CN108886688B - 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 - Google Patents
一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 Download PDFInfo
- Publication number
- CN108886688B CN108886688B CN201780020042.3A CN201780020042A CN108886688B CN 108886688 B CN108886688 B CN 108886688B CN 201780020042 A CN201780020042 A CN 201780020042A CN 108886688 B CN108886688 B CN 108886688B
- Authority
- CN
- China
- Prior art keywords
- certificate
- component
- osu
- authentication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明描述关于移动装置或其它用户设备的认证的各种特征。在一些方面,提供基于零售的中立主机LTE以与长期演进LTE网络一起使用,这样针对非移动网络运营商non‑MNO服务提供商SP使用LTE技术提供了WiFi联盟热点2.0(HS2.0)用户体验,同时保持如同LTE一样的高安全性保证,以及其它特征。即,在一些实例中,零售中立主机LTE经配置以提供由基于MNO的LTE所提供的相同或类似的安全性保证。此外,零售中立主机LTE提供用于供应AAA的凭证和认证的选项,其类似于HS2.0的选项,即:用户名/密码、SP颁发的证书,和预配置的移动装置证书。这至少部分地在提供或确保零售中立主机LTE安全性向基于MNO的LTE提供类似的安全性保证的同时实现。
Description
相关申请的交叉引用
本申请案主张2016年4月5日在美国专利与商标局申请的第62/318,676号临时申请案以及2016年9月29日在美国专利与商标局申请的第15/280,836号非临时申请案的优先权和权益,这两个申请案的完整内容以引用的方式并入本文中。
技术领域
各种特征涉及无线通信网络和供用于向经装备以根据长期演进(Long-TermEvolution;LTE)标准使用的网络的安全性程序认证移动装置或其它用户设备(UserEquipment;UE)。
背景技术
这种LTE网络的无线通信网络采用不同类型的安全性方案。借助于实例,WiFi联盟无线热点2.0(版本2)技术指标v1.1.0提供各种安全性特征。无线热点2.0(此后为 HS2.0)包含在线注册(online sign up;OSU)程序,移动装置通过其向服务提供商(ServiceProvider;SP)注册,使得用户能够选择获得网络接入的计划,且随后被供应有安全地连接到接入网络(Access Network;AN)所需要的凭证。通过SP的OSU服务器促进OSU程序。所得凭证被提供到所述SP的认证、授权、计费服务器(Authentication,Authorization andAccounting server;AAA)。OSU程序由在移动装置与OSU服务器之间建立传输层安全(Transport Layer Security;TLS)连接开始。剩余的供应步骤可能依赖于移动装置凭证,AAA使用所述凭证认证移动装置。HS2.0支持用于移动装置凭证的三个主要选项。以下表I概括这些选项,以及概述供与这些特定凭证一起使用的OSU程序。应注意这些方法的一部分利用一或多种可扩展认证协议(Extensible Authentication Protocol;EAP),伴随 EAP-TLS(传输层安全)EAP方法和/或EAP-TTLS(隧穿TLS)方法。使用的其它首字母缩写词包含HLOS以用于高水平操作系统(High Level Operating System),CA以用于证书机构(Certificate Authority),和EST以用于安全运输登记(Enrollment Over SecureTransport)。MSCHAPv2指的是MicrosoftTM提供的特定质询握手认证协议 (Challenge-Handshake Authentication Protocol;CHAP)。RFC 7030指的是2013年10月的因特网工程任务小组(Internet Engineering Task Force;IETF)的请求注解(Request for Comment;RFC)7030。
表I
移动装置的与OSU服务器的互动仅根据需要而进行,来产生表I第一列中的移动装置凭证。这些移动装置凭证通常具有长使用期限。一旦确定移动装置凭证,那么随后 AAA使用移动装置凭证来在移动装置从服务提供商请求接入时,认证移动装置。AAA 的认证频率取决于多种因素,但通常在移动装置凭证使用期限内进行多次。
凭证存储和凭证处理的实施方案在HS2.0的范围之外。在用户名/密码凭证和SP颁发证书的情况中,HS2.0中没有移动装置对OSU服务器的认证,且因此OSU服务器可能不作出关于凭证存储和凭证处理的实施方案的假设。在预先配置移动装置证书的情况下,OSU服务器可能能够在移动装置证书颁布程序包含关于实施方案的一些保障的情况下,作出关于凭证存储和凭证处理的实施方案的一些假设。然而,一般来说,在HS2.0 中假设凭证由移动装置HLOS存储和处理。HLOS提供的存储和处理可能对于攻击是脆弱的。大部分或全部HLOS的复杂度意味着,不管如何努力保全HLOS,HLOS将可能始终对于一些攻击是脆弱的。
在本领域中存在对于以提供用于与HS2.0相似的系统的经改良的安全性的需要。具体地说,期望的是提供类似于HS2.0的选项的用于供应OSU和AAA凭证和认证的选项,同时还提供与更安全的环境相关的安全性保证。此处,针对这些目的的示范性系统或程序被称作基于零售的中立主机LTE认证。
发明内容
在一个方面中,一种在连接到无线通信网络的服务提供商(SP)网络中可操作的方法包含:使用预先配置UE证书向SP网络的在线注册(OSU)组件认证用户设备(UE),其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用;以及从所述OSU组件转发所述UE证书到所述SP网络的认证组件,以基于所述UE证书对所述UE进行后续认证。
在另一个方面中,一种装置包含:SP网络的OSU组件的处理电路,所述处理电路经配置以使用从所述UE获得的UE证书向所述SP网络的所述OSU组件认证UE,其中对应于所述UE证书的私密密钥仅在认证期间的安全处理中可用;以及转发所述UE证书到所述SP网络的认证组件,以用于基于所述UE证书的后续认证。
在又一方面中,在连接到无线通信网络的组件内可操作的一种方法包含:使用预先配置UE证书向SP网络的OSU组件认证UE,其中对应于所述UE证书的私密密钥仅在认证期间的安全处理中可用;使用所述OSU组件促进供应SP颁发证书到所述UE,其中对应于所述SP颁发证书的所述私密密钥仅在所述UE内的安全处理中可用;以及使用所述OSU组件转发所述SP颁发证书到所述SP网络的认证组件,以用于所述UE基于所述SP颁发证书的后续认证。
在又另一方面中,一种装置包含:用户设备(UE)的处理电路,以用于与无线通信网络使用,所述处理电路经配置以使用预先配置的UE证书向服务提供商(SP)网络的在线注册(OSU)组件认证所述UE,其中对应于所述预先配置证书的私密密钥仅在认证期间的安全处理中可用;向所述SP网络的认证组件认证所述UE,来获取密钥;以及基于所述密钥,在所述UE与所述SP网络之间安全通信。
附图说明
图1说明示范性无线网络,其中认证可以根据基于零售的中立主机LTE认证协议,经实施以认证用户设备(UE)。
图2说明示范性协议堆栈,其可以被实施以用于跨越图1的示范性无线网络的无线传输。
图3进一步说明示范性无线网络,其中认证可以根据基于零售的中立主机LTE认证协议经实施。
图4进一步根据基于零售的中立主机LTE认证协议说明第一示范性认证程序。
图5进一步根据基于零售的中立主机LTE认证协议说明所述第一示范性认证程序。
图6进一步根据基于零售的中立主机LTE认证协议说明第二示范性认证程序。
图7进一步根据基于零售的中立主机LTE认证协议说明所述第二示范性认证程序。
图8进一步根据基于零售的中立主机LTE认证协议说明第三示范性认证程序。
图9进一步根据基于零售的中立主机LTE认证协议说明所述第三示范性认证程序。
图10说明移动装置(UE)的示范性芯片上系统(system-on-a-chip;SoC),其中SoC包含根据基于零售的中立主机LTE认证协议的认证组件。
图11是说明用于采用处理系统的设备的硬件实施方案的实例的框图,所述处理系统可以利用图3到10的系统、方法和设备。
图12是说明供用于根据基于零售的中立主机LTE认证协议认证的在线注册(on-line signup;OSU)服务器或组件的示范性组件的框图。
图13是说明供用于根据基于零售的NH LTE认证协议认证的UE的示范性组件的框图。
图14是说明供用于根据基于零售的中立主机LTE认证协议认证的认证服务器或组件的示范性组件的框图。
图15概括供用于根据基于零售的中立主机LTE认证协议认证的示范性程序。
图16进一步概括供用于根据基于零售的中立主机LTE认证协议认证的示范性程序。
图17同样概括供用于根据基于零售的中立主机LTE认证协议认证的示范性程序。
图18概括供用于通过预先配置UE证书认证的示范性程序,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用。
图19进一步概括供与图18的认证程序一起使用的示范性程序。
图20是说明装置的处理电路的示范性认证组件的框图,所述装置连接到无线网络供用于通过预先配置的UE证书认证,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用。
图21概括供用于通过预先配置UE证书认证的示范性程序,其中OSU组件促进供应SP颁发证书到UE。
图22进一步概括供与图21的认证程序一起使用的示范性程序。
图23是说明装置的处理电路的示范性认证组件的框图,所述装置连接到无线网络供用于通过预先配置的UE证书认证,其中OSU组件促进供应SP颁发证书到UE。
图24概括供UE使用的示范性程序。
图25进一步概括供UE使用的示范性程序。
具体实施方式
在以下描述中,给出具体细节以提供对本公开的各种方面的透彻理解。然而,所属领域的技术人员应了解,所述方面可在没有这些具体细节的情况下实践。例如,可用框图展示电路以避免以不必要的细节混淆所述方面。在其它情况下,可不详细展示众所周知的电路、结构和技术以便不混淆本公开的方面。
词语“示范性”在本文中用以意指“充当实例、例子或说明”。本文中描述为“示范性”的任何实施方案或方面未必应解释为比本公开的其它方面优选或有利。同样,术语“方面”不要求本公开的所有方面包含所论述的特征、优点或操作模式。
概述
几个新颖特征关于供与无线通信网络一起使用的装置和方法。具体地说,此处描述基于零售的中立主机LTE(以下为零售NH-LTE)程序、协议或系统供与LTE或其它网络一起使用,所述其它网络在其它特征当中使用用于非移动网络运营商(non-mobile networkoperator;non-MNO)SP的LTE技术提供WiFi联盟无线热点2.0(HotSpot 2.0; HS2.0)用户体验,同时保持如同LTE一样的高安全性保证。即,零售NH-LTE经配置以提供如同基于MNO的LTE的相同或类似安全性保证。(应注意“中立主机”通常是多个服务提供商当中可共享的WiFi或其它数据网络基础设施,其提供WiFi或其它数据接入到顾客。术语“中立”通常用于指示网络架构被设计以兼容不同移动网络运营商或其它数据流提供者。)
此处描述的零售NH-LTE系统和程序提供用于供应凭证的选项和用于通过OSU和认证、授权、计费服务器(AAA)认证的选项,其类似于HS2.0的选项(上文通过表I所论述),亦即:用户名/密码、SP颁发证书和/或预先配置移动装置证书。这可以在提供或确保零售NH-LTE安全性提供如同基于MNO的LTE相同或类似安全性保证的同时实现。
还应注意,基于MNO的LTE使用在安全环境中处理的预先提供的对称密钥,例如MNO颁发给订户的通用集成电路卡(Universal Integrated Circuit Card;UICC)。由于UICC 制造商的合约义务,MNO信任UICC的安全性。订户信任MNO以提供安全UICC。这对比于HS2.0中HLOS提供的较不安全的存储和处理。此处描述的示范性系统和方法通过提供用于供应类似于HS2.0的选项的OSU和AAA凭证和认证的程序,同时提供与安全环境相关的安全性保证,来至少部分地解决这种问题。
一般而言,零售NH-LTE的示范性实施方案提供三个凭证方法、程序或选项,如同在表格II中概述的那样。
表格II
如此,至少在一些实例中,零售NH-LTE添加以下内容到无线热点2.0的安全性:
-各移动装置被预先配置有移动装置证书和到移动装置信任锚CA证书的证书链。(这优选地是系统的要求。)对应私密密钥出于机密性和完整性受保护,且仅对于安全处理可用,其可以是硬件的操作模式(例如,ARMTMTrustZoneTM)或与应用程序处理器不同的硬件(例如,安全元件)。(这同样优选地是系统的要求。)移动装置证书提供关于移动装置上的存储和处理的机密性和完整性的保障。
-全部凭证选项使得移动装置在TLS握手中使用其移动装置证书认证自身到OSU服务器。OSU服务器验证移动装置证书链结到OSU服务器信任的移动装置信任锚CA 证书。替代地,OSU服务器具有其它机制以用于验证移动装置证书合法。这种验证为 OSU服务器提供关于移动装置交换的信息的机密性和完整性的保障。
-当用户名和密码待被用于AAA认证时,(1)OSU服务器还记录OSU期间使用的移动装置证书,且提供这一移动装置证书(除用户名和密码以外)到AAA,以及(2)在AAA 的EAP-TTLS期间,移动装置使用证书,作为TLS握手的一部分验证自身,除使用 MSCHAPv2的用户名/密码认证以外。
-当SP颁发证书被用于到AAA的认证时,私密密钥被产生、存储和通过移动装置中的安全处理被处理。
用于OSU服务器的信任锚CA证书还作为完整性保护存储在移动装置上。(这同样优选地是系统的要求。)应注意此处给出的实例并不意图详细描述整个系统的全部方面。此处未描述的特征可以由所属领域的技术人员提供,而无需过度实验。例如,以下未由此公开阐述:1)配置移动装置证书到移动装置的机制;2)用于保证安全处理的存储和处理的机密性和完整性的实施细节;以及3)用于保证证书的私密密钥在移动装置中通过安全处理产生(可适用的情况下)、存储和处理的实施细节。
在此处描述的系统和程序的其它技术优势或益处当中(当使用系统和程序中的至少一些时),SP可具有移动装置凭证(用于通过AAA认证)仅在移动装置上的安全处理中可用的保障。这是相比于无线热点2.0更高水平的保障,且更符合MNO LTE(使用UICC) 提供的保障的水平。又进一步,当使用此处描述的系统和程序中的至少一些时,更高水平的保障具有对无线热点2.0OSU服务器和AAA的相对最小的改变。如此,无线热点 2.0 OSU服务器和AAA服务器的实施者可能以极少的额外工作量或资源实施零售 NH-LTE OSU服务器和AAA。
示范性运行环境
图1说明其中可以实施零售NH-LTE的示范性无线网络。无线网络可包含多个无线网络单元102、104和106,其中各单元中的对应接入节点108、110和112提供无线连接/服务到单元中的用户设备/装置UE 114、116、118、120。UE装置可包含能够传输信号到接入节点/从接入节点接收信号的移动装置、移动电话、客户端装置、无线装置、通信装置、计算装置等。接入节点可包含单元节点(eNodeB或eNB)、基站等,其连接到蜂窝式运营商网络,且最终连接到其它网络(例如,因特网、电话网络等)。在此实例中,第一接入节点A 108可以在第一无线单元102内与第一UE 114通信。类似地,第二接入节点B 110可以在第二无线单元104内与第二UE 116通信。
图2说明示范性协议堆栈,其可以被实施以用于跨越图1的示范性无线网络的无线传输。在此实例中协议堆栈202可包含三个层204、206和208。第一层204可包含物理(physical;PHY)层210。第二层206可包含媒体接入控制(Medium Access Control;MAC) 层212、无线电链路控制(Radio Link Control;RLC)层214和/或分组数据汇聚控制层216。第三层208可包含无线电资源控制(Radio Resource Control;RRC)层218、因特网协议(Internet Protocol;IP)层220和/或非接入层(Non-Access Stratum;NAS)层222PHY层210可以用以通过空中接口运载来自MAC层212的传输信道的全部信息。PHY层210还可用以执行RRC层218的链路自适应、功率控制、单元检索和其它测量。MAC层212可以提供逻辑信道到RLC层214,其将所述信道多路复用到物理层传输信道中。
图3说明示范性无线通信网络300,其可以并入图1和2的特征,且可进一步包括经装备以凭借一或多个接入点3081到308N提供移动装置(或其它UE)306对于因特网304 的接入的服务提供商网络(Service Provider Network;SP)302。在此实例中,SP网络302 包含EAP认证器(例如,LTE移动性管理实体(Mobility Management Entity;MME))309、在线注册(OSU)服务器310和AAA服务器312。EAP认证器309、OSU服务器310和 AAA服务器312可以与接入点3081到308N在相同局域网中,或可以安置在别处且凭借因特网304接入(后者选项未在图3中示出)。如可能了解的,服务提供商网络可包含图 3中未特别示出的各种其它组件。可以凭借因特网304接入的许多系统或服务器当中是受信任证书机构(CA)服务器314。如将阐述,这些组件可用于提供或促进上述零售 NH-LTE。
示范性认证方法和程序
图4概括用于根据零售NH-LTE的认证400的第一方法,其中部分操作由移动装置(或其它UE)402执行,其它操作由SP网络的OSU服务器404执行,其它操作由SP网络的EAP认证器405执行,其余操作由SP网络的AAA服务器406执行。从408处开始,移动装置被预先配置有移动装置证书,其中对应于移动装置证书的私密密钥仅在认证期间的安全处理中可用。如上所述,私密密钥应出于机密性和完整性的目的受保护,且从而仅对于安全处理可用。为此目的,移动装置证书可以预先配置有到OSU组件信任的CA(例如图3的CA)颁发的移动装置信任锚证书的证书链。替代地,OSU服务器具有其它机制以用于验证移动装置证书合法。移动装置证书由此提供关于移动装置上的存储和处理的机密性和完整性的保障。
在410处,OSU服务器凭借TLS以OSU服务器证书和移动装置证书认证移动装置,所述证书的私密密钥仅在认证期间的安全处理中可用。此包含验证移动装置证书链结到上述移动装置信任锚CA证书,或应用替代验证机制。应注意,TLS会话是通过移动装置内的安全处理建立。在412处,OSU服务器记录移动装置证书。在414处,OSU服务器向移动装置配置用户名和密码,供与SP一起使用。在415处,移动装置存储供与 SP一起使用的用户名和密码。在416处,OSU服务器凭借一或多个安全信道发送或转发用户名、密码和移动装置证书到AAA服务器406。在418处,所述AAA服务器存储用户名、密码和移动装置证书。在420和424处,移动装置和AAA服务器凭借EAP-TTLS 执行相互的认证,其中TLS使用AAA证书和移动装置证书,并且使用质询握手验证协议(CHAP)例如MSCHAPv2或类似协议通过用户名和密码进一步认证。如424处所示出, EAP认证器405在移动装置与AAA服务器之间中继EAP消息。在成功认证之后,AAA 向EAP认证器提供对称密钥,以用于通过接入点3081到308N对移动装置的后续认证(这些细节未在图4中示出)。
图5凭借流程图说明第一认证方法或程序的选定方面。简要地,在502处,移动装置或其它UE预先配置移动装置证书,其中对应于证书的私密密钥仅在认证期间的安全处理中可用,且其中移动装置证书预先配置有到OSU服务器信任的证书机构(CA)颁发的移动装置信任锚证书的证书链。在504处,移动装置和OSU凭借TLS通过OSU服务器证书和移动装置证书相互认证,其中向OSU组件认证移动装置包含验证移动装置证书链结到移动装置信任锚CA证书,且其中TLS会话通过允许移动装置上的安全处理而终止。在506处,OSU服务器记录移动装置证书,且跨越TLS安全信道配置用户名和密码供与服务提供商(SP)一起使用。在508处,移动装置存储供与SP一起使用的用户名和密码。在510处,用户名、密码和移动装置证书凭借安全信道从OSU服务器被转发到AAA服务器,以供存储于其上。在512处,AAA服务器凭借EAP-TTLS认证移动装置,其中TLS使用AAA证书和移动装置证书,并且进一步使用例如MSCHAPv2或类似的CHAP通过用户名和密码认证。在514处,移动装置还凭借EAP-TTLS认证AAA 服务器,其中TLS使用AAA证书和移动装置证书,并且进一步使用例如MSCHAPv2 通过用户名和密码认证,来获取主密钥(master key;MSK)。在516处,移动装置导出、计算或者获取一或多个SP网络(例如,蜂窝式网络)接入密钥(例如,Kasme密钥)以确保 UE与SP网络之间的业务。
图6根据零售NH-LTE概括用于认证的第二方法600,其中,再次,部分操作通过移动装置(或其它UE)602执行,其它操作由SP的OSU服务器603执行,其它操作由受信任的证书机构(CA)404(例如图3中示出的那一个)执行其它操作由SP网络的EAP认证器405执行,其余操作由AAA服务器606执行。在608和610开始,如上文所论述,这些操作可以分别与图4的408和410一致。在612、614和615处,移动装置被供应服务提供商(SP)颁发证书,其中对应于SP颁发证书的私密密钥仅在UE内的安全处理中可用,且其中OSU服务器促使CA凭借例如使用2013年10月的因特网工程任务小组 (IETF)的请求注解(RFC)7030中指定的安全运输登记(EST),颁发证书到移动装置。即,在至少一些实例中,OSU促使CA通过结合CA执行或发起EST程序,例如RFC 7030 中描述的EST程序,颁发SP证书。就此而言,为了促进CA颁发SP证书,OSU可以经装备以执行如RFC 7030中所描述的EST服务器的功能。RFC 7030关于使用通过安全运输使用跨越CMS的证书管理(Certificate Management over CMS;CMC)消息的客户端证书登记。EST分析或在其中描述的程序提供目标公共密钥基础设施(Public KeyInfrastructure;PKI)客户端的证书管理协议,其需要或想要获取客户端证书和关联的CA证书。EST支持客户端产生的公钥/私钥对以及CA产生的密钥对。
在616处,OSU服务器凭借安全信道转发或者发送SP颁发证书到AAA服务器。在618处,AAA服务器存储SP颁发证书。在620和622处,移动装置和AAA服务器凭借EAP-TLS执行相互的认证,其中TLS使用AAA证书和SP颁发证书。如624处所示出,EAP认证器在移动装置与AAA服务器之间中继EAP消息。在成功认证之后,AAA 提供对称密钥到EAP认证器以用于通过接入点3081到308N对移动装置的后续认证(这些细节在图6中未示出),由此完成认证程序。
图7凭借流程图说明第二认证方法或程序的选择的方面。简要地,在702处,移动装置或其它UE预先配置移动装置证书,其中对应于证书的私密密钥仅在认证期间的安全处理中可用,且其中移动装置证书预先配置有到OSU服务器信任的证书机构(CA)颁发的移动装置信任锚证书的证书链。在704处,移动装置和OSU凭借TLS通过OSU服务器证书和移动装置证书相互认证,其中向OSU组件认证移动装置包含验证移动装置证书链结到移动装置信任锚CA证书,且其中TLS会话通过允许移动装置上的安全处理而终止。在706处,移动装置使用例如安全运输登记(EST),RFC 7030,凭借OSU服务器获取服务提供商(SP)颁发证书,其中对应私密密钥仅在安全处理中可用,且其中OSU 服务器促使认证中心(CA)通过结合CA发起或执行EST程序来颁发SP颁发证书。在708 处,SP颁发证书凭借安全信道从OSU服务器转发到AAA服务器,以用于存储于其上。在710处,AAA服务器凭借EAP-TTLS使用AAA证书和SP颁发证书认证移动装置,且UE认证AAA,亦即执行相互的认证。在712处,移动装置还凭借EAP-TTLS使用 AAA证书和SP颁发证书认证AAA服务器。
图8概括用于根据零售NH-LTE的认证800的第一方法,其中部分操作通过移动装置(或其它UE)802执行,其它操作由SP网络的OSU服务器804执行,其它操作由SP 网络的EAP认证器405执行,其余操作由SP网络的AAA服务器806执行。在808、810 和812处开始,如上文所论述,这些操作可以分别与图4的408、410和412一致。在 814处,OSU服务器凭借安全信道发送或者转发移动装置证书到AAA服务器806。在 816处,AAA服务器记录移动装置证书。在820和822处,移动装置和AAA服务器使用EAP-TLS执行相互的认证,其中TLS使用AAA证书和移动装置证书。如824处所示出,EAP认证器在移动装置与AAA服务器之间中继EAP消息。在成功认证之后,AAA 提供对称密钥到EAP认证器以用于移动装置通过接入点3081到308N对移动装置的后续认证(这些细节在图8中未示出),由此完成整个认证程序。
图9凭借流程图说明第三认证方法或程序的选择的方面。简要地,在902处,移动装置或其它UE预先配置移动装置证书,其中对应于证书的私密密钥仅在认证期间的安全处理中可用,且其中移动装置证书预先配置有到OSU服务器信任的证书机构(CA)颁发的移动装置信任锚证书的证书链。在904处,移动装置和OSU凭借TLS通过OSU服务器证书和移动装置证书相互认证,其中向OSU组件认证移动装置包含验证移动装置证书链结到移动装置信任锚CA证书,且其中TLS会话通过允许移动装置上的安全处理而终止。在906处,移动装置记录移动证书。在908处,移动证书凭借安全信道从OSU 服务器转发到AAA服务器,以用于存储于其上。在910处,AAA服务器凭借EAP-TTLS 使用AAA证书和移动证书认证移动装置。在912处,移动装置还凭借EAP-TTLS使用 AAA证书和移动证书认证AAA服务器。
在以下部分中给出关于供与凭证、EAP和OSU等一起使用的示范性程序的各种说明性细节。这些细节仅为说明性的且非限制性。
用于凭证、EAP和OSU的示范性程序
UE可以被配置成提供装置证书以用于在线供应(其中设备证书被系结到装置,且由服务提供商使用以唯一地验证装置)。装置证书可以使用以下各程序或机制中的一或多个在UE中被提供:在制造期间提供;由装置供应商在制造期间提供在UE中;或使用带外机制安全地提供,例如,装置上的应用。一旦成功地认证,那么装置凭证未必授权装置接收正常服务,而接入实际上可能仍然仅限于供应。装置证书可具有到至少被OSU 和AAA服务器信任的信任锚CA证书的链结。当UE接入网络以获取装置证书供应时,以信任锚认证UE,且安全性密钥使用EAP-TLS(或类似物)被就位,并且,如果认证成功,那么根据安全性环境建立用于供应的包数据网络(PDN)连接。
装置证书可以与预订证书结合使用,所述预订证书由服务提供商使用以认证订户,且凭借NH网络而准予用户接入权。可以使用以下程序或机制中的一或多个安全地在UE中提供预订证书:在制造期间提供(例如,用于EAP-TLS的预订证书可以由装置供应商在制造期间提供在UE中):安全地使用带外机制提供,例如,装置上的应用;以及使用 OSU程序在带内提供。通常,UE需要具有装置证书以起始到NH网络的连接以用于OSU。
就涉及EAP认证而言,在一些实例中,各EAP认证涉及执行EAP方法(例如, EAP-TLS、EAP-TTLS、EAP-AKA'等)。UE和EAP认证服务器可以使用EAP方法磋商,以动态地在网络接入认证期间选择一种方法。对于基于证书(例如X.509,802.1ar等)的装置和/或用户认证,UE经配置以支持EAP-TLS。对于基于用户名和密码的用户认证,UE 经配置以通过MS-CHAP v2支持EAP-TTLS。对于基于USIM的3GPP运营商的用户认证,UE经配置以支持EAP-AKA'。对于使用服务器证书的EAP方法,UE可以在网络接入认证时检验AAA服务器的X.509证书撤销状态。在TLS握手期间,UE可以被配置成使用--以及PSP AAA可以被配置成支持--在线证书状态协议(Online Certificate Status Protocol;OCSP)扩展。EAP层可以负责待使用的EAP认证方法、相互认证和密钥协商的磋商。EAP认证可随后传递主会话密钥(MSK),从其导出基础密钥KASME(其中KASME指的是-密钥接入安全管理项)。
在一特定实例中,UE中的EAP-TLS客户端经配置以支持至少一个加密程序组和/或协议,而EAP-TLS服务器(或PSP AAA服务器)提供那一加密程序组的至少一个最小水平支持。如果EAP-TLS以EAP失效终止,那么NH-MME(例如图3的MME)中的UE 和认证器执行解除连接程序。此外,如果UE接收网络凭借EAP通知驳回信息,那么 UE从NH网络脱离。UE在EAP-TLS期间通过AAA解析发送到它的服务器的X.509证书。UE验证PSP全量域名(fully qualifieddomain name;FQDN)是匹配一组合适的扩展中的至少一种中的域名的后缀(例如TLS的DNSName SubjectAltName扩展)。如果 DNSName类的SubjectAltName不呈现,那么来自FQDN的域名可以设定为匹配到(TLS 的)SubjectName的CommonName部分的后缀。如果这些状态都不成立,那么验证失败。如果EAP会话成功地完成(亦即UE接收EAP成功值),那么UE可随后依据地址域匹配或错配起作用。在地址域匹配,亦即当从AAA证书提取的PSP FQDN匹配于PSP的预期地址域的状况下,在接收EAP成功时,UE随后继续连接程序。另外,在地址域错配的状况下,UE拒绝连接。
出于完整性起见,现将概述供与EAP-TLS认证一起使用,尤其供与UE、MME和 SPAAA服务器一起使用的示范性初始连接通话流程程序。在建立RRC连接之后,从 UE发送初始NAS消息到MME,其以NAS运输识别消息答复。如果UE具有为NH网络存储的安全性环境,那么其将发送初始NAS消息(其可包含连接请求、跟踪区更新(tracking area update;TAU)请求、业务请求),其完整性受保护且包含全球唯一临时UE 身份标识(Globally UniqueTemporary UE Identity;GUTI)。NH-MME决定开始EAP认证。在此状况下,MME发送EAP-REQ/身份标识到UE。随后,EAP-RSP/身份标识中的网络接入标识(Network Access Identifier;NAI)从UE被设定到MME。用户身份标识可以例如通过发送anonymous@<ServiceProviderRealm>受保护。‘匿名(anonymous)’用户名的使用保持用户匿名性。在此情况下,实际UE ID将在随后发送(TLS完成之后)的客户端证书中,处于TLS保护下。换句话说,AAA再次继续客户端证书的TLS握手请求,在建立的TLS的保护下。各种NAS和AAA信号随后在UE、MME和AAA当中交换,终结TLS证书从AAA到MME且随后到UE的传输。应注意AAA可以请求UE处的客户端发送其证书。制造商提供的装置证书或PSP提供的用户证书任一者作为客户端证书的使用可以是基于PSP策略特定的。这一策略在设置所述PSP的预订时被提供到UE中。这种请求可以在EAP-RQ/EAP-TLS:证书请求消息中发送,且在NAS运输中从MME 转发到UE。
随后,如果请求客户端证书,那么UE可以回复客户端证书。即,客户端证书从UE 被发送到MME且中继到AAA。装置或用户证书的任一者的选择可基于所选PSP提供的预订策略。UE在跨越NAS传输到NH-MME的EAP-RSP/EAP-TLS中包含证书。这种响应凭借本地AAA代理服务器被转发到PSP AAA。UE和AAA两者产生主会话密钥 (MSK)。即,由于EAP-TLS程序的成功完成,AAA计算出MSK且将其提供到NH网络处的认证器。在UE处计算出相同MSK。EAP成功随后跨越NAS运输被引导到UE。应注意UE和MME两者随后从MSK导出KASME。
当使用EAP-TTLS且预订凭证是基于用户标识符和密码时,MSCHAPv2被使用以作为内部方法用于预订认证。UE和EAP-TTLS服务器(PSP AAA服务器)中的EAP-TTLS 客户端被配置成对于选择的加密程序组提供至少最小支持。UE在EAP-TLS期间通过 AAA解析发送到它的服务器的X.509证书。UE验证PSP FQDN是匹配DNSName SubjectAltName扩展中的至少一种中的域名的后缀。如果DNSName类的SubjectAltName 不呈现,那么来自FQDN的域名应为匹配到SubjectName的CommonName部分的后缀。如果这些状态都不成立,那么验证不合格。如同上文所论述的EAP-TLS,如果EAP-TTLS 会话成功地完成(亦即UE接收EAP成功),那么UE依据地址域匹配或错配行动。在地址域匹配,亦即当从AAA证书提取的PSP FQDN匹配于PSP的预期地址域的状况下,在接收EAP成功时,UE继续连接程序。另外,在地址域错配的状况下,UE拒绝连接。 EAP-TTLS可能遵循上文对于EAP-TLS论述的通话流程,伴随合适的修改。例如,为开始命令,AAA设定类指示EAP-TTLS和S(开始)位集合。在客户端证书交换期间,UE包含其在EAP-RSP/EAP-TTLS中的唯一装置证书,其跨越NAS传输到MME,且凭借本地的AAA代理服务器转发到AAA。装置证书可以凭借上文所论述的机制被提供。如果UE不提供装置证书,那么AAA声明EAP失败。另外,PSP如上文所论述地继续,终结于MSK的产生。
应注意校验装置证书是PSP策略的问题。如果PSP决定认证装置证书,那么预期装置证书具有到AAA信任的信任锚CA证书的链结。如果证书确认不合格,那么AAA声明EAP失效。并且,在产生MSK之后,且AAA发送EAP成功信号之前,AAA调用内部认证方法,其例如基于MSCHAPv2。当EAP-TTLS与MSCHAPv2一起使用时,订户凭证是用于MSCHAPv2的识别符和密码。在基于内部认证方法的认证成功完成后, AAA就前进到连同MSK发送EAP成功信号到MME。这些EAP-TLS和EAP-TTLS细节仅为示范性的。
关于OSU,NH网络接入模式的预订可以使用OSU提供到UE。如果UE并不具有接入NH网络需要的凭证,那么UE可以开始对于所选NH网络的有限服务状态接入,以接入与NH网络相关的OSU供应服务器。UE可以在连接请求中指示其参与OSU过程的打算。在接收请求后,MME就基于OSU配置数据建立用于OSU服务的PDN连接。与OSU相关的PDN连接的预设EPS承载受限制于OSU会话,且并不允许任何其它类型的业务。MME配置数据可包含业务流模板(traffic flow template;TFT)以将接入限制到仅OSU服务,或这可以被预先配置到用于OSU的封包网关(Packet Gateway;PGW)中。 TFT可随后允许按需要对于使用的OSU服务器地址的接入,以用于OSU服务器证书确认。用于OSU服务的PDN连接不被改变另一类型的PDN连接,且反之亦然。NH网络阻止不关于提供OSU服务的任何业务。NH MME拒绝任何额外的PDN连接请求。UE 并不请求OSU PDN连接的任何承载资源修改,且NH MME拒绝任何这种尝试。
UE中的OSU客户端随后发起TLS连接到所选的OSU PSP的发现的OSU服务器 URL。OSU服务器认证是使用OSU服务器证书和经过授权的信任锚根CA证书执行。 OSU服务器证书的校验可以遵循HS 2.0技术指标v1.1.0。一旦TLS会话在OSU客户端与OSU服务器之间被设定,那么可以交换基于HTTP的消息,以用于登记用户和供应预订凭证和其它策略相关信息。
在这种交换期间,OSU服务器命令UE开放浏览器到提供的统一资源定位符(URL)以提供信息,例如联系信息和付款方式,OSU可能需要其来获取帐号。UE可随后凭借任选地嵌入的登记主题,以自动化方式(例如,不经终端用户参与)提供信息,或用户可以手动输入信息。提供的凭证和相关元数据被随后结合到这一帐号。为允许OSU附接的UE在供应程序完成之后获取对正常服务的接入,UE可随后明确地从正常服务脱离和再附接到正常服务。这些只是OSU处理的一些实例。
就涉及的供应而言,UE可以配置有伴随以下元件的供应协议堆栈:控制堆栈和供应函数。控制平面堆栈是:a.负责NH网络、服务提供商清单和/或通过NH网络提供服务的移动网络运营商(MNO)的一组公用陆地移动网(public land mobile network;PLMN) ID的发现;b.在可用时,负责各服务提供商在线供应协议和额外的信息(例如OSU)的发现;以及c.负责建立用于在线供应的PDN连接。供应函数是:a)潜在地作为凭证管理函数的部分;b)请求可能的在线供应信息的下层发现;c)请求NAS产生用于供应的PDN 连接;以及d.处理朝向供应/在线注册服务器的实际供应协议和程序。UE也可以凭借任何IP连接接触OSU供应服务器。程序的结果(例如,UE中提供的凭证和策略)可以与上文所述的程序相同;即,UE可能以相同方式使用提供的凭证。
示范性芯片上系统硬件环境
此处描述的系统和方法的方面可以使用各种各样的移动装置或其它UE采用,以及用于各种应用。为了提供具体实例,现将描述示范性芯片上系统(SoC)硬件环境,其中 UE组件被提供于SoC处理电路上,供用于移动通信装置或其它接入终端。
图10说明根据其中可利用各个新颖特征的一个实例的移动通信装置的SoC处理电路1000。SoC处理电路可为高通有限公司的SnapdragonTM处理电路。SoC处理电路1000 包含应用程序处理电路1010,其包含多核CPU 1012且通常控制移动通信装置的所有组件的操作。在此实例中,应用程序处理电路1010经装备以结合零售NH-LTE控制器1015 操作。控制器1015可以经配置以或经装备以执行或控制移动装置在上文所论述的基于认证的操作,例如连同预先配置的移动装置证书或SP颁发证书,获得用户名和密码以用于认证。密码和预先配置移动装置证书和/或SP颁发证书,以及与此使用的任何私密密钥,可以被存储在内部共享存储装置1032的安全密钥存储1033内,使得其仅对安全处理可用。
在图10的实例中,应用程序处理电路1010被耦接到主机存储控制器1050,以用于在形成内部共享硬件(hardware;HW)资源1030的部分的内部共享存储装置1032中控制数据存储。应用程序处理电路1010还可包含引导RAM或ROM 1018存储SoC处理电路1000的各种组件的引导顺序指令。SoC处理电路1000进一步包含由应用程序处理电路1010控制的一或多个外围子系统1020。外围子系统1020可包含但不限于存储子系统 (例如,只读存储器(read-only memory;ROM))、随机存取存储器(random access memory; RAM)、视频/图形子系统(例如,数字信号处理电路(digital signal processing;DSP)、图形处理电路单元(graphics processing circuit unit;GPU))、音频子系统(例如,DSP、模/ 数转换器(analog-to-digital converter;ADC)、数/模转换器(digital-to-analog converter;DAC)、功率管理子系统、安全子系统(例如,其它加密组件和数字权限管理(digital rightsmanagement;DRM))组件)、输入/输出(input/output;I/O)子系统(例如,键盘、触摸屏) 以及有线和无线连接子系统(例如,通用串行总线(universal serial bus;USB)、全球定位系统(Global Positioning System;GPS)、Wi-Fi、全球系统移动(Global System Mobile;GSM)、码分多址接入(Code Division Multiple Access;CDMA)、4G长期演进(LTE)调制解调器)。示范性外围子系统1020为调制解调器子系统,其包含DSP 1022、各种其它硬件(HW)和软件(software;SW)组件1024以及各种射频(radio-frequency;RF)组件1026。在一个方面中,各外围子系统1020还包括存储有相关外围子系统1020的主要启动映像 (未示出)的启动RAM或ROM 1028。如所指出,SoC处理电路1000进一步包含各种内部共享HW资源1030,例如上述内部共享存储1032(例如,静态RAM(static RAM; SRAM)、快闪存储器等),其由应用程序处理电路1010和各种外围子系统1020共享来存储各种运行时间数据或其它参数,以及提供主机存储器,且所述存储可以存储各种密钥或密码以用于安全处理。
在一个方面中,SoC 1000的组件1010、1018、1020、1028和1030被集成在单芯片基板上。SoC处理电路1000进一步包含各种外部共享HW资源1040,其可位于不同的芯片基板上,并且可经由一或多个总线而与SoC处理电路1000通信。外部共享HW资源1040可包含(例如)外部共享存储1042(例如,双重数据速率(double-data rate;DDR) 动态RAM)和/或永久性或半永久性数据存储1044(例如,安全数字(secure digital;SD) 卡、硬盘驱动器(harddisk drive;HDD)、嵌入多媒体卡、通用闪存装置(universal flash device;UFS)等),其可以由应用程序处理电路1010和各种外围子系统1020共享来存储不同类型的数据,例如操作系统(operating system;OS)信息、系统文件、程序、应用程序、用户数据、音频/视频文件等。当并有SoC处理电路1000的移动通信装置启动时, SoC处理电路开始系统启动过程,其中应用程序处理电路1010可存取引导ROM或RAM 1018,以检索用于SoC处理电路1000的引导指令,所述引导指令包含用于各种外围子系统1020的引导顺序指令。外围子系统1020还可具有额外的外围引导ROM或RAM 1028。
示范性系统和方法
图11说明其中可实施图4到10的系统、方法和设备的整机或设备1100。根据本公开的各种方面,元件、或元件的任何部分、或元件的任何组合可以用处理系统1114实施,所述处理系统包含一或多个处理电路1104,例如图10的SoC处理电路。例如,设备1100可为移动通信系统的用户设备(UE)。设备1100可与无线网络控制器(radio network controller;RNC)一起使用。除了SoC之外,处理电路1104的实例还包括微处理电路、微控制器、数字信号处理电路(DSP)、现场可编程门阵列(field programmable gate array; FPGA)、可编程逻辑装置(programmable logic device;PLD)、状态机、门控逻辑、离散硬件电路以及经配置以执行贯穿本公开所描述的各种功能性的其它合适的硬件。如在设备1100中采用的处理电路1104可用于实施上文所描述且在图4、5、6、7、8、9和10(以及图12、13、14、15、16、17、18、19、20、21、22和23中所说明的那些,下文论述) 中所说明的过程中的任何一个或更多个。
在图11的实例中,处理系统1114可以用大体上由总线1102表示的总线架构实施。取决于处理系统1114的具体应用和总设计约束,总线1102可以包含任何数目的互连总线和网桥。总线1102将各种电路连接在一起,所述电路包含一或多个处理电路(大体上由处理电路1104表示)、存储装置1105以及机器可读、处理器可读、处理电路可读或计算机可读媒体(大体上由非暂时性机器可读媒体1106表示)。总线1102还可连接各种其它电路,例如定时源、外围装置、电压调节器以及功率管理电路,这些电路是所属领域中众所周知的且因此将不再做任何进一步描述。总线接口1108提供总线1102与收发器 1110之间的接口。收发器1110提供用于经由传输媒体与各种其它设备通信的装置。取决于设备的性质,还可提供用户接口1112(例如,小键盘、显示器、扬声器、麦克风、操纵杆)。
处理电路1104负责管理总线1102和一般处理,包含存储在机器可读媒体1106上的软件的执行。所述软件在由处理电路1104执行时使得处理系统1114执行本文中所描述的各种功能以用于任何特定设备。机器可读媒体1106还可用于存储由处理电路1104 在执行软件时操控的数据。
处理系统中的一或多个处理电路1104可执行软件或软件组件。软件应被广义上解释为意指指令、指令集、代码、代码段、程序代码、程序、子程序、软件模块、应用、软件应用、软件包、例程、子例程、对象、可执行文件、执行线程、程序、函数等,而不管其是被称作软件、固件、中间件、微码、硬件描述语言还是其它。处理电路可执行任务。代码段可以表示步骤、函数、子程序、程序、例程、子例程、模块、软件包、类,或指令、数据结构或程序语句的任何组合。代码段可通过传递和/或接收信息、数据、自变量、参数或存储器或存储装置内容而耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可经由包含存储器共享、消息传递、权标传递、网络传输等任何合适的手段传递、转发或传输。
软件可驻留在机器可读媒体1106上。机器可读媒体1106可以是非暂时性机器可读媒体或电脑可读媒体。举例来说,非暂时性处理电路可读媒体、机器可读媒体或计算机可读媒体包含:磁性存储装置(例如,硬盘、软盘、磁条)、光盘(例如,压缩光盘(compact disc;CD)或数字多功能光盘(digital versatile disc;DVD))、智能卡、闪存存储器装置(例如,卡、棒或钥匙形驱动器)、RAM、ROM、可编程ROM(programmable ROM;PROM)、可擦除PROM(erasable PROM;EPROM)、电可擦除PROM(electrically erasable PROM; EEPROM)、寄存器、可移动磁盘、硬盘、CD-ROM以及用于存储可以通过计算机存取和读取的软件和/或指令的任何其它合适的媒体。术语“机器可读媒体”“电脑可读媒体”“处理电路可读媒体”和/或“处理器可读媒体”可包含(但不限于)非暂时性媒体,例如便携式或固定存储装置、光学存储装置和能够存储、容纳或携载指令和/或数据的各种其它媒体。因此,本文中所描述的各种方法可以完全或部分通过可存储在“机器可读媒体”、“计算机可读媒体”、“处理电路可读媒体”和/或“处理器可读媒体”中且通过一或多个处理电路、机器和/或装置执行的指令和/或数据来实施。举例来说,机器可读媒体还可包含载波、传输线,及用于传输可由计算机存取和读取的软件和/或指令的任何其它合适的媒体。
机器可读媒体1106可驻留在处理系统1114中、在处理系统1114外部或跨越包含处理系统1114的多个实体分布。机器可读媒体1106可实施于计算机程序产品中。借助于实例,计算机程序产品可包含封装材料中的机器可读媒体。所属领域的技术人员将认识到,如何最好地实施贯穿本公开呈现的所描述功能性取决于特定应用及强加于整个系统上的总设计约束。例如,机器可读存储媒体1106可具有一或多个指令,其当由处理电路1104执行时,使得处理电路:从UE获取UE凭证,其包含用户名、密码和预先配置 UE证书,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用;使用OSU 证书和从UE获得的UE证书,向在线注册(OSU)组件认证UE;以及转发UE证书、用户名和密码到认证组件,以用于基于认证组件证书、UE证书和用户名和密码进一步认证。
图式中所说明的组件、步骤、特征和/或功能中的一或多个可重新布置和/或组合成单个组件、步骤、特征或功能或实施于若干组件、步骤或功能中。在不脱离本公开的情况下,还可添加额外的元件、组件、步骤和/或功能。图式中所说明的设备、装置和/或组件可以经配置以执行图式中描述的方法、特征或步骤中的一或多者。本文中所描述的算法还可有效地实施于软件中和/或嵌入于硬件中。
可通用通用处理电路、数字信号处理电路(DSP)、专用集成电路(applicationspecific integrated circuit;ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑组件、离散门或晶体管逻辑、离散硬件组件或其经设计以执行本文中描述的功能的任何组合来实施或执行结合本文中公开的实例而描述的各种说明性逻辑块、模块、电路、元件和/或组件。通用处理电路可以是微处理电路,但在替代实施例中,处理电路可以是任何常规处理电路、控制器、微控制器或状态机。处理电路还可以实施为计算组件的组合,例如,DSP和微处理电路的组合、多个微处理电路的组合、结合DSP核心的一或多个微处理电路的组合或任何其它此类配置。
从而,在本公开的一个方面中,图11中所说明的处理电路1104可以是专用处理电路(例如,ASIC),其经特别设计和/或硬接线来执行图4、5、6、7、8、9和10(和/或下文论述的图12、13、14、15、16、17、18、19、20、21、22、23、24和25)的算法、方法和/或框。因此,这种专用处理电路(例如,ASIC)可以是执行图4、5、6、7、8、9和 10(和/或下文论述的图12、13、14、15、16、17、18、19、20、21、22、23、24和25) 中描述的算法、方法和/或框的装置的一个实例。机器可读存储媒体可存储指令,所述指令在由专用处理电路(例如,ASIC)执行时致使专用处理电路进行本文中所描述的算法、方法和/或框。
图12说明所选择的OSU服务器和其示范性组件(或其它SP网络部件)1200,其具有处理电路1202,伴随各个部件经装备以执行上文所论述的各种基于OSU的认证操作。 OSU服务器还包含输入/输出组件1204,其具有输入单元1206以用于输入或接收信号或来自其它网络组件的数据,以及输出单元1208以用于输出、发送或转发信号或数据到其它网络组件,例如图1和3中示出的组件。在此实例中,处理电路1202包含用户名和密码处理控制器1210,以用于控制关于接收和存储来自移动装置(UE)(例如下文在图 13论述的那个)用户名和密码的操作,以及例如控制用户的用户名和密码的初始选择以及配置用户名和密码供与SP一起使用的相关操作。如上文所论述,移动装置(UE)证书处理控制器1212在至少一些实例中被提供以用于控制关于接收和存储来自移动装置的预先配置移动装置证书的操作。如上文所论述,SP颁发证书处理控制器1214在至少一些实例中被提供以用于控制关于接收和存储来自移动装置的SP颁发移动装置证书的操作。
TLS处理控制器1216控制基于TLS的操作以安全地从移动装置接收数据或其它信号,例如密码、用户名和合适的证书。如已解释,如果使用预先配置移动装置证书,那么证书链验证控制器1218控制预先配置移动装置证书链的验证到用于移动装置的对应信任锚CA证书。用户名、密码和证书存储控制器1220控制合适用户名、密码和证书在内部安全存储器内的存储。对于采用预先配置移动装置证书的实施方案,基于移动装置 (UE)证书的移动装置认证控制器1222控制基于移动装置证书的OSU服务器的认证程序。对于采用SP颁发证书的实施方案,基于SP颁发证书的移动装置(UE)认证控制器 1422控制基于SP颁发证书的OSU服务器的认证程序。如已解释,这些操作可以结合 AAA服务器进行,且从而程序可以凭借输出单元1208涉及转发例如用户名、密码和合适证书的信息到AAA服务器。如所指出,在一些实例中,用户名和密码在认证过程中未使用。
图13说明所选择的移动装置和其示范性组件(亦即UE或其它存取终端)1300,其具有处理电路1302,伴随各个部件经装备以执行上文所论述的各种基于移动装置的认证操作。移动装置还包含无线收发器1304,其具有接收器1306以用于凭借无线网络(例如图 1的网络)输入或接收信号或数据,以及发射器1308以用于凭借无线网络输出、发送或转发信号或数据。在此实例中,处理电路1302包含用户名和密码处理控制器1310以用于控制关于产生和安全地存储供与SP一起使用的用户名和密码的操作。如上文所论述,移动装置(UE)证书处理控制器1312在至少一些实例中被提供以用于控制关于接收和存储预先配置移动装置证书的操作。如上文所论述,SP颁发证书处理控制器1314在至少一些实例中被提供以用于控制关于接收和存储来自移动装置的SP颁发移动装置证书的操作。
TLS处理控制基于TLS操作的控制器1316以安全地从移动装置传输数据或其它信号,例如密码、用户名和合适的证书。如已解释,如果使用预先配置移动装置证书,那么证书链验证控制器1318控制关于处理链接证书以用于移动装置的对应信任锚CA证书的上述链的操作。用户名、密码和证书存储控制器1320控制合适用户名、密码和证书在内部安全存储器内的存储。对于采用预先配置移动装置证书的实施方案,用户名、密码和预先配置证书根据TLS凭借传输器1308被发射到OSU服务器,例如图12中的那个。对于采用SP颁发证书的实施方案,SP颁发证书被传输到OSU服务器。如所指出,在一些实例中,用户名和密码在认证过程中未使用。
图14说明所选择的AAA服务器和其示范性组件(或其它SP认证组件)1400,其具有处理电路1402,伴随各个部件经装备以执行上文所论述的各种基于AAA的认证操作。 AAA服务器还包含输入/输出组件1404,其具有输入单元1406以用于输入或接收信号或来自其它网络组件,例如图12的OSU服务器的数据,以及输出单元1408以用于输出、发送或转发信号或数据到其它网络组件。在此实例中,处理电路1402包含用户名和密码处理控制器1410以用于控制关于产生和安全地存储来自OSU服务器的用户名和密码的操作。移动装置(UE)证书处理控制器1412在至少一些实例中被提供以用于控制关于接收和处理与特定UE相关的预先配置移动装置证书的操作。如上文同样论述,SP 颁发证书处理控制器1414在至少一些实例中被提供以用于控制关于接收和处理与特定 UE相关的SP颁发移动装置证书的操作。
EAP-TTLS处理控制器1416控制基于EAP-TTLS和/或基于EAP-TLS的操作,以安全地接收数据或其它信号。如果使用用户名和密码,那么MSCHAPv2或其它CHAP控制器1418控制基于CHAP的认证。用户名、密码和证书存储控制器1420控制合适用户名和密码(如果使用的话)和证书在安全存储器内的存储。对于采用预先配置移动装置证书的实施方案,基于移动装置证书的移动装置(UE)认证控制器1422控制基于移动装置证书的AAA服务器的认证程序。对于采用SP颁发证书的实施方案,基于SP颁发证书的移动装置(UE)认证控制器1422控制基于SP颁发证书的AAA服务器的认证程序。如已解释,这些操作可以结合OSU服务器进行,且从而程序可以涉及凭借输入单元1406 从OSU服务器接收例如用户名、密码和合适证书的信息。如所指出,在一些实例中,用户名和密码在认证过程中未使用。
图12到14的各个部件中的任一种可由执行或控制对应操作的合适装置替换。同样,对于其中采用或提供机器可读存储媒体的实施方案,图12到14的各个部件的操作可以通过用于执行或控制对应操作的合适的指令呈现。
图15广泛地说明和概括方法或程序1500,其可以由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的合适地装备的装置或组件进行。在1502处,装置使用 UE证书认证UE,其中对应于UE证书的私密密钥仅在UE内的安全处理中可用。在1504 处,装置转发移动装置凭证到SP网络的认证组件(例如AAA服务器)以用于基于转发的凭证进一步认证UE。如上文所论述,转发移动装置凭证可包含或包括以下各项中的一个或多个:UE证书和用户名和密码;SP颁发证书;或UE证书。
图16进一步说明和概括方法或程序1600,其可以由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的合适地装备的装置或组件进行。在1602处,装置使用 UE证书认证UE,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用。在 1604处,装置任选地供应或配置用户名和密码或SP颁发证书到UE,其中对应于SP颁发证书的私密密钥仅在UE内的安全处理中可用。在1606处,装置转发移动装置凭证到 SP网络的认证组件(例如AAA服务器)以用于基于转发的凭证进一步认证UE。转发移动装置凭证包括以下中的一个:UE证书和用户名和密码;SP颁发证书;或UE证书。
图17广泛地说明和概括其它方法或程序1700,其可以由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的合适地装备的装置或组件进行。在1702处,装置从包含用户名、密码和预先配置UE证书的UE获取用户设备(UE)凭证,其中对应于 UE证书的私密密钥仅在认证期间的安全处理中可用。在1704处,装置使用OSU证书和从UE获得的UE证书向SP网络的OSU组件认证UE。在1706处,装置转发UE证书、用户名和密码到SP网络的认证组件(例如AAA服务器)以用于基于认证组件证书、 UE证书和用户名和密码的进一步认证。
图18广泛地说明和概括方法或程序1800,其可以由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的合适地装备的装置或组件进行。在1802处,使用预先配置UE证书向SP网络的OSU组件认证UE,其中对应于UE证书的私密密钥仅在安全处理中可用。这种实施例不同于图15的类似实施例,至少在于图18的实施例指示UE 证书是预先配置的。在1804处,从OSU组件转发UE证书到SP网络的认证组件(例如 AAA服务器)以用于UE基于UE证书的后续认证。视实施例而定,图18的认证程序可能或可能不使用CHAP或类似者另外利用用户名/密码用于认证。
图19进一步说明和概括方法或程序1900,其可以根据图18的方法,由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的的合适地装备的装置或组件进行。在1902处,使用预先配置UE证书向SP网络的OSU组件认证UE,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用,UE证书预先配置有到OSU组件信任的 CA颁发的UE信任锚证书的证书链,其中向OSU组件认证UE包含验证预先配置UE 证书链结到UE信任锚CA证书,且其中向OSU组件认证UE伴随对应TLS会话在关于 UE的安全处理中终止而采用TLS,且其中TLS会话进一步用以通过OSU证书认证OSU 组件。在1904处,使用OSU记录UE证书。
在1906处,UE证书从OSU组件被转发到SP网络的认证组件,以用于UE基于 UE证书的后续认证,其中认证组件是经装备以使用根据EAP-TTLS方法或EAP-TLS方法从OSU组件获得的AAA证书连同UE证书与UE执行相互认证的AAA服务器。应注意,在一些实例中,可以提供两个或超过两个AAA服务器。例如,PSP AAA服务器可以被提供以供与PSP相关的非USIM凭证一起使用(其中PSP指的是参与服务提供商 (Participating Service Provider),USIM指的是通用订户识别模块(Universal Subscriber Identify Module)),所述凭证可以在NH网络之内抑或之外。3GPP服务器可以被提供以与NH网络之外的USIM凭证一起使用(其中3GPP指的是第三代合作伙伴计划(3rd Generation Partnership Project;3GPP)),且所述凭证提供与LTE网络中的AAA类似的功能性。
在1908处,UE使用OSU通过用户名和密码被另外配置,以供与和SP网络相关的 SP一起使用,且用户名和密码被转发到认证组件以用于基于UE证书和用户名和密码的 UE后续认证,其中认证组件随后进一步使用用户名和密码根据CHAP认证UE,且其中向SP网络的OSU组件认证UE是相互认证。参见上文以获得示范性实施例的更详细描述。
图20说明装置2000,其连接到无线网络且具有处理电路2002,其在此实例中包含认证组件或子电路2004,其经配置以使用从UE获得的UE证书向SP网络的OSU组件 (例如,OSU服务器)认证用户设备UE,其中对应于UE证书的私密密钥仅在UE内的安全处理中可用。(处理电路可以是例如OSU服务器的组件,例如其控制器。)处理电路 2002还包含转发单元或子电路,其经配置以转发UE证书到SP网络的认证组件,以用于基于UE证书的后续认证。参见上文以获得示范性实施例的更详细描述。
图21广泛地说明和概括方法或程序2100,其可以由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的合适地装备的装置或组件进行。在2102处,装置使用预先配置的UE证书向SP网络的OSU组件认证UE,其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用。在2104处,OSU组件促使供应SP颁发证书到UE,其中对应于SP颁发证书的私密密钥仅在UE内的安全处理中可用。在2106处,OSU组件转发SP颁发证书到SP网络的认证组件,以用于UE基于SP颁发证书的后续认证。
图22进一步说明和概括方法或程序2200,其可以根据图21的方法,由连接到无线通信网络的SP网络,例如上文所论述的OSU服务器的的合适地装备的装置或组件进行。在2202处,装置使用预先配置用户设备(UE)证书向SP网络的在线注册(OSU)组件认证用户设备(UE),其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用,UE 证书预先配置有到OSU组件信任的证书机构(CA)颁发的UE信任锚证书的证书链,其中向OSU组件认证UE包含验证预先配置的UE证书链结到UE信任锚CA证书,其中向 OSU组件认证UE还采用传输层安全(TLS),其中对应的TLS会话在关于UE的安全处理中终止,所述TLS会话进一步用以使用OSU证书认证OSU组件。在2204处,OSU 组件促使供应SP颁发证书到UE,其中对应于SP颁发证书的私密密钥仅在UE内的安全处理中可用。在2206处,OSU组件转发SP颁发证书到SP网络的认证组件以用于 UE基于SP颁发证书的后续认证,其中认证组件是AAA服务器,其经装备以根据可扩展认证协议(EAP)隧穿传输层安全(TTLS)方法或EAP传输层安全(TLS)方法使用AAA证书连同从所述OSU组件获得的所述UE证书,与所述UE执行相互认证。参见上文以获得示范性实施例的更详细描述。
图23说明装置2300,其连接到无线网络且具有处理电路2302,其在此实例中包含认证组件或子电路2304,其经配置以使用从UE获得的预先配置UE证书向服务提供商 (SP)网络的在线注册(OSU)组件认证用户设备(UE),其中对应于UE证书的私密密钥仅在认证期间的安全处理中可用。处理电路2302还包含促进组件或子电路2306,其经配置以促进供应SP颁发证书到UE,其中对应于SP颁发证书的私密密钥仅在UE内的安全处理中可用。转发单元2308经配置以转发SP颁发证书到SP网络的认证组件,以用于 UE基于SP颁发证书的后续认证。参见上文以获得示范性实施例的更详细描述。
图24广泛地说明和概括装置、方法或程序2400,其可以通过合适地装备的移动装置或UE进行,以供与无线通信网络一起使用。在2402处,使用预先配置的证书向SP 网络(或其它蜂窝式网络)的OSU组件认证UE,其中对应于所述预先配置证书的私密密钥仅在认证期间的安全处理中可用。在2402处,向SP网络的认证组件(例如AAA服务器)认证UE以获取密钥(例如主密钥,MSK)。在2406处,通信基于密钥在UE与SP网络(或其它蜂窝式网络)之间被确保(例如通过使用MSK以产生一或多个SP网络特定密钥,Kasme)。在一些实例中,提供包含UE的处理电路的装置(供与无线通信网络一起使用),其中处理电路经配置以:使用预先配置证书,向服务提供商(SP)网络的在线注册 (OSU)组件认证UE,其中对应于预先配置证书的私密密钥仅在认证期间的安全处理中可用;向SP网络的认证组件认证UE,来获取密钥;以及基于所述密钥在UE与SP网络之间安全通信。参见上文以获得示范性方法和装置的实施例的更详细描述。
图25进一步说明和概括装置、方法或程序2500,其可以通过合适地装备的移动装置或UE进行,以供与无线通信网络一起使用。在2502处,使用预先配置证书向SP网络(或其它蜂窝式网络)的OSU组件认证UE,其中对应于预先配置证书的私密密钥仅在认证期间的安全处理中可用,且证书是UE证书抑或已被提供和存储在UE中的SP颁发证书。在2504处,向SP网络的认证组件认证UE以获取主密钥(MSK),其中认证组件是AAA服务器,其经装备以使用EAP-TTLS或EAP-TLS通过用户名和密码与UE执行相互认证,或AAA使用EAP-TTLS或EAP-TLS使用SP颁发证书与UE执行相互认证。在2506处,UE基于主密钥(MSK),通过从MSK导出、计算或者获得一或多个SP网络特定密钥(例如,Kasme密钥)以保护通信,来保护UE与SP网络之间的通信。参见上文以获得示范性方法和装置的实施例的更详细描述。
应注意,本公开的各方面可在本文中描述为过程,所述过程描绘为流程图表、流程图、结构图或框图。尽管流程图可将操作描述为连续过程,但许多操作可并行或同时执行。另外,操作的顺序可重新安排。当过程的操作完成时,所述过程终止。过程可与方法、函数、程序、子例程、子程序等相对应。当过程与函数相对应时,其终止与所述函数返回到调用函数或主函数相对应。
所属领域的技术人员将进一步了解,结合本文所揭示的方面描述的各种说明性逻辑块、模块、电路及算法步骤可以实施为电子硬件、计算机软件或两者的组合。为清晰地说明硬件与软件的此可互换性,上文已大体就其功能性描述了各种说明性组件、块、模块、电路和步骤。此类功能性是实施为硬件还是软件取决于特定应用及强加于整个系统的设计约束。
结合本文中所揭示的实例描述的方法或算法可以处理单元、编程指令或其它方向的形式直接体现在硬件、可由处理器执行的软件模块或两者的组合中,且可包含于单个装置中或跨越多个装置而分布。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM,或所属领域中已知的任何其它形式的存储媒体中。存储媒体可耦合到处理器,使得处理器可从存储媒体读取信息以及将信息写入到存储媒体。在替代方案中,存储媒体可与处理器成整体。
本文所描述的本发明的各种特征可在不脱离本发明的情况下实施于不同系统中。应注意,前述实施例仅为实例,且不应解释为限制本发明。实施例的描述意图为说明性的,且不限制权利要求书的范畴。因此,所展示的教示可容易应用于其它类型的设备,且所属领域的技术人员将明白许多替代方案、修改及变化。
Claims (49)
1.一种可以在连接到无线通信网络的服务提供商SP网络中操作的方法,其包括:
使用预先配置的用户设备UE证书向所述SP网络的在线注册OSU组件认证UE,其中对应于所述UE证书的私密密钥仅在所述UE内的安全处理中可用;以及
从所述OSU组件向所述SP网络的认证组件发送所述UE证书以用于基于所述UE证书对所述UE进行后续认证。
2.根据权利要求1所述的方法,其中所述UE证书预先配置有到所述OSU组件信任的证书机构CA颁发的UE信任锚证书的证书链,且其中向所述OSU组件认证所述UE包含验证所述预先配置的UE证书链结到所述UE信任锚CA证书。
3.根据权利要求1所述的方法,其中向所述OSU组件认证所述UE采用传输层安全TLS,其中对应的TLS会话在关于UE的安全处理中终止。
4.根据权利要求3所述的方法,其中所述TLS会话进一步用以使用OSU证书认证所述OSU组件。
5.根据权利要求1所述的方法,其中,在所述OSU组件认证所述UE之后,所述OSU组件记录所述UE证书。
6.根据权利要求1所述的方法,其中所述认证组件是认证、授权和计费AAA服务器,所述AAA服务器经装备以根据可扩展认证协议EAP隧穿传输层安全TTLS方法或EAP传输层安全TLS方法使用AAA证书连同从所述OSU组件获得的所述UE证书,与所述UE执行相互认证。
7.根据权利要求1所述的方法,其中所述OSU组件通过供与所述SP网络相关的SP一起使用的用户名和密码配置所述UE,并且转发所述用户名和密码到所述SP网络的所述认证组件,以基于所述UE证书及所述用户名和密码用于所述UE的后续认证。
8.根据权利要求7所述的方法,其中所述认证组件经装备以使用从所述OSU组件获得的所述用户名和密码认证所述UE。
9.根据权利要求8所述的方法,其中所述认证组件根据质询握手认证协议CHAP使用所述用户名和密码进一步认证所述UE。
10.根据权利要求8所述的方法,其中向所述SP网络的所述OSU组件认证所述UE是相互认证。
11.一种在服务提供商SP网络中使用的装置,其包括:
所述SP网络的在线注册OSU组件的处理电路,所述处理电路被配置成:
使用从用户设备UE获得的UE证书向所述OSU组件认证所述UE,其中对应于所述UE证书的私密密钥仅在所述UE内的安全处理中可用;以及
从所述OSU组件向所述SP网络的认证组件发送所述UE证书以用于基于所述UE证书的后续认证。
12.根据权利要求11所述的装置,其中所述UE证书预先配置有到所述OSU组件信任的证书机构CA颁发的UE信任锚证书的证书链,且其中向所述OSU组件认证所述UE包含验证所述预先配置的UE证书链结到所述UE信任锚CA证书。
13.根据权利要求11所述的装置,其中向所述OSU组件认证所述UE采用传输层安全TLS,其中对应的TLS会话在关于UE的安全处理中终止。
14.根据权利要求13所述的装置,其中所述TLS会话进一步用以使用OSU证书认证所述OSU组件。
15.根据权利要求11所述的装置,其中,在所述OSU组件认证所述UE之后,所述处理电路记录所述UE证书。
16.根据权利要求12所述的装置,其中所述认证组件是认证、授权和计费AAA服务器,所述AAA服务器经装备以根据可扩展认证协议EAP隧穿传输层安全TTLS方法或EAP传输层安全TLS方法使用AAA证书连同从所述OSU组件获得的所述预先配置的UE证书,与所述UE执行相互认证。
17.根据权利要求11所述的装置,其中所述处理电路
向所述UE配置用户名和密码以供与所述OSU组件相关的所述SP一起使用,以及
转发所述用户名和密码到所述SP网络的所述认证组件,以用于基于所述UE证书及所述用户名和密码对所述UE的后续认证。
18.根据权利要求17所述的装置,其中所述认证组件经装备以使用从所述OSU组件获得的所述用户名和密码认证所述UE。
19.根据权利要求18所述的装置,其中所述认证组件根据质询握手认证协议CHAP使用所述用户名和密码认证所述UE。
20.根据权利要求11所述的装置,其中向所述SP网络的所述OSU组件认证所述UE是相互认证。
21.一种可以在连接到无线通信网络的服务提供商SP网络中操作的方法,其包括:
使用预先配置的用户设备UE证书向所述SP网络的在线注册OSU组件认证用户设备UE,其中对应于所述UE证书的私密密钥仅在所述UE内的安全处理中可用;
使用所述OSU组件促进将SP颁发的证书供应到所述UE,其中对应于所述SP颁发的证书的私密密钥仅在所述UE内的安全处理中可用;以及
使用所述OSU组件向所述SP网络的认证组件发送所述SP颁发的证书以用于基于所述SP颁发的证书对所述UE的后续认证。
22.根据权利要求21所述的方法,其中所述OSU组件通过发起或执行安全运输登记EST程序来促进将所述SP颁发的证书供应到所述UE。
23.根据权利要求21所述的方法,其中所述UE证书预先配置有到所述OSU组件信任的证书机构CA颁发的UE信任锚证书的证书链,且其中向所述OSU组件认证所述UE包含验证所述预先配置的UE证书链结到所述UE信任锚CA证书。
24.根据权利要求23所述的方法,其中向所述OSU组件认证所述UE采用传输层安全TLS,其中对应的TLS会话在关于UE的安全处理中终止。
25.根据权利要求24所述的方法,其中所述TLS会话进一步用以使用OSU证书认证所述OSU组件。
26.一种电子设备,其包括:
用户设备UE的处理电路,以供与无线通信网络一起使用,所述处理电路经配置以:
使用预先配置的UE证书向服务提供商SP网络的在线注册OSU组件认证所述UE,其中对应于所述预先配置的UE证书的私密密钥仅在所述UE内的安全处理中可用;
基于所述预先配置的UE证书和/或从所述SP网络的所述OSU组件发送的SP颁发的证书向所述SP网络的认证组件认证所述UE来获取密钥,其中,与所述SP颁发的证书对应的私密密钥仅在所述UE内的安全处理中可用;以及
基于所述密钥来保护所述UE与所述SP网络之间的通信。
27.根据权利要求26所述的电子设备,其中所述密钥是主密钥,且其中通过获得一或多个SP网络特定密钥来保护所述通信而基于所述密钥保护所述UE与所述SP网络之间的通信。
28.根据权利要求26所述的电子设备,其中所述认证组件是认证、授权和计费AAA服务器,且其中所述处理电路经配置以使用可扩展认证协议EAP隧穿传输层安全TTLS或EAP传输层安全TLS通过用户名和密码向所述AAA认证所述UE。
29.根据权利要求26所述的电子设备,其中所述认证组件是认证、授权和计费AAA服务器,且其中所述处理电路经配置以使用可扩展认证协议EAP隧穿传输层安全TTLS或EAP传输层安全TLS用SP颁发的证书向所述AAA认证所述UE。
30.根据权利要求26所述的电子设备,其中所述UE证书预先配置有到所述OSU组件信任的证书机构CA颁发的UE信任锚证书的证书链。
31.根据权利要求26所述的电子设备,其中,所述处理电路经配置以使用传输层安全性TLS来相互认证所述UE和所述OSU组件,其中对应的TLS会话在关于UE的安全处理中终止。
32.根据权利要求26所述的电子设备,其中,所述处理电路还经配置以根据质询握手认证协议CHAP使用用户名和密码进一步认证所述UE。
33.根据权利要求26所述电子设备,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅在所述UE的安全硬件模式内可用。
34.根据权利要求26所述的电子设备,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅对所述UE的安全硬件元件可用,所述UE的安全硬件元件不同于所述UE的应用程序处理器。
35.一种在无线通信网络的用户设备UE处可操作的方法,包括:
使用预先配置的UE证书向服务提供商SP网络的在线注册OSU组件认证所述UE,其中,与所述预先配置的UE证书对应的私密密钥在所述认证期间仅在所述UE内的安全处理中可用;
基于所述预先配置的UE证书和/或从所述SP网络的所述OSU组件发送的SP颁发的证书向所述SP网络的认证组件认证所述UE来获取密钥,其中,与所述SP颁发的证书对应的私密密钥仅在所述UE内的安全处理中可用;以及
基于所述密钥来保护所述UE与所述SP网络之间的通信。
36.根据权利要求35所述的方法,其中所述密钥是主密钥,且其中通过获得一或多个SP网络特定密钥来保护所述通信而基于所述主密钥保护所述UE与所述SP网络之间的通信。
37.根据权利要求35所述的方法,其中所述认证组件是认证、授权和计费AAA服务器,且其中,向所述认证组件认证所述UE包括使用可扩展认证协议EAP隧穿传输层安全TTLS或EAP传输层安全TLS使用用户名和密码向所述AAA认证所述UE。
38.根据权利要求35所述的方法,其中所述认证组件是认证、授权和计费AAA服务器,且其中,向所述认证组件认证所述UE包括使用可扩展认证协议EAP隧穿传输层安全TTLS或EAP传输层安全TLS用SP颁发的证书向所述AAA认证所述UE。
39.根据权利要求35所述的方法,其中所述UE证书预先配置有到所述OSU组件信任的证书机构CA颁发的UE信任锚证书的证书链。
40.根据权利要求35所述的方法,其中,向所述OSU组件认证所述UE包括使用传输层安全性TLS来相互认证所述UE和所述OSU组件,其中对应的TLS会话在关于UE的安全处理中终止。
41.根据权利要求35所述的方法,其中,所述UE是依据质询握手认证协议CHAP使用用户名和密码向所述认证组件认证的。
42.根据权利要求35所述方法,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅在所述UE的安全硬件模式内可用。
43.根据权利要求35所述的方法,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅对所述UE的安全硬件元件可用,所述UE的安全硬件元件不同于所述UE的应用程序处理器。
44.一种具有一个或多个指令的非瞬时处理器可读介质,所述一个或多个指令在由用户设备UE的至少一个处理电路执行时使得所述UE的所述至少一个处理电路:
使用预先配置的UE证书向服务提供商SP网络的在线注册OSU组件认证所述UE,其中,与所述预先配置的UE证书对应的私密密钥在所述认证期间仅在所述UE内的安全处理中可用;
基于所述预先配置的UE证书和/或从所述SP网络的所述OSU组件发送的SP颁发的证书向所述SP网络的认证组件认证所述UE来获取密钥,其中,与所述SP颁发的证书对应的私密密钥仅在所述UE内的安全处理中可用;以及
基于所述密钥来保护所述UE与所述SP网络之间的通信。
45.根据权利要求44所述的非瞬时处理器可读介质,其中所述密钥是主密钥,且其中是通过获得一或多个SP网络特定密钥来保护所述通信而基于所述主密钥保护所述UE与所述SP网络之间的通信。
46.根据权利要求44所述的非瞬时处理器可读介质,其中所述认证组件是认证、授权和计费AAA服务器,且其中,所述非瞬时处理器可读介质进一步包括用于如下的指令:
使用可扩展认证协议EAP隧穿传输层安全TTLS或EAP传输层安全TLS使用用户名和密码向所述AAA认证所述UE。
47.根据权利要求44所述非瞬时处理器可读介质,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅在所述UE的安全硬件模式内可用。
48.根据权利要求44所述的非瞬时处理器可读介质,其中,与所述预先配置的UE证书对应的私密密钥在所述UE内仅对所述UE的安全硬件元件可用,所述UE的安全硬件元件不同于所述UE的应用程序处理器。
49.一种作为无线通信网络中用户设备UE的组件的装置,包括:
用于使用预先配置的UE证书和在线注册OSU证书进行服务提供商SP网络的在线注册OSU组件和所述UE之间的相互认证的装置,其中,与所述预先配置的UE证书对应的私密密钥在所述认证期间仅在所述UE内的安全处理中可用;
用于基于所述预先配置的UE证书和/或从所述SP网络的所述OSU组件发送的SP颁发的证书向所述SP网络的认证组件认证所述UE来获取密钥的装置,其中,与所述SP颁发的证书对应的私密密钥仅在所述UE内的安全处理中可用;以及
用于基于所述密钥来保护所述UE与所述SP网络之间的通信的装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662318676P | 2016-04-05 | 2016-04-05 | |
| US62/318,676 | 2016-04-05 | ||
| US15/280,836 US10104544B2 (en) | 2016-04-05 | 2016-09-29 | LTE-level security for neutral host LTE |
| US15/280,836 | 2016-09-29 | ||
| PCT/US2017/023677 WO2017176456A1 (en) | 2016-04-05 | 2017-03-22 | Lte-level security for neutral host lte |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108886688A CN108886688A (zh) | 2018-11-23 |
| CN108886688B true CN108886688B (zh) | 2021-07-13 |
Family
ID=59962200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780020042.3A Expired - Fee Related CN108886688B (zh) | 2016-04-05 | 2017-03-22 | 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10104544B2 (zh) |
| EP (1) | EP3440861B1 (zh) |
| CN (1) | CN108886688B (zh) |
| WO (1) | WO2017176456A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138554A (zh) * | 2015-12-10 | 2019-08-16 | 深圳市大疆创新科技有限公司 | 数据连接、传送、接收、交互的方法及系统,及飞行器 |
| US10462663B2 (en) * | 2016-06-27 | 2019-10-29 | Corning Optical Communications LLC | System and method for service provider specific remote access via neutral host networks |
| MY195382A (en) | 2016-10-31 | 2023-01-18 | Ericsson Telefon Ab L M | Authentication for Next Generation Systems |
| CN110235423B (zh) | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| US10789179B1 (en) * | 2017-10-06 | 2020-09-29 | EMC IP Holding Company LLC | Decentralized access management in information processing system utilizing persistent memory |
| JP7100561B2 (ja) * | 2018-10-30 | 2022-07-13 | ウイングアーク1st株式会社 | 認証システム、認証サーバおよび認証方法 |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| US11445372B2 (en) * | 2019-09-05 | 2022-09-13 | Cisco Technology, Inc. | Scalable public key identification model |
| US20230036680A1 (en) * | 2021-08-02 | 2023-02-02 | Zeronorth, Inc. | Application security posture identifier |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014078147A1 (en) * | 2012-11-13 | 2014-05-22 | Alcatel-Lucent Usa Inc. | Restricted certificate enrollment for unknown devices in hotspot networks |
| CN103973768A (zh) * | 2013-02-05 | 2014-08-06 | 联发科技股份有限公司 | 分享鉴权证书的方法及其通信装置 |
| WO2015050892A1 (en) * | 2013-10-01 | 2015-04-09 | Ruckus Wireless, Inc. | Secure network access using credentials |
| CN104798430A (zh) * | 2012-12-27 | 2015-07-22 | 英特尔公司 | 无线设备的安全在线注册和配置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5934364B2 (ja) | 2011-09-09 | 2016-06-15 | インテル コーポレイション | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 |
| US10098028B2 (en) | 2012-03-16 | 2018-10-09 | Qualcomm Incorporated | System and method of offloading traffic to a wireless local area network |
| US9930048B2 (en) | 2014-02-05 | 2018-03-27 | Apple Inc. | Customer identification for seamless wireless-network access |
| US9800581B2 (en) | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
-
2016
- 2016-09-29 US US15/280,836 patent/US10104544B2/en not_active Expired - Fee Related
-
2017
- 2017-03-22 EP EP17719045.1A patent/EP3440861B1/en active Active
- 2017-03-22 CN CN201780020042.3A patent/CN108886688B/zh not_active Expired - Fee Related
- 2017-03-22 WO PCT/US2017/023677 patent/WO2017176456A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014078147A1 (en) * | 2012-11-13 | 2014-05-22 | Alcatel-Lucent Usa Inc. | Restricted certificate enrollment for unknown devices in hotspot networks |
| CN104956638A (zh) * | 2012-11-13 | 2015-09-30 | 阿尔卡特朗讯公司 | 用于在热点网络中未知设备的受限证书注册 |
| CN104798430A (zh) * | 2012-12-27 | 2015-07-22 | 英特尔公司 | 无线设备的安全在线注册和配置 |
| CN103973768A (zh) * | 2013-02-05 | 2014-08-06 | 联发科技股份有限公司 | 分享鉴权证书的方法及其通信装置 |
| WO2015050892A1 (en) * | 2013-10-01 | 2015-04-09 | Ruckus Wireless, Inc. | Secure network access using credentials |
Also Published As
| Publication number | Publication date |
|---|---|
| US10104544B2 (en) | 2018-10-16 |
| WO2017176456A1 (en) | 2017-10-12 |
| CN108886688A (zh) | 2018-11-23 |
| EP3440861A1 (en) | 2019-02-13 |
| US20170289799A1 (en) | 2017-10-05 |
| EP3440861B1 (en) | 2020-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108886688B (zh) | 一种可以在连接到无线通信网络的服务提供商sp网络中操作的方法、装置和可读介质 | |
| KR101838872B1 (ko) | 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법 | |
| KR101038064B1 (ko) | 애플리케이션 인증 | |
| TWI645724B (zh) | 用於使用特定於應用的網路存取身份碼來進行到無線網路的受贊助連接的設備和方法(二) | |
| KR101287309B1 (ko) | 홈 노드-b 장치 및 보안 프로토콜 | |
| JP6086987B2 (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
| JP2017163573A (ja) | 無線ユニットのユーザを認証するための方法およびシステム | |
| US20060218396A1 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| JP2016511849A (ja) | 独立アイデンティティ管理システム | |
| JP2017535989A (ja) | 証明書ベースの認証 | |
| US11924195B2 (en) | Onboarding an unauthenticated client device within a secure tunnel | |
| WO2010060296A1 (zh) | 认证方法、可信任环境单元及家庭基站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210713 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |