CN103370899A - 无线设备、注册服务器和无线设备预配置方法 - Google Patents
无线设备、注册服务器和无线设备预配置方法 Download PDFInfo
- Publication number
- CN103370899A CN103370899A CN2011800675393A CN201180067539A CN103370899A CN 103370899 A CN103370899 A CN 103370899A CN 2011800675393 A CN2011800675393 A CN 2011800675393A CN 201180067539 A CN201180067539 A CN 201180067539A CN 103370899 A CN103370899 A CN 103370899A
- Authority
- CN
- China
- Prior art keywords
- wireless device
- operator
- registrar
- identifier
- subscriber identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及无线设备的自动预配置。无线设备(1)具有设备标识符和根据该设备标识符产生的第一私钥。注册服务器(5)具有运营商标识符和根据该运营商标识符产生的第二私钥。无线设备(1)向注册服务器(5)发送设备标识符,以及注册服务器(5)向无线设备(1)发送订户标识符。无线设备(1)基于该运营商标识符和该第一私钥产生共享密钥,以及注册服务器(5)基于该设备标识符和该第二私钥产生共享密钥。
Description
技术领域
本发明涉及无线设备的自动预配置。
背景技术
在当前无线网络中,无线设备需要执行附接过程以通过网络发起通信。图6示出了根据“General Packet Radio Service(GRPS)enhancement for Evolved Universal Terrestrial Radio AccessNetwork(E-UTRAN)access(Release 9)”(3GPP TS 23.401 V9.3.0)的附接过程的概述。为了简洁,注册服务器表示为单个设备;然而,其也可以是多个设备。
在步骤S21,无线设备向诸如服务GPRS支持节点(SGSN)的网络设备发送附接请求信号,该附接请求信号包括分配给无线设备的被称为国际移动订户标识符(IMSI)的订户标识符。在步骤S22,网络设备向无线设备的归属网络的注册服务器发送认证数据请求信号。该网络设备基于该附接请求信号中包括的IMSI,确定无线设备的归属网络。
在步骤S23中,注册服务器向网络设备发送包括随机值RAND、两个密钥Ik和Ck以及期望响应值XRES的认证数据响应信号。这里,两个密钥Ik和Ck以及期望响应值XRES是基于随机值RAND和在无线设备和注册服务器之间事先共享的共享密钥Kshare计算得到的。
在步骤S24,网络设备向无线设备发送包括随机值RAND的认证数据响应信号。在步骤S25,无线设备基于随机值RAND和共享密钥Kshare,计算响应值RES和两个密钥Ik和Ck。在步骤S26,无线设备向网络设备发送响应值RES。在步骤S27,网络设备比较期望响应值XRES是否与响应值RES相同,并且如果它们相同,则附接过程成功完成。
如上文所解释,需要预先确定针对无线设备的共享密钥Kshare,并在开始附接过程之前,将其存储在无线设备和注册服务器中。此外,需要从归属运营商(无线设备的归属网络的运营商)向无线设备分配IMSI,并在开始附接过程之前将其存储在无线设备中。当前,在可以插入无线设备的订户标识符模块(SIM)卡中存储共享密钥Kshare和IMSI,并且当用户向归属网络提交订阅时,将共享密钥Kshare和IMSI提供给无线设备的用户。因此,无线设备的预配置是基于离线执行的。
为了能够实现无线设备的远程预配置,“Feasibility study onthe security aspects of remote provisioning and change ofsubscription for Machine to Machine(M2M)equipment(Release9)”(3GPP TR 33.812 V9.2.0)提出使用注册运营商。
然而,为了与注册运营商中的设备进行通信,无线设备需要事先与注册运营商中的设备之间具有共享密钥。此外,无线设备需要事先具有与IMSI格式相同的临时连接标识(PCID)。如果每个国家或区域存在若干运营商,无线设备的制造商需要在生产时在其无线设备中存储多个共享密钥,每个共享密钥与一个注册运营商相对应。此外,根据当前方案,选择和/或改变归属运营商需要离线过程,因此不能在线选择并改变归属运营商。
发明内容
鉴于上述问题,提出本发明,本发明提供了一种用于预配置无线设备的方法,其不具有与网络之间的共享密钥和网络分配的订户标识符。此外,本发明提供了一种用在上述方法中的无线设备和注册服务器。
根据本发明的第一方案,一种无线设备包括:存储单元、通信单元和共享密钥产生单元。
所述存储单元被配置为存储设备标识符和根据所述设备标识符产生的私钥。所述通信单元被配置为:向网络发送与用户选择的运营商相对应的缺省订户标识符和所述设备标识符,并且响应于发送所述缺省订户标识符,从所述网络接收第一订户标识符。所述共享密钥产生单元被配置为:基于所述私钥和与所述运营商相对应的运营商标识符,产生第一共享密钥。
根据本发明的第二方案,一种注册服务器包括:存储单元、订户标识符管理单元、通信单元和共享密钥产生单元。
所述存储单元被配置为:存储网络的运营商标识符以及根据所述运营商标识符产生的私钥。所述订户标识符管理单元被配置为:响应于来自无线设备的请求信号,向所述无线设备分配订户标识符。所述通信单元被配置为:向所述无线设备发送所述订户标识符。所述共享密钥产生单元被配置为:基于所述私钥和从所述无线设备接收的设备标识符,产生共享密钥。
根据本发明的第三方案,一种用于预配置无线设备的方法,所述无线设备具有根据所述无线设备的设备标识符产生的第一私钥,所述方法包括以下步骤:从所述无线设备向用户选择的网络的注册服务器发送包括与所述网络相对应的缺省订户标识符在内的请求信号,所述注册服务器包括根据分配给所述网络的运营商标识符产生的第二私钥;在所述注册服务器,向所述无线设备分配订户标识符;从所述注册服务器向所述无线设备发送所述订户标识符;在所述无线设备,基于所述第一私钥和所述运营商标识符,产生共享密钥;以及,在所述注册服务器,基于所述第二私钥和从所述无线设备接收的所述设备标识符,产生所述共享密钥。
根据本发明的第四方案,一种存储在计算机可读介质中的计算机程序,使计算机用作所述注册服务器。
从下文中对如附图中示出的本发明的优选实施例的描述,本发明的其他目的和优点将更为清楚。
附图说明
图1示出了根据本发明的系统的示例性实施例;
图2是无线设备的方框图;
图3是注册服务器的方框图;
图4是根据实施例的时序图;
图5是关于DoS攻击的解释图式;以及
图6是附接过程的时序图。
具体实施方式
图1示出了根据本发明的系统的示例性实施例。在图1中,为了解释的目的示出了三个网络400、500和600。分配OID#1作为网络400的运营商的运营商标识符,分配OID#2作为网络500的运营商的运营商标识符,以及分配OID#3作为网络600的运营商的运营商标识符。运营商标识符可以是移动国家码(MCC)和移动网络码(MNC)的组合。
在图1中,网络400包括无线电接入网络(RAN)2、网络设备3和注册服务器4。网络设备3与RAN 2和注册服务器4相连。此外,网络设备3分别与网络500和600的注册服务器5和6相连。网络500和600也包括RAN和网络设备;然而,为了简洁,未在图1中示出。
注册服务器4至6产生预配置无线设备所需的数据,被称为MCIM对象,包括IMSI和共享密钥。注册服务器4至6的功能是相同的,可以在归属位置寄存器(HLR)中实现。可以在单个设备或多个设备中实现每个注册服务器。网络设备3在无线设备1和注册服务器4至6之间传送消息。可以在SGSN、移动交换中心(MSC)、移动管理实体(MME)或拜访位置寄存器(VLR)中实现网络设备3的功能。
图2是无线设备1的方框图。如图2所示,无线设备1具有存储单元11,存储分配给无线设备的设备标识符(例如,国际移动设备标识符(IMEI))和根据设备标识符产生的私钥。在图2中,向无线设备1分配DID#1作为设备标识符,根据DID#1产生Kd#1,并在存储单元11中事先存储DID#1和Kd#1。设备标识符可以由无线设备1的制造商分配。可以由无线设备1的制造商或可信第三方(通常被称为私钥产生器(PKG))执行私钥的计算。
缺省IMSI计算单元12基于无线设备1的用户向无线设备输入的运营商标识符,计算缺省IMSI。缺省IMSI用于访问用户选择的网络的注册服务器。用户可以直接使用I/O单元15输入运营商标识符。此外,用户可以通过选择在I/O单元15上显示的运营商标识符来输入运营商标识符。在此情况下,存储单元11存储与运营商名称相关联的运营商标识符的列表。
共享密钥产生单元13基于私钥Kd#1和用户输入的运营商标识符,产生临时共享密钥。通信单元14负责处理与注册服务器交换的消息。接口单元16被配置为与RAN 2相连。
图3是网络500的注册服务器5的方框图。注意,注册服务器4和6的功能性模块基本与注册服务器5的功能性模块相同。注册服务器5具有存储单元51,存储单元51存储分配给网络500的运营商标识符OID#2和根据运营商标识符OID#2产生的私钥。在图3中,Kr#2是根据运营商标识符OID#2产生的。可以由无线设备的制造商或可信第三方(通常被称为私钥产生器(PKG))执行私钥的计算。
IMSI管理单元52管理在网络500中使用的IMSI,并向无线设备分配临时IMSI(无线设备发送包括网络500的缺省IMSI的请求信号)。共享密钥产生单元53基于存储在存储单元51中的密钥Kr#2和无线设备的设备标识符,产生与无线设备之间的临时共享密钥。通信单元54负责处理与无线设备交换的消息。这些消息是经由接口单元55发送和接收的。
图4是在无线设备1的用户选择网络500作为归属运营商的情况下,用于向无线设备1提供临时IMSI并在无线设备1和注册服务器5产生临时共享密钥TKshare的时序图。在该实施例中,该时序使用在“3GSecurity;Security architecture(Release 10)”(3GPP TS 33.102V10.0.0)中规定的信号。然而,可以使用在其他标准中规定的其他信号。此外,可以使用原始信号。
在步骤S1中,用户通过输入归属网络的运营商标识符来选择无线设备1的归属运营商。在本示例中,用户使用I/O单元15向无线设备1输入OID#2,以选择网络500作为归属网络。代替用户输入运营商标识符,I/O单元15可以显示网络运营商的列表,用户可以选择一个运营商。该列表可以事先存储在存储单元11中。因为每个基站广播其网络的运营商标识符,通信单元14可以基于所接收的无线电信号产生运营商标识符的列表。
在步骤S2,缺省IMSI计算单元12计算用以访问用户选作归属运营商的网络500的注册服务器5的缺省IMSI。缺省IMSI是用于该时序的特殊IMSI,并且,例如,是通过向运营商标识符添加预定数字来计算的。例如,如果预定数字是0000000000,运营商标识符是AAABB,则缺省IMSI计算单元12产生AAABB0000000000作为缺省IMSI。此外,可以使用预定算法来根据运营商标识符计算缺省IMSI。例如,在该算法是重复运营商标识符3次的情况下,缺省IMSI计算单元12根据运营商标识符AAABB产生AAABBAAABBAAABB作为缺省IMSI。该算法是预先确定的,并且每个注册服务器存储用在其网络中的缺省IMSI。
在步骤S3,通信单元14向网络设备3发送包括缺省IMSI的附接请求信号。在步骤S4,网络设备3接收附接请求消息,并且因为缺省IMSI是网络500中使用的IMSI,所以网络设备3向注册服务器5发送包括来自无线设备1的缺省IMSI的认证数据请求信号。在步骤S5,通信单元54从网络设备3接收认证数据请求信号,并且IMSI管理单元52响应于经由网络设备3的来自无线设备1的请求,将临时IMSI分配给无线设备1。在步骤S6,通信单元54将临时IMSI设置在认证数据响应信号的RAND字段中,并向网络设备3发送该认证数据响应信号。在步骤S7,网络设备3向无线设备1发送认证数据响应信号。
