CN105874766A - 用户设备之间的受控证书提供 - Google Patents
用户设备之间的受控证书提供 Download PDFInfo
- Publication number
- CN105874766A CN105874766A CN201480058499.XA CN201480058499A CN105874766A CN 105874766 A CN105874766 A CN 105874766A CN 201480058499 A CN201480058499 A CN 201480058499A CN 105874766 A CN105874766 A CN 105874766A
- Authority
- CN
- China
- Prior art keywords
- equipment
- subscriber equipment
- user
- key
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及一种用于由第一用户设备控制第二用户设备通过电信网络的用户数据交换的方法。第一用户设备获得一组证书并且该组证书的至少一部分被提供给第二用户设备,以使得第二用户设备能够通过电信网络交换用户日期。第二用户设备通过电信网络的数据交换由第一用户设备所控制。第一用户设备可以关于由第一用户设备所获得的并提供给第二设备的证书而执行控制动作。
Description
技术领域
本发明涉及用户设备之间的受控证书提供。特别地,本发明涉及一种由第一用户设备针对第二用户设备通过电信网络的用户数据交换的控制方法,该控制方法使得第一用户设备能够在从第一用户设备向第二用户设备提供证书时保持控制。
背景技术
在过去的几年内,可以使用或者需要连接的用户设备数量稳步增加。现在,诸如电视、游戏机、摄像机的等之类的设备伴随连接到wifi接入点或者电缆室内以太网的设施。预期的是,在即将到来的几年内,典型的家庭将具有上百个连接的设备,其大部分是便携式的(平板电脑、电话、游戏机、摄像机、导航系统、车钥匙、医疗设备、手表、包括摄像机的眼镜、电子显示器等)。
对于这些设备中的一些,连接限于wifi接入点。然而,这对于本地设备(诸如,冰箱或者加热系统)不是问题,对于便携式设备,这意味着当在移动中使用时,接入仅是间断的并且通常对于配置是负担。
该问题的解决方案将是在包括无线接入网的电信网络中为每个用户设备提供其自身的预订(subscription)。虽然这样的解决方案将在行进时提供接入,但是其伴随针对用户和电信网络的运营商管理针对所有不同设备的所有不同预订(潜在地,关于不同的提供商)的负担。而且,每个预订可以可能伴随其自身的订费。因此,为用户提供针对设备在移动中时提供连接的充分灵活性的更简单的解决方案是必要的。这些设备包括之前段落中提到的设备中的任何一个,并且可以是便携式的或者集成在交通工具中、机器中或者装置中,例如家用电器。
US2012/0129498公开了一种用于允许初始未被授权与网络通信的无线通信设备从初始被授权与网络通信的无线通信设备获得持续软网络预订证书信息的方法和设备。预订证书从一个设备到另一个设备的传递授权之前未被授权的设备变为被授权与网络通信。该方法确保在任何一个时间处仅一个通信设备能够与网络通信。
现有技术的方法和设备通过从另一个设备获得证书信息来允许针对多个用户设备的通过电信网络的用户数据交换。仅后者设备需要具有关于电信网络的预订。然而,现有技术方法假定完全信任从最初具有证书信息的设备获得证书信息的设备(的用户)。
发明内容
本公开提出了一种方法,其中可以向被称为第二用户设备或者从设备的设备提供由被称为第一设备或者主设备的另一个用户设备所获得的证书信息。第一用户设备在向第二用户设备提供证书时对于第二用户设备通过电信网络的用户数据交换保持某种形式的控制。该控制形式可以例如包括来自第一用户设备的用于中断第二用户设备通过电信网络的用户数据交换的控制动作。
在本公开的一方面中,一种用于由第一用户设备控制第二用户设备通过电信网络的用户数据交换的方法。第一用户设备和第二用户设备二者都配置成无线连接到电信网络(即,两个设备都具有无线接入能力,但是第二用户设备可能未被授权接入电信网络,例如这是因为它不具有预订并且因此不具有或者不能靠其自身获得证书)。
第一用户设备例如通过电信网络或从(U)SIM、或者通过从通过电信网络和/或从(U)SIM所接收的信息导出证书来获得一组证书。证书包括使得能够实现到电信网络的无线接入以及通过电信网络的安全通信的信息,并且包括标识符(例如临时标识符,诸如T-IMSI)和多个密钥(二者都用于用户数据传输并用于信令数据传输)以用于通过网络的信号传输。
将一组证书的至少一部分(但可能为全部)提供给第二用户设备以使得第二用户设备(其还不具有对于被授权接入到网络所需的证书,例如这是因为它不具有单独的预订)能够通过电信网络交换用户数据。
第二用户设备通过电信网络的数据交换由第一用户设备所控制。为此,第一用户设备执行关于由第一用户设备所获得并提供给第二设备的证书的控制动作。针对这样的控制的各种选项在以下描述的实施例中公开。
本公开的另一方面涉及一种包括软件代码部分的计算机程序,其被配置用于当在计算机系统上执行时执行本文所公开的方法。
本公开的更进一步的方面涉及一种包括计算机程序的非临时性计算机程序介质。
更进一步地,公开了一种配置有计算机程序的用户设备。
在所有的这些方面中,第一用户设备通过涉及由第一用户设备所获得的一组证书的控制动作而不需要针对第二用户设备的单独预订而被给予对第二用户设备的数据交换的控制。这使得第一用户设备能够在不假定完全信任的情况下将证书提供给第二用户设备。如果出于任何原因,第一用户设备期望中断第二用户设备的用户数据交换,则它可以执行控制动作。
应该领会到,第一用户设备和第二用户设备是单独的设备。例如,第一用户设备和第二用户设备每个都具有基带处理器和软件,使得二者都配置成无线连接到电信网络。
还应该领会到,证书(标识符、(多个)信号传输密钥)也可以由第一设备从由第一用户设备所接收的信息导出。
在一个实施例中,第一用户设备获得一组证书并且将全部的该组证书提供给第二用户设备。该组证书将允许第一用户设备通过电信网络交换用户数据,如果第一用户设备将该证书应用于自身的话。将全部的一组证书提供给第二用户设备的优点在于,在没有第一用户设备的干预的情况下,在电信网络内和在利用不同无线电接入技术(RAT)的电信网络之间的移交对于第二用户设备是可能的。
在该情况下,第一用户设备的控制动作可以包括指令电信网络使提供给第二用户设备的标识符和/或密钥无效。这些控制动作中的任一个将在某时间点处禁用用于第二用户设备的用户数据交换。
在另一个实施例中,第一用户设备获得一组证书,但仅将该组证书的一部分提供给第二用户设备。该实施例的优点在于,增加的控制选项可用于控制第二用户设备通过电信网络的用户数据交换。示例包括修改保留在第一用户设备中的一个或多个证书和/或使提供给第二用户设备的证书中的一个或多个无效。
在一个实施例中,一组证书的信号传输密钥以密钥分级结构来组织,其中在密钥分级结构中较低级的密钥从在密钥分级结构中较高级的密钥导出。这样的密钥分级结构存在,例如用于4G LTE电信网络或者用于下一代电信网络。提供给第二用户设备的密钥部分可以例如包括在密钥分级结构中较低级的一个或多个信号传输密钥。保留在第一用户设备中的即未提供给第二设备的密钥可以例如包括在密钥分级结构中较高级的密钥。由第一用户设备的控制动作可以包括生成新的较高级密钥,由此使得较低级密钥(从较高级密钥导出的)失效。由第一用户的该控制动作可以在没有第二用户设备的任何协作的情况下执行(并且因此也不会被第二用户设备所阻止),这是因为密钥生成和导出由第一用户设备和电信网络执行。
在另一个实施例中,提供给第二用户设备的仅有的信号传输密钥是用户平面加密密钥,其用于加密网络的无线电部分之上的用户数据。第一用户设备例如通过到第二用户设备的基带处理器的直接连接而将另外的用户数据包括细节提供给第二用户设备。以此方式,第一用户设备提供用户数据包括细节,即通知第二用户设备在何处在去向/来自第一用户设备的用户数据传输中插入和/或检索用户数据。第一用户设备可以控制保持在第一用户设备中的任何证书来控制经由第二用户设备的用户数据交换。
在又另一个实施例中,控制可以由第一用户设备通过保持与第一用户设备的第二用户设备的用户数据交换的信令信息传输的至少部分来执行。因此,操纵信令信息或者其传输使得能够由第一用户设备控制第二用户设备的用户数据交换。
在其一个特定的示例中,电信网络包括LTE网络并且由第一用户设备所获得的一组证书包括一个或多个非接入层(NAS)密钥。NAS密钥与第一用户设备一起保持,并且来自第一用户设备的关于NAS密钥的控制动作可以包括将NAS消息分离请求发送到电信网络(特别地,发送到MME和/或在追踪区更新(TAU)期间从电信网络接收到质询(challenge)时发送认证失败消息。该实施例的优点在于,控制动作符合当前在3GPP标准3GPP TS 23.401和3GPP TS33.102中分别提供的过程。
另一个特定的实施例涉及下一代网络,其中用户数据传输和信令传输相比于针对LTE网络将甚至进一步分离。对于下一代网络,用于用户数据传输和用于信令的物理连接可能与用于第一用户设备和第二用户设备的不同,从而使得第一用户设备能够通过控制第一用户设备上的物理信令连接来控制第二用户设备的物理数据连接。
在本公开的一个实施例中,该方法包括应用来自电信网络的第一标识符,其使得第一用户设备能够通过电信网络交换用户数据并且从电信网络请求第二标识符。第二标识符可以被提供给第二用户设备以使得第二用户设备能够通过电信网络交换用户数据。以此方式,可以向电信网络通知证书向第二用户设备的传递。该方法的优点在于,第一用户设备(经由第一标识符)和第二用户设备(经由第二用户标识符)二者都可以连接到电信网络以交换用户数据。
在另一个实施例中,第一用户设备将其自身的用户标识符提供给第二用户设备。以此方式,网络不需要支持在一个预订之下存在具有两个各自的标识符的两个用户设备。
在又另一个公开的实施例中,该方法包括如下的步骤:在第一用户设备和第二用户设备之间建立直接连接(诸如,LTE直接连接或者蓝牙连接)以用于至少将一组证书的至少部分提供给第二用户设备。该步骤对于其中仅将一组证书的一部分提供给第二用户设备的实施例是特别有用的。
在一个实施例中,第一用户设备事先获得一个或多个证书组,并且在随后时间将证书组中的一个或多个提供给一个或多个第二用户设备。以此方式,第一用户设备不需要在将一个或多个证书提供给第二用户设备之前建立其自身的与电信网络的连接。
在一个实施例中,第一用户设备将其标识符提供给第二用户设备。第二用户设备使用该标识符连接到电信网络并且从电信网络接收信息。该信息被转发到第一用户设备以导出一个或多个证书,诸如一个或多个信号传输密钥。这样的过程的示例是与电信网络的质询-响应过程。第一用户设备将所导出的证书中的一个或多个提供给第二用户设备。
应该领会到,由第一用户设备的控制动作可以包含时间信息,其通知网络何时应该不再允许用户数据交换。时间信息将包括提供给第二用户设备的证书的有效时间。该信息可以在用于第二用户设备的数据连接应该被禁用或者不再允许的时刻之前的任何合适时间处提供给网络。
要注意的是,本发明涉及权利要求中所记载的特征的所有可能的组合。
附图说明
本发明的各方面将通过参考在附图中所示的示例性实施例更详细地解释,其中:
图1是结合于电信网络包括第一用户设备和第二用户设备的系统的示意图示;
图2是图示所公开的方法的实施例的时间图;
图3是LTE网络和3G网络的一般概要图;
图4是图3中所示的LTE网络中的密钥分级结构的图示;
图5-8B是其中第一用户设备将一部分证书提供给第二用户设备的方法的各种实施例;
图9是其中第一用户设备仅将用户平面密钥提供给第二用户设备的方法的实施例;
图10-12是其中第一用户设备将所有的用户证书提供给第二用户设备的方法的各种实施例;以及
图13和14提供针对下一代网络的实施例。
具体实施方式
图1是结合于电信网络3包括第一用户设备1和第二用户设备2的系统的示意图示。
第一用户设备1包括USIM 11,其授权第一用户设备1使用基带处理器12无线接入电信网络3。第一用户设备1还包括通用处理器13和存储装置14。
第二用户设备2包括基带处理器22、通用处理器23和存储装置24。第二用户设备可以不包含USIM。
第一用户设备1包括直接通信接口15,并且第二用户设备2包括直接通信接口25,通过所述接口可以建立直接连接。直接连接是独立于电信网络3的一对一连接。示例包括LTE直连、蓝牙、红外等。处理器13、23可以运行发现协议,其检测能够建立这样的直接连接的其他设备的存在。
凭借USIM 11中的信息,第一用户设备是可以靠其自身接入电信网络3并且通过电信网络3交换用户数据的设备。USIM 11通常包含预订信息(诸如IMSI和主密钥),其使得电信网络3能够将第一用户设备1识别为具有预订的设备,以随后向第一用户设备1提供必要的信息,诸如密钥或者可以从其导出(多个)密钥的信息。这样的设备的示例包括蜂窝电话、平板计算机、膝上型电脑等。
第二用户设备2不包含USIM(或者不能或不想使用USIM)。然而,与第一用户设备1类似地,第二用户设备2配备有基带处理器22,其在其将具有对证书的接入时将使得第二用户设备2能够接入电信网络3。预期的是,在即将到来的几年内,诸如第二设备2之类的设备将找到它们进入家庭中的方式。这样的设备可以包括现在被使得能够接入wifi接入点的设备,诸如平板电脑、电话、游戏机、摄像机的、导航系统、车钥匙、医疗设备、手表、包括摄像机的眼镜、电子显示器等。第二用户设备2优选地也是便携式设备。第二设备2也可以包括机器或者家用电器。
图2是图示向第二用户设备2提供证书以使得最初不拥有这样的证书的第二用户设备2能够接入电信网络3并通过电信网络3进行数据交换的实施例的时间图。证书包含或者包括一个或者多个(临时)标识符以及一个或多个密钥或所导出的密钥,在所述标识符之下设备在网络中已知。
在步骤S1中,第一用户设备1以使用存储在USIM 11中的一些信息的这样已知的方式联系电信网络3,并且在步骤S2中从网络3获得信息。该信息可以例如包含临时标识符(T-IMSI)和结合USIM 11中存储的主密钥可以从其导出一个或者多个密钥(步骤S3)的信息。T-IMSI和所导出的密钥构成第一用户设备1可以用来接入电信网络3以用于通过电信网络3交换数据的证书。证书可以存储在存储器14中。
然后,在步骤S4中,第一用户设备1将一些或者所有的证书提供给第二用户设备2。优选地,这些证书从第一用户设备1通过建立在直接通信接口15、25之间的直接连接而传递到第二用户设备2。第二用户设备将所接收的证书存储在存储器24中。
然后,在步骤S5中,第二用户设备2使用基带处理器22和存储在存储器24中的、如从第一用户设备1所获得的证书接入网络3。
在步骤S6中,使得第二用户设备2现在能够通过电信网络3交换用户数据。
然而,在一个所公开的方面中,第一用户设备1保持对于第二用户设备2的数据交换的控制。特别地,该控制独立于第二用户设备2,使得第二用户设备2不能阻碍控制。单独由第一用户设备或者由第一用户设备1和网络3的协作所执行的该控制通过步骤S6周边的虚线示意性地图示。控制可以是时间依赖的,即,第一用户设备可以向网络通知第二用户设备2的数据交换应该在从时间信息所导出的特定时刻后不再可能或者继续。
由第一用户设备1的控制范围依赖于提供给第二用户设备的证书。例如,第一用户设备1可以向网络3通知提供给第二用户设备2的临时标识符T-IMSI应该不再被认为是有效的标识符。另一个示例可以是发起针对第一用户设备1控制之下的密钥的密钥刷新过程,使得提供给第二用户设备2的、从第一用户设备1控制之下的密钥所导出的另一个密钥变得失效。
在参考图5-12提供各种更详细的示例之前,将参考图3提供长期演进(LTE)网络3的简要描述,以及参考图4提供在这样的网络中使用的各种密钥的简要描述。
图3是电信网络3的示意图示。
图3中的上部分支表示下一代网络,通常指示为长期演进(LTE)或者演进的分组系统(EPS)。这样的网络包括PDN网关(P-GW)和服务网关(S-GW)。EPS的E-UTRAN包括为经由分组网络连接到S-GW的设备2提供无线接入的演进NodeB(eNodeB或者eNB)。S-GW连接到归属订户服务器HSS和移动管理实体MME以用于信令目的。HSS可以包括预订简档储存库SPR,其包含用户设备1的预订信息。
EPS网络的通用结构的另外信息可以在3GPP TS 23.401中找到。
图3的下部分支表示包括网关GPRS支持节点(GGSN)、服务GPRS支持节点(SGSN)和无线电接入网(RAN或者UTRAN)的GPRS或者UMTS网络。对于GSM/EDGE无线电接入网(GERAN),RAN包括连接到多个基(收发器)站(BS、BTS)的基站控制器(BSC),二者都未示出。对于UMTS无线电接入网(UTRAN),RAN包括连接到多个NodeB)的无线电网络控制器(RNC),也未示出。GGSN和SGSN常规地连接到归属位置寄存器(HLR)或者归属订户服务器(HSS),其可以包含用户设备1的预订信息。
电信网络3使得能够在服务器系统40和用户设备1之间通过分组数据网络41建立用于用户数据的连接,也称为数据会话或者称为PDP上下文,其中用户设备1向电信网络3的接入是无线的。
图4是用于LTE电信网络的密钥分级结构的示意图示。
密钥KASME在第一用户设备和网络(更具体地,认证中心AuC)二者中以已知的方式从完整性密钥IK、加密密钥CK和服务网络id生成。用于保护NAS信令、RRC信令和无线电接口上的用户平面通信的密钥从所生成的密钥KASME生成,如图4中所图示的。
NAS密钥KNASenc和(en)KNASint用于第一用户设备和MME之间的会话管理的加密。密钥KUPenc、KRRCint和KRRCenc用在UE和基站eNodeB之间的无线电接口处。这些密钥使用中间密钥KeNB来导出。KRRC密钥是用于无线电资源信令的接入层密钥。用户平面密钥KUP用于无线电接口上的(用户平面)业务的加密。
对第二用户设备的数据交换的控制可以基于由第一用户设备所获得的密钥中的任何一个。例如,如果用户平面密钥KUP已经被提供给第二用户设备,则控制可以由第一用户设备通过发起针对NAS或者RRC密钥中的任一个的密钥刷新来实行。类似地,如果RRC密钥或者NAS密钥已经被提供给第二用户设备,则控制可以分别基于用户平面和/或NAS密钥或者基于用户平面和/或RRC密钥来执行。如果密钥KASME被提供给第二用户设备,则第一用户设备可以通过请求网络发起新的AKA来执行控制。
针对包括如参考图3简要讨论的UTMS和GPRS网络的其他类型的网络,存在类似的控制选项。
将参考图5-12进一步详细地描述针对LTE网络的一些实施例。
在图5中,假定第一用户设备1和第二用户设备2已经在某一时间t0配对并且已经建立直接连接。会话可以在第一用户设备1和网络之间进行。在某一随后时间t1=t0+dt,第一用户设备1想要进入省电模式或者将正在进行的呼叫转发到附近的第二用户设备2。在步骤i)中,第一用户设备1向网络通知其想要将呼叫/会话转发到第二用户设备。在步骤ii)中,网络向第一用户设备1提供要由第二用户设备2使用的临时标识符X和密钥或密钥标识符(信令使用哪个密钥或者使用哪个信息来导出密钥的标识符)。在步骤iii)中,第一用户设备1通过直接连接向第二用户设备2提供刚才的标识符X和它可以到达的网络的标识符。在步骤iv)中,第二用户设备2然后使用标识符X连接网络。
在步骤v)中,网络发起AKA(具有质询)。这可以是任何标准化的LTEAKA。在步骤vi)中,第二用户设备2将质询转发到第一用户设备1。在步骤vii)中,第一用户设备1计算响应并且将其发送到第二用户设备2,第二用户设备2将其转发到网络。在步骤viii)中,网络将响应和预期响应进行比较并且将OK提供到第二用户设备2,第二用户设备2将其转发到第一用户设备1。
在步骤ix)中,第一用户设备1将一组密钥提供给第二用户设备2。这些密钥可以例如包含用户平面密钥KUP和无线电资源密钥KRRC。利用这两个密钥,第二用户设备2可以解密并插入用户平面业务并且在无线电信道上适当地表现,只要其保持处于到达E-UTRAN中的一个eNodeB。对于移交等(其需要较高等级上的密钥),第二用户设备2针对所有过程咨询第一用户设备1。对于需要非接入层密钥KNAS的会话管理,第二用户设备2也依赖于第一用户设备1。以此方式,第一用户设备保持处于对连接的控制,并且可以快速地禁用第二用户设备,如果必要或者期望的话。
可选地,在用户数据会话(例如,呼叫、视频流)在该时刻处在第一用户设备1和网络之间打开了的情况下,第一用户设备1或者网络内的实体可以发起从第一用户设备1向第二用户设备2的移交,如步骤x)中所示。在网络侧,这需要的是,会话重新路由到第二用户设备2(即改变目的地业务的地址)并且利用新密钥加密。在第一用户设备1处,应用特定信息被转发到第二用户设备2,如步骤xi)中所示。这意味着向第二用户设备2通知关于什么应用业务要被预期(例如VoIP业务、视频流、Facebook业务)和什么业务应该在第二用户设备2中处理(例如VoIP和视频)以及什么应该被转发到第一用户设备1(例如Facebook和电子邮件检索)。这样的机制容易在TCP/IP层上实现,其中目的地端口号对应于某些应用。第二用户设备2然后可以选择性地转发业务。第二用户设备2可以将至少NAS信令转发到第一用户设备1(第二用户设备2自身没有NAS密钥),可能一些应用业务也被转发。可以通过发起密钥刷新过程来终止连接,由此使第二用户设备2的密钥无效。
要注意的是,在图5的实施例中,甚至在第一用户设备1和第二用户设备2建立直接连接之前,第一用户设备1可以已经请求并执行了AKA并且存储该信息。第一用户设备1现在可以通知第二用户设备2成为代表它的从设备。以此方式,可能需要较少的步骤来建立连接。
提供给第二用户设备2的密钥使得第二用户设备2不能够移交到利用不同无线电接入技术的网络(RAT间移交)。如果第二用户设备2具有用于LTE网络的密钥,则这些密钥不能用于UMTS网络或者GSM网络。然而,在本公开中提出的机制内仍然可以执行这样的移交。
在第一种解决方案中,第二用户设备2可以从第一用户设备1获得对于完整UMTS或者GSM连接所必要的所有证书。第二用户设备2检测LTE覆盖结束并且UMTS或者GSM以这样已知的方式可用。第二用户设备2发起到UMTS/GSM网络的附接。网络然后发起AKA,第二用户设备2将其转发到第一用户设备1。第一用户设备1和网络导出要用于UMTS(两个密钥)或者GSM(一个密钥)情况中的新密钥。第一用户设备1和第二用户设备2之间的直接连接可以保持或可以不保持。在该情况下,第一用户设备1可以不再具有到网络的信令路径。然而,第一用户设备1自身仍然可以被允许连接到LTE网络(如果可能的话)并且会话信令然后可以使用之前使用的相同密钥来保护。为了使第一用户设备1和第二用户设备2二者都以此方式连接到不同的网络,可以布置(第一用户设备1连接到的)LTE网络和(第二用户设备2可以连接到的)UMTS网络的核心网络组件之间的额外信令。
在第二种解决方案中,如果需要移交,则第一用户设备1和第二用户设备2之间的业务方向可以反转。保持第一用户设备1和第二用户设备2之间的直接连接并且第一用户设备1连接到UMTS或者GSM网络。第一用户设备1从第二用户设备2接收用户数据并且将用户数据转发到网络。该第二种解决方案的优点在于,即使移交不能由第二用户设备2执行,第二用户设备2的用户数据的交换也可以经由第一用户设备1而继续。
在图6的实施例中,不向网络通知关于从第一用户设备1到第二用户设备2的一部分证书的传递。图6的实施例的优点在于,对于第二用户设备与网络的连接不需要网络支持。
第一用户设备1和第二用户设备2在某一时间t0配对并且已经建立直接连接。在某一随后时间t1=t0+dt,第一用户设备1想要进入省电模式或使第二用户设备2代表它处理即将到来的业务。如果当前没有会话是活动的,则这可以完成。
与图5的实施例相比,不需要通知网络,使得其中通知网络的图5的步骤i)和步骤ii)可以省略。
在步骤iii)中,第一用户设备1通过直接链接向第二用户设备2提供其自身的标识符Y和它可以到达的网络的标识符。在步骤iv)中,第二用户设备2然后使用第一用户设备的标识符Y连接到进行中的网络。
在步骤v)中,网络发起AKA(具有质询)。这可以是任何标准化的LTEAKA。在步骤vi)中,第二用户设备2将质询转发到第一用户设备1。在步骤vii)中,第一用户设备1计算响应并且将其发送到第二用户设备2,第二用户设备2将其转发到网络。在步骤viii)中,网络将响应和预期响应进行比较并且将OK提供到第二用户设备2,第二用户设备2将其转发到第一用户设备1。在其中安全上下文可以被存储的情况下,诸如在LTE中,步骤v)-viii)可以省略。密钥被存储在网络中并且不需要完整的AKA。在该情况下,步骤5-8可以省略。这样的示例在图7中提供。
在步骤ix)中,第一用户设备1将一组密钥提供给第二用户设备2。这些密钥可以例如包含用户平面密钥KUP和无线电资源密钥KRRC。利用这两个密钥,第二用户设备2可以解密并插入用户平面业务并且在无线电信道上适当地表现,只要其保持处于到达E-UTRAN中的一个eNodeB。
对于移交等(其需要较高等级上的密钥),第二用户设备2可以针对所有过程咨询第一用户设备1。对于需要非接入层密钥KNAS的会话管理,第二用户设备2也依赖于第一用户设备1。以此方式,第一用户设备1保持处于对连接的控制,并且可以快速地禁用第二用户设备2,如果必要或者期望的话。
第一用户设备1可以指示是否存在其想要接收的一些应用业务并且请求第二用户设备2将其转发到第一用户设备1。第二用户设备2可以向将至少NAS信令转发到第一用户设备1(第二用户设备2自身未获得NAS密钥)。链接可以由第一用户设备1通过发起密钥刷新过程来终止,由此使提供给第二用户设备2的密钥无效。
图8A和8B以不同于图5-7的表示示意性地图示了当将一部分证书信息提供给第二用户设备2时如何利用第一用户设备1保持控制。
图8A图示了在从第一用户设备1向第二用户设备2移交一些证书之前的情况。用户数据通过连接I从第一用户设备1传递到无线电网络,并且进一步到内容网络通过连接II到内容网络然后进一步通过连接III,如果必要的话。信令业务通过连接I和IV针对会话处理传达到MME,从而构成由虚箭头所图示的逻辑连接V。
图8B是在通过连接VI将一部分证书传递到第二用户设备2之后的图示。用户数据通过连接VII(并且可能通过连接VI)从第二用户设备2传递到无线电网络,然后进一步通过连接II和连接III。信令业务现在通过连接VI、VII和IV,仍然弥补逻辑连接V。因此,控制利用第一用户设备1保持,因为第一用户设备1可以决定致使提供给第二用户设备2的证书失效并且停止会话。如果第一用户设备1和第二用户设备2之间的直接连接由于某种原因而被阻止,则一旦应导出新密钥或者当网络例如因为会话管理错误发生而终止连接时,第二用户设备2的连接将失败。
从第一用户设备1提供给第二用户设备2的证书数量和/或类型可以从仅少数变化到整组。
在图9的实施例中,仅用户平面密钥KUP被提供给第二用户设备2。
当由第一用户设备1和第二用户设备2检测到接近时,建立直接连接。在步骤i)中,第二用户设备2从第一用户设备1请求到网络的数据会话。如果这样的会话还不存在,则第一用户设备1建立与网络的会话。在步骤ii)中,第一用户设备向第二用户设备2通知它想要直接与其基带处理器22(参见图1)对话。此外,第一用户设备1向第二用户设备2通知如何插入用户数据以及将用户平面密钥KUP提供给第二用户设备2。在规定的时间点,第二用户设备2接管无线电连接,并且第一用户设备1直接与基带处理器对话并且向第二用户设备2通知在何处插入用户数据业务。
因为第一用户设备1直接与第二用户设备2的基带处理器22对话,所以第一用户设备1进行所有的信令(接入层和非接入层)。第二用户设备2立即插入用户平面业务。到GSM或者UMTS的移交需要第一用户设备1将新导出的密钥给予第二用户设备2并且使第二用户设备2处理会话或者第一用户设备1自身处理所有的业务并且用户数据通过直接连接流动(因此从第二用户设备2到第一用户设备1到网络)。
代替仅将单个密钥提供给第二用户设备2,如参考图9所描述的,可以将整组所获得的证书从第一用户设备1提供给第二用户设备2。通过向网络通知应该不再接受提供给第二用户设备2的一个或多个证书来获得由第一用户设备1的控制。现在将参考图10-12描述这样的实施例的各种示例。
在图10中,假定第一用户设备1和第二用户设备2是靠近的并且已经在某一时间t0配对并已经建立直接连接。在某一随后时间t1=t0+dt,第一用户设备1想要进入省电模式或者将正在进行的呼叫转发到附近的第二用户设备2。在步骤i)中,第一用户设备1向网络通知它想要通过第二用户设备2连接。在步骤ii)中,网络向第一用户设备1提供一整组证书,包括临时标识符X和一个或多个密钥或者密钥标识符Y。在步骤iii)中,第一用户设备1向第二用户设备2提供标识符X和密钥以及它可以到达的网络的标识符。
在步骤iv)中,第二用户设备2然后使用从第一用户设备1所接收的证书连接到网络,并且以已知的方式执行完整的AKA,步骤v)-vii)。第二用户设备2具有整组证书并且可以靠其自身执行所有管理功能。第一用户设备1可以将会话移交给第二用户设备2。然而,控制可能仍然从知道第二用户设备2的证书的第一用户设备1通过使用涉及提供给第二用户设备2的证书的信息而连接到第二用户设备2应被连接的网络和信令来实行。第二用户设备2可以在它从网络分离(步骤viii))时保存安全上下文并且在随后时间再次附接(步骤ix)和x)),只要第一用户设备1还未以其他方式指令网络。
在图11和12中公开了另外的实施例。在这两个实施例中,第一用户设备1和第二用户设备2在某一时间t0配对并且已经建立直接连接。在某一随后时间t1=t0+dt,第一用户设备1想要进入省电模式或者将正在进行的呼叫转发到附近的第二用户设备2。在步骤i)中,第一用户设备1向网络通知它想要通过第二用户设备2设备连接。在步骤ii)中,网络向第一用户设备1设备提供标识符X。然后,在用于图11的步骤iii)-viii)中以及在用于图12的步骤iii)-vi)中,AKA由第一用户设备1执行(通过第二用户设备来中继,如图11中那样)或者由第一用户设备1自身执行(如图12中所图示的)。
当获得密钥时,在步骤ix)(图11)中以及在步骤vii)(图12)中,第一用户设备1将密钥提供给第二用户设备2。在图12的示例中,标识符也被提供给第二用户设备2。再次,通过保存安全上下文,第二用户设备2可以分离并再次附接,只要第一用户设备1还未向网络通知应该不再允许第二用户设备2连接。
在上述解决方案的替代方案中,第一用户设备1可以独立于其是否具有到第二用户设备2的连接而获得证书。第一用户设备1可以例如事先获得多个完整的证书组并且每当需要时使用这些证书组。类似地,网络和第一用户设备1可以协商第一用户设备1可以用于在第一用户设备1中导出新证书组的共享秘密/密钥。在该情况下,共享秘密将提供证书组的起源的证明(仅网络和第一用户设备1知道共享秘密,因此任何第三设备应该从第一用户设备1得到它)。这样的信息也可以包含在证书中,所述证书可以在第二用户设备2的附接时由第一用户设备1提供给第二用户设备2。
可以指令第二用户设备2倾听以前已经给予它以便建立第二用户设备2和第一用户设备1之间的直接连接的标识符(第一用户设备1然后将广播该标识符)。当第一用户设备1和第二用户设备2发现他们自身相距较远时,由第一用户设备1的广播可以通过运营商网络传播并且第二用户设备2设备可以连接到蜂窝网络(或者仅无线电/接入网)并且建立设备到设备连接。附加的需要将是,网络知道在何处寻呼第二用户设备2,因为它具有静态位置或者因为第二用户设备2设备保持通知网络或用户设备1。
有利地,不需要针对每个设备的单独的预订并且所有的设备可以从一个设备(或者多个,在其是家庭拥有的设备的情况下)管理。因此,如果家庭具有四个成员和四个预订,则存在潜在地能够控制家里娱乐系统、照相机和游戏机的四个设备。
对于其中将完整的证书组提供给第二用户设备2的解决方案,不需要针对改变覆盖范围的特殊布置。在LTE、UMTS和GSM覆盖范围之间移动是无缝可能的,因为证书组是完整的并且因此用于移交的所有标准过程都适用。
在其中不是所有信息都被提供给第二用户设备2的一些公开实施例中,第一用户设备1向第二用户设备2通知关于要使用的信道(例如频率)和可用于发送信息的时隙。第二用户设备2然后具有所有的信息以能够在其中继或重复的连接上有效地偷听(eavesdrop)。
在一些实施例中,由第一用户设备1的控制通过保持第一用户设备1上的信令并且仅对第二用户设备2上的用户数据起作用来执行。这样,第一用户设备1可以通过发起密钥刷新过程而有效地控制。增加的安全性的另一点在于,会话信令保持在第一用户设备1和网络之间。由此,第一用户设备1可以控制会话的性质,诸如最大允许吞吐量和QoS方面。第一用户设备1保留对针对会话允许什么(例如,不许大量下载)的(某些)控制。
所公开的控制机制可以用于隐私增强技术。例如,诸如起搏器、血压监测设备、血糖水平监测设备等之类的医疗设备可以使用该技术来将信息推送到网络。在该情况下,保健设备(第二用户设备)可能不具有预订,但它与电话(第一用户设备)配对。在某一点处,保健设备想要将信息发送到保健提供商。医疗设备然后寻呼电话(看它是否在附近)。如果电话接收到寻呼消息,则其进行应答并且直接连接被建立。然后,医疗设备指示它想要连接到网络以发送一些数据。电话然后可以决定是否允许以及是否允许设备发送信息。
如之前提到的,所公开的控制机制针对多种网络而设想,包括LTE(4G)网络和UMTS网络。目前,意图接替LTE网络的下一代网络正在开发中。将下一代网络与LTE网络相区分的一个方面是用户平面数据和信令平面数据的进一步分离。
图13表示类似EPS密钥分级结构的针对下一代网络的所预想的密钥分级结构。该密钥分级结构与如图4中所描绘的LTE密钥分级结构具有很大的相似度,但是具有用于UE-eNodeB无线电接口的另外的密钥划分。特别地,用户平面密钥KUP可以通过使用中间密钥(例如会话标识符)而被分配给单个eNodeB和单个数据会话,从所述中间密钥导出多个用户平面密钥KUPenc。
这使得第一用户设备1能够具有与网络的直接(物理)信令连接并且使得第二用户设备2能够具有直接(物理)用户数据连接,如图14中所描绘的。信令连接可以包括低带宽信道,并且用户数据连接可以包括具有较高带宽的信道。对第二用户设备2的用户数据交换的控制可以由操纵信令信息或其传输的第一用户设备1所执行。
第一用户设备1和第二用户设备2之间的直接连接使得第一用户设备1能够执行针对资源和会话的信令,并且向第二设备2通知关于用户数据传输和其他事件在无线电路径上的定时。如果会话标识符被用于导出用户平面密钥KUP,则第一用户设备1和第二用户设备2二者都可以具有与网络的会话。第一用户设备1然后可以实行双重会话管理控制功能,针对其自身以及针对第二用户设备2二者。在图14中,第一用户设备1仅将用户平面密钥提供给第二用户设备2。
用户平面和信令平面的增强的分离使得有可能将不同的标识符用于用户平面和信令平面。例如,标识符可以从TMSI(用于信令)和会话标识符使用散列函数而导出。这也是一种可伸缩的解决方案,因为每个数据连接以此方式获得相关联的标识符。
要注意的是,已经在要执行的步骤方面描述了该方法,但不要解释为所描述的步骤必须以所描述的确切次序和/或一个接一个地执行。本领域技术人员可以预想改变步骤的次序和/或并行地执行步骤以获得等价的技术结果。
利用一些修改,本领域技术人员可以将本文所描述的实施例扩展到其他架构、网络或者技术。
本发明的各种实施例可以被实现为程序产品以供计算机系统或者处理器使用,其中程序产品的(多个)程序限定实施例(包括本文所描述的方法)的功能。在一个实施例中,(多个)程序可以包含在多种非临时性计算机可读存储介质(通常称为“存储装置”)上,其中如本文所使用的,表达“非临时性计算机可读存储介质”包括所有的计算机可读介质,其中仅有的例外是临时性、传播信号。在另一个实施例中,(多个)程序可以包含在多种临时性计算机可读存储介质上。说明性计算机可读存储介质包括但不限于:(i)信息永久地存储在其上的不可写存储介质(例如计算机内的只读存储器设备,诸如可由CD-ROM驱动器读取的CD-ROM盘、ROM芯片或者任何类型的固态非易失性半导体存储器);以及(ii)可改变的信息存储在其上的可写存储介质(例如,闪速存储器、软驱内的软盘或硬盘驱动器或者任何类型的固态随机存取半导体存储器)。
要理解的是,关于任何一个实施例所描述的任何特征可以单独地或者结合于所描述的其他特征而使用,并且也可以结合于任何其他实施例的一个或多个特征、或者任何其他实施例的任何组合而使用。此外,本发明不限于以上所描述的实施例,其可以在所附权利要求的范围内变化。
Claims (16)
1.一种用于由第一用户设备控制第二用户设备通过电信网络的用户数据交换的方法,其中第一用户设备和第二用户设备被配置用于无线连接到电信网络,所述方法包括以下步骤:
-由第一用户设备获得一组证书,该组证书包括标识符和多个信号传输密钥以用于通过电信网络的信号传输;
-将该组证书的至少一部分从第一用户设备提供给第二用户设备,以使得第二用户设备能够通过电信网络交换用户数据;
-通过第一用户设备的控制动作来控制第二用户设备通过电信网络的用户数据交换,所述控制动作关于由第一用户设备所获得的并提供给第二用户设备的证书而被执行。
2.根据权利要求1的方法,其中控制动作包括以下中的至少一个:
-指令电信网络使标识符无效,如果标识符已经被提供给第二用户设备的话;以及
-指令电信网络使已经提供给第二用户设备的密钥中的一个或多个无效。
3.根据权利要求1的方法,其中将该组证书的仅一部分提供给第二用户设备,并且其中控制动作通过以下中的至少一个执行:
-修改保留在第一用户设备中的一个或多个证书;以及
-使提供给第二用户设备的证书中的一个或多个无效。
4.根据权利要求3的方法,其中信号传输密钥以密钥分级结构来组织,并且其中在密钥分级结构中较低级的密钥从在密钥分级结构中较高级的密钥导出,并且第一用户设备将在密钥分级结构中较低级的一个或多个信号传输密钥提供给第二用户设备,而保留在密钥分级结构中较高级的一个或多个信号传输密钥,控制动作包括针对在密钥分级结构中较高级的信号传输密钥中的一个或多个生成新的密钥。
5.根据权利要求3的方法,其中由第一用户设备提供给第二用户设备的信号传输密钥仅包括用户平面加密密钥,所述方法还包括以下步骤:
-将用户数据包括细节提供给第二用户设备;
-依赖于保留在第一用户设备中的证书中的一个或多个来控制用于第二用户设备的用户数据交换。
6.根据权利要求1的方法,还包括以下步骤:保持第一用户设备和电信网络之间的信令以用于第二用户设备通过电信网络的用户数据交换,并且其中由第一用户设备的控制动作包括在第一用户设备处操纵信令。
7.根据权利要求6的方法,其中电信网络包括LTE网络并且由第一用户设备所获得的该组证书包括一个或多个非接入层(NAS)密钥,所述方法包括以下步骤:
-从提供给第二用户设备的证书的部分省略NAS密钥中的一个或多个;
-通过控制动作中断第二用户设备的用户数据交换,第一用户设备的控制动作包括以下中的一个:
-向电信网络发送NAS消息分离请求;
-在追踪区更新(TAU)或者认证和密钥协商过程期间从电信网络接收到质询时发送认证失败消息。
8.根据权利要求1的方法,还包括以下步骤:
-应用来自电信网络的第一标识符,从而使得第一用户设备能够通过电信网络交换用户数据;
-从电信网络请求第二标识符;
-将第二标识符包括在要提供给第二用户设备的该组证书中,以使得第二用户设备能够通过电信网络交换用户数据。
9.根据权利要求1的方法,包括以下步骤:接收标识符从而使得第一用户设备能够通过电信网络交换用户数据,以及将该标识符提供给第二用户设备从而使得第二用户设备能够通过电信网络交换用户数据。
10.根据前述权利要求中的一个或多个的方法,还包括以下步骤:在第一用户设备和第二用户设备之间建立诸如LTE直接连接或蓝牙连接之类的直接连接,以用于至少将该组证书的至少部分提供给第二用户设备。
11.根据前述权利要求中的一个或多个的方法,其中第一用户设备事先获得一个或多个证书组,并且在随后时间将证书组中的一个或多个提供给一个或多个第二用户设备。
12.根据前述权利要求中的一个或多个的方法,包括由第一用户设备的以下步骤:
-将标识符提供给第二设备;
-从电信网络经由第二用户设备接收信息;
-在从第二设备接收到信息后向第二设备发送一个或多个信号传输密钥。
13.一种包括软件代码部分的计算机程序,其被配置用于当在计算机系统上执行时执行根据权利要求1-12中的一个或多个的方法。
14.一种非临时性计算机程序介质,其包括根据权利要求13的计算机程序。
15.一种第一用户设备,其被配置用于执行根据权利要求1-12的方法,并且包括利用计算机代码所编程的用于控制由第二用户设备的用户数据交换的电路,其中所述计算机代码当由所述电路执行时执行:
-获得一组证书,该组证书包括标识符和多个信号传输密钥以用于通过电信网络的信号传输;
-将该组证书的至少一部分提供给第二用户设备,以使得第二用户设备能够通过电信网络交换用户数据;
-通过控制动作来控制第二用户设备通过电信网络的用户数据交换,所述控制动作关于提供给第二用户设备的所获得的证书而被执行。
16.一种第二用户设备,其被配置用于由第一用户设备根据权利要求1-12的方法来控制,第二用户设备包括利用计算机代码所编程的用于由根据权利要求15的第一用户设备所控制的电路。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP13190078 | 2013-10-24 | ||
EP13190078.9 | 2013-10-24 | ||
PCT/EP2014/072874 WO2015059286A1 (en) | 2013-10-24 | 2014-10-24 | Controlled credentials provisioning between user devices |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105874766A true CN105874766A (zh) | 2016-08-17 |
CN105874766B CN105874766B (zh) | 2019-07-02 |
Family
ID=49485563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480058499.XA Active CN105874766B (zh) | 2013-10-24 | 2014-10-24 | 在用户设备之间提供受控证书的方法和设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20160242032A1 (zh) |
EP (1) | EP3061222B1 (zh) |
JP (2) | JP6824037B2 (zh) |
KR (1) | KR101868713B1 (zh) |
CN (1) | CN105874766B (zh) |
WO (1) | WO2015059286A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108781110A (zh) * | 2016-03-15 | 2018-11-09 | 华为技术有限公司 | 用于通过通信网络中继数据的系统和方法 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3192303B1 (en) * | 2014-09-09 | 2018-11-07 | Telefonaktiebolaget LM Ericsson (publ) | Voip service state aware hand over execution |
US10652385B2 (en) * | 2014-10-06 | 2020-05-12 | Mitel Networks Corporation | Method and system for viewing available devices for an electronic communication |
EP3225071B1 (en) | 2014-11-27 | 2021-07-21 | Koninklijke KPN N.V. | Infrastructure-based d2d connection setup using ott services |
US9986421B2 (en) * | 2014-12-03 | 2018-05-29 | Verizon Patent And Licensing Inc. | Secure virtual transfer of subscriber credentials |
US9736229B2 (en) * | 2015-02-17 | 2017-08-15 | Microsoft Technology Licensing, Llc | Device with embedded network subscription and methods |
JP6897921B2 (ja) * | 2015-12-31 | 2021-07-07 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 通信方法およびデバイス |
US10615844B2 (en) | 2016-03-15 | 2020-04-07 | Huawei Technologies Co., Ltd. | System and method for relaying data over a communication network |
EP3282638A1 (en) * | 2016-08-11 | 2018-02-14 | Gemalto Sa | A method for provisioning a first communication device by using a second communication device |
WO2018089442A2 (en) * | 2016-11-09 | 2018-05-17 | Intel IP Corporation | Ue and devices for detach handling |
FR3069998A1 (fr) * | 2017-08-03 | 2019-02-08 | Orange | Procede d'obtention d'un profil d'acces a un reseau de communication par un terminal secondaire via un terminal principal |
US11144620B2 (en) * | 2018-06-26 | 2021-10-12 | Counseling and Development, Inc. | Systems and methods for establishing connections in a network following secure verification of interested parties |
WO2021100913A1 (ko) * | 2019-11-21 | 2021-05-27 | 엘지전자 주식회사 | 기지국 및 다른 전자 장치의 세트와 통신하는 전자 장치 및 그 통신 방법 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020169966A1 (en) * | 2001-05-14 | 2002-11-14 | Kai Nyman | Authentication in data communication |
CN101160778A (zh) * | 2005-04-18 | 2008-04-09 | 朗迅科技公司 | 提供根密钥 |
US20120047551A1 (en) * | 2009-12-28 | 2012-02-23 | Interdigital Patent Holdings, Inc. | Machine-To-Machine Gateway Architecture |
CN102415048A (zh) * | 2009-03-03 | 2012-04-11 | Kddi株式会社 | 密钥共享系统 |
CN103141126A (zh) * | 2010-09-29 | 2013-06-05 | 诺基亚公司 | 用于访问证书供应的方法和装置 |
CN103155613A (zh) * | 2010-10-21 | 2013-06-12 | 诺基亚公司 | 用于提供访问证书的方法和装置 |
US20130247161A1 (en) * | 2012-03-19 | 2013-09-19 | Nokia Corporation | Method and apparatus for subscription sharing |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10012057A1 (de) * | 2000-03-14 | 2001-09-20 | Bosch Gmbh Robert | Verfahren zur Bereitstellung von Identifikations- und Authentisierungsdaten |
KR100582553B1 (ko) * | 2004-10-07 | 2006-05-23 | 한국전자통신연구원 | 3g인증에서 생성된 암호키를 이용한 공중 무선랜 및 휴대인터넷의 접속 인증 방법 |
KR100680177B1 (ko) * | 2004-12-30 | 2007-02-08 | 삼성전자주식회사 | 홈 네트워크 외부에서 사용자를 인증하는 방법 |
KR100729105B1 (ko) * | 2005-10-14 | 2007-06-14 | 포스데이타 주식회사 | 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법 |
US8527759B2 (en) * | 2008-05-23 | 2013-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | IMS user equipment, control method thereof, host device, and control method thereof |
US8265599B2 (en) * | 2008-05-27 | 2012-09-11 | Intel Corporation | Enabling and charging devices for broadband services through nearby SIM devices |
JP5243870B2 (ja) * | 2008-07-15 | 2013-07-24 | 任天堂株式会社 | 情報処理システム、情報処理装置、および情報処理プログラム |
EP2293624B1 (en) * | 2008-06-27 | 2019-01-23 | Panasonic Intellectual Property Corporation of America | Communication system, communication processing device and authentication processing device |
US8738910B2 (en) * | 2009-12-07 | 2014-05-27 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for enabling play-out of media |
GB201015322D0 (en) * | 2010-09-14 | 2010-10-27 | Vodafone Ip Licensing Ltd | Authentication in a wireless telecommunications network |
US8948382B2 (en) * | 2010-12-16 | 2015-02-03 | Microsoft Corporation | Secure protocol for peer-to-peer network |
US8818276B2 (en) * | 2012-05-16 | 2014-08-26 | Nokia Corporation | Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus |
US9258744B2 (en) * | 2012-08-29 | 2016-02-09 | At&T Mobility Ii, Llc | Sharing of network resources within a managed network |
US8977856B2 (en) * | 2012-08-31 | 2015-03-10 | Blackberry Limited | Methods and apparatus for use in sharing credentials amongst a plurality of mobile communication devices |
US20150081837A1 (en) * | 2013-09-13 | 2015-03-19 | Google Inc. | Provisioning a plurality of computing devices |
-
2014
- 2014-10-24 US US15/030,251 patent/US20160242032A1/en not_active Abandoned
- 2014-10-24 KR KR1020167011088A patent/KR101868713B1/ko active IP Right Grant
- 2014-10-24 WO PCT/EP2014/072874 patent/WO2015059286A1/en active Application Filing
- 2014-10-24 CN CN201480058499.XA patent/CN105874766B/zh active Active
- 2014-10-24 JP JP2016526130A patent/JP6824037B2/ja active Active
- 2014-10-24 EP EP14790058.3A patent/EP3061222B1/en active Active
-
2018
- 2018-08-20 JP JP2018153914A patent/JP6807358B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020169966A1 (en) * | 2001-05-14 | 2002-11-14 | Kai Nyman | Authentication in data communication |
CN101160778A (zh) * | 2005-04-18 | 2008-04-09 | 朗迅科技公司 | 提供根密钥 |
CN102415048A (zh) * | 2009-03-03 | 2012-04-11 | Kddi株式会社 | 密钥共享系统 |
US20120047551A1 (en) * | 2009-12-28 | 2012-02-23 | Interdigital Patent Holdings, Inc. | Machine-To-Machine Gateway Architecture |
CN103141126A (zh) * | 2010-09-29 | 2013-06-05 | 诺基亚公司 | 用于访问证书供应的方法和装置 |
CN103155613A (zh) * | 2010-10-21 | 2013-06-12 | 诺基亚公司 | 用于提供访问证书的方法和装置 |
US20130247161A1 (en) * | 2012-03-19 | 2013-09-19 | Nokia Corporation | Method and apparatus for subscription sharing |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108781110A (zh) * | 2016-03-15 | 2018-11-09 | 华为技术有限公司 | 用于通过通信网络中继数据的系统和方法 |
CN108781110B (zh) * | 2016-03-15 | 2021-02-09 | 华为技术有限公司 | 用于通过通信网络中继数据的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2018201237A (ja) | 2018-12-20 |
KR20160062118A (ko) | 2016-06-01 |
CN105874766B (zh) | 2019-07-02 |
JP2016540420A (ja) | 2016-12-22 |
EP3061222A1 (en) | 2016-08-31 |
US20160242032A1 (en) | 2016-08-18 |
JP6807358B2 (ja) | 2021-01-06 |
JP6824037B2 (ja) | 2021-02-03 |
WO2015059286A1 (en) | 2015-04-30 |
KR101868713B1 (ko) | 2018-06-18 |
EP3061222B1 (en) | 2021-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105874766A (zh) | 用户设备之间的受控证书提供 | |
EP3596953B1 (en) | Security solution for switching on and off security for up data between ue and ran in 5g | |
EP3820181B1 (en) | Secure conversation method and device | |
KR102601585B1 (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
EP3485699B1 (en) | Layer 2 relay to support coverage and resource-constrained devices in wireless networks | |
US10582522B2 (en) | Data transmission and reception method and device of terminal in wireless communication system | |
US10531501B2 (en) | UE, MME, communication control method of UE, and communication control method of MME | |
CN106105143A (zh) | 双连接性中的安全性密钥推导 | |
US20130189955A1 (en) | Method for context establishment in telecommunication networks | |
US20210099867A1 (en) | Wireless communication network authentication | |
US20180063135A1 (en) | Method for performing authentication of user equipment for individual services in wireless communication system and apparatus for the same | |
US11882445B2 (en) | Authentication system | |
EP3536027B1 (en) | Handover of a device which uses another device as relay | |
US20240172176A1 (en) | Managing downlink early data transmission | |
US20220345452A1 (en) | Authentication system when authentication is not functioning | |
US10045391B2 (en) | Methods, apparatuses and computer program products for prose communication | |
KR20150042686A (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
WO2023287873A1 (en) | Managing an early data communication configuration | |
WO2023014932A2 (en) | Communicating early and non-early data between a user device and a core network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |