CN104871511A - 通过标签加注进行设备认证 - Google Patents
通过标签加注进行设备认证 Download PDFInfo
- Publication number
- CN104871511A CN104871511A CN201280077825.2A CN201280077825A CN104871511A CN 104871511 A CN104871511 A CN 104871511A CN 201280077825 A CN201280077825 A CN 201280077825A CN 104871511 A CN104871511 A CN 104871511A
- Authority
- CN
- China
- Prior art keywords
- equipment
- communications network
- mobile communications
- mobile entity
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于在移动通信网络中使用移动实体来认证设备的方法,该设备包括网络通信单元和标签加注电路,该移动实体包括标签加注电路并且被认证到移动通信网络。该方法包括以下步骤:移动实体使用所述标签加注电路与设备建立连接,使用标签加注电路在移动实体和设备之间交换认证数据,并且通过在移动通信网络中提交交换的认证数据来将设备认证到移动通信网络。由此,移动实体的许可通过标签加注而与另一设备共享。本发明还涉及相应的移动实体、设备、节点和计算机程序产品。
Description
技术领域
本发明涉及移动通信网络中的例如机器对机器M2M设备这样的设备的认证领域。具体地,本发明涉及用于使用附连到移动通信网络的移动实体来认证移动通信网络中的设备的方法和装置。
背景技术
尽管传统2G移动电话主要用于电路交换语音呼叫的无线通信,但是3G移动电话已经被开发为支持使用IP因特网协议的分组交换多媒体会话的无线通信。例如,用于通用分组无线服务GPRS和通用移动电信系统UMTS的通信协议支持分组交换多媒体服务。订阅2G或3G移动接入网络的用户通常必须具有安装在他的/她的通信终端中的物理订户身份模块SIM等,以获得与网络的连接。因此,SIM绑定到移动订阅(subscription),并且保持终端在向网络注册时必须使用以获得接入和连接的订阅身份和各种关联安全参数。可以在不同的设备之间移动SIM卡。
最近,还讨论了实现所谓的“软SIM”,其中传统SIM变成被嵌入到设备中,并且被远程配置或激活。然后,订户身份和订户标识在不使用物理和可移动SIM卡的情况下被启用。
此外,预期在移动和无线网络上的机器对机器M2M通信将在未来变得越来越重要。可能的M2M应用的示例几乎是无数的,例如在私家车中用于通信服务需要、在水表或电表中用于远程控制和/或远程抄表、在街边贩卖机中用于在货物脱销时或者在有足够的货币以证明清空的访问为正当时的通信、在出租车中用于验证信用卡、在监控摄像机中用于家庭或企业安全的目的等。
然而,因为订阅身份绑定到物理模块,即SIM,所以多个设备的连接通常对于上述每个设备需要一个SIM。因此,运营商通常提供使若干SIM连接到一个用户订阅的可能性。然而,因为需要处理若干SIM,所以这样的解决方案对用户不是很方便。当用户购买了新的设备时,新的SIM必须被订购或从另一个设备移动。该问题将随着单个用户想要附连到移动通信网络的设备的数目的增加而增加。
此外,如今的蜂窝网络提供对M2M设备的大范围连接,但是即使本地网络使用的增加将卸载蜂窝网络,诸如无线局域网、WLAN或紫蜂这样的允许以通常较低的功率消耗进行对移动通信网络的局域连接的、有竞争力的短距离无线电标准并不那样常可获得。
这种部署的一个问题是提供免费服务没有经济利益。因此,为了使其盈利,应当以某种方式认证M2M设备,并且通过其所有者订阅来对其使用进行计费。然而,难以获得并且将SIM卡安装在想要连接到移动通信网络的所有设备中。并且,其他形式的认证通常也是不实际的。
对该认证问题的一个已知解决方案是使用网状(mesh)路由解决方案。网状路由解决方案使得能够使用直接连接到基站的至少一个聚合设备来将聚合的设备连接到短距离无线电云。然而,通常不会从网络看到网状连接的(meshed)设备,因此这样的解决方案不总是期望的。
发明内容
考虑以上描述,本发明的一方面将提供一种用于在移动通信网络中认证设备的方法,该方法尝试单独地或以任何组合的方式减轻、缓解或消除本领域上述缺陷和/或缺点中的一个或多个。
本发明由所附独立权利要求来限定。通过所附权利要求以及通过以下描述和附图阐述了本发明的各种有利实施例。
本发明提供了一种用于在移动通信网络中使用移动实体来认证设备的方法,该设备包括网络通信单元和标签加注(tagging)电路,该移动实体包括标签加注电路并且被认证到移动通信网络。该方法包括以下步骤:移动实体使用所述标签加注电路建立与设备的连接,使用标签加注电路在移动实体和设备之间交换认证数据,并且通过在移动通信网络中提交交换的认证数据来将设备认证到移动通信网络。由此,通过标签加注来与另一设备共享通信网络中的移动实体的许可。因此,能够在没有SIM或“软SIM”的情况下将设备附连到移动通信网络。
根据本发明的一个方面,移动实体与用于与移动通信网络的通信的用户订阅相关联,并且所述认证使得设备能够使用相同的订阅。因此,用户可以仅使用一个SIM来将若干设备同时附连到移动通信网络。由此,不需要在用户的设备之间移动SIM。
根据本发明的一个方面,标签加注电路是近场通信装置。然后,在设备和移动实体之间建立连接所需要的唯一用户交互是使得设备紧密接近。因此,以简单和用户友好的方式共享许可。
根据本发明的一个方面,认证数据仅在预定义的时间内有效。因为如果标签加注被劫持,则认证数据以及由此对订阅的接入仅在有限时间中可用,所以这提供了增加的安全性。
根据本发明的一个方面,涉及被适配为与移动通信网络通信的移动实体。该移动实体包括标签加注电路、被配置成与所述移动通信网络进行通信的网络通信单元、以及被配置成使用所述标签加注电路来在移动实体和设备之间建立连接并且在设备和移动实体之间交换认证数据的处理单元;由此通过在移动通信网络中提交交换的认证数据来使得能够将所述设备认证到移动通信网络。