在步骤S8,通信单元14从网络设备3接收认证数据响应信号,并将临时IMSI存储在存储单元11中。在步骤S9,通信单元14将设备标识符DID#1设置在同步失败信号的AUTS字段中,并向网络设备3发送该同步失败信号。因为同步失败,在步骤S10中,网络设备3根据标准的规定,向注册服务器4发送认证数据请求信号,以通知同步失败。如图4所示,在步骤S10中,网络设备3将所接收的同步失败信号的AUTS字段中的值复制到认证数据请求信号的AUTS字段中。此外,在步骤S10中,网络设备3根据标准的规定,将步骤S7中发送的认证数据响应信号的临时IMSI设置到认证数据请求信号的RAND字段中。
在步骤S11,通信单元54将认证数据请求信号中包括的无线设备1的设备标识符DID#1存储到存储单元51中。在步骤S12中,通信单元54向网络设备3发送认证拒绝信号,并且在步骤S13中,网络设备3向无线设备1发送认证拒绝信号。在步骤S14,无线设备1的共享密钥产生单元13根据私钥Kd#1和运营商标识符OID#2计算临时共享密钥TKshare。此外,在步骤S14中,注册服务器4的共享密钥产生单元53根据私钥Kr#2和设备标识符DID#1也计算临时共享密钥TKshare。
因为私钥Kd#1是根据设备标识符DID#1产生的,而私钥Kr#2是根据运营商标识符OID#2产生的,所以在无线设备1和注册服务器5使用合适的密钥产生算法(例如,在“Identity-Based CryptographyStandard(IBCS)#1:Supersingular Curve Implementations of theBF and BB1Cryptosystems”(RFC5091)和“Draft Standard forIdentity-based Public-key Cryptography Pairing”(IEEE P1363.3)中所公开的密钥产生算法)获得相同的临时共享密钥TKshare值。
利用上述操作时序,无线设备1获得临时IMSI,并与注册服务器5之间共享共享密钥TKshare。因此,无线设备1可以根据图5的附接过程使用临时IMS I和临时共享密钥TKshare访问注册服务器5,并且从注册服务器5下载包括IMSI和共享密钥Kshare的MCIM对象,以完成在线预配置。在下载MCIM对象之后,无线设备1将MCIM对象中包括的IMSI和共享密钥Kshare用于后续通信。注册服务器5可以为临时IMSI分配有效时段。在此情况下,如果在该时段内,没有使用临时IMSI进行访问,则注册服务器5可以使该临时IMSI无效。
无线设备1可以将临时IMSI和临时共享密钥Kshare用于后续通信,而无需下载包括IMSI和共享密钥Kshare的MCIM对象。然而,出于安全性考虑,无线设备可以获得新IMSI和新共享秘密密钥。
利用以上配置,共享密钥和订户标识符(例如,IMSI)不需要事先存储到无线设备和注册服务器中。只需事先在无线设备中存储根据设备标识符产生的密钥,并且只需事先在注册服务器中存储根据运营商标识符产生的密钥。因为不需要事先在无线设备中存储与网络之间的共享密钥,无线设备的用户可以在线选择并改变归属地运营商。此外,根据图4中的操作时序,在无线设备1和注册服务器之间使用的消息是符合标准规定的。因此,不需要对包括网络设备3在内的用于传送消息的中间设备进行修改。
此外,根据本发明,可获得无线设备的在线预配置,而无需使用注册运营商。然而,也可以使用注册运营商。在此情况下,用户在图1的步骤S1中选择注册运营商,并且在步骤S14中计算临时共享密钥TKshare之后,无线设备发起“Feasibility study on the securityaspects of remote provisioning and change of subscription forMachine to Machine(M2M)equipment(Release 9)”(3GPP TR 33.812V9.2.0)中描述的过程,以获得MCIM对象。
在图4中示出的操作时序中,用户在步骤S1中选择归属网络。然而,本发明不限于此。例如,用户可以在步骤S1中输入用作归属运营商的替代运营商的运营商标识符。在此情况下,在步骤S5中,替代运营商的注册服务器产生归属网络的临时IMSI。此外,替代运营商的注册服务器使用安全通信信道向归属网络的注册服务器发送在步骤S14中产生的临时共享密钥TKshare。在步骤S14之后,无线设备1可以使用该临时IMSI访问归属网络的注册服务器,并从该归属网络的注册服务器下载包括IMSI和共享密钥Kshare的MCIM对象。此外,在图4的操作时序中,无线设备1在步骤S9中发送设备标识符,然而,无线设备1可以在步骤S3中发送设备标识符。
此外,在图4中所示的操作时序中,用户输入所选运营商的运营商标识符,并且缺省IMSI计算单元12根据该运营商标识符产生与该运营商相对应的缺省IMSI。然而,用户可以将缺省IMSI直接输入到无线设备1中。在此情况下,共享密钥产生单元13根据缺省IMSI获得与所选运营商相对应的运营商标识符。此外,运营商标识符可以与缺省IMSI相同。
图4中的操作时序假定:私钥是由一个PKG产生的,并事先存储在无线设备和注册服务器中。在此情况下,因为相同密钥产生算法和相同参数用于产生所有私钥,多个注册服务器存储根据网络的运营商标识符产生的一个私钥。
然而,在每个无线设备制造商独立地产生无线设备的私钥并将其存储在无线设备中的情况下,密钥产生算法和/或参数在制造商之间是不同的。在此情况下,注册服务器需要在存储单元51中存储多个私钥,每个私钥与无线设备的制造商相对应。在存储单元51中存储的每个私钥是根据相同的运营商标识符产生的,但密钥产生算法和/或参数取决于制造商是不同的。在此情况下,共享密钥产生单元54基于设备标识符确定无线设备的制造商,并从存储单元51中存储的多个私钥中选择与所确定的制造商相对应的一个私钥。然后,共享密钥产生单元51基于所确定的制造商,标识密钥产生算法和/或参数,并计算临时共享密钥TKshare。
图5是关于DoS攻击的解释图。使用缺省IMSI,经由网络设备3、31和32,注册服务器5可能成为DoS攻击的目标。因此,通信单元54基于预定时段内消息的数量,确定传送DoS攻击消息的网络设备。更具体地,如果在预定时段内,网络设备传送比预定阈值多的消息,则注册服务器5确定该网络设备正在传送DoS攻击消息。在此情况下,注册服务器5的通信单元54可以忽略来自所确定的网络设备的消息。或者,注册服务器5可以在至少预定时段内,不对来自所确定的网络设备的消息进行响应。在此情况下,注册服务器可以在DoS攻击停止后,对某些消息进行响应。注册服务器5还基于预定时段内消息的数量,确定DoS攻击结束。
此外,在图4的步骤S6和S10之间,通信单元54不必保留资源等待步骤10中来自网络设备的认证数据请求信号,因为认证数据请求信号中包括设备标识符和临时IMSI的组合。在DoS攻击的情况下,此配置可以降低注册服务器5上的负荷。
对本领域普通技术人员来说,很多修改和变体是显而易见的。为了更好地解释本发明的原理,选择并描述了这些实施例。应当理解,除了如在所附权利要求中的限定之外,本发明并不局限于说明书中描述的特定实施例。
此外,本发明可以由程序来实现,所述程序使计算机或计算机系统用作注册服务器5或无线设备1。可以使用非易失性计算机可读存储介质或经由网络,向计算机或计算机系统传递定义了本发明功能的程序。应当理解,可以通过软件、硬件或软件和硬件的组合来实现本发明。
Claims (13)
1.一种无线设备(1),包括:
存储单元(11),被配置为:存储设备标识符和根据所述设备标识符产生的私钥;
通信单元(14),被配置为:向网络发送与用户选择的运营商相对应的缺省订户标识符和所述设备标识符,并且响应于发送所述缺省订户标识符,从所述网络接收第一订户标识符;以及
共享密钥产生单元(13),被配置为:基于所述私钥和与所述运营商相对应的运营商标识符,产生第一共享密钥。
2.根据权利要求1所述的无线设备(1),还包括:缺省订户标识符计算单元(12),被配置为:基于所述用户输入或选择的所述运营商标识符,计算所述缺省订户标识符。
3.根据权利要求1所述的无线设备(1),其中,所述运营商标识符是根据所接收的无线电信号获得的。
4.根据权利要求1所述的无线设备(1),其中,所述共享密钥产生单元(13)被配置为:根据所述用户输入或选择的所述缺省订户标识符,获得所述运营商标识符。
5.根据权利要求1至4中任意一项所述的无线设备(1),其中,响应于接收到所述第一订户标识符,向所述网络发送所述设备标识符。
6.根据权利要求1至5中任意一项所述的无线设备(1),其中,所述通信单元(14)还被配置为:使用所述第一共享密钥和所述第一订户标识符来访问注册服务器(5),并下载第二订户标识符和第二共享密钥。
7.根据权利要求1至6中任意一项所述的无线设备(1),其中,使用通知同步失败的信号,向所述网络发送所述设备标识符。
8.一种在网络(500)中使用的注册服务器(5),包括:
存储单元(51),被配置为:存储所述网络(500)的运营商标识符以及根据所述运营商标识符产生的私钥;
订户标识符管理单元(52),被配置为:响应于来自无线设备(1)的请求信号,向所述无线设备(1)分配订户标识符;
通信单元(54),被配置为:向所述无线设备(1)发送所述订户标识符;以及
共享密钥产生单元(53),被配置为:基于所述私钥和从所述无线设备(1)接收的设备标识符,产生共享密钥。
9.根据权利要求8所述的注册服务器(5),其中,所述存储单元(51)还被配置为:存储根据所述运营商标识符产生的多个私钥,以及,所述共享密钥产生单元(53)还被配置为:从所述多个私钥中,选择一个私钥,用于基于所述设备标识符,产生所述共享密钥。
10.根据权利要求8或9所述的注册服务器(5),其中,发送给所述无线设备(1)的所述订户标识符设置在用于认证无线设备的信号的随机字段中。
11.根据权利要求8至10中任意一项所述的注册服务器(5),其中,所述通信单元(54)还被配置为:当网络设备在第二预定时段内向所述注册服务器(5)发送比预定阈值多的消息时,在至少第一预定时段内,不对来自所述网络设备的消息进行响应。
12.一种用于预配置无线设备(1)的方法,所述无线设备(1)具有根据所述无线设备(1)的设备标识符产生的第一私钥,所述方法包括以下步骤:
从所述无线设备(1)向用户选择的网络(500)的注册服务器(5)发送包括与所述网络(500)相对应的缺省订户标识符在内的请求信号,所述注册服务器(5)包括根据分配给所述网络(500)的运营商标识符产生的第二私钥;
在所述注册服务器(5),向所述无线设备(1)分配订户标识符;
从所述注册服务器(5)向所述无线设备(1)发送所述订户标识符;
在所述无线设备(1),基于所述第一私钥和所述运营商标识符,产生共享密钥;以及
在所述注册服务器(5),基于所述第二私钥和从所述无线设备(1)接收的所述设备标识符,产生所述共享密钥。
13.一种存储在计算机可读介质中的计算机程序,所述计算机程序使计算机用作:
存储单元(51),被配置为:存储网络(500)的运营商标识符以及根据所述运营商标识符产生的私钥;
订户标识符管理单元(52),被配置为:响应于来自无线设备(1)的请求信号,向所述无线设备(1)分配订户标识符;
通信单元(54),被配置为:向所述无线设备(1)发送所述订户标识符;以及
共享密钥产生单元(53),被配置为:基于所述私钥和从所述无线设备(1)接收的设备标识符,产生共享密钥。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2011/050154 WO2012112085A1 (en) | 2011-02-14 | 2011-02-14 | Wireless device, registration server and method for provisioning of wireless devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103370899A true CN103370899A (zh) | 2013-10-23 |
| CN103370899B CN103370899B (zh) | 2016-09-28 |
Family
ID=44280235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180067539.3A Active CN103370899B (zh) | 2011-02-14 | 2011-02-14 | 无线设备、注册服务器和无线设备预配置方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9161215B2 (zh) |
| EP (1) | EP2676398B1 (zh) |
