CN109565441A - 一种用于通过使用第二通信设备来配置第一通信设备的方法 - Google Patents

一种用于通过使用第二通信设备来配置第一通信设备的方法 Download PDF

Info

Publication number
CN109565441A
CN109565441A CN201780049201.2A CN201780049201A CN109565441A CN 109565441 A CN109565441 A CN 109565441A CN 201780049201 A CN201780049201 A CN 201780049201A CN 109565441 A CN109565441 A CN 109565441A
Authority
CN
China
Prior art keywords
communication equipment
wireless network
voucher
key
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201780049201.2A
Other languages
English (en)
Other versions
CN109565441B (zh
Inventor
M.波利亚
M.恩德鲁沙
L.T.潘
J-Y.菲内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales Digital Security France Easy Stock Co
Thales DIS Design Services SAS
Original Assignee
Gemplus Card International SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA filed Critical Gemplus Card International SA
Publication of CN109565441A publication Critical patent/CN109565441A/zh
Application granted granted Critical
Publication of CN109565441B publication Critical patent/CN109565441B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种用于通过使用第二通信设备(202)为第一通信设备(201)配置用于访问无线网络所需的至少一个凭证的集合的方法,所述第二通信设备(202)被配备有也由无线网络已知的密码密钥K,第一通信设备(201)与包括公钥PK的证书相关联,所述证书与相关联的私钥PrK一起被存储在所述第一通信设备(201)中,该方法包括以下步骤:由第二通信设备接收来自第一通信设备的注册请求(212),以便被配置有至少一个凭证的集合;由第二通信设备(202)向无线网络(200)传输注册请求(213),以生成与第一通信设备(201)相关联的至少一个凭证的集合,该至少一个凭证的集合包括至少密码密钥K",无线网络适于生成第一随机数R1和第二随机数R2;由第二通信设备(202)从无线网络(200)接收包括R1和R2的响应(214);由第二通信设备(201)使用R1和K生成K';由第二通信设备(202)向第一通信设备(201)传输K'和R2以使用R2和K'来生成K"。

Description

一种用于通过使用第二通信设备来配置第一通信设备的方法
技术领域
本发明涉及一种用于通过使用第二通信设备为第一通信设备配置(provisioning)用于访问无线网络所需的至少一个凭证的集合的方法,并且适用于物联网的领域。
背景技术
3GPP电信行业正致力于定义与第五代(5G)无线网络相对应的下一代系统。针对5G的关键市场驱动因素之一是物联网(IoT)设备的大规模部署。如在ITU-T Y.2060建议中定义的那样,物联网指代针对信息社会的全球基础设施,使得能够通过基于现有和演进的可互操作的信息和通信技术互连的物理和虚拟事物来实现高级服务。此外,表达IoT设备指代具有通信能力和可选地数据捕获、感测、数据存储、感测和/或数据处理的能力的一件装备。
当今行业趋势是,对于IoT设备,在没有存储在设备中的先前的订阅的情况下,也就是说,在IoT设备中没有引导(bootstrap)订阅或预先配置的任何其他订阅的情况下,具有初始连接到5G网络的能力。这通过设备制造商想要将与电信运营商的粘性最小化的事实来解释。
在本说明书中,订阅指代用于接收或被给予对电子服务的访问权(诸如通过电信网络来交换数据)的协定。通过将一个或若干个凭证归属到订户和/或归属到与该订户相关联的设备来实现订阅。
当IoT设备包括可用于建立与无线网络的数据连接的至少一个凭证的集合时,该IoT设备被称为激活的。相反,当IoT设备不包括可用于建立与无线网络的数据连接的至少一个凭证的集合时,该IoT设备被称为未激活的。
手动配置是可以被考虑用于还尚未被激活的IoT设备的解决方案。然而,该选项是用户不友好的、耗时的,并且安全级别可能不是最高的。实际上,需要将激活所需的凭证传送给IoT设备的用户或负责在制造场所中配置IoT设备的雇员,然后他们将能够执行手动配置,例如通过在IoT设备内插入包含订阅的物理元素,诸如的UICC。
因此,需要一种用于为IoT设备安全地和远程地配置至少一个凭证的集合的技术。
发明内容
本发明涉及一种用于通过使用第二通信设备为第一通信设备配置用于访问无线网络所需的至少一个凭证的集合的方法,所述第二通信设备配置有也由无线网络已知的密码密钥K,第一通信设备与包括公钥PK的证书相关联,所述证书与相关联的私钥PrK一起被存储在所述第一通信设备中,该方法包括以下步骤:
-由第二通信设备接收来自第一通信设备的注册请求,以便配置有至少一个凭证的集合;
-由第二通信设备向无线网络传输注册请求,以生成与第一通信设备相关联的至少一个凭证的集合,该至少一个凭证的集合包括至少密码密钥K",无线网络适于生成第一随机数R1和第二随机数R2,从R1和K导出密码密钥K',从R2和K'导出密码密钥K";
-由第二通信设备接收来自无线网络的包括R1和R2的响应,R2使用与第一通信设备相关联的证书的公钥PK进行加密;
-由第二通信设备使用R1和K来生成K';
-由第二通信设备向第一通信设备传输K'和R2的加密版本,用于第一通信设备使用其私钥PrK来解密R2,并且使用R2和K'来生成K"。
根据示例,使用由第二通信设备存储的导出函数F'来生成K'。
根据示例,使用由第一通信设备存储的导出函数F"来生成K"。
根据示例,F'是HMAC-SHA-256函数。
根据示例,F"是HMAC-SHA-256函数。
在一个实施例中,使用密钥PrK对注册请求签名。
注册请求例如与由第一通信设备生成的SessionID和包括公钥PK的证书一起被传输。
根据本发明的一个方面,该方法包括用于在第一与第二通信设备之间建立本地通信链路的步骤。
使用例如蓝牙低能量技术来建立通信链路。
根据本发明的一个方面,该方法还可以包括以下步骤:验证第一通信设备的状态,如果该状态示出第一通信设备被激活,则发送注册请求。
在一个实施例中,订阅标识符IMSI'由第二通信设备传输到第一通信设备,订阅标识符与R2一起由无线网络提供,还使用公钥PK来加密订阅标识符。
本发明还涉及第二通信设备,其被配置成与第一通信设备建立数据连结(connexion)并且被配置成实现根据前述权利要求中的任一项的方法。
本发明还涉及第一通信设备,其被配置成通过使用第二通信设备来配置有用于访问无线网络所需的至少一个凭证的集合,所述第二通信设备配置有也由无线网络已知的密码密钥K,第一通信设备与包括公钥PK的证书相关联,所述证书与相关联的私钥PrK一起被存储在所述第一通信设备中,第一通信设备被进一步配置成:
-向第二通信设备发送注册请求,以便配置有至少一个凭证的集合,然后由第二通信设备将所述注册请求传输到无线网络,用于无线网络生成与第一通信设备相关联的至少一个凭证的集合,所述至少一个凭证的集合包括至少密码密钥K",无线网络适于生成第一随机数R1和第二随机数R2,从R1和K导出密码密钥K',然后从R2和K'导出密码密钥K";
-从第二通信设备接收由无线网络使用与第一通信设备相关联的证书的公钥PK加密的R2的版本,以及已经由所述第二通信设备使用从无线网络接收的R1和密钥K本地生成的K';
-使用私钥PrK来解密R2;
-使用R2和K'来生成K"。
附图说明
在结合以下附图阅读了作为指示性和非限制性示例给出的本发明的一个优选实施例的详细描述之后,本发明的附加特征和优点将是更清楚地可理解的:
-图1是实现了用于激活无线设备的技术的电信系统的表示;
-图2是图示了用于为无线设备配置至少一个凭证的集合的消息交换的示例的序列图。
具体实施方式
图1是实现了用于激活无线设备的技术的电信系统的表示。
在该示例中,系统包括第一通信设备101,所述第一通信设备101可以是需要被激活的IoT设备。系统还包括第二通信设备102,例如智能电话。
第二通信设备已经配置有凭证,该凭证包括密码密钥K,从而允许第二通信设备与无线网络100建立数据连接。技术人员将容易理解,第二通信设备还可以配置有其他所需数据,诸如IMSI(国际移动订户标识符)类型的订户标识符。无线网络包括适于生成凭证的计算单元120,例如服务器。根据本发明,凭证不被传输到第一通信设备101。代之以,由网络100将参数的集合传输111到第二通信设备102,用于第二通信设备102计算从由第二通信设备102和无线网络100已知的密钥K导出的中间密钥K'。然后,将该中间密钥K'与前述参数中的一个或若干个一起传输到第一通信设备101,用于第一通信设备101导出第二密钥K"。该第二密钥是凭证,所述凭证然后可以被第一通信设备101用来与无线网络100建立直接连接112,也就是说与无线网络100的至少一个计算单元120建立直接连接112。至少一个凭证的集合包括密钥K",但是也可以包括附加的数据,例如由网络运营商分配的订户的标识符。
在该描述中,主要在第一通信设备的情境中描述本发明,该第一通信设备受益于与第二通信设备建立的本地无线连接,以建立对无线网络的初始访问以用于配置目的。然而,第一101与第二102设备之间的本地连接可以是有线类型的。例如,USB电缆可以被用于该目的。
图2是图示了用于为无线设备配置至少一个凭证的集合和相关联的订户身份的消息交换的示例的序列图。
根据该示例,需要激活第一通信设备201以便访问无线网络。出于该目的,第一通信设备201使用与第二通信设备202建立的连接。第二通信设备202适于与无线网络的服务器200建立连接。
可以通过实现下面描述的步骤来执行订阅的该激活。
最初,可以实现第一201与第二202无线设备之间的手动配对。然后,可以建立第一201与第二通信设备202之间的本地连接210。作为示例,该本地连接是无线的,并且可以实现诸如蓝牙低能量(BLE)之类的技术。该技术对于节能而言是特别高效的。配对码可以由用户在其第二无线202设备上配置,并且然后由第二通信设备202使用用于与第一通信设备201建立本地连接。技术人员将理解,取决于两个设备的能力,也可以考虑诸如WiFi之类的替代技术以用于建立该无线电链路。也可以考虑有线连接,例如使用USB电缆(通用串行总线)。
然后,第二通信设备202从第一设备201获取211指示第一设备201是激活的还是未激活的信息。这可以通过请求第一通信设备201读取和传输存储在第一通信设备201的存储器中的内部参数STATE的值来完成。该参数可以以两种状态来配置,例如STATE=ACTIVATED(状态=激活的)或STATE=DEACTIVATED(状态=解激活的)。STATE参数可以是布尔数据类型的。
如果第一通信设备201未被激活,则其请求212以进行注册。作为示例,注册请求与随机会话标识符SessionID和第一通信设备201的证书被传输。
证书由第一通信设备201的制造商存储在第一通信设备201中。在优选实施例中,该证书包括公钥PK。相关联的私钥PrK被保密并且被存储在第一通信设备201中。
会话标识符SessionID例如是由第一通信设备201管理的序列号。在特定实施例中,在与网络建立新通信会话时,递增该序列号。可以通过第二通信设备102或直接与无线网络100建立这样的通信会话。生成的第一SessionID可以由第一通信设备101、201随机产生。
在一个实施例中,可以使用密钥PrK来有利地对注册请求消息212签名。
第二通信设备202通过创建订阅并且生成相关联的凭证来知道负责激活无线设备的无线网络的服务器200的地址。因此,能够将请求消息路由213到无线网络中的目标服务器200。
然后,服务器200验证证书是否是有效的。服务器200还验证会话标识符和注册请求的签名。例如,服务器200验证所接收到的SessionID大于其已经接收到的或者尚未被使用(如果有的话)的SessionID。
例如,服务器200还负责生成两个随机数R1和R2,随机数R1和R2可以是整数类型的。这些被用来导出分别被称为K'和K"的两个会话密钥。
作为示例,通过应用密钥导出函数F'从K和R1导出K'。通过应用密钥导出函数F"从K'和R2导出K":
F'和F"例如是两个HMAC-SHA-256函数。
如果需要,还可以针对第一通信设备生成订户标识符IMSI'。根据优选实施例,该标识符是国际移动订户标识符(IMSI)。在该情况下,订户标识符的值也由无线网络服务器生成或在可用的IMSI之中选择,并且与K"相关联。
一旦与新注册相关联的至少一个凭证的集合是可用的,服务器200就发送对注册请求213的响应214。在该示例中,该响应包括随机数R1、R2以及可选地会话标识符SessionID和订阅标识符IMSI',并且可以注意到:
采用符号来示出使用由服务器200所接收的证书的公钥PK来加密传输SessionID、IMSI'和R2。这允许通过第二通信设备202将三个参数SessionID、IMSI'和R2发送到第一通信设备201,同时保持它们安全以免被所述第二通信设备202清楚读取(read in clear)。
为了加强在第一通信设备201与第二通信设备202之间建立的本地数据连接的安全性,可以使用诸如传输层安全性(TLS)之类的密码协议。在该情况下,执行TLS握手215,也就是说两个无线设备201、202之间的消息交换,以建立该安全信道。此处未详述该消息交换,因为技术人员能够找到与属于现有技术的这些密码协议有关的那些信息。
在接收到响应214之后,第二通信设备202能够根据R1和K确定密钥K'。出于该目的,第二通信设备202使用如下的导出函数F':
然后,K'以及加密数据R2和可选地SessionID、IMSI'被路由216到第二通信设备202。
一旦由第一通信设备201接收到路由数据216,然后第一通信设备201就能够使用其私钥PrK解密SessionID、IMSI'和R2。
然后,第一通信设备201能够使用已经提到的如下表达式来确定K":
函数F'F"分别由第二202和第一201通信设备已知和存储。
在该阶段处,第一通信设备201被配置有与新订阅相关联的凭证K"和IMSI',并且因此可以被认为是激活的。根据实施例,激活通知217、218经由第二通信设备200被发送到网络服务器200。
根据实施例,由无线网络存储包括凭证IMSI和K的订阅的记录,该凭证IMSI和K由第二通信设备201使用来允许激活第一通信设备。
然后,网络经由第二通信设备202向第一通信设备201发送确认219、220,以便指示与新订阅相关联的凭证现在可以被用于第一通信设备201,该第一通信设备201要被认证并且在无线网络200上直接通信221。在该阶段处,第一通信设备201被视为是激活的。
当通信设备的激活应由操作员(例如在工业场所上)直接控制时,可以有利地使用本发明。例如,可以由销售人员在刚好向客户交付新的连接汽车之前激活汽车订阅。
用于为无线设备配置与订阅相关联的至少一个凭证的集合的该新技术导致了多个优点。特别地,在服务器侧上:
-在请求对无线设备的激活之前,不存在对为订阅服务器预先配置订阅的需要。这降低了IoT设备部署的开销成本。
-设备证书验证和使用新配置的凭证的授权由服务器在激活时完成,因此与纯离线激活过程相比,第一通信设备201无法用无效凭证连接到网络。
关于安全性方面,一个基本优点在于密码密钥K'和K"不从无线网络中发送出去。相反,由网络以及第一和第二通信设备201、202保持的那些能够在服务器与主设备之间本地计算它们。
此外,第二通信设备202不知道归因于(attributed to)第一通信设备201的IMSI'或秘密密钥K"。这保证了第一通信设备201的匿名性。
另一优点在于,不存在对发布物理通用集成电路卡(UICC)的需要,所述物理通用集成电路卡(UICC)被配置有用于将其插入到辅助设备中所需的凭证。
此外,如果使用嵌入式UICC(eUICC),则不存在对在无线设备中预先配置的引导订阅来激活的需要,从而导致较低的开销成本。

Claims (13)

1.一种用于通过使用第二通信设备(102,202)为第一通信设备(101,201)配置用于访问无线网络(100)所需的至少一个凭证的集合的方法,所述第二通信设备(102,202)配置有也由无线网络(100)已知的密码密钥K,所述第一通信设备(101,201)与包括公钥PK的证书相关联,所述证书与相关联的私钥PrK一起被存储在所述第一通信设备(101,201)中,所述方法包括以下步骤:
-由第二通信设备接收来自第一通信设备的注册请求(212),以便配置有至少一个凭证的集合;
-由第二通信设备(102,202)向无线网络(100,200)传输注册请求(213),以生成与第一通信设备(101,201)相关联的至少一个凭证的集合,所述至少一个凭证的集合包括至少密码密钥K",无线网络(100)适于生成第一随机数R1和第二随机数R2,从R1和K导出密码密钥K',从R2和K'导出密码密钥K";
-由第二通信设备(102,202)接收来自无线网络(100,200)的包括R1和R2的响应(214),使用与第一通信设备(101,201)相关联的证书的公钥PK来加密R2;
-由第二通信设备(101,201)使用R1和K来生成K';
-由第二通信设备(102,202)向第一通信设备(101,201)传输K'和R2的加密版本,用于第一通信设备(101,201)使用其私钥PrK来解密R2,并且使用R2和K'来生成K"。
2.根据权利要求1所述的方法,其中使用由第二通信设备(202)存储的导出函数F'来生成K'。
3.根据前述权利要求中的一项所述的方法,其中使用由第一通信设备(201)存储的导出函数F"来生成K"。
4.根据权利要求2所述的方法,其中F'是HMAC-SHA-256函数。
5.根据权利要求3所述的方法,其中F"是HMAC-SHA-256函数。
6.根据前述权利要求中的任一项所述的方法,其中使用密钥PrK对注册请求(212,213)签名。
7.根据前述权利要求中的任一项所述的方法,其中注册请求(212,213)与由第一通信设备(102,202)生成的SessionID和包括公钥PK的证书一起被传输。
8.根据前述权利要求中的任一项所述的方法,其包括用于在第一(101,201)与第二(102,202)通信设备之间建立(210)本地通信链路的步骤。
9.根据权利要求8所述的方法,其中使用蓝牙低能量技术来建立(212)通信链路。
10.根据前述权利要求中的任一项所述的方法,其包括如下步骤:验证第一通信设备(101,201)的状态,如果该状态示出第一通信设备(101,201)被激活,则发送注册请求(212,213)。
11.根据前述权利要求中的任一项所述的方法,其中由第二通信设备(102,202)将订阅标识符IMSI'传输到第一通信设备(101,201),订阅标识符与R2(216)一起由无线网络(100,200)提供,还使用公钥PK来加密订阅标识符。
12.一种第二通信设备(102,202),其被配置成与第一通信设备(101,201)建立数据连结并被配置成实现根据前述权利要求中的任一项所述的方法。
13.一种第一通信设备(101,201),其被配置成通过使用第二通信设备(102,202)来配置有用于访问无线网络(100)所需的至少一个凭证的集合,所述第二通信设备(102,202)配置有也由无线网络(100)已知的密码密钥K,第一通信设备(101,201)与包括公钥PK的证书相关联,所述证书与相关联的私钥PrK一起被存储在所述第一通信设备(101,201)中,第一通信设备(101,201)被进一步配置成:
-向第二通信设备发送注册请求(212),以便配置有至少一个凭证的集合,然后由第二通信设备(102,202)将所述注册请求(213)传输到无线网络(100,200),用于无线网络(100,200)生成与第一通信设备(101,201)相关联的至少一个凭证的集合,所述至少一个凭证的集合包括至少密码密钥K",无线网络(100)适于生成第一随机数R1和第二随机数R2,从R1和K导出密码密钥K',然后从R2和K'导出密码密钥K";
-从第二通信设备(102,202)接收由无线网络(200)使用与第一通信设备(101,201)相关联的证书的公钥PK加密的R2的版本,以及已经由所述第二通信设备(102,202)使用从无线网络(100)接收的R1和密钥K本地生成的K';
-使用私钥PrK来解密R2;
-使用R2和K'来生成K"。
CN201780049201.2A 2016-08-11 2017-03-30 一种用于通过使用第二通信设备来配置第一通信设备的方法 Active CN109565441B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP16306046.0 2016-08-11
EP16306046.0A EP3282638A1 (en) 2016-08-11 2016-08-11 A method for provisioning a first communication device by using a second communication device
PCT/EP2017/057517 WO2018028843A1 (en) 2016-08-11 2017-03-30 A method for provisioning a first communication device by using a second communication device

Publications (2)

Publication Number Publication Date
CN109565441A true CN109565441A (zh) 2019-04-02
CN109565441B CN109565441B (zh) 2021-10-08

Family

ID=56943450

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780049201.2A Active CN109565441B (zh) 2016-08-11 2017-03-30 一种用于通过使用第二通信设备来配置第一通信设备的方法

Country Status (6)

Country Link
US (1) US11177951B2 (zh)
EP (2) EP3282638A1 (zh)
JP (1) JP6666517B2 (zh)
KR (1) KR102244184B1 (zh)
CN (1) CN109565441B (zh)
WO (1) WO2018028843A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111181723A (zh) * 2019-09-09 2020-05-19 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6834771B2 (ja) * 2017-05-19 2021-02-24 富士通株式会社 通信装置および通信方法
US11019489B2 (en) 2018-03-26 2021-05-25 Bose Corporation Automatically connecting to a secured network
EP3672308B1 (de) * 2018-12-14 2021-08-25 Deutsche Telekom AG Authorization method and terminal for releasing or blocking resources

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013940A (zh) * 2006-12-22 2007-08-08 西安电子科技大学 一种兼容802.11i及WAPI的身份认证方法
CN101483866A (zh) * 2009-02-11 2009-07-15 中兴通讯股份有限公司 Wapi终端证书的管理方法、装置及系统
CN101822082A (zh) * 2007-10-05 2010-09-01 交互数字技术公司 用于uicc和终端之间安全信道化的技术
CN102324005A (zh) * 2011-08-31 2012-01-18 李智虎 一种无计算能力终端安全认证方法、系统和装置
CN102804676A (zh) * 2009-06-23 2012-11-28 松下电器产业株式会社 加密密钥发布系统
WO2016036453A1 (en) * 2014-09-02 2016-03-10 Qualcomm Incorporated Proximity application discovery and provisioning

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2810480B1 (fr) * 2000-06-20 2002-11-15 Gemplus Card Int Traitement de donnees avec une cle
WO2005091551A1 (en) * 2004-03-22 2005-09-29 Samsung Electronics Co., Ltd. Authentication between device and portable storage
KR101092543B1 (ko) 2004-11-12 2011-12-14 삼성전자주식회사 브로드캐스트 암호화를 위한 사용자 키 관리 방법
JP4750515B2 (ja) * 2005-09-07 2011-08-17 株式会社エヌ・ティ・ティ・ドコモ 安全なアドホックネットワークを構築するシステム
WO2009084806A1 (en) * 2008-01-02 2009-07-09 Sung-Man Lee System and method for operating end-to-end security channel between server and ic card
JP5555768B2 (ja) * 2009-05-15 2014-07-23 フィッシャー−ローズマウント システムズ,インコーポレイテッド 無線フィールド機器の改善された検出および配置の方法
JP5423907B2 (ja) * 2010-12-28 2014-02-19 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
US9220012B1 (en) * 2013-01-15 2015-12-22 Marvell International Ltd. Systems and methods for provisioning devices
CN103237004A (zh) * 2013-03-15 2013-08-07 福建联迪商用设备有限公司 密钥下载方法、管理方法、下载管理方法及装置和系统
US20160242032A1 (en) * 2013-10-24 2016-08-18 Koninklijke Kpn N.V. Controlled Credentials Provisioning Between User Devices
EP2890073A1 (en) * 2013-12-31 2015-07-01 Gemalto SA System and method for securing machine-to-machine communications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013940A (zh) * 2006-12-22 2007-08-08 西安电子科技大学 一种兼容802.11i及WAPI的身份认证方法
CN101822082A (zh) * 2007-10-05 2010-09-01 交互数字技术公司 用于uicc和终端之间安全信道化的技术
CN101483866A (zh) * 2009-02-11 2009-07-15 中兴通讯股份有限公司 Wapi终端证书的管理方法、装置及系统
CN102804676A (zh) * 2009-06-23 2012-11-28 松下电器产业株式会社 加密密钥发布系统
CN102324005A (zh) * 2011-08-31 2012-01-18 李智虎 一种无计算能力终端安全认证方法、系统和装置
WO2016036453A1 (en) * 2014-09-02 2016-03-10 Qualcomm Incorporated Proximity application discovery and provisioning

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111181723A (zh) * 2019-09-09 2020-05-19 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置
CN111181723B (zh) * 2019-09-09 2021-10-15 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置

Also Published As

Publication number Publication date
EP3497877A1 (en) 2019-06-19
EP3497877B1 (en) 2020-07-01
JP2019528016A (ja) 2019-10-03
JP6666517B2 (ja) 2020-03-13
KR102244184B1 (ko) 2021-04-23
WO2018028843A1 (en) 2018-02-15
KR20190038632A (ko) 2019-04-08
US11177951B2 (en) 2021-11-16
US20190238324A1 (en) 2019-08-01
EP3282638A1 (en) 2018-02-14
CN109565441B (zh) 2021-10-08

Similar Documents

Publication Publication Date Title
KR102026612B1 (ko) 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
EP3293993B1 (en) Method and apparatus for providing profile
US8578153B2 (en) Method and arrangement for provisioning and managing a device
CN102595404B (zh) 用于存储和执行访问控制客户端的方法及装置
CN106537961B (zh) 用于安装嵌入式通用集成电路卡的配置文件的方法和装置
KR102138315B1 (ko) 프로파일 설치를 위한 방법 및 장치
KR101315670B1 (ko) 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법
CN105007577B (zh) 一种虚拟sim卡参数管理方法、移动终端及服务器
WO2015029945A1 (ja) 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置
EP2912815B1 (en) Method and apparatus for securing a connection in a communications network
KR20160124648A (ko) 프로파일 다운로드 및 설치 장치
KR102173534B1 (ko) 이동통신사업자 정보 제공 방법 및 이를 수행하는 장치
CN101102186B (zh) 通用鉴权框架推送业务实现方法
CN104253801B (zh) 实现登录认证的方法、装置和系统
WO2009124835A2 (en) Method of authenticating home operator for over-the-air provisioning of a wireless device
CN101635924B (zh) 一种cdma端到端加密通信系统及其密钥分发方法
CN109565441A (zh) 一种用于通过使用第二通信设备来配置第一通信设备的方法
CN105282179A (zh) 一种基于cpk的家庭物联网安全控制的方法
US10090997B2 (en) Method for changing an authentication key
KR20180062923A (ko) eSIM 프로파일을 설치, 관리하는 방법 및 장치
KR20130049748A (ko) 내장 uicc 내 프로파일 백업 방법, 내장 uicc, 외부 개체, 백업 장치 및 시스템
EP2608446A1 (en) Network device in a smart grid power network and method of encrypting communication between network devices
CN102547700B (zh) 认证方法及系统
WO2022100858A1 (en) Download of a subscription profile to a communication device
WO2023169682A1 (en) Download of a subscription profile to a communication device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: French Meudon

Patentee after: Thales Digital Security France

Address before: French Meudon

Patentee before: GEMALTO S.A.

CP01 Change in the name or title of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20230316

Address after: French Meudon

Patentee after: Thales Digital Security France Easy Stock Co.

Address before: French Meudon

Patentee before: Thales Digital Security France

TR01 Transfer of patent right