根据本发明的一个方面,涉及包括用于与移动通信网络进行通信的装置的设备。该设备包括标签加注电路、被配置成与所述移动通信网络进行通信的网络通信单元、被配置成使用所述标签加注电路来在移动实体和设备之间建立连接并且在设备和移动实体之间交换认证数据的处理单元,由此通过在移动通信网络中提交交换的认证数据来使得能够将所述设备认证到移动通信网络。
根据本发明的一个方面,涉及一种包括指令的计算机程序产品,该指令在由移动实体中的处理单元执行时,促使移动实体执行定义所述方法的方法步骤。
根据本发明的一个方面,涉及一种移动通信网络中的节点,包括:网络通信单元,被配置成获取在被认证到所述移动通信网络的移动实体和认证器之间交换的认证数据,所述认证器被适配为通过验证将设备与移动实体相关联的认证数据来将所述设备认证到所述移动通信网络。
考虑以上描述,本发明的目的是克服上述已知技术的至少一些缺点。
附图说明
通过对实施例/各方面的以下具体描述和附图的研究,本发明将变得更加易于理解,在附图中:
图1示意性地图示了移动通信网络;
图2和图3示意性地图示了移动通信网络中的设备的认证;
图4是图示了用于认证设备的方法步骤的实施例的流程图;
图5a是图示在3G网络中使用的EAP AKA的信令图;
图5b和5c是图示移动通信网络中的信号的交换的信令图;
图6图示了移动实体;
图7图示了设备;
图8示意性地图示移动通信网络中对设备(这里的移动电话)的认证;
图9示意性地图示了网络节点。
应当补充的是,对实施例的以下描述仅用于说明的目的,而不应当被解释为将本发明排他地限制为这些实施例/方面。
具体实施方式
以下结合附图描述的各步骤应当主要在逻辑意义上进行理解,而每个步骤依赖于所使用的实现方式和协议可以涉及一个或多个特定消息的通信。所示出的单元也应当在不限制实际可能的实现方式的前提下在逻辑上进行理解。
本发明的一般概念是使用具有与订阅相关联的SIM卡或“软SIM”的移动实体ME,诸如智能电话,并且其具有用于将设备附连到移动通信网络的标签加注能力,如近场通信NFC或射频标识符RFID。以该方式,设备可以被标签加注为被移动实体“所拥有”。该标签可以被注册在设备和网络数据库二者中。随后,该设备可以请求经由例如微微或毫微微基站的基站来接入移动通信网络。
本申请中所涉及的设备可以是能够与移动通信网络进行通信的任何设备。这样的设备的示例当然是移动电话、智能电话、膝上型计算机和M2M设备等。然而,必须理解的是,可以在例如汽车、灯柱、称具等的几乎任何设备中构建移动通信能力。
在本申请中所涉及的移动实体可以是具有SIM接口、用于SIM模块的位置或对“软SIM”的支持以及蜂窝通信能力的任何移动设备,例如移动电话、智能电话、平板电脑、计算机或M2M设备。
本发明还适用于这样的未来实现方式,其中用户订阅可以在没有物理SIM卡的情况下被充分认证。为了简单和清楚起见,我们将使用术语SIM卡,但是应当理解,这决不限制本发明的应用性。
在本申请中,术语标签加注是指其中对等认证可能发生的任何应用。上述NFC和RFID被引用,其中设备的接近确保了这些设备属于一起。然而,标签加注的其他示例是使用WLAN、蓝牙或紫蜂或任何其他设备对设备的通信。
因此,在本发明的一个方面中,通过用户将ME和设备靠近在一起的事实来确保配对的真实性。替代解决方案是,通过例如紫蜂、蓝牙或WiFi来执行配对,在该情况下,需要使设备配对在一起的其他方法。例如,配对可以由通过手动地在至少一个设备的用户接口上接受的ME和设备之间的配对来认证该配对的用户执行。这样的手动配对可以与密码交换或者验证配对是期望的并且正是想要的其他用户动作相关联。
在本申请中所涉及的标识还可以具有许多形式,原则上是可以通过其识别设备的寻址信息。示例是MAC标识、无线电网络临时标识RNTI、临时TIMSI或用户名。
现在将参考用户使用移动实体认证设备来描述本发明,典型的是如膝上型计算机的设备使用这里被实现为NFC的标签加注电路。
下文中,将更全面地参考附图来描述本发明的实施例,在附图中示出了本发明的实施例。然而,本发明可以以许多不同的形式来实现,并且不应当被解释为限于在此阐述的实施例。相反,提供这些实施例使得本公开将是全面和完整的,并且将向本领域技术人员充分传达本发明的范围。其中,类似的附图标记表示类似的元件。
图1示意性地图示了移动通信网络10,在该移动通信网络中可以执行根据本发明的一个方面的认证设备的方法。移动通信网络可以是任何类型的公共网络,该公共网络向移动实体40提供涉及信号和数据的通信和连接的任何服务,诸如使用例如GSM、UMTS、GPRS或LTE标准的移动接入网络。移动通信网络包括核心网络20和无线电接入网络30。无线电接入网络30包括一个或若干基站31、32。
核心网络20向通过接入网络30连接的客户提供各种服务。
为简单起见,该图示仅公开了两个基站31、32。每个基站限定小区60、70。应当理解,基站通常控制多个小区,所以每个基站的单个小区的图示决不是限制性的并且仅被图示以保持清楚。基站31、32是定义两个小区60、70的普通基站,例如节点B。
结合基站32,部署了短距离基站,其限定例如WLAN这样的短距离网络80。因为在任何情况下都部署基站31、32,所以添加短距离无线电支持以合理成本提供了新类型的连接。
图2和图3示意性地图示了移动通信网络10中认证设备50的过程,例如用户具有被认证到移动通信网络10的智能电话40。用户还具有设备50,例如膝上型计算机,具体参考图7的设备50,其具有短距离能力和标签加注电路53。在本发明的一个实施例中,向用户通知由其运营商提供的基站32的短距离网络80,例如通过SMS或通告(poster)来提供。然后,用户想要经由支持短距离的基站32的短距离网络80来将设备50附连到移动通信网络10。
这里,参考用户使用移动实体来将设备附连到支持短距离的基站32来描述认证设备的过程。然而,应当理解,该过程同样适用于将设备附连到任何基站,例如任何范围的蜂窝基站。
在图7中公开的设备50包括网络通信单元51和标签加注电路53。移动实体40被认证到移动通信网络20。在该示例中,使用基站31将移动实体附连到移动通信网络。如图2所示,由使用所述标签加注电路53与设备50建立连接的移动实体40发起认证。在该示例中,标签加注电路是NFC标签加注电路53。当使用NFC时,通过使移动实体40与设备50紧密接近来发起连接。
当移动实体40已经与设备50建立连接时,使用标签加注电路53在移动实体和设备之间交换认证数据。
根据本发明的一个方面,还交换网络标识符。网络标识符是定义用于认证到的网络的信息。网络标识符可以指定蜂窝网络的运营商、具体网络、域或小区。
然后,通过由移动实体40提交在移动实体40和设备50之间交换的认证数据来将设备50认证到移动通信网络20。
例如,通过移动实体40从设备50获取诸如MAC地址这样的标识来交换认证数据,通过该标识可以识别设备50。然后,移动实体40通过向网络10发送所述标识来提交认证数据以用于注册,由此对短距离网络的接入通过使用例如MAC过滤器而被启用。
此后,如图3中所示,可以使用所述网络通信单元以附连到基站32的短距离网络80来在设备50和移动通信网络20之间建立连接。还可以与移动实体40所连接到的相同基站31建立连接。还可以在移动通信网络内建立与另一基站的连接。先决条件当然是该设备包括用于附连到基站的通信装置。
通过使用与用于与移动通信网络10的通信的用户订阅相关联的移动实体40来如上述那样对设备50进行标签加注,使得该设备能够使用与移动实体40相同的订阅。然而,根据本发明的一个方面,认证绑定于用户、实体或域,由此可以以相同的方式共享许可。例如,在图1的支持短距离的基站32的情况下,该许可可以仅认证在该具体的短距离小区中的设备。
图4是图示用于在移动通信网络中使用包括标签加注电路并被认证到移动通信网络的移动实体来认证包括网络通信单元和标签加注电路的设备的方法的方法步骤的流程图。
在第一步骤410中,移动实体410使用所述标签加注电路来与设备建立410连接。该标签加注电路是适用于在设备和移动实体之间建立连接的任何无线装置。如果标签加注电路是NFC标签加注电路53,则通过使移动实体40与设备50紧密接近来建立该连接。
根据本发明的一个方面,标签加注电路53是蓝牙电路。然后,通过根据蓝牙标准使移动实体40与设备50配对来建立连接。
根据本发明的一个方面,标签加注电路是WLAN电路。然后,通过使用例如WEP的任何适当安全方案来将移动实体40连接到设备50,从而建立连接。
在接下来的步骤中,使用标签加注电路43、53来在移动实体和设备之间交换420认证数据。然后,通过在移动通信网络中提交交换的认证数据来向移动通信网络认证430该设备。提交要么在数据交换之后直接被执行,如在移动通信网络10中对设备的注册,要么当设备50尝试第一次附连到移动通信网络10时,进行提交。
根据本发明的一个方面,通过移动实体从所述设备50获取421a标识来交换认证数据,通过该标识识别设备,该标识例如上述MAC地址。然后,通过向网络发送431a所述标识来执行认证。
根据本发明的一个方面,通过移动实体向所述设备发送421b认证数据以用于在移动通信网络中提交431b来交换认证数据。然后,认证数据例如是标识或用户名。认证数据还可以包括密码。
当认证已经完成时,设备可以建立440与移动通信网络的通信。
根据本发明的一个方面,认证被注册在设备和网络节点中的网络数据库二者中,例如由已经提供了用于移动实体的SIM卡的运营商运行的数据库。随后,该设备可以请求经由基站接入移动通信网络。
哪个基站将用于附连以及如何附连在例如与认证数据一起交换的网络标识符中被定义。根据本发明的一个方面,使用移动实体的订阅,该注册向设备给予对网络的其他基站的接入。原则上,该设备可以具有与移动实体相同的许可。
如果认证数据是标识和密码,则通过提交该标识和密码来请求接入。
对接入的请求例如通过设备发现自己靠近由网络标识符指示的基站来触发。接入是直接的或通过一组中间短距离无线电路由器。
根据本发明的一个方面,认证仅在预定义的时间内有效。该时间例如由移动实体或由移动通信网络来指定。该时间通常在几分钟到几天、几周或几年之间。
当被标签加注的设备50附连到移动通信网络10时,可以对移动实体所有者的订阅计入接入成本花费。
根据本发明的一个方面,对于一个订阅,仅允许该用户同时标签加注并且使用有限数目的设备。然后,限定设备可以使用该订阅的最大时间,以允许在先前的标签加注和认证被释放时对另一设备标签加注可能是有用的。
如结合图2和图3所描述的,使用MAC地址作为认证数据是实现本发明的一个非常简单的方法。还有其他若干可能性。在一个实施例中,在图5b的信令图中所示,交换的认证数据是标识,例如如第三代认证和密钥协议可扩展认证协议方法EAP-AKA所定义的网络接入标识符。
用于移动网络的现有标准提供了基于作为成功的认证和密钥约定AKA的结果所创建的安全上下文的、对服务网络和移动实体之间的通信的保护。例如,AKA是在UMTS和LTE网络中用于执行认证和会话密钥分发的机制。AKA要求长期共享密钥K被存储在例如USIM卡的移动实体以及移动实体的归属网络中的认证服务器AS中,例如归属订户服务器HSS。基本原理在图5a中如下所述:
-网络从移动实体请求标识5a:1。作为响应,移动实体发送5a:2订户/移动实体标识,例如国际移动订户标识IMSI。
-基于该标识,服务网络使用该移动实体的标识来从附图中未示出的AS请求下述数据:随机质询RAND:认证令牌AUTN、期望响应、XRES和密钥集合。如下述,这些密钥在UMTS中对应于CK、Ik。
-经由服务网络向移动实体发送5a:3随机质询RAND以及认证令牌AUTN,其提供回放保护并且使移动实体能够认证该网络。
-在移动实体处的USIM验证AUTN,并且从RAND:密钥集合计算两个值CK和Ik以及响应RES,5a:4。
-RES被发送5a:5回服务网络,这验证响应RES如预期,即其匹配XRES,并且如果是,则得到已经从预期的发送方接收到其的结论。如果是,则移动实体被认为通过认证,并且使用该密钥集合来保护后续数据交换。
由此,AKA创建用于在移动实体和服务网络之间的安全通信的新的会话密钥CK和Ik。
图5a和图5b中图示的实施例基于认证和密钥约定,例如EAPAKA。然而,原理不限于此,而是可以使用基于共享秘密的任何认证协议来实现。这些实施例可以独立于所使用的标签加注电路来使用,并且还独立于用于将设备50附连到移动通信网络的通信的类型来使用。然而,这些示例基于上述使用CK和Ik的3G实现方式,即使使用该原理也可以共享任何密钥。这样的密钥包括例如根据例如TS33.401中定义的原理导出的认证和加密密钥,包括从KASME导出的密钥,诸如KeNB、KNASint、KNASenc、KUPenc、KRRCint和KRRCenc。
在图5b中所示的第一实施例中,使用如图5a中描述的EAP-AKA来向网络认证移动实体。因此,移动实体具有认证密钥Ik和CK对。交换基于移动实体在图4的步骤425生成用于向移动通信网络提交的至少一个导出的密钥。
在第一步骤中,移动实体40从设备50获取5b:1设备标识。该标识可以是MAC地址、RNTI、国际移动订户标识、TIMSI、IMEI或IMSI。在接下来的步骤中,移动实体生成至少一个导出的密钥,在该情况下Ckdev和Ikdev。该至少一个密钥是从移动实体的认证密钥和获取到的设备的标识计算的5b:2。在接下来的步骤5b:3中,移动实体向设备50发送所述至少一个导出的密钥Ckdev和Ikdev,以供提交到移动通信网络。该至少一个导出的密钥Ckdev和Ikdev使得设备50能够向移动通信网络10进行认证。这是由设备50通过发送5b:4包括所述至少一个导出的密钥的、用于附连到移动通信网络的请求来完成的。根据本发明的一个方面,消息5b:3包含要在其中实现认证的域名或网络地址。网络地址是例如设备应当将消息发送5b:4到的地址。域可以例如是在其中认证有效的区域标识,诸如网络名、域名、运营商名称等。其还可以包括例如其中认证在特定接入技术上有效的信息,诸如酒店的WiFi网络或实现具体技术的企业网络。这些具有替代的域和区域限制被列出作为示例,并且不应当限制本发明的应用性。
在图5c的信令图中图示了替代实施例。该方法与图5b中的实施例的不同之处在于,设备50不需要将其标识发送到移动实体。使用如图5a中所描述的标准AKA来向网络认证该移动实体。这些步骤可能已经在移动实体第一次连接到移动通信网络10时被执行。在该实施例中,在两个步骤中计算导出的密钥,第一步骤包括使用单向函数f(S),该函数将移动实体与运营商共享的长期共享秘密K作为输入。将得到的RES发送5c:1到设备50。而且,在该情况下,发送到该设备的消息可以包括寻址和域信息,如已经结合先前的附图所描述的。
第二步骤包括使用函数5c:2来计算导出的认证密钥集合Ckdev和Ikdev,该函数将第一函数的结果和设备的标识作为输入。如在上述示例中,至少一个导出的密钥(这里Ckdev和Ikdev)使得设备50能够向移动通信网络10进行认证。这由设备50通过发送5c:3包括所述至少一个导出的密钥的、对移动通信网络进行附连的请求来完成。
图5b和图5c的实施例是可以如何使用根据本发明的标签加注使用EAP-AKA来交换认证密钥的示例。然而,本发明不应被视为限于这些示例。原则上,当存在与ME共享安全密钥的实体时,可以使用任何认证协议。例如,其可以是共享从SIM卡上的密钥导出的密钥的无线电基站。替代地,任何核心网络节点可以共享ME和对应节点均已知的另一个密钥。
图6图示了被配置成与移动通信网络进行通信的移动实体。该移动实体包括标签加注电路43、网络通信单元41和处理单元42。
标签加注电路43可以是被配置成标签加注设备的任何电路。该标签加注电路可以是近场通信电路。其还可以是蓝牙电路或RFID电路。
网络通信单元41被配置成与所述移动通信网络进行通信。网络通信单元可以是适用于该目的的任何无线通信单元,诸如短距离通信单元、蜂窝通信单元或其组合。
处理单元42被配置成执行以上和以下相关于图2-5和图8描述的所有方法。因此,处理单元42被配置成在移动实体和设备之间建立连接,并且使用所述标签加注电路43来在设备和移动实体之间交换认证数据,从而通过在移动通信网络中提交交换的认证数据来使得能够向移动通信网络认证所述设备。如果移动实体50与用于与移动通信网络的通信的用户订阅相关联,则所述认证数据使得设备能够使用相同的订阅。
在本发明的另一方面中,移动实体包括屏幕,该屏幕被配置成显示当前被标签加注的设备的标识和描述。显示器可以示出当前被标签加注的设备的列表,并且示出仍然可以被标签加注的其他设备的数目。
根据本发明的一个方面,移动实体包括用于从列表中移除或释放设备的装置。然后,用户可以在所显示的列表上进行交互,并且选择要从被允许使用订阅中移除的一个或若干设备。通过选择一个或若干这样的设备,并且响应于该选择,移动实体可以向网络发送用于从被允许使用订阅中移除选择的设备的消息。
图7图示了包括用于与移动通信网络进行通信的装置的设备50。该设备50包括标签加注电路53、网络通信单元51和处理单元52。
标签加注电路53可以是被配置成从移动实体接收标签加注信息的任何电路。该标签加注电路可以是近场通信电路。其也可以是蓝牙电路或RFID电路。
网络通信单元51被配置成与所述移动通信网络进行通信。网络通信单元可以是适用于该目的的任何无线通信单元,诸如短距离通信单元、蜂窝通信单元或其组合。
处理单元52被配置成在设备和移动实体之间建立连接,并且使用所述标签加注电路53来在设备和移动实体之间交换认证数据;由此通过在移动通信网络中提交交换的认证数据来使得能够将所述设备认证到移动通信网络。
本发明还涉及包括指令的计算机程序产品,该指令在由移动实体中的处理单元执行时,促使移动实体执行如本文档中所述的方法。
本发明还涉及如图1所示的移动通信网络10中的核心网络节点21,参见图9。该网络节点可以例如是移动性管理实体MME。
网络节点21包括网络通信单元和认证器。
网络通信单元211被配置成获取在被认证到移动通信网络的移动实体40之间交换的认证数据。
认证器212被适配为通过将所述设备50与所述移动实体40相关联的所述认证数据的验证来将设备50认证到移动通信网络。移动实体与用于与移动通信网络的通信的用户订阅相关联,并且其中所述认证数据使设备得到认证来使用相同的订阅。
图8示意性地图示了根据本发明的另一方面的在移动通信网络10中认证设备51的过程。这可以是用户具有移动实体,例如被认证到移动通信网络的智能电话40。在该实施例中,用户还具有带有蜂窝通信能力的第二设备,例如平板电脑51。然后,用户想要在不将SIM移动到平板电脑51的情况下,使用相同的SIM来将平板电脑51附连到移动通信网络10。
平板电脑51包括网络通信单元和标签加注电路。移动实体40被认证到移动通信网络。在该示例中,使用基站31将移动实体附连到移动通信网络。认证是由移动实体40使用标签加注电路来与平板电脑51建立连接而发起的,如图8所示。在该示例中,标签加注电路是NFC标签加注电路。当使用NFC时,通过使移动实体40紧密接近平板电脑51来发起连接。
当移动实体40已经与平板电脑51建立了连接时,在移动实体和设备之间交换认证数据。这通常可以通过如图5a或5b中公开的共享至少一个认证密钥(例如Ik和Ck)来完成。
还可以交换网络标识符。网络标识符是定义待认证到的网络的信息。在该情况下,网络标识符可以指定蜂窝网络的运营商、具体网络、域或小区。
然后,通过在移动通信网络中提交交换的认证数据来将设备51认证到移动通信网络。
如图3中虚线所示,可以通过提交标识和至少一个认证密钥,在设备和移动通信网络之间建立连接时,来执行认证。
通过使用与用于与移动通信网络10的通信的用户订阅相关联的移动实体以如上所述的方式对平板电脑51进行标签加注,使得该设备能够使用与移动实体40相同的SIM。
Claims (21)
1.一种用于在移动通信网络中使用移动实体来认证设备的方法,所述设备包括网络通信单元和标签加注电路,所述移动实体包括标签加注电路并且被认证到所述移动通信网络;所述方法包括:
-所述移动实体使用所述标签加注电路与所述设备建立(410)连接;
-使用所述标签加注电路在所述移动实体和所述设备之间交换(420)认证数据;以及
-通过在所述移动通信网络中提交交换的所述认证数据来将所述设备认证(430)到所述移动通信网络。
2.根据权利要求1所述的用于认证设备的方法,进一步包括:
-使用所述网络通信单元在所述设备和所述移动通信网络之间建立(440)通信。
3.根据权利要求1或2所述的用于认证设备的方法,其中所述移动实体与用于与所述移动通信网络的通信的用户订阅相关联,并且其中所述认证使得所述设备能够使用相同的订阅。
4.根据前述权利要求中的任何一项所述的用于认证设备的方法,其中通过所述移动实体从所述设备获取(421a)标识来交换所述认证数据,通过所述标识所述设备能够被识别。
5.根据权利要求4所述的用于认证设备的方法,其中所述认证包括:所述移动实体将所述标识发送(431a)到所述网络。
6.根据权利要求4所述的用于认证设备的方法,其中所述地址是媒体接入控制地址或无线电网络临时标识。
7.根据权利要求4或6所述的用于认证设备的方法,进一步包括:
-在所述移动实体中生成(425)从所述移动实体的所述认证密钥和所述设备的所述标识计算出的至少一个导出的密钥,并且将所述至少一个导出的密钥发送到所述设备以用于向所述移动通信网络提交;所述至少一个导出的密钥使得所述设备能够通过发送包括所述至少一个导出的密钥的、对附连到所述移动通信的请求,来认证到所述移动通信网络。
8.根据权利要求1所述的用于附连设备的方法,其中所述认证数据是通过下述来交换的:所述移动实体向所述设备发送(421b)所述认证数据以用于向所述移动通信网络提交(431b)所述认证数据、或者从所述认证数据导出的数据。
9.根据权利要求8所述的用于附连设备的方法,其中所述认证数据包括第一函数的结果,所述第一函数使用所述移动实体与所述移动通信网络的运营商共享的长期共享秘密作为输入。
10.根据权利要求8所述的用于附连设备的方法,进一步包括:
-在所述设备中使用所述第一函数和所述设备的所述标识来计算导出的密钥;所述导出的密钥使得所述设备能够通过发送包括所述至少一个导出的密钥的、对所述移动通信网络附连的请求来认证到所述移动通信网络。
11.根据权利要求8所述的用于附连设备的方法,其中所述认证数据包括标识或用户名。
12.根据权利要求8或11所述的用于附连设备的方法,其中所述认证数据包括密码。
13.根据前述权利要求中的任何一项所述的用于认证设备的方法,其中所述标签加注电路是近场通信装置。
14.根据前述权利要求中的任何一项所述的用于认证设备的方法,其中所述认证数据仅在预定义的时间内有效。
15.一种被适配为与移动通信网络进行通信的移动实体(40);所述移动实体包括:
-标签加注电路(43);
-网络通信单元(41),被配置成与所述移动通信网络(10)进行通信;
-处理单元(42),被配置成在所述移动实体(40)和设备(50)之间建立连接,并且使用所述标签加注电路(43)在所述设备和所述移动实体之间交换认证数据;由此,通过在所述移动通信网络(10)中提交交换的所述认证数据来使得能够将所述设备认证到所述移动通信网络。
16.根据权利要求15所述的移动实体(40),其中所述移动实体(40)与用于与所述移动通信网络(10)的通信的用户订阅相关联,并且其中所述认证数据使得所述设备能够使用相同的订阅。
17.根据权利要求15-16的任何一项所述的移动实体(40),其中所述标签加注电路是近场通信装置。
18.一种包括用于与移动通信网络进行通信的装置的设备(50,51);所述设备包括:
-标签加注电路(53);
-网络通信单元(51),被配置成与所述移动通信网络进行通信;
-处理单元(52),被配置成在所述设备和移动实体之间建立连接,并且使用所述标签加注电路(53)在所述设备和所述移动实体之间交换认证数据;由此,通过在所述移动通信网络中提交交换的认证数据或者从交换的所述认证数据计算的导出的密钥来使得能够将所述设备认证到所述移动通信网络。
19.一种包括指令的计算机程序产品,所述指令在由移动实体中的处理器单元执行时,促使所述移动实体执行根据方法权利要求1-14中的任何一项所述的方法步骤。
20.一种移动通信网络中的节点(21),包括:
-网络通信单元,被配置成获取在被认证到所述移动通信网络的移动实体(40)之间交换的认证数据;
-认证器,被适配成通过验证使所述设备(50)与所述移动实体(40)相关联的所述认证数据来将所述设备(50)认证到所述移动通信网络。
21.根据权利要求21所述的移动通信网络(10)中的节点(21),其中所述移动实体与用于与所述移动通信网络的通信的用户订阅相关联,并且其中所述认证数据认证所述设备以使用相同的订阅。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2012/076055 WO2014094835A1 (en) | 2012-12-19 | 2012-12-19 | Device authentication by tagging |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104871511A true CN104871511A (zh) | 2015-08-26 |
Family
ID=47520049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280077825.2A Pending CN104871511A (zh) | 2012-12-19 | 2012-12-19 | 通过标签加注进行设备认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9992673B2 (zh) |
| EP (1) | EP2936763A1 (zh) |
| JP (1) | JP2016506152A (zh) |
| CN (1) | CN104871511A (zh) |
| WO (1) | WO2014094835A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017035699A1 (zh) * | 2015-08-28 | 2017-03-09 | 华为技术有限公司 | 接入网络和获取客户识别模块信息的方法、终端及核心网 |
| WO2018032984A1 (zh) * | 2016-08-16 | 2018-02-22 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| CN109313679A (zh) * | 2016-09-26 | 2019-02-05 | 思科技术公司 | 基于令牌到符号的映射定义的用户设备的质询响应接近度验证 |
| CN114786179A (zh) * | 2022-05-25 | 2022-07-22 | 中国电信股份有限公司 | 非蜂窝终端鉴权方法、装置、设备及介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103813314B (zh) * | 2012-11-09 | 2018-01-02 | 华为技术有限公司 | 软sim卡的启用方法及入网方法及终端及网络接入设备 |
| US20140282985A1 (en) * | 2013-03-15 | 2014-09-18 | Google Inc. | Remote Access Authentication |
| US9848325B2 (en) * | 2014-07-14 | 2017-12-19 | Sony Corporation | Enabling secure application distribution on a (E)UICC using short distance communication techniques |
| US9883384B2 (en) | 2014-07-16 | 2018-01-30 | Qualcomm Incorporated | UE-based network subscription management |
| US9820184B2 (en) * | 2014-09-23 | 2017-11-14 | Qualcomm Incorporated | Methods and apparatus for secure connectionless uplink small data transmission |
| US9986421B2 (en) * | 2014-12-03 | 2018-05-29 | Verizon Patent And Licensing Inc. | Secure virtual transfer of subscriber credentials |
| GB2533348B (en) | 2014-12-17 | 2021-07-07 | Arm Ip Ltd | Management of relationships between a device and a service provider |
| EP3248403A1 (en) * | 2015-01-20 | 2017-11-29 | Nokia Solutions and Networks Oy | Multiple parallel webrtc accesses to ims |
| FR3038173B1 (fr) * | 2015-06-29 | 2017-07-28 | Oberthur Technologies | Procede d'authentification pour connecter un dispositif compagnon lorsqu'il est deconnecte d'un dispositif souscripteur |
| US9918227B2 (en) * | 2015-11-23 | 2018-03-13 | Motorola Mobility Llc | Network connectivity switching utilizing an authentication device |
| DE102016216336B4 (de) | 2016-08-30 | 2023-06-15 | Vodafone Holding Gmbh | Verfahren zur automatischen Provisionierung eines Endgerätes mit eingebettetem Teilnehmeridentifizierungsmodul (eSIM) |
| KR102450421B1 (ko) * | 2017-12-06 | 2022-10-05 | 삼성전자주식회사 | 무선 통신 시스템에서 빔포밍을 수행하는 전자 장치 및 이를 위한 방법 |
| US11005845B2 (en) | 2018-10-18 | 2021-05-11 | International Business Machines Corporation, Armonk, Ny | Network device validation and management |
| KR102115830B1 (ko) * | 2019-11-06 | 2020-05-27 | 주식회사 마이폰키 | Nfc 기능을 포함하지 않는 pc를 위한 nfc 기반 화면 잠금 원격 제어 방법 및 그 시스템 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1487228A2 (en) * | 2003-06-13 | 2004-12-15 | Broadcom Corporation | Authentication of several wireless communication devices using a single SIM (Subscriber Identity Module) card |
| WO2012035335A1 (en) * | 2010-09-14 | 2012-03-22 | Vodafone Ip Licensing Limited | Authentication in a wireless telecommunications network |
| CN102480727A (zh) * | 2010-11-30 | 2012-05-30 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| CN102577459A (zh) * | 2009-07-31 | 2012-07-11 | 三星电子株式会社 | 移动通信网络中创建安全上下文和管理通信的方法和装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7444513B2 (en) * | 2001-05-14 | 2008-10-28 | Nokia Corporiation | Authentication in data communication |
| US20050026595A1 (en) * | 2003-07-31 | 2005-02-03 | Huckins Jeffrey L. | Proximity based security protocol for processor-based systems |
| CN100558176C (zh) * | 2005-09-30 | 2009-11-04 | 华为技术有限公司 | 通信终端设备和通信控制方法 |
| CA2653543A1 (en) * | 2006-06-09 | 2007-12-13 | Telefonaktiebolaget L M Ericsson (Publ) | Access to services in a telecommunications network |
| US8964633B2 (en) * | 2007-02-23 | 2015-02-24 | Cellco Partnership | Method, apparatus, and computer program product for authenticating subscriber communications at a network server |
| US10091648B2 (en) * | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| EP2128781A1 (en) * | 2008-05-27 | 2009-12-02 | Benny Kalbratt | Method for authentication |
| WO2011082150A1 (en) * | 2009-12-28 | 2011-07-07 | Interdigital Patent Holdings, Inc. | Machine-to-machine gateway architecture |
| JP2012173866A (ja) * | 2011-02-18 | 2012-09-10 | Docomo Technology Inc | 認証装置、情報処理システム及びプログラム |
| US11172363B2 (en) * | 2011-10-31 | 2021-11-09 | Ncr Corporation | Techniques for automated transactions |
| CN102497354A (zh) * | 2011-11-08 | 2012-06-13 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
-
2012
- 2012-12-19 JP JP2015548219A patent/JP2016506152A/ja active Pending
- 2012-12-19 WO PCT/EP2012/076055 patent/WO2014094835A1/en active Application Filing
- 2012-12-19 CN CN201280077825.2A patent/CN104871511A/zh active Pending
- 2012-12-19 EP EP12812216.5A patent/EP2936763A1/en not_active Withdrawn
- 2012-12-20 US US13/722,227 patent/US9992673B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1487228A2 (en) * | 2003-06-13 | 2004-12-15 | Broadcom Corporation | Authentication of several wireless communication devices using a single SIM (Subscriber Identity Module) card |
| CN102577459A (zh) * | 2009-07-31 | 2012-07-11 | 三星电子株式会社 | 移动通信网络中创建安全上下文和管理通信的方法和装置 |
| WO2012035335A1 (en) * | 2010-09-14 | 2012-03-22 | Vodafone Ip Licensing Limited | Authentication in a wireless telecommunications network |
| CN102480727A (zh) * | 2010-11-30 | 2012-05-30 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017035699A1 (zh) * | 2015-08-28 | 2017-03-09 | 华为技术有限公司 | 接入网络和获取客户识别模块信息的方法、终端及核心网 |
| WO2018032984A1 (zh) * | 2016-08-16 | 2018-02-22 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| CN107770770A (zh) * | 2016-08-16 | 2018-03-06 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| TWI641271B (zh) * | 2016-08-16 | 2018-11-11 | 電信科學技術研究院 | 一種存取認證方法、ue和存取設備 |
| CN109313679A (zh) * | 2016-09-26 | 2019-02-05 | 思科技术公司 | 基于令牌到符号的映射定义的用户设备的质询响应接近度验证 |
| CN114786179A (zh) * | 2022-05-25 | 2022-07-22 | 中国电信股份有限公司 | 非蜂窝终端鉴权方法、装置、设备及介质 |
| CN114786179B (zh) * | 2022-05-25 | 2024-02-06 | 中国电信股份有限公司 | 非蜂窝终端鉴权方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9992673B2 (en) | 2018-06-05 |
| US20140171027A1 (en) | 2014-06-19 |
| EP2936763A1 (en) | 2015-10-28 |
| JP2016506152A (ja) | 2016-02-25 |
| WO2014094835A1 (en) | 2014-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104871511A (zh) | 通过标签加注进行设备认证 | |
| KR20220150843A (ko) | 무선 통신 시스템에서 디바이스들의 프로파일 이동을 지원하는 방법 및 장치 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
| CN103416082B (zh) | 用于使用安全元件对远程站进行认证的方法 | |
| EP2671398B1 (en) | Subscriber identity module provisioning | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN107873137A (zh) | 用于管理通信系统中的简档的技术 | |
| US11989543B2 (en) | Method for interoperating between bundle download process and eSIM profile download process by SSP terminal | |
| EP3605995A1 (en) | Method and apparatus for discussing digital certificate by esim terminal and server | |
| CN107113609A (zh) | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 | |
| KR20160121546A (ko) | 네트워크에서의 지원된 디바이스 프로비져닝 | |
| KR20160124648A (ko) | 프로파일 다운로드 및 설치 장치 | |
| CN104836787A (zh) | 用于认证客户端站点的系统和方法 | |
| WO2009124835A2 (en) | Method of authenticating home operator for over-the-air provisioning of a wireless device | |
| US11153752B2 (en) | Apparatus and method for SSP device and server to negotiate digital certificates | |
| KR20180039061A (ko) | 디바이스의 피처들의 세트의 사용을 위한 인가를 검증 | |
| CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
| US9241232B2 (en) | Method and apparatus for machine communication | |
| CN113632513A (zh) | 无线通信系统的装置变换方法和设备 | |
| WO2011029296A1 (zh) | 向机器到机器设备提供机器通信身份模块的系统及方法 | |
| US20180160463A1 (en) | Wireless control of devices | |
| KR102209289B1 (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| WO2011029297A1 (zh) | 向机器到机器设备提供机器通信身份模块的系统及方法 | |
| US20220030431A1 (en) | Credentials management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150826 |