| CN (1) | CN103370899B (zh) |
| WO (1) | WO2012112085A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015096757A1 (zh) * | 2013-12-25 | 2015-07-02 | 中国移动通信集团公司 | 可信执行环境初始化方法及设备 |
| CN111133731A (zh) * | 2017-07-25 | 2020-05-08 | 瑞典爱立信有限公司 | 私钥和消息认证码 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
| CN113115273A (zh) * | 2015-10-09 | 2021-07-13 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2533485B1 (en) * | 2011-06-08 | 2015-03-04 | Giesecke & Devrient GmbH | Methods and devices for OTA management of subscriber identify modules |
| JP6035713B2 (ja) * | 2011-08-12 | 2016-11-30 | ソニー株式会社 | 情報処理装置、通信システムおよび情報処理装置の制御方法 |
| EP2704467A1 (en) * | 2012-09-03 | 2014-03-05 | Alcatel Lucent | Smart card initial personnalization with local generation of keys |
| CN103501493A (zh) * | 2013-09-16 | 2014-01-08 | 深圳市中兴物联科技有限公司 | 空中放号的方法、装置及系统 |
| GB2527276B (en) * | 2014-04-25 | 2020-08-05 | Huawei Tech Co Ltd | Providing network credentials |
| CN106470104B (zh) | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| US9913137B2 (en) * | 2015-09-02 | 2018-03-06 | Huawei Technologies Co., Ltd. | System and method for channel security |
| WO2017064824A1 (ja) | 2015-10-15 | 2017-04-20 | 日本電気株式会社 | 監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体 |
| US9838991B1 (en) | 2016-08-15 | 2017-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for managing mobile subscriber identification information according to registration requests |
| US9967732B2 (en) | 2016-08-15 | 2018-05-08 | At&T Intellectual Property I, L.P. | Method and apparatus for managing mobile subscriber identification information according to registration errors |
| US10015764B2 (en) | 2016-09-14 | 2018-07-03 | At&T Intellectual Property I, L.P. | Method and apparatus for assigning mobile subscriber identification information to multiple devices |
| US9924347B1 (en) | 2016-09-14 | 2018-03-20 | At&T Intellectual Property I, L.P. | Method and apparatus for reassigning mobile subscriber identification information |
| US9794905B1 (en) | 2016-09-14 | 2017-10-17 | At&T Mobility Ii Llc | Method and apparatus for assigning mobile subscriber identification information to multiple devices according to location |
| US9814010B1 (en) | 2016-09-14 | 2017-11-07 | At&T Intellectual Property I, L.P. | Method and apparatus for utilizing mobile subscriber identification information with multiple devices based on registration requests |
| US9843922B1 (en) | 2016-09-14 | 2017-12-12 | At&T Intellectual Property I, L.P. | Method and apparatus for utilizing mobile subscriber identification information with multiple devices based on registration errors |
| US9906943B1 (en) | 2016-09-29 | 2018-02-27 | At&T Intellectual Property I, L.P. | Method and apparatus for provisioning mobile subscriber identification information to multiple devices and provisioning network elements |
| US9918220B1 (en) | 2016-10-17 | 2018-03-13 | At&T Intellectual Property I, L.P. | Method and apparatus for managing and reusing mobile subscriber identification information to multiple devices |
| US10070303B2 (en) | 2016-11-11 | 2018-09-04 | At&T Intellectual Property I, L.P. | Method and apparatus for provisioning of multiple devices with mobile subscriber identification information |
| US10341842B2 (en) | 2016-12-01 | 2019-07-02 | At&T Intellectual Property I, L.P. | Method and apparatus for using temporary mobile subscriber identification information in a device to provide services for a limited time period |
| US10070407B2 (en) | 2016-12-01 | 2018-09-04 | At&T Intellectual Property I, L.P. | Method and apparatus for using active and inactive mobile subscriber identification information in a device to provide services for a limited time period |
| US10136305B2 (en) | 2016-12-01 | 2018-11-20 | At&T Intellectual Property I, L.P. | Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device |
| US10231204B2 (en) | 2016-12-05 | 2019-03-12 | At&T Intellectual Property I, L.P. | Methods, systems, and devices for registering a communication device utilizing a virtual network |
| CN109788480B (zh) | 2017-11-14 | 2021-01-05 | 华为技术有限公司 | 一种通信方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1308472A (zh) * | 2000-02-09 | 2001-08-15 | 朗迅科技公司 | 利用刷新密钥执行密钥刷新的方法和装置 |
| US20060154646A1 (en) * | 2005-01-13 | 2006-07-13 | Henti Tung | Method and apparatus for generating a unique identifier for a wireless device |
| CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
| WO2010139780A1 (fr) * | 2009-06-05 | 2010-12-09 | Gemalto Sa | Procédé de calcul d'un premier identifiant d'un élément sécurisé d'un terminal mobile à partir d'un second identifiant de cet élément sécurisé |
| WO2011009496A1 (en) * | 2009-07-24 | 2011-01-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal identifiers in a communications network |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| WO2005088894A1 (en) * | 2004-03-11 | 2005-09-22 | Universal Electronics Inc. | Syncronizing device-specific encrypted data to and from mobile devices using detachable storage media |
| WO2006064359A1 (en) * | 2004-12-17 | 2006-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Clone-resistant mutual authentication in a radio communication network |
| US8437288B2 (en) * | 2006-03-07 | 2013-05-07 | Qualcomm Incorporated | Network selection by wireless terminals |
| US7995994B2 (en) * | 2006-09-22 | 2011-08-09 | Kineto Wireless, Inc. | Method and apparatus for preventing theft of service in a communication system |
| US20080095361A1 (en) * | 2006-10-19 | 2008-04-24 | Telefonaktiebolaget L M Ericsson (Publ) | Security-Enhanced Key Exchange |
| US8064597B2 (en) * | 2007-04-20 | 2011-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| EP2119612B1 (en) * | 2008-05-16 | 2013-09-11 | Hitachi, Ltd. | Monitoring a status of nodes of a communication network |
| JP2011199325A (ja) * | 2008-06-18 | 2011-10-06 | Nec Corp | 識別子に基づく鍵交換装置 |
| US8577333B2 (en) * | 2008-11-25 | 2013-11-05 | Broadcom Corporation | Communication method and infrastructure supporting device security and tracking of mobile and portable multimedia devices |
| EP3051857A1 (en) * | 2009-03-05 | 2016-08-03 | Interdigital Patent Holdings, Inc. | Secure remote subscription management |
| CN102036222B (zh) * | 2009-09-25 | 2015-05-13 | 中兴通讯股份有限公司 | 一种m2m设备归属网络运营商变更的方法和系统 |
| US20110246527A1 (en) * | 2010-03-31 | 2011-10-06 | Salesforce.Com, Inc. | System, method and computer program product for associating a permission set with one or more users |
| US8813250B2 (en) * | 2010-03-31 | 2014-08-19 | Nec Corporation | Access control program, system, and method |
| US9535762B2 (en) * | 2010-05-28 | 2017-01-03 | At&T Intellectual Property I, L.P. | Methods to improve overload protection for a home subscriber server (HSS) |
| US20120109835A1 (en) * | 2010-10-28 | 2012-05-03 | International Business Machines Corporation | User filtering in social networking applications |
| EP2636232A4 (en) * | 2010-11-01 | 2016-04-20 | Ericsson Telefon Ab L M | GATEWAY DEVICE, METHOD OF CONTROLLING THE SAME, AND COMPUTER PROGRAM |
-
2011
- 2011-02-14 US US13/985,459 patent/US9161215B2/en not_active Expired - Fee Related
- 2011-02-14 CN CN201180067539.3A patent/CN103370899B/zh active Active
- 2011-02-14 WO PCT/SE2011/050154 patent/WO2012112085A1/en active Application Filing
- 2011-02-14 EP EP11707724.8A patent/EP2676398B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1308472A (zh) * | 2000-02-09 | 2001-08-15 | 朗迅科技公司 | 利用刷新密钥执行密钥刷新的方法和装置 |
| US20060154646A1 (en) * | 2005-01-13 | 2006-07-13 | Henti Tung | Method and apparatus for generating a unique identifier for a wireless device |
| CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
| US20090307492A1 (en) * | 2007-11-19 | 2009-12-10 | Zhenfu Cao | Method,system and network device for bidirectional authentication |
| WO2010139780A1 (fr) * | 2009-06-05 | 2010-12-09 | Gemalto Sa | Procédé de calcul d'un premier identifiant d'un élément sécurisé d'un terminal mobile à partir d'un second identifiant de cet élément sécurisé |
| WO2011009496A1 (en) * | 2009-07-24 | 2011-01-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal identifiers in a communications network |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015096757A1 (zh) * | 2013-12-25 | 2015-07-02 | 中国移动通信集团公司 | 可信执行环境初始化方法及设备 |
| US9843930B2 (en) | 2013-12-25 | 2017-12-12 | China Mobile Communications Corporation | Trusted execution environment initialization method and mobile terminal |
| CN113115273A (zh) * | 2015-10-09 | 2021-07-13 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| CN111133731A (zh) * | 2017-07-25 | 2020-05-08 | 瑞典爱立信有限公司 | 私钥和消息认证码 |
| CN112953718A (zh) * | 2019-11-26 | 2021-06-11 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
| CN112953718B (zh) * | 2019-11-26 | 2024-05-28 | 中国移动通信集团安徽有限公司 | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130326603A1 (en) | 2013-12-05 |
| CN103370899B (zh) | 2016-09-28 |
| WO2012112085A1 (en) | 2012-08-23 |
| EP2676398A1 (en) | 2013-12-25 |
| EP2676398B1 (en) | 2014-09-10 |
| US9161215B2 (en) | 2015-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103370899A (zh) | 无线设备、注册服务器和无线设备预配置方法 | |
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| EP3422629B1 (en) | Method, apparatus and system for encryption key distribution and authentication | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| KR101675088B1 (ko) | Mtc에서의 네트워크와의 상호 인증 방법 및 시스템 | |
| JP6062828B2 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
| EP2721854B1 (en) | Authentication server and communication device | |
| WO2021118610A1 (en) | Secure privacy provisioning in 5g networks | |
| EP3493462A1 (en) | Authentication method, authentication apparatus and authentication system | |
| CN108683690B (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| US20130189955A1 (en) | Method for context establishment in telecommunication networks | |
| US10979903B2 (en) | Key generation and distribution method based on identity-based cryptography | |
| CN104871579A (zh) | 移动通信系统中群组通信安全管理的方法和装置 | |
| CN112218287B (zh) | 一种通信方法及装置 | |
| US20240129746A1 (en) | A method for operating a cellular network | |
| KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| Zhang et al. | Dynamic group based authentication protocol for machine type communications | |
| KR20160103115A (ko) | 인증 알고리즘을 선택하는 방법, 장치 및 시스템 | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| WO2018082944A1 (en) | A communication network and a method for establishing non-access stratum connections in a communication network | |
| JP2019153922A (ja) | Lte通信システム及び通信制御方法 | |
| JP2017103761A (ja) | 移転認証方法、ユーザ装置及び移転確認方法 | |
| EP3654683A1 (en) | A method for sharing a security context with a plurality of connected devices belonging to a group | |
| CN118160338A (zh) | 通信网络中服务应用的安全信息推送 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |