CN103597774B - 提供机器到机器服务的方法和装置 - Google Patents
提供机器到机器服务的方法和装置 Download PDFInfo
- Publication number
- CN103597774B CN103597774B CN201280029345.9A CN201280029345A CN103597774B CN 103597774 B CN103597774 B CN 103597774B CN 201280029345 A CN201280029345 A CN 201280029345A CN 103597774 B CN103597774 B CN 103597774B
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- message
- network allocation
- root keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Abstract
提供了用于提供服务的方法和装置。由机器到机器(M2M)设备提供服务的方法包括:向网络安全能力(NESC)发送对于第一验证的请求,所述对于第一验证的请求包括M2M设备的标识符;与NESC执行可扩展验证协议(EAP)验证;以及如果第一验证成功,则使用主会话密钥(MSK)和M2M设备的标识符中的至少一个生成秘密钥。
Description
技术领域
本发明涉及用于通信系统的方法和装置。更具体地,本发明涉及用于提供机器到机器(M2M)服务的方法和装置。
背景技术
M2M技术正在被研究,而且是正在被开发和定义的技术,该技术允许M2M设备加入M2M网络并与M2M网络通信以使得在M2M设备上运行的应用能够与在因特网中的各种控制节点(即,服务器其他类似设备)上运行的应用通信。为了便于这种通信,M2M核心网络被指定的角色是具有便于向设备动态提供服务参数以及注册M2M设备以使其能够进行应用层访问。
发明内容
技术问题
M2M自动自举是在M2M设备和M2M网络之间运行的程序,以执行设备的动态预置(provisioning)。因此,需要一种系统和方法,用于执行设备的自诊断而没有当从计算机或用户界面手动选择自诊断项目时造成的不方便的。
技术方案
本发明的各方面解决上述问题和/或缺点并且至少提供下述优点。因此,本发明的一方面提供了一种由机器到机器(M2M)设备提供服务的方法,该方法包括:向网络安全能力(NESC)发送对于第一验证的请求,所述对于第一验证的请求包括M2M设备的标识符;与NESC执行可扩展验证协议(EAP)验证;以及如果第一验证成功,则使用主会话密钥(MSK)和M2M设备的标识符中的至少一个生成秘密钥(secret key)。
根据本发明的一方面,提供了一种用于提供服务的机器到机器(M2M)设备。M2M设备包括:发送器,用于向网络安全能力(NESC)发送对于第一验证的请求,所述对于第一验证的请求包括M2M设备的标识符;控制器,用于与NESC执行可扩展验证协议(EAP)验证;以及密钥生成器,用于如果第一验证成功,则使用主会话密钥(MSK)和M2M设备的标识符中的至少一个生成秘密钥。
根据本发明的另一方面,提供了一种在机器到机器(M2M)系统中由网络安全能力(NESC)提供服务的方法。该方法包括:确定是否从M2M设备接收到对于第一验证的请求,所述对于第一验证的请求包括M2M设备的标识符;如果接收到对于第一验证的请求,则与M2M设备执行可扩展验证协议(EAP)验证;以及如果第一验证成功,则使用主会话密钥(MSK)和M2M设备的标识符中的至少一个生成秘密钥。
根据本发明的另一方面,提供了一种用于在机器到机器(M2M)系统中提供服务的网络安全能力(NESC)。该NESC包括:控制器,用于确定是否从M2M设备接收到对于第一验证的请求,所述对于第一验证的请求包括M2M设备的标识符,而且用于如果接收到对于第一验证的请求,则与M2M设备执行可扩展验证协议(EAP)验证;以及密钥生成器,用于如果第一验证成功,则使用主会话密钥(MSK)和M2M设备的标识符中的至少一个生成秘密钥。
技术效果
根据本发明的一方面,存在多个益处:
代码重用:EAP被广泛用于“网络访问验证”,诸如用于WiFi网络、WiMAX、紫蜂(ZigBee)、以太网。PANA被用于紫蜂设备中的“网络访问验证”。重用相同的组件的另一目的是,降低M2M设备的开发和生产的成本。
可扩展性:EAP和PANA二者都是可扩展的协议。它们允许使用任何验证方法,不像TLS只允许使用PSK和基于证书的验证。以可以通过定义新的AVP(Attribute-Value-Pair,属性值对)容易地携带新的有效载荷的方式,PANA是可扩展的。
轻便(Lightweight):这个解决方案支持基于UDP的栈和基于TCP的栈二者。TLS需要基于TCP的协议栈,所以它需要更多的代码和处理。
模型拟合:EAP和PANA的三方验证模型更适合于设备-核心-MSBF系统。TLS基于两方设计,而且基于TLS的解决方案无法自然融入M2M架构。
附图说明
通过以下结合附图的描述,本发明特定示例性实施例的上述和其它方面、特征和优点将变得明显。
图1描绘了根据本发明的实施例的M2M自动自举程序(M2M Automated BootstrapProcedure)中涉及的网络元素;
图2描绘了根据本发明的实施例的在M2M网络上发生的事件的高层流程图;
图3描绘了涉及根据本发明的示例性实施例的自举程序的呼叫流;
图4A描绘了根据本发明的示例性实施例的设备的自举程序的流程图;
图4B描绘了根据本发明的示例性实施例的网络安全能力(NESC)的自举程序的流程图;
图4C描绘了根据本发明的示例性实施例的网络远程实体管理能力(NREM)的自举程序的流程图;
图4D描绘了根据本发明的示例性实施例的M2M服务自举功能(MSBF)的自举程序的流程图;
图4E描绘了根据本发明的示例性实施例的M2M服务层AAA服务器(MAS)的自举程序的流程图;
图5描绘了根据本发明的示例性实施例的设备功能模型;
图6描绘了根据本发明的示例性实施例的分离的网络访问验证和M2M自举程序;
图7描绘了根据本发明的示例性实施例的通过协议实施网络访问验证(Protocolfor carrying Authentication for Network Access,PANA)使用可扩展验证协议(Extensible Authentication Protocol,EAP)的网络和使用EAP的任何网络二者的呼叫流;以及
图8描绘了根据本发明的示例性实施例的设备功能模型。
贯穿附图,应该注意,相同的参考标记用于描绘相同的或相似的元素、特征和结构。
具体实施方式
提供下列参考附图的描述以有助于对通过权利要求及其等效物定义的本发明的示例性实施例的全面理解。本描述包括各种具体细节以有助于理解但是仅应当被认为是示例性的。因此,本领域普通技术人员将认识到,能够对 这里描述的实施例进行各种改变和修改而不脱离本发明的范围与精神。此外,为了清楚和简明起见,略去了对公知功能与结构的描述。
在下面说明书和权利要求书中使用的术语和措词不局限于它们的词典意义,而是仅仅由发明人用于使得能够对于本发明清楚和一致的理解。因此,对本领域技术人员来说应当明显的是,提供以下对本发明的示例性实施例的描述仅用于图示的目的而非限制如所附权利要求及其等效物所定义的本发明的目的。
应当理解,单数形式的“一”、“该”和“所述”包括复数指代,除非上下文清楚地指示不是如此。因此,例如,对“部件表面”的指代包括指代一个或多个这样的表面。
图1描绘了根据本发明的实施例的M2M自动自举程序中涉及的网络元素。
参照图1,连接网络元素的线对应网络元素当中使用的通信接口。设备110是自举以便开始使用由M2M核心网络120提供的M2M设施(facility)的实体。设备110经由M2M核心网络120利用M2M服务自举功能(M2M Service Bootstrapping Function)从事自举程序。在自举程序结束时,生成根秘密钥(KR),其用于密码保护M2M网络上的应用通信。KR存储在网络上的M2M服务层AAA服务器(MAS)140中。
欧洲电信标准协会(ETSI)M2M技术委员会(TC)正在设计M2M标准,而且已经确定要求自动的M2M自举程序并且已经确定对此的需要。
图2描绘了根据本发明的实施例的在M2M网络上发生的事件的高层流。
参照图2,包括网络访问验证的网络注册是由设备使用以获取对互联网协议(IP)网络的访问的程序。更高层程序,诸如M2M相关程序,可以在成功运行网络注册程序之后使用。M2M程序,诸如M2M服务自举和M2M服务连接,用于获取对M2M网络和IP网络之上的覆盖网络的访问。在图2中,M2M设备包含设备服务能力层(DSCL),M2M网关包含网关服务能力层(GSCL),并且网络域包含网络服务能力层(NSCL)。NSCL指的是网络域中的M2M服务能力。GSCL指的是M2M网关中的M2M服务能力。DSCL指的是M2M设备中的M2M服务能力。DSCL具有标识DSCL的DSCL标识符(ID),而且GSCL具有标识GSCL的GSCL标识符(ID)。
ETSI M2M架构支持设备和网关式装置二者到核心网络的连接。为简单 起见,贯穿本文档仅使用术语“设备”来指代电子设备和网关式装置,并因此,相对于M2M设备列举的特征、元素和操作也适用于M2M网关和网关式装置。此处可以使用词“设备”来指代DSCL和/或GSCL。
本示例性实施例提供了使用协议实施网络访问验证(PANA)和可扩展验证协议(EAP)的自动的M2M服务层自举程序。在这种方法中,网络注册和M2M服务自举是两个独立程序,如图2中所描绘的。PANA是用于在设备和核心网络之间携带EAP数据的协议。然而,本发明不限于此,而且其他合适的协议可以替代PANA,只要替代协议可以携带EAP和所需的有效载荷,而且此处相对于示例性实施例所介绍的操作遵循该替代协议。
在本发明的示例性实施例,以基于身份的验证密钥交换(Identity-BasedAuthenticated Key Exchange,IBAKE)为基础的EAP验证被用作运行的EAP验证方法。然而,本发明的各方面的不特定于使用的EAP验证方法。换句话说,本发明不限于EAP-IBAKE和任何EAP验证方法,可以使用诸如EAP-TLS、EAP-AKA、EAP-TTLS、EAP-GPSK、或其它类似的协议。
传输层安全性(TLS)已经被提出以用于设备和网络的相互验证,并且用于将自举参数作为有效载荷传送到超文本传输协议(HTTPS)层。然而,TLS的使用引入了若干个问题,对于这些问题,EAP和PANA通过若干个关键特征提供了解决方案,包括代码重用、可扩展性、轻便(lightweight)以及提供改进的模型拟合(model fit)。例如,相对于代码重用,EAP被广泛用于“网络访问验证”,诸如用于无线保真(WiFi)网络、无线互通微波存取(WiMAX)网络、紫蜂(ZigBee)网络和以太网网络。PANA被用于紫蜂设备中的“网络访问验证”。因此,重用相似或相同的组件的另一目的是,降低M2M设备的开发和生产的成本。相对于可扩展性,EAP和PANA二者是可扩展的协议,并且允许使用任何验证方法,不像TLS只允许使用预共享密钥(Pre-Shared Key,PSK)和基于证书的验证。PANA是可扩展的,以使得可以容易地通过定义新的属性值对(Attribute-Value-Pair,AVP)携带新的有效载荷。相对于轻便,EAP和PANA的使用支持基于用户数据报协议(UDP)的栈和基于传输控制协议(TCP)的栈二者。另一方面,TLS需要基于TCP的栈,并因此与使用EAP和PANA相比,它需要增加的代码和处理。相对于更好的模型拟合,EAP和PANA的三方验证模型对应M2M设备-核心-M2M服务自举功能(MSBF)系统架构。相比之下,TLS基于两方设计,而且基于TLS 的解决方案无法自然融入M2M系统架构。
图3描绘了涉及根据本发明的示例性实施例的自举程序的呼叫流。
参照图3,网络安全能力(NESC)302和网络远程实体管理能力(NREM)304驻留在M2M核心网络中。NESC302是验证器,而且NREM304是设备300的配置服务器。虽然在本发明的所有实施例中没有要求,但是在步骤310中,由M2M服务自举功能(MSBF)306发送M2M邀请。在由设备300发起自举程序的情况下,可以跳过步骤310,因为步骤310允许网络发起自举程序。因此,步骤310可以由NESC302或MSBF306发起。在由NESC302发起步骤310的情况下,在MSBF306和NESC302之间不存在相应的消息。然而,因为MSBF306或NESC302应该知道设备300的网络位置,所以在这样的情况下,步骤310中所涉及的消息在因特网协议(IP)层和/或链路层单播。可替换地,在MSBF306或NESC302不知道设备300的确切位置的情况下,那么消息在IP层和/或链路层任播、多播或广播。
在NESC302和MSBF306之间使用验证、授权和计费(AAA)协议。AAA协议的两个例子是远程验证拨入用户服务(RADIUS)和基于Diameter的协议(Diameter)。根据本示例性实施例,在NESC302和设备300之间使用的AAA协议是PANA。在步骤310中使用的PANA消息是PANA验证请求(PAR)消息,并且,除了PANA标准中定义的标准AVP,PANA消息可以包括PAR消息中的以下AVP:MSBF标识符(ID),用于将MSBF306的标识符传送到设备300;AVP的值字段,其包括数据元素,诸如指示标识符的类型的ID-Type(ID类型)、标识符的ID-value(ID值)和NESC-ID,其中ID-Type诸如完全合格的域名(FQDN)、网络访问标识符(NAI)、统一资源标识符、以及其他类似的标识符,而且NESC-ID用于将NESC标识符传送到设备300。此外,AVP的值字段包括以下数据元素:指示标识符的类型的ID-Type,诸如FQDN、NAI和URI;以及ID-value,它是标识符的值。
由于NESC302相对于PANA协议用作PANA验证代理(PAA),因此NESC-ID和PAA标识符彼此相等。此外,Network-ID(网络ID)用于将由MSBF306服务的(多个)M2M网络的标识符传送到设备300。零个、一个或多个这样的AVP可以被包括在同一消息中,而且单一MSBF306可以为多个网络服务。此外,除了其他数据元素,AVP的值字段还可以包括如上所述的ID-Tpye和ID-value。
此外,如上所述,也可以由传统的PAA,即,不在M2M网络中的PAA使用相同的AVP,以便通知PPA为其服务的各个网络。因此,Network-ID可以用于代表服务提供者和服务提供者所拥有的网络二者。此外,Device-ID(设备ID)也可以用于将目标设备的标识符传送到接收设备。由于包括AVP的消息可以被选播、多播或广播,并因此除了被目标设备接收之外还被多个节点接收,Device-ID使接收设备或节点能够确定请求是否打算供各接收设备或者其他一些设备使用。只有当Device-ID中的一个或多个匹配设备300的标识符时设备300才消费传入消息,否则设备300将丢弃该消息。除了其他数据元素,AVP的值字段还包括以下数据元素:指示标识符的类型的ID-Type,诸如FQDN、NAI、URI和MAC地址;以及ID-value,它是标识符的值。上面所讨论的AVP将ID类型和ID值一起呈现。在使用AVP的网络的架构不需要支持多种不同类型的ID的灵活性的情况下,可以使用这些AVP的变体,其中ID类型被省略。
此外,定义用于指示PANA运行的目的的Usage-Type(用途类型)AVP,即,PANA运行用于M2M自举、用于网络访问(即,PANA运行是PANA的传统使用)、还是用于其他类型的PANA运行。Usage-Type AVP可以被包括在首次、任何或所有的PANA消息交换中。Usage-Type AVP在值字段中包括以下数据元素:Tpye(类型),它携带指示用途类型的枚举值,例如,0用于网络访问,1用于M2M自举,2用于M2M服务注册,或用于其他类型的用途的其他值。
接着,在步骤320中,运行阶段1相互验证,以便设备300和网络彼此相互验证。根据本发明的示例性实施例,阶段1的相互验证可以只是验证的一个阶段(例如,利用EAP-TLS),或者可以是两个或更多个阶段。例如,EAP-IBAKE有两个阶段:使用临时ID和密码的第一阶段,随后是使用基于身份的加密(IBE)的第二阶段(见步骤340)。在使用两个阶段的情况下,每个阶段运行完整验证方法。例如,利用IBAKE方法,第一阶段运行一种方法,诸如EAP-广义PSK(GPSK),而且第二阶段运行另一种EAP方法,诸如EAP-IBAKE。在使用一个阶段的情况下,根据步骤340运行该阶段。换句话说,如果使用一个阶段则跳过步骤320。
在步骤320中运行完整EAP验证方法。EAP验证方法经由EAP通过PANA在设备300和NESC302之间通信,并且经由EAP通过AAA协议在NESC302和M2M服务层AAA服务器(MAS)308之间通信。因此,在这个阶段建立完整PANA会话。然而,如果验证失败,则步骤320中断。如果在步骤320中的验证成功,则将采取动作以使能步骤330。因此,步骤320完成设备300和网络之间的相互验证,并且还使能发现、识别和安全性以便为步骤330做准备。
为了使能步骤330,携带验证结果的最后的PANA消息携带附加的AVP。附加的AVP包括DM-server-ID(DM服务器ID),其用于将设备管理服务器的标识符传送到设备300,其中,零个、一个或多个这样的AVP可以被包括在同一消息中。DM-server-ID AVP的值字段可以包括以下两个数据元素:指示标识符的类型的ID-Type,诸如FQDN、IPv4地址、URI或其他类似的标识符;以及ID-value,它是标识符的值。
另一附加的AVP是Assigned-Device-ID(分配的设备ID),其用于传送由网络分配给设备300的设备标识符,而且将是用于随后在设备300和M2M核心网络之间发送信令的设备300的标识符,其中,零个、一个或多个这样的AVP可以被包括在同一消息中。Assigned-Device-ID AVP的值字段可以包括以下数据元素:指示标识符的类型的ID-Type,诸如FQDN、NAI、URI、和MAC地址;以及ID-value,它是标识符的值(例如,“light-switch-1001”(“灯-开关-1001”))。
DM-server-ID AVP和Assigned-Device-ID AVP将ID类型和ID值一起给出。在网络架构不需要支持多种不同类型的ID的情况下(即,只使用一种类型),可以使用这些AVP的变体,其中ID类型被省略。
此外,在步骤320的这个阶段,还建立设备300和设备管理服务器之间的加密安全关联。当Assigned-Device-ID和DM-server-ID作为终端点标识符时,根据以下共享秘密钥(shared secret key,KD-DM)公式基于主会话密钥(Master Session Key,MSK)来计算设备300和设备管理服务器之间的共享秘密钥:
KD-DM=Hash(MSK,constant_string|DM-server-ID|Assigned-Device-ID|other_parameters)
其中,Hash(哈希)是单向密钥哈希函数,诸如基于哈希的消息验证码(HMAC)安全哈希算法1(SHA1)、HMAC-SHA256,或其他类似的哈希函数;MSK是由运行的EAP方法导出的主会话密钥;constant_string是常量字符串值,诸如“M2M shared secret between Deviceand Device Management Server”(“设备和设备管理服务器之间的M2M共享秘密钥”),而且字符串可以包含一个或多个NULL字符(“\0”);DM-server-ID是设备管理服务器标识符的值;Assigned-Device-ID是由网络分配的设备标识符的值,其中,如果网络没有分配ID,则设备可以使用其自己的标识符作为分配的ID;而且other_parameters是可以被添加到此公式的变量的零个或多个参数。
根据本发明的另一示例性实施例,使用扩展的MSK(EMSK)代替MSK的共享秘密钥公式如下:
KD-DM=Hash(EMSK,constant_string|DM-server-ID|Assigned-Device-ID|other_parameters)。
PANA会话标识符和PANA密钥ID的组合作为密钥索引用于给定的设备。如果给定的设备只有一个PANA会话,则单独使用密钥ID足以索引KD-DM密钥。
根据本发明的另一示例性实施例,共享秘密钥公式可以使用根秘密钥(rootsecret key,KR)。然而,这个共享秘密钥公式应用于在运行设备配置之前生成KR的情况。这个共享秘密钥公式为:KD-DM=Hash(KR,constant_string|DM-server-ID|Assigned-Device-ID|other_parameters)。
