CN107079007A - 基于证书的认证 - Google Patents
基于证书的认证 Download PDFInfo
- Publication number
- CN107079007A CN107079007A CN201580050919.4A CN201580050919A CN107079007A CN 107079007 A CN107079007 A CN 107079007A CN 201580050919 A CN201580050919 A CN 201580050919A CN 107079007 A CN107079007 A CN 107079007A
- Authority
- CN
- China
- Prior art keywords
- certificate
- equipment
- lte
- message
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
描述了一种在被配置为与长期演进(LTE)网络通信的设备中操作的用于认证的方法。该方法包括从所述LTE网络接收第一消息,该第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于用户身份模块(SIM)的认证的代替来建立LTE安全上下文。该方法还包括与该LTE网络传输一个或多个消息以执行基于证书的认证。该方法还包括基于从基于证书的认证导出的密钥来建立该LTE安全上下文。
Description
相关申请
本申请涉及2014年9月23日提交的美国临时专利申请序列号No.62/054272,“Certificate-Based Authentication”并要求享有其优先权。本申请还涉及2014年11月24日提交的美国临时专利申请序列号No.62/083826,“Certificate-Based Authentication”并要求享有其优先权。
背景技术
概括地说,本公开内容涉及通信领域,更具体而言,涉及用于通过传输一个或多个证书向网络认证设备的系统和方法。
无线通信系统被广泛地部署以提供各种类型的通信内容,例如,语音、数据等。典型的无线通信系统可以是能够通过共享可用的系统资源(例如,带宽、传输功率等)来支持与多个用户的通信的多址系统。这种多址系统的示例可以包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统等。此外,这些系统能够符合诸如第三代合作伙伴计划(3GPP)、3GPP长期演进(LTE)、超移动宽带(UMB)、演进数据优化(EV-DO)等规范。
通常,无线多址通信系统可以同时支持针对多个设备的通信。每个设备可以经由前向和反向链路上的传输与一个或多个基站通信。前向链路(或下行链路)是指从基站到设备的通信链路,而反向链路(或上行链路)是指从设备到基站的通信链路。此外,可以经由单输入单输出(SISO)系统、多输入单输出(MISO)系统、多输入多输出(MIMO)系统等建立设备与基站之间的通信。此外,设备能够以对等无线网络配置与其它设备(和/或基站与其它基站)通信。
在接入无线通信网络之前,可以要求对设备进行认证。在很多无线通信网络中,可以使用由网络运营商提供的用户身份模块(SIM)卡来执行认证。一些无线通信网络(例如中性主机(neutral-host,NH)网络)可能需要允许设备在不使用SIM卡的情况下进行连接并安全地认证。于是,用于通过交换一个或多个证书向无线通信网络认证设备的系统和方法可能是有益的。
发明内容
描述了一种在被配置为与长期演进(LTE)网络通信的设备中操作的用于认证的方法。该方法包括从所述LTE网络接收第一消息,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于用户身份模块(SIM)的认证的代替来建立LTE安全上下文。该方法还包括与所述LTE网络传输一个或多个消息以执行基于证书的认证。该方法还包括基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
来自所述LTE网络的所述第一消息可以包括系统信息广播(SIB)消息。该方法还可以包括从所述LTE网络接收第二消息,所述第二消息指示由所述LTE网络支持的一个或多个认证方法和一个或多个服务提供者。该方法还可以包括响应于从设备发送请求来接收第二消息。
所述一个或多个消息可以是使用一个或多个LTE非接入层(NAS)信令消息来传输的。所述一个或多个消息可以包括一个或多个可扩展认证协议(EAP)消息。所述一个或多个EAP消息可以是使用一个或多个LTE NAS信令消息来传输的。所述基于证书的认证可以是使用EAP-传输层安全(EAP-TLS)或EAP-隧道传输层安全(EAP-TTLS)来执行的。
与所述LTE网络传输所述一个或多个消息以执行所述基于证书的认证可以包括从认证服务器接收网络证书。可以验证(validate)所述网络证书。
验证所述网络证书可以包括以下各项中的一项或多项::确定所述网络证书是否由受信任证书授权方签名;确定所述网络证书是否到期;确定所述网络证书是否被撤销;或者确定所述认证服务器是否拥有所述网络证书。
确定所述网络证书是否被撤销可以包括检验(verify)所述网络证书不在证书撤销列表(CRL)中。确定网络证书是否被撤销可以替代地包括查询在线证书状态协议(OCSP)服务器。
与所述LTE网络传输所述一个或多个消息以执行所述基于证书的认证还可以包括向认证服务器发送设备证书。所述设备证书可以基于所述网络证书中的信息而被加密。
该方法还可以包括接收对用户凭证的请求。可以向所述LTE网络发送用户凭证。
该方法还可以包括从所述LTE网络接收假名(pseudonym)。该方法还可以包括:在获取接入LTE网络的权限的后续尝试中,向LTE网络发送所述假名而不是设备证书。
该方法还可以包括接收对接受服务协定的请求。该方法还可以包括发送接受所述服务协定的消息。
该方法还可以包括在所述设备被制造时向所述设备供应设备证书。所述设备证书可以唯一地标识设备。所述设备证书可以是基于以下各项中的至少一项或组合的:序列号、介质访问控制(MAC)ID、国际移动站设备身份(IMEI)、或国际移动用户身份(IMSI)。
该方法还可以包括使用企业证书登记(enrollment)过程向设备供应设备证书。所述企业证书登记过程可以利用简单证书登记协议(SCEP)。
该方法还可以包括利用特定于设备的公共和私有密钥对在所述设备上生成自我签名的设备证书。该方法还可以包括使用被编程到片上系统(SoC)中的秘密密钥在所述设备上生成所述公共和私有密钥对。所述秘密密钥可以是与受信任实体共享的。此外,该方法还可以包括通过在所述设备与受信任实体之间运行密钥供应协议来生成所述公共和私有密钥对。
还描述了一种被配置为与长期演进(LTE)网络通信的装置。该装置包括收发机,所述收发机被配置为从所述LTE网络接收第一消息,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文。所述收发机还被配置为与所述LTE网络传输一个或多个消息以执行基于证书的认证。该装置还包括安全上下文建立器,所述安全上下文建立器被配置为基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
描述了另一种被配置为与长期演进(LTE)网络通信的装置。该装置包括用于从所述LTE网络接收第一消息的单元,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文。该装置还包括用于与所述LTE网络传输一个或多个消息以执行基于证书的认证的单元。该装置还包括用于基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文的单元。
还描述了一种计算机可读介质。该计算机可读介质包括用于使计算机从LTE网络接收第一消息的代码,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文。该计算机可读介质还包括用于使所述计算机与所述LTE网络传输一个或多个消息以执行基于证书的认证的代码。该计算机可读介质还包括用于使所述计算机基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文的代码。
还描述了一种用于在长期演进(LTE)网络中进行认证的方法。该方法包括从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示。该方法还包括与所述设备传输一个或多个消息以执行基于证书的认证。该方法还包括基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
所述指示可以是在附着消息中接收的。所述指示可以是作为可扩展认证协议(EAP)消息的一部分接收的。所述一个或多个消息可以是使用一个或多个LTE非接入层(NAS)信令消息来传输的。所述一个或多个消息可以包括EAP消息。
与所述设备传输一个或多个消息以执行所述基于证书的认证可以包括从所述设备接收设备证书。可以验证所述设备证书。
验证所述设备证书可以包括确定所述设备证书是自我签名的设备证书;从受信任实体获得用于所述设备的公共密钥;以及检验所述自我签名的设备证书是由所述设备基于所述公共密钥而签名的。
验证所述设备证书可以包括以下各项中的一项或多项:确定所述设备证书是否由受信任证书授权方签名;确定所述设备证书是否到期;或者确定所述设备是否拥有所述设备证书。
验证所述设备证书还可以包括确定所述设备证书是否被撤销。确定设备证书是否被撤销可以包括以下各项中的一项或组合:检验所述设备证书不在证书撤销列表(CRL)中;或者查询在线证书状态协议(OCSP)服务器。
验证所述设备证书还可以包括以下各项中的一项或组合:确定设备是否在被允许接入所述LTE网络的设备列表中;或者确定设备是否不在不被允许接入所述LTE网络的设备列表中。
该方法还可以包括向所述设备发送网络证书。
该方法还可以包括向所述设备发送对用户凭证的请求。该方法还可以包括从所述设备接收用户凭证。此外,该方法还可以包括验证所述用户凭证。该方法还可以包括基于所述用户凭证来准许所述设备接入所述LTE网络。
该方法还可以包括向所述设备发送假名。该方法还可以包括:在对获取接入所述LTE网络的权限的后续请求中,从所述设备接收所述假名而不是设备证书。
该方法还可以包括向所述设备发送对接受服务协定的请求。该方法还可以包括从所述设备接收接受所述服务协定的消息。该方法还可以包括基于所述接受服务协议的消息来准许所述设备接入所述LTE网络。
还描述了一种用于在长期演进(LTE)网络中进行认证的装置。该装置包括收发机,所述收发机被配置为从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示。所述收发机还被配置为与所述设备传输一个或多个消息以执行基于证书的认证。该装置还包括安全上下文建立器,所述安全上下文建立器被配置为基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
还描述了另一种用于在长期演进(LTE)网络中进行认证的装置。该装置包括用于从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示的单元。该装置还包括用于与所述设备传输一个或多个消息以执行基于证书的认证的单元。该装置还包括用于基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文的单元。
还描述了一种非暂时性计算机可读介质。该计算机可读介质包括用于使计算机从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立长期演进(LTE)安全上下文的指示的代码。该计算机可读介质还包括用于使所述计算机与所述设备传输一个或多个消息以执行基于证书的认证的代码。该计算机可读介质还包括用于使所述计算机基于从所述基于证书的认证导出的密钥来建立LTE安全上下文的代码。
附图说明
图1示出了示例无线通信系统;
图2是示出了示例设备的方框图;
图3是示出了示例认证服务器的方框图;
图4是示出了可以由设备执行的、用于认证的方法的一种配置的流程图;
图5是示出了可以由长期演进(LTE)网络执行的、用于认证的方法的另一种配置的流程图;
图6是示出了用于基于证书的认证的过程的序列图;
图7是示出了用于基于证书的认证的另一过程的序列图;
图8是示出了用于基于证书的认证的过程的又一序列图;
图9示出了可以包括在设备中的特定组件;以及
图10示出了可以包括在认证服务器中的特定组件。
具体实施方式
在LTE网络中,当前用于认证设备的仅有方式是使用由特定移动网络运营商提供的SIM卡。然而,对于中性主机(NH)LTE网络而言,需要允许任何设备连接到任何NH LTE网络并向其安全地认证自身。这需要在不依赖SIM卡且不要求设备被供应有特定于NH网络的凭证的情况下是可能的。
本文描述的系统和方法提供了通过传输一个或多个证书向网络认证设备。设备可以被预先供应有唯一的设备证书。在从设备接收到设备证书时,NH LTE网络可以执行基于证书的认证(而不是传统的基于SIM的认证)。NH LTE网络可以随后基于从基于证书的认证导出的密钥来为设备建立安全上下文。因此,NH使能的LTE设备可以与任何NH使能的LTE网络连接并向其安全地认证自身,并且后续地从所连接的NH LTE网络获取服务。
现在参考附图描述各个方面。在以下描述中,出于解释的目的,阐述了众多具体细节,以便提供对一个或多个方面的透彻理解。显然,可以实践这样的方面而无需这些具体细节。
在各个方面中,描述了用于基于证书的认证的系统和方法。该描述可以是指设备。设备还可以被称为系统、移动设备、用户单元、用户站、移动站、移动台、远程站、移动终端、远程终端、接入终端、用户终端、终端、通信设备、用户代理、用户设备或用户装置(UE)。设备可以是蜂窝电话、卫星电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持设备、平板设备、计算设备或经由无线调制调解器连接到向设备提供蜂窝或无线网络接入的一个或多个基站(BS)的其它处理设备。
基站(BS)可以用于与(一个或多个)设备通信,并且还可以被称为接入点106、毫微微节点、微微节点、微节点、节点B、演进型节点B(eNB)、家庭节点B(HNB)或家庭演进型节点B(HeNB)(统称为H(e)NB)、或者某种其它术语。这些基站可以被视为低功率基站。例如,与和无线广域网(WWAN)相关联的宏基站相比,低功率基站可以以相对低的功率进行发射。因此,低功率基站的覆盖区域可以显著小于宏基站的覆盖区域。
本文描述的技术可以用于各种无线通信系统,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA、Wi-Fi载波侦听多址接入(CSMA)以及其它系统。术语“系统”和“网络”经常互换地使用。CDMA系统可以实现诸如通用陆地无线电接入(UTRA)、cdma2000等之类的无线电技术。UTRA包括宽带CDMA(W-CDMA)和CDMA的其它变体。此外,cdma2000覆盖IS-2000、IS-95和IS-856标准。TDMA系统可以实现诸如全球移动通信系统(GSM)之类的无线电技术。OFDMA系统可以实现诸如演进型UTRA(E-UTRA)、超移动宽带(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、闪速等之类的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的部分。3GPP长期演进(LTE)是UMTS的使用E-UTRA的版本,其在下行链路上采用OFDMA并在上行链路上采用SC-FDMA。在来自名为“第三代合作伙伴计划”(3GPP)的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE和GSM。此外,在来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文档中描述了cdma2000和UMB。此外,这样的无线通信系统还可以包括对等(例如,移动到移动)自组织网络系统,其经常使用不成对的未经许可频谱、802.xx无线局域网(LAN)、蓝牙和任何其它短距离或长距离无线通信技术。
将依据可以包括若干设备、组件、模块等的系统来呈现各个方面或特征。应当理解和意识到,各种系统可以包括另外的设备、组件、模块等,和/或可以不包括结合附图所论述的所有设备、组件、模块等。也可以使用这些方式的组合。
图1示出了示例无线通信系统100。无线通信系统100可以包括设备102、LTE网络112、证书授权方(CA)118、证书状态服务器120和密钥供应服务实体(KPSE)122。它还可以包括未示出的其它设备或网络节点。LTE网络112可以包括以下中的一个或多个:接入点106、控制节点(CN)108、认证服务器104。设备102、接入点106、控制节点108、认证服务器104、证书授权方118、证书状态服务器120和KPSE 122可以在一个或多个有线或无线链路上通信。
可以通过在无线链路上的传输来实现无线通信系统100中的通信。可以经由单输入单输出(SISO)、多输入单输出(MISO)或多输入多输出(MIMO)系统建立这样的无线链路。MIMO系统包括发射机和接收机,其分别装备有用于数据传输的多个(NT个)发射天线和多个(NR个)接收天线。在一些配置中,无线通信系统100可以使用MIMO。MIMO系统可以支持时分双工(TDD)和/或频分双工(FDD)系统。
在一些配置中,无线通信系统100可以根据一个或多个标准来操作。这些标准的示例包括蓝牙(例如,电气和电子工程师协会(IEEE)802.15.1)、IEEE 802.11(Wi-Fi)、IEEE802.16(微波接入全球互操作性(WiMAX)、全球移动通信系统(GSM)、通用移动电信系统(UMTS)、CDMA2000、长期演进(LTE)等。
在一些配置中,无线通信系统100可以是能够通过共享可用的系统资源(例如,带宽和发射功率)来支持与多个设备的通信的多址系统。这种多址系统的示例包括码分多址(CDMA)系统、宽带码分多址(W-CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统、演进数据优化(EV-DO)、单载波频分多址(SC-FDMA)系统、通用分组无线服务(GPRS)接入网络系统、第三代合作伙伴计划(3GPP)长期演进(LTE)系统和空分多址(SDMA)系统。
在LTE网络112中,由移动网络运营商提供的用户身份模块(SIM)卡可以用于向网络认证设备102。然而,对于中性主机(NH)LTE网络,可能需要允许任何设备102连接到任何NH LTE网络并向其安全地认证而无需SIM卡且无需特定于网络的凭证的预先供应。
NH网络可以是由NH网络服务提供者管理的或与NH网络服务提供者具有漫游关系的NH接入网络集合。NH接入网络可以是例如由有线电视运营商或企业在本地作为热点或在住宅中拥有并运营的。在一个示例中,NH网络可以是毫微微小区网络,其允许从其它网络运营商接入设备102。毫微微小区网络可以安装在特定地点(例如,商场、体育场或商业机构)并可以提供增强的覆盖或容量。
本文描述的LTE网络112可以是NH网络。在一种配置中,LTE网络112可以在设备102被许可使用LTE网络112上的服务之前认证设备102。例如,LTE网络112可以基于设备证书114来认证设备102。在另一种配置中,设备102和LTE网络112可以在设备102被许可使用LTE网络112上的服务之前彼此认证。例如,设备102可以基于网络证书110来认证LTE网络112,并且LTE网络112可以基于设备证书114来认证设备102。
NH LTE网络112基于证书的认证可以防止LTE网络112伪装成另一网络。基于证书的认证过程可以确保用户身份私密性(即,设备102的身份)不差于在标准LTE网络中那样。例如,该过程可以不以明文信息发送可以用于标识用户或设备102的信息。换言之,被动的(passive)窃听者或NH接入LTE网络112自身可能无法访问可以用于跟踪用户或设备102的信息。
设备102可以被供应有唯一的设备证书114。设备证书114可以使用唯一标识符(ID)(例如序列号、介质访问控制(MAC)地址、国际移动站设备身份(IMEI)或国际移动用户身份(IMSI))来唯一地标识设备102。在一个示例中,唯一标识符可以是不和任何现有移动网络运营商相关联的全球唯一的IMSI值。设备证书114可以不是特定于特定NH网络的;设备证书114可以用于向任何NH网络安全地认证设备102。
在一种配置中,作为设备102制造过程的一部分,设备102可以被供应有设备证书114。在另一种配置中,可以使用企业证书登记过程向设备102供应设备证书114。例如,可以使用简单证书登记协议(SCEP)向设备102供应设备证书114。
针对每个设备102的设备证书114可以由证书授权方(CA)118生成。CA 118可以是原始设备制造商(OEM)或第三方。在一种配置中,可以存在被授权为发出设备证书114的根CA 118和一个或多个中间CA 118。设备证书114的供应可能要求安全信道来从CA 118向制造商传输设备证书114。
在另一种配置中,针对每个设备102的设备证书114可以使用特定于设备的公共和私有密钥对来在设备102自身上生成作为自我签名的设备证书114。可以使用被编程到片上系统(SoC)中并与密钥供应服务实体(KPSE)122共享的特定于SoC的唯一秘密密钥在设备102上生成公共和私有密钥对。私有和公共密钥的生成可以涉及在设备102与KPSE 122之间运行密钥供应协议。可以由认证服务器104使用从KPSE 122获得的公共密钥来检验设备102的自我签名的设备证书114。
还可以向设备102提供被授权为向NH网络服务器发出网络证书110的受信任CA118的列表。这一列表可以是针对能够连接到NH网络的所有设备102的公共列表。
在一种配置中,还可以向设备102提供证书状态服务器120的地址。证书状态服务器120可以是在线证书状态协议(OCSP)服务器。设备102可以使用证书状态服务器120的地址来查询证书状态服务器120以检验网络证书110尚未被撤销。在另一种配置中,可以向设备102提供证书撤销列表(CRL)。CRL可以是已经被撤销的网络证书110的列表。设备102可以使用CRL来检验网络证书110尚未被撤销。
设备102可以经由接入点106与控制节点108通信。在一种配置中,控制节点108可以是移动性管理实体(MME)。在该配置中,可以增强LTE非接入层(NAS)信令以在设备102与控制节点108之间携带可扩展认证协议(EAP)消息。设备102可以在附着(Attach)消息中指示对基于证书的认证或中性主机操作的支持。控制节点108可以随后使用该指示在设备102与认证服务器104之间开始基于证书的认证过程。包括这种增强的控制节点108以支持基于EAP的认证的LTE网络112可以被称为中性主机LTE网络或NH LTE网络。
在一种配置中,认证服务器104可以是认证、授权和计费(AAA)服务器。在该配置中,可以增强控制节点108(例如,MME)以使用EAP与认证服务器104(例如,AAA服务器)连接。例如,控制节点108可以使用EAP与认证服务器104连接,并使用如IETF RFC 5216中所定义的传输层安全(EAP-TLS)来认证设备102。在另一个示例中,控制节点108可以利用EAP与认证服务器104连接,并使用如IETF RFC 5281中所定义的隧道传输层安全(EAP-TTLS)来认证设备102。
在一种配置中,设备102的TLS客户端认证是由认证服务器104(例如,AAA服务器)使用生成的设备自我签名的设备证书114(上文所述)来执行的。在EAP-TTLS方法中,可以在使用设备自我签名的设备证书114对设备102的TLS客户端认证之后,由认证服务器104执行进一步的用户认证(例如,用户名和口令、安全ID令牌或另一种公知的用户认证方法)。
可以在远程认证拨号用户服务(RADIUS)或Diameter协议上在控制节点108与认证服务器104之间携带EAP消息。在认证过程结束时,认证服务器104可以向控制节点108发送EAP主会话密钥(MSK)。控制节点108可以使用MSK来导出密钥KASME,其可以如3GPP TS33.401中所定义那样用于LTE NAS和接入层(AS)安全。
设备102可以基于从基于证书的认证导出的密钥来建立LTE安全上下文116。安全上下文116可以存储关于LTE网络112、LTE网络112的网络证书110、与LTE网络112相关联的假名和/或用于LTE网络112的认证过程的信息。设备102可以在使用设备证书114向LTE网络112认证设备102之后生成安全上下文116。在接入LTE网络112的后续尝试上,设备202可以使用安全上下文116而不是设备证书114来重新连接到LTE网络112。
可以向认证服务器104提供被授权为向设备102发出设备证书114的受信任CA 118的列表。在另一种配置中,可以向认证服务器104提供至少设备102的身份以及与有NH能力的设备102的自我签名的设备证书114相关联的公共密钥的列表。认证服务器104可以使用与设备102身份相关联的公共密钥来检验自我签名的设备证书114的真实性(authenticity)。
在一种配置中,可以向认证服务器104提供被授权为访问LTE网络112上的服务的设备102的列表(例如,白名单)。还可以向认证服务器104提供未被授权为访问LTE网络112上的服务的设备102的列表(例如,黑名单)。在利用设备证书114成功认证设备102之后,认证服务器104可以在准许设备102接入网络之前可选地使用这一列表来执行进一步的授权检查。
认证服务器104可以检验设备证书114尚未被撤销。在一种配置中,可以向认证服务器104提供证书状态服务器120(例如,OCSP服务器)的地址。认证服务器104可以使用证书状态服务器120的地址来查询证书状态服务器120,以检验该设备证书114尚未被撤销。在另一种配置中,可以向认证服务器104提供证书撤销列表(CRL)。在该情况下,CRL可以是已经被撤销的设备证书114的列表。认证服务器104可以使用CRL来检验该设备证书114尚未被撤销。
此外,还可以向认证服务器104提供服务协议。在验证设备证书114或以其它方式验证设备102的凭证以接入LTE网络112之后,认证服务器104可以向设备102发送服务协定或以其它方式使设备102接收关于经由LTE网络112接收完整服务所需的服务协定的信息。例如,这可以由认证服务器104配置LTE网络112以使web接入请求被重定向到服务协定门户(portal)来完成。
可能需要设备102或设备102的用户接受服务协定以通过LTE网络112访问服务。在一种配置中,服务协定可以为使用LTE网络112设置条件。在另一种配置中,服务协定可以包括计账信息。通过同意该服务协定,设备102的用户可以接受为设备102访问服务而付费的责任。在另一种配置中,服务协定可以涉及使用多种公知支付方法的任一种来支付计账金额。
在成功执行服务协定时,认证服务器104可以将唯一的设备ID与链接到负责支付的用户的账户进行关联。在对LTE网络112的后续拜访中,基于设备102先前已经接受服务协定,认证服务器104可以准许访问被认证的设备102而无需要求设备102或设备102的用户重新接受服务协议。
还可以向认证服务器104提供网络证书110,设备102可以使用网络证书来认证LTE网络112。网络证书110可以由CA 118提供。在一种配置中,一个根CA 118可以为所有NH网络发出网络证书。根CA 118还可以维护证书状态服务器120(例如,OCSP服务器),设备102可以查询证书状态服务器120以检验网络证书110尚未被撤销。让单个CA 118发出所有网络证书110可以减小复杂性。如果CA 118或网络证书110受到损坏,这还可能增大伪装NH网络的风险。
在另一种配置中,根CA 118可以授权一个或多个中间CA 118。中间CA 118可以随后发出网络证书110。在该配置中,根CA 118可以维护中间CA 118的撤销列表。此外,中间CA118可以维护中间CA 118已经发出的证书(例如,设备证书114和/或网络证书110)的撤销列表。
图2是示出了示例设备202的方框图。设备202可以包括收发机230、网络证书验证器236、设备证书生成器238、安全上下文建立器240和存储器205。设备202能够与LTE网络112通信。在一种配置中,LTE网络112可以是中性主机(NH)LTE网络。
收发机230可以包括发射机232和接收机234。发射机232可以使得设备202能够在无线通信系统100中发送消息。接收机234可以使得设备202能够在无线通信系统100中接收消息。
网络证书验证器236可以使得设备202能够验证网络证书110。例如,设备202可以从认证服务器104接收网络证书110。在一种配置中,网络证书验证器236可以通过确定网络证书110是否由受信任CA 118签名、网络证书110是否到期、网络证书110是否被撤销和/或认证服务器104是否是网络证书110的所有者,来验证网络证书110。
网络证书生成器238可以使得设备202能够生成并签名自我签名的设备证书214。安全上下文建立器240可以使得设备202能够在与网络执行基于证书的认证之后建立安全上下文216。
设备202还可以包括设备证书214、证书撤销列表(CRL)224、OCSP服务器地址226、用户凭证228、被信任为发出网络证书110的CA 118的列表242、一个或多个安全上下文216以及在存储器205中存储的一个或多个假名246。
设备202可以使用设备证书214向LTE网络112认证。例如,设备202可以向认证服务器104发送设备证书214。认证服务器104可以确定设备证书214是否由受信任CA 118签名、设备证书214是否到期、设备证书214是否被撤销和/或设备202是否是设备证书214的拥有者。
网络证书验证器236可以使用CRL 224、OCSP地址226和被信任为发出网络证书110的CA 118的列表242来验证网络证书110。例如,网络证书验证器236可以检查CRL 224或查询OCSP服务器地址226处的OCSP服务器,以确定网络证书110是否已经被撤销。网络证书验证器236可以使用被信任为发出网络证书110的CA 118的列表242来确定网络证书110是否由受信任CA 118签名。
除了设备证书214之外或替代设备证书214,设备202可以使用用户凭证228以向LTE网络112进行认证。例如,由企业运营的NH网络可以要求设备202使用用户凭证228(例如,用户名和口令等)作为增加的安全措施来进行认证。
设备202可以使用一个或多个假名246向设备202先前已经使用设备证书214而认证过的LTE网络112进行认证。例如,为了增强用户私密性,LTE网络112可以在设备202使用设备证书214来成功认证之后向设备202发出假名246或其它重新认证身份。在获取接入LTE网络112的权限的后续尝试中,设备202可以向LTE网络112给出假名246而不是发送设备证书214。这可以使得设备202能够在对LTE网络112的后续拜访中避免以明文发送设备证书214。
设备202可以存储一个或多个安全上下文216,其中每个安全上下文216与拜访的NH网络相关联。安全上下文216可以存储关于LTE网络112、LTE网络112的网络证书110、与LTE网络112相关联的假名246和/或用于LTE网络112的认证过程的信息。设备202可以使用一个或多个安全上下文216来重新连接到先前拜访的NH网络。安全上下文建立器240可以在设备使用设备证书214来被认证到LTE网络112之后生成安全上下文216。
图3是示出了示例认证服务器304的方框图。认证服务器304可以包括收发机330、设备证书验证器348、用户凭证验证器350、安全上下文建立器352和存储器305。
收发机330可以包括发射机332和接收机334。发射机332可以使得认证服务器304能够在无线通信系统100中发射消息。接收机334可以使得认证服务器304能够在无线通信系统100中接收消息。在一种配置中,认证服务器304可以包括在LTE网络112中。
设备证书验证器348可以使得认证服务器304能够验证设备证书114。例如,认证服务器304可以从设备102接收设备证书。在一种配置中,设备证书验证器348可以通过确定设备证书114是否由受信任CA 118签名、设备证书114是否到期和/或设备102是否是设备证书114的拥有者,来验证设备证书114。在另一种配置中,设备证书验证器348还可以确定设备证书114是否被撤销。
用户凭证验证器350可以使得认证服务器304能够验证用户凭证228。例如,用户凭证验证器350可以检验口令与用户名相关联。也可以使用用于检验用户凭证228的其它方法,例如使用安全令牌或生物测定(biometrics)。
安全上下文建立器352可以使得认证服务器304能够在设备102已经被认证到LTE网络112之后帮助为设备102建立安全上下文116。安全上下文116可以存储关于LTE网络112、LTE网络112的网络证书310、与LTE网络112相关联的假名246和/或用于LTE网络112的认证过程的信息。设备102可以使用安全上下文116以在后续拜访中重新连接到LTE网络112。
认证服务器304还可以包括网络证书310、CRL 324、OCSP服务器地址326、服务协定354、分配的假名246的列表356、被允许接入网络的设备102的列表358(白名单)、不被允许接入网络的设备102的列表360(例如,黑名单)和被信任为发出存储器305中存储的设备证书114的CA 118的列表362。
认证服务器304可以使用网络证书310向设备102认证。例如,认证服务器304可以向设备102发送网络证书310。设备102可以确定网络证书310是否由受信任CA 118签名、网络证书310是否到期、网络证书310是否被撤销和/或认证服务器304是否是网络证书310的拥有者。
设备证书验证器348可以使用CRL 324、OCSP服务器地址326和被信任为发出设备证书114的CA 118的列表362来验证设备证书114。例如,设备证书验证器348可以检查CRL324或查询OCSP服务器地址326处的OCSP服务器,以确定设备证书114是否已经被撤销。设备证书验证器348可以使用被信任为发出设备证书114的CA 118的列表362来确定设备证书114是否由受信任CA 118签名。
认证服务器304可以维护其已向设备102发出的、分配的假名246的列表356。当设备102进行后续的尝试以向LTE网络112认证时,认证服务器304可以随后使用来自设备102的假名246。
认证服务器304可以在授权设备102接入LTE网络112之前要求设备102接受服务协定354的条件,包括关于计账的信息。
认证服务器304可以使用被允许接入LTE网络112的设备102的列表358以及不被允许接入LTE网络112的设备102的列表360来确定是否授权设备102接入LTE网络112。例如,如果在被允许接入LTE网络112的设备102的列表358中识别了设备102,则认证服务器304可以利用有效的设备证书114授权设备102。在另一个示例中,如果在不被允许接入LTE网络112的设备102的列表360中识别了设备102,则认证服务器304可以拒绝向设备102接入,无论设备102是否具有有效的设备证书114。
图4是示出了可以由设备102执行的、用于认证的方法400的一种配置的流程图。设备102能够与LTE网络112通信。在一种配置中,LTE网络112可以是中性主机(NH)LTE网络。因此,可以执行方法400进行LTE接入认证。
设备102可以从LTE网络112接收402第一消息,第一消息指示该LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文116。在一种配置中,第一消息可以是从LTE网络112发送的系统信息广播(SIB)消息。
SIB消息可以包括关于LTE网络112支持基于证书的认证和/或中性主机操作的指示。该指示可以是被保留用于中性主机使用的特定网络标识符,或具有NH使能的设备102理解为表示LTE网络112支持基于证书的认证的另一指示。例如,该指示可以包括在现有SIB消息的新字段中,作为现有SIB消息的现有字段中的新值,或作为新SIB消息的一部分。
在一种实现方式中,响应于从LTE网络112接收402第一消息,设备102可以发送对由LTE网络112支持的认证方法和服务提供者的请求。设备102可以从LTE网络112接收第二消息,第二消息指示由LTE网络112支持的认证方法和服务提供者。
设备102可以发送对连接到LTE网络112的请求。该请求可以指示对基于证书的认证的支持。在一种配置中,设备102可以与LTE网络112执行网络附着过程。在附着过程期间,设备102可以向LTE网络112指示:设备102支持中性主机操作和/或基于证书的认证,或者设备102打算(intend)连接到中性主机LTE网络112。该指示可以是为附着信令或某种其它机制中的中性主机操作保留的网络标识符值,由此设备102向LTE网络112通知:该设备102是具有中性主机使能的,支持基于证书的认证,和/或正在尝试连接到中性主机LTE网络112。
设备102可以与LTE网络112传输404一个或多个消息以执行基于证书的认证。如本文所使用的,传输一个或多个消息可以包括发送消息、接收消息、或发送消息和接收消息的组合。因此,传输一个或多个消息可以包括交换一个或多个消息。此外,传输一个或多个消息可以包括在发送或接收一个或多个消息时执行一个或多个动作。
在一种配置中,使用LTE非接入层(NAS)信令消息来传输一个或多个消息。一个或多个消息可以包括可扩展认证协议(EAP)消息。
在一种配置中,LTE非接入层(NAS)信令可以被增强以在设备102与LTE网络112中的控制节点108(例如,MME)之间携带可扩展认证协议(EAP)消息。设备102可以在附着消息中指示对基于证书的认证或中性主机操作的支持。控制节点108可以随后使用该指示在设备102与认证服务器104之间开始基于证书的认证过程。
为了执行基于证书的认证,设备102可以从认证服务器104接收网络证书110。设备102可以随后验证网络证书110。作为验证过程的一部分,设备102可以确定网络证书110是否由受信任的证书授权方118签名。设备102还可以确定网络证书110是否到期。此外,设备102还可以确定认证服务器104是否拥有网络证书110。
设备102还可以确定网络证书110是否被撤销。这可以由设备102检验网络证书110不在证书撤销列表(CRL)224中来完成。或者,设备102可以查询证书状态服务器120(例如,OCSP服务器)以确定网络证书110是否被撤销。
作为基于证书的认证的一部分,设备102还可以向认证服务器104发送设备证书114。可以基于网络证书110中的信息来对设备证书114加密。设备证书114可以唯一地标识设备102。例如,设备证书114可以使用唯一标识符(ID),例如序列号、介质访问控制(MAC)地址、国际移动站设备身份(IMEI)或国际移动用户身份(IMSI),来标识设备102。
在一种配置中,可以向设备102供应设备证书114。在一种实现方式中,可以在制造设备102时向设备102供应设备证书114。在另一种实现方式中,可以使用企业证书登记过程向设备102供应设备证书114。例如,企业证书登记过程可以利用简单证书登记协议(SCEP)。
在另一种配置中,设备102可以使用特定于设备102的公共和私有密钥对来生成自我签名的设备证书114。设备102可以使用被编程到到片上系统(SoC)中的秘密密钥来生成公共和私有密钥对。设备102还可以通过在设备102与受信任实体(例如,密钥供应服务实体(KPSE)122)之间运行密钥供应协议来生成公共和私有密钥对。设备102可以与受信任实体共享公共密钥。可以由认证服务器104使用从KPSE 122获得的公共密钥来检验设备102的自我签名的设备证书114。
设备102可以基于从基于证书的认证导出的密钥来建立406LTE安全上下文116。在认证结束时,该设备可以使用从EAP认证得到的EAP主会话密钥(MSK)来导出密钥KASME。该设备可以使用KASME来导出另外的密钥并将其用于LTE NAS和接入层(AS)安全。在认证过程结束时,认证服务器104可以向控制节点108发送EAP主会话密钥(MSK)。控制节点108可以使用MSK来导出密钥KASME,密钥KASME可以由LTE网络112用于导出另外的密钥并将其用于LTE NAS和接入层(AS)安全。
安全上下文116可以存储关于LTE网络112、LTE网络112的网络证书110、与LTE网络112相关联的假名246和/或用于LTE网络112的认证过程的信息。设备102可以使用一个或多个安全上下文116来重新连接到先前拜访的LTE网络112。设备102可以在设备102使用设备证书114被认证到LTE网络112之后生成安全上下文116。
图5是示出了可以由LTE网络112执行的、用于认证的方法500的另一种配置的流程图。在一种配置中,该方法500可以由LTE网络112中所包括的一个或多个网络节点来实现。例如,LTE网络112可以包括接入点106、控制节点108和认证服务器104。设备102能够与LTE网络112通信。在一种配置中,LTE网络112可以是中性主机(NH)LTE网络。
LTE网络112可以从设备102接收502关于设备102支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文116的指示。例如,可以在附着消息中接收该指示。在一种配置中,该指示可以作为可扩展认证协议(EAP)消息(例如,EAP-身份消息)的一部分被接收。
LTE网络112可以与设备102传输504一个或多个消息以执行基于证书的认证。如上所述,可以使用LTE非接入层(NAS)信令消息来传输一个或多个消息。一个或多个消息可以包括EAP消息。
LTE网络112可以向设备102发送网络证书110。设备102可以确定网络证书110是否由受信任CA 118签名、网络证书110是否到期、网络证书110是否被撤销和/或LTE网络112是否是网络证书110的拥有者。
与设备102传输一个或多个消息以执行基于证书的认证可以包括从设备102接收设备证书114。该设备102可以在检验网络证书110时发送设备证书114。LTE网络112可以随后验证设备证书114。
在一种配置中,LTE网络112可以确定所接收的设备证书114是自我签名的设备证书114。在该配置中,LTE网络112可以通过从受信任实体(例如,密钥供应服务实体(KPSE)122)获得用于设备102的公共密钥来验证设备证书114。LTE网络112可以随后检验该自我签名的设备证书114是由设备102基于公共密钥而签名的。
在另一种配置中,验证设备证书114可以包括确定设备证书114是否是由受信任的证书授权方(CA)118签名的。LTE网络112还可以确定设备证书114是否到期。此外,LTE网络112还可以确定设备102是否拥有设备证书114。
LTE网络112还可以通过确定设备证书114是否被撤销来验证设备证书114。这可以由LTE网络112检验设备证书114不在证书撤销列表(CRL)324中来完成。或者,LTE网络112可以查询证书状态服务器120(例如,OCSP服务器)以确定设备证书114是否被撤销。
LTE网络112还可以通过确定设备102是否在被允许接入LTE网络112的设备102的列表358(例如,白名单)中来验证设备证书114。或者,LTE网络112可以确定设备102是否不在不被允许接入LTE网络112的设备102的列表360(例如,黑名单)中。
LTE网络112可以基于从基于证书的认证导出的密钥来建立506LTE安全上下文116。例如,在认证过程结束时,认证服务器104可以向控制节点108发送EAP主会话密钥(MSK)。控制节点108可以使用MSK来导出密钥KASME,密钥KASME可以由LTE网络112用于导出另外的密钥并将其用于LTE NAS和接入层(AS)安全。
安全上下文116可以存储关于LTE网络112、LTE网络112的网络证书110、与LTE网络112相关联的假名和/或用于LTE网络112的认证过程的信息。设备102可以使用安全上下文116在对LTE网络112的后续拜访期间重新连接到LTE网络112。
图6是示出了用于基于证书的认证的过程的序列图。设备602能够与LTE网络612通信。在一种配置中,LTE网络612可以是中性主机(NH)LTE网络。
LTE网络612可以发送601指示对基于证书的认证的支持的消息。例如,该消息可以由中性主机LTE网络612中的接入点106(例如,基站或演进型节点B(eNB))广播。
在一种配置中,该消息可以是系统信息块(SIB)消息。SIB消息可以包括关于LTE网络612支持基于证书的认证和/或中性主机操作的指示。该指示可以是被保留用于中性主机使用的特定网络标识符,或具有NH使能的设备602理解为表示LTE网络612支持基于证书的认证的另一指示。例如,该指示可以包括在现有SIB消息的新字段中,作为现有SIB消息的现有字段中的新值,或作为新SIB消息的一部分。
设备602可以发送603对连接到LTE网络612的请求,该请求指示设备602支持基于证书的认证。在一种配置中,设备602可以执行网络附着过程。
在附着过程期间,设备602可以向LTE网络612指示:设备602支持中性主机操作和/或基于证书的认证,或者设备602打算连接到中性主机LTE网络612。该指示可以是为附着信令或某种其它机制中的中性主机操作保留的网络标识符值,由此设备602向LTE网络612通知:该设备602是具有中性主机使能的,支持基于证书的认证,和/或正在尝试连接到中性主机LTE网络612。
图7是示出了用于基于证书的认证的另一过程的顺序图。在图7中,设备702能够与LTE网络712通信。在一种配置中,LTE网络712可以是中性主机(NH)LTE网络。
LTE网络712可以发送701指示对基于证书的认证的支持的消息。例如,该消息可以类似于图6中描述的对应消息。
在从LTE网络712接收到指示支持对基于证书的认证的支持的消息之后,设备702可以向LTE网络712发送703对LTE网络712支持的认证方法和/或服务提供者的请求。
LTE网络712可以发送705指示LTE网络712支持的认证方法和/或服务提供者的消息。基于该消息,设备702可以确定要使用设备证书114来进行认证(即,基于证书的认证)。
设备702可以向LTE网络712发送707对连接的请求,该请求指示对基于证书的认证的支持。例如,设备702可以在附着消息中指示对基于证书的认证的支持。
在交换图6或图7中所描述的消息之后,设备702和LTE网络712可以交换信令消息,以使得能够执行基于证书的认证。例如,设备702和LTE网络712可以交换LTE信令(其实现基于证书的认证),而不是执行常规的LTE认证。
在LTE网络712侧,认证服务器104(例如,认证、授权和计费服务器(AAA))可以与适于支持基于证书的认证的控制节点108(例如,MME)合作,以与设备702交换LTE信令。LTE信令可以包括被设计成传输用于基于AAA的认证的EAP信令的非接入层(NAS)消息。可以在没有预先建立的LTE安全上下文116的情况下与设备702交换LTE信令。
在成功的基于证书的认证之后,设备702和LTE网络712可以基于该基于证书的认证来导出密钥资料(keying material)。在认证过程结束时,设备702可以使用从EAP认证得到的EAP主会话密钥(MSK)来导出密钥KASME。此外,在认证过程结束时,AAA服务器可以向MME发送EAP主会话密钥(MSK)。MME可以使用MSK来导出密钥KASME。设备702和MME可以使用密钥资料、KASME来导出特定于NH网络的LTE安全上下文116,包括明确定义的LTE接入层(AS)和NAS安全密钥的集合,其可以用于进一步保证设备702与LTE网络712之间的AS和NAS通信的安全(例如,如3GPP TS 33.401中所规定的)。
图8是示出了用于基于证书的认证的过程的又一序列图。在图8中,设备802能够与LTE网络112通信。在一种配置中,LTE网络112可以是中性主机(NH)LTE网络。LTE网络112可以包括认证服务器804。
设备802可以向认证服务器804发送801对接入LTE网络112的请求。认证服务器804可以向设备802发送803网络证书110。
设备802可以验证805网络证书110。为了验证805网络证书110,设备802可以确定网络证书110是否由受信任CA 118签名。设备802可以基于所存储的被信任为发出网络证书110的CA 118的列表242来做出这种确定。设备802还可以确定网络证书110是否到期。设备802可以将网络证书110的到期日期与当前日期进行比较。如果当前日期晚于到期日期,则设备802可以确定网络证书110到期。
为了验证805网络证书110,设备802还可以确定网络证书110是否被撤销。为了确定网络证书110是否被撤销,设备802可以检验网络证书110不在CRL 224中,或者设备802可以查询证书状态服务器120(例如,OCSP服务器)。
为了验证805网络证书110,设备802可以另外确定认证服务器804是否拥有该网络证书110。为了确定认证服务器804是否拥有网络证书110,设备802可以使用网络证书110中的公共密钥来对消息进行加密,并且随后检验认证服务器804能够对该消息进行正确地解密,从而证实认证服务器804拥有与网络证书10相关联的私有密钥。
设备802可以随后向认证服务器804发送807设备证书114。在一种配置中,为了避免以明文发送设备证书114,设备802可以使用网络证书110中的公共密钥来对设备证书114进行加密。认证服务器804可以对设备证书114进行解密,如有必要,并且随后验证809设备证书114。
为了验证809设备证书114,认证服务器804可以确定设备证书114是否由受信任的证书授权方118签名。认证服务器804可以基于所存储的受信任以发出设备证书114的CA118的列表362做出这一确定。
为了验证809设备证书114,认证服务器804还可以确定设备证书114是否到期。认证服务器804可以将设备证书114的到期日期与当前日期进行比较。如果当前日期晚于到期日期,则认证服务器804可以确定设备证书114到期。
为了验证809设备证书114,认证服务器804也可以确定设备证书114是否被撤销。为了确定设备证书114是否被撤销,认证服务器804可以检验设备证书114不在CRL 324中,或者认证服务器804可以查询OCSP服务器。
为了验证809设备证书114,认证服务器804还可以确定设备802是否拥有设备证书114。为了确定设备802是否拥有设备证书114,认证服务器804可以使用设备证书114中的公共密钥来对消息进行加密,并且可以随后检验设备802能够对该消息进行正确地解密,从而证实设备802拥有与设备证书114相关联的私有密钥。在另一种配置中,设备证书114可以是自我签名的设备证书114。可以由认证服务器804使用从受信任实体(例如,KPSE 122)获得的设备802的公共密钥来验证设备802的自我签名的设备证书114。
在一种配置中,认证服务器804还可以通过确定设备802是否在被允许接入网络112的设备802的列表358(即,白名单)中来验证809设备证书114。在另一种配置中,认证服务器804可以确定设备802是否在不被允许接入网络112的设备802的列表360(即,黑名单)中。在又一种配置中,认证服务器804可以检查白名单或黑名单而不是确定设备证书114是否被撤销。
在一些配置中,认证服务器804可以随后从设备802请求811用户凭证228。设备802可以发送813用户凭证228。认证服务器804可以验证815用户凭证228。例如,认证服务器804可以检验口令是与用户名相关联。也可以使用用于检验用户凭证228的其它方法,例如使用安全令牌或生物测定。认证服务器804可以基于用户凭证228来准许设备802接入LTE网络112。
在其它配置中,认证服务器804可以向设备802发送817对接受服务协定354的请求。该请求可以包括服务协定354的副本。服务协定354可以指定用于网络接入的条件。服务协定354还可以包括与网络接入相关联的计账信息。设备802可以向认证服务器804发送819接受服务协定354的消息。
在其它配置中,认证服务器804可以向设备802发送821假名246或其它重新认证身份。在对网络112的后续拜访中,设备802可以使用假名246替代设备证书114以向网络112认证。使用假名246替代设备证书114可以增强用户私密性。
认证服务器804可以随后准许823设备802接入网络112。接入可以受服务协定354中阐述的服务和计账条件支配。
图9示出了可以包括在设备902中的特定组件。结合图9所描述的设备902可以是结合图1-图8的一个或多个图描述的设备102、202、602、702、802的一个或多个设备的示例和/或可以根据其来实现。
设备902包括处理器903。处理器903可以是通用单芯片或多芯片微处理器(例如,高级RISC(精简指令集计算机)机器(ARM))、专用微处理器(例如,数字信号处理器(DSP))、微控制器、可编程门阵列等。处理器903可以被称为中央处理单元(CPU)。尽管图9的设备902中示出了单个处理器903,但在替代配置中,可以使用处理器(例如,ARM和DSP)的组合。
设备902还包括与处理器电通信的存储器905(即,处理器能够从存储器读取信息和/或向存储器写入信息)。存储器905可以是能够存储电子信息的任何电组件。存储器905可以被配置成随机存取存储器(RAM)、只读存储器(ROM)、磁盘存储介质、光存储介质、RAM中的闪存设备、与处理器包括在一起的板载存储器、EPROM存储器、EEPROM存储器、寄存器等,包括其组合。
数据907a和指令909a可以存储于存储器905中。指令可以包括一个或多个程序、例程、子例程、函数、过程、代码等。指令可以包括单个计算机可读语句或很多计算机可读语句。指令909a可以由处理器903执行以实现本文所公开的方法。执行指令909a可以涉及使用在存储器905中存储的数据907a。当处理器903执行指令909时,可以将指令909b的各个部分加载到处理器903上,并且可以将各条数据907b加载到处理器903上。
设备902还可以包括发射机932和接收机934,以允许经由天线917向设备902发送信号和从设备902接收信号。发射机932和接收机934可以统称为收发机930。设备902还可以包括(未示出)多个发射机、多个天线、多个接收机和/或多个收发机。
设备902可以包括数字信号处理器(DSP)921。设备902还可以包括通信接口923。通信接口923可以允许用户与设备902交互。
设备902的各个组件可以通过一个或多个总线耦合在一起,总线可以包括电源总线、控制信号总线、状态信号总线、数据总线等。为了清晰起见,图9中将各个总线描绘为总线系统919。
图10示出了可以包括在认证服务器1004中的特定组件。结合图10描述的认证服务器1004可以是结合图1-图8的一个或多个图描述的认证服务器104、304、804或网络节点的一个或多个的示例和/或可以根据其来实现。
认证服务器1004包括处理器1003。处理器1003可以是通用单芯片或多芯片微处理器(例如,高级RISC(精简指令集计算机)机器(ARM))、专用微处理器(例如,数字信号处理器(DSP))、微控制器、可编程门阵列等。处理器1003可以被称为中央处理单元(CPU)。尽管图10的认证服务器1004中示出了单个处理器1003,但在替代配置中,可以使用处理器(例如,ARM和DSP)的组合。
认证服务器1004还包括与处理器电通信的存储器1005(即,处理器能够从存储器读取信息和/或向存储器写入信息)。存储器1005可以是能够存储电子信息的任何电组件。存储器1005可以被配置成随机存取存储器(RAM)、只读存储器(ROM)、磁盘存储介质、光存储介质、RAM中的闪存设备、与处理器包括在一起的板载存储器、EPROM存储器、EEPROM存储器、寄存器等,包括其组合。
数据1007a和指令1009a可以存储于存储器1005中。指令可以包括一个或多个程序、例程、子例程、函数、过程、代码等。指令可以包括单个计算机可读语句或很多计算机可读语句。指令1009a可以由处理器1003执行以实现本文所公开的方法。执行指令1009a可以涉及使用在存储器1005中存储的数据1007a。当处理器1003执行指令1009时,可以将指令1009b的各个部分加载到处理器1003上,并且可以将各条数据1007b加载到处理器1003上。
认证服务器1004还可以包括发射机1032和接收机1034,以允许经由天线1017向认证服务器1004发送信号和从认证服务器1004接收信号。发射机1032和接收机1034可以统称为收发机1030。认证服务器1004还可以包括(未示出)多个发射机、多个天线、多个接收机和/或多个收发机。
认证服务器1004可以包括数字信号处理器(DSP)1021。认证服务器1004还可以包括通信接口1023。通信接口1023可以允许用户与认证服务器1004交互。
认证服务器1004的各个组件可以通过一个或多个总线耦合在一起,总线可以包括电源总线、控制信号总线、状态信号总线、数据总线等。为了清晰起见,图10中将各个总线描绘为总线系统1019。
在以上描述中,有时结合各种术语使用附图标记。在结合附图标记使用术语时,这可能意味着是指一个或多个附图中示出的特定元件。在使用没有附图标记的术语的情况下,这可能意味着一般性地指代该术语而不限于任何特定附图。
术语“确定”涵盖很多种动作,因此,“确定”可以包括计算、运算、处理、导出、研究、查找(例如,在表、数据库或另一数据结构中查找)、弄清等。此外,“确定”可以包括接收(例如,接收信息)、存取(例如,存取存储器中的数据)等。此外,“确定”可以包括解析、选择、挑选、建立等。
短语“基于”不表示“仅基于”,除非以其它方式明确指定。换言之,短语“基于”描述“仅基于”和“至少基于”两者。
术语“处理器”应当被宽泛地解释为涵盖通用处理器、中央处理单元(CPU)、微处理器、数字信号处理器(DSP)、控制器、微控制器、状态机等。在一些情形下,“处理器”可以是指专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)等。术语“处理器”可以是指处理设备的组合,例如,数字信号处理器(DSP)和微处理器的组合、多个微处理器、一个或多个微处理器结合数字信号处理器(DSP)内核,或者任何其它这样的配置。
术语“存储器”应当被宽泛解释为涵盖能够存储电子信息的任何电组件。术语存储器可以是指各种类型的处理器可读介质,例如随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、磁或光数据存储设备、寄存器等。如果处理器能够从存储器读取信息和/或向存储器写入信息,则说存储器与处理器电通信。与处理器一体的存储器是与处理器电通信的。
术语“指令”和“代码”应当被宽泛解释为包括任何类型的计算机可读语句。例如,术语“指令”和“代码”可以是指一个或多个程序、例程、子例程、函数、过程等。“指令”和“代码”可以包括单个计算机可读语句或很多计算机可读语句。
应当注意,在兼容的情况下,结合本文所述配置的任何一种配置描述的特征、功能、过程、组件、元件、结构等中的一个或多个可以与结合本文所述其它配置的任何一种配置描述的特征、功能、过程、组件、元件、结构等中的一个或多个进行组合。换言之,可以根据本文所公开的系统和方法来实现本文所述功能、过程、组件、元件等的任意兼容组合。
本文描述的功能可以作为一个或多个指令存储于处理器可读或计算机可读介质上。术语“计算机可读介质”是指可以由计算机或处理器访问的任何可用介质。通过举例而非限制性的方式,这样的介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存、压缩盘只读存储器(CD-ROM)或其它光盘存储、磁盘存储或其它磁存储设备或可以用于以指令或数据结构的形式存储期望的程序代码并可以由计算机访问的任何其它介质。如本文所使用的,磁盘和光盘包括压缩盘(CD)、激光光盘、光盘、数字多功能盘(DVD)、软盘和光盘,其中磁盘通常通过磁性方式再现数据,而光盘利用激光通过光学方式再现数据。应当注意,计算机可读介质可以是有形的且非暂时性的。术语“计算机程序产品”是指计算设备或处理器与可以由计算设备或处理器执行、处理或计算的代码或指令(例如,“程序”)相结合。如本文所使用的,术语“代码”可以是指可由计算设备或处理器执行的软件、指令、代码或数据。
也可以通过传输介质传输软件或指令。例如,如果从网站、服务器或其它远程源使用同轴电缆、光缆、双绞线、数字用户线路(DSL)或诸如红外、无线电和微波之类的无线技术来传输软件,则同轴电缆、光缆、双绞线、DSL或诸如红外、无线电和微波之类的无线技术被包括在传输介质的定义中。
本文所公开的方法包括用于实现所述方法的一个或多个步骤或动作。可以将方法步骤和/或动作互换而不脱离权利要求书的范围。换言之,除非所述方法的正确操作需要特定的步骤或动作次序,否则可以修改特定步骤和/或动作的次序和/或使用而不脱离权利要求书的范围。
此外,应当意识到,可以由设备下载和/或以其它方式获得用于执行本文所述方法和技术的模块和/或其它适当的单元,例如如图4-图8所示出的。例如,设备可以耦合到服务器以有利于传输用于执行本文所述方法的单元。或者,可以经由存储单元(例如,随机存取存储器(RAM)、只读存储器(ROM)、诸如压缩盘(CD)或软盘之类的物理存储介质等)提供本文描述的各种方法,使得设备可以在向设备耦合或提供存储单元时获得各种方法。此外,可以使用用于向设备提供本文所述方法和技术的任何其它适当的技术。
应当理解,权利要求书不限于上文示出的精确配置和组件。可以在本文所述的系统、方法和装置的布置、操作和细节中做出各种修改、改变和变化而不脱离权利要求书的范围。
Claims (46)
1.一种在被配置为与长期演进(LTE)网络通信的设备中操作的用于认证的方法,包括:
从所述LTE网络接收第一消息,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于用户身份模块(SIM)的认证的代替来建立LTE安全上下文;
与所述LTE网络传输一个或多个消息以执行基于证书的认证;以及
基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
2.根据权利要求1所述的方法,其中,来自所述LTE网络的所述第一消息包括系统信息广播(SIB)消息。
3.根据权利要求1所述的方法,还包括从所述LTE网络接收第二消息,所述第二消息指示由所述LTE网络支持的一个或多个认证方法和一个或多个服务提供者。
4.根据权利要求3所述的方法,还包括响应于从设备发送请求来接收所述第二消息。
5.根据权利要求1所述的方法,其中,所述一个或多个消息是使用一个或多个LTE非接入层(NAS)信令消息来传输的。
6.根据权利要求1所述的方法,其中,所述一个或多个消息包括一个或多个可扩展认证协议(EAP)消息。
7.根据权利要求6所述的方法,其中,所述一个或多个EAP消息是使用一个或多个LTENAS信令消息来传输的。
8.根据权利要求6所述的方法,其中,所述基于证书的认证是使用EAP-传输层安全(EAP-TLS)或EAP-隧道传输层安全(EAP-TTLS)来执行的。
9.根据权利要求1所述的方法,其中,与所述LTE网络传输所述一个或多个消息以执行所述基于证书的认证包括:
从认证服务器接收网络证书;以及
验证所述网络证书。
10.根据权利要求9所述的方法,其中,验证所述网络证书包括以下各项中的一项或多项:
确定所述网络证书是否由受信任证书授权方签名;
确定所述网络证书是否到期;
确定所述网络证书是否被撤销;或者
确定所述认证服务器是否拥有所述网络证书。
11.根据权利要求10所述的方法,其中,确定所述网络证书是否被撤销包括:
检验所述网络证书不在证书撤销列表(CRL)中;或者
查询在线证书状态协议(OCSP)服务器。
12.根据权利要求10所述的方法,其中,与所述LTE网络传输所述一个或多个消息以执行所述基于证书的认证还包括向所述认证服务器发送设备证书,其中,所述设备证书基于所述网络证书中的信息而被加密。
13.根据权利要求1所述的方法,还包括:
接收对用户凭证的请求;以及
向所述LTE网络发送用户凭证。
14.根据权利要求1所述的方法,还包括:
从所述LTE网络接收假名;以及
在获取接入所述LTE网络的权限的后续尝试中,向所述LTE网络发送所述假名而不是设备证书。
15.根据权利要求1所述的方法,还包括:
接收对接受服务协定的请求;以及
发送接受所述服务协定的消息。
16.根据权利要求1所述的方法,还包括在所述设备被制造时向所述设备供应设备证书。
17.根据权利要求16所述的方法,其中,所述设备证书唯一地标识设备。
18.根据权利要求17所述的方法,其中,所述设备证书是基于以下各项中的至少一项或组合的:序列号、介质访问控制(MAC)ID、国际移动站设备身份(IMEI)、或国际移动用户身份(IMSI)。
19.根据权利要求1所述的方法,还包括使用企业证书登记过程向设备供应设备证书。
20.根据权利要求19所述的方法,其中,所述企业证书登记过程利用简单证书登记协议(SCEP)。
21.根据权利要求1所述的方法,还包括使用特定于设备的公共和私有密钥对在所述设备上生成自我签名的设备证书。
22.根据权利要求21所述的方法,还包括使用被编程到片上系统(SoC)中的秘密密钥在所述设备上生成所述公共和私有密钥对,其中,所述秘密密钥是与受信任实体共享的。
23.根据权利要求21所述的方法,还包括通过在所述设备与受信任实体之间运行密钥供应协议来生成所述公共和私有密钥对。
24.一种被配置成与长期演进(LTE)网络通信的装置,包括:
收发机,其被配置为:
从所述LTE网络接收第一消息,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文;以及
与所述LTE网络传输一个或多个消息以执行基于证书的认证;以及
安全上下文建立器,其被配置为基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
25.一种被配置为与长期演进(LTE)网络通信的装置,包括:
用于从所述LTE网络接收第一消息的单元,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文;
用于与所述LTE网络传输一个或多个消息以执行基于证书的认证的单元;以及
用于基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文的单元。
26.一种非暂时性计算机可读介质,包括用于使计算机执行以下操作的代码:
从所述LTE网络接收第一消息,所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文;
与所述LTE网络传输一个或多个消息以执行基于证书的认证;以及
基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
27.一种用于在长期演进(LTE)网络中进行认证的方法,包括:
从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示;
与所述设备传输一个或多个消息以执行基于证书的认证;以及
基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
28.根据权利要求27所述的方法,其中,所述指示是在附着消息中接收的。
29.根据权利要求27所述的方法,其中,所述指示是作为可扩展认证协议(EAP)消息的一部分接收的。
30.根据权利要求27所述的方法,其中,所述一个或多个消息是使用一个或多个LTE非接入层(NAS)信令消息来传输的。
31.根据权利要求27所述的方法,其中,所述一个或多个消息包括一个或多个EAP消息。
32.根据权利要求31所述的方法,其中,所述一个或多个EAP消息是使用一个或多个LTENAS信令消息来传输的。
33.根据权利要求31所述的方法,其中,所述基于证书的认证是使用EAP-传输层安全(EAP-TLS)或EAP-隧道传输层安全(EAP-TTLS)来执行的。
34.根据权利要求27所述的方法,其中,与所述设备传输所述一个或多个消息以执行所述基于证书的认证包括:
从所述设备接收设备证书;以及
验证所述设备证书。
35.根据权利要求34所述的方法,其中,验证所述设备证书包括:
确定所述设备证书是自我签名的设备证书;
从受信任实体获得用于所述设备的公共密钥;以及
检验所述自我签名的设备证书是由所述设备基于所述公共密钥而签名的。
36.根据权利要求34所述的方法,其中,验证所述设备证书包括以下各项中的一项或多项:
确定所述设备证书是否由受信任证书授权方签名;
确定所述设备证书是否到期;或者
确定所述设备是否拥有所述设备证书。
37.根据权利要求36所述的方法,其中,验证所述设备证书还包括确定所述设备证书是否被撤销。
38.根据权利要求37所述的方法,其中,确定所述设备证书是否被撤销包括以下各项中的一项或组合:
检验所述设备证书不在证书撤销列表(CRL)中;或者
查询在线证书状态协议(OCSP)服务器。
39.根据权利要求36所述的方法,其中,验证所述设备证书还包括以下各项中的一项或组合:
确定所述设备是否在被允许接入所述LTE网络的设备列表中;或者
确定所述设备是否不在不被允许接入所述LTE网络的设备列表中。
40.根据权利要求27所述的方法,还包括向所述设备发送网络证书。
41.根据权利要求27所述的方法,还包括:
向所述设备发送对用户凭证的请求;
从所述设备接收用户凭证;
验证所述用户凭证;以及
基于所述用户凭证来准许所述设备接入所述LTE网络。
42.根据权利要求27所述的方法,还包括:
向所述设备发送假名;以及
在对获取接入所述LTE网络的权限的后续请求中,从所述设备接收所述假名而不是设备证书。
43.根据权利要求27所述的方法,还包括:
向所述设备发送对接受服务协定的请求;
从所述设备接收接受所述服务协定的消息;以及
基于所述接受所述服务协定的消息来准许所述设备接入所述LTE网络。
44.一种用于在长期演进(LTE)网络中进行认证的装置,包括:
收发机,其被配置为:
从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示;以及
与所述设备传输一个或多个消息以执行基于证书的认证;以及
安全上下文建立器,其被配置为基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
45.一种用于在长期演进(LTE)网络中进行认证的装置,包括:
用于从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立LTE安全上下文的指示的单元;
用于与所述设备传输一个或多个消息以执行基于证书的认证的单元;以及
用于基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文的单元。
46.一种非暂时性计算机可读介质,包括用于使计算机执行以下操作的代码:
从设备接收关于所述设备支持基于执行基于证书的认证作为对基于SIM的认证的代替来建立长期演进(LTE)安全上下文的指示;
与所述设备传输一个或多个消息以执行基于证书的认证;以及
基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462054272P | 2014-09-23 | 2014-09-23 | |
| US62/054,272 | 2014-09-23 | ||
| US201462083826P | 2014-11-24 | 2014-11-24 | |
| US62/083,826 | 2014-11-24 | ||
| US14/794,452 | 2015-07-08 | ||
| US14/794,452 US9825937B2 (en) | 2014-09-23 | 2015-07-08 | Certificate-based authentication |
| PCT/US2015/050602 WO2016048774A1 (en) | 2014-09-23 | 2015-09-17 | Certificate-based authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107079007A true CN107079007A (zh) | 2017-08-18 |
| CN107079007B CN107079007B (zh) | 2019-03-29 |
Family
ID=55526875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580050919.4A Active CN107079007B (zh) | 2014-09-23 | 2015-09-17 | 用于基于证书的认证的方法、装置和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9825937B2 (zh) |
| EP (1) | EP3198827A1 (zh) |
| JP (1) | JP2017535989A (zh) |
| CN (1) | CN107079007B (zh) |
| WO (1) | WO2016048774A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108880821A (zh) * | 2018-06-28 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种数字证书的认证方法及设备 |
| CN110896538A (zh) * | 2018-09-13 | 2020-03-20 | 苹果公司 | 无线设备中使用多个安全证书的模式切换 |
| CN111542822A (zh) * | 2018-02-23 | 2020-08-14 | 三星电子株式会社 | 用于共享屏幕数据的电子装置和方法 |
| CN111788811A (zh) * | 2018-01-29 | 2020-10-16 | 耐瑞唯信有限公司 | 车载电子控制单元之间的安全通信 |
| CN112219381A (zh) * | 2018-06-01 | 2021-01-12 | 诺基亚技术有限公司 | 用于边缘节点中基于数据分析的消息过滤的方法 |
| WO2021134724A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 认证方法、装置及系统 |
| CN113574917A (zh) * | 2019-09-23 | 2021-10-29 | Oppo广东移动通信有限公司 | 无线通信的方法和设备 |
| WO2022111016A1 (zh) * | 2020-11-27 | 2022-06-02 | 达闼机器人股份有限公司 | 移动网络接入系统、方法、存储介质及电子设备 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9398452B1 (en) | 2015-04-24 | 2016-07-19 | Motorola Solutions, Inc. | Bootstrapping secure connections for deployable networks |
| RU2691054C1 (ru) * | 2015-06-23 | 2019-06-07 | Хуавэй Текнолоджиз Ко., Лтд. | Способ передачи без-разрешения, оборудование пользователя, устройство сети доступа и устройство базовой сети |
| US20170063557A1 (en) * | 2015-08-28 | 2017-03-02 | Fortinet, Inc. | Detection of fraudulent certificate authority certificates |
| US9882727B1 (en) | 2015-10-02 | 2018-01-30 | Digicert, Inc. | Partitioning certificate revocation lists |
| JP2017152986A (ja) * | 2016-02-25 | 2017-08-31 | キヤノン株式会社 | 認証システム、画像形成装置とその制御方法、及びプログラム |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
| EP4231591A3 (en) * | 2016-06-29 | 2023-10-25 | Prosper Creative Co., Ltd. | Communications system, communications device used in same, management device, and information terminal |
| WO2018140813A1 (en) * | 2017-01-27 | 2018-08-02 | Celitech Inc. | Systems and methods for enhanced mobile data roaming and connectivity |
| US10039151B1 (en) * | 2017-02-01 | 2018-07-31 | Motorola Solutions, Inc. | Methods and systems for connecting a wireless communications device to a deployable wireless communications network |
| US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| US11184178B2 (en) * | 2018-09-28 | 2021-11-23 | Blackberry Limited | Method and system for intelligent transportation system certificate revocation list reduction |
| US20200145824A1 (en) * | 2018-11-05 | 2020-05-07 | Comcast Cable Communications, Llc | Localized Multi-Factor Network Authentication |
| US11337075B2 (en) * | 2019-06-27 | 2022-05-17 | T-Mobile Usa, Inc. | Providing multiple server security certificates on SIMs of electronic devices |
| CN110855664A (zh) * | 2019-11-12 | 2020-02-28 | 广州大白互联网科技有限公司 | 一种网证体系 |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US11310273B2 (en) | 2020-01-23 | 2022-04-19 | Rockwell Collins, Inc. | Secure network aggregation protocol |
| US20220247577A1 (en) * | 2021-01-29 | 2022-08-04 | Arm Cloud Services Limited | Provisioning system and method |
| US20220303769A1 (en) * | 2021-03-16 | 2022-09-22 | Micron Technology, Inc. | Enabling cellular network access via device identifier composition engine (dice) |
| US11812265B1 (en) * | 2021-11-15 | 2023-11-07 | Amazon Technologies, Inc. | Certificate-based authentication for radio-based networks |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017603A1 (en) * | 2008-07-18 | 2010-01-21 | Bridgewater Systems Corp. | Extensible Authentication Protocol Authentication and Key Agreement (EAP-AKA) Optimization |
| US20130012165A1 (en) * | 2011-07-08 | 2013-01-10 | Motorola Solutions, Inc. | Method and apparatus for attaching a wireless device to a foreign 3gpp wireless domain using alternative authentication mechanisms |
| CN103477586A (zh) * | 2011-03-22 | 2013-12-25 | 阿尔卡特朗讯 | 认证移动网络中用户设备的方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5059096B2 (ja) * | 2006-03-31 | 2012-10-24 | サムスン エレクトロニクス カンパニー リミテッド | アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法 |
| JP4960446B2 (ja) | 2006-06-19 | 2012-06-27 | インターデイジタル テクノロジー コーポレーション | 初期の信号メッセージにおいて初期のユーザ識別情報のセキュリティを保護する方法および装置 |
| EP2079253A1 (en) * | 2008-01-09 | 2009-07-15 | Panasonic Corporation | Non-3GPP to 3GPP network handover optimizations |
| US8347355B2 (en) | 2008-01-17 | 2013-01-01 | Aerohive Networks, Inc. | Networking as a service: delivering network services using remote appliances controlled via a hosted, multi-tenant management system |
| EP2091204A1 (en) * | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
| US8869252B2 (en) | 2008-05-19 | 2014-10-21 | Nokia Corporation | Methods, apparatuses, and computer program products for bootstrapping device and user authentication |
| US9668139B2 (en) * | 2008-09-05 | 2017-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure negotiation of authentication capabilities |
| US8307205B2 (en) | 2008-09-24 | 2012-11-06 | Interdigital Patent Holdings, Inc. | Home node-B apparatus and security protocols |
| US8473002B2 (en) * | 2010-04-23 | 2013-06-25 | Qualcomm Incorporated | Method and apparatus for network personalization of subscriber devices |
| US9385862B2 (en) | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| US8627422B2 (en) | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| US8555349B2 (en) * | 2010-11-11 | 2013-10-08 | Nokia Corporation | Method and apparatus for small footprint clients for operator-specific service interfaces |
| US8923515B2 (en) * | 2011-05-12 | 2014-12-30 | Futurewei Technologies, Inc. | System and method for mobility management in a communications system |
| US8590023B2 (en) | 2011-06-30 | 2013-11-19 | Intel Corporation | Mobile device and method for automatic connectivity, data offloading and roaming between networks |
| US8699709B2 (en) * | 2011-07-08 | 2014-04-15 | Motorola Solutions, Inc. | Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain |
| US9191394B2 (en) * | 2012-02-08 | 2015-11-17 | Microsoft Technology Licensing, Llc | Protecting user credentials from a computing device |
| TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
| US9445267B2 (en) | 2012-08-31 | 2016-09-13 | Apple Inc. | Bump or close proximity triggered wireless technology |
| TW201807961A (zh) * | 2012-09-27 | 2018-03-01 | 內數位專利控股公司 | 在噓擬網路中端對端架構、api框架、發現及存取 |
| US9232400B2 (en) | 2012-11-13 | 2016-01-05 | Alcatel Lucent | Restricted certificate enrollment for unknown devices in hotspot networks |
| US9603192B2 (en) | 2013-01-16 | 2017-03-21 | Ncore Communications, Inc. | Methods and apparatus for hybrid access to a core network |
| CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
-
2015
- 2015-07-08 US US14/794,452 patent/US9825937B2/en not_active Expired - Fee Related
- 2015-09-17 JP JP2017514477A patent/JP2017535989A/ja active Pending
- 2015-09-17 WO PCT/US2015/050602 patent/WO2016048774A1/en active Application Filing
- 2015-09-17 EP EP15775297.3A patent/EP3198827A1/en not_active Withdrawn
- 2015-09-17 CN CN201580050919.4A patent/CN107079007B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017603A1 (en) * | 2008-07-18 | 2010-01-21 | Bridgewater Systems Corp. | Extensible Authentication Protocol Authentication and Key Agreement (EAP-AKA) Optimization |
| CN103477586A (zh) * | 2011-03-22 | 2013-12-25 | 阿尔卡特朗讯 | 认证移动网络中用户设备的方法 |
| US20130012165A1 (en) * | 2011-07-08 | 2013-01-10 | Motorola Solutions, Inc. | Method and apparatus for attaching a wireless device to a foreign 3gpp wireless domain using alternative authentication mechanisms |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111788811B (zh) * | 2018-01-29 | 2022-11-25 | 耐瑞唯信有限公司 | 车载电子控制单元之间的安全通信 |
| CN111788811A (zh) * | 2018-01-29 | 2020-10-16 | 耐瑞唯信有限公司 | 车载电子控制单元之间的安全通信 |
| US11916924B2 (en) | 2018-01-29 | 2024-02-27 | Nagravision S.A. | Secure communication between in-vehicle electronic control units |
| CN111542822B (zh) * | 2018-02-23 | 2024-04-09 | 三星电子株式会社 | 用于共享屏幕数据的电子装置和方法 |
| CN111542822A (zh) * | 2018-02-23 | 2020-08-14 | 三星电子株式会社 | 用于共享屏幕数据的电子装置和方法 |
| CN112219381B (zh) * | 2018-06-01 | 2023-09-05 | 诺基亚技术有限公司 | 用于基于数据分析的消息过滤的方法和装置 |
| CN112219381A (zh) * | 2018-06-01 | 2021-01-12 | 诺基亚技术有限公司 | 用于边缘节点中基于数据分析的消息过滤的方法 |
| US11985111B2 (en) | 2018-06-01 | 2024-05-14 | Nokia Technologies Oy | Method for message filtering in an edge node based on data analytics |
| CN108880821B (zh) * | 2018-06-28 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种数字证书的认证方法及设备 |
| CN108880821A (zh) * | 2018-06-28 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种数字证书的认证方法及设备 |
| CN110896538B (zh) * | 2018-09-13 | 2023-08-25 | 苹果公司 | 无线设备中使用多个安全证书的模式切换 |
| CN110896538A (zh) * | 2018-09-13 | 2020-03-20 | 苹果公司 | 无线设备中使用多个安全证书的模式切换 |
| CN113574917A (zh) * | 2019-09-23 | 2021-10-29 | Oppo广东移动通信有限公司 | 无线通信的方法和设备 |
| CN114830705A (zh) * | 2019-12-31 | 2022-07-29 | 华为技术有限公司 | 认证方法、装置及系统 |
| WO2021134724A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 认证方法、装置及系统 |
| WO2022111016A1 (zh) * | 2020-11-27 | 2022-06-02 | 达闼机器人股份有限公司 | 移动网络接入系统、方法、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107079007B (zh) | 2019-03-29 |
| US20160087972A1 (en) | 2016-03-24 |
| WO2016048774A1 (en) | 2016-03-31 |
| JP2017535989A (ja) | 2017-11-30 |
| US9825937B2 (en) | 2017-11-21 |
| EP3198827A1 (en) | 2017-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| CN108781216B (zh) | 用于网络接入的方法和设备 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| JP5934364B2 (ja) | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 | |
| US20160134621A1 (en) | Certificate provisioning for authentication to a network | |
| US9237142B2 (en) | Client and server group SSO with local openID | |
| CN107409136B (zh) | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 | |
| JP6189953B2 (ja) | 無線ユニットのユーザを認証するための方法およびシステム | |
| US9049184B2 (en) | System and method for provisioning a unique device credentials | |
| EP2025088B1 (en) | Provision of secure communiucations connection using third party authentication | |
| US8522025B2 (en) | Authenticating an application | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| CN103688565B (zh) | 使用装置管理协议的wi‑fi热点的安全在线注册和供应 | |
| CN106063308B (zh) | 基于用户标识符的装置、身份和活动管理系统 | |
| WO2011017924A1 (zh) | 无线局域网的认证方法、系统、服务器和终端 | |
| US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
| US20130276076A1 (en) | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques | |
| JP2017126987A (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
| CN108886688B (zh) | 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 | |
| CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| US20150264040A1 (en) | Network authentication | |
| US8442527B1 (en) | Cellular authentication for authentication to a service | |
| JP2021536687A (ja) | コアネットワークへの非3gppデバイスアクセス | |
| WO2014177106A1 (zh) | 一种网络接入控制方法和系统 | |
| CN116368833A (zh) | 针对边缘计算服务的安全连接的建立和认证的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |