供给系统。在403,在MS和客户服务或者供给系统之间执行信息交换。该信息交换可以包括、但是不限于:设备的识别、诸如客户身份的相关联预订信息的识别、所请求的服务和计费信息等。
在404,诸如设备身份(例如移动装置的MEID/IMEI,或者如果智能卡用于存储证书,则是智能卡的ICCID/UIMID)这样的要供给的信息,OTASP/IOTA服务器成功地向设备供给3GPP认证证书所需要的信息,以及所允许的网络服务等被从客户服务或者供给系统传送到OTASP/IOTA服务器。然后,在405,OTASP/IOTA服务器向MS发送协议能力请求,诸如OTASP_P_REV=0或者8。在406,MS发送扩展的能力响应。例如,这可以包括密钥交换或者密钥协商,诸如FEATURE_P_REV值为00000111和/或000010000的A_KEY_P_PREV,其中00000111表示eHRPD根密钥供给,000010000表示增强的eHRPD根密钥供给,如在下面的表3.5.1.7-1中所示。
在407,OTASP/IOTA服务器决定对MS执行3GPPAKA证书供给。
在408,OTASP/IOTA服务器向MS发送MS密钥请求,诸如A_KEY_P_REV=00000111或者0000100。
在409,MS计算移动台结果(MS_RESULT),如下更详细讨论的。
在410,MS向OTASP或者IOTA服务器发送MS密钥响应,其中,RESULT(结果)=Success(成功)。在411,OTASP或者IOTA服务器计算BS_RESULT,即基站结果,如下更详细讨论的。
在412,OTASP/IOTA服务器发送例如具有BS_RESULT的密钥产生请求。在413,MS计算3GPP根密钥,诸如eHRPD根密钥。在414,MS发送例如具有MS_RESULT的密钥产生响应。在415,OTASP/IOTA服务器计算3GPP AKA根密钥。在416,OTASP/IOTA服务器确定是否执行AKA算法供给或者AKA算法定制。在417,从OTASP/IOTA向MS发送MS连接到3GPP网络所需要的3GPP认证证书。然后,MS准备好执行向使用AKA来进行认证的任何3GPP或者3GPP2系统的AKA认证。
图5说明了可以结合在图4中说明的供给来执行的、使用OTASP/IOTA进行的AKA算法定制的示例性方案。
在步骤517,OTASP/IOTA服务器向MS发送例如具有参数块Id的第三代分组数据(3GPD)配置请求,所述参数块Id指示eHRPD AKA算法能力参数,诸如BLOCK_ID=00001110;和/或指示eHRPD MILENAGE算法参数,诸如BLOCK_ID=00001111。
在步骤518,MS向OTASP/IOTA服务器发送例如具有eHRPD AKA算法能力参数块和/或eHRPD MILENAGE算法参数块的3GPD响应。在519,OTASP/IOTA服务器确定MS的算法能力。例如,OTASP/IOTA服务器可以从所接收的配置响应确定在MS支持MILENAGE。在520,OTASP/IOTA服务器发送例如具有eHRPD MILENAGE算法参数块(诸如BLOCK_ID=00001101)的下载请求。在521,MS根据从OTASP/IOTA服务器的发送来配置MILENAGE参数。在522,MS发送3GPS下载响应,例如RESULT=Success。在523,MS准备好执行向任何3GPP或者3GPP2系统或者向使用AKA认证的另一个系统的AKA认证。
在C.S0016-D v1.0中规定了OTASP过程,将很可能在C.S0040-0 v1.0(IOTA)和C.S0064-0 v1.0(IOTA-DM)的未来修订版中规定IOTA过程,特此通过引用并入上述每个文献的全部内容。在图4和5中说明的方案包括新的A_KEY_P_REV的引入,以支持基于在OTASP中的现有3G根密钥供给方法来进行eHRPD根密钥产生和密钥交换过程,诸如eHRPD根密钥供给和增强的eHRPD根密钥供给。在可应用的情况下,可以将SHA-1的使用替换为SHA-26,因为用于SHA-256的散列函数更安全。还说明了下述两个3GPD参数块的引入:eHRPD AKA算法能力参数块,用于指示MS支持的AKA算法(例如MILENAGE);以及,eHRPD MILENAGE算法参数块,用于配置OP或者OPc参数。另外,递增3GPD特征标识符的FEATURE_P_REV以指示对于增加的3GPD参数块的支持。
以下参考下面在详细说明的结尾列出的部分来更详细地描述在图4和5中说明的消息的示例性方案。
移动台编程过程
编程过程的启动、MS密钥请求消息3.3
如果移动台具有存储的eHRPD_k_TEMPS,即在移动台中临时存储128比特模式的秘密,则在接收到密钥产生请求消息后,其将eHRPD_Kp(在移动台中永久存储128比特模式的秘密)的值、NAM指示符设置为等于eHRPD_K_TEMPS
一旦MS像在408那样接收到MS密钥请求,则MS计算MS_RESULT。如果在MS密钥请求消息中接收的A_KEY_P_REV=‘00000010’,则移动台应当设置PARAM_Ps=PARAM_Pr和PARAM_Gs=PARAM_Gr。
如果在MS密钥请求消息中接收的A_KEY_P_REV=‘00000011’、‘00000100’或者‘00000111’,则移动台应当分别将PARAM_Ps和PARAM_Gs设置为如下(在详细说明的结尾)在5.3.1部分中所规定的值。
如果在MS密钥请求消息中接收的A_KEY_P_REV=‘00000101’或者‘00001000’,则移动台应当分别将PARAM_Ps设置为在5.3.1中规定的值,将PARAM_Gs设置为在5.5.1中规定的值。
如果在MS密钥请求消息中的A_KEY_P_REV的值不被移动台支持,则移动台应当通过下述方式来指示错误状况:设置RESULT_CODE为‘00000011’,“被拒绝-协议版本不匹配”。移动台应当在接收到这个消息后750毫秒内发送MS密钥响应消息。
如果移动台支持在MS密钥请求消息中的A_KEY_P_REV的值,则移动台应当将RESULT_CODE设置为‘00000000’,“被接受-操作成功”。移动台应当按照在MS密钥请求消息中接收的A_KEY_P_REV的值来计算MS_RESULT值如下。
‘00000010’,根据5.1.2来计算MS_RESULT,例如MS_RESULT=PARAM_Gs X模PARAM_Ps
‘00000011’,根据5.3.2来计算MS_RESULT,例如MS_RESULT=PARAM_Gs X模PARAM_Ps
‘00000100’,根据5.3.2来计算MS_RESULT,例如MS_RESULT=PARAM_Gs X模PARAM_Ps
‘00000101’,根据5.5.2来计算MS_RESULT,例如MS_RESULT=(MS_PW_HASH*PARAM_Gs X)模PARAM_Ps,其中MS_PW_HASH被计算如下:
MS_PW_HASH=SHA-1(0x00000001,0x00000001,MS_PW)模2128|
SHA-1(0x00000001,0x00000002,MS_PW)模2128|
SHA-1(0x00000001,0x00000003,MS_PW)模2128|
SHA-1(0x00000001,0x00000004,MS_PW)模2128|
SHA-1(0x00000001,0x00000005,MS_PW)模2128|
SHA-1(0x00000001,0x00000006,MS_PW)模2128|
SHA-1(0x00000001,0x00000007,MS_PW)模2128|
SHA-1(0x00000001,0x00000008,MS_PW)模2128|
SHA-1(0x00000001,0x00000009,MS_PW)模2128
MS_PW_HASH在相乘之前可以是减小的模PARAM_PS以简化实现。SHA-1是指在C.S0024-A,“cdma2000 High Rate Packet Data Air InterfaceSpecification”,April 2004中规定的FIPS-180散列函数:。
‘00000111’,根据5.7.2计算MS_RESULT,MS_RESULT=PARAM_GS X模PARAM_PS
‘00001000’,根据5.9.2计算MS_RESULT,MS_RESULT=(MS_PW_HASH2*PARAM_GS X)模PARAM_PS,其中,MS_PW_HASH被计算如下。SHA-256是指在美国标准技术研究院的文献:″Secure HashStandard″,FIPS 180-2,With Change Notice 1 dated February 2004,August2002中规定的FIPS-180-2散列函数。
MS_PW_HASH=SHA-256(0x00000001,0x00000001,MS_PW)模2256
SHA-256(0x00000001,0x00000002,MS_PW)模2256|
SHA-256(0x00000001,0x00000003,MS_PW)模2256|
SHA-256(0x00000001,0x00000004,MS_PW)模2256|
SHA-256(0x00000001,0x00000005,MS_PW)模2128
返回值应当被处理为整数。移动台应当在接收到这个消息后30秒内发送MS密钥响应消息。
如果移动台不能根据所描述那样计算MS_RESULT值,则移动台应当将RESULT_CODE设置为‘00000001’,“被拒绝-未知原因”。移动台应当在接收到这个消息后30秒内发送MS密钥响应消息。
密钥产生请求消息
当MS在412从OTASP/IOTA服务器接收到密钥产生请求时,MS发送响应。
如果移动台未接收到MS密钥请求消息,则移动台应当通过下述方式来指示错误状况:将RESULT_CODE设置为‘00000110’,“被拒绝-在这个模式中未预期的消息”。移动台应当在接收到这个消息后750毫秒内发送密钥产生响应消息。
如果移动台已经接收到MS密钥请求消息并且返回了不是‘00000000’(即,“被接受-操作成功”)的RESULT CODE,则移动台应当通过下述方式来指示错误状况:将RESULT_CODE设置为‘00000110’,“被拒绝-在这个模式中未预期的消息”。移动台应当在接收到这个消息后750毫秒内发送密钥产生响应消息。
如果移动台已经接收了具有等于0的BS_RESULT值的密钥产生请求消息,则移动台应当将RESULT_CODE设置为‘00000001’,“被拒绝-未知原因”。移动台然后应当在接收到这个消息后750毫秒内发送密钥产生响应消息。
否则,如果在MS密钥请求消息中接收的A_KEY_P_REV的值等于下列情况,则移动台应当计算A-key、A-key和根密钥组合或者(eHRPD)根密钥的值:
‘00000010’,根据5.1.3计算A-key,例如,移动台应当计算公共密钥K=BS_RESULTS X模PARAM_PS。移动台应当将结果K的64个最低有效比特存储为A_KEY_TEMPS
‘00000011’,根据5.3.3计算A-key和根密钥;
‘00000100’,根据5.3.4计算根密钥,例如,移动台应当计算根密钥RK=BS_RESULTS X模PARAM_PS。移动台应当将结果RK的128个最低有效比特存储为RK_TEMPS
‘00000101’,根据5.5.3来计算根密钥;
‘00000111’,根据5.7.3来计算eHRPD根密钥,例如eHRPD根密钥eRK=BS_RESULTS X模PARAM_PS。移动台应当将结果eRK的128个最低有效比特存储为eHRPD_K_TEMPS
‘00001000’,根据5.9.3计算eHRPD根密钥,例如eHRPD根密钥eRK=SHA-256(0x00000003|0x00000C80(这个值被设置为MS_PARAM的比特长度)|MS_PARAM|MS_PARAM),其中,
MS_PARAM=MS_PW|
PARAM_GS X模PARAM_PS|
(BS_RESULTS/BS_PW_HASH)模PARAM_PS|
((BS_RESULTS/BS_PW_HASH)X)模PARAM_PS
移动台应当将结果eRK的128个最低有效比特存储为eHRPD_K_TEMPS
如果移动台未成功地如所描述那样分别计算A-key、A-key和根密钥组合或者(eHRPD)根密钥,则移动台应当将RESULT_CODE设置为‘00000001’,“被拒绝-未知原因”。移动台应当然后在接收到这个消息后30秒内发送密钥产生响应消息。
如果移动台成功地如所描述那样分别计算A-key、A-key和根密钥组合或者(eHRPD)根密钥,则移动台应当将RESULT_CODE设置为‘00000000’,“被接受-操作成功”。移动台应当然后在接收到这个消息后30秒内发送密钥产生响应消息。
密钥产生响应消息,3.5.1.4
在414,MS发送密钥产生响应消息。所述密钥产生响应消息具有下面的可变长度格式:
  字段   长度(比特)
  OTASP_MSG_TYPE(‘00000011’)   8
  RESULT_CODE   8
  MS_RESULT_LEN   8
  MS_RESULT   8×MS_RESULT_LEN
OTASP_MSG_TYPE——OTASP数据消息类型。移动台应当将这个字段设置为‘00000011’。
RESULT_CODE——密钥交换结果码。移动台应当使用在表3.5.1.2-1中限定的值来设置这个字段以指示接受或者拒绝状态。
MS_RESULT_LEN——MS_RESULT字段的长度。移动台应当将这个字段设置为在MS_RESULT字段中的八位字节的数量。
MS_RESULT——移动台计算结果。
如果在MS密钥请求消息中接收的A_KEY_P_REV等于‘00000010’,则移动台应当将这个字段设置为等于在5.1.2中所描述的MS_RESULT的值,MS_RESULT=PARAM_Gs X模PARAM_Ps
如果在MS密钥请求消息中接收的A_KEY_P_REV等于‘00000011’或者‘00000100’,则移动台应当将这个字段设置为等于在5.3.2中所描述的MS_RESULT的值,MS_RESULT=PARAM_Gs X模PARAM_Ps
如果在MS密钥请求消息中接收的A_KEY_P_REV等于‘00000101’,则移动台应当将这个字段设置为等于在5.5.2中所描述的MS_RESULT的值或者如下MS_PW_HASH:
MS_PW_HASH=SHA-1(0x00000001,0x00000001,MS_PW)模2128|
SHA-1(0x00000001,0x00000002,MS_PW)模2128|
SHA-1(0x00000001,0x00000003,MS_PW)模2128|
SHA-1(0x00000001,0x00000004,MS_PW)模2128|
SHA-1(0x00000001,0x00000005,MS_PW)模2128|
SHA-1(0x00000001,0x00000006,MS_PW)模2128|
SHA-1(0x00000001,0x00000007,MS_PW)模2128|
SHA-1(0x00000001,0x00000008,MS_PW)模2128|
SHA-1(0x00000001,0x00000009,MS_PW)模2128.
移动台应当计算MS_RESULT=(MS_PW_HASH*PARAM_Gs X)模PARAM_Ps。SHA-1是指在下述文献中规定的FIPS-180散列函数:C.S0024-A,“cdma2000 High Rate Packet Data Air Interface Specification”,April 2004。MS_PW_HASH在相乘之前可以是减小的模PARAM_PS以简化实现。
如果在MS密钥请求消息中接收的A_KEY_P_REV等于‘00000111’,则移动台应当将这个字段设置为在5.7.2中所描述的MS_RESULT的值,MS_RESULT=PARAM_Gs X模PARAM_Ps
如果在MS密钥请求消息中接收的A_KEY_P_REV等于‘00001000’,则移动台应当将这个字段设置为在5.9.2中所描述的MS_RESULT的值,移动台应当计算MS_PW_HASH如下:
MS_PW_HASH=SHA-256(0x00000001,0x00000001,MS_PW)模2256|
SHA-256(0x00000001,0x00000002,MS_PW)模2256|
SHA-256(0x00000001,0x00000003,MS_PW)模2256|
SHA-256(0x00000001,0x00000004,MS_PW)模2256|
SHA-256(0x00000001,0x00000005,MS_PW)模2128.
返回值应当被处理为整数。SHA-256是指在美国标准技术研究院的文献:″Secure Hash Standard″,FIPS 180-2,With Change Notice 1dated February2004,August 2002中规定的FIPS-180-2散列函数。移动台应当计算MS_RESULT=(MS_PW_HASH*PARAM_GS X)模PARAM_PS。MS_PW_HASH在相乘之前可以是减小的模PARAM_PS以简化实现。
eHRPD_DATA AKA算法能力参数,3.5.8.15
eHRPD AKA算法能力参数块的PARAM_DATA字段由具有8比特长度的AKA_ALGORITHM构成
 字段   长度(比特)
 AKA_ALGORITHM   8
AKA_ALGORITHM——eHRPD AKA认证算法比特映射,用于指示移动台支持哪些认证算法。移动台应当将这个字段设置为比特映射形式的值如下:
Figure GDA0000133846360000191
如果移动台支持对应的操作模式,则移动台应当将每个子字段设置为‘1’;否则,移动台应当将子字段设置为‘0’。
RESERVED——保留比特。移动台应当在需要时添加保留比特,以便使得整个参数块的长度等于整数数量的八位字节。移动台应当将这个字段设置为‘0000000’。
eHRPD MILENAGE算法参数,3.5.8.16
eHRPD MILENAGE算法参数包括下面的字段:
  字段   长度(比特)
  OP_PARAM_VALUE   128
  OP_PARAM_TYPE   1
  保留   7
OP_PARAM_VALUE——128比特的MILENAGE运营商可变算法配置字段(参见[TS 35.205])。
OP_PARAM_TYPE——如果这个比特是‘0’,则移动台应当将OP_PARAM_VALUE看作在[bb]中定义的OP参数;否则,移动台将OP_PARAM_VALUE看作在[TS 35.205]中定义的OPc参数。
RESERVED——保留比特。需要另外的保留比特以便使得整个参数块的长度等于整数数量的八位字节。移动台应当将这些比特设置为‘0’。
基站过程
MS密钥请求消息,4.5.1.3
如图4中所示,在408,从接入系统向MS发送MS密钥请求消息。所述MS密钥消息具有下面的可变长度格式:
  字段   长度(比特)
  OTASP_MSG_TYPE(‘00000010’)   8
  A_KEY_P_REV   8
  PARAM_P_LEN   0或8
  PARAM_P   0或8x PARAM_P_LEN
  PARAM_G_LEN   0或8
  PARAM_G   0或8x PARAM_G_LEN
OTASP_MSG_TYPE——OTASP数据消息类型。基站将这个字段设置为‘00000010’。
A_KEY_P_REV——密钥交换协议版本。基站应当将这个字段设置为针对2G A-key产生的‘00000010’、针对组合的2G A-key和3G根密钥产生的‘00000011’、针对3G根密钥产生的‘00000100’,或者针对增强的3G根密钥产生的‘00000101’、针对eHRPD根密钥产生的‘00000111’,或者针对增强的eHRPD根密钥产生的‘00001000’。
PARAM_P_LEN——PARAM_P字段的长度。如果A_KEY_P_REV=‘00000010’,则基站应当将这个字段设置为在PARAM_P字段中的八位字节的数量,并且基站应当将这个字段设置为‘01000000’。如果A_KEY_P_REV>‘00000010’,则基站应当省略这个字段。
PARAM_P——密钥交换参数P。如果A_KEY_P_REV=‘00000010’,则基站应当如5.2.1中所描述那样设置这个字段。如果A_KEY_P_REV>‘00000010’,则基站应当省略这个字段。
PARAM_G_LEN——PARAM_G字段的长度。如果A_KEY_P_REV=‘00000010’,则基站应当将这个字段设置为在PARAM_G字段中的八位字节的数量,并且基站应当将这个字段设置为‘00010100’。如果A_KEY_P_REV>‘00000010’,则基站应当省略这个字段。
PARAM_G——密钥交换参数G。如果A_KEY_P_REV=‘00000010’,则基站应当如在5.2.1中所描述那样设置这个字段。如果A_KEY_P_REV>‘00000010’,则基站应当省略这个字段。
密钥产生请求消息,4.5.1.4
在312,向MS发送密钥产生请求消息。所述密钥产生请求消息具有下面的可变长度格式:
  字段   长度(比特)
  OTASP_MSG_TYPE(‘00000011’)   8
  BS_RESULT_LEN   8
  BS_RESULT   8x BS_RESULT_LEN
OTASP_MSG_TYPE——OTASP数据消息类型。基站应当将这个字段设置为‘00000011’。
BS_RESULT_LEN——BS_RESULT字段的长度。基站应当将这个字段设置为在BS_RESULT字段中的八位字节的数量。
BS_RESULT——基站计算结果。如果A_KEY_P_REV=‘00000010’,则基站应当将这个字段设置为等于如5.2.2中所描述的BS_RESULT的值,例如基站应当计算BS_RESULT=PARAM_GY模PARAM_P。如果A_KEY_P_REV=‘00000011’或‘00000100’,则基站应当将这个字段设置为等于如5.4.2中所描述的BS_RESULT的值,例如BS_RESULT=PARAM_GY模PARAM_P。如果A_KEY_P_REV=‘00000101’,则基站应当将这个字段设置为等于如5.6.2中所描述的BS_RESULT的值。如果A_KEY_P_REV=‘00000111’,则基站应当将这个字段设置为等于如5.8.2中所描述的BS_RESULT的值。如果A_KEY_P_REV=‘00001000’,则基站应当将这个字段设置为等于如5.10.2中所描述的BS_RESULT的值。
eHRPD_MILENAGE算法参数,4.5.7.11
eHRPD_MILENAGE算法参数块的PARAM DATA字段由下面的字段构成:
  字段   长度(比特)
  OP_PARAM_VALUE   128
  OP_PARAM_TYPE   1
  保留   7
OP_PARAM_VALUE——128比特的MILENAGE运营商可变算法配置字段(参见[TS 35.205]).
OP_PARAM_TYPE——如果移动台将OP_PARAM_VALUE解释为在[TS35.205]中定义的OP参数,则基站应当将这个比特设置为‘0’;否则,基站应当将这个比特设置为‘1’以向移动台指示OP_PARAM_VALUE要被解释为在[TS35.205]中定义的OPc参数。
保留——保留比特。需要另外的保留比特以便使得整个参数块的长度等于整数数量的八位字节。基站应当将这些比特设置为‘0’。
密钥交换过程,5
对于A_KEY_P_REV=‘00000111’的移动台要求,5.7
Diffie-Hellman密钥协商过程的随机数产生包括下述部分。移动台应当将在计算移动台结果MS_RESULT中使用的PARAM_PS设置为在5.3.1中规定的1024比特的质数(最高有效比特为先)。移动台应当将在计算MS_RESULT中使用的PARAM_GS设置为‘00000010’。移动台应当产生在计算MS_RESULT中使用的随机数X。数X应当具有在5.5.1中列出的属性。
对于移动台结果,移动台应当计算MS_RESULT=PARAM_GS X模PARAM_PS
对于针对A_KEY_P_REV=‘00000111’的eHRPD根密钥计算,移动台应当计算eHRPD根密钥eRK=BS_RESULTS X模PARAM_PS。移动台应当将结果eRK的128个最低有效比特存储为eHRPD_K_TEMPS
对于A_KEY_P_REV=‘00000111’的基站要求,5.8
密钥交换参数根密钥的产生,5.8.1
密钥交换参数根密钥的产生包括下面的部分:基站应当将在计算基站结果BS_RESULT中使用的PARAM_PS设置为在5.4.1中规定的1024比特的质数(最高有效比特为先)。基站应当将在计算BS_RESULT中使用的PARAM_GS设置为‘00000010’。基站应当产生在计算BS_RESULT中使用的随机数Y。数Y应当具有在5.6.1中列出的属性。
基站结果,5.8.2
对于基站结果,基站应当计算BS_RESULT=PARAM_GY模PARAM_P。
对于A_KEY_P_REV=’00000111’的eHRPD根密钥eHRPD_K计算, 5.8.3
对于针对A_KEY_P_REV=‘00000111’的eHRPD根密钥eHRPD_K计算,基站应当计算eHR_D根密钥eRK=MS_RESULTY模PARAM_P。基站应当使用结果eRK的128个最低有效比特作为eHRPD根密钥eHRPD_K。
对于A_KEY_P_REV=‘00001000’的移动台要求,5.9
随机数产生和密钥产生参数,5.9.1
随机数产生和密钥产生参数包括下面的部分。移动台应当将在计算移动台结果MS_RESULT中使用的PARAM_PS设置为在5.3.1中规定的1024比特的质数。移动台应当将在计算MS_RESULT中使用的PARAM_GS设置为‘00001101’。移动台应当产生在计算MS_RESULT中使用的随机数X。数X具有在5.5.1中列出的属性。
移动台结果,5.9.2
对于移动台结果,移动台应当计算MS_PW_HASH如下:
MS_PW_HASH=SHA-256(0x00000001,0x00000001,MS_PW)模2256|
SHA-256(0x00000001,0x00000002,MS_PW)模2256|
SHA-256(0x00000001,0x00000003,MS_PW)模2256|
SHA-256(0x00000001,0x00000004,MS_PW)模2256|
SHA-256(0x00000001,0x00000005,MS_PW)模2128.
移动台应当计算MS_RESULT=(MS_PW_HASH*PARAM_GS X)模PARAM_PS。SHA-256是指在下述文献中规定的FIPS-180-2散列函数:C.S0024-A,“cdma2000 High Rate Packet Data Air Interface Specification”,April 2004。MS_PW_HASH可以在相乘之前是减小的模PARAM_PS以简化实现。
针对A_KEY_P_REV=‘00001000’的eHRPD根密钥计算,5.9.3
对于针对A_KEY_P_REV=‘00001000’的eHRPD根密钥计算,移动台应当计算eHRPD根密钥eRK=SHA-256(0x00000003|0x00000C80(这被设置为MS_PARAM的比特长度)|MS_PARAM|MS_PARAM),
其中,MS_PARAM=MS_PW|
PARAM_GS X模PARAM_PS|
(BS_RESULTS/BS_PW_HASH)模PARAM_PS|
((BS_RESULTS/BS_PW_HASH)X)模PARAM_PS.
移动台应当将结果eRK的128个最低有效比特存储为eHRPD_K_TEMPS
对于A_KEY_P_REV=‘00001000’的基站要求,5.10
基数产生和密钥产生参数,5.10.1
随机数产生和密钥产生参数包括下面的部分。基站应当将在计算基站结果BS_RESULT中使用的PARAM_PS设置为在5.4.1中规定的1024比特的质数(最高有效比特为先)。基站应当将在计算BS_RESULT中使用PARAM_GS设置为‘00001101’。基站应当产生在计算BS_RESULT中使用的随机数Y。数Y应当具有在5.6.1中列出的属性。
基站结果,5.10.2
对于基站结果,基站应当计算BS_PW_HASH,其中
BS_PW_HASH=SHA-256(0x00000002,0x00000001,BS_PW)模2256|
SHA-256(0x00000002,0x00000002,BS_PW)模2256|
SHA-256(0x00000002,0x00000003,BS_PW)模2256|
SHA-256(0x00000002,0x00000004,BS_PW)模2256|
SHA-256(0x00000002,0x00000005,BS_PW)模2128.
基站应当计算BS_RESULT=(BS_PW_HASH*PARAM_GY)模PARAM_PS。BS_PW_HASH可以在相乘之前是减小的模PARAM_PS以简化实现。
eHRPD根密钥eHRPD_K计算,5.10.3
对于eHRPD根密钥eHRPD_K计算,基站应当计算eHRPD根密钥eRK=SHA-256(0x00000003|0x00000C80(这个值被设置为BS_PARAM的比特长度)|BS_PARAM|BS_PARAM),其中
BS_PARAM=BS_PW|
(MS_RESULT/MS_PW_HASH)模PARAM_PS|
PARAM_GY模PARAM_PS|
((MS_RESULT/MS_PW_HASH)Y)模PARAM_PS.
基站应当使用结果eRK的128个最低有效比特作为eHRPD根密钥eHRPD_K。
图6是通信系统的实施例的框图,该通信系统可以被配置来执行上述方法,所述通信系统包括在MIMO系统600中的发射机系统610(也称为接入点)和接收机系统650(也称为接入终端)。在发射机系统610,从数据源612向发射(TX)数据处理器614提供多个数据流的业务数据。
在一个实例中,每个数据流通过相应的发射天线来进行发射。TX数据处理器614基于为每个数据流选择的特定编码方案来对该数据流的业务数据进行格式化、编码和交织,以提供编码数据。
可以使用OFDM技术来将每个数据流的编码数据与导频数据进行复用。导频数据通常是以已知方式处理的已知数据模式,并且可以在接收机系统处用于估计信道响应。然后,基于为每个数据流选择的特定调制方案(例如,BPSK、QSPK、M-PSK或M-QAM)来对该数据流的复用的导频和编码数据进行调制(即,符号映射),以提供调制符号。用于每个数据流的数据速率、编码和调制可以通过由处理器630执行的指令来确定。
然后,将所有数据流的调制符号提供给TX MIMO处理器620,其可以进一步处理调制符号(例如,进行OFDM)。然后,TX MIMO处理器620将NT个调制符号流提供给NT个发射机(TMTR)622a到622t。在特定实施例中,TX MIMO处理器620对数据流的符号以及发射该符号的天线应用波束成形权重。
每个发射机622接收并处理相应的符号流以提供一个或多个模拟信号,并且进一步对该模拟信号进行调节(例如,放大、滤波和上变频)以提供适于通过MIMO信道进行传输的调制信号。然后,分别从NT个天线624a到624t发射来自发射机622a到622t的NT个调制信号。
在接收机系统650处,通过NR个天线652a到652r来接收所发射的调制信号,并且将从每个天线652所接收信号提供给相应的接收机(RCVR)654a到654r。每个接收机654对各个接收到的信号进行调节(例如,滤波、放大和下变频),对调节后的信号进行数字化以提供采样,并且进一步处理这些采样以提供相应的“接收到的”符号流。
然后,RX数据处理器660基于特定的接收机处理技术来接收并处理来自NR个接收机654的NR个接收到的符号流,以提供NT个“检测到的”符号流。然后,RX数据处理器660对每个检测到的符号流进行解调、解交织和译码,以恢复该数据流的业务数据。由RX数据处理器660进行的处理是由发射机系统610处的TX MIMO处理器620和TX数据处理器614执行的处理的反处理。
处理器670定期地确定使用哪个预编码矩阵(在下面讨论)。处理器670编制包括矩阵索引部分和秩值部分的反向链路消息。
反向链路消息可以包括与通信链路和/或接收到的数据流相关的各种类型的信息。然后,反向链路消息由TX数据处理器638进行处理,由调制器680进行调制,由发射机654a到654r进行调节并且被发射回发射机系统610,其中TX数据处理器638还从数据源636接收多个数据流的业务数据。
在发射机系统610处,来自接收机系统650的调制信号由天线624接收,由接收机622进行调节,由解调器640进行解调,并且由RX数据处理器642进行处理,以提取由接收机系统650发射的反向链路消息。然后,处理器630确定使用哪个预编码矩阵来确定波束成形权重,随后处理器630对所提取的消息进行处理。
在一个方案中,逻辑信道被分为控制信道和业务信道。逻辑控制信道包括:广播控制信道(BCCH),其是用于广播系统控制信息的DL信道;寻呼控制信道(PCCH),其是传送寻呼信息的DL信道;多播控制信道(MCCH),其是用于针对一个或数个MTCH传输多媒体广播和多播服务(MBMS)调度与控制信息的点对多点DL信道。一般地,在建立RRC连接之后,该信道仅被接收MBMS(注意:过去为MCCH+MSCH)的UE使用。专用控制信道(DCCH)是传输专用控制信息的点对点双向信道,并且被具有RRC连接的UE使用。在一个方案中,逻辑业务信道包括:专用业务信道(DTCH),其是专门为一个UE进行用户信息传送的点对点双向信道。此外,用于点对多点DL信道的多播业务信道(MTCH)用来传输业务数据。
在一个方案中,传输信道(Transport Channel)被分成DL和UL。DL传输信道包括广播信道(BCH)、下行链路共享数据信道(DL-SDCH)以及寻呼信道(PCH),PCH用于支持UE节能(通过网络向UE指示DRX周期),其在整个小区内被广播并且被映射到可以用于其他控制/业务信道的PHY资源上。UL传输信道包括随机访问信道(RACH)、请求信道(REQCH)、上行链路共享数据信道(UL-SDCH)以及多个PHY信道。PHY信道包括一组DL信道和UL信道。
参考图7,在一个方案中,接入终端(在此也被称为如上面所描述的接入设备(AD)、用户装置(UE)或者移动台(MS))可以通过计算机设备700来表示。接入设备700包括处理器701,用于进行与在此描述的一个或多个组件和功能相关联的处理功能。处理器701可以包括单组或者多组处理器或者多核处理器。而且,处理器701可以被实现为集成处理系统和/或分布式处理系统。
接入设备700还包括存储器702,例如用于存储由处理器701执行的应用的本地版本。存储器702可以包括由计算机可使用的任何类型的存储器,诸如随机存取存储器(RAM)、只读存储器(ROM)、磁带、磁盘、光盘、易失性存储器、非易失性存储器及其任何组合。
而且,接入设备700包括通信组件703,其使用在此描述的硬件、软件和服务来建立和维护与一方或多方的通信。通信组件703可以承载在接入设备700上的组件之间以及在接入设备700和外部设备(诸如位于通信网络上的设备和/或串行或者本地连接到接入设备700的设备)之间的通信。例如,通信组件703可以包括一个或多个总线,并且还可以包括分别与发射机和接收机相关联的发射链组件和接收链组件,可操作来与外部设备通过接口连接。
另外,接入设备700还可以包括数据存储设备704,其可以是硬件和/或软件的任何适合组合,其提供结合在此描述的方案所采用的信息、数据库和程序的大容量存储。例如,数据存储设备704可以是处理器701当前未执行的应用的数据储存库。
接入设备700还可以包括用户接口组件705,其可操作来从接入设备700的用户接收输入,并且还可操作来产生要向用户呈现的输出。用户接口组件705可以包括一个或多个输入设备,其中包括但是不限于键盘、数字键盘、鼠标、触敏显示器、导航键、功能键、麦克风、语音识别组件、能够从用户接收输入的任何其他机构,或者它们的任意组合。而且,用户接口组件705可以包括一个或多个输出设备,其中包括但是不限于显示器、扬声器、触觉反馈机构、打印机、能够向用户呈现输出的任何其他机构,或者它们的任何组合。
接入设备700还可以包括OTA供给组件706,其使能经由第一接入系统进行认证证书的OTA供给,其中,所述认证证书用于第二接入系统。例如,OTA供给组件706可以包括用于执行上面在图1-4中描述的过程的硬件、软件、固件、逻辑或者计算机可执行指令的一个或者任何组合。
接入设备700还可以包括发射机707和接收机708,用于发射用于认证证书的空中供给的呼叫始发或者请求,和用于接收这样的通信和供给。
接入设备700还可以包括认证证书组件709,其能够经由接入系统以空中方式被供给。
图8说明了用于在MS处供给用于第二接入系统的认证证书的示例性网络装置的方案,所述第二接入系统缺少空中供给。通过计算机设备800来说明在图8中的网络装置。网络装置800包括处理器801,用于进行与在此描述的一个或多个组件和功能相关联的处理功能。处理器801可以包括单组或者多组处理器或者多核处理器。而且,处理器801可以被实现为集成处理系统和/或分布式处理系统。
网络装置800还包括存储器802,例如用于存储由处理器801执行的应用的本地版本。存储器802可以包括由计算机可使用的任何类型的存储器,诸如随机存取存储器(RAM)、只读存储器(ROM)、磁带、磁盘、光盘、易失性存储器、非易失性存储器及其任何组合。
而且,网络设备800包括通信组件803,其使用在此描述的硬件、软件和服务来建立和维护与一方或多方的通信。通信组件803可以承载在网络装置800上的组件之间以及在网络装置800和外部设备(诸如位于通信网络上的设备和/或串行或者本地连接到网络装置800的设备)之间的通信。例如,通信组件803可以包括一个或多个总线,并且还可以包括分别与发射机和接收机相关联的发射链组件和接收链组件,可操作来与外部设备通过接口连接。
另外,网络装置800还可以包括数据存储设备804,其可以是硬件和/或软件的任何适合组合,其提供结合在此描述的方案所采用的信息、数据库和程序的大容量存储。例如,数据存储设备804可以是处理器801当前未执行的应用的数据储存库。
网络装置800还可以包括用户接口组件805,其可操作来从网络装置800的用户接收输入,并且还可操作来产生要向用户呈现的输出。用户接口组件805可以包括一个或多个输入设备,其中包括但是不限于键盘、数字键盘、鼠标、触敏显示器、导航键、功能键、麦克风、语音识别组件、能够从用户接收输入的任何其他机构,或者它们的任意组合。而且,用户接口组件805可以包括一个或多个输出设备,其中包括但是不限于显示器、扬声器、触觉反馈机构、打印机、能够向用户呈现输出的任何其他机构,或者它们的任何组合。
网络装置800还可以包括OTA供给系统806,其被配置来在MS处执行认证证书的OTA供给,其中,所述认证证书用于第二接入系统。例如,OTA供给系统806可以包括用于执行上面在图1-4中描述的过程的硬件、软件、固件、逻辑或者计算机可执行指令的一个或者任何组合。
网络装置800还可以包括协议能力确定器,用于确定正在请求OTA供给的MS的协议能力。这允许供给系统在MS处执行认证证书的适当供给。
网络装置800还可以包括接收机807和发射机808,用于从MS接收通信和用于向MS发送通信,以及用于发射用于在MS处执行认证证书的OTA供给的信息。
参考图9,在另一个方案中,说明了系统900,系统900从另一个接入系统接收用于一个接收系统的认证证书的OTA供给。例如,系统900可以至少部分地位于计算机设备、移动设备等中。应当明白,系统900被表示为包括功能块,所述功能块可以是表示由处理器、软件或者其组合(例如固件)实现的功能的功能块。系统900包括可以协同操作的电子组件的逻辑组902。例如,逻辑组902可以包括用于连接到第一接入系统的模块904。所述第一接入系统可以例如是CDMA2000系统,诸如OTASP或IOTA。
而且,逻辑组902可以包括用于请求用于第二接入系统的认证证书的空中供给的模块906。所述第二接入系统可以是使用AKA认证方法的3GPP系统。
而且,逻辑组902可以包括用于接收用于第二接入系统的认证证书的空中供给的模块908。用于第二接入系统的认证证书的空中供给可以包括Diffie-Hellman密钥协商或交换密码认证Diffie-Hellman密钥。被供给的认证证书可以包括以下项中的任意一项:3GPP AKA认证根密钥(K)、AKA认证相关参数和要在向第二接入系统的认证中使用的AKA认证算法。AKA认证相关参数可以包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。接收空中供给的认证证书还可以包括:从第一接入系统接收AKA认证算法的空中定制。例如,AKA认证算法可以是MILENAGE,并且认证算法的定制可以包括OP或者OPc参数的定制。
逻辑组902还可以包括用于连接到第二接入系统的模块910,和用于提供所供给的认证证书以便执行向第二系统的认证的模块912。
另外,系统900可以包括存储器914,其保存用于执行与电子组件904、906、908、910和912相关联的功能的指令。虽然被示出为在存储器914外部,但是应当明白,电子组件904、906、908、910和912中的一个或多个可以位于存储器914内。
参考图10,说明了系统1000,系统1000在接入设备处执行用于另一个接入系统的认证证书的OTA供给。例如,系统1000可以至少部分地位于计算机设备、移动设备等中。应当明白,系统1000被表示为包括功能块,所述功能块可以是表示由处理器、软件或者其组合(例如固件)实现的功能的功能块。系统1000包括可以协同操作的电子组件的逻辑组1002。例如,逻辑组1002可以包括用于在第一接入系统处接收始发自接入设备的呼叫的模块1004。所述第一接入系统可以例如是CDMA2000系统,诸如OTASP或IOTA。
而且,逻辑组1002可以包括用于将呼叫引导到供给系统的模块1006。
而且,逻辑组1002可以包括用于确定接入设备的协议能力的模块1008。
逻辑组1002还可以包括用于在接入设备处经由第一接入系统来执行认证证书的空中供给的模块1010,其中,所述认证证书用于第二接入系统。
第二接入系统可以是使用AKA认证方法的3GPP系统。用于第二接入系统的认证证书的空中供给可以包括Diffie-Hellman密钥协商或密码认证的Diffie-Hellman密钥协商。被供给的认证证书可以包括以下项中的任意一项:3GPP AKA认证根密钥(K)、AKA认证相关参数和要在向第二接入系统的认证中使用的AKA认证算法。AKA认证相关参数可以包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。接收空中供给的认证证书还可以包括:从第一接入系统接收AKA认证算法的空中定制。例如,AKA认证算法可以是MILENAGE,并且认证算法的定制可以包括OP或者OPc参数的定制。
另外,系统1000可以包括存储器1012,其保存用于执行与电子组件1004、1006、1008和1010相关联的功能的指令。虽然被示出为在存储器1012外部,但是应当明白,电子组件1004、1006、1008和1010的一个或多个可以位于存储器1012内。
缩写和表格
下面的缩写适用于在此描述的示例性实现。
3GPD-第三代分组数据
接入认证-其中接入终端(AT)被AN-AAA(接入网络认证、授权和计费实体)认证的过程。
A-key-在移动台和HLR/AC中存储的秘密,为64比特模式。其用于产生/更新移动台的共享秘密数据并且验证SPASM。
认证-基站使用来验证移动台的身份的过程。
认证中心(AC)-管理与移动台相关的认证信息的实体。
基站-用于与移动台通信的固定站。根据环境,术语基站可以指小区、在小区中的扇区、MSC、OTAF或者无线系统的其他部分。(也参见MSC和OTAF)。
eHRPD根密钥:在eHRPD移动台和演进型分组核心(EPC)网络之间共享的128比特模式的秘密。
电子序列号(ESN)-由移动台制造商分配的32比特的数,用于唯一地标识移动台装置。
前向CDMA信道-从基站到移动台的CDMA信道。前向CDMA信道包含使用特定的导频PN偏移在CDMA频率分配上传输的一个或多个代码信道。
前向业务信道-代码信道,用于将用户和信令业务从基站传送到移动台。
本地位置寄存器(HLR)-位置寄存器,向其分配了MIN/IMSI以用于诸如用户信息的记录目的。
HRPD-高速率分组数据。
IMPU-IMS公共身份。
国际移动台身份(IMSI)-在ITU-T建议E.212中规定的用于识别陆地移动服务中的台的方法。
ICCID(集成电路卡标识符)/UIMID(用户身份模块标识符)-用于识别智能卡的全球唯一号。
移动装置标识符(MEID)/IMEI(国际移动装置身份)-由移动台制造商分配的56比特的数,用于唯一地标识移动台装置。
移动台-固定或者移动的台或者接入设备,其用作与基站的终端用户无线通信链路。移动台包括便携单元(例如手持个人单元)和在车辆中安装的单元。
移动交换中心(MSC)-提供无线无线电电话服务的装置的配置。也称为移动电话交换局(MTSO)。
网络-网络是无线系统的子集,诸如广域无线网、一组专用基站,或者被建立来处理特殊要求的一组基站。网络可以如所需要的那样小或者大,只要其被完全包含在系统中。也参见系统。
网络标识(NID)-唯一地标识在无线系统中的网络的号。也参见系统标识。
号码分配模块(NAM)-在移动台中存储的一组MIN/IMSI相关参数。
空中服务供给功能(OTAF)-控制OTASP功能和消息传送协议的网络装置的配置。
空中参数管理(OTAPA)-网络启动的OTASP处理,用于通过空中接口来供给移动台操作参数。
空中服务供给(OTASP)-通过空中接口来供给移动台操作参数的处理。
P-CSCF-代理呼叫会话控制功能。
优选用户区列表(PUZL)-向移动台提供关于移动用户所预订到的用户区的信息的列表。
PDSN-分组数据服务节点。
安全模式-用于以加密形式在移动台和基于网络的供给实体之间传送操作参数的网络启动的模式。
SIP-会话发起协议。
服务编程锁定(SPL)-一种保护,其被提供来通过验证服务编程代码(SPC)来防止未经授权的网络实体进行特定移动台参数的空中供给。
用户参数管理安全机制(SPASM)-安全机制,用于防止活动NAM的参数和指示在OTAPA会话期间被未经授权的网络实体编程。
系统标识(SID)-用于唯一地标识无线系统的号。
优选漫游的系统选择(SSPR)-一种特征,其根据以优选漫游列表(PR_LISTs-p)的形式在移动台中存储的一组另外的参数,来增强移动台系统获取处理。
业务信道-在移动台和基站之间用于用户和信令业务的通信路径。术语业务信道暗含前向业务信道和反向业务信道对。也参见前向业务信道和反向业务信道。
UMB-超移动宽带。
数量信息用于描述移动台的操作。下面的下标用于使数字信息的使用清晰:“s”指示在移动台的临时存储器中存储的值,“r”指示由移动台通过前向模拟控制信道或者CDMA前向信道接收的值,“p”指示在移动台的永久安全和标识存储器中设置的值,而“s-p”指示在移动台的半永久安全和标识存储器中存储的值。
下面定义了与OTASP特别相关的数量信息。
A_KEY_P_REVp-移动台密钥交换过程的协议修订版。
A_KEY_TEMPs-在移动台中临时存储的64比特模式的秘密。
AUTH_OTAPAs-所计算的18比特结果AUTH_SIGNATURE,用于验证SPASM。
BCMCS_Kp-在移动台中永久存储的128比特模式的秘密。
BS_PARAM-用于3G根密钥计算的基站过程中使用的变量。
BS_PW-在基站中存储的128比特的用户密码。其具有与MS_PW相同的值。
BS_PW_HASH-所计算的基站用户密码BS_PW的1152比特的散列。
BS_RESULT-基站结果。
eHRPD_Kp-在移动台中永久存储的128比特模式的秘密。
eHRPD_K_TEMPs-在移动台中临时存储的128比特模式的秘密。
G-用于Diffie-Hellman密钥协商过程的产生器。
IMS_Kp-在移动台中永久存储的128比特模式的秘密。
ITM_KEY-在用于计算服务密钥的过程中使用的中间密钥。
MS_PARAM-在用于3G根密钥计算的移动台过程中使用的变量。
MS_PW-在移动台中存储的128比特的用户密码。其具有与BS_PW相同的值。
MS_PW_HASH-所计算的移动台用户密码MS_PW的1152比特的散列。
MS_RESULT-移动台结果。
NAM_LOCKp-由基站在移动台中设置的锁定指示,其限定了在OTAPA会话期间在活动NAM中可编程参数的SPASM保护。
NULL-不在字段或者变量的规定范围中的值。
NAM_LOCKs-对于后续OTAPA会话的活动NAM的SPASM保护的网络控制状态。
NAM_LOCK_STATE-用于OTAPA的移动台可编程参数的锁定状态。如果NAM_LOCK_STATE=‘1’,则所述参数对于网络启动的编程被锁定。
P-用于Diffie-Hellman密钥协商过程的质数。
PARAM_G-密钥交换参数G。
PARAM_Gs-密钥交换参数G。
PARAM_P-密钥交换参数P。
PARAM_Ps-密钥交换参数P。
PR_LISTs-p-优选漫游列表。包含用于帮助移动台系统选择和获取处理的信息。当断电时被移动台保留。
PRL_BLOCK_ID_CURRENTs-在移动台中临时存储的当前优选漫游列表的参数块标识符。
PUZLs-p-优选用户区列表。包含在用户区选择和获取处理期间帮助移动台的信息。当断电时被移动台保留。
PUZL_P_REVp-移动台PUZL下载过程的协议修订版。
RAND_SEED-在移动台中临时存储的128比特模式的秘密。
RKp-在移动台中永久存储的128比特模式的秘密。
RK_TEMPs-在移动台中临时存储的128比特模式的秘密。
SPCp-服务编程代码。向移动台分配并且被授权的网络实体已知的秘密代码。基站使用等于SPCp的代码来对移动台参数进行解锁以用于编程或者重新编程。
SPCs-在移动台中临时存储的服务编码代码。
SPL_P_REVp-移动台服务编程锁定的协议修订版。
SP_LOCK_STATE-移动台可编程参数的锁定状态。如果SP_LOCK_STATE=‘1’,则所述参数对于编程被锁定。
SSPR_P_REVp-移动台SSPR下载过程和PRL格式化的协议修订版。
SECURE_MODE_INDs-安全模式指示。如果SECURE_MODE_INDs=‘1’,则当前的编程会话在安全模式中。
WLAN_Kp-在移动台中永久存储的128比特模式的秘密。
X-由移动台产生的随机数。
Y-由基站产生的随机数。
可以在3GPP2网站http://www.3gpp2.org/Public_html/specs/C.S0016-D%20v1.0_OTASP.pdf处的C.S.0016-D v1.0中找到移动台的OTA服务供给的另外的说明,特此通过引用并入该文献的全部内容。
下面的下标用于使用于描述移动台的操作的数字信息清晰:“s”指示在移动台的临时存储器中存储的值,“r”指示由移动台通过前向模拟控制信道或者CDMA前向信道接收的值,“p”指示在移动台的永久安全和标识存储器中设置的值,而“s-p”指示在移动台的半永久安全和标识存储器中存储的值。
每个移动台被分配单个唯一的32比特的序列号(ESN)或者单个唯一的56比特的二进制序列号(MEID),在未使移动台无效的情况下,它们不能被用户改变。
表3.5.1.7-1包括特征标识符信息:
Figure GDA0000133846360000371
Figure GDA0000133846360000381
Figure GDA0000133846360000392
Figure GDA0000133846360000401
Figure GDA0000133846360000421
表3.5.8-1列出了在3GPD配置请求消息和3GPD配置响应消息中使用的参数块的类型。
Figure GDA0000133846360000422
Figure GDA0000133846360000431
3GPD参数块-表4.5.7-1
下面的表4.5.7-1列出了在3GPD下载请求消息和3GPD下载响应消息中使用的参数块的类型。
5.2.1密钥交换参数的产生。基站应当根据下面的标准来选择和存储512比特的质数P:
·应当随机地选择P。
·(P-1)应当具有大质数因子。
·P的最高有效比特应当等于‘1’。
基站应当将MS密钥请求消息的PARAM_P设置为P。
基站应当选择160比特数G,使得它大于1并且小于(P-1)。基站应当将MS密钥请求消息的PARAM_G设置为G。
基站应当产生在计算基站结果BS_RESULT中使用的随机数Y。数Y应当具有下面的属性:
·所产生的数应当是160比特长。
·所产生的数应当不小于4。
·所产生的数应当在其范围上具有均匀的统计分布。
·在编制由同一基站发送的不同密钥产生请求消息中使用的数应当在统计上不相关。
·在编制由不同基站发送的密钥产生请求消息中使用的数应当在统计上不相关。
5.3.1Diffie-Hellman密钥协商过程的随机数产生。移动台应当将在计算机移动台结果MS_RESULT中使用的PARAM_PS设置为下面的1024比特质数(最高有效位为先):
0xFFFFFFFF 0xFFFFFFFF 0xC90FDAA2 0x2168C234 0xC4C6628B
0x80DC1CD1 0x29024E08 0x8A67CC74 0x020BBEA6 0x3B139B22
0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D
0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6
0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB
0x5A899FA5 0xAE9F2411 0x7C4B1FE6 0x49286651 0xECE65381
0xFFFFFFFF 0xFFFFFFFF
移动台应当将在计算MS_RESULT中使用的PARAM_GS设置为‘00000010’。
移动台应当产生用于计算MS_RESULT的随机数X。数X应当具有下面的属性:
·所产生的数应当是256比特长。
·所产生的数应当不小于4。
·所产生的数应当在其范围上具有均匀的统计分布。
·在编制由同一移动台发送的不同密钥产生响应消息中使用的数应当在统计上不相关。
·在编制每个密钥产生响应消息中使用的数应当不可从先前使用的数或者移动台指示符值得出
·在编制由不同基站发送的密钥产生响应消息中使用的数应当在统计上不相关。
上面使用的数可以是OAKLEY IETF标准的一部分。但是,也可以使用任何适当的质数。
5.3.3对于A_KEY_P_REV=‘00000011’的密钥和根密钥计算
移动台应当计算对于f0的输入、随机秘密种子之一,RAND_SEED_TEMP=BS_RESULTSX模PARAM_PS。移动台将结果RAND_SEED_TEMP的128个最低有效比特存储为RAND_SEED。
通过调用在[8]的部分2.2.2.2中规定的算法函数f0来产生A_KEY和3G根密钥RK。因为f0的每次调用产生64比特,因此对于总共192比特需要三次f0调用。
对于算法函数f0的输入参数应当被设置如下:
·K参数应当被设置为RAND_SEED。
·fi参数应当被设置为0x41。
·Fmk参数应当被设置为0x41484147。
移动台应当调用f0。
移动台应当将f0的调用结果的最高有效比特存储为A_KEY_TEMPS
移动台应当将f0的调用的剩余的128比特存储为RK_TEMPS
5.4.1密钥交换参数根密钥的产生。这涉及对于A_KEY_P_REV=‘00000011’或‘00000100’的基站要求。基站应当将在计算基站结果BS_RESULT中使用的PARAM_PS设置为下面的1024比特质数(最高有效比特为先):
0xFFFFFFFF 0xFFFFFFFF 0xC90FDAA2 0x2168C234 0xC4C6628B
0x80DC1CD1 0x29024E08 0x8A67CC74 0x020BBEA6 0x3B139B22
0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D
0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6
0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB
0x5A899FA5 0xAE9F2411 0x7C4B1FE6 0x49286651 0xECE65381
0xFFFFFFFF 0xFFFFFFFF
基站应当将在计算BS_RESULT中使用的PARAM_GS设置为‘00000010’。
基站应当产生在计算BS_RESULT中使用的随机数Y。数Y应当具有下面的属性:
·所产生的数应当是256比特长。
·所产生的数应当不小于4。
·所产生的数应当在其范围上具有均匀的统计分布。
·在编制由同一基站发送的不同密钥产生请求消息中使用的数应当在统计上不相关。
·在编制由不同基站发送的密钥产生请求消息中使用的数应当在统计上不相关。
5.5对于A_KEY_P_REV=‘00000101’的移动台要求
5.5.1随机数产生和密钥产生参数
移动台应当将在计算移动台结果MS_RESULT中使用的PARAM_PS设置为在5.3.1中规定的1024比特质数。
移动台应当将在计算MS_RESULT中使用的PARAM_GS设置为‘00001101’。
移动台应当产生用于计算MS_RESULT的随机数X。数X应当具有下面的属性:
·所产生的数应当是384比特长。
·所产生的数应当不小于4。
·所产生的数应当在其范围上具有均匀的统计分布。
·在编制由同一基站发送的不同密钥产生响应消息中使用的数应当在统计上不相关。
·在编制每个密钥产生响应消息中使用的数应当不可从先前使用的数或者移动台指示符值得出。
·在编制由不同基站发送的密钥产生响应消息中使用的数应当在统计上不相关。
5.5.2移动台结果
移动台应当计算MS_PW_HASH如下:
MS_PW_HASH=SHA-1(0x00000001,0x00000001,MS_PW)模2128|
SHA-1(0x00000001,0x00000002,MS_PW)模2128|
SHA-1(0x00000001,0x00000003,MS_PW)模2128|
SHA-1(0x00000001,0x00000004,MS_PW)模2128|
SHA-1(0x00000001,0x00000005,MS_PW)模2128|
SHA-1(0x00000001,0x00000006,MS_PW)模2128|
SHA-1(0x00000001,0x00000007,MS_PW)模2128|
SHA-1(0x00000001,0x00000008,MS_PW)模2128|
SHA-1(0x00000001,0x00000009,MS_PW)模2128.
移动台应当计算MS_RESULT=(MS_PW_HASH*PARAM_GS X)模PARAM_PS。MS_PW_HASH可以在相乘之前是减小的模PARAM_PS以简化实现。SHA-1是指下述文献中规定的FIPS-180散列函数:C.S0024-A,“cdma2000 High Rate Packet Data Air Interface Specification”,April 2004。
5.5.3对于A_KEY_P_REV=‘00000101’的根密钥计算
移动台应当计算根密钥RK=SHA-1(0x00000003|0x00000C80(这个值被设置为MS_PARAM的比特长度)|MS_PARAM|MS_PARAM),
其中MS_PARAM=MS_PW|
PARAM_GS X模PARAM_Ps|
(BS_RESULTS/BS_PW_HASH)模PARAM_Ps|
((BS_RESULTS/BS_PW_HASH)X)模PARAM_PsP。
移动台应当将结果RK的128个最低有效比特存储为RK_TEMPS
5.6对于A_KEY_P_REV=‘00000101’的基站要求
5.6.1随机数产生和密钥产生参数
基站应当将在计算基站结果BS_RESULT中使用的PARAM_PS设置为在5.4.1中规定的下面的1024比特质数(最高有效位为先)。
基站应当将在计算BS_RESULT中使用的PARAM_GS设置为‘00001101’。
基站应当产生在计算BS_RESULT中使用的随机数Y。数Y应当具有下面的属性:
·所产生的数应当是384比特长。
·所产生的数应当不小于4。
·所产生的数应当在其范围上具有均匀的统计分布。
·在编制由同一基站发送的不同密钥产生请求消息中使用的数应当在统计上不相关。
·在编制由不同基站发送的密钥产生请求消息中使用的数应当在统计上不相关。
5.6.2基站结果
基站应当计算BS_PW_HASH,其中
BS_PW_HASH=SHA-1(0x00000002,0x00000001,BS_PW)模2128|
SHA-1(0x00000002,0x00000002,BS_PW)模2128|
SHA-1(0x00000002,0x00000003,BS_PW)模2128|
SHA-1(0x00000002,0x00000004,BS_PW)模2128|
SHA-1(0x00000002,0x00000005,BS_PW)模2128|
SHA-1(0x00000002,0x00000006,BS_PW)模2128|
SHA-1(0x00000002,0x00000007,BS_PW)模2128|
SHA-1(0x00000002,0x00000008,BS_PW)模2128|
SHA-1(0x00000002,0x00000009,BS_PW)模2128.
基站应当计算BS_RESULT=(BS_PW_HASH*PARAM_GY)模PARAM_P。BS_PW_HASH在相乘之前可以是减小的模P以简化实现。
在上面的描述中,出于解释的目的,阐明了许多特定细节以提供对一个或多个方案的透彻理解。然而,显而易见地,可以在没有这些特定细节的情况下实践这些方案。
如本申请中所使用的,术语“组件”、“模块”、“系统”等意图包括计算机相关的实体,例如但不限于,硬件、固件、硬件和软件的组合、软件或执行中的软件。例如,组件可以是、但不限于:处理器上运行的进程、处理器、目标程序(object)、可执行程序(executable)、执行线程、程序和/或计算机。作为举例说明,计算设备上运行的应用程序和计算设备都可以是组件。一个或多个组件可以驻留在程序和/或执行线程内,并且组件可以位于一个计算机上,和/或被分布在两个或更多计算机之间。此外,可以从其上存储有各种数据结构的各种计算机可读介质执行这些组件。这些组件可以例如根据具有一个或多个数据分组的信号通过本地和/或远程进程的方式进行通信,例如,通过该信号,来自一个组件的数据与本地系统、分布式系统中的另一组件进行交互,和/或跨越诸如因特网这样的网络与其它系统进行交互。
此外,本文结合终端来描述各种方案,所述终端可以是有线终端或无线终端。终端也可以被称为系统、设备、用户单元、用户站、移动站、移动装置、移动设备、远程站、远程终端、接入终端、用户终端、终端、通信设备、用户代理、用户设备、或用户装置(UE)。无线终端可以是蜂窝电话、卫星电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持设备、计算设备、或连接到无线调制解调器的其他处理设备。此外,本文结合基站来描述各种方案。基站可以用来与无线终端进行通信,并且也可以被称为接入点、节点B或者一些其他术语。
此外,术语“或”意思是包含性的“或”而非排他性的“或”。即,除非另外指明或者可以从上下文清楚看出,否则短语“X采用A或B”意思是自然包含的排列(permutation)中的任意一个。即,以下实例中的任意一个都满足短语“X采用A或B”:X采用A;X采用B;或X采用A和B。此外,除非另外指明或者可以从上下文清楚看出指的是单数形式,否则本申请和所附权利要求中所使用的冠词“一个”应该被一般地解释成表示“一个或多个”。
本文描述的技术可以用于各种无线通信系统,例如码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA(OFDMA)网络、单载波FDMA(SC-FDMA)网络以及其他系统。术语“系统”和“网络”通常可互换地使用。CDMA系统可以实现例如通用陆地无线接入(UTRA)、CDMA2000等等的无线电技术。UTRA包括宽带CDMA(W-CDMA)和CDMA的其他变体。此外,CDMA2000涵盖IS-2000、IS-95和IS-856标准。TDMA系统可以实现例如全球移动通信系统(GSM)这样的无线电技术。OFDMA系统可以实现例如演进型UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE802.20、Flash-等等的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。3GPP长期演进(LTE)是使用E-UTRA的UMTS的版本,其在下行链路上采用OFDMA而在上行链路上采用SC-FDMA。UTRA、E-UTRA、UMTS、LTE和GSM在来自于名为“第三代合作伙伴计划”(3GPP)的组织的文档中有描述。另外,CDMA2000和UMB在来自于名为“第三代合作伙伴计划2”(3GPP2)的组织的文档中有描述。此外,这些无线通信系统还可以包括对等(例如,移动设备对移动设备)的ad-hoc网络系统,后者通常使用不成对的非授权频谱、802.xx无线LAN、蓝牙以及任何其它短距离或长距离无线通信技术。
单载波频分多址(SC-FDMA)是这样一种技术,其利用单载波调制和频域均衡。SC-FDMA系统与OFDMA系统具有相似的性能和基本相同的整体复杂度。SC-FDMA信号由于其固有的单载波结构而具有更低的峰均功率比(PAPR)。SC-FDMA已经引起很大关注,尤其是在上行链路通信中,其中更低的PAPR在发射功率效率方面对移动终端非常有利。在3GPP长期演进(LTE)或演进型UTRA中,使用SC-FDMA技术是针对上行链路多址方案的当前工作假设。
各种方案或特征将根据可以包括多个设备、组件、模块等的系统来加以阐明。应该理解并意识到,各种系统可以包括附加的设备、组件、模块等,和/或可以不包括结合附图所讨论的所有设备、组件、模块等。也可以使用这些方式的组合。
结合本文公开的实施例所描述的各种说明性的逻辑、逻辑块、模块以及电路可以用被设计为执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或者其任意组合来实现或执行。通用处理器可以是微处理器,但是可替代地,处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器还可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP核心协同工作的一个或多个微处理器,或者任何其它这样的配置。此外,至少一个处理器可以包括一个或多个用于执行上面描述的一个或多个步骤和/或操作的模块。
此外,结合本文公开的方案所描述的方法或算法的步骤和/或操作可以用硬件、处理器执行的软件模块,或者两者的组合来直接实施。软件模块可以驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域已知的任何其它形式的存储介质中。示例性存储介质可以被耦合到处理器,从而处理器可以从该存储介质读取信息,并将信息写入其中。可替代地,存储介质可以是处理器的组成部分。此外,在一些方案中,处理器和存储介质可以位于ASIC中。另外,ASIC可以位于用户终端中。可替代地,处理器和存储介质可以作为分立组件而位于用户终端中。另外,在一些方案中,方法或算法的步骤和/或操作可以作为代码和/或指令中的一个或者任意组合或集合而位于机器可读介质和/或计算机可读介质上,所述介质可以被包括在计算机程序产品中。
在一个或多个方案中,所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。如果用软件实现,则这些功能可以作为一个或多个指令或代码在计算机可读介质上被存储或传输。计算机可读介质包括计算机存储介质和通信介质,通信介质包括便于计算机程序从一个位置到另一个位置的传送的任何介质。存储介质可以是计算机可以访问的任何可用介质。通过实例而非限制的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或者其他光盘存储、磁盘存储或其他磁存储器件,或者可以用来装载或存储指令或数据结构形式并且可以被计算机访问的期望的程序代码的任何其他介质。此外,任意连接都可以被称作计算机可读介质。例如,如果使用同轴电缆、光纤电缆、双绞线、数字用户线路(DSL)或无线技术(例如红外、无线电和微波)从网站、服务器或其他远程源发送软件,那么这些同轴电缆、光纤电缆、双绞线、DSL或无线技术(例如红外、无线电和微波)被包括在介质的定义中。如这里所使用的,磁盘(Disk)和光盘(disc)包括致密盘(CD)、激光盘、光盘、数字通用盘(DVD)、软盘以及蓝光盘,其中,磁盘(disk)通常以磁的方式复制数据,而光盘(disc)通常用激光以光的方式复制数据。上面装置的组合也应该被包括在计算机可读介质的范围内。
尽管前面的公开讨论了说明性的方案和/或实施例,但是应该注意到,可以在不偏离所附权利要求所定义的所述方案和/或实施例的范围的情况下,作出各种改变和修改。此外,尽管所描述的方案和/或实施例的部件可能被描述或要求为单数形式,但是除非明确声明限制为单数形式,否则可以设想为复数形式。另外,除非另外声明,否则任何方案和/或实施例的全部或部分都可以与任何其它方案和/或实施例的全部或部分一起使用。

Claims (54)

1.一种用于空中供给的方法,包括:
连接到第一接入系统;
请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;
经由所述第一接入系统来接收用于所述第二接入系统的认证证书的空中供给;
连接到所述第二接入系统;以及
向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
2.根据权利要求1所述的方法,其中,所述认证证书包括认证和密钥协商(AKA)认证证书,所述方法还包括:
使用所述AKA认证证书来执行向所述第二接入系统的AKA认证。
3.根据权利要求2所述的方法,其中,所述第二接入系统包括3GPP核心网络,并且所述第一接入系统是非3GPP核心网络。
4.根据权利要求3所述的方法,其中,所述空中供给包括使用基于Diffie-Hellman的协议来建立密钥。
5.根据权利要求3所述的方法,其中,所述空中供给包括使用Diffie-Hellman协议来交换密码认证密钥。
6.根据权利要求3所述的方法,其中,所空中供给的认证证书包括以下项中的至少一项:3GPP AKA认证根密钥(K)、AKA认证相关参数或者要用于向所述第二接入系统的认证的AKA认证算法。
7.根据权利要求6所述的方法,其中,所空中供给的认证证书包括AKA认证相关参数,并且其中,所述AKA认证相关参数包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。
8.根据权利要求6所述的方法,其中,所空中供给的认证证书包括要用于向所述第二接入系统的认证的AKA认证算法,所述方法还包括:
从所述第一接入系统接收所述认证算法的空中定制。
9.根据权利要求8所述的方法,其中,所述AKA认证算法是MILENAGE,并且其中,所述认证算法的定制包括OP或者OPc参数的定制。
10.根据权利要求8所述的方法,其中,所述第一接入系统包括CDMA2000系统。
11.根据权利要求10所述的方法,其中,所述空中供给是经由空中服务供给(OTASP)来接收的。
12.根据权利要求10所述的方法,其中,所述空中供给是经由空中因特网(IOTA)来接收的。
13.一种用于接收空中供给的装置,所述装置包括:
发射机,用于连接到第一接入系统和第二接入系统;
处理器,用于从所述第一接入系统请求用于所述第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;
接收机,用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给;
存储器,用于存储所接收的用于所述第二接入系统的认证证书的空中供给;以及
通信组件,用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证,从而与所述第二接入系统建立连接。
14.根据权利要求13所述的装置,其中,所述认证证书包括认证和密钥协商(AKA)认证证书,并且其中,所述空中供给包括:使用所述AKA认证证书来执行向所述第二接入系统的AKA认证。
15.根据权利要求14所述的装置,其中,所述第二接入系统包括3GPP核心网络,而所述第一接入系统是非3GPP核心网络。
16.根据权利要求15所述的装置,其中,所述空中供给包括:使用基于Diffie-Hellman的协议来建立密钥。
17.根据权利要求15所述的装置,其中,所述空中供给包括:交换密码认证的Diffie-Hellman密钥协商。
18.根据权利要求15所述的装置,其中,所空中供给的认证证书包括以下项中的至少一项:3GPP AKA认证根密钥(K)、AKA认证相关参数和要用于向所述第二接入系统的认证的AKA认证算法。
19.根据权利要求18所述的装置,其中,所空中供给的认证证书包括AKA认证相关参数,并且其中,所述AKA认证相关参数包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。
20.根据权利要求18所述的装置,其中,所空中供给的认证证书包括要用于向所述第二接入系统的认证的AKA认证算法,并且其中,所述空中供给还包括:从所述第一接入系统接收所述认证算法的空中定制。
21.根据权利要求20所述的装置,其中,所述AKA认证算法是MILENAGE,并且其中,所述认证算法的定制包括OP或者OPc参数的定制。
22.根据权利要求20所述的装置,其中,所述第一接入系统是CDMA2000系统。
23.根据权利要求22所述的装置,其中,所述空中供给是经由空中服务供给(OTASP)来接收的。
24.根据权利要求22所述的装置,其中,所述空中供给是经由空中因特网(IOTA)来接收的。
25.一种用于接收空中供给的装置,所述装置包括:
用于连接到第一接入系统和第二接入系统的模块;
用于请求用于第二接入系统的认证证书的空中供给的模块,其中,所述第二接入系统缺少空中供给过程;
用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给的模块;以及
用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证的模块。
26.被配置来接收空中供给的至少一个处理器,所述处理器包括:
第一模块,用于连接到第一接入系统;
第二模块,用于请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;
第三模块,用于从所述第一接入系统接收用于所述第二接入系统的认证证书的空中供给;
第四模块,用于连接到所述第二接入系统;以及
第五模块,用于向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
27.一种计算机程序产品,包括:
计算机可读介质,所述计算机可读介质包括:
第一组代码,用于使得计算机连接到第一接入系统;
第二组代码,用于使得计算机请求用于第二接入系统的认证证书的空中供给,其中,所述第二接入系统缺少空中供给过程;
第三组代码,用于使得计算机接收用于所述第二接入系统的认证证书的空中供给;
第四组代码,用于使得计算机连接到所述第二接入系统;以及
第五组代码,用于使得计算机向所述第二接入系统提供所供给的认证证书,以便执行向所述第二接入系统的认证。
28.一种用于执行空中供给的方法,所述方法包括:
在第一接入系统处接收始发自接入设备的呼叫;
将所述呼叫引导到供给系统;
确定所述接入设备的协议能力;以及
在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
29.根据权利要求28所述的方法,其中,所述认证证书包括认证和密钥协商(AKA)认证证书。
30.根据权利要求29所述的方法,其中,所述第二接入系统包括3GPP核心网络,而所述第一接入系统是非3GPP核心网络。
31.根据权利要求30所述的方法,其中,执行所述空中供给包括:使用基于Diffie-Hellman的协议来建立密钥。
32.根据权利要求30所述的方法,其中,执行所述空中供给包括:密码认证的Diffie-Hellman密钥协商。
33.根据权利要求30所述的方法,其中,所空中供给的认证证书包括以下项中的至少一项:3GPP AKA认证根密钥(K)、AKA认证相关参数和要用于向所述第二接入系统的认证的AKA认证算法。
34.根据权利要求33所述的方法,其中,所空中供给的认证证书包括AKA认证相关参数,并且其中,所述AKA认证相关参数包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。
35.根据权利要求33所述的方法,其中,所空中供给的认证证书包括所述要用于向所述第二接入系统的认证的AKA认证算法,所述方法还包括:
从所述第一接入系统执行所述认证算法的空中定制。
36.根据权利要求35所述的方法,其中,所述AKA认证算法是MILENAGE,并且其中,所述认证算法的定制包括OP或者OPc参数的定制。
37.根据权利要求35所述的方法,其中,所述第一接入系统是CDMA2000系统。
38.根据权利要求37所述的方法,其中,所述空中供给是经由空中服务供给(OTASP)来执行的。
39.根据权利要求37所述的方法,其中,所述空中供给是经由空中因特网(IOTA)来执行的。
40.一种用于空中供给的装置,所述装置包括:
接收机,用于在第一接入系统处接收始发自接入设备的呼叫;
处理器,用于将所述呼叫引导到供给系统,并且用于确定所述接入设备的协议能力;以及
供给系统,用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
41.根据权利要求40所述的装置,其中,所述认证证书是认证和密钥协商(AKA)认证证书。
42.根据权利要求41所述的装置,其中,所述第二接入系统包括3GPP核心网络,而所述第一接入系统是非3GPP核心网络。
43.根据权利要求42所述的装置,其中,执行所述空中供给包括:使用基于Diffie-Hellman的协议来建立密钥。
44.根据权利要求42所述的装置,其中,执行所述空中供给包括:密码认证的Diffie-Hellman密钥协商。
45.根据权利要求42所述的装置,其中,所空中供给的认证证书包括以下项中的至少一项:3GPP AKA认证根密钥(K)、AKA认证相关参数和要用于向所述第二接入系统的认证的AKA认证算法。
46.根据权利要求45所述的装置,其中,所空中供给的认证证书包括AKA认证相关参数,并且其中,所述AKA认证相关参数包括以下项中的至少一项:是否使用f5来进行SQN隐藏,和用于AKA SQN管理的一个或多个SQN号的配置。
47.根据权利要求45所述的装置,其中,所空中供给的认证证书包括所述要用于向所述第二接入系统的认证的AKA认证算法,并且其中,执行认证证书的空中供给包括:从所述第一接入系统执行所述认证算法的空中定制。
48.根据权利要求47所述的装置,其中,所述AKA认证算法是MILENAGE,并且其中,所述认证算法的定制包括OP或者OPc参数的定制。
49.根据权利要求47所述的装置,其中,所述第一接入系统是CDMA2000系统。
50.根据权利要求49所述的装置,其中,所述空中供给是经由空中服务供给(OTASP)来执行的。
51.根据权利要求49所述的装置,其中,所述空中供给是经由空中因特网(IOTA)来执行的。
52.一种用于空中供给的装置,所述装置包括:
用于在第一接入系统处接收始发自接入设备的呼叫的模块;
用于将所述呼叫引导到供给系统的模块;
用于确定所述接入设备的协议能力的模块;以及
用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给的模块,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
53.被配置来执行空中供给的至少一个处理器,所述处理器包括:
第一模块,用于在第一接入系统处接收始发自接入设备的呼叫;
第二模块,用于将所述呼叫引导到供给系统;
第三模块,用于确定所述接入设备的协议能力;以及
第四模块,用于在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
54.一种计算机程序产品,包括:
计算机可读介质,所述计算机可读介质包括:
第一组代码,用于使得计算机在第一接入系统处接收始发自接入设备的呼叫;
第二组代码,用于使得计算机将所述呼叫引导到供给系统;
第三组代码,用于使得计算机确定所述接入设备的协议能力;以及
第四组代码,用于使得计算机在所述接入设备处经由所述第一接入系统来执行认证证书的空中供给,其中,所述认证证书用于第二接入系统,所述第二接入系统缺少空中供给过程。
CN201080020658.9A 2009-05-11 2010-05-11 用于在两个接入系统之间进行安全证书的空中供给的装置和方法 Expired - Fee Related CN102440016B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US17713209P 2009-05-11 2009-05-11
US61/177,132 2009-05-11
US12/777,048 US8589689B2 (en) 2009-05-11 2010-05-10 Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems
US12/777,048 2010-05-10
PCT/US2010/034443 WO2010132499A2 (en) 2009-05-11 2010-05-11 Apparatus and method for over-the-air (ota) provisioning of authentication and key agreement (aka) credentials between two access systems

Publications (2)

Publication Number Publication Date
CN102440016A true CN102440016A (zh) 2012-05-02
CN102440016B CN102440016B (zh) 2014-11-05

Family

ID=43085548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201080020658.9A Expired - Fee Related CN102440016B (zh) 2009-05-11 2010-05-11 用于在两个接入系统之间进行安全证书的空中供给的装置和方法

Country Status (7)

Country Link
US (1) US8589689B2 (zh)
EP (1) EP2430847A2 (zh)
JP (1) JP5475113B2 (zh)
KR (1) KR101388562B1 (zh)
CN (1) CN102440016B (zh)
TW (1) TW201127099A (zh)
WO (1) WO2010132499A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113531A (zh) * 2015-10-09 2017-08-29 微软技术许可有限责任公司 移动设备的sim置备
WO2021056142A1 (zh) * 2019-09-23 2021-04-01 Oppo广东移动通信有限公司 无线通信的方法和设备
CN114996162A (zh) * 2022-07-15 2022-09-02 荣耀终端有限公司 测试方法及相关装置

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL2453608T3 (pl) * 2010-11-12 2015-07-31 Deutsche Telekom Ag Sposób i urządzenia do uzyskiwania dostępu do bezprzewodowej lokalnej sieci komputerowej
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
EP2610826A1 (fr) * 2011-12-29 2013-07-03 Gemalto SA Procédé de déclenchement d'une session OTA
US9713000B2 (en) * 2012-03-09 2017-07-18 Omnitracs, Llc Systems and methods for performing over-the-air activation while roaming
US8850523B2 (en) * 2012-04-13 2014-09-30 Cable Television Laboratories, Inc. Watermarks for roaming
EP2704466A1 (en) 2012-09-03 2014-03-05 Alcatel Lucent Smart card personnalization with local generation of keys
EP2704467A1 (en) * 2012-09-03 2014-03-05 Alcatel Lucent Smart card initial personnalization with local generation of keys
US20150359026A1 (en) * 2012-12-21 2015-12-10 Nec Corporation Radio communication system, radio access network node, communication device, and core network node
WO2014209380A1 (en) * 2013-06-28 2014-12-31 Intel Corporation Open and encrypted wireless network access
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
KR101898934B1 (ko) * 2014-03-26 2018-09-14 삼성전자주식회사 통신 시스템에서 인증 방법 및 장치
EP3146742B1 (en) * 2014-05-20 2019-07-31 Nokia Technologies Oy Exception handling in cellular authentication
US10484187B2 (en) 2014-05-20 2019-11-19 Nokia Technologies Oy Cellular network authentication
GB2526619A (en) 2014-05-30 2015-12-02 Vodafone Ip Licensing Ltd Service provisioning
US10785645B2 (en) * 2015-02-23 2020-09-22 Apple Inc. Techniques for dynamically supporting different authentication algorithms
US10447452B2 (en) * 2015-07-13 2019-10-15 Advanced Micro Devices, Inc. Hardware controlled receive response generation
EP3621333A1 (en) * 2018-09-05 2020-03-11 Thales Dis France SA Method for updating a secret data in a credential container
CN109919808B (zh) * 2019-03-18 2021-08-13 厦门叁玖叁科技有限公司 商标智能申报方法、介质、计算机设备及系统
KR102215059B1 (ko) * 2019-07-31 2021-02-10 에스케이텔레콤 주식회사 단말을 개통하는 방법 및 그 방법을 수행하는 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1732649A (zh) * 2002-12-30 2006-02-08 英特尔公司 建立通信的方法和装置
WO2006024599A1 (de) * 2004-09-02 2006-03-09 Siemens Aktiengesellschaft Verfahren zum konfigurieren der ein lokales drahtloses netzwerk betreffenden parameter eines mobilen kommunikationsendgerätes über eine luftschnittstelle
WO2007071009A1 (en) * 2005-12-23 2007-06-28 Bce Inc. Wireless device authentication between different networks

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060039564A1 (en) * 2000-11-17 2006-02-23 Bindu Rama Rao Security for device management and firmware updates in an operator network
JP3964338B2 (ja) * 2003-03-07 2007-08-22 株式会社エヌ・ティ・ティ・ドコモ 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法
US7539156B2 (en) * 2003-10-17 2009-05-26 Qualcomm Incorporated Method and apparatus for provisioning and activation of an embedded module in an access terminal of a wireless communication system
US7519358B2 (en) * 2005-09-20 2009-04-14 Alcatel-Lucent Usa Inc. Over the air provisioning of a wireless mobile station using IP multimedia subsystem mode
JP4738139B2 (ja) * 2005-11-08 2011-08-03 富士通東芝モバイルコミュニケーションズ株式会社 移動通信システム、移動通信システム制御方法および移動無線端末装置
US7469151B2 (en) * 2006-09-01 2008-12-23 Vivotech, Inc. Methods, systems and computer program products for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities
US8296835B2 (en) * 2007-05-11 2012-10-23 Microsoft Corporation Over the air communication authentication using a service token
US7970398B2 (en) * 2007-06-25 2011-06-28 Alcatel-Lucent Usa Inc. Method and apparatus for provisioning and authentication/registration for femtocell user on IMS core network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1732649A (zh) * 2002-12-30 2006-02-08 英特尔公司 建立通信的方法和装置
WO2006024599A1 (de) * 2004-09-02 2006-03-09 Siemens Aktiengesellschaft Verfahren zum konfigurieren der ein lokales drahtloses netzwerk betreffenden parameter eines mobilen kommunikationsendgerätes über eine luftschnittstelle
WO2007071009A1 (en) * 2005-12-23 2007-06-28 Bce Inc. Wireless device authentication between different networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3RD GENERATION PARTNERSHIP PROJECT: "《3GPP TR 33.812 V1.3.0》", 28 February 2009 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113531A (zh) * 2015-10-09 2017-08-29 微软技术许可有限责任公司 移动设备的sim置备
US10785740B2 (en) 2015-10-09 2020-09-22 Microsoft Technology Licensing, Llc SIM provisioning of a mobile device
WO2021056142A1 (zh) * 2019-09-23 2021-04-01 Oppo广东移动通信有限公司 无线通信的方法和设备
CN113574917A (zh) * 2019-09-23 2021-10-29 Oppo广东移动通信有限公司 无线通信的方法和设备
CN114996162A (zh) * 2022-07-15 2022-09-02 荣耀终端有限公司 测试方法及相关装置

Also Published As

Publication number Publication date
KR20120024757A (ko) 2012-03-14
KR101388562B1 (ko) 2014-04-25
WO2010132499A8 (en) 2011-11-24
TW201127099A (en) 2011-08-01
JP2012527184A (ja) 2012-11-01
JP5475113B2 (ja) 2014-04-16
WO2010132499A2 (en) 2010-11-18
US8589689B2 (en) 2013-11-19
EP2430847A2 (en) 2012-03-21
US20110119492A1 (en) 2011-05-19
WO2010132499A3 (en) 2011-03-03
CN102440016B (zh) 2014-11-05

Similar Documents

Publication Publication Date Title
CN102440016B (zh) 用于在两个接入系统之间进行安全证书的空中供给的装置和方法
US9706512B2 (en) Security method and system for supporting re-subscription or additional subscription restriction policy in mobile communications
US10306432B2 (en) Method for setting terminal in mobile communication system
EP2345268B1 (en) Support of multiple pre-shared keys in access point
KR101597388B1 (ko) 안전한 원격 가입 관리
US20170290088A1 (en) Secure on-line sign-up and provisioning for wi-fi hotspots using a device-management protocol
JP5193850B2 (ja) 無線通信方法
US11496883B2 (en) Apparatus and method for access control on eSIM
EP2601772B1 (en) Group security in machine-type communication
US8001379B2 (en) Credential generation system and method for communications devices and device management servers
KR102307106B1 (ko) 통신 시스템의 통합 가입 식별자 관리
CN1668005A (zh) 一种适合有线和无线网络的接入认证方法
BRPI0711079B1 (pt) Métodos para fornecer comunicação segura entre dispositivos ad-hoc e para operação de um dispositivo de comunicação e dispositivo de comunicação de modo dual
WO2009093938A1 (en) Security policy distribution to communication terminals
US20210297858A1 (en) Methods and apparatus for performing access and/or forwarding control in wireless networks such as wlans
KR20140051018A (ko) 통신 시스템에서 내장 가입자 식별 모듈을 관리하는 방법 및 장치
KR102035158B1 (ko) eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치
CN110198523B (zh) 群组中消息加密密钥的分发方法及系统
CN1661960A (zh) 利用cave作为接入认证算法的机卡分离的认证方法以及装置
CN2692926Y (zh) 利用cave作为接入认证算法的机卡分离的认证方法以及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20141105

Termination date: 20210511