接着,在步骤330中,运行设备预置(例如,使用开放移动联盟(OMA)设备管理(DM))。然而,步骤330是可选的,并且,可以根据运行步骤320的本发明的示例性实施例的配置来运行步骤330。当运行步骤330时,它可以使用在较早的PANA程序期间生成的标识符(诸如Assigned-Device-ID和DM-server-ID)和共享密钥(KD-DM)来保护。在步骤330,可以如在步骤320中所描述的计算保护这样的程序所需的标识符和加密密钥。
接下来,在步骤340,阶段2的相互验证被运行,而且涉及通过PANA运行EAP验证方法。一些验证方法可以使用步骤340,而且其它验证方法也可以省略步骤340。例如,使用EAP-TLS只运行验证的一个阶段,而基于IBAKE的验证使用两个阶段,而且第二阶段涉及运行EAP-IBAKE。
自举程序的一个结果是建立KR作为设备300和网络之间的共享秘密钥。在步骤320或步骤340结束时取决于步骤的可用性和使用这个方案的网络架构的配置生成KR。如果在步骤320期间没有传送Assigned-Device-ID,则它可以在步骤340结束时传送,而且由携带验证结果的最后的PANA消息携带。
可以通过使用以下替代技术之一生成KR。例如,在成功的验证程序结束时可以从由EAP方法产生的MSK来推导KR。在这种情况下,KR由存在于设备300上的EAP对等体和存在于MAS308或MSBF306上的验证服务器产生。验证服务器与验证器,即,NESC302,共享MSK。因此,MSK在成功的验证结束时构成动态生成的共享秘密钥,而且它被用作种子以用于根据以下公式的KR推导:
KR=Hash(MSK,constant_string|Assigned-Device-ID|Network-ID|other_parameters),
其中,Hash是单向密钥哈希函数,诸如HMAC-SHA1、HMAC-SHA256;MSK是由运行的EAP方法导出的主会话密钥;constant_string是常量字符串值,诸如“M2M shared secretroot key between Device and network”(“设备和网络之间的M2M共享根密钥”),而且可以包含一个或多个NULL字符(“\0”);Assigned-Device-ID是由网络分配的设备标识符的值,其中,如果网络没有分配ID,则设备可以使用其自己的标识符作为分配的ID;Network-ID是网络标识符的值;而且other_parameters是可以被添加到此公式的变量的零个或多个参数。
PANA会话标识符和PANA密钥ID的组合作为密钥索引用于给定的设备。如果给定的设备只有一个PANA会话,则单独使用密钥ID足以索引KR密钥。
可替换地,在成功的验证程序结束时可以从由EAP方法产生的EMSK来推导KR。在这种情况下,KR由存在于设备上的EAP对等体和存在于MAS308或MSBF306上的验证服务器产生。因此,EMSK在成功的验证结束时构成动态生成的共享秘密钥,而且被用作种子以用于根据以下公式的KR推导:KR=Hash(EMSK,constant_string|Assigned-Device-ID|Network-ID|other_parameters)。
PANA会话标识符和PANA密钥ID的组合作为密钥索引用于给定的设备。如果给定的设备只有一个PANA会话,则单独使用密钥ID足以索引KR密钥。可替换地,以下新定义的公式可以用于计算密钥索引:Key-index=Hash(KR,constant_string|other_parameters)。
接下来,在步骤350中,运行到MAS的设备信息预置,以使得M2M核心网络向MAS308发送设备预置信息(例如,KR、设备ID等)。如果成功 运行阶段2的相互验证,则只运行此步骤。
注意的是,根据本发明的另一示例性实施例,NESC302可以从上述示例性实施例中移除。在这种情况下,MSBF306和/或MAS308与设备30直接彼此交互,而无需经由NESC302发送消息。在这种情况下,PANA协议可以用于MSBF306和/或MAS308与设备300通信(即,运行在MSBF306和/或MAS308与NESC302之间的协议也可以被移除)。
参照图3,设备300、NESC302、NREM304、MSBF306和MAS308中的每一个可以分别包括用于控制和执行各个设备的操作的控制器、用于从各个设备发送信号的发送器、用于在各个设备处接收信号的接收器、用于在各个设备处发送和接收信号的收发器、以及用于生成密钥的密钥生成器。
图4A描绘了根据本发明的示例性实施例的设备的自举程序的流程图。
参照图4A,在步骤401中,设备确定自举程序是否是由设备发起的。如果自举程序是由设备发起的,则过程移动到步骤404。否则,过程移动到步骤402。在步骤402中,设备确定自举邀请是否被MSBF或NESC发送。如果自举邀请未被发送,则设备等待直到自举邀请被发送。否则,过程移动到步骤403。在步骤403中,设备发起自举程序并且过程移动到步骤404。
在步骤404中,设备确定阶段1相互验证是否被确认。如果验证未被确认,则过程移动到步骤408。否则,过程移动到步骤405。在步骤405中,设备运行阶段1的相互验证,并且过程移动到步骤406。在步骤406中,设备确定阶段1的相互验证是否成功。如果阶段1的相互验证没有成功,则过程终止。否则,过程移动到步骤407。在步骤407中,设备运行设备预置,而且过程移动到步骤408。在步骤408中,设备运行阶段2的相互验证。
图4B描绘了根据本发明的示例性实施例的NESC的自举程序的流程图。
参照图4B,在步骤411中,NESC确定自举程序是否由NESC发起。如果自举程序由NESC发起,则过程移动到步骤412,否则过程移动到步骤413。在步骤413中,NESC确定是否从MSBF接收到邀请。如果从MSBF接收到邀请,则过程移动到步骤412,否则过程移动到步骤414。在步骤414中,NESC确定是否从设备接收到引导消息。如果从设备接收到引导消息,则过程移动到步骤415,否则过程移动到步骤413。在步骤412中,NESC发送自举邀请到设备。自举邀请可以作为PANA验证请求(PAR)发送,而且过程移动到步骤415。
在步骤415中,NESC确定阶段1的相互验证是否被确认。如果阶段1的相互验证未被确认,则过程移动到步骤418,否则过程移动到步骤416。在步骤416中,NESC运行阶段1的相互验证。在步骤417中,NESC确定阶段1的相互验证是否成功。如果阶段1的相互验证没有成功,则过程终止,否则,过程移动到步骤418。在步骤418中,NESC运行阶段2的相互验证。
图4C描绘了根据本发明的示例性实施例的NREM的自举程序的流程图。
参照图4C,在步骤421中,NREM运行设备预置。
图4D描绘了根据本发明的示例性实施例的MSBF的自举程序的流程图。
参照图4D,在步骤431中,MSBF确定自举程序是否是由MSBF发起的。如果自举程序由MSBF发起,则过程移动到步骤432,否则过程移动到步骤433。在步骤432中,MSBF发送自举邀请到设备,而且过程移动到步骤433。在步骤433中,MSBF运行阶段2的相互验证,而且过程移动到步骤434。在步骤434中,MSBF确定阶段2的相互验证是否成功。如果阶段2的相互验证成功,则过程移动到步骤435,否则过程终止。在步骤435中,MSBF运行MAS预置。
图4E描绘了根据本发明的示例性实施例的MAS的自举程序的流程图。
参照图4E,在步骤441中,MAS确定阶段1的相互验证是否被确认。如果阶段1的相互验证未被确认,则过程移动到步骤443,否则过程移动到步骤442。在步骤442中,MAS运行阶段1的相互验证,而且过程移动到步骤443。在步骤443中,MAS运行MAS预置。
本发明的示例性实施例可以被应用于需要M2M设备的自动自举的M2M系统。在设备能够预先预置(例如,在制造期间预置)的网络中,这样的解决方案不是必需的。然而,由于M2M部署的动态和大规模的性质,依靠预先预置是不切实际的。
根据另一示例性实施例,提供了使用基于EAP的网络访问验证程序的M2M服务层自举。上面已经相对于图4A至图4E的示例性实施例描述了只运行自举的自举程序。本示例性实施例是利用网络访问验证以对于M2M服务层自举设备的优化程序。设备执行网络访问验证,以便在开始使用任何更高层服务(诸如M2M服务)之前连接到给定的网络。为了执行这样的验证,本示例性实施例中描述了很好地利用已运行的验证的关联程序。
图5描绘了根据本发明的示例性实施例的设备功能模型。
参照图5,设备500包括网络注册管理器510和M2M自举管理器520。网络注册管理器510为了网络访问服务将设备500注册到网络(即,获得对IP网络的访问)。M2M自举管理器520管理设备500的自举的状态。
网络注册管理器510包括以下讨论的元素。设备配置管理器512管理用于IP网络访问的诸如设备ID和网络ID的配置参数。设备配置管理器512与网络发现和选择管理器接口连接以导出预先配置的网络ID和导入动态学习的网络ID。设备配置管理器512还与EAP对等体接口连接以导出在EAP验证期间使用的网络用户凭据。网络发现和选择管理器514针对IP网络运行网络发现和选择程序,并且与EAP对等体516接口连接以导出所选择的网络ID。EAP对等体516与EAP更低层接口连接以实施EAP验证方法。EAP更低层518执行EAP对等体516的更低层服务。
M2M自举管理器520包括以下讨论的元素。设备配置管理器522管理用于M2M网络访问的诸如设备ID和网络ID的配置参数。设备配置管理器522与网络发现和选择管理器接口连接以导出预配置的网络ID并且导入动态学习的网络ID,并且与EAP对等体526接口连接以导出在EAP验证期间使用的M2M用户凭据。网络发现和选择管理器524针对M2M网络运行网络发现和选择程序,并且与EAP对等体526接口连接以导出所选择的网络ID。EAP对等体526与EAP更低层接口连接以实施EAP验证方法。EAP更低层528与EAP对等体526接口连接。
存在针对M2M自举定义的程序,其涉及运行设备和MSBF之间的协议以用于彼此相互验证,以及生成所需的M2M根密钥。在大多数M2M网络中,设备在获取访问网络之前要进行验证。代替运行自举程序的单独验证,本示例性实施例可以利用网络访问验证,以减少由自举程序所施加的执行、延迟和处理负荷。
图6描绘了根据本发明的示例性实施例的单独的网络访问验证和M2M自举程序。
网络访问服务器(NAS)602实现EAP验证器和AAA客户端功能。在图6中还示出了MAS604和设备601,而且AAA605实现验证、授权和计费服务器以及EAP验证服务器功能。NESC603执行安全功能,而且MSBF606提供M2M服务自举功能。
在图6的示例性实施例中,M2M自举程序变成网络访问验证程序的一部 分。利用网络访问验证程序生成KR。代替验证设备601两次(一次用于网络访问,一次用于M2M自举),设备601针对网络访问验证一次,并且得到的密钥被用于生成KR。在步骤610中,在设备601与NAS602之间执行网络访问验证。在步骤615中,在NAS602和AAA605之间执行网络访问验证。在步骤620中,在设备601和NESC603之间执行M2M自举程序。在步骤625中,在NESC603和MSBF606之间执行M2M自举程序。在步骤630中,在MAS604和MSBF606之间执行M2M自举程序。
图6的示例性实施例适用于使用基于EAP的网络访问验证的网络。与此相反,图4A至图4E的示例性实施例更适用于通过PANA使用EAP的网络。
图7描绘了根据本发明的示例性实施例的通过PANA使用EAP的网络和使用EAP的任何网络二者的呼叫流。
参照图7,AAA被并入MSBF以便形成(have)AAA/MSBF704。当访问网络通过PANA使用EAP进行网络访问验证时,利用这种方法。在步骤710和715中,设备701经由NAS702与AAA/MSBF704执行基于EAP的网络访问验证。在步骤710中,EAP在设备701和NAS702之间通过PANA携带,而且在步骤715中,EAP在NAS702和AAA/MSBF704之间通过RADIUS、Diameter或等效协议携带。
除了用于常规的网络访问验证的常规PANA呼叫流和有效载荷,附加的有效载荷被交换以便执行M2M自举。PANA消息中的一个或多个应该包含Usage-Type AVP,其中Type(类型)值被设置为指示M2M自举的值。此外,指示验证结果的最后的PANA消息可以包括零个或多个Assigned-Device-ID,以携带由网络分配的设备标识符。此外,PANA消息中的一个或多个应该包含Network-ID AVP。附加的有效载荷和AVP在上面已经描述,而且为简洁起见将避免进一步的描述。
在步骤710和715中成功的EAP验证结束时,生成EMSK。这个密钥被设备701和AAA/MSBF704知道。此外,KR可以从EMSK推导,如参照图3的示例性实施例所描述的。
PANA会话标识符和PANA密钥ID的组合作为密钥索引用于给定的设备。如果给定的设备只有一个PANA会话,则单独使用密钥ID足以索引KR密钥。可替换地,可以以参考图3的示例性实施例所讨论的方式计算密钥索引。因此,KR可以由网络随机生成,并且使用专用PANA AVP安全地传送 到设备701。KR在发送到设备701之前被加密,而且设备701在接收到KR之后解密KR。对于这样的加密/解密程序,定义了另一密钥,其可以在设备和网络侧二者上推导。KR由验证服务器加密并且由设备解密。这个加密/解密程序使用的密钥基于EMSK,并根据下面的公式计算:AS_ENCR_KEY=Hash(EMSK,constant_string|other_parameters)。
PANA会话标识符和PANA密钥ID的组合作为密钥索引用于给定的设备。如果给定的设备只有一个PANA会话,则单独使用密钥ID足以索引KR密钥。可替换地,以下新定义的公式可以用于计算密钥索引:Key-index=Hash(AS_ENCR_KEY,constant_string|other_parameters)。
加密形式的KR被使用AAA协议从AAA/MSBF704发送到NAS702,而且被使用携带验证结果的最后的PANA消息中的PANA AVP从NAS702中继到设备701。M2M-KR AVP可以被包括在上述PANA消息中,其中M2M-KR被用于将KR传送到设备701。M2M-KR AVP的值字段包括以下数据元素:Key-ID,其携带KR的标识符(索引),其中标识符的值由网络分配;以及KR-Encr,其是KR的加密值。用于加密的密钥是AS_ENCR_KEY。
接着,在步骤720中,运行从AAA704到MAS703的设备信息预置。步骤720涉及AAA704与MAS703共享设备预置信息(例如,KR、设备ID等)。
图7的示例性实施例可以应用于PANA或类似的可扩展的EAP传输都无法用于携带EAP的部署。在这种情况下,专用有效载荷,诸如Network-ID和Assigned-Device-ID,无法传达到设备。因此,假设这些参数以与本示例性实施例不相关的方式确定。然而,设备可能已经被配置有设备ID,而且设备在由链路层呈现的网络发现设备的帮助下发现网络ID。下面的公式用于从EMSK推导KR:KR=Hash(EMSK,constant_string|Assigned-Device-ID|Network-ID|other_parameters)。
根据以下新定义的公式计算KR的密钥索引:Key-index=Hash(KR,constant_string|other_parameters)。
图8描绘了根据本发明的示例性实施例的设备功能模型。
参照图8,设备800包括网络注册管理器810和M2M自举管理器820。网络注册管理器810为了网络访问服务将设备800注册到网络(即,获取对IP网络的访问)。M2M自举管理器820管理设备的自举的状态。
网络注册管理器810包括以下讨论的元素。设备配置管理器811管理用于IP网络访问的诸如设备ID和网络ID的配置参数。设备配置管理器811与网络发现和选择管理器812接口连接以导出预先配置的网络ID和导入动态学习的网络ID,而且与EAP对等体811连接以导出在EAP验证期间使用的网络用户凭据。此外,设备配置管理器811与EAP更低层814接口连接以导入动态学习的设备ID,并且与M2M自举管理器820接口连接以导出预配置的设备ID。
网络发现和选择管理器812针对IP网络运行网络发现和选择程序,并且与EAP对等体813接口连接以便导出所选择的网络ID。网络发现和选择管理器812还与M2M自举器815接口连接,以便导出所选择的网络ID。EAP对等体813与EAP更低层814接口连接以实施EAP验证方法,并且与M2M自举器815接口连接以便导出EMSK。
EAP更低层814与M2M自举器815接口连接以便导出动态学习的网络ID和分配的设备ID。M2M自举器815从网络注册管理器810之内的其他实体接收输入的参数,并根据示例性实施例的公式产生KR和密钥索引。M2M自举器815与M2M自举管理器820,即,M2M自举管理器820中的设备配置管理器连接,以导出这些信息元素。
这些M2M自举管理器820包括用于管理诸如设备ID、网络ID和KR的、用于M2M网络访问的配置参数的设备配置管理器,并且从存在于网络注册管理器810中的M2M自举器815导出这些参数。
本示例性实施例可以被应用于运行M2M设备的自举的M2M系统。在设备可以被预先预置(例如,在制造期间)的网络中,这样的解决方案可以被跳过。在具有动态和大规模M2M部署的网络中,由于M2M部署的大规模,依靠预先预置成为问题。因此,示例性实施例适用于使用基于EAP的网络访问验证的网络。根据本示例性实施例,访问网络提供者和M2M网络提供者是相同实体或者具有业务关系,以使得它们能够共享如图3的示例性实施例的步骤320中所要求的密钥材料(keying material)。
虽然已经参照本发明的某些示例性实施例示出和描述了本发明,但是本领域术人员应当清楚地理解,可以在形式和细节上对其做出各种改变而不脱离由所附权利要求及其等同物定义的本发明的精神和范围。
Claims (14)
1.一种用于机器到机器(M2M)设备的M2M服务自举的方法,该方法包括:
在M2M设备处从网络M2M节点接收第一消息,所述第一消息包括服务提供者(SP)标识符(ID)以及使用类型,M2M服务自举功能(MSBF)ID、网络安全能力(NESC)ID、以及目标设备ID中的至少一个;
在从网络M2M节点接收第一消息之后在M2M设备处从网络M2M节点接收第二消息;
识别第二消息是否包括网络分配的设备ID;以及
如果基于所述识别来自网络M2M节点的第二消息包括网络分配的设备ID,则由M2M设备基于SP ID和网络分配的设备ID生成M2M根密钥。
2.如权利要求1所述的方法,其中所述M2M根密钥的生成包括:
基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及网络分配的设备ID来生成M2M根密钥。
3.如权利要求1所述的方法,还包括:如果目标设备ID不匹配M2M设备自己的ID,则丢弃第一消息。
4.如权利要求1所述的方法,其中所述M2M根密钥和所述网络分配的设备ID中的至少一个被发送给M2M验证服务器(MAS),
其中所述M2M根密钥被用于M2M设备和相应于SP ID的服务提供者之间的相互验证,
其中所述M2M根密钥的生成包括:
如果所述网络分配的设备ID未由网络分配,则基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及M2M设备自己的ID来生成M2M根密钥。
5.一种用于机器到机器(M2M)服务自举的M2M设备的装置,该装置包括:
收发器,被配置为与网络M2M节点通信;以及
控制器,被配置为:
从网络M2M节点接收第一消息,所述第一消息包括服务提供者(SP)标识符(ID)、以及使用类型、M2M服务自举功能(MSBF)ID、网络安全 能力(NESC)ID、和目标设备ID中的至少一个;
在从网络M2M节点接收第一消息之后从网络M2M节点接收第二消息;
识别第二消息是否包括网络分配的设备ID;以及
如果基于所述识别来自网络M2M节点的第二消息包括网络分配的设备ID,则基于SP ID和网络分配的设备ID生成M2M根密钥。
6.如权利要求5所述的装置,其中所述控制器还被配置为基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及网络分配的设备ID来生成M2M根密钥。
7.如权利要求5所述的装置,其中,所述控制器还被配置为如果目标设备ID不匹配M2M设备自己的ID,则丢弃第一消息。
8.如权利要求5所述的装置,其中,所述M2M根密钥和所述网络分配的设备ID中的至少一个被发送给M2M验证服务器(MAS),
其中所述M2M根密钥被用于M2M设备和相应于SP ID的服务提供者之间的相互验证,以及
其中所述控制器还被配置为如果所述网络分配的设备ID未由网络分配,则基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及M2M设备自己的ID来生成M2M根密钥。
9.一种用于机器到机器(M2M)网络节点服务器的M2M服务自举的方法,该方法包括:
由M2M网络节点服务器向M2M设备发送第一消息,所述第一消息包括服务提供者(SP)标识符(ID)、以及使用类型、M2M服务自举功能(MSBF)ID、网络安全能力(NESC)ID和目标设备ID中的至少一个;
由M2M网络节点服务器识别M2M设备是否被分配了网络分配的设备ID;
在向M2M设备发送第一消息之后,由M2M网络节点服务器向M2M设备发送第二消息;以及
如果基于所述识别来自网络M2M节点的第二消息包括网络分配的设备ID,则由M2M网络节点服务器基于SP ID和网络分配的设备ID生成M2M根密钥。
10.如权利要求9所述的方法,其中所述M2M根密钥的生成包括:
基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及网络分配的 设备ID来生成M2M根密钥,
其中如果目标设备ID不匹配M2M设备自己的ID,则丢弃第一消息。
11.如权利要求9所述的方法,还包括将所述M2M根密钥和所述网络分配的设备ID中的至少一个发送给M2M验证服务器(MAS),
其中所述M2M根密钥被用于M2M设备和相应于SP ID的服务提供者之间的相互验证,
其中所述M2M根密钥的生成包括:
如果所述网络分配的设备ID未由网络分配,则基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及M2M设备自己的ID来生成M2M根密钥。
12.一种用于在机器到机器(M2M)服务自举的M2M网络节点服务器的装置,该装置包括:
收发器,被配置为与M2M设备和M2M验证服务器(MAS)中的至少一个通信;以及
控制器,被配置为:
向M2M设备发送第一消息,所述第一消息包括服务提供者(SP)标识符(ID)、以及使用类型、M2M服务自举功能(MSBF)ID、网络安全能力(NESC)ID和目标设备ID中的至少一个;
识别M2M设备是否被分配了网络分配的设备ID;
在向M2M设备发送第一消息之后,向M2M设备发送第二消息;以及
如果基于所述识别来自网络M2M节点的第二消息包括网络分配的设备ID,则基于SP ID和网络分配的设备ID生成M2M根密钥。
13.如权利要求12所述的装置,其中所述控制器还被配置为基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及网络分配的设备ID来生成M2M根密钥,以及
其中如果目标设备ID不匹配M2M设备自己的ID,则丢弃第一消息。
14.如权利要求12所述的装置,所述控制器还被配置为向MAS发送M2M根密钥和网络分配的设备ID中的至少一个,
其中所述M2M根密钥被用于M2M设备和相应于SP ID的服务提供者之间的相互验证,以及
其中所述控制器还被配置为如果所述网络分配的设备ID未由网络分配, 则基于扩展的主会话密钥(EMSK)、预定字符串、SP ID以及M2M设备自己的ID来生成M2M根密钥。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161475972P | 2011-04-15 | 2011-04-15 | |
| US61/475,972 | 2011-04-15 | ||
| US201161485275P | 2011-05-12 | 2011-05-12 | |
| US61/485,275 | 2011-05-12 | ||
| US201161544577P | 2011-10-07 | 2011-10-07 | |
| US61/544,577 | 2011-10-07 | ||
| PCT/KR2012/002874 WO2012141555A2 (en) | 2011-04-15 | 2012-04-16 | Method and apparatus for providing machine-to-machine service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103597774A CN103597774A (zh) | 2014-02-19 |
| CN103597774B true CN103597774B (zh) | 2017-11-07 |
Family
ID=47007296
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280029216.XA Expired - Fee Related CN103703698B (zh) | 2011-04-15 | 2012-04-16 | 机器对机器节点擦除程序 |
| CN201280029206.6A Active CN103621126B (zh) | 2011-04-15 | 2012-04-16 | 提供机器到机器服务的方法和装置 |
| CN201280029345.9A Expired - Fee Related CN103597774B (zh) | 2011-04-15 | 2012-04-16 | 提供机器到机器服务的方法和装置 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280029216.XA Expired - Fee Related CN103703698B (zh) | 2011-04-15 | 2012-04-16 | 机器对机器节点擦除程序 |
| CN201280029206.6A Active CN103621126B (zh) | 2011-04-15 | 2012-04-16 | 提供机器到机器服务的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US8843753B2 (zh) |
| EP (6) | EP3641359B1 (zh) |
| JP (3) | JP6022539B2 (zh) |
| KR (3) | KR101923047B1 (zh) |
| CN (3) | CN103703698B (zh) |
| WO (3) | WO2012141555A2 (zh) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209396B (zh) * | 2010-03-31 | 2014-01-22 | 华为技术有限公司 | 终端设备在网络中附着的方法、网元设备及网络系统 |
| EP2538606B1 (en) * | 2011-06-21 | 2017-08-09 | BlackBerry Limited | Provisioning a shared secret to a portable electronic device and to a service entity |
| US9253621B2 (en) | 2012-05-18 | 2016-02-02 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for associating service provider network identifiers with access network identifiers |
| US9445399B2 (en) | 2012-05-25 | 2016-09-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for associating service provider network identifiers with access network identifiers |
| US9497567B2 (en) | 2012-06-22 | 2016-11-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Selection of M2M devices by external triggering |
| CN103685210B (zh) * | 2012-09-26 | 2018-02-13 | 中兴通讯股份有限公司 | 终端的注册方法及装置 |
| KR102045905B1 (ko) * | 2012-11-05 | 2019-11-18 | 주식회사 케이티 | 단말 이동성 제공을 위한 단말 어플리케이션 등록 방법 및 그 장치 |
| KR20150088787A (ko) * | 2012-11-05 | 2015-08-03 | 엘지전자 주식회사 | 무선 통신 시스템에서 특정 리소스에 대한 정보 갱신을 위한 방법 및 장치 |
| KR102045907B1 (ko) * | 2012-11-23 | 2019-12-02 | 주식회사 케이티 | 응용 식별 정보와 서비스 제공 능력 식별 정보의 연계 방법 및 그 장치 |
| EP2945326B1 (en) * | 2013-01-11 | 2019-06-12 | LG Electronics Inc. | Method for changing gateway in machine-to-machine (m2m) system and device therefor |
| EP2954705B1 (en) * | 2013-02-07 | 2020-01-01 | Iot Holdings, Inc. | Methods and apparatuses for restful batch services |
| US10977052B2 (en) | 2013-05-06 | 2021-04-13 | Convida Wireless, Llc | Machine-to-machine bootstrapping |
| KR101999039B1 (ko) * | 2013-05-06 | 2019-07-10 | 콘비다 와이어리스, 엘엘씨 | 디바이스 트리거링 |
| KR20180038572A (ko) | 2013-05-22 | 2018-04-16 | 콘비다 와이어리스, 엘엘씨 | 머신-투-머신 통신을 위한 네트워크 지원형 부트스트랩핑 |
| KR101836421B1 (ko) | 2013-07-25 | 2018-03-09 | 콘비다 와이어리스, 엘엘씨 | 종단간 m2m 서비스 계층 세션 |
| US9392446B1 (en) | 2013-08-05 | 2016-07-12 | Sprint Communications Company L.P. | Authenticating environmental sensor systems based on security keys in communication systems |
| JP6382322B2 (ja) * | 2014-01-17 | 2018-08-29 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 通信ネットワーク内でのメッセージの転送 |
| EP3129873A1 (en) * | 2014-04-09 | 2017-02-15 | Convida Wireless, LLC | Service enabler function |
| US20150341241A1 (en) * | 2014-05-23 | 2015-11-26 | Verizon Patent And Licensing Inc. | Method and apparatus for specifying machine identifiers for machine-to-machine platform support |
| JP2016063538A (ja) * | 2014-09-12 | 2016-04-25 | 日本放送協会 | 送信装置および受信装置 |
| US9544395B2 (en) | 2014-10-10 | 2017-01-10 | At&T Intellectual Property I, L.P. | Facilitating quality of service and security via functional classification of devices in networks |
| US9838258B2 (en) | 2014-12-04 | 2017-12-05 | At&T Intellectual Property I, L.P. | Network service interface for machine-to-machine applications |
| DE102015000662B3 (de) | 2015-01-23 | 2016-06-09 | Jenoptik Laser Gmbh | Laseranordnung mit Hilfsring |
| JP6545966B2 (ja) | 2015-01-27 | 2019-07-17 | ルネサスエレクトロニクス株式会社 | 中継装置、端末装置および通信方法 |
| US9681473B2 (en) | 2015-05-29 | 2017-06-13 | Huawei Technologies Co., Ltd. | MTC service management using NFV |
| US10104522B2 (en) * | 2015-07-02 | 2018-10-16 | Gn Hearing A/S | Hearing device and method of hearing device communication |
| US10129235B2 (en) * | 2015-10-16 | 2018-11-13 | Qualcomm Incorporated | Key hierarchy for network slicing |
| US9826386B2 (en) * | 2015-10-27 | 2017-11-21 | Verizon Patent And Licensing Inc. | Configuring a machine-to-machine modem |
| US10104567B2 (en) | 2016-05-31 | 2018-10-16 | At&T Intellectual Property I, L.P. | System and method for event based internet of things (IOT) device status monitoring and reporting in a mobility network |
| EP3472960A1 (en) | 2016-06-15 | 2019-04-24 | Convida Wireless, LLC | Grant-less uplink transmission for new radio |
| US10592669B2 (en) | 2016-06-23 | 2020-03-17 | Vmware, Inc. | Secure booting of computer system |
| EP3482566B1 (en) | 2016-07-08 | 2024-02-28 | InterDigital Madison Patent Holdings, SAS | Systems and methods for region-of-interest tone remapping |
| US10242196B2 (en) * | 2016-07-29 | 2019-03-26 | Vmware, Inc. | Secure booting of computer system |
| EP3306970A1 (en) * | 2016-10-07 | 2018-04-11 | Giesecke+Devrient Mobile Security GmbH | Lpwa communication system key management |
| EP3520243A2 (en) | 2016-11-03 | 2019-08-07 | Convida Wireless, LLC | Frame structure in nr |
| US20180159828A1 (en) * | 2016-12-06 | 2018-06-07 | Ingenu | Multi-regional provisioning |
| WO2018152437A1 (en) | 2017-02-17 | 2018-08-23 | Vid Scale, Inc. | Systems and methods for selective object-of-interest zooming in streaming video |
| ES2742128T3 (es) * | 2017-03-03 | 2020-02-13 | Boeing Co | Sistema y método implementado por ordenador para la autentificación entre máquinas de un aparato |
| US10298581B2 (en) | 2017-04-28 | 2019-05-21 | Cisco Technology, Inc. | Zero-touch IoT device provisioning |
| US11777926B2 (en) | 2017-06-16 | 2023-10-03 | Cryptography Research, Inc. | Internet of things (IoT) device management |
| WO2019042540A1 (en) | 2017-08-30 | 2019-03-07 | Telefonaktiebolaget Lm Ericsson (Publ) | RECONFIGURATION OF COMMUNICATION DEVICES |
| US10574654B1 (en) * | 2017-11-07 | 2020-02-25 | United Services Automobile Asociation (USAA) | Segmentation based network security |
| US10057243B1 (en) | 2017-11-30 | 2018-08-21 | Mocana Corporation | System and method for securing data transport between a non-IP endpoint device that is connected to a gateway device and a connected service |
| WO2020068251A1 (en) | 2018-09-27 | 2020-04-02 | Convida Wireless, Llc | Sub-band operations in unlicensed spectrums of new radio |
| WO2020117549A1 (en) | 2018-12-06 | 2020-06-11 | Mocana Corporation | System and method for zero touch provisioning of iot devices |
| US11012425B2 (en) | 2018-12-28 | 2021-05-18 | Micron Technology, Inc. | Replay protection nonce generation |
| KR102624642B1 (ko) * | 2019-03-18 | 2024-01-12 | 주식회사 케이티 | M2m 시스템에서 라이프타임 갱신 방법 및 그 장치 |
| US20210297853A1 (en) * | 2020-03-17 | 2021-09-23 | Qualcomm Incorporated | Secure communication of broadcast information related to cell access |
| US11375042B2 (en) | 2020-07-10 | 2022-06-28 | Kyndryl, Inc. | Symphonizing serverless functions of hybrid services |
| TW202243604A (zh) | 2021-05-06 | 2022-11-16 | 瑞士商傑太日煙國際股份有限公司 | 用於具有至少一個液體噴射裝置的吸入裝置之容器、至少兩個容器之組合件以及將液體輸送至吸入裝置之方法 |
| US11941266B2 (en) | 2021-10-20 | 2024-03-26 | Samsung Electronics Co., Ltd. | Resource isolation in computational storage devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
| CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
| US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
| EP1634422B1 (en) * | 2003-06-18 | 2016-11-16 | Telefonaktiebolaget LM Ericsson (publ) | Method, system and apparatus to support hierarchical mobile ip services |
| US20050138355A1 (en) * | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| JP2005260358A (ja) | 2004-03-09 | 2005-09-22 | Matsushita Electric Ind Co Ltd | 通信システムならびにそれに用いられる通信端末、認証情報削除方法、認証情報削除プログラムおよび認証情報削除プログラムを格納する記録媒体 |
| US7336960B2 (en) * | 2004-10-26 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for balancing wireless access based on centralized information |
| JP4357562B2 (ja) * | 2005-02-21 | 2009-11-04 | 富士通株式会社 | 通信制御システム |
| KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| US20070143613A1 (en) * | 2005-12-21 | 2007-06-21 | Nokia Corporation | Prioritized network access for wireless access networks |
| US7831237B2 (en) * | 2006-02-03 | 2010-11-09 | Broadcom Corporation | Authenticating mobile network provider equipment |
| CN100512182C (zh) * | 2006-07-27 | 2009-07-08 | 西安电子科技大学 | 无线局域网中的快速切换方法及系统 |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| JP4216876B2 (ja) * | 2006-12-21 | 2009-01-28 | 株式会社東芝 | 通信端末を認証する装置、方法およびプログラム |
| US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
| US8356176B2 (en) * | 2007-02-09 | 2013-01-15 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
| EP1956791A1 (en) * | 2007-02-09 | 2008-08-13 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
| JP5067621B2 (ja) * | 2007-10-17 | 2012-11-07 | Necカシオモバイルコミュニケーションズ株式会社 | 通信端末装置及びプログラム |
| KR101407573B1 (ko) * | 2007-12-18 | 2014-06-13 | 한국전자통신연구원 | 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법 |
| US20090191857A1 (en) * | 2008-01-30 | 2009-07-30 | Nokia Siemens Networks Oy | Universal subscriber identity module provisioning for machine-to-machine communications |
| CN101499959B (zh) * | 2008-01-31 | 2012-08-08 | 华为技术有限公司 | 配置密钥的方法、装置及系统 |
| US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| US8407769B2 (en) * | 2008-02-22 | 2013-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for wireless device registration |
| US20090217038A1 (en) * | 2008-02-22 | 2009-08-27 | Vesa Petteri Lehtovirta | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network |
| JP5106682B2 (ja) * | 2008-06-12 | 2012-12-26 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | マシン・ツー・マシン通信のための方法及び装置 |
| US8737989B2 (en) | 2008-08-29 | 2014-05-27 | Apple Inc. | Methods and apparatus for machine-to-machine based communication service classes |
| US9084282B2 (en) * | 2008-10-17 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for providing a portable broadband service using a wireless convergence platform |
| US8788635B2 (en) | 2009-03-20 | 2014-07-22 | Microsoft Corporation | Mitigations for potentially compromised electronic devices |
| ES2391603T3 (es) * | 2009-06-02 | 2012-11-28 | Vodafone Holding Gmbh | Registro de un dispositivo móvil en una red de comunicaciones móviles |
| US9590961B2 (en) | 2009-07-14 | 2017-03-07 | Alcatel Lucent | Automated security provisioning protocol for wide area network communication devices in open device environment |
| KR20110048974A (ko) * | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
| US8839372B2 (en) * | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| WO2011082150A1 (en) * | 2009-12-28 | 2011-07-07 | Interdigital Patent Holdings, Inc. | Machine-to-machine gateway architecture |
| EP2543175B1 (en) * | 2010-03-01 | 2018-05-02 | InterDigital Patent Holdings, Inc. | Machine-to-machine gateway architecture and functionality |
| MX2012010363A (es) * | 2010-03-09 | 2012-11-30 | Interdigital Patent Holdings | Metodo y aparato para soportar comunicaciones de maquina a maquina. |
| US8886935B2 (en) * | 2010-04-30 | 2014-11-11 | Kabushiki Kaisha Toshiba | Key management device, system and method having a rekey mechanism |
| US9450928B2 (en) * | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
| CN101902681B (zh) * | 2010-07-21 | 2015-05-13 | 中兴通讯股份有限公司 | M2m平台业务处理的方法和m2m平台 |
| WO2012018893A1 (en) * | 2010-08-03 | 2012-02-09 | Interdigital Patent Holdings, Inc, | Machine-to-machine (m2m) call flow security |
| US8650619B2 (en) * | 2010-08-19 | 2014-02-11 | Alcatel Lucent | Method and apparatus of automated discovery in a communication network |
| US9282084B2 (en) * | 2010-12-07 | 2016-03-08 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for provisioning a temporary identity module using a key-sharing scheme |
| US8713589B2 (en) * | 2010-12-23 | 2014-04-29 | Microsoft Corporation | Registration and network access control |
| US9027101B2 (en) * | 2011-03-01 | 2015-05-05 | Google Technology Holdings LLC | Providing subscriber consent in an operator exchange |
| WO2012121776A1 (en) * | 2011-03-09 | 2012-09-13 | Joey Chou | Base station and communication method for machine to machine communications |
-
2012
- 2012-04-16 WO PCT/KR2012/002874 patent/WO2012141555A2/en active Application Filing
- 2012-04-16 CN CN201280029216.XA patent/CN103703698B/zh not_active Expired - Fee Related
- 2012-04-16 WO PCT/KR2012/002876 patent/WO2012141556A2/en active Application Filing
- 2012-04-16 KR KR1020137030376A patent/KR101923047B1/ko active IP Right Grant
- 2012-04-16 EP EP19215392.2A patent/EP3641359B1/en active Active
- 2012-04-16 KR KR1020137029892A patent/KR102051492B1/ko active IP Right Grant
- 2012-04-16 KR KR1020137030300A patent/KR101981229B1/ko active IP Right Grant
- 2012-04-16 EP EP12770819.6A patent/EP2697992A4/en not_active Ceased
- 2012-04-16 CN CN201280029206.6A patent/CN103621126B/zh active Active
- 2012-04-16 EP EP12770561.4A patent/EP2697933A4/en not_active Ceased
- 2012-04-16 JP JP2014505087A patent/JP6022539B2/ja not_active Expired - Fee Related
- 2012-04-16 WO PCT/KR2012/002877 patent/WO2012141557A2/en active Application Filing
- 2012-04-16 JP JP2014505089A patent/JP6066992B2/ja active Active
- 2012-04-16 EP EP12771806.2A patent/EP2697916A4/en not_active Ceased
- 2012-04-16 US US13/447,597 patent/US8843753B2/en active Active
- 2012-04-16 EP EP19171979.8A patent/EP3537741B1/en active Active
- 2012-04-16 US US13/447,571 patent/US9202055B2/en active Active
- 2012-04-16 US US13/447,599 patent/US9317688B2/en active Active
- 2012-04-16 EP EP19216075.2A patent/EP3668048B1/en active Active
- 2012-04-16 JP JP2014505088A patent/JP6370215B2/ja not_active Expired - Fee Related
- 2012-04-16 CN CN201280029345.9A patent/CN103597774B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039311A (zh) * | 2006-03-16 | 2007-09-19 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
| CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103597774B (zh) | 提供机器到机器服务的方法和装置 | |
| US10027670B2 (en) | Distributed authentication | |
| CN104956638B (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| US9380044B2 (en) | Supporting differentiated secure communications among heterogeneous electronic devices | |
| CN109075968A (zh) | 用于安全设备认证的方法和装置 | |
| CN108886528A (zh) | 用于根据多个供应技术之一供应设备的管理对象 | |
| CN107873137A (zh) | 用于管理通信系统中的简档的技术 | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| DE102007044905A1 (de) | Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM) | |
| WO2012151312A1 (en) | System and method for providing access credentials | |
| CN104756458A (zh) | 用于保护通信网络中的连接的方法和设备 | |
| CN109428874A (zh) | 基于服务化架构的注册方法及装置 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| US20160345170A1 (en) | Wireless network segmentation for internet connected devices using disposable and limited security keys and disposable proxies for management | |
| CN109155734A (zh) | 基于身份标识密码技术的密钥生成和分发方法 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN106535089B (zh) | 机器对机器虚拟私有网络 | |
| CN108259157B (zh) | 一种ike协商中身份认证的方法及网络设备 | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
| Thanh et al. | Implementation of open two-factor authentication service applied to virtual private network | |
| JP2024515154A (ja) | セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法 | |
| Mudugodu Seetarama | Secure device bootstrapping with the nimble out of band authentication protocol | |
| Antony | An Efficient and Secure Scheme for the Spontaneous Networks using Hybrid Symmetric or Asymmetric Technology | |
| CN110048843A (zh) | 会话密钥传输方法、设备及计算机可读存储介质 | |
| NAIDU et al. | Implementation of Impulsive Wireless Ad-Hoc Network for Secure Data Transmission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171107 Termination date: 20210416 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |