CN103155614B - 漫游网络中接入终端身份的认证 - Google Patents
漫游网络中接入终端身份的认证 Download PDFInfo
- Publication number
- CN103155614B CN103155614B CN201180048988.3A CN201180048988A CN103155614B CN 103155614 B CN103155614 B CN 103155614B CN 201180048988 A CN201180048988 A CN 201180048988A CN 103155614 B CN103155614 B CN 103155614B
- Authority
- CN
- China
- Prior art keywords
- access terminal
- equipment
- authentication
- visiting
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
展现了在接入终端在到访网络内漫游的情形中认证该接入终端的各种方法。接入终端向到访验证服务器或归属验证服务器发送设备认证消息,其中,该设备认证消息包括接入终端标识符和至少部分地使用验证密钥生成的认证数据。在一些实施例中,该认证数据可包括由与该接入终端标识符相关联的验证密钥所作的数字签名。此类签名可由抑或到访验证服务器、抑或归属验证服务器来认证。在其他实施例中,该认证数据可包括向到访验证服务器发送的接入终端认证令牌。到访验证服务器可通过将该接入终端认证令牌与从归属验证服务器获得的接入终端认证令牌进行比较来认证该设备认证消息。
Description
根据35U.S.C.§119的优先权要求
本专利申请要求于2010年10月22日提交的题为“Mobile HandsetAuthentication in a Roaming Network(漫游网络中的移动手持机认证)”的临时申请No.61/406,017和于2011年1月22日提交的题为“Mobile Handset Authentication in aRoaming Network(漫游网络中的移动手持机认证)”的临时申请No.61/435,267的优先权,这两个临时申请已被转让给本申请受让人并由此明确援引纳入于此。
背景
领域
本文中所公开的各种特征一般涉及无线通信系统,并且至少一些特征尤其涉及用于促成漫游网络中接入终端身份的认证的方法和设备。
背景
接入终端(诸如,移动电话、寻呼机、无线调制解调器、个人数字助理、个人信息管理器(PIM)、个人媒体播放器、平板计算机、膝上型计算机、或带有处理器的通过无线信号与其他设备通信的任何其他设备)正日益变得流行并被更频繁地使用。在无线通信网络中使用此类接入终端的订户通常在被准予接入以发起和/或接收呼叫和传送和/或接收数据之前由无线通信网络进行认证。传统上,无线通信网络通过验证用户身份来认证订户,该用户身份包括例如接入终端的用于GSM网络的订户标识模块(SIM)、用于UMTS/LTE网络的通用订户标识模块(例如,USIM)和用于CDMA网络的可拆卸用户标识模块(RUIM)中包含并由其提供的密码信息。这些SIM、USIM和RUIM通常是基于芯片和PIN(个人识别码)的卡,其包含关于接入终端的订户/用户的信息并且可从接入终端拆卸。装备有此类可拆卸用户身份模块的接入终端的用户通常能够从一个接入终端拆卸SIM、USIM或RUIM卡并将该卡置于另一接入终端中,由此容易地将它们的订户信息从一个接入终端转移至另一个接入终端。然而,蜂窝网络传统上并不认证接入终端设备自身。
尽管常规无线通信网络适配成认证正在接入终端中使用的订户卡(例如,SIM,USIM,RUIM),还是期望无线通信网络认证接入终端自身,并基于接入终端认证的结果来拒绝或允许该接入终端的网络接入。之所以网络运营商除了订户卡之外还想要认证接入终端是因为数个原因。
例如,一个原因包括认证接入终端以禁止使用被盗或丢失的接入终端。例如,潜在的盗贼几乎没有动机盗窃接入终端,因为用户能报告接入终端丢失或被盗,并且可从网络阻挡对此丢失或被盗的接入终端的操作,即使新订户卡被置于该终端中。
另一个原因包括认证接入终端以阻止未经授权的制造者生产或刷新未被准许在无线通信网络中使用的接入终端(例如,灰色市场的接入终端)。此类未经授权的接入终端可能不满足严格的条例管理,例如,发射功率、向未被许可给网络运营商的毗连频带的泄漏,等等。通过利用认证接入终端自身的认证系统,网络运营商可拒绝向由未经授权的制造者生产或刷新的、不能以有效接入终端标识来认证的那些接入终端提供服务。
又一个原因涉及部分地以使用未经授权的接入终端来实现的恐怖攻击的风险。政府实体近来已表达了要网络运营商能够追踪、跟踪、认证并禁用在网络运营商的无线通信网络内操作的所有接入终端的强烈愿望。具有认证接入终端并相应地拒绝服务的能力将在阻止犯罪行为方面证明是有利的。
目前存在使得无线通信网络能够查询接入终端的身份(ID)的机制。例如,无线通信网络(例如,GSM网络、WCDMA网络、TD-SCDMA网络)可查询并检查3GPP顺应性接入终端的国际移动装备身份(IMEI)号,或者无线通信网络(例如,CDMA)可查询并检查3GPP2顺应性接入终端的移动装备标识符(MEID)。然而,这些用于获得接入终端的ID的现有机制未能提供从接入终端接收的ID实际上属于该接入终端的任何保证。例如,未经授权的接入终端可非法地拷贝或以其他方式获得被授权的接入终端的ID,并随后将该盗版的ID提供给请求方无线通信网络。在此情景中,常规无线通信网络不能够在被授权的接入终端与采用伪造ID的未经授权的接入终端之间进行区分。
因此,需要的适配成既发现又验证接入终端的身份的方法、装置、和/或系统。
概述
各种特征促成在接入终端正在到访网络内漫游并远离其归属网络时认证接入终端身份。
一个特征提供适配成促成此类设备认证的接入终端。这些接入终端可包括能操作于与到访网络通信的无线通信接口,和耦合至该无线通信接口的处理电路。该处理电路可适配成获得与该接入终端的接入终端标识符相关联的验证密钥。该处理电路可生成包括该接入终端标识符和至少部分地使用该验证密钥生成的认证数据的设备认证消息,并且可经由该无线通信接口传送该设备认证消息。该设备认证消息适配成认证该接入终端是被授权接入该到访网络的接入终端。该处理电路可进一步适配成经由该无线通信接口接收基于对该设备认证消息的验证来准予或拒绝该接入终端接入该到访网络的通知。
根据一个特征还提供了能在接入终端中操作的、用于促成在该接入终端在到访网络内漫游时对该接入终端进行设备认证的方法。在此类方法的至少一个实现中,例如,接入终端可获得与该接入终端的接入终端标识符相关联的验证密钥。可生成设备认证消息以包括该接入终端标识符和至少部分地使用该验证密钥生成的认证数据。可传送该设备认证消息以认证该接入终端是被授权接入该到访网络的接入终端。可接收基于对该设备认证消息的验证来准予或拒绝该接入终端接入该到访网络的通知。
另一个特征提供了适配成促成对在到访网络内漫游的接入终端的设备认证的到访验证服务器。根据至少一些实施例,此类到访验证服务器可包括适配成促成与接入终端通信的通信接口和耦合至该通信接口的处理电路。该处理电路可适配成经由该通信接口从该接入终端接收设备认证消息。该设备认证消息可包括接入终端标识符和接入终端认证数据。处理电路可进一步适配成基于所接收到的设备认证消息来认证该接入终端。该处理电路还可适配成经由该通信接口向该接入终端传送准予或拒绝该接入终端接入到访网络的通知。
根据一个特征还提供了能在到访验证服务器中操作的、用于促成对在到访网络内漫游的接入终端进行设备认证的方法。在此类方法的至少一个实现中,例如,到访验证服务器可从接入终端接收设备认证消息。该设备认证消息可包括接入终端标识符和接入终端认证数据。接入终端可基于所接收到的设备认证消息来被认证,并且可向该接入终端传送准予或拒绝该接入终端接入该到访网络的通知。
附加特征提供了用于促成对在到访网络内漫游的接入终端的设备认证的归属验证服务器。根据一个或多个实施例,此类归属验证服务器可包括与处理电路耦合的通信接口。该处理电路可适配成接收请求与接入终端相关的设备认证信息的传输,其中该传输包括与该接入终端相关联的接入终端标识符。该传输可包括设备认证消息或对与该接入终端相关联的认证令牌的请求。处理电路可生成包括所请求的设备认证信息的响应(例如,设备认证消息已被认证的指示、认证令牌)。处理电路可经由通信接口向到访验证服务器传送该响应。
根据一个特征还提供了能在归属验证服务器中操作的、用于促成对在到访网络内漫游的接入终端进行设备认证的方法。在此类方法的至少一个实现中,例如,归属验证服务器可接收请求与接入终端相关的设备认证信息的传输,其中该传输包括与该接入终端相关联的接入终端标识符。该传输可包括设备认证消息或对与该接入终端相关联的认证令牌的请求。可生成包括所请求的设备认证信息的响应(例如,设备认证消息已被认证的指示、认证令牌)。处理电路可经由通信接口向到访验证服务器传送该响应。
附图简述
图1是图解其中可应用本公开的一个或多个实现的无线通信环境的示例的框图。
图2是图解对在到访网络内漫游的接入终端进行认证的示例的流程图,其中设备认证是由归属网络的归属验证服务器执行的。
图3是图解对在到访网络内漫游的接入终端进行认证的另一示例的流程图,其中设备认证是由归属网络的归属验证服务器执行的。
图4是图解对在到访网络内漫游的接入终端进行认证的示例的流程图,其中设备认证是由到访验证服务器执行的。
图5是图解对在到访网络内漫游的接入终端进行认证的示例的流程图,其中设备认证是使用设备认证令牌执行的。
图6图解接入终端的至少一个实施例的功能框图。
图7是图解在接入终端中操作的用于在该接入终端在到访网络内漫游时促成对该接入终端进行设备认证的方法的示例的流程图。
图8图解到访验证服务器的至少一个实施例的功能框图。
图9是图解在到访验证服务器中操作的用于促成对在到访网络内漫游的接入终端进行设备认证的方法的示例的流程图。
图10图解归属验证服务器的至少一个实施例的功能框图。
图11是图解在归属验证服务器中操作的用于促成对在到访网络内漫游的接入终端进行设备认证的方法的示例的流程图。
具体描述
在以下描述中,给出了具体细节以提供对所描述的实现的透彻理解。但是,本领域普通技术人员将可理解,没有这些具体细节也可实践这些实现。例如,电路可能以框图形式示出,以免使这些实现湮没在不必要的细节中。在其他实例中,公知的电路、结构、和技术可能不被详细示出以免湮没这些实现。
措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实现或实施例不必被解释为优于或胜过其他实施例或实现。同样,术语“实施例”并不要求所有实施例都包括所讨论的特征、优点、或工作模式。本文中所使用的术语“接入终端”意在被宽泛地解读。举例而言,“接入终端”可包括移动电话、寻呼机、无线调制解调器、个人数字助理、个人信息管理器(PIM)、个人媒体播放器、平板计算机、膝上型计算机、和/或至少部分地通过无线或蜂窝网通信的其他移动通信/计算设备。
综述
展现了在接入终端正在到访网络内漫游并远离其归属网络的情况下认证接入终端的各种方法。除了订户/用户认证之外,还可执行接入终端认证。在一些实施例中,由接入终端生成的设备认证消息由到访网络转发至归属网络以进行认证和批准。在其他实施例中,设备认证消息是使用归属网络的全局地址(诸如IP地址)从接入终端直接发送至归属网络以供认证的。在其他实施例中,到访网络通过能访问根证书以验证由接入终端传送的签名来认证接入终端自身。在其他实施例中,到访网络从接入终端和归属网络接收设备认证令牌。如果这两个认证令牌匹配,则接入终端得到认证。
本文中所展现的用于接入终端设备认证的所有实施例可在任何其他被执行以认证订户/用户的认证规程(例如,对SIM和/或RUIM的认证)之前、之后、或与之并行执行。
此外,根据另一方面,归属网络或到访网络可向接入终端发送接入终端认证请求以发起接入终端认证。例如,归属网络或到访网络可在识别到触发事件(诸如订户认证正由接入终端发起/正为接入终端发起)之际向接入终端发送此类设备认证请求。响应于发送接入终端认证请求,该接入终端可发送其设备认证消息以供认证该接入终端。
示例性网络操作环境
图1图解了无线通信环境,在其中与其归属网络120相关联的接入终端110正在到访网络150内“漫游”。例如,接入终端110可位于由到访网络150的基站154服务的蜂窝小区152内。在无线电信中,“漫游”是通用术语,其是指连通性服务在与服务原被注册的归属位置(诸如归属网络120)不同的位置(诸如到访网络150)中的扩展。漫游确保接入终端110被保持连接至网络而不丢失连接。如图1中所图解的,归属网络120和到访网络150可彼此进行通信。
接入终端110可能期望借助于到访网络150提供的无线通信接入以发送或接收数据(例如,发起和接收呼叫、传送和接收数据消息)。然而,根据本公开的至少一个特征,在接入终端110被允许在到访网络150内的此类接入之前,订户和接入终端设备110两者均被认证以确保该订户被授权使用该网络并且该接入终端110是例如由被许可制造用于与该网络联用的接入终端的经授权的原始设备制造商(OEM)制造的经授权的手持机。
除了具有标识订户信息的可拆卸用户身份(或订户身份)模块(诸如,订户标识模块(SIM)、通用订户标识模块(USIM)、CDMA订户标识模块(CSIM)或可拆卸用户标识模块(RUIM))之外,接入终端100还包括对于接入终端110唯一性的接入终端标识符(ID)。举例而言,该接入终端标识符在该终端是3GPP顺应性的情况下可以是国际移动装备身份(IMEI),或在该终端是3GPP2顺应性的情况下可以是移动装备身份(MEID)。此外,接入终端110可包括对于接入终端设备110也是唯一性的、并与接入终端ID相关联的设备凭证。例如,在一个实施例中,接入终端110的OEM可充当管理权威机构(诸如证书权威机构(CA)180),该管理权威机构向接入终端110颁发验证密钥(诸如密码密钥(例如认证密钥)或数字证书)并且还存储与接入终端110相关联的验证密钥。在其他实施例中,验证密钥可使用常规的越空置备过程来置备,其中验证密钥是经由无线传输被提供给接入终端110的。在各种实施例中,验证密钥应当由接入终端110以使其受到对抗未经授权的访问的保护的方式来存储。
因此,接入终端110可被置备有与接入终端110相关联(例如与接入终端标识符(ID)相关联)的验证密钥(诸如,私钥-公钥对或共享机密密钥),该验证密钥可被用来对接入终端110向其他设备或网络组件发送的消息进行数字签名。例如,接入终端110可使用私钥对它意图发往接收方的消息进行数字签名。随后,消息的接收方可使用与接入终端ID相关联的公钥来验证该消息确实是由接入终端110发送的。由于CA180保持所有接入终端的所有公钥并证明它们是可信的,因此接收方可信任经数字签名的数据和证书是与有效接入终端110相关联的。如图1中所图解的,CA180可与到访网络150和归属网络120进行通信。
在一个实施例中,CA180可属于接入终端的OEM,并且可扮演根CA的角色并直接向它们的接入终端颁发数字证书。替换地,OEM可用作中间CA并向它们自身的接入终端颁发证书,同时根CA可以是全局或区域性设备标识管理权威机构。在该情形中,根CA向每个OEM CA颁发证书。证书链上的所有证书应当被置备给接入终端110。接入终端110的ID可以是接入终端证书的一部分。此外,OEM应当向接入终端110置备私钥,并且该私钥应当受到对抗未经授权的访问的保护。
在其他实施例中,验证密钥可包括共享机密密钥。在此类实施例中,接入终端110可以不利用数字证书公钥基础设施,而是代之以存储与其接入终端身份(ID)相关联的共享机密密钥。共享机密密钥应当仅为接入终端110还有归属网络120所知。例如,共享机密密钥可存储在归属网络120的验证服务器122处。例如,此类共享机密密钥可由设备制造商置备。
每个网络运营商具有本地验证服务器。例如,到访网络150可包括到访验证服务器156,并且归属网络120可包括归属验证服务器122。到访验证服务器156(例如,贯彻节点)可负责认证给定接入终端110并允许对该网络的通信接入。在接入终端110包括公钥证书的实施例中,归属网络120使得受信任接入终端根证书和/或受信任OEM证书的列表对归属验证服务器122可用。在共享机密密钥代之以存储在接入终端110处的实施例中,每个经授权接入终端ID和它们对应的共享机密密钥对归属验证服务器122可用。
对接入终端110的认证(其不同于对订户的认证)可由到访网络150或由归属网络120执行。由网络运营商来决定要将以下哪些方法用于接入终端110认证。然而,认证结果通常由到访网络150贯彻来准予或拒绝接入终端110网络接入。到访网络150的贯彻节点(EN)可以是到访网络150的到访验证服务器156的一部分,但在一些实施例中,它可以独立于到访验证服务器156。
示例性传递式(Pass-Through)设备认证
参照图2,在一个实施例中,对接入终端110的认证是由归属网络120的归属验证服务器122执行的。在步骤202中,接入终端110向到访网络150处的到访验证服务器156传送接入终端(或设备)认证消息。该设备认证消息包括对接入终端110唯一性的信息。例如,设备认证消息可包括接入终端ID和使用与接入终端ID相关联的验证密钥生成的数字签名。在一些实施例中,设备认证消息将包括随机元素(诸如一次性随机数(nonce)(例如使用一次的密码一次性随机数或数字))以防止由其他未经授权的接入终端进行重放攻击。设备认证消息可以是SMS、IP数据分组的形式,或者是到访网络150处接受的任何其他格式,并且可包括关于接入终端110的归属网络120的信息。在步骤204中,到访验证服务器156将该接入终端认证消息转发至归属网络120。
在步骤206中,归属验证服务器122使用该设备认证消息来认证该接入终端110。例如,归属验证服务器122可验证该设备认证消息内的数字签名,该数字签名可以是已由接入终端110使用该终端110的与公钥基础设施相关联的私钥来签名的。使用对应于接入终端110的身份(ID)的、可为归属网络120所知或以其他方式可由归属网络120访问的公钥,归属验证服务器122就可尝试验证该数字签名。如果使用公钥的验证成功,则接入终端110可得到认证,这是因为只有经授权的接入终端110才将能够访问接入终端身份(ID)和用于对数据进行签名的相关联验证密钥两者。在各种实施例中,对数字签名的验证可包括获得存储于例如归属网络120中的服务器(例如归属验证服务器122)、证书权威机构180处、从接入终端110接收的、或从任何受信任的第三方获得的证书。
在另一实施例中,归属验证服务器122可验证该设备认证消息内的数字签名,该数字签名可以是已由接入终端110使用该接入终端110的共享机密密钥来签名的。在此情形中,归属验证服务器122使用对应于接入终端身份(ID)的共享机密密钥来验证数字签名,该共享机密密钥存储于归属网络内例如归属验证服务器122处。
在步骤208中,归属验证服务器122通知到访验证服务器156该认证是成功还是失败了。在步骤210中,到访验证服务器156随后基于由归属验证服务器122报告的认证结果来准予或拒绝请求方接入终端110接入网络。注意到,对接入终端110的接入的此类准予或拒绝可以是与分开的之前的、并发的、或随后的订户认证过程分开并相异的。例如,在一些实现中,接入终端认证消息202可以是还包括订户认证过程的组合式认证过程的一部分。
在至少一些实现中,接入终端110可自发地传送接入终端认证消息202。例如,接入终端110可自发地生成和/或传送接入终端认证消息202至到访验证服务器156以作为请求接入网络的一般过程(诸如还包括订户认证过程的组合式认证过程)的一部分。
在其他实现中,接入终端110可响应于从到访验证服务器156传送而来的接入终端认证请求212来生成和/或传送接入终端认证消息202。例如,接入终端110可请求接入网络,于是到访验证服务器156可传送要求接入终端110传送接入终端认证消息202的请求212。有可能接入终端认证消息202曾被发送但未被到访验证服务器156接收到,或者有可能未曾从接入终端110传送过接入终端认证消息202。在一些实现中,到访验证服务器156可以周期性间隔(例如,每30秒、每2小时、每24小时等)发送请求212以周期性地认证接入终端110。在一些示例中,如果到访验证服务器156在传送请求212之后的预定义时段内没有收到接入终端认证消息202,则可发送后续请求212。在到访验证服务器156已发送了预定义数目的对来自接入终端110的接入终端认证消息202的请求212而没有接入终端认证消息202到来之后,到访验证服务器156可拒绝接入终端110的网络接入。
在其他又一些实现中,接入终端认证请求212可以是失效备援(failover)特征,其中,如果到访网络验证服务器156在接入终端订户/用户认证已被发起之后或接入终端110已连接至到访网络之后一时段内未从接入终端接收到设备认证消息,则到访网络验证服务器156发送请求212。
由归属验证服务器进行的示例性设备认证
图3图解了用于认证可在到访网络150内漫游的接入终端110的另一实施例,其中设备认证由归属网络120执行。在步骤302中,接入终端110直接向归属验证服务器122传送接入终端(或设备)认证消息。归属验证服务器122具有针对接入终端110可用来直接发送设备认证消息和其他数据的SMS消息的全局可路由地址(诸如IP地址)和/或全局可路由电话簿号码。由于接入终端110正在到访网络150内漫游,因此接入终端110可被到访网络150准予受限接入以使得接入终端110能够向归属验证服务器122传送该设备认证消息。例如,接入终端110可被允许对数据信道的受限接入,或者接入终端110可以能够采用用于订户认证的相同信道以向归属验证服务器122发送设备认证消息。
设备认证消息包括对接入终端110唯一性的信息。例如,设备认证消息可包括接入终端ID和使用与接入终端ID相关联的验证密钥生成的数字签名。在一些实施例中,设备认证消息将包括随机元素(诸如一次性随机数(例如使用一次的密码一次性随机数或数字))以防止由其他未经授权的接入终端进行重放攻击。设备认证消息还可包括关于接入终端110正试图从什么到访网络150得到网络接入的信息。
在接收到设备认证消息之后,在步骤304中,归属验证服务器122使用该设备认证消息来认证该接入终端110。例如,归属验证服务器122可验证该设备认证消息内的数字签名,该数字签名可以是已由接入终端110使用该终端110的与公钥基础设施相关联的私钥来签名的。使用对应于接入终端110的身份(ID)的、为归属网络120所知或以其他方式可由归属网络120访问的公钥,归属验证服务器122就可尝试验证该数字签名。如果使用公钥的验证成功,则接入终端110可得到认证,这是因为只有经授权的接入终端110才将能够访问接入终端ID和用于对数据进行签名的相关联的验证密钥两者。在各种实施例中,对数字签名的验证可包括获得存储于例如归属网络120中的服务器(例如归属验证服务器122)、证书权威机构处、从接入终端110接收的、或从任何受信任的第三方接收的证书。
在另一实施例中,归属验证服务器122可验证该设备认证消息内的数字签名,该数字签名可以是已由接入终端110使用该终端110的共享机密密钥来签名的。在此情形中,归属验证服务器122使用对应于接入终端ID的共享机密密钥来验证数字签名,该共享机密密钥存储于归属网络内例如归属验证服务器122处。
在步骤306中,归属验证服务器122基于由接入终端110提供的信息来定位到访验证服务器156和/或到访网络150。归属验证服务器122通知到访验证服务器156认证成功还是失败。在步骤308中,到访验证服务器156随后基于由归属验证服务器122报告的认证结果来准予或拒绝请求方接入终端110接入网络。
在至少一个实现中,接入终端110可自发地在步骤302传送设备认证消息。例如,接入终端110可自发地生成和/或传送接入终端认证消息至归属验证服务器122以作为请求接入网络的一般过程的一部分。
在一个或多个其他实现中,接入终端110可响应于从归属验证服务器122或到访验证服务器156中的至少一者传送而来的请求来生成和/或传送设备认证消息。例如,接入终端110可请求接入网络,于是归属验证服务器122可在可选步骤310传送要求接入终端110传送设备认证消息的请求。有可能设备认证消息曾被发送但未被归属验证服务器122接收到,或者有可能未曾从接入终端110传送过设备认证消息。在一些实现中,到访验证服务器156可以周期性间隔(例如,每30秒、每2小时、每24小时等)发送请求212以周期性地认证接入终端110。在一些示例中,如果归属验证服务器122在传送请求之后的预定义时段内没有接收到设备认证消息,则可发送后续请求。在归属验证服务器122已发送预定义数目的对来自接入终端110的设备认证消息的请求而没有设备认证消息到来之后,归属验证服务器122可通知到访验证服务器156对接入终端110的认证失败了,并且到访验证服务器156可拒绝接入终端110的网络接入。
在又一实现中,接入终端认证请求310可以是失效备援特征,其中,如果归属网络验证服务器122在接入终端订户/用户认证已被发起之后或接入终端已连接至到访网络和/或归属网络之后一时段内未从接入终端接收到设备认证消息,则归属网络验证服务器122发送请求310。
由到访验证服务器进行的示例性设备认证
图4图解了用于认证在到访网络150内漫游的接入终端110的另一实施例,其中设备认证由到访网络150执行。在步骤402处,接入终端110向到访验证服务器156传送接入终端(或设备)认证消息。在此实施例中,接入终端110是公钥基础设施(PKI)方案的一部分并且已由CA颁发公钥/私钥对并由CA180证明。设备认证消息可包括整个证书链或导向公钥证书的信息。例如,设备认证消息可包括URL或将到访验证服务器156指引到存储证书的CA180的索引。在一个实施例中,到访验证服务器156装备有根证书或者能访问CA180。
在步骤404处,到访验证服务器156基于接收到的设备认证消息来认证该接入终端110。例如,到访验证服务器156可基于设备认证消息内提供的URL来访问CA180并验证接入终端110是经授权的接入终端设备。在一个实施例中,到访验证服务器156可尝试验证该设备认证消息内的数字签名,该数字签名可以是已由接入终端110使用与接入终端ID相关联的私钥来数字签名的。使用对应于接入终端ID的、可从CA180获得的公钥,到访验证网络156就可尝试验证该数字签名。如果使用公钥对数字签名的验证成功,则接入终端110可得到认证,这是因为只有经授权的接入终端110才将能够访问接入终端ID和用于对数据进行签名的私钥两者。在一个实施例中,到访验证服务器156不需要联系CA180,而是到访验证服务器156和/或到访网络150自身可存储可采用以验证由接入终端110发送的、在设备认证消息内的数字签名的证书。在其他实施例中,到访验证服务器156可从接入终端110接收用于验证数字签名的证书。
在步骤406处,到访验证服务器156基于设备认证是成功还是失败来准予或拒绝接入终端110的网络接入。
在至少一些实现中,接入终端110可自发地在步骤402处传送该设备认证消息。例如,接入终端110可自发地生成和/或传送设备认证消息至到访验证服务器156以作为用于请求接入网络的一般过程的一部分。
在一个或多个其他实现中,接入终端110可响应于从到访验证服务器156传送而来的请求来在步骤402处生成和/或传送设备认证消息。例如,接入终端110可请求接入网络,于是到访验证服务器156可在可选步骤408处传送要求接入终端110传送设备认证消息的请求。有可能设备认证消息曾被发送但未被到访验证服务器156接收到,或者有可能未曾从接入终端110传送过设备认证消息。在一些实现中,到访验证服务器156可以周期性间隔(例如,每30秒、每2小时、每24小时等)发送请求212以周期性地认证接入终端110。在一些示例中,如果到访验证服务器156在传送请求之后的预定义时段内没有收到设备认证消息,则可发送后续请求。在到访验证服务器156已发送了预定义数目的对来自接入终端110的设备认证消息的请求而没有设备认证消息到来之后,到访验证服务器156可拒绝接入终端110的网络接入。
在又一个实现中,接入终端认证请求408可以是失效备援特征,其中如果到访网络验证服务器156在接入终端订户/用户认证已被发起之后或接入终端已连接至到访网络之后一时段内未从接入终端接收到设备认证消息,则到访网络验证服务器156发送请求408。
使用设备认证令牌的示例性设备认证
图5图解了用于认证在到访网络150内漫游的接入终端110的另一实施例,其中设备认证由到访网络150执行。在此实施例中,设备认证是使用从接入终端110和归属网络120接收到的设备认证令牌来执行的。在步骤502处,接入终端110向到访验证服务器156传送接入终端(或设备)认证消息。该设备认证消息包括接入终端ID和设备认证令牌。该设备认证令牌可以是由接入终端110使用其验证密钥(例如,私钥或共享机密密钥)来数字签名的消息。在一些实施例中,该设备认证消息将包括被其数字签名的随机元素(诸如一次性随机数)和/或日期和时间数据以防止重放攻击。
在步骤504处,到访验证服务器156传送对来自归属验证服务器122的设备认证令牌的请求,其中,该请求尤其包括接入终端110的ID号和/或与由接入终端110传送的设备认证消息相关联的任何一次性随机数信息等。在步骤506处,归属验证服务器122使用由到访验证服务器提供的给定接入终端ID和任何一次性随机数信息来生成相对应的设备认证令牌。在一些实施例中,归属验证服务器122可事先存储与每个接入终端ID相对应的设备认证令牌。在此类情形中,归属验证服务器122和接入终端110可具有用于事先防止重放攻击的机制。例如,由接入终端在步骤502中传送的设备认证消息可包含根据归属验证服务器122已知的序列来更新的数字。在步骤508处,到访验证服务器156通过将由接入终端110提供的设备认证令牌与由归属验证服务器122提供的设备认证令牌进行比较来认证接入终端110。如果这两个认证令牌匹配,则设备认证成功/通过。如果这两个令牌不匹配,则设备认证失败。
在步骤510处,到访验证服务器156基于来自步骤508的设备认证是否成功来准予或拒绝接入终端110的网络接入。
在至少一些实现中,接入终端110可自发地在步骤502处传送设备认证消息。例如,接入终端110可自发地生成和/或传送设备认证消息至到访验证服务器156以作为用于请求接入网络的一般过程的一部分。
在一个或多个其他实现中,接入终端110可响应于从到访验证服务器156或归属验证服务器122中的至少一者传送而来的请求来在步骤502处生成和/或传送设备认证消息。例如,接入终端110可请求接入网络,于是到访验证服务器156可在可选步骤512处传送要求接入终端110传送设备认证消息的请求。有可能设备认证消息曾被发送但未被到访验证服务器156接收到,或者有可能未曾从接入终端110传送过设备认证消息。在一些实现中,到访验证服务器156可以周期性间隔(例如,每30秒、每2小时、每24小时等)发送请求212以周期性地认证接入终端110。在一些示例中,如果到访验证服务器156在传送请求之后的预定义时段内没有接收到设备认证消息,则可发送后续请求。在到访验证服务器156已发送了预定义数目的对来自接入终端110的设备认证消息的请求而没有设备认证消息到来之后,到访验证服务器156可拒绝接入终端110的网络接入。
在又一实现中,接入终端认证请求512可以是失效备援特征,其中,如果到访网络验证服务器156在订户/用户认证已被发起之后或接入终端已连接至到访网络和/或归属网络之后一时段内未从接入终端110接收到接入终端认证消息,则到访网络验证服务器156发送请求512。
示例性接终端
图6图解接入终端600的至少一个实施例的功能框图。接入终端600一般可包括耦合至存储器电路(例如,存储器模块、存储器等)604和无线通信接口606的处理电路602(例如,处理器、处理模块等)。
处理电路602被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作。处理电路602可被耦合至存储器电路604,从而处理电路602能从存储器电路604读取信息和向存储器电路604写入信息。在替换方案中,存储器电路604可被整合到处理电路602。根据至少一个实施例,处理电路602可包括用于执行认证接入终端600的各个步骤的设备认证模块/电路620。
根据各个实施例,存储器电路1004可存储接入终端标识符(ID)608和/或验证密钥609(例如,来自公钥/私钥对的私钥、共享机密密钥等)。例如,在一些实施例中,在接入终端600被置备有公钥/私钥对的场合,存储器电路604可存储公钥610和私钥612a。在其他实施例中,在接入终端600是对称共享机密密钥密码方案的一部分的场合,存储器电路604可存储共享机密密钥612b。
验证密钥609(例如,私钥612a、共享机密密钥612b)和/或接入终端ID608可被存储于存储器电路604的读/写受保护的部分中。因此,由接入终端600的最终用户(诸如订户)对该受保护区的访问可能不被允许。此类保护可帮助保护验证密钥609和/或接入终端ID608的机密性不受损害。
无线通信接口606允许接入终端600在无线网络上与一个或多个接入终端通信。无线通信接口606还允许接入终端600与一个或多个网络(诸如,归属网络(例如,图1中的归属网络120)和到访网络(例如,图1中的到访网络150))、包括它们的组件(例如,归属验证服务器122和到访验证服务器156)通信。无线通信接口606可包括无线收发机电路系统,其包括发射机614和/或接收机616(例如,一个或多个发射机/接收机链)。
接入终端600还可包括耦合至处理电路602的订户(或用户)身份模块618。订户身份模块618可包括任何常规的订户身份模块,诸如,订户标识模块(SIM)、通用订户身份模块(USIM)、CDMA订户标识模块(CSIM)或可拆卸用户标识模块(RUIM))。订户身份模块可包括包含于其中、并适配成在常规订户认证规程中使用的密码订户信息。
根据一个或多个特征,接入终端600的处理电路602可被适配成执行与以上参照图1-5所描述的各种接入终端(例如,接入终端110)相关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路602相关的术语“适配成”可以指代处理电路602以被配置、采用、实现、或编程中的一者或多者的方式执行根据本文中所描述的各种特征的特定过程、功能、步骤和/或例程。
图7是图解在接入终端(诸如接入终端600)中操作的、用于促成在该接入终端在到访网络内漫游时对该接入终端进行设备认证的方法的示例的流程图。参照图6和7,接入终端600可初始获得与接入终端600的接入终端标识符(ID)相关联的验证密钥。例如,诸如私钥/公钥对(例如公钥610和私钥612a)或共享机密密钥612b之类的验证密钥609可被置备到存储器电路604的有安全保护的部分中。根据各种实现,验证密钥609可由接入终端制造商通过越空置备过程、或者如本领域中已知的用于为接入终端安全地置备验证密钥的其他方式来置备。验证密钥是与接入终端ID608相关联的,从而它能被用来验证接入终端ID是可信的。
在步骤704处,可生成设备认证消息,其中,该设备认证消息包括接入终端ID和至少部分地使用验证密钥来生成的认证数据。例如,处理电路602的设备认证模块620可生成设备认证消息,该消息可包括接入终端ID608和使用验证密钥来生成的认证数据。在至少一些实现中,该认证数据可由处理电路602(例如,设备认证模块620)使用验证密钥(诸如私钥612a或共享机密密钥612b)来生成,以使用任何常规的签名算法来对设备认证消息进行签名。在一个或多个其他实现中,该认证数据可由处理电路602(例如,设备认证模块620)使用验证密钥609来生成以生成接入终端认证令牌。
在步骤706处,接入终端600传送要被采用来认证接入终端600是被授权接入到访网络的设备的设备认证消息。例如,处理电路602可经由无线通信接口606传送该设备认证消息。在一些实现中,设备认证消息可被传送至到访验证服务器,以由到访验证服务器转发至归属网络内的归属验证服务器、或由用来验证该设备认证消息的到访验证服务器使用。在此类情形中,设备认证消息可包括用于将该消息转发至归属验证服务器的信息。在其他实现中,设备认证消息可被传送至归属验证服务器。在此类实例中,处理电路602可采用归属验证服务器的全局可路由地址以用于将该消息定向到归属验证服务器。
在步骤708处,接入终端600可从到访验证服务器接收准予或拒绝接入到访网络的通知。例如,处理电路602可经由无线通信接口606接收通知,该通知可从到访网络传送而来。如果被准予接入到访网络,则处理电路602可使用无线通信接口606经由到访网络来通信以发送和接收通信。
在步骤710处,接入终端600还可生成订户认证消息。例如,处理电路602可使用订户身份模块618中所存储的订户信息和/或由订户身份模块618执行的过程来生成订户认证消息。订户认证消息可由接入终端602使用无线通信接口606传送以供在步骤712处验证该订户是被授权网络接入的。订户认证可根据常规订户认证规程来实行,如本领域通常所知的,因此在本文中不再详细描述。根据各种实现,订户认证过程可在步骤702和704的设备认证过程之前、与之并行或随后实行。
示例性到访验证服务器
图8图解到访验证服务器800的至少一个实施例的功能框图。到访验证服务器800通常可包括耦合至存储器电路804和通信接口806的处理电路802。
处理电路802被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作。处理电路802可被耦合至存储器电路804,从而处理电路802能从存储器电路804读取信息和向存储器电路804写入信息。在替换方案中,存储器电路804可被整合到处理电路802。根据至少一个实施例,处理电路802可包括适配成执行用于根据本文中所描述的一个或多个接入终端认证规程来认证接入终端的各种步骤的接入终端认证模块/电路812。处理电路802还可包括适配成根据常规订户认证实践来执行订户认证规程的订户认证模块/电路814。
通信接口806可包括向/从接入终端(例如,图1中的接入终端110)、证书权威机构服务器(例如,图1中的CA180)、和/或其他网络(例如,图1中的归属网络120)传送和接收数据的发射机808和/或接收机810。
根据一个或多个特征,到访验证服务器800的处理电路802可被适配成执行与以上参照图1-5所描述的到访验证服务器(例如,到访验证服务器156)相关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路802相关的术语“适配成”可以是指处理电路802以被配置、采用、实现、或编程中的一者或多者的方式执行根据本文中所描述的各种特征的特定过程、功能、步骤和/或例程。
图9是图解在到访验证服务器(诸如到访验证服务器800)中操作的用于促成在接入终端在到访网络内漫游时对接入终端进行设备认证的方法的示例的流程图。在步骤902处,到访验证服务器800可从接入终端接收设备认证消息。设备认证消息可包括接入终端ID、以及接入终端认证数据,诸如,由与该接入终端ID相关联的验证密钥(例如,私钥、共享机密密钥)所作的数字签名和/或接入终端认证令牌。例如,处理电路802可经由通信接口806接收该设备认证消息。
在步骤904处,到访验证服务器800可基于该设备认证消息来认证该接入终端。例如,在接入终端认证数据包括由验证密钥所作的数字签名的一些实现中,处理电路802的接入终端认证模块812可经由通信接口806转发设备认证消息至位于归属网络内的归属验证服务器以供该归属验证服务器对该认证消息进行验证。接入终端认证模块812可随后经由通信接口806从归属验证服务器接收指示接入终端的认证是否成功了的认证结果。
在接入终端认证数据包括由验证密钥所作的数字签名的一个或多个其他实现中,处理电路802的接入终端认证模块812可获得与接入终端ID相关联的证书。根据各种实现,与接入终端ID相关联的证书可例如从到访网络(例如,从到访验证服务器800的存储器电路804)、从第三方证书权威机构、从接入终端(例如,包括于设备认证消息中、从分开的传输中获得)、或从任何其他受信任的第三方获得。在取回证书之后,接入终端认证模块812可使用所取回的证书来验证该数字签名。
在接入终端认证数据包括接入终端认证令牌的一个或多个实现中,处理电路802的接入终端认证模块812可向归属验证服务器发送对与该接入终端相关联的第二认证令牌的请求。响应于此,接入终端认证模块812可从归属验证服务器接收第二认证令牌,并可将接入终端认证令牌与第二认证令牌进行比较。如果接入终端认证令牌与第二认证令牌匹配,则接入终端认证模块812可认证接入终端并允许网络接入。在另一方面,如果接入终端认证令牌与第二认证令牌不能匹配,则接入终端认证模块812可拒绝该接入终端的网络接入。
在步骤906处,到访验证服务器800可基于认证向接入终端传送准予或拒绝接入终端接入到访网络的通知。例如,处理电路802的接入终端认证模块812可经由通信接口806向接入终端传送指示基于认证接入是被拒绝了还是准予了的通知。
在步骤908处,到访验证服务器800还可从接入终端接收订户认证消息。例如,处理电路802的订户认证模块814可经由通信接口806接收订户认证消息,该订户认证消息包括与订户相关联的信息,诸如,使用存储于订户身份模块(例如,SIM、USIM、CSIM、RUIM)中的订户数据生成的信息。订户认证可根据常规订户认证规程来实行,如本领域通常所知的,因此在本文中不再详细描述。根据各种实现,订户认证过程可在步骤902到906的设备认证过程之前、与之并行或随后实行。在一些实现中,订户认证消息可以是与设备认证消息分开的消息。在其他实现中,订户认证消息和设备认证消息可被整合到适配成用于认证接入终端和订户两者的单个消息中。
示例性归属验证服务器
图10图解归属验证服务器1000的至少一个实施例的功能框图。归属验证服务器1000通常可包括处理电路1002、存储器电路1004和通信接口1006。
处理电路1002被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作。处理电路1002可被耦合至存储器电路1004以使得处理电路1002能从存储器电路1004读取信息和向存储器电路1004写入信息。在替换方案中,存储器电路1004可被整合到处理电路1002。根据至少一个实施例,处理电路1002可包括适配成在归属验证服务器1000上执行用于根据本文中所描述的一个或多个接入终端认证规程来认证接入终端的各种步骤中的一个或多个步骤的接入终端认证模块/电路1012。处理电路1002还可包括适配成根据常规订户认证实践来执行订户认证规程的订户认证模块/电路1014。
通信接口1006可包括向/从接入终端(例如,图1中的接入终端110)、证书权威机构服务器(例如,图1中的CA180)、和/或其他网络(例如,图1中的到访网络150)传送和接收数据的发射机1008和/或接收机1010。
根据一个或多个特征,归属验证服务器1000的处理电路1002可被适配成执行与以上参照图1-5所描述的各归属验证服务器(例如,归属验证服务器122)相关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路1002相关的术语“适配成”可以是指处理电路1002以被配置、采用、实现、或编程中的一者或多者的方式执行根据本文中所描述的各种特征的特定过程、功能、步骤和/或例程。
图11是图解在归属验证服务器(诸如,归属验证服务器1000)中操作的用于促成在接入终端在到访网络内漫游时对接入终端进行设备认证的方法的示例的流程图。参照图10和11,在步骤1102,归属验证1000服务器可接收请求与接入终端相关的设备认证信息的传输。所接收到的传输可包括与该接入终端相关联的接入终端标识符(ID)以使得归属验证服务器1000能够获得和/或生成正确的设备认证信息。在至少一些实现中,处理电路1002(例如接入终端认证模块1012)可经由通信接口1006接收该传输。
根据至少一些实现,该传输可包括设备认证消息,后者包括接入终端ID和由与该接入终端ID相关联的验证密钥所作的数字签名。在此类实现中,设备认证消息可从到访验证服务器作为转发消息接收,或者该设备认证消息可从接入终端接收。在至少一些其他实现中,请求与接入终端相关的设备认证信息的传输可包括来自到访验证服务器的、对与该接入终端相关联的认证令牌的请求。
在步骤1104处,归属验证服务器生成对所接收到的传输的响应,其中该响应包括所请求的设备认证信息。例如,在该传输包括设备认证消息的实现中,处理电路1002的接入终端认证模块1012可验证随该设备认证消息包括的数字签名,并且可生成指示该数字签名的验证是否成功的认证结果消息。在其他实现中,在该传输包括对与接入终端相关联的认证令牌的请求的场合,接入终端认证模块1012可使用该传输中所包括的接入终端ID来生成所请求的认证令牌以生成正确的认证令牌。
在步骤1106处,归属验证服务器向到访验证服务器传送所生成的响应。例如,在归属验证服务器生成认证结果消息的实现中,处理电路1002(例如,接入终端认证模块1012)可经由通信接口1006向到访验证服务器传送该认证结果消息以指示对数字签名的验证是否成功。在归属验证服务器生成认证令牌的那些实现中,处理电路1002(例如,接入终端认证模块1012)可经由通信接口1006向到访验证服务器发送与所指定的接入终端ID相关联的认证令牌。
根据至少一些实现,归属验证服务器还可在步骤1108接收订户认证消息,该订户认证消息包括与接入终端的用户相关联的订户信息。例如,处理电路1002的订户认证模块1014可经由通信接口1006接收订户认证消息,该订户认证消息包括与用户(或订户)相关联的信息,诸如使用存储于订户身份模块(例如,SIM、USIM、CSIM、RUIM)中的订户数据生成的信息。订户认证可由订户认证模块1014根据常规订户认证规程来实行,如本领域通常所知的,因此在本文中不再详细描述。根据各种实现,订户认证过程可在步骤1102到1106的设备认证过程之前、与之并行或随后实行。
图1、2、3、4、5、6、7、8、9、10和/或11中解说的组件、步骤、特征和/或功能中的一个或多个可以被重新安排和/或组合成单个组件、步骤、特征或功能,或可以实施在数个组件、步骤、或功能中。可添加更多的元件、组件、步骤、和/或功能而不会脱离本公开。图1、6、8和/或10中解说的装置、设备、和/或组件可以被配置成执行参照图2、3、4、5、7、9和/或11描述的方法、特征、或步骤中的一者或更多者。本文中描述的新颖算法还可以高效地实现在软件中和/或嵌入在硬件中。
另外,注意到至少一些实现是作为被描绘为流图、流程图、结构图、或框图的过程来描述的。尽管流图可能会把诸操作描述为顺序过程,但是这些操作中有许多能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,它的终止对应于该函数返回调用方函数或主函数。
此外,各实施例可由硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件或微码中实现时,执行必要任务的程序代码或代码段可被存储在诸如存储介质或其它存储之类的机器可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。
本文所描述的处理电路(例如,处理电路602、802和/或1002)可包括配置成实现由至少一个实施例中的适当介质提供的期望编程的电路系统。例如,处理电路可被实现为处理器、控制器、多个处理器和/或被配置成执行包括例如软件和/或固件指令的可执行指令的其他结构、和/或硬件电路系统中的一者或更多者。处理电路的实施例可包括被设计成执行本文中所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以实现为计算组件的组合,诸如DSP与微处理器的组合、数个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。处理电路的这些示例是为了解说,并且本公开范围内的其他合适的配置也被构想。
如上文所描述,诸如存储器电路604、804和/或1004之类的存储器电路可表示用于存储编程和/或数据的一个或多个设备,该编程和/或数据诸如是处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库、或其他数字化信息。存储器电路可以是能被通用或专用处理器访问的任何可用介质。作为示例而非限定,存储器电路可包括只读存储器(例如,ROM、EPROM、EEPROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备、和/或其他用于存储信息的非瞬态计算机可读介质。
术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可包括,但不限于,便携或固定的存储设备、光学存储设备、以及能够存储、包含或携带指令和/或数据的各种其他非瞬态介质。因此,本文中描述的各种方法可部分或全部地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由一个或多个处理器、机器和/或设备执行的指令和/或数据来实现。
结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的软件模块中、或在这两者的组合中,以处理单元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的非瞬态存储介质中。存储介质可耦合到处理器以使得该处理器能从/向该存储介质读取信息和写入信息。在替换方案中,存储介质可以被整合到处理器。
本领域技术人员将可进一步领会,结合本文中公开的实施例描述的各种解说性逻辑框、模块、电路、和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互换性,以上已经以其功能性的形式一般化地描述了各种解说性组件、框、模块、电路、和步骤。此类功能性是被实现为硬件还是软件取决于具体应用和加诸于整体系统的设计约束。
本文中所描述的本公开的各种方面可实现于不同系统中而不会脱离本公开。应注意,以上实施例仅是示例,且并不应被解释成限定本公开。这些实施例的描述旨在解说,而并非旨在限定本公开的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变形对于本领域技术人员将是显而易见的。
Claims (52)
1.一种在接入终端上操作的、用于促成在所述接入终端在到访网络内漫游时对所述接入终端的设备认证的方法,包括:
获得与所述接入终端的接入终端装备标识符相关联的验证密钥,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID;
生成包括所述接入终端装备标识符、至少一个一次性随机数和至少部分地使用所述验证密钥来生成的认证数据的设备认证消息;
获得对所述到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送所述设备认证消息的目的并且随后通过所述到访网络向所述归属验证服务器传送所述设备认证消息以认证所述接入终端是被授权接入所述到访网络的接入终端;以及
接收基于对所述设备认证消息的验证来准予或拒绝所述接入终端接入所述到访网络的通知。
2.如权利要求1所述的方法,其特征在于,获得所述验证密钥包括:
获得作为私钥/公钥对或作为共享机密密钥的所述验证密钥。
3.如权利要求1所述的方法,其特征在于,生成包括所述接入终端装备标识符和至少部分地使用所述验证密钥来生成的所述认证数据的所述设备认证消息包括:
生成包括所述接入终端装备标识符和由所述验证密钥所作的数字签名的所述设备认证消息。
4.如权利要求1所述的方法,其特征在于,生成包括所述接入终端装备标识符和至少部分地使用所述验证密钥来生成的认证数据的设备认证消息包括:
生成包括所述接入终端装备标识符和根据所述接入终端的归属网络已知的序列来更新的值的所述设备认证消息。
5.如权利要求1所述的方法,其特征在于,对所述到访网络的受限访问是从到访验证服务器获得的。
6.如权利要求1所述的方法,其特征在于,传送所述设备认证消息包括:
经由所述到访网络向所述归属验证服务器传送所述设备认证消息,其中所述设备认证消息包括根据所述接入终端的归属网络已知的序列来更新的值。
7.如权利要求1所述的方法,其特征在于,生成包括所述接入终端装备标识符和至少部分地使用所述验证密钥来生成的所述认证数据的所述设备认证消息包括:
生成包括所述接入终端装备标识符和接入终端认证令牌的所述设备认证消息。
8.如权利要求1所述的方法,其特征在于,进一步包括:
在生成所述设备认证消息或传送所述设备认证消息之前从所述归属验证服务器接收对所述设备认证消息的请求。
9.如权利要求1所述的方法,其特征在于,进一步包括:
生成包括与订户相关联的信息的订户认证消息;以及
传送所述订户认证消息以供验证所述订户是被授权网络接入的。
10.一种接入终端,包括:
无线通信接口,能操作以与到访网络通信;以及
处理电路,耦合至所述无线通信接口并适配成:
获得与所述接入终端的接入终端装备标识符相关联的验证密钥,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID;
生成设备认证消息,所述设备认证消息包括所述接入终端装备标识符、至少一个一次性随机数和至少部分地使用所述验证密钥来生成的认证数据;
获得对所述到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送所述设备认证消息的目的并且随后经由所述无线通信接口通过所述到访网络向所述归属验证服务器传送所述设备认证消息,其中,所述设备认证消息适配成认证所述接入终端是被授权接入所述到访网络的接入终端;以及
经由所述无线通信接口接收基于对所述设备认证消息的验证来准予或拒绝所述接入终端接入所述到访网络的通知。
11.如权利要求10所述的接入终端,其特征在于,所述验证密钥包括私钥/公钥对或共享机密密钥之一。
12.如权利要求10所述的接入终端,其特征在于,所述认证数据包括由所述验证密钥所作的数字签名。
13.如权利要求10所述的接入终端,其特征在于,所述认证数据包括根据所述接入终端的归属网络已知的序列来更新的值。
14.如权利要求10所述的接入终端,其特征在于,对所述到访网络的受限访问是从到访验证服务器获得的。
15.如权利要求10所述的接入终端,其特征在于,所述认证数据包括接入终端认证令牌,并且所述处理电路适配成向所述归属验证服务器传送所述接入终端标识符和所述认证令牌。
16.如权利要求10所述的接入终端,其特征在于,所述处理电路进一步适配成:
生成包括与订户相关联的信息的订户认证消息;以及
传送所述订户认证消息以供验证所述订户是被授权网络接入的。
17.一种接入终端,包括:
用于获得与所述接入终端的接入终端装备标识符相关联的验证密钥的装置,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID;
用于生成包括所述接入终端装备标识符、至少一个一次性随机数和至少部分地使用所述验证密钥来生成的认证数据的设备认证消息的装置;
用于获得对到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送所述设备认证消息的目的并且随后通过所述到访网络向所述归属验证服务器传送所述设备认证消息以认证所述接入终端是被授权接入到访网络的接入终端的装置;以及
用于接收基于对所述设备认证消息的验证来准予或拒绝所述接入终端接入所述到访网络的通知的装置。
18.如权利要求17所述的接入终端,其特征在于,所述认证数据包括由所述验证密钥所作的数字签名或至少部分地使用所述验证密钥来生成的接入终端认证令牌、和根据所述接入终端的归属网络已知的序列来更新的值中的至少一者。
19.如权利要求17所述的接入终端,其特征在于,进一步包括:
用于生成包括与订户相关联的信息的订户认证消息的装置;以及
用于传送所述订户认证消息以供验证所述订户是被授权网络接入的装置。
20.一种能在到访验证服务器处操作的、用于促成对在到访网络内漫游的接入终端的设备认证的方法,包括:
对所述接入终端准予对所述到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送设备认证消息的目的;
从所述接入终端获得设备认证消息并转发给所述归属验证服务器,所述设备认证消息包括接入终端装备标识符、至少一个一次性随机数和接入终端认证数据,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且所述接入终端认证数据至少部分地使用与所述接入终端的接入终端装备标识符相关联的验证密钥来生成;
基于从所述归属验证服务器接收到的对所述设备认证消息的响应来认证所述接入终端;以及
向所述接入终端传送准予或拒绝所述接入终端接入所述到访网络的通知。
21.如权利要求20所述的方法,其特征在于,获得包括所述接入终端装备标识符和所述接入终端认证数据的所述设备认证消息包括:
获得包括所述接入终端标识符和由所述验证密钥所作的数字签名的所述设备认证消息。
22.如权利要求21所述的方法,其特征在于,基于接收到的所述设备认证消息来认证所述接入终端包括:
从所述归属验证服务器获得指示所述接入终端的认证是否成功了的认证结果。
23.如权利要求21所述的方法,其特征在于,基于所获得的所述设备认证消息来认证所述接入终端包括:
获得与所述接入终端装备标识符相关联的证书;以及
使用所取回的证书来验证随所述设备认证消息包括的所述数字签名。
24.如权利要求20所述的方法,其特征在于,所述接入终端认证数据包括接入终端认证令牌,并且基于所述设备认证消息来认证所述接入终端包括:
向归属验证服务器传送对与所述接入终端相关联的第二认证令牌的请求,所述请求包括根据所述接入终端的所述归属网络已知的序列来更新的值;
从所述归属验证服务器获得所述第二认证令牌;
将所述接入终端认证令牌与所述第二认证令牌进行比较;
如果所述接入终端认证令牌与所述第二认证令牌匹配,则认证所述接入终端并允许所述到访网络内的网络接入;以及
如果所述接入终端认证令牌与所述第二认证令牌不能匹配,则拒绝所述接入终端的网络接入。
25.如权利要求20所述的方法,其特征在于,进一步包括:
向所述接入终端传送要求传送所述认证消息的请求,其中所述请求是在从所述接入终端获得所述认证消息之前发送的。
26.如权利要求24所述的方法,其特征在于,所述请求是在继从所述接入终端发起订户认证的一时段之后未能从所述接入终端获得所述认证消息之际传送的。
27.如权利要求20所述的方法,其特征在于,进一步包括:
从所述接入终端获得订户认证消息,所述订户认证消息包括与订户相关联的信息。
28.一种到访验证服务器,包括:
通信接口,适配成促成与接入终端的通信;
处理电路,耦合至所述通信接口,所述处理电路适配成:
对所述接入终端准予对到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送设备认证消息的目的;
经由所述通信接口从所述接入终端获得设备认证消息并将所述设备认证消息转发给所述归属验证服务器,所述设备认证消息包括接入终端装备标识符、至少一个一次性随机数和接入终端认证数据,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且所述接入终端认证数据至少部分地使用与所述接入终端的接入终端装备标识符相关联的验证密钥来生成;
基于从所述归属验证服务器获得的对所述设备认证消息的响应来认证所述接入终端;以及
经由所述通信接口向所述接入终端传送准予或拒绝所述接入终端接入到访网络的通知。
29.如权利要求28所述的到访验证服务器,其特征在于,所述接入终端认证数据包括由所述验证密钥所作的数字签名。
30.如权利要求29所述的到访验证服务器,其特征在于,所述处理电路适配成认证所述接入终端包括:所述处理电路适配成:
从所述归属验证服务器接收指示所述接入终端的认证是否成功了的认证结果。
31.如权利要求29所述的到访验证服务器,其特征在于,所述处理电路适配成认证所述接入终端包括:所述处理电路适配成:
获得与所述接入终端装备标识符相关联的证书;以及
使用所取回的证书来验证随所述设备认证消息包括的所述数字签名。
32.如权利要求28所述的到访验证服务器,其特征在于,所述接入终端认证数据包括接入终端认证令牌,并且所述处理电路适配成认证所述接入终端包括:所述处理电路适配成:
向归属验证服务器传送对与所述接入终端相关联的第二认证令牌的请求,所述请求包括根据所述接入终端的所述归属网络已知的序列来更新的值;
从所述归属验证服务器获得所述第二认证令牌;
将所述接入终端认证令牌与所述第二认证令牌进行比较;
如果所述接入终端认证令牌与所述第二认证令牌匹配,则认证所述接入终端并允许所述到访网络内的网络接入;以及
如果所述接入终端认证令牌与所述第二认证令牌不能匹配,则拒绝所述接入终端的网络接入。
33.如权利要求28所述的到访验证服务器,其特征在于,所述处理电路进一步适配成:
从所述接入终端获得订户认证消息,所述订户认证消息包括与订户相关联的信息。
34.一种到访验证服务器,包括:
用于对接入终端准予对到访网络的受限访问以用于通过所述到访网络向所述接入终端的归属网络的归属验证服务器传送设备认证消息的目的的装置;
用于从所述接入终端接收设备认证消息并将所述设备认证消息转发给所述归属验证服务器的装置,所述设备认证消息包括接入终端装备标识符、至少一个一次性随机数和接入终端认证数据,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且所述接入终端认证数据至少部分地使用与所述接入终端的接入终端装备标识符相关联的验证密钥来生成的;
用于基于从所述归属验证服务器获得的对所述设备认证消息的响应来认证所述接入终端的装置;以及
用于向所述接入终端传送准予或拒绝所述接入终端接入到访网络的通知的装置。
35.如权利要求34所述的到访验证服务器,其特征在于,所述接入终端认证数据包括由所述验证密钥所作的数字签名或者接入终端认证令牌、以及根据所述接入终端的所述归属网络已知的序列来更新的值中的至少一者。
36.如权利要求34所述的到访验证服务器,其特征在于,进一步包括:
用于从所述接入终端获得订户认证消息的装置,所述订户认证消息包括与订户相关联的信息。
37.如权利要求35所述的到访验证服务器,其特征在于,所述用于认证所述接入终端的装置包括:
用于从所述归属验证服务器获得指示所述接入终端的认证是否成功了的认证结果的装置。
38.如权利要求35所述的到访验证服务器,其特征在于,所述用于认证所述接入终端的装置包括:
用于获得与所述接入终端装备标识符相关联的证书的装置;以及
用于使用所取回的证书来验证随所述设备认证消息包括的所述数字签名的装置。
39.如权利要求35所述的到访验证服务器,其特征在于,所述用于认证所述接入终端的装置包括:
用于向归属验证服务器传送对与所述接入终端相关联的第二认证令牌的请求的装置,所述请求包括根据所述接入终端的所述归属网络已知的序列来更新的值;
用于从所述归属验证服务器接收所述第二认证令牌的装置;
用于将所述接入终端认证令牌与所述第二认证令牌进行比较的装置;
用于如果所述接入终端认证令牌与所述第二认证令牌匹配,则认证所述接入终端并允许所述到访网络内的网络接入的装置;以及
用于如果所述接入终端认证令牌与所述第二认证令牌不能匹配,则拒绝所述接入终端的网络接入的装置。
40.一种能在归属验证服务器处操作的、用于促成对在到访网络内漫游的接入终端的设备认证的方法,包括:
经由到访网络获得传输,所述到访网络对所述接入终端已准予了受限访问以用于通过所述到访网络向所述归属验证服务器传送设备认证消息的目的,所述传输请求与所述接入终端相关的设备认证信息,所述传输包括至少一个一次性随机数以及与所述接入终端相关联的接入终端标识符,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且进一步,其中获得请求与所述接入终端相关的设备认证信息的所述传输包括:获得包括所述接入终端装备标识符以及与所述接入终端的所述接入终端装备标识符相关联的验证密钥所作的数字签名的设备认证消息;
生成包括所请求的设备认证信息的响应;以及
定位准予了所述受限访问的到访验证服务器并向准予了所述受限访问的所述到访验证服务器传送所述响应。
41.如权利要求40所述的方法,其特征在于,获得所述设备认证消息包括:
获得从所述到访验证服务器转发的所述设备认证消息,其中所述设备认证消息包括根据所述归属验证服务器已知的序列来更新的值。
42.如权利要求40所述的方法,其特征在于,获得所述设备认证消息包括:
经由所述到访验证服务器从所述接入终端获得所述设备认证消息。
43.如权利要求40所述的方法,其特征在于,生成包括所请求的设备认证信息的所述响应包括:
验证随所述设备认证消息包括的所述数字签名;以及
生成指示所述数字签名的验证是否成功的认证结果消息。
44.如权利要求40所述的方法,其特征在于,获得请求与接入终端相关的设备认证信息的所述传输包括:
获得来自所述到访验证服务器的、对与所述接入终端相关联的认证令牌的请求。
45.如权利要求44所述的方法,其特征在于,生成包括所请求的设备认证信息的所述响应包括:
使用所述传输中包括的所述接入终端装备标识符来生成所述认证令牌。
46.如权利要求40所述的方法,其特征在于,进一步包括:
获得包括与所述接入终端的用户相关联的订户信息的订户认证消息。
47.一种归属验证服务器,包括:
通信接口;以及
处理电路,与所述通信接口耦合,所述处理电路适配成:
经由到访网络获得传输,所述到访网络对接入终端已准予了受限访问以用于通过所述到访网络向所述归属验证服务器传送设备认证消息的目的,所述传输请求与所述接入终端相关的设备认证信息,所述传输包括至少一个一次性随机数以及与所述接入终端相关联的接入终端标识符,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且进一步,其中请求设备认证信息的所述传输包括:包括所述接入终端装备标识符、与所述接入终端的所述接入终端装备标识符相关联的验证密钥所作的数字签名、以及根据所述归属验证服务器已知的序列来更新的值;
生成包括所请求的设备认证信息的响应;以及
定位准予了所述受限访问的到访验证服务器并向准予了所述受限访问的所述到访验证服务器传送所述响应。
48.如权利要求47所述的归属验证服务器,其特征在于,所述处理电路适配成生成包括所请求的设备认证信息的响应包括:所述处理电路适配成:
验证随所述设备认证消息包括的所述数字签名;以及
生成指示所述数字签名的验证是否成功了的认证结果消息。
49.如权利要求47所述的归属验证服务器,其特征在于,请求设备认证信息的所述传输包括来自所述到访验证服务器的、对与所述接入终端相关联的认证令牌的请求。
50.如权利要求49所述的归属验证服务器,其特征在于,所述处理电路适配成生成包括所请求的设备认证信息的响应包括:所述处理电路适配成:
使用所述传输中包括的所述接入终端装备标识符来生成所述认证令牌。
51.如权利要求47所述的归属验证服务器,其特征在于,所述处理电路进一步适配成:
获得包括与所述接入终端的用户相关联的订户信息的订户认证消息。
52.一种归属验证服务器,包括:
用于经由到访网络获得传输的装置,所述到访网络对接入终端已准予了受限访问以用于通过所述到访网络向所述归属验证服务器传送设备认证消息的目的,所述传输请求与所述接入终端相关的设备认证信息,所述传输包括至少一个一次性随机数以及与所述接入终端相关联的接入终端装备标识符,其中所述接入终端装备标识符包括国际移动装备身份IMEI或移动装备身份MEID,并且其中所述设备认证消息包括所述接入终端装备标识符以及与所述接入终端的所述接入终端装备标识符相关联的验证密钥所作的数字签名;
用于生成包括所请求的设备认证信息的响应的装置;以及
用于定位准予了所述受限访问的到访验证服务器并用于向准予了所述受限访问的所述到访验证服务器传送所述响应的装置。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US40601710P | 2010-10-22 | 2010-10-22 | |
US61/406,017 | 2010-10-22 | ||
US201161435267P | 2011-01-22 | 2011-01-22 | |
US61/435,267 | 2011-01-22 | ||
US13/243,185 | 2011-09-23 | ||
US13/243,185 US9112905B2 (en) | 2010-10-22 | 2011-09-23 | Authentication of access terminal identities in roaming networks |
PCT/US2011/057412 WO2012054911A1 (en) | 2010-10-22 | 2011-10-23 | Authentication of access terminal identities in roaming networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103155614A CN103155614A (zh) | 2013-06-12 |
CN103155614B true CN103155614B (zh) | 2019-01-18 |
Family
ID=45973434
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180048988.3A Active CN103155614B (zh) | 2010-10-22 | 2011-10-23 | 漫游网络中接入终端身份的认证 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9112905B2 (zh) |
EP (1) | EP2630816B1 (zh) |
JP (1) | JP5579938B2 (zh) |
KR (1) | KR101536489B1 (zh) |
CN (1) | CN103155614B (zh) |
WO (1) | WO2012054911A1 (zh) |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
US9141780B2 (en) * | 2010-11-22 | 2015-09-22 | Smsc Holdings S.A.R.L. | Method and system for authenticating communication |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
US9184917B2 (en) * | 2011-05-27 | 2015-11-10 | Google Technology Holdings LLC | Method and system for registering a DRM client |
KR20130085509A (ko) * | 2011-12-14 | 2013-07-30 | 삼성전자주식회사 | 어플리케이션 사용자 인증 장치 및 방법 |
US20150074782A1 (en) * | 2012-04-24 | 2015-03-12 | Nec Corporation | Secure method for sso subscriber accessing service from outside of home network |
US9537663B2 (en) * | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
US9154945B2 (en) * | 2012-09-12 | 2015-10-06 | Nokia Technologies Oy | Methods and apparatus for privacy protection in ad hoc networks |
US9424249B1 (en) * | 2012-09-18 | 2016-08-23 | Amazon Technologies, Inc. | Encoding text units |
US20140282696A1 (en) * | 2013-03-15 | 2014-09-18 | Qualcomm Incorporated | Advertising download verification |
CN104184713B (zh) | 2013-05-27 | 2018-03-27 | 阿里巴巴集团控股有限公司 | 终端识别方法、机器识别码注册方法及相应系统、设备 |
US9525705B2 (en) * | 2013-11-15 | 2016-12-20 | Oracle International Corporation | System and method for managing tokens authorizing on-device operations |
CN103618610B (zh) * | 2013-12-06 | 2018-09-28 | 上海上塔软件开发有限公司 | 一种基于智能电网中能量信息网关的信息安全算法 |
CN104168361A (zh) * | 2014-08-29 | 2014-11-26 | 宇龙计算机通信科技(深圳)有限公司 | 通话方法、通话装置、服务器和通话系统 |
CN104202341B (zh) * | 2014-09-22 | 2018-01-19 | 英华达(南京)科技有限公司 | 进行智能终端设备信息传输的方法、系统及智能终端设备 |
US9692711B2 (en) * | 2014-12-22 | 2017-06-27 | Verizon Patent And Licensing Inc. | DNS redirecting for data roaming offering |
CN105827669B (zh) * | 2015-01-04 | 2019-06-11 | 中国移动通信集团江苏有限公司 | 一种终端虚拟存储的方法、设备和系统 |
US10237722B2 (en) * | 2015-03-11 | 2019-03-19 | Futurewei Technologies, Inc. | System and method for multi-SIM profiles or embedded SIM |
US9900156B2 (en) * | 2015-04-15 | 2018-02-20 | Cisco Technology, Inc. | Cloud service validation |
WO2018015243A1 (en) | 2016-07-18 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Operation related to user equipment using secret identifier |
GB2556906A (en) * | 2016-11-24 | 2018-06-13 | Trustonic Ltd | Handset identifier verification |
CN106790251B (zh) * | 2017-01-24 | 2020-05-05 | 中国联合网络通信集团有限公司 | 用户接入方法和用户接入系统 |
WO2019014399A1 (en) | 2017-07-13 | 2019-01-17 | Softbank Corp. | METHOD AND SYSTEM FOR INTER-NETWORK AUTHENTICATION |
WO2019011751A1 (en) * | 2017-07-14 | 2019-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | AUTHENTICATION CONTROL IN A HOME NETWORK |
WO2019025603A1 (en) * | 2017-08-03 | 2019-02-07 | Ipcom Gmbh & Co. Kg | EU DESIGNED TO TRANSMIT SERVICE VALIDATION MESSAGES |
CN109391601B (zh) * | 2017-08-10 | 2021-02-12 | 华为技术有限公司 | 一种授予终端网络权限的方法、装置及设备 |
US11290466B2 (en) * | 2017-08-16 | 2022-03-29 | Cable Television Laboratories, Inc. | Systems and methods for network access granting |
CN109803260B (zh) | 2017-11-17 | 2022-01-11 | 中兴通讯股份有限公司 | 拒绝接入方法、装置及系统 |
CN112136299B (zh) * | 2018-05-17 | 2023-02-14 | 诺基亚技术有限公司 | 经由公共服务提供方网络上的vpn连接性促进住宅无线漫游 |
JP7096736B2 (ja) * | 2018-08-28 | 2022-07-06 | キヤノン株式会社 | システム、及びデータ処理方法 |
CN109302412B (zh) * | 2018-11-06 | 2021-09-21 | 晋商博创(北京)科技有限公司 | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 |
CN110311783B (zh) * | 2019-05-30 | 2022-09-23 | 平安科技(深圳)有限公司 | 基于群签名的用户归属验证方法、装置和计算机设备 |
GB2586223A (en) * | 2019-08-05 | 2021-02-17 | British Telecomm | Conditional message routing in a telecommunications network |
TWI734270B (zh) * | 2019-11-25 | 2021-07-21 | 財團法人工業技術研究院 | 接取私有網路服務之方法及系統 |
CN112910826B (zh) * | 2019-12-03 | 2022-08-23 | 中国移动通信有限公司研究院 | 一种初始配置方法及终端设备 |
US11381941B2 (en) | 2020-10-13 | 2022-07-05 | Cisco Technology, Inc. | Dynamic permit/deny UE/realm list update and cost optimization based on network attach failure incidents |
US20220294639A1 (en) * | 2021-03-15 | 2022-09-15 | Synamedia Limited | Home context-aware authentication |
US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
US11800596B2 (en) * | 2021-07-26 | 2023-10-24 | Verizon Patent And Licensing Inc. | Systems and methods for temporary service provisioning |
CN115361685B (zh) * | 2022-10-21 | 2022-12-20 | 北京全路通信信号研究设计院集团有限公司 | 一种端到端漫游认证方法、系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
CN101026453A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
JP2009188765A (ja) * | 2008-02-06 | 2009-08-20 | Ntt Docomo Inc | 無線端末及び無線通信方法 |
WO2010039445A2 (en) * | 2008-10-02 | 2010-04-08 | Motorola, Inc. | Method, mobile station, system and network processor for use in mobile communications |
Family Cites Families (69)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI952146A (fi) | 1995-05-04 | 1996-11-05 | Nokia Telecommunications Oy | Tilaajalaitteen käyttoikeuden tarkistus |
FI101031B (fi) | 1995-05-12 | 1998-03-31 | Nokia Telecommunications Oy | Tilaajalaitteen käyttöoikeuden tarkistus |
SE506584C2 (sv) | 1996-05-13 | 1998-01-19 | Ericsson Telefon Ab L M | Förfarande och anordning vid övervakning av mobilkommunikationsenhet |
FI103469B (fi) | 1996-09-17 | 1999-06-30 | Nokia Telecommunications Oy | Kopioidun tilaajatunnuksen väärinkäytön estäminen matkaviestinjärjeste lmässä |
ATE387048T1 (de) | 1997-07-10 | 2008-03-15 | T Mobile Deutschland Gmbh | Verfahren und vorrichtung zur gegenseitigen authentisierung von komponenten in einem netz mit dem challenge-response-verfahren |
KR100315641B1 (ko) | 1999-03-03 | 2001-12-12 | 서평원 | 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법 |
DE19812215A1 (de) * | 1998-03-19 | 1999-09-23 | Siemens Ag | Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung |
FI110224B (fi) * | 1999-09-17 | 2002-12-13 | Nokia Corp | Valvontajärjestelmä |
US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
JP4223721B2 (ja) | 1999-12-08 | 2009-02-12 | 三洋電機株式会社 | 鍵管理システムおよび鍵管理方法 |
ATE274282T1 (de) | 1999-12-27 | 2004-09-15 | Mitsubishi Electric Corp | Funkkommunikationsgerät |
DE10026326B4 (de) | 2000-05-26 | 2016-02-04 | Ipcom Gmbh & Co. Kg | Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk |
JP4839554B2 (ja) | 2000-10-19 | 2011-12-21 | ソニー株式会社 | 無線通信システム、クライアント装置、サーバ装置および無線通信方法 |
US7668315B2 (en) * | 2001-01-05 | 2010-02-23 | Qualcomm Incorporated | Local authentication of mobile subscribers outside their home systems |
US20080301776A1 (en) * | 2001-02-14 | 2008-12-04 | Weatherford Sidney L | System method for providing secure access to a communications network |
JP2002345041A (ja) | 2001-05-21 | 2002-11-29 | Mitsubishi Electric Corp | 加入者端末における秘密情報の登録方法 |
US7779267B2 (en) | 2001-09-04 | 2010-08-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for using a secret in a distributed computing system |
US20040022748A1 (en) | 2002-03-12 | 2004-02-05 | Unilever Home & Personal Care Usa, Division Of Conopco, Inc. | Method of enhancing skin lightening |
US8060139B2 (en) | 2002-06-24 | 2011-11-15 | Toshiba American Research Inc. (Tari) | Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module |
CN100420171C (zh) * | 2003-03-25 | 2008-09-17 | 华为技术有限公司 | 一种使用用户标识模块信息进行用户认证的方法 |
JP4018573B2 (ja) | 2003-03-25 | 2007-12-05 | 株式会社エヌ・ティ・ティ・ドコモ | 認証システム及び通信端末 |
JP2005078220A (ja) | 2003-08-28 | 2005-03-24 | Matsushita Electric Ind Co Ltd | 情報処理装置ならびにサービス提供システムおよびサービス提供方法 |
US7325133B2 (en) | 2003-10-07 | 2008-01-29 | Koolspan, Inc. | Mass subscriber management |
WO2005045649A1 (en) | 2003-11-07 | 2005-05-19 | Telecom Italia S.P.A. | Method and system for the authentication of a user of a data processing system |
CN1684411B (zh) | 2004-04-13 | 2010-04-28 | 华为技术有限公司 | 一种验证移动终端用户合法性的方法 |
FR2864410B1 (fr) | 2003-12-19 | 2006-03-03 | Gemplus Card Int | Telephone portable et procede associe de securisation de son identifiant. |
CN1719919A (zh) | 2004-07-09 | 2006-01-11 | 上海迪比特实业有限公司 | 一种获取移动电话用户信息的方法 |
US8611536B2 (en) | 2004-09-08 | 2013-12-17 | Qualcomm Incorporated | Bootstrapping authentication using distinguished random challenges |
US20060089123A1 (en) * | 2004-10-22 | 2006-04-27 | Frank Edward H | Use of information on smartcards for authentication and encryption |
US7769175B2 (en) | 2004-11-24 | 2010-08-03 | Research In Motion Limited | System and method for initiation of a security update |
NO20050152D0 (no) | 2005-01-11 | 2005-01-11 | Dnb Nor Bank Asa | Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne |
ES2436340T3 (es) | 2005-02-04 | 2013-12-30 | Qualcomm Incorporated | Secuencia Inicial segura para comunicaciones inalámbricas |
JP2006245831A (ja) | 2005-03-01 | 2006-09-14 | Nippon Telegr & Teleph Corp <Ntt> | 通信方法、通信システム、認証サーバ、および移動機 |
US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
US20060236369A1 (en) | 2005-03-24 | 2006-10-19 | Covington Michael J | Method, apparatus and system for enforcing access control policies using contextual attributes |
US20060291422A1 (en) * | 2005-06-27 | 2006-12-28 | Nokia Corporation | Mobility management in a communication system of at least two communication networks |
KR100770928B1 (ko) | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
DE202005021930U1 (de) * | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
NO324315B1 (no) * | 2005-10-03 | 2007-09-24 | Encap As | Metode og system for sikker brukerautentisering ved personlig dataterminal |
JP2007281861A (ja) | 2006-04-06 | 2007-10-25 | Nec Corp | 端末認証方法及び携帯端末装置 |
CN101395887B (zh) | 2006-04-11 | 2013-02-13 | 高通股份有限公司 | 用于绑定多个认证的方法和设备 |
JP4527085B2 (ja) | 2006-06-14 | 2010-08-18 | 株式会社エヌ・ティ・ティ・ドコモ | 加入者認証モジュール |
WO2008138440A2 (en) | 2007-05-16 | 2008-11-20 | Panasonic Corporation | Methods in mixed network and host-based mobility management |
US7929959B2 (en) | 2007-09-01 | 2011-04-19 | Apple Inc. | Service provider activation |
KR101458205B1 (ko) * | 2007-09-17 | 2014-11-12 | 삼성전자주식회사 | 휴대 방송 시스템에서 방송 서비스 송수신 방법 및 장치 |
CN101448257A (zh) | 2007-11-28 | 2009-06-03 | 陈静 | 一种对用户终端进行验证的控制系统及控制方法 |
KR100905072B1 (ko) | 2007-12-18 | 2009-06-30 | 주식회사 케이티프리텔 | 강제 재위치 등록에 의한 도난 단말 사용 저지 방법 및시스템 |
US8561135B2 (en) * | 2007-12-28 | 2013-10-15 | Motorola Mobility Llc | Wireless device authentication using digital certificates |
US9197746B2 (en) * | 2008-02-05 | 2015-11-24 | Avaya Inc. | System, method and apparatus for authenticating calls |
WO2009111522A1 (en) | 2008-03-04 | 2009-09-11 | Alcatel-Lucent Usa Inc. | System and method for securing a base station using sim cards |
US20090239503A1 (en) | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
US8001379B2 (en) * | 2008-03-26 | 2011-08-16 | Mformation Technologies Inc. | Credential generation system and method for communications devices and device management servers |
US8145195B2 (en) * | 2008-04-14 | 2012-03-27 | Nokia Corporation | Mobility related control signalling authentication in mobile communications system |
US20090282256A1 (en) | 2008-05-12 | 2009-11-12 | Sony Ericsson Mobile Communications Ab | Secure push messages |
JP5388088B2 (ja) | 2008-05-14 | 2014-01-15 | 独立行政法人情報通信研究機構 | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 |
EP2368339B2 (en) | 2008-12-03 | 2022-10-05 | Entersekt International Limited | Secure transaction authentication |
US8121600B2 (en) * | 2008-12-30 | 2012-02-21 | Motorola Mobility, Inc. | Wide area mobile communications over femto-cells |
WO2010075650A1 (en) * | 2008-12-31 | 2010-07-08 | Nokia (China) Investment Co. Ltd | Solutions for identifying legal user equipments in a communication network |
CN102342142A (zh) * | 2009-03-06 | 2012-02-01 | 交互数字专利控股公司 | 无线设备的平台确认和管理 |
US8059586B2 (en) | 2009-06-04 | 2011-11-15 | Motorola Mobility, Inc. | Mobility management entity tracking for group mobility in wireless communication network |
EP2291015A1 (en) | 2009-08-31 | 2011-03-02 | Gemalto SA | A method for communicating data between a secure element and a network access point and a corresponding secure element |
US20110219427A1 (en) * | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
US8645699B2 (en) * | 2010-03-15 | 2014-02-04 | Blackberry Limited | Use of certificate authority to control a device's access to services |
CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
US8566926B1 (en) * | 2010-03-18 | 2013-10-22 | Sprint Communications Company L.P. | Mobility protocol selection by an authorization system |
US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
CN101945386B (zh) | 2010-09-10 | 2015-12-16 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
US8868915B2 (en) | 2010-12-06 | 2014-10-21 | Verizon Patent And Licensing Inc. | Secure authentication for client application access to protected resources |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
-
2011
- 2011-09-23 US US13/243,185 patent/US9112905B2/en active Active
- 2011-10-23 KR KR1020137013002A patent/KR101536489B1/ko active IP Right Grant
- 2011-10-23 WO PCT/US2011/057412 patent/WO2012054911A1/en active Application Filing
- 2011-10-23 JP JP2013534071A patent/JP5579938B2/ja active Active
- 2011-10-23 CN CN201180048988.3A patent/CN103155614B/zh active Active
- 2011-10-23 EP EP11785179.0A patent/EP2630816B1/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026453A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
JP2009188765A (ja) * | 2008-02-06 | 2009-08-20 | Ntt Docomo Inc | 無線端末及び無線通信方法 |
WO2010039445A2 (en) * | 2008-10-02 | 2010-04-08 | Motorola, Inc. | Method, mobile station, system and network processor for use in mobile communications |
Non-Patent Citations (1)
Title |
---|
Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0);P. Funk;《RFC5281》;20080831;第6页最后一段-第15页第10行,第33页第18-21行,第35页第1-4行 |
Also Published As
Publication number | Publication date |
---|---|
EP2630816B1 (en) | 2020-01-08 |
EP2630816A1 (en) | 2013-08-28 |
US20120100832A1 (en) | 2012-04-26 |
WO2012054911A1 (en) | 2012-04-26 |
JP5579938B2 (ja) | 2014-08-27 |
KR20130089651A (ko) | 2013-08-12 |
US9112905B2 (en) | 2015-08-18 |
CN103155614A (zh) | 2013-06-12 |
JP2013545367A (ja) | 2013-12-19 |
KR101536489B1 (ko) | 2015-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103155614B (zh) | 漫游网络中接入终端身份的认证 | |
US8726019B2 (en) | Context limited shared secret | |
KR101487074B1 (ko) | 액세스 단말기 아이덴티티의 인증 용이화 | |
US8407769B2 (en) | Methods and apparatus for wireless device registration | |
EP1686824B1 (en) | Attaching at least one of an algorithm and secret information specification to a field for storing random numbers for usage in an authentication calculation in a SIM card | |
US20090253409A1 (en) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device | |
US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
US20120260095A1 (en) | Apparatus and methods for controlling distribution of electronic access clients | |
CN102318386A (zh) | 向网络的基于服务的认证 | |
US12041452B2 (en) | Non-3GPP device access to core network | |
EP2907287A1 (en) | Network authentication | |
US20240171982A1 (en) | Non-3gpp device acess to core network | |
TW200527877A (en) | Method and application for authentication of a wireless communication using an expiration marker | |
WO2011124051A1 (zh) | 终端鉴权方法及系统 | |
JP6663537B2 (ja) | 端末アプリケーションをセキュリティエレメントにバインドする方法、対応するセキュリティエレメント、端末アプリケーション及びサーバ | |
WO2024049335A1 (en) | Two factor authentication | |
EP3367717A1 (en) | Profile rights management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |